CN104125570A - 一种信令消息完整性检查的方法及装置 - Google Patents
一种信令消息完整性检查的方法及装置 Download PDFInfo
- Publication number
- CN104125570A CN104125570A CN201410312528.2A CN201410312528A CN104125570A CN 104125570 A CN104125570 A CN 104125570A CN 201410312528 A CN201410312528 A CN 201410312528A CN 104125570 A CN104125570 A CN 104125570A
- Authority
- CN
- China
- Prior art keywords
- message
- signaling message
- target device
- bit stream
- authentication code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种信令消息完整性检查的方法及装置,所述方法包括:所述源设备生成信令消息;所述源设备将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;所述源设备将所述信令消息的消息序列号填写为预置数值;所述源设备对信令消息进行编码生成所述信令消息的比特流;所述源设备调用预置的安全性检查算法采用所述信令消息的比特流计算第二消息鉴权码MAC2;所述源设备在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;所述源设备将所述信令消息的比特流发送至所述目标设备。本发明用以提高设备对信令消息的执行效率,添加容错机制并控制容错时间,提升用户感受和网络安全。
Description
技术领域
本发明涉及移动通信技术领域,特别是涉及一种信令消息完整性检查的方法,以及,一种信令消息完整性检查的装置。
背景技术
无线通信领域中,每个无线通信系统都很重视空中接口的安全性,故制定了安全规范,防止非法者监听或是盗用系统的空中无线资源。在3GPP(the3rd Generation Partnership Project,第三代合作伙伴项目)中规范的SMC(SECURITY MODE COMMAND,安全模式控制过程)主要包括两种:信令消息的完整性保护及用户数据的加密。这两种过程目前对应的算法不同,其中完整性保护目前使用的是f9算法,加密过程使用的是f8算法。
RNC(Radio Network Controller,无线网络控制器)在发送或者接收信令消息时进行完整性检查时,都进行了编码。由于目前智能手机的普及,PS(Packet Switch,分组交换)业务接入或者释放频繁,Uu接口的信令消息内容较多且完整性保护是启动的,因此RNC在每次信令消息收发进行完整性检查时都执行编码,极大浪费了RNC的处理时间。
完整性检查很好的保护了RNC可能遭遇的信令消息篡改或者攻击,但协议只是简单要求对不符合要求的消息进行丢弃。在现网的运行过程中,由于信令消息的丢失,可能的入侵及完整性检查参数不一致的情况导致消息完整性检查不通过,如果RNC单纯丢弃信令消息会导致UE的流程异常从而用户感知无法保证。
因此,本领域技术人员迫切需要解决的问题之一在于,提出一种无线资源控制设备RNC信令完整性检查的方法及装置,用以提高设备对信令消息的执行效率,添加容错机制并控制容错时间,提升用户感受和网络安全。
发明内容
本发明所要解决的技术问题是提供一种信令消息完整性检查的方法,用以提高设备对信令消息的执行效率,添加容错机制并控制容错时间,提升用户感受和网络安全。
相应的,本发明还提供了一种信令消息完整性检查的装置。
为了解决上述问题,本发明公开了一种信令消息完整性检查的方法,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法包括:
所述源设备生成信令消息;所述信令消息中包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
所述源设备将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
所述源设备将所述信令消息的消息序列号填写为预置数值;
所述源设备对信令消息进行编码生成所述信令消息的比特流;
所述源设备调用预置的安全性检查算法采用所述信令消息的比特流计算第二消息鉴权码MAC2;
所述源设备在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
所述源设备将所述信令消息的比特流发送至所述目标设备。
优选地,若所述源设备对信令消息采用压缩编码规则PER进行编码生成所述信令消息的比特流,则所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述比特流第34比特至37比特;
所述源设备为无线网络控制器RNC和/或用户设备UE;所述预设数值为0。
本发明实施例还提供了一种信令消息完整性检查的方法,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法包括:
所述目标设备接收信令消息的比特流;所述信令消息的比特流包括完整性检查信息标识;
所述目标设备判断所述信令消息的比特流是否存在完整性检查信息标识;
若是,则所述目标设备从所述信令消息的比特流的第一预置位置中提取第二消息鉴权码MAC2;
所述目标设备将所述信令消息的比特流的第一预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
所述目标设备调用预置的安全性检查算法采用所述信令消息的比特流计算第三消息鉴权码MAC3;
所述目标设备判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;
若是,则所述目标设备判定所述信令消息完整性检查成功;
若否,则所述目标设备判定所述信令消息完整性检查失败。
优选地,在所述目标设备中包括容错控制系数N,所述方法还包括:
所述目标设备计算所述信令消息的比特流完整性检查失败的次数;
所述目标设备判断所述次数是否超过容错控制系数N;
若是,则所述目标设备发起与源设备的连接释放过程;
其中,若所述目标设备为无线网络控制器RNC,则
所述目标设备向所述源设备发送重新连接的指示信号directedsignalling connection re-establishment;
若所述目标设备为用户设备UE,则
所述目标设备向所述源设备发送连接释放的指示信号signallingconnection release indication。
优选地,所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流的第34比特至37比特;所述预设数值为0。
本发明实施例还提供了一种信令消息完整性检查的装置,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置包括:
位于源设备的消息生成模块,用于生成信令消息;所述信令消息中包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
位于源设备的第一填写模块,用于将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
位于源设备的第二填写模块,用于将所述信令消息的消息序列号填写为预置数值;
位于源设备的比特流生成模块,用于对信令消息进行编码生成所述信令消息的比特流;
位于源设备的鉴权码计算模块,用于调用预置的安全性检查算法采用所述比特流计算第二消息鉴权码MAC2;
位于源设备的位置填写模块,用于在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
位于源设备的发送模块,用于将所述信令消息的比特流发送至所述目标设备。
优选地,若所述源设备对信令消息采用压缩编码规则PER进行编码生成所述信令消息的比特流,则所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流第34比特至37比特;
所述源设备为无线网络控制器RNC和/或用户设备UE;所述预设数值为0。
本发明实施例还提供了一种信令消息完整性检查的装置,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置包括:
位于目标设备的消息接收模块,用于接收所述信令消息的比特流;所述信令消息的比特流包括完整性检查信息标识;
位于目标设备的标识判断模块,用于判断所述信令消息的比特流是否存在完整性检查信息标识;若是,则调用位于目标设备的鉴权码提取模块;
位于目标设备的鉴权码提取模块,用于从所述信令消息的比特流第一预置位置中提取第二消息鉴权码MAC2;
位于目标设备的位置设置模块,用于将所述信令消息的比特流的第二预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
位于目标设备的鉴权码计算模块,用于调用预置的安全性检查算法采用所述比特流计算第三消息鉴权码MAC3;
位于目标设备的完整判断模块,用于判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;若是,则调用位于目标设备的成功判定模块,若否,则调用位于目标设备的失败判定模块;
位于目标设备的成功判定模块,用于判定所述信令消息完整性检查成功;
位于目标设备的失败判定模块,用于判定所述信令消息完整性检查失败。
优选地,在所述目标设备中包括容错控制系数N,所述装置还包括:
位于目标设备的次数检查模块,用于计算所述信令消息的比特流完整性检查失败的次数;
位于目标设备的次数判断模块,用于判断所述次数是否超过容错控制系数N;若是,则调用连接释放模块;
位于目标设备的连接释放模块,用于发起与目标设备的连接释放过程;
位于目标设备的连接指示模块,用于向所述源设备发送重新连接的指示信号directed signalling connection re-establishment。
所述目标设备向所述源设备发送重新连接的指示信号directedsignalling connection re-establishment;其中,所述目标设备为无线网络控制器RNC;
位于目标设备的连接释放模块,用于向所述源设备发送连接释放的指示信号signalling connection release indication,其中,所述目标设备为用户设备UE。
优选地,所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流的第34比特至37比特;所述预设数值为0。
与现有技术相比,本发明包括以下优点:
在本发明实施例中针对协议中要求的完整性检查的编码及解码过程,通过编解码规则来进行编码及解码过程,进而取消原有的编解码过程,节省RNC进行信令完整性检查的时间,提升RNC的执行效率,缩短信令处理时延。尤其在TD网络用户驻留日益增多,信令消息风暴冲击明显时可有效缓解设备的执行负荷,降低CPU占用率。
在本发明实施例中添加容错机制并控制容错时间。设备灵活配置容错系数N,保证在一定范围内信令消息错误的容错,不至于UE的信令流程中断导致异常。在容错超出容忍限度后(容忍限度通过容错系数进行配置),通过携带重接入原因及时释放UE,要求UE二次接入。在UE二次接入时,RNC和UE会重新进行SMC过程后展开信令消息的完整性检查,从而提升用户感受和网络安全。
附图说明
图1是一种f9完整性算法原理的示意图;
图2是一种COUTN-I组成结构的示意图;
图3是本发明的一种信令消息完整性检查的方法实施例1的步骤流程图;
图4是本发明的一种信令消息完整性检查的方法实施例2的步骤流程图;
图5是本发明的一种信令消息完整性检查的装置实施例1的结构框图;
图6是本发明的一种信令消息完整性检查的装置实施例2的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1所示的一种f9完整性算法原理的示意图,应用f9算法需要IK(Integrity Key,完整性密钥)、FRESH(Random value generated by thenetwork side,网络生成随机值)、信令消息计数器COUNT-I,消息传输方向DIRECTION、Uu接口消息内容MESSAGE。
具体而言,f9算法参数描述如下:
IK:IK是UE(User Equipment,用户设备)和CN(Core Network,核心通信网络)协商后存储于USIM(Universal Subscriber Identity Module,全球用户识别卡)中。CN通过SMC过程中RANAP(Radio Access NetworkApplication Part,无线接入网络应用部分)SMC消息通知RNC。
FRESH:FRESH是由RNC随机产生,通过SMC过程中Uu接口消息SMC命令通知UE。
COUTN-I:COUTN-I是信令消息计数器,可用于判断是否需要进行一次新的AKA过程。参照图2所示的一种COUTN-I组成结构的示意图,COUTN-I由HFN(Hyper Frame Number,超帧号),和SRB(Signalling RadioBearers,信令无线承载)的SN(Serial Number,序列号)组成,根据是否收到新的IK,RRC将COUNT_I的HFN部分初始化为0或START值。每个SRB维护一个上下行SN。
DIRECTION:DIRECTION是信令消息的传输方向,可以采用0表示上行传输,1表示下行传输。
MESSAGE:MESSAGE由信令消息及无线承载标识组成,通常无线承载标识附在信令消息的前面。需要注意的是无线承载标识本身并不会随消息发送出去,其出现是为了避免同一个输入参数集使用了不同的消息鉴权码实例。
在具体实现中,UE接入网络时,通过AKA(Authentication and KeyAgreement,认证与密钥协商协议)和CN协商IK、通过SMC在RNC和UE间启动完整性保护后,RNC和UE就存在相同的参数,就可以执行完整性检查。具体而言,完整性保护机制是发送方(UE或RNC)将要传送的数据MESSAGE用IK采用f9算法产生的MAC(message authenticationcode,消息鉴权码)附加在发出的信令消息前面。接收方(RNC或UE)收到信令消息后,用同样的方法计算得到期望消息鉴权码XMAC。接收方把收到的MAC和XMAC相比较,如果两者相等,说明收到的信令消息是完整的,其在传输过程中没有被修改,协议具体实施要求参见3GPPTS25.331V11.5.0协议规定8.5.10的描述,MAC的计算是完整性检查过程中重要环节,在3GPP TS25.331V11.5.0协议规定8.5.10.3如下:需要将RRC消息中IE(Information Elements,信息元素):Integrity check info(完整性检查信息)中两个子IE的MAC替换为RB ID(RB identity,承载标识),将SN设置为0后计算的,在协议中具体描述如下:
8.5.10.3Calculation of message authentication code
The UE shall calculate the message authentication code in accordancewith.The input parameter MESSAGE for the integrity algorithm shall beconstructed by:
1>setting the"Message authentication code"in the IE"Integrity checkinfo"in the message to the value of the IE"RB identity"for the signallingradio bearer;
1>setting the"RRC Message sequence number"in the IE"Integritycheck info"in the message to zero;
1>encoding the message;
1>appending RRC padding(if any)as a bit string to the encoded bitstring as the least significant bits。
协议也明确要求在XMAC与MAC不同时,仅要求丢弃信令消息。在协议中具体描述如下:
2>if the calculated expected message authentication code and thereceived message authentication code differ;
3>act as if the message was not received。
在协议25.331要求Uu接口协议采用ASN.1(abstract syntax notationone,抽象语法标记)描述,采用PER(Packed Encoding Rules,压缩编码规则)编码格式。
目前协议要求在完整性检查启动时,UE或者RNC在发送信令消息时,需要在信令消息前添加IE:"Integrity check info"。
参照下表所示的一种完整性检查信息表:
上行ULDCCHMessage的ASN.1描述为:
下行DL_DCCH_Message的ASN.1描述为:
其中完整性检查IE的ASN.1描述为:
RNC在发送信令消息时,协议要求在计算MACI(Messageauthentication code for data Integrity,用作数据完整性保护的消息鉴权码)时,需要先把Uu接口消息中IE:"Integrity check info"替换为RB ID,RRCMessage sequence number(RRC消息序列号)设置为0后,把完整的ASN.1语法描述的RRC消息进行PER编码,编码完成后调用f9算法计算MACI。计算完成后,将MACI重新设置在MAC中,把当前SRB的SN放在RRCMessage sequence number中后,再次把完整的ASN.1语法描述的RRC消息进行PER编码后发送。
RNC在接收信令消息时,需要对消息中IE:"Integrity check info"中MACI进行检查。RNC首先PER解码Uu接口消息比特码流程ASN.1格式,把"Integrity check info"替换为SRB ID,RRC Message sequence number设置为0后,把完整的ASN.1语法描述的RRC消息进行PER编码,编码完成后调用f9算法计算出期望XMACI。计算完成后,比较期望XMACI同接收的消息中MACI,如果两者相等,则信令消息的完整性检查通过,如果两者不相等,则完整性检查失败。
