CN103430582A - 防止混合式通信系统中的窃听类型的攻击 - Google Patents
防止混合式通信系统中的窃听类型的攻击 Download PDFInfo
- Publication number
- CN103430582A CN103430582A CN2012800129971A CN201280012997A CN103430582A CN 103430582 A CN103430582 A CN 103430582A CN 2012800129971 A CN2012800129971 A CN 2012800129971A CN 201280012997 A CN201280012997 A CN 201280012997A CN 103430582 A CN103430582 A CN 103430582A
- Authority
- CN
- China
- Prior art keywords
- communication pattern
- authentication
- pattern
- communication
- under
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
Abstract
本发明公开了用于在包括混合式通信系统的环境中保护通信安全的技术。例如一种方法包括:在其中至少一个计算器件被配置成选择性地操作在第一通信模式或第二通信模式下的混合式通信系统中,当确定被用来在第一通信模式下认证所述至少一个计算器件的认证数据是对于第二通信模式下的认证处理生成时,防止所述至少一个计算器件完成第一通信模式下的附连处理。
Description
技术领域
本发明总体上涉及通信安全性,更具体来说涉及用于防止混合式通信系统中的窃听类型的攻击(比如中间人攻击)的技术。
背景技术
已经知道,通用移动电信系统(UMTS)是由3GPP(第三代合作伙伴计划)开发的第三代通信网络技术,以便对其前身全球移动通信系统(GSM)做出改进。UMTS网络利用UMTS地面无线电接入网(UTRAN)作为其空中接口(无线电接入技术)以使得移动站接入UMTS网络,例如参见3GPP标准的25.xxx系列。GSM网络利用通用分组无线电服务(GPRS)作为其空中接口以使得移动站接入GSM网络,例如参见3GPP标准的23.xxx系列。
此外还知道,长期演进(LTE)网络是由3GPP规定的网络,其被开发来改进UMTS标准并且为下一代移动宽带提供增强的用户体验和简化的技术。LTE无线电接入技术被称作演进型UMTS地面无线电接入(E-UTRA),其网络被称作演进型分组系统(EPS)。关于E-UTRA的细节例如可以在3GPP标准的36.xxx系列中找到。
鉴于有多种网络协议和无线电接入技术可用,并且鉴于通信系统往往具有混合性质(例如使用两种或更多种无线电接入技术或网络协议)并且同时一种或更多种更新的通信标准逐渐取代一种或更多种较早的通信标准,已经知道移动装备(例如智能电话、便携式计算机等等)的制造商将其移动装备设计成具有通过多种无线电接入技术和网络协议进行操作的能力。因此,已经知道某些移动装备具有多模式能力,从而能够例如选择性地操作在两种模式(比如GSM模式或EPS模式)的其中之一下,或者例如选择性地操作在三种模式(比如GSM模式、UMTS模式或EPS模式)的其中之一下。因此,当移动器件在通信系统中漫游时,其可以通过在给定地理区域中可用的任何一种或多种模式来接入系统。
但是已经发现,利用GSM技术操作的移动装备可能容易受到所谓的“中间人”(MITM)攻击。正如Ulrike Meyer等人在“A Man-in-the-MiddleAttack on UMTS(对于UMTS的中间人攻击)”(WiSe’04,Philadelphia,PA,2004年10月,其公开内容被全文合并在此以作参考)中所描述的那样,所述攻击允许入侵者向操作在GSM网络中的UMTS订户冒充有效GSM基站,而不管使用了UMTS认证和密钥协定的事实。因此,入侵者可以窃听所有移动站发起的通信量。这样就允许入侵者从没有疑心的移动站用户获得信息,比如信用卡信息、在线银行业务信息等等。
发明内容
本发明的原理提供了用于在例如包括混合式通信系统的环境中保护通信安全的技术。
例如在本发明的一方面中,一种方法包括:在其中至少一个计算器件被配置成选择性地操作在第一通信模式或第二通信模式下的混合式通信系统中,当确定被用来在第一通信模式下认证所述至少一个计算器件的认证数据是对于第二通信模式下的认证处理生成时,防止所述至少一个计算器件完成第一通信模式下的附连(attachment)处理。
在一个实施例中,第一通信模式是全球移动通信系统(GSM)模式,第二通信模式是通用移动电信系统(UMTS)模式和演进型分组系统(EPS)模式的其中之一。
所述防止步骤还可以包括:监测认证数据的一部分中的一个数值。所述数值可以包括被包含在认证数据中的认证管理字段中的一个比特值。所述比特值可以包括所述认证管理字段中的一个分离比特。所述分离比特可以在认证矢量的计算期间由所述至少一个计算器件的归属网络中的认证权威机构设定。
在一个实施例中,当所述数值被设定到第一数值时,所述至少一个计算器件终止附连处理。当所述数值被设定到第二数值时,所述至少一个计算器件继续附连处理。所述数值被设定到第一数值表明所述附连处理是安全性攻击的一部分。所述至少一个计算器件可以包括移动站(用户装备)。
有利的是,本发明的方法可以防止混合式通信系统中的中间人类型攻击。
通过结合附图阅读后面对于说明性实施例的详细描述,本发明的前述和其他目的、特征和优点将变得显而易见。
附图说明
图1示出了用于在移动站接入除其归属网络之外的其他网络时使用的认证和密钥协定过程。
图2示出了中间人攻击的第一阶段。
图3示出了中间人攻击的第二阶段,其中利用了根据本发明的一个实施例的用于防止攻击的方法。
图4示出了根据本发明的一个实施例的认证矢量。
图5示出了适于实施根据本发明的实施例的一种或更多种方法和协议的通信系统的一部分和计算器件的硬件架构。
具体实施方式
本发明的原理实现了与混合式通信系统相关联的安全通信的需求。在后面的实施例中,将使用混合式GSM/EPS、GSM/UMTS和GSM/UMTS/EPS系统来说明性地描述本发明的安全性技术和机制。但是应当理解的是,本发明的原理不限于利用GSM和EPS和/或UMTS通信模式的混合式通信系统,而是更一般地适用于多种其他混合式通信系统,在这些系统中将希望防止可能由于混合式通信系统中的一种通信模式所实施的安全性弱于该混合式通信系统中的另一种通信模式这一事实而发起的安全性攻击。
这里所使用的短语“混合式通信系统”通常是指支持两种或更多通信模式的通信系统。“通信模式”(或者简单地说“模式”)通常是指支持被用来为特定类型的通信网络提供通信和接入特征的特定无线电接入技术和/或网络协议的操作模式。举例来说,作为这里描述的说明性混合式通信系统的一部分的通信模式包括GSM通信模式和EPS通信模式和/或UMTS通信模式。
现在参照图1,其中示出了认证和密钥协定过程。该过程100总体上描述了当移动站(MS)接入除其归属网络之外的其他网络(访问网络)时发生的认证和密钥协定协议。过程100总体上示出了可以被使用在混合式通信系统中的认证和密钥协定协议。
如图所示,可以被使用在混合式通信系统中的移动站(MS)102(其也被称作“用户装备”或UE)由移动装备(ME)104和UMTS订户身份模块(USIM)106构成。移动站或用户装备的实例可以包括(但不限于)移动或蜂窝电话(比如所谓的“智能电话”)、便携式计算机、无线电子邮件器件、个人数字助理(PDA)或者某种其他用户移动通信器件。
已经知道,回程(backhaul)通常是指包括在系统的核心网络(或骨干)与整个系统的边缘处的小的子网之间的中间链路的通信系统部分。举例来说,在与基站通信的蜂窝电话构成本地子网(或者是无线电接入网或UTRAN/E-UTRAN,这取决于接入技术)的同时,蜂窝塔与核心网络之间的连接则开始去往PLMN(公共陆地移动网络)的核心的回程链接。举例来说,在典型的E-UTRA网络中,回程可以是指归属eNodeB(HeNB)与运营商的核心网络中的节点(即MME(移动性管理实体)、SGW(服务网关)、PGW(分组数据网络网关))之间的一条或更多条通信链路。已经知道,eNB充当用户装备(UE)节点接入PLMN的基站。应当理解的是,这里所使用的术语“节点”是指可以由通信系统的一个或更多网络采用或者与之相关联的一个或更多组件或者一个或更多器件(其中包括但不限于通信器件和计算器件)。
进一步如图1中所示,MS102通过访问位置寄存器(VLR)108与访问网络(其也被称作服务网络)通信。假设存在但是没有明确示出与MS102直接通信并且充当MS102到访问网络的接入点的eNB或基站系统(BSS)。eNB或BSS通常通过无线电网络控制器(RNC,未示出)和服务GPRS支持节点(SGSN,未示出)或移动交换中心(MSC,未示出)与VLR通信。VLR108与MS102的归属网络中的归属位置寄存器(HLR)110通信。该通信链路通常是经过访问网络中的SGSN/MSC和归属网络中的网关GSN(GGSN,未示出)或另一MSC。图1中的元件110还描绘出认证中心(AuC),其可以或者可以不驻留在与HLR功能相同的节点上,但是为了简单起见在图1中一同示出。应当理解的是,“归属网络”是MS向其订购特定服务的网络(因此,MS的用户是“订户”)。但是MS可以在归属网络之外“漫游”,但是仍然能够通过“访问网络”访问归属网络,并且从而访问所述服务。
如图1的过程100中所示,在步骤101中,ME104(MS102的一部分)在VLR108上登记。这可以包括由ME104向VLR108提供国际移动订户身份(IMSI)。IMSI是每一个MS所独有的永久标识符。为了最小化通过空中接口发送IMSI的次数,还可以使用本地(访问网络)有效的临时移动订户身份(TMSI)来标识MS102。
在步骤2中,VLR108通过HLR/AuC110从归属网络请求对应于MS102的认证数据。HLR/AuC110计算认证“五元组”或认证矢量(AV),认证“五元组”或认证矢量(AV)包括随机挑战RAND、相应的认证令牌AUTN、预期认证响应XRES、完整性密钥IK以及密码(加密)密钥CK。所计算的AV在步骤3中被发送到VLR108。
在步骤4中,VLR108向ME104发送认证挑战RAND和认证令牌AUTN,ME104在步骤5中把RAND和AUTN继续传递到USIM106(其也是MS102的一部分)。USIM106从认证令牌AUTN中提取出序列号(SQN)并且检查该SQN。如果SQN处于可接受范围内,则USIM106确信AUTN是最近由其归属网络发出的。USIM106随后计算其对于认证挑战RAND的响应RES,并且从AUTN计算IK和CK。
在步骤6中,RES、IK和CK被发送到ME104。ME104在步骤7中把RES发送到VLR108。VLR108随后通过把RES与XRES进行比较来验证MS102。如果RES与XRES相等,则MS102得到验证(对于通信系统得到认证)。
正如在前面提到的Ulrike Meyer等人所作的标题为“AMan-in-the-Middle Attack on UMTS(对于UMTS的中间人攻击)”(WiSe’04,Philadelphia,PA,2004年10月)的文章中所解释的那样,UMTS认证呼叫访问网络以便决定要采用何种安全性算法(从弱加密或者甚至无加密到强加密算法)。所述决定通过安全性模式命令消息被传达到MS。安全性模式命令消息还可以包括关于可能由MS在其最初开始连接处理时传达到访问网络的安全性能力的指示。利用完整性密钥IK对安全性模式命令消息进行完整性保护。在应对仅有UMTS的移动站时,把安全性能力传达回到最初提供所述安全性能力的MS以及利用完整性保护的这些步骤通常会确保防范中间人(MITM)攻击。但是正如进一步指出的那样,GSM认证并不利用这两个安全性步骤,并且使得具有组合UMTS/GSM用户装备的MS对于MITM攻击是开放的。
因此已经认识到,如果MS能够在混合式通信系统中操作在多种通信模式下并且其中一种通信模式包括GSM模式,则所述MS连同访问网络易于受到MITM攻击。但是还没有提出合理的解决方案以用于克服这样的问题。有利的是,本发明的说明性原理提供了用于克服这一问题的一种或更多种合理的解决方案,正如将在这里更加详细地描述的那样。
应当认识到,除GSM模式之外由MS的用户装备所支持的其他通信模式例如可以包括EPS模式和/或UMTS模式。举例来说,已经知道利用EPS和GSM以及EPS和UMTS操作的双模式MS,并且已经知道利用EPS、GSM和UMTS操作的三模式MS。虽然可以在这些和其他混合式实例中实施本发明的原理,我们在EPS/GSM多模式情境中说明性地描述了针对前面描述的MITM问题的一种解决方案。
因此,根据一个EPS/GSM混合式通信系统实施例,我们现在将描述MITM攻击以及一种用于防止所述攻击的技术。但是应当理解的是,这里所描述的说明性技术可以适用于支持至少两种通信模式并且其中一种通信模式易于受到MITM攻击的任何MS。
在这样的MITM攻击中,入侵者向操作在GSM网络中的EPS订户冒充有效GSM基站,而不管使用了EPS认证和密钥协定这一事实。因此,入侵者可以窃听所有移动站发起的通信量。这样就允许入侵者从没有疑心的MS用户获得信息。
在所述攻击的第一阶段中,攻击者获得受害者订户的IMSI和任何TMSI。这可以由攻击者利用他/她自身的网络节点(例如膝上型计算机或智能电话)向受害者订户的MS(受害者MS)发起认证处理来实现。在接收到受害者MS的IMSI和TMSI(如果有的话)之后,攻击者结束认证处理。在这一“嗅探(sniffing)”操作期间,攻击者还检测到受害者MS的安全性能力。
攻击者随后继续到第二阶段。该第二阶段在图2中示出。在图2中,攻击者的网络节点202被标记为“MS攻击者”。MS攻击者202向访问网络冒充受害者MS,以便从归属网络获得受害者MS的认证数据。利用该认证数据,MS攻击者可以随后向受害者MS冒充访问网络(从而是短语“中间人攻击”的由来)。在图2中,访问网络由网络元件MME204(从前面的内容回想到该元件是移动性管理实体)表示。MME204与受害者MS的归属网络的HLR/HSS206通信。HSS代表归属订户服务。
如图2中所示,步骤1包括由MS攻击者202向MME204发送受害者MS的安全性能力。在步骤2中,MS攻击者202还向MME204发送受害者MS的TMSI。如果MME204无法解析TMSI,则其在步骤3中向MS攻击者202发送身份请求。MS攻击者202通过在步骤4中向MME204发送受害者MS的IMSI来做出响应。
