RU2488976C2 - Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования - Google Patents

Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования Download PDF

Info

Publication number
RU2488976C2
RU2488976C2 RU2011129116/08A RU2011129116A RU2488976C2 RU 2488976 C2 RU2488976 C2 RU 2488976C2 RU 2011129116/08 A RU2011129116/08 A RU 2011129116/08A RU 2011129116 A RU2011129116 A RU 2011129116A RU 2488976 C2 RU2488976 C2 RU 2488976C2
Authority
RU
Russia
Prior art keywords
encryption
encryption algorithm
card
network element
algorithm
Prior art date
Application number
RU2011129116/08A
Other languages
English (en)
Other versions
RU2011129116A (ru
Inventor
Цзин ЧЭНЬ
Юнфын ДЭН
Айцинь ЧЖАН
Цзюнь ЦИНЬ
Original Assignee
Хуавэй Текнолоджиз Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=43301998&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=RU2488976(C2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Хуавэй Текнолоджиз Ко., Лтд. filed Critical Хуавэй Текнолоджиз Ко., Лтд.
Publication of RU2011129116A publication Critical patent/RU2011129116A/ru
Application granted granted Critical
Publication of RU2488976C2 publication Critical patent/RU2488976C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0457Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply dynamic encryption, e.g. stream encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Изобретение относится к передаче данных, а именно к способам и устройствам для согласования алгоритмов шифрования. Техническим результатом является уменьшение количества ошибок передачи данных. Технический результат достигается тем, что заявленный способ согласования алгоритмов шифрования содержит этапы, на которых: получают информацию о том, что сменная карта мобильной станции, MS, не поддерживает первый алгоритм шифрования; удаляют первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает первый алгоритм шифрования; и отправляют список алгоритмов шифрования за исключением первого алгоритма шифрования элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования за исключением первого алгоритма шифрования и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS. 4 н. и 5 з.п. ф-лы, 9 ил.

Description

Эта заявка притязает на приоритет заявки на патент Китая № 200910090699.4, поданной в Патентное ведомство Китая 8 сентября 2009 года и озаглавленной "Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования", которая тем самым включена в настоящий документ по ссылке во всей полноте.
Область техники, к которой относится изобретение
Настоящее изобретение относится к технологии шифрования/дешифрования и, в частности, к способу, элементу сети и мобильной станции (MS) для согласования алгоритмов шифрования.
Уровень техники
В системе связи, если алгоритм шифрования разрешен сетью, но не поддерживается сменной картой мобильной станции (MS), могут произойти ошибки в процессе шифрования.
Например, обычная система GSM/GPRS использует 64-разрядный ключ шифрования. Хотя 64-разрядный ключ шифрования может обеспечить определенную безопасность, уровень безопасности является относительно низким, поскольку длина ключа мала. Таким образом, в предшествующей области техники введен 128-разрядный ключ шифрования. Система GSM определяет алгоритм шифрования A5/4 для 128-разрядного ключа шифрования. В настоящий момент карта универсального модуля идентификации абонента (USIM-карта) может поддерживать алгоритм A5/4. Однако карта модуля идентификации абонента (SIM-карта) не поддерживает алгоритм шифрования A5/4. Для MS, сменная карта которой представляет собой SIM-карту, SIM-карта не может поддерживать алгоритм шифрования A5/4. Таким образом, во время передачи данных между MS и сетью могут произойти ошибки в процессе шифрования, если используется алгоритм шифрования A5/4.
Сущность изобретения
Чтобы решить проблему в предшествующей области техники, варианты воплощения настоящего изобретения предоставляют способ, элемент сети и MS для согласования алгоритмов шифрования, с тем чтобы можно было в процессе шифрования избежать ошибок вследствие того, что сменная карта MS не поддерживает алгоритм шифрования.
В соответствии с первым аспектом настоящего изобретения способ согласования алгоритмов шифрования включает в себя этапы, на которых:
получают информацию о том, что сменная карта MS не поддерживает первый алгоритм шифрования;
удаляют первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает первый алгоритм шифрования; и
отправляют список алгоритмов шифрования за исключением первого алгоритма шифрования элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования за исключением первого алгоритма шифрования и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
В соответствии со вторым аспектом настоящего изобретения другой способ согласования алгоритмов шифрования включает в себя этапы, на которых:
если тип сменной карты MS представляет собой SIM-карту, отправляют посредством MS информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования A5/4, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS; или
если тип сменной карты MS представляет собой SIM-карту, удаляют посредством MS алгоритм шифрования A5/4 из списка алгоритмов шифрования, поддерживаемых MS, и отправляют список алгоритмов шифрования за исключением алгоритма шифрования A5/4 элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, отправленным от MS, и отправил выбранный алгоритм шифрования на MS.
В соответствии с третьим аспектом настоящего изобретения элемент опорной сети включает в себя:
блок получения, сконфигурированный, чтобы получать информацию о том, что сменная карта MS не поддерживает первый алгоритм шифрования;
блок удаления алгоритма, сконфигурированный, чтобы удалять первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией, полученной блоком получения, что сменная карта MS не поддерживает первый алгоритм шифрования; и
блок отправки, сконфигурированный, чтобы отправлять список алгоритмов шифрования за исключением первого алгоритма шифрования, обработанный блоком удаления алгоритма, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования за исключением первого алгоритма шифрования и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
В соответствии с четвертым аспектом настоящего изобретения MS включает в себя:
второй блок принятия решения, сконфигурированный, чтобы принимать решение, является ли сменная карта MS SIM-картой; и
блок обработки, сконфигурированный, чтобы: когда второй блок принятия решения принимает решение, что сменная карта MS является SIM-картой, отправлять информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования A5/4, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS; или когда второй блок принятия решения принимает решение, что сменная карта MS является SIM-картой, удалять алгоритм шифрования A5/4 из списка алгоритмов шифрования, поддерживаемых MS, и отправлять список алгоритмов шифрования за исключением алгоритма шифрования A5/4 элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, поддерживаемых MS, и отправил выбранный алгоритм шифрования на MS.
В вариантах воплощения настоящего изобретения MS отправляет информацию о возможностях MS, указывающую, что MS не поддерживает первый алгоритм шифрования, или элемент опорной сети удаляет первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети. Таким образом, можно избежать ошибки шифрования вследствие того, что сменная карта MS не поддерживает первый алгоритм шифрования.
Краткое описание чертежей
Фиг. 1 - блок-схема последовательности операций в элементе опорной сети в первом варианте воплощения способа согласования алгоритмов шифрования;
Фиг. 2 показывает процесс аутентификации в варианте воплощения настоящего изобретения;
Фиг. 3 иллюстрирует процесс сигнального взаимодействия во втором варианте воплощения способа согласования алгоритмов шифрования;
Фиг. 4 иллюстрирует процесс сигнального взаимодействия в третьем варианте воплощения способа согласования алгоритмов шифрования;
Фиг. 5 иллюстрирует процесс сигнального взаимодействия в четвертом варианте воплощения способа согласования алгоритмов шифрования;
Фиг. 6 иллюстрирует процесс сигнального взаимодействия в шестом варианте воплощения способа согласования алгоритмов шифрования;
Фиг. 7 показывает структуру элемента опорной сети в варианте воплощения настоящего изобретения;
Фиг. 8 показывает структуру элемента сети доступа в варианте воплощения настоящего изобретения; и
Фиг. 9 показывает структуру MS в варианте воплощения настоящего изобретения.
Подробное описание вариантов воплощения
Фиг. 1 является блок-схемой последовательности операций на элементе опорной сети в первом варианте воплощения способа согласования алгоритмов шифрования. Способ включает в себя следующие этапы:
Этап 101: Получить информацию о том, что сменная карта MS не поддерживает первый алгоритм шифрования.
Первый алгоритм шифрования представляет собой алгоритм шифрования, который не поддерживается сменной картой MS, но поддерживается элементом опорной сети.
Этап 102: Удалить первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает первый алгоритм шифрования.
Этап 103: Отправить список алгоритмов шифрования, разрешенных элементом опорной сети, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования, разрешенных элементом опорной сети, и с информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
Если взять в качестве примера алгоритм шифрования A5/4, процесс получения информации о том, что сменная карта MS не поддерживает первый алгоритм шифрования на этапе 101, включает в себя: получение информации о том, что сменная карта MS не поддерживает первый алгоритм шифрования в соответствии с информацией контекста безопасности MS. Например, если первый алгоритм шифрования представляет собой алгоритм шифрования A5/4, тип сменной карты MS получается в соответствии с аутентификационным вектором в информации контекста безопасности MS; если аутентификационный вектор представляет собой аутентификационную тройку, известно, что тип сменной карты MS представляет собой SIM-карту, которая не поддерживает алгоритм шифрования A5/4. Таким образом, получается информация о том, что сменная карта MS не поддерживает алгоритм шифрования A5/4. Или если часть ключа аутентификационного вектора MS включает в себя только 64-разрядный ключ шифрования, известно, что сменная карта MS не поддерживает алгоритм шифрования A5/4. Таким образом, получается информация о том, что сменная карта MS не поддерживает алгоритм шифрования A5/4.
В способе согласования алгоритмов шифрования в этом варианте воплощения после того, как получена информация о том, что сменная карта MS не поддерживает первый алгоритм шифрования, если первый алгоритм шифрования удален из списка алгоритмов шифрования, разрешенных элементом опорной сети, список алгоритмов шифрования, отправленный элементу сети доступа, не включает в себя первый алгоритм шифрования. Таким образом, элемент сети доступа не может выбрать первый алгоритм шифрования в соответствии с информацией о возможностях MS и со списком алгоритмов шифрования, разрешенных сетью. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает первый алгоритм шифрования.
Далее описывается процесс реализации настоящего изобретения в отношении конкретного сценария.
Чтобы гарантировать безопасность связи, система GSM усиливает обеспечение безопасности в следующих двух аспектах. С точки зрения сетевого доступа сеть аутентифицирует MS, которая инициирует запрос доступа, через центр аутентификации (AUC), чтобы принять решение, является ли MS легально авторизованной; с точки зрения связи система GSM шифрует информацию о пользователе, переданную по радиотракту.
Обычно процесс аутентификации инициируется следующими двумя способами:
(1) Инициирование аутентификации в соответствии с требованиям операторов. Этот способ инициирования обычно используется в сценарии, когда между сетями различных операторов выполняется роуминг, например обновление данных по зоне маршрутизации (RAU) через обслуживающий узел поддержки GPRS (SGSN) или обновление данных по зоне местоположения (LAU) через центр коммутации мобильной связи (MSC).
(2) Если опорная сеть находит, что ключ MS отличается от ключа в сети, опорная сеть инициирует процесс аутентификации. Если у MS нет допустимого ключа Kc, MS устанавливает CKSN как недопустимый. Когда MS в следующий раз инициирует соединение с управлением мобильностью (MM), например она инициирует запрос службы управления соединением (CM) или RAU, MS переносит CKSN в соответствующем сообщении уровня, не связанного с предоставлением доступа (NAS), и отправляет сообщение NAS в опорную сеть. Если опорная сеть находит, что CKSN MS недопустим, она определяет, что ключ MS отличается от ключа в сети, и затем инициирует процесс аутентификации.
Процесс аутентификации является общей частью процесса MM, в котором опорная сеть и MS прозрачно передают сигнальное сообщение верхнего уровня NAS через подсистему базовой станции (BSS). Фиг. 2 показывает процесс аутентификации в варианте воплощения данного изобретения. Процесс аутентификации включает в себя следующие этапы:
Этап 201: Если MSC не хранит аутентификационную тройку MS, MSC отправляет сообщение "отправить информацию аутентификации" (Send Authentication Info), которое переносит международный идентификационный номер мобильного абонента (IMSI) MS в домашний регистр местоположения (HLR).
Этап 202: HLR ищет аутентификационную тройку MS в соответствии с IMSI MS и отправляет подтверждение сообщения "отправить информацию аутентификации" (Send Authentication Info ACK), которое переносит найденную аутентификационную тройку. Аутентификационная тройка включает в себя случайное число (RAND), ключ шифрования (Kc) и подписанный отклик (SERS) и предоставляется посредством AUC. AUC формирует RAND случайным образом и обрабатывает RAND и уникальное значение Ki аутентификации MS посредством использования алгоритма A3. Затем AUC получает SERS сети.
Этап 203: MSC отправляет "запрос аутентификации" (Authentication Request), который переносит RAND на MS.
Этап 204: MS обрабатывает RAND и уникальное значение Ki аутентификации, сохраненное на MS, посредством использования алгоритма A3, и получает SERS MS. MS отправляет "ответ аутентификации" (Authentication Response), который переносит SERS MS в MSC.
Затем MSC отправляет SERS MS в VLR; VLR принимает решение, является ли SERS сети тем же самым, как SERS MS; если это так, MS является легальной; иначе MS является нелегальной MS, которая не авторизована. Таким образом, сеть может разорвать все соединения MM и соединения радиоресурсов (RR).
В процессе аутентификации MS помимо SERS также формирует ключ Kc шифрования посредством обработки RAND и Ki с использованием алгоритма A8. Ключ шифрования опорной сети формируется посредством AUC в процессе формирования SERS. Ключ Kc шифрования опорной сети является частью аутентификационной тройки. После того как аутентификация успешно выполнена, сеть может определить, что ключ шифрования является таким же, как Kc, вычисленный MS. Тогда сеть может впоследствии инициировать процесс шифрования.
В процессе шифрования MS согласовывает алгоритмы шифрования с сетью. Фиг. 3 иллюстрирует сигнальное взаимодействие во втором варианте воплощения способа согласования алгоритмов шифрования. Этот вариант воплощения предоставляет способ согласования алгоритмов шифрования в процессе обновления местоположения, инициированном посредством MS. Способ включает в себя следующие этапы:
Этап 301: Когда истекает периодический таймер обновления местоположения или MS перемещается через зоны местоположения, MS инициирует процесс обновления местоположения. MS инициирует процесс установления соединения RR. В этом процессе MS отправляет информацию о возможностях MS контроллеру базовой станции (BSC). Информация о возможностях MS включает в себя информацию, указывающую, что MS поддерживает алгоритм шифрования. Если MS поддерживает алгоритм шифрования A5/4 в этом варианте воплощения, информация о возможностях MS включает в себя информацию, указывающую, что MS поддерживает алгоритм шифрования A5/4. Обычно MS и сменная карта, сконфигурированная на MS, реализуют связь вместе. Тот факт, что MS поддерживает алгоритм шифрования A5/4, не означает, что сменная карта MS также поддерживает алгоритм шифрования A5/4.
Этап 302: После того как соединение RR установлено, MS отправляет "запрос обновления местоположения" (Location Updating Request) в MSC/визитный регистр местоположения (VLR) для указания информации текущего местоположения MS для сети.
Этап 303: MSC/VLR определяет, что MS должна быть аутентифицирована. Если MSC/VLR не имеет аутентификационного вектора MS, MSC/VLR может отправить сообщение "отправить информацию аутентификации" (Send Authentication Information), которое переносит IMSI MS в HLR, которому принадлежит MS.
Этап 304: HLR ищет аутентификационный вектор MS в соответствии с IMSI MS. HLR отправляет подтверждение сообщения "отправить информацию аутентификации" (Send Authentication Info ACK), которое переносит аутентификационный вектор MS в MSC. Поскольку тип сменной карты MS представляет собой SIM-карту, аутентификационный вектор, возвращенный HLR, является аутентификационной тройкой. Если тип сменной карты MS представляет собой USIM-карту, аутентификационный вектор, возвращенный HLR, является аутентификационной пятеркой. Аутентификационная пятерка включает в себя RAND, ожидаемый подписанный отклик (XRES), аутентификационный маркер (AUTN), ключ шифрования (CK) и ключ целостности (IK). Аутентификационный вектор является видом контекста информации безопасности MS.
Этап 305: MSC/VLR принимает аутентификационную тройку от HLR и инициирует процесс аутентификации для MS.
Этап 306: После того как аутентификация успешно выполнена, MSC/VLR и сеть доступа согласовывают алгоритмы шифрования. MSC/VLR принимает решение о типе сменной карты MS в соответствии с информацией контекста безопасности MS, отправленной от HLR. В этом варианте воплощения информация контекста безопасности MS представляет собой аутентификационную тройку. Поскольку HLR возвращает аутентификационную тройку, сменная карта MS представляет собой SIM-карту. Или MSC/VLR принимает решение, включает ли в себя ключ шифрования MS в информации контекста безопасности, отправленной от HLR, только 64-разрядный ключ шифрования. Если ключ шифрования MS включает в себя только 64-разрядный ключ шифрования, MSC/VLR может получить информацию о том, что сменная карта MS не поддерживает алгоритм шифрования A5/4. Поскольку алгоритм шифрования A5/4 требует 128-разрядного ключа шифрования, MSC/VLR исполняет этап 307. В ином случае MSC/VLR исполняет процесс согласования алгоритмов шифрования в предшествующей области техники, то есть он не исполняет этапы с 307 по 313. Например, если ключ шифрования включает в себя CK или IK, MSC/VLR может определить, что ключ шифрования представляет собой 128-разрядный ключ шифрования, и выполнить процесс согласования алгоритмов шифрования, относящийся к USIM-карте.
Этап 307: MSC/VLR удаляет алгоритм шифрования A5/4 из списка алгоритмов шифрования, разрешенных MSC/VLR. MSC/VLR отправляет команду режима шифрования на BSC, причем команда режима шифрования переносит 64-разрядный ключ Kc шифрования и список алгоритмов шифрования, разрешенных MSC/VLR. Список алгоритмов шифрования, отправленный из MSC/VLR, не включает в себя алгоритм шифрования A5/4. В команде режима шифрования может использоваться битовая карта для представления списка алгоритмов шифрования, разрешенных сетью. Например, поскольку алгоритм шифрования A5/4 удален, бит, соответствующий алгоритму шифрования A5/4, устанавливается равным 0, и это указывает, что алгоритм шифрования A5/4 запрещен.
Этап 308: Контроллер BSC выбирает алгоритм шифрования в соответствии со списком алгоритма шифрования, отправленным из MSC/VLR, и информацией о возможностях MS, отправленной из MS, и отправляет команду шифрования на базовую приемопередающую станцию (BTS), причем команда шифрования переносит выбранный алгоритм шифрования, ключ Kc шифрования и команду режима шифрования. Поскольку список алгоритмов шифрования, отправленный из MSC/VLR, не включает в себя алгоритм шифрования A5/4, BSC не выбирает алгоритм A5/4, даже если информация о возможностях MS указывает, что MS поддерживает алгоритм A5/4.
Этап 309: BTS пересылает команду режима шифрования MS и активирует функцию дешифрования данных в восходящем направлении.
Этап 310: После того как MS принимает команду режима шифрования, MS начинает передачу и прием данных в режиме шифрования. После выполнения действий в соответствии с командой режима шифрования MS отправляет сообщение "режим шифрования завершен" (Cipher Mode Complete) на BTS.
Этап 311: После получения сообщения "режим шифрования завершен" (Cipher Mode Complete) BTS начинает свой собственный процесс шифрования. BTS направляет сообщение "режим шифрования завершен" (Cipher Mode Complete) на BSC посредством индикации данных. Индикация данных представляет собой сообщение Abis, переданное между BSC и BTS. Интерфейс между BSC и BTS представляет собой интерфейс Abis.
Этап 312: BSC отправляет сообщение "режим шифрования завершен" (Cipher Mode Complete) в MSC, указывая, что режим шифрования завершен. Сообщение "режим шифрования завершен" (Cipher Mode Complete) переносит алгоритм шифрования, выбранный BSC. После того как процесс шифрования завершен, MS может взаимодействовать с BTS при отправке и приеме шифрованных данных на линиях радиосвязи.
Этап 313: После приема сообщения "режим шифрования завершен" (Cipher Mode Complete) MSC/VLR отправляет сообщение "обновление местоположения принято" (Location Updating Accept) MS, указывая, что запрос обновления местоположения MS завершен. Информация о местоположении MS в сети уже обновлена на текущую информацию о местоположении MS.
Как показано на Фиг. 3, BSC и BTS представляют собой элементы сети доступа, и MSC/VLR и HLR представляют собой элементы опорной сети.
Фиг. 4 иллюстрирует процесс сигнального взаимодействия в третьем варианте воплощения способа согласования алгоритмов шифрования. Процесс включает в себя следующие этапы:
Этап 401: Принять ключ шифрования, отправленный от элемента опорной сети.
Этап 402: Если ключ шифрования не соответствует первому алгоритму шифрования, выбрать алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, и отправить выбранный алгоритм шифрования на MS.
Первый алгоритм шифрования представляет собой алгоритм шифрования, который не поддерживается сменной картой MS, но поддерживается элементом опорной сети.
Например, когда первый алгоритм шифрования представляет собой алгоритм шифрования A5/4, ключ шифрования, который не соответствует первому алгоритму шифрования, может быть 64-разрядным ключом шифрования. Посредством использования способа, предоставленного в третьем варианте воплощения настоящего изобретения, независимо от того, указывает ли информация о возможностях MS, что MS поддерживает алгоритм шифрования A5/4, и независимо от того, включает ли в себя список алгоритмов шифрования, отправленный от элемента опорной сети, алгоритм шифрования A5/4, если ключ шифрования, возвращенный элементом опорной сети, является 64-разрядным ключом шифрования, элемент сети доступа выбирает алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4, поскольку алгоритм шифрования A5/4 требует 128-разрядного ключа шифрования. Таким образом, элемент сети доступа не выбирает алгоритм шифрования A5/4. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает алгоритм шифрования A5/4.
Этапы с 401 по 402 в четвертом варианте воплощения могут быть выполнены посредством элемента сети доступа, например, BSC в сети доступа.
Фиг. 5 иллюстрирует процесс сигнального взаимодействия в четвертом варианте воплощения способа согласования алгоритмов шифрования. Этот вариант воплощения предоставляет способ согласования алгоритмов шифрования в процессе обновления местоположения, инициируемом MS. Процесс включает в себя следующие этапы:
Этапы с 501 по 505 аналогичны этапам с 301 по 305 и дополнительно не описываются.
Этап 506: После того как аутентификация успешно выполнена, MSC/VLR согласовывает алгоритмы шифрования с сетью доступа. MSC/VLR отправляет команду режима шифрования на BSC, причем команда режима шифра переносит 64-разрядный ключ Kc шифрования и список алгоритмов шифрования, разрешенных MSC/VLR. В этом варианте воплощения MSC не удаляет алгоритм шифрования A5/4. Таким образом, список алгоритмов шифрования, отправленный из MSC, включает в себя алгоритм шифрования A5/4.
Этап 507: BSC выбирает алгоритм шифрования в соответствии с алгоритмом шифрования, поддерживаемым BSC, информацией о возможностях MS, списком алгоритмов шифрования, отправленным из MSC/VLR, и ключом шифрования. Поскольку ключ шифрования представляет собой 64-разрядный ключ шифрования, BSC не может выбрать алгоритм шифрования A5/4, даже если информация о возможностях MS указывает, что MS поддерживает алгоритм шифрования A5/4, и список алгоритмов шифрования, отправленный из MSC/VLR, включает в себя алгоритм шифрования A5/4. BSC должен выбрать алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4.
Этап 508: BSC отправляет команду шифрования на BTS, причем команда шифрования переносит выбранный алгоритм шифрования, ключ Kc шифрования и команду режима шифрования.
Этапы с 509 по 513 аналогичны этапам с 309 по 313 и дополнительно не описываются.
Процесс пятого варианта воплощения способа согласования алгоритмов шифрования включает в себя следующие этапы:
если тип сменной карты MS представляет собой SIM-карту, MS отправляет информацию о возможностях MS, указывающую, что MS не поддерживает первый алгоритм шифрования, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS;
или если тип сменной карты MS представляет собой SIM-карту, MS удаляет первый алгоритм шифрования из списка алгоритмов шифрования, поддерживаемых MS, и отправляет список алгоритмов шифрования за исключением первого алгоритма шифрования элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, отправленным от MS, и отправил выбранный алгоритм шифрования на MS.
Первый алгоритм шифрования может представлять собой алгоритм шифрования A5/4. Посредством использования способа согласования алгоритмов шифрования в пятом варианте воплощения настоящего изобретения, если тип сменной карты MS представляет собой SIM-карту, MS может всегда отправлять информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования A5/4, элементу сети доступа, или удалять алгоритм шифрования A5/4 из списка алгоритмов шифрования, поддерживаемых MS, прежде чем отправить список алгоритма шифрования элементу сети доступа, независимо от того, может ли MS поддерживать алгоритм шифрования A5/4. Таким образом, независимо от того, включает ли в себя список алгоритмов шифрования, разрешенных сетью, алгоритм шифрования A5/4, элемент сети доступа не может выбрать алгоритм шифрования A5/4, а выбирает алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает алгоритм шифрования A5/4.
Фиг. 6 иллюстрирует процесс сигнального взаимодействия в шестом варианте воплощения способа согласования алгоритмов шифрования. Этот вариант воплощения предоставляет способ согласования алгоритмов шифрования в процессе обновления местоположения, инициируемом MS. Процесс включает в себя следующие этапы:
Этап 701: MS принимает решение о типе сменной карты MS. Если тип сменной карты представляет собой SIM-карту, MS отправляет информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования A5/4, на BSC. Если тип сменной карты MS представляет собой USIM-карту, MS может отправить информацию о возможностях MS, указывающую, что MS поддерживает алгоритм шифрования A5/4, на BSC. MS отправляет информацию о возможностях MS в процессе установления соединения RR. Информация о возможностях MS, указывающая, что MS поддерживает алгоритм шифрования A5/4, может быть представлена в виде битовой карты. Например, если информация о возможностях MS указывает, что MS поддерживает алгоритм шифрования A5/4, бит, соответствующий алгоритму шифрования A5/4, устанавливается равным 1; если информация о возможности MS указывает, что MS не поддерживает алгоритм шифрования A5/4, бит, соответствующий алгоритму шифрования A5/4, устанавливается равным 0.
Или на этапе 701 MS может удалить алгоритм A5/4 из списка алгоритмов шифрования, поддерживаемых MS, и отправить список алгоритмов шифрования за исключением алгоритма шифрования A5/4 на BSC.
Этапы с 702 по 705 являются аналогичными этапам с 302 по 305.
Этап 706: После того как аутентификация успешно выполнена, MSC/VLR согласовывает алгоритмы шифрования с сетью доступа. MSC/VLR отправляет команду режима шифрования на BSC, причем команда режима шифрования переносит 64-разрядный ключ Kc шифрования и список алгоритмов шифрования, разрешенных MSC/VLR. В этом варианте воплощения список алгоритмов шифрования, отправленный из MSC/VLR, включает в себя алгоритм шифрования A5/4.
Этап 707: BSC выбирает алгоритм шифрования в соответствии с алгоритмами шифрования, поддерживаемыми BSC, информацией о возможностях MS, списком алгоритмов шифрования, отправленным из MSC/VLR, и ключом шифрования и отправляет команду шифрования на BTS, причем команда шифрования переносит выбранный алгоритм шифрования, ключ Kc шифрования и команду режима шифрования. Поскольку информация о возможностях MS указывает, что MS не поддерживает алгоритм шифрования A5/4, или список алгоритмов шифрования, поддерживаемых MS, не включает в себя алгоритм шифрования A5/4, BSC не может выбрать алгоритм шифрования A5/4, а выбирает алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования A5/4.
Этапы с 708 по 712 аналогичны этапам с 309 по 313 и дополнительно не описываются.
Способ, предоставленный в предыдущих вариантах воплощения настоящего изобретения, также может быть применен в других сетях, например в универсальной системе мобильной связи (UMTS). Если алгоритм шифрования, который может использоваться только посредством усовершенствованной USIM-карты, представлен в системе UMTS, система UMTS должна использовать способ согласования алгоритмов шифрования в соответствии с вариантами воплощения настоящего изобретения, чтобы воспрепятствовать MS со сменной USIM-картой использовать этот алгоритм шифрования. В этом сценарии элемент опорной сети может являться MSC, и элемент сети доступа может являться контроллером радио сети (RNC), то есть RNC может заменить BSC в вариантах воплощения настоящего изобретения. MS может представлять собой пользовательское оборудование (UE), то есть UE может заменить MS в вариантах воплощения настоящего изобретения. В этом сценарии процесс согласования алгоритмов шифрования между элементом опорной сети, элементом сети доступа и MS аналогичен предоставленному в предыдущих вариантах воплощения настоящего изобретения и дополнительно не описывается.
Фиг. 7 показывает структуру элемента опорной сети в варианте воплощения настоящего изобретения. Элемент опорной сети включает в себя блок 11 получения, блок 12 удаления алгоритма и блок 13 отправки. Блок 11 получения сконфигурирован, чтобы получать информацию о том, что сменная карта MS не поддерживает первый алгоритм шифрования. Блок 12 удаления алгоритма сконфигурирован, чтобы удалять первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает первый алгоритм шифрования. Блок 13 отправки сконфигурирован, чтобы отправлять список алгоритмов шифрования, обработанный блоком 12 удаления алгоритма, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования, разрешенных элементом опорной сети, который отправлен от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
Блок 11 получения сконфигурирован, чтобы получать информацию о том, что MS не поддерживает алгоритм шифрования A5/4, в соответствии с информацией контекста безопасности MS. В частности, блок получения может получить тип сменной карты MS в соответствии с аутентификационным вектором в информации контекста безопасности MS. Если аутентификационный вектор представляет собой аутентификационную тройку, блок получения знает, что тип сменной карты MS представляет собой SIM-карту, которая не поддерживает алгоритм шифрования A5/4; или если часть ключа аутентификационного вектора MS включает в себя 64-разрядный ключ шифрования, блок получения знает, что сменная карта MS не поддерживает алгоритм шифрования A5/4. В соответствии с этим блок 12 удаления алгоритма может быть сконфигурирован, чтобы удалять алгоритм шифрования A5/4 из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает алгоритм шифрования A5/4.
Предшествующий элемент опорной сети может представлять собой MSC или VLR.
В этом варианте воплощения при получении информации о том, что MS не поддерживает первый алгоритм шифрования, элемент опорной сети удаляет первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает первый алгоритм шифрования.
Фиг. 8 показывает структуру элемента сети доступа в варианте воплощения настоящего изобретения. Элемент сети доступа включает в себя блок 21 приема, первый блок 22 принятия решения и блок 23 выбора. Блок 21 приема сконфигурирован, чтобы принимать ключ шифрования, отправленный из опорной сети. Первый блок 22 принятия решения сконфигурирован, чтобы принимать решение, соответствует ли ключ шифрования, принятый блоком 21 приема, первому алгоритму шифрования. Блок 23 выбора сконфигурирован, чтобы: выбирать алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, когда результат принятия решения первого блока 22 принятия решения отрицателен, и отправлять выбранный алгоритм шифрования на MS.
Элемент сети доступа на Фиг. 8 может представлять собой BSC или RNC. Если элемент сети доступа представляет собой BSC, первый алгоритм шифрования может являться алгоритмом шифрования A5/4, и ключ шифрования, который не соответствует первому алгоритму шифрования, может являться 64-разрядным ключом шифрования. Если элемент сети доступа представляет собой RNC, первый алгоритм шифрования может являться алгоритмом шифрования, который может поддерживаться только усовершенствованной USIM-картой, но не поддерживается USIM-картой, и ключ шифрования, который не соответствует первому алгоритму шифрования, может являться ключом шифрования, соответствующим USIM-карте.
В этом варианте воплощения элемент сети доступа решает не выбирать первый алгоритм шифрования в соответствии с ключом шифрования MS. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает первый алгоритм шифрования.
Фиг. 9 показывает структуру MS в варианте воплощения настоящего изобретения. MS включает в себя второй блок 31 принятия решения и блок 32 обработки. Второй блок 31 принятия решения сконфигурирован, чтобы принимать решение, является ли сменная карта MS SIM-картой. Блок 32 обработки сконфигурирован, чтобы отправлять информацию о возможностях MS, указывающую, что сменная карта MS не поддерживает первый алгоритм шифрования, элементу сети доступа, когда второй блок 31 принятия решения определяет, что сменная карта MS представляет собой SIM-карту, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS; или блок 32 обработки сконфигурирован, чтобы: когда второй блок 31 принятия решения определяет, что сменная карта MS представляет собой SIM-карту, удалять первый алгоритм шифрования из списка алгоритмов шифрования, поддерживаемых MS, и отправлять список алгоритмов шифрования за исключением первого алгоритма шифрования элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме первого алгоритма шифрования, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, поддерживаемых MS, и отправил выбранный алгоритм шифрования на MS.
Первый алгоритм шифрования может представлять собой алгоритм шифрования A5/4. Информация о возможностях MS, которая указывает, что MS поддерживает алгоритм шифрования A5/4, и отправлена от блока 32 обработки, может быть представлена битовой картой. Например, если информация о возможностях MS указывает, что MS не поддерживает алгоритм шифрования A5/4, бит, соответствующий алгоритму шифрования A5/4, устанавливается равным 0.
В этом варианте воплощения MS отправляет информацию о возможностях MS, указывающую элементу сети доступа, что MS не поддерживает первый алгоритм шифрования, или список алгоритмов шифрования за исключением первого алгоритма шифрования, с тем чтобы элемент сети доступа определил не выбирать первый алгоритм шифрования. Таким образом, можно избежать ошибок шифрования вследствие того, что сменная карта MS не поддерживает первый алгоритм шифрования.
Специалистам в области техники понятно, что все этапы или часть этапов в способах в соответствии с предыдущими вариантами воплощения могут быть выполнены посредством аппаратных средств, инструктируемых программой. Программа может быть сохранена на машиночитаемом носителе, таком как постоянное/оперативное запоминающее устройство (ROM/RAM), магнитный диск и компакт-диск, предназначенный только для чтения (CD-ROM). Когда программа исполняется, вовлекаются все или часть предшествующих этапов.
Хотя техническое решение настоящего изобретения было описано через некоторые иллюстративные варианты воплощения, изобретение не ограничено такими вариантами воплощения. Очевидно, что специалисты в области техники могут внести различные модификации и изменения в изобретению без отступления от объема настоящего изобретения.

Claims (9)

1. Способ согласования алгоритмов шифрования, отличающийся тем, что содержит этапы, на которых:
получают информацию о том, что сменная карта мобильной станции, MS, не поддерживает первый алгоритм шифрования;
удаляют первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает первый алгоритм шифрования; и
отправляют список алгоритмов шифрования за исключением первого алгоритма шифрования элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования за исключением первого алгоритма шифрования и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
2. Способ по п.1, в котором:
первый алгоритм шифрования содержит алгоритм шифрования А5/4; и
получение информации о том, что сменная карта MS не поддерживает первый алгоритм шифрования, содержит этап, на котором: получают информацию о том, что сменная карта MS не поддерживает алгоритм шифрования А5/4, в соответствии с информацией контекста безопасности MS.
3. Способ по п.2, в котором получение информации о том, что сменная карта MS не поддерживает алгоритм шифрования А5/4, в соответствии с информацией контекста безопасности MS, содержит этапы, на которых:
если аутентификационный вектор в информации контекста безопасности MS представляет собой аутентификационную тройку, выясняют, что тип сменной карты MS представляет собой карту модуля идентификации абонента, SIM-карту, и дополнительно выясняют, что сменная карта MS не поддерживает алгоритм шифрования А5/4; или
если часть ключа аутентификационного вектора MS включает в себя 64-разрядный ключ шифрования, выясняют, что сменная карта MS не поддерживает алгоритм шифрования А5/4.
4. Способ согласования алгоритмов шифрования, отличающийся тем, что содержит этапы, на которых:
если тип сменной карты мобильной станции, MS, представляет собой карту модуля идентификации абонента, SIM-карту, отправляют посредством MS информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования А5/4, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, кроме алгоритма шифрования А5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS; или
если тип сменной карты MS представляет собой SIM-карту, удаляют посредством MS алгоритм шифрования А5/4 из списка алгоритмов шифрования, поддерживаемых MS, и отправляют список алгоритмов шифрования за исключением алгоритма шифрования А5/4 элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, других чем алгоритм шифрования А5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, отправленным от MS, и отправил выбранный алгоритм шифрования на MS.
5. Элемент опорной сети для согласования алгоритмов шифрования, отличающийся тем, что содержит:
блок получения, сконфигурированный, чтобы получать информацию о том, что сменная карта мобильной станции, MS, не поддерживает первый алгоритм шифрования;
блок удаления алгоритма, сконфигурированный, чтобы удалять первый алгоритм шифрования из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией, полученной блоком получения, что сменная карта MS не поддерживает первый алгоритм шифрования; и
блок отправки, сконфигурированный, чтобы отправлять список алгоритмов шифрования за исключением первого алгоритма шифрования, обработанный блоком удаления алгоритмов, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования в соответствии со списком алгоритмов шифрования за исключением первого алгоритма шифрования и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS.
6. Элемент опорной сети по п.5, в котором:
блок получения сконфигурирован, чтобы получать информацию о том, что MS не поддерживает алгоритм шифрования А5/4, в соответствии с информацией контекста безопасности MS; и
блок удаления алгоритма сконфигурирован, чтобы удалять алгоритм шифрования А5/4 из списка алгоритмов шифрования, разрешенных элементом опорной сети, в соответствии с информацией о том, что сменная карта MS не поддерживает алгоритм шифрования А5/4.
7. Элемент опорной сети по п.6, в котором:
блок получения сконфигурирован, чтобы получать информацию о том, что тип сменной карты MS представляет собой карту модуля идентификации абонента, SIM-карту, которая не поддерживает алгоритм шифрования А5/4, в соответствии с тем, является ли аутентификационный вектор в информации контекста безопасности MS аутентификационной тройкой или часть ключа аутентификационного вектора MS содержит 64-разрядный ключ шифрования.
8. Элемент опорной сети по пп.5, 6 или 7, в котором:
элемент опорной сети представляет собой центр коммутации мобильной связи, MSC, или визитный регистр местоположения, VLR.
9. Мобильная станция, MS, содержащая:
второй блок принятия решения, сконфигурированный, чтобы принимать решение, является ли сменная карта MS картой модуля идентификации абонента, SIM-картой; и
блок обработки, сконфигурированный, чтобы: когда второй блок принятия решения принимает решение, что сменная карта MS является SIM-картой, отправлять информацию о возможностях MS, указывающую, что MS не поддерживает алгоритм шифрования А5/4, элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, другой чем алгоритм шифрования А5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и информацией о возможностях MS, отправленной от MS, и отправил выбранный алгоритм шифрования на MS; или когда второй блок принятия решения принимает решение, что сменная карта MS является SIM-картой, удалять алгоритм шифрования А5/4 из списка алгоритмов шифрования, поддерживаемых MS, и отправлять список алгоритмов шифрования за исключением алгоритма шифрования А5/4 элементу сети доступа, с тем чтобы элемент сети доступа выбрал алгоритм шифрования из алгоритмов шифрования, другой чем алгоритм шифрования А5/4, в соответствии со списком алгоритмов шифрования, отправленным от элемента опорной сети, и списком алгоритмов шифрования, поддерживаемых MS, и отправил выбранный алгоритм шифрования на MS.
RU2011129116/08A 2009-09-08 2010-09-08 Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования RU2488976C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910090699.4 2009-09-08
CN2009100906994A CN102014381B (zh) 2009-09-08 2009-09-08 加密算法协商方法、网元及移动台
PCT/CN2010/076715 WO2011029388A1 (zh) 2009-09-08 2010-09-08 加密算法协商方法、网元及移动台

Publications (2)

Publication Number Publication Date
RU2011129116A RU2011129116A (ru) 2013-01-20
RU2488976C2 true RU2488976C2 (ru) 2013-07-27

Family

ID=43301998

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011129116/08A RU2488976C2 (ru) 2009-09-08 2010-09-08 Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования

Country Status (6)

Country Link
US (2) US8908863B2 (ru)
EP (1) EP2293515B1 (ru)
CN (1) CN102014381B (ru)
BR (1) BRPI1008831B1 (ru)
RU (1) RU2488976C2 (ru)
WO (1) WO2011029388A1 (ru)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011106484B4 (de) 2011-06-14 2013-05-08 T-Mobile Austria Gmbh Verfahren zum Aufbau einer verschlüsselten Verbindung, Netzvermittlungseinheit und Telekommunikationssystem
KR101873330B1 (ko) * 2011-10-04 2018-07-03 삼성전자 주식회사 암호화 제어 방법 및 이를 지원하는 네트워크 시스템과 단말기 및 단말기 운용 방법
CN103973651B (zh) * 2013-02-01 2018-02-27 腾讯科技(深圳)有限公司 基于加盐密码库的账户密码标识设置、查询方法及装置
US9935977B1 (en) * 2013-12-09 2018-04-03 Amazon Technologies, Inc. Content delivery employing multiple security levels
CN103925942B (zh) * 2014-03-18 2016-06-22 烽火通信科技股份有限公司 电子设备的防尘网检测装置及方法
CN106537960A (zh) * 2014-05-20 2017-03-22 诺基亚技术有限公司 用于密码算法协商的方法、网络元素、移动终端、系统和计算机程序产品
US9961059B2 (en) * 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
CN105828326B (zh) * 2014-07-24 2021-01-01 中兴通讯股份有限公司 一种无线局域网的接入方法、无线访问节点
US10477394B2 (en) 2014-12-22 2019-11-12 Telefonaktiebolaget Lm Ericsson (Publ) Mitigating drawbacks of ciphering failures in a wireless network
CN106658485A (zh) * 2015-07-13 2017-05-10 中国移动通信集团重庆有限公司 一种差异化加密方法、终端及系统
RU2761445C2 (ru) 2017-01-30 2021-12-08 Телефонактиеболагет Лм Эрикссон (Пабл) Способы для защиты целостности данных пользовательской плоскости
PL3596953T3 (pl) 2017-03-17 2023-10-09 Telefonaktiebolaget Lm Ericsson (Publ) Rozwiązanie dotyczące bezpieczeństwa włączania i wyłączania zabezpieczeń dla danych up pomiędzy ue a ran w 5g
CN111954208B (zh) 2017-11-17 2024-04-12 华为技术有限公司 一种安全通信方法和装置
CN110121168B (zh) 2018-02-06 2021-09-21 华为技术有限公司 安全协商方法及装置
CN110234104B (zh) * 2018-03-06 2022-04-01 中国移动通信有限公司研究院 被叫鉴权是否验证的确定方法及装置、终端及存储介质
EP3984191A1 (en) * 2019-06-17 2022-04-20 Telefonaktiebolaget Lm Ericsson (Publ) Key distribution for hop by hop security in iab networks
US11310036B2 (en) 2020-02-26 2022-04-19 International Business Machines Corporation Generation of a secure key exchange authentication request in a computing environment
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11405215B2 (en) * 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11489821B2 (en) 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
US11652616B2 (en) 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2007129928A (ru) * 2005-01-07 2009-02-20 Н-Крипт, Инк. (Jp) Система связи и способ связи

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI111433B (fi) 1998-01-29 2003-07-15 Nokia Corp Menetelmä tiedonsiirron salaamiseksi ja solukkoradiojärjestelmä
US6705529B1 (en) * 1998-11-26 2004-03-16 Nokia Mobile Phones, Ltd. Data card holder and reader therefor
BRPI9917538B1 (pt) * 1999-11-03 2016-10-11 Nokia Corp método para selecionar uma informação de confirmação de identificação usada para confirmar uma identidade de usuário, e, aparelho para executar uma seleção de uma informação de confirmação de identificação usada para confimar uma identidade de usuário
FR2809897B1 (fr) 2000-05-31 2005-04-29 Gemplus Card Int Procede de communication securisee entre un reseau et une carte a puce d'un terminal
CN1184833C (zh) 2001-12-21 2005-01-12 华为技术有限公司 一种基于移动国家码确定保密通信中加密算法的方法
CN1219407C (zh) * 2002-07-26 2005-09-14 华为技术有限公司 一种自主选择保密通信中无线链路加密算法的方法
JP4596728B2 (ja) * 2002-08-13 2010-12-15 ルネサスエレクトロニクス株式会社 外部モジュール及び移動体通信端末
CN1479480A (zh) 2002-08-26 2004-03-03 华为技术有限公司 一种协商加密算法的方法
ES2367692T5 (es) * 2003-09-26 2018-06-18 Telefonaktiebolaget Lm Ericsson (Publ) Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles
CN1332569C (zh) * 2004-04-23 2007-08-15 中兴通讯股份有限公司 协商选择空中接口加密算法的方法
CN100561917C (zh) * 2004-06-04 2009-11-18 中兴通讯股份有限公司 一种无线通信系统中选择加密算法的方法
EP1757148B1 (en) 2004-06-17 2009-04-08 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Security in a mobile communications system
US7198199B2 (en) * 2005-02-04 2007-04-03 Chun-Hsin Ho Dual universal integrated circuit card (UICC) system for a portable device
CN100433915C (zh) 2005-08-19 2008-11-12 华为技术有限公司 一种提高3g网络系统到2g网络系统切换成功率的方法
CN1937487A (zh) 2005-09-22 2007-03-28 北京三星通信技术研究有限公司 Lte中鉴权和加密的方法
EP1895706B1 (en) 2006-08-31 2018-10-31 Apple Inc. Method for securing an interaction between a first node and a second node, first node arranged for interacting with a second node and computer program
WO2009020789A2 (en) 2007-08-03 2009-02-12 Interdigital Patent Holdings, Inc. Security procedure and apparatus for handover in a 3gpp long term evolution system
CN101222322B (zh) 2008-01-24 2010-06-16 中兴通讯股份有限公司 一种超级移动宽带系统中安全能力协商的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2007129928A (ru) * 2005-01-07 2009-02-20 Н-Крипт, Инк. (Jp) Система связи и способ связи

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ETSI TS 133102 V5.7.0, Universal Mobile Telecommunications System (UMTS); 3G Security; Security Architecture (3GPP TS 33.102 version 5.7.0 Release 5), 12.2005, найдено в Интернете по адресу "http://www.etsi.org/deliver/etsi_ts/133100_133199/133102/05.07.00_60/ts_133102v050700p.pdf". *

Also Published As

Publication number Publication date
BRPI1008831B1 (pt) 2022-01-18
EP2293515B1 (en) 2013-08-21
US8908863B2 (en) 2014-12-09
US20120170746A1 (en) 2012-07-05
CN102014381A (zh) 2011-04-13
US20150104020A1 (en) 2015-04-16
US9729523B2 (en) 2017-08-08
RU2011129116A (ru) 2013-01-20
WO2011029388A1 (zh) 2011-03-17
BRPI1008831A2 (pt) 2021-07-06
CN102014381B (zh) 2012-12-12
EP2293515A1 (en) 2011-03-09

Similar Documents

Publication Publication Date Title
RU2488976C2 (ru) Способ, элемент сети и мобильная станция для согласования алгоритмов шифрования
CN110945892B (zh) 安全实现方法、相关装置以及系统
JP7006742B2 (ja) ソースコアネットワークのノード及び方法
CN101983517B (zh) 演进分组系统的非3gpp接入的安全性
US10306432B2 (en) Method for setting terminal in mobile communication system
US8731194B2 (en) Method of establishing security association in inter-rat handover
US20170359719A1 (en) Key generation method, device, and system
EP2315371A2 (en) Security protected non-access stratum protocol operation supporting method in a mobile telecommunication system
CN102484790B (zh) 多技术互通中的预注册安全支持
EP3061222B1 (en) Controlled credentials provisioning between user devices
CN110637451B (zh) 用在通信网络中的网络节点、通信设备和操作其的方法
US20100091733A1 (en) Method for handover between heterogenous radio access networks
CN103428690B (zh) 无线局域网络的安全建立方法及系统、设备
KR20040073247A (ko) 무선 통신 시스템에 보안 스타트 값을 저장하는 방법
WO2009088252A2 (en) Pre-authentication method for inter-rat handover
EP3175640A1 (en) Authentication in a radio access network
KR101467784B1 (ko) 이기종망간 핸드오버시 선인증 수행방법
CN107683615B (zh) 保护twag和ue之间的wlcp消息交换的方法、装置和存储介质
CN102970678B (zh) 加密算法协商方法、网元及移动台
EP2566205B1 (en) Notifying key method for multi-system core network and multi-system network
EP2600646B1 (en) Method for deriving key by multisystem radio access network and multisystem radio access network
WO2016015750A1 (en) Authentication in a communications network
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
WO2024145946A1 (en) Apparatus, method, and computer program