[go: up one dir, main page]

CN118488435A - 一种密码算法协商方法及装置 - Google Patents

一种密码算法协商方法及装置 Download PDF

Info

Publication number
CN118488435A
CN118488435A CN202310154412.XA CN202310154412A CN118488435A CN 118488435 A CN118488435 A CN 118488435A CN 202310154412 A CN202310154412 A CN 202310154412A CN 118488435 A CN118488435 A CN 118488435A
Authority
CN
China
Prior art keywords
access network
network device
cryptographic algorithm
length
equal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310154412.XA
Other languages
English (en)
Inventor
浦宏艺
张博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202310154412.XA priority Critical patent/CN118488435A/zh
Priority to PCT/CN2024/073675 priority patent/WO2024164839A1/zh
Publication of CN118488435A publication Critical patent/CN118488435A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请涉及通信技术领域,提供一种密码算法协商方法及装置,其中方法包括:主接入网设备从至少一个辅接入网设备中确定支持密钥长度大于或等于第一长度的密码算法的第一辅接入网设备;向第一辅接入网设备发送第一指示信息,第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对用户面消息进行加密和完整性保护。该方法中,选择支持密钥长度大于或等于第一长度的密码算法的第一辅接入网设备,并通过第一指示信息指示第一辅接入网设备采用密钥长度等于第一长度的密码算法对用户面消息进行加密和完整性保护,从而保证辅接入网设备采用的密码算法与主接入网设备一致,从而提高了通信的安全性。

Description

一种密码算法协商方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种密码算法协商方法及装置。
背景技术
超可靠低延时通信(ultra reliable low latency communication,URLLC)业务是5G技术的一个主要应用场景,URLLC具有低延时和高可靠的特点,可广泛应用于工业自动化、自动驾驶、远程医疗、智能交通等领域。
为实现URLLC业务的高可靠通信,终端设备可基于多模双连接(multi-radio dualconnectivity,MR-DC)与两个基站建立两个协议数据单元(protocol data unit,PDU)会话,该终端设备与两个基站的PDU会话内容相同。这两个基站分别为主节点(master node,MN)基站和第二节点(secondary node,SN)基站,终端设备在建立双连接过程中,先与MN基站建立连接,MN基站再为终端设备选择一个SN基站。
MN基站和SN基站会分别采用对称密码算法对PDU会话中的用户面消息进行加密和完整性保护。而对称密码算法的密钥长度存在多种情况,例如128位以及256位等,密钥长度越长,安全性能越好。因此,如果MN基站选择的SN基站所支持的对称密码算法的密钥长度小于该MN基站所支持的对称密码算法的密钥长度,那么终端设备与SN基站之间通信的安全性会低于终端设备与MN基站之间通信的安全性,从而会影响URLLC业务的通信安全性。
为此,如何提高双连接场景中,URLLC业务的通信安全,是一个亟待解决的问题。
发明内容
本申请提供一种密码算法协商方法及装置,用以提高双连接场景中,URLLC业务的通信安全。
第一方面,本申请提供一种密码算法协商方法,该方法包括:第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备;第一辅接入网设备支持至少一个密码算法,至少一个密码算法中包括密钥长度大于或等于第一长度的密码算法,第一主接入网设备支持密钥长度等于第一长度的密码算法;第一主接入网设备向第一辅接入网设备发送第一指示信息,第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
通过本申请提供的方法,第一主接入网设备选择支持密钥长度大于或等于第一长度的密码算法的第一辅接入网设备,并通过第一指示信息指示第一辅接入网设备采用密钥长度大于或等于第一长度的密码算法对用户面消息进行加密和完整性保护,从而保证第一辅接入网设备使用的密码算法的密钥长度为第一主接入网设备指定的长度,从而提高了通信的安全性。
一种可能的实现方式中,在第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之前,该方法还包括:第一主接入网设备向至少一个辅接入网设备发送安全能力请求消息,安全能力请求消息用于指示至少一个辅接入网设备上报支持的密码算法;
第一主接入网设备接收来自至少一个辅接入网设备的至少一个安全能力响应消息,安全能力响应消息用于指示与安全能力响应消息对应的辅接入网设备支持的密码算法。
通过该方法,第一主接入网设备可以确定每个辅接入网设备支持的密码算法,从而能够从中确定出支持密钥长度大于或等于第一长度的密码算法的辅接入网设备。
一种可能的实现方式中,该方法还包括:第一主接入网设备使用密钥长度大于或等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
通过该方法,第一主接入网设备使用密钥长度大于或等于第一长度的密码算法,从而保证第一辅接入网设备采用的密码算法与第一主接入网设备一致,从而提高了通信的安全性。
一种可能的实现方式中,该方法还包括:第一主接入网设备向终端设备发送第二指示信息,第二指示信息用于指示第一主接入网设备支持对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,以及对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法。
一种可能的实现方式中,第一长度为第一主接入网设备选择的用于对所述第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
一种可能的实现方式中,第一长度为第一主接入网设备支持的所有密码算法的密钥长度中的最大值。
一种可能的实现方式中,该方法还包括:第一主接入网设备接收来自源主接入网设备的第三指示信息,第三指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护;源主接入网设备为终端设备切换前的接入网设备,第一主接入网设备为终端设备切换后的接入网设备。
一种可能的实现方式中,在第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之前,方法进一步包括:第一主接入网设备与终端设备之间建立两个协议数据单元PDU会话;在第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之后,两个PDU会话中的一个PDU会话被分流到第一辅接入网设备。
一种可能的实现方式中,第一辅接入网设备支持的至少一个密码算法中包括密钥长度小于第一长度的密码算法。
第二方面,本申请提供一种密码算法协商方法,该方法包括:第一辅接入网设备接收来自第一主接入网设备的第一指示信息,第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护;第一辅接入网设备支持至少一个密码算法,至少一个密码算法中包括密钥长度小于第一长度的密码算法,以及包括密钥长度大于或等于第一长度的密码算法,第一主接入网设备支持密钥长度等于第一长度的密码算法;第一辅接入网设备根据第一指示信息使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种可能的实现方式中,在第一辅接入网设备接收来自第一主接入网设备的第一指示信息之前,该方法还包括:第一辅接入网设备接收来自第一主接入网设备的安全能力请求消息,安全能力请求消息用于指示第一辅接入网设备上报支持的密码算法;
第一辅接入网设备向第一主接入网设备发送安全能力响应消息,安全能力响应消息用于指示与第一辅接入网设备支持的密码算法。
一种可能的实现方式中,第一长度为第一主接入网设备选择的用于对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
一种可能的实现方式中,第一长度为第一主接入网设备支持的所有密码算法的密钥长度中的最大值。
一种可能的实现方式中,在第一辅接入网设备接收来自第一主接入网设备的第一指示信息之后,该方法进一步包括:第一主接入网设备与终端设备之间建立的两个协议数据单元PDU会话中的一个PDU会话被分流到第一辅接入网设备。
一种可能的实现方式中,第一辅接入网设备支持的至少一个密码算法中包括密钥长度小于第一长度的密码算法。
第三方面,本申请提供一种密码算法协商方法,该方法包括:第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,则向核心网设备发送切换请求消息,切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;密码算法用于对用户面消息进行加密和完整性保护;第一主接入网设备接收来自核心网设备的切换响应消息,切换响应消息用于指示将终端设备切换至第二主接入网设备;切换响应消息包括第二主接入网设备支持的密码算法;第一主接入网设备向第二主接入网设备发送第一信息,第一信息用于指示使用所述第二主接入网设备支持的密码算法中密钥长度大于或等于第一长度的密码算法对第二主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种可能的实现方式中,该方法还包括:第一主接入网设备向至少一个辅接入网设备发送安全能力请求消息,安全能力请求消息用于指示至少一个辅接入网设备上报支持的密码算法;第一主接入网设备接收来自至少一个辅接入网设备的至少一个安全能力响应消息,至少一个安全能力响应消息与至少一个辅接入网设备一一对应,安全能力响应消息用于指示与安全能力响应消息对应的辅接入网设备支持的密码算法。
一种可能的实现方式中,第一长度为256位。
第四方面,本申请提供一种密码算法协商方法,该方法包括:第二主接入网设备接收来自第一主接入网设备的第一信息,第一信息用于指示使用至少一个密码算法中密钥长度大于或等于第一长度的密码算法对主接入网设备与终端设备之间的用户面消息进行加密和完整性保护;第二主接入网设备根据第一信息使用至少一个密码算法中密钥长度大于或等于第一长度的密码算法对主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种可能的实现方式中,第一长度为256位。
第五方面,本申请提供一种密码算法协商方法,该方法包括:核心网设备接收来自第一主接入网设备的切换请求消息,切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;密码算法用于对用户面消息进行加密和完整性保护;核心网设备向第一主接入网设备发送切换响应消息;
其中,如果核心网设备从至少一个主接入网设备中确定出能够支持密钥长度大于或等于第一长度的密码算法的第二主接入网设备,且确定第二主接入网设备的信号覆盖范围内存在支持密钥长度大于或等于第一长度的密码算法的第二辅接入网设备,那么切换响应消息用于指示将终端设备切换至第二主接入网设备;切换响应消息包括第二主接入网设备支持的密码算法;如果核心网设备确定至少一个主接入网设备中没有支持密钥长度大于或等于第一长度的密码算法的主接入网设备,或者核心网设备确定至少一个主接入网设备中存在支持密钥长度大于或等于第一长度的密码算法的主接入网设备,但是该主接入网设备的信号覆盖范围内不存在支持密钥长度大于或等于第一长度的密码算法的第二辅接入网设备,那么切换响应消息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备。
第六方面,本申请提供一种密码算法协商方法,该方法包括:第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,则向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;第一主接入网设备接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;第一主接入网设备向终端设备发送第二信息,第二信息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备和/或辅接入网设备;或者,第一主接入网设备向终端设备发送第三信息,第三信息用于指示所述第一主接入网设备支持对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护所使用的第一密码算法,所述第一密码算法的密钥长度小于所述第一长度。
第七方面,本申请还提供一种通信装置,该通信装置具有实现上述第一方面至第六方面中任一方面提供的任一方法。该通信装置可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的单元或模块。
在一种可能的实现方式中,该通信装置包括:处理器,该处理器被配置为支持该通信装置执行以上所示方法中通信设备或终端设备的相应功能。该通信装置还可以包括存储器,该存储可以与处理器耦合,其保存该通信装置必要的程序指令和数据。可选地,该通信装置还包括接口电路,该接口电路用于支持该通信装置与终端设备等设备之间的通信。
在一种可能的实现方式中,该通信装置包括相应的功能模块,分别用于实现以上方法中的步骤。功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的实施方式中,通信装置的结构中包括处理单元和通信单元,这些单元可以执行上述方法示例中相应功能,具体参见第一方面至第六方面中任一方面提供的方法中的描述,此处不做赘述。
第八方面,提供了一种通信装置,包括处理器和接口电路,接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置,该处理器通过逻辑电路或执行代码指令用于实现前述第一方面至第六方面中任一方面、以及任一方面的任意可能的实现方式中的方法。
第九方面,提供了一种通信装置,包括处理器和接口电路,接口电路用于接收来自该通信装置之外的其它通信装置的信号并传输至该处理器或将来自该处理器的信号发送给该通信装置之外的其它通信装置,该处理器通过逻辑电路或执行代码指令用于实现前述第一方面至第六方面中任一方面、以及任一方面的任意可能的实现方式中的方法的功能模块。
第十方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序或指令,当该计算机程序或指令被处理器执行时,实现前述第一方面至第六方面中任一方面、以及任一方面的任意可能的实现方式中的方法。
第十一方面,提供了一种存储有指令的计算机程序产品,当该指令被处理器运行时,实现前述第一方面至第六方面中任一方面、以及任一方面的任意可能的实现方式中的方法。
第十二方面,提供一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现前述第一方面至第六方面中任一方面、以及任一方面的任意可能的实现方式中的方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第十三方面,提供一种通信系统,所述系统包括用于实现第一方面所提供的方法的装置以及用于实现第二方面所提供的方法的装置。
附图说明
图1为适用于本申请实施例的一种网络架构示意图;
图2为本申请实施例提供的一种密码算法协商方法流程示意图;
图3为本申请实施例提供的一种密码算法协商方法流程示意图;
图4为本申请实施例提供的一种密码算法协商方法流程示意图;
图5为本申请实施例提供的一种密码算法协商方法流程示意图;
图6为本申请实施例提供的一种密码算法协商方法流程示意图;
图7为本申请实施例提供的一种通信装置结构示意图;
图8为本申请实施例提供的一种通信装置结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请的说明书和权利要求书及附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
本申请实施例提供的通信方法可以应用于各类移动通信系统中,例如,可以是物联网(internet of things,IoT)、窄带物联网(narrow band internet of things,NB-IoT)、长期演进(long term evolution,LTE),也可以是第五代(5th generation,5G)通信系统(例如5G新空口(new radio,NR)),还可以是LTE与5G混合架构,也可以是6G或者未来通信发展中出现的新的通信系统等。通信系统还可以是机器到机器(machine to machine,M2M)网络、机器类通信(machine type communication,MTC)或者其他网络。
本申请实施例提供的方法和装置是基于同一或相似技术构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
本申请中,接入网设备,包括但不限于:演进型节点B(evolved Node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(basestation controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved NodeB,或home Node B,HNB)、基带单元(baseband unit,BBU),无线保真(wireless fidelity,WIFI)系统中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者发送接收点(transmission and receptionpoint,TRP)等,还可以为5G移动通信系统中的接入网设备。例如,NR系统中的下一代基站(next generation NodeB,gNB),传输接收点(transmission reception point,TRP),TP;或者,5G移动通信系统中的基站的一个或一组(包括多个天线面板)天线面板;或者,接入网设备还可以为构成gNB或传输点的网络节点。例如,BBU,或分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。例如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来。因此在该架构下,高层信令(如RRC层信令)也可以认为是由DU发送的,或者,由DU和AAU发送的。可以理解的是,接入网设备可以为包括CU节点、DU节点、AAU节点中一个或多个的设备。此外,可以将CU划分为RAN中的接入网设备,也可以将CU划分为核心网(core network,CN)中的接入网设备,本申请对此不做限定。
终端设备通过无线方式或有线方式与接入网设备连接,从而接入到该移动通信系统中。接入网设备可以是基站(base station)、演进型基站(evolved NodeB,eNodeB)、发送接收点(transmission reception point,TRP)、5G移动通信系统中的下一代基站(nextgeneration NodeB,gNB)、未来移动通信系统中的基站或WiFi系统中的接入节点等;也可以是完成基站部分功能的模块或单元,例如,可以是集中式单元(central unit,CU),也可以是分布式单元(distributed unit,DU)。本申请的实施例对接入网设备所采用的具体技术和具体设备形态不做限定。
终端设备也可以称为终端、用户设备(user equipment,UE)、移动台、移动终端等。终端设备可以是手机、平板电脑、带无线收发功能的电脑、虚拟现实终端设备、增强现实终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端等。本申请的实施例对终端设备所采用的具体技术和具体设备形态不做限定。
图1是适用于本申请的一种移动通信系统网络架构示意图。如图1所示,该移动通信系统中,为保证URLLC业务的高可靠通信,终端设备会建立两个相同的、冗余的PDU会话,即两个PDU会话中传输的内容相同。具体的,终端设备可以通过双连接分别与主接入网设备、辅接入网设备分别建立PDU会话,并分别建立(signaling radio bearer,SRB)和数据无线承载(data radio bearer,DRB)。其中主接入网设备也可以称为主节点接入网设备,辅接入网设备也可以称为辅节点接入网设备或第二节点接入网设备。主接入网设备与辅接入网设备之间通过Xn-U接口和Xn-C接口分别进行数据和信令的交互。
主接入网设备、辅接入网设备会分别采用对称密码算法对PDU会话中的用户面(user plane,UP)消息进行加密和完整性保护,本申请中,对称密码算法的具体实现方式并不限定,例如对称密码算法可以包括但不限于高级加密标准(advanced encryptionstandard,AES)算法、祖冲之(ZUC)算法以及SNOW算法等,本申请后面的描述中,将对称密码算法简称为密码算法。
密码算法中一个重要的输入参数为密钥,密钥长度也可以称为安全参数等名称。密码算法的密钥长度存在多种取值,例如密钥长度为128位或256位等。由于主接入网设备和辅接入网设备之间分别独立对用户面消息进行加密和完整性保护,因此辅接入网设备使用的密码算法的密钥长度是不可预知的,不受主接入网设备控制,因此如果辅接入网设备使用的密钥长度太小,那么终端设备与辅接入网设备之间通信的安全性会低于终端设备与主接入网设备之间通信的安全性,从而会影响URLLC业务的通信安全性。为此,本申请提供一种方法,可以保证辅接入网设备采用主接入网设备指定的密钥长度的密码算法,提高URLLC业务的通信安全性,下面将详细描述。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例中部分场景以无线通信网络中NR网络的场景为例进行说明,应当指出的是,本申请实施例中的方案还可以应用于其他无线通信网络中,相应的名称也可以用其他无线通信网络中的对应功能的名称进行替代。
如图2所示,为本申请实施例提供的一种密码算法协商方法流程示意图。当该方法流程应用于图1所示的系统时,图1中的主接入网设备可以执行以下流程中第一主接入网设备执行的方法,图1中的辅接入网设备可以执行以下流程中第一辅接入网设备执行的方法,图1中的终端设备可以执行以下流程中终端设备执行的方法。可以理解的是,下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,执行主体可以为终端设备或终端设备中能够调用程序并执行程序的功能模块,或者执行主体可以为第一主接入网设备或第一主接入网设备中能够调用程序并执行程序的功能模块。
可选地,S201:第一主接入网设备与终端设备之间建立RRC连接。
其中,RRC连接建立的具体过程,本申请并不限定,在此不再赘述。
RRC连接建立完成之后,第一主接入网设备与终端设备之间可以建立两个PDU会话。针对上述两个PDU会话,核心网设备可以给第一主接入网设备发送两个相同的UP安全策略,UP安全策略用于指示是否开启加密和完整性保护。本申请中,UP安全策略可以指示开启加密和完整性保护。
可选地,S202:第一主接入网设备向至少一个辅接入网设备发送安全能力请求消息,安全能力请求消息用于指示接收到该安全能力请求消息的辅接入网设备上报支持的密码算法。
该至少一个辅接入网设备位于第一主接入网设备周围,例如位于第一主接入网设备的信号覆盖范围内。
可选地,S203:第一主接入网设备接收至少一个安全能力响应消息。
其中,至少一个安全能力响应消息中的每个安全能力响应消息来自一个辅接入网设备的,安全能力响应消息用于指示与该安全能力响应消息对应的辅接入网设备支持的密码算法。举例来说,第一辅接入网设备发送的安全能力响应消息可以包括第一辅接入网设备支持的所有密码算法的算法标识,每个算法标识可以指示密码算法的算法类型以及密钥长度。例如,安全能力响应消息可以包括128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC;其中,128bit-AES表示密码算法为AES,且密钥长度为128位;256bit-AES表示密码算法为AES,且密钥长度为256位;256bit-ZUC表示密码算法为ZUC,且密钥长度为256位。其中,128bit-AES还可以表示为AES-128或128位的AES或密钥长度为128位的AES等,其他情况依次类推,不再赘述。
一种实现方式中,安全能力响应消息还用于指示与该安全能力响应消息对应的辅接入网设备支持对用户面消息进行加密和完整性保护。
通过上述过程,第一主接入网设备可以确定其周围的至少一个辅接入网设备中每个辅接入网设备支持的密码算法。以上只是示例,第一主接入网设备也可以通过其他方式确定每个辅接入网设备支持的密码算法,本申请对此并不限定。
S204:第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备。
其中,第一辅接入网设备支持至少一个密码算法,至少一个密码算法中包括密钥长度小于第一长度的密码算法,以及包括密钥长度大于或等于第一长度的密码算法。一种可能的实现方式中,第一辅接入网设备支持的至少一个密码算法中包括密钥长度小于第一长度的密码算法,第一主接入网设备支持密钥长度等于第一长度的密码算法。
本申请中,密钥长度可由安全参数确定,相应的,密钥长度也可以称为安全参数。
第一主接入网设备确定使用密钥长度大于或等于第一长度的密码算法,那么第一主接入网设备可以选择支持密钥长度大于或等于第一长度的密码算法的辅接入网设备作为第一辅接入网设备。
一种可能的实现方式中,第一长度为第一主接入网设备选择的用于对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
例如,第一主接入网设备确定使用密钥长度为256位的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,那么第一长度为256位。
一种实现方式中,第一长度为第一主接入网设备支持的所有密码算法的密钥长度中的最大值。例如,第一主接入网设备支持三个密码算法,分别为128bit-AES、256bit-AES以及128bit-SONW,那么第一主接入网设备支持的三个密码算法的密钥长度分别为128位、256位以及128位,因此第一长度为这三个密钥长度中最大的那个,即256位。
一种实现方式中,第一主接入网设备可以通过其他接入网设备确定第一长度。举例来说,第一主接入网设备接收来自源主接入网设备的第三指示信息,第三指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。其中,该源主接入网设备为终端设备切换前的接入网设备,第一主接入网设备为终端设备切换后的接入网设备。
一种实现方式中,第一长度为第一主接入网设备支持的所有密码算法的密钥长度中的最大值。例如,第一主接入网设备支持三个密码算法,分别为128bit-AES、256bit-AES以及128bit-SONW,那么第一主接入网设备支持的三个密码算法的密钥长度分别为128位、256位以及128位,因此第一长度为这三个密钥长度中最大的那个,即256位。
以上只是示例,第一主接入网设备也可以通过其他方式确定第一长度,本申请对此并不限定。
本申请中,在第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之后,第一主接入网设备可以将与终端设备建立的两个PDU会话中的一个PDU会话分流到第一辅接入网设备,具体分流过程,本申请对此并不限定,在此不再赘述。
S205:第一主接入网设备向第一辅接入网设备发送第一指示信息;相应的,第一辅接入网设备接收来自第一主接入网设备的第一指示信息。
其中,第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
举例来说,第一主接入网设备通过Xn-C接口向第一辅接入网设备发送SN添加/修改请求消息,SN添加/修改请求消息包括第一指示信息,SN添加/修改请求消息还可以用于协商第一辅接入网设备上的可用资源等信息。
一种实现方式中,第一指示信息可以指示第一辅接入网设备支持的至少一个密码算法中,密钥长度大于或等于第一长度的密码算法。例如,第一辅接入网设备支持的密码算法包括128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC;如果第一长度为256位,第一指示信息可以指示256bit-AES以及256bit-ZUC中的至少一个,第一辅接入网设备从而可以根据第一指示信息确定使用密钥长度大于或等于256位(即第一长度)的密码算法。
一种实现方式中,第一指示信息可以指示第一长度。例如,第一辅接入网设备支持的密码算法包括128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC;如果第一长度为256位,第一指示信息可以指示256位,第一辅接入网设备从而可以根据第一指示信息确定使用密钥长度大于或等于256位(即第一长度)的密码算法。
SN添加/修改请求消息还可以包括其他信息,例如包括第一主接入网设备确定的控制面的密钥KSN、终端设备安全能力和UP安全策略等信息。
S206:第一辅接入网设备根据第一指示信息使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种实现方式中,第一辅接入网设备根据第一指示信息从其算法配置列表中选择密钥长度大于或等于第一长度、且优先级最高的密码算法,该密码算法应当是存在于终端设备安全能力中的算法。
一种实现方式中,第一辅接入网设备还可以向第一主接入网设备发送SN添加/修改确认消息,SN添加/修改确认消息包括第一辅接入网设备选择的密码算法。SN添加/修改确认消息还可以包括指示第一辅接入网设备是否支持对用户面消息进行加密和完整性保护的指示信息。
S207:第一主接入网设备使用密钥长度大于或等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种可能的场景中,如果第一指示信息指示第一辅接入网设备使用密钥长度等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护,那么第一主接入网设备也使用密钥长度等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种可能的场景中,如果第一指示信息指示第一辅接入网设备使用密钥长度大于或等于第一长度的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护,此时第一主接入网设备可以使用密钥长度等于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,也可以使用密钥长度大于第一长度的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
在该场景中,如果第一辅接入网设备通过SN添加/修改确认消息等消息向第一主接入网设备指示第一辅接入网设备选择的密码算法,那么第一主接入网设备使用的密码算法的密钥长度等于第一辅接入网设备选择的密码算法的密钥长度。例如,第一指示信息指示的密码算法的密钥长度大于或等于128位,如果第一辅接入网设备选择的密码算法的密钥长度为256位,那么第一主接入网设备使用的密码算法的密钥长度也等于256位。
一种实现方式中,第一主接入网设备还可以向终端设备发送第二指示信息,第二指示信息用于指示第一主接入网设备支持对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,以及对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法。
终端设备确定第一主接入网设备对用户面消息进行加密和完整性保护所使用的密码算法之后,可以使用同样的密码算法对向第一主接入网设备发送的用户面消息进行加密和完整性保护,上述用户面消息通过终端设备与第一接入网设备之间的PDU会话传输。
本申请中,对于具体如何使用密码算法并不限定。举例来说,以第一主接入网设备为例,第一主接入网设备可以将第一长度的密钥和待发送的用户面消息输入至密码算法,第一主接入网设备可以将密码算法输出的消息作为加密和完整性保护后的消息。
另外,S206和S207之间的执行顺序并不限定,S206也可以在S207之后,或者也可以同时执行,本申请对此并不限定。
通过本申请提供的方法,第一主接入网设备选择支持密钥长度大于或等于第一长度的密码算法的第一辅接入网设备,并通过第一指示信息指示第一辅接入网设备采用密钥长度大于或等于第一长度的密码算法对用户面消息进行加密和完整性保护,从而保证第一辅接入网设备使用的密码算法的密钥长度为第一主接入网设备指定的长度,从而提高了通信的安全性。
如图3所示,为本申请实施例提供的一种密码算法协商方法流程示意图。该方法流程中,第一主接入网设备指示128位或256位等长度密钥长度的密码算法,可实现第一主接入网设备和辅接入网设备均选择128位或256位等长度密钥长度的密码算法。
S301:第一主接入网设备与终端设备之间建立RRC连接,并建立两个PDU会话。
其中,RRC连接以及PDU会话建立的具体过程,本申请并不限定,在此不再赘述。
针对上述两个PDU会话,核心网设备可以给第一主接入网设备发送两个相同的UP安全策略。
S302:第一主接入网设备确定至少一个辅接入网设备中每个辅接入网设备支持的密码算法。
第一主接入网设备如何确定至少一个辅接入网设备中每个辅接入网设备支持的密码算法,本申请对此并不限定,例如可以参考S202至S203中的描述。
S303:第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备。
举例来说,第一主接入网设备支持的所有密码算法的密钥长度为128位,那么第一长度可以为128位,此时第一主接入网设备确定的第一辅接入网设备支持密钥长度大于或等于128位的密码算法。
举例来说,第一主接入网设备确定使用密钥长度为256位的密码算法,那么第一长度可以为256位,此时第一主接入网设备确定的第一辅接入网设备支持密钥长度大于或等于256位的密码算法。
本申请中,在第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之后,第一主接入网设备可以将与终端设备建立的两个PDU会话中的一个PDU会话分流到第一辅接入网设备,具体分流过程,本申请对此并不限定。
S304:第一主接入网设备向第一辅接入网设备发送SN添加/修改请求消息。
其中,SN添加/修改请求消息包括第一指示信息,SN添加/修改请求消息还可以包括密钥KSN、终端设备安全能力和UP安全策略等信息。
举例来说,第一长度为128位,第一辅接入网设备支持的密码算法包括128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC;那么第一指示信息可以指示第一辅接入网设备使用密钥长度等于128位的密码算法,即使用128bit-AES以及128bit-SONW中的一个密码算法;或者,第一指示信息可以指示第一辅接入网设备使用密钥长度大于或等于128位的密码算法,即使用128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC中的一个密码算法。
举例来说,第一长度为256位,第一辅接入网设备支持的密码算法包括128bit-AES、256bit-AES、128bit-SONW以及256bit-ZUC;那么第一指示信息可以指示第一辅接入网设备使用密钥长度等于256位的密码算法,即256bit-AES以及256bit-ZUC中的一个密码算法。
S305:第一辅接入网设备根据第一指示信息确定对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护使用的密码算法。
其中,第一辅接入网设备根据第一指示信息确定的密码算法的密钥长度大于或等于第一长度。
举例来说,第一指示信息指示使用密钥长度大于或等于128位的密码算法,第一辅接入网设备从其算法配置列表中选择密钥长度大于或等于128位、且优先级最高的密码算法。
举例来说,第一指示信息指示使用密钥长度等于128位的密码算法,第一辅接入网设备从其算法配置列表中选择密钥长度等于128位、且优先级最高的密码算法。
举例来说,第一指示信息指示使用密钥长度等于256位的密码算法,第一辅接入网设备从其算法配置列表中选择密钥长度等于256位、且优先级最高的密码算法。
其中,第一辅接入网设备确定的密码算法是存在于终端设备安全能力中的算法。
一种实现方式中,第一辅接入网设备还可以根据控制面的密钥KSN确定所需的RRC,具体过程并不限定。
S306:第一辅接入网设备向第一主接入网设备发送SN添加/修改确认消息,SN添加/修改确认消息包括第一辅接入网设备选择的密码算法。
SN添加/修改确认消息还可以包括指示第一辅接入网设备是否支持对用户面消息进行加密和完整性保护的指示信息。
S307:第一主接入网设备向终端设备发送RRC连接重配置请求消息。
一种实现方式中,RRC连接重配置请求消息可以包括以下至少一项信息:
第二指示信息,第二指示信息用于指示第一主接入网设备支持对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,以及对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法;
第一辅接入网设备对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法;
SN计数器参数,用于指示终端设备重新计算控制面的密钥KSN
其中,终端设备确定第一主接入网设备对用户面消息进行加密和完整性保护所使用的密码算法之后,可以使用同样的密码算法对向第一主接入网设备发送的用户面消息进行加密和完整性保护,上述用户面消息通过终端设备与第一接入网设备之间的PDU会话传输。
同样的,终端设备确定第一辅接入网设备对用户面消息进行加密和完整性保护所使用的密码算法之后,可以使用同样的密码算法对向第一辅接入网设备发送的用户面消息进行加密和完整性保护,上述用户面消息通过终端设备与第一辅入网设备之间的PDU会话传输。
一种可能的场景中,如果第一指示信息指示第一辅接入网设备使用密钥长度等于第一长度的密码算法,那么第一主接入网设备也使用密钥长度等于第一长度的密码算法。例如,第一指示信息指示第一辅接入网设备使用密钥长度等于128位的密码算法,那么第一主接入网设备也使用密钥长度等于128位的密码算法。再例如,第一指示信息指示第一辅接入网设备使用密钥长度等于256位的密码算法,那么第一主接入网设备也使用密钥长度等于256位的密码算法。
一种可能的场景中,如果第一指示信息指示第一辅接入网设备使用密钥长度大于或等于第一长度的密码算法,此时第一主接入网设备可以使用密钥长度等于第一长度的密码算法,也可以使用密钥长度大于第一长度的密码算法。例如,第一长度为128位,第一指示信息指示第一辅接入网设备使用密钥长度大于或等于128位的密码算法,那么第一主接入网设备可以使用密钥长度等于128位的密码算法,也可以使用密钥长度等于256位的密码算法。
在该场景中,第一主接入网设备还可以根据第一辅接入网设备实际使用的密码算法的密钥长度,更改使用的密码算法,确保第一主接入网设备使用的密码算法的密钥长度和第一辅接入网设备实际使用的密码算法的密钥长度相同。例如,第一指示信息指示第一辅接入网设备使用密钥长度大于或等于128位的密码算法,且第一主接入网设备确定使用密钥长度等于128位的密码算法。如果第一辅接入网设备通过SN添加/修改确认消息等消息向第一主接入网设备指示第一辅接入网设备选择的密码算法的密钥长度为256位,那么第一主接入网设备可以重新选择密钥长度为256位的密码算法。
S308:终端设备向第一主接入网设备发送RRC连接重配置完成消息。
如果RRC连接重配置请求消息包括SN计数器参数,终端设备可以根据SN计数器参数重新计算控制面的密钥KSN,并通过RRC连接重配置完成消息向第一主接入网设备指示算密钥KSN
终端设备接收到RRC连接重配置消息之后,还可以计算需要使用的RRC和UP密钥等信息,并激活针对SRB/DRB的RRC和UP加密和完整性保护。
S309:第一主接入网设备向第一辅接入网设备发送SN重配置完成消息。
第一辅接入网设备在接收到SN重配置完成消息后,激活选择的加密和完整性保护。若第一辅接入网设备没有和UE激活加密/解密和完整性保护,则第一辅接入网设备应在收到终端设备的随机接入请求后,激活加密/解密和完整性保护。
进一步的,终端设备通过随机接入过程,与第一辅接入网设备建立RRC连接,具体过程不再赘述。
终端设备接入第一辅接入网设备之后,第一辅接入网设备可以使用选择的密码算法对第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。相应的,第一主接入网设备可以使用选择的密码算法对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
本申请中,如果第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,则还可以向核心网设备请求将终端设备切换到支持密钥长度大于或等于第一长度的密码算法的其它主接入网设备,下面将详细描述。
如图4所示,为本申请实施例提供的一种密码算法协商方法流程示意图。
S401:第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,则向核心网设备发送切换请求消息。
其中,切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备,密码算法用于对用户面消息进行加密和完整性保护。
例如,第一长度为256位,第一主接入网设备确定至少一个辅接入网设备中,每个辅接入网设备支持的所有密码算法的密钥长度均为128位,那么第一主接入网设备向核心网设备发送切换请求消息。
本申请中,核心网设备可以为接入和移动性管理功能(access and mobilitymanagement function,AMF)网元,也可以为其它设备,本申请对此并不限定。
在S401之前,还可以包括其它流程,例如可以包括S201至S203,具体可以参考前面的描述,在此不再赘述。关于第一长度的确定方式,也可以参考S204中的描述,在此不再赘述。
若核心网设备已经确定所有主接入网设备和辅接入网设备支持的密码算法,则直接执行S407;若核心网设备具有部分主接入网设备和部分辅接入网设备支持的密码算法,且这些主接入网设备中存在支持密钥长度大于或等于第一长度的密码算法的主接入网设备,且密钥长度大于或等于第一长度的密码算法的主接入网设备的信号覆盖范围内存在支持密钥长度大于或等于第一长度的密码算法的辅接入网设备,则核心网设备是否执行S402至S406,可以根据实际情况确定;若核心网设备具有部分主接入网设备和部分辅接入网设备的密码算法,核心网设备确定均不存在支持密钥长度大于或等于第一长度的密码算法的主接入网设备和辅接入网设备,或者核心网设备确定不存在支持密钥长度大于或等于第一长度的密码算法的至少一个主接入网设备,但是该至少一个主接入网设备的信号覆盖范围内存在支持密钥长度大于或等于第一长度的密码算法的辅接入网设备,核心网设备则执行S402至S406。
S402:核心网设备广播第一安全能力请求消息。
第一安全能力请求消息用于请求接收到该第一安全能力请求消息的主接入网设备上报其支持的密码算法。
一个主接入网设备接收到该第一安全能力请求消息之后,如果该主接入网设备支持密钥长度大于或等于第一长度的密码算法,则还可以执行步骤一,如果该主接入网设备不支持密钥长度大于或等于第一长度的密码算法,则可以不执行步骤一。
步骤一:主接入网设备向其信号覆盖范围内的辅接入网设备发送第二安全能力请求消息。
第二安全能力请求消息用于请求接收到该第二安全能力请求消息的辅接入网设备上报其支持的密码算法。
如果一个辅接入网设备接收到该第二安全能力请求消息,可以执行步骤二。
步骤二:辅接入网设备向主接入网设备发送第二安全能力响应消息。
第二安全能力响应消息包括辅接入网设备支持的密码算法,该第二安全能力响应消息还可以用于指示该辅接入网设备是否支持加密和完整性保护。
一个主接入网设备获取到其信号覆盖范围内的辅接入网设备支持的密码算法之后,可以向核心网设备发送第一安全能力响应消息。
相应的,S403:核心网设备接收至少一个第一安全能力响应消息。
核心网设备可以接收到一个或多个主接入网设备发送的第一安全能力响应消息。
第一安全能力响应消息包括主接入网设备支持的密码算法,以及主接入网设备信号覆盖范围内的至少一个辅接入网设备支持的密码算法。
第一安全能力响应消息还可以指示发送该第一安全能力响应消息的主接入网设备是否支持密钥长度大于或等于第一长度的密码算法,以及该主接入网设备信号覆盖范围内是否包括支持密钥长度大于或等于第一长度的密码算法的辅接入网设备。
S404:核心网设备确定第二主接入网设备。
核心网设备根据接收到的至少一个第一安全能力响应消息,可以确定至少一个主接入网设备支持的密码算法,以及每个主接入网设备的信号覆盖范围内的至少一个辅接入网设备支持的密码算法。核心网设备从而可以从至少一个主接入网设备中选择一个主接入网设备作为第二主接入网设备。
核心网设备确定的第二主接入网设备支持密钥长度大于或等于第一长度的密码算法,且该第二主接入网设备信号覆盖范围内存在支持密钥长度大于或等于第一长度的密码算法的辅接入网设备。例如,第一长度为256位,那么第二主接入网设备支持密钥长度大于或等于256位的密码算法,且该第二主接入网设备信号覆盖范围内存在支持密钥长度大于或等于256位的密码算法的辅接入网设备。
S405:核心网设备向第一主接入网设备发送切换响应消息。
其中,切换响应消息用于指示将终端设备切换至第二主接入网设备,切换响应消息可以包括第二主接入网设备的标识等信息。切换响应消息还可以包括第二主接入网设备支持的密码算法。
第一主接入网设备和第二主接入网设备之间通过执行Xn切换流程,将终端设备从第一主接入网设备切换到第二主接入网设备,Xn切换流程的具体过程,本申请对此并不限定。在Xn切换流程中,第一主接入网设备可以执行S406。
S406:第一主接入网设备向第二主接入网设备发送第一信息。
其中,第一信息用于指示使用第二主接入网设备支持的密码算法中密钥长度大于或等于第一长度的密码算法对第二主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
S407:第二主接入网设备向第二辅接入网设备发送SN添加/修改请求消息。
其中,第二辅接入网设备支持密钥长度大于或等于第一长度的密码算法。第二主接入网设备具体如何确定第二辅接入网设备,可以参考图2中的流程,本申请对此并不限定。
一种实现方式中,SN添加/修改请求消息包括第四信息,第四信息用于指示使用密钥长度大于或等于第一长度的密码算法对第二辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。SN添加/修改请求消息还可以包括其他信息,具体可以参考S205中的描述,在此不再赘述。
S408:第二辅接入网设备向第二主接入网设备发送SN添加/修改确认消息,SN添加/修改确认消息包括第二辅接入网设备选择的密码算法。
SN添加/修改确认消息还可以包括指示第二辅接入网设备是否支持对用户面消息进行加密和完整性保护的指示信息。
S409:第二主接入网设备向终端设备发送RRC连接重配置请求消息。
RRC连接重配置请求消息可以包括以下至少一项信息:
加密指示信息,用于指示第二主接入网设备支持对第二主接入网设备与终端设备之间的用户面消息进行加密和完整性保护;
第二主接入网设备对第二主接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法;其中,第二主接入网设备也使用密钥长度大于或等于第一长度的密码算法;
第二辅接入网设备对第二辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法;
SN计数器参数,用于指示终端设备重新计算控制面的密钥KSN
S410:终端设备向第二主接入网设备发送RRC连接重配置完成消息。
S411:第二主接入网设备向第二辅接入网设备发送SN重配置完成消息。
S409至S411的具体内容可以参考S207至S209中的描述,在此不再赘述。
进一步的,终端设备通过随机接入过程,与第二辅接入网设备建立RRC连接,具体过程不再赘述。
终端设备接入第二辅接入网设备之后,第二辅接入网设备可以使用选择的密码算法对第二辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。相应的,第二主接入网设备可以使用选择的密码算法对第二主接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
通过上面的方法,第一主接入网设备确定不存在支持密钥长度大于或等于第一长度的密码算法的辅接入网设备时,可以将终端设备切换至第二主接入网设备,由于第二主接入网设备支持密钥长度大于或等于第一长度的密码算法,从而可以保证终端设备与主接入网设备侧的通信安全。进一步的,第二主接入网设备选择支持密钥长度大于或等于第一长度的密码算法的第二辅接入网设备,并指示第二辅接入网设备采用密钥长度大于或等于第一长度的密码算法对用户面消息进行加密和完整性保护,从而保证辅接入网设备采用的密码算法的密钥长度为第二主接入网设备指定的长度,从而提高了通信的安全性。
本申请中,如果第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,并且核心网设备也确定不存在支持密钥长度大于或等于第一长度的密码算法的其它主接入网设备,那么终端设备可以与第一主接入网设备断开连接。在该情况下,图4流程中的S405至S411可以替换为以下步骤S501至S503。
如图5所示,为本申请实施例提供的一种密码算法协商方法流程示意图。S501之前的步骤可以参考S401至S404中的描述,在此不再赘述。
S501:核心网设备向第一主接入网设备发送切换响应消息。
切换响应消息用于指示未找到支持密钥长度大于或等于第一长度的密码算法的主接入网设备。例如,第一长度为256位,切换响应消息包括异常信息,异常信息用于指示未找到支持密钥长度大于或等于256位的密码算法的主接入网设备和/或辅接入网设备。
S502:第一主接入网设备向终端设备发送第二信息。
其中,第二信息用于指示未找到支持密钥长度大于或等于第一长度的密码算法的主接入网设备和/或辅接入网设备。
例如,第一长度为256位,第二信息用于指示未找到支持密钥长度大于或等于256位的密码算法的主接入网设备和/或辅接入网设备。
S503:第一主接入网设备断开与终端设备的RRC连接。
通过上面的方法,第一主接入网设备确定不存在支持密钥长度大于或等于第一长度的密码算法的辅接入网设备时,可以向核心网设备请求将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备。如果核心网设备确定不存在支持密钥长度大于或等于第一长度的密码算法的主接入网设备,第一主接入网设备可以断开与终端设备的RRC连接,从而可以避免终端设备与主接入网设备采用密钥长度较低的密码算法进行通信,提供通信安全。
另一种实现方式中,如果第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,并且核心网设备也确定不存在支持密钥长度大于或等于第一长度的密码算法的其它主接入网设备,那么终端设备可以与第一主接入网设备断开连接。在该情况下,图4流程中的S405至S411可以替换为以下步骤S601至S605。
如图6所示,为本申请实施例提供的一种密码算法协商方法流程示意图。S601之前的步骤可以参考S401至S404中的描述,在此不再赘述。
S601:核心网设备向第一主接入网设备发送切换响应消息。
切换响应消息用于指示未找到支持密钥长度大于或等于第一长度的密码算法的主接入网设备。例如,第一长度为256位,切换响应消息包括异常信息,异常信息用于指示未找到支持密钥长度大于或等于256位的密码算法的主接入网设备和/或辅接入网设备。
S602:第一主接入网设备从至少一个辅接入网设备中确定第三辅接入网设备。
第三辅接入网设备支持密钥长度小于第一长度的密码算法。
举例来说,第一长度为256位,那么第三辅接入网设备支持密钥长度为128位的密码算法,不支持密钥长度为256位的密码算法。
S603:第一主接入网设备向第三辅接入网设备发送SN添加/修改请求消息。
其中,SN添加/修改请求消息包括第四指示信息,第四指示信息用于指示使用密钥长度小于第一长度的密码算法对第三辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
S604:第三辅接入网设备向第一主接入网设备发送SN添加/修改确认消息,SN添加/修改确认消息包括第三辅接入网设备选择的密码算法。
S605:第一主接入网设备向终端设备发送RRC连接重配置请求消息。
RRC连接重配置请求消息可以包括以下至少一项信息:
第三信息,第三信息用于指示第一主接入网设备支持对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护,以及对第一主接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的第一密码算法,第一密码算法的密钥长度小于第一长度;例如,第一长度为256位,第一密码算法的密钥长度为128位;
第三辅接入网设备对第三辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法;第三辅接入网设备使用的密码算法的密钥长度也小于第一长度;
SN计数器参数,用于指示终端设备重新计算控制面的密钥KSN
S606:终端设备向第一主接入网设备发送RRC连接重配置完成消息。
S607:第一主接入网设备向第三辅接入网设备发送SN重配置完成消息。
进一步的,终端设备通过随机接入过程,与第三辅接入网设备建立RRC连接,具体过程不再赘述。
S603至S607的其它内容可以参考S304至S309中的描述,在此不再赘述。
上述主要从通信装置交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,为了实现上述功能,主接入网设备和辅接入网设备可以包括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请的实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对主接入网设备和辅接入网设备进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
与上述构思相同,如图7所示,本申请实施例还提供一种通信装置700用于实现上述方法中第一主接入网设备或第一辅接入网设备的功能。例如,该通信装置可以为软件模块或者芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。该通信装置700可以包括:处理单元701和通信单元702。
本申请实施例中,通信单元也可以称为收发单元,可以包括发送单元和/或接收单元,分别用于执行上文方法实施例中通信设备或终端设备执行的发送和接收的步骤。
以下,结合图7至图8详细说明本申请实施例提供的通信装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
通信单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器,处理单板,处理模块、处理装置等。可选的,可以将通信单元702中用于实现接收功能的器件视为接收单元,将通信单元702中用于实现发送功能的器件视为发送单元,即通信单元702包括接收单元和发送单元。通信单元有时也可以称为收发机、收发器、或收发电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。
一种实现方式中,该通信装置用于实现以下功能:
处理单元,用于从至少一个辅接入网设备中确定第一辅接入网设备;所述第一辅接入网设备支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于所述第一长度的密码算法,所述通信装置支持密钥长度等于所述第一长度的密码算法;
通信单元,用于向所述第一辅接入网设备发送第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于所述第一长度的密码算法对所述第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
一种实现方式中,该通信装置用于实现以下功能:
通信单元,用于接收来自第一主接入网设备的第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对所述通信装置与终端设备之间的用户面消息进行加密和完整性保护;所述通信装置支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于所述第一长度的密码算法,所述第一主接入网设备支持密钥长度等于所述第一长度的密码算法;
处理单元,用于根据所述第一指示信息使用密钥长度大于或等于所述第一长度的密码算法对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护。
一种实现方式中,该通信装置用于实现以下功能:
处理单元,用于确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,则向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
通信单元,用于接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示将所述终端设备切换至第二主接入网设备;所述切换响应消息包括所述第二主接入网设备支持的密码算法;向所述第二主接入网设备发送第一信息,所述第一信息用于指示使用所述第二主接入网设备支持的密码算法中密钥长度大于或等于所述第一长度的密码算法对所述第二主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护。
一种实现方式中,该通信装置用于实现以下功能:
通信单元,用于确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
通信单元,用于接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;
所述通信单元,用于向所述终端设备发送第二信息,所述第二信息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备和/或辅接入网设备;或者,向所述终端设备发送第三信息,所述第三信息用于指示所述通信装置支持对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护所使用的第一密码算法,所述第一密码算法的密钥长度小于所述第一长度。
以上只是示例,处理单元701和通信单元702还可以执行其他功能,更详细的描述可以参考前面所示的方法实施例中相关描述,这里不加赘述。
如图8所示为本申请实施例提供的通信装置800,图8所示的通信装置可以为图7所示的通信装置的一种硬件电路的实现方式。该通信装置可适用于前面所示出的流程图中,执行上述方法实施例中通信设备或终端设备的功能。为了便于说明,图8仅示出了该通信装置的主要部件。
如图8所示,通信装置800包括处理器810和接口电路820。处理器810和接口电路820之间相互耦合。可以理解的是,接口电路820可以为收发器或输入输出接口。可选的,通信装置800还可以包括存储器830,用于存储处理器810执行的指令或存储处理器810运行指令所需要的输入数据或存储处理器810运行指令后产生的数据。
当通信装置800用于实现前面所示的方法时,处理器810用于实现上述处理单元701的功能,接口电路820用于实现上述通信单元702的功能。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中处理器可以是随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网络设备或终端设备中。处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (29)

1.一种密码算法协商方法,其特征在于,包括:
第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备;所述第一辅接入网设备支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于第一长度的密码算法,所述第一主接入网设备支持密钥长度等于所述第一长度的密码算法;
所述第一主接入网设备向所述第一辅接入网设备发送第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于所述第一长度的密码算法对所述第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
2.根据权利要求1所述的方法,其特征在于,在所述第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之前,所述方法还包括:
所述第一主接入网设备向所述至少一个辅接入网设备发送安全能力请求消息,所述安全能力请求消息用于指示所述至少一个辅接入网设备上报支持的密码算法;
所述第一主接入网设备接收来自所述至少一个辅接入网设备的至少一个安全能力响应消息,所述安全能力响应消息用于指示与所述安全能力响应消息对应的辅接入网设备支持的密码算法。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一主接入网设备使用密钥长度大于或等于所述第一长度的密码算法对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护。
4.根据权利要求1至3任一所述的方法,其特征在于,所述方法还包括:
所述第一主接入网设备向终端设备发送第二指示信息,所述第二指示信息用于指示所述第一主接入网设备支持对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法。
5.根据权利要求1至4任一所述的方法,其特征在于,所述第一长度为所述第一主接入网设备选择的用于对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
6.根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:
所述第一主接入网设备接收来自源主接入网设备的第三指示信息,所述第三指示信息用于指示使用密钥长度大于或等于所述第一长度的密码算法对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护;所述源主接入网设备为所述终端设备切换前的接入网设备,所述第一主接入网设备为所述终端设备切换后的接入网设备。
7.根据权利要求1至6任一所述的方法,其特征在于,在所述第一主接入网设备从至少一个辅接入网设备中确定第一辅接入网设备之前,所述方法进一步包括:
所述第一主接入网设备与所述终端设备之间建立两个协议数据单元PDU会话;
在所述第一主接入网设备从所述至少一个辅接入网设备中确定所述第一辅接入网设备之后,所述两个PDU会话中的一个PDU会话被分流到所述第一辅接入网设备。
8.一种密码算法协商方法,其特征在于,包括:
第一辅接入网设备接收来自第一主接入网设备的第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对所述第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护;所述第一辅接入网设备支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于所述第一长度的密码算法,所述第一主接入网设备支持密钥长度等于所述第一长度的密码算法;
所述第一辅接入网设备根据所述第一指示信息使用密钥长度大于或等于所述第一长度的密码算法对所述第一辅接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护。
9.根据权利要求8所述的方法,其特征在于,在所述第一辅接入网设备接收来自第一主接入网设备的第一指示信息之前,所述方法还包括:
所述第一辅接入网设备接收来自所述第一主接入网设备的安全能力请求消息,所述安全能力请求消息用于指示所述第一辅接入网设备上报支持的密码算法;
所述第一辅接入网设备向所述第一主接入网设备发送安全能力响应消息,所述安全能力响应消息用于指示与所述第一辅接入网设备支持的密码算法。
10.根据权利要求8或9所述的方法,其特征在于,所述第一长度为所述第一主接入网设备选择的用于对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
11.根据权利要求8至10任一所述的方法,其特征在于,在所述第一辅接入网设备接收来自第一主接入网设备的第一指示信息之后,所述方法进一步包括:
所述第一主接入网设备与所述终端设备之间建立的两个协议数据单元PDU会话中的一个PDU会话被分流到所述第一辅接入网设备。
12.一种密码算法协商方法,其特征在于,包括:
第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
所述第一主接入网设备接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示将所述终端设备切换至第二主接入网设备;所述切换响应消息包括所述第二主接入网设备支持的密码算法;
所述第一主接入网设备向所述第二主接入网设备发送第一信息,所述第一信息用于指示使用所述第二主接入网设备支持的密码算法中密钥长度大于或等于所述第一长度的密码算法对所述第二主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
所述第一主接入网设备向所述至少一个辅接入网设备发送安全能力请求消息,所述安全能力请求消息用于指示所述至少一个辅接入网设备上报支持的密码算法;
所述第一主接入网设备接收来自所述至少一个辅接入网设备的至少一个安全能力响应消息,所述至少一个安全能力响应消息与所述至少一个辅接入网设备一一对应,所述安全能力响应消息用于指示与所述安全能力响应消息对应的辅接入网设备支持的密码算法。
14.一种密码算法协商方法,其特征在于,包括:
第一主接入网设备确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
所述第一主接入网设备接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;
所述第一主接入网设备向所述终端设备发送第二信息,所述第二信息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备和/或辅接入网设备;
或者,所述第一主接入网设备向所述终端设备发送第三信息,所述第三信息用于指示所述第一主接入网设备支持对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护所使用的第一密码算法,所述第一密码算法的密钥长度小于所述第一长度。
15.一种通信装置,其特征在于,包括:
处理单元,用于从至少一个辅接入网设备中确定第一辅接入网设备;所述第一辅接入网设备支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于第一长度的密码算法,所述通信装置支持密钥长度等于所述第一长度的密码算法;
通信单元,用于向所述第一辅接入网设备发送第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于所述第一长度的密码算法对所述第一辅接入网设备与终端设备之间的用户面消息进行加密和完整性保护。
16.根据权利要求15所述的装置,其特征在于,在所述处理单元从至少一个辅接入网设备中确定第一辅接入网设备之前,所述通信单元还用于:
向所述至少一个辅接入网设备发送安全能力请求消息,所述安全能力请求消息用于指示所述至少一个辅接入网设备上报支持的密码算法;
接收来自所述至少一个辅接入网设备的至少一个安全能力响应消息,所述安全能力响应消息用于指示与所述安全能力响应消息对应的辅接入网设备支持的密码算法。
17.根据权利要求15或16所述的装置,其特征在于,所述处理单元还用于:
使用密钥长度大于或等于所述第一长度的密码算法对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护。
18.根据权利要求15至17任一所述的装置,其特征在于,所述通信单元还用于:
向终端设备发送第二指示信息,所述第二指示信息用于指示所述第一主接入网设备支持对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护所使用的密码算法。
19.根据权利要求15至18任一所述的装置,其特征在于,所述第一长度为所述通信装置选择的用于对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
20.根据权利要求15至18任一所述的装置,其特征在于,所述通信单元还用于:
接收来自源主接入网设备的第三指示信息,所述第三指示信息用于指示使用密钥长度大于或等于所述第一长度的密码算法对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护;所述源主接入网设备为所述终端设备切换前的接入网设备,所述通信装置为所述终端设备切换后的接入网设备。
21.根据权利要求15至20任一所述的装置,其特征在于,在所述处理单元从至少一个辅接入网设备中确定第一辅接入网设备之前,所述通信单元还用于:
与所述终端设备之间建立两个协议数据单元PDU会话;
在所述处理单元从所述至少一个辅接入网设备中确定所述第一辅接入网设备之后,所述两个PDU会话中的一个PDU会话被分流到所述第一辅接入网设备。
22.一种通信装置,其特征在于,包括:
通信单元,用于接收来自第一主接入网设备的第一指示信息,所述第一指示信息用于指示使用密钥长度大于或等于第一长度的密码算法对所述通信装置与终端设备之间的用户面消息进行加密和完整性保护;所述通信装置支持至少一个密码算法,所述至少一个密码算法中包括密钥长度大于或等于所述第一长度的密码算法,所述第一主接入网设备支持密钥长度等于所述第一长度的密码算法;
处理单元,用于根据所述第一指示信息使用密钥长度大于或等于所述第一长度的密码算法对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护。
23.根据权利要求22所述的装置,其特征在于,所述第一长度为所述第一主接入网设备选择的用于对所述第一主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护的密码算法的密钥长度。
24.一种通信装置,其特征在于,包括:
处理单元,用于确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
通信单元,用于接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示将所述终端设备切换至第二主接入网设备;所述切换响应消息包括所述第二主接入网设备支持的密码算法;向所述第二主接入网设备发送第一信息,所述第一信息用于指示使用所述第二主接入网设备支持的密码算法中密钥长度大于或等于所述第一长度的密码算法对所述第二主接入网设备与所述终端设备之间的用户面消息进行加密和完整性保护。
25.一种通信装置,其特征在于,包括:
通信单元,用于确定至少一个辅接入网设备中所有辅接入网设备均不支持密钥长度大于或等于第一长度的密码算法,向核心网设备发送切换请求消息,所述切换请求消息用于指示将终端设备切换至支持密钥长度大于或等于第一长度的密码算法的主接入网设备;所述密码算法用于对用户面消息进行加密和完整性保护;
通信单元,用于接收来自所述核心网设备的切换响应消息,所述切换响应消息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备;
所述通信单元,用于向所述终端设备发送第二信息,所述第二信息用于指示未找到支持密钥长度大于或等于所述第一长度的密码算法的主接入网设备和/或辅接入网设备;或者,向所述终端设备发送第三信息,所述第三信息用于指示所述通信装置支持对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护,以及对所述通信装置与所述终端设备之间的用户面消息进行加密和完整性保护所使用的第一密码算法,所述第一密码算法的密钥长度小于所述第一长度。
26.一种通信装置,其特征在于,包括处理器和存储器:
所述处理器,用于执行所述存储器中存储的计算机程序或指令,当所述处理器执行所述计算机程序或指令时,如权利要求1至14中任意一项所述的方法被执行。
27.一种芯片,其特征在于,包括处理器,所述处理器与存储器耦合,用于执行所述存储器中存储的计算机程序或指令,当所述处理器执行所述计算机程序或指令时,如权利要求1至14中任意一项所述的方法被执行。
28.一种计算机可读存储介质,其特征在于,存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至14中任意一项所述的方法。
29.一种计算机程序产品,其特征在于,存储有计算机可读指令,当通信装置读取并执行所述计算机可读指令,使得所述通信装置执行如权利要求1至14中任一项所述的方法。
CN202310154412.XA 2023-02-10 2023-02-10 一种密码算法协商方法及装置 Pending CN118488435A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202310154412.XA CN118488435A (zh) 2023-02-10 2023-02-10 一种密码算法协商方法及装置
PCT/CN2024/073675 WO2024164839A1 (zh) 2023-02-10 2024-01-23 一种密码算法协商方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310154412.XA CN118488435A (zh) 2023-02-10 2023-02-10 一种密码算法协商方法及装置

Publications (1)

Publication Number Publication Date
CN118488435A true CN118488435A (zh) 2024-08-13

Family

ID=92197835

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310154412.XA Pending CN118488435A (zh) 2023-02-10 2023-02-10 一种密码算法协商方法及装置

Country Status (2)

Country Link
CN (1) CN118488435A (zh)
WO (1) WO2024164839A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10652733B2 (en) * 2013-12-24 2020-05-12 Nec Corporation Apparatus, system and method for SCE
CN109586900B (zh) * 2017-09-29 2020-08-07 华为技术有限公司 数据安全处理方法及装置
CN113068180A (zh) * 2018-08-10 2021-07-02 华为技术有限公司 双连接通信方法及其装置、系统
CN111194032B (zh) * 2018-11-14 2021-08-13 华为技术有限公司 一种通信方法及其装置

Also Published As

Publication number Publication date
WO2024164839A1 (zh) 2024-08-15

Similar Documents

Publication Publication Date Title
JP6280669B1 (ja) 基地局、方法、及びシステム
CN108366369B (zh) 一种数据安全传输的方法及接入网、终端、核心网设备
KR20190117653A (ko) 통신 방법 및 기기
CN104854938B (zh) 一种建立无线承载的方法及基站
CN113038528A (zh) 用于在无线通信系统中将数据分组路由到用户设备的基站
EP3220673B1 (en) Communication control method, user terminal, cellular base station, and access point
CN111148245A (zh) 通信方法、网络设备、用户设备和通信系统
WO2018000441A1 (zh) 传输数据的方法和装置
EP3396981B1 (en) Security parameter transmission method and related device
KR20220044341A (ko) 보안 보호 모드 결정 방법 및 장치
CN111194032B (zh) 一种通信方法及其装置
WO2021238813A1 (zh) 一种获取密钥的方法及装置
WO2018227638A1 (zh) 通信方法和装置
US20240098830A1 (en) Communication method and apparatus
CN103888936A (zh) 小区优化方法及装置
US11026091B2 (en) Data transmission method and apparatus
US20220377541A1 (en) Key Management Method and Communication Apparatus
CN105557017B (zh) 一种数据传输方法及装置
CN109479223B (zh) 切换方法和装置
CN118488435A (zh) 一种密码算法协商方法及装置
CN105165103B (zh) 无线连接建立方法和装置
CN116939655A (zh) 业务数据传输方法、终端、网络节点和存储介质
KR20230040361A (ko) 데이터 전송 방법 및 관련 장치
CN115277035A (zh) 切换场景下的安全配置方法和通信装置
WO2014111049A1 (zh) 小区优化方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication