用於密碼算法協商的方法、網絡元素、移動終端、系統和電腦程式產品與流程
2023-06-04 07:13:04 2
本公開的實施例一般涉及無線通信,並且更具體地,涉及在無線網絡中的密碼算法協商。
背景技術:
在蜂窩網絡中,可以在相對大的區域上進行竊聽、假冒或修改攻擊。原則上,因為網絡沒有對用戶移動的實際控制,因此主動竊取呼叫是相當容易的。因此,在例如根據全球移動通信系統(GSM)或通用移動通信系統(UMTS)標準的無線通信系統中,安全性是至關重要的。現在已經知道的是,GSM系統遭受安全性問題。例如,可能的是,通過破壞A5/2保密算法,來檢索加密密鑰。當前,A5/1被嚴重破壞。例如,由A5/1保護的通信能夠被實時收聽。存在由情報機構廣泛竊聽的跡象,並且一些罪犯也利用它。
一般地,在無線通信系統中的密碼算法協商的過程如下:移動終端通過信號向網絡元素傳送它的能力(其包括它支持的所有密碼算法);網絡元素然後選擇使用哪個密碼算法。
為了改進在無線通信中的安全水平,例如,一種可能的方式是升級所有的網絡元素基礎架構和移動終端以消除較差的密碼算法並且支持合適的新的密碼算法。例如,在3GPP最近的發布中,3GPP已經做出了在移動終端和網絡兩者中強制使用更強的保密算法A5/3和A5/4。GSM協會(GSMA)也已經要求在移動終端和網絡中消除對A5/1的支持。然而,這可能遇到一些障礙。例如,由於沉重的代價和較少的誘因,一些網絡運營商不情願升級它們的網絡以替代「較舊的技術」。並且,終端製造商也可能拒絕這麼做,因為順從的終端可能不能在一些舊網絡中工作,並且用戶於是可能突然面對如下情況:他的電話不能工作。這對終端製造商而言是非常壞的,因為「不工作」的終端會被退回(增加了製造商的成本)並且其他製造商可能繼續賣它們的非順從的終端,這導致順從的製造商的市場份額丟失。此外,有可能的是,一些移動終端已經被升級以支持更新的密碼算法,而一些網絡還沒有被升級。在這種情況下,已經消除了較差密碼算法的移動終端在那些未升級的網絡中可能不能得到保護。
嵌入式UICC(通用集成電路卡)和對應的基帶晶片可能比移動終端工作的時間更長。機器(機器至機器、物聯網)被預期要工作多達20年。在這個時間段期間,大體上,密碼算法可能變弱。因為對傳統算法的支持,算法的完全的空中替換可能是有挑戰的,但是如果增加了新的算法並且舊的算法「被標記為」是不期望的,則將改進那些機器的安全性。
因此,希望的是,提供增強的密碼算法協商以最大化安全保護,同時仍然保持與較舊的終端和網絡的兼容性。
技術實現要素:
提供發明內容以便以簡化的方式介紹選擇的構思,該選擇的構思將在詳細描述中進一步地被描述。發明內容不旨在標識要求保護的主題的關鍵特徵或基本特徵,也不旨在用於限制所要求保護的主題的範圍。
根據本公開的一個方面,提供了一種用於在網絡元素和移動終端之間的密碼算法協商的方法。該方法包括:由所述網絡元素從所述移動終端接收第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持;以及從所述第一候選列表,選擇由所述網絡元素和所述移動終端都支持的密碼算法。
根據本公開的另一個方面,提供了一種網絡元素。該網絡元素包括:接收構件,其被配置為從移動終端接收第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持;發送構件,其被配置為:如果所述網絡元素不支持在所述第一候選列表中的任何密碼算法,則向所述移動終端發送第一消息以指示默認的密碼設置;以及重發送構件,其被配置為在從所述移動終端接收到拒絕所述默認的密碼設置的第二消息後,向所述移動終端發送第三消息,其中所述第三消息指示從所述第一候選列表中被排除的所述至少一個不期望的密碼算法中選擇的密碼算法,所選擇的密碼算法被所述網絡元素和所述移動終端都支持。
根據本公開的另一個方面,提供了一種網絡元素。該網絡元素包括:至少一個處理器和包含電腦程式代碼的至少一個存儲器,其中所述至少一個存儲器和所述電腦程式代碼被配置為與所述至少一個處理器一起使得所述網絡元素:從移動終端接收第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持;如果所述網絡元素不支持在所述第一候選列表中的任何密碼算法,則向所述移動終端發送第一消息以指示默認的密碼設置;以及在從所述移動終端接收到拒絕所述默認的密碼設置的第二消息後,向所述移動終端發送第三消息,其中所述第三消息指示從所述第一候選列表中被排除的所述至少一個不期望的密碼算法中選擇的密碼算法,所選擇的密碼算法被所述網絡元素和所述移動終端都支持。
根據本公開的另一個方面,提供了一種移動終端。所述移動終端包括:發送構件,其被配置為向網絡元素髮送第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持。
根據本公開的另一個方面,提供了一種移動終端。所述移動終端包括:至少一個處理器和包含電腦程式代碼的至少一個存儲器,其中所述至少一個存儲器和所述電腦程式代碼被配置為與所述至少一個處理器一起使得所述移動終端向網絡元素髮送第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持。
根據本公開的另一個方面,提供了一種系統。該系統包括如上所述的網絡元素和至少一個如上所述的移動終端。
根據本公開的另一個方面,提供了一種電腦程式產品,所述電腦程式產品包括:至少一個非短暫性的計算機可讀存儲介質,其具有存儲在其中的計算機可執行的程序指令,當運行所述計算機可執行的程序指令時,所述計算機可執行的程序指令被配置為使得網絡元素如上所述進行操作。
根據本公開的另一個方面,提供了一種電腦程式產品,所述電腦程式產品包括:至少一個非短暫性的計算機可讀存儲介質,其具有存儲在其中的計算機可執行的程序指令,當運行所述計算機可執行的程序指令時,所述計算機可執行的程序指令被配置為使得移動終端如上所述進行操作。
從結合附圖一起閱讀的說明性實施例的以下詳細描述,本公開的這些和其它目的、特徵和優點將變得明顯,
附圖說明
圖1是根據實施例的說明無線系統的簡化框圖;
圖2是根據實施例的描繪在無線網絡中協商密碼算法的過程的圖;
圖3是根據另一個實施例的描繪在無線網絡中協商密碼算法的過程的圖;
圖4是根據又一個實施例的描繪在無線網絡中協商密碼算法的過程的圖;
圖5是根據另一個實施例的描繪在無線網絡中協商密碼算法的過程的一部分的圖;
圖6是根據實施例的說明網絡元素的簡化框圖;以及
圖7是根據實施例的說明移動終端的簡化框圖。
具體實施方式
出於解釋的目的,在以下描述中闡述了細節,以便提供對所公開的實施例的徹底理解。然而,對本領域的技術人員明顯的是,可以在沒有這些具體細節或使用等同的布置來實現實施例。
圖1示出了根據實施例的無線系統。儘管主要在GSM網絡的上下文中來論述這個以及在以下描述的其他實施例,但是本領域的技術人員將認識到的是,本公開並不局限於此。實際上,本公開的各種方面可以用於可以受益於如本文中描述的增強密碼算法協商的任何無線網絡,諸如CDMA、TDMA、FDMA、OFDMA、SC-FDMA和其它網絡。詞語「網絡」和「系統」通常可交替地使用。CDMA網絡可以實現無線電技術,諸如通用陸地無線電接入(UTRA)、cdma1000等。UTRA包括寬帶CDMA(WCDMA)和CDMA的其它變型。cdma1000涵蓋IS-1000、IS-95和IS-856標準。TDMA網絡可以實現無線電技術,諸如全球移動通信系統(GSM)。OFDMA網絡可以實現無線電技術,諸如演進的UTRA(E-UTRA)、超移動寬帶(UMB)、IEEE 802.11(Wi-Fi)、IEEE 802.16(WiMAX)、IEEE 802.20、Flash-OFDMA等。
如圖1所示的,無線系統包括網絡元素200,和多個用戶設備(移動終端)100。與移動終端相比,網絡元素200指的是在網絡側的功能元素。例如,網絡元素200可以包括服務基站系統(BSS),其具有基站控制器(BSC)和一個或多個基站收發信臺(BTS),以及移動服務交換中心(MSC)。具有雙箭頭的實線指示在下行鏈路和上行鏈路上在移動終端和網絡元素之間希望的傳輸。眾所周知的是,蜂窩無線電系統包括無線電小區的網絡,每個無線電小區由傳送站(其被稱為小區站或基站收發信臺)服務。無線電網絡為多個收發器(在大多數情況下,移動的收發器)提供無線通信服務。協同工作的BSS的網絡允許比由單個BSS提供的無線電覆蓋更大的無線服務。個體BSS被另一個網絡連接(在許多情況下,其是有線網絡,未示出),其包括另外的控制器以用於資源管理,並且在許多情況下接入其它網絡系統(諸如網際網路)或MAN。
