專利名稱:一種Un接口上的數(shù)據(jù)保護(hù)方法與裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別涉及一種Un接口上的數(shù)據(jù)保護(hù)方法與裝置��。
背景技術(shù):
現(xiàn)有的LTE系統(tǒng)中��,只有eNB和UE之間的一段空口����,該空口上有兩類數(shù)據(jù),一類是承載在SRB(signaling radio bearer�,信令承載)上傳輸?shù)腞RC信令的控制面數(shù)據(jù);一類是承載在DRB(data radio bearer��,數(shù)據(jù)承載)上傳輸?shù)挠脩裘鏀?shù)據(jù)。對(duì)RRC控制面數(shù)據(jù)既進(jìn)行完整性保護(hù)�����,又進(jìn)行加密保護(hù)��;對(duì)用戶面數(shù)據(jù)只進(jìn)行加密保護(hù)�。在進(jìn)行加密算法選擇時(shí)���, 只能為控制面和用戶面數(shù)據(jù)選擇相同的加密算法?,F(xiàn)有的LTE系統(tǒng)的算法協(xié)商過程如圖1所示�����,在LTE的AS (Access Stratum,接入層)算法協(xié)商過程中����,網(wǎng)絡(luò)側(cè)的eNB會(huì)根據(jù)UE安全能力以及網(wǎng)絡(luò)側(cè)的算法優(yōu)先級(jí)列表,選擇一個(gè)完整性保護(hù)算法�����,一個(gè)加密算法��,并將選擇的算法通知給UE,MAC-I為完整性消息認(rèn)證碼��。在LTE-A系統(tǒng)中引入了新的接入網(wǎng)節(jié)點(diǎn)RN(Relay Node,中繼節(jié)點(diǎn))����,RN有雙重角色UE (用戶設(shè)備)角色和eNB (演進(jìn)的NodeB)角色。RN會(huì)按照傳統(tǒng)的UE入網(wǎng)方式入網(wǎng)���, 然后和DeNB (Donor eNB,錨點(diǎn)eNB)建立S1/X2接口�����,轉(zhuǎn)換成eNB角色��。圖 2 為引入 RN 以后的 E-UTRAN (Evolved UMTS Territorial Radio Access Network��,演進(jìn)的UMTS陸地?zé)o線接入網(wǎng))架構(gòu)示意圖�。RN的引入��,將原來UE與eNB之間的一段空口劃分為兩段空口 RN與UE之間的空口還是Uu 口����,RN與DeNB之間的空口是Un 口。 在Un 口上傳輸?shù)臄?shù)據(jù)都映射到下面兩類RB上傳輸1����、SRB 承載 RN 與 DeNB 間的 RRC 信令���;2、DRB 承載 S1/X2-AP 信令和 S1/X2-UP 數(shù)據(jù)�����。由于Un 口上傳輸?shù)臄?shù)據(jù)除了傳統(tǒng)的RRC控制信令以及業(yè)務(wù)數(shù)據(jù)以外����,還存在一類 S1/X2控制面信令�����,并且這類數(shù)據(jù)是承載在DRB上傳輸?shù)?��,而且Un 口上對(duì)用戶面數(shù)據(jù)可能也需要進(jìn)行完整性保護(hù)����,這就引入了新的安全需求���。傳統(tǒng)的LTE安全機(jī)制可能無法滿足這類數(shù)據(jù)的安全需求����。另外,RN系統(tǒng)引入了按照RB粒度保護(hù)的需求�,傳統(tǒng)的安全機(jī)制是無法做到這么細(xì)粒度的安全保護(hù)的。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種Un接口上的數(shù)據(jù)保護(hù)方法與系統(tǒng)��,以解決由于RN節(jié)點(diǎn)引入所產(chǎn)生的新的安全需求����。一方面,本發(fā)明實(shí)施例提供一種Un接口上的數(shù)據(jù)保護(hù)方法����,所述方法包括為Un 接口上信令無線承載SRB中承載的信令數(shù)據(jù)、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)��,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù)��,協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法����;采用協(xié)商的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)、DRBs中承載的信令數(shù)據(jù)以及 DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)���。
另一方面���,本發(fā)明實(shí)施例還提供一種Un接口上的數(shù)據(jù)保護(hù)裝置��,所述裝置包括 協(xié)商單元�����,為Un接口上的信令無線承載SRB上的信令數(shù)據(jù)��、數(shù)據(jù)無線承載DRB中承載信令數(shù)據(jù)的DRBs上的信令數(shù)據(jù)�����,以及承載業(yè)務(wù)數(shù)據(jù)的DRBd上的業(yè)務(wù)數(shù)據(jù),選擇對(duì)應(yīng)的完整性保護(hù)算法和加密算法����;保護(hù)單元,采用所述錨點(diǎn)eNB選擇的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)����、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。本發(fā)明的有益效果在于�,本發(fā)明實(shí)施例的方法與系統(tǒng)對(duì)Un接口上三類RB所承載的數(shù)據(jù)采用對(duì)應(yīng)的完整性保護(hù)算法和加密算法進(jìn)行保護(hù),使Un接口上的數(shù)據(jù)安全保護(hù)更加全面,能夠滿足不同RB所承載的數(shù)據(jù)對(duì)安全保護(hù)的需求�����。
圖1為現(xiàn)有技術(shù)的LTE系統(tǒng)的算法協(xié)商過程示意圖�;圖2為現(xiàn)有技術(shù)中引入RN以后的E-UTRAN架構(gòu)示意圖;圖3為本發(fā)明實(shí)施例方法的整體流程圖�����;圖4為本發(fā)明實(shí)施例預(yù)先保存的算法列表示意圖��;圖5為本發(fā)明實(shí)施例采用AS SMC進(jìn)行算法協(xié)商的示意圖之一��;圖6為本發(fā)明實(shí)施例采用AS SMC進(jìn)行算法協(xié)商的示意圖之二 �����;圖7為本發(fā)明實(shí)施例采用AS SMC進(jìn)行算法協(xié)商的示意圖之三���;圖8為本發(fā)明實(shí)施例采用AS SMC進(jìn)行算法協(xié)商的示意圖之四�����;圖9為本發(fā)明實(shí)施例系統(tǒng)的連接關(guān)系示意圖��;圖10為本發(fā)明實(shí)施例錨點(diǎn)eNBlO的功能框圖之一��;圖11為本發(fā)明實(shí)施例錨點(diǎn)eNBlO的功能框圖之二 ����;圖12為本發(fā)明實(shí)施例錨點(diǎn)eNBlO的功能框圖之三;圖13為本發(fā)明實(shí)施例錨點(diǎn)eNBlO的功能框圖之四��;圖14為本發(fā)明實(shí)施例用戶設(shè)備的功能框圖��。
具體實(shí)施例方式本發(fā)明實(shí)施例提供一種Un接口上的數(shù)據(jù)保護(hù)方法與系統(tǒng)���,以實(shí)現(xiàn)Un接口上各類 RB/各個(gè)RB上數(shù)據(jù)的安全保護(hù)的問題��。本發(fā)明實(shí)施例的S1/X2-AP信令以及S1/X2-UP數(shù)據(jù)��,在Un 口上都會(huì)映射到DRB上去����。由于這兩類DRB的安全需求不同��,從安全領(lǐng)域來看���,需要對(duì)DRB進(jìn)行進(jìn)一步細(xì)分。為了后面描述方便,本發(fā)明實(shí)施例對(duì)承載這兩類數(shù)據(jù)的DRB劃分為DRBs和DRBd兩類��,用DRBs 表示承載信令數(shù)據(jù)S1/X2-AP的DRB�����,用DRBd表示承載業(yè)務(wù)數(shù)據(jù)S 1/X2-UP的DRB�。和LTE —樣,LTE-A中Un上的RRC信令必須進(jìn)行完整性保護(hù)���,可選的進(jìn)行加密保護(hù)�����;Un 口上的S1/X2-AP必須進(jìn)行完整性保護(hù)�,S1/X2-UP可選的進(jìn)行完整性保護(hù)�;由于Si/ X2-AP上可能傳輸U(kuò)E密鑰或切換密鑰,所以S1/X2-AP也必須進(jìn)行加密保護(hù)��,S1/X2-UP可選的進(jìn)行加密保護(hù)�����。為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���,顯然�����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例?����;诒景l(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�����。實(shí)施例1 本實(shí)施例提供一種Un接口上的數(shù)據(jù)保護(hù)方法���。圖3為本發(fā)明實(shí)施例方法的整體流程圖���,如圖3所示,該方法包括S301����、為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法�����;S302����、采用協(xié)商的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)、 DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)�����。可選地���,根據(jù)安全保護(hù)的數(shù)據(jù)粒度大小���,S301可以包括兩種情況一種是按照無線承載RB類型的粒度,為所述Un接口上SRB中承載的信令數(shù)據(jù)�、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法��;另一種是按照每個(gè) RB的粒度����,為所述Un接口上的每個(gè)RB協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法??蛇x地,S302具體包括預(yù)先存儲(chǔ)所述SRB���、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法區(qū)別因子以及加密算法區(qū)別因子��;根據(jù)所述SRB�、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法和完整性保護(hù)算法區(qū)別因子����,生成所述SRB�、DRBs以及DRBd的完整性密鑰���;根據(jù)所述SRB、 DRBs以及DRBd對(duì)應(yīng)的加密算法和加密算法區(qū)別因子���,生成所述SRB���、DRBs以及DRBd的加密密鑰;采用所述完整性密鑰和所述加密密鑰對(duì)所述SRB�、DRBs以及DRBd中承載的數(shù)據(jù)進(jìn)行安全保護(hù)?��?蛇x地����,當(dāng)所述SRB�����、DRBs以及DRBd所對(duì)應(yīng)的完整性保護(hù)算法中存在相同的算法時(shí)����,為所述相同的完整性保護(hù)算法存儲(chǔ)不同的完整性保護(hù)算法區(qū)別因子�;當(dāng)所述SRB��、DRBs 以及DRBd所對(duì)應(yīng)的加密算法中存在相同的算法時(shí)�,為所述相同的加密算法存儲(chǔ)不同的加密算法區(qū)別因子。本發(fā)明實(shí)施例的方法對(duì)于不同的應(yīng)用場(chǎng)景可以有不同的實(shí)施方式�����。(場(chǎng)景一)該場(chǎng)景中�����,為Un接口上SRB中承載的信令數(shù)據(jù)�、DRBs中承載的信令數(shù)據(jù),以及 DRBd中承載的業(yè)務(wù)數(shù)據(jù)協(xié)商相同的完整性保護(hù)算法和加密算法�����?����?蛇x地��,該場(chǎng)景還對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示?��?蛇x地���,場(chǎng)景一可以在接入層安全模式命令A(yù)S SMC中攜帶為Un接口上的SRB、 DRBs以及DRBd中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法和加密算法����?�?蛇x地�����,場(chǎng)景一可以在無線資源配置專用信元里����,對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示;或者在接入層安全模式命令A(yù)S SMC中攜帶是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)安全保護(hù)的指示��?���?蛇x地,場(chǎng)景一中的指示內(nèi)容包括啟動(dòng)完整性保護(hù)和加密保護(hù),或僅啟動(dòng)完整性保護(hù)����,或僅啟動(dòng)加密保護(hù),或者禁止完整性保護(hù)和加密保護(hù)����。下面給出一個(gè)具體的例子來說明場(chǎng)景一所采用的具體的數(shù)據(jù)保護(hù)方法。1���、預(yù)先保存有算法列表該算法列表如圖4所示�,用于DeNB與RN協(xié)商Un 口上使用的算法����。可選地���,列表中的算法按照算法優(yōu)先級(jí)排列���。Un 口上的三類RB數(shù)據(jù),如果運(yùn)營(yíng)商允許選擇不同的算法�, 那么DeNB上需要為每類RB預(yù)置一套算法優(yōu)先級(jí)列表?��?蛇x地�����,當(dāng)某個(gè)/某類RB配置為不需要安全保護(hù)時(shí)�,DeNB的PDCP協(xié)議棧在處理時(shí)可能直接跳過安全保護(hù)。2�、安全保護(hù)指示各類RB有不同的保護(hù)需求,根據(jù)運(yùn)營(yíng)商的實(shí)際策略����,可以在RB建立的時(shí)候�,通過RRC信令配置特定類型的RB如何進(jìn)行安全保護(hù)當(dāng)前RB建立時(shí),通過RRCConnectionReconfiguration消息來配置RB對(duì)應(yīng)的參數(shù)?��,F(xiàn)有的 RRCConnectionReconfiguration 消息 里有 IE radioResourceConfigDedicated, 為了靈活的配置各類RB安全是否啟動(dòng)��,可以在該IE內(nèi)增加一個(gè)指示IE�,例如�, securityindicator (安全指示),用于指示該RB是否需要進(jìn)行加密保護(hù)�,以及是否需要進(jìn)行完整性保護(hù)。一種可能的實(shí)現(xiàn)方法是��,securityindicator只有2bit,分別負(fù)責(zé)加密和完整性保護(hù)的開啟指示����,置0表示不進(jìn)行相應(yīng)的保護(hù),置1表示進(jìn)行保護(hù)��。如表1中所示的含義表1新引入的IE取值的意義示例
權(quán)利要求
1.一種Un接口上的數(shù)據(jù)保護(hù)方法����,其特征在于,所述方法包括為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)����、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù),以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù)���,協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法��;采用協(xié)商的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)����、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)���。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,所述為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法包括按照無線承載RB類型的粒度���,為所述Un接口上SRB中承載的信令數(shù)據(jù)�����、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù),分別協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法��;或者按照每個(gè)RB的粒度�����,為所述to接口上的每個(gè)RB上信令無線承載SRB中承載的信令數(shù)據(jù)����、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)�����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù)協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法��。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,所述為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)����、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法具體包括為Un接口上SRB中承載的信令數(shù)據(jù)���、DRBs中承載的信令數(shù)據(jù)�,以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)協(xié)商相同的完整性保護(hù)算法和相同的加密算法�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,所述方法還包括 對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示。
5.根據(jù)權(quán)利要求4所述的方法���,其特征在于�����,所述對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示包括在無線資源配置專用信元里�����,對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于��,所述對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示還包括在接入層安全模式命令A(yù)S SMC中攜帶是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)安全保護(hù)的指
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于�����,所述指示內(nèi)容包括啟動(dòng)完整性保護(hù)和加密保護(hù)�����,或僅啟動(dòng)完整性保護(hù)�,或僅啟動(dòng)加密保護(hù),或者禁止完整性保護(hù)和加密保護(hù)����。
8.根據(jù)權(quán)利要求3所述的方法,其特征在于�,進(jìn)一步包括發(fā)送接入層安全模式命令A(yù)S SMC,并在接入層安全模式命令A(yù)S SMC中攜帶為Un接口上的SRB、DRBs以及DRBd中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法和加密算法�����。
9.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)��、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)�,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法包括為Un接口上SRB和DRBs中承載的數(shù)據(jù)協(xié)商相同的完整性保護(hù)算法1�,為DRBd中承載的數(shù)據(jù)協(xié)商完整性保護(hù)算法2,為SRB和DRBd中承載的數(shù)據(jù)協(xié)商相同的加密算法1���,為DRBs 中承載的數(shù)據(jù)協(xié)商加密算法2����。
