在终端设备与运营的移动无线网之间建立连接的方法,及用于该方法的移动无线网和终...的制作方法

专利名称：在终端设备与运营的移动无线网之间建立连接的方法,及用于该方法的移动无线网和终 ...的制作方法
技术领域：
本发明涉及在终端设备与运营的移动无线网，特别是与分组移动无线网如GPRS或UMTS-PO网络之间建立连接的方法，以及特别适合用于该方法的移动无线网和终端设备。
在移动无线通信系统，特别是分组移动无线通信系统如GPRS或UMTS-PO的非加密连接中，存在所谓“侵占(Hijacking)”攻击的可能性，其中入侵者将其自己的文件或数据分组渗透进其他某人的连接并从而寄生于由正规用户付费的无线电通信资源。例如，当正规用户访问数据服务如因特网供应商的数据服务或常常收取很高使用费的广播服务时，就存在这种攻击的可能性。成功地渗透进这种连接的攻击者也能够访问该服务，甚至在正规用户认为该连接已经终止时仍能继续该访问，于是为此就要向正规用户收取应付的费用。如果使用费不是按连接的持续时间计算而是按所传输的文件数目计算的话，攻击者就能够把他的文件混入到用户的文件中去。对用户极其危险的可能性是对在线付费业务量攻击的可能性。攻击者能够成功地启动不为用户所注意不到的付费过程。对这种滥用的有效对策就是使用加密技术。
为了保护，人们熟悉的GSM网络为终端设备和网络提供了可能，能够建立加密的连接并在建立连接期间选定两端都支持的加密技术。
在公知的GSM网络中，终端设备将由其所支持的加密技术通知给基站，而基站则从这些加密技术中选出一项还由基站本身所支持的加密技术在验证(终端设备与基站之间的验证和密钥协议)之前建立连接的初期阶段用来准备加密的连接。这一加密技术的标记传回给终端设备并使用如此规定的加密机制开始传输。
但是，如果考虑到对接口的有效攻击的话，对加密技术的这种处理就是不安全的；网络不能够检查终端设备所收到的、由终端设备支持的加密技术信息是否已经真的由该终端设备发送，而终端设备也不能确定网络已经收到了正确的信息。
在GSM网络中通常使用的这种方法也应用在UMST系统中。在这一系统中，额外还使用了完整性保护技术，其能够使接收者判别他所接收的数据是否真的来自所认为的发送机，还是这些数据已被第三方所伪造。
在UMTS系统中建立连接时，由终端设备支持的加密和完整性保护技术均用统计方式储存在系统中并在连接建立的初期阶段传输至运营的移动无线网。运营的移动无线网选定也由它所支持的加密技术和完整性保护技术，开始完整性保护并将选定技术的标记发送给终端设备。连同所选定的加密和完整性保护技术一起。网络将其所收到的技术回报给终端设备。当终端设备接收这一信息时，它要检查所接收信息的完整性并且对传输给网络的加密和完整性保护技术与从网络回报的加密和完整性保护技术进行比较，以便用这种方法来检测所交换信息的可能伪造。在终端设备已确认接收时，可以开始加密。如果网络不选择加密技术而选择“非加密”工作状态，那么终端设备可以排除该连接。
只要终端设备处在其主网络的区域之内，这种进行方式就没有问题，因为这里可以保证，终端设备和网络有至少一个公共加密状态而且该装置用户预期连接不能加密的情况也没有出现。因此，使用刚才排除非加密连接的终端设备是很显然的而且已经建议作为一种标准。如果所有用户都配备这样的终端设备，那么入侵者就几乎不可能控制现有的连接并将其自己的数据渗透进连接中使数据能在网络中引起预期的反应。
但是，这种方法的致命缺点是，当运营的移动无线网也不是终端设备的主网络时，该方法在其应用中出现了问题。这是因为在移动无线电通信中使用加密技术不是在所有国家都被允许，此外，这些技术部分地受到出口限制，所以它们在根据本国法律可能允许使用的某些国家，由于对这些国家的出口进行制裁而不能使用。
这样，只允许加密连接的终端设备在许多国家都不能使用，因此，对用户也就没有吸引力。
不过可以想象，在连接建立期间终端设备向运营网络不但提供了所支持的加密技术而且提供了操作非加密连接的选择余地。虽然这将可能扩大可以使用这些装置的地域，但这要以牺牲安全性为代价。这是因为在这种情况下，所要求的保护将不再起作用，因为攻击者有可能对终端设备假装成他就是运营网络的基站并规定终端设备应当保持未加密的连接。
本发明的任务在于说明建立连接的方法以及适用于此用途的终端设备和移动无线网，其一方面提供抵抗“侵占”攻击的高度安全性，而另一方面也能够在不能使用加密的国家中使用，同时用户使用起来也不复杂。
通过权利要求1特征的方法以及权利要求14特征的终端设备和权利要求20特征的移动无线通信系统完成了这一任务。
有利的实施方案就是附属权利要求的主题。
根据本发明，通过把选择用于连接的将要使用的加密方法的责任转移给终端设备，攻击者就不再能影响这一选择。特别是，他不能够引发未加密的连接，如果这么做未得到明确授权的话。授权可由终端设备的用户给予。例如事先以终端设备也接收未加密呼叫的操作状态来操作终端设备进行授予或在特定情况下以每次建立连接都不能加密的操作状态来操作终端设备进行授予，而终端设备则向用户请求建立这种连接的授权。如稍后将进一步更加详细说明的那样，授权还可以由终端设备的主网络授予。
如果运营的移动无线网提供完整性保护，例如在UMTS网络的情况下，那么为了免遭攻击，最好在关于运营的移动无线网支持的加密技术信息传输到终端设备之前能启动完整性保护就好了。这样，终端设备就能够检测出该信息是否已被伪造或来自未经授权的来源并且如果必要的话不予理睬。
为了能够建立完整性保护，最好是，终端设备把由其支持的完整性保护技术传送给运营的移动无线网，而运营的移动无线网在由其自身和终端设备所支持的完整性保护技术中选定一项技术并将关于所选定完整性保护技术的通告传输给终端设备。这一信息可以适当地成为对终端设备信息的一部分，其包含运营的移动无线网所支持的加密技术。
在本方法的优选实施方案中，告知终端设备与运营的移动无线网未加密连接是否已由主网络授权的加密管理信息由主网络传输给终端设备供建立连接之用。如上所述，这种授权可能是必要的，例如由于运营的移动无线网所在地的国家法律情况或出口限制的原因。
如果运营的移动无线网允许加密的连接，就应当使用加密；但是，在原则上，并不排除例外情况，把连接建立成非加密的，即使运营的移动无线网支持加密时亦是如此，其原因已不在本发明的范围，故在后面的说明中也未提及。
在本方法的这一实施方案中，终端设备接收未加密连接的待用状态主要受主网络的控制。这就使确保最高度的传输安全性成为可能；用户的疏忽不会在对此而没有技术或法律必要性的地方使连接保持在未加密状态。
通过从终端设备的主网络传输加密管理信息保证了这一信息的内容是适当的。
加密管理信息经运营网络以简单的方式进行传输。
在经运营网络进行传输的过程中，必须保证由运营网络造成的加密管理信息的伪造或已被攻击者伪造过而来自攻击者的加密管理信息能够被识别出来。为此，可以在移动终端设备提供对其真实内容的检查。这种检查可以通过从主网络用其自身的加密发送加密管理信息或通过用完整性机制保护信息来隐含地完成。如果这一加密管理信息对运营的移动无线网(加密)来说还不可理解或受到信息鉴别码保护(完整性机制)，运营的移动无线网就不能够对其进行操作，而必须将它透明地传输，同时所操作的、用于侵占攻击的基站也不能够产生由终端设备接收的或由终端设备作为真实信息接收的加密管理信息。
加密管理信息一旦确定了非加密连接的必要性或许可，就有益地给予终端设备用户以选择方案是把连接将建立成非加密的，还是将中止连接的尝试。这就保证了在有怀疑的情况下，用户总是知道未经授权访问其连接的危险以及进行监测的可能，从而能够根据具体情况决定这种危险是否是容许的或是应当选择更安全的传输方式。
为了使终端设备操作尽可能地简单，必要时，即如果由主网络支持的加密管理信息确定运营网络不支持加密，那么也可以规定建立非加密连接而不进行进一步查问。在这种情况下，借助在用户终端设备上的显示通知用户该连接为非加密连接是适宜的。
终端设备在三种操作状态中的至少两种之间可以进行有益的转换，这三种操作状态与缺少加密能力情况下的上述其他方法相对应。
在传输加密管理信息或选择加密技术之前，通过终端设备把由其支持的完整性保护技术传达给运营的移动无线网，以及运营的移动无线网在由它本身和终端设备所支持的完整性保护技术中选择其一并将其通知给终端设备，在这些情况下，就能够在连接建立期间使发送信号的复杂性较小。
适合于实施本方法的终端设备，除其他以外还包括控制单元，其能够在由终端设备和运营的移动无线网所支持的加密技术中选出一项技术，同时运营的移动无线网必须能够按照按终端设备所发送的指令来使用所选定的加密技术。
在下文中，参照附图更详尽地说明了典型的实施方案，其中

图1用图解示出一移动无线网的结构，网络中设置有终端设备，其主网络与移动无线网不同；图2示出在图1中终端设备与移动无线网之间建立连接的流程；及图3示出图2所示信令流程的变动情况。
图1说明其中可以应用本发明的移动无线通信系统的结构。该图示出两个移动无线网NW1和NW2，其中，第一网络部件的标记都含数字1而第二网络部件的标记都含数字2。
每个网络NW1，NW1包括全覆盖配置的地域性小区C1a，C1b...，C2a，C2b，...，其在所有情况下都与发自基站BS1a，BS1b，...，BS2a，BS2b，...的无线电信号范围相对应，而基站则与停留在各小区中的移动终端设备进行通信。这些网络NW1，NW2可以是，例如UMTS移动无线网。
在所有情况下，一些基站BS1a，BS1b，...和BS2a，BS2b，...被分别赋予一个基站的控制器BSC1，BSC2，而该基站的控制器BSC1，BSC2则在所有情况下都通过中间级连接到移动交换中心MSC1，MSC2，中间级未示出。当两个终端设备设置在所有情况下被分配给同一移动交换中心的小区中时，移动交换中心进行移动终端设备之间连接的转换。
对每个移动终端设备分配给一个所谓的主网络，其通常是某一运营商的移动无线网而该终端设备的用户则与此运营商签有合同。网络运营商之间的所谓漫游协议使得用户也能够操作其在主网络的其他移动无线网中的终端设备。移动终端设备在给定时间处理经一个无线移动网，该移动无线网被称为运营网络；其可以不同于主网络。
为说明本发明，特别要考虑一下移动终端设备MS1a，如从其号码1所能看到的那样，它以第一移动无线网NW1作为主网络，但其将停留在第二移动无线网NW1的小区C2a内。终端设备MS1a与第二运营网络NW1区域内其他终端设备的连接，例如与终端设备MS2a的连接，仅由正涉及的第二网络NW2进行处理，而与主网络NW1区域内终端设备的连接，例如与终端设备MS1b或与第三移动无线网终端设备的连接，或与固定网的终端设备，例如与终端设备UE1的连接，都是通过固定网区，在本情况下称为核心网络CN，来进行转换的。
图2示出在要建立与终端设备MS1a的连接时，在终端设备MS1a与运营网络NW2和主网络NW1的基站之间发送信号的顺序。其原因可能是，终端设备MS1a的用户希望建立连接或第三方正试图与其建立连接。作为例子，假定网络NW1，NW2为UMTS网络。
终端设备MS1a使用由其所支持的完整性保护技术的成套UTA-MS的信息开始建立与运营的移动无线网NW2的连接(阶段a)。
运营的移动无线网NW2向终端设备MS1a的主网络NW1询问加密管理信息，其包含由主网络NW1运营商授权的关于在运营的移动无线网NW2区域内能够得到哪些加密技术UEA的信息(阶段a)。在UMTS的情况下，该加密管理信息是所谓五件套的一部分，特别是，它是所谓验证标记(AUTN)的一部分。
其后就是验证阶段b。
在验证中，一方在所有情况下都要向另一方发送一个验证请求。该请求包含一号码，据此号码另一方借助预先确定的算法和只有他才知道的密钥来计算出应答。请求方将所收到的应答与预期值进行比较如果两者符合，请求方便知道另一方的确是其自称的那个人。
在UMTS中，网络还发送验证信号(AUTN)，其包含顺序号码5QN，管理范围AMF，以及信息验证码MAC。这一信号使网络能够通过终端设备得到验证。管理范围AMF包含由主网络NW1提供的加密管理信息。这个信息通过信息验证码受到完整性保护，所以运营网络不能改变这个信息，因此必须将其清楚地传输(阶段b)。
由于不属于移动无线网NW2但可能用于对终端设备MS1a的连接进行侵占攻击的错误基站BS3没有从主网络NW1得到这样的加密管理信息AMF，所以不易于能够把伪造的验证信息AUTN以其将被终端设备MS1a接受的方式提供给终端设备MS1a，因此，后者就启动了非加密连接。
取代完整性保护，主网络NW1还可以使用加密管理信息AMF的密码，而它不需要运营的移动无线网NW2所知道。
但是，这样的保护并不是必须遵循的。也可以设想，免遭攻击在一定程度上留给用户掌握，由终端设备MS1a收到的加密管理信息一旦说明非加密连接是必要的，终端设备MS1a上的显示就会引起用户对此情况的注意。在终端设备MS1a设置在存在加密可能的国家时，如果出现这样的显示，那么据此便可得到结论，终端设备MS1a受到攻击，建立中止建立连接。
在验证过程期间，运营的移动无线网NW2从由其支持的完整性保护技术的成套UIA-MS和成套UIA-NW中选出一项技术(UIA)并将其起动(阶段c)。然后在业已存在的完整性保护下将关于所选定完整性保护技术UIA的信息传输给终端设备MS1a(阶段d)。此信息还适当地包含有先前由终端设备MS1a向运营的移动无线网NW2发送的完整性保护技术UIA-MS的标记，所以终端设备MS1a能够查出这些标记是否已由运营的移动无线网NW2正确地接收到并找出由运营的移动无线网NW2所支持的加密技术UEA-NW的标记。
然后终端设备MS1a选定既由它也由运营的移动无线网NW2两者都支持的加密技术UEA(阶段e)并将其发回给网络NW2(阶段f)。从这时起，加密的传输就可以开始(阶段g)。
如果加密管理信息AUTN是真实的并指明允许非加密连接，而且运营网络NW2没有提供也由终端设备MS支持的任何加密技术，那么就有各种继续下去的可能性。首要的也是最简单的一种可能性就是在这些条件下中止连接的建立。自然，这么做非常有效地保护了用户免受欺诈攻击或不被监测，但同时它也意味着该终端设备不能够在没有加密可能的国家里使用。因此，这种可能性只是作为终端设备的至少两种操作状态中的第一种状态才是有用的，而第二种操作状态则应当允许建立非加密连接。
但是，由于第一种操作状态向用户提供了最大可能的安全限度，下述作法是恰当的无论何时只要用户尚未明确地选择另一操作状态，终端设备MS1a就采用这种操作状态，或无论何时只要终端设备MS1a被断路，它就自动地返回这种状态，或在终端设备收到指明加密可能性的加密管理信息AUTN时，例如因为终端设备已从没有加密能力的网络区域返回到有加密能力的网络时，终端设备就自动地返回这种状态。
在第二种操作状态中，允许建立非加密连接。第一种变异方案使非加密连接能在建立过程没有中间停断的情况下建立。所以用户知道其正在使用非加密连接，因而在这种操作状态下也冒一定的安全风险，终端设备MS1a配备有显示器，其将所设置的操作状态告知用户。这种显示器可以是，例如，移动终端设备通常设置的小键盘显示区或其部件的闪光，特别为此目的设置的发光元件或随所设置的操作状态变化的铃声信号。
在第二种操作状态的第二种变异方案中，在每个方案中规定，只有得到用户的明确授权时才能建立与没有加密能力的运营网络的连接。例如，在如下情况就可以这么做在第二种操作状态中，终端设备的一个键，其由用户按动来接收呼叫或在第一种操作状态中建立与对用户来说是对方的连接，只能使终端设备的显示屏显示一个短信息，即用户将要建立不安全的连接，同时终端设备请求由用户再次按同一键或甚至更为可靠而按另一键来得到一个协议声明，并且在这样按键之后只建立该连接。
使用上述方法，主网络能够以简单有效的方式保证，其用户由于漫游协议和提供了加密可能性而在用户能访问的所有外部网络中可以可靠地应用密码。与此同时还能向用户提供使用不允许加密那些国家的网络的自由。
由于上述同样的原因，如果正是终端设备而不是运营的移动无线网决定了待使用的加密技术，那么对这些原因是有利的。根据进一步演变的方法之实施方案，如果由终端设备决定完整性保护的型式，那也是恰当的。在这种方法中发送信号的顺序示于图3。本方法直至并包括由运营的移动无线网NW2所选定的建立完整性保护的第一阶段都与上述对于图2的第一阶段相同。
在阶段d’中传送至终端设备MS1a、包含由运营的移动无线网NW2所支持的加密技术UIA-NW的信息，在这里另外还包含由运营的移动无线网NW2支持的完整性保护技术的标记。在已接收到这一信息以后，终端设备MS1a除了选定待用的加密技术UEA以外，还要选择由该网络和终端设备所支持的完整性保护技术UIA’(阶段e’)，然后将指令发送给运营的移动无线网NW2以便在下面的程序中使用这两种选定结果UEA，UIA’(阶段f’)。
这种方法另外还为终端设备额外设置了对在随后通信期间(阶段g)所用完整性保护技术进行控制的装置，因而总是能够在现有的技术中使用从用户的观点看有希望有最大可能安全性的一种措施。
权利要求
1.在支持多种(UEA-MS)加密技术的终端设备(MS1a)与运营的移动无线网(NW2)之间建立连接的方法，其具有如下步骤a)将信息从运营的移动无线网(NW2)传送至终端设备(MS1a)，所述信息指明运营的移动无线网(NW2)所支持的加密技术(UEA-NW)；b)如果有的话，由终端设备(MS1a)选定由该终端设备和运营的移动无线网支持的一项加密技术(UEA)；c)使用由该终端设备选定的加密技术来操作该连接；或b’)如果没有由该终端设备和运营的移动无线网所支持的加密技术，则仅在授权之后对该连接进行非加密操作。
2.如权利要求1的方法，其特征在于，步骤a)中的信息在完整性保护下传输。
3.如权利要求1或2的方法，其特征在于，终端设备(MS1a)将由它支持的完整性保护技术(UIA-MS)通报给运营的移动无线网(NW2)，而运营的移动无线网(NW2)则在由其本身和终端设备(MS1a)所支持的完整性保护技术(UIA-NW；UIA-MS)中选定一项完整性保护技术并将关于所选定完整性保护技术(UIA)的通告传输给终端设备(MS1a)。
4.如权利要求3的方法，其特征在于，步骤a)中的信息包含关于由运营的移动无线网(NW2)所选定之完整性保护技术(UIA)的信息。
5.如上述权利要求之一的方法，其特征在于，运营的移动无线网(NW2)将由它支持的完整性保护技术(UIA-NW)通报给终端设备(MS1a)，而终端设备(MS1a)在由它本身和运营的移动无线网(NW2)支持的完整性保护技术中选定一项完整性保护技术(UIA’)，其中该连接则在由终端设备选定的完整性保护技术下进行操作。
6.如权利要求5的方法，其特征在于，步骤a)中的信息包含由运营的移动无线网(NW2)支持的完整性保护技术(UIA-NW)的通告。
7.如上述权利要求之一的方法，其特征在于，该方法还包括以下步骤d)将加密管理信息(AMF)从主网络(NW1)传输给终端设备(MS1a)，其告知终端设备(MS1a)与运营的移动无线网(NW2)的非加密连接是否必要，其中在步骤c)中，如果加密管理信息(AMF)指明非加密连接是必要的话，就操作该连接而不进行加密。
8.如权利要求7的方法，其特征在于，在加密管理信息(AMF)指明非加密连接是必要的情况下，这一说明的真实性在终端设备(MS1a)进行检验。
9.如权利要求7或8的方法，其特征在于，在加密管理信息(AMF)指明非加密连接是必要的情况下，给予终端设备(MS1a)的用户以选择余地是将连接建立成非加密的，还是将中断连接的尝试。
10.如权利要求7或8的方法，其特征在于，在加密管理信息(AMF)指明非加密连接是必要的情况下，将连接建立成非加密的。
11.如权利要求10的方法，其特征在于，操作终端设备进行显示以便通知用户该连接是非加密的。
12.如权利要求7-11之一的方法，其特征在于，在步骤d)中，加密管理信息(AMF)通过运营网络(NW2)在完整性保护下开始向终端设备(MS1a)传输。
13.如权利要求7-12之一的方法，其特征在于，在步骤d)中，加密管理信息(AMF)通过运营网络(NW2)在被验证的信令信道上传输给终端设备(MS1a)。
14.终端设备，特别是为实施上述权利要求之一的方法的终端设备，其特征在于，它具有用于选择由终端设备(MS1a)和运营的移动无线网(NW2)所支持的加密技术(UEA)的控制单元。
15.如权利要求14的终端设备，其特征在于，该控制单元还能够选择由终端设备(MS1a)和运营的移动无线网(NW2)所支持的完整性保护技术。
16.如权利要求14或15的终端设备，其特征在于，该控制单元在加密管理信息(AMF)指明运营的移动无线网(NW2)不支持加密技术时，允许在终端设备(MS1a)与运营的移动无线网(NW2)之间建立非加密连接。
17.如权利要求14-16之一的终端设备，其特征在于，所述终端设备包括加密显示，该显示向用户指示出运营的移动无线网(NW2)是否支持加密技术。
18.如权利要求17的终端设备，其特征在于，它的建立是用来在由运营的移动无线网(NW2)建立连接期间接收加密管理信息(AMF)。
19.如权利要求17或18的终端设备，其特征在于，控制单元可以由用户在下述操作状态中至少两个状态之间进行转换-第一种操作状态，其中建立不支持加密的与运营的移动无线网的连接，并且进行加密显示以便通知用户该连接是非加密的；-第二种操作状态，其中如果运营的移动无线网不支持加密技术，就中止建立连接的尝试；-第三种操作状态，其中如果移动无线网不支持加密技术，就中止建立连接的尝试并请求用户输入来决定是将要中止该尝试还是将其继续下去。
20.移动无线网，特别是用来实施上述权利要求之一方法的移动无线网，其特征在于，它能够执行终端设备(MS1a)的指令，而该指令则指明在终端设备(MS1a)与移动无线网(NW2)间进行连接时将使用的加密技术(UEA)。
21.如权利要求20的移动无线网，其特征在于，它还能够执行终端设备(MS1a)的指令，该指令明定在终端设备(MS1a)与移动无线网(NW2)之间进行连接时将要使用的完整性保护技术(UIA’)。
22.如权利要求20或21之一的移动无线网，其特征在于，它能够把在它和终端设备(MS1a)之间将建立连接的信息发送给与移动无线网(NW2)不同的终端设备(MS1a)主网络(NW1)，并且把加密管理信息(AMF)从主网络(NW1)发送至终端设备(MS1a)，该信息包含由移动无线网(NW2)支持的关于加密技术(UEA-NW)的说明。
全文摘要
在进行支持若干加密技术(UEA－MS)终端设备(MS1a)与运营的移动无线网(NW2)之间建立连接时，将信息从运营的移动无线网(NW2)传输给鉴别该运营的移动无线网所支持加密技术(UEA－NW)的终端设备(MS1a)，若能得到的话，该终端设备选定由该终端设备和运营的移动无线网(NW2)所支持的一种加密技术(UEA)，并且使用由该终端设备选定的加密技术来操作该连接。如果得不到由该终端设备和运营的移动无线网所支持的加密技术，则只在得到事先授权时才对该连接进行非加密操作。
文档编号H04L9/14GK1430857SQ01809997
公开日2003年7月16日 申请日期2001年4月3日 优先权日2000年5月22日
发明者B·文克 申请人:西门子公司