[发明专利]一种蜂窝移动通信网分组数据网保护方法

说明书

本发明提供一种蜂窝移动通信网分组数据网保护方法，在蜂窝移动通信网与分组数据网之间确定分界线；在蜂窝移动通信网中的专用终端内部确定安全边界；获取分组数据网汇聚协议数据包的计数值和增强计数值，所述增强计数值逻辑上是所述计数值的高位，在所述计数值达到预定门限值之后，所述增强计数值增加预定数值；根据所述计数值、所述增强计数值和安全保护密钥，对所述上传递的分组数据网汇聚协议数据包进行安全处理，与网络层安全协议相比，本发明所用的数据链层安全协议具有协议简单、实现方便、运算及协议开销小的技术优势，特别是在信息安全领域，更适合满足高保证安全要求。

技术领域

本发明是一种蜂窝移动通信网分组数据网保护方法，属于移动通讯领域。

背景技术

现有技术中，随着蜂窝移动通信网由以语音为中心的网络向以数据为中心的网络过渡，蜂窝移动通信网构成计算机网络的物理层和数据链路层，蜂窝移动通信网不再直接向用户提供具体的服务。

用户数据在移动通信网的核心网仍然采用明文传送，蜂窝移动通信网的终端鉴别和密码保护强度都不能满足高安全级别用户的要求。特别是蜂窝移动通信网的设备都没有经过高级别的安全保证评估，这些设备的安全功能是否正确实现并没有充分可靠的证据进行证明。因此，对于高安全级别的专用的计算机网络，无论依靠计算机网络层的安全协议还是依靠移动通信网络的安全措施都不能满足用户的安全要求。

发明内容

针对现有技术存在的不足，本发明目的是提供一种蜂窝移动通信网分组数据网保护方法，以解决上述背景技术中提出的问题。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种蜂窝移动通信网分组数据网保护方法，包括如下步骤：

S1：在蜂窝移动通信网与分组数据网之间确定分界线；

S2：在蜂窝移动通信网中的专用终端内部确定安全边界；获取分组数据网汇聚协议数据包的计数值和增强计数值，所述增强计数值逻辑上是所述计数值的高位，在所述计数值达到预定门限值之后，所述增强计数值增加预定数值；根据所述计数值、所述增强计数值和安全保护密钥，对所述上传递的分组数据网汇聚协议数据包进行安全处理；

S3：向专用终端及边界保护网关提供安全密码服务功能；

S4：根据所述安全密码服务功能，通过所述边界保护网关完成蜂窝移动通信网分组数据网的边界保护。

进一步地，所述蜂窝移动通信网与分组数据网之间连接有流量统计模块，流量统计模块与所述蜂窝移动通信网相连，用于统计蜂窝移动通信网与分组数据网之间的流量。

进一步地，所述安全密码服务功能通过数据汇聚协议数据包中携带的承载标识、方向和消息生成并发送给接收端设备，所述安全密码服务功能包括第一空口密钥与第二空口密钥，第一空口密钥对应的分组数据网汇聚协议数据包的计数值达到预定门限值时，向中继节点发送安全模式命令或无线资源控制重配置命令，以触发基站和所述中继节点使用第二空口密钥；利用所述第二空口密钥对所述基站与所述中继节点之间上传递的分组数据网汇聚协议数据包进行安全保护。

进一步地，所述边界保护网关通过密钥生成子模块，用于根据所述计数值、所述增强计数值、安全保护密钥、所述分组数据汇聚协议数据包中携带的承载标识、方向和长度，生成加密密钥流或解密密钥流；加解密处理子模块，用于利用所述加密密钥流，对上传递的分组数据汇聚协议数据包进行加密处理；或者，利用所述解密密钥流，对所述上传递的分组数据汇聚协议数据包进行解密处理。

进一步地，所述安全保护密钥用于根据所述计数值、所述增强计数值、安全保护密钥、所述分组数据汇聚协议数据包中携带的承载标识、方向和消息，生成完整性保护消息认证码。