專利名稱:一種基于移動國家碼確定保密通信中加密算法的方法
技術(shù)領域:
本發(fā)明涉及3G系統(tǒng)保密通信中加密算法的選擇,尤指一種利用移動國家碼(MCC)由核心網(wǎng)(CN)來確定保密通信中加密算法的方法����。
在第三代(3G)移動通信系統(tǒng)中,空中接口的加密功能通常在終端用戶設備(UE)和地面無線接入網(wǎng)(RAN)之間實現(xiàn)���。按照現(xiàn)有協(xié)議的規(guī)定��,每一種加密算法均對應一個加密算法標識�����,現(xiàn)有加密算法的選擇是通過比較UE支持的加密算法能力和核心網(wǎng)(CN)許可使用的加密算法得到的����,是在接入網(wǎng)中根據(jù)加密算法標識的比較選定的���。參見
圖1所示�����,現(xiàn)有移動通信系統(tǒng)中用于空中接口加密保護的具體實現(xiàn)過程是這樣的1)UE將自身的安全能力通知接入網(wǎng)��。
UE與接入網(wǎng)成功建立連接后����,UE會通過發(fā)向接入網(wǎng)的消息A攜帶UE具備的加密算法能力參數(shù),通知接入網(wǎng)該終端所能支持的加密算法�,接入網(wǎng)收到后存儲該終端支持的加密算法信息。
2)核心網(wǎng)(CN)發(fā)起安全模式過程���。
當CN發(fā)起建立安全模式時��,CN根據(jù)預先的設置確定許可選用哪些加密算法��,并向接入網(wǎng)發(fā)送攜帶有網(wǎng)絡所支持的加密算法信息的消息B���。
3)由接入網(wǎng)確定用于保密通信的加密算法。
接入網(wǎng)收到消息B后���,根據(jù)所接收的核心網(wǎng)許可使用的加密算法標識和預先存儲的UE所支持的加密算法標識����,來確定一種終端與接入網(wǎng)都支持的加密算法���,作為保密通信的加密算法�����。然后��,接入網(wǎng)向UE發(fā)送攜帶有選定加密算法指示的消息C����,通知核心網(wǎng)最終確定的加密算法��。
4)UE設置本地使用的安全算法�����。
UE接收到消息C后��,先設置本地使用的終端安全加密算法為所接收消息C中所指定的加密算法�����,然后�,向接入網(wǎng)發(fā)送UE設置安全模式成功的消息D。
5)接入網(wǎng)向核心網(wǎng)指示安全模式成功設置�。
接入網(wǎng)接收到消息D后��,向核心網(wǎng)發(fā)送攜帶有選定加密算法參數(shù)的消息E�,該消息表示安全模式設置成功�。
6)核心網(wǎng)完成安全模式設置過程。
核心網(wǎng)接收到安全模式成功完成的消息后����,完成自身安全模式的設置過程,然后等待����,等到達指定時間后,終端和接入網(wǎng)開始保密通信���,按照選定的加密算法進行加解密���。
上述過程中應用于空中接口加解密的加密算法分別放在終端和接入網(wǎng)中,CN許可使用的加密算法必須是接入網(wǎng)支持的加密算法�����。通常加密算法不是唯一的�,可以定義多種不同的加密算法,且每種加密算法對應一個加密算法標識����,運營商可支持選擇不同的加密算法����。但是由于空中接口加密是在接入網(wǎng)和終端中對等實現(xiàn)的����,考慮到不同接入網(wǎng)和終端設備之間必須互連互通��,不同運營商之間的接入網(wǎng)和終端之間也必須為互連互通��,因此目前所有的加密算法要求必須是協(xié)議規(guī)定的標準化加密算法��。
如果規(guī)范中有多種標準加密算法�����,為了支持全球漫游��,則系統(tǒng)中必須包含所有的標準算法���,CN也將許可使用所有的標準加密算法����。若經(jīng)過比較,在終端和接入網(wǎng)有多個相同的可用標準加密算法時����,接入網(wǎng)可以在可用算法中選擇任意一種共同支持的加密算法,標準規(guī)范中并未規(guī)定選擇加密算法的方法以及選擇優(yōu)先級�,只要保證終端和接入網(wǎng)中采用相同的算法即可。如果終端和接入網(wǎng)沒有相同的加密算法可選��,但核心網(wǎng)要求必須進行加密�,終端則不能進行正常的保密通信。
由于密碼應用的特殊性���,出于對自己國家或自己網(wǎng)絡信息安全性和保密性考慮���,不同國家或運營商更希望使用自主開發(fā)的獨立加密算法,以防止密鑰易于被破解而造成不可預測的損失��。如此���,當用戶漫游時就會產(chǎn)生兩種問題1)如果終端和接入網(wǎng)雙方���,一方支持自主開發(fā)的加密算法,而另一方不能支持�����,則會由于通信雙方不能選定共同支持的加密算法,導致其不能進行正常的保密通信��。
2)對于某些必須采用自己開發(fā)的加密算法進行空中接口加密的國家或運營商��,現(xiàn)有的移動通信系統(tǒng)中預留了一些加密算法標識來對應不同的自主開發(fā)的加密算法��,但是�����,目前對于預留加密算法標識值的選用沒有統(tǒng)一的標準�,每個國家或運營商都可以任選預留標識值的其中之一����,這樣在移動用戶漫游時,就很可能發(fā)生加密算法沖突���。比如兩個不同的國家采用了不同的自主開發(fā)的加密算法�,而兩個國家為該加密算法選擇了相同的加密算法標識���,那么����,按照現(xiàn)有安全模式設置的過程,當某個國家的用戶到另一個國家漫游��,協(xié)商加密算法時���,由于加密算法標識值相同��,雙方會建立正常的連接�,但實際上加密算法是不同的�,則由于加密算法標識的沖突會導致雙方不能進行正常的通信。
有鑒于此�����,曾在另一專利申請中對上述問題提出一種解決方案��,該方法是增加用戶標識(CI)比特�,并增加對該CI和當前用戶及網(wǎng)絡所支持的加密算法的判斷,當為國外用戶且用戶和網(wǎng)絡都支持標準加密算法時��,或為國內(nèi)用戶且用戶和網(wǎng)絡均支持標準加密算法以外的同一種自主開發(fā)的加密算法時�����,可進行正常的保密通信;否則�,雙方不能進行保密通信。但是�,由于該方案增加了新定義比特和判別過程,使整個消息結(jié)構(gòu)���、消息傳遞��、參數(shù)值設定以及控制流程都需要有相應的增加或改變�����,對現(xiàn)有的處理流程會有一定的影響,實現(xiàn)不是很方便���。
為達到上述目的���,本發(fā)明的技術(shù)方案具體是這樣實現(xiàn)的一種基于移動國家碼確定保密通信中加密算法的方法,該方法至少包括以下的步驟a.預先在核心網(wǎng)(CN)中設置一MCC碼表��,并存儲所有與本國使用相同自主開發(fā)加密算法國家或運營商的MCC碼��;b.當用戶設備(UE)發(fā)起呼叫或被呼叫時,該UE將當前用戶的國家移動用戶識別碼(IMSI)信息發(fā)送給CN����,CN收到IMSI信息后,解析并提取出其中的MCC碼��;c.如果CN中的MCC碼表為空����,即表示當前用戶支持所有許可使用的標準加密算法,則CN直接選擇一種許可使用的標準加密算法作為保密通信許可的加密算法��;否則����,CN將所提取的當前用戶的MCC碼與MCC碼表中的元素逐個進行比較,如果當前用戶MCC碼與CN中MCC碼表的某個MCC碼相同��,則CN選擇本國自主開發(fā)的加密算法作為保密通信許可的加密算法����;如果當前用戶MCC碼與CN中MCC碼表的所有MCC碼均不相同,則CN選擇一種許可使用的標準加密算法作為保密通信許可的加密算法���。
該方法還可以進一步包括當CN選定加密算法后����,CN將選定加密算法所對應的加密算法標識發(fā)送給接入網(wǎng);接入網(wǎng)收到后�����,設置自身的安全模式��,同時將該選定加密算法所對應的加密算法標識發(fā)送給UE��,UE設置自身的安全模式��。
所述當前用戶的MCC碼提取出來后可存儲于一寄存器中�����。
由上述方案可以看出����,本發(fā)明的關鍵在于在CN網(wǎng)中設置一個MCC碼表�����,直接根據(jù)MCC碼在CN網(wǎng)中選定進行保密通信的加密算法���。
可見���,本發(fā)明所提供的基于移動國家碼確定保密通信中加密算法的方法���,具有以下的優(yōu)點和特點1)本發(fā)明的方法只是將最終加密算法選擇的決策權(quán)由核心網(wǎng)完成,不需要改變?nèi)魏维F(xiàn)有的安全實施流程���,不會影響整個處理流程����,而且簡化了加密算法的選定過程����。
2)本發(fā)明過程中增加了從國家移動用戶識別碼(IMSI)提取MCC的處理,但是用于提取當前用戶MCC碼的IMSI��,是由處理流程中現(xiàn)有消息提供的��,無需增加額外的比特或消息�����,實現(xiàn)簡單�、方便�。
3)由于本發(fā)明的方法在核心網(wǎng)中預先設置了MCC碼表����,將所有使用相同自主開發(fā)加密算法的國家或運營商對應的MCC碼存于該MCC碼表中,當用戶漫游時����,核心網(wǎng)可通過對當前用戶MCC碼與預存MCC碼表中元素的比較,來選擇加密算法�����,這樣���,不僅避免了用戶漫游時可能出現(xiàn)的沖突��;同時�,可以保證多個具有特殊要求的友好運營商之間在采用相同自主加密算法時的互連互通����。
4)本發(fā)明的方法將原來固定的加密算法選擇方式改變?yōu)橐罁?jù)MCC碼進行判斷選擇的方法,同時將選擇過程從接入網(wǎng)移到核心網(wǎng)���,不僅實現(xiàn)簡單����、靈活��,而且適用于各種移動通信網(wǎng)絡�����,具有相當?shù)耐ㄓ眯浴?br>
5)本發(fā)明所增加的預存MCC碼表中�,包括所有與本國使用相同自主開發(fā)加密算法的友好國家或運營商,那么�,當所有國家或運營商均使用標準加密算法時,則MCC碼表可設置為空�,如此,無論用戶是在本地通話或是漫游�,核心網(wǎng)均可直接通過當前用戶MCC碼與預存MCC碼表中元素的比較,來確定相應的加密算法��。因此��,本發(fā)明不僅有效解決了漫游時自主加密算法需求與標準加密算法選擇之間存在的沖突����,而且完全符合只采用標準算法運營商的需求。
本發(fā)明實現(xiàn)的前提為如果標準中定義了多種許可的標準加密算法時����,為了支持在全球所有國家的國際漫游���,要求系統(tǒng)支持所有的標準加密算法,這正是現(xiàn)有所有3G移動通信系統(tǒng)中必須滿足的條件����。
對于具有特殊加密算法要求的國家或運營商系統(tǒng),除了支持上述所有標準加密算法以外�,核心網(wǎng)還必須支持至少一套自主開發(fā)的非標準加密算法。而且對于必須采取特殊非標準加密算法的系統(tǒng)用戶�,提供服務的終端和接入網(wǎng)中都必須同時擁有所有標準加密算法和該非標準加密算法。
基于上述前提���,本發(fā)明提出了一種在核心網(wǎng)內(nèi)進行有效加密算法許可選擇的方案���,參見圖2所示,該加密算法選擇方案的具體實現(xiàn)過程至少包括以下步驟1)首先在核心網(wǎng)中設置一MCC碼表���,并將所有與本國使用相同自主開發(fā)加密算法的國家或運營商的MCC碼預先存儲于該MCC碼表中���。
2)當某個用戶發(fā)起呼叫或被呼叫時,該用戶將自身的IMSI信息傳送到CN中�����,當CN接收到IMSI信息后���,解析并提取出其中的MCC碼��,該MCC碼可暫存于一寄存器中��。
3)CN將所提取的當前用戶的MCC碼與MCC碼表中預存的元素逐個進行比較����,如果當前MCC碼與CN中預存的MCC碼表內(nèi)的某一個MCC碼相同����,則CN認為該用戶為國內(nèi)用戶或者特殊許可用戶,CN選擇自主開發(fā)的加密算法作為進行保密通信許可的加密算法�����。
4)如果當前MCC碼與CN中預存的MCC碼表內(nèi)的MCC碼均不同或者MCC碼表為空時���,則CN認為該用戶為國外用戶或者漫游用戶�����,則CN從許可使用的標準加密算法中選擇其一作為進行保密通信許可的加密算法�。
5)當CN選定加密算法后,CN將選定加密算法所對應的加密算法標識���,通過相關的安全控制消息發(fā)送給接入網(wǎng)�。
6)接入網(wǎng)收到該消息后�,設置自身的安全模式,同時也將選定加密算法所對應的加密算法標識��,通過相關的安全控制消息發(fā)送給UE�,UE按該信息設置自身安全模式后,雙方按照選定加密算法進行保密通信���。
上述步驟主要涉及保密通信中加密算法的選擇過程�,其余安全模式實施過程與現(xiàn)有技術(shù)完全類似�����。
依據(jù)上述方法��,如果IMSI中提取的MCC碼包含在MCC碼表中��,說明該用戶采用本國非標準加密算法;如果IMSI中提取的MCC碼不包含在MCC碼表中�,說明該用戶支持所有的標準加密算法;如果MCC碼表為空值����,也完全等同于只支持使用標準加密算法的情況。換句話說就是當本國用戶在國內(nèi)應用時�����,根據(jù)MCC碼的選擇將選取該特殊的加密算法加密����;如果本國用戶到擁有相同非標準加密算法的國家或運營商系統(tǒng)中應用時���,根據(jù)MCC碼的選擇將選取該特殊的加密算法加密����;如果本國用戶漫游到其它只支持標準加密算法的國家或運營商系統(tǒng)時����,通過MCC碼的比較選擇可以選定一種標準的加密算法加密。同樣地����,如果其它只支持標準加密算法的用戶漫游到支持非標準加密算法的國家或運營商系統(tǒng)時��,通過MCC碼的比較選擇也同樣選定一種標準的加密碼算法加密����,如果支持某種非標準加密算法的用戶漫游到擁有相同非標準加密算法的國家或運營商系統(tǒng)中應用時����,根據(jù)MCC碼的選擇將選取該特殊的加密算法加密。
通過上述方法����,既可解決漫游時加密算法需求和標準加密算法選擇之間的問題,又保證了國內(nèi)���、國外用戶可在不同的地域選擇相應不同的加密算法進行保密通信�����。
權(quán)利要求
1.一種基于移動國家碼確定保密通信中加密算法的方法�����,其特征在于該方法至少包括以下的步驟a.預先在核心網(wǎng)(CN)中設置一MCC碼表����,并存儲所有與本國使用相同自主開發(fā)加密算法國家或運營商的MCC碼;b.當用戶設備(UE)發(fā)起呼叫或被呼叫時�,該UE將當前用戶的國家移動用戶識別碼(IMSI)信息發(fā)送給CN,CN收到IMSI信息后���,解析并提取出其中的MCC碼����;c.如果CN中的MCC碼表為空���,則CN直接選擇一種許可使用的標準加密算法作為保密通信許可的加密算法;否則��,CN將所提取的當前用戶的MCC碼與MCC碼表中的元素逐個進行比較�,如果當前用戶MCC碼與CN中MCC碼表的某個MCC碼相同,則CN選擇本國自主開發(fā)的加密算法作為保密通信許可的加密算法����;如果當前用戶MCC碼與CN中MCC碼表的所有MCC碼均不相同,則CN選擇一種許可使用的標準加密算法作為保密通信許可的加密算法����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于該方法進一步包括當CN選定加密算法后,CN將選定加密算法所對應的加密算法標識發(fā)送給接入網(wǎng)��,接入網(wǎng)收到后�,設置自身的安全模式;接入網(wǎng)將該選定加密算法所對應的加密算法標識發(fā)送給UE��,UE設置自身的安全模式�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于所述當前用戶的MCC碼提取出來后可存儲于一寄存器中�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于所述的MCC碼表為空時��,當前用戶支持所有許可使用的標準加密算法�。
全文摘要
本發(fā)明公開了一種基于移動國家碼確定保密通信中加密算法的方法,該方法是預先在核心網(wǎng)(CN)中設置一MCC碼表��,并存儲所有與本國使用相同自主開發(fā)加密算法國家或運營商的MCC碼����;當用戶發(fā)起呼叫或被呼叫時,其將自身的國家移動用戶識別碼信息發(fā)送給CN�,CN從中提取出該用戶的MCC碼;CN將所提取的MCC碼與MCC碼表中的元素逐個比較����,如果有相同的��,則CN選擇本國自主開發(fā)的加密算法��;如果沒有相同的或MCC碼表為空��,則CN選擇一種標準的加密算法����;然后����,CN將選定加密算法所對應的加密算法標識發(fā)送給接入網(wǎng);接入網(wǎng)再將該加密算法標識發(fā)送給用戶終端��。該方法既允許標準加密算法與自主開發(fā)加密算法共存�����,又簡化了加密算法選定過程��,進而保證用戶利益和服務質(zhì)量��。
文檔編號H04W12/02GK1427635SQ01144638
公開日2003年7月2日 申請日期2001年12月21日 優(yōu)先權(quán)日2001年12月21日
發(fā)明者鄭志彬 申請人:華為技術(shù)有限公司