将双重加密算法用于带时延的卫星信道的制作方法

文档序号:7940859阅读:262来源:国知局
专利名称:将双重加密算法用于带时延的卫星信道的制作方法
技术领域
本发明有关例如在卫星/蜂窝电话及使用轨道卫星的地面站网络之间在两个方向上交换的加密业务流,其中环路传播时延比加密块周期要长得多。特别是本发明解决了允许两个卫星/蜂窝电话机彼此直接通信的问题,因此避免了在使用地面站的情况下呼叫两次通过卫星中继时的双跳时延。
在蜂窝系统中,传播延迟很短,移动电话可以使用相同的块计数器值对发送块加密并对接收块解密,而且网络或基站也可以这样做。在诸如上述的GSM系统中,TDMA帧周期大约为4.6ms,以光速换算为距离,等于1380Km,或每路690Km。蜂窝服务小区半径很少超过30Km,但是从卫星电话到卫星再下到地面的距离,对于低轨道卫星为2000KM,对于同步轨道卫星达80000Km。
双重加密(duplex cipher)算法(例如称为GSM的欧洲数字蜂窝系统所规定的A5算法)使用块计数器和秘密会话密钥产生加密比特,对业务数据块加密。每个业务块使块计数器递增,例如这些业务块可以是每个时分多址帧中发送一次的信号突发。当从卫星话机发送的信号被卫星转发并再次在地面接收时,用来对信号加密的块计数器与当前块计数器相比将会过期了很多个块周期。
美国专利申请No.08/581,110描述了通过将两个移动站之间的信号彼此直接中继,避免它们之间通过轨道卫星通信的双跳时延。该申请揭示了,当移动站发送的上行链路格式与移动站所期待的下行链路格式不同时,在飞行器上对信号重新格式化,这种重格式化也包括一个时延,这是允许两个移动站时分双工(time-duplex)解决方案所必须的,藉此不要求它们同时发送和接收,而是交替方向上的短突发。
题为“Method and Apparatus For Enabling Mobile-to-MobileCalls in a Communications System(用于使能通信系统中的移动站至移动站呼叫的方法和设备)”的U.S.专利申请No.08/681,916-在这里结合作为参考-揭示了在具有不同鉴权密钥的两个移动站之间建立公共密钥的问题和解决方法。
在蜂窝系统中双重加密算法的使用,使用相同的会话密钥对双向业务加密是本领域已知的。例如,这种算法在U.S.专利申请No.07/708,876中描述,本申请在这里全部结合作为参考。
GSM数字蜂窝标准使用称为A5的双重加密算法,它的一般结构在Bruce Sshneier的“Applied Cryptography-Second Edition(实用加密学-第二版)”(John Wiley&Sons)中描述。这种结构用于本申请。
美国专利号5,060,266描述了当使用这种双重加密算法时在通信链路的两端保证块计数器之间连续同步的方法。这个专利也全部在这里结合作为参考。但是,它没有揭示或解决当二者在空间上分开的距离以光速换算成时延与所需的同步精度相比很大时,两端维持同步的问题。
美国专利号5,081,679揭示了,当移动站离开一个基站的服务区进入具有非同步计数器的另一个基站的服务区时用于加密的块计数器重同步的方法。本专利申请也全部在这里结合作为参考。它解决了将移动站中的块计数器从第一计数器相位改变到第二计数器相位的问题,以便在越区切换时使块计数器与新基站中的计数器对准,但是它没有揭示或解决在加密模式中与距离大于块计数器时钟周期乘以光速的较远基站通信的问题。
美国专利号5,091,942以及它的后续专利号5,282,250描述了在网络站确认移动站的标识为真正的并且移动站类似地确认了网络站标识的鉴权过程中,在网络站和移动站之间建立公共密钥的方法。上面的两个专利这里都全部结合作为参考。所描述的方法的前提在于,移动站和网络都能访问鉴权密钥或公共A-钥,但是不希望通过释放它以便对特定呼叫加密而受到攻击。上面结合的专利都没有描述在不具有A-钥或任何公共秘密信息的第一移动站和第二移动站之间建立公共密钥。
当实现这里描述的本发明时,上述表述或现有技术的不足之处都会弥补。
根据本发明的第二个方面,缓存存储器在第一和第二移动卫星电话站被提供。缓存存储器在第一移动站用于存储双重加密算法的第一输出,同时将第二输出用于传输加密。第二移动卫星电话站的缓存存储器用于存储相同的双重加密算法的第二输出,同时将第一输出用于传输加密。然后在完整数目的块周期延迟之后,在两个移动站重新调用所存储的加密算法的输出,并用于对从彼此接收的信号解密。时延由在呼叫建立时地面网络站在与两个移动站交换信号的过程中确定,第一移动站被标识为始呼并存储第一加密输出,第二移动站被标识为被叫并存储第二加密输出。
根据发明的第三方面,在每个站单独使用独立会话密钥加密的模式中,移动站到移动站呼叫通过地面网络和两个移动站之间建立联系而开始,而且在建立了直接的移动站到移动站连接的环路时延之后,地面网络提供了公共会话密钥和环路时延参数,从而允许使用加密的直接移动站到移动站呼叫。
在发明的另一个实现中,块计数器对密钥产生器提供一个块计数值以及一个会话密钥。密钥产生器将块计数值和会话密钥相组合,并输出用于对从第一站发射的数据进行加密的加密比特。块计数值也与一个预定的时延计数一起提供给算法单元,以便重新产生较早的计数值。重新产生的较早计数值和会话密钥一起提供给密钥产生器,以便产生密钥流比特,以用于对第一站接收的、由第二站较早地发送的数据突发解密。该接收被从第二到第一站的信号传播时间所延迟,并等于被表示为最接近的整数个块计数周期的预定时延值。在最初建立通信时与第一和第二站都通信的地面网络计算出预定时延值,并将所计算的时延值与公共会话密钥一起传递给两个站。然后,命令第一和第二站使用从地面网络发送的会话密钥和时延值自主地彼此通信,以便实现业务流的加密和解密。
详细描述图2图示说明了用于对发送信号加密并对接收信号解密的现有技术的双重加密。通过提供块时钟计数脉冲使块计数器10递增,将一个多数字值COUNT(计数)的前一个值改变为顺序的它的下一个值。计数序列不一定是每个时钟周期(tick)加一的简单二进制或十进制计数器,而是可以包括多基数计数器和每次递增超过一个数字的计数器。原则上计数器也可以是伪随机序列发生器,尽管后面可能会发现,块计数驱动的加密的一个优点恰好是,通过从当前计数值加或减一个时间位移值可以很容易地确定COUNT的后一值或未来值,这对于顺序号码计数次序更直接,而伪随机计数序列更困难一些。因此简单的二进制计数器是块计数器10的优选装置。
在每个块时钟周期之后,新计数与为彼此通信的站而建立并只有它们知道的会话密钥一起提供给双重加密算法11。双重加密算法11计算标为11a和11b的两个多数字输出。一个输出11a馈入发射机12,在那里用于对发射业务流加密,例如通过将加密输出的二进制数字与数字化业务信息的相应比特逐比特地模-2加法来进行。使用加密比特对业务流加密的其它方法当然也可以使用,例如使用加密比特控制发送信号单元的排列顺序,或将加密比特与块方式的业务比特一起提供给块-组合算法,例如DES算法。
双重加密算法11的另一个输出11b同时提供给接收机13,并通过加密逆过程用于对接收业务信息块或突发解密。如果比特方式的模-2加法用于加密,那么同样用于解密,因为模-2加法与它的逆(模2减法)相同。此外,如果将另一种形式的加法用于加密,那么需要将等效的减法操作用于解密操作。例如,如果信号单元排列用于加密,那么逆排列用于解密。
图2图示说明了两个站之间通信链路的一端。第二站(未表示)将完全使用相同的装置,其不同处在于输出11a将馈入第二接收机用于解密,而输出11b将馈入第二发射机用于加密。通过相反地使用输出11a和11b,可以使得仅当传播时延相对于块时钟脉冲之间的时间很小时,才在加密模式中能够交换双向的业务流。因此,当链路两端的传播时延为很多个块周期时,图2的现有技术的双重加密是不能使用的。例如,如果根据图2的第一设备以块计数等于1000来加密,而且加密信号传播到根据图2的第二设备时传播时延为50个块计数,那么第二设备的块计数器如果同步到第一设备的话,将移动到值1050,这是不能正确解密的。第二设备的块计数器因此必须延迟50个块计数,才能当第一设备以1000的块计数加密时,第二设备的块计数器得到值950并对较早的50个计数发射的块解密。然而第二设备会以相同的延迟块计数950对发送到第一设备的块加密;在50个块计数的传播时延之后,这些以块计数=950加密的块将在块计数器从1000移动到1050之后到达第一设备,误差达100。因此通过将加密机制的一端或两端相对彼此超前或延迟是不可能使两端同步的。
图3图示说明了示范双重加密算法即上述的A5算法。三个各自长度为19、22和23级的线性反馈移位寄存器20、21、22由时钟控制电路24a、24b、24c、24d提供时钟,每次产生3个比特,在XOR电路23中进行异或,每个时钟周期产生一个比特输出。初始化过程之后得到的顺序输出比特构成加密和解密的密钥流。
时钟控制电路24包括大数判决电路24a,它将寄存器20比特11、寄存器21比特12和寄存器22比特13进行比较,决定是否二进制“1”多于二进制“0”。例如,如果寄存器20比特11和寄存器22比特13为“1”,至少有两个“1”,因此“1”是多数,大数判决电路输出“1”。但是如果零是多数,大数判决电路24a输出零。
大数判决电路24a的输出在XOR门24d中与寄存器20比特11比较。如果这些值匹配,它就表示寄存器20的比特11是大数值之一,并从XOR门24d产生一个“0”,当时钟脉冲提供给时钟脉冲输入28时使寄存器20移位。类似地,XOR门24c和24b分别确定来自寄存器21的比特12和来自寄存器22的比特13是否属于大数,而且如果是,将使它们各自的寄存器移位。因此,时钟控制电路24a、b、c、d的效果是三个寄存器中的至少两个,即其中的大数,在将时钟脉冲提供给输入28时进行右移位。
上述时钟控制电路是在寄存器使用会话密钥和块计数启动状态初始化、以及根据图4提供的多个时钟脉冲之后才使用。在初始化之后,提供100个时钟脉冲以便用确定的、但是很难预测的量替换寄存器的启动状态。然后,提供另外的114个时钟脉冲,在每个这样的脉冲之后从XOR门23提取密钥流比特。然后使用提取的114个比特对一个方向上的业务流加密,或对另一方向上的业务流解密。在114个时钟脉冲的随后使用中,另外的114个比特从XOR门23提取出来并用于第一方向中业务流的加密或第二方向中业务流的解密。
图5是GSM TDMA突发格式,表示如何提供114个密钥流比特以便对57+57个业务信息比特加密。时隙格式(A)包括中心的26比特同步字,用于同步和均衡器训练。在同步字的每一侧,标志比特F表示该突发是否包含数字化的语音、快随路控制信道(FACCH)消息或半语音及半FACCH。在标志比特的各一侧放置57个数据比特,总共得到114个比特。只有这些数据比特通过将其与114个密钥流比特异或而加密,这114个密钥流比特被分成57个密钥流比特的两个相应块,如(B)所示。在突发的结束,添加4个拖尾比特,使传播信道中的回声消失,然后允许另外的6.25比特周期的上升/下降沿时间也用于时隙之间的保护时间,允许相邻时隙之间存在一些小的时隙定时变化而不产生干扰。
初始化步骤包括清零各寄存器,然后用当前帧的会话密钥和块计数对其装载。64比特的会话密钥和22比特的块计数被连接起来构成86比特的初始化序列,按串行比特方式提供给输入29,在那里这些比特实行异或从而进入寄存器反馈路径。为了保证每个寄存器被每个比特所影响,所有三个寄存器在初始化过程中都移位86个密钥+计数器比特。此后,在100个混合周期和228个密钥流提取周期中寄存器的移位则根据于时钟控制电路24a、b、c、d而进行,如前所述。
在图5中,标为(C)的格式是从GSM得到的适于卫星通信的突发格式,如美国专利申请No.08/501,575中所揭示的,该专利申请在这里结合作为参考。
为了改善卫星模式中的通信效率,取消掉两个标志比特和四个同步比特,时隙的数据内容从57+57比特增加到60+60比特。减少的22比特同步字长足够卫星信道的均衡器训练之用,因为它受到时间弥散的影响较少。不需要标志比特区分语音和FACCH,而是使用美国专利No.5,230,003中揭示的发明来完成这个任务,该专利在这里全部结合作为参考。
可以看到格式(C)包括3个比特,置于同步字的各一侧,不与来自各个57比特密钥流块(B)的相应密钥流比特重叠。因此,如果对实现突发格式化和加密的GSM硬件做最小的改变,则这些3+3比特不会被加密。但是当考虑到美国专利申请No.08/501,575中揭示的对角线交织图案,未加密的比特在纠错编码过程的输出序列中是孤立的比特,其相邻比特是加密的。由于当周围的编码比特被加密时不可能基于一个孤立的纯文本编码比特进行纠错解码,因此不加密这三个额外数据比特并没有很大的安全性损耗。但是,更重要的是,应该针对使用不同服务小区或波束中的相同频率的信号(所谓同频干扰)按不同方式屏蔽所讨论的3+3比特,因为如果干扰被同样地编码,纠错编码不会有助于滤除同频干扰。在图5中,扩展的同步字(D)包括正常的22个同步比特,后者也希望它们在一组同频干扰之中不同,通过在每端添加3个比特扩展为28个比特,从而重叠3+3个额外的数据比特并与突发建立过程中的额外数据比特进行异或。3+3个同步字扩展比特也精心挑选为在同频干扰之间不同,以便得到这三个比特纠错编码的干扰识别优势。
当然,可以简单地修改图3的A5算法,产生240个密钥流比特用于加密和解密,但是当通过最少量的修改现有硬件设计以实现卫星通信模式时,图5的组合(B+C+D)是优选的。
图6图示说明了需要对图2的现有技术的双重加密机制进行改变,以完成发明的第一实现,其目的是使双工通信跨越更远的距离。地址发生器31产生循环缓存存储器30的写地址和读地址。地址发生器在每次提供块时钟脉冲以增加块计数器10时将使读和写地址递增。读地址等于写地址减去为每个呼叫确定的恒定时延值。地址用模-N计算,N是以加密比特块计算的循环缓存存储器的大小。例如,如果加密比特块包含114比特,正如使用图2逻辑所产生的,而且N为64,那么存储器的大小为114×64比特或912比特。值N=64设置了时延值可以达到的最大值,因此设置了通过轨道卫星通信的第一站与第二类似站之间的最大环路传播时延以及环路距离。例如,如果对一个特定呼叫的实际时延是51个块计数,那么读地址与写地址的关系由如下等式得到读地址=|写地址-51|64=|写地址+13|64因此,通过对时延值模-N加N的补码同样可以从写地址得到读地址,在这种情况下,补码为13。
与图6的设备通信中的链路另一端的双重加密设备假设与图6中的功能相同,其不同点是第二个设备使用密钥流116而不是密钥流11a对传输加密,而且密钥流11a将被路由选择到存储器30以便在延迟之后用于对接收数据解密。两端可以使用相同的时延值,即从第一通信设备通过卫星中继站到第二通信设备的单路传播时延。或者,使用不同的时延,只要它们之和等于双路传播时延,而且调整它们的块计数器以确保两端的加密同步,这种同步因为有了时延存储器,所以当实现本发明时是可行的。
上面描述的本发明还将参考图7进一步解释,该图说明了在第一发射-接收机站和第二发射-接收机站之间使用控制站网络传递受加密保护的信息的方法。加密的通信首先在控制站网络和第一站之间以及独立地在控制站网络和第二站之间建立。来自控制站网络的会话密钥发送到第一站,并独立地发送到第二站。确定控制站网络和第一站之间的传播时延,并确定控制站网络和第二站之间的传播时延。处理传播时延以便确定在不包括控制站网络时第一和第二站之间通信的直接传播时延。然后将直接传播时延从控制站网络发送到第一站,并独立地发送到第二站。然后,从控制站网络向第一站、并独立地向第二站发送信道分配,命令第一站和第二站通过使用会话密钥和直接传播时延值加密并解密信号而开始彼此通信。
在图8所示的本发明的另一个实施例中,所建立的控制站网络和第一及第二站之间分别通信的传播时延被加在一起。然后,确定从控制网络返回控制网络的环路传播时延,并将从中将其减掉以得到第一和第二移动站之间通过卫星直接通信的单路时延。包括单路时延的信道分配从控制站网络发送到第一移动站,并独立地到第二移动站,而且命令第一和第二移动站开始使用信道分配而彼此通信,并使用会话密钥和单路传播时延值加密并解密信号。
在一个特定的实现方案中,所用的时延值可以大于单纯的传播时延,以便考虑设备中的处理时延,例如,解调、交织、纠错解码或不能立即执行的其它信号处理功能。
写地址通过块时钟脉冲控制而递增后用于将算法11的解密比特输出导向特定的一块存储区,例如114比特的区域。另一方面,读地址被用于指向一个存储区(较早存储的解密比特块将从那里获取),并用于对接收机13刚接收的信息解密。
当然,延迟使用解密比特的其它方法也可以使用,例如移位寄存器或先入先出寄存器(FIFO),但是,当延迟量可变、因此所需的移位寄存器或FIF0的长度不总是相同时,使用带合适的寻址逻辑31的随机访问存储器(RAM)芯片更实用一些。但是,所有将来自双重加密算法的解密比特输出的使用延迟一个给定的链路时延的等效方法都被认为是处于所附权利要求所描述的本发明精神和范围之内。
在某些情况下,块计数器10的最低有效计数级使用与地址发生器31相同的计数模块,那么,直接使用块计数器10的最低有效数字作为一个地址并通过模-N加或减给定的时延值,可以简化地址发生器31。
这种装置在图9表示。块计数器10已经被扩展,以便表示典型的块计数器例如用于GSM系统中的块计数器的更多细节。第一计数器LSB级10a将块时钟除以51,这是广播控制信道上子复接帧的重复周期,正如所结合的参考中描述的。并行地为第二计数器LSB级10b提供时钟控制,并用慢随路控制信道(SACCH)突发之间的块或帧数对它进行相除。在GSM中,计数器10b计数52帧的8个时隙,但是在结合各参考文献中描述的本发明的卫星修改方案中,计数器10b计数26个16时隙帧。一起为计数器10a和10b提供时钟控制并同时在51×52个脉冲中只产生一个进位脉冲,该事件由AND门10d检测,产生进位脉冲以便递增最高有效计数器级10c——一个除1024的电路。在这个例子中,计数器10的总周期是51×52×1024,但是准确的计数器模数应该认为是示范性的,不是对本发明的限制。例如,计数器模数可以等效地为51×26×2048或17×13×12288并实现同一重复周期。优选地选择计数器结构与时隙、帧和超帧定时和复接结构一致,这样它作为加密的时基就有一个好处一旦大体上得到与信号结构的同步,加密同步也可以得到,而不需要更多的同步过程。
在图9中,最低有效计数器10b也作为读地址提供给缓存存储器30。写地址通过将单路传播时延值在模-52加法器32中加到读地址上而产生。22-比特的块计数与会话密钥一起提供给双重加密算法11。加密和解密比特在加密算法中作为密钥和块计数的函数而产生。加密比特几乎立即用于对发射的信息块加密。但是,解密比特被存储在存储器中的、来自加法器22的写地址给出的位置上,该位置在较早写入的解密比特在读地址帮助下被读出的地址前面(以循环方式)。写地址指向包含已经读出并用于一定时间之前解密的解密比特的空闲位置,它可以被来自加密算法11的新输出所覆盖。这个新输出同时用于与之建立双工通信链路的第二个类似设备中的加密,但是加密比特直到从第二设备通过卫星中继站到第一设备传播了中间的距离之后,才在第一设备中被接收,这个距离在同步轨道卫星情况下可达80000Km之多。按光速,这代表266.6ms的时延,或者57.8个GSM TDMA帧周期,或者28.9个16时隙的帧周期,例如美国专利申请No.08/501,575中所揭示的对卫星通信有用的帧周期。这个专利申请在这里全部结合作为参考。
因此,由于当使用16时隙TDMA格式时通过卫星的移动站到移动站时延小于52帧,具有52个位置(每个位置能够存储一帧的解密比特(例如114))的循环缓存存储器30足以包含所期望的传播时延范围。
实现图6和9所需的缓存存储器的大小等于传播时延乘以被延迟的每秒加密比特数。每秒加密比特数至少等于通信链路信息速率,而且可能大于信息速率,这种情况对应于卷积编码增加了冗余。如果存储器容量过大,可以使用

图10的另一个实现方案,它取消了缓存存储器。在图10中,执行加密算法11的第一拷贝,以便将会话密钥与不加改动的块计数器10输出一起组合成,从而产生加密和解密输出11a和11b。在双工通信链路的一端,第一发射接收机12、13使用加密算法的第一拷贝的输出11a,以便对传输加密。在双工通信链路的另一端,使用图10的类似设备向图10中以虚线所示的第二发射接收机12、13提供加密和解密比特。加密算法的第一拷贝将它的输出11b提供给第二发射接收机,以便对传输加密。
模-n加法器32对计数器10的输出添加一个时延偏移值,以便产生修改的计数。修改的计数提供给加密算法11的第二拷贝(它可以是同一片硬件的第二次执行,因此说明图10中对二者给出相同的标号是有道理的)。加密算法11的第二拷贝或执行将来自加法器32的修改计数与会话密钥合成,从而得到第一接收机13所用的解密比特11b。由于接收机接收延迟的信号,加法器32中添加的时延偏移值对应于一个负值,即正的时延值对n的补码。或者,可以使用代表递增块计数器值的修改计数,以便产生第一收发机12、13中的加密比特11b,而未修改的计数器输出用于产生解密比特11a。图10中以虚线所示的第二收发机12、13以类似的方式连接到图10,但是使用加密算法11第一执行的输出11b进行加密(如果输出11a用于相反方向的加密),加密算法11第二执行的输出11a在第二收发机中用于解密(假设加密算法第二执行的输出11a用于另一个收发机中的解密)。或者,如果,加密算法11第二执行的输出11b用于第一收发机中的加密,那么加密算法11第二执行的输出11a在第二收发机中用于解密。
加法器32的模“n”必须对应于计数器10的完整计数周期。对于图9中所示的包括子计数器10a、10b、10c的计数器结构,用于图10实现的加法器不如图9所示的模-52加法器简单。在图9中,不必产生对应于较早计数的修改计数,因为加密比特对应于存储在缓存存储器30中的较早计数。但是,为了避免使用较早计数第二次执行加密算法所需的缓存存储器30,所有较早计数必须是可用的,而且这包括修改所有的子计数器10a、10b和10c。
例如,假设计数器10b目前包括计数47,计数器10a包括计数15,并且希望重新产生前39块的计数值。从计数器10b中减去39不会产生下溢,因此我们知道计数器10b不会在较早计数和当前计数之间产生进位。子计数器10a的较早值是15-39=-24,这是模-51计数的+27。-24的负符号表示下溢,即较早计数和当前计数之间产生一个进位。如果这个进位与子计数器10b同时产生,它表示计数器10c也在较早计数和当前计数之间递增,因此必须递减以产生较早计数。这种情况仅当子计数器10a和10b目前相等并小于被减的时延值时才出现,因此分别在模-51和模-52减去时延偏移之前,测试了子计数器10a、10b的相等性,则表示计数器10c是否必须递减以产生有效的较早计数。或者,如果使用递增计数加密,那么当前计数代表解密中使用的较早加密块计数,子计数器10a、10b必须分别在各自的模-51和模-52加法器中递增相同的时延偏移,然后在递增后测试相等性以便确定是否产生同时进位,是否有必要对子计数器10c加一以产生有效的加密计数器值。
另一种改变是使用图9的循环缓存存储器30存储较早的块计数,而不是较早加密算法的输出比特,这里的块计数包含较少的比特,如图11所示。
图11的缓存存储器30只需存储子计数器10b和10c的较早计数,总共16比特,因为子计数器10a的计数是存储器地址中隐含的。计数器10b、10c的当前16比特值被写入51字的缓存存储器30的一个地址,在计数器10a给出的当前读地址之前,超前量等于模-51加法器32中所加的时延偏移。写入值覆盖以前重读的和已使用的不再需要的值。当写入值在以后被重读时,读地址将被时延值超前,因此需要被递减以便重新产生计数器10a的较早值。这可以通过第二次重新使用加法器32来实现,但是提供时延的51的补码加到当前读指针上,因此有效地减去了时延,从而重新产生了计数器10a的较早值。或者,可以使用计数器10a的未修改值作为写地址,而不是读地址。因此,以后重读计数器10b、10c的16比特值时的地址是要使用的计数器10a的相应值。当前读地址通过在模-51加法器32中将时延值的51补码加到计数器10a的值上来产生。当前读地址和16比特的重读值构成第二次执行双重加密算法11用于解密时所使用的延迟的22比特计数器值,计数器10a、10b、10c的当前状态在第一次执行加密算法11用于加密时使用。
因此,作为存储器容量、模加运算复杂性以及单次与双次执行加密算法11之间的折中,可以使缓存存储器30的容量减少,而不是如上所述通过使用图9和10的混合实现来将其完全取消。
也应指出,加密算法的完全双次执行在双工通信链路的任一端都是不必要的。例如,如果加密算法11的第一次执行首先产生输出比特11a以用于图10的第一收发机12、13,则不必继续产生输出比特11b。另一方面,加密算法11的第二次执行必须产生输出比特11a,作为得到第一收发机所用的输出比特11b的手段。相反,对于第二收发机12、13,加密算法11的第二次执行可以在只产生输出比特11a之后结束。
所示的“DELAY(时延)”值必须馈入图6、9或10的加法器32,以便在呼叫建立时建立直接的移动站到移动站链路。呼叫建立是电话通信网中当一个用户拿起话机并拨打另一个用户号码时执行的过程名。在移动电话网中,一个重要的子过程是识别呼叫用户,以便他为通话中引起的计费付费。这个过程在有线网中很简单,因为例如用户以通向他家的铜线对来唯一地被识别。但是在移动通信系统中,不同的用户可能进入同一无线基站的范围并与之连接,因此不能再由网络中检测的信号所区分。它们必须通过交换电子标识号码来识别,以便计费。其它上面所结合的参考文献揭示了为在这种识别过程中防盗而设计的鉴权过程。作为鉴权的副产品,必须产生一个临时“会话密钥”用于对通话加密和解密,至少是在信号路由选择的无线段,这段很容易被配备了合适的无线接收机的窃听者所截获。
在上面结合的美国专利申请No.08/681,916中,揭示了在呼叫建立时卫星/蜂窝网如何也可以确定特定的呼叫是否存在于两个只能通过卫星联系的用户之间,然后在为它们分配直接的移动站到移动站卫星转发器信道之前实现公用加密密钥的建立。拨打呼叫的呼叫用户首先联系网络,然后网络再联系被叫用户并与它们单独建立加密链路。在这种呼叫建立阶段,分别对每个移动站建立环路时延对于网络是比较简单的,这包括作为公共部分的卫星和网络站之间的距离。这个距离可以通过很多种方式精确建立,例如使用卫星跟踪站精确地跟踪卫星,确定它的轨道参数,并计算它的瞬时位置。然后对第一和第二移动站,从环路时延中减去地面站到卫星的已知距离,再相加而得到移动站到移动站时延。移动站到移动站通信的卫星转发器优选地包括缓存器和重格式化器(当上行链路和下行链路格式不同时),见美国专利申请No.08/681,916和08/581,110。缓存器具有在卫星转发器中引入很小的额外时延的作用,从而总传播时延可以表示为整数个TDMA帧周期,该缓存器实际上占据了部分帧时延。
根据本发明,地面站确定从移动站到移动站的整数个帧时延,然后将其与公共会话密钥和移动站到移动站转发器信道分配一起传递到移动站,从而允许移动站从与地面网的通信切换到借助本发明在加密模式中直接通信。通过直接通知移动站它将经历的环路时延,避免了当同步算法搜索用于同步两端加密和解密的正确时延值时在它们之间通信的断裂。尽管这是优选实现所期望的方面,但是可以使用建立环路时延的其它方式,例如,通过要求移动站在未加密模式发射它们的帧计数器值而开始彼此直接通信,如图12所示。每个移动站从它的当前计数器值中减去接收突发中所含的计数器值,从而确定它将在加法器32中加到自己的计数器上的时延,以便同步地解密另一个移动站的加密。后一种方法没有假设两个移动站完全使用相同的时延值,而且只要使用图10的实现,就可以容忍任何计数器的未对准。两种方法和任何其它的可以由本领域技术人员设计的将环路时延值建立到一个时钟周期的必要精度的方法,被认为是处于本发明的精神和范围之内。
本领域的技术人员应理解,本发明可以在不背离其精神或实质特性的情况下,以其它特定形式实施。目前揭示的实施例因此在所有方面都认为是说明性而不是限制性的。本发明的范围由所附的权利要求表示,而不是前面的描述,而且所有在其等效含义和范围内进行的改变都认为是包含于其中的。
权利要求
1.当所述第一和第二站之间的信号传播时延比加密信息块的持续时间长时加密和解密在第一和第二站之间发射的信号的设备,在所述第一和第二站的每个中包括计算发射或接收的信息块并产生多数字块计数值的块计数器装置;产生作为多数字会话密钥和所述多数字块计数值的函数的加密比特块和解密比特块的加密算法执行装置,所述第一站的加密比特是所述第二站的解密比特,反之亦然;使用所述加密比特块对用于传输的相应信息比特块加密的加密装置;在第一存储位置存储所述解密比特块、并从第二存储位置获取以前存储的解密比特块的循环缓存存储器装置;以及使用从所述循环缓存存储器获取的解密比特块对接收信号解密以便重新产生信息比特块的解密装置。
2.根据权利要求1的设备,其特征在于,每当所述块计数器递增时,所述存储器位置以存储器位置总数为模而递增。
3.根据权利要求1的设备,其特征在于,所述第一和所述第二存储器位置之间的差对应于所述第一站和所述第二站之间按连续信息块传输时间为单位而测量的传播时延。
4.根据权利要求1的设备,其特征在于,所述第一存储器位置由包括最低有效数字的所述块计数器的至少一些数字所确定。
5.根据权利要求1的设备,其特征在于,所述第二存储器位置从包括最低有效数字的所述块计数器的至少一些数字中构成。
6.根据权利要求4的设备,其特征在于,所述第二存储器位置由代表所述传播时延的偏移与所述第一存储器位置的模-加构成。
7.根据权利要求5的设备,其特征在于,所述第一存储器位置由代表所述传播时延的偏移与所述第二存储器位置的模-加构成。
8.当所述第一和第二站之间的信号传播时延比加密信息块的持续时间长时加密和解密第一和第二站之间发射的信号的设备,在所述第一和第二站的每个中包括计算发射或接收的信息块并产生多数字块计数值的块计数器装置;产生作为多数字会话密钥和所述多数字块计数值的函数的加密比特块的加密算法执行装置;使用所述加密比特块对用于传输的相应的信息比特块加密的加密装置;使用代表所述传播时延的偏移从而修改所述块计数值的修改装置;产生作为所述多数字会话密钥和所述偏移块计数的函数的解密比特块的解密算法执行装置;以及使用所述解密比特块对接收信号解密以便重新产生信息比特块的解密装置。
9.当所述第一和第二站之间的信号传播时延比加密信息块的持续时间长时加密和解密第一和第二站之间发射的信号的设备,在所述第一和第二站的每个中包括计算发射或接收的信息块并产生多数字块计数值的块计数器装置;产生作为多数字会话密钥和所述多数字块计数值的函数的加密比特块和解密比特块的加密算法执行装置,所述第一站的加密比特是所述第二站的解密比特,反之亦然;使用所述加密比特块对用于传输的相应信息比特块加密的加密装置;存储所述块计数器的当前值并获取以前存储的块计数器值的存储器装置;产生作为所述多数字会话密钥和所述获取的块计数值的函数的解密比特块的解密算法执行装置;以及使用所述解密比特块对接收信号解密以便重新产生信息比特块的解密装置。
10.在第一发射机-接收机站和第二发射机-接收机站之间使用控制站网络建立加密通信的方法,包括如下步骤在所述控制站网络和所述第一站之间、并且独立地在所述控制站网络和所述第二站之间建立加密通信;从所述控制站网络向所述第一站,并独立地向所述第二站传递包括会话密钥的信道分配;使用所述信道分配在所述第一和第二站之间通信,以便以非加密模式交换用于加密各个站发射的信号的块计数器值;使用所述第一站从所述第二站接收的块计数器值来复位用于对所述第一站接收的信号块解密的块计数器,并使用所述第二站从所述第一站接收的块计数器值来复位用于对所述第二站接收的信号块解密的计数器;并且使用各自的解密计数器值和所述会话密钥对各个站接收的信号块解密,并使用所述会话密钥和各自的加密计数器值在各个站对信息块加密,在每次所传输的信息块加密或每个接收的信号块解密之后分别递增所述加密和解密块计数器。
11.在第一发射机-接收机站和第二发射机-接收机站之间使用控制站网络建立加密通信的通信系统,包括在所述控制站网络和所述第一站之间、并且独立地在所述控制站网络和所述第二站之间建立加密通信的装置;从所述控制站网络向所述第一站、并独立地向所述第二站传递包括会话密钥的信道分配的装置;使用所述信道分配在所述第一和第二站之间通信以便以非加密模式交换用于各个站发射加密信号的块计数器值的装置;使用所述第一站从所述第二站接收的块计数器值来复位用于对所述第一站接收的信号块解密的块计数器、并使用所述第二站从所述第一站接收的块计数器值来复位用于对所述第二站接收的信号块解密的计数器的装置;以及使用各自的解密计数器值和所述会话密钥对各个站接收的信号块解密、并使用所述会话密钥和各自的加密计数器值在各个站对信息块加密、在每次所传输的信息块加密或每个接收的信号块解密之后分别递增所述加密和解密块计数器的装置。
全文摘要
在卫星/蜂窝电话和使用轨道卫星的地面站网络之间的两个方向上交换加密业务流的设备和方法。在移动电话站或地面站或者二者中提供缓存存储器。缓存存储器在产生加密比特时用于存储双重加密算法的解密比特输出。存储的加密比特用于对随后接收的业务信息块解密。在呼叫建立时,通过呼叫建立时交换信号来测量从地面站到移动电话站的环路传播时延,对于每个呼叫,将使用存储解密比特的时延确定为最接近的块周期整数。
文档编号H04L9/08GK1437330SQ02152440
公开日2003年8月20日 申请日期2002年11月27日 优先权日1996年10月15日
发明者P·W·登特 申请人:艾利森公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1