[发明专利]一种Un接口上的数据保护方法与装置

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种Un接口上的数据保护方法与装置。

背景技术

现有的LTE系统中，只有eNB和UE之间的一段空口，该空口上有两类数据，一类是承载在SRB(signaling radio bearer，信令承载)上传输的RRC信令的控制面数据；一类是承载在DRB(data radio bearer，数据承载)上传输的用户面数据。对RRC控制面数据既进行完整性保护，又进行加密保护；对用户面数据只进行加密保护。在进行加密算法选择时，只能为控制面和用户面数据选择相同的加密算法。

现有的LTE系统的算法协商过程如图1所示，在LTE的AS(Access Stratum，接入层)算法协商过程中，网络侧的eNB会根据UE安全能力以及网络侧的算法优先级列表，选择一个完整性保护算法，一个加密算法，并将选择的算法通知给UE，MAC-I为完整性消息认证码。

在LTE-A系统中引入了新的接入网节点RN(Relay Node，中继节点)，RN有双重角色：UE(用户设备)角色和eNB(演进的NodeB)角色。RN会按照传统的UE入网方式入网，然后和DeNB(Donor eNB，锚点eNB)建立S1/X2接口，转换成eNB角色。

图2为引入RN以后的E-UTRAN(Evolved UMTS Territorial Radio Access Network，演进的UMTS陆地无线接入网)架构示意图。RN的引入，将原来UE与eNB之间的一段空口划分为两段空口：RN与UE之间的空口还是Uu口，RN与DeNB之间的空口是Un口。在Un口上传输的数据都映射到下面两类RB上传输：

1、SRB：承载RN与DeNB间的RRC信令；

2、DRB：承载S1/X2-AP信令和S1/X2-UP数据。

由于Un口上传输的数据除了传统的RRC控制信令以及业务数据以外，还存在一类S1/X2控制面信令，并且这类数据是承载在DRB上传输的，而且Un口上对用户面数据可能也需要进行完整性保护，这就引入了新的安全需求。传统的LTE安全机制可能无法满足这类数据的安全需求。另外，RN系统引入了按照RB粒度保护的需求，传统的安全机制是无法做到这么细粒度的安全保护的。

发明内容

本发明实施例提供一种Un接口上的数据保护方法与系统，以解决由于RN节点引入所产生的新的安全需求。

一方面，本发明实施例提供一种Un接口上的数据保护方法，所述方法包括：为Un接口上信令无线承载SRB中承载的信令数据、数据无线承载DRBs中承载的信令数据，以及数据无线承载DRBd中承载的业务数据，协商对应的完整性保护算法和加密算法；采用协商的完整性保护算法和加密算法对所述SRB中承载的信令数据、DRBs中承载的信令数据以及DRBd中承载的业务数据进行安全保护。

另一方面，本发明实施例还提供一种Un接口上的数据保护装置，所述装置包括：协商单元，为Un接口上的信令无线承载SRB上的信令数据、数据无线承载DRB中承载信令数据的DRBs上的信令数据，以及承载业务数据的DRBd上的业务数据，选择对应的完整性保护算法和加密算法；保护单元，采用所述锚点eNB选择的完整性保护算法和加密算法对所述SRB中承载的信令数据、DRBs中承载的信令数据以及DRBd中承载的业务数据进行安全保护。

本发明的有益效果在于，本发明实施例的方法与系统对Un接口上三类RB所承载的数据采用对应的完整性保护算法和加密算法进行保护，使Un接口上的数据安全保护更加全面，能够满足不同RB所承载的数据对安全保护的需求。

附图说明

图1为现有技术的LTE系统的算法协商过程示意图；

图2为现有技术中引入RN以后的E-UTRAN架构示意图；

图3为本发明实施例方法的整体流程图；

图4为本发明实施例预先保存的算法列表示意图；

图5为本发明实施例采用AS SMC进行算法协商的示意图之一；

图6为本发明实施例采用AS SMC进行算法协商的示意图之二；

图7为本发明实施例采用AS SMC进行算法协商的示意图之三；

图8为本发明实施例采用AS SMC进行算法协商的示意图之四；

图9为本发明实施例系统的连接关系示意图；

图10为本发明实施例锚点eNB10的功能框图之一；

图11为本发明实施例锚点eNB10的功能框图之二；