由于相信MS攻击者202的附连尝试是由受害者MS做出的合法EPS模式附连尝试,因此在步骤5中,MME204向受害者MS的归属网络发送针对认证数据的请求。所述请求被HLR/HSS206接收到。作为响应,在步骤6中,HLR/HSS206向MME204发送认证“四元组”或认证矢量(AV),认证“四元组”或认证矢量(AV)包括随机挑战RAND、相应的认证令牌AUTN、预期认证响应XRES以及根密钥KASME。EPS模式下的根密钥KASME被用于在EPS模式下进行完整性和加密保护。该密钥提供与UMTS中的完整性密钥IK和密码(加密)密钥CK类似的功能,并且实际上是从IK和CK导出的(因此这就是这里所提到的认证“四元组”与前面在图1中提到的认证“五元组”之间的差异)。在步骤7中,MME204向MS攻击者发送RAND和AUTN。利用该认证数据,MS攻击者202与访问网络断开连接从而结束虚假附连尝试,并且移动到第三阶段。MS攻击者例如可以通过将其网络节点断电而断开连接。
暂时回到在前面提到的Ulrike Meyer等人的文章中所提到的MITM攻击,“Ulrike Meyer”MITM类型攻击中的下一阶段涉及由受害者MS与MS攻击者建立连接,从而MS攻击者现在向受害者MS冒充GSM基站。受害者MS向MS攻击者发送其安全性能力和IMSI/TMSI。MS攻击者随后向受害者MS发送其从归属网络骗得的认证挑战RAND和认证令牌AUTN。由于相信该认证数据是响应于其当前附连尝试而来自其归属网络,因此受害者MS成功地验证认证令牌AUTN,并且利用认证响应RES做出应答。MS攻击者随后决定在其本身与受害者MS之间的空中接口上使用无加密或弱加密,并且向受害者MS发送表明所选择的加密算法的GSM密码模式命令。利用弱加密或无加密,MS攻击者能够从没有疑心的MS用户获得敏感信息(例如信用卡信息、在线银行业务信息等等)。攻击者随后可以使用该信息来坑害受害者。
根据本发明的原理,采用一种技术来克服前面描述的MITM攻击。这方面在图3的情境中示出。应当理解的是,图3示出了MITM攻击的最后一个阶段或第三阶段,其中MS攻击者(图3中的304)向受害者MS(图3中的302)冒充GSM基站。假设第一阶段(在图中没有明确示出)和第二阶段(在图2中示出)已经如前面所描述的那样发生。但是应当注意到,图3中示出的该过程被施行而不管MS正与冒充GSM基站的MS攻击者通信还是与合法的GSM基站通信,这是因为受害者MS不知道该GSM基站合法与否。相应地,出于下面的讨论的目的,我们将把元件304称作“BSS”(基站系统),尽管在该例中其是冒充BSS的MS攻击者。
如图3的步骤1中所示,MS302向BSS304提供其安全性能力。这是在RNC连接建立期间进行的。在步骤2中,MS302向BSS304提供其TMSI和/或IMSI。回想到MS攻击者已经具有该信息(来自前面描述的第一阶段),但是仍然接收该信息,以便保持冒充。在步骤3中,BSS304向MS302发送其先前从归属网络骗得的认证RAND和认证令牌AUTN(回想到对于MS攻击者这是在第二阶段(图2)发生的)。
但是取代像在前面描述的“Ulrike Meyer”MITM类型攻击中所做的那样验证AUTN并且计算RES并且随后向BSS304发送RES,本发明的原理提供检查认证令牌AUTN中的一个特定比特字段,即AUTN的认证管理字段(AMF)中的“分离比特”。3GPP TS(技术规范)33.401(其公开内容被全文合并在此以作参考)把AMF字段中的比特位置零(0)定义为分离比特,并且声明如果网络类型等于E-UTRAN,则AUTN的AMF字段中的分离比特应当被设定到逻辑水平一(1),以便向UE表明认证矢量仅可用于EPS情境中的认证和密钥协定(AKA)过程,并且如果分离比特被设定到逻辑水平零(0),则AV仅可用于非EPS情境(例如GSM、UMTS)。图4示出了AKA认证矢量400并且总体上示出了如何生成AUTN、RAND和XRES。应当提到的是,在EPS操作中,KASME由归属网络从CK和IK导出。虽然在图4中为了简单起见没有明确示出,但是在TS33.401中描述了对应于这样的导出的过程。更加重要的是,图4还示出了AMF字段402在认证矢量中所处的位置。AMF字段402中的分离比特由归属网络中的一个节点设定,比如AuC(认证中心)或HLR/HSS。
现在回到图3中的步骤4,MS302检查其接收自BSS304的AUTN,以便查看AMF字段中的分离比特被设定到什么数值。如果被设定到逻辑1,则在步骤5中,多模式MS302知道该认证矢量来自EPS认证和密钥协定(AKA)过程(也就是说与EPS模式相关联),并且由MS302终止附连过程。也就是说,当受害者MS(通过AMF分离比特被设定到1)确定其接收自冒充GSM基站的MS攻击者的认证令牌AUTN是来自EPS AKA过程时(这实际上正是MS攻击者在攻击的第二阶段中获得该认证令牌AUTN的方式),则其知道这可能是MITM攻击,并且有利地终止附连从而使得攻击无法继续。
但是如果被设定到表明可能正在发生合法的GSM基站附连过程的逻辑0,则在步骤6中,MS302的USIM解析AUTN(其包括消息认证代码或者MAC和SQN)并且导出认证响应和GSM RES。也就是说,MS302继续对BSS304的附连过程,这是因为AMF分离比特向MS表明认证令牌AUTN是来自合法的GSM基站。MS302随后在步骤7中向BSS304发送认证响应和GSMRES。BSS在步骤8中决定要使用哪一种GSM加密算法。BSS随后在步骤9中向MS302发送带有所选算法的GSM密码模式命令消息。
因此,总而言之,在对于混合式EPS/GSM通信系统的MITM攻击的最后一个阶段中,攻击者伪装成合法的GSM BSS并且重放在攻击的前一个阶段中记录的EPS AV。其中一个AV分量包含认证令牌AUTN,其在其中一个信息元素中具有AMF分离比特。由于该AUTN属于EPS AV,因此该AMF分离比特被设定到数值“1”。当UE打开AUTN并且到达AMF分离比特时,其将看到接收自GSM BSS的AV实际上是对于一个不同的域(即EPS域)生成的。因此,UE将决定终止附连过程。但是如果AMF分离比特被设定到数值“0”,则UE将继续附连、计算RES并且在认证响应消息中向GSM BSS发送RES。
应当认识到,虽然图3中的MITM防止方法是在EPS/GSM实施例的情境中描述的,但是也可以类似地实施其他混合式通信模式实施例,其中包括(但不限于)UMTS/GSM实施例或EPS/UMTS/GSM实施例。应当提到的是,在每一个这样的示例性实施例中,GSM模式都是多模式系统中的共同的弱安全性链路。但是还应当认识到,所述弱安全性链路也可以是某种其他通信模式(即除GSM之外的其他模式),该其他通信模式具有可能被攻击者在任何多模式或混合式通信环境中利用的一个或更多安全性缺陷。
最后,图5示出了根据本发明的前述原理的适于实施MITM防止的混合式通信系统500的一部分的一般化硬件架构。
如图所示,移动站(MS)510(对应于MS302)和基站系统520(对应于BSS304,其可能是MS攻击者或合法BSS)可操作地通过通信网络介质550耦合。所述网络介质可以是MS和基站能够被配置成在其上通信的任何网络介质。举例来说,所述网络介质可以载送IP分组,并且可以涉及前面提到的任何通信网络。但是本发明不限于特定类型的网络介质。虽然没有在这里明确示出但是应当被理解成可操作地耦合到所述网络介质的MS和/或BSS是在图1-4的情境中示出或描述的其他网络元件(其可以具有与后面描述的相同的处理器/存储器配置)。
本领域技术人员将很容易看到,各个元件可以被实施为在计算机程序代码的控制下操作的已编程计算机。所述计算机程序代码将被存储在计算机(或处理器)可读存储介质(例如存储器)中,并且所述代码将由计算机的处理器执行。根据本发明的公开内容,本领域技术人员可以很容易产生适当的计算机程序代码以便实施这里所描述的协议。
然而,图5还总体上示出了对于通过网络介质通信的每一个器件的示例性架构。如图所示,MS510包括I/O器件512、处理器514和存储器516。BSS520包括I/O器件522、处理器524和存储器526。
应当理解的是,这里所使用的术语“处理器”意图包括一个或更多处理器件(其包括中央处理单元(CPU)或其他处理电路),其中包括(但不限于)一个或更多信号处理器、一个或更多集成电路等等。此外,这里所使用的术语“存储器”意图包括与处理器或CPU相关联的存储器(比如RAM、ROM)、固定存储器器件(例如硬盘驱动器)或者可移除存储器器件(例如盘或CDROM)。此外,这里所使用的术语“I/O器件”意图包括用于向处理单元输入数据的一个或更多输入器件(例如键盘、鼠标),以及用于提供与处理单元相关联的结果的一个或更多输出器件(例如CRT显示器)。
相应地,用于施行这里所描述的本发明的方法的软件指令或代码可以被存储在其中一个或更多相关联的存储器器件中(例如ROM、固定或可移除存储器),并且当准备好要利用时被加载到RAM中并且由CPU执行。也就是说,图5中所示的每一个计算器件(510和520)可以被单独编程来施行在图1到4中描绘的协议和功能的其对应步骤。此外还应当理解的是,方框510和方框520可以分别通过多个分立网络节点或计算器件来实施。
虽然在这里参照附图描述了本发明的说明性实施例,但是应当理解的是,本发明不限于这些确切的实施例,并且在不背离本发明的范围或精神的情况下可以由本领域技术人员做出各种其他改变和修改。
Claims (10)
1.一种方法,其包括:
在其中至少一个计算器件被配置成选择性地操作在第一通信模式或第二通信模式下的混合式通信系统中;
当确定被用来在第一通信模式下认证所述至少一个计算器件的认证数据是对于第二通信模式下的认证处理生成时,防止所述至少一个计算器件完成第一通信模式下的附连处理。
2.如权利要求1所述的方法,其中,第一通信模式是全球移动通信系统(GSM)模式,第二通信模式是通用移动电信系统(UMTS)模式和演进型分组系统(EPS)模式的其中之一。
3.如权利要求1所述的方法,其中,所述防止步骤还包括:监测认证数据的一部分中的数值。
4.如权利要求3所述的方法,其中,所述数值包括被包含在认证数据中的认证管理字段中的比特值。
5.如权利要求3所述的方法,其中,当所述数值被设定到第一数值时,所述至少一个计算器件终止附连处理。
6.如权利要求5所述的方法,其中,当所述数值被设定到第二数值时,所述至少一个计算器件继续附连处理。
7.如权利要求5所述的方法,其中,所述数值被设定到第一数值表明所述附连处理是安全性攻击的一部分。
8.如权利要求7所述的方法,其中,所述安全性攻击包括中间人攻击。
9.一种设备,其包括:
存储器;以及
至少一个处理器,其耦合到所述存储器并且被配置成在混合式通信系统中选择性地操作在第一通信模式或第二通信模式下,并且当确定被用来在第一通信模式下施行认证的认证数据是对于第二通信模式下的认证处理生成时,防止完成第一通信模式下的附连处理。
10.一种用户装备,其包括:
在其中所述用户装备被配置成选择性地操作在第一通信模式或第二通信模式下的混合式通信系统中;
存储器;以及
至少一个处理器,其耦合到所述存储器并且被配置成当确定被用来在第一通信模式下施行认证的认证数据是对于第二通信模式下的认证处理生成时,防止完成第一通信模式下的附连处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/047,256 | 2011-03-14 | ||
| US13/047,256 US8897751B2 (en) | 2011-03-14 | 2011-03-14 | Prevention of eavesdropping type of attack in hybrid communication system |
| PCT/US2012/027526 WO2012125309A1 (en) | 2011-03-14 | 2012-03-02 | Prevention of eavesdropping type of attack in hybrid communication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103430582A true CN103430582A (zh) | 2013-12-04 |
| CN103430582B CN103430582B (zh) | 2017-05-10 |
Family
ID=45816008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280012997.1A Active CN103430582B (zh) | 2011-03-14 | 2012-03-02 | 防止混合式通信系统中的窃听类型的攻击 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8897751B2 (zh) |
| EP (1) | EP2687034B1 (zh) |
| JP (1) | JP5676019B2 (zh) |
| KR (1) | KR101539242B1 (zh) |
| CN (1) | CN103430582B (zh) |
| BR (1) | BR112013021995B1 (zh) |
| WO (1) | WO2012125309A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852954A (zh) * | 2021-09-15 | 2021-12-28 | 支付宝(杭州)信息技术有限公司 | 保护gprs网络中数据安全的方法和装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4844645B2 (ja) * | 2009-03-26 | 2011-12-28 | 株式会社デンソー | 近距離無線通信機能付きメール操作装置 |
| CN103379490A (zh) * | 2012-04-12 | 2013-10-30 | 华为技术有限公司 | 用户设备的认证方法、装置及系统 |
| CN103781069B (zh) * | 2012-10-19 | 2017-02-22 | 华为技术有限公司 | 一种双向认证的方法、设备及系统 |
| US9172580B1 (en) * | 2013-08-08 | 2015-10-27 | Sprint Communications Company L.P. | Selecting transceiver for wireless network based on security keys |
| EP3191591A1 (en) * | 2014-09-12 | 2017-07-19 | Alnylam Pharmaceuticals, Inc. | Polynucleotide agents targeting complement component c5 and methods of use thereof |
| US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
