CN101174943A - 一种数据安全的同步方法及系统 - Google Patents
一种数据安全的同步方法及系统 Download PDFInfo
- Publication number
- CN101174943A CN101174943A CNA2006101430197A CN200610143019A CN101174943A CN 101174943 A CN101174943 A CN 101174943A CN A2006101430197 A CNA2006101430197 A CN A2006101430197A CN 200610143019 A CN200610143019 A CN 200610143019A CN 101174943 A CN101174943 A CN 101174943A
- Authority
- CN
- China
- Prior art keywords
- data message
- indication information
- safe indication
- deal
- integrity protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种数据安全的同步方法,该方法包括:发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。本发明同时公开一种通信设备。采用本发明可以实现LTE系统中终端侧和网络侧在处理数据报文时采用的安全机制的同步。
Description
技术领域
本发明涉及通信及计算机技术领域,尤其涉及一种数据安全的同步方法及系统。
背景技术
LTE(Long Term Evolution,长期演进)通信系统又称为E-UTRAN(EvolvedUniversal Terrestrial Radio Access Network,演进后的通用陆地无线接入网),与UTRAN(Universal Terrestrial Radio Access Network,通用陆地无线接入网)系统不同,为了简化网络并降低时延,E-UTRAN系统去掉了RNC(Radio NetworkController,无线网络控制器),将RNC的功能被分散到了eNB(E-UTRANNodeB,演进后的基站)和aGW(E-UTRAN Access Gateway,E-UTRAN接入网关)中。
LTE中的协议栈结构与UTRAN一样分为用户面和控制面,但简化了很多。比如PDCP(Packet Data Convergence Protocol,分组数据汇聚层)功能在网络侧被移到了aGW中,控制面RRC(Radio Resource Control,无线资源控制)功能被移到了eNB中并终结在eNB中。
参阅图1A所示,用户面协议栈中,RLC(Radio Link Control,无线链路控制)和MAC(Media Access Control,媒体接入控制)终结在网络侧的eNB中,执行链路层功能,包括调度、ARQ(Automatic Repeat reQuest,自动重复请求)、HARQ(Hybrid Automatic Repeat reQuest,混合自动重复请求)等。PDCP层终结在网络侧的UPE(User Pane Equipment,用户面实体),执行用户面的功能,包括头压缩、完整性保护和加密等。
参阅图1B所示,控制面协议栈中,RLC和MAC终结在网络侧的eNB中,执行和用户面RLC、MAC一样的功能。RRC终结在网络侧的eNB,执行广播、寻呼、RRC连接管理、无限承载控制、移动性功能、测量和测量报告等。PDCP层终结在网络侧的MME(Move Management Equipment,移动管理实体),执行包括加密和完整性保护等。NAS(Non-Access Stratum,非接入层)终结在网络侧的MME,控制包括SAE(System Architecture Equipment,系统架构实体)承载管理,鉴权,空闲模式移动性的处理,空闲模式寻呼触发,信令的安全控制等。
在LTE通信系统中,为了保护数据的安全,aGW在PDCP层对NAS信令和用户数据进行加密和完整性保护,并通过NAS信令协商安全相关参数和上下文等。PDCP层如何开始启动加密和完整性保护,目前业界还没有具体的方案。
发明内容
本发明提供一种数据安全的同步方法及系统,以实现LTE系统中终端侧和网络侧在处理数据报文时采用的安全机制的同步。
本发明提供以下技术方案:
一种数据安全的同步方法,该方法包括步骤:
发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
根据上述方法:
所述发送端发送数据报文时,在分组数据汇聚层PDCP将所述安全指示信息封装在经扩展的分组数据单元头PDU header中。
所述发送端发送的数据报文中还包含发送端在根据安全机制处理数据报文时所使用的序列号SN;接收端在执行相应的安全机制时利用该序列号SN处理数据报文。
发送端在发送所述数据报文前,先通过非接入层NAS信令与接收端协商所述安全机制相应的上下行安全参数。
若发送端与接收端之间需要利用安全机制处理上行和下行数据报文,则通过非接入层NAS信令在同一协商过程中完成上行和下行安全参数的协商。
发送端为网络设备,接收端为终端设备;或者,发送端为终端设备,接收端为网络设备。
所述发送端发送的数据报文中的安全指示信息表明发送端从本数据报文或下一数据报文开始采用所述安全机制处理数据报文。
所述发送端处理数据报文的安全机制为启动加密、停止加密、启动完整性保护、停止完整性保护、修改安全参数、停止加密并且启动完整性保护以及停止完整性保护并启动加密中任意一种。
所述发送端发送的数据报文中的安全指示信息表明接收端从本数据报文或下一数据报文开始采用所述安全机制处理数据报文。
所述接收端处理数据报文的安全机制为启动解密、停止解密、启动完整性保护、停止完整性保护、修改安全参数、停止解密并且启动完整性保护以及停止完整性保护并启动解密中任意一种。
一种通信设备,包括:
