CN108307389A - 数据安全保护方法、网络接入设备及终端 - Google Patents
数据安全保护方法、网络接入设备及终端 Download PDFInfo
- Publication number
- CN108307389A CN108307389A CN201610850742.2A CN201610850742A CN108307389A CN 108307389 A CN108307389 A CN 108307389A CN 201610850742 A CN201610850742 A CN 201610850742A CN 108307389 A CN108307389 A CN 108307389A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security
- algorithm
- network access
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种数据安全保护方法、网络接入设备及终端;方法包括:网络接入设备接收终端发送的RRC连接请求消息,RRC连接请求消息包括有终端支持的安全能力算法;根据网络接入设备所支持的安全能力算法,及终端所支持的安全能力算法,确定目标安全能力算法;向终端发送RRC连接建立消息,RRC连接建立消息包括有目标安全能力算法;接收核心网设备发送的下行非接入层直传消息,下行非接入层直传消息包括有终端的安全密钥;对网络接入设备与终端之间互相收发的AS层消息,使用安全密钥和目标安全能力算法进行数据安全保护。采用本发明,能够提高用户数据在空中接口传输的安全性。
Description
技术领域
本发明涉及通信技术领域的数据传输技术,尤其涉及一种数据安全保护方法、网络接入设备及终端。
背景技术
面向2020年移动和无线通信推动者(METIS,Mobile and wirelesscommunications Enablers for the Twenty-twenty Information Society)认为5G网络提供的服务分为三大类:极端的移动宽带(xMBB,extreme mobile broadband)、大量机器类型通信(mMTC,massive machine-type communications)、超可靠的机器类型通信(uMTC,ultra-reliable machine-type communications),参见图1;在5G网络中,对不同服务和不同场景,采用不同的技术解决方案;其中,mMTC业务是实现万物互联的重要业务:一方面,针对mMTC业务的低功耗及高密度连接的特性,5G网络需要使用新的技术,满足终端长时间工作、低的功率损耗的需求,以及满足5G网络本身对于海量终端高密度同时在线的性能需求;另一方面,mMTC业务的业务特性之一为“不频繁的小速率传输”。因此,mMTC业务对网络提出的功能需求为:
1)支持海量连接(简化信令流程处理,减少网络侧和终端侧开销);
2)简化信令(提供非常高的协议效率,即非常低的信令开销);
3)终端节能(从广播、寻呼、信令设计等减少终端耗电)。
5G物联网(IoT,Internet of things)的设计需要满足mMTC的特性需求,针对以上提到的mMTC业务的业务特性和mMTC业务对网络提出的功能需求,在5G IoT网络中,设计了控制面(CP,Control plane)模式的业务流程。5G IoT网络由传统LTE网络演进而来,在CP模式下,上层业务的数据是通过非接入层(NAS,Non-access stratum)信令传输的,不需要在无线接入网(RAN,Radio Access Network)侧为其建立单独的数据无线承载(DRB,DataRadio Bearer),参见图2示出的mMTC业务时用户设备(UE,User Equipment)的接入流程,可以看到,在附着(attach)流程结束后,上层业务的数据直接通过NAS信令传输,即在信令无线承载(SRB1,Signalling Radio Bearer 1)上传输上层业务的数据。
LTE系统设计了两层安全保护:第一层为E-UTRAN中的无线资源控制(RRC,RadioResource Control)层安全和用户安全,即接入层(AS,Access stratum)安全;第二层是演进型分组核心网中的NAS安全;AS安全和NAS安全都包括了加密和完整性保护;加密的目的是保证用户数据在空中接口传输的安全性。
然而,5G IoT网络中,在CP模式下没有初始安全激活过程,即在CP模式下无法进行AS层安全保护,因此,5G IoT网络中用户数据在空中接口进行传输的安全性没有得到充分保证。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种数据安全保护方法、网络接入设备及终端,能够提高用户数据在空中接口传输的安全性。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种数据安全保护方法,所述方法包括:
网络接入设备接收终端发送的无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
在上述方案中,所述根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法,包括:
将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;或者,
将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法。
在上述方案中,所述安全能力算法包括:加密算法和完整性保护算法;
所述对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护,包括:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
在上述方案中,所述接收核心网设备发送的下行非接入层直传消息之前,所述方法还包括:
向所述核心网设备发送用户设备初始直传消息。
第二方面,本发明实施例提供了一种数据安全保护方法,包括:
终端向网络接入设备发送无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
