专利名称:一种在演进网络中进行加密数据包传输的方法
技术领域:
本发明涉及通讯技术领域,具体是涉及一种在演进网络中进行加密数据包传输的方法。
背景技术:
从20世纪90年代初开始到现在,宽带码分多址(WCDMA,Wideband CodeDivision Multiple Access)通讯技术规范已经走过了Release99、Release4、Release5、Release6这几个阶段,目前关于Release7的标准化工作已经开始实施。与此同时,更具前导性的长期演进(LTE,Long Term Evolution)的研究也已经开始逐渐成为标准化工作的新热点。
WCDMA系统由核心网(CN,Core Network)、无线接入网(RAN,RadioAccess Network)、用户设备(UE,User Equipment)三部分构成。其中RAN执行CN与UE间的连接建立和数据传输。RAN包括若干无线网络子系统(RNS,Radio Network Subsystem),各RNS包括无线网络控制器(RNC,RadioNetwork Controller)和受其控制的若干传输节点(NB,Node B),NB就是WCDMA系统的基站。
在现有网络中,CN到UE的数据传输过程如图1所示。由CN下发的数据在RNC中经过分组数据集中协议(PDCP,Packet Data Convergence Protocol)的头压缩后成为PDCP数据包;PDCP数据包作为链路层数据单元(RLC SDU,RLC Service Data Unit)在无线链路控制(RLC,Radio Link Control)层进行加密,并分段/重组为链路层传输单元(RLC PDU,RLC Protocol Data Unit)通过媒体接入控制(MAC,Medium Access Control,)层经NB下发给UE。
在上述数据传输的过程中,根据各个传输环节的需要,会选择适当的方式来进行。目前,通常的情况是,CN与RNC之间采用通用无线分组业务(GPRS,General Packet Radio Service)隧道协议(GTP,GPRS Tunneling Protocol),利用隧道序号进行数据的有序传递。RLC层通过RLC PDU序号进行到UE的有序传递和加密/解密。此外,对RLC层而言,有三种数据传输的业务模式透明模式(TM,Transparent Mode),非确认模式(NM,Non-acknowledgementMode)和确认模式(AM,Acknowledgement Mode),AM模式下数据接收不正确需要重传,因此对AM模式的数据还设置RLC SDU序号,也就是PDCP序号,用于数据重传,并且在进行服务无线网络子系统(SRNS,Serving RadioNetwork Subsystem)的无损切换,以及RLC PDU大小改变时,也需要使用PDCP序号进行RNC与UE的数据同步,确保AM模式数据的无损传输。
随着网络的演进,网络架构发生了变化,如图2所示,图2中eNB表示演进的传输节点(evolved NB)。演进后的网络中,头压缩(PDCP)和加密过程在CN的接入网关(AGW,Access GateWay)的用户面实体(UPE,User PlaneEntity)中执行。这就造成加密过程与RLC PDU序号的脱离,而基于现有数据传输方法,PDCP序号仅在AM模式提供,并且该序号在通常情况下是不直接随数据包下发的(仅在数据同步或重传等情况下发送),这就造成加密数据包在UE侧和网络中无法严格一一对应,这为解密造成了严重的障碍。
发明内容
本发明的目的在于提供一种在演进网络中进行加密数据包传输的方法,使得加密数据包在UE侧和网络中能够被唯一确认,保证解密顺利进行。
为达到本发明的目的,所采取的技术方案是,一种在演进网络中进行加密数据包传输的方法,包括1)接入网关为进行加密传输的数据包设置加密序号,并将设置有所述加密序号的加密数据包发送给传输节点;2)传输节点将所述加密数据包作为链路层数据单元发送给终端;3)终端根据加密序号对所述加密数据包进行解密。
所述步骤1)中,接入网关可按照下述步骤为所述数据包设置加密序号,包括1a)接入网关对所述数据包进行头压缩;1b)对头压缩后的数据包进行加密;1c)在加密后的数据包中添加加密序号。
上述加密序号可仅用于加密/解密,则所述步骤1)中,接入网关还可以加密所述加密序号;以及,将所述加密数据包采用有序传递的方式发送给传输节点。所述有序传递的方法优选为采用通用无线分组业务隧道协议。
加密序号也可被利用于协助链路层数据传输,则所述步骤1c)中接入网关将加密序号添加于加密后的数据包的头部;所述步骤2)中,传输节点将所述加密序号作为链路层数据单元的编号进行到终端的传输。
优选的是,所述步骤2)进一步包括2a)所述传输节点将所述加密数据包封装为待传输的链路层数据单元并将所述加密序号作为所述链路层数据单元的编号;2b)将所述链路层数据单元分段和/或重组为链路层传输单元,并以传输序号对所述链路层传输单元进行顺序编号;2c)将所述链路层传输单元顺序发送给终端;所述步骤3)进一步包括3a)终端顺序接收所述链路层传输单元;3b)将所接收的链路层传输单元恢复为链路层数据单元;3c)从所述链路层数据单元中提取加密序号,并根据所述加密序号进行解密。
进一步优选的是,所述步骤2b)中按照单个链路层数据单元分段为链路层传输单元的数目进行传输序号的编号,使得单个加密序号所对应的若干传输序号不重复。所述链路层传输单元的大小在对单个链路层数据单元的分段中可以保持固定,当然在不同的分段中这个固定的大小可以被重新配置。因此,就可以根据在某一分段中链路层传输单元的固定大小计算出所需要不重复编号的数目,从而对所述传输序号的长度进行动态配置。
采用上述技术方案,本发明有益的技术效果在于1)通过在接入网关中为加密数据包设置对应的加密序号,并保持该加密序号随同加密数据包从CN到UE传输,使得加密数据包在UE侧和网络中具有严格的一一对应关系,确保解密过程的顺利进行。
2)在本发明的一类优选方案中提出对加密序号进行再加密,并以有序传输协议保证加密数据包从CN到eNB的有序传递,使得加密数据包在CN与UE之间的传输过程中,对传输节点如同一个“黑匣子”,提供更加可靠的安全性能。
3)在本发明的另一类优选方案中提出将加密序号利用于链路层数据的传输,使得加密序号得到充分利用,改善现有不具备PDCP序号的实时业务的传输质量,并且还能够尽量缩短数据包头的长度,节省网络资源。
下面通过具体实施方式
并结合附图对本发明作进一步的详细说明。
图1是现有网络中CN到UE的数据传输过程示意图。
图2是演进网络的节点架构示意图。
图3是本发明基本数据传输模式示意图。
图4是一种本发明方案的数据传输过程示意图。
图5是图4数据传输过程中的数据结构示意图。
图6是另一种本发明方案的数据传输过程示意图。
图7是又一种本发明方案的数据传输过程示意图。
图8是再一种本发明方案的数据传输过程示意图。
图9是图8数据传输过程中的数据结构示意图。
具体实施例方式
本发明公开了一种在演进网络中进行加密数据包传输的方法,如图3所示,其核心思想是为在AGW中进行的加密过程配置对应的加密序号,并保持该加密序号随同加密数据包从CN到UE传输。在本发明中,所有的加密数据包都会分配到对应的加密序号,无论是TM、UM、AM模式的数据。一般而言,加密序号可以使用顺序编号的方式设置,如同其他的序号一样,加密序号会具有一定的长度,在该长度范围内循环使用,因此在一个循环周期内,加密序号保证网络与UE侧的加密数据包具有一一对应的关系,这也是加密序号最基本的作用。为了更充分的利用加密序号,也可以将它用于协助链路层数据传输。下面,通过具体的实施方案对这些情况分别进行详细说明。
实施例一、一种在演进网络中进行加密数据包传输的方法,其数据传输过程如图4所示,数据结构如图5所示。该方法包括1)AGW中对加密序号的设置及对加密数据包的发送,包括1a)AGW的UPE对待传输的数据包进行PDCP头压缩,得到PDCP数据包(PDCP PDU);1b)对PDCP PDU进行加密;1c)在加密后的数据包中添加加密序号;该加密序号是一个具有一定长度的、顺序产生、循环使用的数字,它可以添加在加密数据包中的任何位置,只要AGW和UE通过约定可以确认该位置即可;本例中假定加密序号添加在加密后PDCP PDU额外的头部,如图5所示,加密序号1和加密序号2分别添加在加密后的PDCP PDU1和PDCP PDU2的前端,构成ARQ SDU1和ARQSDU2。其中ARQ SDU代表应用自动重传请求(ARQ,Automatic RepeatRequest)机制的服务数据包(在移动通讯网络中,为提高数据传输的成功率和可靠性,网元间进行数据的收发一般会利用ARQ机制或升级的混合自动重传请求(HARQ,Hybrid ARQ)机制,根据数据的模式和接收情况进行数据的自动重发;因此,本文中以ARQ SDU表示网元间传递的服务数据包)。
1d)AGW将包含加密序号的ARQ SDU通过有序传输协议传递给eNB;在本例中选用GTP传输协议,它采用隧道序号确保用户面数据从AGW到eNB的有序传递。
2)eNB接收有序传输的ARQ SDU数据包,按照常规的链路层数据单元的传输方式进行到eNB的传输,包括2a)将ARQ SDU分段和/或重组为链路层传输单元ARQ PDU,并以传输序号对ARQ PDU进行顺序编号。如图5所示,ARQ SDU1被分为三段,分别对应ARQ PDU序号SN-0、SN-1、SN-2;ARQ SDU2被分为三段,分别对应ARQ PDU序号SN-2、SN-3;其中序号SN-2的ARQ PDU由ARQ SDU1的第三分段和ARQ SDU2的第一分段重组而成,因此其传输序号SN-2之后还需要有标识分段长度的长度指示L1。图5中Status为可选添加的附带状态信息,因此以虚线框表示。
2b)然后将ARQ PDU顺序发送给UE;3)UE按照常规的方式接收数据并进行解密工作,包括3a)顺序接收ARQ PDU;3b)在收齐一个ARQ SDU的所有分段后,将这些分段恢复成ARQ SDU;3c)从ARQ SDU中提取出加密序号,根据加密序号对数据解密。
实施例二、另一种在演进网络中进行加密数据包传输的方法,其数据传输过程如图6所示,该方法与实施例一中基本相同,只是步骤1c)中UPE先对需要添加的加密序号进行加密后再添加到加密数据包中。与实施例一相比,本例方案的好处在于,加密序号本身进行加密后,加密数据包的整体内容在传输过程中完全不可用,为数据传输提供了更加可靠的安全性能。
在上述两个实施例的方法中,加密序号仅作为加密解密使用,它和加密数据部分的内容一起,无差别的被eNB作为ARQ SDU的内容进行传输,所以,从AGW到UE的数据对eNB而言相当于是一个黑匣子,eNB不会利用其中的任何信息,加密序号仅在UE的解密层才被提取和使用。因此,AGW和UE之间的传输协议要求可以确保数据的有序传递。如果在ARQ SDU的传输过程中遇到可能的eNB切换、SRNS切换、ARQ PDU大小修改等情况,eNB可完全按照现有链路层数据传输技术中的处理方式来进行,最简单的方式就是通过ARQ PDU序号来实现数据的同步和有序传递。例如,在进行eNB切换的过程中,源eNB在切换命令下发时指示UE应该上传的PDU(以序号标识),当UE切换到目标eNB后即上报应该下发的PDU(以序号标识),以此实现ARQPDU级别的数据同步。
实施例三、又一种在演进网络中进行加密数据包传输的方法,其数据传输过程如图7所示,该方法包括1a)AGW的UPE对待传输的数据包进行PDCP头压缩,得到PDCP PDU;1b)对PDCP PDU进行加密;1c)将加密序号添加于加密后的数据包的头部;1d)AGW将包含加密序号的ARQ SDU通过有序传输协议传递给eNB;在本例中选用GTP传输协议,它采用隧道序号确保用户面数据从AGW到eNB的有序传递。
2a)eNB接收有序传输的ARQ SDU数据包,读取其中的加密序号,将加密序号作为ARQ SDU的编号,在图7中以一虚线圈将加密序号与ARQ SDU序号圈在一起,表示二者实质相同;此后即进行ARQ SDU的分段和/或重组及传输,与实施例一中相同,即按照常规的链路层数据单元的传输方式进行到eNB的传输。
在本实施例中,ARQ SDU被分为编号和加密部分两部分,编号即为其加密序号;这种方法具有两大优点
一是,可以利用加密序号协助链路层数据单元进行SDU粒度的切换和ARQ PDU大小修改等操作。在实施例一所采用的(即常规所采用的)链路层数据单元的传输方式中,ARQ SDU是否具有编号是由其数据模式决定的,只有AM模式数据才有相应的PDCP序号作为其编号,因此在常规的链路层数据单元传输中,对于非AM模式数据只能进行ARQ PDU粒度的数据同步,即进行ARQ PDU粒度的eNB切换等。如果需要进行ARQ SDU粒度的数据同步,则需要PDCP序号的协助,即,仅对AM模式数据可实现;例如,在进行eNB切换的过程中,源eNB在切换命令下发时指示UE应该上传的SDU(以PDCP序号标识),当UE切换到目标eNB后即上报应该下发的SDU(以PDCP序号标识),以此实现ARQ SDU级别的数据同步。而在本实施例中,无论是什么模式的数据,它都具有以加密序号表示的编号,因此在进行ARQ SDU粒度的数据同步时,基于本实施例的传输方法就可以利用所有加密数据包都具有的加密序号来完成,而不必受数据模式的限制。对于ARQ PDU大小修改也是如此,现有传输方式中是RNC通过信令先通知UE,一起对RLC复位,删除内部PDU,然后通过备份的SDU重新分段成PDU,这就需要用PDCP序号进行UE与RNC之间SDU粒度的数据同步(仅对AM模式数据可实现),而基于本实施例传输方式同样可以利用加密序号来进行任意模式数据的PDU重分段。
一是,可以实现实时业务的近似有序。在现有传输方式中,实时业务是没有序号的,也无法进行有序传递。但基于本实施例的传输方法,由于所有的加密数据都设置有顺序编排的加密序号,并在其周期范围内保持有序和唯一,因此实时业务也可以从中受益例如,采用实时传送协议(RTP,Real-timeTransport Protocol)的流媒体业务,往往在接收端使用一个接收缓存,一边接收一边进行播放,对于缓存中的数据,就可以通过对其加密序号的识别在一定范围内(加密序号的长度决定的循环范围)实现某种程度的近似有序。
实施例四、再一种在演进网络中进行加密数据包传输的方法,其数据传输过程如图8所示,数据结构如图9所示。该方法包括1a)AGW的UPE对待传输的数据包进行PDCP头压缩,得到PDCP PDU;1b)对PDCP PDU进行加密;
1c)将加密序号添加于加密后的数据包的头部;1d)AGW将包含加密序号的ARQ SDU通过有序传输协议传递给eNB;在本例中选用GTP传输协议,它采用隧道序号确保用户面数据从AGW到eNB的有序传递。
2a)eNB接收有序传输的ARQ SDU数据包,读取其中的加密序号,将加密序号作为ARQ SDU的编号,如图9所示,ARQ SDU被分为编号和加密部分两部分,编号即为其加密序号;图9中ARQ SDU A的加密序号(编号)为SN-A,ARQ SDU B的加密序号(编号)为SN-B。
2b)将ARQ SDU分段和/或重组为链路层传输单元ARQ PDU,并以传输序号对ARQ PDU进行顺序编号;在编制传输序号时,按照单个ARQ SDU分段为ARQ PDU的数目进行传输序号的编号,保证单个加密序号所对应的若干个传输序号不重复就可以了。本例中假定,在一次分段中ARQ PDU的大小是固定的(当然在不同的分段中,这个固定的长度可以被动态的重新配置),因此可以根据ARQ PDU的大小动态配置传输序号的长度。例如一个ARQ SDU数据包最大为1500字节,若ARQ PDU的大小为100字节,则一个SDU的最大分段数为15,传输序号只需要4bit长度即可;若PDU的大小为15字节,则最大分段数为100,传输序号只需要7bit长度即可。
传输数据结构如图9所示,ARQ SDU A被分为三段,分别对应ARQ PDU传输序号(以子序号SSN的形式表示)SSN-0、SSN-1、SSN-2;ARQ SDU B被分为三段,分别对应ARQ PDU子序号SSN-0、SSN-1、SSN-2;各ARQ PDU由ARQ SDU编号与子序号共同识别,图9中L1与Status的含义与图5中相同。
2c)然后将ARQ PDU顺序发送给UE;3)UE按照常规的方式接收数据并进行解密工作,包括3a)顺序接收ARQ PDU;3b)在收齐一个ARQ SDU的所有分段后,将这些分段恢复成ARQ SDU;3c)从ARQ SDU中提取出加密序号,根据加密序号对数据解密。
在实施例一~三中,实质上均采用常规的链路层数据单元的传输方式,ARQ PDU的有序传递、SDU的重组等完全通过ARQ PDU自身的序号来完成,加密序号在ARQ PDU内部均不起实际作用。但在实施例四中,采用了将加密序号与ARQ PDU序号相结合的方法,共同完成数据的有序传递和SDU分割重组。由于有加密序号的支持,PDU序号只需要考虑在一个SDU的分段中不重复即可,减少了ARQ PDU序号占用的数据位大小,达到尽量节省网络资源的目的。
权利要求
1.一种在演进网络中进行加密数据包传输的方法,其特征在于,包括1)接入网关为进行加密传输的数据包设置加密序号,并将设置有所述加密序号的加密数据包发送给传输节点;2)传输节点将所述加密数据包作为链路层数据单元发送给终端;3)终端根据加密序号对所述加密数据包进行解密。
2.根据权利要求1所述的在演进网络中进行加密数据包传输的方法,其特征在于,接入网关按照下述步骤为所述数据包设置加密序号,包括1a)接入网关对所述数据包进行头压缩;1b)对头压缩后的数据包进行加密;1c)在加密后的数据包中添加加密序号。
3.根据权利要求1或2所述的在演进网络中进行加密数据包传输的方法,其特征在于接入网关加密所述加密序号;以及,将所述加密数据包采用有序传递的方式发送给传输节点。
4.根据权利要求3所述的在演进网络中进行加密数据包传输的方法,其特征在于接入网关采用通用无线分组业务隧道协议将所述加密数据包有序传递给传输节点。
5.根据权利要求1所述的在演进网络中进行加密数据包传输的方法,其特征在于所述步骤1c)中接入网关将加密序号添加于加密后的数据包的头部;所述步骤2)中,传输节点将所述加密序号作为链路层数据单元的编号进行到终端的传输。
6.根据权利要求5所述的在演进网络中进行加密数据包传输的方法,其特征在于所述步骤2)进一步包括2a)所述传输节点将所述加密数据包封装为待传输的链路层数据单元并将所述加密序号作为所述链路层数据单元的编号;2b)将所述链路层数据单元分段和/或重组为链路层传输单元,并以传输序号对所述链路层传输单元进行顺序编号;2c)将所述链路层传输单元顺序发送给终端;所述步骤3)进一步包括3a)终端顺序接收所述链路层传输单元;3b)将所接收的链路层传输单元恢复为链路层数据单元;3c)从所述链路层数据单元中提取加密序号,并根据所述加密序号进行解密。
7.根据权利要求6所述的在演进网络中进行加密数据包传输的方法,其特征在于按照单个链路层数据单元分段为链路层传输单元的数目进行传输序号的编号。
8.根据权利要求7所述的在演进网络中进行加密数据包传输的方法,其特征在于所述链路层传输单元的大小在对单个链路层数据单元的分段中保持固定。
9.根据权利要求8所述的在演进网络中进行加密数据包传输的方法,其特征在于所述传输序号的长度根据所需要不重复编号的数目动态配置。
全文摘要
本发明公开了一种在演进网络中进行加密数据包传输的方法,主要内容是在接入网关中为加密数据包设置对应的加密序号,并保持该加密序号随同加密数据包从核心网到用户设备的传输。本发明有益的效果在于由于该加密序号的设置,使得演进网络中传输的加密数据包在用户设备侧和网络中具有严格的一一对应关系,确保了解密过程的顺利进行。本发明特别适合应用于演进网络中核心网与终端间的加密数据传输。
文档编号H04L12/66GK101047500SQ200610070959
公开日2007年10月3日 申请日期2006年3月28日 优先权日2006年3月28日
发明者谢明江, 王宗杰, 张戬 申请人:华为技术有限公司