安全算法协商的方法、装置及网络系统的制作方法
专利名称:安全算法协商的方法、装置及网络系统的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及安全算法协商的方法、装置及网络 系统。
技术背景在通用移动通"f言系统(Universal Mobile Telecommunication System, UMTS )中,需要无线网络控制器(Radio Network Controller, RNC )和用户 终端(User Equipment, UE)执行加密/解密和完整性保护操作,即对UE的 数据提供机密性保护,UE和RNC之间的信令提供机密性和完整性保护。由 于不同UE所支持的加密/解密和完整性算法不同,因此,在加密/解密和完整 性保护之前,需要协商加密/解密算法和完整性算法。由于UMTS系统仅需在 接入(Access Stratum, AS)层提供保护,因此,UMTS系统在UE和RNC 之间协商了加密/解密和完整性算法。在系统演进架构(System Architecture Evolution, SAE )/长期演进(Long Term Evolution, LTE)系统中,如
图1所示,核心网包括移动性管理实体 (Mobility Management Entity, MME )、用户面实体(User Plane Entity, UPE ) 和接入系统间锚点(Inter Access System Anchor, IASA),其中,MME用于负 责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身 份标识、安全信息等;UPE负责空闲状态下为下行数据发起寻呼,管理保存 IP承载参数和网络内部信息等;IASA作为不同系统间的用户间锚点,接入网 由演进基站(Evolved Node Base, eNodeB)构成;在该系统中,信令面的接 入层信令的安全终结在eNodeB上,信令面的非接入层的安全,即核心网信令 面的安全终结在MME上,用户面的安全终结在UPE上。因此,信令面的安 全终结点有eNodeB, MME,而安全终结点在对凄t据或者信令执行相应的安 全保护之前,需要协商该安全终结点与用户终端(UserEquipment, UE)都支 持的安全算法,即eNodeB与UE之间需要协商接入层AS安全算法,MME 与UE之间需要协商非接入层(None Access Stratum, NAS )安全算法。现有的SAE/LTE系统中无法协商出安全算法,即接入层AS安全算法和非接入层NAS安全算法。 发明内容本发明实施例的目的是提供一种安全算法协商的方法、装置及网络系统,能够在SAE/LTE系统中协商出安全算法。为解决上述技术问题,本发明实施例的目的是通过以下技术方案实现的 一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括接收用户终端所能支持的安全算法信息; 根据所述安全算法信息,选择安全算法; 向所述用户终端发送表示所述安全算法的标识。一种安全算法协商的装置,用于系统演进架构/长期演进系统中,该装置 包括信息接收单元,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元,用于根据所述安全算法信息,选择安全算法; 发送单元,用于向所述用户终端发送表示所述安全算法的标识。 一种网络系统,该系统包括演进基站,移动性管理实体,其中, 所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第一标识。以上技术方案可以看出,本发明实施例通过根据用户终端所能支持的安 全算法信息,选择安全算法,并向用户终端发送表示所选择的安全算法的标 识,能够在SAE/LTE系统中协商安全算法。 附围说明图1为现有技术中SAE/LTE系统结构图; 图2为本发明实施例一所提供的安全算法协商的方法流程图; 图3为本发明实施例二所提供的安全算法协商的方法流程图; 图4为本发明实施例三所提供的安全算法协商的方法流程图;图5为本发明实施例四所提供的安全算法协商的方法流程图; 图6为本发明实施例五所提供的安全算法协商的方法流程图; 图7为本发明实施例六所提供的安全算法协商的方法流程图; 图8为本发明实施例七所提供的安全算法协商的方法流程图; 图9为本发明实施例八所提供的安全算法协商的方法流程图; 图IO为本发明实施例九所提供的安全算法协商的装置结构图;图11为本发明实施例十所提供的网络系统结构图。
具体实施方式
下面参照附图,对本发明的实施例进行详细说明。参阅图2,本发明的实施例一所提供的安全算法协商的方法包括实施一中层3消息以初始层3消息为例,初始层3消息在无线资源连接(Radio Resource Connection, RRC)请求消息中携带,将初始层3响应信息在RRC建立消息中携带,由MME选择NAS安全算法,eNodeB选择AS安全算法;步骤201 、 UE向eNodeB发送无线资源连接RRC请求消息,该请求消息 中包括AS安全能力和初始层3消息,初始层3消息携带NAS安全能力; 其中,AS安全能力是UE所能支持的AS安全算法信息,即AS安全算法列 表,NAS安全能力是UE所能支持的NAS安全算法信息,即NAS安全算法 列表;步骤202、 eNodeB保存AS安全能力;步骤203、 eNodeB向MME发送RANAP消息,该消息中携带初始层3 消息,初始层3消息中携带UE的NAS安全能力;步骤204、 MME根据UE的NAS安全能力和网络允许用户使用的算法信 息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用 的算法信息和用户的签约信息,选择出NAS安全算法;其中,网络允许用户 使用的算法信息至少包括允许用户使用的AS安全算法信息和NAS安全算法 信息,其中,网络允许用户使用的AS安全算法信息包括该eNodeB自身支 持的算法信息;步骤205、 MME创建NAS安全模式命令和第一 AS安全模式命令,向eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS 安全模式命令和第一 AS安全模式命令,其中,NAS安全模式命令携带表示 选择的NAS安全算法的第一标识,第一 AS安全模式命令携带网络允许用户 使用的算法信息;步骤206、 eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤207、 eNodeB创建第二 AS安全模式命令,该第二AS安全模式命令 中包括表示所选的AS安全算法的第二标识,向UE发送RRC建立消息,该 消息中携带AS安全模式命令,NAS安全模式命令和初始层3响应信息;步骤208、 UE向eNodeB发送RRC确认消息,该消息中携带层3确认消 息,NAS安全模式命令响应,第二 AS安全模式命令响应;步骤209、 eNodeB向MME发送RANAP消息,该消息中携带层3确认 消息和NAS安全模式命令响应。其中,UE所支持的算法可并不区分AS算法和NAS算法,即UE所支持 的算法既是AS算法又是NAS算法,那么NAS安全能力和AS安全能力是相 同的,通称为UE的安全能力。当UE所支持算法不区分AS算法和NAS算 法时,该步骤201中的RRC请求消息可以包括UE安全能力和初始层3消 息,初始层3消息中携带UE安全能力,UE安全能力中可以只携带一个IE; 步骤202可以为eNodeB保存UE的安全能力;或者,步骤201中的初始层3 消息不携带UE安全能力,步骤203的eNodeB向MME发送的RANAP消息 包括初始层3消息和UE的安全能力。参阅图3,本发明的实施例二所提供的安全算法协商的方法包括实施二中的初始层3消息在RRC请求消息中携带,由MME选择NAS 安全算法,eNodeB选择AS安全算法;其中,步骤301 -步骤303与实施例一中的步骤201 -步骤203相同;步骤304、 MME创建第一 AS安全模式命令,向eNodeB发送RANAP 消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网 络允许用户使用的算法信息;步骤305、 eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤306、 eNodeB创建第二 AS安全模式命令,向UE发送RRC建立消 息,该消息中携带第二AS安全模式命令,该第二AS安全模式命令中含有表 示所选择的AS安全算法的第二标识;步骤307、 UE向eNodeB发送RRC确认消息,该消息中携带第二 AS安 全模式命令响应;步骤308、 MME根据UE的NAS安全能力和网络允许用户使用的算法信 息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用 的算法信息和用户的签约信息,选择出NAS安全算法;步骤309、 MME创建NAS安全模式命令,向eNodeB发送RANAP消息, 该RANAP消息中携带NAS安全模式命令,该NAS安全模式命令携带表示所 选择的NAS安全算法的第一标识;步骤310、 eNodeB向UE发送RRC消息,该消息中携带NAS安全模式 命令,该NAS安全模式命令携带表示所选择的NAS安全算法的第一标识;步骤311、 UE向eNodeB发送RRC消息,该消息中携带NAS安全模式 命令响应;步骤312、 eNodeB向MME发送RANAP消息,该消息中携带NAS安全 模式命令响应;步骤313、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息;步骤314、 eNodeB向UE发送RRC消息,该消息中携带初始层3响应消息。其中,步骤313和步骤314中的初始层3响应消息,可以和步骤309和 步骤310中的NAS安全模式命令一起发送;或者,和步骤304和步骤306中 的AS安全模式命令一起发送;或者,步骤309和步骤310中的NAS安全模 式命令可以和步骤304和步骤306中的AS安全模式命令一起发送,不影响本 发明的实现。参阅图4,本发明的实施例三所提供的安全算法协商的方法包括实施三的初始层3消息在RRC请求消息中携带,由MME选择NAS安全 算法,eNodeB选择AS安全算法;其中,步骤401 -步骤404与实施例一中的步骤201 -步骤204相同;步骤405、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息,初始层3响应消息中携带表示所选择的NAS安全算法的第一标识;步骤406、 eNodeB向UE发送RRC建立消息,该消息中包括携带第一 标识的初始层3响应消息;步骤407、 MME创建第一 AS安全模式命令,向eNodeB发送RANAP 消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网 络允许用户使用的算法信息;步骤408、 eNodeB才艮据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤409 、 eNodeB创建第二 AS安全模式命令,向UE发送RRC消息, 该消息中携带第二 AS安全模式命令,该第二 AS安全模式命令中携带表示所 选择的AS安全算法的第一标识;步骤410、 UE向eNodeB发送RRC消息,该消息中携带第二 AS安全模 式命令响应。参阅图5,本发明的实施例四所提供的安全算法协商的方法包括实施四的初始层3消息在RRC请求消息中携带,将初始层3响应信息在 RRC建立消息中携带,由MME选择NAS安全算法和AS安全算法;步骤501 、 UE向eNodeB发送RRC请求消息,该请求消息中包括初始 层3消息,初始层3消息携带NAS安全能力和AS安全能力;即在初始层3 消息中需要定义两个正,分别传送AS安全能力和NAS安全能力;UE所支持的算法可不区分AS算法和NAS算法,那么NAS安全能力和 AS安全能力是相同的,通称为UE的安全能力。当UE所支持算法不区分AS 算法和NAS算法时,初始层3消息中携带UE安全能力,UE安全能力中可 以只携带一个IE;步骤502、 eNodeB向MME发送RANAP消息,该消息中携带初始层3 消息,还可能携带自身支持的算法信息,该初始层3消息携带NAS安全能力 和AS安全能力,或UE安全能力;步骤503 、 MME根据UE的NAS安全能力和网络允许用户使用的算法, 选择出NAS安全算法,或者,根据NAS安全能力、网络允许用户使用的算 法和用户的签约信息选择NAS安全算法;根据AS安全能力和接收的RANAP 消息中的eNodeB自身支持的算法信息,选择AS安全算法,或者,根据AS 安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信 息,选择AS安全算法;步骤504、 MME创建NAS安全模式命令和第三AS安全模式命令,向 eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS 安全模式命令和第三AS安全模式命令,其中,NAS安全模式命令携带表示 选择的NAS安全算法的第一标识,第三AS安全模式命令携带表示选择的AS 安全算法的第二标识;步骤505、 eNodeB根据第三AS安全模式命令携带的第二标识获知所选 的AS安全算法;步骤506、 eNodeB创建第四AS安全模式命令,向UE发送RRC建立消 息,该消息包括第四AS安全模式命令、NAS安全模式命令和初始层3响 应消息;其中,第四AS安全模式命令携带第二标识;步骤507、 UE向eNodeB发送RRC确认消息,该消息中携带层3确认消 息,NAS安全模式命令响应,第四AS安全模式命令响应;步骤508、 eNodeB向MME发送RANAP消息,该消息中携带层3确认 消息和NAS安全才莫式命令响应。其中,步骤502中eNodeB向MME发送RANAP消息中可以不携带自身 支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;同理,对于实施例二和实施例三,也可以采用由MME选择NAS安全算 法和AS安全算法实现安全算法协商,不影响本发明的实现。参阅图6,本发明的实施例五所提供的安全算法协商的方法包括实施五先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;步骤601 、 UE向eNodeB发送RRC请求消息,该RRC请求消息中携带 UE的安全能力;步骤602 、 eNodeB保存UE的安全能力;步骤603 、 eNodeB向UE发送RRC建立消息;步骤604、 UE向eNodeB发送RRC完成消息;步骤605、 UE向eNodeB发初始层3消息;步骤606、 eNodeB向MME发送RANAP消息,eNodeB需要向RANAP 消息中添加UE安全能力,因此该消息包括初始层3消息,UE的安全能力;步骤607、 MME根据UE的安全能力和网络允许用户使用的算法信息, 选择出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算 法信息和用户的签约信息选择出NAS安全算法;步骤608 、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息,该初始层3响应消息中携带表示所选择的NAS安全算法的第一标 识;步骤609、 eNodeB向UE发送初始层3响应消息,该初始层3响应消息中携带第一标识;步骤610 -步骤613与实施例三中的步骤407 -步骤410相同; 参阅图7,本发明的实施例六所提供的安全算法协商的方法包括 实施六先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;与实施例5不同之处在于,本实施将初始层3响应消息与AS安全模式命令合并成一条消息发送,而实施例5中是分开发送的;步骤701 -步骤707与步骤601 -步骤607相同;步骤708、 MME创建安全模式命令,向eNodeB发送RANAP消息,该 消息中携带初始层3响应消息,第一安全模式命令消息,其中,第一安全 模式命令消息中携带表示所选择的NAS安全算法的第 一标识和网络允许用户 使用的算法信息;步骤709、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用 的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤710、 eNodeB向UE发送RRC消息,该消息中携带初始层3响应 消息和第二安全模式命令,其中,第二安全模式命令携带第一标识和表示所 选择的AS安全算法的第二标识;步骤711、 UE向eNodeB发送RRC消息,该消息中携带第二安全模式命 令响应;步骤712 、 eNodeB向MME发送RANAP消息,该消息中携带第 一安全模式命令响应。参阅图8,本发明的实施例七所提供的安全算法协商的方法包括 实施七先进行无线接入网的连接,即RRC连接,再进行核心网的连接, 由MME选择NAS安全算法,eNodeB选择AS安全算法; 步骤801 -步骤806与步骤601 -步骤606相同;步骤807、 MME4艮据网络允许用户采用的算法和UE的安全能力,同时 也可以考虑用户的签约信息,选择出NAS安全算法;步骤808、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应信息、网络允许用户采用的算法信息,其中初始层3响应信息中携带表 示所选择的NAS安全算法的第一标识;步骤809、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法 信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用 的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤810、 eNodeB向UE发送RRC消息,该RRC消息中携带表示所 选择的AS安全算法的第二标识和初始层3响应消息,该初始层3响应消息中 携带第一标识。参阅图9,本发明的实施例八所提供的安全算法协商的方法包括 实施八先进行无线接入网的连接,即RRC连接,再进行核心网的连接, 由MME选择NAS安全算法和AS安全算法;步骤901 、 UE向eNodeB发送RRC请求消息; 步骤902 、 eNodeB向UE发送RRC建立消息;步骤903、 UE向eNodeB发送RRC完成消息;步骤904、 UE向eNodeB发送初始层3消息;该消息中包括UE的安全 能力;步骤905、 eNodeB向MME发送RANAP消息,该消息包括初始层3 消息和eNodeB自身支持的算法信息,其中初始层3消息中携带UE的安全能 力;步骤906、 MME根据UE的安全能力和网络允许用户使用的算法,选择 出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算法和 用户的签约信息选择NAS安全算法;根据UE的安全能力和RANAP消息中 的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安 全能力和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选 择AS安全算法;步骤907、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息和表示所选择的AS安全算法的第二标识;初始层3响应消息中携带 表示所选择的NAS安全算法的第一标识;步骤908、 eNodeB根据第二标识获知AS安全算法;步骤909、 eNodeB向UE发送RRC消息,该RRC消息中包括初始层3 响应消息和第二标识;初始层3响应信息中携带第一标识。其中,步骤卯5中eNodeB向MME发送RANAP消息中可以不携带自身 支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;同理,对于实施例六和实施例七,也可以釆用由MME选择NAS安全算 法和AS安全算法实现安全算法协商,不影响本发明的实现。其中,UE的安全能力可以不在RRC请求消息中携带,可以在UE向 eNodeB发送RRC完成消息中携带;或者,当UE的安全能力区分为AS安全 能力和NAS安全能力时,UE的AS安全能力可在RRC请求消息或RRC完成 消息中携带,UE的NAS安全能力可在UE向eNodeB发送的初始层3消息中 携带,不影响本发明的实现。参阅图10,本发明的实施例九提供一种安全算法协商的装置,用于系统 演进架构/长期演进系统中,该装置包括信息接收单元1001,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元1002,用于才艮据信息接收单元1001中安全算法信息,选择安全算法;发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择 的安全算法的标识。其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于移动性管理实体,用于协商非接入层安全算法,此时,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为非接入层安全算法信息,该安全算法信息可以通过初始层3 消息携带;安全算法选择单元1002,用于根据安全算法信息和网路允许用户使用的 算法信息,也可以考虑用户签约的信息,选择非接入层安全算法;发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择 的非接入层安全算法的第一标识,该第一标识可以在初始层3响应消息中携 带,也可以在NAS模式命令中携带;其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于移动性管理实体,用于协商接入层安全算法,该装置还包括演进基站算 法信息接收单元1004,演进基站算法信息配置单元1005,其中,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为接入层安全算法信息,该安全算法信息可以在初始层3消 息中携带;安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法 信息,选择接入层安全算法;发送单元1003,用于发送表示安全算法选择单元1002所选择的接入层安 全算法的第二标识,该第二标识可以在第三NAS安全模式命令中携带;演进基站算法信息接收单元1004,用于接收演进基站支持的算法信息并 输出到安全算法选择单元1002;演进基站算法信息配置单元1005,用于配置演进基站支持的算法信息并 输出到安全算法选择单元1002。其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于演进基站,用于协商接入层安全算法,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为接入层安全算法信息,该安全算法信息可以在RRC请求消 息中携带;安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法信息,选择^J姿入层安全算法;发送单元1003,用于向用户终端发送表示接入层安全算法的第二标识。 参阅图11,本发明的实施例十提供一种网络系统,该系统包括 演进基站1101,用于向移动性管理实体1102发送用户终端支持的安全算法信息;将来自移动性管理实体1102的第一标识发送给用户终端;移动性管理实体1102,用于根据安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示非接入层安全算法的第一标识。 当该网络系统还要协商接入层安全算法时,演进基站1101,还用于将来自移动性管理实体1102的第二标识发送给用户终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全算法,输出表示所选择的接入层安全算法的第二标识。当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入 层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息并转发 到移动性管理实体1102,将来自移动性管理实体1102的第二标识发送给用户 终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据 接入层安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全 算法,输出表示接入层安全算法的第二标识。当该网络系统还要协商接入层安全算法时,演进基站1101,还用于根据 安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示接入层 安全算法的第二标识发送给用户终端。当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入 层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息,根据接入层安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示 接入层安全算法的第二标识发送给用户终端。以上分析可以看出,本发明的实施例中MME根据UE所能支持的NAS 安全能力和网络允许用户使用的算法信息,选择NAS安全算法,并向用户终 端发送表示所选择的NAS安全算法的第一标识,能够在SAE/LTE系统中协 商出NAS安全算法;本发明的实施例中MME或者eNodeB根据UE所能支 持的AS安全能力和eNodeB自身支持的算法信息,选择AS安全算法,且UE 和eNodeB获得表示所选择的AS安全算法的第二标识,达到在SAE/LTE系 统中协商AS安全算法的目的;本发明的实施例采用在RRC请求消息中携带 初始层3消息,初始层3消息中可以携带NAS安全能力,在RRC建立消息 中携带初始层3响应消息和第一标识,简化了流程,节约了协商安全算法所 用的时间。以上对本发明实施例所提供的安全算法协商的方法、装置及网络系统 进行了详细介绍,本文中应用了具体个例对本发明实施例的原理及实施方式 进行了阐述,以上实施例的说明只是用于帮助理解本发明实施例的方法;同 时,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方 式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本 发明实施例的限制。
权利要求
1. 一种安全算法协商的方法,用于系统演进架构/长期演进系统中,其特征在于,该方法包括接收用户终端所能支持的安全算法信息;根据所述安全算法信息,选择安全算法;向所述用户终端发送表示所述安全算法的标识。
2、 根据权利要求1所述的方法,其特征在于 所述根据所述安全算法信息,选择安全算法具体为 移动性管理实体根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述非接入层安全算法的第一标识。
3、 根据权利要2所述的方法,其特征在于所述向所述用户终端发送表示所述非接入层安全算法的第 一标识具体为向所述演进基站发送所述第 一标识,所述演进基站向所述用户终端发送 所述第一标识。
4、 根据权利要3所述的方法,其特征在于 所述演进基站向所述用户终端发送所述第 一标识具体为 所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带非接入层安全模式命令,所述非接入层安全模式命令 中携带所述第一标识。
5、 根据权利要3所述的方法,其特征在于 所述演进基站向所述用户终端发送所述第 一标识具体为 所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带初始层3响应信息,所述初始层3响应信息中携带所 述第一标识。
6、 根据权利要2、 3所述的方法,其特征在于 所述安全算法信息为非接入层安全算法信息。
7、 根据权利要求1所述的方法,其特征在于所述根据所述安全算法信息,选择安全算法具体为 移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述接入层安全算法的第二标识。
8、 根据权利要求7所述的方法,其特征在于在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法之前,该方法还包括所述移动性管理实体接收来自所述演进基站的所述演进基站自身支持的 算法信息。
9、 根据权利要求7所述的方法,其特征在于在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法之前,该方法还包括所述移动性管理实体配置所述演进基站自身支持的算法信息。
10、 根据权利要7所述的方法,其特征在于所述向所述用户终端发送表示所述接入层安全算法的第二标识具体为 向所述演进基站发送所述第二标识,所述演进基站根据所述第二标识获 知所述接入层安全算法,并向所述用户终端发送所述第二标识。
11、 根据权利要IO所述的方法,其特征在于所述向所述演进基站发送所述第二标识具体为向所述演进基站发送携带所述第二标识的第三接入层安全模式命令;所述演进基站向所述用户终端发送所述第二标识具体为 所述演进基站向所述用户终端发送携带所述第二标识的第四接入层安全模式命令。
12、 根据权利要3或9或IO所述的方法,其特征在于 所述接收用户终端所能支持的安全算法信息具体为 接收来自所述用户终端的初始层3消息,所述初始层3消息携带所述用户终端所能支持的安全算法信息。
13、 根据权利要12所述的方法,其特征在于所述接收来自所述用户终端的初始层3消息具体为 所述演进基站接收来自所述用户终端的无线资源连接请求消息,所述无 线资源连接请求消息中携带所述初始层3消息;所述移动性管理实体接收来自所述演进基站的所述初始层3消息。
14、 根据权利要求1所述的方法,其特征在于 所述根据所述安全算法信息,选择安全算法具体为 演进基站根据所述安全算法信息和所述演进基站自身支持的算法信息,选择接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述接入层安全算法的第二标识。
15、 根据权利要14所述的方法,其特征在于所述向所述用户终端发送表示所述接入层安全算法的第二标识具体为 向所述用户终端发送携带所述第二标识的第二接入层安全模式命令。
16、 根据权利要7或者14所述的方法,其特征在于所述安全算法信息 为接入层安全算法信息。
17、 根据权利要求16所述的方法,其特征在于 所述接收用户终端所能支持的安全算法信息具体为 接收来自用户终端的安全能力,所述安全能力携带所述接入层安全算法信息和非接入层安全算法信息,并用标识区分所述接入层安全算法信息和所述非接入层安全算法信息。
18、 一种安全算法协商的装置,用于系统演进架构/长期演进系统中,其 特征在于,该装置包括信息接收单元,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元,用于根据所述安全算法信息,选择安全算法; 发送单元,用于向所述用户终端发送表示所述安全算法的标识。
19、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于移动性管理实体,所迷信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和网路允许用户使用的算法信息,选择非接入层安全算法;所述发送单元,用于向所述用户终端发送表示所述非接入层安全算法的 第一标识。
20、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于移动性管理实体,所述信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和演进基站支持的 算法信息,选择接入层安全算法;所述发送单元,用于发送表示所述接入层安全算法的第二标识。
21、 根据权利要求20所述的装置,其特征在于,所述装置还包括 演进基站算法信息接收单元,用于接收所述演进基站支持的算法信息并输出到所述安全算法选择单元。
22、 根据权利要求20所述的装置,其特征在于,所述装置还包括 演进基站算法信息配置单元,用于配置所述演进基站支持的算法信息并输出到所述安全算法选择单元。
23、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于演进基站,所述信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和所述演进基站支持的算法信息,选择接入层安全算法;所述发送单元,用于向所述用户终端发送表示所述接入层安全算法的第二标识。
24、 一种网络系统,其特征在于,该系统包括演进基站,移动性管理 实体,其中,所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算 法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用 的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第 一标识。
25、 根据权利要求24所述的系统,其特征在于所述演进基站,还用于将来自所述移动性管理实体的第二标识发送给所 述用户终端,并根据所述第二标识获得所述接入层算法;所述移动性管理实体,还用于根据所述安全算法信息和所述演进基站自 身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全算法的 第二标识。
26、 根据权利要求24所述的系统,当所述安全算法信息为非接入层安全 算法信息时,其特征在于所述演进基站,还用于接收接入层安全算法信息并转发到所述移动性管 理实体,将来自所述移动性管理实体的第二标识发送给所述用户终端,并根 据所述第二标识获得所述接入层算法;所述移动性管理实体,还用于根据所述接入层安全算法信息和所述演进 基站自身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全 算法的第二标识。
27、 根据权利要求24所述的系统,其特征在于所述演进基站,还用于根据所述安全算法信息和自身支持的算法信息, 选择接入层安全算法,将表示所述接入层安全算法的第二标识发送给所述用 户终端。
28、 根据权利要求24所述的系统,当所述安全算法信息为非接入层安全 算法信息时,其特征在于所述演进基站,还用于接收接入层安全算法信息,根据所述接入层安全 算法信息和自身支持的算法信息,选择接入层安全算法,将表示所述接入层 安全算法的第二标识发送给所述用户终端。
全文摘要
本发明公开了一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括接收用户终端所能支持的安全算法信息;根据所述安全算法信息,选择安全算法;向所述用户终端发送表示所述安全算法的标识。同时,本发明还公开了安全算法协商的装置和网络系统,使用本发明提供的技术方案,能够在SAE/LTE系统中协商出非接入层安全算法和接入层安全算法。
文档编号H04L9/32GK101242630SQ20071000349
公开日2008年8月13日 申请日期2007年2月5日 优先权日2007年2月5日
发明者杨艳梅, 璟 陈 申请人:华为技术有限公司
技术领域:
本发明涉及通信技术领域,特别涉及安全算法协商的方法、装置及网络 系统。
技术背景在通用移动通"f言系统(Universal Mobile Telecommunication System, UMTS )中,需要无线网络控制器(Radio Network Controller, RNC )和用户 终端(User Equipment, UE)执行加密/解密和完整性保护操作,即对UE的 数据提供机密性保护,UE和RNC之间的信令提供机密性和完整性保护。由 于不同UE所支持的加密/解密和完整性算法不同,因此,在加密/解密和完整 性保护之前,需要协商加密/解密算法和完整性算法。由于UMTS系统仅需在 接入(Access Stratum, AS)层提供保护,因此,UMTS系统在UE和RNC 之间协商了加密/解密和完整性算法。在系统演进架构(System Architecture Evolution, SAE )/长期演进(Long Term Evolution, LTE)系统中,如
图1所示,核心网包括移动性管理实体 (Mobility Management Entity, MME )、用户面实体(User Plane Entity, UPE ) 和接入系统间锚点(Inter Access System Anchor, IASA),其中,MME用于负 责控制面的移动性管理,包括用户上下文和移动状态管理,分配用户临时身 份标识、安全信息等;UPE负责空闲状态下为下行数据发起寻呼,管理保存 IP承载参数和网络内部信息等;IASA作为不同系统间的用户间锚点,接入网 由演进基站(Evolved Node Base, eNodeB)构成;在该系统中,信令面的接 入层信令的安全终结在eNodeB上,信令面的非接入层的安全,即核心网信令 面的安全终结在MME上,用户面的安全终结在UPE上。因此,信令面的安 全终结点有eNodeB, MME,而安全终结点在对凄t据或者信令执行相应的安 全保护之前,需要协商该安全终结点与用户终端(UserEquipment, UE)都支 持的安全算法,即eNodeB与UE之间需要协商接入层AS安全算法,MME 与UE之间需要协商非接入层(None Access Stratum, NAS )安全算法。现有的SAE/LTE系统中无法协商出安全算法,即接入层AS安全算法和非接入层NAS安全算法。 发明内容本发明实施例的目的是提供一种安全算法协商的方法、装置及网络系统,能够在SAE/LTE系统中协商出安全算法。为解决上述技术问题,本发明实施例的目的是通过以下技术方案实现的 一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括接收用户终端所能支持的安全算法信息; 根据所述安全算法信息,选择安全算法; 向所述用户终端发送表示所述安全算法的标识。一种安全算法协商的装置,用于系统演进架构/长期演进系统中,该装置 包括信息接收单元,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元,用于根据所述安全算法信息,选择安全算法; 发送单元,用于向所述用户终端发送表示所述安全算法的标识。 一种网络系统,该系统包括演进基站,移动性管理实体,其中, 所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第一标识。以上技术方案可以看出,本发明实施例通过根据用户终端所能支持的安 全算法信息,选择安全算法,并向用户终端发送表示所选择的安全算法的标 识,能够在SAE/LTE系统中协商安全算法。 附围说明图1为现有技术中SAE/LTE系统结构图; 图2为本发明实施例一所提供的安全算法协商的方法流程图; 图3为本发明实施例二所提供的安全算法协商的方法流程图; 图4为本发明实施例三所提供的安全算法协商的方法流程图;图5为本发明实施例四所提供的安全算法协商的方法流程图; 图6为本发明实施例五所提供的安全算法协商的方法流程图; 图7为本发明实施例六所提供的安全算法协商的方法流程图; 图8为本发明实施例七所提供的安全算法协商的方法流程图; 图9为本发明实施例八所提供的安全算法协商的方法流程图; 图IO为本发明实施例九所提供的安全算法协商的装置结构图;图11为本发明实施例十所提供的网络系统结构图。
具体实施方式
下面参照附图,对本发明的实施例进行详细说明。参阅图2,本发明的实施例一所提供的安全算法协商的方法包括实施一中层3消息以初始层3消息为例,初始层3消息在无线资源连接(Radio Resource Connection, RRC)请求消息中携带,将初始层3响应信息在RRC建立消息中携带,由MME选择NAS安全算法,eNodeB选择AS安全算法;步骤201 、 UE向eNodeB发送无线资源连接RRC请求消息,该请求消息 中包括AS安全能力和初始层3消息,初始层3消息携带NAS安全能力; 其中,AS安全能力是UE所能支持的AS安全算法信息,即AS安全算法列 表,NAS安全能力是UE所能支持的NAS安全算法信息,即NAS安全算法 列表;步骤202、 eNodeB保存AS安全能力;步骤203、 eNodeB向MME发送RANAP消息,该消息中携带初始层3 消息,初始层3消息中携带UE的NAS安全能力;步骤204、 MME根据UE的NAS安全能力和网络允许用户使用的算法信 息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用 的算法信息和用户的签约信息,选择出NAS安全算法;其中,网络允许用户 使用的算法信息至少包括允许用户使用的AS安全算法信息和NAS安全算法 信息,其中,网络允许用户使用的AS安全算法信息包括该eNodeB自身支 持的算法信息;步骤205、 MME创建NAS安全模式命令和第一 AS安全模式命令,向eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS 安全模式命令和第一 AS安全模式命令,其中,NAS安全模式命令携带表示 选择的NAS安全算法的第一标识,第一 AS安全模式命令携带网络允许用户 使用的算法信息;步骤206、 eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤207、 eNodeB创建第二 AS安全模式命令,该第二AS安全模式命令 中包括表示所选的AS安全算法的第二标识,向UE发送RRC建立消息,该 消息中携带AS安全模式命令,NAS安全模式命令和初始层3响应信息;步骤208、 UE向eNodeB发送RRC确认消息,该消息中携带层3确认消 息,NAS安全模式命令响应,第二 AS安全模式命令响应;步骤209、 eNodeB向MME发送RANAP消息,该消息中携带层3确认 消息和NAS安全模式命令响应。其中,UE所支持的算法可并不区分AS算法和NAS算法,即UE所支持 的算法既是AS算法又是NAS算法,那么NAS安全能力和AS安全能力是相 同的,通称为UE的安全能力。当UE所支持算法不区分AS算法和NAS算 法时,该步骤201中的RRC请求消息可以包括UE安全能力和初始层3消 息,初始层3消息中携带UE安全能力,UE安全能力中可以只携带一个IE; 步骤202可以为eNodeB保存UE的安全能力;或者,步骤201中的初始层3 消息不携带UE安全能力,步骤203的eNodeB向MME发送的RANAP消息 包括初始层3消息和UE的安全能力。参阅图3,本发明的实施例二所提供的安全算法协商的方法包括实施二中的初始层3消息在RRC请求消息中携带,由MME选择NAS 安全算法,eNodeB选择AS安全算法;其中,步骤301 -步骤303与实施例一中的步骤201 -步骤203相同;步骤304、 MME创建第一 AS安全模式命令,向eNodeB发送RANAP 消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网 络允许用户使用的算法信息;步骤305、 eNodeB根据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤306、 eNodeB创建第二 AS安全模式命令,向UE发送RRC建立消 息,该消息中携带第二AS安全模式命令,该第二AS安全模式命令中含有表 示所选择的AS安全算法的第二标识;步骤307、 UE向eNodeB发送RRC确认消息,该消息中携带第二 AS安 全模式命令响应;步骤308、 MME根据UE的NAS安全能力和网络允许用户使用的算法信 息,选择出NAS安全算法;或者,根据NAS安全能力、网络允许用户使用 的算法信息和用户的签约信息,选择出NAS安全算法;步骤309、 MME创建NAS安全模式命令,向eNodeB发送RANAP消息, 该RANAP消息中携带NAS安全模式命令,该NAS安全模式命令携带表示所 选择的NAS安全算法的第一标识;步骤310、 eNodeB向UE发送RRC消息,该消息中携带NAS安全模式 命令,该NAS安全模式命令携带表示所选择的NAS安全算法的第一标识;步骤311、 UE向eNodeB发送RRC消息,该消息中携带NAS安全模式 命令响应;步骤312、 eNodeB向MME发送RANAP消息,该消息中携带NAS安全 模式命令响应;步骤313、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息;步骤314、 eNodeB向UE发送RRC消息,该消息中携带初始层3响应消息。其中,步骤313和步骤314中的初始层3响应消息,可以和步骤309和 步骤310中的NAS安全模式命令一起发送;或者,和步骤304和步骤306中 的AS安全模式命令一起发送;或者,步骤309和步骤310中的NAS安全模 式命令可以和步骤304和步骤306中的AS安全模式命令一起发送,不影响本 发明的实现。参阅图4,本发明的实施例三所提供的安全算法协商的方法包括实施三的初始层3消息在RRC请求消息中携带,由MME选择NAS安全 算法,eNodeB选择AS安全算法;其中,步骤401 -步骤404与实施例一中的步骤201 -步骤204相同;步骤405、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息,初始层3响应消息中携带表示所选择的NAS安全算法的第一标识;步骤406、 eNodeB向UE发送RRC建立消息,该消息中包括携带第一 标识的初始层3响应消息;步骤407、 MME创建第一 AS安全模式命令,向eNodeB发送RANAP 消息,该消息中携带第一AS安全模式命令,第一AS安全模式命令中携带网 络允许用户使用的算法信息;步骤408、 eNodeB才艮据AS安全能力和该eNodeB预存的自身支持的算法 信息,选择AS安全算法,或者,根据AS安全能力,和网络允许用户使用的 算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤409 、 eNodeB创建第二 AS安全模式命令,向UE发送RRC消息, 该消息中携带第二 AS安全模式命令,该第二 AS安全模式命令中携带表示所 选择的AS安全算法的第一标识;步骤410、 UE向eNodeB发送RRC消息,该消息中携带第二 AS安全模 式命令响应。参阅图5,本发明的实施例四所提供的安全算法协商的方法包括实施四的初始层3消息在RRC请求消息中携带,将初始层3响应信息在 RRC建立消息中携带,由MME选择NAS安全算法和AS安全算法;步骤501 、 UE向eNodeB发送RRC请求消息,该请求消息中包括初始 层3消息,初始层3消息携带NAS安全能力和AS安全能力;即在初始层3 消息中需要定义两个正,分别传送AS安全能力和NAS安全能力;UE所支持的算法可不区分AS算法和NAS算法,那么NAS安全能力和 AS安全能力是相同的,通称为UE的安全能力。当UE所支持算法不区分AS 算法和NAS算法时,初始层3消息中携带UE安全能力,UE安全能力中可 以只携带一个IE;步骤502、 eNodeB向MME发送RANAP消息,该消息中携带初始层3 消息,还可能携带自身支持的算法信息,该初始层3消息携带NAS安全能力 和AS安全能力,或UE安全能力;步骤503 、 MME根据UE的NAS安全能力和网络允许用户使用的算法, 选择出NAS安全算法,或者,根据NAS安全能力、网络允许用户使用的算 法和用户的签约信息选择NAS安全算法;根据AS安全能力和接收的RANAP 消息中的eNodeB自身支持的算法信息,选择AS安全算法,或者,根据AS 安全能力,和网络允许用户使用的算法信息中的eNodeB自身支持的算法信 息,选择AS安全算法;步骤504、 MME创建NAS安全模式命令和第三AS安全模式命令,向 eNodeB发送RANAP消息,该RANAP消息中携带初始层3响应消息,NAS 安全模式命令和第三AS安全模式命令,其中,NAS安全模式命令携带表示 选择的NAS安全算法的第一标识,第三AS安全模式命令携带表示选择的AS 安全算法的第二标识;步骤505、 eNodeB根据第三AS安全模式命令携带的第二标识获知所选 的AS安全算法;步骤506、 eNodeB创建第四AS安全模式命令,向UE发送RRC建立消 息,该消息包括第四AS安全模式命令、NAS安全模式命令和初始层3响 应消息;其中,第四AS安全模式命令携带第二标识;步骤507、 UE向eNodeB发送RRC确认消息,该消息中携带层3确认消 息,NAS安全模式命令响应,第四AS安全模式命令响应;步骤508、 eNodeB向MME发送RANAP消息,该消息中携带层3确认 消息和NAS安全才莫式命令响应。其中,步骤502中eNodeB向MME发送RANAP消息中可以不携带自身 支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;同理,对于实施例二和实施例三,也可以采用由MME选择NAS安全算 法和AS安全算法实现安全算法协商,不影响本发明的实现。参阅图6,本发明的实施例五所提供的安全算法协商的方法包括实施五先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;步骤601 、 UE向eNodeB发送RRC请求消息,该RRC请求消息中携带 UE的安全能力;步骤602 、 eNodeB保存UE的安全能力;步骤603 、 eNodeB向UE发送RRC建立消息;步骤604、 UE向eNodeB发送RRC完成消息;步骤605、 UE向eNodeB发初始层3消息;步骤606、 eNodeB向MME发送RANAP消息,eNodeB需要向RANAP 消息中添加UE安全能力,因此该消息包括初始层3消息,UE的安全能力;步骤607、 MME根据UE的安全能力和网络允许用户使用的算法信息, 选择出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算 法信息和用户的签约信息选择出NAS安全算法;步骤608 、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息,该初始层3响应消息中携带表示所选择的NAS安全算法的第一标 识;步骤609、 eNodeB向UE发送初始层3响应消息,该初始层3响应消息中携带第一标识;步骤610 -步骤613与实施例三中的步骤407 -步骤410相同; 参阅图7,本发明的实施例六所提供的安全算法协商的方法包括 实施六先进行无线接入网的连接,即RRC连接,再进行核心网的连接,由MME选择NAS安全算法,eNodeB选择AS安全算法;与实施例5不同之处在于,本实施将初始层3响应消息与AS安全模式命令合并成一条消息发送,而实施例5中是分开发送的;步骤701 -步骤707与步骤601 -步骤607相同;步骤708、 MME创建安全模式命令,向eNodeB发送RANAP消息,该 消息中携带初始层3响应消息,第一安全模式命令消息,其中,第一安全 模式命令消息中携带表示所选择的NAS安全算法的第 一标识和网络允许用户 使用的算法信息;步骤709、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用 的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤710、 eNodeB向UE发送RRC消息,该消息中携带初始层3响应 消息和第二安全模式命令,其中,第二安全模式命令携带第一标识和表示所 选择的AS安全算法的第二标识;步骤711、 UE向eNodeB发送RRC消息,该消息中携带第二安全模式命 令响应;步骤712 、 eNodeB向MME发送RANAP消息,该消息中携带第 一安全模式命令响应。参阅图8,本发明的实施例七所提供的安全算法协商的方法包括 实施七先进行无线接入网的连接,即RRC连接,再进行核心网的连接, 由MME选择NAS安全算法,eNodeB选择AS安全算法; 步骤801 -步骤806与步骤601 -步骤606相同;步骤807、 MME4艮据网络允许用户采用的算法和UE的安全能力,同时 也可以考虑用户的签约信息,选择出NAS安全算法;步骤808、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应信息、网络允许用户采用的算法信息,其中初始层3响应信息中携带表 示所选择的NAS安全算法的第一标识;步骤809、eNodeB根据UE的安全能力和预存的eNodeB自身支持的算法 信息,选择出AS安全算法,或者,根据UE的安全能力和网络允许用户使用 的算法信息中的eNodeB自身支持的算法信息,选择AS安全算法;步骤810、 eNodeB向UE发送RRC消息,该RRC消息中携带表示所 选择的AS安全算法的第二标识和初始层3响应消息,该初始层3响应消息中 携带第一标识。参阅图9,本发明的实施例八所提供的安全算法协商的方法包括 实施八先进行无线接入网的连接,即RRC连接,再进行核心网的连接, 由MME选择NAS安全算法和AS安全算法;步骤901 、 UE向eNodeB发送RRC请求消息; 步骤902 、 eNodeB向UE发送RRC建立消息;步骤903、 UE向eNodeB发送RRC完成消息;步骤904、 UE向eNodeB发送初始层3消息;该消息中包括UE的安全 能力;步骤905、 eNodeB向MME发送RANAP消息,该消息包括初始层3 消息和eNodeB自身支持的算法信息,其中初始层3消息中携带UE的安全能 力;步骤906、 MME根据UE的安全能力和网络允许用户使用的算法,选择 出NAS安全算法,或者,根据UE的安全能力、网络允许用户使用的算法和 用户的签约信息选择NAS安全算法;根据UE的安全能力和RANAP消息中 的eNodeB自身支持的算法信息,选择出AS安全算法,或者,根据UE的安 全能力和网络允许用户使用的算法信息中的eNodeB自身支持的算法信息,选 择AS安全算法;步骤907、 MME向eNodeB发送RANAP消息,该消息中携带初始层3 响应消息和表示所选择的AS安全算法的第二标识;初始层3响应消息中携带 表示所选择的NAS安全算法的第一标识;步骤908、 eNodeB根据第二标识获知AS安全算法;步骤909、 eNodeB向UE发送RRC消息,该RRC消息中包括初始层3 响应消息和第二标识;初始层3响应信息中携带第一标识。其中,步骤卯5中eNodeB向MME发送RANAP消息中可以不携带自身 支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上;同理,对于实施例六和实施例七,也可以釆用由MME选择NAS安全算 法和AS安全算法实现安全算法协商,不影响本发明的实现。其中,UE的安全能力可以不在RRC请求消息中携带,可以在UE向 eNodeB发送RRC完成消息中携带;或者,当UE的安全能力区分为AS安全 能力和NAS安全能力时,UE的AS安全能力可在RRC请求消息或RRC完成 消息中携带,UE的NAS安全能力可在UE向eNodeB发送的初始层3消息中 携带,不影响本发明的实现。参阅图10,本发明的实施例九提供一种安全算法协商的装置,用于系统 演进架构/长期演进系统中,该装置包括信息接收单元1001,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元1002,用于才艮据信息接收单元1001中安全算法信息,选择安全算法;发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择 的安全算法的标识。其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于移动性管理实体,用于协商非接入层安全算法,此时,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为非接入层安全算法信息,该安全算法信息可以通过初始层3 消息携带;安全算法选择单元1002,用于根据安全算法信息和网路允许用户使用的 算法信息,也可以考虑用户签约的信息,选择非接入层安全算法;发送单元1003,用于向用户终端发送表示安全算法选择单元1002所选择 的非接入层安全算法的第一标识,该第一标识可以在初始层3响应消息中携 带,也可以在NAS模式命令中携带;其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于移动性管理实体,用于协商接入层安全算法,该装置还包括演进基站算 法信息接收单元1004,演进基站算法信息配置单元1005,其中,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为接入层安全算法信息,该安全算法信息可以在初始层3消 息中携带;安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法 信息,选择接入层安全算法;发送单元1003,用于发送表示安全算法选择单元1002所选择的接入层安 全算法的第二标识,该第二标识可以在第三NAS安全模式命令中携带;演进基站算法信息接收单元1004,用于接收演进基站支持的算法信息并 输出到安全算法选择单元1002;演进基站算法信息配置单元1005,用于配置演进基站支持的算法信息并 输出到安全算法选择单元1002。其中,信息接收单元1001、安全算法选择单元1002和发送单元1003位 于演进基站,用于协商接入层安全算法,信息接收单元1001,用于接收用户终端所能支持的安全算法信息,该安 全算法信息可以为接入层安全算法信息,该安全算法信息可以在RRC请求消 息中携带;安全算法选择单元1002,用于根据安全算法信息和演进基站支持的算法信息,选择^J姿入层安全算法;发送单元1003,用于向用户终端发送表示接入层安全算法的第二标识。 参阅图11,本发明的实施例十提供一种网络系统,该系统包括 演进基站1101,用于向移动性管理实体1102发送用户终端支持的安全算法信息;将来自移动性管理实体1102的第一标识发送给用户终端;移动性管理实体1102,用于根据安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法,输出表示非接入层安全算法的第一标识。 当该网络系统还要协商接入层安全算法时,演进基站1101,还用于将来自移动性管理实体1102的第二标识发送给用户终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全算法,输出表示所选择的接入层安全算法的第二标识。当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入 层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息并转发 到移动性管理实体1102,将来自移动性管理实体1102的第二标识发送给用户 终端,并根据第二标识获得接入层算法;移动性管理实体1102,还用于根据 接入层安全算法信息和演进基站1101自身支持的算法信息,选择接入层安全 算法,输出表示接入层安全算法的第二标识。当该网络系统还要协商接入层安全算法时,演进基站1101,还用于根据 安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示接入层 安全算法的第二标识发送给用户终端。当该网络系统还要协商接入层安全算法时,且当安全算法信息为非接入 层安全算法信息时,演进基站1101,还用于接收接入层安全算法信息,根据接入层安全算法信息和自身支持的算法信息,选择接入层安全算法,将表示 接入层安全算法的第二标识发送给用户终端。以上分析可以看出,本发明的实施例中MME根据UE所能支持的NAS 安全能力和网络允许用户使用的算法信息,选择NAS安全算法,并向用户终 端发送表示所选择的NAS安全算法的第一标识,能够在SAE/LTE系统中协 商出NAS安全算法;本发明的实施例中MME或者eNodeB根据UE所能支 持的AS安全能力和eNodeB自身支持的算法信息,选择AS安全算法,且UE 和eNodeB获得表示所选择的AS安全算法的第二标识,达到在SAE/LTE系 统中协商AS安全算法的目的;本发明的实施例采用在RRC请求消息中携带 初始层3消息,初始层3消息中可以携带NAS安全能力,在RRC建立消息 中携带初始层3响应消息和第一标识,简化了流程,节约了协商安全算法所 用的时间。以上对本发明实施例所提供的安全算法协商的方法、装置及网络系统 进行了详细介绍,本文中应用了具体个例对本发明实施例的原理及实施方式 进行了阐述,以上实施例的说明只是用于帮助理解本发明实施例的方法;同 时,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方 式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本 发明实施例的限制。
权利要求
1. 一种安全算法协商的方法,用于系统演进架构/长期演进系统中,其特征在于,该方法包括接收用户终端所能支持的安全算法信息;根据所述安全算法信息,选择安全算法;向所述用户终端发送表示所述安全算法的标识。
2、 根据权利要求1所述的方法,其特征在于 所述根据所述安全算法信息,选择安全算法具体为 移动性管理实体根据所述安全算法信息和网络允许用户使用的算法信息,选择非接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述非接入层安全算法的第一标识。
3、 根据权利要2所述的方法,其特征在于所述向所述用户终端发送表示所述非接入层安全算法的第 一标识具体为向所述演进基站发送所述第 一标识,所述演进基站向所述用户终端发送 所述第一标识。
4、 根据权利要3所述的方法,其特征在于 所述演进基站向所述用户终端发送所述第 一标识具体为 所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带非接入层安全模式命令,所述非接入层安全模式命令 中携带所述第一标识。
5、 根据权利要3所述的方法,其特征在于 所述演进基站向所述用户终端发送所述第 一标识具体为 所述演进基站向所述用户终端发送无线资源连接建立消息,所述无线资源连接建立消息中携带初始层3响应信息,所述初始层3响应信息中携带所 述第一标识。
6、 根据权利要2、 3所述的方法,其特征在于 所述安全算法信息为非接入层安全算法信息。
7、 根据权利要求1所述的方法,其特征在于所述根据所述安全算法信息,选择安全算法具体为 移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述接入层安全算法的第二标识。
8、 根据权利要求7所述的方法,其特征在于在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法之前,该方法还包括所述移动性管理实体接收来自所述演进基站的所述演进基站自身支持的 算法信息。
9、 根据权利要求7所述的方法,其特征在于在移动性管理实体根据所述安全算法信息和演进基站自身支持的算法信 息,选择接入层安全算法之前,该方法还包括所述移动性管理实体配置所述演进基站自身支持的算法信息。
10、 根据权利要7所述的方法,其特征在于所述向所述用户终端发送表示所述接入层安全算法的第二标识具体为 向所述演进基站发送所述第二标识,所述演进基站根据所述第二标识获 知所述接入层安全算法,并向所述用户终端发送所述第二标识。
11、 根据权利要IO所述的方法,其特征在于所述向所述演进基站发送所述第二标识具体为向所述演进基站发送携带所述第二标识的第三接入层安全模式命令;所述演进基站向所述用户终端发送所述第二标识具体为 所述演进基站向所述用户终端发送携带所述第二标识的第四接入层安全模式命令。
12、 根据权利要3或9或IO所述的方法,其特征在于 所述接收用户终端所能支持的安全算法信息具体为 接收来自所述用户终端的初始层3消息,所述初始层3消息携带所述用户终端所能支持的安全算法信息。
13、 根据权利要12所述的方法,其特征在于所述接收来自所述用户终端的初始层3消息具体为 所述演进基站接收来自所述用户终端的无线资源连接请求消息,所述无 线资源连接请求消息中携带所述初始层3消息;所述移动性管理实体接收来自所述演进基站的所述初始层3消息。
14、 根据权利要求1所述的方法,其特征在于 所述根据所述安全算法信息,选择安全算法具体为 演进基站根据所述安全算法信息和所述演进基站自身支持的算法信息,选择接入层安全算法;所述向所述用户终端发送表示所述安全算法的标识具体为 向所述用户终端发送表示所述接入层安全算法的第二标识。
15、 根据权利要14所述的方法,其特征在于所述向所述用户终端发送表示所述接入层安全算法的第二标识具体为 向所述用户终端发送携带所述第二标识的第二接入层安全模式命令。
16、 根据权利要7或者14所述的方法,其特征在于所述安全算法信息 为接入层安全算法信息。
17、 根据权利要求16所述的方法,其特征在于 所述接收用户终端所能支持的安全算法信息具体为 接收来自用户终端的安全能力,所述安全能力携带所述接入层安全算法信息和非接入层安全算法信息,并用标识区分所述接入层安全算法信息和所述非接入层安全算法信息。
18、 一种安全算法协商的装置,用于系统演进架构/长期演进系统中,其 特征在于,该装置包括信息接收单元,用于接收用户终端所能支持的安全算法信息; 安全算法选择单元,用于根据所述安全算法信息,选择安全算法; 发送单元,用于向所述用户终端发送表示所述安全算法的标识。
19、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于移动性管理实体,所迷信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和网路允许用户使用的算法信息,选择非接入层安全算法;所述发送单元,用于向所述用户终端发送表示所述非接入层安全算法的 第一标识。
20、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于移动性管理实体,所述信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和演进基站支持的 算法信息,选择接入层安全算法;所述发送单元,用于发送表示所述接入层安全算法的第二标识。
21、 根据权利要求20所述的装置,其特征在于,所述装置还包括 演进基站算法信息接收单元,用于接收所述演进基站支持的算法信息并输出到所述安全算法选择单元。
22、 根据权利要求20所述的装置,其特征在于,所述装置还包括 演进基站算法信息配置单元,用于配置所述演进基站支持的算法信息并输出到所述安全算法选择单元。
23、 根据权利要求18所述的装置,其特征在于所述信息接收单元、所 述安全算法选择单元和所述发送单元位于演进基站,所述信息接收单元,用于接收用户终端所能支持的安全算法信息; 所述安全算法选择单元,用于根据所述安全算法信息和所述演进基站支持的算法信息,选择接入层安全算法;所述发送单元,用于向所述用户终端发送表示所述接入层安全算法的第二标识。
24、 一种网络系统,其特征在于,该系统包括演进基站,移动性管理 实体,其中,所述演进基站,用于向所述移动性管理实体发送用户终端支持的安全算 法信息;将来自所述移动性管理实体的第一标识发送给所述用户终端;所述移动性管理实体,用于根据所述安全算法信息和网络允许用户使用 的算法信息,选择非接入层安全算法,输出表示所述非接入层安全算法的第 一标识。
25、 根据权利要求24所述的系统,其特征在于所述演进基站,还用于将来自所述移动性管理实体的第二标识发送给所 述用户终端,并根据所述第二标识获得所述接入层算法;所述移动性管理实体,还用于根据所述安全算法信息和所述演进基站自 身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全算法的 第二标识。
26、 根据权利要求24所述的系统,当所述安全算法信息为非接入层安全 算法信息时,其特征在于所述演进基站,还用于接收接入层安全算法信息并转发到所述移动性管 理实体,将来自所述移动性管理实体的第二标识发送给所述用户终端,并根 据所述第二标识获得所述接入层算法;所述移动性管理实体,还用于根据所述接入层安全算法信息和所述演进 基站自身支持的算法信息,选择接入层安全算法,输出表示所述接入层安全 算法的第二标识。
27、 根据权利要求24所述的系统,其特征在于所述演进基站,还用于根据所述安全算法信息和自身支持的算法信息, 选择接入层安全算法,将表示所述接入层安全算法的第二标识发送给所述用 户终端。
28、 根据权利要求24所述的系统,当所述安全算法信息为非接入层安全 算法信息时,其特征在于所述演进基站,还用于接收接入层安全算法信息,根据所述接入层安全 算法信息和自身支持的算法信息,选择接入层安全算法,将表示所述接入层 安全算法的第二标识发送给所述用户终端。
全文摘要
本发明公开了一种安全算法协商的方法,用于系统演进架构/长期演进系统中,该方法包括接收用户终端所能支持的安全算法信息;根据所述安全算法信息,选择安全算法;向所述用户终端发送表示所述安全算法的标识。同时,本发明还公开了安全算法协商的装置和网络系统,使用本发明提供的技术方案,能够在SAE/LTE系统中协商出非接入层安全算法和接入层安全算法。
文档编号H04L9/32GK101242630SQ20071000349
公开日2008年8月13日 申请日期2007年2月5日 优先权日2007年2月5日
发明者杨艳梅, 璟 陈 申请人:华为技术有限公司
最新回复(0)