CN114158041B - 实现5g网络数据机密性和完整性多级安全的方法 - Google Patents
实现5g网络数据机密性和完整性多级安全的方法 Download PDFInfo
- Publication number
- CN114158041B CN114158041B CN202111431168.4A CN202111431168A CN114158041B CN 114158041 B CN114158041 B CN 114158041B CN 202111431168 A CN202111431168 A CN 202111431168A CN 114158041 B CN114158041 B CN 114158041B
- Authority
- CN
- China
- Prior art keywords
- protection algorithm
- algorithm
- confidentiality
- priority
- integrity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013507 mapping Methods 0.000 claims abstract description 17
- 230000011664 signaling Effects 0.000 claims description 19
- 238000004364 calculation method Methods 0.000 claims description 7
- 101001055444 Homo sapiens Mediator of RNA polymerase II transcription subunit 20 Proteins 0.000 description 5
- 102100026165 Mediator of RNA polymerase II transcription subunit 20 Human genes 0.000 description 5
- 108091005487 SCARB1 Proteins 0.000 description 4
- 102100037118 Scavenger receptor class B member 1 Human genes 0.000 description 4
- 230000007547 defect Effects 0.000 description 2
- XHSQDZXAVJRBMX-UHFFFAOYSA-N 2-(5,6-dichlorobenzimidazol-1-yl)-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound OC1C(O)C(CO)OC1N1C2=CC(Cl)=C(Cl)C=C2N=C1 XHSQDZXAVJRBMX-UHFFFAOYSA-N 0.000 description 1
- 101100150273 Caenorhabditis elegans srb-1 gene Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种实现5G网络数据机密性和完整性多级安全的方法,包括:在基站对5G网络的每一业务类型分别进行机密性和完整性保护算法映射,形成各业务类型的算法安全等级和优先级列表,并计算出该业务类型使用的机密性和完整性保护算法;基站和用户设备之间通过空口协商业务类型使用的机密性和完整性保护算法,并通过PDCP协议层区分业务类型调用机密性保护算法和完整性保护算法。本发明中,根据5QI、算法安全等级、算法优先级、UE支持的算法类型来综合判断使用的算法,支持不同安全等级算法的配置,能够使得多等级算法使用于多UE间或同一UE的多个业务内,真正实现系统中的多级安全,提升了系统的安全性。
Description
技术领域
本发明属于5G网络数据通信安全技术领域,涉及一种实现5G网络数据机密性和完整性多级安全的方法。
背景技术
5G空口加密和完整性保护,继承了4G的思想,虽然是用户级行为,但在配置算法时,却是基站行为,即该基站下的所有用户,根据加密算法(即机密性保护算法)和完保算法(即完整性保护算法)的优先级选择算法,因为基站侧的优先级设置是固定的,因此所有用户使用相同的加密算法和相同的完整性保护算法。
3GPP协议中现有技术方案,使得同一个基站下所有小区中的所有用户的安全算法(即加密算法和完保算法)是相同的,目前的方案存在以下两个问题:
1)根据TS23.501,不同业务类型有不同的业务特征,进而潜在对安全算法的需求不同,如下表所示为典型的业务类型的5QI值及其应用。而目前3GPP协议不能按照业务类型来选择不同的算法。
2)根据TS33.501,目前都是128bit密钥长度的算法,无法进行不同安全等级算法的选择,而随着密码技术和量子计算的发展,5G及其后续演进中还会有更高安全等级的算法列入3GPP标准(比如256bit甚至更长密钥的对称加密算法),即未来会有不同密钥长度,不同安全等级的算法并存的情况。目前的标准无法处理这种情况。
发明内容
有鉴于此,本发明的目的在于提供一种实现5G网络数据机密性和完整性多级安全的方法。
为达到上述目的,本发明提供如下技术方案:
一种实现5G网络数据机密性和完整性多级安全的方法,包括以下步骤:
在基站对5G网络的每一业务类型分别进行机密性保护算法和完整性保护算法映射,形成各业务类型的算法安全等级和优先级列表;
在基站依据业务类型对应的算法安全等级和优先级列表,计算出业务类型使用的机密性保护算法和完整性保护算法;
基站和用户设备之间通过空口协商两者之间的业务使用的机密性保护算法和完整性保护算法;
基站与用户设备建立业务,并通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护。
进一步的,以3GPP协议中的5QI区分5G网络的业务类型。
进一步的,对5G网络的业务类型进行机密性保护算法和完整性保护算法映射,形成该业务类型的算法安全等级和优先级列表包括:
选择多个算法作为该业务类型对应的5QI的机密性保护算法,分别为每一机密性保护算法分配标识ID,并定义每一机密性保护算法的安全等级和优先级;
选择多个算法作为该5QI的完整性保护算法,分别为每一完整性保护算法分配标识ID,并定义每一完整性保护算法的安全等级和优先级,形成完整性保护算法安全等级和优先级列表。
进一步的,计算出该业务使用的机密性保护算法和完整性保护算法的方法为:
根据该5QI对应的算法安全等级和优先级列表,逐一计算各机密性保护算法的综合优先级和各完整性保护算法的综合优先级,选择综合优先级最高的机密性保护算法作为该业务类型使用的机密性保护算法,选择综合优先级最高的完整性保护算法作为该业务类型使用的完整性保护算法。
进一步的,计算机密性保护算法的综合优先级的公式为:
Algoenc=gradeenc*Pienc
计算完整性保护算法的综合优先级的公式为:
Algoint=gradeint*Piint
其中,Algoenc表示机密性保护算法的综合优先级;gradeenc表示机密性保护算法的安全等级;Pienc表示机密性保护算法的优先级;Algoint表示完整性保护算法的综合优先级;gradeint表示完整性保护算法的安全等级;Piint表示完整性保护算法的优先级。
进一步的,在计算机密性保护算法和完整性保护算法的综合优先级之前,基站先获取用户设备支持的算法类型;在计算机密性保护算法和完整性保护算法的综合优先级时,先判断用户设备是否支持该算法,如果用户设备不支持该算法则在计算时将该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint均设置为0;如果用户设备支持该算法则在计算时该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint的取值为算法安全等级和优先级列表中的值。
进一步的,在基站和用户设备之间通过空口协商两者之间的业务类型使用的机密性保护算法和完整性保护算法的方法为:
对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充,在SecurityAlgorithmConfig字段中加入计算出的该业务类型使用的机密性保护算法和完整性保护算法,并通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给用户设备;用户设备收到空口信令后向基站返回信息告知基站能否建立业务。
进一步的,基站与用户设备建立业务,并通过PDCP协议层区分业务类型分别调用机密性保护算法和完整性保护算法进行加解密和完整性保护包括:
基站发起业务,建立新的5QI;并在PDU会话中建立一个新的DRB用于承载新的5QI;
对应每一个DRB分别建立一个PDCP实体;
每个PDCP实体根据计算出的该业务的机密性保护算法和完整性保护算法;分别调用相应的算法进行加解密和完整性保护。
一种实现5G网络数据机密性和完整性多级安全的方法,包括以下步骤:
基站对5G网络的每一业务类型分别进行机密性保护算法和完整性保护算法映射,形成该业务类型的算法安全等级和优先级列表;
基站依据业务类型对应的算法安全等级和优先级列表,计算出各业务类型使用的机密性保护算法和完整性保护算法;
基站在建立业务时通过空口向用户设备发送空口指令,所述空口指令包括两者之间的业务使用的机密性保护算法和完整性保护算法;
基站接收用户设备返回的指令;
基站发起业务,并通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护。
进一步的,基站在通过空口向用户设备发送空口指令建立业务时,先对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充,在SecurityAlgorithmConfig字段中加入计算出的业务类型使用的机密性保护算法和完整性保护算法;然后通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给用户设备。
本发明中,根据5QI、算法安全等级、算法优先级、UE支持的算法类型来综合判断使用的算法,支持同一UE并行运行多种机密性保护算法和完整性保护算法;支持不同安全等级算法的配置,能够使得多等级算法使用于多UE间或同一UE的多个业务内。从而有效克服现有技术的不足,真正实现系统中的多级安全,提升了系统的安全性。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为本发明实现5G网络数据机密性和完整性多级安全的方法的一个优选实施例的流程图;