目前协议规定,RNC在发送或者接收消息时进行完整性检查时,都进行了一次ASN.1的PER编码。由于目前智能手机的普及,PS域业务接入或者释放频繁,Uu接口消息内容较多且完整性保护是启动的,因此RNC在每次信令消息收发进行完整性检查时都执行PER编码,极大浪费了RNC的处理时间。
完整性检查很好的保护了RNC可能遭遇的信令消息篡改或者攻击,但协议只是简单要求对不符合要求的消息进行丢弃。在现网的运行过程中,由于信令消息的丢失,可能的入侵及完整性检查参数不一致的情况导致消息完整性检查不通过,如果RNC单纯丢弃信令消息会导致UE的流程异常从而用户感知无法保证。
正是本专利发明人基于上述情况,创造性地提出本发明实施例的核心构思之一在于,设备对消息信令的完整性检查时,计算消息鉴权码MAC时,通过编解码规则实现不需要按协议要求进行编码,提升RNC的执行效率,缩短信令处理时延。信令完整性检查不通过时,可以根据容错系数配置兼容错误且保证网络入侵发生时可及时释放UE,要求UE二次接入后再次核对,提升用户感受和网络安全。
参照图3,示出了本发明一种信令消息完整性检查的方法实施例1的步骤流程图,在源设备及目标设备中可以存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法具体可以包括如下步骤:
步骤101,所述源设备生成信令消息;
所述信令消息中可以包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
步骤102,所述源设备将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
步骤103,所述源设备将所述信令消息的消息序列号填写为预设数值;
步骤104,所述源设备对信令消息进行编码生成所述信令消息的比特流;
步骤105,所述源设备调用预置的安全性检查算法采用所述比特流计算第二消息鉴权码MAC2;
步骤106,所述源设备在所述信令消息的比特流的第一预置位置中填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
步骤107,所述源设备将所述信令消息的比特流发送至所述目标设备。
在本发明实施例中,针对完整性检查方案的要求,具体研究PER编码规则后,可以省略协议要求的一次编码,节省消息收发时执行时间,提高设备运行效率。
以上行消息为例:
PER编码规则的SEQUENCE类型编码规则,有几个可选项(OPTIONAL)就需要几个bit标识可选项存在。如果可选项存在,相应bit值可以设置为1。由于IntegrityCheckInfo为可选项,若码流的第一比特如果为1,就表示存在IE:'IntegrityCheckInfo"。
具体而言,在integrityCheckInfo(完整性检查信息)中:
MessageAuthenticationCode(MAC)可以是固定长度为32bit类型,MessageAuthenticationCode::=BIT STRING(SIZE(32)),所以从消息比特队列中继续读出32bit就是messageAuthenticationCode内容。
MessageSequenceNumber(消息序列号)成员的类型可以是RRC-MessageSequenceNumber::=INTEGER(0..15),那么取值范围是0..15,可以使用4个比特表示,从消息比特队列中继续读出4个比特就是SN。
下行消息定义如下,PER编码同上行消息。
根据PER编码规则可知,Uu接口码流的前37个bit表示存在完整性保护检查域integrityCheckInfo及其内容。因此,对RNC设备实现来说,如果完整性保护启动,在上行收到UE的需要进行完整性检查的消息时,检查UE发送的消息比特码流,检查第1个比特是否为1,为1表示携带完整性检查域integrityCheckInfo,然后根据协议要求,把收到消息的SRBID放置在第2比特至第33比特;把第34比特至37比特设置为0。将修改后的比特码流作为入参调用F9算法计算MACI。RNC在下行发送消息时,把信息元素integrityCheckInfo的子IE“messageAuthenticationCode”设置为要发送的SRB ID,把rrc_MessageSequenceNumber设置为0,进行ASN.1的PER编码得到比特流,调用F9算法计算MACI。把计算的MACI放置在PER编码得到的比特流的第2比特至第33比特,把第34比特至37比特设置为当前发送消息的SRB的序列号。
因此,在获悉PER的编码方式后,在发送消息计算MACI时不需要编码,直接将MAC-I结果替代在填写的空口消息编码后的比特流中,得到完整性检查IE设置后的编码结果。具体实现时通过比特位运算替代了PER的编码过程,从而减少了时间消耗和不必要的内存操作。
参照图4,示出了本发明一种信令消息完整性检查的方法实施例2的步骤流程图,在源设备及目标设备中可以存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法具体可以包括如下步骤:
步骤201,所述目标设备接收所述信令消息的比特流;所述完整性检查信息标识;
步骤202,所述目标设备判断所述信令消息的比特流是否存在完整性检查信息标识;若是,则执行步骤203;
步骤203,所述目标设备从所述信令消息的比特流的第一预置位置中提取第二消息鉴权码MAC2;
步骤204,所述目标设备将所述信令消息的比特流的第一预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
步骤205,所述目标设备调用预置的安全性检查算法采用所述信令消息的比特流计算第三消息鉴权码MAC3;
步骤206,所述目标设备判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;若是,则执行步骤207,若否,则执行步骤208;
步骤207,所述目标设备判定所述信令消息完整性检查成功;
步骤208,所述目标设备判定所述信令消息完整性检查失败。
应用本发明实施例,在获悉PER的编码方式后,在接收消息计算MACI时不需要编码,直接从预置的位置中提取出所需的数据(MAC)即可,再通过与调用安全性检查算法计算出的MAC进行比对,若是一致,则认为述信令消息完整性检查成功,反正则认为所述信令消息完整性检查失败。
由于具体实现时通过比特位运算替代了PER的编码及解码过程,从而减少了时间消耗和不必要的内存操作。
在本发明的一种优选实施例中,在所述目标设备中包括容错控制系数N,所述方法还可以包括:
步骤S1,所述目标设备计算所述信令消息的比特流完整性检查失败的次数;
步骤S2,所述目标设备判断所述次数是否超过容错控制系数N;若是,则执行步骤S3;
步骤S3,所述目标设备发起与目标设备的连接释放过程;
其中,若所述目标设备为无线网络控制器RNC,则还可以包括如下步骤:
步骤S4,所述目标设备向所述源设备发送重新连接的指示信号directed signalling connection re-establishment;
若所述目标设备为用户设备UE,则还可以包括如下步骤:
步骤S5,所述目标设备向所述源设备发送连接释放的指示信号signalling connection release indication。
在本发明实施例中,在RNC检查上行消息的完整性不通过时,协议仅要求丢弃消息,这样存在当RNC和UE的完整性参数不匹配或者偶尔的消息时序错误发生误检丢弃消息,导致UE的呼叫流程无法继续,从而呼叫流程终止但UE在RNC设备内被挂住影响用户感知,但如果不丢弃消息,在网络确实发生入侵或者信令被恶意篡改时,引起不必要的损失,因此RNC设备必须增加容错功能和防止恶意攻击策略,在RNC侧添加配置的容错控制系数N(次数N可以通过OMC修改,范围可以为1至8),在信令完整性连续N次不通过时,直接发起RNC向UE发起连接释放过程,释放原因填写为:“directed signalling connection re-establishment”,要求UE释放后再次接入网络,当UE接收后,可以向RNC发起连接释放过程,释放原因填写为:“signalling connection release indication”。以后若UE再次接入后会进行新的安全模式过程,网络(CN和RNC)和UE会再次通过信令交互同步完整性检查参数。因此,通过增加容错系数配置以及重接入原因释放策略,增加了RNC对错误消息处理的容错性,在发生误检查时不是单纯丢弃信令,使UE的信令行为可以正常执行。在连续发生信令完整性检查错误时,网络入侵或者信令有丢失或者误检发生概率增加,此时及时释放UE,携带重接入原因要求UE再次接入,UE再次接入时,可以触发新的安全模式过程,网络和UE可以在新的完整性检查参数的基础上再次互相检查信令,保证了网络的安全性和用户感受。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必须的。
参照图5,示出了本发明一种信令消息完整性检查的装置实施例1的结构框图,在源设备及目标设备中可以用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置具体可以包括如下模块:
位于源设备的消息生成模块301,用于生成信令消息;所述信令消息中包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
位于源设备的第一填写模块302,用于将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
位于源设备的位于源设备的第二填写模块303,用于将所述信令消息的消息序列号填写为预置数值;
位于源设备的比特流生成模块304,用于对信令消息进行编码生成所述信令消息的比特流;
位于源设备的鉴权码计算模块305,用于调用预置的安全性检查算法采用所述比特流计算第二消息鉴权码MAC2;
位于源设备的位置写入模块306,用于在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
位于源设备的发送模块307,用于将所述信令消息的比特流发送至所述目标设备。
在本发明的一种优选实施例中,若所述源设备对信令消息采用压缩编码规则PER进行编码生成所述信令消息的比特流,则所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述比特流第34比特至37比特;
所述源设备可以为无线网络控制器RRC和/或用户设备UE;所述预设数值可以为0。
参照图6,示出了本发明一种信令消息完整性检查的装置实施例2的结构框图,在源设备及目标设备中可以存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置具体可以包括如下模块:
位于目标设备的消息接收模块401,用于接收所述信令消息的比特流;所述信令消息的比特流包括完整性检查信息标识;
位于目标设备的标识判断模块402,用于判断所述信令消息的比特流是否存在完整性检查信息标识;若是,则调用位于目标设备的鉴权码提取模块403;
位于目标设备的鉴权码提取模块403,用于从所述信令消息的比特流第二预置位置中提取第二消息鉴权码MAC2;
位于目标设备的位置设置模块404,用于将所述信令消息的比特流第一预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
位于目标设备的鉴权码计算模块405,用于调用预置的安全性检查算法采用所述比特流计算第三消息鉴权码MAC3;
位于目标设备的完整判断模块406,用于判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;若是,则调用位于目标设备的成功判定模块,若否,则调用位于目标设备的失败判定模块;
位于目标设备的成功判定模块407,用于判定所述信令消息完整性检查成功;
位于目标设备的失败判定模块408,用于判定所述信令消息完整性检查失败。
在本发明的一种优选实施例中,在所述目标设备中包括容错控制系数N,所述装置还可以包括:
位于目标设备的次数检查模块,用于计算所述信令消息的比特流完整性检查失败的次数;
位于目标设备的次数判断模块,用于判断所述次数是否超过容错控制系数N;若是,则调用位于目标设备的连接释放模块;
位于目标设备的连接释放模块,用于发起与目标设备的连接释放过程;
所述目标设备向所述源设备发送重新连接的指示信号directedsignalling connection re-establishment;其中,所述目标设备为无线网络控制器RNC;
位于目标设备的连接释放模块,用于向所述源设备发送连接释放的指示信号signalling connection release indication,其中,所述目标设备为用户设备UE。
在本发明的一种优选实施例中,所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述比特流第34比特至37比特;
所述预设数值为0。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种信令消息完整性检查的方法,以及,一种信令消息完整性检查的装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种信令消息完整性检查的方法,其特征在于,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法包括:
所述源设备生成信令消息;所述信令消息中包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
所述源设备将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
所述源设备将所述信令消息的消息序列号填写为预置数值;
所述源设备对信令消息进行编码生成所述信令消息的比特流;
所述源设备调用预置的安全性检查算法采用所述信令消息的比特流计算第二消息鉴权码MAC2;
所述源设备在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
所述源设备将所述信令消息的比特流发送至所述目标设备。
2.根据权利要求1所述的方法,其特征在于,若所述源设备对信令消息采用压缩编码规则PER进行编码生成所述信令消息的比特流,则所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述比特流第34比特至37比特;
所述源设备为无线网络控制器RNC和/或用户设备UE;所述预设数值为0。
3.一种信令消息完整性检查的方法,其特征在于,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述方法包括:
所述目标设备接收信令消息的比特流;所述信令消息的比特流包括完整性检查信息标识;
所述目标设备判断所述信令消息的比特流是否存在完整性检查信息标识;
若是,则所述目标设备从所述信令消息的比特流的第一预置位置中提取第二消息鉴权码MAC2;
所述目标设备将所述信令消息的比特流的第一预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
所述目标设备调用预置的安全性检查算法采用所述信令消息的比特流计算第三消息鉴权码MAC3;
所述目标设备判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;
若是,则所述目标设备判定所述信令消息完整性检查成功;
若否,则所述目标设备判定所述信令消息完整性检查失败。
4.根据权利要求3所述的方法,其特征在于,在所述目标设备中包括容错控制系数N,所述方法还包括:
所述目标设备计算所述信令消息的比特流完整性检查失败的次数;
所述目标设备判断所述次数是否超过容错控制系数N;
若是,则所述目标设备发起与源设备的连接释放过程;
其中,若所述目标设备为无线网络控制器RNC,则
所述目标设备向所述源设备发送重新连接的指示信号directedsignalling connection re-establishment;
若所述目标设备为用户设备UE,则
所述目标设备向所述源设备发送连接释放的指示信号signallingconnection release indication。
5.根据权利要求3或4所述的方法,其特征在于,所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流的第34比特至37比特;所述预设数值为0。
6.一种信令消息完整性检查的装置,其特征在于,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置包括:
位于源设备的消息生成模块,用于生成信令消息;所述信令消息中包括第一消息鉴权码MAC1、所述承载对应的消息序列号、以及完整性检查信息标识;
位于源设备的第一填写模块,用于将所述信令消息的第一消息鉴权码MAC1填写为所述承载标识;
位于源设备的第二填写模块,用于将所述信令消息的消息序列号填写为预置数值;
位于源设备的比特流生成模块,用于对信令消息进行编码生成所述信令消息的比特流;
位于源设备的鉴权码计算模块,用于调用预置的安全性检查算法采用所述比特流计算第二消息鉴权码MAC2;
位于源设备的位置填写模块,用于在所述信令消息的比特流的第一预置位置填写所述第二消息鉴权码MAC2,以及,第二预置位置中填写所述消息序列号;
位于源设备的发送模块,用于将所述信令消息的比特流发送至所述目标设备。
7.根据权利要求6所述的装置,其特征在于,若所述源设备对信令消息采用压缩编码规则PER进行编码生成所述信令消息的比特流,则所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流第34比特至37比特;
所述源设备为无线网络控制器RNC和/或用户设备UE;所述预设数值为0。
8.一种信令消息完整性检查的装置,其特征在于,在源设备及目标设备中存在用于互相通信的承载及对应的承载标识,所述承载维护有对应的消息序列号,所述装置包括:
位于目标设备的消息接收模块,用于接收所述信令消息的比特流;所述信令消息的比特流包括完整性检查信息标识;
位于目标设备的标识判断模块,用于判断所述信令消息的比特流是否存在完整性检查信息标识;若是,则调用位于目标设备的鉴权码提取模块;
位于目标设备的鉴权码提取模块,用于从所述信令消息的比特流第一预置位置中提取第二消息鉴权码MAC2;
位于目标设备的位置设置模块,用于将所述信令消息的比特流的第二预置位置设置为承载标识,以及,第二预置位置设置为预置数值;
位于目标设备的鉴权码计算模块,用于调用预置的安全性检查算法采用所述比特流计算第三消息鉴权码MAC3;
位于目标设备的完整判断模块,用于判断所述第二消息鉴权码MAC2及所述第三消息鉴权码MAC3是否一致;若是,则调用位于目标设备的成功判定模块,若否,则调用位于目标设备的失败判定模块;
位于目标设备的成功判定模块,用于判定所述信令消息完整性检查成功;
位于目标设备的失败判定模块,用于判定所述信令消息完整性检查失败。
9.根据权利要求8所述的装置,其特征在于,在所述目标设备中包括容错控制系数N,所述装置还包括:
位于目标设备的次数检查模块,用于计算所述信令消息的比特流完整性检查失败的次数;
位于目标设备的次数判断模块,用于判断所述次数是否超过容错控制系数N;若是,则调用位于目标设备的连接释放模块;
位于目标设备的连接释放模块,用于发起与目标设备的连接释放过程;
位于目标设备的连接指示模块,用于向所述源设备发送重新连接的指示信号directed signalling connection re-establishment。
所述目标设备向所述源设备发送重新连接的指示信号directedsignalling connection re-establishment;其中,所述目标设备为无线网络控制器RNC;
位于目标设备的连接释放模块,用于向所述源设备发送连接释放的指示信号signalling connection release indication,其中,所述目标设备为用户设备UE。
10.根据权利要求8或9所述的装置,其特征在于,所述第一预置位置为所述信令消息的比特流的第2比特至第33比特,所述第二预置位置为所述信令消息的比特流的第34比特至37比特;所述预设数值为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410312528.2A CN104125570B (zh) | 2014-07-02 | 2014-07-02 | 一种信令消息完整性检查的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410312528.2A CN104125570B (zh) | 2014-07-02 | 2014-07-02 | 一种信令消息完整性检查的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104125570A true CN104125570A (zh) | 2014-10-29 |
CN104125570B CN104125570B (zh) | 2018-03-27 |
Family
ID=51770804
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410312528.2A Active CN104125570B (zh) | 2014-07-02 | 2014-07-02 | 一种信令消息完整性检查的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104125570B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486717A (zh) * | 2014-12-10 | 2015-04-01 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理装置、移动终端、受控参数的传输系统及方法 |
CN106937317A (zh) * | 2015-12-31 | 2017-07-07 | 联发科技股份有限公司 | 通信装置及安全模式命令失败的恢复方法 |
CN110677853A (zh) * | 2019-09-06 | 2020-01-10 | 京信通信系统(中国)有限公司 | 信令处理方法、装置、基站设备和存储介质 |
CN113194473A (zh) * | 2019-04-26 | 2021-07-30 | Oppo广东移动通信有限公司 | 用于完整性保护的方法或设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999055039A1 (en) * | 1998-04-20 | 1999-10-28 | Microsoft Corporation | Cryptographic technique for providing fast encryption and decryption and for producing a message authentication code |
CN1992573A (zh) * | 2005-12-26 | 2007-07-04 | 中兴通讯股份有限公司 | 宽带码分多址系统中空口消息的编码方法 |
CN101123605A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 进行消息完整性保护的方法及装置 |
CN101755469A (zh) * | 2007-07-18 | 2010-06-23 | 交互数字技术公司 | 长期演进无线设备中实施非接入层(mas)安全性的方法和装置 |
-
2014
- 2014-07-02 CN CN201410312528.2A patent/CN104125570B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999055039A1 (en) * | 1998-04-20 | 1999-10-28 | Microsoft Corporation | Cryptographic technique for providing fast encryption and decryption and for producing a message authentication code |
CN1992573A (zh) * | 2005-12-26 | 2007-07-04 | 中兴通讯股份有限公司 | 宽带码分多址系统中空口消息的编码方法 |
CN101123605A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 进行消息完整性保护的方法及装置 |
CN101755469A (zh) * | 2007-07-18 | 2010-06-23 | 交互数字技术公司 | 长期演进无线设备中实施非接入层(mas)安全性的方法和装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104486717A (zh) * | 2014-12-10 | 2015-04-01 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理装置、移动终端、受控参数的传输系统及方法 |
CN104486717B (zh) * | 2014-12-10 | 2019-01-25 | 宇龙计算机通信科技(深圳)有限公司 | 移动管理装置、移动终端、受控参数的传输系统及方法 |
CN106937317A (zh) * | 2015-12-31 | 2017-07-07 | 联发科技股份有限公司 | 通信装置及安全模式命令失败的恢复方法 |
CN106937317B (zh) * | 2015-12-31 | 2021-02-05 | 联发科技股份有限公司 | 通信装置及安全模式命令失败的恢复方法 |
CN113194473A (zh) * | 2019-04-26 | 2021-07-30 | Oppo广东移动通信有限公司 | 用于完整性保护的方法或设备 |
CN113194473B (zh) * | 2019-04-26 | 2022-12-09 | Oppo广东移动通信有限公司 | 用于完整性保护的方法或设备 |
US11979747B2 (en) | 2019-04-26 | 2024-05-07 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Method or device for integrity protection |
CN110677853A (zh) * | 2019-09-06 | 2020-01-10 | 京信通信系统(中国)有限公司 | 信令处理方法、装置、基站设备和存储介质 |
CN110677853B (zh) * | 2019-09-06 | 2023-04-11 | 京信网络系统股份有限公司 | 信令处理方法、装置、基站设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN104125570B (zh) | 2018-03-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102347524B1 (ko) | 보안 보호를 위한 방법, 장치 및 시스템 | |
CN110912854B (zh) | 一种安全保护方法、设备及系统 | |
EP3242498B1 (en) | Method and apparatus for authentication | |
EP2658299B1 (en) | Method, network side entity and communication terminal for protecting data security | |
CN101835156B (zh) | 一种用户接入安全保护的方法及系统 | |
CN108605225B (zh) | 一种安全处理方法及相关设备 | |
KR102059079B1 (ko) | 무선 네트워크 환경에서 제어정보의 보안통신을 위한 방법 및 시스템 | |
RU2011152916A (ru) | Способ и устройство для передачи сообщения по общему каналу управления для произвольного доступа в сети беспроводной связи | |
WO2019029691A1 (zh) | 数据完整性保护方法和装置 | |
JP6625787B2 (ja) | 無線リソース制御接続の再確立 | |
BR112020009823B1 (pt) | Método de proteção de segurança, aparelho, mídia de armazenamento legível por computador e sistema | |
CN104125570A (zh) | 一种信令消息完整性检查的方法及装置 | |
US8856883B2 (en) | System and method for protecting MAC control messages | |
CN112154684B (zh) | 一种验证网络合法性的方法及装置、计算机存储介质 | |
CN109819439B (zh) | 密钥更新的方法及相关实体 | |
JP2023139250A (ja) | ユーザ装置の通信方法、ネットワークノードの通信方法、ユーザ装置、及びネットワークノード | |
CN110235459B (zh) | 用于重新建立无线电资源控制(rrc)连接的方法及装置 | |
CN109803456B (zh) | 一种请求恢复连接的方法及装置 | |
CN101355507B (zh) | 更新跟踪区时的密钥生成方法及系统 | |
KR102104844B1 (ko) | 데이터 전송 방법, 제1 장치 및 제2 장치 | |
CN103813308B (zh) | 一种上行数据传输方法、装置及系统 | |
CN110087338B (zh) | 一种窄带物联网进行鉴权的方法及设备 | |
CN110225517B (zh) | 一种信息发送方法、装置、系统以及计算机可读存储介质 | |
CN110545253B (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
CN109698817B (zh) | 数据处理的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |