通信安全性保护方法和装置的制作方法

文档序号:7969028阅读:168来源:国知局
专利名称:通信安全性保护方法和装置的制作方法
技术领域
本发明涉及通信领域,具体涉及通信安全性保护方法和装置。
技术背景随着通信技术的发展,人们对通信安全性越来越重视。目前, 一般通过 加密保护和完整性保护来保证通信安全性。在目前正处于研究阶段的长期演进(LTE)网络中,尚未提供对非接入 层(NAS)信令以及对分组数据会聚协议(PDCP)层的用户数据进行加密 和完整性保护的具体方案,并且也没有提供对无线资源控制(RRC)信令进 行加密保护的具体方案;这显然会降低LTE网络中的通信安全性,通信安 全性的降低将导致用户满意度明显下降。发明内容有鉴于此,本发明的主要目的在于提供一种通信安全性保护方法和装置, 使LTE网络中的PDCP层能对NAS信令和用户数据中的至少一种进行加密保 护和/或完整性保护,以提高LTE网络中的通信安全性,提高用户满意度。本发明的另一目的在于提供另一种通信安全性保护方法和装置,使LTE网 络中的RRC层能对RRC信令进行加密保护,以提高LTE网络中的通信安全性,提高用户满意度。为达到上述目的,本发明的技术方案是这样实现的本发明公开了一种通信安全性保护方法,该方法包括 LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护计数 值COUNT,对NAS信令和/或用户数椐进行通信安全性保护。 所述通信安全性保护包括加密保护和/或完整性保护。 进行所述加密保护时的COUNT是加密保护计数值COUNT-C,该加密^呆护 的方法为发送端对COUNT-C、方向DIRECTION,承载BEARER、长度LENGTH和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK; 并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块 PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块 CIPHERTEXT BLOCK向接收端发送。 该方法进一步包括接收端对COUNT-C 、 DIRECTION 、 BEARER、 LENGTH和CK用加密算 法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的 KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算, 通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I,该完整 性保护的方法为发送端对完整性保护密钥IK、 COUNT-I、要发送给接收端的消息 MESSAGE 、 DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I, 并将MAC-I向接收端发送。该方法进一步包括接收端对IK、 COUNT-I、 MESSAGE, DIRECTION和FRESH用完整性算 法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比 较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性; 否则,接收端确定来自发送端的信息不具有完整性。进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时 作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行 各只有一个的一对COUNT-C/I。所述COUNT-C/I中包含超帧和序列号。进行所述加密保护和所述完整性保护时所应用的BEARER,是业务所对应
的无线承栽(RB),或是缺省RB,或是通过信令协商确定的RB; 所述BEARER的值为RB标识ID - 1 。 本发明还公开了一种通信安全性保护方法,该方法包括 LTE网络中的RRC层根据符合LTE网络协议格式的COUNT,对RRC信令进行通信安全性保护。所述通信安全性保护包括加密保护和/或完整性保护。进行所述加密保护时的COUNT是COUNT-C,该加密保护的方法为发送端对COUNT-C、 DIRECTION 、 BEARER、 LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的CIPHERTEXT BLOCK向接收端发送。 该方法进一步包括接收端对COUNT-C、 DIRECTION, BEARER、 LENGTH和CK用加密算 法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的 KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算, 通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。进行所述完整性保护时的COUNT是COUNT-I,该完整性保护的方法为发送端对IK、 COUNT-I、要发送给接收端的MESSAGE、 DIRECTION和 FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。该方法进一步包括接收端对IK、 COUNT-I、 MESSAGE, DIRECTION和FRESH用完整性算 法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比 较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性; 否则,接收端确定来自发送端的信息不具有完整性。进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时 作为COUNT的COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行 各只有一个的一对COUNT-C/L所述COUNT-C/I中包含导频和序列号。进行所述加密保护和所述完整性保护时所应用的BEARER,是业务所对应 的RB,或是缺省RB,或是通过信令协商确定的RB; 所述BEARER的值为RBID-1。本发明还公开了 一种通信安全性保护装置,该装置包括相连的加密算法模块和数据算法模块;其中,加密算法模块,用于根据符合LTE网络协议格式的COUNT进行加密算法计算,将计算所得的密钥流数据块发送给数据算法模块;数据算法模块,用于对收到的密钥流数据块和要发送给接收端的原始丈本块进行数据算法计算,生成密码块;或者,对收到的密钥流数据块和密码块进行进行数据算法计算,生成发送端所发送的原始文本块。所述加密算法模块是f8算法模块,其进行加密算法计算所用到的参数包括COUNT、 DIRECTION、 BEARER、 LENGTH和CK。 所述数据算法模块是异或模块。所述加密算法模块和数据算法模块设置于PDCP层,所述COUNT是 COUNT-C,所述原始文本块中包含NAS信令或用户数据。所述加密算法模块和数据算法模块设置于RRC层,所述COUNT是 COUNT-C,所述原始文本块中包含RRC信令。本发明还公开了一种通信安全性保护装置,该装置包括完整性算法模块, 用于根据符合LTE网络协议格式的COUNT进行完整性算法计算,生成用于确 定完整性的内容。所述完整性算法模块是f9算法模块,其进行完整性算法计算所用到的参数 包括IK、 COUNT、 MESSAGE、 DIRECTION和FRESH。所述完整性算法模块设置于PDCP层,所述COUNT是COUNT-I,所述 MESSAGE中包含NAS信令或用户数据。所述完整性算法4莫块设置于RRC层,所述COUNT是COUNT-I,所述 MESSAGE中包含RRC信令。
与现有技术相比,本发明所提供的两种通信安全性保护方法和装置,可以由LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护 计数值,对NAS信令和/或用户数据进行通信安全性保护;还可以由LTE网 络中的RRC层根据符合LTE网络协议格式的通信安全性保护计数值,对 RRC信令进行通信安全性保护。本发明方法和装置能够明显提高LTE网络 中的通信安全性,并提高用户满意度。


图1为本发明一较佳实施例的加密保护原理图; 图2为本发明 一较佳实施例的完整性保护原理图; 图3为本发明的NAS COUNT-C/I的结构示意图; 图4为本发明的PDCP COUNT-C/I的结构示意图; 图5为本发明的RRC COUNT-C/I的结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明详细说明。本发明所提供的一种通信安全性保护方法,由LTE网络中的PDCP层 根据符合LTE网络协议格式的通信安全性保护计数值,对NAS信令和/或用 户数据进行通信安全性保护。本发明所提供的另一种通信安全性保护方法,由LTE网络中的RRC层 根据符合LTE网络协议格式的通信安全性保护计数值,对RRC信令进行通 信安全性保护。本发明所提供的一种通信安全性保护装置,包括相连的加密算法模块和 数据算法模块;其中,加密算法模块,用于根据符合LTE网络协议格式的 COUNT进行加密算法计算,将计算所得的密钥流数据块发送给数据算法模 块;数据算法模块,用于对收到的密钥流数椐块和要发送给接收端的原始文 本块进行数椐算法计算,生成密码块;或者,对收到的密钥流数据块和密码
块进行进行数据算法计算,生成发送端所发送的原始文本块。本发明所提供的另一种通信安全性保护装置包括完整性算法模块,用于根据符合LTE网络协议格式的COUNT进行完整性算法计算,生成用于确 定完整性的内容。具体而言,通信安全性保护通常包括加密保护和/或完整性保护,在进 行加密保护时,可以参照图l所示的加密保护原理。由图l可见,发送端可 以对加密保护计数值COUNT-C、方向DIRECTION、承载BEARER、长度 LENGTH和加密密钥CK以f8方法计算,生成密钥流数据块KE YSTRE AM BLOCK;并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本 块PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块 CIPHERTEXT BLOCK向接收端发送。与发送端一样,接收端同样对COUNT-C、 DIRECTION、 BEARER、 LENGTH和CK以f8方法计算,生成KEYSTREAM BLOCK;之后,接收 端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算,通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。在上述操作中,DIRECTION用于指明数据的收发方向,使收到数据的 实体能够根据获知的方向继续后续的操作;BEARER指明用于传输数据的具 体承载,使接收端能够从相应承载中顺利获取数据;LENGTH用于指明数 据长度;CK是发送端与接收端协商好的加密保护密钥,用于对数据加密; COUNT-C是用于对传输的信息进行计数和统计的计数值,目前也参与到加 密保护的过程中。与图1所示的加密保护一样,图2所示的完整性保护原理同样有助于通 信安全性的实现。由图2可见,发送端可以对完整性保护密钥IK、完整性 保护计数值COUNT-I、要发送给接收端的消息MESSAGE、方向DIRECTION 和随机数FRESH以f9方法计算,生成MAC-I,并将MAC-I携带于所述 MESSAGE中向接收端发送。
可以将COUNT-I和COUNT-C统称为通信安全性保护计数值COUNT; 由于COUNT相对于加密保护、完整性保护中的其他参数而言具有变化频繁 的特点,所以将COUNT应用于加密保护和完整性保护中可以明显增加攻击 者解密的难度,进而提高了通信安全性。与发送端一样,接收端同样对IK、 COUNT-1、 MESSAGE、 DIRECTION 和FRESH以f9方法计算,生成XMAC-I。之后,接收端用XMAC-I与来自 发送端的MAC-I相比较,如果XMAC-I与MAC-I相同,接收端确定来自发 送端的信息具有完整性;否则,接收端确定来自发送端的信息不具有完整性。当然,可以将图1中所示的f8方法替换为其它计算方法;同理,也可 以将图2中所示的f9方法替换为其它计算方法。通常,可以将图1、图2 中用于进行f8、 f9计算的参数统称为输入参数。再有,f8只是目前所应用 的加密算法中的 一种,实际应用时还可以用其它加密算法对输入参数进行加 密计算;同理,f9只是目前所应用的完整性算法中的一种,实际应用时还可 以用其它完整性算法对输入参数进行完整性计算。具体而言,图i中的f8等加密算法可以由加密算法模块实现,异或等 数据算法可以由与加密算法模块相连的数据算法模块实现;并且,所述加密 算法模块和数据算法模块设置于PDCP层或RRC层,以对相应协议层中的 内容进行加密保护。同理,图2中的f9等完整性算法可以由完整性算法模 块实现;并且,所述完整性算法模块设置于PDCP层或RRC层,以对相应 协议层中的内容进行完整性保护。在实际应用中,基于图1、图2所示原理,可以由LTE网络中的PDCP 层对NAS信令和用户数据进行加密保护和完整性保护;这时的PLAINTEXT BLOCK和MESSAGE中所包舍的内容就是NAS信令或用户数据。再有, 还可以由LTE网络中的RRC层对RRC信令进行加密保护和完整性保护; 这时的PLAINTEXT BLOCK和MESSAGE中所包含的内容就是RRC信令。在上述操作中,DIRECTION用于指明数据的收发方向,使收到数据的 实体能够根据获知的方向继续后续的操作;BEARER指明用于传输数据的具体承栽,使接收端能够从相应承栽中顺利获取数据;LENGTH用于指明数 椐长度;IK是发送端与接收端协商好的完整性保护密钥,用于对数据加密; COUNT-I是用于对传输的信息进行计数和统计的计数值,目前也参与到完 整性保护的过程中。针对NAS信令和用户数据而言,用于对NAS信令和用户数据进行加密 保护和完整性保护的输入参数均被控制在PDCP层;为NAS信令和用户数 椐进行加密保护和完整性保护所使用的CK和IK可以相同,并且由PDCP 对CK和IK进行管理;再有,为NAS信令和用户数据进行加密保护和完整 性保护所使用的FRESH可以相同,并且由PDCP对FRESH进行管理。NAS 信令和用户数据进行加密保护和完整性保护所使用的CK和IK也可以不同; 再有,NAS信令和用户数据进行加密保护和完整性保护所使用的FRESH也 可以不同。对于NAS信令来说,可能会存在一个低优先级的RB和一个高优先级 的RB,并且低优先级的RB不一定存在,因此NAS无法确定当前由哪个 RB作为承载;在这种情况下,可以将缺省RB作为NAS信令的承载,还可 以通过信令协商确定一个RB作为传输承载。至于由PDCP层处理的用户数 据,则可以将不同业务所对应的无线接入承载作为进行加密保护和完整性保 护时的承载。另外,针对用户数据的加密保护而言,可以在对PDCP层进行 业务配置时就为不同业务配置相对应的RBID,并固定使用一个或者几个业 务承载;这样,BEARER = RB ID-1的设置方式就是比较可行的了 。显而易见的是DIRECTION的设置根据目前通信的上下行方向确定即 可,LENGTH的设置则可以根据NAS信令的实际长度确定。需要说明的是对NAS信令而言,NAS COUNT-C和NAS COUNT-I 的取值可以相同,并且只为NAS信令设置一对NAS COUNT-C/I值,使得 NAS COUNT-C/I针对上下行各只有一个。另外,对NAS信令而言,NAS COUNT-C和NAS COUNT-I的取值也可以不相同,并且可以使用不同的 START值初始化NAS HFN;再有,可以由NAS层设置并管理NAS SN, PDCP
层只是使用NAS SN而并不对其管理。NASCOUNT-C/I的结构示意图如图3所示,其中NAS超帧(HFN)占 20~28比特,NAS序歹寸号(SN)占12~4比特。NAS HFN的初始4匕由PDCP 控制,可以使用来自用户终端的START初始化NAS HFN的高20比特。对 所有NAS信令而言,NAS SN只有一对,上下行各一个;并且,上行或下 行每发送一个消息时,相应的NAS SN加1,并在NAS SN达到最大值之后 将相应的NAS HFN加1 。 NAS SN的值通常是由PDCP设置的。在实际应用中,PDCP层可以对NAS信令先进行加密保护再进行完整 性保护;也可以对NAS信令先进行完整性保护,再进行加密保护。对用户数据而言,PDCP COUNT-C和PDCP COUNT-I取值通常也是相 同的。并且,由于为PDCP层针对不同业务配置了相对应的RB ID,所以PDCP COUNT-C/I的取值会因RB ID的不同而有所不同;但是对于同一个RB ID 则只有一对PDCP COUNT-C/I值,并且上下行各一个。PDCP COUNT-C/I的结构示意图如图4所示,其中HFN占20~28比特, SN占12~4比特。PDCP HFN的初始化由PDCP控制,可以使用来自用户终 端的START初始化PDCP HFN的高20比特。对PDCP用户数据而言,可 以根据RB的个数设置相对组数的PDCP SN,每组PDCP SN包括上下行各 一个;并且,上行或下行每发送一个数据包时,相应的PDCPSN加1,并 在PDCP SN达到最大值之后将相应的PDCP HFN加1。 PDCP SN的值通常 是由PDCP设置的。对用户数据而言,PDCP COUNT-C和PDCP COUNT-I的取值也可以不 相同,并且可以使用不同的START值初始化PDCP HFN。在实际应用中,PDCP层可以对用户数据先进行加密保护再进行完整性 保护,也可以对用户数据先进行完整性保护再进行加密保护。针对RRC信令而言,对RRC信令进行的加密保护是由RRC层控制的。 RRC层使用和NAS、 PDCP不同的CK、 IK进行加密保护和完整性保护;并 且,RRC层使用和NAS、 PDCP不同的FRESH进行完整性保护。 与NAS、 PDCP相同的是在RRC层进行加密保护和完整性保护所要 应用到的输入参数中,BEARER = RB ID - 1 , DIRECTION的设置根据目前 通信的上下行方向确定即可,LENGTH的设置则可以根据NAS信令的实际 长度确定。RRC COUNT-C/I的结构示意图如图5所示,其中RRC HFN占20~28 比特,RRC SN占12~4比特。对RRC信令而言,RRC COUNT-C和RRC COUNT-I通常是相同的,并且每个RB分别对应 一 对上下行RRC COUNT-C/I; RRC HFN的初始化由RRC控制,可以使用来自用户终端的 START初始化RRC HFN的高20比特。再有,每发送一个RRC信令时都要 将对应的RRCSN加1,当RRCSN达到最大值时将相应的RRCHFN力口 1。对RRC信令而言,RRC COUNT-C和RRC COUNT-I的取值也可以不 相同,并且可以使用不同的START值初始化RRC HFN。 RRC层可以对RRC 信令先进行加密保护再进行完整性保护,或者先进行完整性保护再进行加密 保护。在图3至图5中,无论HFN和NAS各占用多少比特,HFN和NAS总 共占用的比特数通常为36比特。所述RRC层通常是设置在用户终端和演进基站(eNB )中的,所述PDCP 层和NAS层则通常设置于演进无线接入网关(aGW)中。由以上所述可以看出,本发明所提供的两种通信安全性保护方法和装 置,均可明显提高LTE网络中的通信安全性,并有效提高用户满意度。
权利要求
1、一种通信安全性保护方法,其特征在于,该方法包括长期演进LTE网络中的分组数据会聚协议PDCP层根据符合LTE网络协议格式的通信安全性保护计数值COUNT,对非接入层NAS信令和/或用户数据进行通信安全性保护。
2、 如权利要求l所述的方法,其特征在于,所述通信安全性保护包括加 密保护和/或完整性保护。
3、 如权利要求2所述的方法,其特征在于,进行所述加密保护时的COUNT 是加密保护计数值COUNT-C,该加密保护的方法为发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH 和加密密钥CK用加密算法计算,生成密钥流数据块KEYSTREAM BLOCK; 并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块 PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得到的密码块 CIPHERTEXT BLOCK向接收端发送。
4、 如权利要求3所述的方法,其特征在于,该方法进一步包括 接收端对COUNT-C、 DIRECTION、 BEARER、 LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,接收端对通过计算所生成的 KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算, 通过该异或计算恢复出发送端所发送的PLAINTEXTBLOCK。
5、 如权利要求2所述的方法,其特征在于,进行所述完整性保护时的 COUNT是完整性保护计数值COUNT-I,该完整性保护的方法为发送端对完整性保护密钥IK、 COUNT-I、要发送给接收端的消息 MESSAGE、 DIRECTION和随机数FRESH用完整性算法计算,生成MAC-I, 并将MAC-I向接收端发送。
6、 如权利要求5所述的方法,其特征在于,该方法进一步包括 接收端对IK、 COUNT-I、 MESSAGE、 DIRECTION和FRESH用完整性算 法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比 较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性; 否则,^接收端确定来自发送端的信息不具有完整性。
7、 如权利要求2至6任一项所述的方法,其特征在于,进行所述加密保护 时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的 COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行各只有一个的一 对COUNT-C/I。
8、 如权利要求7所述的方法,其特征在于,所述COUNT-C/I中包含超帧 HFN和序列号SN。
9、 如权利要求2至6任一项所述的方法,其特征在于,进行所述加密保护 和所述完整性保护时所应用的BEARER,是业务所对应的无线承载RB,或是 缺省RB,或是通过信令协商确定的RB;所述BEARER的值为RB标识ID-1。
10、 一种通信安全性保护方法,其特征在于,该方法包括LTE网络中的无线资源控制RRC层根据符合LTE网络协议格式的COUNT, 对RRC信令进行通信安全性保护。
11、 如权利要求IO所述的方法,其特征在于,所述通信安全性保护包才舌 加密保护和/或完整性保护。
12、 如权利要求11所述的方法,其特征在于,进行所述加密保护时的 COUNT是COUNT-C,该加密保护的方法为发送端对COUNT-C、 DIRECTION, BEARER、 LENGTH和CK用加密算 法计算,生成KEYSTREAM BLOCK;并对生成的KEYSTREAM BLOCK与要 发送给接收端的PLAINTEXT BLOCK进行异或计算,再将经过异或计算所得 到的CIPHERTEXT BLOCK向接收端发送。
13、 如权利要求12所述的方法,其特征在于,该方法进一步包括 接收端对COUNT-C、 DIRECTION、 BEARER、 LENGTH和CK用加密算法计算,生成KEYSTREAM BLOCK;之后,'接收端对通过计算所生成的 KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算, 通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。
14、 如权利要求11所述的方法,其特征在于,进行所述完整性保护叶的 COUNT是COUNT-I,该完整性保护的方法为发送端对IK、 COUNT-I、要发送给接收端的MESSAGE、 DIRECTION和 FRESH用完整性算法计算,生成MAC-I,并将MAC-I向接收端发送。
15、 如权利要求14所述的方法,其特征在于,该方法进一步包括 接收端对IK、 COUNT-I、 MESSAGE、 DIRECTION和FRESH用完整性算法计算,生成XMAC-I;之后,接收端用XMAC-I与来自发送端的MAC-I相比 较,如果XMAC-I与MAC-I相同,接收端确定来自发送端的信息具有完整性; 否则,接收端确定来自发送端的信息不具有完整性。
16、 如权利要求11至15任一项所述的方法,其特征在于,进行所述加密 保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的 COUNT-I相同或不同;并且,所述COUNT-C/I是针对上下行各只有一个的一 对COUNT-C/I 。
17、 如权利要求16所述的方法,其特征在于,所述COUNT-C/I中包含HFN 和SN。
18、 如权利要求11至15任一项所述的方法,其特征在于,进行所述加密 保护和所述完整性保护时所应用的BEARER,是业务所对应的RB,或是缺省 RB,或是通过信令协商确定的RB;所述BEARER的值为RBID-1。
19、 一种通信安全性保护装置,其特征在于,该装置包括相连的加密算法模块和数据算法模块;其中,加密算法模块,用于根据符合LTE网络协议格式的COUNT进行加密算法计算,将计算所得的密钥流数据块发送给数据算法模块;数据算法模块,用于对收到的密钥流数据块和要发送给接收端的原始文本块进行数据算法计算,生成密码块;或者,对收到的密钥流数据块和密码块进 行进行数据算法计算,生成发送端所发送的原始文本块。
20、 如权利要求19所述的装置,其特征在于,所述加密算法模块是f8算 法模块,其进行加密算法计算所用到的参数包括COUNT、 DIRECTION、 BEARER、 LENGTH和CK。
21、 如权利要求19所述的装置,其特征在于,所述数据算法模块是异或模块。
22、 如权利要求19至21任一项所述的装置,其特征在于,所述加密算法 模块和数据算法模块设置于PDCP层,所述COUNT是COUNT-C,所述原始文 本块中包含NAS信令或用户数据。
23、 如权利要求19至21任一项所述的装置,其特征在于,所述加密算法 模块和数据算法模块设置于RRC层,所述COUNT是COUNT-C,所述原始文 本块中包含RRC信令。
24、 一种通信安全性保护装置,其特征在于,该装置包括完整性算法模块, 用于根据符合LTE网络协议格式的COUNT进行完整性算法计算,生成用于确 定完整性的内容。
25、 如权利要求24所述的装置,其特征在于,所述完整性算法模块是f9 算法模块,其进行完整性算法计算所用到的参数包括IK、 COUNT、 MESSAGE、 DIRECTION和FRESH。
26、 如权利要求24或25所述的装置,其特征在于,所述完整性算法模块 设置于PDCP层,所述COUNT是COUNT-I,所述MESSAGE中包含NAS信 令或用户数据。
27、 如权利要求24或25所述的装置,其特征在于,所述完整性算法模块 设置于RRC层,所述COUNT是COUNT-I,所述MESSAGE中包含RRC信令。
全文摘要
本发明公开了一种通信安全性保护方法和装置,可以由长期演进(LTE)网络中的分组数据会聚协议(PDCP)层根据符合LTE网络协议格式的通信安全性保护计数值(COUNT),对非接入层(NAS)信令和/或用户数据进行通信安全性保护;本发明还公开了另一种通信安全性保护方法和装置,可以由LTE网络中的无线资源控制(RRC)层根据符合LTE网络协议格式的COUNT,对RRC信令进行通信安全性保护。本发明所提供的两种通信安全性保护方法和装置,能够明显提高LTE网络中的通信安全性,并提高用户满意度。
文档编号H04L9/00GK101155026SQ20061013580
公开日2008年4月2日 申请日期2006年9月29日 优先权日2006年9月29日
发明者李亚娟 申请人:华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1