本公开涉及包括无线电接入网络系统和核心网络系统的电信网络中的安全方法和系统。无线电接入网络系统被配置成提供用于至少一个用户设备的无线无线电接口,其中共享秘密密钥被存储在用户设备和核心网络系统二者中。从核心网络系统接收包括从共享秘密密钥导出的一个或多个值的至少一个矢量。认证过程和密钥协商过程中的至少一个在无线电接入网络系统中针对用户设备通过无线无线电接口使用所接收的矢量的一个或多个值来执行,以用于建立用户设备和无线电接入网络系统之间的连接。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】本公开涉及包括无线电接入网络系统和核心网络系统的电信网络中的安全方法和系统。无线电接入网络系统被配置成提供用于至少一个用户设备的无线无线电接口,其中共享秘密密钥被存储在用户设备和核心网络系统二者中。从核心网络系统接收包括从共享秘密密钥导出的一个或多个值的至少一个矢量。认证过程和密钥协商过程中的至少一个在无线电接入网络系统中针对用户设备通过无线无线电接口使用所接收的矢量的一个或多个值来执行,以用于建立用户设备和无线电接入网络系统之间的连接。【专利说明】用于从无线电接入网络提供安全的方法和系统
本专利技术涉及一种用于从无线电接入网络提供安全的方法和系统。更具体地,本专利技术涉及一种用于在安全功能不可用或者未从核心网络系统获得的情况下从无线电接入网络提供安全的方法和系统。
技术介绍
在近十年期间,移动电信已经成为通信的主要形式,并且在未来几年内预期进一步增长。移动电信依赖于无线电接入网络系统的存在,其通过基站(例如(e)NodeB)在移动用户设备可以移动通过其的区域中提供无线电覆盖。基站连接到电信提供商的核心网络系统,以便允许建立通信服务。核心网络系统包括若干另外的电信节点。—个这样的节点是归属订户系统(HSS) ASS具有两个功能,S卩(I)存储用户预订信息并在必要时更新该信息,以及(2)从一个或多个秘密密钥生成安全信息。秘密密钥通常在用户设备中的(U)SIM和HSS之间共享并且应当被保持秘密,S卩,共享秘密密钥。安全信息使用秘密密钥导出。安全信息被用于设备认证和/或在3G和4G网络中被用于网络认证并确保通过无线电路径传递的数据被加密。对于3G网络,详细描述可以在3GPP TS 33.102中找到;对于4G网络,详细描述可以在3GPP TS 33.401中找到。现有的3G和4G电信标准要求通信标识符(例如,涉及用户设备的用于语音通信服务和SMS服务的IMSI或MSISDN、或用于SIP通信服务的SIPURI)和来自中央数据库(例如,HLR/AuC或HSS)的安全信息的可用性以建立与基站的覆盖区域中的终端的通信服务。已经在3GPP中启动了新项目以研究用于公共安全的隔离E-UTRAN操作(3GPPTR22.897)。核心网络系统可以出于各种原因而不可用于无线电接入网络系统(S卩,无线电接入网络系统被隔离)。可能发生灾难性事件(例如,地震、洪水、爆炸)或者可能在电信系统中发生硬件或软件故障。在一个特定示例中,一个或多个基站和核心网络系统之间的连接链路(其这样仍然能够提供用于一个或多个通信服务的针对用户设备的无线电覆盖)可能被破坏。在一个其他示例中,与基站的连接链路是可操作的,但核心网络的其他部分不适当地操作,使得不能访问中央数据库。WO 2011/134039公开了一种在移动通信网络内的故障期间建立通信线路的方法。如果检测到中断,则基站可以假定生存模式。在生存模式下,生存组件可以在基站内被激活,这使得能够由基站提供通信和服务。一个生存组件包括提供用于基站的覆盖区域中的移动设备的认证和授权的认证器。认证器生存组件执行核心网络系统的认证中心AuC的功能并存储秘密密钥。该方法从安全观点是不利的。虽然核心网络系统的AuC元件或AuC部件是高度安全且严格受保护的环境,但是这对于基站较少些。因此,在每一个基站中存储秘密密钥可能危及通信安全。
技术实现思路
如将由本领域技术人员所领会的,本专利技术的各方面可以具体化为系统、方法或计算机程序产品。因此,本专利技术的各方面可以采取完全硬件实施例、软件实施例(包括固件、驻留软件、微代码等)、或者组合软件和硬件方面的可以在本文中均通常被称为“电路”、“模±夬”或“系统”的实施例的形式。在本公开中描述的功能可以被实现为由计算机的微处理器所执行的算法。此外,本专利技术的各方面可以采取具体化在一个或多个计算机可读介质中的计算机程序产品的形式,所述介质具有具体化例如存储在其上的计算机可读程序代码。可以利用一个或多个计算机可读介质的任何组合。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是例如但不限于电子、磁性、光学、电磁、红外、或半导体系统、装置或设备、或前述的任何合适组合。计算机可读存储介质的更具体示例(非穷举列表)将包括以下:具有一个或多个电线的电连接、便携式计算机磁盘、硬盘、固态驱动器、随机存取存储器(RAM)、非易失性存储器设备、只读存储器(ROM)、可擦除可编程只读存储器(EPR0M或闪存)、光纤、便携式压缩盘只读存储器(CD-R0M)、光学存储设备、磁性存储设备、或前述的任何合适组合。在本公开的上下文中,计算机可读存储介质可以是可以包含或存储程序以供指令执行系统、装置或设备使用或结合指令执行系统、装置或设备使用的任何有形介质。计算机可读信号介质可以包括其中计算机可读程序代码具体化在其中的传播数据信号,例如,在基带中或作为载波的一部分。这样的传播信号可以采取多种形式中的任何一个,包括但不限于电磁、光学、或其任何合适组合。计算机可读信号介质可以为不是计算机可读存储介质的并且可以传送、传播、或运输程序以供指令执行系统、装置或设备使用或结合指令执行系统、装置或设备使用的任何计算机可读介质。具体化在计算机可读介质上的程序代码可以使用任何适当的介质来发送,包括但不限于:无线(使用电磁和/或光辐射)、有线、光纤、电缆等、或前述的任何合适组合。用于执行用于本专利技术的各方面的操作的计算机程序代码可以以一个或多个编程语言的任何组合编写,包括面向对象编程语言(诸如Java (TM)、Smal I talk、C++等)和常规的过程编程语言(诸如“C"编程语言或类似的编程语言)。程序代码可以完全在计算机(例如,用户设备)上或在网络中的计算机设施(例如,无线电接入网络系统中的和/或核心网络系统中的服务器)上执行,部分地在计算机上作为独立的软件包执行,部分地在用户的计算机上且部分地在网络中的计算机设施上执行,或者完全地在无线电接入网络系统和/或核心网络系统中的一个或多个计算机设施上执行。以下参照根据本专利技术的实施例的方法、装置(系统)以及计算机程序产品的流程图示和/或框图来描述本专利技术的各方面。将理解,流程图示和/或框图的每一个框以及流程图示和/或框图中的框的组合可以由计算机程序指令实现。这些计算机程序指令可以被提供给通用计算机、专用计算机、或者其他可编程数据处理装置的处理器(特别地,微处理器或中央处理单元(CPU))以产生机器,使得经由计算机、其他可编程数据处理装置、或其他设备的处理器执行的指令创建用于实现在流程图和/或框图框或多个框中规定的功能/动作的手段(means) ο这些计算机程序指令还可以存储在计算机可读介质中,所述指令可以引导计算机、其他可编程数据处理装置、或其他设备以特定方式起作用,使得存储在计算机可读介质中的指令产生包括实现在流程图和/或框图框或多个框中规定的功能/动作的指令的制品。计算机程序指令还可以被加载到计算机、其他可编程数据处理装置、或其他设备上,以使要在计算机、其他可编程装置、或其他设备上执行的一系列操作步骤产生计算机实现的过程,使得在计算机或其他可编程装置上执行的指令提供用于实现在流程图和/或框图框或多个框中规定的功能/动作的过程。图中的流本文档来自技高网...
【技术保护点】
一种包括无线电接入网络系统和核心网络系统的电信网络中的安全方法,其中无线电接入网络系统被配置成提供用于至少一个用户设备的无线无线电接口,其中共享秘密密钥被存储在用户设备和核心网络系统二者中,所述方法包括无线电接入网络系统中的如下步骤:从核心网络系统接收包括从共享秘密密钥导出的一个或多个值的至少一个矢量;针对用户设备通过无线无线电接口使用所接收的矢量的一个或多个值来执行认证过程和密钥协商过程中的至少一个,以用于建立用户设备和无线电接入网络系统之间的连接。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:F弗兰森,
申请(专利权)人:皇家KPN公司,荷兰应用自然科学研究组织,
类型:发明
国别省市:荷兰;NL
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。