传输和接收加密用户数据的方法、无线电信基站以及无线电信终端 |
|||||||
申请号 | CN201310223643.8 | 申请日 | 2007-08-06 | 公开(公告)号 | CN103327483B | 公开(公告)日 | 2017-03-29 |
申请人 | 朗讯科技公司; | 发明人 | A·卡萨蒂; S·K·帕拉特; S·塔特施; | ||||
摘要 | 本 发明 的一个例子是一种在无线电信网络中向移动终端传输加密用户数据的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。 | ||||||
权利要求 | 1.一种在无线电信网络中向移动终端传输加密用户数据的方法,所述方法包括:向所述移动终端发送数据分组,所述数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据;其中, |
||||||
说明书全文 | 传输和接收加密用户数据的方法、无线电信基站以及无线电信终端 技术领域[0002] 本发明涉及电信,更具体地,涉及无线电信。 背景技术[0003] 在已知的通用移动通信系统(UMTS)的系统中,某些消息被加密。加密通过安全模式命令发起,该命令从核心网络发送,并经由UMTS地面无线接入网络(UTRAN)由移动终端接收。接着,安全模式响应从移动终端发送,并由核心网络接收。 [0004] 例如,如图1所示,在接收到会话或承载建立请求1后,核心网络(CN)2向UTRAN 6发送安全模式命令4。这使UTRAN 6将安全模式命令4转发到移动终端(用户设备,UE 8)。移动终端8通过使用特定参数值(有时称为安全上下文)初始化其加密算法而做出反应,然后通过向UTRAN 6发送安全模式响应10来确认,UTRAN 6将该响应10传送到核心网络2上。此后,加密非接入层(NAS)消息,诸如会话建立响应12,从核心网络2经由UTRAN 6发送到移动终端8。 [0005] 在该已知的方法中,安全模式消息是未加密的,因为该消息提供加密后续消息所需要的加密信息。 [0006] 另一个背景领域是长期演进(LTE)网络。基于UMTS网络,所谓的长期演进(LTE)网络现在正在发展。对于长期演进网络的背景,读者可以参考第三代伙伴计划技术规范3GPP TS23.882。 发明内容[0008] 本发明的例子是一种在无线电信网络中向移动终端传输加密用户数据的方法。该方法包括向移动终端发送数据分组。该数据分组包括将在恢复加密用户数据中使用的加密信息的标识符以及使用所述加密信息加密的用户数据。 [0009] 发明人认识到在已知的方法中,安全模式命令和响应信令在会话建立过程中造成延迟。例如,当移动终端移动到另一个基站的覆盖区域时,所使用的加密密钥会发生变化。这需要安全模式命令和响应信令以便在使用新的密钥加密的数据被发送之前通知移动终端该新的密钥。该附加的信令可引起额外的延迟。这种延迟对于用户是厌烦的,并可对于对呼叫延迟敏感的应用,诸如一键通,带来问题。 [0011] 现在参照附图,通过例子描述本发明的实施例,其中: [0012] 图1是示出已知的作为会话建立的一部分的启动加密的方法的图(现有技术); [0013] 图2是示出根据本发明的第一实施例的长期演进(LTE)网络的图; [0014] 图3是示出在图2所示的网络中作为会话建立的一部分的启动加密的方法的图; [0015] 图4是示出在会话建立中发送的NAS消息的结构的图; [0016] 图5是示出如何加密NAS信令消息的图; [0017] 图6是示出在LTE网络中的核心网络CN节点之间切换的图; [0018] 图7是示出在LTE网络中作为无线资源控制(RRC)连接建立的一部分的启动加密的图; [0019] 图8是示出根据本发明的第二实施例的通用移动通信(UMTS)网络的图; [0020] 图9是示出在图8所示的网络中作为会话建立的一部分的启动加密的方法的图。 具体实施方式[0021] 首先将描述实例性的LTE网络,接着说明如何使用组合消息在会话建立中启动加密。然后说明在移动终端从与一个核心网络节点的连接切换到与另一个核心网络节点的连接时如何处理加密。 [0022] 然后,描述可选的组合消息。 [0023] 然后,描述可选的网络,即UMTS网络,接着说明如何在该网络中启动加密。 [0024] 长期演进网络 [0025] 基于通用移动通信系统(UMTS)网络的LTE网络14基本如图2所示。核心网络包括移动性管理实体(MME)。每个MME 16都包括NAS消息加密阶段26。在图2中,为了简化起见,仅示出核心网络18的一个移动性管理实体(MME)16和LTE网络14的一个基站20。LTE网络包括多个基站。在图中,根据LTE术语,基站也被命名为“eNode B”。小区,也称为扇区,是基站的对应天线所服务的无线覆盖区域。每个基站20通常具有三个小区22,每一个小区由在方位角上相互呈120度角的三个定向天线24中的一个覆盖。 [0026] 在使用中,移动用户终端28(在LTE/UMTS术语中通常称为用户设备(UE))通过至少一个基站20的至少一个小区22与移动性管理实体16进行通信。这样,移动用户终端与UTRAN网络2进行通信。 [0027] 在会话建立中启动加密 [0028] 发明者认识到可以将安全模式命令和非接入层(NAS)消息(诸如会话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令,且这部分未被加密。该消息的第二部分是NAS消息,且这部分被加密。 [0029] 如图3所示,在接收到会话建立请求30后,移动性管理实体16向基站20发送包括未加密安全模式命令和加密NAS信令消息的组合消息32。这使基站20将组合消息32转发到移动终端(用户设备,UE 28)。移动终端28实现其安全上下文的初始化,然后通过向基站20发送安全模式响应34来确认,响应34从基站转发到移动性管理实体16。此后,加密非接入层(NAS)消息,诸如会话建立响应36,从MME 16经由基站20发送到移动终端28。 [0030] 上面所述的组合消息32如图4所示,其包括未加密安全命令38和加密NAS消息40。安全命令38包括定义安全上下文信息的信息单元,诸如将要使用的加密密钥的标识符,例如加密开始时的标识符。NAS消息40包括构成会话建立响应的信息单元。 [0031] 组合消息的产生 [0032] 在LTE网络14中,NAS消息的加密由核心网络18的各个节点中的加密阶段26执行。NAS消息的加密独立于用户数据的加密。 [0033] 如图5所示,用于加密的NAS消息和诸如加密密钥的用于实现加密的信息一起被输入加密阶段26,从该加密阶段26提供加密NAS消息40。加密NAS消息40与未加密报头信息38级联。这可能是因为MME 16通常允许在NAS消息的至少一部分与另一个未加密消息部分级联之前加密该NAS消息的至少一部分。 [0034] 切换时处理加密 [0035] 切换是将移动终端28从与一个基站20和核心网络18连接转移到与另一个基站(未示出)和另一个核心网络(未示出)连接的过程。切换有时被称为移交。 [0036] 切换过程的例子如图6所示。首先,与基站20连接,这涉及使用第一加密密钥。核心网络节点18通过基站20向移动终端28发送切换命令42,然后,实现到另一个基站20'和核心网络节点20'的呼叫连接的切换44。接着,“切换完成”消息46从移动终端28发送到新的基站18'和核心网络节点18'。此后,核心网络节点发送组合消息48,其由包括如前所述的加密密钥标识符的非加密安全模式命令50和随后的诸如NAS信令消息的用户数据的加密部分52构成。因此,例如,当核心网络进行加密变化时,来自新的核心网络节点18'的第一组合消息50在安全模式命令中指示将使用新的安全参数值,并在加密格式中包括新的NAS信令消息。 [0037] 在另一个类似的实施例中,如果加密和加密配置改为在用户平面中进行,则用户平面中的组合分组包括与用户数据级联的非加密安全模式命令。 [0038] 当然,在某些实施例中,通过发送由包括加密密钥标识符的非加密安全模式命令和随后的使用该加密密钥加密的用户数据的加密部分构成的组合消息而切换到新的加密密钥,可以在除了小区之间的切换之外的其它时间进行。例如,在另一个实施例中,旧的小区和新的小区可以是同一个小区。 [0039] 在该例子中,首先,小区使用旧的加密参数与移动终端进行通信。在会话过程中,小区发送包含新的加密参数和额外的用户数据的分组。移动终端接收新的加密参数。移动终端使用新的加密参数以解密该分组的加密部分。移动终端还存储新的加密参数,用于随后在解密使用新的加密参数加密的后续分组中使用。 [0040] 无线资源控制 [0041] 如图7所示,由非加密安全模式命令和加密用户数据部分构成的组合消息同样可以被发送,其中用户数据部分包括无线资源控制(RRC)消息。如图7所示,RRC连接请求54被发送到基站20”,组合消息56,更具体地,包括非加密安全模式命令和随后的(使用新的密钥的)加密RRC连接响应的组合消息56由基站在答复中发送到移动终端28'。然后,安全模式响应从用户终端28'发送。 [0042] 另一个实例性系统:UMTS [0043] 该网络是通用移动通信系统(UMTS)地面接入网络(UTRAN),这是一种用于移动通信的宽带码分多址(CDMA)网络。UTRAN网络基本如图8所示。为了简化起见,仅示出UTRAN网络62的一个无线网络控制器和两个基站。如该图所示,UTRAN网络62包括基站64。在图中,根据UMTS术语,每个基站64也称为“节点B”。小区,也称为扇区,是由基站的对应天线服务的无线覆盖区域。每个基站通常具有三个小区66,每个小区由在方位角上相互呈120度角的三个定向天线中的一个覆盖。每个无线网络控制器(RNC)68通常控制几个基站64,进而控制多个小区66。基站64经由各自的称为IuB接口的接口69连接到它的控制无线网络控制器(RNC)68。在使用中,移动用户终端70(在UMTS术语中通常称为用户设备(UE))通过至少一个基站 64的至少一个小区66与服务无线网络控制器(RNC)68进行通信。这样,移动用户终端与UTRAN网络62进行通信。 [0044] RNC被连接到核心网络74的服务网关支持节点(SGSN)72。SGSN72包括将在下面更详细描述的NAS消息加密阶段76。 [0045] 在会话建立中启动加密:UMTS例子 [0046] 发明者认识到可以将安全模式命令和非接入层(NAS)消息(诸如会话建立响应)组合成单个组合消息。该消息的第一部分是安全模式命令,且该部分未被加密。该消息的第二部分是NAS消息,且该部分被加密。 [0047] 如图9所示,在接收到会话建立请求78后,SGSN 72向RNC 68以及基站64发送包括未加密安全模式命令和加密NAS信令消息的组合消息80。这使基站64将组合消息80转发到移动终端(用户设备,UE 70)。 [0048] 组合消息80由未加密安全命令和加密NAS消息组成。安全命令包括定义安全上下文信息的信息单元,诸如将要使用的加密密钥的标识符,例如,加密开始时的标识符。消息80的加密NAS消息部分包括构成会话建立响应的信息单元。 [0049] 移动终端70实现其安全上下文的初始化,然后通过向基站64以及RNC 68发送安全模式响应82来确认,响应82从RNC 68转发到SGSN 72。 [0050] 概要 [0051] 本发明在不脱离其本质特征的情况下,可以以其它特定形式实现。所描述的实施例在所有方面都被认为只是说明性的,而非限制性的。因此,本发明的范围由所附的权利要求书指定,而不是由前面的说明书指定。在权利要求的等同含义和范围内的所有变化都包含在它们的范围内。 [0052] 一些缩写 [0053] CN:核心网络;UMTS:通用移动通信系统;UE:用户设备;NAS:非接入层(也称为核心网络协议);MME:移动性管理实体;LTE:长期演进,在3GPP中使用的用于在UMTS后正被标准化的系统的术语;IE:信息单元;RRC:无线资源控制(控制协议的无线部分,也称为控制协议的接入层部分);SGSN:信令网关支持节点。 |