无线电信中的加密的制作方法
【专利摘要】本发明的一个例子是一种在无线电信网络中向移动终端传输加密用户数据的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。
【专利说明】无线电信中的加密
[0001]本申请是申请号为200780036049.0的中国专利申请“无线电信中的加密”(申请日为2007年8月6日)的分案申请。
【技术领域】
[0002]本发明涉及电信,更具体地,涉及无线电信。
【背景技术】
[0003]在已知的通用移动通信系统⑴113)的系统中,某些消息被加密。加密通过安全模式命令发起,该命令从核心网络发送,并经由1113地面无线接入网络⑴I狀⑷由移动终端接收。接着,安全模式响应从移动终端发送,并由核心网络接收。
[0004]例如,如图1所示,在接收到会话或承载建立请求1后,核心网络(⑶)2向口I狀X 6发送安全模式命令4。这使6将安全模式命令4转发到移动终端(用户设备,服8).移动终端8通过使用特定参数值(有时称为安全上下文)初始化其加密算法而做出反应,然后通过向口 1狀~ 6发送安全模式响应10来确认,口 1狀~ 6将该响应10传送到核心网络2上。此后,加密非接入层(嫩3)消息,诸如会话建立响应12,从核心网络2经由口I狀X 6发送到移动终端8。
[0005]在该已知的方法中,安全模式消息是未加密的,因为该消息提供加密后续消息所需要的加密信息。
[0006]另一个背景领域是长期演进(112)网络。基于口 113网络,所谓的长期演进(口已)网络现在正在发展。对于长期演进网络的背景,读者可以参考第三代伙伴计划技术规范36?? 丁323.882。
【发明内容】
[0007]读者可参考所附的独立权利要求。某些优选特征在从属权利要求中展示。
[0008]本发明的例子是一种在无线电信网络中向移动终端传输加密用户数据的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。
[0009]发明人认识到在已知的方法中,安全模式命令和响应信令在会话建立过程中造成延迟。例如,当移动终端移动到另一个基站的覆盖区域时,所使用的加密密钥会发生变化。这需要安全模式命令和响应信令以便在使用新的密钥加密的数据被发送之前通知移动终端该新的密钥。该附加的信令可引起额外的延迟。这种延迟对于用户是厌烦的,并可对于对呼叫延迟敏感的应用,诸如一键通,带来问题。
[0010]在本发明的某些实施例中,这种延迟可被减小。
【专利附图】
【附图说明】
[0011]现在参照附图,通过例子描述本发明的实施例,其中:
[0012]图1是示出已知的作为会话建立的一部分的启动加密的方法的图(现有技术);
[0013]图2是示出根据本发明的第一实施例的长期演进(112)网络的图;
[0014]图3是示出在图2所示的网络中作为会话建立的一部分的启动加密的方法的图;
[0015]图4是示出在会话建立中发送的嫩3消息的结构的图;
[0016]图5是示出如何加密嫩3信令消息的图;
[0017]图6是示出在[12网络中的核心网络⑶节点之间切换的图;
[0018]图7是示出在112网络中作为无线资源控制连接建立的一部分的启动加密的图;
[0019]图8是示出根据本发明的第二实施例的通用移动通信⑴113)网络的图;
[0020]图9是示出在图8所示的网络中作为会话建立的一部分的启动加密的方法的图。
【具体实施方式】
[0021]首先将描述实例性的112网络,接着说明如何使用组合消息在会话建立中启动加密。然后说明在移动终端从与一个核心网络节点的连接切换到与另一个核心网络节点的连接时如何处理加密。
[0022]然后,描述可选的组合消息。
[0023]然后,描述可选的网络,即1113网络,接着说明如何在该网络中启动加密。
[0024]长期澝讲网络
[0025]基于通用移动通信系统⑴113)网络的[12网络14基本如图2所示。核心网络包括移动性管理实体(丽幻。每个丽2 16都包括嫩3消息加密阶段26。在图2中,为了简化起见,仅示出核心网络18的一个移动性管理实体(丽幻16和112网络14的一个基站20。[呢网络包括多个基站。在图中,根据[呢术语,基站也被命名为8”。小区,也称为扇区,是基站的对应天线所服务的无线覆盖区域。每个基站20通常具有三个小区22,每一个小区由在方位角上相互呈120度角的三个定向天线24中的一个覆盖。
[0026]在使用中,移动用户终端28(在术语中通常称为用户设备⑴£))通过至少一个基站20的至少一个小区22与移动性管理实体16进行通信。这样,移动用户终端与讥狀X网络2进行通信。
[0027]在会话建立中启动加密
[0028]
【发明者】认识到可以将安全模式命令和非接入层(嫩3)消息(诸如会话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令,且这部分未被加密。该消息的第二部分是嫩3消息,且这部分被加密。
[0029]如图3所示,在接收到会话建立请求30后,移动性管理实体16向基站20发送包括未加密安全模式命令和加密嫩3信令消息的组合消息32。这使基站20将组合消息32转发到移动终端(用户设备,服28).移动终端28实现其安全上下文的初始化,然后通过向基站20发送安全模式响应34来确认,响应34从基站转发到移动性管理实体16。此后,力口密非接入层(嫩3)消息,诸如会话建立响应36,从112 16经由基站20发送到移动终端28。
[0030]上面所述的组合消息32如图4所示,其包括未加密安全命令38和加密嫩3消息40。安全命令38包括定义诸如将要使用的加密密钥的标识符的安全上下文信息的信息单元,例如,加密开始时的标识符。嫩3消息40包括构成会话建立响应的信息单元。
[0031]组合消息的产生
[0032]在[12网络14中,嫩3消息的加密由核心网络18的各个节点中的加密阶段26执行。嫩3消息的加密独立于用户数据的加密。
[0033]如图5所示,用于加密的嫩3消息和诸如加密密钥的用于实现加密的信息一起被输入加密阶段26,从该加密阶段26提供加密嫩3消息40。加密嫩3消息40与未加密报头信息38级联。这可能是因为112 16通常允许在嫩3消息的至少一部分与另一个未加密消息部分级联之前加密该嫩3消息的至少一部分。
[0034]切换时处理加密
[0035]切换是将移动终端28从与一个基站20和核心网络18连接转移到与另一个基站(未示出)和另一个核心网络(未示出)连接的过程。切换有时被称为移交。
[0036]切换过程的例子如图6所示。首先,与基站20连接,这涉及使用第一加密密钥。核心网络节点18通过基站20向移动终端28发送切换命令42,然后,实现到另一个基站20’和核心网络节点20’的呼叫连接的切换44。接着,“切换完成”消息46从移动终端28发送到新的基站18’和核心网络节点18’。此后,核心网络节点发送组合消息48,其由包括如前所述的加密密钥标识符的非加密安全模式命令50和随后的诸如嫩3信令消息的用户数据的加密部分52构成。因此,例如,当核心网络进行加密变化时,来自新的核心网络节点18’的第一组合消息50在安全模式命令中指示将使用新的安全参数值,并在加密格式中包括新的嫩3信令消息。
[0037]在另一个类似的实施例中,如果加密和加密配置改为在用户平面中进行,则用户平面中的组合分组包括与用户数据级联的非加密安全模式命令。
[0038]当然,在某些实施例中,通过发送由包括加密密钥标识符的非加密安全模式命令和随后的使用该加密密钥加密的用户数据的加密部分构成的组合消息而切换到新的加密密钥,可以在除了小区之间的切换之外的其它时间进行。例如,在另一个实施例中,旧的小区和新的小区可以是同一个小区。
[0039]在该例子中,首先,小区使用旧的加密参数与移动终端进行通信。在会话过程中,小区发送包含新的加密参数和额外的用户数据的分组。移动终端接收新的加密参数。移动终端使用新的加密参数以解密该分组的加密部分。移动终端还存储新的加密参数,用于随后在解密使用新的加密参数加密的后续分组中使用。
[0040]无线咨源控制
[0041]如图7所示,由非加密安全模式命令和加密用户数据部分构成的组合消息同样可以被发送,其中用户数据部分包括无线资源控制消息。如图7所示,连接请求54被发送到基站20〃,组合消息56,更具体地,包括非加密安全模式命令和随后的(使用新的密钥的)加密连接响应的组合消息56由基站在答复中发送到移动终端28’。然后,安全模式响应从用户终端28’发送。
[0042]另一个实例件系统山1 丁5
[0043]该网络是通用移动通信系统⑴113)地面接入网络⑴I狀⑷,这是一种用于移动通信的宽带码分多址(⑶嫩)网络。口 1狀~网络基本如图8所示。为了简化起见,仅示出口 1狀~网络62的一个无线网络控制器和两个基站。如该图所示,口 1狀~网络62包括基站64。在图中,根据1113术语,每个基站64也称为“节点8”。小区,也称为扇区,是由基站的对应天线服务的无线覆盖区域。每个基站通常具有三个小区66,每个小区由在方位角上相互呈120度角的三个定向天线中的一个覆盖。每个无线网络控制器(价068通常控制几个基站64,进而控制多个小区66。基站64经由各自的称为1118接口的接口 69连接到它的控制无线网络控制器〈1^068。在使用中,移动用户终端70(在1113术语中通常称为用户设备⑴£))通过至少一个基站64的至少一个小区66与服务无线网络控制器(1^068进行通信。这样,移动用户终端与网络62进行通信。
[0044]^0被连接到核心网络74的服务网关支持节点(3(?吣72。包括将在下面更详细描述的嫩3消息加密阶段76。
[0045]在会话建立中启动加密山115例子
[0046]
【发明者】认识到可以将安全模式命令和非接入层(嫩3)消息(诸如会话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令,且该部分未被加密。该消息的第二部分是嫩3消息,且该部分被加密。
[0047]如图9所示,在接收到会话建立请求78后,868^ 72向68以及基站64发送包括未加密安全模式命令和加密嫩3信令消息的组合消息80。这使基站64将组合消息80转发到移动终端(用户设备,服70).
[0048]组合消息80由未加密安全命令和加密嫩3消息组成。安全命令包括定义诸如将要使用的加密密钥的标识符的安全上下文信息的信息单元,例如,加密开始时的标识符。消息80的加密嫩3消息部分包括构成会话建立响应的信息单元。
[0049]移动终端70实现其安全上下文的初始化,然后通过向基站64以及觀0 68发送安全模式响应82来确认,响应82从68转发到72。
[0050]麗翌
[0051]本发明在不脱离其本质特征的情况下,可以以其它特定形式实现。所描述的实施例在所有方面都被认为只是说明性的,而非限制性的。因此,本发明的范围由所附的权利要求书指定,而不是由前面的说明书指定。在权利要求的等同含义和范围内的所有变化都包含在它们的范围内。
[0052]一胜缩写
[0053]⑶:核心网络山113:通用移动通信系统;现:用户设备册3:非接入层(也称为核心网络协议);丽2:移动性管理实体;112:长期演进,在3即?中使用的用于在1113后正被标准化的系统的术语;12:信息单元:无线资源控制(控制协议的无线部分,也称为控制协议的接入层部分):信令网关支持节点。
【权利要求】
1.一种在无线电信网络中向移动终端传输加密用户数据的方法,所述方法包括: 向所述移动终端发送数据分组,所述数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据; 其中,响应于接收到所述数据分组,所述移动终端使用所标识的加密信息来初始化其安全上下文; 所述网络包括UMTS网络或者LTE网络; 所述方法还包括: 所述移动终端使用所标识的加密信息以恢复所述用户数据;以及直到接收到另一个加密信息的标识符为止,所述移动终端存储所标识的加密信息以用于在恢复随后所接收的数据分组中的加密用户数据时使用。
2.根据权利要求1所述的方法,其中,所述加密信息包括加密算法。
3.根据权利要求1或2所述的方法,其中,所述加密信息包括加密密钥。
4.根据权利要求1至3任意一项所述的方法,其中,所述用户数据包括用户信令数据。
5.根据权利要求4所述的方法,其中,所述用户信令数据包括NAS消息或RRC消息。
6.根据权利要求1至3任意一项所述的方法,其中,所述用户数据包括用户业务数据。
7.根据权利要求1所述的方法,其中,所述用户分组包括安全模式命令,所述安全模式命令包括所述加密信息的所述标识符。
8.—种UMTS或LTE无线电信基站,用于在数据分组中传输加密用户数据,所述数据分组包括第一次传输的加密信息的标识符以及使用所述加密信息加密的用户数据,所述加密信息适于在接收机中使用以恢复加密用户数据, 其中,所标识的加密信息由所述接收机用于恢复用户数据,并由所述接收机存储以用于在恢复随后所接收的数据分组中的加密用户数据时使用, 所述基站向所述接收机传输另一个加密信息的标识符以更新所存储的加密信息。
9.一种无线电信终端,包括:接收机和处理器; 所述接收机用于接收数据分组,所述数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据; 其中,响应于接收到所述数据分组,所述移动终端使用所标识的加密信息来初始化其安全上下文; 所述处理器用于使用所述加密信息以恢复使用所述加密信息加密的用户数据,所述移动终端用于存储所述加密信息以用于随后的使用,直到接收到另一个加密信息的标识符;所述移动终端是UMTS或LTE无线电信终端。
10.一种在无线电信网络中移动终端接收加密用户数据的方法,所述方法包括: 所述移动终端接收第一数据分组,所述第一数据分组包括使用第一加密信息加密的用户数据; 使用在所述移动终端中存储的第一加密信息在所述移动终端中恢复所述用户数据;所述移动终端接收下一个数据分组,所述数据分组包括将在恢复加密用户数据中使用的更新加密信息的标识符以及使用所述更新加密信息加密的用户数据,其中,响应于接收到所述数据分组,所述移动终端使用所标识的加密信息来初始化其安全上下文;以及 所述移动终端使用所述更新加密信息以恢复使用所述更新加密信息加密的用户数据,并存储所述更新加密信息以用于随后在解密随后的分组中使用,直到接收到另一个加密信息的标识符。
【文档编号】H04W12/02GK104394527SQ201410612214
【公开日】2015年3月4日 申请日期:2007年8月6日 优先权日:2006年10月3日
【发明者】A·卡萨蒂, S·K·帕拉特, S·塔特施 申请人:朗讯科技公司