[发明专利]提供电信网络安全的方法

说明书

要求2009年8月10日递交的英国专利申请No.0913909.8和2009年11月5日递交的英国专利申请No.0919398.8的优先权，这些申请的内容通过引用结合于此。

技术领域

本发明涉及电信网络安全和被布置成提供电信网络安全的设备及相关方法。

背景技术

随着移动通信网络技术的进展和更高能力的网络和系统变得可用，被采用的诸如已知的移动设备(ME)和用户设备(UE)之类的移动无线电通信设备倾向于保留针对不同无线电接入技术(RAT)的能力并因此允许基于RAT间和RAT内二者的切换过程。高度的安全和完整性是移动通信网络的持续要求，并且特别希望设法防止通信消息的截取。

安全措施目前常常采用诸如加密密钥(CK)和完整性密钥(IK)之类的密钥，并且这种密钥的生成常常发生在切换过程期间。注意，这种安全问题的操作和管理上存在限制和缺点，这可能导致安全的潜在损害。

用于安全密钥的生成和管理的已知过程在提供与本发明相比完全不同的对安全和增强问题的解决方案的美国专利申请公开No.2009/161874A1和No.2009/154703A1、加拿大专利申请No.2659959A1以及美国专利No.7519178B1中被公开。

发明内容

本发明设法提供具有优于已知的这类方法和网络元件的优点的、建立网络安全的方法和相关的移动无线电通信网络元件。

根据本发明的第一方面，提供了一种在移动无线电通信网络内提供网络安全的方法，包括：创建用于移动无线电通信设备和网络之间的通信的安全上下文，所述安全上下文是响应于输入参数来创建的；以及，作为每个初始切换尝试的一部分，控制所述参数以便应用与先前的版本不同的参数版本。

就本发明的示例性实施例的方法保证在确定安全上下文时使用并且在每个切换过程的初始切换尝试期间采用的输入参数与先前的输入参数不同而言，它可以被证明在保证旧的参数不被无意地采用在例如创建所要求的安全密钥方面是有利的。

在一个示例中，参数的控制不依赖于用于至少一个切换尝试的网络信令。

优选地，参数的控制可以被布置成不依赖于用于至少一个切换尝试的从网络到移动无线电通信设备的信令。

特别地，所述信令可以优选地包含非接入层(NAS)消息传递。

有利地，输入参数可以包含信号计数，尤其是下行链路(DL)NAS计数。

优选地，该方法包括针对每个初始切换尝试来控制参数。

在示例性实施例中，该方法还可以包括针对切换尝试的成功来进行监视的步骤。

有利地，如果判定初始切换尝试未成功，则切换尝试可以利用同样的参数被重复。

有利地，仅当已指示了继续尝试时的失败时，才能够准许又一切换尝试。

优选地，成功可以通过切换命令被移动无线电通信设备的接收来判断。

有利地，切换失败的指示可以包含非NAS递送指示。

有利地，如果指示了参数不被移动无线电通信设备接收，则这种非NAS递送指示可以被布置成被发送。

优选地，该方法可以包括：当移动无线电通信设备指示出它尚未收到下行链路NAS计数时，发送包括该计数的给定值的无线电接入技术间(IRAT)切换。优选地，该方法包括一旦到通用移动电信系统(UMTS)的RAT切换消息已被发送，就增加该计数的步骤。

优选地，该方法可以包括响应于所述计数已在先前的切换、尤其是前一个切换中被采用的判断而在移动无线电通信设备处执行路由更新过程。

有利地，更新过程可以包括与使得网络能够执行认证过程的密钥集合可用性有关的信息。

在示例性实施例中，这种进一步特征尤其可以在长期演进(LTE)系统的无线电接入网(RAN)不可靠地指示出由于来自UE的第二层确认消息尚未被RAN LTE接收、因此移动无线电通信设备尚未收到该计数的场合被采用。

此外，这种特征可以优选地尤其与到UMTS的切换相关地被采用，其中所述密钥集合标识符包含UMTS密钥集合标识符，并使得网络能够执行UMTS认证过程。

根据本发明的另一方面，提供了一种在移动无线电通信网络内提供网络安全的方法，包括：创建用于UE和网络之间的通信的安全上下文，所述安全上下文是响应于下行链路NAS计数来创建的；以及，作为每个初始切换尝试的一部分，增加所述DL NAS计数以便与先前的计数值相区分。