| US11190541B2 (en) | 2015-10-15 | 2021-11-30 | Nec Corporation | Monitor device, base station, monitoring method, control method, and non-transitory computer readable medium |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6466780B1 (en) * | 1997-09-03 | 2002-10-15 | Interlok Technologies, Llc | Method and apparatus for securing digital communications |
| US6556820B1 (en) * | 1998-12-16 | 2003-04-29 | Nokia Corporation | Mobility management for terminals with multiple subscriptions |
| FI111423B (fi) * | 2000-11-28 | 2003-07-15 | Nokia Corp | Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi |
| CN101167083B (zh) * | 2005-04-28 | 2010-12-22 | Nxp股份有限公司 | 用于通信设备的电路和发送控制方法 |
| CN101378591B (zh) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| WO2009062779A2 (en) * | 2007-11-15 | 2009-05-22 | Nokia Corporation | Integration of pre rel-8 home location registers in evolved packet system |
| PL2258126T3 (pl) * | 2008-04-02 | 2012-12-31 | Nokia Solutions & Networks Oy | Bezpieczeństwo dostępu do systemu evolved packet system z sieci innej niż 3 GPP |
| US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
| EP2384078A1 (en) * | 2010-04-30 | 2011-11-02 | Alcatel Lucent | Network control |
| US9445239B2 (en) * | 2010-10-15 | 2016-09-13 | Apple Inc. | Location based operation of a wireless mobile system |
-
2011
- 2011-03-14 US US13/047,256 patent/US8897751B2/en active Active
-
2012
- 2012-03-02 CN CN201280012997.1A patent/CN103430582B/zh active Active
- 2012-03-02 KR KR1020137023798A patent/KR101539242B1/ko active IP Right Grant
- 2012-03-02 BR BR112013021995-5A patent/BR112013021995B1/pt active IP Right Grant
- 2012-03-02 JP JP2013558036A patent/JP5676019B2/ja active Active
- 2012-03-02 EP EP12708481.2A patent/EP2687034B1/en active Active
- 2012-03-02 WO PCT/US2012/027526 patent/WO2012125309A1/en unknown
-
2014
- 2014-10-07 US US14/508,254 patent/US9398459B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101399767A (zh) * | 2007-09-29 | 2009-04-01 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "3GPP System Architecture Evolution (SAE);Security architecture(Release 9)", 《3GPP TS 33.401 V9.6.0 (2010-12)》, 31 December 2010 (2010-12-31) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113852954A (zh) * | 2021-09-15 | 2021-12-28 | 支付宝(杭州)信息技术有限公司 | 保护gprs网络中数据安全的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2687034A1 (en) | 2014-01-22 |
| JP2014511070A (ja) | 2014-05-01 |
| US9398459B2 (en) | 2016-07-19 |
| WO2012125309A1 (en) | 2012-09-20 |
| BR112013021995B1 (pt) | 2022-12-20 |
| CN103430582B (zh) | 2017-05-10 |
| EP2687034B1 (en) | 2018-09-12 |
| US20150024714A1 (en) | 2015-01-22 |
| US20120238245A1 (en) | 2012-09-20 |
| KR101539242B1 (ko) | 2015-07-24 |
| US8897751B2 (en) | 2014-11-25 |
| BR112013021995A2 (pt) | 2021-10-05 |
| JP5676019B2 (ja) | 2015-02-25 |
| KR20130125810A (ko) | 2013-11-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863982B2 (en) | Subscriber identity privacy protection against fake base stations | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| Norrman et al. | Protecting IMSI and user privacy in 5G networks | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| KR100625503B1 (ko) | 무선 통신 시스템에서 비밀 공유 데이터를 갱신하는 방법 | |
| TWI492654B (zh) | 用於保障無線中繼節點安全的方法和裝置 | |
| CN103430582A (zh) | 防止混合式通信系统中的窃听类型的攻击 | |
| US20160262015A1 (en) | Identity privacy in wireless networks | |
| KR102456280B1 (ko) | 원격 통신 네트워크의 단말 내에서 모바일 장비와 협력하는 보안 엘리먼트를 인증하기 위한 방법 | |
| CN108353283B (zh) | 防止来自伪基站的攻击的方法和装置 | |
| CN103096311A (zh) | 家庭基站安全接入的方法及系统 | |
| CN110583036B (zh) | 网络认证方法、网络设备及核心网设备 | |
| Khan et al. | Vulnerabilities of UMTS access domain security architecture | |
| Mobarhan et al. | Evaluation of security attacks on UMTS authentication mechanism | |
| Ahmadian et al. | New attacks on UMTS network access | |
| US20220038904A1 (en) | Wireless-network attack detection | |
| Apostol et al. | Improving LTE EPS-AKA using the security request vector | |
| Liu et al. | The untrusted handover security of the S-PMIPv6 on LTE-A | |
| Khan et al. | The Threat of Distributed Denial-of-Service Attack for User Equipment in 5G Networks | |
| Kumar et al. | Enhanced Attach Procedure for Prevention of Authentication Synchronisation Failure Attack | |
| Fidelis et al. | ENHANCED ADAPTIVE SECURITY PROTOCOL IN LTE AKA | |
| Sheikhan et al. | DoS Attacks in UMTS Equipped with GAA as a Security Service for Multimedia Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |