一种数据传输保护方法、设备及系统技术方案

本申请公开了一种数据传输保护方法、设备及系统，涉及通信技术领域，可以在保证数据传输的安全性和完整性的同时，简化安全验证和完整性验证的过程。本申请公开的方案中，网络节点之间通过共享其支持的安全保护能力，以便于网络节点之间的安全保护能力的同步。基于此，在进行数据或信令传输时，便可以选择匹配的安全参数(如加密算法、完整性保护算法、安全密钥计算参数、密钥计算参数等)对数据进行安全保护，或者选择匹配的安全参数对数据进行解密和完整性验证，既避免了冗余参数的传输，又简化了解密和完整性验证过程，节省了解密和完整性验证算力。验证算力。验证算力。

【技术实现步骤摘要】
一种数据传输保护方法、设备及系统


[0001]本申请实施例涉及通信
，尤其涉及一种数据传输保护方法、设备及系统。

技术介绍

[0002]通信安全问题一直是移动通信领域备受关注的问题。为了保证数据在传输过程中的私密性和完整性，作为一种实现方式，发送端可以在对数据进行加密保护和完整性保护之后传输至接收端。其中，加密保护用于避免数据在传输过程中避免被窃听和被非法获取，完整性保护用于对数据进行完整性校验，以判断数据在传输过程中是否被篡改。接收端在对接收到的加密数据进行解密和完整性验证通过之后，便可以继续后续的通信流程。
[0003]但是，随着网络环境的愈加复杂化，以及通信技术、网络设备或终端设备的不断更新升级，在信息传输过程中的加密保护和完整性保护过程中，存在安全保护能力不同步、安全保护不全面导致的信息容易被篡改等较多问题。

技术实现思路

[0004]本申请提供一种数据传输保护方法、设备及系统，可以在保证数据传输的安全性和完整性的同时，简化安全验证和完整性验证的过程。
[0005]为达到上述目的，本申请实施例采用如下技术方案：
[0006]第一方面，提供一种数据传输保护方法，该方法包括：第一节点向第二节点发送用于表征第一节点支持的安全保护能力的信息；其中，用于表征第一节点支持的安全保护能力的信息用于第二节点对来自第一节点的数据进行完整性验证。
[0007]上述第一方面提供的方案，网络节点之间通过共享其支持的安全保护能力，以便于网络节点之间的安全保护能力的同步。基于此，在网络节点之间进行数据或信令传输时，例如第二节点作为用户设备(User Equipment，UE)的服务基站，向UE的锚点基站如第一节点请求 UE的无线资源控制(radio resource control，RRC)上下文时，便可以准确选择与第二节点支持的安全保护能力匹配的安全参数(如加密算法、完整性保护算法、安全密钥计算参数、密钥计算参数等)对数据进行安全保护。进一步的，第二节点可以直接根据与其支持的安全保护能力匹配的安全参数进行解密和完整性验证，既避免了冗余参数的传输，又简化了解密和完整性验证过程，节省了解密和完整性验证算力。
[0008]在一种可能的实现方式中，上述第一节点通过通信接口建立请求消息，向第二节点发送第一节点的安全参数；其中，第一节点的安全参数用于表征第一节点支持的安全保护能力的信息。本申请不限定网络节点之间共享支持的安全保护能力的具体方式，示例性的，第一节点可以在与第二节点初始建立通信接口时，向第二节点共享其支持的安全保护能力。
[0009]在一种可能的实现方式中，上述方法还包括：第一节点接收来自第二节点的，用于表征第二节点支持的安全保护能力的信息。为了保证网络节点之间安全保护能力的同步，第二节点也可以向第一节点共享其支持的安全保护能力。
[0010]在一种可能的实现方式中，上述通信接口建立请求消息是Xn接口建立请求消息(Xn SetupRequest消息)。本申请不限定通信接口的具体类型，视第一节点和第二节点的具体结构和功能而定，示例性的，通信接口如Xn接口。第一节点可以在与第二节点初始建立Xn接口时，向第二节点共享其支持的安全保护能力。
[0011]在一种可能的实现方式中，上述第一节点通过接收来自第二节点的Xn接口建立响应消息，获取用于表征第二节点支持的安全保护能力的信息。本申请不限定网络节点之间共享支持的安全保护能力的具体方式，例如第二节点可以通过通信接口建立响应消息(Xn SetupResponse消息)，向第一节点共享其支持的安全保护能力。另外，本申请也不限定通信接口的具体类型，视第一节点和第二节点的具体结构和功能而定，示例性的，通信接口如Xn接口。
[0012]在一种可能的实现方式中，上述第一节点通过配置更新消息，向第二节点发送第一节点的安全参数。本申请不限定网络节点之间共享支持的安全保护能力的具体方式，示例性的，第一节点可以通过配置更新消息向第二节点共享其支持的安全保护能力。
[0013]在一种可能的实现方式中，上述配置更新消息是下一代无线接入网节点配置更新消息 (NG
‑
RAN Node Configuration Update消息)；上述方法还包括：第一节点接收来自第二节点的下一代无线接入网节点配置更新确认消息(NG
‑
RAN Node Configuration UpdateAcknowledge消息)。本申请不限定具体配置更新消息，以第一节点和第二节点是下一代无线接入网(Next Generation Radio Access Network，NG
‑
RAN)设备为例，配置更新消息可以是NG
‑
RAN Node Configuration Update消息。
[0014]在一种可能的实现方式中，上述配置更新消息由第一节点在第一节点支持的安全保护能力有更新时发送给第二节点。本申请不限定第一节点向第二节点共享其支持的安全保护能力的具体时机，例如第一节点可以在其支持的安全保护能力有更新时向第二节点共享，以保证安全保护能力的实时更新。
[0015]在一种可能的实现方式中，上述方法还包括：第一节点在第一节点支持的安全保护能力有更新时，向第二节点发送用于表征第一节点最新支持的安全保护能力的信息。基于上述网络节点之间的安全保护能力的共享，为了保证安全保护能力的实时更新，网络节点还可以在其支持的安全保护能力有更新时向其他网络节点更新其最新支持的安全保护能力。
[0016]在一种可能的实现方式中，上述方法还包括：第一节点向第三节点发送用于表征第一节点支持的安全保护能力的信息和/或第二节点支持的安全保护能力的信息。作为一种实现方式，网络节点可以向其它网络节点共享其自身支持的安全保护能力和/或其他网络节点支持的安全保护能力，以便于网络节点之间的安全保护能力的同步。
[0017]在一种可能的实现方式中，上述方法还包括：第一节点发送广播消息；其中，广播消息中携带有用于表征第一节点支持的安全保护能力的信息和/或用于表征第二节点支持的安全保护能力的信息。网络节点通过广播其支持的安全保护能力和/或其他网络节点支持的安全保护能力，以保证UE侧实时更新网络节点的安全保护能力，从而在有数据/信息传输需求时，选择合适的安全算法对数据/信令进行安全保护。
[0018]在一种可能的实现方式中，上述第一节点的安全参数包括以下中的一个或多个：第一节点支持的加密算法、第一节点支持的完整性保护算法、第一节点支持的安全密钥计
算参数、第一节点支持的完整性密钥计算参数。为了保证数据传输的安全性和完整性，上述节点的安全参数可以包括用于进行安全保护的加密算法和安全密钥计算参数，以及用于完整性保护的完整性保护算法和完整性密钥计算参数。
[0019]在一种可能的实现方式中，上述第一节点的安全参数包括：第一索引标识，第一索引标识用于表征第一节点支持的完整性保护算法和完整性密钥计算参数。本申请本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据传输保护方法，其特征在于，所述方法包括：第一节点向第二节点发送用于表征所述第一节点支持的安全保护能力的信息；其中，用于表征所述第一节点支持的安全保护能力的信息用于所述第二节点对来自所述第一节点的数据进行完整性验证。2.根据权利要求1所述的方法，其特征在于，所述第一节点通过通信接口建立请求消息，向所述第二节点发送所述第一节点的安全参数；其中，所述第一节点的安全参数用于表征所述第一节点支持的安全保护能力的信息。3.根据权利要求2所述的方法，其特征在于，所述通信接口建立请求消息是Xn接口建立请求消息。4.根据权利要求1所述的方法，其特征在于，所述第一节点通过配置更新消息，向所述第二节点发送所述第一节点的安全参数；其中，所述第一节点的安全参数用于表征所述第一节点支持的安全保护能力的信息。5.根据权利要求4所述的方法，其特征在于，所述配置更新消息是下一代无线接入网节点配置更新消息；所述方法还包括：所述第一节点接收来自所述第二节点的下一代无线接入网节点配置更新确认消息。6.根据权利要求1
‑
5中任一项所述的方法，其特征在于，所述方法还包括：所述第一节点在所述第一节点支持的安全保护能力有更新时，向所述第二节点发送用于表征所述第一节点最新支持的安全保护能力的信息。7.根据权利要求1
‑
6中任一项所述的方法，其特征在于，所述方法还包括：所述第一节点发送广播消息；其中，所述广播消息中携带有用于表征所述第一节点支持的安全保护能力的信息和/或用于表征所述第二节点支持的安全保护能力的信息。8.根据权利要求1
‑
7中任一项所述的方法，其特征在于，所述第一节点的安全参数包括：第一索引标识，所述第一索引标识用于表征所述第一节点支持的完整性保护算法和完整性密钥计算参数。9.根据权利要求1
‑
8中任一项所述的方法，其特征在于，所述方法还包括：所述第一节点接收来自用户设备UE的无线资源控制恢复请求消息，所述无线资源控制恢复请求消息包括：非激活无线网络临时标识I
‑
RNTI、消息完整性鉴权码MAC
‑
I和请求原因；所述第一节点确定所述UE的锚点基站是所述第二节点；所述第一节点向所述第二节点发送恢复UE上下文请求消息，所述恢复UE上下文请求消息中携带有目标小区的小区标识、所述I
‑
RNTI、所述MAC
‑
I和所述请求原因。10.根据权利要求9所述的方法，其特征在于，所述无线资源控制恢复请求消息和所述恢复UE上下文请求消息中还携带有第二索引标识，所述第二索引标识用于表征所述UE对所述无线资源控制恢复请求消息进行安全保护时所使用的完整性保护算法和完整性密钥计算参数。11.根据权利要求10所述的方法，其特征在于，所述恢复UE上下文请求消息中包括消息体容器Container，所述Container中封装有以下信息中的一种或多种：I
‑
RNTI、MAC
‑
I、请求原因、小区标识、所述第二索引标识。
12.根据权利要求9
‑
11中任一项所述的方法，其特征在于，所述方法还包括：所述第一节点接收来自所述第二节点的恢复上下文失败消息，所述恢复上下文失败消息中携带有用于表征所述第二节点最新支持的安全保护能力的信息；所述第一节点向所述UE发送无线资源控制释放消息，所述无线资源控制释放消息中携带有用于表征所述第二节点最新支持的安全保护能力的信息，用于所述UE根据所述第二节点最新支持的安全保护能力的信息对所述无线资源控制恢复请求消息重新进行安全保护。13.一种第一节点，其特征在于，所述第一节点包括：通信单元，用于向第二节点发送用于表征所述第一节点支持的安全保护能力的信息；其中，用于表征所述第一节点支持的安全保护能力的信息用于所述第二节点对来自所述第一节点的数据进行完整性验证。14.根据权利要求13所述的第一节点，其特征在于，所述通信单元具体用于：向所述第二节点发送通信接口建立请求消息，所述通信接口建立请求消息包括所述第一节点的安全参数；其中，所述第一节点的安全参数用于表征所述第一节点支持的安全保护能力的信息。15.根据权利要求14所述的第一节点，其特征在于，所述通信接口建立请求消息是...

【专利技术属性】
技术研发人员：张戬，
申请(专利权)人：荣耀终端有限公司，
类型：发明
国别省市：