10.根據(jù)權(quán)利要求9所述的方法,其特征在于����,所述方法還包括對(duì)是否啟動(dòng)DRBd中承載的數(shù)據(jù)的完整性保護(hù)進(jìn)行指示,以及對(duì)是否啟動(dòng)SRB和DRBd 中承載的數(shù)據(jù)的加密保護(hù)進(jìn)行指示����。
11.根據(jù)權(quán)利要求9所述的方法,其特征在于���,進(jìn)一步包括發(fā)送接入層安全模式命令A(yù)S SMC�����,在接入層安全模式命令A(yù)S SMC中攜帶為SRB和DRBs 中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法1���,為DRBd中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法2,為SRB和DRBd中承載的數(shù)據(jù)所選擇的相同的加密算法1����,以及為DRBs中承載的數(shù)據(jù)所選擇的加密算法2。
12.根據(jù)權(quán)利要求11所述的方法��,其特征在于����,所述方法還包括將所述完整性保護(hù)算法2的取值設(shè)置為特定值以禁止DRBd的完整性保護(hù),或?qū)⑺黾用芩惴?的取值設(shè)置為特定值以禁止SRB和DRBd的加密保護(hù)��。
13.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)��、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)�,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù),協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法包括發(fā)送接入層安全模式命令A(yù)S SMC����,在接入層安全模式命令A(yù)S SMC中攜帶為SRB和DRBs 中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法,為SRB和DRBs中承載的數(shù)據(jù)所選擇的相同的加密算法�;在RB建立過程消息中的無線資源配置專用信元中攜帶為DRBd中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法和/或加密保護(hù)算法;并且����,如果所述無線資源配置專用信元未攜帶相應(yīng)的算法,則不啟動(dòng)與該算法對(duì)應(yīng)的安全保護(hù)機(jī)制����。
14.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)�����、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)�����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù)��,協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法包括發(fā)送接入層安全模式命令A(yù)S SMC����,在接入層安全模式命令A(yù)S SMC中攜帶為SRB中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法1,為DRBs中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法2��,為 DRBd中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法3���,為SRB中承載的數(shù)據(jù)所選擇的加密算法1����, 為DRBs中承載的數(shù)據(jù)所選擇的加密算法2,以及為DRBd中承載的數(shù)據(jù)所選擇的加密算法 3����。
15.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述采用協(xié)商的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)�����、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)包括預(yù)先存儲(chǔ)所述SRB�����、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法區(qū)別因子以及加密算法區(qū)別因子��;根據(jù)所述SRB���、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法和完整性保護(hù)算法區(qū)別因子���,生成所述SRB、DRBs以及DRBd的完整性密鑰���;根據(jù)所述SRB��、DRBs以及DRBd對(duì)應(yīng)的加密算法和加密算法區(qū)別因子�,生成所述SRB、 DRBs以及DRBd的加密密鑰�。
