一种用于无线通信系统支持多种加密的方法、装置及系统与流程

本发明属于无线通信技术领域，尤其涉及一种用于无线通信系统支持多种加密的方法、装置及系统。

背景技术：

无线通信业务大致可以分为3种场景：embb(增强移动宽带)、mmtc(海量机器类通信)、和urllc(超可靠低时延通信)，针对这三种业务场景的不同安全需求，需要有差异化安全保护机制。在广电业务中，一般广播业务、紧急广播业务、双向交互业务，对传输过程中的安全要求也是不同的。例如，对于一般广播业务，对某些信息是要求严格保密，而有些信息可能不需要进行加解密；对于紧急广播业务，要求高级别的安全保护的同时，又不能额外增加通信时延；对于双向交互业务，对部分数据进行加解密即可。针对这些不同的安全要求，对于无线接入部分的数据报文的传输，需要提供差异化的加解密方式，对传输的每一帧数据，按需定制无线传输过程的加解密方式。

超高吞吐euht无线接入技术，可以提供多种加解密算法，提供给不同的使用场景，按需定制解密算法、密钥长度、加解密数据长度，从而满足不同的安全需求。

zuc、sms4、aes加解密算法，被广泛应用于无线通信系统中，其中zuc和sms4是中国自主研发的加解密算法，在本无线通信广播系统中，支持sms4、zuc、aes三种加解密算法。为支持zuc-256(密钥长度为256bit)密码算法的国际化，超高吞吐euht也支持zuc-256密码算法。

对于不需要定制的业务，需要采用不同的加解密算法，以增大破解难度，因此，需要一种新的加解密方法来满足这些需求。

技术实现要素：

有鉴于此，本发明所要解决的技术问题是提供一种用于无线通信系统支持多种加密的技术方案，对于不需要定制的业务，需要采用不同的加解密算法，以增大破解难度。

本发明提供一种用于无线通信系统支持多种加密的方法，包括：

在mac帧的帧体设置加密头字段，该加密头字段包含加密算法、加密模式；

在发送端和接收端分别保存同一加解密算法映射表；

发送端和接收端根据密钥key通过预设在本地的公式推导出具体的索引值，根据该索引值查找到所述映射表中相应的加解密算法。

更适宜地，加密头字段还包含密钥长度、加密长度信息。

优选地，加密头字段占用帧体中的两个字节。

其中，加密模式包括电子密码本模式(ecb)、密码块链模式(cbc)、密文反馈模式(cfb)、输出反馈模式(ofb)、计数器模式(ctr)。

其中，加密算法包括zuc、sms4、aes。

该方法还包括：

在所述mac帧的mac头中，添加用于指示数据帧的子类型标识位，根据该标识位可识别该帧是否为设置了加密定制的数据帧。

本发明还提供一种用于无线通信系统支持多种加密的网络侧设备，包括：

第一设置单元，用于在mac帧的帧体设置加密头字段，该加密头字段包含加密算法、加密模式；

存储单元，用于保存加解密算法映射表；

映射单元，用于将所述设置有加密头字段的mac帧映射到物理层。

更适宜地，该网络侧设备，还包括：

第二设置单元，用于在所述mac帧的mac头中，添加用于指示数据帧的子类型标识位，根据该标识位可识别该帧是否为设置了加密定制的数据帧。

本发明提供的一种用于无线通信系统支持多种加密的终端设备，包括：

计算单元，用于根据密钥key通过预设在本地的公式推导出具体的索引值，用于根据该索引值查找到所述映射表中相应的加解密算法。

本发明还提供一种支持多种加密的无线通信系统，包括：

前述网络侧设备，和/或前述的终端设备。

综上所述，在本发明提供的技术方案中，在mac层完成对数据报文的加解密功能。通过添加加密头，mpdu所携带的净荷即帧体包括加密头和pdu两部分。采用自适应加解密算法，根据密钥key通过本地公式推导出具体的加解密算法。可以提高破解难度，增强数据传输安全。本发明通过独立的硬件完成加解密算法的运行，提供安全的前提下，尽可能的减少加密延迟，保证传输性能不下降！加密头的设计和加解密算法自适应的选择部分，由于运算简单对传输性能无影响。

为了上述以及相关的目的，一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面，并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显，所公开的实施例是要包括所有这些方面以及它们的等同。

附图说明

图1是本发明用于无线通信系统支持多种加密的方法流程图；

图2是本发明实施例中采用的帧结构示意图；

图3是本发明实施例中采用的加密头字段构成示意图；

图4本发明提供的用于无线通信系统支持多种加密的网络侧装置架构示意图。

具体实施方式

以下描述和附图充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求，否则单独的组件和功能是可选的，并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围，以及权利要求书的所有可获得的等同物。在本文中，本发明的这些实施方案可以被单独地或总地用术语“发明”来表示，这仅仅是为了方便，并且如果事实上公开了超过一个的发明，不是要自动地限制该应用的范围为任何单个发明或发明构思。

参照图1，本发明提供的一种用于无线通信系统支持多种加密的方法，包括：

s101，在mac帧的帧体设置加密头字段，该加密头字段包含加密算法、加密模式；该加密头字段还包含密钥长度、加密长度信息。

加密头字段占用帧体中的两个字节。

s102，在发送端和接收端分别保存同一加解密算法映射表；

s103，发送端和接收端根据密钥key通过预设在本地的公式推导出具体的索引值，根据该索引值查找到所述映射表中相应的加解密算法。

其中，加密模式包括电子密码本模式(ecb)、密码块链模式(cbc)、密文反馈模式(cfb)、输出反馈模式(ofb)、计数器模式(ctr)。

其中，加密算法包括zuc、sms4、aes。

该方法，还包括：

在mac帧的mac头中，添加用于指示数据帧的子类型标识位，根据该标识位可识别该帧是否为设置了加密定制的数据帧。

具体实施例中，在mac层的适配子层完成对数据报文的加解密功能。为满足对数据报文pdu的加解密定制需求，在转换为mpdu前，添加2字节(16bit)作为加密头，此部分采用明文传输，转换后的mac协议数据单元(mpdu)的帧格式如图2所示。每一个mpdu都可以被分成三部分。第一部分为定长的通用mac头。第二部分为mpdu所携带的净荷。第三部分为校验(fcs)信息。其中，第二部分包括加密头和pdu两部分组成。

加密头字段描述

加密定制头包含下列字段：加密算法、加密模式、密钥长度、加密长度(16的倍数)，具体格式如图3所示.

加密算法：长度为2比特，支持zuc、sms4、aes三种加解密算法：

"002"表示自适应加密算法；"012"表示aes加密算法；

"102"表示sms4加密算法；"112"表示zuc加密算法；

加密模式：长度为3比特，可以选择ecb、cbc、ctr、ofb、cfb共5种加解模式。电子密码本模式(ecb，electroniccodebook)，密码块链模式(cbc，cipherblockchaining)，密文反馈模式(cfb，cipherfeedback)，输出反馈模式(ofb，output-feedback)，计数器模式(ctr，counter)。

密钥长度：占用2bit，代表128比特、192比特、256比特。密钥长度需要和加密算法结合来使用。sms4算法只支持128比特密钥，zuc算法支持128比特和256比特密钥，aes支持128比特/192比特/256比特的密钥。

加密长度：长度为8bit，取值范围[0-255]，表示实际加解密数据的长度除以16后的值，这就意味着实际加密长度必须是16的倍数。此字段可以设置为0，则表示不定制加密长度，加解密长度为整个pdu长度。

填充长度：长度4bit，填充字节长度，有效信息长度需要减去此填充长度。

加密头的添加，可以真正做到对每一帧数据的加密方式，按需定制。对于安全性要求高的关键业务数据，可以采用256bit密钥，全数据加密方式；对于低时延要求比较高的业务，可选择128bit密钥，只对pdu中关键部分进行加密的方式；对于一些公开的业务数据，也可以选择无加密传输。

由于增加两个字节的会占用额外资源，对于没有特殊要求的安全业务会造成资源浪费，因此，在mac头中，添加数据帧的一种子类型，对于设置了加密定制的数据帧，才会做出相应的解析和解密工作。对应无需定制加密的数据帧，可以使用默认的加密方式进行加解密，适用于普通的数据传输业务、普通的双向交互业务。

自适应加解密算法的选择：

自适应加解密算法，就是可以不指定具体的加解密算法，而是根据密钥key通过本地公式推导出具体的加解密算法。这种自适应方法，由于算法有不确定性，可以提高破解难度，增强数据传输安全。

具体过程，cap和sta本地保留一个加解密算法的表格(为满足16个，表各项可以重复)，对key的每个字节按无符号数来对待，前8字节相加求和，对结果保留低位4bit，计算出一个0-15的加密模式-算法的索引，根据索引映射到本地加解密模式算法表格，找到具体的加密模式算法。

1.求和ksum＝kas0+kas1+……+kas7

2.取低4位ki＝ksum&0xf

3.根据ki映射到本地支持的算法表中，找到对应的算法。

为了使本发明的原理、特性及有益效果更加清楚，下面结合具体实施例进行详细描述。

在具体的无线通信系统中，假设数据传输中的密钥k＝"0123456789abcdefghijklmnopqrstuv"32个字符，密钥长度为256比特(密钥可以通过aka鉴权认证机制在本地推导得出，也可以在设备侧通过用户配置等方式获得，密钥管理与更新不在本文讨论范围)。

一)对于普通的业务数据，可以采用默认的，自适应选择加密算法，具体流程如下：

1.1计算ksum＝kas0+kas1+……+kas7，在本实例中，ksum＝0x1c。

1.2取ksum的低四位，得到加密模式算法索引值为0x0c。

1.3cap和sta本地加密模式算法的映射表为：

{"ecb(aes)","cbc(aes)","ctr(aes)","ofb(aes)","cfb(aes)","ecb(sms4)",

"cbc(sms4)","ctr(sms4)","ofb(sms4)","cfb(sms4),"cbc(aes)","ctr(aes)",

"zuc","cbc(sms4)","ctr(sms4)","zuc"}

根据索引值得到具体的加密算法为zuc算法。

1.4发送端：对每一个要发送的pdu包，采用zuc算法进行加密，加密的数据长度为整个pdu包(无填充字节)。设置mac头中的数据子类型为普通数据帧{b7b6b5b4b3}为00000，表示普通数据帧，无加密定制头。

1.5接收端：对收到的mpdu包，解析mac头中的数据帧子类型为0，

此数据帧无加密定制头，直接采用zuc算法进行解密。

2、对于某紧急业务数据，在保证安全的同时，需要降低加密时延，因此对这些数据帧进行定制加密方式进行传输。具体定制为cbc(sms4)加密方式，密钥长度为128比特(取密钥的前128bit作为实际的密钥)，且只对pdu的头部128字节关键信息进行加密传输。具体流程如下：

2.1发送端：在pdu数据前添加定制加密信息2字节，根据前面关于定制加密头的描述和具体的定制需求，设置加密定制头的各个域的值：

2.2加密算法域2比特设置为："102"，即采用sms4加密算法。

2.3加密模式域3比特设置为："0012"，即采用cbc加密模式。

2.4密钥长度域2比特设置为："002"，即密钥长度为128比特。

2.5加密数据长度域8比特设置为："000010002"，即具体需要加密的长度为16*8＝128字节。

2.6在mac头中，设置数据帧的子类型{b7b6b5b4b3}为00010，表示带有加密定制的数据帧。

接收端解析数据帧的子类型，如果是00010，则继续解析数据域中的前两个字节，解析定制加密头，根据解析到的信息，进行解密处理。

参照图4，本发明还提供一种用于无线通信系统支持多种加密的网络侧设备400，包括：

第一设置单元41a，用于在mac帧的帧体设置加密头字段，该加密头字段包含加密算法、加密模式；

存储单元42，用于保存加解密算法映射表；

映射单元43，用于将所述设置有加密头字段的mac帧映射到物理层。

网络侧设备400，还包括：

第二设置单元41b，用于在所述mac帧的mac头中，添加用于指示数据帧的子类型标识位，根据该标识位可识别该帧是否为设置了加密定制的数据帧。

本发明还提供一种用于无线通信系统支持多种加密的终端设备，包括：

计算单元，用于根据密钥key通过预设在本地的公式推导出具体的索引值，用于根据该索引值查找到所述映射表中相应的加解密算法。

本发明提供一种支持多种加密的无线通信系统，包括前述网络侧设备；和/或前述终端设备。

综上所述，在本发明提供的技术方案中，在mac层完成对数据报文的加解密功能。为满足对数据报文pdu的加解密定制需求，在转换为mpdu前，添加加密头，mpdu所携带的净荷即帧体包括加密头和pdu两部分。采用自适应加解密算法，根据密钥key通过本地公式推导出具体的加解密算法。可以提高破解难度，增强数据传输安全。本发明通过独立的硬件完成加解密算法的运行，提供安全的前提下，尽可能的减少加密延迟，保证传输性能不下降！加密头的设计和加解密算法自适应的选择部分，由于运算简单对传输性能无影响。

真正的按需定制加密方式对传输报文进行加密传输，既保证了传输的安全性，又满足的各种业务的其他需求；通过自适应选择不同加解密算法，提高了安全性，降低攻击破解风险！

本领域技术人员可以明白，这里结合所公开的实施例描述的各种示例性的方法步骤和装置单元均可以电子硬件、软件或二者的结合来实现。为了清楚地示出硬件和软件之间的可交换性，以上对各种示例性的步骤和单元均以其功能性的形式进行总体上的描述。这种功能性是以硬件实现还是以软件实现依赖于特定的应用和整个系统所实现的设计约束。本领域技术人员能够针对每个特定的应用，以多种方式来实现所描述的功能性，但是这种实现的结果不应解释为背离本发明的范围。

结合上述公开的实施例所描述的方法的步骤可直接体现为硬件、由处理器执行的软件模块或者这二者的组合。软件模块可能存在于ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、移动磁盘、cd-rom或者本领域熟知的任何其他形式的存储媒质中。一种典型存储媒质与处理器耦合，从而使得处理器能够从该存储媒质中读信息，且可向该存储媒质写信息。在替换实例中，存储媒质是处理器的组成部分。处理器和存储媒质可能存在于一个asic中。该asic可能存在于一个用户站中。在一个替换实例中，处理器和存储媒质可以作为用户站中的分立组件存在。

根据所述公开的实施例，可以使得本领域技术人员能够实现或者使用本发明。对于本领域技术人员来说，这些实施例的各种修改是显而易见的，并且这里定义的总体原理也可以在不脱离本发明的范围和主旨的基础上应用于其他实施例。以上所述的实施例仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。