CN101155026B - 通信安全性保护方法和装置 - Google Patents
通信安全性保护方法和装置 Download PDFInfo
- Publication number
- CN101155026B CN101155026B CN2006101358033A CN200610135803A CN101155026B CN 101155026 B CN101155026 B CN 101155026B CN 2006101358033 A CN2006101358033 A CN 2006101358033A CN 200610135803 A CN200610135803 A CN 200610135803A CN 101155026 B CN101155026 B CN 101155026B
- Authority
- CN
- China
- Prior art keywords
- count
- protection
- receiving terminal
- carrying
- block
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种通信安全性保护方法和装置,可以由长期演进(LTE)网络中的分组数据会聚协议(PDCP)层根据符合LTE网络协议格式的通信安全性保护计数值(COUNT),对非接入层(NAS)信令和/或用户数据进行通信安全性保护;本发明还公开了另一种通信安全性保护方法和装置,可以由LTE网络中的无线资源控制(RRC)层根据符合LTE网络协议格式的COUNT,对RRC信令进行通信安全性保护。本发明所提供的两种通信安全性保护方法和装置,能够明显提高LTE网络中的通信安全性,并提高用户满意度。
Description
技术领域
本发明涉及通信领域,具体涉及通信安全性保护方法和装置。
背景技术
随着通信技术的发展,人们对通信安全性越来越重视。目前,一般通过加密保护和完整性保护来保证通信安全性。
在目前正处于研究阶段的长期演进(LTE)网络中,尚未提供对非接入层(NAS)信令以及对分组数据会聚协议(PDCP)层的用户数据进行加密和完整性保护的具体方案,并且也没有提供对无线资源控制(RRC)信令进行加密保护的具体方案;这显然会降低LTE网络中的通信安全性,通信安全性的降低将导致用户满意度明显下降。
发明内容
有鉴于此,本发明的主要目的在于提供一种通信安全性保护方法和装置,使LTE网络中的PDCP层能对NAS信令和用户数据中的至少一种进行加密保护和/或完整性保护,以提高LTE网络中的通信安全性,提高用户满意度。
本发明的另一目的在于提供另一种通信安全性保护方法和装置,使LTE网络中的RRC层能对RRC信令进行加密保护,以提高LTE网络中的通信安全性,提高用户满意度。
为达到上述目的,本发明的技术方案是这样实现的:
本发明公开了一种通信安全性保护方法,该方法包括:
LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护计数值COUNT,对NAS信令和/或用户数据进行通信安全性保护;
其中,所述通信安全性保护包括:加密保护;
当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该加密保护的方法为:
发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块CIPHERTEXT BLOCK向接收端发送;
所述通信安全性保护进一步包括:完整性保护;
当进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I,该完整性保护的方法为:
发送端对完整性保护密钥IK、完整性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。
当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该方法进一步包括:
接收端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的CIPHERTEXT BLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。
当进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I,该方法进一步包括:
接收端对IK、COUNT-I、MESSAGE、DIRECTION和FRESH用完整性算法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。
进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行 各只有一个的一对COUNT-C/I。
所述COUNT-C/I中包含超帧和序列号。
进行所述加密保护时所应用的BEARER,是业务所对应的无线承载(RB),或是缺省RB,或是通过信令协商确定的RB;
所述BEARER的值为:RB标识ID-1。
本发明还公开了一种通信安全性保护方法,该方法包括:
LTE网络中的RRC层根据符合LTE网络协议格式的通信安全性保护计数值COUNT,对RRC信令进行通信安全性保护;
其中,所述通信安全性保护包括:加密保护;
当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该加密保护的方法为:
发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的CIPHERTEXTBLOCK向接收端发送;
所述通信安全性保护进一步包括:完整性保护。
当进行所述完整性保护时的COUNT是COUNT-I,该完整性保护的方法为:
发送端对完整性保护密钥IK、完整性保护计数值COUNT-I、要发送给接收端的MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。
当进行所述加密保护时的COUNT是COUNT-C,该方法进一步包括:
接收端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的CIPHERTEXT BLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。
当进行所述完整性保护时的COUNT是COUNT-I,该方法进一步包括:
接收端对IK、COUNT-I、MESSAGE、DIRECTION和FRESH用完整性算法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。
进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行各只有一个的一对COUNT-C/I。
所述COUNT-C/I中包含导频和序列号。
进行所述加密保护时所应用的BEARER,是业务所对应的RB,或是缺省RB,或是通过信令协商确定的RB;
所述BEARER的值为:RB ID-1。
本发明还公开了一种通信安全性保护装置,该装置包括相连的加密算法模块和数据算法模块;
其中,加密算法模块,用于根据符合LTE网络协议格式的通信安全性计数值COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块,将计算所得的密钥流数据块发送给数据算法模块;
数据算法模块,用于对收到的密钥流数据块和要发送给接收端的原始文本块进行数据算法计算,生成密码块;或者,对收到的密钥流数据块和从发送端接收的密码块进行数据算法计算,生成发送端所发送的原始文本块。
所述数据算法模块是异或模块。
所述加密算法模块和数据算法模块设置于PDCP层,所述原始文本块中包含NAS信令或用户数据。
所述加密算法模块和数据算法模块设置于RRC层,所述COUNT是COUNT-C,所述原始文本块中包含RRC信令。
该装置进一步包括完整性算法模块,用于对完整性保护密钥IK、符合LTE网络协议格式的通信安全性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I。
所述完整性算法模块,进一步用于对完整性保护密钥IK、符合LTE网络协议格式的通信安全性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成XMAC-I;并将XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,确定来自发送端的信息具有完整性;否则,确定来自发送端的信息不具有完整性。
所述完整性算法模块设置于PDCP层,所述MESSAGE中包含NAS信令或用户数据。
所述完整性算法模块设置于RRC层,所述COUNT是COUNT-I,所述MESSAGE中包含RRC信令。
与现有技术相比,本发明所提供的两种通信安全性保护方法和装置,可以由LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护计数值,对NAS信令和/或用户数据进行通信安全性保护;还可以由LTE网络中的RRC层根据符合LTE网络协议格式的通信安全性保护计数值,对RRC信令进行通信安全性保护。本发明方法和装置能够明显提高LTE网络中的通信安全性,并提高用户满意度。
附图说明
图1为本发明一较佳实施例的加密保护原理图;
图2为本发明一较佳实施例的完整性保护原理图;
图3为本发明的NAS COUNT-C/I的结构示意图;
图4为本发明的PDCP COUNT-C/I的结构示意图;
图5为本发明的RRC COUNT-C/I的结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明详细说明。
本发明所提供的一种通信安全性保护方法,由LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护计数值,对NAS信令和/或用户数据进行通信安全性保护。
本发明所提供的另一种通信安全性保护方法,由LTE网络中的RRC层根据符合LTE网络协议格式的通信安全性保护计数值,对RRC信令进行通信安全性保护。
本发明所提供的一种通信安全性保护装置,包括相连的加密算法模块和数据算法模块;其中,加密算法模块,用于根据符合LTE网络协议格式的COUNT进行加密算法计算,将计算所得的密钥流数据块发送给数据算法模块;数据算法模块,用于对收到的密钥流数据块和要发送给接收端的原始文本块进行数据算法计算,生成密码块;或者,对收到的密钥流数据块和密码 块进行进行数据算法计算,生成发送端所发送的原始文本块。
本发明所提供的另一种通信安全性保护装置包括完整性算法模块,用于根据符合LTE网络协议格式的COUNT进行完整性算法计算,生成用于确定完整性的内容。
