CN101207479A - 一种密钥长度协商方法 - Google Patents
一种密钥长度协商方法 Download PDFInfo
- Publication number
- CN101207479A CN101207479A CNA2007101248697A CN200710124869A CN101207479A CN 101207479 A CN101207479 A CN 101207479A CN A2007101248697 A CNA2007101248697 A CN A2007101248697A CN 200710124869 A CN200710124869 A CN 200710124869A CN 101207479 A CN101207479 A CN 101207479A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- lrj
- key
- network equipment
- length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种密钥长度选择协商方法,包括:控制网络设备和用户终端卡预共享同一具有长度Lk的密钥Kr;用户终端上报安全能力信息给控制网络设备,上报的安全能力信息中包括用户终端与各网络设备j之间通信所能支持的密钥长度Luj;网络设备j上报安全能力信息给控制网络设备,所述的安全能力信息中包括网络设备j和用户终端之间通信所能支持的密钥长度Lnj;控制网络设备取(Luj,Lnj,Lk)中最小一个的值,设为Lrj,控制网络设备将Lrj作为网络设备j和用户终端之间通信使用的密钥长度,并且将协商结果Lrj通知用户终端;用户终端将协商结果Lrj通知用户终端卡。通过该方法能够为系统选择协商合适长度的密钥。
Description
技术领域
本发明涉及电信通讯行业的安全领域,特别涉及安全设备协商多种长度的密钥的技术。
背景技术
在通信网络中,存在如下的情况,一个控制网络设备和用户终端卡之间预共享一个密钥,用户终端需要和多个网络设备进行通信,而和不同的网络设备通信的安全算法能力不尽相同。网络中存在一个控制网络设备,各个网络设备都能够将自己的安全算法上报给控制网络设备,用户终端也能够将其和不同网络设备之间的安全算法上报给网络控制设备,在这种情况下,如何让用户终端和不同的网络设备通信使用不同长度的密钥是一个新的需求。
发明内容
本发明的目的在于,提供一种密钥长度选择协商方法,通过该方法能够为系统选择协商合适长度的密钥。
为了解决上述技术问题,本发明提供了一种密钥长度选择协商方法,所述方法包括:
步骤一:控制网络设备和用户终端卡预共享同一密钥Kr,所述密钥Kr具有长度Lk;
步骤二:用户终端上报安全能力信息给控制网络设备,其中,上报的安全能力信息中包括用户终端与各网络设备j(j=1,2,...,m)之间通信所能支持的密钥长度Luj;网络设备j(j=1,2,...,m)上报安全能力信息给控制网络设备,其中,所述的安全能力信息中包括网络设备j和用户终端之间通信所能支持的密钥长度Lnj;
步骤三:对于j=1,2,...,m,控制网络设备取(Luj,Lnj,Lk)中最小一个的值,即min(Luj,Lnj,Lk),设为Lrj,控制网络设备将Lrj做为网络设备j和用户终端之间通信使用的密钥长度,并且将协商结果Lrj通知用户终端;
步骤四:用户终端将协商结果Lrj(j=1,2,...,m)通知用户终端卡。
进一步地,在步骤一中,控制网络设备可以是网络设备1,...,网络设备m中的一个。
进一步地,在步骤二中,用户终端可以只上报其支持的最大密钥长度能力,此时用户终端上报密钥长度能力为Lu,Lu为(Lu1,...,Lum)中的最小值。
进一步地,在步骤三中,当控制网络设备决定网络设备j和用户终端之间的通信使用Lrj位密钥,Lrj<Lk,则控制网络设备使用预先约定的截短方法对Lk位的Kr进行Lrj位截短,截短后的部分用于网络设备j和用户终端通信相关密钥的生成。预先约定的截短方法可以是取Kr中任意长度为Lrj的位。
进一步地,在步骤三中,当控制网络设备决定网络设备j和用户终端之间的通信使用Lrj位密钥时,Lrj<Lk,则控制网络设备利用Kr生成Lk位的密钥,设为Ksj,然后使用预先约定的截短方法对Lk位的Ksj进行Lrj位截短,截短得到的Lrj位密钥用于网络设备j和用户终端之间的通信使用。预先约定的截短方法可以是取Ksj中任意长度为Lrj的位。
进一步地,在步骤三中,控制网络设备可以直接将密钥长度协商结果通知用户终端,也可以通过其它网络设备如网络设备1、...、网络设备m将结果通知用户终端。
进一步地,在步骤四中,当用户终端卡获知用户终端和网络设备j之间通信使用Lrj位密钥时,Lrj<Lk,则用户终端卡使用预先约定的截短方法对Lk位的Kr进行Lrj位截短,截短后的部分用于用户终端和网络设备j通信相关密钥的生成。预先约定的截短方法可以是取Kr中任意长度为Lrj的位。
进一步地,在步骤四中,当用户终端卡获知用户终端和网络设备j之间的通信使用Lrj位密钥,Lrj<Lk,则用户终端卡利用Kr生成Lk位密钥,设为Ksj’,然后使用预先约定的截短方法对Lk位的Ksj’进行Lrj位截短,截短得到的Lrj位密钥用于用户终端和网络设备j之间的通信使用。预先约定的截短方法可以是取Ksj’中任意长度为Lrj的位。
通过本发明的方法能够为系统选择协商合适长度的密钥。
附图说明
图1为本发明的各设备的初始能力图;
图2为本发明的设备上报自己支持的密钥长度能力图;
图3为本发明密钥长度协商结果图;
图4为本发明应用例的各设备的初始能力图;
图5为本发明应用例的设备上报自己支持的密钥长度能力图;
图6为本发明应用例密钥长度协商结果图;
图7为本发明的流程图。
具体实施方式
在3GPP LTE/SAE中,MME为移动性管理实体,ENB为基站设备,UE是指类似手机的用户设备,UICC为智能卡,位于UE中。NAS层协议是指UE和MME之间通信的协议,AS层协议是指UE和ENB之间通信的协议。
3GPP LTE/SAE提出了兼容128位密钥和256位密钥的需求,其中128位密钥为LTE设备包括MME、ENB、UE必须支持的功能,256位密钥为扩展接口,用于满足将来对于更高强度密钥的需要。由于MME、ENB、UE、UICC目前设计只支持128位密钥,那么什么时候选择128位密钥,什么时候选择256位密钥是一个新的需求。
在3GPP LTE/SAE中,MME可以获取UE、ENB的安全能力,MME也能够获取自身的安全能力,安全能力目前包括UE、ENB、MME所能够支持的算法,不同的算法支持可能支持不同的密钥长度,同一算法也可能支持不同的密钥长度。其中UE安全能力包括两个部分,一部分为UE的NAS层安全能力,另一部分为UE的AS层安全能力。UE和MME的安全能力协商可以确定NAS层使用什么安全算法,UE和ENB的安全能力协商可以确定AS层使用什么安全算法。
请参考图4至图7。下面将结合3GPP LTE/SAE的密钥协商给出本发明的一个实施例,通过此实施例,MME和UICC可以协商NAS层和AS层选择128或者是256位的密钥。
步骤一:在对AKA进行简单的修改后,MME和UICC可以共享同一密钥Kasme,Kasme的长度设为256位。
步骤二:UE的NAS层安全能力信息中增加该UE NAS层能够支持的密钥长度,设为256位,UE的AS层安全能力信息中增加该UE AS层能够支持的密钥长度,设为256位。ENB的安全能力信息中增加该ENB和UE之间通信能够支持的密钥长度,设为128位。MME和UE通信能够支持的密钥长度设为256位。
步骤三:MME取UE NAS层支持的密钥长度、MME和UE之间通信支持的密钥长度及Kasme的密钥长度中的最小值,即min(256,256,256)=256,做为MME和UE之间的通信使用的密钥长度,MME将NAS密钥长度协商结果通知UE;MME取UE AS层支持的密钥长度、ENB和UE通信时支持的密钥长度及Kasme的密钥长度中的最小值,即min(256,128,256)=128,做为MME和UE之间的通信使用的密钥长度。MME将AS密钥长度协商结果通知UE。
步骤四:UE发现MME和UE NAS层安全能力协商结果为使用256位密钥,则UE通知UICC,UE NAS层使用256位密钥;UE发现ENB和UE AS层安全能力协商结果为使用128位密钥,则UE通知UICC,UE AS层使用128位密钥。
进一步地,在步骤三中,当MME决定ENB和UE之间的通信使用128位密钥,则MME使用预先约定的截短方法对256位的Kasme进行128位截短,截短后的部分用于ENB和UE通信相关密钥的生成。预先约定的截短方法可以是取256位Kasme的前128位,也可以是后128位,也可以是其中任意128位。
进一步地,在步骤三中,MME可以先将AS密钥长度协商结果通知eNB,然后eNB再通知UE。
进一步地,在步骤四中,当UICC获知UE和ENB之间的通信使用128位密钥时,则UICC使用预先约定的截短方法对256位的Kasme进行128位截短,截短后的部分用于UE和ENB通信相关密钥的生成。预先约定的截短方法可以是取256位Kasme的前128位,也可以是后128位,也可以是其中任意128位。
以上所述的实施方式只是本发明的一个实施实例而已,在不违背本发明精神及实质的情况下,技术人员可以根据本发明产生其它实施例,但这些基于本发明精神及实质的实施例也应该属于本发明所附权利要求的保护范围之内。
Claims (12)
1.一种密钥长度选择协商方法,其特征在于,所述方法包括:
步骤一:控制网络设备和用户终端卡预共享同一密钥Kr,所述密钥Kr具有长度Lk;
步骤二:用户终端上报安全能力信息给控制网络设备,其中,上报的安全能力信息中包括用户终端与各网络设备j(j=1,2,...,m)之间通信所能支持的密钥长度Luj;网络设备j(j=1,2,...,m)上报安全能力信息给控制网络设备,其中,所述的安全能力信息中包括网络设备j和用户终端之间通信所能支持的密钥长度Lnj;
步骤三:对于j=1,2,...,m,控制网络设备取(Luj,Lnj,Lk)中最小一个的值,即min(Luj,Lnj,Lk),设为Lrj,控制网络设备将Lrj做为网络设备j和用户终端之间通信使用的密钥长度,并且将协商结果Lrj通知用户终端;
步骤四:用户终端将协商结果Lrj(j=1,2,...,m)通知用户终端卡。
2.如权利要求1所述的方法,其特征在于,进一步地,在步骤一中,控制网络设备可以是网络设备1,...,网络设备m中的一个。
3.如权利要求1所述的方法,其特征在于,进一步地,在步骤二中,用户终端可以只上报其支持的最大密钥长度能力,此时用户终端上报密钥长度能力为Lu,Lu为(Lu1,...,Lum)中的最小值。
4.如权利要求1所述的方法,其特征在于,进一步地,在步骤三中,当控制网络设备决定网络设备j和用户终端之间的通信使用Lrj位密钥,Lrj<Lk,则控制网络设备使用预先约定的截短方法对Lk位的Kr进行Lrj位截短,截短后的部分用于网络设备j和用户终端通信相关密钥的生成。
5.如权利要求4所述的方法,其特征在于,所述预先约定的截短方法是取Kr中任意长度为Lrj的位。
6.如权利要求1所述的方法,其特征在于,进一步地,在步骤三中,当控制网络设备决定网络设备j和用户终端之间的通信使用Lrj位密钥时,Lr<Lk,则控制网络设备利用Kr生成Lk位的密钥,设为Ksj,然后使用预先约定的截短方法对Lk位的Ksj进行Lrj位截短,截短得到的Lrj位密钥用于网络设备j和用户终端之间的通信使用。
7.如权利要求6所述的方法,其特征在于,所述预先约定的截短方法是取Ksj中任意长度为Lrj的位。
8.如权利要求1所述的方法,其特征在于,在步骤三中,控制网络设备可以直接将密钥长度协商结果通知用户终端,也可以通过其它网络设备如网络设备1、...、网络设备m将结果通知用户终端。
9.如权利要求1所述的方法,其特征在于,进一步地,在步骤四中,当用户终端卡获知用户终端和网络设备j之间通信使用Lrj位密钥时,Lrj<Lk,则用户终端卡使用预先约定的截短方法对Lk位的Kr进行Lrj位截短,截短后的部分用于用户终端和网络设备j通信相关密钥的生成。
10.如权利要求9所述的方法,其特征在于,所述预先约定的截短方法是取Kr中任意长度为Lrj的位。
11.如权利要求1所述的方法,其特征在于,进一步地,在步骤四中,当用户终端卡获知用户终端和网络设备j之间的通信使用Lrj位密钥,Lrj<Lk,则用户终端卡利用Kr生成Lk位密钥,设为Ksj’,然后使用预先约定的截短方法对Lk位的Ksj’进行Lrj位截短,截短得到的Lrj位密钥用于用户终端和网络设备j之间的通信使用。
12.如权利要求11所述的方法,其特征在于,所述预先约定的截短方法是取Ksj’中任意长度为Lrj的位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101248697A CN101207479A (zh) | 2007-12-07 | 2007-12-07 | 一种密钥长度协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101248697A CN101207479A (zh) | 2007-12-07 | 2007-12-07 | 一种密钥长度协商方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101207479A true CN101207479A (zh) | 2008-06-25 |
Family
ID=39567390
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101248697A Pending CN101207479A (zh) | 2007-12-07 | 2007-12-07 | 一种密钥长度协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101207479A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| CN101729544B (zh) * | 2009-05-21 | 2013-03-20 | 中兴通讯股份有限公司 | 一种安全能力协商方法和系统 |
| CN111787532A (zh) * | 2020-06-30 | 2020-10-16 | 兴唐通信科技有限公司 | 一种协商5g移动通信网络安全能力的方法 |
-
2007
- 2007-12-07 CN CNA2007101248697A patent/CN101207479A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| US8949927B2 (en) | 2007-10-31 | 2015-02-03 | Lenovo Innovations Limited (Hong Kong) | System and method for selection of security algorithms |
| US9661498B2 (en) | 2007-10-31 | 2017-05-23 | Lenovo Innovations Limited (Hong Kong) | System and method for selection of security algorithms |
| CN101729544B (zh) * | 2009-05-21 | 2013-03-20 | 中兴通讯股份有限公司 | 一种安全能力协商方法和系统 |
| CN111787532A (zh) * | 2020-06-30 | 2020-10-16 | 兴唐通信科技有限公司 | 一种协商5g移动通信网络安全能力的方法 |
| CN111787532B (zh) * | 2020-06-30 | 2023-08-08 | 兴唐通信科技有限公司 | 一种协商5g移动通信网络安全能力的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110881184B (zh) | 通信方法和装置 | |
| CN102711105B (zh) | 通过移动通信网络进行通信的方法、装置及系统 | |
| CN101267668B (zh) | 密钥生成方法、装置及系统 | |
| CN101682415A (zh) | 移动台从第一到第二类型的无线网络的切换 | |
| CN109716834A (zh) | 无线通信系统中的临时标识符 | |
| EP3177052B1 (en) | Method, device and system for selecting security algorithm | |
| CN101242630A (zh) | 安全算法协商的方法、装置及网络系统 | |
| EP2890205A1 (en) | Method, device, and system for device-to-device communication | |
| JPWO2018079692A1 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
| JP6022244B2 (ja) | 移動通信システムにおける基地局及び制御方法 | |
| JP2021522754A (ja) | 通信方法および通信装置 | |
| CN101128066B (zh) | 不进行用户面加密的方法及系统 | |
| CN112351431A (zh) | 一种安全保护方式确定方法及装置 | |
| CN108093397A (zh) | 一种终端的能力信息的上报方法及装置 | |
| JP2010109954A (ja) | 移動局 | |
| CN101207479A (zh) | 一种密钥长度协商方法 | |
| EP2536219B1 (en) | Access control method, network entity and access control system | |
| EP3059989B1 (en) | Method for realizing secure communications among machine type communication devices and network entity | |
| CN102739877A (zh) | 终端用户信息共享的方法、呼叫的方法及服务器 | |
| US10349387B2 (en) | Enhanced and/or adaptive communication between a telecommunications network and at least one secondary communication device via or using a primary communication device | |
| JP6167229B2 (ja) | 無線通信システムにおけるエアインタフェースセキュリティアルゴリズムの選択方法及びmme | |
| KR101687944B1 (ko) | 손상된 노드들을 식별하기 위한 방법 및 시스템 | |
| CN103200191A (zh) | 通信装置和无线通信方法 | |
| CN107770769B (zh) | 一种加密方法、网络侧设备及终端 | |
| CN114342472A (zh) | 对amf重新分配时的注册请求中的nas容器的处理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080625 |