安全算法的协商方法

文档序号:7648871阅读:112来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:安全算法的协商方法
技术领域
本发明无线通信技术领域,特别是涉及安全算法协商的技术。
技术背景在UMTS ( Universal Mobile Telecommunications System, 通用移 动通信系统)网络中,为了保护空中接口的通信安全,用户设备(UE, User Equipment)和无线网络控制器(RNC, Radio Network Controller ) 需要对空中接口上的数据和信令进行加密保护以防止攻击者进行窃 听,同时需要对空中接口上的信令进行完整性保护以防止攻击者篡改 空中接口上的信令。为了对空中接口的数据和信令进行加密保护和完整性保护,用户 设备和网络侧需要协商加密算法和完整性算法。协商的过程简要描述(1) 为不同的加密算法和完整性算法设定不同的算法标识符。例 如可以设定基于Kasumi的加密算法的算法标识符为0001 ,基于SNOW 的加密算法的算法标识符为0010;基于Kasumi的完整性算法的标识 符为0001,基于SNOW的完整性算法的算法标识符为0010。不加密 的算法标识符为0000。(2) 用户设备将它支持的算法列表上报给无线网络控制器,即用 户设备将其支持的加密算法和完整性算法发送给无线网络控制器。如, 用户设备支持基于Kasumi的加密算法和完整性算法,则通知无线网 络控制器它支持的加密算法为0001和0000 (不加密),完整性算法为 0001。(3) 核心网设备SGSN或MSC/VLR将该用户允许使用的算法列 表按照优先级顺序排序后发送给无线网络控制器。(4) 无线网络控制器根据核心网设备下发的算法列表、用户设备 上报的算法列表、自身支持的算法情况选择出要使用的加密算法和完整性算法,并将选择的加密算法和完整性算法通知给用户设备。(5)当发生跨PLMN切换时,源无线网络控制器将用户设备支持的算法列表发送给目标无线网络控制器,目标无线网络控制器根据自 身支持的算法情况选择出切换后要使用的加密算法和完整性算法,并 将选择的加密算法和完整性算法通过源无线网络控制器通知给用户设备。UMTS中现有的算法协商方式无法支持运营商使用自定义的安全 算法。这是因为在现有的安全算法协商流程下,运营商如果想制定其 特定的算法,就必须为其特定的算法申请一个全球唯一的算法标识符。 而由于现有的标准中算法标识符用4位2进制数表示,因此最多只能 支持15种加密算法或完整性算法。目前全球的运营商有数百家,15 种加密算法显然无法满足运营商使用自定义安全算法的需求。因此现 有的算法协商方式没有很好的扩展性,无法支持运营商使用自定义的 安全算法。发明内容为了解决上述技术问题,本发明的实施例提供了能支持运营商使 用自定义安全算法的算法协商方法,以及相应的系统和装置。本发明的实施例提供了 一种安全算法的协商方法,包括网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相 关联的安全算法;网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信 息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户 设备通信所使用的安全算法;网络侧将所述选择的安全算法通知给用户设备。本发明的实施例提供了一种终端,包括存储单元用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关Jf关保存;接收单元用于接收网络侧发来的PLMN标识信息;执行单元用于根据所述接收单元收到的PLMN标识信息,到所述存储单元进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;发送单元用于将所述执行单元确定的,与所述接收到的PLMN 标识信息相关联的安全算法发送给网络侧。本发明的实施例提供的方法和终端通过将安全算法和PLMN的标 识信息相关联,使得运营商可以使用自定义安全算法而不产生沖突, 从而满足运营商使用自定义安全算法的需求。


图1是本发明实施例提供的一种UMTS系统中的安全算法的协商 方法的流程图,该流程中用户i殳备4艮据PLMN标识信息确定需要上寺艮 的安全算法,发生跨PLMN切换时,源PLMN对用户设备上报的安全 算法中属于该源PLMN自定义的安全算法进行删除;图2是本发明实施例提供的又一种UMTS系统中的安全算法的协 商方法的流程图,该流程中用户设备根据PLMN标识信息确定需要上 报的安全算法,发生跨PLMN切换时,源PLMN将目标PLMN的标 识信息通知给用户设备;图3是本发明实施例提供的又一种UMTS系统中的安全算法的协 商方法的流程图,该流程中用户设备#4居PLMN标识信息确定需要上 报的安全算法,发生跨PLMN切换时,源PLMN的网络侧断开与用户 设备的连接;图4是本发明实施例提供的一种演进3G网络系统中的安全算法 的协商方法的流程图,该流程中移动性管理实体选择与用户设备通信 所使用的非接入层安全算法、接入层安全算法和用户面安全算法;图5是本发明实施例提供的一种演进3G网络系统中的安全算法 的协商方法的流程图,该流程中移动性管理实体选择与用户设备通信 所使用的非接入层安全算法,演进基站选择与用户设备通信所使用的 接入层安全算法和用户面安全算法;图6是本发明实施例提供的一种演进3G网络系统中的安全算法 的协商方法的流程图,该流程中演进基站选择与用户设备通信所使用 的非接入层安全算法、接入层安全算法和用户面安全算法;图7是本发明实施例提供的一种适用于UMTS系统和演进3G网 络系统中的安全算法的协商方法的流程图,该流程中用户设备在上报 安全算法的同时还上报国际移动设备身份;图8是本发明实施例提供的又一种适用于UMTS系统和演进3G 网络系统中的安全算法的协商方法的流程图,该流程中用户设备将其 支持的安全算法,以及与安全算法相关联的PLMN标识信息均上报给 网纟备祸'j;图9是本发明实施例提供的终端的示意图。
具体实施方式
为了实现背景技术中提出的技术问题,使运营商能够采用自定义 安全算法,本发明的实施例提供了一种安全算法协商方法。该方法包 括网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相 关联的安全算法;网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信 息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户 设备通信所使用的安全算法;网络侧将所述选择的安全算法通知给用户设备。在上述实施例中,通过将安全算法与PLMN的标识信息相关联, 使得不同的运营商可以使用自定义安全算法而不产生冲突。举例来说, 在现有标准的框架下,不同的运营商可以使用相同的四位二进制数来表示其自定义安全算法,而在具体通信过程中不会因此产生沖突。本发明的又 一 实施例提供了 一种UMT S系统中的安全算法的协商 方法。该方法中,用户设备上实现的安全算法包括加密算法和完整性 算法,这些安全算法不仅仅用四位二进制数标识,还与PLMN的标识 信息相关联。具体来说,这些安全算法还可以与PLMN中的移动国家 码(Mobile Country Code, MCC )和移动网络码(Mobile Network Code, MNC)相关联。例如加密算法X是运营商A的自定义加密算法, 则可以将该加密算法X的四位二进制^t标识与运营商A的MCC和 MNC关联保存,从而表示加密算法X与运营商A的关联关系;或者, 完整性算法Y是B国运营商通用的完整性算法,则可以将该完整性算 法Y的四位二进制数标识仅与B国的MCC关联保存,从而表示完整 性算法Y与B国所有运营商的关联关系;或者,完整性算法Z是全球 通用的完整性算法,则可以将该完整性算法Z单独保存,从而表示完 整性算法Z与所有运营商的关联关系。需要特别指出的是,无论安全 算法是与MCC和MNC关联保存,或安全算法仅与MCC关联保存, 或安全算法单独保存,都可以看作是安全算法与PLMN的标识信息相 关联。还需要指出的是,"不釆用安全算法"也可以认为是一种安全算 法,例如可以用四位二进制数0000来表示不采用加密算法/完整性算 法。如图l所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤步骤101:网络侧将自身所属的PLMN标识信息通知给用户设备; 步骤102:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;步骤103:用户设备将自身支持的、与该网络侧所属PLMN标识 信息相关联的安全算法上报给网络侧的无线网络控制器;步骤104:核心网设备SGSN或MSC/VLR将该用户允许使用的安全算法发送给无线网络控制器;步骤105:无线网络控制器根据用户设备上报的安全算法、核心 网设备发送的安全算法,以及自身支持的安全算法,选择与用户设备 通信所使用的安全算法;步骤106:网络侧将所述选择的安全算法通知给用户设备。需要指出的是,步骤104并不限定在步骤103之后完成,它也可 以在步骤103之前完成。与现有技术相比,上述实施例所公开的安全算法协商方法在用户 设备上报自身支持的安全算法之前,先根据网络侧所属PLMN的标识 信息对自身支持的所有安全算法进行筛选,使得上报的安全算法都是 与所在PLMN相关联的。这种协商方法使得运营商可以使用自定义安 全算法,且不同运营商可以使用同样的四位二进制数来表示各自的自 定义安全算法,只要通过相关联的PLMN标识信息就可以区分。在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下 步骤进行新的安全算法协商步骤107:源PLMN将该用户设备上报的安全算法中属于该源 PLMN自定义的安全算法删除;例如,若用户设备上报的某安全算法仅与源PLMN的标识信息相 关联,则将该安全算法从用户设备上报的安全算法中删除。若用户设 备上报的某安全算法适用于源PLMN所在国家/地区的所有运营商, 则源PLMN可以判断目标PLMN是否属于同样的国家/地区,若是, 则保留该安全算法;若否,则删除该安全算法。若用户设备上报的某 安全算法适用于源PLMN所在国家/地区的所有运营商,则源PLMN 也可以不判断目标PLMN所在国家/地区,而直^^妻删除该安全算法;步骤108:源PLMN将经过步骤107所述删除处理后的安全算法 发送给目标PLMN;步骤109:目标PLMN与用户设备协商安全算法。通过上述步骤107和步骤108的处理,保证了目标PLMN接收到 的安全算法中不包括自身不支持的安全算法,这同时也保证了在发生跨PLMN切换时,即使源PLMN和目标PLMN使用相同的四位二进 制数表示各自的自定义安全算法,也不会发生冲突。这进一步保证了 运营商可以使用自定义的安全算法而不产生沖突。本发明的又 一 实施例提供了 一种UMTS系统中的安全算法的协商 方法。如图2所示,在本实施例中,步骤201 ~步骤206与前述步骤 101 ~步骤106实质相同,此处不再赘述。在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下 步骤进行新的安全算法协商步骤207:源PLMN将目标PLMN的标识信息通知给用户设备;步骤208:用户设备根据目标PLMN的标识信息,确定与目标 PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完 整性算法;步骤209:用户设备将自身支持的、与目标PLMN标识信息相关 联的安全算法上报给源PLMN,具体来说,可以是上报给源PLMN的 无线网络控制器;步骤210:源PLMN将所述用户设备支持的、与目标PLMN标识 信息相关联的安全算法发送给目标PLMN;步骤211:目标PLMN与用户设备协商安全算法。通过上述步骤207 ~步骤210的处理,在发生3争PLMN的切换时, 用户设备上报的安全算法都是与目标PLMN相关联的。这种协商方法 使得目标PLMN和源PLMN可以使用同样的四位二进制数来表示各自 的自定义安全算法而不会冲突,因为通过相关联的PLMN标识信息就 可以区分。这进一步保证了运营商可以使用自定义的安全算法而不产 生冲突。本发明的又一 实施例提供了 一种UMTS系统中的安全算法的协商 方法。如图3所示,在本实施例中,步骤301 ~步骤306与前述步骤 101 ~步骤106实质相同,此处不再赘述。在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下步骤进行新的安全算法协商步骤307:源PLMN的网络侧断开与用户设备的连接; 步骤308:所述用户设备与目标PLMN建立连接; 步骤309:所述用户设备与目标PLMN协商安全算法。 由于本实施例中用户设备与源PLMN断开连接后再与目标PLMN建立连接,其与目标PLMN协商安全算法的流程可以参照步骤101 ~步骤106。同样,由于安全算法与PLMN的标识信息相关联,运营商可以使用自定义安全算法而不必担心发生冲突。本发明的又一实施例提供了一种演进3G网络系统中的安全算法 的协商方法。该方法中,用户设备上实现的安全算法包括加密算法和 完整性算法,这些安全算法不仅仅用四位二进制数标识,还与PLMN 的标识信息相关联。具体来说,这些安全算法还可以与PLMN中的移 动国家码(Mobile Country Code, MCC )和移动网络码(Mobile Network Code, MNC)相关联。例如加密算法X是运营商A的自定义加密算 法,则可以将该加密算法X的四位二进制数标识与运营商A的MCC 和MNC关联保存,从而表示加密算法X与运营商A的关联关系;或 者,完整性算法Y是B国运营商通用的完整性算法,则可以将该完整 性算法Y的四位二进制数标识仅与B国的MCC关联保存,从而表示 完整性算法Y与B国所有运营商的关联关系;或者,完整性算法Z 是全球通用的完整性算法,则可以将该完整性算法Z单独保存,从而 表示完整性算法Z与所有运营商的关联关系。需要特别指出的是,无 论安全算法是与MCC和MNC关联保存,或安全算法仅与MCC关联 保存,或安全算法单独保存,都可以看作是安全算法与PLMN的标识 信息相关联。还需要指出的是,"不采用安全算法,,也可以认为是一种 安全算法,例如可以用四位二进制数0000来表示不采用加密算法/完 整性算法。如图4所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤步骤401:网络侧将自身所属的PLMN标识信息通知给用户设备; 步骤402:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;步骤403:用户设备将自身支持的、与该网络侧所属PLMN标识 信息相关联的安全算法上报给网络侧的移动性管理实体(Mobility Management Entity, MME );步骤404:网络侧的演进基站将其支持的安全算法上报给移动性 管理实体;步骤405:移动性管理实体根据用户设备上报的安全算法、演进 基站上报的安全算法,以及自身支持的安全算法,选择与用户设备通 信所使用的非接入层安全算法、接入层安全算法和用户面安全算法, 其中每一种安全算法又具体包括加密算法和完整性算法;步骤406:网络侧将所述选择的安全算法通知给用户设备。需要指出的是,步骤404并不限定在步骤403之后完成,它也可 以在步骤403之前完成。与现有技术相比,上述实施例所公开的安全算法协商方法在用户 设备上报自身支持的安全算法之前,先根据网络侧所属PLMN的标识 信息对自身支持的所有安全算法进行篩选,使得上报的安全算法都是 与所在PLMN相关联的。这种协商方法使得运营商可以使用自定义安 全算法,且不同运营商可以使用同样的四位二进制数来表示各自的自 定义安全算法,只要通过相关联的PLMN标识信息就可以区分。在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述 步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步 骤207~步骤211进行新的安全算法协商;或者,可以参考前述步骤 307 ~步骤309进行新的安全算法协商。本发明的又一实施例提供了一种演进3G网络系统中的安全算法的协商方法。如图5所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤步骤501:网络侧将自身所属的PLMN标识信息通知给用户设备; 步骤502:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;步骤503:用户设备将自身支持的、与该网络侧所属PLMN标识 信息相关联的安全算法上报给网络侧的移动性管理实体(Mobility Management Entity, MME )和演进基站;步骤504:网络侧的演进基站将其支持的安全算法上报给移动性 管理实体;步骤505:移动性管理实体根据用户设备上报的安全算法、演进 基站上报的安全算法,以及自身支持的安全算法,选择与用户设备通 信所使用的非接入层安全算法,所述非接入层安全算法又具体包括加 密算法和完整性算法;步骤506:演进基站获得移动性管理实体所支持的安全算法; 步骤507:演进基站根据用户设备上报的安全算法、移动性管理 实体所支持的安全算法,以及自身支持的安全算法,选择与用户设备 通信所使用的接入层安全算法和用户面安全算法,其中每一种安全算 法又具体包括加密算法和完整性算法;步骤508:网络侧将所述选择的安全算法通知给用户设备。 需要指出的是,步骤504并不限定在步骤503之后完成,它也可 以在步骤503之前完成;步骤506并不限定在步骤505之后完成,它 也可以在步骤505之前完成。在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述 步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步 骤207~步骤211进行新的安全算法协商;或者,可以参考前述步骤 307 -步骤309进行新的安全算法协商。本发明的又一实施例提供了一种演进3G网络系统中的安全算法的协商方法。如图6所示,本实施例中当网络侧与用户设备进行安全算法协商时,可以采用以下步骤步骤601:网络侧将自身所属的PLMN标识信息通知给用户设备; 步骤602:用户设备根据网络侧所属的PLMN标识信息,确定与该PLMN标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算法;步骤603:用户设备将自身支持的、与该网络侧所属PLMN标识 信息相关联的安全算法上报给演进基站;步骤604:演进基站获得移动性管理实体所支持的安全算法; 步骤605:演进基站根据用户设备上报的安全算法、移动性管理 实体所支持的安全算法,以及自身支持的安全算法,选择与用户设备 通信所使用的非接入层安全算法、接入层安全算法和用户面安全算法, 其中每一种安全算法又具体包括加密算法和完整性算法;步骤606:网络侧将所述选择的安全算法通知给用户设备。 需要指出的是,步骤604并不限定在步骤603之后完成,它也可以在步骤603之前完成。在上述步骤完成之后,若发生跨PLMN的切换,则可以参考前述步骤107~步骤109进行新的安全算法协商;或者,可以参考前述步骤207 ~步骤211进行新的安全算法协商;或者,可以参考前述步骤307 ~步骤309进行新的安全算法协商。本发明的又一实施例提供了一种适用于UMTS系统或演进的3G 网络系统的安全算法的协商方法。本实施例中,用户设备除了上报安 全算法外,还上报该用户设备的国际移动设备身份(International Mobile Equipment Identity, IMEI )。国际移动设备身份中包含的信息可 以用来判断用户设备上报的安全算法与PLMN标识信息的关联关系。 例如如果根据国际移动设备身份判断出用户设备是中国制造的,那 么结合此用户设备上报的安全能力,如IOOI,可以判断出此用户设备支持的是中国国内标准化的安全算法1001。对于所有中国国内的PLMN,该安全算法都可以使用。可以说,该安全算法1001与所有中 国国内的PLMN相关耳关。如图7所示,本实施例中当网络侧与用户设备进行安全算法协商 时,可以采用以下步骤步骤701:用户设备向网络侧上报自身支持的安全算法,以及该 用户设备的国际移动设备身份;步骤702:网络侧根据所述国际移动设备身份,判断用户设备上 报的安全算法是否与该网络侧所属PLMN的标识信息相关联;步骤703:网络侧根据判断结果获得该用户设备支持的、与该网 络侧所属PLMN标识信息相关联的安全算法,所述安全算法包括加密 算法和完整性算法;步骤704:网络侧根据所述用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法,以及网络侧自身支持的安全算法, 选择与用户设备通信所使用的安全算法;步骤705:网络侧将所述选择的安全算法通知给用户设备。在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下 步骤进行新的安全算法协商步骤706:源PLMN将该用户上报的安全算法和国际移动设备身 份发送给目标PLMN;步骤707:目标PLMN与用户设备协商安全算法。本发明的又一实施例提供了一种适用于UMTS系统或演进的3G 网络系统的安全算法的协商方法。该方法中,用户设备上实现的安全 算法包括加密算法和完整性算法,这些安全算法不仅仅用四位二进制 数标识,还与PLMN的标识信息相关联。具体来说,这些安全算法还 可以与PLMN中的移动国家码(Mobile Country Code, MCC )和移动 网络码(Mobile Network Code, MNC )相关联。例如力口密算法X是 运营商A的自定义加密算法,则可以将该加密算法X的四位二进制标识与运营商A的MCC和MNC关联保存,/人而表示加密算法X与 运营商A的关联关系;或者,完整性算法Y是B国运营商通用的完 整性算法,则可以将该完整性算法Y的四位二进制数标识仅与B国的 MCC关联保存,从而表示完整性算法Y与B国所有运营商的关联关 系;或者,完整性算法Z是全球通用的完整性算法,则可以将该完整 性算法Z单独保存,从而表示完整性算法Z与所有运营商的关联关系。 需要特别指出的是,无论安全算法是与MCC和MNC关联保存,或安 全算法仅与MCC关联保存,或安全算法单独保存,都可以看作是安 全算法与PLMN的标识信息相关联。还需要指出的是,"不采用安全 算法,,也可以认为是一种安全算法,例如可以用四位二进制数0000 来表示不采用加密算法/完整性算法。如图8所示,本实施例中当网络侧与用户设备进行安全算法协商 时,可以采用以下步骤步骤801:用户设备将其支持的安全算法,以及与安全算法相关 联的PLMN标识信息上报给网络侧;步骤802:网络侧根据用户设备上报的安全算法及与其相关联的 PLMN标识信息,以及网络侧所属PLMN的标识信息,确定与该PLMN 标识信息相关联的安全算法,所述安全算法包括加密算法和完整性算 法;步骤803:网络侧根据步骤802所确定的与该PLMN标识信息相 关联的安全算法,以及网络侧自身支持的安全算法,选择与用户设备 通信所使用的安全算法;步骤804:网络侧将所述选择的安全算法通知给用户设备。 与现有技术相比,上述实施例所公开的安全算法协商方法根据网 络侧所属PLMN的标识信息对用户设备支持的所有安全算法进行筛 选,使得筛选出的备选安全算法都是与所在PLMN相关联的。这种协 商方法使得运营商可以使用自定义安全算法,且不同运营商可以使用 同样的四位二进制数来表示各自的自定义安全算法,只要通过相关联 的PLMN标识信息就可以区分。在上述步骤完成之后,若发生跨PLMN的切换,则可以按照以下 步骤进行新的安全算法协商步骤805:源PLMN将该用户上报的安全算法,以及与安全算法 相关联的PLMN标识信息发送给目标PLMN;步骤806:目标PLMN与用户设备协商安全算法。通过上述步骤805和步骤806的处理,保证了目标PLMN可以根 据自己的PLMN标识信息选择与用户设备通信所使用的安全算法。具 体协商方法可以参照步骤801 ~步骤804所使用的协商方法。这保证 了在发生跨PLMN切换时,即使源PLMN和目标PLMN使用相同的 四位二进制数表示各自的自定义安全算法,也不会发生冲突。本发明的又一实施例提供了一种终端。如图9所示,所述终端包括存储单元901:用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关耳关保存;接收单元902:用于接收网络侧发来的PLMN标识信息; 执行单元903:用于根据接收单元卯2收到的PLMN标识信息,到存储单元901进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;发送单元904:用于将执行单元903确定的,与所述接收到的 PLMN标识信息相关联的安全算法发送给网络侧。上述实施例中,通过在存储单元901中将用户支持的安全算法及 与安全算法相关联的PLMN标识信息关联保存,使得终端可以根据网 络侧发来的PLMN标识信息确定与所述接收到的PLMN标识信息相关 联的安全算法,从而可以在上报的安全算法中仅包括与网络侧所属 P L MN相关联的安全算法。这使得不同的运营商可以用相同的四位二 进制数表示各自的自定义安全算法,而不会发生冲突。本发明的保护范围并不仅限于本申请文件所公开的内容,凡在本申请文件所公开内容的基础上所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1、一种安全算法的协商方法,其特征在于,包括网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;网络侧将所述选择的安全算法通知给用户设备。
2、 根据权利要求1所述的方法,其特征在于,网络侧通过以下 步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关 联的安全算法网络侧将该网络侧所属PLMN标识信息通知用户i殳备; 网络侧获得用户设备上报的安全算法,所述用户设备上报的安全 算法是用户设备根据该网络侧所属PLMN标识信息选择的自身支持 的、与该网络侧所属PLMN标识信息相关联的安全算法。
3、 根据权利要求2所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括当发生跨PLMN的切换时,源PLMN将该用户设备支持的、与该 源PLMN标识信息相关联的安全算法中属于该源PLMN自定义的安全 算法删除;源PLMN将经过所述删除处理后的安全算法发送》会目标PLMN。
4、 根据权利要求2所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括当发生跨PLMN的切换时,源PLMN的将目标PLMN的标识信 息通知给用户设备;源PLMN收到所述用户设备上报的安全算法,该用户设备上报的 安全算法是所述用户设备根据目标PLMN标识信息选择的自身支持 的、与目标PLMN标识信息相关联的安全算法;源PLMN将所述用户设备支持的、与目标PLMN标识信息相关联 的安全算法发送给目标PLMN。
5、 根据权利要求2所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括网络侧断开与所述用户设备的连接; 所述用户设备与目标PLMN建立连接; 所述用户设备与目标PLMN协商安全算法。
6、 根据权利要求3、 4或5所述的方法,其特征在于,所述网络 侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联 的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信 所使用的安全算法的具体步骤为网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网 络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算 法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、 允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支 持的安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所 述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体和演进基站获得所述用户设备支持的、 与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理 实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得 所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进 基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算法和用户面安全算法;或网络侧的演进基站获得所述用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的 移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支 持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动 性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法 选择与用户设备通信所使用的安全算法。
7、 根据权利要求1所述的方法,其特征在于,网络侧通过以下 步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关 联的安全算法网络侧收到用户设备上报的安全算法,以及该用户设备的国际移 动设备身份;网络侧根据所述国际移动设备身份,判断所述用户设备上报的安 全算法是否与该网络侧所属PLMN的标识信息相关联;网络侧根据判断结果获得该用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法。
8、 根据权利要求7所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括当发生5争PLMN的切换时,源PLMN将用户设备上>^艮的安全算法, 以及该用户设备的国际移动设备身份发送给目标PLMN。
9、 根据权利要求7所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括网络侧断开与所述用户设备的连接; 所述用户设备与目标PLMN建立连接; 所述用户设备与目标PLMN协商安全算法。
10、 根据权利要求8或9所述的方法,其特征在于,所述网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的 安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所 使用的安全算法的具体步骤为网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网 络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算 法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、 允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支 持的安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所 述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体和演进基站获得所述用户设备支持的、 与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理 实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得 所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进 基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关 联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进 基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算 法和用户面安全算法;或网络侧的演进基站获得所述用户设备支持的、与该网络侧所属 PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法 选择与用户设备通信所使用的安全算法。
11、根据权利要求1所述的方法,其特征在于,网络侧通过以下 步骤获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关 联的安全算法网络侧收到用户设备上报的安全算法,以及与该用户设备上报的 安全算法相关联的PLMN标识信息;网络侧根据该网络侧所属PLMN标识信息,以及与该用户设备上 报的安全算法相关联的PLMN标识信息,获得该用户设备支持的、与 该网络侧所属PLMN标识信息相关联的安全算法。
12、 根据权利要求ll所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括;当发生跨PLMN的切换时,源PLMN将用户设备上报的安全算法, 以及与安全算法相关联的PLMN标识信息发送给目标PLMN。
13、 根据权利要求ll所述的方法,其特征在于,在网络侧将所述 选择的安全算法通知给用户设备之后,还包括网络侧断开与所迷用户设备的连接; 所述用户设备与目标PLMN建立连接; 所述用户设备与目标PLMN协商安全算法。
14、 根据权利要求12或13所述的方法,其特征在于,所述网络 侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联 的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信 所使用的安全算法的具体步骤为网络侧的无线网络控制器获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述无线网络控制器获得网 络侧的SGSN或MSC/VLR发送的、允许所述用户设备使用的安全算 法;所述无线网络控制器根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述SGSN或MSC/VLR发送的、 允许所述用户设备使用的安全算法,以及所述无线网络控制器自身支 持的安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体获得所述用户设备支持的、与该网络侧 所属PLMN标识信息相关联的安全算法;所述移动性管理实体获得所 述网络侧的演进基站支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的安全算法;或网络侧的移动性管理实体和演进基站获得所述用户设备支持的、 与该网络侧所属PLMN标识信息相关联的安全算法;所述移动性管理 实体获得所述网络侧的演进基站支持的安全算法;所述演进基站获得 所述移动性管理实体支持的安全算法;所述移动性管理实体根据所述 用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、 所述演进基站支持的安全算法,以及所述移动性管理实体自身支持的 安全算法选择与用户设备通信所使用的非接入层安全算法;所述演进 基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关 联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进 基站自身支持的安全算法选择与用户设备通信所使用的接入层安全算 法和用户面安全算法;或网络侧的演进基站获得所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;所述演进基站获得所述网络侧的移动性管理实体支持的安全算法;所述演进基站根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法、所述移动性管理实体支持的安全算法,以及所述演进基站自身支持的安全算法 选择与用户设备通信所使用的安全算法。
15、 根据权利要求1-5、 7~9、 11 ~ 13中任何一项所述的方法, 其特征在于,所述安全算法包括加密算法和完整性算法。
16、 根据权利要求1-5、 7~9、 11 ~ 13中任何一项所述的方法,其特征在于,所述P L M N标识信息可以通过以下任何 一 种方式表示 通过移动国家码和移动网络码的组合来标识特定的PLMN;或, 通过移动国家码来标识特定国家或地区的PLMN;或, 通过不包含移动国家码或移动网络码来标识所有PLMN。 17、 一种终端,其特征在于,包括存储单元用于将用户支持的安全算法及与安全算法相关联的PLMN标识信息关联保存;接收单元用于接收网络侧发来的PLMN标识信息;执行单元用于根据所述接收单元收到的PLMN标识信息,到所述存储单元进行查询,确定与所述接收到的PLMN标识信息相关联的安全算法;发送单元用于将所述执行单元确定的,与所述接收到的PLMN 标识信息相关联的安全算法发送给网络侧。
全文摘要
本发明的实施例公开了安全算法的协商方法和用来实现该方法的终端。其目的是要提供一种能支持运营商使用自定义安全算法的安全算法协商方法。本发明实施例公开的安全算法协商方法包括网络侧获得用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法;网络侧根据所述用户设备支持的、与该网络侧所属PLMN标识信息相关联的安全算法,以及网络侧本身支持的安全算法,选择与用户设备通信所使用的安全算法;网络侧将所述选择的安全算法通知给用户设备。本发明实施例提供的终端包括存储单元、接收单元、执行单元和发送单元。通过本发明实施例公开的方法和终端,运营商可以使用自定义安全算法而不产生冲突。
文档编号H04L29/06GK101330376SQ20071007610
公开日2008年12月24日 申请日期2007年6月22日 优先权日2007年6月22日
发明者璟 陈 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈璟
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
密钥协商算法相关技术
dh密钥协商算法相关技术
安全的加密算法相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2