Het implementeren van beveiliging door middel van encryptie (zowel control plane (RRC) data als user plane data) en integriteitsbescherming (alleen voor control plane (RRC) data). Dit is de verantwoordelijkheid van de PDCP-laag. Een PDCP Data PDU-teller (in de specificaties van LTE bekend als de “COUNT”) wordt gebruikt als invoer voor de beveiliging van algoritmen. waarde COUNT wordt verhoogd voor elke PDCP PDU-data tijdens een RRC-verbinding, heeft een lengte van 32 bits, om een acceptabele tijd voor de RRC-verbinding mogelijk te maken.
Bij een RRC-verbinding wordt de telling bijgehouden door zowel de UE als de eNodeB, waarbij elke verzonden/ontvangen PDCP-gegevens-PDU wordt geteld. Om robuustheid tegen pakketverlies te garanderen, bevatten alle beschermde PDCP PDU-gegevens een PDCP-volgnummer (SN) dat overeenkomt met de minst significante bits van de telling. Als er dus één of meer pakketten verloren gaan, kan de juiste telwaarde van een nieuw pakket worden bepaald met behulp van de PDCP SN. Dit betekent dat de telwaarde wordt geassocieerd met de eerstvolgende hoogste telling waarbij de minst significante bits overeenkomen met de waarde van de PDCP SN.
Verlies van synchronisatie van de telwaarde tussen de gebruikersapparatuur en de eNodeB kan dan optreden als een aantal pakketten dat overeenkomt met de maximale SN opeenvolgend verloren gaat. In principe kan de waarschijnlijkheid dat dit type synchronisatieverlies optreedt worden geminimaliseerd door de lengte van de SN te vergroten, zelfs bij het meten van de overdracht van de telwaarde in elke set PDCP-gegevens PDU. Dit zal echter een sterke overbelasting veroorzaken en daarom worden alleen de minst significante bits gebruikt, aangezien de SN, SN van de werkelijke lengte afhankelijk is van de configuratie en het type PDU.
Dit gebruik van een meter is ontworpen om te beschermen tegen een soort aanval die bekend staat als een replay-aanval waarbij de aanvaller een pakket probeert te onderscheppen dat eerder is berekend met behulp van de COUNT. Biedt bescherming tegen aanvallen die gericht zijn op modelafleiding en coderingssleutel die worden gebruikt bij het vergelijken van opeenvolgende modellen . Vanwege het gebruik van de COUNT-waarde zal het coderingsmodel, zelfs als hetzelfde pakket twee keer wordt verzonden, volledig ongecorreleerd zijn tussen de twee transmissies, waardoor mogelijke inbreuken op de beveiliging worden voorkomen.
De integriteitsbescherming wordt uitgevoerd door voor elk RRC-bericht een veld toe te voegen dat bekend staat als de “Message Authentication Code for Integrity” (MAC-I). Deze code is gebaseerd op van de toegangslaag (AS) afgeleide sleutels, de bericht-ID, de radiodrager in de richting (uplink of downlink, dat wil zeggen) en de COUNT-waarde.
Als de integriteitscontrole mislukt, wordt het bericht weggegooid en wordt een integriteitsverificatiefout aangegeven voor de RRC-laag, zodat de RRC-verbindingsprocedure kan worden uitgevoerd. Versleuteling wordt tot stand gebracht door het uitvoeren van een XOR-bewerking met het bericht en de versleutelingsstroom, die wordt gegenereerd door het versleutelingsalgoritme op basis van de afgeleide sleutels AS, de identiteitsrichting van de radiodrager (d.w.z. uplink of downlink) en de waarde COUNT.
Encryptie kan worden toegepast op PDCP Data PDU. PDCP-controle-PDU (zoals ROHC-feedback of rapporten over de status van PPPC) zijn niet gecodeerd en ook niet integriteitsbeveiligd. Behalve bij identieke hertransmissies mag dezelfde COUNT-waarde niet meerdere keren worden gebruikt voor sleutelbeveiliging. ENodeB is verantwoordelijk voor het voorkomen dat dezelfde combinatie van op de radiodrageridentiteit gebaseerde sleutel en algoritme AS opnieuw wordt geteld. Om dergelijk hergebruik te voorkomen, kan eNodeB bijvoorbeeld verschillende radio-radiodrageridentiteiten gebruiken die achtereenvolgens eenheden dragen, een cel activeren of een statusovergang activeren van de UE die is verbonden met inactief en weer verbonden.