專利名稱:移動通訊系統(tǒng)中分組模式傳輸安全性的改進的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及移動通訊系統(tǒng)中分組模式安全性的改進。
圖1為本發(fā)明所必需的部分蜂窩移動通訊系統(tǒng)。移動臺MS通過無線接口Um與基站收發(fā)信機BTS通訊?;居膳c移動交換中心MSC相關(guān)的基站控制器BSC控制。由基站控制器BSC管理的子系統(tǒng)(包括由子系統(tǒng)控制的基站BTS)通常被稱為基站子系統(tǒng)BSS。中心MSC和基站子系統(tǒng)BSS之間的接口被稱為A-接口。A-接口在移動業(yè)務(wù)交換中心MSC那一邊的部分被稱為網(wǎng)絡(luò)子系統(tǒng)NSS。相應(yīng)地,基站控制器BSS和基站BTS之間的接口被稱為副A-接口。移動業(yè)務(wù)交換中心MSC交換進出的呼叫。它執(zhí)行與公共電話交換網(wǎng)PSTN中心相同的任務(wù)。另外,它與網(wǎng)絡(luò)用戶注冊器(不可分離地示于圖1)一起工作,還執(zhí)行移動通訊的特色任務(wù),如用戶定位管理。
數(shù)字移動通訊系統(tǒng)中使用的典型無線電聯(lián)接為交換電路,即為用戶保留的無線電資源在整個呼叫期間一直為該聯(lián)接保留。通用分組無線電業(yè)務(wù)GPRS是為,如GSM系統(tǒng),數(shù)字移動通訊業(yè)務(wù)所設(shè)計的新業(yè)務(wù)。ETSI建議書TC-TR-GSM 01.60描述了該分組無線電業(yè)務(wù)。具有無線電資源有效利用特點的分組模式無線電聯(lián)接,可通過分組無線電業(yè)務(wù)的方式提供給移動臺MS的用戶。分組交換聯(lián)接中,僅當(dāng)有語音或數(shù)據(jù)要傳送時才保留資源。語音或數(shù)據(jù)裝配成給定長度的分組。該無線電資源可釋放給其它用戶使用,如已經(jīng)無線接口Um傳輸?shù)姆纸M,和沒有后繼分組立即要傳的傳送方。
為了圖解說明該描述,但并不局限于本發(fā)明,假定該系統(tǒng)包含一個分離的GPRS業(yè)務(wù)控制節(jié)點,或一個GPRSS支持節(jié)點GSN,它控制網(wǎng)絡(luò)方的分組數(shù)據(jù)業(yè)務(wù)的操作。該控制包括,如移動臺登錄和登錄放棄,移動臺定位信息更新,數(shù)據(jù)分組向正確目的地的路由。對本發(fā)明來說,廣義地講,術(shù)語“數(shù)據(jù)”指數(shù)字移動通訊系統(tǒng)中的任何交換信息,如以數(shù)字形式存在的語音編碼信號,計算機間傳輸?shù)臄?shù)據(jù),或電傳數(shù)據(jù)。GSN節(jié)點可以與基站BTS,基站控制器BSC或移動業(yè)務(wù)交換中心MSC一起定位,或與它們分開定位。GSN節(jié)點和基站控制器BSC之間的接口稱為Gb-接口。
參見圖1和2,如控制信令和用戶數(shù)據(jù)的信息以GPRS幀的方式在移動臺和GSN節(jié)點之間交換。每個幀F(xiàn)至少包括一個頭1,和數(shù)據(jù)部分2。為了讓系統(tǒng)知道那個移動臺已傳輸了該幀,頭1包括了一個用于移動臺的識別符,即臨時聯(lián)接識別符TLLI。聯(lián)接的開始,GSN節(jié)點向移動臺分配了一個GPRS聯(lián)接期間將要使用的TLLI。GPRS聯(lián)接之后,該同一個TLLI可釋放另一個移動臺。
除了TLLI之外,網(wǎng)絡(luò)層業(yè)務(wù)接入點識別符NLSI也可以用在頭1,用以指示移動臺使用的應(yīng)用協(xié)議。
數(shù)據(jù)部分2包括機密信息,即用戶數(shù)據(jù)或控制報文。為了防止數(shù)據(jù)以可懂的形式傳給第三方,必須保護這種信息。數(shù)據(jù)部分2可以被編碼,即用密鑰加密,只有該報文的發(fā)方和收方知道密鑰。由于移動臺使用分割的資源而不是無線電特別聯(lián)接資源,因而不能用相同的方法保護頭1。如果用加密保護頭,每個接收者將必須能打開經(jīng)由無線接口Um傳輸?shù)乃行畔㈩^。那時只有移動臺MS知道報文是發(fā)送給哪個移動臺的,或只有GSN節(jié)點知道那個移動臺MS發(fā)送了該報文。但GSN節(jié)點不需知道使用那種密鑰。
由于不能保護幀的頭部,上述分組模式數(shù)據(jù)傳輸?shù)默F(xiàn)有技術(shù)造成某些安全性問題。這樣第三者,如入侵者或竊聽者就可以通過無線接口干擾GPRS的通訊。本申請中,這樣的人或設(shè)備被稱為入侵者。該術(shù)語包含了所有類型經(jīng)過無線接口,對通訊非法干擾的接口,不管干擾的目的是竊聽,干擾通訊,還是任何其它的不希望操作,例如篡改承載數(shù)據(jù)的企圖。即使入侵者未能破譯報文內(nèi)容,他(她)也可能利用從無線接口竊聽的TLLI制造干擾。該入侵者可能是,如通過經(jīng)GPRS聯(lián)接傳送的非法已傳報文的拷貝來干擾GPRS通訊,或發(fā)送虛假的報文來干擾通訊的完整性。典型的控制報文特別短,即使入侵者不知道密鑰,他(她)們也可能通過大規(guī)模的進攻試圖找出它們。
提出一個防止上述可能干擾GPRS通訊和提高通訊可靠性的方法是本發(fā)明的目的。可用一種方法達到本發(fā)明的目的,該方法的特征由權(quán)利要求1所公開的特征部分決定。本發(fā)明的最佳實施例將公開在相關(guān)的權(quán)利要求書中。
本發(fā)明是基于通過調(diào)整PGRS聯(lián)接所使用的幀來提高GPRS通訊的可靠性,從而識別出入侵者發(fā)送的幀。例如,這可以通過向GPRS幀的數(shù)據(jù)部分添加附加信息域?qū)崿F(xiàn)。只有該報文的發(fā)送者和接收者知道該域的內(nèi)容。本申請中,術(shù)語“額外信息域”指向幀的數(shù)據(jù)部分添加的域,其目的不是傳送數(shù)據(jù)而是為了提高通訊的可靠性。實現(xiàn)它的最簡單辦法是,當(dāng)移動臺注冊使用數(shù)據(jù)傳輸業(yè)務(wù)時,使移動通訊系統(tǒng)和移動臺處理加密算法,和/或該算法所使用的參數(shù)。實施處理可發(fā)生在數(shù)據(jù)聯(lián)接的開始,也可能發(fā)生在一個新聯(lián)接的過程中。該種保護防止入侵者發(fā)送哪怕是短時間的假報文,因為他不知道使用了那種加密算法和/或參數(shù)。如果附加域的內(nèi)容不遵守發(fā)方和收方之間的處理協(xié)議,該幀就被舍棄。
然而,入侵者能發(fā)送他們竊聽的幀拷貝從而干擾通訊的完整性。通過調(diào)整無線接口發(fā)生的相鄰幀之間的附加信息域的內(nèi)容可防止這樣的干擾。在一個簡便易計算的最佳方法中,在每個相鄰幀中形成不同的附加信息域,例如,使每個附加信息域的內(nèi)容包括GPRS幀的編號。收方將附加信息域中的幀編號與聯(lián)接中通常使用的幀編號進行比較,該編號或在幀頭中,或由發(fā)方和收方輪流通過向幀分配運行編號來自己產(chǎn)生。如果附加信息域中的幀編號不符合聯(lián)接中通常使用的幀編號,該幀就被舍棄。
根據(jù)本發(fā)明的最佳實施例,可以進一步提高保護方法。雖然入侵者不知道密鑰,他(她)們可能試圖猜測其內(nèi)容并發(fā)送隨機報文。在最壞情況下,收方能將這樣的報文破譯成命令,如一個取消報文注冊可導(dǎo)致聯(lián)接中斷。入侵者通過發(fā)送無數(shù)的隨機報文,可能干擾GPRS聯(lián)接中的通訊,因而進一步提高保護方法是最佳的策略。例如,可通過向GPRS幀的數(shù)據(jù)部分添加另外的附加信息域來實現(xiàn),該域內(nèi)容由不同于形成第一個附加信息域的內(nèi)容的算法和/或參數(shù)的算法和/或參數(shù)所形成的域。
符合本發(fā)明方法的優(yōu)點在于,入侵者不能夠在PGRS聯(lián)接上發(fā)送非法的報文拷貝。這是因為入侵者不知道形成附加信息域所采用的算法和/或參數(shù)。可以使用已經(jīng)在幾個系統(tǒng)中實現(xiàn)的,通過加密保護數(shù)據(jù)部分的機制,在幀的數(shù)據(jù)部分而不是在頭部設(shè)置附加信息域。該發(fā)明的保護方法簡單易行。數(shù)據(jù)傳輸層和加密處理層在本發(fā)明的方法中是獨立的。被處理操作的報文僅在加密層的并列層和上一層中可能需要修改。不需要修改發(fā)方和收方之間的網(wǎng)絡(luò)單元的操作。該發(fā)明的附加信息域?qū)τ谶@些網(wǎng)絡(luò)單元來說,是完全透明的。它具有與GPRS幀的數(shù)據(jù)部分內(nèi)容的其它部分相同的外形。
參考相應(yīng)的附圖,結(jié)合最佳實施例在此進一步描述本發(fā)明,其中圖1給出了本發(fā)明所必需的移動電話網(wǎng)的一部分;圖2給出了移動臺和GSN節(jié)點之間的通訊中使用的常規(guī)GPRS幀的結(jié)構(gòu);圖3給出了本發(fā)明的加密GPRS幀的結(jié)構(gòu);圖4給出了本發(fā)明的雙重加密GPRS幀的結(jié)構(gòu)。
圖3給出了本發(fā)明的加密GPRS幀F(xiàn)的結(jié)構(gòu)。我們首先假定本發(fā)明應(yīng)用于這樣的一個系統(tǒng),其中幀F(xiàn)的數(shù)據(jù)部分被加密傳輸,從而在兩個相鄰幀之間更改密鑰。與圖2中所示的常規(guī)幀相比,一個附加信息域附加到了本發(fā)明幀F(xiàn)的數(shù)據(jù)部分,該域內(nèi)容在每個相繼幀中是不同的。附加信息域3的內(nèi)容可以簡單地為幀F(xiàn)的編號。收方,即GSN節(jié)點或移動臺MS,可比較附加信息域3中的幀編號和聯(lián)接中經(jīng)常使用和幀頭1中發(fā)送的幀編號。發(fā)方和收方可自己交替地通過向幀F(xiàn)分配運行編號來生成幀編號。如果附加信息域3中的幀編號與聯(lián)接中經(jīng)常使用的幀編號不一致,收方可能舍棄該幀。
經(jīng)由無線接口,在兩個相鄰幀中發(fā)送不同的附加信息域3的內(nèi)容對本發(fā)明的保護方法是必須的。此種情況下,在加密之前,兩個相繼幀中的附加信息域3中的內(nèi)容可以是相同的,因而相鄰幀中的附加信息域通過加密變得不同了。加密之前的附加信息域3的內(nèi)容可以是,如下面一部分或全部內(nèi)容中的一個。
-一個常數(shù);-移動臺的IMSI或MSISDN識別符;-專門聯(lián)接的識別符;或者-偽隨機數(shù)。
移動臺的識別符可以是它的IMSI或MSISDN的識別符。在某些系統(tǒng)中,終端的識別符和移動用戶的識別符之間可能存在差別。對于本發(fā)明來說,使用識別符識別終端還是用戶是無關(guān)緊要的。對于本發(fā)明來說,移動臺的識別符可能是暫時的,例如,發(fā)方和收方之間的處理識別符。
一個特別聯(lián)接識別符是與移動臺或用戶識別符無關(guān)的識別符。它可能是聯(lián)接使用的臨時性邏輯聯(lián)接識別符TLLI。當(dāng)移動臺注冊用于數(shù)據(jù)傳輸業(yè)務(wù)時,它也可能是移動臺和GSN節(jié)點處理的一個識別符。移動臺和GSN節(jié)點也可能在每個聯(lián)接開始或聯(lián)接過程中處理一個新的臨時性識別符。
偽隨機數(shù)是由一個合適的偽隨機算法生成的數(shù),從而只有發(fā)方和收方知道所使用的算法和/或使用的參數(shù)。即使產(chǎn)生隨機數(shù)的算法為一般的知識,人們可能認(rèn)識到可使用幾個替換算法,以及發(fā)方和收方處理的一次將要使用的一個算法。隨機數(shù)必須被廣義地解釋,從而使該術(shù)語能包羅任何形式的位序列。因而沒必要僅限于例如BCD編碼數(shù)對應(yīng)的位組。
如果該發(fā)明應(yīng)用于幀F(xiàn)的數(shù)據(jù)部分2在發(fā)送時沒有被加密的一個系統(tǒng),附加信息域3的內(nèi)容可以由產(chǎn)生偽隨機數(shù)的算法形成,從而使域3的內(nèi)容在由無線接口Um發(fā)送的兩個幀之間盡可能地被調(diào)整。為了安全起見,最好使用在每兩個幀F(xiàn)之間調(diào)整域3的內(nèi)容的一種算法。
圖4為與本發(fā)明最佳實施例相一致的GPRS幀的結(jié)構(gòu)。為了進一步提高安全性,幀F(xiàn)的數(shù)據(jù)部分2還包含了另外的信息域4。另外的附加信息域4的內(nèi)容可由上面的一種算法形成,該算法最好區(qū)別于形成第一個附加信息域3所使用的算法。換言之,同一個算法可被用于形成附加信息域3和4,但具有不同的參數(shù)。如果幀F(xiàn)的數(shù)據(jù)部分在發(fā)送時未被加密,例如,幀F(xiàn)編號和產(chǎn)生偽隨機數(shù)的算法可被用于形成信息域3和4。
聯(lián)接期間使用的所有幀中的附加信息域3和4并沒有絕對必要是不同的。產(chǎn)生偽隨機數(shù)的算法,或它們中的至少一個,也可能是循環(huán)使用的。
可按各種途徑實現(xiàn)基本的發(fā)明思想,這一點對于熟練技術(shù)人員來說是顯然的。本發(fā)明的描述中,為清楚起見,已經(jīng)假定控制分組無線電操作的功能與GSN節(jié)點聯(lián)系在一起。然而,這些功能可與其它網(wǎng)絡(luò)單元,如基站,基站控制器,或移動業(yè)務(wù)交換中心集成在一起。此種情況下,有關(guān)控制分組無線電操作的網(wǎng)絡(luò)單元部分應(yīng)被理解為GSN節(jié)點的置換。本發(fā)明最佳實施例中使用的其它附加信息域也是一個說明性概念。人們也可能認(rèn)為一個附加信息域包含由兩個或多個不同算法分別產(chǎn)生的兩個或多個部分。因而,本發(fā)明及其實施例并不局限于上面的例子,并有可能在權(quán)利要求的范圍內(nèi)變動。
權(quán)利要求
1.包括至少一個移動臺(MS)和至少一個無線接口(Um)的數(shù)字移動通訊系統(tǒng)中,發(fā)方和收方(MS,GSN)之間的數(shù)據(jù)傳輸方法,其中包括-將要發(fā)送的數(shù)據(jù)裝配成幀(F),幀(F)至少包括一個頭(1)和一個數(shù)據(jù)部分(2);而且-僅當(dāng)需要傳送數(shù)據(jù)時幀才被傳送,其特征在于-一個附加信息域(3)被添加到幀(F)的數(shù)據(jù)部分(2);而且-在發(fā)方和收方(MS,GSN)它們自己之間協(xié)商算法和/或參數(shù),附加信息域(3)的內(nèi)容以該算法和/或參數(shù)為基礎(chǔ)。
2.權(quán)利要求1所要求的方法,其特征在于,當(dāng)一個移動臺(MS)注冊使用數(shù)據(jù)傳輸業(yè)務(wù)時處理算法和/或參數(shù)。
3.權(quán)利要求1所要求的方法,其特征在于,在每次聯(lián)接的開始處理算法和/或參數(shù)。
4.權(quán)利要求3所要求的方法,其特征在于,在聯(lián)接過程中再處理算法和/或參數(shù)。
5.權(quán)利要求1所要求的方法,其特征在于,在經(jīng)由無線接口(Um)傳輸?shù)膬蓚€相繼幀(F)之間,修改附加信息域(3)的內(nèi)容。
6.權(quán)利要求1至5中任一個所要求的方法中,其特征在于,幀(F)的數(shù)據(jù)部分(2)經(jīng)由無線接口(Um)被加密傳送,而且附加信息域(3)包括下述識別符中的至少一個-一個位序列常數(shù);-有關(guān)幀(F)或一部分有關(guān)幀的識別符;-移動臺的IMSI或MSISDN識別符;-特別聯(lián)接識別符;或-一個偽隨機數(shù)。
7.權(quán)利要求1至5中的任何一種所要求的方法中,其特征在于,附加信息域(3)包括由產(chǎn)生偽隨機數(shù)的算法所形成的一個識別符,因此,幀(F)的數(shù)據(jù)部分(2)可經(jīng)由無線接口(Um)被加密或來被加密傳輸。
8.權(quán)利要求1至7中的任何一種所要求的方法,其特征在于,為了改進保護方法,至少一個第二種附加信息域(4)被添加到幀(F)的數(shù)據(jù)部分,該域包括下列識別符中的至少一個識別符-一個位序列常數(shù);-有關(guān)幀(F)或其一部分的有關(guān)幀的識別符;-移動臺的IMSI或MSISDN識別符;-特別聯(lián)接識別符;或-一個偽隨機數(shù)。
9.權(quán)利要求8的所要求的方法,其特征在于,第二種附加信息域(4)中包括不同于第一種附加信息域(3)中至少一個的識別符。
全文摘要
通用分組無線電業(yè)務(wù)GPRS中,數(shù)據(jù)被編碼成給定長度的包括頭(1)和數(shù)據(jù)部分(2)的幀(F)。入侵者可以利用已發(fā)報文的非法拷貝來干擾GPRS通訊,或利用發(fā)送虛假報文來干擾通訊的完整性。通過調(diào)整GPRS聯(lián)接使用的幀(F)來提高GPRS通訊的可靠性,從而揭示可能幀的附加拷貝。例如,這可通過向GPRS幀(F)的數(shù)據(jù)部分(2)添加附加的信息域(3),來修改兩個幀(F)之間的域中內(nèi)容。附加信息域(3)的內(nèi)容可包括幀(F)識別符,聯(lián)接的TTLI,移動臺的IMSI或MSISDN,或由產(chǎn)生偽隨機數(shù)的算法所形成的識別符。第二個附加信息域(4)可被添加到幀(F)的數(shù)據(jù)部分(2),該域最好由不同于形成第一個附加信息域(3)的算法形成。
文檔編號H04L29/06GK1180466SQ97190139
公開日1998年4月29日 申請日期1997年3月3日 優(yōu)先權(quán)日1996年3月4日
發(fā)明者漢努·卡里, 阿托·卡帕南 申請人:諾基亞電信公司