專利名稱:算法協(xié)商的方法��、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無(wú)線通信技術(shù)�,尤其涉及算法協(xié)商的方法、裝置及系統(tǒng)����。
背景技術(shù):
3GPP ( Third Generation Partnership Project第三代合作伙伴計(jì)劃)定義了 一種第三代無(wú)線通信網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)UMTS( Universal Mobile Telecommunication System通用移動(dòng)通信系統(tǒng))。為了保證3GPP在未來的竟?fàn)幜?�,目前?GPP 中��,各廠商積才及研究EPS ( Evolved Packet System演進(jìn)的分組系統(tǒng))���。
在EPS網(wǎng)絡(luò)的密鑰架構(gòu)中�,USIM( UMTS Subscriber Identity Module UMTS 用戶識(shí)別卡)和網(wǎng)絡(luò)側(cè)的AuC (Authentication Centre鑒權(quán)中心)共享密鑰K; USIM和AuC基于共享密鑰K推演得到密鑰CK和IK; AuC將CK和IK發(fā)送 到HSS (Home Subscriber Server歸屬客戶月l務(wù)器)�����。UE ( User Equipment用戶 設(shè)備)和HSS基于CK和IK推演KASME��。 UE和HSS之間推演KASME的算法 是默認(rèn)的�����,以下將推演KASME的算法也簡(jiǎn)稱為密鑰推演算法。
在實(shí)現(xiàn)本發(fā)明過程中��,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題隨著 HSS和UE的升級(jí)��,HSS和不同廠家生產(chǎn)的UE可能支持多種更加安全的推演 Kasme的算法��,然而���,現(xiàn)有技術(shù)中UE和HSS之間推演KASME的算法是默認(rèn)的, 所以很難滿足支持多種密鑰推演算法的需求�。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種算法協(xié)商的方法、裝置及系統(tǒng)����,使得HSS和用戶 設(shè)備之間能夠?qū)Χ咚褂玫拿荑€推演算法進(jìn)行協(xié)商。
本發(fā)明實(shí)施例公開了一種算法協(xié)商的方法�����,包括網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所 能支持的用于推演密鑰KASME的算法的信息���;根據(jù)用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息����,選擇算法;將所選算法作為用戶設(shè)備和HSS之間
用于推演密鑰kasme的算法�����。
本發(fā)明實(shí)施例公開了一種網(wǎng)絡(luò)側(cè)設(shè)備���,包括收發(fā)單元���,用于獲取用戶設(shè)
備所能支持的用于推演密鑰kasme的算法的信息;選擇單元����,用于根據(jù)用戶設(shè)
備和歸屬客戶服務(wù)器HSS所能支持的算法的信息,選擇算法�,并將所選的算法 作為用戶設(shè)備和HSS之間用于推演密鑰KASME的算法。
本發(fā)明實(shí)施例公開了一種算法協(xié)商的用戶設(shè)備�,包括收發(fā)單元,用于向
網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送本用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信息�����,以
及接收上述網(wǎng)絡(luò)側(cè)設(shè)備在選擇算法后發(fā)送的所選算法的信息�����。
本發(fā)明實(shí)施例公開了一種算法協(xié)商的網(wǎng)絡(luò)側(cè)設(shè)備,包括收發(fā)單元��,用于
獲取用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信息���;選擇單元,用于
根據(jù)用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息���,選擇算法�;并將
所選的算法作為用戶設(shè)備和HSS之間用于推演密鑰kasme的算法���。
本發(fā)明實(shí)施例公開了一種算法協(xié)商的系統(tǒng)�����,包括用戶設(shè)備用于向網(wǎng)絡(luò)
側(cè)設(shè)備發(fā)送本用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信息��,并接收
網(wǎng)絡(luò)側(cè)設(shè)備在選擇算法后發(fā)送的所選算法的信息�;網(wǎng)絡(luò)側(cè)設(shè)備用于獲取用戶
設(shè)備所能支持的用于推演密鑰kasme的算法的信息���,根據(jù)用戶設(shè)備所能支持的
算法的信息進(jìn)行算法選擇�����,并向用戶設(shè)備發(fā)送所選算法的信息�����。
通過比較可以發(fā)現(xiàn)�,上述技術(shù)方案中的一個(gè)技術(shù)方案與現(xiàn)有技術(shù)相比,具 有如下優(yōu)點(diǎn)或有益效果
本發(fā)明實(shí)施例中�����,通過網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所能支持的用于推演密鑰 Kasme的算法的信息��;根據(jù)用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的 信息���,選擇算法�����;將所選算法作為用戶設(shè)備和HSS之間用于推演密鑰kasme的 算法�;從而實(shí)現(xiàn)了HSS和用戶設(shè)備之間對(duì)算法的協(xié)商����,方便于對(duì)密鑰推演算法 的靈活選擇�。
圖1為本發(fā)明實(shí)施例所提供的算法協(xié)商的方法的流程圖2為本發(fā)明實(shí)施例1所提供的算法協(xié)商的方法流程圖3為本發(fā)明實(shí)施例2所提供的算法協(xié)商的方法流程圖4為本發(fā)明實(shí)施例2中一種HSS將所選算法在AV中設(shè)置的方式示意圖5為本發(fā)明實(shí)施例3所提供的算法協(xié)商的方法流程圖6為本發(fā)明實(shí)施例4所提供的算法協(xié)商的方法流程圖7為本發(fā)明實(shí)施例5應(yīng)用場(chǎng)景下的網(wǎng)絡(luò)架構(gòu)圖8為依據(jù)本發(fā)明實(shí)施例的算法協(xié)商系統(tǒng)及裝置圖9為依據(jù)本發(fā)明實(shí)施例提供的另 一種算法協(xié)商系統(tǒng)及裝置圖IO所示為實(shí)現(xiàn)本發(fā)明實(shí)施例所提供的網(wǎng)絡(luò)側(cè)設(shè)備示意圖�。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面結(jié)合附圖對(duì)本發(fā)明各 實(shí)施例作進(jìn)一步的詳細(xì)描述�。
本發(fā)明實(shí)施例^是供了一種算法協(xié)商的方法,具體包括
步驟a�、網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信
息;
步驟b�����、根據(jù)所述用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息����, 選擇算法���;
步驟c����、將所選的算法作為用戶設(shè)備和HSS之間用于推演密鑰kasme的算法。
本發(fā)明實(shí)施例4是供了一種算法協(xié)商的方法��,如圖l所示 在步驟101中���,HSS獲取用戶設(shè)備所能支持的算法的信息��; 在步驟102中�����,HSS根據(jù)用戶設(shè)備所能支持的算法的信息�����,選擇算法����; 在步驟103中���,HSS向所述用戶設(shè)備發(fā)送所選算法的信息����。 所述算法的信息具體可以為用于推演Kasme的算法的信息���。所述HSS可以 通過MME (Mobility Management Entity移動(dòng)管理實(shí)體)和基站獲取用戶設(shè)備所能支持的密鑰推演算法的信息并發(fā)送所選算法的信息����。
圖2所示為本發(fā)明實(shí)施例1所提供的算法協(xié)商的方法流程,包括
步驟201����、 UE向eNB ( eNodeB演進(jìn)基站)發(fā)送Attach/TAU Request (附著
/位置更新請(qǐng)求),在該Attach/TAURequest中攜帶UE支持的密鑰推演算法的信 臺(tái)
具體的攜帶方式可以是由于在Attach/TAU Request中攜帶著UE的臨時(shí)身 份��,如UE Network Capability (UE的網(wǎng)絡(luò)能力)等信息����,因此可以在所述UE 的網(wǎng)絡(luò)能力信息中攜帶UE支持的密鑰推演算法的信息。
步驟202��、 eNB收到Attach/TAURequest后�����,將此消息轉(zhuǎn)發(fā)給MME�����。 步驟203���、 MME決定觸發(fā)AKA( Authentication and Key Agreed認(rèn)證和密鑰 協(xié)商)過程�。
步驟204 �、在執(zhí)行AKA過程中,MME向HSS發(fā)送Authentication Data Request(認(rèn)證數(shù)據(jù)請(qǐng)求)��,在該Authentication Data Request中攜帶UE支持的密鑰 推演算法的信息����。
MME向HSS發(fā)送的Authentication Information Request包含有Requesting Node Type的IE (Information Element信息元素)。該IE主要是用來指示請(qǐng)求認(rèn) 證向量的節(jié)點(diǎn)類型���,比如MME���、 SGSN、 MME/SGSN等���?�?梢詫?duì)該IE進(jìn)行擴(kuò) 展��,比如擴(kuò)展4bit來表示UE支持的算法����,比如0001表示支持算法1, OOll表 示支持算法1和算法2�����, Olll表示支持算法l���、算法2�����、算法3, llll表示可以支 持算法l�、算法2�、算法3、算法4四種算法���。
需要特別說明的是�����,上述算法l、算法2���、算法3��、算法4代表四種不同的可 支持算法�,僅僅是為方便理解而進(jìn)行的舉例說明,不能夠?qū)Ρ景l(fā)明實(shí)施例適用 的范圍進(jìn)行限定���,即在某些系統(tǒng)中也許沒有采用上述算法種類和名稱���,但是, 不能由此認(rèn)為本發(fā)明實(shí)施例中的技術(shù)方案不能夠適用于這些系統(tǒng)�。
步驟205、 HSS選擇一種用戶設(shè)備支持的密鑰推演算法�。
步驟206、在執(zhí)行AKA過程中�����,將步驟205中選擇出的算法的信息通過
9Authentication Data Response(iU正凄t據(jù)響應(yīng))消息發(fā)送給MME��。
步驟207�����、 MME收到HSS發(fā)送的認(rèn)證數(shù)據(jù)響應(yīng)后�,和UE執(zhí)行后續(xù)的AKA 過程。
步驟208����、 AKA過程成功后��,MME和UE之間建立NAS(Non-Access Stratum 非接入層)SMC( Security Mode Command安全模式命令)過程��。MME通過eNB 向UE發(fā)送NAS SMC消息�,在該消息中攜帶HSS選擇的密鑰推演算法的信息�����。
步驟209��、 eNB收到MME的NAS SMC消息后����,和UE建立RRC (Radio Resource Control無(wú)線資源控制)承載,通過RRC承載將NAS SMC消息轉(zhuǎn)發(fā)給 UE; UE從NAS SMC消息中獲取HSS選擇的密鑰推演算法的信息���。
值得一提的是由于eNB有可能篡改UE的算法�,所以有必要將UE支持的 算法從網(wǎng)絡(luò)側(cè)回傳給UE進(jìn)行驗(yàn)證�。回傳的方法可以是在步驟208中����,MME 將在步驟202中收到的UE所支持的算法放入NAS SMC消息中傳送給UE;還可 以是,在步驟205中HSS利用AV (Authentication Vector認(rèn)證向量)中的AMF (Authentication Management Field認(rèn)i正管理域)中的任意4bit來表示在步驟204 中從MME收到的UE支持的算法�,通過步驟206和步驟207傳送給UE。
上述AMF是AV ( Authentication Vector認(rèn)證向量)中的AUTN (Authentication token認(rèn)證令牌)包含的認(rèn)證管理域����,它被包含在步驟206的 認(rèn)證數(shù)據(jù)響應(yīng)中發(fā)送給MME。
在本實(shí)施例中�,UE將支持的密鑰推演算法的信息上報(bào)給HSS, HSS從所述 算法中做出選擇并反饋給UE,從而建立起了 UE和HSS之間的算法協(xié)商機(jī)制��, 實(shí)現(xiàn)了密鑰推演算法的靈活選擇�����,而且對(duì)現(xiàn)有技術(shù)中MME和HSS之間的上行接 口協(xié)議修改較小��。
圖3所示為本發(fā)明實(shí)施例2所提供的算法協(xié)商的方法流程�����,與實(shí)施例1的主 要區(qū)別在于HSS在選擇一種密鑰推演算法后����,用于攜帶所選算法的信息的方 式不同。具體包括
步驟301��、 302、 303�����、 304分別與實(shí)施例1中步驟201�����、 202���、 203���、 204對(duì)應(yīng)相同,在此不再贅述�����。
步驟305�、 HSS選擇一種UE支持的密鑰推演算法后,用AV攜帶所選算法的
4呂息���。
具體攜帶所選算法的信息的方式可以是用AV中的AUTN包含的AMF的 一位或幾位來表示選擇的算法��。
目前AMF有16bit�����,已經(jīng)規(guī)定第O位是separationbit (分離比特)����,用該位的 置位表示是SAE的AV,其余的l到7bit是位標(biāo)準(zhǔn)化預(yù)留位�����,8到15bit是為 proprietary (私有)的目的來使用��。因此可以選擇8到15bit中的某幾位來表示密 鑰推演算法���。HSS通過對(duì)這些算法進(jìn)行置位來表示該算法��。下面進(jìn)行舉例說明
如圖4所示為本發(fā)明實(shí)施例2的步驟305中 一種HSS將所選算法在AV中設(shè)置 的方式示意圖�,包括假設(shè)UE支持A�、 B、 C����、 D四種密鑰推演算法供HSS選擇, 并和HSS約定分別用OO、 01�����、 10�����、 ll來表示��;則HSS在四種算法中做出選擇后��, 將所選算法以置位的方式記錄在AMF中���。例如HSS選擇了算法A,則可選擇 將AMF的第14���、 15位分別置位成0、 0來表示選擇結(jié)果�;如果HSS將第14、 15位 分別置位成0�����、 1,則表示選擇了算法B��。
需要特別指出的是HSS還可以根據(jù)UE的算法種類數(shù)量等因素,與UE約 定其它的表示方法�,或者選擇AMF其它 一位或幾位攜帶選擇結(jié)果。
步驟306�、在執(zhí)行AKA過程中,HSS將攜帶所選算法的信息的AV通過 Authentication Data Response(iU正凄t據(jù)響應(yīng))消息發(fā)送給MME��。
步驟307���、在執(zhí)行后續(xù)的AKA過程中,MME和eNB將AV轉(zhuǎn)發(fā)給UE, UE通 過AV中AMF的置位情況獲知HSS選擇的是哪一種算法����。
需要特別說明的是,本發(fā)明實(shí)施例2中涉及的圖4是HSS通過置位來表示所 選算法的一種情況�,僅僅是為方便理解而進(jìn)行的舉例說明。圖4中UE算法的種 類���、名稱����,如A�����、 B、 C�、 D、 00�、 01、 10�����、 ll等不能夠?qū)Ρ景l(fā)明實(shí)施例適用的 范圍進(jìn)行限定�,即在某些系統(tǒng)中也許沒有采用上述算法種類和名稱,但是�,不 能由此認(rèn)為本發(fā)明實(shí)施例中的技術(shù)方案不能夠適用于這些系統(tǒng)。
ii值得一提的是由于eNB有可能篡改UE的算法��,所以有必要將UE支持的 算法從網(wǎng)絡(luò)側(cè)回傳給UE進(jìn)行驗(yàn)證���?����;貍鞯姆椒ㄅc實(shí)施例2大致相同�,在此不再 贅述�。
在本實(shí)施例中,HSS將所選算法的信息用AMF的某幾位表示���,攜帶在AUTN 中發(fā)送給用戶設(shè)備����,充分利用了現(xiàn)有資源,實(shí)現(xiàn)了密鑰推演算法的靈活選擇����。 同時(shí),通過對(duì)AMF置位的方法讓HSS將選擇的算法告知給UE,該方法對(duì)下行 協(xié)議修改較小����。
圖5所示為本發(fā)明實(shí)施例3所提供的算法協(xié)商的方法流程,與實(shí)施例1的主 要區(qū)別在于由MME決定具體選擇哪種密鑰推演算法���。具體包括
步驟501、 502分別與實(shí)施例1中步驟201����、 202對(duì)應(yīng)相同,在此不再贅述����。
步驟503、 MME決定執(zhí)行AKA,并根據(jù)UE和HSS支持的算法以及本地策略 選擇UE和HSS支持的算法��。
需要說明的是,MME獲知HSS支持的算法的方法可以是提前在MME上 配置��,也可以是在步驟503之前HSS通過單獨(dú)新增的消息將支持的算法上報(bào)給 MME����。
上述本地策略可以是MME從UE和HSS都支持的算法中選擇一個(gè)安全性 最高的算法。
步驟504�、 MME向HSS發(fā)送攜帶步驟503中所選算法的認(rèn)證數(shù)據(jù)請(qǐng)求。 步驟505���、 HSS根據(jù)MME選擇的算法��,從CK和IK推演&KASME,并向MME
發(fā)送Authentication Data Response(^人"i正凄t才居響應(yīng))消息-�。
該Authentication Data Response中可以攜帶HSS推演出的Kas細(xì)���,
步驟506�����、 MME收到HSS發(fā)送的認(rèn)證數(shù)據(jù)響應(yīng)后,和UE執(zhí)行后續(xù)的AKA過程��。
步驟507���、 AKA過程成功后����,MME和UE之間建立NAS(Non-Access Stratum 非接入層)SMC( Security Mode Command安全才莫式命令)過程。MME通過eNB 向UE發(fā)送NAS SMC消息����,在該消息中攜帶選擇的密鑰推演算法的信息。步驟508����、 eNB收到MME的NAS SMC消息后,和UE建立RRC (Radio Resource Control無(wú)線資源控制)承載�,通過RRC承載將NAS SMC消息轉(zhuǎn)發(fā)給 UE; UE從NAS SMC消息中獲取被選的密鑰推演算法的信息。
值得一提的是由于eNB有可能篡改UE的算法��,所以在步驟507中MME 有必要將UE支持的算法從網(wǎng)絡(luò)側(cè)回傳給UE進(jìn)行驗(yàn)證�?��;貍鞯姆椒ㄅc實(shí)施例2 中MME回傳UE支持的算法的方法大致相同���,在此不再贅述。
在本實(shí)施例中�,由MME^^據(jù)UE和HSS支持的密鑰推演算法選擇UE和HSS 之間用于推演密鑰KASME的算法�,從而建立起了UE和HSS之間的算法協(xié)商機(jī)制����, 實(shí)現(xiàn)了密鑰推演算法的靈活選擇。
圖6所示為本發(fā)明實(shí)施例4所提供的算法協(xié)商的方法流程�,主要涉及EPS網(wǎng) 絡(luò)間切換場(chǎng)景下UE和HSS之間的算法協(xié)商方法。具體包括
步驟601 �、 UE當(dāng)前所在網(wǎng)絡(luò)中的基站源eNB決定執(zhí)行切換。
步驟602��、源eNB向源MME發(fā)送Handover Required (切換請(qǐng)求)��。
步驟603 �、源MME向切換目標(biāo)網(wǎng)絡(luò)中的目標(biāo)MME發(fā)送Forward Relocation Request (轉(zhuǎn)發(fā)的重定位請(qǐng)求),攜帶UE的密鑰推演算法的信息��。
該Forward Relocation Request包含UE的安全能力��,而UE的安全能力中可以 包含UE支持的密鑰推演算法�。
可選的,源MME可以將HSS支持的算法通過該消息通知給目標(biāo)MME��。
步驟604-610��,完成后續(xù)的切換過程。其中
步驟604���、目標(biāo)MME向目標(biāo)eNB發(fā)送切換請(qǐng)求�。
步驟605���、目標(biāo)eNB向目標(biāo)MME發(fā)送切換請(qǐng)求應(yīng)答���。
步驟606、目標(biāo)MME向源MME轉(zhuǎn)發(fā)重定位響應(yīng)����。
步驟607、源MME向源eNB發(fā)送切換命令����。
步驟608、源eNB向UE發(fā)送切換命令��。
步驟609�����、 UE向目標(biāo)eNB進(jìn)行切換確認(rèn)�����。
步驟610�����、目標(biāo)eNB向目標(biāo)MME發(fā)送切換通告��。
13步驟611����、切換成功后,UE向目標(biāo)eNB發(fā)送TAU (TrackingArea )位置更
新請(qǐng)求����。
步驟612、目標(biāo)eNB將TAU消息轉(zhuǎn)發(fā)給目標(biāo)MME.
步驟613 �����、目標(biāo)MME決定執(zhí)行AKA認(rèn)證過程�;目標(biāo)MME根據(jù)本地策略從 UE和HSS支持的算法中選擇一個(gè)算法。
由于在步驟603中��,目標(biāo)MME已經(jīng)獲知了UE支持的算法��,如果目標(biāo)MME 還從步驟603中獲得了HSS支持的算法,那么目標(biāo)MME就可以根據(jù)本地策略選 擇一個(gè)UE和HSS之間的算法�����。如果步驟603中目標(biāo)MME沒有從源MME獲得HSS 支持的算法�,那么MME獲知HSS支持的算法的方法可以是提前在MME上配 置,也可以是在步驟613之前HSS通過單獨(dú)新增的消息將支持的算法上報(bào)給 MME��。
步驟614���、目標(biāo)MME向HSS發(fā)送認(rèn)證數(shù)據(jù)請(qǐng)求����。該認(rèn)證數(shù)據(jù)請(qǐng)求中還要包 含MME選擇的算法��。即����,MME通過這個(gè)消息將步驟613中選擇的算法告知給 HSS。
步驟615�、 HSS根據(jù)MME選擇的算法,從CK和IK推演iKASME,并向MME
發(fā)送Authentication Data Response(^人i正凄t^居響應(yīng))消息'��。
步驟616���、目標(biāo)MME和UE之間執(zhí)行后續(xù)的AKA認(rèn)證過程��。
步驟617�、 AKA過程成功后����,目標(biāo)MME和UE之間建立NAS (Non-Access
Stratum非接入層)SMC ( Security Mode Command安全模式命令)過程。目
標(biāo)MME通過目標(biāo)eNB向UE發(fā)送NAS SMC消息�����,在該消息中攜帶選擇的密鑰推
演算法的信息��。
步驟618�、目標(biāo)eNB收到目標(biāo)MME的NAS SMC消息后,和UE建立RRC承 載����,通過RRC承載將NAS SMC消息轉(zhuǎn)發(fā)給UE; UE從NAS SMC消息中獲取被 選的密鑰推演算法的信息。
值得一提的是由于eNB有可能篡改UE的算法��,所以在步驟617中目標(biāo) MME有必要將UE支持的算法從網(wǎng)絡(luò)側(cè)回傳給UE進(jìn)行驗(yàn)證�。回傳的方法與實(shí)施例2中MME回傳UE支持的算法的方法大致相同��,在此不再贅述。
本實(shí)施例通過MME參與算法選擇�,實(shí)現(xiàn)了EPS網(wǎng)絡(luò)間切換場(chǎng)景下,UE和 HSS之間的算法協(xié)商的問題�����。
本發(fā)明實(shí)施例5所提供的算法協(xié)商的方法流程主要涉及EPS到2G/3G網(wǎng)絡(luò) 切換場(chǎng)景下UE和HSS之間的密鑰推演算法協(xié)商方法�。
在2G/3G系統(tǒng)中,有可能運(yùn)營(yíng)商沒有來得及升級(jí)HLR (Home Location Register位置歸屬寄存器)至具備HSS的功能��,所以采用IWF(Interworking Function網(wǎng)絡(luò)互通功能單元)來實(shí)現(xiàn)HLR與EPS系統(tǒng)的互通����,即IWF與HLR聯(lián)合 起來起到HSS的作用。此時(shí)��,UE和HSS之間密鑰推演算法協(xié)商要在UE和代表 HSS部分功能的IWF之間進(jìn)行����,由IWF實(shí)現(xiàn)CK/IK到KASME的推演。網(wǎng)絡(luò)架構(gòu)如 圖7所示��。具體算法協(xié)商方法包括
IWF���、 UE分別上報(bào)自己支持的算法給MME,上報(bào)方法同實(shí)施例3中HSS和 UE向MME上報(bào)算法的過程大致對(duì)應(yīng)相同���,主要區(qū)別在于用IWF代替HSS執(zhí)行 算法協(xié)商功能�。然后MME根據(jù)本地策略決定一種UE和IWF之間的算法��,并將 此算法告知給UE和IWF,其告知過程與實(shí)施例3中MME在選擇算法后告知UE 和HSS的方式對(duì)應(yīng)相同���。
值得一提的是由于eNB有可能篡改UE的算法,所以MME有必要將UE支 持的算法從網(wǎng)絡(luò)側(cè)回傳給UE進(jìn)行驗(yàn)證�。回傳的方法與實(shí)施例2中MME回傳UE 支持的算法的方法大致相同�����,在此不再贅述����。
本實(shí)施例解決了EPS到2G/3G網(wǎng)絡(luò)切換場(chǎng)景下UE和HSS之間的密鑰推演算 法協(xié)商的問題。
本領(lǐng)域普通技術(shù)人員可以理解��,上述各實(shí)施例中的全部或部分步驟可以通 過程序指令相關(guān)的硬件來實(shí)現(xiàn)�,所述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì) 中,所述的存儲(chǔ)介質(zhì)��,可以是ROM/RAM����、磁碟�����、光盤等��。
還可以理解的是,雖然上述說明中�����,為便于理解��,對(duì)方法的步驟采用了順 序性描述����,但是應(yīng)當(dāng)指出的是,對(duì)于上述步驟的順序并不做嚴(yán)格的限制�。圖IO所示為實(shí)現(xiàn)本發(fā)明實(shí)施例所提供的網(wǎng)絡(luò)側(cè)設(shè)備示意圖。該網(wǎng)絡(luò)側(cè)設(shè)備 具體包括收發(fā)單元1001�、選擇單元1002。其中收發(fā)單元IOOI����,用于獲取用戶設(shè) 備所能支持的用于推演密鑰KASME的算法的信息��;選擇單元1002,用于根據(jù)用 戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息�,選才奪算法���;并將所選的
算法作為用戶設(shè)備和HSS之間用于推演密鑰KASME的算法��。
該網(wǎng)絡(luò)側(cè)設(shè)備可以是HSS或者M(jìn)ME����。
當(dāng)該網(wǎng)絡(luò)側(cè)設(shè)備為HSS時(shí)��,上述收發(fā)單元1001進(jìn)一步用于將選擇單元1002 選擇的算法發(fā)送給UE�����。
當(dāng)該網(wǎng)絡(luò)側(cè)設(shè)備為MME時(shí),上述收發(fā)單元1001進(jìn)一步用于獲取HSS支持的 算法信息��,并將選擇單元1002選擇的算法分別發(fā)送給UE和HSS���。
下面介紹本發(fā)明實(shí)施例涉及的移動(dòng)通訊系統(tǒng)實(shí)施例����,該系統(tǒng)可以實(shí)現(xiàn)如上 述方法實(shí)施例中所描述的步驟,可以理解的是��,本發(fā)明實(shí)施例中的該系統(tǒng)還可 以包含實(shí)現(xiàn)通信功能的其它眾多實(shí)體����,對(duì)于其它現(xiàn)有技術(shù)中可能揭示的技術(shù)屬 于通信領(lǐng)域內(nèi)已規(guī)范化的技術(shù),本實(shí)施例中不再贅述細(xì)節(jié)��;但是為了介紹本發(fā) 明實(shí)施例中的實(shí)現(xiàn)方案�����,這里僅指出了該系統(tǒng)中主要部分����。請(qǐng)參閱圖8,該系 統(tǒng)80包括用戶設(shè)備81和與其通訊的網(wǎng)絡(luò)側(cè)設(shè)備HSS 82�,其中
用戶設(shè)備81包括收發(fā)單元811,用于向網(wǎng)絡(luò)側(cè)設(shè)備HSS 82發(fā)送用戶設(shè)備所 能支持的算法的信息�,并接收HSS 82在選擇算法后發(fā)送的所選算法的信息。
網(wǎng)絡(luò)側(cè)設(shè)備HSS 82包括收發(fā)單元821以及選擇單元822�����,其中收發(fā)單元821, 用于獲取用戶設(shè)備81所能支持的算法的信息����,并將由選擇單元822選出的算法 的信息發(fā)送給用戶設(shè)備81;選擇單元822用于根據(jù)用戶設(shè)備81所能支持的算法 的信息,選擇算法�����;該選擇單元822�,可以進(jìn)一步用于將所述所選算法的信息 以置位的方式i殳置到認(rèn)證向量AV中。
收發(fā)單元821可以通過MME發(fā)送的認(rèn)證數(shù)據(jù)請(qǐng)求消息獲取所述用戶設(shè)備 所能支持的算法的信息����,并將由所述選擇單元822選出的算法的信息通過認(rèn)證 數(shù)據(jù)響應(yīng)消息發(fā)送給所述MME。
16圖9所示為本發(fā)明實(shí)施例提供的另 一種系統(tǒng)90包括用戶設(shè)備91和與其通訊 的網(wǎng)絡(luò)側(cè)設(shè)備MME92,其中
用戶設(shè)備91包括收發(fā)單元911 ����,用于向網(wǎng)絡(luò)側(cè)設(shè)備MME 92發(fā)送用戶設(shè)備所 能支持的算法的信息���,并接收MME 92在選擇算法后發(fā)送的所選算法的信息���。
網(wǎng)絡(luò)側(cè)設(shè)備MME 92包括收發(fā)單元921以及選擇單元922,其中收發(fā)單元 921,用于獲取用戶設(shè)備91以及HSS所能支持的算法的信息�,并將由選擇單元 922選出的算法的信息發(fā)送給HSS以及用戶設(shè)備91;選擇單元922用于根據(jù)用戶 設(shè)備91所能支持的算法的信息,選擇算法。
可以理解的是����,附圖中所示的結(jié)構(gòu)僅僅是示意性的,表示邏輯結(jié)構(gòu)��,其中 所述作為分離部件顯示的單元可能是或者可能不是物理上分開的�,作為單元顯 示的部件可能是或者可能不是物理單元�����,即可以位于一個(gè)地方或者分布到幾個(gè) 網(wǎng)纟各單元上�����。
附圖和相關(guān)描述只是為了說明本發(fā)明的原理��,并非用于限定本發(fā)明的保護(hù) 范圍��。例如����,本發(fā)明各實(shí)施例中的消息名稱可以根據(jù)網(wǎng)絡(luò)的不同而有所變化, 一些消息也可以省略�����。因此,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、 等同替換、改進(jìn)等�,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
雖然通過參照本發(fā)明的某些優(yōu)選實(shí)施例��,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描 述�����,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白����,可以在形式上和細(xì)節(jié)上對(duì)其作各種改 變,而不偏離本發(fā)明的精神和范圍���。
權(quán)利要求
1�����、一種算法協(xié)商的方法,其特征在于��,包括網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息���;根據(jù)所述用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息��,選擇算法��;將所選算法作為所述用戶設(shè)備和所述HSS之間用于推演密鑰KASME的算法��。
2���、 如權(quán)利要求l所述的方法,其特征在于�����,所述網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息����,具體包括所述HSS獲取用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息; 由所述HSS執(zhí)行所述根據(jù)所述用戶設(shè)備和HSS所能支持的算法的信息選擇 算法的步驟���。
3��、 如權(quán)利要求2所述的方法�����,其特征在于����,所述HSS獲取用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息�,具體包括所述HSS通過移動(dòng)管理實(shí)體MME和基站獲取所述用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息。
4�����、 如權(quán)利要求3所述的方法����,其特征在于,所述HSS從所述MME發(fā)送來的認(rèn)證數(shù)據(jù)請(qǐng)求消息中獲取所述用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息�����;和/或��,所述MME從所述基站轉(zhuǎn)發(fā)的所述用戶設(shè)備的附著或位置更新請(qǐng)求中獲取所述用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息�。
5����、 如權(quán)利要求2所述的方法,其特征在于����,進(jìn)一步包括 所述HSS通過MME和基站向所述用戶設(shè)備發(fā)送所述所選算法的信息。
6���、 如權(quán)利要求5所述的方法�����,其特征在于��,所述HSS向所述MME發(fā)送認(rèn)證數(shù)據(jù)響應(yīng)消息���,所述認(rèn)證數(shù)據(jù)響應(yīng)消息包含 所述所選算法的信息;和/或���,所述MME通過所述基站向所述用戶設(shè)備發(fā)送非接入層安全模式命 令NAS SMC,所述非接入層安全模式命令NAS SMC包含所述所選算法的信息���。
7��、 如權(quán)利要求2所述的方法����,其特征在于����,所述所選算法的信息具體為 用認(rèn)證向量AV中的認(rèn)證令牌AUTN包含的認(rèn)證管理域AMF的 一位或多位來表示。
8����、 如權(quán)利要求7所述的方法��,其特征在于�,進(jìn)一步包括 所述HSS在執(zhí)行認(rèn)證和密鑰協(xié)商AKA的過程中,通過MME和基站將包含所述所選算法的信息的AV發(fā)送給所述用戶設(shè)備����。
9、 如權(quán)利要求l所述的方法�,其特征在于,在所述根據(jù)所述用戶設(shè)備和HSS 所能支持的算法的信息���,選擇算法之前�����,進(jìn)一步包括MME獲取所述HS S支持的算法的信息��;由所述MME執(zhí)行所述根據(jù)所述用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持 的算法的信息選擇算法的步驟��。
10�、 如權(quán)利要求9所述的方法���,其特征在于���,進(jìn)一步包括 所述MME分別向所述用戶設(shè)備和所述HSS發(fā)送所述所選算法的信息。
11���、 如權(quán)利要求l所述的方法��,其特征在于,進(jìn)一步包括所述網(wǎng)絡(luò)側(cè)將所述用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信息回傳給UE進(jìn)行-驗(yàn)證����。
12、 一種網(wǎng)絡(luò)側(cè)設(shè)備���,其特征在于��,包括收發(fā)單元用于獲取用戶設(shè)備所能支持的用于推演密鑰KASME的算法的信自.選擇單元用于根據(jù)用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信 息�����,選擇算法����;并將所選的算法作為用戶設(shè)備和HSS之間用于推演密鑰KASME 的算法。
13���、 如權(quán)利要求12所述網(wǎng)絡(luò)側(cè)設(shè)備���,其特征在于,所述網(wǎng)絡(luò)側(cè)設(shè)備具體為 HSS或MME����。
14、 如權(quán)利要求13所述的網(wǎng)絡(luò)側(cè)設(shè)備��,其特征在于�, 所述網(wǎng)絡(luò)側(cè)設(shè)備為HSS時(shí),所述收發(fā)單元用于通過MME發(fā)送的認(rèn)證數(shù)據(jù)請(qǐng)求消息獲取所述用戶設(shè)備 所能支持的算法的信息,還用于將由所述選擇單元選出的算法的信息通過認(rèn)證 數(shù)據(jù)響應(yīng)消息發(fā)送給所述MME��。
15��、 如權(quán)利要求13所述的網(wǎng)絡(luò)側(cè)設(shè)備��,其特征在于��, 所述網(wǎng)絡(luò)側(cè)設(shè)備為HSS時(shí)���,所述選擇單元,進(jìn)一步用于將所述所選算法的信息以置位的方式設(shè)置到認(rèn) 證向量AV中���;所述收發(fā)單元用于通過MME發(fā)送的認(rèn)證數(shù)據(jù)請(qǐng)求消息獲取所述用戶設(shè)備 所能支持的算法的信息��,還用于將包含所述所選算法的信息的AV通過認(rèn)證數(shù) 據(jù)響應(yīng)消息發(fā)送I^所述MME�����。
16���、 一種算法協(xié)商的方法,其特征在于���,包括用戶設(shè)備向網(wǎng)絡(luò)側(cè)發(fā)送本用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信息�;接收所述網(wǎng)絡(luò)側(cè)在選擇算法后發(fā)送的所選算法的信息。
17��、 一種用戶設(shè)備����,其特征在于,包括收發(fā)單元用于向網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送本用戶設(shè)備所能支持的用于推演密鑰 Kasme的算法的信息���,以及接收所述網(wǎng)絡(luò)側(cè)設(shè)備在選擇算法后發(fā)送的所選算法 的信息�����。
18�、 一種算法協(xié)商的系統(tǒng)��,其特征在于����,包括用戶設(shè)備用于向網(wǎng)絡(luò)側(cè)設(shè)備發(fā)送本用戶設(shè)備所能支持的用于推演密鑰 Kasme的算法的信息,并接收網(wǎng)絡(luò)側(cè)設(shè)備在選擇算法后發(fā)送的所選算法的信息�;網(wǎng)絡(luò)側(cè)設(shè)備用于獲取所述用戶設(shè)備所能支持的用于推演密鑰kasme的算法的信息,根據(jù)所述用戶設(shè)備所能支持的算法的信息進(jìn)行算法選擇�����,并向所述 用戶設(shè)備發(fā)送所選算法的信息。
全文摘要
本發(fā)明實(shí)施例公開了一種算法協(xié)商的方法�����,根據(jù)該方法����,網(wǎng)絡(luò)側(cè)獲取用戶設(shè)備所能支持的用于推演密鑰K<sub>ASME</sub>的算法的信息;根據(jù)用戶設(shè)備和歸屬客戶服務(wù)器HSS所能支持的算法的信息����,選擇算法��;將所選算法作為用戶設(shè)備和HSS之間用于推演密鑰K<sub>ASME</sub>的算法��;從而實(shí)現(xiàn)了HSS和用戶設(shè)備之間對(duì)于密鑰推演算法的協(xié)商��。本發(fā)明還公開了算法協(xié)商的裝置及系統(tǒng)����。
文檔編號(hào)H04L9/08GK101605324SQ20081016085
公開日2009年12月16日 申請(qǐng)日期2008年9月12日 優(yōu)先權(quán)日2008年6月13日
發(fā)明者莊小君, 張愛琴, 楊艷梅, 璟 陳 申請(qǐng)人:華為技術(shù)有限公司