一种LTE系统中AS安全模式过程优化方法技术方案

本发明专利技术公开一种LTE系统中AS安全模式过程优化方法，该方法包括：基站的PDCP层在接收到基站的RRC层发送的安全模式命令消息对应的目标SDU后，在目标SDU的MAC‑I域中增加预设信息，得到第一目标SDU并发送到目标UE，以使目标UE反馈安全模式完成消息对应的第二目标SDU；基站的PDCP层在接收到目标UE发送的SDU后，基于该SDU的MAC‑I域信息，确定该SDU是否为第二目标SDU，实现AS安全模式过程优化。本发明专利技术基站的PDCP层基于SDU的MAC‑I域信息，来确定UE发送的SDU是否为安全模式完成消息对应的SDU，避免由于误识别导致消息丢弃和不能及时进行解密导致消息解码失败等问题引起的呼损。

A process optimization method for AS security mode in LTE system

The invention discloses an optimization method of AS security mode process in the LTE system, which includes: after the PDCP layer of the base station has the target SDU of the secure mode command message sent by the RRC layer received to the base station, the preset information is added in the MAC I domain of the target SDU, the first target SDU is obtained and the target UE is sent to the target UE feedback to make the target UE feedback. The security mode completes the second target SDU corresponding to the message; the PDCP layer of the base station, after receiving the SDU sent by the target UE, determines whether the SDU is a second target SDU based on the SDU MAC I domain information, and realizes the AS security mode process optimization. The PDCP layer of the base station of the present invention is based on the MAC I domain information of the SDU to determine whether the SDU sent by UE completes the message corresponding to the SDU in the security mode, and avoids the call loss caused by the misrecognition of the message discarding and the untimely decryption leading to the failure of the message decoding.

【技术实现步骤摘要】
一种LTE系统中AS安全模式过程优化方法
本专利技术涉及通信
，具体涉及一种LTE系统中AS安全模式过程优化方法。
技术介绍
针对LTE(LongTermEvolution，长期演进)系统安全的特点，AS(AccessStratum，接入层)需要进行安全模式命令激活和安全保护。在AS安全模式命令过程中，基站(eNodeB)和用户设备(UserEquipment，UE)两端协商AS算法以及计算AS完整性保护密钥和加密密钥，并启动完整性保护和加密。完整性保护可以确保接收端收到的消息内容没有被第三方篡改，加密保护可以使发送方发送的消息内容改变从而不能被除目标接收方之外的第三方获知消息要表达的真正内容。在LTE系统控制面协议栈中，UE和eNodeB之间的UU接口协议栈分为物理层(Layer1，L1)、介质访问控制(MediumAccessControl，MAC)层、无线链路控制(RadioLinkControl，RLC)层和分组数据汇聚协议(PacketDataConvergenceProtocol，PDCP)层、无线资源控制(RadioResourceControl，RRC)层。根据3GPPTS36.331和3GPPTS36.323协议要求，控制面的RRC消息需要进行ASN.1编解码，在RRC层执行，目前RRC层进行ASN.1编解码时一般采用外购的第三方软件或者独立的软件模块进行UU口、S1口(eNodeB与核心网CN之间的接口)以及X2口(eNodeB之间的接口)所有控制面消息的编解码。但RRC消息的完整性保护和加解密在PDCP层执行。AS安全模式过程由eNodeB发起，根据3GPPTS36.331协议安全激活章节的描述，图2示出了AS安全模式过程，包括如下步骤1～步骤3：步骤1：eNodeB的RRC层根据UE安全能力和自身支持的算法列表，按照优先级选择AS用的加密算法和完整性保护算法，组装安全模式命令(SecurityModeCommand)消息向UE发送，这条消息中包含eNodeB选择的AS加密算法和完整性保护算法。eNodeB的PDCP层对这条消息进行完整性保护，在消息的服务数据单元(ServiceDataUnit，SDU)末尾添加MAC-I(MessageauthenticationcodefordataIntegrity，用作数据完整性保护的消息鉴权码)域，并开始启动下行方向RRC消息的加密保护。步骤2：UE的RRC层收到SecurityModeCommand消息后解析该消息，根据eNodeB选择的加密算法和完整性保护算法计算出AS完整性保护密钥以及加密密钥，通知UE的PDCP层对这条消息进行完整性校验，校验通过后，PDCP层通知UE的RRC层校验成功并开启下行安全性。RRC层向eNodeB返回安全模式完成(SecurityModeComplete)消息，PDCP层对这条消息进行完整性保护，在消息的SDU末尾添加MAC-I域，并利用RRC通知的密钥和对应算法对随后的上下行RRC消息进行完整性保护以及加密保护。步骤3：eNodeB的RRC层收到SecurityModeComplete消息后通知PDCP层验证其完整性，如果验证成功，RRC层通知PDCP层开始对后续上行信令进行完整性保护和解密处理。3GPPTS36.323协议中描述：由于激活完整性保护的RRC层的两条SecurityModeCommand和SecurityModeComplete消息需要进行完整性保护，但在进行完整性保护前需要RRC层执行ASN.1解码分析出消息是否为SecurityModeCommand和SecurityModeComplete消息。即消息的解码在RRC层完成，但完整性校验在PDCP层完成，PDCP层不知道合适开始完整性校验，完全依赖RRC层通知，因此，AS安全模式过程的激活需要RRC层和PDCP层进行多次消息交互才能完成。LTE系统中的无线承载可以分为数据无线承载(DataRadioBearer，DRB)和信令无线载体(SignallingRadioBearer，SRB)，DRB通过eNodeB为其分配的物理下行共享信道(PhysicalDownlinkSharedChannel，PDSCH)来承载。LTE系统中有三类SRB：SRB0、SRB1和SRB2，具体说明如下：SRB0承载RRC消息，映射到公共控制信道(CommonControlChannel，CCCH)。SRB1承载RRC消息，也可承载NAS消息，映射到专用控制信道(DedicatedControlChannel，DCCH)。SRB2承载NAS消息，映射到DCCH信道。UE的RRC连接未建立时，由SRB0承载RRC信令；SRB2未建立时，由SRB1承载NAS信令。目前RRC层进行ASN.1编解码时一般采用外购的第三方软件或者独立的软件模块进行解码。如果将完整的ASN.1解码库移植到层2(Layer2，L2)协议栈模块，代码段增大且运行效率低。在eNodeB的实现中为了避免RRC层和PDCP层的多次交互和避免调用ASN.1解码库，认为SRB1下行发送SecurityModeCommand消息后，上行SRB1收到的第一条消息为SecurityModeComplete消息。但在现网运行过程中，多次出现场景1和场景2导致eNodeB误判。场景1：在UE进行跟踪区更新(TrackingAreaUpdate，TAU)过程时，在UE给核心网CN发送TAU_CMP消息时，eNodeB给UE发送SecurityModeCommand消息，在eNodeB收到TAU_CMP消息时，误认为TAU_CMP消息为SecurityModeComplete消息，但TAU_CMP消息的协议数据单元(ProtocolDataUnit，PDU)中未携带MAC-I而被PDCP层丢弃，导致TAU过程失败。即eNodeB的SecurityModeCommand消息和UE的TAU_CMP消息相互擦肩而过导致eNodeB误判。场景2：在UE接入到网络时，为减少接入时延，安全模式过程和SRB2以及DRB的建立过程基本是同时进行的，eNodeB先发送SecurityModeCommand消息启动安全模式过程，随后发送RRCConnectionReconfiguration消息进行建立SRB2和DRB。消息流程如下：在基站侧，PDCP层对SecurityModeCommand消息进行完整性保护，对RRCConnectionReconfiguration消息进行完整性保护和加密保护。在UE侧，PDCP层先收到SecurityModeCommand消息并递交给RRC层进行ASN.1解码时，PDCP层又收到RRCConnectionReconfiguration消息，但由于此时RRC层未通知PDCP层进行完整性保护和加解密参数，PDCP层将RRCConnectionReconfiguration消息未解密就递交给RRC层，导致RRC不能正确ASN.1解码丢弃该消息。导致掉话，影响关键性能指标(KeyPerformanceIndicators，KPI)和用户感知。通过上面的描述可知，eNodeB本文档来自技高网...

【技术保护点】
1.一种LTE系统中AS安全模式过程优化方法，其特征在于，包括：基站的分组数据汇聚协议PDCP层在接收到基站的无线资源控制RRC层发送的安全模式命令消息对应的目标服务数据单元SDU后，在所述目标SDU的MAC‑I域中增加预设信息，得到第一目标SDU；基站的PDCP层将所述第一目标SDU发送到目标用户设备UE，以使所述目标UE反馈安全模式完成消息对应的第二目标SDU；基站的PDCP层在接收到所述目标UE发送的SDU后，基于该SDU的MAC‑I域信息，确定该SDU是否为所述第二目标SDU，实现接入层AS安全模式过程优化。

【技术特征摘要】
1.一种LTE系统中AS安全模式过程优化方法，其特征在于，包括：基站的分组数据汇聚协议PDCP层在接收到基站的无线资源控制RRC层发送的安全模式命令消息对应的目标服务数据单元SDU后，在所述目标SDU的MAC-I域中增加预设信息，得到第一目标SDU；基站的PDCP层将所述第一目标SDU发送到目标用户设备UE，以使所述目标UE反馈安全模式完成消息对应的第二目标SDU；基站的PDCP层在接收到所述目标UE发送的SDU后，基于该SDU的MAC-I域信息，确定该SDU是否为所述第二目标SDU，实现接入层AS安全模式过程优化。2.根据权利要求1所述的方法，其特征在于，所述基于该SDU的MAC-I域信息，确定该SDU是否为所述第二目标SDU，包括：基站的PDCP层判断该SDU的MAC-I域信息是否空或零；若该SDU的MAC-I域信息既不为空也不为零，则基站的PDCP层判定该SDU为所述第二目标SDU。3.根据权利要求2所述的方法，其特征在于，所述基站的PDCP层判定该SDU为所述第二目标SDU后，还包括：基站的PDCP层提取所述第二目标SDU中携带的加密算法和完整性保护算法；基站的PDCP层基于所述完整性保护算法对所述第二目标SDU进行完整性校验，并在校验成功后，将所述第二目标SDU发送给基站的RRC层。4.根据权利要求3所述的方法，其特征在于，所述将所述第二目标SDU发送给基站的RRC层后，还包括：基站的PDCP层基于所述完整性保护算法对接收到的SDU进行完整性校验，并在校验成功后基于所述加密算法对该SDU进行解密；基站的PDCP层将解密后的SDU发送给基站的RRC层。5.根据权利要求3所述的方法，其特征在于，所述基站的PDCP层提取所述第二目标SDU中携带的加密算法和完整性保护算法，包括：基站的PDCP层基于所述第二目标SDU对应的比特序列中的bit13至bit15的值，确定完整性保护算法；并基于bit17至bit19的值，确定加密算法；其中，所述比特序列由bit0,bit1,…,bit19共20个比特构成。6.根据权利要求2所述的方法，其特征在于，若该SDU的MAC-I域信息为空或零，则基站的PDCP层将该SDU发送到基站的RRC层。7.一种LTE系统中AS安全模式过程优化方法，其特征在于，包括：UE在接收到目标基站发送的SDU后，所述UE的PDCP层基于该SDU的MAC-I域信息，确定该SDU是否为安全模式命令消息对应的第一目标SDU；若确定该SDU为所述第一目标SDU，则所述UE的PDCP层将所述第一目标SDU发送到所述UE的RRC层，以使所述UE的RRC层反馈安全模式完成消息对应的目标SDU后；所述UE的PDCP层在接收到所述UE的RRC层发送的目标SDU后，在所述目标SDU的MAC-I域中增加预设信息，得到第二目标SDU；所述UE的PDCP层将所述第二目标SDU发送到所述目标基站，实现接入层AS安全模式过程优化。8.根据权利要求7所述的方法，其特征在于，所述UE的PDCP层将所述第一目标SDU发送到所述UE的RRC层之前，还包括：所述UE的PDCP层提取所述第一目标SDU中携带的加密算法和完整性保护算法；所述UE的PDCP层基于所述完整性保护算法对所述第一目标SDU进行完整性校验；相应地，所述UE的PDCP层将所述第一目标SDU发送到所述UE的RRC层，包括：所述UE的PDCP层在对所述第一目标SDU校验成功后，将所述第一目标SDU发送给所述UE的RRC层。9.根据权利要求8所述的方法，其特征在于，所述将所述第一目标SDU发送给所述UE的RRC层后，还包括：所述UE的PDCP层基于所述完整性保护算法对接收到的SDU进行完整性校验，并在校验成功后基于所述加密算法对该SDU进行解密；所述UE的PDCP层将解密后的SDU发送给基站的RRC层。10.根据权利要求7所述方法，其特征在于，若确定该SDU不为所述第一目标SDU，则所述UE的PDCP层将所述第一目标SDU发送到所述UE...

【专利技术属性】
技术研发人员：程岳，
申请(专利权)人：大唐移动通信设备有限公司，
类型：发明
国别省市：北京,11