具体而言,通信安全性保护通常包括加密保护和/或完整性保护,在进行加密保护时,可以参照图1所示的加密保护原理。由图1可见,发送端可以对加密保护计数值COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK以f8方法计算,生成密钥流数据块KEYSTREAMBLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块CIPHERTEXT BLOCK向接收端发送。
与发送端一样,接收端同样对COUNT-C、DIRECTION、BEARER、LENGTH和CK以f8方法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的PLAINTEXTBLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXTBLOCK。
在上述操作中,DIRECTION用于指明数据的收发方向,使收到数据的实体能够根据获知的方向继续后续的操作;BEARER指明用于传输数据的具体承载,使接收端能够从相应承载中顺利获取数据;LENGTH用于指明数据长度;CK是发送端与接收端协商好的加密保护密钥,用于对数据加密;COUNT-C是用于对传输的信息进行计数和统计的计数值,目前也参与到加密保护的过程中。
与图1所示的加密保护一样,图2所示的完整性保护原理同样有助于通信安全性的实现。由图2可见,发送端可以对完整性保护密钥IK、完整性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH以f9方法计算,生成MAC-I,并将MAC-I携带于所述MESSAGE中向接收端发送。
可以将COUNT-I和COUNT-C统称为通信安全性保护计数值COUNT;由于COUNT相对于加密保护、完整性保护中的其他参数而言具有变化频繁的特点,所以将COUNT应用于加密保护和完整性保护中可以明显增加攻击者解密的难度,进而提高了通信安全性。
与发送端一样,接收端同样对IK、COUNT-I、MESSAGE、DIRECTION和FRESH以f9方法计算,生成XMAC-I。之后,接收端用XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。
当然,可以将图1中所示的f8方法替换为其它计算方法;同理,也可以将图2中所示的f9方法替换为其它计算方法。通常,可以将图1、图2中用于进行f8、f9计算的参数统称为输入参数。再有,f8只是目前所应用的加密算法中的一种,实际应用时还可以用其它加密算法对输入参数进行加密计算;同理,f9只是目前所应用的完整性算法中的一种,实际应用时还可以用其它完整性算法对输入参数进行完整性计算。
具体而言,图1中的f8等加密算法可以由加密算法模块实现,异或等数据算法可以由与加密算法模块相连的数据算法模块实现;并且,所述加密算法模块和数据算法模块设置于PDCP层或RRC层,以对相应协议层中的内容进行加密保护。同理,图2中的f9等完整性算法可以由完整性算法模块实现;并且,所述完整性算法模块设置于PDCP层或RRC层,以对相应协议层中的内容进行完整性保护。
在实际应用中,基于图1、图2所示原理,可以由LTE网络中的PDCP层对NAS信令和用户数据进行加密保护和完整性保护;这时的PLAINTEXTBLOCK和MESSAGE中所包含的内容就是NAS信令或用户数据。再有,还可以由LTE网络中的RRC层对RRC信令进行加密保护和完整性保护;这时的PLAINTEXT BLOCK和MESSAGE中所包含的内容就是RRC信令。
在上述操作中,DIRECTION用于指明数据的收发方向,使收到数据的实体能够根据获知的方向继续后续的操作;BEARER指明用于传输数据的具 体承载,使接收端能够从相应承载中顺利获取数据;LENGTH用于指明数据长度;IK是发送端与接收端协商好的完整性保护密钥,用于对数据加密;COUNT-I是用于对传输的信息进行计数和统计的计数值,目前也参与到完整性保护的过程中。
针对NAS信令和用户数据而言,用于对NAS信令和用户数据进行加密保护和完整性保护的输入参数均被控制在PDCP层;为NAS信令和用户数据进行加密保护和完整性保护所使用的CK和IK可以相同,并且由PDCP对CK和IK进行管理;再有,为NAS信令和用户数据进行加密保护和完整性保护所使用的FRESH可以相同,并且由PDCP对FRESH进行管理。NAS信令和用户数据进行加密保护和完整性保护所使用的CK和IK也可以不同;再有,NAS信令和用户数据进行加密保护和完整性保护所使用的FRESH也可以不同。
对于NAS信令来说,可能会存在一个低优先级的RB和一个高优先级的RB,并且低优先级的RB不一定存在,因此NAS无法确定当前由哪个RB作为承载;在这种情况下,可以将缺省RB作为NAS信令的承载,还可以通过信令协商确定一个RB作为传输承载。至于由PDCP层处理的用户数据,则可以将不同业务所对应的无线接入承载作为进行加密保护和完整性保护时的承载。另外,针对用户数据的加密保护而言,可以在对PDCP层进行业务配置时就为不同业务配置相对应的RB ID,并固定使用一个或者几个业务承载;这样,BEARER=RB ID-1的设置方式就是比较可行的了。
显而易见的是:DIRECTION的设置根据目前通信的上下行方向确定即可,LENGTH的设置则可以根据NAS信令的实际长度确定。
需要说明的是:对NAS信令而言,NAS COUNT-C和NAS COUNT-I的取值可以相同,并且只为NAS信令设置一对NAS COUNT-C/I值,使得NAS COUNT-C/I针对上下行各只有一个。另外,对NAS信令而言,NASCOUNT-C和NAS COUNT-I的取值也可以不相同,并且可以使用不同的START值初始化NAS HFN;再有,可以由NAS层设置并管理NAS SN,PDCP 层只是使用NAS SN而并不对其管理。
NAS COUNT-C/I的结构示意图如图3所示,其中NAS超帧(HFN)占20~28比特,NAS序列号(SN)占12~4比特。NAS HFN的初始化由PDCP控制,可以使用来自用户终端的START初始化NAS HFN的高20比特。对所有NAS信令而言,NAS SN只有一对,上下行各一个;并且,上行或下行每发送一个消息时,相应的NAS SN加1,并在NAS SN达到最大值之后将相应的NAS HFN加1。NAS SN的值通常是由PDCP设置的。
在实际应用中,PDCP层可以对NAS信令先进行加密保护再进行完整性保护;也可以对NAS信令先进行完整性保护,再进行加密保护。
对用户数据而言,PDCP COUNT-C和PDCP COUNT-I取值通常也是相同的。并且,由于为PDCP层针对不同业务配置了相对应的RB ID,所以PDCPCOUNT-C/I的取值会因RB ID的不同而有所不同;但是对于同一个RB ID则只有一对PDCP COUNT-C/I值,并且上下行各一个。
PDCP COUNT-C/I的结构示意图如图4所示,其中HFN占20~28比特,SN占12~4比特。PDCP HFN的初始化由PDCP控制,可以使用来自用户终端的START初始化PDCP HFN的高20比特。对PDCP用户数据而言,可以根据RB的个数设置相对组数的PDCP SN,每组PDCP SN包括上下行各一个;并且,上行或下行每发送一个数据包时,相应的PDCP SN加1,并在PDCP SN达到最大值之后将相应的PDCP HFN加1。PDCP SN的值通常是由PDCP设置的。
对用户数据而言,PDCP COUNT-C和PDCP COUNT-I的取值也可以不相同,并且可以使用不同的START值初始化PDCP HFN。
在实际应用中,PDCP层可以对用户数据先进行加密保护再进行完整性保护,也可以对用户数据先进行完整性保护再进行加密保护。
针对RRC信令而言,对RRC信令进行的加密保护是由RRC层控制的。RRC层使用和NAS、PDCP不同的CK、IK进行加密保护和完整性保护;并且,RRC层使用和NAS、PDCP不同的FRESH进行完整性保护。
与NAS、PDCP相同的是:在RRC层进行加密保护和完整性保护所要应用到的输入参数中,BEARER=RB ID-1,DIRECTION的设置根据目前通信的上下行方向确定即可,LENGTH的设置则可以根据NAS信令的实际长度确定。
RRC COUNT-C/I的结构示意图如图5所示,其中RRC HFN占20~28比特,RRC SN占12~4比特。对RRC信令而言,RRC COUNT-C和RRCCOUNT-I通常是相同的,并且每个RB分别对应一对上下行RRCCOUNT-C/I;RRC HFN的初始化由RRC控制,可以使用来自用户终端的START初始化RRC HFN的高20比特。再有,每发送一个RRC信令时都要将对应的RRC SN加1,当RRC SN达到最大值时将相应的RRC HFN加1。
对RRC信令而言,RRC COUNT-C和RRC COUNT-I的取值也可以不相同,并且可以使用不同的START值初始化RRC HFN。RRC层可以对RRC信令先进行加密保护再进行完整性保护,或者先进行完整性保护再进行加密保护。
在图3至图5中,无论HFN和NAS各占用多少比特,HFN和NAS总共占用的比特数通常为36比特。
所述RRC层通常是设置在用户终端和演进基站(eNB)中的,所述PDCP层和NAS层则通常设置于演进无线接入网关(aGW)中。
由以上所述可以看出,本发明所提供的两种通信安全性保护方法和装置,均可明显提高LTE网络中的通信安全性,并有效提高用户满意度。
Claims (22)
1.一种通信安全性保护方法,其特征在于,该方法包括:
长期演进LTE网络中的分组数据会聚协议PDCP层根据符合LTE网络协议格式的通信安全性保护计数值COUNT,对非接入层NAS信令和/或用户数据进行通信安全性保护;
其中,所述通信安全性保护包括:加密保护;
当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该加密保护的方法为:
发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块CIPHERTEXT BLOCK向接收端发送。
2.根据权利要求1所述的方法,其特征在于,所述通信安全性保护进一步包括:完整性保护;
当进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I,该完整性保护的方法为:
发送端对完整性保护密钥IK、完整性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。
3.如权利要求2所述的方法,其特征在于,当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该方法进一步包括:
接收端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的CIPHERTEXT BLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。
4.如权利要求3所述的方法,其特征在于,当进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I,该方法进一步包括:
