技術領域

本發明涉及移動通信和信息安全領域，尤其涉及一種實現用戶自定義安全等級的方法。

背景技術

3G系統中，通過認證和密鑰協商AKA(Authentication?and?key?agreement)移動臺MS(Mobile?Station)和拜訪位置寄存器/GPRS服務支持節點HLR/SGGN(Visitor?LocationRegister/Serving?GPRS?Support?Node)之間協商出128位完整性密鑰IK(Integrity?Key)和128位加密密鑰CK(Cipher?Key)。

協商方法如下：1.認證中心AuC為每個用戶生成基于序列號的認證向量組(RAND，XRES，CK，IK，AUTN)，并且按照序列號排序。2.當認證中心收到VLR/SGSN的認證請求，發送N個認證向量組給VLR/SGSN。在VLR/SGSN中，每個用戶的N個認證向量組，按照“先入先出”(FIFO)的規則發送給移動臺，用于鑒權認證。3.VLR/SGSN初始化一個認證過程，選擇一個認證向量組，發送其中的RAND和AUTN給用戶。用戶收到后RAND||AUTN后，在USIM卡中進行如下操作：(1)計算AK并從AUTN中將序列號恢復出來SQN=(SQN⊕AK)⊕AK]]>；(2)USIM計算出XMAC，將它與AUTN中的MAC值進行比較。如果不同，用戶發送一個“用戶認證拒絕”信息給VLR/SGSN，放棄該認證過程。在這種情況下，VLR/SGSN向HLR發起一個“認證失敗報告”，然后由VLR/SGSN決定是否重新向用戶發起一個認證過程。(3)用戶比較收到的SQN是否在正確范圍內(為了保證通信的同步，同時防止重傳攻擊，SQN應該是目前使用的最大的一個序列號，由于可能發生延遲等情況，定義了一個較小的“窗口”，只要SQN收到的在該范圍內，就認為是同步的。(4)如果SQN在正確范圍內，USIM計算出RES，發送給VLR/SGSN，比較RES是否等于XRES。如果相等，網絡就認證了用戶的身份。(5)用戶計算出CK＝f3(RAND，K)，IK＝f4(RAND，K)。VLR/SGSN從認證向量組中選出IK和CK。4.如果用戶計算出SQN(序列號)不在USIM認為正確的范圍內，將發起一次“重新認證”。

加密算法和完整性算法都是通過用戶和網絡之間的安全協商機制實現的。當移動臺需要與服務網絡之間以加密方式通信時：(1)移動臺和網絡沒有相同版本的UEA(加密算法)網絡規定要使用加密連接，拒絕連接。(2)移動臺和網絡沒有相同版本的UEA，網絡允許使用不加密的連接，建立無加密的連接。3)移動臺和網絡有相同版本的UEA，網絡選擇其中一個UEA，建立加密連接。3G系統中預留了15種UEA。為了實現用戶信息和信令信息的完整性保護，網絡與移動臺之間：1)如果移動臺和網絡沒有相同版本的UIA(完整性算法)，則拒絕連接。(2)如果移動臺和網絡有相同版本的UIA，網絡選擇一種UIA，建立連接。3G系統中預留了16種UIA。

目前，3G系統中VLR/SGSN發送一條Security?mode?command命令給SRNC(基站控制服務器)，該命令預留8位，4位標識網絡側支持的加密算法，4位標識網絡側支持的完整性算法。目前只提出兩種方式，一種是預留4位為‘0000’表示不加密，另一種是預留4位為‘0001’標識加密(或使用完整性保護)。

設計多種強度的安全算法需要消耗大量的資金，現有的網絡只支持一種加密算法和一種完整性算法。3GPP中新的工作項目提出設計與現有的加密算法安全強度相似的新的加密算法。

發明內容

為解決現有技術中的缺陷和不足，本發明的目的在于提供一種實現用戶自定義安全等級的方法，以實現用戶根據其使用的業務類型和業務應用場景自定義安全等級。

為達到上述發明目的，本發明采用以下技術方案：

實現用戶自定義安全等級的方法，包括以下步驟

(1)終端根據安全等級與實現該安全等級的密鑰長度的映射關系，確定指定的安全等級對應的密鑰長度；