不加密的網(wǎng)絡(luò)操作解決方案的制作方法
【專利說明】不加密的網(wǎng)絡(luò)操作解決方案
[0001]本申請是申請?zhí)枮?01080008671.2����、申請日為2010年I月29日、發(fā)明名稱為“不加密的網(wǎng)絡(luò)操作解決方案”的發(fā)明專利申請的分案申請�����。
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及一種用于處理電信網(wǎng)絡(luò)中的非接入層信令的安全問題的解決方案���。
【背景技術(shù)】
[0003]用于UE/MME交互的NAS協(xié)議具有包括消息的加密和/或完整性保護(hù)的安全保護(hù)機(jī)制����。在正常加密操作中����,一旦安全上下文已經(jīng)為了特定的NAS連接而激活,所有消息就應(yīng)當(dāng)被加密���。
[0004]3GPP TS 24.301中還規(guī)定���,加密是運(yùn)營商的選擇��。因此,SAE需要支持在NAS協(xié)議中的不加密操作�。
[0005]可以選擇不同的解決不加密操作的方法,以及一種方式是總是使用非安全保護(hù)的NAS消息���。存在兩種一般類型的NAS消息��,不具有安全保護(hù)的明文NAS消息和應(yīng)用了完整性保護(hù)和/或加密的安全保護(hù)的NAS消息����。
[0006]如果在SAE中沒有通用的方式來解決不加密操作模式�,則在UE和MME之間以及在不同的供應(yīng)商之間將存在互操作性問題,這實(shí)際上使得不加密操作不可能�����。
[0007]如果選擇一種方法��,其中在不加密操作模式中非安全保護(hù)的NAS消息用于所有消息��,則這意味著MME實(shí)現(xiàn)將更加復(fù)雜而且需要能夠?yàn)榇蟛糠諲AS消息區(qū)分加密和不加密操作���。
[0008]此外�����,如果在不加密操作中使用明文NAS消息��,則這些NAS消息的完整性保護(hù)將不可用�,并且那些規(guī)則的例外還會不得不實(shí)現(xiàn)。
【發(fā)明內(nèi)容】
[0009]因此��,本發(fā)明的目的是致力于這些問題并為NAS安全的互操作性提供解決方案��。
[0010]本發(fā)明的概念是�����,當(dāng)安全上下文被選擇以供在不加密模式中操作的例如移動性管理實(shí)體(MME)的移動性管理設(shè)備使用時(shí)�����,選擇“零加密算法”��。這可以對使用處于不加密操作的網(wǎng)絡(luò)的所有UE或?qū)εcMME有關(guān)的單獨(dú)的UE進(jìn)行����。在所有其他方面,NAS消息可以用與處于正常加密操作的網(wǎng)絡(luò)中相同的方式發(fā)送�����、接收和處理。
[0011]這在本發(fā)明的多個(gè)方面提供����,其中第一方面是用于處理電信網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施節(jié)點(diǎn)中的安全問題的方法����。方法包括以下步驟:
接收來自與電信網(wǎng)絡(luò)無線通信的用戶設(shè)備(UE)的初始非接入層即NAS消息。
[0012]確定UE的安全上下文狀態(tài)�����。
[0013]確定是否要將不加密模式用于安全上下文���。
[0014]將加密算法設(shè)置成零加密算法���。
[0015]向UE發(fā)送包括指示加密算法的信息的安全上下文和激活消息。
[0016]接收來自UE的安全上下文激活確認(rèn)消息�。
[0017]所有安全上下文可以用零加密算法創(chuàng)建和/或用于單獨(dú)的UE的安全上下文可以設(shè)置成零加密算法。
[0018]方法還可包括接收另外的NAS消息和使用零加密算法解密另外的NAS消息的步驟���。此外�����,方法還可包括提供通信消息的完整性保護(hù)的步驟����。消息可以被當(dāng)作處于正常加密模式來處理,與加密模式無關(guān)���。
[0019]優(yōu)選地設(shè)置零加密算法�����,以用不改變消息這樣的方式來對這些消息起作用���。
[0020]如權(quán)利要求1所述的方法,其中發(fā)送安全上下文的步驟包括:在消息中的字段中指示以下各項(xiàng)之一:無完整性保護(hù)和無加密����、只有完整性保護(hù)、或完整性保護(hù)和加密全起作用���。
[0021]提供本發(fā)明的另一方面����,電信網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施設(shè)備�。設(shè)備包括:處理單元���、存儲器單元和通信接口單元。處理單元可以配置成執(zhí)行存儲在存儲器單元中的指令集���,用于:使用通信接口接收來自用戶設(shè)備的初始非接入層即NAS消息�,確定安全上下文狀態(tài)��,創(chuàng)建新的安全上下文��,確定是否要將不加密模式用于安全上下文�,將加密算法設(shè)置成零���,使用通信接口向UE發(fā)送包括指示加密算法的信息的安全上下文和激活消息�����,以及使用通信接口接收來自UE的安全上下文激活確認(rèn)消息��。
[0022]基礎(chǔ)設(shè)施設(shè)備可以是例如移動性管理實(shí)體(MME)的移動性管理設(shè)備�。
[0023]使用根據(jù)本發(fā)明的解決方案�,可以實(shí)現(xiàn)以下益處:
用于接受特定的NAS消息的標(biāo)準(zhǔn)在加密和不加密操作中可以相同;
安全保護(hù)的完整性保護(hù)部分在不加密操作中可以仍然有效�����;
解決方案可以完全在MME中實(shí)現(xiàn),即無UE影響����;這從而提供本發(fā)明的有成本效益的實(shí)現(xiàn)。
【附圖說明】
[0024]下面����,將參照附圖中示出的示例性實(shí)施例以非限定方式并更具體地描述本發(fā)明,其中:
圖1示意地示出根據(jù)本發(fā)明的網(wǎng)絡(luò)���;
圖2示意地示出根據(jù)本發(fā)明的設(shè)備���;
圖3在框圖中示意地示出根據(jù)本發(fā)明的方法;以及圖4在框圖中示意地示出根據(jù)本發(fā)明的另一方法���。
【具體實(shí)施方式】
[0025]圖1中��,參考數(shù)字100通常表示電信網(wǎng)絡(luò)����,包括與例如移動性管理實(shí)體(MME)的移動性管理設(shè)備103連接106的無線電接入網(wǎng)絡(luò)102����,移動性管理設(shè)備103是核心網(wǎng)絡(luò)104的一部分��。無線電接入網(wǎng)絡(luò)為無線105連接到無線電接入網(wǎng)絡(luò)的用戶設(shè)備101 (UE)提供對電信網(wǎng)絡(luò)的接入�,例如經(jīng)由例如eNodeB或類似的網(wǎng)絡(luò)接入節(jié)點(diǎn)的基站(未示出)�����。為了說明����,MME將用于說明書中�����,但是應(yīng)該注意的是���,其他移動性管理設(shè)備可以是適用的�。網(wǎng)絡(luò)可以包括另外的節(jié)點(diǎn)��;但是�,因?yàn)檫@些節(jié)點(diǎn)并不形成本發(fā)明的一部分,所以沒有示出它們����,例如服務(wù)網(wǎng)關(guān)���、分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)、歸屬訂戶服務(wù)器等等����。此外,網(wǎng)絡(luò)還包括通信分發(fā)設(shè)備��,例如用于通信數(shù)據(jù)的物理分發(fā)的線纜線路��、路由器和交換機(jī)�。
[0026]UE使用取決于使用中的例如LTE、SAE或類似的基于分組的協(xié)議的協(xié)議標(biāo)準(zhǔn)的正常附著過程附著到網(wǎng)絡(luò)��。在附著到網(wǎng)絡(luò)期間���,UE將建立到核心網(wǎng)絡(luò)104的非接入層連接�。這由UE發(fā)起�,它向核心網(wǎng)絡(luò)以及向MME發(fā)送建立請求。
[0027]當(dāng)新的NAS連接在UE和MME之間建立時(shí)����,安全上下文應(yīng)當(dāng)付諸使用����,并且這在UE和MME之間協(xié)商�。如果MME已經(jīng)配置成不為NAS消息應(yīng)用加密,則MME選擇“零加密算法”來由安全上下文使用�。除了這一例外以外,MME可以像網(wǎng)絡(luò)在正常加密模式中操作一樣處理UE和MME之間的NAS消息和所有過程����,即當(dāng)特定的NAS消息應(yīng)當(dāng)標(biāo)記為“明文”或“安全保護(hù)”時(shí),相同的規(guī)則適用����。
[0028]零加密算法可以包括在加密期間不改變數(shù)據(jù)的算法。這可以在算法本身中或通過利用用于播種(seed)算法的密鑰集標(biāo)識符定義���,使得算法在加密期間執(zhí)行而不改變數(shù)據(jù)。
[0029]可以執(zhí)行正常的鑒權(quán)過程���,例如為了發(fā)送的數(shù)據(jù)的完整性保護(hù)�。這在數(shù)據(jù)的零加密的同時(shí)允許數(shù)據(jù)的完整性保護(hù)��。
[0030]根據(jù)本發(fā)明的解決方案有利地在例如MME的移動性管理設(shè)備中實(shí)現(xiàn)。從圖2A中看出�����,MME 103��、200可以包括至少一個(gè)處理單元201�、至少一個(gè)例如存儲器單元的計(jì)算機(jī)可讀存儲介質(zhì)202和至少一個(gè)通信接口 203。處理單元配置成從存儲器單元讀取軟件或硬件指令集���,并與通信接口一起執(zhí)行根據(jù)本發(fā)明的方法��。處理單元可以包括任何合適的處理設(shè)備��,例如微處理器�����、中央處理單元(CPU)����、數(shù)字信號處理器(DSP)�����、專用集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA)。應(yīng)該注意的是��,這些指令集還可以包括通常為ASIC解決方案實(shí)現(xiàn)的硬件指令���。此外��,存儲器單元可以包括易失性或非易失性存儲器類型或這些類型的組合��。通信接口優(yōu)選地配置成以基于分組的方式來通信���,例如通過諸如基于因特網(wǎng)協(xié)議(IP)的協(xié)議的協(xié)議。
[0031]MME的功能元件在圖2B中示出�,其中處理器具