技術領域

本發明涉及無線通信領域，尤其涉及一種端到中心IP數據分組加密的方法。

背景技術

隨著移動通信系統的發展，移動通信技術已經進入第三代數字移動通信技術的應用時期，核心網絡的技術與架構也在進一步演進和發展，無線網絡傳輸速率和帶寬有了大幅度提高，從而為更多的基于IP的應用提供了無線傳輸通道，相應的高層應用的安全問題也亟需解決。

在有線網絡中，針對IP數據分組的安全技術有很多，比如：IPSec，這些技術中的密鑰索引都是IP地址。但是在移動通信系統中，加密功能都是在移動終端中實現，所以密鑰索引要求使用移動終端的標識信息，這樣就要求建立IP地址與移動終端標識的對應關系（記作映射關系表），以便根據IP數據分組中的IP地址查找到移動終端標識，進而索引到對應的密鑰。目前建立映射關系表所采用的方法有以下兩種：第一：映射關系表作為一個靜態數據配置在網絡側加密設備中；第二：網絡側加密設備周期性向其他設備查詢映射關系表。這些方法不足之處在于：第一：配置復雜，不靈活；第二：增加了網絡設備的交互流程，增加網絡設備交互負荷，且不能及時更新映射關系表。

發明內容

為了解決現有技術的將無線終端標識作為密鑰索引的IP數據分組加密方法的問題，本發明提出了一種新的IP數據分組加密方法，該方法為：

密鑰管理中心為無線終端生成密鑰，密鑰索引使用無線終端標識，密鑰管理中心將密鑰分發給對應的無線終端，并且將密鑰、無線終端標識分發給IP網關密碼機；

無線終端支持動態IP地址分配協議，并且啟用所述協議中的擴展字段來攜帶無線終端標識信息，IP網關密碼機解析動態IP地址分配協議分組，動態建立IP地址與無線終端標識的對應關系；

針對IP數據分組，IP網關密碼機根據IP數據分組中的IP地址查找到無線終端標識，進而根據無線終端標識索引到對應的密鑰。

優選的，上述方法所述的IP地址分配協議可以是DHCP協議、PPPoE協議等。

對于上行IP數據分組，無線終端首先在IP地址分配協議分組中的擴展字段中填寫無線終端標識，同時使用本地保存的密鑰對需要加密的數據分組進行加密，然后將IP數據分組通過基站發到IP網關密碼機；IP網關密碼機接收IP數據分組后，獲取IP地址分配協議分組中的擴展字段中的無線終端標識，建立或者更新IP地址與無線終端標識的對應關系，同時使用密鑰對加密后的數據分組進行解密，這里，IP網關密碼機可以根據IP數據分組中的源IP地址查詢對應的無線終端標識，再根據查詢到的無線終端標識索引到對應的密鑰，也可以由來自無線終端的IP數據分組直接獲取無線終端標識，進而索引到對應的密鑰。

對于下行IP數據分組，IP網關密碼機根據需要加密的IP數據分組中的目的IP地址查詢對應的無線終端標識，再根據查詢到的無線終端標識索引到對應的密鑰，使用此密鑰對IP數據分組進行加密，然后通過基站將IP數據分組發到無線終端；無線終端收到IP數據分組后，使用本地保存的密鑰對需要解密的數據分組進行解密。

綜上所述，本發明相比于現有技術的優點主要在于：無線終端支持動態IP地址分配協議，配置靈活；IP網關密碼機動態建立IP地址與無線終端標識的對應關系，便于及時更新；不需要密鑰協商的專用控制信令交互，不會增加網絡設備交互負荷。

附圖說明

圖1是本發明實施例一的實現IP數據分組加密的網絡架構圖；

圖2是本發明實施例一的無線終端針對上行IP數據分組加密的流程圖；

圖3是本發明實施例二的IP網關密碼機針對上行IP數據分組解密的流程圖；

圖4是本發明實施例三的IP網關密碼機針對下行IP數據分組加密的流程圖；

圖5是本發明實施例四的無線終端針對下行IP數據分組解密的流程圖。

具體實施方式

下面結合附圖，通過具體實施例對本發明做進一步詳細說明。

實施例一：無線終端針對上行IP數據分組的加密

本實施例對應的實現IP數據分組加密的網絡架構圖如圖1所示，各組成部分的功能說明如下：

無線終端：實現寬帶多媒體集群系統網絡的終端功能模塊，集成了IP數據分組加解密功能、DHCP中繼代理功能、PPPoE中繼代理功能。

基站：實現寬帶多媒體集群系統的空中接口功能，包括空中接口物理層、MAC層和網絡層功能，并將用戶接入到不同的業務服務網絡；