[发明专利]在无执照的移动接入网中提供安全性

说明书

发明领域

本发明总体上涉及移动通信领域，更特别地，涉及用于在无执照的移动接入网或通用接入网中提供安全性的方法、系统和设备。

发明背景

无执照的移动接入(UMA)技术规范建议，无执照的网络控制器(UNC)和无执照的网络控制器安全网关(UNC-SGW)应当检验：当移动站(MS)建立对UNC-SGW的IPsec安全连接时和当MS在UNC注册时要使用同一个国际移动用户标识(IMSI)。在这两种事例中，MS把IMSI分别提供到UNC-SGW和UNC。然而，UMA技术规范没有规定应当如何进行这些检验。而且，这些建议的实施方案仍旧使得核心网对攻击是开放的。

在用于在其他情况下被称为通用接入网(GAN)的“到A和Gb-接口的通用接入”的第三代合作伙伴计划(3GPP)的标准中，情况也是这样。见3GPP技术规范43.318(第2阶段)和44.318(第3阶段)。应当指出，在3GPP技术规范中通用接入网控制器(GANC)等价于在UMA技术规范中的UNC。相似地，在3GPP技术规范中通用接入网控制器的安全网关(GANC-SEGW)等价于在UMA技术规范中的UNC-SGW。

例如，MS可使用多个临时移动用户标识(TMSI)或分组临时移动用户标识(P-TMSI)来模拟多个MS，诸如具有SIM卡读卡器和UMA客户端的个人计算机(PC)。而且，一个敌对(hostile)的MS可以向核心网发送位置更新或IMSI分离消息，造成在MS级别上的一种类型的拒绝服务(DoS)攻击(终结呼叫将会失败等等)。因此，需要一种方法和设备，它们通过检验当移动站与核心网通信时这些移动站使用的移动标识(IMSI、TMSI、和/或P-TMSI)而保护核心网。

发明概要

本发明提供通过无执照的网络控制器(UNC)或通用接入网控制器(GANC)和用于无执照的网络控制器的安全网关(UNC-SGW)或通用接入网控制器的安全网关(GANC-SEGW)来执行所建议的安全性检验的方法、系统和设备。本发明提供一种使得所需要的O&M活动最小、支持许多不同的网络情形、和可以容易地被标准化的最佳化解决方案。应当指出，本发明可应用于无执照的移动接入网(UMAN)和通用接入网(GAN)。

更特别地，本发明引入一种基于可靠传输的UNC与UNC-SGW或GANC与GANC-SEGW之间的新的协议，其包括对UNC-SGW与UNC或GANC-SEGW与GANC之间的连接的动态处理。实质上，UNC-SGW或GANC-SEGW在IPsec隧道建立时保存某些数据，以及检验在MS与UNC或GANC之间的通信。当在MS与UNC或GANC之间建立TCP连接时，UNC-SGW或GANC-SEGW可以建立到那个UNC或GANC的另一个TCP连接，并且把所需要的信息仅仅发送到那个UNC或GANC。UNC或GANC然后可以检验在IPsec隧道建立(EAP-SIM或EAP-AKA鉴权)时和在注册时所使用的信息是相同的。本发明还提供把用于MS的公共IP地址提供到UNC或GANC的附加的好处。

另外，本发明还被使用来通过检验当移动站与核心网通信时移动站(MS)使用的移动标识(国际移动用户标识(IMSI))、临时移动用户标识(TMSI)和/或分组临时移动用户标识(P-TMSI)而保护核心网。简言之，那些包含不与MS有关的存储的移动标识(在注册后)对应的移动标识的消息要被丢弃。一旦这样的消息被丢弃，就可以采取各种保护的和进行报告的行动。所以，MS仅仅允许使用一个IMSI、一个TMSI和一个P-TMSI。结果，本发明保护核心网免受恶意的和故障的MS实施的影响。

作为其结果，本发明还提供一种通过接收一个包含MS的移动标识的消息和每当所接收的移动标识不匹配于与MS有关的存储的移动标识时就丢弃或拒绝该消息而在无执照的移动接入网中提供安全性的方法。每当所接收的移动标识匹配于与MS有关的存储的移动标识时，该消息就被处理。移动标识可以是IMSI、TMSI、P-TMSI、专用互联网协议(IP)地址或公共IP地址。消息可以是注册请求、上行链路消息或下行链路消息，诸如移动性管理(MM)消息、通用分组无线业务(GPRS)移动性管理(GMM)消息、或UMA或无执照的无线资源(URR)消息(仅仅在MS与UNC之间被使用)。本发明可以作为在计算机可读的媒体上体现的计算机程序被实施，其中方法步骤由一个或多个代码段来实施。