发送单元,用于向其他设备发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
接收单元,用于从其他设备接收包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
处理单元,用于根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
其中,所述发送单元在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
一种通信系统,包括:
终端设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制;
网络设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制。
其中,在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
本发明有益效果如下:
1、本发明中,终端侧或网络侧发送包含指示处理数据报文的安全机制的安全指示信息的数据报文;网络侧或终端侧根据接收到的数据报文中的安全指示信息按相应的安全机制处理数据报文,简单方便的实现了终端侧和网络侧在处理数据报文时采用的安全机制的同步。
2、本发明中,所述数据报文中还包含处理数据报文所使用的序列号SN,网络侧或终端侧在接收到所述数据报文后,根据所述数据报文中的安全指示信息按相应的安全机制处理数据报文时,使用该序列号SN,从而减少了错误的发生。
附图说明
图1A为背景技术中用户面协议栈的结构示意图;
图1B为背景技术中控制面协议栈的结构示意图;
图1C为本发明实施例中通信系统的结构示意图;
图1D为本发明实施例中终端设备的结构示意图;
图2A为本发明实施例中网络侧PDCP层启动下行加密和/或完整性保护的同步处理流程图;
图2B为本发明实施例中终端侧PDCP层启动上行加密和/或完整性保护的同步处理流程图;
图3A为本发明实施例中网络侧PDCP层停止下行加密和/或完整性保护的同步处理流程图;
图3B为本发明实施例中终端侧PDCP层停止上行加密和/或完整性保护的同步处理流程图;
图4A为本发明实施例中网络侧PDCP层启动下行完整性保护的同步处理流程图;
图4B为本发明实施例中终端侧PDCP层启动上行完整性保护的同步处理流程图;
图5A为本发明实施例中网络侧PDCP层启动下行加密的同步处理流程图;
图5B为本发明实施例中终端侧PDCP层启动上行加密的同步处理流程图;
图6A为本发明实施例中网络侧PDCP层停止下行加密并启动下行完整性保护的同步处理流程图;
图6B为本发明实施例中终端侧PDCP层停止上行加密并启动上行完整性保护的同步处理流程图;
图7A为本发明实施例中网络侧PDCP层停止下行完整性保护并启动下行加密的同步处理流程图;
图7B为本发明实施例中终端侧PDCP层停止上行完整性保护并启动上行加密的同步处理流程图;
图8A为本发明实施例中网络侧PDCP层停止下行加密或完整性保护的同步处理流程图;
图8B为本发明实施例中终端侧PDCP层停止上行加密或完整性保护的同步处理流程图;
图9A为本发明实施例中网络侧PDCP层修改下行加密和/或完整性保护参数的同步处理流程图;
图9B为本发明实施例中终端侧PDCP层修改上行加密和/或完整性保护参数的同步处理流程图。
具体实施方式
以下结合附图对本发明优选的实施方式进行详细说明。
参阅图1C所示的通信系统,包括终端设备100和网络设备101。所述终端设备100位于终端侧,用于向网络侧发送包含安全指示信息的数据报文;以及接收网络侧发送的包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。所述网络设备101位于网络侧,用于向终端侧发送包含安全指示信息的数据报文;以及接收终端侧发送的包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
所述安全指示信息表明处理数据报文的安全机制,较佳的,所述安全指示信息表明终端侧或网络侧从本数据报文开始,处理数据报文的安全机制;这里,所述安全指示信息也可以表明终端侧或网络侧从指定的后续数据报文(如下一数据报文)开始,处理数据报文的安全机制。
终端侧或网络侧发送数据报文时,处理数据报文的安全机制为启动加密、停止加密、启动完整性保护、停止完整性保护、修改安全参数、停止加密并且启动完整性保护以及停止完整性保护并启动加密中任意一种;相应的,终端侧或网络侧接收数据报文时,处理数据报文的安全机制为启动解密、停止解密、启动完整性保护、停止完整性保护、修改安全参数、停止解密并且启动完整性保护以及停止完整性保护并启动解密中任意一种。
较佳的,终端侧或网络侧在发送所述数据报文时,在PDCP层将所述安全指示信息封装在分组数据单元头PDU header中,所作封装操作可通过扩展所述分组数据单元头PDU header实现。
所述终端设备100和网络设备101在NAS信令完成安全参数的协商之后,网络设备101向终端设备100发送包含安全指示信息的数据报文,该安全指示信息中携带有指示启动、修改或停止数据加密和/或完整性保护的数据;终端设备100根据接收到的数据报文启动、修改或停止下行数据解密和/或完整性保护。
同样的,在所述终端设备100和网络设备101在NAS信令完成安全参数的协商之后,终端设备100向网络设备101发送包含安全指示信息的数据报文,该头信息中携带有指示发送端已经启动、修改或停止数据加密和/或完整性保护的数据或接收端启动、修改或停止数据加密和/或完整性保护的数据;网络设备101根据接收到的数据报文启动、修改或停止上行数据解密和/或完整性保护。
发送的数据报文中还可以包含处理数据报文所使用的SN(SequenceNumber,序列号)。发送端将该SN和HFN(HyperFrame Number,超帧号)组合生成安全参数中的计数值count,作为加密或/和完整性保护算法的输入参数;相应的,接收端将数据报文中的所述SN与HSN组合生成本端安全参数中的计数值count作为对应的算法的输入参数。这样,可以进一步提高安全性。
通过所述安全指示信息可以实现启动或停止数据加密和/或完整性保护的同步处理,具体的,通过所述安全指示信息可以实现普通数据、加密数据、完整性保护数据及加密完整性保护数据相互之间的转换,也可以实现修改数据加密和/或完整性保护参数的同步处理。
本实施例中的一种通信设备如图1D所示,包括:发送单元1000、接收单元1001、处理单元1002;其中,所述发送单元1000向其他设备发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述接收单元1001从其他设备接收包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述处理单元1002根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。该通信设备可作为终端设备,也可作为网络设备。
下面分别对通过所述安全指示信息实现启动或停止数据加密和/或完整性保护,以及实现修改数据加密和/或完整性保护参数的同步处理过程进行详细说明。
图2A和图2B为通过所述安全指示信息实现普通数据到加密数据、完整性保护数据或加密完整性保护数据的转换流程图。参阅图2A所示,网络侧PDCP层启动下行加密和/或完整性保护的同步处理流程如下:
步骤200、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤201、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示启动加密和/或完整性保护的数据。
步骤202、终端侧根据接收到的数据报文中的安全指示信息启动下行解密和/或完整性保护。
参阅图2B所示,终端侧PDCP层启动上行加密和/或完整性保护的同步处理流程如下:
步骤210、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤211、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示启动加密和/或完整性保护的数据。
步骤212、网络侧根据接收到的数据报文中的安全指示信息启动上行解密和/或完整性保护。
在步骤200和步骤210中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
在步骤201和步骤211中,若只需要启动加密,则所述安全指示信息中携带有加密启动同步指示;若只需要启动完整性保护,则所述安全指示信息中携带有完整性保护启动同步指示;若需要同时启动加密和完整性保护,则所述安全指示信息中携带有加密和完整性保护启动同步指示。
图3A和图3B为通过所述安全指示信息实现加密数据、完整性保护数据或加密完整性保护数据到普通数据的转换流程图。参阅图3A所示,网络侧PDCP层停止下行加密和/或完整性保护的同步处理流程如下:
步骤300、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤301、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密和/或完整性保护的数据。
步骤302、终端侧根据接收到的数据报文中的安全指示信息停止下行解密和/或完整性保护。
参阅图3B所示,终端侧PDCP层停止上行加密和/或完整性保护的同步处理流程如下:
步骤310、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤311、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密和/或完整性保护的数据。
步骤312、网络侧根据接收到的数据报文中的安全指示信息停止上行解密和/或完整性保护。
在步骤300和步骤310中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
在步骤301和步骤311中,若只需要停止加密,则所述安全指示信息中携带有加密停止同步指示;若只需要停止完整性保护,则所述安全指示信息中携带有完整性保护停止同步指示;若需要同时停止加密和完整性保护,则所述安全指示信息中携带有加密和完整性保护停止同步指示。
图4A和图4B为通过所述安全指示信息实现加密数据到加密完整性保护数据的转换流程图。参阅图4A所示,网络侧PDCP层启动下行完整性保护的同步处理流程如下:
步骤400、终端侧和网络侧已经启动加密。
步骤401、终端侧和网络侧之间通过NAS信令协商完整性参数。
步骤402、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示启动完整性保护的数据。
步骤403、终端侧根据接收到的数据报文中的安全指示信息启动下行完整性保护。
参阅图4B所示,终端侧PDCP层启动上行完整性保护的同步处理流程如下:
步骤410、终端侧和网络侧已经启动加密。
步骤411、终端侧和网络侧之间通过NAS信令协商完整性参数。
步骤412、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示启动完整性保护的数据。
步骤413、网络侧根据接收到的数据报文中的安全指示信息启动上行完整性保护。
在步骤401和步骤411中,上下行通过NAS信令协商完整性参数的过程可以是同一个过程。
图5A和图5B为通过所述安全指示信息实现完整性保护数据到加密完整性保护数据的转换流程图。参阅图5A所示,网络侧PDCP层启动下行加密的同步处理流程如下:
步骤500、终端侧和网络侧已经启动完整性保护。
步骤501、终端侧和网络侧之间通过NAS信令协商加密参数。
步骤502、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示启动加密的数据。
步骤503、终端侧根据接收到的数据报文中的安全指示信息启动下行解密。
参阅图5B所示,终端侧PDCP层启动上行加密的同步处理流程如下:
步骤510、终端侧和网络侧已经启动完整性保护。
步骤511、终端侧和网络侧之间通过NAS信令协商加密参数。
步骤512、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数报文,所述安全指示信息中携带有指示启动加密的数据。
步骤513、网络侧根据接收到的数据报文中的安全指示信息启动上行解密。
在步骤501和步骤511中,上下行通过NAS信令协商加密参数的过程可以是同一个过程。
图6A和图6B为通过所述安全指示信息实现加密数据到完整性保护数据的转换流程图。参阅图6A所示,网络侧PDCP层停止下行加密并启动下行完整性保护的同步处理流程如下:
步骤600、终端侧和网络侧已经启动加密。
步骤601、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤602、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密并启动完整性保护的数据。
步骤603、终端侧根据接收到的数据报文中的安全指示信息停止下行解密并启动下行完整性保护。
参阅图6B所示,终端侧PDCP层停止上行加密并启动上行完整性保护的同步处理流程如下:
步骤610、终端侧和网络侧已经启动加密。
步骤611、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤612、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密并启动完整性保护的数据。
步骤613、网络侧根据接收到的数据报文中的安全指示信息停止上行解密并启动上行完整性保护。
在步骤601和步骤611中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
图7A和图7B为通过所述安全指示信息实现完整性保护数据到加密数据的转换流程图。参阅图7A所示,网络侧PDCP层停止下行完整性保护并启动下行加密的同步处理流程如下:
步骤700、终端侧和网络侧已经启动完整性保护。
步骤701、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤702、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止完整性保护并启动加密的数据。
步骤703、终端侧根据接收到的数据报文中的安全指示信息停止下行完整性保护并启动下行解密。
参阅图7B所示,终端侧PDCP层停止上行完整性保护并启动上行加密的同步处理流程如下:
步骤710、终端侧和网络侧已经启动完整性保护。
步骤711、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤712、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止完整性保护并启动加密的数据。
步骤713、网络侧根据接收到的数据报文中的安全指示信息停止上行完整性保护并启动上行解密。
在步骤701和步骤711中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
图8A和图8B为通过所述安全指示信息实现加密完整性保护数据到加密数据或完整性保护数据的转换流程图。参阅图8A所示,网络侧PDCP层停止下行加密或完整性保护的同步处理流程如下:
步骤800、终端侧和网络侧已经启动加密和完整性保护。
步骤801、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤802、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密或完整性保护的数据。
步骤803、终端侧根据接收到的数据报文中的安全指示信息停止下行解密或完整性保护。
参阅图8B所示,终端侧PDCP层停止上行加密或完整性保护的同步处理流程如下:
步骤810、终端侧和网络侧已经启动加密和完整性保护。
步骤811、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤812、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示停止加密或完整性保护的数据。
步骤813、网络侧根据接收到的数据报文中的安全指示信息停止上行解密或完整性保护。
在步骤801和步骤811中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
图9A和图9B为通过所述安全指示信息实现数据加密和/或完整性保护参数的修改操作的同步处理流程图。参阅图9A所示,网络侧PDCP层修改下行加密和/或完整性保护参数的同步处理流程如下:
步骤900、终端侧和网络侧已经启动加密和/或完整性保护。
步骤901、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤902、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示修改加密和/或完整性保护的数据。
步骤903、终端侧根据接收到的数据报文中的安全指示信息停用旧的下行解密和/或完整性保护参数,并启用新的下行解密和/或完整性保护参数。
参阅图9B所示,终端侧PDCP层修改上行加密和/或完整性保护参数的同步处理流程如下:
步骤910、终端侧和网络侧已经启动加密和/或完整性保护。
步骤911、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤912、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数据报文,所述安全指示信息中携带有指示修改加密和/或完整性保护的数据。
步骤913、网络侧根据接收到的数据报文中的安全指示信息停用旧的上行解密和/或完整性保护参数,并启用新的上行解密和/或完整性保护参数。
在步骤901和步骤911中,上下行通过NAS信令协商安全参数的过程可以是同一个过程。
在上述实例中,终端侧或网络侧在接收包含安全指示信息的数据报文时,若按确认模式进行处理,即向发送端返回接收响应,该接收响应中指示接收成功或失败,若为失败,则发送端重发所述数据报文;或按非确认模式进行处理,即不向发送端返回接收响应,在此情况下,一种较佳的处理方式是发送端在发送的每一个数据报文中均携带安全指示信息。
从上述实施例可知,本发明中,终端侧或网络侧发送包含指示处理数据报文的安全机制的安全指示信息的数据报文;网络侧或终端侧根据接收到的数据报文中的安全指示信息按相应的安全机制处理数据报文,简单方便的实现了终端侧和网络侧在处理数据报文时采用的安全机制的同步;进一步的,所述数据报文中还包含处理数据报文所使用的序列号SN,网络侧或终端侧在接收到所述数据报文后,根据所述数据报文中的安全指示信息按相应的安全机制处理数据报文时,使用该序列号SN,从而减少了错误的发生。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种数据安全的同步方法,其特征在于,该方法包括步骤:
发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
2.如权利要求1所述的方法,其特征在于,所述发送端发送数据报文时,在分组数据汇聚层PDCP将所述安全指示信息封装在经扩展的分组数据单元头PDU header中。
3.如权利要求1所述的方法,其特征在于,所述发送端发送的数据报文中还包含发送端在根据安全机制处理数据报文时所使用的序列号SN;接收端在执行相应的安全机制时利用该序列号SN处理数据报文。
4.如权利要求1所述的方法,其特征在于,发送端在发送所述数据报文前,先通过非接入层NAS信令与接收端协商所述安全机制相应的上下行安全参数。
5.如权利要求4所述的方法,其特征在于,若发送端与接收端之间需要利用安全机制处理上行和下行数据报文,则通过非接入层NAS信令在同一协商过程中完成上行和下行安全参数的协商。
6.如权利要求1所述的方法,其特征在于,发送端为网络设备,接收端为终端设备;或者,发送端为终端设备,接收端为网络设备。
7.如权利要求1至6任一项所述的方法,其特征在于,所述发送端发送的数据报文中的安全指示信息表明发送端从本数据报文或下一数据报文开始采用所述安全机制处理数据报文。
8.如权利要求7所述的方法,其特征在于,所述发送端处理数据报文的安全机制为启动加密、停止加密、启动完整性保护、停止完整性保护、修改安全参数、停止加密并且启动完整性保护以及停止完整性保护并启动加密中任意一种。
9.如权利要求1至6任一项所述的方法,其特征在于,所述发送端发送的数据报文中的安全指示信息表明接收端从本数据报文或下一数据报文开始采用所述安全机制处理数据报文。
10.如权利要求9所述的方法,其特征在于,所述接收端处理数据报文的安全机制为启动解密、停止解密、启动完整性保护、停止完整性保护、修改安全参数、停止解密并且启动完整性保护以及停止完整性保护并启动解密中任意一种。
11.一种通信设备,其特征在于,包括:
发送单元,用于向其他设备发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
接收单元,用于从其他设备接收包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;
处理单元,用于根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
12.如权利要求11所述的设备,其特征在于,所述发送单元在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
13.一种通信系统,其特征在于,包括:
终端设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制;
网络设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制。
14.如权利要求13所述的系统,其特征在于,在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101430197A CN101174943A (zh) | 2006-11-01 | 2006-11-01 | 一种数据安全的同步方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2006101430197A CN101174943A (zh) | 2006-11-01 | 2006-11-01 | 一种数据安全的同步方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101174943A true CN101174943A (zh) | 2008-05-07 |
Family
ID=39423224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006101430197A Pending CN101174943A (zh) | 2006-11-01 | 2006-11-01 | 一种数据安全的同步方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101174943A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和系统 |
WO2012072053A1 (zh) * | 2010-12-03 | 2012-06-07 | 华为技术有限公司 | 非确认模式下的上行加密参数同步方法和设备 |
CN107077565A (zh) * | 2015-11-25 | 2017-08-18 | 华为技术有限公司 | 一种安全指示信息的配置方法及设备 |
CN111052781A (zh) * | 2017-09-08 | 2020-04-21 | 华为技术有限公司 | 用于协商安全性算法和完整性算法的方法和设备 |
US11418962B2 (en) | 2017-10-30 | 2022-08-16 | Huawei Technologies Co., Ltd. | Method and Device for Obtaining UE Security Capabilities |
-
2006
- 2006-11-01 CN CNA2006101430197A patent/CN101174943A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101505479A (zh) * | 2009-03-16 | 2009-08-12 | 中兴通讯股份有限公司 | 一种认证过程中安全上下文协商方法和系统 |
WO2012072053A1 (zh) * | 2010-12-03 | 2012-06-07 | 华为技术有限公司 | 非确认模式下的上行加密参数同步方法和设备 |
US9900768B2 (en) | 2010-12-03 | 2018-02-20 | Huawei Technologies Co., Ltd. | Method and device for synchronizing uplink ciphering parameter in unacknowledged mode |
CN107077565A (zh) * | 2015-11-25 | 2017-08-18 | 华为技术有限公司 | 一种安全指示信息的配置方法及设备 |
CN107077565B (zh) * | 2015-11-25 | 2019-11-26 | 华为技术有限公司 | 一种安全指示信息的配置方法及设备 |
US11100227B2 (en) | 2015-11-25 | 2021-08-24 | Huawei Technologies Co., Ltd. | Security indication information configuration method and device |
CN111052781A (zh) * | 2017-09-08 | 2020-04-21 | 华为技术有限公司 | 用于协商安全性算法和完整性算法的方法和设备 |
CN111052781B (zh) * | 2017-09-08 | 2021-10-15 | 华为技术有限公司 | 用于协商安全性算法和完整性算法的方法和设备 |
US11297502B2 (en) | 2017-09-08 | 2022-04-05 | Futurewei Technologies, Inc. | Method and device for negotiating security and integrity algorithms |
US11895498B2 (en) | 2017-09-08 | 2024-02-06 | Futurewei Technologies, Inc. | Method and device for negotiating security and integrity algorithms |
US11418962B2 (en) | 2017-10-30 | 2022-08-16 | Huawei Technologies Co., Ltd. | Method and Device for Obtaining UE Security Capabilities |
US12047781B2 (en) | 2017-10-30 | 2024-07-23 | Huawei Technologies Co., Ltd. | Method and device for obtaining UE security capabilities |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101366226B (zh) | 用于在无线通信系统中实施数据安全以及自动重复请求的方法和设备 | |
AU2003207130B2 (en) | Method for relocating SRNS | |
KR102588139B1 (ko) | 이용되는 보안 키들에 영향을 주는 연결 재구성의 일부로서 베어러 특정 변경들을 구현하기 위한 방법 및 장치 | |
US8379855B2 (en) | Ciphering in a packet-switched telecommunications system | |
JP5365822B2 (ja) | 通信システム | |
CN101174943A (zh) | 一种数据安全的同步方法及系统 | |
US20030076859A1 (en) | Modification of ciphering activation time by RLC reset procedure during ciphering configuration change procedure in a wireless communications protocol | |
US10880737B2 (en) | Method and apparatus for refreshing the security keys of a subset of configured radio bearers | |
EP2648436B1 (en) | Method and device for synchronizing uplink encryption parameters in unacknowledged mode | |
CN102547689B (zh) | 一种加解密参数的同步方法及装置 | |
KR20070080059A (ko) | 이동통신 시스템에서 무선 링크 제어 계층의 데이터 전송방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080507 |