图2为通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护的流程图;
图3为本发明实现5G网络数据机密性和完整性多级安全的方法的另一优选实施例的流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
实施例1
如图1所示,本发明实现5G网络数据机密性和完整性多级安全的方法的一个优选实施例包括以下步骤:
S101、在基站对5G网络的每一业务类型分别进行机密性保护算法和完整性保护算法映射,形成各业务类型的算法安全等级和优先级列表。优选为以3GPP协议中的5QI区分5G网络的业务类型;即以3GPP协议中的5QI表示对应的5G网络的业务类型。
对5G网络的每一业务类型的5QI进行机密性保护算法和完整性保护算法映射,形成各5QI的算法安全等级和优先级列表的方法包括:
选择多个算法作为该5QI的机密性保护算法,分别为每一机密性保护算法分配标识ID,并定义每一机密性保护算法的安全等级和优先级。
选择多个算法作为5QI的完整性保护算法,分别为每一完整性保护算法分配标识ID,并定义每一完整性保护算法的安全等级和优先级,形成完整性保护算法安全等级和优先级列表。
本实施例中,不同5QI可以映射不同的算法和算法优先级,也可以映射相同的算法和算法优先级,由运营商在基站侧定义;支持的算法可以进行扩展和自定义(基站和UE同时支持)。对于同一算法,其作为机密性保护算法时分配的标识ID和作为完整性保护算法时分配的标识ID可以相同,以便于区分不同的算法。
映射方案为根据下式形成算法和优先级列表:
B={5QI;IDenc;gradeenc;PIenc;IDint;gradeint;PIint}
其中:B表示5G网络的业务类型;5QI为3GPP定义的不同业务类型;IDenc为机密性保护算法的标识,4bit,可以扩展新的算法和自定义算法;gradeenc为机密性保护算法的安全等级;PIenc为机密性保护算法的优先级,0优先级最低,最高优先级为机密性保护算法标识的最大数MAX IDenc。IDint为完整性保护算法的标识;gradeint为完整性保护算法的安全等级;PIint为完整性保护算法的优先级,0优先级最低,最高优先级为完整性保护算法标识的最大数MAX IDint。业务类型定义的算法安全等级和优先级列表见表1。
表1:算法安全等级和优先级列表
从表1中可以看出,本实施例可以方便地对算法进行扩充。
下面以一个具体的例子对扩充算法的方法进行说明。目前支持的算法类型包括128bit密钥长度的ZUC、AES、snow-3G,如果需要扩充更强安全等级的256bit密钥长度的ZUC、AES、snow-3G;则可分别为256bit密钥长度的ZUC、AES、snow-3G分配作为机密性保护算法的标识ID和作为完整性保护算法的标识ID,并定义机密性保护算法的安全等级和优先级,以及完整性保护算法的安全等级和优先级。如表2所示,为扩充算法后对VoNR业务(5QI=1)和普通数据业务(5QI=9)进行机密性保护算法和完整性保护算法映射后形成的算法安全等级和优先级列表。
表2
上表中,优先级越高,则优先级的数字越大;安全等级越高,则安全等级的数字越大。优先级的设置根据需要可以灵活设置。对于其他业务类型可参照上述实例,依次按照5QI按需设置。
S102、在基站依据5QI(即业务类型)对应的算法安全等级和优先级列表,计算出5QI使用的机密性保护算法和完整性保护算法。具体为:
根据该5QI对应的算法安全等级和优先级列表,逐一计算各机密性保护算法的综合优先级和各完整性保护算法的综合优先级,选择综合优先级最高的机密性保护算法作为业务类型使用的机密性保护算法,选择综合优先级最高的完整性保护算法作为业务类型使用的完整性保护算法。当综合优先级最高的算法不止一个时,即存在两个或两个以上算法的综合优先级的值并列为最大值时,从中选择安全等级最高的算法作为综合优先级最高的算法。
计算机密性保护算法的综合优先级的公式为:
Algoenc=gradeenc*Pienc
计算完整性保护算法的综合优先级的公式为:
Algoint=gradeint*Piint
其中,Algoenc表示机密性保护算法的综合优先级;gradeenc表示机密性保护算法的安全等级;Pienc表示机密性保护算法的优先级;Algoint表示完整性保护算法的综合优先级;gradeint表示完整性保护算法的安全等级;Piint表示完整性保护算法的优先级。
为避免基站计算得到的算法得不到UE(User equipment,用户设备,即终端)的支持,在计算机密性保护算法和完整性保护算法的综合优先级之前,可先获取用户设备支持的算法类型;获取方式可以是在UE与基站建立连接时由UE自动给向基站上报支持的算法类型,也可在新建业务之前,由基站向UE发送查询指令,UE收到查询指令后再向基站上报支持的算法类型。
