生成蜂窩無線電系統中的無線電基站密鑰的方法和設備的制作方法
【專利摘要】本申請涉及“生成蜂窩無線電系統中的無線電基站密鑰的方法和設備”。在用于提供蜂窩無線電系統中安全通信的方法和系統中,通過確定UE和無線電基站均已知的數據位集合,并且響應所確定數據集合而創建無線電基站密鑰,來生成無線電基站密鑰。
【專利說明】生成蜂窩無線電系統中的無線電基站密鑰的方法和設備
[0001]本分案申請的母案申請日為2008年7月I日、申請號為200880121037.2、發明名
稱為“生成蜂窩無線電系統中的無線電基站密鑰的方法和設備”。
【技術領域】
[0002]本發明涉及用于提供蜂窩無線電系統中的安全通信的方法和裝置。
【背景技術】
[0003]演進分組系統(EPS)是在第三代合作伙伴項目(3GPP)中進行標準化的標準化蜂窩電信標準。EPS是設計成滿足更高用戶比特率的需求的第三代蜂窩系統的長期演進(LTE)的一部分。在EPS中,接入層(AS)業務受到密碼部件保護。具體來說,用戶平面受到保密性保護,并且無線電資源控制(RRC)信令受到保密性以及完整性保護。用于提供加密的密鑰從稱作K_eNB的密碼密鑰(cryptographic key)得出。
[0004]在又稱作用戶設備(UE)的移動臺從一個基站切換時,始發源基站的K_eNB在傳遞到目標eNB之前在源演進節點(eNB)、即基站中變換成稱作K_eNB*的經變換密鑰。當前,目標eNB將K_eNB*連同用戶目標eNB小區無線電網絡臨時標識符(C-RNTI) —起進行變換。由此能夠使用經變換的密碼密鑰來提供UE與目標基站之間的持續加密。
[0005]此外已經判定,不僅預計目標小區應當準備接受特定移動臺,而且其它基站也將能夠這樣做。根本原因是幫助從無線電鏈路故障、特別是出故障的切換恢復。為了便于由目標基站之外的其它基站接受,源基站eNB向“待準備”基站的集合發送密鑰信息和終端識別碼標記(Terminal Identity Token) (TeIT)。源基站eNB通常向位置接近目標基站和/或接近源基站的基站發送密鑰信息和終端識別碼標記(TeIT)。但是,如果同一個安全標記由待準備集合中的所有eNB共享,則它們的任一個可冒充為移動臺,至少直到啟用AS保護。
[0006]現有的建議標準中的一個問題在于,同一經變換的密鑰K_eNB*不應當由所有基站使用,因為這會允許待準備集合中的所有基站生成由基站在切換之后最終使用的K_eNB。,參見 SA3 的文獻 Td S3a070975 (contribution to SA3,Td S3a070975)。一種所建議的解決方案在于,系統生成在基站的待準備集合中給定基站eNB的K_eNB的變換中使用的初始數據。然后,將這個初始數據連同對應基站密鑰K_eNB* —起轉發給基站eNB。
[0007]但是,存在現有電信系統中降低復雜度和增強安全性的持續需求。因此,存在對用于提供蜂窩無線電系統中的安全通信的改進方法的需要。
【發明內容】
[0008]本發明的一個目的是提供一種用于提供蜂窩無線電系統中的安全通信的改進方法。
[0009]這個目的和其它目的通過所附權利要求書中提出的方法、無線電系統節點和用戶設備來實現。因此,通過使用移動臺和無線電基站均已知的數據來創建無線電基站密鑰和/或終端識別碼標記,安全通信可被建立和增強,而無需提供附加安全網絡組件或者附加信令。
[0010]根據一個實施例,生成蜂窩無線電系統中的所得出無線電基站密鑰。響應所確定公用數據位的集合和用于無線電基站與用戶設備之間的安全通信的現有密碼密鑰而創建所得出無線電基站密鑰。公用數據例如可以是與無線電接入技術關聯的數據位,例如標識物理小區識別碼的數據位。由此,為各無線電基站得出各無線電基站特定的密碼基站密鑰,因而提高系統中的安全性。此外,在沒有附加信令和/或對得出各無線電基站特定的密碼密鑰時生成特定輸入數據的需要的情況下,可得出特定密碼密鑰,這降低復雜度并且提供高級安全性。
[0011]根據一個實施例,創建用于識別連接到無線電系統中的無線電基站的用戶設備UE的終端識別碼標記。UE適合經由與現有加密密鑰關聯的安全通信與無線電系統進行通信。當創建終端識別碼標記時,確定UE和源無線電基站均已知的數據位的集合。然后響應所確定數據位的集合、終端識別碼和現有密鑰而生成終端識別碼標記。由此,得出各無線電基站特定的終端識別碼標記,因而提高系統中的安全性。
[0012]根據一個實施例,提供一種識別無線電系統中的用戶設備UE的方法。UE經由與現有加密密鑰關聯的安全通信與無線電系統進行通信。在用戶設備當前與其連接的無線電基站中生成第一終端識別碼標記。然后,將第一終端識別碼標記分發給無線電系統的多個其它無線電基站。還在用戶設備中生成第二終端識別碼標記。將第二標記傳送給其它無線電基站其中之一。當第二標記由無線電站接收時,通過比較第一終端識別碼標記和第二終端識別碼標記來識別UE。第一終端識別碼標記和第二終端識別碼標記均響應終端識別碼和現有密鑰而創建。由此,斷開連接的終端可經由安全識別過程重新連接到系統。
[0013]本發明還擴展到適合實現上述方法的節點和用戶設備。
[0014]使用根據本發明的方法、節點和用戶設備將提供用于提供無線電系統中的安全通信的更有效且安全的過程。這通過在得出密碼密鑰或終端識別碼標記時使用無線電基站和用戶設備可用的數據來實現。
【專利附圖】
【附圖說明】
[0015]現在作為非限制性示例并且參照附圖更詳細地描述本發明,附圖包括:
[0016]圖1是示出蜂窩無線電系統的視圖,
[0017]圖2是示出在用于創建無線電基站密鑰的過程中執行的步驟的流程圖,
[0018]圖3是示出當準備驗證正移動的移動臺的可靠性時、在源無線電基站中執行的步驟的流程圖,
[0019]圖4是示出當驗證移動臺的可靠性時、在目標無線電基站中執行的步驟的流程圖,
[0020]圖5是示出當對于蜂窩無線電系統驗證移動臺的可靠性時、在移動臺中執行的步驟的流程圖,
[0021]圖6是無線電基站的視圖,以及
[0022]圖7是用戶設備的視圖。
【具體實施方式】[0023]下面在所述的示范實施例中參照LTE系統。但是,本發明并不局限于LTE系統,而是可適用于使用無線電基站密鑰來保護向關聯無線電基站的移動臺傳送以及從關聯無線電基站的移動臺傳送的數據的任何無線電系統。
[0024]圖1中,示出為又稱作用戶設備(UE)IOl的移動臺提供加密通信的蜂窩無線電系統100的示意圖。UElOl向無線電基站103傳送數據并且從無線電基站103接收數據。在蜂窩無線電系統是LTE系統的情況下,無線電基站103通常稱作演進NodeB (eNB)。當UElOl在由蜂窩無線電系統100所覆蓋的地理區域中來回移動時,有時必須將連接從一個無線電基站切換到另一個無線電基站。有時,UE也可能丟失到蜂窩無線電系統100的連接,并且然后可能需要重新連接到蜂窩無線電系統。在這兩種情況下,希望保持蜂窩無線電系統100與UElOl之間的安全連接。
[0025]在UE從無線電基站103所覆蓋的區域朝無線電基站105所覆蓋的區域移動的情況下,蜂窩無線電系統準備從源無線電基站103到目標無線電基站105的切換。又因為有時可能難以預測移動臺101將被切換到哪一個無線電基站,所以多個其它無線電基站也可準備用于切換。“待準備”無線電基站在圖1中由單個無線電基站107來表示。
[0026]在切換期間,需要得出新的無線電基站密鑰,可用于移動臺101與切換之后將連接轉移到的無線電基站105、107之間的持續安全通信。新的基站密鑰可稱作經變換或所得出的基站密鑰。在蜂窩無線電系統是LTE系統的情況下,經變換的密鑰可標記為K_eNB*。
[0027]根據本發明的一個方面,用于創建待準備集合中的唯一經變換基站密鑰K_eNB*的信息可基于移動臺UE和無線電基站eNB均已知(或者使它們已知)的識別碼的最低有效位。例如,可使用這里表示為PhyCell_ID的9位E-UTRAN物理小區識別碼或者通過無線電接入技術(RAT)上下文所確定另外某個小區特定數據。根據一個實施例,變換可利用偽隨機函數(PRF)或哈希函數,其中源基站密鑰K_eNB和例如PhyCell_ID位等小區數據作為輸入。也可包括其它輸入參數。其它參數的示例可以是C-RNTI或者任何其它用戶特定信息、標識可使用密鑰的時間的數據等等。
[0028]移動臺將從其無線電接入技術(RAT)上下文知道PhyCell_ID位。在上述示范實施例中,用于具有PhyCell_ID的給定基站eNB的目標基站密鑰K_eNB*的得出在一個示范實施例中可寫作:
[0029]K_eNB*=PRF (K_eNB_Source), PhyCcH_IDbits.0ther_parameters)
[0030]根據本發明的另一個方面,終端識別碼標記TeIT可按照對應方式來形成,并且可使它成為每個基站eNB是唯一的,即,它也可通過對移動臺識別碼、源的基站密鑰K_eNB和接收基站eNB的PhyCell_ID位應用PRF來得出。也可包括其它輸入參數。其它參數的示例可以是C-RNTI或者任何其它用戶特定信息、標識可使用密鑰的時間的數據等等。
[0031]此外,當要求移動臺證明其識別碼時,它可適合生成對應識別碼標記。在切換期間,當用戶設備連接到新的無線電基站并且系統需要驗證用戶設備的識別碼時,或者如果到用戶設備的連接丟失,并且用戶設備需要重新連接到系統時,情況通常是這樣。
[0032]根據一個實施例,終端識別碼標記I (TeITl)可定義為:
[0033]TeITI =PRI(K_eNB_Source, Terminal_ID, PhyCel1_ID bits, Other_parameters)圖2中,示出用于說明當安全連接從一個源無線電基站103切換到目標無線電基站105、107時,在生成用于移動臺101與蜂窩無線電系統100之間的安全連接的基站加密密鑰時執行的步驟的流程圖。 首先,在步驟201,系統檢測到可能存在切換。例如,系統可根據無線電測量來確定移動臺101接近源無線電基站的小區邊界。隨后,在步驟203,源無線電基站生成經變換的基站密鑰,并且將它傳送給目標基站105。在步驟203,源基站103還可向“待準備”無線電基站107的集合發送經變換的基站密鑰。經變換的基站密鑰可根據以上所述得出。根據一個實施例,源基站還在步驟205傳送終端識別碼標記。終端識別碼標記例如可以是作為如上所述標記TeITl所生成的標記。于是切換可按照由步驟207所示的常規方式來執行。
[0034]根據本發明的另一個實施例,源基站eNB可適合向待準備集合中的所有基站分發公共標記TeIT3。這個標記可以是來自應用于來自第二 PRF的輸出的PRF的輸出,第二 PRF至少以終端識別碼和K_eNB作為輸入。還可提供其它輸入參數。其它參數的示例可以是C-RNTI或者任何其它用戶特定信息、標識可使用密鑰的時間的數據等等。
[0035]根據一個示范實施例,當移動臺傳送其識別碼標記信息TeIT2時,它傳送基站密鑰K_eNB和終端識別碼的PRF。接收基站可對于從終端接收的TeIT2應用外部PRF(outerPRF),并且將結果與從源基站接收的識別碼標記、即TeIT3進行比較。如果兩個實體對應,則終端識別碼被確定為已經建立。以不同方式表達,終端識別碼標記2和3可寫作:
[0036]TeIT2 = PRF(K_eNB_Source.Terminal_ID.0ther)parameters)
[0037]TeIT3=PRF(TeIT2, 0ther_Parameters2)
[0038]從移動臺接收的TeIT2和從源eNB接收的TeIT3在基站中的比較可按照如下方式執行:
[0039]TeIT3 = ? = PRF (TeIT2, Other parameters〗),
[0040]其中,=?=表示比較運算。
[0041]在以上描述中,Terminal_ID例如可以是在源基站eNB中指配給終端的C-RNTI或者任何其它用戶特定信息、標識可使用密鑰的時間的數據等等。
[0042]因此,如果例如UElOl的連接丟失并且UElOl需要重新連接到蜂窩無線電系統100,則有權訪問TeIT3識別碼標記信息的所有無線電基站均可驗證傳送識別碼標記TeIT2的移動臺的可靠性。
[0043]根據一個實施例,用于目標基站eNB的經變換基站密鑰K_eNB*可按照與待準備集合中的無線電基站eNB相同的方式來得出。然后,目標基站eNB可接收與所有其它準備基站eNB相同類型的信息,因為切換可能出故障,并且移動臺則將設法重新連接到預計目標基站eNB。
[0044]圖3中,示出用于說明當準備驗證正移動的移動臺的可靠性時、在源無線電基站中執行的步驟的流程圖。首先,在步驟301,源無線電基站確定向多個其它無線電基站傳送終端識別碼標記。傳送終端識別碼標記的原因例如可以是存在進行中的切換過程。終端識別碼標記例如可在步驟303作為如上所述TeIT3標記來生成。隨后,在步驟305將標記傳送給其它無線電基站。其它無線電基站通常可以是移動臺在不久的將來可能連接到的相鄰無線電基站。
[0045]圖4中,示出當驗證移動臺的可靠性時、在目標無線電基站中執行的步驟的流程圖。首先,在步驟401,目標無線電基站從源無線電基站接收標記識別碼TeIT3。隨后,在步驟403,目標無線電基站從移動臺接收終端識別碼標記TeIT2。于是,在步驟405,目標基站將標記識別碼TeIT3與終端標記識別碼TeIT2進行比較。最后,在步驟407,目標無線電基站根據在步驟405的比較來驗證移動臺的可靠性。
[0046]圖5中,示出當對于蜂窩無線電系統驗證移動臺的可靠性時、在移動臺中執行的步驟的流程圖。首先,在步驟501,觸發移動臺以發送認證消息。例如,在切換期間或者當連接丟失時,移動臺可能需要向蜂窩無線電系統的無線電基站(重新)認證自身。隨后,在步驟503,移動臺生成終端識別碼標記。終端識別碼標記可作為如上所述的終端識別碼標記TeIT2來生成。最后,移動臺在步驟505向蜂窩無線電網絡的無線電基站傳送認證消息,蜂窩無線電系統可根據它來認證移動臺。
[0047]圖6中,示出適合根據以上所述來生成經變換的密碼無線電基站密鑰的示范無線電基站103。無線電基站包括模塊601,用于選擇在根據以上所述來創建密碼密鑰或終端識別碼標記時使用的數據。模塊601連接到適合根據以上所述來生成密碼密鑰或終端識別碼標記的模塊603。示范無線電基站103還可包括識別器模塊(identifier module)605,適合使用如上所述的終端識別碼標記來識別連接到無線電基站的UE。
[0048]圖7中,示出適合根據以上所述來生成終端識別碼標記的示范用戶設備(UE) 101。UE包括模塊701,用于選擇在根據以上所述來創建終端識別碼標記時使用的數據。模塊701連接到適合根據以上所述來生成終端識別碼標記的模塊703。在模塊703中生成的終端識別碼標記可由連接到模塊703的標記發送器705來傳送。
[0049]使用本文所述的方法和系統將提供用于在切換情形以及在要求認證移動臺的情形下提供蜂窩無線電系統中的安全通信的更有效過程。
【權利要求】
1.一種創建供與可連接到蜂窩無線電系統的用戶設備、UE連接的所述蜂窩無線電系統的源無線電基站中使用的所得出無線電基站密鑰的方法,其特征在于以下步驟: -響應所確定數據集合和用于所述用戶設備、UE與所述源無線電基站之間的通信的現有密碼密鑰而創建(203)所述無線電基站密鑰,其中所述所確定數據集合是特定目標無線電基站特定的并且是由所述用戶設備和所述源無線電基站均可訪問的公用數據位。
2.如權利要求1所述的方法,其特征在于以下步驟: -從關聯目標無線電基站的所述小區的小區識別碼得出所述數據位集合。
3.如權利要求1或2中的任一項所述的方法,其特征在于創建所述所得出無線電基站密鑰時使用附加輸入參數作為輸入數據的所述步驟。
4.如權利要求1至3中的任一項所述的方法,其特征在于使用偽隨機函數來創建所述所得出無線電基站密鑰的所述步驟。
5.一種創建用于識別連接到無線電系統中的無線電基站的用戶設備、UE的終端識別碼標記的方法,其中,所述UE經 由與現有加密密鑰關聯的安全通信與所述無線電系統進行通信,其特征在于以下步驟: -響應所述UE和所述無線電基站均已知的數據位集合、所述終端識別碼和所述現有密鑰而創建(303)所述終端識別碼標記。
6.如權利要求5所述的方法,其特征在于,從關聯目標無線電基站的所述小區的小區識別碼得出所述數據位集合。
7.如權利要求5或6中的任一項所述的方法,其特征在于,創建所述終端識別碼標記時附加輸入參數被用作輸入數據。
8.如權利要求5至7中的任一項所述的方法,其特征在于,創建所述終端識別碼標記是使用偽隨機函數來創建的。
9.一種識別無線電系統中的用戶設備、UE的方法,其中,所述UE經由與現有加密密鑰關聯的安全通信與所述無線電系統進行通信,其特征在于以下步驟: -在所述用戶設備當前與其連接的源無線電基站中根據權利要求5至8中的任一項來生成終端識別碼標記, -向所述無線電系統的多個目標無線電基站分發(205)所述終端識別碼標記, -在目標無線電基站中從所述用戶設備接收終端識別碼標記,所述終端識別碼標記由所述用戶設備根據權利要求5至8中的任一項來生成,以及 -根據所述所接收的終端識別碼標記在所述目標無線電基站中識別(207)所述用戶設備。
10.一種在目標無線電基站中識別用戶設備、UE的方法,其中,所述UE經由與現有加密密鑰關聯的安全通信與所述無線電系統進行通信,其特征在于以下步驟: -在所述用戶設備當前與其連接的源無線電基站中生成(303)第一終端識別碼標記, -向所述無線電系統的多個目標無線電基站分發(305)所述第一終端識別碼標記, -在目標無線電基站中從所述用戶設備接收(403)第二終端識別碼標記,以及 -通過比較(405)所述第一終端識別碼標記和所述第二終端識別碼標記,在所述目標無線電基站中識別(407)所述用戶設備,其中所述第一終端識別碼標記和所述第二終端識別碼標記均響應所述終端識別碼和所述現有密鑰而被創建。
11.如權利要求10所述的方法,其特征在于,使用所述終端識別碼和所述現有密鑰以及還有其它參數作為輸入、按照偽隨機函數來生成所述第二終端識別碼標記。
12.如權利要求10或11所述的方法,其特征在于,使用所述第二終端識別碼標記和其它參數作為輸入、按照偽隨機函數來生成所述第一終端識別碼標記。
13.蜂窩無線電系統中適合創建所得出無線電基站密鑰的節點(103),其特征在于: -用于確定特定無線電基站特定的并且由經由關聯現有密碼密鑰的安全通信與所述蜂窩無線電系統進行通信的用戶設備、UE和所述蜂窩無線電系統的無線電基站均可訪問的公用數據位集合的部件(601),以及 -用于響應所述所確定數據集合和所述現有密鑰而創建所述無線電基站密鑰的部件(603)。
14.如權利要求13所述的節點,其特征在于用于從關聯所述無線電基站的所述小區的小區識別碼得出所述數據位集合的部件。
15.如權利要求13或14中的任一項所述的節點,其特征在于創建所述所得出無線電基站密鑰時使用附加輸入參數作為輸入數據的部件。
16.如權利要求13至15中的任一項所述的節點,其特征在于用于使用偽隨機函數來創建所述所得出無線電基站密鑰的部件。
17.一種適合識別自身的用戶設備、UE(IOl),所述UE可連接到無線電系統中的無線電基站,其中所述UE適合經由與現有加密密鑰關聯的安全通信與所述無線電系統進行通信,其特征在于: -用于響應所述UE和所述無線電基站均已知的數據位集合、所述終端識別碼和所述現有密鑰而創建所述終端識別碼標記的部件(703),以及 -用于將所述終端識別碼標記作為所述UE的識別碼傳送給所述無線電系統的無線電基站其中之一的部件(705)。
18.如權利要求17所述的UE,其特征在于用于從關聯所述無線電基站的所述小區的小區識別碼得出所述數據位集合的部件。
19.如權利要求17或18中的任一項所述的UE,其特征在于用于創建所述終端識別碼標記時使用附加輸入參數作為輸入數據的部件。
20.如權利要求17至19中的任一項所述的UE,其特征在于用于使用偽隨機函數來創建所述終端識別碼標記的部件。
21.一種在用戶設備、UE中用于識別自身的方法,所述UE可連接到無線電系統中的無線電基站,其中所述UE適合經由與現有加密密鑰關聯的安全通信與所述無線電系統進行通信,其特征在于以下步驟: -響應所述UE和所述無線電基站均已知的數據位集合、所述終端識別碼和所述現有密鑰而生成(503)所述終端識別碼標記; -將所述終端識別碼標記作為所述UE的識別碼傳送(505)給所述無線電系統的無線電基站其中之一。
22.如權利要求21所述的方法,其特征在于以下步驟:使用所述終端識別碼和所述現有密鑰以及附加參數作為輸入、按照偽隨機函數來生成所述終端識別碼標記。
【文檔編號】H04W12/04GK103974247SQ201410165321
【公開日】2014年8月6日 申請日期:2008年7月1日 優先權日:2007年12月11日
【發明者】R.布洛姆, K.諾爾曼, M.林德斯特倫 申請人:愛立信電話股份有限公司