機器到機器的蜂窩通信安全性的制作方法

機器到機器的蜂窩通信安全性的制作方法
【技術領域】
[0001]本發明涉及用于在蜂窩網絡中操作的移動終端和服務器之間的通信的方法、移動終端以及蜂窩網絡的服務GPRS支持節點(SGSN)。
【背景技術】
[0002]常規地，蜂窩網絡被設計為包括一些安全性功能。在由第三代合作伙伴項目(3GPP)規定的GSM EDGE無線電接入網絡(GERAN)架構中，使用通用分組無線業務(GPRS)的去向和來自用戶設備(UE)(也被稱為移動站(MS))的分組交換業務通過該UE在其中操作的公共陸地移動網絡(PLMN)中的服務GPRS支持節點(SGSN)而被路由。在UE和SGSN之間支持對具有用于差錯檢測的循環冗余碼校驗(CRC)的用戶平面數據的加密。
[0003]越來越多地，蜂窩網絡被適配為促進其被機器到機器(M2M)類型設備的使用。這些設備通常被配置成與服務器進行通信，所述服務器在該設備(該設備通常包括被配置有對歸屬PLMN的預訂的UE)的歸屬PLMN中(例如，是該設備的歸屬PLMN的一部分)或者處于與該設備的歸屬PLMN的通信中。服務器可以處于與歸屬PLMN中的網關GPRS支持節點(GGSN)的通信中。在一些情況中，M2M設備將正在漫游，因此SGSN將處于受訪(Visited)PLMN中，而GGSN處于歸屬PLMN中。GPRS隧道協議(GTP)允許SGSN和GGSN之間的通信，并且因為通信通常發生在運營商管理的環境(通過PLMN內或者PLMN間)內，所以接口的安全性被視為足夠的。
[0004]然而，從應用級觀點，客戶可能不滿足以移動網絡內的安全性級別，特別是在SGSN和GGSN之間的加密或者完整性保護缺失的情況下。這在UE在其歸屬PLMN之外操作時可能是尤其有問題的。即便受訪SGSN和GGSN之間的鏈路可以被保護，但是依然存在MS和應用服務器之間的通信可能在受訪網絡中(例如，在受訪SGSN中)被攔截的風險，客戶可能不與所述受訪網絡具有契約關系。
[0005]在關于蜂窩物聯網(1T)的第三次GERAN電信會議中，強調了對于針對蜂窩1T應用的用戶數據和信令傳送(signalling)兩者的安全傳遞的需要。對于使用Gb接口(在基站子系統和SGSN之間)的方法而言，標識了在MS和SGSN之間不支持完整性保護，并且MS和SGSN之間的用戶平面安全性可能受益于更多的安全加密算法，諸如GEA4。然而，對于Gb接口架構方法和基于S1接口(在eNodeB和核心網之間)的選項兩者而言，用戶平面加密不擴展到GGSN/分組數據網(TON)網關(或者鄰近的MTC服務器)。
[0006]因此，客戶可以決定在他們的應用服務器和UE之間端到端地運行他們自身的應用層安全性機制。MS和應用服務器之間的端到端安全性協議(諸如數據報傳輸層安全性(DTLS))提供了不管通過無線電接入和蜂窩網絡域(包括歸屬網絡和受訪網絡兩者)內的安全性的性質如何都保護MS和蜂窩1T應用服務器之間的通信的一種方式。
[0007]支持現有的用于蜂窩1T設備的端到端安全性協議的主要缺點之一是在可以發送任何有用信息之前(常常是小的數據分組)需要在MS和應用服務器之間交換的安全性相關的信令傳送(例如，諸如DTLS握手之類的協議開銷)的量。信令傳送開銷不僅將減小無線電接入能力，而且更重要地將增大由M2M設備的能量消耗。這可能使得難以實現使設備以標準電池電力持續多年的目標。
[0008]因此，該方法將在可以傳輸任何有用應用數據之前添加大的水平的信令傳送開銷，除非該過程可以被優化。對于M2M類型應用，很可能的是，需要以相對長的時間間隔(例如，數小時或者甚至數天)發送僅僅小的數據分組。而且，預期的是，M2M數據將通過窄帶蜂窩系統使用小塊的譜以非常低的吞吐量能力傳輸。在信令傳送交換中不具有任何優化的情況下針對M2M應用引入端到端應用層安全性將向應該需要被傳輸以便傳達信息比特的信令傳送比特量添加大的開銷。這可能不僅影響系統的能力，而且更重要地可能影響被預期成靠電池電力操作多年的M2M設備的電池壽命。
[0009]因此，期望的是，蜂窩網絡中的安全性采用一種用以移除針對應用服務器和UE之間的端到端安全性的需要的有效方式來改進，或是開發一種減小用以建立UE和應用服務器之間的安全性的信令傳送開銷的經優化的端到端安全性機制。增強蜂窩網絡安全性框架以實現這些目的是有價值的。

【發明內容】

[0010]提供了根據權利要求1的用于促進對移動終端和服務器之間的通信的認證的方法、符合權利要求5的移動終端和服務器之間的經由蜂窩網絡的安全通信的方法、按照權利要求18的用于在蜂窩網絡中操作的移動終端以及按照權利要求19的蜂窩網絡的網絡實體。參考權利要求并且在以下描述中公開了其他優選特征。
[0011]HPLMN (其可以包括HLR/HSS、AuC或者代理)生成或者存儲針對UE的加密密鑰(CK)，并且當HPLMN向SGSN提供認證向量和/或關于CK的信息(其可以是CK本身)時，該信息不允許導出實際CK(例如，通過提供虛CK、隨機數據或者其中SGSN不能對其解碼的CK的加密版本)。這包括漫游和非漫游情況(也就是，其中受訪PLMN和歸屬PLMN是相同網絡或者不同網絡的情況)。現有系統認為重要的是，向SGSN提供CK (或者Kc以用于2G認證和密鑰協定)。
[0012]作為代替，CK可以用于在UE和非SGSN的服務器之間的加密通信。該加密可以在控制平面上和/或在用戶平面上(例如，在網絡層處)。從而，用于經由SGSN的分組交換服務上的加密的端點可以變為服務器。
【附圖說明】
[0013]本發明可以以許多方式被付諸實踐，并且現在將僅通過示例的方式并且參考附圖來描述優選實施例，在所述附圖中:
圖1描繪了蜂窩網絡實體的示意性圖示，解釋了 SGSN和GGSN之間的潛在用戶平面安全性間斷(gap);以及
圖2示出了圖示出本發明的各方面的蜂窩網絡架構的示意性示圖。
【具體實施方式】
[0014]首先參考圖1，描繪了蜂窩網絡實體的示意性圖示，解釋了 SGSN和GGSN之間的潛在用戶平面安全性間斷。如上文討論的，在移動站(MS) 200和SGSN 210之間存在安全鏈路205。這即便SGSN 210處于受訪PLMN中也是如此。在GGSN 220和應用服務器(AS)230(其可能特定于1T應用)之間也存在安全鏈路225。例如，GGSN 220和AS 230兩者可以都處于歸屬PLMN中。
[0015]然而，SGSN 210和GGSN 220之間的鏈路215可能不是安全的。這當SGSN 210是受訪SGSN時尤其如此，這是因為SGSN 210和GGSN 220是不同網絡的部分(也就是說，MS200正在漫游)。本公開內容意在解決由該潛在不安全的鏈路215所引起的問題。特別地，這可以通過針對蜂窩1T使用現有的端到端應用級安全性協議來解決問題。例如，可以可能的是，標識潛在的解決方案以在不具有由端到端應用級協議招致的開銷的情況下，建立MS 200和SGSN 210之間的完整性保護以及MS 200和GGSN 220和/或AS 230之間的用戶平面加密。
[0016]現在參考圖2，示出了蜂窩網絡架構的示意性示圖。這包括:受訪PLMN (VPLMN)10 ;以及歸屬PLMN (HPLMN)50o僅僅出于抽象的目的示出了該區別，并且將理解的是，在一些情況下，HPLMN 50和VPLMN 10可以是相同的網絡和/或具有相同的運營商。
[0017]在VPLMN 10中，示出了:UE 20 ;以及SGSN 30。在HPLMN 50中，示出了:歸屬位置寄存器/歸屬訂戶服務器(HLR/HSS)60 ;GGSN 70;以及服務器80。GGSN 70可以附加地或者可替換地是分組數據網絡網關(PDN-GW，未示出)。UE 20意在與服務器80進行單向或者雙向的通信。服務器80可以形成GGSN 70的部分或者處于與GGSN 70的通信中。雖然服務器80被示出為位于HPLMN 50中，但是這僅僅是示意性的，并且可能是或者可能不是該情況。可以在HPLMN 50中的一個或者多個網絡實體(諸如GGSN 70)和服務器80之間提供安全通信基礎結構。SGSN 30可以由具有對應的或者類似的功能的網絡實體代替，但是為了簡單起見，這樣的網絡實體可以被視為SGSN或者等價物。
[0018]實際上，VPLMN 10和HPLMN 50兩者都將包括另外的網絡實體和接口，但是示出了簡化示圖圖1以促進下文呈現的接口和消息的較容易理解。現在，將參考圖1來討論許多特定方面，特別地，以示出特定接口和消息。
[0019]UE和SGSN之間的密碼完整件保護
常規地，UE 20和SGSN 30之間的接口 100 (GPRS中的LLC層)支持加密和24比特循環冗余校驗(CRC)。這意在保護從第三方對數據的可見性并且意在檢測隨機比特差錯或者其他破壞(例如由于干擾而引起的)。CRC比特在接口 100上經由邏輯鏈路控制(LLC)層傳送，其在差錯是可容忍的情況下將幀與警告一同通過，或者在準確度是危險的(critical)情況下丟棄該幀。差錯校正是不可能的，并且有意操縱比特流可能不是可檢測的。的確，SGSN 30 (LLC層處)不執行差錯校正。LLC層在差錯是可容忍的情況下將幀與警告一同通過，或者在準確度是危險的情況下丟棄該幀。CRC可以檢測隨機比特差錯，但是不能應付對比特流的有意操縱。的確，現有的GPRS加密也無法防止有意操縱。其只不過使得攻擊者難以看到他們正在操縱什