CN101248616A - 移动通信网络中的移动通信安全方法及其设备 - Google Patents
移动通信网络中的移动通信安全方法及其设备 Download PDFInfo
- Publication number
- CN101248616A CN101248616A CNA2006800311979A CN200680031197A CN101248616A CN 101248616 A CN101248616 A CN 101248616A CN A2006800311979 A CNA2006800311979 A CN A2006800311979A CN 200680031197 A CN200680031197 A CN 200680031197A CN 101248616 A CN101248616 A CN 101248616A
- Authority
- CN
- China
- Prior art keywords
- mobile communication
- communication equipment
- message
- network
- integrity protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000010295 mobile communication Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 29
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/125—Protection against power exhaustion attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种在移动通信网络中操作移动通信设备的方法,该方法包括由该移动通信设备执行的下述步骤:接收无完整性保护的消息,该消息具有包括在其中的要在该移动通信设备上实施的参数值;使用存储在该移动通信设备上的预定值来代替所接收到的参数值。
Description
技术领域
本发明涉及移动通信,更具体地,涉及对与通过移动通信网络向移动通信设备发送的不安全的无线接口消息有关的安全问题的改进。
背景技术
本发明不限于通用移动通信系统(UMTS),其同样可以应用于全球移动通信系统/通用分组无线业务网络(GSM/GPRS),或者实际上可以应用于其它任何通信网络。
图1示出了诸如通用移动通信系统(UMTS)的蜂窝无线系统的典型结构。该UMTS包括移动用户设备(UE)、无线接入网(RAN)以及一个或多个核心网络(CN)。UMTS是使用宽带码分多址(W-CDMA)技术的第三代无线系统。
图2示出了包括基站和无线网络控制器/基站控制器(RNC/BSC)的无线接入网的更详细结构。基站处理跨越无线接口的实际通信,其覆盖特定的地理区域,也称为小区。除了控制连接到其上的基站之外,RNC还包括诸如分配无线资源、本地移动性等的功能。RNC连接到:
-一个或多个核心网络,通过Iu接口,
-多个基站(在UTRAN的情况下为节点B的基站),通过Iub接口,以及
-可能一个或多个其它RNC,通过Iur接口。
图3提供了在具有电路交换(CS)服务域和分组交换(PS)服务域的UMTS之内的UE注册和连接原理的概要图。可以在第三代合作伙伴项目(3GPP)网站http://www.3gpp.org/上的文档“3GPP TS 33.102 SecurityArchitecture”中找到其细节。用户(临时的)识别、认证和密钥协商在每个服务域内独立发生。使用为相应的服务域协商的加密(cipher)密钥将用户层面业务加密,而使用来自这些服务域中的任一个的加密和完整性密钥将控制层面数据加密并进行完整性保护。
CS域和PS域单独地并且异步地建立其与UE的对等侧的安全上下文(context)。最简单的形式,可以认为该安全上下文是通过运行认证过程而建立的,该认证过程产生相关的并且属于该安全上下文的安全密钥。该认证过程是可选的,其执行是网络的决定。该认证过程以及从认证过程得到的安全上下文不能确保无线接口的安全性。为了确保无线接口的安全,需要执行安全设置过程。该安全设置过程确保通过该无线接口发送的任何消息都是安全的。
图4提供了对于普通第3层服务请求发生的事件的协议序列的简化示意图。图4的最左边提供了导致设置完整性从而确保“空中下载(OTA)”发送的消息是完全安全的过程的序列图。直到完成该安全设置过程并激活完整性保护,该OTA消息才是安全的。
在步骤1,UE和服务无线网络控制器(SRNC)建立RRC连接。这包括传递UE安全能力和RRC级别的受限安全参数。在步骤2,SRNC存储该受限安全参数和UE安全能力。在步骤3,向访问者位置寄存器/服务GPRS支持节点(VLR/SGSN)发送具有用户身份、密钥序列等的“初始第3层(L3)消息”。
作为应答,在步骤4,VLR/SGSN向UE转发认证密钥产生。步骤4是可选步骤,其可以由或可以不由网络运行。在步骤5,VLR/SGSN对所需要的完整性和加密做出决定。在步骤6,VLR/SGSN通过向SRNC发送消息来请求设置安全性。在步骤7,SRNC通过向UE发送消息来启动该安全过程。在步骤8,UE通过向SRNC回送消息来完成该安全过程。在步骤9,SRNC向VLR/SGSN再发送回消息来完成该安全设置。在步骤10,第3层服务可以在UE和SGSN之间进行。
可以在3GPP TS 24.008移动无线接口第3层规范、核心网络协议、第3级和3GPP TS 25.133无线资源控制(RRC)协议规范中找到其具体细节,它们都可以在第三代伙伴项目(3GPP)网站http://www.3gpp.org/上找得到。
在图4中,突出显示了步骤4(认证过程)是可选过程。网络基于本说明书中未示出的几个参数来决定是否运行该步骤。然而,应当注意,不管网络是否运行该认证,只要在UE和网络之间存在安全上下文,就仍然能够发生启动OTA(空中下载)消息的完整性保护的安全设置过程。
图5示出了不被网络接受(因而被拒绝)的第3层请求事件的协议序列。不管所请求的第3层服务是用于建立呼叫或会话还是用于将UE注册到网络,该拒绝序列都相同。
在步骤1,UE和服务无线网络控制器(SRNC)建立RRC连接。这包括传递UE安全能力和RRC级别的受限安全参数。在步骤2,SRNC存储该受限安全参数和UE安全能力。在步骤3,向访问者位置寄存器/服务GPRS支持节点(VLR/SGSN)发送具有用户身份、密钥序列等的“初始第3层(L3)消息”。
在步骤4,VLR/SGSN检查第3层请求的有效性。如果该请求是不可被接受的,则在步骤5,VLR/SGSN拒绝该请求。通过网络向UE发生该请求拒绝,且不采取完整性保护。
基于上述系统,黑客、或者用通用移动通信系统(UMTS)的行话来说是“假基站”可以通过在通过无线接口向移动通信设备发送的无完整性保护的消息内提供假信息来引起对UE的服务攻击。这些攻击可能引起对移动用户的“拒绝服务”(DoS)。
在UMTS以及之前的GSM/GPRS之内并入的是UE之内的定时器,其抑制了在注册过程异常故障之后对于PS域的随后的自动注册尝试。在该系统中将该定时器指定为定时器T3302。
T3302具有12分钟的默认值,从开机时开始使用该默认值,直到指定了该参数的不同值为止。可以在ATTACH_ACCEPT、ATTACH_REJECT、ROUTING_AREA_UPDATE_ACCEPT和
ROUTING_AREA_UPDATE_REJECT消息中为UE指定T3302的不同值。
给T3302指定的值在2秒和3小时6分钟之间。可选择地,可以将T3302参数指示为“无效”。设置T3302为“无效”的结果是禁止在注册过程“异常故障”之后对于PS域的进一步注册尝试。
下面定义“异常故障”。当网络拒绝移动NAS第3层请求时,网络在系统中提供原因,这被称为拒绝原因。该拒绝原因将通知UE其下一步将、应当或可以怎样做。如果UE不明白拒绝原因,则该原因可以被术语化为异常情况,并且将由这些异常情况导致的故障术语化为异常故障。异常情况也包括:a)下层(如,无线故障);b)过程超时(如,CN无响应);c)由于UE所不期望的原因导致的CN拒绝(例如,如果在网络较新版本中,遗留UE处于激活状态,如,版本98的CN向为GSM第2阶段规范而建的UE发送新的拒绝原因#14)。
如果没有允许进一步的注册尝试,则拒绝向UE服务,直到发生下述动作中的一个:
a)用户发起手动请求(例如,手动请求PS服务);或者b)UE经过了一个电力循环(也即,用户关掉该单元然后又开启该单元);或者c)路由区域发生物理改变(例如,UE从一个小区移动到另一个小区)。
UE从开机开始使用T3302默认值,并且继续使用该默认值直到T3302被指定了一个不同的值。
对于已注册到网络的UE还可能存在问题。即,未注册的各个UE做出的网络注册尝试的数量的增加可能导致增加那些已经注册的UE的无线噪声。同样,由于噪声的增加,已注册的UE可能发生服务损失,和/或由于大量的注册请求,可能发生带宽损失。
未受保护的空中下载(OTA)消息的危险是公知的。因此,除了加密保护之外,UMTS具有设计在其中的完整性保护。此外,UMTS具有严格的认证规则和详细的完整性和加密算法,并且也进行检查以允许移动用户验证网络是真实的。这些安全方面的例子可以在第三代合作伙伴项目(3GPP)网站http://www.3gpp.org/上的文档TS33.102和24.008中找到。
为了在UMTS中保护OTA消息,必须执行完整性保护。在可选地运行了认证和密钥协商(AKA)过程之后开始该完整性保护。尽管不必要在每次UE接入网络的时候运行AKA,但是必须在每次UE接入网络的最早可能的时机开始完整性保护。因此,一旦网络和UE运行完整性保护,则可以在UMTS中仅应用安全方面,从而使得OTA消息是安全的。
在UMTS中,一旦核心网络(CN)已接收到并处理了真实的第一条NAS(非接入层)第3层消息,并且发现NAS第3层请求是可接受的且CN对这个NAS第3层请求消息进行下一步的处理,则CN启动完整性保护,。如果CN发现UE的第一个NAS第3层请求消息是不可接受的,则CN通过以ATTACH_REJECT或ROUTING_AREA_UPDATE_REJECT消息的形式发送拒绝消息来拒绝该UE。启动OTA消息的完整性保护的安全过程未被开始,因为如果拒绝了对CN的服务请求,则认为启动安全是不必要的,因为期望终止UE和网络间的收发。这意味着未受到完整性保护的向移动用户发送的OTA拒绝消息是不安全的。
此外,拒绝消息ATTACH_REJECT和ROUTING_AREA_UPDATE_REJECT中的T3302定时器参数可能被操纵,以引起对UE的拒绝服务攻击。通过拦截来自网络的拒绝消息并随后破坏该T3302定时器参数可能发生上述情况。但是,更有可能的是,潜在的黑客会构建一个完整的假拒绝消息(ATTACH_REJECT或ROUTING_AREA_UPDATE_REJECT)并将其发送给UE。
因此,黑客可以通过操纵在无完整性保护的ATTACH_REJECT或ROUTING_AREA_UPDATE_REJECT消息中的参数来引起对任何UMTS移动设备的拒绝服务攻击。
最坏的情况,如上所述,该拒绝服务攻击可以锁定移动设备使其不能接收PS服务,直到UE物理地移动、用户启动了PS服务的特定请求或用户执行了电源重启。
在版本5以下的GSM/GPRS和UMTS中,系统被设计为具有处理循环,从而异常故障的注册过程尝试将被重复。由定时器(除了T3302之外的)和UE在网络内的移动来控制注册重复。在T3302开始之前,UE将尝试该注册过程5次。
因此,在UMTS版本5以下中,统计上很可能是:如果任何注册拒绝和其信息被黑客破坏,则其将由下一个真实的注册拒绝来更新,或由成功注册或注册更新来变为不相关。但是,网络不必刷新T3302中的任何被破坏的参数,因为网络为T3302提供参数是可选的。此外,网络不能确定黑客是否已预先提供了对于T3302的破坏值。因此,当注册过程的重复快要结束时,将应用未被更新的被破坏的T3302。同样,该被破坏的T3302将在下次移动设备进入不得不再次开始T3302的情况时使用。
该现有解决方案的一个问题在于,假定每次发生异常情况都算作注册过程尝试的失败,则黑客可以通过“强加”5次连续的异常故障的发生而结束整个注册过程处理循环,从而引起T3302启动。
NAS规范的版本6的变化采用了回避现有解决方案的方式,以致加剧了上述问题。在UMTS版本6中,在启动定时器T3302之前存在相同的重复注册过程5次的内在解决方案。因此也同样存在真实的网络更新被破坏的T3302参数的可能性。但是,与版本6之前的UMTS相同,不能保证网络将更新T3302且网络不知道黑客已破坏了T3302。
同样,如果UE接收到特定的拒绝原因,则NAS规范的版本6的变化允许重复的注册过程循环立即结束。对版本6的这些变化可以在上面指出的3GPP网站的Tdoc N1-041602中找到。
因此,黑客不仅可以破坏T3302的系统值,而且可以在被破坏的T3302被改变之前,提供迫使移动设备停止进一步自动注册尝试的拒绝原因。
发明内容
技术问题
本发明的目的是克服或至少消除前述问题中的一些或全部。
技术方案
一方面,本发明提供了一种在移动通信网络中操作移动通信设备的方法,该方法包括由移动通信设备执行的步骤:接收无完整性保护的消息,该消息具有包括在其中以在该移动通信设备上实施的参数值;使用存储在该移动通信设备上的预定值来代替所接收的参数值。
另一方面,本发明提供了一种通过移动通信网络使用无线接口来与移动通信设备进行通信的方法,其中,向该移动通信设备发送完整性保护的和无完整性保护的消息,该消息包括要在该移动通信设备上实施的参数值,该方法包括步骤:确保该移动通信设备使用参数的有效值,该有效值允许通过该网络的通信继续进行。
有益效果
本发明提供了一种易于实施且有效的防止对UE的拒绝服务攻击的方法。
附图说明
现在将参照附图仅以示例的方式描述本发明的特定实施例,其中:
图1示出了公知蜂窝网络的典型结构;
图2示出了更详细的公知UTRAN网络结构;
图3示出了在UMTS内的公知的UE注册和连接原理概要;
图4示出了导致完整性保护的无线接口的公知过程事件的序列;
图5示出了导致网络拒绝UE第3层服务接入请求的事件的公知的序列;
图6示出了描述为实施本发明的第一实施例而采取的步骤的流程图。
具体实施方式
第一实施例
下面将详细描述本发明的第一实施例。当UE在无完整性保护的OTA消息(如,ATTACH_REJECT或ROUTING_AREA_UPDATE_REJECT消息)中接收到T3302参数的值时,UE不实施该参数值。相反,该UE使用已知为安全的预定值。
即,UE将使用下面二者中的一个:
A)当前使用的T3302的值(诸如在先前接收到完整性保护的OTA消息时实施的值)或者默认值(如果更新值未在先前由接收到的完整性保护的OTA消息实施);或者
B)T3302的默认值。
对实施选项A还是选项B进行选择是预定选项,并且被内置在UE的软件中。
该过程如图6所示,其中在步骤S601,UE启动该注册过程。然后黑客向该UE发送无完整性保护的消息,其包括T3302参数的值,如在步骤S603中所示。
在步骤S605,UE使用存储在UE之内的T3302参数的预定值。
接着,根据在UE的软件中所采用的解决方案,UE移动到步骤S607或者步骤S609。
对于选项A,在步骤S607,UE忽略该无完整性保护的消息中的T3302的任何参数值,并使用其当前使用的参数值来代替。当前使用的参数值可以是其默认值或当接收到前一个完整性保护的OTA消息时设置的值。
对于选项B,在步骤S609,UE总是使用其用于T3302的默认参数值。
然后,该过程在步骤S611结束。
由于使用基于UE的解决方案来实施本发明的第一实施例,因此UE的软件需要升级。在将UE发送出去到客户之前,可以升级新的UE。对于已经在本领域操作的现有UE,引入该解决方案将需要召回这些UE或者进行“空中下载”软件升级。
第二实施例
将结合第一实施例来使用本发明的第二实施例。
除了第一实施例的特征之外,不允许网络在任何无完整性保护的OTA消息中提供T3302的值。如果在任何这样的无完整性保护的OTA消息中提供这样的更新(如,由黑客),UE将不实施。即,UE将执行上述根据第一实施例的方法。
应当理解,为了实施该实施例,新网络版本可以容易地采用该解决方案。但是,对于现有的较早的网络版本,必须对可操作网络节点进行软件修复。
如在第一实施例中所述,将需要对任何较早的UE软件进行升级。
第三实施例
将结合如上所述的第一实施例来使用第三实施例。在本实施例中,要求网络在完成了注册或注册更新之后一直提供T3302的有效值。
网络不了解任何先前对T3302的参数值的成功攻击,因此当UE连接到网络时,T3302的被破坏的值仍然可以被设置在UE中。
因此,在本实施例中,在完成了注册之后,网络在向UE发送的ATTACH_ACCEPT和ROUTING_AREA_UPDATE_ACCEPT消息中提供T3302的有效的参数值。因此,即使在成功的注册之前黑客已破坏了UE的T3302的版本并因此改变了定时器参数,真实的网络在接受了注册尝试和/或注册更新之后也将T3302中的参数值刷新为有效值。
因为上述实施例要求网络刷新UE中的可能被破坏的信息,因此必要的改变完全在网络方。因此,该实施例对于现有的可操作UE也是有效的。对于这些可操作UE不需要任何升级。但是,现有的和新网络都需要更新以实施这些改变。
应当理解,这里仅以示例方式描述本发明的实施例,在不脱离本发明的范围的情况下,可以对本发明进行各种改变和修改。
应当理解,可以将本发明扩展为覆盖向UE发送的在无完整性保护的OTA消息中的任何关键信息、定时器或参数,如果所述关键信息、定时器或参数被黑客破坏,则会导致拒绝服务攻击。
应当理解,本发明可以应用于任何由移动通信设备接收的、不安全的消息。
Claims (8)
1、一种在移动通信网络中操作移动通信设备的方法,该方法包括由该移动通信设备执行的下述步骤:
接收无完整性保护的消息,该消息具有包括在其中的要在该移动通信设备上实施的参数值;
使用存储在该移动通信设备上的预定值来代替所接收到的参数值。
2、如权利要求1所述的方法,其中,所述预定值是该移动通信设备的该参数的默认值。
3、如权利要求1所述的方法,其中,该预定值是该移动通信设备当前正在使用的参数值。
4、如权利要求1所述的方法,还包括步骤:该网络提供不具有所述参数值的无完整性保护的消息。
5、如权利要求1所述的方法,还包括步骤:一旦该移动通信设备完成了注册,则该网络在完整性保护的消息中向该移动通信设备提供该参数值,并且所述移动通信设备实施在该完整性保护的消息中接收的参数值。
6、如权利要求1所述的方法,其中,该无完整性保护的消息包括与定时器相关的参数值,所述定时器确定该移动通信设备在进一步尝试将其自身注册到该网络中之前必须等待多久。
7、一种通过移动通信网络使用无线接口来与移动通信设备进行通信的方法,其中,向该移动通信设备发送完整性保护的和无完整性保护的消息,所述消息包括要在该移动通信设备上实施的参数值,该方法包括步骤:
确保该移动通信设备使用该参数的有效值,该有效值允许通过该网络的通信继续进行。
8、一种移动通信设备,适合于执行权利要求1到6中的任何一个所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0517484A GB2429607B (en) | 2005-08-26 | 2005-08-26 | Improvements in mobile telecommunication security |
| GB0517484.2 | 2005-08-26 | ||
| PCT/KR2006/003362 WO2007024121A1 (en) | 2005-08-26 | 2006-08-25 | Method for mobile telecommunication security in a mobile communication network and therefor device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101248616A true CN101248616A (zh) | 2008-08-20 |
| CN101248616B CN101248616B (zh) | 2013-04-03 |
Family
ID=35198460
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800311979A Active CN101248616B (zh) | 2005-08-26 | 2006-08-25 | 移动通信网络中的移动通信安全方法及其设备 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7991387B2 (zh) |
| EP (1) | EP1932276B1 (zh) |
| CN (1) | CN101248616B (zh) |
| ES (1) | ES2728572T3 (zh) |
| GB (1) | GB2429607B (zh) |
| RU (1) | RU2380833C2 (zh) |
| WO (1) | WO2007024121A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8130705B2 (en) | 2006-09-15 | 2012-03-06 | Qualcomm Incorporated | Method and apparatus for service capability modification |
| US8891458B2 (en) * | 2007-12-05 | 2014-11-18 | Qualcomm Incorporated | User equipment capability update in wireless communications |
| US8515436B2 (en) * | 2008-03-27 | 2013-08-20 | Qualcomm Incorporated | Management of wireless connections |
| RU2416176C2 (ru) * | 2008-12-30 | 2011-04-10 | Общество с ограниченной ответственностью "КуБ" | Децентрализованная информационно-телекоммуникационная сеть с идентификацией элементов по их местоположению, коммутируемый канал связи и устройство для работы такой сети |
| US8331327B1 (en) * | 2009-08-04 | 2012-12-11 | Sprint Communications Company L.P. | Dynamic wireless network registration window |
| US9232441B2 (en) * | 2009-08-31 | 2016-01-05 | Qualcomm Incorporated | Power based rate selection |
| US8406202B2 (en) | 2010-04-28 | 2013-03-26 | Htc Corporation | Apparatuses and methods for handling timers for routing area (RA) update procedures or attachment procedures without integrity protection |
| CN101925050B (zh) * | 2010-08-19 | 2014-12-03 | 华为技术有限公司 | 一种安全上下文的生成方法及装置 |
| US8620317B2 (en) * | 2011-02-16 | 2013-12-31 | Htc Corporation | Method and apparatus for communicating network features during a routing area update procedure |
| CN103797435B (zh) * | 2011-07-06 | 2017-05-31 | 瑞典爱立信有限公司 | 用于控制两个集成电路之间的事务交换的方法 |
| US9179402B2 (en) | 2013-07-29 | 2015-11-03 | Qualcomm Incorporated | Apparatus and methods for service acquisition when moving in and out of fourth generation (4G) networks with different circuit-switched fallback (CSFB) support |
| US9794751B1 (en) | 2015-07-28 | 2017-10-17 | Samsung Electronics Co., Ltd. | Method for avoiding resource wastage while detecting location identifiers mismatch |
| US11374941B2 (en) * | 2015-11-02 | 2022-06-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communications |
| US10334435B2 (en) * | 2016-04-27 | 2019-06-25 | Qualcomm Incorporated | Enhanced non-access stratum security |
| CN106851654B (zh) * | 2017-04-13 | 2020-08-18 | Oppo广东移动通信有限公司 | 伪基站识别方法、装置及终端 |
| CN107071779A (zh) * | 2017-04-13 | 2017-08-18 | 广东欧珀移动通信有限公司 | 伪基站识别方法、装置及终端 |
| WO2019004901A1 (en) * | 2017-06-26 | 2019-01-03 | Telefonaktiebolaget Lm Ericsson (Publ) | CONTROL SIGNALING IN A WIRELESS COMMUNICATION SYSTEM TO PREVENT ATTACKS DEPENDING INTEGRITY AND TIMER PROTECTION RULES |
| CN113519174B (zh) * | 2019-03-01 | 2024-06-04 | 联想(新加坡)私人有限公司 | 用户设备认证 |
| WO2020212202A1 (en) * | 2019-04-15 | 2020-10-22 | Nokia Technologies Oy | Counteractions against suspected identity imposture |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2150790C1 (ru) | 1994-10-27 | 2000-06-10 | Интернэшнл Бизнес Машинз Корпорейшн | Способ и устройство для защищенной идентификации мобильного пользователя в сети связи |
| FI102936B (fi) * | 1996-03-04 | 1999-03-15 | Nokia Telecommunications Oy | Pakettimuotoisen lähetyksen turvallisuuden parantaminen matkaviestinjä rjestelmässä |
| FI112315B (fi) * | 1999-05-11 | 2003-11-14 | Nokia Corp | Integriteetin suojausmenetelmä radioverkkosignalointia varten |
| FI111423B (fi) * | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
| FR2843522B1 (fr) * | 2002-08-12 | 2004-10-15 | Evolium Sas | Procede pour la protection d'integrite de messages transmis dans un systeme de radiocommunications mobiles |
| KR100956823B1 (ko) * | 2003-02-11 | 2010-05-11 | 엘지전자 주식회사 | 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법 |
| US7181196B2 (en) | 2003-05-15 | 2007-02-20 | Lucent Technologies Inc. | Performing authentication in a communications system |
| US8351914B2 (en) * | 2003-08-29 | 2013-01-08 | Sony Mobile Communications Ab | Method and system for registration of licensed modules in mobile devices |
| WO2005079035A1 (en) | 2004-02-11 | 2005-08-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Security within ss7 networks |
-
2005
- 2005-08-26 GB GB0517484A patent/GB2429607B/en not_active Expired - Fee Related
-
2006
- 2006-08-25 ES ES06783749T patent/ES2728572T3/es active Active
- 2006-08-25 EP EP06783749.2A patent/EP1932276B1/en active Active
- 2006-08-25 WO PCT/KR2006/003362 patent/WO2007024121A1/en active Application Filing
- 2006-08-25 CN CN2006800311979A patent/CN101248616B/zh active Active
- 2006-08-25 US US12/064,921 patent/US7991387B2/en active Active
- 2006-08-25 RU RU2008106891/02A patent/RU2380833C2/ru active
Also Published As
| Publication number | Publication date |
|---|---|
| US7991387B2 (en) | 2011-08-02 |
| WO2007024121A1 (en) | 2007-03-01 |
| RU2380833C2 (ru) | 2010-01-27 |
| EP1932276B1 (en) | 2019-03-06 |
| EP1932276A4 (en) | 2016-11-23 |
| GB0517484D0 (en) | 2005-10-05 |
| CN101248616B (zh) | 2013-04-03 |
| EP1932276A1 (en) | 2008-06-18 |
| RU2008106891A (ru) | 2009-08-27 |
| GB2429607A (en) | 2007-02-28 |
| ES2728572T3 (es) | 2019-10-25 |
| GB2429607B (en) | 2010-02-10 |
| US20090017863A1 (en) | 2009-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101248616B (zh) | 移动通信网络中的移动通信安全方法及其设备 | |
| CN110945886B (zh) | 无线通信网络中检测漫游活动的反引导的方法和系统 | |
| EP3777021B1 (en) | Subscriber identity privacy protection against fake base stations | |
| TWI774956B (zh) | 禁用之公用陸地移動網路清單增強處理方法及其使用者設備 | |
| US10462667B2 (en) | Method of providing mobile communication provider information and device for performing the same | |
| JP5579938B2 (ja) | ローミングネットワークにおけるアクセス端末識別情報の認証 | |
| JP3964677B2 (ja) | ユニバーサル携帯電話サービスにおけるセキュリティ手順 | |
| US9706512B2 (en) | Security method and system for supporting re-subscription or additional subscription restriction policy in mobile communications | |
| KR101475349B1 (ko) | 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치 | |
| EP2932676B1 (en) | Authenticating public land mobile networks to mobile stations | |
| EP2561657B1 (en) | Method and apparatus for network personalization of subscriber devices | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| CN101505479B (zh) | 一种认证过程中安全上下文协商方法和系统 | |
| CN111788839A (zh) | 用户身份隐私保护和网络密钥管理 | |
| CN102457844A (zh) | 一种m2m组认证中组密钥管理方法及系统 | |
| CN115516887A (zh) | 在独立非公共网络中载入设备 | |
| CN106658349B (zh) | 用于自动生成与更新共享密钥的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |