用于保护核心网络的方法和设备的制作方法

专利名称：用于保护核心网络的方法和设备的制作方法
技术领域：
一般来说，本发明涉及移动通信领域，更具体地说，涉及通过 在非授权移动接入网内检查移动台的移动识别码来保护核心网络的
方法和i殳备。
背景技术：
非授权移动接入(UMA)规范建议，非授权网络控制器(UNC)和非 授权网络控制器安全网关(UNC-SGW)应当检查在移动台(MS)建立朝 向UNC-SGW的IPsec安全连接时和在MS在UNC注册时是否使用 相同的国际移动用户识别码(IMSI)。在这两种情况下，MS将IMSI 分别提供给UNC-SGW和UNC。但是，这些建议的实现仍然会令核 心网络易受到攻击。
在另外又称为通用接入网(GAN)的"A/Gb接口的通用接入，，的 第三代合作伙伴计划(3GPP)标准中也是如此。参见3GPP技术规范 43.318(阶段2)和44.318(阶段3)。注意，3GPP规范中的通用接入网 络控制器(GANC)等同于UMA规范中的UNC。类似地，3GPP规范 中的通用接入网络控制器安全网关(GANC-SEGW)等同于UMA规范 中的UNC-SGW。
例如，MS可以使用多个临时移动用户识别码(TMSI)或分组临时 移动用户识别码(P-TMSI)来仿效多个MS,如具有SIM卡阅读器的个 人计算机(PC)和UMA客户机。此外，敌对MS可以向核心网络发送 "位置更新"或"IMSI分离"消息，从而在MS层上造成拒绝服务(DoS) 类型的攻击(终止通话将失败等)。因此，需要在移动台与核心网络通 信时通过检查移动台所用的移动识别码(IMSI、 TMSI和/或P-TMSI)
来保护核心网络的方法和设备。

发明内容
本发明提供在移动台(MS)与核心网络通信时通过检查移动台所 用的移动识别码(国际移动用户识别码(IMSI)、临时移动用户识别码 (TMSI)和/或分组临时移动用户识别码(P-TMSI))来保护核心网络的方 法和设备。简单地说，丟弃包含与跟MS(注册后)相关的存储移动识 别符不一致的移动识别符的消息。 一旦丢弃这样的消息，便可以釆 取各种防范和报告措施。因此，只允许MS使用 一个IMSI、 一个TMSI 和一个P-TMSI。结果，本发明保护核心网络使其免于恶意的不良MS 实现。注意，本发明同时适用于非授权移动接入网(UMAN)和GAN。
更具体地说，本发明提供一种通过4^收包含MS的移动识别码的 消息并在所接收的移动识别码与跟MS相关的存储移动识別码不匹配 时丟弃该消息来保护核心网络的方法。当所接收的移动识别码与跟 MS相关的存储移动识别码匹配时，处理该消息。移动识别码可以是 IMSI、 TMSI或P-TMSI。消息可以是上行链路消息或下行链路消息， 如移动性管理(MM)消息、通用分组无线业务(GPRS)移动性管理(GMM) 消息、或UMA或非授权无线资源(URR)消息(只在MS和UNC之间 使用)。可以将本发明实现为在计算机可读介质上实施的计算机程序， 其中各方法步骤由 一个或多个代码段实现。
此外，本发明提供一种包括可在通信上耦合到处理器的数据存 储装置的设备。数据存储装置存储移动识别码与MS的关联性。处理 器接收包含MS的移动识别码的消息，并且当所接收的移动识别码与 跟MS相关的存储移动识别码不匹配时，丟弃该消息。该设备通常是 与核心网络通信的非授权移动接入网(UMAN)内的非授权网络控制器 (UNC)或通用接入网(GAN)内的通用接入网络控制器(GANC)。


在阅读以下对参照附图举例给出的各个实施例的描述后，本发
明的其它益处和优点将变得更加显而易见，附图中
图1是描绘在UMA网络和核心网络之间使用移动识别码的代表 性信令序列；
图2是描绘根据本发明的保护核心网络的方法的流程图； 图3是描绘本发明的关于上行链路消息的一个实施例的使用的 信令序列；
图4是描绘本发明的关于下行链路消息的一个实施例的使用的 信令序列；
图5是描绘根据本发明的关于上行链路消息的一个实施例的方 法的流程图6是描绘根据本发明的关于下行链路消息的一个实施例的方 法的流程图；以及
图7是描绘根据本发明的关于下行链路消息的另一个实施例的 方法的流程图。
具体实施例方式
尽管下文详细论述本发明的各个实施例的形成和使用，^f旦应了 解，本发明提供多个适用的发明概念，它们可以在各种各样的特定 背景中实施。本文所论述的具体实施例只是说明形成和使用本发明 的具体方法，而不划定本发明的范围。
为了便于理解本发明，下文定义了多个术语。这里定义的术语 的意义是与本发明相关的领域的技术人员普遍已知的。诸如"一" 和"该"的术语不只是指单数实体，而是包括总类，其具体实例可 以用来进行说明。这里的术语用于描述本发明的具体实施例，但是 除了如权利要求中概述外，它们的使用并不划定本发明的界限。
本发明提供在移动台(MS)与核心网络通信时通过检查移动台所
用的移动识别码(国际移动用户识别码(MSI)、临时移动用户识别码 (TMSI)和/或分组临时移动用户识别码(P-TMSI))来保护核心网络的方 法和设备。简单地说，丢弃包含与跟MS(注册后)相关的存储移动识 别符不一致的移动识别符的消息。 一旦丟弃这样的消息，便可以采 取各种防范和报告措施。因此，只允许MS使用一个IMSI、 一个TMSI 和一个P—TMSI。结果，本发明保护核心网络使其免于恶意的不良MS 实现的侵害。注意，本发明同时适用于非授权移动接入网(UMAN)和 G服
现参照图1，示出描绘在非授权移动接入(UMA)网(UMAN)或通 用接入网(GAN)100和核心网络102之间使用移动识别码的代表性信 令序列。当MS 104建立朝向非授权网络控制器的安全网关(UNC-SGW) 或通用接入网络控制器的安全网关(GANC-SEGW;)106的IPsec安全 连接108时，MS 104将IMSI提供给使用EAP-SIM或EAP-AKA的 UNC-SGW或GANC-SEGW 106。 UNC-SGW或GANC-SEGW 106 在HLR 110中使用众所周知的信令和验证协议(验证、授权和统计 (AAA)基础结构114)来验证110该IMSI。当MS 104向非授权网络 控制器(UNC)或通用接入网络控制器(GANC)116注册118时，MS 104 也将IMSI提供给UNC或GANC 116。此外，当MS104与核心网络 102(如MSC 112)通信120时，MS 104利用IMSI、 TMSI或P-TMSI 来标识其本身。
注意，在注册118时，不将TMSI和P-TMSI报告给UNC或GANC 116。 TMSI和P-TMSI只在位置区域内有意义。在位置区域之外，TMSI 和P-TMSI必须与位置区域识别符(LAI)组合才能提供明确的识别码。 通常，至少在位置区域每次改变时执行TMSI或P-TMSI重新分配。 这些选择权留给网络运营商。
在MS 104和MSC/来访位置寄存器(VLR)112之间的以下移动性 管理(MM)消息中用到移动识别码。
从MS 104到MSC/VLR 112(上行链路消息)
位置更新请求 识别码响应 CM业务请求
IMSI分离指示 CM重建请求 从MSC/VLR 112到MS 104(下行链路消息) TMSI重新分配命令 位置更新接受
在从MS 104到MSC/VLR 112的"PAGING RESPONSE(寻呼响应)" 消息中也使用移动识别码。因此，UNC或GANC 116可以对在MS 104 和MSC/VLR 112之间发送的MM消息执行检查。
现参照图2，示出描绘根据本发明的保护核心网络102的方法200 的流程图。在方框202， UNC或GANC116接收包含MS 104的移动 识别码的消息。然后，在方框204, UNC或GANC 116通过将所4妾 收的移动识别码与跟MS 104相关的存储移动识别码进行比较来判定 所接收的移动识别码是否正确。如果根据判定块206中的判定，所 接收的移动识别码正确，那么在方框208，处理(如转发等)所接收的 消息。但是，如果根据判定块206中的判定，所接收的移动识别码 不正确，那么在方框210，丟弃所接收的消息。移动识别码可以是 IMSI、 TMSI或P-TMSI。所接收的消息可以是上行链路消息或下行 链路消息，如移动性管理(MM)消息、通用分组无线业务(GPRS)移动 性管理(GMM)消息、或UMA或非授权无线资源(URR)消息(只在MS 104和UNCU6之间使用)。
UNC或GANC 116通过执行层违背，即通过潜入由MS 104向 核心网络102发送的上层消息中以便查看MS 104是否使用与它向 UNC或GANC 116注册时所用的IMSI相同的IMSI,来判定MS 104 的移动识别码是否正确。因为由MSC7VLR 112指派TMSI值且由 SGSN指派P-TMSI,所以UNC或GANC 116可以检查MS 104是否
使用由MSC 112指派的值。这又可以通过以下方法来执行首先检 查核心网络102发送的上层下行链路消息，以便查看是将TMSI值还 是将P-TMSI值指派给MS 104;然后检查上层上行链路消息，以便 查看MS 104实际使用的是所指派的TMSI值还是P-TMSI值。
可以将本发明实现为诸如UNC或GANC 116的设备，其包括可 在通信上耦合到处理器的数据存储装置。数据存储装置存储移动识 别码与MS 104的关联性。处理器接收包含MS 104的移动识别码的 消息202,并且当所接收的移动识别码与跟MS 104相关的存储移动 识别码不匹配时，丟弃210该消息。处理器可以是预处理器、过滤 器或该设备内的其它处理装置。数据存储装置可以是存储器、磁盘 驱动器、硬磁盘机等。
现参照图3,示出描绘本发明的关于上行链路消息302的一个实 施例的使用的信令序列300。当UNC或GANC 116接收包含移动识 别码的上行链路消息302时，UNC或GANC 116检查304该移动识 别码。如果上行链^"消息302是注册请求(即，新MS 104)，那么UNC 或GANC 116将存储所接收的移动识别码并将它与MS 104相关联， 并且处理所接收的消息(即，执行注册)。如果检查304失败，即所接 收的移动识别码与跟MS 104相关的存储移动识别码不匹配，那么丟 弃消息302。但是，如果检查304通过，即所接收的移动识别码与跟 MS 104相关的存储移动识别码匹配，或者该移动识别码不可4企测， 那么UNC或GANC 116处理消息302(如转发消息306)。在MS 104 和SGSN之间的一些GMM消息(即，GPRS移动性管理(GMM)消息) 中，因为它们经过加密后在LLC层上发送，并且UNC或GANC 116 无法轻易地潜入到这些消息中，所以移动识别码不可^f企测。例如， 通常未经加密地发送"路由区域更新请求，，消息，并且UNC或GANC 116可以对该消息才丸行;险查。
更具体地说，如果上行链路消息302包含IMSI，那么UNC或 GANC 116检查该IMSI是否与MS 104在注册过程中提供的IMSI相
同。如果相同，那么将消息306转发给核心网络。如果不同，则丟 弃该消息。UNC或GANC 116也可注销MS 104,并将MS 104所用 的IP地址临时列入黑名单。其它动作可包括报警通知操作员和将事 件记入日志。
如果上行链路消息302包含TMSI或P-TMSI，并且UNC或GANC 116没有存储该MS 104的TMSI或P-TMSI，那么将该TMSI或P-TMSI 存储在MS 104的上下文中。但是，如果UNC或GANC 116已经存 储了该MS 104的TMSI或P-TMSI,那么UNC或GANC 116检查这 些TMSI或P-TMSI值是否相同。如果相同，则将消息306转发给核 心网络。如果不同，则丟弃该消息。UNC或GANC 116也可以注销 MS 104，并将MS 104所用的IP地址临时列入黑名单。其它动作可 包括报警通知操作员和将事件记入日志。
现参照图4,示出描绘本发明的关于下行链路消息402的一个实 施例的使用的信令序列400。当UNC或GANC 116 4矣收包含移动识 别码的下行链路消息402时，UNC或GANC 116检查404该移动识 别码。如果下行链路消息402包含MS 104的新的移动识别码(新指 派或有所变化)，那么UNC或GANC 116将存储所接收的移动识别 码并将它与MS 104相关联，并且处理所接收的消息(即，将消息406 转发给MS 104)。如果检查404显示，已经存储了(例如，已经存在)MS 104的移动识别码，那么处理所接收的消息(即，将消息406转发给 MS 104)。或者，可以一直保存该移动识别码，直到接收到接受、确 认或完成下行链路消息402的上行链路消息才存储该移动识别码。
例如，如果下行链路消息402是"TMSI重新分配命令"，那么 UNC或GANC 116将所指派的TMSI值存储在MS 104上下文中。 在跟MS 104上下文相关的信令连接上接收下行链路消息。将TMSI 存储到MS 104上下文中也可以延迟到从MS 104接收到"TMSI重 新分配完成"消息为止。同样地，如果下行链路消息402是"位置 更新接受"并且将新的TMSI指派给MS 104，那么UNC或GANC 116
将所指派的TMSI值存储在MS 104上下文中。将TMSI存储到MS 104 上下文中也可以延迟到从MS 104接收到"TMSI重新分配完成"消 息为止。以同样方式处理"P-TMSI重新分配命令"的过程。
现参照图5,示出描绘根据本发明的关于上行链路消息的一个实 施例的方法500的流程图。在方框502,接收上行链路消息。如果根 据判定块504中的判定，所接收的消息不包含MS的移动识别码(或 其不可检测)，那么在方框506处理该上行链路消息(如转发、执行等)。 但是，如果根据判定块504中的判定，该上行链路消息包含MS的移 动识别码，并且根据判定块508中的判定，该移动识别码是IMSI， 并且根据判定块510中的判定，该上行链路消息是注册请求，那么 在方框512,存储IMSI并将它与MS相关联，并且注册MS。 ^旦是， 如果根据判定块510中的判定该上行链路消息不是注册请求，并且 根据判定块514中的判定所接收的IMSI与跟MS相关的存储IMSI 匹配，那么在方框506正常处理该消息。但是，如果根据判定块514 中的判定，所4妄收的IMSI与跟MS相关的存储IMSI不匹配，那么 在方框516丟弃该消息。UNC或GANC 116还可执行以下任一或所 有动作在方框518，注销MS;在方框520，在一段时间内将跟MS 相关的IP地址列入黑名单；在方框522，通知系统^喿作员所丟弃的 消息和注销移动台；或者在方框524,将关于所丟弃的消息和注销移 动台的信息记入日志。
但是，如果根据判定块508中的判定，移动识别码是TMSI或 P-TMSI,并且根据判定块526中的判定，没有存储MS的TMSP或 P-TMSI，那么在方框528存储该TMSI或P-TMSI并将它与MS相关 联，并且在方框506正常处理该消息。但是，如果根据判定块526 中的判定，已经存储了 MS的TMSI或P-TMSI,并且根据判定块530 中的判定，所接收的TMSI或P-TMSI与跟MS相关的存储TMSI或 P-TMSI匹配，那么在方框506正常处理该消息。但是，如果根据判 定块530中的判定，所接收的TMSI或P-TMSI与跟MS相关的存储
TMSI或P-TMSI不匹配，那么在方框516丟弃该消息。UNC或GANC 116还可执行以下任一或所有动作在方框518，注销MS;在方框520, 在一段时间内将跟MS相关的IP地址列入黑名单；在方框522,通 知系统操作员所丢弃的消息和注销移动台；或者在方框524，将关于 所丟弃的消息和注销移动台的信息记入日志。
现参照图6，示出描绘根据本发明的关于下行链路消息的一个实 施例的方法600的流程图。在方框602,接收下行链路消息。如果根 据判定块604中的判定，该下行链路消息不包含MS的TMSI或P-TMSI(或其不可检测)，那么在方框606处理该下行链路消息(如转发、 执行等)。但是，如果根据判定块604中的判定，该下行链路消息包 含MS的TMSI或P-TMSI，并且根据判定块608中的判定，该TMSI 或P-TMSI不是新的(即，UNC或GANC 116已经存储了并将它与MS 相关联)，那么在方框606正常处理该下行链路消息。但是，如果根 据判定块608中的判定，该TMSI或P-TMSI是新的，那么在方框610 存储该TMSI或P-TMSI并将它与MS相关联，并且在方框606正常 处理该消息。
现参照图7，示出描绘根据本发明的关于下行链路消息的另一个 实施例的方法700的流程图。在方框702，接收下行链路消息。如果 根据判定块704中的判定，该下行链路消息不包含MS的TMSI或 P-TMSI(或其不可检测)，那么在方框706处理该下行链路消息(如转 发、执行等)。但是，如果根据判定块704中的判定，该下行链路消 息包含MS的TMSI或P-TMSI,并且才艮据判定块708中的判定，该 TMSI或P-TMSI不是新的(即，UNC或GANC已经存储了并将它与 MS相关联)，那么在方框706正常处理该下行链路消息。但是，如 果根据判定块708中的判定，该TMSI或P-TMSI是新的，那么在方 框710保存该TMSI或P-TMSI，并且在方框712正常处理该消息。 保存该TMSI或P-TMSI，直到在方框714接收到4^受、确i^或完成 所才矣收的包含所保存的TMSI或P-TMSI的下行链路消息的上行链路
消息为止。此后，在方框716存储所保存的TMSI或P-TMSI并将它 与MS相关联，并且在方框718中正常处理该上行链路消息。
注意，可以将上迷任一方法实现为在计算机可读介质上实施的 计算机程序，其中各方法步骤由一个或多个代码段实现。
尽管详细描述了本发明及其优点，但应了解，在不偏离如所附 权利要求定义的本发明的精神和范围的前提下，这里可以做出各种 改变、替换和变更。此外，不希望将本申请的范围限制在本说明书 中描述的过程、才几器、制造品、物质的组分、方式、方法和步骤的 特定实施例，而是它只受权利要求的限制。
权利要求
1.一种保护核心网络(102)的方法，包括以下步骤接收(202)包含移动台(104)的移动识别码的消息(302、402)；以及当所接收的移动识别码与跟所述移动台(104)相关的存储移动识别码不匹配时，丢弃(210)所述消息(302、402)。
2. 如权利要求1所述的方法，还包括以下步骤当所接收的移 动识别码与跟所述移动台(104)相关的所述存储移动识别码匹配时， 处理(208)所述消息(302、 402)。
3. 如权利要求1所述的方法，其特征在于，所述移动识别码是 国际移动用户识别码(IMSI)、临时移动用户识别码(TMSI)或分组临时 移动用户识别码(P-TMSI)。
4. 如权利要求l所述的方法，其特征在于，所述消息(302、 402) 是上行链路消息(302)或下行链路消息(402)。
5. 如权利要求4所述的方法，其特征在于，从移动交换中心 (MSC)(116)或通用分组无线业务(GPRS)支持节点(SGSN)接收所述上 行链路消息(302)。
6. 如权利要求1所述的方法，还包括以下步骤当所接收的消 息(302、 402)是注册请求时，存储(512)所接收的移动识别码并处理所 接收的消息(302、 402)。
7. 如权利要求1所述的方法，还包括以下步骤当所接收的消 息(302、 402)是下行链路消息(402)并且所接收的移动识别码将指派或 改变所述移动台(104)的移动识别码时，存储(610)所接收的移动识 别码并处理(608 )所接收的消息(302、 402)。
8. 如权利要求7所述的方法，其特征在于，直到接收到(714) 接受、确认或完成所述下行链路消息(402)的上行链路消息才存4诸(716)所接收的移动识别码。
9. 如权利要求l所述的方法，其特征在于，丟弃(210、 516)所接 收的消息(302、 402)的步骤还包括以下步骤注销(518)所述移动台；黑名单(520);通知(522)系统操作员所述丟弃的消息和注销所述移动台；或者 将关于所述丟弃的消息和注销所述移动台(104)的信息记入日志 (524)。
10. 如权利要求1所述的方法，其特征在于，所接收的消息是移 动性管理(MM)消息、通用分组无线业务(GPRS)移动性管理(GMM)消 息、或UMA或非授权无线资源(URR)消息。
11. 如权利要求1所述的方法，其特征在于，在与所述核心网络 (102)通信的非授权移动接入网(UMANX100)内的非授权网络控制器 (UNC)(l 16)或通用接入网(GAN)(IOO)内的通用接入网络控制器 (GANC)(116)处接收所述消息(302、 402)。
12. —种包含在计算机可读介质上的用于保护核心网络(102)的计 算机程序，包括用于接收(202)包含移动台(104)的移动识别码的消息(302 、 402) 的代码段；以及用于在所接收的移动识别码与跟所述移动台(10 4)相关的存储移 动识别码不匹配时丢弃(210)所述消息(302、 402)的代码段。
13. 如权利要求12所述的计算机程序，还包括用于在所接收的 移动识别码与跟所述移动台(104)相关的所述存储移动识别码匹配时 处理(208)所述消息(302、 402)的代码段。
14. 如权利要求12所述的计算机程序，还包括用于在所接收的 消息(302、 402)是注册请求时存储(512)所接收的移动识别码并处理所 接收的消息(302、 402)的代码段。
15. 如权利要求12所述的计算机程序，还包括用于在所接收的 消息(302、 402)是下行链路消息(402)并且所接收的移动识别码将指派 或改变所述移动台(104)的移动识别码时存储(610)所接收的移动识别 码并处理(608)所接收的消息(302、 402)的代码段。
16. 如权利要求15所述的计算机程序，其特征在于，直到接收 到(714)接受、确认或完成所述下行链路消息(402)的上行链路消息才 存储(716)所接收的移动识别码。
17. —种设备，包括存储移动识别码与移动台的关联性的数据存储装置；以及 在通信上耦合到所述数据存储装置的处理器，所述处理器接收 (202)包含移动台(104)的移动识别码的消息(302、 402)，并在所接收 的移动识别码与跟所述移动台(104)相关的存储移动识别码不匹配时 丟弃(210)所述消息(302、 402)。
18. 如权利要求17所述的设备，其特征在于，所述设备是非授 权网络控制器CUNC)(l 16)或通用接入网络控制器CGANC)。
19. 如权利要求17所述的设备，其特征在于，当所接收的移动 识别码与跟所述移动台(104)相关的所述存储移动识别码匹配时，所 迷处理器处理(208)所述消息(302、 402)。
20. 如权利要求17所述的设备，其特征在于，当所接收的消息 (302、 402)是注册请求时，所述处理器存储(512)所接收的移动识别码， 并处理所接收的消息(302、 402)。
21. 如权利要求17所述的设备，其特征在于，当所接收的消息 (302、 402)是下行链路消息(402)并且所接收的移动识别码将指派或改 变所述移动台(104)的移动识别码时，所述处理器存储(610)所接收的 移动识别码，并处理(608)所接收的消息(302、 402)。
22. 如权利要求21所述的设备，其特征在于，直到接收到(714) 接受、确认或完成所述下行链路消息(402)的上行链路消息才存储(716) 所接收的移动识别码。
全文摘要
本发明提供通过接收(202)包含MS(104)的移动识别码的消息(302、402)并且当所接收的移动识别码与跟MS(104)相关的存储移动识别码不匹配时丢弃(210)消息(302、402)来保护核心网络(102)的方法和设备。当所接收的移动识别码与跟MS(104)相关的存储移动识别码匹配时，处理(208)消息(302、402)。移动识别码可以是IMSI、TMSI或P-TMSI。消息(302、402)可以是上行链路消息(302)或下行链路消息(402)，如移动性管理(MM)消息、通用分组无线业务(GPRS)移动性管理(GMM)消息、或UMA或非授权无线资源(URR)消息。可以将本发明实现为在计算机可读介质上实施的计算机程序，其中各方法步骤由一个或多个代码段实现。
文档编号H04L12/28GK101107814SQ200580047082
公开日2008年1月16日 申请日期2005年1月24日 优先权日2005年1月24日
发明者J·T·威克伯格, T·尼兰德 申请人:艾利森电话股份有限公司