CN111064673B - 一种用户面数据完整性保护方法、装置、电子设备及介质 - Google Patents

一种用户面数据完整性保护方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN111064673B
CN111064673B CN201811202994.XA CN201811202994A CN111064673B CN 111064673 B CN111064673 B CN 111064673B CN 201811202994 A CN201811202994 A CN 201811202994A CN 111064673 B CN111064673 B CN 111064673B
Authority
CN
China
Prior art keywords
user plane
packet
integrity protection
plane data
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811202994.XA
Other languages
English (en)
Other versions
CN111064673A (zh
Inventor
刘福文
彭晋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201811202994.XA priority Critical patent/CN111064673B/zh
Priority to PCT/CN2019/107884 priority patent/WO2020078184A1/zh
Publication of CN111064673A publication Critical patent/CN111064673A/zh
Application granted granted Critical
Publication of CN111064673B publication Critical patent/CN111064673B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/34Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/552Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种用户面数据完整性保护方法、装置、电子设备及介质,所述方法包括:针对用户面数据包,识别所述用户面数据包中的PDCP SDU;根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC‑I。由于在本发明实施例中,电子设备针对用户面数据包,仅根据用户面数据包中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC‑I,不将用户面数据包中的数据载荷参与到MAC‑I的生成计算中,降低了生成MAC‑I的计算负载,提供了一种能降低计算负载的用户面数据完整性保护方案。

Description

一种用户面数据完整性保护方法、装置、电子设备及介质
技术领域
本发明涉及通信技术领域,尤其涉及一种用户面数据完整性保护方法、装置、电子设备及存储介质。
背景技术
在通信技术领域,按照数据类型进行划分,通常可以将数据划分为用户面数据和控制面数据,用户面数据指的是真正的业务数据,例如:语音数据或者分组业务数据等,控制面数据通常指的是信令。如图1和图2所示,4G网络和5G网络的用户面的协议堆栈不同,5G网络相较于4G网络的包数据聚合协议(Packet Data Convergence Protocol,PDCP)、无线链路控制(Radio Link Control,RLC)、媒介接入控制(Medium Access control,MAC)、物理层(Port Physical Layer,PHY)增加了业务数据适配协议(Service Data AdaptationProtocol,SDAP),用以提供比4G网络的用户面数据的服务质量(Quality of Service,QoS)更细粒度的管理。因此,如图3和图4所示,5G网络的用户面数据包相较于4G网络的用户面数据包包括数据载荷(Data Payload)、数据载荷包头(Hdata)和PDCP包头(HPDCP)增加了SDAP包头(HSDAP)。
现有用户面数据完整性保护通常是在PDCP层执行,是将用户面数据包中PDCP层业务数据单元(Service Data Unit,SDU),即PDCP SDU,作为需要完整性保护的消息(MESSAGE),并具体将PDCP SDU中的包头和数据载荷作为设定的完整性保护函数的输入参数,基于设定的完整性保护函数生成消息验证码(MAC-I),来实现对用户面数据的完整性保护。
然而,根据PDCP SDU生成MAC-I,尤其是对于高速接入的用户面数据,如高清视频的用户面数据等,电子设备生成MAC-I的计算负载很大,并且随着网络的不断提速,单纯的提升电子设备硬件水平,已经不能有效的解决用户面数据完整性保护给电子设备带来的计算负载的问题,因此,需要一种能降低计算负载的用户面数据完整性保护方案。
发明内容
本发明提供一种用户面数据完整性保护方法、装置、电子设备及存储介质,用以解决现有技术中存在给电子设备带来很大计算负载的问题。
第一方面,本发明公开了一种用户面数据完整性保护方法,应用于电子设备,所述方法包括:
针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;
根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
通过本发明的用户面数据完整性保护方法,仅根据用户面数据包中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC-I,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中,降低了用户面数据完整性保护给电子设备带来的计算负载。
可选的,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I包括:
根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
可选的,如果所述用户面数据包为5G网络的用户面数据包,所述根据所述PDCPSDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
可选的,如果所述用户面数据包为4G网络的用户面数据包,所述根据所述PDCPSDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I之前,所述方法还包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,则结束。
通过上述可选方式,只对会话上的初始数据包包头进行完整性保护,进一步降低了用户面数据完整性保护给电子设备带来的计算负载。
可选的,如果所述用户面数据包为4G网络的用户面数据包,所述方法还包括:
将所述MAC-I添加至所述用户面数据包中。
可选的,所述将所述MAC-I添加至所述用户面数据包中之前,所述方法还包括:
识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,
当建立了接入层(Access Stratum,AS)安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;
所述将所述MAC-I添加至所述用户面数据包中包括:
将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
通过上述可选方式,对于4G网络可以在应用层,进行用户面数据保护,无需对现有设备的硬件进行升级即可实现。
可选的,所述电子设备支持的用户面数据完整性的保护策略包括:
对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头必须进行完整性保护;或,
只对PDU会话上的初始数据包包头必须进行完整性保护;或,
对于PDU会话上的所有流量首选进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头首选进行完整性保护;或,
对PDU会话上的初始数据包包头首选进行完整性保护;或,
对于PDU会话上的所有流量不进行用户面完整性保护。
第二方面,本发明公开了一种用户面数据完整性保护装置,应用于电子设备,所述装置包括:
识别模块,用于针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;
生成模块,用于根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
第三方面,本发明公开了一种电子设备,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
可选的,所述处理器,具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
可选的,所述处理器,具体用于如果所述用户面数据包为5G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
可选的,所述处理器,具体用于如果所述用户面数据包为4G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,进行根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I的步骤;如果否,则结束。
可选的,所述处理器,还用于如果所述用户面数据包为4G网络的用户面数据包,将所述MAC-I添加至所述用户面数据包中。
可选的,所述处理器,具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,当建立了AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
第四方面,本发明公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述任一项所述方法的步骤。
第五方面,本发明公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述任一项所述方法的步骤。
本发明有益效果如下:
由于在本发明实施例中,电子设备针对用户面数据包,仅根据用户面数据包中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC-I,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中,降低了生成MAC-I的计算负载,提供了一种能降低计算负载的用户面数据完整性保护方案。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为4G网络用户面的协议堆栈示意图;
图2为5G网络用户面的协议堆栈示意图;
图3为4G网络用户面数据包示意图;
图4为5G网络用户面数据包示意图;
图5为本发明实施例提供的一种用户面数据完整性保护过程示意图;
图6为本发明实施例提供的一种用户面数据包封装过程示意图;
图7为本发明实施例提供的一种用户面数据包结构示意图;
图8为本发明实施例提供的一种用户面数据完整性保护装置结构示意图;
图9为本发明实施例提供的一种电子设备之一;
图10为本发明实施例提供的一种电子设备之二。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有用户面数据保护方法,包括对PDCP层的HPDCP和PDCP SDU进行完整性保护。用户面数据完整性保护,通过使用完整性保护函数生成MAC-I来实现,完整性保护函数的输入参数包括:数据包计数值(COUNT)、MESSAGE、数据传输方向(DIRECTION)、BEARER(载波标识)、完整性密钥(KEY);其中,HPDCP中的PDCP序列号(PDCP SN)用于构成COUNT、MESSAGE为PDCP SDU、DIRECTION和BEARER是电子设备分配的值、KEY是根据根密钥生成的。现有5G网络支持用户终端(UE)与基站之间支持用户面数据的完整性保护,但是生成MAC-I的计算负载很大,给支持用户面数据完整性保护的5G网络中的UE和基站带来了极大的计算负担;此外,现有4G网络中为了避免用户面数据完整性保护给UE和基站带来的计算负担,并为了保证4G网络的吞吐效率最大化和时延最小化,4G网络中不支持UE和基站间进行用户面数据完整性保护,因此,需要一种能降低计算负载的用户面数据完整性保护方案。
基于现有的用户面数据完整性保护方法,可支持的用户面数据完整性保护策略包括:(1)必须1:对于协议数据单元(Protocol Data Unit,PDU)会话上的所有流量必须进行用户面完整性保护;(2)偏好1:对于PDU会话上的所有流量首选进行用户面完整性保护;(3)不需要:对于PDU会话上的所有流量不进行用户面完整性保护。其中使用必须策略时,如果基站和UE无法达成一致,PDU会话建立失败,例如基站选择对于PDU会话上的所有流量必须进行用户面完整性保护,但是UE不支持,则PDU会话建立失败;如果使用“偏好”策略时,如果终端与UE达成一致,则对PDU会话的用户面数据包进行完整性保护,否则,PDU会话建立但没有用户面完整性保护,在现有用户面数据完整性保护策略对于PDU会话上的所有流量进行用户面完整性保护,指完整性保护函数的输入参数MESSAGE为PDCP SDU。
实施例1:
图5为本发明实施例提供的一种用户面数据完整性保护过程示意图,所述过程包括:
S501:针对用户面数据包,识别所述用户面数据包中的PDCP SDU。
S502:根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
本发明实施例提供的用户面数据完整性保护方法应用于电子设备,该电子设备可以是用户终端(UE),也可以是基站。
具体的,电子设备针对用户面数据包,识别用户面数据包中的PDCP SDU,根据PDCPSDU中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC-I。
较佳的,电子设备可以根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
下面结合具体网络场景进行说明:
场景一:5G网络的用户面数据完整性保护,电子设备为5G网络中的UE或基站(gNB)。
在5G网络中,用户面数据的完整性保护在PDCP层执行。如图6所示,为5G网络的用户面数据包封装过程示意图,初始用户面数据包(Data packet)包括:Data Payload和Hdata,Data packet在SDAP层作为SDAP层的SDU,即SDAP SDU,为Data packet添加HSDAP,Datapacket和HSDAP在PDCP层作为PDCP SDU,为PDCP SDU添加HPDCP封装成可用于用户面数据完整性保护的用户面数据包。具体的,在5G网络中,电子设备识别用户面数据包中的PDCP SDU,并具体将PDCP SDU中的包头,即将HSDAP和Hdata级联作为完整性保护函数的MESSAGE,通过完整性保护函数生成MAC-I,并将生成的MAC-I添加至用户面数据包的尾部。具体的,电子设备将HSDAP和Hdata级联作为完整性保护函数的MESSAGE,结合完整性保护函数的其它参数值如COUNT、DIRECTION、BEARER、KEY生成MAC-I。
场景二:4G网络的用户面数据完整性保护,电子设备为4G网络中的UE或基站(eNB)。
