CN101192919A - 实现用户自定义安全等级的方法 - Google Patents
实现用户自定义安全等级的方法 Download PDFInfo
- Publication number
- CN101192919A CN101192919A CNA2006101458722A CN200610145872A CN101192919A CN 101192919 A CN101192919 A CN 101192919A CN A2006101458722 A CNA2006101458722 A CN A2006101458722A CN 200610145872 A CN200610145872 A CN 200610145872A CN 101192919 A CN101192919 A CN 101192919A
- Authority
- CN
- China
- Prior art keywords
- key
- length
- terminal
- security level
- safe class
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现用户自定义安全等级的方法,涉及移动通信和信息安全领域,为实现用户根据其使用的业务类型和业务应用场景自定义安全等级而发明。包括:(1)终端根据安全等级与实现该安全等级的密钥长度的映射关系,确定指定的安全等级对应的密钥长度;(2)终端根据密钥长度确定密钥协商次数N,并和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥;(3)将N个确定长度的安全密钥通过运算生成指定的安全等级所对应长度的密钥。本发明对3G网络信令改变少,可以在现有3G网络上实现用户自定义安全等级,并且在不改变现有密钥协商过程的情况下,生成各种长度的安全密钥。
Description
技术领域
本发明涉及移动通信和信息安全领域,尤其涉及一种实现用户自定义安全等级的方法。
背景技术
3G系统中,通过认证和密钥协商AKA(Authentication and key agreement)移动台MS(Mobile Station)和拜访位置寄存器/GPRS服务支持节点HLR/SGGN(Visitor LocationRegister/Serving GPRS Support Node)之间协商出128位完整性密钥IK(Integrity Key)和128位加密密钥CK(Cipher Key)。
协商方法如下:1.认证中心AuC为每个用户生成基于序列号的认证向量组(RAND,XRES,CK,IK,AUTN),并且按照序列号排序。2.当认证中心收到VLR/SGSN的认证请求,发送N个认证向量组给VLR/SGSN。在VLR/SGSN中,每个用户的N个认证向量组,按照“先入先出”(FIFO)的规则发送给移动台,用于鉴权认证。3.VLR/SGSN初始化一个认证过程,选择一个认证向量组,发送其中的RAND和AUTN给用户。用户收到后RAND||AUTN后,在USIM卡中进行如下操作:(1)计算AK并从AUTN中将序列号恢复出来 ;(2)USIM计算出XMAC,将它与AUTN中的MAC值进行比较。如果不同,用户发送一个“用户认证拒绝”信息给VLR/SGSN,放弃该认证过程。在这种情况下,VLR/SGSN向HLR发起一个“认证失败报告”,然后由VLR/SGSN决定是否重新向用户发起一个认证过程。(3)用户比较收到的SQN是否在正确范围内(为了保证通信的同步,同时防止重传攻击,SQN应该是目前使用的最大的一个序列号,由于可能发生延迟等情况,定义了一个较小的“窗口”,只要SQN收到的在该范围内,就认为是同步的。(4)如果SQN在正确范围内,USIM计算出RES,发送给VLR/SGSN,比较RES是否等于XRES。如果相等,网络就认证了用户的身份。(5)用户计算出CK=f3(RAND,K),IK=f4(RAND,K)。VLR/SGSN从认证向量组中选出IK和CK。4.如果用户计算出SQN(序列号)不在USIM认为正确的范围内,将发起一次“重新认证”。
加密算法和完整性算法都是通过用户和网络之间的安全协商机制实现的。当移动台需要与服务网络之间以加密方式通信时:(1)移动台和网络没有相同版本的UEA(加密算法)网络规定要使用加密连接,拒绝连接。(2)移动台和网络没有相同版本的UEA,网络允许使用不加密的连接,建立无加密的连接。3)移动台和网络有相同版本的UEA,网络选择其中一个UEA,建立加密连接。3G系统中预留了15种UEA。为了实现用户信息和信令信息的完整性保护,网络与移动台之间:1)如果移动台和网络没有相同版本的UIA(完整性算法),则拒绝连接。(2)如果移动台和网络有相同版本的UIA,网络选择一种UIA,建立连接。3G系统中预留了16种UIA。
目前,3G系统中VLR/SGSN发送一条Security mode command命令给SRNC(基站控制服务器),该命令预留8位,4位标识网络侧支持的加密算法,4位标识网络侧支持的完整性算法。目前只提出两种方式,一种是预留4位为‘0000’表示不加密,另一种是预留4位为‘0001’标识加密(或使用完整性保护)。
设计多种强度的安全算法需要消耗大量的资金,现有的网络只支持一种加密算法和一种完整性算法。3GPP中新的工作项目提出设计与现有的加密算法安全强度相似的新的加密算法。
发明内容
为解决现有技术中的缺陷和不足,本发明的目的在于提供一种实现用户自定义安全等级的方法,以实现用户根据其使用的业务类型和业务应用场景自定义安全等级。
为达到上述发明目的,本发明采用以下技术方案:
实现用户自定义安全等级的方法,包括以下步骤
(1)终端根据安全等级与实现该安全等级的密钥长度的映射关系,确定指定的安全等级对应的密钥长度;
(2)终端根据密钥长度确定密钥协商次数N,并和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥;
(3)将N个确定长度的安全密钥通过运算生成指定的安全等级所对应长度的密钥。
其中,所述步骤(1)具体为:
(11)建立安全等级和密钥长度之间的映射关系;
(12)终端下载安全等级和密钥长度之间的映射关系;
(13)终端根据指定的安全等级,依据安全等级和密钥长度之间的映射关系,确定所述安全等级所对应的密钥长度。
其中,所述步骤(2)中的N为大于等于1的整数。
其中,所述步骤(2)中的密钥协商次数N的计算方法为:将安全等级对应的密钥长度除以一次密钥协商产生的固定密钥长度的商进行上取整。
其中,所述步骤(2)中的终端和和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥具体为:
(21)终端定义已协商密钥次数,并将其置零;
(22)终端向网络侧发起一次密钥协商请求,产生固定长度的密钥,由终端和网络侧分别存储该密钥,并将已协商密钥次数值加1;
(23)若已协商密钥次数值小于密钥协商次数N,则转入步骤(22);若已协商密钥次数值大于密钥协商次数N,则密钥协商结束。
其中,所述步骤(3)具体为:将终端和网络侧存储的N个固定长度的安全密钥通过运算生成特定长度的密钥,与指定的安全等级对应。
与现有技术相比,利用本发明,用户可以根据当前使用的业务对安全的需求,自定义安全等级,增强了灵活性。同时本发明对3G网络信令改变少,可以在现有3G网络上实现用户自定义安全等级,并且在不改变现有密钥协商过程的情况下,生成各种长度的安全密钥。
附图说明
图1是通过协商生成多个固定长度密钥的过程流程图;
图2是某安全等级对应的密钥生成过程;
图3是安全密钥、安全算法与安全等级的对应关系图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步的详细说明。
安全算法的安全强度唯一的前提下,为了实现根据使用的业务类型和业务应用场景,用户灵活自定义安全等级,有效的方法是不同时刻使用不同长度的安全密钥。本发明通过多次密钥协商和多个密钥间的位运算,生成不同安全等级对应的不同长度的安全密钥,在不改变现有移动网络框架的同时,实现了用户自定义安全等级,方便将安全增值业务引入3G系统。
根据发明内容,详细介绍本发明的具体实施方式。本发明适用于两种场景,他们分别是:
1.现有3G网络
现有的3G系统只有一种加密算法和一种完整性算法。设计多种强度的安全算法需要消耗大量的资金。现有的网络只支持一种加密算法和一种完整性算法。3GPP中新的工作项目也只是设计与已有的加密算法安全强度相似的新的加密算法。为了实现用户自定义安全等级具体方法如下:
(一)终端根据安全等级与实现该安全等级的密钥长度的映射关系,确定密钥长度。
(1)运营商生成安全等级与密钥长度映射关系表
运营商根据现有提供给用户的业务对安全的需要,制定出若干种类的安全等级,如:高、中和低等。确定使用现有安全强度的安全算法实现这些种类的安全等级需要哪些长度的密钥。生成安全等级和密钥长度映射关系表,映射关系表中安全等级和实现该等级的密钥长度对应。等级越高,密钥长度越长。运营商根据提供给用户的业务对安全需求的变化,定期对该映射关系表进行更新。虽然安全算法的安全强度唯一,由于密钥长度不同,最终终端和网络侧建立的安全连接的安全强度不同。
(2)终端下载安全等级与密钥长度映射关系表
终端首次使用自定义安全等级的服务时,从网络侧下载一个安全等级与安全密钥(加密密钥和完整性密钥)长度映射关系表。在使用自定义安全服务的过程中,运营商定期对该映射关系表进行更新,用户从网上下载新映射关系表。将映射关系表存储在USIM卡上。
(3)终端自定义安全等级
终端根据当前使用的业务的种类和业务的应用场景自定义安全等级。终端终端根据需要自定义安全等级增加终端的自主性。通过查找安全等级与密钥长度映射关系表,映射出终端所需的密钥长度。通过该关系表实现了终端显示确定安全等级,隐式选择密钥长度。
(二)终端根据密钥长度确定密钥协商次数N(N为大于等于1的整数),并和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥。
(4)确定密钥协商次数,进行N次密钥协商
如图1所示,首先,在终端上计算出需要进行的密钥协商次数N。N等于安全等级对应的密钥长度除以一次密钥协商产生的密钥长度的结果上取整。例如用户选择了高安全等级,假设经过映射关系表映射,映射出的密钥长度是256位。经过此步运算计算出N=2。需要进行两次密钥协商。例如用户选择了低安全等级,假设经过映射关系表映射,映射出的密钥长度是64位。经过此步运算计算出N=1。需要进行一次密钥协商。接着,进行N次密钥协商。(a)终端生成变量n,n表示已协商密钥次数,将其置为0。(b)如果是3G网络,终端向网络侧VLR/SGSN发起一次AKA认证密钥协商。认证通过,两侧协商出固定长度的密钥。(c)终端和网络侧VLR/SGSN分别存储协商出的128位密钥。(d)终端将已协商密钥次数n加1。(e)终端将已协商密钥次数与需协商密钥次数进行对比,如果已协商密钥次数小于需协商密钥次数,转到(b)继续执行。否则密钥协商结束。
(三)将N个确定长度的安全密钥通过运算生成安全等级所对应的长度的密钥。
(5)产生指定安全等级对应长度的密钥
如图2所示,产生指定安全等级对应长度的密钥方法如下:(a)终端和网络侧VLR/SGSN分别读取存储在本地的N个固定长度的密钥。(b)两侧分别将N个密钥输入到特殊位运算中,通过位运算生成密钥长度与安全等级所需密钥长度相符的密钥。例如,3G系统用户选择高安全等级,假如该安全等级对应的密钥长度是256位。将两次AKA协商出的128位密钥输入到串连位运算中,通过串连位运算将两个128位的密钥串连在一起,生成256位的密钥。例如,3G系统用户选择低安全等级,假如该安全等级对应的密钥长度是64位。将一次AKA协商出的128位密钥输入到位运算中,通过位运算将128位密钥截取成64位的密钥。输出64位的密钥。
(6)用生成的安全等级对应长度的密钥进行加密和安全算法保护用户数据。
2.发展后的3G网络
随着3G系统的不断发展,将产生不同种类的安全算法,安全算法的安全强度也不敬相同。安全算法的强度和安全密钥的长度共同作用实现不同等级的安全保障,如图3所示。方法如下:
(1)生成安全算法和安全密钥与安全等级的映射关系表
运营商根据提供给用户的各种业务对安全的需求,生成安全算法和安全密钥与安全等级的映射关系表。该映射关系表中列出实现指定安全等级需要的安全算法列表和为实现该安全等级各算法需要的密钥长度。运营商根据业务对安全的需要,在某些固定的时刻更新映射关系表。
(2)下载安全算法和安全密钥与安全等级的映射关系表
用户首次使用自定义安全等级服务时,终端下载安全算法和安全密钥与安全等级的映射关系表。在一些特定时刻,运营商根据业务对安全的需要,更新映射关系表,终端下载新映射关系表。
(3)用户自定义安全等级
用户根据当前业务的种类和应用场景,选择合适的安全等级。通过存储在终端的映射关系表映射,相当于用户选择了此时支持的安全算法和各算法对应的密钥长度。
(4)进行AKA认证密钥协商。
终端向网络侧发起一次认证密钥协商。终端和网络侧共同协商出128位固定长度密钥。分别存储该密钥。
(5)协商安全算法
终端和网络侧进行协商,协商出双方共同支持的安全性能最佳的安全算法。
(6)协商密钥
根据用户选择的安全等级和算法需要的密钥长度,终端计算出密钥协商次数N。再通过终端和网络侧的N-1次密钥协商,终端和网络侧分别协商出N个固定长度的密钥,通过位运算生成特定安全等级对应长度的密钥。
Claims (6)
1.实现用户自定义安全等级的方法,其特征在于:包括以下步骤
(1)终端根据安全等级与实现该安全等级的密钥长度的映射关系,确定指定的安全等级对应的密钥长度;
(2)终端根据密钥长度确定密钥协商次数N,并和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥;
(3)将N个确定长度的安全密钥通过运算生成指定的安全等级所对应长度的密钥。
2.根据权利要求1所述的实现用户自定义安全等级的方法,其特征在于:所述步骤(1)具体为:
(11)建立安全等级和密钥长度之间的映射关系;
(12)终端下载安全等级和密钥长度之间的映射关系;
(13)终端根据指定的安全等级,依据安全等级和密钥长度之间的映射关系,确定所述安全等级所对应的密钥长度。
3.根据权利要求1所述的实现用户自定义安全等级的方法,其特征在于:所述步骤(2)中的N为大于等于1的整数。
4.根据权利要求3所述的实现用户自定义安全等级的方法,其特征在于:所述步骤(2)中的密钥协商次数N的计算方法为:将安全等级对应的密钥长度除以一次密钥协商产生的固定密钥长度的商进行上取整。
5.根据权利要求3所述的实现用户自定义安全等级的方法,其特征在于:所述步骤(2)中的终端和和网络侧通过N次密钥协商,协商出N个确定长度的安全密钥具体为:
(21)终端定义已协商密钥次数,并将其置零;
(22)终端向网络侧发起一次密钥协商请求,产生固定长度的密钥,由终端和网络侧分别存储该密钥,并将已协商密钥次数值加1;
(23)若已协商密钥次数值小于密钥协商次数N,则转入步骤(22);若已协商密钥次数值大于密钥协商次数N,则密钥协商结束。
6.根据权利要求1所述的实现用户自定义安全等级的方法,其特征在于:所述步骤(3)具体为:将终端和网络侧存储的N个固定长度的安全密钥通过运算生成特定长度的密钥,与指定的安全等级对应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101458722A CN101192919B (zh) | 2006-11-21 | 2006-11-21 | 实现用户自定义安全等级的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101458722A CN101192919B (zh) | 2006-11-21 | 2006-11-21 | 实现用户自定义安全等级的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101192919A true CN101192919A (zh) | 2008-06-04 |
| CN101192919B CN101192919B (zh) | 2010-09-08 |
Family
ID=39487694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101458722A Expired - Fee Related CN101192919B (zh) | 2006-11-21 | 2006-11-21 | 实现用户自定义安全等级的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101192919B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102348206A (zh) * | 2010-08-02 | 2012-02-08 | 华为技术有限公司 | 密钥隔离方法和装置 |
| CN102355350A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 一种用于移动智能终端的文件加密方法和系统 |
| CN102685106A (zh) * | 2012-03-27 | 2012-09-19 | 北京百纳威尔科技有限公司 | 一种安全验证方法及设备 |
| CN106850204A (zh) * | 2017-02-27 | 2017-06-13 | 北京邮电大学 | 量子密钥分配方法及系统 |
| CN109558707A (zh) * | 2018-11-16 | 2019-04-02 | 北京梆梆安全科技有限公司 | 一种加密函数安全等级的检测方法及装置、移动设备 |
| CN112769868A (zh) * | 2021-02-07 | 2021-05-07 | 深圳市欧瑞博科技股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN114915457A (zh) * | 2022-04-27 | 2022-08-16 | 烽台科技(北京)有限公司 | 报文传输方法、动态加密方法、装置、电子设备及介质 |
| CN115314270A (zh) * | 2022-07-29 | 2022-11-08 | 国网浙江省电力有限公司宁波供电公司 | 基于量子密钥的电力业务分级加密方法及通信方法 |
| CN116599772A (zh) * | 2023-07-14 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及相关设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6578143B1 (en) * | 1998-12-18 | 2003-06-10 | Qualcomm Incorporated | Method for negotiating weakened keys in encryption systems |
| CN100571133C (zh) * | 2004-02-17 | 2009-12-16 | 华为技术有限公司 | 媒体流安全传输的实现方法 |
| CN100571130C (zh) * | 2004-11-08 | 2009-12-16 | 中兴通讯股份有限公司 | 一种通用的安全等级协商方法 |
-
2006
- 2006-11-21 CN CN2006101458722A patent/CN101192919B/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102348206A (zh) * | 2010-08-02 | 2012-02-08 | 华为技术有限公司 | 密钥隔离方法和装置 |
| US8934914B2 (en) | 2010-08-02 | 2015-01-13 | Huawei Technologies Co., Ltd. | Key separation method and device |
| CN102355350A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 一种用于移动智能终端的文件加密方法和系统 |
| CN102355350B (zh) * | 2011-06-30 | 2015-09-02 | 北京邮电大学 | 一种用于移动智能终端的文件加密方法和系统 |
| CN102685106A (zh) * | 2012-03-27 | 2012-09-19 | 北京百纳威尔科技有限公司 | 一种安全验证方法及设备 |
| CN106850204A (zh) * | 2017-02-27 | 2017-06-13 | 北京邮电大学 | 量子密钥分配方法及系统 |
| CN109558707A (zh) * | 2018-11-16 | 2019-04-02 | 北京梆梆安全科技有限公司 | 一种加密函数安全等级的检测方法及装置、移动设备 |
| CN109558707B (zh) * | 2018-11-16 | 2021-05-07 | 北京梆梆安全科技有限公司 | 一种加密函数安全等级的检测方法及装置、移动设备 |
| CN112769868A (zh) * | 2021-02-07 | 2021-05-07 | 深圳市欧瑞博科技股份有限公司 | 通信方法、装置、电子设备及存储介质 |
| CN114915457A (zh) * | 2022-04-27 | 2022-08-16 | 烽台科技(北京)有限公司 | 报文传输方法、动态加密方法、装置、电子设备及介质 |
| CN114915457B (zh) * | 2022-04-27 | 2023-08-25 | 烽台科技(北京)有限公司 | 报文传输方法、动态加密方法、装置、电子设备及介质 |
| CN115314270A (zh) * | 2022-07-29 | 2022-11-08 | 国网浙江省电力有限公司宁波供电公司 | 基于量子密钥的电力业务分级加密方法及通信方法 |
| CN116599772A (zh) * | 2023-07-14 | 2023-08-15 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及相关设备 |
| CN116599772B (zh) * | 2023-07-14 | 2024-04-09 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101192919B (zh) | 2010-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101192919B (zh) | 实现用户自定义安全等级的方法 | |
| CN108347417B (zh) | 一种网络认证方法、用户设备、网络认证节点及系统 | |
| WO2020108019A1 (zh) | 一种基于联盟链的数据传递方法及装置 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| KR20170045120A (ko) | 차량의 보안 통신을 위한 방법 | |
| CN107453868A (zh) | 一种安全高效的量子密钥服务方法 | |
| US20050154896A1 (en) | Data communication security arrangement and method | |
| CN101123778A (zh) | 网络接入鉴权方法及其usim卡 | |
| CN107079293A (zh) | 一种gprs系统密钥增强的方法、sgsn设备、ue、hlr/hss及gprs系统 | |
| CN103621126A (zh) | 提供机器到机器服务的方法和装置 | |
| CN103688563A (zh) | 执行组认证和密钥协商过程 | |
| CN105656859A (zh) | 税控设备软件安全在线升级方法及系统 | |
| CN101720071A (zh) | 基于安全sim卡的短消息两阶段加密传输和安全存储方法 | |
| US20170155647A1 (en) | Method for setting up a secure end-to-end communication between a user terminal and a connected object | |
| CN111133720A (zh) | 在设备之间安全地通信的方法和设备 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN101997681A (zh) | 一种多节点路径的认证方法、系统及相关节点设备 | |
| CN101132649A (zh) | 一种网络接入鉴权方法及其usim卡 | |
| CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
| CN111586023B (zh) | 一种认证方法、设备和存储介质 | |
| KR101782483B1 (ko) | 차량 애드 혹 네트워크에서의 차량 인증서 생성 방법 및 장치 | |
| CN110691358B (zh) | 无线传感器网络中基于属性密码体制的访问控制系统 | |
| CN104717070B (zh) | 一种利用单向哈希函数关联数字证书的方法 | |
| CN104579659A (zh) | 用于安全性信息交互的装置 | |
| KR20190112959A (ko) | 암호화 데이터를 이용하는 기계학습 모델 운영방법 및 기계학습 모델 기반 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100908 Termination date: 20171121 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |