本发明专利技术提供一种通过接收包含移动站(MS)的移动标识的消息和每当所接收的移动标识不匹配于与MS有关的存储的移动标识时就丢弃或拒绝该消息从而在无执照的移动接入网中提供安全性的方法。每当所接收的移动标识匹配于与MS有关的存储的移动标识时,该消息就被处理。移动标识由安全网关提供。移动标识可以是国际移动用户标识、临时移动用户标识、分组临时移动用户标识、专用互联网协议(IP)地址或公共IP地址。消息可以是注册请求、上行链路消息或下行链路消息,诸如移动性管理消息、通用分组无线业务移动性管理消息、或UMA或无执照的无线资源消息。
【技术实现步骤摘要】
【国外来华专利技术】在无执照的移动接入网中提供安全性 专利
本专利技术总体上涉及移动通信领域,更特别地,涉及用于在无执照 的移动接入网或通用接入网中提供安全性的方法、系统和设备。专利技术背景无执照的移动接入(UMA)技术规范建议,无执照的网络控制器 (UNC)和无执照的网络控制器安全网关(UNC-SGW)应当检验当移 动站(MS)建立对UNC-SGW的IPsec安全连接时和当MS在UNC注册 时要使用同一个国际移动用户标识(IMSI)。在这两种事例中,MS把 IMSI分别提供到UNC-SGW和UNC。然而,UMA技术规范没有规定应当 如何进行这些检验。而且,这些建议的实施方案仍旧使得核心网对攻 击是开放的。在用于在其他情况下被称为通用接入网(GAN)的到A和Gb-接 口的通用接入的第三代合作伙伴计划(3GPP)的标准中,情况也是 这样。见3GPP技术规范43. 318 (第2阶段)和44. 318 (第3阶段)。 应当指出,在3GPP技术规范中通用接入网控制器(GANC)等价于在UMA 技术规范中的UNC。相似地,在3GPP技术规范中通用接入网控制器的 安全网关(GANC-SEGW)等价于在UMA技术规范中的UNC-SGW。例如,MS可使用多个临时移动用户标识(TMSI)或分组临时移动 用户标识(P-TMSI)来模拟多个MS,诸如具有SIM卡读卡器和UMA客 户端的个人计算机(PC)。而且, 一个敌对(hostile)的MS可以向 核心网发送位置更新或IMSI分离消息,造成在MS级别上的一种类型 的拒绝服务(DoS)攻击(终结呼叫将会失败等等)。因此,需要一种 方法和设备,它们通过检验当移动站与核心网通信时这些移动站使用 的移动标识(IMSI、 TMSI、和/或P-TMSI)而保护核心网。专利技术概要本专利技术提供通过无执照的网络控制器(UNC)或通用接入网控制 器(GANC)和用于无执照的网络控制器的安全网关(UNC-SGW)或通用接入网控制器的安全网关(GANC-SEGW)来执行所建议的安全性检 验的方法、系统和设备。本专利技术提供一种使得所需要的0&M活动最小、 支持许多不同的网络情形、和可以容易地被标准化的最佳化解决方 案。应当指出,本专利技术可应用于无执照的移动接入网(UMAN)和通用 接入网(GAN)。更特别地,本专利技术引入一种基于可靠传输的UNC与UNC-SGW或GANC 与GANC-SEGW之间的新的协议,其包括对UNC-SGW与UNC或GANC-SEGW 与GANC之间的连接的动态处理。实质上,UNC-SGW或GANC-SEGW在IPsec 隧道建立时保存某些数据,以及检验在MS与UNC或GANC之间的通信。 当在MS与UNC或GANC之间建立TCP连接时,UNC-SGW或GANC-SEGW 可以建立到那个UNC或GANC的另一个TCP连接,并且把所需要的信 息仅仅发送到那个UNC或GANC。 UNC或GANC然后可以检验在IPsec 隧道建立(EAP-SIM或EAP-AKA鉴权)时和在注册时所使用的信息是 相同的。本专利技术还提供把用于MS的公共IP地址提供到UNC或GANC 的附加的好处。另外,本专利技术还被使用来通过检验当移动站与核心网通信时移动 站(MS)使用的移动标识(国际移动用户标识(IMSI))、临时移动用 户标识(TMSI)和/或分组临时移动用户标识(P-TMSI)而保护核心 网。简言之,那些包含不与MS有关的存储的移动标识(在注册后)对 应的移动标识的消息要被丢弃。 一旦这样的消息被丢弃,就可以采取 各种保护的和进行报告的行动。所以,MS仅仅允许使用一个IMSI、 一 个TMSI和一个P-TMSI。结果,本专利技术保护核心网免受恶意的和故障的 MS实施的影响。作为其结果,本专利技术还提供一种通过接收一个包含MS的移动标识 的消息和每当所接收的移动标识不匹配于与MS有关的存储的移动标识 时就丟弃或拒绝该消息而在无执照的移动接入网中提供安全性的方 法。每当所接收的移动标识匹配于与MS有关的存储的移动标识时,该 消息就被处理。移动标识可以是IMSI、 TMSI、 P-TMSI、专用互联网协 议(IP)地址或公共IP地址。消息可以是注册请求、上行链路消息或 下行链路消息,诸如移动性管理(MM)消息、通用分组无线业务(GPRS) 移动性管理(GMM)消息、或UMA或无执照的无线资源(URR)消息(仅 仅在MS与UNC之间被使用)。本专利技术可以作为在计算机可读的媒体上体现的计算机程序被实施,其中方法步骤由一个或多个代码段来实施。另外,本专利技术提供包括被可通信地耦合到处理器的数据存储设备的设备。数据存储设备存储移动标识与MS的联系。处理器接收包含MS 的移动标识的消息,并且每当所接收的移动标识不匹配于与MS有关的 存储的移动标识时就丟弃或拒绝该消息。设备典型地是在无执照的移 动接入网(UMAN)内的无执照的网络控制器(UNC)或在与核心网通 信的通用接入网(GAN)内的通用接入网控制器(GANC)。本专利技术还提供一个包括移动站、安全网关和无执照的网络控制器 的系统。安全网关被可通信地耦合到移动站。无执照的网络控制器可 以被通信地耦合到移动站和安全网关。安全网关接收来自移动站的移 动标识信息,并把移动标识信息发送到无执照的网络控制器。无执照 的网络控制器存储接收的移动标识信息,并且每当从移动站接收的注 册请求内的移动标识匹配于存储的移动标识信息时就注册移动站。安 全网关被配置成具有被无执照的网络控制器用来注册移动站的一个或 多个规定的传输控制协议(TCP)端口,以及无执照的网络控制器侦 听在该一个或多个规定的TCP端口上进入的TCP连接。在一个实施例 中,安全网关确保在从无执照的网络控制器接收到一个表示移动标 识信息的成功的接收和存储的消息之前,无执照的网络控制器不接收 注册请求。在另一个实施例中,无执照的网络控制器使用移动标识信 息来给移动站提供一个或多个服务。如前所述,无执照的网络控制器 可以是通用接入网控制器。附图简述通过结合附图参照以下的说明,可以更好地了解本专利技术的以上的 和另外的优点,其中附图说明图1是显示在UMA网络与核心网之间使用移动标识的代表性信令序列;图2是显示由移动站使用的不同的IP地址的图;图3A、 3B、 3C、 3C和3E是显示在无执照的网络控制器与其中可以 使用本专利技术的无执照的网络控制器的安全网关之间的关系的不同的网 络情景的框图;图4是显示按照本专利技术的保护核心网的方法的流程图;图5是显示对于本专利技术的一个实施例的初始配置的图;图6是显示本专利技术的一个实施例的使用的信令序列;图7A、 7B和7C是显示按照本专利技术的一个实施例的方法当它在无执照的网络控制器的安全网关处使用时的流程图;图8是显示按照本专利技术的一个实施例的方法当它在无执照的网络控制器处使用时的流程图;图9是显示本专利技术的一个实施例对于上行链路消息的使用的信令序列;图10是显示本专利技术的一个实施例对于下行链路消息的使用的信令 序列;图ll是显示按照本专利技术的一个实施例的方法对于上行链路消息的 流程图;图12是显示按照本专利技术的一个实施例的方法对于下行链路消息的 流程图;以及图13是显示按照本专利技术的另一个实施例的方法对于上行链路消息 的流程图。专利技术详细说本文档来自技高网...
【技术保护点】
一种用于提供无执照的移动接入网的安全性的方法,包括以下步骤: 接收包含移动站的移动标识的消息;和 每当所接收的移动标识不匹配于与移动站有关的存储的移动标识时就丢弃或拒绝该消息。
【技术特征摘要】
【国外来华专利技术】US 2005-2-1 11/047,8801. 一种用于提供无执照的移动接入网的安全性的方法,包括以下步骤接收包含移动站的移动标识的消息;和每当所接收的移动标识不匹配于与移动站有关的存储的移动标识时就丢弃或拒绝该消息。2. 如在权利要求l中要求的方法,还包括每当所接收的移动标 识匹配于与移动站有关的存储的移动标识时就处理该消息的步骤。3. 如在权利要求l中要求的方法,其中移动标识包括国际移动 用户标识(IMSI)、临时移动用户标识(TMSI)、分组临时移动用户标 识(P-TMSI)、专用互联网协议(IP)地址或公共IP地址。4. 如在权利要求l中要求的方法,其中消息包括注册请求、上 行链路消息或下行链路消息。5. 如在权利要求4中要求的方法,其中上行链路消息从移动交 换中心(MSC)或通用分组无线业务(GPRS)支持节点(SGSN)被接 收。6. 如在权利要求l中要求的方法,还包括每当所接收的消息是 来自安全网关时就存储所接收的移动标识的步骤。7. 如在权利要求l中要求的方法,还包括每当接收的消息是下 行链路消息时就存储所接收的移动标识和处理所接收的消息的步骤, 以及所接收的移动标识将指定或改变移动站的移动标识。8. 如在权利要求7中要求的方法,其中所接收的移动标识在接 收到一个接受、确认或完成下行链路消息的上行链路消息之前不被存 储。9. 如在权利要求l中要求的方法,其中丢弃接收的消息的步骤 还包括以下步骤对移动站解除注册;在一段时间间隔内将与移动站有关的互联网协议(IP)地址列入 黑名单;把丢弃的消息和对移动站解除注册通知系统操作员;或 记录有关丢弃的消息和对移动站解除注册的信息。10. 如在权利要求l中要求的方法,其中接收的消息是移动性管理(MM)消息、通用分组无线业务(GPRS)移动性管理(GMM)消息、 或UMA或无执照的无线资源(URR)消息。11. 如在权利要求l中要求的方法,其中消息在无执照的移动...
【专利技术属性】
技术研发人员:T尼兰德,JT维克伯格,
申请(专利权)人:艾利森电话股份有限公司,
类型:发明
国别省市:SE[瑞典]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。