CN100531420C - 信息加密传输方法与通信系统、基站 - Google Patents

Abstract

本发明涉及网络通信技术领域，公开了信息加密传输方法与通信系统、基站，其中，所述方法首先获取主叫端需要传输的信息，并在基站侧对所述传输信息进行加密处理；在基站侧对加密处理后的信息进行解密处理，再将解密得到的信息发送给被叫端。利用本发明可以避免集群用户间的传输信息在集群通信系统的全程地面电路上被监听，进而保证集群用户在集群通信系统全程地面电路的保密通信，同时实现加密过程的复杂度较低。另外，通过与Um接口加密功能的配合，本发明还可以获得端到端的保密效果。

Description

信息加密传输方法与通信系统、基站

技术领域

本发明涉及网络通信技术领域，尤其涉及信息加密传输方法与通信系统、基站。

背景技术

全球移动通信(GSM，Global System for Mobile communications)公网的用户为普通公众，而GSM集群系统所服务的对象是集群用户，包括公安、武警、消防、国家安全等政府部门，以及银行、金融等大型企业团体，由于集群小区的区域分布特征，同一集群部门人员其地点位置相对固定集中，即：某个特定集群部门人员移动台处于某个特定站点相关小区的概率非常大。

现有技术在GSM系统、全球铁路移动通信(GSM-R，Railways GlobalSystem for Mobile communication)系统和GSM集群系统的A接口和Abis接口(基站与基站控制器之间的接口)采用标准接口，也没有提供加密功能，各种数据业务和语音业务在A接口和Abis接口上采用标准格式进行传输。在Abis接口采用GSM标准规定的编码方式进行传输，任何设备只要支持GSM系统Abis接口的各种标准语音解码，就可以对Abis接口上的语音信息进行监听；在A接口上采用脉冲编码调制(PCM，Pulse Code Modulation)方式进行传输，设备只要支持脉冲编码调制的A率编解码方式就可以对A接口传输的语音信息进行监听。

上述现有技术的GSM系统和GSM-R系统对通信的保密性要求较低，GSM系统和GSM-R系统在全程地面电路(包括A接口、Ater接口和Abis接口)不提供加密功能，因此不会给GSM系统的公众通信业务或GSM-R系统的铁路业务调度带来多大安全风险。

但是，上述现有技术对GSM集群系统的全程地面电路(包括A接口、Ater接口和Abis接口)也不提供加密功能，这样会导致集群用户(包括公安、武警和国家安全部门用户)间的通话在A接口、Ater接口和Abis接口时刻存在被监听的风险，进而不能实现集群用户的信息在集群通信系统的全程地面电路进行加密传输。

发明内容

本发明实施例要解决的技术问题是提供一种信息加密传输方法，该方法能够避免集群用户间的传输信息在集群通信系统的全程地面电路被监听。

本发明实施例要解决的技术问题是提供通信系统，该系统能够避免集群用户间的传输信息在集群通信系统的全程地面电路被监听。

本发明实施例要解决的技术问题是提供一种基站，该基站与网络侧配合能够避免集群用户间的传输信息在集群通信系统的全程地面电路被监听。

为解决上述技术问题，本发明实施例提供一种信息加密传输方法，包括：

主叫端侧基站收发信机从空中接口Um获取主叫端被加密的传输信息，再对所述信息进行解密处理；

主叫端侧基站收发信机获取所述解密后的传输信息，并在基站侧对所述传输信息进行一次加密处理；

主叫端侧基站收发信机将所述一次加密处理后的传输信息通过Abis接口发送至主叫端侧码变换速率适配单元TRAU；

主叫端侧TRAU对所述一次加密处理后的传输信息进行二次加密处理；

主叫端侧TRAU通过A接口发送所述二次加密处理后的传输信息；

被叫端侧TRAU从所述A接口接收二次加密处理后的传输信息，对所述二次加密处理后的传输信息进行一次解密处理；

被叫端侧TRAU将所述一次解密处理后的传输信息通过Abis接口发送至基站收发信机；

被叫端侧基站收发信机对所述一次解密处理后的传输信息进行二次解密处理，将二次解密处理后的传输信息通过Um接口发送至被叫端。

本发明实施例提供了一种通信系统，包括基站和网络侧设备，其中，

基站包括：

控制单元，与第一基站侧设备、第二基站侧设备耦合，用于向第一基站侧设备、第二基站侧设备发送控制命令；

第一基站侧设备，用于从空中接口Um获取主叫端被加密的传输信息，再对所述信息进行解密处理，获取所述解密后的传输信息，根据所述控制命令对所述传输信息进行一次加密处理，并将所述一次加密处理后的传输信息通过Abis接口发送至网络侧设备；

第二基站侧设备，用于接收网络侧设备发送的一次解密处理后的传输信息，以及根据所述控制命令对所述一次解密处理后的传输信息进行二次解密处理，并将所述二次解密处理后的传输信息通过Um接口发送至被叫端；

所述网络侧设备包括：

第一码变换与速率适配单元，用于接收第一基站侧设备发送的一次加密处理后的传输信息，对所述一次加密处理后的传输信息进行二次加密处理，通过A接口发送所述二次加密处理后的传输信息；

第二码变换与速率适配单元，用于接收第一码变换与速率适配单元发送的二次加密处理后的传输信息，对所述二次加密处理后的传输信息进行一次解密处理以及向第二基站侧设备发送所述一次解密处理后的传输信息。

以上技术方案可以看出，由于本发明实施例首先在基站侧对需要传输的信息进行加密处理，然后将加密处理后的信息进行解密处理再发送给被叫端，与现有技术对GSM集群系统的全程地面电路(包括A接口、Ater接口和Abis接口)不提供加密功能相比较，本发明实施例在基站侧对传输信息进行加密处理后，并在加密处理后的信息即将传输给被叫端之前，对所述信息进行解密处理，再将解密得到的信息发送给被叫端，这样在基站侧加密处理得到的信息在Abis接口、Ater接口和A接口都不能被实时解密，从而可以避免集群用户间的传输信息在集群系统全程地面电路上的各个接口被监听，进而保证集群用户在集群通信系统全程地面电路的保密通信。

附图说明

图1是本发明实施例基站子系统的组网示意图；

图2是实现本发明实施例的原理图；

图3是本发明方法实施方式的流程图；

图4是本发明系统实施方式的示意图。

具体实施方式

本发明实施例首先在基站侧对需要传输的信息进行加密处理，然后将加密处理后的信息进行解密处理再发送给被叫端，与现有技术对GSM集群系统的全程地面电路(包括A接口、Ater接口和Abis接口)不提供加密功能相比较，本发明实施例在基站侧对传输信息进行加密处理后，并在加密处理后的信息即将传输给被叫端之前，对所述信息进行解密处理，再将解密得到的信息发送给被叫端，这样在基站侧加密处理得到的信息在Abis接口、Ater接口和A接口都不能被实时解密，从而可以避免集群用户间的传输信息在集群系统全程地面电路上的各个接口被监听，进而保证集群用户在集群通信系统全程地面电路的保密通信。

参照图1，图1是本发明实施例基站子系统的组网示意图，如图1所示，基站子系统(BSS，Base Station System)包括基站收发信机(BTS，BaseTransceiver Station)、基站控制器(BSC，Base Station Controller)以及若干个TRAU单元。通常，为节省传输资源，尽管TRAU在逻辑上属于BSS，但在物理上通常置于NSS(网络子系统)侧。

TRAU单元用于进行语音编解码和数据业务速率适配，BTS用于建立与移动台或BSC之间的连接接口，从而实现无线接口信号与地面信号之间的转换；BSC通常包括维护单元和交换控制单元，维护单元通过维护通道对TRAU单元和BTS进行管理维护或数据配置，交换控制单元用于实现与BTS和TRAU之间的连接，并在进行话音或数据业务时，实现各个具体的TRAU单元到基站小区下各个具体的信道基带处理单元的接续，同时基站通过A接口建立与网络交换子系统(NSS，Network Switching System)的连接。

本发明实施例在Um接口采用标准的GSM系统加密算法实现空口加密，

然后在Abis接口对空口解密和解码后的传输信息进行一次加密，可选地，还可在A接口对Abis接口输出的传输信息进行二次加密，这样可以避免传输信息在在集群通信系统的全程地面电路被监听。其中，传输信息可以是数据业务序列码流或语音业务序列码流。

虽然集群通信系统的全程地面电路包括A接口、Abis接口、Ater接口以及E接口等，由图1可知，BTS的信息可以通过Abis接口透传到TRAU单元，所以不需要在Ater接口上对传输信息进行加密，同理，像E接口等其它通信接口也不需要进行加密处理。

其中，Um接口定义为BSS与移动台(MS，Mobile Station)之间的空中接口，此接口传递的信息包括无线资源管理、移动性管理和接续管理等。

其中，Abis接口定义为BSC和BTS之间的通信接口，该接口采用标准的2.048Mbit/s或64kbit/sPCM数字传输链路来实现BTS与BSC之间的连接。Abis接口支持向用户提供的所有服务，并可以对BTS无线设备进行控制，以及对无线频率进行分配。

其中，A接口定义为MSC与BSC之间的通信接口，该接口采用标准的2.048Mbit/s PCM数字传输链路来实现，此接口传递的信息包括呼叫接续管理、移动性管理、基站管理以及移动台管理等，A接口主要使用基站子系统应用部分(BSSAP，Base Station System Application Part)协议。

其中，Ater接口定义为BSC与TRAU单元之间的通信接口，该接口使得TRAU单元可以更有效地被利用，并且可以使更多的信道在BSC和MSC之间进行传输。

参照图2，图2是实现本发明实施例的原理图，由图2可知，主叫端通过Um接口和信道基带处理单元建立连接，在Um接口采用GSM系统的标准加密算法实现空口加密，信道基带处理单元对空口加密的码流进行解密，再对解密得到的传输信息进行加密处理，最后TRAU单元在A接口对该传输信息进行二次加密处理。

TRAU单元对二次加密处理后的信息进行一次解密处理，然后由信道基带处理单元对该信息进行二次解密处理，从而可以获得与在Abis接口加密处理前完全相同的传输信息。

下面结合图2和图3对本发明方法实施方式的技术方案进行描述，具体包括以下步骤：

步骤301、主叫端和被叫端进行通话时需要通过Um接口传输业务信息，在Um接口采用标准的GSM系统加密算法对该传输信息进行加密，信道基带处理单元从Um接口获取加密后的传输信息，再对该信息进行解密。

步骤302、信道基带处理单元对在Um接口解密得到的传输信息进行一次加密处理，通常采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域序列再异域序列方式对传输信息进行加密处理。

步骤303、对一次加密后的传输信息进行编码，再通过Abis接口发送编码得到的TRAU帧。

步骤304、TRAU单元从Abis接口获取TRAU帧。

步骤305、TRAU单元对TRAU帧进行二次加密处理，通常也可采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域再异或域序列方式对TRAU帧进行加密处理。

步骤306、对二次加密得到的传输信息进行编码，再通过A接口发送编码得到的TRAU帧。

步骤307、TRAU单元从A接口获取TRAU帧。

步骤308、TRAU单元对TRAU帧进行一次解密处理，通常也可采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域再异或域序列方式对TRAU帧进行解密处理。其中，步骤308是步骤305的逆过程。

步骤309、对一次解密得到的传输信息进行编码，再通过Abis接口发送编码得到的TRAU帧。

步骤310、从Abis接口获取一次解密后得到的TRAU帧(即一次加密得到的TRAU帧)进行二次解密处理，通常也可采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域再异或域序列方式对上行方向的语音帧进行解密处理。其中，步骤310是步骤302的逆过程。

步骤311、将二次解密后得到的语音帧通过Um接口进行传输，并在Um接口进行空口加密。

由上述可知，该实施方式是本发明方法的优选实施方式，上述实施方式首先分别在Abis接口和A接口对传输信息进行加密，从而实现集群用户间的信息在集群通信系统的全程地面电路进行加密传输。然后在Abis接口和A接口对传输信息进行解密，这样就可以获得与加密处理之前完全相同的传输信息。另外，本发明实施例可首先在Abis接口对传输信息进行加密，然后在的Abis接口对传输信息进行解密。最后，本发明实施例的A接口可通过TRAU帧承载集群用户间的传输信息，也可以通过带内通信协议帧或带外通信协议帧等承载集群用户间的传输信息。

下面对本发明实施例中相应的加密和解密处理过程进行说明。

首先，对异或域序列或制乱域序列的加密处理过程进行介绍，对于先异或域序列后制乱域序列或者先制乱域序列后异或域序列的加密处理过程可按照异或域序列或制乱域序列的加密处理过程类推。

(一)异或域序列的加密处理过程

信道基带处理单元或TRAU单元通过异或序列域对Abis接口或A接口上TRAU帧承载的TrauBitNumBIT数据进行加密，TrauBitNumBIT数据就是数据业务序列码流或语音业务序列码流Sequence_TrauBitNum，再对TrauBitNumBIT数据和异或域序列中的二进制序列Seq_xor进行异或操作得到一个新的TrauBitNumBIT序列，该异或操作的关系式如下：

TrauBitNumBIT＝XOR_Operation(Seq_xor，Sequence_TrauBitNum)。

将异或操作得到的TrauBitNumBIT序列按照GSM0860协议定义的TRAU帧格式进行编码形成TRAU帧，再通过Abis接口或A接口传输该TRAU帧。

(二)制乱域序列的加密处理过程

信道基带处理单元或TRAU单元通过制乱序列域将Abis接口或A接口上TRAU帧承载的TrauBitNumBIT数据的位置进行打乱，例如：制乱序列域为16时，如果编码之前的TrauBitNumBIT序列如下：

B001B002B003B004B005B006B007B008B009B010B011B012B013B014B015B016B017B018........

..........BTrauBitNum

则通过对制乱序列域为16的序列制乱后，变成如下序列：

B017B018.....................BTrauBitNumB001B002B003B004B005B006B007B008B009B010B011B012B013B014B015B016；

TrauBitNum值根据不同的编码方式有所不同，如果一个TRAU帧携带的TrauBitNumBIT序列为Sequence_TrauBitNum，则TRAU单元对该TrauBitNumBIT序列进行的制乱操作表达式为：ZL_Operation(Zl_trau，Sequence_TrauBitNum)。ZL_Operation(Zl_trau，Sequence_TrauBitNum)仍为一个TrauBitNumBIT序列，TRAU单元或信道基带处理单元按照GSM0860协议定义的TRAU帧格式对制乱序列操作得到的TrauBitNumBIT序列进行编码形成TRAU帧，再通过Abis接口或A接口传输该TRAU帧。

接着，对异或域序列解密处理或制乱域序列解密处理过程进行介绍，对于先异或域序列后制乱域序列或者先制乱域序列后异或域序列的解密处理过程可按照异或域序列或者制乱域序列的解密处理过程类推。

(一)异或域序列的解密处理过程

信道基带处理单元或TRAU单元收到TRAU帧后，对该TRAU帧进行解帧得到XOR_Operation(Seq_xor，Sequence_TrauBitNum)，再采用同样的异或序列对解码得到的序列进行异或操作，关系式如下：

Sequence_TrauBitNum＝XOR_Operation(Seq_xor，XOR_Operation(Seq_xor，Sequence_TrauBitNum))。

由于任意二进制序列与同一个二进制序列进行两次异或操作后，该二进制序列都保持不变，因此，信道基带处理单元或TRAU单元通过Sequence_TrauBitNum序列与同一个二进制序列Seq_xor进行两次异或操作后，可以得到与加密处理之前完全相同的传输信息。

(二)制乱域序列解密处理过程

信道基带处理单元或TRAU单元接收TRAU帧，对该TRAU帧进行解帧得到TrauBitNumBI＝ZL_Operation(Zl_trau，Sequence_TrauBitNum)，对该TrauBitNumBIT序列进行制乱序列操作，关系式如下：

Sequence_TrauBitNum＝ZL_Operation((TrauBitNum-Zl_trau)，ZL_Operation(Zl_trau，Sequence_TrauBitNum))。

通过上述关系式，信道基带处理单元或TRAU单元可以得到与加密处理之前完全相同的传输信息。

如果采用异或域序列方式对TRAU帧进行异或加密处理，在解密时对加密后的语音帧进行异或域序列解密处理；如果采用制乱域序列方式对TRAU帧进行制乱域序列加密处理，加密处理时将待加密的TRAU帧按照预定的模式进行重新排序，解密处理时将加密后的TRAU帧按照预定的模式恢复初始的排序；如果采用先异或域序列再制乱域序列进行加密处理，在解密时对加密的TRAU帧进行先制乱域序列再异或域序列解密处理。

本发明实施例也提供一种通信系统，由图4可知，该系统包括基站401以及网络侧设备402。

其中，基站401包括：

控制单元402，与第一基站侧设备403、第二基站侧设备404耦合，用于向第一基站侧设备403、第二基站侧设备404发送控制命令；

第一基站侧设备403，用于获取主叫端需要传输的信息，以及根据所述控制命令对所述传输信息进行加密，并将加密信息发送给网络侧；

第二基站侧设备404，用于接收网络侧发送的加密信息，以及根据所述控制命令对所述加密信息进行解密，并将解密处理后的信息发送给被叫端。

其中，网络侧设备405包括：

第一码变换与速率适配单元406，用于接收第一基站侧设备403发送的加密信息；

第二码变换与速率适配单元407，用于接收第一码变换与速率适配单元406发送的加密信息，以及向第二基站侧设备404发送所述加密信息。

可选地，当对传输信息进行二次加密处理时，网络侧设备402的功能就有所变化，具体如下：

第一码变换与速率适配单元406，用于接收第一基站侧设备403发送的加密信息，以及对所述信息进行加密；

第二码变换与速率适配单元407，用于接收第一码变换与速率适配单元406发送的加密信息，以及对所述信息进行解密处理，再将解密处理后的信息发送给第二基站侧设备404。

由上述可知，本发明实施例首先在基站侧对需要传输的信息进行加密处理，然后将加密处理后的信息进行解密处理再发送给被叫端，与现有技术对GSM集群系统的全程地面电路(包括A接口、Ater接口和Abis接口)不提供加密功能相比较，本发明实施例在基站侧对传输信息进行加密处理后，并在加密处理后的信息即将传输给被叫端之前，对所述信息进行解密处理，再将解密得到的信息发送给被叫端，这样在基站侧加密处理得到的信息在Abis接口、Ater接口和A接口都不能被实时解密，从而可以避免集群用户间的传输信息在集群系统全程地面电路上的各个接口被监听，进而保证集群用户在集群通信系统全程地面电路的保密通信。

进一步地，由于本发明实施例不仅在基站侧对传输信息进行加密处理，还在网络侧对传输信息进行二次加密，这样使得本发明实施例进一步降低了在Abis接口、Ater接口和A接口被实时解密的可能性，从而进一步提高集群用户在通信系统全程地面电路的保密通信。

进一步地，由于本发明实施例首先在Um接口对集群用户(例如移动台)发送的信息进行加密，然后由基站侧对该信息进行解密，从而使得本发明实施例可以获得端到端的保密效果，并且也无需对集群用户进行任何更改。

最后，由于本发明实施例采用异或域序列或制乱域序列方式对集群用户间的传输信息进行加密，而异或操作或制乱操作算法比较简单，因此实现加密过程的复杂度较低，同时对网络侧设备和基站侧设备的处理能力要求较低，并且对系统原业务处理过程的更改较小。

以上对本发明实施例所提供的信息加密传输方法与通信系统、基站进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (5)

1、一种信息加密传输方法，其特征在于，包括：

主叫端侧基站收发信机从空中接口Um获取主叫端被加密的传输信息，再对所述信息进行解密处理；

主叫端侧基站收发信机获取所述解密后的传输信息，并对所述传输信息进行一次加密处理；

主叫端侧基站收发信机将所述一次加密处理后的传输信息通过Abis接口发送至主叫端侧码变换速率适配单元TRAU；

主叫端侧TRAU对所述一次加密处理后的传输信息进行二次加密处理；

主叫端侧TRAU通过A接口发送所述二次加密处理后的传输信息；

被叫端侧TRAU从所述A接口接收二次加密处理后的传输信息，对所述二次加密处理后的传输信息进行一次解密处理；

被叫端侧TRAU将所述一次解密处理后的传输信息通过Abis接口发送至被叫端侧基站收发信机；

被叫端侧基站收发信机对所述一次解密处理后的传输信息进行二次解密处理，将二次解密处理后的传输信息通过Um接口发送至被叫端。

2、如权利要求1所述的信息加密传输方法，其特征在于，所述将二次解密处理后的传输信息通过Um接口发送至被叫端包括：

对所述二次解密处理后的传输信息进行空口加密；

对所述空口加密处理后的传输信息通过Um接口发送至被叫端。

3、如权利要求1或2所述的信息加密传输方法，其特征在于，采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域序列再异域序列方式对所述传输信息进行加密处理。

4、如权利要求1或2所述的信息加密传输方法，其特征在于，采用异或域序列、制乱域序列、先异或域序列再制乱域序列或者先制乱域序列再异域序列方式对加密处理后的信息进行解密处理。

5、一种通信系统，包括基站和网络侧设备，其特征在于，

所述基站包括：

控制单元，与第一基站侧设备、第二基站侧设备耦合，用于向第一基站侧设备、第二基站侧设备发送控制命令；

第一基站侧设备，用于从空中接口Um获取主叫端被加密的传输信息，再对所述信息进行解密处理，获取所述解密后的传输信息，根据所述控制命令对所述传输信息进行一次加密处理，并将所述一次加密处理后的传输信息通过Abis接口发送至网络侧设备；

第二基站侧设备，用于接收网络侧设备发送的一次解密处理后的传输信息，以及根据所述控制命令对所述一次解密处理后的传输信息进行二次解密处理，并将所述二次解密处理后的传输信息通过Um接口发送至被叫端；

所述网络侧设备包括：

第一码变换与速率适配单元，用于接收第一基站侧设备发送的一次加密处理后的传输信息，对所述一次加密处理后的传输信息进行二次加密处理，通过A接口发送所述二次加密处理后的传输信息；

第二码变换与速率适配单元，用于接收第一码变换与速率适配单元发送的二次加密处理后的传输信息，对所述二次加密处理后的传输信息进行一次解密处理以及向第二基站侧设备发送所述一次解密处理后的传输信息。

Images