WO2013060302A1

WO2013060302A1 - 一种加密方法，解密方法和相关装置

Info

Publication number: WO2013060302A1
Application number: PCT/CN2012/083661
Authority: WO
Inventors: 张丽佳; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2011-10-27
Filing date: 2012-10-29
Publication date: 2013-05-02
Also published as: US11757623B2; CN103096302B; CN105577364A; CN103096302A; US10771966B2; US20180249330A1; US20200412527A1; US20240064003A1; US9992669B2; EP2765734A4; CN105577364B; EP2765734A1; US20140233735A1

Abstract

本发明实施例公开了一种加密方法、解密方法与相关装置，本发明能够保证小数据的安全传输。其中，加密方法包括：生成密钥流，所述密钥流用于对初始层3消息中部分待加密数据进行加密，所述部分待加密数据包括小数据；将所述密钥流与所述初始层3消息进行异或运算，生成部分数据被加密后的初始层3消息，发送所述部分数据被加密后的初始层3消息，所述初始层3消息中包括增加的加密指示，所述加密指示用于标识所述初始层3消息中部分待加密数据被加密，以使得网络侧根据所述增加的加密指示生成密钥流，再根据生成的密钥流对部分数据被加密后的初始层3消息进行解密。

Description

一种加密方法、解密方法和相关装置本申请要求于 2011 年 10 月 27 日提交中国专利局、申请号为 201110331957.0、发明名称为"一种加密方法，解密方法和相关装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及无线通讯技术领域，尤其涉及一种加密方法、解密方法和相关装置。

背景技术机器对机器 (英文全称为 Machine to Machine, 简称： M2M )技术是无线通信和信息技术的整合，是指无需人工干预，在机器与机器之间直接进行的通信技术。

M2M通信也称机器类通信 (英文全称为 Machine Type Communication, 简称： MTC ), M2M通信系统与传统的人对人（英文全称为 Human to Human, 简称： H2H )通信系统有很大不同， M2M通信系统由于其设备数量巨大、低移动性、通信流量小等特点，具有机器类通信的很多特性。在目前的第三代合作伙伴计戈 (英文全称为 The 3rd Generation Partnership Project, 简称： 3GPP )标准中将 M2M通信系统称为 MTC通信系统，并在小数据传输情况下开始利用短消息业务（英文全称为 Short Message Service,简称： SMS ) 或者网络协议（英文全称为 Internet Protocol, 简称： IP )数据包实现机器与机器之间的通信。

当 SMS小数据或者 IP数据包小数据封装在 TAU request或者新的初始层 3消息中时，如何对初始层 3消息中的小数据部分以及其他需要保护的参数提供机密性保护。发明内容本发明实施例提供了一种加密方法、解密方法和相关装置，用于对初始层 3消息中部分待加密的数据提供机密性保护。

一方面，本发明实施例提供了一种加密方法，包括：

生成密钥流，所述密钥流用于对初始层 3 消息中部分待加密数据进行加密，所述部分待加密数据包括小数据；将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息；

发送所述部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密，以使得网络侧根据所述增加的加密指示生成密钥流，再根据生成的密钥流对部分数据被加密后的初始层 3消息进行解密。

一方面，本发明实施例提供了一种解密的方法，包括：

接收部分数据被加密后的初始层 3消息，所述所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密；

才艮据所述初始层 3 消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密数据进行解密，所述部分被加密数据包括小数据；

将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被解密后的初始层 3消息。

另一方面，本发明实施例提供了一种加密装置，包括：

生成单元，用于生成密钥流，所述密钥流用于对初始层 3 消息中部分待加密数据进行加密，所述部分待加密数据包括小数据；

处理单元，用于将所述生成单元生成的密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息；

传输单元，用于发送所述处理单元处理后的部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3消息中部分待加密数据被加密。

另一方面，本发明实施例提供了一种解密装置，包括：

传输单元，用于接收部分数据被加密后的初始层 3消息，所述初始层 3 消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密；

生成单元，用于才艮据所述初始层 3 消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密数据进行解密，所述部分被加密数据包括小数据；

处理单元，将所述密钥流与所述初始层 3 消息进行异或运算，生成部分被解密后的初始层 3消息。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实例通过生成密钥流，所述密钥流用于对初始层 3 消息中部分待加密数据进行加密，所述部分待加密数据包括小数据，将所述密钥流与所述初始层 3消息进行异或运算，生成部分数据被加密后的初始层 3消息，发送所述部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密。从而能够对初始层 3 消息进行部分数据加密，避免现有技术中不能对初始层 3 消息进行机密性保护的问题，从而保证了小数据的安全传输。

附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的技术人员来讲，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种加密方法的一个实施例示意图；图 2为本发明实施例提供的一种加密方法的另一个实施例示意图；图 3为本发明实施例提供的一种解密方法的一个实施例示意图；图 4为本发明实施例提供的一种加密装置的一个实施例示意图；图 4a为本发明实施例提供的一种加密装置的另一个实施例示意图；图 4b为本发明实施例提供的一种加密装置的另一个实施例示意图；图 4c为本发明实施例提供的一种加密装置的另一个实施例示意图；图 4d为本发明实施例提供的一种加密装置的另一个实施例示意图；图 5为本发明实施例提供的一种解密装置的一个实施例示意图；图 5a为本发明实施例提供的一种解密装置的另一个实施例示意图；图 5b为本发明实施例提供的一种解密装置的另一个实施例示意图。图 5c为本发明实施例提供的一种解密装置的另一个实施例示意图；图 5d为本发明实施例提供的一种解密装置的另一个实施例示意图。

具体实施方式本发明实施例提供了一种加密方法、解密方法和相关装置，用于对初始层 3消息中部分待加密的数据提供机密性保护。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域的技术人员所获得的所有其他实施例，都属于本发明保护的范围。

在现有技术中存在一种短消息的传输方案中：对于移动台发起（英文全称为 Mob i le Or i g ina te , 英文简称： M0 ) 的 SMS小数据或者 IP数据包小数据传输，上行加密的 SMS小数据或者 IP数据包小数据被封装在跟踪区域更新请求消息（英文全称为 Track ing Area Upda te reques t , 英文简称： TAU request )或者新的初始层 3消息中，下行加密的 SMS小数据或者 IP数据包小数据被封装在 S1 接口的下行非接入层传输消息（英文全称为 Down 1 ink NAS transport message, NAS的英文全称为 Non Access Stratum ) 中。对于移动台接收（英文全称为 Mobile Terminated, 简称： MT ) 的 SMS 小数据或者 IP数据包小数据传输，下行加密的 SMS小数据或者 IP数据包小数据被封装在 S1接口的下行非接入层传输消息中，上行加密的 SMS小数据或者 IP数据包小数据被封装在 S1 接口的上行非接入层传输消息（英文全称为 Uplink NAS transport message ) 中。

在上述小数据传输方案中， S1接口的下行非接入层传输消息和上行非接入层传输消息中携带的 NAS消息不属于初始层 3消息，在现有的加密机制中可以对这些消息进行机密性和完整性保护。但是对于 TAU request或者新的初始层 3消息属于初始层 3消息，按照现有的加密机制中当存在有效安全上下文时会进行完整性保护，却不会对这类消息进行机密性保护，但是按照小数据传输方案的要求却需要对 SMS小数据或者 IP数据包小数据进行机密性保护，需要考虑当 SMS小数据或者 IP数据包小数据封装在 TAU request或者新的初始层 3消息中时，如何对初始层 3消息中的小数据部分以及其他需要保护的参数提供机密性保护。

为了解决上述技术问题，本发明提供了如下技术方案：

图 1为本发明实施例提供的一种加密方法的一个实施例示意图，包括： 101、生成密钥流，所述密钥流用于对初始层 3消息中部分待加密数据进行加密，所述部分待加密数据包括小数据。

102、将所述密钥流与所述初始层 3消息进行异或运算，生成部分数据被加密后的初始层 3消息。

103、发送所述部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密，以使得网络侧根据所述增加的加密指示生成密钥流，再根据生成的密钥流对部分数据被加密后的初始层 3消息进行解密。

在本发明实施例中， 3GPP标准的 MTC通信系统通过在 NAS信令中携带短消息或者 IP数据包实现机器与机器之间的小数据通信，机器之间通信传输的数据由于数据量较小，被称之为小数据，小数据通常携带在短消息或

IP数据包中。对于 M0的 SMS小数据或者 IP数据包小数据传输，通常 SMS 小数据或者 IP数据包小数据被封装在初始层 3层 3消息中，为了实现对短消息小数据的部分加密，本发明实施例中生成的初始层 3 消息中包括增加的加密指示，以使网络侧能够识别出初始层 3 消息部分数据被加密，在接收端接收到该初始层 3消息之后需要进行解密。其中初始层 3消息具体可以包括：跟踪区域更新请求消息（英文全称为 TAU reques t )或新的初始层 3消息，在实际应用中短消息小数据或 IP数据包小数据具体携带在哪个消息中由具体的应用场景决定，此处不再限定。需要说明的是，新的初始层 3 消息为 MTC通信系统新定义的初始层 3消息用于传输小数据。

在实际应用中，初始层 3 消息中包括增加的加密指示，一种可实现的方式是具体可以包括：

在初始层 3 消息中的安全头类型参数中增加完整性保护和部分加密参数，将安全头类型参数设定为完整性保护和部分加密参数。

需要说明的是，现有的安全头类型参数（英文全称为 Security header 完整性保护参数（英文全称为 Integrity protected ), 完整性保护和加密参数 (英文全称为 Integrity protected and ciphered )。在本发明实施例中，在 Security header type 中增加一个完整性保护和部分加密参数（英文全称为 Integrity protected and partly ciphered ),用于指示对初始层 3消息中部分待力口密的数据进行了加密，增加了完整性保护和部分加密参数之后，将安全头类型参数设定为完整性保护和部分加密参数，以网络侧识别出所述初始层 3 消息部分被加密的数据。

在实际应用中，初始层 3 消息中包括增加的加密指示，另一种可实现的方式是具体可以包括：在初始层 3 消息中增加小数据传输指示，将安全头类型参数设定为完整性保护参数。

在实际应用中，初始层 3 消息中包括增加的加密指示，另一种可实现的方式是具体可以包括：在初始层 3 消息中增加小数据传输指示，将安全头类型参数设定为完整性保护和加密参数。

需要说明的是，在本发明实施例中，在初始层 3 消息中增加小数据传输指示，表示的是初始层 3消息携带了部分被加密的短消息小数据或者 IP 数据包小数据，需要网络侧在接收到初始层 3 消息后对部分被加密数据进行解密。