现有4G网络不支持UE和eNB间的用户面数据完整性保护在PDCP层实现,可以对UE和eNB的硬件进行改进,使UE和eNB的PDCP层支持用户面数据完整性保护,较佳的,为了避免对UE和eNB的硬件进行改进,4G网络的用户面数据完整性保护可以在PDCP上层,即应用层实现。结合图3所示的4G网络的用户面数据包进行说明,具体的,在4G网络中电子设备识别用户面数据包中的PDCP SDU,并具体将PDCP SDU中的包头,即将Hdata作为MESSAGE,通过完整性保护函数生成MAC-I,并可以将生成的MAC-I添加至用户面数据包的尾部,也可以将生成的MAC-I插入到用户面数据包的Hdata与Data Payload之间。具体的,电子设备将HSDAP作为完整性保护函数的MESSAGE,结合完整性保护函数的其它参数值如COUNT、DIRECTION、BEARER、KEY生成MAC-I。
通过本实施例提供的用户面数据完整性保护方法,可以在现有用户面数据完整性保护策略基础上增加以下用户面数据完整性保护策略(1)必须2:对于PDU会话上的所有流量的数据包包头必须进行完整性保护;(2)偏好2:对于PDU会话上的所有流量的数据包包头首选进行完整性保护;其中,对于PDU会话上的所有流量的数据包包头进行用户面完整性保护,指完整性保护函数的输入参数MESSAGE为PDCP SDU中的包头。
由于在本发明实施例中,电子设备针对用户面数据包,仅根据用户面数据包中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC-I,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中,降低了生成MAC-I的计算负载,提供了一种能降低计算负载的用户面数据完整性保护方案。
实施例2:
PDCP层除了能对用户面数据进行加密和完整性保护外,还可以对包头进行压缩,一般采用健壮头压缩(RObust Header Compression,ROHC)方法对包头进行压缩,以节省无线贷款资源。ROHC的原理是UE和基站间在传输完对话的初始数据包的包头后,后面传输对应的数据包的包头中只传输包头中变化的部分,因包头中的绝大部分内容不变,如网络之间互连的协议(Internet Protocol,IP)IP地址,因此,ROHC能把包头压缩得很小。例如,对于VOLTE的包头包括IP包头,用户数据报协议(User Datagram Protocol,UDP)包头,实时传输协议(Real-time Transport Protocol,包头,共计40字节,使用ROHC压缩后,整个VOLTE的数据包的包头只有5个字节。具体的,在本法实施例中,PDCP层采用ROHC方法对用户面数据包中的Hdata进行压缩。
为了进一步减少电子设备的计算负载,如果所述用户面数据包为5G网络的用户面数据包,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
具体的,如果采用了ROHC方法对用户面数据包包头进行压缩,在5G网络中,电子设备针对用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包,如果是,则说明所述用户面数据包的Hdata未被压缩,将HSDAP和Hdata作为完整性保护函数的MESSAGE,生成所述用户面数据包的MAC-I;如果否,则说明所述用户面数据包的Hdata被压缩,将HSDAP作为完整性保护函数的MESSAGE,生成所述用户面数据包的MAC-I。
为了进一步减少电子设备的计算负载,如果所述用户面数据包为4G网络的用户面数据包,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I之前,所述方法还包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,则结束。
具体的,4G网络的用户面数据包中的PDCP SDU中仅包含Hdata,如果采用了ROHC方法对用户面数据包包头进行了压缩,则如果用户面数据包为所述用户面数据包对应会话的初始用户面数据包,则所述用户面数据包中的Hdata未被压缩,将Hdata作为完整性保护函数的MESSAGE,生成所述用户面数据包的MAC-I;如果否,则说明所述用户面数据包的Hdata被压缩,不生成所述用户面数据包的MAC-I。
通过本实施例提供的用户面数据完整性保护方法,可以在上述用户面数据完整性保护策略增加以下用户面数据完整性保护策略(1)必须3:只对PDU会话上的初始数据包包头必须进行完整性保护;(2)偏好3:对PDU会话上的初始数据包包头首选进行完整性保护;其中,对于PDU会话上的初始数据包包头进行完整性保护,指如果用户面数据包为会话的初始用户面数据包完整性保护函数的输入参数MESSAGEPDCP SDU中的包头,如果用户面数据包不是会话的初始用户面数据包,完整性保护函数的输入参数MESSAGEPDCP SDU中的非数据载荷包头的包头。
实施例3:
为了实现4G网络的用户面数据完整性保护,如果所述用户面数据包为4G网络的用户面数据包,所述方法还包括:
将所述MAC-I添加至所述用户面数据包中。
所述将所述MAC-I添加至所述用户面数据包中之前,所述方法还包括:
如果在PDCP层实现用户面数据完整性保护,识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,
如果在PDCP层上层,如应用层实现用户面数据完整性保护,当建立了AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;
所述将所述MAC-I添加至所述用户面数据包中包括:
将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
具体的,可以通过在用户面数据包中插入认证实体(Authentication Entity,AE)来实现对用户面数据的完整性保护,如图7所示,AE可以插入在用户面数据包的Hdata和Datapayload之间,也可以附加到用户面数据包的尾部,其中,AE由COUNT和MAC-I组成,根据PDCP序列号生成COUNT为现有技术,不再进行赘述。
