无线系统的非对称加密的制作方法

专利名称：无线系统的非对称加密的制作方法
技术领域：
本发明总体上涉及无线通信系统，具体来说，涉及消息认证和保护 的方法。
背景技术：
通用移动电信系统(UMTS: universal mobile telecommunications system)是在基于欧洲系统、全球移动通信系统(GSM: global system for mobile communications)以及通用分组无线业务(GPRS: general packet radio services)的宽带码分多址(WCDMA: wideband code division multiple access)中工作的第三代(3G)异步移动通信系统。
UMTS的长期演进(LTE: long term evolution)正处在对UMTS进 行了标准化的第三代合作伙伴计划(3GPP: 3*"d generation partnership project)的讨论中。3GPPLTE是一种支持高速分组通信的技术。对于LTE 目标提出了很多方案，这些目标包括减少用户成本和供应商成本、提高 服务质量、以及扩展和提高覆盖范围和系统容量。作为上层要求，3GLTE 要求减少每比特成本、增加业务可用性、频带的灵活使用、简单的结构、 开放接口、以及适当的终端功耗。 一般来说，在一个小区中部署一个节 点B (NodeB)。多个用户设备(UE)可位于一个小区中。
图l是示出演进通用移动电信系统(E-UMTS)的网络结构的框图。 E-UMTS还可称为LTE系统。广泛地部署该通信网络以提供语音和分组 数据等的各种通信业务。如图1所示，E-UMTS网络包括演进UMTS陆地无线接入网络 (E-UTRAN: Evolved UMTS Terrestrial Radio Access Network)禾口核'。、网 络(CN: Core Network)。 E-UTRAN可以包括一个或更多个演进节点B (eNodeB) 20。 CN可以包括用于登记用户设备(UE) 10的节点、和位 于网络末端并连接到外部网络的一个或更多个E-UTRAN接入网关(AG: Access Gateway) 30。
如这里使用的，"下行"是指从eNodeB 20到UE 10的通信，而"上 行"是指从UE到eNodeB的通信。UE 10是指用户携带的通信设备，并 还可以称为移动台(MS: mobile station)、用户终端(UT: user terminal)、 用户站(SS: subscriber station)或无线设备。
eNodeB 20向UE 10提供用户面和控制面的端点。AG 30向UE 10 提供会话端点和移动性管理功能。eNodeB和AG可经由SI接口连接。
eNodeB通常是与UE通信的固定台，并且也可以称为基站(BS: base station)或接入点。每个小区可以部署一个eNodeB。可以在eNodeB之 间使用用于传输用户业务或控制业务的接口。
AG 30也被称为移动性管理实体/用户面实体(MME/UPE)。 AG可 以分为执行用户业务处理的部分和执行控制业务处理的部分。可以利用 新的接口在执行用户业务处理的AG和执行控制业务处理的AG之间进 行新的通信。
可以使用对E-UTRAN和CN进行区分的接口。多个节点可以经由 SI接口连接在eNodeB 20和AG 30之间。eNodeB可以经由X2接口彼此 连接，并且邻接的eNodeB可以具有带X2接口的网状网络结构。
图2是描述典型E-UTRAN的架构的框图。在该图中，eNB20可以 执行以下功能，即，选择接入网关(AG) 30、在无线资源控制(RRC: Radio Resource Control)激活期间向AG提供路由、调度和发送寻呼消息、 调度和发送广播信道(BCCH: Broadcast Channel)信息、在上行链路和 下行链路中向UE动态分配资源、配置和提供eNB测量、无线承载控制、 无线接纳控制(RAC: radio admission control)、以及LTE—ACTIVE状态 下的连接移动性控制。在E-UTRAN中，AG 30可以执行以下功能，即，寻呼始发、LTE-IDLE 状态管理、用户面的加密、支持分组数据汇聚协议(PDCP: Packet Data Convergence Protocol)功能、系统架构演进(SAE: System Architecture Evolution)承载控制、以及非接入层(NAS: Non-Access Stratum)信令 的加密和完整性保护。
图3和图4是描述E-UTRAN的用户面协议栈和控制面协议栈的框 图。在图中，根据通信系统领域中公知的开放系统互联(OSI: open interconnection)标准模型的下三层，协议层可以分为第一层(Ll)、第二 层(L2)以及第三层(L3)。
物理层(第一层)利用物理信道向上一层提供信息传输服务。物理 层经由传输信道连接到位于上一层的介质接入控制(MAC: medium access control)层，并且MAC层和物理层之间的数据经由传输信道传送。在不 同物理层之间(即，在发送侧物理层和接收侧物理层之间)，经由物理信 道传送数据。
层2的MAC层经由逻辑信道向无线链路控制(RLC: Radio Link Control)层(上一层)提供服务。层2的RLC层支持可靠数据传输。应 注意的是图3和图4中的RLC层以虚线示出，因为如果RLC功能在MAC 层中实现并由MAC层执行就不需要RLC层本身。层2的PDCP层执行 可以减少不必要的控制信息的报头压縮功能，以使得利用例如IPv4或 IPv6的互联网协议(IP: internet protocol)分组发送的数据可以有效地经 由具有相对较小带宽的无线电(无线)接口发送。
位于第三层(L3)的最低部分的无线资源控制(RRC)层仅定义在 控制面中，并与无线承载(RB: radio bearer)的配置、重新配置以及释 放相关地控制逻辑信道、传输信道和物理信道。这里，RB表示由第二层 (L2)为在终端和UTRAN之间的数据传输提供的服务。
在图3中，(终结于网络侧的eNB处的)RLC层和MAC层可以执 行例如调度、自动重传请求(ARQ: Automatic Repeat r叫uest)、以及混 合自动重传请求(HARQ: Hybrid Automatic Repeat request )的功能。(终 结于网络侧的AG处的)PDCP层可以为用户面执行例如报头压縮、完整性保护、以及加密的功能。在图4中，(终结于网络侧的eNB处的)RLC层和MAC层执行与 为用户面执行的功能相同的功能。在本图中，(终结于网络侧的eNB处的) RRC层可以执行例如广播、寻呼、RRC连接管理、无线承载(RB)控制、 移动性功能、以及UE测量报告和控制的功能。(终结于网络侧的aGW处 的)PDCP层可以为控制面执行例如完整性保护和加密的功能。(终结于 网络侧的aGW处的)NAS可以执行例如SAE承载管理、认证、空闲模 式移动性处理、LTE一IDLE中的寻呼始发、以及用于aGW和UE之间的 信令和用户面的安全控制的功能。NAS可以分为3种不同状态。第一，NAS中不存在RRC实体时的 LTE_DETACHED状态；第二，不存在RRC连接同时存储最少UE信息 时的LTE_IDLE状态；以及第三，建立了 RRC连接时的LTE—ACTIVE 状态。此外，RRC可以分为两种不同状态，如RRC—IDLE和 RRC—CONNECTED 。在RRC一IDLE状态中，在UE规定由NAS配置的 断续接收(DRX: Discontinuous Reception)的同时，UE可以接收系统信 息和寻呼信息的广播，并且已经向UE分配了在追踪区域中唯一识别UE 的身份(ID)。此外，在RRC—IDLE状态中，eNB中没有存储RRC环境(context )。 在RRC—CONNECTED状态中，UE具有E-UTRAN RRC连接和E-UTRAN 中的环境，从而可以向网络(eNB)发送数据和/或从网络(eNB)接收 数据。并且，UE可以向eNB报告信道质量信息和反馈信息。在 RRC—CONNECTED状态中，E-UTRAN知晓UE所属的小区，从而网络 可以向UE发送数据和/或从UE接收数据，网络可以控制UE的移动性(切 换)，并且网络可以对相邻的小区执行小区测量。在RRC—IDLE模式中，UE规定寻呼DRX (断续接收)循环。艮P， UE在每个UE特定寻呼DRX循环中的特定寻呼时机(paging occasion) 监视寻呼信号。该寻呼时机是发送寻呼信号的时间间隔。UE具有其自身 的寻呼时机。在属于同一追踪区域的所有小区发送寻呼消息。如果UE 从一个追踪区域移动到另一追踪区域，则UE将向网络发送追踪区域更新消息以更新其位置。 发明内容本发明的特征和优点在下面的说明中加以阐述，并且在说明中部分 地显见，或者可以从对本发明的实践来获知。通过在文字说明及其权利 要求以及附图中具体指出的结构，可以实现并获得本发明的这些目的和 其它优点。根据一种实施方式， 一种通信网络中的消息认证方法包括以下步骤:形成具有多个单独消息的超消息(super message),使得至少两个单独消 息是针对单独的接收实体。该方法还包括利用私钥来创建消息认证码 (MAC),使得该MAC被配置为允许利用公钥来对超消息进行认证。 在一个特征中，该方法还包括结合MAC向多个接收实体发送该超 消息。在另一特征中，该方法还包括利用完整性得到保护的消息向多个接 收实体发送公钥。在又一特征中，该方法还包括利用加密消息向多个接收实体发送公钥。在再一特征中，该方法还包括利用私钥和计数器来创建MAC。 在一方面，该方法还包括向多个接收实体发送计数器的至少一部分。 在另一方面，该方法还包括将计数器与时间基准关联起来。 在又一方面，该方法还包括将计数器与系统帧号(SFN)关联起来。 根据另选的实施方式， 一种提供消息保护的方法包括从发送实体 接收第一数据块，使得该第一数据块包括第一消息认证码(MAC)和第 二数据块。该方法还包括根据计数器、完整性保护密钥和第二数据块来 生成第二MAC，对该第二MAC与第一MAC进行比较，并如果该第二 MAC与第一MAC不对应，则请求重新发送第二数据块。在一个特征中，该方法还包括向接收实体发送序号，以使得该序号 与第一数据块和至少部分计数器二者相对应。在另一特征中，生成操作还包括在第二数据块中包括序号，使得该序号与第一数据块和至少部分计数器二者相对应。在又一特征中，发送实体包括nodeB或者用户设备(UE)。 根据又一实施方式， 一种提供消息保护的方法包括根据计数器、完 整性保护密钥和第一数据块来生成消息认证码(MAC),该方法还包括生 成完整性得到保护的第二数据块，使得该第二数据块包括MAC和第一数 据块，并且该MAC被配置为在检测到接收实体没有成功接收到第二数据 块时允许请求重新发送该第二数据块。另一操作包括在不使用具有第二 数据块的循环冗余码(CRC)的情况下向接收实体发送第二数据块。在再一实施方式中， 一种通信网络中的消息认证方法包括从第一发 送实体接收安全消息中的公钥，并使接收实体处的第一计数器与第一发 送实体处的第二计数器同步。在另一操作中，该方法还包括根据从第二 发送实体接收到的消息、第一计数器、公钥和认证算法对该消息进行认 证。在另一实施方式中， 一种通信网络中的消息认证方法包括接收至少 一个广播消息；接收安全消息中的公钥；接收消息认证码(MAC);定义 作为接收MAC与时间基准之间的时间差的计数器；以及使用计数器、广 播消息、认证算法和公钥来对MAC进行认证。从随后参照附图对实施方式的详细描述中，本领域技术人员将更清 楚上述和其它实施方式，本发明不限于本文中公幵的任何具体实施方式
。


附图被包括进来以提供对本发明的进一步的理解并被并入且构成本 申请的一部分，示出了本发明的实施方式，并且与说明书一起用于解释 本发明的原理。在不同附图中用相同标号表示的本发明的特征、要素和方面代表根 据一种或更多种实施方式的相同、等同、或类似的特征、要素和方面。 在图中图1是例示例如演进通用移动电信系统(E-UMTS)的通{言网络的框图；图2是示出典型E-UTRAN的架构的框图； 图3是示出E-UTRAN的用户面协议栈的框图； 图4是示出E-UTRAN的控制面协议栈的框图； 图5示出控制面的与安全相关的各种实体；图6是示出经由传输介质发送例如MAC和加密消息的安全受保护数据的方法的框图；图7是示出独立地提供完整性保护和加密的方法的框图；图8是示出对U平面数据执行完整性保护的方法的框图；图9示出了一种对LRRC生成期望的第二组密钥的方法；图10示出了分配LRRC加密密钥和/或完整性密钥的方法；图11示出了利用例如随机挑战(RAND)和认证令牌(AUTN)的认证参数的典型AKA过程；图12示出了利用认证参数和至少一个加密值的AKA过程；以及图13是提供3G安全架构的各种组件概要的框图；图14示出LTE中密钥生成和密钥分配的各种技术；图15示出具有针对单独接收实体的三个单独消息的超消息；图16是示出在根据本发明一个实施方式的通信网络中的消息认证方法的流程图；以及图17是移动通信终端的框图。
具体实施方式
下面将详细参照本发明的优选实施方式，其示例在附图中示出。在 可能的情况下，在整个附图中使用相同的附图标记表示相同或类似的部 件。图5示出了控制面的与安全相关的各种实体(例如UE 10、 eNodeB 20、以及AG30)。例如，通常在eNodeB 20之上实现并终结涉及加密和 完整性保护的非接入层(NAS)信令。终结点通常是在AG 30或之上， 并且激活/去激活通常不由eNodeB控制。在所示的示例中，NAS和上层 RRC作为同一层处理，并称之为URRC。对于用户面，可以在接入网关(或具体地说，用户面实体(UPE: user plane entity))中完成加密。在UPE中加密潜在地会增加其它安全隐 患。为在eNodeB(下层RRC)中终结的RRC信令提供加密，或为在eNodeB 中终结的MAC信令提供加密和完整性保护不是关键特征。通常期望保护例如在UE 10和AG 30中生成的NAS和URRC消息。 这些消息的加密和完整性保护可以利用公知技术完成。在常规网络中，自动重传请求(ARQ)序号(SN)通常包括于eNodeB 中，并且加密通常在AG中执行。然而，根据一种实施方式，可以在AG 和/或UE中引入序号。序号可以代表COUNT-C/I值的最后一位，例如， 该COUNT-C/I值可用作为建立消息认证码(MAC: message authentication code)(毫无疑问，此MAC不同于图1中描述的MAC层)的算法的输 入参数，并可用作为加密算法的输入。不需要单独的COUNT-C和COUNT-I值。因此，在密钥改变、算法 改变、或加密/完整性开始或停止时，可以使用一个激活时间，而无需针 对加密和完整性使用单独的激活时间。即，AG和UE可以指示发送实体 将要用来启动新密钥或算法的序号，以及接收实体何时需要切换到新密 钥或算法。图6是示出经由传输介质发送MAC和加密消息等的安全受保护数 据的方法的框图。具体地说，图6示出接收各种参数的加密算法，该参 数包括COUNT-C和/或COUNT-I值、输入消息、加密密钥、以及可选的 其它输入数据。可选输入数据的示例包括无线承载/流标识、以及通信的 方向(即上行或下行)等。输入消息可以是URRC消息，并还可以包括 其它NAS消息。所示出的完整性保护(IP)算法接收各种参数，这些参数包括 COUNT-C禾口/或COUNT-I值、输入消息、IP密钥、以及可选的其它输入 数据。在典型实施方式中，输入消息的完整性保护和加密并行地执行， 然而这一点不是必要条件。加密算法可以配置为根据计数器值(或多个计数器值)、输入消息、 以及加密密钥来生成加密消息。类似地，IP算法可以配置为根据计数器值(或多个计数器值)、完整性保护密钥、以及输入消息和加密输入消息二者中的任一个来生成未加密的消息认证码(MAC)。接着，可以经由传 输介质发送包括MAC和加密消息的安全受保护数据。IP密钥和加密密钥被示出为独立的密钥，然而这一点不是必要条件， 如果需要，可以对完整性保护和加密二者使用单个密钥。还可以附加地 执行MAC的加密。图6的实施方式的各个方面均涉及URRC消息的保护。然而，用户 面消息和下层RRC (LRRC)消息的保护可以以与图6所示类似的方式实 现。此外，对于下层RRC层，由于在eNodeB中对ARQ和LRRC两者 进行处理，所以UE和eNodeB可以在ARQ层中而不在下层RRC层中执 行加密。图7是示出独立地提供完整性保护和加密的方法的框图。具体地说， 该图示出了在下层RRC 100提供完整性保护，而在无线链路控制(RLC) 层105提供加密。首先对完整性保护进行说明，示出的EP算法接收各种参数，这些参 数包括COUNT-I值、输入消息、IP密钥、以及可选的其它输入数据。IP 算法可以配置为根据计数器值(例如，序号)、完整性保护密钥、以及输 入消息来生成未加密MAC。接着生成完整性受保护数据(例如，业务数 据单元(SDU: service data unit))。 SDU可以包括MAC、输入(未加密 的)消息、以及计数器。在RLC105，向加密算法输入SDU、 COUNT-C值、以及加密密钥。 加密算法可以配置为根据这些输入来生成加密消息(即，加密SDU)。这 些操作的结果是生成包括加密SDU的安全受保护数据。注意，由于单独地发生完整性保护和加密，这个过程通常需要比图 6的实施方式中要求的序号更多的序号。图8是示出对U平面数据执行完整性保护的方法的框图。已知的是， U平面数据的完整性保护可导致巨大的开销。当使用较小的数据块(例 如，VoIP的数据块)时经常发生开销问题。这些情况由通常较小的PDCP PDU体现。为了减少或最小化由完整性保护造成的开销，u平面数据的保护操作可以移到eNodeB/UE物理层，并且可用MAC代替循环冗余校验(CRC: cyclic redundancy check)。此做法防止或最小化对空中接口的潜在威胁。 图8的技术的优点是在物理空中接口上的传输期间，不需要添加其它CRC 码以校验是否已经正确接收到数据分组(即，没有传输错误)。图8的操作涉及发送实体和接收实体。在一种实施方式中，发送实 体是eNodeB，而接收实体是UE。在此示例中，框200和框205的操作 可由eNodeB执行，而框210和框215的操作可由UE执行。在另一实施 方式中，发送实体是UE，而接收实体是eNodeB。在该示例中，UE和 eNodeB的操作对换，以使得UE执行框200和框205的操作，eNodeB 执行框210和框215的操作。仅作为示例，图8的进一步描述涉及从 eNodeB到UE的传输的示例。在框200，示出的MAC算法接收各种参数(例如，COUNT-I、完整 性保护密钥、以及可以包括U平面数据块(例如，MACPDU1禾卩MAC PDU2)的输入消息)。MAC算法可以配置为生成完整性保护消息，在图 中表示为MAC。这些操作的结果是形成安全受保护数据，该数据包括 MAC (完整性得到保护)、输入消息、以及可选的序号。记住，发送侧和 接收侧的计数器值都可以由序号(SN)保持。在框205，对安全受保护数据进行处理以向接收实体(例如UE)发 送该数据。可能发生的典型处理包括信道编码、调制、发送等。接着由 eNodeB发送该安全受保护数据，随后由UE在框210处接收该数据。UE 可以利用常规技术(例如，解调、信道解码等)处理所接收到的完整性 保护的数据。在框215，与框200中描述的方式类似，MAC算法可以配置为生成 MAC。此第二MAC值接着与所接收到的第一MAC (S卩，在框200生成 的MAC)进行比较。如果这些MAC值不同，则表示存在接收错误，或 在eNodeB和UE之间通信的数据已经以一些方式损坏(例如，中间人攻 击(man-in-the-middle-attack))。此外，如果第一 MAC值和第二 MAC值 不同或不对应，则可以向发送实体(例如eNodeB)发送重传请求。这里强调的是，重传请求不需要使用CRC。在各种情况下都要求对UTRRC、 U平面、以及LRRC的各种计数器 (例如COUNT-C， COUNT-I)进行维护。 一种维护这些计数器的技术是 向空中传输的每个分组添加显式计数器。如果之后发现分组缺少 COUNT-C/COUNT-I值，只要发送的分组没有超出序号(SN)空间的一 半，就仍可以实现同步。然而，对于RLC (外部ARQ)配置为无损顺序发送的情况，不需要 添加用于发送方和接收方之间的COUNT-C/COUNT-I值的同步的显式序 号。而是通常对所接收到的分组或被指示截留的分组进行计数就够了 (例 如，与移动接收窗口 (MRW: move receiving window)过程类似)，由此 减少开销。这种开销的减少在仅截留了几个分组的情况下是非常明显的。在UMTS中，例如，COUNT-C/COUNT-I值利用START值或在使用 新密钥的情况下利用固定值(例如，0)进行初始化。在LTE中，通常期 望尽量久地维持安全内容。因此一般示例是其中(至少对于控制面)仅 使用新密钥的示例，这将减少为了初始化COUNT-C和COUNT-I值而发 送START值的需要。如果期望密钥重用，在建立信令连接时发送START值就够了。对于 UMTS中的用户面承载，例如，通常由UE在无线承载建立时发送START 值。在此情况下，START值将只需在实际使用时发送。总体而言，期望的内容传送的类型可以影响在eNodeB的变化时是 否保持COUNT-C/COUNT-I值(例如LRRC的)，或在此事件发生时是否 应对这些值进行重新初始化。两种情形均是可能的，并且在本发明的教 导之内。在GSM和UMTS中，例如，加密密钥(CK)和完整性密钥(IK) 通常由认证和密钥协定(AKA: authentication and key agreement)过程生 成。例如，在UMTS中，AKA过程产生两种不同密钥； 一种密钥用于完 整性保护，另一种密钥用于加密。在一种实施方式中，这些密钥可以用 于URRC (在AG中终结的RRC和NAS)的加密和完整性保护。为了在eNodeB中针对LRRC和在AG中针对URRC/NAS实现独立密钥，需要第二组密钥。图9示出为lrrc生成所期望的第二组密钥的 方法。第一操作对urrc ck和ik密钥、lrrc ck和ik密钥提供aka 过程。第二操作激活urrc加密和完整性保护。第三操作在安全层上分 配lrrc ck和ik密钥。此示例通常要求对hlr、 vlr、 sim卡进行改 变(总是不希望这样的操作)。建立urrc/nas上的加密连接后分配lrrc加密密钥和/或完整性 密钥是这样一种技术，即，该技术可以实现为减少已有密钥生成技术在 aka过程中所必然造成的影响。图io示出了这样一种方法。在图10中， 第一操作对urrc ck和ik密钥提供aka过程。第二操作激活urrc 加密和完整性保护。第三操作在安全层上分配lrrcck和ik密钥。第 四操作激活lrrc密钥。所示的操作通常要求在ag中系统地开始进行 加密。所示的过程系统地要求两个步骤，这降低了会话启动过程的速度。图11示出利用例如随机挑战(rand)和认证令牌(autn)的认 证参数的典型aka过程的示例。具体的说，作为第一操作，由ue接收 具有第一认证参数rand和autn的认证请求。在第二操作中，向认证单元(例如，sim卡)传送第一认证参数。 与sim卡关联的算法可以确定例如第一认证参数是否验证了已经由授权 实体启动aka过程。在第三操作中，sim卡进一步生成第二组参数，这些参数包括ik密 钥、ck密钥、以及第二认证参数(例如响应(res)值)。第二组参数 通常作为对第一认证参数rand和autn的响应而生成。在第四操作中，接着从sm卡向ue传送该第二组参数。在第五操 作中，ue作为响应生成认证响应res，该认证响应res被发送到ag, 使得例如可以验证ue和/或sim卡的可靠性。图12是利用认证参数和至少一个密钥值的aka过程的示例。尽管 图9和图10具有多个共同方面，但是图12的实施方式在处理的各个阶 段使用了 一个或更多个密钥值。在第一操作中，由ue接收具有第一认证参数rand和autn的认 证请求。认证请求还可以包括完整性保护和加密后的至少一个密钥值(例如LRRCIP/CK密钥)。在第二操作中，向认证单元(例如，SIM卡)传送第一认证参数RAND 和AUTN。与SIM卡关联的算法可以确定例如第一认证参数是否确认了 授权实体己经启动AKA过程。在第三操作中，SIM卡进一步生成第二组参数，这些参数包括IK密 钥、CK密钥、以及第二认证参数(例如响应(RES)值)。第二组参数 通常作为对第一认证参数RAND和AUTN的响应而生成。在第四操作中，将所有根据第一认证参数RAND和AUTN生成的第 二认证参数、IK密钥、以及CK密钥从SIM卡传送到UE。第五操作包括根据IP密钥和CK密钥两者对至少一个密钥值(例如 LRRCIP/CK密钥)进行解密。如果需要，第五操作可以附加地或另选地 验证该至少一个密钥值的完整性。在第六操作中，UE可以作为响应生成认证响应RES，该认证响应 RES被发送给AG，以使得例如可以验证UE和/或SIM卡的可靠性。此过程的一个优点是在AKA过程中己经传送了例如LRRC密钥。 由此，当生成新的URRC密钥时，LRRC密钥是同时可获得的，这将减 少在LTE中分离(detached)状态向空闲(idle) /活动(active)状态转 换所需的时间。LRRC密钥组可以在eNodeB中生成并传送到AG。或者， LRRC密钥组可由HLR选择，并传送到AG，接着发送到UE/eNodeB。图13为提供3G安全架构的多个组件的概要框图。在该图中，确定 5个示例性安全特征组。每一组应对特定的威胁，并完成特定的安全目标。网络接入安全251包括向用户提供针对3G服务的安全接入并且具体 来说防止(无线)接入链路受到攻击的安全特征组。网络域安全252包 括使得提供商域中的节点能够安全地交换信令数据并且防止有线网络受 到攻击的安全特征组。用户域安全253包括安全接入移动台的安全特征 组。应用域安全254包括在用户域和提供商域中实现应用以安全地交换 消息的安全特征组。安全的可见性和可配置性包括使用户能够使自己知 道安全特征是否生效以及服务的使用和提供是否取决于该安全特征的特 征组。图14示出LTE中密钥生成和密钥分配的各种技术。例如，图中示 出了根据包含在SIM卡和HLR中的算法在SIM卡和HLR中生成的第二 级密钥组。在认证过程中，可以将该第二级密钥组发送给网络侧的各种 实体(例如，RNC、 AG、 MME、 UPE等)，也可以将该第二级密钥组发 送给UE。 一旦这些密钥处于适当位置并且开始加密，则可以经由网络实 体和UE之间的安全信令连接从网络实体向NodeB和UE发送独立的密 钥组。与用户身份保密性相关的多种安全特征可供使用。这些特征包括用 户身份保密性、用户位置保密性和用户不可追踪性。用户身份保密性是 无法在无线接入链路上窃听向其递送服务的用户的固定用户身份(IMSI) 的特性。用户位置保密性是无法通过在无线接入链路上窃听来确定用户 所在或到达的特定区域的特性。用户不可追踪性是入侵者无法通过在无 线接入链路上的窃听来推断是否将不同服务发送给同一用户的特性。为了实现这些目标，通常例如通过访问服务网络已知的临时身份来 识别用户。为了避免可能导致危害用户身份保密性的用户可追踪性，在 相对长的时段内不对用户进行识别。为了实现这些安全特征，可以在无 线接入链路上对可能泄露用户身份的信令和用户数据进行额外加密。还提供了与实体认证相关的各种安全特征。这些特征的示例包括用 户认证和网络认证。用户认证是服务网络确认用户的用户身份的特性。 网络认证是用户确认他们连接到用户的HE授权的服务网络以向用户提 供服务的特性。该特征还包括保证该授权是新近的授权。为了实现这些目标，假设每次在用户和网络之间建立连接时都进行 实体认证。所包含的两种机制为利用用户的HE向服务网络提供的认证 矢量的认证机制，和利用在前一次执行认证和密钥建立过程期间在用户 和服务网络之间建立的完整性密钥的本地认证机制。可以实施常规认证和密钥建立机制以实现以上列出的安全特征，还 可以使用常规认证和密钥建立机制来在用户和服务网络之间建立保密加 密密钥(secret cipher key)和完整性密钥。通常在用户首次在服务网络中 登录之后，并且在服务请求、位置更新请求、连接请求、分离请求或者连接再建立请求之后，当已经利用得到的完整性密钥执行了最大次数的 本地认证时，由服务网络调用该机制。本地认证机制实现了用户认证和网络认证的安全特征，并且使用了 在前一次执行认证和密钥建立过程期间在用户和服务网络之间建立的完 整性密钥。在服务请求、位置更新请求、连接请求、分离请求或者连接 再建立请求之后，在尚未利用得到的同一完整性密钥执行最大次数的本 地认证的情况下，可以由服务网络调用该机制。还可以在网络接入链路上关于数据保密性实施各种安全特征。这些 安全特征的示例包括加密算法协定、加密密钥协定、用户数据保密性和信令数据保密性。加密算法协定包括UE和SN可以安全地协商它们随后 应使用的算法的特性。加密密钥协定可以包括UE和SN就它们随后可以 使用的加密密钥达成一致的特性。用户数据保密性一般具有无法在无线 接入接口上窃听用户数据的特性。信令数据的保密性可以具有无法在无 线接入接口上窃听信令数据的特性。可以在执行认证机制和密钥协议的过程中实现加密密钥协议和完整 性密钥协议。通常使用用户和网络之间的安全模式协商机制来实现这些 算法协议。该机制还使得能够应用所选的加密/完整性算法和己达成一致 的加密/完整性密钥。数据完整性可以包括关于网络接入链路上的数据完整性的安全特 征。该特征可以包括完整性算法协定、完整性密钥协定、以及信令数据 的数据完整性和数据源认证。完整性算法协定包括UE和SN可以安全地 协商它们随后应该使用的完整性算法的特性。完整性密钥协定包括UE 和SN就它们随后可使用的完整性密钥达成一致的特性。信令数据的数据 完整性和数据源认证可以包括接收实体(UE或者SN)能够确认从发送 实体(SN或者UE)发送信令数据开始该信令数据没有以未授权的方式 被更改并且确认接收的信令数据的数据源确实是所声明的来源的特性。公钥加密技术是这样一种加密技术，g卩，其通常允许用户无需之前 访问共享密钥就可以安全地进行通信。 一般通过使用一对数学相关的加 密密钥(被指定为公钥和私钥)来实现该加密。当前存在各种类型的公钥加密技术，包括公钥加密、公钥数字签名和密钥协定。公钥加密包括 使消息对于不具有特定私钥的人保密。公钥数字签名允许人们验证利用 特定私钥创建的消息。密钥协定通常使得最初没有共享密钥的双方就密 钥达成一致。一种类型的私钥加密包括由接收方生成的私钥(解密密钥)和公钥 (加密密钥)。接收方对私钥(解密密钥)保密，并在第一操作中向发送 方发送公钥(加密密钥)。可以理解的是，可以以其他人也能接收公钥(加 密密钥)的方式向发送方发送该公钥(加密密钥)。即，不需要对公钥(加 密密钥)保密。还可以向发送方发送与密钥相关的其他信息(例如，固定参数)，或 者另选地提前在发送方和接收方之间设定这些信息。没有特别要求对这 些信息进行保密。当发送方向接收方发送消息时，该消息可以包括公钥(加密密钥) 和提供给创建加密消息的加密算法的其他参数。接收方能够利用解密算 法，使用私钥(解密密钥)和其他固定参数来对消息进行解密。该方案 应注意的一点是，只有具有私钥(解密密钥)的接收方才能够对消息进 行解密。该技术在发送方和接收方之间建立了相对安全的通信。公钥加密的另一种应用是消息认证。为了确认发送方已经发送了消 息，发送方可以经由安全连接向接收方发送公钥。通常使用两步的方法，在该方法中使用第一无密钥算法生成消息的签名(通常称为HASH函 数)，并且使用利用私钥和公钥的第二算法来对该签名进行加密/解密。 HASH函数的一个特征是很难构建让HASH函数生成给定签名的消息。当发送方希望向接收方发送消息时，可以根据HASH函数签名的消 息、私钥和事先已经发送给接收方或者在算法中固定的其他信息，来计 算签名(例如，MAC)。接着发送方将签名后的消息与MAC—起发送给 接收方。接着，接收方可以利用发送方接收到的公钥，检查是否已经利用与 公钥相关的私钥创建了签名。接着对HASH函数输出的签名应用私钥/公 钥加密算法。例如，如上所述，在UMTS/LTE系统中，向UE发送信令信息，并 且可以使用该信息来控制l正的各种功能和行为。类似地，UE向网络报 告各种信息(例如包括资源可用性信息和控制信息)。在典型的UMTS系 统中，特定功能的RRC信号受到完整性保护以避免或者防止黑客的干扰。 该干扰的示例为发送引起呼叫过早终止的虚假消息。然而，在常规系统 中，MAC和物理层信令一般不受保护，因此容易受到这种非法干扰。使用密钥算法向MAC和物理层引入完整性保护通常需要使用密钥 来生成MAC码，接着将该MAC码(可能还有SN)附加到各物理层或 者MAC消息上。可是MAC和物理层信令通常非常小。给这些层添加这 种MAC码将导致MAC和物理层信令的开销增加。图15示出了包括三个单独消息265、 270、 275的超消息(super message) 260。各单独消息用于单独的UE，并且包括识别该消息所指向 的UE的标识符和实际消息。超消息还可以包括其他信息280 (例如， MAC、发送方标识、定时器、计数器等)。例如，可以使用私钥创建MAC。 MAC被设置为允许利用公钥来对该超消息进行认证。如果需要，可以将 超消息配置为发送给几个UE的广播消息(例如，MBMS控制或者用户 面消息)、MAC层消息、物理层消息等。图16是示出在根据本发明一个实施方式的通信网络中的消息认证 方法的流程图。具体来说，该图示出了创建如图15所示的超消息，该超 消息被构造为保护针对不同UE的小信令消息。在一种实施方式中，超消息是发给一组UE的消息。该超消息的一 个示例是从与UE建立了或未建立连接的发送实体发送信息，并且指示 UE应该增加或者减少上行传输所使用的资源。向多个UE传送同一密钥增加了安全隐患。由于所有UE接收同一密 钥，因此其中一个UE可能利用这一点创建并向其他UE发送虚假消息。 因此其他UE无法容易地将这些虚假消息与合法消息区分开来。一种最小化或消除该问题的技术是釆用如上所述那样的公钥算法。 公钥算法的优点是公钥可以用于检查完整性，但是不要求对该密钥进行保 密。然而，如果使用公钥，则需要经由可信方法从可信的实体接收公钥。例如，可以利用完整性得到保护和/或加密的消息(例如，利用如上所述的第二级密钥或者第三级密钥)经由安全专用连接从网络向UE发送 公钥。在该实施方式中，通常只有在UE处于连接模式时才生成公钥。为 了实现该方面，UE可以首先经由适当的机制(例如，AKA过程)创建 安全连接以创建与网络的安全连接。该特征在UE使用所创建的密钥之前 识别网络并且创建信任关系。公钥系统中的一种威胁被称为重播(r印lay)。当未授权的第三实体 试图通过伪装与第三实体相关的网络是UE的信任网络来创建与UE的连 接时，会发生重播。在该情况中，未授权的第三方从实际运营商网络接 收消息并且并且重播这些消息，从而创建与UE的通信。一种防止重播的技术是利用例如使得UE能够确定消息是新消息还 是重播消息的机制。 一种这类机制是采用与消息相关的计数器值(例如， COUNT-I)。例如，可以向创建/检查操作添加该计数器值。当在计数器值 规定的时段中接收到给定的消息时，UE认为该消息有效。即，只有当该 消息是在计数器值有效时由UE接收到的消息，该消息才是有效的。在一种实施方式中，完整性序号COUNT-I长度为32位。对于信令 无线承载(RB 0-4)，每个上行信令无线承载有一个COUNT-I值，并且 每个下行信令无线承载有一个COUNT-I值。COUNT-I通常包括两部分 "短"序号和"长"序号。短序号形成COUNT-I的最低有效位，而长序 号形成COUNT-I的最高有效位。短序号是可在各RRC PDU中获得的4 位RRC序号(RRC SN)。长序号是在每一RRC SN循环中递增的28位 RRC超帧号(RRCHFN: RRC hyper frame number)。计数器值可以添加到消息中或者用于签名计算。因此唯一的签名包 括消息、密钥和计数器值。只有UE认为接收到的计数器有效或者可接受 时，才认为该唯一签名是有效的。如果计数器不对应于期望值，则表示 接收到的消息是重播消息。MAC和物理层信令的保护通常需要以预定方式递增计数器，以使得UE可以确认计数器值表 示(或不表示)相关消息己经被重播。实现这一点的技术是在每次发送消息时递增计数器。一旦计数器被同步(例如，当UE经由信任连接将计数器发送给网络或者网络经由信任连接将计数器发送给UE时)，则可以只将消息计数 器的最低有效位(LSB)随消息和签名一起发送给接收方。接收方通常维持计数器不变并且在每次接收到消息时递增该计数 器。计数器值(例如，COUNT-I)的LSB防止消息在空中丢失。如果与 消息一起接收的计数器值的LSB与在接收方本地存储的LSB不匹配，则 认为已经丢失了一条或者更多条消息。消息一旦在空中发出之后便不能 向接收方重播，因为接收方维持的计数器会与创建消息所用的计数器值 不匹配。与时间基准(time reference)相关联的计数器值根据本发明的一个实施方式，可以使用时间基准代替上述的计数器 来防止重播。在该实施方式中，COUNT-I可以表示消息的发送/接收与发 送方和接收方维持的公共时间基准之间的时间差。这通常要求UE和网络 对它们各自的时间基准进行同步以确保UE和网络使用相同的COUNT-I 值来对消息进行编码和解码。当创建签名时，要计入创建的时刻。类似地，接收实体(例如，UE) 标记UE从网络接收消息时的接收时刻。UE可以使用接收时间来计算计 数器值。相邻小区中的密钥重复使用保护应该提到的是，在一组相邻小区中使用相同密钥的情况下， 一种潜 在的威胁是一个小区的消息可能被重播给另一小区。可以使用附加过程 来减少和消除该潜在威胁的风险。例如，可以向消息中添加附加参数(例 如，小区专用码或者标识)，以使得该参数特定于各小区，从而防止在相 邻小区中重播。在一种实施方式中，如果特定发送实体(例如，小区)的计数器有 效，则认为接收到的消息是有效的，根据消息、计数器(COUNT-I)和 小区专用码可以正确地认证签名。为了确保小区专用码确实属于预期的运营商小区，有益的是，以确保其可靠性的方式发送小区专用码，以使得l正可以确定发送方小区确实 存在。例如， 一种实现这种方案的技术是经由受保护的信令(例如，公钥 算法)以广播或者多播传输的方式发送小区专用码。如果同一公钥用于 不同的小区，则应指示给定密钥对于哪个小区是有效的。或者，如果小 区专用码是经由专用安全信令接收的，则可以确认小区专用码是有效的。相邻小区可能时间上不同步，并且计数器值与时间基准的时间偏差 相关联。在这种情况中，例如利用安全信令广播当前小区的时间基准与 相邻小区的时间基准之间的时间偏差。或者，还可以经由专用安全信令发送小区专用码以及当前小区的COUNT-I值与相邻小区的COUNT-I值 之间的偏差。 计数器同步相邻小区重复使用同一密钥的另选方法包括对该小区组进行同步， 以使得各个小区中使用的计数器值充分地时间对准。在该实施方式中， 在每次发送消息时递增计数器。如果计数器提供了相对于时间基准的差分，则只需要对相邻小区进 行同步。有益的是，相邻小区组具有标识。例如在通过私人对称密钥算 法保护的专用信令或者广播/多播信令上发送该标识。系统信息和MBMS信令的保护一般理解为，系统信息和MBMS信令是在一个小区或者一组小区中 在特定时间内有效的信息。而且，该信息是广播，因此定期重复。为了 提高成功接收的概率， 一般将信息分割成定期重复的数据块，这使得UE 能够将消息的不同部分的任意重复组合起来以重建或者提供完整的消息。为了避免或者禁止在典型广播情况中的重播，只需要在不同小区禁 止对给定消息重复使用给定签名。因此， 一种可能是在单独数据块中发 送消息的签名，接着在不改变消息部分的情况下定期改变该签名和相应 的计数器值。在一种实施方式中，在相邻小区中防止重播包括对各小区使用小区 专用码或标识。因此，UE可以使用签名和与签名相关的计数器值，以验证通过将在签名之前或者之后接收到的消息块进行组合而创建的消息。为了执行在本文中公开的各种方法， 一般需要使用创建签名和HASH值的安全算法。适用的算法的示例包括国家安全协会提出的数字 安全算法(DSA: digital secure algorithm)、Rivest、 Shamir和Adleman(RSA) 算法、椭圆曲线加密(ECC: elliptic curve cryptography)等。当前在IETF RFC 2459中实现了这些算法的多种版本。适用的哈希函数例如包括安全 哈希函数SHA-l、 SHA-224、 SHA-256、 SHA-384和SHA-512。可以实 现的对称算法包括当前在UMTS中使用的f9算法。图17为移动通信装置300 (被构造为根据本发明的实施方式的UE) 的框图。装置300例如被例示为移动电话，并可以配置为执行这里描述 的各种方法。移动通信装置300包括处理单元310 (例如，微处理器或数 字信号处理器)、RF模块335、电源管理模块305、天线340、电池355、 显示器315、键盘320、可选的用户识别模块(SIM)卡325、存储单元 330 (例如，闪存、ROM或SRAM)、扬声器345以及麦克风350。用户通过按下键盘320的按键或利用麦克风350的语音激活输入指 令信息(例如电话号码)。处理单元310接收并处理指令信息以执行适当 的功能(例如，拨打电话号码)。可以从存储单元330提取操作数据以执 行功能。此外，处理单元310可以在显示器315上显示指令和操作信息 以供用户参考和提供方便。处理单元310向RF部335发出启动通信的指令信息(例如，发送包 括语音通信数据的无线信号)。RF部335包括接收和发射无线信号的接 收机和发射机。天线340辅助无线信号的发射和接收。在接收到无线信 号时，RF模块335可以将信号转发和转换为基带频率以由处理单元310 进行处理。处理后的信号将转换为经由例如扬声器345输出的听觉或视 觉信息。处理单元310执行这里公开的各种方法以及其它操作。本领域技术 人员应该清楚，移动通信装置300可以容易地利用例如处理单元310或 其它数据或数字处理装置以单独方式或与外部支持逻辑组合的方式实 现。尽管本发明在移动通信的环境中进行说明，但是本发明也可以用于利用移动装置(例如，配备了无线通信能力的PDA以及膝上型计算机) 的任何无线通信系统中。此外，为了描述本发明而使用的特定术语绝非 将本发明的范围限制到特定类型的无线通信系统(例如，UMTS)。本发 明也可以用于利用不同空中接口和/或物理层的其它无线通信系统(例如 TDMA、 CDMA、 FDMA、 WCDMA等)中。本发明的优选实施方式可以实现为利用标准编程和/或工程技术来 生产软件、固件、硬件或其任意组合的产品的方法、设备或制品。这里 所用的术语"制品(article of manufacture)"是指以硬件逻辑(例如，集 成电路芯片、现场可编程门阵列(FPGA: Field Programmable Gate Array)、 专用集成电路(ASIC: Application Specific Integrated Circuit)等)或计算 机可读介质(例如，磁存储介质(例如，硬盘、软盘、磁带等)、光存储 器(CD-ROM、光盘等)、易失性和非易失性存储装置(例如，EEPROM、 ROM、 PROM、 RAM、 DRAM、 SRAM、固件、可编程逻辑等))实现的 代码或逻辑。由处理器访问并执行计算机可读介质中的代码。可以经由传输介质或经由网络从文件服务器获得实现优选实施方式 的代码。在这种情况下，其中实现代码的制品可以包括传输介质(例如， 网络传输线、无线传输介质、经由空间传播的信号、无线电波、红外信 号等)。当然，本领域技术人员应该认识到，在不脱离本发明的范围的情 况下可以对此构造进行许多修改，并且制品可以包括现有技术中已知的 任何信息承载介质。图中所示的逻辑实现描述了以具体顺序发生的具体操作。在另选实 施方式中，可以在仍能实现本发明的优选实施方式的同时以不同顺序执 行、修改或移除特定逻辑操作。此外，可以在仍遵从本发明的实施的同 时在上述逻辑中添加步骤。上述实施方式和优点仅是示范性的，不应被解释为对本发明的限制。 这些教导可以容易地应用于其他类型的设备和处理中。本发明的描述是 示例性的，而非用来限制权利要求的范围。本领域技术人员将清楚各种 替换物、修改例和变型例。26说明书第22/22页利用移动装置(例如，
权利要求
1.一种通信网络中的消息认证方法，该方法包括以下步骤形成包含多个单独消息的超消息，其中至少两个所述单独消息是针对单独的接收实体；以及利用私钥来创建消息认证码(MAC)，其中该MAC被配置为允许利用公钥来对所述超消息进行认证。
2. 如权利要求1所述的方法，该方法还包括 将所述超消息与所述MAC —起发送到多个接收实体。
3. 如权利要求1所述的方法，该方法还包括 利用完整性受保护消息向多个接收实体发送所述公钥。
4. 如权利要求1所述的方法，该方法还包括利用加密消息向多个接收实体发送所述公钥。
5. 如权利要求1所述的方法，该方法还包括利用所述私钥和计数器来创建所述MAC。
6. 如权利要求5所述的方法，该方法还包括向多个接收实体发送所述计数器的至少一部分。
7. 如权利要求5所述的方法，该方法还包括将所述计数器与时间基准关联起来。
8. 如权利要求5所述的方法，该方法还包括将所述计数器与系统帧号(SFN)关联起来。
9. 一种提供消息保护的方法，该方法包括以下步骤接收步骤，从发送实体接收第一数据块，其中该第一数据块包括第一消息认证码(MAC)和第二数据块；生成步骤，根据计数器、完整性保护密钥和所述第二数据块来生成第二MAC;比较步骤，对所述第二MAC与所述第一MAC进行比较；以及 请求步骤，如果所述第二MAC与所述第一MAC不对应，则请求重 新发送所述第二数据块。
10. 如权利要求9所述的方法，该方法还包括向接收实体发送序号，其中该序号与所述第一数据块和所述计数器 的至少一部分相对应。
11. 如权利要求9所述的方法，其中所述生成步骤还包括 在所述第二数据块中包括序号，其中所述序号与所述第一数据块和所述计数器的至少一部分相对应。
12. 如权利要求9所述的方法，其中所述发送实体包括nodeB。
13. 如权利要求9所述的方法，其中所述发送实体包括用户设备 (UE)。
14. 一种提供消息保护的方法，该方法包括以下步骤 生成消息认证码(MAC)的步骤，根据计数器、完整性保护密钥和第一数据块来生成消息认证码；生成第二数据块的步骤，生成进行了完整性保护的第二数据块，其 中所述第二数据块包括所述MAC和所述第一数据块，其中所述MAC被 配置为允许在检测到接收实体没有成功接收到所述第二数据块时请求重 新发送所述第二数据块；以及发送步骤，在不对所述第二数据块使用循环冗余码(CRC)的情况 下向所述接收实体发送所述第二数据块。
15. 如权利要求14所述的方法，该方法还包括-向所述接收实体发送序号，其中所述序号与所述第一数据块和所述计数器的至少一部分相对应。
16. 如权利要求14所述的方法，其中所述生成步骤还包括 在所述第二数据块中包括序号，其中所述序号与所述第一数据块和所述计数器的至少一部分相对应。
17. 如权利要求14所述的方法，其中由nodeB执行所述发送步骤， 并且所述接收实体包括用户设备(l正)。
18. 如权利要求14所述的方法，其中由用户设备(UE)执行所述发 送步骤，并且所述接收实体包括nodeB。
19. 一种通信网络中的消息认证方法，该方法包括以下步骤接收步骤，从第一发送实体接收安全消息中的公钥；同步步骤，对接收实体处的第一计数器与所述第一发送实体处的第二计数器进行同步；以及认证步骤，根据从第二发送实体接收到的消息、第一计数器、公钥和认证算法对该消息进行认证。
20. 如权利要求19所述的方法，其中所述认证步骤还基于在所述第 一发送实体和所述第二发送实体的各自时间基准之间设定的定时偏差。
21. 如权利要求19所述的方法，该方法还包括 从所述第一发送实体接收识别所述第二发送实体的小区专用码，并且所述认证步骤还基于所述小区专用码。
22. 如权利要求19所述的方法，其中所述接收实体包括用户设备 (UE)。
23. —种通信网络中的消息认证方法，该方法包括以下步骤 接收至少一个广播消息；接收安全消息中的公钥； 接收消息认证码(MAC);定义作为所述MAC的接收与时间基准之间的时间差的计数器；以及使用计数器、所述广播消息、认证算法和所述公钥来对所述MAC 进行认证。
24. 如权利要求23所述的方法，其中对所述安全消息进行了完整性 保护。
25. 如权利要求23所述的方法，其中对所述安全消息进行了加密。
26. 如权利要求23所述的方法，其中所述计数器与系统帧号(SFN) 相关联。
27. 如权利要求23所述的方法，其中所述广播消息是多媒体广播多 播服务(MBMS)消息。
28. 如权利要求23所述的方法，其中所述广播消息是系统信息消息。
全文摘要
通信网络中的消息认证方法，该方法包括形成具有多个单独消息的超消息，以使得至少两个单独消息针对单独的接收实体。该方法还包括利用私钥来创建消息认证码(MAC)，以使得该MAC被配置为允许利用公钥来对超消息进行认证。
文档编号H04L9/14GK101405987SQ200780010224
公开日2009年4月8日 申请日期2007年3月22日 优先权日2006年3月22日
发明者帕特里克·菲施勒, 维亚切斯拉夫·别连科 申请人:Lg电子株式会社