16.根據(jù)權(quán)利要求15所述的方法,其特征在于�����,預(yù)先存儲(chǔ)所述SRB����、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法區(qū)別因子以及加密算法區(qū)別因子包括當(dāng)所述SRB、DRBs以及DRBd所對(duì)應(yīng)的完整性保護(hù)算法中存在相同的算法時(shí)�����,為所述相同的完整性保護(hù)算法存儲(chǔ)不同的完整性保護(hù)算法區(qū)別因子���;當(dāng)所述SRB��、DRBs以及DRBd所對(duì)應(yīng)的加密算法中存在相同的算法時(shí)�,為所述相同的加密算法存儲(chǔ)不同的加密算法區(qū)別因子���。
17.—種Un接口上的數(shù)據(jù)保護(hù)裝置���,其特征在于����,所述裝置包括協(xié)商單元�����,為Un接口上的信令無線承載SRB上的信令數(shù)據(jù)���、數(shù)據(jù)無線承載DRB中承載信令數(shù)據(jù)的DRBs上的信令數(shù)據(jù),以及承載業(yè)務(wù)數(shù)據(jù)的DRBd上的業(yè)務(wù)數(shù)據(jù)�,選擇對(duì)應(yīng)的完整性保護(hù)算法和加密算法;保護(hù)單元����,采用所述錨點(diǎn)eNB選擇的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)��。
18.根據(jù)權(quán)利要求17所述的裝置����,其特征在于,所述協(xié)商單元包括第一協(xié)商子單元����,用于為Un接口上SRB中承載的信令數(shù)據(jù)���、DRBs中承載的信令數(shù)據(jù), 以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)選擇相同的完整性保護(hù)算法和加密算法��。
19.根據(jù)權(quán)利要求18所述的裝置���,其特征在于���,所述協(xié)商單元還包括第一指示子單元,用于對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示�。
20.根據(jù)權(quán)利要求18所述的裝置,其特征在于��,所述第一協(xié)商子單元�����,具體用于發(fā)送接入層安全模式命令A(yù)S SMC,并在接入層安全模式命令A(yù)S SMC中攜帶為Un接口上的SRB�����、DRBs以及DRBd中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法和加密算法��。
21.根據(jù)權(quán)利要求19所述的裝置,其特征在于�,所述第一指示子單元,具體用于在無線資源配置專用信元里����,對(duì)是否啟動(dòng)DRBd中承載的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)進(jìn)行指示。
22.根據(jù)權(quán)利要求19所述的裝置��,其特征在于�,所述第一指示子單元,還具體用于在接入層安全模式命令A(yù)S SMC中攜帶是否啟動(dòng) DRBd中承載的業(yè)務(wù)數(shù)據(jù)安全保護(hù)的指示�。
23.根據(jù)權(quán)利要求17所述的裝置�����,其特征在于��,所述協(xié)商單元包括第二協(xié)商子單元���,用于為Un接口上SRB和DRBs中承載的數(shù)據(jù)選擇相同的完整性保護(hù)算法1����,為DRBd中承載的數(shù)據(jù)選擇完整性保護(hù)算法2�,為SRB和DRBd中承載的數(shù)據(jù)選擇相同的加密算法1�,為DRBs中承載的數(shù)據(jù)選擇加密算法2�。
24.根據(jù)權(quán)利要求23所述的裝置,其特征在于�����,所述協(xié)商單元還包括第二指示子單元����,用于對(duì)是否啟動(dòng)DRBd中承載的數(shù)據(jù)的完整性保護(hù)進(jìn)行指示,以及對(duì)是否啟動(dòng)SRB和DRBd中承載的數(shù)據(jù)的加密保護(hù)進(jìn)行指示��。
25.根據(jù)權(quán)利要求M所述的裝置���,其特征在于��,所述第二協(xié)商子單元�,具體用于發(fā)送接入層安全模式命令A(yù)S SMC,在接入層安全模式命令A(yù)S SMC中攜帶為SRB和DRBs中承載的數(shù)據(jù)所選擇的相同的完整性保護(hù)算法1��,為DRBd 中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法2�����,為SRB和DRBd中承載的數(shù)據(jù)所選擇的相同的加密算法1,以及為DRBs中承載的數(shù)據(jù)所選擇的加密算法2�。
26.根據(jù)權(quán)利要求25所述的裝置,其特征在于���,所述第二指示子單元��,具體用于將所述完整性保護(hù)算法2的取值設(shè)置為無效以禁止 DRBd的完整性保護(hù)�,將所述加密算法1的取值設(shè)置為無效以禁止SRB和DRBd的加密保護(hù)��。
27.根據(jù)權(quán)利要求17所述的裝置�,其特征在于,所述協(xié)商單元包括第三協(xié)商子單元����,用于發(fā)送接入層安全模式命令A(yù)S SMC,在接入層安全模式命令A(yù)S SMC中攜帶為SRB中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法1,為DRBs中承載的數(shù)據(jù)所選擇完整性保護(hù)算法2�,為SRB中承載的數(shù)據(jù)所選擇的加密算法1����,以及為DRBs中承載的數(shù)據(jù)所選擇的加密算法2;第三指示子單元,用于在RB建立過程消息中的無線資源配置專用信元中攜帶為DBRd 中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法和/或加密保護(hù)算法����;并且,如果所述無線資源配置專用信元未攜帶相應(yīng)的算法,則不啟動(dòng)與該算法對(duì)應(yīng)的安全保護(hù)機(jī)制�����。
28.根據(jù)權(quán)利要求17所述的裝置�����,其特征在于��,所述協(xié)商單元包括第四協(xié)商子單元�,用于發(fā)送接入層安全模式命令A(yù)S SMC,在接入層安全模式命令A(yù)S SMC中攜帶為SRB中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法1,為DRBs中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法2�����,為DRBd中承載的數(shù)據(jù)所選擇的完整性保護(hù)算法3�����,為SRB中承載的數(shù)據(jù)所選擇的加密算法1���,為DRBs中承載的數(shù)據(jù)所選擇的加密算法2�����,以及為DRBd中承載的數(shù)據(jù)所選擇的加密算法3�。
29.根據(jù)權(quán)利要求17所述的裝置,其特征在于����,所述保護(hù)單元包括存儲(chǔ)單元,用于預(yù)先存儲(chǔ)所述SRB�����、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法區(qū)別因子以及加密算法區(qū)別因子�����;完整性密鑰生成單元�,用于根據(jù)所述SRB、DRBs以及DRBd對(duì)應(yīng)的完整性保護(hù)算法和完整性保護(hù)算法區(qū)別因子�,生成所述SRB、DRBs以及DRBd的完整性密鑰���;加密密鑰生成單元�,用于根據(jù)所述SRB���、DRBs以及DRBd對(duì)應(yīng)的加密算法和加密算法區(qū)別因子,生成所述SRB、DRBs以及DRBd的加密密鑰����。
30.根據(jù)權(quán)利要求四所述的裝置,其特征在于�,所述存儲(chǔ)單元,具體用于當(dāng)所述SRB����、DRBs以及DRBd所對(duì)應(yīng)的完整性保護(hù)算法中存在相同的算法時(shí),為所述相同的完整性保護(hù)算法存儲(chǔ)不同的完整性保護(hù)算法區(qū)別因子��;當(dāng)所述SRB����、DRBs以及DRBd所對(duì)應(yīng)的加密算法中存在相同的算法時(shí),為所述相同的加密算法存儲(chǔ)不同的加密算法區(qū)別因子��。
全文摘要
一種Un接口上的數(shù)據(jù)保護(hù)方法與裝置�����,所述方法包括為Un接口上信令無線承載SRB中承載的信令數(shù)據(jù)����、數(shù)據(jù)無線承載DRBs中承載的信令數(shù)據(jù)����,以及數(shù)據(jù)無線承載DRBd中承載的業(yè)務(wù)數(shù)據(jù)�,協(xié)商對(duì)應(yīng)的完整性保護(hù)算法和加密算法;采用協(xié)商的完整性保護(hù)算法和加密算法對(duì)所述SRB中承載的信令數(shù)據(jù)�、DRBs中承載的信令數(shù)據(jù)以及DRBd中承載的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。本發(fā)明實(shí)施例的方法與系統(tǒng)對(duì)Un接口上三類RB所承載的數(shù)據(jù)采用對(duì)應(yīng)的完整性保護(hù)算法和加密算法進(jìn)行保護(hù)���,使Un接口上的數(shù)據(jù)安全保護(hù)更加全面��,能夠滿足不同RB所承載的數(shù)據(jù)對(duì)安全保護(hù)的需求����。
文檔編號(hào)H04W12/02GK102448058SQ20111000418
公開日2012年5月9日 申請(qǐng)日期2011年1月10日 優(yōu)先權(quán)日2011年1月10日
發(fā)明者張麗佳, 張冬梅, 陳卓, 陳璟 申請(qǐng)人:華為技術(shù)有限公司