在计算机密性保护算法和完整性保护算法的综合优先级时,可先判断UE是否支持该算法,如果UE不支持该算法则在计算时将该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint均设置为0;如果UE支持该算法则在计算时该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint的取值为算法安全等级和优先级列表中的值。
下面以一个实例进行说明:
假如对于表2中的算法,UE不支持AES-128算法和ZUC-128算法,表2中其他算法UE都支持,则将UE不支持算法的优先级设置为0,根据表2中定义的算法安全等级和优先级,按照公式计算各算法的综合优先级Algo如表3所示。
表3
计算出algo后,选择综合优先级的值最大的算法,即为最终选择的算法。上述实例最终选择的算法为:
5QI=1的机密性保护算法0100(snow-3G-256),完整性保护算法0110(ZUC-256);
5QI=9的机密性保护算法0110(ZUC-256),完整性保护算法0101(AES-256)。
S103、基站和UE之间通过空口协商两者之间的业务使用的机密性保护算法和完整性保护算法。具体包括以下子步骤:
S1031、对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充;加入计算出的业务类型的机密性保护算法的标识IDenc和完整性保护算法的标识IDint,通过对字段进行扩展,以便支持依据5QI使用不同的算法。
由于目前3GPP协议中的SecurityAlgorithmConfig字段,需要扩展来支持不同5QI使用不同的算法,且算法支持扩展的定义。例如,当基站和UE需要建立5QI分别为1和9的两种业务时,扩展后的SecurityAlgorithmConfig字段如下:
扩展后的SecurityAlgorithmConfig字段增加了5QI1和5QI9的机密性保护算法的标识IDenc和完整性保护算法的标识IDint。
S1032、在扩充后的SecurityAlgorithmConfig字段中加入计算出的业务类型使用的机密性保护算法和完整性保护算法(含扩展算法或自定义算法),并通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给UE;从而告知UE各5QI对应的机密性保护算法和完整性保护算法。
S1033、UE收到空口信令SecurityModeCommand向基站返回信息告知基站能否建立业务,如果能建立业务则执行S104步骤建立新的业务,不能建立业务则退出本次流程,不执行S104步骤。
通过空口信令SecurityModeCommand携带的SecurityAlgorithmConfig携带字段包含要使用的算法,对当下业务5QI所使用算法,在UE和基站之间进行协商。
例如,UE和基站之间建立话音业务(5QI=1)时,的机密性保护算法0100(snow-3G-256),完整性保护算法0110(ZUC-256);5QI=9的机密性保护算法0110(ZUC-256),完整性保护算法0101(AES-256)。
S104、基站与用户设备建立业务,并通过PDCP(Packet Data ConvergenceProtocol,分组数据汇聚协议)协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护。
3GPP TS38.331中规定:完整性保护和加密算法适用于信令无线承载SRB1(SRB:Signalling Radio Bearer carrying control plane data,承载控制平面数据的信令无线承载)、SRB2和业务数据(SRB1用于RRC消息,可能同时包括含有NAS消息;对于NAS消息,SRB1先于SRB2的建立,所有使用DCCH逻辑信道;SRB2用于NAS消息,使用DCCH逻辑信道。SRB2要后于SRB1建立,并且总是由基站在安全激活后进行配置)。当没有配置任何类型的DC(双连接)时,加密和完整性保护算法对于所有无线承载(即SRB1,SRB2和DRB)是共同的。与同一PDU会话相关的所有DRB具有相同的AS(空口安全)安全配置,即完整性保护算法相同、机密性保护算法相同。
本实施例对上述规定进行了扩展:
(1)同一个PDU会话相关的不同DRB(即不同的5QI),可以使用不同的空口安全配置(即不同的DRB,使用不同的机密性保护算法和完整性保护算法)。
(2)不同PDU会话的不同DRB(5QI可以相同也可以不同),可以使用不同的空口安全配置。
具体来说,对于同一个PDU(Protocol Data Unit,协议数据单元)会话中的不同DRB(Data Radio Bearer carrying user plane data,承载用户平面数据的数据无线承载)或不同PDU会话中的不同DRB(5QI不同)时,通过采用不同的空口安全配置使用不同的机密性和完整性保护算法。以表3为例,UE和基站之间建立话音业务(5QI=1)时,在PDU会话中建立一个DRB承载语音通话业务,并相应建立一个PDCP实体调用snow-3G-256算法作为语音通话业务的机密性保护算法,调用ZUC-256算法作为语音通话业务的完整性保护算法;UE和基站之间再建立普通数据业务(5QI=9)时,该PDU会话再建立建立一个DRB承载普通数据业务,并相应再建立一个PDCP实体调用ZUC-256算法作为普通数据业务的机密性保护算法,调用AES-256算法作为普通数据业务的完整性保护算法;从而使该PDU会话的语音通话业务和普通数据业务使用不同的机密性保护算法和完整性保护算法,实现数据的多级安全。
对于不同PDU会话中的不同DRB(5QI相同)时;由于不同UE支持的算法种类可能不同,因此,最终选择的机密性保护算法和完整性保护算法也可能不同,从而能够从UE支持的算法种类中选择综合优先级最高的算法,而不会像现有技术那样所有业务均使用相同的机密性保护算法和完整性保护算法进行加解密和完整性保护。
如图2所示,S104步骤具体可包括以下子步骤:
S1041、基站发起业务,建立新的5QI;并在PDU会话中建立一个新的DRB用于承载新的5QI。
S1042、对应每一个DRB分别建立一个PDCP实体;即DRB和PDCP实体一一对应,从而使得每一DRB均能选择不同的机密性保护算法和完整性保护算法。
S1043、每个PDCP实体根据计算出的该业务的机密性保护算法的标识IDenc和完整性保护算法的标识IDint,调用相应的机密性保护算法进行加解密,调用相应的完整性保护算法进行完整性保护。如果5QI映射的各算法的综合优先级在建立业务之前已经计算出,则发起业务时无需再次进行计算;如果在建立业务之前未计算5QI映射的各算法的综合优先级,则在发起业务时先计算各算法的综合优先级。
本实施例在PDCP协议层区分5QI处理不同的安全算法;使不同的5QI可以选择不同的机密性保护算法和完整性保护算法,实现了多等级安全方法,提升了系统的安全性。根据5QI、算法安全等级、算法优先级、UE支持的算法类型来综合判断使用的算法,支持同一UE并行运行多种机密性保护算法和完整性保护算法;支持不同安全等级算法的配置,能够使得多等级算法使用于多UE间或同一UE的多个业务内。从而有效克服现有技术的不足,真正实现系统中的多级安全。
本实施例中,对3GPP TS38.331中的SecurityAlgorithmConfig消息进行了扩展,以适应多5QI的协商过程。同时,对3GPP TS38.323的PDCP协议处理安全算法进行了扩展,以便区分5QI使用不同算法。本实施例便于后续兼容256bit密钥长度的算法进入标准以及自定义算法,具有良好的实用价值,同时也真正的建立了多等级安全体系,适应后续3GPP标准演进。
实施例2
如图3所示,本发明实现5G网络数据机密性和完整性多级安全的方法的另一优选实施例包括以下步骤:
S201、基站对每一5QI分别进行机密性保护算法和完整性保护算法映射,形成各5QI的算法安全等级和优先级列表。映射方案为根据下式形成算法和优先级列表:
B={5QI;IDenc;gradeenc;PIenc;IDint;gradeint;PIint}
S202、基站依据业务类型对应的算法安全等级和优先级列表,计算出业务类型使用的机密性保护算法和完整性保护算法。具体为:
根据该5QI对应的算法安全等级和优先级列表,逐一计算各机密性保护算法的综合优先级和各完整性保护算法的综合优先级,选择综合优先级最高的机密性保护算法作为业务类型使用的机密性保护算法,选择综合优先级最高的完整性保护算法作为业务类型使用的完整性保护算法。
计算机密性保护算法的综合优先级的公式为:
Algoenc=gradeenc*Pienc
计算完整性保护算法的综合优先级的公式为:
Algoint=gradeint*Piint
为避免基站计算得到的算法得不到UE的支持,在计算机密性保护算法和完整性保护算法的综合优先级之前,可先获取用户设备支持的算法类型;获取方式可以是在UE与基站建立连接时由UE自动给向基站上报支持的算法类型,也可在新建业务之前,由基站向UE发送查询指令,UE收到查询指令后再向基站上报支持的算法类型。之后,基站将用户设备不支持的机密性保护算法和完整性保护算法的优先级均设置为0,再进行计算。
S203、基站在建立业务时通过空口向用户设备发送空口指令,所述空口指令包括两者之间的业务类型使用的机密性保护算法和完整性保护算法。具体为:
基站先对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充,在SecurityAlgorithmConfig字段中加入计算出的该业务类型使用的机密性保护算法和完整性保护算法;然后通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给UE。
S204、基站接收用户设备返回的指令,确定用户设备是否能建立该业务。UE收到空口信令SecurityModeCommand后,向基站返回信息告知基站能否建立该业务,如果能建立该业务则基站执行S205步骤建立新的业务,不能建立该业务则基站退出本次流程。
S205、基站发起业务,并通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法。具体为:
基站发起业务,先建立新的5QI,并在PDU会话中建立一个新的DRB用于承载新的5QI;然后对应每一个DRB分别建立一个PDCP实体,使DRB和PDCP实体一一对应;最后,每个PDCP实体根据该5QI映射的各算法的综合优先级,分别调用机密性保护算法和完整性保护算法中综合优先级最高的算法作为机密性保护算法和完整性保护算法。
