專利名稱:無線電系統中的加密數據傳輸的方法
技術領域:
本發明涉及無線電系統中加密數據傳輸的方法。
背景技術:
今天,在許多數據傳輸系統中使用加密來防止被傳輸的數據落入未經授權的用戶手中。加密在過去的幾年中發展顯著,特別當無線電信變得更為普通時。
例如,可以通過在發射機中對要被傳輸的信息進行加密并通過在接收機中對所述信息進行解密來執行加密。在加密裝置中,要被傳輸的信息,例如比特流,乘以一定數量的加密比特模式,因此,如果不知道所使用的加密比特模式,則難以知道原始比特流。
在數字GSM系統中,例如,在無線電路徑上進行加密通過將數據比特異或(XOR)和加密比特來形成要被傳輸到無線電路徑上的加密比特流,利用加密密鑰Kc,加密比特由本身已知的算法(A5算法)形成。A5算法對在業務信道和DCCH控制信道上傳輸的信息進行加密。
當網絡對終端進行了鑒權但信道上的業務還沒有被加密時設置密鑰Kc。在GSM系統中,根據存儲在終端里的國際移動用戶身份IMSI,或根據按照用戶身份形成的臨時移動用戶身份TMSI來識別終端。用戶識別密鑰Ki也存儲在終端中。終端識別鑰也是系統所知的。
為了使加密可靠,關于加密密鑰Kc的信息必須保密。因而加密密鑰要間接地從網絡傳輸至終端。隨機接入號碼RAND在網絡中形成,這個號碼通過基站系統傳輸至終端。已知算法(A5算法)根據隨機接入號RAND和用戶識別密鑰Ki形成加密密鑰Kc。加密密鑰Kc在系統的終端和網絡部分中以同樣的方式被計算。
開始,終端和基站之間的連接上的數據傳輸沒有被加密。加密不會開始,直到基站系統向終端發送加密模式命令。當終端接收到該命令時,它開始對要發送的數據進行加密,并對接收數據進行解密。相應地,基站系統在發送加密模式命令后開始對接收數據進行解密,并在接收及成功解密了來自終端的第一加密消息后對發送數據進行加密。在GSM系統中,加密模式命令包括開始加密命令以及所用算法的信息。
已知方法的問題在于它們是為現有系統設計的,因此它們不靈活,不適于新系統中數據傳輸的加密,新系統中一個移動臺可能有幾個并行業務。如果我們對將要用相同空中接口幀發送的兩個或兩個以上并行協議數據單元使用相同的加密掩碼(ciphering mask)兩次,則竊聽者可能從數據流中導出許多信息。可以導出的信息量取決于數據流的結構。無法從無結構的隨機數據中得到任何信息,但通常數據都會有結構,特別在信令數據中。
發明簡述本發明的目的是提供一種解決上述問題的方法和實現本方法的用戶設備及無線電網絡子系統。在無線電系統中用加密數據傳輸的方法來達到該目的,所述方法包括產生加密密鑰;利用加密密鑰作為輸入參數在加密算法中產生加密隱蔽;通過把加密掩碼用于明文數據(plain data)來產生加密數據。使用邏輯信道專用參數或傳輸信道專用參數作為加密算法的附加輸入參數。
本發明還涉及用戶設備,該設備包括用于產生加密密鑰的生成裝置;與生成裝置相連的加密算法,用于利用加密密鑰作為輸入參數來產生加密掩碼;與加密算法相連的加密裝置,用于通過把加密掩碼用于明文數據來產生加密數據。加密算法使用邏輯信道專用參數或傳輸信道專用參數作為附加輸入參數。
本發明還涉及無線電網絡子系統,它包括用于產生加密密鑰的生成裝置;與生成裝置相連的加密算法,用于利用加密密鑰作為輸入參數來產生加密掩碼;與加密算法相連的加密裝置,用于通過把加密掩碼用于明文數據來產生加密數據。加密算法使用邏輯信道專用參數或傳輸信道專用參數作為附加輸入參數。
在從屬權利要求中聲明了本發明的最佳實施例。
使用本發明可以得到幾個優點。在本發明的解決方案中,可以靈活控制加密和其性質。本發明在新的無線電系統中增強了用戶的安全性。這個解決方案優于已知的技術,它對每個空中接口幀使用足夠長的加密掩碼僅一次,因為它允許在協議棧中分布實現所需功能。
附圖簡述下面將借助于最佳實施例并參考附圖更為詳細地說明本發明,附圖中
圖1A和1B說明移動電話系統的示例;圖2A說明發射機和接收機;圖2B說明傳輸信道編碼和復用;圖3說明幀結構;圖4A、4B和4C示出根據本發明的加密環境的方框圖;圖5說明移動臺;圖6是說明根據本發明的方法的流圖;圖7A說明協議棧的示例;圖7B說明根據本發明的協議棧的示例;圖7C說明邏輯信道和傳輸信道之間的映射;圖8說明媒體接入控制層協議數據單元的結構。
發明祥述本發明可用于不同的移動電話系統中。在下面的示例中,在通用移動電話系統(UMTS)中說明本發明的使用,但本發明不限于這種系統。這個示例說明UMTS的FDD(頻分雙工)操作,但本發明不限于這種操作。
將參照圖1A和1B描述典型的移動電話系統的結構。圖1B只包含了對于本發明的描述重要的單元,盡管對于本領域的技術人員來說顯而易見,普通移動電話系統還包括其它功能和結構,在這不必對此詳細討論。移動電話系統的主要部分包括核心網絡CN,UMTS陸地無線接入網絡UTRAN,和用戶設備UE。CN和UTRAN之間的接口稱為lu接口,UTRAN和UE之間的接口稱為Uu接口。
UTRAN包括無線電網絡子系統RNS。兩個RNS之間的接口稱為lur接口。RNS包括無線電網絡控制器RNC和一個或多個節點B。RNC和節點B之間的接口稱為lub接口。節點B的接收區域,即小區,在圖1A中用C表示。
因為圖1A中的表述非常抽象,這在圖B中通過闡明對應于UMTS的部分的GSM系統的部分來闡明。顯而易見,給出的映射決不是應遵守(binding)的而是近似的,因為UMTS的部分的責任和功能尚在計劃中。
圖1B說明通過因特網102從連接移動電話系統的計算機100到連接用戶設備UE的便攜式計算機122的分組交換傳輸。例如,用戶設備可以是固定安裝的無線本地回路終端、車載終端或手持便攜式終端。
無線電網絡UTRAN的基本結構包括無線電網絡子系統RNS,即基站子系統。無線電網絡子系統RNS包括無線電網絡控制器RNC和至少一個節點B,RNC就是基站控制器,而節點B是由RNC控制的基站。
節點B包括復用器114、收發信機116和控制單元118,后者控制收發信機116和復用器114的操作。復用器114將多個收發信機116使用的業務和控制信道安排在單一傳輸連接lub上。
節點B的收發信機116連接至天線單元120,天線單元用于提供到用戶設備UE的雙向(或有時是單向)無線電連接。詳細確定在無線電連接Uu上傳輸的幀的結構,所述連接稱為空中接口。
無線電網絡控制器RNC包括組交換域(group switching field)110和控制單元112。組交換域110用于交換語音和數據以及用于連接信令電路。節點B和無線電網絡控制器RNC形成基站子系統,它又包括代碼轉換器,也稱為語音編解碼器或TRAU(代碼轉換器和速率匹配單元)108。
根據無線電網絡子系統的實際實現,無線電網絡控制器RNC和節點B的功能和物理結構的劃分可能不同。通常,節點B實現無線電連接。無線電網絡控制器RNC通常管理下述功能無線電資源控制、小區間切換控制、功率控制、定時和同步以及對用戶設備的尋呼。
代碼轉換器108通常盡可能靠近移動交換中心106,因為這使得在蜂窩無線電網絡的形式中語音在代碼轉換器108和無線電網絡控制器RNC之間傳輸,這可以節省傳輸容量。
代碼轉換器108在公眾交換電話網絡和蜂窩無線電網絡之間轉換所使用的不同數字語音編碼模式以使它們互相兼容,例如從64kbps固定網絡形式到蜂窩無線電網絡的另一形式(諸如13kbps),反之亦然。自然地,只對語音執行代碼轉換。控制單元112執行呼叫控制、移動性管理、統計數據的收集以及信令。
核心網絡CN包括屬于不是UTRAN一部分的移動電話系統的基礎結構。圖1B說明作為核心網絡CN部分的兩個設備,即移動交換中心106和網關移動交換中心104,后者處理移動電話系統對外界的接口,在這個示例中對因特網102的接口。
圖5說明用戶設備UE的示例性結構。用戶設備UE的主要部分是對用戶設備UE的天線502的接口504,收發信機506,用戶設備UE的控制部分510,對電池514的接口512和包括顯示器500、鍵盤508、麥克風516及揚聲器518的用戶接口。
圖2A說明無線電發射機/接收機對的功能。無線電發射機可以位于節點B中,或位于用戶設備中。相應地,無線電接收機可以位于用戶設備或節點B中。
圖2A的上面部分說明無線電發射機的主要功能。位于物理信道中的不同業務是例如語音、數據、運動或靜止視頻圖像的業務,以及在無線電發射機的控制部分214中處理的系統的控制信道。控制部分214涉及設備本身的控制以及對連接的控制。圖2A說明對兩個不同傳輸信道200A和200B的操縱。不同業務要求不同的源編碼設備例如語音要求語音編解碼器。但是,為了清楚起見,源編碼設備沒有出現在圖2A中。
首先在模塊216A和216B中對邏輯信道進行加密。在加密中,通過把加密掩碼用于明文數據來產生加密數據。然后在模塊200A、200B中把加密數據放到傳輸信道中。稍后將參照圖4A、4C和7B進行解釋,既可以對邏輯信道執行加密,也可以對傳輸信道執行加密。然后在模塊202A和202B中對不同的信道進行編碼。信道編碼的一種形式為不同的分組碼,其中一個示例是循環冗余校驗碼,或CRC。執行信道編碼的另一典型方法是卷積編碼及其不同的變體,諸如穿孔卷積碼和Turbo碼。
信道編碼后,信道在交織器204A、204B中被交織。交織器的目的是使糾錯更為容易。在交織器中,比特按照預定的方式互相混合,以便無線電路徑上的瞬時衰落不一定使傳輸信息無法識別。
不同的信號在模塊208中被復用,以便它們可以使用相同的發射機發送。
然后在模塊206中,對于交織的加密比特,用擴頻碼對其擴頻,用擾碼對其加擾,并對其進行調制,模塊206的操作在圖2B中詳細說明。
最后,組合信號傳輸到射頻部分210,該部分可以包括功率放大器和帶寬限制濾波器。然后,模擬無線電信號通過天線212傳輸給無線電路徑Uu。
圖2A的下面部分說明無線電接收機的典型功能。無線電接收機通常是Rake(分離多經)接收機。通過天線234從無線電路徑Uu接收模擬無線電信號。接收信號傳輸到射頻部分232,它包括阻止所需頻帶之外的頻率的濾波器。信號在解調器228中被轉換為中頻或直接轉換為基帶,信號以這種形式被抽樣和量化。
因為所討論的信號是多徑傳播信號,在模塊228中盡力組合不同多徑中傳播的信號分量,模塊228包括幾個Rake手指(Rakefinger)。
在所謂的成行Rake手指中,查找不同多徑傳輸信號分量的延遲。在找到延遲后,通過將所述接收信號與延遲了所找到那個特定多徑的延遲的所用擴頻碼相關,分配不同的Rake手指用于接收多徑傳輸信號中的每一個。為了得到較強信號,組合相同信號的不同解調和解擴多徑。
接收物理信道然后在分用器224中被分用到不同信道的數據流中。每個信道指向,接收物理信道在去交織器226A和226B中被去交織。隨后,在特定信道解碼器222A、222B中處理物理信道,用于傳輸的信道編碼在解碼器222A、222B中被解碼。最好使用Viterbi解碼器對卷積編碼進行解碼。在這之后,傳輸信道在模塊200A和200B中被映射為邏輯信道,或其它可能性就是對傳輸信道執行解密。在模塊220A和220B中通過把加密掩碼用于接收數據來對信道解碼信道(邏輯或傳輸)進行解密。每個接收邏輯信道可以被進一步處理,例如通過把數據傳送到連接用戶設備UE的計算機122。系統的控制信道被傳送給無線電接收機的控制單元236。
圖2B說明傳輸信道如何被編碼和復用。大體上,圖2B與圖2A部分相同,但是是從另一觀點來看。在模塊240A和240B中,循環冗余校驗碼加到每個傳輸塊中。在模塊242A、242B和246中分兩級進行交織。當具有不同質量業務需求的兩個或兩個以上業務被復用到一個或多個物理信道時,則使用業務專用速率匹配244。在速率匹配中,信道符號率調整到最佳水平,這里每個業務的最小質量業務需求用相同的信道符號能量完成。傳輸信道到物理信道的映射在模塊248中被執行。
因為加密是本發明的關鍵問題,它的原理將在下面詳細說明。在表1中,第一行表示要傳輸給接收者的明文數據比特。第二行的比特組成加密掩碼。通常通過使用異或操作,即XOR,將加密掩碼用于明文數據。產生的加密數據在第三行。這個加密數據通過空中接口發送給接收者。接收者通過把發射機中使用的同一加密掩碼用于接收數據來進行解密。第四行是加密掩碼,它與第三行進行XOR操作。產生的恢復數據表示在第五行中。可見,恢復數據與明文數據相同。
表1圖3示出用于物理信道上的幀結構的示例。給幀340A、340B、340C和340D連續的號碼,從1到72,它們形成720毫秒長超幀。一個幀340C的長度是10毫秒。幀340C被分成16個時隙330A、330B、330C和330D。時隙330C的長度是0.625毫秒。一個時隙330C通常對應于一個功率控制周期,其間功率被調整,例如上調或下調一個分貝。
物理信道分成不同的類型,包括公用物理信道和專用物理信道。
公用物理信道用于承載以下傳輸信道PCH、BCH、RACH和FACH。
專用物理信道由專用物理數據信道(DPDCH)310和專用物理控制信道(DPCCH)312組成。DPDCH 310用于承載在OSI(開放系統互連)模型的第二層或更高層產生的數據306,即專用控制信道(DCH)。DPCCH 312承載OSI模型中第一層產生的控制信息。控制信息包括用于信道估計的導頻比特300,反饋信息(FBI)308,發送功率控制指令(TPC)302和可選的傳輸格式組合指示符(TFCI)304。TFCI 304告訴接收機用于當前幀的不同傳輸信道的傳輸格式,即傳輸格式組合。
如圖3所示,下行鏈路DPDCH 310和DPCCH 312被時分復用到相同時隙330C中。在上行鏈路中,信道被并行發送,所以它們被IQ/編碼復用(I=同相,Q=正交)到每個幀304C中。
根據協議結構處理無線電接口Uu中的信道,該協議結構根據ISO(國際標準化組織)OSI(開放系統互連)模型包括三個協議層物理層(=第一層)、數據鏈路層(=第二層)和網絡層(=第三層)。協議棧位于無線電網絡子系統RNS和用戶設備UE中。每個單元(例如用戶設備或無線電網絡子系統)有一層與另一單元的一層進行邏輯通信。只有最低層的物理層之間直接通信。其它層總是使用下一層、即較低層提供的服務。因而消息必須在層與層之間以垂直方向通過,只有在最低層,消息在層之間水平方向通過。圖7A說明協議結構的層。不同子層之間的橢圓表示業務接入點(SAP)。
物理層L1為MAC子層和更高層提供不同的傳輸信道。通過數據如何以及以何種特征通過無線電接口傳送來說明物理層傳輸業務。傳輸信道包括尋呼信道PCH、廣播信道BCH、同步信道SCH、隨機接入信道RACH、前向接入信道FACH、下行鏈路共享信道DSCH、快速上行鏈路信令信道FAUSCH和專用信道DCH。物理層L1用物理信道映射傳輸信道。在FDD(頻分雙工)模式中,物理信道的特征在于編碼、頻率和上行鏈路中的相對相位(I/Q)。在TDD(時分雙工)模式中,物理信道的特征還在于時隙。
傳輸信道可以分割成公用信道(當尋址特定的UE時有對UE的帶內識別的需求)和專用信道(UE由物理信道識別,即FDD的編碼和頻率及TDD的編碼、時隙和頻率)。
公用傳輸信道類型如下。RACH是基于爭用的上行鏈路信道,用于相對少量數據的傳輸,例如初始接入或非實時專用控制或業務數據。FACH是沒有閉環功率控制的公用下行鏈路信道,用于相對少量數據的傳輸。DSCH是由幾個UE共享的下行鏈路信道,承載專用控制數據或業務數據。BCH是下行鏈路信道,用于對整個小區廣播系統信息。SCH是下行鏈路信道,用于在TDD模式下向整個小區廣播同步信息。PCH是下行鏈路信道,用于向整個小區廣播控制信息,這個小區允許有效的UE睡眠模式過程。
專用傳輸信道依次如下。DCH是專用于上行鏈路或下行鏈路中使用的一個UE的信道。FAUSCH是上行鏈路信道,用于分配連同FACH的專用信道。數據鏈路層被分成兩個子層MAC子層(媒體存取控制)和RLC子層(無線電鏈路控制)。MAC子層L2/MAC為RLC子層L2/RLC提供不同的邏輯信道。邏輯信道的特征在于傳送的信息的類型。邏輯信道包括尋呼控制信道PCCH、廣播控制信道BCCH、同步控制信道SCCH、公用控制信道CCCH、專用控制信道DCCH和專用業務信道DTCH。
控制信道只用于控制平面信息的傳送。SCCH是下行鏈路信道,用于在TDD(時分雙工)操作下廣播同步信息。BCCH是下行鏈路信道,用于廣播系統控制信息。PCCH是傳送尋呼信息的下行鏈路信道。CCCH是雙向信道,用于在網絡和UE之間傳輸控制信息。該信道通常由與網絡沒有RRC連接的UE使用。DCCH是點到點雙向信道,它在UE和網絡之間傳輸專用控制信息。該信道是通過RRC連接建立過程建立的。
業務信道只用于用戶平面信息的傳送。DTCH是專用于一個UE的點到點信道,用于用戶信息的傳送。DTCH可存在于上行鏈路和下行鏈路中。
MAC層用傳輸信道映射邏輯信道。MAC子層的功能之一是根據瞬間源比特率為每個傳輸信道選擇合適的傳輸格式。
圖7C說明邏輯信道和傳輸信道之間的映射。SCCH連接到SCH。BCCH連接到BCH。PCCH連接到PCH。CCCH連接到RACH和FACH。DTCH可以連接到RACH和FACH、RACH和DSCH、DCH和DSCH、或者DCH。DCCH可以連接到RACH和FACH、RACH和DSCH、DCH和DSCH、DCH、或者FAUSCH。
第三層有RRC子層(無線電資源控制),該子層處理用戶設備和網絡之間第三層的控制平面信令。RRC子層實現的功能中有對RRC連接的無線電資源的分配、重新配置和釋放。所以RRC子層處理RRC連接所需要的無線電資源的分配,包括控制和用戶平面的需求。RRC層可以在建立RRC連接期間重新配置無線電資源。
在本發明中,我們對一個用戶的不同業務數據流的加密感興趣。根據已知技術,所有的數據流都使用相同的加密掩碼進行加密。
圖6中表示了根據本發明的用于在無線電系統中對數據傳輸進行加密的方法。所述方法的執行始于框600。
在框602中,根據已知技術產生加密密鑰,例如發明背景中說明的已知技術。
在框604中,用加密密鑰作為輸入參數在加密算法中產生加密掩碼。邏輯信道專用參數或傳輸信道專用參數也可以作為加密算法的附加輸入參數。邏輯信道專用參數可以是下面中的一個無線電接入承載標識符、邏輯信道標識符、信令鏈路標識符或識別所使用的邏輯信道的其它參數。傳輸信道專用參數可以是例如專用信道標識符、或識別所使用的傳輸信道的其它參數。
術語“承載”是用于與網絡業務相關的所用信息的傳輸的高級名稱。根據業務,通常使用一個或多個承載來傳輸UMTS中的信息。業務包括例如語音傳輸、數據業務和視頻業務。另一方面,無線電承載表示通過空中接口擴展的那部分承載。一個邏輯信道通常承載一個無線電承載。邏輯信道定義了MAC層提供的業務。邏輯信道可以被映射到不同類型的傳輸信道(專用傳輸信道或公用傳輸信道),這取決于現存業務模式。傳輸信道定義了物理層提供的業務。在MAC層把幾個邏輯信道復用到一個傳輸信道也是可能的。在物理層,傳輸信道還被映射到物理信道。幾個傳輸信道可以被第一層復用到一個物理信道中。在傳輸信道復用后數據流在幾個物理信道之間被劃分也是可能的。
本發明因而可以應用于無線電系統,該無線電系統的終端可以使用一個或多個并行無線電承載與其它收發信機進行通信。通常,當呼叫在終端和網絡之間建立時,首先為終端和無線電網絡子系統之間的信令無線電承載SRB建立物理信道,一旦建立了這個信道,可以建立實際的業務承載。SRB因而又被稱為信令鏈路。
傳輸方向(上行鏈路/下行鏈路)可以用作加密算法的附加輸入參數。
還存在另一個參數無線電幀專用參數可以用作加密算法的附加輸入參數。無線電幀專用參數可以是例如用戶設備幀號(UEFN)或識別所使用的無線電幀的其它參數。無線電幀專用參數取決于實現加密功能的協議層。如果在終接于UE和CN的協議層中實現它,則要定義用于把所使用幀號傳輸給接收實體的機制。如果加密功能位于MAC層或第一層(或終接于UE和節點B或RNC的其它層),可以使用至少部分由物理幀號組成的幀號,這意味著所使用的幀號不必用數據來表示。
在框606中,把加密掩碼用于明文數據來產生加密數據,使用例如表1所述的XOR操作。
下一步,聯系圖4A、4B和4C解釋在發射機和接收機中實現加密方法的詳細示例。只說明相關點,但是本領域的技術人員將清楚如何可以在各種情況中實現加密,例如具有不同PDU數的情況。
圖4A描述了在本發明中定義的基本加密環境的方框圖。生成裝置408用于根據已知技術產生加密密鑰410。加密算法400連接到生成裝置408,用于產生加密掩碼412A、412B和412C。加密算法使用所產生的加密密鑰410作為輸入參數。加密算法400使用邏輯信道專用參數402A作為附加輸入參數。
在接收機端,解密所需的邏輯信道專用參數可以從未加密的MAC標題中讀出,例如從MAC標題的C/T字段讀出。圖8說明MAC PDU的結構。MAC PDU由可選的MAC標題800和MAC業務數據單元(MAC SDU)802組成。MAC標題和MAC SDU都是可變長度的。MAC標題800的內容和大小取決于邏輯信道的類型,有些情況下MAC標題中不需要參數。MAC SDU 802的大小取決于RLC PDU的大小,它在建立過程中定義。MAC標題800包括C/T字段804。這個選項允許不同邏輯信道(或相同邏輯信道類型的不同實例)有效地MAC復用到一個傳輸信道中,即復用到專用傳輸信道和公用傳輸信道。當使用這種方法時,MAC標題是不加密的,這就允許在接收機端分離不同的MAC PDU,允許在公用信道模式下讀取RNTI(無線電網絡臨時身份)字段,在UTRAN中需要這個字段用于將消息路由選擇到正確實體。
加密裝置416A、416B、416C連接到到加密算法400,通過把加密掩碼412A、412B、412C用于明文數據414A、414B和414C來產生加密數據418A、418B和418C。從圖4A可見,明文數據包括來自至少兩個并行邏輯信道的無線電鏈路控制層協議數據單元,并且為每個邏輯信道產生單獨的加密掩碼。所以在圖4A中,加密掩碼412A、412B、412C互不相同。
在模塊420中,加密RLC-PDU通過MAC層被處理,并被映射到一個傳輸塊集中,即MAC PDU集。
另一個可能的解決方案是明文數據包括來自僅一個邏輯信道的一個無線電鏈路控制層協議數據單元414A的解決方案,并且為所述邏輯信道產生單獨的加密掩碼412A。所以本發明也可用于單個邏輯信道。
通常,為協議棧的物理層的每個無線電幀產生新的加密掩碼。如果使用交織,則可以為協議棧的物理層的每個交織周期產生新的加密掩碼。通常,一個交織周期由幾個無線電幀組成。
圖4A的左邊表示發射機中進行的操作。接收機中也會執行相應的操作,如圖4A的右邊所示。唯一的區別在于模塊422用于從接收的傳輸塊集中導出RLC-PDU,還在于解密裝置424A、424B和424C用于對接收數據進行解密。
在本發明的一個實施例中,至少一個邏輯信道的無線電鏈路控制層協議數據單元已被加密,并且對于所述已加密的無線電鏈路控制層協議數據單元,不重復產生加密數據的步驟。因而避免了數據被加密兩次。當然,如果例如使用這樣的端到端加密,則數據可被加密兩次首先通過使用業務的應用進行加密,然后通過根據本發明的MAC層進行加密。因為XOR操作不增加額外的比特,即使它執行兩次,也不會引起傳輸容量損失。
圖4B說明對明文數據包括一個邏輯信道的至少兩個連續無線電鏈路控制層協議數據單元的情況的解決方案。例如,如果我們假設第一RLC PDU 414A和第二個RLC PDU 414B都來自一個邏輯信道,則可以以這種方法來解決問題,為這些PDU 414、414B產生僅一個加密掩碼412A。加密掩碼412A的不同部分則用于對第一PDU 414A和第二PDU 414B進行加密。這種情況下所需加密掩碼412A的長度自然等于第一和第二PDU長度的和。因為PDU 414A、414B來自同一邏輯信道(相同的無線電接入承載),所需的最大長度可以計算為所述承載的最大RLC PDU尺寸的兩倍。
圖4C說明明文數據包括一個傳輸塊集的情況,所述傳輸塊集包括至少兩個不同邏輯信道的媒體接入控制層協議數據單元,對于每個傳輸塊集,在產生加密數據中使用一個加密掩碼412。在這個選擇中,要被加密的基本單元是傳輸塊集。這定義了加密算法400產生的加密掩碼412的所需長度。第一層仍然加入傳輸塊專用CRC(循環冗余校驗),但因為XOR操作不會改變數據的長度,應該可以把整個TBS加密為一個單元。TBS中每個傳輸塊的長度無論如何必須通知L1。這個選擇的缺點在于MAC標題也被加密,因此在TBS被解密前,MAC PDU不能在網絡端被路由選擇到任何位置。如果在lur上可能有公用信道,這就成問題。所需加密掩碼412的長度等于所討論的傳輸信道的最大傳輸塊集的尺寸。
另一個可能的解決方案其中明文數據包括一個傳輸塊集的解決方案,所述傳輸塊集包括一個邏輯信道的媒體接入控制層協議數據單元,并且對于每個傳輸塊集,在產生加密數據中使用一個加密掩碼。
在無線電系統中,最好用軟件實現本發明的解決方案,從而本發明在位于發射機和接收機的協議處理軟件中需要某些功能,特別是在圖2A的模塊204A、204B和226A、226B中需要某些功能。因而生成裝置408、加密算法400和加密裝置416A、416B、416C可以是駐留在用戶設備UE和無線電網絡子系統RNS中的協議棧的軟件模塊。所述解決方案也可以用硬件實現,例如使用ASIC(專用集成電路)或分立元件來實現。
例如,可以在協議棧的媒體接入控制層實現本發明的方法。這在圖7B中被說明,圖7B示出了圖7A中描繪的包括加密功能的MAC層的高層概觀。C1( )和C2( )是加密的位置的兩個選擇。C1(0)、C1(1)、C1(2)和C1(3)指上面參照圖4A和4B所解釋的邏輯信道專用加密參數的使用,而C2(00)、C2(01)和C2(02)指傳輸信道專用加密參數的使用。在C2(00)、C2(01)和C2(02)模塊下可能需要一些MAC功能,但為清楚起見,這里沒有畫出。基本上,RLC PDU從邏輯信道來到MAC層。然后,在MAC層,RLC-PDU在功能模塊700、702、704中被映射到MAC PDU,所述功能塊包括用于PCH、BCH、SCH、專用信道和公用信道的操作。通常,一個RLC PDU被映射到一個MAC PDU(=傳輸塊)。這個映射實現了從邏輯信道到傳輸信道的映射。上面聯系圖7C解釋了映射規則。如果對CCCH使用了加密,則加密模塊,例如C1(4),應該在圖7B的“CCCH”和功能模塊704之間的線上。
即使上面參照附圖所示的示例說明了本發明,然而本發明顯然不限于此,它可以在后附權利說明書中公開的發明思想范圍內以多種方式變化。
權利要求
1.一種在無線電系統中對數據傳輸進行加密的方法,它包括(602)產生加密密鑰;(604A)使用所述加密密鑰作為輸入參數在加密算法中產生加密掩碼(ciphering mask);(606)通過把所述加密掩碼用于明文數據(plain data)來產生加密數據;特征在于(604B)使用邏輯信道專用參數或傳輸信道專用參數作為所述加密算法的附加輸入參數。
2.權利要求1的方法,其特征在于使用傳輸方向作為所述加密算法的附加輸入參數。
3.權利要求1的方法,其特征在于所述邏輯信道專用參數是下面中的一個無線電接入承載標識符、邏輯信道標識符和信令鏈路標識符。
4.權利要求1的方法,其特征在于所述傳輸信道專用參數是專用信道標識符。
5.權利要求1的方法,其特征在于通過使用無線電幀專用參數作為所述加密算法的附加輸入參數。
6.權利要求5的方法,其特征在于所述無線電幀專用參數是用戶設備幀號。
7.權利要求1的方法,其特征在于所述明文數據包括來自至少兩個并行邏輯信道的無線電鏈路控制層協議數據單元,為每個邏輯信道產生單獨的加密掩碼。
8.權利要求7的方法,其特征在于至少一個邏輯信道的無線電鏈路控制層協議數據單元已被加密,對所述已加密的無線電鏈路控制層協議數據單元不重復產生加密數據的所述步驟。
9.權利要求1的方法,其特征在于所述明文數據包括來自一個邏輯信道的一個無線電鏈路控制層協議數據單元,為所述邏輯信道產生單獨的加密掩碼。
10.權利要求1的方法,其特征在于所述明文數據包括一個邏輯信道的至少兩個連續的無線電鏈路控制層協議數據單元,在產生所述加密數據中,對每個無線電鏈路控制層協議數據單元使用所述加密掩碼的不同部分。
11.權利要求1的方法,其特征在于所述明文數據包括一個傳輸塊集,所述傳輸塊集包括至少兩個不同邏輯信道的媒體接入控制層協議數據單元,在產生所述加密數據中,對每個傳輸塊集使用一個加密掩碼。
12.權利要求1的方法,其特征在于所述明文數據包括一個傳輸塊集,所述傳輸塊集包括一個邏輯信道的媒體接入控制層協議數據單元,在產生所述加密數據中,對每個傳輸塊集使用一個加密掩碼。
13.權利要求1的方法,其特征在于在協議棧的媒體接入控制層執行所述加密。
14.權利要求1的方法,其特征在于為所述協議棧的物理層的每個無線電幀產生新加密掩碼。
15.權利要求1的方法,其特征在于為所述協議棧的物理層的每個交織周期產生新加密掩碼。
16.一種用戶設備(UE),它包括生成裝置(408),用于產生加密密鑰(410);加密算法(400),它與所述生成裝置(408)相連,用于使用所述加密密鑰(410)作為輸入參數來產生加密掩碼(412A,412B,412C);密裝置(416A,416B,416C),它與所述加密算法(400)相連,用于通過把所述加密掩碼(412A,412B,412C)用于明文數據(414A,414B,414C)來產生加密數據(418A,418B,418C);特征在于所述加密算法(400)使用邏輯信道專用參數(402A)或傳輸信道專用參數(402B)作為附加輸入參數。
17.權利要求16的用戶設備,其特征在于所述加密算法(400)使用傳輸方向作為附加輸入參數。
18.權利要求16的用戶設備,其特征在于所述邏輯信道專用參數(402A)是下面中的一個無線電接入承載標識符、邏輯信道標識符和信令鏈路標識符。
19.權利要求16的用戶設備,其特征在于所述傳輸信道專用參數(402B)是專用信道標識符。
20.權利要求16的用戶設備,其特征在于所述加密算法(400)使用無線電幀專用參數(404)作為附加輸入參數。
21.權利要求20的用戶設備,其特征在于所述無線電幀專用參數(404)是用戶設備幀號。
22.權利要求16的用戶設備,其特征在于所述加密裝置(416A,416B,416C)接收包括來自至少兩個并行邏輯信道的無線電鏈路控制層協議數據單元的明文數據(414A,414B,414C),所述加密算法(400)為每個邏輯信道產生單獨的加密掩碼(412A,412B,412C),所述加密裝置(416A,416B,416C)對每個邏輯信道使用所述信道的所述加密掩碼(412A,412B,412C)。
23.權利要求22的用戶設備,其特征在于至少一個邏輯信道的無線電鏈路控制層協議數據單元(414C)已被加密,所述加密裝置(416C)不對所述已被加密的無線電鏈路控制層協議數據單元(414C)進行加密。
24.權利要求16的用戶設備,其特征在于所述加密裝置(416A)接收包括來自一個邏輯信道的無線電鏈路控制層協議數據單元的明文數據(414A),所述加密算法(400)為所述邏輯信道產生單獨的加密掩碼(412A),所述加密裝置(416A)對所述邏輯信道使用所述信道的所述加密掩碼(412A)。
25.權利要求16的用戶設備,其特征在于所述加密裝置(426)接收包括一個邏輯信道的至少兩個連續的無線電鏈路控制層協議數據單元的明文數據,所述加密算法(400)為所述邏輯信道產生單獨的加密掩碼(412A),所述加密裝置(426)對每個無線電鏈路控制層協議數據單元使用所述加密掩碼(412A)的不同部分。
26.權利要求16的用戶設備,其特征在于所述加密裝置(434)接收包括一個傳輸塊集的明文數據,所述傳輸塊集包括至少兩個不同邏輯信道的媒體接入控制層協議數據單元,所述加密算法(400)為每個傳輸塊集產生單獨的加密掩碼(412),所述加密裝置(434)對每個傳輸塊集使用一個加密掩碼(412)。
27.權利要求16的用戶設備,其特征在于所述加密裝置(434)接收包括一個傳輸塊集的明文數據,所述傳輸塊集包括一個邏輯信道的媒體接入控制層協議數據單元,所述加密算法(400)為每個傳輸塊集產生單獨的加密掩碼(412),所述加密裝置(434)對每個傳輸塊集使用一個加密掩碼(412)。
28.權利要求16的用戶設備,其特征在于所述生成裝置(408)、所述加密算法(400)和所述加密裝置(416A,416B,416C)在協議棧的媒體接入控制層中。
29.權利要求16的用戶設備,其特征在于所述加密算法(400)為所述協議棧的物理層的每個無線電幀產生新加密掩碼(412A,412B,412C)。
30.權利要求16的用戶設備,其特征在于所述加密算法(400)為所述協議棧的物理層的每個交織周期產生新加密掩碼(412A,412B,412C)。
31.一種無線電網絡子系統(RNS),它包括生成裝置(408),用于產生加密密鑰(410);加密算法(400),它與所述生成裝置(408)相連,用于使用所述加密密鑰(410)作為輸入參數來產生加密掩碼(412A,412B,412C);加密裝置(416A,416B,416C),它與所述解密算法(400)相連,用于通過把所述加密掩碼(412A,412B,412C)用于明文數據(414A,414B,414C)來產生加密數據(418A,418B,418C);特征在于所述加密算法(400)使用邏輯信道專用參數(402A)或傳輸信道專用參數(402B)作為附加輸入參數。
32.權利要求31的無線電網絡子系統,其特征在于所述加密算法(400)使用傳輸方向作為附加輸入參數。
33.權利要求31的無線電網絡子系統,其特征在于所述邏輯信道專用參數(402A)是下面中的一個無線電接入承載標識符、邏輯信道標識符和信令鏈路標識符。
34.權利要求31的無線電網絡子系統,其特征在于所述傳輸信道專用參數(402B)是專用信道標識符。
35.權利要求31的無線電網絡子系統,其特征在于所述加密算法(400)使用無線電幀專用參數(404)作為附加輸入參數。
36.權利要求35的無線電網絡子系統,其特征在于所述無線電幀專用參數(404)是用戶設備幀號。
37.權利要求31的無線電網絡子系統,其特征在于所述加密裝置(416A,416B,416C)接收包括來自至少兩個并行邏輯信道的無線電鏈路控制層協議數據單元的明文數據(414A,414B,414C),所述加密算法(400)為每個邏輯信道產生單獨的加密掩碼(412A,412B,412C),所述加密裝置(416A,416B,416C)對每個邏輯信道使用所述信道的所述加密掩碼(412A,412B,412C)。
38.權利要求37的無線電網絡子系統,其特征在于至少一個邏輯信道的無線電鏈路控制層協議數據單元(414C)已被加密,所述加密裝置(416C)不對所述已被加密的無線電鏈路控制層協議數據單元(414C)進行加密。
39.權利要求31的無線電網絡子系統,其特征在于所述加密裝置(416A)接收包括來自一個邏輯信道的無線電鏈路控制層協議數據單元的明文數據(414A),所述加密算法(400)為所述邏輯信道產生單獨的加密掩碼(412A),所述加密裝置(416A)對所述邏輯信道使用所述信道的所述加密掩碼(412A)。
40.權利要求31的無線電網絡子系統,其特征在于所述加密裝置(426)接收包括一個邏輯信道的至少兩個連續的無線電鏈路控制層協議數據單元的明文數據,所述加密算法(400)為所述邏輯信道產生單獨的加密掩碼(412A),所述加密裝置(426)對每個無線電鏈路控制層協議數據單元使用所述加密掩碼(412A)的不同部分。
41.權利要求31的無線電網絡子系統,其特征在于所述加密裝置(434)接收包括一個傳輸塊集的明文數據,所述傳輸塊集包括至少兩個不同邏輯信道的媒體接入控制層協議數據單元,所述加密算法(400)為每個傳輸塊集產生單獨的加密掩碼(412),所述加密裝置(434)對每個傳輸塊集使用一個加密掩碼(412)。
42.權利要求31的無線電網絡子系統,其特征在于所述加密裝置(434)接收包括一個傳輸塊集的明文數據,所述傳輸塊集包括一個邏輯信道的媒體接入控制層協議數據單元,所述加密算法(400)為每個傳輸塊集產生單獨的加密掩碼(412),所述加密裝置(434)對每個傳輸塊集使用一個加密掩碼(412)。
43.權利要求31的無線電網絡子系統,其特征在于所述生成裝置(408)、所述加密算法(400)和所述加密裝置(416A,416B,416C)在協議棧的媒體接入控制層中。
44.權利要求31的無線電網絡子系統,其特征在于所述加密算法(400)為所述協議棧的物理層的每個無線電幀產生新加密掩碼(412A,412B,412C)。
45.權利要求31的無線電網絡子系統,其特征在于所述加密算法(400)為所述協議棧的物理層的每個交織周期產生新加密掩碼(412A,412B,412C)。
全文摘要
本發明涉及對無線電系統中數據傳輸進行加密的方法,并涉及使用該方法的用戶設備,以及涉及使用該方法的無線電網絡子系統。該方法包括以下步驟:(602)產生加密密鑰;(604A)使用加密密鑰作為輸入參數在加密算法中產生加密掩碼;(604B)使用邏輯信道專用參數或傳輸信道專用參數作為加密算法的附加輸入參數;以及(606)通過把加密掩碼用于明文數據來產生加密數據。
文檔編號G09C1/00GK1349695SQ00807215
公開日2002年5月15日 申請日期2000年3月8日 優先權日1999年3月8日
發明者J·維爾倫, F·隆戈尼 申請人:諾基亞移動電話有限公司