定义
空口加密(Air Interface Encryption)对基站与终端间无线传输的用户面数据和控制面信令进行加密与完整性保护,防止窃听与篡改,是安全架构在接入层的核心机制。LTE/5G采用128-EEA(加密)和128-EIA(完整性)算法,密钥由密钥管理流程从KASME/KAMF派生,实现算法可配置(NEA0/1/2、NIA0/1/2)与算法协商。
加密与完整性算法
- 128-EEA1(SNOW 3G):流密码,3GPP legacy算法
- 128-EEA2(AES-CTR):AES分组密码CTR模式,广泛部署
- 128-EEA3(ZUC):国密流密码,满足国内合规
- 128-EIA:对应完整性算法(EIA1/2/3),采用HMAC或类似MAC
密钥层次与派生
空口加密密钥(KRRCenc、KUPenc、KRRCint等)由认证过程派生的KgNB逐级派生,实现密钥隔离。密钥在切换、周期性更新时刷新,保障前向安全。NEA0/NIA0表示空加密/空完整性,仅用于测试或特殊场景。
典型应用场景
所有LTE/5G用户面和控制面数据均需空口加密与完整性保护。达希物联的物联网卡在运营商网络中自动享受空口加密,设备与基站间传输的数据已加密,防止无线窃听。
达希物联的物联网卡在运营商网络中自动享受空口加密保护,用户面数据在基站与终端间传输时已加密,防止窃听。达希物联云平台可配合密钥管理,为高安全场景提供端到端加密方案,保障物联网数据安全。