一种在蜂窝网络中使用的无线通信设备。该设备包括:无线电接口,用于实现该设备和蜂窝网络的基站之间通过无线电链路的通信;以及,传送实体,用于经由所述无线电链路,通过非接入层中的信令连接,与所述蜂窝网络的核心网节点交换用户数据分组。所述设备还包括:数据传输验证实体,用于使用通过非接入层中的信令连接从所述核心网节点接收的可验证应答,来确认通过信令连接发送到核心网节点的用户数据分组的送达,所述数据传输验证实体被配置为:在通过信令连接发送到所述核心网节点的用户数据分组中选择性地包括向所述设备返回针对所发送的用户数据分组的可验证应答的请求。
【技术实现步骤摘要】
【国外来华专利技术】针对移动用户的安全机制
本专利技术涉及针对蜂窝网络的移动用户的安全机制。具体来说,尽管非必要,本专利技术涉及用于检测通信链路中伪基站的存在的装置和方法。
技术介绍
当前蜂窝通信网络向用户提供高度安全性。安全性确保用户到网络的认证以及网络到用户的认证,并保护防止窃听。安全性还提供完整性保护,允许(可能在网络中)数据的接收方应答发送数据的完整性。这可能涉及发送方向消息中添加完整性校验和,并且该完整性校验和是使用安全密钥计算得到的。知道安全密钥的接收方可以验证完整性校验和,并从而确保消息的确是由可信发送方发送的并且在传输时未被篡改。已经开发了已知的安全性机制,以高效地用于传统蜂窝网络使用情况。拥有移动设备(例如,移动电话、智能电话和其他具有无线能力的设备)和使用语音服务和数据服务的用户倾向于关心这些。这些服务涉及向用户设备和来自用户设备的大量数据的传送。与传送的数据量相比,与这些场景相关联的信令业务量不大。因此,与安全机制(例如,客户端和网络认证)相关联的信令开销相对较小。近年来,预期使用蜂窝网络设施的被称为机器到机器(M2M)应用将快速增长。这些应用涉及通常不需要人直接操作而与其他设备或网络服务器进行通信的设备(例如,传感器和致动器)。示例应用可以涉及家庭电表,家庭电表被配置为周期性地向供电公司所拥有的服务器发送耗电读数。M2M应用预期大量增加与蜂窝网络一起使用的无线连接的设备的数目。Ericsson?预测到2020年将有500亿这种设备。将M2M应用与传统蜂窝网络服务区分的特征是与前者相关联的相对较小量的数据业务。电表读取应用可能例如仅需要每月仅发送几字节的数据。然而,由于存在大量预期将使用的设备,将增加到网络的总业务量将非常大。包括与安全性相关联的信令机制在内的现有信令机制不一定很好地适用于M2M应用,而仅给网络添加负荷。由于与单个M2M交互相关联的相对小的数据量,期望经由非接入层(NAS)中的信令从设备连接向核心网发送数据。此方案可以避免尤其针对数据业务建立单独承载的需要。此外,当向核心网认证了设备时,在移动节点和RAN中的基站之间不进行认证,正如使用数据承载发送数据的情况一样(在移动节点和基站之间预建立安全关联的情况下则需要)。然而,这可能打开了“伪”基站吸引设备的可能性,导致例如对设备拒绝服务。将理解,从客户端设备发送的完整性保护消息自身不足以防止拒绝服务攻击。可以通过要求核心网中的接收节点(例如,3G网络的服务GPRS支持节点(SGSN)或LTE网络的移动性管理实体(MME))针对从移动节点所接收的每个分组返回应答,来减轻此问题。重要的是,在应答允许移动节点验证应答是由预期接收节点发出的意义上,应答是可验证的。然而如上所述,给定可能与M2M应用相关联的相对少量数据,期望最小化信令开销,以避免使蜂窝网络超负荷。3GPP TS 23.272描述了通过NAS信令传递短消息服务(SMS)消息的机制。核心网利用完整性保护应答来应答每个SMS消息。然而,这再次导致相对高的信令量,并且不适用于广泛使用的M2M服务。
技术实现思路
本专利技术的目的是提供一种轻量级安全机制,为通过蜂窝网络发送数据的客户端设备提供一定程度的安全性。这特别可应用于M2M设备和应用,尽管其还可应用于其他设备和服务。根据本专利技术的第一方案,提供了在蜂窝网络中使用的无线通信设备。该设备包括:无线电接口,用于实现该设备和蜂窝网络的基站之间通过无线电链路的通信;以及,传送实体,用于经由所述无线电链路,通过非接入层中的信令连接,与所述蜂窝网络的核心网节点交换用户数据分组。所述设备还包括:数据传输验证实体,用于使用通过非接入层中的信令连接从所述核心网节点接收的可验证应答,来确认通过信令连接发送到核心网节点的用户数据分组的送达,所述数据传输验证实体被配置为:在通过信令连接发送到所述核心网节点的用户数据分组中选择性地包括向所述设备返回针对所发送的用户数据分组的可验证应答的请求。本专利技术的实施例提供用于在无线通信设备和核心网之间交换数据的超轻量级机制。可以向目的地(例如,外部应用服务器)中继所述数据。具体来说,不需要在无线通信设备和无线接入网的基站之间建立安全关联。此方案对机器到机器应用特别有用。根据本专利技术的第二方案,提供了被配置为在蜂窝通信网络的核心网中使用的装置。所述装置包括:传送实体,用于经由无线电链路,通过非接入层中的信令连接,与用户终端交换用户数据分组;以及,数据传输验证实体,用于通过所述信令连接,选择性地将与从用户终端接收的用户数据分组有关的可验证应答发送到用户终端。所述数据传输验证实体被配置为:响应于从用户终端接收到包含针对可验证应答的请求的用户数据分组,向该用户终端发送可验证应答。根据本专利技术的第三方案,提供了从无线通信设备向蜂窝网络中的核心网节点发送数据的方法。所述方法包括:经由无线电链路,通过非接入层中的信令连接,在所述无线通信设备和所述核心网节点之间交换用户数据分组;以及,在通过所述信令连接发送到所述核心网节点的用户数据分组中,包括向所述设备返回针对所发送的用户数据分组的可验证应答的请求。在所述无线通信设备处,使用通过所述信令连接从所述核心网节点接收的可验证应答来确认通过所述信令连接发送到所述核心网节点的数据分组的送达。根据本专利技术的第四方案,提供了被配置为在蜂窝通信网络的核心网中使用的装置。所述装置包括传送实体,所述传送实体用于:经由无线电链路,通过非接入层中的信令连接,与用户终端交换用户数据分组。所述装置还包括数据传输验证实体,所述数据传输验证实体用于:通过所述信令连接,选择性地将与从用户终端接收的用户数据分组有关的可验证应答发送到用户终端,所述数据传输验证实体被配置为:响应于内部或核心网产生的指示针对用户终端的移动性事件的触发,向该用户终端发送可验证应答。【附图说明】图1示出了用于确保通过蜂窝网络的数据传送的基于请求的方案;图2示意性地示出了用于M2M应用的蜂窝网络架构;图3示意性地示出了移动设备,该移动设备被配置用于向核心网的安全数据传送;图4示意性地示出了网络单元,该网络单元被配置用于向核心网的安全数据传送;以及图5是示出了用于向核心网提供安全数据传递的方法的流程图。【具体实施方式】以上已经讨论了使用网络接入层(NAS)信令连接,确保从客户端设备向蜂窝网络的核心网节点发送数据的送达的问题,因为已经有伪基站引入客户端设备和核心网节点之间通信路径的有关危险。可以通过要求核心网节点应答接收到客户端设备向其发送的每个分组,来减轻该问题/危险。然而,可以通过认识到以下情况来得到更佳的解决方案:一旦核心网节点向客户端成功地应答接收到一个或少量分组,客户端设备可以合理地假定其自身和核心网节点之间的通信路径是可靠的。具体来说,其可以假定:路径上的基站正在正确地操作,并且核心网(节点)很可能已经认证了该基站。伪基站能够与核心网节点建立“连接”,例如导致原始分组以及相关联应答的成功送达的情况不太可能发生。因此,核心网节点仅周期性地或根据特定预定义事件来应答分组可能是合适的。通信发送方“A”(客户端设备)可以明确指示其何时需要来自接收方“B”(核心网节点)的完整性保护的应答。该指示与完整性保护的数据一起从A发送到B。当指示了这种应答请求时本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于在蜂窝网络中使用的无线通信设备,所述设备包括: 无线电接口,用于实现所述设备和蜂窝网络的基站之间通过无线电链路的通信; 传送实体,用于经由所述无线电链路,通过非接入层中的信令连接,与所述蜂窝网络的核心网节点交换用户数据分组;以及 数据传输验证实体,用于使用通过非接入层中的信令连接从所述核心网节点接收的可验证应答,来确认通过信令连接发送到核心网节点的用户数据分组的送达,所述数据传输验证实体被配置为:在通过信令连接发送到所述核心网节点的用户数据分组中选择性地包括向所述设备返回针对所发送的用户数据分组的可验证应答的请求。2.根据权利要求1所述的设备,其中,所述设备被配置为与3G蜂窝通信网络一起使用,并且所述传送实体通过非接入层与服务GPRS支持节点SGSN交换所述用户数据分组。3.根据权利要求1所述的设备,其中,所述设备被配置为与长期演进通信网络一起使用,并且所述传送实体通过非接入层与移动性管理实体MME交换所述用户数据分组。4.根据前述权利要求中任一项所述的设备,其中,所述数据传输验证实体被配置为:使用所述设备和所述核心网节点之间共享的秘密来验证应答。5.根据前述权利要求中任一项所述的设备,其中,所述传送实体被配置为:在所发送的用户数据分组中包括所述核心网节点应当将用户数据分组转发至的目的地实体的标识。6.根据前述权利要求中任一项所述的设备,所述数据传输验证实体被配置为:仅在所发送的用户数据分组的一部分中包括所述请求。7.根据权利要求6所述的设备,包括: 切换控制器,用于向所述数据传输验证实体通知已经执行了向新基站的切换, 从而,在切换时,所述数据传输验证实体被配置为:与至少一个输出用户数据分组一起发送所述请求。8.根据权利要求6所述的设备,所述数据传输验证实体被配置为:周期性地在所发送的用户数据分组中包括所述请求。9.一种被配置为在蜂窝通信网络的核心网中使用的装置,所述装置包括: 传送实体,...
【专利技术属性】
技术研发人员:盖尔吉·米克洛斯,卓坦·理查德·图兰伊,约翰·鲁内,
申请(专利权)人:瑞典爱立信有限公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。