接收端对IK、COUNT-I、MESSAGE、DIRECTION和FRESH用完整性算法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。
5.如权利要求2至4任一项所述的方法,其特征在于,进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行各只有一个的一对COUNT-C/I。
6.如权利要求5所述的方法,其特征在于,所述COUNT-C/I中包含超帧HFN和序列号SN。
7.如权利要求1至4任一项所述的方法,其特征在于,进行所述加密保护时所应用的BEARER,是业务所对应的无线承载RB,或是缺省RB,或是通过信令协商确定的RB;
所述BEARER的值为:RB标识ID-1。
8.一种通信安全性保护方法,其特征在于,该方法包括:
LTE网络中的无线资源控制RRC层根据符合LTE网络协议格式的通信安全性保护计数值COUNT,对RRC信令进行通信安全性保护;
其中,所述通信安全性保护包括:加密保护;
当进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该加密保护的方法为:
发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的CIPHERTEXTBLOCK向接收端发送。
9.根据权利要求8所述的方法,其特征在于,所述通信安全性保护进一步包括:完整性保护;
当进行所述完整性保护时的COUNT是COUNT-I,该完整性保护的方法为:
发送端对完整性保护密钥IK、完整性保护计数值COUNT-I、要发送给接收端的MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。
10.如权利要求9所述的方法,其特征在于,当进行所述加密保护时的COUNT是COUNT-C,该方法进一步包括:
接收端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的CIPHERTEXT BLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。
11.如权利要求10所述的方法,其特征在于,当进行所述完整性保护时的COUNT是COUNT-I,该方法进一步包括:
接收端对IK、COUNT-I、MESSAGE、DIRECTION和FRESH用完整性算法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。
12.如权利要求9至11任一项所述的方法,其特征在于,进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行各只有一个的一对COUNT-C/I。
13.如权利要求12所述的方法,其特征在于,所述COUNT-C/I中包含HFN和SN。
14.如权利要求8至11任一项所述的方法,其特征在于,进行所述加密保护时所应用的BEARER,是业务所对应的RB,或是缺省RB,或是通过信令协商确定的RB;
所述BEARER的值为:RB ID-1。
15.一种通信安全性保护装置,其特征在于,该装置包括相连的加密算法模块和数据算法模块;
其中,加密算法模块,用于根据符合LTE网络协议格式的通信安全性计数值COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块,将计算所得的密钥流数据块发送给数据算法模块;
数据算法模块,用于对收到的密钥流数据块和要发送给接收端的原始文本块进行数据算法计算,生成密码块;或者,对收到的密钥流数据块和从发送端接收的密码块进行数据算法计算,生成发送端所发送的原始文本块。
16.如权利要求15所述的装置,其特征在于,所述数据算法模块是异或模块。
17.如权利要求15至16任一项所述的装置,其特征在于,所述加密算法模块和数据算法模块设置于PDCP层,所述原始文本块中包含NAS信令或用户数据。
18.如权利要求15至16任一项所述的装置,其特征在于,所述加密算法模块和数据算法模块设置于RRC层,所述原始文本块中包含RRC信令。
19.根据权利要求15所述的装置,其特征在于,该装置进一步包括完整性算法模块,用于对完整性保护密钥IK、符合LTE网络协议格式的通信安全性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I。
20.根据权利要求19所述的装置,其特征在于,所述完整性算法模块,进一步用于对完整性保护密钥IK、符合LTE网络协议格式的通信安全性保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION和随机数FRESH用完整性算法计算,生成XMAC-I;并将XMAC-I与来自发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,确定来自发送端的信息具有完整性;否则,确定来自发送端的信息不具有完整性。
21.如权利要求20所述的装置,其特征在于,所述完整性算法模块设置于PDCP层,所述MESSAGE中包含NAS信令或用户数据。
22.如权利要求20所述的装置,其特征在于,所述完整性算法模块设置于RRC层,所述MESSAGE中包含RRC信令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101358033A CN101155026B (zh) | 2006-09-29 | 2006-09-29 | 通信安全性保护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101358033A CN101155026B (zh) | 2006-09-29 | 2006-09-29 | 通信安全性保护方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101155026A CN101155026A (zh) | 2008-04-02 |
| CN101155026B true CN101155026B (zh) | 2010-12-08 |
Family
ID=39256489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101358033A Active CN101155026B (zh) | 2006-09-29 | 2006-09-29 | 通信安全性保护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101155026B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304311A (zh) * | 2008-06-12 | 2008-11-12 | 中兴通讯股份有限公司 | 密钥生成方法和系统 |
| CN101336000B (zh) * | 2008-08-06 | 2011-11-30 | 中兴通讯股份有限公司 | 协议配置选项传输方法及系统、用户终端 |
| CN102404721B (zh) * | 2010-09-10 | 2014-09-03 | 华为技术有限公司 | Un接口的安全保护方法、装置和基站 |
| CN102857356A (zh) * | 2011-06-27 | 2013-01-02 | 华为技术有限公司 | 发送数据包、超帧号更新和维护、数据处理的方法及装置 |
| CN105577364B (zh) | 2011-10-27 | 2019-11-05 | 华为技术有限公司 | 一种加密方法、解密方法和相关装置 |
| CN104604271B (zh) * | 2013-09-02 | 2018-11-30 | 华为技术有限公司 | 一种通信方法、网络侧设备、用户设备 |
| CN105577460A (zh) * | 2014-10-08 | 2016-05-11 | 中兴通讯股份有限公司 | 检测方法、发送端、接收端及检测系统 |
| US10028307B2 (en) * | 2016-01-13 | 2018-07-17 | Qualcomm Incorporated | Configurable access stratum security |
| CN107529159B (zh) * | 2016-06-22 | 2020-10-02 | 南京中兴软件有限责任公司 | 宽带集群下行共享信道的接入层加密、解密、完整性保护方法和装置、安全实现方法 |
| CN109565706B (zh) * | 2016-09-29 | 2021-06-22 | 华为技术有限公司 | 一种数据加密的方法及装置 |
| EP3499949B1 (en) * | 2016-09-30 | 2020-12-23 | Huawei Technologies Co., Ltd. | Method, device and system for processing control signalling |
| CN108990096B (zh) * | 2018-09-03 | 2021-07-06 | 四川酷比通信设备有限公司 | 移动终端的nas消息处理方法、系统及移动终端 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1293503A (zh) * | 1999-10-19 | 2001-05-02 | 朗迅科技公司 | 密码同步信息的自动再同步 |
| EP1180315B1 (en) * | 1999-05-11 | 2003-01-22 | Nokia Corporation | Integrity protection method for radio network signaling |
-
2006
- 2006-09-29 CN CN2006101358033A patent/CN101155026B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1180315B1 (en) * | 1999-05-11 | 2003-01-22 | Nokia Corporation | Integrity protection method for radio network signaling |
| CN1293503A (zh) * | 1999-10-19 | 2001-05-02 | 朗迅科技公司 | 密码同步信息的自动再同步 |
Non-Patent Citations (2)
| Title |
|---|
| 李文宇.移动通信系统的长期演进-无线网络结构和协议.电信科学 6.2006,(6),29-33. |
| 李文宇.移动通信系统的长期演进-无线网络结构和协议.电信科学 6.2006,(6),29-33. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101155026A (zh) | 2008-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101155026B (zh) | 通信安全性保护方法和装置 | |
| EP3121990B1 (en) | Secure mobile ad-hoc network and related methods | |
| CN101455025B (zh) | 用于安全分组传输的加密方法 | |
| CA2303048C (en) | Security method for transmissions in telecommunication networks | |
| US6931132B2 (en) | Secure wireless local or metropolitan area network and related methods | |
| KR101492179B1 (ko) | 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템 | |
| KR102123210B1 (ko) | Ue 및 네트워크 양자에서의 키 도출을 위한 mtc 키 관리 | |
| CN101600204B (zh) | 一种文件传输方法及系统 | |
| CN102300210A (zh) | Lte非接入层密文解密方法及其信令监测装置 | |
| CN102111273B (zh) | 一种基于预共享的电力负荷管理系统数据安全传输方法 | |
| CN102056157A (zh) | 一种确定密钥和密文的方法、系统及装置 | |
| WO2013023485A1 (zh) | 终端的通信方法和设备 | |
| CN101860863A (zh) | 一种增强的加密及完整性保护方法 | |
| CN102761553A (zh) | IPSec SA协商方法及装置 | |
| CN101917712A (zh) | 一种移动通讯网中数据加解密方法和系统 | |
| CN101166177B (zh) | 一种非接入层初始信令传送的方法及系统 | |
| JP2005341348A (ja) | 無線通信システム及び秘匿制御方法 | |
| KR101150577B1 (ko) | 크립토싱크 생성 방법 | |
| CN103686616A (zh) | 一种集群组呼安全加密同步的方法 | |
| Solanki et al. | LTE security: encryption algorithm enhancements | |
| WO2023158459A3 (en) | System and method for implementing quantum-secure wireless networks | |
| CN114503628A (zh) | 管理通信系统中的安全密钥 | |
| Chatzigiannakis et al. | Providing end-to-end secure communication in low-power wide area networks (LPWANs) | |
| Patheja et al. | A hybrid encryption technique to secure Bluetooth communication | |
| CN101588538A (zh) | 无线局域网鉴别与保密基础结构组播密钥协商方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: TENGXUN SCI-TECH (SHENZHEN) CO., LTD. Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD. Effective date: 20150518 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 518129 SHENZHEN, GUANGDONG PROVINCE TO: 518057 SHENZHEN, GUANGDONG PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150518 Address after: 518057 Tencent Building, Nanshan District hi tech park, Shenzhen, Guangdong Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160115 Address after: The South Road in Guangdong province Shenzhen city Fiyta building 518057 floor 5-10 Nanshan District high tech Zone Patentee after: Shenzhen Tencent Computer System Co., Ltd. Address before: 518057 Tencent Building, Nanshan District hi tech park, Shenzhen, Guangdong Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |