專利名稱:安全算法的協(xié)商方法
技術(shù)領(lǐng)域:
本發(fā)明無線通信技術(shù)領(lǐng)域�����,特別是涉及安全算法協(xié)商的技術(shù)��。
技術(shù)背景在UMTS ( Universal Mobile Telecommunications System, 通用移 動(dòng)通信系統(tǒng))網(wǎng)絡(luò)中�����,為了保護(hù)空中接口的通信安全�,用戶設(shè)備(UE, User Equipment)和無線網(wǎng)絡(luò)控制器(RNC���, Radio Network Controller ) 需要對(duì)空中接口上的數(shù)據(jù)和信令進(jìn)行加密保護(hù)以防止攻擊者進(jìn)行竊 聽,同時(shí)需要對(duì)空中接口上的信令進(jìn)行完整性保護(hù)以防止攻擊者篡改 空中接口上的信令�。為了對(duì)空中接口的數(shù)據(jù)和信令進(jìn)行加密保護(hù)和完整性保護(hù)�����,用戶 設(shè)備和網(wǎng)絡(luò)側(cè)需要協(xié)商加密算法和完整性算法����。協(xié)商的過程簡(jiǎn)要描述(1) 為不同的加密算法和完整性算法設(shè)定不同的算法標(biāo)識(shí)符���。例 如可以設(shè)定基于Kasumi的加密算法的算法標(biāo)識(shí)符為0001 �����,基于SNOW 的加密算法的算法標(biāo)識(shí)符為0010;基于Kasumi的完整性算法的標(biāo)識(shí) 符為0001,基于SNOW的完整性算法的算法標(biāo)識(shí)符為0010����。不加密 的算法標(biāo)識(shí)符為0000��。(2) 用戶設(shè)備將它支持的算法列表上報(bào)給無線網(wǎng)絡(luò)控制器�,即用 戶設(shè)備將其支持的加密算法和完整性算法發(fā)送給無線網(wǎng)絡(luò)控制器。如�, 用戶設(shè)備支持基于Kasumi的加密算法和完整性算法,則通知無線網(wǎng) 絡(luò)控制器它支持的加密算法為0001和0000 (不加密)���,完整性算法為 0001���。(3) 核心網(wǎng)設(shè)備SGSN或MSC/VLR將該用戶允許使用的算法列 表按照優(yōu)先級(jí)順序排序后發(fā)送給無線網(wǎng)絡(luò)控制器����。(4) 無線網(wǎng)絡(luò)控制器根據(jù)核心網(wǎng)設(shè)備下發(fā)的算法列表�、用戶設(shè)備 上報(bào)的算法列表、自身支持的算法情況選擇出要使用的加密算法和完整性算法��,并將選擇的加密算法和完整性算法通知給用戶設(shè)備����。(5)當(dāng)發(fā)生跨PLMN切換時(shí),源無線網(wǎng)絡(luò)控制器將用戶設(shè)備支持的算法列表發(fā)送給目標(biāo)無線網(wǎng)絡(luò)控制器�,目標(biāo)無線網(wǎng)絡(luò)控制器根據(jù)自 身支持的算法情況選擇出切換后要使用的加密算法和完整性算法,并 將選擇的加密算法和完整性算法通過源無線網(wǎng)絡(luò)控制器通知給用戶設(shè)備����。UMTS中現(xiàn)有的算法協(xié)商方式無法支持運(yùn)營(yíng)商使用自定義的安全 算法。這是因?yàn)樵诂F(xiàn)有的安全算法協(xié)商流程下��,運(yùn)營(yíng)商如果想制定其 特定的算法���,就必須為其特定的算法申請(qǐng)一個(gè)全球唯一的算法標(biāo)識(shí)符���。 而由于現(xiàn)有的標(biāo)準(zhǔn)中算法標(biāo)識(shí)符用4位2進(jìn)制數(shù)表示,因此最多只能 支持15種加密算法或完整性算法��。目前全球的運(yùn)營(yíng)商有數(shù)百家�����,15 種加密算法顯然無法滿足運(yùn)營(yíng)商使用自定義安全算法的需求����。因此現(xiàn) 有的算法協(xié)商方式?jīng)]有很好的擴(kuò)展性,無法支持運(yùn)營(yíng)商使用自定義的 安全算法����。發(fā)明內(nèi)容為了解決上述技術(shù)問題,本發(fā)明的實(shí)施例提供了能支持運(yùn)營(yíng)商使 用自定義安全算法的算法協(xié)商方法���,以及相應(yīng)的系統(tǒng)和裝置�����。本發(fā)明的實(shí)施例提供了 一種安全算法的協(xié)商方法�����,包括網(wǎng)絡(luò)側(cè)獲得用戶設(shè)備支持的��、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相 關(guān)聯(lián)的安全算法���;網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信 息相關(guān)聯(lián)的安全算法���,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法����,選擇與用戶 設(shè)備通信所使用的安全算法����;網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備。本發(fā)明的實(shí)施例提供了一種終端�����,包括存儲(chǔ)單元用于將用戶支持的安全算法及與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息關(guān)Jf關(guān)保存�����;接收單元用于接收網(wǎng)絡(luò)側(cè)發(fā)來的PLMN標(biāo)識(shí)信息;執(zhí)行單元用于根據(jù)所述接收單元收到的PLMN標(biāo)識(shí)信息���,到所述存儲(chǔ)單元進(jìn)行查詢����,確定與所述接收到的PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���;發(fā)送單元用于將所述執(zhí)行單元確定的,與所述接收到的PLMN 標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法發(fā)送給網(wǎng)絡(luò)側(cè)�。本發(fā)明的實(shí)施例提供的方法和終端通過將安全算法和PLMN的標(biāo) 識(shí)信息相關(guān)聯(lián),使得運(yùn)營(yíng)商可以使用自定義安全算法而不產(chǎn)生沖突��, 從而滿足運(yùn)營(yíng)商使用自定義安全算法的需求�。
圖1是本發(fā)明實(shí)施例提供的一種UMTS系統(tǒng)中的安全算法的協(xié)商 方法的流程圖,該流程中用戶i殳備4艮據(jù)PLMN標(biāo)識(shí)信息確定需要上寺艮 的安全算法�����,發(fā)生跨PLMN切換時(shí)��,源PLMN對(duì)用戶設(shè)備上報(bào)的安全 算法中屬于該源PLMN自定義的安全算法進(jìn)行刪除���;圖2是本發(fā)明實(shí)施例提供的又一種UMTS系統(tǒng)中的安全算法的協(xié) 商方法的流程圖�,該流程中用戶設(shè)備根據(jù)PLMN標(biāo)識(shí)信息確定需要上 報(bào)的安全算法���,發(fā)生跨PLMN切換時(shí)����,源PLMN將目標(biāo)PLMN的標(biāo) 識(shí)信息通知給用戶設(shè)備���;圖3是本發(fā)明實(shí)施例提供的又一種UMTS系統(tǒng)中的安全算法的協(xié) 商方法的流程圖���,該流程中用戶設(shè)備#4居PLMN標(biāo)識(shí)信息確定需要上 報(bào)的安全算法����,發(fā)生跨PLMN切換時(shí)�����,源PLMN的網(wǎng)絡(luò)側(cè)斷開與用戶 設(shè)備的連接����;圖4是本發(fā)明實(shí)施例提供的一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法 的協(xié)商方法的流程圖���,該流程中移動(dòng)性管理實(shí)體選擇與用戶設(shè)備通信 所使用的非接入層安全算法、接入層安全算法和用戶面安全算法���;圖5是本發(fā)明實(shí)施例提供的一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法 的協(xié)商方法的流程圖�����,該流程中移動(dòng)性管理實(shí)體選擇與用戶設(shè)備通信 所使用的非接入層安全算法�����,演進(jìn)基站選擇與用戶設(shè)備通信所使用的 接入層安全算法和用戶面安全算法���;圖6是本發(fā)明實(shí)施例提供的一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法 的協(xié)商方法的流程圖�����,該流程中演進(jìn)基站選擇與用戶設(shè)備通信所使用 的非接入層安全算法�����、接入層安全算法和用戶面安全算法����;圖7是本發(fā)明實(shí)施例提供的一種適用于UMTS系統(tǒng)和演進(jìn)3G網(wǎng) 絡(luò)系統(tǒng)中的安全算法的協(xié)商方法的流程圖�����,該流程中用戶設(shè)備在上報(bào) 安全算法的同時(shí)還上報(bào)國(guó)際移動(dòng)設(shè)備身份���;圖8是本發(fā)明實(shí)施例提供的又一種適用于UMTS系統(tǒng)和演進(jìn)3G 網(wǎng)絡(luò)系統(tǒng)中的安全算法的協(xié)商方法的流程圖���,該流程中用戶設(shè)備將其 支持的安全算法����,以及與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息均上報(bào)給 網(wǎng)纟備禍'j;圖9是本發(fā)明實(shí)施例提供的終端的示意圖�����。
具體實(shí)施方式
為了實(shí)現(xiàn)背景技術(shù)中提出的技術(shù)問題�����,使運(yùn)營(yíng)商能夠采用自定義 安全算法�,本發(fā)明的實(shí)施例提供了一種安全算法協(xié)商方法����。該方法包 括網(wǎng)絡(luò)側(cè)獲得用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相 關(guān)聯(lián)的安全算法�����;網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信 息相關(guān)聯(lián)的安全算法�����,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法��,選擇與用戶 設(shè)備通信所使用的安全算法�����;網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備��。在上述實(shí)施例中�����,通過將安全算法與PLMN的標(biāo)識(shí)信息相關(guān)聯(lián)��, 使得不同的運(yùn)營(yíng)商可以使用自定義安全算法而不產(chǎn)生沖突����。舉例來說�����, 在現(xiàn)有標(biāo)準(zhǔn)的框架下,不同的運(yùn)營(yíng)商可以使用相同的四位二進(jìn)制數(shù)來表示其自定義安全算法��,而在具體通信過程中不會(huì)因此產(chǎn)生沖突�。本發(fā)明的又 一 實(shí)施例提供了 一種UMT S系統(tǒng)中的安全算法的協(xié)商 方法。該方法中����,用戶設(shè)備上實(shí)現(xiàn)的安全算法包括加密算法和完整性 算法,這些安全算法不僅僅用四位二進(jìn)制數(shù)標(biāo)識(shí)�����,還與PLMN的標(biāo)識(shí) 信息相關(guān)聯(lián)���。具體來說�,這些安全算法還可以與PLMN中的移動(dòng)國(guó)家 碼(Mobile Country Code, MCC )和移動(dòng)網(wǎng)絡(luò)碼(Mobile Network Code, MNC)相關(guān)聯(lián)��。例如加密算法X是運(yùn)營(yíng)商A的自定義加密算法���, 則可以將該加密算法X的四位二進(jìn)制^t標(biāo)識(shí)與運(yùn)營(yíng)商A的MCC和 MNC關(guān)聯(lián)保存���,從而表示加密算法X與運(yùn)營(yíng)商A的關(guān)聯(lián)關(guān)系;或者�, 完整性算法Y是B國(guó)運(yùn)營(yíng)商通用的完整性算法�,則可以將該完整性算 法Y的四位二進(jìn)制數(shù)標(biāo)識(shí)僅與B國(guó)的MCC關(guān)聯(lián)保存��,從而表示完整 性算法Y與B國(guó)所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān)系����;或者�����,完整性算法Z是全球 通用的完整性算法�,則可以將該完整性算法Z單獨(dú)保存,從而表示完 整性算法Z與所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān)系��。需要特別指出的是��,無論安全 算法是與MCC和MNC關(guān)聯(lián)保存��,或安全算法僅與MCC關(guān)聯(lián)保存���, 或安全算法單獨(dú)保存���,都可以看作是安全算法與PLMN的標(biāo)識(shí)信息相 關(guān)聯(lián)。還需要指出的是��,"不釆用安全算法"也可以認(rèn)為是一種安全算 法,例如可以用四位二進(jìn)制數(shù)0000來表示不采用加密算法/完整性算 法����。如圖l所示,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商時(shí)����,可以采用以下步驟步驟101:網(wǎng)絡(luò)側(cè)將自身所屬的PLMN標(biāo)識(shí)信息通知給用戶設(shè)備; 步驟102:用戶設(shè)備根據(jù)網(wǎng)絡(luò)側(cè)所屬的PLMN標(biāo)識(shí)信息��,確定與該P(yáng)LMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��,所述安全算法包括加密算法和完整性算法�����;步驟103:用戶設(shè)備將自身支持的�、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí) 信息相關(guān)聯(lián)的安全算法上報(bào)給網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)控制器;步驟104:核心網(wǎng)設(shè)備SGSN或MSC/VLR將該用戶允許使用的安全算法發(fā)送給無線網(wǎng)絡(luò)控制器���;步驟105:無線網(wǎng)絡(luò)控制器根據(jù)用戶設(shè)備上報(bào)的安全算法����、核心 網(wǎng)設(shè)備發(fā)送的安全算法����,以及自身支持的安全算法���,選擇與用戶設(shè)備 通信所使用的安全算法;步驟106:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備���。需要指出的是,步驟104并不限定在步驟103之后完成�����,它也可 以在步驟103之前完成�����。與現(xiàn)有技術(shù)相比����,上述實(shí)施例所公開的安全算法協(xié)商方法在用戶 設(shè)備上報(bào)自身支持的安全算法之前,先根據(jù)網(wǎng)絡(luò)側(cè)所屬PLMN的標(biāo)識(shí) 信息對(duì)自身支持的所有安全算法進(jìn)行篩選�����,使得上報(bào)的安全算法都是 與所在PLMN相關(guān)聯(lián)的�。這種協(xié)商方法使得運(yùn)營(yíng)商可以使用自定義安 全算法���,且不同運(yùn)營(yíng)商可以使用同樣的四位二進(jìn)制數(shù)來表示各自的自 定義安全算法��,只要通過相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息就可以區(qū)分�。在上述步驟完成之后�,若發(fā)生跨PLMN的切換��,則可以按照以下 步驟進(jìn)行新的安全算法協(xié)商步驟107:源PLMN將該用戶設(shè)備上報(bào)的安全算法中屬于該源 PLMN自定義的安全算法刪除�;例如,若用戶設(shè)備上報(bào)的某安全算法僅與源PLMN的標(biāo)識(shí)信息相 關(guān)聯(lián)�,則將該安全算法從用戶設(shè)備上報(bào)的安全算法中刪除。若用戶設(shè) 備上報(bào)的某安全算法適用于源PLMN所在國(guó)家/地區(qū)的所有運(yùn)營(yíng)商�����, 則源PLMN可以判斷目標(biāo)PLMN是否屬于同樣的國(guó)家/地區(qū)����,若是, 則保留該安全算法���;若否����,則刪除該安全算法。若用戶設(shè)備上報(bào)的某 安全算法適用于源PLMN所在國(guó)家/地區(qū)的所有運(yùn)營(yíng)商��,則源PLMN 也可以不判斷目標(biāo)PLMN所在國(guó)家/地區(qū)����,而直^^妻刪除該安全算法;步驟108:源PLMN將經(jīng)過步驟107所述刪除處理后的安全算法 發(fā)送給目標(biāo)PLMN;步驟109:目標(biāo)PLMN與用戶設(shè)備協(xié)商安全算法����。通過上述步驟107和步驟108的處理���,保證了目標(biāo)PLMN接收到 的安全算法中不包括自身不支持的安全算法�,這同時(shí)也保證了在發(fā)生跨PLMN切換時(shí)�,即使源PLMN和目標(biāo)PLMN使用相同的四位二進(jìn) 制數(shù)表示各自的自定義安全算法,也不會(huì)發(fā)生沖突�。這進(jìn)一步保證了 運(yùn)營(yíng)商可以使用自定義的安全算法而不產(chǎn)生沖突。本發(fā)明的又 一 實(shí)施例提供了 一種UMTS系統(tǒng)中的安全算法的協(xié)商 方法�。如圖2所示,在本實(shí)施例中��,步驟201 ~步驟206與前述步驟 101 ~步驟106實(shí)質(zhì)相同����,此處不再贅述���。在上述步驟完成之后,若發(fā)生跨PLMN的切換�,則可以按照以下 步驟進(jìn)行新的安全算法協(xié)商步驟207:源PLMN將目標(biāo)PLMN的標(biāo)識(shí)信息通知給用戶設(shè)備;步驟208:用戶設(shè)備根據(jù)目標(biāo)PLMN的標(biāo)識(shí)信息����,確定與目標(biāo) PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法,所述安全算法包括加密算法和完 整性算法��;步驟209:用戶設(shè)備將自身支持的�、與目標(biāo)PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法上報(bào)給源PLMN,具體來說��,可以是上報(bào)給源PLMN的 無線網(wǎng)絡(luò)控制器�;步驟210:源PLMN將所述用戶設(shè)備支持的、與目標(biāo)PLMN標(biāo)識(shí) 信息相關(guān)聯(lián)的安全算法發(fā)送給目標(biāo)PLMN;步驟211:目標(biāo)PLMN與用戶設(shè)備協(xié)商安全算法�。通過上述步驟207 ~步驟210的處理,在發(fā)生3爭(zhēng)PLMN的切換時(shí)��, 用戶設(shè)備上報(bào)的安全算法都是與目標(biāo)PLMN相關(guān)聯(lián)的�����。這種協(xié)商方法 使得目標(biāo)PLMN和源PLMN可以使用同樣的四位二進(jìn)制數(shù)來表示各自 的自定義安全算法而不會(huì)沖突,因?yàn)橥ㄟ^相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息就 可以區(qū)分���。這進(jìn)一步保證了運(yùn)營(yíng)商可以使用自定義的安全算法而不產(chǎn) 生沖突�����。本發(fā)明的又一 實(shí)施例提供了 一種UMTS系統(tǒng)中的安全算法的協(xié)商 方法��。如圖3所示�,在本實(shí)施例中��,步驟301 ~步驟306與前述步驟 101 ~步驟106實(shí)質(zhì)相同����,此處不再贅述。在上述步驟完成之后�,若發(fā)生跨PLMN的切換��,則可以按照以下步驟進(jìn)行新的安全算法協(xié)商步驟307:源PLMN的網(wǎng)絡(luò)側(cè)斷開與用戶設(shè)備的連接����; 步驟308:所述用戶設(shè)備與目標(biāo)PLMN建立連接; 步驟309:所述用戶設(shè)備與目標(biāo)PLMN協(xié)商安全算法�����。 由于本實(shí)施例中用戶設(shè)備與源PLMN斷開連接后再與目標(biāo)PLMN建立連接,其與目標(biāo)PLMN協(xié)商安全算法的流程可以參照步驟101 ~步驟106���。同樣��,由于安全算法與PLMN的標(biāo)識(shí)信息相關(guān)聯(lián)���,運(yùn)營(yíng)商可以使用自定義安全算法而不必?fù)?dān)心發(fā)生沖突。本發(fā)明的又一實(shí)施例提供了一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法 的協(xié)商方法���。該方法中��,用戶設(shè)備上實(shí)現(xiàn)的安全算法包括加密算法和 完整性算法�����,這些安全算法不僅僅用四位二進(jìn)制數(shù)標(biāo)識(shí)����,還與PLMN 的標(biāo)識(shí)信息相關(guān)聯(lián)����。具體來說���,這些安全算法還可以與PLMN中的移 動(dòng)國(guó)家碼(Mobile Country Code, MCC )和移動(dòng)網(wǎng)絡(luò)碼(Mobile Network Code, MNC)相關(guān)聯(lián)。例如加密算法X是運(yùn)營(yíng)商A的自定義加密算 法���,則可以將該加密算法X的四位二進(jìn)制數(shù)標(biāo)識(shí)與運(yùn)營(yíng)商A的MCC 和MNC關(guān)聯(lián)保存��,從而表示加密算法X與運(yùn)營(yíng)商A的關(guān)聯(lián)關(guān)系�;或 者�,完整性算法Y是B國(guó)運(yùn)營(yíng)商通用的完整性算法,則可以將該完整 性算法Y的四位二進(jìn)制數(shù)標(biāo)識(shí)僅與B國(guó)的MCC關(guān)聯(lián)保存�����,從而表示 完整性算法Y與B國(guó)所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān)系�;或者,完整性算法Z 是全球通用的完整性算法���,則可以將該完整性算法Z單獨(dú)保存����,從而 表示完整性算法Z與所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān)系����。需要特別指出的是,無 論安全算法是與MCC和MNC關(guān)聯(lián)保存�,或安全算法僅與MCC關(guān)聯(lián) 保存,或安全算法單獨(dú)保存����,都可以看作是安全算法與PLMN的標(biāo)識(shí) 信息相關(guān)聯(lián)。還需要指出的是�,"不采用安全算法,����,也可以認(rèn)為是一種 安全算法,例如可以用四位二進(jìn)制數(shù)0000來表示不采用加密算法/完 整性算法���。如圖4所示��,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商時(shí)����,可以采用以下步驟步驟401:網(wǎng)絡(luò)側(cè)將自身所屬的PLMN標(biāo)識(shí)信息通知給用戶設(shè)備�; 步驟402:用戶設(shè)備根據(jù)網(wǎng)絡(luò)側(cè)所屬的PLMN標(biāo)識(shí)信息,確定與該P(yáng)LMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��,所述安全算法包括加密算法和完整性算法����;步驟403:用戶設(shè)備將自身支持的����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí) 信息相關(guān)聯(lián)的安全算法上報(bào)給網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體(Mobility Management Entity, MME );步驟404:網(wǎng)絡(luò)側(cè)的演進(jìn)基站將其支持的安全算法上報(bào)給移動(dòng)性 管理實(shí)體����;步驟405:移動(dòng)性管理實(shí)體根據(jù)用戶設(shè)備上報(bào)的安全算法、演進(jìn) 基站上報(bào)的安全算法�,以及自身支持的安全算法,選擇與用戶設(shè)備通 信所使用的非接入層安全算法�、接入層安全算法和用戶面安全算法, 其中每一種安全算法又具體包括加密算法和完整性算法����;步驟406:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備。需要指出的是�,步驟404并不限定在步驟403之后完成,它也可 以在步驟403之前完成��。與現(xiàn)有技術(shù)相比�,上述實(shí)施例所公開的安全算法協(xié)商方法在用戶 設(shè)備上報(bào)自身支持的安全算法之前,先根據(jù)網(wǎng)絡(luò)側(cè)所屬PLMN的標(biāo)識(shí) 信息對(duì)自身支持的所有安全算法進(jìn)行篩選�,使得上報(bào)的安全算法都是 與所在PLMN相關(guān)聯(lián)的。這種協(xié)商方法使得運(yùn)營(yíng)商可以使用自定義安 全算法��,且不同運(yùn)營(yíng)商可以使用同樣的四位二進(jìn)制數(shù)來表示各自的自 定義安全算法�����,只要通過相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息就可以區(qū)分�。在上述步驟完成之后,若發(fā)生跨PLMN的切換��,則可以參考前述 步驟107~步驟109進(jìn)行新的安全算法協(xié)商����;或者,可以參考前述步 驟207~步驟211進(jìn)行新的安全算法協(xié)商����;或者,可以參考前述步驟 307 ~步驟309進(jìn)行新的安全算法協(xié)商����。本發(fā)明的又一實(shí)施例提供了一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法的協(xié)商方法。如圖5所示��,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商時(shí)�����,可以采用以下步驟步驟501:網(wǎng)絡(luò)側(cè)將自身所屬的PLMN標(biāo)識(shí)信息通知給用戶設(shè)備; 步驟502:用戶設(shè)備根據(jù)網(wǎng)絡(luò)側(cè)所屬的PLMN標(biāo)識(shí)信息���,確定與該P(yáng)LMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��,所述安全算法包括加密算法和完整性算法���;步驟503:用戶設(shè)備將自身支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí) 信息相關(guān)聯(lián)的安全算法上報(bào)給網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體(Mobility Management Entity, MME )和演進(jìn)基站�;步驟504:網(wǎng)絡(luò)側(cè)的演進(jìn)基站將其支持的安全算法上報(bào)給移動(dòng)性 管理實(shí)體;步驟505:移動(dòng)性管理實(shí)體根據(jù)用戶設(shè)備上報(bào)的安全算法���、演進(jìn) 基站上報(bào)的安全算法��,以及自身支持的安全算法��,選擇與用戶設(shè)備通 信所使用的非接入層安全算法�,所述非接入層安全算法又具體包括加 密算法和完整性算法����;步驟506:演進(jìn)基站獲得移動(dòng)性管理實(shí)體所支持的安全算法; 步驟507:演進(jìn)基站根據(jù)用戶設(shè)備上報(bào)的安全算法����、移動(dòng)性管理 實(shí)體所支持的安全算法����,以及自身支持的安全算法���,選擇與用戶設(shè)備 通信所使用的接入層安全算法和用戶面安全算法,其中每一種安全算 法又具體包括加密算法和完整性算法�;步驟508:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備。 需要指出的是����,步驟504并不限定在步驟503之后完成,它也可 以在步驟503之前完成����;步驟506并不限定在步驟505之后完成,它 也可以在步驟505之前完成�����。在上述步驟完成之后����,若發(fā)生跨PLMN的切換,則可以參考前述 步驟107~步驟109進(jìn)行新的安全算法協(xié)商;或者�,可以參考前述步 驟207~步驟211進(jìn)行新的安全算法協(xié)商;或者����,可以參考前述步驟 307 -步驟309進(jìn)行新的安全算法協(xié)商。本發(fā)明的又一實(shí)施例提供了一種演進(jìn)3G網(wǎng)絡(luò)系統(tǒng)中的安全算法的協(xié)商方法�����。如圖6所示����,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商時(shí),可以采用以下步驟步驟601:網(wǎng)絡(luò)側(cè)將自身所屬的PLMN標(biāo)識(shí)信息通知給用戶設(shè)備���; 步驟602:用戶設(shè)備根據(jù)網(wǎng)絡(luò)側(cè)所屬的PLMN標(biāo)識(shí)信息��,確定與該P(yáng)LMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��,所述安全算法包括加密算法和完整性算法��;步驟603:用戶設(shè)備將自身支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí) 信息相關(guān)聯(lián)的安全算法上報(bào)給演進(jìn)基站�;步驟604:演進(jìn)基站獲得移動(dòng)性管理實(shí)體所支持的安全算法�; 步驟605:演進(jìn)基站根據(jù)用戶設(shè)備上報(bào)的安全算法、移動(dòng)性管理 實(shí)體所支持的安全算法���,以及自身支持的安全算法���,選擇與用戶設(shè)備 通信所使用的非接入層安全算法、接入層安全算法和用戶面安全算法���, 其中每一種安全算法又具體包括加密算法和完整性算法;步驟606:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備����。 需要指出的是,步驟604并不限定在步驟603之后完成���,它也可以在步驟603之前完成�����。在上述步驟完成之后����,若發(fā)生跨PLMN的切換,則可以參考前述步驟107~步驟109進(jìn)行新的安全算法協(xié)商���;或者����,可以參考前述步驟207 ~步驟211進(jìn)行新的安全算法協(xié)商�;或者,可以參考前述步驟307 ~步驟309進(jìn)行新的安全算法協(xié)商�����。本發(fā)明的又一實(shí)施例提供了一種適用于UMTS系統(tǒng)或演進(jìn)的3G 網(wǎng)絡(luò)系統(tǒng)的安全算法的協(xié)商方法���。本實(shí)施例中��,用戶設(shè)備除了上報(bào)安 全算法外��,還上報(bào)該用戶設(shè)備的國(guó)際移動(dòng)設(shè)備身份(International Mobile Equipment Identity, IMEI )����。國(guó)際移動(dòng)設(shè)備身份中包含的信息可 以用來判斷用戶設(shè)備上報(bào)的安全算法與PLMN標(biāo)識(shí)信息的關(guān)聯(lián)關(guān)系�����。 例如如果根據(jù)國(guó)際移動(dòng)設(shè)備身份判斷出用戶設(shè)備是中國(guó)制造的,那 么結(jié)合此用戶設(shè)備上報(bào)的安全能力�,如IOOI,可以判斷出此用戶設(shè)備支持的是中國(guó)國(guó)內(nèi)標(biāo)準(zhǔn)化的安全算法1001��。對(duì)于所有中國(guó)國(guó)內(nèi)的PLMN,該安全算法都可以使用����?���?梢哉f�����,該安全算法1001與所有中 國(guó)國(guó)內(nèi)的PLMN相關(guān)耳關(guān)�����。如圖7所示,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商 時(shí)���,可以采用以下步驟步驟701:用戶設(shè)備向網(wǎng)絡(luò)側(cè)上報(bào)自身支持的安全算法,以及該 用戶設(shè)備的國(guó)際移動(dòng)設(shè)備身份�;步驟702:網(wǎng)絡(luò)側(cè)根據(jù)所述國(guó)際移動(dòng)設(shè)備身份����,判斷用戶設(shè)備上 報(bào)的安全算法是否與該網(wǎng)絡(luò)側(cè)所屬PLMN的標(biāo)識(shí)信息相關(guān)聯(lián)����;步驟703:網(wǎng)絡(luò)側(cè)根據(jù)判斷結(jié)果獲得該用戶設(shè)備支持的�����、與該網(wǎng) 絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法,所述安全算法包括加密 算法和完整性算法�;步驟704:網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的����、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法,以及網(wǎng)絡(luò)側(cè)自身支持的安全算法����, 選擇與用戶設(shè)備通信所使用的安全算法�;步驟705:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備����。在上述步驟完成之后����,若發(fā)生跨PLMN的切換��,則可以按照以下 步驟進(jìn)行新的安全算法協(xié)商步驟706:源PLMN將該用戶上報(bào)的安全算法和國(guó)際移動(dòng)設(shè)備身 份發(fā)送給目標(biāo)PLMN;步驟707:目標(biāo)PLMN與用戶設(shè)備協(xié)商安全算法��。本發(fā)明的又一實(shí)施例提供了一種適用于UMTS系統(tǒng)或演進(jìn)的3G 網(wǎng)絡(luò)系統(tǒng)的安全算法的協(xié)商方法����。該方法中���,用戶設(shè)備上實(shí)現(xiàn)的安全 算法包括加密算法和完整性算法����,這些安全算法不僅僅用四位二進(jìn)制 數(shù)標(biāo)識(shí)�����,還與PLMN的標(biāo)識(shí)信息相關(guān)聯(lián)��。具體來說��,這些安全算法還 可以與PLMN中的移動(dòng)國(guó)家碼(Mobile Country Code, MCC )和移動(dòng) 網(wǎng)絡(luò)碼(Mobile Network Code, MNC )相關(guān)聯(lián)�����。例如力口密算法X是 運(yùn)營(yíng)商A的自定義加密算法,則可以將該加密算法X的四位二進(jìn)制標(biāo)識(shí)與運(yùn)營(yíng)商A的MCC和MNC關(guān)聯(lián)保存���,/人而表示加密算法X與 運(yùn)營(yíng)商A的關(guān)聯(lián)關(guān)系��;或者���,完整性算法Y是B國(guó)運(yùn)營(yíng)商通用的完 整性算法,則可以將該完整性算法Y的四位二進(jìn)制數(shù)標(biāo)識(shí)僅與B國(guó)的 MCC關(guān)聯(lián)保存���,從而表示完整性算法Y與B國(guó)所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān) 系��;或者���,完整性算法Z是全球通用的完整性算法,則可以將該完整 性算法Z單獨(dú)保存�����,從而表示完整性算法Z與所有運(yùn)營(yíng)商的關(guān)聯(lián)關(guān)系����。 需要特別指出的是����,無論安全算法是與MCC和MNC關(guān)聯(lián)保存����,或安 全算法僅與MCC關(guān)聯(lián)保存��,或安全算法單獨(dú)保存�,都可以看作是安 全算法與PLMN的標(biāo)識(shí)信息相關(guān)聯(lián)。還需要指出的是�����,"不采用安全 算法�,,也可以認(rèn)為是一種安全算法�����,例如可以用四位二進(jìn)制數(shù)0000 來表示不采用加密算法/完整性算法����。如圖8所示,本實(shí)施例中當(dāng)網(wǎng)絡(luò)側(cè)與用戶設(shè)備進(jìn)行安全算法協(xié)商 時(shí)��,可以采用以下步驟步驟801:用戶設(shè)備將其支持的安全算法,以及與安全算法相關(guān) 聯(lián)的PLMN標(biāo)識(shí)信息上報(bào)給網(wǎng)絡(luò)側(cè)����;步驟802:網(wǎng)絡(luò)側(cè)根據(jù)用戶設(shè)備上報(bào)的安全算法及與其相關(guān)聯(lián)的 PLMN標(biāo)識(shí)信息,以及網(wǎng)絡(luò)側(cè)所屬PLMN的標(biāo)識(shí)信息����,確定與該P(yáng)LMN 標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法,所述安全算法包括加密算法和完整性算 法���;步驟803:網(wǎng)絡(luò)側(cè)根據(jù)步驟802所確定的與該P(yáng)LMN標(biāo)識(shí)信息相 關(guān)聯(lián)的安全算法��,以及網(wǎng)絡(luò)側(cè)自身支持的安全算法�,選擇與用戶設(shè)備 通信所使用的安全算法�����;步驟804:網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備�。 與現(xiàn)有技術(shù)相比,上述實(shí)施例所公開的安全算法協(xié)商方法根據(jù)網(wǎng) 絡(luò)側(cè)所屬PLMN的標(biāo)識(shí)信息對(duì)用戶設(shè)備支持的所有安全算法進(jìn)行篩 選��,使得篩選出的備選安全算法都是與所在PLMN相關(guān)聯(lián)的���。這種協(xié) 商方法使得運(yùn)營(yíng)商可以使用自定義安全算法�����,且不同運(yùn)營(yíng)商可以使用 同樣的四位二進(jìn)制數(shù)來表示各自的自定義安全算法�,只要通過相關(guān)聯(lián) 的PLMN標(biāo)識(shí)信息就可以區(qū)分���。在上述步驟完成之后���,若發(fā)生跨PLMN的切換,則可以按照以下 步驟進(jìn)行新的安全算法協(xié)商步驟805:源PLMN將該用戶上報(bào)的安全算法�,以及與安全算法 相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息發(fā)送給目標(biāo)PLMN;步驟806:目標(biāo)PLMN與用戶設(shè)備協(xié)商安全算法。通過上述步驟805和步驟806的處理����,保證了目標(biāo)PLMN可以根 據(jù)自己的PLMN標(biāo)識(shí)信息選擇與用戶設(shè)備通信所使用的安全算法。具 體協(xié)商方法可以參照步驟801 ~步驟804所使用的協(xié)商方法�����。這保證 了在發(fā)生跨PLMN切換時(shí)���,即使源PLMN和目標(biāo)PLMN使用相同的 四位二進(jìn)制數(shù)表示各自的自定義安全算法�,也不會(huì)發(fā)生沖突��。本發(fā)明的又一實(shí)施例提供了一種終端。如圖9所示���,所述終端包括存儲(chǔ)單元901:用于將用戶支持的安全算法及與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息關(guān)耳關(guān)保存�;接收單元902:用于接收網(wǎng)絡(luò)側(cè)發(fā)來的PLMN標(biāo)識(shí)信息���; 執(zhí)行單元903:用于根據(jù)接收單元卯2收到的PLMN標(biāo)識(shí)信息�����,到存儲(chǔ)單元901進(jìn)行查詢���,確定與所述接收到的PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;發(fā)送單元904:用于將執(zhí)行單元903確定的�����,與所述接收到的 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法發(fā)送給網(wǎng)絡(luò)側(cè)�����。上述實(shí)施例中��,通過在存儲(chǔ)單元901中將用戶支持的安全算法及 與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息關(guān)聯(lián)保存�,使得終端可以根據(jù)網(wǎng) 絡(luò)側(cè)發(fā)來的PLMN標(biāo)識(shí)信息確定與所述接收到的PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法��,從而可以在上報(bào)的安全算法中僅包括與網(wǎng)絡(luò)側(cè)所屬 P L MN相關(guān)聯(lián)的安全算法����。這使得不同的運(yùn)營(yíng)商可以用相同的四位二 進(jìn)制數(shù)表示各自的自定義安全算法����,而不會(huì)發(fā)生沖突��。本發(fā)明的保護(hù)范圍并不僅限于本申請(qǐng)文件所公開的內(nèi)容�,凡在本申請(qǐng)文件所公開內(nèi)容的基礎(chǔ)上所作的任何修改、等同替換����、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1����、一種安全算法的協(xié)商方法����,其特征在于���,包括網(wǎng)絡(luò)側(cè)獲得用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�;網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法�����,選擇與用戶設(shè)備通信所使用的安全算法���;網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備�。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,網(wǎng)絡(luò)側(cè)通過以下 步驟獲得所述用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法網(wǎng)絡(luò)側(cè)將該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息通知用戶i殳備�����; 網(wǎng)絡(luò)側(cè)獲得用戶設(shè)備上報(bào)的安全算法�����,所述用戶設(shè)備上報(bào)的安全 算法是用戶設(shè)備根據(jù)該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息選擇的自身支持 的��、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����。
3��、 根據(jù)權(quán)利要求2所述的方法�,其特征在于����,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后,還包括當(dāng)發(fā)生跨PLMN的切換時(shí)����,源PLMN將該用戶設(shè)備支持的�����、與該 源PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法中屬于該源PLMN自定義的安全 算法刪除�����;源PLMN將經(jīng)過所述刪除處理后的安全算法發(fā)送》會(huì)目標(biāo)PLMN�����。
4�����、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于�,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后�,還包括當(dāng)發(fā)生跨PLMN的切換時(shí),源PLMN的將目標(biāo)PLMN的標(biāo)識(shí)信 息通知給用戶設(shè)備;源PLMN收到所述用戶設(shè)備上報(bào)的安全算法�����,該用戶設(shè)備上報(bào)的 安全算法是所述用戶設(shè)備根據(jù)目標(biāo)PLMN標(biāo)識(shí)信息選擇的自身支持 的�、與目標(biāo)PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;源PLMN將所述用戶設(shè)備支持的�����、與目標(biāo)PLMN標(biāo)識(shí)信息相關(guān)聯(lián) 的安全算法發(fā)送給目標(biāo)PLMN��。
5�、 根據(jù)權(quán)利要求2所述的方法,其特征在于��,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后����,還包括網(wǎng)絡(luò)側(cè)斷開與所述用戶設(shè)備的連接��; 所述用戶設(shè)備與目標(biāo)PLMN建立連接�; 所述用戶設(shè)備與目標(biāo)PLMN協(xié)商安全算法。
6�����、 根據(jù)權(quán)利要求3、 4或5所述的方法��,其特征在于�,所述網(wǎng)絡(luò) 側(cè)根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián) 的安全算法�����,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法��,選擇與用戶設(shè)備通信 所使用的安全算法的具體步驟為網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)控制器獲得所述用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���;所述無線網(wǎng)絡(luò)控制器獲得網(wǎng) 絡(luò)側(cè)的SGSN或MSC/VLR發(fā)送的��、允許所述用戶設(shè)備使用的安全算 法�����;所述無線網(wǎng)絡(luò)控制器根據(jù)所述用戶設(shè)備支持的�、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法、所述SGSN或MSC/VLR發(fā)送的��、 允許所述用戶設(shè)備使用的安全算法����,以及所述無線網(wǎng)絡(luò)控制器自身支 持的安全算法選擇與用戶設(shè)備通信所使用的安全算法;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體獲得所述用戶設(shè)備支持的����、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;所述移動(dòng)性管理實(shí)體獲得所 述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法���;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法、 所述演進(jìn)基站支持的安全算法�,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的安全算法;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體和演進(jìn)基站獲得所述用戶設(shè)備支持的�、 與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���;所述移動(dòng)性管理 實(shí)體獲得所述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法�����;所述演進(jìn)基站獲得 所述移動(dòng)性管理實(shí)體支持的安全算法�;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���、 所述演進(jìn)基站支持的安全算法����,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的非接入層安全算法����;所述演進(jìn)基站根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���、所述移動(dòng)性管理實(shí)體支持的安全算法����,以及所述演進(jìn) 基站自身支持的安全算法選擇與用戶設(shè)備通信所使用的接入層安全算法和用戶面安全算法��;或網(wǎng)絡(luò)側(cè)的演進(jìn)基站獲得所述用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����;所述演進(jìn)基站獲得所述網(wǎng)絡(luò)側(cè)的 移動(dòng)性管理實(shí)體支持的安全算法;所述演進(jìn)基站根據(jù)所述用戶設(shè)備支 持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���、所述移動(dòng) 性管理實(shí)體支持的安全算法���,以及所述演進(jìn)基站自身支持的安全算法 選擇與用戶設(shè)備通信所使用的安全算法�����。
7�����、 根據(jù)權(quán)利要求1所述的方法����,其特征在于���,網(wǎng)絡(luò)側(cè)通過以下 步驟獲得所述用戶設(shè)備支持的��、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法網(wǎng)絡(luò)側(cè)收到用戶設(shè)備上報(bào)的安全算法���,以及該用戶設(shè)備的國(guó)際移 動(dòng)設(shè)備身份;網(wǎng)絡(luò)側(cè)根據(jù)所述國(guó)際移動(dòng)設(shè)備身份����,判斷所述用戶設(shè)備上報(bào)的安 全算法是否與該網(wǎng)絡(luò)側(cè)所屬PLMN的標(biāo)識(shí)信息相關(guān)聯(lián);網(wǎng)絡(luò)側(cè)根據(jù)判斷結(jié)果獲得該用戶設(shè)備支持的��、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法����。
8、 根據(jù)權(quán)利要求7所述的方法���,其特征在于�����,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后�����,還包括當(dāng)發(fā)生5爭(zhēng)PLMN的切換時(shí)��,源PLMN將用戶設(shè)備上>^艮的安全算法��, 以及該用戶設(shè)備的國(guó)際移動(dòng)設(shè)備身份發(fā)送給目標(biāo)PLMN����。
9、 根據(jù)權(quán)利要求7所述的方法����,其特征在于,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后�����,還包括網(wǎng)絡(luò)側(cè)斷開與所述用戶設(shè)備的連接����; 所述用戶設(shè)備與目標(biāo)PLMN建立連接; 所述用戶設(shè)備與目標(biāo)PLMN協(xié)商安全算法�����。
10�����、 根據(jù)權(quán)利要求8或9所述的方法,其特征在于����,所述網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的 安全算法�����,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法����,選擇與用戶設(shè)備通信所 使用的安全算法的具體步驟為網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)控制器獲得所述用戶設(shè)備支持的��、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����;所述無線網(wǎng)絡(luò)控制器獲得網(wǎng) 絡(luò)側(cè)的SGSN或MSC/VLR發(fā)送的�����、允許所述用戶設(shè)備使用的安全算 法�����;所述無線網(wǎng)絡(luò)控制器根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�、所述SGSN或MSC/VLR發(fā)送的、 允許所述用戶設(shè)備使用的安全算法��,以及所述無線網(wǎng)絡(luò)控制器自身支 持的安全算法選擇與用戶設(shè)備通信所使用的安全算法����;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體獲得所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�;所述移動(dòng)性管理實(shí)體獲得所 述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的�、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法、 所述演進(jìn)基站支持的安全算法��,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的安全算法���;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體和演進(jìn)基站獲得所述用戶設(shè)備支持的��、 與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法����;所述移動(dòng)性管理 實(shí)體獲得所述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法;所述演進(jìn)基站獲得 所述移動(dòng)性管理實(shí)體支持的安全算法�;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�、 所述演進(jìn)基站支持的安全算法,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的非接入層安全算法�;所述演進(jìn) 基站根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法����、所述移動(dòng)性管理實(shí)體支持的安全算法�,以及所述演進(jìn) 基站自身支持的安全算法選擇與用戶設(shè)備通信所使用的接入層安全算 法和用戶面安全算法;或網(wǎng)絡(luò)側(cè)的演進(jìn)基站獲得所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬 PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����;所述演進(jìn)基站獲得所述網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體支持的安全算法��;所述演進(jìn)基站根據(jù)所述用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��、所述移動(dòng)性管理實(shí)體支持的安全算法�����,以及所述演進(jìn)基站自身支持的安全算法 選擇與用戶設(shè)備通信所使用的安全算法���。
11��、根據(jù)權(quán)利要求1所述的方法�,其特征在于�����,網(wǎng)絡(luò)側(cè)通過以下 步驟獲得所述用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法網(wǎng)絡(luò)側(cè)收到用戶設(shè)備上報(bào)的安全算法��,以及與該用戶設(shè)備上報(bào)的 安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息��;網(wǎng)絡(luò)側(cè)根據(jù)該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息��,以及與該用戶設(shè)備上 報(bào)的安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息��,獲得該用戶設(shè)備支持的、與 該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���。
12����、 根據(jù)權(quán)利要求ll所述的方法�,其特征在于,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后����,還包括��;當(dāng)發(fā)生跨PLMN的切換時(shí)�����,源PLMN將用戶設(shè)備上報(bào)的安全算法�����, 以及與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息發(fā)送給目標(biāo)PLMN����。
13、 根據(jù)權(quán)利要求ll所述的方法,其特征在于��,在網(wǎng)絡(luò)側(cè)將所述 選擇的安全算法通知給用戶設(shè)備之后�,還包括網(wǎng)絡(luò)側(cè)斷開與所迷用戶設(shè)備的連接; 所述用戶設(shè)備與目標(biāo)PLMN建立連接�; 所述用戶設(shè)備與目標(biāo)PLMN協(xié)商安全算法。
14����、 根據(jù)權(quán)利要求12或13所述的方法,其特征在于�����,所述網(wǎng)絡(luò) 側(cè)根據(jù)所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián) 的安全算法����,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法���,選擇與用戶設(shè)備通信 所使用的安全算法的具體步驟為網(wǎng)絡(luò)側(cè)的無線網(wǎng)絡(luò)控制器獲得所述用戶設(shè)備支持的����、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;所述無線網(wǎng)絡(luò)控制器獲得網(wǎng) 絡(luò)側(cè)的SGSN或MSC/VLR發(fā)送的��、允許所述用戶設(shè)備使用的安全算 法�;所述無線網(wǎng)絡(luò)控制器根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法����、所述SGSN或MSC/VLR發(fā)送的、 允許所述用戶設(shè)備使用的安全算法����,以及所述無線網(wǎng)絡(luò)控制器自身支 持的安全算法選擇與用戶設(shè)備通信所使用的安全算法;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體獲得所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè) 所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����;所述移動(dòng)性管理實(shí)體獲得所 述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的�����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��、 所述演進(jìn)基站支持的安全算法,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的安全算法����;或網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體和演進(jìn)基站獲得所述用戶設(shè)備支持的、 與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法�����;所述移動(dòng)性管理 實(shí)體獲得所述網(wǎng)絡(luò)側(cè)的演進(jìn)基站支持的安全算法���;所述演進(jìn)基站獲得 所述移動(dòng)性管理實(shí)體支持的安全算法���;所述移動(dòng)性管理實(shí)體根據(jù)所述 用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法���、 所述演進(jìn)基站支持的安全算法��,以及所述移動(dòng)性管理實(shí)體自身支持的 安全算法選擇與用戶設(shè)備通信所使用的非接入層安全算法���;所述演進(jìn) 基站根據(jù)所述用戶設(shè)備支持的、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān) 聯(lián)的安全算法�����、所述移動(dòng)性管理實(shí)體支持的安全算法,以及所述演進(jìn) 基站自身支持的安全算法選擇與用戶設(shè)備通信所使用的接入層安全算 法和用戶面安全算法���;或網(wǎng)絡(luò)側(cè)的演進(jìn)基站獲得所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;所述演進(jìn)基站獲得所述網(wǎng)絡(luò)側(cè)的移動(dòng)性管理實(shí)體支持的安全算法��;所述演進(jìn)基站根據(jù)所述用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法��、所述移動(dòng)性管理實(shí)體支持的安全算法�,以及所述演進(jìn)基站自身支持的安全算法 選擇與用戶設(shè)備通信所使用的安全算法��。
15�、 根據(jù)權(quán)利要求1-5、 7~9����、 11 ~ 13中任何一項(xiàng)所述的方法�, 其特征在于,所述安全算法包括加密算法和完整性算法����。
16�、 根據(jù)權(quán)利要求1-5��、 7~9��、 11 ~ 13中任何一項(xiàng)所述的方法��,其特征在于�����,所述P L M N標(biāo)識(shí)信息可以通過以下任何 一 種方式表示 通過移動(dòng)國(guó)家碼和移動(dòng)網(wǎng)絡(luò)碼的組合來標(biāo)識(shí)特定的PLMN;或�, 通過移動(dòng)國(guó)家碼來標(biāo)識(shí)特定國(guó)家或地區(qū)的PLMN;或, 通過不包含移動(dòng)國(guó)家碼或移動(dòng)網(wǎng)絡(luò)碼來標(biāo)識(shí)所有PLMN���。 17���、 一種終端,其特征在于�����,包括存儲(chǔ)單元用于將用戶支持的安全算法及與安全算法相關(guān)聯(lián)的PLMN標(biāo)識(shí)信息關(guān)聯(lián)保存����;接收單元用于接收網(wǎng)絡(luò)側(cè)發(fā)來的PLMN標(biāo)識(shí)信息����;執(zhí)行單元用于根據(jù)所述接收單元收到的PLMN標(biāo)識(shí)信息�����,到所述存儲(chǔ)單元進(jìn)行查詢����,確定與所述接收到的PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;發(fā)送單元用于將所述執(zhí)行單元確定的�����,與所述接收到的PLMN 標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法發(fā)送給網(wǎng)絡(luò)側(cè)�����。
全文摘要
本發(fā)明的實(shí)施例公開了安全算法的協(xié)商方法和用來實(shí)現(xiàn)該方法的終端�����。其目的是要提供一種能支持運(yùn)營(yíng)商使用自定義安全算法的安全算法協(xié)商方法���。本發(fā)明實(shí)施例公開的安全算法協(xié)商方法包括網(wǎng)絡(luò)側(cè)獲得用戶設(shè)備支持的���、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法;網(wǎng)絡(luò)側(cè)根據(jù)所述用戶設(shè)備支持的����、與該網(wǎng)絡(luò)側(cè)所屬PLMN標(biāo)識(shí)信息相關(guān)聯(lián)的安全算法,以及網(wǎng)絡(luò)側(cè)本身支持的安全算法����,選擇與用戶設(shè)備通信所使用的安全算法;網(wǎng)絡(luò)側(cè)將所述選擇的安全算法通知給用戶設(shè)備����。本發(fā)明實(shí)施例提供的終端包括存儲(chǔ)單元、接收單元�����、執(zhí)行單元和發(fā)送單元����。通過本發(fā)明實(shí)施例公開的方法和終端,運(yùn)營(yíng)商可以使用自定義安全算法而不產(chǎn)生沖突。
文檔編號(hào)H04L29/06GK101330376SQ20071007610
公開日2008年12月24日 申請(qǐng)日期2007年6月22日 優(yōu)先權(quán)日2007年6月22日
發(fā)明者璟 陳 申請(qǐng)人:華為技術(shù)有限公司