WO2010015134A1 - 协议配置选项传输方法及系统、用户终端 - Google Patents

Description

协议配置选项传输方法及系统、 用户终端 技术领域 本发明涉及移动通信技术领域，尤其涉及一种协议配置选项传输方法及 系统、 用户终端。 背景技术 系统架构演进 ( System Architecture Evolution , 简称为 S ΑΕ ) 为第三 4弋 合作伙伴计划 ( 3rd Generation Partnership Project, 简称为 3GPP ) 的下一 4弋 移动无线网络， 在 S AE系统中， 移动管理实体（ Mobility Management Entity , 简称为 MME ) 和用户终端 ( User Equipment, 简称为 UE )之间通过非接入 层 （Non-Access Stratum, 简称为 NAS ) 消息完成移动性管理、 会话管理等 功能。 为了保证 NAS消息的安全传输， 增加 NAS消息的安全功能， 在 SAE 系统中增加了 NAS消息的安全功能， 即， 对 NAS消息进行加密和完整性保 护， 其中， 加密的目的是防止 NAS 消息被非法截获， 完整性保护的目的是 防止 NAS消息被篡改或破坏。 MME和 UE之间的 NAS安全关联是通过 NAS 安全模式控制过程 ( NAS Security Mode Command Procedure ) 建立的， NAS 安全控制过程主要包括 MME向 UE发送 NAS安全模式命令以及 UE向 NAS 回应 NAS安全模式响应消息。 十办议配置选项 （ Protocol Configure Option, 简称为 PCO )是 UE和外部 分组数据网络 ( Packet Data Network , 简称为 PDN )之间传递信息的十办议配 置参数或附加的参数信息， 由于 PCO中包含的某些信息是机密性的， 比如密 码认证十办议 ( Password Authentication Protocol, 简称为 PAP ) /握手认证十办议 ( Challenge Handshake Authentication Protocol, 简称为 CHAP ) 的用户名和 密码信息等， 因此带有机密信息的 PCO必须进行安全性保护。 在 UE接入网络之前， UE必须将 PCO信息传输给 MME, 以便 MME 进行鉴权等操作， 目前， PCO的传递是在 UE和 MME之间的 NAS安全关联 建立完成之后进行的。 图 1示出了现有技术中 NAS安全的建立及 PCO的传 输过程流程图， 如图 1所示， 该流程包括以下处理过程 （步骤 S101 至步骤 S109 ): 步骤 S101 , UE向 MME发送初始 NAS消息， 该 NAS 消息中携带有 UE的所有安全能力， 并且， 该消息中还携带了加密的 PCO传输标记以通知 MME, PCO需要力。密传送； 步骤 S102, MME接收到上述初始 NAS消息之后， 通过该初始 NAS消 息与 UE进行鉴权和密钥协商过程； 步骤 S103 , MME向 UE发送 NAS安全模式命令消息， 该消息中携带 有选择的 NAS安全算法、 密钥组标识 ( Key Set Identifier, 简称为 KSI ) 等 信息， 并且， 该消息已进行完整性保护； 具体地， MME在接收到 UE的初始 NAS消息后， 选择 NAS安全算法， 在后续向 UE发送 NAS消息之前， 首先对待发送的 NAS消息进行完整性保 护， 并且， MME在将 NAS安全算法和 KSI等信息携带在 NAS安全模式命 令消息中发送给 UE后， 后续接收到的来自 UE的 NAS 消息为经过加密的 NAS消息， 因此， 在发送 NAS安全模式命令消息后， MME开始等待接收加 密的 NAS消息； 步骤 S104, UE接受上述 NAS安全模式命令消息中携带的 NAS安全算 法， 并对该 NAS安全模式命令消息进行完整性检查成功； 具体地， UE获取 MME发送来的 NAS安全算法及 KSI等信息后， 开 始准备利用该 NAS安全算法及 KSI,对后续发送的消息进行加密和完整性保 护； 步骤 S105 , UE利用 NAS安全算法和 KSI等信息对 NAS安全模式进行 加密和完整性保护后， 将该 NAS安全模式完成消息发送给 MME; 步骤 S106, MME解密该 NAS安全模式完成消息， 并对该消息进行完 整性检查通过后， 向 UE发送 PCO请求消息， 该 PCO请求消息经过加密和 完整性保护； 具体地， MME接收到 UE发送的 NAS安全模式完成消息后， 知道 UE 已经准备好接收加密的 NAS消息， 因此，开始准备对后续向 UE发送的 NAS 消息进行力。密， 因 匕， 在 MME向 UE发送 PCO请求消息之前， MME先对 该 PCO请求消息进行加密和完整性保护； 步骤 S107, UE接收到 PCO请求消息， 进行解密和完整性检查， 在检 查通过后， 向 MME返回 PCO响应消息， 该响应消息中携带有 PCO信息， 并且， 该响应消息经过了加密和完整性保护； 步骤 S108 , MME解密该 PCO响应消息， 并对该消息进行完整性检查， 检查通过后， MME获取 PCO信息； 步骤 S 109 , MME继续 UE接入处理， 最后向 UE发送经过加密和完整 性保护的 NAS接受消息。 通过上述的流程可以看出， 在现有技术中， 由于需要保证 PCO信息的 安全性， 因而在 NAS安全模式控制过程结束后， 利用单独的两条 NAS消息 —— PCO请求消息和 PCO请求响应消息， 将 UE的 PCO信息传输到 MME, 这种方法增力口了 UE和 MME之间的信令交互， 从而造成 UE接入网络的延 迟， 以及网络资源的浪费。 发明内容 考虑到相关技术中存在的利用单独的两条 NAS消息将 UE的 PCO信息 传输到 MME造成 UE接入网络的延迟、 以及网络资源浪费的问题而故出本 发明， 为此， 本发明的主要目的在于提供一种改进的协议配置选项传输方案， 以解决相关技术中的上述问题至少之一。 为达到上述目的， 根据本发明的一方面， 提供了一种协议配置选项传输 方法。 根据本发明的协议配置选项传输方法包括：用户终端接收到移动管理实 体发送的非接入层安全模式命令消息后， 向该移动管理实体发送非接入层安 全模式完成消息， 其中， 该非接入层安全模式完成消息中携带有协议配置选 项； 移动管理实体从接收到的非接入层安全模式完成消息中获取协议配置选 项。 优选地，在用户终端接收移动管理实体发送的非接入层安全模式命令消 息之前， 该方法还可以包括： 用户终端向移动管理实体发送携带有协议配置 选项传输标记的初始非接入层消息； 移动管理实体获取初始非接入层消息携 带的协议配置选项传输标记； 移动管理实体才艮据协议配置选项传输标记在安 全模式命令消息中携带协议配置选项请求标记。 优选地，用户终端向移动管理实体发送非接入层安全模式完成消息的操 作具体可以包括： 用户终端才艮据1"办议配置选项请求标 i己， 向移动管理实体发 送非接入层安全模式完成消息， 其中， 非接入层安全模式完成消息中携带有 十办议配置选项。 优选地，用户终端向移动管理实体发送非接入层安全模式完成消息的操 作具体可以包括： 用户终端才艮据预先设定的规则向移动管理实体发送携带有 协议配置选项的非接入层安全模式完成消息。 优选地，非接入层安全模式命令消息中携带有非接入层安全算法及密钥 组标识； 在用户终端向移动管理实体发送非接入层安全模式完成消息之前， 该方法还包括： 用户终端利用非接入层安全算法及密钥组标识， 对非接入层 安全模式完成消息进行加密和完整性保护。 优选地，移动管理实体从接收到的非接入层安全模式完成消息中获取协 议配置选项具体包括：移动管理实体在接收到非接入层安全模式完成消息后， 才艮据非接入层安全算法及密钥组标识对非接入层安全模式完成消息进行解 密， 获取协议配置选项信息。 才艮据本发明的另一方面，提供了一种用户终端，用于发送协议配置选项。 才艮据本发明的用户终端包括：接收模块用于接收移动管理实体发送的非 接入层安全模式命令消息； 发送模块用于向移动管理实体发送非接入层安全 模式完成消息， 其中，该非接入层安全模式完成消息中携带有协议配置选项。 优选地， 该用户终端可以进一步包括： 安全模块， 用于在发送模块发送 非接入层安全模式完成消息之前， 对非接入层安全模式完成消息进行加密和 完整性保护。 根据本发明的又一方面， 提供了一种协议配置选项传输系统。 才艮据本发明的协议配置选项传输系统包括：移动管理实体用于向用户终 端发送非接入层安全模式命令消息； 用户终端用于在接收到移动管理实体的 所述非接入层安全模式命令消息后， 向移动管理实体发送携带有协议配置选 项的非接入层安全模式完成消息。 通过本发明的上述至少一个方案， 通过在 UE向 MME返回的安全模式 完成消息中携带 PCO信息， 解决了相关技术中存在的利用单独的两条 NAS 消息将 UE的 PCO信息传输到 MME造成 UE接入网络的延迟、 以及网络资 源浪费的问题， 可以减少 UE与 MME之间的信令交互， 以及减少网络资源 的浪费。 本发明的其它特征和优点将在随后的说明书中阐述， 并且， 部分地从说 明书中变得显而易见， 或者通过实施本发明而了解。 本发明的目的和其他优 点可通过在所写的说明书、 权利要求书、 以及附图中所特别指出的结构来实 现和获得。 附图说明 附图用来提供对本发明的进一步理解， 并且构成说明书的一部分， 与本 发明的实施例一起用于解释本发明， 并不构成对本发明的限制。 在附图中： 图 1为根据现有技术的 NAS安全的建立及 PCO的传输过程流程图； 图 2为才艮据现有技术的 SAE系统的架构图； 图 3为根据本发明实施例的 PCO传输系统的结构框图； 图 4为才艮据本发明实施例的 PCO传输方法的流程图； 图 5为本发明实施例一的实施流程图； 图 6为本发明实施例二的实施 ¾ u程图； 图 7为才艮据本发明实施例的用户终端的结构框图。 具体实施方式 功能相无述 考虑到相关技术中存在的在 NAS安全模式控制过程结束后， 利用单独 的两条 NAS消息将 UE的 PCO信息传输到 MME造成 UE接入网络的延迟、 以及网络资源浪费的问题，本发明实施例提供了一种改进的 PCO信息传输方 案， 该方案通过在 UE向 MME返回的 NAS安全模式完成消息中携带 PCO 信息， 能够将 PCO信息传输给 MME, 其中， NAS安全模式完成消息是经过 加密和完整性保护的。 以下结合附图对本发明的优选实施例进行说明， 应当理解， 此处所描述 的优选实施例仅用于说明和解释本发明， 并不用于限定本发明。 需要说明的 是， 如果不冲突， 本发明实施例以及实施例中的特征可以相互组合。 为了便于理解， 在对本发明实施例进行说明之前， 首先对本发明实施例 涉及的 SAE系统进行简要的描述。

SAE系统的架构如图 2所示， 主要包含如下网元： 无线网络控制器 （ Radio Network Controller, 简称为 RNC ), 通过 Iu接 口与月艮务通用分组无线业务支撑节点 ( Serving General packet radio service support node, 简称为 SGSN ) 连接。 演进节点（ Evolved NodeB , 简称为 E-NodeB；), 用于为终端接入提供无 线资源， 通过 S 1-U接口与服务网关 （Serving GW ) 连接， 并通过 S1-MME 与 MME。 归属用户月艮务器 （Home Subscriber Server, 简称为 HSS) , 用于永久存 储用户签约数据， 其通过 S6接口与 MME连接， 并通过 Gr接口与 SGSN连 接。 分组数据网 （ Packet Data Network, 简称为 PDN ), 用于为用户提供业 务， 通过 Gi接口与 PDN GW ( PDN网关） 连接， 并通过 Rx接口与策略和 计费规则功能实体 ( Policy and Charging Rule Functionality , 简称为 PCRF ) 连接， 而 PCRF通过 S7接口与 PDN GW连接。 其中， 网元月艮务网关（ Serving Gateway , 简称为 Serving GW或 S-GW ), 分组数据网网关（ Packet Data Network Gateway ,简称为 PDN GW或 P-GW ). 策略和计费规则功能实体 ( Policy and Charging Rule Functionality, 简称为 PCRF ) 和 MME 构成了演进的分组核心网 （Evolved Packet Core , 简称为 E-Packet Core ), 其可以减少延迟， 允许更多的无线接入系统接入。 下面进一 步对上述各网元进行描述。

Serving GW是用户面实体， 用于处理用户面数据路由、 终结处于空闲 状态的 UE的下行数据、 管理和存储 UE的 SAE承载 （bearer ) 上下文， 如 IP承载业务参数和网络内部路由信息等。 Serving GW为 3GPP系统内部用户 面的锚点， 一个用户在一个时刻只能有一个 Serving GW, 其通过 S5接口与 PDN GW连接， 并通过 Sll接口与 MME连接。

PDN GW负责 UE接入 PDN的网关， 分配用户 IP地址， 同时是 3GPP 和非 3GPP接入系统的移动性 4苗点。用户在同一时刻能够接入多个 PDN GW。 在物理上， Serving GW和 PDN GW可能合一。 PCRF主要用于根据业务信息和用户签约信息以及运营商的配置信息， 产生控制用户数据传递的服务质量（ Quality of Service, 简称为 QoS )规则以 及计费规则。 该功能实体也可以用于控制接入网中承载的建立和释放。

MME为控制面功能实体， 用于临时存储用户数据的月艮务器， 负责管理 和存储 UE上下文（比如 UE/用户标识， 移动性管理状态， 用户安全参数等）， 为用户分配临时标识， 当 UE驻留在其跟踪区域或者其所属网络时负责对该 用户进行鉴权。 MME通过 S3接口与 SGSN连接， 并通过 S 11接口与服务网 关连接。 系统实施例 根据本发明实施例， 首先提供了一种 PCO传输系统， 用于实现 PCO的 传输， 该系统可以在如图 2所示的网络架构下运行。 图 3为根据本发明实施例的 PCO传输系统的结构框图， 如图 3所示， 才艮据本发明实施例的 PCO传输系统包括： 移动管理实体 ( MME ) 32以及通 过网络与该 MME 32连接的用户终端 （UE ) 34。 以下结合附图进一步描述 上述各个实体。 MME 32用于向 UE 34发送 NAS安全模式命令消息； 其中， 该 NAS 安全模式命令消息中携带有非接入层 （NAS ) 安全算法及密钥组标识；

UE 34通过网络与 MME 32连接， 用于在接收到 MME 32的 NAS安全 模式命令消息后， 将 PCO携带在 NAS安全模式完成消息发送级 MME 32。 为了保证 PCO的安全性，在本发明实施例中利用 NAS安全模式命令中 携带的 NAS安全算法及密钥组标识， 对 NAS安全模式完成消息进行加密和 完整性保护， 然后再将经过加密和完整性保护的 NAS 安全模式完成消息发 送给 MME 32。 其中， NAS安全模式命令消息是用于指示 UE 34与 MME 32进行安全 关联， UE 34在接收到该消息后，如果该 UE 34可以接受该消息中携带的 NAS 安全算法， 则在后续与 MME 32进行交互的过程中， 对发送给 MME 32的消 息进行加密和完整性保护。 NAS安全模式完成消息是 UE 34对 NAS安全模 式命令消息的响应， 用以告 口 MME 32, UE 34已接》 NAS安全算法及 KSI 等信息， MME 32可以对后续向 UE 34发送的消息进行加密。 利用 #居本发明实施例的上述 PCO传输系统， 可以减少传输 PCO 时 MME与 UE之间的信令交互。 方法实施例 根据本发明实施例， 还提供了一种 PCO传输方法， 该方法可以使用如 图 3所示 PCO传输系统实现。 图 4为才艮据本发明实施例的 PCO传输方法的流程图， 需要说明的是， 在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统 中执行， 并且， 虽然在流程图中示出了逻辑顺序， 但是在某些情况下， 可以 以不同于此处的顺序执行所示出或描述的步骤。 如图 4所示， 才艮据本发明实施例的 PCO传输方法主要包括以下处理过 程 (步骤 S402 -步骤 S406 ): 步骤 S402, UE接收 MME发送的 NAS安全模式命令消息， 其中， 该 消息中携带有 NAS安全算法及密钥组标识； 步骤 S404, UE向 MME发送 NAS安全模式完成消息， 其中， 该非接 入层安全模式完成消息中携带有 PCO; 步骤 S406, MME从接收到的 NAS安全模式完成消息中获取用户的 PCO 信息。 以下进一步描述上述各个处理的细节。

(一） 步骤 S402 对于步骤 S402 的处理的触发可以通过如下方式来实现： UE 向 MME 发送初始 NAS消息， 该消息中可以携带加密的 PCO传输标记， 也可以不携 带 PCO传输标记； MME在接收到该初始 NAS消息后， 向 UE发送 NAS安 全模式命令消息， 如果接收到的初始 NAS消息中携带有 PCO传输标记， 则 MME在发送给 UE的 NAS安全模式命令消息中携带 PCO请求标记， 并且， MME将选择的 NAS安全算法和 KSI等信息也携带在 NAS安全模式命令消 息发送给 UE, 指示 UE进行安全关联。

UE接收到 MME的 NAS安全模式命令消息后，从中读取其携带的信息， 确定可以接受 NAS安全模式命令消息中携带的 NAS安全算法和 KSI等信息。 (二） 步骤 S404 在具体实施过程中， UE # 居以下两种方式，在 NAS安全模式完成消息 中携带 PCO信息：

UE在接收到来自 MME的 NAS安全模式命令消息后，如果该消息中携 带有 PCO请求标记， 则 UE才艮据该 PCO请求标记， 将 PCO携带在响应 NAS 安全模式命令消息的 NAS安全模式完成消息中， 并利用从 NAS安全模式命 令消息中读取的 NAS安全算法及 KSI等信息， 对 NAS安全模式完成消息进 行加密和完整性保护， 然后再将该 NAS安全模式完成消息发送给 MME。 如果 UE接收到的来自 MME的 NAS安全模式命令消息中携带没有 PCO 请求标记， 则 UE才艮据预先的设定在 NAS安全模式完成消息中 PCO携带。 由于 MME发送的 NAS安全模式命令消息中没有携带有 PCO请求标记， 为 了使 UE能在 NAS安全模式完成消息中携带 PCO信息， 需要预先设置一个 启动机制， 使 UE将 PCO信息携带在发送给 MME的 NAS安全模式完成消 息之中。 对于上述的两种实现方式，在下文中将分别结合实施例一和实施例二进 行描述。

(三） 步骤 S406

MME对接收到的 NAS安全模式完成消息进行解密， 然后进行完整性 检查， 检查通过后， MME从该消息中获取 PCO信息。 下面以 UE发起附着过程为例对上述方法的具体应用进行说明。 实施例一 该实施例中， 在 UE向 MME发送的附着请求中携带有加密的 PCO传 输标记。 该实施例的主要流程如图 5 所示， 主要包括以下处理 （步骤 S502 至步骤 S516 ): 步骤 S502 , UE向 MME发起附着请求消息， 该消息中包含 UE的所有 安全能力， 并且， 该消息中还携带有加密的 PCO传输标记， 该 PCO传输标 i己用于通知 MME, PCO需要力。密传送； 步骤 S504 , MME收到 UE的附着请求消息后， 与 UE之间进行鉴权和 密钥协商； 步骤 S506, MME对 NAS安全模式命令消息进行完整性保护后， 向 UE 发送该 NAS安全模式命令消息， 该消息中携带有 MME选择的 NAS安全算 法、 KSI以及 PCO请求标记， 其中， PCO请求标记用于指示 UE在后续的响 应消息中携带 PCO信息； 步骤 S508 , UE接收到 MME的 NAS安全模式命令消息后， 利用 MME 在 NAS安全模式命令消息中携带的 NAS安全算法、 KSI等信息建立和 MME 之间的 NAS安全关联； 步骤 S510 , UE根据 NAS安全模式命令消息中携带的 PCO请求标记， 在给 MME发送的 NAS安全模式完成消息中携带 PCO信息，并利用 NAS安 全模式命令消息中携带的 NAS安全算法、 KSI等信息， 对 NAS安全模式完 成消息进行加密和完整性保护； 步骤 S512, UE向 MME发送经过加密和完整性保护的 NAS安全模式 完成消息， 该消息中携带有 PCO信息； 步骤 S514, MME解密该 NAS安全模式完成消息， 并对该消息进行完 整性检查， 检查通过后， MME获取该 NAS安全模式完成消息中携带的 PCO 信息； 步骤 S516, 继续进行附着过程处理。 实施例二 该实施例中，在 UE向 MME发送的附着请求中没有携带有加密的 PCO 传输标记。 该实施例的主要流程如图 6所示， 主要包括以下处理（步骤 S602 至步骤 S616 ): 步骤 S602 , UE向 MME发起附着请求消息， 该消息中包含 UE的所有 安全能力； 步骤 S604 , MME收到 UE的附着请求消息后， 与 UE之间进行鉴权和 密钥协商； 步骤 S606 , MME向 UE发送 NAS安全模式命令消息， 该消息中携带 有 MME选择的 NAS安全算法、 KSI; 步骤 S608 , UE接收到 MME的 NAS安全模式命令消息后， 利用 MME 在 NAS安全模式命令消息中携带的 NAS安全算法、 KSI等信息建立和 MME 之间的 NAS安全关联； 步骤 S610, UE根据预先的设定， 在给 MME发送的 NAS安全模式完 成消息中携带 PCO信息，并利用 NAS安全模式命令消息中携带的 NAS安全 算法、 KSI等信息， 对 NAS安全模式完成消息进行加密和完整性保护； 由于 MME发送的 NAS安全模式命令消息中， 没有携带有 PCO请求标 记， 为了使 UE能在 NAS安全模式完成消息中携带 PCO信息， 需要预先设 置一个启动机制， 在 UE发送 NAS安全模式完成消息之前， 将 PCO信息携 带在该 NAS安全模式完成消息中； 步骤 S612, UE向 MME发送经过加密和完整性保护的 NAS安全模式 完成消息， 该消息中携带有 PCO信息； 步骤 S614, MME解密该 NAS安全模式完成消息， 并对该消息进行完 整性检查， 检查通过后， MME获取该 NAS安全模式完成消息中携带的 PCO 信息； 步骤 S616, 继续进行附着过程处理。 根据本发明实施例的上述 PCO传输方法， 将 PCO信息携带在 NAS安 全模式完成消息中将 PCO信息发送 MME, 可以减少 PCO传输过程中 MME 与 UE之间的信令交互， 缩短 UE接入网络的时间。 装置实施例 根据本发明实施例， 还提供了一种用户终端， 用以实现上述 PCO传输 方法。 图 7为根据本发明实施例的 UE的结构框图， 如图 7所示， 才艮据本发明 实施例的 UE包括： 接收模块 72和发送模块 74。 以下进一步结合附图对上 述各模块进行描述。 接收模块 72用于接收 MME发送的 NAS安全模式命令消息， 其中， 该 NAS安全模式命令消息中携带有 NAS安全算法及 KSI; 发送模块 74用于向 MME发送 NAS安全模式完成消息，其中，该 NAS 安全模式完成消息中携带有该用户终端的 PCO信息。 在具体实施过程中， 为了保证 PCO信息的安全， 在发送模块 74发送 NAS安全模式完成消息之前， 先对该消息进行加密和完整性保护， 因此， 该 用户终端还包括： 安全模块， 与接收模块 72连接， 用于在发送模块 74发送 NAS安全模式完成消息之前， 对该 NAS安全模式完成消息进行加密和完整 性保护。 利用本实施例提供的 UE,可以在没有接收到 MME发送的 PCO请求消 息， 通过将 PCO信息携带在 NAS安全模式完成消息中， 将 PCO信息发送给 MME。 如上所述， 借助本发明提供的技术方案， 通过在 UE接收到来自 MME 的 NAS安全模式命令消息后，将 PCO信息携带在 NAS安全模式完成消息中， 并对该 NAS安全模式完成消息进行加密和完整性保护后， 发送给 MME, 从 而保证了 PCO传输的安全性，并且，可以减少 UE与 MME之间的信令交互， 从而减少了网络资源的浪费， 节约 UE接入网络的时间， 提高了 UE接入网 络的。 以上所述仅为本发明的优选实施例而已， 并不用于限制本发明， 对于本 领域的技术人员来说， 本发明可以有各种更改和变^^ 凡在本发明的^^申和 原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护 范围之内。

