[发明专利]用于用户平面业务特性和网络安全性的方法和系统

说明书

一种在网络元件处用于监测用户设备的用户平面业务的方法，该方法包括：针对用户设备与网络元件之间的用户平面业务，配置特性集合以及特性集合中的每个特性的值范围；在网络元件处监测用于用户设备的用户平面业务，该监测确定用户平面业务的至少一个特性是否落在所配置的值范围之外、导致特性违背；以及如果用户平面业务的至少一个特性落在所配置的值范围之外，则执行由特性违背引起的动作。

技术领域

本公开涉及移动网络中的用户平面通信，具体地涉及关于用户平面通信的网络安全性。

背景技术

用户设备(UE)与网络之间的业务的完整性和机密性可能会产生处理能力的成本，并且还可能减少UE处的电池寿命。在没有安全性的情况下操作可能会导致部署具有更长电池寿命和更少处理能力的设备。

然而，通过空中发送不受保护的通信可能会给网络和UE带来安全性风险，包括但不限于：窃听；发起者欺骗；注入无效数据；或服务(DoS)拒绝攻击。

不受保护的连接可能允许可以损坏路由上的数据，这可能对网络基础设施或性能产生影响。

由于这种风险，网络运营商不愿允许不受保护的网络连接。

附图说明

参照附图将更好地理解本公开，其中：

图1是示出了示例演进型分组核心网络架构的框图；

图2是示出了如由演进型分组核心中的分组数据控制协议层提供的用户平面机密性的框图；

图3是示出了示例演进型分组核心网络架构的框图，该示例演进型分组核心网络架构具有被添加到分组数据网络网关的安全性策略实施功能；

图4是示出了示例第五代网络架构的框图，该示例第五代网络架构具有被添加到用户平面功能的安全性策略实施功能；

图5是示出了用户平面功能处的特性和参数的配置的数据流图；

图6是示出了示例ATTACH(附接)过程的数据流图；

图7是示出了用于监测分组数据以确定时间段内的累积数据量是否超过参数阈值的过程的过程图；

图8是示出了用于监测分组数据以确定用户设备的位置的过程的过程图；

图9是示出了用于监测分组数据类型以确保期望的分组数据类型被网络传送的过程的过程图；

图10是用于更新关于检测到异常的策略的数据流图；

图11是示出了向用户设备发送指示已检测到异常的安全消息的数据流图；

图12是示出了在检测到异常之后用户平面分组的丢弃以及进一步可选地释放与用户设备的RRC连接的数据流图；

图13是示出了在检测到异常之后发起计数器检查过程的数据流图；

图14是示出了在检测到异常之后发起与用户设备的认证请求的数据流图；

图15是示出了在检测到异常之后的DETACH(分离)过程的数据流图；

图16是示出了用户设备的RRC_RECONFIGURATION以在检测到异常之后开启加密和/或完整性检测的数据流图；

图17是示出了示例DETACH过程的数据流图；

图18是示出了能够与本公开的方法和实施例一起使用的简化计算设备的框图；以及

图19是能够与本公开的方法和实施例一起使用的示例用户设备的框图。

具体实施方式