一种在演进接入网络中实现安全性保证的方法

摘要

本发明公开了一种在演进接入网络中实现安全性保证的方法，UE和演进接入网络分别维护有一个以上计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，该方法包含：演进接入网络在设定条件满足时，向UE发起数据量检查，UE或演进接入网络将自身维护的计数器值与对端提供的计数器值进行比较，演进接入网络根据是否存在值不一致的计数器的检查结果进行后续处理，使得能够根据检查结果确定演进接入网络的安全性。另外，UE与演进接入网络之间传输的信息或信令、消息均使用UE与演进接入网络之间共享的密钥进行完整性保护，通过该完整性保护进一步实现了周期性本地认证。

说明书

技术领域

本发明涉及演进接入网络技术，特别是指一种在演进接入网络中实现安全性保证的方法。

背景技术

为了保持第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)接入系统的竞争力，正在进行网络演进方面的长期演进(LTE，Long Term Evolution)和系统架构演进(SAE，SystemArchitecture Evolution)的研究。网络演进的目标是简化网络结构、降低接入时间延迟。

图1示出了LTE/SAE接入网络架构示意图，如图1所示，aGW(E-UTRAN Access Gateway)是演进全球陆地无线接入网络(E-UTRAN，Enhanced Universal Terrestrial Radio Access Network)的接入网关，位于安全的物理位置，eNodeB或演进节点B是E-UTRAN中的演进基站，处于不安全的物理位置，极有可能受到攻击。

由于空中接口的信道是极其不稳定的信道，在此信道上发生数据包丢失的可能性非常大；另外，由于空中接口所具有的无线特性，攻击者可以很容易地在空中接口上发起包插入、包删除等攻击；此外，eNodeB处于不安全的物理位置，极易受人恶意攻击，这样，在E-UTRAN中亟需提供能够实现安全性保证的方案，以保证用户终端(UE，User Equipment)与E-UTRAN之间的上、下行数据量一致。

发明内容

有鉴于此，本发明的目的在于提供一种在演进接入网络中实现安全性保证的方法，对UE与演进接入网络之间传输的数据量是否一致进行检查，以进一步根据检查结果确定演进接入网络的安全性。

为了达到上述目的，本发明提供了一种在演进接入网络中实现安全性保证的方法，用户终端UE和演进接入网络分别维护有至少一个计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，该方法包含以下步骤：

A、演进接入网络在设定条件满足时，向UE发起数据量检查；

B、UE或演进接入网络将自身维护的计数器值与对端提供的计数器值进行比较；

C、演进接入网络根据是否存在值不一致的计数器的检查结果进行后续处理。

所述步骤A为：演进接入网络在设定条件满足时，向UE提供自身维护的计数器值；所述步骤B为：UE将收到的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器，并向演进接入网络返回检查结果。

步骤A中所述计时器值携带在数据包数量检查请求中；步骤B中所述检查结果携带在数据包数量检查响应中。

所述步骤A为：演进接入网络在设定条件满足时，向UE发起数据量的检查；所述步骤B为：UE向演进接入网络提供自身维护的计数器值，演进接入网络将收到的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器。

步骤A中所述向UE发起数据量的检查为：向UE发送数据包数量检查请求；步骤B中所述UE向演进接入网络提供自身维护的计数器值携带在数据包数量检查响应中。

所述演进接入网络：为演进接入网络中的演进基站；或为演进接入网络中的接入网关aGW。

所述演进接入网络为演进接入网络中的演进基站时，所述UE和演进基站分别维护的计数器为第一计数器，该方法进一步包括步骤D：演进基站向aGW发送第一计数器的检查结果；UE和aGW分别维护第二计数器，aGW在设定条件满足时，向UE发起数据量检查，UE或aGW将自身维护的第二计数器值与对端提供的第二计数器值进行比较，aGW得到第二计数器的检查结果，aGW根据第一计数器和第二计数器的检查结果，对演进基站和连接状态进行分析。

所述根据第一计数器和第二计数器的检查结果对演进基站和连接状态进行分析为：第一计数器和第二计数器的检查结果均一致，表明演进基站、UE与演进基站之间的连接、演进基站与aGW之间的连接均正常；第一计数器的检查结果一致、第二计数器的检查结果不一致，表明UE与演进基站之间的连接正常，演进基站、或演进基站与aGW之间的连接异常；第一计数器的检查结果不一致，则表明UE、或UE与演进基站之间的无线连接异常。

所述分析结果为演进基站异常时，所述步骤D之后进一步包括：aGW指示UE或演进基站断开当前连接；或aGW指示UE或演进基站断开当前连接，并进一步使UE选择另一演进基站进行通信；或所述分析结果为演进基站与aGW之间的连接异常时，所述步骤D之后进一步包括：释放与eNodeB之间的连接。

所述第一计数器或第二计数器的检查结果中出现值不一致的计数器的次数达到设定次数时，所述步骤D之后进一步包括：aGW向核心网络CN上报UE异常。

UE由源演进基站切换至目标演进基站时，该方法进一步包括：源演进基站根据目标演进基站的请求，向目标演进基站提供其维护的、有关UE的计数器，或UE向目标演进基站提供其维护的计数器；UE由源aGW切换至目标aGW时，该方法进一步包括：源aGW根据目标aGW的请求，向目标aGW提供其维护的、有关UE的计数器，或UE向目标aGW提供其维护的计数器。

所述计数器使用二者的共享密钥进行完整性保护。

如果存在值不一致的计数器，则步骤C中所述后续操作为：断开当前连接；或向上层报告错误。

所述UE与演进接入网络之间交互的信息使用二者的共享密钥进行完整性保护。

所述设定条件为：设定周期到期；或计数器值达到设定值；或收到检查命令。

根据本发明提出的方法，UE和演进接入网络分别维护有一个或多个计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，演进接入网络在设定条件满足时，向UE发起数据量检查，UE或演进接入网络将对端提供的计数器值与自身维护的计数器值进行比较，演进接入网络根据是否存在值不一致的计数器的检查结果进行后续处理，使得能够根据检查结果确定演进接入网络的安全性。

另外，UE与演进接入网络之间传输的信息或信令、消息均使用UE与演进接入网络之间共享的密钥进行完整性保护，通过该完整性保护进一步实现了周期性本地认证。

附图说明

图1示出了LTE/SAE接入网络架构示意图；

图2A示出了本发明中第一种实现方式示意图；

图2B示出了本发明中第二种实现方式示意图；

图3示出了本发明中实施例一示意图；

图4示出了本发明中实施例二示意图；

图5示出了本发明中实施例三示意图；

图6A示出了UE在不同eNodeB之间进行切换示意图；

图6B示出了本发明中UE在不同aGW之间进行切换示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

本发明中，UE和演进接入网络分别维护有一个或多个计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，即计数器值随UE与演进接入网络之间传输的数据量的变化而变化，演进接入网络在设定条件满足时，向UE发起数据量检查，UE或演进接入网络将对端提供的计数器值与自身维护的计数器值进行比较，演进接入网络根据是否存在值不一致的计数器的检查结果进行后续处理。

以上所述计数器可为一个计数器，该计数器值用于表示传输的所有数据的数量；可为上行计数器和下行计数器，上行计数器值用于表示传输的上行数据的数量，下行计数器值用于表示传输的下行数据的数量；也可为上下文计数器，该上下文计数器值用于表示某一上下文上传输的数据的数量；还可为上下文上行计数器和上下文下行计数器，上下文上行计数器值用于表示某一上下文上传输的上行数据的数量，上下文下行计数器值用于表示某一上下文上传输的下行数据的数量。

以上所述设定条件满足可为设定周期到期、或一个或多个计数器值达到设定值、或收到检查命令，等等。

以上所述演进接入网络根据是否存在值不一致的计数器进行后续处理具体可为：如果UE维护的计数器值与演进接入网络维护的计数器值一致，则演进接入网络可直接结束当前数据量检查流程；如果UE维护的计数器值与演进接入网络维护的计数器值不一致，则演进接入网络可释放UE与演进接入网络之间的连接、或向上层报告错误。

图2A示出了本发明中第一种实现方式示意图，如图2A所示，UE和演进接入网络分别维护有一个或多个计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，具体实现包括以下步骤：

步骤201A：演进接入网络在设定条件满足时，向UE提供自身维护的计数器值。如果演进接入网络中维护有多个与UE相关的计数器，并且当前需要对多个计数器进行检查，则演进接入网络可同时向UE提供部分或所有与UE相关的计数器值。

步骤202A：UE收到演进接入网络提供的计数器值后，将收到的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器。如果演进接入网络同时向UE提供多个计数器，则UE将收到的计数器与自身维护的相对应的计数器进行比较，例如，演进接入网络同时向UE提供了上行计数器和下行计数器，UE将收到的上行计数器与自身维护的上行计数器进行比较，将收到的下行计数器与自身维护的下行计数器进行比较。

步骤203A：UE向演进接入网络提供检查结果，具体可为如果不存在值不一致的计数器，则UE可向演进接入网络发送一条空消息，以通知演进接入网络不存在值不一致的计数器；如果存在值不一致的计数器，则向演进接入网络提供值不一致的计数器。

步骤204A：演进接入网络收到检查结果后，根据是否存在值不一致的计数器进行后续处理。

如果演进接入网络向UE提供了多个计数器，并且UE确定存在值不一致的部分计数器，则演进接入网络可针对值不一致的计数器，进行断开连接、上报错误等操作；对于值一致的计数器，可不进行其他处理。

图2B示出了本发明中第二种实现方式示意图，如图2B所示，UE和演进接入网络分别维护有一个或多个计数器，所述计数器值用于表示UE与演进接入网络之间传输的数据量，具体实现包括以下步骤：

步骤201B：演进接入网络在设定条件满足时，向UE发起数据量的检查。

步骤202B：UE获知演进接入网络发起数据量的检查后，向演进接入网络提供自身维护的计数器值。如果UE中维护有多个计数器，并且当前需要对多个计数器进行检查，则UE可同时向演进接入网络提供部分或所有计数器值。

步骤203B：演进接入网络收到UE提供的计数器值后，将收到的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器。如果UE同时向演进接入网络提供多个计数器，则演进接入网络将收到的计数器与自身维护的相对应的计数器进行比较，例如，UE同时向演进接入网络提供了上行计数器和下行计数器，演进接入网络将收到的上行计数器与自身维护的上行计数器进行比较，将收到的下行计数器与自身维护的下行计数器进行比较。

步骤204B：演进接入网络根据是否存在值不一致的计数器进行后续处理。

如果演进接入网络向UE提供了多个计数器，并且UE确定存在值不一致的部分计数器，则演进接入网络可针对值不一致的计数器，进行断开连接、上报错误等后续操作；对于值一致的计数器，可不进行其他处理。

另外，演进接入网络对UE与演进接入网络之间传输的数据量是否一致进行检查时，UE和演进接入网络可分别向对端提供自身维护的计数器，然后对端将收到的计数器与自身维护的计数器进行比较，然后UE向演进接入网络返回检查结果，演进接入网络确定收到的检查结果与自身得到的检查结果是否一致，如果一致，且存在值不一致的计数器，则演进接入网络可针对值不一致的计数器，进行断开连接、上报错误等后续操作；如果不一致，且存在值不一致的计数器，则演进接入网络可再次和UE进行传输的数据量的检查。

图3示出了本发明中实施例一示意图，如图3所示，本实施例中，UE和eNodeB分别维护有一个或多个计数器，所述计数器值用于表示UE与eNodeB之间传输的数据包数量，具体实现包括以下步骤：

步骤301：eNodeB在设定条件满足时，eNodeB向UE发送数据包数量检查请求，该数据包数量检查请求中携带有eNodeB维护的计数器值。如果eNodeB维护有多个计数器，并且当前需要对多个计数器进行检查，则数据包数量检查请求中可携带有多个计数器值。

步骤302：UE收到数据包数量检查请求后，将携带在数据包数量检查请求中的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器。

步骤303：UE向eNodeB返回数据包数量检查响应，如果不存在值不一致的计数器，则该数据包数量检查响应可为一条不携带任何内容的消息，以通知演进接入网络不存在值不一致的计数器；如果存在值不一致的计数器，则该数据包数量检查响应中携带有值不一致的计数器，以通知演进接入网络存在值不一致的计数器。

步骤304：eNodeB收到数据包数量检查响应后，根据是否存在值不一致的计数器进行后续处理。

以上对本实施例的实现方式描述为通过第一种实现方式实现，实际应用中，也可通过第二种实现方式来实现。

图4示出了本发明中实施例二示意图，如图4所示，本实施例中，UE和aGW分别维护有一个或多个计数器，所述计数器值用于表示UE与aGW之间传输的数据包数量，具体实现包括以下步骤：

步骤401：aGW在设定条件满足时，向UE发送数据包数量检查请求，发起数据包数量的检查。

步骤402：UE收到数据包数量检查请求后，向aGW返回数据包数量检查响应，该数据包数量检查响应中携带有UE维护的计数器值。如果UE中维护有多个计数器，并且当前需要对多个计数器进行检查，则该数据包数量检查响应中携带有部分或所有计数器值。

步骤403：aGW收到数据包数量检查响应后，将携带在数据包数量检查响应中的计数器值与自身维护的计数器值进行比较，确定是否存在值不一致的计数器。

步骤404：aGW根据是否存在值不一致的计数器进行后续处理。

以上对本实施例的实现方式描述为通过第二种实现方式实现，实际应用中，也可通过第一种实现方式来实现。

如果检查结果出现值不一致的计数器的次数达到设定值时，aGW可向核心网络(CN，Core Network)上报UE异常，CN可将相应UE载入黑名单，拒绝该UE接入网络。所述次数中的一次为进行一次计数器的检查、且出现值不一致的计数器，该次数可为连续累计的，也可为不连续累计的。

实际应用中还可将实施例一和实施例二结合起来，分别进行UE与eNodeB之间传输的数据包数量的检查、UE与aGW之间传输的数据包数量的检查，然后aGW根据两个检查结果对eNodeB和连接的状态进行分析。

图5示出了本发明中实施例三示意图，如图5所示，本实施例中，UE和eNodeB分别维护有一个或多个计数器，如N-Counter，相应计数器值用于表示UE与eNodeB之间传输的数据包数量，UE和aGW分别维护有一个或多个计数器，如G-Counter，相应计数器值用于表示UE与aGW之间传输的数据包数量，具体实现包括以下步骤：

步骤501：根据第一种实现方式或第二种实现方式，aGW对UE与aGW之间传输的数据包数量的检查，aGW得到G-Counter的检查结果。

步骤502～步骤503：根据第一种实现方式或第二种实现方式，eNodeB对UE与eNodeB之间传输的数据包数量的检查，eNodeB得到N-Counter的检查结果，然后eNodeB向aGW上报N-Counter的检查结果。

步骤501与步骤502～步骤503没有明显的执行顺序，可先执行步骤501，然后再执行步骤502～步骤503；也可先执行步骤502～步骤503，然后再执行步骤501；还可同时执行步骤501和步骤502～步骤503。

步骤504：由于通过对N-Counter的检查，可确定UE与eNodeB之间的连接是否正常，通过对G-Counter的检查，可确定eNodeB或eNodeB与aGW之间的连接是否正常，因此，aGW可根据N-Counter和G-Counter的检查结果，对eNodeB和连接的状态进行分析。具体分析如下，如果N-Counter和G-Counter的检查结果均一致，则表明eNodeB、UE与eNodeB之间的连接、eNodeB与aGW之间的连接均正常；如果N-Counter的检查结果一致、G-Counter的检查结果不一致，则表明UE与eNodeB之间的连接正常，eNodeB或eNodeB与aGW之间的连接异常；由于N-Counter体现的是UE与eNodeB之间在空中接口上传输的数据包数量，G-Counter体现的是UE与aGW之间传输的数据包数量，是包含空中接口数据传输量的网络数据传输量，因此，只要N-Counter的检查结果不一致，G-Counter的检查结果必然不一致，即使G-Counter的检查结果一致，也视为由于网络出错而导致的，这样，只要N-Counter的检查结果不一致、无论G-Counter的检查结果是否一致，都表明UE、或UE与eNodeB之间的无线连接异常；如果N-Counter和G-Counter的检查结果均不一致，则表明eNodeB、或UE与eNodeB之间的连接、或eNodeB与aGW之间的连接异常。

aGW可根据分析结果确定后续操作，例如，如果分析结果为eNodeB异常，则aGW可通知UE或eNodeB释放UE与eNodeB之间的连接，并可进一步使UE选择另一eNodeB进行通信；如果分析结果为eNodeB与aGW之间的连接异常，则释放与eNodeB之间的连接。

另外，当eNodeB向aGW上报N-Counter的检查结果时，如果N-Counter或G-Counter检查结果出现值不一致的计数器的次数达到设定值时，aGW可向CN上报，CN可将相应UE载入黑名单，拒绝该UE接入网络。

以上描述中仅是采用N-Counter和G-Counter对UE与eNodeB之间和UE与aGW之间维护的计数器进行区分，并非用于限定eNodeB和aGW各自维护的计数器的名称。

以上所述UE与演进接入网络之间传输的信息或信令、消息均使用UE与演进接入网络之间共享的密钥进行完整性保护，通过该完整性保护可进一步实现周期性本地认证，即演进接入网络或UE向对端发送使用共享密钥进行完整性保护的信令，如果对端的信息与经过完整性保护的信息相匹配，则对端通过当前的本地认证。

此外，UE在不同eNodeB或不同aGW之间进行切换时，为保证UE与切换后的eNodeB之间、或UE与切换后的aGW之间维护的计数器保持一致，本发明中还提出了对计时器的维护方案。

图6A示出了UE在不同eNodeB之间进行切换示意图，如图6A所示，UE由源eNodeB切换至目标eNodeB，为使目标eNodeB与UE维护的计数器能够保持一致，可通过三种方式实现：一种处理方法是目标eNodeB请求源eNodeB提供其维护的、与UE相关的计数器，源eNodeB收到该请求后，向目标eNodeB提供自身维护的、与UE相关的计数器；另一种处理方法是目标eNodeB请求UE提供其维护的计数器，UE收到该请求后，向目标eNodeB提供自身维护的计数器；第三种处理方法是UE完成eNodeB的切换后，主动向目标eNodeB提供自身维护的计数器，通过以上描述的处理使目标eNodeB与UE维护的计数器在正常情况下能够保持一致。以上所述源eNodeB与目标eNodeB之间、UE与目标eNodeB之间传输的信息或信令、消息均使用二者之间共享的密钥进行完整性保护。

图6B示出了本发明中UE在不同aGW之间进行切换示意图，如图6B所示，UE由源aGW切换至目标aGW，为使目标aGW与UE维护的计数器能够保持一致，可通过三种方式实现：一种处理方法是目标aGW请求源aGW提供其维护的、与UE相关的计数器，源aGW收到该请求后，向目标aGW提供自身维护的、与UE相关的计数器；另一种处理方法是目标aGW请求UE提供其维护的计数器，UE收到该请求后，向目标aGW提供自身维护的计数器；第三种处理方法是UE完成aGW的切换后，主动向目标aGW提供自身维护的计数器，通过以上描述的处理使目标aGW与UE维护的计数器在正常情况下能够保持一致。以上所述源aGW与目标aGW之间、UE与目标aGW之间传输的信息或信令、消息均使用二者之间共享的密钥进行完整性保护。

如果UE在进行aGW切换的同时，还需要进行eNodeB的切换，为保持目标eNodeB与UE维护的计数器的一致，具体处理与上面对应于图6A的描述相同。

本发明中将演进接入网络中的演进基站称为eNodeB，实际应用中也可称为演进节点B，无论是称作eNodeB还是称作演进节点B，其作用都是相同的。

总之，以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。