本实施例中,基站通过对目前的3GPP协议进行扩展,根据5QI、算法安全等级、算法优先级、UE支持的算法类型来综合判断使用的算法,在PDCP协议层区分5QI处理不同的安全算法;支持同一UE并行运行多种机密性保护算法和完整性保护算法;支持不同安全等级算法的配置,能够使得多等级算法使用于多UE间或同一UE的多个业务内,实现了多等级安全方法,提升了系统的安全性。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.一种实现5G网络数据机密性和完整性多级安全的方法,其特征在于,包括以下步骤:
在基站对5G网络的每一业务类型分别进行机密性保护算法和完整性保护算法映射,形成各业务类型的算法安全等级和优先级列表;其中,以3GPP协议中的5QI区分5G网络的业务类型;对5G网络的业务类型进行机密性保护算法和完整性保护算法映射,形成该业务类型的算法安全等级和优先级列表包括:
选择多个算法作为该业务类型对应的5QI的机密性保护算法,分别为每一机密性保护算法分配标识ID,并定义每一机密性保护算法的安全等级和优先级;
选择多个算法作为该5QI的完整性保护算法,分别为每一完整性保护算法分配标识ID,并定义每一完整性保护算法的安全等级和优先级,形成完整性保护算法安全等级和优先级列表;
在基站依据业务类型对应的算法安全等级和优先级列表,计算出业务类型使用的机密性保护算法和完整性保护算法;计算出该业务使用的机密性保护算法和完整性保护算法的方法为:
根据该5QI对应的算法安全等级和优先级列表,逐一计算各机密性保护算法的综合优先级和各完整性保护算法的综合优先级,选择综合优先级最高的机密性保护算法作为该业务类型使用的机密性保护算法,选择综合优先级最高的完整性保护算法作为该业务类型使用的完整性保护算法;
计算机密性保护算法的综合优先级的公式为:
Algoenc=gradeenc*Pienc
计算完整性保护算法的综合优先级的公式为:
Algoint=gradeint*Piint
其中,Algoenc表示机密性保护算法的综合优先级;gradeenc表示机密性保护算法的安全等级;Pienc表示机密性保护算法的优先级;Algoint表示完整性保护算法的综合优先级;gradeint表示完整性保护算法的安全等级;Piint表示完整性保护算法的优先级;
基站和用户设备之间通过空口协商两者之间的业务使用的机密性保护算法和完整性保护算法;
基站与用户设备建立业务,并通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护。
2.根据权利要求1所述的实现5G网络数据机密性和完整性多级安全的方法,其特征在于,在计算机密性保护算法和完整性保护算法的综合优先级之前,基站先获取用户设备支持的算法类型;在计算机密性保护算法和完整性保护算法的综合优先级时,先判断用户设备是否支持该算法,如果用户设备不支持该算法则在计算时将该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint均设置为0;如果用户设备支持该算法则在计算时该算法对应的机密性保护算法的优先级Pienc和完整性保护算法的优先级Piint的取值为算法安全等级和优先级列表中的值。
3.根据权利要求1所述的实现5G网络数据机密性和完整性多级安全的方法,其特征在于,在基站和用户设备之间通过空口协商两者之间的业务类型使用的机密性保护算法和完整性保护算法的方法为:
对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充,在SecurityAlgorithmConfig字段中加入计算出的该业务类型使用的机密性保护算法和完整性保护算法,并通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给用户设备;用户设备收到空口信令后向基站返回信息告知基站能否建立业务。
4.根据权利要求1所述的实现5G网络数据机密性和完整性多级安全的方法,其特征在于,基站与用户设备建立业务,并通过PDCP协议层区分业务类型分别调用机密性保护算法和完整性保护算法进行加解密和完整性保护包括:
基站发起业务,建立新的5QI;并在PDU会话中建立一个新的DRB用于承载新的5QI;
对应每一个DRB分别建立一个PDCP实体;
每个PDCP实体根据计算出的该业务的机密性保护算法和完整性保护算法;分别调用相应的算法进行加解密和完整性保护。
5.一种实现5G网络数据机密性和完整性多级安全的方法,其特征在于,包括以下步骤:
基站对5G网络的每一业务类型分别进行机密性保护算法和完整性保护算法映射,形成该业务类型的算法安全等级和优先级列表;其中,以3GPP协议中的5QI区分5G网络的业务类型;对5G网络的业务类型进行机密性保护算法和完整性保护算法映射,形成该业务类型的算法安全等级和优先级列表包括:
选择多个算法作为该业务类型对应的5QI的机密性保护算法,分别为每一机密性保护算法分配标识ID,并定义每一机密性保护算法的安全等级和优先级;
选择多个算法作为该5QI的完整性保护算法,分别为每一完整性保护算法分配标识ID,并定义每一完整性保护算法的安全等级和优先级,形成完整性保护算法安全等级和优先级列表;
基站依据业务类型对应的算法安全等级和优先级列表,计算出各业务类型使用的机密性保护算法和完整性保护算法;计算出该业务使用的机密性保护算法和完整性保护算法的方法为:
根据该5QI对应的算法安全等级和优先级列表,逐一计算各机密性保护算法的综合优先级和各完整性保护算法的综合优先级,选择综合优先级最高的机密性保护算法作为该业务类型使用的机密性保护算法,选择综合优先级最高的完整性保护算法作为该业务类型使用的完整性保护算法;
计算机密性保护算法的综合优先级的公式为:
Algoenc=gradeenc*Pienc
计算完整性保护算法的综合优先级的公式为:
Algoint=gradeint*Piint
其中,Algoenc表示机密性保护算法的综合优先级;gradeenc表示机密性保护算法的安全等级;Pienc表示机密性保护算法的优先级;Algoint表示完整性保护算法的综合优先级;gradeint表示完整性保护算法的安全等级;Piint表示完整性保护算法的优先级;
基站在建立业务时通过空口向用户设备发送空口指令,所述空口指令包括两者之间的业务使用的机密性保护算法和完整性保护算法;
基站接收用户设备返回的指令;
基站发起业务,并通过PDCP协议层区分业务类型分别调用相应的机密性保护算法和完整性保护算法进行加解密和完整性保护。
6.根据权利要求5所述的实现5G网络数据机密性和完整性多级安全的方法,其特征在于,基站在通过空口向用户设备发送空口指令建立业务时,先对空口信令SecurityModeCommand携带的SecurityAlgorithmConfig字段进行扩充,在SecurityAlgorithmConfig字段中加入计算出的业务类型使用的机密性保护算法和完整性保护算法;然后通过空口信令SecurityModeCommand携带扩充后的SecurityAlgorithmConfig字段发送给用户设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111431168.4A CN114158041B (zh) | 2021-11-29 | 2021-11-29 | 实现5g网络数据机密性和完整性多级安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111431168.4A CN114158041B (zh) | 2021-11-29 | 2021-11-29 | 实现5g网络数据机密性和完整性多级安全的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114158041A CN114158041A (zh) | 2022-03-08 |
| CN114158041B true CN114158041B (zh) | 2023-12-08 |
Family
ID=80784170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111431168.4A Active CN114158041B (zh) | 2021-11-29 | 2021-11-29 | 实现5g网络数据机密性和完整性多级安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114158041B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117858075A (zh) * | 2022-09-30 | 2024-04-09 | 中兴通讯股份有限公司 | 承载建立处理方法、装置、系统及基站 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019062996A1 (zh) * | 2017-09-30 | 2019-04-04 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
| WO2021214732A1 (en) * | 2020-04-24 | 2021-10-28 | Lenovo (Singapore) Pte. Ltd. | Distinct user plane security |
| WO2021226960A1 (en) * | 2020-05-14 | 2021-11-18 | Nokia Shanghai Bell Co., Ltd. | Partial integrity protection in telecommunication systems |
-
2021
- 2021-11-29 CN CN202111431168.4A patent/CN114158041B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019062996A1 (zh) * | 2017-09-30 | 2019-04-04 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
| WO2021214732A1 (en) * | 2020-04-24 | 2021-10-28 | Lenovo (Singapore) Pte. Ltd. | Distinct user plane security |
| WO2021226960A1 (en) * | 2020-05-14 | 2021-11-18 | Nokia Shanghai Bell Co., Ltd. | Partial integrity protection in telecommunication systems |
Non-Patent Citations (3)
| Title |
|---|
| 5G网络切片安全模型研究;刘建伟;韩祎然;刘斌;余北缘;;信息网络安全(04);全文 * |
| Ericsson.R3-202144 "Resolve FFS related to the PDCP Duplication".3GPP tsg_ran\wg3_iu.2020,(tsgr3_107bis_e),全文. * |
| LTE-Advanced空口监测与分析关键技术研究;刘祖深;张煜;;电子测量与仪器学报(12);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114158041A (zh) | 2022-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20190342938A1 (en) | Method and apparatus for transmitting/receiving data in mobile communication system | |
| EP3557840B1 (en) | Security implementation method, device and system | |
| CN110574406B (zh) | 密钥配置方法、装置以及系统 | |
| CN109560929B (zh) | 密钥配置及安全策略确定方法、装置 | |
| CN109246697B (zh) | 基站、用户设备及其执行的方法 | |
| EP1676409B1 (en) | Network and node for providing a secure transmission of mobile application part messages | |
| CN110891269B (zh) | 一种数据保护方法、设备及系统 | |
| US10470234B2 (en) | Communication method, network-side device, and user equipment | |
| WO2019062920A1 (zh) | 数据安全处理方法及装置 | |
| CN102036230B (zh) | 本地路由业务的实现方法、基站及系统 | |
| CN102869007B (zh) | 安全算法协商的方法、装置及网络系统 | |
| WO2003056851A1 (fr) | Procede de determination d'un algorithme de cryptage de communication secrete d'apres des codes de pays mobiles | |
| WO2011003299A1 (zh) | 无线资源控制(rrc)连接重建立时的安全密钥处理方法、装置及系统 | |
| WO2019033905A1 (zh) | 数据流传输安全控制方法及装置 | |
| CN114158041B (zh) | 实现5g网络数据机密性和完整性多级安全的方法 | |
| WO2019190382A1 (en) | Security verification when resuming an rrc connection | |
| US9179303B2 (en) | Methods and apparatus for transmitting and receiving secure and non-secure data | |
| CN101166177B (zh) | 一种非接入层初始信令传送的方法及系统 | |
| CN107567018B (zh) | 消息处理方法及装置、终端、消息处理系统 | |
| EP1406423B1 (en) | Network structure for encrypting of mobile communication system terminal and the method of realizing it | |
| WO2017012425A1 (zh) | 宽带集群系统的共享信道管理方法、系统、终端和基站 | |
| US20240172176A1 (en) | Managing downlink early data transmission | |
| CN113455034B (zh) | 一种通信方法及装置 | |
| CN106101081B (zh) | 语音加密方法、装置、终端、密钥管理平台和系统 | |
| CN103596136A (zh) | 一种单基站模式下集群组呼端到端加密的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |