ES2569501T3 - Identificación de una estación base manipulada o con defectos durante un traspaso - Google Patents

Identificación de una estación base manipulada o con defectos durante un traspaso Download PDF

Info

Publication number
ES2569501T3
ES2569501T3 ES08873669.9T ES08873669T ES2569501T3 ES 2569501 T3 ES2569501 T3 ES 2569501T3 ES 08873669 T ES08873669 T ES 08873669T ES 2569501 T3 ES2569501 T3 ES 2569501T3
Authority
ES
Spain
Prior art keywords
base station
scaps
pal
information related
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08873669.9T
Other languages
English (en)
Inventor
Karl Norrman
Bernard Smeets (Ben)
Rolf Blom
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2569501T3 publication Critical patent/ES2569501T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/108Source integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/34Reselection control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0083Determination of parameters used for hand-off, e.g. generation or modification of neighbour cell lists
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método en una estación base de una red de comunicación, que actúa como una estación base de destino (401), para permitir detección de una estación base manipulada o con defectos, que actúa como una estación base de origen (400), en conexión con un traspaso de un equipo de usuario -UE- (300), dicho método que comprende los pasos de: - recibir (600) una lista de algoritmos priorizada -PAL- desde la red, dicha lista que enumera algoritmos permitidos para su uso cuando se comunica dicho UE en orden de prioridad; - recibir (601) información relacionada con las capacidades de seguridad -SCAP- de UE desde la estación base de origen para el UE que se traspasa entre las dos estaciones base; - seleccionar (602) al menos un algoritmo que tiene la prioridad más alta según la PAL de entre los algoritmos que se soportan por dicho UE según dicha información relacionada con las SCAP de UE y por la estación base de destino, caracterizado por el paso de - notificar (603) la información relacionada con las SCAP de UE recibida a un nodo de red central que tiene conocimiento de las SCAP de UE de dicho UE, permitiendo por ello a dicho nodo de red central usar dicha información relacionada con las SCAP de UE para detección de una estación base manipulada o con defectos.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Identification de una estacion base manipulada o con defectos durante un traspaso CAMPO TECNICO
La presente invention se refiere a detection de estaciones base manipuladas o con defectos en una red de telecomunicacion celular.
ANTECEDENTES
El 3GPP esta estandarizando actualmente la Evolution a Largo Plazo (LTE), que es la continuation de redes 3G. En LTE el cifrado y la protection de integridad del plano de usuario y los datos de control de recursos radio se realizan por la estacion base, en este contexto conocida normalmente como el Nodo B evolucionado (eNB). Cuando el enlace de comunicacion de un terminal, es decir, un Equipo de Usuario (UE), se traspasa desde un eNB a otro eNB, el eNB de origen informa al eNB de destino sobre que algoritmos se soportan por el Ue y que algoritmos se permiten para uso por la red. De entre los algoritmos permitidos por la red y soportados por el UE y el eNB de destino, el eNB de destino entonces selecciona el algoritmo que se considera que es el mejor, segun criterios de selection predefinidos.
En tal situation, un eNB de origen comprometido puede modificar las listas, indicando que algoritmos soporta el UE, cuales permite la red y/o el orden de prioridad de los algoritmos que soporta la red. Dado que el eNB de destino no tiene posibilidad de verificar la autenticidad de estas listas, no puede detectar si un eNB de origen malicioso esta enganandole en la selection de un algoritmo debil y posiblemente incluso roto. Tal configuration de ataque se conoce tlpicamente como un ataque de oferta a la baja.
El grupo de trabajo de seguridad en el 3GPP ha acordado proporcionar una solution para detection de este tipo de ataque de oferta a la baja.
Para la compresion de como se puede organizar la serialization de traspaso presente, tal procedimiento, segun la tecnica anterior, se describira ahora con referencia al diagrama de serialization de la figura 1. La serialization de traspaso descrita cumple con la Especificacion Tecnica TS 36.300, “3rd Generation Partnership Project; Technical Specification Group Radio Access Network; Evolved Universal Terrestrial Radio Access (E-UTRA) and evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description; Stage 2”, mayo de 2008.
En un primer paso 1:1, un eNB de origen 101 configura procedimientos de medicion de UE segun la information de area restringida. Como se indica con los pasos 1:2 a 1:5, un UE 100 prepara y envla, un informe de medicion al eNB 101 al que esta unido actualmente, es decir, el eNB de servicio que se llama el eNB de origen en caso de una situation de traspaso, en donde el UE 100 mide la intensidad de los eNB circundantes y notifica el resultado. El eNB de servicio 101 decide traspasar el UE 100 a un eNB de destino 102 seleccionado, como se indica con un siguiente paso 1:6. El eNB de origen 101 entonces solicita un traspaso desde el eNB de destino, pasando information necesaria a un eNB de destino 102, como se indica con un siguiente paso 1:7. En esta etapa, el eNB de destino 102 puede realizar un procedimiento de control de admision, como se indica con otro paso 1:8, despues del cual el eNB de destino 102 acepta la petition, como se indica con un paso 1:9 y en respuesta el eNB de origen 101 envla un comando de traspaso al Ue, que se une al eNB de destino y envla un mensaje de confirmation de traspaso a el, como se indica con otro paso 1:11. En los pasos posteriores 1:12-1:18 se ejecutan preparaciones de traspaso, que comprenden, por ejemplo, sincronizacion, entre el UE 100 y el eNB de destino 102. Cuando el eNB de destino 102 recibe el mensaje de confirmation de traspaso enviado en un paso 1:19, informa a la Entidad de Gestion de Movilidad (MME) 104 en la red central acerca de la nueva ubicacion del UE 100, como se indica con un siguiente paso 1:20. En pasos posteriores 1:21-1:28, la MME asegura que todos los datos enviados a y recibidos desde, el UE 100 se realizan ahora a traves del eNB de destino 102, como se indica en un paso final 1:29.
Segun el procedimiento descrito anteriormente, no hay forma, no obstante, para la MME 103 de verificar que la information que recibio en la petition de conmutacion de camino en el paso 1:20 es correcta y digna de confianza. Hay actualmente dos soluciones bajo discusion en el grupo de trabajo de seguridad en el 3GPP (SA WG3) para manejar el problema mencionado anteriormente. Una se proporciona en el documento S3-080169 (P-CR) “AS algorithms selection mismatch indication” Nokia, Nokia Siemens Networks, 25-29 de febrero de 2008. En resumen la solution descrita en este documento sugiere que, anterior a ejecutar un procedimiento de traspaso, un UE esta notificando sus capacidades de seguridad a una Entidad de Gestion de Movilidad (MME), que a su vez envla al UE un conjunto de algoritmos permitidos. La MME ademas envla una lista ordenada por prioridad de algoritmos, conteniendo solamente algoritmos soportados por el UE, al eNB de servicio, que selecciona uno de estos algoritmos para su uso. Si, durante un procedimiento de traspaso, el UE advierte que el algoritmo seleccionado para su uso en la celda de destino no esta incluido en el conjunto de algoritmos permitidos, notifica esto a la MME, el informe que incluye la identidad de celda (ID de celda) de la primera celda donde se detecto la falta de coincidencia. No obstante, este metodo sufre del problema de que no es posible para el eNB de destino o el UE detectar si el eNB de origen ha modificado el orden de los algoritmos en la lista de redes de algoritmos permitidos. Ademas, el mecanismo de notification requerido sera complejo, dado que se requiere un procedimiento de Estrato No de Acceso (NAS),
5
10
15
20
25
30
35
40
45
50
55
60
65
permitiendo al UE notificar el evento descrito a la MME. Usar este mecanismo tambien provocara un aumento de carga en la interfaz aerea entre el UE y el eNB de destino.
Otra solucion al mismo problema se propone en el documento S3-080054 “AS algorithm policy handling”, Ericsson, 25-29 de febrero de 2008 y que consta basicamente de los siguientes pasos:
1. El UE envla sus capacidades de seguridad de UE (SCAP de UE), es decir, sus algoritmos soportados, a la MME.
2. La MME selecciona una lista de algoritmos, aqul conocida como MME_prio_list, en orden de prioridad.
3. La MME envla la MME_prio_list y las SCAP de UE al eNB de servicio.
4. La MME envla la MME_prio_list y la integridad de las SCAP de UE protegidas al UE.
5. El eNB de destino se configura a traves de Operacion y Mantenimiento (O&M) con un conjunto enumerado de algoritmos permitidos, conocido como O&M_allowed_set.
6. El eNB de destino selecciona un algoritmo que se puede identificar en todas de las tres de las SCAP de UE, MME_prio_list y O&M_allowed_set.
7. El UE notifica su MME_prio_list y las SCAP de UE al eNB de destino.
8. Si el eNB de destino determina que la MME_prio_list y las SCAP de UE recibidas desde el UE no son las mismas que las recibidas desde el eNB de origen puede deducir que ha ocurrido un ataque de oferta a la baja y puede tomar la/s accion/acciones adecuada/s.
No obstante, esta solucion no solamente requiere una lista separada de algoritmos, configurados en cada eNB, dado que el UE tiene que proporcionar informacion al eNB de destino en un comando de confirmacion de traspaso, tambien aumenta el uso de ancho de banda en el enlace aereo establecido.
Tambien el documento S3-070554, “Bidding down attack at eNB to eNB active mode handover”, Ericsson, 10-13 de julio de 2007, aborda este problema. Se sugieren diferentes soluciones, por ejemplo que el UE pueda informar a la MME acerca del algoritmo seleccionado, por lo cual la MME puede compararlo con las capacidades de UE y las capacidades de eNodoB para detectar una falta de coincidencia. No obstante, una coincidencia no significa necesariamente que la informacion sobre las capacidades del UE recibidas desde el eNodoB de origen no fuese modificada. Ademas, tal planteamiento basado en UE presentado en el documento S3-070554 implica mensajes adicionales entre el UE y la MME, que se anaden a la complejidad del UE.
COMPENDIO
Es un objeto de la presente invention abordar el problema, al menos algunos de los problemas perfilados anteriormente. Mas especlficamente es un objeto de la invencion proporcionar un procedimiento mejorado para detection de ataques de oferta a la baja en funciones de seguridad que se originan desde una estacion base manipulada o con defectos.
Segun una realization, se proporciona un metodo en una estacion base de una red de comunicacion, que actua como una estacion base de destino, para permitir la deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen en conexion con un traspaso de un equipo de usuario (UE; 300), en donde el metodo comprende los pasos de:
- recibir una lista de algoritmos priorizada (PAL) desde la red, en donde la lista esta enumerando algoritmos permitidos para su uso cuando se comunica con el UE en orden de prioridad;
- recibir la informacion relacionada con las capacidades de seguridad (SCAP) de UE desde la estacion base de origen para el UE que se traspasa desde la estacion base de origen a la estacion base de destino;
- seleccionar al menos un algoritmo que tiene la prioridad mas alta segun la PAL de entre los algoritmos que se soportan por el UE segun la informacion relacionada con las SCAP de UE y por la estacion base de destino y
- notificar la informacion relacionada con las SCAP de UE recibida a un nodo de red central que tiene conocimiento de las SCAP de UE del UE, permitiendo por ello al nodo de red central usar la informacion relacionada con las SCAP de UE para deteccion de una estacion base manipulada o con defectos.
Un aspecto adicional de la invencion se refiere a un metodo en un nodo de red central de una red de comunicacion para deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen, en conexion con un traspaso de un equipo de usuario (UE) a una estacion base de destino, en donde el metodo comprende los pasos de:
- recibir y almacenar una Lista de Algoritmos Priorizada (PAL) desde la red, en donde la lista esta enumerando algoritmos permitidos para el UE en orden de prioridad;
- recibir y almacenar capacidades de seguridad (SCAP) de UE desde el UE;
- recibir, desde la estacion base de destino, informacion relacionada con las SCAP de UE del UE, donde la informacion relacionada con las SCAP de UE se ha notificado desde la estacion base de origen a la estacion base de destino previamente durante el procedimiento de traspaso y
5
10
15
20
25
30
35
40
45
50
55
60
65
- verificar la informacion relacionada con las SCAP de UE recibida desde la estacion base de destino a fin de detectar una estacion base manipulada o con defectos comparando al menos parte de las SCAP de UE almacenadas con la informacion relacionada con las SCAP de UE.
Aun otro aspecto de la invencion se refiere a una estacion base de una red de comunicacion, capaz de actuar como una estacion base de destino, para permitir la detection de una estacion base manipulada o con defectos, que actua como una estacion base de origen, en conexion con un traspaso de un equipo de usuario (UE), en donde la estacion base comprende:
- medios de reception para recibir una lista de algoritmos priorizada (PAL) desde la red, en donde la lista esta enumerando algoritmos permitidos para uso cuando se comunica con el UE en orden de prioridad y para recibir informacion relacionada con las capacidades de seguridad (SCAP) de UE desde la estacion base de origen para el UE que se traspasa entre las dos estaciones base;
- medios de selection (502) para seleccionar al menos un algoritmo a partir de la PAL que tiene la prioridad mas alta segun la PAL de entre los algoritmos que se soportan por el UE segun la informacion relacionada con las SCAP de UE y que se soporta por la estacion base y
- medios de notification (503) para notificar la informacion relacionada con las SCAP de UE recibida a un nodo de red central (200) que tiene conocimiento de las SCAP de UE del UE a traves de unos medios de transmision (504), permitiendo por ello al nodo de red central usar la informacion relacionada con las SCAP de UE para deteccion de una estacion base manipulada o con defectos.
Aun otro aspecto de la invencion se refiere a un nodo de red central de una red de comunicacion para deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen, en conexion con un traspaso de un equipo de usuario (UE) a una estacion base de destino, en donde el nodo de red central comprende:
- medios de recepcion para recibir una Lista de Algoritmos Priorizada (PAL) desde la red y almacenar dicha PAL, en donde la lista esta enumerando algoritmos permitidos para el UE en orden de prioridad, para recibir capacidades de seguridad (SCAP) de UE desde el UE y para almacenar las SCAP de UE y para recibir informacion relacionada con las SCAP de UE del UE desde la estacion base de destino, donde las SCAP de UE se han notificado desde la estacion base de origen a dicha estacion base de destino previamente durante el procedimiento de traspaso y
- medios de verification (203) para verificar la informacion relacionada con las SCAP de UE recibida desde la estacion base de destino a fin de detectar una estacion base manipulada o con defectos comparando al menos parte de las SCAP de UE almacenadas con la informacion relacionada con las SCAP de UE.
El nodo de red central es tlpicamente una Entidad de Gestion de Movilidad (MME).
En caso de que se use la misma PAL para todos los UE, se puede comunicar una PAL global desde la red o bien directamente desde el sistema de operation y mantenimiento a cada estacion base en la red y a un nodo de red central, tal como, por ejemplo, una MME o bien se puede comunicar al nodo de red central, que a su vez distribuye la PAL global a todas las estaciones base en la red.
Tambien es posible que la misma PAL se envle a una cierta parte de la red, pero que diferentes partes de la red tengan diferentes PAL. Alternativamente, la PAL es unica para cada UE, de manera que puede contener solamente algoritmos que se conoce que son soportados por el UE. En tal caso, la PAL unica de UE se distribuye desde la red a la estacion base de destino a traves de la estacion base de origen.
Ademas, dado que todas las estaciones base son conscientes del orden de prioridad correcto debido a la PAL, la invencion proporciona alta granularidad dado que ademas de detectar que el algoritmo seleccionado para uso en la celda de destino no reside en el conjunto de algoritmos permitidos, ademas detecta ataques de oferta a la baja entre los algoritmos dentro del conjunto.
Ademas, el mecanismo sugerido es simple de implementar, dado que no sera necesaria una configuration separada de la estacion base. Ademas, no se requieren nuevos procedimientos de serialization dado que toda informacion asociada con el mecanismo de verificacion sugerido se puede llevar a cuestas en mensajes ya existentes. Por ejemplo, cuando la estacion base de destino envla un mensaje de conmutacion de camino a un nodo de red central, tal como una MME, lleva a cuestas las SCAP de UE recibidas desde la estacion base de origen en este mensaje. En este punto el nodo de red central puede verificar que las SCAP de UE recibidas desde la estacion base de destino coinciden con las SCAP de UE que se almacenan en el nodo de red central. Si hay una falta de coincidencia, el nodo de red central se puede configurar para tomar una o mas acciones adecuadas. La identidad del eNB de origen tambien se puede llevar a cuestas en el mensaje de conmutacion de camino, de manera que el nodo de red central sera capaz de determinar que eNB se esta comportando mal o funcionando mal. El UE no necesita estar implicado en el procedimiento descrito, reduciendo por ello la complejidad requerida del terminal. Los recursos radio tambien se utilizaran mas eficientemente cuando se ejecuta el mecanismo sugerido dado que no se requiere senalizacion separada entre el terminal y el eNB para este proposito.
5
10
15
20
25
30
35
40
45
50
55
60
65
Otros objetos, ventajas y nuevos rasgos de la invencion llegaran a ser evidentes a partir de la siguiente descripcion detallada de la invencion cuando se considera en conjunto con los dibujos anexos.
BREVE DESCRIPCION DE LOS DIBUJOS
La presente invencion se describira ahora en mas detalle por medio de realizaciones ejemplares y con referencia a los dibujos adjuntos, en los que:
- La figura 1 es un diagrama de senalizacion, que ilustra senalizacion asociada con un procedimiento de traspaso, segun la tecnica anterior.
- La figura 2a y 2b son esquemas simplificados, que ilustran dos opciones alternativas para distribuir una Lista de Algoritmos Priorizados (PAL) global a las estaciones base de una red.
- La figura 3 es un diagrama de senalizacion, que ilustra como se pueden distribuir unas SCAP de UE, segun una realizacion.
- La figura 4 es un diagrama de senalizacion, que ilustra un procedimiento de traspaso que comprende los pasos para detectar un eNB de origen malicioso, segun una realizacion.
- La figura 5 es un diagrama de bloques, que ilustra una estacion base, adaptado para ejecutar el procedimiento de traspaso de la figura 4, segun una realizacion.
- La figura 6 es un diagrama de flujo, que ilustra los pasos ejecutados por una estacion base de destino que ayuda en una deteccion de una estacion base manipulada o con defectos, segun una realizacion.
- La figura 7 es un diagrama de bloques, que ilustra un nodo de red central, adaptado para ser capaz de detectar una estacion base manipulada o con defectos, segun una realizacion.
- La figura 8 es un diagrama de flujo, que ilustra los pasos a ser ejecutados por un nodo de red central para detectar una estacion base manipulada o con defectos, segun una realizacion.
DESCRIPCION DETALLADA
Descrita brevemente, la presente invencion se refiere a un metodo para detectar una estacion base manipulada o con defectos durante un procedimiento de traspaso. La presente invencion tambien se refiere a un nodo de red central adaptado para realizar el metodo sugerido y una estacion base adaptada para ayudar en la realizacion del metodo sugerido. Se debe observar que incluso aunque la descripcion en la presente memoria se proporciona en la configuracion de E-UTRAN, es igualmente aplicable a cualquier sistema donde un nodo de red central proporciona un conjunto de opciones de algoritmo a cualquier tipo de estaciones base radio, seleccionando uno o mas de los algoritmos para proteccion del enlace entre ellas y un UE. Por lo tanto, la configuracion de E-UTRAN de mas adelante se deberla considerar solamente como un ejemplo ilustrativo de una aplicacion de la invencion propuesta. En particular se senala que los mensajes particulares mencionados en los ejemplos en los que se pasa informacion entre entidades implicadas en un traspaso van a ser considerados solamente como ejemplos que ejemplifican y, de esta manera, que se pueden usar en su lugar otros mensajes alternativos.
Un metodo sugerido que implica un traspaso de una sesion de UE entre dos estaciones base, aqul conocidas como eNB, se pueden expresar segun la realizacion descrita mas adelante, en donde el metodo comprende los siguientes pasos principales:
1. Una lista de algoritmos permitidos se proporciona a los eNB de una red de comunicacion. Esta lista se ordena segun una prioridad especlfica, en donde, tlpicamente, los algoritmos con la prioridad mas alta son los mas deseables para su uso. De ahora en adelante, esta lista se conocera como la Lista de Algoritmos Priorizados (PAL). La PAL puede ser una lista que es unica por UE o usada globalmente con todos los UE.
2. Cuando un UE conecta con la red y proporciona sus algoritmos soportados, es decir, las capacidades de seguridad de UE, a partir de aqul en adelante conocidas como las SCAP de UE, el eNB de servicio selecciona el algoritmo con la prioridad mas alta segun la PAL soportada por el eNB de servicio.
3. Durante el traspaso, el eNB de origen proporciona las SCAP de UE al eNB de destino y el eNB de destino selecciona el algoritmo con la prioridad mas alta segun la PAL a partir de los algoritmos que estan presentes en las SCAP de UE y soportados por el eNB de destino.
4. Posterior al traspaso, el UE y el eNB de destino usan el algoritmo seleccionado por el eNB de destino en el paso 3 en la siguiente comunicacion.
5. El eNB de destino notifica las SCAP de UE a la MME, que verifica que el eNB de origen no ha manipulado las SCAP de UE durante el procedimiento de traspaso.
Por supuesto es posible que el eNB de origen comprometido modifique el algoritmo seleccionado antes de darlo al UE. Esto provocara no obstante solamente que el eNB de destino y el UE usen diferentes algoritmos y por lo tanto la conexion dara lugar a basura. En tal situacion el eNB liberarla, segun las especificaciones actuales en el 3GPP, el UE. El UE responderla estableciendo una nueva conexion tan pronto como tenga datos para enviar. De manera similar, si la red tiene datos para enviar al UE, se buscarla el UE. Por lo tanto, los efectos de tal escenario no seran duraderos.
Aunque el ejemplo anterior se refiere a la seleccion de un algoritmo, es obvio para cualquier experto en la tecnica que el procedimiento descrito se puede usar tambien para seleccionar diversos tipos de algoritmos, previstos para
5
10
15
20
25
30
35
40
45
50
55
60
65
diferentes propositos, por ejemplo, se puede seleccionar un algoritmo para proteccion de integridad, mientras que se selecciona otro para propositos de cifrado, usando el mismo mecanismo.
Mas adelante, se describiran en mas detalle pasos del metodo del mecanismo de deteccion sugerido, con referencia a ejemplos no limitantes.
Como se indico anteriormente, la Lista de Algoritmos de Prioridad (PAL) es una lista de algoritmos ordenados segun lo deseables que son para su uso. Esta lista se configura tlpicamente por el operador de la red y, dependiendo de la eleccion de implementation, como se explicara en mayor detalle mas adelante, se puede configurar de diferentes formas en diferentes areas cubiertas por la red.
Generalmente, hay dos casos principales a considerar para distribution de la PAL a los eNB. En el primer caso, la PAL es unica por UE. En tal caso la PAL tlpicamente contiene solamente algoritmos que se conoce que son soportados por el UE respectivo. Esta information se puede derivar a partir de las SCAP de UE del UE respectivo y del conocimiento acerca de algoritmos implementados o desaprobados erroneamente, deducidos a partir de la IMEI del UE o similar. Segun el ejemplo descrito, una PAL unica de UE se distribuye al eNB de servicio cuando el contexto de UE para el UE respectivo se establece en el eNB. En lo sucesivo este tipo de PAL se llamara una PAL unica de UE.
Otro caso en su lugar se refiere a una PAL comun que se usa con todos los UE en la red. En tal escenario, la PAL se puede distribuir a cualquier eNB en cualquier momento anterior al establecimiento de un contexto de UE en el eNB. De ahora en adelante este tipo de PAL se conocera como una PAL global.
Hay varias formas en las que este tipo de PAL se puede distribuir a los eNB de una red de comunicacion. Una solution posible se ilustra en la figura 2a. Dependiendo de como se maneja la polltica de seguridad en la red, puede ser preferible configurar esta lista en la MME 200 a traves de su interfaz de O&M 201 y tener la MME 200 que distribuye la PAL 202 a los eNB 203a, b, c bajo su control.
Una solucion alternativa se muestra en la figura 2b, que ilustra como se puede fijar el sistema de O&M 201 en su lugar para configurar los eNB 203a, b, c directamente con la PAL 202.
Cuando un UE se une a la red o llega a ser conocido por primera vez en una MME, por ejemplo, debido a una reubicacion de MME o movilidad de modo INACTIVO, informara a la MME de la red acerca de sus SCAP de UE o la MME recuperara las SCAP de UE a partir de la MME a la que se conecto previamente el UE.
La figura 3 muestra tal principio, segun una realization, donde las SCAP de UE de un UE 300 terminan en un eNB de servicio 301 cuando el UE 300 establece seguridad con el. En un primer paso 3:1 el UE 300 transmite las SCAP de UE a la MME 200. La MME almacena las SCAP de UE en unos medios de almacenamiento, como se indica con el siguiente paso 3:2 y en un paso posterior 3:3 las SCAP de UE se proporcionan al eNB de servicio 301. Como se explicara mas adelante la transferencia de las SCAP de UE desde la MME 200 al eNB 301 puede ser impllcita, si, por ejemplo, las SCAP de UE se usan para filtrar una PAL unica de UE. En tal caso la PAL filtrada se proporcionarla tambien al eNB de servicio 301 en el paso 3:3a. Como se indica en un paso opcional 3:3, tambien se puede distribuir una PAL unica al UE 300 en un mensaje asegurado entre la MME 200 y el UE 300, por ejemplo, a traves de un Comando de Modo de Seguridad NAS.
En base a las SCAP de UE y la PAL, entregadas en el paso 3:3, el eNB de servicio 301 selecciona algoritmo, como se indica en un siguiente paso 3:4. Despues de que se ha seleccionado el algoritmo, el UE 300 y el eNB de servicio 301 pueden intercambiar datos que se protegeran por el algoritmo seleccionado. Esto se ilustra como un procedimiento de transmision de datos, indicado con un paso final 3:5.
Tambien cuando se usa una PAL global, la MME puede modificar las SCAP de UE a fin de bloquear uno o mas algoritmos para un cierto UE. En tal escenario, la MME 200 puede enviar las SCAP de UE modificadas al eNB de servicio 301 en el paso 3:3, mientras que las SCAP de UE originales se envlan al UE 300.
En casos de reubicacion de MME en un traspaso, la MME de origen puede dotar a la MME de destino con las SCAP de UE y en este caso no hay necesidad por supuesto de que el UE las envle a la red de nuevo. Esto sirve solamente como un ejemplo de como se pasa la informacion desde el UE a la red. El hecho importante a senalar es que la MME almacena las SCAP para el UE.
Durante un traspaso entre los eNB el eNB de origen estara transfiriendo las SCAP de UE al eNB de destino en un comando de petition de traspaso, como se indica en la TS 36.300 referida previamente.
Para que un eNB malicioso engane al eNB de destino en el uso de un algoritmo menos deseable que el que se elegirla si el eNB de origen tuviera buen comportamiento, la unica posibilidad es modificar las SCAP de UE o la PAL en caso de que la PAL sea una PAL unica de UE. Un procedimiento para detectar un eNB de origen malicioso
5
10
15
20
25
30
35
40
45
50
55
60
65
durante un traspaso, segun una realization, se describira ahora en mas detalle por lo tanto con referencia a la figura 4.
En un primer paso 4:1, que corresponde al paso 1:1 de la figura 1, se reenvlan informes de medicion desde el UE 300 al eNB de origen 400. En base a estos informes, el eNB de origen 400 envla una petition de traspaso (HO) a un eNB de destino 401, como se indica con un siguiente paso 4:2. La petition de HO comprendera las SCAP de UE, transmitidas previamente al eNB 400 desde la MME o desde otro eNB si el eNB 400 estaba actuando como un eNB de destino en un traspaso previo. Como se menciono anteriormente, la petition de HO tambien puede comprender la PAL ademas de las SCAP de UE. Si la PAL y/o las SCAP de UE se proporcionan al eNB 400 como un valor de comprobacion aleatoria, el valor de comprobacion aleatoria pertinente de la PAL y/o las SCAP de UE se transmitira en la petition de HO en lugar de las listas reales. Sobre la base de la PAL y/o las SCAP de UE, el eNB de destino 401 selecciona un algoritmo bajo la suposicion de que el eNB de origen se comporta bien, como se indica con otro paso 4:3.
El eNB de destino 401 responde al eNB 400, que representa ahora el eNB de origen, con un reconocimiento de petition de HO, que comprende una indication del algoritmo seleccionado. Esto se indica con un paso 4:4 en la figura 4. En un siguiente paso 4:5, el eNB de origen 400 transmite un comando de traspaso, que comprende una indication del algoritmo seleccionado, al UE 300. Como se indica con otro paso 4:6, el trafico entre el Ue 300 y el eNB de destino 401 se protegera de ahora en adelante con el algoritmo seleccionado. El UE 300 entonces confirma el traspaso ejecutado al eNB de destino 401, en un siguiente paso 4:7. Una vez que se ha completado el traspaso desde el punto de vista de red radio, el eNB de destino 401 envla un mensaje de conmutacion de camino, tlpicamente una petition de conmutacion de camino, que comprende las SCAP de UE a la MME 200 para informar a la MME que el UE 300 ha cambiado la ubicacion. Esto se indica con un paso 4:8. Las SCAP de UE se pueden llevar a cuestas en el mensaje de conmutacion de camino. Si el eNB de destino 401 no tenia una pAl anterior al procedimiento de HO o si la PAL es unica de UE, es decir, la PAL se filtro por la MME 200, usando las SCAP de UE a fin de crear una PAL unica de UE y, por lo tanto, se proporciono al eNB de destino 401 desde el eNB de origen 400 en el paso 4:2, tambien la PAL se anade al mensaje de conmutacion de camino. La razon para hacer esto es ser capaz de verificar que la PAL no se ha manipulado por el eNB de origen. Como se menciono anteriormente, los valores de comprobacion aleatoria que representan la PAL y/o las SCAP de UE respectivas se pueden anadir al mensaje de conmutacion de camino en lugar de la lista respectiva. Si las SCAP de UE enviadas previamente al eNB de servicio fueron unas SCAP de UE modificadas, estas SCAP de UE modificadas se envlan al eNB de destino 401 en el paso 4:2 y a la MME 200 en el paso 4:8.
Cuando la MME 200 ha recuperado el mensaje de conmutacion de camino a partir del eNB de destino 401, puede verificar que las SCAP de UE son las mismas que las que ya se almacenaron en la MME, como se indica con un paso 4:9 y, en caso de que tambien se enviase la PAL unica de UE, que coincide con la copia de la PAL almacenada en la MME. Si cualquiera de estas comprobaciones falla, la MME toma una action adecuada, como se indica con un paso posterior 4:10. Tal action adecuada puede comprender, por ejemplo, liberar el UE de la red, registrar el evento y elevar una alarma al sistema de O&M.
Segun otra realization, alternativa, la solution propuesta se puede hacer incluso mas eficientemente sustituyendo la notification de las SCAP de UE y posiblemente tambien la PAL, con un valor de comprobacion aleatoria de las SCAP de UE y la PAL si es aplicable, en lugar de notificar los valores respectivos por tanto a la MME. En tal caso las SCAP de UE/PAL se comprueban aleatoriamente por el eNB de destino 401 y en lugar de las SCAP de UE/PAL se envla/n el/los valor/es de comprobacion aleatoria a la MME 200 en la petition de conmutacion de camino en el paso 4:8 y la comparacion hecha en el paso 4:9 se hace sobre la base de los valores de comprobacion aleatoria de la PAL y/o las SCAP de UE respectivas.
El tamano del valor de comprobacion aleatoria se puede elegir para ser justo lo bastante grande para obtener una probabilidad suficientemente baja de unas SCAP de UE erroneas no detectadas. Tlpicamente el numero de bits para el valor de comprobacion aleatoria se selecciona que sea menor que las SCAP de Ue comprimidas en si mismas. La MME tambien puede retener el valor de comprobacion aleatoria de las SCAP de UE iniciales. En esta configuration solamente necesitan ser comparados los dos valores de comprobacion aleatoria de las SCAP de UE y no las SCAP de UE reales en si mismas. Se puede usar un truco similar en caso de que la PAL necesite ser enviada desde el eNB de destino a la MME.
En caso de que, a traves de calculos previos, se descubra por la MME 200 que dos SCAP de UE diferentes tienen el mismo valor de comprobacion aleatoria la MME se puede configurar para comprobar aleatoriamente las SCAP de UE y un desplazamiento que la MME selecciona, por ejemplo, unas SCAP de UE concatenadas con una cadena de 32 bits, aqui conocida como la cadena MME_OFFS. La cadena MME_OFFS se envla entonces por la MME 200 al eNB de servicio 301 junto con las SCAP de UE o PAL en el paso 3:3 de la figura 3. Esta cadena se envla entonces junto con la SCAP de UE o PAL respectiva en los pasos 4:2 y 4:8 de la figura 4, antes de que se use tambien en el paso de comparacion 4:9, permitiendo por ello la distincion de las diferentes listas unas de otras.
La seguridad se puede fortalecer incluso mas si el valor de desplazamiento se notifica de vuelta a la MME por el eNB de destino junto con la comprobacion aleatoria de las SCAP de UE y desplazamiento en el paso 4:8. Incluso
5
10
15
20
25
30
35
40
45
50
55
60
65
una cadena combinada segun esta realizacion alternativa puede ser mas corta que la lista de SCAP de UE en si misma.
Los valores de comprobacion aleatoria se pueden generar e identificar usando cualquier tecnica convencional y, de esta manera, estos procedimientos no se describiran en ningun detalle adicional en este documento. Ejemplos de funciones de comprobacion aleatoria adecuadas pueden ser, por ejemplo, cualquier version truncada de SHA1, RIPEMD-160, que permiten un truncamiento de la cadena de salida de la funcion de comprobacion aleatoria.
Tambien puede ser de interes conocer que eNB ha manipulado cualquiera de las listas. Esto se puede lograr incluyendo tambien la identidad (ID de eNB) del eNB de origen en la peticion de conmutacion de camino enviada en el paso 4:8. Alternativamente, la MME puede ser capaz de identificar el eNB de origen de otra forma distinta de a traves de este mensaje. Cuando la ID de eNB del eNB de origen se proporciona a la MME, tal informacion se deberla manejar con cuidado sin embargo. En lugar de rechazar automaticamente un eNB desde la red que parece ser erroneo sobre la base de una ID de eNB, la informacion se deberla registrar preferiblemente y se deberla comprobar el eNB. La razon para esto es que un eNB malicioso puede enviar un mensaje de conmutacion de camino falsificado para rechazar los eNB que se comportan bien. Parece por lo tanto mas adecuado, por ejemplo, elevar una alarma y enviar un tecnico de campo para comprobar el eNB de origen sospechoso.
Una estacion base, tlpicamente un eNB, que ayudara a un nodo de red central, tlpicamente una MME, a identificar un eNB de origen malicioso segun los pasos de procedimiento mencionados anteriormente, tendra que ser adaptada en consecuencia. Tal estacion base, capaz de operar o actuar como una estacion base de destino, segun una realizacion ejemplar, se describira ahora en mas detalle con referencia a la figura 5.
Se tiene que entender que, ademas de los medios de estacion base descritos en este ejemplo que se adaptan para proporcionar funcionalidad de estacion base de destino a la estacion base, la estacion base tambien comprende medios convencionales adicionales, que permiten a la estacion base manejar tareas adicionales relacionadas con la estacion base, incluyendo operar como una estacion base de origen, todas segun las circunstancias actuales. No obstante, por razones de simplicidad se ha omitido cualquier medio que no sea necesario para la comprension del mecanismo que esta en lo presentado en este documento. La estacion base 401 comprende unos medios de recepcion convencionales 501, adaptados a recibir una peticion de HO, que comprenden la PAL y/o las SCAP de UE de una estacion base de origen 400. Los medios de recepcion 501 tambien se pueden adaptar para recibir una PAL global desde un nodo de red central 200, tal como una mMe. La estacion base 401 tambien comprende unos medios de seleccion 502, adaptados para seleccionar uno de los algoritmos que soporta, sobre la base de la informacion proporcionada a los medios de recepcion 501 y, si la PAL se recibio previamente desde la MME 200, tambien sobre la base de esta informacion.
Una vez que los medios de seleccion 502 han seleccionado un algoritmo, se adaptan para iniciar una notificacion de la informacion respectiva proporcionada a los medios de seleccion, es decir, la PAL y/o las SCAP de UE, a la MME. La notificacion se realiza por unos medios de notificacion 503, que transmiten la informacion a la MME a traves de una peticion de conmutacion de camino, a traves de unos medios de transmision convencionales 504. Los medios de notificacion 503 de la estacion base tambien se configuran para proporcionar una SCAP de UE/PAL para un UE que se traspasa desde la estacion base a una estacion base de destino cuando la estacion base esta actuando como una estacion base de origen, como se indica con el paso 4:2 en la figura 4.
Si va a ser aplicada la notificacion de valores de comprobacion aleatoria, los medios de notificacion tambien se adaptan para proporcionar un valor de comprobacion aleatoria de unas SCAP de UE/PAL, que se notifica al nodo de red central 200 a traves de los medios de transmision 504. Tal funcionalidad de comprobacion aleatoria se puede proporcionar usando cualquier tecnica convencional adaptada por lo tanto.
La funcion de la estacion base descrita anteriormente cuando ayuda a un nodo de red central en una deteccion de una estacion base manipulada o con defectos se puede ilustrar con un diagrama de bloques, como se ilustra con la figura 6.
En un primer paso 600, la estacion base recibe una PAL, que puede ser una PAL global, transmitida a todas las estaciones base de la red anterior al traspaso o una PAL transmitida desde una estacion base de origen durante un procedimiento de traspaso, tal como la descrita anteriormente, con referencia a la figura 4.
En un siguiente paso 601, la estacion base recibe unas SCAP de UE desde el UE en el que va a ser realizado el traspaso. En un paso posterior 602, la estacion base usa la PAL y las SCAP de UE para seleccionar uno o mas algoritmos. En un paso final 603, la estacion base notifica las SCAP de UE y posiblemente tambien la PAL, a la MME, permitiendo a la MME usar esta informacion para los propositos de verificacion requeridos.
Tambien el nodo de red central, en las realizaciones descritas ejemplificadas como una MME, tendran que ser adaptados en consecuencia y, de esta manera, tal nodo de red central, segun una realizacion ejemplificada se describira ahora en mayor detalle con referencia a la figura 7. En semejanza con la estacion base, tambien la
5
10
15
20
25
30
35
40
45
50
arquitectura descrita del nodo de red central se simplifica para omitir cualquier medio que no sean necesario para la comprension de los mecanismos descritos en el foco en este documento.
El nodo de red central 200, comprende unos medios de recepcion convencionales 701, adaptados pare recibir unas SCAP de UE tanto desde un UE 300 como desde una estacion base de destino 401. Los medios de recepcion tambien estan adaptados para recibir una PAL desde la red, como se indico anteriormente, con referencia o bien a la figura 2a o bien 2b. El nodo de red central 200 tambien comprende unos medios de almacenamiento 702 para almacenar unas SCAP de UE que se han recibido desde un UE como se describio anteriormente. Unas SCAP de UE recibidas desde una estacion base de destino 401 se reenvlan a unos medios de verification 703, que estan adaptados para comparar el valor recibido con el valor almacenado correspondiente. El nodo de red central 200 tambien comprende unos medios de transmision 704, adaptados para comunicar con una estacion base de servicio, como se indico anteriormente con referencia a la figura 3a o 3b. Si se usan valores de comprobacion aleatoria, los medios de verificacion 203 segun la realization ejemplificada tambien se adaptan a generar un valor de comprobacion aleatoria respectivo para la PAL y/o las SCAP de UE de un UE especlfico. Tales medios de verificacion estan adaptados ademas para comparar un valor de comprobacion aleatoria recibido desde una estacion base de destino con el valor de comprobacion aleatoria correspondiente de unas SCAP de UE o una PAL almacenadas. Ademas, la unidad de verificacion tambien se puede adaptar con una funcionalidad para identificar valores de comprobacion aleatoria identicos, tanto como, una funcionalidad para generar valores de desplazamiento para distinguir los valores de comprobacion aleatoria unos de otros y, en una etapa posterior, para comparar tales valores. Como se indico anteriormente, tal funcionalidad de generation y comparacion, as! como una funcionalidad para manejar valores de desplazamiento, se pueden proporcionar usando cualquier tecnica convencional y, de esta manera, esta tecnica no se describe mas alla en esta arquitectura de nodo de red central ejemplificada. Dependiendo del resultado de un procesamiento de information proporcionada al nodo de red central en una petition de conmutacion de camino, los medios de transmision se pueden adaptar para comunicar con cualquier otro nodo adecuado, en donde los medios de verificacion 203 se pueden configurar para generar y para reenviar uno o mas mensajes a un nodo de notification 705 a fin de permitir que sea ejecutado un procesamiento adicional adecuado, siguiendo la detection de una estacion base erronea o manipulada sospechosa.
En la figura 8 un esquema de bloques ilustra en mas detalle la operation de un nodo de red central segun una realizacion ejemplar. En un primer paso 800 el nodo de red central 200 recibe y almacena una PAL, tlpicamente de una O&M, como se determino previamente.
En un siguiente paso 801 el nodo recibe y almacena unas SCAP de UE desde un UE. Cuando el UE esta a punto de experimentar un HO, el nodo de red tambien recibe unas SCAP de UE desde la estacion base de destino, como se indica en un siguiente paso 802. Ambas SCAP de UE se comparan en otro paso 803. Si se reconoce una falta de coincidencia, como se indica con un paso 804, el nodo de red central toma las acciones adecuadas, como se indica con el paso condicional 805, mientras que el procedimiento termina con un paso final 806 si la comparacion resulto con exito.
Las realizaciones presentes tienen que ser consideradas en todos los aspectos como ilustrativas y no restrictivas. Por lo tanto se tiene que entender que la presente invention tambien se puede llevar a cabo de otras formas distintas a las expuestas especlficamente en la presente memoria sin apartarse de las caracterlsticas esenciales de la invencion.
LISTA DE ABREVIATURAS eNB Estacion base radio LTE
LTE Evolution a Largo Plazo
MME Entidad de Gestion de Movilidad
NAS Estrato No de Acceso
O&M Operacion y Mantenimiento
PAL Lista de Algoritmos Priorizada
SCAP Capacidades de Seguridad de UE UE Equipo de Usuario

Claims (18)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    REIVINDICACIONES
    1. Un metodo en una estacion base de una red de comunicacion, que actua como una estacion base de destino (401), para permitir deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen (400), en conexion con un traspaso de un equipo de usuario -UE- (300), dicho metodo que comprende los pasos de:
    - recibir (600) una lista de algoritmos priorizada -PAL- desde la red, dicha lista que enumera algoritmos permitidos para su uso cuando se comunica dicho UE en orden de prioridad;
    - recibir (601) information relacionada con las capacidades de seguridad -SCAP- de UE desde la estacion base de origen para el UE que se traspasa entre las dos estaciones base;
    - seleccionar (602) al menos un algoritmo que tiene la prioridad mas alta segun la PAL de entre los algoritmos que se soportan por dicho UE segun dicha informacion relacionada con las SCAP de UE y por la estacion base de destino, caracterizado por el paso de
    - notificar (603) la informacion relacionada con las SCAP de UE recibida a un nodo de red central que tiene conocimiento de las SCAP de UE de dicho UE, permitiendo por ello a dicho nodo de red central usar dicha informacion relacionada con las SCAP de UE para deteccion de una estacion base manipulada o con defectos.
  2. 2. Un metodo segun la reivindicacion 1, en donde dicha PAL es una PAL global.
  3. 3. Un metodo segun la reivindicacion 2, en donde dicha PAL global se distribuye a las estaciones base desde dicho sistema de Operation y Mantenimiento de redes.
  4. 4. Un metodo segun la reivindicacion 2, en donde dicha PAL global se distribuye a las estaciones base a traves del nodo de red central.
  5. 5. Un metodo segun la reivindicacion 1, en donde dicha PAL es una PAL que es unica para dicho UE.
  6. 6. Un metodo segun la reivindicacion 5, en donde dicha PAL unica de UE se distribuye a la estacion base de destino a traves de la estacion base de origen.
  7. 7. Un metodo segun cualquiera de las reivindicaciones precedentes, en donde dicho paso de notification ademas comprende una notificacion de la PAL.
  8. 8. Un metodo en un nodo de red central de una red de comunicacion para deteccion de una estacion base
    manipulada o con defectos, que actua como una estacion base de origen, en conexion con un traspaso de un equipo
    de usuario -UE- a una estacion base de destino, dicho metodo que comprende el paso de:
    - recibir (800) y almacenar una Lista de Algoritmos Priorizada -PAL- desde la red, dicha lista que enumera algoritmos permitidos para dicho UE en orden de prioridad;
    - recibir (801) y almacenar capacidades de seguridad -SCAP- de UE desde dicho UE; caracterizado por los pasos de
    - recibir (802), desde dicha estacion base de destino, informacion relacionada con las SCAP de UE de dicho UE, dicha informacion relacionada con las SCAP de UE que se ha notificado desde la estacion base de origen a dicha estacion base de destino previamente durante dicho traspaso,
    - verificar (803) la informacion relacionada con las SCAP de UE recibida desde la estacion base de
    destino a fin de detectar una estacion base manipulada o con defectos comparando al menos parte de las SCAP de UE almacenadas con la informacion relacionada con las SCAP de UE.
  9. 9. Un metodo segun la reivindicacion 8, en donde la PAL se recibe desde dicho sistema de operacion y
    mantenimiento -O&M- de redes.
  10. 10. Un metodo segun la reivindicacion 8 o 9, en donde la informacion relacionada con las SCAP de UE comprende una PAL unica de UE que se ha filtrado usando las SCAP de UE respectivas.
  11. 11. Un metodo segun cualquiera de las reivindicaciones previas, en donde la informacion relacionada con las SCAP de UE recibida desde la estacion base de destino se lleva a cuestas en otro mensaje recibido desde dicha estacion base de destino.
  12. 12. Un metodo segun la reivindicacion 11, en donde dicho otro mensaje es una petition de conmutacion de camino.
    5
    10
    15
    20
    25
    30
    35
    40
    45
  13. 13. Un metodo segun cualquiera de las reivindicaciones previas, en donde dicho paso de recepcion de informacion relacionada con las SCAP de UE desde la estacion base de destino ademas comprende recibir la identidad de la estacion base de origen.
  14. 14. Un metodo segun cualquiera de las reivindicaciones previas, en donde dicha informacion relacionada con las SCAP de UE comprende un valor de comprobacion aleatoria respectivo de la PAL y/o las SCAP de UE de dicho UE.
  15. 15. Una estacion base (401) de una red de comunicacion, capaz de actuar como una estacion base de destino, para permitir la deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen (400), en conexion con un traspaso de un equipo de usuario -UE-, dicha estacion base que comprende:
    - medios de recepcion (501) para recibir una lista de algoritmos priorizada -PAL- desde la red, dicha lista que enumera algoritmos permitidos para uso cuando se comunica con dicho UE en orden de prioridad y para recibir informacion relacionada con las capacidades de seguridad -SCAP- de UE desde la estacion base de origen para el UE que se traspasa entre las dos estaciones base;
    - medios de seleccion (502) para seleccionar al menos un algoritmo a partir de la PAL que tiene la prioridad mas alta segun la PAL de entre los algoritmos que se soportan por dicho UE segun dicha informacion relacionada con las SCAP de UE y que se soporta por dicha estacion base, caracterizada por
    - medios de notificacion (503) para notificar la informacion relacionada con las SCAP de UE recibida a un nodo de red central (200) que tiene conocimiento de las SCAP de UE de dicho UE a traves de unos medios de transmision (504), permitiendo por ello a dicho nodo de red central usar dicha informacion relacionada con las SCAP de Ue para deteccion de una estacion base manipulada o con defectos.
  16. 16. Una estacion base segun la reivindicacion 15, en donde la estacion base es un eNB.
  17. 17. Un nodo de red central (200) de una red de comunicacion para deteccion de una estacion base manipulada o con defectos, que actua como una estacion base de origen (301), en conexion con un traspaso de un equipo de usuario -UE- (300) a una estacion base de destino (401), dicho nodo de red central que comprende:
    - medios de recepcion (701) para recibir una Lista de Algoritmos Priorizada -PAL- desde la red y almacenar dicha PAL, dicha lista que enumera algoritmos permitidos para dicho UE en orden de prioridad, para recibir capacidades de seguridad -SCAP- de UE desde dicho UE y para almacenar dichas SCAp de UE, caracterizado por
    - medios de recepcion (701) pare recibir informacion relacionada con las SCAP de UE de dicho UE desde dicha estacion base de destino, dichas SCAP de UE que se han notificado desde la estacion base de origen a dicha estacion base de destino previamente durante dicho traspaso y
    - medios de verificacion (203) para verificar la informacion relacionada con las SCAP de UE recibida desde la estacion base de destino a fin de detectar una estacion base manipulada o con defectos comparando al menos parte de dichas SCAP de UE almacenadas con la informacion relacionada con las SCAP de UE.
  18. 18. Un nodo de red central segun la reivindicacion 17, en donde dicho nodo de red central es una Entidad de Gestion de Movilidad -MME-.
ES08873669.9T 2008-03-28 2008-08-25 Identificación de una estación base manipulada o con defectos durante un traspaso Active ES2569501T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US40269 1987-04-17
US4026908P 2008-03-28 2008-03-28
PCT/SE2008/050957 WO2009120122A1 (en) 2008-03-28 2008-08-25 Identification of a manipulated or defect base station during handover

Publications (1)

Publication Number Publication Date
ES2569501T3 true ES2569501T3 (es) 2016-05-11

Family

ID=40220247

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08873669.9T Active ES2569501T3 (es) 2008-03-28 2008-08-25 Identificación de una estación base manipulada o con defectos durante un traspaso

Country Status (13)

Country Link
US (3) US8620267B2 (es)
EP (1) EP2255560B1 (es)
JP (1) JP4965737B2 (es)
CN (2) CN104780540B (es)
AR (2) AR079772A1 (es)
AU (1) AU2008353507B2 (es)
BR (1) BRPI0822423B1 (es)
DK (1) DK2255560T3 (es)
ES (1) ES2569501T3 (es)
HU (1) HUE028290T2 (es)
SA (1) SA109300191B1 (es)
TW (1) TWI454160B (es)
WO (1) WO2009120122A1 (es)

Families Citing this family (111)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8219178B2 (en) 2007-02-16 2012-07-10 Catholic Healthcare West Method and system for performing invasive medical procedures using a surgical robot
US10357184B2 (en) 2012-06-21 2019-07-23 Globus Medical, Inc. Surgical tool systems and method
US10653497B2 (en) 2006-02-16 2020-05-19 Globus Medical, Inc. Surgical tool systems and methods
US10893912B2 (en) 2006-02-16 2021-01-19 Globus Medical Inc. Surgical tool systems and methods
CN103220674B (zh) * 2007-09-03 2015-09-09 华为技术有限公司 一种终端移动时防止降质攻击的方法、***及装置
GB2454204A (en) * 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
DK2255560T3 (en) * 2008-03-28 2016-06-06 ERICSSON TELEFON AB L M (publ) Identification of a manipulated or defect base station during a handover
JP5233523B2 (ja) * 2008-09-01 2013-07-10 富士通株式会社 無線基地局状態検出方法及びシステム
JP4505528B2 (ja) * 2008-09-22 2010-07-21 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法
US8255976B2 (en) * 2008-11-26 2012-08-28 Alcatel Lucent Prevention of a bidding-down attack in a communication system
CN101827451B (zh) * 2009-03-03 2012-12-12 华为技术有限公司 中继节点的入网方法及装置
WO2010121440A1 (zh) * 2009-04-24 2010-10-28 华为技术有限公司 保证业务连续性的移动通信方法、设备和***
US9578577B2 (en) * 2011-03-11 2017-02-21 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatuses in communication systems
WO2012131660A1 (en) 2011-04-01 2012-10-04 Ecole Polytechnique Federale De Lausanne (Epfl) Robotic system for spinal and other surgeries
US8699461B2 (en) * 2011-08-19 2014-04-15 Hitachi, Ltd. Optimized home evolved NodeB (eNB) handover in an LTE network
US9661534B2 (en) * 2012-01-26 2017-05-23 Telefonaktiebolaget Lm Ericsson (Publ) Operation of a serving node in a network
US11395706B2 (en) 2012-06-21 2022-07-26 Globus Medical Inc. Surgical robot platform
US11864839B2 (en) 2012-06-21 2024-01-09 Globus Medical Inc. Methods of adjusting a virtual implant and related surgical navigation systems
US11793570B2 (en) 2012-06-21 2023-10-24 Globus Medical Inc. Surgical robotic automation with tracking markers
US11317971B2 (en) 2012-06-21 2022-05-03 Globus Medical, Inc. Systems and methods related to robotic guidance in surgery
US11864745B2 (en) 2012-06-21 2024-01-09 Globus Medical, Inc. Surgical robotic system with retractor
US11116576B2 (en) 2012-06-21 2021-09-14 Globus Medical Inc. Dynamic reference arrays and methods of use
US11399900B2 (en) 2012-06-21 2022-08-02 Globus Medical, Inc. Robotic systems providing co-registration using natural fiducials and related methods
US10136954B2 (en) 2012-06-21 2018-11-27 Globus Medical, Inc. Surgical tool systems and method
WO2013192598A1 (en) 2012-06-21 2013-12-27 Excelsius Surgical, L.L.C. Surgical robot platform
US11253327B2 (en) 2012-06-21 2022-02-22 Globus Medical, Inc. Systems and methods for automatically changing an end-effector on a surgical robot
US11857149B2 (en) 2012-06-21 2024-01-02 Globus Medical, Inc. Surgical robotic systems with target trajectory deviation monitoring and related methods
US10624710B2 (en) 2012-06-21 2020-04-21 Globus Medical, Inc. System and method for measuring depth of instrumentation
US10758315B2 (en) 2012-06-21 2020-09-01 Globus Medical Inc. Method and system for improving 2D-3D registration convergence
US11045267B2 (en) 2012-06-21 2021-06-29 Globus Medical, Inc. Surgical robotic automation with tracking markers
US10350013B2 (en) 2012-06-21 2019-07-16 Globus Medical, Inc. Surgical tool systems and methods
US10231791B2 (en) 2012-06-21 2019-03-19 Globus Medical, Inc. Infrared signal based position recognition system for use with a robot-assisted surgery
US11974822B2 (en) 2012-06-21 2024-05-07 Globus Medical Inc. Method for a surveillance marker in robotic-assisted surgery
US11298196B2 (en) 2012-06-21 2022-04-12 Globus Medical Inc. Surgical robotic automation with tracking markers and controlled tool advancement
US11857266B2 (en) 2012-06-21 2024-01-02 Globus Medical, Inc. System for a surveillance marker in robotic-assisted surgery
US11607149B2 (en) 2012-06-21 2023-03-21 Globus Medical Inc. Surgical tool systems and method
US12004905B2 (en) 2012-06-21 2024-06-11 Globus Medical, Inc. Medical imaging systems using robotic actuators and related methods
US9729211B2 (en) 2012-11-19 2017-08-08 Bose Corporation Proximity based wireless audio connection
US9055461B2 (en) 2013-03-28 2015-06-09 Telefonaktiebolaget L M Ericsson (Publ) Technique for troubleshooting remote cellular base station radios from the network management platform using local wireless hotspot at the radio site
US9191830B2 (en) 2013-03-28 2015-11-17 Telefonaktiebolaget L M Ericsson (Publ) Local wireless connectivity for radio equipment of a base station in a cellular communications network
US9491162B2 (en) 2013-03-28 2016-11-08 Telefonaktiebolaget L M Ericsson (Publ) Technique for controlling loss and theft of remote radio equipment in a cellular ad hoc network
US9283048B2 (en) 2013-10-04 2016-03-15 KB Medical SA Apparatus and systems for precise guidance of surgical tools
US9167453B2 (en) 2013-11-25 2015-10-20 At&T Intellectual Property I, L.P. Cell and evolved node B station outage restoration tool
WO2015107099A1 (en) 2014-01-15 2015-07-23 KB Medical SA Notched apparatus for guidance of an insertable instrument along an axis during spinal surgery
US10039605B2 (en) 2014-02-11 2018-08-07 Globus Medical, Inc. Sterile handle for controlling a robotic surgical system from a sterile field
US10004562B2 (en) 2014-04-24 2018-06-26 Globus Medical, Inc. Surgical instrument holder for use with a robotic surgical system
WO2016008880A1 (en) 2014-07-14 2016-01-21 KB Medical SA Anti-skid surgical instrument for use in preparing holes in bone tissue
US10013808B2 (en) 2015-02-03 2018-07-03 Globus Medical, Inc. Surgeon head-mounted display apparatuses
EP3258872B1 (en) 2015-02-18 2023-04-26 KB Medical SA Systems for performing minimally invasive spinal surgery with a robotic surgical system using a percutaneous technique
US10637834B2 (en) 2015-07-12 2020-04-28 Qualcomm Incorporated Network architecture and security with simplified mobility procedure
US10058394B2 (en) 2015-07-31 2018-08-28 Globus Medical, Inc. Robot arm and methods of use
US10646298B2 (en) 2015-07-31 2020-05-12 Globus Medical, Inc. Robot arm and methods of use
US10080615B2 (en) 2015-08-12 2018-09-25 Globus Medical, Inc. Devices and methods for temporary mounting of parts to bone
US10687905B2 (en) 2015-08-31 2020-06-23 KB Medical SA Robotic surgical systems and methods
US10034716B2 (en) 2015-09-14 2018-07-31 Globus Medical, Inc. Surgical robotic systems and methods thereof
US9771092B2 (en) 2015-10-13 2017-09-26 Globus Medical, Inc. Stabilizer wheel assembly and methods of use
US10117632B2 (en) 2016-02-03 2018-11-06 Globus Medical, Inc. Portable medical imaging system with beam scanning collimator
US10842453B2 (en) 2016-02-03 2020-11-24 Globus Medical, Inc. Portable medical imaging system
US11058378B2 (en) 2016-02-03 2021-07-13 Globus Medical, Inc. Portable medical imaging system
US11883217B2 (en) 2016-02-03 2024-01-30 Globus Medical, Inc. Portable medical imaging system and method
US10448910B2 (en) 2016-02-03 2019-10-22 Globus Medical, Inc. Portable medical imaging system
US10866119B2 (en) 2016-03-14 2020-12-15 Globus Medical, Inc. Metal detector for detecting insertion of a surgical device into a hollow tube
EP3241518A3 (en) 2016-04-11 2018-01-24 Globus Medical, Inc Surgical tool systems and methods
US20190274072A1 (en) * 2016-10-26 2019-09-05 Nec Corporation Communication system, security device, communication terminal, and communication method
EP3360502A3 (en) 2017-01-18 2018-10-31 KB Medical SA Robotic navigation of robotic surgical systems
US11071594B2 (en) 2017-03-16 2021-07-27 KB Medical SA Robotic navigation of robotic surgical systems
WO2018187961A1 (zh) * 2017-04-12 2018-10-18 华为技术有限公司 一种安全策略的处理方法和相关设备
US11135015B2 (en) 2017-07-21 2021-10-05 Globus Medical, Inc. Robot surgical platform
US11357548B2 (en) 2017-11-09 2022-06-14 Globus Medical, Inc. Robotic rod benders and related mechanical and motor housings
US10898252B2 (en) 2017-11-09 2021-01-26 Globus Medical, Inc. Surgical robotic systems for bending surgical rods, and related methods and devices
US11794338B2 (en) 2017-11-09 2023-10-24 Globus Medical Inc. Robotic rod benders and related mechanical and motor housings
US11134862B2 (en) 2017-11-10 2021-10-05 Globus Medical, Inc. Methods of selecting surgical implants and related devices
US20190254753A1 (en) 2018-02-19 2019-08-22 Globus Medical, Inc. Augmented reality navigation systems for use with robotic surgical systems and methods of their use
US10573023B2 (en) 2018-04-09 2020-02-25 Globus Medical, Inc. Predictive visualization of medical imaging scanner component movement
US11337742B2 (en) 2018-11-05 2022-05-24 Globus Medical Inc Compliant orthopedic driver
US11278360B2 (en) 2018-11-16 2022-03-22 Globus Medical, Inc. End-effectors for surgical robotic systems having sealed optical components
US11602402B2 (en) 2018-12-04 2023-03-14 Globus Medical, Inc. Drill guide fixtures, cranial insertion fixtures, and related methods and robotic systems
US11744655B2 (en) 2018-12-04 2023-09-05 Globus Medical, Inc. Drill guide fixtures, cranial insertion fixtures, and related methods and robotic systems
CN109526010B (zh) * 2019-01-02 2022-03-15 广州汇智通信技术有限公司 一种通信***切换优化方法和***
US11317978B2 (en) 2019-03-22 2022-05-03 Globus Medical, Inc. System for neuronavigation registration and robotic trajectory guidance, robotic surgery, and related methods and devices
US11419616B2 (en) 2019-03-22 2022-08-23 Globus Medical, Inc. System for neuronavigation registration and robotic trajectory guidance, robotic surgery, and related methods and devices
US11806084B2 (en) 2019-03-22 2023-11-07 Globus Medical, Inc. System for neuronavigation registration and robotic trajectory guidance, and related methods and devices
US20200297357A1 (en) 2019-03-22 2020-09-24 Globus Medical, Inc. System for neuronavigation registration and robotic trajectory guidance, robotic surgery, and related methods and devices
US11382549B2 (en) 2019-03-22 2022-07-12 Globus Medical, Inc. System for neuronavigation registration and robotic trajectory guidance, and related methods and devices
US11571265B2 (en) 2019-03-22 2023-02-07 Globus Medical Inc. System for neuronavigation registration and robotic trajectory guidance, robotic surgery, and related methods and devices
US11045179B2 (en) 2019-05-20 2021-06-29 Global Medical Inc Robot-mounted retractor system
US11628023B2 (en) 2019-07-10 2023-04-18 Globus Medical, Inc. Robotic navigational system for interbody implants
US11571171B2 (en) 2019-09-24 2023-02-07 Globus Medical, Inc. Compound curve cable chain
US11890066B2 (en) 2019-09-30 2024-02-06 Globus Medical, Inc Surgical robot with passive end effector
US11864857B2 (en) 2019-09-27 2024-01-09 Globus Medical, Inc. Surgical robot with passive end effector
US11426178B2 (en) 2019-09-27 2022-08-30 Globus Medical Inc. Systems and methods for navigating a pin guide driver
US11510684B2 (en) 2019-10-14 2022-11-29 Globus Medical, Inc. Rotary motion passive end effector for surgical robots in orthopedic surgeries
US11992373B2 (en) 2019-12-10 2024-05-28 Globus Medical, Inc Augmented reality headset with varied opacity for navigated robotic surgery
US11382699B2 (en) 2020-02-10 2022-07-12 Globus Medical Inc. Extended reality visualization of optical tool tracking volume for computer assisted navigation in surgery
US11207150B2 (en) 2020-02-19 2021-12-28 Globus Medical, Inc. Displaying a virtual model of a planned instrument attachment to ensure correct selection of physical instrument attachment
US11253216B2 (en) 2020-04-28 2022-02-22 Globus Medical Inc. Fixtures for fluoroscopic imaging systems and related navigation systems and methods
US11510750B2 (en) 2020-05-08 2022-11-29 Globus Medical, Inc. Leveraging two-dimensional digital imaging and communication in medicine imagery in three-dimensional extended reality applications
US11382700B2 (en) 2020-05-08 2022-07-12 Globus Medical Inc. Extended reality headset tool tracking and control
US11153555B1 (en) 2020-05-08 2021-10-19 Globus Medical Inc. Extended reality headset camera system for computer assisted navigation in surgery
US11317973B2 (en) 2020-06-09 2022-05-03 Globus Medical, Inc. Camera tracking bar for computer assisted navigation during surgery
US11382713B2 (en) 2020-06-16 2022-07-12 Globus Medical, Inc. Navigated surgical system with eye to XR headset display calibration
US11877807B2 (en) 2020-07-10 2024-01-23 Globus Medical, Inc Instruments for navigated orthopedic surgeries
US11793588B2 (en) 2020-07-23 2023-10-24 Globus Medical, Inc. Sterile draping of robotic arms
US11737831B2 (en) 2020-09-02 2023-08-29 Globus Medical Inc. Surgical object tracking template generation for computer assisted navigation during surgical procedure
US11523785B2 (en) 2020-09-24 2022-12-13 Globus Medical, Inc. Increased cone beam computed tomography volume length without requiring stitching or longitudinal C-arm movement
US11911112B2 (en) 2020-10-27 2024-02-27 Globus Medical, Inc. Robotic navigational system
US11941814B2 (en) 2020-11-04 2024-03-26 Globus Medical Inc. Auto segmentation using 2-D images taken during 3-D imaging spin
US11717350B2 (en) 2020-11-24 2023-08-08 Globus Medical Inc. Methods for robotic assistance and navigation in spinal surgery and related systems
US11857273B2 (en) 2021-07-06 2024-01-02 Globus Medical, Inc. Ultrasonic robotic surgical navigation
US11439444B1 (en) 2021-07-22 2022-09-13 Globus Medical, Inc. Screw tower and rod reduction tool
US11911115B2 (en) 2021-12-20 2024-02-27 Globus Medical Inc. Flat panel registration fixture and method of using same

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5778075A (en) * 1996-08-30 1998-07-07 Telefonaktiebolaget, L.M. Ericsson Methods and systems for mobile terminal assisted handover in an private radio communications network
US6418130B1 (en) * 1999-01-08 2002-07-09 Telefonaktiebolaget L M Ericsson (Publ) Reuse of security associations for improving hand-over performance
US6587680B1 (en) 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
CN1937840B (zh) 2005-09-19 2011-04-13 华为技术有限公司 一种移动终端切换过程中获得安全联盟信息的方法及装置
JP4804983B2 (ja) * 2006-03-29 2011-11-02 富士通株式会社 無線端末、認証装置、及び、プログラム
US8116775B2 (en) * 2006-09-28 2012-02-14 Samsung Electronics Co., Ltd System and method of providing user equipment initiated and assisted backward handover in heterogeneous wireless networks
DK2255560T3 (en) * 2008-03-28 2016-06-06 ERICSSON TELEFON AB L M (publ) Identification of a manipulated or defect base station during a handover

Also Published As

Publication number Publication date
TW200948133A (en) 2009-11-16
JP2011515984A (ja) 2011-05-19
EP2255560B1 (en) 2016-03-30
AR079772A1 (es) 2012-02-22
US20140038566A1 (en) 2014-02-06
US9072014B2 (en) 2015-06-30
BRPI0822423A2 (pt) 2015-06-16
BRPI0822423B1 (pt) 2020-09-24
AR098837A2 (es) 2016-06-15
AU2008353507A1 (en) 2009-10-01
TWI454160B (zh) 2014-09-21
US8620267B2 (en) 2013-12-31
HUE028290T2 (en) 2016-12-28
EP2255560A1 (en) 2010-12-01
WO2009120122A1 (en) 2009-10-01
US20110059736A1 (en) 2011-03-10
CN104780540B (zh) 2018-12-14
CN104780540A (zh) 2015-07-15
US8706086B2 (en) 2014-04-22
US20140228003A1 (en) 2014-08-14
SA109300191B1 (ar) 2014-12-11
DK2255560T3 (en) 2016-06-06
JP4965737B2 (ja) 2012-07-04
AU2008353507B2 (en) 2014-03-20
CN102017681B (zh) 2015-05-06
CN102017681A (zh) 2011-04-13

Similar Documents

Publication Publication Date Title
ES2569501T3 (es) Identificación de una estación base manipulada o con defectos durante un traspaso
ES2901695T3 (es) Método de transmisión y dispositivo de red
ES2587518T3 (es) Correlación de informes de eventos de falla para autoorganización RAN distribuida
US10404677B2 (en) Secure method for MTC device triggering
ES2607958T3 (es) Método y dispositivo para transmitir un mensaje corto desde un sistema de paquetes evolucionado a un equipo de usuario
ES2837635T3 (es) Funcionamiento de un nodo de servicio en una red
EP3108679B1 (en) Method and devices for protection of control plane functionality
ES2882071T3 (es) Nodo de red para uso en una red de comunicación, dispositivo de comunicación y métodos de operación del mismo
ES2870553T3 (es) Dispositivo de red, método de comunicación y programa informático
US8626122B2 (en) Un-ciphered network operation solution
ES2626666T3 (es) Método y sistema de generación para identificador de identidad de claves durante la transferencia del dispositivo de usuario
BR112020001139A2 (pt) Método de processamento de sessão, elemento de rede de função de gerenciamento de sessão smf, elemento de rede da rede de dados e elemento de rede degerenciamento de sessão
ES2768275T3 (es) Método y dispositivo de separación de claves
BRPI0909124B1 (pt) método e aparelhos para prover separação criptográfica multi-salto para transferências
ES2971334T3 (es) Método y dispositivo de configuración de recursos de radio, equipo de usuario y elemento de red
JP2021520718A (ja) 無線通信ネットワークにおける無線リンク障害管理
ES2395946T3 (es) Método de comprobación de integridad en redes inalámbricas protegidas
ES2901650T3 (es) Métodos, dispositivo y sistema para el restablecimiento de enlaces
ES2759263T3 (es) Método, red de comunicación móvil y producto de programa informático para una eliminación optimizada de la interfaz entre estaciones base
WO2022148443A1 (zh) 安全策略处理方法以及通信设备
WO2022055402A1 (en) Source and target network nodes and methods therein for preventing agents from illegitimately identifying the source network node when resuming a wireless terminal in a target network node in a wireless communications network