CN1744492A - 一种基于国家码确定移动通信中密码算法的方法 - Google Patents
一种基于国家码确定移动通信中密码算法的方法 Download PDFInfo
- Publication number
- CN1744492A CN1744492A CN 200410075370 CN200410075370A CN1744492A CN 1744492 A CN1744492 A CN 1744492A CN 200410075370 CN200410075370 CN 200410075370 CN 200410075370 A CN200410075370 A CN 200410075370A CN 1744492 A CN1744492 A CN 1744492A
- Authority
- CN
- China
- Prior art keywords
- algorithm
- core net
- national code
- cryptographic algorithm
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种基于国家码确定移动通信中密码算法的方法,该方法包括:预先在核心网(CN)中设置一个国家码(CC)表,存储所有本地密码算法的CC码;当用户设备(UE)发起呼叫或者被呼叫时,CN从其本身产生的SCCP地址中得到CC码,或者CN将从当前用户的国家移动用户识别码(IMSI)中解析出的移动国家码(MCC)进行映射得出CC码;CN将得到或者映射得出的当前用户的CC码与CC码表中的元素逐个进行比较,如果有相同的,则CN选择本地密码算法作为加密通信许可的密码算法;如果没有相同的或者CC码表为空,则CN选择一种许可使用的标准密码算法作为加密通信许可的密码算法。本方法使得国际标准密码算法和本地算法可以并存,并且不影响信令流程。
Description
(一)技术领域
本发明涉及一种第三代移动通信(3G)系统加密通信中的密码算法,尤其是一种利用国家码(CC)由核心网(CN)来确定加密通信中密码算法的方法。
(二)背景技术
第三代移动通信(3G)系统的安全是当前研究的热点之一。它是3G系统正常运行和管理的基本保障,关系到用户和运营商的切身利益及信息安全。3G系统的信息安全将会直接影响到3G系统的实用化和推广使用。
3G系统面临着复杂多样的安全威胁和攻击,尤其是在移动用户终端(UE)和无线网络控制器(RNC)之间的空中接口是3G中的一个重要攻击点。攻击主要体现在以下几个方面:第一,对非授权数据的非法获取,基本手段包括对用户业务的窃听、对信令与控制数据的窃听、伪装网络实体截取用户信息以及对用户流量进行主动与被动分析;第二,对数据完整性的攻击,主要是对系统无线链路中传输的业务与信令、控制消息进行篡改,包括插入、修改、删除等;第三,拒绝服务攻击,如入侵者可能通过物理方法或通过引入特殊的协议从而阻塞用户业务、信令数据或控制数据在空中接口上传输,或伪装成通信参与者的拒绝业务。第四,对业务的非法访问攻击,攻击者伪装其他合法用户身份,非法访问网络,或切入用户与网络之间,进行中间攻击;第五,主动用户身份捕获攻击,攻击者伪装成服务网络,对目标用户发身份请求,从而捕获用户明文形式的永久身份信息;第六,对目标用户与攻击者之间的加密流程进行压制,使加密流程失效。
基于以上原因,UE和RNC之间的空中接口的信息安全就变得十分重要,需要对空中接口的信息进行加密保护。对信息进行加密保护就是在通信双方采用密码算法,发送方将要发送的数据按照一定的密码算法加密后发送,接收方收到后再按照一定的密码算法解密后使用。并且,由于空中接口的多数信令信息是非常敏感的,因此信令信息除了加密保护外,还需要得到完整性保护。为此,从事第三代移动通信标准研究的国际标准化组织——第三代协作项目组织(3GPP,3rd Generation Partnership Project)在其制定的第三代移动通信标准中,为空中接口的信息安全制定了国际标准密码算法。
根据3GPP的规定,UE和RNC之间的加密保护包括对信令和数据的加密和对信令的完整性保护。3GPP在其规范里共规定了15种UEA算法,并且为每一种算法分配了一个标识符,分别为UEA1到UEA15,UEA1为KASUMI算法,UEA0为不加密,其余未定;3GPP在其规范里共规定了16种UIA算法,并且也为每一种算法分配了一个标识符,分别为UIA0到UIA15,其中UEA1为KASUMI算法,其余未定。
3GPP虽然规定了上述多种密码算法,具体使用哪一种密码算法需要进行协商确定。数据和信令的加密算法协商和信令的完整性算法协商都是通过UE和CN的安全协商机制实现的。
图1描述了现有技术中3GPP规范空中接口选择密码算法的协商机制,其具体实现过程为:
(1)UE在开机时会发送给RNC一种携带“安全能力”参数的无线资源控制(RRC)消息,上述的“安全能力”参数表明由UE支持的空中接口密码算法。RNC收到上述RRC消息后存储该UE支持的密码算法信息。
(2)UE发送给核心网(CN)一个“初始层3请求消息”,随后CN启动密码算法协商过程,CN决定许可使用何种密码算法并将许可使用的加密算法标识符和完整性算法标识符在“安全模式命令消息”中按照优先顺序的方式返回给RNC;
(3)RNC收到上述的加密算法标识符和完整性算法标识符以后,将来自UE的“安全能力”中的参数和上述来自CN的许可使用的密码算法进行比较,按照优先顺序选择共有的一个算法,该共有算法将被作为空中接口密码算法供用户使用。然后RNC将使用选定的共有算法通过“安全模式命令消息”通知UE;
(4)UE在本机里面将上述的共有算法设置为本机所使用的密码算法,再通过一条“安全模式结束消息”告知RNC算法设置成功。
(5)RNC收到上述“安全模式结束消息”后,向核心网发送另外一条“安全模式命令消息”,表示协商过程结束。
如上所述,3GPP规定了国际标准的密码算法,即KASUMI算法,其标识符为“UEA1、UIA1”。为了支持全球范围内的国际漫游,所有国家的UE和RNC都应当支持3GPP的国际标准密码算法。
另一方面,由于加密保护的特殊性,出于对自己国家或者自己网络信息性和安全性的考虑,不同的国家往往希望在自己本国使用不同于国际标准密码算法的空中接口算法,下文中将这种自己本国使用的算法称作本地算法。因为只有当UE和RNC选择了同样的密码算法,UE和RNC才能在空中接口进行加密通信以及信令完整性保护,因此本地算法的存在将导致以下两方面的问题:
(1)用户国际漫游时受到限制。如果国内手机用户和国内RNC都不能使用3G标准密码算法而必须使用自主开发的密码算法,就会导致国际漫游受到限制,即:
a.国内用户手机到国外使用时,由于国外RNC没有对应的密码算法,国内手机用户在国外不能获得3G服务。
b.国外用户手机到国内使用时,由于国外用户手机没有国内的密码算法,国外手机用户在国内也不能获得3G服务。
(2)国内设备制造商难以开拓国际市场。即国内设备制造商开拓国际市场时3G系统必须实现国际标准密码算法,如果不许可生产国外标准密码算法,则国内制造商生产的3G设备不能满足国际市场的要求。同样,如果国外制造商提供的3G设备没有国内要求的密码算法,则3G设备同样不可用,除非不提供空中接口安全功能。
(三)发明内容
本发明的目的是提供一种基于国家码确定移动通信中密码算法的方法,使得用户可以在任何地方通过有效的密码算法进行加密通信,并且无需改变目前信令流程。
为达到上述目的,本发明的技术方案是这样实现的:一种基于国家码确定移动通信中密码算法的方法,该方法至少包含以下步骤:
(1)预先在核心网(CN)中设置一个国家码(CC)表,在该国家码(CC)表中存储所有采用相同本地算法的国家的国家码(CC);
(2)当用户设备(UE)发起呼叫或者被呼叫时,该用户设备(UE)发送初始层3要求消息给上述核心网(CN),上述核心网(CN)从其本身产生的该用户设备信令连接控制部分(SCCP)地址中得到国家码(CC),或者上述核心网(CN)将从当前用户的国家移动用户识别码(IMSI)中解析出的移动国家码(MCC)进行映射得出当前用户的国家码(CC);
(3)如果上述核心网(CN)中的国家码(CC)表为空,则该核心网(CN)直接选择一种许可使用的标准密码算法作为加密通信许可的密码算法;否则,该核心网(CN)将得到或者映射得出的当前用户的国家码(CC)与国家码(CC)表中的元素逐个进行比较,如果当前用户的国家码(CC)与该核心网(CN)中国家码(CC)表中的某个国家码(CC)相同,则该核心网(CN)选择本地密码算法作为加密通信许可的密码算法;如果当前用户的国家码(CC)与该核心网(CN)中国家码(CC)表中的所有国家码(CC)均不相同,则该核心网选择一种许可使用的标准密码算法作为加密通信许可的密码算法。
本发明还可以包括,上述核心网(CN)将选择的密码算法对应的加密算法标识符和完整性算法标识符通过消息发给无线网络控制器(RNC);上述无线网络控制器(RNC)将确定空中接口密码算法并通过消息发给上述的用户设备(UE),双方开始采用该选定的密码算法进行加密通信。
本发明的核心在于:在核心网(CN)中设置一个国家码(CC)表,根据该国家码(CC)表在核心网中确定进行加密通信的密码算法。
可见,本发明所提供的基于国家码确定移动通信中密码算法的方法具有以下优点:
(a)本发明解决了核心网(CN)为不同国家用户选择不同密码算法的问题,该问题在3GPP中尚未提及。采用本发明,可以避免用户的本地密码算法与国际漫游之间存在的冲突,使用户在国际漫游时仍然可以用其原始的算法接入被访问的PLMN(公共陆地移动网)。
(b)本发明可以保证多个采用相同本地算法的国家和运营商之间的加密通信。
(c)CN无需改变目前的信令流程就可以获得用户的国家码(CC),实现简单、方便。
(d)国家码在移动网络和PSTN中广为使用,普通公众对国家码的概念极为熟悉,便于必要时对公众的理解和解释。
(四)附图说明
图1是现有技术中3GPP规范空中接口选择密码算法的协商机制。
图2是本发明确定密码算法的方法流程图。
(五)具体实施方式
下面结合附图对本发明进行详细描述。
本发明实现的前提为:如果标准中定义了多种许可的标准密码算法时,为了支持在全球所有国家的国际漫游,要求系统支持所有的标准密码算法,这下是现有所有3G移动通信系统中必须满足的条件。
对于具有特殊密码算法要求的国家或运营商系统,除了支持上述所有标准密码算法以外,核心网(CN)还必须支持至少一套本地的非标准密码算法。而且对于必须采取特殊非标准密码算法的系统用户,提供服务的终端和接入网中都必须同时拥有所有标准密码算法和该非标准密码算法。
在上述假设的基础上,进一步假设分给中国本地密码算法的加密算法标识符为UEA2,分给中国本地密码算法的完整性算法标识符为UIA2。在中国的核心网(CN)中存在如表1所示的预先设置的国家码(CC)表。
表1 中国的核心网(CN)中与先设置的国家码(CC)表
| 国家码 | 加密算法(UEA) | 完整性算法(UIA) | 标注 |
| 86 | UEA2、UEA0 | UIA2 | UEA2---中国本地加密算法;UEA0---不加密 |
| 其他国家的国家码 | UEA1、UEA0 | UIA1 | UEA1---KASUMI算法;UIA1---KASUMI算法 |
3G识别号码里与本发明有关的是两个:分别是移动台的国际身份号码(MSISDN)和国际移动用户识别码(IMSI)。移动台的国际身份号码ISDN(MSISDN)是在公用交换电话网编号计划中唯一地识别移动电话的鉴约号码,其结构为:MSISDN=CC+NDC+SN,其中CC为国家码即在国际长途电话通信网中的号码,NDC为国内目的地码,SN为用户号码。例如,一个用户设备的MSISDN为8613922234567,则CC为86,139222是NDC,NDC中前三位用于识别网号、后三位用于识别归属区,34567是用户号码。
国际移动用户识别码(IMSI)是唯一地识别3G PLMN网中某一用户的信息,其结构为:IMSI=MCC+MNC+MSIN,其中MCC为移动网的国家号码(与CC不同),MNC为移动网号,MSIN为移动台识别号。
实施例1:
用户A是中国移动通信公司的WCDMA系统用户,该用户A有一个WCDMA终端设备。按照中国移动终端的需求,用户A的终端既支持中国本地加密算法及中国本地完整性算法,也支持KASUMI加密算法(即UEA1)和KASUMI完整性算法(即UIA1)。用户A持有的该终端的移动用户ISDN号码(MSISDN,Mobile Subscriber ISDN Number)是8613910211724,该用户的国际移动用户识别码(IMSI,International Mobile Subscriber Identity)是460 001234567891。此时会有如下两种情况发生。
本实施例的第一种情况:
(1)用户A在中国打开其终端设备,上述终端设备在第一次定位到核心网(CN)时,发送安全能力信息到RNC,表明该终端设备能够支持“UEA2、UEA1、UIA2、UIA1”;并将上述终端设备的IMSI发送给核心网(CN);
(2)核心网(CN)通过以下两种方法之一获得用户A的终端设备的国家码(CC):
第一种方法,也是在通常的处理过程中,核心网(CN)从低层的SCCP地址中获得国家码86;
第二种方法,将IMSI中的前三位,即移动国家码460翻译成国家码86;
(3)根据预先设置在核心网(CN)中的国家码(CC)表,核心网按顺序选择“UEA2,UEA0”和“UIA2”,并将选择结果返回给RNC;
(4)RNC从来自终端设备的“安全能力”信息提及的算法中和来自核心网(CN)的优选算法中选择公共的算法,即UEA2和UIA2被选为空中接口中使用的算法;
(5)在随后的过程中RNC和终端设备将使用UEA2和UIA2密码算法进行通信。
上述过程即意味着中国用户在中国使用中国本地密码算法。
本实施例的第二种情况:
上述中国移动用户A去到德国,则会有以下情况发生:
(1)用户A在德国打开其终端设备,上述终端设备在第一次定位到Vodaphone公司的核心网(CN)时,发送安全能力信息到RNC,该信息表明其“能够支持UEA2、UEA1、UIA2、UIA1”;并将上述终端设备的IMSI发送给上述的Vodaphone核心网(CN);
(2)在Vodaphone核心网(CN)中没有预先设置的国家码(CC)表。根据当前的3GPP标准,Vodaphone核心网(CN)按顺序选择“UEA1,UEA0”和“UIA1”,并将选择结果返回给RNC;
(3)RNC从来自终端设备的“安全能力”信息提及的算法中和来自核心网(CN)的优选算法中选择公共的算法,即UEA1和UIA1被选为空中接口中使用的算法;
(4)在随后的过程中RNC和终端设备将使用UEA1和UIA1密码算法进行通信。
上述过程即意味着中国用户在漫游到其他需要使用KASUMI算法的国家时使用KASUMI密码算法。
实施例2:
用户B是德国Vodaphone公司的WCDMA系统用户,该用户B有一个WCDMA终端设备。按照该终端设备支持KASUMI加密算法和KASUMI完整性算法。上述用户B持有的终端设备的移动用户ISDN号码(MSISDN,Mobile Subscriber ISDN Number)是49 01721234567,该用户的国际移动用户识别码(IMSI,International Mobile Subscriber Identity)是262 021234567891。
上述德国用户B来到中国,则会有以下情况发生:
(1)用户B在中国打开其终端设备,上述终端设备在第一次定位到核心网(CN)时,发送安全能力信息到RNC,该信息表明其“能够支持UEA1、UIA1”;并将上述终端设备的IMSI发送给核心网(CN);
(2)核心网(CN)通过以下两种方法之一获得用户B的终端设备的国家码(CC)49:
第一种方法,也是在通常的处理过程中,核心网(CN)从低层的SCCP地址中获得国家码;
第二种方法,将IMSI中的前三位,即移动国家码262翻译成国家码49;
(3)根据预先设置在核心网(CN)中的国家码(CC)表,核心网按顺序选择“UEA1,UEA0”和“UIA1”,并将选择结果返回给RNC;
(4)RNC从来自终端设备的“安全能力”信息提及的算法中和来自核心网(CN)的优选算法中选择公共的算法,即UEA1和UIA1被选为空中接口中使用的算法;
(5)在随后的过程中RNC和终端设备将使用UEA1和UIA1密码算法进行通信。
由上述两个实施例可见,采用本发明的基于国家码确定移动通信中密码算法的方法,即可以解决漫游时本地密码算法和标准密码算法之间的选择问题,又可以保证各国用户在不同的地域选择不同密码算法进行通信,同时无需更改信令流程,也善于用户理解。
Claims (2)
1.一种基于国家码确定移动通信中密码算法的方法,其特征在于,该方法至少包含以下步骤:
(1)预先在核心网(CN)中设置一个国家码(CC)表,在该国家码(CC)表中存储所有采用相同本地算法的国家的国家码(CC);
(2)当用户设备(UE)发起呼叫或者被呼叫时,该用户设备(UE)发送初始层3要求消息给上述核心网(CN),上述核心网(CN)从其本身产生的该用户设备信令连接控制部分(SCCP)地址中得到国家码(CC),或者上述核心网(CN)将从当前用户的国家移动用户识别码(IMSI)中解析出的移动国家码(MCC)进行映射得出当前用户的国家码(CC);
(3)如果上述核心网(CN)中的国家码(CC)表为空,则该核心网(CN)直接选择一种许可使用的标准密码算法作为加密通信许可的密码算法;否则,该核心网(CN)将得到或者映射得出的当前用户的国家码(CC)与国家码(CC)表中的元素逐个进行比较,如果当前用户的国家码(CC)与该核心网(CN)中国家码(CC)表中的某个国家码(CC)相同,则该核心网(CN)选择本地密码算法作为加密通信许可的密码算法;如果当前用户的国家码(CC)与该核心网(CN)中国家码(CC)表中的所有国家码(CC)均不相同,则该核心网选择一种许可使用的标准密码算法作为加密通信许可的密码算法。
2.根据权利要求1所述的方法,其中:上述核心网(CN)将选择的密码算法对应的加密算法标识符和完整性算法标识符通过消息发给无线网络控制器(RNC);上述无线网络控制器(RNC)将确定空中接口密码算法并通过消息发给上述的用户设备(UE),双方开始采用该选定的密码算法进行加密通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410075370 CN1744492A (zh) | 2004-08-31 | 2004-08-31 | 一种基于国家码确定移动通信中密码算法的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410075370 CN1744492A (zh) | 2004-08-31 | 2004-08-31 | 一种基于国家码确定移动通信中密码算法的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1744492A true CN1744492A (zh) | 2006-03-08 |
Family
ID=36139713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410075370 Pending CN1744492A (zh) | 2004-08-31 | 2004-08-31 | 一种基于国家码确定移动通信中密码算法的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1744492A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016058388A1 (zh) * | 2014-10-16 | 2016-04-21 | 中兴通讯股份有限公司 | 一种短消息发送方法、短消息中心及存储介质 |
-
2004
- 2004-08-31 CN CN 200410075370 patent/CN1744492A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016058388A1 (zh) * | 2014-10-16 | 2016-04-21 | 中兴通讯股份有限公司 | 一种短消息发送方法、短消息中心及存储介质 |
| CN105578432A (zh) * | 2014-10-16 | 2016-05-11 | 中兴通讯股份有限公司 | 一种短消息发送方法及短消息中心 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1184833C (zh) | 一种基于移动国家码确定保密通信中加密算法的方法 | |
| CN1190717C (zh) | 有选择地容许移动终端访问分组数据网络的方法及相关装置 | |
| CN1172469C (zh) | 一种自主选择加密算法实现保密通信的方法 | |
| Norrman et al. | Protecting IMSI and user privacy in 5G networks | |
| CN1203650C (zh) | 用于保密通信的方法和设备 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| CN1185903C (zh) | 确保切换之后的加密通信的系统 | |
| US20060141987A1 (en) | Identification of a terminal with a server | |
| CN1369183A (zh) | 在通信网中检验第一通信方的真实可靠性的方法和装置 | |
| CN1969580A (zh) | 移动通信系统中的安全 | |
| CN101053273A (zh) | 用于采用修改的消息认证代码的相互认证的方法、设备和系统 | |
| CN1764107A (zh) | 在建立对等安全上下文时验证移动网络节点的方法 | |
| CN104768145A (zh) | 遮掩临时用户设备身份 | |
| CN1662092A (zh) | 高速分组数据网中接入认证方法以及装置 | |
| CN1268150C (zh) | 在运营的移动无线网和终端设备之间建立连接的方法 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| CN1852595A (zh) | 一种无线通信终端接入鉴权方法 | |
| CN1973516A (zh) | 用于存储互配无线局域网临时身份的方法和系统 | |
| CN1913686A (zh) | 一种移动终端的呼叫方法 | |
| CN1208986C (zh) | 用于向共用一组调制解调器的用户群提供接入无线通信业务的系统和方法 | |
| CN1219407C (zh) | 一种自主选择保密通信中无线链路加密算法的方法 | |
| CN100346668C (zh) | 一种密钥更新协商方法 | |
| CN1601943A (zh) | 一种选择安全通信算法的方法 | |
| CN1744492A (zh) | 一种基于国家码确定移动通信中密码算法的方法 | |
| CN1921661A (zh) | Gsm终端的认证处理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20070105 Address after: Building 14, No. 51, Jiuxianqiao Road, Beijing, Chaoyang District Applicant after: SIEMENS General Technology (Beijing) Co., Ltd. Address before: No. 7 South Central Road, Chaoyang District, Beijing, Wangjing Applicant before: SIEMENS (China) Co., Ltd. |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20070202 Address after: Building 14, No. 51, Jiuxianqiao Road, Beijing, Chaoyang District Applicant after: Siemens Communication Networks Ltd., Beijing Address before: No. 7 South Central Road, Chaoyang District, Beijing, Wangjing Applicant before: SIEMENS (China) Co., Ltd. |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20060308 |