針對(duì)移動(dòng)用戶的安全機(jī)制的制作方法
【專利摘要】一種在蜂窩網(wǎng)絡(luò)中使用的無(wú)線通信設(shè)備。該設(shè)備包括:無(wú)線電接口,用于實(shí)現(xiàn)該設(shè)備和蜂窩網(wǎng)絡(luò)的基站之間通過(guò)無(wú)線電鏈路的通信;以及,傳送實(shí)體,用于經(jīng)由所述無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與所述蜂窩網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)交換用戶數(shù)據(jù)分組。所述設(shè)備還包括:數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于使用通過(guò)非接入層中的信令連接從所述核心網(wǎng)節(jié)點(diǎn)接收的可驗(yàn)證應(yīng)答,來(lái)確認(rèn)通過(guò)信令連接發(fā)送到核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組的送達(dá),所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:在通過(guò)信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組中選擇性地包括向所述設(shè)備返回針對(duì)所發(fā)送的用戶數(shù)據(jù)分組的可驗(yàn)證應(yīng)答的請(qǐng)求。
【專利說(shuō)明】針對(duì)移動(dòng)用戶的安全機(jī)制
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及針對(duì)蜂窩網(wǎng)絡(luò)的移動(dòng)用戶的安全機(jī)制。具體來(lái)說(shuō),盡管非必要,本發(fā)明涉及用于檢測(cè)通信鏈路中偽基站的存在的裝置和方法。
【背景技術(shù)】
[0002]當(dāng)前蜂窩通信網(wǎng)絡(luò)向用戶提供高度安全性。安全性確保用戶到網(wǎng)絡(luò)的認(rèn)證以及網(wǎng)絡(luò)到用戶的認(rèn)證,并保護(hù)防止竊聽。安全性還提供完整性保護(hù),允許(可能在網(wǎng)絡(luò)中)數(shù)據(jù)的接收方應(yīng)答發(fā)送數(shù)據(jù)的完整性。這可能涉及發(fā)送方向消息中添加完整性校驗(yàn)和,并且該完整性校驗(yàn)和是使用安全密鑰計(jì)算得到的。知道安全密鑰的接收方可以驗(yàn)證完整性校驗(yàn)和,并從而確保消息的確是由可信發(fā)送方發(fā)送的并且在傳輸時(shí)未被篡改。
[0003]已經(jīng)開發(fā)了已知的安全性機(jī)制,以高效地用于傳統(tǒng)蜂窩網(wǎng)絡(luò)使用情況。擁有移動(dòng)設(shè)備(例如,移動(dòng)電話、智能電話和其他具有無(wú)線能力的設(shè)備)和使用語(yǔ)音服務(wù)和數(shù)據(jù)服務(wù)的用戶傾向于關(guān)心這些。這些服務(wù)涉及向用戶設(shè)備和來(lái)自用戶設(shè)備的大量數(shù)據(jù)的傳送。與傳送的數(shù)據(jù)量相比,與這些場(chǎng)景相關(guān)聯(lián)的信令業(yè)務(wù)量不大。因此,與安全機(jī)制(例如,客戶端和網(wǎng)絡(luò)認(rèn)證)相關(guān)聯(lián)的信令開銷相對(duì)較小。
[0004]近年來(lái),預(yù)期使用蜂窩網(wǎng)絡(luò)設(shè)施的被稱為機(jī)器到機(jī)器(M2M)應(yīng)用將快速增長(zhǎng)。這些應(yīng)用涉及通常不需要人直接操作而與其他設(shè)備或網(wǎng)絡(luò)服務(wù)器進(jìn)行通信的設(shè)備(例如,傳感器和致動(dòng)器)。示例應(yīng)用可以涉及家庭電表,家庭電表被配置為周期性地向供電公司所擁有的服務(wù)器發(fā)送耗電讀數(shù)。M2M應(yīng)用預(yù)期大量增加與蜂窩網(wǎng)絡(luò)一起使用的無(wú)線連接的設(shè)備的數(shù)目。Ericsson?預(yù)測(cè)到2020年將有500億這種設(shè)備。
