第三代移动通信系统中实现传输数据加密的方法

专利名称：第三代移动通信系统中实现传输数据加密的方法
技术领域：
本发明涉及需要进行数据加密的通信领域，特别涉及第三代移动通信技术领域，具体是指一种第三代移动通信系统中实现传输数据加密的方法。
背景技术：
目前，在各种通信系统中，尤其是在无线通信系统中，为保证通信过程的安全性，通常需要将传输的数据进行加密。
在第三代(3G)移动通信系统中，如果无线承载(RB, Radio Bear)使用的是确认模式(AM)或非确认模式(UM)的无线链膝检制(RLC)，则数据在RLC层进行加密和解密；如果RB使用的是透明模式(TM)的RLC实体，则数据在媒体接入控制(MAC)层进行加密和解密的，请参阅图1所示
对于AM和UM的RLC协议数据单元(PDU )，需要加密的数据为除去PDU头的部分；对于MACPDU,需要加密的部分为除去MAC PDU头的数据，请参阅图2所示。对于需要加密的MACPDU，如果需要加密部分的数据来自同一个RB，则这些需要加密的数据需要先进行拼接，之后再进行加密。
对于需要加密的协议数据单元(PDU)，加密所需的^包括
(1) COUNT-C——加密序列号
(2) CK——加密密钥
(3) BEARER——无线承栽标识符
(4) DIRECTION——方向标识符
(5 ) LENGTH——要求的密钥流长度
其中，加密序列号(COUNT-C)由长序列号和短序列号两部分組成。长序列号为超帧号(HFN);短序列号对于UM RLC PDU和AM RLC的数据PDU来说为PDU的序列号(SN),对于MACPDU来说则为连接帧号(CFN)号。加密密钥(CK)通过RB所属的域来确定。对于电路交换(CS)域的所有RB使用一个CK;对于包交换(PS)域的所有RB使用一个CK;信令无线承栽(SRB)不属于任何一个域，则使用最后配置的CK。无线承载标识符(BEARER )用于区分不同的无线承栽的数据，根据RB的ID得到。方向标识符(DIRECTION)用于区分上下行数据。长度(LENGTH)表示需要的密钥流长度。
为了提高数据加密的效率，通常是通过硬件来实现加密算法。因此当RLC层和MAC层需要对数据进行加密时，需要调用硬件加密加速器提供的接口来进行加密。当数据需要进行加密时，硬件加密加速器从主存中读取需要加密的数据，然后再将加密后的数据写入到主存中；当数据加密完成后，最后由MAC层提交到物理层(PHY)。通常为了加速对数据的处理速度，系统会提供一个高速緩存(CACHE)来暂存数据，高速緩存的速度比主存的速度快许多倍，因此能提高数据的读写效率。PHY层会对数据进行大量处理，为提高速度，通常会把数据放置到专门的数据高速緩存中进行处理，因此最后PHY层会将MAC层提交的数据读入高速緩存中进行处理，请参阅图3所示。

发明内容
本发明的目的是克服了上述现有技术中的缺点，提供一种能够有效减少数据读写所产生的系统开销、提高数据处理效率、处理过程简单快捷、工作性能稳定可靠、适用范围较为广泛的第三代移动通信系统中实现传输数据加密的方法。
为了实现上述的目的，本发明的第三代移动通信系统中实现传输数据加密的方法如下该第三代移动通信系统中实现传输数据加密的方法，其主要特点是，所述的方法包括以下步骤
(1) 系统的无线链路控制层接收到上层提交的传输数据，进行无线链路控制加密控制信息设置和数据包组装处理；
(2) 无线链路控制层将加密参数和组装后的数据包提交至媒体接入控制层；
(3 )媒体接入控制层对该接收到的数据包进 体接入控制加密控制信息设置和数据包组装处理；
(4)媒体接入控制层将加密控制信息和组装后的数据包提交至物理层；(5 )物理层利用系统中的高速緩冲和硬件加密加速器根据加密控制信息对数据包中的传输数据进行加密处理；
(6)系统对加密处理后的传输数据进行后续处理。
该第三代移动通信系统中实现传输数据加密的方法中的进行无线链路控制加密控制信息设置和数据包组装处理，包括以下步骤
(11)无线链路控制层将所述的传输数据组装成为无线链路控制协议数据单元PDU;
6(12) 无线链路控制层判断无线承载所使用的模式是否是确认模式或者非确认模式；
(13) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；
(14) 如果是，则在该无线链路控制协议数据单元PDU中设置加密标志，并提取加密参数，包括加密序列号、加密密钥、无线承栽标识符和方向标识符；
(15 )无线链路控制层标明该无线链路控制协议数据单元PDU的无线链路控制头长度。该第三代移动通信系统中实现传输数据加密的方法中的提取加密参数，包括以下步骤(141 )将该无线链路控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；(142)将当前系统无线承载所配置的加密密钥作为加密密钥；(143 )根据当前系统无线承栽的标识ID得到无线承载标识符；
(144)根据该无线链路控制协议数据单元PDU是上行数据还是下行数据得到方向标识符。
该第三代移动通信系统中实现传输数据加密的方法中的标明该无线链路控制协议数据单元PDU的无线链路控制头长度，包括以下步骤
(151 )如果该无线承载所使用的模式是确认模式，则该无线链路控制协议数据单元PDU的无线链#制头长度为2字节；
(152)如果该无线承载所使用的模式是非确认模式，则该无线链路控制协议数据单元PDU的无线链，制头长度为1字节。
该第三代移动通信系统中实现传输数据加密的方法中的进行媒体接入控制加密控制信息设置和数据包组装处理，包括以下步骤
(31) 媒体接入控制层将所迷的传输数据组装成为媒体接入控制协议数据单元PDU;
(32) 媒体接入控制层判断无线承栽所使用的模式是否是透明模式；
(33) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；
(34) 如果是，则在该媒体接入控制协议数据单元PDU中设置加密标志，并提取加密参数，包括加密序列号、加密密钥、无线承栽标识符和方向标识符；
(35 )媒体接入控制层标明该媒体接入控制协议数据单元PDU的总长度、非加密部分的数据长度和链接标志。
该第三代移动通信系统中实现传输数据加密的方法中的提取加密参数，包括以下步骤
(341) 将该媒体接入控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；
(342) 将当前系统无线承载所配置的加密密钥作为加密密钥；
(343 )根据当前系统无线承载的标识ID得到无线承栽标识符；该第三代移动通信系统中实现传输数据加密的方法中的非加密部分的数据长度包M体接入控制头长度和无线链路控制头长度。
该第三代移动通信系统中实现传输数据加密的方法中的物理层对传输数据进行加密处理，可以包括以下步骤
(51) 物理层根据所述的加密标志判断相应的传输数据是否需要加密；
(52) 如果需要加密，则物理层调用系统中的硬件加密加速器从系统主存中读取传输数据中需要进行加密的部分，并进行加密；
(53) 物理层将加密之后的数据写入到系统中的高速緩存中；
(54) 物理层将传输数据中不需要进行加密的部分直接写入到所述的高速緩存中。该第三代移动通信系统中实现传输数据加密的方法中的物理层对传输数据进行加密处
理，也可以包括以下步骤
(61)物理层将传输数据全部写入系统中的高速緩存中；
(62 )物理层根据所述的加密标志判断相应的传输数据是否需要加密；
(63) 如果需要加密，则物理层调用系统中的硬件加密加速器从该高速緩存中读取传输数据中需要进行加密的部分，并进行加密；
(64) 物理层将加密之后的数据写入到系统中的高速緩存中。
采用了该发明的第三代移动通信系统中实现传输数据加密的方法，由于对于需要在无线链路控制层或者媒体接入控制层中需要加密的数据放在物理层进行加密处理，而传输数据在提交给物理层期间，采用对高速緩存的读写操作来代替对主存的读写操作，只需要一次主存的读操作和一次高速緩存的写操作，从而减少了一次对主存的读操作和一次对主存的写操作，增加了对高速緩存的读写操作，由于高速緩存的读写速度比主存的速度快许多倍，因此新的方法可以大大提高数据处理的速度，有效减少了数据处理的系统开销，提高数据处理效率，而且处理过程简单快捷，工作性能稳定可靠，适用范围较为广泛，为第三代移动通信传输数据加密技术的进一步t艮奠定了坚实的基础。


图1为现有冲支术的第三代移动通信系统中数据加密过程原理示意图。
图2为无线链路控制层协议数据单元PDU和媒体接入控制层协议数据单元PDU的加密
8部分示意图。
图3为现有技术中传输数据进行加密处理的工作原理示意图。
图4为本发明的笫三代移动通信系统中实现传输数据加密的方法中物理层对传输数据进行加密处理的第一种方案的工作原理示意图。
图5为本发明的第三代移动通信系统中实现传输数据加密的方法中物理层对传输数据进行加密处理的第二种方案的工作原理示意图。
具体实施例方式
为了能够更清楚地理解本发明的技术内容，特举以下实施例详细说明。请参阅图4和图5所示，该第三代移动通信系统中实现传输数据加密的方法，其主要特
点是，所述的方法包括以下步骤
(1)系统的无线链路控制层接收到上层提交的传输数据，进行无线链路控制加密控制信
息设置和数据包组装处理，该处理包括以下步骤
(a) 无线链路控制层将所述的传输数据组装成为无线链路控制协议数据单元PDU;
(b) 无线链路控制层判断无线承栽所使用的模式是否是确认模式或者非确认模式；
(c) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；
(d) 如果是，则在该无线链路控制协议数据单元PDU中设置加密标志，并提取加密参数，包括加密序列号、加密密钥、无线承载标识符和方向标识符；该提取加密参数包括以下步骤
(i) 将该无线链路控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；
(ii) 将当前系统无线承载所配置的加密密钥作为加密密钥；
(iii) 根据当前系统无线承载的标识ID得到无线承载标识符；
(iv )根据该无线链路控制协议数据单元PDU是上行数据还是下行数据得到方向标识符;
(e) 无线链路控制层标明该无线链路控制协议数据单元PDU的无线链路控制头长度，包括以下步骤
(i) 如果该无线承载所使用的模式是确认模式，则该无线链路控制协议数据单元PDU的无线链路检制头长度为2字节；
(ii) 如果该无线承栽所使用的模式是非确认模式，则该无线链路控制协议数据单元PDU的无线链路控制头长度为1字节；(2)无线链路控制层将加密参数和组装后的数据包提交至媒体接入控制层；(3 )媒体接入控制层对该接收到的数据包进行媒体接入控制加密控制信息设置和数据包组装处理，包括以下步骤
(a) 媒体接入控制层将所述的传输数据组装成为媒体接入控制协议数据单元PDU;
(b) 媒体接入控制层判断无线承栽所使用的模式是否是透明模式；
(c) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；
(d) 如果是，则在该媒体接入控制协议数据单元PDU中设置加密标志，并提取加密参数，包括加密序列号、加密密钥、无线承载标识符和方向标识符；该提取加密参数包括以下步骤
(i) 将该媒体接入控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；
(ii) 将当前系统无线承载所配置的加密密钥作为加密密钥；
(iii) 根据当前系统无线承载的标识ID得到无线承栽标识符；
(iv )根据该媒体接入控制协议数据单元PDU是上行数据还是下行数据得到方向标识符;
(e) 媒体接入控制层标明该媒体接入控制协议数据单元PDU的总长度、非加密部分的数据长度和链接标志；该非加密部分的数据长度包M体接入控制头长度和无线链,制头长度；
(4) 媒体接入控制层将加密控制信息和组装后的数据包提交至物理层；
(5) 物理层利用系统中的高速緩冲和硬件加密加速器+艮据加密控制信息对数据包中的传输数据进行加密处理，可以包括以下步骤
(a) 物理层根据所述的加密标志判断相应的传输数据是否需要加密；
(b) 如果需要加密，则物理层调用系统中的硬件加密加速器从系统主存中读取传输数据中需要进行加密的部分，并进行加密；
(c) 物理层将加密之后的数据写入到系统中的高速緩存中；
(d) 物理层将传输数据中不需要进行加密的部分直接写入到所述的高速緩存中；也可以包括以下步骤
(a) 物理层将传输数据全部写入系统中的高速緩存中；
(b) 物理层根据所述的加密标志判断相应的传输数据是否需要加密；(c) 如果需要加密，则物理层调用系统中的硬件加密加速器从该高速緩存中读取传
输数据中需要进行加密的部分，并进行加密；
(d) 物理层将加密之后的数据写入到系统中的高速緩存中； (6)系统对加密处理后的传输数据进行后续处理。
在实际使用当中，为了减少数据读写所需要的开销，本发明的方法的基本思想如下 当RLC层需要发送UMDPDU或AMDPDU时，根据当前加密设置，如果需要进行加密， 则通过PDU的SN和当前HFN得到COUNT-C值，然后通过该PDU所对应的RB ID得到 BEARER,通过当前发送的PDU是上行数据还是下行数据来决定DIRECTION的值，再加上 当前使用的CK值，得到加密所需的参数。但此时RLC层不对数据进行加密，而是将这些加 密所需的参数和数据一起提交给MAC层；由于RLC头是不需要进行加密的，因此还需要告 诉MAC层数据的前一个(UMDPDU)或两个(AMDPDU)字节是不需要加密的。当MAC 层需要对TMD PDU进行加密时，同RLC —样，MAC层也只是先获得PDU加密所需的参数， 但不对数据进行加密，而是将数据和加密参数一起提交给PHY层。因为MAC头和RLC头 一样也是不需要进行加密的，因此也需要指明MAC PDU中前若干比特(包括RLC头和MAC 头)是不需要加密的。。由于属于同一个RB的TMDPDU在加密前还需要先进行连接，因此 还需要指明哪些MAC PDU是需要串联后再进行加密的。
当MACPDU提交给物理层后，PHY层有两种方法对需要加密的数据进行处理
PHY层调用硬件加密加速器对各MAC PDU进行加密，硬件加密加速器将加密之后 的数据放置到高速緩存中，然后由PHY层再对高速緩存中的数据进行其它处理。
* PHY层将需要处理的数据放置到高速緩存中，然后调用硬件加密加速器对各MAC PDU进行加密，加密之后的数据仍写入高速緩存，然后由PHY层再进行其它处理。
作为本发明的方法的具体实施过程，RLC层收到上层提交的数据后，根据RLC类型组装 成RLCPDU。对于UMDPDU和AMDPDU， RLC层不对PDU进4亍加密操作，但在将PDU 递交给MAC层时需要提供PDU的加密相关信息，通过加密标志指明该是否需要加密，加密 参数包括CK、 COUNT-C、 BEARER、和DIRECTION,另外还需要指明RLC头的长度是1 字节(UMDPDU)还是2字节(AMD PDU)。
MAC层收到RLC PDU后，根据当前配置决定是否需要加MAC头，以及MAC头的长 度，然后将其封装成MAC PDU。对于TMD PDU, MAC层也不对其进行加密，只是保存其 加密参数.MAC层递交给PHY层的信息除了 MAC PDU数据之外，还需要包括加密标志指 明是否需要加密，加密参数，非加密部分的数据长度(包括MAC头长度和RLC头长度)和MAC PDU总长度，以及链接标志指明是否需要拼接起来后再进行加密。
PHY层收到MAC层提交的MAC PDU及加密相关信息后，有两种方案供选择
(1) PHY将数据的非加密部分和加密部分全部读入高速緩存中，如果在MAC提交的信 息中指明该MAC PDU需要加密，则根据MAC层提交的加密信息，调用硬件加密加速器从 高速緩存中读取数据需要加密的部分，加密之后再写入高速緩存，然后再对数据进行其他处 理；
(2) PHY根据MAC提交的信息中，根据加密标志判断数据是否需要加密，如果需要加 密，则调用硬件加密加速器从主存中读取需要加密的部分，然后将加密之后的数据写入高速 緩存中，PHY再将数据不需要加密的部分读入高速緩存，然后再进行其它后续的处理。
采用了上述的第三代移动通信系统中实现传输数据加密的方法，由于对于需要在无线链 路控制层或者媒体接入控制层中需要加密的数据放在物理层进行加密处理，而传输数据在提 交给物理层期间，采用对高速緩存的读写操作来代替对主存的读写操作，只需要一次主存的 读操作和一次高速緩存的写操作，从而减少了 一次对主存的读操作和一次对主存的写操作，
增加了对高速緩存的读写操作，由于高速緩存的读写速度比主存的速度快许多倍，因此新的 方法可以大大提高数据处理的速度，有效减少了数据处理的系统开销，提高数据处理效率， 而且处理过程简单快捷，工作性能稳定可靠，适用范围较为广泛，为第三代移动通信传输数 据加密技术的进一步发展奠定了坚实的基础。
在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种 修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限 制性的。
权利要求
1、一种第三代移动通信系统中实现传输数据加密的方法，其特征在于，所述的方法包括以下步骤(1)系统的无线链路控制层接收到上层提交的传输数据，进行无线链路控制加密控制信息设置和数据包组装处理；(2)无线链路控制层将加密参数和组装后的数据包提交至媒体接入控制层；(3)媒体接入控制层对该接收到的数据包进行媒体接入控制加密控制信息设置和数据包组装处理；(4)媒体接入控制层将加密控制信息和组装后的数据包提交至物理层；(5)物理层利用系统中的高速缓冲和硬件加密加速器根据加密控制信息对数据包中的传输数据进行加密处理；(6)系统对加密处理后的传输数据进行后续处理。
2、 根据权利要求1所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的进行无线链路控制加密控制信息设置和数据包组装处理，包括以下步骤(11) 无线链路控制层将所述的传输数据组装成为无线链路控制协议数据单元PDU;(12) 无线链路控制层判断无线承载所使用的模式是否是确认模式或者非确认模式；(13) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；(14) 如果是，则在该无线链路控制协议数据单元PDU中设置加密标志，并提取加密参 数，包括加密序列号、加密密钥、无线承载标识符和方向标识符；(15 )无线链;^t制层标明该无线链路控制协议数据单元PDU的无线链路控制头长度。
3、 才艮据权利要求2所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的提取加密参数，包括以下步骤(141) 将该无线链路控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；(142) 将当前系统无线承载所配置的加密密钥作为加密密钥；(143 )根据当前系统无线承载的标识ID得到无线承载标识符；(144)根据该无线链路控制协议数据单元PDU是上行数据还是下行数据得到方向标识符。
4、 根据权利要求2所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的标明该无线链路控制协议数据单元PDU的无线链路控制头长度，包括以下步骤(151 )如果该无线承栽所使用的模式是确认模式，则该无线链路控制协议数据单元PDU 的无线链路控制头长度为2字节；(152)如果该无线承栽所使用的模式是非确认模式，则该无线链路控制协议数据单元 PDU的无线链，制头长度为1字节。
5、 根据权利要求1所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的进行媒体接入控制加密控制信息设置和数据包组装处理，包括以下步骤(31) 媒体接入控制层将所述的传输数据组装成为媒体接入控制协议数据单元PDU;(32) 媒体接入控制层判断无线承载所使用的模式是否是透明模式；(33) 如果是，则判断系统当前的加密设置是否是需要进行数据加密；(34) 如果是，则在该媒体接入控制协议数据单元PDU中设置加密标志，并提取加密参 数，包括加密序列号、加密密钥、无线承载标识符和方向标识符；(35 )媒体接入控制层标明该媒体接入控制协议数据单元PDU的总长度、非加密部分的 数据长度和链接标志。
6、 根据权利要求5所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的提取加密参数，包括以下步骤(341) 将该媒体接入控制协议数据单元PDU的序列号和超帧号组合得到加密序列号；(342) 将当前系统无线承栽所配置的加密密钥作为加密密钥；(343 )根据当前系统无线承栽的标识ID得到无线承栽标识符；(344)根据该媒体接入控制协议数据单元PDU是上行数据还是下行数据得到方向标识符。
7、 根据权利要求5所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于， 所述的非加密部分的数据长度包M体接入控制头长度和无线链路控制头长度。
8、 根据权利要求2或5所述的第三代移动通信系统中实现传输数据加密的方法，其特征 在于，所述的物理层对传输数据进行加密处理，包括以下步骤(51) 物理层根据所迷的加密标志判断相应的传输数据是否需要加密；(52) 如果需要加密，则物理层调用系统中的硬件加密加速器从系统主存中读取传输数 据中需要进行加密的部分，并进行加密；(53) 物理层将加密之后的数据写入到系统中的高速緩存中；(54) 物理层将传输数据中不需要进行加密的部分直接写入到所述的高速緩存中。
9、 根据权利要求2或5所述的第三代移动通信系统中实现传输数据加密的方法，其特征在于，所述的物理层对传输数据进行加密处理，包括以下步骤(61) 物理层将传输教:据全部写入系统中的高速緩存中；(62) 物理层根据所述的加密标志判断相应的传输数据是否需要加密；(63) 如果需要加密，则物理层调用系统中的硬件加密加速器从该高速緩存中读取传输 数据中需要进行加密的部分，并进行加密；(64) 物理层将加密之后的数据写入到系统中的高速緩存中。
全文摘要
本发明涉及一种第三代移动通信系统中实现传输数据加密的方法，包括无线链路控制层对传输数据进行无线链路控制加密控制信息设置和数据包组装处理并提交至媒体接入控制层、媒体接入控制层进行媒体接入控制加密控制信息设置和数据包组装处理并提交至物理层、物理层通过高速缓冲和硬件加密加速器根据加密控制信息对传输数据进行加密处理。采用该种第三代移动通信系统中实现传输数据加密的方法，增加了对高速缓存的读写操作，大大提高了数据处理的速度，有效减少了数据处理的系统开销，提高数据处理效率，而且处理过程简单快捷，工作性能稳定可靠，适用范围较为广泛，为第三代移动通信传输数据加密技术的进一步发展奠定了坚实的基础。
文档编号H04L29/06GK101471916SQ20071017311
公开日2009年7月1日 申请日期2007年12月26日 优先权日2007年12月26日
发明者晋 卿, 张小琴, 车兆辉, 闫书印 申请人:上海摩波彼克半导体有限公司