CN101330376A - 安全算法的协商方法 - Google Patents
安全算法的协商方法 Download PDFInfo
- Publication number
- CN101330376A CN101330376A CNA2007100761021A CN200710076102A CN101330376A CN 101330376 A CN101330376 A CN 101330376A CN A2007100761021 A CNA2007100761021 A CN A2007100761021A CN 200710076102 A CN200710076102 A CN 200710076102A CN 101330376 A CN101330376 A CN 101330376A
- Authority
- CN
- China
- Prior art keywords
- security algorithm
- network side
- subscriber equipment
- identification information
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明的实施例公开了安全算法的协商方法和用来实现该方法的终端。其目的是要提供一种能支持运营商使用自定义安全算法的安全算法协商方法。本发明实施例公开的安全算法协商方法包括:网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;网络侧将所述选择的安全算法通知给用户设备。本发明实施例提供的终端包括:存储单元、接收单元、执行单元和发送单元。通过本发明实施例公开的方法和终端,运营商可以使用自定义安全算法而不产生冲突。
Description
技术领域
本发明无线通信技术领域,特别是涉及安全算法协商的技术。
背景技术
在UMTS(Universal Mobile Telecommunications System,通用移动通信系统)网络中,为了保护空中接口的通信安全,用户设备(UE,User Equipment)和无线网络控制器(RNC,Radio Network Controller)需要对空中接口上的数据和信令进行加密保护以防止攻击者进行窃听,同时需要对空中接口上的信令进行完整性保护以防止攻击者篡改空中接口上的信令。
为了对空中接口的数据和信令进行加密保护和完整性保护,用户设备和网络侧需要协商加密算法和完整性算法。协商的过程简要描述如下:
(1)为不同的加密算法和完整性算法设定不同的算法标识符。例如可以设定基于Kasumi的加密算法的算法标识符为0001,基于SNOW的加密算法的算法标识符为0010;基于Kasumi的完整性算法的标识符为0001,基于SNOW的完整性算法的算法标识符为0010。不加密的算法标识符为0000。
(2)用户设备将它支持的算法列表上报给无线网络控制器,即用户设备将其支持的加密算法和完整性算法发送给无线网络控制器。如,用户设备支持基于Kasumi的加密算法和完整性算法,则通知无线网络控制器它支持的加密算法为0001和0000(不加密),完整性算法为0001。
(3)核心网设备SGSN或MSC/VLR将该用户允许使用的算法列表按照优先级顺序排序后发送给无线网络控制器。
(4)无线网络控制器根据核心网设备下发的算法列表、用户设备上报的算法列表、自身支持的算法情况选择出要使用的加密算法和完整性算法,并将选择的加密算法和完整性算法通知给用户设备。
(5)当发生跨PLMN切换时,源无线网络控制器将用户设备支持的算法列表发送给目标无线网络控制器,目标无线网络控制器根据自身支持的算法情况选择出切换后要使用的加密算法和完整性算法,并将选择的加密算法和完整性算法通过源无线网络控制器通知给用户设备。
UMTS中现有的算法协商方式无法支持运营商使用自定义的安全算法。这是因为在现有的安全算法协商流程下,运营商如果想制定其特定的算法,就必须为其特定的算法申请一个全球唯一的算法标识符。而由于现有的标准中算法标识符用4位2进制数表示,因此最多只能支持15种加密算法或完整性算法。目前全球的运营商有数百家,15种加密算法显然无法满足运营商使用自定义安全算法的需求。因此现有的算法协商方式没有很好的扩展性,无法支持运营商使用自定义的安全算法。
发明内容
为了解决上述技术问题,本发明的实施例提供了能支持运营商使用自定义安全算法的算法协商方法,以及相应的系统和装置。
本发明的实施例提供了一种安全算法的协商方法,包括:
网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;
网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;
网络侧将所述选择的安全算法通知给用户设备。
本发明的实施例提供了一种终端,包括:
存储单元:用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关联保存;
接收单元:用于接收网络侧发来的PLMN标识信息;
执行单元:用于根据所述接收单元收到的PLMN标识信息,到所述存储单元进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;
发送单元:用于将所述执行单元确定的,与所述接收到的PLMN标识信息相关联的安全算法发送给网络侧。
本发明的实施例提供的方法和终端通过将安全算法和PLMN的标识信息相关联,使得运营商可以使用自定义安全算法而不产生冲突,从而满足运营商使用自定义安全算法的需求。
附图说明
图1是本发明实施例提供的一种UMTS系统中的安全算法的协商方法的流程图,该流程中用户设备根据PLMN标识信息确定需要上报的安全算法,发生跨PLMN切换时,源PLMN对用户设备上报的安全算法中属于该源PLMN自定义的安全算法进行删除;
图2是本发明实施例提供的又一种UMTS系统中的安全算法的协商方法的流程图,该流程中用户设备根据PLMN标识信息确定需要上报的安全算法,发生跨PLMN切换时,源PLMN将目标PLMN的标识信息通知给用户设备;
图3是本发明实施例提供的又一种UMTS系统中的安全算法的协商方法的流程图,该流程中用户设备根据PLMN标识信息确定需要上报的安全算法,发生跨PLMN切换时,源PLMN的网络侧断开与用户设备的连接;
图4是本发明实施例提供的一种演进3G网络系统中的安全算法的协商方法的流程图,该流程中移动性管理实体选择与用户设备通信所使用的非接入层安全算法、接入层安全算法和用户面安全算法;
图5是本发明实施例提供的一种演进3G网络系统中的安全算法的协商方法的流程图,该流程中移动性管理实体选择与用户设备通信所使用的非接入层安全算法,演进基站选择与用户设备通信所使用的接入层安全算法和用户面安全算法;
图6是本发明实施例提供的一种演进3G网络系统中的安全算法的协商方法的流程图,该流程中演进基站选择与用户设备通信所使用的非接入层安全算法、接入层安全算法和用户面安全算法;
图7是本发明实施例提供的一种适用于UMTS系统和演进3G网络系统中的安全算法的协商方法的流程图,该流程中用户设备在上报安全算法的同时还上报国际移动设备身份;
图8是本发明实施例提供的又一种适用于UMTS系统和演进3G网络系统中的安全算法的协商方法的流程图,该流程中用户设备将其支持的安全算法,以及与安全算法相关联的PLMN标识信息均上报给网络侧;
图9是本发明实施例提供的终端的示意图。
具体实施方式
为了实现背景技术中提出的技术问题,使运营商能够采用自定义安全算法,本发明的实施例提供了一种安全算法协商方法。该方法包括:
网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;
网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;
网络侧将所述选择的安全算法通知给用户设备。
在上述实施例中,通过将安全算法与PLMN的标识信息相关联,使得不同的运营商可以使用自定义安全算法而不产生冲突。举例来说,在现有标准的框架下,不同的运营商可以使用相同的四位二进制数来表示其自定义安全算法,而在具体通信过程中不会因此产生冲突。
本发明的又一实施例提供了一种UMTS系统中的安全算法的协商方法。该方法中,用户设备上实现的安全算法包括加密算法和完整性算法,这些安全算法不仅仅用四位二进制数标识,还与PLMN的标识信息相关联。具体来说,这些安全算法还可以与PLMN中的移动国家码(Mobile Country Code,MCC)和移动网络码(Mobile Network Code,MNC)相关联。例如:加密算法X是运营商A的自定义加密算法,则可以将该加密算法X的四位二进制数标识与运营商A的MCC和MNC关联保存,从而表示加密算法X与运营商A的关联关系;或者,完整性算法Y是B国运营商通用的完整性算法,则可以将该完整性算法Y的四位二进制数标识仅与B国的MCC关联保存,从而表示完整性算法Y与B国所有运营商的关联关系;或者,完整性算法Z是全球通用的完整性算法,则可以将该完整性算法Z单独保存,从而表示完整性算法Z与所有运营商的关联关系。需要特别指出的是,无论安全算法是与MCC和MNC关联保存,或安全算法仅与MCC关联保存,或安全算法单独保存,都可以看作是安全算法与PLMN的标识信息相关联。还需要指出的是,“不采用安全算法”也可以认为是一种安全算法,例如可以用四位二进制数0000来表示不采用加密算法/完整性算法。
如图1所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤101:网络侧将自身所属的PLMN标识信息通知给用户设备;
步骤102:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤103:用户设备将自身支持的、与该网络侧所属PLMN标识信息相关联的安全算法上报给网络侧的无线网络控制器;
步骤104:核心网设备SGSN或MSC/VLR将该用户允许使用的安全算法发送给无线网络控制器;
步骤105:无线网络控制器根据用户设备上报的安全算法、核心网设备发送的安全算法,以及自身支持的安全算法,选择与用户设备通信所使用的安全算法;
步骤106:网络侧将所述选择的安全算法通知给用户设备。
需要指出的是,步骤104并不限定在步骤103之后完成,它也可以在步骤103之前完成。
与现有技术相比,上述实施例所公开的安全算法协商方法在用户设备上报自身支持的安全算法之前,先根据网络侧所属PLMN的标识信息对自身支持的所有安全算法进行筛选,使得上报的安全算法都是与所在PLMN相关联的。这种协商方法使得运营商可以使用自定义安全算法,且不同运营商可以使用同样的四位二进制数来表示各自的自定义安全算法,只要通过相关联的PLMN标识信息就可以区分。
在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商:
步骤107:源PLMN将该用户设备上报的安全算法中属于该源PLMN自定义的安全算法删除;
例如,若用户设备上报的某安全算法仅与源PLMN的标识信息相关联,则将该安全算法从用户设备上报的安全算法中删除。若用户设备上报的某安全算法适用于源PLMN所在国家/地区的所有运营商,则源PLMN可以判断目标PLMN是否属于同样的国家/地区,若是,则保留该安全算法;若否,则删除该安全算法。若用户设备上报的某安全算法适用于源PLMN所在国家/地区的所有运营商,则源PLMN也可以不判断目标PLMN所在国家/地区,而直接删除该安全算法;
步骤108:源PLMN将经过步骤107所述删除处理后的安全算法发送给目标PLMN;
步骤109:目标PLMN与用户设备协商安全算法。
通过上述步骤107和步骤108的处理,保证了目标PLMN接收到的安全算法中不包括自身不支持的安全算法,这同时也保证了在发生跨PLMN切换时,即使源PLMN和目标PLMN使用相同的四位二进制数表示各自的自定义安全算法,也不会发生冲突。这进一步保证了运营商可以使用自定义的安全算法而不产生冲突。
本发明的又一实施例提供了一种UMTS系统中的安全算法的协商方法。如图2所示,在本实施例中,步骤201~步骤206与前述步骤101~步骤106实质相同,此处不再赘述。
在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商:
步骤207:源PLMN将目标PLMN的标识信息通知给用户设备;
步骤208:用户设备根据目标PLMN的标识信息,确定与目标PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤209:用户设备将自身支持的、与目标PLMN标识信息相关联的安全算法上报给源PLMN,具体来说,可以是上报给源PLMN的无线网络控制器;
步骤210:源PLMN将所述用户设备支持的、与目标PLMN标识信息相关联的安全算法发送给目标PLMN;
步骤211:目标PLMN与用户设备协商安全算法。
通过上述步骤207~步骤210的处理,在发生跨PLMN的切换时,用户设备上报的安全算法都是与目标PLMN相关联的。这种协商方法使得目标PLMN和源PLMN可以使用同样的四位二进制数来表示各自的自定义安全算法而不会冲突,因为通过相关联的PLMN标识信息就可以区分。这进一步保证了运营商可以使用自定义的安全算法而不产生冲突。
本发明的又一实施例提供了一种UMTS系统中的安全算法的协商方法。如图3所示,在本实施例中,步骤301~步骤306与前述步骤101~步骤106实质相同,此处不再赘述。
在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商:
步骤307:源PLMN的网络侧断开与用户设备的连接;
步骤308:所述用户设备与目标PLMN建立连接;
步骤309:所述用户设备与目标PLMN协商安全算法。
由于本实施例中用户设备与源PLMN断开连接后再与目标PLMN建立连接,其与目标PLMN协商安全算法的流程可以参照步骤101~步骤106。同样,由于安全算法与PLMN的标识信息相关联,运营商可以使用自定义安全算法而不必担心发生冲突。
本发明的又一实施例提供了一种演进3G网络系统中的安全算法的协商方法。该方法中,用户设备上实现的安全算法包括加密算法和完整性算法,这些安全算法不仅仅用四位二进制数标识,还与PLMN的标识信息相关联。具体来说,这些安全算法还可以与PLMN中的移动国家码(Mobile Country Code,MCC)和移动网络码(Mobile NetworkCode,MNC)相关联。例如:加密算法X是运营商A的自定义加密算法,则可以将该加密算法X的四位二进制数标识与运营商A的MCC和MNC关联保存,从而表示加密算法X与运营商A的关联关系;或者,完整性算法Y是B国运营商通用的完整性算法,则可以将该完整性算法Y的四位二进制数标识仅与B国的MCC关联保存,从而表示完整性算法Y与B国所有运营商的关联关系;或者,完整性算法Z是全球通用的完整性算法,则可以将该完整性算法Z单独保存,从而表示完整性算法Z与所有运营商的关联关系。需要特别指出的是,无论安全算法是与MCC和MNC关联保存,或安全算法仅与MCC关联保存,或安全算法单独保存,都可以看作是安全算法与PLMN的标识信息相关联。还需要指出的是,“不采用安全算法”也可以认为是一种安全算法,例如可以用四位二进制数0000来表示不采用加密算法/完整性算法。
如图4所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤401:网络侧将自身所属的PLMN标识信息通知给用户设备;
步骤402:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤403:用户设备将自身支持的、与该网络侧所属PLMN标识信息相关联的安全算法上报给网络侧的移动性管理实体(MobilityManagement Entity,MME);
步骤404:网络侧的演进基站将其支持的安全算法上报给移动性管理实体;
步骤405:移动性管理实体根据用户设备上报的安全算法、演进基站上报的安全算法,以及自身支持的安全算法,选择与用户设备通信所使用的非接入层安全算法、接入层安全算法和用户面安全算法,其中每一种安全算法又具体包括加密算法和完整性算法;
步骤406:网络侧将所述选择的安全算法通知给用户设备。
需要指出的是,步骤404并不限定在步骤403之后完成,它也可以在步骤403之前完成。
与现有技术相比,上述实施例所公开的安全算法协商方法在用户设备上报自身支持的安全算法之前,先根据网络侧所属PLMN的标识信息对自身支持的所有安全算法进行筛选,使得上报的安全算法都是与所在PLMN相关联的。这种协商方法使得运营商可以使用自定义安全算法,且不同运营商可以使用同样的四位二进制数来表示各自的自定义安全算法,只要通过相关联的PLMN标识信息就可以区分。
在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步骤207~步骤211进行新的安全算法协商;或者,可以参考前述步骤307~步骤309进行新的安全算法协商。
本发明的又一实施例提供了一种演进3G网络系统中的安全算法的协商方法。如图5所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤501:网络侧将自身所属的PLMN标识信息通知给用户设备;
步骤502:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤503:用户设备将自身支持的、与该网络侧所属PLMN标识信息相关联的安全算法上报给网络侧的移动性管理实体(MobilityManagement Entity,MME)和演进基站;
步骤504:网络侧的演进基站将其支持的安全算法上报给移动性管理实体;
步骤505:移动性管理实体根据用户设备上报的安全算法、演进基站上报的安全算法,以及自身支持的安全算法,选择与用户设备通信所使用的非接入层安全算法,所述非接入层安全算法又具体包括加密算法和完整性算法;
步骤506:演进基站获得移动性管理实体所支持的安全算法;
步骤507:演进基站根据用户设备上报的安全算法、移动性管理实体所支持的安全算法,以及自身支持的安全算法,选择与用户设备通信所使用的接入层安全算法和用户面安全算法,其中每一种安全算法又具体包括加密算法和完整性算法;
步骤508:网络侧将所述选择的安全算法通知给用户设备。
需要指出的是,步骤504并不限定在步骤503之后完成,它也可以在步骤503之前完成;步骤506并不限定在步骤505之后完成,它也可以在步骤505之前完成。
在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步骤207~步骤211进行新的安全算法协商;或者,可以参考前述步骤307~步骤309进行新的安全算法协商。
本发明的又一实施例提供了一种演进3G网络系统中的安全算法的协商方法。如图6所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤601:网络侧将自身所属的PLMN标识信息通知给用户设备;
步骤602:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤603:用户设备将自身支持的、与该网络侧所属PLMN标识信息相关联的安全算法上报给演进基站;
步骤604:演进基站获得移动性管理实体所支持的安全算法;
步骤605:演进基站根据用户设备上报的安全算法、移动性管理实体所支持的安全算法,以及自身支持的安全算法,选择与用户设备通信所使用的非接入层安全算法、接入层安全算法和用户面安全算法,其中每一种安全算法又具体包括加密算法和完整性算法;
步骤606:网络侧将所述选择的安全算法通知给用户设备。
需要指出的是,步骤604并不限定在步骤603之后完成,它也可以在步骤603之前完成。
在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步骤207~步骤211进行新的安全算法协商;或者,可以参考前述步骤307~步骤309进行新的安全算法协商。
本发明的又一实施例提供了一种适用于UMTS系统或演进的3G网络系统的安全算法的协商方法。本实施例中,用户设备除了上报安全算法外,还上报该用户设备的国际移动设备身份(InternationalMobile Equipment Identity,IMEI)。国际移动设备身份中包含的信息可以用来判断用户设备上报的安全算法与PLMN标识信息的关联关系。例如:如果根据国际移动设备身份判断出用户设备是中国制造的,那么结合此用户设备上报的安全能力,如1001,可以判断出此用户设备支持的是中国国内标准化的安全算法1001。对于所有中国国内的PLMN,该安全算法都可以使用。可以说,该安全算法1001与所有中国国内的PLMN相关联。
如图7所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤701:用户设备向网络侧上报自身支持的安全算法,以及该用户设备的国际移动设备身份;
步骤702:网络侧根据所述国际移动设备身份,判断用户设备上报的安全算法是否与该网络侧所属PLMN的标识信息相关联;
步骤703:网络侧根据判断结果获得该用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤704:网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧自身支持的安全算法,选择与用户设备通信所使用的安全算法;
步骤705:网络侧将所述选择的安全算法通知给用户设备。
在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商:
步骤706:源PLMN将该用户上报的安全算法和国际移动设备身份发送给目标PLMN;
步骤707:目标PLMN与用户设备协商安全算法。
本发明的又一实施例提供了一种适用于UMTS系统或演进的3G网络系统的安全算法的协商方法。该方法中,用户设备上实现的安全算法包括加密算法和完整性算法,这些安全算法不仅仅用四位二进制数标识,还与PLMN的标识信息相关联。具体来说,这些安全算法还可以与PLMN中的移动国家码(Mobile Country Code,MCC)和移动网络码(Mobile Network Code,MNC)相关联。例如:加密算法X是运营商A的自定义加密算法,则可以将该加密算法X的四位二进制数标识与运营商A的MCC和MNC关联保存,从而表示加密算法X与运营商A的关联关系;或者,完整性算法Y是B国运营商通用的完整性算法,则可以将该完整性算法Y的四位二进制数标识仅与B国的MCC关联保存,从而表示完整性算法Y与B国所有运营商的关联关系;或者,完整性算法Z是全球通用的完整性算法,则可以将该完整性算法Z单独保存,从而表示完整性算法Z与所有运营商的关联关系。需要特别指出的是,无论安全算法是与MCC和MNC关联保存,或安全算法仅与MCC关联保存,或安全算法单独保存,都可以看作是安全算法与PLMN的标识信息相关联。还需要指出的是,“不采用安全算法”也可以认为是一种安全算法,例如可以用四位二进制数0000来表示不采用加密算法/完整性算法。
如图8所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤:
步骤801:用户设备将其支持的安全算法,以及与安全算法相关联的PLMN标识信息上报给网络侧;
步骤802:网络侧根据用户设备上报的安全算法及与其相关联的PLMN标识信息,以及网络侧所属PLMN的标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;
步骤803:网络侧根据步骤802所确定的与该PLMN标识信息相关联的安全算法,以及网络侧自身支持的安全算法,选择与用户设备通信所使用的安全算法;
步骤804:网络侧将所述选择的安全算法通知给用户设备。
与现有技术相比,上述实施例所公开的安全算法协商方法根据网络侧所属PLMN的标识信息对用户设备支持的所有安全算法进行筛选,使得筛选出的备选安全算法都是与所在PLMN相关联的。这种协商方法使得运营商可以使用自定义安全算法,且不同运营商可以使用同样的四位二进制数来表示各自的自定义安全算法,只要通过相关联的PLMN标识信息就可以区分。
在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商:
步骤805:源PLMN将该用户上报的安全算法,以及与安全算法相关联的PLMN标识信息发送给目标PLMN;
步骤806:目标PLMN与用户设备协商安全算法。
通过上述步骤805和步骤806的处理,保证了目标PLMN可以根据自己的PLMN标识信息选择与用户设备通信所使用的安全算法。具体协商方法可以参照步骤801~步骤804所使用的协商方法。这保证了在发生跨PLMN切换时,即使源PLMN和目标PLMN使用相同的四位二进制数表示各自的自定义安全算法,也不会发生冲突。
本发明的又一实施例提供了一种终端。如图9所示,所述终端包括:
存储单元901:用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关联保存;
接收单元902:用于接收网络侧发来的PLMN标识信息;
执行单元903:用于根据接收单元902收到的PLMN标识信息,到存储单元901进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;
发送单元904:用于将执行单元903确定的,与所述接收到的PLMN标识信息相关联的安全算法发送给网络侧。
上述实施例中,通过在存储单元901中将用户支持的安全算法及与安全算法相关联的PLMN标识信息关联保存,使得终端可以根据网络侧发来的PLMN标识信息确定与所述接收到的PLMN标识信息相关联的安全算法,从而可以在上报的安全算法中仅包括与网络侧所属PLMN相关联的安全算法。这使得不同的运营商可以用相同的四位二进制数表示各自的自定义安全算法,而不会发生冲突。
本发明的保护范围并不仅限于本申请文件所公开的内容,凡在本申请文件所公开内容的基础上所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1、一种安全算法的协商方法,其特征在于,包括:
网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;
网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;
网络侧将所述选择的安全算法通知给用户设备。
2、根据权利要求1所述的方法,其特征在于,网络侧通过以下步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法:
网络侧将该网络侧所属PLMN标识信息通知给用户设备;
网络侧获得用户设备上报的安全算法,所述用户设备上报的安全算法是用户设备根据该网络侧所属PLMN标识信息选择的自身支持的、与该网络侧所属PLMN标识信息相关联的安全算法。
3、根据权利要求2所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
当发生跨PLMN的切换时,源PLMN将该用户设备支持的、与该源PLMN标识信息相关联的安全算法中属于该源PLMN自定义的安全算法删除;
源PLMN将经过所述删除处理后的安全算法发送给目标PLMN。
4、根据权利要求2所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
当发生跨PLMN的切换时,源PLMN的将目标PLMN的标识信息通知给用户设备;
源PLMN收到所述用户设备上报的安全算法,该用户设备上报的安全算法是所述用户设备根据目标PLMN标识信息选择的自身支持的、与目标PLMN标识信息相关联的安全算法;
源PLMN将所述用户设备支持的、与目标PLMN标识信息相关联的安全算法发送给目标PLMN。
5、根据权利要求2所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
网络侧断开与所述用户设备的连接;
所述用户设备与目标PLMN建立连接;
所述用户设备与目标PLMN协商安全算法。
6、根据权利要求3、4或5所述的方法,其特征在于,所述网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法的具体步骤为:
网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体和演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算法和用户面安全算法;或
网络侧的演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的安全算法。
7、根据权利要求1所述的方法,其特征在于,网络侧通过以下步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法:
网络侧收到用户设备上报的安全算法,以及该用户设备的国际移动设备身份;
网络侧根据所述国际移动设备身份,判断所述用户设备上报的安全算法是否与该网络侧所属PLMN的标识信息相关联;
网络侧根据判断结果获得该用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法。
8、根据权利要求7所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
当发生跨PLMN的切换时,源PLMN将用户设备上报的安全算法,以及该用户设备的国际移动设备身份发送给目标PLMN。
9、根据权利要求7所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
网络侧断开与所述用户设备的连接;
所述用户设备与目标PLMN建立连接;
所述用户设备与目标PLMN协商安全算法。
10、根据权利要求8或9所述的方法,其特征在于,所述网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法的具体步骤为:
网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体和演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算法和用户面安全算法;或
网络侧的演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的安全算法。
11、根据权利要求1所述的方法,其特征在于,网络侧通过以下步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法:
网络侧收到用户设备上报的安全算法,以及与该用户设备上报的安全算法相关联的PLMN标识信息;
网络侧根据该网络侧所属PLMN标识信息,以及与该用户设备上报的安全算法相关联的PLMN标识信息,获得该用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法。
12、根据权利要求11所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括;
当发生跨PLMN的切换时,源PLMN将用户设备上报的安全算法,以及与安全算法相关联的PLMN标识信息发送给目标PLMN。
13、根据权利要求11所述的方法,其特征在于,在网络侧将所述选择的安全算法通知给用户设备之后,还包括:
网络侧断开与所述用户设备的连接;
所述用户设备与目标PLMN建立连接;
所述用户设备与目标PLMN协商安全算法。
14、根据权利要求12或13所述的方法,其特征在于,所述网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法的具体步骤为:
网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的安全算法;或
网络侧的移动性管理实体和演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算法和用户面安全算法;或
网络侧的演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法选择与用户设备通信所使用的安全算法。
15、根据权利要求1~5、7~9、11~13中任何一项所述的方法,其特征在于,所述安全算法包括加密算法和完整性算法。
16、根据权利要求1~5、7~9、11~13中任何一项所述的方法,其特征在于,所述PLMN标识信息可以通过以下任何一种方式表示:
通过移动国家码和移动网络码的组合来标识特定的PLMN;或,
通过移动国家码来标识特定国家或地区的PLMN;或,
通过不包含移动国家码或移动网络码来标识所有PLMN。
17、一种终端,其特征在于,包括:
存储单元:用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关联保存;
接收单元:用于接收网络侧发来的PLMN标识信息;
执行单元:用于根据所述接收单元收到的PLMN标识信息,到所述存储单元进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;
发送单元:用于将所述执行单元确定的,与所述接收到的PLMN标识信息相关联的安全算法发送给网络侧。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100761021A CN101330376A (zh) | 2007-06-22 | 2007-06-22 | 安全算法的协商方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100761021A CN101330376A (zh) | 2007-06-22 | 2007-06-22 | 安全算法的协商方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101330376A true CN101330376A (zh) | 2008-12-24 |
Family
ID=40205988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100761021A Pending CN101330376A (zh) | 2007-06-22 | 2007-06-22 | 安全算法的协商方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101330376A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010111964A1 (zh) * | 2009-04-03 | 2010-10-07 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN103260156A (zh) * | 2012-02-15 | 2013-08-21 | 中国移动通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
| WO2014194787A1 (zh) * | 2013-06-07 | 2014-12-11 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
| CN104486352A (zh) * | 2014-12-24 | 2015-04-01 | 大唐移动通信设备有限公司 | 一种安全算法发送、安全鉴权方法及装置 |
| CN104618089A (zh) * | 2013-11-04 | 2015-05-13 | 华为技术有限公司 | 安全算法的协商处理方法、控制网元和系统 |
| CN105847225A (zh) * | 2015-01-16 | 2016-08-10 | 中国移动通信集团公司 | 基于 ip 多媒体子系统的端到端的加密协商方法及装置 |
| CN111742529A (zh) * | 2018-02-19 | 2020-10-02 | 瑞典爱立信有限公司 | 基于服务的架构(sba)中的安全协商 |
| CN114079919A (zh) * | 2020-08-17 | 2022-02-22 | 中国电信股份有限公司 | 安全模式配置方法、装置、系统和计算机可读存储介质 |
-
2007
- 2007-06-22 CN CNA2007100761021A patent/CN101330376A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898729B2 (en) | 2009-04-03 | 2014-11-25 | Huawei Technologies Co., Ltd. | Method and apparatus for security algorithm selection processing, network entity, and communication system |
| WO2010111964A1 (zh) * | 2009-04-03 | 2010-10-07 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN103260156A (zh) * | 2012-02-15 | 2013-08-21 | 中国移动通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
| CN103260156B (zh) * | 2012-02-15 | 2015-12-02 | 中国移动通信集团公司 | 密钥流生成装置及方法、机密性保护装置及方法 |
| CN104244247B (zh) * | 2013-06-07 | 2019-02-05 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
| WO2014194787A1 (zh) * | 2013-06-07 | 2014-12-11 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
| CN104244247A (zh) * | 2013-06-07 | 2014-12-24 | 华为技术有限公司 | 非接入层、接入层安全算法处理方法及设备 |
| CN104618089A (zh) * | 2013-11-04 | 2015-05-13 | 华为技术有限公司 | 安全算法的协商处理方法、控制网元和系统 |
| CN104486352A (zh) * | 2014-12-24 | 2015-04-01 | 大唐移动通信设备有限公司 | 一种安全算法发送、安全鉴权方法及装置 |
| CN105847225A (zh) * | 2015-01-16 | 2016-08-10 | 中国移动通信集团公司 | 基于 ip 多媒体子系统的端到端的加密协商方法及装置 |
| CN105847225B (zh) * | 2015-01-16 | 2019-02-05 | 中国移动通信集团公司 | 基于ip多媒体子系统的端到端的加密协商方法及装置 |
| CN111742529A (zh) * | 2018-02-19 | 2020-10-02 | 瑞典爱立信有限公司 | 基于服务的架构(sba)中的安全协商 |
| CN111742529B (zh) * | 2018-02-19 | 2023-03-10 | 瑞典爱立信有限公司 | 基于服务的架构(sba)中的安全协商 |
| CN114079919A (zh) * | 2020-08-17 | 2022-02-22 | 中国电信股份有限公司 | 安全模式配置方法、装置、系统和计算机可读存储介质 |
| WO2022037123A1 (zh) * | 2020-08-17 | 2022-02-24 | 中国电信股份有限公司 | 安全模式配置方法、装置、系统和计算机可读存储介质 |
| CN114079919B (zh) * | 2020-08-17 | 2024-02-27 | 中国电信股份有限公司 | 安全模式配置方法、装置、系统和计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101330376A (zh) | 安全算法的协商方法 | |
| CN101399767B (zh) | 终端移动时安全能力协商的方法、系统及装置 | |
| CN101378591B (zh) | 终端移动时安全能力协商的方法、系统及装置 | |
| CN115278658A (zh) | 针对用户平面数据的完整性保护的方法 | |
| JP4729664B2 (ja) | 周辺装置によるユーザ機器識別モジュールからの識別データの再利用方法 | |
| EP3082368B1 (en) | A method and device for collecting location information | |
| CN1332525C (zh) | 无线通信系统上储存安全开始值的方法 | |
| CN102869007B (zh) | 安全算法协商的方法、装置及网络系统 | |
| CN102014381A (zh) | 加密算法协商方法、网元及移动台 | |
| EP2677789B1 (en) | Method and devices for remote smart card personalization | |
| EP2854329B1 (en) | Method, system, and device for securely establishing wireless local area network | |
| CN102932878A (zh) | 用于分发无线网络接入参数的系统和方法 | |
| CN101384079A (zh) | 一种终端移动时防止降质攻击的方法、系统及装置 | |
| US7949336B2 (en) | Access control in a cellular system | |
| CN103765938A (zh) | 移动终端被盗的检测系统 | |
| CN101437225A (zh) | 在umts监控系统中密钥转发和rrc分组解密的系统和方法 | |
| CN101128066B (zh) | 不进行用户面加密的方法及系统 | |
| CN101860863A (zh) | 一种增强的加密及完整性保护方法 | |
| CN104969578A (zh) | 数据传输方法、装置及系统 | |
| CN1332569C (zh) | 协商选择空中接口加密算法的方法 | |
| US7136646B1 (en) | Method and apparatus for electing an identification confirmation information | |
| CN104244247A (zh) | 非接入层、接入层安全算法处理方法及设备 | |
| WO2009045138A1 (en) | Terminal trace activation in a wirless communications network | |
| JP2015535153A (ja) | Ca公開鍵を更新するための方法および装置、ueおよびca | |
| CN101938746B (zh) | 一种用户标识模块反克隆的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081224 |