移動通信網絡中的移動通信安全方法及其設備的製作方法

2023-05-13 06:19:31

專利名稱：移動通信網絡中的移動通信安全方法及其設備的製作方法
技術領域：
本發明涉及移動通信，更具體地，涉及對與通過移動通信網絡向移動通 信設備發送的不安全的無線接口消息有關的安全問題的改進。
背景技術：
本發明不限於通用移動通信系統(UMT S ),其同樣可以應用於全球移動 通信系統/通用分組無線業務網絡(GSM/GPRS)，或者實際上可以應用於其 它4壬4可通信網糹各。圖1示出了諸如通用移動通信系統(UMTS)的蜂窩無線系統的典型結 構。該UMTS包括移動用戶設備(UE)、無線接入網(RAN)以及一個或多 個核心網絡(CN)。 UMTS是使用寬帶碼分多址(W-CDMA)技術的第三代 無線系統。圖2示出了包括基站和無線網絡控制器/基站控制器(RNC/BSC)的無 線接入網的更詳細結構。基站處理跨越無線接口的實際通信，其覆蓋特定的 地理區域，也稱為小區。除了控制連接到其上的基站之外，RNC還包括諸 如分配無線資源、本地移動性等的功能。RNC連接到——個或多個核心網絡，通過Iu接口，-多個基站(在UTRAN的情況下為節點B的基站)，通過Iub接口 ，以及-可能一個或多個其它RNC，通過Iur接口。圖3提供了在具有電路交換(CS)服務域和分組交換(PS)服務域的 UMTS之內的UE註冊和連接原理的概要圖。可以在第三代合作夥伴項目 (3GPP)網站http:〃www.3gpp.org/上的文檔"3GPP TS 33.102 Security Architecture"中找到其細節。用戶(臨時的)識別、i人證和密鑰協商在每個 服務域內獨立發生。使用為相應的服務域協商的加密(cipher)密鑰將用戶 層面業務加密，而使用來自這些服務域中的任一個的加密和完整性密鑰將控 制層面數據加密並進行完整性保護。CS域和PS域單獨地並且異步地建立其與UE的對等側的安全上下文 (context )。最簡單的形式，可以認為該安全上下文是通過運4亍認證過程而 建立的，該認證過程產生相關的並且屬於該安全上下文的安全密鑰。該認證 過程是可選的，其執行是網絡的決定。該認證過程以及從認證過程得到的安 全上下文不能確保無線接口的安全性。為了確保無線接口的安全，需要執行 安全設置過程。該安全設置過程確保通過該無線接口發送的任何消息都是安 全的。圖4提供了對於普通第3層服務請求發生的事件的協議序列的簡化示意 圖。圖4的最左邊提供了導致設置完整性從而確保"空中下載(OTA)"發 送的消息是完全安全的過程的序列圖。直到完成該安全設置過程並激活完整 性保護，該OTA消息才是安全的。在步驟1， UE和服務無線網絡控制器(SRNC)建立RRC連接。這包 括傳遞UE安全能力和RRC級別的受限安全參數。在步驟2， SRNC存儲該 受限安全參數和UE安全能力。在步驟3，向訪問者位置寄存器/服務GPRS 支持節點(VLR/SGSN)發送具有用戶身份、密鑰序列等的"初始第3層(L3 ) 消息"。作為應答，在步驟4， VLR/SGSN向UE轉發認證密鑰產生。步驟4是 可選步驟，其可以由或可以不由網絡運行。在步驟5， VLR7SGSN對所需要 的完整性和加密做出決定。在步驟6， VLR/SGSN通過向SRNC發送消息來 請求設置安全性。在步驟7， SRNC通過向UE發送消息來啟動該安全過程。 在步驟8， UE通過向SRNC回送消息來完成該安全過程。在步驟9， SRNC 向VLR/SGSN再發送回消息來完成該安全設置。在步驟10,第3層服務可 以在UE和SGSN之間進行。可以在3GPPTS 24.008移動無線接口第3層規範、核心網絡協議、第3 級和3GPPTS 25.133無線資源控制(RRC )協議規範中找到其具體細節，它 們都可以在第三代夥伴項目(3GPP)網站http:〃www.3邵p.org/上找得到。在圖4中，突出顯示了步驟4(認證過程)是可選過程。網絡基於本說 明書中未示出的幾個參數來決定是否運行該步驟。然而，應當注意，不管網 絡是否運行該認證，只要在UE和網絡之間存在安全上下文，就仍然能夠發 生啟動OTA (空中下載)消息的完整性保護的安全設置過程。圖5示出了不被網絡接受(因而被拒絕)的第3層請求事件的協議序列。不管所請求的第3層服務是用於建立呼叫或會話還是用於將UE註冊到網絡，該拒絕序列都相同。在步驟1, UE和服務無線網絡控制器(SRNC)建立RRC連接。這包 括傳遞UE安全能力和RRC級別的受限安全參數。在步驟2, SRNC存儲該 受限安全參數和UE安全能力。在步驟3，向訪問者位置寄存器/服務GPRS 支持節點(VLR/SGSN )發送具有用戶身份、密鑰序列等的"初始第3層(L3 ) 消息"。在步驟4， VLR7SGSN檢查第3層請求的有效性。如果該請求是不可被 接受的，則在步驟5， VLR/SGSN拒絕該請求。通過網絡向UE發生該請求 拒絕，且不採取完整性保護。基於上述系統，黑客、或者用通用移動通信系統(UMTS)的行話來說 是"假基站"可以通過在通過無線接口向移動通信設備發送的無完整性保護 的消息內提供假信息來引起對UE的服務攻擊。這些攻擊可能引起對移動用 戶的"拒絕服務"(DoS)。在UMTS以及之前的GSM/GPRS之內併入的是UE之內的定時器，其 抑制了在註冊過程異常故障之後對於PS域的隨後的自動註冊嘗試。在該系 統中將該定時器指定為定時器丁3302。T3302具有12分鐘的默認值，從開機時開始使用該默認值，直到指定 了該參數的不同值為止。可以在ATTACH—ACCEPT、 ATTACH—REJECT、 ROUTING—AREA—UPDATE—ACCEPT 和 ROUTING—AREA—UPDATE—REJECT消息中為UE指定T3302的不同值。給T3302指定的值在2秒和3小時6分鐘之間。可選擇地，可以將T3302 參數指示為"無效"。設置T3302為"無效"的結果是禁止在註冊過程"異 常故障"之後對於PS域的進一步註冊嘗試。下面定義"異常故障"。當網絡拒絕移動NAS第3層請求時，網絡在系 統中提供原因，這被稱為拒絕原因。該拒絕原因將通知UE其下一步將、應 當或可以怎樣做。如果UE不明白拒絕原因，則該原因可以被術語化為異常 情況，並且將由這些異常情況導致的故障術語化為異常故障。異常情況也包 括a)下層(如，無線故障)；b)過程超時(如，CN無響應)；c)由於 UE所不期望的原因導致的CN拒絕(例如，如果在網絡較新版本中，遺留 l正處於激活狀態，如，版本98的CN向為GSM第2階段規範而建的UE發送新的拒絕原因#14)。如果沒有允許進一步的註冊嘗試，則拒絕向UE服務，直到發生下述動作中的一個a)用戶發起手動請求(例如，手動請求PS服務)；或者b)UE經過了 一個電力循環(也即，用戶關掉該單元然後又開啟該單元)；或者c)路由區 域發生物理改變(例如，UE從一個小區移動到另一個小區)。l正從開機開始使用T3302默認值，並且繼續使用該默認值直到T3302 被指定了一個不同的值。對於已註冊到網絡的UE還可能存在問題。即，未註冊的各個UE做出 的網絡註冊嘗試的數量的增加可能導致增加那些已經註冊的UE的無線噪 聲。同樣，由於噪聲的增加，已註冊的UE可能發生服務損失，和/或由於大 量的註冊請求，可能發生帶寬損失。未受保護的空中下載(OTA)消息的危險是公知的。因此，除了加密保 護之外，UMTS具有設計在其中的完整性保護。此外，UMTS具有嚴格的認 證規則和詳細的完整性和加密算法，並且也進行檢查以允許移動用戶驗證網 絡是真實的。這些安全方面的例子可以在第三代合作夥伴項目(3GPP)網 站http:〃www.3gpp.org/上的文檔TS33.102和24.008中找到。為了在UMTS中保護OTA消息，必須執行完整性保護。在可選地運行 了認證和密鑰協商(AKA)過程之後開始該完整性保護。儘管不必要在每次 UE接入網絡的時候運行AKA,但是必須在每次UE接入網絡的最早可能的 時機開始完整性保護。因此， 一旦網絡和UE運行完整性保護，則可以在 UMTS中僅應用安全方面，從而使得OTA消息是安全的。在UMTS中， 一旦核心網絡(CN)已接收到並處理了真實的第 一條NAS (非接入層)第3層消息，並且發現NAS第3層請求是可接受的且CN對 這個NAS第3層請求消息進行下一步的處理，則CN啟動完整性保護，。如 果CN發現UE的第一個NAS第3層請求消息是不可接受的，則CN通過以 ATTACH—REJECT或ROUTING—AREA—UPDATE—REJECT消息的形式發送 拒絕消息來拒絕該UE。啟動OTA消息的完整性保護的安全過程未被開始， 因為如果拒絕了對CN的服務請求，則認為啟動安全是不必要的，因為期望 終止UE和網絡間的收發。這意味著未受到完整性保護的向移動用戶發送的 OTA拒絕消息是不安全的。此 夕卜 ， 拒 絕 消 息 ATTACH—REJECT 和 ROUTING—AREA—UPDATE—REJECT中的T3302定時器參數可能被操縱， 以引起對UE的拒絕服務攻擊。通過攔截來自網絡的拒絕消息並隨後破壞該 T3302定時器參數可能發生上述情況。但是，更有可能的是，潛在的黑客會 構建 一 個完整的假拒絕消息 (ATTACH_REJECT 或 ROUTING—AREAJJPDATE—REJECT )並將其發送給UE。因此，黑客可以通過操縱在無完整性保護的ATTACH—REJECT或 ROUTING_AREA—UPDATE—REJECT消息中的參數來引起對任何UMTS移 動設備的拒絕服務攻擊。最壞的情況，如上所述，該拒絕服務攻擊可以鎖定行動裝置使其不能接 收PS服務，直到UE物理地移動、用戶啟動了 PS服務的特定請求或用戶執 行了電源重啟。在版本5以下的GSM/GPRS和UMTS中，系統被設計為具有處理循環， 從而異常故障的註冊過程嘗試將被重複。由定時器(除了 T3302之外的)和 UE在網絡內的移動來控制註冊重複。在T3302開始之前，UE將嘗試該註冊 過程5次。因此，在UMTS版本5以下中，統計上很可能是如果任何註冊拒絕 和其信息被黑客破壞，則其將由下一個真實的註冊拒絕來更新，或由成功註冊或註冊更新來變為不相關。但是，網絡不必刷新T3302中的任何被破壞的 參數，因為網絡為T3302提供參數是可選的。此外，網絡不能確定黑客是否 已預先提供了對於T3302的破壞值。因此，當註冊過程的重複快要結束時， 將應用未^皮更新的被破壞的T3302。同樣，該被破壞的T3302將在下次移動 設備進入不得不再次開始T3302的情況時使用。該現有解決方案的一個問題在於，假定每次發生異常情況都算作註冊過 程嘗試的失敗，則黑客可以通過"強加"5次連續的異常故障的發生而結束 整個註冊過程處理循環，從而引起T3302啟動。上述問題。在UMTS版本6中，在啟動定時器T3302之前存在相同的重複 註冊過程5次的內在解決方案。因此也同樣存在真實的網絡更新被破壞的 T3302參數的可能性。但是，與版本6之前的UMTS相同，不能保證網絡將 更新T3302且網絡不知道黑客已破壞了 T3302。同樣，如果UE接收到特定的拒絕原因，則NAS規範的版本6的變化 允許重複的註冊過程循環立即結束。對版本6的這些變化可以在上面指出的 3GPP網站的TdocNl-041602中找到。因此，黑客不僅可以破壞T3302的系統值，而且可以在被破壞的T3302 被改變之前，提供迫使行動裝置停止進一步自動註冊嘗試的拒絕原因。發明內容技術問題本發明的目的是克服或至少消除前述問題中的一些或全部。 技術方案一方面，本發明提供了一種在移動通信網絡中操作移動通信設備的方 法，該方法包括由移動通信設備執行的步驟接收無完整性保護的消息，該 消息具有包括在其中以在該移動通信設備上實施的參數值；使用存儲在該移 動通信設備上的預定值來代替所接收的參數值。另 一方面，本發明提供了 一種通過移動通信網絡使用無線接口來與移動 通信設備進行通信的方法，其中，向該移動通信設備發送完整性保護的和無 完整性保護的消息，該消息包括要在該移動通信設備上實施的參數值，該方 法包括步驟確保該移動通信設備使用參數的有效值，該有效值允許通過該 網絡的通信繼續進行。有益效果本發明提供了一種.易於實施且有效的防止對UE的拒絕服務攻擊的方法。


現在將參照附圖僅以示例的方式描述本發明的特定實施例，其中圖1示出了公知蜂窩網絡的典型結構；圖2示出了更詳細的公知UTRAN網全各結構；圖3示出了在UMTS內的公知的UE註冊和連接原理概要；圖4示出了導致完整性保護的無線接口的公知過程事件的序列；圖5示出了導致網絡拒絕UE第3層服務接入請求的事件的公知的序歹'J;圖6示出了描述為實施本發明的第 一 實施例而採取的步驟的流程圖。
具體實施方式
第一實施例下面將詳細描述本發明的第一實施例。當UE在無完整性保護的OTA 消息(如，ATTACH—REJECT或ROUTING—AREA—UPDATE—REJECT消息) 中接收到T3302參數的值時，UE不實施該參數值。相反，該UE使用已知 為安全的預定值。即，UE將使用下面二者中的一個A) 當前使用的T3302的值(諸如在先前接收到完整性保護的OTA消 息時實施的值)或者默認值(如果更新值未在先前由接收到的完整性保護的 OTA消息實施)；或者B) T3302的默認值。對實施選項A還是選項B進行選擇是預定選項，並且被內置在UE的軟 件中。該過程如圖6所示，其中在步驟S601， UE啟動該註冊過程。然後黑客 向該UE發送無完整性保護的消息，其包括T3302參數的值，如在步驟S603 中所示。在步驟S605， UE使用存儲在UE之內的T3302參數的預定值。 接著，根據在UE的軟體中所採用的解決方案，UE移動到步驟S607或 者步驟S609。對於選項A,在步驟S607, UE忽略該無完整性保護的消息中的T3302 的任何參數值，並使用其當前使用的參數值來代替。當前使用的參數值可以 是其默認值或當接收到前一個完整性保護的OTA消息時設置的值。對於選項B,在步驟S609, UE總是使用其用於T3302的默認參數值。然後，該過程在步驟S611結束。由於使用基於UE的解決方案來實施本發明的第一實施例，因此UE的 軟體需要升級。在將UE發送出去到客戶之前，可以升級新的UE。對於已 經在本領域操作的現有UE,引入該解決方案將需要召回這些UE或者進行 "空中下載"軟體升級。第二實施例將結合第 一 實施例來使用本發明的第二實施例。除了第一實施例的特徵之外，不允許網絡在任何無完整性保護的〇TA消息中提供T3302的值。如果在任何這樣的無完整性保護的O丁A消息中提 供這樣的更新(如，由黑客)，UE將不實施。即，UE將執行上述根據第一 實施例的方法。應當理解，為了實施該實施例，新網絡版本可以容易地採用該解決方案。 但是，對於現有的較早的網絡版本，必須對可操作網絡節點進行軟體修復。 如在第一實施例中所述，將需要對任何較早的UE軟體進行升級。第三實施例將結合如上所述的第一實施例來使用第三實施例。在本實施例中，要求 網絡在完成了註冊或註冊更新之後一直提供T3302的有效值。網絡不了解任何先前對T3302的參數值的成功攻擊，因此當UE連接到 網絡時，T3302的被破壞的值仍然可以被設置在UE中。因此，在本實施例中，在完成了註冊之後，網絡在向UE發送的 ATTACH—ACCEPT和ROUTING—AREA_UPDATE—ACCEPT消息中提供 T3302的有效的參數值。因此，即使在成功的註冊之前黑客已破壞了 UE的 T3302的版本並因此改變了定時器參數，真實的網絡在接受了註冊嘗試和/ 或註冊更新之後也將T3302中的參數值刷新為有效值。因為上述實施例要求網絡刷新UE中的可能被破壞的信息，因此必要的 改變完全在網絡方。因此，該實施例對於現有的可操作UE也是有效的。對 於這些可操作UE不需要任何升級。但是，現有的和新網絡都需要更新以實 施這些改變。應當理解，這裡僅以示例方式描述本發明的實施例，在不脫離本發明的 範圍的情況下，可以對本發明進行各種改變和修改。應當理解，可以將本發明擴展為覆蓋向UE發送的在無完整性保護的 OTA消息中的任何關鍵信息、定時器或參數，如果所述關鍵信息、定時器或 參數被黑客破壞，則會導致拒絕服務攻擊。應當理解，本發明可以應用於任何由移動通信設備接收的、不安全的消息
權利要求
1、一種在移動通信網絡中操作移動通信設備的方法，該方法包括由該移動通信設備執行的下述步驟接收無完整性保護的消息，該消息具有包括在其中的要在該移動通信設備上實施的參數值；使用存儲在該移動通信設備上的預定值來代替所接收到的參數值。
2、 如權利要求1所述的方法，其中，所述預定值是該移動通信設備的 該參數的默認值。
3、 如權利要求1所述的方法，其中，該預定值是該移動通信設備當前 正在使用的參數值。
4、 如權利要求1所述的方法，還包括步驟該網絡提供不具有所述參 數值的無完整性保護的消息。
5、 如權利要求1所述的方法，還包括步驟 一旦該移動通信設備完成 了註冊，則該網絡在完整性保護的消息中向該移動通信設備提供該參數值， 並且所述移動通信設備實施在該完整性保護的消息中接收的參數值。
6、 如權利要求1所述的方法，其中，該無完整性保護的消息包括與定 時器相關的參數值，所述定時器確定該移動通信設備在進一步嘗試將其自身 註冊到該網絡中之前必須等待多久。
7 、 一種通過移動通信網絡使用無線接口來與移動通信設備進行通信的 方法，其中，向該移動通信設備發送完整性保護的和無完整性保護的消息， 所述消息包括要在該移動通信設備上實施的參數值，該方法包括步驟確保該移動通信設備使用該參數的有效值，該有效值允許通過該網絡的 通信繼續進行。
8、 一種移動通信設備，適合於執行權利要求1到6中的任何一個所述 的方法。
全文摘要
一種在移動通信網絡中操作移動通信設備的方法，該方法包括由該移動通信設備執行的下述步驟接收無完整性保護的消息，該消息具有包括在其中的要在該移動通信設備上實施的參數值；使用存儲在該移動通信設備上的預定值來代替所接收到的參數值。
文檔編號H04L9/32GK101248616SQ200680031197
公開日2008年8月20日 申請日期2006年8月25日 優先權日2005年8月26日
發明者切恩-霍·欽, 馬克·羅利 申請人:三星電子株式會社