[发明专利]用于用户平面业务特性和网络安全性的方法和系统

权利要求书

1.一种在网络元件处用于监测用于用户设备的用户平面业务的方法，所述方法包括：

针对所述用户设备与所述网络元件之间的用户平面业务，配置特性集合以及针对所述特性集合中的每个特性的值的范围；

在所述网络元件处监测用于所述用户设备的用户平面业务，所述监测确定所述用户平面业务的至少一个特性是否落在所配置的所述值的范围之外，导致特性违背；

如果所述用户平面业务的所述至少一个特性落在所配置的所述值的范围之外，则执行由所述特性违背引起的动作；

其中所述动作包括以下至少一项：

触发去往所述用户设备的安全消息，所述安全消息包含与所述特性违背相关联的信息；

通过对所述用户设备执行DETACH过程并且还通过从所述用户设备执行ATTACH过程来执行连接重建；

触发用于所述用户设备的认证过程；以及

如果所述用户平面业务在不具有完整性和加密保护中的至少一项的情况下被传输，所述动作包括开启加密或完整性保护中的至少一项。

2.根据权利要求1所述的方法，其中所述特性集合包括从组中被选择的至少一个特性，所述组包括：所述用户设备位置；去往或来自所述用户设备的业务量；用于所述用户设备的业务的当日时间；与所述用户设备的连接数；所述用户设备处的会话的持续时间；在时间段期间从所述用户设备发送的数据分组的最大数目；针对来自所述用户设备的分组的数据类型；用于来自所述用户设备的分组的目的地地址；以及用于所述用户设备的允许订阅使用。

3.根据权利要求1所述的方法，其中所述配置在所述用户设备与所述网络元件之间的附接过程期间被执行。

4.根据权利要求1所述的方法，其中所述动作包括在公共陆地移动网络、网络管理功能中触发警报。

5.根据权利要求1所述的方法，其中所述动作包括丢弃去往或来自所述用户设备的分组。

6.一种用于监测用户设备的用户平面业务的网络元件，所述网络元件包括：

处理器；以及

通信子系统，

其中，所述网络元件被配置为：

针对所述用户设备与所述网络元件之间的用户平面业务，配置特性集合以及针对所述特性集合中的每个特性的值的范围；

在所述网络元件处监测用于所述用户设备的用户平面业务，所述监测确定所述用户平面业务的至少一个特性是否落在所配置的所述值的范围之外，导致特性违背；

如果所述用户平面业务的所述至少一个特性落在所配置的所述值的范围之外，则执行由所述特性违背引起的动作；

其中所述动作包括以下至少一项：

触发去往所述用户设备的安全消息，所述安全消息包含与所述特性违背相关联的信息；

通过对所述用户设备执行DETACH过程并且还通过从所述用户设备执行ATTACH过程来执行连接重建；

触发用于所述用户设备的认证过程；以及

如果所述用户平面业务在不具有完整性和加密保护中的至少一项的情况下被传输，所述动作包括开启加密或完整性保护中的至少一项。

7.根据权利要求6所述的网络元件，其中所述特性集合包括从组中被选择的至少一个特性，所述组包括：所述用户设备位置；去往或来自所述用户设备的业务量；用于所述用户设备的业务的当日时间；与所述用户设备的连接数；所述用户设备处的会话的持续时间；在时间段期间从所述用户设备发送的数据分组的最大数目；针对来自所述用户设备的分组的数据类型；用于来自所述用户设备的分组的目的地地址；以及用于所述用户设备的允许订阅使用。

8.根据权利要求6所述的网络元件，其中所述网络元件被配置为在所述用户设备与所述网络元件之间的附接过程期间配置所述特性集合。

9.根据权利要求6所述的网络元件，其中所述动作包括在公共陆地移动网络网络管理功能中触发警报。

10.根据权利要求6所述的网络元件，其中所述动作包括丢弃去往或来自所述用户设备的分组。

11.一种计算机可读介质，用于存储程序指令，所述程序指令用于监测用于用户设备的用户平面业务，所述程序指令在由网络元件的处理器执行时使所述网络元件：

针对所述用户设备与所述网络元件之间的用户平面业务，配置特性集合以及针对所述特性集合中的每个特性的值的范围；

在所述网络元件处监测用于所述用户设备的用户平面业务，所述监测确定所述用户平面业务的至少一个特性是否落在所配置的所述值范围之外，导致特性违背；

如果所述用户平面业务的所述至少一个特性落在所配置的所述值范围之外，则执行由所述特性违背引起的动作；

其中所述动作包括以下至少一项：

触发去往所述用户设备的安全消息，所述安全消息包含与所述特性违背相关联的信息；

通过对所述用户设备执行DETACH过程并且还通过从所述用户设备执行ATTACH过程来执行连接重建；

触发用于所述用户设备的认证过程；以及

如果所述用户平面业务在不具有完整性和加密保护中的至少一项的情况下被传输，所述动作包括开启加密或完整性保护中的至少一项。