选择用户面算法的方法、系统和设备的制作方法
专利名称:选择用户面算法的方法、系统和设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种选择用户面算法的方法、系统 和设备。
背景技术:
在UMTS (Universal Mobile Telecommunications System,通用移动通信系 统)系统中,安全的终结点位于RNC (Radio Network Controller,无线网络控 制器)上。UE (UserEquipment,用户设备)和RNC执行加密/解密和完整性 保护的安全操作,对用户数据提供机密性保护,对UE和RNC间交互的信令 提供机密性保护和完整性保护。由于不同用户设备所支持的加密和完整性算 法不同,因此在接入层进行加密和完整性保护之前,需要在UE和RNC间协 商一套安全算法。UMTS中用户面协商安全算法的过程包括以下步骤1 、 UE在RRC (Radio Resource Control,无线资源控制)连接过程中, 将自身支持的算法列表即UE安全能力,上报给RNC, RNC进行保存。2、 在UE向核心网发送消息后、执行加密和完整性保护前,由核心网发 起安全模式命令,启动空中接口的加密完整性保护,同时网络侧决定允许UE 采用的算法,并将允许的算法列表通过安全模式命令发给RNC;3、 RNC根据UE的安全能力,以及网络允许UE使用的算法列表决定该 UE通信的加密和完整性的安全算法,并放在加密模式命令发送给UE。该选择安全算法过程中,由于核心网络下发的允许UE采用的算法列表是 运营商在核心网设备VLR (Visited Location Register,访问位置寄存器)或者 SGSN ( Serving General Packet Radio Service Support Node,月良务通用分组无线 业务支持节点)上配置的,对所有UE的所有通信均相同。因此UE在某一个 网络里协商出的算法总相同,即对某个UE的所有信令和数据都采用相同算法 保护,或对所有UE的所有数据都不进行保护。目前,随着3GPP ( 3rd Generation Partnership Project,第三^移动通信标 准化伙伴项目)系统的不断发展,无线演进网络的研究工作正在3GPP组织内 部进行。如图1所示,无线演进网络的核心网主要包含MME (Mobility Management Entity,移动管理实体)、UPE (User Plane Entity,用户面实体)、 SAE-GW ( System Architecture Evolution Gateway,系统构架演进网关)三个 逻辑功能体。其中,MME负责控制面的移动性管理,包括用户上下文和移动 状态管理、分配用户临时身份标识、安全功能等;UPE负责空闲状态时为下 行数据发起寻呼、管理保存IP承载参数和网络内路由信息等;SAE-GW则充 当不同接入系统间的用户面锚点。在无线演进网络中,用户面的安全被终结在核心网,信令面的安全分为 接入层AS (Access Stratum)信令和非接入层NAS (Non Access Stratum)信 令两个部分,分别终结在接入网和核心网。接入层信令的安全终结在无线演 进网络接入网的eNodeB ( evolved Node B ,演进基站)上,而用户面的安全 终结在UPE上,也可能终结在eNodeB上。非接入层的信令的安全可能终结 在MME上。UPE可能单独存在,可能和MME合为一个实体,也有可能与 SAE-GW合为一个实体。另外UPE的PDCP( Packet Data Convergence Protocol, 分组数据会聚协议)压缩以及加密功能也有可能放在接入网实体如eNodeB 上。这与UMTS系统中的架构不同,因此UMTS系统中的算法协商过程不能 应用在无线演进网络中。另外,在LTE ( Long Term Evolution,长期演进)/SAE网络中用户侧和 网络侧支持的安全算法可能会有多种,不同的安全算法的开销与成本都有所 不同。 一般而言,越安全的算法其复杂度与开销就会越大。而对于不同种类 的业务,某些对安全性要求比较高的业务需采用高安全级别的算法,其他安 全性要求不高的业务只需采用较低安全级别算法,甚至不需要进行保护。因 此没必要为某几种业务统一对所有业务均采用高安全级别的算法。但现有的应用于LTE/SAE网络的安全算法协商方法中,还没有涉及到根 据业务安全级别来进行选择。因此,需要提供一种算法协商方法,使得在选 择网络侧用户面加密实体(如UPE)和UE间安全算法时考虑到不同业务的不同需求。 发明内容本发明的实施例提供一种选择用户面算法的方法、系统和设备,使得在SAE/LTE网络中对安全需求不同的各业务提供了其所需的不同级别的安全保 护,也可以针对不同用户需求来选择是否加密以及加密算法的安全等级。为达到上述目的,本发明的一实施例提供一种选择用户面算法的方法, 包括如下步骤网络側实体接收用户终端发送的请求;所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法。 本发明的另 一实施例提供一种选择用户面算法的系统,包括用户终端和 网络侧实体,所述网络侧实体包括信息获取单元和算法选择单元, 所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。本发明的再一实施例还提供一种选择用户面算法的网络侧实体,包括信 息获取单元和算法选择单元;所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。本发明的实施例提出了 一种适合SAE/LTE网络中用户面算法协商和用户 面保护的方法,可以才艮据业务或者用户的需求选择不同安全级别的算法,即 算法协商可以针对不同的业务、不同的用户来选择,使得网络可以对安全需 求不同的各业务提供了其所需的不同级别的保护。图l是现有技术中无线演进网络的结构示意图;图2是本发明的第 一 实施例中创建PDP上下文时选择用户面算法的流程
图;图3是本发明的第二实施例中创建PDP上下文时选择用户面算法的流程图;图4是本发明的第三实施例中attach过程中为建立的缺省承载选择算法的 流程图;图5是本发明的第四实施例中attach过程中为建立的缺省承栽选择算法的 流程图;图6是本发明的第五实施例中attach过程中为建立的缺省承栽选择算法的 流程图;图7是本发明的第六实施例中attach过程中为建立的缺省承载选择算法的 流程图;图8是本发明的第七实施例中业务建立过程中选择算法的流程图; 图9是本发明的第八实施例中业务建立过程中选择算法的流程图; 图10是本发明的第九实施例中业务建立过程中选择算法的流程图; 图11是本发明的第十实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;图12是本发明的第十一实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;图13是本发明的第十二实施例中基于用户需求选择算法的流程图; 图14是本发明的第十三实施例中选择用户面算法的系统结构示意图; 图15是本发明的第十四实施例中选择用户面算法的系统结构示意图; 图16是本发明的第十五实施例中选择用户面算法的系统结构示意图。
具体实施方式
以下结合附图和实施例,对本发明《故进一步的描述。本发明的第一实施例和第二实施例描述的是网络侧设备和用户终端在 PDP (Packet Data Protocol,分组数据协议)上下文创建过程中选择安全算法 的方法和流程。 一旦PDP上下文创建以后,凡是采用该PDP上下文相关承载进行的业务都采用该流程中协商的算法保护。第一实施例的具体描述如下用户在创建PDP上下文时,完成用户面安全算法的逸棒,此实施例假设 PDP上下文的创建是由网络触发的。此过程之前,假设MME/UPE已经获得 了 UE的安全能力,获得的方式可以在如attach过程中,UE通过attach请求 消息上报UE的安全能力;或者UE先将安全能力上报给eNodeB, eNodeB再 通过Sl接口通知MME/UPE,这样在MME/UPE就会保存UE的安全能力。 实现安全算法选择的具体过程如图2所示,包括步骤s201 、 UE需^^入某些业务时,在default IP( default Internet Protocol, 缺省因特网协议地址)接入承载建立与网络侧应用功能实体AF (Application Function)的信令连接。步骤s202、 PCRF (Policy Control and. Charging Rules Function,策略计费 规则功能实体)根据UE所请求的业务向MME/UPE发送资源请求,该请求包 括QoS (Quality of Service,服务质量)需求,并且可能还需要包括业务对安 全性的要求。对安全性需求的描述可以笼统的为高、中、低或无等级,也可 以是指定某些等级的算法。步骤s203、 MME/UPE检查UE的签约信息,并根据QoS要求、用户签 约信息、以及可用资源按照策略判断是否允许所要求的QoS。 MME/UPE根据 业务的安全性需求(与安全等级对应)、l正的安全能力、以及网络允许UE 采用的算法之中的一种或者多种因素来选择用户面所采用的安全算法。 MME/UPE也可能会结合用户签约信息来决定采用算法的安全等级。所述用户 签约信息中对安全等级的描述即可以是用户在签约某项业务时,与网络协商 好的针对某种业务采用某种安全等级,也可以是与具体的业务无关,即该用 户签约的所有业务采用某一种安全等级。以上流程中如步骤s202和s203中的业务安全需求也可以作为QoS需求 的一个参数。安全需求可能只划分两种等级即加密和不加密两种。也可能 划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安 全级别等等。如果步骤s202中PCRF没有向MME/UPE提供业务安全性需求的描述, 则MME获得业务安全性需求的方法还可以为从本地配置的信息中获得;或 者从HSS (Home Subscriber Server,归属客户服务器)获得,如用户的簽约 信息中有对其业务安全需求的描述。步骤s204、 MME/UPE向eNodeB发起无线资源分配请求消息,并且携带 所选的用户面安全算法。步骤s205、 eNodeB中执行控制功能的实体将QoS信息翻译成无线QoS, 并且调度相应的资源满足QoS要求。步骤s206、 eNodeB与UE完成RRC过程。包括向UE提供业务所需的无 线资源配置,以及IP或会话流提供的相关无线链路资源信息,并且通知UE 网络所选择的用户面安全算法。另外,l正在对网络的响应消息中也可能包括 UE安全能力、和/或网络所选安全算法。步骤s207、 eNodeB向MME/UPE发送分配响应消息,通知成功完成资源 建立,该消息可能还包4舌UE响应的UE安全能力、和/或网络所选安全算法 以侵一作为确认。步骤s208、 MME/UPE向PCRF报告资源建立的结果以及协商出的QoS。 至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是 UPE,也可能是MME,算法选择也可能是由二者之一完成。如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算 法通知l正,或者将该算法发送给UPE并由UPE转发给UE。 MME可能还需 要将算法通知UPE或者SAE-GW。如果算法是UPE选择,那么由UPE选择之后将算法通知UE,或者将算 法发给MME并由MME转发给UE。网络选择用户面算法时,也可以只考虑用户需求,不考虑业务安全需求, 那么以上过程中MME/UPE就不需要获得业务安全需求。另外,协商过程中 协商出来的用户面算法或算法对应的安全等级可以作为协商出来的QoS的参数之一。本发明的第二实施例同样是说明在创建PDP上下文时,用户终端与网络 側设备完成协商用户面安全算法的方法,这里假设PDP上下丈的创建由网络 触发的。与第一实施例的区别在于,本实施例中选择用户面采用算法的步骤 是在MME/UPE执行QoS控制之后。具体过程如图3所示,包括步骤s301、 UE需要接入某些业务时,在default IP接入承载建立与网络 应用功能实体AF的信令连接。步骤s302、 PCRF根据UE所请求的业务向MME/UPE发送资源请求,该 请求包括QoS需求,并且可能还包括业务的安全性需求。安全需求可能只划 分两种等级即加密和不加密两种。也可能划分多种等级,例如不加密、低 安全级别的加密、中安全级别的加密、高安全级别等等。步骤s303、 MME/UPE检查UE的预订信息,并根据QoS要求、用户预 定信息、以及可用资源按照策略判断是否允许所要求的QoS。步骤s304、 MMW/UPE向eNodeB发起资源建立请求,并且携带Qos信自步骤s305、 eNodeB执行控制功能的实体将QoS信息翻译成无线QoS, 并且调度相应的资源满足QoS要求。步骤s306、 eNodeB与UE完成RRC过程。包括向UE提供业务所需的无 线资源配置,以及IP或者会话流提供的相关无线链路资源信息,并且此期间 l正上报自身的安全能力。步骤s307、 eNodeB向MME/UPE发送分配响应消息,通知成功完成资源 建立,其中可能包括UE安全能力,以及UE所选的安全等级。步骤s308、 MME/UPE向PCRF才艮告资源建立的结果以及协商出的QoS。步骤s309、 MME/UPE在需要启动用户面加密时,根据业务的安全性需 求、UE的安全能力、网络策略即网络允许UE采用的算法、以及用户UE侧 安全需求中的一种或多种因素来选择用户面所采用的安全算法,选择时还可 能结合用户签约信息决定所采用的算法的安全等级。此步骤还可以放在s309 之前的任何步骤#^亍,还可如同实施例1所描述的在步骤303进行。如果步骤s302中PCRF没有向MME/UPE提供业务的安全性需求描述, MME获得业务安全性需求的方法可以为从本地配置信息中获得,或者从 HSS获得,如用户的签约信息里就可能有对其业务的描迷。步骤s310、 MME/UPE通过某个下行消息将所选算法通知给UE。比如通 过用户面安全模式启动命令,或者是业务接受消息等。如果网络决定不加密, 就可不通知UE所选算法,只要不启动用户面加密便可。至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是 UPE,也可能是MME,算法选择也可能是由二者之一完成。如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算 法通知UE,或者将该算法发送给UPE并由UPE转发给UE。 MME可能还需 要将算法通知UPE或者SAE-GW。如果算法是UPE选择,那么由UPE选择之后将算法通知l正,或者将算 法发给MME并由MME转发给UE。值得指出的是,UE发起PDP上下文创建请求时,PDP上下文创建过程 中协商算法的方法类似于UE发起的attach流程。区别在于把attach过程中的 attach请求消息替换为PDP上下文创建请求把attach接受消息替换为PDP 上下文创建响应;把attach创建确认消息替换为PDP上下文创建确认消息。 另外由于建立PDP时,网络侧可能已经获得UE能力信息,因此UE可能不 需要在此过程上报自身能力信息。同样存在一种情况,即网络选择用户面算法时,只针对用户需求选择, 不针对业务安全需求,那么以上过程中MME/UPE就不需要获得业务安全需求。上述第一实施例和第二实施例中,执行PDP建立控制的实体为 MME/UPE,另外执行PDP建立控制还可能是SAE-GW,选择用户面算法的 可能也是SAE-GW。这种情况下,以上实施例中选择算法的功能需要放在 SAE-GW上。需要改变的是,SAE-GW可能需要从MME或者HSS获得用户的签约信息。另外,如杲用户面加密实体不在选择算法的MME/UPE或者 SAE-GW上,在启动用户面加密时,还需要将所选算法发送给用户面加密实体。第三至第六实施例是描迷为一在attach过程中建立的缺省承栽选择一安 全算法的不同过程,算法选择后,凡是在此缺省承载上进行的业务都采用这 个算法来保护。具体的,第三实施例为在网络中UPE和MME不分离时,在attach过程 中建立缺省IP承栽并选择一缺省的安全算法的过程。具体过程如图4所示, 包括步骤s401 、 l正向MME/UPE发送attach请求,UE可能需要在attach请 求中携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集, 也可能是UE仅对某种业务所支持的算法能力集。UE也可以不在attach请求 里携带安全能力,此时网络侧获得UE安全能力的方式可以为UE通过AS 信令把UE安全能力发给eNodeB, eNodeB再将UE安全能力通过SI接口发 给核心网。UE还可以在请求消息中携带用户所选的安全需求等级信息,安全需求可 能只划分两种等级即加密和不加密两种。也可能划分多种等级,例如不加 密、^f氐安全级别的加密、中安全级别的加密、高安全级别等等。步骤s402至步骤s406、如需对UE进行认证,则MME执行与UE的认 证过程,并在认证成功后完成向HSS的路由区注册/更新,以及UE签约数据 的获取。步骤s407至步骤s409、 MME完成与SAE-GW的PCRF交互,完成UE 路由区在SAE-GW的更新。步骤s410、 MME/UPE选择缺省IP承载下用户面算法和控制面的算法, 该选择需要结合UE的安全能力,网络策略(网络允许用户采用的算法)、用 户安全需求中的 一种或者多种信息。值得指出的是,用户安全需求包括以下几个方面的可能用户在签约业 务时,与网络协商好的安全等级需求,并存储于用户签约信息里;或者用户在通信时,选择本次通信的安全等级,并在请求消息里发给网络,这种情况下,还可能需要进一步结合UE签约信息判断是否允许UE选用的该安全等级 算法。步骤s411至步骤s412、 eNodeB与UE建立RRC连接过程。需要指出的 是RRC连接可能是在attach中建立,也可能是在有数据传输时建立。步骤s413、 MME/UPE在NAS安全模式命令中将用户面和控制面的安全 算法发给UE。这种情况下,需要定义2或3个不同的IE( Information Element, 信元),分别表示NAS控制面加密/完整性算法和用户面安全算法。其中用户 面安全算法也可能是通过attach accept (附着接受)消息下发。这两条消息可 以合并在一条消息中,即NAS安全模式命令被放到attach accept消息里携带 给UE。步骤s414、 UE接收到NAS算法后,还需要向网络返回安全模式命令响 应消息,该消息可能携带接收到的NAS算法和/或UE的安全能力。接收到的 NAS算法和/或UE的安全能力还可以放到attach complete (附着完成)消息 里携带。另外,安全模式命令响应自身可能就是attach complete的一部分。第四实施例与上面第三实施例的不同之处在于,本实施例中将安全模式 命令移到第三实施例的步骤s402和步骤s403之间,具体流程如图5所示,包 括步骤s501 、 UE向MME/UPE发送attach请求,UE可能需要在attach请 求中携带自身的安全能力信息。该安全能力信息可以是UE所支持的所有算法 能力集,也可以能是UE仅对某种业务所支持的算法能力集。步骤s502、如需对UE进行认证,则MME执行与UE的认证过程。在执 行认证过程中,HSS将UE签约信息与鉴权元组一起发给MME/UPE,也就是 将用户签约数据插入过程合并到鉴权元组获取的过程中。步骤s503、MME/UPE选择缺省IP承载下用户面安全算法和控制面算法, 该选择需要根据UE的安全能力,还可能进一步根据UE签约信息里允许UE 使用的算法、网络策略、UE要求中的一种或者多种信息。如果选择算法时并 不根据用户签约信息来选,那么用户签约数据插入过程可以在完成如步骤s504和s505的用户安全模式建立过程后单独执行,不必并入步骤502,这与 第三实施例3中的步骤s404和s405所描述的相同。步骤s504至步骤s505、 MME/UPE在NAS安全模式命令中将用户面和控 制面的安全算法发给UE。这种情况下,需要定义2或3个不同的正,分别表 示NAS控制面加密/完整性算法和用户面安全算法。UE接收到该算法后,可 能还需要向网络返回安全模式命令响应,响应消息进一步可能携带接收到的 算法和/或UE的安全能力。如果网络决定不加密,就可不通知UE所选算法, 只要不启动用户面加密便可。步骤s506、 MME/UPE向HSS发送路由更新请求。步骤s507、 HSS回复路由更新响应。步骤s508至步骤s510、 MME完成与SAE-GW的PCRF交互,完成用户 路由区在SAE-GW的更新。步骤s511至步骤s512、 eNodeB与UE建立RRC连接。RRC连接可能是 在attach中建立,也可能是在有数据传输时建立。步骤s513 、 MME/UPE向UE发送attach accept消息。步骤s514、 UE发送attach complete消息作为响应。以上描述的第三实施例和第四实施例同样适用于MME和UPE分离的情 况。当MME和UPE分离时,MME通过向UPE发送用户面安全启动命令、 将所选用户面算法通知给UPE;或者通过将所选算法插入到attach请求等方 式,将所选算法发送给SAE-GW, SAE-GW将算法与缺省承载上下文一起存 储。当需要启动用户面加密时,SAE-GW将算法发给用户面加密实体。本发明的第五实施例为在UPE和MME分离情况下,在attach过程中协 商算法的过程,此过程中存在两种可能选择用户面算法的是UPE或者 SAE-GW。图6所示为选择用户面算法的是UPE为例,具体包括步骤s601 、 UE向MME发送attach请求,UE可能需要在attach请求中 携带自身的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可 以能是UE仅对某种业务所支持的算法能力集。UE可以不在attach请求里携 带安全能力,此时网络侧获得UE安全能力的方式可以为UE通过AS信令把UE安全能力发送给eNodeB, eNodeB再将UE安全能力通过SI接口发送 给核心网。此步骤中UE还可以在请求消息里发送用户所选的安全需求等级信息,安 全需求可能只划分两种等级即加密和不加密两种。也可能划分多种等级, 例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。步骤s602至步骤s606、如需认证UE, MME执行与UE的认证过程,并 在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。步骤s607、 MME将attach请求发给UPE ( SAE-GW选择算法时,MME 将attach请求发送给SAE-GW),该请求中包括UE的安全能力。MME还可 能将包括用户签约信息中允许UE采用的算法、和/或MME允许l正采用的算 法插入到请求消息中发给UPE。步骤s608至步骤s610、 UPE与SAE-GW交互,建立UPE到SAE-GW的 承栽。当UPE位于接入网或者UPE与SAE-GW合一时,此步骤可省略。步骤s611、 UPE (SAE-GW选择算法时,为SAE-GW)根据用户签约信 息里允许UE使用的算法以及UE安全能力,选择default IP承载下用户面算 法。具体应用时,本步骤也可以;故到步骤s614步后、步骤s615步之前4丸行。步骤s612至步骤s614、完成无线承栽连接建立过程。步骤s615、 UPE (SAE-GW选择算法时,为SAE-GW)将所选用户面算 法在attach接受消息中发给MME。步骤s616、 MME将携带用户面算法的attach接受消息转发给UE。步骤s617、 UE向MME发送attach完成消息。还有另外一种情况,MME选择控制面的安全算法,并加入到attach accept 中发给UE,或者MME在NAS安全模式命令中将用户面和控制面的安全算 法发给UE。这种情况下,需要定义2或3个不同的IE,分别表示NAS控制 面加密/完整性算法和用户面安全算法。至此,l正便可获得缺省IP下的用户面安全算法。值得指出的是,通过步骤s612至s614所描述的过程,UPE(或者SAE-GW) 还可以把所选的用户面安全算法在无线承栽建立过程中同时通过eNodeB转发给UE。本发明的第六实施例与第五实施例的不同之处在于,当UPE或者 SAE-GW选择完用户面算法后,并不需要把算法放到accept消息里面通过 MME转发给UE。而是由UPE或者SAE-GW发起用户面安全模式启动命令, 并把所选算法直接发给UE。在用户面安全模式启动过程中,UPE或者 SAE-GW发起的安全模式启动命令可以经过MME转发,也可以不经过MME 直接下发。同样UE发送的用户面安全模式响应消息也可以由MME转发给 UPE或直接发给UPE。该实施例的具体流程如图7所示,包括步骤s701、 UE向MME发送attach请求,UE可能需要在attach请求中 携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可 以能是UE仅对某种业务所支持的算法能力集。UE可以不在attach请求里携带安全能力,而此时网络侧获得UE安全能 力的方式可以为UE通过AS信令把UE安全能力发给eNodeB, eNodeB再 将UE安全能力通过SI接口发给核心网。此步骤中UE还可以在请求消息里发送用户所选的安全等级信息,该安全 等级最简单的方式就是指示加密或不加密两种方式中的一种,也可以是如低、 中、高等多种等级中的一种。步骤s702至步骤s706、如需认证UE,则MME执行UE的认证过程,并 在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。 步骤s707、 MME将attach请求发给UPE ( SAE-GW选择算法时,MME 将attach请求发给SAE-GW),其中包括UE的安全能力。MME还可能将包 括用户签约信息中允许UE采用的算法、MME允许UE采用的算法、UE在请 求消息携带的用户所选安全等级中的部分或全部等信息插入到请求消息中发 给UPE ( SAE-GW选择算法时,MME将attach请求发给SAE-GW )。步骤s708至步骤s710、 UPE与SAE-GW的交互,建立到的SAE-GW承 载。当UPE放置接入网或者UPE与SAE-GW合一时,此步骤可省略。步骤s711、 UPE (SAE-GW选择算法时,为SAE-GW)根据用户签约信 息里允许用户使用的算法以及UE能力,还可能需要进一步结合用户所选的安全等级选择default IP承栽下的用户面算法。步骤s712至步骤s714、完成无线承载连接建立过程。步骤s715、 UPE ( SAE-GW选择算法时,为SAE-GW )向UE发送用户面安全模式启动命令,并把所选用户面算法直接发给UE。步骤s716、UPE( SAE-GW选择算法时,为SAE-GW)向MME发送attachaccept消息,其中携带IP配置。步骤s717、 MME将携带IP配置的attach accept消息转发给UE。 步骤s718、 UE向MME发送attach完成消息。 步骤s715可以放在s718以后,在需要启动用户面安全时才执行。 第七至第九实施例描述的是在业务建立过程中协商安全算法的过程,即只针对某一个业务执行一次算法协商过程。从此,该业务的承栽采用协商的算法来保护。具体的,第七实施例为在业务发起过程中选择用户面算法的过程,如图8 所示,包括如下步骤步骤s801、 UE向网络发起业务请求。该请求中还可能携带UE安全能力, 该安全能力可以是UE所支持的所有算法能力集,也可以能是仅仅对于某种业 务UE所支持的算法能力集。该请求中也可以不携带UE安全能力,由于MME 可能已经在前面执行的流程如attach过程、或PDP创建过程中获得了 UE的 安全能力。用户还可能选择一个此次业务通信的安全等级,并在请求消息携 带。步骤s802、 MME获取用户签约信息,根据UE安全能力,并可能结合所 申请的业务对安全等级的需求选取用户面应该采用的算法。如果步骤s801携 带了用户所选,还需要结合用户所选安全等级来选算法。因此MME需要通过某种方法获得业务安全需求。MME可能通过与UPE 的接口获得这一信息,也可能通过HSS获得(比如用户签约信息里就有对某 种业务采用某种安全等级算法的约定),还可能是在MME里面直接配置有这 一信息。MME获得用户业务类型的方法有1)假设UE在请求业务之前已经创建了PDP上下文,并且在PDP上下文创建时,PDP上下文创建是由业务层 实体触发,那么可以由业务层实体通知MME或者UPE,将业务类型与PDP 上下文关联保存。当用户发起业务请求时,根据与其所禾用的PDP上下文便 可知道业务类型。2)用户在业务请求中携带业务类型。例如利用service type (服务类型)参li携带业务类型。步骤s803、 MME激活用户面安全保护,并通过eNodeB向UE转发所选 的用户面算法,该步骤为可选。步骤s804、在执行步骤s803的情况下UE通过eNodeB向MME转发安 全模式响应。步骤s805、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。然后通过接口将所选算法通过激活命令通知UPE;或者通 过向UPE发送一个安全模式命令,将算法告知UPE。另外,安全模式命令可 以与激活命令同时发送。步骤s806、如果前面没有执行步骤s803至s804的用户面安全才莫式启动 过程,则MME在业务接受消息里面将所选算法通知给UE,用户面安全模式 启动命令也可以放到业务接受消息里一起携带。步骤s807、 UE向UPE发送所选算法确认和上行数据。本发明的第八实施例与上述第七实施例的不同之处在于,在本实施例中 是由UPE或者SAE-GW完成用户面安全算法的选择,如图9所示,包括以下 步骤步骤s卯l、 l正向网络发起业务请求,该请求中可能携带UE安全能力。 步骤s902、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。步骤s903、 MME将UE的请求消息转发给UPE ( SAE-GW选择算法时, 发送给SAE-GW)。消息中携带MME获取到的用户签约信息、用户安全能力 以及业务安全需求等信息中的一种或者多种通知UPE( SAE-GW选择算法时, 通知SAE-GW )。如果UE在向MME发送的业务请求消息里没有携带UE安 全能力,MME可能将在前面的过程如attach过程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE (SAE-GW选择算法时,发送给 SAE-GW )。步骤s卯4、 UPE ( SAE-GW选择算法时,为SAE-GW)结合UE安金能 力、业务需求、用户需求之一或者多种、进一步还可能结合自身策略以及用 户签约信息来选择用户面安全算法。需要指出的是UPE ( SAE-GW选择算法 时,为SAE-GW)也可能在如attach过程或PDP创建中获得UE安全能力, 并加以保存。如果前面业务请求消息没有携带UE安全能力,UPE/SAE-GW 可以从保存的信息中获得。在只有加密/不加密两种安全等级情况下,所选择 的加密算法可能是某种算法或者是NULL (无加密算法)。步骤s905、 UPE ( SAE-GW选择算法时,为SAE-GW)向MME发送响 应消息,其中携带所选择的安全算法。步骤s906、 MME在向UE发送的消息中携带所选安全算法,并启动用户 面安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以 上二者相结合的消息里将所选安全算法发给UE。步骤s907、 UE向UPE ( SAE-GW选择算法时,为SAE-GW)发送所选 算法确认以及上行数据。值得指出的是,选择用户面算法时可以不针对业务的特殊需求来选,而 只需要针对用户来选,即选择时参考包括用户能力、签约信息。以上各步骤 中,如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密 便可。本发明的第九实施例与上述第八实施例的不同之处在于,本实施例中在 UPE和MME之间增加了安全模式命令及响应,并且用户的安全能力、安全 需求、以及业务需求等信息是在安全模式命令中发给UPE。 UPE选择算法后, 在安全模式响应中将所选择的算法发送给MME。如图IO所示,具体包括步骤sl001、 UE向网络发起业务请求。该请求中可能携带UE安全能力, 网络侧也可能在前面的如attach过程或PDP上下文创建中获得这一信息。步骤sl002、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。步骤sl003、 MME将UE的请求消息转发给UPE,将UPE激活。 步骤sl004、 UPE向MME发送激活响应。步骤s1005、 MME向UPE发送启动安全模式命令,其中包括获取到的用 户签约信息、UE安全能力以及业务安全需求。如果UE在向MME发送的业 务请求消息里没有携带UE安全能力,MME可能将在前面的过程如attach过 程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE。步骤sl006、 UPE结合业务需求、用户需求、进一步还可能结合自身策略 来选择用户面安全算法。需要指出的是UPE也可能在如attach过程或PDP创 建中获得UE安全能力并加以保存。如果前面业务请求消息没有携带UE安全 能力,UPE可以从保存的信息中获得。在只有加密/不加密两种安全等级情况 下,所选择加密算法可能是某种算法或者是NULL (无加密算法)。 步骤sl007、 UPE向MME发送携带有选择结果的响应消息。 步骤sl008、 MME在向UE发送的消息中携带所选算法,并启动用户面 安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以上 二者相结合的消息里将所选算法发给UE。步骤sl009、 UE向UPE发送所选算法确认以及上行数据。 值得指出的是以上是以算法选择实体是核心网实体MME或UPE为例, 用户面加密实体是位于UPE上。当执行用户面加密实体放在eNodeB上时, 执行算法选择实体还可以是eNodeB。本发明的第十实施例为网络中另 一种布 局,即将用户面加密实体部署在eNodeB时用户面安全算法的协商过程,如图 ll所示,包括如下步骤步骤s1101、用户UE发送通信请求消息。如果eNodeB没有保存该UE 的安全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择 一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不 加密两种方式之一,还可以是无、低、中或高等不同等级。步骤sl102、 eNodeB选择用户面安全算法,选择时可以根据UE安全能 力,还可能结合用户的安全需求、或业务安全需求、或网络自身策略的一种 或者多种因素来选择用户面安全算法。值得指出的是eNodeB获取用户安全需求可以除了步骤s 1101所示,还可 以从HSS里获得用户签约信息,并从用户签约信息获得用户的安全需求。如 果步骤si 101中用户选择一个希望的安全需求,还可能需要结合用户签约信息 里相关信息判断是否允许这一需求。eNodeB获得HSS存储的用户签约信息中 用户安全需求的方式也有多种在本过程或者前面attach过程中从MME中获 得并加以保存;或者直接从HSS获取。步骤sll03、 eNodeB将所选算法通过用户面安全模式命令或业务接受消 息或者承载建立消息等下行消息发给UE,用户面安全模式命令也可以放到业 务接受消息,承栽建立或者其他下行消息里下发。步骤sl104、 UE向eNodeB发送安全模式响应,其中包括所选择的算法。 本发明的第十一实施例与上述第十实施例相比,仍为将用户面加密实体 部署在eNodeB时用户面安全算法的协商过程,不同的是在此过程中有MME 参与,如图12所示,包括如下步骤步骤sl201、用户UE发送业务请求消息,该消息可能是attach请求、业 务请求、PDP创建/激活请求中的某一种。如果eNodeB没有保存该UE的安 全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择一种 所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密 两种方式之一,还可以是无、低、中或高等不同等级。 步骤s1202、 UPE/eNodeB保存UE上传的安全能力。 步骤s1203、 UPE/eNodeB将UE发送的业务请求消息转发给MME。 步骤sl204、 MME获取网络策略、用户签约信息、业务安全需求中的一 种或者多种信息,并将获取到的信息附加在对eNodeB的响应消息或者在安全 模式命令中发给eNodeB。 MME可能会把用户签约信息发给UPE/eNodeB,也 可能仅把用户安全需求、即与加密算法选择有关信息发送给UPE/eNodeB 。步骤sl205、 UPE/eNodeB选择用户面安全算法。选择时根据UE安全能 力信息,还可能结合用户的安全需求、和/或者业务安全需求。选择时还可以 结合网络自身策略,该网络策略可能是上一步骤中MME下发的,也可能是 eNodeB自身配置的。而业务的安全需求同样可能是从MME接收到的,也可能是eNodeB通过其他方式如从用户签约信息获取、或者UPE/eNodeB通过业 务层实体获取、或者UPE/eNodeB自身有此项配置。步骤si:206、 UPE/eNodeB将所选算法通过用户面安全模式命令或业务 /attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到如业务接受 消息中等下行消息下发。该流程中用户面安全算法的选择也可以放在MME上进行,该种情况下的 步骤具体包括步骤sl211、用户UE发送通信请求消息,该消息可能是attach请求,业 务请求,PDP创建/激活请求中的某一种。如果MME没有保存该用户的安全 能力,则该请求需要携带用户的安全能力。可选的,用户还可能会选择一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密两种方式之一,还可以是无、低、中或 高等不同等级。步骤s1212、 UPE/eNodeB将UE发送的通信请求消息转发给MME。步骤sl213、 MME根据用户能力、业务安全需求、用户需求、用户签约 信息或网路策略中的一种或多种信息,选择一种安全算法。步骤sl214、 MME将所选算法发送给UPE/eNodeB。步骤s1215、 UPE/eNodeB将所选算法通过用户面安全模式命令或业务 /attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到业务接受消 息中下发。务的安全需求来选择算法的流程图。本发明的第十二实施例与以上各实施例 的不同之处在于,只基于用户需求来选择算法。本实施例假设安全算法选择 是基于每用户、每承栽进行的,即对同一个用户建立的不同承载可选择不同 的安全级别的保护,也可以是只针对每用户进行,即同一个网络可针对不同 用户决定是否加密,以及加密的安全等级,而同一个用户不同承载采用相同 安全程度的保护。此过程之前,假设MMEAJPE已经获得了 UE的安全能力。 步骤sBOl、用户终端向网络侧发送通信请求消息,如attach请求,PDP上下文建立请求,或者业务^青求等。该请求消息可能需要包括用户所选择的用户面加密算法安全等级。另外, 如果网络侧没有保存用户安全能力,用户还需要在此消息上报安全能力。安 全等级可能仅仅只有加密和不加密两种可能,也可能是分多种安全等级,如 根据安全算法的安全特性,对不同算法规定如低,高,中等不同等级。步骤sl302、 MME/UPE依据用户安全能力,以及用户安全需求来选择用 户面安全保护采用的安全算法,此选择还可能需要结合网络策略(即网络允 许UE采用的算法)。用户的安全需求的获得有以下几种从步骤sl301中的 用户终端向网络側发送的消息中获得;或在用户订购业务时规定,并保存在 网络侧存储的用户签约信息里。如果在步骤sl301中,用户在通信时选择了此次通信的安全等级,并在请 求中告知网络。那么MME/UPE在选择算法时,还可能需要结合用户签约信 息决定是否允许采用用户侧选择的安全等级。步骤sl303、 MME/UPE通过下行消息将所选算法通知给UE。该消息可 以是业务接受消息,PDP建立确认消息,attach接受消息等,或者是在网络侧 启动用户面加密时,向用户侧发送用户面安全模式启动命令。如果网络决定 不加密,就可不通知UE所选算法,只要不启动用户面加密便可。值得指出的是在MME和UPE分离的情况下,执行算法选择的可能是 UPE,也可能是MME。如杲执行算法选择是MME,那么由MME选择算法 之后通知UE。 MME还需要将算法通知网络侧用户面加密实体。如果网络侧 用户面加密实体是UPE,通过与UPE的接口通知UPE。值得指出的是MME 还可能会根据UPE的安全能力,选择一个合适的UPE之后,再把所选用户面 算法告知该UPE。如果算法是UPE来选择,那么UPE选择算法后通知MME, MME再通 知UE。或者UPE选择算法之后直接通知UE。如果执行网络侧用户面加密功 能的不是UPE(如eNodeB), UPE还需要把选择算法通知给网络侧用户面加密 实体。步骤sl304,用户保存所选算法。如果是基于每承栽建立的安全保护,那么用户可将所选算法与PDP上下文一起4呆存。如果在PDP上下文、激活过程中, 选择用户面安全算法,并且PDP上下文激活由网络侧发起。那么以上步骤中 的步骤sl301中UE发送PDP请求信息需要换成网络侧业务实体(如PCRF) 向MME/UPE发送PDP请求。此实施例同样适用于网络倒选择用户面算法实体为ENodeB的情况。只 不过需要将流程中MME/UPE替换为ENodeB。同时ENodeB需要从核心网得 到用户签约信息或者签约信息中仅是与加密算法相关的信息,网络允许算法 等信息。通过使用上述实施例中提出的选择用户面算法的方法,可以在SAE/LTE 的网络架构中,才艮据业务或者用户的需求选择不同安全级别的算法,即算法 协商可以针对不同的业务、不同的用户来选择,对安全需求不同的各业务提 供了其所需的不同级别的保护。本发明的第十三实施例提供了 一种选择用户面安全算法的系统,该实施 例中,选择用户面安全算法的网络设备为兼具移动管理实体MME和用户面实 体UPE功能的设备,UPE具有用户面加密实体的功能,如图14所示,该系 统包括至少 一个用户终端10以及MME-UPE 20。其中,MME-UPE20为兼有移动管理实体MME与用户面实体UPE功能 的网络側实体,具体地,其进一步包括信息获取单元21、算法选择单元22、 用户面加密单元23、和通知单元24,信息获取单元21,在接收到用户终端IO的请求消息后,获取用户终端安 全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选 择单元22,根据信息获取单元21获取的信息,选择用户终端的用户面安全算 法。用户面加密单元23根据算法选择单元22选择的算法对用户面进行安全 保护。通知单元24,将算法选择单元22所选择的用户面安全算法发送给用户 终端。本发明的第十四实施例提供了 一种选择用户面安全算法的系统,该实施 例中,选择用户面安全算法的网络设备为MME, UPE具有用户面加密实体的 功能,如图15所示,该系统包括至少一个用户终端10、移动管理实体30以及至少一个用户面实体40,该用户面实体40具有用户面力a密实体的功能。其中,移动管理实体30包括信息获取单元31、算法选择单元32、加密 选择单元33和通知单元34,信息获取单元31,在接收到用户终端IO的请求消息后,获取用户终端安 全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选 择单元32,根据信息获取单元31获取的信息,选择用户终端的用户面安全算 法。用户面加密实体选择单元33,在算法选择单元32选择用户面安全算法后, 才艮据所选算法选择与该算法匹配的用户面加密实体即用户面实体UPE,并向 被选的UPE发送指令,激活用户面安全保护。通知单元34,将算法选择单元 32所选择的用户面安全算法发送给被选择的用户面实体UPE、演进节点 eNodeB、用户终端中的一种。用户面实体40包括用户面加密单元41,根据移动管理实体30选择的算 法对用户面进行安全保护。本发明的第十五实施例提供了 一种选择用户面算法的系统,该实施例中, 选择用户面安全算法的网络设备为UPE,且UPE具有用户面加密实体的功能, 如图16所示,该系统包括至少一个用户终端10、移动管理实体50以及至少 一个用户面实体60,该用户面实体60具有用户面加密实体的功能。其中,移动管理实体50包括加密选择单元51,根据各个UPE上用户面 加密实体的安全能力选择UPE并向被选的UPE发送指令。用户面实体60包 括信息获取单元61,在接收到用户终端IO的请求消息后,获取用户终端安全 能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选择 单元62,根据信息获取单元61获取的信息,选择用户终端的用户面安全算法。 用户面加密单元63,根据算法选择单元62选择的算法对用户面进行安全保护。 通知单元64,将算法选择单元62所选择的用户面安全算法发送给被选择的用 户面实体UPE、演进节点eNodeB、用户终端中的一种。以上第十四及第十五实施例中,也可将用户面实体UPE替换为兼具UPE 与eNodeB功能的实体,其他单元的功能不需要进行变化;或将用户面实体 UPE替换为兼具UPE与SAE-GW功能的实体,其他单元的功能不需要进行变化,均可完成选择用户面算法的功能,在此不做重复描述。通过使用上述实施例中提出的选择用户面算法的系统,可以在SAE/LTE 的网络架构中,根据业务或者用户的需求逸棒不同安全级别的算法,对安全 需求不同的各业务提供了其所需的不同级别的保护。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1. 一种选择用户面算法的方法,其特征在于,网络侧实体接收用户终端发送的请求;所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法。
2、 如权利要求1所述选择用户面算法的方法,其特征在于,所述安全信 息包括所述用户终端的安全能力、用户安全需求、业务安全需求中的一种或 多种。
3、 如权利要求2所述选择用户面算法的方法,其特征在于,所述用户安 全需求和/或业务安全需求具体为加密或不加密两种安全等级;或将不同的算法划分为至少两种不同的加密安全等级,属于同一个安全等 级的算法有多种。
4、 如权利要求1所述选择用户面算法的方法,其特征在于,所述选择用 户面安全算法的网络侧实体为移动管理实体、或用户面相关实体、或演进基 站,用户面相关实体包括用户面实体和/或系统构架演进网关。
5、 如权利要求2所述选择用户面算法的方法,其特征在于,所述网络侧 实体获取所述业务安全需求的方式具体为从所述用户终端发送的请求中获得;或 直接在所迷网络侧实体配置并获得;或 在归属客户服务器中配置,从所述归属客户服务器获得;或应用层实体将业务类型和业务安全需求发送给所述网络侧实体。
6、 如权利要求2所述选择用户面算法的方法,其特征在于,所述网络侧 实体获取所述用户安全需求的方式具体为从所述用户终端发送的请求中获得;或所述用户终端在预定业务时选择所述用户安全需求信息,并存储在归属 客户服务器的用户签约信息里;所述网络侧实体从所述归属客户服务器获得 所述用户安全需求信息。
7、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为移动管理实体时,所述移动管理实体通过用户签约信息插入过程、或鉴权向量获得过程从所述归属客户服务器获取所述用户安全需求信息。
8、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为用户面相关实体时,所述用户面相关实体从所迷归属客户服务器或移 动管理实体获取所述用户安全需求信息。
9、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为演进基站时,所述演进基站从移动管理实体获取所述用户安全需求信 息。
10、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络 侧根据所述用户签约信息判断允许所述用户终端选择的算法。
11、 如^^又利要求4所述选择用户面算法的方法,其特征在于,所述网络 中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实 体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体。
12、 如权利要求11所述选择用户面算法的方法,其特征在于,所述选择 用户面算法的网络側实体为移动管理实体时,所述移动管理实体选择所述算 法后,将所述算法发送给所述用户面加密实体。
13、 如权利要求11或12所述选择用户面算法的方法,所述用户面加密 实体在用户面实体、或演进基站側。
14、 如权利要求4所述选择用户面算法的方法,其特征在于,所述选择 用户面算法的网络侧实体为用户面相关实体时,所述用户面相关实体选择所 述算法后,将所述算法直接发送给所述用户终端,或经移动管理实体将所述 算法发送给所述用户终端。
15、 如权利要求14所述选择用户面算法的方法,其特征在于,当所迷用 户面加密实体不在所述用户面相关实体时,所述用户面相关实体选择所述算 法后,将所述算法发送给所述用户面加密实体。
16、 如权利要求1所述选择用户面算法的方法,其特征在于,所述网络 侧实体接收的请求包括用户终端发送的业务连接请求、分组数据协议PDP上 下文创建请求、PDP上下文激活请求、附着attach请求中的一种。
17、 一种选择用户面算法的系统,包括用户终端和网络侧实体,其特征在于,所述网络侧实体包括信息获取单元和算法选择单元,所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。
18、 如权利要求17所述选择用户面算法的系统,其特征在于,所述网络 侧实体还包括至少一个用户面加密单元,所述用户面加密单元,根据所述算法选择单元选择的算法对用户面进行 安全保护。
19、 如权利要求18所述选择用户面算法的系统,其特征在于,所述网络 侧实体还包括加密选择单元,选择与所述用户终端的安全信息相匹配的用户 面加密单元并向其发送指令,激活用户面安全保护。
20、 如权利要求19所述选择用户面算法的系统,其特征在于,所述用户 面加密单元位于用户面实体或演进基站上,所述加密选择单元位于移动管理 实体上。
21、 如权利要求17所述选择用户面算法的系统,其特征在于,所述信息 获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进 基站上。
22、 一种选择用户面算法的网络侧实体,其特征在于,包括信息获取单 元和算法选择单元;所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。
全文摘要
本发明公开了一种选择用户面安全算法的方法,包括以下步骤网络侧实体接收用户终端发送的请求;网络侧实体获取并根据用户终端的安全信息选择用户面算法。本发明还提供了一种选择用户面安全算法的系统和设备。通过使用本发明,使得网络可以根据业务或者用户的需求选择不同安全级别的算法,即算法协商可以针对不同的业务、不同的用户来选择。从而使得网络加密操作更加灵活,对安全需求不同的各用户和业务提供了不同级别的保护。
文档编号H04L9/32GK101242629SQ20071000340
公开日2008年8月13日 申请日期2007年2月5日 优先权日2007年2月5日
发明者杨艳梅, 璟 陈 申请人:华为技术有限公司
技术领域:
本发明涉及通信技术领域,尤其涉及一种选择用户面算法的方法、系统 和设备。
背景技术:
在UMTS (Universal Mobile Telecommunications System,通用移动通信系 统)系统中,安全的终结点位于RNC (Radio Network Controller,无线网络控 制器)上。UE (UserEquipment,用户设备)和RNC执行加密/解密和完整性 保护的安全操作,对用户数据提供机密性保护,对UE和RNC间交互的信令 提供机密性保护和完整性保护。由于不同用户设备所支持的加密和完整性算 法不同,因此在接入层进行加密和完整性保护之前,需要在UE和RNC间协 商一套安全算法。UMTS中用户面协商安全算法的过程包括以下步骤1 、 UE在RRC (Radio Resource Control,无线资源控制)连接过程中, 将自身支持的算法列表即UE安全能力,上报给RNC, RNC进行保存。2、 在UE向核心网发送消息后、执行加密和完整性保护前,由核心网发 起安全模式命令,启动空中接口的加密完整性保护,同时网络侧决定允许UE 采用的算法,并将允许的算法列表通过安全模式命令发给RNC;3、 RNC根据UE的安全能力,以及网络允许UE使用的算法列表决定该 UE通信的加密和完整性的安全算法,并放在加密模式命令发送给UE。该选择安全算法过程中,由于核心网络下发的允许UE采用的算法列表是 运营商在核心网设备VLR (Visited Location Register,访问位置寄存器)或者 SGSN ( Serving General Packet Radio Service Support Node,月良务通用分组无线 业务支持节点)上配置的,对所有UE的所有通信均相同。因此UE在某一个 网络里协商出的算法总相同,即对某个UE的所有信令和数据都采用相同算法 保护,或对所有UE的所有数据都不进行保护。目前,随着3GPP ( 3rd Generation Partnership Project,第三^移动通信标 准化伙伴项目)系统的不断发展,无线演进网络的研究工作正在3GPP组织内 部进行。如图1所示,无线演进网络的核心网主要包含MME (Mobility Management Entity,移动管理实体)、UPE (User Plane Entity,用户面实体)、 SAE-GW ( System Architecture Evolution Gateway,系统构架演进网关)三个 逻辑功能体。其中,MME负责控制面的移动性管理,包括用户上下文和移动 状态管理、分配用户临时身份标识、安全功能等;UPE负责空闲状态时为下 行数据发起寻呼、管理保存IP承载参数和网络内路由信息等;SAE-GW则充 当不同接入系统间的用户面锚点。在无线演进网络中,用户面的安全被终结在核心网,信令面的安全分为 接入层AS (Access Stratum)信令和非接入层NAS (Non Access Stratum)信 令两个部分,分别终结在接入网和核心网。接入层信令的安全终结在无线演 进网络接入网的eNodeB ( evolved Node B ,演进基站)上,而用户面的安全 终结在UPE上,也可能终结在eNodeB上。非接入层的信令的安全可能终结 在MME上。UPE可能单独存在,可能和MME合为一个实体,也有可能与 SAE-GW合为一个实体。另外UPE的PDCP( Packet Data Convergence Protocol, 分组数据会聚协议)压缩以及加密功能也有可能放在接入网实体如eNodeB 上。这与UMTS系统中的架构不同,因此UMTS系统中的算法协商过程不能 应用在无线演进网络中。另外,在LTE ( Long Term Evolution,长期演进)/SAE网络中用户侧和 网络侧支持的安全算法可能会有多种,不同的安全算法的开销与成本都有所 不同。 一般而言,越安全的算法其复杂度与开销就会越大。而对于不同种类 的业务,某些对安全性要求比较高的业务需采用高安全级别的算法,其他安 全性要求不高的业务只需采用较低安全级别算法,甚至不需要进行保护。因 此没必要为某几种业务统一对所有业务均采用高安全级别的算法。但现有的应用于LTE/SAE网络的安全算法协商方法中,还没有涉及到根 据业务安全级别来进行选择。因此,需要提供一种算法协商方法,使得在选 择网络侧用户面加密实体(如UPE)和UE间安全算法时考虑到不同业务的不同需求。 发明内容本发明的实施例提供一种选择用户面算法的方法、系统和设备,使得在SAE/LTE网络中对安全需求不同的各业务提供了其所需的不同级别的安全保 护,也可以针对不同用户需求来选择是否加密以及加密算法的安全等级。为达到上述目的,本发明的一实施例提供一种选择用户面算法的方法, 包括如下步骤网络側实体接收用户终端发送的请求;所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法。 本发明的另 一实施例提供一种选择用户面算法的系统,包括用户终端和 网络侧实体,所述网络侧实体包括信息获取单元和算法选择单元, 所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。本发明的再一实施例还提供一种选择用户面算法的网络侧实体,包括信 息获取单元和算法选择单元;所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。本发明的实施例提出了 一种适合SAE/LTE网络中用户面算法协商和用户 面保护的方法,可以才艮据业务或者用户的需求选择不同安全级别的算法,即 算法协商可以针对不同的业务、不同的用户来选择,使得网络可以对安全需 求不同的各业务提供了其所需的不同级别的保护。图l是现有技术中无线演进网络的结构示意图;图2是本发明的第 一 实施例中创建PDP上下文时选择用户面算法的流程
图;图3是本发明的第二实施例中创建PDP上下文时选择用户面算法的流程图;图4是本发明的第三实施例中attach过程中为建立的缺省承载选择算法的 流程图;图5是本发明的第四实施例中attach过程中为建立的缺省承栽选择算法的 流程图;图6是本发明的第五实施例中attach过程中为建立的缺省承栽选择算法的 流程图;图7是本发明的第六实施例中attach过程中为建立的缺省承载选择算法的 流程图;图8是本发明的第七实施例中业务建立过程中选择算法的流程图; 图9是本发明的第八实施例中业务建立过程中选择算法的流程图; 图10是本发明的第九实施例中业务建立过程中选择算法的流程图; 图11是本发明的第十实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;图12是本发明的第十一实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;图13是本发明的第十二实施例中基于用户需求选择算法的流程图; 图14是本发明的第十三实施例中选择用户面算法的系统结构示意图; 图15是本发明的第十四实施例中选择用户面算法的系统结构示意图; 图16是本发明的第十五实施例中选择用户面算法的系统结构示意图。
具体实施方式
以下结合附图和实施例,对本发明《故进一步的描述。本发明的第一实施例和第二实施例描述的是网络侧设备和用户终端在 PDP (Packet Data Protocol,分组数据协议)上下文创建过程中选择安全算法 的方法和流程。 一旦PDP上下文创建以后,凡是采用该PDP上下文相关承载进行的业务都采用该流程中协商的算法保护。第一实施例的具体描述如下用户在创建PDP上下文时,完成用户面安全算法的逸棒,此实施例假设 PDP上下文的创建是由网络触发的。此过程之前,假设MME/UPE已经获得 了 UE的安全能力,获得的方式可以在如attach过程中,UE通过attach请求 消息上报UE的安全能力;或者UE先将安全能力上报给eNodeB, eNodeB再 通过Sl接口通知MME/UPE,这样在MME/UPE就会保存UE的安全能力。 实现安全算法选择的具体过程如图2所示,包括步骤s201 、 UE需^^入某些业务时,在default IP( default Internet Protocol, 缺省因特网协议地址)接入承载建立与网络侧应用功能实体AF (Application Function)的信令连接。步骤s202、 PCRF (Policy Control and. Charging Rules Function,策略计费 规则功能实体)根据UE所请求的业务向MME/UPE发送资源请求,该请求包 括QoS (Quality of Service,服务质量)需求,并且可能还需要包括业务对安 全性的要求。对安全性需求的描述可以笼统的为高、中、低或无等级,也可 以是指定某些等级的算法。步骤s203、 MME/UPE检查UE的签约信息,并根据QoS要求、用户签 约信息、以及可用资源按照策略判断是否允许所要求的QoS。 MME/UPE根据 业务的安全性需求(与安全等级对应)、l正的安全能力、以及网络允许UE 采用的算法之中的一种或者多种因素来选择用户面所采用的安全算法。 MME/UPE也可能会结合用户签约信息来决定采用算法的安全等级。所述用户 签约信息中对安全等级的描述即可以是用户在签约某项业务时,与网络协商 好的针对某种业务采用某种安全等级,也可以是与具体的业务无关,即该用 户签约的所有业务采用某一种安全等级。以上流程中如步骤s202和s203中的业务安全需求也可以作为QoS需求 的一个参数。安全需求可能只划分两种等级即加密和不加密两种。也可能 划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安 全级别等等。如果步骤s202中PCRF没有向MME/UPE提供业务安全性需求的描述, 则MME获得业务安全性需求的方法还可以为从本地配置的信息中获得;或 者从HSS (Home Subscriber Server,归属客户服务器)获得,如用户的簽约 信息中有对其业务安全需求的描述。步骤s204、 MME/UPE向eNodeB发起无线资源分配请求消息,并且携带 所选的用户面安全算法。步骤s205、 eNodeB中执行控制功能的实体将QoS信息翻译成无线QoS, 并且调度相应的资源满足QoS要求。步骤s206、 eNodeB与UE完成RRC过程。包括向UE提供业务所需的无 线资源配置,以及IP或会话流提供的相关无线链路资源信息,并且通知UE 网络所选择的用户面安全算法。另外,l正在对网络的响应消息中也可能包括 UE安全能力、和/或网络所选安全算法。步骤s207、 eNodeB向MME/UPE发送分配响应消息,通知成功完成资源 建立,该消息可能还包4舌UE响应的UE安全能力、和/或网络所选安全算法 以侵一作为确认。步骤s208、 MME/UPE向PCRF报告资源建立的结果以及协商出的QoS。 至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是 UPE,也可能是MME,算法选择也可能是由二者之一完成。如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算 法通知l正,或者将该算法发送给UPE并由UPE转发给UE。 MME可能还需 要将算法通知UPE或者SAE-GW。如果算法是UPE选择,那么由UPE选择之后将算法通知UE,或者将算 法发给MME并由MME转发给UE。网络选择用户面算法时,也可以只考虑用户需求,不考虑业务安全需求, 那么以上过程中MME/UPE就不需要获得业务安全需求。另外,协商过程中 协商出来的用户面算法或算法对应的安全等级可以作为协商出来的QoS的参数之一。本发明的第二实施例同样是说明在创建PDP上下文时,用户终端与网络 側设备完成协商用户面安全算法的方法,这里假设PDP上下丈的创建由网络 触发的。与第一实施例的区别在于,本实施例中选择用户面采用算法的步骤 是在MME/UPE执行QoS控制之后。具体过程如图3所示,包括步骤s301、 UE需要接入某些业务时,在default IP接入承载建立与网络 应用功能实体AF的信令连接。步骤s302、 PCRF根据UE所请求的业务向MME/UPE发送资源请求,该 请求包括QoS需求,并且可能还包括业务的安全性需求。安全需求可能只划 分两种等级即加密和不加密两种。也可能划分多种等级,例如不加密、低 安全级别的加密、中安全级别的加密、高安全级别等等。步骤s303、 MME/UPE检查UE的预订信息,并根据QoS要求、用户预 定信息、以及可用资源按照策略判断是否允许所要求的QoS。步骤s304、 MMW/UPE向eNodeB发起资源建立请求,并且携带Qos信自步骤s305、 eNodeB执行控制功能的实体将QoS信息翻译成无线QoS, 并且调度相应的资源满足QoS要求。步骤s306、 eNodeB与UE完成RRC过程。包括向UE提供业务所需的无 线资源配置,以及IP或者会话流提供的相关无线链路资源信息,并且此期间 l正上报自身的安全能力。步骤s307、 eNodeB向MME/UPE发送分配响应消息,通知成功完成资源 建立,其中可能包括UE安全能力,以及UE所选的安全等级。步骤s308、 MME/UPE向PCRF才艮告资源建立的结果以及协商出的QoS。步骤s309、 MME/UPE在需要启动用户面加密时,根据业务的安全性需 求、UE的安全能力、网络策略即网络允许UE采用的算法、以及用户UE侧 安全需求中的一种或多种因素来选择用户面所采用的安全算法,选择时还可 能结合用户签约信息决定所采用的算法的安全等级。此步骤还可以放在s309 之前的任何步骤#^亍,还可如同实施例1所描述的在步骤303进行。如果步骤s302中PCRF没有向MME/UPE提供业务的安全性需求描述, MME获得业务安全性需求的方法可以为从本地配置信息中获得,或者从 HSS获得,如用户的签约信息里就可能有对其业务的描迷。步骤s310、 MME/UPE通过某个下行消息将所选算法通知给UE。比如通 过用户面安全模式启动命令,或者是业务接受消息等。如果网络决定不加密, 就可不通知UE所选算法,只要不启动用户面加密便可。至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是 UPE,也可能是MME,算法选择也可能是由二者之一完成。如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算 法通知UE,或者将该算法发送给UPE并由UPE转发给UE。 MME可能还需 要将算法通知UPE或者SAE-GW。如果算法是UPE选择,那么由UPE选择之后将算法通知l正,或者将算 法发给MME并由MME转发给UE。值得指出的是,UE发起PDP上下文创建请求时,PDP上下文创建过程 中协商算法的方法类似于UE发起的attach流程。区别在于把attach过程中的 attach请求消息替换为PDP上下文创建请求把attach接受消息替换为PDP 上下文创建响应;把attach创建确认消息替换为PDP上下文创建确认消息。 另外由于建立PDP时,网络侧可能已经获得UE能力信息,因此UE可能不 需要在此过程上报自身能力信息。同样存在一种情况,即网络选择用户面算法时,只针对用户需求选择, 不针对业务安全需求,那么以上过程中MME/UPE就不需要获得业务安全需求。上述第一实施例和第二实施例中,执行PDP建立控制的实体为 MME/UPE,另外执行PDP建立控制还可能是SAE-GW,选择用户面算法的 可能也是SAE-GW。这种情况下,以上实施例中选择算法的功能需要放在 SAE-GW上。需要改变的是,SAE-GW可能需要从MME或者HSS获得用户的签约信息。另外,如杲用户面加密实体不在选择算法的MME/UPE或者 SAE-GW上,在启动用户面加密时,还需要将所选算法发送给用户面加密实体。第三至第六实施例是描迷为一在attach过程中建立的缺省承栽选择一安 全算法的不同过程,算法选择后,凡是在此缺省承载上进行的业务都采用这 个算法来保护。具体的,第三实施例为在网络中UPE和MME不分离时,在attach过程 中建立缺省IP承栽并选择一缺省的安全算法的过程。具体过程如图4所示, 包括步骤s401 、 l正向MME/UPE发送attach请求,UE可能需要在attach请 求中携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集, 也可能是UE仅对某种业务所支持的算法能力集。UE也可以不在attach请求 里携带安全能力,此时网络侧获得UE安全能力的方式可以为UE通过AS 信令把UE安全能力发给eNodeB, eNodeB再将UE安全能力通过SI接口发 给核心网。UE还可以在请求消息中携带用户所选的安全需求等级信息,安全需求可 能只划分两种等级即加密和不加密两种。也可能划分多种等级,例如不加 密、^f氐安全级别的加密、中安全级别的加密、高安全级别等等。步骤s402至步骤s406、如需对UE进行认证,则MME执行与UE的认 证过程,并在认证成功后完成向HSS的路由区注册/更新,以及UE签约数据 的获取。步骤s407至步骤s409、 MME完成与SAE-GW的PCRF交互,完成UE 路由区在SAE-GW的更新。步骤s410、 MME/UPE选择缺省IP承载下用户面算法和控制面的算法, 该选择需要结合UE的安全能力,网络策略(网络允许用户采用的算法)、用 户安全需求中的 一种或者多种信息。值得指出的是,用户安全需求包括以下几个方面的可能用户在签约业 务时,与网络协商好的安全等级需求,并存储于用户签约信息里;或者用户在通信时,选择本次通信的安全等级,并在请求消息里发给网络,这种情况下,还可能需要进一步结合UE签约信息判断是否允许UE选用的该安全等级 算法。步骤s411至步骤s412、 eNodeB与UE建立RRC连接过程。需要指出的 是RRC连接可能是在attach中建立,也可能是在有数据传输时建立。步骤s413、 MME/UPE在NAS安全模式命令中将用户面和控制面的安全 算法发给UE。这种情况下,需要定义2或3个不同的IE( Information Element, 信元),分别表示NAS控制面加密/完整性算法和用户面安全算法。其中用户 面安全算法也可能是通过attach accept (附着接受)消息下发。这两条消息可 以合并在一条消息中,即NAS安全模式命令被放到attach accept消息里携带 给UE。步骤s414、 UE接收到NAS算法后,还需要向网络返回安全模式命令响 应消息,该消息可能携带接收到的NAS算法和/或UE的安全能力。接收到的 NAS算法和/或UE的安全能力还可以放到attach complete (附着完成)消息 里携带。另外,安全模式命令响应自身可能就是attach complete的一部分。第四实施例与上面第三实施例的不同之处在于,本实施例中将安全模式 命令移到第三实施例的步骤s402和步骤s403之间,具体流程如图5所示,包 括步骤s501 、 UE向MME/UPE发送attach请求,UE可能需要在attach请 求中携带自身的安全能力信息。该安全能力信息可以是UE所支持的所有算法 能力集,也可以能是UE仅对某种业务所支持的算法能力集。步骤s502、如需对UE进行认证,则MME执行与UE的认证过程。在执 行认证过程中,HSS将UE签约信息与鉴权元组一起发给MME/UPE,也就是 将用户签约数据插入过程合并到鉴权元组获取的过程中。步骤s503、MME/UPE选择缺省IP承载下用户面安全算法和控制面算法, 该选择需要根据UE的安全能力,还可能进一步根据UE签约信息里允许UE 使用的算法、网络策略、UE要求中的一种或者多种信息。如果选择算法时并 不根据用户签约信息来选,那么用户签约数据插入过程可以在完成如步骤s504和s505的用户安全模式建立过程后单独执行,不必并入步骤502,这与 第三实施例3中的步骤s404和s405所描述的相同。步骤s504至步骤s505、 MME/UPE在NAS安全模式命令中将用户面和控 制面的安全算法发给UE。这种情况下,需要定义2或3个不同的正,分别表 示NAS控制面加密/完整性算法和用户面安全算法。UE接收到该算法后,可 能还需要向网络返回安全模式命令响应,响应消息进一步可能携带接收到的 算法和/或UE的安全能力。如果网络决定不加密,就可不通知UE所选算法, 只要不启动用户面加密便可。步骤s506、 MME/UPE向HSS发送路由更新请求。步骤s507、 HSS回复路由更新响应。步骤s508至步骤s510、 MME完成与SAE-GW的PCRF交互,完成用户 路由区在SAE-GW的更新。步骤s511至步骤s512、 eNodeB与UE建立RRC连接。RRC连接可能是 在attach中建立,也可能是在有数据传输时建立。步骤s513 、 MME/UPE向UE发送attach accept消息。步骤s514、 UE发送attach complete消息作为响应。以上描述的第三实施例和第四实施例同样适用于MME和UPE分离的情 况。当MME和UPE分离时,MME通过向UPE发送用户面安全启动命令、 将所选用户面算法通知给UPE;或者通过将所选算法插入到attach请求等方 式,将所选算法发送给SAE-GW, SAE-GW将算法与缺省承载上下文一起存 储。当需要启动用户面加密时,SAE-GW将算法发给用户面加密实体。本发明的第五实施例为在UPE和MME分离情况下,在attach过程中协 商算法的过程,此过程中存在两种可能选择用户面算法的是UPE或者 SAE-GW。图6所示为选择用户面算法的是UPE为例,具体包括步骤s601 、 UE向MME发送attach请求,UE可能需要在attach请求中 携带自身的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可 以能是UE仅对某种业务所支持的算法能力集。UE可以不在attach请求里携 带安全能力,此时网络侧获得UE安全能力的方式可以为UE通过AS信令把UE安全能力发送给eNodeB, eNodeB再将UE安全能力通过SI接口发送 给核心网。此步骤中UE还可以在请求消息里发送用户所选的安全需求等级信息,安 全需求可能只划分两种等级即加密和不加密两种。也可能划分多种等级, 例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。步骤s602至步骤s606、如需认证UE, MME执行与UE的认证过程,并 在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。步骤s607、 MME将attach请求发给UPE ( SAE-GW选择算法时,MME 将attach请求发送给SAE-GW),该请求中包括UE的安全能力。MME还可 能将包括用户签约信息中允许UE采用的算法、和/或MME允许l正采用的算 法插入到请求消息中发给UPE。步骤s608至步骤s610、 UPE与SAE-GW交互,建立UPE到SAE-GW的 承栽。当UPE位于接入网或者UPE与SAE-GW合一时,此步骤可省略。步骤s611、 UPE (SAE-GW选择算法时,为SAE-GW)根据用户签约信 息里允许UE使用的算法以及UE安全能力,选择default IP承载下用户面算 法。具体应用时,本步骤也可以;故到步骤s614步后、步骤s615步之前4丸行。步骤s612至步骤s614、完成无线承栽连接建立过程。步骤s615、 UPE (SAE-GW选择算法时,为SAE-GW)将所选用户面算 法在attach接受消息中发给MME。步骤s616、 MME将携带用户面算法的attach接受消息转发给UE。步骤s617、 UE向MME发送attach完成消息。还有另外一种情况,MME选择控制面的安全算法,并加入到attach accept 中发给UE,或者MME在NAS安全模式命令中将用户面和控制面的安全算 法发给UE。这种情况下,需要定义2或3个不同的IE,分别表示NAS控制 面加密/完整性算法和用户面安全算法。至此,l正便可获得缺省IP下的用户面安全算法。值得指出的是,通过步骤s612至s614所描述的过程,UPE(或者SAE-GW) 还可以把所选的用户面安全算法在无线承栽建立过程中同时通过eNodeB转发给UE。本发明的第六实施例与第五实施例的不同之处在于,当UPE或者 SAE-GW选择完用户面算法后,并不需要把算法放到accept消息里面通过 MME转发给UE。而是由UPE或者SAE-GW发起用户面安全模式启动命令, 并把所选算法直接发给UE。在用户面安全模式启动过程中,UPE或者 SAE-GW发起的安全模式启动命令可以经过MME转发,也可以不经过MME 直接下发。同样UE发送的用户面安全模式响应消息也可以由MME转发给 UPE或直接发给UPE。该实施例的具体流程如图7所示,包括步骤s701、 UE向MME发送attach请求,UE可能需要在attach请求中 携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可 以能是UE仅对某种业务所支持的算法能力集。UE可以不在attach请求里携带安全能力,而此时网络侧获得UE安全能 力的方式可以为UE通过AS信令把UE安全能力发给eNodeB, eNodeB再 将UE安全能力通过SI接口发给核心网。此步骤中UE还可以在请求消息里发送用户所选的安全等级信息,该安全 等级最简单的方式就是指示加密或不加密两种方式中的一种,也可以是如低、 中、高等多种等级中的一种。步骤s702至步骤s706、如需认证UE,则MME执行UE的认证过程,并 在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。 步骤s707、 MME将attach请求发给UPE ( SAE-GW选择算法时,MME 将attach请求发给SAE-GW),其中包括UE的安全能力。MME还可能将包 括用户签约信息中允许UE采用的算法、MME允许UE采用的算法、UE在请 求消息携带的用户所选安全等级中的部分或全部等信息插入到请求消息中发 给UPE ( SAE-GW选择算法时,MME将attach请求发给SAE-GW )。步骤s708至步骤s710、 UPE与SAE-GW的交互,建立到的SAE-GW承 载。当UPE放置接入网或者UPE与SAE-GW合一时,此步骤可省略。步骤s711、 UPE (SAE-GW选择算法时,为SAE-GW)根据用户签约信 息里允许用户使用的算法以及UE能力,还可能需要进一步结合用户所选的安全等级选择default IP承栽下的用户面算法。步骤s712至步骤s714、完成无线承载连接建立过程。步骤s715、 UPE ( SAE-GW选择算法时,为SAE-GW )向UE发送用户面安全模式启动命令,并把所选用户面算法直接发给UE。步骤s716、UPE( SAE-GW选择算法时,为SAE-GW)向MME发送attachaccept消息,其中携带IP配置。步骤s717、 MME将携带IP配置的attach accept消息转发给UE。 步骤s718、 UE向MME发送attach完成消息。 步骤s715可以放在s718以后,在需要启动用户面安全时才执行。 第七至第九实施例描述的是在业务建立过程中协商安全算法的过程,即只针对某一个业务执行一次算法协商过程。从此,该业务的承栽采用协商的算法来保护。具体的,第七实施例为在业务发起过程中选择用户面算法的过程,如图8 所示,包括如下步骤步骤s801、 UE向网络发起业务请求。该请求中还可能携带UE安全能力, 该安全能力可以是UE所支持的所有算法能力集,也可以能是仅仅对于某种业 务UE所支持的算法能力集。该请求中也可以不携带UE安全能力,由于MME 可能已经在前面执行的流程如attach过程、或PDP创建过程中获得了 UE的 安全能力。用户还可能选择一个此次业务通信的安全等级,并在请求消息携 带。步骤s802、 MME获取用户签约信息,根据UE安全能力,并可能结合所 申请的业务对安全等级的需求选取用户面应该采用的算法。如果步骤s801携 带了用户所选,还需要结合用户所选安全等级来选算法。因此MME需要通过某种方法获得业务安全需求。MME可能通过与UPE 的接口获得这一信息,也可能通过HSS获得(比如用户签约信息里就有对某 种业务采用某种安全等级算法的约定),还可能是在MME里面直接配置有这 一信息。MME获得用户业务类型的方法有1)假设UE在请求业务之前已经创建了PDP上下文,并且在PDP上下文创建时,PDP上下文创建是由业务层 实体触发,那么可以由业务层实体通知MME或者UPE,将业务类型与PDP 上下文关联保存。当用户发起业务请求时,根据与其所禾用的PDP上下文便 可知道业务类型。2)用户在业务请求中携带业务类型。例如利用service type (服务类型)参li携带业务类型。步骤s803、 MME激活用户面安全保护,并通过eNodeB向UE转发所选 的用户面算法,该步骤为可选。步骤s804、在执行步骤s803的情况下UE通过eNodeB向MME转发安 全模式响应。步骤s805、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。然后通过接口将所选算法通过激活命令通知UPE;或者通 过向UPE发送一个安全模式命令,将算法告知UPE。另外,安全模式命令可 以与激活命令同时发送。步骤s806、如果前面没有执行步骤s803至s804的用户面安全才莫式启动 过程,则MME在业务接受消息里面将所选算法通知给UE,用户面安全模式 启动命令也可以放到业务接受消息里一起携带。步骤s807、 UE向UPE发送所选算法确认和上行数据。本发明的第八实施例与上述第七实施例的不同之处在于,在本实施例中 是由UPE或者SAE-GW完成用户面安全算法的选择,如图9所示,包括以下 步骤步骤s卯l、 l正向网络发起业务请求,该请求中可能携带UE安全能力。 步骤s902、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。步骤s903、 MME将UE的请求消息转发给UPE ( SAE-GW选择算法时, 发送给SAE-GW)。消息中携带MME获取到的用户签约信息、用户安全能力 以及业务安全需求等信息中的一种或者多种通知UPE( SAE-GW选择算法时, 通知SAE-GW )。如果UE在向MME发送的业务请求消息里没有携带UE安 全能力,MME可能将在前面的过程如attach过程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE (SAE-GW选择算法时,发送给 SAE-GW )。步骤s卯4、 UPE ( SAE-GW选择算法时,为SAE-GW)结合UE安金能 力、业务需求、用户需求之一或者多种、进一步还可能结合自身策略以及用 户签约信息来选择用户面安全算法。需要指出的是UPE ( SAE-GW选择算法 时,为SAE-GW)也可能在如attach过程或PDP创建中获得UE安全能力, 并加以保存。如果前面业务请求消息没有携带UE安全能力,UPE/SAE-GW 可以从保存的信息中获得。在只有加密/不加密两种安全等级情况下,所选择 的加密算法可能是某种算法或者是NULL (无加密算法)。步骤s905、 UPE ( SAE-GW选择算法时,为SAE-GW)向MME发送响 应消息,其中携带所选择的安全算法。步骤s906、 MME在向UE发送的消息中携带所选安全算法,并启动用户 面安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以 上二者相结合的消息里将所选安全算法发给UE。步骤s907、 UE向UPE ( SAE-GW选择算法时,为SAE-GW)发送所选 算法确认以及上行数据。值得指出的是,选择用户面算法时可以不针对业务的特殊需求来选,而 只需要针对用户来选,即选择时参考包括用户能力、签约信息。以上各步骤 中,如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密 便可。本发明的第九实施例与上述第八实施例的不同之处在于,本实施例中在 UPE和MME之间增加了安全模式命令及响应,并且用户的安全能力、安全 需求、以及业务需求等信息是在安全模式命令中发给UPE。 UPE选择算法后, 在安全模式响应中将所选择的算法发送给MME。如图IO所示,具体包括步骤sl001、 UE向网络发起业务请求。该请求中可能携带UE安全能力, 网络侧也可能在前面的如attach过程或PDP上下文创建中获得这一信息。步骤sl002、在MME与UPE分离的情况下,MME结合UPE安全能力, 选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。步骤sl003、 MME将UE的请求消息转发给UPE,将UPE激活。 步骤sl004、 UPE向MME发送激活响应。步骤s1005、 MME向UPE发送启动安全模式命令,其中包括获取到的用 户签约信息、UE安全能力以及业务安全需求。如果UE在向MME发送的业 务请求消息里没有携带UE安全能力,MME可能将在前面的过程如attach过 程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE。步骤sl006、 UPE结合业务需求、用户需求、进一步还可能结合自身策略 来选择用户面安全算法。需要指出的是UPE也可能在如attach过程或PDP创 建中获得UE安全能力并加以保存。如果前面业务请求消息没有携带UE安全 能力,UPE可以从保存的信息中获得。在只有加密/不加密两种安全等级情况 下,所选择加密算法可能是某种算法或者是NULL (无加密算法)。 步骤sl007、 UPE向MME发送携带有选择结果的响应消息。 步骤sl008、 MME在向UE发送的消息中携带所选算法,并启动用户面 安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以上 二者相结合的消息里将所选算法发给UE。步骤sl009、 UE向UPE发送所选算法确认以及上行数据。 值得指出的是以上是以算法选择实体是核心网实体MME或UPE为例, 用户面加密实体是位于UPE上。当执行用户面加密实体放在eNodeB上时, 执行算法选择实体还可以是eNodeB。本发明的第十实施例为网络中另 一种布 局,即将用户面加密实体部署在eNodeB时用户面安全算法的协商过程,如图 ll所示,包括如下步骤步骤s1101、用户UE发送通信请求消息。如果eNodeB没有保存该UE 的安全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择 一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不 加密两种方式之一,还可以是无、低、中或高等不同等级。步骤sl102、 eNodeB选择用户面安全算法,选择时可以根据UE安全能 力,还可能结合用户的安全需求、或业务安全需求、或网络自身策略的一种 或者多种因素来选择用户面安全算法。值得指出的是eNodeB获取用户安全需求可以除了步骤s 1101所示,还可 以从HSS里获得用户签约信息,并从用户签约信息获得用户的安全需求。如 果步骤si 101中用户选择一个希望的安全需求,还可能需要结合用户签约信息 里相关信息判断是否允许这一需求。eNodeB获得HSS存储的用户签约信息中 用户安全需求的方式也有多种在本过程或者前面attach过程中从MME中获 得并加以保存;或者直接从HSS获取。步骤sll03、 eNodeB将所选算法通过用户面安全模式命令或业务接受消 息或者承载建立消息等下行消息发给UE,用户面安全模式命令也可以放到业 务接受消息,承栽建立或者其他下行消息里下发。步骤sl104、 UE向eNodeB发送安全模式响应,其中包括所选择的算法。 本发明的第十一实施例与上述第十实施例相比,仍为将用户面加密实体 部署在eNodeB时用户面安全算法的协商过程,不同的是在此过程中有MME 参与,如图12所示,包括如下步骤步骤sl201、用户UE发送业务请求消息,该消息可能是attach请求、业 务请求、PDP创建/激活请求中的某一种。如果eNodeB没有保存该UE的安 全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择一种 所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密 两种方式之一,还可以是无、低、中或高等不同等级。 步骤s1202、 UPE/eNodeB保存UE上传的安全能力。 步骤s1203、 UPE/eNodeB将UE发送的业务请求消息转发给MME。 步骤sl204、 MME获取网络策略、用户签约信息、业务安全需求中的一 种或者多种信息,并将获取到的信息附加在对eNodeB的响应消息或者在安全 模式命令中发给eNodeB。 MME可能会把用户签约信息发给UPE/eNodeB,也 可能仅把用户安全需求、即与加密算法选择有关信息发送给UPE/eNodeB 。步骤sl205、 UPE/eNodeB选择用户面安全算法。选择时根据UE安全能 力信息,还可能结合用户的安全需求、和/或者业务安全需求。选择时还可以 结合网络自身策略,该网络策略可能是上一步骤中MME下发的,也可能是 eNodeB自身配置的。而业务的安全需求同样可能是从MME接收到的,也可能是eNodeB通过其他方式如从用户签约信息获取、或者UPE/eNodeB通过业 务层实体获取、或者UPE/eNodeB自身有此项配置。步骤si:206、 UPE/eNodeB将所选算法通过用户面安全模式命令或业务 /attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到如业务接受 消息中等下行消息下发。该流程中用户面安全算法的选择也可以放在MME上进行,该种情况下的 步骤具体包括步骤sl211、用户UE发送通信请求消息,该消息可能是attach请求,业 务请求,PDP创建/激活请求中的某一种。如果MME没有保存该用户的安全 能力,则该请求需要携带用户的安全能力。可选的,用户还可能会选择一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密两种方式之一,还可以是无、低、中或 高等不同等级。步骤s1212、 UPE/eNodeB将UE发送的通信请求消息转发给MME。步骤sl213、 MME根据用户能力、业务安全需求、用户需求、用户签约 信息或网路策略中的一种或多种信息,选择一种安全算法。步骤sl214、 MME将所选算法发送给UPE/eNodeB。步骤s1215、 UPE/eNodeB将所选算法通过用户面安全模式命令或业务 /attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到业务接受消 息中下发。务的安全需求来选择算法的流程图。本发明的第十二实施例与以上各实施例 的不同之处在于,只基于用户需求来选择算法。本实施例假设安全算法选择 是基于每用户、每承栽进行的,即对同一个用户建立的不同承载可选择不同 的安全级别的保护,也可以是只针对每用户进行,即同一个网络可针对不同 用户决定是否加密,以及加密的安全等级,而同一个用户不同承载采用相同 安全程度的保护。此过程之前,假设MMEAJPE已经获得了 UE的安全能力。 步骤sBOl、用户终端向网络侧发送通信请求消息,如attach请求,PDP上下文建立请求,或者业务^青求等。该请求消息可能需要包括用户所选择的用户面加密算法安全等级。另外, 如果网络侧没有保存用户安全能力,用户还需要在此消息上报安全能力。安 全等级可能仅仅只有加密和不加密两种可能,也可能是分多种安全等级,如 根据安全算法的安全特性,对不同算法规定如低,高,中等不同等级。步骤sl302、 MME/UPE依据用户安全能力,以及用户安全需求来选择用 户面安全保护采用的安全算法,此选择还可能需要结合网络策略(即网络允 许UE采用的算法)。用户的安全需求的获得有以下几种从步骤sl301中的 用户终端向网络側发送的消息中获得;或在用户订购业务时规定,并保存在 网络侧存储的用户签约信息里。如果在步骤sl301中,用户在通信时选择了此次通信的安全等级,并在请 求中告知网络。那么MME/UPE在选择算法时,还可能需要结合用户签约信 息决定是否允许采用用户侧选择的安全等级。步骤sl303、 MME/UPE通过下行消息将所选算法通知给UE。该消息可 以是业务接受消息,PDP建立确认消息,attach接受消息等,或者是在网络侧 启动用户面加密时,向用户侧发送用户面安全模式启动命令。如果网络决定 不加密,就可不通知UE所选算法,只要不启动用户面加密便可。值得指出的是在MME和UPE分离的情况下,执行算法选择的可能是 UPE,也可能是MME。如杲执行算法选择是MME,那么由MME选择算法 之后通知UE。 MME还需要将算法通知网络侧用户面加密实体。如果网络侧 用户面加密实体是UPE,通过与UPE的接口通知UPE。值得指出的是MME 还可能会根据UPE的安全能力,选择一个合适的UPE之后,再把所选用户面 算法告知该UPE。如果算法是UPE来选择,那么UPE选择算法后通知MME, MME再通 知UE。或者UPE选择算法之后直接通知UE。如果执行网络侧用户面加密功 能的不是UPE(如eNodeB), UPE还需要把选择算法通知给网络侧用户面加密 实体。步骤sl304,用户保存所选算法。如果是基于每承栽建立的安全保护,那么用户可将所选算法与PDP上下文一起4呆存。如果在PDP上下文、激活过程中, 选择用户面安全算法,并且PDP上下文激活由网络侧发起。那么以上步骤中 的步骤sl301中UE发送PDP请求信息需要换成网络侧业务实体(如PCRF) 向MME/UPE发送PDP请求。此实施例同样适用于网络倒选择用户面算法实体为ENodeB的情况。只 不过需要将流程中MME/UPE替换为ENodeB。同时ENodeB需要从核心网得 到用户签约信息或者签约信息中仅是与加密算法相关的信息,网络允许算法 等信息。通过使用上述实施例中提出的选择用户面算法的方法,可以在SAE/LTE 的网络架构中,才艮据业务或者用户的需求选择不同安全级别的算法,即算法 协商可以针对不同的业务、不同的用户来选择,对安全需求不同的各业务提 供了其所需的不同级别的保护。本发明的第十三实施例提供了 一种选择用户面安全算法的系统,该实施 例中,选择用户面安全算法的网络设备为兼具移动管理实体MME和用户面实 体UPE功能的设备,UPE具有用户面加密实体的功能,如图14所示,该系 统包括至少 一个用户终端10以及MME-UPE 20。其中,MME-UPE20为兼有移动管理实体MME与用户面实体UPE功能 的网络側实体,具体地,其进一步包括信息获取单元21、算法选择单元22、 用户面加密单元23、和通知单元24,信息获取单元21,在接收到用户终端IO的请求消息后,获取用户终端安 全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选 择单元22,根据信息获取单元21获取的信息,选择用户终端的用户面安全算 法。用户面加密单元23根据算法选择单元22选择的算法对用户面进行安全 保护。通知单元24,将算法选择单元22所选择的用户面安全算法发送给用户 终端。本发明的第十四实施例提供了 一种选择用户面安全算法的系统,该实施 例中,选择用户面安全算法的网络设备为MME, UPE具有用户面加密实体的 功能,如图15所示,该系统包括至少一个用户终端10、移动管理实体30以及至少一个用户面实体40,该用户面实体40具有用户面力a密实体的功能。其中,移动管理实体30包括信息获取单元31、算法选择单元32、加密 选择单元33和通知单元34,信息获取单元31,在接收到用户终端IO的请求消息后,获取用户终端安 全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选 择单元32,根据信息获取单元31获取的信息,选择用户终端的用户面安全算 法。用户面加密实体选择单元33,在算法选择单元32选择用户面安全算法后, 才艮据所选算法选择与该算法匹配的用户面加密实体即用户面实体UPE,并向 被选的UPE发送指令,激活用户面安全保护。通知单元34,将算法选择单元 32所选择的用户面安全算法发送给被选择的用户面实体UPE、演进节点 eNodeB、用户终端中的一种。用户面实体40包括用户面加密单元41,根据移动管理实体30选择的算 法对用户面进行安全保护。本发明的第十五实施例提供了 一种选择用户面算法的系统,该实施例中, 选择用户面安全算法的网络设备为UPE,且UPE具有用户面加密实体的功能, 如图16所示,该系统包括至少一个用户终端10、移动管理实体50以及至少 一个用户面实体60,该用户面实体60具有用户面加密实体的功能。其中,移动管理实体50包括加密选择单元51,根据各个UPE上用户面 加密实体的安全能力选择UPE并向被选的UPE发送指令。用户面实体60包 括信息获取单元61,在接收到用户终端IO的请求消息后,获取用户终端安全 能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选择 单元62,根据信息获取单元61获取的信息,选择用户终端的用户面安全算法。 用户面加密单元63,根据算法选择单元62选择的算法对用户面进行安全保护。 通知单元64,将算法选择单元62所选择的用户面安全算法发送给被选择的用 户面实体UPE、演进节点eNodeB、用户终端中的一种。以上第十四及第十五实施例中,也可将用户面实体UPE替换为兼具UPE 与eNodeB功能的实体,其他单元的功能不需要进行变化;或将用户面实体 UPE替换为兼具UPE与SAE-GW功能的实体,其他单元的功能不需要进行变化,均可完成选择用户面算法的功能,在此不做重复描述。通过使用上述实施例中提出的选择用户面算法的系统,可以在SAE/LTE 的网络架构中,根据业务或者用户的需求逸棒不同安全级别的算法,对安全 需求不同的各业务提供了其所需的不同级别的保护。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1. 一种选择用户面算法的方法,其特征在于,网络侧实体接收用户终端发送的请求;所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法。
2、 如权利要求1所述选择用户面算法的方法,其特征在于,所述安全信 息包括所述用户终端的安全能力、用户安全需求、业务安全需求中的一种或 多种。
3、 如权利要求2所述选择用户面算法的方法,其特征在于,所述用户安 全需求和/或业务安全需求具体为加密或不加密两种安全等级;或将不同的算法划分为至少两种不同的加密安全等级,属于同一个安全等 级的算法有多种。
4、 如权利要求1所述选择用户面算法的方法,其特征在于,所述选择用 户面安全算法的网络侧实体为移动管理实体、或用户面相关实体、或演进基 站,用户面相关实体包括用户面实体和/或系统构架演进网关。
5、 如权利要求2所述选择用户面算法的方法,其特征在于,所述网络侧 实体获取所述业务安全需求的方式具体为从所述用户终端发送的请求中获得;或 直接在所迷网络侧实体配置并获得;或 在归属客户服务器中配置,从所述归属客户服务器获得;或应用层实体将业务类型和业务安全需求发送给所述网络侧实体。
6、 如权利要求2所述选择用户面算法的方法,其特征在于,所述网络侧 实体获取所述用户安全需求的方式具体为从所述用户终端发送的请求中获得;或所述用户终端在预定业务时选择所述用户安全需求信息,并存储在归属 客户服务器的用户签约信息里;所述网络侧实体从所述归属客户服务器获得 所述用户安全需求信息。
7、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为移动管理实体时,所述移动管理实体通过用户签约信息插入过程、或鉴权向量获得过程从所述归属客户服务器获取所述用户安全需求信息。
8、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为用户面相关实体时,所述用户面相关实体从所迷归属客户服务器或移 动管理实体获取所述用户安全需求信息。
9、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络侧 实体为演进基站时,所述演进基站从移动管理实体获取所述用户安全需求信 息。
10、 如权利要求6所述选择用户面算法的方法,其特征在于,所述网络 侧根据所述用户签约信息判断允许所述用户终端选择的算法。
11、 如^^又利要求4所述选择用户面算法的方法,其特征在于,所述网络 中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实 体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体。
12、 如权利要求11所述选择用户面算法的方法,其特征在于,所述选择 用户面算法的网络側实体为移动管理实体时,所述移动管理实体选择所述算 法后,将所述算法发送给所述用户面加密实体。
13、 如权利要求11或12所述选择用户面算法的方法,所述用户面加密 实体在用户面实体、或演进基站側。
14、 如权利要求4所述选择用户面算法的方法,其特征在于,所述选择 用户面算法的网络侧实体为用户面相关实体时,所述用户面相关实体选择所 述算法后,将所述算法直接发送给所述用户终端,或经移动管理实体将所述 算法发送给所述用户终端。
15、 如权利要求14所述选择用户面算法的方法,其特征在于,当所迷用 户面加密实体不在所述用户面相关实体时,所述用户面相关实体选择所述算 法后,将所述算法发送给所述用户面加密实体。
16、 如权利要求1所述选择用户面算法的方法,其特征在于,所述网络 侧实体接收的请求包括用户终端发送的业务连接请求、分组数据协议PDP上 下文创建请求、PDP上下文激活请求、附着attach请求中的一种。
17、 一种选择用户面算法的系统,包括用户终端和网络侧实体,其特征在于,所述网络侧实体包括信息获取单元和算法选择单元,所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。
18、 如权利要求17所述选择用户面算法的系统,其特征在于,所述网络 侧实体还包括至少一个用户面加密单元,所述用户面加密单元,根据所述算法选择单元选择的算法对用户面进行 安全保护。
19、 如权利要求18所述选择用户面算法的系统,其特征在于,所述网络 侧实体还包括加密选择单元,选择与所述用户终端的安全信息相匹配的用户 面加密单元并向其发送指令,激活用户面安全保护。
20、 如权利要求19所述选择用户面算法的系统,其特征在于,所述用户 面加密单元位于用户面实体或演进基站上,所述加密选择单元位于移动管理 实体上。
21、 如权利要求17所述选择用户面算法的系统,其特征在于,所述信息 获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进 基站上。
22、 一种选择用户面算法的网络侧实体,其特征在于,包括信息获取单 元和算法选择单元;所述信息获取单元,获取用户终端的安全信息;所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户 终端的用户面算法。
全文摘要
本发明公开了一种选择用户面安全算法的方法,包括以下步骤网络侧实体接收用户终端发送的请求;网络侧实体获取并根据用户终端的安全信息选择用户面算法。本发明还提供了一种选择用户面安全算法的系统和设备。通过使用本发明,使得网络可以根据业务或者用户的需求选择不同安全级别的算法,即算法协商可以针对不同的业务、不同的用户来选择。从而使得网络加密操作更加灵活,对安全需求不同的各用户和业务提供了不同级别的保护。
文档编号H04L9/32GK101242629SQ20071000340
公开日2008年8月13日 申请日期2007年2月5日 优先权日2007年2月5日
发明者杨艳梅, 璟 陈 申请人:华为技术有限公司
最新回复(0)