CN100583751C - 控制是否启动加密过程的方法 - Google Patents
控制是否启动加密过程的方法 Download PDFInfo
- Publication number
- CN100583751C CN100583751C CN200410087836A CN200410087836A CN100583751C CN 100583751 C CN100583751 C CN 100583751C CN 200410087836 A CN200410087836 A CN 200410087836A CN 200410087836 A CN200410087836 A CN 200410087836A CN 100583751 C CN100583751 C CN 100583751C
- Authority
- CN
- China
- Prior art keywords
- encryption
- cryptographic algorithm
- data
- substantive
- cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种控制是否启动加密过程的方法,该方法为:无线网络控制器接收核心网发送的携带加密信息信元的安全模式命令消息,该加密信息信元中的加密算法信元按优先顺序设置为对数据有实质性加解密过程的加密算法和不加密;无线网络控制器从所述加密算法信元的列表中优先选择所述加密算法,并判本端和用户设备的加密能力是否都支持该加密算法,如果是,无线网络控制器通知用户设备启动加密过程,否则无线网络控制器和用户设备选择不启动加密过程,或选择对数据无实质性加解密过程的加密算法配置加密过程,其中,所述无线网络控制器支持的加密能力,根据用户设备加密能力的配置进行配置。
Description
技术领域
本发明涉及宽带码分多址(WCDMA)技术,尤其涉及在WCDMA安全模式中控制是否启动加密过程的方法。
背景技术
WCDMA作为一个开放式标准,主要由用户设备(UE)、通用陆地无线接入网(UTRAN)和核心网(CN)组成。在WCDMA 3GPP 25系列协议之25.413、25.331等协议中对安全模式流程的描述中,有如下描述,参阅图1:
1、UE在无线资源控制(RRC)消息RRC CONNECTION SETUP COMPLET中将自身所支持的加密能力通知RNC。
2、RNC和CN之间建立IU接口信令连接。
3、UE和CN之间进行鉴权过程。
4、CN向RNC发送无线接入网应用协议(RANAP)消息SECURITY MODECOMMAND,要求配置安全模式。
5、无线网络控制器(RNC)向UE发送RRC消息SECURITY MODECOMMAND,要求启动安全模式。
6、UE向RNC发送RRC消息SECURITY MODE COMPLETE,启动安全模式完成。
7、RNC向CN发送RANAP消息SECURITY MODE COMPLETE,安全模式配置完成。
加密作为安全模式功能中的主要部分之一,通过采用相应的加密算法对空中接口数据进行加解密,从而保证空中接口数据传输的安全性。
目前协议定义的加密算法有全球移动通信系统加密算法0(即加密算法UEA0)和加密算法UEA1两种,而加密算法UEA0实现的加密过程实际上对数据没有进行任何实质性的操作,从数据本身而言其结果与不启动加密是相同。因此本发明所描述的加密过程专指使用对数据有实质性加解密的加密算法实现下的加密过程(如使用加密算法UEA1),而将使用加密算法UEA0实现的加密过程划归为不启动加密过程的方式之一。另外,在RANAP消息SECURITYMODE COMMAND中加密信息信元中的加密算法信元可以设置为NOENCRYPTION,意思是RNC可以选择不启动加密过程或者使用加密算法UEA0来启动加密过程,但它本身不是一种加密算法。
在现有技术中是否启动加密过程采用的配置方法为:
1、配置加密方法:CN在RANAP消息SECURITY MODE COMMAND中携带加密信息信元,加密信息信元中的加密算法信元设置成UEA1。RNC在收到RANAP消息SECURITY MODE COMMAND后,发现加密算法信元为UEA1,通过综合考虑RNC、UE的加密能力,若RNC、UE都支持加密算法UEA1,按照协议RNC、UE将启动加密过程,RNC通过RRC消息SECURITY MODECOMMAND通知UE启动加密过程;若RNC、UE有一方不支持加密算法UEA1,按照协议RNC向CN回复RANAP消息SECURITY MODE REJECT,启动加密过程失败。
2、不配置加密方法一:CN在RANAP消息SECURITY MODE COMMAND中不携带加密信息信元。RNC在收到RANAP消息SECURITY MODECOMMAND后,发现消息中没有加密信息信元,将不启动加密过程。
3、不配置加密方法二:CN在RANAP消息SECURITY MODE COMMAND中携带加密信息信元,加密信息信元中的加密算法信元设置成NOENCRYPTION。RNC在收到RANAP消息SECURITY MODE COMMAND后,发现加密算法信元为NO ENCRYPTION,按照协议RNC、UE可以选择不启动加密过程,也可以综合考虑RNC、UE加密能力后使用加密算法UEA0配置加密过程,其实质结果都是不启动加密过程。
4、不配置加密方法三:CN在RANAP消息SECURITY MODE COMMAND中携带加密信息信元,加密信息信元中的加密算法信元按先后顺序设置成NOENCRYPTION、UEA1。RNC在收到RANAP消息SECURITY MODE COMMAND后,发现加密算法信元顺序为NO ENCRYPTION、UEA1,按照协议RNC从CN消息的加密算法信元列表中优先选择排在前面的算法,因此RNC、UE可以选择不启动加密过程,也可以综合考虑RNC、UE加密能力后使用加密算法UEA0配置加密过程,其结果也是不启动加密过程。
采用上述技术方案,虽然能够实现系统配置过程中启动加密过程和不启动加密过程的需求,但其主要存在如下缺点:
1、现有技术的配置是两者取其一的方式,配置模式固定单一,而且由于不同UE所支持的加密能力是不相同的,如果CN采用了启动加密过程的配置,那么那些不支持加密的UE将无法建立正常的呼叫;另一方面,如果CN采用了不启动加密过程的配置,那么那些支持加密的UE就浪费了支持的加密功能。
2、不同UE对数据是否需要加密的需求是不相同的,同一UE在不同时刻对数据是否需要加密的需求也是不相同的,在现有技术的配置下不能通过对UE本身的操作实现这方面的需求,而只能依赖于网络侧,这对移动通信系统是个不完善的地方。
3、现有技术的配置不是动态的,在需要切换是否加密的配置时必须手工干预CN,而修改配置的影响范围是整个CN下的所有UE,这在某些场合下是很致命的,不能很好的服务于实际应用的移动网络。
发明内容
本发明提供一种控制是否启动加密过程的方法,以解决现有技术中因用户设备与核心网加密能力不一致而导致无法建立正常呼叫,以及需要手工干预核心网来切换加密或不加密配置的问题。为解决上述问题,本发明提供如下技术方案:
一种控制是否启动加密过程的方法,包括如下步骤:
无线网络控制器接收核心网发送的携带加密信息信元的安全模式命令消息,该加密信息信元中的加密算法信元按优先顺序设置为对数据有实质性加解密过程的加密算法和不加密(NO ENCRYPTION);无线网络控制器从所述加密算法信元的列表中优先选择所述加密算法,并判断本端和用户设备的加密能力是否都支持该加密算法,如果是,无线网络控制器则通知用户设备启动加密过程,否则,无线网络控制器选择不加密(NO ENCRYPTION);其中,所述无线网络控制器支持的加密能力,根据用户设备加密能力的配置,配置为支持所述对数据有实质性加解密过程的加密算法,以满足该无线网络控制器下的所有用户设备对数据的加密需求;或者,配置为不支持所述对数据有实质性加解密过程的加密算法,以满足该无线网络控制器下的所有用户设备对数据的不加密需求。
所述对数据有实质性加解密过程的加密算法为全球移动通信系统加密算法1(UEA1);所述对数据无实质性加解密过程的加密算法为全球移动通信系统加密算法0(UEA0)。
本发明具有以下有益效果:
1、可以实现同一网络中是否启动加密过程的动态配置,而不必手工干预,从而达到网络用户使用的多样性,更好的体现出移动通信的特点,更不会出现因是否启动加密过程的原因而导致无法建立起呼叫。
2、可以满足不同UE对数据是否需要加密的需求。若该UE不支持加密,网络测会配置不启动加密过程,若该UE支持加密,网络测会自动配置启动加密过程。
3、可以满足同一UE在不同时刻对数据是否需要加密的需求。若该UE需要对数据进行加密,只需要设置该UE的加密能力支持加密算法UEA1,若该UE不需要对数据进行加密,只需要设置该UE的加密能力不支持加密算法UEA1即可。
4、通过更改RNC加密能力从而满足该RNC范围内所有UE是否进行数据加密的需求,这种方法比现有技术的配置方法能更好的服务于实际应用中的移动网络。
附图说明
图1为WDCAM的安全模式流程图;
图2为本发明的流程图。
具体实施方式
本发明称加密过程专指使用对数据有实质性加解密的加密算法处理过程。而对数据无实质性加解密的加密算法处理也划归为不加密的方式之一。
由于现有技术将核心网(CN)向无线网络控制器(RNC)发送无线接入网应用协议(RANAP)消息SECURITY MODE COMMAND所携带加密信息信元中的加密算法信元设置为单一模式,即加密或不加密,从而导致前述的缺点。本发明则将所述的加密算法信元按优先顺序设置成对数据有实质性加解密过程的加密算法和不加密,按照协议,RNC从CN消息的加密算法信元列表中优先选择排在前面的算法,通过综合考虑RNC、UE的加密能力,如果有一方的加密能力不支持该加密算法,则再选择不加密,通过这种动态配置的方式来解决现有技术的不足。以下通过对数据有实质性加解密处理的全球移动通信加密算法1(UEA1)和对数据无实质性加解密处理的全球移动通信加密算法0(UEA0)说明本发明。
参阅图2所示,动态配置启动或不启动加密过程如下:
1、CN在向RNC发送的RANAP消息SECURITY MODE COMMAND中携带加密信息信元,其中该加密信息信元中的加密算法信元按优先顺序设置成UEA1、NO ENCRYPTION。
2、RNC在收到RANAP消息SECURITY MODE COMMAND后,发现加密算法信元顺序为UEA1、不加密(NO ENCRYPTION),按照协议RNC从CN消息的加密算法信元列表中优先选择排在前面的算法,即RNC首先选择加密算法信元中的加密算法UEA1。
3、RNC通过综合考虑RNC、UE的加密能力,若RNC、UE都支持加密算法UEA1,按照协议RNC、UE将启动加密过程,RNC通过RRC消息SECURITYMODE COMMAND通知UE启动加密过程;若RNC、UE有一方不支持加密算法UEA1,则进行步骤4。
4、RNC继续选择CN消息中加密算法信元列表中的后续算法,即选择加密算法信元中的不加密(NO ENCRYPTION),按照协议RNC、UE可以选择不启动加密过程,也可以综合考虑RNC、UE加密能力后使用加密算法UEA0配置加密过程,其结果都是不启动加密过程。
在一般情况下,RNC支持加密能力设置成支持加密算法UEA1,以满足该RNC范围内所有UE需要进行数据加密的需求;但也可以更改RNC的加密能力,使之不支持加密算法UEA1,这样就能满足该RNC范围内所有UE不进行数据加密的需求。因此,可以针对UE加密能力的设置而灵活决定是否启动加密。
对于本发明对数据有实质性加解密过程的加密算法不仅限于UEA1,其他功能类似的算法同样适用。同样,对数据无实质性加解密过程的加密算法不仅限于UEA0,其他功能类似的算法同样适用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若对本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (4)
1、一种控制是否启动加密过程的方法,其特征在于包括如下步骤:
无线网络控制器接收核心网发送的携带加密信息信元的安全模式命令消息,该加密信息信元中的加密算法信元按优先顺序设置为对数据有实质性加解密过程的加密算法和不加密NO ENCRYPTION;
所述无线网络控制器从所述加密算法信元的列表中优先选择所述加密算法,并判断本端和用户设备的加密能力是否都支持该加密算法,如果是,无线网络控制器则通知用户设备启动加密过程,否则,无线网络控制器选择不加密NO ENCRYPTION;
其中,所述无线网络控制器支持的加密能力,根据用户设备加密能力的配置,配置为支持所述对数据有实质性加解密过程的加密算法,以满足该无线网络控制器下的所有用户设备对数据的加密需求;或者,配置为不支持所述对数据有实质性加解密过程的加密算法,以满足该无线网络控制器下的所有用户设备对数据的不加密需求。
2、如权利要求1所述的方法,其特征在于,所述不加密是指不启动加密过程,或者选择对数据无实质性加解密过程的加密算法配置加密过程。
3、如权利要求1或2所述的方法,其特征在于,所述对数据有实质性加解密过程的加密算法为全球移动通信系统加密算法1。
4、如权利要求2所述的方法,其特征在于,所述对数据无实质性加解密过程的加密算法为全球移动通信系统加密算法0。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410087836A CN100583751C (zh) | 2004-10-22 | 2004-10-22 | 控制是否启动加密过程的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410087836A CN100583751C (zh) | 2004-10-22 | 2004-10-22 | 控制是否启动加密过程的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1764108A CN1764108A (zh) | 2006-04-26 |
| CN100583751C true CN100583751C (zh) | 2010-01-20 |
Family
ID=36748077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200410087836A Expired - Fee Related CN100583751C (zh) | 2004-10-22 | 2004-10-22 | 控制是否启动加密过程的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100583751C (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101128066B (zh) * | 2007-09-27 | 2012-07-18 | 中兴通讯股份有限公司 | 不进行用户面加密的方法及系统 |
| CN101499899B (zh) * | 2008-01-31 | 2011-11-02 | 华为技术有限公司 | 防止家庭基站欺骗用户的方法、系统及相关设备 |
| JP5256822B2 (ja) * | 2008-04-02 | 2013-08-07 | 沖電気工業株式会社 | 暗証番号入力装置及び暗証番号入力装置の暗号化機能の変更方法 |
| CN102217345A (zh) * | 2011-05-09 | 2011-10-12 | 华为技术有限公司 | 一种网络接入方法和装置 |
| CN104284328A (zh) * | 2013-07-09 | 2015-01-14 | 北京鼎普科技股份有限公司 | 一种加密手机通话内容的方法及装置 |
| WO2024119485A1 (zh) * | 2022-12-09 | 2024-06-13 | 华为技术有限公司 | 一种通信方法及装置 |
-
2004
- 2004-10-22 CN CN200410087836A patent/CN100583751C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1764108A (zh) | 2006-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101378591B (zh) | 终端移动时安全能力协商的方法、系统及装置 | |
| US9641494B2 (en) | Method and apparatus for handling keys used for encryption and integrity | |
| CN101399767B (zh) | 终端移动时安全能力协商的方法、系统及装置 | |
| CN101262337B (zh) | 安全功能控制方法和系统 | |
| CN101242630B (zh) | 安全算法协商的方法、装置及网络系统 | |
| CN105340212A (zh) | 用于生成在设备至设备通信中的密钥的方法和装置 | |
| WO2015062097A1 (zh) | 一种双连接模式下的密钥处理方法和设备 | |
| EP2854329B1 (en) | Method, system, and device for securely establishing wireless local area network | |
| EP3255914A1 (en) | Key generation method, device and system | |
| WO2003050988A1 (fr) | Procede de selection d'une arithmetique de cryptage pour realiser une communication confidentielle | |
| EP1769648B1 (en) | Mobile terminal, method and computer program product for storing and retrieving network parameters | |
| WO2003056851A1 (fr) | Procede de determination d'un algorithme de cryptage de communication secrete d'apres des codes de pays mobiles | |
| CN103369522A (zh) | 无线电接入网络 | |
| RU2552193C2 (ru) | Система радиосвязи, устройство мтс и шлюз | |
| CN101951587B (zh) | 在802.11标准无线网络中实现快速漫游切换的方法 | |
| US7835527B2 (en) | Methods and apparatus for reducing airlink congestion and processing time associated with ciphering information in a wireless network | |
| WO2010149837A1 (en) | Generation of key streams in wireless communication systems | |
| CN100563186C (zh) | 一种在无线接入网中建立安全通道的方法 | |
| CN104066083A (zh) | 一种接入无线局域网的方法和装置 | |
| CN101330376A (zh) | 安全算法的协商方法 | |
| CN101128061A (zh) | 移动管理单元、演进基站、确定用户面是否加密的方法和系统 | |
| CN100583751C (zh) | 控制是否启动加密过程的方法 | |
| CA2647427C (en) | A method and apparatus for handling keys used for encryption and integrity | |
| CN105451195A (zh) | 端到端集群密钥分发方法和核心网设备 | |
| CN101645877A (zh) | 密钥衍生函数的协商方法、系统及网络节点 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100120 Termination date: 20201022 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |