認證和密鑰協商算法的協商方法、網絡側設備和用戶設備的制造方法
【技術領域】
[0001]本發明涉及網絡與信息安全領域,尤其涉及一種認證和密鑰協商算法的協商方法、網絡側設備和用戶設備。
【背景技術】
[0002]在3GPP(ThirdGenerat1n Partnership Project,第三代合作伙伴計劃)中定義了 3G以及LTE(Long Term Evolut1n,長期演進)的密鑰架構以及密鑰生成機制。為了保護 USIM(Universal Subscriber Identity Module,用戶識別卡)和 HSS (Home SubscriberServer,歸屬客戶服務器)之間共享的根密鑰,在UE(User Equipment,用戶設備)和網絡側設備進行認證的時候,US頂卡和HSS都會基于根密鑰使用認證和密鑰協商算法(目前在3G/LTE中該認證和密鑰協商算法均為Milenage算法)生成加密密鑰Ck和IK,Ck/IK用于后續對空口信令和數據的機密性和完整性保護。
[0003]隨著物聯網的出現,提出了嵌入式S頂卡(eS頂)的需求,主要解決可插拔卡在無人值守時候容易被盜走、可插拔的卡易因震動錯位等問題。eS頂卡在處理UE和網絡側設備之間的相互認證時,與當前可插拔的US頂卡一樣。即根據共享的根密鑰和認證和密鑰協商算法Milenage生成加密密鑰Ck和IK。由于當前無論是eS頂還是US頂支持的認證和密鑰協商算法都只有Milenage —種,所以當Milenage算法被攻破后,用戶將面臨被監聽的安全威脅、運營商將面臨被投訴的風險。
[0004]對于可插拔的US頂卡,可以通過丟棄,更換新的預裝了別的安全的認證和密鑰協商算法來規避上述安全威脅;而對于在物聯網設備出廠的時候就焊接在設備上的eS頂卡,則沒有任何補救措施,因為eSIM卡不可插拔,直接導致該設備廢棄。
[0005]為了解決上述風險,現有技術中提出新的認證和密鑰協商算法,如TUAK算法,當eSIM/USIM卡上存儲有Milenage,TUAK甚至更多的認證和密鑰協商算法時,就能夠在某種算法(如Milenage)被攻破時,啟用其他未攻破的算法來避免上述安全威脅。此時,eSIM/USIM卡與HSS之間如何協商使用哪個認證和密鑰協商算法成為亟待解決的問題。
【發明內容】
[0006]有鑒于此,本發明提供一種認證和密鑰協商算法的協商方法、網絡側設備和用戶設備,使得HSS與用戶識別卡之間能夠對二者所使用的認證和密鑰協商算法進行協商。
[0007]為解決上述技術問題,本發明提供一種認證和密鑰協商算法的協商方法,包括:
[0008]網絡側設備獲取用戶識別卡所能支持的認證和密鑰協商算法的信息;
[0009]所述網絡側設備根據所述用戶識別卡及歸屬客戶服務器HSS所能支持的認證和密鑰協商算法,選擇所述用戶識別卡及所述HSS均能支持的認證和密鑰協商算法;
[0010]所述網絡側設備將所選算法作為所述用戶識別卡和所述HSS之間的認證和密鑰協商算法。
[0011]優選地,所述網絡側設備獲取用戶識別卡所能支持的認證和密鑰協商算法的信息的步驟包括:
[0012]獲取所述用戶識別卡上報的身份標識信息;
[0013]根據所述用戶識別卡的身份標識,從預先存儲的用戶識別卡的身份標識與其所能支持的認證和密鑰協商算法的對應關系中,查找上報身份標識信息的所述用戶識別卡所能支持的認證和密鑰協商算法。
[0014]優選地,所述網絡側設備獲取用戶識別卡所能支持的認證和密鑰協商算法的信息的步驟包括:
[0015]獲取所述用戶識別卡上報的其所能支持的認證和密鑰協商算法的信息。
[0016]優選地,所述網絡側設備獲取用戶識別卡所能支持的認證和密鑰協商算法的信息的步驟包括:
[0017]獲取所述用戶識別卡上報的受保護的所述用戶識別卡所能支持的認證和密鑰協商算法信息;
[0018]對所述受保護的所述用戶識別卡所能支持的認證和密鑰協商算法信息進行驗證;
[0019]驗證成功后,獲取所述用戶識別卡所能支持的認證和密鑰協商算法的信息。
[0020]優選地,所述用戶識別卡所能支持的認證和密鑰協商算法的信息存儲于所述用戶識別卡中,由所述用戶識別卡從卡管理平臺獲取。
[0021]優選地,所述方法還包括:
[0022]所述網絡側設備通過認證數據響應消息向所述用戶識別卡發送所選算法的信息。
[0023]優選地,采用所述認證數據響應消息中的認證向量AV中的認證管理域AMF的預留位來標識所選算法。
[0024]優選地,所述網絡側設備為所述HSS。
[0025]本發明還提供一種網絡側設備,包括:
[0026]獲取單元,用于獲取用戶識別卡所能支持的認證和密鑰協商算法的信息;
[0027]選擇單元,用于根據所述用戶識別卡及歸屬客戶服務器HSS所能支持的認證和密鑰協商算法,選擇所述用戶識別卡及所述HSS均能支持的認證和密鑰協商算法;并將所選算法作為所述用戶識別卡和所述HSS之間的認證和密鑰協商算法。
[0028]優選地,所述獲取單元進一步用于獲取所述用戶識別卡上報的身份標識信息;根據所述用戶識別卡的身份標識,從預先存儲的用戶識別卡的身份標識與其所能支持的認證和密鑰協商算法的對應關系中,查找上報身份標識信息的所述用戶識別卡所能支持的認證和密鑰協商算法。
[0029]優選地,所述獲取單元進一步用于獲取所述用戶識別卡上報的其所能支持的認證和密鑰協商算法的信息。
[0030]優選地,所述獲取單元進一步用于獲取所述用戶識別卡上報的受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息;對所述受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息進行驗證;驗證成功后,獲取所述用戶識別卡所能支持的認證和密鑰協商算法的信息。
[0031]優選地,所述網絡側設備還包括:
[0032]發送單元,用于通過認證數據響應消息向所述用戶識別卡發送所選算法的信息。
[0033]優選地,所述網絡側設備為HSS。
[0034]本發明還提供一種認證和密鑰協商算法的協商方法,包括:
[0035]用戶識別卡通過用戶設備向網絡側設備發送本用戶識別卡所能支持的認證和密鑰協商算法的信息;
[0036]所述用戶識別卡接收所述網絡側設備根據所述用戶識別卡所能支持的認證和密鑰協商算法選擇的認證和密鑰協商算法。
[0037]優選地,所述用戶識別卡通過用戶設備向網絡側設備發送本用戶識別卡所能支持的認證和密鑰協商算法的信息的步驟包括:
[0038]所述用戶識別卡對所述用戶識別卡所能支持的認證和密鑰協商算法的信息進行保護;
[0039]所述用戶識別卡將受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息,通過用戶設備向網絡側設備發送;
[0040]其中,所述網絡側設備接收到所述受保護的所述用戶識別卡支持的認證和密鑰協商算法的信息后,對所述受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息進行驗證,驗證成功后,根據所述用戶識別卡所能支持的認證和密鑰協商算法,選擇認證和密鑰協商算法。
[0041]優選地,所述用戶識別卡通過用戶設備向網絡側設備發送本用戶識別卡所能支持的認證和密鑰協商算法的信息的步驟之前還包括:
[0042]所述用戶識別卡從卡管理平臺獲取認證和密鑰協商算法的信息,并存儲。
[0043]本發明還提供一種用戶識別卡,包括:
[0044]發送單元,用于通過用戶設備向網絡側設備發送本用戶識別卡所能支持的認證和密鑰協商算法的信息;
[0045]接收單元,用于接收所述網絡側設備接收到所述用戶識別卡所能支持的認證和密鑰協商算法后選擇的認證和密鑰協商算法。
[0046]優選地,所述發送單元對所述用戶識別卡所能支持的認證和密鑰協商算法的信息進行保護;將受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息通過用戶設備向網絡側設備發送;其中,所述網絡側設備接收到所述受保護的所述用戶識別卡所能支持的認證和密鑰協商算法的信息后,對所述受保護的信息進行驗證,驗證成功后,根據所述用戶識別卡所能支持的認證和密鑰協商算法,選擇認證和密鑰協商算法。
[0047]優選地,所述的用戶識別卡還包括:
[0048]獲取單元,用于從卡管理平臺獲取認證和密鑰協商算法的信息,并存儲。
[0049]本發明的上述技術方案的有益效果如下:
[0050]HSS與用戶識別卡之間能夠對二者所使用的認證和密鑰協商算法進行協商,從而能夠在當前使用的認證和密鑰協商算法被攻破時,啟用其他未攻破的算法來避免算法攻破帶來的安全威脅,保證移動通信網絡的安全。
【附圖說明】
[0051]圖1為本發明實施例一的認證和密鑰協商算法的流程示意圖;
[0052]圖2為本發明實施例的AMF的結構示意圖;
[0053]圖3為本發明實施例二的認證和密鑰協商算法的流程示意圖;
[0054]圖4為本發明實施例三的認證和密鑰協商算法的流程示意圖;
[0055]圖5為本發明實施例的用戶識別卡從卡管理平臺獲取認證和密鑰協商算法的信息的流程示意圖。
【具體實施方式】
[0056]為使本發明要解決的技術問題、技術方案和優點更加清楚,下面將結合附圖及具體實施例進行詳細描述。
[0057]本發明實施例提供一種認證和密鑰協商算法的協商方法,包括:
[0058]步驟S11:網絡側設備獲取用戶識別卡所能支持的認證和密鑰協商算法的信息;
[0059]該認證和密鑰協商算法為用于推衍加密密鑰Ck和IK的算法。
[0060]所述信息可以為:所述算法本身或所述算