ltenas加密as加密

㈠ SRB与DRB

无线承载有两种，一种是数据承载称为DRB，一种是信令承载称为SRB。SRB一共有3中分别为SRB0、SRB1、SRB2。SRB0其实对应的是公共控制信道，是不属于某个用户的。是在小区建了好就会建了的。后两种信令承载是对应专用控制信道的，是对应用户的。SRB1在RRC建立过程完成（rrcconnection setup）。SRB2和DRB在E-RAB指派阶段完成（rrc connectionreconfiguration）。

rrcConnectionReqest是在SRB0上传输的， SRB0一直存在，用来传输映射到CCCH的RRC信令。UE收到NodeB的rrcConnectionSetup信令后，UE和NodeB之间的SRB1就建立起来了。eNodeB向UE发送RRCConnectionReconfiguration消息，建立SRB2和DRB.

“Signalling Radio Bearers” (SRBs) are defined as Radio Bearers (RB) that are used only for the transmission of RRC and NAS messages. More specifically, the following three SRBs are defined:

SRB0 is for RRC messages using the CCCH logical channel;
SRB1 is for RRC messages (which may include a piggybacked NAS message) as well as for NAS messages prior to the establishment of SRB2, all using DCCH logical channel;
SRB2 is for NAS messages, using DCCH logical channel. SRB2 has a lower-priority than SRB1 and is always configured by E-UTRAN after security activation.
下行piggybacked NAS消息仅仅使用在附着过程（例如连接成功/失败）：承载的建立/修改/释放。上行的piggybacked NAS消息在连接建立期间初始化NAS消息（也就是发起连接建立，MSG3）.

通过SRB2传输NAS消息也是被包含在RRC消息中的，但是这些NAS消息不包括任何RRC协议控制信息，只是在RRC消息传输的时候包含在RRC中，相当于此时RRC是一个载体的形式。

一旦安全模式被激活，所有SRB1和SRB2的RRC消息（包括某些NAS或者3GPP消息），都会通过PDCP来进行完整性保护和加密，NAS只是单独对NAS消息进行完整性保护和加密。换句话说，LTE存在的2层加密和保护：NAS只进行控制信令的加密工作，而PDCP同时进行控制平面和数据平面的完保和加密工作，SRB2的使用还要注意联系一点就是：它是建立在专用承载基础上的，使用DCCH逻辑信道.

DRB承载用户面数据，根据QoS不同，UE与eNodeB之间可同时最多建立8个DRB。

㈡ td-lte e5573s-856认证布骤认证

我购买的华为E5573S_856设备waif提示我登陆认证，可我怎么也认证？这样的情况，只能是按提示来操作的，不然无法正常连接到无线设备的，所以只有按提示操E-UTRAN去除RNC网络节点，目的是简化网络架构和降低延时，RNC功能被分散到了演进型NodeB(EvovledNodeB，eNodeB)和服务网关(ServingGateWay，S-GW)中。E-UTRAN结构中包含了若干个eNodeB，eNodeB之间底层采用IP传输，在逻辑上通过X2接口互相连接，即网格(Mesh)型网络结构，这样的设计主要用于支持UE在整个网络内的移动性，保证用户的无缝切换。每个eNodeB通过S1接口连接到演进分组核心(EvolvedPacketCore，EPC)网络的移动管理实体(MobilityManagementEntity，MME)，即通过S1-MME接口和MME相连，通过S1-U和S-GW连接，S1-MME和S1-U可以被分别看作S1接口的控制平面和用户平面。

在EPC侧，S-GW是3GPP移动网络内的锚点。MME功能与网关功能分离，主要负责处理移动性等控制信令，这样的设计有助于网络部署、单个技术的演进以及全面灵活的扩容。同时，LTE/SAE体系结构还能将SGSN和MME功能整合到同一个节点之中，从而实现一个同时支持GSM、WCDMA/HSPA和LTE技术的通用分组核心网。

LTE系统与WIFI、ZigBee等无线技术相比，LTE系统在安全性能上要优于其他的无线技术。对于TD-LTE系统而言。安全性包括接入层AS(AccessStratum)和非接入层NAS(Non-AccessStratum)两个层次，而接入层安全性相对而言更加重要。鉴于LTE系统涉及用户通信的隐私以及特殊领域通信的涉密性，LTE系统安全性显得尤为重要，那么，在该网络架构系统下，提供一种安全可靠的认证和加密方法能够进一步增强系统的安全性能。

技术实现要素：

有鉴于此，本发明针对上述现有技术存在的需进一步增强系统安全性能的问题，提供了一种加密和保护性能更佳，更安全可靠的TD-LTE鉴权认证和保护性加密方法。

本发明的技术解决方案是，提供一种以下结构的TD-LTE鉴权认证和保护性加密方法，包括以下步骤：TD-LTE中采用AES算法，用户开机发起注册，与网络端建立连接后发起鉴权与密钥协商过程；网络端的MME通过终端发来的移动用户标识以及参数，以发起鉴权过程，之后与终端进行密钥协商，发起安全激活命令，达到终端和网络端密钥的一致，以实现安全通信；所述的是MME为3GPP协议中LTE接入网络的关键控制节点，它负责空闲模式的终端的定位，传呼过程，包括中继。

采用以上结构，本发明与现有技术相比，具有以下优点：本发明提供了基于AES算法的加密方法，AKA过程最终实现了终端(UE)和网络端的双向鉴权，使两端的密钥达成一致，以便能够正常通信，通过网络端以及终端的交互过程，在鉴权和密钥协商过程中，以实现加密和保护，每个网络单元由一个LTE核心网EPC和一个eNodeB组成，这样的网络单元可以像蜂窝一样无缝覆盖一个区域，也可以将各自远离的物理网络区域连接成为一张离散的网络，网络中的终端用户具有良好的移动性。这种分布式网络架构非常适合专网的业务需求，即网络在保证可靠性、安全性的前提下，可以灵活部署，按需建设。在本发明之方法下，进一步提升了TD-LTE的安全性能。

作为优选，所述的鉴权与密钥协商过程为，通过鉴权中心和终端中所共有的密钥来计算加密密钥和完整性密钥，并由加密密钥和完整性密钥作为基本密钥计算一个新的父密钥，随后由此密钥产生各层所需要的子密钥，从而在终端和网络端之间建立演进型分组系统以安全上下文。生成的加密密钥和完整性密钥不应该离开归属地用户服务器，3G的CK、IK是可以存在于AV(authenticationvector，鉴权向量)中的，TD-LTE这样做是主要密钥不发生传输，提高了安全性。

作为优选，在TD-LTE中，非接入层和接入层分别进行加密和完整性保护，二者相互独立的，它们安全性的激活发生在AKA过程之后；网络端对终端的非接入层和接入层的激活顺序是先激活非接入层的安全性，再激活接入层的安全性。按照这样的步骤，加密过程更为合理，以非接入层作为优先级激活。

作为优选，非接入层的安全模式过程是由网络端发起，MME发送的安全激活命令是被非接入层完整性保护了但未被加密；终端在收到安全激活命令后，先比对消息中的终端安全性能力是否和终端发送给网络端以触发安全激活命令过程的终端安全性能力相同，以确定安全性能力未被更改，如果相同，表示可以接受；其次，进行非接入层密钥的生成，包括加密密钥和完整性保护密钥；接着，终端将根据新产生的完整性保护密钥和算法对收到的安全激活命令进行完整性校验，校验通过，表示该安全激活命令可以被接受，此安全通道可用；最后，终端发出安全模式完成消息给MME，所有的接入层信令消息都将进行加密和完整性保护；若安全模式命令的校验没通过的话，将发送安全模式拒绝命令给MME，终端退出连接。

作为优选，在非接入层的安全性激活后，开始接入层的安全性激活，网络端通过完整性保护密钥对其发送的安全激活命令进行完整性保护，并生成一个信息确认码；之后，将该传安全激活命令给终端；终端生成完整性保护密钥，对此安全激活命令进行完整性校验，生成用于校验的另一个信息确认码，如果两个信息确认码相匹配的话，通过校验，之后进一步生成加密密钥，并作进一步校验。

作为优选，发送方终端将明文帧利用公钥和私钥加密，将加密后得到的密文帧发送给接收方终端，接收方终端先由公钥对密文帧解密，再由带有接收方终端用户信息的私钥进一步解密。加密保护不能仅限于网络端与终端之间，终端与终端之间也需要加密保护，提高用户信息的保密性。

具体实施方式

下面结合就具体实施例对本发明作进一步说明。

本发明涵盖任何在本发明的精髓和范围上做的替代、修改、等效方法以及方案。为了使公众对本发明有彻底的了解，在以下本发明优选实施例中详细说明了具体的细节，而对本领域技术人员来说没有这些细节的描述也可以完全理解本发明。

本发明的一种TD-LTE鉴权认证和保护性加密方法，包括以下步骤：TD-LTE中采用AES算法，用户开机发起注册，与网络端建立连接后发起鉴权与密钥协商过程；网络端的MME通过终端发来的移动用户标识以及参数，以发起鉴权过程，之后与终端进行密钥协商，发起安全激活命令，达到终端和网络端密钥的一致，以实现安全通信；所述的是MME为3GPP协议中LTE接入网络的关键控制节点，它负责空闲模式的终端的定位，传呼过程，包括中继。

所述的鉴权与密钥协商过程为，通过鉴权中心和终端中所共有的密钥来计算加密密钥和完整性密钥，并由加密密钥和完整性密钥作为基本密钥计算一个新的父密钥，随后由此密钥产生各层所需要的子密钥，从而在终端和网络端之间建立演进型分组系统以安全上下文。生成的加密密钥和完整性密钥不应该离开归属地用户服务器，3G的CK、IK是可以存在于AV(authenticationvector，鉴权向量)中的，TD-LTE这样做是主要密钥不发生传输，提高了安全性。

在TD-LTE中，非接入层和接入层分别进行加密和完整性保护，二者相互独立的，它们安全性的激活发生在AKA过程之后；网络端对终端的非接入层和接入层的激活顺序是先激活非接入层的安全性，再激活接入层的安全性。

非接入层的安全模式过程是由网络端发起，MME发送的安全激活命令是被非接入层完整性保护了但未被加密；终端在收到安全激活命令后，先比对消息中的终端安全性能力是否和终端发送给网络端以触发安全激活命令过程的终端安全性能力相同，以确定安全性能力未被更改，如果相同，表示可以接受；其次，进行非接入层密钥的生成，包括加密密钥和完整性保护密钥；接着，终端将根据新产生的完整性保护密钥和算法对收到的安全激活命令进行完整性校验，校验通过，表示该安全激活命令可以被接受，此安全通道可用；最后，终端发出安全模式完成消息给MME，所有的接入层信令消息都将进行加密和完整性保护；若安全模式命令的校验没通过的话，将发送安全模式拒绝命令给MME，终端退出连接。

在非接入层的安全性激活后，开始接入层的安全性激活，网络端通过完整性保护密钥对其发送的安全激活命令进行完整性保护，并生成一个信息确认码；之后，将该传安全激活命令给终端；终端生成完整性保护密钥，对此安全激活命令进行完整性校验，生成用于校验的另一个信息确认码，如果两个信息确认码相匹配的话，通过校验，之后进一步生成加密密钥，并作进一步校验。

发送方终端将明文帧利用公钥和私钥加密，将加密后得到的密文帧发送给接收方终端，接收方终端先由公钥对密文帧解密，再由带有接收方终端用户信息的私钥进一步解密。

分布式TD-LTE网络单点故障受损最小；分布式TD-LTE网络可以提供安全隔离；分布式TD-LTE网络可以支持业务内容加密；分布式TD-LTE支持同频组网，抗干扰能力较强。分布式TD-LTE从技术的原理上实现的同频组网，大大提高了无线频率的利用率；TD-LTE比WLAN和ZigBee的抗干扰能力强，同时，1.8GHz频段(1785-1805MHz)为授权使用，受到国家的保护，干扰信号源远远低于WLAN和ZigBee。

在面对强电磁干扰时，作为无线电通信，大功率同频干扰或者邻频干扰，会对网络的容量和可用性造成严重损害。

需要注意的是：本实施例中涉及的模块和架构部件，部分采用了字母或英文的通用名词，由于专业术语描述的需要，并未统一成汉字，但本领域普通技术人员根据说明书的相关描述，能够知悉相关的实施手段，不会产生歧义。

以上仅就本发明较佳的实施例作了说明，但不能理解为是对权利要求的限制。本发明不仅局限于以上实施例，其具体结构允许有变化。总之，凡在本发明独立权利要求的保护范围内所作的各种变化均在本发明的保护范围内。

才可以的