CN116980887A - 安全性算法确定方法、装置、电子设备及存储介质 - Google Patents

Abstract

本发明实施例是关于安全性算法确定方法、装置、电子设备及存储介质。用户设备(UE)获取待接入的无线语音(VoWiFi)网络的标识信息；根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。减少由于UE与VoWiFi网络的安全性算法不一致，产生的VoWiFi网络注册失败和通信失败等情况，提高通信可靠性。

Description

安全性算法确定方法、装置、电子设备及存储介质

技术领域

本申请涉及无线通信技术领域但不限于无线通信技术领域，尤其涉及安全性算法确定 方法、装置、电子设备及存储介质。

背景技术

如图1所示，用户设备(UE，User Equipment)可以依次通过无线接入点(WiFi AP，WiFi Access Point)、演进型分组数据网关(ePDG，Evolevd Packet Data Gateway)、和 分组数据网关(PGW，Packet Data Network GateWay)连接到IP多媒体子系统(IMS，IPMultimedia Subsystem)核心网。由于UE到ePDG之间是公共网络，存在不安全因素， 因此在UE与ePDG之间建立有互联网协议安全性(IPSec，Internet Protocol Security)隧 道。UE通过互联网密钥交换(IKE，Internet Key Exchange)v2协议来完成身份认证和 IPSec隧道建立过程。当IPSec隧道建立完成后，就可以和长期演进语音承载(VoLTE， Voice overLong-Term Evolution)一样向IMS核心网注册、呼叫了。

发明内容

有鉴于此，本发明实施例提供了一种安全性算法确定方法、装置、电子设备及存储介 质。

根据本发明实施例的第一方面，提供一种安全性算法确定方法，所述方法包括：

获取待接入的无线语音VoWiFi网络的标识信息；

根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整 性算法。

在一个实施例中，所述获取待接入的无线语音VoWiFi网络的标识信息，包括至少以 下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

在一个实施例中，所述方法还包括：

预先设置初始安全性算法；

所述根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所 述VoWiFi网络过程中采用的安全性算法，包括：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

在一个实施例中，所述方法还包括：

预先存储所述第二安全性算法。

在一个实施例中，所述方法还包括：

向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

在一个实施例中，所述向待接入的所述VoWiFi网络发送安全性指示信息，包括：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议 初始化请求。

根据本发明实施例的第二方面，提供一种安全性算法确定装置，其特征在于，所述装 置包括：

收发模块，用于获取待接入的无线语音VoWiFi网络的标识信息；

处理模块，用于根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确 定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。

在一个实施例中，所述收发模块，具体用于至少以下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

在一个实施例中，所述处理模块，还用于：预先设置初始安全性算法；

所述处理模块，具体用于：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

在一个实施例中，所述处理模块，还用于：

预先存储所述第二安全性算法。

在一个实施例中，所述收发模块，还用于：

向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

在一个实施例中，所述收发模块，具体用于：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议 初始化请求。

根据本发明实施例的第三方面，提供一种电子设备，包括处理器、存储器及存储在存 储器上并能够有所述处理器运行的可执行程序，所述处理器运行所述可执行程序时执行如 第一方面所述安全性算法确定方法的步骤。

根据本发明实施例的第四方面，提供一种存储介质，其上存储由可执行程序，所述可 执行程序被处理器执行时实现如第一方面所述安全性算法确定方法的步骤。

本发明实施例提供的安全性算法确定方法、装置、电子设备及存储介质，UE获取待接入的VoWiFi网络的标识信息；根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法 包括：加密算法和/或完整性算法。如此，基于标识信息与安全性算法的对应关系，确定VoWiFi网络能支持的安全性算法，能够采用确定的安全性算法与VoWiFi网络协商安全性算法和/或采用确定的安全性算法与VoWiFi网络进行通信，减少由于UE与VoWiFi网络的安 全性算法不一致，产生的VoWiFi网络注册失败和通信失败等情况，提高通信可靠性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限 制本发明实施例。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明实施例，并 与说明书一起用于解释本发明实施例的原理。

图1是根据一示例性实施例示出的一种VoWiFi接入流程示意图

图2是根据一示例性实施例示出的一种无线通信系统的结构示意图；

图3是根据一示例性实施例示出的一种VoWiFi接入交互示意图

图4是根据一示例性实施例示出的一种IKEv2协议信息交互示意图

图5是根据一示例性实施例示出的一种安全性算法确定方法的流程示意图；

图6是根据一示例性实施例示出的另一种安全性算法确定方法的流程示意图；

图7是根据一示例性实施例示出的又一种安全性算法确定方法的流程示意图；

图8是根据一示例性实施例示出的再一种安全性算法确定方法的流程示意图；

图9是根据一示例性实施例示出的一种安全性算法确定装置的框图；

图10是根据一示例性实施例示出的一种用于安全性算法确定的装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图 时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中 所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反，它们仅是与如 所附权利要求书中所详述的、本发明实施例的一些方面相一致的装置和方法的例子。

在本发明实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明 实施例。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该” 也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语 “和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本发明实施例可能采用术语第一、第二、第三等来描述各种信息， 但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在 不脱离本发明实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息 也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在…… 时”或“当……时”或“响应于确定”。

请参考图2，其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图2 所示，无线通信系统是基于蜂窝移动通信技术的通信系统，该无线通信系统可以包括：若干个终端11以及若干个基站12。

其中，终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线 接入网(Radio Access Network，RAN)与一个或多个核心网进行通信，终端11可以是物联网终端，如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机， 例如，可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如， 站(Station，STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动 站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remoteterminal)、接入终端(access terminal)、用户装置(user terminal)、用户代 理(useragent)、用户设备(user device)、或用户终端(user equipment，UE)。或者， 终端11也可以是无人飞行器的设备。或者，终端11也可以是车载设备，比如，可以是具有 无线通信功能的行车电脑，或者是外接行车电脑的无线通信设备。或者，终端11也可以是 路边设备，比如，可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。

基站12可以是无线通信系统中的网络侧设备。其中，该无线通信系统可以是第四代移 动通信技术(the 4th generation mobile communication，4G)系统，又称长期演进(Lon g Term Evolution，LTE)系统；或者，该无线通信系统也可以是5G系统，又称新空口(new radio，NR)系统或5G NR系统。或者，该无线通信系统也可以是5G系统的再下一代 系统。其中，5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Net work，新一代无线接入网)。或者，MTC系统。

其中，基站12可以是4G系统中采用的演进型基站(eNB)。或者，基站12也可以是5 G系统中采用集中分布式架构的基站(gNB)。当基站12采用集中分布式架构时，通常包 括集中单元(central unit，CU)和至少两个分布单元(distributed unit，DU)。集中单元 中设置有分组数据汇聚协议(Packet Data Convergence Protocol，PDCP)层、无线链路 层控制协议(Radio Link Control，RLC)层、媒体访问控制(Media Access Control，M AC)层的协议栈；分布单元中设置有物理(Physical，PHY)层协议栈，本公开实施例对 基站12的具体实现方式不加以限定。

基站12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中，该无线 空口是基于第四代移动通信网络技术(4G)标准的无线空口；或者，该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口，比如该无线空口是新空口；或者，该 无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。

在一些实施例中，终端11之间还可以建立E2E(End to End，端到端)连接。比如车联网通信(vehicle to everything，V2X)中的V2V(vehicle to vehicle，车对车)通信、V2I(vehicle to Infrastructure，车对路边设备)通信和V2P(vehicle to pedestrian，车对 人)通信等场景。

在一些实施例中，上述无线通信系统还可以包含网络管理设备13。

若干个基站12分别与网络管理设备13相连接。其中，网络管理设备13可以是无线通信 系统中的核心网设备，比如，该网络管理设备13可以是演进的数据分组核心网(Evolved Packet Core，EPC)中的移动性管理实体(Mobility Management Entity，MME)。或者， 该网络管理设备也可以是其它的核心网设备，比如服务网关(Serving GateWay，SGW)、 公用数据网网关(Public Data Network GateWay，PGW)、策略与计费规则功能单元(P olicy and Charging Rules Function，PCRF)或者归属签约用户服务器(HomeSubscriber Server，HSS)等。对于网络管理设备13的实现形态，本公开实施例不做限定。

本发明实施例涉及的执行主体包括但不限于：无线通信系统中的终端等UE。

如图3所示，UE通过WiFi建立VoWiFi的具体步骤包括：

步骤301：UE执行WLAN认证，WLAN网络非UE分配一个本地IP(Local IP)。

步骤302：UE通过本地配置或者域名服务(DNS，Domain Name Server)机制获取ePDG地址，发起IKEv2/EAP-AKA流程。

具体的，进行EAP-AKA认证。成功认证后，ePDG从验证、授权和记账(AAA，Authentication、Authorization、Accounting)服务器获取UE的签约数据。

步骤303：ePDG和PGW之间建立GTP(GPRS隧道协议(GPRSTunnellingProtocol))隧道， PGW分配远端IP地址以及P-CSCF地址通过GTP消息带给ePDG。

步骤304：IKEv2过程结束，ePDG将UE的远端IP地址发送给UE。

IKEv2协议是UE使用非信任域方式接入IMS网络时的安全认证协议，通过IKEv2协议 UE和分组数据网关(PDG，Packet Data Gateway)(如ePDG)会建立起一个IPSec隧道。IKEv2协议信息交互过程如图4所示，UE可以向PDG提供4个主要安全参数：加密算法，身 份验证算法(完整性检查)，伪随机函数(PRF)以及迪菲-赫尔曼密钥交换(Diffie Helma ngroup)。UE可以在阶段1(Phase 1)的IKE_SA_INIT-Request消息中携带该4个安全参 数，与PDG进行协商安全认证协议。

针对IKEv2协议，不同运营商能够支持的加密算法和/或完整性保护算法不同。例如： 同一国家内，如针对运营商A，UE需要删除完整性保护算法AUTH_HMAC_SHA1_96，才 能成功注册VoWiFi。其他运营商需要根据需求保留完整性保护算法AUTH_HMAC_SHA1 _96，才能注册成功。

再例如，在同一国家内，运营商B已经不支持IPSEC_CRYPTO_ALGO_3DES，运营商 C仍然是支持IPSEC_CRYPTO_ALGO_3DES的。

针对一些操作系统，如Android S操作系统之前的Android操作系统，加密算法ENCR _DES，ENCR_3DES，和完整性保护算法AUTH_HMAC_SHA1_96，系统都是默认支持的。

针对另一些操作系统，如Android S操作系统等，由于安全方面考虑，根据协议RFC8 247对以上算法作了调整，操作系统默认已经不支持加密算法ENCR_DES，ENCR_3DES，和完整性保护算法AUTH_HMAC_SHA1_96。

UE采用的加密算法和/或完整性保护算法，与网络支持的加密算法和/或完整性保护算 法不同，会引起VoWiFi网络注册失败。

因此，如何UE如何确定加密算法和/或完整性保护算法，减少VoWiFi网络注册失败的 情况，是亟待解决的问题。

如图5所示，本示例性实施例提供一种安全性算法确定方法，安全性算法确定方法可 以应用于无线通信的用户设备UE中，所述方法包括：

步骤501：获取待接入的VoWiFi网络的标识信息；

步骤502：根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接 入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。

这里，可以由无线通信系统，如蜂窝移动通信系统中支持VoWiFi的UE来执行本实施 例。

VoWiFi网络可以包括承载VoWiFI功能的移动通信网络。

标识信息可以包括但不限于：承载VoWiFi功能的移动通信网络的标识信息。这里，移动通信网络可以包括：公共陆地移动网络(PLMN，Public Land Mobile Network)和/ 或非地面网络(NTN，Non-Terrestrial Networks)。标识信息可以包括PLMN ID、PLMN 网络名称(PNN，PLMN Network Name)、服务提供商名称(SPN，Service Provider N ame)等。一个标识信息可以唯一指示一个VoWiFi网络。

同一服务提供商(网络运营商)可以具有多个标识信息，同一运营商的多个标识信息 分别指示的VoWiFi网络可以采用相同的安全性算法，也可以采用不同的安全性算法。

安全性算法可以包括UE在建立IPSec隧道过程中采用的加密算法和/或完整性算法。例 如，安全性算法可以是UE通过IKEv2协议建立IPSec隧道过程中，向PDG提供的加密算法 和/或完整性算法。

在一个实施例中，安全性算法可以包括一种或多种加密算法。安全性算法也可以包括 一种或多种完整性算法。

示例性的，安全性算法可以是图4所示的IKEv2信息交互过程中，UE在IKE_SA_INIT- Request消息中携带的加密算法和/或完整性算法。

加密算法可以用于将UE和PDG之间交互信息，采用密钥以及随机数等方式进行加密， 以提高信息保密性。

UE与PDG(如ePDG)进行交互过程中，信息发送方可以通过完整性算法对原始信息进行计算，得到一个校验值，信息接收方同样可以通过完整性算法对接收到的信息进行计算，得到另一个校验值，通过对比校验值确定信息的完整性。

标识信息与安全性算法的对应关系，可以包括:标识信息指示的VoWiFi网络能支持的 安全性算法、和/或标识信息指示的VoWiFi网络不能支持的安全性算法等。

标识信息与安全性算法的对应关系可以是预先存储在UE内的。例如，可以通过列表 的方式，在UE内存储不同标识信息各自能支持的安全性算法。也可以通过列表的方式，在UE内存储不同标识信息各自不能支持的安全性算法。

UE可以在与PDG协商安全性算法之前获取VoWiFi网络的标识信息。

在一个实施例中，所述获取待接入的无线语音VoWiFi网络的标识信息，包括至少以 下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

标识信息，可以是存储在SIM中的。UE在注册VoWiFi网络之前，可以读取SIM卡， 确定VoWiFi网络的标识信息。

例如，UE可以从SIM中读取SPN和/或PNN等。SPN和/或PNN可以是服务提供商预先存储在SIM中的。

标识信息也可以是VoWiFi网络发送给UE的，VoWiFi网络可以通过广播等方式向UE指示VoWiFi网络的标识信息。

例如，VoWiFi网络可以通过基站广播PLMN ID等标识信息，UE通过蜂窝移动通信网络接收PLMN ID。VoWiFi网络也可以通过WiFi AP广播标识信息，UE可以通过WiFi网络 接收标识信息。VoWiFi网络也可以通过在UE接入WiFi后向UE发送标识信息。

UE确定标识信息后，可以基于标识信息与安全性算法的对应关系，确定VoWiFi网络 能支持的安全性算法。进而与VoWiFi网络协商安全性算法和/或采用确定的安全性算法与 VoWiFi网络进行通信等。

示例性的，UE确定标识信息后，可以基于标识信息与安全性算法的对应关系，确定VoWiFi网络能支持的加密算法和/或完整性算法。

这里，加密算法可以包括但不限于以下至少之一：ENCR_DES，ENCR_3DES IPSE C_CRYPTO_ALGO_3DES。完整性算法包括但不限于以下至少之一：AUTH_HMAC_SH A1_96。

如此，基于标识信息与安全性算法的对应关系，确定VoWiFi网络能支持的安全性算 法，能够采用确定的安全性算法与VoWiFi网络协商安全性算法和/或采用确定的安全性算 法与VoWiFi网络进行通信，减少由于UE与VoWiFi网络的安全性算法不一致，产生的VoWiFi网络注册失败和通信失败等情况，提高通信可靠性。

如图6所示，本示例性实施例提供一种安全性算法确定方法，安全性算法确定方法可 以应用于无线通信的用户设备UE中，所述方法包括：

步骤601：预先设置初始安全性算法；

所述根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所 述VoWiFi网络过程中采用的安全性算法，包括：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

这里，步骤601可以单独实施，也可以与步骤501、和/或步骤502结合实施。

初始安全性算法可以包括一种或多种加密算法，和/或一种或多种完整性算法。初始 安全性算法可以由通信协议规定，或者，也可以基于安全性算法被采用的广泛程度设置。

示例性的，可以将使用最广泛的加密算法和/或完整性算法确定为初始安全性算法。

UE确定标识信息后，可以基于标识信息与安全性算法的对应关系，确定当前VoWiFi 网络能支持的安全性算法。

如果待接入的VoWiFi网络能支持的安全性算法与初始安全性算法一致，那么，将初 始安全性算法确定为当前待接入的VoWiFi网络的安全性算法。

如果当前VoWiFi网络能支持的安全性算法与初始安全性算法不一致，可以将待接入 的VoWiFi网络不支持的第一安全性算法从初始安全性算法中去除，将去除第一安全性算 法的所示初始安全性算法，确定为在接入VoWiFi网络过程中采用的安全性算法。

示例性的，初始安全性算法可以至少包括ENCR_DES，ENCR_3DES加密算法，如果 待接入的VoWiFi网络不支持ENCR_DES，ENCR_3DES，那么可以将ENCR_DES，ENCR _3DES从初始安全性算法中去除，作为待接入的VoWiFi网络的安全性算法。

示例性的，初始安全性算法可以至少包括AUTH_HMAC_SHA1_96整性保护算法，如果待接入的VoWiFi网络不支持AUTH_HMAC_SHA1_96，那么可以将AUTH_HMAC_SHA 1_96从初始安全性算法中去除，作为待接入的VoWiFi网络的安全性算法。

如果当前VoWiFi网络能支持的安全性算法与初始安全性算法不一致，可以将待接入 的VoWiFi网络支持，并且未存在于初始安全性算法的第二安全性算法加入初始安全性算 法，将加入第二安全性算法的所示初始安全性算法，确定为在接入VoWiFi网络过程中采用的安全性算法。

示例性的，初始安全性算法可以不包括ENCR_DES，ENCR_3DES加密算法，如果待 接入的VoWiFi网络支持ENCR_DES，ENCR_3DES，那么可以将ENCR_DES，ENCR_3D ES加入初始安全性算法，作为待接入的VoWiFi网络的安全性算法。

示例性的，初始安全性算法可以不包括AUTH_HMAC_SHA1_96整性保护算法，如果待接入的VoWiFi网络支持AUTH_HMAC_SHA1_96，那么可以将AUTH_HMAC_SHA1_9 6加入初始安全性算法，作为待接入的VoWiFi网络的安全性算法。

如此，基于初始安全性算法进行调整确定待接入的VoWiFi网络的安全性算法，一方 面，可以直接以初始安全性算法作为基准进行调整，提高确定安全性算法的便利性，另一 方面，基于标识信息与安全性算法的对应关系，确定VoWiFi网络能支持的安全性算法，能够采用确定的安全性算法与VoWiFi网络协商安全性算法和/或采用确定的安全性算法与VoWiFi网络进行通信，减少由于UE与VoWiFi网络的安全性算法不一致，产生的VoWi Fi网络注册失败和通信失败等情况，提高通信可靠性。

如图7所示，本示例性实施例提供一种安全性算法确定方法，安全性算法确定方法可 以应用于无线通信的用户设备UE中，所述方法包括：

步骤701：预先存储所述第二安全性算法。

这里，步骤701可以单独实施，也可以与步骤501、和/或步骤502、和/或步骤601结合 实施。

这里，UE中除了存储有初始安全性算法之外，还可以存储有第二安全性算法。

示例性的，UE可以存储IKE(如IKEv2)协议中可能使用的所有安全性算法。如此，可以满足不同VoWiFi网络对安全性算法的需求。减少由于UE中不存在VoWiFi网络能支持的安全性算法，引起的无法注册的情况。

如图8所示，本示例性实施例提供一种安全性算法确定方法，安全性算法确定方法可 以应用于无线通信的用户设备UE中，所述方法包括：

步骤801：向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示 信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

这里，步骤801可以单独实施，也可以与步骤501、和/或步骤502、和/或步骤601、和/或步骤701结合实施。

这里，安全性算法可以是IKE(如IKEv2)协议使用的算法，UE确定待接入的VoWiFi网 络的安全性算法后，可以将安全性算法发送给待接入的VoWiFi网络，发起安全性算法协商。PDG可以从接收的安全性算法中选择部分或全部作为建立IPSec隧道时采用的安全性算法。

在一个实施例中，所述向待接入的所述VoWiFi网络发送安全性指示信息，包括：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议初 始化请求。

如图4所示，UE可以在阶段1(Phase 1)的IKE_SA_INIT-Request消息中携带该确定的安全性算法，与PDG进行协商安全认证协议。PDG可以从接收的安全性算法中选择部分 或全部作为建立IPSec隧道时采用的安全性算法，并通过IKE_SA_INIT-Response消息将选 择的安全性算法发送给UE。

以下结合上述任意实施例提供一个具体示例：

针对一些操作系统，如Android S操作系统之前的Android操作系统，加密算法ENCR _DES，ENCR_3DES，和完整性保护算法AUTH_HMAC_SHA1_96，系统都是默认支持的。

针对另一些操作系统，如Android S操作系统等，由于安全方面考虑，根据协议RFC8 247对以上算法作了调整，操作系统默认已经不支持加密算法ENCR_DES，ENCR_3DES，和完整性保护算法AUTH_HMAC_SHA1_96。

Android S在VoWiFi的注册过程中，会出现注册不上的问题。针对该情况，可以针对 IKEv2协议中的加密、完整性算法配置优化方案，以保证VoWiFi可以正常建立IPSec隧道， 完成VoWiFi的注册。

例如，即在UE侧，如果采用Android S操作系统，可以将VoWiFi的加密算法ENCR_DES，ENCR_3DES删除，并且根据运营商的不同，确定是否删除完整性保护算法AUTH_ HMAC_SHA1_96。

如针对运营商A，UE需要删除完整性保护算法AUTH_HMAC_SHA1_96，才能成功注 册VoWiFi。

其他很多运营商需要根据需求保留完整性保护算法AUTH_HMAC_SHA1_96，才能注册成功。那么UE可以保留完整性保护算法AUTH_HMAC_SHA1_9。

在例如，在某地，运营商B已经不支持IPSEC_CRYPTO_ALGO_3DES，运营商C仍然 是支持IPSEC_CRYPTO_ALGO_3DES的，如果使用相同的配置会出现注册失败的状况。 因此，UE可以根据运营商B和运营商C，具体配置对应的加密算法和/或完整性保护算法

综上，UE可以根据运营商的当前配置，针对运营商进行配置具体的加密算法和/或完 整性保护算法。。

本发明实施例还提供了一种安全性算法确定装置，应用于无线通信的UE中，图9为本发明实施例提供的安全性算法确定装置100的组成结构示意图；如图9所示，装置100 包括：

收发模块110，用于获取待接入的无线语音VoWiFi网络的标识信息；

处理模块120，用于根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系， 确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。

在一个实施例中，所述收发模块110，具体用于至少以下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

在一个实施例中，所述处理模块120，还用于：预先设置初始安全性算法；

所述处理模块120，具体用于：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程 中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

在一个实施例中，所述处理模块120，还用于：

预先存储所述第二安全性算法。

在一个实施例中，所述收发模块110，还用于：

向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

在一个实施例中，所述收发模块110，具体用于：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议 初始化请求。

在示例性实施例中，收发模块110和处理模块120等可以被一个或多个中央处理器(C PU，Central Processing Unit)、图形处理器(GPU，Graphics Processing Unit)、基带处理器(BP，baseband processor)、应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可 编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(F PGA，Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU，Micr oController Unit)、微处理器(Microprocessor)、或其他电子元件实现，用于执行前述 方法。

图10是根据一示例性实施例示出的一种用于安全性算法确定的装置3000的框图。例 如，装置3000可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图10，装置3000可以包括以下一个或多个组件：处理组件3002，存储器3004，电 源组件3006，多媒体组件3008，音频组件3010，输入/输出(I/O)的接口3012，传感器组件3014，以及通信组件3016。

处理组件3002通常控制装置3000的整体操作，诸如与显示，电话呼叫，数据通信，相 机操作和记录操作相关联的操作。处理组件3002可以包括一个或多个处理器3020来执行指 令，以完成上述的方法的全部或部分步骤。此外，处理组件3002可以包括一个或多个模块， 便于处理组件3002和其他组件之间的交互。例如，处理组件3002可以包括多媒体模块，以 方便多媒体组件3008和处理组件3002之间的交互。

存储器3004被配置为存储各种类型的数据以支持在设备3000的操作。这些数据的示例 包括用于在装置3000上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消 息，图片，视频等。存储器3004可以由任何类型的易失性或非易失性存储设备或者它们的 组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)， 可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(RO M)，磁存储器，快闪存储器，磁盘或光盘。

电源组件3006为装置3000的各种组件提供电力。电源组件3006可以包括电源管理系 统，一个或多个电源，及其他与为装置3000生成、管理和分配电力相关联的组件。

多媒体组件3008包括在装置3000和用户之间的提供一个输出接口的屏幕。在一些实施 例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板， 屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传 感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的 边界，而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组 件3008包括一个前置摄像头和/或后置摄像头。当设备3000处于操作模式，如拍摄模式或 视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头 和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件3010被配置为输出和/或输入音频信号。例如，音频组件3010包括一个麦克 风(MIC)，当装置3000处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克 风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器3004或经由通信组件3016发送。在一些实施例中，音频组件3010还包括一个扬声器，用于输出音频信号。

I/O接口3012为处理组件3002和外围接口模块之间提供接口，上述外围接口模块可以 是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件3014包括一个或多个传感器，用于为装置3000提供各个方面的状态评估。 例如，传感器组件3014可以检测到设备3000的打开/关闭状态，组件的相对定位，例如组 件为装置3000的显示器和小键盘，传感器组件3014还可以检测装置3000或装置3000一个组 件的位置改变，用户与装置3000接触的存在或不存在，装置3000方位或加速/减速和装置3 000的温度变化。传感器组件3014可以包括接近传感器，被配置用来在没有任何的物理接 触时检测附近物体的存在。传感器组件3014还可以包括光传感器，如CMOS或CCD图像传 感器，用于在成像应用中使用。在一些实施例中，该传感器组件3014还可以包括加速度传 感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件3016被配置为便于装置3000和其他设备之间有线或无线方式的通信。装置3 000可以接入基于通信标准的无线网络，如Wi-Fi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件3016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，通信组件3016还包括近场通信(NFC)模块，以促进短 程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术， 超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，装置3000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可 编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上 述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包 括指令的存储器3004，上述指令可由装置3000的处理器3020执行以完成上述方法。例如， 非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、 软盘和光数据存储设备等。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明实施例的 其它实施方案。本申请旨在涵盖本发明实施例的任何变型、用途或者适应性变化，这些变 型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本发明实施例未公开的本 技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明实施 例的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明实施例并不局限于上面已经描述并在附图中示出的精确结构， 并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求 来限制。

Claims (14)

1.一种安全性算法确定方法，其特征在于，所述方法包括：

获取待接入的无线语音VoWiFi网络的标识信息；

根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。

2.根据权利要求1所述的方法，其特征在于，所述获取待接入的无线语音VoWiFi网络的标识信息，包括至少以下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

预先设置初始安全性算法；

所述根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，包括：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

预先存储所述第二安全性算法。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

6.根据权利要求5所述的方法，其特征在于，所述向待接入的所述VoWiFi网络发送安全性指示信息，包括：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议初始化请求。

7.一种安全性算法确定装置，其特征在于，所述装置包括：

收发模块，用于获取待接入的无线语音VoWiFi网络的标识信息；

处理模块，用于根据所述VoWiFi网络的所述标识信息与安全性算法的对应关系，确定在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述安全性算法包括：加密算法和/或完整性算法。

8.根据权利要求7所述的装置，其特征在于，所述收发模块，具体用于至少以下之一：

从用户身份识别模块SIM获取所述标识信息；

接收所述VoWiFi网络发送的所述标识信息。

9.根据权利要求7所述的装置，其特征在于，所述处理模块，还用于：预先设置初始安全性算法；

所述处理模块，具体用于：

将去除第一安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述第一安全性算法，为所述VoWiFi网络不支持的安全性算法；

将加入第二安全性算法的所示初始安全性算法，确定为在接入所述VoWiFi网络过程中采用的安全性算法，其中，所述第二安全性算法，为所述VoWiFi网络支持，并且所述初始安全性算法不具有的安全性算法。

10.根据权利要求9所述的装置，其特征在于，所述处理模块，还用于：

预先存储所述第二安全性算法。

11.根据权利要求7至10任一项所述的装置，其特征在于，所述收发模块，还用于：

向待接入的所述VoWiFi网络发送安全性指示信息，其中，所述安全性指示信息，用于指示确定的在接入所述VoWiFi网络过程中采用的所示安全性算法。

12.根据权利要求11所述的装置，其特征在于，所述收发模块，具体用于：

向待接入的所述VoWiFi网络发送携带所述安全性指示信息的互联网密钥交换协议初始化请求。

13.一种电子设备，包括处理器、存储器及存储在存储器上并能够有所述处理器运行的可执行程序，其特征在于，所述处理器运行所述可执行程序时执行如权利要求1至6任一项所述安全性算法确定方法的步骤。

14.一种存储介质，其上存储由可执行程序，其特征在于，所述可执行程序被处理器执行时实现如权利要求1至6任一项所述安全性算法确定方法的步骤。