专利名称:一种自主选择保密通信中无线链路加密算法的方法
技术领域:
本发明涉及3G系统保密通信中加密算法的选择,尤指一种自主选择保密通信中无线链路加密算法的方法。
在第三代(3G)移动通信系统中,空中接口的加密功能通常在终端用户设备(UE)和地面无线接入网(RAN)之间实现。按照现有协议的规定,每一种加密算法均对应一个加密算法标识,现有加密算法的选择是通过比较UE支持的加密算法能力和核心网(CN)许可使用的加密算法得到的,是在接入网中根据加密算法标识的比较选定的。参见
图1所示,现有移动通信系统中用于空中接口加密保护的具体实现过程是这样的1)UE将自身的安全能力通知接入网。
UE与接入网成功建立连接后,UE会通过发向接入网的消息A携带UE具备的加密算法能力参数,通知接入网该终端所能支持的加密算法,接入网收到后存储该终端支持的加密算法信息。
2)核心网(CN)发起安全模式过程。
当CN发起建立安全模式时,CN根据预先的设置确定许可选用哪些加密算法,并向接入网发送携带有网络所支持的加密算法信息的消息B。
3)由接入网确定用于保密通信的加密算法。
接入网收到消息B后,根据所接收的核心网许可使用的加密算法标识和预先存储的UE所支持的加密算法标识,来确定一种终端与接入网都支持的加密算法,作为保密通信的加密算法。然后,接入网向UE发送携带有选定加密算法指示的消息C,通知核心网最终确定的加密算法。
4)UE设置本地使用的安全算法。
UE接收到消息C后,先设置本地使用的终端安全加密算法为所接收消息C中所指定的加密算法,然后,向接入网发送UE设置安全模式成功的消息D。
5)接入网向核心网指示安全模式成功设置。
接入网接收到消息D后,向核心网发送携带有选定加密算法参数的消息E,该消息表示安全模式设置成功。
6)核心网完成安全模式设置过程。
核心网接收到安全模式成功完成的消息后,完成自身安全模式的设置过程,然后等待,等到达指定时间后,终端和接入网开始保密通信,按照选定的加密算法进行加解密。
上述过程中应用于无线链路信息加解密的加密算法分别放在终端和接入网中,CN中许可使用的加密算法必须是接入网支持的加密算法。通常加密算法不是唯一的,可以定义多种不同的加密算法,且每种加密算法对应一个加密算法标识,运营商可支持选择不同的加密算法。但由于无线链路加密是在接入网和终端中对等实现的,考虑到不同接入网和终端设备之间必须互连互通,不同运营商之间的接入网和终端之间也必须为互连互通,因此目前所有的加密算法要求必须是协议规定的标准化加密算法。
如果规范中有多种标准加密算法,为了支持全球漫游,则系统中必须包含所有的标准算法,CN也将许可使用所有的标准加密算法,算法的选择是通过比较UE支持的算法能力和CN指定的可用算法得到的。若经过比较,在终端和接入网有多个相同的可用标准加密算法时,接入网可以在可用算法中选择任意一种共同支持的加密算法,标准规范中并未规定选择加密算法的方法以及选择优先级,只要保证终端和接入网中采用相同的算法即可。如果终端和接入网没有相同的加密算法可选,但核心网要求必须进行加密,终端则不能进行正常的保密通信。
由于密码应用的特殊性,出于对自己国家或自己网络信息安全性和保密性考虑,不同国家或运营商更希望使用自主开发的独立加密算法,甚至某些国家要求本国运营商不能使用他人的加密算法,也不能采用标准化处理,以防止密钥易于被破解而造成不可预测的损失。如此,当用户漫游时就会产生两种问题1)如果终端和接入网双方,一方支持自主开发的加密算法,而另一方不能支持,则会由于通信双方不能选定共同支持的加密算法,导致其不能进行正常的保密通信。
2)对于某些必须采用自主开发加密算法进行空中接口加密的国家或运营商,现有的移动通信系统中预留了一些加密算法标识来对应不同的自主开发的加密算法,但是,目前对于预留加密算法标识值的选用没有统一的标准,每个国家或运营商都可以任选预留标识值的其中之一,这样在移动用户漫游时,就很可能发生加密算法冲突。比如两个不同的国家采用了不同的自主开发的加密算法,而两个国家为该加密算法选择了相同的加密算法标识,那么,按照现有安全模式设置的过程,当某个国家的用户到另一个国家漫游,协商加密算法时,由于加密算法标识值相同,双方会建立正常的连接,但实际上加密算法是不同的,则由于加密算法标识的冲突会导致双方不能进行正常的通信。
有鉴于此,曾在另一专利申请中对上述问题提出一种解决方案,该方法是增加用户标识(CI)比特,并增加对该CI和当前用户及网络所支持的加密算法的判断,当为国外用户且用户和网络都支持标准加密算法时,或为国内用户且用户和网络均支持标准加密算法以外的同一种自主开发的加密算法时,可进行正常的保密通信;否则,双方不能进行保密通信。但是,由于该方案增加了新定义比特和判别过程,使整个消息结构、消息传递、参数值设定以及控制流程都需要有相应的增加或改变,对现有的处理流程会有一定的影响,实现不是很方便。
为达到上述目的,本发明的技术方案是这样实现的一种自主选择保密通信中无线链路加密算法的方法,用户设备(UE)和核心网分别通过消息将自己支持的加密算法指示发送至接入网,由接入网的基站控制器选定最终使用的加密算法,该接入网选定加密算法进一步包括以下步骤a.预先在接入网基站控制器中设置移动国家码(MCC)对应表,并在该MCC对应表中存储当前国家或运营商支持的至少一种自主开发加密算法,以及与每种自主开发加密算法使用相同算法的国家或运营商的MCC;b.基站控制器从终端发来的用户标识(UE ID)信息中获取相应的MCC后,判断自身存储的MCC对应表是否为空?如果MCC对应表不为空且MCC对应表中含有与当前用户MCC相同的MCC,则基站控制器根据接收的核心网加密算法指示判断核心网是否支持该自主开发加密算法?如果支持,则选定该自主开发加密算法作为保密通信的加密算法,否则,取消本次连接;如果MCC对应表中没有MCC与该MCC相同或MCC对应表为空,则选定一种UE和核心网都支持的标准加密算法。
其中,步骤b中基站控制器是根据接收的核心网加密算法指示和存储的UE安全能力算法指示,选定UE和接入网都支持的标准加密算法。
步骤b进一步包括当MCC对应表中与当前用户MCC相同的MCC多于一个时,基站控制器要根据UE的加密算法能力以及接收到的核心网加密算法指示,分别判断UE和核心网是否同时支持该一种以上的自主开发加密算法,如果都支持,则任选一种自主开发的加密算法作为保密通信的加密算法;否则,选定UE和核心网都支持的一种自主开发加密算法作为保密通信的加密算法。
上述过程中,基站控制器提取出当前用户的MCC后可存储于一寄存器中。
所述MCC对应表为空时,说明当前用户支持所有许可使用的标准加密算法。当前用户的MCC不包含于基站控制器中预存的MCC对应表时,说明该用户只支持所有许可使用的标准加密算法。
由上述方案可以看出,本发明的关键在于在接入网中预先设置MCC对应表,再根据MCC对应表的状态或是当前用户MCC与MCC对应表中元素的关系来选定进行保密通信的加密算法。
可见,本发明所提供的自主选择保密通信中无线链路加密算法的方法,具有以下的优点和特点1)本发明通过在接入网的基站控制器中预先设置的MCC对应表,来选择当前使用的加密算法,只是将现有技术实现过程接入网选定加密算法的部分稍加改动,而不需改变整个安全实施流程,修改少,对整个系统影响小,易于实现。
2)由于本发明的方法在接入网中预先设置了MCC对应表,将所有使用相同自主开发加密算法的国家或运营商对应的MCC存于该MCC对应表中,当用户漫游时,接入网可通过对当前用户MCC与预存MCC对应表中元素的比较,来选择加密算法,这样,不仅避免了用户漫游时可能出现的冲突;同时,可以保证多个具有特殊要求的友好运营商之间在采用相同自主开发加密算法时的互连互通,是一种解决国际漫游和空中接口允许标准和非标准算法应用相互共存的实现方法。
3)本发明过程中增加了从当前用户的用户标识(UE ID)中获取MCC的处理,但用于提取当前用户MCC的UE ID,是由处理流程中现有消息提供的,无需增加额外的比特或消息,实现简单、方便。
4)本发明的方法将原来固定的加密算法选择方式改变为依据MCC进行判断选择的方法,不仅实现简单、灵活,而且适用于各种移动通信网络,具有相当的通用性。
5)本发明在接入网预先设置的MCC对应表中,包括所有与本国使用相同自主开发加密算法的友好国家或运营商,该MCC对应表可设置为空,当MCC对应表为空时,说明该国家或该运营商只支持使用标准加密算法,此时与现有技术是完全相同的。如此,无论用户是在本地通话或是漫游,接入网均可直接通过当前用户MCC与预存MCC对应表中元素的比较,来确定相应的加密算法。因此,本发明不仅有效解决了漫游时自主开发加密算法需求与标准加密算法选择之间存在的冲突,而且完全符合只采用标准算法运营商的需求。
下面结合附图及具体实施例对本发明再作进一步详细的说明。
本发明实现的前提为如果标准中定义了多种许可的标准加密算法时,为了支持在全球所有国家的国际漫游,要求系统支持所有的标准加密算法,这正是现有所有3G移动通信系统中必须满足的条件。
对于具有特殊加密算法要求的国家或运营商系统,除了支持上述所有标准加密算法以外,核心网还必须支持至少一套自主开发的非标准加密算法。而且对于必须采取特殊非标准加密算法的系统用户,提供服务的终端和接入网中都必须同时拥有所有标准加密算法和该非标准加密算法。
通常,在每个用户开机注册时,用户先向接入网的基站控制器发送连接请求信息,该连接请求信息中包含表示用户身份的用户标识(UE ID),即该用户的IMSI;接入网收到该连接请求信息后,取出用户标识,即取出用户的IMSI并保存。因此,每个基站控制器中都会保存其下属每个用户的IMSI。
基于上述前提,本发明提出了一种在接入网内自主选择加密算法的有效方案,该方法在安全模式的整体处理流程上与现有技术基本一致,只是在接入网确定所采用的加密算法上有所不同,更进一步地说,就是在接入网的基站控制器中预存一个移动国家码(MCC)与当前国家或运营商所支持的自主开发加密算法的对应列表,表1所示为一个具体实例,表1中当前国家或运营商支持两种自主开发加密算法,每种加密算法对应几个同样支持该加密算法的国家或运营商的MCC。该基站控制器根据MCC对应表的状态和内容来选择合适的加密算法,此处的基站控制器是指2G中的BSC、或3G中的无线网络控制器(RNC)、或具有同等功效的接入控制设备。
表1采用本发明自主选择加密算法实现保密通信的具体过程,如图2所示,至少包括以下步骤步骤201在接入网的基站控制器中预先设置一个MCC对应表,将所有与当前国家或运营商使用相同自主开发加密算法的国家或运营商的MCC预先存储于该MCC对应表中。该表可以为空,也可以包括多种自主开发加密算法或多个MCC,当该国家或运营商同时支持多种自主开发加密算法时,所存储的MCC分别对应各自支持的自主开发加密算法,如表1所示。当该表为空时,说明当前系统只支持标准的加密算法;当该表中对应每种自主开发加密算法有多于一个MCC时,说明有多个国家支持此种非标准的加密算法,该非标准加密算法对应事先约定的一个算法标识。
步骤202当用户发起呼叫或被呼叫时,UE通过发向接入网的消息A携带UE具备的加密算法能力参数,参见图1所示,通知接入网的基站控制器该终端支持的加密算法,该基站控制器存储当前终端支持的加密算法信息。同时,该用户将自身的UE ID信息传送到接入网中,接入网的基站控制器从收到UE ID信息中得到相应的MCC,该MCC可暂存于一寄存器中,此处的UE ID通常是指临时移动用户识别码(TMSI)。当核心网发起安全模式时,核心网根据事先的配置确定许可选用哪些加密算法,并通过消息B将携带网络支持加密算法的信息发给接入网。
步骤203基站控制器提取出MCC后,首先判断自身存储的MCC对应表是否为空?如果为空,则进入步骤208;如果MCC对应表不为空,则进入步骤204。
步骤204、205基站控制器将提取出的MCC与自身预存的MCC对应表中元素逐个进行比较,如果MCC对应表中有与当前用户MCC相同的MCC,则进入步骤206;否则,进入步骤208。
步骤206、207基站控制器根据UE的加密算法能力以及接收到的核心网加密算法指示,分别判断UE和核心网是否支持该种自主开发的加密算法?如果支持,则选定该自主开发的加密算法作为保密通信的加密算法,然后进入步骤209,虽然当前UE的MCC包含于MCC对应表中,但由于MCC来自用户的UE ID,该UE ID存储于移动终端的SIM卡中,而加密算法存储于移动终端中,所以此处需要再次判断UE是否支持当前的自主开发加密算法;否则,取消本次连接。其中,对于自主开发加密算法的选定,如果MCC对应表中与当前用户MCC相同的MCC多于一个,则基站控制器要根据UE的加密算法能力以及接收到的核心网加密算法指示,分别判断UE和核心网是否同时支持该多种自主开发的加密算法?如果都支持,则任选一种自主开发的加密算法作为保密通信的加密算法;否则,选定UE和核心网都支持的一种自主开发加密算法作为保密通信的加密算法。
步骤208基站控制器按照现有技术的处理流程,根据接收的核心网加密算法指示和存储的UE安全能力算法指示,选定一种终端和核心网都支持的标准加密算法,然后进入步骤209,完成保密通信;步骤209接入网将选定加密算法对应的加密算法标识,分别通过消息C和消息E发给终端用户和核心网,如图1所示,双方即采用该选定的加密算法进行保密通信。
上述方法对于必须采取特殊非标准加密算法的用户,提供服务的终端和网络设备都拥有标准加密算法和非标准加密算法,在拥有非标准加密算法的运营商系统中应用时,根据MCC的选择将采取特殊的加密算法;如果漫游到其他只支持标准加密算法的运营商系统中,通过MCC的选择可以采取标准的加密算法通信;如果其他只支持标准加密算法的终端漫游到支持非标准加密算法的运营商系统时,通过MCC选择也可以采用标准的加密码算法通信。
此外,由于在基站控制器中根据MCC进行加密算法的选择,就要求同一运营商在其包括地域内的所有基站控制器中都保存相同的MCC对应表,当用户的基站控制器迁移时,相应的UE ID也会迁移,因此不会影响上述的过程。
依据上述方法,如果基站控制器获取的MCC包含在MCC对应表中,说明该用户采用本国非标准加密算法;如果基站控制器获取的MCC不包含在MCC对应表中,说明该用户支持所有的标准加密算法;如果MCC对应表为空值,也完全等同于只支持使用标准加密算法的情况。换句话说就是当本国用户在国内应用时,根据MCC的选择将选取该特殊的加密算法加密;如果本国用户到拥有相同非标准加密算法的国家或运营商系统中应用时,根据MCC的选择将选取该特殊的加密算法加密;如果本国用户漫游到其它只支持标准加密算法的国家或运营商系统时,通过MCC的比较选择可以选定一种标准的加密算法加密。同样地,如果其它只支持标准加密算法的用户漫游到支持非标准加密算法的国家或运营商系统时,通过MCC的比较选择也同样选定一种标准的加密码算法加密,如果支持某种非标准加密算法的用户漫游到拥有相同非标准加密算法的国家或运营商系统中应用时,根据MCC的选择将选取该特殊的加密算法加密。
通过上述方法,既可解决漫游时加密算法需求和标准加密算法选择之间的问题,又保证了国内、国外用户可在不同的地域选择相应不同的加密算法进行保密通信。
权利要求
1.一种自主选择保密通信中无线链路加密算法的方法,用户设备(UE)和核心网分别通过消息将自己支持的加密算法指示发送至接入网,由接入网的基站控制器选定最终使用的加密算法,其特征在于接入网选定加密算法进一步包括以下步骤a.预先在接入网基站控制器中设置移动国家码(MCC)对应表,并在该MCC对应表中存储当前国家或运营商支持的至少一种自主开发加密算法,以及与每种自主开发加密算法使用相同算法的国家或运营商的MCC;b.基站控制器从终端发来的用户标识(UE ID)信息中获取相应的MCC后,判断自身存储的MCC对应表是否为空?如果MCC对应表不为空且MCC对应表中含有与当前用户MCC相同的MCC,则基站控制器根据接收的核心网加密算法指示判断核心网是否支持该自主开发加密算法?如果支持,则选定该自主开发加密算法作为保密通信的加密算法,否则,取消本次连接;如果MCC对应表中没有MCC与该MCC相同或MCC对应表为空,则选定一种UE和核心网都支持的标准加密算法。
2.根据权利要求1所述的方法,其特征在于步骤b中基站控制器是根据接收的核心网加密算法指示和存储的UE安全能力算法指示选定UE和接入网都支持的标准加密算法。
3.根据权利要求1所述的方法,其特征在于步骤b进一步包括当MCC对应表中与当前用户MCC相同的MCC多于一个时,基站控制器要根据UE的加密算法能力以及接收到的核心网加密算法指示,分别判断UE和核心网是否同时支持该一种以上的自主开发加密算法,如果都支持,则任选一种自主开发的加密算法作为保密通信的加密算法;否则,选定UE和核心网都支持的一种自主开发加密算法作为保密通信的加密算法。
4.根据权利要求1所述的方法,其特征在于基站控制器提取出当前用户的MCC后可存储于寄存器中。
5.根据权利要求1所述的方法,其特征在于所述的MCC对应表为空时,当前用户支持所有许可使用的标准加密算法。
6.根据权利要求1所述的方法,其特征在于当前用户的MCC不包含于基站控制器中预存的MCC对应表时,该用户只支持所有许可使用的标准加密算法。
全文摘要
本发明公开了一种自主选择保密通信中无线链路加密算法的方法,用户设备和核心网分别通过消息将自己支持的加密算法指示送至接入网,由接入网的基站控制器选定最终使用的加密算法,该接入网选定加密算法进一步包括a)预先在接入网基站控制器中设置移动国家码(MCC)对应表,并存储相应的自主开发加密算法及其对应的MCC;b)基站控制器根据MCC对应表的状态,或当前用户的MCC与MCC对应表中元素的关系,来确定选择标准加密算法、当前的自主开发加密算法还是取消本次连接。该方法使得用户在任何地方均可采用有效的加密算法进行正常的保密通信,既允许标准加密算法与自主开发加密算法共存,又简化了加密算法选定过程,进而保证用户的利益和服务的质量。
文档编号H04W12/02GK1471326SQ0212567
公开日2004年1月28日 申请日期2002年7月26日 优先权日2002年7月26日
发明者郑志彬 申请人:华为技术有限公司