專利名稱:選擇用戶面算法的方法、系統(tǒng)和設備的制作方法
技術領域:
本發(fā)明涉及通信技術領域����,尤其涉及一種選擇用戶面算法的方法���、系統(tǒng) 和設備����。
背景技術:
在UMTS (Universal Mobile Telecommunications System,通用移動通信系 統(tǒng))系統(tǒng)中�����,安全的終結點位于RNC (Radio Network Controller,無線網絡控 制器)上�。UE (UserEquipment,用戶設備)和RNC執(zhí)行加密/解密和完整性 保護的安全操作,對用戶數據提供機密性保護�����,對UE和RNC間交互的信令 提供機密性保護和完整性保護。由于不同用戶設備所支持的加密和完整性算 法不同�,因此在接入層進行加密和完整性保護之前,需要在UE和RNC間協(xié) 商一套安全算法���。UMTS中用戶面協(xié)商安全算法的過程包括以下步驟1 ��、 UE在RRC (Radio Resource Control,無線資源控制)連接過程中�, 將自身支持的算法列表即UE安全能力�����,上報給RNC��, RNC進行保存��。2�、 在UE向核心網發(fā)送消息后、執(zhí)行加密和完整性保護前���,由核心網發(fā) 起安全模式命令��,啟動空中接口的加密完整性保護�����,同時網絡側決定允許UE 采用的算法�,并將允許的算法列表通過安全模式命令發(fā)給RNC;3、 RNC根據UE的安全能力����,以及網絡允許UE使用的算法列表決定該 UE通信的加密和完整性的安全算法,并放在加密模式命令發(fā)送給UE�����。該選擇安全算法過程中���,由于核心網絡下發(fā)的允許UE采用的算法列表是 運營商在核心網設備VLR (Visited Location Register,訪問位置寄存器)或者 SGSN ( Serving General Packet Radio Service Support Node,月良務通用分組無線 業(yè)務支持節(jié)點)上配置的,對所有UE的所有通信均相同��。因此UE在某一個 網絡里協(xié)商出的算法總相同���,即對某個UE的所有信令和數據都采用相同算法 保護����,或對所有UE的所有數據都不進行保護��。目前,隨著3GPP ( 3rd Generation Partnership Project,第三^移動通信標 準化伙伴項目)系統(tǒng)的不斷發(fā)展�,無線演進網絡的研究工作正在3GPP組織內 部進行。如圖1所示�,無線演進網絡的核心網主要包含MME (Mobility Management Entity,移動管理實體)、UPE (User Plane Entity,用戶面實體)�、 SAE-GW ( System Architecture Evolution Gateway,系統(tǒng)構架演進網關)三個 邏輯功能體。其中����,MME負責控制面的移動性管理,包括用戶上下文和移動 狀態(tài)管理����、分配用戶臨時身份標識、安全功能等��;UPE負責空閑狀態(tài)時為下 行數據發(fā)起尋呼�����、管理保存IP承載參數和網絡內路由信息等��;SAE-GW則充 當不同接入系統(tǒng)間的用戶面錨點�����。在無線演進網絡中,用戶面的安全被終結在核心網�,信令面的安全分為 接入層AS (Access Stratum)信令和非接入層NAS (Non Access Stratum)信 令兩個部分,分別終結在接入網和核心網�。接入層信令的安全終結在無線演 進網絡接入網的eNodeB ( evolved Node B ,演進基站)上����,而用戶面的安全 終結在UPE上,也可能終結在eNodeB上���。非接入層的信令的安全可能終結 在MME上����。UPE可能單獨存在����,可能和MME合為一個實體���,也有可能與 SAE-GW合為一個實體���。另外UPE的PDCP( Packet Data Convergence Protocol, 分組數據會聚協(xié)議)壓縮以及加密功能也有可能放在接入網實體如eNodeB 上。這與UMTS系統(tǒng)中的架構不同,因此UMTS系統(tǒng)中的算法協(xié)商過程不能 應用在無線演進網絡中���。另外��,在LTE ( Long Term Evolution,長期演進)/SAE網絡中用戶側和 網絡側支持的安全算法可能會有多種��,不同的安全算法的開銷與成本都有所 不同�。 一般而言���,越安全的算法其復雜度與開銷就會越大�����。而對于不同種類 的業(yè)務����,某些對安全性要求比較高的業(yè)務需采用高安全級別的算法�����,其他安 全性要求不高的業(yè)務只需采用較低安全級別算法�,甚至不需要進行保護。因 此沒必要為某幾種業(yè)務統(tǒng)一對所有業(yè)務均采用高安全級別的算法�。但現有的應用于LTE/SAE網絡的安全算法協(xié)商方法中���,還沒有涉及到根 據業(yè)務安全級別來進行選擇。因此��,需要提供一種算法協(xié)商方法�����,使得在選 擇網絡側用戶面加密實體(如UPE)和UE間安全算法時考慮到不同業(yè)務的不同需求���。 發(fā)明內容本發(fā)明的實施例提供一種選擇用戶面算法的方法�、系統(tǒng)和設備�����,使得在SAE/LTE網絡中對安全需求不同的各業(yè)務提供了其所需的不同級別的安全保 護�����,也可以針對不同用戶需求來選擇是否加密以及加密算法的安全等級��。為達到上述目的���,本發(fā)明的一實施例提供一種選擇用戶面算法的方法, 包括如下步驟網絡側實體接收用戶終端發(fā)送的請求;所述網絡側實體獲取并根據所述用戶終端的安全信息選擇用戶面算法���。 本發(fā)明的另 一實施例提供一種選擇用戶面算法的系統(tǒng)����,包括用戶終端和 網絡側實體�����,所述網絡側實體包括信息獲取單元和算法選擇單元�, 所述信息獲取單元,獲取用戶終端的安全信息�����;所述算法選擇單元��,根據所述信息獲取單元獲取的信息��,選擇所述用戶 終端的用戶面算法�。本發(fā)明的再一實施例還提供一種選擇用戶面算法的網絡側實體,包括信 息獲取單元和算法選擇單元�;所述信息獲取單元,獲取用戶終端的安全信息��;所述算法選擇單元,根據所述信息獲取單元獲取的信息���,選擇所述用戶 終端的用戶面算法���。本發(fā)明的實施例提出了 一種適合SAE/LTE網絡中用戶面算法協(xié)商和用戶 面保護的方法,可以才艮據業(yè)務或者用戶的需求選擇不同安全級別的算法��,即 算法協(xié)商可以針對不同的業(yè)務�、不同的用戶來選擇,使得網絡可以對安全需 求不同的各業(yè)務提供了其所需的不同級別的保護�。圖l是現有技術中無線演進網絡的結構示意圖;圖2是本發(fā)明的第 一 實施例中創(chuàng)建PDP上下文時選擇用戶面算法的流程
圖��;圖3是本發(fā)明的第二實施例中創(chuàng)建PDP上下文時選擇用戶面算法的流程圖��;圖4是本發(fā)明的第三實施例中attach過程中為建立的缺省承載選擇算法的 流程圖��;圖5是本發(fā)明的第四實施例中attach過程中為建立的缺省承栽選擇算法的 流程圖���;圖6是本發(fā)明的第五實施例中attach過程中為建立的缺省承栽選擇算法的 流程圖���;圖7是本發(fā)明的第六實施例中attach過程中為建立的缺省承載選擇算法的 流程圖;圖8是本發(fā)明的第七實施例中業(yè)務建立過程中選擇算法的流程圖��; 圖9是本發(fā)明的第八實施例中業(yè)務建立過程中選擇算法的流程圖; 圖10是本發(fā)明的第九實施例中業(yè)務建立過程中選擇算法的流程圖����; 圖11是本發(fā)明的第十實施例中UPE或者僅是用戶面加密功能部署在eNodeB時選擇用戶面算法的流程圖��;圖12是本發(fā)明的第十一實施例中UPE或者僅是用戶面加密功能部署在eNodeB時選擇用戶面算法的流程圖����;圖13是本發(fā)明的第十二實施例中基于用戶需求選擇算法的流程圖; 圖14是本發(fā)明的第十三實施例中選擇用戶面算法的系統(tǒng)結構示意圖�; 圖15是本發(fā)明的第十四實施例中選擇用戶面算法的系統(tǒng)結構示意圖; 圖16是本發(fā)明的第十五實施例中選擇用戶面算法的系統(tǒng)結構示意圖���。
具體實施方式
以下結合附圖和實施例��,對本發(fā)明《故進一步的描述�����。本發(fā)明的第一實施例和第二實施例描述的是網絡側設備和用戶終端在 PDP (Packet Data Protocol,分組數據協(xié)議)上下文創(chuàng)建過程中選擇安全算法 的方法和流程�����。 一旦PDP上下文創(chuàng)建以后����,凡是采用該PDP上下文相關承載進行的業(yè)務都采用該流程中協(xié)商的算法保護。第一實施例的具體描述如下用戶在創(chuàng)建PDP上下文時�,完成用戶面安全算法的逸棒,此實施例假設 PDP上下文的創(chuàng)建是由網絡觸發(fā)的���。此過程之前��,假設MME/UPE已經獲得 了 UE的安全能力�,獲得的方式可以在如attach過程中�����,UE通過attach請求 消息上報UE的安全能力�����;或者UE先將安全能力上報給eNodeB�, eNodeB再 通過Sl接口通知MME/UPE,這樣在MME/UPE就會保存UE的安全能力。 實現安全算法選擇的具體過程如圖2所示�����,包括步驟s201 、 UE需^^入某些業(yè)務時���,在default IP( default Internet Protocol, 缺省因特網協(xié)議地址)接入承載建立與網絡側應用功能實體AF (Application Function)的信令連接��。步驟s202����、 PCRF (Policy Control and. Charging Rules Function,策略計費 規(guī)則功能實體)根據UE所請求的業(yè)務向MME/UPE發(fā)送資源請求����,該請求包 括QoS (Quality of Service,服務質量)需求���,并且可能還需要包括業(yè)務對安 全性的要求����。對安全性需求的描述可以籠統(tǒng)的為高���、中���、低或無等級,也可 以是指定某些等級的算法��。步驟s203����、 MME/UPE檢查UE的簽約信息�����,并根據QoS要求�����、用戶簽 約信息�����、以及可用資源按照策略判斷是否允許所要求的QoS���。 MME/UPE根據 業(yè)務的安全性需求(與安全等級對應)、l正的安全能力�����、以及網絡允許UE 采用的算法之中的一種或者多種因素來選擇用戶面所采用的安全算法�����。 MME/UPE也可能會結合用戶簽約信息來決定采用算法的安全等級。所述用戶 簽約信息中對安全等級的描述即可以是用戶在簽約某項業(yè)務時����,與網絡協(xié)商 好的針對某種業(yè)務采用某種安全等級,也可以是與具體的業(yè)務無關�����,即該用 戶簽約的所有業(yè)務采用某一種安全等級����。以上流程中如步驟s202和s203中的業(yè)務安全需求也可以作為QoS需求 的一個參數����。安全需求可能只劃分兩種等級即加密和不加密兩種。也可能 劃分多種等級�,例如不加密、低安全級別的加密�、中安全級別的加密、高安 全級別等等��。如果步驟s202中PCRF沒有向MME/UPE提供業(yè)務安全性需求的描述��, 則MME獲得業(yè)務安全性需求的方法還可以為從本地配置的信息中獲得����;或 者從HSS (Home Subscriber Server,歸屬客戶服務器)獲得�,如用戶的簽約 信息中有對其業(yè)務安全需求的描述����。步驟s204、 MME/UPE向eNodeB發(fā)起無線資源分配請求消息����,并且攜帶 所選的用戶面安全算法。步驟s205��、 eNodeB中執(zhí)行控制功能的實體將QoS信息翻譯成無線QoS, 并且調度相應的資源滿足QoS要求��。步驟s206�����、 eNodeB與UE完成RRC過程�����。包括向UE提供業(yè)務所需的無 線資源配置����,以及IP或會話流提供的相關無線鏈路資源信息�����,并且通知UE 網絡所選擇的用戶面安全算法���。另外,l正在對網絡的響應消息中也可能包括 UE安全能力�、和/或網絡所選安全算法。步驟s207���、 eNodeB向MME/UPE發(fā)送分配響應消息����,通知成功完成資源 建立����,該消息可能還包4舌UE響應的UE安全能力�、和/或網絡所選安全算法 以侵一作為確認。步驟s208��、 MME/UPE向PCRF報告資源建立的結果以及協(xié)商出的QoS����。 至此網絡側和用戶終端都可將所創(chuàng)建的PDP上下文與用戶面算法關聯(lián)保存���。需要指出的是如果MME和UPE分離,則執(zhí)行算法選擇功能實體可能是 UPE����,也可能是MME,算法選擇也可能是由二者之一完成。如果執(zhí)行算法選擇的是MME,那么MME選擇安全算法之后直接將該算 法通知l正��,或者將該算法發(fā)送給UPE并由UPE轉發(fā)給UE����。 MME可能還需 要將算法通知UPE或者SAE-GW。如果算法是UPE選擇��,那么由UPE選擇之后將算法通知UE���,或者將算 法發(fā)給MME并由MME轉發(fā)給UE��。網絡選擇用戶面算法時���,也可以只考慮用戶需求,不考慮業(yè)務安全需求�, 那么以上過程中MME/UPE就不需要獲得業(yè)務安全需求。另外����,協(xié)商過程中 協(xié)商出來的用戶面算法或算法對應的安全等級可以作為協(xié)商出來的QoS的參數之一����。本發(fā)明的第二實施例同樣是說明在創(chuàng)建PDP上下文時�,用戶終端與網絡 側設備完成協(xié)商用戶面安全算法的方法,這里假設PDP上下丈的創(chuàng)建由網絡 觸發(fā)的�����。與第一實施例的區(qū)別在于��,本實施例中選擇用戶面采用算法的步驟 是在MME/UPE執(zhí)行QoS控制之后��。具體過程如圖3所示���,包括步驟s301���、 UE需要接入某些業(yè)務時,在default IP接入承載建立與網絡 應用功能實體AF的信令連接����。步驟s302����、 PCRF根據UE所請求的業(yè)務向MME/UPE發(fā)送資源請求����,該 請求包括QoS需求����,并且可能還包括業(yè)務的安全性需求。安全需求可能只劃 分兩種等級即加密和不加密兩種���。也可能劃分多種等級���,例如不加密、低 安全級別的加密��、中安全級別的加密���、高安全級別等等�。步驟s303�����、 MME/UPE檢查UE的預訂信息����,并根據QoS要求��、用戶預 定信息�����、以及可用資源按照策略判斷是否允許所要求的QoS���。步驟s304、 MMW/UPE向eNodeB發(fā)起資源建立請求����,并且攜帶Qos信自步驟s305、 eNodeB執(zhí)行控制功能的實體將QoS信息翻譯成無線QoS, 并且調度相應的資源滿足QoS要求����。步驟s306、 eNodeB與UE完成RRC過程��。包括向UE提供業(yè)務所需的無 線資源配置���,以及IP或者會話流提供的相關無線鏈路資源信息�����,并且此期間 l正上報自身的安全能力����。步驟s307����、 eNodeB向MME/UPE發(fā)送分配響應消息,通知成功完成資源 建立����,其中可能包括UE安全能力,以及UE所選的安全等級�����。步驟s308�、 MME/UPE向PCRF才艮告資源建立的結果以及協(xié)商出的QoS。步驟s309���、 MME/UPE在需要啟動用戶面加密時�����,根據業(yè)務的安全性需 求����、UE的安全能力、網絡策略即網絡允許UE采用的算法���、以及用戶UE側 安全需求中的一種或多種因素來選擇用戶面所采用的安全算法��,選擇時還可 能結合用戶簽約信息決定所采用的算法的安全等級��。此步驟還可以放在s309 之前的任何步驟#^亍��,還可如同實施例1所描述的在步驟303進行���。如果步驟s302中PCRF沒有向MME/UPE提供業(yè)務的安全性需求描述, MME獲得業(yè)務安全性需求的方法可以為從本地配置信息中獲得����,或者從 HSS獲得,如用戶的簽約信息里就可能有對其業(yè)務的描迷���。步驟s310�����、 MME/UPE通過某個下行消息將所選算法通知給UE�����。比如通 過用戶面安全模式啟動命令�,或者是業(yè)務接受消息等����。如果網絡決定不加密, 就可不通知UE所選算法����,只要不啟動用戶面加密便可。至此網絡側和用戶終端都可將所創(chuàng)建的PDP上下文與用戶面算法關聯(lián)保存�。需要指出的是如果MME和UPE分離,則執(zhí)行算法選擇功能實體可能是 UPE,也可能是MME,算法選擇也可能是由二者之一完成����。如果執(zhí)行算法選擇的是MME,那么MME選擇安全算法之后直接將該算 法通知UE,或者將該算法發(fā)送給UPE并由UPE轉發(fā)給UE����。 MME可能還需 要將算法通知UPE或者SAE-GW。如果算法是UPE選擇����,那么由UPE選擇之后將算法通知l正���,或者將算 法發(fā)給MME并由MME轉發(fā)給UE。值得指出的是�,UE發(fā)起PDP上下文創(chuàng)建請求時,PDP上下文創(chuàng)建過程 中協(xié)商算法的方法類似于UE發(fā)起的attach流程��。區(qū)別在于把attach過程中的 attach請求消息替換為PDP上下文創(chuàng)建請求把attach接受消息替換為PDP 上下文創(chuàng)建響應��;把attach創(chuàng)建確認消息替換為PDP上下文創(chuàng)建確認消息����。 另外由于建立PDP時,網絡側可能已經獲得UE能力信息����,因此UE可能不 需要在此過程上報自身能力信息。同樣存在一種情況���,即網絡選擇用戶面算法時���,只針對用戶需求選擇, 不針對業(yè)務安全需求�,那么以上過程中MME/UPE就不需要獲得業(yè)務安全需求����。上述第一實施例和第二實施例中�,執(zhí)行PDP建立控制的實體為 MME/UPE,另外執(zhí)行PDP建立控制還可能是SAE-GW,選擇用戶面算法的 可能也是SAE-GW���。這種情況下����,以上實施例中選擇算法的功能需要放在 SAE-GW上�。需要改變的是��,SAE-GW可能需要從MME或者HSS獲得用戶的簽約信息����。另外,如杲用戶面加密實體不在選擇算法的MME/UPE或者 SAE-GW上�,在啟動用戶面加密時,還需要將所選算法發(fā)送給用戶面加密實體�。第三至第六實施例是描迷為一在attach過程中建立的缺省承栽選擇一安 全算法的不同過程,算法選擇后��,凡是在此缺省承載上進行的業(yè)務都采用這 個算法來保護�。具體的����,第三實施例為在網絡中UPE和MME不分離時����,在attach過程 中建立缺省IP承栽并選擇一缺省的安全算法的過程。具體過程如圖4所示�����, 包括步驟s401 ��、 l正向MME/UPE發(fā)送attach請求��,UE可能需要在attach請 求中攜帶自己的安全能力���。該安全能力可以是UE所支持的所有算法能力集����, 也可能是UE僅對某種業(yè)務所支持的算法能力集��。UE也可以不在attach請求 里攜帶安全能力�,此時網絡側獲得UE安全能力的方式可以為UE通過AS 信令把UE安全能力發(fā)給eNodeB, eNodeB再將UE安全能力通過SI接口發(fā) 給核心網����。UE還可以在請求消息中攜帶用戶所選的安全需求等級信息����,安全需求可 能只劃分兩種等級即加密和不加密兩種���。也可能劃分多種等級����,例如不加 密��、^f氐安全級別的加密��、中安全級別的加密�����、高安全級別等等��。步驟s402至步驟s406��、如需對UE進行認證��,則MME執(zhí)行與UE的認 證過程�,并在認證成功后完成向HSS的路由區(qū)注冊/更新,以及UE簽約數據 的獲取���。步驟s407至步驟s409��、 MME完成與SAE-GW的PCRF交互�����,完成UE 路由區(qū)在SAE-GW的更新����。步驟s410�、 MME/UPE選擇缺省IP承載下用戶面算法和控制面的算法, 該選擇需要結合UE的安全能力��,網絡策略(網絡允許用戶采用的算法)��、用 戶安全需求中的 一種或者多種信息����。值得指出的是,用戶安全需求包括以下幾個方面的可能用戶在簽約業(yè) 務時�,與網絡協(xié)商好的安全等級需求,并存儲于用戶簽約信息里����;或者用戶在通信時���,選擇本次通信的安全等級,并在請求消息里發(fā)給網絡���,這種情況下�,還可能需要進一步結合UE簽約信息判斷是否允許UE選用的該安全等級 算法�。步驟s411至步驟s412、 eNodeB與UE建立RRC連接過程���。需要指出的 是RRC連接可能是在attach中建立��,也可能是在有數據傳輸時建立���。步驟s413�����、 MME/UPE在NAS安全模式命令中將用戶面和控制面的安全 算法發(fā)給UE�����。這種情況下,需要定義2或3個不同的IE( Information Element, 信元)�,分別表示NAS控制面加密/完整性算法和用戶面安全算法。其中用戶 面安全算法也可能是通過attach accept (附著接受)消息下發(fā)�����。這兩條消息可 以合并在一條消息中�����,即NAS安全模式命令被放到attach accept消息里攜帶 給UE��。步驟s414�����、 UE接收到NAS算法后�����,還需要向網絡返回安全模式命令響 應消息���,該消息可能攜帶接收到的NAS算法和/或UE的安全能力����。接收到的 NAS算法和/或UE的安全能力還可以放到attach complete (附著完成)消息 里攜帶。另外�����,安全模式命令響應自身可能就是attach complete的一部分��。第四實施例與上面第三實施例的不同之處在于��,本實施例中將安全模式 命令移到第三實施例的步驟s402和步驟s403之間�,具體流程如圖5所示,包 括步驟s501 ���、 UE向MME/UPE發(fā)送attach請求����,UE可能需要在attach請 求中攜帶自身的安全能力信息����。該安全能力信息可以是UE所支持的所有算法 能力集,也可以能是UE僅對某種業(yè)務所支持的算法能力集�。步驟s502�����、如需對UE進行認證,則MME執(zhí)行與UE的認證過程����。在執(zhí) 行認證過程中,HSS將UE簽約信息與鑒權元組一起發(fā)給MME/UPE,也就是 將用戶簽約數據插入過程合并到鑒權元組獲取的過程中�����。步驟s503���、MME/UPE選擇缺省IP承載下用戶面安全算法和控制面算法�, 該選擇需要根據UE的安全能力�����,還可能進一步根據UE簽約信息里允許UE 使用的算法�、網絡策略、UE要求中的一種或者多種信息�����。如果選擇算法時并 不根據用戶簽約信息來選��,那么用戶簽約數據插入過程可以在完成如步驟s504和s505的用戶安全模式建立過程后單獨執(zhí)行,不必并入步驟502��,這與 第三實施例3中的步驟s404和s405所描述的相同�。步驟s504至步驟s505、 MME/UPE在NAS安全模式命令中將用戶面和控 制面的安全算法發(fā)給UE���。這種情況下���,需要定義2或3個不同的正,分別表 示NAS控制面加密/完整性算法和用戶面安全算法�����。UE接收到該算法后��,可 能還需要向網絡返回安全模式命令響應�,響應消息進一步可能攜帶接收到的 算法和/或UE的安全能力。如果網絡決定不加密�,就可不通知UE所選算法, 只要不啟動用戶面加密便可��。步驟s506��、 MME/UPE向HSS發(fā)送路由更新請求�。步驟s507�����、 HSS回復路由更新響應。步驟s508至步驟s510��、 MME完成與SAE-GW的PCRF交互�,完成用戶 路由區(qū)在SAE-GW的更新。步驟s511至步驟s512���、 eNodeB與UE建立RRC連接�����。RRC連接可能是 在attach中建立�,也可能是在有數據傳輸時建立����。步驟s513 、 MME/UPE向UE發(fā)送attach accept消息���。步驟s514����、 UE發(fā)送attach complete消息作為響應。以上描述的第三實施例和第四實施例同樣適用于MME和UPE分離的情 況�����。當MME和UPE分離時���,MME通過向UPE發(fā)送用戶面安全啟動命令�����、 將所選用戶面算法通知給UPE;或者通過將所選算法插入到attach請求等方 式����,將所選算法發(fā)送給SAE-GW����, SAE-GW將算法與缺省承載上下文一起存 儲。當需要啟動用戶面加密時��,SAE-GW將算法發(fā)給用戶面加密實體�。本發(fā)明的第五實施例為在UPE和MME分離情況下,在attach過程中協(xié) 商算法的過程��,此過程中存在兩種可能選擇用戶面算法的是UPE或者 SAE-GW�。圖6所示為選擇用戶面算法的是UPE為例�,具體包括步驟s601 ���、 UE向MME發(fā)送attach請求�,UE可能需要在attach請求中 攜帶自身的安全能力�。該安全能力可以是UE所支持的所有算法能力集��,也可 以能是UE僅對某種業(yè)務所支持的算法能力集���。UE可以不在attach請求里攜 帶安全能力�����,此時網絡側獲得UE安全能力的方式可以為UE通過AS信令把UE安全能力發(fā)送給eNodeB, eNodeB再將UE安全能力通過SI接口發(fā)送 給核心網����。此步驟中UE還可以在請求消息里發(fā)送用戶所選的安全需求等級信息��,安 全需求可能只劃分兩種等級即加密和不加密兩種���。也可能劃分多種等級��, 例如不加密���、低安全級別的加密����、中安全級別的加密���、高安全級別等等��。步驟s602至步驟s606�����、如需認證UE, MME執(zhí)行與UE的認證過程����,并 在認證成功后完成向HSS的路由區(qū)注冊/更新過程����,以及用戶簽約數據的獲取。步驟s607��、 MME將attach請求發(fā)給UPE ( SAE-GW選擇算法時�����,MME 將attach請求發(fā)送給SAE-GW),該請求中包括UE的安全能力。MME還可 能將包括用戶簽約信息中允許UE采用的算法�����、和/或MME允許l正采用的算 法插入到請求消息中發(fā)給UPE���。步驟s608至步驟s610����、 UPE與SAE-GW交互�,建立UPE到SAE-GW的 承栽��。當UPE位于接入網或者UPE與SAE-GW合一時��,此步驟可省略��。步驟s611�����、 UPE (SAE-GW選擇算法時�����,為SAE-GW)根據用戶簽約信 息里允許UE使用的算法以及UE安全能力,選擇default IP承載下用戶面算 法����。具體應用時,本步驟也可以;故到步驟s614步后����、步驟s615步之前4丸行。步驟s612至步驟s614��、完成無線承栽連接建立過程����。步驟s615、 UPE (SAE-GW選擇算法時�,為SAE-GW)將所選用戶面算 法在attach接受消息中發(fā)給MME。步驟s616�����、 MME將攜帶用戶面算法的attach接受消息轉發(fā)給UE��。步驟s617���、 UE向MME發(fā)送attach完成消息���。還有另外一種情況��,MME選擇控制面的安全算法����,并加入到attach accept 中發(fā)給UE�,或者MME在NAS安全模式命令中將用戶面和控制面的安全算 法發(fā)給UE。這種情況下�����,需要定義2或3個不同的IE,分別表示NAS控制 面加密/完整性算法和用戶面安全算法����。至此�,l正便可獲得缺省IP下的用戶面安全算法。值得指出的是���,通過步驟s612至s614所描述的過程���,UPE(或者SAE-GW) 還可以把所選的用戶面安全算法在無線承栽建立過程中同時通過eNodeB轉發(fā)給UE。本發(fā)明的第六實施例與第五實施例的不同之處在于,當UPE或者 SAE-GW選擇完用戶面算法后�,并不需要把算法放到accept消息里面通過 MME轉發(fā)給UE。而是由UPE或者SAE-GW發(fā)起用戶面安全模式啟動命令���, 并把所選算法直接發(fā)給UE�。在用戶面安全模式啟動過程中�����,UPE或者 SAE-GW發(fā)起的安全模式啟動命令可以經過MME轉發(fā)�,也可以不經過MME 直接下發(fā)。同樣UE發(fā)送的用戶面安全模式響應消息也可以由MME轉發(fā)給 UPE或直接發(fā)給UPE���。該實施例的具體流程如圖7所示���,包括步驟s701、 UE向MME發(fā)送attach請求�,UE可能需要在attach請求中 攜帶自己的安全能力。該安全能力可以是UE所支持的所有算法能力集��,也可 以能是UE僅對某種業(yè)務所支持的算法能力集�。UE可以不在attach請求里攜帶安全能力,而此時網絡側獲得UE安全能 力的方式可以為UE通過AS信令把UE安全能力發(fā)給eNodeB����, eNodeB再 將UE安全能力通過SI接口發(fā)給核心網��。此步驟中UE還可以在請求消息里發(fā)送用戶所選的安全等級信息�����,該安全 等級最簡單的方式就是指示加密或不加密兩種方式中的一種���,也可以是如低、 中��、高等多種等級中的一種��。步驟s702至步驟s706�、如需認證UE,則MME執(zhí)行UE的認證過程,并 在認證成功后完成向HSS的路由區(qū)注冊/更新過程����,以及用戶簽約數據的獲取��。 步驟s707��、 MME將attach請求發(fā)給UPE ( SAE-GW選擇算法時��,MME 將attach請求發(fā)給SAE-GW),其中包括UE的安全能力。MME還可能將包 括用戶簽約信息中允許UE采用的算法�����、MME允許UE采用的算法��、UE在請 求消息攜帶的用戶所選安全等級中的部分或全部等信息插入到請求消息中發(fā) 給UPE ( SAE-GW選擇算法時�,MME將attach請求發(fā)給SAE-GW )。步驟s708至步驟s710����、 UPE與SAE-GW的交互,建立到的SAE-GW承 載�。當UPE放置接入網或者UPE與SAE-GW合一時,此步驟可省略�。步驟s711、 UPE (SAE-GW選擇算法時�,為SAE-GW)根據用戶簽約信 息里允許用戶使用的算法以及UE能力,還可能需要進一步結合用戶所選的安全等級選擇default IP承栽下的用戶面算法�����。步驟s712至步驟s714��、完成無線承載連接建立過程�。步驟s715�、 UPE ( SAE-GW選擇算法時����,為SAE-GW )向UE發(fā)送用戶面安全模式啟動命令,并把所選用戶面算法直接發(fā)給UE����。步驟s716、UPE( SAE-GW選擇算法時�����,為SAE-GW)向MME發(fā)送attachaccept消息�����,其中攜帶IP配置�����。步驟s717�����、 MME將攜帶IP配置的attach accept消息轉發(fā)給UE���。 步驟s718��、 UE向MME發(fā)送attach完成消息���。 步驟s715可以放在s718以后,在需要啟動用戶面安全時才執(zhí)行��。 第七至第九實施例描述的是在業(yè)務建立過程中協(xié)商安全算法的過程�,即只針對某一個業(yè)務執(zhí)行一次算法協(xié)商過程。從此�����,該業(yè)務的承栽采用協(xié)商的算法來保護��。具體的����,第七實施例為在業(yè)務發(fā)起過程中選擇用戶面算法的過程,如圖8 所示��,包括如下步驟步驟s801����、 UE向網絡發(fā)起業(yè)務請求�。該請求中還可能攜帶UE安全能力����, 該安全能力可以是UE所支持的所有算法能力集,也可以能是僅僅對于某種業(yè) 務UE所支持的算法能力集��。該請求中也可以不攜帶UE安全能力����,由于MME 可能已經在前面執(zhí)行的流程如attach過程、或PDP創(chuàng)建過程中獲得了 UE的 安全能力��。用戶還可能選擇一個此次業(yè)務通信的安全等級����,并在請求消息攜 帶。步驟s802����、 MME獲取用戶簽約信息,根據UE安全能力���,并可能結合所 申請的業(yè)務對安全等級的需求選取用戶面應該采用的算法�����。如果步驟s801攜 帶了用戶所選��,還需要結合用戶所選安全等級來選算法����。因此MME需要通過某種方法獲得業(yè)務安全需求����。MME可能通過與UPE 的接口獲得這一信息,也可能通過HSS獲得(比如用戶簽約信息里就有對某 種業(yè)務采用某種安全等級算法的約定)��,還可能是在MME里面直接配置有這 一信息�。MME獲得用戶業(yè)務類型的方法有1)假設UE在請求業(yè)務之前已經創(chuàng)建了PDP上下文,并且在PDP上下文創(chuàng)建時�,PDP上下文創(chuàng)建是由業(yè)務層 實體觸發(fā),那么可以由業(yè)務層實體通知MME或者UPE,將業(yè)務類型與PDP 上下文關聯(lián)保存����。當用戶發(fā)起業(yè)務請求時,根據與其所禾用的PDP上下文便 可知道業(yè)務類型�。2)用戶在業(yè)務請求中攜帶業(yè)務類型。例如利用service type (服務類型)參li攜帶業(yè)務類型�。步驟s803、 MME激活用戶面安全保護,并通過eNodeB向UE轉發(fā)所選 的用戶面算法����,該步驟為可選。步驟s804��、在執(zhí)行步驟s803的情況下UE通過eNodeB向MME轉發(fā)安 全模式響應��。步驟s805��、在MME與UPE分離的情況下���,MME結合UPE安全能力�����, 選擇合適的UPE��。然后通過接口將所選算法通過激活命令通知UPE;或者通 過向UPE發(fā)送一個安全模式命令����,將算法告知UPE�����。另外,安全模式命令可 以與激活命令同時發(fā)送���。步驟s806�、如果前面沒有執(zhí)行步驟s803至s804的用戶面安全才莫式啟動 過程�����,則MME在業(yè)務接受消息里面將所選算法通知給UE��,用戶面安全模式 啟動命令也可以放到業(yè)務接受消息里一起攜帶��。步驟s807��、 UE向UPE發(fā)送所選算法確認和上行數據�。本發(fā)明的第八實施例與上述第七實施例的不同之處在于�����,在本實施例中 是由UPE或者SAE-GW完成用戶面安全算法的選擇��,如圖9所示�,包括以下 步驟步驟s卯l、 l正向網絡發(fā)起業(yè)務請求�����,該請求中可能攜帶UE安全能力。 步驟s902�����、在MME與UPE分離的情況下����,MME結合UPE安全能力, 選擇合適的UPE���。此步驟為可選�����,在UPE放置于接入網時���,無該步驟。步驟s903���、 MME將UE的請求消息轉發(fā)給UPE ( SAE-GW選擇算法時����, 發(fā)送給SAE-GW)。消息中攜帶MME獲取到的用戶簽約信息����、用戶安全能力 以及業(yè)務安全需求等信息中的一種或者多種通知UPE( SAE-GW選擇算法時, 通知SAE-GW )���。如果UE在向MME發(fā)送的業(yè)務請求消息里沒有攜帶UE安 全能力�����,MME可能將在前面的過程如attach過程或PDP上下文創(chuàng)建中獲得的UE安全能力添加到業(yè)務請求里發(fā)給UPE (SAE-GW選擇算法時����,發(fā)送給 SAE-GW )�。步驟s卯4�、 UPE ( SAE-GW選擇算法時,為SAE-GW)結合UE安金能 力����、業(yè)務需求、用戶需求之一或者多種�����、進一步還可能結合自身策略以及用 戶簽約信息來選擇用戶面安全算法。需要指出的是UPE ( SAE-GW選擇算法 時�����,為SAE-GW)也可能在如attach過程或PDP創(chuàng)建中獲得UE安全能力�, 并加以保存。如果前面業(yè)務請求消息沒有攜帶UE安全能力�����,UPE/SAE-GW 可以從保存的信息中獲得�。在只有加密/不加密兩種安全等級情況下,所選擇 的加密算法可能是某種算法或者是NULL (無加密算法)�。步驟s905、 UPE ( SAE-GW選擇算法時�,為SAE-GW)向MME發(fā)送響 應消息,其中攜帶所選擇的安全算法�����。步驟s906�、 MME在向UE發(fā)送的消息中攜帶所選安全算法,并啟動用戶 面安全模式命令�����。MME在業(yè)務接受消息、或用戶面加密模式啟動命令�����、或以 上二者相結合的消息里將所選安全算法發(fā)給UE��。步驟s907�����、 UE向UPE ( SAE-GW選擇算法時����,為SAE-GW)發(fā)送所選 算法確認以及上行數據。值得指出的是�����,選擇用戶面算法時可以不針對業(yè)務的特殊需求來選���,而 只需要針對用戶來選,即選擇時參考包括用戶能力����、簽約信息�。以上各步驟 中��,如果網絡決定不加密�����,就可不通知UE所選算法��,只要不啟動用戶面加密 便可�。本發(fā)明的第九實施例與上述第八實施例的不同之處在于,本實施例中在 UPE和MME之間增加了安全模式命令及響應����,并且用戶的安全能力、安全 需求�����、以及業(yè)務需求等信息是在安全模式命令中發(fā)給UPE����。 UPE選擇算法后, 在安全模式響應中將所選擇的算法發(fā)送給MME�。如圖IO所示,具體包括步驟sl001�、 UE向網絡發(fā)起業(yè)務請求�。該請求中可能攜帶UE安全能力���, 網絡側也可能在前面的如attach過程或PDP上下文創(chuàng)建中獲得這一信息����。步驟sl002�、在MME與UPE分離的情況下,MME結合UPE安全能力�����, 選擇合適的UPE�����。此步驟為可選�����,在UPE放置于接入網時��,無該步驟�����。步驟sl003����、 MME將UE的請求消息轉發(fā)給UPE,將UPE激活�����。 步驟sl004����、 UPE向MME發(fā)送激活響應。步驟s1005���、 MME向UPE發(fā)送啟動安全模式命令��,其中包括獲取到的用 戶簽約信息�、UE安全能力以及業(yè)務安全需求���。如果UE在向MME發(fā)送的業(yè) 務請求消息里沒有攜帶UE安全能力�,MME可能將在前面的過程如attach過 程或PDP上下文創(chuàng)建中獲得的UE安全能力添加到業(yè)務請求里發(fā)給UPE�。步驟sl006、 UPE結合業(yè)務需求、用戶需求�、進一步還可能結合自身策略 來選擇用戶面安全算法。需要指出的是UPE也可能在如attach過程或PDP創(chuàng) 建中獲得UE安全能力并加以保存�����。如果前面業(yè)務請求消息沒有攜帶UE安全 能力���,UPE可以從保存的信息中獲得�����。在只有加密/不加密兩種安全等級情況 下�����,所選擇加密算法可能是某種算法或者是NULL (無加密算法)�����。 步驟sl007�����、 UPE向MME發(fā)送攜帶有選擇結果的響應消息����。 步驟sl008�、 MME在向UE發(fā)送的消息中攜帶所選算法,并啟動用戶面 安全模式命令�。MME在業(yè)務接受消息、或用戶面加密模式啟動命令��、或以上 二者相結合的消息里將所選算法發(fā)給UE���。步驟sl009���、 UE向UPE發(fā)送所選算法確認以及上行數據。 值得指出的是以上是以算法選擇實體是核心網實體MME或UPE為例�����, 用戶面加密實體是位于UPE上�����。當執(zhí)行用戶面加密實體放在eNodeB上時���, 執(zhí)行算法選擇實體還可以是eNodeB���。本發(fā)明的第十實施例為網絡中另 一種布 局���,即將用戶面加密實體部署在eNodeB時用戶面安全算法的協(xié)商過程,如圖 ll所示�,包括如下步驟步驟s1101、用戶UE發(fā)送通信請求消息�。如果eNodeB沒有保存該UE 的安全能力,則該請求需要攜帶UE的安全能力����。可選的�����,用戶還可能會選擇 一種所希望采用的安全等級并發(fā)給eNodeB��。所選的安全等級可以是加密或不 加密兩種方式之一�,還可以是無、低����、中或高等不同等級。步驟sl102���、 eNodeB選擇用戶面安全算法���,選擇時可以根據UE安全能 力���,還可能結合用戶的安全需求�����、或業(yè)務安全需求�����、或網絡自身策略的一種 或者多種因素來選擇用戶面安全算法�����。值得指出的是eNodeB獲取用戶安全需求可以除了步驟s 1101所示�,還可 以從HSS里獲得用戶簽約信息,并從用戶簽約信息獲得用戶的安全需求���。如 果步驟si 101中用戶選擇一個希望的安全需求����,還可能需要結合用戶簽約信息 里相關信息判斷是否允許這一需求。eNodeB獲得HSS存儲的用戶簽約信息中 用戶安全需求的方式也有多種在本過程或者前面attach過程中從MME中獲 得并加以保存����;或者直接從HSS獲取。步驟sll03��、 eNodeB將所選算法通過用戶面安全模式命令或業(yè)務接受消 息或者承載建立消息等下行消息發(fā)給UE��,用戶面安全模式命令也可以放到業(yè) 務接受消息��,承栽建立或者其他下行消息里下發(fā)�����。步驟sl104���、 UE向eNodeB發(fā)送安全模式響應����,其中包括所選擇的算法����。 本發(fā)明的第十一實施例與上述第十實施例相比,仍為將用戶面加密實體 部署在eNodeB時用戶面安全算法的協(xié)商過程�,不同的是在此過程中有MME 參與��,如圖12所示��,包括如下步驟步驟sl201�、用戶UE發(fā)送業(yè)務請求消息�,該消息可能是attach請求、業(yè) 務請求����、PDP創(chuàng)建/激活請求中的某一種�����。如果eNodeB沒有保存該UE的安 全能力��,則該請求需要攜帶UE的安全能力�����?�?蛇x的��,用戶還可能會選擇一種 所希望采用的安全等級并發(fā)給eNodeB�����。所選的安全等級可以是加密或不加密 兩種方式之一,還可以是無���、低�����、中或高等不同等級�。 步驟s1202�、 UPE/eNodeB保存UE上傳的安全能力。 步驟s1203�、 UPE/eNodeB將UE發(fā)送的業(yè)務請求消息轉發(fā)給MME。 步驟sl204�、 MME獲取網絡策略、用戶簽約信息��、業(yè)務安全需求中的一 種或者多種信息���,并將獲取到的信息附加在對eNodeB的響應消息或者在安全 模式命令中發(fā)給eNodeB�����。 MME可能會把用戶簽約信息發(fā)給UPE/eNodeB,也 可能僅把用戶安全需求�、即與加密算法選擇有關信息發(fā)送給UPE/eNodeB 。步驟sl205��、 UPE/eNodeB選擇用戶面安全算法��。選擇時根據UE安全能 力信息�,還可能結合用戶的安全需求、和/或者業(yè)務安全需求���。選擇時還可以 結合網絡自身策略�����,該網絡策略可能是上一步驟中MME下發(fā)的,也可能是 eNodeB自身配置的���。而業(yè)務的安全需求同樣可能是從MME接收到的�,也可能是eNodeB通過其他方式如從用戶簽約信息獲取���、或者UPE/eNodeB通過業(yè) 務層實體獲取�、或者UPE/eNodeB自身有此項配置�。步驟si:206、 UPE/eNodeB將所選算法通過用戶面安全模式命令或業(yè)務 /attach/PDP響應接受消息發(fā)給UE��,用戶面安全模式命令可以放到如業(yè)務接受 消息中等下行消息下發(fā)。該流程中用戶面安全算法的選擇也可以放在MME上進行�����,該種情況下的 步驟具體包括步驟sl211����、用戶UE發(fā)送通信請求消息,該消息可能是attach請求��,業(yè) 務請求�,PDP創(chuàng)建/激活請求中的某一種。如果MME沒有保存該用戶的安全 能力�����,則該請求需要攜帶用戶的安全能力���??蛇x的���,用戶還可能會選擇一種所希望采用的安全等級并發(fā)給eNodeB���。所選的安全等級可以是加密或不加密兩種方式之一���,還可以是無、低����、中或 高等不同等級。步驟s1212����、 UPE/eNodeB將UE發(fā)送的通信請求消息轉發(fā)給MME。步驟sl213�、 MME根據用戶能力、業(yè)務安全需求����、用戶需求、用戶簽約 信息或網路策略中的一種或多種信息�,選擇一種安全算法�。步驟sl214、 MME將所選算法發(fā)送給UPE/eNodeB�����。步驟s1215、 UPE/eNodeB將所選算法通過用戶面安全模式命令或業(yè)務 /attach/PDP響應接受消息發(fā)給UE,用戶面安全模式命令可以放到業(yè)務接受消 息中下發(fā)���。務的安全需求來選擇算法的流程圖����。本發(fā)明的第十二實施例與以上各實施例 的不同之處在于��,只基于用戶需求來選擇算法��。本實施例假設安全算法選擇 是基于每用戶��、每承栽進行的��,即對同一個用戶建立的不同承載可選擇不同 的安全級別的保護�,也可以是只針對每用戶進行,即同一個網絡可針對不同 用戶決定是否加密��,以及加密的安全等級��,而同一個用戶不同承載采用相同 安全程度的保護���。此過程之前�,假設MMEAJPE已經獲得了 UE的安全能力����。 步驟sBOl��、用戶終端向網絡側發(fā)送通信請求消息��,如attach請求�����,PDP上下文建立請求��,或者業(yè)務^青求等��。該請求消息可能需要包括用戶所選擇的用戶面加密算法安全等級����。另外����, 如果網絡側沒有保存用戶安全能力,用戶還需要在此消息上報安全能力�����。安 全等級可能僅僅只有加密和不加密兩種可能�����,也可能是分多種安全等級�,如 根據安全算法的安全特性,對不同算法規(guī)定如低�,高,中等不同等級����。步驟sl302、 MME/UPE依據用戶安全能力�����,以及用戶安全需求來選擇用 戶面安全保護采用的安全算法�,此選擇還可能需要結合網絡策略(即網絡允 許UE采用的算法)。用戶的安全需求的獲得有以下幾種從步驟sl301中的 用戶終端向網絡側發(fā)送的消息中獲得��;或在用戶訂購業(yè)務時規(guī)定�,并保存在 網絡側存儲的用戶簽約信息里。如果在步驟sl301中��,用戶在通信時選擇了此次通信的安全等級���,并在請 求中告知網絡��。那么MME/UPE在選擇算法時��,還可能需要結合用戶簽約信 息決定是否允許采用用戶側選擇的安全等級�。步驟sl303、 MME/UPE通過下行消息將所選算法通知給UE����。該消息可 以是業(yè)務接受消息,PDP建立確認消息�,attach接受消息等,或者是在網絡側 啟動用戶面加密時�,向用戶側發(fā)送用戶面安全模式啟動命令。如果網絡決定 不加密�,就可不通知UE所選算法,只要不啟動用戶面加密便可��。值得指出的是在MME和UPE分離的情況下���,執(zhí)行算法選擇的可能是 UPE�,也可能是MME�。如杲執(zhí)行算法選擇是MME,那么由MME選擇算法 之后通知UE����。 MME還需要將算法通知網絡側用戶面加密實體�����。如果網絡側 用戶面加密實體是UPE,通過與UPE的接口通知UPE�����。值得指出的是MME 還可能會根據UPE的安全能力����,選擇一個合適的UPE之后,再把所選用戶面 算法告知該UPE�����。如果算法是UPE來選擇����,那么UPE選擇算法后通知MME, MME再通 知UE?;蛘遀PE選擇算法之后直接通知UE。如果執(zhí)行網絡側用戶面加密功 能的不是UPE(如eNodeB)��, UPE還需要把選擇算法通知給網絡側用戶面加密 實體�����。步驟sl304,用戶保存所選算法�����。如果是基于每承栽建立的安全保護��,那么用戶可將所選算法與PDP上下文一起4呆存����。如果在PDP上下文、激活過程中����, 選擇用戶面安全算法,并且PDP上下文激活由網絡側發(fā)起����。那么以上步驟中 的步驟sl301中UE發(fā)送PDP請求信息需要換成網絡側業(yè)務實體(如PCRF) 向MME/UPE發(fā)送PDP請求。此實施例同樣適用于網絡倒選擇用戶面算法實體為ENodeB的情況��。只 不過需要將流程中MME/UPE替換為ENodeB�。同時ENodeB需要從核心網得 到用戶簽約信息或者簽約信息中僅是與加密算法相關的信息,網絡允許算法 等信息。通過使用上述實施例中提出的選擇用戶面算法的方法�,可以在SAE/LTE 的網絡架構中,才艮據業(yè)務或者用戶的需求選擇不同安全級別的算法��,即算法 協(xié)商可以針對不同的業(yè)務����、不同的用戶來選擇����,對安全需求不同的各業(yè)務提 供了其所需的不同級別的保護。本發(fā)明的第十三實施例提供了 一種選擇用戶面安全算法的系統(tǒng)�,該實施 例中,選擇用戶面安全算法的網絡設備為兼具移動管理實體MME和用戶面實 體UPE功能的設備��,UPE具有用戶面加密實體的功能�,如圖14所示,該系 統(tǒng)包括至少 一個用戶終端10以及MME-UPE 20����。其中,MME-UPE20為兼有移動管理實體MME與用戶面實體UPE功能 的網絡側實體���,具體地���,其進一步包括信息獲取單元21��、算法選擇單元22�����、 用戶面加密單元23��、和通知單元24���,信息獲取單元21,在接收到用戶終端IO的請求消息后,獲取用戶終端安 全能力����、用戶終端的安全需求、業(yè)務安全需求中的一種或多種信息�。算法選 擇單元22,根據信息獲取單元21獲取的信息,選擇用戶終端的用戶面安全算 法�。用戶面加密單元23根據算法選擇單元22選擇的算法對用戶面進行安全 保護。通知單元24��,將算法選擇單元22所選擇的用戶面安全算法發(fā)送給用戶 終端���。本發(fā)明的第十四實施例提供了 一種選擇用戶面安全算法的系統(tǒng)���,該實施 例中����,選擇用戶面安全算法的網絡設備為MME, UPE具有用戶面加密實體的 功能�����,如圖15所示�����,該系統(tǒng)包括至少一個用戶終端10�、移動管理實體30以及至少一個用戶面實體40,該用戶面實體40具有用戶面力a密實體的功能����。其中,移動管理實體30包括信息獲取單元31�、算法選擇單元32、加密 選擇單元33和通知單元34,信息獲取單元31�����,在接收到用戶終端IO的請求消息后����,獲取用戶終端安 全能力���、用戶終端的安全需求、業(yè)務安全需求中的一種或多種信息��。算法選 擇單元32�����,根據信息獲取單元31獲取的信息���,選擇用戶終端的用戶面安全算 法�。用戶面加密實體選擇單元33��,在算法選擇單元32選擇用戶面安全算法后���, 才艮據所選算法選擇與該算法匹配的用戶面加密實體即用戶面實體UPE,并向 被選的UPE發(fā)送指令�����,激活用戶面安全保護����。通知單元34,將算法選擇單元 32所選擇的用戶面安全算法發(fā)送給被選擇的用戶面實體UPE、演進節(jié)點 eNodeB��、用戶終端中的一種�����。用戶面實體40包括用戶面加密單元41��,根據移動管理實體30選擇的算 法對用戶面進行安全保護����。本發(fā)明的第十五實施例提供了 一種選擇用戶面算法的系統(tǒng),該實施例中���, 選擇用戶面安全算法的網絡設備為UPE,且UPE具有用戶面加密實體的功能, 如圖16所示��,該系統(tǒng)包括至少一個用戶終端10����、移動管理實體50以及至少 一個用戶面實體60,該用戶面實體60具有用戶面加密實體的功能。其中����,移動管理實體50包括加密選擇單元51,根據各個UPE上用戶面 加密實體的安全能力選擇UPE并向被選的UPE發(fā)送指令����。用戶面實體60包 括信息獲取單元61,在接收到用戶終端IO的請求消息后�,獲取用戶終端安全 能力、用戶終端的安全需求��、業(yè)務安全需求中的一種或多種信息���。算法選擇 單元62,根據信息獲取單元61獲取的信息�����,選擇用戶終端的用戶面安全算法�����。 用戶面加密單元63���,根據算法選擇單元62選擇的算法對用戶面進行安全保護。 通知單元64,將算法選擇單元62所選擇的用戶面安全算法發(fā)送給被選擇的用 戶面實體UPE��、演進節(jié)點eNodeB����、用戶終端中的一種���。以上第十四及第十五實施例中,也可將用戶面實體UPE替換為兼具UPE 與eNodeB功能的實體����,其他單元的功能不需要進行變化;或將用戶面實體 UPE替換為兼具UPE與SAE-GW功能的實體����,其他單元的功能不需要進行變化,均可完成選擇用戶面算法的功能���,在此不做重復描述��。通過使用上述實施例中提出的選擇用戶面算法的系統(tǒng)��,可以在SAE/LTE 的網絡架構中�,根據業(yè)務或者用戶的需求逸棒不同安全級別的算法���,對安全 需求不同的各業(yè)務提供了其所需的不同級別的保護。以上公開的僅為本發(fā)明的幾個具體實施例���,但是����,本發(fā)明并非局限于此, 任何本領域的技術人員能思之的變化都應落入本發(fā)明的保護范圍����。
權利要求
1. 一種選擇用戶面算法的方法,其特征在于�����,網絡側實體接收用戶終端發(fā)送的請求�����;所述網絡側實體獲取并根據所述用戶終端的安全信息選擇用戶面算法�。
2、 如權利要求1所述選擇用戶面算法的方法�,其特征在于,所述安全信 息包括所述用戶終端的安全能力���、用戶安全需求���、業(yè)務安全需求中的一種或 多種。
3����、 如權利要求2所述選擇用戶面算法的方法����,其特征在于�����,所述用戶安 全需求和/或業(yè)務安全需求具體為加密或不加密兩種安全等級���;或將不同的算法劃分為至少兩種不同的加密安全等級�����,屬于同一個安全等 級的算法有多種�。
4����、 如權利要求1所述選擇用戶面算法的方法,其特征在于����,所述選擇用 戶面安全算法的網絡側實體為移動管理實體����、或用戶面相關實體�����、或演進基 站�����,用戶面相關實體包括用戶面實體和/或系統(tǒng)構架演進網關��。
5�、 如權利要求2所述選擇用戶面算法的方法���,其特征在于����,所述網絡側 實體獲取所述業(yè)務安全需求的方式具體為從所述用戶終端發(fā)送的請求中獲得���;或 直接在所迷網絡側實體配置并獲得����;或 在歸屬客戶服務器中配置,從所述歸屬客戶服務器獲得��;或應用層實體將業(yè)務類型和業(yè)務安全需求發(fā)送給所述網絡側實體����。
6、 如權利要求2所述選擇用戶面算法的方法�,其特征在于,所述網絡側 實體獲取所述用戶安全需求的方式具體為從所述用戶終端發(fā)送的請求中獲得�����;或所述用戶終端在預定業(yè)務時選擇所述用戶安全需求信息��,并存儲在歸屬 客戶服務器的用戶簽約信息里�����;所述網絡側實體從所述歸屬客戶服務器獲得 所述用戶安全需求信息�����。
7�、 如權利要求6所述選擇用戶面算法的方法,其特征在于��,所述網絡側 實體為移動管理實體時,所述移動管理實體通過用戶簽約信息插入過程�、或鑒權向量獲得過程從所述歸屬客戶服務器獲取所述用戶安全需求信息。
8�����、 如權利要求6所述選擇用戶面算法的方法�����,其特征在于����,所述網絡側 實體為用戶面相關實體時���,所述用戶面相關實體從所迷歸屬客戶服務器或移 動管理實體獲取所述用戶安全需求信息�。
9��、 如權利要求6所述選擇用戶面算法的方法��,其特征在于�,所述網絡側 實體為演進基站時,所述演進基站從移動管理實體獲取所述用戶安全需求信 息����。
10�、 如權利要求6所述選擇用戶面算法的方法�,其特征在于,所述網絡 側根據所述用戶簽約信息判斷允許所述用戶終端選擇的算法����。
11、 如^^又利要求4所述選擇用戶面算法的方法����,其特征在于,所述網絡 中存在多個用戶面加密實體時�,所述移動管理實體根據各所述用戶面加密實 體的安全能力,選擇與所述用戶終端的安全信息匹配的用戶面加密實體���。
12�����、 如權利要求11所述選擇用戶面算法的方法���,其特征在于,所述選擇 用戶面算法的網絡側實體為移動管理實體時���,所述移動管理實體選擇所述算 法后����,將所述算法發(fā)送給所述用戶面加密實體。
13����、 如權利要求11或12所述選擇用戶面算法的方法��,所述用戶面加密 實體在用戶面實體�、或演進基站側。
14�����、 如權利要求4所述選擇用戶面算法的方法��,其特征在于���,所述選擇 用戶面算法的網絡側實體為用戶面相關實體時�����,所述用戶面相關實體選擇所 述算法后��,將所述算法直接發(fā)送給所述用戶終端�,或經移動管理實體將所述 算法發(fā)送給所述用戶終端。
15��、 如權利要求14所述選擇用戶面算法的方法�,其特征在于,當所迷用 戶面加密實體不在所述用戶面相關實體時�,所述用戶面相關實體選擇所述算 法后,將所述算法發(fā)送給所述用戶面加密實體�。
16、 如權利要求1所述選擇用戶面算法的方法�����,其特征在于����,所述網絡 側實體接收的請求包括用戶終端發(fā)送的業(yè)務連接請求、分組數據協(xié)議PDP上 下文創(chuàng)建請求���、PDP上下文激活請求���、附著attach請求中的一種。
17�、 一種選擇用戶面算法的系統(tǒng)��,包括用戶終端和網絡側實體����,其特征在于�����,所述網絡側實體包括信息獲取單元和算法選擇單元�,所述信息獲取單元,獲取用戶終端的安全信息���;所述算法選擇單元,根據所述信息獲取單元獲取的信息����,選擇所述用戶 終端的用戶面算法。
18����、 如權利要求17所述選擇用戶面算法的系統(tǒng),其特征在于���,所述網絡 側實體還包括至少一個用戶面加密單元�����,所述用戶面加密單元��,根據所述算法選擇單元選擇的算法對用戶面進行 安全保護���。
19�、 如權利要求18所述選擇用戶面算法的系統(tǒng)����,其特征在于,所述網絡 側實體還包括加密選擇單元���,選擇與所述用戶終端的安全信息相匹配的用戶 面加密單元并向其發(fā)送指令�����,激活用戶面安全保護���。
20、 如權利要求19所述選擇用戶面算法的系統(tǒng)����,其特征在于�,所述用戶 面加密單元位于用戶面實體或演進基站上�,所述加密選擇單元位于移動管理 實體上。
21��、 如權利要求17所述選擇用戶面算法的系統(tǒng)����,其特征在于,所述信息 獲取單元和算法選擇單元�,位于移動管理實體、或用戶面相關實體��、或演進 基站上���。
22���、 一種選擇用戶面算法的網絡側實體��,其特征在于�����,包括信息獲取單 元和算法選擇單元���;所述信息獲取單元�,獲取用戶終端的安全信息;所述算法選擇單元����,根據所述信息獲取單元獲取的信息,選擇所述用戶 終端的用戶面算法�����。
全文摘要
本發(fā)明公開了一種選擇用戶面安全算法的方法�����,包括以下步驟網絡側實體接收用戶終端發(fā)送的請求���;網絡側實體獲取并根據用戶終端的安全信息選擇用戶面算法�。本發(fā)明還提供了一種選擇用戶面安全算法的系統(tǒng)和設備���。通過使用本發(fā)明���,使得網絡可以根據業(yè)務或者用戶的需求選擇不同安全級別的算法,即算法協(xié)商可以針對不同的業(yè)務、不同的用戶來選擇�����。從而使得網絡加密操作更加靈活��,對安全需求不同的各用戶和業(yè)務提供了不同級別的保護��。
文檔編號H04L9/32GK101242629SQ20071000340
公開日2008年8月13日 申請日期2007年2月5日 優(yōu)先權日2007年2月5日
發(fā)明者楊艷梅, 璟 陳 申請人:華為技術有限公司