專利名稱:安全功能控制方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域�����,具體而言���,涉及一種安全功能控制方法 和系統(tǒng)�����。
背景技術(shù):
如圖l所示�,3GPP演進(jìn)的分組系統(tǒng)(Evolved Packet System , 簡稱EPS)由演進(jìn)的陸地?zé)o線接入網(wǎng)(Evolved UMTS Terrestrial Radio Access Network,簡稱EUTRAN )和EPS斗亥心網(wǎng)(Evolved Packet Core,簡稱EPC)組成。其中��,EPS核心網(wǎng)由移動管理單元 (Mobility Management Entity,簡-爾MME )���、月良務(wù)網(wǎng)關(guān)(Serving Gateway,簡稱S-GW )���、分組凝:據(jù)網(wǎng)網(wǎng)關(guān)(Packet Data Network Gateway,簡稱PDN GW )、歸屬用戶月良務(wù)器(Home Subscriber Server, 簡稱HSS )����、以及其他支撐節(jié)點(diǎn)組成��。EUTRAN與MME之間的4妄 口為S1-MME���、與月良務(wù)網(wǎng)關(guān)之間的接口為Sl-U, MME與歸屬用戶 服務(wù)器之間的接口為S6a��、與服務(wù)網(wǎng)關(guān)之間的接口為Sll����,服務(wù)網(wǎng)關(guān) 與分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)之間的接口為S5��。分組數(shù)據(jù)網(wǎng)網(wǎng)關(guān)到外部網(wǎng)絡(luò)的 接口為SGi�。其中,MME負(fù)責(zé)移動性的管理���、非接入層信令的處理、以及 用戶安全模式的管理等控制面相關(guān)工作����。歸屬用戶服務(wù)器主要負(fù)責(zé) 存儲用戶的簽約數(shù)據(jù)����、用戶在網(wǎng)絡(luò)中的位置、以及網(wǎng)絡(luò)的配置等�����。在演進(jìn)的UTRAN中����,基站i殳備為演進(jìn)的基站(evolved Node-B����, 簡稱eNB),主要負(fù)責(zé)無線通訊�����、移動性上下文的管理���、和/或用戶 安全模式的管理�����。在歸屬用戶服務(wù)器中保存的用戶簽約數(shù)據(jù)包括該用戶是否簽約 某個(gè)運(yùn)營商的網(wǎng)絡(luò)服務(wù)���、和該用戶是否簽約某項(xiàng)業(yè)務(wù)的數(shù)據(jù)等。運(yùn) 營商可以#4居用戶的業(yè)務(wù)需求,或者運(yùn)營商自己的策略�����,對用戶簽 約數(shù)據(jù)進(jìn)行配置。HSS可以向MME發(fā)送用戶簽約數(shù)據(jù)���,用戶簽約數(shù)據(jù)中可以攜 帶安全功能控制指示信息�����,如���,該用戶是不要用戶面加密的指示。在EPS中���,用戶i殳備(User Equipment,簡稱UE )和MME之 間需要進(jìn)行非接入層(Non Access Stratum,簡稱NAS )信令的完整 性保護(hù)和加密�����。UE和UTRAN的eNB之間需要進(jìn)行接入層(Access Stratum,簡稱AS)信令的加密和完整性保護(hù)和用戶面的加密����。安 全功能包括以上的加密及完整性保護(hù)功能����。每一種安全功能實(shí)現(xiàn)所 需要的算法有多種可能�,具體使用哪種算法需要EPS和UE進(jìn)行協(xié) 商���。其中�����,MME或者eNB根據(jù)3種條件選擇算法��。1, UE支持的 安全算法。2�����, MME或者eNB自身支持的安全算法���。3, MME配 置的允許的算法列表����。MME或者eNB只能選擇同時(shí)滿足這3個(gè)條件的算法。其中一 條必須滿足的條件是條件3,每個(gè)UE對應(yīng)的允許的算法列表�����。MME 配置保存改列表���。對于每一項(xiàng)安全功能����,該列表可能包含僅僅一個(gè) 算法。在UE的移動性狀態(tài)由空閑(IDLE)變?yōu)榛钴S(ACTIVE)時(shí)�����, 由MME選擇NAS層和AS層的算法�����。切換(Handover )時(shí)�,由eNB 選擇AS層的算法����,NAS層的算法不需要重新選擇。在實(shí)現(xiàn)本發(fā)明過程中�,發(fā)明人發(fā)現(xiàn)對于eNB和MME來說,如 果對每一個(gè)用戶都進(jìn)行安全保護(hù)���,包括用戶面加密和無線資源控制 (RRC, Radio Resource Control)力��。密和完整性保護(hù)����,那么會帶來 4交大的處理負(fù)載(processing load )����。發(fā)明內(nèi)容本發(fā)明旨在提供一種基于用戶的安全功能控制方法的方法和系 載較大的問題�。在本發(fā)明的實(shí)施例中����,沖是供了一種安全功能控制方法,包括以 下步驟MME接收用戶簽約數(shù)據(jù)��,從中識別關(guān)于用戶的安全功能 的指示信息����;MME根據(jù)指示信息配置算法列表;以及按照算法列 表以及預(yù)定條件選擇算法�����,以選擇的算法對用戶執(zhí)行安全功能���,預(yù) 定條件包4舌UE支持的安全算法和MME或者eNB自身支持的安全 算法��。優(yōu)選的�����,指示信息包4舌以下至少之一是否對用戶實(shí)施用戶面 加密功能����;是否對用戶實(shí)施NAS信令加密功能;是否對用戶實(shí)施 RRC信令加密功能�。優(yōu)選的,MME根據(jù)指示信息配置算法列表具體包括如果指 示信息指示對用戶不實(shí)施特定的加密功能���,則在算法列表中設(shè)置對 應(yīng)于特定的加密功能的選項(xiàng)為空算法��。優(yōu)選的�����,按照算法列表選擇算法,以選擇的算法對用戶執(zhí)行安全功能具體包括如果算法列表中的選項(xiàng)為空算法���,則不對用戶執(zhí) 行特定的加密功能���。優(yōu)選的,如果指示信息指示對用戶不實(shí)施特定的加密功能����,則 在算法列表中設(shè)置對應(yīng)于特定的加密功能的選項(xiàng)為空算法具體包 括如果指示信息指示對用戶不實(shí)施用戶面加密功能,則在算法列 表中設(shè)置對應(yīng)于用戶面加密功能的選項(xiàng)為空算法��;如果指示信息指 示對用戶不實(shí)施NAS信令加密功能,則在算法列表中設(shè)置對應(yīng)于 NAS信令加密功能的選項(xiàng)為空算法�����;如果指示信息指示對用戶不實(shí) 施RRC信令加密功能��,則在算法列表中設(shè)置對應(yīng)于RRC信令加密 功能的選項(xiàng)為空算法���。優(yōu)選的�,4安照算法列表選4奪算法�,以選4奪的算法對用戶沖丸行安 全功能具體包括如果對應(yīng)于用戶面加密功能的選項(xiàng)為空算法,則 不對用戶沖丸4亍用戶面加密功能��;如果對應(yīng)于NAS信令加密功能的選 項(xiàng)為空算法����,則不對用戶執(zhí)行NAS信令加密功能;如果對應(yīng)于RRC4言令加密功能的選項(xiàng)為空算法��,則不對用戶扭^f亍RRC 4言令加密功臺匕 3匕���。在本發(fā)明的實(shí)施例中�,還提供了一種安全功能控制系統(tǒng)�,包括 MME和執(zhí)行裝置�,MME包括接收模塊�,用于接收用戶簽約數(shù)據(jù); 識別模塊��,用于從用戶簽約數(shù)據(jù)中識別關(guān)于用戶的安全功能的指示 信息�;配置模塊,用于根據(jù)指示信息配置算法列表��;執(zhí)行裝置用于 按照算法列表以及預(yù)定條件選擇算法����,以選擇的算法對用戶執(zhí)行安 全功能,預(yù)定條件包括UE支持的安全算法和MME或者eNB自身 支持的安全算法����。伊G選的�����,指示4言息包4舌以下至少之一是否乂于用戶實(shí)施用戶面 加密功能�;是否對用戶實(shí)施NAS信令加密功能;是否對用戶實(shí)施 RRC信令加密功能���。優(yōu)選的���,配置才莫塊用于如果指示信息指示對用戶不實(shí)施特定的 加密功能�,則在算法列表中設(shè)置對應(yīng)于特定的加密功能的選項(xiàng)為空 算法�����。優(yōu)選的�����,扭^亍裝置用于如果算法列表中的選項(xiàng)為空算法����,則不 對用戶執(zhí)行特定的加密功能。本發(fā)明的實(shí)施例提供的基于用戶的安全功能控制方法和系統(tǒng)因 為根據(jù)用戶簽約數(shù)據(jù)中的關(guān)于安全功能的指示配置允許的安全算法 列表�,從而控制算法的選擇,所以克服了對所有用戶都進(jìn)行同級別 的安全保護(hù)導(dǎo)致處理負(fù)載較大的問題���,進(jìn)而可以根據(jù)用戶的情況針 對性地提供相應(yīng)的安全保護(hù)����,從而達(dá)到了減輕處理負(fù)載����,提高系統(tǒng) 歲支率的步文果�����。
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解��,構(gòu)成本申 請的一部分�,本發(fā)明的示意性實(shí)施例及其"i兌明用于解釋本發(fā)明����,并 不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1示出了現(xiàn)有技術(shù)中的EPS系統(tǒng)的架構(gòu)圖��;圖2示出了根據(jù)本發(fā)明實(shí)施例的安全功能控制方法的流程圖���;圖3示出了應(yīng)用圖2所示方法實(shí)現(xiàn)不實(shí)施安全功能的一個(gè)實(shí)施 例的流禾呈示意圖���;以及圖4示出了應(yīng)用圖2所示方法實(shí)現(xiàn)不實(shí)施安全功能的另一個(gè)實(shí) 施例的流程示意圖;圖5示出了才艮據(jù)本發(fā)明實(shí)施例的MME的方?jīng)_匡圖��。
具體實(shí)施方式
下面將參考附圖并結(jié)合實(shí)施例����,來詳細(xì)說明本發(fā)明����。圖2示出了才艮據(jù)本發(fā)明實(shí)施例的安全功能控制方法的流程圖��, 包4舌以下步驟步驟SIO, MME接收用戶簽約數(shù)據(jù)���,從中識別關(guān)于用戶的安全 功能的指示信息;步驟S20, MME根據(jù)指示信息配置算法列表���;以及步驟S30�����,按照算法列表以及預(yù)定條件選擇算法�����,以選擇的算 法對用戶才丸4于安全功能����,預(yù)定條件包括UE支持的安全算法和MME 或者eNB自身支持的安全算法?���,F(xiàn)有4支術(shù)中的MME或者eNB才艮據(jù)3種條件選擇算法。1 , UE 支持的安全算法��。2, MME或者eNB自身支持的安全算法����。3, MME 配置的允許的算法列表��。而該實(shí)施例的安全功能控制方法對于其中 的條件3予以改進(jìn)�����。具體來說����,該安全功能控制方法因?yàn)楦鶕?jù)用戶 簽約數(shù)據(jù)中的關(guān)于安全功能的指示配置允許的安全算法列表,從而 控制算法的選擇����,所以克服了對所有用戶都進(jìn)行同級別的安全保護(hù) 導(dǎo)致處理負(fù)載較大的問題,進(jìn)而可以根據(jù)用戶的情況針對性地提供 相應(yīng)的安全^f呆護(hù)���,乂人而達(dá)到了減輕處理負(fù)載��,才是高系統(tǒng)效率的效果。優(yōu)選的,上述指示信息包括以下至少之一是否對用戶實(shí)施用 戶面加密功能���;是否對用戶實(shí)施NAS信令加密功能��;以及是否對用 戶實(shí)施RRC信令加密功能�。優(yōu)選的�,步驟S20具體包括如果指示信息指示對用戶不實(shí)施 特定的加密功能,則在算法列表中設(shè)置對應(yīng)于特定的加密功能的選 項(xiàng)為空算法����。優(yōu)選的,步驟S30具體包括如果算法列表中的選項(xiàng)為空算法�, 則不對用戶寺丸4亍特定的加密功能。優(yōu)選的�����,如果指示信息指示對用戶不實(shí)施特定的加密功能�,則 在算法列表中設(shè)置對應(yīng)于特定的加密功能的選項(xiàng)為空算法具體包 括如果指示信息指示對用戶不實(shí)施用戶面加密功能,則在算法列 表中i殳置對應(yīng)于用戶面加密功能的選項(xiàng)為空算法����;如果指示信息指 示對用戶不實(shí)施NAS信令加密功能,則在算法列表中i殳置對應(yīng)于 NAS信令加密功能的選項(xiàng)為空算法�;如果指示信息指示對用戶不實(shí) 施RRC信令加密功能��,則在算法列表中設(shè)置對應(yīng)于RRC信令加密 功能的選項(xiàng)為空算法�����。優(yōu)選的�,步-驟S30包4舌如果對應(yīng)于用戶面加密功能的選項(xiàng)為 空算法���,則不對用戶寺丸行用戶面加密功能��;如果對應(yīng)于NAS信令加 密功能的選項(xiàng)為空算法�,則不對用戶才丸4亍NAS信令加密功能�����;如果 對應(yīng)于RRC信令加密功能的選項(xiàng)為空算法���,則不對用戶扭J亍RRC 信令加密功能�����。在上述的實(shí)施例中�����,MME收到用戶簽約數(shù)據(jù)后���,能夠識別用 戶簽約數(shù)據(jù)中相關(guān)安全功能的指示信息。以上安全功能的指示信息表示的是該用戶對應(yīng)的加密功能是否 應(yīng)該一皮實(shí)施���。例如����,指示信息表示���,該用戶的用戶面加密功能不應(yīng)該-波實(shí)施�,或者���,該用戶的NAS〗言令加密不應(yīng)該:帔實(shí)施�����,或者��,該用戶的RRC信令加密不應(yīng)該被實(shí)施�����。其中����,安全算法的選擇根據(jù)若干個(gè)條件進(jìn)行,上述允許的算法 列表為其中一個(gè)必須滿足的條件��。安全功能中����,只有NAS加密, RRC加密以及UP加密有可能4吏用空算法�。如果MME爿奪允i午的算 法列表中,NAS加密或者RRC力口密或者用戶面加密算法列表配置 為空算法���,那么在算法選擇的時(shí)候���,必須選擇空算法。另外���,上述的步驟S30可以由MME或者eNB來4丸4亍�。這些優(yōu)選實(shí)施例因才采用了空算法�,所以可以將用戶面加密等 安全保護(hù)功能作為一種業(yè)務(wù)提供給有需要的用戶,還可以提供一種 用戶監(jiān)聽的手段�����,這豐富了運(yùn)營商的業(yè)務(wù)選擇。圖3示出了應(yīng)用圖2所示方法實(shí)現(xiàn)不實(shí)施安全功能的一個(gè)實(shí)施 例的流程示意圖���,i兌明應(yīng)用圖2所示方法實(shí)現(xiàn)不實(shí)施安全功能的一 個(gè)實(shí)施例的流程��。在UE的移動性狀態(tài)由空閑轉(zhuǎn)為活;沃時(shí),MME選 才奪AS算法�����,包括RRC完整性保護(hù)算法����,RRC加密算法,和用戶面 加密算法�。這里假設(shè)MME根據(jù)用戶簽約信息中的指示,將允許的 算法列表中用戶面的加密算法配置為僅僅包含空算法��。如圖3所示���, 由MME選擇用戶面空算法的流程包括以下步驟S302, UE向eNB發(fā)送層3消息(即����,NAS業(yè)務(wù)請求消息)。 同時(shí)發(fā)送UE安全能力(即���,UE支持的AS加密算法列表)���。S304, eNB向MME轉(zhuǎn)發(fā)層3消息,同時(shí)發(fā)送eNB的安全能力 (即�����,eNB支持的AS算法列表)����。S306, UE和MME之間可選地進(jìn)4亍認(rèn)證。S308���, MME識別出用戶簽約數(shù)據(jù)中的不需要用戶面加密的指 示信息����。S310, MME根據(jù)上述信息配置允許的算法列表����,包括NAS算 法列表和AS算法列表。上述允許的AS算法列表中,包括RRC完整性保護(hù)算法列表���, RRC加密算法列表���,和UP加密算法列表。其中��,MME根據(jù)用戶 簽約數(shù)據(jù)中的指示信息�,將UP加密算法列表配置為僅僅包含空算 法。S312��,為用戶面加密選沖奪空算法����。其中�,MME選擇的AS算法必須包含在允許的AS算法列表中, 即�,如果其中RRC力口密算法列表和/或UP加密算法列表僅僅包含 空算法,那么MME只能為RRC加密和/或UP加密選擇空算法�����。S314, MME向eNB發(fā)送eRANAP消息��,該消息中包4舌所選4奪 的RRC算法和用戶面加密算法�����。S316, eNB向UE發(fā)送接入層安全模式命令消息,該命令消息 中包含所選擇的RRC算法和用戶面加密算法�����。S318 �, UE向eNB回復(fù)4妄入層安全才莫式命令完成消息。圖4示出了應(yīng)用圖2所示方法實(shí)現(xiàn)不實(shí)施安全功能的另一個(gè)實(shí) 施例的流程示意圖�。UE在2個(gè)eNB之間切換時(shí),需要由目標(biāo)eNB 重新選擇AS安全算法����。這里假設(shè)MME根據(jù)用戶簽約信息中的指 示,將允許的算法列表中用戶面的加密算法配置為僅僅包含空算法���。 如圖4所示�����,由目標(biāo)eNB選擇用戶面空算法的流程包括以下步4聚S402����, UE向源eNB發(fā)送無線測量報(bào)告,源eNB根據(jù)無線測量 報(bào)告作出切換決定��。S404���,源eNB向目標(biāo)eNB發(fā)送切換命令�����,在切換命令中��,包 含該UE對應(yīng)的允許的AS算法列表���。該列表是MME配置保存的, 源eNB /人MME獲耳又該算法列表�。上述允許的AS算法列表中,包括RRC完整性保護(hù)算法列表�, RRC加密算法列表��,和用戶面加密算法列表���。其中�,MME根據(jù)用 戶簽約數(shù)據(jù)中的指示信息����,將用戶面加密算法列表配置為僅僅包含 空算法��。目標(biāo)eNB根據(jù)上述允許的AS算法列表���,以及其他條件,選擇 用戶面的加密算法為空算法�。其中,eNB選擇的AS算法必須包含在允許的AS算法列表中���, 即���,如果其中RRC加密算法列表和/或UP加密算法列表僅僅包含 空算法,那么eNB只能為RRC加密和/或UP加密選擇空算法�。S406,目標(biāo)eNB向源eNB發(fā)送切換請求確認(rèn)�����,其中包括所選 擇的AS安全算法�����。S408�,源eNB向UE發(fā)送切換命令�����,其中包括目標(biāo)eNB選擇 的AS安全算法���。S410, UE向目標(biāo)eNB發(fā)送切4奐確認(rèn)�����。S412,目標(biāo)eNB向MME發(fā)送切換完成�����。S414, MME向目標(biāo)eNB發(fā)送切才奐完成確i人�����。S416 �,目標(biāo)eNB向源eNB發(fā)送釋方i:資源命令。本發(fā)明實(shí)施例還提供了一種安全功能控制系統(tǒng)��,其包括MME 和執(zhí)行裝置�����。圖5示出了根據(jù)本發(fā)明實(shí)施例的MME的方框圖�����,其包括 接收模塊10���,用于接收用戶簽約數(shù)據(jù)���;識別模塊20 ,用于從用戶簽約數(shù)據(jù)中識別關(guān)于用戶的安全功能 的指示信息�����;配置模塊30���,用于根據(jù)指示信息配置算法列表�。執(zhí)行裝置用于按照算法列表選擇算法�,以選擇的算法對用戶執(zhí) 4亍安全功能。該沖丸4亍裝置可以由MME或者eNB來實(shí)現(xiàn)���。其中����,執(zhí)行裝置用于按照算法列表選擇算法,以選擇的算法對 用戶沖丸4亍安全功能����。該沖丸4亍裝置可以由MME或者eNB來實(shí)現(xiàn)。該安全功能控制系統(tǒng)因?yàn)楦鶕?jù)用戶簽約數(shù)據(jù)中的關(guān)于安全功能 的指示配置允許的安全算法列表�,從而控制算法的選擇,所以克服 了對所有用戶都進(jìn)行同級別的安全保護(hù)導(dǎo)致處理負(fù)載較大的問題����, 進(jìn)而可以根據(jù)用戶的情況針對性地提供相應(yīng)的安全保護(hù),從而達(dá)到 了減輕處理負(fù)載�,提高系統(tǒng)效率的效果。優(yōu)選的���,上述指示信息包4舌以下至少之一是否對用戶實(shí)施用 戶面加密功能����;是否對用戶實(shí)施NAS信令加密功能�;以及是否對用 戶實(shí)施RRC信令加密功能。優(yōu)選的�,配置才莫塊30用于如果指示信息指示對用戶不實(shí)施特定 的加密功能,則在算法列表中設(shè)置對應(yīng)于特定的加密功能的選項(xiàng)為 空算法�����。執(zhí)行裝置可以用于如果算法列表中的選項(xiàng)為空算法�����,則不 對用戶#丸4亍特定的加密功能���。乂人以上的描述中�����,可以看出����,上述實(shí)施例的安全功能控制方法 和系統(tǒng)因?yàn)楦鶕?jù)用戶簽約數(shù)據(jù)中的關(guān)于安全功能的指示配置允許的 安全算法列表����,從而控制算法的選擇,所以克服了對所有用戶都進(jìn) 行同級別的安全保護(hù)導(dǎo)致處理負(fù)載較大的問題���,進(jìn)而可以根據(jù)用戶 的情況針對性地提供相應(yīng)的安全保護(hù)����,從而達(dá)到了減輕處理負(fù)載����,^:高系統(tǒng)效率的效果��。這些優(yōu)選實(shí)施例因才采用了空算法����,所以可以將用戶面加密等 安全保護(hù)功能作為一種業(yè)務(wù)提供給有需要的用戶�����,還可以提供一種 用戶監(jiān)聽的手革殳�,這豐富了運(yùn)營商的業(yè)務(wù)選4奪。另夕卜�,作為提供給某些網(wǎng)絡(luò)的一種可選的方法,本發(fā)明上述實(shí) 施例對現(xiàn)有網(wǎng)絡(luò)的i殳備配置和流程的影響減到了最低���,不影響不需 要這種方法的網(wǎng)絡(luò)對現(xiàn)有4支術(shù)的4吏用��。顯然��,本領(lǐng)域的技術(shù)人員應(yīng)該明白�,上述的本發(fā)明的各模塊或 各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)�����,它們可以集中在單個(gè)的計(jì)算 裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上����,可選地��,它們 可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)����,從而,可以將它們存儲在存儲裝置中由計(jì)算裝置來執(zhí)行�����,或者將它們分別制作成各個(gè)集成 電路模塊��,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模 塊來實(shí)現(xiàn)�����。這樣�����,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述〗又為本發(fā)明的優(yōu)選實(shí)施例而已��,并不用于限制本發(fā)明�����, 對于本領(lǐng)域的技術(shù)人員來說����,本發(fā)明可以有各種更改和變化。凡在 本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改��、等同替換����、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種安全功能控制方法,其特征在于����,包括以下步驟移動管理單元接收用戶簽約數(shù)據(jù)���,從中識別關(guān)于用戶的安全功能的指示信息;所述移動管理單元根據(jù)所述指示信息配置算法列表����;以及按照所述算法列表以及預(yù)定條件選擇算法,以選擇的算法對所述用戶執(zhí)行安全功能�,所述預(yù)定條件包括用戶設(shè)備支持的安全算法和所述移動管理單元或者演進(jìn)的基站自身支持的安全算法�。
2. 根據(jù)權(quán)利要求1所述的安全功能控制方法,其特征在于���,所述 指示信息包括以下至少之一 是否對所述用戶實(shí)施用戶面加密功能���;是否對所述用戶實(shí)施NAS信令加密功能;是否對所述用戶實(shí)施RRC信令加密功能��。
3. 根據(jù)權(quán)利要求1所述的安全功能控制方法�����,其特征在于�����,所述 移動管理單元根據(jù)所述指示信息配置算法列表具體包括如果所述指示信息指示對所述用戶不實(shí)施特定的加密功 能,則在所述算法列表中設(shè)置對應(yīng)于所述特定的加密功能的選 項(xiàng)為空算法�����。
4. 根據(jù)權(quán)利要求3所述的安全功能控制方法�,其特征在于,按照 所述算法列表選擇算法���,以選擇的算法對所述用戶執(zhí)行安全功 能具體包括如果所述算法列表中的所述選項(xiàng)為空算法�����,則不對所述用 戶執(zhí)行所述特定的加密功能���。
5. 根據(jù)權(quán)利要求3所述的安全功能控制方法,其特征在于���,如果 所述指示信息指示對所述用戶不實(shí)施特定的加密功能����,則在所 述算法列表中設(shè)置對應(yīng)于所述特定的加密功能的選項(xiàng)為空算 法具體包括如果所述指示信息指示對所述用戶不實(shí)施用戶面加密功 能����,則在所述算法列表中設(shè)置對應(yīng)于所述用戶面加密功能的選 項(xiàng)為空算法�;如果所述指示^f言息指示對所述用戶不實(shí)施NAS〗言令加密 功能���,則在所述算法列表中設(shè)置對應(yīng)于所述用戶面加密功能的 選項(xiàng)為空算法����;如果所述指示信息指示對所述用戶不實(shí)施RRC信令加密 功能��,則在所述算法列表中"i殳置對應(yīng)于所述用戶面加密功能的 選項(xiàng)為空算法��。
6. 根據(jù)權(quán)利要求5所述的安全功能控制方法����,其特征在于�����,按照 所述算法列表選擇算法��,以選擇的算法對所述用戶執(zhí)行安全功 能具體包括如果對應(yīng)于所述用戶面加密功能的選項(xiàng)為空算法����,則不對 所述用戶扭^f亍所述用戶面加密功能����;如果對應(yīng)于所述NAS信令加密功能的選項(xiàng)為空算法�,則 不對所述用戶執(zhí)行所述NAS信令加密功能;如果對應(yīng)于所述RRC信令加密功能的選項(xiàng)為空算法����,則 不對所述用戶^M亍所述RRC信令加密功能。
7. —種安全功能控制系統(tǒng)����,其特征在于,包括移動管理單元���,其包括接收模塊�,用于接收用戶簽約數(shù)據(jù)�����;識別才莫塊�,用于從所述用戶簽約數(shù)據(jù)中識別關(guān)于用 戶的安全功能的指示信息;以及配置模塊�����,用于根據(jù)所述指示信息配置算法列表;執(zhí)行裝置�����,用于按照所述算法列表以及預(yù)定條件選擇算 法�����,以選擇的算法對所述用戶執(zhí)行安全功能����,所述預(yù)定條件包 括用戶設(shè)備支持的安全算法和所述移動管理單元或者演進(jìn)的 基站自身支持的安全算法。
8. 根據(jù)權(quán)利要求7所述的安全功能控制系統(tǒng)����,其特征在于,所述 指示信息包括以下至少之一是否對所述用戶實(shí)施用戶面加密功能�;是否對所述用戶實(shí)施NAS信令加密功能��;是否對所述用戶實(shí)施RRC信令加密功能����。
9. 根據(jù)權(quán)利要求7所述的安全功能控制系統(tǒng),其特征在于���,所述 配置才莫塊用于如果所述指示信息指示對所述用戶不實(shí)施特定 的加密功能���,則在所述算法列表中設(shè)置對應(yīng)于所述特定的加密 功能的選項(xiàng)為空算法����。
10. 根據(jù)權(quán)利要求9所述的安全功能控制系統(tǒng)����,其特征在于,所述 才丸行裝置用于如果所述算法列表中的所述選項(xiàng)為空算法�,則不 對所述用戶執(zhí)行所述特定的加密功能。
全文摘要
本發(fā)明提供了一種安全功能控制方法和系統(tǒng)����,方法包括以下步驟MME接收用戶簽約數(shù)據(jù),從中識別關(guān)于用戶的安全功能的指示信息��;MME根據(jù)指示信息配置算法列表��;以及按照算法列表以及預(yù)定條件選擇算法��,以選擇的算法對用戶執(zhí)行安全功能���,預(yù)定條件包括UE支持的安全算法和MME或者eNB自身支持的安全算法�����。本發(fā)明可以將用戶面加密作為一種業(yè)務(wù)提供給有需要的用戶���,還可以提供一種用戶監(jiān)聽的手段���,豐富了運(yùn)營商的業(yè)務(wù)選擇。
文檔編號H04L9/28GK101262337SQ20081000820
公開日2008年9月10日 申請日期2008年2月5日 優(yōu)先權(quán)日2008年2月5日
發(fā)明者露 甘 申請人:中興通訊股份有限公司