專利名稱:一種自主選擇加密算法實現保密通信的方法
技術領域:
本發明涉及3G系統中的保密通信技術,尤指一種通過對通信系統中終端和網絡通信雙方所支持的加密算法進行判斷選擇,以保證雙方實現保密通信的自主選擇加密算法的方法。
在現有的第三代寬帶碼分多址(3G WCDMA)移動通信系統中,終端用戶設備(UE)和接入網--通用移動通信系統地面無線接入網(UTRAN)之間傳輸信息時,就可以進行加密保護。該保密通信過程中,雙方所采用的加密算法分別存放于UE和接入網的RNC中,RNC中存儲的實際是核心網(CN)所支持的加密算法,而加密算法的選擇是由RNC根據UE所支持的算法能力和CN所指定的可用算法要求進行比較得到的。由于每種加密算法對應一個加密算法標識(UEA),因此,加密算法的選擇是RNC通過對UEA的比較判別來確定的。按照目前WCDMA標準的規定,加密算法標識為4bit,其中,“0000”定義為不加密,“0001”定義為標準的KASUMI加密算法,而其它14個值沒有定義,作為預留標識可自定義使用。
參見
圖1所示,現有加密保護的具體實現過程是這樣的1)首先,建立無線資源控制(RRC)連接,連接成功建立后,UE將安全信息發送至接入網中。
當用戶進行業務呼叫或是用戶被呼叫時,UE的高層將通知接入層建立RRC連接,即在UE和接入網的無線網絡控制器(RNC)之間建立RRC連接。連接成功建立后,UE通過成功建立RRC連接的消息RRC CONN-ECTION COMPLETE,將UE的安全能力信息發送給接入網中的RNC,RNC存儲相關的安全信息,其中包括UE所支持的加密算法標識。
2)核心網(CN)發起建立安全模式。
當CN發起建立安全模式時,CN中的訪問寄存器(VLR)將決定選用哪些加密算法標識(UEAs),并向RNC發送保密模式命令消息SECURITYMODE COMMAND,該信息將攜帶UEAs和加密密鑰(CK)。
3)RNC對接收到的保密模式命令的處理。
RNC根據接收的UEAs指示和存儲的UE所支持的UEA指示,來選定UEA,繼而RNC向UE發送信息保密模式命令消息SECURITY MODECOMMAND,該消息中將攜帶選定的UEA。
4)UE接收安全模式命令后的處理。
UE接收到安全模式命令后,設置本地的安全保密能力(UE securitycapability)參數為所收到的UE security capability參數,同時,向接入網的RNC發送安全模式完成消息SECURITY MODE COMPLETE,表示安全模式設置成功。
5)接入網接收安全模式完成信息。
接入網的RNC接收到安全模式完成消息后,立即向CN的VLR發送安全模式完成消息SEUCIRTY MODE COMPLETE,該消息中攜帶有選定的UEA。
6)安全過程成功完成。
CN中的VLR接收到安全模式完成消息后,完成自身的安全模式設置,然后等待,等到達指定時間后UE和UTRAN開始保密通信,按照選定UEA所對應的加密算法進行加解密。
由于密碼應用的特殊性,出于對自己國家或自己網絡信息安全性和保密性考慮,不同國家或運營商更希望使用自己單獨的加密算法,以防止密鑰易于被破解而造成不可預測的損失,如此,需要單獨加密算法的國家或運營商除了支持標準的加密算法以外,還可以選擇14個預留加密算法標識之一,作為自己獨立的、自主開發的加密算法對應的標識,那么,系統就可能支持兩種加密算法。在通信過程中,如果存在多個加密算法可選,則運營商會優先指定更適合當前情況的加密算法,比如說同一國家內的兩個用戶,雙方都支持標準加密算法和本國加密算法,則在國內通信會優先指定本國加密算法;如果雙方沒有相同的加密算法可選,但核心網絡要求必須進行加密通信時,UE則不能進行正常的通信。
但是,由于目前對于預留加密算法標識值的選用沒有統一的規定,每個國家或運營商都可以任選預留標識值的其中之一,這樣在移動用戶漫游時,就很可能發生加密算法標識沖突的問題。比如中國運營商選用“0010”作為本國的算法標識,而另一個美國運營商也選用“0010”作為本國的算法標識,兩個加密算法標識的值相同,但實際上這兩個“0010”對應的加密算法是不同的,那么,當中國運營商服務的用戶到美國漫游,協商加密算法時,由于加密算法標識值相同,會使雙方建立正常的連接,但由于加密算法的不同,又會導致雙方不能進行正常的通信。
為達到上述目的,本發明的技術方案具體是這樣實現的一種自主選擇加密算法實現保密通信的方法,該方法至少包括以下的步驟a.當用戶進行呼叫或被呼叫時,核心網(CN)提取該用戶的移動國家碼(MCC),進而根據MCC設定用戶標識(CI)的值;b.在該用戶對應的用戶設備(UE)和無線資源控制(RRC)之間建立連接,連接建立成功后,UE向接入網中的無線網絡控制器(RNC)發送成功建立RRC連接消息,RNC存儲該消息中包括UE所支持的加密算法標識(UEA)的相關安全信息;c.當CN發起安全模式建立過程時,CN中的訪問寄存器(VLR)決定所選用的至少一個加密算法標識(UEAs),同時向RNC發送包括UEAs、加密密鑰(CK)、CI信息的保密模式命令消息;d.RNC收到保密模式命令消息后,先根據消息中CN選用的UEAs和存儲的UE所支持的UEA來確定保密通信的UEA當CN支持一種以上加密算法時,如果當前用戶為他國用戶且UE和CN都支持UEA為“0001”的標準加密算法,則選定該標準加密算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;如果當前用戶為本國用戶且UE和CN都支持UEA不為“0001”的一種加密算法,則選用該算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;當CN只支持標準加密算法時,如果UE也支持該標準加密算法,則直接選定該標準加密算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;UEA確定后,RNC向UE發送攜帶有選定UEA的保密模式命令消息;e.UE收到安全模式命令后,設置本地的安全保密能力參數為所收到的安全保密能力參數,同時,向接入網的RNC發安全模式完成消息,RNC收到該消息后,立即向CN的VLR發送帶有選定UEA的安全模式完成消息;VLR收到安全模式完成消息后,完成自身的安全模式設置。
該方法進一步包括當通過用戶MCC碼判斷當前用戶為本國用戶時,設置CI的值為0;當通過用戶MCC碼判斷當前用戶為他國用戶時,設置CI的值為1。
該方法也可進一步包括在CN處預先設置并存儲一個MCC號碼表,符合號碼表的視為本國用戶,設置相應的CI值為0;不符合號碼表的為他國用戶,設置相應的CI值為1。其中,所述的MCC號碼表用于存儲與本國用戶采用完全相同加密算法的外國用戶的MCC碼。
上述CI的長度為1bit。
由上述方案可以看出,本發明的關鍵在于增加用戶標識(CI)比特,并增加對該CI和當前用戶及網絡所支持的加密算法的判斷,當為國外用戶且用戶和網絡都支持標準加密算法時,或為國內用戶且用戶和網絡均支持標準加密算法以外的同一種自主開發的加密算法時,可進行正常的保密通信;否則,雙方不能進行保密通信。
因此,本發明所提供的自主選擇加密算法實現保密通信的方法,具有以下的優點和特點1)本發明的方法不僅能夠滿足國內保密通信時采用單獨加密算法的需求,又能保證用戶通過支持標準的加密算法實現漫游時的保密通信;徹底解決了移動用戶漫游時,由于加密算法標識沖突引起的不能進行正常保密通信的問題,進而可為用戶提供更好的服務。
2)雖然增加了CN對UE移動國家碼(MCC)的解析步驟,但由于CN原來就必須解析UE的MCC碼,因此不會增加額外的運行開銷。
3)CN在Iu接口向RNC所發的SECURITY MODE COMMAND消息中增加了參數CI,但該參數占用比特極少,因而對設備的實現影響極小。
4)在RNC中增加了對接收Iu接口的SECURITY MODE COMMAND命令后的額外選擇判斷,但該判斷設計簡單,易于實現,而且也不會影響只采用標準算法作為加密算法時的運營系統應用。
由于RNC要對UE支持的加密算法和CN支持的加密算法進行比較,以選定雙方通信所用的加密算法,因此,為了保證漫游時不發生加密算法沖突,在比較過程中,加入對各種可能出現情況的判定及相應的加密算法選擇即可。又由于在各種情況的判定中需要了解當前用戶的所屬國家或運營商,所以要在CN發往接入網的消息中,增加一個判斷用戶所屬運營商或國家的標識,根據該標識及當前用戶支持的加密算法,RNC便可選定要采用的加密算法。
本發明方法實現的前提為UE和網絡均支持標準加密算法,且網絡要求必須加密,即UEA不為“0000”。另外,如果有本國算法的要求,RNC必須根據用戶標識,判斷是國內國外用戶,進而選擇合法的加密算法,且如果CN同時支持標準加密算法和本國自主開發的加密算法時,必須按自主開發的加密算法在國內進行保密通信。
參見圖2所示,本發明方法的具體實現過程至少包括以下的步驟1)當用戶進行呼叫或被呼叫時,CN提取出該用戶的MCC碼,進而判斷該用戶是本國用戶還是國外用戶。
2)對于該進行呼叫或被呼叫的用戶,UE的高層將通知接入層建立RRC連接,即在UE和RNC之間建立RRC連接。當連接建立成功后,UE通過成功建立RRC連接的消息RRC CONNECTION COMPLETE,將自身安全能力的信息發送給RNC,RNC存儲相關安全信息,其中包括UE所支持的加密算法標識。
3)當CN發起安全模式建立過程時,CN中的VLR將決定選用哪些加密算法標識(UEAs),同時向RNC發送保密模式命令消息SECURITY MODECOMMAND,該消息中將攜帶UEAs和CK以及新增的CI信息,本實施例中該CI的長度為1bit,當然,該CI的長度也可以根據實際應用的需要占用多個比特。當通過用戶MCC碼判斷當前用戶為本國用戶時,CI置為0;當通過用戶MCC碼判斷當前用戶為他國用戶時,CI置為1。
4)RNC收到保密模式命令消息后,先根據接收的UEAs指示和存儲的UE所支持的UEA指示,來選定保密通信所用的UEA。該選定過程包括兩種情況a.如果CN支持一種以上加密算法,則主要分為兩種情況a1.當接收的CI值為1時,如果UE和CN都支持“0001”標識的標準加密算法,則選定該標準加密算法作為保密通信所用的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;a2.當接收的CI值為0時,如果UE和CN都支持不為“0001”標識的一種加密算法,則選用該算法作為保密通信所用的加密算法;否則,認為沒有合法的加密算法,中斷通信連接。
在a1的情況下,如果當前用戶是他國用戶,但該用戶的所屬國或所屬運營商采用與漫游地完全相同的加密算法進行保密通信,比如說中國用“0011”標識對應的加密算法,M國是中國的近鄰,為省去自主開發算法的麻煩,也直接選用中國所用的加密算法,那么,M國用戶到中國漫游時,應該可以正常保密通信,而按a1的情況又不支持其通信。為避免上述情況發生,可以在核心網CN處對MCC碼進行處理,例如在CN處預先設置并存儲一個MCC號碼表,該號碼表中包括所有采用與本國相同加密算法的他國MCC碼。設置CI值時,先查找MCC號碼表,符合號碼表的均視為國內用戶,設置其對應的CI值為0;不符合號碼表的視為國外用戶,設置其對應的CI值為1。
b.如果CN只支持標準加密算法,即CN發送的保密模式命令消息SECURITY MODE COMMAND中只包含“0001”一種標識的加密算法,且UE支持“0001”標識的加密算法,則不需判別CI的值,而直接采用標準算法作為保密通信所用的加密算法。
當UEA確定后,RNC向UE發送保密模式命令消息SECURITY MODECOMMAND,該消息中攜帶有選定的UEA。
5)UE接收到安全模式命令后,根據消息中的安全保密信息設置本地的UE security capability參數為所收到的UE security capability參數,同時,向接入網的RNC發送安全模式完成消息SECURITY MODE COMPLETE,表示安全模式設置成功。
6)接入網的RNC接收到安全模式完成消息后,立即向CN的VLR發送安全模式完成消息SEUCIRTY MODE COMPLETE,該消息中攜帶有選定的UEA。
7)CN中的VLR接收到安全模式完成消息后,完成自身的安全模式設置,然后等待,等到達指定時間后UE和UTRAN開始保密通信,并按照選定UEA所對應的加密算法進行加解密。
權利要求
1.一種自主選擇加密算法實現保密通信的方法,其特征在于該方法至少包括以下的步驟a.當用戶進行呼叫或被呼叫時,核心網(CN)提取該用戶的移動國家碼(MCC),并根據MCC碼設定用戶標識(CI)值;b.在該用戶對應的用戶設備(UE)和無線資源控制(RRC)之間建立連接,連接建立成功后,UE向接入網中的無線網絡控制器(RNC)發送成功建立RRC連接消息,RNC存儲該消息中包括UE所支持的加密算法標識(UEA)的相關安全信息;c.當CN發起安全模式建立過程時,CN中的訪問寄存器(VLR)決定所選用的至少一個加密算法標識(UEAs),同時向RNC發送包括UEAs、加密密鑰(CK)、CI信息的保密模式命令消息;d.RNC收到保密模式命令消息后,先根據消息中CN選用的UEAs和存儲的UE所支持的UEA來確定保密通信的UEA當CN支持一種以上加密算法時,如果當前用戶為他國用戶且UE和CN都支持UEA為“0001”的標準加密算法,則選定該標準加密算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;如果當前用戶為本國用戶且UE和CN都支持UEA不為“0001”的一種加密算法,則選用該算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;當CN只支持標準加密算法時,如果UE也支持該標準加密算法,則直接選定該標準加密算法作為保密通信的加密算法;否則,認為沒有合法的加密算法,中斷通信連接;UEA確定后,RNC向UE發送攜帶有選定UEA的保密模式命令消息;e.UE收到安全模式命令后,設置本地的安全保密能力參數為所收到的安全保密能力參數,同時,向接入網的RNC發安全模式完成消息,RNC收到該消息后,立即向CN的VLR發送帶有選定UEA的安全模式完成消息;VLR收到安全模式完成消息后,完成自身的安全模式設置。
2.根據權利要求1所述的方法,其特征在于該方法進一步包括當通過用戶MCC碼判斷當前用戶為本國用戶時,設置CI的值為0;當通過用戶MCC碼判斷當前用戶為他國用戶時,設置CI的值為1。
3.根據權利要求1所述的方法,其特征在于該方法進一步包括在CN處預先設置并存儲一個MCC號碼表,符合號碼表的為本國用戶,設置相應的CI值為0;不符合號碼表的為他國用戶,設置相應的CI值為1。
4.根據權利要求3所述的方法,其特征在于所述的MCC號碼表用于存儲與本國用戶采用完全相同加密算法的外國用戶的MCC碼。
5.根據權利要求1、2或3所述的方法,其特征在于所述CI的長度為1bit。
全文摘要
本發明公開了一種自主選擇加密算法實現保密通信的方法,其關鍵在于增加用戶標識(CI)比特,同時增加對該CI和當前用戶及網絡所支持加密算法的判斷當核心網(CN)支持一種以上加密算法時,如果CI值為1且用戶設備(UE)和CN都支持標準加密算法,則選定該標準加密算法為通信的加密算法;否則,中斷通信連接;如果CI值為0且UE和CN支持同一種自主開發的非標準加密算法,則選用該加密算法;否則,中斷通信連接;當CN只支持標準加密算法時,如果UE支持該標準加密算法,則直接選定該標準加密算法;否則,中斷通信連接。該方法使用戶在任何地方均可采用有效的加密算法進行保密通信,并滿足所在地自主選擇算法的需求,進而保證用戶利益和服務質量。
文檔編號H04L9/00GK1426185SQ0114422
公開日2003年6月25日 申請日期2001年12月13日 優先權日2001年12月13日
發明者鄭志彬 申請人:華為技術有限公司