基于上述实施例,可支持的用户面数据完整性保护策略包括:(1)必须1:对于PDU会话上的所有流量必须进行用户面完整性保护;(2)必须2:对于PDU会话上的所有流量的数据包包头必须进行完整性保护;(3)必须3:只对PDU会话上的初始数据包包头必须进行完整性保护;(4)偏好1:对于PDU会话上的所有流量首选进行用户面完整性保护;(5)偏好2:对于PDU会话上的所有流量的数据包包头首选进行完整性保护;(6)偏好3:对PDU会话上的初始数据包包头首选进行完整性保护;(7)不需要:对于PDU会话上的所有流量不进行用户面完整性保护。
实施例4:
图8为本发明实施例提供的一种用户面数据完整性保护装置结构示意图,应用于电子设备,所述装置包括:
识别模块81,用于针对用户面数据包,识别所述用户面数据包中的PDCP SDU;
生成模块82,用于根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
所述生成模块82,具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
所述生成模块82,具体用于如果所述用户面数据包为5G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
所述装置还包括:
判断模块83,用于如果所述用户面数据包为4G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果判断结果为是,触发生成模块82,如果判断结果为否,则结束。
所述装置还包括:
插入模块84,用于如果所述用户面数据包为4G网络的用户面数据包,将所述MAC-I添加至所述用户面数据包中。
所述插入模块84,具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,当建立了AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
实施例5:
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与用户面数据完整性保护方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
如图9所示,其为本发明实施例提供的电子设备的结构示意图,其中在图9中,总线架构可以包括任意数量的互联的总线和桥,具体有处理器91代表的一个或多个处理器91和存储器92代表的存储器92的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器91负责管理总线架构和通常的处理,存储器92可以存储处理器91在执行操作时所使用的数据。
在本发明实施例提供的电子设备中:
所述处理器91,用于读取存储器92中的程序,执行下列过程:针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
优选地,所述处理器91,具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
优选地,所述处理器91,具体用于如果所述用户面数据包为5G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
优选地,所述处理器91,具体用于如果所述用户面数据包为4G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,进行根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I的步骤;如果否,则结束。
优选地,所述处理器91,还用于如果所述用户面数据包为4G网络的用户面数据包,将所述MAC-I添加至所述用户面数据包中。
优选地,所述处理器91,具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,当建立了AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
优选地,所述电子设备支持的用户面数据完整性的保护策略包括:
对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头必须进行完整性保护;或,
只对PDU会话上的初始数据包包头必须进行完整性保护;或,
对于PDU会话上的所有流量首选进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头首选进行完整性保护;或,
对PDU会话上的初始数据包包头首选进行完整性保护;或,
对于PDU会话上的所有流量不进行用户面完整性保护。
实施例6:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,如图10所示,包括:处理器101、通信接口102、存储器103和通信总线104,其中,处理器101,通信接口102,存储器103通过通信总线104完成相互间的通信;
所述存储器103中存储有计算机程序,当所述程序被所述处理器101执行时,使得所述处理器101执行以下步骤:
针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;
根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
实施例7:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;
根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I。
本发明公开了一种用户面数据完整性保护方法、装置、电子设备及存储介质,所述方法包括:针对用户面数据包,识别所述用户面数据包中的PDCP SDU;根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。由于在本发明实施例中,电子设备针对用户面数据包,仅根据用户面数据包中包含的包头及设定的完整性保护函数,生成用户面数据包的MAC-I,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中,降低了生成MAC-I的计算负载,提供了一种能降低计算负载的用户面数据完整性保护方案。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (15)

1.一种用户面数据完整性保护方法,其特征在于,应用于电子设备,所述方法包括:
针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCPSDU;
根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I;其中,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中;
其中,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I包括:
根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
2.如权利要求1所述的方法,其特征在于,如果所述用户面数据包为5G网络的用户面数据包,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
3.如权利要求1所述的方法,其特征在于,如果所述用户面数据包为4G网络的用户面数据包,所述根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I之前,所述方法还包括:
识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;
如果是,根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;
如果否,则结束。
4.如权利要求1所述的方法,其特征在于,如果所述用户面数据包为4G网络的用户面数据包,所述方法还包括:
将所述MAC-I添加至所述用户面数据包中。
5.如权利要求4所述的方法,其特征在于,所述将所述MAC-I添加至所述用户面数据包中之前,所述方法还包括:
识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,
当建立了接入层AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;
所述将所述MAC-I添加至所述用户面数据包中包括:
将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
6.如权利要求1-5任一项所述的方法,其特征在于,所述电子设备支持的用户面数据完整性的保护策略包括:
对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头必须进行完整性保护;或,
只对PDU会话上的初始数据包包头必须进行完整性保护;或,
对于PDU会话上的所有流量首选进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头首选进行完整性保护;或,
对PDU会话上的初始数据包包头首选进行完整性保护;或,
对于PDU会话上的所有流量不进行用户面完整性保护。
7.一种用户面数据完整性保护装置,其特征在于,应用于电子设备,所述装置包括:
识别模块,用于针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;
生成模块,用于根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I;其中,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中;
所述生成模块,具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
8.一种电子设备,其特征在于,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:针对用户面数据包,识别所述用户面数据包中的包数据聚合协议层业务数据单元PDCP SDU;根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的消息验证码MAC-I;其中,不将用户面数据包中的数据载荷参与到MAC-I的生成计算中;
其中,所述处理器,具体用于根据所述PDCP SDU中包含的所有包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
9.如权利要求8所述的电子设备,其特征在于,所述处理器,具体用于如果所述用户面数据包为5G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,根据所述PDCP SDU中包含的业务数据适配协议SDAP包头和数据载荷包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I;如果否,根据所述PDCP SDU中包含的SDAP包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I。
10.如权利要求8所述的电子设备,其特征在于,所述处理器,具体用于如果所述用户面数据包为4G网络的用户面数据包,识别所述用户面数据包是否为所述用户面数据包对应会话的初始用户面数据包;如果是,进行根据所述PDCP SDU中包含的包头及设定的完整性保护函数,生成所述用户面数据包的MAC-I的步骤;如果否,则结束。
11.如权利要求8所述的电子设备,其特征在于,所述处理器,还用于如果所述用户面数据包为4G网络的用户面数据包,将所述MAC-I添加至所述用户面数据包中。
12.如权利要求11所述的电子设备,其特征在于,所述处理器,具体用于识别所述用户面数据包中PDCP包头中的PDCP序列号,并根据所述PDCP序列号生成数据包计数值COUNT;或,当建立了接入层AS安全上下文后,设置COUNT为0,每发送或接受一个数据包COUNT的值加1;将所述COUNT和MAC-I添加至所述用户面数据包中数据载荷包头与数据载荷之间,或添加至所述用户面数据包的尾部。
13.如权利要求8-12任一项所述的电子设备,其特征在于,所述电子设备支持的用户面数据完整性的保护策略包括:
对于协议数据单元PDU会话上的所有流量必须进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头必须进行完整性保护;或,
只对PDU会话上的初始数据包包头必须进行完整性保护;或,
对于PDU会话上的所有流量首选进行用户面完整性保护;或,
对于PDU会话上的所有流量的数据包包头首选进行完整性保护;或,
对PDU会话上的初始数据包包头首选进行完整性保护;或,
对于PDU会话上的所有流量不进行用户面完整性保护。
14.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-6任一项所述方法的步骤。
15.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-6任一项所述方法的步骤。
CN201811202994.XA 2018-10-16 2018-10-16 一种用户面数据完整性保护方法、装置、电子设备及介质 Active CN111064673B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201811202994.XA CN111064673B (zh) 2018-10-16 2018-10-16 一种用户面数据完整性保护方法、装置、电子设备及介质
PCT/CN2019/107884 WO2020078184A1 (zh) 2018-10-16 2019-09-25 用户面数据完整性保护方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811202994.XA CN111064673B (zh) 2018-10-16 2018-10-16 一种用户面数据完整性保护方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN111064673A CN111064673A (zh) 2020-04-24
CN111064673B true CN111064673B (zh) 2022-04-01

Family

ID=70283531

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811202994.XA Active CN111064673B (zh) 2018-10-16 2018-10-16 一种用户面数据完整性保护方法、装置、电子设备及介质

Country Status (2)

Country Link
CN (1) CN111064673B (zh)
WO (1) WO2020078184A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115209397B (zh) * 2021-04-12 2023-08-15 中国移动通信集团河北有限公司 潜在用户终端的确定方法、装置、设备及计算机存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651949A (zh) * 2009-08-17 2010-02-17 中兴通讯股份有限公司 一种安全模式建立的方法及无线网络控制器
CN101904213A (zh) * 2007-12-19 2010-12-01 高通股份有限公司 用于在无线通信网络中在公共控制信道上传送消息以进行随机接入的方法和装置
CN102638328A (zh) * 2011-02-15 2012-08-15 电信科学技术研究院 一种数据传输的方法及装置
CN102932767A (zh) * 2011-08-11 2013-02-13 中兴通讯股份有限公司 一种信息传输方法、分组数据网关及策略和计费规则功能
CN105873038A (zh) * 2016-06-07 2016-08-17 武汉邮电科学研究院 一种lte基站用户面数据安全处理方法
CN106797562A (zh) * 2015-08-13 2017-05-31 华为技术有限公司 一种消息保护的方法、相关设备以及系统
WO2017136071A1 (en) * 2016-02-05 2017-08-10 Intel Corporation Packet data convergence protocol (pdcp) operation in a transparent mode

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101831448B1 (ko) * 2010-02-02 2018-02-26 엘지전자 주식회사 이동 통신 시스템에서 pdcp 기능을 선택적으로 적용하는 방법

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101904213A (zh) * 2007-12-19 2010-12-01 高通股份有限公司 用于在无线通信网络中在公共控制信道上传送消息以进行随机接入的方法和装置
CN101651949A (zh) * 2009-08-17 2010-02-17 中兴通讯股份有限公司 一种安全模式建立的方法及无线网络控制器
CN102638328A (zh) * 2011-02-15 2012-08-15 电信科学技术研究院 一种数据传输的方法及装置
CN102932767A (zh) * 2011-08-11 2013-02-13 中兴通讯股份有限公司 一种信息传输方法、分组数据网关及策略和计费规则功能
CN106797562A (zh) * 2015-08-13 2017-05-31 华为技术有限公司 一种消息保护的方法、相关设备以及系统
WO2017136071A1 (en) * 2016-02-05 2017-08-10 Intel Corporation Packet data convergence protocol (pdcp) operation in a transparent mode
CN105873038A (zh) * 2016-06-07 2016-08-17 武汉邮电科学研究院 一种lte基站用户面数据安全处理方法

Also Published As

Publication number Publication date
WO2020078184A1 (zh) 2020-04-23
CN111064673A (zh) 2020-04-24

Similar Documents

Publication Publication Date Title
US11265760B2 (en) Method and device for decompressing and compressing uplink data
CN109450852B (zh) 网络通信加密解密方法及电子设备
CN110891287B (zh) 以太网包头压缩、解压缩的方法和设备、及可读存储介质
CN110519805A (zh) 在会话中建立GBR QoS流的方法和装置
CN113873453B (zh) 通信方法、装置、系统及介质
US8411573B2 (en) Systems and methods for hybrid rate-limiting schemes based on protocol data unit characteristics
WO2021083284A1 (zh) 一种负载均衡方法、装置、介质和设备
CN112217615B (zh) 一种支持时间敏感网络的方法及装置
CN108738071A (zh) 一种资源建立的方法及装置
US20230006937A1 (en) Packet flow identification with reduced decode operations
CN107172662A (zh) 一种通信方法及装置
CN111935017A (zh) 跨网络的应用调用方法、装置及路由设备
CN107451092A (zh) 一种基于ib网络的数据传输系统
CN106911732A (zh) 一种网站访问加速方法及装置
CN111064673B (zh) 一种用户面数据完整性保护方法、装置、电子设备及介质
WO2022100199A1 (zh) 数据传输方法、装置、介质、电子设备及网络接入设备
CN116471586A (zh) 一种数据处理方法、装置以及可读存储介质
CN106792923A (zh) 一种配置QoS策略的方法及装置
CN110474924B (zh) 数据传输方法、装置、计算机设备和存储介质
CN105592030A (zh) Ip报文处理方法及装置
CN114556894A (zh) 用于分组转发控制协议消息捆绑的方法、装置和计算机程序产品
CN109558442B (zh) 一种数据实时汇聚方法及系统
US11711809B2 (en) System and method for providing an enhanced acknowledgement frame
CN107409100B (zh) 软件定义网络中进行通信的方法、装置及通信系统
EP3621341B1 (en) Method and apparatus for session offloading, device and storage medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant