[发明专利]一种数据安全的同步方法及系统

说明书

技术领域

本发明涉及通信及计算机技术领域，尤其涉及一种数据安全的同步方法及系统。

背景技术

LTE(Long Term Evolution，长期演进)通信系统又称为E-UTRAN(EvolvedUniversal Terrestrial Radio Access Network，演进后的通用陆地无线接入网)，与UTRAN(Universal Terrestrial Radio Access Network，通用陆地无线接入网)系统不同，为了简化网络并降低时延，E-UTRAN系统去掉了RNC(Radio NetworkController，无线网络控制器)，将RNC的功能被分散到了eNB(E-UTRANNodeB，演进后的基站)和aGW(E-UTRAN Access Gateway，E-UTRAN接入网关)中。

LTE中的协议栈结构与UTRAN一样分为用户面和控制面，但简化了很多。比如PDCP(Packet Data Convergence Protocol，分组数据汇聚层)功能在网络侧被移到了aGW中，控制面RRC(Radio Resource Control，无线资源控制)功能被移到了eNB中并终结在eNB中。

参阅图1A所示，用户面协议栈中，RLC(Radio Link Control，无线链路控制)和MAC(Media Access Control，媒体接入控制)终结在网络侧的eNB中，执行链路层功能，包括调度、ARQ(Automatic Repeat reQuest，自动重复请求)、HARQ(Hybrid Automatic Repeat reQuest，混合自动重复请求)等。PDCP层终结在网络侧的UPE(User Pane Equipment，用户面实体)，执行用户面的功能，包括头压缩、完整性保护和加密等。

参阅图1B所示，控制面协议栈中，RLC和MAC终结在网络侧的eNB中，执行和用户面RLC、MAC一样的功能。RRC终结在网络侧的eNB，执行广播、寻呼、RRC连接管理、无限承载控制、移动性功能、测量和测量报告等。PDCP层终结在网络侧的MME(Move Management Equipment，移动管理实体)，执行包括加密和完整性保护等。NAS(Non-Access Stratum，非接入层)终结在网络侧的MME，控制包括SAE(System Architecture Equipment，系统架构实体)承载管理，鉴权，空闲模式移动性的处理，空闲模式寻呼触发，信令的安全控制等。

在LTE通信系统中，为了保护数据的安全，aGW在PDCP层对NAS信令和用户数据进行加密和完整性保护，并通过NAS信令协商安全相关参数和上下文等。PDCP层如何开始启动加密和完整性保护，目前业界还没有具体的方案。

发明内容

本发明提供一种数据安全的同步方法及系统，以实现LTE系统中终端侧和网络侧在处理数据报文时采用的安全机制的同步。

本发明提供以下技术方案：

一种数据安全的同步方法，该方法包括步骤：

发送端向接收端发送包含安全指示信息的数据报文，所述安全指示信息表明处理数据报文的安全机制；

所述接收端根据接收到的数据报文中的安全指示信息，按相应的安全机制处理数据报文。

根据上述方法：

所述发送端发送数据报文时，在分组数据汇聚层PDCP将所述安全指示信息封装在经扩展的分组数据单元头PDU header中。

所述发送端发送的数据报文中还包含发送端在根据安全机制处理数据报文时所使用的序列号SN；接收端在执行相应的安全机制时利用该序列号SN处理数据报文。

发送端在发送所述数据报文前，先通过非接入层NAS信令与接收端协商所述安全机制相应的上下行安全参数。

若发送端与接收端之间需要利用安全机制处理上行和下行数据报文，则通过非接入层NAS信令在同一协商过程中完成上行和下行安全参数的协商。

发送端为网络设备，接收端为终端设备；或者，发送端为终端设备，接收端为网络设备。

所述发送端发送的数据报文中的安全指示信息表明发送端从本数据报文或下一数据报文开始采用所述安全机制处理数据报文。

所述发送端处理数据报文的安全机制为启动加密、停止加密、启动完整性保护、停止完整性保护、修改安全参数、停止加密并且启动完整性保护以及停止完整性保护并启动加密中任意一种。