[0005]將M2M應(yīng)用與傳統(tǒng)蜂窩網(wǎng)絡(luò)服務(wù)區(qū)分的特征是與前者相關(guān)聯(lián)的相對(duì)較小量的數(shù)據(jù)業(yè)務(wù)。電表讀取應(yīng)用可能例如僅需要每月僅發(fā)送幾字節(jié)的數(shù)據(jù)。然而,由于存在大量預(yù)期將使用的設(shè)備,將增加到網(wǎng)絡(luò)的總業(yè)務(wù)量將非常大。包括與安全性相關(guān)聯(lián)的信令機(jī)制在內(nèi)的現(xiàn)有信令機(jī)制不一定很好地適用于M2M應(yīng)用,而僅給網(wǎng)絡(luò)添加負(fù)荷。
[0006]由于與單個(gè)M2M交互相關(guān)聯(lián)的相對(duì)小的數(shù)據(jù)量,期望經(jīng)由非接入層(NAS)中的信令從設(shè)備連接向核心網(wǎng)發(fā)送數(shù)據(jù)。此方案可以避免尤其針對(duì)數(shù)據(jù)業(yè)務(wù)建立單獨(dú)承載的需要。此外,當(dāng)向核心網(wǎng)認(rèn)證了設(shè)備時(shí),在移動(dòng)節(jié)點(diǎn)和RAN中的基站之間不進(jìn)行認(rèn)證,正如使用數(shù)據(jù)承載發(fā)送數(shù)據(jù)的情況一樣(在移動(dòng)節(jié)點(diǎn)和基站之間預(yù)建立安全關(guān)聯(lián)的情況下則需要)。然而,這可能打開了“偽”基站吸引設(shè)備的可能性,導(dǎo)致例如對(duì)設(shè)備拒絕服務(wù)。將理解,從客戶端設(shè)備發(fā)送的完整性保護(hù)消息自身不足以防止拒絕服務(wù)攻擊。
[0007]可以通過(guò)要求核心網(wǎng)中的接收節(jié)點(diǎn)(例如,3G網(wǎng)絡(luò)的服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)或LTE網(wǎng)絡(luò)的移動(dòng)性管理實(shí)體(MME))針對(duì)從移動(dòng)節(jié)點(diǎn)所接收的每個(gè)分組返回應(yīng)答,來(lái)減輕此問(wèn)題。重要的是,在應(yīng)答允許移動(dòng)節(jié)點(diǎn)驗(yàn)證應(yīng)答是由預(yù)期接收節(jié)點(diǎn)發(fā)出的意義上,應(yīng)答是可驗(yàn)證的。然而如上所述,給定可能與M2M應(yīng)用相關(guān)聯(lián)的相對(duì)少量數(shù)據(jù),期望最小化信令開銷,以避免使蜂窩網(wǎng)絡(luò)超負(fù)荷。
[0008]3GPP TS 23.272描述了通過(guò)NAS信令傳遞短消息服務(wù)(SMS)消息的機(jī)制。核心網(wǎng)利用完整性保護(hù)應(yīng)答來(lái)應(yīng)答每個(gè)SMS消息。然而,這再次導(dǎo)致相對(duì)高的信令量,并且不適用于廣泛使用的M2M服務(wù)。
【發(fā)明內(nèi)容】
[0009]本發(fā)明的目的是提供一種輕量級(jí)安全機(jī)制,為通過(guò)蜂窩網(wǎng)絡(luò)發(fā)送數(shù)據(jù)的客戶端設(shè)備提供一定程度的安全性。這特別可應(yīng)用于M2M設(shè)備和應(yīng)用,盡管其還可應(yīng)用于其他設(shè)備和服務(wù)。
[0010]根據(jù)本發(fā)明的第一方案,提供了在蜂窩網(wǎng)絡(luò)中使用的無(wú)線通信設(shè)備。該設(shè)備包括:無(wú)線電接口,用于實(shí)現(xiàn)該設(shè)備和蜂窩網(wǎng)絡(luò)的基站之間通過(guò)無(wú)線電鏈路的通信;以及,傳送實(shí)體,用于經(jīng)由所述無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與所述蜂窩網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)交換用戶數(shù)據(jù)分組。所述設(shè)備還包括:數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于使用通過(guò)非接入層中的信令連接從所述核心網(wǎng)節(jié)點(diǎn)接收的可驗(yàn)證應(yīng)答,來(lái)確認(rèn)通過(guò)信令連接發(fā)送到核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組的送達(dá),所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:在通過(guò)信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組中選擇性地包括向所述設(shè)備返回針對(duì)所發(fā)送的用戶數(shù)據(jù)分組的可驗(yàn)證應(yīng)答的請(qǐng)求。
[0011]本發(fā)明的實(shí)施例提供用于在無(wú)線通信設(shè)備和核心網(wǎng)之間交換數(shù)據(jù)的超輕量級(jí)機(jī)制。可以向目的地(例如,外部應(yīng)用服務(wù)器)中繼所述數(shù)據(jù)。具體來(lái)說(shuō),不需要在無(wú)線通信設(shè)備和無(wú)線接入網(wǎng)的基站之間建立安全關(guān)聯(lián)。此方案對(duì)機(jī)器到機(jī)器應(yīng)用特別有用。
[0012]根據(jù)本發(fā)明的第二方案,提供了被配置為在蜂窩通信網(wǎng)絡(luò)的核心網(wǎng)中使用的裝置。所述裝置包括:傳送實(shí)體,用于經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與用戶終端交換用戶數(shù)據(jù)分組;以及,數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于通過(guò)所述信令連接,選擇性地將與從用戶終端接收的用戶數(shù)據(jù)分組有關(guān)的可驗(yàn)證應(yīng)答發(fā)送到用戶終端。所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:響應(yīng)于從用戶終端接收到包含針對(duì)可驗(yàn)證應(yīng)答的請(qǐng)求的用戶數(shù)據(jù)分組,向該用戶終端發(fā)送可驗(yàn)證應(yīng)答。
[0013]根據(jù)本發(fā)明的第三方案,提供了從無(wú)線通信設(shè)備向蜂窩網(wǎng)絡(luò)中的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)的方法。所述方法包括:經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,在所述無(wú)線通信設(shè)備和所述核心網(wǎng)節(jié)點(diǎn)之間交換用戶數(shù)據(jù)分組;以及,在通過(guò)所述信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組中,包括向所述設(shè)備返回針對(duì)所發(fā)送的用戶數(shù)據(jù)分組的可驗(yàn)證應(yīng)答的請(qǐng)求。在所述無(wú)線通信設(shè)備處,使用通過(guò)所述信令連接從所述核心網(wǎng)節(jié)點(diǎn)接收的可驗(yàn)證應(yīng)答來(lái)確認(rèn)通過(guò)所述信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的數(shù)據(jù)分組的送達(dá)。
[0014]根據(jù)本發(fā)明的第四方案,提供了被配置為在蜂窩通信網(wǎng)絡(luò)的核心網(wǎng)中使用的裝置。所述裝置包括傳送實(shí)體,所述傳送實(shí)體用于:經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與用戶終端交換用戶數(shù)據(jù)分組。所述裝置還包括數(shù)據(jù)傳輸驗(yàn)證實(shí)體,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體用于:通過(guò)所述信令連接,選擇性地將與從用戶終端接收的用戶數(shù)據(jù)分組有關(guān)的可驗(yàn)證應(yīng)答發(fā)送到用戶終端,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:響應(yīng)于內(nèi)部或核心網(wǎng)產(chǎn)生的指示針對(duì)用戶終端的移動(dòng)性事件的觸發(fā),向該用戶終端發(fā)送可驗(yàn)證應(yīng)答。
【專利附圖】
【附圖說(shuō)明】
[0015]圖1示出了用于確保通過(guò)蜂窩網(wǎng)絡(luò)的數(shù)據(jù)傳送的基于請(qǐng)求的方案;[0016]圖2示意性地示出了用于M2M應(yīng)用的蜂窩網(wǎng)絡(luò)架構(gòu);
[0017]圖3示意性地示出了移動(dòng)設(shè)備,該移動(dòng)設(shè)備被配置用于向核心網(wǎng)的安全數(shù)據(jù)傳送;
[0018]圖4示意性地示出了網(wǎng)絡(luò)單元,該網(wǎng)絡(luò)單元被配置用于向核心網(wǎng)的安全數(shù)據(jù)傳送;以及
[0019]圖5是示出了用于向核心網(wǎng)提供安全數(shù)據(jù)傳遞的方法的流程圖。
【具體實(shí)施方式】
[0020]以上已經(jīng)討論了使用網(wǎng)絡(luò)接入層(NAS)信令連接,確保從客戶端設(shè)備向蜂窩網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)的送達(dá)的問(wèn)題,因?yàn)橐呀?jīng)有偽基站引入客戶端設(shè)備和核心網(wǎng)節(jié)點(diǎn)之間通信路徑的有關(guān)危險(xiǎn)??梢酝ㄟ^(guò)要求核心網(wǎng)節(jié)點(diǎn)應(yīng)答接收到客戶端設(shè)備向其發(fā)送的每個(gè)分組,來(lái)減輕該問(wèn)題/危險(xiǎn)。然而,可以通過(guò)認(rèn)識(shí)到以下情況來(lái)得到更佳的解決方案:一旦核心網(wǎng)節(jié)點(diǎn)向客戶端成功地應(yīng)答接收到一個(gè)或少量分組,客戶端設(shè)備可以合理地假定其自身和核心網(wǎng)節(jié)點(diǎn)之間的通信路徑是可靠的。具體來(lái)說(shuō),其可以假定:路徑上的基站正在正確地操作,并且核心網(wǎng)(節(jié)點(diǎn))很可能已經(jīng)認(rèn)證了該基站。偽基站能夠與核心網(wǎng)節(jié)點(diǎn)建立“連接”,例如導(dǎo)致原始分組以及相關(guān)聯(lián)應(yīng)答的成功送達(dá)的情況不太可能發(fā)生。因此,核心網(wǎng)節(jié)點(diǎn)僅周期性地或根據(jù)特定預(yù)定義事件來(lái)應(yīng)答分組可能是合適的。
[0021]通信發(fā)送方“A”(客戶端設(shè)備)可以明確指示其何時(shí)需要來(lái)自接收方“B”(核心網(wǎng)節(jié)點(diǎn))的完整性保護(hù)的應(yīng)答。該指示與完整性保護(hù)的數(shù)據(jù)一起從A發(fā)送到B。當(dāng)指示了這種應(yīng)答請(qǐng)求時(shí),接收方B向發(fā)送方A發(fā)回應(yīng)答。該應(yīng)答在A和B之間是完整性保護(hù)的。當(dāng)盡管有顯式應(yīng)答請(qǐng)求,發(fā)送方A未從B獲得應(yīng)答時(shí),發(fā)送方A可以重傳該數(shù)據(jù)。在已經(jīng)達(dá)到預(yù)定數(shù)目的重傳而沒(méi)有成功應(yīng)答之后,發(fā)送方可以推斷該發(fā)送方不再與接收方連接。當(dāng)可應(yīng)用時(shí),可以記錄并報(bào)告此事件。圖1示出了此方案的基本概念,其中“AckReq”指示針對(duì)顯式完整性保護(hù)應(yīng)答的發(fā)送方請(qǐng)求。可以使用A和B之間共享的秘密來(lái)實(shí)現(xiàn)應(yīng)答的完整性保護(hù)。(注意,本解決方案不排除在發(fā)送方和接收方之間工作的其他非密碼重傳方案的可能性。)
[0022]作為具體示例,考慮圖2中示出的M2M應(yīng)用場(chǎng)景。這里,記作“MD”(即,機(jī)器設(shè)備,例如,傳感器、致動(dòng)器等)并由附圖標(biāo)記I標(biāo)識(shí)的終端包括無(wú)線電接口,該無(wú)線電接口允許該終端與蜂窩網(wǎng)絡(luò)2的無(wú)線接入網(wǎng)(例如,3G網(wǎng)絡(luò)或LTE網(wǎng)絡(luò))進(jìn)行通信。在蜂窩網(wǎng)絡(luò)2中,核心網(wǎng)絡(luò)單元或節(jié)點(diǎn)(NE) 3處理針對(duì)終端I的非接入層(NAS)。[3GPP TS 21.905將NAS定義為非終止于UTRAN的UE和核心網(wǎng)絡(luò)之間的協(xié)議。然而,該定義不是限制性的,因?yàn)樵撔g(shù)語(yǔ)可應(yīng)用于具有不同無(wú)線接入網(wǎng)技術(shù)(例如,LTE的E-UTRAN)的網(wǎng)絡(luò)架構(gòu)。]具體而言,NE3負(fù)責(zé)移動(dòng)性管理,并且終端I具有與網(wǎng)絡(luò)實(shí)體NE的安全性關(guān)聯(lián)。在3G網(wǎng)絡(luò)中,NE3可以是服務(wù)GPRS支持節(jié)點(diǎn)(SGSN),而在LTE網(wǎng)絡(luò)中,NE3可以是移動(dòng)性管理實(shí)體(MME)。應(yīng)用服務(wù)器4容納M2M服務(wù),并例如通過(guò)蜂窩網(wǎng)絡(luò)運(yùn)營(yíng)商的IP骨干網(wǎng)和/或經(jīng)由因特網(wǎng)與NE3進(jìn)行通信。
[0023]在這里所考慮的場(chǎng)景中,在通過(guò)信令信道(S卩,NAS中)發(fā)送的分組中,在終端I和應(yīng)用服務(wù)器4之間發(fā)送少量數(shù)據(jù)。[此數(shù)據(jù)傳送與例如在UE和NE之間發(fā)送的現(xiàn)有NAS跟蹤區(qū)域更新(TAU)信令類似,盡管當(dāng)然TAU信令本身不攜帶數(shù)據(jù)。]NE接收的數(shù)據(jù)可以當(dāng)需要時(shí)轉(zhuǎn)發(fā)給外部服務(wù)器(例如,應(yīng)用服務(wù)器4)。首先,終端I附著到第一基站BS15。[在3G網(wǎng)絡(luò)的情況下,基站是節(jié)點(diǎn)B,而在LTE網(wǎng)絡(luò)的情況下,基站是演進(jìn)節(jié)點(diǎn)B。]由于比特錯(cuò)誤或擁塞導(dǎo)致的分組丟失由終端I和當(dāng)前基站BSl之間以及基站和NE之間的重傳機(jī)制來(lái)處理。此外,可以在NE3和應(yīng)用服務(wù)器4之間使用重傳機(jī)制。重傳機(jī)制用于從分組丟失中恢復(fù),但不抵御丟棄分組的偽基站的攻擊,因?yàn)檫@種基站可以完全像真基站一樣,向終端應(yīng)答接收。
[0024]根據(jù)標(biāo)準(zhǔn)行為,當(dāng)終端I移動(dòng)時(shí)(例如,因?yàn)槠湮挥谝苿?dòng)車輛中時(shí)),其可以被切換到另一基站(在本示例中的BS2 6)。在此情況下,終端I應(yīng)確保BS2確實(shí)是真基站(S卩,其連接到移動(dòng)運(yùn)營(yíng)商的網(wǎng)絡(luò))。當(dāng)終端I檢測(cè)到其已經(jīng)移動(dòng)到新基站時(shí),可以通過(guò)終端I向NE3請(qǐng)求來(lái)自NE3的完整性保護(hù)應(yīng)答來(lái)獲得這種確保。這種應(yīng)答不能由偽基站產(chǎn)生,因?yàn)閭位静豢色@得必需的安全密鑰(即,僅網(wǎng)絡(luò)單元NE3可獲得該安全密鑰)。當(dāng)終端保持附著至相同基站BS2時(shí),該終端不需要針對(duì)所有上行鏈路分組的完整性保護(hù)應(yīng)答,因?yàn)榱硪粋位倦y以在當(dāng)前交換期間取代通信路徑中的BS2。
[0025]根據(jù)非限制性示例,終端I通過(guò)將“AckReq”字段作為I比特標(biāo)志包括在消息首部中,來(lái)向NE3請(qǐng)求應(yīng)答。每個(gè)消息首部包含序列號(hào)(Seq),對(duì)于每個(gè)發(fā)送的消息,發(fā)送方增加序列號(hào)。消息首部還可以包括數(shù)據(jù)(Data)字段,該數(shù)據(jù)字段是指示在消息中是否存在任何數(shù)據(jù)的標(biāo)志。完整性保護(hù)應(yīng)答然后可以將序列號(hào)包括在首部中(AckSeq)。接收方使用AckSeq,以指不有效消息的最聞序列號(hào)Seq。可以使用發(fā)送方和接收方之間的共孚秘密對(duì)包括首部的整個(gè)應(yīng)答消息進(jìn)行完整性保護(hù)。為了進(jìn)一步闡述此方案,考慮終端A向網(wǎng)絡(luò)實(shí)體B發(fā)送具有Data =是、Seq = 1、AckReq =是和實(shí)際數(shù)據(jù)的消息。B接收到此消息,并發(fā)送具有Data =否、AckSeq = I的應(yīng)答。此方案可以對(duì)稱地在上行鏈路和下行鏈路中實(shí)現(xiàn),或備選地能夠僅在上行鏈路中實(shí)現(xiàn)該AckReq機(jī)制。
[0026]不僅在基站之間切換之后立即需要完整性保護(hù)應(yīng)答,而且終端可以作出周期性但不頻繁的針對(duì)應(yīng)答的請(qǐng)求。另一場(chǎng)景涉及在特定數(shù)量的消息之后需要完整性保護(hù)應(yīng)答。使用這種不頻繁的完整性應(yīng)答可以保護(hù)不受理論上可能但實(shí)際上不太可能的攻擊(例如,當(dāng)攻擊者在真基站運(yùn)行時(shí)毀壞真基站,并立即安裝新的偽基站)。這些方案表示出抵御攻擊者的安全性和通信開銷之間的權(quán)衡。
[0027]終端能夠控制何時(shí)請(qǐng)求完整性保護(hù)應(yīng)答,或可以預(yù)設(shè)該要求。備選地,網(wǎng)絡(luò)可以指示終端:應(yīng)當(dāng)何時(shí)請(qǐng)求完整性保護(hù)應(yīng)答。在一些情況下,可以關(guān)閉該要求,使得從不請(qǐng)求完整性保護(hù)應(yīng)答,或者可以設(shè)置該要求,使得可以針對(duì)每個(gè)發(fā)送的分組,請(qǐng)求完整性保護(hù)應(yīng)答。
[0028]作為使終端請(qǐng)求完整性保護(hù)應(yīng)答的備選,網(wǎng)絡(luò)可以自己決定何時(shí)要發(fā)送這種應(yīng)答。這可以包括當(dāng)終端已經(jīng)切換到新基站時(shí)(網(wǎng)絡(luò)當(dāng)然已經(jīng)知曉這種事件)的情況。網(wǎng)絡(luò)可以使用其他參數(shù)(例如,訂閱或設(shè)備能力)來(lái)確定發(fā)送完整性保護(hù)應(yīng)答的條件。例如,網(wǎng)絡(luò)可以確定:對(duì)于具有“M2M”訂閱和指示“電池約束”的設(shè)備能力的終端,應(yīng)當(dāng)僅在切換之后以及每天一次地發(fā)送完整性保護(hù)應(yīng)答。對(duì)于具有指示“無(wú)電池約束”的能力的另一 M2M設(shè)備,網(wǎng)絡(luò)可以確定:應(yīng)當(dāng)針對(duì)所有分組發(fā)送完整性保護(hù)應(yīng)答。允許網(wǎng)絡(luò)決定發(fā)送完整性保護(hù)應(yīng)答的條件,為終端減輕了此任務(wù)。然而,這將意味著終端再不能影響發(fā)送完整性應(yīng)答的頻率,盡管事實(shí)是終端最終要求該應(yīng)答。[0029]圖3示意性地示出了 M2M終端I。M2M終端I包括用于通過(guò)蜂窩(3G或LTE)網(wǎng)絡(luò)2的無(wú)線電接口來(lái)發(fā)送和接收數(shù)據(jù)的標(biāo)準(zhǔn)無(wú)線電接口和控制器7。此外,該終端包括經(jīng)由NAS中的信令信道向核心網(wǎng)節(jié)點(diǎn)發(fā)送少量數(shù)據(jù)的傳送實(shí)體8。此實(shí)體8被配置為:在所發(fā)送的分組中選擇性地包括針對(duì)完整性保護(hù)應(yīng)答的請(qǐng)求。該終端包括數(shù)據(jù)傳輸驗(yàn)證實(shí)體9,該數(shù)據(jù)傳輸驗(yàn)證實(shí)體9被配置為:接收(所請(qǐng)求)的應(yīng)答,并例如使用共享秘密來(lái)驗(yàn)證這些應(yīng)答。
[0030]圖4示意性地示出了網(wǎng)絡(luò)實(shí)體(NE) 3 (可以是例如,SGSN或MME)。NE在蜂窩網(wǎng)絡(luò)核心網(wǎng)的NAS中操作,并一般處理用戶終端的移動(dòng)性。NE包括傳送實(shí)體10,該傳送實(shí)體10被配置為:經(jīng)由NAS中的信令連接從移動(dòng)設(shè)備接收(并可能發(fā)送)少量數(shù)據(jù)。NE還包括數(shù)據(jù)傳輸驗(yàn)證實(shí)體11,該數(shù)據(jù)傳輸驗(yàn)證實(shí)體11被配置為:當(dāng)從傳送實(shí)體接收到指令時(shí),向MD發(fā)送可驗(yàn)證的完整性保護(hù)應(yīng)答。該應(yīng)答可以使用與MD共享的秘密產(chǎn)生(例如,并且可以由NE從歸屬訂戶服務(wù)器獲得)。如本文中其他地方所討論,數(shù)據(jù)傳輸驗(yàn)證實(shí)體11可以備選地或附加地響應(yīng)于內(nèi)部或核心網(wǎng)產(chǎn)生的指示涉及用戶的移動(dòng)性事件的觸發(fā),發(fā)送應(yīng)答。
[0031]圖5是示意性地示出了方法的流程圖,在移動(dòng)設(shè)備(MD)執(zhí)行該方法,以保護(hù)發(fā)送到UE的業(yè)務(wù)。在步驟SI,在MD和NE之間建立信令連接(在NAS中)。在步驟S2,該信令連接可以用于在MD和NE之間傳輸數(shù)據(jù),以由NE向外部應(yīng)用服務(wù)器轉(zhuǎn)發(fā)。在步驟S3,由如BS切換或定時(shí)器到期之類的事件產(chǎn)生觸發(fā)。在步驟S4,該觸發(fā)使針對(duì)應(yīng)答的請(qǐng)求被包括在MD所發(fā)送的下一分組中。在步驟S5,MD檢查應(yīng)答的接收。如果接收到這種應(yīng)答,在步驟S6,例如使用共享秘密來(lái)驗(yàn)證該應(yīng)答,并且處理返回步驟S2。[當(dāng)然,在實(shí)踐中,當(dāng)?shù)却万?yàn)證應(yīng)答時(shí),可以發(fā)送其他分組。]如果未接收到應(yīng)答,可以在步驟S7重新發(fā)送具有應(yīng)答請(qǐng)求的分組。同樣,可以并行地繼續(xù)其他分組的發(fā)送。
[0032]本領(lǐng)域技術(shù)人員將理解,在不脫離本發(fā)明的范圍的前提下,可以對(duì)上述實(shí)施例作出各種修改。
【權(quán)利要求】
1.一種用于在蜂窩網(wǎng)絡(luò)中使用的無(wú)線通信設(shè)備,所述設(shè)備包括: 無(wú)線電接口,用于實(shí)現(xiàn)所述設(shè)備和蜂窩網(wǎng)絡(luò)的基站之間通過(guò)無(wú)線電鏈路的通信; 傳送實(shí)體,用于經(jīng)由所述無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與所述蜂窩網(wǎng)絡(luò)的核心網(wǎng)節(jié)點(diǎn)交換用戶數(shù)據(jù)分組;以及 數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于使用通過(guò)非接入層中的信令連接從所述核心網(wǎng)節(jié)點(diǎn)接收的可驗(yàn)證應(yīng)答,來(lái)確認(rèn)通過(guò)信令連接發(fā)送到核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組的送達(dá),所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:在通過(guò)信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組中選擇性地包括向所述設(shè)備返回針對(duì)所發(fā)送的用戶數(shù)據(jù)分組的可驗(yàn)證應(yīng)答的請(qǐng)求。
2.根據(jù)權(quán)利要求1所述的設(shè)備,其中,所述設(shè)備被配置為與3G蜂窩通信網(wǎng)絡(luò)一起使用,并且所述傳送實(shí)體通過(guò)非接入層與服務(wù)GPRS支持節(jié)點(diǎn)SGSN交換所述用戶數(shù)據(jù)分組。
3.根據(jù)權(quán)利要求1所述的設(shè)備,其中,所述設(shè)備被配置為與長(zhǎng)期演進(jìn)通信網(wǎng)絡(luò)一起使用,并且所述傳送實(shí)體通過(guò)非接入層與移動(dòng)性管理實(shí)體MME交換所述用戶數(shù)據(jù)分組。
4.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的設(shè)備,其中,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:使用所述設(shè)備和所述核心網(wǎng)節(jié)點(diǎn)之間共享的秘密來(lái)驗(yàn)證應(yīng)答。
5.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的設(shè)備,其中,所述傳送實(shí)體被配置為:在所發(fā)送的用戶數(shù)據(jù)分組中包括所述核心網(wǎng)節(jié)點(diǎn)應(yīng)當(dāng)將用戶數(shù)據(jù)分組轉(zhuǎn)發(fā)至的目的地實(shí)體的標(biāo)識(shí)。
6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的設(shè)備,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:僅在所發(fā)送的用戶數(shù)據(jù)分組的一部分中包括所述請(qǐng)求。
7.根據(jù)權(quán)利要求6所述的設(shè)備,包括: 切換控制器,用于向所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體通知已經(jīng)執(zhí)行了向新基站的切換, 從而,在切換時(shí),所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:與至少一個(gè)輸出用戶數(shù)據(jù)分組一起發(fā)送所述請(qǐng)求。
8.根據(jù)權(quán)利要求6所述的設(shè)備,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:周期性地在所發(fā)送的用戶數(shù)據(jù)分組中包括所述請(qǐng)求。
9.一種被配置為在蜂窩通信網(wǎng)絡(luò)的核心網(wǎng)中使用的裝置,所述裝置包括: 傳送實(shí)體,用于經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與用戶終端交換用戶數(shù)據(jù)分組;以及 數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于通過(guò)所述信令連接,選擇性地將與從用戶終端接收的用戶數(shù)據(jù)分組有關(guān)的可驗(yàn)證應(yīng)答發(fā)送到用戶終端,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:響應(yīng)于從用戶終端接收到包含針對(duì)可驗(yàn)證應(yīng)答的請(qǐng)求的用戶數(shù)據(jù)分組,向該用戶終端發(fā)送可驗(yàn)證應(yīng)答。
10.根據(jù)權(quán)利要求9所述的裝置,所述裝置被配置為:針對(duì)用戶終端提供移動(dòng)性管理。
11.根據(jù)權(quán)利要求10所述的裝置,其中,所述裝置被配置為用作以下各項(xiàng)之一:3G網(wǎng)絡(luò)的服務(wù)GPRS支持節(jié)點(diǎn)SGSN和長(zhǎng)期演進(jìn)LTE網(wǎng)絡(luò)的移動(dòng)性管理實(shí)體MME。
12.根據(jù)權(quán)利要求9至11中任一項(xiàng)所述的裝置,其中,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:響應(yīng)于內(nèi)部產(chǎn)生的觸發(fā),或在所述蜂窩網(wǎng)絡(luò)中的另一節(jié)點(diǎn)處產(chǎn)生的觸發(fā),向用戶終端發(fā)送可驗(yàn)證應(yīng)答。
13.—種從無(wú)線通信設(shè)備向蜂窩網(wǎng)絡(luò)中的核心網(wǎng)節(jié)點(diǎn)發(fā)送數(shù)據(jù)的方法,所述方法包括:經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,在所述無(wú)線通信設(shè)備和所述核心網(wǎng)節(jié)點(diǎn)之間交換用戶數(shù)據(jù)分組; 在通過(guò)所述信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的用戶數(shù)據(jù)分組中,包括向所述設(shè)備返回針對(duì)所發(fā)送的用戶數(shù)據(jù)分組的可驗(yàn)證應(yīng)答的請(qǐng)求;以及 在所述無(wú)線通信設(shè)備處,使用通過(guò)所述信令連接從所述核心網(wǎng)節(jié)點(diǎn)接收的可驗(yàn)證應(yīng)答來(lái)確認(rèn)通過(guò)所述信令連接發(fā)送到所述核心網(wǎng)節(jié)點(diǎn)的數(shù)據(jù)分組的送達(dá)。
14.根據(jù)權(quán)利要求13所述的方法,包括:僅在所發(fā)送的用戶數(shù)據(jù)分組的一部分中包括所述請(qǐng)求。
15.一種被配置為在蜂窩通信網(wǎng)絡(luò)的核心網(wǎng)中使用的裝置,所述裝置包括: 傳送實(shí)體,用于經(jīng)由無(wú)線電鏈路,通過(guò)非接入層中的信令連接,與用戶終端交換用戶數(shù)據(jù)分組;以及 數(shù)據(jù)傳輸驗(yàn)證實(shí)體,用于通過(guò)所述信令連接,選擇性地將與從用戶終端接收的用戶數(shù)據(jù)分組有關(guān)的可驗(yàn)證應(yīng)答發(fā)送到用戶終端,所述數(shù)據(jù)傳輸驗(yàn)證實(shí)體被配置為:響應(yīng)于內(nèi)部或核心網(wǎng)產(chǎn)生的指示用戶終端的移``動(dòng)性事件的觸發(fā),向該用戶終端發(fā)送可驗(yàn)證應(yīng)答。
【文檔編號(hào)】H04W12/12GK103503411SQ201180070652
【公開日】2014年1月8日 申請(qǐng)日期:2011年5月5日 優(yōu)先權(quán)日:2011年5月5日
【發(fā)明者】蓋爾吉·米克洛斯, 卓坦·理查德·圖蘭伊, 約翰·魯內(nèi) 申請(qǐng)人:瑞典愛立信有限公司