專利名稱:提供電信網(wǎng)絡(luò)安全的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電信網(wǎng)絡(luò)安全和被布置成提供電信網(wǎng)絡(luò)安全的設(shè)備及相關(guān)方法。
背景技術(shù):
隨著移動(dòng)通信網(wǎng)絡(luò)技術(shù)的進(jìn)展和更高能力的網(wǎng)絡(luò)和系統(tǒng)變得可用����,被采用的諸如已知的移動(dòng)設(shè)備(ME)和用戶設(shè)備(UE)之類的移動(dòng)無線電通信設(shè)備傾向于保留針對(duì)不同無線電接入技術(shù)(RAT)的能力并因此允許基于RAT間和RAT內(nèi)二者的切換過程。高度的安全和完整性是移動(dòng)通信網(wǎng)絡(luò)的持續(xù)要求�,并且特別希望設(shè)法防止通信消息的截取。安全措施目前常常采用諸如加密密鑰(CK)和完整性密鑰(IK)之類的密鑰��,并且這種密鑰的生成常常發(fā)生在切換過程期間���。注意����,這種安全問題的操作和管理上存在限制和缺點(diǎn),這可能導(dǎo)致安全的潛在損害���。用于安全密鑰的生成和管理的已知過程在提供與本發(fā)明相比完全不同的對(duì)安全和增強(qiáng)問題的解決方案的美國專利申請(qǐng)公開No. 2009/161874A1和No. 2009/1M703A1�、加拿大專利申請(qǐng)No. 2659959A1以及美國專利No. 7519178B1中被公開��。
發(fā)明內(nèi)容
本發(fā)明設(shè)法提供具有優(yōu)于已知的這類方法和網(wǎng)絡(luò)元件的優(yōu)點(diǎn)的���、建立網(wǎng)絡(luò)安全的方法和相關(guān)的移動(dòng)無線電通信網(wǎng)絡(luò)元件�。根據(jù)本發(fā)明的第一方面���,提供了一種在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)提供網(wǎng)絡(luò)安全的方法����,包括創(chuàng)建用于移動(dòng)無線電通信設(shè)備和網(wǎng)絡(luò)之間的通信的安全上下文�����,所述安全上下文是響應(yīng)于輸入?yún)?shù)來創(chuàng)建的��;以及���,作為每個(gè)初始切換嘗試的一部分����,控制所述參數(shù)以便應(yīng)用與先前的版本不同的參數(shù)版本���。就本發(fā)明的示例性實(shí)施例的方法保證在確定安全上下文時(shí)使用并且在每個(gè)切換過程的初始切換嘗試期間采用的輸入?yún)?shù)與先前的輸入?yún)?shù)不同而言��,它可以被證明在保證舊的參數(shù)不被無意地采用在例如創(chuàng)建所要求的安全密鑰方面是有利的��。在一個(gè)示例中�,參數(shù)的控制不依賴于用于至少一個(gè)切換嘗試的網(wǎng)絡(luò)信令��。優(yōu)選地�,參數(shù)的控制可以被布置成不依賴于用于至少一個(gè)切換嘗試的從網(wǎng)絡(luò)到移動(dòng)無線電通信設(shè)備的信令。特別地�����,所述信令可以優(yōu)選地包含非接入層(NAS)消息傳遞����。有利地,輸入?yún)?shù)可以包含信號(hào)計(jì)數(shù)����,尤其是下行鏈路(DL)NAS計(jì)數(shù)�����。優(yōu)選地����,該方法包括針對(duì)每個(gè)初始切換嘗試來控制參數(shù)�����。在示例性實(shí)施例中�����,該方法還可以包括針對(duì)切換嘗試的成功來進(jìn)行監(jiān)視的步驟��。有利地����,如果判定初始切換嘗試未成功,則切換嘗試可以利用同樣的參數(shù)被重復(fù)�。
有利地,僅當(dāng)已指示了繼續(xù)嘗試時(shí)的失敗時(shí),才能夠準(zhǔn)許又一切換嘗試���。優(yōu)選地,成功可以通過切換命令被移動(dòng)無線電通信設(shè)備的接收來判斷����。有利地,切換失敗的指示可以包含非NAS遞送指示����。有利地,如果指示了參數(shù)不被移動(dòng)無線電通信設(shè)備接收��,則這種非NAS遞送指示可以被布置成被發(fā)送����。優(yōu)選地,該方法可以包括當(dāng)移動(dòng)無線電通信設(shè)備指示出它尚未收到下行鏈路 NAS計(jì)數(shù)時(shí)����,發(fā)送包括該計(jì)數(shù)的給定值的無線電接入技術(shù)間(IRAT)切換。優(yōu)選地�����,該方法包括一旦到通用移動(dòng)電信系統(tǒng)(UMTS)的RAT切換消息已被發(fā)送��,就增加該計(jì)數(shù)的步驟。優(yōu)選地�����,該方法可以包括響應(yīng)于所述計(jì)數(shù)已在先前的切換�����、尤其是前一個(gè)切換中被采用的判斷而在移動(dòng)無線電通信設(shè)備處執(zhí)行路由更新過程����。有利地,更新過程可以包括與使得網(wǎng)絡(luò)能夠執(zhí)行認(rèn)證過程的密鑰集合可用性有關(guān)的信息���。在示例性實(shí)施例中���,這種進(jìn)一步特征尤其可以在長期演進(jìn)(LTE)系統(tǒng)的無線電接入網(wǎng)(RAN)不可靠地指示出由于來自UE的第二層確認(rèn)消息尚未被RAN LTE接收、因此移動(dòng)無線電通信設(shè)備尚未收到該計(jì)數(shù)的場合被采用���。此外��,這種特征可以優(yōu)選地尤其與到UMTS的切換相關(guān)地被采用����,其中所述密鑰集合標(biāo)識(shí)符包含UMTS密鑰集合標(biāo)識(shí)符,并使得網(wǎng)絡(luò)能夠執(zhí)行UMTS認(rèn)證過程�����。根據(jù)本發(fā)明的另一方面�����,提供了一種在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)提供網(wǎng)絡(luò)安全的方法����,包括創(chuàng)建用于UE和網(wǎng)絡(luò)之間的通信的安全上下文���,所述安全上下文是響應(yīng)于下行鏈路NAS計(jì)數(shù)來創(chuàng)建的���;以及,作為每個(gè)初始切換嘗試的一部分�,增加所述DL NAS計(jì)數(shù)以便與先前的計(jì)數(shù)值相區(qū)分。將理解�,可以優(yōu)選地提供本發(fā)明的示例性實(shí)施例來增強(qiáng)到UMTS的切換過程,尤其是從長期演進(jìn)(LTE)系統(tǒng)到UMTS的切換過程���。本發(fā)明的示例性實(shí)施例可以優(yōu)選地被證明與從LTE到UMTS的連續(xù)切換相關(guān)地特別有用���。根據(jù)本發(fā)明的另一方面�,提供了一種用于在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)操作并被布置成提供用于移動(dòng)無線電通信設(shè)備和網(wǎng)絡(luò)之間的通信的安全上下文的移動(dòng)無線電通信網(wǎng)絡(luò)元件���,所述網(wǎng)絡(luò)元件被布置成使得安全上下文響應(yīng)于輸入?yún)?shù)而被創(chuàng)建���,并且其中作為每個(gè)初始切換嘗試的一部分,所述網(wǎng)絡(luò)設(shè)備被布置成控制所述參數(shù)以便應(yīng)用與先前的版本不同的參數(shù)版本����。因此,將理解���,本發(fā)明的示例性實(shí)施例可以規(guī)定移動(dòng)無線電通信網(wǎng)絡(luò)元件展示上述方法的各種特征的功能�����。S卩�,所述元件可以優(yōu)選地保證在確定安全上下文時(shí)使用并在每個(gè)切換過程的初始切換嘗試期間采用的輸入?yún)?shù)對(duì)于連續(xù)的切換絕不相同�,這可以被證明在保證例如當(dāng)創(chuàng)建所要求的安全密鑰時(shí)舊的輸入?yún)?shù)不被無意地采用方面是有利的。此外��,在示例性實(shí)施例中,參數(shù)的控制于是不需要依賴于用于切換過程內(nèi)的至少一個(gè)切換嘗試的信令��,其中所述信令可以包含從網(wǎng)絡(luò)到移動(dòng)無線電通信設(shè)備的信令�。再次,對(duì)于網(wǎng)絡(luò)元件�����,信令可以優(yōu)選地包含非接入層(NAS)消息傳遞���,并且輸入?yún)?shù)可以優(yōu)選地包含信號(hào)計(jì)數(shù),尤其是下行鏈路(DL)NAS計(jì)數(shù)��。
如上���,所述元件可以優(yōu)選地包括控制功能以使得如果判定初始參數(shù)未成功��,則切換嘗試?yán)猛瑯拥膮?shù)被重復(fù)���。優(yōu)選地,控制功能可以包括響應(yīng)于所述計(jì)數(shù)已在先前的切換��、尤其是前一個(gè)切換中被采用的判斷而在移動(dòng)無線電通信設(shè)備處初始化路由更新過程�����。如上,更新過程可以優(yōu)選地包括與使得網(wǎng)絡(luò)能夠執(zhí)行認(rèn)證過程的密鑰集合可用性有關(guān)的信息��。在示例性實(shí)施例中��,這種進(jìn)一步特征尤其可以在長期演進(jìn)(LTE)系統(tǒng)的無線電接入網(wǎng)(RAN)不可靠地指示出由于來自UE的第二層確認(rèn)消息尚未被RAN LTE接收����、因此移動(dòng)無線電通信設(shè)備尚未收到該計(jì)數(shù)的場合被采用。此外���,這種特征可以優(yōu)選地尤其與到UMTS的切換相關(guān)地被采用���,其中所述密鑰集合標(biāo)識(shí)符包含UMTS密鑰集合標(biāo)識(shí)符,并且使得網(wǎng)絡(luò)能夠執(zhí)行UMTS認(rèn)證過程��。關(guān)于一個(gè)實(shí)施例的特定特征��,來自LTE核心網(wǎng)的“初始”從LTE切換命令消息可以包括與當(dāng)前的下行鏈路NAS計(jì)數(shù)相比增加的下行鏈路NAS計(jì)數(shù)����。該增加的下行鏈路NAS計(jì)數(shù)先前已在IRAT (無線電接入技術(shù)間)切換準(zhǔn)備階段期間在轉(zhuǎn)發(fā)重定位請(qǐng)求中發(fā)送到UMTS 核心網(wǎng)絡(luò)。如果包括NAS安全參數(shù)的從LTE切換命令消息尚未被UE正確接收��,則NAS非遞送指示消息可以優(yōu)選地被eNB發(fā)送到LTE核心網(wǎng)。LTE核心網(wǎng)可以優(yōu)選地被布置成除非已從LTE無線電接入網(wǎng)(eNodeB����,eNB)接收到NAS非遞送指示消息,否則不再發(fā)送任何從LTE切換命令消息給UE�。 為了避免UE和MME之間的下行鏈路NAS計(jì)數(shù)異步,并且如果已從eNB接收到NAS 非遞送指示��,則LTE核心網(wǎng)可以優(yōu)選地被布置成重新發(fā)送包括與先前發(fā)送的下行鏈路NAS 計(jì)數(shù)相同(即���,非增加)的下行鏈路NAS計(jì)數(shù)的相同NAS安全容器�����。從上面,LTE核心網(wǎng)得知在接收轉(zhuǎn)發(fā)重定位完成后��,UE已優(yōu)選地使用包含在發(fā)送到UE的從LTE切換命令中的下行鏈路NAS計(jì)數(shù)����。關(guān)于例如LTE網(wǎng)絡(luò)側(cè)組件,eNB可以優(yōu)選地被布置成如果從LTE切換命令消息尚未被UE接收�,則向LTE核心網(wǎng)發(fā)送包括NAS安全容器的NAS非遞送指示?��?紤]到MME�,下行鏈路NAS計(jì)數(shù)可僅在從LTE切換命令的“初始”發(fā)送時(shí)被增加。 當(dāng)然����,在從LTE切換命令發(fā)送失敗的情況下,MME可優(yōu)選地被布置成經(jīng)由eNB將包含在NAS PDU IE中的同一先前的NAS安全重新發(fā)送到UE�。在示例性實(shí)施例中,對(duì)于來自長期演進(jìn)(LTE)系統(tǒng)的無線電接入網(wǎng)(RAN)不可靠地指示出由于來自UE的第二層確認(rèn)消息尚未被RAN LTE接收���、因此移動(dòng)無線電通信設(shè)備尚未接收到所述計(jì)數(shù)時(shí)的情況����,如果所述計(jì)數(shù)被檢測為對(duì)于連續(xù)的到UMTS的切換���、已在先前的到UMTS的切換時(shí)被使用�,則移動(dòng)無線電通信設(shè)備執(zhí)行包括沒有UMTS密鑰集合標(biāo)識(shí)符可用以使得網(wǎng)絡(luò)能夠執(zhí)行UMTS認(rèn)證過程的信息的路由區(qū)域更新過程����。將理解,發(fā)明的示例性實(shí)施例可以在當(dāng)ISR在來自LTE的IRAT切換時(shí)被激活時(shí)尤為適用�,但是可以一般地適用于任何來自LTE的IRAT切換。應(yīng)該理解�,發(fā)明的示例性實(shí)施例還可以規(guī)定移動(dòng)無線電通信設(shè)備被布置成在網(wǎng)絡(luò)內(nèi)并且利用安全上下文來操作��。
本發(fā)明在下文中僅通過示例方式參考附圖被進(jìn)一步描述���,其中圖1是例示了現(xiàn)有技術(shù)的限制的連續(xù)切換的示意性表示;圖2是根據(jù)本發(fā)明的實(shí)施例并與LTE和UMTS核心網(wǎng)有關(guān)的切換示例的信令圖���;圖3是根據(jù)本發(fā)明的實(shí)施例的無線電通信網(wǎng)絡(luò)元件的示意圖�。
具體實(shí)施例方式將理解����,尤其與響應(yīng)于輸入?yún)?shù)下行鏈路NAS計(jì)數(shù)而創(chuàng)建的加密密鑰和完整性密鑰的采用以及LTE和UMTS系統(tǒng)的安全上下文的提供相關(guān)地參考附圖來例示并進(jìn)一步描述本發(fā)明的示例性實(shí)施例。關(guān)于這種安全上下文被開發(fā)��、特別是針對(duì)連續(xù)切換而被開發(fā)的方式���,如將在下面更詳細(xì)地討論的�,出現(xiàn)了現(xiàn)有技術(shù)的特定缺點(diǎn)���。如所示,安全上下文一般包括用于保證數(shù)據(jù)保密性的加密密鑰和用于保證在數(shù)據(jù)在兩個(gè)通信方之間的轉(zhuǎn)移期間沒有數(shù)據(jù)損壞發(fā)生的完整性密鑰��。作為示例�����,UMTS安全上下文可以在用于提供到UMTS系統(tǒng)的安全接入的網(wǎng)絡(luò)和UE 之間被創(chuàng)建,并且同樣地�����,LTE安全上下文可以在用于到LTE系統(tǒng)的接入的網(wǎng)絡(luò)和UE之間被創(chuàng)建�。此外,接入層安全上下文可以針對(duì)每個(gè)UMTS或LTE安全上下文而被創(chuàng)建����,以保證安全與協(xié)議棧的相關(guān)層相關(guān)聯(lián)地被維護(hù)。如所示�����,并且特別是在RAT間環(huán)境內(nèi)��,UE可以在已連接模式中從LTE移動(dòng)到UMTS 并且在這種場合��,UMTS安全上下文從先前的LTE安全上下文被獲取���。LTE安全上下文的輸入?yún)?shù)例如可以包含下行鏈路NAS計(jì)數(shù)����。當(dāng)然,將理解�����,每當(dāng)網(wǎng)絡(luò)向UE發(fā)送NAS消息�����,下行鏈路NAS計(jì)數(shù)增加��。因此將理解�����,在UE執(zhí)行從LTE到UMTS的連續(xù)切換并且其中網(wǎng)絡(luò)不向UE發(fā)送任何 NAS消息的場合���,相同的UMTS安全上下文于是可以被重用�。如果例如空閑模式信令減少(ISR)特征被激活���,則不在UE中出現(xiàn)來自網(wǎng)絡(luò)的NAS 消息可以被發(fā)起����。進(jìn)一步參考圖1來例示這種安全的潛在損害��。這里�����,到LTE系統(tǒng)10的初始連接首先被指示�����,然后切換到UMTS 12��,接著返回LTE系統(tǒng)14��,然后切換回UMTS 16�����。首先轉(zhuǎn)向到LTE 10的初始連接����,當(dāng)前的LTE安全上下文被開發(fā)并包含加密密鑰和完整性密鑰。UE如箭頭A所示在已連接模式中移動(dòng)到UMTS 12后���,作為來自LTE 10的安全上下文映射和采用下行鏈路NAS計(jì)數(shù)作為輸入?yún)?shù)的結(jié)果�,具有加密密鑰和完整性密鑰的UMTS 安全上下文于是再次被創(chuàng)建。在所示場合中��,UE于是在空閑模式中如箭頭B所示移動(dòng)到LTE系統(tǒng)14并再次采用先前在到LTE 10的先前的移動(dòng)中創(chuàng)建的安全上下文鏡像���。然而更重要的是���,在存在UE (未示出)的ISR特征的激活18的場合,于是沒有NAS 信令將從網(wǎng)絡(luò)被發(fā)送到UE,使得下行鏈路NAS計(jì)數(shù)的值不會(huì)遞增��。因此�,在UE如箭頭C所示在已連接模式中接下來連續(xù)移動(dòng)到UMTS16后,作為來自LTE安全上下文的映射和使用與先前到UMTS 12的移動(dòng)相關(guān)聯(lián)地使用的同樣的下行鏈路 NAS計(jì)數(shù)的結(jié)果���,具有加密密鑰和完整性密鑰的UMTS安全上下文被創(chuàng)建�。同樣的安全密鑰因此與到UMTS 16的移動(dòng)相關(guān)地被采用��,就像到UMTS 12的移動(dòng)的情況那樣��。當(dāng)然�,如果設(shè)法截取通信的第三方“襲擊者”能夠在UMTS中的UE處獲取來自先前的移動(dòng)的密鑰,則“襲擊者”將能夠在下次到UMTS 16的UE移動(dòng)時(shí)重新使用這些密鑰��。UE和網(wǎng)絡(luò)之間的通信的截取于是將是可能的��,這當(dāng)然表示安全的實(shí)質(zhì)破壞。如從前面的討論以及實(shí)際上是在保證輸入?yún)?shù)方面能夠被證明有利的遵循本發(fā)明的被例示的示例中將理解的�,在所例示的示例中���,下行鏈路NAS計(jì)數(shù)無法在連續(xù)的切換之間保持相同�����,使得如果襲擊者從UE先前到UMTS的移動(dòng)得到密鑰�����,這將不會(huì)損害任何后續(xù)通信交換����。除了前面提到的現(xiàn)有技術(shù)文件之外�����,已進(jìn)行各種已知嘗試來改善這種安全事務(wù)�。 例如,已嘗試使用上行鏈路NAS計(jì)數(shù)以便獲取UMTS安全上下文�;使用AS下一跳(NH)和下一鏈數(shù)(NCC)安全參數(shù)來產(chǎn)生不同的AS密鑰;使用NAS Nonce UE和Nonce MME安全參數(shù)����; 運(yùn)行NAS安全模式命令過程以及使用來自網(wǎng)絡(luò)的下行鏈路NAS消息����。然而�,所有這些示例在對(duì)UE和網(wǎng)絡(luò)二者有影響都受到限制,并且在某些實(shí)例中受后向兼容性問題的限制?�,F(xiàn)在轉(zhuǎn)向圖2����,提供了已知例示本發(fā)明的實(shí)施例并涵蓋切換命令不被UE接收的場合以及切換命令已被UE接收的場合的信令圖。圖2以示意圖的形式例示了 UE 20及其接入網(wǎng)的eNB 22的網(wǎng)絡(luò)裝置以及包含LTE 核心網(wǎng)M和UMTS核心網(wǎng)沈的網(wǎng)絡(luò)元件����。因此將理解,所例示的實(shí)施例與從LTE系統(tǒng)到 UMTS系統(tǒng)的連續(xù)切換有關(guān)�。所例示的過程從切換準(zhǔn)備階段觀開始,其中“切換被要求”信令消息36被從eNB 22發(fā)送到LTE核心網(wǎng)24��,并且根據(jù)該實(shí)施例�����,下行鏈路NAS計(jì)數(shù)的受控增加在38處被發(fā)起����。然后����,從LTE核心網(wǎng)M到UMTS核心網(wǎng)洸的轉(zhuǎn)發(fā)通信請(qǐng)求信號(hào)40和從UMTS核心網(wǎng)26 遞送的轉(zhuǎn)發(fā)通信響應(yīng)42考慮從LTE網(wǎng)絡(luò)M映射來的并且基于遞增的下行鏈路NAS計(jì)數(shù)的 UMTS安全上下文和UE身份二者����。因此將理解���,下行鏈路NAS計(jì)數(shù)的該受控遞增改變保證了對(duì)于正在準(zhǔn)備的切換����, 安全上下文以及因此相關(guān)的安全密鑰將與關(guān)聯(lián)于任何先前的切換而出現(xiàn)那些安全上下文和安全密鑰不同�����,從而避免了安全的潛在損害���。在切換準(zhǔn)備階段觀完成之后��,與切換運(yùn)行階段30有關(guān)的信令開始于從LTE網(wǎng)絡(luò)對(duì)到州8 22的切換命令44�。從下文將理解����,根據(jù)所例示的切換過程����,除非已從LTE無線電接入網(wǎng)eNB接收到“NAS非遞送指示”消息�����,否則將不再從LTE核心網(wǎng)M向UE 20發(fā)送“切換命令”消息���,并且如下面進(jìn)一步討論的那樣���,重要的是,任何這種重新發(fā)送將采用與先前在上面討論的切換準(zhǔn)備階段觀期間遞增的下行鏈路NAS計(jì)數(shù)相同的下行鏈路NAS計(jì)數(shù)��。在切換運(yùn)行階段30期間出現(xiàn)兩種場合,每種場合被例示于圖2。在第一種場合32中��,切換命令未被UE 20成功接收。然而如上所述,切換命令信號(hào)44不存在,而是NAS非遞送指示信號(hào)46被從eNB 22遞送到LTE核心網(wǎng)M�。該特定的信令消息46是在僅在接收到該信令消息46時(shí)�����、LTE核心網(wǎng)M才重新發(fā)送切換命令信號(hào)48方面體現(xiàn)本發(fā)明的方法中的重要步驟。重要的是�����,重新發(fā)送切換命令48 采用包含與先前發(fā)送的相同的下行鏈路NAS計(jì)數(shù)的相同的NAS安全容器���,并且這有利地起到維護(hù)諸如移動(dòng)管理實(shí)體(MME)之類的核心網(wǎng)的網(wǎng)絡(luò)元件和UE 20之間的下行鏈路NAS計(jì)數(shù)同步的作用�。在替代場合34中����,切換命令信號(hào)44被命令消息50所指示的UE成功接收���,并且后續(xù)的切換到UMTS完成消息52被從UE 20遞送到UMTS無線電接入網(wǎng)����。這隨后向UMTS核心網(wǎng)沈發(fā)起通信完成信令消息M�����。UMTS核心網(wǎng)沈利用轉(zhuǎn)發(fā)重定位完成信令消息56向LTE 核心網(wǎng)M作出響應(yīng)�����。有利地,在接收到這種轉(zhuǎn)發(fā)重定位完成信令消息56后�����,LTE核心網(wǎng)能夠容易地確定UE 20已使用發(fā)送到UE 20的“切換命令”中包含的遞增的下行鏈路NES計(jì)數(shù)����。這用作關(guān)于安全密鑰和相關(guān)的安全上下文的建立不會(huì)發(fā)生安全損害的再保險(xiǎn)。將理解���,在用于后續(xù)LTE到UMTS切換的任何后續(xù)切換準(zhǔn)備階段期間����,下行鏈路NAS 計(jì)數(shù)于是被遞增以避免先前的下行鏈路NAS計(jì)數(shù)的重新使用并用作用于確定安全密鑰的輸入?yún)?shù)����。諸如現(xiàn)有計(jì)數(shù)中遇到的那些安全損害之類的安全損害因此能夠有利地被避免。具體參考所例示的實(shí)施例應(yīng)理解��,本發(fā)明有利地規(guī)定了在NAS安全參數(shù)尚未被UE 接收的情況下的包含非NAS遞送指示的信令消息�����。此外,包含下行鏈路NAS計(jì)數(shù)的給定值的到UMTS的IRAT切換信令消息持續(xù)到UE的接收發(fā)生��,并使得一旦到UMTS的IRAT切換消息已被發(fā)送��,該計(jì)數(shù)不簡單地增加�����。這使得能夠維護(hù)例如MME和UE之間的同步�����。最后轉(zhuǎn)向圖3�����,提供了形成網(wǎng)絡(luò)設(shè)備的一部分并體現(xiàn)本發(fā)明的諸如MME 58之類的網(wǎng)絡(luò)元件的簡單示意性表示����。MME 58被布置成包括用于在“初始”發(fā)送從LTE切換命令時(shí)增加例如下行鏈路NAS計(jì)數(shù)的控制功能60�����,還包括用于在判定UE處的從LTE切換命令的遞送失敗后發(fā)起同一 NAS安全容器的重新發(fā)送的相關(guān)控制功能62�����。這樣,控制元件60將僅在判定到UE的先前發(fā)送失敗后才發(fā)送非遞增的下行鏈路NAS計(jì)數(shù)���。當(dāng)然����,如上所述����,如果到 UE的切換命令的發(fā)送成功,則在下一實(shí)例的另一切換過程的初始階段����,控制功能60再次遞增下行鏈路NAS計(jì)數(shù),不管兩個(gè)連續(xù)的切換過程之間可能已發(fā)生的下行鏈路NAS信令的實(shí)際狀態(tài)如何�。如果UE檢測到相同的或較舊的下行鏈路NAS計(jì)數(shù)被重新使用,則UE執(zhí)行NAS 路由區(qū)域更新過程��。應(yīng)理解�����,發(fā)明不限于前述實(shí)施例的細(xì)節(jié)并且可以關(guān)聯(lián)到與適當(dāng)?shù)那袚Q過程有關(guān)的任何適當(dāng)?shù)陌踩珔?shù)�。尤其是,發(fā)明適用于ISR在從LTE的IRAT切換時(shí)被激活的場合,雖然更一般地�����,它適用于任何從LTE的IRAT切換���。工業(yè)適用性本發(fā)明可以被應(yīng)用于移動(dòng)無線電通信設(shè)備和網(wǎng)絡(luò)之間的移動(dòng)無線電通信���、以提供網(wǎng)絡(luò)內(nèi)的高度網(wǎng)絡(luò)安全。
權(quán)利要求
1.一種在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)提供網(wǎng)絡(luò)安全的方法�����,包括創(chuàng)建用于移動(dòng)無線電通信設(shè)備和所述網(wǎng)絡(luò)之間的通信的安全上下文��,所述安全上下文是響應(yīng)于輸入?yún)?shù)來創(chuàng)建的���;以及����,作為每個(gè)初始切換嘗試的一部分��,控制所述參數(shù)以便應(yīng)用與先前的版本不同的參數(shù)版本����。
2.根據(jù)權(quán)利要求1所述的方法,其中��,控制所述初始參數(shù)的步驟保持獨(dú)立于用于至少一個(gè)切換嘗試的網(wǎng)絡(luò)信令����。
3.根據(jù)權(quán)利要求2所述的方法,其中�����,所述輸入?yún)?shù)包含信號(hào)計(jì)數(shù)��。
4.根據(jù)權(quán)利要求1至3中任一個(gè)所述的方法���,包括控制用于每個(gè)初始切換嘗試的所述參數(shù)的步驟�����。
5.根據(jù)權(quán)利要求1至4中任一個(gè)所述的方法����,其中����,如果判定了初始嘗試未成功��,則所述切換嘗試?yán)孟嗤膮?shù)來重復(fù)��。
6.根據(jù)權(quán)利要求5所述的方法��,其中����,切換失敗是通過所述網(wǎng)絡(luò)對(duì)NAS非遞送指示的接收來判斷的��。
7.根據(jù)權(quán)利要求1至6中任一個(gè)所述的方法�,包括將不同版本的參數(shù)存儲(chǔ)為用于到 UMTS的后續(xù)切換的安全上下文的一部分的步驟。
8.根據(jù)權(quán)利要求7所述的方法���,包括通過與被存儲(chǔ)為到UMTS的后續(xù)切換時(shí)的安全上下文的一部分的下一期望值的比較來檢測相同的或較舊的參數(shù)值的步驟�。
9.根據(jù)權(quán)利要求8所述的方法�����,其中����,所述相同的或較舊的參數(shù)值是由所述網(wǎng)絡(luò)內(nèi)的移動(dòng)無線電通信設(shè)備檢測的。
10.根據(jù)權(quán)利要求9所述的方法�,包括在所述移動(dòng)無線電通信設(shè)備處執(zhí)行用于通過包含非UMTS密鑰集合標(biāo)識(shí)符來尋求UMTS重新認(rèn)證的NAS路由更新過程的步驟。
11.根據(jù)權(quán)利要求5所述的方法�,其中,成功是通過切換命令被所述移動(dòng)無線電通信設(shè)備的接收來判斷的����。
12.根據(jù)權(quán)利要求1至11中任一個(gè)所述的方法,包括在所述移動(dòng)無線電通信設(shè)備和所述網(wǎng)絡(luò)之間的非NAS信令交換時(shí)段期間控制所述參數(shù)的步驟�����。
13.根據(jù)權(quán)利要求12所述的方法�����,包括在空閑模式信令減少激活時(shí)段期間控制所述參數(shù)的步驟�。
14.一種在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)提供網(wǎng)絡(luò)安全的方法,包括創(chuàng)建用于UE和網(wǎng)絡(luò)之間的通信的安全上下文��,所述安全上下文是響應(yīng)于下行鏈路NAS 計(jì)數(shù)來創(chuàng)建的�����;以及�,作為每個(gè)初始切換嘗試的一部分�,增加所述DL NAS計(jì)數(shù)以便與先前的計(jì)數(shù)值相區(qū)分���。
15.根據(jù)權(quán)利要求14所述的方法���,包括被布置成增強(qiáng)到UMTS的切換過程的步驟。
16.一種用于在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)操作并被布置成提供用于移動(dòng)無線電通信設(shè)備和所述網(wǎng)絡(luò)之間的通信的安全上下文的移動(dòng)無線電通信網(wǎng)絡(luò)元件��,所述網(wǎng)絡(luò)元件被布置成使得所述安全上下文響應(yīng)于輸入?yún)?shù)而被創(chuàng)建�,并且其中作為每個(gè)初始切換嘗試的一部分,所述網(wǎng)絡(luò)設(shè)備被布置成控制所述參數(shù)以便應(yīng)用與先前的版本不同的參數(shù)版本����。
17.根據(jù)權(quán)利要求16所述的移動(dòng)無線電通信網(wǎng)絡(luò)元件,其中�,所述移動(dòng)無線電通信網(wǎng)絡(luò)元件被布置成根據(jù)權(quán)利要求1至15中的任一個(gè)所述的方法來提供網(wǎng)絡(luò)安全。
18.一種用于在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)操作并被布置成利用與輸入?yún)?shù)相關(guān)地創(chuàng)建的安全上下文來操作的移動(dòng)無線電通信設(shè)備���,所述移動(dòng)無線電通信設(shè)備被布置成響應(yīng)于所述輸入?yún)?shù)已在先前的切換過程中被采用的判斷來執(zhí)行路由更新過程�。
19.根據(jù)權(quán)利要求18所述的設(shè)備��,其中����,所述更新過程包括與密鑰集合可用性有關(guān)的 fn息ο
全文摘要
發(fā)明提供了一種在移動(dòng)無線電通信網(wǎng)絡(luò)內(nèi)提供網(wǎng)絡(luò)安全的方法����,所述方法包括創(chuàng)建用于移動(dòng)無線電通信設(shè)備和網(wǎng)絡(luò)之間的通信的安全上下文��,所述安全上下文是響應(yīng)于諸如下行鏈路NAS計(jì)數(shù)之類的輸入?yún)?shù)來創(chuàng)建的�����,并且所述方法還包括作為每個(gè)初始切換嘗試的一部分�,控制所述參數(shù)以便應(yīng)用與先前的版本不同的參數(shù)版本�����,例如遞增的下行鏈路NAS計(jì)數(shù)并且優(yōu)選地獨(dú)立于網(wǎng)絡(luò)信令消息��。
文檔編號(hào)H04W12/04GK102474718SQ201080035458
公開日2012年5月23日 申請(qǐng)日期2010年7月13日 優(yōu)先權(quán)日2009年8月10日
發(fā)明者卡羅琳·加科特, 阿南德·拉哈瓦·帕拉薩德 申請(qǐng)人:日本電氣株式會(huì)社