数据完整性保护方法和装置制造方法及图纸

本申请提供一种数据完整性保护方法和装置，终端设备获取会话对应的完整性保护算法和密钥以及会话对应的DRB，使用会话对应的完整性保护算法和密钥对会话对应的DRB的数据进行完整性保护，或者，终端设备获取流对应的完整性保护算法和密钥以及流对应的DRB，使用流对应的完整性保护算法和密钥对流对应的DRB的数据进行完整性保护，一个会话包括多个流，不同会话可以使用不同的完整性保护算法和密钥，不同流也可以使用不同的完整性保护算法和密钥，从而使得完整性保护更加灵活，满足同一用户不同业务的安全需求。

Data integrity protection methods and devices

【技术实现步骤摘要】
【国外来华专利技术】数据完整性保护方法和装置本申请要求于2017年8月11日提交中国专利局、申请号为201710686855.8、申请名称为“数据完整性保护方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。
本申请涉及通信技术，尤其涉及一种数据完整性保护方法和装置。
技术介绍
随着通信技术的快速发展，移动通信系统的信息安全问题受到越来越多的关注，以长期演进(Long Term Evolution，LTE)系统为例，LTE系统中的完整性保护功能(Integrity Protection)的目的是防止用户数据被篡改，一旦接收端发现完整性校验失败，可以触发加解密密钥(Key)的更新过程，使用新密钥对用户数据进行保护。完整性保护功能包含完整性保护以及完整性校验，LTE的完整性保护功能位于分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层，发送端在加密之前对PDCP协议数据单元(Protocol Data Unit，PDU)的头部(header)以及数据部分进行完整性保护。具体的，发送端使用上层协议层配置的完整性保护算法，以密钥、COUNT值、无线承载标识、DIRECTION、消息本身以及消息的长度等中的至少一个参数作为输入参数，计算一个32bit的消息验证码(Message Authentication Code for Integrity，MAC-I)，放入PDCP PDU的MAC-I域。接收端在收到消息后，以同样的方法计算该消息所期望的验证码XMAC-I，并通过比较XMAC-I和MAC-I进行完整性校验。如果MAC-I与XMAC-I相等，则接收端确定完整性校验成功，否则确定完整性校验失败。但是，LTE系统中完整性保护功能的粒度是终端设备级别的，即终端设备对于所有数据使用相同的完整性保护参数，使得完整性保护不灵活。
技术实现思路
本申请提供一种数据完整性保护方法和装置，可以进行会话粒度或者流粒度的完整性保护，从而使得完整性保护更加灵活，满足同一用户不同业务的安全需求。本申请第一方面提供一种数据完整性保护方法，包括：终端设备获取会话对应的完整性保护算法和密钥以及所述会话对应的DRB，使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。不同会话可以使用不同的完整性保护算法和密钥，从而使得完整性保护更加灵活，满足同一用户不同业务的安全需求。可选的，所述终端设备获取会话对应的完整性保护算法和密钥，以及所述会话对应的DRB，具体为：所述终端设备发送第一消息，所述第一消息用于请求建立所述会话；所述终端设备接收第二消息，所述第二消息包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。可选的，所述第二消息包括SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识；或者，所述第二消息包括PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。本申请第二方面提供一种数据完整性保护方法，包括：终端设备获取流对应的完整性保护算法和密钥、以及所述流对应的DRB，使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。不同流也可以使用不同的完整性保护算法和密钥，从而使得完整性保护更加灵活，满足同一用户不同业务的安全需求。可选的，所述终端设备获取流对应的完整性保护算法和密钥、以及所述流对应的无线数据承载DRB，具体为：所述终端设备发送第一消息，所述第一消息用于请求建立会话，所述会话与所述流对应；所述终端设备接收第二消息，所述第二消息包括：所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。可选的，所述第二消息包括SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥；或者，所述第二消息包括PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。可选的，在本申请第一方面和第二方面中，所述方法还包括：所述终端设备获取以下信息中的至少一个：完整性保护位置的指示、完整性保护协议层位置指示、完整性保护位置的使能指示和完整性保护对象的指示；其中，所述完整性保护位置的指示用于指示进行完整性保护的网元；所述完整性保护协议层位置指示用于指示进行完整性保护的协议层；所述完整性保护位置的使能指示用于指示是否开启完整性保护的功能；所述完整性保护对象的指示用于指示完整性保护的对象为用户面数据，或者，用户面数据和控制面信令。可选的，在本申请第一方面和第二方面中，所述DRB的数据为：所述DRB的SDAP层的数据包；或者，所述DRB的PDCP层的数据包。当所述DRB的数据为所述DRB的SDAP层的数据包时，还包括：所述终端设备在所述DRB的SDAP层的数据包中标记所述流的标识。本申请第三方面提供一种数据完整性保护方法，包括：接入网设备接收终端设备发送的第一消息，所述第一消息用于请求建立会话；所述接入网设备向核心网设备发送第三消息，所述第三消息包括所述第一消息；所述接入网设备接收所述核心网设备发送的第四消息，所述第四消息中包括所述会话对应的完整性保护算法和密钥以及所述会话对应的DRB；所述接入网设备保存所述会话对应的完整性保护算法和密钥以及所述会话对应的DRB；所述接入网设备向所述终端设备发送第二消息，所述第二消息包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。可选的，所述第二消息包括SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识；或者，所述第二消息包括PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。本申请第四方面提供一种数据完整性保护方法，包括：接入网设备接收终端设备发送的第一消息，所述第一消息用于请求建立会话；所述接入网设备向核心网设备发送所述第三消息，所述第三消息包括所述第一消息；所述接入网设备接收所述核心网设备发送的第四消息，所述第四消息中包括流对应的完整性保护算法和密钥以及所述流对应的无线数据承载DRB，所述会话与所述流对应；所述接入网设备保存所述流对应的完整性保护算法和密钥以及所述流对应的DRB；所述接入网设备向所述终端设备发送第二消息，所述第二消息包括：所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。可选的，所述第二消息包括SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性本文档来自技高网...

【技术保护点】
一种数据完整性保护方法，其特征在于，包括：/n终端设备获取会话对应的完整性保护算法和密钥以及所述会话对应的无线数据承载DRB；/n所述终端设备使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。/n

【技术特征摘要】
【国外来华专利技术】20170811 CN 2017106868558一种数据完整性保护方法，其特征在于，包括：
终端设备获取会话对应的完整性保护算法和密钥以及所述会话对应的无线数据承载DRB；
所述终端设备使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。


一种数据完整性保护方法，其特征在于，包括：
终端设备获取流对应的完整性保护算法和密钥、以及所述流对应的无线数据承载DRB；
所述终端设备使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。


根据权利要求1或2所述的方法，其特征在于，还包括：
所述终端设备获取以下信息中的至少一个：
完整性保护位置的指示、完整性保护协议层位置指示、完整性保护位置的使能指示和完整性保护对象的指示；
其中，
所述完整性保护位置的指示用于指示进行完整性保护的网元；
所述完整性保护协议层位置指示用于指示进行完整性保护的协议层；
所述完整性保护位置的使能指示用于指示是否开启完整性保护的功能；
所述完整性保护对象的指示用于指示完整性保护的对象为用户面数据，或者，用户面数据和控制面信令。


根据权利要求1所述的方法，其特征在于，所述终端设备获取会话对应的完整性保护算法和密钥，以及所述会话对应的DRB，包括：
所述终端设备发送第一消息，所述第一消息用于请求建立所述会话；
所述终端设备接收第二消息，所述第二消息包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。


根据权利要求2所述的方法，其特征在于，所述终端设备获取流对应的完整性保护算法和密钥、以及所述流对应的DRB，包括：
所述终端设备发送第一消息，所述第一消息用于请求建立会话，所述会话与所述流对应；
所述终端设备接收第二消息，所述第二消息包括：所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。


根据权利要求4所述的方法，其特征在于，
所述第二消息包括业务数据聚合SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识；或者，
所述第二消息包括分组数据汇聚协议PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。


根据权利要求5所述的方法，其特征在于，
所述第二消息包括业务数据聚合SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥；或者，
所述第二消息包括分组数据汇聚协议PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。


一种通信装置，其特征在于，包括：
获取模块，用于获取会话对应的完整性保护算法和密钥以及所述会话对应的无线数据承载DRB；
完整性保护模块，用于使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。


一种通信装置，其特征在于，包括：
获取模块，用于获取流对应的完整性保护算法和密钥、以及所述流对应的无线数据承载DRB；
完整性保护模块，用于使用所述完整性保护算法和密钥对所述DRB的数据进行完整性保护。


根据权利要求8或9所述的装置，其特征在于，所述获取模块还用于：
获取以下信息中的至少一个：
完整性保护位置的指示、完整性保护协议层位置指示、完整性保护位置的使能指示和完整性保护对象的指示；
其中，
所述完整性保护位置的指示用于指示进行完整性保护的网元；
所述完整性保护协议层位置指示用于指示进行完整性保护的协议层；
所述完整性保护位置的使能指示用于指示是否开启完整性保护的功能；
所述完整性保护对象的指示用于指示完整性保护的对象为用户面数据，或者，用户面数据和控制面信令。


根据权利要求8所述的装置，其特征在于，所述获取模块，具体用于：
发送第一消息，所述第一消息用于请求建立所述会话；
接收第二消息，所述第二消息包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。


根据权利要求9所述的装置，其特征在于，所述获取模块，具体用于：
发送第一消息，所述第一消息用于请求建立会话，所述会话与所述流对应；
接收第二消息，所述第二消息包括：所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。


根据权利要求11所述的装置，其特征在于，
所述第二消息包括业务数据聚合SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识；或者，
所述第二消息包括分组数据汇聚协议PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述会话对应的完整性保护算法和密钥，以及所述会话对应的DRB的标识。


根据权利要求12所述的装置，其特征在于，
所述第二消息包括业务数据聚合SDAP层的配置，所述SDAP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥；或者，
所述第二消息包括分组数据汇聚协议PDCP层的配置，所述PDCP层的配置包括所述会话的标识，所述流的标识，所述流对应的DRB的标识，以及所述流对应的完整性保护算法和密钥。


一种通信装置，其特征在于，包括处理器，与存储器相连，用于读取并执行所述存储器中存储的程序，以实现如权利要求1-8任一项所述的方法。


一种终端设备，其特征在于，包括如权利要求9-15任一项所述的装置。


一种算机可读存储介质，其特征在于，包括程序，所述程序被处理器调用时用于执行如权利要求1-8任一项所述的方法。


一种数据完整性保护方法，其特征在于，包括：
终端设备向接入网设备发送第一消息，所述第一消息用于请求建立会话；
所述终端设备从所述接入网设备接收第二消息，所述第二消息包括所述会话的标识，所述会话对应的无线数据承载DRB的标识，完整性保护算法和密钥；
所述终端设备使用所述完整性保护算法和所述密钥对所述DRB的数据进行完整性保护。


根据权利要求18所述的方法，其特征在于，所述第二消息还包括：
第一指示，所述第一指示用于指示是否开启完整性保护的功能。


根据权利要求19所述的方法，其特征在于，所述第二消息包括...

【专利技术属性】
技术研发人员：娄崇，黄曲芳，刘星，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44