用于慢关联控制信道信令的方法和系统的制作方法

用于慢关联控制信道信令的方法和系统的制作方法
【专利摘要】公开了用于慢关联控制信道信令的方法和系统。本文公开的用于保护移动网络中的通信的示例方法包括：在第一慢关联控制信道(SACCH)上开始加密之前在所述第一(SACCH)上发送第一类消息的第一变型(522、524)，以及在所述第一(SACCH)上开始加密之后，在所述第一(SACCH)上发送所述第一类消息的第二变型(626)，以及在所述第一(SACCH)上后续发送所述第一类消息的所述第二变型，其中，后续发送的所述第一类消息的第二变型是在所述第一(SACCH)上接下来发送的所述第一类消息。
【专利说明】用于慢关联控制信道信令的方法和系统
[0001]相关申请
[0002]本专利要求于2011年2月24日提交的题为“Method and System for SlowAssociated Control Channel Signaling” 的美国临时申请序号 61 / 446，488 的优先权。以全文引用的方式将美国临时申请序号61 / 446，488并入本文中。
【技术领域】
[0003]本公开涉及移动通信的安全，且在一个方案中涉及在与全球移动通信系统(GSM)的慢关联控制信道(SACCH)上传输信息。
【背景技术】
[0004]GSM支持大量不同的加密技术，以在无线接口上对层I上的数据加密。根据第三代合作伙伴计划(3GPP) “技术规范组服务和系统方案；与安全相关的网络特征”，技术规范43.020V9.1.0,2009-12-18，这些加密技术被称为A5 / 1、A5 / 3和A5 / 4，以引用的方式将技术规范43.020V9.1.0并入本文中。
[0005]A5 / I加密是用于GSM的最常使用的加密技术，且从GSM版本1999开始，针对A5 / I的支持对于所有GSM移动设备是强制性的。A5 / 3和A5 / 4是更鲁棒的加密算法，它们最近已由3GPP来规定，且在当前工作中的移动设备或网络中尚未被广泛支持。
[0006]在使用A5 / I密码的GSM中的物理层(层I)安全性容易受到破坏，且研究人员已证明通过针对采用A5 / I密码的GSM语音呼叫进行“已知明文”攻击，对该弱点的利用是可行的。
[0007]当攻击者可获得已知文本的加密块时，可以针对加密算法执行已知明文攻击。在GSM的情况下，在语音呼叫期间，已经知道通过慢关联控制信道(SACCH)的信令对于已知明文攻击是脆弱的，因为在语音呼叫期间的SACCH内容周期性地构成了重复和可预测的信息。具体地，SACCH周期性地发送对于相邻小区配置特定的信息。在小区的广播控制信道(BCCH)上还以不加密的方式广播相同的信息，且该相同信息可以由小区中的任何移动设备来读取(且因此攻击者可获得)。此外，可以在建立加密操作之前以不加密的格式在SACCH上发送该信息。
[0008]对于给定小区的相邻小区配置特定的信息通常是静态的，且因此通常在呼叫期间不改变。通过SACCH发送的系统信息(SI)消息携带了呼叫期间的相邻小区配置信息。在SACCH上发送的系统信息消息中的该“已知”文本的加密使得加密SACCH的内容对于用于获得密码会话密钥的所谓的已知明文攻击是开放的。一般而言，与SACCH关联的问题是:有可能从其他(未加密或已解密的)来源获得在SACCH上加密发送的信息，且可能在SACCH上重复发送该信息。相邻小区信息是一个这种示例。
【专利附图】

【附图说明】
[0009]参照附图将更好地理解本公开，在附图中:[0010]图1是示出了下行链路SACCH消息的框图；[0011]图2是示出了 SACCH消息的信道编码和加密的框图；[0012]图3是示出了在BCCH和SACCH上发送相邻小区信息的框图；[0013]图4是示出了使用A5算法对SACCH消息加密和解密的框图；[0014]图5是示出了用于在SACCH上使用针对每个消息变化的格式来发送相邻小区信息 的现有技术的框图；[0015]图6是示出了第一示例公开的SACCH信令技术的框图，其涉及在加密之前和之后 在SACCH上发送相同类型消息的不同变型；[0016]图7是示出了第二示例公开的SACCH信令技术的框图，其涉及在与不同移动设备 相对应的不同SACCH上发送相同类型消息的不同变型；[0017]图8是示出了第三示例公开的SACCH信令技术的框图，其涉及在加密开始之后的 初始化和稳定时段期间使用相同类型消息的不同变型；[0018]图9是示出了第四示例公开的SACCH信令技术的框图，其涉及改变SACCH上不同 稳定集合中包含的用于发送消息的消息变型；[0019]图10是示出了示例网络架构的框图；以及[0020]图11是示例移动设备的框图。【具体实施方式】[0021]可以将本方法和系统用作针对任何消息的明文攻击的阻止手段，该任何消息(或 其构成内容的一些或全部)可以用变化的格式来构造且是加密的。在一个实施例中，该方 法和系统涉及对SACCH块内容的格式化(其可以包括伪随机化)中的变化、对这种块的调 度、以及对这种块的接收和解码，以避免针对SACCH控制消息的已知明文攻击。[0022]现在参见图1。为了提供用于本文公开的示例SACCH信令技术的上下文，图1示出 了符合3GPP的下行链路SACCH消息块的框图。[0023]下行链路SACCH消息块包括23个字节，其中在本文中被称为子块110的头2个字 节涉及层I信令，而在本文中被称为子块130的剩余21个字节涉及层2或层3信令。[0024]将来自图1的SACCH消息块100加以变换和加密，以用于传输。为了提供用于本 文公开的示例SACCH信令技术的进一步上下文，现在参见图2，其示出了符合3GPP的SACCH 消息的变换、加密和发送的框图。[0025]具体地，在图2中，原始SACCH消息210由2字节层I报头和21字节层2 /层3 消息构成，如上面关于图1所观察到的。[0026]对SACCH消息210应用火码(fire code) 212，以产生消息220。如本领域技术人 员将意识到的:火码是主要为了检错而设计的二进制循环码，且火码还提供了有限的纠错 能力。[0027]消息220包括2字节层I报头、21字节层2 /层3消息和40比特火码块，以及其 后是担当卷积编码的尾比特的由4个零构成的串。来自火码的40个比特由整个SACCH消 息内容210来确定。[0028]对消息220应用卷积码222，以产生消息230。在图2的实施例中，卷积码222是 半速(halfrate)卷积码,且用于纠错。[0029]半速卷积编码使得消息220的每个元素的大小加倍。从而，消息230包括4字节部分232、42字节部分234、以及11字节部分236。从而，在卷积编码之后的该SACCH消息块包含总共57字节。
[0030]然后对消息230应用交织算法238，以产生消息240。如本领域技术人员将意识到的:交织以预定方式改变了消息230中的比特顺序。
[0031]然后将消息240的456个比特分为4个114比特的段250、252、254和256。
[0032]然后对每个脉冲串(burst) 250、252、254和256应用密码，以分别产生加密脉冲串260、262、264和266。应用的密码涉及加密密钥以及由TDMA帧号给出的定时块。
[0033]然后对每个脉冲串260、262、264、266进行调制，并将其向移动设备发送，且在发送每个脉冲串之间有120毫秒。
[0034]破解用于产生加密脉冲串260、262、264和266的密码的攻击可以基于以下前提:在加密SACCH块中包括的一些或全部上层信息可以是已知的，且被重复发送。这可以包括SACCH控制消息中的层I报头，因为包含的信息在本质上是重复的且在呼叫期间很少改变。具体地，功率控制和定时提前是缓慢变化的内容，且如果攻击者监听一些呼叫建立消息，它们对于攻击者来说是提前已知的。其他上层信息，例如相邻小区信息、小区配置和参数以及网络能力也是固有不变的。通常在建立与移动设备的通信之前通过不同信道，或者在建立加密之前通过SACCH，由基站以不加密的方式来发送这些值和其他信息(其可以随后在SACCH上加密发送)。这种未加密的传输可以使得攻击者能够在接收到SACCH消息的两个相同拷贝时发起成功的攻击。
[0035]例如，根据图2，用于获得数据脉冲250、252、254和256的步骤是已知的。具体地，火码212、卷积码222、和交织算法238是标准化的，且因此不提供任何安全性。从而，如果攻击者了解SACCH消息210的内容，攻击者可以重复这些步骤来产生脉冲串250、252、254和 256。
[0036]为了进一步说明现有SACCH信令对于明文攻击的脆弱性，现在参考图3，其示出了在现有系统中如何发送相邻小区信息。
[0037]在图3中，在广播控制信道(BCCH) 310以及慢关联控制信道(SACCH) 320上都以符合3GPP的方式来提供相邻小区信息。
[0038]参见图3，BCCH310广播相邻小区信息312。此外，在加密之前在SACCH上发送相邻小区信息322，以及在加密之后发送小区信息322'。相邻小区信息312与相邻小区信息322相关。攻击者知道消息322和322'是相同消息的未加密/加密版本，且可以使用这点来找到密码密钥。应当注意到:尽管未加密SACCH块322的传输被示出为在加密开始之前，取决于呼叫建立过程，这种SACCH块可以不在加密开始之前发送。
[0039]在SACCH320上，呼叫建立开始于时间330，且加密开始于时问332。
[0040]从而，根据图3，显而易见的是:在加密开始时间332之前，在块312且可能在块322中，相邻小区信息在不加密的情况下发送。
[0041]再次参见图2，攻击者可以使用已知的数据脉冲串250、252、254、和/或256 (例如，构成块322的那些脉冲串)和接收到的加密脉冲串260、262、264和/或266 (例如，构成块322'的那些脉冲串)来确定用于对脉冲串250、252、254或256进行加密的加密密钥。一旦确定了加密密钥，可以针对移动设备和基站之间的语音通信使用该加密密钥，以对语音通信解密。
[0042]一般而言，可以由示例公开技术来解决的问题是=SACCH块信息的整个明文（即，图2的消息240)在现有系统中是提前已知的，且从而可以由攻击者来相对容易地用于确定密码密钥或加密密钥，以对加密GSM语音呼叫和/或SMS消息等通信解密。
[0043]为了提供另一上下文，现在参考图4，其示出了在来自图2的脉冲串250和加密脉冲串260之间的加密，且还示出了解密。
[0044]具体地，在图4中，网络侧410包括A5块412，其具有时分多址接入（TDMA)帧号414以及加密密钥416作为输入。在A5 / I算法的情况下，加密密钥是64比特长。块412的输出是114比特密码块418，将其向逐比特二进制加法块420提供。
[0045]然后向块420输入明文（例如，来自图2的脉冲串250)的114比特。块420进行逐比特二进制加法并产生输出，该输出可以是图2的脉冲串260。
[0046]然后对来自块420的输出进行调制，并通过空中下载技术（over the air)来发送，并在移动设备侧450上接收。
[0047]移动设备侧450还具有A5块460，其具有TDMA帧号414以及加密密钥416作为输入。块460产生114比特密码块462，其形成了针对逐比特二进制加法块470的第一输入。
[0048]在块470处针对通过空中下载技术接收到的脉冲串执行逐比特二进制加法，且结果是应当与向块420输入的脉冲串相同的114明文比特。
[0049]对整个明文的了解已知会导致很高的成功攻击几率。攻击者可以依赖于以下事实：图3中的传输322和322'(分别）是相同消息的未加密和加密版本。
[0050]用于克服A5 / I加密中潜在脆弱性的现有技术包括使用更强的A5 / 3和A5 /4加密。这些加密标准在GSM中已经标准化，且可以由最新的移动台所支持。然而，大多数GSM网络当前使用A5 / I且这在将来的一定时间内依然保持，因为网络运营商可能需要升级硬件来支持更强的加密。
[0051]降低现有SACCH信令对明文攻击的脆弱性的其他现有技术包括：移除针对SACCH控制消息的加密。然而，根据这些现有技术，移除加密存在三个问题。第一个是：传统移动设备预期将对SACCH消息加密，从而将不能恰当地接收未加密的SACCH消息。这样，移除对SACCH的加密不是后向兼容的，且不能解决正在使用中的传统移动设备的问题。第二，在呼叫期间通过SACCH来发送特定短消息服务（SMS)消息，且这些消息将由于隐私原因而需要被加密。如果对携带SMS的SACCH消息加密，则移动设备可能不得不盲目地确定下行链路中每个接收到的SACCH块实际上是加密的还是未加密的，或需要提供附加的信令。这增加了移动台处的复杂性。第三，在下行链路中不对SACCH加密可以导致SACCH内容对于“中间人”类型的攻击是开放的，在该类型攻击中，敌对设备可以广播（未加密）的具有内容的SACCH消息,从而负面影响小区性能。
[0052]用于降低现有SACCH信令对明文攻击的脆弱性的另一现有技术是在子块110中提供随机化，如PCT申请号PCT / USll / 24893中描述的，其内容以引用方式并入本文中。
[0053]其他现有技术涉及改变在SACCH上发送的系统信息5、5bis或5ter消息内容的格式。可以在SACCH上发送系统信息5、5bis或5ter消息，以向移动设备通知在运营商网络中使用的相邻小区的BCCH频率。除了层3报头分量之外，这些系统信息中的每一个包括单一信息兀，该单一信息兀包含相邻小区信息。这被称为BCCH频率列表。[0054]例如，一些现有技术提供对层2或层3子块130中特定内容的伪随机化或加扰，该子块130可以包括在SACCH上发送的系统信息5、5bis或5ter消息内容。关于伪随机化，一个这种现有技术包括:假如原始ARFCN不是实际的广播控制信道(BCCH)载波，则在相邻小区描述的不同合适范围格式中伪随机地轮转和/或在连续传输中使用具有不同源绝对射频信道号(ARFCN)的可变比特映射格式。
[0055]可以根据多种不同格式对相邻小区ARFCN进行编码。这些包括:位图O ;1024范围；512范围；256范围；128范围；以及可变位图。
[0056]对用于集合编码的给定格式的选择由网络根据要编码的ARFCN的数目和绝对值、以及要编码的ARFCN跨度(span)的范围等来确定。
[0057]本领域技术人员关于上述内容将意识到:对于给定集合，一些格式可能是不恰当的。例如，位图O仅允许对GSM900ARFCN进行编码。范围256不适合对跨度大于256 (模1024)范围的ARFCN进行编码。此外，可变位图可能不适合对跨度大于112 (模1024)范围的ARFCN进行编码。此外，在单一消息中，可以使用范围256对不多于22个ARFCN进行编码。其他不恰当格式的示例对于本领域技术人员将是已知的。
[0058]原则上，对于要编码的给定ARFCN集合，网络可以选择各适合编码格式中最有效率的编码格式。然而，对于给定消息的所有传输，通常不改变编码格式。
[0059]因此一个现有解决方案是:对系统信息5、5bis或5ter消息(本文中也被称为SI5消息)的内容的伪随机化。
[0060]在Vodafone, “Additional A5 / 1-GEAl Attack Countermeasures”，3GPPGP-101243,2010-08-30t02010-09-03中描述了一个这种现有技术。现在参见图5，其示出了该现有技术。
[0061]在图5所示的现有技术中，BCCH310依然发送相邻小区信息消息312。
[0062]此外，在图5所示的现有技术中，SACCH320发送相邻小区信息消息，该相邻小区信息消息具有不同合适范围格式的相邻小区描述。具体地，网络在相邻小区描述的不同合适范围格式中伪随机轮转。此外，或备选地，假如源ARFCN不是BCCH载波，则可以在连续传输中使用具有不同源ARFCN的可变比特格式。从而，在图5的现有技术中，第一相邻小区信息块522不同于第二相邻小区信息块524，第二相邻小区信息块524不同于第三相邻小区信息块526,第三相邻小区信息块526不同于第四相邻小区信息块528。
[0063]第五块530与信息块522相同,只是现在其是被加密的。这导致基于块522和530的潜在攻击。
[0064]在SACCH上的SI5的传输可以在相邻小区信息块中以伪随机模式轮转，最高至范围格式的最大数目。
[0065]如本领域技术人员将意识到的:移动设备在频繁改变ARFCN列表编码格式时受到影响。具体地，如果ARFCN列表包括在运营商网络中未使用的随机频率，则这可以要求对BCCH频率列表的递归重构、额外的要求合成器调谐的频率查找、基站身份码(BSIC)检查和频率测量、测量报告中不一致的相邻小区排序的风险，且移动设备不可能区分由网络广播的不同列表版本。
[0066]另一现有技术涉及对系统信息6消息中内容的加扰(或部分加扰)，其可以结合上述SI5的提案来实现。可以将消息中的填充比特加以随机化，以生成不同消息。备选地，可以在系统信息6消息中引入随机填补比特。此外，可以对移动设备不使用的一些字段加扰。
[0067]然而，对空闲填充比特的变更降低了可用于将来使用的比特数目，且还存在由于一些原因而可能对填充比特解码并引起移动设备上的不可预测的行为的风险。
[0068]现在参见图6，其示出了可以克服上述现有技术的至少一些缺陷的第一示例公开的SACCH信令技术。在图6的示例中，BCCH310在消息312中传输相邻小区信息。
[0069]此外，SACCH320在呼叫建立开始时间330和加密开始时间332之间在消息522和524中发信号通知相邻小区信息。消息522和524可以对应于具有相同格式或具有不同格式的消息变型。换言之，消息522和524可以是相同类型消息（例如，包含相同类型的相邻小区信息）的不同变型（例如，具有不同格式，如下面更详细描述的）。
[0070]在加密开始时间332之后，在消息626中，在重要时段上提供相邻小区信息。如本文所使用的，“重要时段”可以（但不一定）涵盖完整呼叫持续时问。此外，“重要时段”可以指代大于或等于传统设备能够存储来自之前帧的软SACCH比特的持续时间的持续时间。
[0071]根据图6，消息626的变型（或换言之，其消息格式）不同于消息522和524的消息变型（例如，其可以是相同类型的消息，例如包含相邻小区信息的系统信息5、5bis、或5ter消息），且还不同于BCCH310上的消息312的变型（或换言之，其消息格式）（例如，其可以是另一类型消息，例如也包含相邻小区信息的系统信息2、2bis或2ter)。同样，在一些实施例中，在发送时加密的消息的变型（例如，格式）不同于未加密发送的相同或相似类型消息(例如，包含实质上类似的信息）的变型（例如，格式）。
[0072]现在参见图7，其示出了本文公开的第二示例SACCH信令技术。在所示示例中，用于针对一个移动设备的系统信息消息的消息变型不同于用于针对第二移动设备的系统信息消息的消息变型。一般而言，在一些示例中，在向第一移动设备发送时加密的消息的变型(例如，格式）不同于未加密发送的相同或相似类型消息（例如，包含实质上类似的信息）的变型（例如，格式），且还不同于在向第二移动设备发送时加密的这些相同或相似类型消息的变型（例如，格式）。
[0073]参见图7的所示示例，BCCH310发送相邻小区信息消息312。此外，SACCH704是网络单元和第一移动设备之间的点对点信道。SACCH704具有呼叫建立开始时间706，在这之后，将提供相邻小区信息的系统信息消息示出为消息720。
[0074]在发送消息720之后，加密在时间708处开始。
[0075]在加密开始时间708之后，在SACCH704上向第一移动设备发送相邻小区信息消息730 (例如，与消息72-相同类型的消息,例如系统信息5、5bis或5ter消息）。类似于上面图6的解决方案，消息730是与消息720和312不同的消息变型（例如，格式），尽管这些消息可以都携带相似的相邻小区信息。
[0076]第二 SACCH710提供了在网络单元和第二移动设备之间的通信。在SACCH710上，呼叫建立开始于时间712。在消息722中发送相邻小区信息，消息722对应于可以与用于消息720、730和312的消息变型不同的第三消息变型（例如，格式），尽管这些消息全都可以包含相似的相邻小区信息。
[0077]在发送消息722之后，加密开始于时间714。
[0078]在加密开始之后，在消息732中发送相邻小区信息，消息732对应于可以与用于消息720、722、730和312的消息变型不同的第四消息变型（例如，格式），尽管这些消息全都可以包含相似的相邻小区信息。
[0079]在一些示例中，消息720的消息变型(例如，格式)可以与消息722的消息变型(例如，格式)相同或不同。在任何情况下，消息720和722的变型(例如，格式)不同于消息730和732的变型(例如，格式)。
[0080]此外，消息732的变型(例如，格式)不同于消息730的变型(例如，格式)。
[0081]此外，在一些示例中，用于在向给定移动台发送时加密的消息的变型(例如，格式)的数目远小于在小区中可以使用的不同变型(例如，格式)的数目，且可以等于I。
[0082]如图7的示例中示出的将不同变型(例如，格式)用于向不同移动设备发信号通知相邻小区提供了附加的安全性，因为攻击者不能简单地使用能够解密并暴露(例如，存储、显示或以其他方式传输)解密消息的设备来监听小区中的SACCH消息一段延长时段，且因此不能导出在特定小区中使用的各种消息变型(例如，格式)的全部。相对地，图5的现有技术在各种消息变型(例如，格式)中轮转，且从而攻击者可以在单一呼叫中接收到具有所有可能变型(例如，格式)的相邻小区消息。此外，图5的现有技术可以在确定密码密钥之前以未加密状态来使用一些消息变型(例如，格式)，则攻击者可以简单地尝试这种消息变型作为针对接收到的加密消息的已知明文攻击的基础，以获得密码密钥和/或与密码过程相关的其他细节，而不需要获得/确定小区中加密SACCH消息的解密内容。
[0083]相反地，图7的公开示例的消息收发针对不同移动设备提供了不同消息变型(例如，格式)，这使得攻击者难以执行明文攻击。例如，攻击者可能仅接收与特定移动设备相关的给定系统信息块的单一(加密)消息变型(例如，格式)，且从而将不能使用根据该移动设备导出的信息来攻击第二移动设备。
[0084]在本文公开的一些示例中，对用于移动设备的消息变型(例如，格式)的选择是以伪随机方式进行的，且可以基于移动设备的身份或订户的身份、小区标识符或任何其他可用设备或订户参数。在一些示例中，消息变型(例如，格式)选择对于给定小区上的给定移动设备或订户(其可以对应于SIM卡)是恒定的，使得攻击者难以获得消息的多种变型(例如，格式)(否则这可以通过使用相同设备/ SIM卡在小区中进行多次呼叫而成为可能)，且因此难以执行明文攻击和/或攻击者难以通过尝试向目标移动设备发送的多个SACCH块而使用单一消息变型(例如，格式)作为攻击的基础。
[0085]现在参见图8，其示出了本文公开的第三示例SACCH信令技术。在一些示例中，在使用要在SACCH上发送的特定类型消息(例如，包含相邻小区信息在内的系统信息5、5bis或5ter消息)的“稳定”消息变型(例如，格式)之前可能需要初始化时段。图8示出了这种示例。在图8所示的示例中，加密在SACCH804上开始于时间806。在初始化时段820期间，使用相同或不同的消息变型(例如，格式)来发送相邻小区信息消息822和824。
[0086]在初始化时段820结束和稳定时段830开始之后，提供了相邻小区信息消息832。用于消息832的消息变型(例如，格式)不同于用于消息822和824的变型(例如，格式)。
[0087]图9示出了本文公开的第四示例SACCH信令技术。参见图9，在一些示例中，可能需要具有用于特定移动设备的消息变型(例如，格式)的小子集。对于特定类型消息，在特定稳定时间段到期之后，可以随机或伪随机地在消息变型(例如，格式)的该子集中轮转。例如，在图9中，在稳定时间段920期间，使用第一消息变型(例如，格式)在SACCH904上发送消息922。一旦稳定时间段920结束且稳定时间段930开始，使用第二消息变型(例如,格式）来发送消息932。
[0088]如上面使用的，术语“变型”和“格式” 一般是等价的，且指代对用于发送实质上相同的上层信息的消息的任何修改。上层信息可以包括：相邻小区信息、涉及网络能力的参数、描述移动设备在小区中应当如何表现的参数等。
[0089]可以根据以下任意一项或多项来导出不同的消息变型或格式：变化的上层编码(例如，如上所述）；变化的未使用或空闲比特；变化的层I报头信息；或引入、移除或改变不必要的、不相关的或冗余的信息。
[0090]一般而言，为了确定不同的消息变型，不一定将整个比特级别SACCH块从一种格式改变到另一种格式，而是通常大量比特应当不同，使得在火编码、卷积编码和脉冲串映射之后，避免使用不同格式的消息共用的长比特序列。
[0091]在现有符合3GPP的系统中，对系统信息消息的调度通常是固定的。具体地，针对第一移动设备和第二移动设备的通信可以具有以下调度：（例如），每隔两个块就有一个块是系统信息5消息。可以在攻击者使用的移动设备上导出该公共调度，且之后其可以用于攻击第二（目标）移动设备。
[0092]在一些公开示例中，一旦加密开始，对系统信息消息的调度可以改变。备选地，对系统信息消息的调度的改变可以在移动设备之间不同，以使得对调度的确定难以确定。
[0093]例如，尽管上面公开的示例SACCH信令技术可以提供对在SACCH块上发送的系统信息5消息的不同消息变型的使用，或换言之，对SACCH块上系统信息5消息的格式的变化的使用，攻击者仍然可以了解何时发送了块的交替的消息变型。对不同消息变型（例如，格式）的使用可以足以处理现有系统中的缺点，因为将难以提供针对变型的明文攻击。然而，在一些情况下，消息变型可以是轮转的和/或消息变型的集合可以是有限且确定性的、可预测的或以其他方式可用的，且从而攻击者可以专注于该块并使用对其必定包含有限数目的已知变型之一的了解。
[0094]通过在加密之后改变系统信息消息的调度，攻击者将不知道消息变型是什么，攻击者也将不知道要查看哪个调度块。
[0095]基于上述，本文公开的示例SACCH信令技术可以确保在加密状态下不重复以未加密方式发送的信息。此外，在至少一些示例中，不向所有移动设备发送相同的加密信息。
[0096]在本文公开的一些示例SACCH信令技术中，对一些信息的调度可以针对不同移动设备而变化。此外，在一些公开的示例中，对消息的调度和这种消息的格式可以针对不同设备而变化。
[0097]本文公开的示例SACCH信令技术是后向兼容的。本文公开的示例SACCH信令技术可以由不同供货商以专有的方式来实现，或在其他情况下可以在实际部署中变化（例如，在运营商之间变化），这使得攻击者难以确定变型，因为每个供货商可以实现不同策略来精确地确定加密系统信息消息内容。
[0098]图6至9中所示的示例SACCH信令技术可以由任何网络单元来执行。如本文所使用的，网络单元可以是网络侧服务器或移动设备。现在参见图10和11，其示出了示例网络和移动设备架构。
[0099]图10示出了示例网络的架构概览图。移动设备1014被配置为与蜂窝网络1020通信。[0100]移动设备1014可以通过蜂窝网络1020连接，以提供语音或数据服务。如将意识到的:各种蜂窝网络存在，包括(但不限于):全球移动通信系统(GSM)、通用分组无线服务(GPRS)、码分多址接入(CDMA)、通用移动电信系统(UMTS)、以及宽带码分多址接入(WCDMA)等。这些技术允许对语音、数据或同时这二者的使用。
[0101]蜂窝网络1020包括与基站控制器(BSC) /无线网络控制器(RNC) 1032通信的基站收发信台(BTS) /节点B1030。BSC / RNC1032可以通过移动交换中心(MSC) 1054或服务GPRS交换节点(SGSN) 1056来访问移动核心网1050。MSC1054用于电路交换呼叫，且SGSN1056用于数据分组传输。如将意识到的:这些单元是GSM / UMTS特有的，但是类似的单元存在于其他类型的蜂窝网络中。
[0102]核心网1050还包括认证、授权和记账模块1052，且还可以包括诸如归属位置寄存器(HLR)或访客位置寄存器(VLR)之类的项。
[0103]MSC1054连接到用于电路交换呼叫的公共交换电话网络(PSTN) 1060。备选地，对于移动至移动呼叫，MSC1054可以连接到核心网1070的MSC1074。核心网1070类似地具有认证、授权和记账模块1072和SGSN1076。MSC1074可以通过基站控制器/节点B或接入点(未示出)连接到第二移动设备。在另一备选实施例中，MSC 1054可以是用于与移动至移动呼叫相关的两个移动设备的MSC。
[0104]根据本公开，任何网络单元(包括移动设备1014、BTS1030、BSC1032、MSC1052、以及SGSN1056)可以用于执行图6至9的方法。一般而言，这种网络单元将包括用于与其他网络单元通信的通信子系统、为了执行网络单元的功能而交互和合作的处理器和存储器。
[0105]此外，如果网络单元是移动设备，可以使用任何移动设备。一个示例移动设备在下面参考图11来描述。对图11的移动设备的使用不意味着是限制性的，而是提供用于说明性目的。
[0106]移动设备1100是双向无线通信设备。取决于提供的具体功能，可以将无线设备称为例如:数据消息收发设备、双向寻呼机、无线电子邮件设备、具有数据消息收发能力的蜂窝电话、无线互联网电器、或数据通信设备。
[0107]在移动设备1100支持双向通信的情况下，其可以并入通信子系统1111，通信子系统1111包括接收机1112和发射机1114以及关联组件，例如:一个或多个天线单元1116和1118、本地振荡器(LO) 1113、以及处理模块，例如数字信号处理器(DSP) 1120。通信子系统1111的具体设计取决于设备预期工作所在的通信网络。
[0108]当完成了所要求的网络注册或激活过程时，移动设备1100可以通过网络1119来发送和接收通信信号。如图11所示，网络119可以包括与移动设备通信的多个基站。
[0109]将由天线1116通过通信网络1119来接收的信号输入接收机1112，接收机1112可以执行常见的接收机功能，例如:信号放大、降频转换、滤波、信道选择等，且在图11所示的示例系统中，执行模数(A / D)转换。对接收信号的A / D转换允许更复杂的通信功能，例如要在DSP1120中执行的解调和解码。类似地，由DSP1120来处理要发送的信号(包括例如调制和编码)并将其输入发射机1114以进行数模转换、升频转换、滤波、放大以及经由天线1118通过通信网络1119来发送。DSP1120不仅处理通信信号，还提供了接收机和发射机控制。例如，可以通过在DSP1120中实现的自动增益控制算法来自适应控制对在接收机1112和发射机1114中的通信信号应用的增益。[0110]网络接入要求还将根据网络1119的类型而变化。在一些网络中，网络接入与移动设备1100的订户或用户相关联。移动设备可以要求可拆卸式用户身份模块（RUIM)或订户身份模块（SM)卡，以在网络上工作。SM / RUM接口 1144 一般类似于可以插入并弹出SIM / RUM卡的卡槽。SM / RUM卡保持很多关键配置1151和其他信息1153(例如，标识以及订户相关信息）。
[0111]移动设备1100包括控制设备的整体操作的处理器1138。通过通信子系统1111来执行至少包括数据和语音通信在内的通信功能。处理器1138还与其他设备子系统交互，例如：显示器1122、闪存1124、随机存取存储器（RAM) 1126、辅助输入/输出（I / O)子系统1128、串口 1130、一个或多个键盘或键区1132、扬声器1134、麦克风1136、其他通信子系统1140(例如，短距通信子系统）和统一标记为1142的任何其他设备子系统。串口 1130可以包括USB端口或本领域技术人员已知的其他端口。
[0112]图11所示的一些子系统执行与通信相关的功能，而其他子系统可以提供“驻留”或机载功能。特别地，一些子系统（例如，键盘1132和显示器1122)可以既用于通信相关的功能（例如，输入用于通过通信网络发送的文本消息），也可以用于设备驻留功能（例如，计算器或任务列表）。
[0113]可以在持久性存储器（例如，闪存1124)中存储由处理器1138使用的操作系统软件，持久性存储器可以代之以只读存储器（ROM)或类似存储单元（未示出）。可以将特定设备应用或其一部分临时加载到易失性存储器（例如，RAM1126)中。还可以在RAM1126中存储接收到的通信信号。
[0114]如图所示，可以将闪存1124分隔为不同的区域，用于计算机程序1158和程序数据存储1150、1152、1154和1156。这些不同存储类型指示了每个程序可以分配一部分闪存1124用于其自己的数据存储要求。除了处理器1138的操作系统功能之外，处理器1138还能够在移动设备上执行软件应用。一般将在制造期间在移动设备1100上安装控制基本操作的预定应用集合，该预定应用集合至少包括数据和语音通信应用。可以随后或动态地安装其他应用。
[0115]软件应用可以是具有组织和管理与移动设备的用户相关的数据项的能力的个人信息管理器（PIM)应用，数据项是例如（但不限于）：电子邮件、日历事件、语音邮件、约会和任务项。自然地，一个或多个存储器将在移动设备上可用于方便PM数据项的存储。这种PM应用可以具有经由无线网络1119发送和接收数据项的能力。在实施例中，经由无线网络1119将PIM数据项与移动设备用户在主机计算机系统上存储或关联的对应数据项无缝集成、同步和更新。还可以通过网络1119、辅助I / O子系统1128、串口 1130、短距通信子系统1140或任何其他合适的子系统1142将其他应用加载到移动设备1100上，并由用户安装在RAM1126或非易失性存储设备（未示出）中，供微处理器1138来执行。这种应用安装方面的灵活性增加了设备的功能并可以提供增强的机载功能、通信相关功能或这二者。
[0116]在数据通信模式下，将由通信子系统1111来处理接收信号（例如，文本消息或网页下载）并将其输入微处理器1138，微处理器1138进一步处理单元属性的接收信号，以向显示器1122输出，或备选地向辅助I / O设备1128输出。
[0117]移动设备1100的用户还可以使用键盘1132结合显示器1122以及可能的辅助I /O设备1128来编撰数据项，例如电子邮件消息，键盘1132可以是完整的字母数字键盘或电话型键区。然后可以通过通信子系统1111在通信网络上发送这样编撰的项。
[0118]对于语音通信，移动设备1100的整体操作类似，除了接收信号将输出到扬声器1134且发送信号将由麦克风1136来生成。还可以在移动设备1100上实现备选的语音或音频I / O子系统，例如语音消息记录子系统。尽管主要通过扬声器1134来完成语音或音频信号输出，显示器1122也可以用于提供对例如以下各项的指示:主叫方的身份、语音呼叫的持续时问、或其他语音呼叫相关信息。
[0119]图11中的串口 1130—般将在需要与用户的台式计算机(未示出)进行同步的个人数字助理(PDA)型的移动设备中实现，但其是可选设备组件。这种端口 1130将使得用户能够通过外部设备或软件应用来设置首选项，且将通过提供除了通过无线通信网络以外方式的向移动设备1100下载信息或软件，来扩展移动设备1100的能力。备选的下载路径可以例如用于通过直接且从而可靠和可信的连接向设备加载加密密钥，由此使得安全设备通信成为可能。串口 130还可以用于将移动设备连接到计算机，以担当调制解调器。
[0120]WiFi通信子系统1140用于WiFi通信，且可以提供与接入点140的通信。
[0121]其他通信子系统1142(例如，短距通信子系统)是可以提供移动设备1100和不同系统或设备之间的通信的其他组件，该不同系统或设备不一定是类似设备。例如，子系统1141可以包括红外设备和关联电路和组件或Bluetooth?通信模块，以提供与具有类似功能的系统和设备的通信。
[0122]本文所述实施例是具有与本申请的技术的元素相对应元素的结构、系统或方法的示例。以上书面描述可以使得本领域技术人员能够得到并使用具有与本申请的技术的元素类似对应的备选元素的实施例。从而上述申请的技术的预期范围包括与如本文所述的本申请的技术没有不同的其他结构、系统或方法，且还包括具有与如本文所述的本申请的技术的非实质差异的其他结构、系统或方法。此外，本专利涵盖合法地落入所附权利要求的范围中的所有方法、装置/系统和制品，不管是字面意义上的还是在等同原则下的。
【权利要求】
1.一种用于保护移动网络中的通信的方法，包括: 在第一慢关联控制信道SACCH上开始加密之前在所述第一 SACCH上发送第一类消息的第一变型；以及 在所述第一 SACCH上开始加密之后， 在所述第一 SACCH上发送所述第一类消息的第二变型；以及 在所述第一 SACCH上后续发送所述第一类消息的所述第二变型，其中，后续发送的所述第一类消息的第二变型是在所述第一 SACCH上接下来发送的所述第一类消息。
2.根据权利要求1所述的方法，还包括:在所述第一SACCH上开始加密之后，在发送所述第一类消息的所述第二变型之后以及在后续发送所述第一类消息的所述第二变型之前，在所述第一 SACCH上发送第二类消息。
3.根据权利要求1或2所述的方法，其中，所述第一类消息的所述第一变型和所述第二变型分别包括相邻小区信息。
4.根据权利要求3所述的方法，还包括:在广播控制信道BCCH上发送消息，其中，在所述BCCH上发送的消息包括:与在所述第一类消息的所述第二变型中的相邻小区信息的变型不同的相邻小区信息的变型。
5.根据前述任一权利要求所述的方法，其中，仅在所述第一SACCH上开始加密之前，才在所述第一 SACCH上发送所述第一类消息的所述第一变型。
6.根据前述任一权利要求所述的方法，其中，所述消息的所述第一变型和所述第二变型在以下方面不同:上层编码信息、未使用比特信息、空闲比特信息、层I报头信息、无关或冗余信息的存在或不存在、或它们的组合。`
7.根据前述任一权利要求所述的方法，还包括:在第二SACCH上开始加密之后， 在所述第二 SACCH上发送所述第一类消息的第三变型；以及 在所述第二 SACCH上后续发送所述第一类消息的所述第三变型，其中，后续发送的所述第一类消息的所述第三变型是在所述第二 SACCH上接下来发送的所述第一类消息。
8.根据权利要求7所述的方法，其中，所述第一SACCH是所述移动网络和第一移动设备之间的通信信道，以及所述第二 SACCH是所述移动网络和第二移动设备之间的通信信道。
9.根据前述任一权利要求所述的方法，其中，通过随机化或伪随机化过程来选择所述第一类消息的所述第二变型，以及所述第一类消息的所述第二变型基于以下一项或多项:移动设备身份、订户身份、小区标识符、其他所需移动设备参数、或其他所需订户参数。
10.根据权利要求9所述的方法，其中，在特定移动通信小区中，对所述消息的所述第二变型的选择对于订户身份模块SIM卡中存储的特定订户身份是恒定的。
11.根据前述任一权利要求所述的方法，其中，在所述第一SACCH上开始加密之后首发送的所述第一类消息是所述消息的所述第二变型。
12.根据前述任一权利要求所述的方法，其中，在所述第一SACCH上的加密使用全球移动通信系统GSM系统中的A5 / I加密。
13.根据前述任一权利要求所述的方法，其中，所述第一类消息包括从由以下各项构成的组中选择的系统信息SI类型:SI5、SI5bis、SI5ter、以及SI6。
14.根据权利要求3所述的方法，其中，在所述BCCH上发送的消息包括从由以下各项构成的组中选择的系统信息SI类型:SI2、SI2bis、以及SI2ter。
15.一种用于保护移动网络中的通信的方法，包括:对第一类系统信息SI消息的第一变型进行编码，其中，要在第一慢关联控制信道 SACCH上开始加密之前在所述第一 SACCH上发送所述SI消息的所述第一变型；以及对所述第一类SI消息的第二变型进行编码，其中，要在所述第一 SACCH上开始加密之后在所述第一 SACCH上发送所述SI消息的所述第二变型，以及其中，在所述第一 SACCH上后续发送的所述第一类SI消息的第二变型是在所述第一 SACCH上在所述第一类SI消息的所述第二变型之后接下来发送的消息。
16.根据权利要求15所述的方法，还包括:对要在所述第一SACCH上开始加密之后发送的第二类SI消息进行编码，其中，要在发送所述第一类SI消息的所述第二变型之后以及在后续发送所述第一类SI消息的所述第二变型之前，在所述第一 SACCH上发送所述第二类 SI消息。
17.根据权利要求15或16所述的方法，其中，所述第一类SI消息的所述第一变型和所述第二变型在以下方面不同:上层编码信息、未使用比特信息、空闲比特信息、层I报头信息、无关或冗余信息的存在或不存在、或它们的组合。
18.根据权利要求15至17中任一项所述的方法，其中，将在所述第一SACCH上开始加密之后首先发送的所述第一类消息编码为所述第一类SI消息的所述第二变型。
19.根据权利要求15至18中任一项所述的方法，其中，所述第一类SI消息的所述第一变型和所述第二变型分别包括相邻小区信息。
20.根据权利要求15至19中任一项所述的方法，其中，在所述第一SACCH上的加密使用全球移动通信系统GSM系统中的A5 / I加密。
21.根据权利要求15至20中任一项所述的方法，其中，通过随机化或伪随机化过程来选择所述第二变型，以及所述第二变型基于在移动设备中的订户身份模块SIM卡中存储的订户信息。
22.根据权利要求15至21中任一项所述的方法，还包括:对所述第一类SI消息的第三变型进行编码，其中，要在第二 SACCH上开始加密之后在所述第二 SACCH上发送所述第三变型，以及其中，在所述第二 SACCH上后续发送的所述第一类SI消息的所述第三变型是在所述第二 SACCH上在所述第一类SI消息的所述第三变型之后接下来发送的消息。
23.根据权利要求22所述的方法，其中，所述第一SACCH是所述移动网络和第一移动设备之间的通信信道，以及所述第二 SACCH是所述移动网络和第二移动设备之间的通信信道。
24.根据权利要求15至23中任一项所述的方法，还包括:在所述第一SACCH上开始加密之后，改变针对在所述移动网络中发送的消息的调度方案。
25.根据权利要求15至24中任一项所述的方法，其中，所述第一类SI消息包括从由以下各项构成的组中选择的系统信息(SI)类型:SI5、SI5bis、SI5ter、以及SI6。
26.—种移动网络中的发射机，包括:处理器；存储器；以及通信子系统，其中，所述处理器、所述存储器、以及所述通信子系统被配置为进行合作以: 在第一慢关联控制信道SACCH上开始加密之前在所述第一 SACCH上发送第一类消息的第一变型；以及 在所述第一 SACCH上开始加密之后， 在所述第一 SACCH上发送所述第一类消息的第二变型；以及 在所述第一 SACCH上后续发送所述第一类消息的所述第二变型，其中，后续发送的所述第一类消息的第二变型是在所述第一 SACCH上接下来发送的所述第一类消息。
27.根据权利要求26所述的发射机，其中，所述发射机是基站收发信台(BTS)或全球移动通信系统(GSM)网络节点。
28.根据权利要求26或27所述的发射机，其中，所述第一类消息的所述第一变型和所述第二变型分别包括相邻小区信息。
29.根据权利要求28所述的发射机，其中，所述处理器、所述存储器、以及所述通信子系统还被配置为进行合作，以在下行链路广播控制信道BCCH上发送消息，其中，在所述下行链路BCCH上发送的消息包括:与在所述消息的所述第一变型和所述第二变型中的相邻小区信息的变型不同的相邻小区信息的变型。
30.根据权利要求26至29中任一项所述的发射机，其中，所述处理器、所述存储器、以及所述通信子系统还被配置为进行合作以: 在第二 SACCH上开始加密之后，` 在所述第二 SACCH上发送所述第一类消息的第三变型；以及 在所述第二 SACCH上后续发送所述第一类消息的所述第三变型，其中，后续发送的所述第一类消息的所述第三变型是在所述第二 SACCH上接下来发送的所述第一类消息。
31.根据权利要求26至30中任一项所述的发射机，其中，通过随机化或伪随机化过程来选择所述第一类消息的所述第一变型和所述第二变型，以及所述第一类消息的所述第一变型和所述第二变型基于在移动设备的订户身份模块SIM卡中存储的订户信息。
32.根据权利要求26至31中任一项所述的发射机，其中，所述处理器、所述存储器、以及所述通信子系统还被配置为进行合作，以在所述第一 SACCH上启用所述加密之后，改变针对在所述移动网络中发送的消息的调度方案。
33.根据权利要求26至32中任一项所述的发射机，其中，在所述第一SACCH上的加密使用GSM系统中的A5 / I加密。
34.根据权利要求26至33中任一项所述的发射机，其中，所述第一类消息包括从由以下各项构成的组中选择的系统信息SI类型:SI5、SI5bis、SI5ter、以及SI6。
35.一种编码有机器可执行指令的有形机器可读介质，其中，对所述机器可执行指令的执行使得机器至少: 在第一慢关联控制信道SACCH上开始加密之前在所述第一 SACCH上发送第一类消息的第一变型；以及 在所述第一 SACCH上开始加密之后， 在所述第一 SACCH上发送所述第一类消息的第二变型；以及 在所述第一 SACCH上后续发送所述第一类消息的第二变型，其中，在所述第一 SACCH上后续发送的所述第一类消息的第二变型是在所述第一 SACCH上接下来发送的所述第一类消息。
36.根据权利要求35所述的有形 机器可读介质，其中，所述第一类消息的所述第一变型和所述第二变型分别包括相邻小区信息。
【文档编号】H04W12/02GK103503406SQ201280020109
【公开日】2014年1月8日 申请日期:2012年2月22日 优先权日:2011年2月24日
【发明者】大卫·霍尔, 埃斯沃·卡利安·武图库里 申请人:黑莓有限公司