-
HINTERGRUND
DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft Kommunikationsverfahren und Geräte, und
im einzelnen Kommunikationsverfahren und Geräte, die eine Verschlüsselung
einsetzen.
-
Gewöhnlich werden
drahtlose Kommunikationssystem verwendet, um Teilnehmern eine Sprach- und
Daten-Kommunikation bereitzustellen. Seit langem werden weltweit
beispielsweise analoge zellulare Funktelefonsysteme erfolgreich
eingesetzt, wie etwa jene mit AMPS, ETACS, NMT-450 und NMT-900 bezeichneten
Systeme. Digitale zellulare Funktelefonsysteme, wie etwa solche,
die mit dem nordamerikanischen IS-54 Standard und dem europäischen GSM-Standard übereinstimmen,
sind seit den früheren
90-iger Jahren in Betrieb. In jüngster Zeit
ist eine breite Vielfalt drahtloser, allgemein als PCS (Personal
Communications Services) bezeichneter, digitaler Dienste eingeführt, welche
erweiterte digitale zellulare Systeme, die mit Standards wie etwa
IS-136 und IS-95 übereinstimmen,
leistungsschwächerer
Systeme, wie etwa DECT (Digital Enhanced Cordless Telephone), und
Daten-Kommunikationsdienste,
wie etwa CDPD (Cellular Digital Packet Data), einschließen. Diese
und andere Systeme werden in The Mobile Communications Handbook, herausgegeben
von Gibson und veröffentlicht
durch CRC Press (1996), beschrieben.
-
1 zeigt
ein typisches terrestrisches zellulares Funktelefon-Kommunikationssystem 20.
Das zellulare Funktelefonsystem 20 kann ein oder mehrere
Funktelefone (Mobilterminals) 22 aufweisen, die mit einer
Vielzahl von Zellen 24 kommunizieren, welche durch Basisstationen 26 und
einer Mobilfunk-Vermittlungsstelle (MTSO) 28 versorgt bzw. abgedeckt
werden. Obwohl in 1 lediglich drei Zellen 24 gezeigt
sind, kann ein typisches zellulares Netzwerk einige hundert Zellen
aufweisen, kann mehr als eine MTSO aufweisen und kann einige Tausend
Funktelefone bedienen bzw. versorgen.
-
In
dem Kommunikationssystem 20 dienen die Zellen 24 im
allgemeinen als Knotenpunkte, von welchen mittels der die Zellen 24 bedienenden
Basisstationen 26 Verbindungen zwischen Funktelefonen 22 und
der MTSO 28 eingerichtet werden. In typischer Weise ist
jeder Zelle 24 ein oder mehrere bestimmte Steuerkanäle und ein
oder mehrere Verkehrskanäle
zugeordnet. Ein Steuerkanal ist ein ausgewiesener Kanal, der zur Übertragung
von Zellen-Identifikation und Paging- bzw. Funkruf-Information verwendet
wird. Die Verkehrskanäle
tragen die Sprach- und Dateninformationen. Durch das zellulare Netzwerk 20 kann
eine Duplex-Funkkommunikationsverbindung zwischen zwei Mobilterminals 22 oder
zwischen einem Mobilterminal 22 und einem Benutzer eines
Bodennetz-Telefons 32 durch ein öffentliches Telefonnetz (PSTN) 34 bewirkt
werden. Die Funktion bzw. Wirkungsweise einer Basisstation 26 liegt
darin, Funkkommunikation zwischen einer Zelle 24 und Mobilterminals 22 zu
verarbeiten. In dieser Kapazität
dient eine Basisstation 26 als Relais- bzw. Weitergabe-Station
für Daten-
und Sprach-Signale. Wie es in 2 dargestellt
ist, kann ein Satellit 42 verwendet werden, um ähnliche
Funktionen wie jene, die mittels einer herkömmlichen terrestrischen Basisstation
durchgeführt
werden, auszuführen,
beispielsweise um dünn
besiedelte Bereiche zu bedienen bzw. abzudecken, oder um Bereiche
zu bedienen bzw. abzudecken, welche eine raue Topografie aufweisen,
was dazu führt,
dass eine herkömmliche Bodennetz-Telefon-
Infrastruktur oder eine terrestrische zellulare Telefon- Infrastruktur
aus technischer oder ökonomischer
Sicht unpraktisch wird. In typischer Weise weist ein Satelliten-Funktelefonsystem 40 einen
oder mehrere Satelliten 42 auf, die zwischen einer oder
mehreren bodengestützten
Stationen 44 und Terminals 23 als Relaisstationen
oder Transponder dienen. Der Satellit überträgt Funktelefonkommunikationen über Duplex-Verbindungen 46 zu
Terminals 23 und zu einer bodengestützten Station 44.
Die bodengestützte
Station 44 kann wiederum mit einem öffentlichen Telefonnetz 34 verbunden sein,
was Kommunikationen zwischen Satelliten-Funktelefonen und Kommunikationen
zwischen Satelliten-Funktelefonen und herkömmlichen terrestrischen zellularen
Funktelefonen oder Bodennetz-Telefonen zulässt. Das Satelliten-Funktelefonsystem 40 kann
ein einzelnes Antennen-Strahlenbündel
verwenden, das den gesamten, durch das System bedienten bzw. versorgten
Bereich abdeckt, oder es kann der Satellit, wie dargestellt, derart
ausgelegt sein, dass er mehrere, sich minimal überlappende Strahlenbündel 48 erzeugt,
wobei in dem Dienstbereich des Systems jedes Strahlenbündel eindeutige geografische
Versorgungsbereiche 50 bedient bzw. versorgt. Die Versorgungsbereiche 50 erfüllen eine ähnliche
Funktion für
die Zellen 24 des terrestrischen zellularen Systems 20 von 1.
-
Üblicherweise
werden unterschiedliche Arten von Zugrifftechniken verwendet, um
Benutzern von drahtlosen Systemen, wie etwa von jenen in 1 und 2 gezeigten
Systemen, drahtlose Dienste bereitzustellen. Herkömmliche
analoge zellulare Systeme verwenden im allgemeinen ein als Vielfachzugriff
mit Frequenzteilung (FDMA) bezeichnetes System, um Kommunikationskanäle zu erzeugen,
in welchen diskrete Frequenzbänder
als Kanäle dienen, über welche
zellulare Terminals mit zellularen Basisstationen kommunizieren.
In typischer Weise werden diese Bänder in geografisch getrennt
vorliegenden Zellen mehrfach verwendet, um die Systemkapazität zu erhöhen. Üblicherweise
verwenden moderne digitale drahtlose Systeme unterschiedliche Mehrfachzugriff-Techniken,
wie etwa ein auf dem asynchronen oder synchronen Zeitmultiplex basierendes
Zugriffsverfahren (TDMA) und/oder ein auf dem Code-Multiplexverfahren
basierendes Mehrfachzugriffsverfahren (CDMA), um eine erhöhte spektrale
Effizienz bereitzustellen. In CDMA-Systemen, wie etwa diejenige,
die mit dem GSM- oder IS-134-Standard übereinstimmen, werden Träger in sequentielle
Zeitschlitze eingeteilt, die Mehrfachkanälen zugeordnet werden, so dass
auf einem einzelnen Träger
eine Vielzahl von Kanälen
gemultiplext werden kann. CDMA-Systeme, wie etwa diejenige, die
mit dem IS-95-Standard übereinstimmen,
erzielen eine erhöhte
Kanal-Kapazität,
indem "Spread Spectrum"- Techniken verwendet
werden, wobei ein Kanal durch Modulation eines Daten-modulierten Trägersignals
mittels eines eindeutigen Spreiz-Codes definiert wird, d.h. mittels
eines Codes, der einen originalen Daten-modulierten Träger über einen
breiten Abschnitt des Frequenzspektrums, in welchem das Kommunikationssystem
arbeitet, aufspreizt.
-
Kommunikationen
in drahtlosen Kommunikationssystemen, wie etwa in den in den 1 und 2 dargestellten
Systemen, verwenden in typischer Weise verschiedene Adressier-Betriebsarten für Nachrichten,
die durch Basisstationen über
einen Übertragungs-Steuerkanal
ausgesendet werden. Nachrichten können zu einer Übertragungs-Adresse des
Kommunikationssystems versendet werden, d.h. adressiert an sämtliche
durch das System bediente bzw. versorgte Mobilterminals (Empfängervorrichtungen
oder Empfänger),
oder sie können
an eine individuelle, einem speziellen Mobilterminal zugeordnete Adresse
versendet werden. Die Verwendung von Übertragungs-(Punkt-zu-Mehrpunkt)-Adressen
kann unnützigen
Netzwerk-Verkehr vermeiden, wenn eine bestimmte Nachricht für mehr als
einen Empfänger von
Interesse ist. Die von solchen Systemen unterstützten Empfänger sind in bevorzugter Weise
mit sowohl einer Übertragungs-Adresse
als auch einer individuellen Adresse konfiguriert, so dass sie auf
beide Arten von Nachrichten zugreifen können. Solche Systeme können ebenso
eine Verschlüsselung
verwenden, um einen besseren Datenschutz für Kommunikationsübertragungen
auf Steuerkanälen
bereitzustellen, die einer Überwachung
bzw. einem Abfangen durch Empfänger,
welche verschieden von dem beabsichtigten Empfänger sind, ausgesetzt sein
können.
-
Ein
Problem mit solchen aus dem Stand der Technik bekannten Systemen
liegt darin, dass sämtliche
Mobilterminals, welche die dazugehörige Übertragungs-Adresse aufweisen,
auf sämtliche
Nachrichten zugreifen können,
die mit der Übertragungs-Adresse übertragen
werden. Von daher ist es problematisch, in geeigneter Weise den
gleichen Kanal zu verwenden, um sowohl für den allgemeinen Empfang beabsichtigte
Nachrichten als auch für
den Empfang von lediglich einer Teilmenge der potentiellen Empfänger beabsichtigte
Nachrichten zu versenden. Dieses ist mit der Ausweitung der in solchen Kommunikationsnetzwerken
zur Verfügung
stehenden Dienste, einschließlich
der Einführung
von Premium-Diensten, wie etwa beispielsweise Aktienkurs-Dienste oder Wetternachrichten-Dienste,
problematisch. Dienstanbieter benötigen ein Verfahren, um die
Abrechnung für
solche Premium-Dienste zu kontrollieren und um den Zugriff auf solche
Premium-Dienste zu steuern bzw. zu kontrollieren.
-
Die
Verwendung von Gruppen-Adressen ist ein Ansatz, der zuvor hinsichtlich
des Problems der Steuerung des Zugriffes auf Premium-Dienste vorgeschlagen
wurde. Eine Gruppen-Adresse kann als Übertragungs-Adresse für eine Teilmenge
von Empfängern
beschrieben werden. In solch einem Netzwerk würde jeder Empfänger eine Übertragungs-Adresse,
eine individuelle Adresse und optional eine oder mehrere Gruppen-Adressen
aufweisen. Premium-Dienste können
dann unter Verwendung von Gruppen-Adressen, die mit dem Premium-Dienst in
Verbindung stehen, übertragen
werden. Ein Nachteil dieses Ansatzes zur Steuerung bzw. Kontrolle des
Zugriffes auf Premium-Dienste ist der Aufwand bzw. die Bürde des
Hinzufügens
und Entfernens von Empfängern
von einer Gruppe. Es räumt
ebenso den Aufwand bzw. die Bürde
eher hinsichtlich des Adressen-Verwaltungssystems
als des Kanals-Verwaltungssystems ein. Das Abändern von Empfänger-Adressen
in Netzwerken, wie etwa zellularen Telefonnetzwerken, kann aufgrund
von Bedenken hinsichtlich eines Schutzes vor Betrug auf einfache
Weise abschrecken. Darüber
hinaus kann die Verwendung des Gruppen-Adressen-Ansatzes dem Abhören unterworfen
sein, wodurch die Gruppen-Adressen von solchen Parteien abgefangen
werden können,
die es wünschen,
Premium-Dienste ohne Bezahlung zu erhalten, oder in den Datenschutz
und Sicherheit von anderen Benutzern einzudringen. Demgemäss ist es
erwünscht,
eine selektive Verteilung von Nachrichten auf einem Übertragungskanal
bereitzustellen, die sicher ist, nicht öffentlich ist, und in welcher
leicht das Einschließen
oder Ausschließen von
einer Gruppe verwaltet werden kann.
-
Li
Gong et al: "Multicast
Security and its Extension to a Mobile Environment", Wireless Networks,
US, ACM, Vol. 1, Nr. 3, 1. Oktober 1995 (1995-10-01), Seiten 281-295
XP000538241 ISSN: 1022-0038, offenbart zuverlässige Kommunikationsverfahren
für Gruppen-orientierte
Dienste. Es werden Techniken für
eine Gruppen-basierte Datenverschlüsselung, Techniken für eine Authentifizierung von
Teilnehmern und Techniken für
ein Verhindern von nichtauthentisierten Übertragungen und Empfängen diskutiert.
Es wird ein neues Protokoll erläutert, gemäß welchem
basierend auf der unverschlüsselten
Textnachricht eine Prüfsumme
berechnet wird.
-
Die
Druckschrift
EP 000
944 275 A offenbart ein Übertragungsinformations-Abgabesystem,
in welchem in einem drahtlosen Kommunikationssystem große Mengen
von Übertragungsinhalt-Information über einen Übertragungskanal
zu einer hohen Anzahl von Benutzern übertragen werden. Die Übertragungs-Inhaltsinformation
wird in einem Übertragungsrahmen übertragen,
der von einer Basisstation wiederholt übertragen wird. Die Übertragungszeit des
Rahmens wird an die Empfänger
in einem Steuerrahmen über
einen Steuerkanal übertragen.
Inhaltsinformation, für
welche Benutzer geladen sind, wird verschlüsselt. Es wird an jedes Benutzerterminal über einen
von dem Übertragungskanal
unterschiedlichen, bidirektionalen Kanal ein Entschlüsselungs-Schlüssel verteilt.
Information, für
welche die Benutzer nicht geladen sind, wird nicht verschlüsselt. Übertragene
Information, entweder verschlüsselt oder
unverschlüsselt,
wird einer Fehler-Korrektur-Verschlüsselung unterworfen.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Die
vorliegende Erfindung stellt Verfahren und Systeme zum selektiven
Verschlüsseln
und Entschlüsseln
von auf einem Übertragungskanal
eines Kommunikationsnetzes übertragenen
Nachrichten bereit. Es werden Gruppen-Verschlüsselungsschlüssel für einen
oder mehrere Dienste bereitgestellt, die den Übertragungskanal verwenden,
um Nachrichten zu übertragen.
Eine mit einem bestimmten Dienst in Zusammenhang stehende Nachricht
nimmt zunächst einen
von der unverschlüsselten
Nachricht erzeugten Fehler-Prüfwert
auf, wie etwa einen zyklischen Redundanz-Prüfwert (CRC-Wert). Die Nachricht
wird dann unter Verwendung des Gruppen-Verschlüsselungsschlüssels für den Dienst
verschlüsselt,
und der CRC-Wert wird zu der verschlüsselten Nachricht hinzugefügt und mit
einer Übertragungs-Adresse
des Kommunikationsnetzes übertragen.
Dann empfängt ein
Empfänger
die Nachricht und ermittelt, dass der CRC-Wert einen Fehler anzeigt
(wie er eher von der verschlüsselten
Nachricht als der unverschlüsselten Nachricht
erzeugt wird). Der Empfänger
entschlüsselt
dann die Nachricht, und zwar indem der Gruppen-Verschlüsselungsschlüssel für den Dienst
verwendet wird (unter der Annahme, dass der Empfänger autorisiert ist, den Dienst
zu empfangen, d.h. dass er einen Zugriff auf den Gruppen-Verschlüsselungsschlüssel hat),
und erzeugt von der entschlüsselten
Nachricht einen CRC-Wert. Wenn dieser CRC-Wert mit dem mit der Nachricht empfangenen CRC-Wert übereinstimmt,
erkennt der Empfänger, dass
die Nachricht im Zusammenhang mit dem entsprechenden Dienst entsteht,
und er verarbeitet die Nachricht entsprechend. Wenn mehrere Dienste
unterstützt
werden und der Empfänger
eine entsprechende Vielzahl von Gruppen-Verschlüsselungsschlüssel aufweist,
kann jeder Verschlüsselungsschlüssel geprüft werden,
bis ein CRC-Wert
ohne Fehler bereitgestellt wird, wodurch der Dienst angezeigt wird,
mit welchem die Nachricht in Zusammenhang steht.
-
In
einer Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zum selektiven Verschlüsseln von übertragenen
Nachrichten bereitgestellt. Ein Gruppen-Verschlüsselungsschlüssel wird für eine unverschlüsselte Nachricht
und ein Fehler-Prüfwert
für die
unverschlüsselte
Nachricht ermittelt. Die unverschlüsselte Nachricht wird unter
Verwendung des Gruppen-Verschlüsselungsschlüssels verschlüsselt. Die
verschlüsselte
Nachricht und der Fehler-Prüfwert werden
auf einem Übertragungskanal
eines Kommunikationsnetzes mit einer zugehörigen Ziel-Adresse übertragen.
In bevorzugter Weise ist die zugehörige Ziel-Adresse eine Übertragungs-Adresse des Kommunikationsnetzes,
und ein Gruppen-Verschlüsselungsschlüssel wird
selektiert, der in Zusammenhang mit einem Dienst steht, welcher
die Nachricht erzeugt. Der Fehler-Prüfwert kann Redundanz-Bits für die Nachricht
sein, wie etwa ein CRC-Wert, und zur Übertragung können die
unverschlüsselten
Redundanz-Bits an die verschlüsselte Nachricht
angefügt
werden.
-
Es
können
selektive Verschlüsselungsoperationen
für die
empfangenen unverschlüsselten
Nachrichten, die für
eine Übertragungs-Gruppe
beabsichtigt sind, welche einen zugehörigen Gruppen-Verschlüsselungsschlüssel aufweist,
und nicht für
andere Nachrichten bereitgestellt werden. Die empfangenen unverschlüsselten
Nachrichten, die in Verbindung mit zumindest einer allgemeinen Übertragungs-Adresse
oder einer individuellen Adresse stehen, können auf dem Übertragungskanal
des Kommunikationsnetzes mit der Übertragungs-Adresse des Kommunikationsnetzes übertragen
werden, wenn die unverschlüsselte
Nachricht in Zusammenhang mit einer allgemeinen Übertragungs-Nachricht steht,
und sie können
auf dem Kommunikationsnetz mit der individuellen Adresse übertragen
werden, wenn die unverschlüsselte
Nachricht in Zusammenhang mit einer individuellen Adresse steht.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung kann die unverschlüsselte Nachricht verschlüsselt werden,
und zwar indem ein allgemeiner Verschlüsselungsschlüssel verwendet wird,
wenn die unverschlüsselte
Nachricht in Zusammenhang mit zumindest der allgemeinen Übertragungs-Adresse oder einer
individuellen Adresse steht. Die verschlüsselte Nachricht und der auf
der verschlüsselten
Nachricht basierende Fehler-Prüfwert
können
dann auf dem Kommunikationsnetz mit der individuellen Adresse übertragen
werden, wenn die unverschlüsselte
Nachricht im Zusammenhang mit einer individuellen Adresse steht,
und sie können mit
der Übertragungs-Adresse
des Kommunikationsnetzes übertragen
werden, wenn die unverschlüsselte
Nachricht in Zusammenhang mit einer allgemeinen Übertragungs-Adresse steht.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung werden die verschlüsselte Nachricht und der hinzugefügte Fehler-Prüfwert auf dem Übertragungskanal
des Kommunikationsnetzes empfangen. Die Empfänger-Vorrichtung ermittelt,
ob die empfangene Nachricht an die Übertragungs-Adresse des Kommunikationsnetzes gerichtet ist.
Für die
empfangene Nachricht wird ein Fehler-Prüfwert erzeugt und getestet,
um zu ermitteln, ob der Fehler-Prüfwert einen Fehler anzeigt.
Die empfangene Nachricht wird unter Verwendung des Gruppen-Verschlüsselungsschlüssels entschlüsselt, wenn
die empfangene Nachricht an eine Übertragungs-Adresse des Kommunikationsnetzes
gerichtet ist und der Fehler-Prüfwert
einen Fehler anzeigt. Ein Fehler-Prüfwert wird
für die
entschlüsselte
Nachricht erzeugt. Die empfangene Nachricht wird einer Gruppe zugeordnet,
die in Zusammenhang mit dem Gruppen-Verschlüsselungsschlüssel steht,
falls der Fehler-Prüfwert
für die
entschlüsselte
Nachricht keinen Fehler anzeigt. Der Gruppen-Verschlüsselungsschlüssel kann
basierend auf dem einen Dienst von einer Vielzahl von Diensten als
Gruppen-Verschlüsselungsschlüssel für die unverschlüsselte Nachricht ermittelt
werden, der in Zusammenhang mit der Nachricht steht, und der einen
Schlüssel
von einer Vielzahl von Gruppen-Verschlüsselungsschlüssel selektiert,
der in Zusammenhang mit dem ermittelten einen Dienst von der Vielzahl
der Dienste steht, der mit der Nachricht in Zusammenhang stehen.
Entschlüsselungs-
und Fehler-Prüfoperationen
können
wiederholt werden, indem ausgewählte
Schlüssel
von der Vielzahl der Gruppen-Verschlüsselungsschlüssel so lange
als Gruppen-Verschlüsselungsschlüssel verwendet
werden, bis entweder der Fehler-Prüfwert für die entschlüsselte Nachricht
keinen Fehler anzeigt, oder bis jeder der selektierten Schlüssel der
Vielzahl der Gruppen-Verschlüsselungsschlüssel verwendet wurde.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung wird eine Anforderung hinsichtlich eines
der Vielzahl der Gruppen-Verschlüsselungsschlüssel von
einem Benutzer empfangen. Der Benutzer steht im Zusammenhang mit
einem Dienst, der zu dem angeforderten Schlüssel der Vielzahl der Gruppen-Verschlüsselungsschlüssel gehört, und
der angeforderte Schlüssel
der Vielzahl der Gruppen-Verschlüsselungsschlüssel wird
zu dem Benutzer auf dem Übertragungskanal
des Kommunikationsnetzes mit einer zugehörigen individuellen Adresse
des Benutzers übertragen.
Der Gruppen-Verschlüsselungsschlüssel kann
eine zugehörige
Laufzeit haben, und der Gruppen-Verschlüsselungsschlüssel kann
aktualisiert werden, wenn ein vorhergehender Gruppen-Verschlüsselungsschlüssel seine zugehörige Laufzeit überschritten
hat. Der Gruppen-Verschlüsselungsschlüssel kann
ebenso auf einer periodischen Basis aktualisiert werden, und der aktualisierte
Gruppen-Verschlüsselungsschlüssel kann
zu den Benutzern übertragen
werden, die in Zusammenhang mit dem Dienst stehen, der in Zusammenhang
mit dem Gruppen-Verschlüsselungsschlüssel steht,
und zwar indem die zugehörigen
individuellen Adressen der Benutzer, die in Zusammenhang mit dem
Dienst stehen, der in Zusammenhang mit dem Gruppen-Verschlüsselungsschlüssel steht,
verwendet werden.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung werden der übertragene Gruppen-Verschlüsselungsschlüssel und
die verschlüsselte
Nachricht und der hinzugefügte
Fehler-Prüfwert auf
dem Übertragungskanal
des Kommunikationsnetzwerkes empfangen, und die Empfangsvorrichtung
ermittelt, ob die empfangene Nachricht an die Übertragungs-Adresse des Kommunikationsnetzwerkes
gerichtet ist. Ein Fehler-Prüfwert
wird für
die empfangene Nachricht erzeugt, um zu ermitteln, ob der Fehler-Prüfwert einen
Fehler anzeigt. Die empfangene Nachricht wird unter Verwendung des
Gruppen-Verschlüsselungsschlüssels entschlüsselt, wenn
die empfangene Nachricht an eine Übertragungs-Adresse des Kommunikationsnetzwerkes
gerichtet ist und der Fehler-Prüfwert
einen Fehler anzeigt. Ein Fehler-Prüfwert wird
für die
entschlüsselte Nachricht
erzeugt, und die empfangene Nachricht wird einer Gruppe zugeordnet,
die im Zusammenhang mit dem Gruppen-Verschlüsselungsschlüssel steht,
und zwar dann, wenn der Fehler-Prüfwert für die entschlüsselte Nachricht
keinen Fehler anzeigt.
-
In
einer anderen Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zum selektiven Entschlüsseln der übertragenen
Nachrichten bereitgestellt, welches das Empfangen einer Nachricht
auf einem Übertragungskanal
eines Kommunikationsnetzwerkes und das Ermitteln, ob die empfangene Nachricht
an eine Übertragungs-Adresse
des Kommunikationsnetzwerkes gerichtet ist, aufweist. Ein Fehler-Prüfwert wird
für die
empfangene Nachricht erzeugt, um zu ermitteln, ob der Fehler-Prüfwert einen
Fehler anzeigt. Die empfangene Nachricht wird unter Verwendung eines
Gruppen-Verschlüsselungsschlüssels entschlüsselt, wenn
die empfangene Nachricht an eine Übertragungs-Adresse des Kommunikationsnetzwerkes
gerichtet ist und der Fehler-Prüfwert für die empfangene
Nachricht einen Fehler anzeigt. Ein Fehler-Prüfwert wird für die entschlüsselte Nachricht
erzeugt, und die empfangene Nachricht wird einer Gruppe zugeordnet,
die in Zusammenhang mit dem Gruppen-Verschlüsselungsschlüssel steht,
und zwar dann, wenn der Fehler-Prüfwert für die entschlüsselte Nachricht
keinen Fehler anzeigt. Die Entschlüsselungs- und Fehler-Prüfoperationen
können
für jeden
einer Vielzahl von Gruppen-Verschlüsselungsschlüssel-Anwärter wiederholt
werden, bis entweder der Fehler-Prüfwert für die entschlüsselte Nachricht
keinen Fehler anzeigt, oder bis jeder der Vielzahl der Gruppen-Verschlüsselungsschlüssel als
Gruppen- Verschlüsselungsschlüssel verwendet
wurde. Der Fehler-Prüfwert für die entschlüsselte Nachricht
kann als Redundanz-Bits
für die
entschlüsselte
Nachricht berechnet werden, oder berechnet werden, indem ein Fehler-Korrektur-Code
an die entschlüsselte
Nachricht angewandt und ermittelt wird, dass für die entschlüsselte Nachricht
ein Fehler angezeigt wird, und zwar dann, wenn Fehler in der entschlüsselten
Nachricht verbleiben, nachdem der Fehler-Korrektur-Code an der entschlüsselten
Nachricht angewandt wurde.
-
In
einem weiteren Aspekt der vorliegenden Erfindung wird ein selektives
Verschlüsselungssystem
bereitgestellt, welches eine Verschlüsselungs-Schaltung, die eine
Nachricht unter Verwendung eines Gruppen-Verschlüsselungsschlüssels verschlüsselt, und
eine Fehler-Prüfwert-Erzeugungs-Schaltung
aufweist, die einen Fehler-Prüfwert basierend
auf der unverschlüsselten
Nachricht erzeugt und den Fehler-Prüfwert zu der verschlüsselten
Nachricht hinzufügt.
Ein Sender überträgt die verschlüsselte Nachricht
mit dem hinzugefügten
Fehler-Prüfwert
auf einem Übertragungskanal
eines Kommunikationsnetzwerkes, und eine Verschlüsselungsschlüssel-Selektier-Schaltung
selektiert basierend auf einem in Zusammenhang mit der Nachricht stehenden
Dienst von einer Vielzahl von Gruppen-Verschlüsselungsschlüssel-Anwärtern einen Schlüssel als
den Gruppen-Verschlüsselungsschlüssel. In
einer Ausführungsform
ist ein Empfänger
vorgesehen, der den Gruppen-Verschlüsselungsschlüssel anfordert,
und der Sender ist derart konfiguriert, um den Gruppen-Verschlüsselungsschlüssel mit
einer individuellen Adresse einer anfordernden bzw. anfragenden
Vorrichtung zu übertragen,
wobei der Sender auf den Empfang einer Anforderung hinsichtlich
des Gruppen-Verschlüsselungsschlüssels eingeht.
-
In
einem anderen Aspekt der vorliegenden Erfindung wird ein selektives
Entschlüsselungssystem
bereitgestellt, welches einen Empfänger, der eine Nachricht auf
einem Übertragungskanal
eines Kommunikationsnetzwerkes empfängt, und eine Entschlüsselungs-Schaltung
aufweist, die die Nachricht unter Verwendung eines Gruppen-Verschlüsselungsschlüssels entschlüsselt. Eine
Fehler-Prüfwert-Erzeugungsschaltung
erzeugt einen Fehler-Prüfwert für die empfangene
Nachricht und die entschlüsselte Nachricht.
Eine auf die Fehler-Prüfwert-Erzeugungsschaltung
ansprechende Vergleicher-Schaltung ermittelt, ob ein Fehler für die empfangene
Nachricht und die entschlüsselte
Nachricht angezeigt wird, und eine auf die Vergleicher-Schaltung
ansprechende Selektier-Schaltung selektiert entweder die empfangene
Nachricht oder die entschlüsselte
Nachricht als eine zu verarbeitende Nachricht.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
eine schematische Darstellung, die ein herkömmliches, terrestrisches zellulares
Kommunikationssystem zeigt.
-
2 ist
eine schematische Darstellung, die ein herkömmliches Satelliten-basierendes,
drahtloses Kommunikationssystem zeigt.
-
3 ist
eine schematische Darstellung, die eine Basisstation gemäß einem
Aspekt der vorliegenden Erfindung zeigt.
-
4 ist
eine schematische Darstellung, die ein Mobilterminal gemäß einem
Aspekt der vorliegenden Erfindung zeigt.
-
5 ist
ein Ablaufdiagramm, welches exemplarische Betriebsarten zur Kommunikation
einer Nachricht gemäß einer
Ausführungsform
der vorliegenden Erfindung zeigt.
-
6 ist
ein Ablaufdiagramm, welches exemplarische Betriebsarten zur Kommunikation
einer Nachricht gemäß einer
anderen Ausführungsform der
vorliegenden Erfindung zeigt.
-
7 ist
ein Ablaufdiagramm, welches exemplarische Betriebsweisen zum Empfangen
einer Nachricht gemäß einer
anderen Ausführungsform der
vorliegenden Erfindung zeigt.
-
8 ist
ein Ablaufdiagramm, welches die Verwaltung von Gruppen-Adressen
gemäß einem anderen
Aspekt der vorliegenden Erfindung zeigt.
-
DETAILLIERTE
BESCHREIBUNG
-
Nun
wird die vorliegende Erfindung nachfolgend unter Bezugnahme auf
die beigefügten
Zeichnungen vollständiger
beschrieben, in welchen bevorzugte Ausführungsformen der Erfindung
gezeigt sind. Jedoch kann diese Erfindung auf viele verschiedene
Arten umgesetzt werden und sollte nicht als auf die hierin ausgeführten Ausführungsformen
beschränkt
betrachtet werden; vielmehr sind diese Ausführungsformen vorgesehen, damit
diese Offenbarung gründlich
und vollständig
ist, und damit die Offenbarung den Kerngedanken der Erfindung einem Fachmann
vermittelt. In den Zeichnungen gehören gleiche Bezugsziffern zu
gleichen Komponenten.
-
Die
vorliegende Erfindung wird nun weiter unter Bezugnahme auf das schematische
Blockdiagramm der 3 beschrieben.
-
3 zeigt
eine Ausführungsform
einer Basisstation oder eines anderen selektiven Verschlüsselungssystems 200 gemäß der vorliegenden
Erfindung. Die Basisstation 200 enthält eine Sende-/Empfangseinheit 205,
die wirksam ist, um RF-Kommunikationssignale über eine
Antenne 210 unter der Steuerung einer Steuerung 215 zu übertragen
und zu empfangen. Die Steuerung empfängt Nachrichten von einer externen
Quelle, wie etwa einer Mobilfunkvermittlungsstelle (MSC), und verarbeitet
die Nachrichten, um Signalfolgen einer physikalischen Schicht zu
erzeugen, die mittels der Sende-/Empfangseinheit 205 durch
die Antenne 210 über
physikalische Kanäle übertragen
werden. Die Basisstation 200 weist ferner eine Verschlüsselungs-Schaltung 220,
die eine Nachricht unter Verwendung eines Gruppen-Verschlüsselungsschlüssels verschlüsselt, und
eine Fehler-Prüfwert-Erzeugungsschaltung 230 auf,
die einen Fehler-Prüfwert basierend
auf der unverschlüsselten
Nachricht erzeugt und den Fehler-Prüfwert zu der verschlüsselten
Nachricht hinzufügt.
Eine Verschlüsselungsschlüssel-Selektierschaltung 240 selektiert
aus einer Vielzahl von Gruppen-Verschlüsselungsschlüssel-Anwärtern einen
Schlüssel
als den Gruppen-Verschlüsselungsschlüssel, und
zwar basierend auf einem in Zusammenhang mit der zu übertragenden
Nachricht stehenden Dienst. Eine Adressier-Schaltung 250 ermittelt,
ob die Nachricht an eine individuelle Adresse gerichtet ist, für allgemeine Übertragung
vorgesehen ist, oder ob sie für
eine Übertragung
zu einer begrenzten Gruppe von in Zusammenhang mit einem Dienst
stehenden Empfänger-Vorrichtungen,
die einen entsprechenden Gruppen-Verschlüsselungsschlüssel aufweisen,
vorgesehen ist. Die Sende-/Empfangseinheit 205 überträgt die verschlüsselte Nachricht
mit dem hinzugefügten Fehler-Prüfwert auf
einem Übertragungskanal
des Kommunikationsnetzwerkes. Die Sende-/Empfangseinheit 205 kann
ferner von Empfänger-Vorrichtungen
Anforderungen hinsichtlich des Gruppen-Verschlüsselungsschlüssels empfangen
und den Gruppen-Verschlüsselungsschlüssel mit
einer individuellen Adresse einer anfordernden Empfangs-Vorrichtung übertragen.
Die Verschlüsselungs-Schaltung 220,
die Fehler-Prüfwert-Erzeugungsschaltung 230, die
Verschlüsselungsschlüssel-Selektierschaltung 240 und
die Adressier-Schaltung 250 können als Code implementiert
sein, der in der Steuerung 215 abläuft.
-
Es
wird nun auf die 4 Bezug genommen, wo nun eine
Ausführungsform
eines Mobilterminals (Empfänger-Vorrichtung) 300 oder
eines anderen selektiven Entschlüsselungssystems
gemäß einer
Ausführungsform
der vorliegenden Erfindung weiter beschrieben wird. Das Mobilterminal 300 weist
eine Sende-/Empfangseinheit 305 auf, die wirksam ist, um RF-Kommunikationssignale über eine
Antenne 310 unter der Steuerung einer Steuerung 315 zu übertragen
und zu empfangen. Die Steuerung 315, wie etwa ein Mikroprozessor,
eine Mikrosteuerung oder eine ähnliche
Verarbeitungsvorrichtung, kann in einem Speicher 380 des
Mobilterminals 300 gespeicherte Programm-Anweisungen ausführen, wie
etwa in einem dynamischen Direktzugriffsspeicher (DRAM), in einem
elektrisch löschbaren,
programmierbaren Festwertspeicher (EEPROM) oder in einer anderen Speichervorrichtung
gespeicherte Programm-Anweisungen. Die Steuerung 315 ist
mit Benutzer-Schnittstellen-Komponenten des Mobilterminals 300,
wie etwa einem Display 360, einer Tastatur 365,
einem Lautsprecher 370 und einem Mikrofon 375,
operativ verbunden, wobei die Betriebsweisen von diesen Komponenten
dem Fachmann bekannt sind und hier nicht weiter erläutert werden.
-
Das
Mobilterminal 300 weist eine Entschlüsselungs-Schaltung 320 auf,
die eine empfangene Nachricht unter Verwendung eines Gruppen-Verschlüsselungsschlüssels entschlüsselt. Die
Nachricht kann mittels der Sende-/Empfangseinheit 305 auf
einem Übertragungskanal
eines Kommunikationsnetzwerkes empfangen werden. Das Mobilterminal 300 weist
ferner eine Fehler-Prüfwert-Erzeugungsschaltung 330 auf,
die einen Fehler-Prüfwert für die empfangene
Nachricht und für
die entschlüsselte
Version der mittels der Entschlüsselungs-Schaltung 320 erzeugten
Nachricht erzeugt. Eine Vergleicher-Schaltung 335 ermittelt, ob
ein Fehler für
die empfangene Nachricht oder für
die entschlüsselte Nachricht
angezeigt wird, und zwar indem die Ausgabe der Fehler-Prüfwert-Erzeugungsschaltung
mit den von der empfangenen Nachricht empfangenen Fehler-Prüfwert-Bits
verglichen wird. Eine Selektier-Schaltung 340 selektiert
entweder die empfangene Nachricht oder die entschlüsselte Nachricht
als eine zu verarbeitende Nachricht, die der Vergleicher-Schaltung 335 nachkommt.
Hierin werden Selektier-Operationen unter Bezugnahme auf die Ablaufdiagramme
weiter beschrieben. Die Sende-/Empfangseinheit 305 kann
ferner konfiguriert sein, um eine Anforderung hinsichtlich des Gruppen-Verschlüsselungsschlüssels zu übertragen
und um den Gruppen-Verschlüsselungsschlüssel von
einer selektiven Verschlüsselungs-Vorrichtung,
wie etwa der unter Bezugnahme auf die 3 beschriebenen
Basisstation 200, zu empfangen.
-
Es
ist ersichtlich, dass die verschiedenen, mittels der Blöcke der 3 und 4 dargestellten Komponenten,
während
sie als separate Schaltkreise dargestellt sind, unter Verwendung
einer Auswahl von Hardware und Software implementiert werden können. Beispielsweise
können
Teile der Sende-/Empfangseinheiten 205, 305 unter
Verwendung von Spezial-Hardware, wie etwa unter Verwendung eines
für spezielle
Anwenderanforderungen entwickelten Chips (ASIC), und unter Verwendung
programmierbarer logischer Vorrichtungen, wie etwa Gate-Arrays und/oder
Software oder Firmware, die auf einer Rechnervorrichtung, wie etwa
auf einem Mikroprozessor, einer Mikrosteuerung oder auf einem digitalen
Signalprozessor (DSP) läuft,
implementiert werden.
-
Obwohl
Funktionen der Sende-/Empfangseinheiten 205, 305 in
einer einzelnen Vorrichtung integriert werden können, wie etwa in einer einzelnen ASIC,
ist es ebenso ersichtlich, dass sie auch auf mehrere Vorrichtungen
verteilt werden können. Funktionen
der verschiedenen Komponenten, wie etwa der Adressier-Schaltungen 250, 350,
der Verschlüsselungs-Schaltung 220,
der Entschlüsselungs-Schaltung 320,
der Fehler-Prüfwert-Erzeugungsschaltungen 230, 330,
der Vergleicher-Schaltung 335 und der Verschlüsselungsschlüssel-Selektierschaltung 240 können, wie
es in den 3 und 4 dargestellt
ist, als Code implementiert sein, der auf einer Steuerung 215, 315 ausgeführt wird,
oder sie können
ebenso in einer oder mehreren Vorrichtungen kombiniert werden, wie
etwa in einer ASIC oder in einem DSP.
-
Während die
Basisstation 200 allgemein oben unter Verweis auf die Verschlüsselung
und Übertragung
von Nachrichten beschrieben wurde, und während das Mobilterminal 300 allgemein
unter Verweis auf die Entschlüsselung
und den Empfang von Nachrichten beschrieben wurde, und zwar entsprechend
für Punkt-zu-Mehrpunkt- Übertragungen, sei
es so zu verstehen, dass die vorliegende Erfindung nicht derart
beschränkt
ist. Die Basisstation 200 kann wirksam sein, um Nachrichten
zu empfangen und zu entschlüsseln,
und das Mobilterminal 300 kann ebenso wirksam sein, um
Nachrichten zu verschlüsseln
und zu übertragen,
beispielsweise in Verbindung mit Diensten, die eine Zwei-Wege-Übertragung
verwenden. Es sei ferner zu verstehen, dass von einem Mobilterminal 300 die
Verwendung eines Gruppen-Verschlüsselungsschlüssels nicht
für die Punkt-zu-Punkt- Übertragungen
(eher Punkt-zu-Mehrpunkt-Übertragungen)
zu der Basisstation 200 benutzt werden braucht, da die
Basisstation 200 einen Zugriff auf einen Dienst, der die
individuelle Adresse eines Mobilterminals 300 benutzt, steuern
kann.
-
Die
vorliegende Erfindung wird nun weiter unter Bezugnahme auf die 5 bis 8 beschrieben.
Die 5 bis 8 sind Ablaufdiagramme gemäß Aspekten
der vorliegenden Erfindung, die exemplarische Betriebsarten für eine selektive
Verschlüsselung
und Entschlüsselung
von Nachrichten zeigen, die für
eine Gruppe beabsichtigt sind. Es sei so zu verstehen, dass Blöcke der
Ablaufdiagramme der 5 bis 8 und Kombinationen
der Blöcke
in den Ablaufdiagrammen implementiert werden können, und zwar indem elektronische
Schaltkreise verwendet werden, die in Basisstationen und drahtlosen Terminals,
wie etwa in der Basisstation 200 der 3 und
in dem Mobilterminal 300 der 4, implementiert
werden können.
Es wird ebenso eingesehen werden, dass Blöcke der Ablaufdiagramme der 5 bis 8 und
Kombinationen der Blöcke
in den Ablaufdiagrammen implementiert werden können, und zwar indem Komponenten
verwendet werden, die verschieden von den in den 3 und 4 dargestellten
Komponenten sind, und es wird eingesehen werden, dass im allgemeinen
die Blöcke
der Ablaufdiagramme der 5 bis 8 und die
Kombinationen der Blöcke
in den Ablaufdiagrammen in Spezial-Hardware implementiert sein können, wie etwa
in diskreten analogen und/oder digitalen Schaltungen, etwa Kombinationen
von integrierten Schaltungen oder einer oder mehrerer für spezielle
Anwenderanforderungen entwickelter Chips (ASIC), sowie mittels Computerprogramm-Anweisungen
implementiert werden können,
die in einem Computer oder in ein anderes programmierbares Daten-Verarbeitungsgerät geladen
werden können,
um eine Maschine zu erzeugen, so dass die Anweisungen, die auf dem Computer
oder dem anderen programmierbaren Daten-Verarbeitungsgerät ablaufen,
eine Einrichtung zum Implementieren der Funktionen erzeugen, die
in dem Ablaufblock oder den Ablaufblöcken spezifiziert sind. Die
Computerprogramm-Anweisungen können ebenso
in einen Computer oder in eine andere programmierbare Daten-Verarbeitungsvorrichtung
geladen werden, um zu bewirken, dass auf dem Computer oder der anderen
programmierbaren Vorrichtung eine Folge von operativen Verfahrensschritten
ausgeführt
wird, um einen Computer-implementierten Prozess zu erzeugen, so
dass die Anweisungen, die auf dem Computer oder auf der anderen
programmierbaren Vorrichtung ausgeführt werden, Verfahrensschritte
zum Implementieren der Funktionen ausführen, die in dem Block oder
den Blöcken
des Ablaufdiagramms spezifiziert sind.
-
Demgemäss tragen
bzw. unterstützen
die Blöcke
der Ablaufdiagramme der 5 bis 8 elektronische
Schaltkreise und andere Einrichtungen zum Durchführen der spezifizierten Funktionen,
sowie Kombinationen der Verfahrensschritte zum Durchführen der
spezifizierten Funktionen. Es wird verstanden werden, dass die Schaltkreise
und die anderen Einrichtungen, die durch jeden Block der Ablaufdiagramme
der 5 bis 8 getragen bzw. unterstützt werden,
und Kombinationen der Blöcke hierin
durch Spezial-Hardware,
durch Software oder Firmware implementiert werden können, die
auf einem speziellen oder Spezial-Datenprozessor oder Kombinationen
hiervon ablaufen.
-
Nun
wird auf die 5 Bezug genommen, wo der Ablauf
beim Block 500 beginnt, wenn die Basisstation 200 eine
Nachricht zur Übertragung
empfängt.
Die Nachricht kann im Zusammenhang mit einem bestimmten Dienst stehen,
wie etwa mit einem Premium-Dienst, der die Übertragung der Nachricht initiiert.
Die Nachricht kann ebenso eine an eine spezielle, individuelle Empfängerstation
gerichtet oder zur allgemeinen Verteilung an eine Übertragungs-Adresse
eines Kommunikationsnetzwerkes beabsichtigt sein. Die Basisstation 200 ermittelt,
ob die empfangene Nachricht für
eine individuelle, spezifizierte Empfänger-Nachricht beabsichtigt
ist (Block 505), und falls dies so ist, selektiert sie
die erwünschte
individuelle Adresse zur Einbeziehung in die Nachricht zur Übertragung
(Block 510).
-
Wenn
die Nachricht nicht zur Übertragung
an eine mit einer individuellen Adresse spezifizierte Vorrichtung
beabsichtigt ist, ermittelt die Basisstation 200, ob die
Nachricht für
eine allgemeine Übertragung
beabsichtigt ist (Block 515), und wenn dies so ist, selektiert
sie die Übertragungs-Adresse
des Kommunikations-Netzwerkes zur Übertragung mit der Nachricht
(Block 540). Wenn die empfangene Nachricht weder für einen
mit einer individuellen Adresse gekennzeichneten Empfänger noch
für eine
allgemeine Übertragung
beabsichtigt ist, wird sie zur Übertragung
als eine Gruppen-adressierte Nachricht verarbeitet, wie es nun beschrieben
wird. Ein Gruppen-Verschlüsselungsschlüssel für die empfangene Nachricht
wird ermittelt, und zwar in bevorzugter Weise indem der zu der Nachricht
zugehörige
Dienst ermittelt und von einer Vielzahl von Gruppen-Verschlüsselungsschlüssel-Anwärtern ein
Schlüssel
als den Gruppen-Verschlüsselungsschlüssel selektiert wird,
der mit dem ermittelten Dienst in Zusammenhang steht (Block 520).
Es sei so zu verstehen, dass, wie es hierin verwendet wird, von
dem Block 500 Verweisungen auf die empfangene Nachricht
als eine unverschlüsselte
Nachricht nur einer durch die Basisstations-Vorrichtung 200 bereitgestellten
Verschlüsselung
zugeführt
werden. Es ist ferner zu verstehen, dass der Basisstation 200 die
Nachricht tatsächlich
in einer verschlüsselten
Form bereitgestellt werden kann, wo die Verschlüsselung durch den Dienstanbieter
des zugehörigen
Dienstes bereitgestellt wird, und wobei Empfangs-Vorrichtungen, die hinsichtlich des
zugehörigen
Dienstes abonniert bzw. vorbestellt sind, als Einrichtungen zum
Entschlüsseln
dieser durch den Dienstanbieter vorgesehenen Verschlüsselung
durch Einrichtungen vorgesehen sind, die nicht zu dem Umfang der
vorliegenden Erfindung gehören.
Demgemäss
werden solche Nachrichten, die einen Verschlüsselungsschutz bei einer Dienstanbieter-Ebene
empfangen, was nicht zu der vorliegenden Erfindung gehört, als
unverschlüsselte
Nachricht betrachtet, und zwar so wie dieser Begriff hierin verwendet
wird.
-
Für die empfangene
Nachricht (unverschlüsselte
Nachricht) wird ein Fehler-Prüfwert
erzeugt (Block 525). In einer Ausführungsform werden beim Block 525 für die unverschlüsselte,
empfangene Nachricht Redundanz-Bits, wie etwa eine zyklische Redundanz-Prüfung (CRC),
berechnet. Jedoch sei es zu verstehen, dass andere Arten von Fehler-Erfassungs-Codes
und weitere Fehler-Korrektur-Codes verwendet werden können, um
den Fehler-Prüfwert gemäß der verschiedenen
Ausführungsformen
der vorliegenden Erfindung zu erzeugen.
-
Die
unverschlüsselte,
empfangene Nachricht wird dann unter Verwendung des selektierten
Gruppen-Verschlüsselungsschlüssels verschlüsselt (Block 530).
In bevorzugter Weise wird die Nachricht, die nicht die berechneten
Fehler-Prüfwert-Symbole (oder
Bits) und die Übertragungs-Adresse
aufweist, gemäß dem Gruppen-Verschlüsselungsschlüssel verschlüsselt. Dann
wird der Fehler-Prüfwert
hinzugefügt,
indem er beispielsweise vor der Übertragung an
die verschlüsselte
Nachricht angefügt
wird (Block 535). Die Übertragungs-Adresse
des Kommunikations-Netzwerkes
wird dann zu der zugehörigen Ziel-Adresse
hinzugefügt
(Block 540), und die verschlüsselte Nachricht und der hinzugefügte Fehler-Prüfwert werden
auf einem Übertragungskanal des
Kommunikations-Netzwerkes mit der zugehörigen Ziel-Adresse, in bevorzugter
Weise eine Übertragungs-Adresse
eines Kommunikations-Netzwerkes, übertragen (Block 545).
-
Es
sei ferner zu verstehen, dass eine Übertragungs-Adresse des Kommunikationsnetzwerkes eine
ausgewählte
Adresse einer Anzahl von Übertragungs-Adressen
sein kann, die durch ein bestimmtes Kommunikationsnetzwerk verwendet
werden, wie es hierin verwendet wird. Im allgemeinen bedeutet hierin
eine Übertragungs-Adresse
eine Adresse, die in Zusammenhang mit einer Punkt-zu-Mehrpunkt- Übertragung
steht, wo bestimmte Dienste an eine Teilmenge der innerhalb der Übertragungs-Adressen-Gruppe enthaltenden
Vorrichtungen übertragen werden
sollen. Auf ähnliche
Weise bezieht sich der Ausdruck "Übertragungskanal", wie er hierin verwendet
wird, auf einen Punkt-zu-Mehrpunkt- Kommunikationskanal, und es
ist nicht beabsichtigt, dass er auf irgendeinen speziellen derartigen
Kanal beschränkt
ist, der unter Verwendung des Begriffes "Übertragungskanal" in dem Zusammenhang
eines bestimmten Kommunikationsprotokolls definiert wird, wie etwa
eines solchen Protokolls, das obig für zellulare Funktelefone identifiziert
wurde. Solche Protokolle können
eine Vielzahl von Punkt-zu-Mehrpunkt- Kanäle aufweisen, wobei einer oder
mehrere hiervon als Übertragungs-Steuer-Kanal
bezeichnet werden können,
und andere hiervon mit verschiedenen Namen bezeichnet werden können, jedoch
sind sämtliche
Kanäle
nach wie vor Übertragungskanäle, so wie dieser
Ausdruck hierin verwendet wird. Darüber hinaus ist der Begriff
nicht auf Kanäle
vom Luft-Übertragungstyp
beschränkt,
wo die Mehrpunkt-Empfänger jeweils
das Signal im wesentlichen zum gleichen Zeitpunkt empfangen, stattdessen
umgreift er ebenso andere Arten von Netzwerkkanäle, wie etwa eine Kommunikationsverbindung
bei einem ringförmigen Computernetzwerk,
in welchem der Übertragungskanal
mittels Paketweiterleitung implementiert werden kann, wo ein erster
Empfänger
der Mehrpunkt-Empfänger
eine Übertragungs-Adresse
empfängt,
das Paket ausliest und das Paket an einen nächsten Mehrpunkt-Empfänger in
dem Computernetzwerk weiterleitet.
-
Nun
wird auf 6 Bezug genommen, wo nun eine
weitere Ausführungsform
der Betriebsweisen für
ein selektives Verschlüsselungssystem
gemäß der vorliegenden
Erfindung beschrieben wird. Der Ablauf beginnt bei Block 600 mit
dem Empfang einer Nachricht zur Übertragung
bei der Basisstation 200. Die Basisstation 200 ermittelt,
ob die unverschlüsselte,
empfangene Nachricht in Zusammenhang mit einer allgemeinen Übertragung,
einer individuellen Adresse oder mit einer Übertragung an eine Gruppe von
Empfängern
steht, die eine Teilmenge der Übertragungs-Adresse
definieren (Block 605). Wenn die unverschlüsselte,
empfangene Nachricht in Zusammenhang mit entweder einer allgemeinen Übertragung
oder einer individuellen Adresse steht, geht der Ablauf zum Block 610 mit
der Verschlüsselung
der unverschlüsselten,
empfangenen Nachricht unter Verwendung eines allgemeinen Verschlüsselungs-Schlüssels weiter.
Ein Fehler-Prüfwert
wird basierend auf der verschlüsselten
Nachricht erzeugt (Block 615). Der auf der verschlüsselten
Nachricht basierende Fehler-Prüfwert
wird dann zu der verschlüsselten
Nachricht hinzugefügt,
in bevorzugter Weise indem er an die verschlüsselte Nachricht angefügt wird
(Block 620). Wenn die Nachricht für eine allgemeine Übertragung
beabsichtigt ist (Block 625), wird die Übertragungs-Adresse für das Kommunikations-Netzwerk
mit der Nachricht zur Übertragung verwendet
(Block 655). Wenn eine individuelle Adresse im Zusammenhang
mit einer Nachricht steht, wird die individuelle Adresse für die Übertragung
mit der Nachricht selektiert (Block 630). Die Nachricht
wird dann mit der zugehörigen
Adresse übertragen
(Block 660). Die verschlüsselte Nachricht wird zusammen
mit dem angefügten,
basierend auf der verschlüsselten
Nachricht erzeugten Fehler-Prüfwert übertragen.
-
Für eine Nachricht,
die für
eine selektierte Übertragungs-Gruppe beabsichtigt
ist, laufen die Operationen bei den Blöcken 635 bis 655 wie
obig unter Bezugnahme auf die Blöcke 520 bis 540 von 5 beschrieben
ab. Demgemäss
werden die Operationen für
diese Blöcke
hierin nicht weiter erläutert.
-
Operationen
gemäß einer
Ausführungsform der
vorliegenden Erfindung werden weiter unter Bezugnahme auf die 7 von
der Perspektive einer Empfänger-Vorrichtung,
die eine selektive Entschlüsselung
bereitstellt, erläutert.
Die Operation beginnt bei Block 700, wenn ein Mobilterminal
(Empfänger-Vorrichtung) 300 von
einer Basisstation 200 eine Nachricht über das Kommunikations-Netzwerk
empfängt.
Die Adressierungs-Schaltung 350 ermittelt dann, ob die
empfangene Nachricht die individuelle Adresse des Mobilterminals 300 enthält (Block 705). Wenn
dies so ist, wird ein Fehler-Prüfwert mittels
der Fehler-Prüfwert-Erzeugungs-Schaltung 330 erzeugt (Block 710),
und mit dem in der empfangenen Nachricht enthaltenen Fehler-Prüfwert mittels
der Vergleicher-Schaltung 335 verglichen (Block 715).
Wenn der Test hinsichtlich des Fehler-Prüfwertes fehlschlägt (Block 715),
wird angenommen, dass die empfangene Nachricht einen Übertragungsfehler enthält, und
sie wird verworfen (Block 720). Wenn der Test hinsichtlich
des Fehler-Prüfwertes
durchgeht (Block 715), wird die empfangene Nachricht unter Verwendung
eines allgemeinen Verschlüsselungsschlüssels entschlüsselt (Block 720).
Es sei darauf hingewiesen, dass bei der in 7 dargestellten Ausführungsform
empfangene Nachrichten entweder unter Verwendung eines allgemeinen
Schlüssels oder
unter Verwendung eines Gruppen-Schlüssels, wie er beispielsweise
zuvor unter Bezugnahme auf 6 erläutert wurde,
verschlüsselt
werden. Die Nachricht wird dann mittels des Empfangs-Mobilterminals 300,
soweit für
die Art der empfangenen Nachricht angemessen, weiterverarbeitet
(Block 730).
-
Wenn
die auf dem Übertragungskanal
des Kommunikations-Netzwerkes
beim Block 700 empfangene Nachricht nicht eine individuelle
Adresse trägt
(Block 705), ermittelt das Mobilterminal 300,
ob sie eine Übertragungs-Adresse
trägt (Block 735). Wenn
die Nachricht weder an die individuelle Adresse des Mobilterminals 300 noch
an eine Übertragungs-Adresse gerichtet
ist, wird sie verworfen (Block 720). Wenn die Nachricht
im Zusammenhang mit einer Übertragungs-Adresse
steht, geht der Ablauf zum Block 740 mit dem Erzeugen eines
Fehler-Prüfwertes,
wie etwa eines CRC-Wertes, für
die empfangene Nachricht weiter. Wenn der erzeugte Fehler-Prüfwert keinen
Fehler anzeigt (Block 745), wird die Nachricht unter Verwendung
des allgemeinen Verschlüsselungsschlüssels entschlüsselt (Block 720).
-
Es
sei darauf hingewiesen, dass für
Nachrichten, die mit einem Gruppen-Verschlüsselungsschlüssel verschlüsselt sind,
die zyklische Redundanzprüfung
(CRC) basierend auf einer unverschlüsselten Nachricht erzeugt wird,
wie es unter Bezugnahme auf die 5 und 6 zuvor
beschrieben wurde. Im Gegensatz hierzu, wie es unter Bezugnahme
auf 6 beschrieben wurde, wurde für allgemeine Übertragungs-Nachrichten die zyklische
Redundanzprüfung
(CRC) basierend auf der verschlüsselten
Nachricht erzeugt. Demgemäss
wird erwartet, dass die Nachricht eher zu einer allgemeinen Übertragungs-Nachricht
als zu einer selektiven Gruppenverschlüsselten Nachricht gehört, wenn
die zyklische Redundanzprüfung
(CRC) mittels der Entscheidung bei Block 745, wie es dargestellt
ist, keinen Fehler zeigt, wenn sie vor der Entschlüsselung
der Nachricht erzeugt wird. Wenn die CRC-Prüfung an der empfangenen Nachricht
vor der Entschlüsselung
jedoch einen Fehler anzeigt (Block 745), wird die empfangene
Nachricht als eine selektive Gruppenverschlüsselte Nachricht verarbeitet.
-
Die
Nachricht wird unter Verwendung eines Gruppen-Verschlüsselungsschlüssels entschlüsselt (Block 750).
Dann wird ein Fehler-Prüfwert
von der entschlüsselten
Nachricht erzeugt (Block 755). Wenn der beim Block 755 erzeugte
CRC-Wert den in
der empfangenen Nachricht enthaltenen CRC-Werten entspricht (Block 758),
die keinen Fehler anzeigen, geht der Ablauf zum Block 760 weiter,
und die empfangene Nachricht wird einer im Zusammenhang mit dem
beim Block 750 verwendeten Gruppen-Verschlüsselungsschlüssel stehenden
Dienstgruppe zugeordnet, um einen erfolgreichen Fehler-Prüfwert zu erzeugen.
Wenn der für
die entschlüsselte
Nachricht beim Block 755 erzeugte Fehler-Prüfwert einen
Fehler anzeigt, und wenn sämtliche
Gruppen-Verschlüsselungsschlüssel-Anwärter bereits überprüft wurden (Block 765),
wird die Nachricht verworfen (Block 775). Ansonsten wird
ein neuer Schlüssel
der Gruppen-Verschlüsselungsschlüssel-Anwärter selektiert (Block 770)
und der Ablauf kehrt zum Block 750 zurück. Der Ablauf fährt für jeden
der Gruppen-Verschlüsselungsschlüssel-Anwärter so
lange fort, bis entweder der Fehler-Prüfwert für die entschlüsselte Nachricht
keinen Fehler anzeigt, oder bis jeder der Gruppen-Verschlüsselungsschlüssel-Anwärter getestet
worden ist.
-
Die
vorliegende Erfindung gestattet es von daher, dass Nachrichten,
die zu einem ersten Premium-Dienst gehören, zu dem ersten Gruppen-Verschlüsselungsschlüssel zugeordnet
werden, und dass Nachrichten, die zu einem zweiten Premium-Dienst gehören, zu
einem zweiten Gruppen-Verschlüsselungsschlüssel zugeordnet
werden, usw. Im Gegensatz zu dem Ansatz aus dem Stand der Technik,
in welchem Gruppen-Adressen verwendet werden, die innerhalb eines
Paket-Kopfes bzw.
einer Paket-Kopfzeile in einer übertragenen
Nachricht enthalten sind, kann in der Tat eine bestimmte Dienstgruppe
durch ihre Zugehörigkeit
zu einem bestimmten Gruppen-Verschlüsselungsschlüssel identifiziert werden.
Darüber
hinaus kann die Verschlüsselung für allgemeine Übertragungs-Nachrichten,
individuelle Adressen-Nachrichten und Gruppen-verschlüsselte Nachrichten
bereitgestellt werden, während
nach wie vor ein betriebsbereiter bzw. fertiger Empfang und Entschlüsselung
von sämtlichen
solchen Nachrichten bei einer Empfänger-Vorrichtung zugelassen sind.
Im einzelnen ermöglicht
das Erzeugen von Fehler-Prüfwerten
vor der Verschlüsselung
von selektiven Gruppen-Verschlüsselungsnachrichten
und nach der Verschlüsselung
von allgemeinen Übertragungs-Nachrichten
und individuellen Adressen-Nachrichten die Erfassung des Nachrichten-Typs
und die Verwendung des geeigneten Entschlüsselungs-Schlüssels, wie
es unter Bezugnahme auf 7 beschrieben wird.
-
Während ein
allgemeiner Verschlüsselungsschlüssel zur
Verwendung mit sowohl allgemeinen Übertragungs-Nachrichten als
auch individuellen Adressen-Nachrichten beschrieben wurde, können individuelle
Adressen ebenso mit speziellen Verschlüsselungsschlüssel versehen
werden, die zu jeder Adresse zugehören. Es sei ferner so zu verstehen,
dass Nachrichten verworfen werden können, und zwar entweder aufgrund
von Fehlern im Empfang oder aufgrund der Tatsache, dass die Nachricht zu
einer Premium-Dienstgruppe gehört,
die nicht zu dem Empfänger
gehört
oder von ihm abonniert ist. Während
Abläufe
zum Überprüfen des
Fehler-Prüfwertes
bei den Blöcken 710, 740 und 755 allgemein unter
Bezugnahme auf einen Fehler-Erfassungs-Code, wie etwa einer zyklischen
Redundanzprüfung (CRC),
beschrieben wurden, können
sie ferner unter Verwendung anderer Fehler-Erfassungs-Codes von Fehler-Korrektur-Codes vorgesehen
werden. In dem Fall eines Fehler-Korrektur-Codes
kann beispielsweise dem Code gestattet sein, dass er jegliche Anzahl von Übertragungsfehler
innerhalb seines Leistungsvermögens
korrigiert, in dem Fall von Block 755 beispielsweise nach
der Entschlüsselung
der Nachricht. Die Erfassung einer erfolgreichen Fehlerprüfung kann
dann hinsichtlich der Version der Nachricht nach der Korrektur mittels
des Fehler-Korrektur-Codes durchgeführt werden. Wenn die Anzahl
der Fehler innerhalb des Leistungsvermögens des Fehler-Korrektur-Codes
fällt,
werden die Fehler korrigiert, und der Fehler-Prüfwert wird als ein Wert angesehen,
der bestanden hat (beispielsweise würde der Ablauf beim Block 758 zum
Block 760 gehen). Ansonsten wird der Test hinsichtlich
des Fehler-Prüfwertes
so angesehen, dass er einen Fehler angezeigt hat.
-
Ein
weiterer Aspekt der vorliegenden Erfindung wird nun hinsichtlich
der Bereitstellung eines Gruppen-Verschlüsselungsschlüssels zu
Mobilterminal-Vorrichtungen 300 unter Bezugnahme auf die dargestellte
Ausführungsform
von 8 erläutert. Der
Ablauf beginnt beim Block 800, wenn ein Mobilterminal 300,
das einen zu einem Gruppen-Verschlüsselungsschlüssel gehörigen Premium-Dienst bezieht,
von einer Basisstation 200 den zugehörigen Gruppen-Verschlüsselungsschlüssel anfordert.
Die Basisstation 200 empfängt dann die Anforderung hinsichtlich
des zugehörigen
Schlüssels
von einer Vielzahl von Gruppen-Verschlüsselungs-Schlüssel
für die
Premium-Dienste (Block 805). Das anfragende Mobilterminal
ist dann mit dem Premium-Dienst verknüpft, der mit dem angeforderten
Schlüssel
der Vielzahl der Gruppen-Verschlüsselungsschlüssel verknüpft ist
(Block 810). Der Ablauf beim Block 810 kann das
Einholen von Bezahlungsgenehmigung oder das Bestätigen der Verfügbarkeit
des angeforderten verknüpften
Premium-Dienstes für
den speziell identifizierten Benutzer, der den Gruppen-Verschlüsselungsschlüssel anfordert,
enthalten. Anders ausgedrückt
bedeutet dies, dass Abläufe
beim Block 810 beim Verknüpfen des Benutzers (Mobilterminal) mit
einem bestimmten Dienst in bevorzugter Weise eine Möglichkeit
zum Einholen einer Genehmigung und/oder einer Bezahlung zum Bereitstellen
eines Zugriffes zu solch einem Dienst für den anfordernden Benutzer
geben. Der angeforderte Gruppen-Verschlüsselungsschlüssel wird
dann an die anfordernde Benutzer-Vorrichtung mit der zugehörigen individuellen
Adresse der anfordernden Benutzer-Vorrichtung übertragen, und zwar in bevorzugter
Weise über einen Übertragungskanal
des Kommunikations-Netzwerkes (Block 815). Der Gruppen-Verschlüsselungsschlüssel wird
dann von der anfordernden Vorrichtung empfangen (Block 820).
-
Für die dargestellte
Ausführungsform
von 8 können
die Gruppen-Verschlüsselungsschlüssel periodisch
geändert
werden, wobei jede autorisierte Empfänger-Vorrichtung hinsichtlich
der Änderungen
benachrichtigt wird, und zwar in bevorzugter Weise über ihre
individuellen Adressen, so wie es obig erläutert wurde. Beim Block 825 wird,
wenn ein zuvor verwendeter Gruppen-Verschlüsselungsschlüssel eine
Aktualisierung erfordert, beispielsweise wenn der Schlüssel eine
zugehörige
Laufzeit aufweist und wenn seine zugehörige Laufzeit abgelaufen ist,
der Gruppen-Verschlüsselungsschlüssel aktualisiert
(Block 830), und der Ablauf kehrt zum Block 815 zur Übertragung
des aktualisierten Gruppen-Verschlüsselungsschlüssels an
die autorisierten Benutzer zurück.
In verschiedenen Ausführungsformen können die
Gruppen-Verschlüsselungsschlüssel auf einer
periodischen Basis für
lang bestehende Gruppen geändert
werden, wobei jeder Empfänger
hinsichtlich der Änderungen
benachrichtigt wird. Alternativ hierzu können die Gruppen-Verschlüsselungsschlüssel bei
Bedarf und nur für
eine kurze Zeitdauer zugeordnet werden, beispielsweise für eine für einen Tag
gültige
Aktienkurs-Überwachung
fern von zu Hause für
einen reisenden Investor, der eine Vorrichtung, wie etwa einen PDA-Taschencomputer,
als Mobilterminal 300 verwendet.
-
Während die
selektive Verschlüsselungsvorrichtung
allgemein beschrieben und hierin als eine Basisstation 200 bezeichnet
wurde, sei es so zu verstehen, dass das Leistungsvermögen hinsichtlich
der selektiven Verschlüsselung
nicht bei einer Basisstation vorgesehen sein muss. Beispielsweise
kann eine Server-Vorrichtung oder eine zu einem Kommunikationsnetzwerk
zugehörige
Mobilfunk-Vermittlungsstelle Nachrichten verarbeiten und die selektive
Verschlüsselung
und geeignete Adressierung sowie das Erzeugen von Fehler-Prüfwerten
bereitstellen, und die Basisstation 200 kann einfach als
Transponder dienen, um die Nachrichten auf einem Übertragungs-Kanal
des Kommunikations-Netzwerkes zu übertragen. Die Vorrichtung
und die Verfahren gemäß der vorliegenden
Erfindung können
ebenso auf mehrere Vorrichtungen aufgeteilt sein, einschließlich dem
Durchführen
einiger Teile bei der Basisstation und andere Teile bei einer Mobilfunk-Vermittlungsstelle
oder einer Server-Vorrichtung, die dem Kommunikationsnetzwerk zur
Verfügung
steht. Während ferner
die Vorrichtung allgemein unter Bezugnahme auf ein drahtloses Kommunikationsnetzwerk
beschrieben wurde, sei sie so zu verstehen, dass sie bei einer Vielzahl
von Arten von Netzwerken angewandt werden kann, einschließlich lokaler
Arbeitsgruppen-orientierter Netzwerke (LAN), Weit-Verkehrsnetzwerke
(WAN) und Stadtnetze bzw. Regionalnetze in wirtschaftlichen Ballungsräumen (MAN), und
sie ist nicht auf drahtlose oder zellulare Netzwerke beschränkt.
-
In
den Zeichnungen und der Spezifikation wurden typische bevorzugte
Ausführungsformen
der Erfindung offenbart und, obwohl spezielle Begriffe verwendet
werden, werden sie nur in einem allgemeinen und beschreibenden Sinn
und nicht zum Zwecke der Einschränkung
verwendet, wobei der Umfang der Erfindung in den nachfolgenden Patentansprüchen dargelegt
ist.