专利名称:一种协商加密算法的方法
技术领域:
本发明涉及移动通信和数据通信领域,尤其涉及在移动通信和数据通信中通过协商加密算法实现保密通信的方法。
例如,在最典型的数据通信安全领域,IPSec作为保证全球互连网络的安全机制得到广泛的应用,通过IPSec可以实现不同网络设备之间的加密通信,为了保证不同设备之间的加密通信能够顺利进行,IPSec就定义了几种标准加密算法,当通信时通过安全联盟SA协商双方的加密算法,IPSec中定义了DES、3DES、AES这些算法作为公用标准加密算法,MD5、SHA-1这些算法为公用标准签名算法。
同样在无线3G通信系统中,用户信息加密采用的算法也必须使用标准算法,而不允许使用非标准加密算法,标准算法通过安全协议协商,例如目前3G通信中定义了Kasumi标准算法。
由于一些国家信息安全管理政策的原因,在本国应用的通信系统中不允许使用这种其他国开发的标准加密算法,例如上述提到的各类算法都不允许在设备中使用,为了符合一些在本国内应用的需求,某些制造商会开发本国许可的特殊加密算法,然后在应用时去替代标准算法。这样导致一些设备中存在特殊的算法标识,由于没有标准化,容易导致不同制造商的设备难以进行有效的联盟协商,导致设备间不能互连互通,给应用带来很大的问题。经常的结果是这类需要互通的设备都采用同一厂家的设备,或者不同制造商之间必须进行协商,因此不适于通信网络设备的全球化应用发展趋势。
在通信领域中,不同设备之间的通信通过协议的协商来进行,因此当在不同设备之间要进行保密通信时,也必须通过安全协议来协商相互之间的安全参数,这些安全参数可以包括安全算法、安全密钥、安全开始时间、随机数等等,不同系统、不同需求的安全参数不尽相同,当某一系统中不是使用某一固定加密算法,那么必须有加密算法的协商。
因此从全球安全标准化应用考虑以及某些国家安全应用的特殊需求考虑,现有技术基本上难以满足要求。
一种协商加密算法的方法,其包括验证安全协议中的加密算法标识的步骤,所述加密算法标识中包含有算法标识,用来标识选定的加密算法,其特征在于,所述的验证加密算法标识步骤中,还包括一个验证国家码标识的步骤。
所述的国家码标识位于加密算法标识中。
所述的国家码标识,是为每一个国家定义一个国家码标识,共同构成一个国家码标识集。
所述的国家码标识,是国际标准组织设定的标识号。
所述的国家码标识集中,还包括一个全球码标识。
所述的协商加密算法的方法,对于信息安全算法没有特殊需求的国家或运营商,以全球码标识替代其国家码标识,该算法标识为其指定的标准算法的标识。
所述的协商加密算法的方法,对于信息安全算法有特殊需求的国家或运营商,其算法标识指定的是该国或运营商可以许可应用的标准算法。
由于增加了国家码标识,可以使得不同制造商设备在进行安全特性互通时,不需要进行制造商之间的协商,同时通过标准化,可以有效解决了某些国家安全特殊需求的问题。
传统的协商加密算法的方法,该协商包括验证安全协议中的加密算法标识的步骤,该加密算法标识中包含有算法标识,用来标识选定的加密算法,本发明在除了验证算法标识外,在该验证加密算法标识中,还包括一个验证国家码标识的步骤,该国家码标识位于加密算法标识中。如表1所示
表1由此可见,本发明中加密算法标识包括两部分一部分是国家码标识CMI、另一部分是算法标识AI。
国家码标识中,可以给每一个国家都设置一个固定代码号,国家码标识号可以引用目前国际标准组织设定的标识号,共同构成一个国家码标识集。
在上述的国家码标识集中,我们还设置一个全球码标识。
由于每一个国家码标识对应的算法标识可能是不同的,因此在该算法标识中,对于全球应用的标准算法,可以选用确定的全球码标识作为国家码标识,对于信息安全算法没有特殊需求的国家或运营商而言,可能更愿意采用标准算法,这时安全算法的CMI就是全球码标识号,对应的算法标识AI通常指定可用的标准算法。
而对于具有特殊安全要求的国家或者运营商,可能不希望采用标准算法,此时安全算法的CMI就是本国的国家码标识号,对应的算法标识AI通常指定本国可以许可应用的标准算法。
上述的算法标识应该标准化,这样对于任一制造商的设备,由于安全协议中加密算法标识参数已经包含了国家码标识和算法标识,因此其设备中完全可以考虑标准化和非标准化的入口,当互通的设备是标准化入口时,互通双方设备安全协议的国家码标识都会选用全球码标识号,当互通设备时非标准化入口时,互通双方设备安全协议的国家码标识会选用应用国的全球码标识号。这样可以有效避免特殊安全需求时,设备难以互通的问题,同时也有效解决了国家特殊需求的问题。
假定目前有甲公司的设备A将和乙公司的设备B进行通信联系,双方之间要求建立安全通信连接。安全通信的连接必须通过安全协议命令P来实现,安全协议中包括了安全参数-安全算法标识SAI,其中SAI为12bit长,前8bit为国家码标识码,后4bit为算法标识。若取定标识“00000000”为全球标识码号,“0000”~“1111”分别标识算法1至算法16,目前设备应用的国家为标识号“00001111”。
如果选定双方通信采用标准算法3,进行如下过程1、A设定密码算法标识为“000000000011”,并把包含该参数的列表随同其他安全参数构成安全协议命令P1发送给B。
2、B通过确认接收的密码算法标识,确定双方共同支持的标准算法,并选择标准算法3作为加密算法,返回确认信息。
3、设备A和B之间的后续通信信息采用标准算法加解密实现双方的安全通信。
4、上述情况中如果A、B支持多种标 准算法时,相互协商的安全协议将包括多个密码算法标识,但密码算法表示的CMI部分都是“00000000”。
如果选定双方通信必须采用本国的非标准算法2,进行如下过程1、A设定密码算法标识为“000011110010”,并把该参数随同其他安全参数构成安全协议命令P1发送给B。
2、B通过确认接收的密码算法标识,确定双方共同支持的非标准算法,选择非标准算法2作为加密算法,返回确认信息。
3、设备A和B之间的后续通信信息采用非标准算法2加解密实现双方的安全通信。
4、上述情况中如果A、B支持多种非标准算法时,相互协商的安全协议将包括多个密码算法标识,但密码算法表示的CMI部分都是“00001111”。
通过上述过程可以实现不同通信设备之间在标准和特殊应用下的有效通信,也满足了标准和特殊需求。
由此可见,本发明解决了在全球通信网络安全互通时,安全设备可以满足安全标准需求国家和安全特殊需求国家的要求,可以使得不同制造商设备在进行安全特性互通时,不需要进行制造商之间的协商,同时通过标准化,可以有效解决了某些国家安全特殊需求的问题。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种协商加密算法的方法,其包括验证安全协议中的加密算法标识的步骤,所述加密算法标识中包含有算法标识,用来标识选定的加密算法,其特征在于,所述的验证加密算法标识步骤中,还包括一个验证国家码标识的步骤。
2.如权利要求1所述的协商加密算法的方法,其特征在于,所述的国家码标识位于加密算法标识中。
3.如权利要求2所述的协商加密算法的方法,其特征在于所述的国家码标识,是为每一个国家定义一个国家码标识,共同构成一个国家码标识集。
4.如权利要求3所述的协商加密算法的方法,其特征在于所述的国家码标识,是国际标准组织设定的标识号。
5.如权利要求2、3所述的协商加密算法的方法,其特征在于所述的国家码标识集中,还包括一个全球码标识。
6.如权利要求5所述的协商加密算法的方法,其特征在于对于信息安全算法没有特殊需求的国家或运营商,以全球码标识替代其国家码标识,该算法标识为其指定的标准算法的标识。
7.如权利要求5所述的协商加密算法的方法,其特征在于,对于信息安全算法有特殊需求的国家或运营商,其算法标识指定的是该国或运营商可以许可应用的标准算法。
全文摘要
一种协商加密算法的方法,涉及移动通信和数据通信领域,包括通信双方加密算法协商验证的步骤,协商通过则双方开始通信,该协商包括验证安全协议中的加密算法标识的步骤,所述加密算法标识中包含有算法标识,用来标识选定的加密算法,其特征在于,所述的验证加密算法标识中,还包括一个验证国家码标识的步骤。由于增加了国家码标识,可以使得不同制造商设备在进行安全特性互通时,不需要进行制造商之间的协商,同时通过标准化,可以有效解决了某些国家安全特殊需求的问题。
文档编号H04L9/12GK1479480SQ02128990
公开日2004年3月3日 申请日期2002年8月26日 优先权日2002年8月26日
发明者郑志彬 申请人:华为技术有限公司