专利名称:提供电信网络安全的方法
技术领域:
本发明涉及电信网络安全和被布置成提供电信网络安全的设备及相关方法。
背景技术:
随着移动通信网络技术的进展和更高能力的网络和系统变得可用,被采用的诸如已知的移动设备(ME)和用户设备(UE)之类的移动无线电通信设备倾向于保留针对不同无线电接入技术(RAT)的能力并因此允许基于RAT间和RAT内二者的切换过程。高度的安全和完整性是移动通信网络的持续要求,并且特别希望设法防止通信消息的截取。安全措施目前常常采用诸如加密密钥(CK)和完整性密钥(IK)之类的密钥,并且这种密钥的生成常常发生在切换过程期间。注意,这种安全问题的操作和管理上存在限制和缺点,这可能导致安全的潜在损害。用于安全密钥的生成和管理的已知过程在提供与本发明相比完全不同的对安全和增强问题的解决方案的美国专利申请公开No. 2009/161874A1和No. 2009/1M703A1、加拿大专利申请No. 2659959A1以及美国专利No. 7519178B1中被公开。
发明内容
本发明设法提供具有优于已知的这类方法和网络元件的优点的、建立网络安全的方法和相关的移动无线电通信网络元件。根据本发明的第一方面,提供了一种在移动无线电通信网络内提供网络安全的方法,包括创建用于移动无线电通信设备和网络之间的通信的安全上下文,所述安全上下文是响应于输入参数来创建的;以及,作为每个初始切换尝试的一部分,控制所述参数以便应用与先前的版本不同的参数版本。就本发明的示例性实施例的方法保证在确定安全上下文时使用并且在每个切换过程的初始切换尝试期间采用的输入参数与先前的输入参数不同而言,它可以被证明在保证旧的参数不被无意地采用在例如创建所要求的安全密钥方面是有利的。在一个示例中,参数的控制不依赖于用于至少一个切换尝试的网络信令。优选地,参数的控制可以被布置成不依赖于用于至少一个切换尝试的从网络到移动无线电通信设备的信令。特别地,所述信令可以优选地包含非接入层(NAS)消息传递。有利地,输入参数可以包含信号计数,尤其是下行链路(DL)NAS计数。优选地,该方法包括针对每个初始切换尝试来控制参数。在示例性实施例中,该方法还可以包括针对切换尝试的成功来进行监视的步骤。有利地,如果判定初始切换尝试未成功,则切换尝试可以利用同样的参数被重复。
有利地,仅当已指示了继续尝试时的失败时,才能够准许又一切换尝试。优选地,成功可以通过切换命令被移动无线电通信设备的接收来判断。有利地,切换失败的指示可以包含非NAS递送指示。有利地,如果指示了参数不被移动无线电通信设备接收,则这种非NAS递送指示可以被布置成被发送。优选地,该方法可以包括当移动无线电通信设备指示出它尚未收到下行链路 NAS计数时,发送包括该计数的给定值的无线电接入技术间(IRAT)切换。优选地,该方法包括一旦到通用移动电信系统(UMTS)的RAT切换消息已被发送,就增加该计数的步骤。优选地,该方法可以包括响应于所述计数已在先前的切换、尤其是前一个切换中被采用的判断而在移动无线电通信设备处执行路由更新过程。有利地,更新过程可以包括与使得网络能够执行认证过程的密钥集合可用性有关的信息。在示例性实施例中,这种进一步特征尤其可以在长期演进(LTE)系统的无线电接入网(RAN)不可靠地指示出由于来自UE的第二层确认消息尚未被RAN LTE接收、因此移动无线电通信设备尚未收到该计数的场合被采用。此外,这种特征可以优选地尤其与到UMTS的切换相关地被采用,其中所述密钥集合标识符包含UMTS密钥集合标识符,并使得网络能够执行UMTS认证过程。根据本发明的另一方面,提供了一种在移动无线电通信网络内提供网络安全的方法,包括创建用于UE和网络之间的通信的安全上下文,所述安全上下文是响应于下行链路NAS计数来创建的;以及,作为每个初始切换尝试的一部分,增加所述DL NAS计数以便与先前的计数值相区分。将理解,可以优选地提供本发明的示例性实施例来增强到UMTS的切换过程,尤其是从长期演进(LTE)系统到UMTS的切换过程。本发明的示例性实施例可以优选地被证明与从LTE到UMTS的连续切换相关地特别有用。根据本发明的另一方面,提供了一种用于在移动无线电通信网络内操作并被布置成提供用于移动无线电通信设备和网络之间的通信的安全上下文的移动无线电通信网络元件,所述网络元件被布置成使得安全上下文响应于输入参数而被创建,并且其中作为每个初始切换尝试的一部分,所述网络设备被布置成控制所述参数以便应用与先前的版本不同的参数版本。因此,将理解,本发明的示例性实施例可以规定移动无线电通信网络元件展示上述方法的各种特征的功能。S卩,所述元件可以优选地保证在确定安全上下文时使用并在每个切换过程的初始切换尝试期间采用的输入参数对于连续的切换绝不相同,这可以被证明在保证例如当创建所要求的安全密钥时旧的输入参数不被无意地采用方面是有利的。此外,在示例性实施例中,参数的控制于是不需要依赖于用于切换过程内的至少一个切换尝试的信令,其中所述信令可以包含从网络到移动无线电通信设备的信令。再次,对于网络元件,信令可以优选地包含非接入层(NAS)消息传递,并且输入参数可以优选地包含信号计数,尤其是下行链路(DL)NAS计数。
如上,所述元件可以优选地包括控制功能以使得如果判定初始参数未成功,则切换尝试利用同样的参数被重复。优选地,控制功能可以包括响应于所述计数已在先前的切换、尤其是前一个切换中被采用的判断而在移动无线电通信设备处初始化路由更新过程。如上,更新过程可以优选地包括与使得网络能够执行认证过程的密钥集合可用性有关的信息。在示例性实施例中,这种进一步特征尤其可以在长期演进(LTE)系统的无线电接入网(RAN)不可靠地指示出由于来自UE的第二层确认消息尚未被RAN LTE接收、因此移动无线电通信设备尚未收到该计数的场合被采用。此外,这种特征可以优选地尤其与到UMTS的切换相关地被采用,其中所述密钥集合标识符包含UMTS密钥集合标识符,并且使得网络能够执行UMTS认证过程。关于一个实施例的特定特征,来自LTE核心网的“初始”从LTE切换命令消息可以包括与当前的下行链路NAS计数相比增加的下行链路NAS计数。该增加的下行链路NAS计数先前已在IRAT (无线电接入技术间)切换准备阶段期间在转发重定位请求中发送到UMTS 核心网络。如果包括NAS安全参数的从LTE切换命令消息尚未被UE正确接收,则NAS非递送指示消息可以优选地被eNB发送到LTE核心网。LTE核心网可以优选地被布置成除非已从LTE无线电接入网(eNodeB,eNB)接收到NAS非递送指示消息,否则不再发送任何从LTE切换命令消息给UE。 为了避免UE和MME之间的下行链路NAS计数异步,并且如果已从eNB接收到NAS 非递送指示,则LTE核心网可以优选地被布置成重新发送包括与先前发送的下行链路NAS 计数相同(即,非增加)的下行链路NAS计数的相同NAS安全容器。从上面,LTE核心网得知在接收转发重定位完成后,UE已优选地使用包含在发送到UE的从LTE切换命令中的下行链路NAS计数。关于例如LTE网络侧组件,eNB可以优选地被布置成如果从LTE切换命令消息尚未被UE接收,则向LTE核心网发送包括NAS安全容器的NAS非递送指示。考虑到MME,下行链路NAS计数可仅在从LTE切换命令的“初始”发送时被增加。 当然,在从LTE切换命令发送失败的情况下,MME可优选地被布置成经由eNB将包含在NAS PDU IE中的同一先前的NAS安全重新发送到UE。在示例性实施例中,对于来自长期演进(LTE)系统的无线电接入网(RAN)不可靠地指示出由于来自UE的第二层确认消息尚未被RAN LTE接收、因此移动无线电通信设备尚未接收到所述计数时的情况,如果所述计数被检测为对于连续的到UMTS的切换、已在先前的到UMTS的切换时被使用,则移动无线电通信设备执行包括没有UMTS密钥集合标识符可用以使得网络能够执行UMTS认证过程的信息的路由区域更新过程。将理解,发明的示例性实施例可以在当ISR在来自LTE的IRAT切换时被激活时尤为适用,但是可以一般地适用于任何来自LTE的IRAT切换。应该理解,发明的示例性实施例还可以规定移动无线电通信设备被布置成在网络内并且利用安全上下文来操作。
本发明在下文中仅通过示例方式参考附图被进一步描述,其中图1是例示了现有技术的限制的连续切换的示意性表示;图2是根据本发明的实施例并与LTE和UMTS核心网有关的切换示例的信令图;图3是根据本发明的实施例的无线电通信网络元件的示意图。
具体实施例方式将理解,尤其与响应于输入参数下行链路NAS计数而创建的加密密钥和完整性密钥的采用以及LTE和UMTS系统的安全上下文的提供相关地参考附图来例示并进一步描述本发明的示例性实施例。关于这种安全上下文被开发、特别是针对连续切换而被开发的方式,如将在下面更详细地讨论的,出现了现有技术的特定缺点。如所示,安全上下文一般包括用于保证数据保密性的加密密钥和用于保证在数据在两个通信方之间的转移期间没有数据损坏发生的完整性密钥。作为示例,UMTS安全上下文可以在用于提供到UMTS系统的安全接入的网络和UE 之间被创建,并且同样地,LTE安全上下文可以在用于到LTE系统的接入的网络和UE之间被创建。此外,接入层安全上下文可以针对每个UMTS或LTE安全上下文而被创建,以保证安全与协议栈的相关层相关联地被维护。如所示,并且特别是在RAT间环境内,UE可以在已连接模式中从LTE移动到UMTS 并且在这种场合,UMTS安全上下文从先前的LTE安全上下文被获取。LTE安全上下文的输入参数例如可以包含下行链路NAS计数。当然,将理解,每当网络向UE发送NAS消息,下行链路NAS计数增加。因此将理解,在UE执行从LTE到UMTS的连续切换并且其中网络不向UE发送任何 NAS消息的场合,相同的UMTS安全上下文于是可以被重用。如果例如空闲模式信令减少(ISR)特征被激活,则不在UE中出现来自网络的NAS 消息可以被发起。进一步参考图1来例示这种安全的潜在损害。这里,到LTE系统10的初始连接首先被指示,然后切换到UMTS 12,接着返回LTE系统14,然后切换回UMTS 16。首先转向到LTE 10的初始连接,当前的LTE安全上下文被开发并包含加密密钥和完整性密钥。UE如箭头A所示在已连接模式中移动到UMTS 12后,作为来自LTE 10的安全上下文映射和采用下行链路NAS计数作为输入参数的结果,具有加密密钥和完整性密钥的UMTS 安全上下文于是再次被创建。在所示场合中,UE于是在空闲模式中如箭头B所示移动到LTE系统14并再次采用先前在到LTE 10的先前的移动中创建的安全上下文镜像。然而更重要的是,在存在UE (未示出)的ISR特征的激活18的场合,于是没有NAS 信令将从网络被发送到UE,使得下行链路NAS计数的值不会递增。因此,在UE如箭头C所示在已连接模式中接下来连续移动到UMTS16后,作为来自LTE安全上下文的映射和使用与先前到UMTS 12的移动相关联地使用的同样的下行链路 NAS计数的结果,具有加密密钥和完整性密钥的UMTS安全上下文被创建。同样的安全密钥因此与到UMTS 16的移动相关地被采用,就像到UMTS 12的移动的情况那样。当然,如果设法截取通信的第三方“袭击者”能够在UMTS中的UE处获取来自先前的移动的密钥,则“袭击者”将能够在下次到UMTS 16的UE移动时重新使用这些密钥。UE和网络之间的通信的截取于是将是可能的,这当然表示安全的实质破坏。如从前面的讨论以及实际上是在保证输入参数方面能够被证明有利的遵循本发明的被例示的示例中将理解的,在所例示的示例中,下行链路NAS计数无法在连续的切换之间保持相同,使得如果袭击者从UE先前到UMTS的移动得到密钥,这将不会损害任何后续通信交换。除了前面提到的现有技术文件之外,已进行各种已知尝试来改善这种安全事务。 例如,已尝试使用上行链路NAS计数以便获取UMTS安全上下文;使用AS下一跳(NH)和下一链数(NCC)安全参数来产生不同的AS密钥;使用NAS Nonce UE和Nonce MME安全参数; 运行NAS安全模式命令过程以及使用来自网络的下行链路NAS消息。然而,所有这些示例在对UE和网络二者有影响都受到限制,并且在某些实例中受后向兼容性问题的限制。现在转向图2,提供了已知例示本发明的实施例并涵盖切换命令不被UE接收的场合以及切换命令已被UE接收的场合的信令图。图2以示意图的形式例示了 UE 20及其接入网的eNB 22的网络装置以及包含LTE 核心网M和UMTS核心网沈的网络元件。因此将理解,所例示的实施例与从LTE系统到 UMTS系统的连续切换有关。所例示的过程从切换准备阶段观开始,其中“切换被要求”信令消息36被从eNB 22发送到LTE核心网24,并且根据该实施例,下行链路NAS计数的受控增加在38处被发起。然后,从LTE核心网M到UMTS核心网洸的转发通信请求信号40和从UMTS核心网26 递送的转发通信响应42考虑从LTE网络M映射来的并且基于递增的下行链路NAS计数的 UMTS安全上下文和UE身份二者。因此将理解,下行链路NAS计数的该受控递增改变保证了对于正在准备的切换, 安全上下文以及因此相关的安全密钥将与关联于任何先前的切换而出现那些安全上下文和安全密钥不同,从而避免了安全的潜在损害。在切换准备阶段观完成之后,与切换运行阶段30有关的信令开始于从LTE网络对到州8 22的切换命令44。从下文将理解,根据所例示的切换过程,除非已从LTE无线电接入网eNB接收到“NAS非递送指示”消息,否则将不再从LTE核心网M向UE 20发送“切换命令”消息,并且如下面进一步讨论的那样,重要的是,任何这种重新发送将采用与先前在上面讨论的切换准备阶段观期间递增的下行链路NAS计数相同的下行链路NAS计数。在切换运行阶段30期间出现两种场合,每种场合被例示于图2。在第一种场合32中,切换命令未被UE 20成功接收。然而如上所述,切换命令信号44不存在,而是NAS非递送指示信号46被从eNB 22递送到LTE核心网M。该特定的信令消息46是在仅在接收到该信令消息46时、LTE核心网M才重新发送切换命令信号48方面体现本发明的方法中的重要步骤。重要的是,重新发送切换命令48 采用包含与先前发送的相同的下行链路NAS计数的相同的NAS安全容器,并且这有利地起到维护诸如移动管理实体(MME)之类的核心网的网络元件和UE 20之间的下行链路NAS计数同步的作用。在替代场合34中,切换命令信号44被命令消息50所指示的UE成功接收,并且后续的切换到UMTS完成消息52被从UE 20递送到UMTS无线电接入网。这随后向UMTS核心网沈发起通信完成信令消息M。UMTS核心网沈利用转发重定位完成信令消息56向LTE 核心网M作出响应。有利地,在接收到这种转发重定位完成信令消息56后,LTE核心网能够容易地确定UE 20已使用发送到UE 20的“切换命令”中包含的递增的下行链路NES计数。这用作关于安全密钥和相关的安全上下文的建立不会发生安全损害的再保险。将理解,在用于后续LTE到UMTS切换的任何后续切换准备阶段期间,下行链路NAS 计数于是被递增以避免先前的下行链路NAS计数的重新使用并用作用于确定安全密钥的输入参数。诸如现有计数中遇到的那些安全损害之类的安全损害因此能够有利地被避免。具体参考所例示的实施例应理解,本发明有利地规定了在NAS安全参数尚未被UE 接收的情况下的包含非NAS递送指示的信令消息。此外,包含下行链路NAS计数的给定值的到UMTS的IRAT切换信令消息持续到UE的接收发生,并使得一旦到UMTS的IRAT切换消息已被发送,该计数不简单地增加。这使得能够维护例如MME和UE之间的同步。最后转向图3,提供了形成网络设备的一部分并体现本发明的诸如MME 58之类的网络元件的简单示意性表示。MME 58被布置成包括用于在“初始”发送从LTE切换命令时增加例如下行链路NAS计数的控制功能60,还包括用于在判定UE处的从LTE切换命令的递送失败后发起同一 NAS安全容器的重新发送的相关控制功能62。这样,控制元件60将仅在判定到UE的先前发送失败后才发送非递增的下行链路NAS计数。当然,如上所述,如果到 UE的切换命令的发送成功,则在下一实例的另一切换过程的初始阶段,控制功能60再次递增下行链路NAS计数,不管两个连续的切换过程之间可能已发生的下行链路NAS信令的实际状态如何。如果UE检测到相同的或较旧的下行链路NAS计数被重新使用,则UE执行NAS 路由区域更新过程。应理解,发明不限于前述实施例的细节并且可以关联到与适当的切换过程有关的任何适当的安全参数。尤其是,发明适用于ISR在从LTE的IRAT切换时被激活的场合,虽然更一般地,它适用于任何从LTE的IRAT切换。工业适用性本发明可以被应用于移动无线电通信设备和网络之间的移动无线电通信、以提供网络内的高度网络安全。
权利要求
1.一种在移动无线电通信网络内提供网络安全的方法,包括创建用于移动无线电通信设备和所述网络之间的通信的安全上下文,所述安全上下文是响应于输入参数来创建的;以及,作为每个初始切换尝试的一部分,控制所述参数以便应用与先前的版本不同的参数版本。
2.根据权利要求1所述的方法,其中,控制所述初始参数的步骤保持独立于用于至少一个切换尝试的网络信令。
3.根据权利要求2所述的方法,其中,所述输入参数包含信号计数。
4.根据权利要求1至3中任一个所述的方法,包括控制用于每个初始切换尝试的所述参数的步骤。
5.根据权利要求1至4中任一个所述的方法,其中,如果判定了初始尝试未成功,则所述切换尝试利用相同的参数来重复。
6.根据权利要求5所述的方法,其中,切换失败是通过所述网络对NAS非递送指示的接收来判断的。
7.根据权利要求1至6中任一个所述的方法,包括将不同版本的参数存储为用于到 UMTS的后续切换的安全上下文的一部分的步骤。
8.根据权利要求7所述的方法,包括通过与被存储为到UMTS的后续切换时的安全上下文的一部分的下一期望值的比较来检测相同的或较旧的参数值的步骤。
9.根据权利要求8所述的方法,其中,所述相同的或较旧的参数值是由所述网络内的移动无线电通信设备检测的。
10.根据权利要求9所述的方法,包括在所述移动无线电通信设备处执行用于通过包含非UMTS密钥集合标识符来寻求UMTS重新认证的NAS路由更新过程的步骤。
11.根据权利要求5所述的方法,其中,成功是通过切换命令被所述移动无线电通信设备的接收来判断的。
12.根据权利要求1至11中任一个所述的方法,包括在所述移动无线电通信设备和所述网络之间的非NAS信令交换时段期间控制所述参数的步骤。
13.根据权利要求12所述的方法,包括在空闲模式信令减少激活时段期间控制所述参数的步骤。
14.一种在移动无线电通信网络内提供网络安全的方法,包括创建用于UE和网络之间的通信的安全上下文,所述安全上下文是响应于下行链路NAS 计数来创建的;以及,作为每个初始切换尝试的一部分,增加所述DL NAS计数以便与先前的计数值相区分。
15.根据权利要求14所述的方法,包括被布置成增强到UMTS的切换过程的步骤。
16.一种用于在移动无线电通信网络内操作并被布置成提供用于移动无线电通信设备和所述网络之间的通信的安全上下文的移动无线电通信网络元件,所述网络元件被布置成使得所述安全上下文响应于输入参数而被创建,并且其中作为每个初始切换尝试的一部分,所述网络设备被布置成控制所述参数以便应用与先前的版本不同的参数版本。
17.根据权利要求16所述的移动无线电通信网络元件,其中,所述移动无线电通信网络元件被布置成根据权利要求1至15中的任一个所述的方法来提供网络安全。
18.一种用于在移动无线电通信网络内操作并被布置成利用与输入参数相关地创建的安全上下文来操作的移动无线电通信设备,所述移动无线电通信设备被布置成响应于所述输入参数已在先前的切换过程中被采用的判断来执行路由更新过程。
19.根据权利要求18所述的设备,其中,所述更新过程包括与密钥集合可用性有关的 fn息ο
全文摘要
发明提供了一种在移动无线电通信网络内提供网络安全的方法,所述方法包括创建用于移动无线电通信设备和网络之间的通信的安全上下文,所述安全上下文是响应于诸如下行链路NAS计数之类的输入参数来创建的,并且所述方法还包括作为每个初始切换尝试的一部分,控制所述参数以便应用与先前的版本不同的参数版本,例如递增的下行链路NAS计数并且优选地独立于网络信令消息。
文档编号H04W12/04GK102474718SQ201080035458
公开日2012年5月23日 申请日期2010年7月13日 优先权日2009年8月10日
发明者卡罗琳·加科特, 阿南德·拉哈瓦·帕拉萨德 申请人:日本电气株式会社