CN101810017B - 下一代移动网络中的选择性的安全性终止 - Google Patents
下一代移动网络中的选择性的安全性终止 Download PDFInfo
- Publication number
- CN101810017B CN101810017B CN200880109175.9A CN200880109175A CN101810017B CN 101810017 B CN101810017 B CN 101810017B CN 200880109175 A CN200880109175 A CN 200880109175A CN 101810017 B CN101810017 B CN 101810017B
- Authority
- CN
- China
- Prior art keywords
- radio network
- base station
- cipher
- mobile radio
- termination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提出了在移动网络中选择性地终止安全性的系统和/或方法。用户设备(UE)可以指定用于对到移动网络中的基站的数据分组进行加密/解密的加密终止位置能力。所述移动网络可以根据所提供的能力随后来判断在网络中的哪个节点中终止加密,并且将所确定的位置递送给UE。所确定的加密终止位置可以响应于开始通信的请求来提供,所述开始请求可以指定这些能力。UE可以利用位置来支持不同类型的网络并且智能地处理移动网络的切换和其他功能。
Description
背景技术
移动通信和因特网是过去飞速发展的两个领域。在发展中,这两个领域看起来在作为不同思路的不同方向上发展;然而,因特网在许多方面已经变成一种通信系统,辅助高质量的音频甚至视频会议。为此,因特网已经开始融合到电话/语音通信领域。类似地,通过提供能够接入因特网的无线移动装置,电话在被因特网技术主导之后,开始融合到信息世界中。由于这两种技术的不一致,网络正在从一端向适应另一端的通信发展。
一种这样的网络是第三代(3G)广域蜂窝电话网络,其提供强健的功能,例如,除了提供广域蜂窝电话服务之外还提供宽带无线数据访问等。在该网络中也存在某些基础结构改进,例如,加密。之前的蜂窝电话网络在基站处终止加密计算(ciphering)(从而仅加密从手机到基站的语音,在基站处为恶意用户提供渗透点),而3G将加密终止推进到网络中更集中的节点,从而提供增强的安全性(security)。全球微波互操作接入(WiMAX,基于IEEE标准802.16)是出现的另一种宽带无线接入解决方案,其包括部署无线城域网(WMAN)来创建具有达31英里的服务跨距的无线接入环境。WiMAX还向蜂窝电话提供可操作性来提供通过因特网的语音服务,例如通过因特网协议的语音(VoIP)。WiMAX利用可扩展认证协议(EAP)来将分组从诸如手机之类的装置递送直至归属网络,通常通过使用认证、授权和计费(AAA)协议来进行端对端隧道传送,因此在基站处终止加密计算,因为AAA协议可以保护在WiMAX核心网络内的数据。
附图说明
图1图示出根据一个实施例的辅助选择性地终止移动网络安全性的示例系统。
图2图示出根据一个实施例的辅助在第三代(3G)网络中选择性地终止安全性的示例系统。
图3还图示出根据一个实施例的辅助选择性地终止全球微波互操作接入(WiMAX)网络安全性的另一示例系统。
图4图示出根据一个实施例的示例协议规范。
图5图示出根据一个实施例的辅助在集中节点处终止移动网络安全性的示例系统。
图6图示出根据一个实施例的辅助在基站终止移动网络安全性的示例系统。
图7图示出根据一个实施例的辅助指定加密终止性能并接收加密位置的示例方法的流程图。
图8图示出根据一个实施例的辅助选择加密终止位置的示例方法的流程图。
图9图示出根据一个实施例的辅助切换期间的加密状态判断的示例方法的流程图。
图10是图示出合适的操作环境的示例的示意框图。
图11是图示出样本计算环境的示例的示意框图。
具体实施方式
概述
以下介绍说明书的简化概述,以提供对本技术某些方面的基本理解。该概述不是本主题公开的广泛概述。其并不是意欲标识本主题公开的关键/重要的元素或描绘本技术的范围。其唯一目的是以简化的形式介绍本技术的某些概念来作为稍后介绍的更详细描述的前奏。
在这里公开的技术的一个实施例中,该技术包括在移动网络中的不同节点处操作的加密能力和位置组件,其中这些节点可以确定加密计算将终止于该网络中的哪一点。例如,诸如手机之类的用户设备(UE)可以包括加密能力组件,加密能力组件可以确定所述UE可以处理的加密终止的点,并且该移动网络中的节点可以包括加密位置组件。UE可以通过初始发送对通信消息的请求来开始与移动网络的会话;该消息可以包括有关相对于UE的一个或多个加密终止位置的能力的信息。移动网络的加密位置组件节点(或例如包括该组件或其功能的节点)可以基于UE能力来针对移动网络中的加密选择终止位置。此外,当进行决策时还可以考虑其他因素,例如移动网络偏好、UE偏好、UE之前的配置(例如,在不同移动网络中或在相同或不同网络中的不同基站中)等。当位置被确定时,移动网络可以向UE发回消息,该消息包括有关所选择的加密终止位置的信息。随后,UE与移动网络之间的通信像正常一样开始。
在另一实施例中,UE可以与具有不同体系架构的移动网络通信并且在他们之间切换,具有不同体系架构的移动网络具有不同的加密终止位置。因此,UE可以将其能力提供到可用的移动网络,并且如果移动网络可以在UE的相兼容的位置中终止加密,则这两个节点可以通信。
在所公开的主题的另一实施例中,加密终止位置例如可以被UE用来确定在移动模式中切换至另一基站所必须的步骤。例如,当从一个基站切换到另一个时,如果加密计算被终止于比新基站更集中的节点,并且旧基站具有相同集中的终止点,则UE可以判定在新位置中不需要对加密进行重新协商。在加密是集中的或UE正被切换至具有不同体系架构/加密终止位置的网络时,UE可以知道要对加密进行重新协商并开始或继续通信。
为了前述和有关目的的完成,在这里结合以下描述和附图来描述某些说明性方面。然而,这些方面仅仅指示该技术的基本原理可以采用的几种方式,并且本主题说明书意欲包括所有这样的方面及其等同物。结合附图进行考虑,从以下详细描述中,该技术的其他优点和特征将变得显而易见。
示例实施例
现在参考附图来描述该技术,其中始终用类似的标号来指代类似的元件。在以下描述中,为了说明的目的,阐述了大量细节来提供对这些特征和功能的透彻理解。然而,显然可以在没有这些特定细节的情况下实行该技术。在其它实例中,以框图形式示出了公知的结构和装置,以辅助描述这些特征和功能。
由于基础策略和技术的差异,移动网络体系架构在某些方面已经出现分歧。具体而言,诸如全球微波互操作接入(WiMAX)之类的网络在基站级终止加密计算来提供该终止的分布(至少具有让装置和基站限定它们自己的加密方案的这一优点)。依靠该设计,WiMAX能够依赖其它安全性措施来保护从基站到移动网络的控制器和/或其它组件的数据。一种这样的保护是采用辅助安全性功能以保护在基站与更集中的位置之间的链路。另一方面,第三代(3G)网络在网络中集中的位置终止用户平面加密计算以保证加密完整性,直到数据碰到网络中一个更集中的节点(例如,无线网络控制器)为止。一种观点是,由于基站就位置(例如,室外,楼顶等等)和分布(用于规划客户驻地设备(CPE)基站以用于家用接入的计划)而言正变得更小和更普通,所以,基站的完整性将在未来受到挑战,因为对物理台站的接入能够帮助操纵传送到基站的数据。然而,完全不同的策略和体系架构已经对诸如手机之类的移动用户设备(UE)产生了兼容性空白(compatibility void)。
公开了选择性的安全性终止,其能够解决兼容性空白。通过这里描述的各个实施例,更多的优点将变得显而易见。完全不同的移动网络的通信协议可以被修改为包括选择性安全性数据来辅助这一目的。例如,UE可以发送请求来开始与移动网络(例如,3G或WiMAX网络)的基站的通信,并且指定UE的加密计算能力——这例如可以由UE内的加密计算能力组件来完成。在接收到该请求之后,基站和/或移动网络可以发回带有加密计算位置的响应——这例如可以由移动网络中的加密位置组件来确定。应当了解,该通信可以发生在UE与基站之间的通信时间线上的不同时间点。在一个实施例中,在从UE发送至基站的初始通信请求中指定加密计算能力;然后,由移动网络确定加密计算位置并连同用户认证请求一起发回UE。UE存储终止位置以备后用并且继续进行认证处理。
参考附图,图1图示出根据一个实施例的辅助选择性的移动网络安全性终止的示例系统100。更具体而言,系统100可以包括:UE 102,其与移动网络通信来接收语音和/或数据信息服务;基站104,其通过诸如蜂窝技术之类的传输介质与UE 102直接通信;基站控制器106,其管理多个基站(例如一个是基站104)并与之通信;以及核心移动网络108,其包括移动网络的核心中心组件(未示出),该组件辅助数据访问和取得。
UE 102可以是被装备来与移动网络通信的移动和/或固定装置,例如手机(例如蜂窝电话)、计算机/个人数字助理(PDA),或是基本上具有移动网络通信能力的任何装置,例如,数字摄像机(DVR)或也可能是相机、报警系统、家庭管理系统等等。UE 102可以通过发送初始化分组来请求与移动网络基站104通信;该分组可以指定UE 102的加密终止位置能力。此外,UE 102可以指定选择性的加密终止位置是否甚至最先被UE102所支持。这被用于与网络内多个位置处的加密终止相兼容的多种版本和/或类型的UE 102。在开始与基站104通信后,就可以评估UE 102的加密终止位置能力,并且就在UE 102与基站104之间的通信中加密终止的位置做出判决。应当明白,基站104可以执行网络的该逻辑或其它组件;例如,基站104可以与基站控制器106通信,基站控制器106可以向核心移动网络108发送请求,并且核心移动网络108可以确定加密终止位置并将该信息与认证请求一起发回。此外,基站104或其它核心网络组件也可以指示该特征是否也被从移动网络支持。
在一个实施例中,加密终止位置可以基于UE 102所连接到的(例如,归属的或访问的)网络来确定;此外,例如,在UE 102可以最初地指定偏好的位置的地方,加密终止位置可以用偏好顺序来指定。此外,例如,在UE 102正被切换到新的基站时,加密终止位置可以用之前的位置来确定。通过清楚的限定和/或将之前的位置指明为加密计算位置能力列表中的第一个,之前的位置的规格可以来自UE 102。位置也可以基于其它因素来确定或推断,这些因素例如是环境因素和/或与请求类型有关的因素;该位置也可以根据这些因素而改变。一旦位置被确定,其就被发回UE102。鉴于此,UE 102可以与多种网络类型进行通信,并且不再受加密终止点的限制。此外,UE 102可以智能地使用加密终止位置信息来了解何时必须在UE 102与核心移动网络108、基站104和/或基站控制器106之间对加密进行重新协商,例如,当UE 102正从一个基站104被切换至另一基站(未示出)时。
现在看图2,图示了辅助3G移动网络中的选择性安全性终止的示例系统200。根据该实施例,系统200可以包括UE 102,UE 102可以包括能够确定UE 102所支持的加密终止位置的加密能力组件202。另外还显示了访问网络204,其具有:与UE 102通信的至少一个基站104;管理多个基站的无线网络控制器206;移动网关208,其可以向一个或多个无线网络控制器206提供对3G核心网络210的其余组件的访问;以及加密位置组件212,其可以基于UE 102的网络变量和/或能力来确定加密终止位置。此外,提供了移动网络214,访问网络204和归属网络216是移动网络214的一部分,归属网络216是UE 102所归属的网络。
在一个实施例中,UE 102与属于访问网络204的基站104建立连接,并且发送消息来开始通信会话。应当了解,该消息也可以在通信开始之后被发送。在该消息中,UE 102从加密能力组件202提供加密计算终止位置能力。在接收到该消息或该消息的一部分之后,基站104可以借助访问网络204的无线网络控制器206来向移动网关208传送加密能力。移动网关208容纳多个无线网络控制器206并提供对3G网络核心组件210的访问。此外,移动网关208可以呼叫加密位置组件212来确定在UE 102与访问网络204之间的通信中,加密将终止于何处。加密终止位置可以基于以下因素来确定:包括但不限于由加密能力组件202指定的信息的许多因素,以及诸如UE 102所连接到的网络类型(例如,归属的或访问的)和环境因素(例如,位置、时间、移动状态等等)之类的其它因素。关于这个方面,可以利用人工智能来确定这样的环境因素,例如,当UE 102是固定的(例如,家用装置)时,在UE 102由于其移动性而不必对加密进行重新协商的某些情况中,基站处的安全性终止可以是令人满意的。在某些情况中,网络类型将被用来确定加密终止位置(例如,3G终止于无线网络控制器中而WiMAX终止于基站中)。一旦位置被确定,其就可以被发回UE 102并被用来智能地确定加密需要被重新协商的时间等等。此外,位置可以被用来影响UE 102的行为,以使其与多种网络体系架构兼容。在该实施例中,3G网络确定要在无线网络控制器206处发生加密终止。关于这一方面,基站104的妥协可能对于潜在的黑客或恶意的用户没有任何价值,因为来自UE 102的数据将被在到达更集中的节点(即,无线网络控制器206)之前被加密。
位置可以从移动网关208经由无线网络控制器206和基站104发送至UE 102;应理解,例如,位置有时可以被包含在请求UE 102认证的消息中。UE 102可以存储位置信息并且通过发送请求生成加密密钥的消息来继续认证;该请求消息经由基站104和无线网络控制器206被发回移动网关208。该消息可以使用非接取层级信令(non access stratum signaling)。移动网关208例如可操作用于使从UE 102接收到的消息与经由移动网络214转发至归属网络216的消息相互作用来作出最终的认证判定并且生成加密密钥。有关这一方面,归属网络216最终负责创建与归属网络216和/或访问网络204一起使用的安全密钥。这些密钥可以经由其它组件被发回无线网络控制器206并发至UE 102,以用于在随后的通信中使用。在该实施例中,这些密钥可以是结合移动网络214的协议层利用的无线资源控制(RRC)密钥。在接收到用于UE 102的密钥之后,加密安全系统建立并且可以开始通信。在该实施例中,UE 102可以通过随后对分组进行加密并将它们发送至基站104来进行通信;这些数据分组经过基站104至无线网络控制器206,保持是经加密的,无线网络控制器206是根据认证请求响应的加密终止位置。在控制器206处,数据通过利用来自归属网络216的密钥来解密(例如,加密被终止)。
应了解,归属网络216可以具有与访问网络204中所示基本相同的组件。为了这个目的,UE 102如果在范围以内则可以直接连接到归属网络216,并且密钥可以在没有经由如该图中所示的移动网络214碰上另一网络的情况下被生成。并且,如果加密要在中心终止(例如,在无线网络控制器206中),则UE 102例如可以知道当被切换至另一基站时不必对加密重新协商;这使得切换时移动网络214中的灵活使用更高效,并且还减少了切换中(例如,在加密的重新协商期间)的错误。此外,如果UE 102不能支持加密终止位置,则通信可以被UE 102和/或基站104(或网络内的其它组件)关断。
在另一实施例中,这里所公开的功能的实现中可以涉及鲁棒头部压缩(RoHC)。具体地,分组数据集中协议(PDCP)可以用来实现头部压缩。在该实施例中,可以在PDCP头部中实现加密终止位置(或有关利用该协议的(一个或多个)装置是否支持选择性安全性终止的信息)。
现在参考图3,图示出辅助WiMAX体系架构中的选择性安全性终止的示例系统300。示例系统300可以包括UE 102,UE 102可以包括能够确定由UE 102支持的(一个或多个)加密终止位置的加密能力组件202。另外还示出访问网路302,其具有:与UE 102通信的至少一个基站104,管理多个基站的基站控制器304,可以向一个或多个基站控制器304提供对WiMAX核心网络308的其余组件的访问的接入服务网络(ASN)网关306,以及可以基于网络变量和/或UE 102的能力来确定加密终止位置的加密位置组件212。此外,还设置了移动网络214,访问网路302和归属网络216是移动网络214的一部分,归属网络216是作为UE 102的归属的网络。
在一个实施例中,UE 102可以经由基站104开始与移动网络的通信。在初始连接消息中,例如,加密能力组件202可以就加密终止位置确定UE 102的一个或多个能力,并且UE 102可以向基站104发送这些能力。基站104可以经由基站控制器304来向ASN网关306转发消息和能力,基站控制器304例如可以提供到多个基站104的连接。ASN网关306可以部分地基于在该消息中所接收到的UE 102的能力来进行关于加密终止位置的判定。此外,其它因素可能影响该判定,例如,网络类型。应当了解,WiMAX网络可能希望基站104级别上的加密终止,因为在网络中,进一步的通信通过利用可扩展认证协议(EAP)将来自UE 102的加密分组传送至归属网络216来进行保护。有关这一方面,ASN网关可以借助加密位置组件212来如上所述地确定加密终止于何处。所确定的位置例如可以在认证请求中被发回UE 102。在接收到该请求之后,UE 102可以存储加密终止位置以随后使用。
此外,UE 102还可以确定加密终止于基站104,利用被请求的认证证书进行响应,并且还请求加密密钥生成。包括该请求的响应通过如上所述的多个组件被发送至归属网络216,在这多个组件处,认证被挑战并且加密/解密密钥被生成。这些密钥被以安全模式发回访问网路302以在其中被使用。WiMAX核心网络308的组件将加密密钥转发至ASN网关306,ASN网关306将密钥经由基站控制器304提交给基站104以用于随后的加密终止,如果加密终止是在基站104级别上所希望的话。在该实施例中,这些密钥可以是辅助物理网络层的加密的层1密钥。随后,UE 102可以通过在将分组发送给基站104之后例如在协议层对分组进行加密来经由基站104与访问网路302通信。基站可以终止加密——例如,对数据分组进行解密——并且将数据分组发送给基站控制器304以用于在移动网络中进行处理。
在一个实施例中,在认证和加密终止位置确定之后,当终止例如是在基站104中时,则UE 102可以通过局域网(LAN)使用EAP来与WLAN路由器或设备通信。路由器随后可以通过远程用户认证拨号服务(RADIUS)使用EAP来与基站104通信;应了解,路由器不是必需的,UE 102可以通过LAN使用EAP来与基站104直接通信和/或UE 102可以是具有一个或多个连接的客户端的路由器。在该实施例中,基站104终止WiMAX加密,并且可以针对移动网络214内受保护的处理来将通信(例如,消息、分组或其它数据)隐藏(wrap)在辅助安全协议中。辅助安全协议消息可以被发送给访问网路302并由该网络处理,而不必在随后的请求中与归属网络216通信。在一个实施例中,该安全协议消息也可以经由控制/管理协议在网络216和302之间或遍及网络216和302来传送,该控制/管理协议例如是认证、授权和计费(AAA)协议。
在另一实施例中,UE 102可以在随后的切换中利用加密终止位置信息来确定新基站104中的行为。例如,如果加密计算之前被终止于基站,则在切换期间,其需要在新基站中被重新协商。此外,如果新基站由相同控制器304控制并且如果控制器304已存储解密密钥,则控制器304可以在UE 102请求与新基站通信之后的切换期间向新基站下发密钥;因此,UE102不必请求密钥生成。关于这一方面,在一个实施例中,该信息可以作为加密终止位置信息的一部分被发送给UE 102。UE 102也可以在向基站104(例如,新基站)做出初始请求之后,经由加密能力组件202使用加密终止位置来指定所希望的位置。例如,在当前加密被在中心终止时,UE102可以指定中心加密终止作为其优选模式,因为如果新基站受与旧基站104相同的基站控制器304控制,则加密不必被重新协商。
在另一实施例中,利用3G、WiMAX或其它类型的移动网络中的任一者,用户可以如上所述将归属/居住地基站连接到固定的和/或移动的归属设备。用户例如可以是使用手机的移动体并且可能希望接入连接到归属基站的设备(例如,DVR、相机、家庭监控系统等)。用户可以利用手机并尝试使基站104终止加密计算以使得用户可以通过绕过网络中加密通常被终止于的集中节点来直接接入连接的设备。关于这一方面,对归属基站的接入不必由中心组件来解密,这允许对归属基站以及附接到归属基站的设备的更快和更可靠的接入。此外,集中节点也许未被装备为处理该请求,或该请求可能是对归属基站专有的。在该实施例中,该请求仍然可以被处理,因为集中的组件被绕过。
现在转至图4,显示根据这里公开的主题的一个实施例的示例协议规范400。例如,所示出的协议与之前关于在WiMAX配置中开始与基站通信和/或从移动网络接收认证请求来描述的EAP配置协商分组类似。应当了解,这仅仅是一个示例实施例,并且所公开的终止位置能力可以在其它协议、其它分组规范和其它移动网络中被传送。协议规范400可以具有与和基站进行通信的请求相对应的各种数据值,包括标识分组类型(请求、响应、成功、失败等)的代码以及可以用在请求/响应(例如,用来将响应与请求相匹配)的标识符。此外,在与请求有关的数据后面提供分组长度。在该实施例中,数据包括有关认证协议以及数据类型和长度的信息。此外,加密位置也可以在数据中被指定来指明UE中可用的任一加密位置(如果消息从UE中被发送给基站来开始通信的话)。此外,在消息是响应于通信开始消息的认证请求的地方,协议规范400中的加密位置信息可以是由移动网络组件选择的那些;UE可以存储该位置以用于随后的使用/评估。
参考图5,示出辅助加密位置确定和协商的示例系统500连同各种组件之间的一系列消息。提供UE 102和基站104,UE 102请求与移动网络通信,指定兼容的(一个或多个)加密终止位置,基站104辅助该UE与基站控制器106之间的通信。此外,还提供基站控制器106,其可以与核心网络502通信。在该实施例中,UE 102可以向基站104发送消息来开始与移动网络的通信。该消息包括如在这里所示的UE 102的加密终止能力。例如,该能力可以是一个或多个加密终止位置能力,能力的列表和/或与能力相对应的列举或类型规范。该请求被转发至基站控制器106,其中基站控制器106可以利用加密终止位置能力来确定当前通信的加密终止位置。此外或可替换地,核心网络502中的一个或多个组件或其它网关组件可以利用能力信息来确定加密终止位置。在确定加密终止的位置之后,基站控制器106可以将位置连同认证请求经由基站104发回UE 102。应当了解,在一个实施例中,移动网络还可以通过在认证请求中发回供选择的列表来请求UE 102确定加密终止位置。
在接收到认证请求和加密终止位置后,UE 102可以存储终止位置并且对也来自移动网络的认证请求进行响应,该响应还请求加密密钥生成。在前述实施例中,UE 102可以从由基站控制器106提供的列表中指定所希望的加密终止位置。在请求密钥生成之后,核心网络502可以对UE 102进行认证(这可以包括例如接入网络中的其它组件或甚至归属网络),并且生成用于随后的通信的加密和/或解密密钥。在该实施例中,这些密钥在安全模式消息中被推(或例如拉)回基站控制器106并至UE 102中。在该实施例中,加密终止集中位于基站控制器106中,并且通过根据这些密钥对数据进行加密,随后的通信可以从UE 102向基站104(并且至基站控制器106)继续。基站104将通信传递给基站控制器106,在基站控制器106中,其使用所提供的密钥被解密。这辅助集中的加密终止,从而使得从UE 102直至基站控制器106的通信受到保护。如上所述,这在诸如3G之类的网络中是有益的,其中,基站变得越加普通地位于低安全区域,而没有其它加密/认证协议被实现来保护这些数据。
现在转至图6,示出根据所述主题的辅助选择性的加密终止位置的示例系统600;具体而言,该实施例选择加密终止要发生在基站104中。提供UE 102和基站104,UE 102请求与移动网络通信,指定兼容的(一个或多个)加密终止位置,基站104辅助该UE与基站控制器106之间的通信。此外,还提供基站控制器106,其可以与核心网络502通信。在该实施例中,UE 102可以向基站104发送消息来开始与移动网络的通信。该消息包括如在这里所示的UE 102的加密终止能力。例如,该能力可以是一个或多个加密终止位置能力,能力的列表和/或与能力相对应的列举或类型规范。该请求被转发至基站控制器106,其中基站控制器106可以利用加密终止位置能力来确定当前通信的加密终止位置。此外或可替换地,核心网络502中的一个或多个组件或其它网关组件(未示出)可以利用能力信息来确定加密终止位置。在确定加密终止的位置之后,基站控制器106可以将位置连同认证请求经由基站104发回UE 102。应当了解,在一个实施例中,移动网络还可以通过在认证请求中发回供选择的列表来请求UE 102确定加密终止位置。
在接收到认证请求和加密终止位置后,UE 102可以存储终止位置并且对也来自移动网络的认证请求进行响应,该响应还请求加密密钥生成。在前述实施例中,UE 102可以从由基站控制器106提供的列表中指定所希望的加密终止位置。在请求密钥生成之后,核心网络502可以对UE 102进行认证(这可以包括例如接入网络中的其它组件或甚至归属网络),并且生成用于随后的通信的加密和/或解密密钥。这些密钥被推回基站控制器106并至基站104以用于将来的加密终止。基站104可以利用基站控制器106(和核心网络502)来确认这(一个或多个)加密密钥;随后,UE 102可以开始对发送至基站104的数据进行加密。安全模式命令也可以在安全性建立被完成时通过基站104被发回UE 102。UE 102可以经由基站来与移动网络通信,其中加密终止于基站104。应当了解,移动网络可以具有其它协议/策略来在这方面保护数据,并且加密终止于基站104比在中心终止可以更高效。
图7至图9图示出根据本主题公开的方法。为了说明简单,方法被图示和描述为一连串动作。应当理解和了解,本主题公开不受所图示的动作和/或这些动作的次序的限制,例如,动作可以以各种次序和/或并发地发生,并且具有这里未表示或描述的其它动作。此外,实现根据所公开的主题的方法并不是需要所有被图示出的动作。此外,本领域那些技术人员将理解和了解到这些方法可以经由状态图或事件被可替换地表示为一连串相关的状态。此外,还应当了解,之后和贯穿该说明书所公开的方法能够被存储在制造品上来辅助将这样的方法传送和递送给计算机。这里使用的术语“制造品”意欲包括可从任何计算机可读装置、载体或介质存取的计算机程序。
图7图示出根据一个实施例的开始与移动网络的手机通信的示例方法700。在702,手机(或其它UE)发起(例如与移动网络中的基站的)通信并指定加密终止位置能力。应当了解,手机可能不具有任何这样的能力并且将其传送给基站。然而,在该实施例中,这些能力例如被发送至基站,并且可以包括一个或多个能力,能力列表和/或可用加密终止位置能力的列举或类型规范。在704,从移动网络接收到认证请求以及被选择的加密终止位置。这些位置可以是在基站和/或网络中更中心的位置,例如基站控制器或相当的组件、移动网关或网络内较深的某处。在706,加密终止位置信息被存储在手机中,并且例如,对识别手机的认证请求的响应被发送。在708,接收到指示在随后的对网络的请求中要使用什么加密和/或认证的安全模式命令。在710,按所指定的对这样的通信继续进行加密并发送(例如至基站)。应当了解,移动网络可以选择加密终止位置以及要使用的任何认证或其它加密方法。
图8图示出根据一个实施例的用于指定加密终止位置的示例方法800。在802,对通信的请求被接收到;该请求例如可以从UE发起,并且在804,该请求可以指定加密终止位置。这些能力是UE能够支持的加密终止位置。这可以是节点的列表、节点的群组(例如,在给定级别上的)、列举、比特集合等等。在806,加密终止位置可以被选择。该判断可以是基于能力做出的;例如,能力可以列出优选的加密终止位置(例如,可以根据偏好排序的列表)。应当了解,例如,可以做出在能力的列表中不包括位置的判定并且UE例如可以批准该位置,如果它能够支持该位置但是一开始没有请求它的话。该判定也可以考虑其它因素,例如网络类型(3G可能更喜欢终止于中心节点,而WiMAX可能更喜欢加密的基站终止)、网络负荷(如果存在例如使加密终止于不同位置的不同组件)、对移动网络的偏好、环境因素等。在808,加密终止位置与认证请求一起被返回。
图9图示出根据一个实施例的用于判定在切换期间加密是否应被重新协商的示例方法900。当移动装置或UE逐区域移动时,需要进行切换来将通信切换至另一基站来确保可靠性。在902,利用新基站开始切换通信并且加密终止位置能力与通信一起被发送。在904,认证请求连同加密终止位置被从新基站接收到。在906,加密终止位置可以用来判断加密是否需要被重新协商。例如,如果UE中所存储的之前的加密终止位置处于中心节点(例如,无线网络控制器)处,并且基站提供相同的加密终止位置,则加密可以不必被重新协商。例如可以根据这个和其它因素(例如,加密终止节点是否也在相同网络中)来确定。在908,如果有必要利用新基站,则加密可以被重新协商。
这里所利用的术语“组件”、“系统”、“接口”等意欲指代计算机相关的实体,可以是硬件、软件(例如,执行中的)和/或固件中的任一者。例如,组件可以是在处理器上运行的处理、处理器、对象、执行表、程序和/或计算机。通过图示,在服务器上运行的应用和服务器两者都可以是组件。一个或多个组件可以驻留在处理内,并且组件可以位于计算机上和/或分布在一个或多个计算机之间。
根据这里描述的本公开主题的一个或多个方面,可以结合执行推断和/或概率确定和/或基于统计的确定来采用基于人工智能(AI)的系统。这里使用的术语“推论”、“推断”或其变形一般是指经由事件和/或数据捕获的一组观测来关于系统的状态、环境和/或用户进行推理或推断的处理。例如,可以采用推断来识别具体的上下文或动作,或可以产生状态的概率分布。推断可以是概然性的——即,感兴趣的状态的概率分布的计算基于对数据和事件的考虑。推论也可以是指被用来从一组事件和/或数据中构成较高级的事件的技术。从自一组所观测到的事件和/或所存储的事件数据、这些事件是否在时间上很接近以及这些事件和数据是否来自一个或多个事件和数据源中构建新事件或动作产生这样的推断结果。可以与结合所公开的主题执行自动的和/或推断出的动作相结合来采用各种分类方案和/或系统(例如,支持向量机制、神经网络、专家系统、贝叶斯信度网络、模糊逻辑、数据融合引擎……)。例如,如上所述,AI可以用来确定影响终止位置的环境因素。此外,AI可以用来整合其它因素(例如来自其它类似UE的终止规范)来对终止位置作出决策。应了解,这里所描述的本主题的许多方面可以利用AI来实现使得功能在用户环境中更令人满意的目的。
此外,所公开的主题可以被实现为方法、设备或制造品,它们使用标准的编程和/或工程技术来产生软件、固件、硬件或三者的任何组合以控制计算机实现所公开的主题。这里使用的术语“制造品”意欲包括可从任何计算机可读装置、载体或介质存取的计算机程序。例如,计算机可读介质可以包括但不限于,磁存储装置(例如,硬盘、软盘、磁条……),光盘(例如,致密盘(CD)、数字通用盘(DVD)……)、智能卡、和闪存装置(例如,卡、条、密钥驱动器……)。此外,应当了解,可以用载波来承载计算机可读电子数据,例如在发送和接收电子邮件中和在访问诸如因特网或局域网(LAN)之类的网络中所使用的那些。当然,本领域技术人员将认识到,可以在不偏离所公开的主题的范围和精神的情况下对该说明书进行许多修改。
已经关于计算机存储器内的运算或组件的算法和/或符号表示描述了本主题公开的某些部分。这些算法描述和/或表示是由本领域人员用来将他们工作的实质最有效地传递给其它相当的技术人员的手段。算法在这里通常被认为是导致所希望的结果的自一致的动作序列。这些动作是需要对物理量的物理操控的那些动作。通常,尽管不是必须,这些量采用能够被存储、被转送、被组合、被比较和/或以其他方式被操作的电信号和/或磁信号的形式。
已经证实,主要由于公共使用的原因,有时将这些信号指代为比特、值、元素、符号、字符、术语、数字等是方便的。然而,应当铭记于心的是,所有这些和类似的术语要与恰当的物理量相关联并且仅仅是适于这些量的方便标签。除非从以上讨论中以其它方式具体指明,应当了解,贯穿所公开的主题,利用诸如处理、计算、确定和/或显示等之类的术语的讨论是指计算机系统和/或类似的消费和/或工业的电子装置和/或机器的动作和处理,它们操控计算机和/或机器的寄存器和存储器内被表示为物理(电的和/或电子的)量的数据并将其变换成机器和/或计算机系统存储器或寄存器或其它这样的信息存储、发送和/或显示装置内被类似地表示为物理量的其它数据。
为了提供所公开的主题的各个方面的上下文,图10和图11以及以下讨论意欲提供对可以实现所公开主题的各个方面的适合环境的简要、概略的描述。尽管以上已经在运行于一个或多个计算机上的计算机程序的计算机可执行指令的一般上下文中描述了该主题,但是本领域那些技术人员将认识到,本主题创新也可以结合其它程序模块来实现。一般,程序模块包括执行特定任务和/或实现特定摘要数据类型的例程、程序、组件、数据结构等等。此外,本领域那些技术人员将了解,本创造性方法可以利用其它计算机系统配置来实行,包括单处理器或所处理器计算机系统、迷你计算装置、大型计算机以及个人计算机、手持计算装置(例如,PDA、电话、手表)、基于微处理器的或可编程的消费或工业电子等。所图示的方面也可以在分布式计算环境中实行,其中,任务由通过通信网络连接的远程处理装置来执行。然而,如果不是所要求保护的创新的所有方面可以在独立的计算机上被执行,则某些方面可以在独立的计算机上被执行。在分布式计算环境中,程序模块既可以位于本地存储装置中也可以位于远程存储装置中。
参考图10,适于实现所要求保护的主题的各个方面的环境1000包括计算机1012。计算机1012包括处理单元1014、系统存储器1016和系统总线1018。系统总线1018耦合系统组件,包括但不限于将系统存储器1016耦合到处理单元1014。处理单元1014可以是各种可变处理器中的任一者。也可以采用双微处理器和其它多处理器体系架构来作为处理单元1014。计算机1012例如可以用来实现这里所述的移动网络组件中的一个或多个,例如,(例如用于3G和WiMAX网络的)基站控制器、移动网关和/或核心网络组件。
系统总线1018可以是若干种总线结构中的任一种,包括存储总线或存储控制器、外围总线或内部总线、和/或使用各种可变总线体系架构的本地总线,包括但不限于,工业标准体系架构(ISA)、微通道体系架构(MSA)、扩展ISA(EISA)、智能电子驱动器(IDE)、VESA本地总线(VLB)、外围组件互连(PCI)、卡总线、通用串行总线(USB)、高级图形端口(AGP)、个人计算机存储卡国际协会总线(PCMCIA)、火线接口(IEEE 1394)、和小型计算机系统接口(SCSI)。
系统存储器1016包括易失性存储器1020和非易失性存储器1022。非易失性存储器1022中存储基本输入/输出系统(BIOS),包含用来在计算机1012内的元件之间转送信息的基本例程。以图解而不是限制的方式,非易失性存储器1022包括ROM、PROM、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM或闪存。易失性存储器1020包括用作外部缓存的RAM。以图解而不是限制的方式,可以以许多形式获得RAM,例如,SRAM、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、SynchlinkDRAM(SLDRAM)、直接型Rambus RAM(RDRAM)、直接型Rambus动态RAM(DRDRAM)和Rambus动态RAM(RDRAM)。
计算机1012还包括可移除/不可移除的、易失性/非易失性的计算机存储介质。图10例如图示出盘存储装置1024。盘存储装置1024包括但不限于这样的装置,像磁盘驱动器、软盘驱动器、磁带驱动器、Jaz驱动器、Zip驱动器、LS-100驱动器、闪存卡或记忆棒。此外,盘存储装置1024可以包括与其它存储介质分离的或组合的存储介质,包括但不限于,光盘驱动器,例如致密盘ROM装置(CD-ROM)、CD可记录驱动器(CD-R驱动器)、CD可写驱动器(CD-RW驱动器)或数字通用盘ROM驱动器(DVD-ROM)。为了辅助盘存储装置1024到系统总线1018的连接,通常使用可移除或不可移除的接口,例如接口1026。
应当了解,图10描述用作用户与合适的操作环境1000中的基本计算机资源之间的中介的软件。这样的软件包括操作系统1028。可被存储在盘存储装置1024上的操作系统1028用来控制和分配计算机1012的资源。系统应用程序1030具有通过存储在系统存储器1016或盘存储装置1024上的程序模块1032和程序数据1034、通过操作系统1028来管理资源的优势。应当了解,所公开的主题可以用各种操作系统或操作系统的组合来实现。
用户通过(一个或多个)输入装置1036将命令或信息输入计算机1012。输入装置1036包括但不限于诸如鼠标之类的点选装置、跟踪球、触笔、触摸垫、键盘、麦克风、操纵杆、游戏垫、碟形卫星信号接受器(satellite dish)、扫描仪、TV调谐卡、数码相机、数码摄像机、网络相机等等。这些和其它输入装置经由(一个或多个)端口1038经由系统总线1018连接到处理单元1014.(一个或多个)端口1038例如包括串行端口、并行端口、游戏端口和通用串行总线(USB)。(一个或多个)数很粗装置1040使用与(一个或多个)输入装置1036相同类型的端口中的某些端口。因此,例如,USB端口可以用来向计算机1012提供输入,并且用来将信息从计算机1012输出给输出装置1040。输出适配器1042被提供来说明存在某些输出装置1040,像监控器、扬声器和打印机等等一样的需要特殊适配器的输出装置1040。以图解而不是限制的方式,输出适配器1042包括提供输出装置1040与系统总线108之间的连接装置的视频和声音卡。应当注意,其它装置和/或装置的系统既提供输入能力又提供输出能力,例如(一个或多个)计算机1044。
计算机1012可以使用到一个或多个远程计算机(例如(一个或多个)远程计算机1044)的逻辑连接在联网环境中操作。这(一个或多个)远程计算机1044可以是个人计算机、服务器、路由器、网络PC、工作站、给予微处理器的家电、对等装置或其他普通的网络节点等,并且通常包括关于计算机1012描述的许多或所有元件。为了简洁的目的,仅图示出存储器存储装置1046和(一个或多个)远程计算机1044。这(一个或多个)远程计算机1044通过网络接口1048逻辑地连接到计算机1012并且之后经由通信连接1050物理地连接。网络接口1048包括诸如局域网(LAN)和广域网(WAN)之类的有线和/或无线通信网络。LAN技术包括光纤分布式数据接口(FDDI)、铜线分布式数据接口(CDDI)、以太网、令牌环网等。WAN技术包括但不限于点对点链路、像综合业务数字网络(ISDN)的电路交换网络及关于其的变形,分组交换网络和数字用户线(DSL)。
这(一个或多个)通信连接1050是指用来将网络接口1048连接到总线1018的硬件/软件。尽管为了清楚的说明,通信连接1050被示出在计算机1012内部,但是,其也可以在计算机1012的外部。仅仅为了示例性目的,仅对到网络接口1048的连接必要的硬件/软件包括内部和外部的技术,例如,包括常规电话分级调制解调器、线缆调制解调器和DSL调制解调器的调制解调器,ISDN适配器以及以太网卡。
图11是本主题公开可以交互的样本计算环境1100的示意框图。系统1100包括一个或多个客户端1110。这(一个或多个)客户端1110可以是硬件和/或软件(例如,线程、处理、计算装置)。系统1100还包括一个或多个服务器1130。因此,系统1100可以对应于两层客户端服务器模型或多层模型(例如,客户端、中间层服务器、数据服务器)等模型。这(一个或多个)服务器还可以是硬件和/或软件(例如,线程、处理、计算装置)。例如,服务器1130可以容纳用来通过采用本主题创新来执行变换的线程。客户端1110于服务器1130之间的一种可能的通信可以是在两个或多个计算机处理之间发送的数据分组的形式。
系统1100包括可以用来辅助(一个或多个)客户端1110与(一个或多个服务器)1130之间的通信的通信构架1150。(一个或多个)客户端1110可操作地连接到可以用来存储这(一个或多个)客户端1110本地的信息的(一个或多个)客户端数据仓库1160。类似地,这(一个或多个)服务器1130可操作地连接到可以用来存储这(一个或多个)服务器1130本地的信息的一个或多个服务器数据仓库1140。在一个示例中,客户端1110可以是希望访问服务器1120的UE,其基本上可以是连接到移动网络的任何装置;例如,该移动网络可以是通信构架1140,并且客户端110可以利用构架1140来与服务器1120通信。
以上所描述的包括本主题公开的各方面的示例。当然,不可能为了描述所公开的主题而描述组件或方法的每一种可构想的组合,但是本领域普通技术人员可以认识到,对所公开的主题的进一步组合和排列是可能的。因此,所公开的主题意欲包括落在所附权利要求的精神和范围内的所有这样的变更、修改和变化。此外,对于在详细的描述或权利要求这所使用的术语“包括”、“具有”及其变形,这样的术语意欲以与“包括”在被用做权利要求中的承接词时被解释的相类似的方式而是包含的。
Claims (24)
1.一种用于无线移动网络中的选择性的安全性终止的设备,包括:
组件,所述组件接收与用户设备有关的至少一个加密终止位置能力;以及
加密位置组件,所述加密位置组件至少部分地基于所述至少一个加密终止位置能力以及所述用户设备所连接的网络类型来自动确定与所述用户设备有关的加密在所述无线移动网络中的终止位置,
其中所确定的终止位置是所述无线移动网络中的基站或者更集中的节点。
2.根据权利要求1所述的设备,所确定的终止位置是所述无线移动网络的无线网络控制器,所述无线网络控制器与一个或多个基站相结合地操作。
3.根据权利要求1所述的设备,所确定的终止位置是所述无线移动网络的基站,所述基站与所述用户设备直接通信。
4.根据权利要求1所述的设备,所述用户设备发送初始配置分组,所述初始配置分组指定所述至少一个加密终止位置能力。
5.根据权利要求1所述的设备,所确定的终止位置连同认证请求一起被递送给所述用户设备。
6.根据权利要求5所述的设备,所述用户设备请求生成至少一个加密密钥,所述加密密钥被生成并被发送至所确定的终止位置以用于随后的加密终止。
7.一种用于无线移动网络中的选择性的安全性终止的方法,包括:
接收与无线移动网络中的用户设备相兼容的至少一个加密终止位置;
至少部分地基于所述相兼容的加密终止位置以及所述无线移动网络的类型来确定所述无线移动网络中的用于加密终止的至少一个位置;以及
将所确定的位置转发至所述用户设备,
其中所确定的位置是所述无线移动网络中的基站或者更集中的节点。
8.根据权利要求7所述的方法,所述无线移动网络是第三代网络并且所确定的加密终止位置是所述第三代网络的无线网络控制器。
9.根据权利要求7所述的方法,所述无线移动网络是全球微波互操作接入网络并且所确定的加密终止位置是所述全球微波互操作接入网络的基站。
10.根据权利要求7所述的方法,还包括:
代表来自所述用户设备的请求生成用于随后的加密终止的加密/解密密钥;以及
将所述密钥发送至所述无线移动网络中的所确定的位置。
11.根据权利要求7所述的方法,还包括响应于来自所述用户设备的开始通信的请求,向所述用户设备发送所确定的位置。
12.根据权利要求11所述的方法,所述开始通信的请求包括与所述用户设备相兼容的至少一个加密终止位置。
13.根据权利要求11所述的方法,还包括在所确定的位置处对由所述用户设备传送的数据进行解密。
14.一种用于无线移动网络中的选择性的安全性终止的设备,包括:
加密能力组件,所述加密能力组件确定用户设备的至少一个加密终止位置能力,以使得与所述用户设备有关的加密在无线移动网络中的终止位置至少部分地基于所述至少一个加密终止位置能力以及所述用户设备所连接到的网络类型而被加密位置组件自动确定,其中,所确定的终止位置是所述无线移动网络中的基站或者更集中的节点;以及
组件,所述组件向无线移动网络的基站发送所述至少一个加密终止位置能力。
15.根据权利要求14所述的设备,所述能力连同初始通信请求一起被发送给所述基站。
16.根据权利要求14所述的设备,由所述无线移动网络所确定的加密终止位置是从所述基站接收到的。
17.根据权利要求16所述的设备,向所述无线移动网络请求加密密钥的生成,所述加密密钥在生成后被发送给所确定的加密终止位置。
18.根据权利要求16所述的设备,所述用户设备至少部分地基于所接收到的加密终止位置来判断是否必须建立与新基站的通信信道。
19.一种用于无线移动网络中的选择性的安全性终止的方法,包括:
发送开始与无线移动网络通信的请求;
在所述请求中指定至少一个相兼容的加密终止位置,以使得所述无线移动网络中的用于加密终止的至少一个位置至少部分地基于所述相兼容的加密终止位置以及所述无线移动网络的类型而被加密位置组件确定,其中所确定的位置是所述无线移动网络中的基站或者更集中的节点;以及
从所述无线移动网络接收响应,所述响应指定所选择的加密终止位置。
20.根据权利要求19所述的方法,还包括存储所选择的加密终止位置,所述位置随后被用来确定关于所述无线移动网络的安全状态。
21.根据权利要求19所述的方法,所述响应请求认证。
22.根据权利要求19所述的方法,还包括对与所述无线移动网络的通信进行加密,所述通信在所选择的加密终止位置处被解密。
23.根据权利要求19所述的方法,所选择的加密终止位置是所述无线移动网络的基站,所述基站与用户设备直接通信。
24.根据权利要求19所述的方法,所选择的加密终止位置是所述无线移动网络的无线网络控制器,所述无线网络控制器与一个或多个基站相结合地操作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/864,201 | 2007-09-28 | ||
| US11/864,201 US8705738B2 (en) | 2007-09-28 | 2007-09-28 | Selective security termination in next generation mobile networks |
| PCT/US2008/077607 WO2009045825A2 (en) | 2007-09-28 | 2008-09-25 | Selective security termination in next generation mobile networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101810017A CN101810017A (zh) | 2010-08-18 |
| CN101810017B true CN101810017B (zh) | 2014-06-18 |
Family
ID=40352282
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880109175.9A Active CN101810017B (zh) | 2007-09-28 | 2008-09-25 | 下一代移动网络中的选择性的安全性终止 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8705738B2 (zh) |
| EP (1) | EP2208374B1 (zh) |
| CN (1) | CN101810017B (zh) |
| WO (1) | WO2009045825A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12022293B2 (en) | 2023-01-11 | 2024-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8234366B2 (en) | 2007-03-29 | 2012-07-31 | At&T Intellectual Property I, Lp | Methods and apparatus to provide presence information |
| US8705738B2 (en) | 2007-09-28 | 2014-04-22 | Cisco Technology, Inc. | Selective security termination in next generation mobile networks |
| US8434125B2 (en) * | 2008-03-05 | 2013-04-30 | The Boeing Company | Distributed security architecture |
| JP5326815B2 (ja) * | 2009-05-26 | 2013-10-30 | 富士通株式会社 | パケット送受信装置およびパケット送受信方法 |
| CN102595405A (zh) * | 2012-01-21 | 2012-07-18 | 华为技术有限公司 | 一种网络接入的认证方法、系统和设备 |
| CN112105016A (zh) | 2014-07-03 | 2020-12-18 | 华为技术有限公司 | 无线网络接入保护和安全架构的系统和方法 |
| CN115278659A (zh) * | 2017-01-30 | 2022-11-01 | 瑞典爱立信有限公司 | 针对用户平面数据的完整性保护的方法 |
| MX2019010926A (es) * | 2017-03-17 | 2019-11-05 | Ericsson Telefon Ab L M | Solucion de seguridad para encender y apagar la seguridad de datos de up entre ue y ran en 5g. |
| WO2020221688A1 (en) * | 2019-04-29 | 2020-11-05 | Telefonaktiebolaget Lm Ericsson (Publ) | User plane integrity protection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| CN1917680A (zh) * | 2006-09-05 | 2007-02-21 | 华为技术有限公司 | 移动通讯终端用户的鉴权方法及移动通讯终端 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI101670B (fi) * | 1995-12-15 | 1998-07-31 | Nokia Mobile Phones Ltd | Menetelmä matkaviestinverkon ja matkaviestimen välisen tiedonsiirron s alauksen ilmaisemiseksi |
| US5781628A (en) * | 1997-08-19 | 1998-07-14 | Ericsson Inc. | System and method for selective restriction of ciphering |
| US7783299B2 (en) * | 1999-01-08 | 2010-08-24 | Trueposition, Inc. | Advanced triggers for location-based service applications in a wireless location system |
| WO2000049755A2 (en) * | 1999-02-19 | 2000-08-24 | Nokia Networks Oy | Network arrangement for communication |
| US6671377B1 (en) * | 1999-03-18 | 2003-12-30 | Ericsson Inc. | System and method for downloading network information to mobile stations for location calculation |
| US6734144B2 (en) | 2000-04-25 | 2004-05-11 | Exxonmobil Upstream Research Company | Solids-stabilized water-in-oil emulsion and method for using same |
| FI111423B (fi) * | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
| US7266687B2 (en) * | 2001-02-16 | 2007-09-04 | Motorola, Inc. | Method and apparatus for storing and distributing encryption keys |
| US7783756B2 (en) * | 2005-06-03 | 2010-08-24 | Alcatel Lucent | Protection for wireless devices against false access-point attacks |
| US8045998B2 (en) * | 2005-06-08 | 2011-10-25 | Cisco Technology, Inc. | Method and system for communicating using position information |
| US8880047B2 (en) * | 2005-08-03 | 2014-11-04 | Jeffrey C. Konicek | Realtime, location-based cell phone enhancements, uses, and applications |
| US8705738B2 (en) | 2007-09-28 | 2014-04-22 | Cisco Technology, Inc. | Selective security termination in next generation mobile networks |
-
2007
- 2007-09-28 US US11/864,201 patent/US8705738B2/en active Active
-
2008
- 2008-09-25 WO PCT/US2008/077607 patent/WO2009045825A2/en active Application Filing
- 2008-09-25 CN CN200880109175.9A patent/CN101810017B/zh active Active
- 2008-09-25 EP EP08834831.3A patent/EP2208374B1/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111162B1 (en) * | 2001-09-10 | 2006-09-19 | Cisco Technology, Inc. | Load balancing approach for scaling secure sockets layer performance |
| CN1917680A (zh) * | 2006-09-05 | 2007-02-21 | 华为技术有限公司 | 移动通讯终端用户的鉴权方法及移动通讯终端 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12022293B2 (en) | 2023-01-11 | 2024-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods for integrity protection of user plane data |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2208374B1 (en) | 2017-04-19 |
| WO2009045825A3 (en) | 2009-05-28 |
| CN101810017A (zh) | 2010-08-18 |
| US20090086971A1 (en) | 2009-04-02 |
| WO2009045825A2 (en) | 2009-04-09 |
| US8705738B2 (en) | 2014-04-22 |
| EP2208374A2 (en) | 2010-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101810017B (zh) | 下一代移动网络中的选择性的安全性终止 | |
| CN112055952B (zh) | 一种车载设备升级方法及相关设备 | |
| EP2070345B1 (en) | Wireless device registration, such as automatic registration of a wi-fi enabled device | |
| WO2020048512A1 (zh) | 通信方法和装置 | |
| CN102340400B (zh) | 通过智能电话管理的智能电话上的独立于持有者和服务者的家长控制的方法和设备 | |
| JP4621200B2 (ja) | 通信装置、通信システム及び認証方法 | |
| CN108462710B (zh) | 认证授权方法、装置、认证服务器及机器可读存储介质 | |
| EP3926500A1 (en) | Device upgrade method and related device | |
| US11736304B2 (en) | Secure authentication of remote equipment | |
| CN103733599A (zh) | 云计算系统中用于支持家庭云的装置和方法 | |
| CN103929748A (zh) | 一种物联网无线终端及其配置方法和无线网络接入点 | |
| CN102143482A (zh) | 一种手机银行客户端信息认证方法、系统及移动终端 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| CN103988480A (zh) | 用于认证的系统和方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| WO2023001082A1 (zh) | 一种配网方法及装置 | |
| CN114760112B (zh) | 一种面向无线局域网络的智能家居设备入网方法、系统、设备及存储介质 | |
| CN103856938B (zh) | 一种加密解密的方法、系统及设备 | |
| CN101808317B (zh) | 一种实现无线局域网安全措施的计算机设备和方法 | |
| CN106713298B (zh) | 一种通信方法及设备 | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| CN105812218A (zh) | 用于实现应用多vpn协议接入的方法、中间件和移动终端 | |
| CN114124513B (zh) | 身份认证方法、系统、装置、电子设备和可读介质 | |
| CN106792687A (zh) | 移动终端wifi网络的连接方法及系统 | |
| CN112528267A (zh) | 一种执行root操作的方法以及移动终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |