一种安全激活消息并发方法技术

本发明专利技术公开了一种安全激活消息并发方法，方法包括：RRC在SRB安全激活请求消息中携带所有安全参数，以激活基站侧PDCP安全功能；RRC并行发送空口安全激活消息和后续下行SRB消息到UE；PDCP根据RRC发送的下行SRB消息顺序，对下行SRB消息执行安全处理；PDCP根据所接收上行SRB消息的COUNT值和其携带的MAC

【技术实现步骤摘要】
一种安全激活消息并发方法


[0001]本专利技术涉及无线通信领域，尤其涉及一种安全激活消息并发方法。

技术介绍

[0002]在无线接入网中，安全功能可分为非接入层安全和接入层安全。非接入层安全保障了核心网和用户设备（User Equipment，UE）之间的数据通信安全；接入层安全保障了基站和用户设备之间的数据通信安全。而接入层安全功能由控制面无线资源控制协议（Radio Resource Control，RRC）和分组数据汇聚协议（Packet Data Convergence Protocol，PDCP）共同完成。RRC负责决策安全算法和安全秘钥，以及安全激活时机；PDCP负责安全处理功能，即加/解密、完整性保护与验证。
[0003]接入层安全激活基本流程如图2所示，步骤1~2，RRC决策安全算法和安全秘钥，并将安全配置通知PDCP。步骤3~4，RRC组装接入层空口安全激活消息（Security Mode Command），激活接入层安全功能；PDCP根据RRC的安全指示对空口安全激活消息仅进行完整性保护，在空口安全激活消息末尾添加完整性消息鉴权码（Message Authentication Code for Integrity，MAC
‑
I），并发送到UE。UE侧对空口安全激活消息校验成功后，响应安全激活完成消息（Security Mode Complete），此消息仅进行完整性保护。步骤5~6，基站通过RRC重配置（RRC Reconfiguration）消息完成后续接入流程。值得注意的是，消息5和消息6需进行加/解密、完整性保护与验证。然而，在实际执行过程中，接入层空口安全激活功能存在以下不足。
[0004]1、由协议可知，基站侧PDCP对Security Mode Complete消息和RRC重配置完成（RRCReconfiguration Complete）消息需采用不同的安全处理策略。但是，PDCP无法识别所接收消息的类型，只有RRC通过ASN.1解码后可知。故要么将上行无线承载（Signalling Radio Bearer，SRB）消息先递交RRC解码后，由RRC通知PDCP消息应执行的安全处理；要么先在步骤1~2中RRC仅配置完整性安全功能，当RRC收到Security Mode Complete消息后，再配置加密安全功能。然而，无论采用何种方案，都需在RRC和PDCP之间进行多次消息交互，延长UE接入时延。
[0005]2、为了缩短UE接入时延，通常将Security Mode Command消息和RRC Reconfiguration消息在空口进行并发传输。UE分别响应Security ModeComplete消息和RRC Reconfiguration Complete消息。但是，空口信道质量容易受到外界干扰，导致先发送的消息可能因外界干扰，而采用混合自动请求重传和/或自动请求重传后，晚一步到达PDCP；然而，协议规定PDCP上行处理流程是先进行安全处理后，再进行重排序。因此，若PDCP遵循协议直接处理上行SRB消息，而不采用一定的安全处理策略，将错误地处理接收到的上行SRB消息，增加UE接入失败的概率。
[0006]3、若根据ASN.1编码格式读取消息中特殊的消息类型比特位，以判断接收的上行SRB消息类型，再进行相应的处理。然而，RRC Reconfiguration Complete消息通过加密后，形成的消息码流中消息类型比特位可能与Security Mode Complete消息码流中消息类型
比特位一致，从而引发因错误的消息识别而导致PDCP安全处理异常，降低UE接入的成功率。

技术实现思路

[0007]本专利技术的目的在于克服现有技术的不足，提供一种安全激活消息并发方法，保证基站侧空口安全激活消息与后续消息能够正常并发传输，缩短UE接入时延。
[0008]本专利技术的目的是通过以下技术方案来实现的：一种安全激活消息并发方法，主要包括以下处理流程：无线承载SRB安全激活：无线资源控制协议RRC在SRB安全激活请求消息中携带所有安全参数，并将该SRB安全激活请求消息发送至分组数据汇聚协议PDCP激活基站侧安全功能；消息并发：RRC并行发送空口安全激活消息和后续下行SRB消息到UE；下行安全处理：PDCP根据RRC发送的下行SRB消息顺序，对下行SRB消息执行完整性保护和加密处理；上行安全处理：PDCP根据所接收上行SRB消息的COUNT值和其携带的消息鉴权码MAC
‑
I值，对上行SRB消息执行上行完整性验证和解密。
[0009]具体地，SRB安全激活过程具体包括：RRC在SRB安全激活请求消息中携带所有安全参数，发送该SRB安全激活请求消息到PDCP激活基站侧安全功能；PDCP接收到SRB安全激活请求消息后，保存所有安全参数，并保存上行SRB待递交信令的COUNT值为INT_COUNT；所有安全参数加密参数、解密参数和完整性保护与验证参数。
[0010]具体地，所述消息并发处理过程具体为：RRC发送空口安全激活消息到UE后，立即发送后续下行SRB消息到UE，而不必等待UE回复安全激活响应消息后，再发送后续下行SRB消息。
[0011]进一步地，激活基站侧安全功能后还包括：PDCP根据SRB消息的顺序和SRB消息携带的MAC
‑
I值设定上行安全功能和下行安全功能的生效时机，根据不同的SRB消息分别进行下行安全处理和上行完全处理。
[0012]具体地，所述下行安全处理过程具体为：下行方向上，PDCP接收RRC发送的下行SRB消息，分配下行COUNT值，并对RRC发送的下行SRB消息顺序进行识别判断，若该下行SRB消息为SRB安全激活后的第一条SRB消息，则仅激活下行完整性保护功能，并对此下行SRB消息进行完整性保护；若该下行SRB消息不是第一条SRB消息，且RRC已发送过第一条SRB消息，则激活下行加密功能，利用LTE国际加密算法对此下行SRB消息及后续下行SRB消息进行完整性保护和加密处理。
[0013]具体地，所述上行安全处理过程具体为：上行方向上，PDCP接收上行SRB消息，根据其携带的序号计算上行COUNT值，并判断接收上行SRB消息的上行COUNT值是否等于INT_COUNT；若所接收的上行SRB消息的上行COUNT值不大于INT_COUNT，则激活上行完整性验证功能，并对此上行SRB消息进行上行完整性验证；若接收的上行SRB消息的上行COUNT值大于INT_COUNT，则激活上行完整性验证功能和解密功能，并对此上行SRB消息以及后续上行COUNT值大于INT_COUNT的上行SRB消息进行上行完整性验证和解密。
[0014]具体地，所述上行完整性验证过程中，若完整性验证算法不为空，且上行SRB消息携带的MAC
‑
I值不为0时，则进行完整性验证；否则，直接进入PCDP后续处理流程。
[0015]进一步地，方法还包括在上行安全处理完本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全激活消息并发方法，其特征在于，包括：无线承载SRB安全激活：无线资源控制协议RRC在SRB安全激活请求消息中携带所有安全处理参数，并将该SRB安全激活请求消息发送至分组数据汇聚协议PDCP激活基站侧安全功能；消息并发：RRC并行发送空口安全激活消息和后续下行SRB消息到用户设备UE；下行安全处理：PDCP根据RRC发送的下行SRB消息顺序，对下行SRB消息执行完整性保护和加密处理；上行安全处理：PDCP根据所接收上行SRB消息的COUNT值和其携带的消息鉴权码MAC
‑
I值，对上行SRB消息执行上行完整性验证和解密。2.根据权利要求1所述的一种安全激活消息并发方法，其特征在于，所述SRB安全激活过程具体包括：RRC在SRB安全激活请求消息中携带所有安全参数，发送该SRB安全激活请求消息到PDCP激活基站侧安全功能；PDCP接收到SRB安全激活请求消息后，保存所有安全参数，并保存上行SRB待递交信令的COUNT值为INT_COUNT；所有安全参数包括加密参数、解密参数和完整性保护与验证参数。3.根据权利要求1所述的一种安全激活消息并发方法，其特征在于，所述消息并发处理过程具体为：RRC发送空口安全激活消息到UE后，立即发送后续下行SRB消息到UE，而不必等待UE回复安全激活响应消息后，再发送后续下行SRB消息。4.根据权利要求2所述的一种安全激活消息并发方法，其特征在于，所述激活基站侧安全功能后还包括：PDCP根据SRB消息的顺序和SRB消息携带的MAC
‑
I值设定上行安全功能和下行安全功能的生效时机，从而对不同的SRB消息执行不同的安全处理策略。5.根据权利要求1所述的一种安全激活消息并发...

【专利技术属性】
技术研发人员：吕磊，
申请(专利权)人：四川创智联恒科技有限公司，
类型：发明
国别省市：