CN104160777A - 数据的传输方法、装置和系统 - Google Patents
数据的传输方法、装置和系统 Download PDFInfo
- Publication number
- CN104160777A CN104160777A CN201380002267.8A CN201380002267A CN104160777A CN 104160777 A CN104160777 A CN 104160777A CN 201380002267 A CN201380002267 A CN 201380002267A CN 104160777 A CN104160777 A CN 104160777A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- equipment
- layer
- benefited
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种数据的传输方法、装置和系统。该方法包括:受益设备获取合成层密钥,在合成层使用所述合成层密钥对上行数据进行加密或加密及完整性保护处理,得到第一加密数据;对所述第一加密数据进行封装处理,得到第一封装数据;通过短距离通信方式发送所述第一封装数据至支撑设备,以使所述支撑设备对所述第一封装数据进行处理以得到第二封装数据并发送至基站。本发明实施例实现了合成通信过程中受益设备、支撑设备和基站之间数据的安全传输,提高了网络的安全性以及数据传输的可靠性。
Description
数据的传输方法、 装置和系统 技术领域
本发明涉及通信领域, 尤其涉及一种数据的传输方法、 装置和系统。 背景技术
随着移动通信技术的快速发展, 目前出现了多种制式的移动通信网络系 统, 例如, 全球移动通讯系统 ( Global System of Mobile communication, GSM) 网络、 通用分组无线服务技术(General Packet Radio Service, GPRS ) 系统、 宽带码分多址 (Wideband Code Division Multiple Access, WCDMA ) 网络、 CDMA- 2000网络、时分同步码分多址(Time Division- Synchronous Code Division Multiple Access, TD-SCDMA)网络、 全球微波互联接入( Worldwide Interoperability for Microwave Access , WiMAX)附各等, 这些移动通信 网络系统除了提供语音通信业务之外, 通常还提供数据通信业务, 因此用户 可以使用这些移动通信系统所提供的数据通信业务来上传和下载各种数据。
在用户设备所处的环境恶化时,用户设备的数据传输的吞吐率和 /或可靠 性将会急剧下降, 可以采用合成通信 ( Multiple User Cooperative Co匪 unication, MUCC )技术来支持该用户设备的数据传输。 在 MUCC 中, 由 于合成层位于分组数据汇聚协议 ( Packet Data Convergence Protocol, PDCP ) 层之上, 受益设备的分流数据 (包括用户面数据以及可能的控制面数据 (控 制面数据可以通过受益设备与基站的直接链路进行传输, 即不通过支撑设备; 也可以通过支撑设备和基站的链路进行传输) )需要经过支撑设备的 PDCP层 后才能到达合成层: 对于受益设备的上行数据, 需要经过支撑设备和受益设 备间的短距离通信层, 由受益设备的合成层处理后再由支撑 UE通过 Uu口转 发给基站; 而对于受益设备的下行数据, 则需要经过基站与支撑设备之间的
Uu口 (需要过 PDCP层), 再由支撑设备的合成层处理后通过支撑设备和受益 设备间的短距离通信层下发给受益设备。
为了确保受益设备、 支撑设备、 基站之间数据传输的安全性, 现有 LTE 机制中的 PDCP层可以对数据包的 IP头进行压缩, 对数据包中的数据进行加 密(包括用户面数据的加密、控制面数据的加密及完整性保护)。 在 MUCC中, 如果用受益设备的 PDCP层密钥对数据进行加密, 即下行方向基站用受益设备 的 PDCP层密钥加密数据, 上行方向受益设备用其 PDCP层密钥加密数据, 则 支撑设备无法在其 PDCP层成功解密受益设备的数据, 从而使得支撑设备不能 对要转发至受益设备的数据进行处理并转发至网络侧。 另外, 受益设备的数 据需要进行安全加密保护, 以防止支撑设备获取受益设备信息。 发明内容
本发明实施例提供了一种数据的传输方法、 装置和系统, 以实现合成通 信过程中受益设备、 支撑设备和基站之间数据的安全传输, 提高了网络的安 全性以及数据传输的可靠性。
第一方面, 本发明实施例提供了一种数据的传输方法, 所述方法包括: 受益设备获取合成层密钥,在合成层使用所述合成层密钥对上行数据进行 加密或加密及完整性保护处理, 得到第一加密数据;
对所述第一加密数据进行封装处理, 得到第一封装数据;
通过短距离通信方式发送所述第一封装数据至支撑设备, 以使所述支撑 设备对所述第一封装数据进行处理以得到第二封装数据并发送至基站。
在第一种可能的实现方式中,所述受益设备获取合成层密钥具体包括: 与 网络侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥, 计算得到 所述合成层密钥; 或, 与网路侧之间进行鉴权与密钥协商, 得到父密钥, 根 据所述父密钥生成基站密钥; 根据所述基站密钥生成接入层密钥; 根据所述 基站密钥或所述接入层密钥计算得到所述合成层密钥。
结合第一方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述方法还包括: 与所述基站之间进行加密算法及完整性保护算法的协商, 得到合成层加密算法及完整性保护算法。
结合第一方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 用户面数据时, 所述在合成层使用所述合成层密钥对上行数据进行加密或加 密及完整性保护处理具体包括: 根据所述合成层加密算法, 在合成层使用所 述合成层加密密钥对所述上行数据进行加密; 或, 根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密, 以及根据所述 合成层完整性保护算法, 使用所述合成层完整性密钥对所述上行数据进行完 整性保护处理。
结合第一方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 控制面数据时, 所述在合成层使用所述合成层密钥对上行数据进行加密或加 密及完整性保护处理具体包括: 根据所述合成层加密算法, 在合成层使用所 述合成层加密密钥对所述上行数据进行加密, 以及根据所述合成层完整性保 护算法, 使用所述合成层完整性密钥对所述上行数据进行完整性保护处理。
结合第一方面的第一种可能的实现方式, 在第五种可能的实现方式中, 所述对所述第一加密数据进行封装处理, 得到第一封装数据具体包括: 在合 成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通 信层对所述第二封装数据进行短距离通信封装, 得到所述第一封装数据。
结合第一方面的第五种可能的实现方式, 在第六种可能的实现方式中, 所述在短距离通信层对所述第二封装数据进行短距离通信封装之前, 还包括: 获取短距离通信层密钥, 以及短距离通信层加密算法及完整性保护算法; 根 据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层密钥对 所述第二封装数据进行加密及完整性保护处理。
结合第一方面的第六种可能的实现方式, 在第七种可能的实现方式中, 所述获取短距离通信层密钥具体包括: 接收所述网络侧发送的所述短距离通 信层密钥, 所述短距离通信层密钥为所述网络侧根据父密钥生成的; 或, 根 据密钥生成器生成短距离通信层密钥, 并通过网络侧将所述短距离通信层密 钥转发给所述支撑设备。
结合第一方面的第六种可能的实现方式,在第八种可能的实现方式中,所 述获取短距离通信层密钥具体包括: 接收所述网络侧发送的第一组参数, 所 述第一组参数为所述网络侧生成的用以所述受益设备与所述支撑设备进行密 钥协商的参数; 所述支撑设备接收到第二组参数后, 受益设备与所述支撑设 备进行密钥协商, 生成所述短距离通信层密钥, 所述第二组参数为所述网络 侧生成的用以所述支撑设备与所述受益设备进行密钥协商的参数。
结合第一方面的第六种可能的实现方式,在第九种可能的实现方式中,所 述获取短距离通信层密钥具体包括: 生成第三组参数, 将所述第三组参数发 送至所述支撑设备; 接收所述支撑设备发送的第四组参数, 所述第四组参数 为所述支撑设备接收到所述第三组参数后生成并发送的; 根据所述第四组参 数, 生成共享密钥; 根据所述共享密钥、 所述受益设备的标识信息、 所述支 撑设备的标识信息, 计算以得到所述短距离通信层密钥。
结合第一方面的第六种可能的实现方式, 在第十种可能的实现方式中, 所述方法还包括: 接收所述支撑设备通过所述短距离通信方式发送的数据; 使用所述受益设备的所述合成层密钥对数据进行解密处理, 得到解密后的数 据, 或, 使用所述受益设备的所述合成层密钥对数据进行解密及完整性验证 处理, 得到解密后的数据。
结合第一方面的第十种可能的实现方式,在第十一种可能的实现方式中, 所述接收所述支撑设备通过所述短距离通信方式发送的数据之后, 所述使用 所述受益设备的所述合成层密钥对数据进行解密, 或解密及完整性验证处理 之前, 还包括: 使用所述短距离通信层密钥对所述支撑设备发送的数据进行
解密以及完整性验证。
结合第一方面或者第一方面的第一种、 第二种、 第三种、 第四种、 第五 种、 第六种、 第七种、 第八种、 第九种、 第十种、 第十一种可能的实现方式, 在第十二种可能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无 线保真度 WiFi方式、或蓝牙方式、或端到端 D2D方式、或近距离无线通信 NFC 方式。
第二方面, 本发明实施例提供了一种数据传输的方法, 所述方法包括: 支撑设备接收受益设备通过短距离通信方式发送的第一数据;
使用短距离通信层密钥验证所述第一数据的完整性, 并解密所述第一数 据, 得到第二数据, 所述第二数据为所述受益设备使用所述受益设备的合成 层密钥加密或加密及完整性保护后的数据;
在合成层对所述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所 述第二数据进行加密处理, 或加密及完整性保护处理得到第三数据;
发送所述第三数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密 钥对所述第三数据进行解密, 或解密及完整性验证以得到所述第二数据, 以 及使用所述受益设备的合成层密钥解密所述第二数据。
在第一种可能的实现方式中, 所述支撑设备接收受益设备通过短距离通 信方式发送的第一数据之前, 还包括: 获取所述短距离通信层密钥。
结合第二方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述获取短距离通信层密钥具体包括: 接收所述网络侧发送的所述短距离通 信层密钥; 或, 接收所述网络侧转发的由所述受益设备根据密钥生成器生成 的短距离通信层密钥; 或, 接收所述网络侧发送的第二组参数, 所述第二组 参数为所述网络侧生成的用以所述支撑设备与所述受益设备进行密钥协商的 参数, 所述受益设备接收到第一组参数后, 所述支撑设备与所述受益设备进 行密钥协商, 生成所述短距离通信层密钥, 所述第一组参数为所述网络侧生 成的用以所述受益设备与所述支撑设备进行密钥协商的参数; 或, 接收所述
受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将所述第四组参 数发送至所述受益设备, 所述支撑设备根据所述共享密钥、 所述受益设备的 标识信息、 所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。
结合第二方面的第一种可能的实现方式, 在第三种可能的实现方式中, 所述方法还包括: 接收基站发送的数据, 对所述数据进行短距离通信加密和 完整性保护处理, 得到第四数据; 通过所述短距离通信方式发送所述第四数 据至所述受益设备。
结合第二方面的第一种、 第二种、 第三种可能的实现方式, 在第四种可 能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无线保真度 WiFi 方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
第三方面, 本发明实施例提供了一种数据的传输方法, 所述方法包括: 基站接收支撑设备发送的第一数据;
使用所述支撑设备的 PDCP层密钥对所述第一数据进行解密,或解密及完 整性验证以得到第二数据;
使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。
在第一种可能的实现方式中, 所述接收支撑设备发送的数据之前, 还包 括: 获取所述合成层密钥。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所 述获取所述合成层密钥具体包括: 接收移动管理实体发送的所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密 钥计算得到所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生成基站密钥, 根据所述基站密钥生成接入层 密钥, 根据所述基站密钥或所述接入层密钥计算得到所述合成层密钥。
结合第三方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述使用受益设备的合成层密钥解密所述第二数据之前, 还包括: 验证所述 第二数据的完整性。
结合第三方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述方法还包括: 对要发送至受益设备的数据在合成层使用所述合成层加密 密钥进行加密处理, 得到第四数据; 发送所述第四数据至所述支撑设备, 以 使所述支撑设备对所述第四数据进行处理并发送至所述受益设备。
第四方面, 本发明实施例提供了一种数据的传输装置, 所述装置包括: 加密单元,用于获取合成层密钥,在合成层使用所述合成层密钥对上行数 据进行加密或加密及完整性保护处理, 得到第一加密数据, 将所述第一加密 数据传输至封装单元;
封装单元,用于接收所述加密单元发送的所述第一加密数据,对所述第一 加密数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传输到发 送单元;
发送单元,用于接收所述封装单元发送的所述第一封装数据,通过短距离 通信方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一 封装数据进行处理以得到第二封装数据并发送至基站。
在第一种可能的实现方式中,所述加密单元具体用于: 与网络侧之间进行 鉴权与密钥协商, 得到父密钥, 根据所述父密钥, 计算得到所述合成层密钥; 或, 与网路侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生成 基站密钥; 根据所述基站密钥生成接入层密钥; 根据所述基站密钥或所述接 入层密钥计算得到所述合成层密钥。
结合第四方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述加密单元还用于: 与所述基站之间进行加密算法及完整性保护算法协商, 得到合成层加密算法及完整性保护算法。
结合第四方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 用户面数据时, 所述加密单元具体用于: 根据所述合成层加密算法, 在合成 层使用所述合成层加密密钥对所述上行数据进行加密; 或, 根据所述合成层
加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密, 以 及根据完整性保护算法, 使用所述合成层完整性密钥对所述上行数据进行完 整性保护处理。
结合第四方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 控制面数据时, 所述加密单元具体用于: 根据所述合成层加密算法, 在合成 层使用所述合成层加密密钥对所述上行数据进行加密, 以及根据完整性保护 算法, 使用所述合成层完整性密钥对所述上行数据进行完整性保护处理。
结合第四方面的第一种可能的实现方式, 在第五种可能的实现方式中, 所述封装单元具体用于: 在合成层对所述第一加密数据进行合成层封装, 得 到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封装, 得到所述第一封装数据。
结合第四方面的第五种可能的实现方式, 在第六种可能的实现方式中, 所述加密单元还用于: 获取短距离通信层密钥, 以及短距离通信层加密算法 及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使 用短距离通信层密钥对所述第二封装数据进行加密及完整性保护处理。
结合第四方面的第六种可能的实现方式, 在第七种可能的实现方式中, 所述加密单元具体用于: 接收所述网络侧发送的所述短距离通信层密钥, 所 述短距离通信层密钥为所述网络侧根据父密钥生成的; 或, 根据密钥生成器 生成短距离通信层密钥, 并通过网络侧将所述短距离通信层密钥转发给所述 支撑设备。
结合第四方面的第六种可能的实现方式,在第八种可能的实现方式中,所 述加密单元具体用于: 接收所述网络侧发送的第一组参数, 所述第一组参数 为所述网络侧生成的用以所述受益设备与所述支撑设备进行密钥协商的参 数; 所述支撑设备接收到第二组参数后, 与所述支撑设备进行密钥协商, 生 成所述短距离通信层密钥, 所述第二组参数为所述网络侧生成的用以所述支
撑设备与所述受益设备进行密钥协商的参数。
结合第四方面的第六种可能的实现方式,在第九种可能的实现方式中,所 述加密单元具体用于: 生成第三组参数, 将所述第三组参数发送至所述支撑 设备; 接收所述支撑设备发送的第四组参数, 所述第四组参数为所述支撑设 备接收到所述第三组参数后生成并发送的; 根据所述第四组参数, 生成共享 密钥; 根据所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识 信息, 计算以得到所述短距离通信层密钥。
结合第四方面的第六种可能的实现方式, 在第十种可能的实现方式中, 所述装置还包括接收单元、 解密单元; 所述接收单元, 用于接收所述支撑设 备通过所述短距离通信方式发送的数据; 所述解密单元, 用于使用所述受益 设备的所述合成层密钥对数据进行解密处理, 得到解密后的数据; 或用于使 用所述受益设备的所述合成层密钥对数据进行解密及完整性验证处理, 得到 解密后的数据。
结合第四方面的第十种可能的实现方式,在第十一种可能的实现方式中, 所述解密单元还用于: 使用所述短距离通信层密钥对所述支撑设备发送的数 据进行解密以及完整性验证。
结合第四方面或者第四方面的第一种、 第二种、 第三种、 第四种、 第五 种、 第六种、 第七种、 第八种、 第九种、 第十种、 第十一种可能的实现方式, 在第十二种可能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无 线保真度 WiFi方式、或蓝牙方式、或端到端 D2D方式、或近距离无线通信 NFC 方式。
第五方面, 本发明实施例提供了一种数据传输的装置, 所述装置包括: 接收单元, 用于接收受益设备通过短距离通信方式发送的第一数据, 将所 述第一数据传输至解密单元;
解密单元, 用于接收所述接收单元传输的所述第一数据, 使用短距离通 信层密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二数据,
所述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或加密及 完整性保护后的数据, 将所述第二数据传输至处理单元;
处理单元, 用于接收所述解密单元传输的所述第二数据, 在合成层对所 述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所述第二数据进行加 密处理, 或加密及完整性保护处理以得到第三数据, 将所述第三数据传输至 发送单元;
发送单元, 用于接收所述处理单元发送的所述第三数据, 发送所述第三 数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三数据 进行解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受益设 备的合成层密钥解密所述第二数据。
在第一种可能的实现方式中, 所述装置还包括: 获取单元, 用于获取所 述短距离通信层密钥。
结合第五方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述获取单元具体用于: 接收所述网络侧发送的所述短距离通信层密钥; 或, 接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通信层 密钥; 或, 接收所述网络侧发送的第二组参数, 所述第二组参数为所述网络 侧生成的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受益 设备接收到第一组参数后, 与所述受益设备进行密钥协商, 生成所述短距离 通信层密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所述 支撑设备进行密钥协商的参数; 或, 接收所述受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将所述第四组参数发送至所述受益设备, 根据 所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识信息, 计算 以得到所述短距离通信层密钥。
结合第五方面的第一种可能的实现方式, 在第三种可能的实现方式中, 所述装置还包括: 加密单元; 所述加密单元, 用于接收基站发送的数据, 对 所述数据进行短距离通信加密和完整性保护处理, 得到第四数据; 所述发送
单元, 还用于通过所述短距离通信方式发送所述第四数据至所述受益设备。 结合第五方面的第一种、 第二种、 第三种可能的实现方式, 在第四种可 能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无线保真度 WiFi 方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
第六方面, 本发明实施例提供了一种数据的传输装置, 所述装置包括: 接收单元, 用于接收支撑设备发送的第一数据, 将所述第一数据传输 至解密单元;
解密单元, 用于接收所述接收单元发送的所述第一数据, 使用所述支撑 设备的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得到第 二数据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。
在第一种可能的实现方式中, 所述装置还包括: 获取单元, 用于获取所 述合成层密钥。
结合第六方面的第一种可能的实现方式,在第二种可能的实现方式中,所 述获取单元具体用于: 接收移动管理实体或基站生成并发送的所述合成层密 钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述 父密钥计算得到所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥 协商, 得到父密钥, 根据所述父密钥生成基站密钥, 根据所述基站密钥生成 接入层密钥, 根据所述基站密钥或所述接入层密钥计算得到所述合成层密钥。
结合第六方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述解密单元还用于: 验证所述第二数据的完整性。
结合第六方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述装置还包括: 加密单元、 发送单元; 所述加密单元, 用于对要发送至受 益设备的数据在合成层使用所述合成层加密密钥进行加密处理, 得到第四数 据; 所述发送单元, 用于发送所述第四数据至所述支撑设备, 以使所述支撑 设备对所述第四数据进行处理并发送至所述受益设备。
第七方面, 本发明实施例提供了一种受益设备, 所述受益设备包括:
处理器,用于获取合成层密钥,在合成层使用所述合成层密钥对上行数据 进行加密或加密及完整性保护处理, 得到第一加密数据, 并对所述第一加密 数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传输到发射机; 发射机,用于接收所述处理器发送的所述第一封装数据,通过短距离通信 方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一封装 数据进行处理以得到第二封装数据并发送至基站。
在第一种可能的实现方式中, 所述处理器具体用于: 与网络侧之间进行鉴 权与密钥协商, 得到父密钥, 根据所述父密钥, 计算得到所述合成层密钥; 或, 与网路侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生成 基站密钥; 根据所述基站密钥生成接入层密钥; 根据所述基站密钥或所述接 入层密钥计算得到所述合成层密钥。
结合第七方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述处理器还用于: 与所述基站之间进行加密算法及完整性保护算法协商, 得到合成层加密算法及完整性保护算法。
结合第七方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 用户面数据时, 所述处理器具体用于: 根据所述合成层加密算法, 在合成层 使用所述合成层加密密钥对所述上行数据进行加密; 或, 根据所述合成层加 密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密, 以及 根据完整性保护算法, 使用所述合成层完整性密钥对所述上行数据进行完整 性保护处理。
结合第七方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述合成层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为 控制面数据时, 所述处理器具体用于: 根据所述合成层加密算法, 在合成层 使用所述合成层加密密钥对所述上行数据进行加密, 以及根据完整性保护算 法, 使用所述合成层完整性密钥对所述上行数据进行完整性保护处理。
结合第七方面的第一种可能的实现方式, 在第五种可能的实现方式中, 所述处理器具体用于: 在合成层对所述第一加密数据进行合成层封装, 得到 第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封装, 得到所述第一封装数据。
结合第七方面的第五种可能的实现方式, 在第六种可能的实现方式中, 所述处理器还用于: 获取短距离通信层密钥, 以及短距离通信层加密算法及 完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用 短距离通信层密钥对所述第二封装数据进行加密及完整性保护处理。
结合第七方面的第六种可能的实现方式, 在第七种可能的实现方式中, 所述处理器具体用于: 接收所述网络侧发送的所述短距离通信层密钥, 所述 短距离通信层密钥为所述网络侧根据父密钥生成的; 或, 根据密钥生成器生 成短距离通信层密钥, 并通过网络侧将所述短距离通信层密钥转发给所述支 撑设备。
结合第七方面的第六种可能的实现方式,在第八种可能的实现方式中,所 述处理器具体用于: 接收所述网络侧发送的第一组参数, 所述第一组参数为 所述网络侧生成的用以所述受益设备与所述支撑设备进行密钥协商的参数; 所述支撑设备接收到第二组参数后, 与所述支撑设备进行密钥协商, 生成所 述短距离通信层密钥, 所述第二组参数为所述网络侧生成的用以所述支撑设 备与所述受益设备进行密钥协商的参数。
结合第七方面的第六种可能的实现方式,在第九种可能的实现方式中,所 述处理器具体用于: 生成第三组参数, 将所述第三组参数发送至所述支撑设 备; 接收所述支撑设备发送的第四组参数, 所述第四组参数为所述支撑设备 接收到所述第三组参数后生成并发送的; 根据所述第四组参数, 生成共享密 钥; 根据所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识信 息, 计算以得到所述短距离通信层密钥。
结合第七方面的第六种可能的实现方式, 在第十种可能的实现方式中,
所述受益设备还包括接收机; 所述接收机, 用于接收所述支撑设备通过所述 短距离通信方式发送的数据; 所述处理器, 用于使用所述受益设备的所述合 成层密钥对数据进行解密处理, 得到解密后的数据; 或用于使用所述受益设 备的所述合成层密钥对数据进行解密及完整性验证处理, 得到解密后的数据。
结合第七方面的第十种可能的实现方式,在第十一种可能的实现方式中, 所述处理器还用于: 使用所述短距离通信层密钥对所述支撑设备发送的数据 进行解密以及完整性验证。
结合第七方面或者第七方面的第一种、 第二种、 第三种、 第四种、 第五 种、 第六种、 第七种、 第八种、 第九种、 第十种、 第十一种可能的实现方式, 在第十二种可能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无 线保真度 WiF i方式、或蓝牙方式、或端到端 D2D方式、或近距离无线通信 NFC 方式。
第八方面, 本发明实施例提供了一种支撑设备, 所述支撑设备包括: 接收机, 用于接收受益设备通过短距离通信方式发送的第一数据, 将所述 第一数据传输至处理器;
处理器, 用于接收所述接收机传输的所述第一数据, 使用短距离通信层 密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二数据, 所 述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或加密及完 整性保护后的数据; 在合成层对所述第二数据进行处理后, 在分组数据汇聚 协议 PDCP层对所述第二数据进行加密处理, 或加密及完整性保护处理以得到 第三数据, 将所述第三数据传输至发射机;
发射机, 用于接收所述处理器发送的所述第三数据, 发送所述第三数据 至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三数据进行 解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受益设备的 合成层密钥解密所述第二数据。
在第一种可能的实现方式中, 所述处理器还用于: 获取所述短距离通信
层密钥。
结合第八方面的第一种可能的实现方式, 在第二种可能的实现方式中, 所述处理器具体用于: 接收所述网络侧发送的所述短距离通信层密钥; 或, 接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通信层 密钥; 或, 接收所述网络侧发送的第二组参数, 所述第二组参数为所述网络 侧生成的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受益 设备接收到第一组参数后, 与所述受益设备进行密钥协商, 生成所述短距离 通信层密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所述 支撑设备进行密钥协商的参数; 或, 接收所述受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将所述第四组参数发送至所述受益设备, 根据 所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识信息, 计算 以得到所述短距离通信层密钥。
结合第八方面的第一种可能的实现方式, 在第三种可能的实现方式中, 所述处理器还用于: 接收基站发送的数据, 对所述数据进行短距离通信加密 和完整性保护处理, 得到第四数据; 通过所述短距离通信方式发送所述第四 数据至所述受益设备。
结合第八方面的第一种、 第二种、 第三种可能的实现方式, 在第四种可 能的实现方式中, 所述短距离通信方式为蜂窝通信方式、 或无线保真度 WiFi 方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
第九方面, 本发明实施例提供了一种基站, 所述基站包括:
接收机, 用于接收支撑设备发送的第一数据, 将所述第一数据传输至处理 器;
处理器, 用于接收所述接收机发送的所述第一数据, 使用所述支撑设备 的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得到第二数 据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。
在第一种可能的实现方式中, 所述处理器还用于: 获取所述合成层密钥。
结合第九方面的第一种可能的实现方式,在第二种可能的实现方式中,所 述处理器具体用于: 接收移动管理实体发送的所述合成层密钥; 或, 与所述 受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥计算得到 所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密 钥, 根据所述父密钥生成基站密钥, 根据所述基站密钥生成接入层密钥, 根 据所述基站密钥或所述接入层密钥计算得到所述合成层密钥。
结合第九方面的第二种可能的实现方式, 在第三种可能的实现方式中, 所述处理器还用于: 验证所述第二数据的完整性。
结合第九方面的第二种可能的实现方式, 在第四种可能的实现方式中, 所述基站还包括: 发射机; 所述处理器, 还用于对要发送至受益设备的数据 在合成层使用所述合成层加密密钥进行加密处理, 得到第四数据; 所述发射 机, 用于发送所述第四数据至所述支撑设备, 以使所述支撑设备对所述第四 数据进行处理并发送至所述受益设备。
第十方面, 本发明实施例提供了一种数据的传输系统, 所述系统包括上 述数据的传输装置, 以及移动管理实体。
第十一方面, 本发明实施例提供了一种数据的传输系统, 所述系统包括 上述支撑设备、 受益设备、 基站以及移动管理实体。
本发明实施例中,受益设备获取合成层密钥,在合成层使用所述合成层密 钥对上行数据进行加密或加密及完整性保护处理, 得到第一加密数据; 对所 述第一加密数据进行封装处理, 得到第一封装数据; 通过短距离通信方式发 送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一封装数据进 行处理以得到第二封装数据并发送至基站。 从而避免在合成通信过程中, 受 益设备通过支撑设备与基站之间传输的数据被支撑设备获取, 或者被其他设 备进行窃听、 墓改的问题; 而本发明在发送方 (受益设备或者基站)发送数 据时, 通过在合成层使用支撑设备所不知道的密钥对数据进行加密和完整性 保护, 使得支撑设备无法获取该数据, 并且通过在短距离通信层对数据进行
加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输 数据时, 使得数据不被其他用户设备窃听、 墓改等, 实现了合成通信过程中 受益设备、 支撑设备和基站之间数据的安全传输, 提高了网络的安全性以及 数据传输的可靠性。 附图说明
图 1为本发明实施例提供的数据的传输方法的一种应用架构示意图; 图 2为本发明实施例提供的一种数据的传输方法流程图;
图 3为本发明实施例提供的一种受益设备通过支撑设备向基站发送数据 的数据流示意图;
图 4为本发明实施例提供的一种 UE和 E获取合成层密钥的信息交互示 意图;
图 5为本发明实施例提供的一种受益 UE和基站获取合成层密钥的信息交 互示意图;
图 6为本发明实施例提供的一种由 E生成短距离通信层密钥并发送至 支撑设备和受益设备的信息交互示意图;
图 7为本发明实施例提供的一种由支撑设备和受益设备协商生成短距离 通信层密钥的信息交互示意图;
图 8为本发明实施例提供的一种由匪 E、支撑设备和受益设备三者协商生 成短距离通信层密钥的信息交互示意图;
图 9为本发明实施例提供的一种由受益设备生成短距离通信层密钥的信 息交互示意图;
图 10为本发明实施例提供的一种受益设备通过支撑设备与基站进行数据 传输的示意图;
图 1 1为本发明实施例提供的另一数据的传输方法流程图;
图 12为本发明实施例提供的另一数据的传输方法流程图;
图 13为本发明实施例提供的一种数据的传输装置示意图;
图 14为本发明实施例提供的另一数据的传输装置示意图;
图 15为本发明实施例提供的另一数据的传输装置示意图;
图 16为本发明实施例提供的一种受益设备示意图;
图 17为本发明实施例提供的一种支撑设备示意图;
图 18为本发明实施例提供的一种基站示意图。 具体实施方式
以下描述中, 为了说明而不是为了限定, 提出了诸如特定系统结构、 接 口、 技术之类的具体细节, 以便透切理解本发明。 然而, 本领域的技术人员 情况中, 省略对众所周知的装置、 电路以及方法的详细说明, 以免不必要的 细节妨碍本发明的描述。
本文中描述的技术可用于各种通信系统, 例如当前 2G, 3G通信系统和下 一代通信系统, 例如全球移动通信系统 (GSM, Global System for Mobile communications ) , 码分多址 ( CDMA, Code Division Multiple Access ) 系 统, 时分多址 ( TDMA, Time Division Multiple Access ) 系统, 宽带码分多 址 ( WCDMA , Wideband Code Division Multiple Access Wireless ) , 频分 多址 ( FDMA, Frequency Division Multiple Addressing ) 系统, 正交频分 多址 ( OFDMA, Orthogonal Frequency-Division Multiple Access ) 系统, 单载波 FDMA( SC-FDMA)系统,通用分组无线业务( GPRS, General Packet Radio Service ) 系统, 长期演进 (LTE, Long Term Evolution ) 系统, 以及其他此 类通信系统。
本文中结合用户设备和 /或基站来描述各种方面。
用户设备, 可以是无线终端也可以是有线终端, 无线终端可以是指向用 户提供语音和 /或数据连通性的设备, 具有无线连接功能的手持式设备、 或连
接到无线调制解调器的其他处理设备。 无线终端可以经无线接入网 (例如,
RAN, Radio Access Network )与一个或多个核心网进行通信, 无线终端可以 是移动终端, 如移动电话(或称为 "蜂窝" 电话)和具有移动终端的计算机, 例如, 可以是便携式、 袖珍式、 手持式、 计算机内置的或者车载的移动装置, 它们与无线接入网交换语言和 /或数据。 例如, 个人通信业务(PCS, Personal Communication Service ) 电话、 无绳电话、 会话发起协议(SIP)话机、 无 线本地环路(WLL, Wireless Local Loop)站、 个人数字助理(PDA, Personal Digital Assistant )等设备。无线终端也可以称为系统、订户单元 ( Subscriber Unit ) 、 订户站 ( Subscriber Station ) , 移动站 ( Mobile Station ) 、 移 动台 ( Mobile ) 、 远程站 ( Remote Station ) 、 接入点 ( Access Point ) 、 远程终端 ( Remote Terminal ) 、 接入终端 ( Access Terminal ) 、 用户终端 ( User Terminal ) 、 用户代理 ( User Agent ) 、 用户设备(User Device ) 、 或用户装备 ( User Equipment ) 。
上述用户设备基本都能同时支持短距离通信技术和蜂窝通信技术, 以蜂 窝通信技术为长期演进(LTE, Long Term Evolution) , 短距离通信技术以 无线保真度(Wireless-Fidelity, WiFi ) 为例, 在单网络节点且多用户之 间的协作通信的场景, 或者称为多用户协作通信(Multiple UEs Cooperative Co匪 unication, MUCC) 的场景下, 当至少两个 UE都具有同时支持 WiFi和 LTE的特点时, 为了增加可靠性和吞吐率, 该至少两个 UE之间可以建立一种 MUCC的关系, 即至少两个 UE中的一个 UE需要发送或接收数据, 除该一个 UE 之外的其他 UE可进行支撑, 协助该一个 UE进行通信。 本发明中, 将该一个 UE命名为受益设备、 被服务设备、 目标设备或者被协助设备, 将除该一个 UE 之外的其他 UE命名为支撑设备、 服务设备或协助设备, 上述设备的命名只是 本发明举的一个例子, 本发明中设备的命名包括并不限于上述命名的举例。
以支撑设备与受益设备为例, 受益设备为上行数据最终的发送方或者下 行数据的最终接收方 (从蜂窝角度来看) 。 针对某一承载来说, 一般只有一
个, 而支撑设备是用来协助受益设备而进行数据中转的设备。 针对受益设备 的某一承载来说, 可以有多个。
以支撑设备与受益设备为例, 受益设备和支撑设备的概念是从受益设备 的承载角度来看的, 例如, 设备 1和设备 2组成 MUCC, 它们可以相互协助通 信, 这样, 站在设备 1的某个承载角度, 设备 2可以支撑设备 1的该承载, 于是设备 1是受益设备, 设备 2是支撑设备。 而与此同时, 设备 1也可以支 撑设备 2的某个承载, 于是站在设备 2的这个承载的角度, 设备 2是受益设 备, 而设备 1是支撑设备。
以支撑设备与受益设备为例, 当上述设备处于相同的短距离连接范围内, 网络可以将下行数据分别发送给上述支撑设备和受益设备(一种优化的方法 是, 网络调度总会选择当时无线链路情况最好的设备发送) , 当网络将下行 数据发送给支撑设备时,接收到数据的支撑设备再将数据通过短距离通信(例 如 WiFi )发送给受益设备。 当然, 数据也可以是直接到达受益设备, 由受益 设备进行数据的合并。 同理, 受益设备的上行数据也可以通过受益设备自身 或者其他支撑设备发给网络, 然后网络进行数据的合并, 完成设备之间的协 作通信。
通过支撑设备的协助传输, 可以增加收益设备通信的可靠性和吞吐率。 基站 (例如, 接入点)可以是指接入网中在空中接口上通过一个或多个 扇区与无线终端通信的设备。 基站可用于将收到的空中帧与 IP分组进行相互 转换, 作为无线终端与接入网的其余部分之间的路由器, 其中接入网的其余 部分可包括网际协议( IP ) 网络。 基站还可协调对空中接口的属性管理。 例 如, 基站可以是 GSM或 CDMA中的基站 (BTS , Base Transceiver Stat ion ) , 也可以是 WCDMA中的基站( NodeB ) ,还可以是 E-UTRA中的演进型基站( NodeB 或 eNB或 e- NodeB, evo lut iona l Node B ) , 本发明并不限定。
本申请文件中, 所提到的 "合成通信" 是指当至少两个 UE都具有同时支 持 WiFi和 LTE的特点时, 为了增加可靠性和吞吐率, 该至少两个 UE之间可
以建立一种 MUCC的关系, 即至少两个 UE中的一个 UE需要发送或接收数据, 除该一个 UE之外的其他 UE可进行支撑,协助该一个 UE进行通信的通信方式。
其中,为了实现合成通信,在 PDCP层上方、应用层下方存在一个合成层, 该合成层用于分流、 合成数据。 合成层的功能可以分为用户面功能和控制面 功能。
1、 用户面功能: 包括分流、 合成数据, 即 eNB将下行数据(从受益设备 的 S 1下行承载接收)分流发送至多个支撑设备, 支撑设备通过短距离通信发 送数据到受益设备, 受益设备进行合成。 同样, 受益设备分流上行数据, eNB 进行合成, 发送到受益设备的 S 1的上行承载。
2、 控制面功能: 新的支撑设备加入和老的支撑设备离开。 当某支撑设备 的 RB链路足够差时,取消该支撑设备。受益设备根据短距通信链路进行适配。 如果某短距离通信中断, 则通知 eNB取消该支撑设备。 如果某短距离通信的 最大通信速率调整, 则通知 eNB为该对应 RB发送的速率不超过短距离通信的 通信速率。
本申请文件中还提到了短距离通信层, 短距离通信层是指合成层以下的 层, 对于不同的短距离通信技术, 该短距离通信层也不相同, 如对于 Wi f i技 术, 短距离通信层包括 MAC层和物理 PHY层。
图 1 为本发明实施例提供的数据的传输方法的一种应用架构示意图。 本 发明实施例提供的数据的传输方法在实际应用时, 作为一种新的数据传输方 法可应用于移动通信网络系统中, 基站与受益设备之间传输数据的场景。 如 图 1所示, 本发明实施例提供的应用场景中, 移动管理实体匪 E可以提供用 于对要传输的数据提供安全保护的密钥, 基站可在合成层将下行数据 (从受 益设备的 S 1下行承载接收)进行分流, 并对下行数据使用受益设备的合成层 密钥进行加密和完整性保护, 然后发送至一个或多个支撑设备, 由支撑设备 通过短距离通信转发数据到受益设备, 受益设备在合成层使用受益设备合成 层密钥进行数据的完整性验证和解密, 并将解密后的数据进行合成。 同样,
受益设备可在合成层分流上行数据, 并对上行数据使用受益设备的合成层密 钥进行加密和完整性保护, 然后发送至一个或多个支撑设备, 由支撑设备通 过短距离通信转发数据到基站, 基站在合成层使用受益设备的合成层密钥进 行数据的完整性验证和解密, 并将解密后的数据进行合成。 由于支撑设备并 不知道受益设备的合成层密钥, 因此可以保证基站与受益设备之间传输的数 据安全。 另外, 对于支撑设备和受益设备之间的数据传输时, 也可以在短距 离通信层对要传输的数据进行加密和完整性保护处理, 由此可保证支撑设备 和受益设备之间的数据的安全传输。
图 2为本发明实施例提供的一种数据的传输方法流程图。该实施例的执行 主体是受益设备, 其中详细描述了受益设备对于要发送至基站的上行数据进 行加密, 或加密及完整性保护, 并通过支撑设备发送数据的过程。 如图 2 所 示, 该实施例包括以下步骤:
步骤 201 , 受益设备获取合成层密钥, 在合成层使用所述合成层密钥对上 行数据进行加密, 或加密及完整性保护, 得到第一加密数据。
具体地, 受益设备和移动管理实体(Mobi l i ty Management Ent i ty, MME ) 在完成演进数据系统的认证和密钥协商过程 ( Evo lved Packet Sys tem Authent icat ion and Key Agreement , EPS AKA )后, 得到父密钥 Kasme, 然 后可采用两种方法生成合成层密钥,一种是由 E根据 KDF ()密钥生成函数和 Kasme生成, 另一种是由基站根据基站侧密钥或接入层密钥生成。合成层密钥 包括加密密钥 Int_layer _UPenc、 Int-layer_CPenc , 以及完整性密钥 Int-layer_Upint , Int_layer_CPint。 其中, 力口密密钥 Int-layer_UPenc 用 于在合成层加密用户面数据, 加密密钥 Int-layer_CPenc用于在合成层加密 控制面数据, 完整性密钥 Int-layer_Up int 用于在合成层对用户面数据的完 整性进行保护, 完整性密钥 Int-layer _CPint 用于在合成层对控制面数据的 完整性进行保护。
如果要传输的数据是用户面数据,则可以不对数据进行完整性保护, 而只
进行加密处理, 当然也可以既进行加密处理又进行完整性保护; 如果要传输 的数据是控制面数据, 则既进行加密处理又进行完整性保护。
步骤 202 , 对所述第一加密数据进行封装处理, 得到第一封装数据。
受益设备在合成层对要传输的数据进行加密后,或加密及完整性保护,再 对数据进行合成层的封装, 然后在短距离通信层对数据进行相应的封装处理, 得到第一封装数据。
需要说明的是,在短距离通信层也可以对在合成层进行封装后的数据进行 加密处理和完整性保护处理, 以防止攻击者通过支撑设备与受益设备之间的 无线空口对传输的数据进行窃听、 修改、 重放等安全攻击, 保证支撑设备和 受益设备之间传输的数据的机密性和完整性。
步骤 203 , 通过短距离通信方式发送所述第一封装数据至支撑设备, 以使 所述支撑设备对所述第一封装数据进行处理以得到第二封装数据并发送至基 站。
在短距离通信层对数据进行封装之后, 可通过短距离通信方式, 如蜂窝 通信方式、 或无线保真度 Wi F i方式、 或蓝牙方式、 或端到端 D2D方式、 或近 距离无线通信 NFC方式等, 将第一封装数据发送至支撑设备。
支撑设备在短距离通信层接收到数据后, 对数据进行解封装处理, 如果 受益设备在短距离通信层对数据进行了安全保护, 即加密和完整性保护, 则 支撑设备在接收到数据后要使用短距离通信层密钥对数据进行验证和解密处 理, 然后在合成层对数据进行承载映射和合成层封装, 然后在 PDCP层使用支 撑设备的 PDCP层密钥进行完整性保护和加密处理, 然后向下逐层封装, 并发 送到基站。
具体地, 受益设备通过支撑设备向基站发送数据的数据流如图 3所示中 的虚线所示, 数据在合成层进行加密处理, 然后传输到短距离通信层, 短距 离通信层对数据进行封装处理后, 通过短距离通信方式传输数据到支撑设备 的短距离通信层; 短距离通信层对数据进行解封装后传输数据到支撑设备的
合成层,由合成层对数据进行承载映射等处理后将数据传输到 PDCP层,在 PDCP 层使用支撑设备的 PDCP层密钥进行完整性保护和加密处理, 然后向下逐层封 装, 并发送到基站; 基站接收到数据后, 向上逐层解封装, 并在 PDCP层使用 支撑设备的 PDCP层密钥进行完整性验证和解密, 然后传输到合成层, 在合成 层使用受益设备的合成层密钥进行完整性验证和解密, 最终得到受益设备发 送的数据。
上述筒单描述了受益设备通过支撑设备向基站发送数据的方法, 基站通 过支撑设备向受益设备发送数据的方法与上述方法类似。 即基站通过支撑设 备向受益设备发送数据的方法为: 基站在合成层对要发送的数据进行合成层 保护, 并且在 PDCP层使用支撑设备的 PDCP层密钥进行保护, 然后发送数据 到支撑设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信 层, 在短距离通信层进行保护, 并发送至受益设备; 受益设备接收支撑设备 通过所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验 证和解密, 然后使用合成层密钥对数据进行解密或者进行解密及完整性验证 处理, 得到解密后的数据。 由此实现合成通信过程中受益设备、 支撑设备和 基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
本发明实施例中, 描述了受益设备通过支撑设备向基站传输数据的过程。 受益设备获取合成层密钥, 在合成层使用所述合成层密钥对上行数据进行加 密或加密及完整性保护处理, 得到第一加密数据; 对所述第一加密数据进行 封装处理, 得到第一封装数据; 通过短距离通信方式发送所述第一封装数据 至支撑设备, 以使所述支撑设备对所述第一封装数据进行处理以得到第二封 装数据并发送至基站。 从而避免在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备
无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
上述实施例描述了数据的传输方法,其中在数据传输过程中使用合成层密 钥, 保证了受益设备的数据不被支撑设备解密并获取到; 其中还提供了短距 离通信层密钥, 可以防止攻击者通过支撑设备与受益设备之间的无线空口对 传输的数据进行窃听、 修改、 重放等安全攻击, 保证了支撑设备和受益设备 之间传输的数据的机密性和完整性。 下面通过实施例描述合成层密钥的生成 方法, 以及短距离通信层密钥的生成方法。
合成层密钥可以在 MME中生成,也可以在基站中生成。在生成合成层密钥 后, 受益设备和基站之间还可进行合成层加密所使用的合成层加密算法和完 整性保护算法的协商, 得到要使用的合成层加密算法和完整性保护算法。
假如计算合成层密钥时需要输入算法信息,则算法协商应该在计算合成层 密钥之前, 否则在计算合成层密钥之前或者之后均可获取合成层加密算法。
在匪 E中生成合成层密钥的方法为: 在受益设备与 MME完成 EPS AKA后, 得到父密钥 Kasme, 将父密钥作为 KDF的输入, 可以生成一个密钥, 该密钥为 合成层密钥。
具体地, KDF ()是密钥生成函数,第三代合作伙伴计划( The 3rd Generation Partnership Project, 3GPP ) 中的 KDF ()指的是 HMAC- sha- 256 ( ) 函数, 合 成层密钥为 HMAC- SHA- 256 ( Key , S ) , 其中, Key为 Kasme, S = FC I I PO I I LO I I PI I I LI I I P2 I I L2 I I P3 I I L3 I I... I I Pn | | Ln, P0、 LO... 是可选的, 这里, FC为 0x15, PO为 algorithm type distinguisher (加 密算法指示 /完整性保护算法指示) , L0 为 length of algorithm type distinguisher (加密算法指示 /完整性保护算法指示的长度),P1为 algorithm i d en t i t y (加密算法 /完整性保护算法的标识信息), L 1为 1 eng t h o f a 1 go r i t hm
ident i ty (加密算法 /完整性保护算法的标识信息的长度) 。 可选的, 也可以 通过在 KDF ()中输入其他的参数来生成合成层密钥,受益设备和 E协商好即 可。
优选地, 还可以由 UE和 MME生成合成层密钥, 其中, 图 4为本发明实施 例提供的一种匪 E获取合成层密钥的信息交互示意图。 其中详细描述了网络 侧生成合成层密钥并下发给基站, 由基站通知受益设备的过程, 如图 4所示, 该实施例包括以下步骤:
步骤 401 , 受益设备和移动功能实体匪 E在 EPS AKA后获取了 Kasme, 匪 E 根据 KDF 0密钥生成函数生成支撑设备的合成层密钥, 包括加密密钥 ( Int-layer_UPenc , Int-layer_CPenc ) 和 完 整 性 保 护 密 钥 ( Int-layer-UPint , Int-layer_CPint ) 。
受益设备发起 MUCC业务时, 首先进行发现能提供 MUCC业务支持的支撑 设备, 并且由网络侧分别对支撑设备及受益设备的身份进行安全认证。
步骤 402 , 匪 E将受益设备的合成层密钥发送给基站。
步骤 403 , 基站存储受益设备的合成层密钥。
步骤 404 , 受益设备与基站进行算法协商, 包括加密算法和完整性保护 算法(该算法可以是受益设备与基站直接链路在 AS SMC中所协商的 AS层加 密算法, 也可以是受益设备与基站通过直接链路重新协商的不同于 AS层算法 的新算法) 。
优选地, 还可在基站中生成合成层密钥, 其过程如图 5所示, 图 5为本 发明实施例提供的一种受益 UE和基站获取合成层密钥的信息交互示意图, 如 图 5所示, 该实施例包括以下步骤:
步骤 501 , 基站生成合成层密钥。
具体地, 基站可以将基站侧密钥 KeNB或接入层密钥作为 KDF 0密钥生成 函数的输入, 生成合成层密钥。
其中, 在受益设备与 E完成 EPS AKA后, 得到父密钥 Kasme, E根据
Kasme生成 KeNB并将 KeNB发送至基站, MME可以将父密钥和非接入层通信安 全性保护计数值 NAS UPLINK COUNT作为 KDF 0的输入, 生成密钥 KeNB, 即基 站侧密钥并发给基站; 而根据基站侧密钥可以生成接入层密钥。 由此, 基站 可以根据基站侧密钥或者接入层密钥生成合成层密钥。
步骤 502 , 基站与受益设备进行算法协商。
在生成合成层密钥后, 基站和受益设备之间可以进行加密算法或者完整 性保护算法的协商。
由此, 本发明实施例实现了基站生成合成层密钥的过程。
优选地, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体 采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。 相 应地, 对于短距离通信层密钥, 也可以使用 D-H 密钥协商技术来生成短距离 通信层密钥, 以保护短距离通信的安全。
短距离通信层密钥可以由 E生成并下发给支撑设备和受益设备; 也可 以由支撑设备和受益设备两者协商生成, 而不需要网络侧 (包括基站和 匪 E 等) 的参与; 也可以由受益设备根据密钥生成器生成并通过网络侧发送给支 撑设备; 还可以由支撑设备、 受益设备和网络侧三者共同协商生成; 还可以 由受益设备生成并通过 E和基站下发给支撑设备。 在生成短距离通信层密 钥后, 受益设备和支撑设备之间还可进行短距离通信层加密所使用的短距离 通信层加密算法和完整性保护算法的协商, 得到要使用的短距离通信层加密 算法和完整性保护算法。
具体地, 短距离通信层密钥可以由 E生成并下发给支撑设备和受益设 备, 图 6为本发明实施例提供的一种由 E生成短距离通信层密钥并发送至 支撑设备和受益设备的信息交互示意图; 如图 6 所示, 该实施例包括以下步 骤:
步骤 601 , MME生成短距离通信层密钥。
受益设备决定发起 MUCC业务时, 首先进行发现周围能提供 MUCC业务支
持的支撑设备的操作, 并且完成受益设备与支撑设备之间的安全认证。 其中, 该过程可以由受益设备、 支撑设备两者来实现而不需要基站参与, 也可以由 基站、 受益设备、 支撑设备三者共同实现。
在生成短距离通信层密钥之前, 受益设备与网络侧 (匪 E/基站)可完成 受益设备的合成层密钥及算法协商。
MME生成短距离通信层密钥的操作具体为: 随机生成一个随机数 Random, 然后将该 Random值、 支撑设备标识信息和受益设备标识信息作为 KDF ()参数 的输入, 从而生成短距离通信层密钥 HMAC-SHA-256 ( Random, B-UE I D , S-UE I D ) 。
步骤 602 , MME将短距离通信层密钥发送至基站。
匪 E先分别使用受益设备和支撑设备的 NAS层加密密钥和完整性保护密钥 保护短距离通信层密钥, 然后再将其下发至基站。
步骤 603 , 基站存储短距离通信层密钥。
步骤 604 , 基站发送短距离通信层密钥给支撑设备。
基站对该短距离通信层密钥使用支撑设备的 PDCP层密钥 ( RRC加密密钥 和完整性保护密钥)加密后, 通过 RRC信令发送短距离通信层密钥至支撑设 备。
步骤 605 , 基站发送短距离通信层密钥给受益设备。
基站对该短距离通信层密钥使用受益设备的 PDCP层密钥 ( RRC加密密钥 和完整性保护密钥)加密后, 通过 RRC信令发送短距离通信层密钥至受益设 备。
步骤 606 , 受益设备和支撑设备完成短距离通信层的算法协商。
其中, 支撑设备和受益设备的短距离层加密 /完保算法也可以由基站分别 指示给支撑设备和受益设备。 这样, 步骤 606的算法协商可以省略。
本发明实施例中, 由于网络侧在下发短距离通信层密钥给支撑设备时, 使用了支撑设备的 NAS层密钥和 PDCP层密钥进行保护, 在下发短距离通信层
密钥给受益设备时, 使用了受益设备的 NAS层密钥和 PDCP层密钥进行保护, 因此保证了短距离通信层密钥不会被其他用户窃听和墓改, 保证了短距离通 信层密钥的完整性和机密性。
具体地, 短距离通信层密钥由支撑设备和受益设备两者协商生成, 而不 需要网络侧参与的方法可以为 D-H方式、 或密钥匹配方式、 或共享密钥方式、 或空加密方式, 或其他类似的密钥协商方式, 这里以 D-H方式为例进行说明, 图 7 为本发明实施例提供的一种由支撑设备和受益设备协商生成短距离通信 层密钥的信息交互示意图, 如图 7所示, 该实施例包括以下步骤:
步骤 701 , 受益设备生成第三组参数。
受益设备决定发起 MUCC业务时, 执行发现周围能提供 MUCC业务支持的 支撑设备的操作, 并且完成受益设备与支撑设备之间的安全认证。 其中, 该 过程可以由受益设备、 支撑设备两者来实现而不需要基站参与, 也可以由基 站、 受益设备、 支撑设备三者共同实现。
受益设备生成第三组参数,即 D-H私钥 a ,公共数 p、 g ,并计算 A= (ga) mod p。
步骤 702 , 受益设备将第三组参数以及受益设备标识发送给支撑设备。 步骤 703 , 支撑设备生成第四组参数。
支撑设备生成的第四组参数包括私钥 b , B= (gb) mod p。
并在接收到受益设备发送的第三组参数后, 计算共享密钥: share key= ( A" mod p。
步骤 704 , 支撑设备将第四组参数以及支撑设备标识发送给受益设备。 步骤 705 , 受益设备计算共享密钥。
受益设备接收到第四组参数以及支撑设备的标识信息后, 可计算共享密 钥 share key= ( BAa ) mod p。
步骤 706 , 受益设备和支撑设备根据共享密钥 share key、 受益设备标识、 支撑设备标识等安全参数计算短距离通信层的密钥。
步骤 707 , 受益设备和支撑设备协商短距离通信层的加密 /完保算法。 本发明实施例中, 受益设备和支撑设备两者通过 D-H协商的方式获取了 短距离通信层密钥。
可选地, 对于密钥匹配方式, 受益设备可以生成一个随机数, 作为输入 密码 /参数, 并将该随机数通过某种方式(口头告知、短信告知、 邮件告知等) 告知支撑设备, 这样双方就拥有共同的输入密码 /参数, 可以进一步协商短距 离通信层的密钥。 这种方式适用于办公室、 家庭、 学校等场景。
可选地, 对于共享密钥方式, 受益设备与支撑设备之间预先配置一个共 享密钥, 每次执行合成通信业务时, 受益设备和支撑设备根据该共享密钥协 商短距离通信层密钥。 这种方式适用于办公室、 家庭、 学校等场景。
可选地, 对于空加密方式, 受益设备与支撑设备完成发现和认证流程之 后, 支撑设备向受益设备指示空加密方式, 如果受益设备支持则回复确认消 息。 这样, 合成通信安全只依赖于受益设备与网络侧协商的合成层安全, 而 不对短距离通信进行特别保护。
具体地, 短距离通信层密钥还可由支撑设备、 受益设备和网络侧三者共 同生成, 图 8为本发明实施例提供的一种由匪 E、 支撑设备和受益设备三者协 商生成短距离通信层密钥的信息交互示意图; 如图 8 所示, 该实施例包括以 下步骤:
步骤 801 , MME生成 D-H安全参数。
其中, D-H安全参数包括 DH_ a、 DH_b、 公共数 g、 p。
MME生成 D-H安全参数, 包括私钥 DH_ a (受益设备的私钥) 、 DH_b (支 撑设备的私钥) , 以及公共数 g、 q。
步骤 802 , MME将 D-H安全参数发送给基站。
步骤 803 , 基站保存 D-H安全参数。
步骤 804 , 基站将第一组参数发送至受益设备。
基站将第一组参数, 即受益设备的私钥 DH _ a、 公共数 g和 q发送给受益
设备 (受受益设备的 EPS安全机制保护 ) 。
步骤 805 , 基站将第二组参数发送至支撑设备。
基站将第二组参数, 即支撑设备的私钥 DH_b、 公共数 g和 q发送给支撑 设备 (受支撑设备的 EPS安全机制保护 ) 。
步骤 806 , 支撑设备和受益设备进行 D-H 密钥协商, 并生成共享密钥
Key- DH。
在支撑设备和受益设备进行 D-H密钥协商过程中,受益设备计算 A=( g DH a ) mod ( p ) , 并将 A发送给支撑设备, 支撑设备根据 A及保存的 DH_b、 g、 p来 获取 Key_DH= ( A DH- b ) mod ( p ) ; 同理, 支撑设备计算 B= ( g DH- b ) mod ( p ) , 并将 B发送给受益设备,受益设备根据 B及保存的 DH_b、 g、 p来获取 Key_DH= ( B DH- a ) mod ( p ) 。
需要说明的是, 与传统 D-H过程不同, 这里的公共参数 g、 p不在受益设 备和支撑设备间通过空口传输, 即§、 p不会被攻击者获取; 因此, 在受益设 备和支撑设备交互了 A、 B之后, 只有拥有相同 g、 p的受益设备和支撑设备 才能协商出一个相同的公共密钥 Key_DH , 也就验证了双方身份的合法性; 而 攻击者因为没有正确的 8、 p , 无法计算正确的 、 B、 Key.DH , 这样就验证了 受益设备或支撑设备的不合法身份。
步骤 807 , 支撑设备根据 Key_DH生成用于短距离通信的密钥, 包括加密 密钥和完整性保护密钥, 受益设备根据 Key_DH生成用于短距离通信的密钥, 包括加密密钥和完整性保护密钥。
步骤 808 , 支撑设备和受益设备进行算法协商, 包括加密算法和完整性保 护算法。
本发明实施例中, 网络侧, 受益设备和支撑设备三者通过 D-H协商的方 式获取了短距离通信层密钥。
具体地, 短距离通信层密钥还可以由受益设备生成, 图 9 为本发明实施 例提供的一种由受益设备生成短距离通信层密钥的信息交互示意图; 如图 9
所示, 该实施例包括以下步骤:
步骤 901 , 受益设备生成短距离通信层密钥。
受益设备决定发起 MUCC业务时, 可先执行发现周围能提供 MUCC业务支 持的支撑设备的操作, 并且完成受益设备与支撑设备之间的安全认证。 其中, 该过程可以由受益设备、 支撑设备两者来实现而不需要网络侧 (基站 /ΜΜΕ ) 参与, 也可以由网络侧、 受益设备、 支撑设备三者共同实现。
在生成短距离通信层密钥之前, 可先执行生成合成层密钥的操作。
步骤 902 , 受益设备将短距离通信层密钥发送给匪 Ε。
步骤 903 , 匪 Ε将受益设备生成的短距离通信层密钥发送给基站, 并指示 基站将该密钥发给相应的支撑设备。
匪 Ε可使用 NAS安全来保护受益设备生成的密钥。
步骤 904 , 基站保存短距离通信层密钥。
步骤 905 , 基站将该短距离通信层密钥发送至支撑设备。
其中, 可先使用支撑设备的 PDCP层密钥加密短距离通信层密钥, 然后再 发送加密后的短距离通信层密钥给支撑设备。
步骤 906 , 受益设备和支撑设备完成短距离通信层的算法协商。
本发明实施例实现了由受益设备生成短距离通信层密钥并发送至支撑设 备。
由此, 上面筒单描述了本发明实施例在进行数据传输的过程中所用到的 合成层密钥和短距离通信层密钥的生成方法, 上面所描述的方法仅仅为本发 明的部分具体实施方式而已, 并不用于限定本发明的保护范围, 凡是根据上 述方法或方法的结合生成合成层密钥或短距离通信层密钥的方式都在本发明 的保护范围内。
下面详细描述受益设备通过支撑设备与基站进行数据传输的过程。 图 1 0 为本发明实施例提供的一种受益设备通过支撑设备与基站进行数据传输的示 意图, 本发明实施例中以受益设备通过支撑设备向基站传输数据的过程为例
描述数据安全传输的方法, 如图 10所示, 本实施例包括以下步骤: 步骤 1001 , 受益设备在合成层对要传输的数据进行加密和完整性保护。 受益设备从无线链路承载 (Rad i o Bear , RB )接收到要传输的数据后, 将数据传输到合成层, 在合成层对数据进行加密和完整性保护。 如果要传输 的数据是用户面数据, 则可以不对数据进行完整性保护, 而只进行加密处理, 当然也可以既进行加密处理又进行完整性保护; 如果要传输的数据是控制面 数据, 则既进行加密处理又进行完整性保护。
受益设备在合成层对数据进行加密后, 可以添加合成层的头信息, 该头 信息中可以包括数据序号, 以便对端对接收到数据后对数据按照数据序号进 行合成。 添加合成层的头信息后, 将数据传输到短距离通信层。
步骤 1002 , 受益设备在短距离通信层对合成层传递过来的数据进行短距 离通信层的加密和完整性保护。
受益设备和支撑设备之间通过短距离通信技术进行通信, 由于受益设备 和支撑设备之间的无线空口容易受到攻击者在空口上的攻击, 因此可以在短 距离通信层对数据进行加密和完整性保护。
步骤 1003 , 受益设备将短距离通信层加密后的数据通过短距离通信方式 传输到支撑设备。
其中, 短距离通信方式可以为蜂窝通信方式、 或无线保真度 WiF i方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
步骤 1004 , 支撑设备在短距离通信层对接收到的数据进行解密和完整性 验证。
支撑设备接收到受益设备发送的数据后, 解封装数据, 使用短距离通信 层密钥对解封装后的数据进行完整性验证, 再对解封装后的数据进行解密, 并将解密后的数据传输到合成层。
步骤 1005 , 支撑设备在合成层进行对短距离通信层传递的数据进行相应 的处理。
支撑设备的合成层接收到数据后, 可对数据进行承载映射; 如果数据的 合成层头信息中包括数据序号, 支撑设备的合成层也可以根据该数据序号进 行数据的承载映射, 即将受益设备和支撑设备之间的短距离承载映射到支撑 设备和基站之间的无线承载上, 然后支撑设备的合成层在将数据转发到基站 时, 可以对数据进行合成层封装, 然后下传到 PDCP层。
步骤 1 006 , 支撑设备在 PDCP层使用支撑设备的 PDCP层密钥对合成层传 递过来的数据进行加密或加密及完整性保护。
对于用户面数据, 在 PDCP层不进行完整性保护, 而只进行加密处理, 对 于控制面数据, 则在 PDCP层既进行加密处理又进行完整性保护。
步骤 1 007 , 支撑设备在 PDCP层以及下面各层对数据进行逐层封装。 在 PDCP层使用支撑设备的 PDCP层密钥进行完整性保护和加密处理, 然 后进行 PDCP层封装, RLC层封装、 MAC层封装、 PHY层封装等。
步骤 1 008 , 支撑设备将数据发送到基站。
支撑设备可以将数据通过基站与支撑设备之间的链路发送到基站。
步骤 1 009 ,基站对接收到的数据向上进行逐层解封装, 并在 PDCP层使用 支撑设备的 PDCP层密钥对数据进行解密, 或完整性验证和解密。
步骤 1 01 0 , 基站在合成层使用受益设备的合成层密钥对数据进行解密, 或完整性验证和解密。
基站使用受益设备的合成层密钥对数据进行解密, 或完整性验证和解密 后, 即可得到受益设备所发送的数据。
本发明实施例描述了受益设备通过支撑设备向基站发送数据的方法, 通 过对要传输的数据进行合成层保护和短距离通信层保护, 本发明实施例实现 了合成通信过程中受益设备、 支撑设备和基站之间数据的安全传输, 提高了 网络的安全性以及数据传输的可靠性。
上述实施例描述了受益设备通过支撑设备向基站发送数据的方法, 基站 通过支撑设备向受益设备发送数据的方法与上述方法类似。 即基站通过支撑
设备向受益设备发送数据的方法为: 基站在合成层对要发送的数据进行合成 层保护, 并且在 PDCP层使用支撑设备的 PDCP层密钥进行保护, 然后发送数 据到支撑设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解 密, 或完整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离 通信层, 在短距离通信层进行保护, 并发送至受益设备; 受益设备接收支撑 设备通过所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整 性验证和解密, 然后使用合成层密钥对数据进行解密或者解密及完整性验证 处理, 得到解密后的数据。 从而避免在合成通信过程中, 受益设备通过支撑 设备与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓 改的问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合 成层使用支撑设备所不知道的密钥对数据进行加密, 或加密及完整性保护, 使得支撑设备无法获取该数据, 并且通过在短距离通信层对数据进行加密和 完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的 可靠性。
图 1 1为本发明实施例提供的另一数据的传输方法流程图。该实施例的执 行主体是支撑设备, 其中详细描述了支撑设备对于接收到的数据进行处理并 转发的过程。 如图 11所示, 该实施例包括以下步骤:
步骤 11 01 ,支撑设备接收受益设备通过短距离通信方式发送的第一数据。 其中, 短距离通信方式可以为蜂窝通信方式、 或无线保真度 WiF i方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
为了防止攻击者通过支撑设备与受益设备之间的无线空口对传输的数据 进行窃听、 修改、 重放等安全攻击, 保证支撑设备和受益设备之间传输的数 据的机密性和完整性。 受益设备可在短距离通信层对数据进行加密和完整性 保护处理。
为了实现本发明的技术方案, 在支撑设备和受益设备进行数据传输之前, 需要获取短距离通信层密钥, 以便在接收到受益设备发送的数据后, 对数据 进行完整性保护和解密。
所述获取短距离通信层密钥具体包括: 接收所述网络侧发送的所述短距 离通信层密钥; 或, 接收所述网络侧转发的由所述受益设备根据密钥生成器 生成的短距离通信层密钥; 或, 接收所述网络侧发送的第二组参数, 所述第 二组参数为所述网络侧生成的用以所述支撑设备与所述受益设备进行密钥协 商的参数, 所述受益设备接收到第一组参数后, 支撑设备与所述受益设备进 行密钥协商, 生成所述短距离通信层密钥, 所述第一组参数为所述网络侧生 成的用以所述受益设备与所述支撑设备进行密钥协商的参数; 或, 接收所述 受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将所述第四组参 数发送至所述受益设备, 受益设备再根据第四组参数获取共享密钥, 支撑设 备根据所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。
具体地, 对于短距离通信层密钥, 可以使用 D-H 密钥协商技术来生成短 距离通信层密钥, 以保护短距离通信的安全。 短距离通信层密钥可以由 E 生成并下发给支撑设备和受益设备; 也可以由受益设备根据密钥生成器生成 并通过网络侧发送给支撑设备; 也可以由支撑设备和受益设备两者协商生成, 而不需要网络侧 (包括基站和匪 E等) 的参与; 还可以由支撑设备、 受益设 备和网络侧三者共同生成。 在生成短距离通信层密钥后, 受益设备和支撑设 备之间还可进行短距离通信层加密所使用的短距离通信层加密算法和完整性 保护算法的协商, 得到要使用的短距离通信层加密算法和完整性保护算法。
具体地, 短距离通信层密钥由 E生成并下发给支撑设备和受益设备的 方法为: MME随机生成一个随机数 Random, 然后将该 Random值、 支撑设备标 识信息和受益设备标识信息作为 KDF ()参数的输入,从而生成短距离通信层密 钥 HMAC-SHA-256 ( Random, B-UE ID , S-UE ID ) ; 然后, 匪 E先分别用受益
设备和支撑设备的 NAS层加密密钥和完整性保护密钥保护短距离通信层密钥, 然后下发至基站, 再由基站对该短距离通信层密钥使用支撑设备的 PDCP层密 钥 ( RRC加密密钥和完整性保护密钥 )加密后通过 RRC信令发送至支撑设备, 对该短距离通信层密钥使用受益设备的 PDCP层密钥 (RRC加密密钥和完整性 保护密钥)加密后通过 RRC信令发送至受益设备。 由此支撑设备和受益设备 可以分别得到短距离通信层密钥, 由于网络侧在下发短距离通信层密钥给支 撑设备时, 使用了支撑设备的 NAS层密钥和 PDCP层密钥进行保护, 在下发短 距离通信层密钥给受益设备时, 使用了受益设备的 NAS层密钥和 PDCP层密钥 进行保护, 因为保证了短距离通信层密钥不会被其他用户窃听和墓改, 保证 了短距离通信层密钥的完整性和机密性。
具体的, 短距离通信层密钥由受益设备根据密钥生成器生成并通过网络 侧发送给支撑设备: 受益设备根据密钥生成器生成并保存短距离通信层密钥, 然后将密钥通过 NAS 消息传递给移动管理实体, 移动管理实体再将密钥封装 在 NAS消息中并其通过基站发送给支撑设备。
具体地, 短距离通信层密钥由支撑设备和受益设备两者协商生成, 而不 需要网络侧参与的方法可以为 D-H方式、 或密钥匹配方式、 或共享密钥方式、 或空加密方式, 或其他类似的密钥协商方式, 这里以 D-H方式为例进行说明。 以 D-H方式生成短距离通信层密钥的方法具体为: 受益设备生成第三组参数, 即 D-H私钥 a , 公共数 p、 g , 以及 A= (gAa) mod p , 受益设备将第三组参数和 受益设备标识信息发送至支撑设备; 支撑设备生成第四组参数, 即私钥 b , 以 及 B= (gAb) mod , 并计算共享密钥 share key= ( AAb ) mod p; 支撑设备将 第四组参数和支撑设备标识信息发送给受益设备, 受益设备计算共享密钥 share key= ( BAa ) mod p; 受益设备和支撑设备根据共享密钥 share key , 受 益设备标识信息、 支撑设备标识信息等安全参数计算短距离通信层密钥, 包 括加密密钥和完整性保护密钥。
具体地, 短距离通信层密钥由支撑设备、 受益设备和网络侧三者共同生
成的方法为:匪 E生成, 即 D-H安全参数, 包括私钥 DH_a (受益设备的私钥)、 DH_b (支撑设备的私钥), 以及公共数 g、 q; 并将 D_H安全参数发送至基站; 基站将第二组参数, 即支撑设备的私钥 S-UE_DH_b、公共数 g和 q发送给支撑 设备(受支撑设备的 EPS 安全机制保护) ; 基站将第一组参数, 即受益设备 的私钥 B-UE_DH_ a、公共数 g和 q发送给受益设备 (受受益设备的 EPS安全机 制保护) ; 支撑设备接收到第二组参数, 且受益设备接收到第一组参数后, 支撑设备和受益设备用基站分发的 D-H安全参数协商出一个共享密钥 Key_DH; 并根据该共享密钥 Key_DH生成短距离通信层密钥, 包括加密密钥和完整性保 护密钥。
步骤 1 1 02 , 使用短距离通信层密钥验证所述第一数据的完整性, 并解密 所述第一数据, 得到第二数据, 所述第二数据为所述受益设备使用所述受益 设备的合成层密钥加密或加密及完整性保护后的数据。
支撑设备接收到受益设备发送的数据后, 解封装数据, 使用短距离通信 层密钥对解封装后的数据进行完整性验证, 再对解封装后的数据进行解密, 并将解密后的数据传输到合成层。
步骤 1 1 03 , 在合成层对所述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所述第二数据进行加密, 或加密及完整性保护处理得到第三数据。
支撑设备的合成层接收到数据后, 可对数据进行承载映射; 如果数据的 合成层头信息中包括数据序号, 支撑设备的合成层也可以根据该数据序号进 行数据的承载映射, 即将受益设备和支撑设备之间的短距离承载映射到支撑 设备和基站之间的无线承载上, 然后支撑设备的合成层在将数据转发到基站 时, 可以对数据进行合成层封装, 然后下传到 PDCP层。 支撑设备在 PDCP层 使用支撑设备的 PDCP层密钥对合成层传递过来的数据进行加密或加密及完整 性保护。
步骤 1 1 04 , 发送所述第三数据至基站, 以使所述基站使用所述支撑设备 的 PDCP层密钥验证所述第三数据的完整性并解密所述第三数据后得到所述第
二数据, 以及使用所述受益设备的合成层密钥解密所述第二数据。 对于用户面数据, 在 PDCP层不进行完整性保护, 而只进行加密处理, 对 于控制面数据, 则在 PDCP层既进行加密处理又进行完整性保护。
支撑设备可以将数据通过基站与支撑设备之间的链路发送到基站。 基站 可对接收到的数据向上进行逐层解封装, 并在 PDCP层使用支撑设备的 PDCP 层密钥对数据进行解密, 或完整性验证和解密, 然后在合成层使用受益设备 的合成层密钥对数据进行解密, 或完整性验证和解密。
上面描述了支撑设备对受益设备发送的数据进行处理并转发至基站的方 法, 支撑设备将基站发送的数据进行处理并转发至受益设备的方法与上述方 法类似, 处理流程相反。 即, 接收基站发送的数据, 对所述数据进行短距离 通信加密和完整性保护处理, 然后将处理后的数据通过所述短距离通信方式 发送至受益设备。
具体地, 基站在合成层对要发送的数据进行合成层保护, 并且在 PDCP层 使用支撑设备的 PDCP层密钥进行保护, 然后发送数据到支撑设备; 支撑设备 接收到数据后, 在 PDCP层使用 PDCP层密钥进行加密, 或完整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信层, 在短距离通信层进 行保护, 并发送至受益设备; 受益设备接收支撑设备通过所述短距离通信方 式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合 成层密钥对数据进行解密或者解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备
和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。 图 12为本发明实施例提供的另一数据的传输方法流程图。该实施例的执 行主体是基站, 其中详细描述了基站接收通过支撑设备传输受益设备数据的 过程。 如图 12所示, 该实施例包括以下步骤:
步骤 1201 , 接收支撑设备发送的第一数据。
为了防止支撑设备获取受益设备的数据, 保证受益设备的基站之间传输 的数据的机密性和完整性。 基站可在合成层对数据进行加密和完整性保护处 理。 由此, 受益设备和基站之间传输数据之前, 还包括: 获取所述合成层密 钥。
所述获取所述合成层密钥具体包括:接收移动管理实体发送的所述合成层 密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所 述父密钥计算得到所述合成层密钥。 或, 与所述受益设备之间进行鉴权与密 钥协商, 得到父密钥, 根据所述父密钥生成基站密钥, 再根据基站密钥生成 接入层密钥, 最后根据所述基站密钥或所述接入层密钥计算得到所述合成层 密钥。
具体地, 受益设备和移动管理实体(Mobi l i ty Management Ent i ty, MME ) 在完成演进数据系统的认证和密钥协商过程 ( Evo lved Packet Sys tem Authent icat ion and Key Agreement , EPS AKA )后, 得到父密钥 Kasme, 然 后可采用两种方法生成合成层密钥,一种是由 E根据 KDF ()密钥生成函数和 Kasme生成, 另一种是由基站根据基站侧密钥或接入层密钥生成。合成层密钥 包括加密密钥 Int_layer _UPenc、 Int-layer_CPenc , 以及完整性密钥 Int-layer_Upint , Int_layer_CPint。 其中, 力口密密钥 Int-layer_UPenc 用 于在合成层加密用户面数据, 加密密钥 Int-layer_CPenc用于在合成层加密 控制面数据, 完整性密钥 Int-layer_Up int 用于在合成层对用户面数据的完 整性进行保护, 完整性密钥 Int-layer _CPint 用于在合成层对控制面数据的 完整性进行保护。
需要说明的是, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。
在生成合成层密钥后,受益设备和基站之间还可进行合成层加密所使用的 合成层加密算法和完整性保护算法的协商, 得到要使用的合成层加密算法和 完整性保护算法。
步骤 1 202 , 使用所述支撑设备的 PDCP层密钥解密所述第一数据, 或验 证所述第一数据的完整性并解密所述第一数据, 得到第二数据。
由于支撑设备在 PDCP层使用支撑设备的 PDCP层密钥对合成层传递过来 的数据进行了加密, 或加密及完整性保护, 因此基站在接收到支撑设备发送 的第一数据后, 可在 PDCP层使用支撑设备的 PDCP层密钥解密所述第一数据, 或验证所述第一数据的完整性并解密所述第一数据。
步骤 1 203 , 使用受益设备的合成层密钥解密所述第二数据, 得到第三数 据。
对于用户面数据, 受益设备在合成层可以不进行完整性保护, 而只进行 加密处理, 因此基站接收到受益设备发送的数据后, 可以对数据进行解密处 理, 而无需进行完整性验证。 如果受益设备在合成层对数据既进行了加密处 理又进行了完整性保护, 则基站接收到受益设备发送的数据后, 需要进行完 整性验证, 并在完成完整性验证后对数据进行解密, 以得到第三数据。
上面描述了基站接收到受益设备通过支撑设备转发的数据后, 进行处理 的过程。 当基站需要向受益设备发送数据时, 可对要发送至受益设备的数据 在合成层使用所述合成层加密密钥以及在 PDCP层使用支撑设备的 PDCP层密 钥进行加密处理后, 发送处理后的数据至支撑设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层 进行处理后, 将数据传输到短距离通信层, 在短距离通信层进行保护, 并发 送至受益设备; 受益设备接收支撑设备通过所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合成层密钥对数据
进行解密或解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种数据的传输装置。 图 1 3为本发明实 施例提供的一种数据的传输装置示意图。如图 1 3所示。该装置包括以下单元: 加密单元 1 301 , 用于获取合成层密钥, 在合成层使用所述合成层密钥对 上行数据进行加密或加密及完整性保护处理, 得到第一加密数据, 将所述第 一加密数据传输至封装单元。
加密单元 1 301具体用于: 与网络侧之间进行鉴权与密钥协商, 得到父密 钥, 根据所述父密钥, 计算得到所述合成层密钥; 或, 与网路侧之间进行鉴 权与密钥协商, 得到父密钥, 根据所述父密钥生成基站密钥; 根据所述基站 密钥生成接入层密钥; 根据所述基站密钥或所述接入层密钥计算得到所述合 成层密钥。
加密单元 1 301还用于: 与所述基站之间进行加密算法协商, 得到合成层 加密算法。
具体地, 合成层密钥可以在匪 E中生成, 也可以在基站中生成。 在生成合 成层密钥后, 受益设备和基站之间还可进行合成层加密所使用的合成层加密 算法和完整性保护算法的协商, 得到要使用的合成层加密算法和完整性保护 算法。
在匪 E中生成合成层密钥的方法为: 在支撑设备与 MME完成 EPS AKA后,
得到父密钥 Kasme, 将父密钥作为 KDF的输入, 可以生成一个密钥, 该密钥为 合成层密钥。
具体地, KDF0是密钥生成函数, 3GPP中的 KDF0指的是 HMAC_sha_256 ( ) 函数, 合成层密钥为 HMAC-SHA-256 (Key , S ) , 其中, Key为 Kasme, S = FC I I PO I I LO I I PI I I LI I I P2 I I L2 I I P3 I I L3 I I... I I Pn | | Ln, P0、 LO…都是可选的,这里, FC为 0x15, PO为 algorithm type distinguisher (加密算法指示 /完整性保护算法指示) , LQ 为 length of algorithm type distinguished加密算法指示 /完整性保护算法指示的长度), PI为 algorithm i d en t i t y (加密算法 /完整性保护算法的标识信息), L 1为 1 eng t h o f a 1 go r i t hm identity (加密算法 /完整性保护算法的标识信息的长度) 。 可选的, 也可以 通过在 KDF ()中输入其他的参数来生成合成层密钥,受益设备和 E协商好即 可。
具体地,在基站中生成合成层密钥的方法为:基站可以将基站侧密钥 KeNB 或接入层密钥作为 KDFO密钥生成函数的输入, 生成合成层密钥。 其中, 在支 撑设备与 MME完成 EPS AKA后,得到父密钥 Kasme, MME根据 Kasme生成 KeNB, 并将 Kasme发送至基站, E可以将父密钥和非接入层通信安全性保护计数值 NAS UPLINK COUNT作为 KDF0的输入, 生成密钥 KeNB, 即基站侧密钥; 而根 据基站侧密钥可以生成接入层密钥。
需要说明的是, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。
当要传输的数据为用户面数据时, 加密单元 1201具体用于: 根据所述合 成层加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密; 或, 根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密, 以及根据所述合成层完整性保护算法使用所述合成层完整 性密钥对所述上行数据进行完整性保护处理。
当要传输的数据为控制面数据时, 加密单元 1301具体用于: 根据所述合
成层加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完整性密钥对所述上 行数据进行完整性保护处理。
封装单元 1 302 , 用于接收所述加密单元发送的所述第一加密数据, 对所 述第一加密数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传 输到发送单元。
封装单元 1 302具体用于:在合成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封 装, 得到所述第一封装数据。
受益设备在合成层对要传输的数据进行加密后, 再对数据进行合成层的 封装, 然后在短距离通信层对数据进行相应的封装处理, 得到第一封装数据。
需要说明的是,在短距离通信层也可以对在合成层进行封装后的数据进行 加密处理和完整性保护处理, 以防止攻击者通过支撑设备与受益设备之间的 无线空口对传输的数据进行窃听、 修改、 重放等安全攻击, 保证支撑设备和 受益设备之间传输的数据的机密性和完整性。
加密单元 1 301还用于: 获取短距离通信层密钥, 以及短距离通信层加密 算法及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层密钥对所述第二封装数据进行加密及完整性保护处理。
加密单元 1 301具体用于: 接收网络侧发送的所述短距离通信层密钥, 所 述短距离通信层密钥为所述网络侧根据父密钥生成的; 或, 生成短距离通信 层密钥, 并通过网络侧将所述短距离通信层密钥转发给所述支撑设备。
其中, 可以使用 D-H 密钥协商技术来生成短距离通信层密钥, 以保护短 距离通信的安全。 短距离通信层密钥可以由 E生成并下发给支撑设备和受 益设备; 也可以由受益设备根据密钥生成器生成并通过网络侧发送给支撑设 备; 也可以由支撑设备和受益设备两者协商生成, 而不需要网络侧 (包括基 站和 MME等) 的参与; 还可以由支撑设备、 受益设备和网络侧三者共同生成,
还可以由受益设备生成并通过匪 E和基站转发给支撑设备。 在生成短距离通 信层密钥后, 受益设备和支撑设备之间还可进行短距离通信层加密所使用的 短距离通信层加密算法和完整性保护算法的协商, 得到要使用的短距离通信 层加密算法和完整性保护算法。
具体地, 短距离通信层密钥由 E生成并下发给支撑设备和受益设备的 方法为: MME随机生成一个随机数 Random, 然后将该 Random值、 支撑设备标 识信息和受益设备标识信息作为 KDF ()参数的输入,从而生成短距离通信层密 钥 HMAC-SHA-256 ( Random, B-UE I D , S-UE I D ) ; 然后, 匪 E可以将生成的 短距离通信层密钥通过 NAS消息发送给受益设备和支撑设备, E先分别用受 益设备和支撑设备的 NAS层加密密钥和完整性保护保护短距离通信层密钥, 然后下发至基站, 再由基站对该短距离通信层密钥使用支撑设备的 PDCP层密 钥 ( RRC加密密钥和完整性保护密钥 )加密后通过 RRC信令发送至支撑设备, 对该短距离通信层密钥使用受益设备的 PDCP层密钥 (RRC加密密钥和完整性 保护密钥)加密后通过 RRC信令发送至受益设备。 由此支撑设备和受益设备 可以分别得到短距离通信层密钥, 由于网络侧在下发短距离通信层密钥给支 撑设备时, 使用了支撑设备的 NAS层密钥和 PDCP层密钥进行保护, 在下发短 距离通信层密钥给受益设备时, 使用了受益设备的 PDCP层密钥进行保护, 因 为保证了短距离通信层密钥不会被其他用户窃听和墓改, 保证了短距离通信 层密钥的完整性和机密性。
具体的, 短距离通信层密钥由受益设备根据密钥生成器生成并通过网络 侧发送给支撑设备: 受益设备根据密钥生成器生成并保存短距离通信层密钥, 然后将密钥通过 NAS 消息传递给移动管理实体, 移动管理实体再将密钥封装 在 NAS消息中并其通过基站发送给支撑设备。
具体地, 短距离通信层密钥由支撑设备和受益设备两者协商生成, 而不 需要网络侧参与的方法可以为 D-H方式、 或密钥匹配方式、 或共享密钥方式、 或空加密方式, 或其他类似的密钥协商方式, 这里以 D-H方式为例进行说明。
以 D-H方式生成短距离通信层密钥的方法具体为: 受益设备生成第三组参数, 即 D-H私钥 a , 公共数 p、 g , 以及 A= (gAa) mod p , 受益设备将第三组参数和 受益设备标识信息发送至支撑设备; 支撑设备生成第四组参数, 即私钥 b , 以 及 B= (gAb) mod , 并计算共享密钥 share key= ( AAb ) mod p; 支撑设备将 第四组参数和支撑设备标识信息发送给受益设备, 受益设备计算共享密钥 share key= ( BAa ) mod p; 受益设备和支撑设备根据共享密钥 share key, 受 益设备标识信息、 支撑设备标识信息等安全参数计算短距离通信层密钥, 包 括加密密钥和完整性保护密钥。
具体地, 短距离通信层密钥由支撑设备、 受益设备和网络侧三者共同生 成的方法为:匪 E生成, 即 D-H安全参数, 包括私钥 DH_a (受益设备的私钥)、 DH_b (支撑设备的私钥), 以及公共数 g、 q; 并将 D_H安全参数发送至基站; 基站将第二组参数, 即支撑设备的私钥 S-UE_DH_b、公共数 g和 q发送给支撑 设备(受支撑设备的 EPS 安全机制保护) ; 基站将第一组参数, 即受益设备 的私钥 B-UE_DH_a、公共数 g和 q发送给受益设备 (受受益设备的 EPS安全机 制保护) ; 支撑设备接收到第二组参数, 且受益设备接收到第一组参数后, 支撑设备和受益设备用基站分发的 D-H安全参数协商出一个共享密钥 Key_DH; 并根据该共享密钥 Key_DH生成短距离通信层密钥, 包括加密密钥和完整性保 护密钥。
发送单元 1 303 , 用于接收所述封装单元发送的所述第一封装数据, 通过 短距离通信方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所 述第一封装数据进行处理以得到第二封装数据并发送至基站。
在短距离通信层对数据进行封装之后, 可通过短距离通信方式, 如蜂窝 通信方式、 或无线保真度 Wi F i方式、 或蓝牙方式、 或端到端 D2D方式、 或近 距离无线通信 NFC方式等, 将第一封装数据发送至支撑设备。
优选地, 本发明实施例所提供的装置还包括: 接收单元 1 304、 解密单元
1 305 ; 接收单元 1 304 , 用于接收所述支撑设备通过所述短距离通信方式发送
的数据; 解密单元 1 305 , 用于使用所述受益设备的所述合成层密钥对数据进 行解密处理, 得到解密后的数据; 或用于使用所述受益设备的所述合成层密 钥对数据进行解密及完整性验证处理, 得到解密后的数据。
解密单元 1 305还用于:使用所述短距离通信层密钥对所述支撑设备发送 的数据进行解密以及完整性验证。
上面描述了受益设备通过支撑设备向基站发送数据的方法, 基站通过支 撑设备向受益设备发送数据的方法与上述方法类似。 即基站通过支撑设备向 受益设备发送数据的方法为: 基站在合成层对要发送的数据进行合成层保护, 并且在 PDCP层使用支撑设备的 PDCP层密钥进行保护, 然后发送数据到支撑 设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完 整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信层, 在短距离通信层进行保护, 并发送至受益设备; 受益设备接收支撑设备通过 所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验证和 解密, 然后使用合成层密钥对数据进行解密处理或解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种数据的传输装置。 图 14为本发明实 施例提供的另一数据的传输装置示意图。 如图 14所示, 本发明实施例包括以 下单元:
接收单元 1401 ,用于接收受益设备通过短距离通信方式发送的第一数据, 将所述第一数据传输至解密单元。
其中, 短距离通信方式可以为蜂窝通信方式、 或无线保真度 WiF i方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
解密单元 1402 , 用于接收所述接收单元传输的所述第一数据, 使用短距 离通信层密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二 数据, 所述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或 加密及完整性保护后的数据, 将所述第二数据传输至处理单元。
为了防止攻击者通过支撑设备与受益设备之间的无线空口对传输的数据 进行窃听、 修改、 重放等安全攻击, 保证支撑设备和受益设备之间传输的数 据的机密性和完整性。 受益设备可在短距离通信层对数据进行加密和完整性 保护处理。
本发明实施例还包括: 获取单元 1405 ,用于获取所述短距离通信层密钥。 为了实现本发明的技术方案, 在支撑设备和受益设备进行数据传输之前, 需 要获取短距离通信层密钥, 以便在接收到受益设备发送的数据后, 对数据进 行完整性保护和解密。
获取单元 1405具体用于:接收所述网络侧发送的所述短距离通信层密钥; 或, 接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通 信层密钥或, 接收所述网络侧发送的第二组参数, 所述第二组参数为所述网 络侧生成的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受 益设备接收到第一组参数后, 与所述受益设备进行密钥协商, 生成所述短距 离通信层密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所 述支撑设备进行密钥协商的参数; 或, 接收所述受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将所述第四组参数发送至所述受益设备, 根据 所述共享密钥、 所述受益设备的标识信息、 所述支撑设备的标识信息, 计算 以得到所述短距离通信层密钥。
具体地, 对于短距离通信层密钥, 可以使用 D-H密钥协商技术来生成短 距离通信层密钥, 以保护短距离通信的安全。 短距离通信层密钥可以由 E 生成并下发给支撑设备和受益设备; 也可以由受益设备根据密钥生成器生成 并通过网络侧发送给支撑设备; 也可以由支撑设备和受益设备两者协商生成, 而不需要网络侧 (包括基站和匪 E等) 的参与; 还可以由支撑设备、 受益设 备和网络侧三者共同生成。 在生成短距离通信层密钥后, 受益设备和支撑设 备之间还可进行短距离通信层加密所使用的短距离通信层加密算法和完整性 保护算法的协商, 得到要使用的短距离通信层加密算法和完整性保护算法。
处理单元 1403 , 用于接收所述解密单元传输的所述第二数据, 在合成层 对所述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所述第二数据进 行加密处理, 或加密及完整性保护处理以得到第三数据, 将所述第三数据传 输至发送单元。
支撑设备接收到受益设备发送的数据后, 解封装数据, 使用短距离通信 层密钥对解封装后的数据进行完整性验证, 再对解封装后的数据进行解密, 并将解密后的数据传输到合成层。
支撑设备的合成层接收到数据后, 可对数据进行承载映射; 如果数据的 合成层头信息中包括数据序号, 支撑设备的合成层也可以根据该数据序号进 行数据的承载映射。 支撑设备的合成层在将数据转发到基站时, 可以对数据 进行合成层封装, 然后下传到 PDCP层。 支撑设备在 PDCP层使用支撑设备的 PDCP层密钥对合成层传递过来的数据进行加密或加密及完整性保护。
发送单元 1404 , 用于接收所述处理单元发送的所述第三数据, 发送所述 第三数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三 数据进行解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受 益设备的合成层密钥解密所述第二数据。
支撑设备可以将数据通过基站与支撑设备之间的链路发送到基站。 基站 可对接收到的数据向上进行逐层解封装, 并在 PDCP层使用支撑设备的 PDCP
层密钥对数据进行解密, 或完整性验证和解密, 然后在合成层使用受益设备 的合成层密钥对数据进行解密, 或完整性验证和解密。
优选地, 本发明实施例还包括: 加密单元 1406 , 用于接收基站发送的数 据, 对所述数据进行短距离通信加密和完整性保护处理, 得到第四数据。 发 送单元 1404 , 还用于通过所述短距离通信方式发送所述第四数据至所述受益 设备。
上面描述了支撑设备对受益设备发送的数据进行处理并转发至基站的方 法, 支撑设备将基站发送的数据进行处理并转发至受益设备的方法与上述方 法类似, 处理流程相反。 即, 接收基站发送的数据, 对所述数据进行短距离 通信加密和完整性保护处理, 然后将处理后的数据通过所述短距离通信方式 发送至受益设备。
具体地, 基站在合成层对要发送的数据进行合成层保护, 并且在 PDCP层 使用支撑设备的 PDCP层密钥进行保护, 然后发送数据到支撑设备; 支撑设备 接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信层, 在短距离通信层进 行保护, 并发送至受益设备; 受益设备接收支撑设备通过所述短距离通信方 式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合 成层密钥对数据进行解密处理或解密处理和完整性验证处理, 得到解密后的 数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备
和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。 相应地, 本发明实施例还提供了一种数据的传输装置。 图 15为本发明实 施例提供的另一数据的传输装置示意图。 如图 15所示, 本实施例包括以下单 元:
接收单元 1 5 01 , 用于接收支撑设备发送的第一数据, 将所述第一数据 传输至解密单元。
解密单元 15 02 , 用于接收所述接收单元发送的所述第一数据, 使用所述 支撑设备的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得 到第二数据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数 据。
解密单元 1 502还用于: 验证所述第二数据的完整性。
对于用户面数据, 受益设备在合成层可以不进行完整性保护, 而只进行 加密处理, 因此基站接收到受益设备发送的数据后, 可以对数据进行解密处 理, 而无需进行完整性验证。 如果受益设备在合成层对数据既进行了加密处 理又进行了完整性保护, 则基站接收到受益设备发送的数据后, 需要进行完 整性验证, 并在完成完整性验证后对数据进行解密, 以得到第三数据。
优选地, 本发明实施例提供的装置还包括: 获取单元 1 5 0 3 , 用于获取所 述合成层密钥。 获取单元 1503具体用于: 接收移动管理实体或基站生成并发 送的所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到 父密钥, 根据所述父密钥计算得到所述合成层密钥; 或, 与所述受益设备之 间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生成基站密钥, 根据 所述基站密钥生成接入层密钥, 根据所述基站密钥或所述接入层密钥计算得 到所述合成层密钥。
具体地, 受益设备和 MME在完成 EPS AKA后, 得到父密钥 Ka sme , 然后可 采用两种方法生成合成层密钥, 一种是由 E 根据 KDF 0密钥生成函数和 Ka sme生成, 另一种是由基站根据基站侧密钥或接入层密钥生成。合成层密钥
包括加密密钥 Int_layer _UPenc、 Int-layer_CPenc , 以及完整性密钥 Int-layer_Upint , Int_layer_CPint。 其中, 力口密密钥 Int-layer_UPenc 用 于在合成层加密用户面数据, 加密密钥 Int-layer_CPenc用于在合成层加密 控制面数据, 完整性密钥 Int-layer_Up int 用于在合成层对用户面数据的完 整性进行保护, 完整性密钥 Int-layer _CPint 用于在合成层对控制面数据的 完整性进行保护。
需要说明的是, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。
在生成合成层密钥后, 受益设备和基站之间还可进行合成层加密所使用 的合成层加密算法和完整性保护算法的协商, 得到要使用的合成层加密算法 和完整性保护算法。
所述装置还包括: 加密单元 1504、 发送单元 1505 ; 所述加密单元 1504 , 用于对要发送至受益设备的数据在合成层使用所述合成层加密密钥进行加密 处理, 得到第四数据; 所述发送单元 1505 , 用于发送所述第四数据至所述支 撑设备, 以使所述支撑设备对所述第四数据进行处理并发送至所述受益设备。
上面描述了基站接收到受益设备通过支撑设备转发的数据后, 进行处理 的过程。 当基站需要向受益设备发送数据时, 可对要发送至受益设备的数据 在合成层使用所述合成层加密密钥以及在 PDCP层使用支撑设备的 PDCP层密 钥进行加密处理后, 发送处理后的数据至支撑设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层 进行处理后, 将数据传输到短距离通信层, 在短距离通信层进行保护, 并发 送至受益设备; 受益设备接收支撑设备通过所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合成层密钥对数据 进行解密处理或解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的
问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种受益设备。 图 16为本发明实施例提 供的一种受益设备示意图。 如图 16所示, 本发明实施例提供的受益设备包括 以下元件:
处理器 1601 , 用于获取合成层密钥, 在合成层使用所述合成层密钥对上 行数据进行加密或加密及完整性保护处理, 得到第一加密数据, 并对所述第 一加密数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传输到 发射机。
处理器 1601具体用于: 与网络侧之间进行鉴权与密钥协商,得到父密钥, 根据所述父密钥, 计算得到所述合成层密钥; 或, 与网路侧之间进行鉴权与 密钥协商, 得到父密钥, 根据所述父密钥生成基站密钥, 再根据基站密钥生 成接入层密钥, 最后根据所述基站密钥或所述接入层密钥计算得到所述合成 层密钥。
处理器 1601还用于: 与所述基站之间进行加密算法协商, 得到合成层加 密算法。
处理器 1601具体用于: 在合成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封 装, 得到所述第一封装数据。
具体地, 合成层密钥可以在匪 E中生成, 也可以在基站中生成。 在生成合 成层密钥后, 受益设备和基站之间还可进行合成层加密所使用的合成层加密 算法和完整性保护算法的协商, 得到要使用的合成层加密算法和完整性保护
算法。
在匪 E中生成合成层密钥的方法为: 在支撑设备与 MME完成 EPS AKA后, 得到父密钥 Kasme, 将父密钥作为 KDF的输入, 可以生成一个密钥, 该密钥为 合成层密钥。
具体地, KDF0是密钥生成函数, 3GPP中的 KDF0指的是 HMAC_sha_256
( ) 函数, 合成层密钥为 HMAC-SHA-256 ( Key , S ), 其中, Key为 Kasme, S = FC I I PO I I LO I I PI I I LI I I P2 I I L2 I I P3 I I L3 I I... I I Pn I I Ln, P0、 LO…:^是可选的, 这里, FC 为 0x15, PO 为 algorithm type distinguisher (加密算法指示 /完整性保护算法指示) , LQ 为 length of algorithm type distinguisher (加密算法指示 /完整性保护算法指示的长 度) , P1为 algorithm identity (加密算法 /完整性保护算法的标识信息) , L1 为 length of algorithm identity (加密算法 /完整性保护算法的标识信 息的长度)。 可选的, 也可以通过在 KDF0中输入其他的参数来生成合成层密 钥, 受益设备和 MME协商好即可。
具体地,在基站中生成合成层密钥的方法为:基站可以将基站侧密钥 KeNB 和接入层密钥作为 KDF ()密钥生成函数的输入, 生成合成层密钥。 其中, 在支 撑设备与 MME完成 EPS AKA后, 得到父密钥 Kasme, MME ^据 Kasme生成 KeNB 并将 KeNB发送至基站, E可以将父密钥和非接入层通信安全性保护计数值 NAS UPLINK COUNT作为 KDF0的输入, 生成密钥 KeNB, 即基站侧密钥; 而根 据基站侧密钥可以生成接入层密钥。
需要说明的是, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。
当要传输的数据为用户面数据时, 处理器 1601具体用于: 根据所述合成 层加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密; 或, 根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密, 以及根据所述合成层完整性保护算法使用所述合成层完整
性密钥对所述上行数据进行完整性保护处理。
当要传输的数据为控制面数据时, 处理器 1601具体用于: 根据所述合成 层加密算法, 在合成层使用所述合成层加密密钥对所述上行数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完整性密钥对所述上 行数据进行完整性保护处理。
需要说明的是,在短距离通信层也可以对在合成层进行封装后的数据进行 加密处理和完整性保护处理, 以防止攻击者通过支撑设备与受益设备之间的 无线空口对传输的数据进行窃听、 修改、 重放等安全攻击, 保证支撑设备和 受益设备之间传输的数据的机密性和完整性。
处理器 1601还用于: 获取短距离通信层密钥, 以及短距离通信层加密算 法及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层密钥对所述第二封装数据进行加密及完整性保护处理。
其中,可以使用 D-H密钥协商技术来生成短距离通信层密钥, 以保护短距 离通信的安全。 短距离通信层密钥可以由 E生成并下发给支撑设备和受益 设备; 也可以由受益设备根据密钥生成器生成并通过网络侧发送给支撑设备; 也可以由支撑设备和受益设备两者协商生成, 而不需要网络侧 (包括基站和 匪 E等)的参与; 还可以由支撑设备、 受益设备和网络侧三者共同生成。 在生 成短距离通信层密钥后, 受益设备和支撑设备之间还可进行短距离通信层加 密所使用的短距离通信层加密算法和完整性保护算法的协商, 得到要使用的 短距离通信层加密算法和完整性保护算法。
发射机 1602 , 用于接收所述处理器发送的所述第一封装数据, 通过短距 离通信方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第 一封装数据进行处理以得到第二封装数据并发送至基站。
在短距离通信层对数据进行封装之后, 可通过短距离通信方式, 如蜂窝 通信方式、 或无线保真度 Wi F i方式、 或蓝牙方式、 或端到端 D2D方式、 或近 距离无线通信 NFC方式等, 将第一封装数据发送至支撑设备。
优选地, 所述受益设备还包括接收机 1603 ; 所述接收机 1603 , 用于接收 所述支撑设备通过所述短距离通信方式发送的数据。 所述处理器 1601 , 用于 使用所述受益设备的所述合成层密钥对数据进行解密处理或解密处理以及完 整性验证处理, 得到解密后的数据。
处理器 1601还用于:使用所述短距离通信层密钥对所述支撑设备发送的 数据进行解密以及完整性验证。
上面描述了受益设备通过支撑设备向基站发送数据的方法, 基站通过支 撑设备向受益设备发送数据的方法与上述方法类似。 即基站通过支撑设备向 受益设备发送数据的方法为: 基站在合成层对要发送的数据进行合成层保护, 并且在 PDCP层使用支撑设备的 PDCP层密钥进行保护, 然后发送数据到支撑 设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完 整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信层, 在短距离通信层进行保护, 并发送至受益设备; 受益设备接收支撑设备通过 所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验证和 解密, 然后使用合成层密钥对数据进行解密或解密及完整性验证处理, 得到 解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种支撑设备。 图 17为本发明实施例提 供的一种支撑设备示意图。 如图 17所示, 本实施例包括以下元件:
接收机 1701 , 用于接收受益设备通过短距离通信方式发送的第一数据, 将所述第一数据传输至处理器。
其中, 短距离通信方式可以为蜂窝通信方式、 或无线保真度 WiF i方式、 或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。
处理器 1702 , 用于接收所述接收机传输的所述第一数据, 使用短距离通 信层密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二数据, 所述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或加密及 完整性保护后的数据; 在合成层对所述第二数据进行处理后, 在分组数据汇 聚协议 PDCP层对所述第二数据进行加密处理, 或加密及完整性保护处理以得 到第三数据, 将所述第三数据传输至发射机。
处理器 1702还用于: 获取所述短距离通信层密钥。 处理器 1702具体用 于: 接收所述网络侧发送的所述短距离通信层密钥; 或, 接收所述网络侧转 发的由所述受益设备根据密钥生成器生成的短距离通信层密钥; 或, 接收所 述网络侧发送的第二组参数, 所述第二组参数为所述网络侧生成的用以所述 支撑设备与所述受益设备进行密钥协商的参数, 所述受益设备接收到第一组 参数后, 支撑设备与所述受益设备进行密钥协商, 生成所述短距离通信层密 钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所述支撑设备 进行密钥协商的参数; 或, 接收所述受益设备发送的第三组参数, 生成第四 组参数和共享密钥, 将所述第四组参数发送至所述受益设备, 受益设备再根 据第四组参数获取共享密钥, 支撑设备根据所述共享密钥、 所述受益设备的 标识信息、 所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。
为了实现本发明的技术方案, 在支撑设备和受益设备进行数据传输之前, 需要获取短距离通信层密钥, 以便在接收到受益设备发送的数据后, 对数据 进行完整性保护和解密。 具体地, 对于短距离通信层密钥, 可以使用 D-H 密 钥协商技术来生成短距离通信层密钥, 以保护短距离通信的安全。 短距离通 信层密钥可以由 E生成并下发给支撑设备和受益设备; 也可以由受益设备
根据密钥生成器生成并通过网络侧发送给支撑设备; 也可以由支撑设备和受 益设备两者协商生成, 而不需要网络侧 (包括基站和匪 E等) 的参与; 还可 以由支撑设备、 受益设备和网络侧三者共同生成。 在生成短距离通信层密钥 后, 受益设备和支撑设备之间还可进行短距离通信层加密所使用的短距离通 信层加密算法和完整性保护算法的协商, 得到要使用的短距离通信层加密算 法和完整性保护算法。
支撑设备接收到受益设备发送的数据后, 解封装数据, 使用短距离通信 层密钥对解封装后的数据进行完整性验证, 再对解封装后的数据进行解密, 并将解密后的数据传输到合成层。
支撑设备的合成层接收到数据后, 可对数据进行承载映射; 如果数据的 合成层头信息中包括数据序号, 支撑设备的合成层也可以根据该数据序号进 行数据的承载映射。 支撑设备的合成层在将数据转发到基站时, 可以对数据 进行合成层封装, 然后下传到 PDCP层。 支撑设备在 PDCP层使用支撑设备的 PDCP层密钥对合成层传递过来的数据进行加密或加密及完整性保护。
发射机 1703 , 用于接收所述处理器发送的所述第三数据, 发送所述第三 数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三数据 进行解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受益设 备的合成层密钥解密所述第二数据。
处理器 1702还用于: 接收基站发送的数据, 对所述数据进行短距离通信 加密和完整性保护处理, 得到第四数据; 通过所述短距离通信方式发送所述 第四数据至所述受益设备。
上面描述了支撑设备对受益设备发送的数据进行处理并转发至基站的方 法, 支撑设备将基站发送的数据进行处理并转发至受益设备的方法与上述方 法类似, 处理流程相反。 即, 接收基站发送的数据, 对所述数据进行短距离 通信加密和完整性保护处理, 然后将处理后的数据通过所述短距离通信方式 发送至受益设备。
具体地, 基站在合成层对要发送的数据进行合成层保护, 并且在 PDCP层 使用支撑设备的 PDCP层密钥进行保护, 然后发送数据到支撑设备; 支撑设备 接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层进行处理后, 将数据传输到短距离通信层, 在短距离通信层进 行保护, 并发送至受益设备; 受益设备接收支撑设备通过所述短距离通信方 式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合 成层密钥对数据进行解密或解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种基站。 图 18为本发明实施例提供的 一种基站示意图。 如图 1 8所示, 本实施例包括以下元件:
接收机 1 8 01 , 用于接收支撑设备发送的第一数据, 将所述第一数据传 输至处理器。
处理器 18 02 , 用于接收所述接收机发送的所述第一数据, 使用所述支撑 设备的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得到第 二数据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。
处理器 18 02还用于: 验证所述第二数据的完整性。
对于用户面数据, 受益设备在合成层可以不进行完整性保护, 而只进行 加密处理, 因此基站接收到受益设备发送的数据后, 可以对数据进行解密处 理, 而无需进行完整性验证。 如果受益设备在合成层对数据既进行了加密处
理又进行了完整性保护, 则基站接收到受益设备发送的数据后, 需要进行完 整性验证, 并在完成完整性验证后对数据进行解密, 以得到第三数据。
处理器 1802还用于: 获取所述合成层密钥。 处理器 1802具体用于: 接 收移动管理实体发送的所述合成层密钥; 或, 与所述受益设备之间进行鉴权 与密钥协商, 得到父密钥, 根据所述父密钥计算得到所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生 成基站密钥, 再根据基站密钥生成接入层密钥, 最后根据所述基站密钥或所 述接入层密钥计算得到所述合成层密钥。
具体地, 受益设备和 MME在完成 EPS AKA后, 得到父密钥 Kasme, 然后可 采用两种方法生成合成层密钥, 一种是由 E 根据 KDF 0密钥生成函数和 Kasme生成, 另一种是由基站根据基站侧密钥或接入层密钥生成。合成层密钥 包括加密密钥 Int_layer _UPenc、 Int-layer_CPenc , 以及完整性密钥 Int-layer_Upint , Int_layer_CPint。 其中, 力口密密钥 Int-layer_UPenc 用 于在合成层加密用户面数据, 加密密钥 Int-layer_CPenc用于在合成层加密 控制面数据, 完整性密钥 Int-layer_Up int 用于在合成层对用户面数据的完 整性进行保护, 完整性密钥 Int-layer _CPint 用于在合成层对控制面数据的 完整性进行保护。
需要说明的是, 合成层密钥还可以根据网络侧下发的 D-H私钥推演得到。 具体采用哪种方法生成合成层密钥, 可以由受益设备和网络侧进行协商决定。
在生成合成层密钥后, 受益设备和基站之间还可进行合成层加密所使用 的合成层加密算法和完整性保护算法的协商, 得到要使用的合成层加密算法 和完整性保护算法。
优选地, 所述基站还包括: 发射机 1803。 所述处理器 1802 , 还用于对要 发送至受益设备的数据在合成层使用所述合成层加密密钥进行加密处理, 得 到第四数据; 所述发射机 1803 , 用于发送所述第四数据至所述支撑设备, 以 使所述支撑设备对所述第四数据进行处理并发送至所述受益设备。
上面描述了基站接收到受益设备通过支撑设备转发的数据后, 进行处理 的过程。 当基站需要向受益设备发送数据时, 可对要发送至受益设备的数据 在合成层使用所述合成层加密密钥以及在 PDCP层使用支撑设备的 PDCP层密 钥进行加密处理后, 发送处理后的数据至支撑设备; 支撑设备接收到数据后, 在 PDCP层使用 PDCP层密钥进行解密, 或完整性验证和解密, 然后在合成层 进行处理后, 将数据传输到短距离通信层, 在短距离通信层进行保护, 并发 送至受益设备; 受益设备接收支撑设备通过所述短距离通信方式发送的数据, 使用短距离通信层密钥进行完整性验证和解密, 然后使用合成层密钥对数据 进行解密或解密及完整性验证处理, 得到解密后的数据。
由此, 本发明实施例避免了在合成通信过程中, 受益设备通过支撑设备 与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的 问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层 使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备 无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得数据不 被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备 和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
相应地, 本发明实施例还提供了一种数据的传输系统, 所述系统植入了 上述数据的传输方法, 包括上述数据的传输装置, 以及移动管理实体。 该系 统中, 受益设备获取合成层密钥, 在合成层使用所述合成层密钥对上行数据 进行加密或加密及完整性保护处理, 得到第一加密数据; 对所述第一加密数 据进行封装处理, 得到第一封装数据; 通过短距离通信方式发送所述第一封 装数据至支撑设备, 以使所述支撑设备对所述第一封装数据进行处理以得到 第二封装数据并发送至基站。 从而避免了在合成通信过程中, 受益设备通过 支撑设备与基站之间传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的问题; 而本发明在发送方 (受益设备或者基站)发送数据时, 通过在
合成层使用支撑设备所不知道的密钥对数据进行加密和完整性保护, 使得支 撑设备无法获取该数据, 并且通过在短距离通信层对数据进行加密和完整性 保护, 使得支撑设备和受益设备之间通过短距离通信方式传输数据时, 使得 数据不被其他用户设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支 撑设备和基站之间数据的安全传输, 提高了网络的安全性以及数据传输的可 靠性。
相应地, 本发明实施例还提供了一种数据的传输系统, 所述系统植入了 上述支撑设备、 受益设备、 基站, 以及移动管理实体。 该系统中, 受益设备 获取合成层密钥, 在合成层使用所述合成层密钥对上行数据进行加密或加密 及完整性保护处理, 得到第一加密数据; 对所述第一加密数据进行封装处理, 得到第一封装数据; 通过短距离通信方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一封装数据进行处理以得到第二封装数据并发送 至基站。 从而避免了在合成通信过程中, 受益设备通过支撑设备与基站之间 传输的数据被支撑设备获取, 或者被其他设备进行窃听、 墓改的问题; 而本 发明在发送方 (受益设备或者基站)发送数据时, 通过在合成层使用支撑设 备所不知道的密钥对数据进行加密和完整性保护, 使得支撑设备无法获取该 数据, 并且通过在短距离通信层对数据进行加密和完整性保护, 使得支撑设 备和受益设备之间通过短距离通信方式传输数据时, 使得数据不被其他用户 设备窃听、 墓改等, 实现了合成通信过程中受益设备、 支撑设备和基站之间 数据的安全传输, 提高了网络的安全性以及数据传输的可靠性。
专业人员应该还可以进一步意识到, 结合本文中所公开的实施例描述的 各示例的单元及算法步骤, 能够以电子硬件、 计算机软件或者二者的结合来 实现, 为了清楚地说明硬件和软件的可互换性, 在上述说明中已经按照功能 一般性地描述了各示例的组成及步骤。 这些功能究竟以硬件还是软件方式来 执行, 取决于技术方案的特定应用和设计约束条件。 专业技术人员可以对每 个特定的应用来使用不同方法来实现所描述的功能, 但是这种实现不应认为
超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、 处理 器执行的软件模块, 或者二者的结合来实施。 软件模块可以置于随机存储器
( RAM ) 、 内存、 只读存储器(ROM ) 、 电可编程 R0M、 电可擦除可编程 R0M、 寄存器、 硬盘、 可移动磁盘、 CD-R0M、 或技术领域内所公知的任意其它形式 的存储介质中。
以上所述的具体实施方式, 对本发明的目的、 技术方案和有益效果进行 了进一步详细说明, 所应理解的是, 以上所述仅为本发明的具体实施方式而 已, 并不用于限定本发明的保护范围, 凡在本发明的精神和原则之内, 所做 的任何修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。
Claims (1)
- 权 利 要 求 书1、 一种数据的传输方法, 其特征在于, 所述方法包括:受益设备获取合成层密钥,在合成层使用所述合成层密钥对上行数据进行 加密或加密及完整性保护处理, 得到第一加密数据;对所述第一加密数据进行封装处理, 得到第一封装数据;通过短距离通信方式发送所述第一封装数据至支撑设备,以使所述支撑设 备对所述第一封装数据进行处理以得到第二封装数据并发送至基站。2、 根据权利要求 1所述的数据的传输方法,其特征在于,所述受益设备 获取合成层密钥具体包括:与网络侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥, 计 算得到所述合成层密钥; 或,与网路侧之间进行鉴权与密钥协商,得到父密钥,根据所述父密钥生成基 站密钥; 根据所述基站密钥生成接入层密钥; 根据所述基站密钥或所述接入 层密钥计算得到所述合成层密钥。3、 根据权利要求 2所述的数据的传输方法,其特征在于,所述方法还包 括:与所述基站之间进行加密算法协商, 得到合成层加密算法。4、 根据权利要求 3所述的数据的传输方法,其特征在于,所述合成层密 钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为用户面数据时, 所述在合成层使用所述合成层密钥对上行数据进行加密或加密及完整性保护 处理具体包括:根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密; 或,根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完 整性密钥对所述上行数据进行完整性保护处理。 5、 根据权利要求 3所述的数据的传输方法,其特征在于,所述合成层密 钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为控制面数据时, 所述在合成层使用所述合成层密钥对上行数据进行加密或加密及完整性保护 处理具体包括:根据所述合成层加密算法,在合成层使用所述合成层加密密钥对所述上行 数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完整 性密钥对所述上行数据进行完整性保护处理。6、 根据权利要求 2所述的数据的传输方法,其特征在于,所述对所述第 一加密数据进行封装处理, 得到第一封装数据具体包括:在合成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封装, 得到所述第 一封装数据。7、 根据权利要求 6所述的数据的传输方法,其特征在于,所述在短距离 通信层对所述第二封装数据进行短距离通信封装之前, 还包括:获取短距离通信层密钥, 以及短距离通信层加密算法及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层 密钥对所述第二封装数据进行加密及完整性保护处理。8、 根据权利要求 7所述的数据的传输方法,其特征在于,所述获取短距 离通信层密钥具体包括:接收所述网络侧发送的所述短距离通信层密钥, 所述短距离通信层密钥 为所述网络侧根据父密钥生成的; 或,根据密钥生成器生成短距离通信层密钥, 并通过网络侧将所述短距离通 信层密钥转发给所述支撑设备。9、 根据权利要求 7所述的数据的传输方法,其特征在于,所述获取短距 离通信层密钥具体包括:接收所述网络侧发送的第一组参数, 所述第一组参数为所述网络侧生成 的用以所述受益设备与所述支撑设备进行密钥协商的参数;所述支撑设备接收到第二组参数后, 所述受益设备与所述支撑设备进行 密钥协商, 生成所述短距离通信层密钥, 所述第二组参数为所述网络侧生成 的用以所述支撑设备与所述受益设备进行密钥协商的参数。10、 根据权利要求 7所述的数据的传输方法, 其特征在于, 所述获取短 距离通信层密钥具体包括:生成第三组参数, 将所述第三组参数发送至所述支撑设备;接收所述支撑设备发送的第四组参数, 所述第四组参数为所述支撑设备 接收到所述第三组参数后生成并发送的;根据所述第四组参数, 生成共享密钥;根据所述共享密钥、所述受益设备的标识信息、所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。11、 根据权利要求 7所述的数据的传输方法, 其特征在于, 所述方法还 包括:接收所述支撑设备通过所述短距离通信方式发送的数据;使用所述受益设备的所述合成层密钥对数据进行解密处理, 得到解密后 的数据, 或, 使用所述受益设备的所述合成层密钥对数据进行解密及完整性 验证处理, 得到解密后的数据。12、 根据权利要求 11 所述的数据的传输方法, 其特征在于, 所述接收 所述支撑设备通过所述短距离通信方式发送的数据之后, 所述使用所述受益 设备的所述合成层密钥对数据进行解密, 或解密及完整性验证处理之前, 还 包括:使用所述短距离通信层密钥对所述支撑设备发送的数据进行解密以及完 整性验证。13、 根据权利要求 1-12任一项所述的数据的传输方法, 其特征在于, 所述短距离通信方式为蜂窝通信方式、或无线保真度 WiFi方式、或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。14、 一种数据的传输方法, 其特征在于, 所述方法包括:支撑设备接收受益设备通过短距离通信方式发送的第一数据;使用短距离通信层密钥验证所述第一数据的完整性, 并解密所述第一数 据, 得到第二数据, 所述第二数据为所述受益设备使用所述受益设备的合成 层密钥加密或加密及完整性保护后的数据;在合成层对所述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所 述第二数据进行加密处理, 或加密及完整性保护处理得到第三数据;发送所述第三数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密 钥对所述第三数据进行解密, 或解密及完整性验证以得到所述第二数据, 以 及使用所述受益设备的合成层密钥解密所述第二数据。15、 根据权利要求 14所述的数据的传输方法, 其特征在于, 所述支撑 设备接收受益设备通过短距离通信方式发送的第一数据之前, 还包括: 获取 所述短距离通信层密钥。16、 根据权利要求 15所述的数据的传输方法, 其特征在于, 所述获取 短距离通信层密钥具体包括:接收所述网络侧发送的所述短距离通信层密钥; 或,接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通 信层密钥; 或,接收所述网络侧发送的第二组参数, 所述第二组参数为所述网络侧生成 的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受益设备接 收到第一组参数后, 所述支撑设备与所述受益设备进行密钥协商, 生成所述 短距离通信层密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备 与所述支撑设备进行密钥协商的参数; 或,接收所述受益设备发送的第三组参数, 生成第四组参数和共享密钥, 将 所述第四组参数发送至所述受益设备, 所述支撑设备根据所述共享密钥、 所 述受益设备的标识信息、 所述支撑设备的标识信息, 计算以得到所述短距离 通信层密钥。17、 根据权利要求 15所述的数据的传输方法, 其特征在于, 所述方法 还包括:接收基站发送的数据, 对所述数据进行短距离通信加密和完整性保护处 理, 得到第四数据;通过所述短距离通信方式发送所述第四数据至所述受益设备。18、 根据权利要求 14-17任一项所述的数据的传输方法, 其特征在于, 所述短距离通信方式为蜂窝通信方式、或无线保真度 WiF i方式、或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。1 9、 一种数据的传输方法, 其特征在于, 所述方法包括:基站接收支撑设备发送的第一数据;使用所述支撑设备的 PDCP层密钥对所述第一数据进行解密,或解密及完 整性验证以得到第二数据;使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。20、 根据权利要求 19所述的数据的传输方法, 其特征在于, 所述接收 支撑设备发送的数据之前, 还包括: 获取所述合成层密钥。21、 根据权利要求 20所述的数据的传输方法, 其特征在于, 所述获取 所述合成层密钥具体包括:接收移动管理实体或基站生成并发送的所述合成层密钥; 或,与所述受益设备之间进行鉴权与密钥协商,得到父密钥,根据所述父密钥 计算得到所述合成层密钥; 或,与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密 钥生成基站密钥, 根据所述基站密钥生成接入层密钥, 根据所述基站密钥或 所述接入层密钥计算得到所述合成层密钥。22、 根据权利要求 21 所述的数据的传输方法, 其特征在于, 所述使用 受益设备的合成层密钥解密所述第二数据之前, 还包括: 验证所述第二数据 的完整性。23、 根据权利要求 21 所述的数据的传输方法, 其特征在于, 所述方法 还包括:对要发送至受益设备的数据在合成层使用所述合成层加密密钥进行加密 处理, 得到第四数据;发送所述第四数据至所述支撑设备, 以使所述支撑设备对所述第四数据 进行处理并发送至所述受益设备。24、 一种数据的传输装置, 其特征在于, 所述装置包括:加密单元,用于获取合成层密钥,在合成层使用所述合成层密钥对上行数 据进行加密或加密及完整性保护处理, 得到第一加密数据, 将所述第一加密 数据传输至封装单元;封装单元,用于接收所述加密单元发送的所述第一加密数据,对所述第一 加密数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传输到发 送单元;发送单元,用于接收所述封装单元发送的所述第一封装数据,通过短距离 通信方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一 封装数据进行处理以得到第二封装数据并发送至基站。25、 根据权利要求 24所述的数据的传输装置, 其特征在于, 所述加密 单元具体用于:与网络侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥, 计 算得到所述合成层密钥; 或,与网路侧之间进行鉴权与密钥协商,得到父密钥,根据所述父密钥生成基 站密钥; 根据所述基站密钥生成接入层密钥; 根据所述基站密钥或所述接入 层密钥计算得到所述合成层密钥。26、 根据权利要求 25所述的数据的传输装置, 其特征在于, 所述加密 单元还用于:与所述基站之间进行加密算法协商, 得到合成层加密算法。27、 根据权利要求 26所述的数据的传输装置, 其特征在于, 所述合成 层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为用户面数 据时, 所述加密单元具体用于:根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密; 或,根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完 整性密钥对所述上行数据进行完整性保护处理。28、 根据权利要求 26所述的数据的传输装置, 其特征在于, 所述合成 层密钥包括合成层加密密钥和合成层完整性密钥, 所述上行数据为控制面数 据时, 所述加密单元具体用于:根据所述合成层加密算法,在合成层使用所述合成层加密密钥对所述上行 数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完整 性密钥对所述上行数据进行完整性保护处理。29、 根据权利要求 25所述的数据的传输装置, 其特征在于, 所述封装 单元具体用于:在合成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封装, 得到所述第 一封装数据。30、 根据权利要求 29所述的数据的传输装置, 其特征在于, 所述加密 单元还用于:获取短距离通信层密钥, 以及短距离通信层加密算法及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层 密钥对所述第二封装数据进行加密及完整性保护处理。 31、 根据权利要求 30所述的数据的传输装置, 其特征在于, 所述加密 单元具体用于:接收所述网络侧发送的所述短距离通信层密钥, 所述短距离通信层密钥 为所述网络侧根据父密钥生成的; 或,根据密钥生成器生成短距离通信层密钥, 并通过网络侧将所述短距离通信 层密钥转发给所述支撑设备。32、 根据权利要求 30所述的数据的传输装置, 其特征在于, 所述加密 单元具体用于:接收所述网络侧发送的第一组参数, 所述第一组参数为所述网络侧生成 的用以所述受益设备与所述支撑设备进行密钥协商的参数;所述支撑设备接收到第二组参数后, 与所述支撑设备进行密钥协商, 生 成所述短距离通信层密钥, 所述第二组参数为所述网络侧生成的用以所述支 撑设备与所述受益设备进行密钥协商的参数。33、 根据权利要求 30所述的数据的传输装置, 其特征在于, 所述加密 单元具体用于:生成第三组参数, 将所述第三组参数发送至所述支撑设备;接收所述支撑设备发送的第四组参数, 所述第四组参数为所述支撑设备 接收到所述第三组参数后生成并发送的;根据所述第四组参数, 生成共享密钥;根据所述共享密钥、所述受益设备的标识信息、所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。34、 根据权利要求 30所述的数据的传输装置, 其特征在于, 所述装置 还包括接收单元、 解密单元;所述接收单元, 用于接收所述支撑设备通过所述短距离通信方式发送的 数据;所述解密单元, 用于使用所述受益设备的所述合成层密钥对数据进行解 密处理, 得到解密后的数据; 或用于使用所述受益设备的所述合成层密钥对 数据进行解密及完整性验证处理, 得到解密后的数据。35、 根据权利要求 34所述的数据的传输装置, 其特征在于, 所述解密 单元还用于:使用所述短距离通信层密钥对所述支撑设备发送的数据进行解密以及完 整性验证。36、 根据权利要求 24-35任一项所述的数据的传输装置, 其特征在于, 所述短距离通信方式为蜂窝通信方式、或无线保真度 WiF i方式、或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。37、 一种数据的传输装置, 其特征在于, 所述装置包括:接收单元, 用于接收受益设备通过短距离通信方式发送的第一数据, 将 所述第一数据传输至解密单元;解密单元, 用于接收所述接收单元传输的所述第一数据, 使用短距离通 信层密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二数据, 所述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或加密及 完整性保护后的数据, 将所述第二数据传输至处理单元;处理单元, 用于接收所述解密单元传输的所述第二数据, 在合成层对所 述第二数据进行处理后, 在分组数据汇聚协议 PDCP层对所述第二数据进行加 密处理, 或加密及完整性保护处理以得到第三数据, 将所述第三数据传输至 发送单元;发送单元, 用于接收所述处理单元发送的所述第三数据, 发送所述第三 数据至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三数据 进行解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受益设 备的合成层密钥解密所述第二数据。38、 根据权利要求 37所述的数据的传输装置, 其特征在于, 所述装置 还包括: 获取单元, 用于获取所述短距离通信层密钥。 39、 根据权利要求 38所述的数据的传输装置, 其特征在于, 所述获取 单元具体用于:接收所述网络侧发送的所述短距离通信层密钥; 或,接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通 信层密钥; 或,接收所述网络侧发送的第二组参数, 所述第二组参数为所述网络侧生成 的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受益设备接 收到第一组参数后, 与所述受益设备进行密钥协商, 生成所述短距离通信层 密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所述支撑设 备进行密钥协商的参数; 或,接收所述受益设备发送的第三组参数,生成第四组参数和共享密钥,将所 述第四组参数发送至所述受益设备, 根据所述共享密钥、 所述受益设备的标 识信息、 所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。40、 根据权利要求 38所述的数据的传输装置, 其特征在于, 所述装置 还包括: 加密单元;所述加密单元, 用于接收基站发送的数据, 对所述数据进行短距离通信 加密和完整性保护处理, 得到第四数据;所述发送单元, 还用于通过所述短距离通信方式发送所述第四数据至所 述受益设备。41、 根据权利要求 37-40任一项所述的数据的传输装置, 其特征在于, 所述短距离通信方式为蜂窝通信方式、或无线保真度 WiF i方式、或蓝牙方式、 或端到端 D2D方式、 或近距离无线通信 NFC方式。42、 一种数据的传输装置, 其特征在于, 所述装置包括:接收单元, 用于接收支撑设备发送的第一数据, 将所述第一数据传输 至解密单元;解密单元, 用于接收所述接收单元发送的所述第一数据, 使用所述支撑 设备的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得到第 二数据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。43、 根据权利要求 42所述的数据的传输装置, 其特征在于, 所述装置 还包括: 获取单元, 用于获取所述合成层密钥。44、 根据权利要求 43所述的数据的传输装置, 其特征在于, 所述获取 单元具体用于:接收移动管理实体或基站生成并发送的所述合成层密钥; 或,与所述受益设备之间进行鉴权与密钥协商,得到父密钥,根据所述父密钥 计算得到所述合成层密钥; 或,与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密 钥生成基站密钥, 根据所述基站密钥生成接入层密钥, 根据所述基站密钥或 所述接入层密钥计算得到所述合成层密钥。45、 根据权利要求 44所述的数据的传输装置, 其特征在于, 所述解密 单元还用于: 验证所述第二数据的完整性。46、 根据权利要求 44所述的数据的传输装置, 其特征在于, 所述装置 还包括: 加密单元、 发送单元;所述加密单元, 用于对要发送至受益设备的数据在合成层使用所述合成 层加密密钥进行加密处理, 得到第四数据;所述发送单元, 用于发送所述第四数据至所述支撑设备, 以使所述支撑 设备对所述第四数据进行处理并发送至所述受益设备。47、 一种受益设备, 其特征在于, 所述受益设备包括:处理器,用于获取合成层密钥,在合成层使用所述合成层密钥对上行数据 进行加密或加密及完整性保护处理, 得到第一加密数据, 并对所述第一加密 数据进行封装处理, 得到第一封装数据, 将所述第一封装数据传输到发射机; 发射机,用于接收所述处理器发送的所述第一封装数据,通过短距离通信 方式发送所述第一封装数据至支撑设备, 以使所述支撑设备对所述第一封装 数据进行处理以得到第二封装数据并发送至基站。48、 根据权利要求 47所述的受益设备, 其特征在于, 所述处理器具体 用于:与网络侧之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥, 计 算得到所述合成层密钥; 或,与网路侧之间进行鉴权与密钥协商,得到父密钥,根据所述父密钥生成基 站密钥; 根据所述基站密钥生成接入层密钥; 根据所述基站密钥或所述接入 层密钥计算得到所述合成层密钥。49、 根据权利要求 48所述的受益设备, 其特征在于, 所述处理器还用 于:与所述基站之间进行加密算法协商, 得到合成层加密算法。50、 根据权利要求 49所述的受益设备, 其特征在于, 所述合成层密钥 包括合成层加密密钥和合成层完整性密钥, 所述上行数据为用户面数据时, 所述处理器具体用于:根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密; 或,根据所述合成层加密算法, 在合成层使用所述合成层加密密钥对所述上 行数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完 整性密钥对所述上行数据进行完整性保护处理。51、 根据权利要求 49所述的受益设备, 其特征在于, 所述合成层密钥 包括合成层加密密钥和合成层完整性密钥, 所述上行数据为控制面数据时, 所述处理器具体用于:根据所述合成层加密算法,在合成层使用所述合成层加密密钥对所述上行 数据进行加密, 以及根据所述合成层完整性保护算法, 使用所述合成层完整 性密钥对所述上行数据进行完整性保护处理。52、 根据权利要求 48所述的受益设备, 其特征在于, 所述处理器具体 用于:在合成层对所述第一加密数据进行合成层封装, 得到第二封装数据; 在短距离通信层对所述第二封装数据进行短距离通信封装, 得到所述第 一封装数据。53、 根据权利要求 52所述的受益设备, 其特征在于, 所述处理器还用 于:获取短距离通信层密钥, 以及短距离通信层加密算法及完整性保护算法; 根据所述短距离通信层加密算法及完整性保护算法, 使用短距离通信层 密钥对所述第二封装数据进行加密及完整性保护处理。54、 根据权利要求 53所述的受益设备, 其特征在于, 所述处理器具体 用于:接收所述网络侧发送的所述短距离通信层密钥, 所述短距离通信层密钥 为所述网络侧根据父密钥生成的; 或,根据密钥生成器生成短距离通信层密钥, 并通过网络侧将所述短距离通 信层密钥转发给所述支撑设备。55、 根据权利要求 53所述的受益设备, 其特征在于, 所述处理器具体 用于:接收所述网络侧发送的第一组参数, 所述第一组参数为所述网络侧生成 的用以所述受益设备与所述支撑设备进行密钥协商的参数;所述支撑设备接收到第二组参数后, 与所述支撑设备进行密钥协商, 生 成所述短距离通信层密钥, 所述第二组参数为所述网络侧生成的用以所述支 撑设备与所述受益设备进行密钥协商的参数。56、 根据权利要求 53所述的受益设备, 其特征在于, 所述处理器具体 用于:生成第三组参数, 将所述第三组参数发送至所述支撑设备;接收所述支撑设备发送的第四组参数, 所述第四组参数为所述支撑设备 接收到所述第三组参数后生成并发送的;根据所述第四组参数, 生成共享密钥;根据所述共享密钥、所述受益设备的标识信息、所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。57、 根据权利要求 53所述的受益设备, 其特征在于, 所述受益设备还 包括接收机;所述接收机, 用于接收所述支撑设备通过所述短距离通信方式发送的数 据;所述处理器, 用于使用所述受益设备的所述合成层密钥对数据进行解密 处理, 得到解密后的数据; 或用于使用所述受益设备的所述合成层密钥对数 据进行解密及完整性验证处理, 得到解密后的数据。58、 根据权利要求 57所述的受益设备, 其特征在于, 所述处理器还用 于:使用所述短距离通信层密钥对所述支撑设备发送的数据进行解密以及完 整性验证。59、 根据权利要求 47-58任一项所述的受益设备, 其特征在于, 所述短 距离通信方式为蜂窝通信方式、 或无线保真度 WiF i方式、 或蓝牙方式、 或端 到端 D2D方式、 或近距离无线通信 NFC方式。60、 一种支撑设备, 其特征在于, 所述支撑设备包括:接收机, 用于接收受益设备通过短距离通信方式发送的第一数据, 将所 述第一数据传输至处理器;处理器, 用于接收所述接收机传输的所述第一数据, 使用短距离通信层 密钥验证所述第一数据的完整性, 并解密所述第一数据, 得到第二数据, 所 述第二数据为所述受益设备使用所述受益设备的合成层密钥加密或加密及完 整性保护后的数据; 在合成层对所述第二数据进行处理后, 在分组数据汇聚 协议 PDCP层对所述第二数据进行加密处理, 或加密及完整性保护处理以得到 第三数据, 将所述第三数据传输至发射机;发射机, 用于接收所述处理器发送的所述第三数据, 发送所述第三数据 至基站, 以使所述基站使用所述支撑设备的 PDCP层密钥对所述第三数据进行 解密, 或解密及完整性验证以得到所述第二数据, 以及使用所述受益设备的 合成层密钥解密所述第二数据。61、 根据权利要求 60所述的支撑设备, 其特征在于, 所述处理器还用 于: 获取所述短距离通信层密钥。62、 根据权利要求 61 所述的支撑设备, 其特征在于, 所述处理器具体 用于:接收所述网络侧发送的所述短距离通信层密钥; 或,接收所述网络侧转发的由所述受益设备根据密钥生成器生成的短距离通 信层密钥; 或,接收所述网络侧发送的第二组参数, 所述第二组参数为所述网络侧生成 的用以所述支撑设备与所述受益设备进行密钥协商的参数, 所述受益设备接 收到第一组参数后, 与所述受益设备进行密钥协商, 生成所述短距离通信层 密钥, 所述第一组参数为所述网络侧生成的用以所述受益设备与所述支撑设 备进行密钥协商的参数; 或,接收所述受益设备发送的第三组参数,生成第四组参数和共享密钥,将所 述第四组参数发送至所述受益设备, 根据所述共享密钥、 所述受益设备的标 识信息、 所述支撑设备的标识信息, 计算以得到所述短距离通信层密钥。63、 根据权利要求 61 所述的支撑设备, 其特征在于, 所述处理器还用 于, 接收基站发送的数据, 对所述数据进行短距离通信加密和完整性保护处 理, 得到第四数据;所述发射机用于, 通过所述短距离通信方式发送所述第四数据至所述受 益设备。64、 根据权利要求 60-63任一项所述的支撑设备, 其特征在于, 所述短 距离通信方式为蜂窝通信方式、 或无线保真度 WiFi方式、 或蓝牙方式、 或端 到端 D2D方式、 或近距离无线通信 NFC方式。65、 一种基站, 其特征在于, 所述基站包括:接收机, 用于接收支撑设备发送的第一数据, 将所述第一数据传输至 处理器;处理器, 用于接收所述接收机发送的所述第一数据, 使用所述支撑设备 的 PDCP层密钥对所述第一数据进行解密, 或解密及完整性验证以得到第二数 据, 并使用受益设备的合成层密钥解密所述第二数据, 得到第三数据。66、 根据权利要求 65所述的基站, 其特征在于, 所述处理器还用于: 获取所述合成层密钥。67、 根据权利要求 66所述的基站, 其特征在于, 所述处理器具体用于: 接收移动管理实体发送的所述合成层密钥; 或,与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密 钥计算得到所述合成层密钥; 或, 与所述受益设备之间进行鉴权与密钥协商, 得到父密钥, 根据所述父密钥生成基站密钥, 根据所述基站密钥生成接入层 密钥, 根据所述基站密钥或所述接入层密钥计算得到所述合成层密钥。68、 根据权利要求 67所述的基站, 其特征在于, 所述处理器还用于: 验证所述第二数据的完整性。69、 根据权利要求 67所述的基站, 其特征在于, 所述基站还包括: 发 射机;所述处理器, 还用于对要发送至受益设备的数据在合成层使用所述合成 层加密密钥进行加密处理, 得到第四数据;所述发射机, 用于发送所述第四数据至所述支撑设备, 以使所述支撑设 备对所述第四数据进行处理并发送至所述受益设备。70、 一种数据的传输系统,其特征在于,所述系统包括如权利要求 24-46 任一项所述的数据的传输装置, 以及移动管理实体。 71、 一种数据的传输系统,其特征在于,所述系统包括如权利要求 47-59 任一项所述的受益设备、 如权利要求 60-64任一项所述的支撑设备、 如权利 要求 65-69任一项所述的基站, 以及移动管理实体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810061002.XA CN108112013B (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2013/072550 WO2014139109A1 (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810061002.XA Division CN108112013B (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104160777A true CN104160777A (zh) | 2014-11-19 |
| CN104160777B CN104160777B (zh) | 2018-01-23 |
Family
ID=51535802
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380002267.8A Expired - Fee Related CN104160777B (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
| CN201810061002.XA Active CN108112013B (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810061002.XA Active CN108112013B (zh) | 2013-03-13 | 2013-03-13 | 数据的传输方法、装置和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10027636B2 (zh) |
| CN (2) | CN104160777B (zh) |
| WO (1) | WO2014139109A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106376001A (zh) * | 2015-07-21 | 2017-02-01 | 华为技术有限公司 | 分布式家庭基站、分布式家庭基站的前置单元及后置单元 |
| WO2020063540A1 (zh) * | 2018-09-28 | 2020-04-02 | 华为技术有限公司 | 一种安全通信方法、加密信息确定方法及装置 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104160777B (zh) * | 2013-03-13 | 2018-01-23 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
| CN108432338A (zh) * | 2016-02-04 | 2018-08-21 | 华为技术有限公司 | 一种数据传输系统、方法和装置 |
| CN108347416B (zh) * | 2017-01-24 | 2021-06-29 | 华为技术有限公司 | 一种安全保护协商方法及网元 |
| CN108966220B (zh) * | 2017-07-28 | 2019-07-23 | 华为技术有限公司 | 一种密钥推演的方法及网络设备 |
| US11165866B2 (en) | 2018-01-09 | 2021-11-02 | Stel Life, Inc. | Secure wireless communication platform |
| US11087012B2 (en) | 2018-10-22 | 2021-08-10 | Cibecs International Ltd. | Data protection system and method |
| US11476899B2 (en) * | 2019-04-18 | 2022-10-18 | Huawei Technologies Co., Ltd. | Uplink multi-user equipment (UE) cooperative transmission |
| CN112383917A (zh) * | 2020-10-21 | 2021-02-19 | 华北电力大学 | 一种基于商密算法的北斗安全通信方法和系统 |
| WO2024035434A1 (en) * | 2022-08-10 | 2024-02-15 | Nokia Technologies Oy | Security in a distributed nas terminations architecture |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070055862A1 (en) * | 2005-09-08 | 2007-03-08 | Interdigital Technology Corporation | Method and system for distributing data |
| US20080090572A1 (en) * | 2006-10-11 | 2008-04-17 | Interdigital Technology Corporation | Increasing a secret bit generation rate in wireless communication |
| CN101414860A (zh) * | 2008-12-03 | 2009-04-22 | 重庆邮电大学 | 一种利用协作分集增强WiMAX上行性能的方法 |
| CN102598740A (zh) * | 2009-11-23 | 2012-07-18 | 上海贝尔股份有限公司 | 蜂窝网络中的协作通信 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001016650A (ja) * | 1999-06-28 | 2001-01-19 | Kyocera Corp | 中継機能付き移動体端末および中継システム |
| KR100856045B1 (ko) * | 2002-04-11 | 2008-09-02 | 삼성전자주식회사 | 다중 홉 전달방법, 장치 및 그 방법에서 사용되는매체접근제어 데이터 자료구조 |
| JP3814620B2 (ja) * | 2004-10-15 | 2006-08-30 | 株式会社東芝 | 情報処理装置および情報処理方法 |
| GB0608385D0 (en) * | 2006-04-27 | 2006-06-07 | Nokia Corp | Communications in relay networks |
| CN101500229B (zh) * | 2008-01-30 | 2012-05-23 | 华为技术有限公司 | 建立安全关联的方法和通信网络系统 |
| CN101304384B (zh) * | 2008-06-06 | 2011-02-16 | 南京邮电大学 | 安全性增强的蜂窝网与自组织网融合网络的安全路由方法 |
| US20090325479A1 (en) * | 2008-06-25 | 2009-12-31 | Qualcomm Incorporated | Relay antenna indexing for shared antenna communication |
| CN101640887B (zh) * | 2008-07-29 | 2012-10-03 | 上海华为技术有限公司 | 鉴权方法、通信装置和通信系统 |
| TWI430674B (zh) * | 2009-08-14 | 2014-03-11 | Ind Tech Res Inst | 用於具有中繼節點之無線通訊系統的安全性方法 |
| CN102158899B (zh) * | 2010-02-12 | 2015-01-07 | 华为技术有限公司 | 中继网络中的数据转发方法、装置及系统 |
| US8938197B2 (en) * | 2010-02-26 | 2015-01-20 | Nokia Corporation | Base station aided mobile-relay candidate pre-selection and pre-deployment |
| CN105101320B (zh) * | 2010-05-07 | 2019-12-31 | 北京三星通信技术研究有限公司 | 一种建立基站间连接的方法 |
| WO2011153507A2 (en) * | 2010-06-04 | 2011-12-08 | Board Of Regents | Wireless communication methods, systems, and computer program products |
| JP5625703B2 (ja) * | 2010-10-01 | 2014-11-19 | 富士通株式会社 | 移動通信システム、通信制御方法及び無線基地局 |
| CN102469509A (zh) * | 2010-11-02 | 2012-05-23 | 中国移动通信集团公司 | 一种数据传输方法、装置及系统 |
| CN102487315B (zh) * | 2010-12-03 | 2014-09-03 | 华为技术有限公司 | 多源多中继协作通信方法、通信设备及协作通信系统 |
| CN102036230B (zh) * | 2010-12-24 | 2013-06-05 | 华为终端有限公司 | 本地路由业务的实现方法、基站及系统 |
| US8879980B2 (en) * | 2011-05-05 | 2014-11-04 | Intel Mobile Communications GmbH | Mobile radio communication devices, mobile radio communication network devices, methods for controlling a mobile radio communication device, and methods for controlling a mobile radio communication network device |
| CN102932784B (zh) * | 2011-08-12 | 2015-12-02 | 华为技术有限公司 | 终端的通信方法和设备 |
| CN102514596B (zh) * | 2011-12-14 | 2014-08-13 | 武汉烽火信息集成技术有限公司 | 基于无线基站的列车定位监控系统的监控方法 |
| KR101964142B1 (ko) * | 2012-10-25 | 2019-08-07 | 삼성전자주식회사 | 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치 |
| CN104160777B (zh) * | 2013-03-13 | 2018-01-23 | 华为技术有限公司 | 数据的传输方法、装置和系统 |
-
2013
- 2013-03-13 CN CN201380002267.8A patent/CN104160777B/zh not_active Expired - Fee Related
- 2013-03-13 WO PCT/CN2013/072550 patent/WO2014139109A1/zh active Application Filing
- 2013-03-13 CN CN201810061002.XA patent/CN108112013B/zh active Active
-
2015
- 2015-09-11 US US14/851,337 patent/US10027636B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070055862A1 (en) * | 2005-09-08 | 2007-03-08 | Interdigital Technology Corporation | Method and system for distributing data |
| US20080090572A1 (en) * | 2006-10-11 | 2008-04-17 | Interdigital Technology Corporation | Increasing a secret bit generation rate in wireless communication |
| CN101414860A (zh) * | 2008-12-03 | 2009-04-22 | 重庆邮电大学 | 一种利用协作分集增强WiMAX上行性能的方法 |
| CN102598740A (zh) * | 2009-11-23 | 2012-07-18 | 上海贝尔股份有限公司 | 蜂窝网络中的协作通信 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106376001A (zh) * | 2015-07-21 | 2017-02-01 | 华为技术有限公司 | 分布式家庭基站、分布式家庭基站的前置单元及后置单元 |
| WO2020063540A1 (zh) * | 2018-09-28 | 2020-04-02 | 华为技术有限公司 | 一种安全通信方法、加密信息确定方法及装置 |
| CN112449323A (zh) * | 2019-08-14 | 2021-03-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
| CN112449323B (zh) * | 2019-08-14 | 2022-04-05 | 华为技术有限公司 | 一种通信方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108112013A (zh) | 2018-06-01 |
| US20160006707A1 (en) | 2016-01-07 |
| CN108112013B (zh) | 2020-12-15 |
| CN104160777B (zh) | 2018-01-23 |
| WO2014139109A1 (zh) | 2014-09-18 |
| US10027636B2 (en) | 2018-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104160777B (zh) | 数据的传输方法、装置和系统 | |
| CN110830991B (zh) | 安全会话方法和装置 | |
| US20210135878A1 (en) | Authentication Mechanism for 5G Technologies | |
| CN107079023B (zh) | 用于下一代蜂窝网络的用户面安全 | |
| WO2018137488A1 (zh) | 安全实现方法、设备以及系统 | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| US20220086642A1 (en) | Identity-based message integrity protection and verification for wireless communication | |
| WO2020248624A1 (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| CN108810884A (zh) | 密钥配置方法、装置以及系统 | |
| CN104641617A (zh) | 一种密钥交互方法及装置 | |
| CN107566115A (zh) | 密钥配置及安全策略确定方法、装置 | |
| CN104285422A (zh) | 用于利用邻近服务的计算设备的安全通信 | |
| MX2009002507A (es) | Autentificacion de seguridad y gestion de claves dentro de una red de multisalto inalambrica basada en infraestructura. | |
| CN108377495A (zh) | 一种数据传输方法、相关设备及系统 | |
| JP2008547257A (ja) | アドホックネットワーク内でデータを安全に伝送するための方法および装置 | |
| CN103609154A (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| CN102056157A (zh) | 一种确定密钥和密文的方法、系统及装置 | |
| CN102333309B (zh) | 一种无线局域网中密钥传递的方法、设备和系统 | |
| WO2013091543A1 (zh) | 一种低成本终端的安全通信方法、装置及系统 | |
| JP6123035B1 (ja) | Twagとueとの間でのwlcpメッセージ交換の保護 | |
| CN109756324A (zh) | 一种Mesh网络中的密钥协商方法、终端及网关 | |
| US10826688B2 (en) | Key distribution and receiving method, key management center, first network element, and second network element | |
| WO2012094920A1 (zh) | 一种中继节点的认证方法及系统 | |
| WO2017210811A1 (zh) | 安全策略的执行方法和设备 | |
| CN115412909A (zh) | 一种通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180123 Termination date: 20210313 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |