专利名称:无线电信中的加密的制作方法
技术领域:
本发明涉及电信,更具体地,涉及无线电信。
背景技术:
在已知的通用移动通信系统(UMTS)的系统中,某些消息^皮加密。 加密通过安全模式命令发起,该命令从核心网络发送,并经由UMTS地面 无线接入网络(UTRAN)由移动终端接收。接着,安全模式响应从移动终 端发送,并由核心网络接收。
例如,如图1所示,在接收到会话或承栽建立请求1后,核心网络(CN ) 2向UTRAN 6发送安全模式命令4。这使UTRAN 6将安全才莫式命令4转 发到移动终端(用户i殳备,UE8)。移动终端8通过使用特定参数值(有 时称为安全上下文)初始化其加密算法而做出反应,然后通过向UTRAN6 发送安全才莫式响应10来确认,UTRAN 6将该响应10传送到核心网络2 上。此后,加密非接入层(NAS)消息,诸如会活建立响应12,从核心网 络2经由UTRAN 6发送到移动终端8。
在该已知的方法中,安全模式消息是未加密的,因为该消息提供加密 后续消息所需要的加密信息。
另 一个背景领域是长期演进(LTE )网络。基于UMTS网络,所谓的 长期演进(LTE)网络现在正在发展。对于长期演进网络的背景,读者可 以参考第三代伙伴计划技术规范3GPP TS23.882。
发明内容
读者可参考所附的独立权利要求。某些优选特征在从属权利要求中展示。
本发明的例子是一种在无线电信网络中向移动终端传输加密用户数据 的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复 加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用 户数据。
发明人认识到在已知的方法中,安全模式命令和响应信令在会话建立 过程中造成延迟。例如,当移动终端移动到另一个基站的覆盖区域时,所 使用的加密密钥会发生变化。这需要安全模式命令和响应信令以便在使用 新的密钥加密的数据被发送之前通知移动终端该新的密钥。该附加的信令 可引起额外的延迟。这种延迟对于用户是厌烦的,并可对于对呼叫延迟敏 感的应用,诸如一键通,带来问题。
在本发明的某些实施例中,这种延迟可被减小。
现在参照附图,通过例子描述本发明的实施例,其中 图1是示出已知的作为会话建立的一部分的启动加密的方法的图(现 有技术);
图2是示出根据本发明的第一实施例的长期演进(LTE)网络的图; 图3是示出在图2所示的网络中作为M建立的一部分的启动加密的 方法的图4是示出在会话建立中发送的NAS消息的结构的图5是示出如何加密NAS信令消息的图6是示出在LTE网络中的核心网络CN节点之间切换的图7是示出在LTE网络中作为无线资源控制(RRC)连接建立的一 部分的启动加密的图8是示出根据本发明的第二实施例的通用移动通信(UMTS)网络 的图9是示出在图8所示的网络中作为会话建立的一部分的启动加密的方法的图。
具体实施例方式
首先将描述实例性的LTE网络,接着说明如何使用组合消息在会话建 立中启动加密。然后说明在移动终端从与 一个核心网络节点的连接切换到 与另 一个核心网络节点的连接时如何处理加密。
然后,描述可选的组合消息。
然后,描述可选的网络,即UMTS网络,接着说明如何在该网络中启 动加密。 长期演进网络
基于通用移动通信系统(UMTS)网络的LTE网络14基本如图2所 示。核心网络包括移动性管理实体(MME)。每个MME 16都包括NAS 消息加密阶段26。在图2中,为了简化起见,仅示出核心网络18的一个 移动性管理实体(MME ) 16和LTE网络14的一个基站20。 LTE网络包 括多个基站。在图中,根据LTE术语,基站也被命名为"eNodeB"。小 区,也称为扇区,是基站的对应天线所服务的无线覆盖区域。每个基站20 通常具有三个小区22,每一个小区由在方位角上相互呈120度角的三个定 向天线24中的一个覆盖。
在使用中,移动用户终端28 (在LTE/UMTS术语中通常称为用户设 备(UE))通过至少一个基站20的至少一个小区22与移动性管理实体 16进4亍通信。这样,移动用户终端与UTRAN网络2进4亍通信。 在会活建立中启动加密
发明者认识到可以将安全模式命令和非接入层(NAS)消息(诸如会 话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令, 且这部分未被加密。该消息的第二部分是NAS消息,且这部分被加密。
如图3所示,在接收到会话建立请求30后,移动性管理实体16向基 站20发送包括未加密安全模式命令和加密NAS信令消息的组合消息32。 这4t基站20将组合消息32转发到移动终端(用户i殳备,UE 28)。移动终端28实现其安全上下文的初始化,然后通过向基站20发送安全才莫式响 应34来确认,响应34从基站转发到移动性管理实体16。此后,加密非接 入层(NAS)消息,诸如会话建立响应36,从MME 16经由基站20发送 到移动终端28。
上面所述的组合消息32如图4所示,其包括未加密安4^令38和加 密NAS消息40。安#令38包括定义诸如将务使用的加密密钥的标识符 的安全上下文信息的信息单元,例如,加密开始时的标识符。NAS消息40 包括构成会话建立响应的信息单元。 组合消息的产生
在LTE网络14中,NAS消息的加密由核心网络18的各个节点中的 加密阶段26执行。NAS消息的加密独立于用户数据的加密。
如图5所示,用于加密的NAS消息和诸如加密密钥的用于实现加密的 信息一起被输入加密阶段26,从该加密阶段26提供加密NAS消息40。加 密NAS消息40与未加密报头信息38级联。这可能是因为MME 16通常 允许在NAS消息的至少一部分与另一个未加密消息部分级联之前加密该 NAS消息的至少一部分。 切换时处理加密
切换是将移动终端28从与一个基站20和核心网络18连接转移到与另 一个基站(未示出)和另一个核心网络(未示出)连接的过程。切换有时 被称为移交。
切换过程的例子如图6所示。首先,与基站20连接,这涉及使用第一 加密密钥。核心网络节点18通过基站20向移动终端28发送切换命令42, 然后,实现到另一个基站 20'和核心网络节点20'的呼叫连接的切换44。接 着,"切换完成,,消息46从移动终端28发送到新的基站18'和核心网络节 点18'。此后,核心网络节点发送组合消息48,其由包括如前所述的加密 密钥标识符的非加密安全才莫式命令50和随后的诸如NAS信令消息的用户 数据的加密部分52构成。因此,例如,当核心网络进行加密变化时,来自 新的核心网络节点18'的第一组合消息50在安全模式命令中指示将使用新的安全参数值,并在加密格式中包括新的NAS信令消息。
在另一个类似的实施例中,如果加密和加密配置改为在用户平面中进 行,则用户平面中的组合分组包括与用户数据级联的非加密安全模式命令。 当然,在某些实施例中,通过发送由包括加密密钥标识符的非加密安 全模式命令和随后的使用该加密密钥加密的用户数据的加密部分构成的组 合消息而切换到新的加密密钥,可以在除了小区之间的切换之外的其它时 间进行。例如,在另一个实施例中,旧的小区和新的小区可以是同一个小 区。
在该例子中,首先,小区使用旧的加密参数与移动终端进行通信。在 M过程中,小区发送包含新的加密参数和额外的用户数据的分组。移动 终端接收新的加密参数。移动终端使用新的加密参数以解密该分组的加密 部分。移动终端还存储新的加密参数,用于随后在解密使用新的加密M 加密的后续分组中^f吏用。 无线资源控制
如图7所示,由非加密安全模式命令和加密用户数据部分构成的组合 消息同样可以祐发送,其中用户数据部分包括无线资源控制(RRC)消息。 如图7所示,RRC连接请求54被发送到基站20",组合消息56,更具体 地,包括非加密安全模式命令和随后的(使用新的密钥的)加密RRC连 接响应的组合消息56由基站在答复中发送到移动终端28'。然后,安全模 式响应从用户终端28,发送。 另一个实例性系统UMTS
该网络是通用移动通信系统(UMTS)地面接入网络(UTRAN),这 是一种用于移动通信的宽带码分多址(CDMA)网络。UTRAN网络基本 如图8所示。为了简化起见,仅示出UTRAN网络62的一个无线网络控制 器和两个基站。如该图所示,UTRAN网络62包括基站64。在图中,根据 UMTS术语,每个基站64也称为"节点B,,。小区,也称为扇区,是由基 站的对应天线服务的无线覆盖区域。每个基站通常具有三个小区66,每个 小区由在方位角上相互呈120度角的三个定向天线中的一个覆盖。每个无线网络控制器(RNC) 68通常控制几个基站64,进而控制多个小区66。 基站64经由各自的称为IuB接口的接口 69连接到它的控制无线网络控制 器(RNC) 68。在使用中,移动用户终端70 (在UMTS术语中通常称为 用户设备(UE ))通过至少一个基站64的至少一个小区66与服务无线网 络控制器(RNC) 68进行通信。这样,移动用户终端与UTRAN网络62 进行通信。
RNC被连接到核心网络74的服务网关支持节点(SGSN) 72。 SGSN 72包括将在下面更详细描述的NAS消息加密阶段76。 在^"建立中启动加密UMTS例子
发明者认识到可以将安全模式命令和非接入层(NAS)消息(诸如会 话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令, 且该部分未^L^密。该消息的第二部分是NAS消息,且该部分#^口密。
如图9所示,在接收到会话建立请求78后,SGSN 72向RNC 68以及 基站64发送包括未加密安全模式命令和加密NAS信令消息的组合消息 80。这4吏基站64将组合消息80转发到移动终端(用户设备,UE70)。
组合消息80由未加密安全命令和加密NAS消息组成。安全命令包括 定义诸如将要^f吏用的加密密钥的标识符的安全上下文信息的信息单元,例 如,加密开始时的标识符。消息80的加密NAS消息部分包括构成会话建 立响应的信息单元。
移动终端70实现其安全上下文的初始化,然后通过向基站64以及 RNC 68发送安全模式响应82来确认,响应82从RNC 68转发到SGSN 72。 概要
本发明在不脱离其本质特征的情况下,可以以其它特定形式实现。所 描述的实施例在所有方面都械」〖人为只是说明性的,而非限制性的。因此, 本发明的范围由所附的权利要求书指定,而不是由前面的说明书指定。在 权利要求的等同含义和范围内的所有变化都包含在它们的范围内。 一些缩写
CN:核心网络;UMTS:通用移动通信系统;UE:用户设备;NAS:非接入层(也称为核心网络协议);MME:移动性管理实体;LTE:长期演 进,在3GPP中使用的用于在UMTS后正被标准化的系统的术语;IE:信 息单元;RRC:无线资源控制(控制协议的无线部分,也称为控制协i5C的 接入层部分);SGSN:信令网关支持节点。
权利要求
1.一种在无线电信网络中向移动终端传输加密用户数据的方法,所述方法包括向所述移动终端发送数据分组,所述数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。
2. 根据权利要求l所述的方法,其中,所述加密信息包括加密密钥。
3. 根据权利要求1或2所述的方法,其中,所iUa密信息包括加密算法。
4. 根据权利要求1至3任意一项所述的方法,其中,所述用户数据包 括用户信令数据。
5. 根据权利要求4所述的方法,其中,所述网络是UMTS或LTE网 络,所述用户信令数据包括NAS消息或RRC消息。
6. 根据权利要求1至3任意一项所述的方法,其中,所述用户数据包 括用户业务数据。
7. 根据前面任一权利要求所述的方法,还包括所述移动终端接收所 述数据分组并使用所标识的加密信息恢复所述用户数据的步骤。
8. 根据权利要求7所述的方法,还包括所述移动终端存储所标识的 加密信息,用于在恢复随后接收的数据分组中的加密用户数据中使用。
9. 一种无线电信数据分组,包括将在恢复加密用户数据中使用的加 密信息的标识符;以及使用所述加密信息加密的用户数据。
10. —种无线电信基站,用于在数据分组中传输加密用户数据,所述 数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用 所述加密信息加密的用户数据。
11. 一种无线电信终端,包括接收机和处理器;其中, 所述接收机用于接收数据分组,所述数据分组包括将在恢复加密用户数据中4吏用的加密信息的标识符以及使用所述加密信息加密的用户数据; 所述处理器用于使用所迷更新加密信息以恢复4吏用所迷加密信息加密的用户数据;所述移动终端用于存储所述加密信息,用于随后的使用。
12. —种在无线电信网络中移动终端接收加密用户数据的方法,所述 方法包括所述移动终端接收第 一数据分组,所述第 一数据分组包括使用第 一加 密信息加密的用户数据;使用在所述移动终端中存储的第一加密信息在所述移动终端中恢复所 述用户数据;所述移动终端接收下一个数据分组,所述数据分组包括将在恢复加密 用户数据中使用的更新加密信息的标识符以及使用所述更新加密信息加密 的用户数据;以及所述移动终端使用所述更新加密信息以恢复使用所述更新加密信息加 密的用户数据,并存储所述更新加密信息用于使用。
全文摘要
本发明的一个例子是一种在无线电信网络中向移动终端传输加密用户数据的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。
文档编号H04W12/02GK101518032SQ200780036049
公开日2009年8月26日 申请日期2007年8月6日 优先权日2006年10月3日
发明者A·卡萨蒂, S·K·帕拉特, S·塔特施 申请人:朗讯科技公司