CN114222303A - 实现ue定制机密性和完整性保护算法的方法及装置 - Google Patents
实现ue定制机密性和完整性保护算法的方法及装置 Download PDFInfo
- Publication number
- CN114222303A CN114222303A CN202111500413.2A CN202111500413A CN114222303A CN 114222303 A CN114222303 A CN 114222303A CN 202111500413 A CN202111500413 A CN 202111500413A CN 114222303 A CN114222303 A CN 114222303A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- priority
- base station
- core network
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000011664 signaling Effects 0.000 claims abstract description 41
- 238000012790 confirmation Methods 0.000 claims abstract description 20
- 238000012546 transfer Methods 0.000 claims description 8
- 238000004891 communication Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 102100023078 Early endosome antigen 1 Human genes 0.000 description 1
- 101001050162 Homo sapiens Early endosome antigen 1 Proteins 0.000 description 1
- 230000004308 accommodation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及无线通信安全技术领域,特别涉及一种实现UE定制机密性和完整性保护算法的方法及装置,其中,方法包括:步骤1:用户选择算法和算法优先级,形成算法优先级列表。步骤2:算法优先级上报到核心网。步骤3:业务信令阶段终端上报最高优先级算法。步骤4:核心网传递算法到基站。步骤5:基站根据算法优先级即基站本身存储的算法和优先级,选择算法,并下发给终端。步骤6:基站接收并返回确认消息,完成算法协商。使得在基站和终端均支持的情况下,用户可以定制其使用的安全算法,实现了5G技术领域强调的用户定制功能,补足了目前5G安全算法仍受制于基站的安全短板。
Description
技术领域
本申请涉及无线通信安全技术领域,特别涉及一种实现UE定制机密性和完整性保护算法的方法及装置。
背景技术
为了适应海量移动终端及移动数据的爆炸式增长,推动物联网等产业的落地,第五代通信技术(5G)应运而生。根据通信发展规律,5G技术在终端容纳量、可靠性、时延、传输速率和用户体验等将得到显著的提高,解决了通信技术在增强型移动宽带、高可靠低时延连接、海量连接物联网业务等未来使用场景下的应用,能够满足未来十年移动互联网、物联网等技术的发展需求。与前几代移动通信相比,5G的业务提供能力更加丰富,且面向更加多样化场景下的差异化需求提供灵活性的服务,适应现代信息化社会的瞬息万变。
3GPP作为国际移动通信的主要标准组织,承担了5G国际标准技术内容的制定工作。目前3GPP规范定义的空口安全算法的选择方法如图1所示,具体过程叙述如下:
阶段1:安全能力上报:根据3GPP TS23.502,在UE开机注册时,通过Registrationprocedure(开机注册流程)中的Registration request消息携带UE安全能力,上报给核心网。
阶段2:核心网把UE能力传到基站:根据3GPP TS38.413,核心网下发给基站的:initial Context Setup Request消息中携带UE安全能力,告知基站终端支持的安全算法。UE安全能力的格式见3GPP TS24.501。
阶段3:基站选择安全算法:选择原则为:1)所选算法是UE安全能力支持的算法。2)所选算法基站支持的算法。3)所选算法是基站侧的算法优先级列表中的优先级最高的算法。
阶段4:信令下发终端:按照3GPP TS38.331,SecurityModeCommand信令中携带的安全算法的定义如图2所示。按照3GPP TS33.501,机密性和完整性保护算法包含如下表1和表2所示。
表1机密性算法对照表
表2完整性算法对照表
阶段5:完成算法协商:终端侧根据信令完成算法协商并返回SecurityModeComplete。
上述的3GPP协议定义的技术方案存在如下缺点:
1)UE不支持在UE侧选择算法。
2)UE侧支持的算法,没有定义优先级。
3)UE开机注册流程中,UE安全能力上报的消息格式,没有区分优先级。
4)基站不支持按照UE定义的算法优先级选择算法。
发明内容
本申请提供一种实现UE定制机密性和完整性保护算法的方法及装置,通过新的算法,使得在基站和终端均支持的情况下,用户可以定制其使用的安全算法,实现了5G技术领域强调的用户定制功能,补足了目前5G安全算法仍受制于基站的安全短板。
本申请第一方面实施例提供一种实现UE定制机密性和完整性保护算法的方法,包括以下步骤:选择至少一个安全算法和每个算法的优先级,生成算法优先级列表;在开机注册阶段,将所述算法优先级列表上报至核心网;在业务信令阶段,从终端至所述核心网,上报最高优先级算法;在所述核心网收到所述算法优先级列表后,将安全能力传递至至少一个基站;在基站端,根据所述算法优先级列表的优先级选择相应的保护算法,并下发给终端;通过终端确认后返回算法确认消息,完成算法协商。
在本申请的一个实施例中,所述将所述算法优先级列表上报至核心网,包括:将预设的最高优先级及其对应保护算法携带到UE安全能力上;通过Registration request消息携带所述UE安全能力,上报至所述核心网。
在本申请的一个实施例中,所述上报最高优先级算法,包括:在用户发起业务,且修改所述优先级后,将新的优先级信息重新通知到所述核心网和基站,其中,通过携有新的优先级信息的所述UE的第一条发送至所述核心网的初始直传消息。
在本申请的一个实施例中,所述根据所述算法的优先级选择相应的保护算法,并下发给终端,包括:根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把所述UE安全能力传递到目标基站中。
在本申请的一个实施例中,所述通过终端确认后返回算法确认消息,完成算法协商,包括:判断所述信令携带的算法是否支持;如果支持,则调用所述携带的算法进行机密性和完整性运算,并返回基站成功消息,否则返回基站失败消息。
本申请第二方面实施例提供一种实现UE定制机密性和完整性保护算法的装置,包括:选择模块,用于选择至少一个安全算法和每个算法的优先级,生成算法优先级列表;上报模块,用于在开机注册阶段,将所述算法优先级列表上报至核心网;更新模块,用于在业务信令阶段,从终端至所述核心网,上报最高优先级算法;发送模块,用于在所述核心网收到所述算法优先级列表后,将安全能力传递至至少一个基站;下发模块,用于在基站端,根据所述算法优先级列表的优先级选择相应的保护算法,并下发给终端;协商模块,用于通过终端确认后返回算法确认消息,完成算法协商。
在本申请的一个实施例中,所述上报模块,进一步用于,将预设的最高优先级及其对应保护算法携带到UE安全能力上,通过Registration request消息携带所述UE安全能力,上报至所述核心网。
在本申请的一个实施例中,所述上报最高优先级算法,包括:在用户发起业务,且修改所述优先级后,将新的优先级信息重新通知到所述核心网和基站,其中,通过携有新的优先级信息的所述UE的第一条发送至所述核心网的初始直传消息。
在本申请的一个实施例中,所述下发模块进一步用于,根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把所述UE安全能力传递到目标基站中。
在本申请的一个实施例中,所述协商模块进一步用于,判断所述信令携带的算法是否支持,在支持时,调用所述携带的算法进行机密性和完整性运算,并返回基站成功消息,在不支持时返回基站失败消息。
本申请实施例的实现UE定制机密性和完整性保护算法的方法及装置,对3GPP相关信令内容进行了扩展,在不改变原有信令流程的情况下,实现了UE定制机密性和完整性保护算法,其有益效果为:
1)在UE侧实现了自定义选择机密性和完整性算法的功能,弥补了传统3GPP协议存在的不足,提高了无线空口安全保护机制的灵活性及可扩展性,在异质性较强的物联网场景下十分实用。
2)在UE侧实现了自定义排序安全算法优先级,改变了传统方案中仅由基站定义高算法优先级的弊端,使得优先级由基站和UE共同确定。
3)UE安全能力、UE最高优先级算法、基站侧设置的算法优先级最终均由基站判断,在跨站、跨系统场景下适用性较强,且能够完美契合移动终端的移动性需求。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为3GPP空口安全算法选择方法流程图;
图2为3GPP TS38.331 SecurityModeCommand信令中携带的安全算法示意图;
图3为根据本申请实施例提供的一种实现UE定制机密性和完整性保护算法的方法的流程图;
图4为根据本申请实施例提供的一种实现UE定制机密性和完整性保护算法的方法逻辑流程框图;
图5为根据本申请实施例提供的信令流程框图;
图6为根据本申请实施例的实现UE定制机密性和完整性保护算法的装置的示例图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的实现UE定制机密性和完整性保护算法的方法及装置。针对上述背景技术中心提到的用户无法进行算法选择的问题,本申请提供了一种实现UE定制机密性和完整性保护算法的方法,在该方法中,选择至少一个安全算法和每个算法的优先级,生成算法优先级列表;在开机注册阶段,将算法优先级列表上报至核心网;在业务信令阶段,从终端至核心网,上报最高优先级算法;在核心网收到算法优先级列表后,将安全能力传递至至少一个基站;在基站端,根据算法优先级列表的优先级选择相应的保护算法,并下发给终端;通过终端确认后返回算法确认消息,完成算法协商。本申请的实施例具有高度灵活性及良好的用户体验,完善了5G技术关于“用户定制”的规划版图。由此,解决了用户无法进行算法选择等问题。
具体而言,图3为根据本申请实施例提供的一种实现UE定制机密性和完整性保护算法的方法的流程图。
如图3所示,该实现UE定制机密性和完整性保护算法的方法包括以下步骤:
在步骤S101中,选择至少一个安全算法和每个算法的优先级,生成算法优先级列表。
具体地,首先UE进行安全算法的选择,在UE侧形成安全算法优先级列表,该列表以集合形式输出。
A={安全算法,算法优先级} (1)
算法选择是UE功能(非APP功能),用户需要在UE上进行选择和设置。算法选择模块,不限制选择算法的数量,当用户只选择一种算法,默认该算法优先级最高;若用户选择多种算法,则可自定义算法优先级。同时,算法选择的范围不局限于3GPP定义的算法,用户也可以选择3GPP未来扩展的算法及用户定制算法(UE和基站都支持)。
在步骤S102中,在开机注册阶段,将算法优先级列表上报至核心网。
在本申请的一个实施例中,将算法优先级列表上报至核心网,包括:将预设的最高优先级及其对应保护算法携带到UE安全能力上;通过Registration request消息携带UE安全能力,上报至核心网。
在开机注册阶段,UE通过Registration request消息携带UE安全能力,上报给核心网。Registration request消息的内容为集合{安全算法,算法优先级},UE通过空口、NG口发送到核心网后,核心网存储UE安全算法和算法优先级信息。
3GPP TS24.501中定义了UE安全能力的格式。本申请在3GPP定义的基础上,对UE安全能力IE进行扩展,将UE自定义的最高优先级及其对应算法携带到UE安全能力上。一种扩展方法如下:
表3 UE Security Capabilities附加算法最高优先级
octet 3---octet 6标识算法,其中bit5/6/7/8是目前3GPP已定义的算法,参见表1和表2。bit1/2/3/4目前为空,可自定义。
在步骤S103中,在业务信令阶段,从终端至核心网,上报最高优先级算法。
在本申请的一个实施例中,上报最高优先级算法,包括:在用户发起业务,且修改优先级后,将新的优先级信息重新通知到核心网和基站,其中,通过携有新的优先级信息的UE的第一条发送至核心网的初始直传消息。
开机注册之后,若用户修改了算法优先级,则核心网处存储的安全能力及优先级信息不再有效。当用户发起业务的时候,需要将UE选择算法优先级信息重新通知到核心网和基站,相关信息需要填充到某条信令中。本申请通过改造UE的第一条发给核心网的初始直传消息service request中Security header type的内容实现。
3GPPTS24.501中定义了service request消息结构,其中与安全相关字段为Security header type。Security header type为4bit,分别代表不同的安全策略,如下:
表4 3GPPTS24.501定义的Security header type消息结构
本申请使用其空闲的bit4标识信令阶段,并新增8bit标识最高优先级的算法。
表5Security header type扩展表
PEA:标识优先级最高的机密性算法。
PIA:标识优先级最高的完整性保护算法。
S:标识本信令在开机注册阶段还是非注册阶段发起。若S=1,标识servicerequest是在开机注册阶段的信令,此时不解析PEA和PIA,而是使用Registration request消息携带UE安全能力中的最高优先级算法;若S=0,标识service request是在非开机注册阶段(业务阶段)的信令,需要解析PEA和PIA,用于NAS消息的算法选择,并存储在核心网中,用于阶段3。
在步骤S104中,在核心网收到算法优先级列表后,将安全能力传递至至少一个基站。
具体地,核心网通过initial Context Setup Request消息中的UE SecurityCapabilities,将表4和表5的内容传递到基站。如果是在开机注册阶段,则直接携带表4的内容传递给基站。如果是在非开机注册阶段,则需要把表5的内容映射到表4,按照表4的格式传递给基站。
在步骤S105中,在基站端,根据算法优先级列表的优先级选择相应的保护算法,并下发给终端。
在本申请的一个实施例中,根据算法的优先级选择相应的保护算法,并下发给终端,包括:根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把UE安全能力传递到目标基站中。
具体地,基站接收到UE最高优先级算法,判断基站也支持,则通过SecurityModeCommand(SMC)信令下发给UE;如果基站判断不支持UE最高优先级算法,则按照基站优先级和UE安全能力的交集中优先级最高的,作为双方的算法,通过SMC信令下发给UE。
在移动性跨站或者跨系统时,按照3GPP TS38.311中定义,HandoverRequest(或其他相关信令)中携带UE Security Capabilities(如表3),把UE安全能力传递到目标基站中,目标基站判断自身也支持此算法,则通过RRCreconfig消息,与UE协商选择的安全算法。如果目标站判断不支持UE最高优先级算法,则按照基站优先级和UE安全能力的交集中优先级最高的,作为双方的算法,通过RRCreconfig消息下发给UE。
在步骤S106中,通过终端确认后返回算法确认消息,完成算法协商。
在本申请的一个实施例中,通过终端确认后返回算法确认消息,完成算法协商,包括:判断信令携带的算法是否支持;如果支持,则调用携带的算法进行机密性和完整性运算,并返回基站成功消息,否则返回基站失败消息。
具体地,终端接收到SecurityModeCommand/RRCreconfig,判断里面携带的算法自己是否支持,如支持,则调用此算法进行机密性和完整性运算,并返回基站成功消息(SecurityModeComplete/RRCreconfig complete)。如不支持,则算法协商失败,返回基站失败信息(SecurityModeFailure/RRCreconfigFailure)。
本申请实施例在安全算法选择领域实现UE定制算法的方案,较之传统方法而言,本申请具有高度灵活性及良好的用户体验,完善了5G技术关于“用户定制”的规划版图。本申请的主要目的如下:目前5G(包括之前制式的4G和3G)的一个主流思想是UE行为应该受网络侧指导,机密性和完整性保护算法的选择是基站来设置算法优先级,使用的算法是UE支持的算法在基站优先级列表中优先级最高的那个算法,即安全算法的选择受制于基站中设置的算法优先级。
下面结合附图和具体实施例对本申请的实现UE定制机密性和完整性保护算法的方法进行详细说明。
图4为根据本申请实施例提供的一种实现UE定制机密性和完整性保护算法的方法逻辑流程框图。图5为根据本申请实施例提供的信令流程框图。
假定用户使用自定义算法,机密性和完整性算法名称分别为NEA4和NIA4,表示256-bit ZUC算法,算法标识为0100。则在表1和表2的基础上,收发二端共同遵守如下扩展协议定义:
表6扩展后的机密性算法对照表
表7扩展后的完整性算法对照表
阶段1:安全算法选择(UE)
用户在终端按照下面公式,设置算法和算法优先级。用户可选择一种或者多种算法及其优先级,在终端侧形成算法及其优先级列表。
A={安全算法,算法优先级}
假定用户选择NEA4和NIA4为最高优先级,则算法优先级列表的一个实例如下:
表8 UE侧的优先级列表实例表
算法优先级中数字越大,表示优先级越高。从上表可以看出,5G算法中优先级最高的是自定义的机密性算法NEA4和完整性算法NIA4。4G算法中优先级最高的是EEA3和EIA1。
阶段2:开机注册阶段UE安全能力上报(UE至核心网)
在开机注册阶段,UE通过Registration request消息携带的UE SecurityCapabilities,上报给核心网。
UE Security Capabilities定义的格式见表3,本申请在表3的基础上,对UESecurity Capabilities bit位进行修改,把UE设置的最高优先级及其算法携带到UESecurity Capabilities(见表9)。即携带的信息为集合{安全算法,算法优先级},通过空口、NG口发送到核心网。
核心网存储算法和算法优先级信息,如果核心网支持UE上报的最高优先级的算法,则NAS信令安全使用此算法,并在后续的空口使用此算法参与空口算法优先级排序。如果核心网不支持UE上报的最高优先级算法,则信令结束。用户重新选择最高优先级算法,重新进行注册流程。
表9 UE Security Capabilities附加UE算法最高优先级实例表
根据表3、表5和表7定义,上表表示UE安全能力中携带了5G中ZUC算法的NEA3/NIA3,以及自定义的NEA4/NIA4,且自定义的NEA4/NIA4优先级最高;同时携带了4G中的ZUC算法的EEA3/EIA3和snow 3G的EEA1/EIA1,其中,优先级最高的是EIA1和EEA3。
阶段3:业务信令阶段UE上报最高优先级算法
开机注册之后,假如用户又修改了算法优先级,则需要发起业务的时候,把UE选择算法优先级信息通知到核心网和基站,本申请通过改造UE的第一条发给核心网的初始直传消息service request中Security header type的内容实现。
根据表5,对Security header type的改造如下:
表10 Security header type实例表
PEA:标识优先级最高的机密性算法。实例为0100,为自定义机密性算法NEA4。
PIA:标识优先级最高的完整性保护算法。实例为0100,为自定义完整性算法NIA4。
S:标识本信令在开机注册阶段还是非注册阶段发起。本案例为S=0,为业务信令阶段。
携带的最高优先级算法,存贮在核心网中,用于NAS消息的安全算法选择,并用于下面的流程中。
阶段4:安全能力传递(核心网至基站)
核心网通过initial Context Setup Request消息中的UE SecurityCapabilities,把表9或表10的内容传递到基站。如果是在开机注册阶段,则直接携带表9的内容传递给基站;如果实在非开机注册阶段,则需要把表10的内容传递给基站。
阶段5:安全算法选择(基站至终端)
步骤1:兼容性判断和优先级选择:基站接收到UE最高优先级算法,判断基站也支持,则通过SecurityModeCommand(SMC)信令下发给UE;如果基站判断不支持UE最高优先级算法,则按照基站优先级和UE安全能力的交集中优先级最高的,作为双方的算法,通过SMC信令下发给UE。
实例:根据表9或者表10,SMC信令包含如下算法:
SecurityModeCommand
{……
IntegrityProtAlgorithm:NIA4
CipheringAlgorithm:NEA4
}。
步骤2:切换时算法选择:在移动性跨站或者跨系统时,按照3GPP TS38.311中定义,HandoverRequest(或其他相关切换信令)中携带UE Security Capabilities(如表9),把UE安全能力传递到目标基站中,目标基站判断自身也支持此算法,则通过RRCreconfig消息,与UE协商选择的安全算法。如果目标站判断不支持UE最高优先级算法,则按照基站优先级和UE安全能力的交集中优先级最高的,作为双方的算法,通过RRCreconfig消息下发给UE。
阶段6:协商过程确认(终端至基站)
终端接收到SecurityModeCommand/RRCreconfig,判断里面携带的算法自己是否支持,如支持,则调用此算法进行机密性和完整性运算,并返回基站SecurityModeComplete/RRCreconfig complete;如不支持,则算法协商失败,返回基站SecurityModeFailure/RRCreconfigFailure。
根据本申请实施例提出的实现UE定制机密性和完整性保护算法的方法,通过扩展信令中的UE安全能力、Security header type完成UE定制算法的传输和选择,完成定制算法的使用。使得在基站和终端均支持的情况下,用户可以定制其使用的安全算法,实现了5G技术领域强调的用户定制功能,补足了目前5G安全算法仍受制于基站的安全短板。
其次参照附图描述根据本申请实施例提出的实现UE定制机密性和完整性保护算法的装置。
图6为根据本申请实施例的实现UE定制机密性和完整性保护算法的装置的示例图。
如图6所示,该实现UE定制机密性和完整性保护算法的装置10包括:选择模块100、上报模块200、更新模块300、发送模块400、下发模块500和协商模块600。
其中,选择模块100,用于选择至少一个安全算法和每个算法的优先级,生成算法优先级列表。上报模块200,用于在开机注册阶段,将算法优先级列表上报至核心网。更新模块300,用于在业务信令阶段,从终端至核心网,上报最高优先级算法。发送模块400,用于在核心网收到算法优先级列表后,将安全能力传递至至少一个基站。下发模块500,用于在基站端,根据算法优先级列表的优先级选择相应的保护算法,并下发给终端。协商模块600,用于通过终端确认后返回算法确认消息,完成算法协商。
在本申请的一个实施例中,上报模块200,进一步用于,将预设的最高优先级及其对应保护算法携带到UE安全能力上,通过Registration request消息携带UE安全能力,上报至核心网。
在本申请的一个实施例中,上报最高优先级算法,包括:在用户发起业务,且修改优先级后,将新的优先级信息重新通知到核心网和基站,其中,通过携有新的优先级信息的UE的第一条发送至核心网的初始直传消息。
在本申请的一个实施例中,下发模块500进一步用于,根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把UE安全能力传递到目标基站中。
在本申请的一个实施例中,协商模块600进一步用于,判断信令携带的算法是否支持,在支持时,调用携带的算法进行机密性和完整性运算,并返回基站成功消息,在不支持时返回基站失败消息。
需要说明的是,前述对实现UE定制机密性和完整性保护算法的方法实施例的解释说明也适用于该实施例的实现UE定制机密性和完整性保护算法的装置,此处不再赘述。
根据本申请实施例提出的实现UE定制机密性和完整性保护算法的装置,通过扩展信令中的UE安全能力、Security header type完成UE定制算法的传输和选择,完成定制算法的使用。使得在基站和终端均支持的情况下,用户可以定制其使用的安全算法,实现了5G技术领域强调的用户定制功能,补足了目前5G安全算法仍受制于基站的安全短板。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或N个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“N个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更N个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
Claims (10)
1.一种实现UE定制机密性和完整性保护算法的方法,其特征在于,包括以下步骤:
选择至少一个安全算法和每个算法的优先级,生成算法优先级列表;
在开机注册阶段,将所述算法优先级列表上报至核心网;
在业务信令阶段,从终端至所述核心网,上报最高优先级算法;
在所述核心网收到所述算法优先级列表后,将安全能力传递至至少一个基站;
在基站端,根据所述算法优先级列表的优先级选择相应的保护算法,并下发给终端;以及
通过终端确认后返回算法确认消息,完成算法协商。
2.根据权利要求1所述的方法,其特征在于,所述将所述算法优先级列表上报至核心网,包括:
将预设的最高优先级及其对应保护算法携带到UE安全能力上;
通过Registration request消息携带所述UE安全能力,上报至所述核心网。
3.根据权利要求1所述的方法,其特征在于,所述上报最高优先级算法,包括:
在用户发起业务,且修改所述优先级后,将新的优先级信息重新通知到所述核心网和基站,其中,通过携有新的优先级信息的所述UE的第一条发送至所述核心网的初始直传消息。
4.根据权利要求2所述的方法,其特征在于,所述根据所述算法的优先级选择相应的保护算法,并下发给终端,包括:
根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把所述UE安全能力传递到目标基站中。
5.根据权利要求4所述的方法,其特征在于,所述通过终端确认后返回算法确认消息,完成算法协商,包括:
判断所述信令携带的算法是否支持;
如果支持,则调用所述携带的算法进行机密性和完整性运算,并返回基站成功消息,否则返回基站失败消息。
6.一种实现UE定制机密性和完整性保护算法的装置,其特征在于,包括:
选择模块,用于选择至少一个安全算法和每个算法的优先级,生成算法优先级列表;
上报模块,用于在开机注册阶段,将所述算法优先级列表上报至核心网;
更新模块,用于在业务信令阶段,从终端至所述核心网,上报最高优先级算法;
发送模块,用于在所述核心网收到所述算法优先级列表后,将安全能力传递至至少一个基站;
下发模块,用于在基站端,根据所述算法优先级列表的优先级选择相应的保护算法,并下发给终端;以及
协商模块,用于通过终端确认后返回算法确认消息,完成算法协商。
7.根据权利要求6所述的装置,其特征在于,所述上报模块,进一步用于,将预设的最高优先级及其对应保护算法携带到UE安全能力上,通过Registration request消息携带所述UE安全能力,上报至所述核心网。
8.根据权利要求6所述的装置,其特征在于,所述上报最高优先级算法,包括:在用户发起业务,且修改所述优先级后,将新的优先级信息重新通知到所述核心网和基站,其中,通过携有新的优先级信息的所述UE的第一条发送至所述核心网的初始直传消息。
9.根据权利要求7所述的装置,其特征在于,所述下发模块进一步用于,根据兼容性条件和预设优先级条件选择对应的算法,并在切换时,把所述UE安全能力传递到目标基站中。
10.根据权利要求9所述的装置,其特征在于,所述协商模块进一步用于,判断所述信令携带的算法是否支持,在支持时,调用所述携带的算法进行机密性和完整性运算,并返回基站成功消息,在不支持时返回基站失败消息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111500413.2A CN114222303A (zh) | 2021-12-09 | 2021-12-09 | 实现ue定制机密性和完整性保护算法的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111500413.2A CN114222303A (zh) | 2021-12-09 | 2021-12-09 | 实现ue定制机密性和完整性保护算法的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114222303A true CN114222303A (zh) | 2022-03-22 |
Family
ID=80700596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111500413.2A Pending CN114222303A (zh) | 2021-12-09 | 2021-12-09 | 实现ue定制机密性和完整性保护算法的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114222303A (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1471326A (zh) * | 2002-07-26 | 2004-01-28 | ��Ϊ��������˾ | 一种自主选择保密通信中无线链路加密算法的方法 |
CN109219965A (zh) * | 2017-05-05 | 2019-01-15 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN112449400A (zh) * | 2019-08-15 | 2021-03-05 | 大唐移动通信设备有限公司 | 一种通信方法、装置及系统 |
-
2021
- 2021-12-09 CN CN202111500413.2A patent/CN114222303A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1471326A (zh) * | 2002-07-26 | 2004-01-28 | ��Ϊ��������˾ | 一种自主选择保密通信中无线链路加密算法的方法 |
CN109219965A (zh) * | 2017-05-05 | 2019-01-15 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN109561427A (zh) * | 2017-05-05 | 2019-04-02 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN113038461A (zh) * | 2017-05-05 | 2021-06-25 | 华为技术有限公司 | 一种通信方法及相关装置 |
CN112449400A (zh) * | 2019-08-15 | 2021-03-05 | 大唐移动通信设备有限公司 | 一种通信方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3709711B1 (en) | Obtaining and transmitting information about a correspondence between a pdu session and a network slice | |
KR100702547B1 (ko) | 멀티모드 멀티파일럿 하드 핸드오프를 용이하게 하는 방법및 장치 | |
US9661498B2 (en) | System and method for selection of security algorithms | |
EP0656167B1 (en) | Method for call establishment | |
EP1219122B1 (en) | Domain selecting system and method | |
CN112534835B (zh) | 在5g网络中提供多播/广播服务 | |
US20200351767A1 (en) | Access Control in Communications Network Comprising Slices | |
US8818388B2 (en) | Communication device, communication system, and restricting method | |
EP1734782B1 (en) | A method of dual transfer mode handover | |
MXPA06012401A (es) | Mensaje de control de comunicacion para servicio punto a multipunto en sistema de comunicacion inalambrico. | |
US10959132B2 (en) | Handover method and apparatus | |
WO1998006226A2 (en) | Cellular telecommunications network having seamless interoperability between exchanges while providing voice, asynchronous data and facsimile services in multiple frequency hyperbands | |
CN114270900B (zh) | 通过接入和移动性管理功能重新分配进行注册的方法及计算机可读介质 | |
US6760602B2 (en) | Mobile communication system with improved base station control | |
CN114175770B (zh) | 利用接入和移动性管理功能重新分配进行注册的方法 | |
US7940701B2 (en) | Network selection | |
US7043246B2 (en) | Routing of call made to subscriber | |
CN111757357B (zh) | 重定向方法、网络及终端设备、通信系统及可读存储介质 | |
JP2007134841A (ja) | 移動体通信システム、無線ネットワーク制御装置及びそれらに用いる発信者位置情報通知機能の実現方法 | |
KR101528250B1 (ko) | 통신 스템들 사이에서 이동하는 이동 단말의 분리를 위한 방법 | |
CN116235517A (zh) | 第五代核心网络中以间接通信进行的网络功能服务实例重选增强 | |
EP1458208B1 (en) | Method for routing messages between mobile control and cell control functional entities of a distributed radio access network | |
EP3737199B1 (en) | Communication network component and method for handling a service request | |
CN114222303A (zh) | 实现ue定制机密性和完整性保护算法的方法及装置 | |
CN102045794B (zh) | 一种基站系统间的呼叫切换方法及移动通信系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |