本发明专利技术提供一种认证和密钥协商算法的协商方法、网络侧设备和用户设备,该方法包括:网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息;网络侧设备根据所述用户识别卡及归属客户服务器HSS所能支持的认证和密钥协商算法,选择所述用户识别卡及所述HSS均能支持的认证和密钥协商算法;网络侧设备将所选算法作为所述用户识别卡和所述HSS之间的认证和密钥协商算法。采用本发明专利技术,使得HSS与用户识别卡之间能够对二者所使用的认证和密钥协商算法进行协商。
【技术实现步骤摘要】
本专利技术涉及网络与信息安全领域,尤其涉及一种认证和密钥协商算法的协商方法、网络侧设备和用户设备。
技术介绍
在3GPP(ThirdGenerat1n Partnership Project,第三代合作伙伴计划)中定义了 3G以及LTE(Long Term Evolut1n,长期演进)的密钥架构以及密钥生成机制。为了保护 USIM(Universal Subscriber Identity Module,用户识别卡)和 HSS (Home SubscriberServer,归属客户服务器)之间共享的根密钥,在UE(User Equipment,用户设备)和网络侧设备进行认证的时候,US頂卡和HSS都会基于根密钥使用认证和密钥协商算法(目前在3G/LTE中该认证和密钥协商算法均为Milenage算法)生成加密密钥Ck和IK,Ck/IK用于后续对空口信令和数据的机密性和完整性保护。随着物联网的出现,提出了嵌入式S頂卡(eS頂)的需求,主要解决可插拔卡在无人值守时候容易被盗走、可插拔的卡易因震动错位等问题。eS頂卡在处理UE和网络侧设备之间的相互认证时,与当前可插拔的US頂卡一样。即根据共享的根密钥和认证和密钥协商算法Milenage生成加密密钥Ck和IK。由于当前无论是eS頂还是US頂支持的认证和密钥协商算法都只有Milenage —种,所以当Milenage算法被攻破后,用户将面临被监听的安全威胁、运营商将面临被投诉的风险。对于可插拔的US頂卡,可以通过丢弃,更换新的预装了别的安全的认证和密钥协商算法来规避上述安全威胁;而对于在物联网设备出厂的时候就焊接在设备上的eS頂卡,则没有任何补救措施,因为eSIM卡不可插拔,直接导致该设备废弃。为了解决上述风险,现有技术中提出新的认证和密钥协商算法,如TUAK算法,当eSIM/USIM卡上存储有Milenage,TUAK甚至更多的认证和密钥协商算法时,就能够在某种算法(如Milenage)被攻破时,启用其他未攻破的算法来避免上述安全威胁。此时,eSIM/USIM卡与HSS之间如何协商使用哪个认证和密钥协商算法成为亟待解决的问题。
技术实现思路
有鉴于此,本专利技术提供一种认证和密钥协商算法的协商方法、网络侧设备和用户设备,使得HSS与用户识别卡之间能够对二者所使用的认证和密钥协商算法进行协商。为解决上述技术问题,本专利技术提供一种认证和密钥协商算法的协商方法,包括:网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息;所述网络侧设备根据所述用户识别卡及归属客户服务器HSS所能支持的认证和密钥协商算法,选择所述用户识别卡及所述HSS均能支持的认证和密钥协商算法;所述网络侧设备将所选算法作为所述用户识别卡和所述HSS之间的认证和密钥协商算法。优选地,所述网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息的步骤包括:获取所述用户识别卡上报的身份标识信息;根据所述用户识别卡的身份标识,从预先存储的用户识别卡的身份标识与其所能支持的认证和密钥协商算法的对应关系中,查找上报身份标识信息的所述用户识别卡所能支持的认证和密钥协商算法。优选地,所述网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息的步骤包括:获取所述用户识别卡上报的其所能支持的认证和密钥协商算法的信息。优选地,所述网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息的步骤包括:获取所述用户识别卡上报的受保护的所述用户识别卡所能支持的认证和密钥协商算法信息;对所述受保护的所述用户识别卡所能支持的认证和密钥协商算法信息进行验证;验证成功后,获取所述用户识别卡所能支持的认证和密钥协商算法的信息。优选地,所述用户识别卡所能支持的认证和密钥协商算法的信息存储于所述用户识别卡中,由所述用户识别卡从卡管理平台获取。优选地,所述方法还包括:所述网络侧设备通过认证数据响应消息向所述用户识别卡发送所选算法的信息。优选地,采用所述认证数据响应消息中的认证向量AV中的认证管理域AMF的预留位来标识所选算法。优选地,所述网络侧设备为所述HSS。本专利技术还提供一种网络侧设备,包括:获取单元,用于获取用户识别卡所能支持的认证和密钥协商算法的信息;选择单元,用于根据所述用户识别卡及归属客户服务器HSS所能支持的认证和密钥协商算法,选择所述用户识别卡及所述HSS均能支持的认证和密钥协商算法;并将所选算法作为所述用户识别卡和所述HSS之间的认证和密钥协商算法。优选地,所述获取单元进一步用于获取所述用户识别卡上报的身份标识信息;根据所述用户识别卡的身份标识,从预先存储的用户识别卡的身份标识与其所能支持的认证和密钥协商算法的对应关系中,查找上报身份标识信息的所述用户识别卡所能支持的认证和密钥协商算法。优选地,所述获取单元进一步用于获取所述用户识别卡上报的其所能支持的认证和密钥协商算法的信息。优选地,所述获取单元进一步用于获取所述用户识别卡上报的受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息;对所述受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息进行验证;验证成功后,获取所述用户识别卡所能支持的认证和密钥协商算法的信息。优选地,所述网络侧设备还包括:发送单元,用于通过认证数据响应消息向所述用户识别卡发送所选算法的信息。优选地,所述网络侧设备为HSS。本专利技术还提供一种认证和密钥协商算法的协商方法,包括:用户识别卡通过用户设备向网络侧设备发送本用户识别卡所能支持的认证和密钥协商算法的信息;所述用户识别卡接收所述网络侧设备根据所述用户识别卡所能支持的认证和密钥协商算法选择的认证和密钥协商算法。优选地,所述用户识别卡通过用户设备向网络侧设备发送本用户识别卡所能支持的认证和密钥协商算法的信息的步骤包括:所述用户识别卡对所述用户识别卡所能支持的认证和密钥协商算法的信息进行保护;所述用户识别卡将受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息,通过用户设备向网络侧设备发送;其中,所述网络侧设备接收到所述受保护的所述用户识别卡支持的认证和密钥协商算法的信息后,对所述受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息进行验证,验证成功后,根据所述用户识别卡所能支持的认证和密钥协商算法,选择认证和密钥协商算法。优选地,所述用户识别卡通过用户设备向网络侧设备发送本用户识别卡所能支持的认证和密钥协商算法的信息的步骤之前还包括:所述用户识别卡从卡管理平台获取认证和密钥协商算法的信息,并存储。本专利技术还提供一种用户识别卡,包括:发送单元,用于通过用户设备向网络侧设备发送本用户识别卡所能支持的认证和密钥协商算法的信息;接收单元,用于接收所述网络侧设备接收到所述用户识别卡所能支持的认证和密钥协商算法后选择的认证和密钥协商算法。优选地,所述发送单元对所述用户识别卡所能支持的认证和密钥协商算法的信息进行保护;将受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息通过用户设备向网络侧设备发送;其中,所述网络侧设备接收到所述受保护的所述用户识别卡所能支持的认证和密钥协商算法的信息后,对所述受保护的信息进行验证,验证成功后,根据所述用户识别卡所能支持的认证和密钥协商算法,选择认证和密钥协商算法。优选地,所述的用户识别卡还包括本文档来自技高网...
【技术保护点】
一种认证和密钥协商算法的协商方法,其特征在于,包括:网络侧设备获取用户识别卡所能支持的认证和密钥协商算法的信息;所述网络侧设备根据所述用户识别卡及归属客户服务器HSS所能支持的认证和密钥协商算法,选择所述用户识别卡及所述HSS均能支持的认证和密钥协商算法;所述网络侧设备将所选算法作为所述用户识别卡和所述HSS之间的认证和密钥协商算法。
【技术特征摘要】
【专利技术属性】
技术研发人员:庄小君,朱红儒,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。