专利名称:一种数据安全的同步方法及系统的制作方法
技术领域:
本发明涉及通信及计算机技术领域,尤其涉及一种数据安全的同步方法及系统。
背景技术:
LTE( Long Term Evolution,长期演进)通信系统又称为E-UTRAN(Evolved Universal Terrestrial Radio Access Network,演进后的通用陆地无线接入网),与 UTRAN (Universal Terrestrial Radio Access Network,通用陆地无线接入网)系 统不同,为了简化网络并降低时延,E-UTRAN系统去掉了 RNC( Radio Network Controller,无线网络控制器),将RNC的功能被分散到了 eNB (E-UTRAN NodeB,演进后的基站)和aGW ( E-UTRAN Access Gateway, E-UTRAN接入 网关)中。
LTE中的协议栈结构与UTRAN —样分为用户面和控制面,但简化了很多。 比如PDCP (Packet Data Convergence Protocol,分组数据汇聚层)功能在网络 侧被移到了 aGW中,控制面RRC ( Radio Resource Control,无线资源控制) 功能被移到了 eNB中并终结在eNB中。
参阅图1A所示,用户面协议栈中,RLC (Radio Link Control,无线链路 控制)和MAC (Media Access Control,媒体接入控制)终结在网络侧的eNB 中,执行链路层功能,包括调度、ARQ ( Automatic Repeat reQuest,自动重复 请求)、HARQ( Hybrid Automatic Repeat reQuest,混合自动重复请求)等。PDCP 层终结在网络侧的UPE (User Pane Equipment,用户面实体),执行用户面的 功能,包括头压缩、完整性保护和加密等。
参阅图IB所示,控制面协议栈中,RLC和MAC终结在网络侧的eNB中,
执行和用户面RLC、 MAC —样的功能。RRC终结在网络侧的eNB,执行广播、 寻呼、RRC连接管理、无限承载控制、移动性功能、测量和测量报告等。PDCP 层终结在网络侧的MME (Move Management Equipment,移动管理实体),执 行包括加密和完整性保护等。NAS (Non-Access Stratum,非接入层)终结在网 络侧的MME,控制包括SAE ( System Architecture Equipment,系统架构实体) 承载管理,鉴权,空闲模式移动性的处理,空闲模式寻呼触发,信令的安全控 制等。
在LTE通信系统中,为了保护数据的安全,aGW在PDCP层对NAS信令 和用户数据进行加密和完整性保护,并通过NAS信令协商安全相关参数和上 下文等。PDCP层如何开始启动加密和完整性保护,目前业界还没有具体的方案。
发明内容
本发明提供一种数据安全的同步方法及系统,以实现LTE系统中终端侧和 网络侧在处理数据报文时采用的安全机制的同步。 本发明提供以下技术方案 一种数据安全的同步方法,该方法包括步骤
发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表 明处理数据报文的安全机制;
所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制 处理数据报文。
根据上述方法
所述发送端发送数据报文时,在分组数据汇聚层PDCP将所述安全指示信 息封装在经扩展的分组数据单元头PDU header中。
文时所使用的序列号SN;接收端在执行相应的安全机制时利用该序列号SN
处理数据^艮文。
发送端在发送所述^^居纟艮文前,先通过非接入层NAS 4言令与4妾收端协商 所述安全机制相应的上下行安全参数。
若发送端与接收端之间需要利用安全机制处理上行和下行数据报文,则通 过非接入层NAS信令在同一协商过程中完成上行和下行安全参数的协商。
发送端为网络设备,接收端为终端设备;或者,发送端为终端设备,接收 端为网络设备。
所述发送端发送的数据报文中的安全指示信息表明发送端从本数据报文 或下 一数据"l艮文开始采用所述安全机制处理数据"J艮文。
所述发送端处理数据报文的安全机制为启动加密、停止加密、启动完整性 保护、停止完整性保护、修改安全参数、停止加密并且启动完整性保护以及停 止完整性保护并启动加密中任意一种。
所述发送端发送的数据报文中的安全指示信息表明接收端从本数据报文 或下一数据报文开始采用所述安全机制处理数据报文。
所述接收端处理数据净良文的安全机制为启动解密、停止解密、启动完整性 保护、停止完整性保护、修改安全参数、停止解密并且启动完整性保护以及停 止完整性保护并启动解密中任意一种。
一种通信设备,包括
发送单元,用于向其他设备发送包含安全指示信息的数据报文,所述安全 指示信息表明处理数据报文的安全机制;
接收单元,用于从其他设备接收包含安全指示信息的数据报文,所述安全 指示信息表明处理数据报文的安全机制;
处理单元,用于根据接收到的数据报文中的安全指示信息,按相应的安全 机制处理数据报文。
其中,所述发送单元在分组数据汇聚层PDCP将所述安全指示信息封装在 分组数据单元头PDU header中。
一种通信系统,包括
终端设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指 示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安 全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制;
网络设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指 示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安 全机制处理数据才艮文,所述安全指示信息表明处理数据净艮文的安全机制。
其中,在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元 头PDU header中。
本发明有益效果如下
1、 本发明中,终端侧或网络侧发送包含指示处理数据报文的安全机制的 安全指示信息的数据报文;网络側或终端側根据接收到的数据报文中的安全指 示信息按相应的安全机制处理数据报文,简单方便的实现了终端侧和网络侧在 处理数据报文时采用的安全机制的同步。
2、 本发明中,所述数据报文中还包含处理数据报文所使用的序列号SN, 网络侧或终端侧在接收到所述数据报文后,根据所述数据报文中的安全指示信 息按相应的安全机制处理数据报文时,使用该序列号SN,从而减少了错误的 发生。
图1A为背景技术中用户面协议栈的结构示意图; 图1B为背景技术中控制面协议栈的结构示意图; 图1C为本发明实施例中通信系统的结构示意图; 图1D为本发明实施例中终端设备的结构示意图2A为本发明实施例中网络侧PDCP层启动下行加密和/或完整性保护的 同步处理流程图2B为本发明实施例中终端侧PDCP层启动上^f亍加密和/或完整性保护的 同步处理流程图3A为本发明实施例中网络侧PDCP层停止下行加密和/或完整性保护的 同步处理流程图3B为本发明实施例中终端侧PDCP层停止上行加密和/或完整性保护的 同步处理流程图4A为本发明实施例中网络侧PDCP层启动下行完整性保护的同步处理 流程图4B为本发明实施例中终端側PDCP层启动上行完整性保护的同步处理 流程图5A为本发明实施例中网络侧PDCP层启动下行加密的同步处理流程图5B为本发明实施例中终端侧PDCP层启动上行加密的同步处理流程图6A为本发明实施例中网络侧PDCP层停止下行加密并启动下行完整性 保护的同步处理流程图6B为本发明实施例中终端侧PDCP层停止上行加密并启动上行完整性 保护的同步处理流程图7A为本发明实施例中网络侧PDCP层停止下行完整性保护并启动下行 加密的同步处理流程图7B为本发明实施例中终端侧PDCP层停止上行完整性保护并启动上行 加密的同步处理流程图8A为本发明实施例中网络侧PDCP层停止下行加密或完整性保护的同 步处理流程图8B为本发明实施例中终端侧PDCP层停止上行加密或完整性保护的同 步处理流程图9A为本发明实施例中网络侧PDCP层修改下行加密和/或完整性保护参 数的同步处理流程图9B为本发明实施例中终端侧PDCP层^^改上行加密和/或完整性保护参 数的同步处理流程图。
具体实施例方式
以下结合附图对本发明优选的实施方式进行详细说明。
参阅图1C所示的通信系统,包括终端设备100和网络设备101。所述终 端设备100位于终端侧,用于向网络側发送包含安全指示信息的数据报文;以 及接收网络侧发送的包含安全指示信息的数据报文,并根据接收到的数据报文 中的安全指示信息,按相应的安全机制处理数据报文。所述网络设备101位于 网络侧,用于向终端侧发送包含安全指示信息的数据报文;以及接收终端侧发 送的包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信 息,按相应的安全机制处理数据报文。
所述安全指示信息表明处理数据报文的安全机制,较佳的,所述安全指示 信息表明终端侧或网络侧从本数据报文开始,处理数据报文的安全机制;这里, 所述安全指示信息也可以表明终端侧或网络侧从指定的后续数据报文(如下一 数据报文)开始,处理数据报文的安全机制。
终端侧或网络侧发送数据报文时,处理数据报文的安全机制为启动加密、 停止加密、启动完整性保护、停止完整性保护、修改安全参数、停止加密并且 启动完整性保护以及停止完整性保护并启动加密中任意一种;相应的,终端侧 或网络侧接收数据报文时,处理数据报文的安全机制为启动解密、停止解密、 启动完整性保护、停止完整性保护、修改安全参数、停止解密并且启动完整性 保护以及停止完整性保护并启动解密中任意 一 种。
较佳的,终端侧或网络侧在发送所述数据报文时,在PDCP层将所述安全 指示信息封装在分组数据单元头PDU header中,所作封装操作可通过扩展所 述分组数据单元头PDU header实现。
所述终端设备100和网络设备101在NAS信令完成安全参数的协商之后,
网络设备101向终端设备IOO发送包含安全指示信息的数据报文,该安全指示 信息中携带有指示启动、修改或停止数据加密和/或完整性保护的数据;终端设 备100根据接收到的数据报文启动、修改或停止下行数据解密和/或完整性保护。
同样的,在所述终端设备100和网络设备101在NAS信令完成安全参数 的协商之后,终端设备IOO向网络设备101发送包含安全指示信息的数据报文, 该头信息中携带有指示发送端已经启动、修改或停止数据加密和/或完整性保护 的数据或接收端启动、修改或停止数据加密和/或完整性保护的数据;网络设备 101根据接收到的数据报文启动、修改或停止上行数据解密和/或完整性保护。
发送的数据报文中还可以包含处理数据报文所使用的SN (Sequence Number,序列号)。发送端将该SN和HFN (HyperFrame Number,超帧号) 组合生成安全参数中的计数值count,作为加密或/和完整性保护算法的输入参 数;相应的,接收端将数据报文中的所述SN与HSN组合生成本端安全参数中 的计数值count作为对应的算法的输入参数。这样,可以进一步提高安全性。
通过所述安全指示信息可以实现启动或停止数据加密和/或完整性保护的 同步处理,具体的,通过所述安全指示信息可以实现普通数据、加密数据、完 整性保护数据及加密完整性保护数据相互之间的转换,也可以实现修改数据加 密和/或完整性保护参数的同步处理。
本实施例中的一种通信设备如图1D所示,包括发送单元1000、接收单 元1001、处理单元1002;其中,所述发送单元1000向其他设备发送包含安全 指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述 接收单元1001从其他设^^接收包含安全指示信息的数据报文,所述安全指示 信息表明处理数据报文的安全机制;所述处理单元1002根据接收到的数据报 文中的安全指示信息,按相应的安全机制处理数据报文。该通信设备可作为终 端设备,也可作为网络设备。
下面分别对通过所述安全指示信息实现启动或停止数据加密和/或完整性
保护,以及实现修改数据加密和/或完整性保护参数的同步处理过程进行详细说明。
图2A和图2B为通过所述安全指示信息实现普通数据到加密数据、完整 性保护数据或加密完整性保护数据的转换流程图。参阅图2A所示,网络侧 PDCP层启动下行加密和/或完整性保护的同步处理流程如下
步骤200、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤201 、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数 据:^艮文,所述安全指示信息中携带有指示启动加密和/或完整性保护的数据。
步骤202、终端侧根据接收到的数据报文中的安全指示信息启动下行解密 和/或完整性保护。
参阅图2B所示,终端侧PDCP层启动上行加密和/或完整性保护的同步处 理流程如下
步骤210、终端侧和网络側之间通过NAS信令协商安全参数。
步骤211 、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示启动加密和/或完整性保护的数据。 步骤212、网络侧根据接收到的数据报文中的安全指示信息启动上行解密
和/或完整性保护。
在步骤200和步骤210中,上下行通过NAS信令协商安全参数的过程可 以是同一个过程。
在步骤201和步骤211中,若只需要启动加密,则所述安全指示信息中携 带有加密启动同步指示;若只需要启动完整性保护,则所述安全指示信息中携 带有完整性保护启动同步指示;若需要同时启动加密和完整性保护,则所述安 全指示信息中携带有加密和完整性保护启动同步指示。
图3A和图3B为通过所述安全指示信息实现加密lt據、完整性保护数据 或加密完整性保护数据到普通数据的转换流程图。参阅图3A所示,网络侧 PDCP层停止下行加密和/或完整性保护的同步处理流程如下
步骤300 、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤301 、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示停止加密和/或完整性保护的数据。 步骤302、终端侧4艮据接收到的数据报文中的安全指示信息停止下行解密
和/或完整性保护。
参阅图3B所示,终端侧PDCP层停止上行加密和/或完整性保护的同步处 理流程如下
步骤310、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤311、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示停止加密和/或完整性保护的数据。 步骤312 、网络侧根据接收到的数据报文中的安全指示信息停止上行解密
和/或完整性保护。
在步骤300和步骤310中,上下行通过NAS信令协商安全参数的过程可 以是同一个过程。
在步骤301和步骤311中,若只需要停止加密,则所述安全指示信息中携 带有加密停止同步指示;若只需要停止完整性保护,则所述安全指示信息中携 带有完整性保护停止同步指示;若需要同时停止加密和完整性保护,则所述安 全指示信息中携带有加密和完整性保护停止同步指示。
图4A和图4B为通过所述安全指示信息实现加密数据到加密完整性保护 数据的转换流程图。参阅图4A所示,网络侧PDCP层启动下行完整性保护的 同步处理流程如下
步骤400 、终端侧和网络侧已经启动加密。
步骤401、终端侧和网络侧之间通过NAS信令协商完整性参数。
步骤402、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示启动完整性保护的数据。
步骤403、终端侧根据接收到的数据报文中的安全指示信息启动下行完整 性保护。
参阅图4B所示,终端側PDCP层启动上行完整性保护的同步处理流程如
下
步骤410、终端侧和网络侧已经启动加密。
步骤411、终端侧和网络侧之间通过NAS信令协商完整性参数。
步骤412、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示启动完整性保护的数据。
步骤413、网络侧根据接收到的数据报文中的安全指示信息启动上行完整 性保护。
在步骤401和步骤411中,上下行通过NAS信令协商完整性参数的过程
可以是同一个过程。
图5A和图5B为通过所述安全指示信息实现完整性保护数据到加密完整
性保护数据的转换流程图。参阅图5A所示,网络侧PDCP层启动下行加密的
同步处理流程如下
步骤500、终端侧和网络侧已经启动完整性保护。
步骤501 、终端侧和网络侧之间通过NAS信令协商加密参数。
步骤502、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示启动加密的数据。
步骤503、终端侧根据接收到的数据报文中的安全指示信息启动下行解密。
参阅图5B所示,终端侧PDCP层启动上行加密的同步处理流程如下
步骤510、终端侧和网络侧已经启动完整性保护。
步骤511、终端侧和网络侧之间通过NAS信令协商加密参数。
步骤512、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示启动加密的数据。
步骤513、网络侧根据接收到的数据报文中的安全指示信息启动上行解密。 在步骤501和步骤511中,上下行通过NAS信令协商加密参数的过程可
以是同一个过程。
图6A和图6B为通过所述安全指示信息实现加密教:据到完整性保护^据 的转换流程图。参阅图6A所示,网络侧PDCP层停止下行加密并启动下行完 整性保护的同步处理流程如下
步骤600 、终端侧和网络侧已经启动加密。
步骤601、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤602、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示停止加密并启动完整性保护的数据。
步骤603、终端侧根据接收到的数据报文中的安全指示信息停止下行解密 并启动下行完整性保护。
参阅图6B所示,终端侧PDCP层停止上行加密并启动上行完整性保护的 同步处理流程如下
步骤610、终端侧和网络侧已经启动加密。
步骤611、终端侧和网络側之间通过NAS信令协商安全参数。
步骤612、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示停止加密并启动完整性保护的数据。
步骤613、网络侧根据接收到的数据报文中的安全指示信息停止上行解密 并启动上行完整性保护。
在步骤601和步骤611中,上下行通过NAS信令协商安全参数的过程可 以是同一个过程。
图7A和图7B为通过所述安全指示信息实现完整性保护数据到加密数据 的转换流程图。参阅图7A所示,网络側PDCP层停止下行完整性保护并启动 下行加密的同步处理流程如下
步骤700、终端侧和网络侧已经启动完整性保护。
步骤701、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤702、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示停止完整性保护并启动加密的数据。
步骤703、终端侧根据接收到的数据报文中的安全指示信息停止下行完整 性保护并启动下行解密。
参阅图7B所示,终端侧PDCP层停止上行完整性保护并启动上行加密的 同步处理流程如下
步骤710、终端侧和网络侧已经启动完整性保护。
步骤711、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤712、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示停止完整性保护并启动加密的数据。
步骤713、网络侧根据接收到的数据报文中的安全指示信息停止上行完整 性保护并启动上行解密。
在步骤701和步骤711中,上下行通过NAS信令协商安全参数的过程可 以是同一个过程。
图8A和图8B为通过所述安全指示信息实现加密完整性保护数据到加密
数据或完整性保护数据的转换流程图。参阅图8A所示,网络侧PDCP层停止
下行加密或完整性保护的同步处理流程如下
步骤800、终端侧和网络侧已经启动加密和完整性保护。
步骤801 、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤802、网络侧向终端侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示停止加密或完整性保护的数据。
步骤803、终端侧根据接收到的数据报文中的安全指示信息停止下行解密
或完整性保护。
参阅图8B所示,终端侧PDCP层停止上行加密或完整性保护的同步处理 流程如下
步骤810、终端侧和网络侧已经启动加密和完整性保护。 步骤811、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤812、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数 据报文,所述安全指示信息中携带有指示停止加密或完整性保护的数据。
步骤813、网络侧根据接收到的数据报文中的安全指示信息停止上行解密 或完整性保护。
在步骤801和步骤811中,上下行通过NAS信令协商安全参数的过程可 以是同一个过程。
图9A和图9B为通过所述安全指示信息实现数据加密和/或完整性保护参
数的修改操作的同步处理流程图。参阅图9A所示,网络侧PDCP层修改下行
加密和/或完整性保护参数的同步处理流程如下
步骤900 、终端侧和网络侧已经启动加密和/或完整性保护。
步骤901 、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤902、网络侧向终端側发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示修改加密和/或完整性保护的数据。 步骤903、终端侧根据接收到的数据报文中的安全指示信息停用旧的下行
解密和/或完整性保护参数,并启用新的下行解密和/或完整性保护参数。
参阅图9B所示,终端侧PDCP层修改上行加密和/或完整性保护参数的同
步处理流程如下
步骤910、终端侧和网络侧已经启动加密和/或完整性保护。
步骤911、终端侧和网络侧之间通过NAS信令协商安全参数。
步骤912、终端侧向网络侧发送包含在PDCP层封装的安全指示信息的数
据报文,所述安全指示信息中携带有指示修改加密和/或完整性保护的数据。 步骤913、网络侧根据接收到的数据报文中的安全指示信息停用旧的上行
解密和/或完整性保护参数,并启用新的上行解密和/或完整性保护参数。
在步骤901和步骤911中,上下行通过NAS信令协商安全参数的过程可
以是同一个过程。
在上述实例中,终端侧或网络侧在接收包含安全指示信息的数据报文时,
若按确认模式进行处理,即向发送端返回接收响应,该接收响应中指示接收成
功或失败,若为失败,则发送端重发所述数据报文;或按非确认模式进行处理, 即不向发送端返回接收响应,在此情况下, 一种较佳的处理方式是发送端在发 送的每一个数据报文中均携带安全指示信息。
从上述实施例可知,本发明中,终端側或网络侧发送包含指示处理数据才艮 文的安全机制的安全指示信息的数据报文;网络侧或终端侧根据接收到的数据 报文中的安全指示信息按相应的安全机制处理数据报文,简单方便的实现了终 端侧和网络侧在处理数据报文时采用的安全机制的同步;进一步的,所述数据 报文中还包含处理数据报文所使用的序列号SN,网络侧或终端侧在接收到所 述数据报文后,根据所述数据报文中的安全指示信息按相应的安全机制处理数 据报文时,使用该序列号SN,从而减少了错误的发生。
明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求 及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种数据安全的同步方法,其特征在于,该方法包括步骤发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
2、 如权利要求l所述的方法,其特征在于,所述发送端发送数据报文时, 在分组数据汇聚层PDCP将所述安全指示信息封装在经扩展的分组数据单元头 PDU header中。
3、 如权利要求1所述的方法,其特征在于,所述发送端发送的数据报文在执行相应的安全机制时利用该序列号SN处理数据报文。
4、 如权利要求1所述的方法,其特征在于,发送端在发送所述数据报文 前,先通过非接入层NAS信令与接收端协商所述安全机制相应的上下行安全 参数。
5、 如权利要求4所述的方法,其特征在于,若发送端与接收端之间需要 利用安全机制处理上行和下行数据报文,则通过非接入层NAS信令在同一协 商过程中完成上行和下行安全参数的协商。
6、 如权利要求1所述的方法,其特征在于,发送端为网络设备,接收端 为终端设备;或者,发送端为终端设备,接收端为网络设备。
7、 如权利要求1至6任一项所述的方法,其特征在于,所述发送端发送 的数据报文中的安全指示信息表明发送端从本数据报文或下一数据报文开始 采用所述安全才几制处理数据才艮文。
8、 如权利要求7所述的方法,其特征在于,所述发送端处理数据报文的 安全机制为启动加密、停止加密、启动完整性保护、停止完整性保护、修改安2全参数、停止加密并且启动完整性保护以及停止完整性保护并启动加密中任意一种。
9、 如权利要求1至6任一项所述的方法,其特征在于,所述发送端发送的数据报文中的安全指示信息表明接收端从本数据报文或下一数据报文开始 采用所述安全机制处理数据才艮文。
10、 如权利要求9所述的方法,其特征在于,所述接收端处理数据报文的 安全机制为启动解密、停止解密、启动完整性保护、停止完整性保护、修改安 全参数、停止解密并且启动完整性保护以及停止完整性保护并启动解密中任意 一种。
11、 一种通信设备,其特征在于,包括发送单元,用于向其他设备发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;接收单元,用于从其他设备接收包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;处理单元,用于根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。
12、 如权利要求11所述的设备,其特征在于,所述发送单元在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
13、 一种通信系统,其特征在于,包括终端设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制;网络设备,用于发送包含安全指示信息的数据报文;以及接收包含安全指 示信息的数据报文,并根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文,所述安全指示信息表明处理数据报文的安全机制。
14、 如权利要求13所述的系统,其特征在于,在分组数据汇聚层PDCP将所述安全指示信息封装在分组数据单元头PDU header中。
全文摘要
本发明公开了一种数据安全的同步方法,该方法包括发送端向接收端发送包含安全指示信息的数据报文,所述安全指示信息表明处理数据报文的安全机制;所述接收端根据接收到的数据报文中的安全指示信息,按相应的安全机制处理数据报文。本发明同时公开一种通信设备。采用本发明可以实现LTE系统中终端侧和网络侧在处理数据报文时采用的安全机制的同步。
文档编号H04L9/00GK101174943SQ200610143019
公开日2008年5月7日 申请日期2006年11月1日 优先权日2006年11月1日
发明者李亚娟, 迈克尔·罗伯茨 申请人:华为技术有限公司