在GSM系統中,BSS包括基站控制器(BSC)和一個或多個基站收發信臺(BTS),其中BSC連接到移動服務交換中心(MSC)(未示出)。GSM是BSS連同MSC的聯合體。用戶經由用戶設備(移動終端)與GSM系統接口,在許多典型的用例中,其是蜂窩電話或智慧型電話。如本文中使用的,詞語「用戶設備」和「移動終端」可交換地使用,並且包括但不限於蜂窩電話、智慧型電話、計算機(不管是臺式計算機、可攜式計算機還是其它計算機)、以及行動裝置或終端(諸如手持式計算機、PDA、攝像機、機頂盒、個人媒體設備)、或上述的任何組合。詞語「移動元素」和「移動終端」通常可交換地使用。此外,詞語「無線」意味著任何無線信號、數據、通信、或其他接口,其包括但不限於Wi-Fi、藍牙、3G(例如3GPP、3GPP2、和UMTS)、HSDPA/HSUPA、TDMA、CDMA(例如IS-95A、WCDMA等)、FHSS、DSSS、GSM、PAN/802.15、WiMAX(802.16)、802.20、窄帶/FDMA、OFDM、PCS/DCS、模擬蜂窩、CDPD、衛星系統、毫米波或微波系統、聲學的、以及紅外線的(即,IrDA)。
在GSM系統中,可以支持多個密碼算法,諸如A5/0、A5/1、A5/2、A5/3、A5/4、A5/5、A5/6,和A5/7。在它們之中,A5/0是不加密模式;由於脆弱性,A5/2已經被收回支持;A5/1被嚴重破壞,但是主要被使用;A5/3強於A5/1,但是仍然基於64比特密鑰,從而牢不可破;A5/4基於128比特密鑰,強於A5/3。GSM還具有一系列的完整性算法。
尤其是在GSM技術規範08.08中,已經描述了在GSM系統中的密碼協商過程,其名稱為「Mobile-services Switching Centre–Base Station System(MSC-BSS)interface;Layer 3 specification」,通過引用將該文獻整體併入本文。概括地,MSC和BSS齊心協力與每個移動終端協商合適的密碼算法。這通過CIPHER MODE COMMAND消息來實現。
在CIPHER MODE COMMAND中,MSC指定哪些加密算法可以由BSS使用。BSS然後考慮移動終端的加密能力,選擇合適的算法。被返回給MSC的CIPHER MODE COMPLETE消息指示所選擇的加密算法。在CIPHER MODE COMMAND中指定的所允許的加密算法的集合應當保持適用於隨後的指配(Assignments)和BSS內切換。當BSS接收到來自移動終端的無線電接口CIPHERING MODE COMPLETE時,CIPHER MODE COMPLETE消息被返回到MSC。如果BSS不能支持在CIPHER MODE COMMAND中指定的加密算法,則它應當返回具有原因值「Ciphering algorithm not supported(不支持加密算法)」的CIPHER MODE REJECT消息。此外,其它無線通信系統(諸如UMTS、LTE等)的密碼協商過程類似於GSM。
類似地,尤其是在3GPP TS 33.102中描述了在3G系統中的密碼協商的細節,其名稱為「Technical Specification Group Services and System Aspects;3G Security;Security architecture(Release 11)」,通過引用將該文獻整體併入本文。尤其是在3GPP TS 33.401中描述了在4G系統中的密碼協商的細節,其名稱為「Technical Specification Group Services and System Aspects;3GPP System Architecture Evolution(SAE);Security architecture(Release 12)」,通過引用將該文獻整體併入本文。詞語「加密法」、「密碼」和「加密」通常可交換地使用,並且一般指的是用於在存在第三方中的安全通信的任何技術,其包括但不限於加密、譯成密碼、完整性保護、數據加密標準(DES)、高級加密標準(AES)、三重DES、對稱密鑰加密法、流加密、密碼哈希函數、以及公開密鑰加密法。
圖2是根據實施例的描繪在無線網絡中協商密碼算法的過程的圖。如圖2所示出的,該過程從步驟202開始,其中移動終端100向網絡元素200發送第一候選列表,其中第一候選列表包括由移動終端100支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法由移動終端100支持。在GSM系統中,這可以通過啟動附著過程同時從移動終端的安全能力列表排除不期望的密碼算法(例如,A5/1)來實現。
在這個實施例中,不期望的密碼算法(多個)是將被消除或限制的密碼算法(多個)。根據另一個實施例,不期望的密碼算法可以由隨著時間而變化,或當移動終端移動到不同的網絡時而變化。作為示例,如果特定的密碼算法已經被嚴重地破壞或被證明是不期望的,則該特定的密碼算法可以被定義為是不期望的。本領域的普通技術人員將理解的是,存在其它方式來定義不期望的密碼算法。
此外,在移動終端中,不期望的密碼算法可以是預定的。可替代地,可以從移動終端已經附著到的網絡來自動指定不期望的密碼算法。本領域的技術人員將了解的是,存在其它方式來指定不期望的密碼算法。
此外,可以在預定的時間段後或以某一時間間隔來更新不期望的密碼算法的指定。也可以通過在網絡的上下文中的改變(諸如安全策略的改變、密碼算法的增加或刪除等)而更新不期望的密碼算法的指定。此外,可以通過在移動終端的上下文中的改變(諸如密碼算法的增加或刪除等)而更新不期望的密碼算法。本領域的普通技術人員將了解的是,存在其它方式來更新不期望的密碼算法。
在這個實施例中,第一候選列表包括由移動終端支持的候選密碼算法,但是不包括不期望的密碼算法(多個),即使該不期望的密碼算法(多個)被移動終端支持。例如,在GSM系統中,如果移動終端支持A5/1、A5/3和A5/4並且不期望的密碼算法是A5/1,則第一候選列表將包括A5/3和A5/4。
在步驟204,網絡元素200從第一候選列表選擇由網絡元素和移動終端都支持的密碼算法。在這個實施例中,網絡元素(即網絡側)可以具有關於網絡元素支持什麼密碼算法的信息。這個信息可以從網絡的配置信息來獲得並且可以在網絡中的功能組件之間被傳遞。例如,如在GSM技術規範04.08中描述的,在GSM系統中,該信息由MSC收集並且被傳遞給BSS。假設第一候選列表包含A5/3和A5/4,並且網絡支持A5/3,則網絡元素200將選擇A5/3。
在網絡元素200已經選擇了密碼算法後,該過程前進到步驟206,其中網絡元素200向移動終端通知選擇結果。隨後,移動終端100能夠使用所選擇的密碼算法以用於與網絡的通信。在GSM系統中,這可以通過從網絡元素200(具體地,經由BSS從MSC)向移動終端100發送指示所選擇的算法的CIPHER MODE COMMAND來實現。
如上所示出的,從第一候選列表排除不期望的密碼算法(例如,A5/1),因此,網絡元素200將不選擇並使用它用於與移動終端100通信。如果每個移動終端已經採用了上述實施例,則在網絡中能夠消除不期望的密碼算法。此外,上述實施例是純終端的解決方案,並且不需要對網絡側做出修改。
圖3是根據另一個實施例的描繪在無線網絡中協商密碼算法的過程的圖。如在圖3中示出的,該過程從步驟302開始,其中移動終端100發送第一候選列表給網絡元素200。第一候選列表包括由移動終端100支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被移動終端100支持。在步驟204,網絡元素200嘗試從第一候選列表選擇由網絡元素200和移動終端100都支持的密碼算法。
在這個實施例中的步驟302和304類似於圖2中的步驟202和204。然而,在這個實施例中,網絡元素200不能找到由網絡元素200和移動終端100都支持的密碼算法,因為網絡不支持在第一候選列表中的任何密碼算法。因此,網絡元素200在步驟304選擇默認的密碼設置。默認的密碼設置可以在不同的網絡中而變化,並且可以由網絡的配置而改變。然後在步驟306,網絡元素200向移動終端通知選擇結果。例如,在GSM系統中,當網絡元素不支持在移動終端的安全能力列表中的任何密碼算法時,BSS和MSC的默認行為是在CIPER MODE COMMAND中將加密算法設置為A5/0(不加密),例如,其中網絡僅支持A5/1並且從移動終端100接收的第一候選列表排除了A5/1。
當接收到默認的密碼設置的選擇時,移動終端100知道網絡元素200不支持在第一候選列表中的任何密碼算法。因此,在步驟308,移動終端100向網絡元素200發送第二候選列表,其包括所述至少一個不期望的密碼算法,例如A5/1。在GSM系統中,這可以通過以下來實現:從移動終端100向網絡元素200發送CIPHER MODE REJECT MESSAGE,並且使用在移動終端的安全能力列表中的不期望的密碼算法(例如,A5/1)重新開始附著過程。在一些場景中,第二候選列表可以包括多個不期望的密碼算法,諸如A5/1和A5/2。注意的是,本公開的實施例可以應用於不僅在蜂窩設備和網絡之間保密算法的選擇,而且可以應用於在eUICC/UICC和HLR/HSS之間的認證的選擇或用於在蜂窩終端和網絡之間的完整性算法的選擇。用於認證的算法選擇特別是與eUICC有關,因為可能存在可以使用的算法的選擇,這是由於eUICC可能改變運營商。
在接收到第二候選列表時,在步驟310,網絡元素200於是從第二候選列表選擇由網絡元素和移動終端都支持的密碼算法。於是,在312,網絡元素200向移動終端100發送選擇結果。隨後,移動終端100可以使用所選擇的密碼算法,諸如A5/1,以用於與網絡的通信。
如上示出的,可以從第一候選列表排除不期望的密碼算法(例如,A5/1),因此網絡元素200將不選擇和使用它以用於與移動終端100通信。如果每個移動終端已經採用了上述實施例,則只要網絡已經被升級以支持更強的密碼算法,就能夠消除不期望的密碼算法。雖然在網絡還沒有被升級的情況下,由於使用第二候選列表的重新附著,附著過程可能被延長,但是上述實施例是純終端的解決方案並且不需要對網絡側做出修改。
圖4是根據又一個實施例的描繪在無線系統中協商密碼算法的過程的圖。如在圖4中示出的,該過程從步驟402開始,其中移動終端100發送第一候選列表給網絡元素200。所述第一候選列表包括由所述移動終端100支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端100支持。在步驟404,網絡元素200嘗試從第一候選列表選擇由網絡元素200和移動終端100都支持的密碼算法。在這個實施例中的步驟402和404類似於圖2中的步驟202和204和在圖3中的步驟302和304。
然而,在這個實施例中,在步驟404,網絡元素200不能找到由網絡元素200和移動終端100都支持的密碼算法,因為網絡不支持在第一候選列表中的任何密碼算法。類似於使用圖3描述的實施例,當網絡不支持在第一候選列表中的任何密碼算法時,網絡元素200在步驟404選擇默認的密碼設置。然後在步驟406,網絡元素200向移動終端100通知選擇結果。
當接收到默認的密碼設置的選擇時,移動終端100知道網絡元素200不支持在第一候選列表中的任何密碼算法。因此,在步驟408,移動終端100向網絡元素200發送拒絕默認的密碼設置的消息。在GSM系統中,這可以通過如下來實現:從移動終端100向網絡元素200發送具有原因值「不支持加密算法」的CIPHER MODE REJECT消息。
當從移動終端100接收到CIPHER MODE REJECT消息時,網絡元素200將確定該拒絕是否是由於要求消除不期望的密碼算法,諸如A5/1。這可以通過分析第一候選列表和與移動終端的交互來實現。例如,可以假設的是,默認密碼算法(例如A5/0)由每個移動終端支持。因此,如果移動終端100通過發送回具有原因值「不支持加密算法」的CIPHER MODE REJECT消息來拒絕所指配的默認加密設置,則網絡元素200可以確定這是由於移動終端100旨在消除不期望的密碼算法,而不是不支持默認加密設置。可以通過檢查從移動終端100接收的第一候選列表以查看是否排除了任何不期望的密碼算法(例如,A5/1),來進一步補充該確定。
如果確定的是,移動終端100的拒絕是由於要求消除不期望的密碼算法,則在步驟410,網絡元素200將從第一候選列表排除的至少一個不期望的密碼算法選擇密碼算法,所選擇的密碼算法被網絡元素200和移動終端100支持,諸如A5/1。
然後,在步驟412,網絡元素200向移動終端100發送選擇結果。隨後,移動終端100可以使用所選擇的密碼算法,諸如A5/1,以用於與網絡通信。
如上示出的,可以從第一候選列表排除不期望的密碼算法(例如,A5/1),因此網絡元素200將不選擇和使用它以用於與移動終端100通信。如果每個移動終端已經採用了上述實施例,則只要網絡已經被升級以支持更強的密碼算法,就能夠消除不期望的密碼算法。雖然網絡元素200需要確定移動終端100拒絕的意圖,但是上述實施例能夠在一個附著過程中完成密碼算法協商。
圖5是根據另一個實施例的描繪在無線網絡中協商密碼算法的過程的一部分的圖。如在圖5中示出的,在步驟502,網絡元素200向移動終端100發送指示默認密碼設置的消息。如在以上實施例中描述的,這可以在以下情況下發生:當移動終端100向網絡元素200發送第一候選列表時,其中所述第一候選列表包括由所述移動終端100支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法;但是網絡不支持在第一候選列表中的任何密碼算法,因此,網絡元素200向移動終端100發送指示默認密碼算法的消息。
在接收到指示默認的密碼設置的消息時,在步驟504,移動終端100確定除了默認的密碼設置之外的任何密碼算法是否在網絡中被允許。這可以通過檢查網絡的區域信息(諸如移動國家代碼(MCC))來實現。已知的是,一些國家(例如中國)禁止GSM加密。在那些網絡中,移動終端100不需要拒絕網絡元素選擇的默認的密碼設置,因為沒有其他可以使用的選項。因此,如果確定的是,在網絡中僅允許默認的密碼設置,則移動終端100可以簡單地使用默認密碼設置以用於與網絡通信。以這種方式,移動終端100可以最大化在允許加密的網絡中的安全保護;同時它也能夠在不允許加密的那些網絡中操作。
根據另一個實施例,移動終端100能夠節省關於網絡的密碼算法的選擇,以便能夠簡化隨後的附著過程。例如,如果移動終端100知道它附著到的網絡僅支持不期望的密碼算法(例如A5/1),則移動終端100可以在第一附著嘗試中,將該不期望的密碼算法包含在候選列表(例如,安全能力列表)中。因此,可以在第一嘗試時完成協商,不需要重新的附著過程。
此外,如果移動終端100知道它附著到的網絡僅支持更強的密碼算法(例如A5/3),則移動終端100可以在第一附著嘗試中,在候選列表(例如,安全能力列表)中排除更弱的不期望的密碼算法,如使用圖2描述的實施例中示出的。因此,移動終端100能夠在第一嘗試中實現最大的安全保護,並且不需要重新的附著過程。
根據另一個實施例,移動終端100可以在預定的時間段後或以某一時間間隔來更新密碼算法的選擇。作為示例,移動終端100可以通過每周在晚上執行一次完整的協商,來更新密碼算法的選擇。以這種方式,如果網絡已經在上一周中已經升級了,則移動終端100能夠最大化安全保護;同時,這能夠最小化更新過程對電池消耗和用戶體驗的影響。
根據一些實施例,不期望的密碼算法比在第一候選列表中的那些密碼算法更弱;默認的密碼設置比不期望的密碼算法更弱。「弱」或「強」的評估可以包括各種方面,諸如安全級別、功率消耗、計算複雜性、攻擊歷史等。例如,從安全級別的角度,強度可以被排名為A5/0<A5/1<A5/3<A5/4。然而,從其它角度,可以對它們進行不同的排名。本領域的技術人員將了解的是,存在其它方式來定義「弱」或「強」。
根據本公開的一個方面,提供了一種網絡元素。圖6是根據實施例的說明網絡元素的簡化框圖。如圖6中示出的,網絡元素200包括:處理器設備604、存儲器605和與處理器604可操作通信的無線電數據機子系統601。無線電數據機子系統601包括至少一個傳送器602和至少一個接收器603。儘管在圖6中僅說明了一個處理器,但是處理設備604可以包括多個處理器或多核處理器(多個)。另外,處理器設備604也可以包括緩存器以促進處理操作。
計算機可執行指令可以被加載在存儲器605中,並且當由處理設備604執行計算機可執行指令時,它使得網絡元素200執行用於在無線網絡中的密碼算法協商的上述方法。特別地,計算機可執行指令可以使得網絡元素200從移動終端接收第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持;當所述網絡元素不支持在所述第一候選列表中的任何密碼算法時,向所述移動終端發送第一消息以指示默認的密碼設置;以及在從所述移動終端接收到拒絕所述默認的密碼設置的第二消息後,向所述移動終端發送第三消息,其中所述第三消息指示從所述第一候選列表中被排除的所述至少一個不期望的密碼算法中選擇的密碼算法,所選擇的密碼算法被所述網絡元素和所述移動終端都支持。
根據一些實施例,不期望的密碼算法比在第一候選列表中的那些密碼算法弱;以及默認的密碼設置比不期望的密碼算法弱。
根據本公開的另一個方面,提供了一種網絡元素。該網絡元素包括:接收構件,其被配置為從移動終端接收第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持;發送構件,其被配置為:當所述網絡元素不支持在所述第一候選列表中的任何密碼算法時,向所述移動終端發送第一消息以指示默認的密碼設置;以及重發送構件,其被配置為在從所述移動終端接收到拒絕所述默認的密碼設置的第二消息後,向所述移動終端發送第三消息,其中所述第三消息指示從所述第一候選列表中被排除的所述至少一個不期望的密碼算法中選擇的密碼算法,所選擇的密碼算法被所述網絡元素和所述移動終端都支持。
根據一些實施例,不期望的密碼算法比在第一候選列表中的那些密碼算法弱;以及默認的密碼設置比不期望的密碼算法弱。
根據本公開的另一個方面,提供了一種移動終端。圖7是根據實施例的說明移動終端的簡化框圖。如圖7中示出的,所述移動元素200包括:處理器設備704、存儲器705和與處理器704可操作通信的無線電數據機子系統701。無線電數據機子系統701包括至少一個傳送器702和至少一個接收器703。儘管在圖7中僅說明了一個處理器,但是處理設備704可以包括多個處理器或多核處理器(多個)。另外,處理器設備704也可以包括緩存器以促進處理操作。
計算機可執行指令可以被加載在存儲器705中,並且當由處理設備704執行計算機可執行指令時,它使得移動終端100執行用於在無線網絡中的密碼算法協商的上述方法。特別地,計算機可執行指令可以使得移動終端100:向網絡元素髮送第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持。
在一個實施例中,當處理設備704執行計算機可執行指令時,它可以進一步使得移動終端:從網絡元素接收指示默認的密碼設置的第一消息;以及向網絡元素髮送拒絕默認的密碼設置的第二消息。
在一個實施例中,當處理設備704執行計算機可執行指令時,它可以進一步使得移動終端:當從網絡元素接收到指示默認的密碼設置的第一消息時,向網絡元素髮送包含至少一個不期望的密碼算法的第二候選列表。
在一個實施例中,當處理設備704執行計算機可執行指令時,它可以進一步使得移動終端:確定除了默認的密碼設置之外的任何密碼算法在網絡中是否被允許;以及如果除了默認的密碼設置之外沒有密碼算法在網絡中被允許,則選擇默認的密碼設置。
在一個實施例中,當處理設備704執行計算機可執行指令時,它可以進一步使得移動終端:節省密碼算法的選擇;以及在預定的時間段後,更新密碼算法的選擇。
在一些實施例中,不期望的密碼算法比在第一候選列表中的那些密碼算法弱;以及默認的密碼設置比不期望的密碼算法弱。
根據本公開的另一個方面,提供了一種移動終端。所述移動終端包括:發送構件,其被配置為向網絡元素髮送第一候選列表,其中所述第一候選列表包括由所述移動終端支持的至少一個候選密碼算法並且排除至少一個不期望的密碼算法,即使該至少一個不期望的密碼算法被所述移動終端支持。
在一個實施例中,移動終端還包括:接收構件,其被配置為從網絡元素接收指示默認的密碼設置的第一消息;其中發送構件還被配置為向網絡元素髮送拒絕默認的密碼設置的第二消息。
在一個實施例中,發送構件還被配置為:當從網絡元素接收到指示默認的密碼設置的第一消息時,向網絡元素髮送包含至少一個不期望的密碼算法的第二候選列表。
在一個實施例中,移動終端還包括:確定構件,其被配置為確定除了默認的密碼設置之外的任何密碼算法在網絡中是否被允許;以及其中移動終端被配置為:如果除了默認的密碼設置之外沒有密碼算法在網絡中被允許,則選擇默認的密碼設置。
在一個實施例中,移動終端還包括:節省構件,其被配置為節省密碼算法的選擇;以及更新構件,其被配置為在預定的時間段後,更新密碼算法的選擇。
在一些實施例中,不期望的密碼算法比在第一候選列表中的那些密碼算法弱;以及默認的密碼設置比不期望的密碼算法弱。
根據本公開的一個方面,提供了一種用於在無線網絡中的密碼算法協商的系統。該系統包括如上所述的網絡元素和至少一個如上所述的移動終端。
根據本公開的另一個方面,提供了一種電腦程式產品,所述電腦程式產品包含:至少一個非短暫性的計算機可讀存儲介質,其具有存儲在其中的計算機可執行的程序指令,當運行所述計算機可執行的程序指令時,它被配置為使得網絡元素如上所述進行操作。
根據本公開的另一個方面,提供了一種電腦程式產品,所述電腦程式產品包含:至少一個非短暫性的計算機可讀存儲介質,其具有存儲在其中的計算機可執行的程序指令,當運行所述計算機可執行的程序指令時,它被配置為使得移動終端如上所述進行操作。
注意的是,網絡元素和移動元素的組件中的任何組件可以被實現為硬體或軟體模塊。在軟體模塊的情況下,可以將它們包含在有形的計算機可讀可記錄存儲介質上。例如,所有軟體模塊(或其任何子集)可以在相同的介質上,或每個軟體模塊可以在不同的介質上。例如,軟體模塊可以運行在硬體處理器上。如上所述,使用運行在硬體處理器上的不同的軟體模塊來執行方法步驟。
詞語「電腦程式」、「軟體」和「電腦程式代碼」意味著包括執行功能的任何序列或人或機器可識別的步驟。實際上,可以在任何程式語言或環境(例如,C/C++、Fortran、COBOL、PASCAL、彙編語言、標記用於(例如,HTML、SGML、XML等))以及面向對象的環境(諸如公共對象請求代理結構(CORBA)、JavaTM(包括J2ME、Java Bean等))二進位運行環境(BREW)等中描繪在此類程序。
詞語「存儲器」和「存儲設備」意味著包括但不限於電的、磁的、光的、電磁的、紅外線的或半導體系統、裝置或設備或上述的任何合適組合。存儲器或存儲設備的更具體的示例(非排他性列表)將包括以下:具有一個或多個線纜的電連接、可攜式計算機磁碟、硬碟、隨機存取存儲器(RAM)、只讀存儲器(ROM)、可擦除可編程只讀存儲器(EEPROM或閃速存儲器)、光碟只讀存儲器(CD-ROM)、光存儲設備、磁存儲設備、或上述的任何合適組合。
在任何情況下,應當理解的是,可以以各種形式的硬體、軟體或其組合來實現本文中說明的組件,例如,專用集成電路(ASIC)、功能電路、適當編程的通用數字計算機(其具有相關聯的存儲器)等。給定本文中提供的本公開的教導的情況下,本領域的技術人員將能夠設想本公開的組件的其它實現方式。
本文所使用的詞語僅是出於描述特定實施例的目的,並且不是意在限制本公開。如本文所使用的,單數形式「一個」、「一種」和「所述」意味著也包含複數形式,除非上下文中清楚地另外指明。還應當理解的是,當在本文使用時,詞語「包括」和/或「包含」指存在所闡明的特徵、整數、步驟、操作、元素和/或組件,但是不排除存在或附加一個或多個其它特徵、整數、步驟、操作、元素、組件和/或其組合。
出於說明的目的,已經給出了各種實施例的描述,但是不是旨在窮盡性的或限制於所公開的實施例。在不背離所描述的實施例的精神和範圍的情況下,許多修改和變型對於本領域的技術人員而言是明顯的。