CN101917712A - 一种移动通讯网中数据加解密方法和*** - Google Patents
一种移动通讯网中数据加解密方法和*** Download PDFInfo
- Publication number
- CN101917712A CN101917712A CN2010102652976A CN201010265297A CN101917712A CN 101917712 A CN101917712 A CN 101917712A CN 2010102652976 A CN2010102652976 A CN 2010102652976A CN 201010265297 A CN201010265297 A CN 201010265297A CN 101917712 A CN101917712 A CN 101917712A
- Authority
- CN
- China
- Prior art keywords
- terminal
- grouped data
- module
- data report
- ggsn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种移动通讯网中数据加解密方法和***,保证用户信息不通过明文传输,防止用户信息被非法监听,提高数据传输的安全性和保密性。所述方法包括:在分组数据传输之前,发送端将原始分组数据报文送入加密模块,由加密模块采用加密密钥(CK)对原始分组数据报文进行加密,对加密后的分组数据报文进行协议封装后发送至接收端;接收端收到加密的分组数据报文后,将其送入解密模块,由解密模块使用与发送端加密模块相同的CK对分组数据报文进行解密,将解密后的分组数据报文发往下一目的地。
Description
技术领域
本发明属于移动通信领域,涉及在移动通信网中数据加解密方法和***。
背景技术
数据业务是第三代移动通讯技术发展的重点,也最受用户和运营商的关注,很多传统的业务(比如语音通话)也已经通过分组交互实现(VOIP),因此数据业务的保密性和安全性也越来越受到关注。
移动网络本身有自身的通讯加密方法,在3GPP(包括UMTS和GSM)***中,用户的SIM卡和归属网络的HLR/AuC(归属位置存储器/鉴权中心,通用表示方式,表示集成了AUC的HLR)共享一个安全密钥Ki(128bit),基于该密钥,核心网和用户之间可以进行双向鉴权,同时基站和手机间也利用Ki对无线链路进行加密和完整性保护。
3GPP中定义的加密方法只是加密无线环境,在移动终端和Node B之间对传输的数据进行加/解密,数据在网络中都是通过明文传输的,很容易被监听,现有的网络监听技术大都在网络侧实现。图1为分组数据网络示意图,移动终端A和B分别通过各自的RNS(Radio Network System无线网络***)、SGSN(Serving GPRS support node,GPRS业务支持节点)、GGSN(GatewayGPRS support node,GPRS网关支持节点)接入PDN(Packet Data Network,分组数据网络)。如附图1,通常在SGSN和GGSN中进行监听。
目前已有相关专利或者方案都是端到端的加密,这样的加密参数不能动态变化,很容易被破解。支持加密的用户和不支持加密的用户之间数据输出方式很难协调。
发明内容
本发明要解决的技术问题是提供一种移动通讯网中数据加解密方法和***,保证用户信息不通过明文传输,防止用户信息被非法监听,提高数据传输的安全性和保密性。
为解决上述技术问题,本发明提供了一种移动通讯网中数据加解密方法,包括:
在分组数据传输之前,发送端将原始分组数据报文送入加密模块,由加密模块采用加密密钥(CK)对原始分组数据报文进行加密,对加密后的分组数据报文进行协议封装后发送至接收端;
接收端收到加密的分组数据报文后,将其送入解密模块,由解密模块使用与发送端加密模块相同的CK对分组数据报文进行解密,将解密后的分组数据报文发往下一目的地。
进一步地,所述发送端在分组数据传输之前,判断在分组数据通道建立时是否接收到加密标识,如果接收到,则将原始分组数据报文送入加密模块进行加密,否则封装后发送。
进一步地,所述发送端为终端,所述接收端为GPRS网关支持节点(GGSN);或者,所述发送端为GGSN,所述接收端为终端。
进一步地,所述发送端为终端,所述接收端为GGSN时,所述方法进一步包括:终端在发送分组数据报文前,先通过终端中的加密模块使用CK对所述分组数据报文进行加密,终端对加密后的分组数据报文进行协议封装后发送至网络;所述GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密,所述GGSN将解密后的分组数据报文发送至所述报文的目的地址。
进一步地,所述发送端为GGSN,所述接收端为终端时,所述方法进一步包括:所述GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密,GGSN对加密后的分组数据报文进行协议封装后发送,通过网络发送至终端;所述终端接收到加密的分组数据报文后,由终端中的解密模块使用与所述GGSN相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文。
进一步地,所述GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密的步骤包括:所述GGSN收到终端发送的分组数据报文后,将所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密;所述GGSN在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取所述终端的CK。
进一步地,所述GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密的步骤包括:所述GGSN收到发送至终端的分组数据报文后,将所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密;所述GGSN在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取所述终端的CK。
为解决上述技术问题,本发明还提供了一种移动通讯网中数据加解密***,包括终端和GPRS网关支持节点(GGSN),其中:
所述终端包括加密模块、发送模块、接收模块和解密模块,其中:
所述加密模块,用于使用CK对所述分组数据报文进行加密;
所述发送模块,用于对加密后的分组数据报文进行协议封装后发送至网络侧;
所述接收模块,用于接收网络侧发送的加密的分组数据报文;
所述解密模块,用于使用与GGSN加密模块相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文;
所述GGSN包括接收模块、解密模块、加密模块和发送模块,其中:
所述接收模块,用于接收终端发送的加密的分组数据报文,以及用于接收发送至终端的分组数据报文;
所述解密模块,用于使用与终端加密模块相同的CK对所述接收的加密的分组数据报文进行解密;
所述发送模块,用于将解密后的分组数据报文发送至所述报文的目的地址,以及用于将加密后的分组数据报文进行协议封装后通过网络发送至终端;
所述加密模块,用于使用CK对所述接收的发送至终端的分组数据报文进行加密。
进一步地,所述GGSN,还用于在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取的所述终端的CK;以及:在收到终端发送的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密;以及:在收到发送至终端的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密。
进一步地,所述终端还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
进一步地,所述GGSN还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
本发明通过在移动终端和GGSN中分别配置硬件加解密模块,硬件加解密模块通过CK(Cipher Key,加密密钥)对上下行分组数据报文进行加解密,可以保证用户信息不通过明文传输。加密后的数据在网络侧无法监听,而且在无线环境传输还会进行加密,相当于双加密的,更加保密和安全。即使窃听方获得了被窃听方得安全密钥Ki,也无法在无线传输环境中进行窃听,提高数据传输的安全性和保密性。
本发明适用于政府敏感部门,情报机关,等等非常重视安全和保密的组织和个人。
附图说明
图1为分组数据网络示意图;
图2为加密后的分组网络及数据传输示意图;
图3为终端和GGSN的具体结构示意图。
具体实施方式
目前技术中端到端的加密由于没有传输网络参与,这样的加密参数不能动态变化,很容易被破解。本发明的发明构思是:
在分组数据传输之前,发送端(用户终端或者GGSN)将原始分组数据报文送入加密模块,由加密模块采用加密密钥(CK)作为加密运算因子对原始分组数据报文进行加密,得到加密后的分组数据报文,对加密后的分组数据报文进行协议封装后发送至接收端;
接收端(发送端为用户终端时,接收端为GGSN;发送端为GGSN时,接收端为用户终端)收到加密的分组数据报文后,将其送入解密模块,由解密模块使用与发送端加密模块相同的CK对分组数据报文进行解密,之后将解密后的分组数据报文发往下一目的地。
具体地:
●对于上行分组数据,终端在发送分组数据报文前,先通过终端中的加密模块使用加密密钥(CK)对所述分组数据报文进行加密,终端对加密后的分组数据报文进行协议封装后发送至网络;GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密,所述GGSN将解密后的分组数据报文发送至所述报文的目的地址。
所述GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密的步骤包括:所述GGSN收到终端发送的分组数据报文后,将所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密。
所述GGSN中的终端的CK是在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取的。
●对于下行分组数据,GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密,GGSN对加密后的分组数据报文进行协议封装后发送,通过网络发送至终端;所述终端接收到加密的分组数据报文后,由终端中的解密模块使用与所述GGSN相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文。
所述GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密的步骤包括:所述GGSN收到发送至终端的分组数据报文后,将所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密。
本文的实现与移动网络自身加密无关,直接对需要传输的原始数据进行加密和解密,数据加密后在网络中传输,以保证数据的保密性和安全性。
硬件加密、解密模块使用CK作为加密因子对分组数据进行加解密。该CK是通过加密算法(A3)、RAND(随机数)和Ki(根密钥)计算出来的,如CK=A3(RAND,Ki)。Ki由网络(如网络单元HLR/AUC)与终端共享,在终端(如USIM卡中)和HLR/AUC中存储,不在网络中传输,很难窃取。而RAND是随机序列,在每次连接建立中都会变化,具有很强的随机性。因此在本方案中加密因子每次都不同,只在本次会话中有效,所以又称为实时加密,此举更加大了无线传输环境中对CK进行破解的难度,从而保证数据传输私密性。
另一方面,本发明中使用数据业务的双方(包括终端和GGSN服务器)不需要知道对方的CK。对终该而言,网络侧负责在每次认证时将RAND传给终端,终端可根据算法自己生成CK;对于GGSN而言,GGSN可从HLR/AUC中获取HLR/AUC计算出的CK。不会增加额外的损耗。
上述硬件加密、解密模块可以由第三方提供,嵌入终端及网络设备中,负责对分组数据进行加解密运算。这样即使网络设备商、终端设备商和运营商都无法对加密分组数据进行窃听。
分组数据都是基于IP传输,本专利中,对原始的数据进行加密,密文作为IP包的原始数据,通过IP相关协议封装,不影响网关对分组数据的处理及路由选择。
实现上述方法的***如附图2和图3所示,主要包括终端和GGSN,其中:
所述终端包括加密模块、发送模块、接收模块和解密模块,其中:
所述加密模块,用于使用CK对所述分组数据报文进行加密;
所述发送模块,用于对加密后的分组数据报文进行协议封装后发送至网络侧;
所述接收模块,用于接收网络侧发送的加密的分组数据报文;
所述解密模块,用于使用与GGSN加密模块相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文。
所述GGSN包括接收模块、解密模块、加密模块和发送模块,其中:
所述接收模块,用于接收终端发送的加密的分组数据报文,以及用于接收发送至终端的分组数据报文;
所述解密模块,用于使用与终端加密模块相同的CK对所述接收的加密的分组数据报文进行解密;
所述发送模块,用于将解密后的分组数据报文发送至所述报文的目的地址,以及用于将加密后的分组数据报文进行协议封装后通过网络发送至终端;
所述加密模块,用于使用CK对所述接收的发送至终端的分组数据报文进行加密。
上述终端中的加密模块和解密模块可以合一设置为加解密模块;同样地,所述GGSN中的加密和解密模块也可合一设置。发送模块和接收模块也可合一设置为收发模块。终端中如何设置与GGSN中如何设置无关,GGSN中如何设置也与终端中如何设置无关。但GGSN和终端中加解密模块的运算规则相同,具体采用哪种加解密算法本发明不作限定。
优选地,所述GGSN,还用于在数据传输链路建立时,从HLR/AUC中获取的所述终端的CK;以及:在收到终端发送的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密;以及:在收到发送至终端的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密。
优选地,所述终端还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
优选地,所述GGSN还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
下面结合附图对技术方案的实施作进一步的详细描述:
本发明所提出的实现方法需要网络参与,因此需要在终端和GGSN(GPRS网关支持节点)中嵌入硬件加密模块。选择把GGSN作为加密/解密的另一端,有几个好处:
1)分组业务包括很多种类,C/S(客户端/服务器)类的业务占了绝大多数,同时还有部分会话类业务,在GGSN中加密/解密,可以实现对各种类型的分组业务的加密。
2)GGSN是第三代移动通讯分组域网络的网关节点,是移动网络和公用PDN的分界点,用户数据在外部PDN传输时用户的IP地址都是动态分配的,根据IP很难获取到用户信息,而用户的标识信息(比如IMSI等)只在移动网络中传输,因此在GGSN中加密能够保证用户数据不被非法监听,所以在GGSN中加密能够保证用户信息的安全性和私密性。
终端和GGSN中的中的硬件加密模块作用稍有差异,而运算规则完全相同。
在本实施例中,可在分组数据通道建立过程中,通过参数控制终端和GGSN是否需要对分组数据报文进行加密。下面分三个部分对具体实现流程进行介绍:
第一部分:加密判断及CK(密钥)的获得
加密标识:
在处理数据之前,移动终端和GGSN需要知道是否需要对用户数据进行加密解密。参照3GPP协议,在分组数据通道建立时,在终端和GGSN之间会共享传输相关的参数信息,如IP配置信息、DNS配置信息等,终端通过在该参数中增加加密标识,通知GGSN是否需要进行加解密操作。
终端和GGSN在数据发送之前,判断是否有该加密标识,如果有,则触发加密模块进行加密,如果没有,则按正常流程,对分组数据封装后发送。
CK(密钥)的获得:
终端中:
根据3GPP协议规定,在建立分组数据传输通道建立之前,首先要建立信令连接,在信令连接建立过程中需要对用户进行认证,在认证过程中网络侧将RAND发给终端,终端按照获得的RAND,结合自身Ki,通过A3算法,产生当前有效CK,将CK传递给终端硬件加解密模块。
GGSN中:
按照3GPP的协议流程,GGSN不参与信令链路的建立,因此在GGSN中无法根据现有流程获得CK值,因此需要增加额外的信令流程来实现。利用现有的GGSN和HLR/AUC之间的接口(Gc)口,在数据传输链路建立时,判断如果需要对数据进行加解密操作,从HLR/Auc中获取CK,存储在GGSN中,在对应的用户终端需要传输数据时,发给硬件加解密模块。
第二部分:终端中的加密解密处理
加密:
终端在发送数据前,现把分组数据报文发给硬件加解密模块,硬件加解密模块使用在链路建立时获得的CK对分组数据报文进行加密,终端加密后的分组数据报文进行相关的协议封装后发送给网络。
解密:
终端从网络收到分组数据报文后,把分组数据报文传给硬件加解密模块进行解密,硬件加解密模块使用CK对分组数据报文进行解密,终端把解密后明文数据报文传给对应的应用模块。
第三部分:GGSN中的加密解密处理
GGSN从终端收到分组数据报文后,先进行解密,把分组数据报文以明文的形式发给外部PDN(packet data network,分组数据网);GGSN从外部PDN或者其他GGSN收到分组数据报文后,进行加密后,以密文形式发给终端。
加密:
GGSN从外部PDN或者其他GGSN收到分组数据报文后,根据目的地址获得用户信息,判断是否需要对当前用户的数据进行加密,需要加密时,获取当前用户的CK,和原始分组数据报文一起传给硬件加解密模块,硬件加解密模块使用收到的CK对分组数据报文进行加密生成密文。GGSN把密文按照3GPP规定的协议(和SGSN(Serving GPRS support node,GPRS业务支持节点)之间通过GTP(GPRS Tunnelling Protocol GPRS隧道协议)协议封装))封装后,发送终端。
解密:
GGSN根据从MS收到数据获得用户标识(按照3GPP协议规定,SGSN和GGSN之间采用GTP协议进行数据传输,根据GTP的标识可以获得用户标识信息),根据获得的用户标识,从保存的CK中查出该UE的CK,把分组数据报文和CK一起送给硬件加密模块进行解密,解密后获得明文形式的分组数据报文,按照报文中指定的目的地址发送报文。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (11)
1.一种移动通讯网中数据加解密方法,包括:
在分组数据传输之前,发送端将原始分组数据报文送入加密模块,由加密模块采用加密密钥(CK)对原始分组数据报文进行加密,对加密后的分组数据报文进行协议封装后发送至接收端;
接收端收到加密的分组数据报文后,将其送入解密模块,由解密模块使用与发送端加密模块相同的CK对分组数据报文进行解密,将解密后的分组数据报文发往下一目的地。
2.如权利要求1所述的方法,其特征在于:
所述发送端在分组数据传输之前,判断在分组数据通道建立时是否接收到加密标识,如果接收到,则将原始分组数据报文送入加密模块进行加密,否则封装后发送。
3.如权利要求1或2所述的方法,其特征在于:
所述发送端为终端,所述接收端为GPRS网关支持节点(GGSN);或者,所述发送端为GGSN,所述接收端为终端。
4.如权利要求3所述的方法,其特征在于:
所述发送端为终端,所述接收端为GGSN时,所述方法进一步包括:
终端在发送分组数据报文前,先通过终端中的加密模块使用CK对所述分组数据报文进行加密,终端对加密后的分组数据报文进行协议封装后发送至网络;所述GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密,所述GGSN将解密后的分组数据报文发送至所述报文的目的地址。
5.如权利要求3所述的方法,其特征在于:
所述发送端为GGSN,所述接收端为终端时,所述方法进一步包括:
所述GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密,GGSN对加密后的分组数据报文进行协议封装后发送,通过网络发送至终端;所述终端接收到加密的分组数据报文后,由终端中的解密模块使用与所述GGSN相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文。
6.如权利要求4所述的方法,其特征在于:
所述GGSN收到终端发送的分组数据报文后,GGSN中的解密模块使用与所述终端相同的CK对所述分组数据报文进行解密的步骤包括:所述GGSN收到终端发送的分组数据报文后,将所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密;
所述GGSN在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取所述终端的CK。
7.如权利要求5所述的方法,其特征在于:
所述GGSN在接收到发送至终端的分组数据报文后,GGSN中的加密模块使用CK对所述分组数据报文进行加密的步骤包括:所述GGSN收到发送至终端的分组数据报文后,将所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密;
所述GGSN在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取所述终端的CK。
8.一种移动通讯网中数据加解密***,包括终端和GPRS网关支持节点(GGSN),其中:
所述终端包括加密模块、发送模块、接收模块和解密模块,其中:
所述加密模块,用于使用CK对所述分组数据报文进行加密;
所述发送模块,用于对加密后的分组数据报文进行协议封装后发送至网络侧;
所述接收模块,用于接收网络侧发送的加密的分组数据报文;
所述解密模块,用于使用与GGSN加密模块相同的CK对所述分组数据报文进行解密,获取解密后的分组数据报文;
所述GGSN包括接收模块、解密模块、加密模块和发送模块,其中:
所述接收模块,用于接收终端发送的加密的分组数据报文,以及用于接收发送至终端的分组数据报文;
所述解密模块,用于使用与终端加密模块相同的CK对所述接收的加密的分组数据报文进行解密;
所述发送模块,用于将解密后的分组数据报文发送至所述报文的目的地址,以及用于将加密后的分组数据报文进行协议封装后通过网络发送至终端;
所述加密模块,用于使用CK对所述接收的发送至终端的分组数据报文进行加密。
9.如权利要求8所述的方法,其特征在于:
所述GGSN,还用于在数据传输链路建立时,从归属位置存储器/鉴权中心(HLR/AUC)中获取的所述终端的CK;以及:
在收到终端发送的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给解密模块,由所述解密模块使用所述CK对所述分组数据报文进行解密;
在收到发送至终端的分组数据报文后,将获取的所述终端的CK和所述分组数据报文发送给加密模块,由所述加密模块使用所述CK对所述分组数据报文进行加密。
10.如权利要求8所述的方法,其特征在于:
所述终端还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
11.如权利要求8所述的方法,其特征在于:
所述GGSN还包括判断模块,用于在发送分组数据报文前,判断是否有加密标识,如果有,则触发加密模块,否则触发发送模块;以及用于在接收到分组数据报文后,如果判断有加密标识,则触发解密模块。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102652976A CN101917712A (zh) | 2010-08-25 | 2010-08-25 | 一种移动通讯网中数据加解密方法和*** |
| PCT/CN2011/070337 WO2012024905A1 (zh) | 2010-08-25 | 2011-01-17 | 一种移动通讯网中数据加解密方法、终端和ggsn |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102652976A CN101917712A (zh) | 2010-08-25 | 2010-08-25 | 一种移动通讯网中数据加解密方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101917712A true CN101917712A (zh) | 2010-12-15 |
Family
ID=43325073
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102652976A Pending CN101917712A (zh) | 2010-08-25 | 2010-08-25 | 一种移动通讯网中数据加解密方法和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101917712A (zh) |
| WO (1) | WO2012024905A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102256246A (zh) * | 2011-07-05 | 2011-11-23 | 上海市安全生产科学研究所 | 移动通信的数据传输加密方法 |
| WO2012024905A1 (zh) * | 2010-08-25 | 2012-03-01 | 中兴通讯股份有限公司 | 一种移动通讯网中数据加解密方法、终端和ggsn |
| CN103888411A (zh) * | 2012-12-19 | 2014-06-25 | 杭州智为科技有限公司 | 一种报文处理装置 |
| CN104145467A (zh) * | 2012-03-07 | 2014-11-12 | 摩托罗拉移动有限责任公司 | 使用所需节点路径和加密签名的安全分组传输的策略 |
| CN104270242A (zh) * | 2014-09-27 | 2015-01-07 | 杭州电子科技大学 | 一种用于网络数据加密传输的加解密装置 |
| CN113872975A (zh) * | 2021-09-29 | 2021-12-31 | 中国人民解放***箭军工程大学 | 一种信息加密传输装置及方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10455414B2 (en) * | 2014-10-29 | 2019-10-22 | Qualcomm Incorporated | User-plane security for next generation cellular networks |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1784899A (zh) * | 2003-05-13 | 2006-06-07 | 三星电子株式会社 | 在移动通信***中广播服务的安全方法 |
| CN101075865A (zh) * | 2006-05-16 | 2007-11-21 | 华为技术有限公司 | 一种用户面加密的启动方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483865A (zh) * | 2009-01-19 | 2009-07-15 | 中兴通讯股份有限公司 | 一种密钥更替方法、***及设备 |
| CN101917712A (zh) * | 2010-08-25 | 2010-12-15 | 中兴通讯股份有限公司 | 一种移动通讯网中数据加解密方法和*** |
-
2010
- 2010-08-25 CN CN2010102652976A patent/CN101917712A/zh active Pending
-
2011
- 2011-01-17 WO PCT/CN2011/070337 patent/WO2012024905A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1784899A (zh) * | 2003-05-13 | 2006-06-07 | 三星电子株式会社 | 在移动通信***中广播服务的安全方法 |
| CN101075865A (zh) * | 2006-05-16 | 2007-11-21 | 华为技术有限公司 | 一种用户面加密的启动方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012024905A1 (zh) * | 2010-08-25 | 2012-03-01 | 中兴通讯股份有限公司 | 一种移动通讯网中数据加解密方法、终端和ggsn |
| CN102256246A (zh) * | 2011-07-05 | 2011-11-23 | 上海市安全生产科学研究所 | 移动通信的数据传输加密方法 |
| CN104145467A (zh) * | 2012-03-07 | 2014-11-12 | 摩托罗拉移动有限责任公司 | 使用所需节点路径和加密签名的安全分组传输的策略 |
| CN104145467B (zh) * | 2012-03-07 | 2017-09-19 | 谷歌技术控股有限责任公司 | 使用所需节点路径和加密签名的安全分组传输的策略 |
| CN103888411A (zh) * | 2012-12-19 | 2014-06-25 | 杭州智为科技有限公司 | 一种报文处理装置 |
| CN104270242A (zh) * | 2014-09-27 | 2015-01-07 | 杭州电子科技大学 | 一种用于网络数据加密传输的加解密装置 |
| CN113872975A (zh) * | 2021-09-29 | 2021-12-31 | 中国人民解放***箭军工程大学 | 一种信息加密传输装置及方法 |
| CN113872975B (zh) * | 2021-09-29 | 2023-08-18 | 中国人民解放***箭军工程大学 | 一种信息加密传输装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012024905A1 (zh) | 2012-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2341724B1 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN101455025B (zh) | 用于安全分组传输的加密方法 | |
| CN201286113Y (zh) | 无线发射/接收单元 | |
| Saxena et al. | EasySMS: A protocol for end-to-end secure transmission of SMS | |
| CN101512537B (zh) | 在自组无线网络中安全处理认证密钥资料的方法和*** | |
| JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| JP4866909B2 (ja) | 長いキーパッドを用いた共用鍵暗号化 | |
| EP1908202B1 (en) | Systems, method, integrated circuit chip and computer program product for ambiguity envelope encryption | |
| CN101203025B (zh) | 安全的移动信息发送和接收方法 | |
| CN101917711B (zh) | 一种移动通信***及其语音通话加密的方法 | |
| CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和*** | |
| EP2416524A2 (en) | System and method for secure transaction of data between wireless communication device and server | |
| CN101917712A (zh) | 一种移动通讯网中数据加解密方法和*** | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和*** | |
| CN112640510A (zh) | 建立无线安全链路同时维持隐私以防跟踪的方法和设备 | |
| Cattaneo et al. | Security Issues and Attacks on the GSM Standard: a Review. | |
| WO2012024903A1 (zh) | 移动通讯网中加密语音通话的方法和***、终端及网络侧 | |
| CN102045669A (zh) | 一种加密短消息实现的方法和*** | |
| Borsc et al. | Wireless security & privacy | |
| Leu et al. | Improving security level of LTE authentication and key agreement procedure | |
| Cattaneo et al. | A review of security attacks on the GSM standard | |
| CN101437228B (zh) | 基于智能卡的无线业务的实现方法、装置和*** | |
| WO2012075761A1 (zh) | 一种加密mms的方法及*** | |
| Sher et al. | Network access security management (NASM) model for next generation mobile telecommunication networks | |
| Patheja et al. | A hybrid encryption technique to secure Bluetooth communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101215 |