專利名稱:安全網(wǎng)絡連接的制作方法
技術領域:
本發(fā)明涉及用于在移動無線通信網(wǎng)絡連接中使用的方法以及用于實現(xiàn)這種連接的移動無線通信設備和網(wǎng)絡設備。本申請基于2009年6月29日遞交的英國專利申請No. 0911117. O并要求其優(yōu)先權,該申請的全部公開內(nèi)容通過引用結(jié)合于此。
背景技術:
對于諸如用戶設備(UE)手機之類的與移動通信網(wǎng)絡相關聯(lián)地操作的移動無線通
信設備,各種與安全有關的過程在尋找網(wǎng)絡連接時出現(xiàn),無論是在初始連接時找網(wǎng)絡連接還是在要求UE從一個網(wǎng)絡切換到另一網(wǎng)絡時找網(wǎng)絡連接都是如此。這種切換過程可能涉及不同網(wǎng)絡技術之間的切換,特別是隨著通信系統(tǒng)及其基礎技術的演進更是如此。安全算法一般是為了實現(xiàn)和維持在UE和網(wǎng)絡之間的不間斷安全通信而提供的,并且核心網(wǎng)絡(CN)基于UE的安全能力來提供所需的安全算法是很常見的。然而已發(fā)現(xiàn),由于不同安全算法的可能性(特別是在算法因升級而改變、使得UE和網(wǎng)絡設備未都完全升級為僅使用新算法之后),出現(xiàn)了問題和潛在的限制。于是,通過可能已過期的、或不支持并且可能受損的算法的繼續(xù)使用,不間斷數(shù)據(jù)傳送的安全性可能受到損害。已知與安全問題特別是安全算法創(chuàng)建和協(xié)商有關的各種網(wǎng)絡系統(tǒng)和設備,例如在中國專利申請CN101242360、CN101374153、CN101222320和美國專利申請US2006/294575中發(fā)現(xiàn)的網(wǎng)絡系統(tǒng)和設備。雖然這些早期申請覆蓋了網(wǎng)絡安全的方方面面,但是沒有一個申請力圖解決目前認識到并由本發(fā)明克服的、有關可能不支持的舊算法的使用的問題。
發(fā)明內(nèi)容
本發(fā)明力圖提供具有超越這種已知方法和設備的優(yōu)點并且尤其能夠在由移動無線通信設備運行的連接過程之后提供高度的不間斷安全性的網(wǎng)絡連接方法和相關的移動無線通信和網(wǎng)絡設備。根據(jù)本發(fā)明的第一方面,提供了在移動無線通信網(wǎng)絡連接過程中使用的方法,包括以下步驟響應于對與切換相關聯(lián)的安全算法的支持性的判斷,在移動無線通信設備處拒絕來自網(wǎng)絡的切換請求。由于此時移動無線通信設備不自動接受切換請求并限制了移動無線通信設備和網(wǎng)絡之間的后續(xù)數(shù)據(jù)交換可能使用較舊的并且現(xiàn)在可能已受損的安全算法的危險,本發(fā)明可以被證明是有利的。本方法在涉及判斷對由網(wǎng)絡建議的安全算法的支持性的情形中特別有用。通常,安全算法會在網(wǎng)絡中的接入層(AS)級別被建議,所以本發(fā)明在實現(xiàn)AS中的、與可能不支持的安全算法有關的適應力方面可以被證明特別有利。優(yōu)選地,發(fā)現(xiàn)該算法可以由網(wǎng)絡在從該網(wǎng)絡獲取的切換命令內(nèi)建議。
另外,本方法可以包括如下步驟從移動無線通信設備向網(wǎng)絡提供由于對安全算法的不支持而造成的連接失敗的通知。在一個特定實施例中,安全算法包含演進的分組系統(tǒng)(EPS)安全算法。此外,本方法可有利地在如下情形中被采用僅網(wǎng)絡最初被布置成支持升級的算法,或者相反,僅移動無線通信設備被布置成最初通過升級的算法來操作。根據(jù)一個特定方面,本方法還包括以下步驟在網(wǎng)絡中利用與被判斷為不支持的算法不同的第二算法來發(fā)起切換過程。具體地,本方法可以包括在網(wǎng)絡中重新發(fā)起切換過程的步驟。根據(jù)本發(fā)明的另一方面,提供了如下移動無線通信設備,所述移動無線通信設備被布置成判斷其中對安全算法的支持性,還被布置成響應于對所述安全算法的支持性的判斷來拒絕網(wǎng)絡連接請求。如以上關于本發(fā)明的方法所述,移動無線通信設備可以被布置成接收由網(wǎng)絡建議的、特別是AS級別的并且一般在切換命令內(nèi)的、安全算法的細節(jié)。 移動無線通信設備當然還可以被布置成向網(wǎng)絡提供通知,以指示對連接的拒絕是響應于所判斷的對安全算法的不支持的。另外,本發(fā)明可以提供形成網(wǎng)絡的用于取得到移動無線通信設備的連接的部分的移動無線通信網(wǎng)絡設備,所述網(wǎng)絡設備被布置成從移動無線通信設備接收連接拒絕通知并利用與不支持的算法不同的第二安全算法來重新發(fā)起連接過程。將理解,本發(fā)明提供了用于在移動無線通信網(wǎng)絡中使用的、特別是與UE和網(wǎng)絡設備有關的方法,其中UE和網(wǎng)絡設備的至少一個中對安全算法的有效支持性被判斷,并且其中UE可以響應于建議的安全算法可能不被支持的判斷而拒絕被嘗試的網(wǎng)絡連接,以便基于不同的、可能被支持的安全算法來允許重新發(fā)起網(wǎng)絡連接。本發(fā)明被證明當例如UE到EPS網(wǎng)絡的網(wǎng)絡連接被要求并且基于UEEPS安全能力時特別有用。
下面僅通過示例方式參考附圖來進一步描述本發(fā)明,附圖中圖I是采用了根據(jù)體現(xiàn)本發(fā)明的方法而出現(xiàn)的信令并且用于UE和相關的EPS網(wǎng)絡的信令圖示;圖2是采用了本發(fā)明的移動無線通信設備UE的示意框圖;并且圖3是根據(jù)本發(fā)明一個方面的網(wǎng)絡設備的示意框圖。
具體實施例方式如下面進一步討論的,所例示的本發(fā)明的示例是在涉及對AS切換命令中由網(wǎng)絡建議的AS級別的長期演進(LTM)算法的支持度和相關性的判斷、并且與嘗試的到EPS網(wǎng)絡的切換過程有關的情況下例示的。所例示的本發(fā)明的特定實施例力圖克服前面與現(xiàn)有技術相關地討論的,并且作為這種限制的特定示例、在UE到EPS網(wǎng)絡的連接發(fā)現(xiàn)的那些缺點。在這種已知情景內(nèi),并且在這種連接的時候,CN被布置成基于UE EPS安全能力、并且為了保證與UE通信的安全而提供所需的安全算法。然而,可能存在CN不知道UE EPS安全能力的情況,例如,UE是從遺留網(wǎng)絡切換來的,因而安全算法不再被UE支持,于是UE和網(wǎng)絡之間的任何不間斷通信不再能夠得益于該算法所提供的潛在安全性,所以該通信以不安全的方式繼續(xù)。即,UE和網(wǎng)絡之間的不間斷后續(xù)通信是基于過期的EPS安全算法的,該安全算法即使提供某些級別的安全性,也遠遠不能提供最優(yōu)的安全性。在本申請的背景下,所謂的“新的"UE或網(wǎng)絡被認為是由于已升級為支持可用的新安全算法而不再支持舊的安全算法的UE或網(wǎng)絡。相反,“舊的”UE或網(wǎng)絡是即使可能的更新是可用的、仍支持丨H的安全算法的UE或網(wǎng)絡。當然,應該理解,這種安全算法可以與“完整性保護”或“加密”有關,并且作為示例,EPS安全算法的默認集合包含基于AES的加密算法,如EAO NULL算法,128-EEA1 ;以及基于SNOW 3G的算法和128-EEA2。雖然用于完整性保護的AES的示例包含128-EIA1 SN0W3G和128-EIA2,但是應該理解,所謂的舊算法可以形成(例如來自3GPP發(fā)布8的)EPS安全算法的默認集合的一部分或者可以是3GPP發(fā)布8版本的一部分。S卩,當為了執(zhí)行來自非EPS網(wǎng)絡的切換而從不具有最新的UE EPS安全能力的預發(fā)布8網(wǎng)絡要求到UE的連接時,UE將不接受該切換,從而導致在UE和網(wǎng)絡之間后續(xù)交換的數(shù)據(jù)可能采用較舊的并且不完全支持的安全算法,這種算法當然可能意味著潛在的安全損害。如上所述,并且如下面將討論的,本發(fā)明提供了如下方法,該方法在諸如UE之類的終端設備不再支持所需的EPS AS安全算法的情況下并且特別是在網(wǎng)絡本身已升級為不支持該算法時,允許終端設備拒絕被請求的朝向3GPP LTE接入技術的連接。該方法有利地包括從UE到網(wǎng)絡的通知,使得網(wǎng)絡可以隨后通過選擇與作為初始連接請求的一部分而發(fā)現(xiàn)的特定算法不同的EPS安全算法來嘗試重新連接到可能已升級為不支持該特定算法的UE0現(xiàn)在轉(zhuǎn)向圖1,例示了關于在UE 10和網(wǎng)絡12之間出現(xiàn)的、與本發(fā)明有關的信令消息的信號定時圖示。在本示例中,UE 10包含已升級為支持新的安全算法的“新"UE,并且網(wǎng)絡12包含尚未升級所以只支持較舊的安全算法的“舊”網(wǎng)絡12。在到網(wǎng)絡12的嘗試切換過程開始時,AS切換命令14被從網(wǎng)絡12發(fā)給UE 10。
雖然未示出,但是AS切換命令14包含AS安全容器,還包含NAS安全容器,所述AS安全容器包括AS被選安全算法。根據(jù)本發(fā)明,UE 10被布置成檢查AS切換命令信號14中由網(wǎng)絡建議的AS級別的LTE算法。識別了網(wǎng)絡12的舊的(并且現(xiàn)在在UE 10處不支持的)算法后,UE 10拒絕被請求的AS切換。這種拒絕體現(xiàn)在AS切換失敗消息信號16中,根據(jù)本發(fā)明的特定例示實施例,AS切換失敗消息信號16包括“原因值”,使得網(wǎng)絡10可以容易地推斷出連接針對不支持的安全算法被拒絕。S卩,AS切換失敗信令消息16具有指示“不需要的AS安全算法”——一般意味著該算法在UE 10中不支持——的存在性的“失敗原因”部分。
在切換失敗信令16中提供這種失敗原因元素使得網(wǎng)絡12能夠重新發(fā)起切換過程并選擇與之前的AS切換命令消息14中指示的算法不同的AS安全算法。當然,應該理解,這種過程可以繼續(xù),直到適合的或可能更適合的安全算法在AS切換命令14中被指示以供后續(xù)使用。本發(fā)明的一個特別有利的方面在于在信令中提供了關于對AS切換的拒絕的指示,當然,這種指示與不支持的EPS安全算法的存在性有關?,F(xiàn)在轉(zhuǎn)向圖2,提供了用于根據(jù)本發(fā)明來使用的UE設備手機18的示意表示。該手機包括與手機天線24相關的標準發(fā)送20、接收22功能以及標準處理26和存儲28能力。然而根據(jù)本發(fā)明,本發(fā)明的處理26能力可以包括用于至少判斷網(wǎng)絡信令中建議的安全算法的支持度的并被布置成響應于安全算法的這種判斷的結(jié)果而發(fā)起對連接請求的拒絕的裝置。當然,并且從上文可以理解,手機18的處理26能力提供了將缺少對安全算法的完全支持識別為拒絕原因的拒絕指示。與網(wǎng)絡中這種圖2的UE 18相關,通過了如圖3所示的網(wǎng)絡設備。圖3包含具有收發(fā)器功能32以及標準處理34和存儲36功能的適當網(wǎng)絡元件30的示意框圖。對于網(wǎng)絡元件30,處理34功能包括用于接收例如由手機18提供的連接拒絕通信的裝置。重要的是,在識別了這種失敗的原因后,處理34功能被布置成例如通過重新發(fā)起的AS切換(例如圖I所示的命令14)來從網(wǎng)絡元件30向例如圖2的UE 18重新發(fā)起連接過程。因此將理解,本發(fā)明提供的各種通信和網(wǎng)絡設備以及操作方法在提供與不支持的EPS安全算法有關的AS功能的改進的適應度方面是有利的。當然,應該理解,本發(fā)明不限于前述輸入元件的具體細節(jié),因為任何適當連接情景都可以得益于本發(fā)明,而不僅是所例示的LTE切換過程。通過使用本發(fā)明,UE和網(wǎng)絡之間的后續(xù)通信以便可以僅基于支持的安全算法,從而有利地維護了后續(xù)通信的安全性。工業(yè)應用件本發(fā)明可以應用于網(wǎng)絡連接方法、移動無線通信和網(wǎng)絡設備。根據(jù)該網(wǎng)絡連接方法、移動無線通信和網(wǎng)絡設備,可以在移動無線通信設備運行的連接過程之后提供高度不間斷安全性。
權利要求
1.一種在移動無線通信網(wǎng)絡連接過程中使用的方法,所述方法包括以下步驟 響應于對與切換相關聯(lián)的安全算法的支持性的判斷,在移動無線通信設備處拒絕來自網(wǎng)絡的切換請求。
2.根據(jù)權利要求I所述的方法,還包括以下步驟判斷對由所述網(wǎng)絡建議的安全算法的支持性。
3.根據(jù)權利要求2所述的方法,其中所述安全算法是在所述網(wǎng)絡中的接入層級別被建議的。
4.根據(jù)權利要求1-3中任一項所述的方法,其中所述算法由所述網(wǎng)絡通過切換命令來建議。
5.根據(jù)權利要求1-4中任一項所述的方法,還包括以下步驟從所述移動無線通信設備向所述網(wǎng)絡提供由于對所述安全算法的不支持而造成的連接失敗的通知。
6.根據(jù)權利要求1-5中任一項所述的方法,其中僅所述移動無線通信設備和所述網(wǎng)絡中的一者最初被布置成支持升級的算法或利用升級的算法來操作。
7.根據(jù)權利要求1-6中任一項所述的方法,還包括以下步驟在所述網(wǎng)絡中利用與不支 持的算法不同的第二算法來發(fā)起切換過程。
8.根據(jù)權利要求1-7中任一項所述的方法,還包括以下步驟在所述網(wǎng)絡中重新發(fā)起切換過程。
9.一種移動無線通信設備,被布置成判斷其中對安全算法的支持性,并且還被布置成響應于對所述安全算法的支持性的判斷來拒絕網(wǎng)絡連接請求。
10.根據(jù)權利要求9所述的移動無線通信設備,所述移動無線通信設備被布置成接收由所述網(wǎng)絡建議的安全算法的細節(jié)。
11.根據(jù)權利要求10所述的移動無線通信設備,所述移動無線通信設備被布置成在切換命令中接收所述細節(jié)。
12.根據(jù)權利要求9-11中任一項所述的方法,所述移動無線通信設備還被布置成向所述網(wǎng)絡提供對連接拒絕的通知。
13.—種移動無線通信網(wǎng)絡設備,所述移動無線通信網(wǎng)絡設備形成網(wǎng)絡的用于取得到移動無線通信設備的連接的部分,并且被布置成由于不支持的算法而從所述移動無線通信設備接收連接拒絕通知并利用與所述不支持的算法不同的第二安全算法來重新發(fā)起連接過程。
全文摘要
本發(fā)明提供了用于在移動無線通信網(wǎng)絡連接過程中使用的方法,包括以下步驟響應于與切換相關的安全算法的支持性的判斷,在移動無線通信設備處拒絕來自網(wǎng)絡的切換請求,并且提供了一種移動無線通信設備,被布置成判斷切換命令內(nèi)由網(wǎng)絡建議的、特別是AS級別的安全算法的支持性,并向網(wǎng)絡提供由于算法的不支持而造成的連接拒絕的通知。
文檔編號H04W36/00GK102804844SQ20108002707
公開日2012年11月28日 申請日期2010年6月16日 優(yōu)先權日2009年6月29日
發(fā)明者卡羅琳·加科特, 文森特·羅杰, 安東尼·瓦里, 阿南德·拉哈瓦·帕拉薩德 申請人:日本電氣株式會社