WO2003007569A1

WO2003007569A1 - Structure de reseau pour crypter un terminal de systeme de communication mobile et procede de realisation de cette structure

Info

Publication number: WO2003007569A1
Application number: PCT/CN2002/000330
Authority: WO
Inventors: Zhibin Zheng
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2001-07-12
Filing date: 2002-05-14
Publication date: 2003-01-23
Also published as: EP1406423A1; DE60225557T2; CN1396731A; ATE389289T1; EP1406423B1; CN1138366C; DE60225557D1; EP1406423A4

Description

适用于移动通信系统终端加密的网络结构及其实现方法技术领域

本发明涉及一种 WCDMA移动通信系统实现信息加密的网络结构及其实现方法，确切地说，涉及一种适用于移动通信系统终端加密的网络结构及其实现方法，其信息加密方法不同于传统的基于终端到接入网侧的对称加密，而是提供终端到终端的信息加密，属于移动通信系统中的保密或安全通信装置的技术领域。发明背景

在第三代移动通信 WCDMA系统中，目前采用的加密功能都是在用户侧的用户终端设备 ( UE: User Equipment )和网络侧的无线网络控制器（RNC:Radio Network Controller ) 中实现的，即是在系统的接入部分空中传输的信息的安全和保密，而不提供核心网络部分传输的信息加密和安全保障，核心网络部分的信息加密需要另行考虑。目前在第三代移动通信系统标准化组织（ 3GPP:Third Generation Partnership Project )中尚未定义核心网络部分的信息加密方法和标准。

参见图 1所示，图 1是目前在 3GPP网络体系中进行数据加密的位置示意图，为 3GPP推荐的网络体系结构的数据信息加密模式，其中，用户终端设备 10的数据机密性 DC_UE ( DC: Data confidentiality ) 11以及无线网络控制器 13的数据机密性（ DCRNC ) 12分别表示在用户端的用户终端设备 10和网络端的无线网络控制器 13对数据进行的对称加密，也就是说，现在只提供终端与基站之间的加密功能，而不提供终端之间的端到端的加密功能。对应于上述现有的网络体系的加密功能，该加密体制的具体实施还可以从层次角度来分析之，参见图 2所示，图 2是目前的 3GPP网络的分层结构示意图，其水平方向按层次结构划分，垂直方向则按面结构划分。在水平方向上主要分为两大层：接入层和非接入层，其中接入层包含物理层（ PHY ) 27即 L1、媒体访问层（ MAC ) 26和数据链路层（ RLC ) 25即 L2、无线资源管理控制层（RRC ) 24即 L3; 非接入层主要包含应用层 22、呼叫控制（CC )和移动管理层（MM ) 23。垂直方向上分为两大面：用户平面（U - Plane ) 21和控制平面（C - Plane ) 20, 其中用户平面只包括应用层 22、数据链路层 25、媒体访问层 26和物理层 27。

目前的加密功能从垂直方向而言，是同时在用平面 21和控制平面 20上实现的。从水平方向上，是在网络的第二层 L2实现，即在数据链路层 25或者媒体访问层 26实现的。在数据链路层 25或者媒体访问层 26实现加密的具体过程如图 3所示，步骤如下：

1、步骤 301 , 上层信息传送到数据链路层，由数据链路层判断该信息所处的模式是透明模式还是非透明模式；

2、如果是非透明模式，则执行步骤 302，对数据链路层的协议数据单元（PDUs )进行加密，传输到媒体访问层，执行步骤 303, 在媒体访问层经过非加密处理后，再传输到物理层；

3、如果是透明模式，执行步骤 304，该信息在数据链路层不作处理，传输到媒体访问层，执行步骤 305，在媒体访问层对业务数据单元

( SDUs )进行加密，再传输到物理层；

4、已加密的信息传输到物理层，经过处理后，发送到接收方；

5、接收方根据上述处理过程的逆过程进行对应解密。

综上所述，目前的第三代移动通信 WCDMA系统中，所采用的加密功能都是局限于接入链路的信息部分，即是在用户侧的用户终端设备和网络侧的无线网络控制器中实现的，没有考虑端对端的加密技术。这种状况会导致移动通信系统中存在着一定的安全缺陷，即目前的用户信息受到的安全保护范围不能延伸到核心网部分，用户信息在核心网中是完全透明传输的，该信息很容易被他人截获或者窃听。为了保证该信息的安全，就要求核心网必须考虑额外的安全技术。

此外，目前的协议要求无线网络控制器和用户侧的用户终端设备两者之间必须拥有标准统一的加密算法，这样就限制了一些具有特殊算法要求的专用用户，使它们的需求不能得到满足。这也是现有技术的一个缺陷。发明内容

本发明的目的是提供一种适用于移动通信系统终端加密的网络结构，以解决目前尚不能实现的端对端通信加密的问题。

本发明的另一目的是提供一种适用于移动通信系统终端加密的实现方法，也就是藉由上述网络结构而提供一种端对端的加密方法。

本发明的目的是这样实现的：一种适用于移动通信系统终端加密的网络结构，其在垂直方向上分为两大平面：用户平面和控制平面，其中，控制平面的分层结构包括有：作为非接入层的应用层、呼叫控制和移动管理层，以及作为接入层的无线资源管理控制层、数据链路层和媒体访问层、物理层；用户平面的分层结构包括有：应用层、数据链路层、媒体访问层、物理层；其特征在于：在用户平面的应用层之下增加一个对应用层用户信息进行加密作业的安全应用层，且该安全应用层只适用于用户端，而网络端的分层结构保持不变。

所述的安全应用层具有对用户信息进行加密的加密算法及密钥。本发明的适用于移动通信系统终端加密的实现方法是这样的：一种适用于移动通信系统终端加密的实现方法，其特征在于，包括有下列步骤：

A.在发送侧，将用户的业务信息通过预先设置的安全应用层进行加密，并由该安全应用层提供所采用的加密算法及密钥加密安全方法；

B.将控制信息及已加密的用户业务信息进行数据链路层或媒体访问层的加解密操作；

C.在接收侧，用户业务信息经所述的安全应用层进行解密，恢复其原始信息内容。

其中，步驟 B所述的加解密操作可以进一步包括：

B1 )将控制平面的控制信息及已加密的用户业务信息在数据链路层或者媒体访问层通过用户终端数据机密性（DC_UE )加密保护进行加密；

B2 )上述加密信息再经过物理层处理后，发送到网络侧；

B3 )与发送侧对应的网络侧无线网络控制器在媒体访问层或数据链路层采用无线网络控制器数据机密性（DC_RNC )加密保护进行解密；

B4 )用户业务信息和控制平面的控制信息通过核心网传送到对应于接收侧的网络侧无线网络控制器，该无线网络控制器在数据链路层或媒体访问层对控制平面的控制信息及仍然处于加密状态的用户业务信息采用无线网络控制器数据机密性（DC_RNC )加密保护进行加密，并发送到相应的接收侧；

B5 )接收侧的终端在数据链路层或媒体访问层对控制平面的控制信息和处于加密状态的用户业务信息采用用户终端数据机密性（ DC_UE )加密保护进行解密。

本发明是针对目前 3GPP定义的网络分层结构，提出的一种适合终端加密的网络结构及其实现方法，其技术关键之处是在用户平面的网络层次结构中，增加一个安全应用层；此外，仅仅是在终端侧进行这种层次结构的划分，而在网络侧不改变原来的层次结构，以便本发明的应用不至于影响基本网络结构。

从本发明的特点可以看出，其具有以下效果：本发明是在用户平面的层次结构中增加了一个安全应用层 , 该增加安全应用层的网络层次结构只适用于终端侧，而不适用于网络侧，且其对网络加密功能以及控制平面加密功能的实施没有任何影响。本发明通过在终端侧的用户平面增加一个安全应用层，提供了实现终端加密的基本操作平台，使得数据在从源点到终点的整个传输过程中始终以密文存在，这样，信息在传输的全部过程中都能够得到保护，甚至在有些节点遭到损坏时，也不会使信息泄露，能够可靠地保证信息的安全传输和应用。本发明尤其适用于

3GPP所定义的网络体系安全功能的实现。附图简要说明

图 1是目前在 3GPP网络体系中进行数据加密的位置示意图。

图 2是目前的 3GPP网络分层结构示意图。

图 3是目前在 3GPP网络体系中媒体访问层和 /或数据链路层进行数据加密的流程图。

图 4是本发明可以实现终端加密的网络分层结构示意图。

图 5是在 3GPP网络体系中本发明实现终端加密和数据加密的位置示意图。

图 6是表示本发明实现端对端加密的实施过程的示意图。实施本发明的方式

下面结合附图对本发明进行详细描述。

参见图 4，本发明是一种适用于移动通信系统终端加密的网络结构，其在垂直方向上分为两大平面：用户平面 41和控制平面 40, 其中控制平面 40的分层结构包括有：作为非接入层的应用层 42、呼叫控制和移动管理层 43 , 以及作为接入层的无线资源管理控制层 44即 L3、数据链路层 45和媒体访问层 46即 L2、物理层 47即 L1 ; 用户平面 41的分层结构包括有：应用层 42、数据链路层 45和媒体访问层 46即 L2、物理层 47即 L1 ; 其特点是：在用户平面 41的应用层 42之下增设一个对应用层 42用户信息进行加密操作的安全应用层（SAL ) 48，由该安全应用层 48提供对用户信息进行加密的加密算法及密钥；且该安全应用层 48 只适用于用户端，而网络端的分层结构保持不变。

图 5展示了本发明在 3GPP网络体系中实现终端加密和数据加密的位置示意图。在本发明中，用户终端设备 50 同时提供用户信息加密

( UC_UE )功能 51和用户数据机密性（DC_UE )加密功能 52, 但用户信息加密功能是在安全应用层实现，而数据加密功能则是在数据链路层或媒体访问层实现。无线网络控制器 54只实现无线网络控制器数据机密性

( DC_RNC )加密功能 53 , 该功能是在数据链路层或媒体访问层中实现。

参见图 6所示，本发明的适用于移动通信系统终端加密的实现方法是这样的：当用户发送信息时，包括有下列步骤：

( 1 )在用户终端设备向用户提供用户信息加密功能，在发送侧 60 对用户的业务信息通过安全应用层 601进行加密，并由该安全应用层 601 提供所采用的加密算法及密钥类的安全策略；

( 2 )继而对已加密的用户业务信息及控制平面的控制信息在数据链路层 /媒体访问层 602通过用户终端数据机密性加密保护即 DC_UE进行加密；

( 3 )上述加密信息再经过一系列物理层 603处理后，发送到网络侧 ( 4 )与发送侧 60对应的网络侧 61的无线网络控制器 610在媒体访问层 /数据链路层 612采用无线网络控制器数据机密性加密保护即 DCRNC 进行解密，此后，其控制平面的控制信息已完全解密，但用户平面的用户业务信息仍然处于加密状态；

( 5 )用户业务信息和控制平面的控制信息通过核心网 614传送到对应接收侧 62的网络侧 61的无线网络控制器 611，该无线网络控制器 611 在数据链路层 /媒体访问层 613 对控制平面的控制信息及仍然处于加密状态的用户业务信息采用无线网络控制器数据机密性加密保护即 DCRNC 进行加密，并发送到相应的接收侧 62;

( 6 )接收侧 62的终端在数据链路层 /媒体访问层 622对控制平面的控制信息和处于加密状态的用户业务信息采用用户终端数据机密性加密保护即 DC_UE进行解密，此后，其控制平面的控制信息已完全解密，但用户平面的用户业务信息仍然未解密；

( 7 )用户业务信息再经应用安全层 621进行解密，恢复其原始信息内容。

Claims

权利要求书

1、一种适用于移动通信系统终端加密的网络结构，其在垂直方向上分为两大平面：用户平面和控制平面，其中控制平面的分层结构包括有：作为非接入层的应用层、呼叫控制和移动管理层，以及作为接入层的无线资源管理控制层、数据链路层和媒体访问层、物理层；用户平面的分层结构包括有：应用层、数据链路层、媒体访问层、物理层；其特征在于：在用户平面的应用层之下增加一个对应用层用户信息进行加密作业的安全应用层，且该安全应用层只适用于用户端，而网络端的分层结构保持不变。

2、如权利要求 1 所述的适用于移动通信系统终端加密的网络结构，其特征在于：所述的安全应用层具有对用户信息进行加密的加密算法及密钥。

3、一种适用于移动通信系统终端加密的实现方法，其特征在于，包括有下列步骤：

4、根据权利要求 3所述的实现方法，其特征在于，步骤 B所述的加解密操作进一步包括：

B1 )将控制平面的控制信息及已加密的用户业务信息在数据链路层或者媒体访问层通过用户终端数据机密性加密保护进行加密； B2 )上述加密信息再经过物理层处理后，发送到网络侧;

B3 )

路层采用无线网络控制器数据机密性加密保护进行解密；

B4 )用户业务信息和控制平面的控制信息通过核心网传送到对应于接收侧的网络侧无线网络控制器，该无线网络控制器在数据链路层或媒体访问层对控制平面的控制信息及仍然处于加密状态的用户业务信息釆用无线网络控制器数据机密性加密保护进行加密，并发送到相应的接收侧；

B5 )接收侧的终端在数据链路层或媒体访问层对控制平面的控制信息和处于加密状态的用户业务信息采用用户终端数据机密性加密保护进行解密。