專利名稱:在無執(zhí)照的移動(dòng)接入網(wǎng)中提供安全性的制作方法
在無執(zhí)照的移動(dòng)接入網(wǎng)中提供安全性 發(fā)明領(lǐng)域本發(fā)明總體上涉及移動(dòng)通信領(lǐng)域,更特別地,涉及用于在無執(zhí)照 的移動(dòng)接入網(wǎng)或通用接入網(wǎng)中提供安全性的方法、系統(tǒng)和設(shè)備。發(fā)明背景無執(zhí)照的移動(dòng)接入(UMA)技術(shù)規(guī)范建議,無執(zhí)照的網(wǎng)絡(luò)控制器 (UNC)和無執(zhí)照的網(wǎng)絡(luò)控制器安全網(wǎng)關(guān)(UNC-SGW)應(yīng)當(dāng)檢驗(yàn)當(dāng)移 動(dòng)站(MS)建立對UNC-SGW的IPsec安全連接時(shí)和當(dāng)MS在UNC注冊 時(shí)要使用同一個(gè)國際移動(dòng)用戶標(biāo)識(shí)(IMSI)。在這兩種事例中,MS把 IMSI分別提供到UNC-SGW和UNC。然而,UMA技術(shù)規(guī)范沒有規(guī)定應(yīng)當(dāng) 如何進(jìn)行這些檢驗(yàn)。而且,這些建議的實(shí)施方案仍舊使得核心網(wǎng)對攻 擊是開放的。在用于在其他情況下被稱為通用接入網(wǎng)(GAN)的"到A和Gb-接 口的通用接入"的第三代合作伙伴計(jì)劃(3GPP)的標(biāo)準(zhǔn)中,情況也是 這樣。見3GPP技術(shù)規(guī)范43. 318 (第2階段)和44. 318 (第3階段)。 應(yīng)當(dāng)指出,在3GPP技術(shù)規(guī)范中通用接入網(wǎng)控制器(GANC)等價(jià)于在UMA 技術(shù)規(guī)范中的UNC。相似地,在3GPP技術(shù)規(guī)范中通用接入網(wǎng)控制器的 安全網(wǎng)關(guān)(GANC-SEGW)等價(jià)于在UMA技術(shù)規(guī)范中的UNC-SGW。例如,MS可使用多個(gè)臨時(shí)移動(dòng)用戶標(biāo)識(shí)(TMSI)或分組臨時(shí)移動(dòng) 用戶標(biāo)識(shí)(P-TMSI)來模擬多個(gè)MS,諸如具有SIM卡讀卡器和UMA客 戶端的個(gè)人計(jì)算機(jī)(PC)。而且, 一個(gè)敵對(hostile)的MS可以向 核心網(wǎng)發(fā)送位置更新或IMSI分離消息,造成在MS級(jí)別上的一種類型 的拒絕服務(wù)(DoS)攻擊(終結(jié)呼叫將會(huì)失敗等等)。因此,需要一種 方法和設(shè)備,它們通過檢驗(yàn)當(dāng)移動(dòng)站與核心網(wǎng)通信時(shí)這些移動(dòng)站使用 的移動(dòng)標(biāo)識(shí)(IMSI、 TMSI、和/或P-TMSI)而保護(hù)核心網(wǎng)。發(fā)明概要本發(fā)明提供通過無執(zhí)照的網(wǎng)絡(luò)控制器(UNC)或通用接入網(wǎng)控制 器(GANC)和用于無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)(UNC-SGW)或通用接入網(wǎng)控制器的安全網(wǎng)關(guān)(GANC-SEGW)來執(zhí)行所建議的安全性檢 驗(yàn)的方法、系統(tǒng)和設(shè)備。本發(fā)明提供一種使得所需要的0&M活動(dòng)最小、 支持許多不同的網(wǎng)絡(luò)情形、和可以容易地被標(biāo)準(zhǔn)化的最佳化解決方 案。應(yīng)當(dāng)指出,本發(fā)明可應(yīng)用于無執(zhí)照的移動(dòng)接入網(wǎng)(UMAN)和通用 接入網(wǎng)(GAN)。更特別地,本發(fā)明引入一種基于可靠傳輸?shù)腢NC與UNC-SGW或GANC 與GANC-SEGW之間的新的協(xié)議,其包括對UNC-SGW與UNC或GANC-SEGW 與GANC之間的連接的動(dòng)態(tài)處理。實(shí)質(zhì)上,UNC-SGW或GANC-SEGW在IPsec 隧道建立時(shí)保存某些數(shù)據(jù),以及檢驗(yàn)在MS與UNC或GANC之間的通信。 當(dāng)在MS與UNC或GANC之間建立TCP連接時(shí),UNC-SGW或GANC-SEGW 可以建立到那個(gè)UNC或GANC的另一個(gè)TCP連接,并且把所需要的信 息僅僅發(fā)送到那個(gè)UNC或GANC。 UNC或GANC然后可以檢驗(yàn)在IPsec 隧道建立(EAP-SIM或EAP-AKA鑒權(quán))時(shí)和在注冊時(shí)所使用的信息是 相同的。本發(fā)明還提供把用于MS的公共IP地址提供到UNC或GANC 的附加的好處。另外,本發(fā)明還被使用來通過檢驗(yàn)當(dāng)移動(dòng)站與核心網(wǎng)通信時(shí)移動(dòng) 站(MS)使用的移動(dòng)標(biāo)識(shí)(國際移動(dòng)用戶標(biāo)識(shí)(IMSI))、臨時(shí)移動(dòng)用 戶標(biāo)識(shí)(TMSI)和/或分組臨時(shí)移動(dòng)用戶標(biāo)識(shí)(P-TMSI)而保護(hù)核心 網(wǎng)。簡言之,那些包含不與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)(在注冊后)對 應(yīng)的移動(dòng)標(biāo)識(shí)的消息要被丟棄。 一旦這樣的消息被丟棄,就可以采取 各種保護(hù)的和進(jìn)行報(bào)告的行動(dòng)。所以,MS僅僅允許使用一個(gè)IMSI、 一 個(gè)TMSI和一個(gè)P-TMSI。結(jié)果,本發(fā)明保護(hù)核心網(wǎng)免受惡意的和故障的 MS實(shí)施的影響。作為其結(jié)果,本發(fā)明還提供一種通過接收一個(gè)包含MS的移動(dòng)標(biāo)識(shí) 的消息和每當(dāng)所接收的移動(dòng)標(biāo)識(shí)不匹配于與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí) 時(shí)就丟棄或拒絕該消息而在無執(zhí)照的移動(dòng)接入網(wǎng)中提供安全性的方 法。每當(dāng)所接收的移動(dòng)標(biāo)識(shí)匹配于與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí),該 消息就被處理。移動(dòng)標(biāo)識(shí)可以是IMSI、 TMSI、 P-TMSI、專用互聯(lián)網(wǎng)協(xié) 議(IP)地址或公共IP地址。消息可以是注冊請求、上行鏈路消息或 下行鏈路消息,諸如移動(dòng)性管理(MM)消息、通用分組無線業(yè)務(wù)(GPRS) 移動(dòng)性管理(GMM)消息、或UMA或無執(zhí)照的無線資源(URR)消息(僅 僅在MS與UNC之間被使用)。本發(fā)明可以作為在計(jì)算機(jī)可讀的媒體上體現(xiàn)的計(jì)算機(jī)程序被實(shí)施,其中方法步驟由一個(gè)或多個(gè)代碼段來實(shí)施。另外,本發(fā)明提供包括被可通信地耦合到處理器的數(shù)據(jù)存儲(chǔ)設(shè)備的設(shè)備。數(shù)據(jù)存儲(chǔ)設(shè)備存儲(chǔ)移動(dòng)標(biāo)識(shí)與MS的聯(lián)系。處理器接收包含MS 的移動(dòng)標(biāo)識(shí)的消息,并且每當(dāng)所接收的移動(dòng)標(biāo)識(shí)不匹配于與MS有關(guān)的 存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就丟棄或拒絕該消息。設(shè)備典型地是在無執(zhí)照的移 動(dòng)接入網(wǎng)(UMAN)內(nèi)的無執(zhí)照的網(wǎng)絡(luò)控制器(UNC)或在與核心網(wǎng)通 信的通用接入網(wǎng)(GAN)內(nèi)的通用接入網(wǎng)控制器(GANC)。本發(fā)明還提供一個(gè)包括移動(dòng)站、安全網(wǎng)關(guān)和無執(zhí)照的網(wǎng)絡(luò)控制器 的系統(tǒng)。安全網(wǎng)關(guān)被可通信地耦合到移動(dòng)站。無執(zhí)照的網(wǎng)絡(luò)控制器可 以被通信地耦合到移動(dòng)站和安全網(wǎng)關(guān)。安全網(wǎng)關(guān)接收來自移動(dòng)站的移 動(dòng)標(biāo)識(shí)信息,并把移動(dòng)標(biāo)識(shí)信息發(fā)送到無執(zhí)照的網(wǎng)絡(luò)控制器。無執(zhí)照 的網(wǎng)絡(luò)控制器存儲(chǔ)接收的移動(dòng)標(biāo)識(shí)信息,并且每當(dāng)從移動(dòng)站接收的注 冊請求內(nèi)的移動(dòng)標(biāo)識(shí)匹配于存儲(chǔ)的移動(dòng)標(biāo)識(shí)信息時(shí)就注冊移動(dòng)站。安 全網(wǎng)關(guān)被配置成具有被無執(zhí)照的網(wǎng)絡(luò)控制器用來注冊移動(dòng)站的一個(gè)或 多個(gè)規(guī)定的傳輸控制協(xié)議(TCP)端口,以及無執(zhí)照的網(wǎng)絡(luò)控制器偵 聽在該一個(gè)或多個(gè)規(guī)定的TCP端口上進(jìn)入的TCP連接。在一個(gè)實(shí)施例 中,安全網(wǎng)關(guān)確保在從無執(zhí)照的網(wǎng)絡(luò)控制器接收到一個(gè)表示移動(dòng)標(biāo) 識(shí)信息的成功的接收和存儲(chǔ)的消息之前,無執(zhí)照的網(wǎng)絡(luò)控制器不接收 注冊請求。在另一個(gè)實(shí)施例中,無執(zhí)照的網(wǎng)絡(luò)控制器使用移動(dòng)標(biāo)識(shí)信 息來給移動(dòng)站提供一個(gè)或多個(gè)服務(wù)。如前所述,無執(zhí)照的網(wǎng)絡(luò)控制器 可以是通用接入網(wǎng)控制器。附圖簡述通過結(jié)合附圖參照以下的說明,可以更好地了解本發(fā)明的以上的 和另外的優(yōu)點(diǎn),其中
圖1是顯示在UMA網(wǎng)絡(luò)與核心網(wǎng)之間使用移動(dòng)標(biāo)識(shí)的代表性信令序列;圖2是顯示由移動(dòng)站使用的不同的IP地址的圖;圖3A、 3B、 3C、 3C和3E是顯示在無執(zhí)照的網(wǎng)絡(luò)控制器與其中可以 使用本發(fā)明的無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)之間的關(guān)系的不同的網(wǎng) 絡(luò)情景的框圖;圖4是顯示按照本發(fā)明的保護(hù)核心網(wǎng)的方法的流程圖;圖5是顯示對于本發(fā)明的一個(gè)實(shí)施例的初始配置的圖;圖6是顯示本發(fā)明的一個(gè)實(shí)施例的使用的信令序列;圖7A、 7B和7C是顯示按照本發(fā)明的一個(gè)實(shí)施例的方法當(dāng)它在無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)處使用時(shí)的流程圖;圖8是顯示按照本發(fā)明的一個(gè)實(shí)施例的方法當(dāng)它在無執(zhí)照的網(wǎng)絡(luò)控制器處使用時(shí)的流程圖;圖9是顯示本發(fā)明的一個(gè)實(shí)施例對于上行鏈路消息的使用的信令序列;圖10是顯示本發(fā)明的一個(gè)實(shí)施例對于下行鏈路消息的使用的信令 序列;圖ll是顯示按照本發(fā)明的一個(gè)實(shí)施例的方法對于上行鏈路消息的 流程圖;圖12是顯示按照本發(fā)明的一個(gè)實(shí)施例的方法對于下行鏈路消息的 流程圖;以及圖13是顯示按照本發(fā)明的另一個(gè)實(shí)施例的方法對于上行鏈路消息 的流程圖。發(fā)明詳細(xì)說明在下面詳細(xì)討論本發(fā)明的各種實(shí)施例的實(shí)行和使用時(shí),應(yīng)當(dāng)看 到,本發(fā)明可以提供可以在各種各樣的特定的方面體現(xiàn)的、許多可應(yīng) 用的創(chuàng)造性概念。這里討論的具體的實(shí)施例僅僅是實(shí)行和使用本發(fā)明 的特定的方式的說明例,而不是限制本發(fā)明的范圍。為了便于了解本發(fā)明,下面定義許多術(shù)語。這里定義的術(shù)語具有 由與本發(fā)明有關(guān)的領(lǐng)域的普通技術(shù)人員通常理解的意義。諸如"一個(gè)" 和"這個(gè)"那樣的術(shù)語并不打算限于單數(shù),而可以包括被使用來說明 的特定的例子的總的類別。這里的術(shù)語被使用來描述本發(fā)明的特定的 實(shí)施例,但它們的用法不限制本發(fā)明,除了在權(quán)利要求中列出的以外。本發(fā)明提供通過無執(zhí)照的網(wǎng)絡(luò)控制器(UNC)或通用接入網(wǎng)控制 器(GANC)和用于無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)(UNC-SGW)或通 用接入網(wǎng)控制器的安全網(wǎng)關(guān)(GANC-SEGW)來執(zhí)行所建議的安全性檢 驗(yàn)的方法、系統(tǒng)和設(shè)備。本發(fā)明提供一種使得所需要的0&M活動(dòng)最小、 支持許多不同的網(wǎng)絡(luò)情形、和可以容易地被標(biāo)準(zhǔn)化的最佳化解決方案。應(yīng)當(dāng)指出,本發(fā)明可應(yīng)用于無執(zhí)照的移動(dòng)接入網(wǎng)(UMAN)和通用 接入網(wǎng)(GAN)。更特別地,本發(fā)明引入一種基于可靠傳輸?shù)腢NC與UNC-SGW或GANC 與GANC-SEGW之間的新的協(xié)議,其包括對UNC-SGW與UNC或GANC-SEGW與 GANC之間的連接的動(dòng)態(tài)處理。實(shí)質(zhì)上,UNC-SGW或GANC-SEGW在IPsec 隧道建立時(shí)保存某些數(shù)據(jù),以及檢驗(yàn)在MS與UNC或GANC之間的通信。 當(dāng)在MS與UNC或GANC之間建立TCP連接時(shí),UNC-SGW或GANC-SEGW可以建 立到那個(gè)UNC或GANC的另一個(gè)TCP連接,并且把所需要的信息僅僅發(fā)送 到那個(gè)UNC或GANC。 UNC或GANC然后可以檢驗(yàn)在IPsec隧道建立(EAP-SIM 或EAP-AKA鑒權(quán))時(shí)和在注冊時(shí)所使用的信息是相同的。本發(fā)明還提 供把用于MS的公共IP地址提供到UNC或GANC的附加的好處。另外,本發(fā)明還被使用來通過檢驗(yàn)當(dāng)移動(dòng)站與核心網(wǎng)通信時(shí)移動(dòng) 站(MS)使用的移動(dòng)標(biāo)識(shí)(國際移動(dòng)用戶標(biāo)識(shí)(IMSI))、臨時(shí)移動(dòng)用 戶標(biāo)識(shí)(TMSI)和/或分組臨時(shí)移動(dòng)用戶標(biāo)識(shí)(P-TMSI)而保護(hù)核心 網(wǎng)。簡言之,那些包含不與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)(在注冊后)對 應(yīng)的移動(dòng)標(biāo)識(shí)的消息被丟棄。 一旦這樣的消息被丟棄,就可以采取各 種保護(hù)的和進(jìn)行報(bào)告的行動(dòng)。所以,MS僅僅允許使用一個(gè)IMSI、 一個(gè) TMSI和一個(gè)P-TMSI。結(jié)果,本發(fā)明保護(hù)核心網(wǎng)免受惡意的和故障的MS 實(shí)施的影響?,F(xiàn)在參照圖l,圖上顯示在UMA網(wǎng)絡(luò)或通用接入網(wǎng)(GAN) IOO與核 心網(wǎng)102之間使用移動(dòng)標(biāo)識(shí)的代表性信令序列。當(dāng)MS 104建立到UNC-SGW 或GANC-SEGW 106的IPsec安全連接時(shí),MS 104通過^f吏用EAP-SIM或 EAP-AKA把IMSI提供到無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)(UNC-SEGW ) 或通用接入網(wǎng)控制器的安全網(wǎng)關(guān)(GANC-SEGW) 106。 UNC-SEGW或 GANC-SEGW 106通過使用公知的信令與鑒權(quán)協(xié)議(鑒權(quán)、授權(quán)和記帳 (AAA)基礎(chǔ)結(jié)構(gòu)114),來鑒權(quán)110在HLR IIO中的這個(gè)IMSI。當(dāng)MS 104 通過UNC或GANC 116注冊118時(shí),MS 104還把IMSI提供到無執(zhí)照的網(wǎng)絡(luò) 控制器(UNC)或通用接入網(wǎng)(GANC) 116。另外,當(dāng)MS 104與核心網(wǎng) 102 (例如,MSC 112)通信120時(shí),MS 104寸吏用IMSI、 TMSI或P-TMSI 來標(biāo)識(shí)它自己。應(yīng)當(dāng)指出,當(dāng)注冊118時(shí),不把TMSI和P-TMSI報(bào)告給UNC或GANC 116。 TMSI和P-TMSI只在位置區(qū)域內(nèi)才具有意義。在位置區(qū)域以外,TMSI和P-TMSI必須與位置區(qū)域識(shí)別符(LAI)相組合,以便提供明確的標(biāo) 識(shí)。通常,在位置區(qū)域每次改變時(shí)至少執(zhí)行TMSI或P-TMSI重新分配。 這樣的選擇留給網(wǎng)絡(luò)運(yùn)營商。移動(dòng)標(biāo)識(shí)在MS 104與MSC/訪問位置寄存器(VLR) 112之間在以下的移動(dòng)性管理(MM)消息中被使用。從MS 104到MSC/VLR 112 (上行鏈路消息)位置更新請求(LOCATION UPDATING REQUEST) 標(biāo)識(shí)應(yīng)答(IDENTITY) CM服務(wù)請求(CM SERVICE REQUEST) IMSI分離指示(IMSI DETACH INDICATION) CM重新建立請求(CM RE-ESTABLISHMENT REQUEST) 從MSC/VLR 112到MS 104 (下行鏈路消息)TMSI重新分配命令(TMSI REALLOCATION COMMAND) 位置更新接受(LOCATION UPDATING ACCEPT) 移動(dòng)標(biāo)識(shí)也在從MS 104到MSC/VLR 112的尋呼應(yīng)答消息中被使用。 UNC或GANC 116所以可以對于在MS 104與MSC/VLR 112之間發(fā)送的MM消 息執(zhí)行檢驗(yàn)?,F(xiàn)在參照圖2,圖上顯示由移動(dòng)站104使用的不同的IP地址的圖。 如前所述,本發(fā)明解決把MS 104公共IP地址給UNC或GANC 116的問題。 某些運(yùn)營商具有管理的IP網(wǎng)絡(luò),并且控制把公共IP地址分配給他們的 客戶(例如,到有線電視調(diào)制解調(diào)器),從而使得他們可以按優(yōu)先次 序安排在他們的網(wǎng)絡(luò)中的話音業(yè)務(wù)。公共IP地址也可以被使用于定位 服務(wù)和收費(fèi)(如家庭區(qū)域)。公共(即,外部)IP地址200只被使用在 MS 104與UNC-SGW或GANC-SEGW 106之間,以及在UNC或GANC 116中是 看不見的。MS 104在與UNC或GANC 116通信時(shí)^吏用專用(即,內(nèi)部)IP 地址202。UNC或GANC 116需要找出MSC 104公共IP地址200,以便提供服務(wù) 質(zhì)量(QoS)、定位服務(wù)、收費(fèi)等等。例如,UNC或GANC 116可以使用 到策略服務(wù)器(例如,通過使用COPS)的所接收的"記錄(log)"信 息(MS 104和UNC-SGW或GANC-SEGW 106/〉共IP地址)(將在下面描述), 以侵j呆證在MS 104與UNC-SGW或GANC-SEGW 106之間的網(wǎng)絡(luò)中的QoS。 對于定位服務(wù),UNC或GANC 116可以聯(lián)系外部服務(wù)器,后者可以返還對于公共IP地址的位置信息(例如,綽度/經(jīng)度)。對于核心網(wǎng)102這 個(gè)信息然后可被使用于定位服務(wù)。對于收費(fèi),UNC或GANC 116可以聯(lián) 系外部服務(wù)器,后者可以返還對于公共IP地址的位置信息,以便發(fā)現(xiàn) MS 104是否處在家庭住宅(即,不在熱點(diǎn)中)。對于核心網(wǎng)102這個(gè)信 息然后可被使用于不同的收費(fèi)(向核心網(wǎng)102表示另一個(gè)CGI )。在 UNC-SGW 106與匿116或GANC-SEGW 106與GANC 116之間的這個(gè)新的 協(xié)議也可以被使用以及被增強(qiáng),以便用于許多其它用途,(例如,帶 寬管理,以查明MS 104是否應(yīng)當(dāng)被重新引導(dǎo)到另一個(gè)UNC-SEGW或 GANC-SGW 106)。"UNC或GANC連接"/新的協(xié)議,正如下面描述的,也可以被使用來 向UNC-SGW或GANC-SEGW 106表示在不匹配的情形下,IPsec連接應(yīng) 當(dāng)斷開。UNC或GANC 116也可以通知AAA服務(wù)器114:在EAP-SIM或EAP-AKA處所使用的特定的IMSI已被使用于敵對的操作,以及IMSI可被列 入黑名單(如果運(yùn)營商是這樣希望的話)。另外,"UNC或GANC連接"/ 新的協(xié)議也可以被UNC-SGW或GANC-SEGW 106使用來向UNC或GANC 116 表示IPsec連接已被斷開。這還可以被用來替代應(yīng)用級(jí)別保持活的 機(jī)制,它使應(yīng)用級(jí)別解除這個(gè)負(fù)擔(dān)(例如,應(yīng)用級(jí)別保持活的過程可 以使用非常高的間隔)?,F(xiàn)在參照圖3A、 3B、 3C、 3C和3E,圖上顯示在無執(zhí)照的網(wǎng)絡(luò)控制 器與其中可以使用本發(fā)明的用于無執(zhí)照的網(wǎng)絡(luò)控制器的安全網(wǎng)關(guān)之間的關(guān)系的不同的網(wǎng)絡(luò)情景的框圖。在最筒單的網(wǎng)絡(luò)情景的情形下(圖 3A),在UNC-SGW和UNC或GANC-SEGW和GANC之間的關(guān)系是1:1。在這種 情形下,在這個(gè)解決方案中的問題可以較筒單地處理,即,每個(gè)UNC-SGW或GANC-SEGW精確地知道,發(fā)送所需要的信息到哪個(gè)UNC或GANC, 或每個(gè)UNC或GANC精確地知道,哪個(gè)UNC-SGW或GANC-SEGW請求信息。 對于這種情景所需要的0&M是簡單的。UNC-SGW或GANC-SEGW被配置成 具有關(guān)于UNC或GANC的信息,或以相反的方式。在另一個(gè)網(wǎng)絡(luò)情景的情形下(圖3B),在UNC-SGW和UNC或GANC-SEGW 和GANC之間的關(guān)系是n: 1 (即,多個(gè)UNC-SGW服務(wù)于一個(gè)UNC或多個(gè) GANC-SEGW服務(wù)于一個(gè)GANC)。在這種情形下,在這個(gè)解決方案中的問 題仍舊相當(dāng)簡單地處理,即,每個(gè)UNC-SGW或GANC-SEGW精確地知道, 發(fā)送所需要的信息到哪些UNC或GANC,或每個(gè)UNC或GANC精確地知道,哪個(gè)UNC-SGW或GANC-SEGW請求信息。對于這種情景所需要的0&M是復(fù) 雜的。或者UNC-SGW或GANC-SEGW被配置成具有關(guān)于冊C或GANC的信息, 或者UNC或GANC被配置成具有關(guān)于所有的UNC-SGW或GANC-SEGW的信在再一個(gè)網(wǎng)絡(luò)情景的情形下(圖3C ),在UNC-SGW和UNC或GANC-SEGW 和GANC之間的關(guān)系是l:n (即, 一個(gè)UNC-SGW服務(wù)于多個(gè)UNC或一個(gè) GANC-SEGW服務(wù)于多個(gè)GANC)。在這種情形下,在這個(gè)解決方案中的問 題仍舊相當(dāng)簡單地處理,即,每個(gè)UNC-SGW或GANC-SEGW精確地知道, 發(fā)送所需要的信息到哪些UNC或GANC,或每個(gè)UNC或GANC精確地知道, 哪個(gè)UNC-SGW或GANC-SEGW請求信息。對于這種情景所需要的0&M是相 當(dāng)復(fù)雜的。UNC-SGW或GANC-SEGW被配置成具有關(guān)于所有的UNC或GANC 的信息,或者每個(gè)UNC或GANC被配置成具有關(guān)于UNC-SGW或GANC-SEGW 的信息。在最復(fù)雜的網(wǎng)絡(luò)情景的情形下(圖3D和3E),在UNC-SGW和UNC或 GANC-SEGW和GANC之間的關(guān)系是x:y (即,多個(gè)UNC-SGW服務(wù)于多個(gè)UNC 或多個(gè)GANC-SEGW服務(wù)于對個(gè)GANC)。在這種情形下,在這個(gè)解決方案 中要處理的問題不簡單,即,每個(gè)UNC-SGW或GANC-SEGW應(yīng)當(dāng)知道,發(fā) 送所需要的信息到哪些UNC或GANC,或每個(gè)UNC或GANC應(yīng)當(dāng)知道,所有 的可能的UNC-SGW或GANC-SEGW請求信息。對于這種情景所需要的0&M 是復(fù)雜的。UNC-SGW或GANC-SEGW被配置成具有關(guān)于所有的UNC或GANC 的信息,或者UNC或GANC被配置成具有關(guān)于所有的UNC-SGW或GANC-SEGW的信息。本發(fā)明針對和解決所有的這些情景。現(xiàn)在參照圖4,圖上顯示描繪按照本發(fā)明的保護(hù)核心網(wǎng)102的方法 400的流程圖。在方塊402, UNC或GANC 116接收包含MS 104的移動(dòng)標(biāo) 識(shí)的消息。在方塊404, UNC或GANC 116然后通過比較接收的移動(dòng)標(biāo)識(shí) 和與MS 104有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí),從而確定所接收的移動(dòng)標(biāo)識(shí)是否 正確。如果接收的移動(dòng)標(biāo)識(shí)是正確的,如在判決塊406所確定的那樣, 則在方塊408,處理所接收的消息(例如,轉(zhuǎn)發(fā)等)。然而,如果接收 的移動(dòng)標(biāo)識(shí)是不正確的,如在判決塊406所確定的那樣,則在方塊410, 所接收的消息被丟棄或拒絕。移動(dòng)標(biāo)識(shí)可以是IMSI、 TMSI、或P-TMSI。 接收的消息可以是注冊請求、上行鏈路消息或下行鏈路消息,諸如移 動(dòng)性管理(醒)消息、通用分組無線業(yè)務(wù)(GPRS)移動(dòng)性管理(GMM)消息、或UMA或無執(zhí)照的無線資源(URR)消息(僅僅在MS l(M與UNC 116 之間被使用)。UNC或GANC 116通過執(zhí)行一個(gè)層違例,即,潛入由MS 104向核心 網(wǎng)102發(fā)送的上層消息,以查明MS 104是否正在使用與它通過UNC或GANC 116進(jìn)行注冊時(shí)所^使用的相同的IMSI,從而確定MS 104的移動(dòng)標(biāo)識(shí)是 否正確。由于TMSI值由MSC/VLR 112指定,以及P-TMSI值由SGSN指定, 因此UNC或GANC 116可以檢驗(yàn)MS 104正在使用由MSC 112指定的數(shù)值。 這可以通過檢驗(yàn)由核心網(wǎng)102發(fā)送的上層下行鏈路消息以查明哪個(gè) TMSI值或P-TMSI值被指定給MS 104和然后通過檢驗(yàn)上層上行鏈路消息 關(guān)于MS 104實(shí)際上使用指定的TMSI值或P-TMSI值,從而被執(zhí)行。本發(fā)明可以被實(shí)施為一個(gè)包括被可通信地耦合到處理器的數(shù)據(jù)存 儲(chǔ)設(shè)備的設(shè)備,諸如UNC或GANC 116。數(shù)據(jù)存儲(chǔ)設(shè)備存儲(chǔ)移動(dòng)標(biāo)識(shí)與MS 104的聯(lián)系。處理器接收一個(gè)包含MS 104的移動(dòng)標(biāo)識(shí)的消息,并且每 當(dāng)所接收的移動(dòng)標(biāo)識(shí)不匹配于與MS 104有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就丟 棄或拒絕消息410。處理器可以是預(yù)處理器、濾波器或在設(shè)備內(nèi)的其 它處理設(shè)備。數(shù)據(jù)存儲(chǔ)設(shè)備可以是存儲(chǔ)器、軟盤驅(qū)動(dòng)器、硬盤驅(qū)動(dòng)器 等等?,F(xiàn)在參照圖5,圖上顯示對于本發(fā)明的一個(gè)實(shí)施例的初始配置的 圖。如方塊502所示,每個(gè)UNC或GANC 116偵聽在zi^知的TCP端口上進(jìn) 入的TCP連接。公知是指它是在UNC或GANC 116和在UNC-SGW或G ANC-SEGW 106中規(guī)定的TCP端口號(hào)。另外,在方塊500,每個(gè)UNC-SGW或GANC-SEGW 106被配置成具有需要的被用于供MS 104注冊到UNC或GANC 116的TCP 端口范圍。在UNC-SGW或GANC-SEGW 106與UNC或GANC 116之間不需要 聯(lián)系?,F(xiàn)在參照圖6,圖上顯示本發(fā)明的一個(gè)實(shí)施例的使用的信令序列。 在MS 104和UNC-SGW或GANC-SEGW106之間建立IPsec暖道,以及EAP-SIM 和EAP-AKA被用來經(jīng)由消息交換600鑒權(quán)MS 104 ( MS的IMSI被鑒權(quán))。 在方塊602, UNC-SGW或GANC-SEGW 106"記錄"MS"公共"和"專有"IP地 址、UNC-SGW或GANC-SEGW公共IP地址和在EAP-SIM和EAP-AKA鑒權(quán)中使 用的標(biāo)識(shí)(即,MS的IMSI)。這個(gè)信息被存儲(chǔ)在MS 104上下文中,以 及在IPsec隧道的存活期間一直保持。通過使用IPsec隧道經(jīng)由消息交 換604 ,成功地建立到UNC或GANC注冊端口 (例如,在TCP端口范圍14001-14010)之一的TCP連接(即,TCP握手執(zhí)行的3種方式)。UNC-SGW或GANC-SEGW 106看到,在方塊606,成功地建立到UNC或 GANC IP地址(即,UNC/GANC IP1,下面)的TCP連接。UNC或GANC 116 看到MS專用IP地址,并可以在方塊616在MS上下文中存儲(chǔ)它以供使用。 為這個(gè)MS 104創(chuàng)建MS上下文。UNC-SGW或GANC-SEGW 106取得被用于TCP 連接的目的地IP地址(即,UNC/GANC-IP1 ),以及在方塊610檢驗(yàn)對于 在"UNC或GANC連接,,的表中的這個(gè)IP地址,是否不存在"UNC-SGW或 GANC連接"。UNC-SGW或GANC-SEGW 106動(dòng)態(tài)地構(gòu)建當(dāng)在Ipsec隧道中建 立TCP時(shí)要被咨詢的一個(gè)具有UNC或GANC IP地址的表,所以如果UNC-SGW 或GANC-SEGW 106已經(jīng)具有到UNC或GANC IP接口的TCP連接,則該TCP 被使用來發(fā)送"記錄"信息。如果不存在到UNC/GANC-IP1的TCP連接, 則UNC-SGW或GANC-SEGW106在公知的"UNC或GANC記錄,,端口 (例如,TCP 端口 14500 )上建立到UNC或GANC 116的TCP連接,以及在消息交換612 中更新它的UNC或GANC連接的表。如果已經(jīng)存在到UNC/GANC-IP1的TCP 連接,則不需要任何操作。當(dāng)已經(jīng)建立UNC或GANC TCP連接時(shí),UNC-SGW或GANC-SEGW 106在 消息614中發(fā)送有關(guān)IPsec隧道建立的"記錄"信息到UNC或GANC 116。 這個(gè)信息也被稱為移動(dòng)標(biāo)識(shí)信息,包括MS IMSIMS專用IP地址MS/〉共IP地址SGW或GANC公共IP地址在方塊616, UNC或GANC 116通過使用MS專用IP地址存儲(chǔ)接收的記 錄信息作為密鑰,以便找出正確的MS上下文。MS 104把注冊請求在消 息618中發(fā)送到UNC或GANC 116 (例如,除了其他信息以外把包含IMSI 的URR REGISTER REQUEST ( URR注冊請求)消息發(fā)送到UNC 116)。UNC或GANC 116可以檢驗(yàn)被包括在這個(gè)消息中的IMSI是在消息614 中從UNC-SGW或GANC-SEGW 116接收的一個(gè)IMSI (即,在消息交換600 中被用于EAPSIM或EAPAKA鑒權(quán)的那個(gè)IMSI )。如果IMSI值匹配,則允 許MS104注冊,如果不匹配,則拒絕MS104注冊,以及最終地,由MS104 使用的專用IP地址在一段時(shí)間間隔內(nèi)^L列入黑名單,并且可以創(chuàng)建一 個(gè)事件,以便去提醒操作員有可能受到攻擊。由于同一個(gè)UNC或GANCIP接口被使用于注冊和"記錄"功能,不需要專門注意監(jiān)管連接,也不需要任何恢復(fù)程序。例如,如果在UNC或GANC中出現(xiàn)IP接口故障,則 使用這個(gè)接口的MS 104將必須在另一個(gè)IP接口注冊,或如果它恢復(fù)的 話,則在同一個(gè)IP接口注冊,以及如果已經(jīng)不存在連接,則"記錄"功 能將跟隨MS 104到新的IP接口。在檢測到對UNC或GANC 116的TCP故障 時(shí),UNC-SGW或GANC-SEGW 106將刪除在"UNC或GANC連接"表中的項(xiàng)目。應(yīng)當(dāng)指出,當(dāng)在MS 104與UNC-SGW 106之間的IPsec隧道對于另一 個(gè)UNC 116被重復(fù)使用時(shí),步驟604到620可以執(zhí)行多次(即,步驟600 和602被執(zhí)行一次,然后步驟604到620被執(zhí)行多次)。另外,如果在 UNC-SGW 106 (步驟614)發(fā)送記錄的信息到UNC 116之前MS注冊請求 (步驟618)在UNC 116處被接收,則將出現(xiàn)可能的時(shí)序問題。這是由 于在UNC-SGW 106中的高負(fù)荷而造成的。在一個(gè)解決方案中,UNC-SGW 106可以把來自MS 104的注冊請求 消息(例如,在TCP連接上的所有的消息)進(jìn)行排隊(duì)(步驟618),直 至它接收到關(guān)于UNC 116已成功地接收和處理數(shù)據(jù)(步驟614)的一個(gè) 指示為止。在另一個(gè)解決方案中,UNC-SGW或GANC-SEGW 106可以在TCP 連接建立時(shí)把到MS 104的上一個(gè)消息進(jìn)行延時(shí)(步驟604, TCP-ACK), 直至它接收到關(guān)于UNC或GANC 116已成功地接收和處理數(shù)據(jù)(步驟614) 的一個(gè)指示為止。這實(shí)際上也延時(shí)來自MS 104的注冊請求消息。在以上的例子中,MS專用IP地址被使用來找出在UNC或GANC 116 中的正確的MS上下文。IMSI (或在步驟614中記錄的信息的任何組合) 可被使用于這一點(diǎn)。如果IMSI被使用,則操作被修改,和接著應(yīng)當(dāng)在 高級(jí)別上進(jìn)行。在步驟608,在UNC或GANC 116中沒有創(chuàng)建任何MS上下 文。在步驟616, UNC或GANC 116把記錄的信息存儲(chǔ)在另一個(gè)數(shù)據(jù)結(jié)構(gòu), 即,尚不存在任何MS上下文。在步驟620,即,當(dāng)接收到MS注冊請求 時(shí),創(chuàng)建MS上下文。在MS上下文被創(chuàng)建后,UNC或GANC 116檢驗(yàn)其它 數(shù)據(jù)結(jié)構(gòu)它是否包含被包括在注冊請求中的IMSI的信息,以及如果 已找到并且是匹配的,則注冊被接受。否則(即,沒有找到或是不匹 配的),MS注冊被拒絕,如在以上的步驟620中規(guī)定的那樣。相應(yīng)地,本發(fā)明還提供一種包括MS 104、安全網(wǎng)關(guān)(UNC-SGW或 GANC-SEGW) 106和UNC或GANC 116的系統(tǒng)。UNC-SGW或GANC-SEGW 106 被可通信地耦合到MS 104。 UNC或GANC 116被可通信地耦合到MS 104和UNC-SGW或GANC-SEGW 106。 UNC-SGW或GANC-SEGW 106接收來自MS 104 的移動(dòng)標(biāo)識(shí)信息,并把移動(dòng)標(biāo)識(shí)信息發(fā)送到UNC或GANC 116。 UNC或GANC 116存儲(chǔ)接收的移動(dòng)標(biāo)識(shí)信息,并且每當(dāng)在從MS 104接收的注冊請求 內(nèi)的移動(dòng)標(biāo)識(shí)匹配于存儲(chǔ)的移動(dòng)標(biāo)識(shí)信息時(shí)就注冊MS 104。 UNC-SGW 或GANC-SEGW 106被配置成具有一個(gè)或多個(gè)被UNC或GANC 116使用來注 冊MS 104的規(guī)定的傳輸控制協(xié)議(TCP)端口,以及UNC或GANC 116偵 聽在一個(gè)或多個(gè)規(guī)定的TCP端口上的進(jìn)入的TCP連接。在一個(gè)實(shí)施例 中,UNC-SGW或GANC-SEGW 106確保,在從UNC或GANC 116接收到一個(gè) 表示移動(dòng)標(biāo)識(shí)消息的成功地接收和存儲(chǔ)的消息之前UNC或GANC 116不 接收注冊請求。在另一個(gè)實(shí)施例中,UNC或GANC 116使用移動(dòng)標(biāo)識(shí)信 息來給MS 104提供一個(gè)或多個(gè)服務(wù)。現(xiàn)在參照圖7A、 7B和7C,圖上顯示按照本發(fā)明的一個(gè)實(shí)施例的方 法當(dāng)它在用于無執(zhí)照的網(wǎng)絡(luò)控制器(UNC) 116的安全網(wǎng)關(guān)(UNC-SGW) 106處被使用時(shí)的流程圖。如前所述,本發(fā)明也可以在用于通用接入 網(wǎng)控制器(GANC) 116的安全網(wǎng)關(guān)(GANC-SEGW) 106處被使用。在方 塊700,建立與MS 104的IPsec隧道以及MS 104被鑒權(quán)。在方塊702, 移動(dòng)標(biāo)識(shí)信息(MS、 IMSI、 MS專用IP地址、MS^^共IP地址、和SGW/^ 共IP地址)被存儲(chǔ),并且與MS 104相聯(lián)系。在方塊704,處理過程等 待MS 104通過使用規(guī)定的端口和IPsec隧道建立與UNC 116的TCP連接。 在方塊706,然后進(jìn)行檢驗(yàn),查明在由MS 104使用的、用于UNC IP地 址的"UNC連接,,表中是否存在"UNC連接"。如果,如在判決塊708確定 的,存在"UNC連接",則在方塊710,把用于MS 104的移動(dòng)標(biāo)識(shí)信息發(fā) 送到UNC116。然而,如果,如在判決塊708確定的,不存在"UNC連接", 則在方塊712,使用規(guī)定的端口建立與UNC 116的TCP連接,并且"UNC 連接"表被更新為包括由MS 104使用的UNC IP地址。在方塊710,把用 于MS 104的移動(dòng)標(biāo)識(shí)信息發(fā)送到UNC 116。如前面所討論的,本發(fā)明可以提供各種機(jī)制,以確保在從UNC 116 接收到表示移動(dòng)標(biāo)識(shí)信息被成功地接收和存儲(chǔ)的消息之前,UNC 116 沒有接收MS 104注冊請求。例如,如果在方塊720,由UNC-SGW 106檢 測到從MS 104到UNC 116的注冊請求或其它消息,以及如在判決塊722 確定的,從UNC 116接收到表示用于MS 104的移動(dòng)標(biāo)識(shí)信息被成功地 接收和處理的消息,則在方塊724,把接收的注冊請求或其它消息轉(zhuǎn)發(fā)到UNC 116。然而,如果如在判決塊722確定的,沒有接收到"成功" 的消息,則在方塊726, UNC-SGW 106把注冊請求或其它消息進(jìn)行排隊(duì), 直至UNC-SGW 106接收到"成功"的消息的時(shí)間為止。替換地,UNC-SGW 106可以在方塊730把到MS 104的TCP連接應(yīng)答消息進(jìn)行延時(shí)。如果如 在判決塊732確定的,從UNC 116接收到表示用于MS 104的移動(dòng)標(biāo)識(shí)信 息被成功地接收和處理的消息,則在方塊734,把接收的注冊請求或 其它消息轉(zhuǎn)發(fā)到UNC 116。然而,如果如在判決塊732確定的,沒有接 收到"成功"的消息,則在方塊736, UNC-SGW 106把注冊請求或其它消 息進(jìn)行排隊(duì),直至UNC-SGW 106接收到"成功的"消息的時(shí)間為止。現(xiàn)在參照圖8 ,圖上顯示按照本發(fā)明的 一 個(gè)實(shí)施例的方法當(dāng)它在 UNC或GANC 116處使用時(shí)的流程圖。在方塊800, UNC或GANC 116偵聽 在UNC或GANC 116和UNC-SGW或GANC-SEGW 106中規(guī)定的TCP端口上進(jìn)入 的TCP連接。在方塊802,通過使用規(guī)定的端口和IPsec隧道建立與MS 104 的TCP連接。在方塊804, UNC或GANC 116存儲(chǔ)對于MS 104的專用IP地 址和把它與MS 104相聯(lián)系,以及在方塊806,從UNC-SGW或GANC-SEGW106 接收對于MS 104的移動(dòng)標(biāo)識(shí)信息。在方塊808,所接收的MS移動(dòng)標(biāo)識(shí) 信息被存儲(chǔ),并且把它與以前存儲(chǔ)的MS專用IP地址相聯(lián)系。在方塊 810,然后從MS 104接收包含對于MS 104的IMSI的注冊請求。如果如 在判決塊812確定的,接收的IMSI與存儲(chǔ)的IMSI匹配,則在方塊814, MS 104被注冊。然而,如果如在判決塊812確定的,接收的IMSI與存 儲(chǔ)的IMS不匹配(或沒有找到),則在方塊816,注冊請求被拒絕。應(yīng)當(dāng)指出,對于本發(fā)明所解決的某些問題還有其它解決方案。例 如,"記錄連接,,可以由UNC或GANC 116建立。這種解決方案的問題在 于,UNC或GANC 116不知道哪個(gè)UNC-SGW或GANC-SEGW 106被特定的MS 104 使用。UNC或GANC 116只看見MS 104的專用IP地址。每個(gè)UNC或GANC 116 可被配置成具有在專用IP地址子網(wǎng)絡(luò)與冊C-SGW或GANC-SEGW 106之間 的聯(lián)系。在某些情景下,當(dāng)多個(gè)UNC-SGW或GANC-SEGW 106使用同一個(gè) DHCP服務(wù)器時(shí),這造成非常麻煩。另一個(gè)解決方案是在每個(gè)UNC或GANC 116中規(guī)定所有的UNC-SGW或GANC-SEGW 106,并且當(dāng)UNC或GANC 116接 收注冊請求時(shí),它可向所有的UNC-SGW或GANC-SEGW 106請求有關(guān)需要 的信息。這意味著,在所有的UNC或GANC 116中有許多UNC-SGW或 GANC-SEGW 106信息結(jié)構(gòu),這也意味著,在UMA系統(tǒng)上的負(fù)荷將增加,因?yàn)槊總€(gè)UNC-SGW或GANC-SEGW 106在每次MS 104注冊時(shí)都被請求。再一個(gè)可能性是使用在SGW或GANC 106中現(xiàn)有的"記錄功能"。這 意味著,所需要的信息被添加到SGW或SEGW"記錄功能"中。這個(gè)解決 方案的問題在于,通常,這個(gè)"記錄功能,,使用不可靠的UDP-協(xié)議。而 且,SGW或SEGW"記錄功能"通常被發(fā)送到幾個(gè)網(wǎng)絡(luò)主機(jī),這需要把它 還發(fā)送到不同的UNC或GANC 116。本發(fā)明還可被擴(kuò)展成檢驗(yàn)在MS 104與UNC或GANC 116之間的所有 的應(yīng)用級(jí)別消息。UNC-SGW或GANC-SEGW 106可以執(zhí)行層違例,和潛入 由MS 104發(fā)送的注冊請求消息,讀出IMSI值和把它與在EAP-SIM或 EAP-AKA鑒權(quán)時(shí)使用的IMSI進(jìn)行比較。如果IMSI值匹配,則UNC-SGW或 GANC-SEGW 106可以把消息轉(zhuǎn)發(fā)到UNC或GANC 116。如果不匹配,則 UNC-SGW或GANC-SEGW 106可以釋放到MS 104的IPsec連接,把IMSI或MS 公共IP地址列入黑名單,以及UNC-SGW或GANC-SEGW 106也可以把敵對 的MS的IMSI告知AAA服務(wù)器114。這個(gè)解決方案也是相當(dāng)簡單的,但它 沒有解決把MS公共IP地址提供到UNC或GANC 116的問題。它也意味著, UNC-SGW或GANC-SEGW 106應(yīng)當(dāng)檢驗(yàn)由MS 104發(fā)送的所有的應(yīng)用級(jí)別消 息和應(yīng)當(dāng)具有有關(guān)應(yīng)用級(jí)別協(xié)議的某些知識(shí),這是不希望的。這也給 UNC-SGW或GANC-SEGW 106添加上一定的負(fù)荷?,F(xiàn)在參照圖9,圖上顯示本發(fā)明的一個(gè)實(shí)施例對于上行鏈路消息 902和906的信令序列900的使用。當(dāng)UNC或GANC 116接收包含移動(dòng)標(biāo)識(shí) 的上行鏈路消息902時(shí),UNC或GANC 116存儲(chǔ)904 MS標(biāo)識(shí)。這個(gè)上行鏈 路消息902是以前描述的、包含移動(dòng)標(biāo)識(shí)信息(例如,MS IMSI、 MS專 用IP地址、MS公共IP地址、和SGW或SEGW公共IP地址)的消息。當(dāng)UNC 或GANC 116接收到包含移動(dòng)標(biāo)識(shí)的上行鏈路消息906時(shí),UNC或GANC 116 檢測908移動(dòng)標(biāo)識(shí)。如果上行鏈路消息906是注冊請求(即,新的MS 104),以及檢驗(yàn)908失敗一接收的移動(dòng)標(biāo)識(shí)同與MS 104有關(guān)的存儲(chǔ)的 移動(dòng)標(biāo)識(shí)不匹配或沒有找到它--,則注冊請求906被拒絕。然而,如 果檢驗(yàn)908通過,-—接收的移動(dòng)標(biāo)識(shí)匹配于與MS 104有關(guān)的存儲(chǔ)的移 動(dòng)標(biāo)識(shí)--,則UNC或GANC 106處理消息906 (例如,注冊MS 104)。如 果消息906是另一種類型的消息,以及檢驗(yàn)908失敗--接收的移動(dòng)標(biāo)識(shí) 同與MS 104有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)不匹配--,則消息302被丟棄。然 而,如果檢驗(yàn)908通過,--接收的移動(dòng)標(biāo)識(shí)匹配于與MS 104有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)--,或移動(dòng)標(biāo)識(shí)是不可檢測的,則UNC或GANC 106處理 消息906 (例如,轉(zhuǎn)發(fā)消息910)。在MS 104與SGSN之間的某些GMM消息 GPRS移動(dòng)性管理(GMM)消息中,移動(dòng)標(biāo)識(shí)是不可檢測的,因?yàn)樗鼈?可以在LCC層上被加密地發(fā)送以及UNC或GANC 116不能容易地潛入這些 消息。例如,ROUTING AREA UPDATE REQUEST消息通常被非加密地發(fā) 送,以及UNC或GANC 116可以對這個(gè)消息執(zhí)行檢驗(yàn)。更特定地,如果上行鏈路消息906包含IMSI,則UNC或GANC 11$檢 驗(yàn)這個(gè)IMSI是與在注冊期間由MS 104提供的IMSI相同的。如果它是相 同的,則消息910被轉(zhuǎn)發(fā)到核心網(wǎng)。如果它是不同的,則消息被丟棄。 UNC或GANC 116還可以對MS 104解除注冊,以及把由MS 104使用的IP 地址暫時(shí)列入黑名單。其它動(dòng)作可包括用報(bào)警來通知操作員和記錄該 事件。如果上行鏈路消息906包含TMSI或P-TMSI,以及UNC或GANC 116沒 有存儲(chǔ)用于這個(gè)MS 104的TMSI或P-TMSI,則TMSI或P-TMSI被存儲(chǔ)在MS 104上下文。然而,如果UNC或GANC 116已存儲(chǔ)用于這個(gè)MS 104的TMSI 或P-TMSI,則UNC或GANC 116檢驗(yàn)這些TMSI值是否相同。如果它們是 相同的,則消息910被轉(zhuǎn)發(fā)到核心網(wǎng)。如果它們是不同的,則消息被 丟棄。UNC或GANC 106還可以對MS 104解除注冊,以及把由MS 104使 用的IP地址暫時(shí)列入黑名單。其它動(dòng)作可包括用報(bào)警來通知操作員和 記錄該事件?,F(xiàn)在參照圖IO,圖上顯示本發(fā)明的一個(gè)實(shí)施例對于下行鏈路消息 1002的信令序列1000的使用。當(dāng)UNC或GANC 116接收包含移動(dòng)標(biāo)識(shí)的 下行鏈路消息1002時(shí),UNC或GANC 116檢驗(yàn)1004移動(dòng)標(biāo)識(shí)。如果下行 鏈路消息1002包含對于MS 104的新的移動(dòng)標(biāo)識(shí)(新分配或改變的), 則UNC或GANC 116將存儲(chǔ)所接收的移動(dòng)標(biāo)識(shí),并把它與MS 104相聯(lián)系, 并且處理所接收的消息(即,把消息1006轉(zhuǎn)發(fā)到MS 104 )。如果檢驗(yàn)1004 顯示,該移動(dòng)標(biāo)識(shí)已經(jīng)為MS 104而存儲(chǔ)(例如,已經(jīng)存在),則接收 的消息被處理(即,把消息1006轉(zhuǎn)發(fā)到MS 104)。替換地,移動(dòng)標(biāo)識(shí) 可以保持,以及在接收到一個(gè)接受、確認(rèn)、或完成下行鏈路消息1002 的上行鏈路消息之前不被存儲(chǔ)。例如,如果下行鏈路消息1002是TMSI REALLOCATION COMMAND( TMSI 重新分配命令),則UNC或GANC 116把分配的TMSI值存儲(chǔ)在MS l(H上下文。下行鏈路消息在與MS 104上下文有關(guān)的信令連接上接收的。把TMSI 存儲(chǔ)到MS 104上下文也可以被延時(shí), 一直延時(shí)到從MS 104接收到TMSI REALLOCATION COMPLETE (TMSI重新分配完成)消息為止。同樣地, 如果下行鏈路消息1002是LOCATION UPDATING ACCEPT (定位更新接 受),并且新的TMSI被分配給MS 104,則UNC或GANC 116把分配的TMSI 值存儲(chǔ)在MS 104上下文。把TMSI存儲(chǔ)到MS 104上下文也可以被延時(shí), 一直延時(shí)到從MS 104接收到TMSI REALLOCATION COMPLETE消息為止。 對于P-TMSI REALLOCATION COMMAND的處理過程以相同的方式執(zhí)行。現(xiàn)在參照圖ll,圖上顯示本發(fā)明的一個(gè)實(shí)施例對于上行鏈路消息 的方法1100的流程圖。在方塊1102,接收上行鏈路消息。如果接收的 消息不包含MS的移動(dòng)標(biāo)識(shí)(或是不可檢測的),如在判決塊1104所確 定的,則在方塊1106,處理(例如,轉(zhuǎn)發(fā)、執(zhí)行等等)上行鏈路消息。 然而,如果上行鏈路包含MS的移動(dòng)標(biāo)識(shí),如在判決塊1104所確定的, 以及消息源是UNC-SGW或GANC-SEGW 106,如在判決塊1108所確定的, 則在方塊1110,移動(dòng)標(biāo)識(shí)信息被存儲(chǔ),并與MS 104相聯(lián)系。然而,如 果消息源是MS 104,如在判決塊1108所確定的,以及移動(dòng)標(biāo)識(shí)是IMSI, 如在判決塊1112所確定的,以及接收的IMSI匹配于與MS 104有關(guān)的存 儲(chǔ)的IMSI,如在判決塊1114所確定的,則在方塊1106,該消息被正常 地處理。但是,如果接收的IMSI不匹配于存儲(chǔ)的與MS相聯(lián)系的IMSI, 如在判決塊1114所確定的,并且上行鏈路消息是注冊請求,如在判決 塊1116所確定的,則在方塊1118, IMSI注冊請求被拒絕。UNC或GANC 116 也可以執(zhí)行任何的或所有的以下的動(dòng)作在方塊1120,在一段時(shí)間間 隔內(nèi)把與MS 104有關(guān)的IP地址列入黑名單;在方塊1122,把丟棄的消 息和對移動(dòng)站的解除注冊通知系統(tǒng)運(yùn)營商;或在方塊1124,記錄有關(guān) 丟棄的消息和對移動(dòng)站解除注冊的信息。然而,如果上行鏈路消息不 是注冊請求,如在判決塊1116所確定的,則在方塊1126,消息被丟棄。 UNC或GANC 116也可以執(zhí)行任何的或所有的以下的動(dòng)作在方塊1128, 解除注冊MS;在方塊1120,在一段時(shí)間間隔內(nèi)把與MS 104有關(guān)的IP地 址列入黑名單;在方塊1122,把丟棄的消息和對移動(dòng)站的解除注冊通 知系統(tǒng)運(yùn)營商;或在方塊1124,記錄有關(guān)丟棄的消息和對移動(dòng)站解除 注冊的信息。然而,如果移動(dòng)標(biāo)識(shí)是TMSI或P-TMSI,如在判決塊1112所確定的,以及用于MS 104的TMSI或P-TMSI還沒有被存儲(chǔ),如在判決塊1130所確 定的,則在方塊1132, TMSI或P-TMSI被存儲(chǔ)并與MS 104相聯(lián)系,以及 在方塊1106,消息被正常處理。然而,如果用于MS 104的TMSI或P-TMSI 已被存儲(chǔ),如在判決塊1130所確定的,以及所接收的TMSI或P-TMSI匹 配于存儲(chǔ)的與MS 104有關(guān)的TMSI或P-TMSI,如在判決塊1134所確定的, 則在方塊1106,消息被正常處理。然而,如果所接收的TMSI或P-TMSI 不匹配于與MS 104有關(guān)的、存儲(chǔ)的TMSI或P-TMSI,如在判決塊1134所 確定的,則在方塊1126,消息被丟棄。UNC或GANC 116也可以執(zhí)行任 何的或所有的以下的行動(dòng)在方塊1128,對MS解除注冊;在方塊1120, 在一段時(shí)間間隔內(nèi)把與MS 104有關(guān)的IP地址列入黑名單;在方塊1122, 把丟棄的消息和對移動(dòng)站解除注冊通知系統(tǒng)運(yùn)營商;或在方塊1124, 記錄有關(guān)丟棄的消息和移動(dòng)站的解除注冊的信息?,F(xiàn)在參照圖12,圖上顯示本發(fā)明的一個(gè)實(shí)施例對于下行鏈路消息 的方法1200的流程圖。在方塊1202,接收下行鏈路消息。如果下行鏈 路消息不包含MS 104的TMSI或P-TMSI (或是不可檢測的),如在判決 塊1204所確定的,則在方塊1206,處理下行鏈路消息(例如,轉(zhuǎn)發(fā)、 執(zhí)行等等)。然而,如果下行鏈路消息包含用于MS 104的TMSI或P-TMSI, 如在判決塊1204所確定的,以及TMSI或P-TMSI不是新的(即,UNC或GANC 116已存儲(chǔ)它,并把它與MS 104相聯(lián)系),如在判決塊1208所確定的, 則在方塊1206,下行鏈路消息被正常處理。然而,如果TMSI或P-TMSI 是新的,如在判決塊1208所確定的,則在方塊1210, TMSI或P-TMSI被 存儲(chǔ),并與MS 104相聯(lián)系,以及在方塊1206,消息被正常處理。現(xiàn)在參照圖13,圖上顯示本發(fā)明的另一個(gè)實(shí)施例對于下行鏈路消 息的方法1300的流程圖。在方塊1302,接收下行鏈路消息。如果下行 鏈路消息不包含MS 104的TMSI或P-TMSI (或是不可檢測的),如在判 決塊1304所確定的,則在方塊1306,處理下行鏈路消息(例如,轉(zhuǎn)發(fā)、 執(zhí)行等等)。然而,如果下行鏈路消息包含用于MS 104的TMSI或P-TMSI, 如在判決塊1304所確定的,以及TMSI或P-TMSI不是新的(即,UNC或GANC 116已存儲(chǔ)它,并把它與MS 104相聯(lián)系),如在判決塊1308所確定的, 則在方塊1306,下行鏈路消息被正常處理。然而,如果TMSI或P-TMSI 是新的,如在判決塊1308所確定的,則在方塊1310, TMSI或P-TMSI被 保持,以及在方塊1312,消息被正常處理。TMSI或P-TMSI被保持,直至在方塊1314接收到一個(gè)接受、確認(rèn)或完成包含所保持的TMSI或P-TMSI的接收的下行鏈路消息的上行鏈路消息。此后,在方塊1316,保 持的TMSI或P-TMSI被存儲(chǔ),并與MS 1314相聯(lián)系,以及在方塊1318, 上行鏈路消息被正常處理。應(yīng)當(dāng)指出,任何上述的方法可被實(shí)施為在計(jì)算機(jī)可讀的媒體上體 現(xiàn)的計(jì)算機(jī)程序,其中各種方法步驟由一個(gè)或多個(gè)代碼分段被實(shí)施。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)看到,信息和信號(hào)可以通過使用任何的各種 各樣不同的工藝和技術(shù)來表示(例如,數(shù)據(jù)、指令、命令、信息、信 號(hào)、比特、碼元、和碼片可以由電壓、電流、電磁波、磁場或粒子、 光場或粒子,或它們的任何組合代表)。同樣地,這里描述的各種說 明性邏輯塊、模塊、電路和算法步驟可以被實(shí)施為電子硬件、計(jì)算機(jī) 軟件、或二者的組合,這取決于應(yīng)用和功能。而且,這里描述的各種 邏輯塊、模塊和電路可以用通用處理器(例如,微處理器、傳統(tǒng)的處 理器、控制器、微控制器、狀態(tài)機(jī)、或計(jì)算設(shè)備的組合)、數(shù)字信號(hào) 處理器("DSP")、專用集成電路("ASIC")、場可編程門陣列("FPGA") 或其它可編程邏輯器件、分立的門或晶體管邏輯、分立的硬件部件、 或被設(shè)計(jì)來執(zhí)行這里描述的功能的它們的任何組合來實(shí)施或完成。類 似地,這里描述的方法或處理的步驟可以直接被體現(xiàn)為硬件、由處理 器執(zhí)行的軟件模塊、或二者的組合。軟件模塊可以駐留在RAM存儲(chǔ)器、 快閃存儲(chǔ)器、R0M存儲(chǔ)器、EPROM存儲(chǔ)器、EEPROM存儲(chǔ)器、寄存器、硬 盤、可移動(dòng)軟盤、CD-R0M、或技術(shù)上已知的存儲(chǔ)媒體的任何其它形式。 雖然已詳細(xì)地描述本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域技術(shù)人員將會(huì)看 到,這里可以作出各種修改,而不背離如在所附權(quán)利要求中闡述的本 發(fā)明的精神和范圍。
權(quán)利要求
1. 一種用于提供無執(zhí)照的移動(dòng)接入網(wǎng)的安全性的方法,包括以下步驟接收包含移動(dòng)站的移動(dòng)標(biāo)識(shí)的消息;和每當(dāng)所接收的移動(dòng)標(biāo)識(shí)不匹配于與移動(dòng)站有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就丟棄或拒絕該消息。
2. 如在權(quán)利要求l中要求的方法,還包括每當(dāng)所接收的移動(dòng)標(biāo) 識(shí)匹配于與移動(dòng)站有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就處理該消息的步驟。
3. 如在權(quán)利要求l中要求的方法,其中移動(dòng)標(biāo)識(shí)包括國際移動(dòng) 用戶標(biāo)識(shí)(IMSI)、臨時(shí)移動(dòng)用戶標(biāo)識(shí)(TMSI)、分組臨時(shí)移動(dòng)用戶標(biāo) 識(shí)(P-TMSI)、專用互聯(lián)網(wǎng)協(xié)議(IP)地址或公共IP地址。
4. 如在權(quán)利要求l中要求的方法,其中消息包括注冊請求、上 行鏈路消息或下行鏈路消息。
5. 如在權(quán)利要求4中要求的方法,其中上行鏈路消息從移動(dòng)交 換中心(MSC)或通用分組無線業(yè)務(wù)(GPRS)支持節(jié)點(diǎn)(SGSN)被接 收。
6. 如在權(quán)利要求l中要求的方法,還包括每當(dāng)所接收的消息是 來自安全網(wǎng)關(guān)時(shí)就存儲(chǔ)所接收的移動(dòng)標(biāo)識(shí)的步驟。
7. 如在權(quán)利要求l中要求的方法,還包括每當(dāng)接收的消息是下 行鏈路消息時(shí)就存儲(chǔ)所接收的移動(dòng)標(biāo)識(shí)和處理所接收的消息的步驟, 以及所接收的移動(dòng)標(biāo)識(shí)將指定或改變移動(dòng)站的移動(dòng)標(biāo)識(shí)。
8. 如在權(quán)利要求7中要求的方法,其中所接收的移動(dòng)標(biāo)識(shí)在接 收到一個(gè)接受、確認(rèn)或完成下行鏈路消息的上行鏈路消息之前不被存 儲(chǔ)。
9. 如在權(quán)利要求l中要求的方法,其中丟棄接收的消息的步驟 還包括以下步驟對移動(dòng)站解除注冊;在一段時(shí)間間隔內(nèi)將與移動(dòng)站有關(guān)的互聯(lián)網(wǎng)協(xié)議(IP)地址列入 黑名單;把丟棄的消息和對移動(dòng)站解除注冊通知系統(tǒng)操作員;或 記錄有關(guān)丟棄的消息和對移動(dòng)站解除注冊的信息。
10. 如在權(quán)利要求l中要求的方法,其中接收的消息是移動(dòng)性管理(MM)消息、通用分組無線業(yè)務(wù)(GPRS)移動(dòng)性管理(GMM)消息、 或UMA或無執(zhí)照的無線資源(URR)消息。
11. 如在權(quán)利要求l中要求的方法,其中消息在無執(zhí)照的移動(dòng)接 入網(wǎng)(UMAN)內(nèi)的無執(zhí)照的網(wǎng)絡(luò)控制器(UNC)或在通用接入網(wǎng)(GAN) 內(nèi)的通用接入網(wǎng)控制器(GANC)處被接收。
12. 如在權(quán)利要求l中要求的方法,還包括使用存儲(chǔ)的移動(dòng)標(biāo)識(shí) 提供一個(gè)或多個(gè)服務(wù)給移動(dòng)站的步驟。
13. —種在計(jì)算機(jī)可讀的媒體上體現(xiàn)的用于保護(hù)核心網(wǎng)的計(jì)算機(jī) 程序,包括用于接收包含移動(dòng)站的移動(dòng)標(biāo)識(shí)的消息的代碼分段;以及 用于每當(dāng)接收的移動(dòng)標(biāo)識(shí)不匹配于與移動(dòng)站有關(guān)的存儲(chǔ)的移動(dòng)標(biāo) 識(shí)時(shí)就丟棄消息的代碼分段。
14. 一種設(shè)備,包括數(shù)據(jù)存儲(chǔ)裝置,用于存儲(chǔ)移動(dòng)標(biāo)識(shí)與移動(dòng)站的聯(lián)系;以及 可通信地耦合到數(shù)據(jù)存儲(chǔ)裝置的處理器,用于接收包含移動(dòng)站的移動(dòng)標(biāo)識(shí)的消息,以及每當(dāng)接收的移動(dòng)標(biāo)識(shí)不匹配于與移動(dòng)站有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就丟棄或拒絕該消息。
15. —種系統(tǒng),包括 移動(dòng)站;可通信地耦合到移動(dòng)站的安全網(wǎng)關(guān),用于接收來自移動(dòng)站的移動(dòng) 標(biāo)識(shí)信息,并把移動(dòng)標(biāo)識(shí)信息發(fā)送到無執(zhí)照的網(wǎng)絡(luò)控制器;以及該網(wǎng)絡(luò)控制器可通信地耦合到移動(dòng)站和安全網(wǎng)關(guān),其中網(wǎng)絡(luò)控制 器存儲(chǔ)接收的移動(dòng)標(biāo)識(shí)信息,并且每當(dāng)從移動(dòng)站接收的注冊請求內(nèi)的 移動(dòng)標(biāo)識(shí)匹配于存儲(chǔ)的移動(dòng)標(biāo)識(shí)信息時(shí)就注冊移動(dòng)站。
16. 如在權(quán)利要求15中要求的系統(tǒng),其中移動(dòng)標(biāo)識(shí)信息包括國際 移動(dòng)用戶標(biāo)識(shí)(IMSI)、專用互聯(lián)網(wǎng)協(xié)議(IP)地址或公共IP地址。
17. 如在權(quán)利要求15中要求的系統(tǒng),其中安全網(wǎng)關(guān)被配置成具有 由網(wǎng)絡(luò)控制器用來注冊移動(dòng)站的一個(gè)或多個(gè)規(guī)定的傳輸控制協(xié)議(TCP)端口,以及網(wǎng)絡(luò)控制器偵聽在該一個(gè)或多個(gè)規(guī)定的TCP端口上 的進(jìn)入的TCP連接。
18. 如在權(quán)利要求15中要求的系統(tǒng),其中安全網(wǎng)關(guān)確保在從網(wǎng)絡(luò) 控制器接收表示移動(dòng)標(biāo)識(shí)消息的成功的接收和存儲(chǔ)的消息之前該網(wǎng)絡(luò)控制器不接收注冊請求。
19. 如在權(quán)利要求15中要求的系統(tǒng),其中每當(dāng)消息包含不與所存 儲(chǔ)的移動(dòng)標(biāo)識(shí)信息匹配的移動(dòng)標(biāo)識(shí)時(shí),網(wǎng)絡(luò)控制器就丟棄從移動(dòng)站接 收的消息。
20. 如在權(quán)利要求15中要求的系統(tǒng),其中網(wǎng)絡(luò)控制器使用移動(dòng)標(biāo) 識(shí)信息來給移動(dòng)站提供一個(gè)或多個(gè)服務(wù)。
全文摘要
本發(fā)明提供一種通過接收包含移動(dòng)站(MS)的移動(dòng)標(biāo)識(shí)的消息和每當(dāng)所接收的移動(dòng)標(biāo)識(shí)不匹配于與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí)就丟棄或拒絕該消息從而在無執(zhí)照的移動(dòng)接入網(wǎng)中提供安全性的方法。每當(dāng)所接收的移動(dòng)標(biāo)識(shí)匹配于與MS有關(guān)的存儲(chǔ)的移動(dòng)標(biāo)識(shí)時(shí),該消息就被處理。移動(dòng)標(biāo)識(shí)由安全網(wǎng)關(guān)提供。移動(dòng)標(biāo)識(shí)可以是國際移動(dòng)用戶標(biāo)識(shí)、臨時(shí)移動(dòng)用戶標(biāo)識(shí)、分組臨時(shí)移動(dòng)用戶標(biāo)識(shí)、專用互聯(lián)網(wǎng)協(xié)議(IP)地址或公共IP地址。消息可以是注冊請求、上行鏈路消息或下行鏈路消息,諸如移動(dòng)性管理消息、通用分組無線業(yè)務(wù)移動(dòng)性管理消息、或UMA或無執(zhí)照的無線資源消息。
文檔編號(hào)H04N7/24GK101283597SQ200680003750
公開日2008年10月8日 申請日期2006年1月30日 優(yōu)先權(quán)日2005年2月1日
發(fā)明者J·T·維克伯格, T·尼蘭德 申請人:艾利森電話股份有限公司