[发明专利]不加密的网络操作解决方案

说明书

技术领域

本发明涉及一种用于处理电信网络中的非接入层信令的安全问题的解决方案。

背景技术

用于UE/MME交互的NAS协议具有包括消息的加密和/或完整性保护的安全保护机制。在正常加密操作中，一旦安全上下文已经为了特定的NAS连接而激活，所有消息就应当被加密。

3GPP TS 24.301中还规定，加密是运营商的选择。因此，SAE需要支持在NAS协议中的不加密操作。

可以选择不同的解决不加密操作的方法，以及一种方式是总是使用非安全保护的NAS消息。存在两种一般类型的NAS消息，不具有安全保护的明文NAS消息和应用了完整性保护和/或加密的安全保护的NAS消息。

如果在SAE中没有通用的方式来解决不加密操作模式，则在UE和MME之间以及在不同的供应商之间将存在互操作性问题，这实际上使得不加密操作不可能。

如果选择一种方法，其中在不加密操作模式中非安全保护的NAS消息用于所有消息，则这意味着MME实现将更加复杂而且需要能够为大部分NAS消息区分加密和不加密操作。

此外，如果在不加密操作中使用明文NAS消息，则这些NAS消息的完整性保护将不可用，并且那些规则的例外还会不得不实现。

发明内容

因此，本发明的目的是致力于这些问题并为NAS安全的互操作性提供解决方案。

本发明的概念是，当安全上下文被选择以供在不加密模式中操作的例如移动性管理实体(MME)的移动性管理设备使用时，选择“零加密算法”。这可以对使用处于不加密操作的网络的所有UE或对与MME有关的单独的UE进行。在所有其他方面，NAS消息可以用与处于正常加密操作的网络中相同的方式发送、接收和处理。

这在本发明的多个方面提供，其中第一方面是用于处理电信网络中的基础设施节点中的安全问题的方法。方法包括以下步骤：

接收来自与电信网络无线通信的用户设备(UE)的初始非接入层即NAS消息。

确定UE的安全上下文状态。

确定是否要将不加密模式用于安全上下文。

将加密算法设置成零加密算法。

向UE发送包括指示加密算法的信息的安全上下文和激活消息。

接收来自UE的安全上下文激活确认消息。

所有安全上下文可以用零加密算法创建和/或用于单独的UE的安全上下文可以设置成零加密算法。

方法还可包括接收另外的NAS消息和使用零加密算法解密另外的NAS消息的步骤。此外，方法还可包括提供通信消息的完整性保护的步骤。消息可以被当作处于正常加密模式来处理，与加密模式无关。

优选地设置零加密算法，以用不改变消息这样的方式来对这些消息起作用。

如权利要求1所述的方法，其中发送安全上下文的步骤包括：在消息中的字段中指示以下各项之一：无完整性保护和无加密、只有完整性保护、或完整性保护和加密全起作用。

提供本发明的另一方面，电信网络中的基础设施设备。设备包括：处理单元、存储器单元和通信接口单元。处理单元可以配置成执行存储在存储器单元中的指令集，用于：使用通信接口接收来自用户设备的初始非接入层即NAS消息，确定安全上下文状态，创建新的安全上下文，确定是否要将不加密模式用于安全上下文，将加密算法设置成零，使用通信接口向UE发送包括指示加密算法的信息的安全上下文和激活消息，以及使用通信接口接收来自UE的安全上下文激活确认消息。

基础设施设备可以是例如移动性管理实体(MME)的移动性管理设备。

使用根据本发明的解决方案，可以实现以下益处：

用于接受特定的NAS消息的标准在加密和不加密操作中可以相同；

安全保护的完整性保护部分在不加密操作中可以仍然有效；

解决方案可以完全在MME中实现，即无UE影响；这从而提供本发明的有成本效益的实现。

附图说明

下面，将参照附图中示出的示例性实施例以非限定方式并更具体地描述本发明，其中：

图1示意地示出根据本发明的网络；

图2示意地示出根据本发明的设备；

图3在框图中示意地示出根据本发明的方法；以及

图4在框图中示意地示出根据本发明的另一方法。

具体实施方式