具体实施方式
本发明实施例网络侧设备为不同类型的数据选择用于加密数据的算法,数据传输设备根据网络侧设备选择的算法对数据进行加密,并发送。由于能够对Un口上传输的不同类型的数据分别进行加密,从而提高了在Un口上传输S1AP消息和X2AP消息的安全性。
其中,本发明实施例的算法包括空算法和安全算法。如果通知某个类型采用空算法,则表示该类型的数据不需要加密。
本发明实施例的安全算法包括但不限于下列算法中的至少一种:
加密算法、完整性保护算法。
其中,本发明实施例的数据类型包括但不限于下列数据中的至少一种:
RRC消息、用户数据、应用层数据以及OAM(Operations and Maintenance,运行和维护)数据。
下面结合说明书附图对本发明实施例作进一步详细描述。
如图2所示,本发明实施例数据传输的系统包括:网络侧设备10和数据传输设备20。
网络侧设备10,用于为不同类型的数据选择用于加密数据的算法,将算法通知数据传输设备20;
数据传输设备20,用于接收网络侧设备10通知的用于加密数据的算法,根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
较佳地,为了节省传输资源,网络侧设备10可以只通知算法对应的标识,数据传输设备20根据标识和算法的对应关系确定网络侧设备10通知的标识对应的具体的算法。
较佳地,网络侧设备10可以通过RRC消息将算法通知数据传输设备20。
在实施中,网络侧设备10将算法通知数据传输设备20的方式有很多种,下面列举几种:
方式一、网络侧设备10只通知具体的算法。
具体的,网络侧设备10根据类型和算法的对应关系,确定需要加密的类型对应的算法,然后将算法通知数据传输设备20;相应的,数据传输设备20根据类型和算法的对应关系,确定网络侧设备10通知的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及用收到的算法对收到的对应类型的数据进行解密。
在实施中,网络侧设备10和数据传输设备20采用的类型和算法的对应关系可以预先在协议中规定;也可以由高层通知网络侧设备10和数据传输设备20;还可以由网络侧设备10通知数据传输设备20。不管采用上述哪种方式,只要保证网络侧设备10和数据传输设备20采用相同的类型和算法的对应关系即可。
方式二、网络侧设备10通知具体的算法和对应的类型。
具体的,网络侧设备10可以先选择具体的算法,然后将选择的算法与对应的类型通知数据传输设备20;网络侧设备10还可以先选择具体的类型,然后将选择的类型与对应的算法通知数据传输设备20;
相应的,数据传输设备20根据收到的算法对需要发送的对应类型的数据进行加密,以及根据收到的算法对收到的对应类型的数据进行解密。
较佳地,网络侧设备10还可以将用于承载加密数据的DRB的信息通知数据传输设备20;
相应的,数据传输设备20根据网络侧设备10通知的DRB的信息确定用于承载加密数据的DRB,并通过确定的用于承载加密数据的DRB发送进行加密的数据。
较佳地,网络侧设备10根据所述算法对需要发送的对应类型的数据进行加密,以及根据所述算法对收到的对应类型的数据进行解密。
在实施中,网络侧设备10和数据传输设备20根据数据类型对应的算法确定密钥,网络侧设备10根据密钥和算法,向数据传输设备20发送对应类型的数据,并根据密钥和算法对接收的来自数据传输设备20的对应类型的数据进行解密;数据传输设备20根据密钥和算法,向网络侧设备10发送对应类型的数据,并根据密钥和算法对接收的来自网络侧设备10的对应类型的数据进行解密。
比如应用层数据对应加密算法,则网络侧设备10和数据传输设备20在收到应用层数据后,利用加密算法进行解密;在需要发送应用层数据后,利用加密算法进行加密后发送。
较佳地,本发明实施例的数据传输设备20可以是RN设备,还可以是用户设备。
如图3所示,本发明实施例数据传输的系统中的网络侧设备包括:处理模块300和通知模块310。
处理模块300,用于为不同类型的数据选择用于加密数据的算法;
通知模块310,用于将算法通知数据传输设备。
较佳地,通知模块310将选择的算法与对应的类型通知数据传输设备。
较佳地,通知模块310将选择的类型与对应的算法通知数据传输设备。
较佳地,通知模块310将用于承载加密数据的DRB的信息通知数据传输设备。
较佳地,本发明实施例数据传输的系统中的网络侧设备还可以进一步包括:第一传输模块320。
第一传输模块320,用于根据算法对需要发送的对应类型的数据进行加密,以及根据算法对收到的对应类型的数据进行解密。
如图4所示,本发明实施例数据传输的系统中的数据传输设备包括:接收模块400和第二传输模块410。
接收模块400,用于接收网络侧设备通知的用于加密数据的算法;
第二传输模块410,用于根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
较佳地,接收模块400接收网络侧设备选择的算法与对应的类型,或接收网络侧设备选择的类型与对应的算法;
相应的,第二传输模块410根据收到的算法,对需要发送的对应类型的数据进行加密,以及根据收到的算法,对收到的对应类型的数据进行解密。
较佳地,第二传输模块410根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对收到的对应类型的数据进行解密。
较佳地,第二传输模块410根据网络侧设备通知的DRB的信息确定用于承载加密数据的DRB;通过确定的用于承载加密数据的DRB发送进行加密的数据。
基于同一发明构思,本发明实施例中还提供了一种配置传输的方法,由于该方法解决问题的原理与数据传输的系统中的网络侧设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图5所示,本发明实施例配置传输的方法包括下列步骤:
步骤501、网络侧设备为不同类型的数据选择用于加密数据的算法;
步骤502、网络侧设备将算法通知数据传输设备。
较佳地,为了节省传输资源,步骤502中,网络侧设备可以只通知算法对应的标识。
较佳地,网络侧设备可以通过RRC消息将算法通知数据传输设备。
在实施中,网络侧设备将算法通知数据传输设备的方式有很多种,下面列举几种:
方式一、网络侧设备只通知具体的算法。
具体的,网络侧设备根据类型和算法的对应关系,确定需要加密的类型对应的算法,然后将算法通知数据传输设备。
方式二、网络侧设备通知具体的算法和对应的类型。
具体的,网络侧设备可以先选择具体的算法,然后将选择的算法与对应的类型通知数据传输设备;网络侧设备还可以先选择具体的类型,然后将选择的类型与对应的算法通知数据传输设备。
较佳地,网络侧设备还可以将用于承载加密数据的DRB的信息通知数据传输设备。
较佳地,步骤502之后还可以进一步包括:
网络侧设备根据算法对需要发送的对应类型的数据进行加密,以及根据算法对收到的对应类型的数据进行解密。
如图6所示,本发明实施例数据传输的方法包括下列步骤:
步骤601、数据传输设备接收网络侧设备通知的用于加密数据的算法;
步骤602、数据传输设备根据算法对需要发送的数据进行加密,以及对收到的数据进行解密。
较佳地,为了节省传输资源,网络侧设备可以只通知算法对应的标识,数据传输设备根据标识和算法的对应关系确定网络侧设备通知的标识对应的具体的算法。
较佳地,若网络侧设备只通知具体的算法,数据传输设备20根据类型和算法的对应关系,确定网络侧设备通知的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及用收到的算法对收到的对应类型的数据进行解密。
较佳地,若网络侧设备通知算法和对应的类型,数据传输设备根据收到的算法对需要发送的对应类型的数据进行加密,以及根据收到的算法对收到的对应类型的数据进行解密。
较佳地,数据传输设备根据网络侧设备通知的DRB的信息确定用于承载加密数据的DRB,并通过确定的用于承载加密数据的DRB发送进行加密的数据。
下面列举三个例子对本发明的方案进行说明。
例1:
1.DeNB在Security Mode Command(安全模式命令)消息中携带用于对特定类型的数据使用的安全算法标识。
其中,DeNB可以根据需要保护的特定数据类型的数量,在消息中携带多个安全算法标识。
比如,为RRC和用户面数据选择空算法,即不加密,同时为特定类型的数据选择非空算法;或者,为RRC和用户面数据选择加密算法,同时为特定类型的数据选择完整性保护算法,从而可以实现不同安全级别的处理。
2.RN根据收到的上述安全算法计算出密钥,并返回Security ModeComplete(安全模式完成)消息。
3.DeNB利用RRC消息告知RN设备哪些DRB需要对特定类型的数据(包括应用层数据和OAM数据)进行安全保护,比如利用RRC ConnectionReconfiguration(RRC连接重配置)消息或RN Connection Reconfiguration(RN连接重配置)消息。
4.RN设备根据收到的RRC消息中的指示,对相应的DRB进行配置激活安全保护,并返回RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。
随后RN设备和DeNB将需要安全保护的特定数据类型放在激活了相应安全保护的Un DRB上传输,比如S1AP信令和X2AP信令,或是OAM数据等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。这些DRB并不限制用来传输其他类型的数据。
例2:
1.DeNB在Security Mode Command消息中携带加密算法和完整性保护算法,并且添加指示信息,指示这些算法适用于哪个(或哪些)类型的数据。
比如,通过bitmap(比特位图)的方式,第一比特针对RRC消息,第二比特针对用户面数据,第三比特针对其他特定类型的数据。比特值为0表示不应用该安全算法,比特值为1表示应用该安全算法。这样就可以对RRC消息、用户面数据、其他特定类型的数据中的一种或多种分别激活安全保护。
2.RN设备根据收到的上述安全算法计算出各个数据类型使用的密钥,并返回Security Mode Complete消息。
3.DeNB利用RRC消息告知RN哪些DRB需要激活安全保护,比如利用RRC Connection Reconfiguration消息或RN Connection Reconfiguration消息。
4.RN设备根据收到的RRC连接重配置中的指示,对相应的DRB进行配置激活加安全保护,并返回RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。
随后RN设备和DeNB将需要安全保护的特定数据类型放在激活了相应安全保护的Un DRB上传输,比如S1AP信令和X2AP信令,或是OAM数据等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。
例3:
1.DeNB向RN发送Security Mode Command消息,其中的加密算法不能为空算法。
2.RN根据收到的上述加密算法计算出加密密钥,并返回Security ModeComplete消息。
3.DeNB利用RRC消息告知RN哪些DRB需要激活加密,比如利用RRCConnection Reconfiguration消息或RN Connection Reconfiguration消息。
4.RN根据收到的RRC消息中的指示,对相应的DRB进行配置激活安全保护,并返回RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。
随后RN设备和DeNB将需要加密的特定数据类型放在激活了安全保护的Un DRB上传输,比如S1AP信令和X2AP信令,或是OAM数据等等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。