ltenas加密as加密

㈠ SRB與DRB

無線承載有兩種，一種是數據承載稱為DRB，一種是信令承載稱為SRB。SRB一共有3中分別為SRB0、SRB1、SRB2。SRB0其實對應的是公共控制信道，是不屬於某個用戶的。是在小區建了好就會建了的。後兩種信令承載是對應專用控制信道的，是對應用戶的。SRB1在RRC建立過程完成（rrcconnection setup）。SRB2和DRB在E-RAB指派階段完成（rrc connectionreconfiguration）。

rrcConnectionReqest是在SRB0上傳輸的， SRB0一直存在，用來傳輸映射到CCCH的RRC信令。UE收到NodeB的rrcConnectionSetup信令後，UE和NodeB之間的SRB1就建立起來了。eNodeB向UE發送RRCConnectionReconfiguration消息，建立SRB2和DRB.

「Signalling Radio Bearers」 (SRBs) are defined as Radio Bearers (RB) that are used only for the transmission of RRC and NAS messages. More specifically, the following three SRBs are defined:

SRB0 is for RRC messages using the CCCH logical channel;
SRB1 is for RRC messages (which may include a piggybacked NAS message) as well as for NAS messages prior to the establishment of SRB2, all using DCCH logical channel;
SRB2 is for NAS messages, using DCCH logical channel. SRB2 has a lower-priority than SRB1 and is always configured by E-UTRAN after security activation.
下行piggybacked NAS消息僅僅使用在附著過程（例如連接成功/失敗）：承載的建立/修改/釋放。上行的piggybacked NAS消息在連接建立期間初始化NAS消息（也就是發起連接建立，MSG3）.

通過SRB2傳輸NAS消息也是被包含在RRC消息中的，但是這些NAS消息不包括任何RRC協議控制信息，只是在RRC消息傳輸的時候包含在RRC中，相當於此時RRC是一個載體的形式。

一旦安全模式被激活，所有SRB1和SRB2的RRC消息（包括某些NAS或者3GPP消息），都會通過PDCP來進行完整性保護和加密，NAS只是單獨對NAS消息進行完整性保護和加密。換句話說，LTE存在的2層加密和保護：NAS只進行控制信令的加密工作，而PDCP同時進行控制平面和數據平面的完保和加密工作，SRB2的使用還要注意聯系一點就是：它是建立在專用承載基礎上的，使用DCCH邏輯信道.

DRB承載用戶面數據，根據QoS不同，UE與eNodeB之間可同時最多建立8個DRB。

㈡ td-lte e5573s-856認證布驟認證

我購買的華為E5573S_856設備waif提示我登陸認證，可我怎麼也認證？這樣的情況，只能是按提示來操作的，不然無法正常連接到無線設備的，所以只有按提示操E-UTRAN去除RNC網路節點，目的是簡化網路架構和降低延時，RNC功能被分散到了演進型NodeB(EvovledNodeB，eNodeB)和服務網關(ServingGateWay，S-GW)中。E-UTRAN結構中包含了若干個eNodeB，eNodeB之間底層採用IP傳輸，在邏輯上通過X2介面互相連接，即網格(Mesh)型網路結構，這樣的設計主要用於支持UE在整個網路內的移動性，保證用戶的無縫切換。每個eNodeB通過S1介面連接到演進分組核心(EvolvedPacketCore，EPC)網路的移動管理實體(MobilityManagementEntity，MME)，即通過S1-MME介面和MME相連，通過S1-U和S-GW連接，S1-MME和S1-U可以被分別看作S1介面的控制平面和用戶平面。

在EPC側，S-GW是3GPP移動網路內的錨點。MME功能與網關功能分離，主要負責處理移動性等控制信令，這樣的設計有助於網路部署、單個技術的演進以及全面靈活的擴容。同時，LTE/SAE體系結構還能將SGSN和MME功能整合到同一個節點之中，從而實現一個同時支持GSM、WCDMA/HSPA和LTE技術的通用分組核心網。

LTE系統與WIFI、ZigBee等無線技術相比，LTE系統在安全性能上要優於其他的無線技術。對於TD-LTE系統而言。安全性包括接入層AS(AccessStratum)和非接入層NAS(Non-AccessStratum)兩個層次，而接入層安全性相對而言更加重要。鑒於LTE系統涉及用戶通信的隱私以及特殊領域通信的涉密性，LTE系統安全性顯得尤為重要，那麼，在該網路架構系統下，提供一種安全可靠的認證和加密方法能夠進一步增強系統的安全性能。

技術實現要素：

有鑒於此，本發明針對上述現有技術存在的需進一步增強系統安全性能的問題，提供了一種加密和保護性能更佳，更安全可靠的TD-LTE鑒權認證和保護性加密方法。

本發明的技術解決方案是，提供一種以下結構的TD-LTE鑒權認證和保護性加密方法，包括以下步驟：TD-LTE中採用AES演算法，用戶開機發起注冊，與網路端建立連接後發起鑒權與密鑰協商過程；網路端的MME通過終端發來的移動用戶標識以及參數，以發起鑒權過程，之後與終端進行密鑰協商，發起安全激活命令，達到終端和網路端密鑰的一致，以實現安全通信；所述的是MME為3GPP協議中LTE接入網路的關鍵控制節點，它負責空閑模式的終端的定位，傳呼過程，包括中繼。

採用以上結構，本發明與現有技術相比，具有以下優點：本發明提供了基於AES演算法的加密方法，AKA過程最終實現了終端(UE)和網路端的雙向鑒權，使兩端的密鑰達成一致，以便能夠正常通信，通過網路端以及終端的交互過程，在鑒權和密鑰協商過程中，以實現加密和保護，每個網路單元由一個LTE核心網EPC和一個eNodeB組成，這樣的網路單元可以像蜂窩一樣無縫覆蓋一個區域，也可以將各自遠離的物理網路區域連接成為一張離散的網路，網路中的終端用戶具有良好的移動性。這種分布式網路架構非常適合專網的業務需求，即網路在保證可靠性、安全性的前提下，可以靈活部署，按需建設。在本發明之方法下，進一步提升了TD-LTE的安全性能。

作為優選，所述的鑒權與密鑰協商過程為，通過鑒權中心和終端中所共有的密鑰來計算加密密鑰和完整性密鑰，並由加密密鑰和完整性密鑰作為基本密鑰計算一個新的父密鑰，隨後由此密鑰產生各層所需要的子密鑰，從而在終端和網路端之間建立演進型分組系統以安全上下文。生成的加密密鑰和完整性密鑰不應該離開歸屬地用戶伺服器，3G的CK、IK是可以存在於AV(authenticationvector，鑒權向量)中的，TD-LTE這樣做是主要密鑰不發生傳輸，提高了安全性。

作為優選，在TD-LTE中，非接入層和接入層分別進行加密和完整性保護，二者相互獨立的，它們安全性的激活發生在AKA過程之後；網路端對終端的非接入層和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。按照這樣的步驟，加密過程更為合理，以非接入層作為優先順序激活。

作為優選，非接入層的安全模式過程是由網路端發起，MME發送的安全激活命令是被非接入層完整性保護了但未被加密；終端在收到安全激活命令後，先比對消息中的終端安全性能力是否和終端發送給網路端以觸發安全激活命令過程的終端安全性能力相同，以確定安全性能力未被更改，如果相同，表示可以接受；其次，進行非接入層密鑰的生成，包括加密密鑰和完整性保護密鑰；接著，終端將根據新產生的完整性保護密鑰和演算法對收到的安全激活命令進行完整性校驗，校驗通過，表示該安全激活命令可以被接受，此安全通道可用；最後，終端發出安全模式完成消息給MME，所有的接入層信令消息都將進行加密和完整性保護；若安全模式命令的校驗沒通過的話，將發送安全模式拒絕命令給MME，終端退出連接。

作為優選，在非接入層的安全性激活後，開始接入層的安全性激活，網路端通過完整性保護密鑰對其發送的安全激活命令進行完整性保護，並生成一個信息確認碼；之後，將該傳安全激活命令給終端；終端生成完整性保護密鑰，對此安全激活命令進行完整性校驗，生成用於校驗的另一個信息確認碼，如果兩個信息確認碼相匹配的話，通過校驗，之後進一步生成加密密鑰，並作進一步校驗。

作為優選，發送方終端將明文幀利用公鑰和私鑰加密，將加密後得到的密文幀發送給接收方終端，接收方終端先由公鑰對密文幀解密，再由帶有接收方終端用戶信息的私鑰進一步解密。加密保護不能僅限於網路端與終端之間，終端與終端之間也需要加密保護，提高用戶信息的保密性。

具體實施方式

下面結合就具體實施例對本發明作進一步說明。

本發明涵蓋任何在本發明的精髓和范圍上做的替代、修改、等效方法以及方案。為了使公眾對本發明有徹底的了解，在以下本發明優選實施例中詳細說明了具體的細節，而對本領域技術人員來說沒有這些細節的描述也可以完全理解本發明。

本發明的一種TD-LTE鑒權認證和保護性加密方法，包括以下步驟：TD-LTE中採用AES演算法，用戶開機發起注冊，與網路端建立連接後發起鑒權與密鑰協商過程；網路端的MME通過終端發來的移動用戶標識以及參數，以發起鑒權過程，之後與終端進行密鑰協商，發起安全激活命令，達到終端和網路端密鑰的一致，以實現安全通信；所述的是MME為3GPP協議中LTE接入網路的關鍵控制節點，它負責空閑模式的終端的定位，傳呼過程，包括中繼。

所述的鑒權與密鑰協商過程為，通過鑒權中心和終端中所共有的密鑰來計算加密密鑰和完整性密鑰，並由加密密鑰和完整性密鑰作為基本密鑰計算一個新的父密鑰，隨後由此密鑰產生各層所需要的子密鑰，從而在終端和網路端之間建立演進型分組系統以安全上下文。生成的加密密鑰和完整性密鑰不應該離開歸屬地用戶伺服器，3G的CK、IK是可以存在於AV(authenticationvector，鑒權向量)中的，TD-LTE這樣做是主要密鑰不發生傳輸，提高了安全性。

在TD-LTE中，非接入層和接入層分別進行加密和完整性保護，二者相互獨立的，它們安全性的激活發生在AKA過程之後；網路端對終端的非接入層和接入層的激活順序是先激活非接入層的安全性，再激活接入層的安全性。

非接入層的安全模式過程是由網路端發起，MME發送的安全激活命令是被非接入層完整性保護了但未被加密；終端在收到安全激活命令後，先比對消息中的終端安全性能力是否和終端發送給網路端以觸發安全激活命令過程的終端安全性能力相同，以確定安全性能力未被更改，如果相同，表示可以接受；其次，進行非接入層密鑰的生成，包括加密密鑰和完整性保護密鑰；接著，終端將根據新產生的完整性保護密鑰和演算法對收到的安全激活命令進行完整性校驗，校驗通過，表示該安全激活命令可以被接受，此安全通道可用；最後，終端發出安全模式完成消息給MME，所有的接入層信令消息都將進行加密和完整性保護；若安全模式命令的校驗沒通過的話，將發送安全模式拒絕命令給MME，終端退出連接。

在非接入層的安全性激活後，開始接入層的安全性激活，網路端通過完整性保護密鑰對其發送的安全激活命令進行完整性保護，並生成一個信息確認碼；之後，將該傳安全激活命令給終端；終端生成完整性保護密鑰，對此安全激活命令進行完整性校驗，生成用於校驗的另一個信息確認碼，如果兩個信息確認碼相匹配的話，通過校驗，之後進一步生成加密密鑰，並作進一步校驗。

發送方終端將明文幀利用公鑰和私鑰加密，將加密後得到的密文幀發送給接收方終端，接收方終端先由公鑰對密文幀解密，再由帶有接收方終端用戶信息的私鑰進一步解密。

分布式TD-LTE網路單點故障受損最小；分布式TD-LTE網路可以提供安全隔離；分布式TD-LTE網路可以支持業務內容加密；分布式TD-LTE支持同頻組網，抗干擾能力較強。分布式TD-LTE從技術的原理上實現的同頻組網，大大提高了無線頻率的利用率；TD-LTE比WLAN和ZigBee的抗干擾能力強，同時，1.8GHz頻段(1785-1805MHz)為授權使用，受到國家的保護，干擾信號源遠遠低於WLAN和ZigBee。

在面對強電磁干擾時，作為無線電通信，大功率同頻干擾或者鄰頻干擾，會對網路的容量和可用性造成嚴重損害。

需要注意的是：本實施例中涉及的模塊和架構部件，部分採用了字母或英文的通用名詞，由於專業術語描述的需要，並未統一成漢字，但本領域普通技術人員根據說明書的相關描述，能夠知悉相關的實施手段，不會產生歧義。

以上僅就本發明較佳的實施例作了說明，但不能理解為是對權利要求的限制。本發明不僅局限於以上實施例，其具體結構允許有變化。總之，凡在本發明獨立權利要求的保護范圍內所作的各種變化均在本發明的保護范圍內。

才可以的