本申請(qǐng)涉及移動(dòng)通信領(lǐng)域，尤其涉及安全策略確定方法及裝置。

背景技術(shù)：

隨著長(zhǎng)期演進(jìn)(longtermevolution，volte)技術(shù)的不斷發(fā)展，越來(lái)越多的ue(userequipment，ue)在支持lte語(yǔ)音通話(huà)(voiceoverlte)功能之外，開(kāi)始支持無(wú)線(xiàn)保真語(yǔ)音通話(huà)(voiceoverwifi，vowifi)功能。具有vowifi功能ue既可以采用運(yùn)營(yíng)商所提供的互聯(lián)網(wǎng)協(xié)議多媒體系統(tǒng)(internetprotocolmultimediasubsystem，ims)注冊(cè)到volte網(wǎng)絡(luò)，以通過(guò)volte網(wǎng)絡(luò)實(shí)現(xiàn)lte語(yǔ)音通話(huà)，也可以通過(guò)所述ims注冊(cè)到vowifi網(wǎng)絡(luò)，以通過(guò)vowifi網(wǎng)絡(luò)實(shí)現(xiàn)wifi語(yǔ)音通話(huà)。

為保證無(wú)線(xiàn)通信過(guò)程的安全性，避免用戶(hù)信息泄露或被篡改。在語(yǔ)音通話(huà)過(guò)程中，需要對(duì)ue與代理呼叫會(huì)話(huà)控制功能(proxy-callsessioncontrolfuntion，pcscf)之間的會(huì)話(huà)初始化協(xié)議(sessioninitiationprotocol，sip)信令進(jìn)行保護(hù)。其中，對(duì)sip信令進(jìn)步保護(hù)包括對(duì)sip信令進(jìn)行加密以及對(duì)sip信令進(jìn)行完整性保護(hù)。根據(jù)ue接入的網(wǎng)絡(luò)不同，sip信令進(jìn)行保護(hù)的具體方式的方式也不相同。

當(dāng)ue接入volte網(wǎng)絡(luò)時(shí)，ue需要直接將sip信令發(fā)送給pcscf。在此情況下，為實(shí)現(xiàn)對(duì)sip進(jìn)行保護(hù)，pcscf會(huì)在ue初始注冊(cè)到核心網(wǎng)時(shí)，在ue所發(fā)送的注冊(cè)請(qǐng)求中添加認(rèn)證挑戰(zhàn)標(biāo)識(shí)，其中，所述核心網(wǎng)可以包括服務(wù)呼叫會(huì)話(huà)控制功能(serving-callsessioncontrolfuntion，scscf)及查詢(xún)呼叫會(huì)話(huà)控制功能(interrogating-callsessioncontrolfuntion，icscf)。核心網(wǎng)接收包含認(rèn)證挑戰(zhàn)標(biāo)識(shí)的注冊(cè)請(qǐng)求后，指示pcscf對(duì)該ue發(fā)起認(rèn)證挑戰(zhàn)。pcscf在對(duì)ue發(fā)起認(rèn)證挑戰(zhàn)的過(guò)程中為該ue分配安全策略。ue則根據(jù)pcscf所分配的安全策略對(duì)sip信令進(jìn)行加密及完整性保護(hù)。當(dāng)ue重注冊(cè)核心網(wǎng)時(shí)，可以繼續(xù)使用所述安全策略對(duì)sip信令進(jìn)行加密及完整性包含。

當(dāng)ue接入vowifi網(wǎng)絡(luò)時(shí)，ue發(fā)送給pcscf的sip信令會(huì)經(jīng)由演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)(evolvedpacketdatagateway，epdg)轉(zhuǎn)發(fā)，由于ue與epdg之間采用隧道傳輸，而epdg與pcscf之間采用明文傳輸。因此，ue需要根據(jù)隧道傳輸?shù)囊髮?duì)sip信令進(jìn)行加密，并將加密后的sip信令發(fā)送給epdg。epdg接收到經(jīng)過(guò)加密的sip信令后，對(duì)sip信令進(jìn)行解密，并以明文形式將sip信令發(fā)送給pcscf。在此過(guò)程中pcscf并不需要為ue分配安全策略。

由于vowifi網(wǎng)絡(luò)覆蓋范圍通常比較有限，而volte網(wǎng)絡(luò)的無(wú)線(xiàn)資源比較有限，為保證通信質(zhì)量并確保語(yǔ)音通話(huà)不中斷，ue所附著的網(wǎng)絡(luò)需要在vowifi網(wǎng)絡(luò)和volte網(wǎng)絡(luò)之間切換。當(dāng)ue所附著的網(wǎng)絡(luò)由lte切換附著到vowifi網(wǎng)絡(luò)時(shí)，那么ue既會(huì)根據(jù)初始注冊(cè)到核心網(wǎng)時(shí)pcscf為該ue分配安全策略對(duì)sip信令進(jìn)行加密，又會(huì)根據(jù)與epdg之間進(jìn)行隧道傳輸?shù)囊髮?duì)sip信令進(jìn)行加密，從而導(dǎo)致ue會(huì)對(duì)sip信令進(jìn)行重復(fù)加密。ue對(duì)sip信令進(jìn)行重復(fù)加密，不但造成會(huì)增加ue的耗電量，而且會(huì)導(dǎo)致pcscf不必要的性能開(kāi)銷(xiāo)。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)實(shí)施例提供了安全策略確定方法及裝置，以減輕pcscf不必要的性能開(kāi)銷(xiāo)。

第一方面，本申請(qǐng)實(shí)施例提供了一種安全策略確定方法，該方法包括：代理呼叫會(huì)話(huà)控制功能pcscf接收用戶(hù)設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊(cè)請(qǐng)求；所述pcscf根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略；所述pcscf指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

采用本方面所提供的方法，pcscf可以在ue的附著網(wǎng)絡(luò)切換后，根據(jù)ue所附著的網(wǎng)絡(luò)，重新確定用于保護(hù)sip信令傳輸過(guò)程安全性的安全策略；從而既可以保證sip信令傳輸?shù)陌踩?，又可以避免?duì)sip信令進(jìn)行重復(fù)加密，減輕pcscf不必要的性能開(kāi)銷(xiāo)。

結(jié)合第一方面，在第一方面第一種可能的實(shí)現(xiàn)方式中，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略包括：當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對(duì)所述sip信令進(jìn)行加密。

采用本實(shí)現(xiàn)方式，可以在所述ue從加密網(wǎng)絡(luò)切換附著的未加密網(wǎng)絡(luò)后，才對(duì)sip信令進(jìn)行加密，從而保證sip信令傳輸過(guò)程的安全性。

結(jié)合第一方面，在第一方面第二種可能的實(shí)現(xiàn)方式中，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略包括：當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對(duì)所述sip信令進(jìn)行加密。

采用本實(shí)現(xiàn)方式，可以在所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后，使的ue可 以只對(duì)sip信令進(jìn)行一次加密，從而避免ue對(duì)sip信令進(jìn)行二次加密，減輕pcscf不必要的性能開(kāi)銷(xiāo)。

結(jié)合第一方面第一種可能的實(shí)現(xiàn)方式，在第一方面第三種可能的實(shí)現(xiàn)方式中，所述第一安全策略為對(duì)所述sip信令進(jìn)行加密及完整性保護(hù)的sip安全性算法套件。

結(jié)合第一方面第二種可能的實(shí)現(xiàn)方式，在第一方面第四種可能的實(shí)現(xiàn)方式中，所述第二安全策略為對(duì)所述sip信令進(jìn)行完整性保護(hù)的sip安全性算法套件。

結(jié)合第一方面第一至四種可能的實(shí)現(xiàn)方式其中任意一種，在第一方面第五種可能的實(shí)現(xiàn)方式中，所述未加密網(wǎng)絡(luò)為長(zhǎng)期演進(jìn)lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)為無(wú)線(xiàn)保真wifi網(wǎng)絡(luò)。

第二方面，本申請(qǐng)實(shí)施例還提供了一種安全策略確定裝置，該裝置包括：接收單元，用于接收用戶(hù)設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊(cè)請(qǐng)求；確定單元，用于根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略；指示單元，用于指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

結(jié)合第二方面，在第二方面第一種可能的實(shí)現(xiàn)方式中，所述確定單元，具體用于當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時(shí)，選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對(duì)所述sip信令進(jìn)行加密。

結(jié)合第二方面，在第二方面第二種可能的實(shí)現(xiàn)方式中，所述確定單元，具體用于當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時(shí)，選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對(duì)所述sip信令進(jìn)行加密。

結(jié)合第二方面第一或二種可能的實(shí)現(xiàn)方式其中任意一種，在第二方面第三種可能的實(shí)現(xiàn)方式中，所述未加密網(wǎng)絡(luò)為長(zhǎng)期演進(jìn)lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)為無(wú)線(xiàn)保真wifi網(wǎng)絡(luò)。

第三方面，本申請(qǐng)還提供了一種網(wǎng)絡(luò)設(shè)備及一種網(wǎng)元，該網(wǎng)絡(luò)設(shè)備及網(wǎng)元可以用于實(shí)現(xiàn)pcscf的全部或部分功能，并接收用戶(hù)設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊(cè)請(qǐng)求；根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略；指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

采用申請(qǐng)所提供的方法、裝置及網(wǎng)絡(luò)設(shè)備，可以在ue的附著網(wǎng)絡(luò)切換后，根據(jù)ue所附著的網(wǎng)絡(luò)，重新確定用于保護(hù)sip信令傳輸過(guò)程安全性的安全策略，在重新確定安全策略的過(guò)程中，可以根據(jù)對(duì)sip信令進(jìn)行安全保護(hù)的需求選擇響應(yīng)的安全策略，從而既可以保證sip信令傳輸?shù)陌踩?，又可以避免?duì)sip信令進(jìn)行重復(fù)加密，減輕pcscf不必要的性能開(kāi)銷(xiāo)。

附圖說(shuō)明

為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，對(duì)于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請(qǐng)網(wǎng)絡(luò)系統(tǒng)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖；

圖2為本申請(qǐng)安全策略確定方法的一個(gè)實(shí)施例的流程示意圖；

圖3為本申請(qǐng)安全策略確定方法的另一個(gè)實(shí)施例的流程示意圖；

圖4為本申請(qǐng)安全策略確定方法的另一個(gè)實(shí)施例的流程示意圖；

圖5為本申請(qǐng)安全策略確定裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。

具體實(shí)施方式

參見(jiàn)圖1，為本申請(qǐng)網(wǎng)絡(luò)系統(tǒng)一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。

如圖1所示，所述網(wǎng)絡(luò)系統(tǒng)包括核心網(wǎng)、pcscf、epdg及ue等網(wǎng)元或設(shè)備。其中，pcscf與核心網(wǎng)相連；pcscf與ue之間可以直接進(jìn)行sip信令傳輸，也可以通過(guò)epdg進(jìn)行sip信令傳輸。當(dāng)pcscf與ue之間通過(guò)epdg進(jìn)行sip信令傳輸時(shí)，ue與epdg之間可以采用密文形式傳輸sip信令，而epdg與pcscf之間則可以采用明文方式傳輸sip信令。

參見(jiàn)圖2，為本申請(qǐng)安全策略確定方法一個(gè)實(shí)施例的流程圖。由于在ims系統(tǒng)中，用于分配對(duì)sip信令進(jìn)行保護(hù)的安全策略的設(shè)備為pcscf，因此該方法可以由pcscf執(zhí)行。

步驟201，pcscf接收ue發(fā)送的重注冊(cè)請(qǐng)求。

所述重注冊(cè)請(qǐng)求可以是ue所附著的網(wǎng)絡(luò)發(fā)生變化后發(fā)送的重注冊(cè)請(qǐng)求。其中，所述ue所附著的網(wǎng)絡(luò)可以包括加密網(wǎng)絡(luò)與非加密網(wǎng)絡(luò)兩類(lèi)。其中，加密網(wǎng)絡(luò)是指ims中通過(guò)安全通道進(jìn)行sip信令傳輸?shù)木W(wǎng)絡(luò)，如wifi網(wǎng)絡(luò)等；而未加密網(wǎng)絡(luò)是指ims中通過(guò)一般 通道進(jìn)行sip信令傳輸?shù)木W(wǎng)絡(luò)，如lte網(wǎng)絡(luò)等。

附著網(wǎng)絡(luò)切換可以包括ue所附著的網(wǎng)絡(luò)從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)，也可以包括ue所附著的網(wǎng)絡(luò)從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)。例如，所述重注冊(cè)請(qǐng)求可以是ue從lte網(wǎng)絡(luò)切換附著到wifi網(wǎng)絡(luò)后發(fā)送的重注冊(cè)請(qǐng)求；也可以是ue從wifi網(wǎng)絡(luò)切花到lte網(wǎng)絡(luò)后發(fā)送的重注冊(cè)請(qǐng)求。

步驟202，pcscf根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略。

在接收到所述重注冊(cè)請(qǐng)求后，無(wú)論所述ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型是否相同，pcscf均可以根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型確定用于保護(hù)sip信令傳輸過(guò)程安全性的指定安全策略。

具體來(lái)說(shuō)，所述pcscf在接收到所述重注冊(cè)請(qǐng)求后，可以在所述重注冊(cè)請(qǐng)求中添加認(rèn)證挑戰(zhàn)標(biāo)識(shí)，并將包含所述認(rèn)證挑戰(zhàn)標(biāo)識(shí)的重注冊(cè)請(qǐng)求發(fā)送至核心網(wǎng)，其中，所述認(rèn)證挑戰(zhàn)標(biāo)識(shí)用于指示核心網(wǎng)對(duì)所述ue發(fā)起認(rèn)證挑戰(zhàn)。例如，pcscf可以在sip的鑒權(quán)頭域設(shè)置integrity-protected＝no作為認(rèn)證挑戰(zhàn)標(biāo)識(shí)。所述核心網(wǎng)在收到包含所述認(rèn)證挑戰(zhàn)標(biāo)識(shí)的重注冊(cè)請(qǐng)求后，指示所述pcscf發(fā)起認(rèn)證挑戰(zhàn)，從使pcscf可以更換對(duì)所化sip信令進(jìn)行保護(hù)時(shí)所采用的安全策略。

當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf可以選擇第一安全策略作為指定安全策略。所述第一安全策略用于指示所述ue對(duì)所述sip信令進(jìn)行加密。例如，第一安全策略可以為對(duì)所述sip信令進(jìn)行加密及完整性保護(hù)的sip安全性算法套件。

當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf可以選擇第二安全策略作為指定安全策略。所述第二安全策略用于指示所述ue不對(duì)所述sip信令進(jìn)行加密。例如，第二安全策略可以為對(duì)所述sip信令進(jìn)行完整性保護(hù)的sip安全性算法套件。

當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從一個(gè)未加密網(wǎng)絡(luò)切換附著到另一個(gè)未加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf同樣也可以選擇第一安全策略作為指定安全策略；相應(yīng)的，當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從一個(gè)加密網(wǎng)絡(luò)切換附著到另一個(gè)加密網(wǎng)絡(luò)后發(fā)送時(shí)，所述pcscf同樣也可以選擇第二安全策略作為指定安全策略。

如果ue在附著網(wǎng)絡(luò)切換前所附著網(wǎng)絡(luò)的類(lèi)型與附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型相同，所述pcscf

步驟203，所述pcscf指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

在指定安全策略選定之后，所述pcscf指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

當(dāng)所述指定安全策略為第一安全策略時(shí)，所述pcscf可以指示所述ue使用所述第一安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。從而使所述ue在與pcscf進(jìn)行sip信令傳輸?shù)倪^(guò)程中，既對(duì)所述sip信令進(jìn)行加密，又對(duì)所述sip信令進(jìn)行完整性保護(hù)。

當(dāng)所述指定安全策略為第二安全策略時(shí)，所述pcscf可以指示所述ue使用所述第二安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。從而使所述ue在與pcscf進(jìn)行sip信令傳輸?shù)倪^(guò)程中，僅對(duì)所述sip信令完整性保護(hù)，而不對(duì)所述sip信令進(jìn)行加密。

從上述實(shí)施例可以看出，pcscf可以在ue的附著網(wǎng)絡(luò)切換后，調(diào)整用于保護(hù)sip信令傳輸過(guò)程安全性的安全策略；從而既可以保證sip信令傳輸?shù)陌踩?，又可以避免?duì)sip信令進(jìn)行重復(fù)加密。

參見(jiàn)圖3，為本申請(qǐng)安全策略確定方法一個(gè)實(shí)施例的流程圖

步驟301，在附著網(wǎng)絡(luò)從lte網(wǎng)絡(luò)切換附著到wifi網(wǎng)絡(luò)后，ue向pcscf發(fā)送第一重注冊(cè)請(qǐng)求。

步驟302，pcscf在所述第一重注冊(cè)請(qǐng)求的鑒權(quán)頭域中添加認(rèn)證挑戰(zhàn)標(biāo)識(shí)從而生成第二重注冊(cè)請(qǐng)求。

步驟303，pcscf將所述第二重注冊(cè)請(qǐng)求發(fā)送至核心網(wǎng)。

步驟304，核心網(wǎng)指示所述pcscf對(duì)所述ue發(fā)起認(rèn)證挑戰(zhàn)。

核心網(wǎng)在接收到第二重注冊(cè)請(qǐng)求后，可以向pcscf發(fā)送未授權(quán)響應(yīng)，從而許pcscf更換安全策略

步驟305，pcscf在向所述ue發(fā)認(rèn)證挑戰(zhàn)的過(guò)程中，確定第二安全策略作為用于保護(hù)sip信令傳輸過(guò)程安全性的指定安全策略。

步驟306，pcscf向所述ue指示所述第二安全策略。

步驟307，ue按照隧道傳輸?shù)囊髮?duì)sip信令進(jìn)行加密生成密文形式的sip信令。

ue根據(jù)第二安全策略的規(guī)定及隧道傳輸?shù)囊髮?duì)sip信令進(jìn)行一次加密。

步驟308，ue將密文形式的sip信令進(jìn)行發(fā)至epdg。

步驟309，epdg將密文形式的sip信令解密為明文形式的sip信令。

步驟310，epdg將明文形式的sip信令發(fā)送至pcscf。

采用本實(shí)施例所提供的方法，可以在ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)時(shí)，避免對(duì)sip信令的二次加密。

參見(jiàn)圖4，為本申請(qǐng)安全策略確定方法一個(gè)實(shí)施例的流程圖。

步驟401，在附著網(wǎng)絡(luò)從wifi網(wǎng)絡(luò)切換附著到lte網(wǎng)絡(luò)后，ue向pcscf發(fā)送第一重注冊(cè)請(qǐng)求。

步驟402，pcscf在所述第一重注冊(cè)請(qǐng)求的鑒權(quán)頭域中添加認(rèn)證挑戰(zhàn)標(biāo)識(shí)從而生成第二重注冊(cè)請(qǐng)求。

步驟403，pcscf將所述第二重注冊(cè)請(qǐng)求發(fā)送至核心網(wǎng)。

步驟404，核心網(wǎng)指示所述pcscf對(duì)所述ue發(fā)起認(rèn)證挑戰(zhàn)。

步驟405，pcscf在向所述ue發(fā)認(rèn)證挑戰(zhàn)的過(guò)程中，確定第一安全策略作為用于保護(hù)sip信令傳輸過(guò)程安全性的指定安全策略。

步驟406，pcscf向所述ue指示所述第一安全策略。

步驟407，ue按第一安全策略的要求對(duì)sip信令進(jìn)行加密生成密文形式的sip信令。

步驟408，ue將密文形式的sip信令進(jìn)行發(fā)至pcscf。

采用本實(shí)施例所提供的方法，可以在ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)時(shí)，對(duì)sip信令進(jìn)行加密，從而可以保證sip信令傳輸過(guò)程中的安全性。

參見(jiàn)圖5，為本申請(qǐng)安全策略確定裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。該裝置可以設(shè)置在無(wú)線(xiàn)通信系統(tǒng)中的用于實(shí)現(xiàn)pcscf的網(wǎng)元上，也可以是無(wú)線(xiàn)通信系統(tǒng)中的用于實(shí)現(xiàn)pcscf的網(wǎng)元本身。

如圖5所示，所述裝置可以包括：接收單元501，確定單元502及指示單元503。

其中，接收單元501，用于接收ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊(cè)請(qǐng)求；確定單元502，用于根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類(lèi)型，確定用于保護(hù)所述pcscf與所述ue之間會(huì)話(huà)初始化協(xié)議sip信令傳輸過(guò)程安全性的指定安全策略；指示單元503，用于指示所述ue使用所述指定安全策略保護(hù)所述sip信令在傳輸過(guò)程中的安全性。

可選的，所述確定單元502，可以用于當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時(shí)，選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對(duì)所述sip信令進(jìn)行加密。其中，所述第一安全策略可以為對(duì)所述sip信令進(jìn)行加密及完整性保護(hù)的sip安全性算法套件。所述未加密網(wǎng)絡(luò)可以為lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)可以為wifi網(wǎng)絡(luò)。

可選的，所述確定單元502，可以用于當(dāng)所述重注冊(cè)請(qǐng)求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時(shí)，選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對(duì)所述sip信令進(jìn)行加密。所述第二安全策略可以為對(duì)所述sip信令進(jìn)行完整性保護(hù)的sip安全性算法套件。

本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請(qǐng)實(shí)施例中的技術(shù)可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?；谶@樣的理解，本申請(qǐng)實(shí)施例中的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中，如rom/ram、磁碟、光盤(pán)等，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。

本說(shuō)明書(shū)中各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其對(duì)于裝置例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。

以上所述的本申請(qǐng)實(shí)施方式，并不構(gòu)成對(duì)本申請(qǐng)保護(hù)范圍的限定。任何在本申請(qǐng)的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等，均應(yīng)包含在本申請(qǐng)的保護(hù)范圍之內(nèi)。