WO2011066779A1

WO2011066779A1 - 业务流加密处理方法及系统

Info

Publication number: WO2011066779A1
Application number: PCT/CN2010/079093
Authority: WO
Inventors: 颜文波
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-12-01
Filing date: 2010-11-24
Publication date: 2011-06-09
Also published as: CN102083062B; KR20120117731A; JP2013512631A; JP5795591B2; CN102083062A; KR101695050B1

Description

业务流加密处理方法及系统技术领域本发明涉及通信领域，具体而言，涉及一种业务流加密处理方法及系统。背景技术微波接入全球互通 ( Worldwide Interoperability for Microwave Access, 简称为 WiMAX ) 作为新一代的宽带无线接入技术，提供了完善的安全机制来保证运营商和用户的利益。例如， 802.16e协议提供空口数据加密传输机制，保证在开放的无线环境下数据传输的机密性，可以有效防止敏感信息被非法窃取。 WiMAX 系统中数据在空口的传输是基于连接的，每个连接都具有特定的服务质量（Quality of Service, 简称为 QoS )属性。每条激活的业务流和业务传输连接对应。业务流的 Qos 属性在接入时由认证 ·ί受权计费

( Authentication Authorization Accounting , 简称为 AAA ) 月艮务器 ( Server ) 分配下来并发送给基站（ Base Station, 简称为 BS ), BS在建立业务流时使用。如果某个用户的某条业务流具有高的安全需求，需要加密传输数据，例如，预配置两条尽力而为（Best Effort, 简称为 BE )业务流的用户 A和预配置两条主动授予服务（Unsolicited Grant Service, 简称为 UGS ) 业务流的用户 B, 用户 A对数据在空口传输的安全性要求较高，而用户 B没有要求；或者预配置了多条业务流的用户 C (包含 BE和 UGS), 对其 UGS业务传输的数据具有较高的安全需求，而对 BE业务流上传输的数据没有安全性要求。现有的 NWG网络协议中 R3和 R6消息接口中没有对业务流的安全需求进行描述，不便于实现基于连接的加密数据传输需求。如果业务流 (连接)的安全需求在 BS描述或者配置， BS作为一个分布式的接入点，事先并不知晓用户信息和及其连接的 Qos属性，所以在基站并不能根据用户的信息和 QoS 属性来配置特定用户的特定业务流的安全需求。发明内容针对相关技术中基站不能根据用户的信息和 QoS 属性来配置业务安全需求的问题而提出本发明，为此，本发明的主要目的在于提供一种业务流加密处理方案，以解决上述问题。为了实现上述目的，才艮据本发明的一个方面，提供了一种业务流加密处理方法。根据本发明的业务流加密处理方法包括：认证授权计费服务器 AAA Server向认证授权计费客户端 AAA Client发送用于指示业务流是否需要加密的指示信息； AAA Client 向业务流 ·ί受权锚点 Anchor SFA 发送指示信息； Anchor SFA将指示信息发送给基站；基站根据指示信息对业务流进行加密或不加密处理。优选地， AAA Server向 AAA Client发送指示信息包括： AAA Server在接入接受 Access Accept消息中携带指示信息； AAA Server Access Accept 消息发送给 AAA Client。优选地， AAA Server 在 Access Accept 消息中携带指示信息包括：在 Access Accept消息的服务质量描述符 QoS -Descriptor的子类型 /长度 /数值格式 TLV中增加 TLV, 增加的 TLV用于指示业务流是否需要加密。优选地， AAA Client向 Anchor SFA发送指示信息包括： AAA Client在资源预留请求 RR-Req 消息的业务流参数中携带指示信息； AAA Client 将 RR-Req消息发送给 Anchor SFA。优选地， Anchor SFA将指示信息发送给基站包括： Anchor SFA在发送给基站的数据通道登记请求 Path_Reg_Req 消息的业务流参数中携带指示信息。优选地，基站根据指示信息对业务流进行加密处理包括：基站确定一个安全联盟 SA; 基站将 SA的标识 ID与业务流进行关联，并将与业务流关联的 SA的 ID发送移动台；基站和 /或移动台使用 ID对应的 SA对业务流的数据流进行加密和 /或解密。为了实现上述目的，根据本发明的另一方面，还提供了一种业务流加密处理系统。才艮据本发明的业务流力口密处理系统，包括： AAA Server, AAA Client, Anchor SFA、基站； AAA Server向 AAA Client发送用于指示业务流是否需要加密的指示信息； AAA Client向 Anchor SFA发送指示信息； Anchor SFA 将指示信息发送给基站；基站根据指示信息对业务流进行加密或不加密处理。优选地， AAA Server包括：第一设置模块，用于在 Access Accept消息中设置指示信息；第一发送模块，用于将 Access Accept 消息发送给 AAA Client。优选地，第一设置模块用于在 Access Accept消息的 QoS -Descriptor的子

TLV中增加 TLV, 增加的 TLV用于指示业务流是否需要加密。优选地， AAA Client包括：第二设置模块，用于在 RR-Req消息的业务流参数中携带指示信息；第二发送模块，用于将 RR-Req消息发送给 Anchor SFA。通过本发明，解决了相关技术中基站不能根据用户的信息和 QoS属性来配置业务流安全需求的问题，进而实现了根据用户信息和 QoS属性配置业务流的安全需求。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图 1是才艮据本发明实施例的业务流加密处理方法的流程图；图 2是才艮据本发明实施例的建立加密的业务流的流程图；图 3是才艮据本发明实施例的业务流加密处理系统的结构框图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。在以下实施例中，在附图的流程图示出的步 4聚可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。在本实施例，提供了一种业务流加密方法，图 1是根据本发明实施例的业务流加密方法的流程图，如图 1 所示，该方法包括如下的步 4聚 S 102至步骤 S 108: 步骤 S 102, AAA Server向 AAA Client发送用于指示业务流是否需要加密的指示信息。由于 AAA Server本身就是一个记录用户 Qos信息的集中点，在此处可以根据 AAA Server上记录的信息来设置业务是否需要加密。需要说明的， AAA Client作为与 AAA Server进行交互的模块，可以设置在业务流授权锚点 ( Anchor Service Flow Authorization, 简称为 Anchor SFA ) 的内部，也可以设置于其他网元之中。步骤 S 104, AAA Client向 Anchor SFA (或称为锚点数据通道功能实体 Anchor DPF )发送指示信息。步骤 S 106 , Anchor SFA将该指示信息发送给基站。步骤 S 108, 基站居该指示信息对业务流进行加密或不加密处理。通过上述步 4聚，釆用在 AAA Server上对业务流安全需求进行配置，并发送给基站，从而解决相关技术中基站不能根据用户的信息和 QoS属性来配置业务流安全需求的问题。下面以业务流需要加密为例，结合业务流的建立流程对上述步骤进行说明，需要说明的是，以下只是优选的实施例。图 2是才艮据本发明实施例的建立加密的业务流的流程图，如图 2所示，该流程包括如下步骤：步 4聚 S201 , 在初始可扩展鉴权协议 ( Extensible Authentication Protocol, 简称为 EAP )鉴权成功后， AAA Server向 AAA客户端（ Client )发送 R3接入接受（ Access Accept ) 消息，该消息中携带有指示业务流是否需要加密的指示信息，其中， AAA Client也可以称为认证者（ Authenticator )。优选地， AAA Server可以通过 Access Accept消息向 AAA Client发送用于指示业务流是否需要加密的指示信息，可以通过其他消息发送该指示信息，例如，通过一个新定义的消息，在此 Access Accept消息只是对能够携带指示信息的消息的一个举例说明，但并不限于此，只要是能够携带用于指示业务流是否需要加密的指示信息的消息都可以起到相同的作用。当然，使用 Access Accept消息实现较为容易。优选地，在使用 Access Accept消息的携带上述指示信息的情况下，可以在 Access Accept消息的月艮务质量描述符 ( QoS -Descriptor ) 的子 TLV中增加新的 TLV安全级别（Security Level ) (在通信流域中，按照 "数据类型、数据长度、数据数值"的格式组织数据的，用英文表示就是 "Type类型， Length 长度， Value值"，简称 TLV格式），大小为 1个字节。 Security Level的意义见表 1 , 0表明用户对在此业务流上传输的数据无安全性要求； 1表明用户对在此业务流上传输的数据有安全性要求。需要说明的，可以使用该消息中其他字节的来指示业务流是否需要加密，下面以 TLV Security Level为例进行说明。表 1

为了更好的对本实施例进行说明，在此首先对安全联盟 ( Security Alliance , 简称为 S A ) 流量加密密钥（ Traffic Encryption Key , 简称为 TEK ) 进行说明。在 SA TEK三步握手阶段，移动台（ Mobile Station, 简称为 MS ) 和 BS 十办商生成具有加密属性的安全联盟 SA, 其中，在数据加密类型（data crypt type ) 描述了加解密算法。 MS 用密钥请求（ Key-Request )、密钥回复 ( Key-Reply )消息完成 SA的 TEK交互，成功之后 MS和 BS之间拥有相同的 TEK密钥。 TEK是用来加解密业务流数据的密钥。步骤 S202 ,在业务流建立阶段， Authenticator发送 RR_Req消息给 SFA ,

RR Req中每条业务流参数携带新增的 TLV Security Level。需要说明的，在该步 4聚中， Authenticator可以在 RR_Req消息中携带用于指示每条业务流是否需要加密的指示信息（TLV Security Level是对该指示信息的举例说明），也可以在其他消息中携带上述指示信息。步骤 S203 , SFA 发送数据通道登记请求 Path_Reg_Req 消息给 BS , Path_Reg_Req中每条业务流参数中新增 TLV Security Level。在该步骤中， SFA可以在 Path_Reg_Req消息中携带上述指示信息，当然，可以在其他消息中携带上述指示信息，在本实施例中， Path_Reg_Req消息只是对此的一个解释说明。步骤 S204, 针对每条业务流中的 Security Level值，如果 Security Level 为 0, 那么表明在此条业务流上传输的数据不必要加密，所以不必为此条业务流关联加密属性的安全联盟 SA , 那么 DSA_Req 中的 SAID 可以为 OxFFFF (表明不和加密的 S A关联）；如果 S ecurity Level为 1 , 那么表明在此条业务流上传输的数据具有安全需求，需要加密传输。 BS根据策略，从三步握手阶段协商生成的 SA中选择数据加密类型（Date Crypt Type)非 0的一个 SA, 将其 SAID与此条业务流关联起来，并通过 DSA_Req消息携带给 MS。建立具有安全属性的业务流的其余步骤，和现有业务流建立过程一致，在此不再赘述。在此之后， BS接收到具有安全需求（即，需要加密）业务流的数据流，则查找到此业务流关联到的 SA (包括对应的 TEK), 然后，用该 SA中 data crypt type指定的加密算法，釆用 TEK加密媒体数据，并组装 MAC PDU, PDU头中的 EC比特置 1 , 表明此 MAC PDU是经过力口密的，通过空口发送到 MS。 MS接收到 MAC PDU, 识别 EC位为 1 , 判定为加密包。根据 PDU头中的连接信息查找到对应的 S A ,用 S A中 data crypt type指定的解密算法，釆用 TEK解密媒体数据。同理， MS在接收到具有安全需求的业务流的数据流时使用类似的处理即可，在此不再赞述。通过上述步骤 S201至步骤 S204, 在网元 AAA Server中，每条业务流参数配置的 Security Level, 决定在空口传输的数据是否需要以加密的方式传输。在 AAA Server, 运营商可以基于用户配置特定的 Qos属性，那么同样可以基于用户的连接配置特定的安全属性。与上述实施例相对应，还提供了一种业务流加密处理系统，上述已经进行过说明的，在此不再赘述，该系统包括： AAA Server, AAA Client, Anchor SFA、基站、在该系统中， AAA Server向 AAA Client发送用于指示业务流是否需要加密的指示信息； AAA Client向 Anchor SFA发送指示信息； Anchor

SFA将指示信息发送给基站；基站根据指示信息对业务流进行加密或不加密处理。图 3是才艮据本发明实施例的业务流加密处理系统的结构框图，如图 3所示， AAA Server包括：第一设置模块 32 , 该模块用于在 Access Accept消息中设置指示信息；第一发送模块 34 , 该模块用于将 Access Accept消息发送给 AAA Client。优选地，第一设置模块 32用于在 Access Accept消息的 QoS-Descriptor 的子 TLV中增加 TLV, 增加的 TLV用于指示业务流是否需要加密。如图 3所示， AAA Client包括：第二设置模块 36 , 该模块用于在资源预留请求 RR-Req消息的业务流参数中携带指示信息；第二发送模块 38 , 该模块用于将 RR-Req消息发送给 Anchor SFA。在该系统中， AAA Server, AAA Client, Anchor SFA、基站之间的处理过程已经在上书实施例中进行了详细的说明，在 jt匕不再赘述。在本实施例中，可以通过 AAA Server发送的 Access Accept消息中的 Qos Profile参数携带 Security Level参数。从而在建立业务流的过程中，用户的每条业务流都有一个 Security Level值。基站可以根据 Security Level值决定在对应业务传输连接上数据是否需要以加密的方式传输。由于 Qos Profile通常在 AAA Server上基于用户和连接可配置，所以业务流是否加密传输也可以方便实现基于用户和连接可配置。综上所述，通过上述实施例解决了相关技术中基站不能根据用户的信息和 QoS属性来配置业务流安全需求的问题，进而实现了根据用户信息和 QoS 属性配置业务流的安全需求。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的^"神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种业务流加密处理方法，其特征在于，包括：

认证 ·ί受权计费月艮务器 AAA Server 向认证 ·ί受权计费客户端 AAA Client发送用于指示业务流是否需要加密的指示信息；

所述 AAA Client向业务流 ·ί受权锚点 Anchor SFA发送所述指示信息；

Anchor SFA将所述指示信息发送给基站；

所述基站才艮据所述指示信息对所述业务流进行加密或不加密处理。

2. 才艮据权利要求 1所述的方法，其特征在于，所述 AAA Server向所述 AAA Client发送所述指示信息包括：

所述 AAA Server在接入接受 Access Accept消息中携带所述指示信息；

所述 AAA Server将所述 Access Accept消息发送给所述 AAA Client,

3. 根据权利要求 2所述的方法，其特征在于，所述 AAA Server在所述 Access Accept消息中携带所述指示信息包括：

在所述 Access Accept消息的月艮务质量描述符 QoS-Descriptor的子类型 /长度 /数值格式 TLV中增加 TLV,所述增加的 TLV用于指示所述业务流是否需要加密。

4. 根据权利要求 1或 3所述的方法，其特征在于，所述 AAA Client向所述 Anchor SFA发送所述指示信息包括：

所述 AAA Client在资源预留请求 RR-Req消息的业务流参数中携带所述指示信息；

所述 AAA Client将所述 RR-Req消息发送给所述 Anchor SFA。

5. 根据权利要求 1或 3所述的方法，其特征在于， Anchor SFA将所述指示信息发送给所述基站包括：

所述 Anchor SFA 在发送给所述基站的数据通道登记请求 Path_Reg_Req消息的业务流参数中携带所述指示信息。

6. 根据权利要求 1所述的方法，其特征在于，所述基站根据所述指示信息对所述业务流进行加密处理包括：所述基站确定一个安全联盟 SA;

所述基站将所述 SA的标识 ID与所述业务流进行关联，并将与所述业务流关联的 SA的 ID发送移动台；

所述基站和 /或移动台使用所述 ID对应的 SA对所述业务流的数据流进行加密和 /或解密。

7. 一种业务流加密处理系统，包括： AAA Server, AAA Client, Anchor SFA、基站，其特征在于，所述 AAA Server向所述 AAA Client发送用于指示业务流是否需要加密的指示信息；

所述 AAA Client向所述 Anchor SFA发送所述指示信息；所述 Anchor SFA将所述指示信息发送给所述基站；

8. 根据权利要求 7所述的系统，其特征在于，所述 AAA Server包括：第一设置模块，用于在 Access Accept消息中设置所述指示信息；第一发送模块，用于将所述 Access Accept 消息发送给所述 AAA Client。

9. 根据权利要求 8所述的系统，其特征在于，所述第一设置模块用于在所述 Access Accept消息的 QoS -Descriptor的子 TLV中增加 TLV, 所述增加的 TLV用于指示所述业务流是否需要加密。

10. 根据权利要求 7或 9所述的系统，其特征在于，所述 AAA Client包括：第二设置模块，用于在 RR-Req消息的业务流参数中携带所述指示信息；

第二发送模块，用于将所述 RR-Req消息发送给所述 Anchor SFA。