在上述方案中,所述安全能力算法包括:加密算法和完整性保护算法;
所述对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护,包括:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
在上述方案中,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护,包括:
接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
第三方面,本发明实施例提供了一种网络接入设备,包括:
第一接收模块,用于接收终端发送的无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
确定模块,用于根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
第一发送模块,用于向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
第二接收模块,用于接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
第一数据安全保护模块,用于对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
在上述方案中,所述确定模块,具体用于:
将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;或者,
将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法。
在上述方案中,所述安全能力算法包括:加密算法和完整性保护算法;
所述第一数据安全保护模块,具体用于:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
在上述方案中,所述第一发送模块,还用于在所述第二接收模块接收核心网设备发送的下行非接入层直传消息之前,向所述核心网设备发送用户设备初始直传消息。
第四方面,本发明实施例提供了一种终端,包括:
第二发送模块,用于向网络接入设备发送无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
第三接收模块,用于接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
第二数据安全保护模块,用于对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
在上述方案中,所述安全能力算法包括:加密算法和完整性保护算法;
所述第二数据安全保护模块,具体用于:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
在上述方案中,所述第二数据安全保护模块,具体用于:
接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
本发明实施例中,终端在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法,网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并将目标安全能力算法通过RRC连接建立消息发送给终端;核心网设备接收到网络接入设备发送的“initial UE Message”消息后,向网络接入设备回复携带有终端的安全密钥的“DL NAS Transport”消息;至此,网络接入设备和终端都保存有终端的安全密钥、及网络接入设备确定的目标安全能力算法,之后,对网络接入设备与终端之间互相收发的AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
附图说明
在附图(其不一定是按比例绘制的)中,相似的附图标记可在不同的视图中描述相似的部件。具有不同字母后缀的相似附图标记可表示相似部件的不同示例。附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。
图1为METIS识别的5G网络中的三大类业务示意图;
图2为5G IoT网络中在CP模式下终端Attach流程的示意图;
图3为本发明实施例中数据安全保护方法的一个可选的流程示意图;
图4为本发明实施例中数据安全保护方法的另一个可选的流程示意图;
图5为本发明实施例中网络接入设备的一个可选的结构示意图;
图6为本发明实施例中终端的一个可选的结构示意图。
具体实施方式
在本发明的各种实施例中:通过网络接入设备接收终端发送的RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
实施例一
本实施例提供一种数据安全保护方法,可以应用于5G IoT网络中。现有技术中,5GIoT网络在CP模式下没有初始安全激活过程,即在CP模式下无法进行AS层安全保护,导致5GIoT网络中用户数据在空中接口进行传输的安全性没有得到充分保证。本实施例针对该问题提出解决的技术方案。
本实施例的执行主体可以为网络接入设备,可以用于执行本实施例的数据安全保护方法;实际中,所述网络接入设备例如可以是演进基站(eNB)、或者是5G网络中负责执行与eNB功能类似的部件、装置、设备或系统。
基于该网络接入设备,参见图3,本实施例提供的数据安全保护方法,包括以下步骤:
步骤101、网络接入设备接收终端发送的RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法。
这里,所述安全能力算法可以包括:加密算法和/或完整性保护算法;加密算法例如为EEA1、EEA2、或EEA3等;完整性保护算法例如为EIA1、EIA2、EIA3等。
步骤102、所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法。
这里,目标安全能力算法是网络接入设备选择的终端与网络接入设备在进行AS层的安全保护时,共同使用的安全能力算法。
实际中,网络接入设备确定目标安全能力算法的实现方式至少可以包括以下任意一种方式:
实现方式1、网络接入设备将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;也即,网络接入设备选取所述网络接入设备与所述终端各自所支持的安全能力算法的交集为目标安全能力算法。
实现方式2、网络接入设备将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法;这里,在所述网络接入设备与所述终端同时支持的安全能力算法的数量不止1个时,如果该些同时支持的安全能力算法之间存在不同等级,那么可以从所述网络接入设备与所述终端同时支持的安全能力算法中,选择等级最高的安全能力算法作为目标安全能力算法。
需要说明的是,网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法的实现方式并不限于实现方式1及实现方式2。
步骤103、所述网络接入设备向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法。
终端收到消息RRC连接建立消息后,提取RRC连接建立消息中携带的目标安全能力算法,并判断终端是否支持该目标安全能力算法;若支持,则发送RRC连接建立完成(RRCConnection Setup Complete)消息给网络接入设备;否则发送RRC连接失败(RRCConnection Failure)消息给网络接入设备。
网络接入设备收到RRC连接建立完成消息后,选择唯一的MME,并给核心网设备发送用户设备初始直传消息(initial UE Message),请求核心网设备建立UE上下文信息。实际中,核心网设备可以是移动性管理实体(MME,Mobility Management Entity)。
核心网设备收到“initial UE Message”消息后,进行鉴权,及判断终端类型为5GIoT UE,选择CP模式,向网络接入设备回复下行非接入层直传消息“DLNAS Transport”,其中“DL NAS Transport”中包括有所述终端的安全密钥。
步骤104、所述网络接入设备接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥。
所述网络接入设备解析“DL NAS Transport”消息,提取所述终端相关的安全密钥,并保存。实际中,所述安全密钥可以包括:密钥KeNB。可选的,网络接入设备向所述终端发送用于指示附着接受的DL NAS Transport消息。
至此,所述网络接入设备和所述终端都保存有所述终端的安全密钥、及所述网络接入设备确定的目标安全能力算法。
步骤105、对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和目标安全能力算法进行数据安全保护。
这里,以所述安全能力算法为加密算法和完整性保护算法为例进行说明:所述网络接入设备对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
本实施例中,终端在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法,网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并将目标安全能力算法通过RRC连接建立消息发送给终端;核心网设备接收到网络接入设备发送的“initial UE Message”消息后,向网络接入设备回复携带有终端的安全密钥的“DL NAS Transport”消息;至此,网络接入设备和终端都保存有终端的安全密钥、及网络接入设备确定的目标安全能力算法,之后,对网络接入设备与终端之间互相收发的AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
实施例二
本实施例与实施例一对应,提供一种应用于终端侧的数据安全保护方法,包括以下步骤:
步骤1)、终端向网络接入设备发送RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
步骤2)、接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
步骤3)、对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
在上述方案中,所述安全能力算法包括:加密算法和完整性保护算法;所述步骤3)具体可以包括:对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
实际中,所述终端在接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
本实施例中,终端在确定驻留小区所属网络为5G IoT网络时,在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法;网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并通过RRC连接建立消息发送给终端;终端在接收到网络接入设备发送的用于指示附着接受的消息之后,对网络接入设备与终端之间互相收发的所有AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
实施例三
本实施例基于上述任意一个实施例。为了解决现有技术存在的问题,本实施例提出了一种5G IoT网络中保证用户数据安全的方法,即解决CP模式下的用户数据AS层安全问题的方案。参见图4,所述方法包括以下步骤:
步骤401:终端初始上电时,在指定频点上进行小区选择,读取小区广播的系统消息,确定该网络为5G IoT网络。终端根据下行RSRP信号质量确定覆盖等级,并在对应的物理随机接入信道(PRACH,Physical Random Access Channel)资源上发起随机接入,包括终端向eNB发送随机接入前导,及接收eNB发送的随机接入响应。
步骤402:终端发送Msg3RRC Connection Request消息到eNB,在终端确定该网络为5G IoT网络的情况下,终端在RRC Connection Request中携带终端支持的加密算法(例如以下任意一个或组合:EEA1,EEA2,EEA3等)及完整性保护算法(例如以下任意一个或组合:EIA1,EIA2,EIA3等)。
步骤403:eNB收到该请求消息后,从中读取终端支持的加密算法和完整性保护算法,并根据eNB和终端对加密及完整性保护算法的支持情况,并本地计算得出eNB最终选择的加密算法和完整性保护算法。
步骤404:eNB下发消息RRC Connection Setup给终端,其中携带eNB计算得出的该终端使用的加密算法和完整性保护算法。
步骤405:终端收到消息RRC Connection Setup后,提取其中携带的加密算法和完整性保护算法,判断终端是否支持;如果支持,保存其中携带的加密算法和完整性保护算法,并回消息RRC Connection Setup Complete给eNB;否则发送消息RRC连接失败(RRCConnection Failure)给eNB;这里假设终端支持eNB最终选择的加密算法和完整性保护算法。
步骤406:eNB收到消息后,判断UE为支持5G IoT的终端,选择唯一的MME。
步骤407:eNB给MME发消息:初始UE消息(initial UE Message),该消息携带NAS协议数据单元(PDU)(附着请求(Attach Request))及无线接入技术(RAT,Radio AccessTechnologies)类型(Type),请求MME侧建立UE上下文信息。
步骤408:MME收到该消息后进行鉴权,判断终端类型,及CP模式选择;
步骤409:如果MME选择CP模式,向eNB发送首条层三消息“DL NAS Transport”,在“DL NAS Transport”中携带终端相关的KeNB值。
步骤410:eNB收到消息“DL NAS Transport”后,提取终端相关的KeNB值,并保存。
至此,eNB和终端都保存有终端的KeNB及为终端选择的加密/完整性保护算法。
步骤411:eNB向终端发送携带有附着接受信息的DL信息直传(DL InformationTransport)消息。
步骤412:终端接收到DL信息直传消息后,向eNB发送携带有附着完成信息的UL信息直传消息;基站向MME发送携带有附着完成信息的UL NAS直传消息。
步骤413:对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
在终端和eNB之间发送的所有AS层消息都需要使用该加密算法和完整性保护算法进行保护。
实际中,eNB选择加密/完整性保护算法的方式也有很多中,比如取eNB与终端能力的交集,如果交集中有多种等级,则选择等级最高的算法,等等,不在本专利讨论范围内。
需要说明的是,KeNB的计算不在本专利讨论范围内,目前LTE中有非常成熟的做法。
在上述实施例中,对现有的RRC Connection Request、RRC Connection Setup及DL NAS Transport消息进行了修改,下面给出针对这三条消息的抽象语法标记(ASN.1,Abstract Syntax Notation One)编码的修改举例,这里只是举例,实际的ASN.1编码方式有多种,都在本文保护范围内。
1、在现有的RRC Connection Request消息的结构基础上,增加“ue-SecurityCapabilities”;RRC Connection Request message的修改结构如下,其中,加粗的为新增内容:
2、在现有的RRC Connection Setup消息的结构基础上,增加“ue-SecurityCapabilities”;RRC Connection Request message的修改结构如下,其中,加粗的为新增内容:
3、在现有的DL NAS Transport消息的结构基础上,增加“SecurityKey”;DL NASTransport消息的修改结构如下,其中,加粗的为新增内容:
实施例四
与前述实施例一的记载相对应,本实施例还记载一种网络接入设备,网络接入设备可以用于执行本发明实施例的数据安全保护方法;参见图5,网络接入设备包括:
第一接收模块501,用于接收终端发送的RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
确定模块502,用于根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
第一发送模块503,用于向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
第二接收模块504,用于接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
第一数据安全保护模块505,用于对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
可选的,所述确定模块502,具体用于:将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;或者,将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法。
可选的,所述安全能力算法包括:加密算法和完整性保护算法;所述第一数据安全保护模块505,具体用于:对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
可选的,所述第一发送模块503,还用于在所述第二接收模块接收核心网设备发送的下行非接入层直传消息之前,向所述核心网设备发送用户设备初始直传消息。
本实施例中,终端在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法,网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并将目标安全能力算法通过RRC连接建立消息发送给终端;核心网设备接收到网络接入设备发送的“initial UE Message”消息后,向网络接入设备回复携带有终端的安全密钥的“DL NAS Transport”消息;至此,网络接入设备和终端都保存有终端的安全密钥、及网络接入设备确定的目标安全能力算法,之后,对网络接入设备与终端之间互相收发的AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
在实际应用中,所述第一接收模块501、所述确定模块502、第一发送模块503、第二接收模块504及所述第一数据安全保护模块505均可由位于网络接入设备的中央处理器(CPU)、微处理器(MPU)、专用集成电路(ASIC)或现场可编程门阵列(FPGA)等实现。
实施例五
与前述实施例二的记载相对应,本实施例还记载一种终端,终端可以用于执行本发明实施例的数据安全保护方法;参见图6,终端包括:
第二发送模块601,用于向网络接入设备发送RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
第三接收模块602,用于接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
第二数据安全保护模块603,用于对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
可选的,所述安全能力算法包括:加密算法和完整性保护算法;所述第二数据安全保护模块603,具体用于:对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
可选的,所述第二数据安全保护模块603,具体用于:接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
本实施例中,终端在确定驻留小区所属网络为5G IoT网络时,在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法;网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并通过RRC连接建立消息发送给终端;终端在接收到网络接入设备发送的用于指示附着接受的消息之后,对网络接入设备与终端之间互相收发的所有AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
在实际应用中,第二发送模块601、第三接收模块602及所述第二数据安全保护模块603均可由位于终端的CPU、MPU、ASIC或FPGA等实现。
实施例六
本实施例记载一种计算机可读介质,可以为ROM(例如,只读存储器、FLASH存储器、转移装置等)、磁存储介质(例如,磁带、磁盘驱动器等)、光学存储介质(例如,CD-ROM、DVD-ROM、纸卡、纸带等)以及其他熟知类型的程序存储器;计算机可读介质中存储有计算机可执行指令,当执行指令时,引起至少一个处理器执行包括以下的操作:
网络接入设备接收终端发送的RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
综上,本发明实施例通过终端在发送给网络接入设备的RRC连接请求消息中携带终端支持的安全能力算法,网络接入设备根据终端所支持的安全能力算法及网络接入设备所支持的安全能力算法,确定目标安全能力算法,并将目标安全能力算法通过RRC连接建立消息发送给终端;核心网设备接收到网络接入设备发送的“initial UE Message”消息后,向网络接入设备回复携带有终端的安全密钥的“DL NAS Transport”消息;至此,网络接入设备和终端都保存有终端的安全密钥、及网络接入设备确定的目标安全能力算法,之后,对网络接入设备与终端之间互相收发的AS层消息,都使用安全密钥和目标安全能力算法进行数据安全保护,这就实现了AS层的安全保护;如此,可以提高用户数据在空中接口传输的安全性。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (14)
1.一种数据安全保护方法,其特征在于,包括:
网络接入设备接收终端发送的无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法,包括:
将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;或者,
将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法。
3.根据权利要求1所述的方法,其特征在于,所述安全能力算法包括:加密算法和完整性保护算法;
所述对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护,包括:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
4.根据权利要求1所述的方法,其特征在于,所述接收核心网设备发送的下行非接入层直传消息之前,所述方法还包括:
向所述核心网设备发送用户设备初始直传消息。
5.一种数据安全保护方法,其特征在于,包括:
终端向网络接入设备发送无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
6.根据权利要求5所述的方法,其特征在于,所述安全能力算法包括:加密算法和完整性保护算法;
所述对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护,包括:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
7.根据权利要求5所述的方法,其特征在于,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护,包括:
接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
8.一种网络接入设备,其特征在于,包括:
第一接收模块,用于接收终端发送的无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
确定模块,用于根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定目标安全能力算法;
第一发送模块,用于向所述终端发送RRC连接建立消息,所述RRC连接建立消息包括有所述目标安全能力算法;
第二接收模块,用于接收核心网设备发送的下行非接入层直传消息,所述下行非接入层直传消息包括有所述终端的安全密钥;
第一数据安全保护模块,用于对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述安全密钥和所述目标安全能力算法进行数据安全保护。
9.根据权利要求8所述的网络接入设备,其特征在于,所述确定模块,具体用于:
将所述网络接入设备与所述终端同时支持的安全能力算法,确定为目标安全能力算法;或者,
将所述网络接入设备与所述终端同时支持的安全能力算法中优先级最高的算法确定为目标安全能力算法。
10.根据权利要求8所述的网络接入设备,其特征在于,所述安全能力算法包括:加密算法和完整性保护算法;
所述第一数据安全保护模块,具体用于:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
11.根据权利要求8所述的网络接入设备,其特征在于,所述第一发送模块,还用于在所述第二接收模块接收核心网设备发送的下行非接入层直传消息之前,向所述核心网设备发送用户设备初始直传消息。
12.一种终端,其特征在于,包括:
第二发送模块,用于向网络接入设备发送无线资源控制RRC连接请求消息,所述RRC连接请求消息包括有所述终端支持的安全能力算法;
第三接收模块,用于接收所述网络接入设备发送的RRC连接建立消息,所述RRC连接建立消息包括有所述网络接入设备根据所述网络接入设备所支持的安全能力算法,及所述终端所支持的安全能力算法,确定的目标安全能力算法;
第二数据安全保护模块,用于对所述网络接入设备与所述终端之间互相收发的接入层AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
13.根据权利要求12所述的终端,其特征在于,所述安全能力算法包括:加密算法和完整性保护算法;
所述第二数据安全保护模块,具体用于:
对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述安全密钥和所述加密算法进行加密保护,及使用所述安全密钥和所述目标完整性保护算法进行完整性保护。
14.根据权利要求12所述的终端,其特征在于,所述第二数据安全保护模块,具体用于:
接收到所述网络接入设备发送的用于指示附着接受的消息后,对所述网络接入设备与所述终端之间互相收发的AS层消息,使用所述终端的安全密钥和所述目标安全能力算法进行数据安全保护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610850742.2A CN108307389A (zh) | 2016-09-26 | 2016-09-26 | 数据安全保护方法、网络接入设备及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610850742.2A CN108307389A (zh) | 2016-09-26 | 2016-09-26 | 数据安全保护方法、网络接入设备及终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108307389A true CN108307389A (zh) | 2018-07-20 |
Family
ID=62871186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610850742.2A Pending CN108307389A (zh) | 2016-09-26 | 2016-09-26 | 数据安全保护方法、网络接入设备及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108307389A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110430573A (zh) * | 2019-07-31 | 2019-11-08 | 维沃移动通信有限公司 | 一种信息认证方法、电子设备及网络侧设备 |
CN110830992A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
WO2020151710A1 (zh) * | 2019-01-21 | 2020-07-30 | 华为技术有限公司 | 一种确定安全保护方式的方法、装置及系统 |
CN112398851A (zh) * | 2020-11-13 | 2021-02-23 | Oppo广东移动通信有限公司 | 数据处理方法、装置、存储介质及电子设备 |
CN112601222A (zh) * | 2019-09-16 | 2021-04-02 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
WO2021147053A1 (zh) * | 2020-01-22 | 2021-07-29 | 华为技术有限公司 | 数据传输方法、装置及系统 |
CN113381966A (zh) * | 2020-03-09 | 2021-09-10 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
CN114223225A (zh) * | 2019-08-15 | 2022-03-22 | 中兴通讯股份有限公司 | 对等终端之间的侧链路能力信息传输和安全 |
US20220217538A1 (en) * | 2019-09-29 | 2022-07-07 | Huawei Technologies Co., Ltd. | Communication Method And Communication Apparatus |
-
2016
- 2016-09-26 CN CN201610850742.2A patent/CN108307389A/zh active Pending
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110830992A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
CN110830992B (zh) * | 2018-08-10 | 2021-03-02 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
US11665535B2 (en) | 2018-08-10 | 2023-05-30 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for dual-connectivity communication |
WO2020151710A1 (zh) * | 2019-01-21 | 2020-07-30 | 华为技术有限公司 | 一种确定安全保护方式的方法、装置及系统 |
WO2021017720A1 (zh) * | 2019-07-31 | 2021-02-04 | 维沃移动通信有限公司 | 信息认证方法、电子设备及网络侧设备 |
CN110430573A (zh) * | 2019-07-31 | 2019-11-08 | 维沃移动通信有限公司 | 一种信息认证方法、电子设备及网络侧设备 |
CN114223225A (zh) * | 2019-08-15 | 2022-03-22 | 中兴通讯股份有限公司 | 对等终端之间的侧链路能力信息传输和安全 |
CN112601222A (zh) * | 2019-09-16 | 2021-04-02 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
CN112601222B (zh) * | 2019-09-16 | 2022-04-22 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
US20220217538A1 (en) * | 2019-09-29 | 2022-07-07 | Huawei Technologies Co., Ltd. | Communication Method And Communication Apparatus |
US11889310B2 (en) * | 2019-09-29 | 2024-01-30 | Huawei Technologies Co., Ltd. | Communication method and communication apparatus |
WO2021147053A1 (zh) * | 2020-01-22 | 2021-07-29 | 华为技术有限公司 | 数据传输方法、装置及系统 |
CN113381966A (zh) * | 2020-03-09 | 2021-09-10 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
WO2021180051A1 (zh) * | 2020-03-09 | 2021-09-16 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
CN113381966B (zh) * | 2020-03-09 | 2023-09-26 | 维沃移动通信有限公司 | 信息上报方法、信息接收方法、终端及网络侧设备 |
CN112398851B (zh) * | 2020-11-13 | 2023-01-10 | Oppo广东移动通信有限公司 | 数据处理方法、装置、存储介质及电子设备 |
CN112398851A (zh) * | 2020-11-13 | 2021-02-23 | Oppo广东移动通信有限公司 | 数据处理方法、装置、存储介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108307389A (zh) | 数据安全保护方法、网络接入设备及终端 | |
CN109005540B (zh) | 一种密钥推演的方法、装置及计算机可读存储介质 | |
CN109640324B (zh) | 一种通信方法及相关装置 | |
CN110121168B (zh) | 安全协商方法及装置 | |
CN110912854B (zh) | 一种安全保护方法、设备及系统 | |
CN104160730B (zh) | 快速接入方法和装置 | |
US20150043537A1 (en) | Security processing method and system in network handover process | |
CN103167492B (zh) | 在通信系统中生成接入层密钥的方法及其设备 | |
EP3771242A1 (en) | Key generation method and relevant apparatus | |
WO2017166221A1 (zh) | 无线接入控制方法、装置及系统 | |
CN104885519A (zh) | 分流方法、用户设备、基站和接入点 | |
CN104322089A (zh) | 用于蜂窝网络的控制下的本地接入的密钥导出方法和设备 | |
US10172052B2 (en) | Method and device for dynamically constructing virtual cell | |
US11140545B2 (en) | Method, apparatus, and system for protecting data | |
CN102958052B (zh) | 一种数据安全传输方法及相关设备 | |
CN103178938A (zh) | 信令优化处理方法、设备和系统 | |
CN101242630A (zh) | 安全算法协商的方法、装置及网络系统 | |
CN111385830A (zh) | 通信方法和装置 | |
EP3934323A1 (en) | Network access management method and apparatus for terminal device | |
JPWO2020050138A1 (ja) | コアネットワーク装置、通信端末、及び通信方法 | |
CN110417563A (zh) | 一种网络切片接入的方法、装置和系统 | |
CN109936861A (zh) | 通信方法及接入网设备、终端设备、核心网设备 | |
US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
CN109803456B (zh) | 一种请求恢复连接的方法及装置 | |
CN105188146A (zh) | 执行直接通讯的方法及通讯装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180720 |
|
WD01 | Invention patent application deemed withdrawn after publication |