专利名称:允许选择合适安全算法的安全网络连接的制作方法
技术领域:
本发明涉及用于在移动无线通信网络连接中使用的方法以及用于实现这种连接的移动无线通信设备和网络设备。本申请基于2009年6月29日递交的英国专利申请No. 0911118. 8并要求其优先权,该申请的全部公开内容通过引用结合于此。
背景技术:
对于诸如用户设备(UE)手机之类的与移动通信网络相关联地操作的移动无线通 信设备,各种与安全有关的过程在寻找网络连接时出现,无论是在初始连接时找网络连接还是在要求UE从一个网络切换到另一网络时找网络连接都是如此。这种切换过程可能涉及不同网络技术之间的切换,特别是随着通信系统及其基础技术的演进更是如此。安全算法一般是为了实现和维持在UE和网络之间的不间断安全通信而提供的,并且核心网络(CN)基于UE的安全能力来提供所需的安全算法是很常见的。然而已发现,由于有可能出现安全算法的不同(特别是在算法因升级而改变、使得UE或网络设备之一未完全升级为仅使用新算法之后),出现了问题和潜在的限制。于是,通过现在可能已过期的、或不支持和不需要的算法的继续使用,不间断数据传送的安全性可能受到损害。已知与安全问题特别是安全算法创建和协商有关的各种网络系统和设备,例如在中国专利申请 CN10124236G、CN101374153、CN101222320 和美国专利申请 US2006/294575 中发现的网络系统和设备。虽然这些早期申请覆盖了网络安全的方方面面,但是没有一个申请力图解决目前认识到并由本发明克服的、有关可能不支持的旧算法的使用并且是由随着安全算法的更新而可能出现的安全能力的差别造成的问题。
发明内容
本发明力图提供具有超越这种已知方法和设备的优点并且尤其能够在由安全算法表示的安全能力提高和改变之后提供高度的不间断通信安全性的网络连接方法和相关的移动无线通信和网络设备。根据本发明的第一方面,提供了一种在移动无线通信设备网络连接过程中使用的方法,包括以下步骤在网络处向移动无线通信设备发送该网络中支持的多个安全算法的列表。有利地发现,给定移动无线通信设备和网络的组合的安全能力,无论移动无线通信设备是否已被升级以支持新的安全算法,这种安全算法列表在来自网络的信号内的采用都使得能够最优地选择适当的安全算法。有利地,多个安全算法的列表包括优先列表(prioritized list)。安全算法的优先列表的采用允许移动无线通信设备保持在已连接模式,同时实现最优的安全级别,这是因为实际要使用的安全算法可基于优先安全算法的网络列表和移动无线通信设备的被支持算法的知识而被协商。当然,为了后向兼容性目的,首先在信令消息中指示网络的最优先安全算法,并且用于按优先级的降序来指示剩余的优先安全算法的附加信息元素可被包括。然后,如果需要,移动无线通信设备可产生多于一个安全算法。优选地,与所述列表有关的、在移动无线通信设备处选择的安全算法随后被指示给网络。特别地,该指示可被包括在例如可以包含AS切换确认信号的切换或连接确认信号内,所述AS切换确认信号包括被选择的AS安全算法。优选地,可以利用所选算法来对“确认”信号进行解密和完整性保护。
此外,安全算法的选择还可被包括在当然可以包含NAS注册更新请求信令的注册更新请求信令中,NAS注册更新请求信令包括被选择的NAS安全算法。在移动无线通信设备不支持旧安全算法的情况下尤其如此。此外,可利用被选择的安全算法来对注册更新请求信令进行完整性保护。在本发明的又一实施例中,该方法可以包括以下步骤在移动无线通信设备处发信号通知被支持的安全算法的列表。此外,不被支持的安全算法的列表也可被包括。有利地,可以采用注册更新请求信令来包括被支持的安全算法以及(如果存在的话)不被支持的安全算法的列表。在移动无线通信设备支持旧安全算法的情况下尤其如此。通过这种方式,该方法还可以包括以下步骤在网络处选择移动无线通信设备信令中指示的安全算法作为被支持的算法。此外,在网络处选择的算法随后在给移动无线通信设备的安全模式信令内被指
