認證網(wǎng)絡中的警報消息的制作方法
【專利摘要】本文描述了一種用于與網(wǎng)絡進行通信的設備(101)���。該設備(101)包括:通信單元����,用于接收數(shù)據(jù)��,通知設備����,用于向用戶提供通知�����,以及控制單元����,用于控制通信單元和通知單元的操作���。通信單元被配置為接收信息消息(110、112�����、115)�,并且如果與信息消息相關聯(lián)的安全認證數(shù)據(jù)(110、112�����、115)可用��,則接收該安全認證數(shù)據(jù)�����??刂茊卧慌渲迷诘谝慌渲没虻诙渲弥胁僮鳌T诘谝慌渲弥?,控制單元忽略安全認證數(shù)據(jù)(111、113)并且指示通知單元向用戶傳送通知�。在第二配置中���,控制單元基于安全認證數(shù)據(jù)驗證信息消息(116),并且如果驗證成功�����,則指示通知單元向用戶傳送通知�����。通信單元被配置為接收配置消息(114)�����,該配置消息指示控制單元應當操作的配置��,并且控制單元被配置為如果指示的配置與當前配置不同����,則改變配置。
【專利說明】認證網(wǎng)絡中的警報消息
【技術領域】
[0001]本發(fā)明涉及用于認證網(wǎng)絡中的警報消息的方法和裝置�����。具體地����,本發(fā)明涉及用于配置認證系統(tǒng)的方法。
【背景技術】
[0002]存在用于在蜂窩網(wǎng)絡中向用戶廣播消息并且對這些消息提供可信性和完整性保護的公知技術�。完整性保護和認證的組合將在下文中被稱作認證或消息認證。這些系統(tǒng)的示例包括由3GPP規(guī)定的多播廣播和多媒體系統(tǒng)(MBMS) (TS33.246)����、小區(qū)廣播系統(tǒng)(CBS)(TS23.041vll.0.0和TS23.401vl0.4.0)和當前正在規(guī)定其安全性的公共警報系統(tǒng)(PffS)(http://www.3ggDD.0rgg/ftp/tsgg sa/ffG3Securitv/TSGS363Chenedu/Docs/S3-l10565.zip) o
[0003]在廣播設置中,源起點認證是必要的��。這通常是通過向消息添加消息的公共密鑰數(shù)字簽名來實現(xiàn)的����。所使用的其它機制的示例包括基于預先共享密鑰和基于散列鏈的機制(例如,IETF RFC4082)�����。
[0004]當將公共密鑰數(shù)字簽名添加到消息時�����,接收機可以驗證簽名是正確的并因此推斷接收的消息也是正確的���。接收機還可以推斷消息源自聲稱是消息的起點的發(fā)送機�。
[0005]通常由安全協(xié)議通過兩階段處理來處理諸如消息認證等的安全特征。在第一協(xié)商階段中���,在發(fā)送機與接收機之間不保護業(yè)務����。在該階段期間���,發(fā)送機和接收機商定每一側(cè)支持哪些安全特征���。它們協(xié)商要使用這些安全特征中的哪些安全特征以及用于配置每一個選擇的安全特征的可能參數(shù)。例如�����,如果要將簽名添加到消息���,則發(fā)送機和接收機可以商定要用于簽名計算的算法�。在最簡單的協(xié)商形式中�,消息的發(fā)送機向接收機通知要使用哪一個安全特征。在該情況下�����,發(fā)送機將已經(jīng)從假設的支持特征集合或者從先前從接收機獲得的特征和配置列表中選擇安全特征及其配置��。
[0006]一旦選擇和配置了安全特征���,就必須針對從發(fā)送機向接收機發(fā)送的消息激活這些安全特征�。
[0007]可以通過多種方式來完成這一點���。在由3GPP定義的3G和LTE電信網(wǎng)絡中提供了一個示例(TS33.102vl0.0.0����、TS33.401vl0.4.0)�。在這些網(wǎng)絡中,網(wǎng)絡向終端發(fā)送“安全模式控制消息”以指示終端開始對消息進行安全處理���。在發(fā)送安全模式控制消息之前�,不保護業(yè)務��。由IPsecdETF RFC4301)提供了另一示例����,在該示例中,兩個對等端在協(xié)商階段期間運行IKEv2 (RFC4306)�。當該操作完成時��,開始對兩個對等端之間的業(yè)務進行完整性保護(如果在協(xié)商期間選擇該特征的話)����。
[0008]通常��,當部署通信系統(tǒng)時��,可以預期消息的發(fā)送機和接收機二者實現(xiàn)所需的功能���。例如���,如果發(fā)送機在消息中包括某一控制信息,則預期接收機能夠解釋該控制信息并且采取與之相關聯(lián)的任何動作��。
[0009]另一種選擇是可能存在發(fā)送機和接收機商定將支持哪一個功能并且此后它們僅在消息中包括與商定的功能有關的信息的機制��。[0010]第三種選擇是接收機能夠區(qū)分它們確實理解的信息單元��,并且可以忽略它們不支持的信息單元�����。
[0011]通常以逐步的方式設計和發(fā)布系統(tǒng)。例如����,可以在特定版本中提供某一功能,而在后續(xù)版本中添加更多的功能�����。這是處理3GPP所定義的電信系統(tǒng)的方式���。
[0012]由于時間表和對其它特征的依賴性,有時在一個版本中僅部分地指定特征���。然后�,可以決定在特定版本中包括該特征�����,以在下一個版本中完成規(guī)范��。這發(fā)生于公共警報系統(tǒng)ETffS (地震和海嘯警報系統(tǒng))����。
[0013]公共警報系統(tǒng)(PWS)是用于從電信網(wǎng)絡向終端/用戶設備(例如,移動電話、膝上型計算機和平板電腦)傳送警報消息的系統(tǒng)����。警報在特定區(qū)域中廣播。典型的警報是與諸如海嘯或地震等的事件有關的警報�。
[0014]在PWS中,添加字段以承載警報消息的簽名���。然而��,從未規(guī)定應當如何計算和驗證該簽名����。因此�����,根據(jù)當前規(guī)范實現(xiàn)的終端將接收簽名字段��,但是字段的內(nèi)容對于它們而言是未知的�,并且它們不能驗證消息的可信性。
[0015]如果終端完全忽略該簽名字段��,則終端易受攻擊�����。攻擊者可能注入假消息,終端將向用戶顯示該假消息�。該危險可能導致開發(fā)專用簽名方案,該專用簽名方案然后可以由一些(但是可能不是所有)終端實現(xiàn)�����。終端還可以被開發(fā)為以某一其它專用方式解釋簽名字段��。
[0016]當3GPP最終定義用于填充簽名字段的簽名方案以及要由終端采取的相應動作時�����,使用警報消息中的簽名字段的專用解釋的這些終端可能推斷簽名是無效的(這是因為它并未遵循預期的專用結(jié)構(gòu))����。這導致這些終端將在向用戶顯示警報消息之前丟棄這些警報消息的風險���。此外��,甚至嘗試實現(xiàn)由3GPP規(guī)定的簽名方案的終端可能被不正確地實現(xiàn)并因此還可能推斷簽名是不正確的并且丟棄警報消息���。
[0017]因為PWS是安全關鍵應用,因此用戶獲得系統(tǒng)提供的信息是至關重要的:這可能甚至比系統(tǒng)提供消息的認證的能力更加重要。不幸地��,因為已經(jīng)在PWS警報消息中包含了簽名字段��,因此一旦向3GPP版本添加簽名方案�����,前面的段落中描述的與現(xiàn)有專用方案和不正確的實現(xiàn)有關的問題將成為現(xiàn)實����。將注意的是,PWS消息的認證因此“永遠開啟”�����,即�����,不存在可以用于禁用特征的協(xié)商階段�����。
【發(fā)明內(nèi)容】
[0018]本發(fā)明的目的是減輕上述問題��。
[0019]根據(jù)本發(fā)明的一個方案,提供了一種用于與網(wǎng)絡進行通信的設備����。所述設備包括:通信單元,用于接收數(shù)據(jù)��;通知設備�����,用于向用戶提供通知��;以及控制單元�����,用于控制所述通信單元和所述通知單元的操作��。所述通信單元被配置為接收信息消息��,并且如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用��,則接收所述安全認證數(shù)據(jù)���。所述控制單元被配置在第一配置或第二配置中操作����。在所述第一配置中�,所述控制單元忽略所述安全認證數(shù)據(jù)(如果有的話)并且指示所述通知單元向所述用戶傳送所述通知。在所述第二配置中�����,所述控制單元基于所述安全認證數(shù)據(jù)驗證所述信息消息并且如果所述驗證成功則指示所述通知單元向所述用戶傳送所述通知��。所述通信單元被配置為接收配置消息���,所述配置消息指示所述控制單元應當操作的配置����,并且所述控制單元被配置為��,如果所指示的配置與當前的配置不同��,則改變配置����。
[0020]在以下情形中的一個或多個情形中,所述控制單元初始可以被配置為在所述第一配置中操作:當所述設備第一次開啟時�;每當所述設備開啟時�����;當所述設備被重啟時����;當所述設備漫游到新的網(wǎng)絡時���;當所述設備已經(jīng)經(jīng)由第二配置消息被配置時�����;以及在通信中斷之后���。所述配置消息可以指示所述控制單元應當切換到所述第二配置,使得從此時開始����,如果所述信息消息被驗證���,則向所述用戶傳送所述通知���。所述控制單元可以被配置為認證所述配置消息����。
[0021]所述控制單元的配置可以被存儲在與所述設備相關聯(lián)的配置存儲單元中�����。
[0022]所述通信單元可以被配置為接收一個或多個密鑰(例如��,公共密鑰)�,所述一個或多個密鑰可以被存儲在與所述設備相關聯(lián)的密鑰存儲單元中。所述控制單元可以被可以配置為使用所述一個或多個密鑰中的至少一個密鑰來驗證所述信息消息��。所述通信單元可以被配置為在所述配置消息之前接收所述一個或多個密鑰���。備選地����,所述一個或多個密鑰可以被包含在所述配置消息中�����,并且所述控制單元可以被配置為從所述配置消息中提取所述一個或多個密鑰�����。
[0023]所述配置存儲單元和/或密鑰存儲單元可以包含在所述設備本身中,或者可以包含在諸如SM�����、US頂或ISM等的模塊中�����。備選地��,所述模塊可以具有ETSI SCP中的嵌入式UlCC(eUICC)或者可信運行環(huán)境(TrE)中的軟SM實現(xiàn)(也稱作MCM)的形式��。它還可以包含在3GPP2中的CSM中����。可以認識到����,實際上,密鑰存儲單元和配置存儲單元可以是相同的實體�。
[0024]所述通知單元可以包括顯示設備��,使得向所述用戶傳送所述通知可以包括:顯示包含在所述信息消息中的信息�。
[0025]所述配置消息可以包括應當向所述用戶顯示的安全信息的指示����。當接收到信息消息時���,所述控制單元可以根據(jù)所述配置消息中的所述指示來指示所述顯示設備向所述用戶顯示所述安全信息以及所述消息中的信息�。所述安全信息可以包括例如所述消息的安全級別��、時間戳���、所述消息的發(fā)起方等�。
[0026]所述信息消息可以是公共警報系統(tǒng)消息����。
[0027]所述控制單元可以被配置為認證所述配置消息。
[0028]根據(jù)本發(fā)明的另一方案�����,提供了一種用于電信網(wǎng)絡中的服務節(jié)點�����。所述服務節(jié)點包括:通信單元,用于發(fā)送數(shù)據(jù)����;存儲介質(zhì),用于存儲數(shù)據(jù)��;以及控制單元��,用于控制所述通信單元和所述存儲介質(zhì)的操作����。所述通信單元被配置為向所述網(wǎng)絡中的用戶設備發(fā)送配置消息,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示�����,其中��,在所述第一配置中�,在向用戶傳送通知之前不處理與在所述配置消息之后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù),在所述第二配置中�,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)。
[0029]所述通信單元可以被配置為向所述用戶設備發(fā)送一個或多個公共密鑰�,以使所述用戶設備能夠處理所述安全認證數(shù)據(jù)?�?梢栽谂渲孟⒅邪l(fā)送這些公共密鑰。
[0030]所述配置消息可以包括應當向所述用戶顯示的安全信息的指示�����。
[0031]根據(jù)本發(fā)明的另一方案���,提供了一種用于激活在電信網(wǎng)絡中的用戶設備中使用安全認證數(shù)據(jù)的方法。所述方法包括:接收配置消息�,以及基于包含在所述消息中的指示來設置配置。在第一配置中���,忽略與接收的信息消息相關聯(lián)的接收的安全認證數(shù)據(jù)�。在第二配置中����,處理與接收的信息消息相關聯(lián)的接收的安全認證數(shù)據(jù)。
[0032]根據(jù)本發(fā)明的另一方案���,提供了一種用于操作電信網(wǎng)絡中的用戶設備的方法��。所述方法包括:接收信息消息�,并且如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用�,則接收所述安全認證數(shù)據(jù)��。根據(jù)所述設備被配置為第一配置還是第二配置�����,來處理所述信息消息��。在所述第一配置中���,忽略所述安全認證數(shù)據(jù)(如果有的話),并且向用戶傳送通知���。在所述第二配置中�,基于所述安全認證數(shù)據(jù)驗證所述信息消息�,并且如果所述驗證成功,則向所述用戶傳送通知�。所述方法還包括:接收配置消息,所述配置消息指示所述控制單元應當操作的配置�����。如果所指示的配置與當前的配置不同���,則改變配置�。
[0033]根據(jù)本發(fā)明的另一方案,提供了一種用于操作電信網(wǎng)絡中的服務節(jié)點的方法�,包括:向所述網(wǎng)絡中的用戶設備發(fā)送配置消息,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示�,其中,在所述第一配置中�����,在向用戶傳送通知之前不處理與在所述配置消息之后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù)����,在所述第二配置中�����,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)���。
[0034]根據(jù)本發(fā)明的另一方案�,提供了一種計算機程序產(chǎn)品���,包括適于在電信網(wǎng)絡中的設備上執(zhí)行的代碼�����。所述代碼用于使所述設備:接收信息消息���,并且如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用���,則接收所述安全認證數(shù)據(jù)。所述代碼還用于根據(jù)所述設備被配置為第一配置還是第二配置����,來處理所述信息消息。在所述第一配置中�,忽略所述安全認證數(shù)據(jù)(如果有的話),并且向用戶傳送通知��。在所述第二配置中����,基于所述安全認證數(shù)據(jù)驗證所述信息消息,并且如果所述驗證成功����,則向所述用戶傳送通知。所述代碼還用于使所述設備能夠接收配置消息��,所述配置消息指示所述設備應當操作的配置��,并且如果所指示的配置與當前的配置不同,則改變配置���。
[0035]根據(jù)本發(fā)明的另一方案�����,提供了一種計算機程序產(chǎn)品����,包括適于在電信網(wǎng)絡中的服務節(jié)點上執(zhí)行的代碼�����,所述代碼用于使所述服務節(jié)點:向所述網(wǎng)絡中的用戶設備發(fā)送配置消息�����,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示����,其中��,在所述第一配置中��,在向用戶傳送通知之前不處理與在所述配置消息之后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù),在所述第二配置中�,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)。
[0036]本發(fā)明還提供了承載在諸如RAM����、ROM、EPR0M��、閃存存儲器�、磁盤等的載體介質(zhì)上的上述計算機程序產(chǎn)品。
[0037]本發(fā)明還提供了一種計算機程序��,包括計算機可讀代碼����,當由電信網(wǎng)絡中的用戶設備或服務節(jié)點操作所述計算機可讀代碼時,所述計算機可讀代碼使所述用戶設備或服務節(jié)點執(zhí)行上述方法���。本發(fā)明還提供了一種計算機程序產(chǎn)品���,包括計算機可讀介質(zhì)和剛剛描述的計算機程序,其中��,所述計算機程序被存儲在所述計算機可讀介質(zhì)上。
[0038]根據(jù)上述方法的實施例����,還提供了一種網(wǎng)絡設備/網(wǎng)絡實體,包括:使所述網(wǎng)絡設備發(fā)送所述配置消息的配置功能���。所述網(wǎng)絡設備還可以適于發(fā)送消息認證數(shù)據(jù)和/或警報消息��。所述消息驗證功能和所述配置功能可以是計算機程序��,當UE和網(wǎng)絡設備運行所述計算機程序時���,所述計算機程序分別使它們執(zhí)行與下面將更詳細描述的相應功能相關聯(lián)的步驟。計算機程序可以被存儲在諸如R0M���、RAM、EEPR0M�����、閃存或硬盤等的存儲器形式的計算機可讀介質(zhì)/計算機程序產(chǎn)品中����。
【專利附圖】
【附圖說明】
[0039]通過結(jié)合附圖給出的關于方法和設備以及其它實施例的以下詳細描述,將更容易理解上述方法、UE��、網(wǎng)絡節(jié)點和計算機程序的目的��、優(yōu)點和效果以及特征�����,在附圖中:
[0040]圖1是示出了用于更新接收機的配置的基本構(gòu)思的信令圖����;
[0041]圖2是用于實現(xiàn)圖1中所示的方法的功能的示意圖;
[0042]圖3示出了 PWS系統(tǒng)架構(gòu)���;
[0043]圖4是示出了用戶設備處的消息驗證功能的行為的示例的流程圖�����;
[0044]圖5是示出了用戶設備顯示消息的流程圖�����;
[0045]圖6是示出了實現(xiàn)圖4和圖5的處理流的適合的信令流的信令示意圖��;
[0046]圖7是示出了當響應于接收到密鑰而更新配置時的消息驗證功能的示例性行為的流程圖�;
[0047]圖8是示出了核心網(wǎng)傳送配置信息的信令示意圖;
[0048]圖9是示出了通過推送方法傳送配置信息的信令示意圖����;
[0049]圖10是示出了通過拉取方法進行傳送的信令示意圖;
[0050]圖11是用于與網(wǎng)絡進行通信的用戶設備的架構(gòu)的示意圖�;以及
[0051]圖12是用于在網(wǎng)絡中使用的服務節(jié)點的架構(gòu)的示意圖。
【具體實施方式】
[0052]雖然上述方法涵蓋各種修改和備選的實現(xiàn)(例如�,在用戶設備(UE)形式的發(fā)送設備和接收設備、計算機程序���、以及包括計算機程序的計算機程序產(chǎn)品中)�,但是在附圖中示出了實施例并且將在下文中詳細地描述實施例��。然而�����,將理解的是����,具體描述和附圖并不旨在將一般發(fā)明思想限制于所公開的具體形式���。
[0053]總體上�,描述了使消息的接收機(例如,UE/移動終端)能夠在接收機處于特定配置中時無需使用與消息相關聯(lián)的接收的認證信息來驗證消息的可信性的情況下顯示該消息(或者向用戶發(fā)送某一其它形式的通知)的系統(tǒng)����。在接收機從配置功能獲得新的配置之后,接收機可以遵循新的配置并且使用與消息相關聯(lián)的認證信息來驗證消息的可信性并且根據(jù)驗證采取有關的措施��。
[0054]圖1總體上示出了這一點����。首先(例如,當設備第一次開啟時或者當它漫游到新的網(wǎng)絡時)����,接收機(UE) 101處于它不處理認證信息的第一配置。發(fā)送機(例如���,服務節(jié)點)102向接收機發(fā)送消息110和消息安全認證數(shù)據(jù)����。因為接收機102被配置為不處理安全認證數(shù)據(jù)�����,因此它忽略該安全認證數(shù)據(jù)111并且處理消息�����。該序列可以在稍后在消息112和認證數(shù)據(jù)被發(fā)送到接收機101的情況下被重復,并且接收機再次忽略113該認證數(shù)據(jù)�����。
[0055]在稍后的時間點����,配置功能(例如,另一服務節(jié)點)103向接收機發(fā)送配置消息114��,這使接收機切換到它從現(xiàn)在開始處理針對所有接收的消息的安全認證數(shù)據(jù)的第二配置����。當發(fā)送機102下一次向接收機101發(fā)送消息115時,接收機使用認證數(shù)據(jù)來驗證消息116的可信性���,并且僅在確認可信性時才呈現(xiàn)消息���。
[0056]先前使用的方案不需要(并且不)在作出關于接收機應當開始使用所選擇的安全特征的決定之前發(fā)送的消息中包括任何認證信息。如果信息提供商在該情況下要使用這些方法中的一種方法��,則其將必須確保在作出該決定之前發(fā)送的消息中不包括認證信息����。傳統(tǒng)的接收機可能不能按預期正確地接收、解析或使用消息�����,這是因為它們將預期認證信息是存在的����。
[0057]下面的描述涉及3GPP中規(guī)定的公共警報系統(tǒng)(PWS)中的實施例。然而�,可以認識至IJ,其它系統(tǒng)也可以采用相同或類似的原則���。
[0058]圖2是用于分發(fā)集中控制配置以處理到達用戶設備(UE) 201的一個或多個廣播消息的系統(tǒng)的示意圖����。密鑰預配置功能202向用戶設備201預配置用于認證廣播消息的密鑰�。密鑰預配置功能可以實現(xiàn)在任何適合的網(wǎng)絡節(jié)點中,該適合的網(wǎng)絡節(jié)點例如是SGSN(月艮務GPRS支持節(jié)點)�、MME (移動性管理實體)、MSC (消息交換中心)�、CBC (小區(qū)廣播中心)、NAF (網(wǎng)絡應用功能)�����、eNB、NodeB�����、RNC (無線電網(wǎng)絡控制器)����、BSC (基站控制器)。廣播消息發(fā)送機功能203 (可能周期性地)發(fā)送承載可信性信息和/或完整性信息的消息���。廣播消息發(fā)送機功能可以實現(xiàn)在諸如BTS����、BSC��、RNC和eNodeB等的任何網(wǎng)絡節(jié)點中�����。在用戶設備201中(或者與用戶設備201相關聯(lián)地)��,存在消息驗證功能204�,消息驗證功能204被配置為基于消息中承載的可信性和/或完整性信息以及預配置的密鑰來對消息進行過濾��。消息驗證功能可以實現(xiàn)在UE的移動設備(ME)中或者SM或USM模塊或者諸如ISM、ETSISCP中的嵌入式UlCC(eUICC)或者可信運行環(huán)境(TrE)中的軟SM實現(xiàn)(也稱作MCM)等的其它可移除模塊中��。
[0059]在該示例中��,可以假設首先(缺省)禁用消息驗證功能204以使用戶丟失任何消息的風險最小化����。因此,消息驗證功能接收的所有消息通過���。
[0060]在某一時間點��,檢測到對系統(tǒng)的攻擊�,由此偽造的消息被發(fā)送到用戶�,并且需要實施消息的可信性和/或完整性檢查。如何實現(xiàn)對攻擊的檢測不與該實施例直接相關�,但是可以認識到,偽造的消息自然可以由接收虛假消息并且知道它們是虛假的人檢測到����。特定區(qū)域中的無線電干擾也可以指示某人正在試圖發(fā)送虛假消息。此時����,配置功能205與用戶設備201進行交互以執(zhí)行驗證配置動作�,從而在用戶設備中實現(xiàn)策略實施��,這導致阻止未通過可信性和/或完整性驗證或者對安全信息的其它處理的其它消息���?���?蛇x擇地�,可以在驗證配置動作的同時或者在驗證配置動作之前的任何時候執(zhí)行密鑰預配置。下面描述關于可以如何執(zhí)行密鑰預配置的各種示例��。
[0061]圖3是文檔S3-110565中規(guī)定的適合于向PWS提供安全性的系統(tǒng)架構(gòu)的示意圖�。在該示例中,系統(tǒng)基于TS23-041中定義的小區(qū)廣播系統(tǒng)(CBS)�����,但是可以認識到���,諸如MBMS等的任何消息廣播系統(tǒng)也可以是適合的���。架構(gòu)包括運營商網(wǎng)絡(服務網(wǎng)絡)310��,該運營商網(wǎng)絡310包括小區(qū)廣播中心(CBC)303和MME311����。小區(qū)廣播實體(CBE) 312提供要廣播到CBC303的消息的內(nèi)容��。
[0062]在該示例中�,CBC節(jié)點303實現(xiàn)如圖2中所示的PWS廣播消息發(fā)送機功能203����。經(jīng)由例如 E-UTRAN313 (包含 eNB316)、UTRAN313 (包含 NodeB317 和 RNC318)或 GERAN314 (包含BTS319和BSC320)向UE201發(fā)送消息��。使用公共密鑰對PWS消息進行簽名并且對PWS消息進行完整性保護�。在一個提案(S3-110394)中,服務網(wǎng)絡303響應于每一個成功的位置區(qū)域���、路由區(qū)域或跟蹤區(qū)域更新來提供公共密鑰���。如果UE201發(fā)現(xiàn)它缺少當前密鑰,則它還可以向服務網(wǎng)絡303請求當前密鑰�����。[0063]圖4是示出了與UE201相關聯(lián)的消息驗證功能204的行為的流程圖?��?梢约僭O缺省地消息驗證初始被禁用�,并且UE在“驗證禁用”模式401中操作��。當在從服務網(wǎng)絡接收402到消息時��,進行檢查403以確定它是否是配置消息�����。如果它不是配置消息(即��,它是信息消息)����,則立即向用戶顯示404該消息?����?梢哉J識到����,可以向用戶發(fā)送其它形式的通知�����,例如����,可聽的通知或者觸覺移動����。然而�,對于下面的討論,通過舉例說明的方式描述信息的顯示���。在一些實施例中����,可以采用可聽和/或觸覺通知以及信息的顯示二者�。
[0064]如果消息是配置消息,則進行檢查405以確定其中指示何種配置��。如果指示的配置是使驗證被禁用�,則應當維持驗證禁用模式401并且UE等待接收下一個消息402。如果指示的消息是驗證應當被啟用,則UE然后切換至“驗證啟用”模式406并且等待接收下一個消息407�。可以認識到�,應當向用戶認證配置消息本身。這可以使用諸如公共密鑰簽名等的任何適合的系統(tǒng)來完成�。
[0065]當在驗證啟用模式中接收到消息時,再次進行檢查408以確定它是否是配置消息�����。如果是����,則再次檢查405所指示的配置,并且UE根據(jù)所指示的配置返回驗證禁用模式401或者維持在驗證啟用模式406�����。
[0066]如果消息不是配置消息并且啟用驗證(即����,它是包含要顯示的信息的信息消息),則進行檢查以認證消息409并且確認其完整性410�����。如果這些檢查中的任意一個檢查失敗,則消息被丟棄411����。如果兩個檢查都通過,則消息被顯示412�。
[0067]配置消息還可以包括用于改變在所有將來的消息中向用戶顯示的信息的指令。當針對信息檢查配置消息405時�����,在UE中修改413存儲的更新信息以啟用或禁用對諸如安全級別����、時間戳或消息的發(fā)起方等的各個參數(shù)的顯示。這些可以在不考慮UE的當前模式的情況下設置����。
[0068]圖5是示出了顯示消息功能404���、412如何根據(jù)存儲在UE中的更新信息來操作的流程圖��。如果啟用安全級別501���,則將它添加到消息內(nèi)容502 ;如果啟用時間戳503�����,則將它添加到消息內(nèi)容504 ;如果啟用發(fā)起方505�����,則將該信息添加到消息內(nèi)容506���。然后,顯示507現(xiàn)在可能包括額外的與安全性有關的內(nèi)容的消息����。
[0069]圖6示出了針對該實施例的信令流的示例。在該示例中�,(例如,運營商網(wǎng)絡310中的)密鑰預配置功能601向MME311預配置針對PWS服務的公共密鑰602。當UE201向運營商網(wǎng)絡注冊(包括經(jīng)由定位�、路由、跟蹤服務)時�,它執(zhí)行區(qū)域更新過程。作為該過程603的一部分���,將PWS公共密鑰提供給UE201��。如上文所討論的�,首先假設UE201處于“驗證禁用”模式。因此�,不論何時從CBC303向UE201發(fā)送PWS警報服務604、605�,都立即對其進行顯示606。
[0070]當作出啟用消息驗證的決定時�,從策略控制功能205向UE201發(fā)送配置消息607。在顯示611后續(xù)PWS警報消息608����、609之前,由UE對它們進行認證610���。
[0071]可以認識到�����,該方法也可以用于將UE切換到它們不再處理認證信息的配置(如圖4中所示)�。如果出現(xiàn)一大組設備被證明不正確地實現(xiàn)并且丟棄有效的警報消息的情況�����,則這可能是有用的�����。
[0072]將注意到���,圖6中所示的第一動作602�、603導致向UE201進行密鑰預配置��?����?梢哉J識到��,密鑰預配置可以備選地在稍后或者甚至作為驗證配置動作607的一部分被執(zhí)行�。可以由諸如MME�����、ANDSF (接入網(wǎng)發(fā)現(xiàn)和選擇功能)服務器�、或者eNB等的不同功能或節(jié)點來執(zhí)行密鑰預配置。對于本領域技術人員而言����,其它適合的節(jié)點也將是顯而易見的。
[0073]密鑰預配置的一種可能性是使UE201中的消息驗證功能204啟用驗證����,即���,密鑰預配置本身實際上是驗證配置動作?�?梢詤⒄請D7來理解這一點�。
[0074]如前所述,驗證功能204初始處于驗證禁用模式��。當接收701到消息時����,對消息進行檢查702以確定它是密鑰預配置消息還是信息消息。如果它是信息消息��,則如前所述地向用戶703顯示該消息�。
[0075]如果它是密鑰預配置消息,則在UE201處保存該密鑰��,并且將驗證功能204切換到驗證啟用模式���。對后續(xù)輸入消息704進行檢查705�,以確定它們是否是配置消息���。如果它們是配置消息并且它們包含關于驗證不應當被實現(xiàn)706的指示��,則驗證功能204返回驗證禁用模式���。如果消息包含用于顯示的信息,則如前所述地在對該消息進行顯示709或者丟棄710之前�,對該消息進行認證707和完整性檢查708。
[0076]關于PWS消息中的可信性信息的處理可能需要改變的原因可能有多個�����。例如��,如果檢測到攻擊�,則這可能使得驗證消息的可信性成為必要??梢允切碌恼J證方案已經(jīng)部署在網(wǎng)絡中并且被驗證以與用戶設備互操作,從而使得與丟失的警報消息相關聯(lián)的風險不重要����。或者它可以是處理的改變�,例如,啟用對與消息有關的安全信息的顯示。
[0077]存在多種選擇來實現(xiàn)向消息驗證功能204傳送配置細節(jié)��。
[0078]在一種選擇中�����,可以由核心網(wǎng)中的單元(例如�����,MME�����、MSC或SGSN)使用非接入層(NAS)協(xié)議向UE201傳送配置細節(jié)�����??梢栽贜AS協(xié)議中向從網(wǎng)絡到UE的任何NAS過程添加新的可選信息單元(IE)。適合的示例包括附著接受���、路由區(qū)域更新接受�、位置更新接受���、跟蹤區(qū)域更新接受���、安全模式命令�。
[0079]圖8示出了這種傳送機制的一個示例����。該圖是用于系統(tǒng)中對MME切換的附著過程的信令示意圖�,其中,該系統(tǒng)包含UE201�����、eNodeB316���、MME801��、EIR802���、服務GW和PDN GW803、804�、PCRF805 和 HSS806,其中���,UE201 已經(jīng)在先前附著到原 MME801����。從 UE201 向 eNodeB316發(fā)送附著請求810,并且附著請求810轉(zhuǎn)發(fā)811給新MME311�����。新MME311向原MME801發(fā)送標識請求812���,原MME801返回標識響應813�。新MME向UE201發(fā)送身份請求814���,UE201返回身份響應815�����。然后��,UE201和新MME311使用HSS806提供的認證信息相互認證816����。一旦認證過程完成��,新MME311就向UE201發(fā)送附著接受消息817,并且它是包含IE的附著接受消息���,該IE包括由UE201的驗證功能204使用的配置細節(jié)�����。該方法還使得向漫游用戶傳送配置成為可能��。
[0080]另一種選擇是通過無線接入層(在eNodeB中稱作RRC層)傳送配置細節(jié)。通過使用該方法�,在RRC鏈接建立時,eNode B中的RRC層將針對所選擇的MME節(jié)點的配置細節(jié)插入到發(fā)往UE的RRCConnectionSetup消息中�����。備選地�,RRC層可以將新的配置捅入到從網(wǎng)絡到UE的某一其它消息中。這再次使得向漫游用戶傳送配置成為可能��。
[0081]另一種選擇是UE可以例如使用IP隧道發(fā)起與用于運營商優(yōu)選的接入網(wǎng)發(fā)現(xiàn)的ANDSF(接入網(wǎng)發(fā)現(xiàn)和選擇功能)服務器的通信�����。在與ANDSF進行通信之后���,可以向UE提供更新的系統(tǒng)間策略和與UE附近的可用接入網(wǎng)有關的信息��。還可以由ANDSF向UE提供配置細節(jié)��。甚至當UE正在拜訪PLMN中漫游時���,UE也可以使用DNS查找來發(fā)現(xiàn)V-ANDSF的IP地址��,以訪問拜訪PLMN中的ANDSF����,如TS24.302中所解釋的����。
[0082]另一種選擇是由CBC303向UE201傳送配置。[0083]另一種選擇是使用“推送”方法向UE傳遞配置細節(jié)���,如圖9中所示����。當UE201使用過程901 (例如�,附著過程、位置更新過程����、路由區(qū)域更新過程或跟蹤區(qū)域更新過程)聯(lián)系服務網(wǎng)絡900時�,HLR/HSS806觸發(fā)803配置功能208使用SMS在WAP推送消息904中的OMADM自舉消息中向UE發(fā)送配置細節(jié)�����。在推送方法中���,使用GBA推送將更加安全����,如TS33.223和TS33.224中所描述的��。該方法使得向漫游用戶傳送配置信息成為可能�����。服務網(wǎng)絡900可以是歸屬網(wǎng)絡或拜訪網(wǎng)絡�。
[0084]不同的方法將是通過“拉取”方法傳送配置信息�����,如圖10中所示����。當UE201使用過程901 (例如���,附著過程、位置更新過程�����、路由區(qū)域更新過程或者跟蹤區(qū)域更新過程)聯(lián)系服務網(wǎng)絡900時����,HLR/HSS806使配置功能205使用SMS在WAP推送消息中向UE1004發(fā)送OMA DM自舉消息。這觸發(fā)UE201經(jīng)由IP連接1005聯(lián)系配置功能205所處的網(wǎng)絡服務器����,并且通過安全HTTPS鏈路1006從配置功能獲取(拉取)驗證配置。 [0085]還可以由歸屬運營商向UE預配置配置功能所處的網(wǎng)絡服務器的IP地址�。
[0086]在另一選擇中,可以經(jīng)由設備使用來自OTA系統(tǒng)的OTA協(xié)議來向US頂傳送配置���。如果UE的ME驗證了安全認證信息���,則ME必須從USIM取回配置。
[0087]圖川是用于網(wǎng)絡中的用戶設備1100的結(jié)構(gòu)的示意圖。用戶設備適合于用作上文所描述的設備101�����、201��。設備包括通信單元1101��,用于與網(wǎng)絡中的其它實體交換數(shù)據(jù)��,存儲單元1102��,用于存儲數(shù)據(jù)�,控制單元1103,以及通知單元1104��,用于向用戶傳送通知��。通知單元1104可以包括顯示設備����。存儲單元1102可以被配置為存儲用于認證信息消息的密鑰和/或存儲設備在任意給定時間操作的配置�����?����?梢哉J識到,密鑰和配置不需要保存在相同的存儲單元中���。存儲單元1102和/或控制單元1103可以并入到ME中����,或者可以并入到諸如SIM或USIM等的可移除模塊1105中�。可移除模塊的其它示例包括ISIM(TS31.103v.10.1.0) ,ETSI SCP 中的嵌入式 UICC(eUICC)(草案 ETSI TS103383v0.0.3或者 SCPREQ(ll)0072RllDraft』mbedded_UICC Requirements_Specificat ion)�����、或者可信運行環(huán)境(TrE)中的軟SIM實現(xiàn)(也稱作MCIM (TR33.812ν.9.2.0)或3GPP2中的CSIM0
[0088]圖12示出了適合于提供配置功能103��、205的服務節(jié)點1200的示意圖�。服務節(jié)點包括通信單元1201,用于與網(wǎng)絡中的其它實體交換數(shù)據(jù)����,存儲單元1202,以及控制單元1203�。
[0089]上文所描述的系統(tǒng)減小了驗證錯誤地阻止消息的風險(例如,由于密鑰預配置或傳輸中的技術錯誤導致錯誤的失敗驗證)。具體地���,可能存在當可信性和完整性信息還未被完全規(guī)定時部署系統(tǒng)的情況�����。在該情況下�����,所描述的方法避免執(zhí)行任何驗證動作����,直到已經(jīng)清楚地出現(xiàn)需要為止��,從而避免錯誤地解釋可信性和完整性字段中的虛假內(nèi)容���。
[0090]此外���,該系統(tǒng)解決了如在PWS消息認證情況中一樣由于部署僅部分規(guī)定的特征而導致的實際問題。
[0091]因此�,如在PWS的情況中一樣����,對于具有非常高重要性的消息����,能夠在例如系統(tǒng)操作期間控制消息驗證的使用�,使得僅當存在對系統(tǒng)的嚴重威脅時(例如,當在先前已經(jīng)檢測到攻擊時)才需要驗證成為可能�。
[0092]還可以使用本文所描述的實施例中的至少一個來將UE切換到其不再處理認證信息的配置。如果出現(xiàn)一大組設備變?yōu)楸徊徽_地實現(xiàn)并且丟棄有效的警報消息的情況����,則這可能是有用的。
【權(quán)利要求】
1.一種用于與網(wǎng)絡進行通信的設備(201 ;1100)�,包括: 通信單元(1101),用于接收數(shù)據(jù)�����; 通知單元(1104)�����,用于向用戶傳送通知��;以及 控制單元(1103)���,用于控制所述通信單元和所述通知單元的操作���;其中�����, 所述通信單元被配置為接收信息消息(402���、407、701����、704); 所述通信單元還被配置為�,如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用,則接收所述安全認證數(shù)據(jù)�����; 所述控制單元被配置為在第一配置(401)或第二配置(406)中操作��,其中����,在所述第一配置(401)中�,所述控制單元忽略任何安全認證數(shù)據(jù)并指示所述通知單元向所述用戶傳送所述通知(404�、703);在所述第二配置(406)中�����,所述控制單元基于所述安全認證數(shù)據(jù)驗證所述信息消息(408����、409、410���、705��、707�、708)���,并且如果所述驗證成功��,則指示所述通知單元向所述用戶傳送所述通知(412���、709); 所述通信單元被配置為接收指示所述控制單元應當操作的配置的配置消息(405����、702�����、706);以及 所述控制單元被配置為��,如果所指示的配置與當前的配置不同�,則改變配置�����。
2.根據(jù)權(quán)利要求1所述的設備��,其中���,在以下情形中的一個或多個情形中���,所述控制單元初始被配置為在所述第一配置中操作: 當所述設備第一次開啟時; 當所述設備漫游到新的網(wǎng)絡時�����; 當所述設備已經(jīng)經(jīng)由第二配置消息被配置時���;以及 在通信中斷之后��; 并且�����,所述配置消息指示所述控制單元應當切換到所述第二配置�����,使得從此時開始�����,如果所述信息消息被驗證����,則向所述用戶傳送所述通知�����。
3.根據(jù)權(quán)利要求1或2所述的設備����,其中���,所述控制單元的配置被存儲在與所述設備相關聯(lián)的配置存儲單元中。
4.根據(jù)權(quán)利要求1�、2或3所述的設備,其中�,所述通信單元被配置為接收一個或多個密鑰,與所述設備相關聯(lián)的密鑰存儲單元被配置為存儲所述一個或多個密鑰����,并且所述控制單元被配置為使用所述一個或多個密鑰中的至少一個密鑰來驗證所述信息消息。
5.根據(jù)權(quán)利要求4所述的設備���,其中�����,所述一個或多個密鑰是一個或多個公共密鑰��。
6.根據(jù)權(quán)利要求3至5中任意一項所述的設備��,其中�,所述配置存儲單元和/或密鑰存儲單元包含在可移除實體中�����。
7.根據(jù)權(quán)利要求6所述的設備,其中����,所述可移除實體能夠?qū)τ蒘IM或USIM模塊執(zhí)行的GSM-AKA、UMTS-AKA或EPS-AKA的部分進行處理��。
8.根據(jù)前述任意一項權(quán)利要求所述的設備��,其中����,所述通知單元包括顯示設備�,所述顯示設備被配置為使得向所述用戶傳送所述通知包括:顯示包含在所述信息消息中的信息。
9.根據(jù)權(quán)利要求8所述的設備�����,其中���,所述配置消息包括應當向所述用戶顯示的安全信息的指示���,并且當接收到信息消息時,所述控制單元根據(jù)所述配置消息中的所述指示來指示所述顯示設備向所述用戶顯示所述安全信息以及所述消息中的信息。
10.根據(jù)前述任意一項權(quán)利要求所述的設備��,其中��,所述信息消息是公共警報系統(tǒng)消肩���、O
11.根據(jù)前述任意一項權(quán)利要求所述的設備����,其中���,所述控制單元被配置為認證所述配置消息����。
12.—種用于電信網(wǎng)絡中的服務節(jié)點(205 ; 1200)���,包括: 通信單元(1201)����,用于發(fā)送數(shù)據(jù)����; 存儲介質(zhì)(1202),用于存儲數(shù)據(jù);以及 控制單元(1203)�����,用于控制所述通信單元和所述存儲介質(zhì)的操作���;其中�, 所述通信單元被配置為向所述網(wǎng)絡中的用戶設備發(fā)送配置消息(607)�,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示,其中���,在所述第一配置中��,在向用戶傳送通知之前不處理與在所述配置消息以后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù);在所述第二配置中����,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)。
13.根據(jù)權(quán)利要求12所述的服務節(jié)點��,其中�,所述配置消息包括應當向所述用戶顯示的安全信息的指示。
14.根據(jù)權(quán)利要求12或13所述的服務節(jié)點�����,其中,所述信息消息是公共警報系統(tǒng)消息��。
15.一種用于激活在電信網(wǎng)絡中的用戶設備(205)中使用安全認證數(shù)據(jù)的方法�����,包括: 接收配置消息(402 �;407); 基于包含在所述消息中的指示來設置配置�; 在第一配置中,忽略與接收的信息消息相關聯(lián)的接收的安全認證數(shù)據(jù)���;以及 在第二配置中��,處理與接收的信息消息相關聯(lián)的接收的安全認證數(shù)據(jù)��。
16.一種用于操作電信網(wǎng)絡中的用戶設備的方法����,包括: 接收信息消息(402����、407�����、701�、704)����; 如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用,則接收所述安全認證數(shù)據(jù)�����; 根據(jù)所述設備被配置為第一配置(401)還是第二配置(406)����,來處理所述信息消息,使得 在所述第一配置中�����,忽略任何安全認證數(shù)據(jù)�����,并向用戶傳送通知(404����、703);以及在所述第二配置(406)中,基于所述安全認證數(shù)據(jù)驗證所述信息消息(408��、409�、410、705��、707���、708)����,并且如果所述驗證成功�,則向所述用戶傳送通知(412、709)����; 接收指示所述控制單元應當操作的配置的配置消息(405、702����、706);以及 如果所指示的配置與當前的配置不同,則改變配置���。
17.一種用于操作電信網(wǎng)絡中的服務節(jié)點的方法���,包括:向所述網(wǎng)絡中的用戶設備發(fā)送配置消息��,所述用戶設備被配置為接收與信息消息相關聯(lián)的安全認證數(shù)據(jù)����,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示��,其中�,在所述第一配置中,在向用戶傳送通知以前不處理與在所述配置消息以后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù)�;在所述第二配置中,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)����。
18.一種計算機程序產(chǎn)品,包括適于在電信網(wǎng)絡中的設備上執(zhí)行的代碼�����,所述代碼用于使所述設備: 接收信息消息(402�����、407����、701、704)����; 如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用,則接收所述安全認證數(shù)據(jù)���; 根據(jù)所述設備被配置為第一配置(401)還是第二配置(406)�,來處理所述信息消息��,使得 在所述第一配置中���,忽略任伺安全認證數(shù)據(jù)�,并向用戶傳送通知(404����、703);以及在所述第二配置(406)中,基于所述安全認證數(shù)據(jù)驗證所述信息消息(408����、409�、410��、705��、707���、.708)���,并且如果所述驗證成功,則向所述用戶傳送通知(412��、709)����; 接收指示所述設備應當操作的配置的配置消息(405、702��、706);以及 如果所指示的配置與當前的配置不同��,則改變配置����。
19.一種計算機程序產(chǎn)品,包括適于在電信網(wǎng)絡中的服務節(jié)點上執(zhí)行的代碼,所述代碼用于使所述服務節(jié)點:向所述網(wǎng)絡中的用戶設備發(fā)送配置消息��,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示����,其中��,在所述第一配置中����,在向用戶傳送通知以前不處理與在所述配置消息以后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù);在所述第二配置中���,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)��。
20.一種計算機程序��,包括計算機可讀代碼�,當由電信網(wǎng)絡中的用戶設備操作所述計算機可讀代碼時���,所述計算機可讀代碼使所述用戶設備: 接收信息消息(402����、407、701�����、704)��; 如果與所述信息消息相關聯(lián)的安全認證數(shù)據(jù)可用����,則接收所述安全認證數(shù)據(jù); 根據(jù)所述設備被配置為第一配置(401)還是第二配置(406)�,來處理所述信息消息,使得 在所述第一配置中�,忽略任何安全認證數(shù)據(jù),并向用戶傳送通知(404�����、703);以及在所述第二配置(406)中�,基于所述安全認證數(shù)據(jù)驗證所述信息消息(408、409����、410、705���、707����、708),并且如果所述驗證成功���,則向所述用戶傳送通知(412、709)�; 接收指示所述控制單元應當操作的配置的配置消息(405、702�、706);以及 如果所指示的配置與當前的配置不同,則改變配置����。
21.一種計算機程序,包括計算機可讀代碼��,當由電信網(wǎng)絡中的服務節(jié)點操作所述計算機可讀代碼時����,所述計算機可讀代碼使所述服務節(jié)點:向所述網(wǎng)絡中的用戶設備發(fā)送配置消息,所述配置消息包括關于所述用戶設備應當在第一配置還是第二配置中操作的指示�,其中,在所述第一配置中��,在向用戶傳送通知以前不處理與在所述配置消息以后發(fā)送的信息消息相關聯(lián)的安全認證數(shù)據(jù);在所述第二配置中��,在向所述用戶傳送通知之前必須處理所述安全認證數(shù)據(jù)���。
22.—種計算機程序產(chǎn)品�,包括計算機可讀介質(zhì)和根據(jù)權(quán)利要求20或21所述的計算機程序����,其中,所述計算機程序被存儲在所述計算機可讀介質(zhì)上���。
【文檔編號】H04W8/24GK103650452SQ201280032071
【公開日】2014年3月19日 申請日期:2012年6月14日 優(yōu)先權(quán)日:2011年7月1日
【發(fā)明者】莫尼卡·威弗森, 米凱爾·利延斯坦, 約翰·馬特森, 卡爾·諾曼 申請人:瑞典愛立信有限公司