專利名稱:安全算法協(xié)商的方法、裝置及網(wǎng)絡(luò)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別涉及安全算法協(xié)商的方法、裝置及網(wǎng)絡(luò)系統(tǒng)���。
背景技術(shù):
在通用移動通信系統(tǒng)(UniversalMobile Telecommunication System,UMTS)中�����,需要無線網(wǎng)絡(luò)控制器(Radio Network Controller,RNC)和用戶終端(User Equipment,UE)執(zhí)行加密/解密和完整性保護(hù)操作�����,即對UE的數(shù)據(jù)提供機(jī)密性保護(hù)���,UE和RNC之間的信令提供機(jī)密性和完整性保護(hù)。由于不同UE所支持的加密/解密和完整性算法不同�����,因此�,在加密/解密和完整性保護(hù)之前,需要協(xié)商加密/解密算法和完整性算法�����。由于UMTS系統(tǒng)僅需在接入(Access Stratum, AS)層提供保護(hù)����,因此���,UMTS系統(tǒng)在UE和RNC之間協(xié)商了加密/解密和完整性算法。 在系統(tǒng)演進(jìn)架構(gòu)(SystemArchitecture Evolution, SAE) / 長期演進(jìn)(Long TermEvolution, LTE)系統(tǒng)中��,如圖I所示����,核心網(wǎng)包括移動性管理實(shí)體(Mobility ManagementEntity, MME)���、用戶面實(shí)體(User Plane Entity, UPE)和接入系統(tǒng)間錨點(diǎn)(InterAccessSystemAnchor, IASA)���,其中,MME用于負(fù)責(zé)控制面的移動性管理��,包括用戶上下文和移動狀態(tài)管理����,分配用戶臨時身份標(biāo)識、安全信息等���;UPE負(fù)責(zé)空閑狀態(tài)下為下行數(shù)據(jù)發(fā)起尋呼�,管理保存IP承載參數(shù)和網(wǎng)絡(luò)內(nèi)部信息等;IASA作為不同系統(tǒng)間的用戶間錨點(diǎn)��,接入網(wǎng)由演進(jìn)基站(Evolved Node Base, eNodeB)構(gòu)成�;在該系統(tǒng)中,信令面的接入層信令的安全終結(jié)在eNodeB上����,信令面的非接入層的安全,即核心網(wǎng)信令面的安全終結(jié)在MME上����,用戶面的安全終結(jié)在UPE上。因此����,信令面的安全終結(jié)點(diǎn)有eNodeB,MME�����,而安全終結(jié)點(diǎn)在對數(shù)據(jù)或者信令執(zhí)行相應(yīng)的安全保護(hù)之前�����,需要協(xié)商該安全終結(jié)點(diǎn)與用戶終端(User Equipment, UE)都支持的安全算法,即eNodeB與UE之間需要協(xié)商接入層AS安全算法����,MME與UE之間需要協(xié)商非接入層(None Access Stratum, NAS)安全算法。現(xiàn)有的SAE/LTE系統(tǒng)中無法協(xié)商出安全算法��,即接入層AS安全算法和非接入層NAS安全算法����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例的目的是提供ー種安全算法協(xié)商的方法、裝置及網(wǎng)絡(luò)系統(tǒng)�����,能夠在SAE/LTE系統(tǒng)中協(xié)商出安全算法��。為解決上述技術(shù)問題��,本發(fā)明實(shí)施例的目的是通過以下技術(shù)方案實(shí)現(xiàn)的—種安全算法協(xié)商的方法��,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中�,該方法包括接收用戶終端所能支持的安全算法信息���;根據(jù)所述安全算法信息�����,選擇安全算法��;向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識����。ー種安全算法協(xié)商的裝置,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中��,該裝置包括信息接收單元���,用于接收用戶終端所能支持的安全算法信息����;
安全算法選擇單元�����,用于根據(jù)所述安全算法信息�����,選擇安全算法���;發(fā)送單元����,用于向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識。一種網(wǎng)絡(luò)系統(tǒng)�,該系統(tǒng)包括演進(jìn)基站,移動性管理實(shí)體�,其中,所述演進(jìn)基站���,用于向所述移動性管理實(shí)體發(fā)送用戶終端支持的安全算法信息���;將來自所述移動性管理實(shí)體的第一標(biāo)識發(fā)送給所述用戶終端;所述移動性管理實(shí)體���,用于根據(jù)所述安全算法信息和網(wǎng)絡(luò)允許用戶使用的算法信息��,選擇非接入層安全算法,輸出表示所述非接入層安全算法的第一標(biāo)識���。以上技術(shù)方案可以看出�,本發(fā)明實(shí)施例通過根據(jù)用戶終端所能支持的安全算法信息�����,選擇安全算法,并向用戶終端發(fā)送表示所選擇的安全算法的標(biāo)識���,能夠在SAE/LTE系統(tǒng)中協(xié)商安全算法���。
圖I為現(xiàn)有技術(shù)中SAE/LTE系統(tǒng)結(jié)構(gòu)圖;圖2為本發(fā)明實(shí)施例一所提供的安全算法協(xié)商的方法流程圖��;圖3為本發(fā)明實(shí)施例二所提供的安全算法協(xié)商的方法流程圖���;圖4為本發(fā)明實(shí)施例三所提供的安全算法協(xié)商的方法流程圖�����;圖5為本發(fā)明實(shí)施例四所提供的安全算法協(xié)商的方法流程圖�����;圖6為本發(fā)明實(shí)施例五所提供的安全算法協(xié)商的方法流程圖��;圖7為本發(fā)明實(shí)施例六所提供的安全算法協(xié)商的方法流程圖�����;圖8為本發(fā)明實(shí)施例七所提供的安全算法協(xié)商的方法流程圖��;圖9為本發(fā)明實(shí)施例八所提供的安全算法協(xié)商的方法流程圖�;圖10為本發(fā)明實(shí)施例九所提供的安全算法協(xié)商的裝置結(jié)構(gòu)圖;圖11為本發(fā)明實(shí)施例十所提供的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖���。
具體實(shí)施例方式下面參照附圖���,對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。參閱圖2�,本發(fā)明的實(shí)施例一所提供的安全算法協(xié)商的方法包括實(shí)施一中層3消息以初始層3消息為例,初始層3消息在無線資源連接(RadioResource Connection, RRC)請求消息中攜帶,將初始層3響應(yīng)信息在RRC建立消息中攜帶����,由MME選擇NAS安全算法,eNodeB選擇AS安全算法�����;步驟201��、UE向eNodeB發(fā)送無線資源連接RRC請求消息�����,該請求消息中包括-AS安全能力和初始層3消息�,初始層3消息攜帶NAS安全能力;其中��,AS安全能力是UE所能支持的AS安全算法信息���,即AS安全算法列表�����,NAS安全能力是UE所能支持的NAS安全算法信息�����,即NAS安全算法列表���;步驟202、eNodeB保存AS安全能力����;步驟203、eNodeB向MME發(fā)送RANAP消息�����,該消息中攜帶初始層3消息,初始層3消息中攜帶UE的NAS安全能力�;步驟204、MME根據(jù)UE的NAS安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息��,選擇出NAS安全算法����;或者,根據(jù)NAS安全能力����、網(wǎng)絡(luò)允許用戶使用的算法信息和用戶的簽約信息,選擇出NAS安全算法�����;其中�,網(wǎng)絡(luò)允許用戶使用的算法信息至少包括允許用戶使用的AS安全算法信息和NAS安全算法信息,其中���,網(wǎng)絡(luò)允許用戶使用的AS安全算法信息包括該eNodeB自身支持的算法信息����;步驟205���、MME創(chuàng)建NAS安全模式命令和第一 AS安全模式命令���,向eNodeB發(fā)送RANAP消息,該RANAP消息中攜帯初始層3響應(yīng)消息���,NAS安全模式命令和第一 AS安全模式命令��,其中��,NAS安全模式命令攜帯表示選擇的NAS安全算法的第一標(biāo)識���,第一 AS安全模式命令攜帯網(wǎng)絡(luò)允許用戶使用的算法信息;步驟206�����、eNOdeB根據(jù)AS安全能力和該eNodeB預(yù)存的自身支持的算法信息�����,選擇AS安全算法���,或者�,根據(jù)AS安全能力,和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息��,選擇AS安全算法�;步驟207、eNodeB創(chuàng)建第二 AS安全模式命令�����,該第二 AS安全模式命令中包括表示 所選的AS安全算法的第二標(biāo)識����,向UE發(fā)送RRC建立消息,該消息中攜帯AS安全模式命令��,NAS安全模式命令和初始層3響應(yīng)信息�;步驟208、UE向eNodeB發(fā)送RRC確認(rèn)消息����,該消息中攜帶層3確認(rèn)消息,NAS安全模式命令響應(yīng)��,第二 AS安全模式命令響應(yīng)����; 步驟209��、eNodeB向MME發(fā)送RANAP消息�����,該消息中攜帶層3確認(rèn)消息和NAS安全模式命令響應(yīng)。其中����,UE所支持的算法可并不區(qū)分AS算法和NAS算法,即UE所支持的算法既是AS算法又是NAS算法����,那么NAS安全能力和AS安全能力是相同的,通稱為UE的安全能力���。當(dāng)UE所支持算法不區(qū)分AS算法和NAS算法吋�,該步驟201中的RRC請求消息可以包括UE安全能力和初始層3消息,初始層3消息中攜帶UE安全能力,UE安全能力中可以只攜帶ー個IE ;步驟202可以為eNodeB保存UE的安全能力�����;或者�,步驟201中的初始層3消息不攜帶UE安全能力,步驟203的eNodeB向MME發(fā)送的RANAP消息包括初始層3消息和UE的安全能力。參閱圖3�����,本發(fā)明的實(shí)施例ニ所提供的安全算法協(xié)商的方法包括實(shí)施ニ中的初始層3消息在RRC請求消息中攜帯��,由MME選擇NAS安全算法����,eNodeB選擇AS安全算法;其中����,步驟301-步驟303與實(shí)施例一中的步驟201-步驟203相同;步驟304��、MME創(chuàng)建第一 AS安全模式命令�,向eNodeB發(fā)送RANAP消息,該消息中攜帶第一 AS安全模式命令,第一 AS安全模式命令中攜帯網(wǎng)絡(luò)允許用戶使用的算法信息;步驟305��、eNOdeB根據(jù)AS安全能力和該eNodeB預(yù)存的自身支持的算法信息,選擇AS安全算法,或者,根據(jù)AS安全能力����,和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息,選擇AS安全算法�����;步驟306����、eNodeB創(chuàng)建第二 AS安全模式命令,向UE發(fā)送RRC建立消息��,該消息中攜帯第二 AS安全模式命令���,該第二 AS安全模式命令中含有表示所選擇的AS安全算法的第ニ標(biāo)識;步驟307��、UE向eNodeB發(fā)送RRC確認(rèn)消息���,該消息中攜帶第二 AS安全模式命令響應(yīng)�;步驟308����、MME根據(jù)UE的NAS安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息,選擇出NAS安全算法�;或者,根據(jù)NAS安全能力、網(wǎng)絡(luò)允許用戶使用的算法信息和用戶的簽約信息��,選擇出NAS安全算法����; 步驟309、MME創(chuàng)建NAS安全模式命令��,向eNodeB發(fā)送RANAP消息�,該RANAP消息中攜帶NAS安全模式命令,該NAS安全模式命令攜帶表示所選擇的NAS安全算法的第一標(biāo)識�;步驟310、eNodeB向UE發(fā)送RRC消息�,該消息中攜帶NAS安全模式命令,該NAS安全模式命令攜帶表示所選擇的NAS安全算法的第一標(biāo)識���;步驟311�、UE向eNodeB發(fā)送RRC消息����,該消息中攜帶NAS安全模式命令響應(yīng);步驟312�、eNodeB向MME發(fā)送RANAP消息,該消息中攜帶NAS安全模式命令響應(yīng)��;步驟313、MME向eNodeB發(fā)送RANAP消息,該消息中攜帶初始層3響應(yīng)消息�����; 步驟314�、eNodeB向UE發(fā)送RRC消息,該消息中攜帶初始層3響應(yīng)消息。其中�,步驟313和步驟314中的初始層3響應(yīng)消息,可以和步驟309和步驟310中的NAS安全模式命令一起發(fā)送��;或者�����,和步驟304和步驟306中的AS安全模式命令一起發(fā)送�;或者�,步驟309和步驟310中的NAS安全模式命令可以和步驟304和步驟306中的AS安全模式命令一起發(fā)送,不影響本發(fā)明的實(shí)現(xiàn)���。參閱圖4�����,本發(fā)明的實(shí)施例三所提供的安全算法協(xié)商的方法包括實(shí)施三的初始層3消息在RRC請求消息中攜帶�,由MME選擇NAS安全算法,eNodeB選擇AS安全算法�����;其中��,步驟401-步驟404與實(shí)施例一中的步驟201-步驟204相同�����; 步驟405����、MME向eNodeB發(fā)送RANAP消息,該消息中攜帶初始層3響應(yīng)消息�,初始層3響應(yīng)消息中攜帶表示所選擇的NAS安全算法的第一標(biāo)識;步驟406����、eNodeB向UE發(fā)送RRC建立消息,該消息中包括攜帶第一標(biāo)識的初始層3響應(yīng)消息;步驟407��、MME創(chuàng)建第一 AS安全模式命令�����,向eNodeB發(fā)送RANAP消息,該消息中攜帶第一 AS安全模式命令����,第一 AS安全模式命令中攜帶網(wǎng)絡(luò)允許用戶使用的算法信息;步驟408����、eNOdeB根據(jù)AS安全能力和該eNodeB預(yù)存的自身支持的算法信息,選擇AS安全算法����,或者,根據(jù)AS安全能力����,和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息,選擇AS安全算法���;步驟409、eNodeB創(chuàng)建第二 AS安全模式命令��,向UE發(fā)送RRC消息��,該消息中攜帶第二 AS安全模式命令��,該第二 AS安全模式命令中攜帶表示所選擇的AS安全算法的第一標(biāo)識;步驟410��、UE向eNodeB發(fā)送RRC消息����,該消息中攜帶第二 AS安全模式命令響應(yīng)。參閱圖5���,本發(fā)明的實(shí)施例四所提供的安全算法協(xié)商的方法包括實(shí)施四的初始層3消息在RRC請求消息中攜帶�����,將初始層3響應(yīng)信息在RRC建立消息中攜帶���,由MME選擇NAS安全算法和AS安全算法;步驟501�、UE向eNodeB發(fā)送RRC請求消息,該請求消息中包括初始層3消息�����,初始層3消息攜帶NAS安全能力和AS安全能力���;即在初始層3消息中需要定義兩個IE���,分別傳送AS安全能力和NAS安全能力��;UE所支持的算法可不區(qū)分AS算法和NAS算法�����,那么NAS安全能力和AS安全能力是相同的����,通稱為UE的安全能力���。當(dāng)UE所支持算法不區(qū)分AS算法和NAS算法時����,初始層3消息中攜帯UE安全能力��,UE安全能力中可以只攜帶ー個IE ����; 步驟502、eNodeB向MME發(fā)送RANAP消息,該消息中攜帶初始層3消息,還可能攜帶自身支持的算法信息��,該初始層3消息攜帯NAS安全能力和AS安全能力�����,或UE安全能力���;步驟503�、MME根據(jù)UE的NAS安全能力和網(wǎng)絡(luò)允許用戶使用的算法��,選擇出NAS安全算法���,或者����,根據(jù)NAS安全能力�����、網(wǎng)絡(luò)允許用戶使用的算法和用戶的簽約信息選擇NAS安全算法�;根據(jù)AS安全能力和接收的RANAP消息中的eNodeB自身支持的算法信息,選擇AS安全算法��,或者��,根據(jù)AS安全能力,和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息��,選擇AS安全算法�����;步驟504���、MME創(chuàng)建NAS安全模式命令和第三AS安全模式命令���,向eNodeB發(fā)送RANAP消息,該RANAP消息中攜帯初始層3響應(yīng)消息��,NAS安全模式命令和第三AS安全模式命令��,其中�����,NAS安全模式命令攜帯表示選擇的NAS安全算法的第一標(biāo)識�����,第三AS安全模式 命令攜帯表示選擇的AS安全算法的第二標(biāo)識����;步驟505���、eNodeB根據(jù)第三AS安全模式命令攜帶的第二標(biāo)識獲知所選的AS安全算法;步驟506���、eNodeB創(chuàng)建第四AS安全模式命令���,向UE發(fā)送RRC建立消息,該消息包括第四AS安全模式命令��、NAS安全模式命令和初始層3響應(yīng)消息��;其中��,第四AS安全模式命令攜帯第二標(biāo)識���;步驟507����、UE向eNodeB發(fā)送RRC確認(rèn)消息����,該消息中攜帶層3確認(rèn)消息�����,NAS安全模式命令響應(yīng)����,第四AS安全模式命令響應(yīng)�����;步驟508�����、eNodeB向MME發(fā)送RANAP消息�,該消息中攜帶層3確認(rèn)消息和NAS安全模式命令響應(yīng)。其中�����,步驟502中eNodeB向MME發(fā)送RANAP消息中可以不攜帶自身支持的算法信息���,eNodeB自身支持的算法信息可以直接配置在MME上���;同理����,對于實(shí)施例ニ和實(shí)施例三�,也可以采用由MME選擇NAS安全算法和AS安全算法實(shí)現(xiàn)安全算法協(xié)商,不影響本發(fā)明的實(shí)現(xiàn)�。參閱圖6,本發(fā)明的實(shí)施例五所提供的安全算法協(xié)商的方法包括實(shí)施五先進(jìn)行無線接入網(wǎng)的連接�����,即RRC連接�����,再進(jìn)行核心網(wǎng)的連接����,由MME選擇NAS安全算法���,eNodeB選擇AS安全算法�;步驟601�����、UE向eNodeB發(fā)送RRC請求消息,該RRC請求消息中攜帶UE的安全能力�;步驟602、eNodeB保存UE的安全能力���;步驟603����、eNodeB向UE發(fā)送RRC建立消息��;步驟604�、UE向eNodeB發(fā)送RRC完成消息;步驟605���、UE向eNodeB發(fā)初始層3消息�����;步驟606��、eNodeB向MME發(fā)送RANAP消息�,eNodeB需要向RANAP消息中添加UE安全能力�����,因此該消息包括初始層3消息,UE的安全能力��;步驟607����、MME根據(jù)UE的安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息,選擇出NAS安全算法�����,或者��,根據(jù)UE的安全能力����、網(wǎng)絡(luò)允許用戶使用的算法信息和用戶的簽約信息選擇出NAS安全算法��;步驟608�����、MME向eNodeB發(fā)送RANAP消息�����,該消息中攜帶初始層3響應(yīng)消息,該初始層3響應(yīng)消息中攜帶表示所選擇的NAS安全算法的第一標(biāo)識���;步驟609����、eNodeB向UE發(fā)送初始層3響應(yīng)消息,該初始層3響應(yīng)消息中攜帶第一標(biāo)識�;步驟610-步驟613與實(shí)施例三中的步驟407-步驟410相同;參閱圖7��,本發(fā)明的實(shí)施例六所提供的安全算法協(xié)商的方法包括實(shí)施六先進(jìn)行無線接入網(wǎng)的連接�����,即RRC連接�����,再進(jìn)行核心網(wǎng)的連接���,由MME選擇NAS安全算法�,eNodeB選擇AS安全算法�;與實(shí)施例5不同之處在于,本實(shí)施將初始層3響應(yīng)消息與AS安全模式命令合并成一條消息發(fā)送,而實(shí)施例5中是分開發(fā)送的;
步驟701-步驟707與步驟601-步驟607相同�����;步驟708�、MME創(chuàng)建安全模式命令,向eNodeB發(fā)送RANAP消息�����,該消息中攜帶初始層3響應(yīng)消息�,第一安全模式命令消息,其中���,第一安全模式命令消息中攜帶表示所選擇的NAS安全算法的第一標(biāo)識和網(wǎng)絡(luò)允許用戶使用的算法信息�����;步驟709、eNOdeB根據(jù)UE的安全能力和預(yù)存的eNodeB自身支持的算法信息���,選擇出AS安全算法���,或者,根據(jù)UE的安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息���,選擇AS安全算法���;步驟710����、eNOdeB向UE發(fā)送RRC消息����,該消息中攜帶初始層3響應(yīng)消息和第二安全模式命令,其中��,第二安全模式命令攜帶第一標(biāo)識和表示所選擇的AS安全算法的第二標(biāo)識��;步驟711����、UE向eNodeB發(fā)送RRC消息,該消息中攜帶第二安全模式命令響應(yīng)��;步驟712���、eNodeB向MME發(fā)送RANAP消息�����,該消息中攜帶第一安全模式命令響應(yīng)��。參閱圖8���,本發(fā)明的實(shí)施例七所提供的安全算法協(xié)商的方法包括實(shí)施七先進(jìn)行無線接入網(wǎng)的連接����,即RRC連接�����,再進(jìn)行核心網(wǎng)的連接���,由MME選擇NAS安全算法��,eNodeB選擇AS安全算法��;步驟801-步驟806與步驟601-步驟606相同�����;步驟807、MME根據(jù)網(wǎng)絡(luò)允許用戶采用的算法和UE的安全能力,同時也可以考慮用戶的簽約信息����,選擇出NAS安全算法;步驟808�、MME向eNodeB發(fā)送RANAP消息,該消息中攜帶初始層3響應(yīng)信息�����、網(wǎng)絡(luò)允許用戶采用的算法信息�����,其中初始層3響應(yīng)信息中攜帶表示所選擇的NAS安全算法的第一標(biāo)識��;步驟809����、eNodeB根據(jù)UE的安全能力和預(yù)存的eNodeB自身支持的算法信息,選擇出AS安全算法���,或者�,根據(jù)UE的安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息���,選擇AS安全算法�;步驟810、eNodeB向UE發(fā)送RRC消息�����,該RRC消息中攜帶表示所選擇的AS安全算法的第二標(biāo)識和初始層3響應(yīng)消息����,該初始層3響應(yīng)消息中攜帶第一標(biāo)識。參閱圖9�,本發(fā)明的實(shí)施例八所提供的安全算法協(xié)商的方法包括實(shí)施八先進(jìn)行無線接入網(wǎng)的連接,即RRC連接���,再進(jìn)行核心網(wǎng)的連接��,由MME選擇NAS安全算法和AS安全算法���;
步驟901、UE向eNodeB發(fā)送RRC請求消息����;步驟902、eNodeB向UE發(fā)送RRC建立消息���;步驟903���、UE向eNodeB發(fā)送RRC完成消息;步驟904����、UE向eNodeB發(fā)送初始層3消息;該消息中包括UE的安全能力����;步驟905、eNodeB向MME發(fā)送RANAP消息���,該消息包括初始層3消息和eNodeB自身支持的算法信息��,其中初始層3消息中攜帯UE的安全能力���;步驟906、MME根據(jù)UE的安全能力和網(wǎng)絡(luò)允許用戶使用的算法���,選擇出NAS安全算法�����,或者��,根據(jù)UE的安全能力����、網(wǎng)絡(luò)允許用戶使用的算法和用戶的簽約信息選擇NAS安全算法;根據(jù)UE的安全能力和RANAP消息中的eNodeB自身支持的算法信息�����,選擇出AS安全算 法���,或者��,根據(jù)UE的安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息中的eNodeB自身支持的算法信息��,選擇AS安全算法�;步驟907���、MME向eNodeB發(fā)送RANAP消息��,該消息中攜帶初始層3響應(yīng)消息和表示所選擇的AS安全算法的第二標(biāo)識�����;初始層3響應(yīng)消息中攜帯表示所選擇的NAS安全算法的第一標(biāo)識����;步驟908�����、eNodeB根據(jù)第二標(biāo)識獲知AS安全算法�����;步驟909���、eNodeB向UE發(fā)送RRC消息���,該RRC消息中包括初始層3響應(yīng)消息和第ニ標(biāo)識;初始層3響應(yīng)信息中攜帯第一標(biāo)識��。其中����,步驟905中eNodeB向MME發(fā)送RANAP消息中可以不攜帶自身支持的算法信息,eNodeB自身支持的算法信息可以直接配置在MME上�����;同理,對于實(shí)施例六和實(shí)施例七�����,也可以采用由MME選擇NAS安全算法和AS安全算法實(shí)現(xiàn)安全算法協(xié)商�,不影響本發(fā)明的實(shí)現(xiàn)。其中�����,UE的安全能力可以不在RRC請求消息中攜帯���,可以在UE向eNodeB發(fā)送RRC完成消息中攜?�?��;或者,當(dāng)UE的安全能力區(qū)分為AS安全能力和NAS安全能力吋���,UE的AS安全能力可在RRC請求消息或RRC完成消息中攜帯�,UE的NAS安全能力可在UE向eNodeB發(fā)送的初始層3消息中攜帯,不影響本發(fā)明的實(shí)現(xiàn)��。參閱圖10����,本發(fā)明的實(shí)施例九提供ー種安全算法協(xié)商的裝置,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中�,該裝置包括信息接收單元1001,用于接收用戶終端所能支持的安全算法信息���;安全算法選擇單元1002,用于根據(jù)信息接收單元1001中安全算法信息��,選擇安全算法;發(fā)送單元1003����,用于向用戶終端發(fā)送表示安全算法選擇單元1002所選擇的安全算法的標(biāo)識。其中�,信息接收單元1001、安全算法選擇單元1002和發(fā)送單元1003位于移動性管理實(shí)體�����,用于協(xié)商非接入層安全算法��,此時,信息接收單元1001��,用于接收用戶終端所能支持的安全算法信息����,該安全算法信息可以為非接入層安全算法信息,該安全算法信息可以通過初始層3消息攜?���。话踩惴ㄟx擇單元1002����,用于根據(jù)安全算法信息和網(wǎng)路允許用戶使用的算法信息,也可以考慮用戶簽約的信息�,選擇非接入層安全算法;發(fā)送單元1003���,用于向用戶終端發(fā)送表示安全算法選擇單元1002所選擇的非接入層安全算法的第一標(biāo)識���,該第一標(biāo)識可以在初始層3響應(yīng)消息中攜帶,也可以在NAS模式命令中攜帶���;其中���,信息接收單元1001�、安全算法選擇單元1002和發(fā)送單元1003位于移動性管理實(shí)體���,用于協(xié)商接入層安全算法����,該裝置還包括演進(jìn)基站算法信息接收單元1004����,演進(jìn)基站算法信息配置單元1005,其中��,信息接收單元1001����,用于接收用戶終端所能支持的安全算法信息�����,該安全算法信息可以為接入層安全算法信息�����,該安全算法信息可以在初始層3消息中攜帶;安全算法選擇單元1002���,用于根據(jù)安全算法信息和演進(jìn)基站支持的算法信息��,選擇接入層安全算法����;
發(fā)送單元1003���,用于發(fā)送表示安全算法選擇單元1002所選擇的接入層安全算法的第二標(biāo)識�����,該第二標(biāo)識可以在第三NAS安全模式命令中攜帶��;演進(jìn)基站算法信息接收單元1004��,用于接收演進(jìn)基站支持的算法信息并輸出到安全算法選擇單元1002 ����;演進(jìn)基站算法信息配置單元1005��,用于配置演進(jìn)基站支持的算法信息并輸出到安全算法選擇單元1002���。其中�����,信息接收單元1001���、安全算法選擇單元1002和發(fā)送單元1003位于演進(jìn)基站�����,用于協(xié)商接入層安全算法�����,信息接收單元1001��,用于接收用戶終端所能支持的安全算法信息�,該安全算法信息可以為接入層安全算法信息��,該安全算法信息可以在RRC請求消息中攜帶����;安全算法選擇單元1002�,用于根據(jù)安全算法信息和演進(jìn)基站支持的算法信息��,選擇接入層安全算法���;發(fā)送單元1003,用于向用戶終端發(fā)送表示接入層安全算法的第二標(biāo)識�。參閱圖11,本發(fā)明的實(shí)施例十提供一種網(wǎng)絡(luò)系統(tǒng)���,該系統(tǒng)包括演進(jìn)基站1101�,用于向移動性管理實(shí)體1102發(fā)送用戶終端支持的安全算法信息����;將來自移動性管理實(shí)體1102的第一標(biāo)識發(fā)送給用戶終端;移動性管理實(shí)體1102�����,用于根據(jù)安全算法信息和網(wǎng)絡(luò)允許用戶使用的算法信息�,選擇非接入層安全算法,輸出表示非接入層安全算法的第一標(biāo)識���。當(dāng)該網(wǎng)絡(luò)系統(tǒng)還要協(xié)商接入層安全算法時�,演進(jìn)基站1101�,還用于將來自移動性管理實(shí)體1102的第二標(biāo)識發(fā)送給用戶終端�,并根據(jù)第二標(biāo)識獲得接入層算法����;移動性管理實(shí)體1102,還用于根據(jù)安全算法信息和演進(jìn)基站1101自身支持的算法信息��,選擇接入層安全算法���,輸出表示所選擇的接入層安全算法的第二標(biāo)識��。當(dāng)該網(wǎng)絡(luò)系統(tǒng)還要協(xié)商接入層安全算法時�����,且當(dāng)安全算法信息為非接入層安全算法信息時��,演進(jìn)基站1101���,還用于接收接入層安全算法信息并轉(zhuǎn)發(fā)到移動性管理實(shí)體1102,將來自移動性管理實(shí)體1102的第二標(biāo)識發(fā)送給用戶終端���,并根據(jù)第二標(biāo)識獲得接入層算法;移動性管理實(shí)體1102�����,還用于根據(jù)接入層安全算法信息和演進(jìn)基站1101自身支持的算法信息,選擇接入層安全算法�����,輸出表示接入層安全算法的第二標(biāo)識�。當(dāng)該網(wǎng)絡(luò)系統(tǒng)還要協(xié)商接入層安全算法時,演進(jìn)基站1101�����,還用于根據(jù)安全算法信息和自身支持的算法信息����,選擇接入層安全算法,將表示接入層安全算法的第二標(biāo)識發(fā)送給用戶終端��。
當(dāng)該網(wǎng)絡(luò)系統(tǒng)還要協(xié)商接入層安全算法時�,且當(dāng)安全算法信息為非接入層安全算法信息時,演進(jìn)基站1101���,還用于接收接入層安全算法信息���,根據(jù)接入層安全算法信息和自身支持的算法信息��,選擇接入層安全算法��,將表示接入層安全算法的第二標(biāo)識發(fā)送給用戶終端��。以上分析可以看出��,本發(fā)明的實(shí)施例中MME根據(jù)UE所能支持的NAS安全能力和網(wǎng)絡(luò)允許用戶使用的算法信息��,選擇NAS安全算法���,井向用戶終端發(fā)送表示所選擇的NAS安全算法的第一標(biāo)識,能夠在SAE/LTE系統(tǒng)中協(xié)商出NAS安全算法�;本發(fā)明的實(shí)施例中MME或者eNodeB根據(jù)UE所能支持的AS安全能力和eNodeB自身支持的算法信息,選擇AS安全算法�,且UE和eNodeB獲得表示所選擇的AS安全算法的第二標(biāo)識,達(dá)到在SAE/LTE系統(tǒng)中協(xié)商AS安全算法的目的�;本發(fā)明的實(shí)施例采用在RRC請求消息中攜帯初始層3消息,初始層3消息中可以攜帶NAS安全能力�����,在RRC建立消息中攜帯初始層3響應(yīng)消息和第一標(biāo)識����,簡化了流程��,節(jié)約了協(xié)商安全算法所用的時間。以上對本發(fā)明實(shí)施例所提供的安全算法協(xié)商的方法���、裝置及網(wǎng)絡(luò)系統(tǒng)進(jìn)行了詳細(xì) 介紹����,本文中應(yīng)用了具體個例對本發(fā)明實(shí)施例的原理及實(shí)施方式進(jìn)行了闡述����,以上實(shí)施例的說明只是用于幫助理解本發(fā)明實(shí)施例的方法;同時�,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明實(shí)施例的思想�,在具體實(shí)施方式
及應(yīng)用范圍上均會有改變之處,綜上所述����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明實(shí)施例的限制。
權(quán)利要求
1.一種安全算法協(xié)商的方法���,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中����,其特征在于,該方法包括 接收用戶終端所能支持的安全算法信息�; 根據(jù)所述安全算法信息,選擇安全算法����; 向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于 所述根據(jù)所述安全算法信息��,選擇安全算法具體為 移動性管理實(shí)體根據(jù)所述安全算法信息和網(wǎng)絡(luò)允許用戶使用的算法信息�����,選擇非接入層安全算法��; 所述向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識具體為 向所述用戶終端發(fā)送表示所述非接入層安全算法的第一標(biāo)識����。
3.根據(jù)權(quán)利要2所述的方法���,其特征在于 所述向所述用戶終端發(fā)送表示所述非接入層安全算法的第一標(biāo)識具體為 向所述演進(jìn)基站發(fā)送所述第一標(biāo)識�,所述演進(jìn)基站向所述用戶終端發(fā)送所述第一標(biāo)識。
4.根據(jù)權(quán)利要3所述的方法�����,其特征在于 所述演進(jìn)基站向所述用戶終端發(fā)送所述第一標(biāo)識具體為 所述演進(jìn)基站向所述用戶終端發(fā)送無線資源連接建立消息��,所述無線資源連接建立消息中攜帶非接入層安全模式命令�����,所述非接入層安全模式命令中攜帶所述第一標(biāo)識��。
5.根據(jù)權(quán)利要3所述的方法����,其特征在于 所述演進(jìn)基站向所述用戶終端發(fā)送所述第一標(biāo)識具體為 所述演進(jìn)基站向所述用戶終端發(fā)送無線資源連接建立消息��,所述無線資源連接建立消息中攜帶初始層3響應(yīng)信息,所述初始層3響應(yīng)信息中攜帶所述第一標(biāo)識���。
6.根據(jù)權(quán)利要2����、3所述的方法��,其特征在于 所述安全算法信息為非接入層安全算法信息。
7.根據(jù)權(quán)利要求I所述的方法�����,其特征在于 所述根據(jù)所述安全算法信息��,選擇安全算法具體為 移動性管理實(shí)體根據(jù)所述安全算法信息和演進(jìn)基站自身支持的算法信息���,選擇接入層安全算法�; 所述向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識具體為 向所述用戶終端發(fā)送表示所述接入層安全算法的第二標(biāo)識��。
8.根據(jù)權(quán)利要求7所述的方法��,其特征在于 在移動性管理實(shí)體根據(jù)所述安全算法信息和演進(jìn)基站自身支持的算法信息��,選擇接入層安全算法之前����,該方法還包括 所述移動性管理實(shí)體接收來自所述演進(jìn)基站的所述演進(jìn)基站自身支持的算法信息。
9.根據(jù)權(quán)利要求7所述的方法����,其特征在于 在移動性管理實(shí)體根據(jù)所述安全算法信息和演進(jìn)基站自身支持的算法信息,選擇接入層安全算法之前�����,該方法還包括 所述移動性管理實(shí)體配置所述演進(jìn)基站自身支持的算法信息。
10.根據(jù)權(quán)利要7所述的方法����,其特征在于 所述向所述用戶終端發(fā)送表示所述接入層安全算法的第二標(biāo)識具體為 向所述演進(jìn)基站發(fā)送所述第二標(biāo)識,所述演進(jìn)基站根據(jù)所述第二標(biāo)識獲知所述接入層安全算法��,并向所述用戶終端發(fā)送所述第二標(biāo)識�����。
11.根據(jù)權(quán)利要10所述的方法��,其特征在于 所述向所述演進(jìn)基站發(fā)送所述第二標(biāo)識具體為向所述演進(jìn)基站發(fā)送攜帶所述第二標(biāo)識的第三接入層安全模式命令���; 所述演進(jìn)基站向所述用戶終端發(fā)送所述第二標(biāo)識具體為 所述演進(jìn)基站向所述用戶終端發(fā)送攜帶所述第二標(biāo)識的第四接入層安全模式命令。
12.根據(jù)權(quán)利要3或9或10所述的方法��,其特征在于 所述接收用戶終端所能支持的安全算法信息具體為 接收來自所述用戶終端的初始層3消息�,所述初始層3消息攜帶所述用戶終端所能支持的安全算法信息。
13.根據(jù)權(quán)利要12所述的方法���,其特征在于 所述接收來自所述用戶終端的初始層3消息具體為 所述演進(jìn)基站接收來自所述用戶終端的無線資源連接請求消息�,所述無線資源連接請求消息中攜帶所述初始層3消息; 所述移動性管理實(shí)體接收來自所述演進(jìn)基站的所述初始層3消息���。
14.根據(jù)權(quán)利要求I所述的方法����,其特征在于 所述根據(jù)所述安全算法信息���,選擇安全算法具體為 演進(jìn)基站根據(jù)所述安全算法信息和所述演進(jìn)基站自身支持的算法信息��,選擇接入層安全算法����; 所述向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識具體為 向所述用戶終端發(fā)送表示所述接入層安全算法的第二標(biāo)識��。
15.根據(jù)權(quán)利要14所述的方法��,其特征在于 所述向所述用戶終端發(fā)送表示所述接入層安全算法的第二標(biāo)識具體為 向所述用戶終端發(fā)送攜帶所述第二標(biāo)識的第二接入層安全模式命令�。
16.根據(jù)權(quán)利要7或者14所述的方法,其特征在于所述安全算法信息為接入層安全算法息O
17.根據(jù)權(quán)利要求16所述的方法�����,其特征在于 所述接收用戶終端所能支持的安全算法信息具體為 接收來自用戶終端的安全能力�����,所述安全能力攜帶所述接入層安全算法信息和非接入層安全算法信息,并用標(biāo)識區(qū)分所述接入層安全算法信息和所述非接入層安全算法信息����。
18.一種安全算法協(xié)商的裝置,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中����,其特征在于,該裝置包括 信息接收單元����,用于接收用戶終端所能支持的安全算法信息; 安全算法選擇單元��,用于根據(jù)所述安全算法信息���,選擇安全算法; 發(fā)送單元���,用于向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識��。
19.根據(jù)權(quán)利要求18所述的裝置���,其特征在于所述信息接收單元�、所述安全算法選擇單元和所述發(fā)送單元位于移動性管理實(shí)體�, 所述信息接收單元,用于接收用戶終端所能支持的安全算法信息���; 所述安全算法選擇單元���,用于根據(jù)所述安全算法信息和網(wǎng)路允許用戶使用的算法信息,選擇非接入層安全算法����; 所述發(fā)送單元,用于向所述用戶終端發(fā)送表示所述非接入層安全算法的第一標(biāo)識���。
20.根據(jù)權(quán)利要求18所述的裝置��,其特征在于所述信息接收單元�����、所述安全算法選擇單元和所述發(fā)送單元位于移動性管理實(shí)體�, 所述信息接收單元,用于接收用戶終端所能支持的安全算法信息�����; 所述安全算法選擇單元�����,用于根據(jù)所述安全算法信息和演進(jìn)基站支持的算法信息��,選擇接入層安全算法����; 所述發(fā)送單元,用于發(fā)送表示所述接入層安全算法的第二標(biāo)識��。
21.根據(jù)權(quán)利要求20所述的裝置��,其特征在于�����,所述裝置還包括 演進(jìn)基站算法信息接收單元����,用于接收所述演進(jìn)基站支持的算法信息并輸出到所述安全算法選擇單元�����。
22.根據(jù)權(quán)利要求20所述的裝置,其特征在于���,所述裝置還包括 演進(jìn)基站算法信息配置單元�,用于配置所述演進(jìn)基站支持的算法信息并輸出到所述安全算法選擇單元���。
23.根據(jù)權(quán)利要求18所述的裝置���,其特征在于所述信息接收單元、所述安全算法選擇單元和所述發(fā)送單元位于演進(jìn)基站�����, 所述信息接收單元�,用于接收用戶終端所能支持的安全算法信息; 所述安全算法選擇單元�����,用于根據(jù)所述安全算法信息和所述演進(jìn)基站支持的算法信息�,選擇接入層安全算法; 所述發(fā)送單元,用于向所述用戶終端發(fā)送表示所述接入層安全算法的第二標(biāo)識��。
24.一種網(wǎng)絡(luò)系統(tǒng)���,其特征在于��,該系統(tǒng)包括演進(jìn)基站�����,移動性管理實(shí)體����,其中�, 所述演進(jìn)基站,用于向所述移動性管理實(shí)體發(fā)送用戶終端支持的安全算法信息�����;將來自所述移動性管理實(shí)體的第一標(biāo)識發(fā)送給所述用戶終端�����; 所述移動性管理實(shí)體����,用于根據(jù)所述安全算法信息和網(wǎng)絡(luò)允許用戶使用的算法信息,選擇非接入層安全算法�����,輸出表示所述非接入層安全算法的第一標(biāo)識��。
25.根據(jù)權(quán)利要求24所述的系統(tǒng)�����,其特征在于 所述演進(jìn)基站����,還用于將來自所述移動性管理實(shí)體的第二標(biāo)識發(fā)送給所述用戶終端,并根據(jù)所述第二標(biāo)識獲得所述接入層算法�; 所述移動性管理實(shí)體,還用于根據(jù)所述安全算法信息和所述演進(jìn)基站自身支持的算法信息�����,選擇接入層安全算法��,輸出表示所述接入層安全算法的第二標(biāo)識�。
26.根據(jù)權(quán)利要求24所述的系統(tǒng)��,當(dāng)所述安全算法信息為非接入層安全算法信息時�,其特征在于 所述演進(jìn)基站�����,還用于接收接入層安全算法信息并轉(zhuǎn)發(fā)到所述移動性管理實(shí)體��,將來自所述移動性管理實(shí)體的第二標(biāo)識發(fā)送給所述用戶終端����,并根據(jù)所述第二標(biāo)識獲得所述接入層算法; 所述移動性管理實(shí)體�,還用于根據(jù)所述接入層安全算法信息和所述演進(jìn)基站自身支持的算法信息,選擇接入層安全算法���,輸出表示所述接入層安全算法的第二標(biāo)識����。
27.根據(jù)權(quán)利要求24所述的系統(tǒng)���,其特征在于 所述演進(jìn)基站���,還用于根據(jù)所述安全算法信息和自身支持的算法信息�,選擇接入層安全算法���,將表示所述接入層安全算法的第二標(biāo)識發(fā)送給所述用戶終端。
28.根據(jù)權(quán)利要求24所述的系統(tǒng)����,當(dāng)所述安全算法信息為非接入層安全算法信息時,其特征在于 所述演進(jìn)基站�����,還用于接收接入層安全算法信息��,根據(jù)所述接入層安全算法信息和自身支持的算法信息��,選擇接入層安全算法�����,將表示所述接入層安全算法的第二標(biāo)識發(fā)送給所述用戶終端����。
全文摘要
本發(fā)明公開了一種安全算法協(xié)商的方法,用于系統(tǒng)演進(jìn)架構(gòu)/長期演進(jìn)系統(tǒng)中����,該方法包括接收用戶終端所能支持的安全算法信息�;根據(jù)所述安全算法信息�����,選擇安全算法����;向所述用戶終端發(fā)送表示所述安全算法的標(biāo)識。同時�����,本發(fā)明還公開了安全算法協(xié)商的裝置和網(wǎng)絡(luò)系統(tǒng)��,使用本發(fā)明提供的技術(shù)方案����,能夠在SAE/LTE系統(tǒng)中協(xié)商出非接入層安全算法和接入層安全算法。
文檔編號H04W12/00GK102869007SQ20121035179
公開日2013年1月9日 申請日期2007年2月5日 優(yōu)先權(quán)日2007年2月5日
發(fā)明者楊艷梅, 陳璟 申請人:華為技術(shù)有限公司