CN101242629B - 选择用户面算法的方法、系统和设备 - Google Patents
选择用户面算法的方法、系统和设备 Download PDFInfo
- Publication number
- CN101242629B CN101242629B CN2007100034065A CN200710003406A CN101242629B CN 101242629 B CN101242629 B CN 101242629B CN 2007100034065 A CN2007100034065 A CN 2007100034065A CN 200710003406 A CN200710003406 A CN 200710003406A CN 101242629 B CN101242629 B CN 101242629B
- Authority
- CN
- China
- Prior art keywords
- algorithm
- user
- entity
- security
- user plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/67—Risk-dependent, e.g. selecting a security level depending on risk profiles
Abstract
本发明公开了一种选择用户面安全算法的方法,包括以下步骤:网络侧实体接收用户终端发送的请求;网络侧实体获取并根据用户终端的安全信息选择用户面算法。本发明还提供了一种选择用户面安全算法的系统和设备。通过使用本发明,使得网络可以根据业务或者用户的需求选择不同安全级别的算法,即算法协商可以针对不同的业务、不同的用户来选择。从而使得网络加密操作更加灵活,对安全需求不同的各用户和业务提供了不同级别的保护。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种选择用户面算法的方法、系统和设备。
背景技术
在UMTS(Universal Mobile Telecommunications System,通用移动通信系统)系统中,安全的终结点位于RNC(Radio Network Controller,无线网络控制器)上。UE(User Equipment,用户设备)和RNC执行加密/解密和完整性保护的安全操作,对用户数据提供机密性保护,对UE和RNC间交互的信令提供机密性保护和完整性保护。由于不同用户设备所支持的加密和完整性算法不同,因此在接入层进行加密和完整性保护之前,需要在UE和RNC间协商一套安全算法。UMTS中用户面协商安全算法的过程包括以下步骤:
1、UE在RRC(Radio Resource Control,无线资源控制)连接过程中,将自身支持的算法列表即UE安全能力,上报给RNC,RNC进行保存。
2、在UE向核心网发送消息后、执行加密和完整性保护前,由核心网发起安全模式命令,启动空中接口的加密完整性保护,同时网络侧决定允许UE采用的算法,并将允许的算法列表通过安全模式命令发给RNC;
3、RNC根据UE的安全能力,以及网络允许UE使用的算法列表决定该UE通信的加密和完整性的安全算法,并放在加密模式命令发送给UE。
该选择安全算法过程中,由于核心网络下发的允许UE采用的算法列表是运营商在核心网设备VLR(Visited Location Register,访问位置寄存器)或者SGSN(Serving General Packet Radio Service Support Node,服务通用分组无线业务支持节点)上配置的,对所有UE的所有通信均相同。因此UE在某一个网络里协商出的算法总相同,即对某个UE的所有信令和数据都采用相同算法保护,或对所有UE的所有数据都不进行保护。
目前,随着3GPP(3rd Generation Partnership Project,第三代移动通信标准化伙伴项目)系统的不断发展,无线演进网络的研究工作正在3GPP组织内部进行。如图1所示,无线演进网络的核心网主要包含MME(MobiliityManagement Entity,移动管理实体)、UPE(User Plane Entity,用户面实体)、SAE-GW(System Architecture Evolution Gateway,系统构架演进网关)三个逻辑功能体。其中,MME负责控制面的移动性管理,包括用户上下文和移动状态管理、分配用户临时身份标识、安全功能等;UPE负责空闲状态时为下行数据发起寻呼、管理保存IP承载参数和网络内路由信息等;SAE-GW则充当不同接入系统间的用户面锚点。
在无线演进网络中,用户面的安全被终结在核心网,信令面的安全分为接入层AS(Access Stratum)信令和非接入层NAS(Non Access Stratum)信令两个部分,分别终结在接入网和核心网。接入层信令的安全终结在无线演进网络接入网的eNodeB(evolved Node B,演进基站)上,而用户面的安全终结在UPE上,也可能终结在eNodeB上。非接入层的信令的安全可能终结在MME上。UPE可能单独存在,可能和MME合为一个实体,也有可能与SAE-GW合为一个实体。另外UPE的PDCP(Packet Data Convergence Protocol,分组数据会聚协议)压缩以及加密功能也有可能放在接入网实体如eNodeB上。这与UMTS系统中的架构不同,因此UMTS系统中的算法协商过程不能应用在无线演进网络中。
另外,在LTE(Long Term Evolution,长期演进)/SAE网络中用户侧和网络侧支持的安全算法可能会有多种,不同的安全算法的开销与成本都有所不同。一般而言,越安全的算法其复杂度与开销就会越大。而对于不同种类的业务,某些对安全性要求比较高的业务需采用高安全级别的算法,其他安全性要求不高的业务只需采用较低安全级别算法,甚至不需要进行保护。因此没必要为某几种业务统一对所有业务均采用高安全级别的算法。
但现有的应用于LTE/SAE网络的安全算法协商方法中,还没有涉及到根据业务安全级别来进行选择。因此,需要提供一种算法协商方法,使得在选择网络侧用户面加密实体(如UPE)和UE间安全算法时考虑到不同业务的不同需求。
发明内容
本发明的实施例提供一种选择用户面算法的方法、系统和设备,使得在SAE/LTE网络中对安全需求不同的各业务提供了其所需的不同级别的安全保护,也可以针对不同用户需求来选择是否加密以及加密算法的安全等级。
为达到上述目的,本发明的一实施例提供一种选择用户面算法的方法,包括如下步骤:
网络侧实体接收用户终端发送的请求;
所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;所述选择用户面算法的网络侧实体为移动管理实体、或用户面相关实体、或演进基站,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
本发明的另一实施例提供一种选择用户面算法的系统,包括用户终端和网络侧实体,所述网络侧实体包括信息获取单元和算法选择单元,
所述信息获取单元,获取用户终端的安全信息,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;
所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户终端的用户面算法;
所述信息获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进基站上,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
本发明的再一实施例还提供一种选择用户面算法的网络侧实体,包括信息获取单元和算法选择单元;
所述信息获取单元,获取用户终端的安全信息,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;
所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户终端的用户面算法;
所述信息获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进基站上,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
本发明的实施例提出了一种适合SAE/LTE网络中用户面算法协商和用户面保护的方法,可以根据业务或者用户的需求选择不同安全级别的算法,即算法协商可以针对不同的业务、不同的用户来选择,使得网络可以对安全需求不同的各业务提供了其所需的不同级别的保护。
附图说明
图1是现有技术中无线演进网络的结构示意图;
图2是本发明的第一实施例中创建PDP上下文时选择用户面算法的流程图;
图3是本发明的第二实施例中创建PDP上下文时选择用户面算法的流程图;
图4是本发明的第三实施例中attach过程中为建立的缺省承载选择算法的流程图;
图5是本发明的第四实施例中attach过程中为建立的缺省承载选择算法的流程图;
图6是本发明的第五实施例中attach过程中为建立的缺省承载选择算法的流程图;
图7是本发明的第六实施例中attach过程中为建立的缺省承载选择算法的流程图;
图8是本发明的第七实施例中业务建立过程中选择算法的流程图;
图9是本发明的第八实施例中业务建立过程中选择算法的流程图;
图10是本发明的第九实施例中业务建立过程中选择算法的流程图;
图11是本发明的第十实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;
图12是本发明的第十一实施例中UPE或者仅是用户面加密功能部署在eNodeB时选择用户面算法的流程图;
图13是本发明的第十二实施例中基于用户需求选择算法的流程图;
图14是本发明的第十三实施例中选择用户面算法的系统结构示意图;
图15是本发明的第十四实施例中选择用户面算法的系统结构示意图;
图16是本发明的第十五实施例中选择用户面算法的系统结构示意图。
具体实施方式
以下结合附图和实施例,对本发明做进一步的描述。
本发明的第一实施例和第二实施例描述的是网络侧设备和用户终端在PDP(Packet Data Protocol,分组数据协议)上下文创建过程中选择安全算法的方法和流程。一旦PDP上下文创建以后,凡是采用该PDP上下文相关承载进行的业务都采用该流程中协商的算法保护。
第一实施例的具体描述如下:
用户在创建PDP上下文时,完成用户面安全算法的选择,此实施例假设PDP上下文的创建是由网络触发的。此过程之前,假设MME/UPE已经获得了UE的安全能力,获得的方式可以在如attach过程中,UE通过attach请求消息上报UE的安全能力;或者UE先将安全能力上报给eNodeB,eNodeB再通过S1接口通知MME/UPE,这样在MME/UPE就会保存UE的安全能力。实现安全算法选择的具体过程如图2所示,包括:
步骤s201、UE需要接入某些业务时,在default IP(default Internet Protocol,缺省因特网协议地址)接入承载建立与网络侧应用功能实体AF(ApplicationFunction)的信令连接。
步骤s202、PCRF(Policy Control and.Charging Rules Function,策略计费规则功能实体)根据UE所请求的业务向MME/UPE发送资源请求,该请求包括QoS(Quality of Service,服务质量)需求,并且可能还需要包括业务对安全性的要求。对安全性需求的描述可以笼统的为高、中、低或无等级,也可以是指定某些等级的算法。
步骤s203、MME/UPE检查UE的签约信息,并根据QoS要求、用户签约信息、以及可用资源按照策略判断是否允许所要求的QoS。MME/UPE根据业务的安全性需求(与安全等级对应)、UE的安全能力、以及网络允许UE采用的算法之中的一种或者多种因素来选择用户面所采用的安全算法。MME/UPE也可能会结合用户签约信息来决定采用算法的安全等级。所述用户签约信息中对安全等级的描述即可以是用户在签约某项业务时,与网络协商好的针对某种业务采用某种安全等级,也可以是与具体的业务无关,即该用户签约的所有业务采用某一种安全等级。
以上流程中如步骤s202和s203中的业务安全需求也可以作为QoS需求的一个参数。安全需求可能只划分两种等级:即加密和不加密两种。也可能划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。
如果步骤s202中PCRF没有向MME/UPE提供业务安全性需求的描述,则MME获得业务安全性需求的方法还可以为:从本地配置的信息中获得;或者从HSS(Home Subscriber Server,归属客户服务器)获得,如用户的签约信息中有对其业务安全需求的描述。
步骤s204、MME/UPE向eNodeB发起无线资源分配请求消息,并且携带所选的用户面安全算法。
步骤s205、eNodeB中执行控制功能的实体将QoS信息翻译成无线QoS,并且调度相应的资源满足QoS要求。
步骤s206、eNodeB与UE完成RRC过程。包括向UE提供业务所需的无线资源配置,以及IP或会话流提供的相关无线链路资源信息,并且通知UE网络所选择的用户面安全算法。另外,UE在对网络的响应消息中也可能包括UE安全能力、和/或网络所选安全算法。
步骤s207、eNodeB向MME/UPE发送分配响应消息,通知成功完成资源建立,该消息可能还包括UE响应的UE安全能力、和/或网络所选安全算法以便作为确认。
步骤s208、MME/UPE向PCRF报告资源建立的结果以及协商出的QoS。
至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。
需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是UPE,也可能是MME,算法选择也可能是由二者之一完成。
如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算法通知UE,或者将该算法发送给UPE并由UPE转发给UE。MME可能还需要将算法通知UPE或者SAE-GW。
如果算法是UPE选择,那么由UPE选择之后将算法通知UE,或者将算法发给MME并由MME转发给UE。
网络选择用户面算法时,也可以只考虑用户需求,不考虑业务安全需求,那么以上过程中MME/UPE就不需要获得业务安全需求。另外,协商过程中协商出来的用户面算法或算法对应的安全等级可以作为协商出来的QoS的参数之一。
本发明的第二实施例同样是说明在创建PDP上下文时,用户终端与网络侧设备完成协商用户面安全算法的方法,这里假设PDP上下文的创建由网络触发的。与第一实施例的区别在于,本实施例中选择用户面采用算法的步骤是在MME/UPE执行QoS控制之后。具体过程如图3所示,包括:
步骤s301、UE需要接入某些业务时,在defaultIP接入承载建立与网络应用功能实体AF的信令连接。
步骤s302、PCRF根据UE所请求的业务向MME/UPE发送资源请求,该请求包括QoS需求,并且可能还包括业务的安全性需求。安全需求可能只划分两种等级:即加密和不加密两种。也可能划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。
步骤s303、MME/UPE检查UE的预订信息,并根据QoS要求、用户预定信息、以及可用资源按照策略判断是否允许所要求的QoS。
步骤s304、MMW/UPE向eNodeB发起资源建立请求,并且携带Qos信息。
步骤s305、eNodeB执行控制功能的实体将QoS信息翻译成无线QoS,并且调度相应的资源满足QoS要求。
步骤s306、eNodeB与UE完成RRC过程。包括向UE提供业务所需的无线资源配置,以及IP或者会话流提供的相关无线链路资源信息,并且此期间UE上报自身的安全能力。
步骤s307、eNodeB向MME/UPE发送分配响应消息,通知成功完成资源建立,其中可能包括UE安全能力,以及UE所选的安全等级。
步骤s308、MME/UPE向PCRF报告资源建立的结果以及协商出的QoS。
步骤s309、MME/UPE在需要启动用户面加密时,根据业务的安全性需求、UE的安全能力、网络策略即网络允许UE采用的算法、以及用户UE侧安全需求中的一种或多种因素来选择用户面所采用的安全算法,选择时还可能结合用户签约信息决定所采用的算法的安全等级。此步骤还可以放在s309之前的任何步骤执行,还可如同实施例1所描述的在步骤303进行。
如果步骤s302中PCRF没有向MME/UPE提供业务的安全性需求描述,MME获得业务安全性需求的方法可以为:从本地配置信息中获得,或者从HSS获得,如用户的签约信息里就可能有对其业务的描述。
步骤s310、MME/UPE通过某个下行消息将所选算法通知给UE。比如通过用户面安全模式启动命令,或者是业务接受消息等。如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密便可。
至此网络侧和用户终端都可将所创建的PDP上下文与用户面算法关联保存。
需要指出的是如果MME和UPE分离,则执行算法选择功能实体可能是UPE,也可能是MME,算法选择也可能是由二者之一完成。
如果执行算法选择的是MME,那么MME选择安全算法之后直接将该算法通知UE,或者将该算法发送给UPE并由UPE转发给UE。MME可能还需要将算法通知UPE或者SAE-GW。
如果算法是UPE选择,那么由UPE选择之后将算法通知UE,或者将算法发给MME并由MME转发给UE。
值得指出的是,UE发起PDP上下文创建请求时,PDP上下文创建过程中协商算法的方法类似于UE发起的attach流程。区别在于把attach过程中的attach请求消息替换为PDP上下文创建请求:把attach接受消息替换为PDP上下文创建响应;把attach创建确认消息替换为PDP上下文创建确认消息。另外由于建立PDP时,网络侧可能已经获得UE能力信息,因此UE可能不需要在此过程上报自身能力信息。
同样存在一种情况,即网络选择用户面算法时,只针对用户需求选择,不针对业务安全需求,那么以上过程中MME/UPE就不需要获得业务安全需求。
上述第一实施例和第二实施例中,执行PDP建立控制的实体为MME/UPE,另外执行PDP建立控制还可能是SAE-GW,选择用户面算法的可能也是SAE-GW。这种情况下,以上实施例中选择算法的功能需要放在SAE-GW上。需要改变的是,SAE-GW可能需要从MME或者HSS获得用户的签约信息。另外,如果用户面加密实体不在选择算法的MME/UPE或者SAE-GW上,在启动用户面加密时,还需要将所选算法发送给用户面加密实体。
第三至第六实施例是描述为一在attach过程中建立的缺省承载选择一安全算法的不同过程,算法选择后,凡是在此缺省承载上进行的业务都采用这个算法来保护。
具体的,第三实施例为在网络中UPE和MME不分离时,在attach过程中建立缺省IP承载并选择一缺省的安全算法的过程。具体过程如图4所示,包括:
步骤s401、UE向MME/UPE发送attach请求,UE可能需要在attach请求中携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可能是UE仅对某种业务所支持的算法能力集。UE也可以不在attach请求里携带安全能力,此时网络侧获得UE安全能力的方式可以为:UE通过AS信令把UE安全能力发给eNodeB,eNodeB再将UE安全能力通过S1接口发给核心网。
UE还可以在请求消息中携带用户所选的安全需求等级信息,安全需求可能只划分两种等级:即加密和不加密两种。也可能划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。
步骤s402至步骤s406、如需对UE进行认证,则MME执行与UE的认证过程,并在认证成功后完成向HSS的路由区注册/更新,以及UE签约数据的获取。
步骤s407至步骤s409、MME完成与SAE-GW的PCRF交互,完成UE路由区在SAE-GW的更新。
步骤s410、MME/UPE选择缺省IP承载下用户面算法和控制面的算法,该选择需要结合UE的安全能力,网络策略(网络允许用户采用的算法)、用户安全需求中的一种或者多种信息。
值得指出的是,用户安全需求包括以下几个方面的可能:用户在签约业务时,与网络协商好的安全等级需求,并存储于用户签约信息里;或者用户在通信时,选择本次通信的安全等级,并在请求消息里发给网络,这种情况下,还可能需要进一步结合UE签约信息判断是否允许UE选用的该安全等级算法。
步骤s411至步骤s412、eNodeB与UE建立RRC连接过程。需要指出的是RRC连接可能是在attach中建立,也可能是在有数据传输时建立。
步骤s413、MME/UPE在NAS安全模式命令中将用户面和控制面的安全算法发给UE。这种情况下,需要定义2或3个不同的IE(Information Element,信元),分别表示NAS控制面加密/完整性算法和用户面安全算法。其中用户面安全算法也可能是通过attach accept(附着接受)消息下发。这两条消息可以合并在一条消息中,即NAS安全模式命令被放到attach accept消息里携带给UE。
步骤s414、UE接收到NAS算法后,还需要向网络返回安全模式命令响应消息,该消息可能携带接收到的NAS算法和/或UE的安全能力。接收到的NAS算法和/或UE的安全能力还可以放到attach complete(附着完成)消息里携带。另外,安全模式命令响应自身可能就是attach complete的一部分。
第四实施例与上面第三实施例的不同之处在于,本实施例中将安全模式命令移到第三实施例的步骤s402和步骤s403之间,具体流程如图5所示,包括:
步骤s501、UE向MME/UPE发送attach请求,UE可能需要在attach请求中携带自身的安全能力信息。该安全能力信息可以是UE所支持的所有算法能力集,也可以能是UE仅对某种业务所支持的算法能力集。
步骤s502、如需对UE进行认证,则MME执行与UE的认证过程。在执行认证过程中,HSS将UE签约信息与鉴权元组一起发给MME/UPE,也就是将用户签约数据插入过程合并到鉴权元组获取的过程中。
步骤s503、MME/UPE选择缺省IP承载下用户面安全算法和控制面算法,该选择需要根据UE的安全能力,还可能进一步根据UE签约信息里允许UE使用的算法、网络策略、UE要求中的一种或者多种信息。如果选择算法时并不根据用户签约信息来选,那么用户签约数据插入过程可以在完成如步骤s504和s505的用户安全模式建立过程后单独执行,不必并入步骤502,这与第三实施例3中的步骤s404和s405所描述的相同。
步骤s504至步骤s505、MME/UPE在NAS安全模式命令中将用户面和控制面的安全算法发给UE。这种情况下,需要定义2或3个不同的IE,分别表示NAS控制面加密/完整性算法和用户面安全算法。UE接收到该算法后,可能还需要向网络返回安全模式命令响应,响应消息进一步可能携带接收到的算法和/或UE的安全能力。如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密便可。
步骤s506、MME/UPE向HSS发送路由更新请求。
步骤s507、HSS回复路由更新响应。
步骤s508至步骤s510、MME完成与SAE-GW的PCRF交互,完成用户路由区在SAE-GW的更新。
步骤s511至步骤s512、eNodeB与UE建立RRC连接。RRC连接可能是在attach中建立,也可能是在有数据传输时建立。
步骤s513、MME/UPE向UE发送attach accept消息。
步骤s514、UE发送attach complete消息作为响应。
以上描述的第三实施例和第四实施例同样适用于MME和UPE分离的情况。当MME和UPE分离时,MME通过向UPE发送用户面安全启动命令、将所选用户面算法通知给UPE;或者通过将所选算法插入到attach请求等方式,将所选算法发送给SAE-GW,SAE-GW将算法与缺省承载上下文一起存储。当需要启动用户面加密时,SAE-GW将算法发给用户面加密实体。
本发明的第五实施例为在UPE和MME分离情况下,在attach过程中协商算法的过程,此过程中存在两种可能:选择用户面算法的是UPE或者SAE-GW。图6所示为选择用户面算法的是UPE为例,具体包括:
步骤s601、UE向MME发送attach请求,UE可能需要在attach请求中携带自身的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可以能是UE仅对某种业务所支持的算法能力集。UE可以不在attach请求里携带安全能力,此时网络侧获得UE安全能力的方式可以为:UE通过AS信令把UE安全能力发送给eNodeB,eNodeB再将UE安全能力通过S1接口发送给核心网。
此步骤中UE还可以在请求消息里发送用户所选的安全需求等级信息,安全需求可能只划分两种等级:即加密和不加密两种。也可能划分多种等级,例如不加密、低安全级别的加密、中安全级别的加密、高安全级别等等。
步骤s602至步骤s606、如需认证UE,MME执行与UE的认证过程,并在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。
步骤s607、MME将attach请求发给UPE(SAE-GW选择算法时,MME将attach请求发送给SAE-GW),该请求中包括UE的安全能力。MME还可能将包括用户签约信息中允许UE采用的算法、和/或MME允许UE采用的算法插入到请求消息中发给UPE。
步骤s608至步骤s610、UPE与SAE-GW交互,建立UPE到SAE-GW的承载。当UPE位于接入网或者UPE与SAE-GW合一时,此步骤可省略。
步骤s611、UPE(SAE-GW选择算法时,为SAE-GW)根据用户签约信息里允许UE使用的算法以及UE安全能力,选择default IP承载下用户面算法。具体应用时,本步骤也可以放到步骤s614步后、步骤s615步之前执行。
步骤s612至步骤s614、完成无线承载连接建立过程。
步骤s615、UPE(SAE-GW选择算法时,为SAE-GW)将所选用户面算法在attach接受消息中发给MME。
步骤s616、MME将携带用户面算法的attach接受消息转发给UE。
步骤s617、UE向MME发送attach完成消息。
还有另外一种情况,MME选择控制面的安全算法,并加入到attach accept中发给UE,或者MME在NAS安全模式命令中将用户面和控制面的安全算法发给UE。这种情况下,需要定义2或3个不同的IE,分别表示NAS控制面加密/完整性算法和用户面安全算法。
至此,UE便可获得缺省IP下的用户面安全算法。
值得指出的是,通过步骤s612至s614所描述的过程,UPE(或者SAE-GW)还可以把所选的用户面安全算法在无线承载建立过程中同时通过eNodeB转发给UE。
本发明的第六实施例与第五实施例的不同之处在于,当UPE或者SAE-GW选择完用户面算法后,并不需要把算法放到accept消息里面通过MME转发给UE。而是由UPE或者SAE-GW发起用户面安全模式启动命令,并把所选算法直接发给UE。在用户面安全模式启动过程中,UPE或者SAE-GW发起的安全模式启动命令可以经过MME转发,也可以不经过MME直接下发。同样UE发送的用户面安全模式响应消息也可以由MME转发给UPE或直接发给UPE。该实施例的具体流程如图7所示,包括:
步骤s701、UE向MME发送attach请求,UE可能需要在attach请求中携带自己的安全能力。该安全能力可以是UE所支持的所有算法能力集,也可以能是UE仅对某种业务所支持的算法能力集。
UE可以不在attach请求里携带安全能力,而此时网络侧获得UE安全能力的方式可以为:UE通过AS信令把UE安全能力发给eNodeB,eNodeB再将UE安全能力通过S1接口发给核心网。
此步骤中UE还可以在请求消息里发送用户所选的安全等级信息,该安全等级最简单的方式就是指示加密或不加密两种方式中的一种,也可以是如低、中、高等多种等级中的一种。
步骤s702至步骤s706、如需认证UE,则MME执行UE的认证过程,并在认证成功后完成向HSS的路由区注册/更新过程,以及用户签约数据的获取。
步骤s707、MME将attach请求发给UPE(SAE-GW选择算法时,MME将attach请求发给SAE-GW),其中包括UE的安全能力。MME还可能将包括用户签约信息中允许UE采用的算法、MME允许UE采用的算法、UE在请求消息携带的用户所选安全等级中的部分或全部等信息插入到请求消息中发给UPE(SAE-GW选择算法时,MME将attach请求发给SAE-GW)。
步骤s708至步骤s710、UPE与SAE-GW的交互,建立到的SAE-GW承载。当UPE放置接入网或者UPE与SAE-GW合一时,此步骤可省略。
步骤s711、UPE(SAE-GW选择算法时,为SAE-GW)根据用户签约信息里允许用户使用的算法以及UE能力,还可能需要进一步结合用户所选的安全等级选择default IP承载下的用户面算法。
步骤s712至步骤s714、完成无线承载连接建立过程。
步骤s715、UPE(SAE-GW选择算法时,为SAE-GW)向UE发送用户面安全模式启动命令,并把所选用户面算法直接发给UE。
步骤s716、UPE(SAE-GW选择算法时,为SAE-GW)向MME发送attachaccept消息,其中携带IP配置。
步骤s717、MME将携带IP配置的attach accept消息转发给UE。
步骤s718、UE向MME发送attach完成消息。
步骤s715可以放在s718以后,在需要启动用户面安全时才执行。
第七至第九实施例描述的是在业务建立过程中协商安全算法的过程,即只针对某一个业务执行一次算法协商过程。从此,该业务的承载采用协商的算法来保护。
具体的,第七实施例为在业务发起过程中选择用户面算法的过程,如图8所示,包括如下步骤:
步骤s801、UE向网络发起业务请求。该请求中还可能携带UE安全能力,该安全能力可以是UE所支持的所有算法能力集,也可以能是仅仅对于某种业务UE所支持的算法能力集。该请求中也可以不携带UE安全能力,由于MME可能已经在前面执行的流程如attach过程、或PDP创建过程中获得了UE的安全能力。用户还可能选择一个此次业务通信的安全等级,并在请求消息携带。
步骤s802、MME获取用户签约信息,根据UE安全能力,并可能结合所申请的业务对安全等级的需求选取用户面应该采用的算法。如果步骤s801携带了用户所选,还需要结合用户所选安全等级来选算法。
因此MME需要通过某种方法获得业务安全需求。MME可能通过与UPE的接口获得这一信息,也可能通过HSS获得(比如用户签约信息里就有对某种业务采用某种安全等级算法的约定),还可能是在MME里面直接配置有这一信息。
MME获得用户业务类型的方法有:1)假设UE在请求业务之前已经创建了PDP上下文,并且在PDP上下文创建时,PDP上下文创建是由业务层实体触发,那么可以由业务层实体通知MME或者UPE,将业务类型与PDP上下文关联保存。当用户发起业务请求时,根据与其所采用的PDP上下文便可知道业务类型。2)用户在业务请求中携带业务类型。例如利用service type(服务类型)参数携带业务类型。
步骤s803、MME激活用户面安全保护,并通过eNodeB向UE转发所选的用户面算法,该步骤为可选。
步骤s804、在执行步骤s803的情况下UE通过eNodeB向MME转发安全模式响应。
步骤s805、在MME与UPE分离的情况下,MME结合UPE安全能力,选择合适的UPE。然后通过接口将所选算法通过激活命令通知UPE;或者通过向UPE发送一个安全模式命令,将算法告知UPE。另外,安全模式命令可以与激活命令同时发送。
步骤s806、如果前面没有执行步骤s803至s804的用户面安全模式启动过程,则MME在业务接受消息里面将所选算法通知给UE,用户面安全模式启动命令也可以放到业务接受消息里一起携带。
步骤s807、UE向UPE发送所选算法确认和上行数据。
本发明的第八实施例与上述第七实施例的不同之处在于,在本实施例中是由UPE或者SAE-GW完成用户面安全算法的选择,如图9所示,包括以下步骤:
步骤s901、UE向网络发起业务请求,该请求中可能携带UE安全能力。
步骤s902、在MME与UPE分离的情况下,MME结合UPE安全能力,选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。
步骤s903、MME将UE的请求消息转发给UPE(SAE-GW选择算法时,发送给SAE-GW)。消息中携带MME获取到的用户签约信息、用户安全能力以及业务安全需求等信息中的一种或者多种通知UPE(SAE-GW选择算法时,通知SAE-GW)。如果UE在向MME发送的业务请求消息里没有携带UE安全能力,MME可能将在前面的过程如attach过程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE(SAE-GW选择算法时,发送给SAE-GW)。
步骤s904、UPE(SAE-GW选择算法时,为SAE-GW)结合UE安全能力、业务需求、用户需求之一或者多种、进一步还可能结合自身策略以及用户签约信息来选择用户面安全算法。需要指出的是UPE(SAE-GW选择算法时,为SAE-GW)也可能在如attach过程或PDP创建中获得UE安全能力,并加以保存。如果前面业务请求消息没有携带UE安全能力,UPE/SAE-GW可以从保存的信息中获得。在只有加密/不加密两种安全等级情况下,所选择的加密算法可能是某种算法或者是NULL(无加密算法)。
步骤s905、UPE(SAE-GW选择算法时,为SAE-GW)向MME发送响应消息,其中携带所选择的安全算法。
步骤s906、MME在向UE发送的消息中携带所选安全算法,并启动用户面安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以上二者相结合的消息里将所选安全算法发给UE。
步骤s907、UE向UPE(SAE-GW选择算法时,为SAE-GW)发送所选算法确认以及上行数据。
值得指出的是,选择用户面算法时可以不针对业务的特殊需求来选,而只需要针对用户来选,即选择时参考包括用户能力、签约信息。以上各步骤中,如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密便可。
本发明的第九实施例与上述第八实施例的不同之处在于,本实施例中在UPE和MME之间增加了安全模式命令及响应,并且用户的安全能力、安全需求、以及业务需求等信息是在安全模式命令中发给UPE。UPE选择算法后,在安全模式响应中将所选择的算法发送给MME。如图10所示,具体包括:
步骤s1001、UE向网络发起业务请求。该请求中可能携带UE安全能力,网络侧也可能在前面的如attach过程或PDP上下文创建中获得这一信息。
步骤s1002、在MME与UPE分离的情况下,MME结合UPE安全能力,选择合适的UPE。此步骤为可选,在UPE放置于接入网时,无该步骤。
步骤s1003、MME将UE的请求消息转发给UPE,将UPE激活。
步骤s1004、UPE向MME发送激活响应。
步骤s1005、MME向UPE发送启动安全模式命令,其中包括获取到的用户签约信息、UE安全能力以及业务安全需求。如果UE在向MME发送的业务请求消息里没有携带UE安全能力,MME可能将在前面的过程如attach过程或PDP上下文创建中获得的UE安全能力添加到业务请求里发给UPE。
步骤s1006、UPE结合业务需求、用户需求、进一步还可能结合自身策略来选择用户面安全算法。需要指出的是UPE也可能在如attach过程或PDP创建中获得UE安全能力并加以保存。如果前面业务请求消息没有携带UE安全能力,UPE可以从保存的信息中获得。在只有加密/不加密两种安全等级情况下,所选择加密算法可能是某种算法或者是NULL(无加密算法)。
步骤s1007、UPE向MME发送携带有选择结果的响应消息。
步骤s1008、MME在向UE发送的消息中携带所选算法,并启动用户面安全模式命令。MME在业务接受消息、或用户面加密模式启动命令、或以上二者相结合的消息里将所选算法发给UE。
步骤s1009、UE向UPE发送所选算法确认以及上行数据。
值得指出的是以上是以算法选择实体是核心网实体MME或UPE为例,用户面加密实体是位于UPE上。当执行用户面加密实体放在eNodeB上时,执行算法选择实体还可以是eNodeB。本发明的第十实施例为网络中另一种布局,即将用户面加密实体部署在eNodeB时用户面安全算法的协商过程,如图11所示,包括如下步骤:
步骤s1101、用户UE发送通信请求消息。如果eNodeB没有保存该UE的安全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密两种方式之一,还可以是无、低、中或高等不同等级。
步骤s1102、eNodeB选择用户面安全算法,选择时可以根据UE安全能力,还可能结合用户的安全需求、或业务安全需求、或网络自身策略的一种或者多种因素来选择用户面安全算法。
值得指出的是eNodeB获取用户安全需求可以除了步骤s1101所示,还可以从HSS里获得用户签约信息,并从用户签约信息获得用户的安全需求。如果步骤s1101中用户选择一个希望的安全需求,还可能需要结合用户签约信息里相关信息判断是否允许这一需求。eNodeB获得HSS存储的用户签约信息中用户安全需求的方式也有多种:在本过程或者前面attach过程中从MME中获得并加以保存;或者直接从HSS获取。
步骤s1103、eNodeB将所选算法通过用户面安全模式命令或业务接受消息或者承载建立消息等下行消息发给UE,用户面安全模式命令也可以放到业务接受消息,承载建立或者其他下行消息里下发。
步骤s1104、UE向eNodeB发送安全模式响应,其中包括所选择的算法。
本发明的第十一实施例与上述第十实施例相比,仍为将用户面加密实体部署在eNodeB时用户面安全算法的协商过程,不同的是在此过程中有MME参与,如图12所示,包括如下步骤:
步骤s1201、用户UE发送业务请求消息,该消息可能是attach请求、业务请求、PDP创建/激活请求中的某一种。如果eNodeB没有保存该UE的安全能力,则该请求需要携带UE的安全能力。可选的,用户还可能会选择一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密两种方式之一,还可以是无、低、中或高等不同等级。
步骤s1202、UPE/eNodeB保存UE上传的安全能力。
步骤s1203、UPE/eNodeB将UE发送的业务请求消息转发给MME。
步骤s1204、MME获取网络策略、用户签约信息、业务安全需求中的一种或者多种信息,并将获取到的信息附加在对eNodeB的响应消息或者在安全模式命令中发给eNodeB。MME可能会把用户签约信息发给UPE/eNodeB,也可能仅把用户安全需求、即与加密算法选择有关信息发送给UPE/eNodeB。
步骤s1205、UPE/eNodeB选择用户面安全算法。选择时根据UE安全能力信息,还可能结合用户的安全需求、和/或者业务安全需求。选择时还可以结合网络自身策略,该网络策略可能是上一步骤中MME下发的,也可能是eNodeB自身配置的。而业务的安全需求同样可能是从MME接收到的,也可能是eNodeB通过其他方式如从用户签约信息获取、或者UPE/eNodeB通过业务层实体获取、或者UPE/eNodeB自身有此项配置。
步骤s1206、UPE/eNodeB将所选算法通过用户面安全模式命令或业务/attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到如业务接受消息中等下行消息下发。
该流程中用户面安全算法的选择也可以放在MME上进行,该种情况下的步骤具体包括:
步骤s1211、用户UE发送通信请求消息,该消息可能是attach请求,业务请求,PDP创建/激活请求中的某一种。如果MME没有保存该用户的安全能力,则该请求需要携带用户的安全能力。
可选的,用户还可能会选择一种所希望采用的安全等级并发给eNodeB。所选的安全等级可以是加密或不加密两种方式之一,还可以是无、低、中或高等不同等级。
步骤s1212、UPE/eNodeB将UE发送的通信请求消息转发给MME。
步骤s1213、MME根据用户能力、业务安全需求、用户需求、用户签约信息或网路策略中的一种或多种信息,选择一种安全算法。
步骤s1214、MME将所选算法发送给UPE/eNodeB。
步骤s1215、UPE/eNodeB将所选算法通过用户面安全模式命令或业务/attach/PDP响应接受消息发给UE,用户面安全模式命令可以放到业务接受消息中下发。
以上各个实施例中描述的都是网络侧实体是如何结合用户需求和针对业务的安全需求来选择算法的流程图。本发明的第十二实施例与以上各实施例的不同之处在于,只基于用户需求来选择算法。本实施例假设安全算法选择是基于每用户、每承载进行的,即对同一个用户建立的不同承载可选择不同的安全级别的保护,也可以是只针对每用户进行,即同一个网络可针对不同用户决定是否加密,以及加密的安全等级,而同一个用户不同承载采用相同安全程度的保护。此过程之前,假设MME/UPE已经获得了UE的安全能力。
步骤s1301、用户终端向网络侧发送通信请求消息,如attach请求,PDP上下文建立请求,或者业务请求等。
该请求消息可能需要包括用户所选择的用户面加密算法安全等级。另外,如果网络侧没有保存用户安全能力,用户还需要在此消息上报安全能力。安全等级可能仅仅只有加密和不加密两种可能,也可能是分多种安全等级,如根据安全算法的安全特性,对不同算法规定如低,高,中等不同等级。
步骤s1302、MME/UPE依据用户安全能力,以及用户安全需求来选择用户面安全保护采用的安全算法,此选择还可能需要结合网络策略(即网络允许UE采用的算法)。用户的安全需求的获得有以下几种:从步骤s1301中的用户终端向网络侧发送的消息中获得;或在用户订购业务时规定,并保存在网络侧存储的用户签约信息里。
如果在步骤s1301中,用户在通信时选择了此次通信的安全等级,并在请求中告知网络。那么MME/UPE在选择算法时,还可能需要结合用户签约信息决定是否允许采用用户侧选择的安全等级。
步骤s1303、MME/UPE通过下行消息将所选算法通知给UE。该消息可以是业务接受消息,PDP建立确认消息,attach接受消息等,或者是在网络侧启动用户面加密时,向用户侧发送用户面安全模式启动命令。如果网络决定不加密,就可不通知UE所选算法,只要不启动用户面加密便可。
值得指出的是在MME和UPE分离的情况下,执行算法选择的可能是UPE,也可能是MME。如果执行算法选择是MME,那么由MME选择算法之后通知UE。MME还需要将算法通知网络侧用户面加密实体。如果网络侧用户面加密实体是UPE,通过与UPE的接口通知UPE。值得指出的是MME还可能会根据UPE的安全能力,选择一个合适的UPE之后,再把所选用户面算法告知该UPE。
如果算法是UPE来选择,那么UPE选择算法后通知MME,MME再通知UE。或者UPE选择算法之后直接通知UE。如果执行网络侧用户面加密功能的不是UPE(如eNodeB),UPE还需要把选择算法通知给网络侧用户面加密实体。
步骤s1304,用户保存所选算法。如果是基于每承载建立的安全保护,那么用户可将所选算法与PDP上下文一起保存。如果在PDP上下文激活过程中,选择用户面安全算法,并且PDP上下文激活由网络侧发起。那么以上步骤中的步骤s1301中UE发送PDP请求信息需要换成网络侧业务实体(如PCRF)向MME/UPE发送PDP请求。
此实施例同样适用于网络侧选择用户面算法实体为ENodeB的情况。只不过需要将流程中MME/UPE替换为ENodeB。同时ENodeB需要从核心网得到用户签约信息或者签约信息中仅是与加密算法相关的信息,网络允许算法等信息。
通过使用上述实施例中提出的选择用户面算法的方法,可以在SAE/LTE的网络架构中,根据业务或者用户的需求选择不同安全级别的算法,即算法协商可以针对不同的业务、不同的用户来选择,对安全需求不同的各业务提供了其所需的不同级别的保护。
本发明的第十三实施例提供了一种选择用户面安全算法的系统,该实施例中,选择用户面安全算法的网络设备为兼具移动管理实体MME和用户面实体UPE功能的设备,UPE具有用户面加密实体的功能,如图14所示,该系统包括至少一个用户终端10以及MME-UPE 20。
其中,MME-UPE 20为兼有移动管理实体MME与用户面实体UPE功能的网络侧实体,具体地,其进一步包括信息获取单元21、算法选择单元22、用户面加密单元23、和通知单元24,
信息获取单元21,在接收到用户终端10的请求消息后,获取用户终端安全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选择单元22,根据信息获取单元21获取的信息,选择用户终端的用户面安全算法。用户面加密单元23根据算法选择单元22选择的算法对用户面进行安全保护。通知单元24,将算法选择单元22所选择的用户面安全算法发送给用户终端。
本发明的第十四实施例提供了一种选择用户面安全算法的系统,该实施例中,选择用户面安全算法的网络设备为MME,UPE具有用户面加密实体的功能,如图15所示,该系统包括至少一个用户终端10、移动管理实体30以及至少一个用户面实体40,该用户面实体40具有用户面加密实体的功能。
其中,移动管理实体30包括信息获取单元31、算法选择单元32、加密选择单元33和通知单元34,
信息获取单元31,在接收到用户终端10的请求消息后,获取用户终端安全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选择单元32,根据信息获取单元31获取的信息,选择用户终端的用户面安全算法。用户面加密实体选择单元33,在算法选择单元32选择用户面安全算法后,根据所选算法选择与该算法匹配的用户面加密实体即用户面实体UPE,并向被选的UPE发送指令,激活用户面安全保护。通知单元34,将算法选择单元32所选择的用户面安全算法发送给被选择的用户面实体UPE、演进节点eNodeB、用户终端中的一种。
用户面实体40包括用户面加密单元41,根据移动管理实体30选择的算法对用户面进行安全保护。
本发明的第十五实施例提供了一种选择用户面算法的系统,该实施例中,选择用户面安全算法的网络设备为UPE,且UPE具有用户面加密实体的功能,如图16所示,该系统包括至少一个用户终端10、移动管理实体50以及至少一个用户面实体60,该用户面实体60具有用户面加密实体的功能。
其中,移动管理实体50包括加密选择单元51,根据各个UPE上用户面加密实体的安全能力选择UPE并向被选的UPE发送指令。用户面实体60包括信息获取单元61,在接收到用户终端10的请求消息后,获取用户终端安全能力、用户终端的安全需求、业务安全需求中的一种或多种信息。算法选择单元62,根据信息获取单元61获取的信息,选择用户终端的用户面安全算法。用户面加密单元63,根据算法选择单元62选择的算法对用户面进行安全保护。通知单元64,将算法选择单元62所选择的用户面安全算法发送给被选择的用户面实体UPE、演进节点eNodeB、用户终端中的一种。
以上第十四及第十五实施例中,也可将用户面实体UPE替换为兼具UPE与eNodeB功能的实体,其他单元的功能不需要进行变化;或将用户面实体UPE替换为兼具UPE与SAE-GW功能的实体,其他单元的功能不需要进行变化,均可完成选择用户面算法的功能,在此不做重复描述。
通过使用上述实施例中提出的选择用户面算法的系统,可以在SAE/LTE的网络架构中,根据业务或者用户的需求选择不同安全级别的算法,对安全需求不同的各业务提供了其所需的不同级别的保护。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (17)
1.一种选择用户面算法的方法,其特征在于,
网络侧实体接收用户终端发送的请求;
所述网络侧实体获取并根据所述用户终端的安全信息选择用户面算法,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;所述选择用户面算法的网络侧实体为移动管理实体、或用户面相关实体、或演进基站,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
2.如权利要求1所述选择用户面算法的方法,其特征在于,所述用户安全需求和/或业务安全需求具体为:
加密或不加密两种安全等级;或
将不同的算法划分为至少两种不同的加密安全等级,属于同一个安全等级的算法有多种。
3.如权利要求1所述选择用户面算法的方法,其特征在于,所述网络侧实体获取所述业务安全需求的方式具体为:
从所述用户终端发送的请求中获得;或
直接在所述网络侧实体配置并获得;或
在归属客户服务器中配置,从所述归属客户服务器获得;或
应用层实体将业务类型和业务安全需求发送给所述网络侧实体。
4.如权利要求1所述选择用户面算法的方法,其特征在于,所述网络侧实体获取所述用户安全需求的方式具体为:
从所述用户终端发送的请求中获得;或
所述用户终端在预定业务时选择所述用户安全需求信息,并存储在归属客户服务器的用户签约信息里;所述网络侧实体从所述归属客户服务器获得所述用户安全需求信息。
5.如权利要求4所述选择用户面算法的方法,其特征在于,所述网络侧实体为移动管理实体时,所述移动管理实体通过用户签约信息插入过程、或鉴权向量获得过程从所述归属客户服务器获取所述用户安全需求信息。
6.如权利要求4所述选择用户面算法的方法,其特征在于,所述网络侧实体为用户面相关实体时,所述用户面相关实体从所述归属客户服务器或移动管理实体获得用户的签约信息。
7.如权利要求1所述选择用户面算法的方法,其特征在于,所述网络侧实体为演进基站时,所述演进基站获得所述归属客户服务器存储的用户签约信息中用户安全需求的方式包括:从移动性管理实体中获得并加以保存,或者直接从所述归属客户服务器获取。
8.如权利要求4所述选择用户面算法的方法,其特征在于,所述网络侧根据所述用户签约信息判断允许所述用户终端选择的算法。
9.如权利要求1所述选择用户面算法的方法,其特征在于,所述选择用户面算法的网络侧实体为移动管理实体时,所述移动管理实体选择所述算法后,将所述算法发送给所述用户面加密实体。
10.如权利要求1所述选择用户面算法的方法,其特征在于,所述选择用户面算法的网络侧实体为用户面相关实体时,所述用户面相关实体选择所述算法后,将所述算法直接发送给所述用户终端,或经移动管理实体将所述算法发送给所述用户终端。
11.如权利要求1所述选择用户面算法的方法,其特征在于,当所述用户面加密实体不在所述用户面相关实体时,所述用户面相关实体选择所述算法后,将所述算法发送给所述用户面加密实体。
12.如权利要求1所述选择用户面算法的方法,其特征在于,所述网络侧实体接收的请求包括用户终端发送的业务连接请求、分组数据协议PDP上下文创建请求、PDP上下文激活请求、附着attach请求中的一种。
13.一种选择用户面算法的系统,包括用户终端和网络侧实体,其特征在于,所述网络侧实体包括信息获取单元和算法选择单元,
所述信息获取单元,获取用户终端的安全信息,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;
所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户终端的用户面算法;
所述信息获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进基站上,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
14.如权利要求13所述选择用户面算法的系统,其特征在于,所述网络侧实体还包括至少一个用户面加密单元,
所述用户面加密单元,根据所述算法选择单元选择的算法对用户面进行安全保护。
15.如权利要求14所述选择用户面算法的系统,其特征在于,所述网络侧实体还包括加密选择单元,选择与所述用户终端的安全信息相匹配的用户面加密单元并向其发送指令,激活用户面安全保护。
16.如权利要求15所述选择用户面算法的系统,其特征在于,所述用户面加密单元位于用户面实体或演进基站上,所述加密选择单元位于移动管理实体上。
17.一种选择用户面算法的网络侧实体,其特征在于,包括信息获取单元和算法选择单元;
所述信息获取单元,获取用户终端的安全信息,所述安全信息包括安全能力,用户的安全需求、业务安全需求、网络自身策略的一种或者多种因素;
所述算法选择单元,根据所述信息获取单元获取的信息,选择所述用户终端的用户面算法;
所述信息获取单元和算法选择单元,位于移动管理实体、或用户面相关实体、或演进基站上,所述用户面相关实体包括用户面实体或系统构架演进网关;网络中存在多个用户面加密实体时,所述移动管理实体根据各所述用户面加密实体的安全能力,选择与所述用户终端的安全信息匹配的用户面加密实体,所述用户面加密实体在用户面实体、或演进基站侧。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100034065A CN101242629B (zh) | 2007-02-05 | 2007-02-05 | 选择用户面算法的方法、系统和设备 |
| PCT/CN2008/070293 WO2008098515A1 (fr) | 2007-02-05 | 2008-02-05 | Un procédé, système et appareil de sélection d'algorithme de plan utilisateur |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100034065A CN101242629B (zh) | 2007-02-05 | 2007-02-05 | 选择用户面算法的方法、系统和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242629A CN101242629A (zh) | 2008-08-13 |
| CN101242629B true CN101242629B (zh) | 2012-02-15 |
Family
ID=39689675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100034065A Active CN101242629B (zh) | 2007-02-05 | 2007-02-05 | 选择用户面算法的方法、系统和设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101242629B (zh) |
| WO (1) | WO2008098515A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102008044018B4 (de) | 2008-11-24 | 2010-08-19 | Beckhoff Automation Gmbh | Verfahren zum Bestimmen einer Sicherheitsstufe und Sicherheitsmanager |
| US8626122B2 (en) * | 2009-02-16 | 2014-01-07 | Telefonaktiebolaget L M Ericsson (Publ) | Un-ciphered network operation solution |
| CN101854625B (zh) * | 2009-04-03 | 2014-12-03 | 华为技术有限公司 | 安全算法选择处理方法与装置、网络实体及通信系统 |
| CN101557589A (zh) * | 2009-05-04 | 2009-10-14 | 中兴通讯股份有限公司 | 防止空完整性保护算法用于正常通信的方法和系统 |
| CN101790168B (zh) * | 2010-02-01 | 2015-05-20 | 中兴通讯股份有限公司 | Nas和as初始安全模式命令过程的方法 |
| CN102149088A (zh) * | 2010-02-09 | 2011-08-10 | 工业和信息化部电信传输研究所 | 一种保护移动用户数据完整性的方法 |
| CN102595390B (zh) * | 2011-01-18 | 2019-04-05 | 中兴通讯股份有限公司 | 一种安全模式的配置方法和终端 |
| CN102833742B (zh) * | 2011-06-17 | 2016-03-30 | 华为技术有限公司 | 机器类通信设备组算法的协商方法和设备 |
| CN102412967B (zh) * | 2011-09-29 | 2013-11-27 | 用友软件股份有限公司 | 数据传输系统和方法 |
| EP2823597B1 (en) * | 2012-03-08 | 2020-06-17 | Nokia Technologies Oy | A context-aware adaptive authentication method and apparatus |
| CN102612028B (zh) * | 2012-03-28 | 2015-04-15 | 电信科学技术研究院 | 一种配置传输和数据传输的方法、系统及设备 |
| CN103888936B (zh) * | 2012-12-21 | 2018-09-21 | 华为技术有限公司 | 小区优化方法及装置 |
| US9860743B2 (en) * | 2015-09-10 | 2018-01-02 | Mediatek Inc. | Apparatuses and methods for avoiding location exposure |
| CN105227569B (zh) * | 2015-10-16 | 2019-02-12 | 百度在线网络技术(北京)有限公司 | 应用的数据包传输方法及装置 |
| US11234126B2 (en) | 2015-11-17 | 2022-01-25 | Qualcomm Incorporated | Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts |
| CN108702624B (zh) | 2016-01-05 | 2021-02-23 | 华为技术有限公司 | 移动通信方法、装置及设备 |
| WO2017132947A1 (zh) * | 2016-02-04 | 2017-08-10 | 华为技术有限公司 | 获取待传输业务的安全参数的方法、信令管理网元、安全功能节点和发送端 |
| CN108702303B (zh) * | 2016-03-08 | 2020-07-07 | 华为技术有限公司 | 一种为无线承载进行安全配置方法和设备 |
| CN107276971A (zh) * | 2016-04-08 | 2017-10-20 | 电信科学技术研究院 | 一种连接管理方法及相关设备 |
| CN107566115B (zh) * | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| WO2018076298A1 (zh) * | 2016-10-28 | 2018-05-03 | 华为技术有限公司 | 一种安全能力协商方法及相关设备 |
| BR112019019671A2 (pt) * | 2017-03-27 | 2020-04-22 | Huawei Tech Co Ltd | método de transmissão de dados, equipamento de usuário, e nodo de plano de controle |
| WO2018201506A1 (zh) | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
| CN110493774B (zh) * | 2017-05-06 | 2023-09-26 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN107508796B (zh) * | 2017-07-28 | 2019-01-04 | 北京明朝万达科技股份有限公司 | 一种数据通信方法和装置 |
| EP3841720A1 (en) * | 2018-08-20 | 2021-06-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Negotiation of security features |
| WO2020038543A1 (en) * | 2018-08-20 | 2020-02-27 | Telefonaktiebolaget Lm Ericsson (Publ) | User plane security |
| CN110516467B (zh) * | 2019-07-16 | 2021-09-24 | 上海数据交易中心有限公司 | 数据流通方法及装置、存储介质、终端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471326A (zh) * | 2002-07-26 | 2004-01-28 | ��Ϊ��������˾ | 一种自主选择保密通信中无线链路加密算法的方法 |
| US20050238171A1 (en) * | 2004-04-26 | 2005-10-27 | Lidong Chen | Application authentication in wireless communication networks |
| CN1773916A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 安全业务计费方法 |
| CN1863070A (zh) * | 2005-08-19 | 2006-11-15 | 华为技术有限公司 | 提供不同安全级别的应用服务的系统和方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1332569C (zh) * | 2004-04-23 | 2007-08-15 | 中兴通讯股份有限公司 | 协商选择空中接口加密算法的方法 |
| CN100435526C (zh) * | 2004-07-21 | 2008-11-19 | 威达电股份有限公司 | 网络安全动态侦测系统及方法 |
-
2007
- 2007-02-05 CN CN2007100034065A patent/CN101242629B/zh active Active
-
2008
- 2008-02-05 WO PCT/CN2008/070293 patent/WO2008098515A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1471326A (zh) * | 2002-07-26 | 2004-01-28 | ��Ϊ��������˾ | 一种自主选择保密通信中无线链路加密算法的方法 |
| US20050238171A1 (en) * | 2004-04-26 | 2005-10-27 | Lidong Chen | Application authentication in wireless communication networks |
| CN1773916A (zh) * | 2004-11-08 | 2006-05-17 | 中兴通讯股份有限公司 | 安全业务计费方法 |
| CN1863070A (zh) * | 2005-08-19 | 2006-11-15 | 华为技术有限公司 | 提供不同安全级别的应用服务的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242629A (zh) | 2008-08-13 |
| WO2008098515A1 (fr) | 2008-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101242629B (zh) | 选择用户面算法的方法、系统和设备 | |
| KR102263336B1 (ko) | 보안 구현 방법, 기기 및 시스템 | |
| RU2744323C2 (ru) | Способы для защиты целостности данных пользовательской плоскости | |
| CN101409951B (zh) | 承载建立方法及相关装置 | |
| CN103906262B (zh) | 一种承载分配方法及用户设备、基站和服务网关 | |
| CN101500270A (zh) | 一种负荷均衡的方法和装置 | |
| CN101242630B (zh) | 安全算法协商的方法、装置及网络系统 | |
| KR102100159B1 (ko) | 이동 통신 시스템에서 서비스 발견 및 그룹 통신을 위한 보안 지원 방법 및 시스템 | |
| CN101094497B (zh) | 移动用户在不同接入系统间切换的方法 | |
| WO2017105777A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
| CN108401269A (zh) | 跨系统的切换方法和装置 | |
| CN102172059A (zh) | 家用基站中本地突围业务的处理 | |
| WO1999035784A1 (en) | Method of implementing connection security in a wireless network | |
| CN101336000B (zh) | 协议配置选项传输方法及系统、用户终端 | |
| CN101488847A (zh) | 一种数据加密的方法、装置和系统 | |
| CN101128066B (zh) | 不进行用户面加密的方法及系统 | |
| CN102595369A (zh) | 一种nas算法的传输方法及装置 | |
| WO2010037337A1 (zh) | 一种无线接入设备获取管理地址的方法和网络设备 | |
| US20230052569A1 (en) | Method and nodes for handling connectivity to a data network | |
| CN105992283A (zh) | 承载资源的预留方法及装置 | |
| JP2018533853A (ja) | 移動無線通信ネットワークに移動端末の接続を確立するための方法、及び無線アクセスネットワーク構成要素 | |
| JP6511542B2 (ja) | 通信ネットワークにおける非アクセス層接続を確立するための通信ネットワーク及び方法 | |
| CN109428852A (zh) | 通信隧道端点地址分离方法、终端、ePDG及存储介质 | |
| CN103379479A (zh) | 一种确定用户标识和通知参数信息的方法、系统及设备 | |
| WO2021073382A1 (zh) | 注册方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |