本發(fā)明涉及蜂窩安全性框架。一種無線設備確定位置、識別移動網絡運營商(MNO)并且/或者經歷網絡事件。在一些情況下，所述無線設備將基站識別為由所述MNO操作。基于所述位置、所述MNO和/或所述網絡事件，所述無線設備確定安全動作。所述安全動作可以包括以下操作中的一者或多者：(i)忽略與所述網絡事件相關聯(lián)的網絡命令，(ii)經由所述無線設備的用戶界面提供警告通知以警告用戶與所述位置、所述MNO和/或所述網絡事件相關聯(lián)的安全風險，或(iii)暫時或無限期地忽略來自所述基站的通信。在一些情況下，所述安全動作包括使用所述MNO的網絡服務繼續(xù)在所述位置處與所述基站正常通信。

技術領域

所描述的實施方案闡述了用于管理無線設備的蜂窩無線網絡安全的技術，包括基于無線設備的位置執(zhí)行各種安全動作，觀察無線網絡實體的通信，并且使用已知移動網絡運營商無線網絡安全特性分析無線網絡實體的行為。

背景技術

本質上通過開放介質進行傳輸的無線通信容易遭到竊聽。此外，惡意網絡實體諸如偽基站可以冒充真實網絡實體，以從無線設備獲取私人信息，誤導無線設備與惡意設備通信，并且/或者使無線設備降級安全設置，從而使無線設備的通信更容易受到窺探。當與蜂窩無線網絡相關聯(lián)時，無線設備可以執(zhí)行認證和密鑰協(xié)商(AKA)過程并在隨后激活蜂窩無線網絡的安全上下文，包括建立一組密鑰，以用于在無線設備和蜂窩無線網絡之間傳送的消息的加密和解密以及完整性保護及驗證。然而，在對蜂窩無線網絡進行安全激活之前，可以以清楚、可讀、未加密的格式傳送消息，所述消息可能受到觀察并且可能被濫用。另外，惡意網絡實體可以向無線設備發(fā)送消息以將無線設備錯誤地重定向到較低安全性的無線網絡，或者使無線設備泄露私人信息諸如未加密的身份，諸如國際移動用戶身份(IMSI)、國際移動設備身份(IMEI)或無線設備的訂閱永久標識符(SUPI)。由于無線設備在安全上下文激活之前無法驗證從網絡實體(無論是真實的還是惡意的)接收的消息的完整性，因此無線設備易受安全攻擊。

發(fā)明內容

代表性實施方案闡述了用于管理無線設備例如用戶設備(UE)處的蜂窩無線網絡安全的技術，包括基于無線設備的位置執(zhí)行各種安全動作，觀察無線網絡實體的通信，并且使用已知移動網絡運營商無線網絡安全特性分析無線網絡實體的行為。可以基于無線設備操作的地理區(qū)域，并且基于在該地理區(qū)域中操作的移動網絡運營商(MNO)的已知特性調整無線設備所采取的安全動作。為了防止來自惡意網絡實體例如偽基站的攻擊，無線設備查詢在無線設備處維護的MNO的安全配置中包括的網絡行為模板。該安全配置可以由無線設備從基于網絡的服務器獲得，并且周期性地刷新并且/或者響應于網絡觸發(fā)事件刷新。無線設備可以基于無線設備的位置和來自安全配置的信息，確定響應于網絡觸發(fā)事件而采取的各種安全動作。由于不同的MNO可以使用不同的安全過程，因此無線設備可以基于無線設備正與之通信(或者無線設備可以與之通信的)的MNO和無線設備在其中操作的區(qū)域來調整安全動作。

無線設備可以識別從網絡實體接收的命令何時與MNO和/或無線設備在其中操作的區(qū)域不一致。在一些實施方案中，無線設備忽略改變網絡安全性的網絡命令，例如，當網絡實體請求沒有加密或具有弱加密的連接時，或者當網絡實體試圖重定向無線設備以使用具有較弱網絡安全性的無線通信協(xié)議時，或者當網絡實體從無線設備請求未加密的身份信息時。在一些實施方案中，無線設備經由無線設備的用戶界面提供指示以警告用戶所請求的安全性改變或網絡實體請求的其他可疑動作。在一些實施方案中，無線設備經由無線設備的用戶界面請求確認是否繼續(xù)實施網絡請求的命令。在一些實施方案中，無線設備確定有限期地禁止與網絡實體的通信。在一些實施方案中，無線設備確定將條目添加到網絡實體的黑名單，并且無限期禁止與無線設備通信或直到該實體從黑名單中移除。在一些實施方案中，當禁止網絡實體或將該網絡實體列入黑名單時，無線設備停止與該網絡實體通信并且掃描另一網絡實體與之進行通信。

提供本發(fā)明內容的目的僅為概述一些示例性實施方案，以便提供對本文所述主題的一些方面的基本了解。于是，應當了解，上述特征僅為示例，并且不應解釋為以任何方式縮窄本文所描述的主題的范圍或實質。本文所描述的主題的其它特征、方面和優(yōu)點將通過以下具體實施方式、附圖和權利要求書而變得顯而易見。