專利名稱:加密數據傳輸方法和應用此方法的一種蜂窩無線電系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及一種在無線電系統(tǒng)中加密數據傳輸的方法,該系統(tǒng)包括在包含一個 或多個并行無線電載體或邏輯信道的無線電連接上與其他的發(fā)送接收機通信的至少一個 發(fā)送接收機。
背景技術:
當今加密被用于許多數據傳輸系統(tǒng)中以防止所發(fā)送的數據落入非授權用戶之
手。在過去若干年里加密的重要性在增長,尤其是當無線遠程通信已經成為較普通時。 例如,加密可以通過在發(fā)射機中對要發(fā)送的信息加密,并在接收機中對該信息
解密來實現。加密意味著,將要發(fā)送的信息,例如一個位流,用一定數量的加密位模式
相乘,因此如果所用的加密位模式不知道就很難找出原來的位流是什么?,F有技術講授許多不同的加密方法。例如,在FI 962352和WO95/01684中描述
這樣一些方法。 在一種數字GSM系統(tǒng)中,例如,加密是在無線電路徑上實現的在無線電路徑 上要發(fā)送的加密位流是通過將數據位與密碼位異或形成的,該密碼位由本來已知的算法 (A5算法),利用密碼關鍵字Kc形成的。A5算法將在通信業(yè)務信道和DCCH控制信道 上發(fā)送的信息加密。 當網絡已確認此終端但在信道上的通信業(yè)務還未被加密時設置密碼關鍵字Kc。 在GSM系統(tǒng)中終端是根據存儲在終端中的國際移動用戶身份IMSI,或者根據用戶身份形 成的臨時移動用戶身份TMSI來識別的。用戶識別關鍵字Ki也存儲在終端中。終端識 別關鍵字也為該系統(tǒng)所知。 為了加密可靠,有關密碼關鍵字Kc的信息必須保密。因此密碼關鍵字不是直接 地從網絡傳送到終端。在網絡中形成隨機接入號碼RAND,然后將該號碼通過基站系統(tǒng) 發(fā)送到終端。該密碼關鍵字Kc由已知的算法(A5算法)從隨機接入號碼RAND和用戶 識別關鍵字Ki形成。在終端和系統(tǒng)的網絡部分中用相同的方法計算該密碼關鍵字Kc。
因而, 一開始,在終端和基站之間的連接上的數據傳輸未被加密。在基站系統(tǒng) 給終端發(fā)送密碼模式命令以前加密不開始。當終端接收到該命令時,開始對要發(fā)送的數 據加密并對接收到的數據解密。相應地,基站系統(tǒng)在發(fā)送密碼模式命令以后開始對接收 到的數據解密,并在從終端接收第一加密消息的成功解碼以后將被發(fā)送的數據加密。在 GSM系統(tǒng)中,密碼模式命令包括開始加密命令,和關于所使用的算法方面的信息。
已知方法中的問題是它們是為現有的系統(tǒng)設計的,因此它們不靈活,不適合于 新系統(tǒng)中數據傳輸的加密,即在新系統(tǒng)中對于一個移動站有幾種并行的服務是可能的。在GSM中,例如,對信號和實際通信業(yè)務信道的加密是互相聯(lián)系的,不可能分開調節(jié)加 密特性。
發(fā)明內容
本發(fā)明的一個目的是提供一種解決以上問題的方法和實現此方法的系統(tǒng)。這是
利用一種在無線電系統(tǒng)中對數據傳輸加密的方法達到的,該無線電系統(tǒng)包括在一種包含 一個或多個并行無線電載體的無線電連接上與其他發(fā)送接收機通信的至少一個發(fā)送接收 機,加密是利用所選的加密方法參數在所述的載體上實現的。依據本發(fā)明的方法,在每 個并行無線電載體上,使用不同加密方法參數。 本發(fā)明也涉及一種蜂窩無線電系統(tǒng),在每個蜂窩中,包括至少一個基站,與位 于其覆蓋區(qū)中的終端通信,該系統(tǒng)包括一個基站控制器,控制一個或多個基站的操作, 所述的基站控制器和受其控制的基站組成基站系統(tǒng),系統(tǒng)中將至少一些終端安排成在一 個或多個無線電載體上同時地通信,并將所述的終端安排成利用在無線電載體上加密。 在本發(fā)明的系統(tǒng)中,將基站系統(tǒng)和終端安排成在每個同時使用的無線電載體上利用不同 的加密方法參數。 根據本發(fā)明的一方面,提供一種在無線電系統(tǒng)中加密數據傳輸的方法。該系統(tǒng) 包括在無線電連接上與至少一個基站系統(tǒng)通信的至少一個移動臺。所述連接包括至少 兩個并行無線電載體,并且所述方法包括利用所選的加密方法參數在所述載體上執(zhí)行加 密,每個載體都被映象到一個或多個物理信道,其中在每個并行無線電載體上使用不同 的加密方法參數,以支持在至少兩個并行無線電載體的每個上分別控制所述加密,其中 所述至少一個基站系統(tǒng)發(fā)送載體消息到所述至少一個移動臺,所述載體消息包括載體標 識符和作為參數的用于兩個傳輸方向的加密算法,從而以單一消息規(guī)定在不同傳輸方向 中使用不同的算法。 根據本發(fā)明的另一方面,提供一種蜂窩無線電系統(tǒng),包括,在每個小區(qū)中,至 少一個基站,與位于其覆蓋區(qū)中的終端通信,該系統(tǒng)還包括一個基站控制器,控制一個 或多個基站的操作,所述基站控制器和由其控制的基站組成基站系統(tǒng),在該系統(tǒng)中至少 幾個終端被安排同時在至少兩個無線電載體上通信,每個載體都被映象到一個或多個物 理信道,并且所述終端被安排為利用在無線電載體上加密,其特征在于,所述基站系統(tǒng) 和所述終端包括在每個同時被使用的無線電載體上采用不同的加密方法參數,以支持在 至少兩個并行無線電載體的每個上分別控制所述加密的裝置,其中所述基站系統(tǒng)還包括 用于發(fā)送載體消息到所述至少一個終端的裝置,所述載體消息包括載體標識符和作為參 數的用于兩個傳輸方向的加密算法,從而以單一消息規(guī)定在不同傳輸方向中使用不同的 在從屬的權利要求中限定了本發(fā)明的最佳實施方案。 利用本發(fā)明的方法和系統(tǒng)實現幾個優(yōu)點。在本發(fā)明的解決辦法中,雖然或者同 時(多路復用到一個L1幀中)或者根據時分原理使用幾個并行載體,加密及其性質可被靈 活地控制。當對幾個數據塊用XOR方法(如在GSM/GPRS中)并行加密時,重要的是對 不同數據塊(例如來自不同載體的數據)利用對于加密算法的不同輸入參數進行加密。如 果沒有這么做, 于監(jiān)聽并了解所發(fā)送數據(例如信令數據)結構的駭客(hacker)來說,通過將用相同的加密參數加密的數據塊進行XOR,有可能得到來自原始數據塊的XOR并 確定該數據的信息,甚至原始數據本身。本發(fā)明的另一個優(yōu)點是本發(fā)明可靈活地應用到 利用GSM/GPRS核心網絡的無線電系統(tǒng)。在GSM A接口中不需要改變,只需改變終端 和基站系統(tǒng)的軟件。本發(fā)明加強新無線電系統(tǒng)中的用戶安全。
以下將通過最佳實施方案并參考附圖,更詳細地描述本發(fā)明,其中 圖1示出依據本發(fā)明一種蜂窩無線電網絡結構的例子, 圖2示出在基站上一種發(fā)送接收機結構的例子, 圖3示出一種用戶終端結構的例子, 圖4用作說明一種蜂窩無線電網絡的協(xié)議堆棧, 圖5示出依據本發(fā)明描述密碼模式設置的一種消息序列方案的例子, 圖6示出依據本發(fā)明描述密碼模式設置的一種消息序列方案的另一個例子, 圖7示出依據本發(fā)明描述密碼模式設置的一種消息序列方案的第三個例子, 圖8示出依據本發(fā)明一種加密環(huán)境的方框圖;禾口 圖9示出計算載體專有密碼關鍵字(KcCi)的例子。
具體實施例方式
讓我們首先參考圖l研究本發(fā)明的一個典型的蜂窩無線電網絡的結構。圖l僅示 出對本發(fā)明來說必不可少的方框,對本領域的技術人員將很明顯的是, 一種通常的蜂窩 無線電網絡也包括在此未被更詳細描述的其他功能和結構。某些例子描述利用TDMA(時 分多址)方法。但本發(fā)明并不一定被考慮為限于此。本發(fā)明也可用在基于GSM的蜂窩 無線電網絡中,這些網絡至少是部份地基于GSM技術的系統(tǒng)。本發(fā)明也可用在與所用的 無線電傳輸技術無關的UMTS(通用移動電話系統(tǒng))中。 蜂窩無線電網絡典型情況下包括一種固定網的基礎結構,也就是網絡部分IOO,
和終端102,這些終端可被固定或安裝在車輛上,或者可以是便攜式終端。網絡部分IOO
包括基部104。多個基站104以集中方式受與它們連接的基站控制器106控制。基站
104包括發(fā)送接收機108。
在TDMA無線電系統(tǒng)中,例如, 一個發(fā)送接收機108為一個
TDMA幀提供無線電容量,如在GSM系統(tǒng)中, 一個TDMA幀包括八個時隙。 基站104包括控制發(fā)送接收機108和多路轉換器112的控制單元110。多路轉換
器112被用于由發(fā)送接收機使用的通信業(yè)務和控制信道組合在一個載體114上。 基站104的發(fā)送接收機108被連到天線單元118,利用它建立到終端102的雙向
無線電連接116。在雙向無線電連接116上被發(fā)送的幀結構是按系統(tǒng)類別規(guī)定的,該連接
被稱為空中接口。 圖2詳細示出在基站上一個發(fā)送接收機108結構的例子。在接收方向中,發(fā)送 接收機包括一臺接收機200,在其中從天線單元118接收到的信號被變換為中頻或直接變 換為基帶,然后被變換的信號在A/D變換器202中被采樣和量化,此信號從變換器供給均 衡器204,以補償干擾,例如由多徑傳播引起的干擾。解調器206從被均衡的信號中取出 位流,然后該位流被遞交逆多路轉換器208。逆多路轉換器208將來自不同時隙的位流分離到特定的邏輯信道。該信號被從逆多路轉換器供給去插入和解密209。然后信道編解 碼器216將不同邏輯信道的位流解碼,也就是確定是否位流由遞交給控制單元214的信號 信息組成,或是否位流由遞交給基站控制器106的代碼轉換器124的語音組成。信道編 解碼器216也實現纖錯??刂茊卧?14通過控制不同單元實現內部控制功能。
在傳輸方向中,來自信道編解碼器216的數據經受插入和加密227。加密也可 位于較高協(xié)議層(如本發(fā)明中描述的那樣),在這種情況下方框227僅包含插入功能。然 后該信號被供給脈沖串形成器228,通過加上訓練序列和尾部將脈沖串組裝起來供發(fā)送。 多路轉換器226為每個脈沖串分配時隙。調制器224將數字信號調制為射頻載波。已調 信號被供給發(fā)射機單元220,在其中傳輸前信號被濾波,也就是信號帶寬被限制在所希望 的范圍內,在濾波以后信號由天線單元118發(fā)送。另外,發(fā)射機220控制發(fā)送的輸出功 率。合成器212為不同單元安排必要的頻率。包含在合成器212中的鐘可被就地控制或 者可以集中方式由某個其他地方,例如由基站控制器106來控制。合成器,例如,由壓 控振蕩器產生必要的頻率。 現在讓我們參考圖1研究基站系統(tǒng)和基站控制器的結構?;究刂破?06包括 開關矩陣120和控制單元122。開關矩陣120被用于切換語音和數據并連接信號電路。 基站系統(tǒng)BSS132由一個或多個基站104和基站控制器106組成,還包括一個代碼轉換器 124。代碼轉換器124通常位于盡可能靠近移動服務交換中心128的地方,因為語音可從 代碼轉換器124和基站控制器106之間在蜂窩無線電網絡中傳送,傳輸容量被同時地節(jié) 省。在UMTS中基站控制器106可被稱為無線電網絡控制器RNC和基站104可被稱為 '節(jié)點B'。 代碼轉換器124轉換在公共交換電話網和移動網之間所使用的不同數字編碼方 法,使得它們是兼容的,可轉換的,例如,從固定網的64Kbit/s形式變換為蜂窩無線電網 的某種其他形式(例如,13Kbit/s),反過來也一樣??刂茊卧?22的功能是呼叫控制,移 動性管理,統(tǒng)計信息收集,和發(fā)信號。 在UMTS中,交互工作單元IWU130被用于將基站系統(tǒng)132適配到第二代GSM 移動服務交換中心128或者第二代包網絡的支持節(jié)點134。在圖1中,從終端102通過 移動服務交換中心128到公共交換電話網PSTN 136可以建立電路切換的連接。在蜂窩無 線電網中,也可利用包交換連接,例如通用包無線電服務GPRS。 在包網絡138禾PIWU 130之間的連接是通過服務GPRS支持節(jié)點SGSN 134建立的。支持節(jié)點134的功能是將 包從基站系統(tǒng)傳送到包網絡138并在節(jié)點區(qū)中保留用戶終端102位置的記錄。
交互工作單元IWU 130可如圖1中那樣,作為一個物理上分離的單元來實現, 或者可并入基站控制器106或移動服務交換中心128中。如圖1中所示,當利用包傳輸 時,數據并不必定在IWU 130和開關矩陣120之間傳送,當被傳送的數據并未經受代碼 轉換時通過代碼轉換器124。 現在讓我們參考圖3研究用戶終端102的結構的一個例子。終端的結構原本類 似于圖2發(fā)送接收機108的結構。在接收方向中,從天線300接收到的信號被供給雙工 濾波器302,將發(fā)送與接收中所用的頻率互相分開。信號從雙工濾波器302供給射頻部 分304,在其中信號被變換為中頻或直接變換為基帶,然后已變換的信號在A/D變換器 306中被采樣和量化。信號從變換器供給均衡器308,在此補償干擾,例如由多徑傳播引起的干擾。解碼器310從均衡信號中取出位流,然后位流被遞交逆多路轉換器312。逆 多路轉換器312將來自不同時隙的位流分離到特定的邏輯信道。信號由逆多路轉換器供 給去插入和解密313。加密也可位于較高協(xié)議層,在這種情況下方框313只包含插入功 能。然后信道解編碼器314將不同邏輯信道的位流解碼,也就是確定位流是否由遞交給 控制單元316的信號信息組成,或者是否位流由遞交給語音編解碼器318的語音組成,然 后對語音解碼。信號由語音編解碼器供給揚聲器320。信道編解碼器314也執(zhí)行糾錯。 控制單元316通過控制不同單元實施內部控制功能。以上所用的術語"邏輯信道"歸屬 于TDMA(GSM)系統(tǒng),在UMTS系統(tǒng)中具有不同的含義。 在發(fā)送方向中,信號由話筒322供給語音編解碼器318,對語音編碼。信號由語 音編解碼器供給信道編解碼器314,在其中實施信道編碼。從信道編解碼器314得到的 數據經受插入和加密319(加密在層1上實施的情況下)。然后信號被供給脈沖串形成器 324,例如,通過將訓練序列和尾部加到從信道編解碼器318得到的數據上將要發(fā)送的脈 沖串組裝起來。多路轉換器326為每個脈沖串分配時隙。調制器328將數字信號調制到 射頻載波。已調信號被供給射頻發(fā)射機單元330。在其中發(fā)送前信號被濾波,也就是信 號帶寬被限制到所希望的范圍內,在濾波以后信號被通過雙工濾波器302藉助于天線300 發(fā)送。發(fā)射機330也控制發(fā)送輸出功率。合成器332為不同單元安排必要的頻率。
在本發(fā)明的移動系統(tǒng),例如UMTS系統(tǒng)中,終端可以利用一個或多個并行無線 電載體與基站通信?,F在讓我們更詳細地研究術語"載體"。術語"載體"是一個網絡 服務方面使用的關于信息傳輸的高層次名稱。取決于服務,在UMTS中的信息通??衫?用一個或多個載體來發(fā)送。服務包括,例如,語音傳輸,數據服務,和視頻服務。另一 方面,無線電載體,代表在空中接口上延伸的載體的部分。通常一個邏輯信道攜帶一個 無線電載體。邏輯信道規(guī)定由MAC層提供的服務。取決于現有的服務模式,邏輯信道 可被映象到不同類型的傳輸信道(或者是專用傳輸信道DCH或者是公共傳輸信道RACH/ FACH)。傳輸信道規(guī)定由物理層提供的服務。也可以在MAC層上將幾個邏輯信道多路 復用為一個傳輸信道。傳輸信道被進一步映象到物理層上的物理信道。幾個傳輸信道可 通過層1多路復用為一個物理信道。也可以在傳輸信道多路復用以后,數據流被拼接為 幾個物理信道。 因為本發(fā)明的實施涉及到在蜂窩無線電網中所用的協(xié)議的功能和處理,現在我 們將參考圖4研究必要的協(xié)議堆棧如何可被實施的一個例子。在圖4中最左邊的協(xié)議堆 棧400位于終端102中。下一個協(xié)議堆棧402位于基站系統(tǒng)132中,第三協(xié)議堆棧404位 于IWU130中。最右邊的協(xié)議堆棧406位于移動服務交換中心128。 在用戶接口 102和 基站系統(tǒng)之間的無線載體上實施的空中接口 116也可稱為Um接口。 在基站系統(tǒng)132和 移動服務交換中心128之間的接口 140被稱為A接口 。在基站系統(tǒng)132和IWU之間的接 口 408是Iu接口 408。 依據ISO(國際標準化組織)的OSI模型(開放系統(tǒng)互聯(lián))提供協(xié)議堆棧。在OSI 模型中,協(xié)議堆棧分為層,總共有七層。每個單元102, 132, 130, 128有一個層,它與 另一個單元的層進行邏輯通信。只有最低的,物理層互相直接通信。其他的層始終利用 由下一個,較低的層提供的服務。因此在物理上消息必須在各層之間以垂直方向通過, 只有在最低層中消息在層之間水平地通過。
在圖4中第一和第二層被部分地組合到等級410。圖3中第三層是等級412。不 同層的功能在不同的子層之間被劃分。取決于單元,子層的數目和名字是變化的。
在最低的(第一)物理層,層1中發(fā)生實際的位-水平的數據傳輸。在物理層 中,機械的,電氣的和功能性的性能被規(guī)定以便允許連接到物理尾部。在空中接口 116 中,利用,例如,GSM中的TDMA技術或UMTS中的WCDMA技術來實施物理層。
下一(第二)層,也就是無線電鏈路層,利用物理層的服務實現可靠的數據傳 輸,通過適當的ARQ機制負責傳輸誤差校正。 在空中接口 116中無線電鏈路層被分成RLC/MAC子層和LAC子層。在RLC/ MAC子層(無線電鏈路控制/介質接入控制)中RLC部分的功能是將被傳送的數據分段 和組裝。此外,RLC部分對較高層隱藏物理層的無線電載體116質量方面的任何變化。 LAC子層(鏈路接入控制)控制第二和第三層之間接口中的數據流。LAC層,利用所提 供的服務的質量等級所需要的誤差檢測和校正等級,沿著無線電載體116傳送被接收到 的數據流。另一種可能的實施方案是在以下將引入的無線電網絡子層中與RLC/MAC子 層直接通信。在以后的實施方案中,LAC子層仍然可在移動站和核心網絡之間存在,對 無線電接入網絡是透明的。 第三層,也就是網絡層,使較上層獨立于終端之間連接所關注的數據傳輸和交 換技術。例如,網絡層建立,保持和釋放連接。在GSM中,網絡層也被稱為信號層。 它有兩個主要功能給消息安排路由,和允許在兩個實體之間有幾種同時的連接。
首先讓我們研究GSM的網絡層。在一個公共的GSM系統(tǒng)中,網絡層包括連接 管理子層CM,移動性管理子層MM,和無線電資源管理子層。 無線電資源管理子層取決于在GSM中所使用的無線電技術,它管理頻譜和系統(tǒng) 對無線電條件中任何改變的反應。此外,通過,例如,負責信道選擇,信道釋放,任何 的頻率跳躍序列,功率控制,時間調諧,從用戶終端接收測量報告,定時提前量調節(jié), 密碼模式設置,和蜂窩之間轉交。保持一個高質量的信道。在用戶終端102和基站控制 器106之間的子層中傳送消息。在下行方向中某些無線電資源管理消息可被從基站傳送 到用戶終端102。 移動性管理子層MM負責由終端用戶的移動性引起的,與無線電資源管理子層 的操作并無直接關系的任何這樣一些結果。在一個固定網絡中,子層將檢查用戶的授權 并控制對網絡的注冊。因而,在蜂窩無線電網中,子層支持用戶的移動性,注冊,和由 移動性引起的數據的管理。此外,子層檢查用戶終端的身份和終端被授權使用的服務的 本體。在該子層中在用戶終端102和移動服務交換中心128之間傳送消息。
連接管理子層CM管理涉及管理電路交換式呼叫的所有功能。通過呼叫管理實 體負責這些功能;其他的服務,例如SMS(短消息服務),具有它們自己的實體。連接管 理子層并不檢測用戶的流動性。因而,在GSM中連接管理子層的功能幾乎直接從固定網 的(ISDN)ISDN(集成服務數字網)得到。呼叫管理實體建立,保持,和釋放呼叫。對于 由用戶終端102啟動的呼叫和在此終止的呼叫有不同的步驟。消息也在用戶終端102和 移動服務交換中心128之間的這個子層中被傳送。 圖4示出UMTS系統(tǒng)的協(xié)議堆棧。在GSM的通常物理層中,采用TDMA技 術。在UMTS中被用寬帶CDMA技術(碼分多址)或寬帶CDMA和TDMA技術的組合代替。然而以上的GSM無線電資源管理子層不能在UMTS中被重新使用;相反,被用 提供以上相同服務的無線電網絡子層RNL代替。無線電網絡子層可被分成RBC(無線電 載體控制)和RRC(無線電資源控制)子層,但它也可保持不分。如果保持不分,它可被 稱為RRC子層。如果分成子層,RRC子層,例如,負責蜂窩信息廣播,尋呼,用戶終 端102測量結果的處理,和轉交。另一方面RBC子層,負責建立邏輯連接,由此規(guī)定, 例如,位速率和為無線電載體需要的其他物理層參數,誤位率,和是否涉及包交換或電 路交換類型的物理資源保留。 對于雙模式終端(UMTS+GSM),在用戶終端102中的移動性管理和無線電網絡 子層之間需要一個UAL子層(UMTS適配層)。在UAL子層中較高的,移動性管理子層 的基元被變換為較低的,無線電網絡子層的基元。UAL層允許將幾個第二代的移動性管 理子層(例如,GPRS和GSM移動性管理子層)適配為單一的無線電網絡子層。
只在基站系統(tǒng)132中處理的網絡層的子層是無線電網絡子層;連接管理和移動 性管理子層的消息被透明地處理,例如它們可作為在RRC消息中的有效載荷被攜帶。 RANAP子層(無線電接入網絡應用部分)提供用于電路交換或包交換連接的協(xié)商和管理的 步驟。它相應于GSM的BSSAP(基站系統(tǒng)應用部分),由BSSMAP(基站系統(tǒng)管理部分) 和DTAP(直接傳送應用部分)組成。 例如,利用ATM協(xié)議(異步傳送模式)SAAL/SS7(信號ATM適配層/信號系統(tǒng) 號7)和AAL(ATM適配層)可實現/u接口 408的較低層。 IWU 130具有與基站系統(tǒng)132對應的RANAP。 SAAL/SS7和AAL子層和物理 層。在IWU和BSS之間的較低層也可用其他協(xié)議實現。 此外,IWU 130和移動服務交換中心128包括BSSMAP層,用于傳送在特定的 用戶終端102上的信息和IWU 130和移動服務交換中心128之間基站系統(tǒng)132上的控制信 息。 在A接口中,第一和第二層可利用MTP和SCCP子層(消息傳輸部分;信號連 接控制部分)實現。它們的結構比空中接口 116中的簡單。因為,例如不需要移動性管理。 因此可將本發(fā)明用于一種無線電系統(tǒng),其終端可利用一個或多個并行無線電載 體與其他的發(fā)送接收機通信。典型情況下,當在終端和網絡之間建立呼叫時,首先為終 端和基站子系統(tǒng)之間的信號無線電載體SRB建立物理信道, 一旦此信道已被建立,可建 立實際的通信業(yè)務載體。SRB也可稱為信號鏈路。 現在讓我們通過示于圖5中的消息序列方案,研究在信號無線電載體上密碼模 式設置步驟的一個例子。該圖示出終端的無線電網絡層(RNL)和邏輯鏈路接入控制層 (LAC),基站系統(tǒng)的對應層,和交互作用單元IWU。然而,應該理解,圖5示出的只是 一種可能的發(fā)信號的例子。在本發(fā)明的解決辦法中,與加密有關的決策也可在圖5中描 述的層以外的其他協(xié)議層中完成。 在信號無線電載體SRB已被建立和利用核心網絡對用戶的證實已被執(zhí)行以后實 施設置步驟。 在步驟500中,BSS-RNL從由IWU或CN節(jié)點發(fā)送的消息(CIPHER_MODE_ COMMAND)接收密碼關鍵字Kc。該消息包括密碼關鍵字和所允許的加密算法方面的消息。BSS可為此移動站存儲所允許的加密算法供將來使用。BSS也為信號無線電載體決 定使用的算法或幾種算法。決策是根據終端的性質完成的。例如,在GSM中用所謂的 分類標記數據來描述性質。在UMTS中這種數據可被稱為"用戶設備能力"。這種數 據描述終端的技術性質,例如終端的傳輸功率和加密能力,和終端支持的頻率。在每個 新連接的開始,終端發(fā)送其分類標記數據到網絡。 在這份特定的圖中,通過舉例,假定通信業(yè)務信道的加密是在LAC層中實施 的。然而,加密在哪個協(xié)議等級實施對本發(fā)明來說不是至關重要的(所用的協(xié)議層主要影 響可用作對加密算法輸入參數的幀數,見圖8)。當BSS-RNL在被使用的加密參數方面已 經完成決策時,在步驟502中給BSS-LAC層一個請求,大意是對接收到信息的解密應該 開始。該消息包括在上行方向中關于被使用的關鍵字Kc的信息和被使用的算法的信息。
在步驟504中,BSS-RNL從BSS-LAC層接收確認。在步驟506中,BSS-RNL發(fā)送加密模式消息(CIPHERING_MODE_COMMAND)
到終端的RNL層。消息以非加密形式發(fā)送。在本發(fā)明的解決辦法中,在不同傳輸方向 中使用的算法被包含在消息的參數中。如果相同的算法被用于傳輸的兩個方向,則該消 息只包括一個算法。 在步驟508中,MS-RNL,在接收加密模式命令以后,請求MS-LAC層應該開
始利用所希望的算法對被發(fā)送信號的加密和對接收到信號的解密。 在步驟510中,MS-LAC發(fā)送確認到MS-RNL層。 在步驟512中,MS-RNL發(fā)送對加密模式命令(CIPHERING_MODE_ COMPLETE)的確認到BSS-RNL,消息以加密形式發(fā)送。 在步驟514中,BSS-RNL請求BSS-LAC層在下行方向中開始加密。消息或基
元包括被使用的算法方面的信息,如果與上行中使用的算法不同的話。 在步驟516中,BSS-LAC發(fā)送確認到BSS-RNL。 在步驟518中,BSS-RNL給網絡發(fā)送通知,指明加密已經開始。 鑒于以上的方法,在接收方能夠解碼以前,無論終端還是基站都將不發(fā)送編碼信號。 圖5中所描述的步驟在連接改變一個或多個無線電載體的密碼模式參數期間也 可使用。 本發(fā)明的系統(tǒng)也使在通信業(yè)務載體被建立或重新配置時改變加密參數成為可 能。加密參數,例如加密關鍵字Kc或加密算法,在不同的無線電載體上例如在通信業(yè)務 載體和信號無線電載體或兩個通信業(yè)務載體之間可以是不同的。 現在讓我們通過示于圖6中的消息序列方案,研究在一個實際通信業(yè)務載體上 密碼模式設置步驟的例子。該圖示出終端的無線電網絡層(RNL)和基站系統(tǒng)的無線網絡 層。應該理解,圖6,與圖5相似,只用作說明可能發(fā)信號的一個例子。圖6并不用作 說明通信的所有細節(jié),也就是消息如何在較低載體層和物理層中行進。通信被描述為所 謂的同等層間通信,也就是在對應層之間通信。 在實際通信業(yè)務載體上的密碼模式設置步驟被實施與設置無線電載體有關。網 絡在連接的加密參數方面作出決定。在步驟600中,從網絡請求新的通信業(yè)務載體。
在步驟602中,BSS-RNL發(fā)送載體消息到MS-RNL層。該消息包括載體標識符BID和與載體QOS有關的載體服務質量。該消息進一步包括作為參數的用于兩個傳 輸方向的加密算法。因此可以用單一消息規(guī)定在不同傳輸方向中使用的不同算法。如 果在兩個傳輸方向中使用相同的算法,那末消息只包括一種算法。消息進一步包括一個 通知(CIPHERKEYCHANGE, ITERATIONCOUNT),指明是否在信號無線電載體SRB上 所用的密碼關鍵字必須被改變。如果密碼關鍵字被改變,計算此關鍵字的優(yōu)選方法是, 例如,利用計算原來的關鍵字Kc相同的算法,利用原來的隨機接入號碼RAND和以前的 密碼關鍵字Ki作為算法的參數。通常一個算法可被連續(xù)地迭代幾次,迭代次數由參數 ITERATIONCOUNT確定。 在步驟604中,MS-RNL發(fā)送確認到BSS-RNL層。在步驟606中為新的無線電 載體提供第二層的實體(層2),在步驟608中,新載體提供第二層的實體(層2),在步驟 608中,新載體的確認被發(fā)送到網絡。因為連接參數決定以前(通過消息602和604),并 沒有為新的載體提供第二層,密碼模式設置并不需要分開發(fā)信號。 依據本發(fā)明的系統(tǒng)還允許在連接期間改變在無線電載體上所用的加密方法參 數。 現有讓我們通過圖7所示的消息序列方案研究在實際通信業(yè)務載體上密碼模式 設置步驟的例子。該圖示出終端的無線電網絡層(RNL)和基站系統(tǒng)的無線電網絡層。應 該理解,圖7,像圖6—樣,只是用作說明一種可能發(fā)信號的例子,而且,圖7并不示出 通信的所有細節(jié),也就是消息如何在較低載體層和物理層中行進。
在步驟700中,網絡向BSS-RNL層發(fā)送載體重新配置請求。
在步驟702中,BSS-RNL發(fā)送載體重新配置請求B_RECNF到位于用戶終端中 的對應層MS-RNL。重新配置請求B_RECNF包括用于終端RNL層的一個或多個載體標 識符BID和載體QOS對應的服務質量。消息進一步包括作為參數用于兩個傳輸方向的加 密算法。因此可以用單一消息規(guī)定用于不同傳輸方向中的不同算法。如果相同的算法用 于兩個傳輸方向中,消息只包括一種算法。消息的另一個參數是密碼關鍵字是否必須被 改變的一個指示(CIPHERKEYCHANGE, ITERATIONCOUNT)。 密碼關鍵字的改變可優(yōu) 選地用關于圖6所描述的方法來實現。 在步驟704中,用戶終端的無線電網絡子層MS-RNL觸發(fā)重新配置。在成功地 重新配置以后,用戶終端發(fā)送確認B—COMP,包括單一參數,載體身份BID。如果密碼 改變涉及用于傳送消息B_RECNF和B_COMP的載體,那末將利用新的加密發(fā)送消息B_ COMP。 在步驟708中,BSS-RNL執(zhí)行重新配置,在步驟710中,發(fā)送配置確認到網絡。
依據圖7的重新配置既可在信號無線電載體上實施也可在通信業(yè)務載體上實 施。 圖8描述在本發(fā)明中規(guī)定的基本加密環(huán)境的方框圖。與用于每個并行無線電載 體的現有系統(tǒng)(GSM-GPRS)不同,使用載體專有的Kc(i),因此由算法產生的加密掩模(位 串)是載體專有的。在計算單元800中對于每個載體的步驟是分開地實施的。來自計算 單元800的加密掩模802-806與來自載體的數據塊異或得到被加密的數據。用作計算單 元輸入參數的幀數取決于實施加密功能的協(xié)議層。如果在LLC層上實施(像GPRS中那 樣),必須使用LLC幀數和規(guī)定傳送所用的幀數到接收實體的某些機制。如果加密功能位于MAC層或層1,可使用至少部分由物理幀數(用于在層1上傳送數據塊)組成的幀 數。 已加密數據在無線電路徑上被發(fā)送并在接收機中實施解密。 圖9示出利用加密算法和信號無線電載體(在本例中,載體0)的Kc作為起點如 何計算載體專有加密關鍵字Kc(i)的一個例子。在此所用的Kc和算法也可以是信號載體 以外的某些其他載體的。對于加密算法的其他所需輸入參數900, 902可按預先規(guī)定的規(guī) 則計算,或者它們可被包含在每次一個新的Kc(i)需要被計算時從BSS發(fā)送到終端的信號 消息中(用于載體建立或重新配置或加密模式命令消息的參數)。 在GSM中,網絡可在存在無線電載體期間的任何時候請求用戶證實。在此加密 參數可被改變。這種類型的選件在將來的移動系統(tǒng),例如UMTS系統(tǒng)中也是可能的。在 本發(fā)明的系統(tǒng)中,終端可具有幾個并行的無線電載體,并且在每個無線電載體上可以使 用不同的加密參數。因為實際加密最好在終端和基站系統(tǒng)之間的連接上實施,BSS-RNL 層可以決定如何實施由網絡請求的證實和密碼模式設置。選項包括
-新的RAND號碼被存儲供將來使用,但密碼模式設置被略去,
-在信號無線電載體上改變密碼關鍵字。
-在所有有效載體上改變密碼關鍵字。 在本發(fā)明的解決辦法中,基站控制器可以具有所用密碼關鍵字方面的信息。當 終端執(zhí)行轉交,切換到老的基站以外由不同的基站控制器控制的基站時必須考慮這一 點。所需的信息在本發(fā)明中被從老的基站控制器傳送到與轉交有關的新基站控制器。
本發(fā)明的解決辦法在無線電系統(tǒng)中優(yōu)選的方式是由軟件實現,因此本發(fā)明需要 在位于基站控制器106的控制單元122中的協(xié)議處理軟件和位于用戶終端102的發(fā)送接收 機的處理器316中的協(xié)議處理軟件中的某些功能。部分解決辦法可以部分地由硬件(例 如利用ASIC,分離元件或用DSP)來實施以滿足時間要求,如果來自幾種并行載體的數 據需要被同時地加密,使得它們能被多路復用到一個無線電幀。這主要涉及在圖9提出 的加密單元,示于圖9中。 雖然參考在附圖中示出的例子描述了本發(fā)明,但應該理解,本發(fā)明并不限于 此,可以用許多方法作改變,都將落在所附權利要求中公開的本發(fā)明構思的范圍內。
權利要求
一種在無線電系統(tǒng)中加密數據傳輸的方法,該系統(tǒng)包括在無線電連接(116)上與至少一個基站系統(tǒng)(132)通信的至少一個移動臺(102),其特征在于,所述連接包括至少兩個并行無線電載體(118),并且所述方法包括利用所選的加密方法參數在所述載體上執(zhí)行加密,每個載體都被映象到一個或多個物理信道,其中在每個并行無線電載體(116)上使用不同的加密方法參數,以支持在至少兩個并行無線電載體的每個上分別控制所述加密,其中所述至少一個基站系統(tǒng)(132)發(fā)送載體消息到所述至少一個移動臺(102),所述載體消息包括載體標識符和作為參數的用于兩個傳輸方向的加密算法,從而以單一消息規(guī)定在不同傳輸方向中使用不同的算法。
2. 如權利要求1的方法,其特征在于,無線電系統(tǒng)是蜂窩無線電系統(tǒng),包括基站 (104)和基站控制器(106),每個基站控制一個或多個蜂窩中的無線電發(fā)送和接收,每個蜂 窩由在一個物理信道上播放的蜂窩身份來識別,和每個基站控制器控制蜂窩中無線電資 源的使用和整合,至少一個蜂窩與位于其覆蓋區(qū)的終端(102)通信,所述的基站控制器和 由它控制的基站組成基站子系統(tǒng)(132),終端利用一個或多個無線電載體與至少一個蜂窩 通信。
3. 如權利要求2的方法,其特征在于,至少一個無線電載體是雙向的,在不同的傳輸 方向中使用不同的加密方法參數。
4. 如權利要求2的方法,其特征在于,至少一個無線電載體是雙向的,在兩個傳輸方 向中使用類似的加密方法參數。
5. 如權利要求2的方法,其特征在于,在一個無線電載體上使用的加密方法參數在連 接期間被改變。
6. 如權利要求1或2的方法,其特征在于,所用的加密方法由至少一個密碼關鍵字, 一個加密算法所確認。
7. 如權利要求6的方法,其特征在于,所用的加密方法進一步由算法的迭代次數所確定。
8. 如權利要求1或2的方法,其特征在于,當終端和基站之間的連接被建立時,首先 為信號鏈路建立連接,此后為實際的通信業(yè)務載體或若干載體建立連接,當通信業(yè)務載 體或若干載體被建立時,所用的加密方法參數被改變。
9. 如權利要求8的方法,其特征在于,基站系統(tǒng)向終端發(fā)送通信業(yè)務載體建立消息 (B_RQST, 602),包括在通信業(yè)務載體上所用的加密方法參數方面的信息。
10. 如權利要求4的方法,其特征在于,基站系統(tǒng)向終端發(fā)送無線電載體重新配置消 息(B—RECNF, 702),包括在無線電載體上所用的加密方法參數方面的信息。
11. 如權利要求4的方法,其特征在于,基站系統(tǒng)向終端發(fā)送加密模式命令消息 (506),包括在無線電載體上所用的加密方法參數方面的信息。
12. 如權利要求9的方法,其特征在于,通信業(yè)務載體建立消息(B—RQST, 602)包括 以下至少一項-無線電載體標識符;-關于密碼關鍵字改變的信息;-一個或多個加密算法;-加密算法迭代的次數。
13. 如權利要求11的方法,其特征在于,無線電載體重新配置消息(B—RECNF)包括 以下至少一項-無線電載體標識符; -有關密碼關鍵字改變的信息; -加密算法迭代的次數。
14. 如在權利要求11的方法,其特征在于,加密模式命令消息(506)包括以下至少一項-無線電載體標識符;-有關密碼關鍵字改變的信息。
15. 如權利要求12的方法,其特征在于,有關密碼關鍵字改變的信息規(guī)定用于計算載 體專有的Kc(i)的參數和規(guī)則。
16. 如權利要求12中的方法,其特征在于,計算載體專有的Kc(i)的規(guī)則是預先規(guī)定的。
17. 如權利要求12的方法,其特征在于,計算載體專有的Kc(i)的規(guī)則利用加密算法 和已經為信號載體或某些通信業(yè)務載體使用的Kc。
18. —種蜂窩無線電系統(tǒng),包括,在每個小區(qū)中,至少一個基站(104),與位于其覆 蓋區(qū)中的終端(102)通信,該系統(tǒng)還包括一個基站控制器(106),控制一個或多個基站的 操作,所述基站控制器和由其控制的基站組成基站系統(tǒng)(132),在該系統(tǒng)中至少幾個終端 被安排同時在至少兩個無線電載體(116)上通信,每個載體都被映象到一個或多個物理信 道,并且所述終端被安排為利用在無線電載體上加密,其特征在于,所述基站系統(tǒng)和所 述終端包括在每個同時被使用的無線電載體上采用不同的加密方法參數,以支持在至少 兩個并行無線電載體的每個上分別控制所述加密的裝置,其中所述基站系統(tǒng)(132)還包括 用于發(fā)送載體消息到所述至少一個終端(102)的裝置,所述載體消息包括載體標識符和作 為參數的用于兩個傳輸方向的加密算法,從而以單一消息規(guī)定在不同傳輸方向中使用不 同的算法。
19. 如權利要求18的蜂窩無線電系統(tǒng),其特征在于,所述基站系統(tǒng)和所述終端包括具 有雙向數據傳輸連接并在不同的傳輸方向中使用不同的加密方法參數的裝置。
20. 如權利要求18的蜂窩無線電系統(tǒng),其特征在于,當呼叫被建立時,所述終端和 所述基站系統(tǒng)包括建立裝置,用于首先為信號無線電載體建立連接,當此連接已被建立 時,為實際的通信業(yè)務載體建立連接,所述終端和所述基站系統(tǒng)包括改變裝置,用于當 通信業(yè)務載體連接被建立時,改變加密方法參數,以便基站系統(tǒng)向終端發(fā)送通信業(yè)務載 體請求(B_RQST),包括在通信業(yè)務載體連接上所用的加密方法參數方面的信息。
21. 如權利要求18中的蜂窩無線電系統(tǒng),其特征在于,所述終端和所述基站系統(tǒng)包括 改變裝置,用于在連接期間改變在無線電載體上所用的加密方法參數,使得基站系統(tǒng)向 終端發(fā)送無線電載體重新配置消息(B_RECNF),包括在無線電載體連接上所用的加密方 法參數方面的信息。
全文摘要
本發(fā)明涉及一種蜂窩無線電系統(tǒng)和一種在無線電系統(tǒng)中加密數據傳輸的方法,該系統(tǒng)包括在包含一個或多個并行無線電載體或邏輯信道的無線電連接(116)上與其他發(fā)送接收機(108)通信的至少一個發(fā)送接收機(102),加密是利用所選的加密方法參數在所述的載體或邏輯信道上實施的。加密是利用所選的加密方法參數在所述的載體上進行的。為了保證各種各樣和有效的加密,可在每個并行無線電載體(116)上使用不同的加密方法參數。
文檔編號H04W76/02GK101692731SQ200910209839
公開日2010年4月7日 申請日期1999年1月28日 優(yōu)先權日1998年1月29日
發(fā)明者J·布里特施吉, J·維爾倫 申請人:諾基亞有限公司