CN104618089A - 安全算法的协商处理方法、控制网元和系统 - Google Patents
安全算法的协商处理方法、控制网元和系统 Download PDFInfo
- Publication number
- CN104618089A CN104618089A CN201310539031.XA CN201310539031A CN104618089A CN 104618089 A CN104618089 A CN 104618089A CN 201310539031 A CN201310539031 A CN 201310539031A CN 104618089 A CN104618089 A CN 104618089A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- security
- network element
- list
- supported
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 17
- 238000000034 method Methods 0.000 claims description 70
- 230000006854 communication Effects 0.000 abstract description 32
- 238000004891 communication Methods 0.000 abstract description 30
- 101150114331 MME1 gene Proteins 0.000 description 27
- 230000008569 process Effects 0.000 description 25
- 230000004044 response Effects 0.000 description 9
- 230000011664 signaling Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 5
- 238000012163 sequencing technique Methods 0.000 description 5
- 229910045601 alloy Inorganic materials 0.000 description 3
- 239000000956 alloy Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012913 prioritisation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种安全算法的协商处理方法、控制网元和系统。安全算法的协商处理方法,包括:控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;所述控制网元将选择的安全算法通知给所述第一UE和第二UE。本发明实施例可以在控制网元的控制下,实现近距离通信的两个UE之间的安全算法协商。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及一种安全算法的协商处理方法、控制网元和系统。
背景技术
在近距离通信的应用场景下,两个用户设备(User Equipment,以下简称:UE)之间的通信并不需要经过运营商网络。近距离通信业务(ProximityService,以下简称:ProSe)技术的目的就是在两个UE之间建立安全的通信信道,从而使得数据能够进行安全的交换。
ProSe技术主要包含两个方面:ProSe发现(以下简称:ProSe Discovery)和ProSe通信(以下简称:ProSe Communication)。在ProSe Discovery阶段,两个UE可以相互检测到对方,从而完成对双方身份的检验。在ProSeCommunication阶段,两个UE可以建立安全的通信信道,然后进行安全的数据通信。由于UE之间的通信信道可以被攻击者窃听和篡改,因此通信数据必须进行机密性和完整性保护。而机密性和完整性保护需要安全的密钥和密码算法的支持。由于每个UE支持的安全算法可能并不完全相同,因此在安全通信之前必须要进行安全算法的协商。
因此,近距离通信的两个UE之间,如何进行安全算法的协商,成为亟待解决的技术问题。
发明内容
本发明实施例提供一种安全算法的协商处理方法、控制网元和系统。
第一方面,提供一种安全算法的协商处理方法,包括:
控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
所述控制网元将选择的安全算法通知给所述第一UE和第二UE。
结合第一方面,在第一种实现方式中,所述控制网元根据所述第一UE的安全能力和第二UE的安全能力,选择所述第一UE和第二UE均支持的安全算法,包括:
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第二种实现方式中,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元向所述第二控制网元发送第一算法列表,所述第一算法列表中包含所述第一UE所支持的安全算法;
所述第二控制网元从所述第一算法列表以及包含所述第二UE所支持的安全算法的第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第三种实现方式中,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;
所述第一控制网元将所述第一算法列表发送给所述第二控制网元;
所述第二控制网元根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;
所述第二控制网元从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一方面,在第四种实现方式中,所述控制网元根据所述第一UE的安全能力和第二UE的安全能力,选择所述第一UE和第二UE均支持的安全算法,包括:
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第四种实现方式,在第五种实现方式中,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第二、第三或第五种实现方式,在第六种实现方式中,所述控制网元将选择的安全算法通知给所述第一UE和第二UE,包括:
所述第二控制网元将选择的安全算法发送给所述第二UE,并且所述第二控制网元将选择的安全算法通过所述第一控制网元发送给所述第一UE。
结合第四种实现方式,在第七种实现方式中,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表;
所述第二控制网元采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;
所述第二控制网元将所述第二排序算法列表发送给所述第一控制网元;所述第一控制网元采用所述算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第七种实现方式,在第八种实现方式中,所述控制网元将选择的安全算法通知给所述第一UE和第二UE,包括:
所述第一控制网元将选择的安全算法发送给所述第一UE;并且,
所述第二控制网元将选择的安全算法发送给所述第二UE。
结合第四、第五、第七或第八种实现方式,在第九种实现方式中,所述采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
结合第一~第九种实现方式中任一种方式,在第十种实现方式中,还包括:
若不存在安全算法的交集,则采用预先设置的安全算法作为第一UE和第二UE均支持的安全算法。
第二方面,提供一种控制网元,包括:
选择模块,用于根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
通知模块,用于将选择的安全算法通知给所述第一UE和第二UE。
结合第二方面,在第一种实现方式中,所述选择模块,具体用于:
从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法;
或者,
根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第二种实现方式中,所述选择模块,具体用于:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
结合第一种实现方式或第二种实现方式,在第三种实现方式中,所述选择模块,还用于:
若不存在安全算法的交集,则采用预先设置的缺省安全算法作为第一UE和第二UE均支持的安全算法。
结合上述任一种实现方式,在第四种实现方式中,所述控制网元为移动管理实体MME。
第三方面,提供一种控制系统,包括:第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述第一控制网元与所述第二控制网元交互,以根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;并将选择的安全算法通知给所述第一UE和第二UE。
结合第三方面,在第一种实现方式中,所述第一控制网元与所述第二控制网元交互,以从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第二种实现方式中,所述第一控制网元,具体用于向所述第二控制网元发送第一算法列表,所述第一算法列表中包含所述第一UE所支持的安全算法;
所述第二控制网元,具体用于从所述第一算法列表以及包含所述第二UE所支持的安全算法的第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第三种实现方式中,所述第一控制网元,具体用于根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;将所述第一算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
结合第一种实现方式,在第四种实现方式中,所述第一控制网元与所述第二控制网元交互,以根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第四种实现方式,在第五种实现方式中,所述第一控制网元,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第二~四种实现方式中的任一种实现方式,在第六种实现方式中,所述第二控制网元,具体用于将选择的安全算法发送给所述第二UE,并且所述第二控制网元将选择的安全算法通过所述第一控制网元发送给所述第一UE。
结合第四种实现方式,在第七种实现方式中,所述第一控制网元,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表;采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;将所述第二排序算法列表发送给所述第一控制网元;
所述第一控制网元,具体用于采用所述算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
结合第七种实现方式,在第八种实现方式中,所述第一控制网元,具体用于将选择的安全算法发送给所述第一UE;
所述第二控制网元,具体用于将选择的安全算法发送给所述第二UE。
结合上述任一种实现方式,在第九种实现方式中,所述控制网元为移动管理实体MME。
本发明实施例中,需要进行近距离通信的第一UE和第二UE在进行安全算法协商时,网络侧的控制网元可以参与并控制该协商过程和协商结果,该控制网元可以作为安全算法的决策者,根据第一UE的安全能力和第二UE的安全能力选择两个UE均支持的安全算法,并通知个两个UE,从而使得第一UE和第二UE可以采用通知的安全算法进行近距离通信。本实施例中,控制网元可以采用现有网络架构中的控制网元,从而可以兼容现有的网络架构,而且,该控制网元可以由运营商来维护,因此,运营商可以参与并控制安全算法的协商过程和协商结果,从而确保了协商的可控性;而且,由运营商控制的控制网元来进行安全算法的协商过程,可以避免单方UE选择安全算法的不可靠性。另外,由于第一UE和第二UE的安全能力可以是附着到控制网元的过程中传送给该控制网元的,因此,本实施例还可以借用了现有网络信令传输过程,从而与现有网络通信过程实现兼容。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明安全算法的协商处理方法实施例一的流程图;
图2为本发明安全算法的协商处理方法实施例二的流程图;
图3为本发明安全算法的协商处理方法实施例三的流程图;
图4为本发明安全算法的协商处理方法实施例四的信令流程图;
图5为本发明安全算法的协商处理方法实施例五的信令流程图;
图6为本发明安全算法的协商处理方法实施例六的信令流程图;
图7为本发明控制网元实施例的结构示意图;
图8为本发明控制系统实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明安全算法的协商处理方法实施例一的流程图,如图1所示,本实施例的方法,可以包括:
S101、控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法。
具体来说,控制网元可以接收第一UE发送的请求消息,该请求消息为第一UE在接收到第二UE发送的近距离通信连接请求消息之后或者之前发送的。
S102、控制网元将选择的安全算法通知给第一UE和第二UE。
可选的,在S101之前,还可以包括:控制网元在第一UE和第二UE附着到该控制网元的过程中获取第一UE的安全能力和第二UE的安全能力。
可选的,上述S101可以采用下述两种方式实现:
方式一:控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
方式二:控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
在具体实现时,该第一UE与第二UE既可以附着于相同的控制网元上,也可以附着于不同的控制网元上。
针对上述方式一来说,如果第一UE和第二UE所附着的控制网元不相同,例如,第一UE附着在第一控制网元,第二UE附着在第二控制网元,则方式一可以具体有以下两种处理过程:
处理过程一:
第一控制网元向第二控制网元发送第一算法列表,该第一算法列表中包含第一UE所支持的安全算法;
第二控制网元从第一算法列表以及包含第二UE所支持的安全算法的第二算法列表的交集中随机选择一个安全算法作为第一UE和第二UE均支持的安全算法;
处理过程二:
所述第一控制网元根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;
所述第一控制网元将所述第一算法列表发送给所述第二控制网元;
所述第二控制网元根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;
所述第二控制网元从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
相应的,S102中控制网元将选择的安全算法通知给第一UE和第二UE,可以具体为:
第二控制网元将选择的安全算法发送给第二UE,并且第二控制网元将选择的安全算法通过第一控制网元发送给第一UE。
类似的,针对上述方式二来说,如果第一UE附着在第一控制网元,第二UE附着在第二控制网元,则方式二可以具体有以下两种处理过程:
处理过程一:
第一控制网元根据预先配置的安全算法优先级列表以及第一UE所支持的安全算法的交集,选择与第一UE对应的第一排序算法列表,并将第一排序算法列表发送给第二控制网元;
第二控制网元根据安全算法优先级列表以及第二UE所支持的安全算法,选择与第二UE对应的第二排序算法列表的交集,采用算法选择策略从第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;
相应的,S102中控制网元将选择的安全算法通知给所述第一UE和第二UE,可以具体为:
第二控制网元将选择的安全算法发送给第二UE,并且第二控制网元将选择的安全算法通过第一控制网元发送给第一UE。
处理过程二:
第一控制网元根据预先配置的安全算法优先级列表以及第一UE所支持的安全算法的交集,选择与第一UE对应的第一排序算法列表,并将第一排序算法列表发送给第二控制网元;
第二控制网元根据安全算法优先级列表以及第二UE所支持的安全算法的交集,选择与第二UE对应的第二排序算法列表;
第二控制网元采用算法选择策略从第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;
第二控制网元将第二排序算法列表发送给第一控制网元;第一控制网元采用算法选择策略从第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
相应的,S102中控制网元将选择的安全算法通知给所述第一UE和第二UE,可以具体为:
第一控制网元将选择的安全算法发送给第一UE;并且,
第二控制网元将选择的安全算法发送给第二UE。
在上述过程中,不管是控制网元根据预先配置的安全算法优先级列表以及第一UE所支持的安全算法的交集,选择与第一UE对应的第一排序算法列表,还是控制网元根据预先配置的安全算法优先级列表以及第二UE所支持的安全算法的交集,选择与第二UE对应的第二排序算法列表,其均可以采用下述具体方式实现:
对UE所支持的安全算法列表和预先配置的安全算法优先级列表的交集,控制网元按照优先级进行排序。而且,控制网元采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,可以具体地:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
另外,如果上述过程中,控制网元确定不存在安全算法的交集,则采用预先设置的安全算法作为第一UE和第二UE均支持的安全算法。
图2为本发明安全算法的协商处理方法实施例二的流程图,如图2所示,本实施例的方法是与图1所示控制网元处理过程相对应的第一UE的处理过程,本实施例的方法可以包括:
S201、第一UE接收第二UE发送的近距离通信连接请求消息;
S202、第一UE向控制网元发送请求消息,以使控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
S203、第一UE接收控制网元发送的第一UE和第二UE均支持的安全算法,并采用该安全算法与第二UE进行近距离通信。
进一步地,第一UE在执行S201之前,还可以在附着到控制网元的过程中向控制网元发送第一UE的安全能力。
具体地,若第一UE和第二UE附着在不同的控制网元上,则S202中,第一UE可以向第一UE附着的第一控制网元发送请求消息;相应的,S203中,第一UE可以接收第一控制网元发送的第一UE和第二UE均支持的安全算法。
其中,控制网元向第一UE发送的第一UE和第二UE均支持的安全算法,可以是前述图1所示方法实施例中各个技术方案所选择的安全算法,此处不再赘述。
图3为本发明安全算法的协商处理方法实施例三的流程图,如图3所示,本实施例的方法是与图1所示控制网元处理过程以及图2所示第一UE处理过程相对应的第二UE的处理过程,本实施例的方法可以包括:
S301、第二UE向第一UE发送近距离通信连接请求消息,以使第一UE向控制网元发送请求消息,以便控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
S302、第二UE接收控制网元发送的第一UE和第二UE均支持的安全算法,并采用该安全算法与第一UE进行近距离通信。
进一步的,第二UE在执行S301之前,可以在附着到所述控制网元的过程中向所述控制网元发送所述第二UE的安全能力。
具体的,若第一UE和第二UE附着在不同的控制网元上,则S302中,第二UE可以接收该第二UE所附着的第二控制网元发送的第一UE和第二UE均支持的安全算法。
其中,控制网元向第二UE发送的第一UE和第二UE均支持的安全算法,可以是前述图1所示方法实施例中各个技术方案所选择的安全算法,此处不再赘述。
本发明上述实施例所述的控制网元可以是网络架构中具有控制功能的任意网元,举例来说,在长期演进(Long Term Evolution,以下简称:LTE)网络中,该控制网元可以是移动管理实体(Mobility Management Entity,以下简称:MME)。
上述实施例中,需要进行近距离通信的第一UE和第二UE在进行安全算法协商时,网络侧的控制网元可以参与并控制该协商过程和协商结果,该控制网元可以作为安全算法的决策者,根据第一UE的安全能力和第二UE的安全能力选择两个UE均支持的安全算法,并通知个两个UE,从而使得第一UE和第二UE可以采用通知的安全算法进行近距离通信。本实施例中,控制网元可以采用现有网络架构中的控制网元,从而可以兼容现有的网络架构,而且,该控制网元可以由运营商来维护,因此,运营商可以参与并控制安全算法的协商过程和协商结果,从而确保了协商的可控性;而且,由运营商控制的控制网元来进行安全算法的协商过程,可以避免单方UE选择安全算法的不可靠性。另外,由于第一UE和第二UE的安全能力可以是附着到控制网元的过程中传送给该控制网元的,因此,本实施例还可以借用了现有网络信令传输过程,从而与现有网络通信过程实现兼容。
下面以第一UE和第二UE附着在不同的MME上为例,对本发明的技术方案进行详细说明。
图4为本发明安全算法的协商处理方法实施例四的信令流程图,如图4所示,本实施例的方法可以包括:
S401、UE2发送连接请求(Direct-Connection-Request)给UE1,以请求UE1进行近距离通信;
S402、UE1发送请求消息(Request)给MME1;
S403、MME1根据UE1的安全能力(Security Capability)和系统预先配置的安全算法优先级列表,生成与UE1对应的排序算法列表1(OrderedAlgorithms List1);
其中,系统预先配置的安全算法优先级列表可以为运营商在MME内部预先配置的。
在具体实现时,生成Ordered Algorithms List1过程可以为:
根据UE1所支持的安全算法列表和预先配置的安全算法优先级列表的交集,按照优先级进行排序。例如,预置的安全算法优先级列表为:A,C,D,B(优先级由高到低);UE1的Security Capability包含的安全算法为:A,B,C;则生成的Ordered Algorithms List1为:A,C,B(优先级由高到低)。
S404、MME1发送Ordered Algorithms List1给MME2;
S405、MME2根据UE2的Security Capability和系统预先配置的安全算法优先级列表生成与UE2对应的排序算法列表2(Ordered Algorithms List2);
生成该Ordered Algorithms List2的过程与上述生成Ordered AlgorithmsList1的过程类似,此处不再赘述。
S406、MME2执行算法选择(Algorithms Selection)策略,从OrderedAlgorithms List1和Ordered Algorithms List2的交集中选择出第一UE和第二UE均支持的安全算法;
该Algorithms Selection策略例如可以为:
从Ordered Algorithms List1和Ordered Algorithms List2中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
例如:Ordered Algorithms List1包含算法:A,B,C(优先级由高到低);Ordered Algorithms List2包含算法:C,B,A(优先级由高到低);则执行Selected Algorithms策略,即为选择B作为第一UE和第二UE均支持的安全算法。
若执行Algorithms Selection策略遍历结束后,Ordered Algorithms List1和Ordered Algorithms List2中不存在满足条件的安全算法,则该SelectedAlgorithms策略可以选择预先配置的缺省算法(Default Algorithm)作为该第一UE和第二UE均支持的安全算法。该预先配置的缺省算法,可以是系统基于UE1的Security Capability和UE2的Security Capability所选择UE1和UE2均支持的安全算法,并预先配置在MME中。
例如:Ordered Algorithms List1包含算法:A,B;Ordered Algorithms List2包含算法:B,A;则执行Algorithms Selection策略将选择预先配置的缺省算法作为第一UE和第二UE均支持的安全算法。
S407、MME2将选择的安全算法(Selected Algorithms)发送给UE2;
S408、UE2发送响应(Response)给MME2;
S409、MME2发送Selected Algorithms给MME1;
S410、MME1发送Selected Algorithms给UE1;
S411、UE1发送连接请求响应(Direct-Connection-Response)给UE2。
需要说明的是,S407和S408也可以放在S409之后,即MME2向MME1发送了Selected Algorithms之后,MME2再向UE2发送Selected Algorithms。
本实施例中,需要进行近距离通信的UE1和UE2在进行安全算法协商时,UE1所在的MME1可以根据系统预先配置的安全算法优先级列表以及UE1的安全能力,选择与UE1对应的排序算法列表并将该排序算法列表发送给UE2所在的MME2,MME2也可以根据系统预先配置的安全算法优先级列表以及UE2的安全能力,选择与UE2对应的排序算法列表,然后MME2即可采用算法选择策略从两个排序算法列表中选择出UE1和UE2第一UE和第二UE均支持的安全算法,将选择的安全算法通知给UE2,并通过MME1将选择的算法通知给UE1,从而使得UE1和UE2可以采用通知的安全算法进行近距离通信。本实施例中,安全算法优先级列表可以为运营商在MME中维护的列表,因此,运营商可以对UE1和UE2的安全算法的协商结果进行控制,而且,由运营商控制的MME来进行安全算法的选择,可以避免单方UE来选择安全算法的不可靠性。
图5为本发明安全算法的协商处理方法实施例五的信令流程图,如图5所示,本实施例与图4所示实施例的区别在于,图4所示实施例是由MME2来选择安全算法,并且通知给UE2,并通过MME1通知给UE1,而MME1本身不进行安全算法的选择,而在本实施例中,MME1和MME2可以交互UE1的安全算法列表和UE2的安全算法列表,然后MME1可以为UE1选择安全算法并通知UE1,MME2可以为UE2选择安全算法并通知UE2,且MME1和MME2采用相同的算法选择策略,因此,MME1为UE1选择的安全算法与MME2为UE2选择的安全算法是相同的。
具体的,本实施例可以包括:
S501、UE2发送连接请求(Direct-Connection-Request)给UE1,以请求UE1进行近距离通信;
S502、UE1发送请求消息(Request)给MME1;
S503、MME1根据UE1的安全能力(Security Capability)和系统预先配置的安全算法优先级列表,生成与UE1对应的排序算法列表1(OrderedAlgorithms List1);
S504、MME1发送Ordered Algorithms List1给MME2;
S505、MME2根据UE2的Security Capability和系统预先配置的安全算法优先级列表生成与UE2对应的排序算法列表2(Ordered Algorithms List2);
S506、MME2执行算法选择(Algorithms Selection)策略,从OrderedAlgorithms List1和Ordered Algorithms List2的交集中选择出第一UE和第二UE均支持的安全算法;
S507、MME2将选择的安全算法(Selected Algorithms)发送给UE2;
S508、UE2发送响应(Response)给MME2;
S509、MME2发送Ordered Algorithms List2给MME1;
S510、MME1执行算法选择(Algorithms Selection)策略,从OrderedAlgorithms List1和Ordered Algorithms List2的交集中选择出第一UE和第二UE均支持的安全算法;
S511、MME1将选择的安全算法(Selected Algorithms)发送给UE1;
S512、UE1发送连接请求响应(Direct-Connection-Response)给UE2。
需要说明的是,S509并不需要限定在S508之后执行,S509只要在S505之后执行即可,也即,MME2为UE2选择安全算法的过程可以与MME1为UE1选择安全算法的过程并行执行。
本实施例中,需要进行近距离通信的UE1和UE2在进行安全算法协商时,UE1所在的MME1可以根据系统预先配置的安全算法优先级列表以及UE1的安全能力,选择与UE1对应的排序算法列表并将该排序算法列表发送给UE2所在的MME2,MME2也可以根据系统预先配置的安全算法优先级列表以及UE2的安全能力,选择与UE2对应的排序算法列表,然后MME2即可采用算法选择策略从两个排序算法列表中选择出UE1和UE2第一UE和第二UE均支持的安全算法,将选择的安全算法通知给UE2,类似的,MME2也可以将与UE2对应的安全算法列表发送给MME1,然后MME1即可采用算法选择策略从两个安全算法列表中选择出UE1和UE2第一UE和第二UE均支持的安全算法,将选择的安全算法通知给UE1,从而使得UE1和UE2可以采用通知的安全算法进行近距离通信。本实施例中,安全算法优先级列表可以为运营商在MME中维护的列表,因此,运营商可以对UE1和UE2的安全算法的协商结果进行控制,而且,由运营商控制的MME来进行安全算法的选择,可以避免单方UE来选择安全算法的不可靠性。
图6为本发明安全算法的协商处理方法实施例六的信令流程图,如图6所示,本实施例与图4所示实施例的区别在于,图4所示实施例中,MME1和MME2均需要基于系统预先配置的安全算法优先级列表来选择与UE对应的安全算法列表,也即需要进行优先级的排序过程,而在本实施例中,则省略优先级排序过程,MME1向MME2发送的安全算法列表是UE1所支持的安全算法,而且,MME2在为UE1和UE2选择第一UE和第二UE均支持的安全算法时,可以从两个安全算法列表的交集中随机选择一个安全算法,而无需使用算法选择策略。
具体的,本实施例可以包括:
S601、UE2发送连接请求(Direct-Connection-Request)给UE1,以请求UE1进行近距离通信;
S602、UE1发送请求消息(Request)给MME1;
S603、MME1发送非排序算法列表(Non-Ordered Algorithms List)1给MME2;
其中,该Non-Ordered Algorithms List1包括UE1支持的安全算法,而无需如图4或图5所示实施例需要进行优先级排序。
MME1可以根据UE1的安全能力Security Capability,获知UE1所支持的安全算法。
Non-Ordered Algorithms List1也可以为UE1所支持的安全算法列表和MME1中系统预先配置的安全算法列表的交集,但不包含优先级。.
S604、MME2执行算法选择(Algorithms Selection)策略,从Non-OrderedAlgorithms List1和Non-Ordered Algorithms List2的交集中随机选择出第一UE和第二UE均支持的安全算法;
该Non-Ordered Algorithms List2包括UE2支持的安全算法,而无需如图4或图5所示实施例需要进行优先级排序。
MME2可以根据UE2的安全能力Security Capability,获知UE2所支持的安全算法。
Non-Ordered Algorithms List2也可以为UE2所支持的安全算法列表和MME2中系统预先配置的安全算法列表的交集,但不包含优先级。
具体来说,MME2可以在Non-Ordered Algorithms List1和Non-OrderedAlgorithms List2的两个集合的交集中,随机选择一个UE1和UE2都支持的算法作为Selected Algorithms;例如:Non-Ordered Algorithms List1包含:B、C、D;Non-Ordered Algorithms List2包含:A、B、D;则MME2从B和D中随机选择一个算法作为Selected Algorithms。若Non-Ordered Algorithms List1和Non-Ordered Algorithms List2不存在交集,此时MME2可以将预先配置的缺省算法作为该Selected Algorithms。该预先配置的缺省算法,可以是系统基于UE1的Security Capability和UE2的Security Capability所选择UE1和UE2均支持的安全算法,并预先配置在MME2中。
S605、MME2将选择的安全算法(Selected Algorithms)发送给UE2;
S606、UE2发送响应(Response)给MME2;
S607、MME2发送Selected Algorithms给MME1;
S608、MME1发送Selected Algorithms给UE1;
S609、UE1发送连接请求响应(Direct-Connection-Response)给UE2。
需要说明的是,S605和S606也可以放在S607之后,即MME2向MME1发送了Selected Algorithms之后,MME2再向UE2发送Selected Algorithms。
本实施例中,需要进行近距离通信的UE1和UE2在进行安全算法协商时,UE1所在的MME1可以将包含UE1所支持的安全算法的列表发送给UE2所在的MME2,MME2即可采用算法选择策略从UE1所支持的安全算法以及UE2所支持的安全算法中随机选择出UE1和UE2第一UE和第二UE均支持的安全算法,将选择的安全算法通知给UE2,并通过MME1将选择的算法通知给UE1,从而使得UE1和UE2可以采用通知的安全算法进行近距离通信。本实施例中,运营商可以对UE1和UE2的安全算法的协商结果进行控制,而且,由运营商控制的MME来进行安全算法的选择,可以避免单方UE来选择安全算法的不可靠性。
图7为本发明控制网元实施例的结构示意图,如图7所示,本实施例的控制网元可以包括:选择模块11、通知模块12,其中:
选择模块11,用于根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
通知模块12,用于将选择的安全算法通知给所述第一UE和第二UE。
可选的,选择模块11,具体用于:
从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法;
或者,
根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
进一步的,选择模块11,具体用于:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
另外,选择模块11,还用于:
若不存在安全算法的交集,则采用预先设置的缺省安全算法作为第一UE和第二UE均支持的安全算法。
上述控制网元,例如可以为移动管理实体MME。
本发明实施例所述的控制网元,其可以用于执行图1所示方法实施例一,其实现原理和技术效果类似,此处不再赘述。
图8为本发明控制系统实施例的结构示意图,如图8所示,本实施例的控制系统可以包括:第一UE附着的第一控制网元21和第二UE附着的第二控制网元22,其中:第一控制网元21与第二控制网元22交互,以根据第一UE的安全能力和第二UE的安全能第一UE和第二UE。
进一步的,具体的,第一控制网元21与第二控制网元22交互,以从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
可选的,第一控制网元21,具体用于向第二控制网元22发送第一算法列表,所述第一算法列表中包含所述第一UE所支持的安全算法;
相应的,第二控制网元22,具体用于从所述第一算法列表以及包含所述第二UE所支持的安全算法的第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
可选的,第一控制网元21,具体用于根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;将所述第一算法列表发送给第二控制网元22;
相应的,第二控制网元22,具体用于根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
可选的,第一控制网元21与第二控制网元22交互,以根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
进一步的,第一控制网元21,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给第二控制网元22;
第二控制网元22,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
进一步的,第二控制网元22,具体用于将选择的安全算法发送给所述第二UE,并且所述第二控制网元将选择的安全算法通过所述第一控制网元发送给所述第一UE。
可选的,第一控制网元21,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给第二控制网元22;
第二控制网元22,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表;采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;将所述第二排序算法列表发送给第一控制网元21;
相应的,第一控制网元21,具体用于采用所述算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
进一步的,第一控制网元21,具体用于将选择的安全算法发送给所述第一UE;
所述第二控制网元,具体用于将选择的安全算法发送给所述第二UE。
上述控制网元,例如可以为移动管理实体MME。
第一控制网元和第二控制网元、以及两个UE之间的交互过程可以参见图4~7中任一个实施例所示的技术方案。其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (26)
1.一种安全算法的协商处理方法,其特征在于,包括:
控制网元根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
所述控制网元将选择的安全算法通知给所述第一UE和第二UE。
2.根据权利要求1所述的方法,其特征在于,所述控制网元根据所述第一UE的安全能力和第二UE的安全能力,选择所述第一UE和第二UE均支持的安全算法,包括:
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
3.根据权利要求2所述的方法,其特征在于,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元向所述第二控制网元发送第一算法列表,所述第一算法列表中包含所述第一UE所支持的安全算法;
所述第二控制网元从所述第一算法列表以及包含所述第二UE所支持的安全算法的第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
4.根据权利要求2所述的方法,其特征在于,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;
所述第一控制网元将所述第一算法列表发送给所述第二控制网元;
所述第二控制网元根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;
所述第二控制网元从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
5.根据权利要求1所述的方法,其特征在于,所述控制网元根据所述第一UE的安全能力和第二UE的安全能力,选择所述第一UE和第二UE均支持的安全算法,包括:
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
6.根据权利要求5所述的方法,其特征在于,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
7.根据权利要求3、4或6所述的方法,其特征在于,所述控制网元将选择的安全算法通知给所述第一UE和第二UE,包括:
所述第二控制网元将选择的安全算法发送给所述第二UE,并且所述第二控制网元将选择的安全算法通过所述第一控制网元发送给所述第一UE。
8.根据权利要求5所述的方法,其特征在于,所述控制网元包括第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
所述第一控制网元根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表;
所述第二控制网元采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;
所述第二控制网元将所述第二排序算法列表发送给所述第一控制网元;所述第一控制网元采用所述算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
9.根据权利要求8所述的方法,其特征在于,所述控制网元将选择的安全算法通知给所述第一UE和第二UE,包括:
所述第一控制网元将选择的安全算法发送给所述第一UE;并且,
所述第二控制网元将选择的安全算法发送给所述第二UE。
10.根据权利要求5~6、8~9中任一项所述的方法,其特征在于,所述采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法,包括:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
11.根据权利2~10中任一项所述的方法,其特征在于,还包括:
若不存在安全算法的交集,则采用预先设置的缺省安全算法作为第一UE和第二UE均支持的安全算法。
12.一种控制网元,其特征在于,包括:
选择模块,用于根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;
通知模块,用于将选择的安全算法通知给所述第一UE和第二UE。
13.根据权利要求12所述的控制网元,其特征在于,所述选择模块,具体用于:
从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法;
或者,
根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
14.根据权利要求13所述的控制网元,其特征在于,所述选择模块,具体用于:
从第一排序算法列表和第二排序算法列表中,按照优先级从高到低遍历,选择首次出现的算法相同且优先级也相同的安全算法作为第一UE和第二UE均支持的安全算法。
15.根据权利要求13或14所述的控制网元,其特征在于,所述选择模块,还用于:
若不存在安全算法的交集,则采用预先设置的缺省安全算法作为第一UE和第二UE均支持的安全算法。
16.根据权利要求12~15中任一项所述的控制网元,其特征在于,所述控制网元为移动管理实体MME。
17.一种控制系统,其特征在于,包括:第一UE附着的第一控制网元和第二UE附着的第二控制网元;
所述第一控制网元与所述第二控制网元交互,以根据第一UE的安全能力和第二UE的安全能力,选择第一UE和第二UE均支持的安全算法;并将选择的安全算法通知给所述第一UE和第二UE。
18.根据权利要求17所述的系统,其特征在于,所述第一控制网元与所述第二控制网元交互,以从所述第一UE的安全能力中包含的所述第一UE所支持的安全算法和所述第二UE的安全能力中包含的所述第二UE所支持的安全算法的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
19.根据权利要求18所述的系统,其特征在于,所述第一控制网元,具体用于向所述第二控制网元发送第一算法列表,所述第一算法列表中包含所述第一UE所支持的安全算法;
所述第二控制网元,具体用于从所述第一算法列表以及包含所述第二UE所支持的安全算法的第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
20.根据权利要求18所述的系统,其特征在于,所述第一控制网元,具体用于根据预先配置的安全算法列表和所述第一UE支持的安全算法列表的交集,选择与所述第一UE对应的第一算法列表;将所述第一算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据预先配置的安全算法列表和所述第二UE支持的安全算法列表的交集,选择与所述第二UE对应的第二算法列表;从所述第一算法列表以及所述第二算法列表的交集中,随机选择一个安全算法作为所述第一UE和第二UE均支持的安全算法。
21.根据权利要求18所述的系统,其特征在于,所述第一控制网元与所述第二控制网元交互,以根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
22.根据权利要求21所述的系统,其特征在于,所述第一控制网元,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表,采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
23.根据权利要求19、20或21所述的系统,其特征在于,所述第二控制网元,具体用于将选择的安全算法发送给所述第二UE,并且所述第二控制网元将选择的安全算法通过所述第一控制网元发送给所述第一UE。
24.根据权利要求21所述的系统,其特征在于,所述第一控制网元,具体用于根据预先配置的安全算法优先级列表以及所述第一UE所支持的安全算法的交集,选择与所述第一UE对应的第一排序算法列表,并将所述第一排序算法列表发送给所述第二控制网元;
所述第二控制网元,具体用于根据所述安全算法优先级列表以及所述第二UE所支持的安全算法的交集,选择与所述第二UE对应的第二排序算法列表;采用算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法;将所述第二排序算法列表发送给所述第一控制网元;
所述第一控制网元,具体用于采用所述算法选择策略从所述第一排序算法列表和第二排序算法列表的交集中选择出第一UE和第二UE均支持的安全算法。
25.根据权利要求24所述的系统,其特征在于,所述第一控制网元,具体用于将选择的安全算法发送给所述第一UE;
所述第二控制网元,具体用于将选择的安全算法发送给所述第二UE。
26.根据权利要求17~25中任一项所述的系统,其特征在于,所述第一控制网元和第二控制网元为移动管理实体MME。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310539031.XA CN104618089B (zh) | 2013-11-04 | 2013-11-04 | 安全算法的协商处理方法、控制网元和系统 |
| EP14857820.6A EP3046285B1 (en) | 2013-11-04 | 2014-07-02 | Method, control network element, and system for security algorithm negotiation and processing |
| PCT/CN2014/081488 WO2015062303A1 (zh) | 2013-11-04 | 2014-07-02 | 安全算法的协商处理方法、控制网元和系统 |
| US15/143,095 US10028136B2 (en) | 2013-11-04 | 2016-04-29 | Negotiation processing method for security algorithm, control network element, and control system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310539031.XA CN104618089B (zh) | 2013-11-04 | 2013-11-04 | 安全算法的协商处理方法、控制网元和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104618089A true CN104618089A (zh) | 2015-05-13 |
| CN104618089B CN104618089B (zh) | 2019-05-10 |
Family
ID=53003267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310539031.XA Active CN104618089B (zh) | 2013-11-04 | 2013-11-04 | 安全算法的协商处理方法、控制网元和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10028136B2 (zh) |
| EP (1) | EP3046285B1 (zh) |
| CN (1) | CN104618089B (zh) |
| WO (1) | WO2015062303A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786511A (zh) * | 2016-08-27 | 2018-03-09 | 北京信威通信技术股份有限公司 | 集群系统中实现群组通信安全的方法 |
| WO2018076298A1 (zh) * | 2016-10-28 | 2018-05-03 | 华为技术有限公司 | 一种安全能力协商方法及相关设备 |
| CN109617689A (zh) * | 2018-12-20 | 2019-04-12 | 惠州Tcl移动通信有限公司 | 通话方法、终端及核心网设备 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105323231B (zh) * | 2014-07-31 | 2019-04-23 | 中兴通讯股份有限公司 | 安全算法选择方法、装置及系统 |
| US11146946B2 (en) | 2018-09-20 | 2021-10-12 | T-Mobile Usa, Inc. | Presence server message handling |
| CN114079915A (zh) * | 2020-08-06 | 2022-02-22 | 华为技术有限公司 | 确定用户面安全算法的方法、系统及装置 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060150241A1 (en) * | 2004-12-30 | 2006-07-06 | Samsung Electronics Co., Ltd. | Method and system for public key authentication of a device in home network |
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN101262337A (zh) * | 2008-02-05 | 2008-09-10 | 中兴通讯股份有限公司 | 安全功能控制方法和系统 |
| CN101330376A (zh) * | 2007-06-22 | 2008-12-24 | 华为技术有限公司 | 安全算法的协商方法 |
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN101883346A (zh) * | 2009-05-04 | 2010-11-10 | 中兴通讯股份有限公司 | 基于紧急呼叫的安全协商方法与装置 |
| US20100329465A1 (en) * | 2009-06-29 | 2010-12-30 | Motorola, Inc. | Method of triggering a key delivery from a mesh key distributor |
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| CN101997679A (zh) * | 2009-08-21 | 2011-03-30 | 华为终端有限公司 | 加密信息协商方法、设备及网络系统 |
| CN102687580A (zh) * | 2009-10-02 | 2012-09-19 | 捷讯研究有限公司 | 建立对等通信的方法和装置 |
| US20130102270A1 (en) * | 2010-06-21 | 2013-04-25 | Kyung-Joo Suh | Security control method and device in a mobile communication system supporting emergency calls, and a system therefor |
| WO2013118096A1 (en) * | 2012-02-10 | 2013-08-15 | Renesas Mobile Corporation | Method, apparatus and computer program for facilitating secure d2d discovery information |
| CN103329589A (zh) * | 2011-01-20 | 2013-09-25 | Sk普兰尼特有限公司 | 发布用于在cpns环境中验证用户的验证密钥的系统和方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7591012B2 (en) * | 2004-03-02 | 2009-09-15 | Microsoft Corporation | Dynamic negotiation of encryption protocols |
| CN101562667B (zh) * | 2009-05-19 | 2012-09-05 | 中兴通讯股份有限公司 | 软交换架构下的编解码转换控制方法、媒体网关及系统 |
| US8560830B2 (en) * | 2010-04-06 | 2013-10-15 | Blackberry Limited | System and method for exchanging cryptographic protocol capabilities |
| CN102223201B (zh) * | 2010-04-15 | 2014-01-01 | 中兴通讯股份有限公司 | 一种编解码器能力协商方法及终端 |
| WO2013170134A2 (en) * | 2012-05-10 | 2013-11-14 | Interdigital Patent Holdings, Inc. | System level procedures and methods to enable data sharing in cellular network |
| EP2856836B1 (en) * | 2012-05-31 | 2019-02-27 | Interdigital Patent Holdings, Inc. | Method and apparatus for device-to-device, d2d, mobility in wireless systems |
| US10624005B2 (en) * | 2013-08-08 | 2020-04-14 | Nokia Technologies Oy | Method and apparatus for proxy algorithm identity selection |
-
2013
- 2013-11-04 CN CN201310539031.XA patent/CN104618089B/zh active Active
-
2014
- 2014-07-02 WO PCT/CN2014/081488 patent/WO2015062303A1/zh active Application Filing
- 2014-07-02 EP EP14857820.6A patent/EP3046285B1/en active Active
-
2016
- 2016-04-29 US US15/143,095 patent/US10028136B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060150241A1 (en) * | 2004-12-30 | 2006-07-06 | Samsung Electronics Co., Ltd. | Method and system for public key authentication of a device in home network |
| CN101001252A (zh) * | 2006-06-25 | 2007-07-18 | 华为技术有限公司 | 一种注册方法和一种用户面安全算法的协商方法及装置 |
| CN101330376A (zh) * | 2007-06-22 | 2008-12-24 | 华为技术有限公司 | 安全算法的协商方法 |
| CN101953193A (zh) * | 2007-10-31 | 2011-01-19 | 日本电气株式会社 | 用于安全算法的选择的方法和系统 |
| CN101262337A (zh) * | 2008-02-05 | 2008-09-10 | 中兴通讯股份有限公司 | 安全功能控制方法和系统 |
| CN101854625A (zh) * | 2009-04-03 | 2010-10-06 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN101883346A (zh) * | 2009-05-04 | 2010-11-10 | 中兴通讯股份有限公司 | 基于紧急呼叫的安全协商方法与装置 |
| US20100329465A1 (en) * | 2009-06-29 | 2010-12-30 | Motorola, Inc. | Method of triggering a key delivery from a mesh key distributor |
| CN101997679A (zh) * | 2009-08-21 | 2011-03-30 | 华为终端有限公司 | 加密信息协商方法、设备及网络系统 |
| CN102687580A (zh) * | 2009-10-02 | 2012-09-19 | 捷讯研究有限公司 | 建立对等通信的方法和装置 |
| US20130102270A1 (en) * | 2010-06-21 | 2013-04-25 | Kyung-Joo Suh | Security control method and device in a mobile communication system supporting emergency calls, and a system therefor |
| CN103329589A (zh) * | 2011-01-20 | 2013-09-25 | Sk普兰尼特有限公司 | 发布用于在cpns环境中验证用户的验证密钥的系统和方法 |
| WO2013118096A1 (en) * | 2012-02-10 | 2013-08-15 | Renesas Mobile Corporation | Method, apparatus and computer program for facilitating secure d2d discovery information |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "《Study on security issues to support Proximity Services》", 《TECHNICAL SPECIFICATION GROUP SERVICES AND SYSTEM ASPECTS STUDY ON SECURITY ISSUES TO SUPPORT PROXIMITY SERVICES (RELEASE 12),3GPP TR 33.CDE V0.2.0》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786511A (zh) * | 2016-08-27 | 2018-03-09 | 北京信威通信技术股份有限公司 | 集群系统中实现群组通信安全的方法 |
| WO2018076298A1 (zh) * | 2016-10-28 | 2018-05-03 | 华为技术有限公司 | 一种安全能力协商方法及相关设备 |
| CN109617689A (zh) * | 2018-12-20 | 2019-04-12 | 惠州Tcl移动通信有限公司 | 通话方法、终端及核心网设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015062303A1 (zh) | 2015-05-07 |
| EP3046285A1 (en) | 2016-07-20 |
| EP3046285A4 (en) | 2016-08-31 |
| US20160249209A1 (en) | 2016-08-25 |
| EP3046285B1 (en) | 2021-08-18 |
| US10028136B2 (en) | 2018-07-17 |
| CN104618089B (zh) | 2019-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104618089B (zh) | 安全算法的协商处理方法、控制网元和系统 | |
| EP3340668B1 (en) | Profile processing method, profile processing apparatus, user terminal and euicc | |
| EP2955897B1 (en) | Key interaction method and device | |
| CN109219965B (zh) | 一种通信方法及相关装置 | |
| EP2611227B1 (en) | DATA PROTECTION ON AN Un INTERFACE | |
| CN110574406B (zh) | 密钥配置方法、装置以及系统 | |
| KR102295661B1 (ko) | 보안 통신방법 및 장치와 이를 채용하는 멀티미디어 기기 | |
| CN109644339A (zh) | 连接模式期间5g中的安全性上下文处理 | |
| CN103297958B (zh) | 建立安全上下文的方法、装置及系统 | |
| JP6901850B2 (ja) | コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法 | |
| JP7389225B2 (ja) | セキュリティ保護モードを決定するための方法および装置 | |
| EP3177052B1 (en) | Method, device and system for selecting security algorithm | |
| CN103391541A (zh) | 无线设备的配置方法及装置、系统 | |
| CN102595369A (zh) | 一种nas算法的传输方法及装置 | |
| EP2787754A1 (en) | Security communication method, device and system for low cost terminal | |
| EP3054622B1 (en) | Method and device for key negotiation processing | |
| EP2922325B1 (en) | Method and apparatus for communication security processing | |
| JP5604415B2 (ja) | ネットワークシステム及びネットワーク構築方法、端末 | |
| CN104618903A (zh) | 密钥协商处理方法和装置 | |
| KR101888952B1 (ko) | 클라이언트 및 클라이언트의 동작 방법 | |
| EP3029904B1 (en) | Data transmission processing method and apparatus | |
| CN104954114B (zh) | 一种通讯过程中线路跳变方法、通讯装置及通讯系统 | |
| JP2017112430A (ja) | 通信装置、通信装置の制御方法およびプログラム | |
| JP2014014036A (ja) | 通信システムおよびその動作方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |