专利名称:一种自主选择加密算法实现保密通信的方法
技术领域:
本发明涉及3G系统中的保密通信技术,尤指一种通过对通信系统中终端和网络通信双方所支持的加密算法进行判断选择,以保证双方实现保密通信的自主选择加密算法的方法。
在现有的第三代宽带码分多址(3G WCDMA)移动通信系统中,终端用户设备(UE)和接入网--通用移动通信系统地面无线接入网(UTRAN)之间传输信息时,就可以进行加密保护。该保密通信过程中,双方所采用的加密算法分别存放于UE和接入网的RNC中,RNC中存储的实际是核心网(CN)所支持的加密算法,而加密算法的选择是由RNC根据UE所支持的算法能力和CN所指定的可用算法要求进行比较得到的。由于每种加密算法对应一个加密算法标识(UEA),因此,加密算法的选择是RNC通过对UEA的比较判别来确定的。按照目前WCDMA标准的规定,加密算法标识为4bit,其中,“0000”定义为不加密,“0001”定义为标准的KASUMI加密算法,而其它14个值没有定义,作为预留标识可自定义使用。
参见
图1所示,现有加密保护的具体实现过程是这样的1)首先,建立无线资源控制(RRC)连接,连接成功建立后,UE将安全信息发送至接入网中。
当用户进行业务呼叫或是用户被呼叫时,UE的高层将通知接入层建立RRC连接,即在UE和接入网的无线网络控制器(RNC)之间建立RRC连接。连接成功建立后,UE通过成功建立RRC连接的消息RRC CONN-ECTION COMPLETE,将UE的安全能力信息发送给接入网中的RNC,RNC存储相关的安全信息,其中包括UE所支持的加密算法标识。
2)核心网(CN)发起建立安全模式。
当CN发起建立安全模式时,CN中的访问寄存器(VLR)将决定选用哪些加密算法标识(UEAs),并向RNC发送保密模式命令消息SECURITYMODE COMMAND,该信息将携带UEAs和加密密钥(CK)。
3)RNC对接收到的保密模式命令的处理。
RNC根据接收的UEAs指示和存储的UE所支持的UEA指示,来选定UEA,继而RNC向UE发送信息保密模式命令消息SECURITY MODECOMMAND,该消息中将携带选定的UEA。
4)UE接收安全模式命令后的处理。
UE接收到安全模式命令后,设置本地的安全保密能力(UE securitycapability)参数为所收到的UE security capability参数,同时,向接入网的RNC发送安全模式完成消息SECURITY MODE COMPLETE,表示安全模式设置成功。
5)接入网接收安全模式完成信息。
接入网的RNC接收到安全模式完成消息后,立即向CN的VLR发送安全模式完成消息SEUCIRTY MODE COMPLETE,该消息中携带有选定的UEA。
6)安全过程成功完成。
CN中的VLR接收到安全模式完成消息后,完成自身的安全模式设置,然后等待,等到达指定时间后UE和UTRAN开始保密通信,按照选定UEA所对应的加密算法进行加解密。
由于密码应用的特殊性,出于对自己国家或自己网络信息安全性和保密性考虑,不同国家或运营商更希望使用自己单独的加密算法,以防止密钥易于被破解而造成不可预测的损失,如此,需要单独加密算法的国家或运营商除了支持标准的加密算法以外,还可以选择14个预留加密算法标识之一,作为自己独立的、自主开发的加密算法对应的标识,那么,系统就可能支持两种加密算法。在通信过程中,如果存在多个加密算法可选,则运营商会优先指定更适合当前情况的加密算法,比如说同一国家内的两个用户,双方都支持标准加密算法和本国加密算法,则在国内通信会优先指定本国加密算法;如果双方没有相同的加密算法可选,但核心网络要求必须进行加密通信时,UE则不能进行正常的通信。
但是,由于目前对于预留加密算法标识值的选用没有统一的规定,每个国家或运营商都可以任选预留标识值的其中之一,这样在移动用户漫游时,就很可能发生加密算法标识冲突的问题。比如中国运营商选用“0010”作为本国的算法标识,而另一个美国运营商也选用“0010”作为本国的算法标识,两个加密算法标识的值相同,但实际上这两个“0010”对应的加密算法是不同的,那么,当中国运营商服务的用户到美国漫游,协商加密算法时,由于加密算法标识值相同,会使双方建立正常的连接,但由于加密算法的不同,又会导致双方不能进行正常的通信。
为达到上述目的,本发明的技术方案具体是这样实现的一种自主选择加密算法实现保密通信的方法,该方法至少包括以下的步骤a.当用户进行呼叫或被呼叫时,核心网(CN)提取该用户的移动国家码(MCC),进而根据MCC设定用户标识(CI)的值;b.在该用户对应的用户设备(UE)和无线资源控制(RRC)之间建立连接,连接建立成功后,UE向接入网中的无线网络控制器(RNC)发送成功建立RRC连接消息,RNC存储该消息中包括UE所支持的加密算法标识(UEA)的相关安全信息;c.当CN发起安全模式建立过程时,CN中的访问寄存器(VLR)决定所选用的至少一个加密算法标识(UEAs),同时向RNC发送包括UEAs、加密密钥(CK)、CI信息的保密模式命令消息;d.RNC收到保密模式命令消息后,先根据消息中CN选用的UEAs和存储的UE所支持的UEA来确定保密通信的UEA当CN支持一种以上加密算法时,如果当前用户为他国用户且UE和CN都支持UEA为“0001”的标准加密算法,则选定该标准加密算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;如果当前用户为本国用户且UE和CN都支持UEA不为“0001”的一种加密算法,则选用该算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;当CN只支持标准加密算法时,如果UE也支持该标准加密算法,则直接选定该标准加密算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;UEA确定后,RNC向UE发送携带有选定UEA的保密模式命令消息;e.UE收到安全模式命令后,设置本地的安全保密能力参数为所收到的安全保密能力参数,同时,向接入网的RNC发安全模式完成消息,RNC收到该消息后,立即向CN的VLR发送带有选定UEA的安全模式完成消息;VLR收到安全模式完成消息后,完成自身的安全模式设置。
该方法进一步包括当通过用户MCC码判断当前用户为本国用户时,设置CI的值为0;当通过用户MCC码判断当前用户为他国用户时,设置CI的值为1。
该方法也可进一步包括在CN处预先设置并存储一个MCC号码表,符合号码表的视为本国用户,设置相应的CI值为0;不符合号码表的为他国用户,设置相应的CI值为1。其中,所述的MCC号码表用于存储与本国用户采用完全相同加密算法的外国用户的MCC码。
上述CI的长度为1bit。
由上述方案可以看出,本发明的关键在于增加用户标识(CI)比特,并增加对该CI和当前用户及网络所支持的加密算法的判断,当为国外用户且用户和网络都支持标准加密算法时,或为国内用户且用户和网络均支持标准加密算法以外的同一种自主开发的加密算法时,可进行正常的保密通信;否则,双方不能进行保密通信。
因此,本发明所提供的自主选择加密算法实现保密通信的方法,具有以下的优点和特点1)本发明的方法不仅能够满足国内保密通信时采用单独加密算法的需求,又能保证用户通过支持标准的加密算法实现漫游时的保密通信;彻底解决了移动用户漫游时,由于加密算法标识冲突引起的不能进行正常保密通信的问题,进而可为用户提供更好的服务。
2)虽然增加了CN对UE移动国家码(MCC)的解析步骤,但由于CN原来就必须解析UE的MCC码,因此不会增加额外的运行开销。
3)CN在Iu接口向RNC所发的SECURITY MODE COMMAND消息中增加了参数CI,但该参数占用比特极少,因而对设备的实现影响极小。
4)在RNC中增加了对接收Iu接口的SECURITY MODE COMMAND命令后的额外选择判断,但该判断设计简单,易于实现,而且也不会影响只采用标准算法作为加密算法时的运营系统应用。
由于RNC要对UE支持的加密算法和CN支持的加密算法进行比较,以选定双方通信所用的加密算法,因此,为了保证漫游时不发生加密算法冲突,在比较过程中,加入对各种可能出现情况的判定及相应的加密算法选择即可。又由于在各种情况的判定中需要了解当前用户的所属国家或运营商,所以要在CN发往接入网的消息中,增加一个判断用户所属运营商或国家的标识,根据该标识及当前用户支持的加密算法,RNC便可选定要采用的加密算法。
本发明方法实现的前提为UE和网络均支持标准加密算法,且网络要求必须加密,即UEA不为“0000”。另外,如果有本国算法的要求,RNC必须根据用户标识,判断是国内国外用户,进而选择合法的加密算法,且如果CN同时支持标准加密算法和本国自主开发的加密算法时,必须按自主开发的加密算法在国内进行保密通信。
参见图2所示,本发明方法的具体实现过程至少包括以下的步骤1)当用户进行呼叫或被呼叫时,CN提取出该用户的MCC码,进而判断该用户是本国用户还是国外用户。
2)对于该进行呼叫或被呼叫的用户,UE的高层将通知接入层建立RRC连接,即在UE和RNC之间建立RRC连接。当连接建立成功后,UE通过成功建立RRC连接的消息RRC CONNECTION COMPLETE,将自身安全能力的信息发送给RNC,RNC存储相关安全信息,其中包括UE所支持的加密算法标识。
3)当CN发起安全模式建立过程时,CN中的VLR将决定选用哪些加密算法标识(UEAs),同时向RNC发送保密模式命令消息SECURITY MODECOMMAND,该消息中将携带UEAs和CK以及新增的CI信息,本实施例中该CI的长度为1bit,当然,该CI的长度也可以根据实际应用的需要占用多个比特。当通过用户MCC码判断当前用户为本国用户时,CI置为0;当通过用户MCC码判断当前用户为他国用户时,CI置为1。
4)RNC收到保密模式命令消息后,先根据接收的UEAs指示和存储的UE所支持的UEA指示,来选定保密通信所用的UEA。该选定过程包括两种情况a.如果CN支持一种以上加密算法,则主要分为两种情况a1.当接收的CI值为1时,如果UE和CN都支持“0001”标识的标准加密算法,则选定该标准加密算法作为保密通信所用的加密算法;否则,认为没有合法的加密算法,中断通信连接;a2.当接收的CI值为0时,如果UE和CN都支持不为“0001”标识的一种加密算法,则选用该算法作为保密通信所用的加密算法;否则,认为没有合法的加密算法,中断通信连接。
在a1的情况下,如果当前用户是他国用户,但该用户的所属国或所属运营商采用与漫游地完全相同的加密算法进行保密通信,比如说中国用“0011”标识对应的加密算法,M国是中国的近邻,为省去自主开发算法的麻烦,也直接选用中国所用的加密算法,那么,M国用户到中国漫游时,应该可以正常保密通信,而按a1的情况又不支持其通信。为避免上述情况发生,可以在核心网CN处对MCC码进行处理,例如在CN处预先设置并存储一个MCC号码表,该号码表中包括所有采用与本国相同加密算法的他国MCC码。设置CI值时,先查找MCC号码表,符合号码表的均视为国内用户,设置其对应的CI值为0;不符合号码表的视为国外用户,设置其对应的CI值为1。
b.如果CN只支持标准加密算法,即CN发送的保密模式命令消息SECURITY MODE COMMAND中只包含“0001”一种标识的加密算法,且UE支持“0001”标识的加密算法,则不需判别CI的值,而直接采用标准算法作为保密通信所用的加密算法。
当UEA确定后,RNC向UE发送保密模式命令消息SECURITY MODECOMMAND,该消息中携带有选定的UEA。
5)UE接收到安全模式命令后,根据消息中的安全保密信息设置本地的UE security capability参数为所收到的UE security capability参数,同时,向接入网的RNC发送安全模式完成消息SECURITY MODE COMPLETE,表示安全模式设置成功。
6)接入网的RNC接收到安全模式完成消息后,立即向CN的VLR发送安全模式完成消息SEUCIRTY MODE COMPLETE,该消息中携带有选定的UEA。
7)CN中的VLR接收到安全模式完成消息后,完成自身的安全模式设置,然后等待,等到达指定时间后UE和UTRAN开始保密通信,并按照选定UEA所对应的加密算法进行加解密。
权利要求
1.一种自主选择加密算法实现保密通信的方法,其特征在于该方法至少包括以下的步骤a.当用户进行呼叫或被呼叫时,核心网(CN)提取该用户的移动国家码(MCC),并根据MCC码设定用户标识(CI)值;b.在该用户对应的用户设备(UE)和无线资源控制(RRC)之间建立连接,连接建立成功后,UE向接入网中的无线网络控制器(RNC)发送成功建立RRC连接消息,RNC存储该消息中包括UE所支持的加密算法标识(UEA)的相关安全信息;c.当CN发起安全模式建立过程时,CN中的访问寄存器(VLR)决定所选用的至少一个加密算法标识(UEAs),同时向RNC发送包括UEAs、加密密钥(CK)、CI信息的保密模式命令消息;d.RNC收到保密模式命令消息后,先根据消息中CN选用的UEAs和存储的UE所支持的UEA来确定保密通信的UEA当CN支持一种以上加密算法时,如果当前用户为他国用户且UE和CN都支持UEA为“0001”的标准加密算法,则选定该标准加密算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;如果当前用户为本国用户且UE和CN都支持UEA不为“0001”的一种加密算法,则选用该算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;当CN只支持标准加密算法时,如果UE也支持该标准加密算法,则直接选定该标准加密算法作为保密通信的加密算法;否则,认为没有合法的加密算法,中断通信连接;UEA确定后,RNC向UE发送携带有选定UEA的保密模式命令消息;e.UE收到安全模式命令后,设置本地的安全保密能力参数为所收到的安全保密能力参数,同时,向接入网的RNC发安全模式完成消息,RNC收到该消息后,立即向CN的VLR发送带有选定UEA的安全模式完成消息;VLR收到安全模式完成消息后,完成自身的安全模式设置。
2.根据权利要求1所述的方法,其特征在于该方法进一步包括当通过用户MCC码判断当前用户为本国用户时,设置CI的值为0;当通过用户MCC码判断当前用户为他国用户时,设置CI的值为1。
3.根据权利要求1所述的方法,其特征在于该方法进一步包括在CN处预先设置并存储一个MCC号码表,符合号码表的为本国用户,设置相应的CI值为0;不符合号码表的为他国用户,设置相应的CI值为1。
4.根据权利要求3所述的方法,其特征在于所述的MCC号码表用于存储与本国用户采用完全相同加密算法的外国用户的MCC码。
5.根据权利要求1、2或3所述的方法,其特征在于所述CI的长度为1bit。
全文摘要
本发明公开了一种自主选择加密算法实现保密通信的方法,其关键在于增加用户标识(CI)比特,同时增加对该CI和当前用户及网络所支持加密算法的判断当核心网(CN)支持一种以上加密算法时,如果CI值为1且用户设备(UE)和CN都支持标准加密算法,则选定该标准加密算法为通信的加密算法;否则,中断通信连接;如果CI值为0且UE和CN支持同一种自主开发的非标准加密算法,则选用该加密算法;否则,中断通信连接;当CN只支持标准加密算法时,如果UE支持该标准加密算法,则直接选定该标准加密算法;否则,中断通信连接。该方法使用户在任何地方均可采用有效的加密算法进行保密通信,并满足所在地自主选择算法的需求,进而保证用户利益和服务质量。
文档编号H04L9/00GK1426185SQ0114422
公开日2003年6月25日 申请日期2001年12月13日 优先权日2001年12月13日
发明者郑志彬 申请人:华为技术有限公司