CN110999347B 数据完整性保护方法和装置 （华为技术有限公司）

2020.02.10PCT/CN2018/09991620WO2019/029691ZH2019.02.14本申请提供一种数据完整性保护方法和装密钥以及会话对应的DRB，使用会话对应的完整性保护算法和密钥对会话对应的DRB的数据进行性保护算法和密钥以及流对应的DRB，使用流对应的完整性保护算法和密钥对流对应的DRB的数2使用所述完整性保护算法和所述密钥对所述一个或多个DRB第一指示，所述第一指示用于指示开启完整性保护的功能2.根据权利要求1所述的方法，其特征在于，所述第二消息包括分组数据汇聚层协议密钥相同，所述完整性保护算法和所述密钥用于对所述一个或多个DRB的数据进行完整性34[0003]随着通信技术的快速发展，移动通信系统的信息安全问以长期演进(LongTermEvolution，LTE)系统为例，LTE系统中的完整性保护功能(IntegrityProtection)的目的是防止用户数据被篡改，一旦接收端发现完整性校验失[0004]完整性保护功能包含完整性保护以及完整性校验，LTE的完整性保护功能位于分组数据汇聚协议(PacketDataConvergenceProtocol，PDCP)层，发送端在加密之前对PDCP协议数据单元(ProtocolDataUnit，PDU)的头部(header)以及数据部分进行完整性32bit的消息验证码(MessageAuthenticationCodeforIntegrity，MAC-I)，放入PDCP完整性保护算法和密钥以及所述会话对应的DRB，使用所述完整性保护算法和密钥对所述5DRB；所述接入网设备保存所述会话对应的完整性保护算法和密钥以及所述会话对应的6性保护算法和密钥。所述完整性保护算法和密钥对所述DRB的数据述DRB的SDAP层的数据包中标记所述护算法和密钥以及所述会话对应的无线数据承载DRB，或者包括流对应的完整性保护算法7述DRB的SDAP层的数据包中标记所述8括所述会话对应的完整性保护算法和密钥以及所述会话对应的无线数据承载D括流对应的完整性保护算法和密钥以及所述流对应的无线数据承载DRB，所述会话与所述9对应的完整性保护算法和密钥以及所述会话对应的无线数据承载DRB，或者包括流对应的行指令，所述计算机执行指令用于使终端设备执行本申请第一方面和第二方面提供的方所述接入网设备实施本申请第三方面和第四方面性保护算法和密钥以及会话对应的DRB，使用会话对应的完整性保护算法和密钥对会话对流对应的DRB，使用流对应的完整性保护算法和密钥对流对应的DRB的数据进行完整性保址(CodeDivisionMultipleAccess，CDMA)系统、宽带码分多址(WidebandCodeWLAN)、长期演进(LongTermEvolution，LTE)系统或第五代移动通信(5th-Generation，可以是UMTS系统的基站、CDMA系统的基站(BaseTransceiverStation，BTS)，也可以是[0128]CN网元包括接入和移动性管理功能(AccessandMobilityManagement动性管理、接入管理等服务，相当于LTE系统中移动管理实体(MobilityManagementEntity，MME)除了会话管理功能外的功能。UPF相当于LTE系统中的分组数据网络网关体、策略控制功能(PolicyControlFunction，PCF)实体和认证、授权和计费设备的长期安全信任状(long-termsecuritycredential)。ARPF实体主要负责存储终端[0132]本申请中涉及的终端设备可以是无线终端，无线终端可以是指向用户提供语音它处理设备。无线终端可以经(R)AN与至少一个核心网进行通信。无线终端可以是移动终线终端也可以称为用户单元(SubscriberUnit)、用户站(SubscriberStation)，移动站Point)、远程终端(RemoteTerminal)、接入终端(AccessTerminal)、用户终端(User[0134]下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述[0135]图2为本申请实施例一提供的数据完整性保护方法的信令流程图，本实施例的方接建立请求、RRC连接重建立请求或RRC连接建立完成等，MAC消息例如是MAC控制元素整性保护对象的指示中的一个或多个也可以预先配置好，而不需要通过第四消息动态指完整性保护位置的指示所指示的完整性保护位置在RAN以及CN侧，则该完整性保护位置的使能指示用于指示RAN侧以及CN侧分别的钥与完整性保护位置对应，例如，核心网设备只指示了一种完整性保护位置(RAN侧或CN两种完整性保护位置(RAN侧和CN侧)，则需要在两种完整性保护位置分别配置完整性保护[0151]一种方式中，不同会话所使用的密钥可以通过一个根密钥(roo[0153]本实施例中，会话对应的完整性保护配置可以放在第四消息中的PDU会话信息列如为第三代合作伙伴(3rdGenerationPartnershipProject，3GPP)下一代(Next9.2.1.1章节PDU会话资源建立请求消息。表二所述PDU会话信息列表例如为3GPPNGRAN[0162]表二和表三分别示出了会话对应的完整性保护配置在第四消息中的两种可能的辅助信息用于指示会话对应的网络切片标识。表三中会话对应的完整性保护配置携带在整性保护对象的指示中的一个或多个也可以预先配置好，而不需要通过第二消息动态指[0167]可选的，会话对应的完整性保护配置可以携带在第二消息的SDAP层的配置参数述为完整性保护配置在第二消息中的几种可能的位置，以第二消息为RRC连接重配置消息(RRCConnectionReconfigurationmessage)为例，该RRC连接重配置消息为例如为下述的3GPP演进的全球陆地无线接入网络(EvolvedUniversalTerrestrialRadioAccess，[0170]RadioResourceConfigDedicatedinformationelement(无线资源配置指示[0172]上述例子中会话对应的完整性保护配置的可能位置1为SDAP层的配置参数中，会话对应的完整性保护配置的可能位置2为P[0176]具体的，终端设备使用会话对应的完整性保护算法和密钥对会话对应的DRB的数长度等中的至少一个参数作为输入参数，计算一个32bit的MAC-I，放入PDCPPDU的MAC-I域。接收端(接入网设备或核心网设备)在收到该PDCP层数据包后，以同样的方法计算该位置的使能指示和完整性保护对象的指示中的一个或多个也可以通过第二消息动态指示，[0179]本实施例中，终端设备获取会话对应的完整性保护算法和密钥以及会话对应的[0180]图4为本申请实施例二提供的数据完整性保护方法的信令流程图，不同于实施例[0195]第二消息和第四消息中携带的流对应的完整性保护配置可以相同，也可以不[0196]可选的，流对应的完整性保护配置可以携带在第二消息的S即将流对应的完整性保护配置作为SDAP层的配置参数，也可以携带在PDCP层的配置参数协议层的配置参数，那么SDAP层的配置参数和PDCP层的配置参数可以都携带在第二消息[0200]具体的，终端设备使用流对应的完整性保护算法和密钥对流对应的DRB的数据进整性保护位置的使能指示和完整性保护对象的指示中的一个或多个也可以通过第二消息用流对应的完整性保护算法和密钥对流对应的DRB的数据进行完整性保护，使得不同流可[0206]上述实施例的方法可以应用在双连接(DualConnection，DC)场景或小区切换场据会话对应的完整性保护配置或者流对应的完整性保护配置进行完整性保护。在DC场景点(Masternode，MN)需要将会话或者流对应的完整性保护配置发送给辅站点(Secondary[0209]完整性保护模块12，用于使用所述完整性保护算法和密钥对所述DRB的数据进行于在所述DRB的SDAP层的数据包中标[0221]本申请实施例四提供一种终端设备，该终端设备的结构参照图6所示。本实施例于在所述DRB的SDAP层的数据包中标包括所述会话对应的完整性保护算法和密钥以及所述会话对应的包括流对应的完整性保护算法和密钥以及所述流对应的无线数据承载DRB，所述会话与所[0254]存储模块23，用于保存所述流对应的完整性保护算法和密钥以及所述流对应的话对应的完整性保护算法和密钥以及所述会话对应的无线数据承载DRB，或者包括流对应述处理器41用于执行所述计算机执行指令，以使所述终端设备400执行上述实施例一和实终端设备实施本申请实施例一和