在本发明实施例中，生成用于对初始层 3 消息中部分待加密的数据进行加密的密钥流，本发明实施例中初始层 3 消息中部分待加密的数据包括小数据，但并不局限于小数据，在实际应用中由于小数据是封装在短消息或者网络之间互连的协议 ( Internet Protocol, IP )数据包中，而加密是对整个短消息或 IP数据包进行加密，部分待加密的数据通常包括短消息或 IP数据包，但是还包括有短消息报头或 IP报头，在实际应用中部分待加密的数据其包括内容由具体的实现场景决定，此处不做限定。

在本发明实施例中，生成密钥流具体可以通过演进分组系统加密算法 (英文简称为 EEA, 全称为 EPS Encryption Algorithm, EPS的英文全称为 Evolved Packet System )。图 2为本发明实施例提供的一种加密方法的另一个实施例示意图，例如如图 2 所示，为数据加密机制，首先由发送端将明文和通过 EEA生成的密钥流进行异或实现对明文的加密，然后接收端接收到密文后，通过 EEA生成密钥流，将密文和生成的密钥流进行异或实现对密文的解密，在图 2中：

KEY为加密的密钥参数，可以为不同用户生成不同的密钥流。

BEARER为无线承载标识参数，可以为同一用户的不同承载生成不同的密钥流，对于 NAS信令来说 BEARER为常量 0x00。

DIRECTION指的是传输方向参数，可以为同一用户的同一承载上不同传输方向生成不同的密钥流。对于上行消息， DIRECTION值为 0; 对于下行消息， DIRECTION值为 1。

COUNT为计数器值参数，可以为同一用户的同一承载上的同一传输方向上的相同消息生成不同的密钥流。

LENGTH为长度参数，可以生成与明文长度相同的密钥流， LENGTH 值只会影响密钥流的长度，不会影响密钥流中的比特。

KEY STREAM BLOCK为生成的密钥流。

PLAIN TEXT BLOCK为部分待加密的数据（即明文）。

CIPHER TEXT BLOCK为生成的密文。

在实际应用中，生成密钥流，一种可实现的方式是具体可以包括：将需要生成的密钥流的长度参数（即 LENGTH ) 的值设定为初始层 3 消息中部分待加密的数据的长度值，长度参数是演进分组系统加密算法的输入参数，将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

需要说明的是，将密钥流的 LENGTH值设定为初始层 3消息中部分待加密的数据的长度值，然后按照 EPS加密算法生成密钥流，例如初始层 3 消息中部分待加密的数据的长度值为 3比特，则生成的密钥流中 LENGTH 值就为 3比特。

将所述密钥流与所述初始层 3消息中的部分待加密数据进行异或运算 , 生成部分数据被加密后的初始层 3消息。例如，初始层 3消息中的部分待加密数据的长度值为 3 , 则输入参数 LENGTH值设为 3 , 假设生成的密钥流是 101 , 初始层 3消息中的部分待加密数据是 110, 那么最终密钥流与初始层 3消息中的部分待加密数据进行异或后生成的部分被加密数据是 011。

在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：将需要生成的密钥流的长度参数的值设定为初始层 3 消息中变量长度值或初始层 3 消息的长度值，长度参数是演进分组系统加密算法的输入参数；将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；根据所述部分待加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3消息中部分待加密的数据的长度值相同。

生成部分数据被加密后的初始层 3 消息的一种实现方式为：将所述密钥流与所述初始层 3 消息中的部分待加密数据进行异或运算，生成部分数据被加密后的初始层 3消息。

需要说明的是，将密钥流的输入参数 LENGTH值设定为初始层 3消息的长度值或者初始层 3消息的变量长度值（但初始层 3消息的变量长度要大于部分待加密的数据的长度，初始层 3 消息的长度值也大于部分待加密的数据的长度），然后按照 EPS加密算法生成密钥流，由于只需要对初始层 3消息中部分待加密的数据进行加密，故生成密钥流之后对该密钥流进行截短，截短后的密钥流长度与初始层 3 消息中部分待加密的数据长度相同，在对密钥流进行截短时既可以从最高位开始至最低位的方式进行截短，也可以从最低位开始至最高位的方式进行截短，或者根据其他截短规则，在实际应用中可以根据具体的实现场景而决定，此处不作限定。例如，初始层 3消息的长度值或者初始层 3消息的变量长度值为 9, 则将 LENGTH值设为 9, 假设生成的密钥流是 111010100, 初始层 3消息中的部分待加密数据的长度是 5 ,那么根据从最高位开始至最低位的方式对生成的密钥流进行截短，截短后的密钥流是 11101 , 假设初始层 3 消息中部分待加密数据是 00110, 那么最终截短后的密钥流与初始层 3消息中的部分待加密数据进行异或后生成的部分被加密数据是 11011。

需要说明的是，若初始层 3消息的变量长度值等于待加密部分的长度，请参照前述 "将需要生成的密钥流的长度参数（即 LENGTH ) 的值设定为初始层 3消息中部分待加密的数据的长度值" 的描述，此处不再赘述。

在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：将需要生成的密钥流的 LENGTH 的值设定为初始层 3 消息的长度值 (初始层 3消息的长度值大于部分待加密的数据的长度），将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流，根据初始层 3 消息的格式与部分待加密的数据的长度获取初始层 3 消息中部分待加密的数据的起始比特位和终止比特位，保留密钥流中与起始比特位至终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

需要说明的是，将密钥流的 LENGTH的值设定为初始层 3消息的长度值，然后按照 EPS加密算法生成密钥流，由于只对初始层 3消息中部分待加密的数据进行加密，故生成密钥流之后可以获取初始层 3 消息中部分待加密的数据的起始比特位和终止比特位，然后保留密钥流中与起始比特位至终止比特位相对应的比特位，将密钥流中除所述起始比特位至终止比特位之外的的其它比特位置换为零，相当于只对初始层 3 消息中部分待加密的数据进行加密。例如，初始层 3消息的长度值是 17, 那么 LENGTH参数设为 17,假设生成的密钥流为 01011010100111001 ,在初始层 3消息中部分待加密的数据其起始比特位为第 4位，部分待加密的数据其终止比特位为第 8位，则对于密钥流而言，需要保留生成的密钥流中从第 4位开始至第 8 位的比特位 (即将比特位 11010保留 ), 而将密钥流中的其它比特位置换为零，则最终与初始层 3消息进行异或运算的密钥流为 00011010000000000。殳设初始层 3消息为 11111010000000111 , 那么生成的部分数据被加密后的初始层 3消息为 11100000000000111。

在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：将需要生成的密钥流的 LENGTH 的值设定为初始层 3 消息的变量长度值 (但变量部分长度要大于部分待加密的数据的长度 ), 将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流，才艮据初始层 3 消息的格式与部分待加密的数据的长度获取初始层 3 消息中部分待加密的数据的起始比特位和终止比特位，保留密钥流中与起始比特位至终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。生成部分数据被加密后的初始层 3 消息的一种实现方式为：所述将所述密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被加密后的初始层 3消息。

需要说明的是，将密钥流的 LENGTH的值设定为初始层 3消息的变量长度值，然后按照 EPS加密算法生成密钥流，由于只对初始层 3消息中部分待加密的数据进行加密，故生成密钥流之后可以获取初始层 3 消息中部分待加密的数据的起始比特位和终止比特位，然后保留密钥流中与起始比特位至终止比特位相对应的比特位，将密钥流中的其它比特位置换为零，相当于只对初始层 3 消息中部分待加密的数据进行加密。例如， 4叚设生成的密钥流为 01011010100111001 ,在初始层 3消息中部分待加密的数据其起始比特位为第 4位，部分待加密的数据其终止比特位为第 8位，则对于密钥流而言，需要保留生成的密钥流中从第 4位开始至第 8位的比特位（即将比特位 11010保留），而将密钥流中的其它比特位置换为零，则最终与初始层 3消息的变量部分进行异或运算的密钥流为 00011010000000000。假设初始层 3消息的变量部分为 11111010000000111 , 那么加密后的变量部分为 11100000000000111。

在本发明实施例中，通过步骤 101 生成密钥流之后，将该密钥流与初始层 3消息或初始层 3消息的变量或者初始层 3消息的部分待加密的数据进行异或运算，就可以得到部分数据被加密后的初始层 3 消息。例如，如图 1所示，在发送端，将 PLAIN TEXT BLOCK与 KEY STREAM BLOCK进行异或运算，就可以得到 CIPHER TEXT BL0CK。同样，对于接收端，在接收到 CIPHER TEXT BLOCK之后，将 CIPHER TEXT BLOCK与 KEY STREAM BLOCK进行异或运算之后，就可以解密出 PLAIN TEXT BL0CK。

在本发明实施例中，初始层 3 消息中包括增加的加密指示，以使网络侧在接收到初始层 3消息后获知该初始层 3消息部分数据被加密，然后生成用于对初始层 3 消息中部分待加密的数据进行加密的密钥流，最后通过异或运算得到部分数据被加密后的初始层 3消息，实现了对初始层 3消息中部分待加密的数据提供机密性保护。

以上实施例介绍了本发明实施例提供的加密的方法，接下来介绍本发明实施例提供的解密的方法，图 3 为本发明实施例提供的一种解密方法的一个实施例示意图，请参阅图 3所示，包括：

301、接收部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密；

302、才艮据所述初始层 3消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密数据进行解密，所述部分被加密数据包括小数据；

303、将所述密钥流与所述初始层 3消息进行异或运算，生成部分数据被解密后的初始层 3消息。

本发明实施例通过接收部分数据被加密后的初始层 3 消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3消息中部分待加密数据被加密，根据所述初始层 3 消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密的数据进行解密，所述部分被加密数据包括小数据，将所述密钥流与所述初始层 3消息进行异或运算，生成解密后的初始层 3消息。从而能够对初始层 3消息进行部分数据解密，避免现有技术中不能对初始层 3消息进行机密性保护的问题，从而保证了小数据的安全传输。

在本发明实施例中，对于 MTC通信系统的接收端，在接收到 MTC通信系统中的发送端发送的部分数据被加密的初始层 3 消息后，接收端根据初始层 3消息中的增加的加密指示，获取到初始层 3消息部分数据已经被加密。

在实际应用中，才艮据初始层 3 消息中的增加的加密指示获取初始层 3 消息部分数据已经被加密，一种可实现的方式是：

根据初始层 3消息中的完整性保护和部分加密参数，获取初始层 3消息部分数据已经被加密。

需要说明的是，如果初始层 3 消息中的安全头类型参数被设置为完整性保护和部分加密参数，则可以获知该初始层 3 消息部分数据已经被加密了。

在实际应用中，才艮据初始层 3 消息中的增加的加密指示获取初始层 3 消息部分数据已经被加密，另一种可实现的方式是：

根据初始层 3 消息中的小数据传输指示和完整性保护参数，获取初始层 3消息部分数据已经被加密。

或，根据初始层 3消息中的小数据传输指示和完整性保护和加密参数，获取初始层 3消息部分数据已经被加密。

即，若在初始层 3消息中存在小数据传输指示，则无论初始层 3消息中的安全头类型参数被设定为完整性保护参数，还是被设定为完整性保护和加密参数，都可以获知该初始层 3消息部分数据已经被加密。

在本发明实施例中，在获取到初始层 3 消息中部分数据已经被加密之后，生成用于对初始层 3 消息中部分被加密的数据进行解密的密钥流，本发明实施例中初始层 3 消息中部分被加密的数据包括小数据，但并不局限于小数据，在实际应用中由于小数据是封装在短消息或者 IP数据包中，而加密是对整个短消息或 IP数据包进行加密，加密的部分通常包括短消息或 IP数据包，但是还包括有短消息报头或 IP报头。

在实际应用中，生成密钥流，一种可实现的方式是具体可以包括：将需要生成的密钥流的长度参数（即 LENGTH ) 的值设定为初始层 3 消息中部分被加密的数据的长度值，长度参数是演进分组系统加密算法的输入参数；将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

需要说明的是，将密钥流的 LENGTH的值设定为初始层 3消息中部分被加密的数据长度值，然后按照 EPS加密算法生成密钥流，例如初始层 3 消息中加密的部分的长度值为 3比特，则生成的密钥流中 LENGTH的值就为 3比特。

生成部分数据被解密后的初始层 3 消息一种实现方式可以包括：将所述密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。例如，初始层 3消息中的部分被加密数据的长度值为 3 , 则将 LENGTH值设为 3 , 假设生成的密钥流是 101 , 初始层 3消息中的部分被加密数据是 011 ,那么最终密钥流与初始层 3消息中的部分被加密数据进行异或后生成的解密后数据是 110。

在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：将长度参数的值设定为初始层 3消息中变量长度值或初始层 3消息的长度值，长度参数是演进分组系统加密算法的输入参数；将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；根据所述部分被加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3消息中被加密的部分的长度值相同。

生成部分数据被解密后的初始层 3 消息一种实现方式可以包括：将所述密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。

需要说明的是，将密钥流的 LENGTH值设定为初始层 3消息的长度值或者初始层 3 消息的变量长度值（但变量部分长度要大于部分待加密的数据的长度，初始层 3消息的长度值也大于部分待加密的数据的长度），然后按照 EPS加密算法生成密钥流，由于只需要对初始层 3消息中加密的部分进行解密，故生成密钥流之后对该密钥流的长度进行截短，与初始层 3 消息中部分被加密的数据长度相同，在对密钥流进行截短时既可以从最高位开始至最低位的方式进行截短，也可以从最低位开始至最高位的方式进行截短，或者根据其他截短规则，在实际应用中可以根据具体的实现场景而决定，此处不作限定。例如，初始层 3消息的长度值或者初始层 3消息的变量长度值为 9,则将 LENGTH值设为 9,假设生成的密钥流是 111010100 , 初始层 3消息中的部分被加密数据的长度是 5 ,那么根据从最高位开始至最低位的方式对生成的密钥流进行截短，截短后的密钥流是 11101 , 假设初始层 3消息中部分被加密数据是 11011 , 那么最终截短后的密钥流与初始层 3 消息中的部分被加密数据进行异或后生成的解密数据是 00110。

在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：将长度参数的值设定为初始层 3消息的长度值（初始层 3消息的长度值大于部分被加密的数据的长度 ), 将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流，根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

需要说明的是，将密钥流的 LENGTH的值设定为初始层 3消息的长度值，然后按照 EPS加密算法生成密钥流，由于只对初始层 3消息中部分被加密的数据进行解密，故生成密钥流之后可以获取初始层 3 消息中部分被加密的数据的起始比特位和终止比特位，然后保留密钥流中与起始比特位至终止比特位相对应的比特位，将密钥流中的其它比特位置换为零，相当于只对初始层 3消息中部分被加密的数据进行解密。例如，初始层 3消息的长度值是 17 , 那么 LENGTH 参数设为 17 , 假设生成的密钥流为 01011010100111001 , 在初始层 3消息中部分被加密的数据其起始比特位为第 4位，部分被加密的数据其终止比特位为第 8位，则对于密钥流而言，需要保留生成的密钥流中从第 4 位开始至第 8 位的比特位（即将比特位 11010保留），而将密钥流中的其它比特位置换为零，则最终与部分数据被加密的初始层 3消息进行异或运算的密钥流为 00011010000000000。假设部分数据被加密的初始层 3消息为 11100000000000111 ,那么解密后的初始层 3消息为 11111010000000111。在实际应用中，生成密钥流，另一种可实现的方式是具体可以包括：

将长度参数的值设定为初始层 3消息的变量长度值（初始层 3消息的变量长度值大于部分被加密的数据的长度 ), 所述长度参数是演进分组系统加密算法的输入参数，将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流，根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

生成部分数据被解密后的初始层 3 消息一种实现方式可以为，所述将所述密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被解密后的初始层 3消息。

需要说明的是，将密钥流的 LENGTH的值设定为初始层 3消息的变量长度值，然后按照 EPS加密算法生成密钥流，由于只对初始层 3消息中部分被加密的数据进行解密，故生成密钥流之后可以获取初始层 3 消息中部分被加密的数据的起始比特位和终止比特位，然后保留密钥流中与起始比特位至终止比特位相对应的比特位，将密钥流中的其它比特位置换为零，相当于只对初始层 3消息中部分被加密的数据进行解密。例如，初始层 3消息的变量长度值是 17 , 那么 LENGTH 参数设为 17 , 假设生成的密钥流为 010110101 00111001 , 在初始层 3消息中部分被加密的数据其起始比特位为第 4位，部分被加密的数据其终止比特位为第 8位，则对于密钥流而言，需要保留生成的密钥流中从第 4 位开始至第 8 位的比特位（即将比特位 11010保留），而将密钥流中的其它比特位置换为零，则最终与部分数据被加密的初始层 3消息的变量进行异或运算的密钥流为 00011010000000000。假设初始层 3 消息的变量为 1110000000000011 1 , 那么解密后的变量为 111110100000001 11。在本发明实施例中，将该密钥流与初始层 3消息或初始层 3消息的变量部分或者初始层 3消息的加密的部分进行异或运算，就可以得到解密的初始层 3消息。例如，如图 1所示，在接收端，将 C IPHER TEXT BLOCK与 KEY STREAM BLOCK进行异或运算，就可以得到 PLAIN TEXT BL0CK。

在本发明实施例中，根据初始层 3 消息中的增加的加密指示获取该初始层 3消息部分数据已经被加密，故需要对初始层 3消息中部分被加密的数据进行解密，然后生成用于对初始层 3 消息中部分被加密的数据进行解密的密钥流，最后通过异或运算得到解密的初始层 3 消息，实现了对初始层 3消息中加密的部分提供机密性保护。

以上实施例介绍了本发明实施例提供的加密方法和解密方法，接下来介绍本发明实施例提供的加密装置和解密装置，本发明实施例提供的加密装置和解密装置具体可以应用在 MTC通信系统中。 MTC通信系统的应用种类丰富，包括但不限于以下五大应用：自动仪表（例如水电气表）、远程监控、工业安全与家庭自动化、支付系统（自动拒员机、支持终端和停车计时收费表等）以及车辆远程控制（如车队管理、过路费收费、车辆恢复以及根据驾驶情况支付保费等），而车载应用则包括免提、远程通信系统、内置导航、紧急呼叫、远程诊断和内置报警等。

本发明实施例提供的加密的装置，图 4 为本发明实施例提供的一种加密装置的一个实施例示意图，如图 4所示，加密装置 400, 包括：

生成单元 401 , 用于生成密钥流，所述密钥流用于对初始层 3消息中部分待加密数据进行加密，所述部分待加密数据包括小数据。

处理单元 402 , 用于将所述密钥流与所述初始层 3消息进行异或运算，生成部分数据被加密后的初始层 3消息。

传输单元 403 ,用于发送所述处理单元处理后的部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3消息中部分待加密数据被加密。

图 4a为本发明的一个装置实施例，该实施例是图 4所示的实施例进一步细化，所述装置 400还包括：

第一设置单元 404 ,用于将长度参数的值设定为所述初始层 3消息中所述部分待加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数。

其中，所述生成单元 401具体用于将所述第一设置单元 404设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

其中，所述处理单元 402具体用于将所述生成单元 401生成的密钥流与所述初始层 3 消息中的部分待加密数据进行异或运算，生成部分数据被加密后的初始层 3消息。

图 4b为本发明实施例提供的一种加密装置的另一个实施例示意图，所述加密装置 400还包括：

第二设置单元 405 ,用于将长度参数的值设定为所述初始层 3消息中变量长度值，所述长度参数是演进分组系统加密算法的输入参数；

其中，所述生成单 401具体用于将所述第二设置单元 405设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述加密装置 400还包括：

第一格式处理单元 406,用于根据所述初始层 3消息的格式与所述部分待加密数据的长度获取所述初始层 3 消息中待加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

其中，所述处理单元 402具体用于将所述第一格式处理单元 406处理后的密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被加密后的初始层 3消息。

图 4c为本发明实施例提供的一种加密装置的另一个实施例示意图，所述加密装置 400还包括：

第三设置单元 407 ,用于将长度参数的值设定为所述初始层 3消息的长度值，所述长度参数是演进分组系统加密算法的输入参数。

其中，所述生成单元 401具体用于将所述第三设置单元 407设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

所述加密装置 400还包括：

第二格式处理单元 408,用于根据所述初始层 3消息的格式与所述部分待加密数据的长度获取所述初始层 3 消息中待加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

图 4d为本发明实施例提供的一种加密装置的另一个实施例示意图，所述加密装置 400还包括：

第四设置单元 409 ,用于将长度参数的值设定为所述初始层 3消息中变量长度值或所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数。

其中，所述生成单元 401 具体用于将所述设置单元设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

所述加密装置 400还包括：

第三格式处理单元 410,用于根据所述部分待加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3 消息中部分待加密的数据的长度值相同。

其中，所述处理单元 402具体用于将所述格式处理单元处理后的密钥流与所述初始层 3 消息中的部分待加密数据进行异或运算，生成部分数据被加密后的初始层 3消息。

需要说明的是，所述初始层 3 消息为跟踪区域更新请求消息 TAU request , 或新的初始层 3消息。

釆用本发明的装置，通过生成密钥流，所述密钥流用于对初始层 3 消息中部分待加密数据进行加密，所述部分待加密数据包括小数据，将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息，发送所述部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3 消息中部分待加密数据被加密。从而能够对初始层 3 消息进行部分数据加密，避免现有技术中不能对初始层 3 消息进行机密性保护的问题，从而保证了小数据的安全传输。

图 5 为本发明实施例提供的一种解密装置的一个实施例示意图，解密装置 500 , 包括：

传输单元 501 , 用于接收部分数据被加密后的初始层 3消息，所述初始层 3消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3消息中部分待加密数据被加密。

生成单元 502 , 用于才艮据所述初始层 3消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密数据进行解密，所述部分被加密数据包括小数据。

处理单元 503 , 将所述密钥流与所述初始层 3消息进行异或运算，生成部分数据被解密后的初始层 3消息。

图 5a为本发明实施例提供的一种解密装置的另一个实施例示意图，图 5a所示的实施例为图 5所示实施例的进一步细化，解密装置 500包括：第一设置单元 504 ,用于将长度参数的值设定为所述初始层 3消息中所述部分被加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数。

其中，所述生成单元 502具体用于将所述第一设置单元 504设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

所述处理单元 503具体用于将所述生成单元生 502成的密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。

图 5b为本发明实施例提供的一种解密装置的另一个实施例示意图，图 5b所示的实施例与图 5所示的实施例进一步细化，解密装置 500还包括：第二设置单元 505 ,用于将长度参数的值设定为所述初始层 3消息中变量长度值，所述长度参数是演进分组系统加密算法的输入参数。

所述生成单元 502具体用于将所述第二设置单元 505设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

所述解密装置 500还包括：

第一格式处理单元 506 ,用于根据所述初始层 3消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

所述处理单元 503具体用于将所述第一格式处理单元 506处理后的密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被解密后的初始层 3消息。

图 5c为本发明实施例提供的一种解密装置的另一个实施例示意图，图 5c所示的实施例与图 5所示的实施例进一步细化，解密装置 500还包括：第三设置单元 507 ,用于将长度参数的值设定为所述初始层 3消息的长度值，所述长度参数是演进分组系统加密算法的输入参数。

所述生成单元 502具体用于将所述第三设置单元 507设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

解密装置 500还包括：

第二格式处理单元 508 ,用于根据所述初始层 3消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

图 5d为本发明实施例提供的一种解密装置的另一个实施例示意图，图 5d所示的实施例与图 5所示的实施例进一步细化，解密装置 500还包括：第四设置单元 509 ,用于将长度参数的值设定为所述初始层 3消息中变量长度值或所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数。

所述生成单元 502具体用于将所述第四设置单元 509设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流。

解密装置 500还包括：

第三格式处理单元 510 ,用于根据所述部分被加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3 消息中被加密的部分的长度值相同。

所述处理单元 503具体用于将所述第三格式处理单元 510处理后的密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。

釆用本发明提供的装置，通过接收部分数据被加密后的初始层 3消息，所述初始层 3 消息中包括增加的加密指示，所述加密指示用于标识所述初始层 3消息中部分待加密数据被加密，根据所述初始层 3消息中的所述增加的加密指示，生成密钥流，所述密钥流用于对所述初始层 3 消息中部分被加密的数据进行解密，所述部分被加密数据包括小数据，将所述密钥流与所述初始层 3消息进行异或运算，生成解密后的初始层 3消息。从而能够对初始层 3消息进行部分数据解密，避免现有技术中不能对初始层 3消息进行机密性保护的问题，从而保证了小数据的安全传输。

需要说明的是，上述装置各模块 /单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施例相同，具体内容可参见本发明如图 3 所示的方法实施例中的叙述，此处不再赘述。

在本发明实施例中，根据初始层 3 消息中的增加的加密指示获取该初始层 3消息部分数据已经被加密，故需要对初始层 3消息进行解密，然后生成用于对初始层 3 消息中部分加密数据进行解密的密钥流，最后通过异或运算得到解密的初始层 3消息，实现了对初始层 3消息中部分待加密数据提供机密性保护。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明所提供的一种加密方法、解密方法和相关装置进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种加密的方法，其特征在于，包括：

生成密钥流，所述密钥流用于对初始层 3 消息中部分待加密数据进行加密，所述部分待加密数据包括小数据；

将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息；

2、根据权利要求 1所述的方法，其特征在于，

所述生成密钥流包括：

将长度参数的值设定为所述初始层 3 消息中所述部分待加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数；

将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息包括：

将所述密钥流与所述初始层 3消息中的部分待加密数据进行异或运算 , 生成部分数据被加密后的初始层 3消息。

3、根据权利要求 1所述的方法，其特征在于，

所述生成密钥流包括：

将长度参数的值设定为所述初始层 3 消息中变量长度值，所述长度参数是演进分组系统加密算法的输入参数；

根据所述初始层 3 消息的格式与所述部分待加密数据的长度获取所述初始层 3消息中待加密数据的起始比特位和终止比特位；

保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零；

将所述密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被加密后的初始层 3消息。

4、根据权利要求 1所述的方法，其特征在于，

所述生成密钥流包括：

将长度参数的值设定为所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

5、根据权利要求 1所述的方法，其特征在于，

所述生成密钥流包括：

将长度参数的值设定为所述初始层 3消息中变量长度值或所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

根据所述部分待加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3消息中部分待加密的数据的长度值相同；所述将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被加密后的初始层 3消息包括：

6、根据权利要求 1至 5中任一项所述的方法，其特征在于，所述增加的加密指示包括：安全头类型参数中增加的完整性保护和部分加密参数；或者

增加的小数据传输指示。

7、根据权利要求 1至 6中任一项所述的方法，其特征在于，所述初始层 3消息为跟踪区域更新请求消息 TAU request, 或新的初始层 3消息。

8、一种解密的方法，其特征在于，包括：

9、根据权利要求 8所述的方法，其特征在于，

所述生成密钥流包括：

将长度参数的值设定为所述初始层 3 消息中所述部分被加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数；

所述将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被解密后的初始层 3消息包括：

将所述密钥流与所述初始层 3消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。

10、根据权利要求 8所述的方法，其特征在于，

所述生成密钥流包括：

根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3消息中被加密数据的起始比特位和终止比特位；保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零；

将所述密钥流与所述初始层 3 消息中的变量进行异或运算，生成部分数据被解密后的初始层 3消息。

11、根据权利要求 8所述的方法，其特征在于，

所述生成密钥流包括：

根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3消息中被加密数据的起始比特位和终止比特位；

12、根据权利要求 8所述的方法，其特征在于，

所述生成密钥流包括：

根据所述部分被加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3消息中被加密的部分的长度值相同；

13、根据权利要求 8至 12中任一项所述的方法，其特征在于，所述增加的加密指示包括：

安全头类型参数中增加的完整性保护和部分加密参数；或者

增加的小数据传输指示。

14、根据权利要求 8至 13中任一项所述的方法，其特征在于，所述初始层 3消息为跟踪区域更新请求消息 TAU request或新的初始层 3消息。

15、一种加密装置，其特征在于，包括：

16、根据权利要求 15所述的装置，其特征在于，所述装置还包括：第一设置单元，用于将长度参数的值设定为所述初始层 3 消息中所述部分待加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数；

所述生成单元具体用于将所述第一设置单元设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述处理单元具体用于将所述生成单元生成的密钥流与所述初始层 3 消息中的部分待加密数据进行异或运算，生成部分数据被加密后的初始层 3 消息。

17、根据权利要求 15所述的装置，其特征在于，所述装置还包括：第二设置单元，用于将长度参数的值设定为所述初始层 3 消息中变量长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述生成单元具体用于将所述第二设置单元设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述装置还包括：

第一格式处理单元，用于根据所述初始层 3 消息的格式与所述部分待加密数据的长度获取所述初始层 3 消息中待加密数据的起始比特位和终止比特位；保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零；

所述处理单元具体用于将所述第一格式处理单元处理后的密钥流与所述初始层 3消息中的变量进行异或运算，生成部分数据被加密后的初始层 3 消息。

18、根据权利要求 15所述的装置，其特征在于，所述装置还包括：第三设置单元，用于将长度参数的值设定为所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述生成单元具体用于将所述第三设置单元设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述装置还包括：

第二格式处理单元，用于根据所述初始层 3 消息的格式与所述部分待加密数据的长度获取所述初始层 3 消息中待加密数据的起始比特位和终止比特位；保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

19、根据权利要求 15所述的装置，其特征在于，所述装置还包括：第四设置单元，用于将长度参数的值设定为所述初始层 3 消息中变量长度值或所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述生成单元具体用于将所述长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述装置还包括：

第三格式处理单元，用于根据所述部分待加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3 消息中部分待加密的数据的长度值相同；

所述处理单元具体用于将所述第三格式处理单元处理后的密钥流与所述初始层 3 消息中的部分待加密数据进行异或运算，生成部分数据被加密后的初始层 3消息。

20、根据权利要求 15至 19中任一项所述的方法，其特征在于，所述初始层 3消息为跟踪区域更新请求消息 TAU request,或新的初始层 3消息。

21、一种解密装置，其特征在于，包括：

处理单元，将所述密钥流与所述初始层 3 消息进行异或运算，生成部分数据被解密后的初始层 3消息。

22、根据权利要求 21所述的装置，其特征在于，所述装置还包括：第一设置单元，用于将长度参数的值设定为所述初始层 3 消息中所述部分被加密数据的长度值，所述长度参数为演进分组系统加密算法的输入参数；

所述处理单元具体用于将所述生成单元生成的密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3 消息。

23、根据权利要求 21所述的装置，其特征在于，所述装置还包括：第二设置单元，用于将长度参数的值设定为所述初始层 3 消息中变量长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述装置还包括：

第一格式处理单元，用于根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零；

所述处理单元具体用于将所述第一格式处理单元处理后的密钥流与所述初始层 3消息中的变量进行异或运算，生成部分数据被解密后的初始层 3 消息。

24、根据权利要求 21所述的装置，其特征在于，所述装置还包括：第三设置单元，用于将长度参数的值设定为所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述装置还包括：

第二格式处理单元，用于根据所述初始层 3 消息的格式与所述部分被加密数据的长度获取所述初始层 3 消息中被加密数据的起始比特位和终止比特位，保留所述生成密钥流中与所述起始比特位至所述终止比特位相对应的比特位，将所述密钥流中的除所述起始比特位至终止比特位之外的其它比特位置换为零。

25、根据权利要求 21所述的装置，其特征在于，所述装置还包括：第四设置单元，用于将长度参数的值设定为所述初始层 3 消息中变量长度值或所述初始层 3 消息的长度值，所述长度参数是演进分组系统加密算法的输入参数；

所述生成单元具体用于将所述第四设置单元设置的长度参数作为输入参数通过所述演进分组系统加密算法生成密钥流；

所述装置还包括：

第三格式处理单元，用于根据所述部分被加密数据的长度截短所述生成的密钥流，所述截短的密钥流的长度与所述初始层 3 消息中被加密的部分的长度值相同；

所述处理单元具体用于将所述第三格式处理单元处理后的密钥流与所述初始层 3 消息中的部分被加密数据进行异或运算，生成部分数据被解密后的初始层 3消息。

26、根据权利要求 21至 25中任一项所述的方法，其特征在于，所述初始层 3消息为跟踪区域更新请求消息 TAU request,或新的初始层 3消息。