/Jn o根据本发明的另一方面,提供了被布置成继续网络连接过程并且特别是被布置成从网络接收提供被该网络支持的安全算法的列表的信令的移动无线通信设备。优选地,移动无线通信设备被布置成接收优先列表。此外,该设备被布置成选择所列出的安全算法之一并提供指示哪个安全算法已被选择的信令。该设备尤其可以被布置成在连接或切换确认信令内提供对被选择的安全算法的指示。该设备还可被布置成在注册更新请求信令内确认被选择的安全算法。此外,该设备可被布置成响应于网络提供的算法列表的接收而向网络发信号通知被支持的安全算法的列表。该列表还可以包括对不被支持的安全算法的单独指示。优选地,移动无线通信设备被布置成在注册更新请求信令内通知其支持算法的列表。根据本发明的再一方面,提供了被布置成向移动无线通信设备发信号通知被支持的安全算法的列表的移动无线通信网络设备。优选地,所述列表包含安全算法的优先列表。
移动无线通信网络设备还可以被布置成从移动无线通信设备接收用于指示所列出的安全算法的哪一个已被选择为供移动无线通信设备采纳的信令。根据本发明的另一特征,移动无线通信网络设备可以被布置成从移动无线通信设备接收包含移动无线通信设备内支持的和不支持的安全算法的列表。于是移动无线通信设备可以被布置成选择被指示为被移动无线通信设备支持的安全算法。当例如UE到EPS网络的网络连接被要求时并且在UE EPS安全能力的基础上,本发明被证明尤其有用。 如在任一情况中将意识到的,本发明提供了对不支持的EPS安全算法的持续的适应力。
下面仅通过示例方式参考附图来进一步描述本发明,附图中图I是采用了根据体现本发明的方法而出现的信令并且与UE和相关的EPS网络有关的"[目令图不;图2是再次采用了根据体现本发明的方法的另一方面而出现的信令的、UE和相关的EPS网络之间的又一信令图示;图3是采用了本发明的移动无线通信设备UE的示意框图;并且图4是根据本发明一个方面的网络设备的示意框图。
具体实施例方式如下面进一步讨论的,所例示的本发明的示例是在考虑了 AS和NAS这两个级别的长期演进(LTE)算法的支持度和相关性、并且与尝试的到EPS网络的切换过程有关的情况下提供的。当例如UE到EPS网络的网络连接被要求时并且在UE EPS安全能力的基础上,本发明被证明尤其有用。所例示的本发明的特定实施例力图克服前面与现有技术相关地描述的缺点,并且作为这种限制的特定示例,在UE和EPS网络之间的连接/切换时发现的那些缺点。从以下讨论中将清楚,本发明在克服例如当在适当升级的UE和相应升级的网络之间以及在非升级的UE和升级的网络之间尝试切换时、可能由UE和网络二者支持或在这二者内采用的安全算法之间的潜在失衡而引起的潜在安全故障方面被证明是有利的。特别地,在EPS网络不拥有关于UE EPS安全能力的任何指示的情况下,例如,如果UE是从预发布8网络切换过来的,并且安全算法不再被UE和网络支持,则UE和网络之间的通信无法利用当时也许可用的新安全算法。另外,可以在网络内部署新的EPS安全算法,并且为网络提供了一种方法,以使得当网络已升级为不支持不需要的算法时,即使UE支持不需要的(即,不再支持更新)安全算法,UE也能够连接至3GPP LTE接入技术。目前,UE和网络之间的连接不能利用新的EPS安全算法,所以UE和网络之间的后续通信利用替代算法,从安全的角度,可以认为这远不如新的(升级的)安全算法鲁棒。
在本申请的背景下,所谓的“新的"UE或网络被认为是由于已升级为支持可用的新安全算法而不再支持旧的安全算法的UE或网络。相反,“旧的”UE或网络是即使可能的更新是可用的、仍支持旧的安全算法的UE或网络。当然,应该理解,这种安全算法可以与“完整性保护”或“加密”有关,并且作为示例,EPS安全算法的默认集合包含基于AES的加密算法,如EAO NULL 算法,128-EEA1,以及基于SNOW 3G 的算法和 128-EEA2。 用于完整性保护的AES的示例包含128-EIA1 SN0W3G和128-EIA2。应该理解,所谓的旧算法可以形成(例如来自3GPP发布8的)EPS安全算法的默认集合的一部分或者可以是3GPP发布8版本的一部分。当例如EPS NAS或AS安全算法因为它们的安全可能已受到危害而不再被认为是目前为止最新时,于是,当新的替代算法正在网络内被建立并且尚未被UE采纳时,旧UE仍能够连接到网络是本发明的特定优势。另外,新UE能够使用新的EPS安全算法是特别有用的。因此一般可以证明,当EPS安全算法不再被支持时、新的EPS安全算法从认识到较旧的EPS安全算法不再被要求时起将被采纳并取代旧算法是非常可能的。于是,仍支持“不需要的”EPS安全算法的UE和网络的数目将会不断减少。如将从下文理解到的,本发明有利地提供了一种新的网络来对新的EPS安全算法进行优先排序,同时还维持防止任何问题出现的功能,其中如果该网络遇到要求连接/切换的旧UE的情况发生,则该网络具有激起恢复行为的能力。目前,当不具有UE EPS安全能力的预发布8网络请求UE执行例如到EPS网络的切换时,UE在任何情况下都将接受该切换,导致UE和网络之间的数据交换使用替代的现有EPS安全算法的可能性,从安全性的角度,这可能被认为不如新升级的算法鲁棒。现在转向图1,例示了关于UE 10和网络12之间出现的、与本发明有关的信令部分的信号定时图示,其中UE 10包含已升级为支持新的安全算法的“新”UE,并且其中网络12同样包含也因为新的安全算法而升级的“新”网络。应该理解,与图I相关地出现的信令涉及由从新网络12递送到新UE 10的AS切换命令消息14发起的潜在切换过程。由于网络不知道新UE 10的UE EPS安全能力,并且根据本发明,可能的优先安全算法的列表被包括在AS切换命令14内,其中NAS安全容器和AS安全容器中的每一个包括这种优先安全算法的列表。在从新UE 10返回到新网络12的AS切换确认消息16内,提供了对AS切换命令14内列出的AS安全算法中被选择的那一个的指示。这种AS切换确认16是从根据从网络接收的列表在其支持的安全算法中选择最高优先级的算法的UE 10建立的。此外,AS切换确认信号16被解码以便允许接收者推断被选择的算法,并且信令消息16还通过实际选择的安全算法被进行完整性保护。继AS切换确认信号16之后,NAS注册更新请求消息18被从新UElO递送到新网络12,该NAS注册更新请求消息同样包括被选择的NAS安全算法。通过这种方式,NAS注册更新请求消息18通过选择的安全算法被进行完整性保护。
因此,如图所示,不知道新UE 10的UE EPS安全能力的新网络12向UE 10提议安全算法的优先列表,所述安全算法之一随后被选择为供UE使用,该选择的确认被提供给网络12。现在转向图2,提供了类似的信令图示,但是该信令有关的时间出现在新网络12和旧用户设备20之间。所例示的信令再次开始于AS切换命令22,并且由于网络12不知道旧UE 20的UEEPS安全能力,因此它再次包括优先安全算法的列表,所以包括含有优先安全算法列表的AS和NAS安全容器二者。旧UE 20随后返回其AS切换确认信令消息24,并且除了被解码之外,该消息不被进行完整性保护,这是因为UE 20不支持网络指示的新EPS安全算法。
接着,旧UE 20随后向新网络12发送包括支持的和不支持的EPS安全算法二者的列表的NAS注册更新请求信令消息26。接收到NAS注册更新请求信令消息26后,新网络12发起AS安全模式命令消息28,该消息被递送到旧UE 20并包括基于信令消息26内所包含的支持的和不支持的算法的列表的对被选择的AS安全算法的指示。也就是说,根据先前的被解码但未被进行完整性保护的AS切换确认消息24,网络12通过选择与不支持/不需要的算法不同的、被UE 20支持的EPS安全算法,基于NAS注册更新请求信令消息26中的UE的支持EPA安全算法列表来触发AS安全性。从本发明的前述例示实施例特别应理解的是,本发明目前被证明特别有利,因为其能够防止数据损失并且还允许UE保持在已连接模式。具体地,特定安全算法是基于网络的优先安全算法列表来协商的,并且如果需要的话,是还基于UE的支持算法列表来协商的。出于潜在的后向兼容的目的,网络的最优先安全算法首先在网络消息中被指示,并且附加信息元素用于按降序指示主要优先安全算法。于是可以证明,UE在多于一个安全算法之间按需要来选择是可能的。现在转向图3,提供了用于根据本发明来使用的UE设备手机32的示意表示。手机32包括与手机天线36相关的标准收发器功能34以及标准处理38和存储40能力。然而根据本发明,手机32的处理38能力可以包括用于从网络接收优先安全算法列表并且按需要选择这些安全算法之一或者单独提供支持的和不支持的安全算法的列表以由网络进行后续选择的装置。最后转向图4,提供了表不具有如图所不的收发器功能44以及处理46和存储48能力的通信网络设备42的示意框图。对于这种移动无线通信网络设备42,处理46功能可包括用于将优先安全算法的列表递送到诸如图3所例示的设备32之类的UE设备的装置,并且还可以被布置成选择被指示为被UE支持的安全算法之一。因此将理解,图3的UE和图4的网络设备可以在移动无线通信设备内进行功能组合以便根据参考图I和图2来例示的方法操作。因此应理解,本发明提供的操作方法和各种通信网络设备在提供与不支持的EPS安全算法有关的改进的适应度方面被证明是有利的,但是应理解,本发明不限于前述具体实施例的细节。具体地,任何适当的连接情形可从本发明中受益而不仅仅是所例示的LTE切换过程。通过使用本发明,UE和网络之间的不间断通信一般可以基于适当支持的安全算法,以便有利地按需要维护连接性和适当级别的安全性。工业应用件 本发明可以应用于网络连接方法、移动无线通信和网络设备。根据该网络连接方法、移动无线通信和网络设备,可以提供安全算法所代表的安全能力改变和提高之后的高度不间断通信安全性。
权利要求
1.一种在移动无线通信设备网络连接过程中使用的方法,所述方法包括以下步骤 在网络处向移动无线通信设备发送所述网络中支持的多个安全算法的列表。
2.根据权利要求I所述的方法,其中所述列表包含优先列表。
3.根据权利要求I或2所述的方法,其中对在所述移动无线通信设备处从安全算法的网络优先列表中选择的安全算法的指示被指示给所述网络。
4.根据权利要求3所述的方法,其中所述指示被包括在切换确认信号内。
5.根据权利要求3或4所述的方法,其中所述切换确认信号被利用所选择的安全算法来进行解密和完整性保护。
6.根据权利要求3-5中任一项所述的方法,其中如果所述移动无线通信设备不支持旧的安全算法,则对所选择的安全算法的指示被包括在注册更新请求信令内。
7.根据权利要求6所述的方法,其中所述注册更新请求信令被利用所选择的安全算法来进行完整性保护。
8.根据权利要求1-7中任一项所述的方法,还包括以下步骤在所述移动无线通信设备处,发信号通知包含被支持的安全算法的列表。
9.根据权利要求8所述的方法,其中所述列表包括不被支持的安全算法。
10.根据权利要求8或9所述的方法,其中如果所述移动无线通信设备支持旧的安全算法,则注册更新请求信令被采用以包括所述列表。
11.根据权利要求10所述的方法,还包括以下步骤在所述网络处选择移动无线通信设备信令中指示的安全算法作为被支持的算法。
12.根据权利要求11所述的方法,其中在所述网络处选择的算法在给所述移动无线通信设备的安全模式信令内被指示。
13.—种移动无线通信设备,所述移动无线通信设备被布置成用于网络连接过程并从网络接收提供被所述网络支持的安全算法的列表的信令。
14.根据权利要求13所述的移动无线通信设备,其中所述移动无线通信设备被布置成根据权利要求2至12中的任一项所述的方法来操作。
15.一种移动无线通信网络设备,所述移动无线通信网络设备被布置成向在网络内操作的移动无线通信设备发信号通知被支持的安全算法的列表。
16.根据权利要求15所述的移动无线通信网络设备,其中所述移动无线通信网络设备被布置成根据权利要求2至12中的任一项所述的方法来操作。
全文摘要
本发明提供了用于在移动无线通信设备网络连接过程中使用的方法,包括以下步骤在网络处向移动无线通信设备提供该网络中支持的多个安全算法的列表,以便允许不论该设备可能已经历的更新程度如何都可以选择合适的算法。
文档编号H04W12/02GK102804824SQ20108002886
公开日2012年11月28日 申请日期2010年6月23日 优先权日2009年6月29日
发明者卡罗琳·加科特, 文森特·罗杰, 安东尼·瓦里, 阿南德·拉哈瓦·帕拉萨德 申请人:日本电气株式会社