Claims

权 利 要 求 书

1. 一种协议配置选项传输方法， 其特征在于， 包括：

用户终端接收到移动管理实体发送的非接入层安全模式命令消息 后， 向所述移动管理实体发送非接入层安全模式完成消息， 其中， 所述 非接入层安全模式完成消息中携带有协议配置选项；

所述移动管理实体从接收到的所述非接入层安全模式完成消息中 获取所述协议配置选项。

2. 根据权利要求 1所述的方法， 其特征在于， 在用户终端接收移动管理实 体发送的非接入层安全模式命令消息之前， 所述方法还包括：

所述用户终端向所述移动管理实体发送携带有协议配置选项传输 标记的初始非接入层消息；

所述移动管理实体获取所述初始非接入层消息携带的所述协议配 置选项传输标记；

所述移动管理实体才艮据所述协议配置选项传输标记在所述安全模 式命令消息中携带协议配置选项请求标记。

3. 根据权利要求 2所述的方法， 其特征在于， 所述用户终端向所述移动管 理实体发送非接入层安全模式完成消息包括： 所述用户终端根据所述协议配置选项请求标记，向所述移动管理实 体发送所述非接入层安全模式完成消息， 其中， 所述非接入层安全模式 完成消息中携带有所述协议配置选项。

4. 根据权利要求 1所述的方法， 其特征在于， 所述用户终端向所述移动管 理实体发送非接入层安全模式完成消息包括： 所述用户终端才艮据预先设定的规则向所述移动管理实体发送携带 有所述协议配置选项的非接入层安全模式完成消息。

5. 才艮据权利要求 1所述的方法， 其特征在于，

所述非接入层安全模式命令消息中携带有非接入层安全算法及密 钥组标识； 在所述用户终端向所述移动管理实体发送非接入层安全模式完成 消息之前， 所述方法还包括：

所述用户终端利用所述非接入层安全算法及密钥组标识，对所述非 接入层安全模式完成消息进行加密和完整性保护。

6. 根据权利要求 5所述的方法， 其特征在于， 所述移动管理实体从接收到 的所述非接入层安全模式完成消息中获取所述协议配置选项具体包括： 所述移动管理实体在接收到所述非接入层安全模式完成消息后，根 据所述非接入层安全算法及密钥组标识对所述非接入层安全模式完成消 息进行解密， 获取所述协议配置选项信息。

7. 一种用户终端， 其特征在于， 包括：

接收模块，用于接收移动管理实体发送的非接入层安全模式命令消 息；

发送模块，用于向所述移动管理实体发送非接入层安全模式完成消 息， 其中， 所述非接入层安全模式完成消息中携带有协议配置选项。

8. 根据权利要求 7所述的用户终端， 其特征在于， 所述用户终端进一步包 括：

安全模块，用于在所述发送模块发送所述非接入层安全模式完成消 息之前， 对所述非接入层安全模式完成消息进行加密和完整性保护。

9. 一种协议配置选项传输系统， 包括移动管理实体和用户终端， 其特征在 于，

所述移动管理实体，用于向所述用户终端发送非接入层安全模式命 令消息；

用户终端，用于在接收到所述移动管理实体的所述非接入层安全模 式命令消息后， 向所述移动管理实体发送携带有协议配置选项的非接入 层安全模式完成消息。