本发明专利技术涉及一种适用于LTE接入层的安全激活优化方法,其特点是:早于无线资源控制协议模块激活分组数据汇聚协议模块的安全保护机制之前,通过分组数据汇聚协议模块将所有接收到的下行消息及其对应的计数值,一起投递给无线资源控制协议模块进行处理。通过对应的解码获取完整性保护密钥,仅在验证成功后激活分组数据汇聚协议模块的安全保护功能,否则无线资源控制协议模块继续使用原有的安全配置。可有效避免在SMC消息完整性验证时,由于下行消息接收的时序影响而带来的安全验证不确定性隐患。令流程处理能更加快捷简便,减小消息处理的时延,可有效提升UE接入LTE网络的响应速度。
【技术实现步骤摘要】
本专利技术涉及一种LTE接入层数据传输安全优化方法,尤其涉及一种适用于LTE接入层的安全激活优化方法。
技术介绍
结合现有的通讯应用领域来看,依托于3GPP(ThirdGenerationPartnershipProject,第三代合作伙伴计划)建立的传输机制已日益成熟。该3GPP成立于1998年12月,多个电信标准组织伙伴签署了《第三代伙伴计划协议》。3GPP最初的工作范围是为第三代移动通信系统制定全球适用技术规范和技术报告。第三代移动通信系统基于的是发展的GSM核心网络和它们所支持的无线接入技术,主要是UMTS。随后3GPP的工作范围得到了改进,增加了对UTRA长期演进系统的研究和标准制定。目前欧洲ETSI、美国TIA、日本TTC、ARIB、韩国TTA以及我国CCSA作为3GPP的6个组织伙伴(OP)。目前独立成员有300多家,此外,3GPP还有TD-SCDMA产业联盟(TDIA)、TD-SCDMA论坛、CDMA发展组织(CDG)等13个市场伙伴(MRP)。同时,3GPP的组织结构中,最上面是项目协调组(PCG),由ETSI、TIA、TTC、ARIB、TTA和CCSA6个OP组成,对技术规范组(TSG)进行管理和协调。3GPP共分为4个TSG(之前为5个TSG,后CN和T合并为CT),分别为TSGGERAN(GSM/EDGE无线接入网)、TSGRAN(无线接入网)、TSGSA(业务与系统)、TSGCT(核心网与终端)。每一个TSG下面又分为多个工作组。如负责LTE标准化的TSGRAN分为RANWG1(无线物理层)、RANWG2(无线层2和层3)、RANWG3(无线网络架构和接口)、RANWG4(射频性能)和RANWG5(终端一致性测试)5个工作组。在实际的实施过程中,3GPP制定的标准规范以Release作为版本进行管理,平均一到两年就会完成一个版本的制定,从建立之初的R99,之后到R4,目前已经发展到R10。并且,3GPP对工作的管理和开展以项目的形式,最常见的形式是StudyItem和WorkItem。3GPP对标准文本采用分系列的方式进行管理,如常见的WCDMA和TD-SCDMA接入网部分标准在25系列中,核心网部分标准在22、23和24等系列中,LTE标准在36系列中等。进一步来看,目前广泛采纳的3GPP长期演进(LongTermEvolution,简称LTE)系统/系统构架演进(SystemArchitectureEvolution,简称SAE)的通信接入安全采用分层式安全架构机制。具体来说,其按照层次结构分为非接入层(NonAccessStratum,简称NAS)、安全机制和接入层(AccessStratum,简称AS)安全机制,其各自拥有自己独立的安全上下文。其中,NAS层的安全上下文由MME(MobilityManagementEntity,移动管理实体)负责初始化建立、配置和管理。而AS层安全上下文采用eNB(evolvedNodeB,演进节点)负责初始化建立、配置和管理。这些安全上下文包括密钥、安全算法标识符以及上下行序列计数值(COUNT值)。并且,NAS层和AS层各自独立的安全功能均由各自的安全模式命令(SecurityModeCommand,简称SMC)激活。具体来说,安全功能包括了完整性保护和机密性保护。其中,NAS层安全功能,是指对NAS信令的完整性保护和机密性保护。AS层安全功能,是指对控制面无线资源控制协议模块(RadioResourceControl,简称RRC)信令的完整性保护和机密性保护,以及用户面(UserPlane,简称UP)数据的机密性保护。在具体来看,完整性保护是将消息体作为入参生成一个4字节的MAC-I(MessageAuthenticationCodeforIntegrity,完整性消息鉴别码)值,通过对比消息中携带的MAC-I和根据消息本身计算出的XMAC-I来验证消息的完整性。与之对应的是,机密性保护是将消息进行加解密处理。结合常见安全算法实施来看,当用户设备(UserEquipment,简称UE)接入LTE网络后,UE会首先会发起Attach(附着)请求发起网络注册。同时,UE的安全能力参数随着Attach请求消息发到MME。之后,MME根据自身的网络安全配置选择相应的完整性算法和加解密算法。根据选中的安全算法和根密钥KASME在NASAKA(鉴权和密钥协商)过程中生成。并且,MME会生成NAS的安全密钥,通过NASSMC消息将选择的NAS安全算法通知给UE。与此同时,UE涉及的基于KASME以及NASSMC消息携带的,由MME选择的NAS层安全算法,来生成NAS层安全密钥。其包括完整性保护密钥和加解密密钥。并且,可以根据KASME以及上行NASCOUNT值计算出KeNB。UE基于KeNB以及ASSMC消息携带的、由eNB选择的AS层安全算法生成AS层安全密钥,包括控制面完整性保护密钥(KRRCint)和加解密密钥(KRRCenc)以及用户面加解密密钥(KUPenc)。在UE生成NAS层和AS层安全密钥后,会基于完整性保护密钥和算法分别对NASSMC消息和ASSMC消息进行完整性验证。如果验证通过,UE会返回SMC成功的消息。否则,UE返回NASSMC失败或ASSMC失败的消息给网络侧。结合图1现有的ASSMC过程的信令流程图来看,其包括了如下的步骤:步骤11中:通过eNB启动控制面消息完整性保护。步骤12中:通过eNB向UE发送ASSMC消息,该消息携带了eNB选择的AS安全算法等信息,并基于KeNB生成的AS完整性密钥和本消息中指示的完整性算法进行完整性保护。步骤13中:通过eNB发送ASSMC消息后,启动控制面和用户面下行消息的加密功能。步骤14中:通过UE收到ASSMC消息后,对其完整性进行验证。如果验证通过,进入步骤15,否者进入步骤19。步骤15中:若验证通过,则启动控制面消息完整性保护,以及控制面和用户面消息的下行消息解密。步骤16中:通过UE向eNB返回经过完整性保护的SecurityModeComplete消息。步骤17中:通过UE启动控制面以及用户面上行消息加密。步骤18中:通过eNB收到UE发送的SecurityModeComplete消息后,启动控制面和用户面上行消息解密。至此,ASSMC流程结束,AS安全功能被激活。步骤19中:ASSMC消息完整性验证失败,UE返回一条没有经过完整性保护的SecurityModeFailure消息给eNB,说明此次ASSMC过程失败。结合现有的ASSMC过程中,协议要求UE处理ASSMC消息的流程图来看,其主要包括以下步骤:步骤21为:ASSMC经由底层传到分组数据汇聚协议模块(下文简称为RRC),经RRCASN.1解码后,得知是ASSMC消息。步骤22为:RRC根据KASME以及上行NASCOUNT值计算出KeNB。步骤23为:根据KeNB以及ASSMC消息中指示的完整性保护算法,演算出完整性保护密钥KRRCint。步骤24为:将ASSMC消息中指示的完整性保护算法和KRRCint密钥,以及SecurityModeCommand本文档来自技高网...
【技术保护点】
适用于LTE接入层的安全激活优化方法,其特征在于包括以下步骤:步骤一,在无线资源控制协议模块激活分组数据汇聚协议模块的安全保护机制之前,通过分组数据汇聚协议模块将所有接收到的下行消息及其对应的计数值,一起投递给无线资源控制协议模块进行处理;步骤二,通过无线资源控制协议模块对收到的每条下行消息均进行解码,如果解码后的含义为安全模式命令消息,则进入步骤三,否则,流程结束;步骤三,按照无线资源控制协议模块要求计算出推演密钥,根据安全模式命令消息所指示的完整性保护算法与推演密钥相结合,计算出完整性保护密钥;步骤四,通过无线资源控制协议模块将完整性保护密钥与分组数据汇聚协议模块投递消息中所携带的计数值、安全模式命令消息指示的完整性保护算法、安全模式命令消息,直接传递给安全算法单元;步骤五,安全算法单元对安全模式命令消息进行完整性验证,验证完毕后,通过安全算法单元将完整性验证结果通知无线资源控制协议模块;步骤六,无线资源控制协议模块收到完整性验证结果后进行处理,若为验证成功,则激活分组数据汇聚协议模块的安全保护功能,否则无线资源控制协议模块继续使用原有的安全配置;步骤七,验证通过后,分组数据汇聚协议模块收到无线资源控制协议模块的安全激活指令,开启安全保护功能,分组数据汇聚协议模块投递给无线资源控制协议模块的下行消息中不再携带消息对应的计数值,分组数据汇聚协议模块按照协议要求,自行调用安全算法单元对消息进行安全保护处理。...
【技术特征摘要】
1.适用于LTE接入层的安全激活优化方法,其特征在于包括以下步骤:步骤一,在无线资源控制协议模块激活分组数据汇聚协议模块的安全保护机制之前,通过分组数据汇聚协议模块将所有接收到的下行消息及其对应的计数值,一起投递给无线资源控制协议模块进行处理;步骤二,通过无线资源控制协议模块对收到的每条下行消息均进行解码,如果解码后的含义为安全模式命令消息,则进入步骤三,否则,流程结束;步骤三,按照无线资源控制协议模块要求计算出推演密钥,根据安全模式命令消息所指示的完整性保护算法与推演密钥相结合,计算出完整性保护密钥;步骤四,通过无线资源控制协议模块将完整性保护密钥与分组数据汇聚协议模块投递消息中所携带的计数值、安全模式命令消息指示的完整性保护算法、安全模式命令消息,直接传递给安全算法单元;步骤五,安全算法单元对安全模式命令消息进行完整性验证,验证完毕后,通过安全算法单元将完整性验证结果通知无线资源控制协议模块;步骤六,无线资源控制协议模块收到完整性验证结果后进行处理,若为验证成功,则激活分组数据汇聚协议模块的安全保护功能,否则无线资源控制协议模块继续使用原有的安全配置;步骤七,验证通过后,分组数据汇聚协议模块收到无线资源控制协议模块的安全激活指令,开启安全保护功能,分组数据汇聚协议模块投递给无线资源控制协议模块的下行消息中不再携带消息对应的计数值,分组数据汇聚协议模块按照协议要求,自行调用安全算法单元对消息进行安全保护处理。2.根据权利要求1所述的适用于LTE接入层的安全激活优化方法,其特征在于:所述的步骤一中,对应的超帧号处...
【专利技术属性】
技术研发人员:徐浩,杨鹏,张建立,
申请(专利权)人:苏州简约纳电子有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。