[发明专利]通信安全性保护方法和装置

说明书

技术领域

本发明涉及通信领域，具体涉及通信安全性保护方法和装置。

背景技术

随着通信技术的发展，人们对通信安全性越来越重视。目前，一般通过加密保护和完整性保护来保证通信安全性。

在目前正处于研究阶段的长期演进(LTE)网络中，尚未提供对非接入层(NAS)信令以及对分组数据会聚协议(PDCP)层的用户数据进行加密和完整性保护的具体方案，并且也没有提供对无线资源控制(RRC)信今进行加密保护的具体方案；这显然会降低LTE网络中的通信安全性，通信安全性的降低将导致用户满意度明显下降。

发明内容

有鉴于此，本发明的主要目的在于提供一种通信安全性保护方法和装置，使LTE网络中的PDCP层能对NAS信令和用户数据中的至少一种进行加密保护和/或完整性保护，以提高LTE网络中的通信安全性，提高用户满意度。

本发明的另一目的在于提供另一种通信安全性保护方法和装置，使LTE网络中的RRC层能对RRC信令进行加密保护，以提高LTE网络中的通信安全性，提高用户满意度。

为达到上述目的，本发明的技术方案是这样实现的：

本发明公开了一种通信安全性保护方法，该方法包括：

LTE网络中的PDCP层根据符合LTE网络协议格式的通信安全性保护计数值COUNT，对NAS信令和/或用户数据进行通信安全性保护。

所述通信安全性保护包括：加密保护和/或完整性保护。

进行所述加密保护时的COUNT是加密保护计数值COUNT-C，该加密保护的方法为：

发送端对COUNT-C、方向DIRECTION、承载BEARER、长度LENGTH和加密密钥CK用加密算法计算，生成密钥流数据块KEYSTREAM BLOCK；并对生成的KEYSTREAM BLOCK与要发送给接收端的原始文本块PLAINTEXT BLOCK进行异或计算，再将经过异或计算所得到的密码块CIPHERTEXT BLOCK向接收端发送。

该方法进一步包括：

接收端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算，生成KEYSTREAM BLOCK；之后，接收端对通过计算所生成的KEYSTREAM BLOCK与来自发送端的PLAINTEXT BLOCK进行异或计算，通过该异或计算恢复出发送端所发送的PLAINTEXT BLOCK。

进行所述完整性保护时的COUNT是完整性保护计数值COUNT-I，该完整性保护的方法为：

发送端对完整性保护密钥IK、COUNT-I、要发送给接收端的消息MESSAGE、DIRECTION和随机数FRESH用完整性算法计算，生成MAC-I，并将MAC-I向接收端发送。

该方法进一步包括：

接收端对IK、COUNT-I、MESSAGE、DIRECTION和FRESH用完整性算法计算，生成XMAC-I；之后，接收端用XMAC-I与来自发送端的MAC-I相比较，如果XMAC-I与MAC-I相同，接收端确定来自发送端的信息具有完整性；否则，接收端确定来自发送端的信息不具有完整性。

进行所述加密保护时作为COUNT的COUNT-C与进行所述完整性保护时作为COUNT的COUNT-I相同或不同；并且，所述COUNT-C/I是针对上下行各只有一个的一对COUNT-C/I。

所述COUNT-C/I中包含超帧和序列号。

进行所述加密保护和所述完整性保护时所应用的BEARER，是业务所对应的无线承载(RB)，或是缺省RB，或是通过信令协商确定的RB；

所述BEARER的值为：RB标识ID-1。

本发明还公开了一种通信安全性保护方法，该方法包括：

LTE网络中的RRC层根据符合LTE网络协议格式的COUNT，对RRC信令进行通信安全性保护。

所述通信安全性保护包括：加密保护和/或完整性保护。

进行所述加密保护时的COUNT是COUNT-C，该加密保护的方法为：

发送端对COUNT-C、DIRECTION、BEARER、LENGTH和CK用加密算法计算，生成KEYSTREAM BLOCK；并对生成的KEYSTREAM BLOCK与要发送给接收端的PLAINTEXT BLOCK进行异或计算，再将经过异或计算所得到的CIPHERTEXT BLOCK向接收端发送。

该方法进一步包括：