专利名称:安全网络连接的制作方法
技术领域:
本发明涉及用于在移动无线通信网络连接中使用的方法以及用于实现这种连接的移动无线通信设备和网络设备。本申请基于2009年6月29日递交的英国专利申请No. 0911117. O并要求其优先权,该申请的全部公开内容通过引用结合于此。
背景技术:
对于诸如用户设备(UE)手机之类的与移动通信网络相关联地操作的移动无线通
信设备,各种与安全有关的过程在寻找网络连接时出现,无论是在初始连接时找网络连接还是在要求UE从一个网络切换到另一网络时找网络连接都是如此。这种切换过程可能涉及不同网络技术之间的切换,特别是随着通信系统及其基础技术的演进更是如此。安全算法一般是为了实现和维持在UE和网络之间的不间断安全通信而提供的,并且核心网络(CN)基于UE的安全能力来提供所需的安全算法是很常见的。然而已发现,由于不同安全算法的可能性(特别是在算法因升级而改变、使得UE和网络设备未都完全升级为仅使用新算法之后),出现了问题和潜在的限制。于是,通过可能已过期的、或不支持并且可能受损的算法的继续使用,不间断数据传送的安全性可能受到损害。已知与安全问题特别是安全算法创建和协商有关的各种网络系统和设备,例如在中国专利申请CN101242360、CN101374153、CN101222320和美国专利申请US2006/294575中发现的网络系统和设备。虽然这些早期申请覆盖了网络安全的方方面面,但是没有一个申请力图解决目前认识到并由本发明克服的、有关可能不支持的旧算法的使用的问题。
发明内容
本发明力图提供具有超越这种已知方法和设备的优点并且尤其能够在由移动无线通信设备运行的连接过程之后提供高度的不间断安全性的网络连接方法和相关的移动无线通信和网络设备。根据本发明的第一方面,提供了在移动无线通信网络连接过程中使用的方法,包括以下步骤响应于对与切换相关联的安全算法的支持性的判断,在移动无线通信设备处拒绝来自网络的切换请求。由于此时移动无线通信设备不自动接受切换请求并限制了移动无线通信设备和网络之间的后续数据交换可能使用较旧的并且现在可能已受损的安全算法的危险,本发明可以被证明是有利的。本方法在涉及判断对由网络建议的安全算法的支持性的情形中特别有用。通常,安全算法会在网络中的接入层(AS)级别被建议,所以本发明在实现AS中的、与可能不支持的安全算法有关的适应力方面可以被证明特别有利。优选地,发现该算法可以由网络在从该网络获取的切换命令内建议。
另外,本方法可以包括如下步骤从移动无线通信设备向网络提供由于对安全算法的不支持而造成的连接失败的通知。在一个特定实施例中,安全算法包含演进的分组系统(EPS)安全算法。此外,本方法可有利地在如下情形中被采用仅网络最初被布置成支持升级的算法,或者相反,仅移动无线通信设备被布置成最初通过升级的算法来操作。根据一个特定方面,本方法还包括以下步骤在网络中利用与被判断为不支持的算法不同的第二算法来发起切换过程。具体地,本方法可以包括在网络中重新发起切换过程的步骤。根据本发明的另一方面,提供了如下移动无线通信设备,所述移动无线通信设备被布置成判断其中对安全算法的支持性,还被布置成响应于对所述安全算法的支持性的判断来拒绝网络连接请求。如以上关于本发明的方法所述,移动无线通信设备可以被布置成接收由网络建议的、特别是AS级别的并且一般在切换命令内的、安全算法的细节。 移动无线通信设备当然还可以被布置成向网络提供通知,以指示对连接的拒绝是响应于所判断的对安全算法的不支持的。另外,本发明可以提供形成网络的用于取得到移动无线通信设备的连接的部分的移动无线通信网络设备,所述网络设备被布置成从移动无线通信设备接收连接拒绝通知并利用与不支持的算法不同的第二安全算法来重新发起连接过程。将理解,本发明提供了用于在移动无线通信网络中使用的、特别是与UE和网络设备有关的方法,其中UE和网络设备的至少一个中对安全算法的有效支持性被判断,并且其中UE可以响应于建议的安全算法可能不被支持的判断而拒绝被尝试的网络连接,以便基于不同的、可能被支持的安全算法来允许重新发起网络连接。本发明被证明当例如UE到EPS网络的网络连接被要求并且基于UEEPS安全能力时特别有用。
下面仅通过示例方式参考附图来进一步描述本发明,附图中图I是采用了根据体现本发明的方法而出现的信令并且用于UE和相关的EPS网络的信令图示;图2是采用了本发明的移动无线通信设备UE的示意框图;并且图3是根据本发明一个方面的网络设备的示意框图。
具体实施例方式如下面进一步讨论的,所例示的本发明的示例是在涉及对AS切换命令中由网络建议的AS级别的长期演进(LTM)算法的支持度和相关性的判断、并且与尝试的到EPS网络的切换过程有关的情况下例示的。所例示的本发明的特定实施例力图克服前面与现有技术相关地讨论的,并且作为这种限制的特定示例、在UE到EPS网络的连接发现的那些缺点。在这种已知情景内,并且在这种连接的时候,CN被布置成基于UE EPS安全能力、并且为了保证与UE通信的安全而提供所需的安全算法。然而,可能存在CN不知道UE EPS安全能力的情况,例如,UE是从遗留网络切换来的,因而安全算法不再被UE支持,于是UE和网络之间的任何不间断通信不再能够得益于该算法所提供的潜在安全性,所以该通信以不安全的方式继续。即,UE和网络之间的不间断后续通信是基于过期的EPS安全算法的,该安全算法即使提供某些级别的安全性,也远远不能提供最优的安全性。在本申请的背景下,所谓的“新的"UE或网络被认为是由于已升级为支持可用的新安全算法而不再支持旧的安全算法的UE或网络。相反,“旧的”UE或网络是即使可能的更新是可用的、仍支持丨H的安全算法的UE或网络。当然,应该理解,这种安全算法可以与“完整性保护”或“加密”有关,并且作为示例,EPS安全算法的默认集合包含基于AES的加密算法,如EAO NULL算法,128-EEA1 ;以及基于SNOW 3G的算法和128-EEA2。虽然用于完整性保护的AES的示例包含128-EIA1 SN0W3G和128-EIA2,但是应该理解,所谓的旧算法可以形成(例如来自3GPP发布8的)EPS安全算法的默认集合的一部分或者可以是3GPP发布8版本的一部分。S卩,当为了执行来自非EPS网络的切换而从不具有最新的UE EPS安全能力的预发布8网络要求到UE的连接时,UE将不接受该切换,从而导致在UE和网络之间后续交换的数据可能采用较旧的并且不完全支持的安全算法,这种算法当然可能意味着潜在的安全损害。如上所述,并且如下面将讨论的,本发明提供了如下方法,该方法在诸如UE之类的终端设备不再支持所需的EPS AS安全算法的情况下并且特别是在网络本身已升级为不支持该算法时,允许终端设备拒绝被请求的朝向3GPP LTE接入技术的连接。该方法有利地包括从UE到网络的通知,使得网络可以随后通过选择与作为初始连接请求的一部分而发现的特定算法不同的EPS安全算法来尝试重新连接到可能已升级为不支持该特定算法的UE0现在转向图1,例示了关于在UE 10和网络12之间出现的、与本发明有关的信令消息的信号定时图示。在本示例中,UE 10包含已升级为支持新的安全算法的“新"UE,并且网络12包含尚未升级所以只支持较旧的安全算法的“旧”网络12。在到网络12的尝试切换过程开始时,AS切换命令14被从网络12发给UE 10。
虽然未示出,但是AS切换命令14包含AS安全容器,还包含NAS安全容器,所述AS安全容器包括AS被选安全算法。根据本发明,UE 10被布置成检查AS切换命令信号14中由网络建议的AS级别的LTE算法。识别了网络12的旧的(并且现在在UE 10处不支持的)算法后,UE 10拒绝被请求的AS切换。这种拒绝体现在AS切换失败消息信号16中,根据本发明的特定例示实施例,AS切换失败消息信号16包括“原因值”,使得网络10可以容易地推断出连接针对不支持的安全算法被拒绝。S卩,AS切换失败信令消息16具有指示“不需要的AS安全算法”——一般意味着该算法在UE 10中不支持——的存在性的“失败原因”部分。
在切换失败信令16中提供这种失败原因元素使得网络12能够重新发起切换过程并选择与之前的AS切换命令消息14中指示的算法不同的AS安全算法。当然,应该理解,这种过程可以继续,直到适合的或可能更适合的安全算法在AS切换命令14中被指示以供后续使用。本发明的一个特别有利的方面在于在信令中提供了关于对AS切换的拒绝的指示,当然,这种指示与不支持的EPS安全算法的存在性有关。现在转向图2,提供了用于根据本发明来使用的UE设备手机18的示意表示。该手机包括与手机天线24相关的标准发送20、接收22功能以及标准处理26和存储28能力。然而根据本发明,本发明的处理26能力可以包括用于至少判断网络信令中建议的安全算法的支持度的并被布置成响应于安全算法的这种判断的结果而发起对连接请求的拒绝的装置。当然,并且从上文可以理解,手机18的处理26能力提供了将缺少对安全算法的完全支持识别为拒绝原因的拒绝指示。与网络中这种图2的UE 18相关,通过了如图3所示的网络设备。图3包含具有收发器功能32以及标准处理34和存储36功能的适当网络元件30的示意框图。对于网络元件30,处理34功能包括用于接收例如由手机18提供的连接拒绝通信的装置。重要的是,在识别了这种失败的原因后,处理34功能被布置成例如通过重新发起的AS切换(例如图I所示的命令14)来从网络元件30向例如图2的UE 18重新发起连接过程。因此将理解,本发明提供的各种通信和网络设备以及操作方法在提供与不支持的EPS安全算法有关的AS功能的改进的适应度方面是有利的。当然,应该理解,本发明不限于前述输入元件的具体细节,因为任何适当连接情景都可以得益于本发明,而不仅是所例示的LTE切换过程。通过使用本发明,UE和网络之间的后续通信以便可以仅基于支持的安全算法,从而有利地维护了后续通信的安全性。工业应用件本发明可以应用于网络连接方法、移动无线通信和网络设备。根据该网络连接方法、移动无线通信和网络设备,可以在移动无线通信设备运行的连接过程之后提供高度不间断安全性。
权利要求
1.一种在移动无线通信网络连接过程中使用的方法,所述方法包括以下步骤 响应于对与切换相关联的安全算法的支持性的判断,在移动无线通信设备处拒绝来自网络的切换请求。
2.根据权利要求I所述的方法,还包括以下步骤判断对由所述网络建议的安全算法的支持性。
3.根据权利要求2所述的方法,其中所述安全算法是在所述网络中的接入层级别被建议的。
4.根据权利要求1-3中任一项所述的方法,其中所述算法由所述网络通过切换命令来建议。
5.根据权利要求1-4中任一项所述的方法,还包括以下步骤从所述移动无线通信设备向所述网络提供由于对所述安全算法的不支持而造成的连接失败的通知。
6.根据权利要求1-5中任一项所述的方法,其中仅所述移动无线通信设备和所述网络中的一者最初被布置成支持升级的算法或利用升级的算法来操作。
7.根据权利要求1-6中任一项所述的方法,还包括以下步骤在所述网络中利用与不支 持的算法不同的第二算法来发起切换过程。
8.根据权利要求1-7中任一项所述的方法,还包括以下步骤在所述网络中重新发起切换过程。
9.一种移动无线通信设备,被布置成判断其中对安全算法的支持性,并且还被布置成响应于对所述安全算法的支持性的判断来拒绝网络连接请求。
10.根据权利要求9所述的移动无线通信设备,所述移动无线通信设备被布置成接收由所述网络建议的安全算法的细节。
11.根据权利要求10所述的移动无线通信设备,所述移动无线通信设备被布置成在切换命令中接收所述细节。
12.根据权利要求9-11中任一项所述的方法,所述移动无线通信设备还被布置成向所述网络提供对连接拒绝的通知。
13.—种移动无线通信网络设备,所述移动无线通信网络设备形成网络的用于取得到移动无线通信设备的连接的部分,并且被布置成由于不支持的算法而从所述移动无线通信设备接收连接拒绝通知并利用与所述不支持的算法不同的第二安全算法来重新发起连接过程。
全文摘要
本发明提供了用于在移动无线通信网络连接过程中使用的方法,包括以下步骤响应于与切换相关的安全算法的支持性的判断,在移动无线通信设备处拒绝来自网络的切换请求,并且提供了一种移动无线通信设备,被布置成判断切换命令内由网络建议的、特别是AS级别的安全算法的支持性,并向网络提供由于算法的不支持而造成的连接拒绝的通知。
文档编号H04W36/00GK102804844SQ20108002707
公开日2012年11月28日 申请日期2010年6月16日 优先权日2009年6月29日
发明者卡罗琳·加科特, 文森特·罗杰, 安东尼·瓦里, 阿南德·拉哈瓦·帕拉萨德 申请人:日本电气株式会社