WO2010111964A1 - 安全算法选择处理方法与装置、网络实体及通信系统 - Google Patents

安全算法选择处理方法与装置、网络实体及通信系统 Download PDF

Info

Publication number
WO2010111964A1
WO2010111964A1 PCT/CN2010/071522 CN2010071522W WO2010111964A1 WO 2010111964 A1 WO2010111964 A1 WO 2010111964A1 CN 2010071522 W CN2010071522 W CN 2010071522W WO 2010111964 A1 WO2010111964 A1 WO 2010111964A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
security algorithm
list
network entity
supported
Prior art date
Application number
PCT/CN2010/071522
Other languages
English (en)
French (fr)
Inventor
张爱琴
陈璟
杨义
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to MX2011010433A priority Critical patent/MX2011010433A/es
Priority to BRPI1015037A priority patent/BRPI1015037A2/pt
Priority to EP10758066.4A priority patent/EP2416521B1/en
Publication of WO2010111964A1 publication Critical patent/WO2010111964A1/zh
Priority to US13/251,595 priority patent/US8898729B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Definitions

  • TECHNICAL FIELD The present invention relates to communication technologies, and more particularly to a security algorithm selection processing method and apparatus, a network entity, and a communication system.
  • BACKGROUND OF THE INVENTION Long Term Evolve (LTE) is the next evolution target of the mobile broadband network standard defined by the Third Generation Partnership Project (3GPP), supporting the paired spectrum. And non-paired frequency operations enable efficient use of existing and future wireless bands. As shown in FIG.
  • E-UTRAN Evolved UMTS Terrestrial Radio Access Network
  • eNB Evolved NodeB
  • MME mobility management entity
  • EPC Evolved Packet Core
  • S-GW Serving Gateway
  • FIG. 2 it is a schematic diagram of a security architecture of an LTE System Architecture Evolution (LTE-SAE) system.
  • LTE-SAE LTE System Architecture Evolution
  • the LTE-SAE system has the following two layers of security protection: One layer is an access layer (Access Stratum, hereinafter referred to as AS) between a user equipment (User Equipment, hereinafter referred to as UE) and an eNB, and is mainly used for UE and The user data of the Radio Resource Control (hereinafter referred to as RRC) signaling and the User Plane (hereinafter referred to as UP) are secured by the eNB, including cryptographic protection and integrity protection of the RRC signaling.
  • RRC Radio Resource Control
  • UP User Plane
  • NAS non-access stratum
  • the capabilities of the UE include a UE radio capability and a UE network capability.
  • the UE air interface capability is used between the UE and the eNB, and is mainly embodied in the AS security algorithm list supported by the UE for the AS. It is assumed that the set of algorithms in the AS security algorithm list is represented as ⁇ A ⁇ .
  • the UE network capability is used between the UE and the MME, and includes the UE's security capability on the NAS, which is embodied in a list of NAS security algorithms supported by the NAS, assuming that the set of algorithms in the NAS security algorithm list is represented as ⁇ B ⁇ .
  • the UE When the security mode of the AS and the NAS is started, the UE reports the AS security algorithm ⁇ A ⁇ and the NAS security algorithm ⁇ B ⁇ to the network entity eNB and the MME respectively; assume that the security algorithm list indicating the eNB's own security algorithm support capability is ⁇ a ⁇ , indicating The security algorithm list of the MME self-security algorithm support capability is ⁇ b ⁇ , and the eNB selects the AS security algorithm from ⁇ A ⁇ ⁇ ⁇ a ⁇ , including: RRC encryption algorithm, namely: Evolved Packet System, The following is abbreviated as: EPS) AS encryption algorithm (EPS AS Encryption Algorithm, hereinafter referred to as EAEA), RRC integrity protection algorithm, namely: EPS AS Integrity Algorithm (EPS Asia Integrity Algorithm, hereinafter referred to as EAIA), And the user plane encryption algorithm, namely: EPS User-plan Encryption Algorithm (hereinafter referred to as: EUEA),
  • the security algorithm of the AS selected by the eNB may be the same as the security algorithm of the NAS selected by the MME; and the list of AS security algorithms in the UE includes the security algorithm of the RRC signaling and the security algorithm of the UP,
  • the security algorithm of the RRC signaling selected according to the prior art is identical to the security algorithm of the UP.
  • the network entity eNB and the MME cannot select the security algorithm of the corresponding AS and the security algorithm of the NAS based on different data types, service types, and user requirements, and therefore cannot be based on different data types, service types, and users.
  • the demand carries different security protections for the corresponding business. Summary of the invention
  • the purpose of the embodiments of the present invention is to provide a security algorithm selection processing method and apparatus, a network entity, and a communication system, so as to select different security algorithms for different services for security protection.
  • the security algorithm list supported by the user terminal and/or the network entity is separately set according to different security protection requirements, or the user terminal and the security algorithm list supported by the network entity are respectively used to represent the user terminal and the network entity. Security capabilities.
  • the first obtaining module is configured to acquire security protection information of the service request message sent by the user terminal begging;
  • a first selection module configured to select, according to a security protection requirement of the service request message, a security algorithm from a list of security algorithms supported by the user terminal and the network entity; the security algorithm list supported by the user terminal and/or the network entity is based on Different security protection requirements are respectively set, or the user terminal and the security algorithm list supported by the network entity are respectively used to indicate the security capability of the user terminal and the network entity.
  • a communication system includes a network entity, and further includes a security algorithm selection processing device, configured to acquire a security protection requirement of a service request message sent by the user terminal, and according to a security protection requirement corresponding to the service request message. And selecting a security algorithm from the list of security algorithms supported by the user terminal and the network entity; the security algorithm list supported by the user terminal and/or the network entity is separately set according to different security protection requirements, or the user terminal and the The list of security algorithms supported by the network entity is used to indicate the security capabilities of the user terminal and the network entity, respectively.
  • the security algorithm selection processing method, the security algorithm selection processing device, and the communication system provided by the foregoing embodiments of the present invention, because the user terminal and/or the network entity, for example, the eNB and the MME, the list of supported security algorithms are respectively based on different security protection requirements.
  • different security algorithms can be selected according to the security protection requirements of different service request messages, so as to perform different security protections on the corresponding services, which not only improves the security of the service, but also comprehensively considers the complexity of each algorithm in the communication system.
  • the overhead is used to improve the performance of the communication system while effectively protecting the service.
  • a first storage module configured to store a list of security algorithms supported by the user terminal, where the security algorithm list is separately set or used to indicate the security capability of the user terminal according to different security protection requirements;
  • a second obtaining module configured to obtain a security algorithm list from the first storage module, or query a security protection requirement of the service request message, and obtain the security protection requirement from the first storage module Find a list of corresponding security algorithms
  • a first sending module configured to generate and send a service request message to the network entity, where the service request message includes a list of security algorithms acquired by the second acquiring module;
  • the first receiving module is configured to receive a security algorithm returned by the network entity, where the security algorithm selects from a security algorithm list supported by the user terminal and the network entity according to the security protection requirement of the service request message.
  • a second storage module configured to store a security algorithm list or a security algorithm selection policy supported by the network entity, where the security algorithm list is separately set or used to represent a security capability of the network entity according to different security protection requirements, and the security algorithm selects a policy. Based on the security algorithm list settings supported by the network entity;
  • a second receiving module configured to receive a service request message sent by the user terminal, where the service request message includes a list of security algorithms supported by the user terminal;
  • a second selection module configured to: according to the security algorithm list or the security algorithm selection policy stored in the second storage module, and the security algorithm list in the service request message, a list of security algorithms supported by the user terminal and the network entity Select the security algorithm corresponding to the security protection requirement;
  • a second sending module configured to send the security algorithm selected by the second selecting module to the user terminal.
  • Another communication system provided by the embodiment of the present invention includes a network entity, where the network entity stores a security algorithm list or a security algorithm selection policy supported by the network entity, and the security algorithm list is separately set or used according to different security protection requirements. Representing the security capability of the network entity, the security algorithm selection policy is based on a security algorithm list setting supported by the network entity;
  • the network entity is configured to receive a service request message sent by the user terminal, where the service request message includes a list of security algorithms supported by the user terminal or a security algorithm list corresponding to a security protection requirement of the service request message, according to the network entity support.
  • Security algorithm list or security calculation a method for selecting a security algorithm corresponding to the security protection request from the list of security algorithms supported by the user terminal and the network entity, and sending the selected security algorithm to the security algorithm list User terminal.
  • the list of supported security algorithms is separately set based on different security protection requirements due to the user terminal and/or the network entity, and the user terminal supports all of the supported
  • the network entity may select a security corresponding to the security protection requirement of the service request message from the security algorithm supported by the user terminal and the network entity.
  • the algorithm is used to perform corresponding security protection for the service, thereby improving the security of the service.
  • the complexity and the overhead of each algorithm in the communication system can be comprehensively considered, and the communication can be effectively protected while effectively protecting the service. System performance.
  • a first storage module configured to store a list of security algorithms supported by the user terminal, where the security algorithm list is separately set or used to indicate the security capability of the user terminal according to different security protection requirements;
  • a first sending module configured to generate and send a service request message to the network entity
  • a first receiving module configured to receive a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy identifier returned by the network entity, where the security algorithm list is a security algorithm list supported by the network entity or the security algorithm list and the service A security algorithm list corresponding to the security protection requirement of the request message, where the security algorithm selection policy is based on a security algorithm list setting supported by the network entity;
  • a third selection module configured to select, according to the security algorithm list stored in the first storage module, the security algorithm list received by the first receiving module, from the list of security algorithms supported by the user terminal and the network entity The security algorithm corresponding to the security protection requirement.
  • a second storage module configured to store a list of security algorithms supported by the network entity, and a security algorithm Selecting a policy or a security algorithm to select a policy identifier, the security algorithm list being separately set or used to indicate a security capability of the network entity based on different security protection requirements, the security algorithm selection policy being based on a security algorithm list setting supported by the network entity;
  • a second receiving module configured to receive a service request message sent by the user terminal
  • a fourth sending module configured to send the security algorithm list stored in the second storage module, the security algorithm list corresponding to the security protection requirement of the service request message, the security algorithm selection policy, or the security algorithm selection policy identifier to the user terminal.
  • a further communication system provided by the embodiment of the present invention includes a network entity, where the network entity stores a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy identifier supported by the network entity, where the security algorithm list is based on different security.
  • the protection requirement respectively sets a security capability corresponding to the user terminal or the network entity, and the security algorithm selection policy is based on a security algorithm list setting supported by the network entity;
  • the network entity is configured to receive the service request message sent by the user terminal, and send the security algorithm list stored by the network entity, the security algorithm list corresponding to the security protection requirement, the security algorithm selection policy, or the security algorithm selection policy identifier to the user terminal.
  • the user terminal selects a security algorithm corresponding to the security protection requirement according to the security algorithm list stored by the user terminal, the security algorithm list returned by the network entity, the security algorithm selection policy, or the security algorithm selection policy identifier.
  • the list of supported security algorithms is separately set based on different security protection requirements due to the user terminal and/or the network entity, and the network
  • the entity may return a list of all security algorithms supported by the entity or a security algorithm list corresponding to the security protection requirement of the service request message to the user terminal, so that the user terminal and the network entity from the user terminal
  • the security protection algorithm of the service request message is selected to be corresponding to the security algorithm, so that the corresponding security protection is performed on the service in the subsequent manner, and the security of the service is improved; in addition, the complexity of each algorithm in the communication system can be comprehensively considered.
  • FIG. 1 is a schematic structural diagram of an E-UTRAN as part of an access network in an LTE system
  • FIG. 2 is a schematic diagram of a security architecture of an LTE-SAE system
  • FIG. 3 is a flowchart of a security algorithm selection processing method according to an embodiment of the present invention
  • FIG. 4 is a flowchart of an embodiment of a security algorithm selection processing method according to the present invention
  • FIG. 6 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention
  • FIG. 7 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention
  • FIG. 9 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention
  • FIG. 10 is a schematic structural diagram of an embodiment of a security algorithm selection processing apparatus according to the present invention
  • FIG. 12 is a schematic structural diagram of another embodiment of a communication system according to the present invention
  • FIG. 10 is a schematic structural diagram of another embodiment of a communication system according to the present invention
  • FIG. 12 is a schematic structural diagram of another embodiment of a communication system according to the present invention
  • FIG. 13 is a schematic structural diagram of a UE according to an embodiment of the present invention.
  • FIG. 14 is a schematic structural diagram of another embodiment of a UE according to the present invention.
  • FIG. 15 is a schematic structural diagram of still another embodiment of a UE according to the present invention.
  • 16 is a schematic structural diagram of an embodiment of a network entity according to the present invention.
  • FIG. 17 is a schematic structural diagram of another embodiment of a network entity according to the present invention.
  • FIG. 18 is a schematic structural diagram of an embodiment of an application server according to the present invention.
  • FIG. 19 is a schematic structural diagram of another embodiment of a communication system according to the present invention.
  • FIG. 20 is a schematic structural diagram of still another embodiment of a communication system according to the present invention.
  • FIG. 21 is a schematic structural diagram of still another embodiment of a UE according to the present invention.
  • FIG. 22 is a schematic structural diagram of still another embodiment of a UE according to the present invention.
  • 23 is a schematic structural diagram of still another embodiment of a network entity according to the present invention.
  • 24 is a schematic structural diagram of still another embodiment of a network entity according to the present invention.
  • 25 is a schematic structural diagram of still another embodiment of a communication system according to the present invention.
  • a security algorithm selection processing method includes: Sl, receiving a service request message sent by a UE; S2, from a UE and a network entity according to security protection requirements of a service request message. Select the security algorithm from the list of supported security algorithms.
  • the security algorithm list supported by the UE and/or the network entity is separately set according to different security protection requirements, or the security algorithm list supported by the UE and the network entity is used to indicate the security capability of the UE and the network entity, respectively.
  • the list of supported security algorithms is set separately according to different security protection requirements, different security algorithms may be selected according to the security protection requirements of different service request messages, so as to perform different security protections on the corresponding services. It not only improves the security of the service, but also comprehensively considers the complexity and overhead of each algorithm in the communication system, and improves the performance of the communication system while effectively protecting the service.
  • the security protection requirements may include any one or more of a data type, a service type, and a user requirement.
  • the security protection level requirement or the security algorithm list corresponding to the data type the security protection level requirement corresponding to the service type, or the security algorithm list or the security algorithm policy, where the security algorithm corresponding to the service type is used to indicate that the service type is in different conditions.
  • the data type may be RRC signaling, UP user data, or NAS signaling.
  • the security algorithm may be an RRC encryption algorithm, a RRC integrity protection algorithm, a UP encryption algorithm, a UP integrity protection algorithm, a NAS encryption algorithm, or a NAS integrity algorithm.
  • the list of security algorithms supported by the UE includes a list of the Radio Capability algorithm of the UE and a list of network Capability algorithms.
  • the service request message sent by the UE may be a service request message Service Request or an attach request message Attach Requests.
  • the security capability of the UE for example, the algorithm capability set, may be different according to different data type security protection requirements, for example: distinguishing signaling from user plane data, respectively, to define different algorithm capability sets, respectively.
  • a data type or a different security protection level provides a list of different security protection algorithms supported by the UE.
  • the level of security protection includes AS and NAS.
  • the security capability of the network entity may specifically provide a list of different security protection algorithms supported by the network entity for different data types or different security protection levels. Due to the complexity of different security algorithms, the overhead is different from the efficiency of encryption and decryption, integrity verification code calculation and verification. The characteristics of data packets and traffic of different data types are different, and the security protection requirements are also different. Different, for example: Signaling and user data are different data types.
  • the security capability of the UE is set according to different data types, service types, or security requirements of the user requirements, and different security algorithm capability sets are set in the UE and/or the network entity, so that the UE or the network entity can According to different security protection requirements, different security algorithms are selected to protect the corresponding services, which not only improves the security of the service, but also comprehensively considers the complexity and occupation cost of each algorithm in the communication system, and effectively protects the service. Protection while improving the performance of the communication system.
  • the integrity of the UP user data is not protected.
  • the characteristics of the security algorithm itself for example, complexity, occupation overhead, etc.
  • the corresponding security algorithm is preset according to the security protection requirements subscribed by the user. The list, so that more suitable and integrity protection algorithms can be used, for example: using a lower computational integrity algorithm, or a specific part of the data integrity check method, to protect the integrity of the corresponding UP user data.
  • the network entity may be an eNB or an MME.
  • the corresponding service request message is an RRC request message or an UP.
  • the user data, the service request message sent by the UE is specifically: the eNB receives the RRC request message sent by the UE or the user data of the UP.
  • the corresponding service request message is a NAS request message, and the service request message sent by the UE is specifically: The MME receives the NAS request message sent by the eNB and sent by the UE.
  • the security algorithm corresponding to the security protection requirement of the service request message is selected from the security algorithm list supported by the UE and the network entity
  • the security algorithm list supported by the UE and the network entity corresponds to the security protection requirement of the service request message
  • the security algorithm for service protection can be selected from the qualified algorithms according to a preset priority order.
  • the preset priority order may be included in the security algorithm list itself, or the priority order of each security algorithm in the security algorithm list may be stored at a location other than the security algorithm list.
  • different security algorithm lists may be separately set according to different security protection requirements in the UE and/or the network entity, and may be related to the UE and/or the network entity according to actual requirements.
  • the list of security algorithms is added, deleted, or updated.
  • the security algorithm corresponding to the security protection requirement of the service request message is selected from the security algorithm list supported by the UE and the network entity, the UE and the network entity, for example, between the UE and the eNB, the UE and the MME. In the meantime, the service can be securely protected according to the selected security algorithm.
  • the eNB sends the UE to the UE.
  • the integrity-protected AS security mode command is sent, which carries the key identifiers KSIasme, EAEA, EAIA, EUEA, and AS message integrity protection (AS Message Authentication Codes, AS-MAC).
  • the UE enters the AS.
  • the security mode returns an integrity-protected AS security mode response to the eNB, which carries the AS-MAC, thereby enabling the AS security mode.
  • the security protection algorithm selected by the eNB pairs the data and the letter. Make it safe to protect.
  • MME After selecting ENEA and ENIA from the list of security algorithms supported by the MME and the UE, the UE sends an integrity-protected NAS security mode command carrying the key identifiers KSIasme, ENEA, ENIA and NAS message integrity protection.
  • the NAS message authentication code (NAS-MAC) the UE enters the NAS security mode and returns an integrity-protected NAS security mode response to the MME, which carries the NAS-MAC, thereby starting the NAS security mode.
  • data and signaling are secured by the security protection algorithm selected by the MME.
  • FIG. 4 it is a flowchart of an embodiment of a security algorithm selection processing method according to the present invention, which includes the following steps:
  • Step 101 The network entity receives a service request message sent by the UE, where the service request message includes a list of security algorithms supported by the UE.
  • the network entity therein may be an eNB or an MME. If the network entity is an eNB, the eNB may perform information exchange with the UE, and obtain a list of security algorithms supported by the UE directly from the UE. In addition, the UE may also send a list of security algorithms it supports to the MME, and the eNB acquires a list of security algorithms supported by the UE from the MME. If the network entity is the MME, the MME sends the service request message to the eNB, and then the eNB forwards the service request message to the MME. The message sending process in other embodiments is the same, and will not be described again.
  • the service request message in step 101 may not include the security algorithm list supported by the UE, and the network entity pre-stores the security algorithm list supported by the UE, or is provided by the security capability information about the UE stored in the application server.
  • step 102 the network entity obtains the security protection requirement of the service request message sent by the UE according to the correspondence between the service request message and the security protection requirement.
  • Step 103 The network entity obtains a list of security algorithms corresponding to security protection requirements in the list of security algorithms supported by the network, and obtains a list of security algorithms corresponding to security protection requirements in the list of security algorithms supported by the UE.
  • the UE or the network entity that separately sets the security algorithm list based on different security protection requirements performs the operation of step 103, and the security algorithm in the security algorithm list that is not separately set based on different security protection requirements is considered.
  • the security algorithms obtained from the UE or network entity that does not separately set the security algorithm list based on different security protection requirements are Is a list of all security algorithms in the UE or network entity. Other embodiments are similar.
  • the list of security algorithms supported by the UE includes three algorithms: A, B, and C, and the security algorithm list is not separately set based on different security protection requirements, and the list of security algorithms supported by the network entity includes eight, B, D, and E.
  • the security algorithm list is not separately set based on different security protection requirements
  • the list of security algorithms supported by the network entity includes eight, B, D, and E.
  • F five algorithms, in the security algorithm list, the security algorithms corresponding to the first user requirement are A and B, and the security algorithms corresponding to the second user requirement are D, E, and F, and then the service request sent by the user terminal
  • the security protection requirement of the message is the first user requirement, and all security algorithms in the security algorithm list supported by the UE supported by the security algorithm corresponding to the first user requirement, namely: A, B, and C, are obtained from the network entity.
  • the security algorithms corresponding to the first user requirement are eight and B.
  • Step 104 The network entity selects, in the list of obtained security algorithms, a security protection algorithm that is a service requested by the service request message from a list of security algorithms supported by the UE and the network entity.
  • a or B can be selected as the security protection algorithm of the service requested by the service request message. If the priority order of the A security algorithm and the B security algorithm is set in advance, A or B is selected as the security protection algorithm of the service requested by the service request message according to the priority order. Otherwise, A or B may be selected according to other rules or randomly as the security protection algorithm of the service requested by the service request message.
  • the UE carries a list of security algorithms supported by the UE when the service request message is sent to the network entity, and the network entity directly lists the security algorithm supported by the UE and the list of security algorithms supported by the network entity.
  • the corresponding security protection algorithm is selected, the process of the prior art is changed little, and the process is simple and easy to implement.
  • Step 103 and step 104 in the embodiment of the present invention may have no chronological relationship, for example: Step 104 may also be performed before or at the same time as step 103.
  • the security algorithm supported by the UE and the network entity may be selected in step 104, and then the security algorithm corresponding to the security protection requirement of the service request message is selected.
  • step 103 selecting a security algorithm supported by both the security algorithm list of the UE and the security algorithm list of the network entity as A and B, and then selecting the corresponding user requirements from A and B.
  • Security algorithm: A and B, then A or B can be selected according to the priority order or randomly as the security protection algorithm of the service requested by the service request message.
  • Table 1 the list of security algorithms supported by the UE is as shown in Table 1 below.
  • the identifier in the signaling protocol includes a key length-security algorithm name abbreviation supported by the security algorithm, for example: "128-EEA0" indicates that the security algorithm supported by the Null ciphering algorithm supports a key length of 128.
  • the algorithm name is abbreviated as EEA0.
  • V indicates that the security algorithm is applicable to a certain service
  • V indicates that the security algorithm is not applicable to a certain service
  • the security algorithm Null ciphering and AES are applicable to the RRC encryption service
  • the security algorithm SNOW 3G is not applicable.
  • RRC encryption service that is:
  • the UE supports the Null ciphering and AES security algorithms.
  • the security algorithm may be assigned a security algorithm number according to the priority order selected by the security algorithm, that is, in various algorithms corresponding to a security protection requirement, the number with a smaller number or a larger number may be preferentially selected.
  • the algorithm acts as an algorithm for securing the corresponding service.
  • V eNB The list of security algorithms supported by V eNB is shown in Table 2 below.
  • the security algorithm supported by the eNB is applicable to the security protection requirements of all services. That is, the list of security algorithms supported by the eNB is not based on The same security protection requirements are set separately.
  • the security protection requirements in Tables 1 and 2 are based on data types only. If the network entity receives the service request message sent by the UE as an RRC request message, determining that the data type is RRC signaling, and according to step 103, the security algorithm list selected from the security algorithm list supported by the UE in the RRC request message includes a security algorithm. Null ciphering and AES, the list of security algorithms selected from the list of security algorithms supported by the eNB includes the security algorithms Null ciphering, SNOW 3G and AES. Therefore, the eNB can select a security algorithm from Null ciphering and AES as the encryption of RRC signaling. algorithm.
  • the eNB selects Null ciphering and Null ciphering with higher priority in AES as the encryption algorithm of RRC signaling.
  • the SNOW 3G security algorithm is selected for the user data of the UP, so that different security algorithms are selected for the user data of the UP and the RRC signaling.
  • the priority order of the security algorithm in the UE conflicts with the UE, the priority may be selected according to the priority order in the UE or the network entity according to a preset setting, or the priority order conflict security. The algorithm does not select, or directly ends this security algorithm selection.
  • the UE may select a security algorithm list corresponding to the security protection requirement from the security algorithm list supported by the UE according to the security protection requirement of the service request message to be sent; correspondingly, in step 101, the service The request message includes a security algorithm list corresponding to the security protection requirement supported by the UE.
  • the network entity only needs to obtain the security algorithm corresponding to the obtained security protection requirement in the list of security algorithms supported by the network.
  • the list of security algorithms in the network entity is not set separately based on different security protection requirements, and the network entity obtains a list of security algorithms supported by itself.
  • FIG. 5 it is a flowchart of another embodiment of a security algorithm selection processing method according to the present invention. It includes the following steps:
  • Step 201 The network entity receives a service request message sent by the UE.
  • Step 202 The network entity obtains a list of the directed security algorithms supported by the network entity, and sends the list to the UE.
  • Step 203 The UE acquires a security protection requirement of the service request message sent by the UE according to the corresponding relationship information between the service request message and the security protection requirement.
  • Step 203 may also be performed simultaneously with step 202 or prior to step 202.
  • Step 204 The UE selects a security algorithm corresponding to the security protection requirement from the list of security algorithms supported by the UE and the network entity.
  • the UE may select a security algorithm corresponding to the security protection requirement from the list of security algorithms supported by the UE and the network entity by referring to steps 103-104.
  • the network entity after receiving the service request message sent by the UE, the network entity feeds back to the UE a list of security algorithms supported by the network entity, and the UE directly supports the security algorithm list and network entity supported by the UE.
  • the security algorithm is selected in the security algorithm list, and the UE does not need to report the supported security algorithm list to the network entity. Therefore, the security algorithm corresponding to the security protection requirement can be selected relatively quickly.
  • the network entity may obtain the security protection requirement of the service request message sent by the UE according to the correspondence information between the service request message and the security protection requirement, and select from the list of security algorithms supported by the network. Get a list of security algorithms corresponding to the security protection requirements.
  • the network entity sends only the obtained security algorithm list corresponding to the security protection requirement to the UE.
  • the security algorithm corresponding to the security protection requirement sent by the UE from the network entity and the security algorithm list corresponding to the security protection requirement acquired by the step 203 in the UE itself are selected as a service requested by the service message. Security protection algorithm.
  • step 203 need not be performed.
  • step 204 the UE needs to send security protection from the network entity.
  • a security algorithm is selected as a security protection algorithm for the service requested by the service message in the list of security algorithms supported by the UE and the security algorithm list supported by the UE.
  • the security algorithm selection policy is stored in the network entity
  • the security algorithm selection policy supported by the network entity is returned to the UE, and the security algorithm selection policy is based on the security algorithm list setting supported by the network entity, for example: security algorithm selection
  • the policy may be a security algorithm that specifically corresponds to the data type, the service type, and the user requirement in the list of security algorithms supported by the network entity, or further includes the priority order of the security algorithm.
  • the UE selects a security algorithm corresponding to the security protection requirement from the security algorithm list supported by the UE and the network entity according to the security algorithm selection policy sent by the network entity.
  • the network entity may store multiple security algorithm selection policies, and the security algorithm selects related information of the policy, for example: a policy name, a policy identifier (identifier, hereinafter referred to as ID), and a security algorithm applied by the security protection requirement in both the terminal and the network entity.
  • ID policy identifier
  • ID security algorithm applied by the security protection requirement in both the terminal and the network entity.
  • the security algorithm selection strategy that the UE and the UE can support for each other is known as the security method.
  • the security algorithm selection strategy can be transmitted to the UE through the security protection, the legal method,
  • the UE is instructed to use the corresponding security algorithm to protect subsequent communication services.
  • Table 3 shows the security algorithm strategy 1 and the security algorithm strategy 2 stored in the network entity.
  • the security algorithm algorithm gives a security algorithm that is specifically applied to different data types, service types, and user requirements.
  • the network traffic can be used to transmit the limited number of network bandwidth resources to the UE.
  • the network entity can send the security algorithm selection policy ID of the security algorithm selection policy corresponding to the service request message sent by the user terminal to the UE.
  • the UE determines a security algorithm selection policy identified by the security algorithm selection policy ID sent by the network entity, and selects a security protection requirement corresponding to the security algorithm list supported by the UE and the network entity according to the security algorithm selection policy.
  • Security algorithm
  • An application server may be set in the communication network, in which a security algorithm list and security are respectively set based on different security protection requirements.
  • the algorithm selection strategy or the security algorithm selects the policy ID, wherein the security algorithm selection policy is based on the security protection requirement setting, and the setting method can refer to the setting method of the security algorithm selection policy in the network entity.
  • the security algorithm is selected from the list of security algorithms supported by the UE and the network entity and stored by the application server. It may be preset that when the security algorithm selected by the UE or the network entity conflicts with the security algorithm selected by the application server, the security algorithm selected by the application server shall prevail.
  • FIG. 6 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention, which includes the following steps:
  • Step 301 The UE sends an acquisition request message to the application server, and obtains a security algorithm list stored by the application server, or a security algorithm list corresponding to the security protection requirement of the service request message to be sent in the security algorithm list, or a security algorithm selection policy. , or the security algorithm selects the policy ID.
  • Step 302 The UE acquires the security algorithm list supported by the UE from the application server.
  • the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID correspondingly select the security algorithm list supported by the UE and stored by the application server, or select the security corresponding to the security protection requirement of the service request message stored by the UE and stored by the application server.
  • Algorithm list Algorithm list.
  • the UE If the UE obtains the security algorithm selection policy ID from the application server, the UE first obtains a corresponding security algorithm selection policy according to the correspondence between the security algorithm selection policy and the security algorithm selection policy ID.
  • the list of security algorithms selected by the UE is specifically a list of security algorithms supported by the UE and corresponding to the security protection requirements of the service request message, or a list of security algorithms supported by the UE and stored by the application server, which may be preset according to communication requirements. .
  • the UE sends a service request message to the network entity, where the service request message includes a security algorithm list selected by the UE, which is specifically a list of security algorithms supported by the UE and stored by the application server, or supported by the UE and stored by the application server. A list of security algorithms corresponding to the security protection requirements of the request message.
  • Step 304 The network entity obtains the security protection requirement of the service request message sent by the UE according to the correspondence between the service request message and the security protection requirement.
  • Step 305 If the service request message includes a security algorithm list that is supported by the UE and is stored by the application server and corresponds to the security protection requirement of the service request message, the network entity obtains the security protection requirement in the list of security algorithms supported by the network entity. A list of corresponding security algorithms.
  • the network entity further selects a list of security algorithms corresponding to the security protection requirements from the list of security algorithms.
  • the security algorithm list included in the specific service request message is a list of security algorithms supported by the UE and stored by the application server and corresponding to the security protection requirements of the service request message, or a list of security algorithms supported by the UE and stored by the application server, which may be according to communication requirements. pre-setting.
  • Step 306 The network entity selects from a list of security algorithms supported by the UE and corresponding to the security protection requirements of the service request message, and a list of security algorithms selected by the UE in the service request message.
  • a security protection algorithm that is the service requested by the service request message.
  • the UE first selects a list of security algorithms supported by the UE and stored by the application server, or selects a list of security algorithms corresponding to the security protection requirements of the service request message stored by the UE and stored by the application server. And then sent to the network entity, reducing the network traffic that the UE sends all the algorithm lists supported by the UE and the full algorithm list stored by the application server. Moreover, when the network entity selects the security algorithm list, the security algorithm list stored by the application server is also considered, which further limits the security algorithms of different security protection requirements, and facilitates unified management and update of the security algorithm selection.
  • FIG. 7 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention, which includes the following steps:
  • Step 401 The UE sends an acquisition request message to the application server, obtains a security algorithm list stored by the application server, or a security algorithm list corresponding to the security protection requirement of the service request message to be sent in the security algorithm list, or a security algorithm selection policy. , or the security algorithm selects the policy ID.
  • Step 402 The UE sends a service request message to the network entity, where the service request message includes a security algorithm list supported by the UE, or a security algorithm list corresponding to the security protection requirement of the service request message to be sent in the security algorithm list, and the obtained The list of security algorithms stored by the application server, or a list of security algorithms corresponding to the security protection requirements in the security algorithm list, or a security algorithm selection policy, or a security algorithm selection policy ID.
  • the security algorithm list in the service request message is specifically a security algorithm list supported by the UE, or a security algorithm list corresponding to the security protection requirement of the service request message to be sent in the security algorithm list, which is a list of security algorithms stored by the application server. It is also a list of security algorithms corresponding to security protection requirements in the list of security algorithms, which can be preset according to communication requirements.
  • Step 403 The network entity acquires a security protection requirement of the service request message sent by the UE according to the correspondence between the service request message and the security protection requirement.
  • Step 404 if the service request message includes the UE support and the application server stores, A list of security algorithms corresponding to the security protection requirement, and the network entity obtains a list of security algorithms corresponding to the obtained security protection requirements in the list of security algorithms supported by the network entity.
  • the network entity further selects the UE support and A list of security algorithms stored by the application server that correspond to the security protection requirements.
  • the mapping between the same security algorithm selection policy and the security algorithm selection policy ID is set in advance in the network entity and the application server, and the network entity selects according to the security algorithm.
  • the policy ID obtains the corresponding security algorithm selection policy.
  • the security algorithm list included in the specific service request message is a security algorithm list supported by the UE and stored by the application server and corresponding to the security protection requirement, or is a security algorithm list, a security algorithm selection policy, or a security algorithm supported by the UE and stored by the application server. Select the policy ID, which can be preset according to communication needs.
  • Step 405 The network entity selects, as the service request, a security algorithm list that is supported by the network and that corresponds to the security protection requirement, and a security algorithm list that is supported by the UE and is corresponding to the security protection requirement that is stored by the application server.
  • the security protection algorithm of the service requested by the message is not limited to the security protection requirement.
  • the UE lists the security algorithm list supported by the UE and the security algorithm list stored by the application server, or the security algorithm list corresponding to the security protection requirement in the security algorithm list, or the security algorithm selection policy.
  • the security algorithm selects the policy ID and sends it to the network entity.
  • the network entity selects the security algorithm list, it also considers the security algorithm list stored by the application server, further restricts the security algorithms of different security protection requirements, and facilitates the unification of the security algorithm selection. Management and updates.
  • FIG. 8 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention, which includes the following steps:
  • Step 501 The UE sends a service request message to the network entity, where the service request message includes A list of security algorithms supported by the UE, or a list of security algorithms corresponding to the security protection requirements selected by the UE from the list of security algorithms supported by the UE according to the security protection requirements of the service request message.
  • the list of security algorithms in the service request message is specifically a list of security algorithms supported by the UE and corresponding to the security protection requirements of the service request message, or a list of security algorithms supported by the UE, which can be preset according to communication requirements.
  • Step 502 After receiving the service request message sent by the UE, the network entity obtains a list of security algorithms stored by the application server, a list of security algorithms stored by the application server and corresponding to the security protection requirement, a security algorithm selection policy, or a security algorithm selection policy. ID.
  • step 503 the network entity obtains the security protection requirement of the service request message sent by the UE according to the correspondence between the service request message and the security protection requirement.
  • Step 504 If the network entity obtains the security algorithm list corresponding to the security protection requirement of the service request message supported by the UE and the application server, the network entity obtains the security information in the list of security algorithms supported by the network entity. A list of security algorithms corresponding to the protection requirements.
  • the network entity obtains the security algorithm list supported by the UE and the security algorithm list, the security algorithm selection policy, or the security algorithm selected by the application server, the network entity further selects the policy ID in step 504.
  • the mapping between the same security algorithm selection policy and the security algorithm selection policy ID is set in advance in the network entity and the application server, and the network entity selects according to the security algorithm.
  • the policy ID obtains the corresponding security algorithm selection policy.
  • Step 505 The network entity selects, as the service request, a list of security algorithms that are supported by the network and that are corresponding to the security protection requirement, and a list of security algorithms that are supported by the UE and are stored by the application server and corresponding to the security protection requirement.
  • the security protection algorithm of the service requested by the message In the embodiment shown in FIG. 8 , after receiving the service request message sent by the UE, the network entity acquires itself without acquiring the security algorithm list stored by the retransmission application server, or the security protection requirement list in the security algorithm list.
  • Corresponding security algorithm list, or security algorithm selection policy, or security algorithm selection policy ID reducing the security algorithm list sent by the UE to the application server, or the security algorithm selection policy, or the security algorithm selecting the network bandwidth occupied by the policy ID;
  • the network entity selects the security algorithm list, it also considers the security algorithm list stored by the application server, further restricts the security algorithms of different security protection requirements, and facilitates unified management and update of the selection of the security algorithm.
  • the selected security algorithm can be sent by the security mode command.
  • the UE is used to ensure that the UE and the network entity secure the corresponding service by using the security algorithm. Specifically, if the network entity is an eNB, the eNB may directly send the selected security algorithm to the UE. If the network entity is the MME, the MME may send the selected security algorithm to the eNB, and the eNB forwards the security algorithm to the UE. The other message flows sent by the network entity to the UE are similar and will not be described again.
  • FIG. 9 is a flowchart of still another embodiment of a security algorithm selection processing method according to the present invention, which includes the following steps:
  • Step 601 The UE sends an acquisition request message to the application server, and obtains a security algorithm list stored by the application server, or a security algorithm list corresponding to the security protection requirement of the service request message to be sent in the security algorithm list, or a security algorithm selection policy. , or the security algorithm selects the policy ID.
  • the UE needs to obtain a corresponding security algorithm selection policy according to the correspondence between the security algorithm selection policy and the security algorithm selection policy ID .
  • Step 602 The UE sends a service request message to the network entity.
  • step 602 may also be performed concurrently with step 601 or prior to step 601.
  • Step 603 After receiving the service request message sent by the UE, the network entity returns a list of security algorithms supported by the network entity to the UE, or a security algorithm list corresponding to the security protection requirement, or a security algorithm selection policy, or a security algorithm selection policy. ID, the security algorithm selection policy is based on the security algorithm list settings supported by the network entity.
  • the UE needs to obtain a corresponding security algorithm selection policy according to the correspondence between the security algorithm selection policy and the security algorithm selection policy ID.
  • the network entity returns the list of security algorithms it supports, or the list of security algorithms corresponding to the security protection requirements, or the security algorithm selection policy, and the security algorithm selection policy ID, which can be preset according to communication requirements.
  • Step 604 The UE selects a security algorithm list or a security algorithm selection policy stored by the application server, and a security algorithm list or a security algorithm selection policy of the network entity according to the security algorithm list supported by the UE, and selects a security protection requirement with the service request message. Corresponding security algorithm.
  • the UE may first select a security algorithm list that is supported by the UE and the network entity and that is stored by the application server and corresponds to the security protection requirement. If the network entity or the application server returns the support, And the list of security algorithms corresponding to the security protection requirements does not need to be performed. Then, a common security algorithm is selected from the list of three security algorithms. For specific implementation, refer to the corresponding steps in Figure 4-8.
  • the network entity or the application server itself returns a list of supported security algorithms, a security algorithm selection policy, or a security algorithm selection policy ID, the UE may first select a security algorithm supported by the UE and the network entity and stored by the application server. List, and then choose a security algorithm corresponding to the security protection requirements.
  • the UE obtains a list of security algorithms supported by the network entity and a list of security algorithms stored by the application server, or a list of security algorithms corresponding to the security protection requirements in the security algorithm list, or a security algorithm selection.
  • the policy, or the security algorithm selects the policy ID, and accordingly selects the security protection requirement that the UE and the network entity support and the application server stores.
  • the security algorithm list has less changes to the prior art process.
  • the UE selects the security algorithm list it also considers the security algorithm list stored by the application server, further restricts the security algorithms of different security protection requirements, and facilitates the selection of the security algorithm. Conduct unified management and updates.
  • FIG. 10 it is a schematic structural diagram of an embodiment of a security algorithm selection processing apparatus according to the present invention, which includes a first obtaining module 701 and a first selecting module 702.
  • the first obtaining module 701 is configured to acquire a security protection requirement of the service request message sent by the UE.
  • the first selection module 702 is configured to select a security algorithm from a list of security algorithms supported by the UE and the network entity according to the security protection requirement of the service request message.
  • the security algorithm list supported by the UE and/or the network entity is separately set based on different security protection requirements, or the security algorithm list supported by the UE and the network entity is used to indicate the security capability of the UE and the network entity, respectively.
  • FIG. 11 is a schematic structural diagram of another embodiment of a security algorithm selection processing apparatus according to the present invention.
  • the first selection module 702 in this embodiment includes a first obtaining unit 7021 and The first selection unit 7022.
  • the first obtaining unit 7021 is configured to obtain a security algorithm list supported by the UE, or a security algorithm list supported by the UE and corresponding to a security protection requirement of the service request message sent by the UE, and a list of security algorithms supported by the network entity, A security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID corresponding to the security protection requirement of the service request message in the security algorithm list, where the security algorithm selection policy is based on a security algorithm list setting supported by the network entity.
  • the first selecting unit 7022 is configured to select, according to the security algorithm list obtained by the first acquiring unit 7021 from the UE, the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID obtained from the network entity, and select the security corresponding to the security protection requirement. algorithm.
  • the first obtaining unit 7021 may further obtain a security algorithm list stored by the application server, a security algorithm list corresponding to the security protection requirement of the service request message in the security algorithm list, and security.
  • the algorithm selection policy or the security algorithm selects the policy ID.
  • the security algorithm selection policy is based on the security protection requirement setting, and the security algorithm list stored by the application server is separately set based on different security protection requirements.
  • the first selection unit 7022 For selecting a UE, a network entity, and an application server according to the security algorithm list obtained by the first obtaining unit 7021 from the UE, and the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID respectively obtained from the network entity and the application server.
  • the security algorithm selection processing device of the embodiment of the present invention may select different security algorithms according to the security protection requirements of different service request messages, because the security algorithm list of the UE, the network entity, and/or the application server is separately set based on different security protection requirements.
  • Different security protections are implemented for the corresponding services between the UE and the network entity, which not only improves the security of the service, but also comprehensively considers the complexity and the overhead of the algorithms in the communication system, while effectively protecting the service. Improve the performance of the communication system.
  • the security algorithm selection processing device provided by the foregoing embodiments of the present invention can be used to implement the corresponding process of each security algorithm selection process in the foregoing embodiment of the present invention.
  • a communication system provided by an embodiment of the present invention includes a network entity 1 and a security algorithm selection processing device 2.
  • the security algorithm selection processing device 2 is configured to acquire a security protection requirement of the service request message sent by the UE, and select a security algorithm from a list of security algorithms supported by the UE and the network entity 1 according to the security protection requirement corresponding to the service request message. .
  • the security algorithm list supported by the UE and/or the network entity 1 is set separately according to different security protection requirements, or the security algorithm list supported by the UE and the network entity 1 is used to indicate the security capability of the UE and the network entity 1, respectively.
  • the security algorithm selection processing device 2 in this embodiment can be implemented based on the security algorithm selection processing device of the embodiment shown in Fig. 10 or Fig. 11.
  • the communication system may further include an application server 3, configured to store a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy identifier stored by the application server 3, wherein the security algorithm selection policy is based on a security protection requirement setting, and the application The list of security algorithms stored by the server 3 is separately set based on different security protection requirements.
  • the security algorithm selection processing device 2 can also obtain the security algorithm list, the security algorithm selection policy or the security algorithm selection policy ID stored by the application server 3, according to the security algorithm list obtained from the UE, and the slave network respectively.
  • the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID obtained by the entity 1 and the application server 3 select a security algorithm corresponding to the security protection requirement of the service request message sent by the UE.
  • the security algorithm selection policy of the network entity 1 is based on the security algorithm list setting supported by the network entity 1.
  • the security algorithm selection processing device 2 in this embodiment can be implemented based on the security algorithm selection processing device of the embodiment shown in FIG. As shown in FIG. 12, it is a schematic structural diagram of an embodiment of a communication system according to the present invention.
  • the security algorithm selection processing apparatus 2 of this embodiment adopts the security algorithm selection processing apparatus of the embodiment shown in FIG.
  • FIG. 13 is a schematic structural diagram of a UE according to an embodiment of the present invention.
  • the UE in this embodiment may implement a corresponding process in the embodiment shown in FIG. 4 and FIG. 8 of the present invention, and includes a first storage module 801,
  • the first storage module 801 is configured to store a list of security algorithms supported by the UE, where the security algorithm list is separately set or used to indicate the security capability of the UE according to different security protection requirements.
  • the second obtaining module 802 is configured to obtain a security algorithm list from the first storage module 801, or query a security protection requirement of the service request message, and obtain a security algorithm list corresponding to the security protection requirement from the first storage module 801.
  • the first sending module 803 is configured to generate and send a service request message to the network entity, where the service request message includes a list of security algorithms acquired by the second obtaining module 802.
  • the first receiving module 804 is configured to receive a security algorithm returned by the network entity according to the service request message, and the security algorithm is selected from a list of security algorithms supported by the UE and the network entity according to the security protection requirement of the service request message.
  • FIG. 14 is a schematic structural diagram of another embodiment of the UE according to the present invention.
  • the UE in this embodiment can implement the corresponding process in the embodiment shown in FIG. 7 of the present invention.
  • the UE of this embodiment further includes a third obtaining module 805, configured to obtain a security algorithm list stored by the application server, or a security algorithm list corresponding to the security protection requirement, or a security algorithm.
  • the selection policy, or the security algorithm selects the policy ID.
  • the security algorithm selection policy is based on the security protection requirement setting, and the security algorithm list stored by the application server is separately set based on different security protection requirements.
  • the service request message sent by the first sending module 803 to the network entity is included in the message
  • the second obtained module 802 obtains the security algorithm list obtained from the first storage module 801 and the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID obtained by the third obtaining module 805 from the application server.
  • FIG. 15 is a schematic structural diagram of another embodiment of the UE according to the present invention.
  • the UE in this embodiment can implement the corresponding process in the embodiment shown in FIG. 6 of the present invention.
  • the UE of this embodiment further includes a third obtaining module 805, configured to obtain a security algorithm list stored by the application server, or corresponding to a security protection requirement of the service request message sent by the UE.
  • the security algorithm list, or the security algorithm selection policy, or the security algorithm selection policy ID which is based on the security protection requirement setting.
  • the second obtaining module 802 includes a second obtaining unit 8021 and a second selecting unit 8022.
  • the second obtaining unit 8021 is configured to obtain the security algorithm list from the first storage module 801, or query the security protection requirement of the service request message, and obtain the security algorithm list corresponding to the security protection requirement from the first storage module 801.
  • the second selecting unit 8022 is configured to select, according to the security algorithm list stored in the first storage module 801 by the second obtaining unit 8021, the security algorithm list, the security algorithm selection policy, or the security algorithm selected by the third obtaining module 805 from the application server.
  • the policy ID is a list of security algorithms supported by the UE and stored by the application server, or a list of security algorithms supported by the UE and stored by the application server and corresponding to the security protection requirements of the service request message sent by the UE.
  • the security algorithm list in the service request message sent by the UE to the network entity is specifically the security algorithm list selected by the second selecting unit 8022.
  • FIG. 16 is a schematic structural diagram of an embodiment of a network entity according to the present invention.
  • the network entity of the embodiment may be used to implement a corresponding process in the embodiment shown in FIG. 4, which includes a second storage module 901, and a second The receiving module 902, the second selecting module 903, and the second sending module 904.
  • the second storage module 901 is configured to store a security algorithm list or a security algorithm selection policy supported by the network entity, where the security algorithm list is separately set or used to represent the security capability of the network entity, and the security algorithm is selected according to different security protection requirements.
  • the policy is based on the security algorithm list settings supported by the network entity.
  • the second receiving module 902 is configured to receive a service request message sent by the UE, where The service request message includes a list of security algorithms supported by the UE.
  • the second selection module 903 is configured to use the security algorithm list or the security algorithm selection policy stored in the second storage module 901, and the security algorithm list in the service request message received by the second receiving module 902, which is supported by both the UE and the network entity. In the list of security algorithms, select the security algorithm corresponding to the security protection requirement.
  • the second sending module 904 is configured to send the security algorithm selected by the second selecting module 903 to the UE.
  • the security algorithm list in the service request message received by the second receiving module 902 may specifically be supported by the UE and stored by the application server.
  • the second selection module 903 selects a policy from the security algorithm list or the security algorithm stored in the second storage module 901, and selects a security algorithm corresponding to the security protection requirement from the security algorithm list in the service request message.
  • the service request message received by the second receiving module 902 may further include a list of security algorithms stored by the application server, or the security A list of security algorithms corresponding to the security protection requirements of the service request message, or a security algorithm selection policy, or a security algorithm selection policy ID, where the security algorithm selection policy is based on the security protection requirement setting, and the security algorithm list stored by the application server is based on Different security protection requirements are set separately.
  • the second selection module 903 selects a policy according to the security algorithm list or the security algorithm stored in the second storage module 901, and the security algorithm list of the UE in the service request message, and the security algorithm list and security protection requirements stored by the application server.
  • Corresponding security algorithm list, security algorithm selection policy or security algorithm selection policy ID select the security algorithm corresponding to the security protection requirement.
  • FIG. 17 is a schematic structural diagram of another embodiment of a network entity according to the present invention.
  • the security algorithm list in the service request message received by the second receiving module 902 is specifically supported by the UE and is related to the UE.
  • the network entity further includes a fourth obtaining module 905, configured to obtain a security algorithm list stored by the application server, or a security algorithm list corresponding to the security protection requirement in the security algorithm list, or a security algorithm selection policy, or a security algorithm selection policy ID,
  • the security algorithm selection policy is based on the security protection requirement setting, and the security algorithm list stored by the application server is separately set based on different security protection requirements.
  • the second selection module 903 is configured according to the security algorithm list or the security algorithm selection policy stored in the second storage module 901, and the security algorithm list in the service request message received by the second receiving module 902, and the fourth obtaining module 905.
  • the obtained security algorithm list stored by the application server, the security algorithm list corresponding to the security protection requirement, the security algorithm selection policy, or the security algorithm selection policy ID, and the security algorithm corresponding to the security protection requirement are selected.
  • the application server of the embodiment includes a third storage module 1001, a third receiving module 1002, and a third sending module 1003.
  • the third storage module 1001 is configured to store a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID of the application server, where the security algorithm selection policy is based on the security protection requirement setting.
  • the third receiving module 1002 is configured to receive an acquisition request message sent by the UE or the network entity.
  • the third sending module 1003 is configured to return a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy stored in the third storage module 1001 to the corresponding UE that sends the acquisition request message.
  • a communication system of another embodiment provided by the present invention includes a network entity 1.
  • the UE stores a list of security algorithms supported by the UE, and the security algorithm list is separately set based on different security protection requirements.
  • the network entity 1 stores a security algorithm list or a security algorithm selection policy supported by the network entity 1, where the security algorithm list is separately set based on different security protection requirements, and the security algorithm selection policy is based on the security algorithm list setting supported by the network entity 1. .
  • the UE generates and sends a service request message to the network entity 1, where the service request message includes a security algorithm list supported by the UE or a security algorithm list corresponding to the security protection requirement of the service request message, and a security algorithm returned by the receiving network entity 1,
  • the security algorithm is supported by the network entity 1 according to the security protection requirements of the service request message, and is supported by both the UE and the network entity 1. Select from the list of security algorithms.
  • the network entity 1 receives the service request message sent by the UE, according to the security algorithm list or the security algorithm selection policy supported by the network entity 1, and the security algorithm list carried in the service request message, from the list of security algorithms supported by the UE and the network entity 1
  • the security algorithm corresponding to the security protection requirement of the service request message sent by the UE is selected, and the selected security algorithm is sent to the UE.
  • the communication system of this embodiment can be used to implement the process of the embodiment shown in FIG. 4 of the present invention.
  • the UE can adopt the UE of the embodiment shown in FIG. 13, and the network entity 1 can adopt the network entity of the embodiment shown in FIG.
  • FIG. 19 is a schematic structural diagram of another embodiment of a communication system according to the present invention.
  • the communication system of the embodiment of the present invention may further include an application server 3, configured to store a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID of the application server 3, where the security algorithm selection policy is based on security protection requirements.
  • the security algorithm list stored by the application server 3 is set separately according to different security protection requirements, and the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy identifier stored by the application server 3 is returned to the UE according to the acquisition request message sent by the UE. .
  • the UE may be further configured to obtain a security algorithm list stored by the application server 3, or a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID corresponding to the security protection requirement, and send the message to the network through the service request message.
  • Entity 1 or, selects a list of security algorithms supported by the UE and stored by the application server 3, or a list of security algorithms corresponding to the security protection requirements, and sends the information to the network entity 1 through the service request message.
  • the network entity 1 selects a security algorithm list or a security algorithm selection policy supported by the network entity 1 and selects a security algorithm list carried in the service request message, and selects the UE and the network entity 1 to be supported by the application server 3 and is associated with the security protection.
  • FIG. 20 is a schematic structural diagram of still another embodiment of the communication system of the present invention.
  • FIG. 21 is a schematic structural diagram of still another embodiment of a UE according to the present invention.
  • the UE can implement the corresponding processes in the embodiments shown in FIG. 5 and FIG. 8 of the present invention. It includes a first storage module 801, a first sending module 803, a first receiving module 804, and a third selecting module 806.
  • the first storage module 801 is configured to store a security algorithm list supported by the UE, where the security algorithm list is separately set or used to indicate the security capability of the UE according to different security protection requirements.
  • the first sending module 803 is configured to generate and send a service request message to the network entity.
  • the first receiving module 804 is configured to receive a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID returned by the network entity, where the security algorithm list is a security algorithm list supported by the network entity, or a service request message sent by the UE A list of security algorithms corresponding to the security protection requirements, wherein the security algorithm selection policy is based on a security algorithm list setting supported by the network entity.
  • the third selection module 806 is configured to select a security protection requirement from a list of security algorithms supported by the UE and the network entity according to the security algorithm list stored in the first storage module 801 and the security algorithm list received by the first receiving module 804. Security algorithm.
  • FIG. 22 it is a schematic structural diagram of another embodiment of the UE according to the present invention.
  • the UE in this embodiment can implement the corresponding process in the embodiment shown in FIG. 9 of the present invention.
  • the UE of this embodiment further includes a third obtaining module 805, configured to obtain a security algorithm list stored by the application server, or corresponding to a security protection requirement of the service request message sent by the UE.
  • the security algorithm list, or the security algorithm selection policy, or the security algorithm selection policy ID wherein the security algorithm selection policy is based on the security protection requirement setting.
  • the third selection module 806 selects a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID obtained from the application server according to the security algorithm list stored in the first storage module 801, and the third selection module 805.
  • a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID of the network entity received by the receiving module 804, and the security protection requirement corresponding to the service request message sent by the UE and supported by the application server and supported by the UE is selected. Security algorithm.
  • the network entity of the embodiment can implement the corresponding process in the embodiment shown in FIG. 5 of the present invention.
  • the network entity of this embodiment includes a second storage module 901, a second receiving module 902, and a fourth sending module 907.
  • the second storage module 901 is configured to store a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID supported by the network entity, where the security algorithm list is separately set or used to represent the network entity according to different security protection requirements. Security capability, security algorithm selection policy is based on the security algorithm list settings supported by the network entity.
  • the second receiving module 902 is configured to receive a service request message sent by the UE.
  • the fourth sending module 907 is configured to send the security algorithm list stored in the second storage module 901, the security algorithm list, the security algorithm selection policy, or the security algorithm selection policy ID corresponding to the security protection requirement of the service request message to the UE.
  • the network entity of the embodiment can implement the corresponding process in the embodiment shown in FIG. 9 of the present invention.
  • the network entity of this embodiment further includes a fourth obtaining module 905 and a second selecting module 903.
  • the fourth obtaining module 905 is configured to obtain a security algorithm list stored by the application server, a security algorithm list corresponding to the security protection requirement in the security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID, where the security algorithm selection policy is selected.
  • the list of security algorithms stored by the application server is separately set based on different security protection requirements.
  • the second selection module 903 is configured to: according to the security algorithm list or the security algorithm selection policy stored in the second storage module 901, the security algorithm list and the security algorithm list corresponding to the security protection requirements stored by the application server acquired by the fourth obtaining module 905,
  • the security algorithm selects a policy or a security algorithm to select a policy ID, or further selects a list of security algorithms supported by the network entity and stored by the application server, a list of security algorithms corresponding to the security protection requirements, a security algorithm selection policy, or a security algorithm selection policy ID.
  • the fourth sending module 907 compares the security algorithm list or the security algorithm selection policy stored in the second storage module 901 with the security algorithm list stored by the application server acquired by the fourth obtaining module 905, the security algorithm list corresponding to the security protection requirement, and the security algorithm.
  • the selection policy or the security algorithm selects the policy ID to send to the UE, or sends the security algorithm list selected by the second selection module 903, the security algorithm list corresponding to the security protection requirement, the security algorithm selection policy, or the security algorithm selection policy ID to the UE.
  • the UE supports the security supported by the UE.
  • a full algorithm list which is set separately based on different security protection requirements.
  • the network entity 1 stores a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID supported by the network entity 1, where the security algorithm list is separately set or correspondingly indicates the security of the UE or the network entity 1 based on different security protection requirements.
  • the capability, security algorithm selection policy is based on the security algorithm list settings supported by network entity 1.
  • the UE generates and sends a service request message to the network entity 1, and receives a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID returned by the network entity 1, where the security algorithm list is a list of security algorithms supported by the network entity 1 or A security algorithm list corresponding to the security protection requirement of the service request message, and selecting a service request sent by the UE according to the security algorithm list stored by the UE, the security algorithm list returned by the network entity 1, the security algorithm selection policy, or the security algorithm selection policy ID The security algorithm corresponding to the security protection requirements of the message.
  • the network entity 1 is configured to receive a service request message sent by the UE, send the security algorithm list stored by the network entity 1, the security algorithm list corresponding to the security protection requirement of the service request message, the security algorithm selection policy, or the security algorithm selection policy ID.
  • the communication system of this embodiment can be used to implement the process of the embodiment shown in FIG. 5 of the present invention, wherein the UE can adopt the UE of the embodiment shown in FIG. 21, and the network is the entity 1 can adopt the corresponding embodiment in the embodiment shown in FIG. Network entity.
  • FIG. 25 is a schematic structural diagram of still another embodiment of a communication system according to the present invention.
  • the application server 3 may be further configured to store a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID of the application server 3, where the security algorithm selection policy is set based on security protection requirements. And returning, according to the acquisition request message sent by the UE, the security algorithm list stored by the application server 3, the security algorithm list corresponding to the security protection requirement of the service request message sent by the UE, the security algorithm selection policy, or the security algorithm selection policy ID,
  • the network entity 1 is further configured to obtain, by using the acquisition request message, a security algorithm list stored by the application server 3, or a security algorithm list, a security algorithm selection policy, or a security algorithm selection policy ID corresponding to the security protection requirement, and send the UE to the UE.
  • FIG. 26 is a schematic structural diagram of still another embodiment of a communication system according to the present invention.
  • the embodiments of the present invention can select different security algorithms according to the security protection requirements of different service request messages, so as to perform different security protections on the corresponding services, which not only improves the security of the service, but also comprehensively considers the complexity of each algorithm in the communication system. Degree and occupation overhead, improve the performance of the communication system while effectively protecting the service.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Description

安全算法选择处理方法与装置、 网络实体及通信系统 本申请要求于 2009 年 4 月 3 日提交中国专利局、 申请号为 200910081161.7、 发明名称为"安全算法选择处理方法与装置、 网络实体及 通信系统"的中国专利申请的优先权, 其全部内容通过引用结合在本申请 中。 技术领域 本发明涉及通信技术, 尤其是一种安全算法选择处理方法与装置、 网 络实体及通信系统。 背景技术 长期演进(Long Term Evolve, 以下简称: LTE )是由第三代合作伙伴 计划 ( Third Generation Partnership Project, 以下简称: 3GPP )定义的移动 宽带网络标准的下一个演进目标, 支持在成对频谱和非成对频语上的运行, 可实现对现有和未来的无线频带的高效利用。 如图 1所示, 为作为 LTE系 统中接入网部分的演进的通用移动电信系统陆地无线接入网 ( Evolved UMTS Terrestrial Radio Access Network, 以下简称: E-UTRAN ) 的结构示 意图。 演进基站(Evolved NodeB , 以下简称: eNB )之间通过 X2接口实现 数据和信令的交互。 eNB通过 S 1接口连接到演变分组核心( Evolved Packet Core, 以下简称: EPC ) 网络中的移动性管理实体( Mobility Management Entity, 以下简称: MME )。 eNB 通过 SI 接口连接到服务网关 (Serving Gateway, 以下简称: S-GW )。
如图 2所示,为 LTE系统架构演进( LTE System Architecture Evolution, 以下简称: LTE-SAE ) 系统的安全架构示意图。 该 LTE-SAE系统中, 具有 如下两层安全保护: 一层是用户终端(User Equipment, 以下简称: UE ) 与 eNB之间的接入层( Access Stratum, 以下简称: AS ), 主要用于对 UE与 eNB之间的无线资源控制( Radio Resource Control, 以下简称: RRC )信令 和用户面 ( User Plane, 以下简称: UP ) 的用户数据进行安全保护, 包括 RRC信令的加密保护和完整性保护以及 UP的用户数据的加密; 另一层是 UE和 MME之间的非接入层 ( Non Access Stratum, 以下简称: NAS ), 主 要用于对 UE和 MME之间的 NAS信令进行安全保护, 包括: NAS信令的 加密保护和完整性保护。
在 LTE-SAE系统中, UE的能力包括 UE空口能力( UE radio capability ) 和 UE网络能力( UE network capability )。 其中, UE空口能力使用在 UE与 eNB之间, 主要体现在 UE对于 AS所支持的 AS安全算法列表, 假设该 AS 安全算法列表中算法的集合表示为 {A}。 UE 网络能力使用在 UE 与 MME之间, 包含了 UE在 NAS的安全能力, 体现在对于 NAS所支持的 NAS安全算法的列表,假设该 NAS安全算法列表中算法的集合表示为 {B}。 从 AS与 NAS的安全模式启动成功后启动对数据和信令的安全保护。 启动 AS与 NAS的安全模式时, UE分别向网络实体 eNB、 MME上报 AS安全 算法 {A}与 NAS安全算法 {B}; 假设表示 eNB 自身安全算法支持能力的安 全算法列表为 {a}, 表示 MME 自身安全算法支持能力的安全算法列表为 {b}, eNB从 {{A} Π {a}}中选择 AS的安全算法, 包括: RRC加密算法, 即: 演进的分组系统( Evolved Packet System, 以下简称: EPS ) AS信令加密算 法(EPS AS Encryption Algorithm, 以下简称: EAEA ), RRC完整性保护算 法, 即: EPS AS信令完整性保护算法(EPS AS Integrity Algorithm, 以下简 称: EAIA ), 和用户面加密算法, 即: EPS 用户面加密算法(EPS User-plan Encryption Algorithm, 以下简称: EUEA ), MME从 { {B}门 {b}}中选择 NAS 的安全算法, 包括 EPS NAS加密算法( EPS NAS Encryption Algorithm, 以 下简称: ENEA ) , 和 EPS NAS 完整性保护算法 (EPS NAS Integrity Algorithm, 以下简称: ENIA )。
UE中的 AS安全算法列表与 NAS安全算法列表相同,也即:集合 {A}= 集合 {B}, 当 UE中的 AS安全算法列表包含 eNB的安全算法列表、 UE中 的 NAS安全算法列表包含 MME的安全算法列表时,也即: {a}包含于 {A}、 集合 {b}包含于 {B}时, eNB选择的 AS的安全算法与 MME选择的 NAS的 安全算法可能相同; 并且, UE中的 AS安全算法列表包括了 RRC信令的安 全算法和 UP的安全算法, 因此, 根据现有技术选择的 RRC信令的安全算 法和 UP的安全算法完全相同。 在 LTE-SAE系统中, UE与网络实体支持 的安全算法可能会有多种, 不同安全算法的复杂度与开销有所不同。 一般 而言, 安全级别越高的算法其复杂度与开销越大。 不同的数据类型、 业务 类型与用户需求可能需要不同的安全算法, 甚至不需要进行安全保护, 因 此, 没必要针对所有的业务均采用相同的安全算法。 但是, 现有技术中网 络实体 eNB、 MME无法基于不同的数据类型、 业务类型与用户需求来选择 相应的 AS的安全算法与 NAS的安全算法, 因此, 无法根据不同的数据类 型、 业务类型与用户需求对相应的业务进行不同的安全保护。 发明内容
本发明实施例的目的是: 提供一种安全算法选择处理方法与装置、 网 络实体及通信系统, 以针对不同的业务选择不同的安全算法进行安全保护。
本发明实施例提供的一种安全算法选择处理方法, 包括:
接收用户终端发送的业务请求消息;
根据该业务请求消息的安全保护需求, 从该用户终端与网络实体都支 持的安全算法列表中选择安全算法;
其中, 该用户终端和 /或该网络实体支持的安全算法列表基于不同的安 全保护需求分别设置, 或者, 该用户终端与该网络实体支持的安全算法列 表分别用于表示该用户终端与该网络实体的安全能力。
本发明实施例提供的一种安全算法选择处理装置, 包括:
第一获取模块, 用于获取用户终端发送的业务请求消息的安全保护需 求;
第一选择模块, 用于根据该业务请求消息的安全保护需求, 从该用户 终端与网络实体都支持的安全算法列表中选择安全算法; 该用户终端和 /或 该网络实体支持的安全算法列表基于不同的安全保护需求分别设置, 或者, 该用户终端与该网络实体支持的安全算法列表分别用于表示该用户终端与 该网络实体的安全能力。
本发明实施例提供的一种通信系统, 包括网络实体, 还包括安全算法 选择处理装置, 用于获取该用户终端发送的业务请求消息的安全保护需求, 并根据该业务请求消息对应的安全保护需求, 从该用户终端与该网络实体 都支持的安全算法列表中选择安全算法; 该用户终端和 /或该网络实体支持 的安全算法列表基于不同的安全保护需求分别设置, 或者, 该用户终端与 该网络实体支持的安全算法列表分别用于表示该用户终端与该网络实体的 安全能力。
基于本发明上述实施例提供的安全算法选择处理方法、 安全算法选择 处理装置与通信系统, 由于用户终端和 /或网络实体, 例如: eNB、 MME, 支持的安全算法列表基于不同的安全保护需求分别设置, 可以根据不同业 务请求消息的安全保护需求选择不同的安全算法, 以对相应的业务进行不 同的安全保护, 不但提高了业务的安全性, 还可以综合考虑通信系统中各 算法的复杂度与占用的开销, 在对业务进行有效安全保护的同时提高通信 系统的性能。
本发明实施例提供的一种用户终端, 包括:
第一存储模块, 用于存储该用户终端支持的安全算法列表, 该安全算 法列表基于不同的安全保护需求分别设置或者用于表示该用户终端的安全 能力;
第二获取模块, 用于从该第一存储模块中获取安全算法列表, 或查询 该业务请求消息的安全保护需求, 从该第一存储模块中获取该安全保护需 求对应的安全算法列表;
第一发送模块, 用于生成并向网络实体发送业务请求消息, 该业务请 求消息中包括该第二获取模块获取的安全算法列表;
第一接收模块, 用于接收该网络实体返回的安全算法, 该安全算法根 据该业务请求消息的安全保护需求, 从该用户终端与网络实体都支持的安 全算法列表中选择。
本发明实施例提供的一种网络实体, 包括:
第二存储模块, 用于存储该网络实体支持的安全算法列表或安全算法 选择策略, 该安全算法列表基于不同的安全保护需求分别设置或者用于表 示该网络实体的安全能力, 该安全算法选择策略基于该网络实体支持的安 全算法列表设置;
第二接收模块, 用于接收用户终端发送的业务请求消息, 该业务请求 消息中包括该用户终端支持的安全算法列表;
第二选择模块, 用于根据该第二存储模块中存储的安全算法列表或安 全算法选择策略, 与该业务请求消息中的安全算法列表, 从该用户终端与 该网络实体都支持的安全算法列表中选择该安全保护需求对应的安全算 法;
第二发送模块, 用于将该第二选择模块选择的安全算法发送给该用户 终端。
本发明实施例提供的另一种通信系统, 包括网络实体, 该网络实体中 存储有该网络实体支持的安全算法列表或安全算法选择策略, 该安全算法 列表基于不同的安全保护需求分别设置或用于表示该网络实体的安全能 力, 该安全算法选择策略基于该网络实体支持的安全算法列表设置;
该网络实体用于接收该用户终端发送的业务请求消息, 该业务请求消 息中包括该用户终端支持的安全算法列表或该业务请求消息的安全保护需 求所对应的安全算法列表, 根据该网络实体支持的安全算法列表或安全算 法选择策略, 与该业务请求消息中携带的安全算法列表, 从该用户终端与 该网络实体都支持的安全算法列表中选择该安全保护需求对应的安全算 法, 并将选择的安全算法发送给该用户终端。
基于本发明上述实施例提供的用户终端、 网络实体与另一种通信系统, 由于用户终端和 /或网络实体, 支持的安全算法列表基于不同的安全保护需 求分别设置, 用户终端将其支持的全部安全算法列表或与业务请求消息的 安全保护需求相应的安全算法列表发送给网络实体后, 网络实体就可以从 用户终端与该网络实体支持的安全算法中选择业务请求消息的安全保护需 求相应的安全算法, 以便后续对该业务进行相应的安全保护, 提高了业务 的安全性; 另外, 还可以综合考虑通信系统中各算法的复杂度与占用的开 销, 在对业务进行有效安全保护的同时提高通信系统的性能。
本发明实施例提供的另一种用户终端, 包括:
第一存储模块, 用于存储该用户终端支持的安全算法列表, 该安全算 法列表基于不同的安全保护需求分别设置或用于表示该用户终端的安全能 力;
第一发送模块, 用于生成并向网络实体发送业务请求消息;
第一接收模块, 用于接收该网络实体返回的安全算法列表、 安全算法 选择策略或安全算法选择策略标识, 该安全算法列表为该网络实体支持的 安全算法列表或该安全算法列表中与该业务请求消息的安全保护需求对应 的安全算法列表, 该安全算法选择策略基于该网络实体支持的安全算法列 表设置;
第三选择模块, 用于根据该第一存储模块中存储的安全算法列表, 与 该第一接收模块接收到的安全算法列表, 从该用户终端与该网络实体都支 持的安全算法列表中选择该安全保护需求对应的安全算法。
本发明实施例提供的另一种网络实体, 包括:
第二存储模块, 用于存储该网络实体支持的安全算法列表、 安全算法 选择策略或安全算法选择策略标识, 该安全算法列表基于不同的安全保护 需求分别设置或用于表示该网络实体的安全能力, 该安全算法选择策略基 于该网络实体支持的安全算法列表设置;
第二接收模块, 用于接收用户终端发送的业务请求消息;
第四发送模块, 用于将该第二存储模块中存储的安全算法列表、 该业 务请求消息的安全保护需求对应的安全算法列表、 安全算法选择策略或安 全算法选择策略标识发送给该用户终端。
本发明实施例提供的又一种通信系统, 包括网络实体, 该网络实体中 存储有该网络实体支持的安全算法列表、 安全算法选择策略或安全算法选 择策略标识, 该安全算法列表基于不同的安全保护需求分别设置相应表示 该用户终端或该网络实体的安全能力, 该安全算法选择策略基于该网络实 体支持的安全算法列表设置;
该网络实体用于接收该用户终端发送的业务请求消息, 将该网络实体 存储的安全算法列表、 该安全保护需求对应的安全算法列表、 安全算法选 择策略或安全算法选择策略标识发送给该用户终端, 以便该用户终端根据 该用户终端存储的安全算法列表, 与该网络实体返回的安全算法列表、 安 全算法选择策略或安全算法选择策略标识, 选择该安全保护需求对应的安 全算法。
基于本发明上述实施例提供的另一种用户终端、 另一种网络实体与又 一种通信系统, 由于用户终端和 /或网络实体, 支持的安全算法列表基于不 同的安全保护需求分别设置, 网络实体接收到用户终端发送的业务请求消 息后, 可以将其支持的全部安全算法列表或与业务请求消息的安全保护需 求相应的安全算法列表返回给用户终端, 以便用户终端从该用户终端与网 络实体支持的安全算法中选择业务请求消息的安全保护需求相应的安全算 法, 从而在后续对该业务进行相应的安全保护, 提高了业务的安全性; 另 外, 还可以综合考虑通信系统中各算法的复杂度与占用的开销, 在对业务 进行有效安全保护的同时提高通信系统的性能。 附图说明 图 1为作为 LTE系统中接入网部分的 E-UTRAN的结构示意图; 图 2为 LTE-SAE系统的安全架构示意图;
图 3为本发明实施例的一种安全算法选择处理方法流程图; 图 4为本发明安全算法选择处理方法一个实施例的流程图; 图 5为本发明安全算法选择处理方法另一个实施例的流程图; 图 6为本发明安全算法选择处理方法又一个实施例的流程图; 图 7为本发明安全算法选择处理方法再一个实施例的流程图; 图 8为本发明安全算法选择处理方法还一个实施例的流程图; 图 9为本发明安全算法选择处理方法又一个实施例的流程图; 图 10为本发明安全算法选择处理装置一个实施例的结构示意图; 图 11为本发明安全算法选择处理装置另一个实施例的结构示意图; 图 12为本发明通信系统一个实施例的结构示意图;
图 13为本发明 UE—个实施例的结构示意图;
图 14为本发明 UE另一个实施例的结构示意图;
图 15为本发明 UE又一个实施例的结构示意图;
图 16为本发明网络实体一个实施例的结构示意图;
图 17为本发明网络实体另一个实施例的结构示意图;
图 18为本发明应用服务器一个实施例的结构示意图;
图 19为本发明通信系统另一个实施例的结构示意图;
图 20为本发明通信系统又一个实施例的结构示意图;
图 21为本发明 UE再一个实施例的结构示意图;
图 22为本发明 UE还一个实施例的结构示意图;
图 23为本发明网络实体又一个实施例的结构示意图; 图 24为本发明网络实体再一个实施例的结构示意图;
图 25为本发明通信系统再一个实施例的结构示意图;
图 26为本发明通信系统还一个实施例的结构示意图。 具体实施方式 如图 3所示, 本发明实施例的一种安全算法选择处理方法, 包括: Sl, 接收 UE发送的业务请求消息; S2,根据业务请求消息的安全保护需求, 从 UE与网络实体都支持的安全算法列表中选择安全算法。 其中, UE和 /或网 络实体支持的安全算法列表基于不同的安全保护需求分别设置, 或者, UE 与网络实体支持的安全算法列表分别用于表示 UE与网络实体的安全能力。 由于用户终端和 /或网络实体, 支持的安全算法列表基于不同的安全保护需 求分别设置, 可以根据不同业务请求消息的安全保护需求选择不同的安全 算法, 以对相应的业务进行不同的安全保护, 不但提高了业务的安全性, 还可以综合考虑通信系统中各算法的复杂度与占用的开销, 在对业务进行 有效安全保护的同时提高通信系统的性能。
其中的安全保护需求可以包括数据类型、 业务类型与用户需求中的任 意一种或多种。 例如: 数据类型对应的安全保护级别需求或安全算法列表, 业务类型对应的安全保护级别需求或安全算法列表或安全算法策略, 其中, 业务类型对应的安全算法策略用于表示该业务类型在不同条件下的安全保 护级别需求。 具体地, 数据类型可以是 RRC信令、 UP的用户数据或 NAS 信令。 安全算法可以是 RRC加密算法、 RRC完整性保护算法、 UP加密算 法、 UP完整性保护算法、 NAS加密算法或 NAS完整性算法。
作为本发明的一个实施例, UE支持的安全算法列表包括该 UE的空口 安全能力 Radio Capability算法列表与网络安全保护能力 Network Capability 算法列表。 UE 发送的业务请求消息具体可以是服务请求消息 Service Request或者附着请求消息 Attach Requests 本发明的实施例中, UE的安全能力, 例如: 算法能力集, 可以按照不 同数据类型安全保护需求的不同, 例如: 区分信令与用户面数据, 来分别 定义不同的算法能力集, 为不同数据类型或者不同安全保护层次提供该用 UE 支持的、 不同的安全保护算法列表。 其中的安全保护层次包括 AS 与 NAS。 网络实体的安全能力具体可以为不同数据类型或者不同安全保护层 次提供该网络实体支持的、 不同的安全保护算法列表。 由于不同安全算法 的复杂度不同, 占用的开销与加解密、 完整性验证码的计算和校验的效率 也不同, 不同数据类型的数据包以及流量的特点是不一样的, 对于安全保 护需求也不同, 例如: 信令和用户数据为不同的数据类型。 本发明实施例 中, UE 的安全能力基于不同的数据类型、业务类型或用户需求的安全保护 需求, 在 UE和 /或网络实体中设置不同的安全算法能力集, 这样, UE或网 络实体就可以根据不同的安全保护需求选择不同的安全算法来相应的业务 进行安全保护, 不但提高了业务的安全性, 还可以综合考虑通信系统中各 算法的复杂度与占用的开销, 在对业务进行有效安全保护的同时提高通信 系统的性能。
由于数据量大, 完整性算法占用的开销太大, 对于系统的性能影响太 大, 现有技术中, 对于 UP的用户数据, 并没有进行完整性保护。 但是在某 些场合, 例如: 在安全级别要求较高的防篡改、 需要准确保证数据正常传 输的场合, 也有实际的数据完整性保护的需求。 或者, 基于高安全级别安 全算法性能的局限性, 本发明实施例中可以根据安全算法本身的特点, 例 如: 复杂度、 占用的开销等, 来根据用户订阅的安全保护需求预先设置相 应的安全算法列表, 从而可以采用较为适合和完整性保护算法, 例如: 采 用较低计算量的完整性算法, 或者特定部分数据完整性校验的方法, 来对 相应的 UP的用户数据进行完整性保护。
在本发明的实施例中, 网络实体具体可以是 eNB, 也可以是 MME。 网 络实体为演进基站 eNB时,相应的业务请求消息为 RRC请求消息或 UP的 用户数据,接收 UE发送的业务请求消息具体为: eNB接收 UE发送的 RRC 请求消息或 UP的用户数据。 网络实体为 MME时, 相应的业务请求消息为 NAS请求消息, 接收 UE发送的业务请求消息具体为: MME接收由 eNB 转发的、 由 UE发送的 NAS请求消息。
具体从 UE 与网络实体都支持的安全算法列表中选择业务请求消息的 安全保护需求对应的安全算法时,若 UE与网络实体都支持的安全算法列表 中与业务请求消息的安全保护需求对应的安全算法有多种, 则可以才 据预 先设定的优先级顺序, 从符合条件的算法中选择用于业务保护的安全算法。 该预先设定的优先级顺序可以包含在安全算法列表本身中, 也可以在安全 算法列表以外的位置存储安全算法列表中各安全算法的优先级顺序。
本发明实施例的安全算法选择处理方法之前, 可以在 UE和 /或网络实 体中, 根据不同的安全保护需求分别设置不同的安全算法列表, 并可以根 据实际需求, 对 UE的和 /或网络实体中安全算法列表进行增加、 删除或更 新。
通过本发明实施例,从 UE与网络实体都支持的安全算法列表中选择业 务请求消息的安全保护需求对应的安全算法后, UE与网络实体之间,例如: UE与 eNB之间, UE与 MME之间, 就可以根据选择的安全算法对业务进 行安全保护。
具体地,在 LTE-SAE系统中, eNB从该 eNB自身与 UE都支持的安全 算法列表中选择出 RRC加密算法、 RRC完整性保护算法、 UP加密算法、 UP完整性保护算法后, eNB向 UE发送经过完整性保护的 AS安全模式命 令, 其中携带有密钥标识 KSIasme、 EAEA、 EAIA、 EUEA和 AS消息完整 性保护的认证码 ( AS Message Authentication Codes, 以下简称: AS-MAC ), UE进入 AS安全模式并向 eNB返回经过完整性保护的 AS安全模式响应, 其中携带有 AS-MAC, 从而启动 AS的安全模式, 从 AS的安全模式启动成 功后, 通过 eNB 选择的安全保护算法对数据和信令进行安全保护。 MME 从该 MME自身与 UE都支持的安全算法列表中选择出 ENEA与 ENIA后, 向 UE发送经过完整性保护的 NAS 安全模式命令, 其中携带有密钥标识 KSIasme, ENEA, ENIA与 NAS消息完整性保护的认证码( NAS Message Authentication Codes, 以下简称: NAS-MAC ), UE进入 NAS安全模式并向 MME返回经过完整性保护的 NAS安全模式响应, 其中携带有 NAS-MAC, 从而启动 NAS的安全模式, 从 NAS的安全模式启动成功后, 通过 MME 选择的安全保护算法对数据和信令进行安全保护。
如图 4所示, 为本发明安全算法选择处理方法一个实施例的流程图, 其包括以下步骤:
步骤 101, 网络实体接收 UE发送的业务请求消息, 该业务请求消息中 包括 UE支持的安全算法列表。
其中的网络实体可以是 eNB或者 MME。 若网络实体是 eNB, 则 eNB 可以与 UE进行信息交互,直接从 UE获得 UE支持的安全算法列表。另夕卜, UE也可以将其支持的安全算法列表发送给 MME, eNB从 MME获取 UE 支持的安全算法列表。 若网络实体是 MME, 由于 MME通过 eNB与 UE进 行信息交互, UE先将业务请求消息发送给 eNB, 再由 eNB将该业务请求 消息转发给 MME。 其它实施例中的消息发送流程同理, 不再赘述。
另外,步骤 101中的业务请求消息中也可以不包括 UE支持的安全算法 列表, 而由网络实体预先存储 UE支持的安全算法列表,或者由应用服务器 中存储的关于 UE的安全能力信息提供。
步骤 102,网络实体根据预先设置的业务请求消息与安全保护需求之间 的对应关系信息, 获取 UE发送的业务请求消息的安全保护需求。
步骤 103,网络实体获取自己支持的安全算法列表中与安全保护需求对 应的安全算法列表,以及获取 UE支持的安全算法列表中与安全保护需求对 应的安全算法列表。
具体地,若网络实体与 UE中只有一个安全算法列表基于不同的安全保 护需求分别设置, 则仅对基于不同的安全保护需求分别设置安全算法列表 的 UE或网络实体执行该步骤 103的操作,而认为未基于不同的安全保护需 求分别设置的安全算法列表中的安全算法适用于所有的安全保护需求, 也 就是说, 不论安全保护需求是什么, 针对该安全保护需求, 从该未基于不 同的安全保护需求分别设置安全算法列表的 UE或网络实体中获取的安全 算法都是该 UE或网络实体中的所有安全算法列表。其它实施例同理。例如: 假设 UE支持的安全算法列表包括 A、 B、 C三种算法, 且该安全算法列表 未基于不同的安全保护需求分别设置, 而网络实体支持的安全算法列表包 括八、 B、 D、 E、 F五种算法, 该安全算法列表中, 与第一用户需求对应的 安全算法为 A与 B, 与第二用户需求对应的安全算法为 D、 E与 F, 则若用 户终端发送的业务请求消息的安全保护需求为第一用户需求,则从 UE获取 的与该第一用户需求对应的安全算法 UE 支持的安全算法列表中的所有安 全算法, 即: A、 B与 C, 从网络实体获取的与该第一用户需求对应的安全 算法为八与 B。
步骤 104, 网络实体从获取的安全算法列表中, UE与网络实体都支持 的安全算法列表中选择一种作为该业务请求消息所请求业务的安全保护算 法。
根据步骤 103中的实例, 可以选择 A或 B作为该业务请求消息所请求 业务的安全保护算法。 若预先设置了 A安全算法与 B安全算法的优先级顺 序, 则根据优先级顺序选择 A或 B作为该业务请求消息所请求业务的安全 保护算法。 否则, 可以根据其它规则或随机选择 A或 B作为该业务请求消 息所请求业务的安全保护算法。
在上述图 4所示的实施例中,由 UE在发送给网络实体的业务请求消息 时携带 UE支持的安全算法列表, 由网络实体直接根据 UE支持的安全算法 列表与网络实体支持的安全算法列表中选择相应的安全保护算法, 对现有 技术的流程改动较小, 并且流程简单, 易于实现。 本发明实施例中的步骤 103与步骤 104可以没有时间顺序关系, 例如: 步骤 104也可以先于或同时与步骤 103执行。 例如: 可以先通过步骤 104 选择 UE和网络实体都支持的安全算法,则从中选择出与业务请求消息的安 全保护需求对应的安全算法。还是基于步骤 103的实施例,从 UE的安全算 法列表和网络实体的安全算法列表中选择出二者都支持的安全算法为 A与 B, 再从 A与 B中选择出与第一用户需求对应的安全算法: A与 B, 之后 可以根据优先级顺序或随机选择 A或 B作为该业务请求消息所请求业务的 安全保护算法。作为本发明实施例的一个具体应用,假设 UE支持的安全算 法列表如下表 1 所示。 其中, 在信令协议中的标识包括该安全算法支持的 密钥长度-安全算法名称缩写,例如: "128-EEA0"表示名称为 Null ciphering algorithm的安全算法支持的密钥长度为 128,该安全算法名称缩写为 EEA0。
" V " 表示该安全算法适用于某项业务, " V "表示该安全算法不适用于某 项业务, 根据表 1, 安全算法 Null ciphering与 AES适用于 RRC加密业务, 安全算法 SNOW 3G不适用于 RRC加密业务, 也就是说: 对于 RRC加密 算法, UE支持 Null ciphering与 AES安全算法。 进一步地, 可以按照安全 算法被选择的优先级顺序来为安全算法分配安全算法编号, 也就是说, 在 某一安全保护需求对应的各种算法中, 可以优先选择编号较小或者编号较 大的算法作为对相应业务进行安全保护的算法。
表 1 UE支持的安全算法列表 安 在^ ?中 安全算法名称 ^加 ··· ··· ^加密
00002" 128-EEAO Null ciphering V ··. ··. X algorithm
"00012" 128-EEA1 SNOW 3G X ··. ··. V
"00102" 128-EEA2 AES V …… V eNB支持的安全算法列表如下表 2所示, eNB支持的安全算法适用于 所有业务的安全保护需求, 也就是说, eNB 支持的安全算法列表未基于不 同的安全保护需求分别设置。
eNB支持的安全算法列表
安全算法编号 在信令协议中的标识 安全算法名称
00002" 128-EEA0 Null ciphering algorithm "00012" 128-EEA1 SNOW 3G
"00102" 128-EEA2 AES 表 1与表 2中的安全保护需求仅以数据类型为例。 若网络实体接收到 UE发送的业务请求消息为 RRC请求消息,则确定其数据类型为 RRC信令, 根据步骤 103, 从 RRC请求消息中 UE支持的安全算法列表中选择的安全 算法列表包括安全算法 Null ciphering与 AES,从 eNB支持的安全算法列表 中选择的安全算法列表包括安全算法 Null ciphering、 SNOW 3G与 AES, 因 此, eNB可从 Null ciphering与 AES中选择一种安全算法作为 RRC信令的 加密算法。 若表 1与表 2中的安全算法按照从高到低的优先级顺序排列, 则 eNB选择 Null ciphering与 AES中优先级较高的 Null ciphering作为 RRC 信令的加密算法。 而针对 UP的用户数据选择 SNOW 3G安全算法, 这样, 对 UP的用户数据与 RRC信令就选择了不同多个安全算法。 在本发明的各 实施例中,若网络实体与 UE中对安全算法的优先级排列顺序冲突,可以根 据预先设定,按照 UE或网络实体中的优先级顺序选择,或者优先级顺序冲 突的安全算法都不选择, 或者直接结束本次安全算法选择。
另外, 在步骤 101之前, UE可以根据其将要发送的业务请求消息的安 全保护需求,从该 UE支持的安全算法列表中选择该安全保护需求对应的安 全算法列表;相应的,步骤 101中,业务请求消息中包括的是该 UE支持的、 安全保护需求对应的安全算法列表; 步骤 103 中, 仅需网络实体获取自己 支持的安全算法列表中与获取的安全保护需求对应的安全算法即可, 若网 络实体中的安全算法列表未基于不同的安全保护需求分别设置, 则网络实 体获取自己支持的安全算法列表。
如图 5所示,为本发明安全算法选择处理方法另一个实施例的流程图, 其包括以下步骤:
步骤 201, 网络实体接收 UE发送的业务请求消息。
步骤 202, 网络实体获取自己支持的向安全算法列表, 并发送给 UE。 步骤 203, UE根据预先设置的业务请求消息与安全保护需求之间的对 应关系信息, 获取 UE发送的业务请求消息的安全保护需求。
其中, 步骤 203与步骤 202之间没有严格的时间关系限制, 步骤 203 也可以与步骤 202同时执行或先于步骤 202执行。
步骤 204, UE从该 UE与网络实体都支持的安全算法列表中选择安全 保护需求对应的安全算法。
具体地, UE可以参考步骤 103-104的方式选择从该 UE与网络实体都 支持的安全算法列表中选择安全保护需求对应的安全算法。
在上述图 5所示的实施例中,网络实体在接收到 UE发送的业务请求消 息后, 向 UE反馈该网络实体支持的安全算法列表, 由 UE直接根据 UE支 持的安全算法列表与网络实体支持的安全算法列表中选择相应的安全保护 算法, 不需要 UE向网络实体上报其支持的安全算法列表, 因此, 可以较为 快速的选择出安全保护需求对应的安全算法。
或者, 在步骤 201 之后, 网络实体可以根据预先设置的业务请求消息 与安全保护需求之间的对应关系信息,获取 UE发送的业务请求消息的安全 保护需求, 并从自己支持的安全算法列表中与获取的安全保护需求对应的 安全算法列表。 相应的, 步骤 202 中, 网络实体仅将获取的安全保护需求 对应的安全算法列表发送给 UE。 步骤 204中, UE从网络实体发送的安全 保护需求对应的安全算法列表与 UE自身中与通过步骤 203获取的安全保护 需求对应的安全算法列表中, 选择一种安全算法作为业务消息所请求业务 的安全保护算法。
若 UE中的安全算法列表未基于不同的安全保护需求分别设置,则不需 要执行步骤 203。 相应的, 步骤 204中, UE从网络实体发送的安全保护需 求对应的安全算法列表与 UE自身支持的安全算法列表中,选择一种安全算 法作为业务消息所请求业务的安全保护算法。
或者, 在网络实体中存储有安全算法选择策略时, 步骤 201 之后, 向 UE返回网络实体支持的安全算法选择策略,该安全算法选择策略基于网络 实体支持的安全算法列表设置, 例如: 安全算法选择策略可以是在网络实 体支持的安全算法列表中, 各种数据类型、 业务类型与用户需求具体对应 的安全算法, 或进一步包括安全算法的优先级顺序。 相应的, 步骤 204中, UE根据网络实体发送的安全算法选择策略, 从 UE与网络实体都支持的安 全算法列表中选择安全保护需求对应的安全算法。
网络实体中可以存储多个安全算法选择策略, 这些安全算法选择策略 的相关信息, 例如: 策略名称、 策略标识( identifier, 以下简称: ID )、 安 全保护需求应用的安全算法在终端与网络实体都是同步的, 或者, 网络实
¼算算算应.
体与 UE对对方所能支持的安全算法选择策略是可知的安法法法用。当网络实体启用安 全 D B c
全算法的时候, 可以将安全算法选择策略通过安全保护的消t息传递给 UE, 法法法法 、
指示 UE采用相应的安全算法保护后续的通信业务。 如下表 3、全 A D B c表 4所示, 算 分别为网络实体中存储的安全算法策略一和安全算法策略二。 安全法算法策 略给出了针对不同的数据类型、 业务类型与用户需求具体应用的安全算法。
表 3 安全算法策略一
安全保护需求
数据类型一 / 业务类型一
数据类型二 / 业务类型二
数据类型三 / 业务类型三
数据类型四 I 业务类型四 表 4 安全算法策略二
安全保护需求 应,
数据类型一 I 用户 AAAAAAA
数据类型二 I 用户 CCCCCCC
数据类型三 I 用户 EEEEEEEE 数据类型四 I 用户 xxxxxxx 算法 A 进一步地, 若 UE中也存储有与网络实体中相同的安全算法选择策略, 并且 UE与网络实体都存储有安全算法选择策略与安全算法选择策略 ID时, 为了减少网络流量, 尽可能少地占用有限的网络带宽资源, 网络实体可以 仅将与用户终端发送的业务请求消息对应的安全算法选择策略的安全算法 选择策略 ID发送给 UE。在步骤 204中, UE确定网络实体发送的安全算法 选择策略 ID所标识的安全算法选择策略, 并根据该安全算法选择策略, 从 UE 与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算 法。
为了进一步对不同安全保护需求的安全算法进行限制, 便于对安全算 法的选择进行统一管理和更新, 可以在通信网络中设置一个应用服务器, 在其中基于不同的安全保护需求分别设置安全算法列表、 安全算法选择策 略或安全算法选择策略 ID, 其中的安全算法选择策略基于安全保护需求设 置, 其设置方法可以参考网络实体中安全算法选择策略的设置方法。 具体 选择业务请求消息所请求业务的安全算法时,从 UE与网络实体都支持且应 用服务器存储的安全算法列表中选择安全算法。可以预先设定,在 UE或网 络实体选择的安全算法与应用服务器选择的安全算法冲突时, 以应用服务 器选择的安全算法为准。
如图 6所示,为本发明安全算法选择处理方法又一个实施例的流程图, 其包括以下步骤:
步骤 301, UE向应用服务器发送获取请求消息, 获取该应用服务器存 储的安全算法列表, 或该安全算法列表中与将要发送的业务请求消息的安 全保护需求对应的安全算法列表, 或安全算法选择策略, 或安全算法选择 策略 ID。
步骤 302, UE根据自身支持的安全算法列表, 与从应用服务器获取的 安全算法列表、安全算法选择策略或安全算法选择策略 ID,相应选择该 UE 支持且应用服务器存储的安全算法列表,或选择该 UE支持且应用服务器存 储的、 业务请求消息的安全保护需求对应的安全算法列表。
若 UE从应用服务器获取的是安全算法选择策略 ID, UE先根据安全算 法选择策略与安全算法选择策略 ID之间的对应关系获取相应的安全算法选 择策略。
UE选择的安全算法列表具体是 UE支持且应用服务器存储的、 且与业 务请求消息的安全保护需求对应的安全算法列表,还是 UE支持且应用服务 器存储的安全算法列表, 可以根据通信需求预先设定。
步骤 303, UE向网络实体发送业务请求消息, 该业务请求消息中包括 UE选择的安全算法列表, 具体为 UE支持且应用服务器存储的安全算法列 表,或 UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对 应的安全算法列表。
步骤 304,网络实体根据预先设置的业务请求消息与安全保护需求之间 的对应关系信息, 获取 UE发送的业务请求消息的安全保护需求。
步骤 305, 若业务请求消息中包括的是 UE支持且应用服务器存储的、 且与业务请求消息的安全保护需求对应的安全算法列表, 网络实体获取自 己支持的安全算法列表中与获取的安全保护需求对应的安全算法列表。
若业务请求消息中包括的是 UE 支持且应用服务器存储的安全算法列 表, 则该步骤 305 中, 网络实体还从该安全算法列表中选择出安全保护需 求对应的安全算法列表。
具体业务请求消息中包括的安全算法列表是 UE 支持且应用服务器存 储的、 且与业务请求消息的安全保护需求对应的安全算法列表, 还是 UE 支持且应用服务器存储的安全算法列表, 可以根据通信需求预先设定。
步骤 306, 网络实体从自己支持的、且与业务请求消息的安全保护需求 对应的安全算法列表, 与业务请求消息中 UE选择的安全算法列表中,选择 一种作为该业务请求消息所请求业务的安全保护算法。
在上述图 6所示的实施例中, UE先选择出该 UE支持且应用服务器存 储的安全算法列表,或选择该 UE支持且应用服务器存储的、业务请求消息 的安全保护需求对应的安全算法列表,再发送给网络实体,减少了 UE发送 全部该 UE支持的全算法列表与应用服务器存储的全算法列表的网络流量。 并且, 网络实体选择安全算法列表时还考虑了应用服务器存储的安全算法 列表, 进一步限制了不同安全保护需求的安全算法, 便于对安全算法的选 择进行统一管理和更新。
如图 7所示,为本发明安全算法选择处理方法再一个实施例的流程图, 其包括以下步骤:
步骤 401, UE向应用服务器发送获取请求消息, 获取该应用服务器存 储的安全算法列表, 或该安全算法列表中与将要发送的业务请求消息的安 全保护需求对应的安全算法列表, 或安全算法选择策略, 或安全算法选择 策略 ID。
步骤 402, UE向网络实体发送业务请求消息, 该业务请求消息中包括 UE支持的安全算法列表,或该安全算法列表中与将要发送的业务请求消息 的安全保护需求对应的安全算法列表, 与获取的应用服务器存储的安全算 法列表, 或该安全算法列表中与安全保护需求对应的安全算法列表, 或安 全算法选择策略, 或安全算法选择策略 ID。
该业务请求消息中的安全算法列表具体是 UE支持的安全算法列表,还 是该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安 全算法列表, 是应用服务器存储的安全算法列表, 还是该安全算法列表中 与安全保护需求对应的安全算法列表, 可以根据通信需求预先设定。
步骤 403,网络实体根据预先设置的业务请求消息与安全保护需求之间 的对应关系信息, 获取 UE发送的业务请求消息的安全保护需求。
步骤 404, 若业务请求消息中包括的是 UE支持且应用服务器存储的、 与该安全保护需求对应的安全算法列表, 网络实体获取自己支持的安全算 法列表中与获取的安全保护需求对应的安全算法列表。
若业务请求消息中包括的是 UE支持的安全算法列表,与应用服务器存 储的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 则该步骤 404中, 网络实体还分别选择出 UE支持且应用服务器存储的、 与该安全保 护需求对应的安全算法列表。
如果业务请求消息中包括应用服务器的安全算法选择策略 ID, 则需要 预先在网络实体与应用服务器中设置相同的安全算法选择策略与安全算法 选择策略 ID之间的对应关系, 网络实体根据安全算法选择策略 ID获取相 应的安全算法选择策略。
具体业务请求消息中包括的安全算法列表是 UE 支持且应用服务器存 储的、且与该安全保护需求对应的安全算法列表,还是 UE支持且应用服务 器存储的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 可以 根据通信需求预先设定。
步骤 405, 网络实体从自己支持的、且与该安全保护需求对应的安全算 法列表,和 UE支持且应用服务器存储的、与该安全保护需求对应的安全算 法列表中, 选择一种作为该业务请求消息所请求业务的安全保护算法。
在上述图 7所示的实施例中, UE将该 UE支持的安全算法列表与应用 服务器存储的安全算法列表, 或该安全算法列表中与安全保护需求对应的 安全算法列表, 或安全算法选择策略, 或安全算法选择策略 ID, 发送给网 络实体, 网络实体选择安全算法列表时还考虑了应用服务器存储的安全算 法列表, 进一步限制了不同安全保护需求的安全算法, 便于对安全算法的 选择进行统一管理和更新。
如图 8所示,为本发明安全算法选择处理方法还一个实施例的流程图, 其包括以下步骤:
步骤 501, UE向网络实体发送业务请求消息, 该业务请求消息中包括 UE支持的安全算法列表, 或 UE根据该业务请求消息的安全保护需求, 从 自己支持的安全算法列表选择出来的与安全保护需求对应的安全算法列 表。
业务请求消息中的安全算法列表具体是 UE支持的、 且与业务请求消 息的安全保护需求对应的安全算法列表,还是 UE支持的安全算法列表,可 以根据通信需求预先设定。
步骤 502, 网络实体接收到 UE发送的业务请求消息之后, 获取应用服 务器存储的安全算法列表、 该应用服务器存储的且与该安全保护需求对应 的安全算法列表、 安全算法选择策略或安全算法选择策略 ID。
步骤 503,网络实体根据预先设置的业务请求消息与安全保护需求之间 的对应关系信息, 获取 UE发送的业务请求消息的安全保护需求。
步骤 504, 若网络实体通过步骤 501与步骤 502获得的是 UE与应用服 务器都支持的、 业务请求消息的安全保护需求对应的安全算法列表, 网络 实体获取自己支持的安全算法列表中与获取的安全保护需求对应的安全算 法列表。
若网络实体通过步骤 501与步骤 502获得的是 UE支持的安全算法列 表, 与应用服务器存储的安全算法列表、 安全算法选择策略或安全算法选 择策略 ID, 则该步骤 504中, 网络实体还分别选择出 UE支持且应用服务 器存储的、 与安全保护需求对应的安全算法列表。
如果业务请求消息中包括应用服务器的安全算法选择策略 ID, 则需要 预先在网络实体与应用服务器中设置相同的安全算法选择策略与安全算法 选择策略 ID之间的对应关系, 网络实体根据安全算法选择策略 ID获取相 应的安全算法选择策略。
步骤 505, 网络实体从自己支持的、且与该安全保护需求对应的安全算 法列表, 与 UE支持且应用服务器存储的、与该安全保护需求对应的安全算 法列表中, 选择一种作为该业务请求消息所请求业务的安全保护算法。 在上述图 8所示的实施例中,网络实体接收到 UE发送的业务请求消息 后, 自己获取而不需要 UE获取再发送应用服务器存储的安全算法列表,或 该安全算法列表中与安全保护需求对应的安全算法列表, 或安全算法选择 策略, 或安全算法选择策略 ID, 减少了 UE发送应用服务器的安全算法列 表, 或安全算法选择策略, 或安全算法选择策略 ID所占用的网络带宽; 另 外, 网络实体选择安全算法列表时还考虑了应用服务器存储的安全算法列 表, 进一步限制了不同安全保护需求的安全算法, 便于对安全算法的选择 进行统一管理和更新。
通过图 4中的步骤 104, 图 6中的步骤 306, 图 7中的步骤 405, 与图 8中的步骤 505, 网络实体选择出安全算法之后, 可以通过安全模式命令将 该选择的安全算法发送给 UE, 以便于 UE与网络实体通过该安全算法对相 应的业务进行安全保护。 具体地, 若网络实体是 eNB, 则 eNB可以直接将 选择的安全算法发送给 UE; 若网络实体是 MME, 则 MME可以将选择的 安全算法发送给 eNB, 由 eNB将该安全算法转发给 UE, 网络实体向 UE 发送的其它消息流程类同, 不再赘述。
如图 9所示,为本发明安全算法选择处理方法又一个实施例的流程图, 其包括以下步骤:
步骤 601, UE向应用服务器发送获取请求消息, 获取该应用服务器存 储的安全算法列表, 或该安全算法列表中与将要发送的业务请求消息的安 全保护需求对应的安全算法列表, 或安全算法选择策略, 或安全算法选择 策略 ID。
若从应用服务器获取的是安全算法选择策略 ID,UE需要根据安全算法 选择策略与安全算法选择策略 ID之间的对应关系获取相应的安全算法选择 策略。
步骤 602, UE向网络实体发送业务请求消息。
另外, 步骤 602也可以与步骤 601同时执行或先于步骤 601执行。 步骤 603, 网络实体接收到 UE发送的业务请求消息之后, 向 UE返回 该网络实体支持的安全算法列表, 或其中与安全保护需求对应的安全算法 列表, 或安全算法选择策略, 或安全算法选择策略 ID, 该安全算法选择策 略基于网络实体支持的安全算法列表设置。
若网络实体返回的是安全算法选择策略 ID,UE需要根据安全算法选择 策略与安全算法选择策略 ID之间的对应关系获取相应的安全算法选择策 略。
网络实体返回的具体是其支持的安全算法列表, 还是其中安全保护需 求对应的安全算法列表,还是安全算法选择策略,还安全算法选择策略 ID, 可以根据通信需求预先设定。
步骤 604, UE根据自己支持的安全算法列表, 与应用服务器存储的安 全算法列表或安全算法选择策略, 与网络实体的安全算法列表或安全算法 选择策略, 选择出与该业务请求消息的安全保护需求对应的安全算法。
具体地, 该步骤 604中, UE可以先分别选择出 UE与网络实体都支持 且应用服务器存储的、 与安全保护需求对应的安全算法列表, 如果网络实 体或应用服务器本身返回的就是其支持的、 且与安全保护需求对应的安全 算法列表, 则无需执行该操作。 然后, 再进一步从三个安全算法列表中选 择出一个共有的安全算法。 具体实现可以参考图 4-图 8中的相应步骤。 另 外, 如果网络实体或应用服务器本身返回的都是其支持的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, UE也可以先选择出 UE与网络 实体都支持且应用服务器存储的安全算法列表, 再从中选择出一个与安全 保护需求对应的安全算法。
在上述图 9所示的实施例中,由 UE获取网络实体支持的安全算法列表 与应用服务器存储的安全算法列表, 或该安全算法列表中与安全保护需求 对应的安全算法列表, 或安全算法选择策略, 或安全算法选择策略 ID, 据 此选择 UE 与网络实体都支持且应用服务器存储的与安全保护需求对应的 安全算法列表, 对现有技术的流程改动较小; 另外, UE选择安全算法列表 时还考虑了应用服务器存储的安全算法列表, 进一步限制了不同安全保护 需求的安全算法, 便于对安全算法的选择进行统一管理和更新。
如图 10所示,为本发明安全算法选择处理装置一个实施例的结构示意 图, 其包括第一获取模块 701 与第一选择模块 702。 其中, 第一获取模块 701用于获取 UE发送的业务请求消息的安全保护需求。 第一选择模块 702 用于根据业务请求消息的安全保护需求,从 UE与网络实体都支持的安全算 法列表中选择安全算法。其中, UE和 /或网络实体支持的安全算法列表基于 不同的安全保护需求分别设置, 或者, UE与网络实体支持的安全算法列表 分别用于表示 UE与网络实体的安全能力。
如图 11所示, 为本发明安全算法选择处理装置另一个实施例的结构示 意图, 与图 10所示的实施例相比, 该实施例中的第一选择模块 702包括第 一获取单元 7021与第一选择单元 7022。 其中, 第一获取单元 7021用于获 取 UE支持的安全算法列表, 或 UE支持的、 且与该 UE发送的业务请求消 息的安全保护需求对应的安全算法列表, 与网络实体支持的安全算法列表、 该安全算法列表中与该业务请求消息的安全保护需求对应的安全算法列 表、 安全算法选择策略或安全算法选择策略 ID, 该安全算法选择策略基于 网络实体支持的安全算法列表设置。 第一选择单元 7022用于根据第一获取 单元 7021从 UE获取的安全算法列表,与从网络实体获取的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 选择该安全保护需求对应的安 全算法。
进一步地, 在图 11所示的实施例中, 第一获取单元 7021还可以获取 应用服务器存储的安全算法列表、 该安全算法列表中与该业务请求消息的 安全保护需求对应的安全算法列表、 安全算法选择策略或安全算法选择策 略 ID, 该安全算法选择策略基于安全保护需求设置, 应用服务器存储的安 全算法列表基于不同的安全保护需求分别设置。相应的,第一选择单元 7022 用于根据第一获取单元 7021从 UE获取的安全算法列表, 与分别从网络实 体和应用服务器获取的安全算法列表、 安全算法选择策略或安全算法选择 策略 ID, 选择 UE、 网络实体与应用服务器都支持的、且与该安全保护需求 对应的安全算法。
由于 UE、网络实体和 /或应用服务器的安全算法列表基于不同的安全保 护需求分别设置, 本发明实施例的安全算法选择处理装置可以根据不同业 务请求消息的安全保护需求选择不同的安全算法,以对 UE与网络实体之间 相应的业务进行不同的安全保护, 不但提高了业务的安全性, 还可以综合 考虑通信系统中各算法的复杂度与占用的开销, 在对业务进行有效安全保 护的同时提高通信系统的性能。
本发明上述各实施例提供的安全算法选择处理装置可用于实现本发明 上述实施例中各安全算法选择处理的相应流程。
本发明实施例提供的一种通信系统, 包括网络实体 1与安全算法选择 处理装置 2。 其中, 安全算法选择处理装置 2用于获取 UE发送的业务请求 消息的安全保护需求, 并根据该业务请求消息对应的安全保护需求, 从 UE 与网络实体 1都支持的安全算法列表中选择安全算法。其中, UE和 /或网络 实体 1支持的安全算法列表基于不同的安全保护需求分别设置, 或者, UE 与网络实体 1支持的安全算法列表分别用于表示该 UE与网络实体 1的安全 能力。 该实施例中的安全算法选择处理装置 2可基于图 10或图 11所示实 施例的安全算法选择处理装置实现。
进一步地,通信系统中还可以包括应用服务器 3, 用于存储该应用服务 器 3存储的安全算法列表、 安全算法选择策略或安全算法选择策略标识, 其中的安全算法选择策略基于安全保护需求设置, 应用服务器 3存储的安 全算法列表基于不同的安全保护需求分别设置。 相应的, 安全算法选择处 理装置 2还可以获取应用服务器 3存储的安全算法列表、 安全算法选择策 略或安全算法选择策略 ID, 根据从 UE获取的安全算法列表, 与分别从网 络实体 1和应用服务器 3获取的安全算法列表、 安全算法选择策略或安全 算法选择策略 ID, 选择与 UE发送的业务请求消息的安全保护需求对应的 安全算法。 其中, 网络实体 1的安全算法选择策略基于该网络实体 1支持 的安全算法列表设置。 该实施例中的安全算法选择处理装置 2可基于图 11 所示实施例的安全算法选择处理装置实现。 如图 12所示, 为本发明通信系 统一个实施例的结构示意图, 该实施例的安全算法选择处理装置 2采用图 11所示实施例的安全算法选择处理装置。
如图 13所示,为本发明 UE—个实施例的结构示意图,该实施例的 UE 可以实现本发明图 4与图 8所示实施例中的相应流程, 其包括第一存储模 块 801、 第二获取模块 802、 第一发送模块 803与第一接收模块 804。 其中, 第一存储模块 801用于存储 UE支持的安全算法列表,该安全算法列表基于 不同的安全保护需求分别设置或者用于表示该 UE的安全能力。第二获取模 块 802用于从第一存储模块 801 中获取安全算法列表, 或查询业务请求消 息的安全保护需求, 从第一存储模块 801 中获取该安全保护需求对应的安 全算法列表。 第一发送模块 803用于生成并向网络实体发送业务请求消息, 业务请求消息中包括第二获取模块 802获取的安全算法列表。 第一接收模 块 804用于接收网络实体根据该业务请求消息返回的安全算法, 该安全算 法根据业务请求消息的安全保护需求,从 UE与网络实体都支持的安全算法 列表中选择。
如图 14所示, 为本发明 UE另一个实施例的结构示意图, 该实施例的 UE可以实现本发明图 7所示实施例中的相应流程。 与图 13所示的实施例 相比, 该实施例的 UE还包括第三获取模块 805, 用于获取应用服务器存储 的安全算法列表, 或其中与安全保护需求对应的安全算法列表, 或安全算 法选择策略, 或安全算法选择策略 ID, 该安全算法选择策略基于安全保护 需求设置, 应用服务器存储的安全算法列表基于不同的安全保护需求分别 设置。 相应的, 第一发送模块 803 向网络实体发送的业务请求消息中包括 第二获耳 莫块 802从第一存储模块 801 中获取的安全算法列表和第三获取 模块 805从应用服务器获取的安全算法列表、 安全算法选择策略、 或安全 算法选择策略 ID。
如图 15所示, 为本发明 UE又一个实施例的结构示意图, 该实施例的 UE可以实现本发明图 6所示实施例中的相应流程。 与图 13所示的实施例 相比, 该实施例的 UE还包括第三获取模块 805, 用于获取应用服务器存储 的安全算法列表,或其中与 UE发送的业务请求消息的安全保护需求对应的 安全算法列表, 或安全算法选择策略, 或安全算法选择策略 ID, 该安全算 法选择策略基于安全保护需求设置。 相应的, 第二获取模块 802 包括第二 获取单元 8021与第二选择单元 8022。 其中, 第二获取单元 8021用于从第 一存储模块 801 中获取安全算法列表, 或查询业务请求消息的安全保护需 求, 从第一存储模块 801 中获取该安全保护需求对应的安全算法列表。 第 二选择单元 8022用于根据第二获取单元 8021从第一存储模块 801 中存储 的安全算法列表, 与第三获取模块 805从应用服务器获取的安全算法列表、 安全算法选择策略、 或安全算法选择策略 ID, 选择 UE支持且应用服务器 存储的安全算法列表, 或 UE支持且应用服务器存储的、且与 UE发送的业 务请求消息的安全保护需求对应的安全算法列表。 相应的, UE向网络实体 发送的业务请求消息中的安全算法列表具体为第二选择单元 8022选择的安 全算法列表。
如图 16所示, 为本发明网络实体一个实施例的结构示意图, 该实施例 的网络实体可用于实现本发明图 4所示实施例中的相应流程, 其包括第二 存储模块 901、第二接收模块 902、第二选择模块 903与第二发送模块 904。 其中, 第二存储模块 901 用于存储网络实体支持的安全算法列表或安全算 法选择策略, 其中的安全算法列表基于不同的安全保护需求分别设置或者 用于表示该网络实体的安全能力, 安全算法选择策略基于网络实体支持的 安全算法列表设置。 第二接收模块 902用于接收 UE发送的业务请求消息, 该业务请求消息中包括 UE支持的安全算法列表。第二选择模块 903用于根 据第二存储模块 901 中存储的安全算法列表或安全算法选择策略, 与第二 接收模块 902接收到的业务请求消息中的安全算法列表,从 UE与网络实体 都支持的安全算法列表中选择安全保护需求对应的安全算法。 第二发送模 块 904用于将第二选择模块 903选择的安全算法发送给 UE。
与图 7所示实施例中的流程相应, 在图 16所示实施例的网络实体中, 第二接收模块 902接收到的业务请求消息中的安全算法列表具体可以是 UE 支持且应用服务器存储的安全算法列表, 或 UE支持且应用服务器存储的、 且与业务请求消息的安全保护需求对应的安全算法列表。 相应的, 第二选 择模块 903从第二存储模块 901 中存储的安全算法列表或安全算法选择策 略, 与业务请求消息中的安全算法列表中, 选择该安全保护需求对应的安 全算法。
与图 6所示实施例中的流程相应, 在图 16所示实施例的网络实体中, 第二接收模块 902接收到的业务请求消息中还可以包括应用服务器存储的 安全算法列表, 或该安全算法列表中与业务请求消息的安全保护需求对应 的安全算法列表, 或安全算法选择策略, 或安全算法选择策略 ID, 其中的 安全算法选择策略基于安全保护需求设置, 应用服务器存储的安全算法列 表基于不同的安全保护需求分别设置。 相应的, 第二选择模块 903根据第 二存储模块 901 中存储的安全算法列表或安全算法选择策略, 与业务请求 消息中 UE的安全算法列表,和应用服务器存储的安全算法列表、与安全保 护需求对应的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 选择安全保护需求对应的安全算法。
如图 17所示, 为本发明网络实体另一个实施例的结构示意图。 与图 8 所示实施例中的流程相应, 与图 16所示实施例的网络实体相比, 第二接收 模块 902接收到的业务请求消息中的安全算法列表具体为 UE支持的、且与 UE发送的业务请求消息的安全保护需求对应的安全算法列表。 相应的, 网 络实体还包括第四获取模块 905, 用于获取应用服务器存储的安全算法列 表, 或该安全算法列表中与安全保护需求对应的安全算法列表, 或安全算 法选择策略, 或安全算法选择策略 ID, 其中的安全算法选择策略基于安全 保护需求设置, 应用服务器存储的安全算法列表基于不同的安全保护需求 分别设置。 相应的, 第二选择模块 903根据第二存储模块 901 中存储的安 全算法列表或安全算法选择策略, 与第二接收模块 902接收到的业务请求 消息中的安全算法列表, 与第四获取模块 905获取到的应用服务器存储的 安全算法列表、 安全保护需求对应的安全算法列表、 安全算法选择策略或 安全算法选择策略 ID, 选择安全保护需求对应的安全算法。
如图 18所示, 为本发明应用服务器一个实施例的结构示意图, 该实施 例的应用服务器包括第三存储模块 1001、第三接收模块 1002与第三发送模 块 1003。 其中, 第三存储模块 1001用于存储应用服务器的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 其中的安全算法选择策略基于 安全保护需求设置。 第三接收模块 1002用于接收 UE或网络实体发送的获 取请求消息。 第三发送模块 1003用于向发送获取请求消息的相应 UE返回 第三存储模块 1001中存储的安全算法列表、 安全算法选择策略或安全算法 选择策略 Π
本发明提供的另一个实施例的通信系统包括网络实体 1。该实施例的通 信系统中, UE中存储有该 UE支持的安全算法列表, 该安全算法列表基于 不同的安全保护需求分别设置。 网络实体 1 中存储有该网络实体 1支持的 安全算法列表或安全算法选择策略, 其中的安全算法列表基于不同的安全 保护需求分别设置, 安全算法选择策略基于该网络实体 1 支持的安全算法 列表设置。 UE生成并向网络实体 1发送业务请求消息, 该业务请求消息中 包括 UE 支持的安全算法列表或其中与业务请求消息的安全保护需求对应 的安全算法列表, 以及接收网络实体 1 返回的安全算法, 该安全算法由网 络实体 1根据业务请求消息的安全保护需求,从 UE与网络实体 1都支持的 安全算法列表中选择得到。 网络实体 1接收 UE发送的业务请求消息,根据 网络实体 1 支持的安全算法列表或安全算法选择策略, 与业务请求消息中 携带的安全算法列表,从 UE与网络实体 1都支持的安全算法列表中选择与 UE发送的业务请求消息的安全保护需求对应的安全算法, 并将该选择的安 全算法发送给 UE。该实施例的通信系统可用于实现如本发明图 4所示实施 例的流程, 其中的 UE可以采用图 13所示实施例的 UE, 网络实体 1可以 采用图 16所示实施例的网络实体。 如图 19所示, 为本发明通信系统另一 个实施例的结构示意图。
进一步地, 本发明实施例的通信系统还可以包括应用服务器 3, 用于存 储该应用服务器 3 的安全算法列表、 安全算法选择策略或安全算法选择策 略 ID, 其中的安全算法选择策略基于安全保护需求设置, 应用服务器 3存 储的安全算法列表基于不同的安全保护需求分别设置,根据 UE发送的获取 请求消息, 向 UE返回该应用服务器 3存储的安全算法列表、安全算法选择 策略或安全算法选择策略标识。 相应的, UE还可以用于获取应用服务器 3 存储的安全算法列表、 或其中与该安全保护需求对应的安全算法列表、 安 全算法选择策略或安全算法选择策略 ID, 并通过业务请求消息发送给网络 实体 1, 或者, 选择 UE支持且应用服务器 3存储的安全算法列表, 或其中 与安全保护需求对应的安全算法列表, 并通过业务请求消息发送给网络实 体 1。网络实体 1根据该网络实体 1支持的安全算法列表或安全算法选择策 略, 与业务请求消息中携带的安全算法列表,选择 UE与网络实体 1都支持 且应用服务器 3存储的、 且与该安全保护需求对应的安全算法。 该实施例 的通信系统可用于实现如本发明图 6与图 7所示实施例的流程, 其中的 UE 可以采用图 15与图 14所示实施例的 UE, 网络是实体 1可以采用图 16所 示实施例中的相应网络实体。 如图 20所示, 为本发明通信系统又一个实施 例的结构示意图。
如图 21所示, 为本发明 UE再一个实施例的结构示意图, 该实施例的 UE可以实现本发明图 5与图 8所示实施例中的相应流程。其包括第一存储 模块 801、 第一发送模块 803、 第一接收模块 804与第三选择模块 806。 其 中,第一存储模块 801用于存储该 UE支持的安全算法列表,该安全算法列 表基于不同的安全保护需求分别设置或用于表示该 UE的安全能力。第一发 送模块 803 用于生成并向网络实体发送业务请求消息。 第一接收模块 804 用于接收网络实体返回的安全算法列表、 安全算法选择策略或安全算法选 择策略 ID,该安全算法列表为网络实体支持的安全算法列表,或其中与 UE 发送的业务请求消息的安全保护需求对应的安全算法列表, 其中的安全算 法选择策略基于网络实体支持的安全算法列表设置。 第三选择模块 806用 于根据第一存储模块 801 中存储的安全算法列表, 与第一接收模块 804接 收到的安全算法列表,从 UE与网络实体都支持的安全算法列表中选择安全 保护需求对应的安全算法。
如图 22所示, 为本发明 UE还一个实施例的结构示意图, 该实施例的 UE可以实现本发明图 9所示实施例中的相应流程。 与图 21所示的实施例 相比, 该实施例的 UE还包括第三获取模块 805, 用于获取应用服务器存储 的安全算法列表,或其中与 UE发送的业务请求消息的安全保护需求对应的 安全算法列表, 或安全算法选择策略, 或安全算法选择策略 ID, 其中的安 全算法选择策略基于安全保护需求设置。 相应的, 第三选择模块 806根据 第一存储模块 801 中存储的安全算法列表, 与第三获取模块 805从应用服 务器获取到的安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 与第一接收模块 804接收到的网络实体的安全算法列表、 安全算法选择策 略或安全算法选择策略 ID, 选择 UE与网络实体都支持且应用服务器存储 的、 与 UE发送的业务请求消息的安全保护需求对应的安全算法。
如图 23所示, 为本发明网络实体又一个实施例的结构示意图, 该实施 例的网络实体可以实现本发明图 5所示实施例中的相应流程。 该实施例的 网络实体包括第二存储模块 901、 第二接收模块 902与第四发送模块 907。 其中, 第二存储模块 901 用于存储网络实体支持的安全算法列表、 安全算 法选择策略或安全算法选择策略 ID, 其中的安全算法列表基于不同的安全 保护需求分别设置或用于表示该网络实体的安全能力, 安全算法选择策略 基于网络实体支持的安全算法列表设置。 第二接收模块 902 用于接收 UE 发送的业务请求消息。 第四发送模块 907用于将第二存储模块 901 中存储 的安全算法列表、 其中与业务请求消息的安全保护需求对应的安全算法列 表、 安全算法选择策略或安全算法选择策略 ID发送给 UE。
如图 24所示, 为本发明网络实体再一个实施例的结构示意图, 该实施 例的网络实体可以实现本发明图 9所示实施例中的相应流程。 与图 23所示 的实施例相比, 该实施例的网络实体还包括第四获取模块 905与第二选择 模块 903。其中, 第四获取模块 905用于获取应用服务器存储的安全算法列 表、 该安全算法列表中与安全保护需求对应的安全算法列表、 安全算法选 择策略或安全算法选择策略 ID, 其中的安全算法选择策略基于安全保护需 求设置, 应用服务器存储的安全算法列表基于不同的安全保护需求分别设 置。 第二选择模块 903用于根据第二存储模块 901 中存储的安全算法列表 或安全算法选择策略, 与第四获取模块 905获取的应用服务器存储的安全 算法列表、 安全保护需求对应的安全算法列表、 安全算法选择策略或安全 算法选择策略 ID, 或者进一步选择网络实体支持且应用服务器存储的安全 算法列表、 安全保护需求对应的安全算法列表、 安全算法选择策略或安全 算法选择策略 ID。 第四发送模块 907将第二存储模块 901中存储的安全算 法列表或安全算法选择策略, 与第四获取模块 905获取的应用服务器存储 的安全算法列表、 安全保护需求对应的安全算法列表、 安全算法选择策略 或安全算法选择策略 ID发送给 UE, 或者将第二选择模块 903选择的安全 算法列表、 安全保护需求对应的安全算法列表、 安全算法选择策略或安全 算法选择策略 ID发送给 UE。
本发明再一个实施例提供的通信系统中, UE中存储有该 UE支持的安 全算法列表, 该安全算法列表基于不同的安全保护需求分别设置。 网络实 体 1 中存储有该网络实体 1支持的安全算法列表、 安全算法选择策略或安 全算法选择策略 ID, 其中的安全算法列表基于不同的安全保护需求分别设 置或相应表示 UE或网络实体 1的安全能力,安全算法选择策略基于网络实 体 1支持的安全算法列表设置。 UE生成并向网络实体 1发送业务请求消息, 以及接收网络实体 1 返回的安全算法列表、 安全算法选择策略或安全算法 选择策略 ID, 其中的安全算法列表为网络实体 1支持的安全算法列表或其 中与业务请求消息的安全保护需求对应的安全算法列表,并根据 UE存储的 安全算法列表, 与网络实体 1 返回的安全算法列表、 安全算法选择策略或 安全算法选择策略 ID, 选择 UE发送的业务请求消息的安全保护需求对应 的安全算法。 网络实体 1用于接收 UE发送的业务请求消息,将该网络实体 1存储的安全算法列表、其中与业务请求消息的安全保护需求对应的安全算 法列表、 安全算法选择策略或安全算法选择策略 ID发送给 UE。 该实施例 的通信系统可用于实现如本发明图 5所示实施例的流程,其中的 UE可以采 用图 21所示实施例的 UE, 网络是实体 1可以采用图 23所示实施例中的相 应网络实体。如图 25所示,为本发明通信系统再一个实施例的结构示意图。
进一步地, 在上述通信系统中, 还可以包括应用服务器 3, 用于存储该 应用服务器 3的安全算法列表、安全算法选择策略或安全算法选择策略 ID, 其中的安全算法选择策略基于安全保护需求设置,并根据 UE发送的获取请 求消息, 向 UE返回应用服务器 3存储的安全算法列表、 与 UE发送的业务 请求消息的安全保护需求对应的安全算法列表、 安全算法选择策略或安全 算法选择策略 ID, 相应的, 网络实体 1还用于通过获取请求消息获取应用 服务器 3存储的安全算法列表、 或其中与安全保护需求对应的安全算法列 表、安全算法选择策略或安全算法选择策略 ID, 并发送给 UE, 或者选择网 络实体 1支持且应用服务器 3存储的安全算法列表、 安全保护需求对应的 安全算法列表、 安全算法选择策略或安全算法选择策略 ID, 并发送给 UE。 UE根据 UE存储的安全算法列表, 和网络实体 1返回的安全算法列表、 安 全算法选择策略或安全算法选择策略 ID, 选择 UE与网络实体 1都支持且 应用服务器 3存储的、 且与业务请求消息的安全保护需求对应的安全算法。 该实施例的通信系统可用于实现如本发明图 9所示实施例的流程, 其中的 UE可以采用图 22所示实施例的 UE, 网络实体 1可以采用图 24所示实施 例中的相应网络实体。 如图 26所示, 为本发明通信系统还一个实施例的结 构示意图。
本领域普通技术人员可以理解: 实现上述方法实施例的全部或部分 步骤可以通过程序指令相关的硬件来完成, 前述的程序可以存储于一计 算机可读取存储介质中, 该程序在执行时, 执行包括上述方法实施例的 步骤; 而前述的存储介质包括: ROM、 RAM, 磁碟或者光盘等各种可以 存储程序代码的介质。
本发明实施例可以根据不同业务请求消息的安全保护需求选择不同的 安全算法, 以对相应的业务进行不同的安全保护, 不但提高了业务的安全 性, 还可以综合考虑通信系统中各算法的复杂度与占用的开销, 在对业务 进行有效安全保护的同时提高通信系统的性能。 最后所应说明的是: 以上实施例仅用以说明本发明的技术方案, 而非 对本发明作限制性理解。 尽管参照上述较佳实施例对本发明进行了详细说 明, 本领域的普通技术人员应当理解: 其依然可以对本发明的技术方案进 行修改或者等同替换, 而这种修改或者等同替换并不脱离本发明技术方案 的精神和范围。

Claims

权利要求
1、 一种安全算法选择处理方法, 其特征在于, 包括:
接收用户终端发送的业务请求消息;
根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体 都支持的安全算法列表中选择安全算法;
其中, 所述用户终端和 /或所述网络实体支持的安全算法列表基于不同 的安全保护需求分别设置, 或者, 所述用户终端与所述网络实体支持的安 全算法列表分别用于表示所述用户终端与所述网络实体的安全能力。
2、 根据权利要求 1所述的方法, 其特征在于, 所述网络实体预先存储 所述用户终端支持的安全算法列表, 或者, 所述业务请求消息中包括所述 用户终端支持的安全算法列表; 相应的, 根据所述业务请求消息的安全保 护需求, 从所述用户终端与网络实体都支持的安全算法列表中选择安全算 法具体包括: 所述网络实体从所述用户终端与所述网络实体都支持的安全 算法列表中选择所述安全保护需求对应的安全算法; 或者
所述业务请求消息中包括所述用户终端支持的、 所述安全保护需求对 应的安全算法列表; 相应的, 根据所述业务请求消息的安全保护需求, 从 所述用户终端与网络实体都支持的安全算法列表中选择安全算法具体包 括: 所述网络实体从所述用户终端支持的、 所述安全保护需求对应的安全 算法列表与所述网络实体支持的安全算法列表中选择安全算法; 或者, 所 述网络实体从所述用户终端支持的、 所述安全保护需求对应的安全算法列 表与所述网络实体支持的、 所述安全保护需求对应的安全算法列表中选择 安全算法。
3、 根据权利要求 1所述的方法, 其特征在于, 接收用户终端发送的业 务请求消息之后, 还包括:
所述网络实体向所述用户终端返回所述网络实体支持的安全算法列 表, 以便所述用户终端根据所述业务请求消息的安全保护需求, 从所述用 户终端与网络实体都支持的安全算法列表中选择安全算法, 具体包括: 所 述用户终端从所述用户终端与所述网络实体都支持的安全算法列表中选择 所述安全保护需求对应的安全算法; 或者
所述网络实体向所述用户终端返回所述网络实体支持的、 所述安全保 护需求对应的安全算法列表, 以便所述用户终端根据所述业务请求消息的 安全保护需求, 从所述用户终端与网络实体都支持的安全算法列表中选择 安全算法, 具体包括: 所述用户终端从所述用户终端支持的安全算法列表 与所述网络实体支持的、 所述安全保护需求对应的安全算法列表中选择安 全算法; 或者, 所述用户终端从所述用户终端支持的、 所述安全保护需求 对应的安全算法列表与所述网络实体支持的、 所述安全保护需求对应的安 全算法列表中选择安全算法; 或者
所述网络实体向所述用户终端返回所述网络实体支持的安全算法选择 策略, 该安全算法选择策略基于所述网络实体支持的安全算法列表设置, 以便根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体 都支持的安全算法列表中选择安全算法, 具体包括: 所述用户终端根据所 述安全算法选择策略, 从所述用户终端与所述网络实体都支持的安全算法 列表中选择所述安全保护需求对应的安全算法; 或者
所述网络实体向所述用户终端返回用于标识所述网络实体支持的安全 算法选择策略的安全算法选择策略标识, 以便所述用户终端根据所述业务 请求消息的安全保护需求, 从所述用户终端与网络实体都支持的安全算法 列表中选择安全算法, 具体包括: 所述用户终端确定所述安全算法选择策 略标识所述标识的安全算法选择策略; 所述用户终端根据所述安全算法选 择策略, 从所述用户终端与所述网络实体都支持的安全算法列表中选择所 述安全保护需求对应的安全算法。
4、 根据权利要求 1所述的方法, 其特征在于, 从所述用户终端与网络 实体都支持的安全算法列表中选择安全算法包括: 从所述用户终端与网络 实体都支持的且应用服务器存储的安全算法列表中选择安全算法, 所述应 用服务器支持的安全算法列表基于不同的安全保护需求分别设置。
5、 根据权利要求 4所述的方法, 其特征在于, 所述业务请求消息中包 括所述用户终端选择的安全算法列表, 该安全算法列表由所述用户终端从 所述用户终端支持的安全算法列表与所述应用服务器存储的安全算法列 表、 该安全算法列表中所述安全保护需求对应的安全算法列表、 安全算法 选择策略或安全算法选择策略标识选择, 为所述用户终端支持且所述应用 服务器存储的安全算法列表或所述用户终端支持且所述应用服务器存储 的、 所述安全保护需求对应的安全算法列表;
根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体 都支持的安全算法列表中选择安全算法具体包括: 所述网络实体根据所述 业务请求消息中的安全算法列表, 从所述用户终端支持且所述应用服务器 存储的安全算法列表以及所述网络实体支持的安全算法列表中, 选择所述 安全保护需求对应的安全算法; 或者, 所述网络实体根据所述业务请求消 息中所述用户终端支持且所述应用服务器存储的、 所述安全保护需求对应 的安全算法列表与所述网络实体支持的、 所述安全保护需求对应的安全算 法列表中, 选择所述安全保护需求对应的安全算法。
6、 根据权利要求 4所述的方法, 其特征在于, 所述业务请求消息中包 括所述用户终端支持的安全算法列表或所述安全保护需求对应的安全算法 列表, 与所述应用服务器存储的安全算法列表、 所述安全保护需求对应的 安全算法列表、 安全算法选择策略或安全算法选择策略标识;
根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体 都支持的安全算法列表中选择安全算法包括: 所述网络实体根据所述业务 请求消息中所述用户终端支持的安全算法列表或所述安全保护需求对应的 安全算法列表, 与所述应用服务器存储的安全算法列表、 所述安全保护需 求对应的安全算法列表、 安全算法选择策略或安全算法选择策略标识, 与 所述网络实体支持的安全算法列表或所述安全保护需求对应的安全算法列 表, 选择所述安全保护需求对应的安全算法。
7、 根据权利要求 4所述的方法, 其特征在于, 所述业务请求消息中包 括所述用户终端支持的安全算法列表或该安全算法列表中与所述安全保护 需求对应的安全算法列表;
所述接收用户终端发送的业务请求消息之后, 还包括: 所述网络实体 获取所述应用服务器存储的安全算法列表、 该安全算法列表中与所述安全 保护需求对应的安全算法列表、 安全算法选择策略或安全算法选择策略标 识, 该安全算法选择策略基于安全保护需求设置;
根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体 都支持的安全算法列表中选择安全算法包括: 所述网络实体从所述用户终 端与所述网络实体都支持且所述应用服务器存储的安全算法列表中, 选择 所述安全保护需求对应的安全算法; 或者, 所述网络实体根据所述应用服 务器存储的安全算法选择策略、 或所述安全算法选择策略标识所标识的安 全算法选择策略, 从所述用户终端与所述网络实体都支持且所述应用服务 器存储的与所述安全保护需求对应的安全算法列表中, 选择所述安全保护 需求对应的安全算法。
8、 根据权利要求 4所述的方法, 其特征在于, 所述接收用户终端发送 的业务请求消息之后, 还包括: 所述网络实体向所述用户终端返回所述网 络实体支持的安全算法列表、 该安全算法列表中与所述安全保护需求对应 的安全算法列表、 所述网络实体支持的安全算法选择策略或安全算法选择 策略标识, 该安全算法选择策略基于所述网络实体支持的安全算法列表设 置, 以便所述用户终端根据所述业务请求消息的安全保护需求, 从所述用 户终端与网络实体都支持的安全算法列表中选择安全算法, 具体包括: 所 述用户终端根据所述应用服务器存储的安全算法列表、 所述安全保护需求 对应的安全算法列表、 安全算法选择策略或安全算法选择策略标识, 与所 述网络实体支持的安全算法列表、 所述安全保护需求对应的安全算法列表、 所述网络实体支持的安全算法选择策略或安全算法选择策略标识, 从所述 用户终端与所述网络实体都支持且所述应用服务器存储的安全算法列表 中, 选择所述安全保护需求对应的安全算法, 所述安全算法选择策略基于 安全保护需求设置。
9、 根据权利要求 1至 8任意一项所述的方法, 其特征在于, 所述安全 保护需求包括: 数据类型对应的安全保护级别需求或安全算法列表、 业务 类型对应的安全保护级别需求或安全算法列表或安全算法策略、 与用户需 求中的任意一种或多种, 其中业务类型对应的安全算法策略用于表示所述 业务类型在不同条件下的安全保护级别需求。
10、 根据权利要求 1至 8任意一项所述的方法, 其特征在于, 所述用 户终端的安全能力包括: 为不同数据类型或者不同安全保护层次提供该用 户终端支持的、 不同的安全保护算法列表;
所述网络实体的安全能力包括: 为不同数据类型或者不同安全保护层 次提供该网络实体支持的安全保护算法列表。
11、 一种用户终端, 其特征在于, 包括:
第一存储模块, 用于存储所述用户终端支持的安全算法列表, 该安全 算法列表基于不同的安全保护需求分别设置或者用于表示所述用户终端的 安全能力;
第二获取模块, 用于从所述第一存储模块中获取安全算法列表, 或查 询所述业务请求消息的安全保护需求, 从所述第一存储模块中获取该安全 保护需求对应的安全算法列表;
第一发送模块, 用于生成并向网络实体发送业务请求消息, 所述业务 请求消息中包括所述第二获取模块获取的安全算法列表;
第一接收模块, 用于接收所述网络实体返回的安全算法, 所述安全算 法根据所述业务请求消息的安全保护需求, 从所述用户终端与网络实体都 支持的安全算法列表中选择。
12、 根据权利要求 11所述的用户终端, 其特征在于, 还包括: 第三获取模块, 用于获取应用服务器存储的安全算法列表、 该安全算 法列表中与所述安全保护需求对应的安全算法列表、 安全算法选择策略或 安全算法选择策略标识, 该安全算法选择策略基于安全保护需求设置, 所 述应用服务器存储的安全算法列表基于不同的安全保护需求分别设置; 所述第一发送模块向所述网络实体发送的业务请求消息中包括所述第 二获取模块从第一存储模块中获取的安全算法列表和所述第三获取模块从 所述应用服务器获取的安全算法列表、 安全算法选择策略或安全算法选择 策略标识。
13、 根据权利要求 11所述的用户终端, 其特征在于, 还包括: 第三获取模块, 用于获取应用服务器存储的安全算法列表、 所述安全 保护需求对应的安全算法列表、 安全算法选择策略或安全算法选择策略标 识, 该安全算法选择策略基于安全保护需求设置;
所述第二获取模块包括:
第二获取单元, 用于从所述第一存储模块中获取安全算法列表, 或查 询所述业务请求消息的安全保护需求, 从所述第一存储模块中获取该安全 保护需求对应的安全算法列表;
第二选择单元, 用于根据所述第二获取单元从所述第一存储模块中存 储的安全算法列表, 与所述第三获取模块从所述应用服务器获取的安全算 法列表、 安全算法选择策略或安全算法选择策略标识, 选择所述用户终端 支持且所述应用服务器存储的安全算法列表, 或所述用户终端支持且所述 应用服务器存储的安全算法列表中与所述安全保护需求对应的安全算法列 表;
所述业务请求消息的安全算法列表包括所述第二选择单元选择的安全 算法列表。
14、 一种网络实体, 其特征在于, 包括:
第二存储模块, 用于存储所述网络实体支持的安全算法列表或安全算 法选择策略, 所述安全算法列表基于不同的安全保护需求分别设置或者用 于表示所述网络实体的安全能力, 所述安全算法选择策略基于所述网络实 体支持的安全算法列表设置;
第二接收模块, 用于接收用户终端发送的业务请求消息, 该业务请求 消息中包括所述用户终端支持的安全算法列表;
第二选择模块, 用于根据所述第二存储模块中存储的安全算法列表或 安全算法选择策略, 与所述业务请求消息中的安全算法列表, 从所述用户 终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应 的安全算法;
第二发送模块, 用于将所述第二选择模块选择的安全算法发送给所述 用户终端。
15、 根据权利要求 14所述的网络实体, 其特征在于, 所述用户终端支 持的安全算法列表包括所述用户终端支持且应用服务器存储的安全算法列 表、 或该安全算法列表中与所述业务请求消息的安全保护需求对应的安全 算法列表;
所述第二选择模块从所述第二存储模块中存储的安全算法列表或安全 算法选择策略, 与所述业务请求消息中的安全算法列表中, 选择所述安全 保护需求对应的安全算法。
16、 根据权利要求 14所述的网络实体, 其特征在于, 所述业务请求消 息中还包括所述应用服务器存储的安全算法列表、 所述安全保护需求对应 的安全算法列表、 安全算法选择策略或安全算法选择策略标识, 该安全算 法选择策略基于安全保护需求设置, 所述应用服务器支持的安全算法列表 基于不同的安全保护需求分别设置;
所述第二选择模块根据所述第二存储模块中存储的安全算法列表或安 全算法选择策略, 与所述业务请求消息中所述用户终端的安全算法列表, 和所述应用服务器存储的安全算法列表、 所述安全保护需求对应的安全算 法列表、 安全算法选择策略或安全算法选择策略标识, 选择所述安全保护 需求对应的安全算法。
17、 根据权利要求 14所述的网络实体, 其特征在于, 所述业务请求消 息中的安全算法列表包括所述用户终端支持的、 所述安全保护需求对应的 安全算法列表;
所述网络实体还包括:
第四获取模块, 用于获取所述应用服务器存储的安全算法列表、 该安 全算法列表中所述安全保护需求对应的安全算法列表、 安全算法选择策略 或安全算法选择策略标识, 该安全算法选择策略基于安全保护需求设置, 所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置; 所述第二选择模块根据所述第二存储模块中存储的安全算法列表或安 全算法选择策略, 所述业务请求消息中的安全算法列表, 与所述应用服务 器存储的安全算法列表、 所述安全保护需求对应的安全算法列表、 安全算 法选择策略或安全算法选择策略标识, 选择所述安全保护需求对应的安全 算法。
18、 一种用户终端, 其特征在于, 包括:
第一存储模块, 用于存储所述用户终端支持的安全算法列表, 该安全 算法列表基于不同的安全保护需求分别设置或用于表示所述用户终端的安 全能力;
第一发送模块, 用于生成并向网络实体发送业务请求消息;
第一接收模块, 用于接收所述网络实体返回的安全算法列表、 安全算 法选择策略或安全算法选择策略标识, 所述安全算法列表为所述网络实体 支持的安全算法列表或该安全算法列表中与所述业务请求消息的安全保护 需求对应的安全算法列表, 所述安全算法选择策略基于所述网络实体支持 的安全算法列表设置;
第三选择模块, 用于根据所述第一存储模块中存储的安全算法列表, 与所述第一接收模块接收到的安全算法列表, 从所述用户终端与所述网络 实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法。
19、 根据权利要求 18所述的用户终端, 其特征在于, 还包括: 第三获取模块, 用于获取应用服务器存储的安全算法列表、 该安全算 法列表中与所述安全保护需求对应的安全算法列表、 安全算法选择策略或 安全算法选择策略标识, 该安全算法选择策略基于安全保护需求设置; 所述第三选择模块根据所述第一存储模块中存储的安全算法列表, 与 所述第三获取模块获取到的安全算法列表、 安全算法选择策略或安全算法 选择策略标识, 与所述第一接收模块接收到的安全算法列表、 安全算法选 择策略或安全算法选择策略标识, 选择所述用户终端与所述网络实体都支 持且所述应用服务器存储的、 所述安全保护需求对应的安全算法。
20、 一种网络实体, 其特征在于, 包括:
第二存储模块, 用于存储所述网络实体支持的安全算法列表、 安全算 法选择策略或安全算法选择策略标识, 所述安全算法列表基于不同的安全 保护需求分别设置或用于表示所述网络实体的安全能力, 所述安全算法选 择策略基于所述网络实体支持的安全算法列表设置;
第二接收模块, 用于接收用户终端发送的业务请求消息;
第四发送模块, 用于将所述第二存储模块中存储的安全算法列表、 所 述业务请求消息的安全保护需求对应的安全算法列表、 安全算法选择策略 或安全算法选择策略标识发送给所述用户终端。
21、 根据权利要求 20所述的网络实体, 其特征在于, 还包括: 第四获取模块, 用于获取所述应用服务器存储的安全算法列表、 该安 全算法列表中与所述安全保护需求对应的安全算法列表、 安全算法选择策 略或安全算法选择策略标识, 该安全算法选择策略基于安全保护需求设置, 所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置; 第二选择模块, 用于根据所述第二存储模块中存储的安全算法列表或 安全算法选择策略, 与所述第四获取模块获取的所述应用服务器的安全算 法列表、 所述安全保护需求对应的安全算法列表、 安全算法选择策略或安 全算法选择策略标识, 或者进一步选择所述网络实体支持且所述应用服务 器存储的安全算法列表、 所述安全保护需求对应的安全算法列表、 安全算 法选择策略或安全算法选择策略标识;
所述第二发送模块将所述第二存储模块中存储的安全算法列表或安全 算法选择策略, 与所述第四获取模块获取的所述应用服务器存储的安全算 法列表、 所述安全保护需求对应的安全算法列表、 安全算法选择策略或安 全算法选择策略标识发送给所述用户终端, 或者将所述第二选择模块选择 的安全算法列表、 所述安全保护需求对应的安全算法列表、 安全算法选择 策略或安全算法选择策略标识发送给所述用户终端。
PCT/CN2010/071522 2009-04-03 2010-04-02 安全算法选择处理方法与装置、网络实体及通信系统 WO2010111964A1 (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
MX2011010433A MX2011010433A (es) 2009-04-03 2010-04-02 Metodo y aparato para procesamiento de seleccion de algoritmo de seguridad, entidad de red y sistema de comunicaciones.
BRPI1015037A BRPI1015037A2 (pt) 2009-04-03 2010-04-02 método e aparelho para processamento de seleção de algoritmo de segurança, entidade de rede, e sistema de comunicação.
EP10758066.4A EP2416521B1 (en) 2009-04-03 2010-04-02 Method, device, network entity and communication system for selecting and processing security algorithm
US13/251,595 US8898729B2 (en) 2009-04-03 2011-10-03 Method and apparatus for security algorithm selection processing, network entity, and communication system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200910081161.7A CN101854625B (zh) 2009-04-03 2009-04-03 安全算法选择处理方法与装置、网络实体及通信系统
CN200910081161.7 2009-04-03

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US13/251,595 Continuation US8898729B2 (en) 2009-04-03 2011-10-03 Method and apparatus for security algorithm selection processing, network entity, and communication system

Publications (1)

Publication Number Publication Date
WO2010111964A1 true WO2010111964A1 (zh) 2010-10-07

Family

ID=42805832

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2010/071522 WO2010111964A1 (zh) 2009-04-03 2010-04-02 安全算法选择处理方法与装置、网络实体及通信系统

Country Status (6)

Country Link
US (1) US8898729B2 (zh)
EP (1) EP2416521B1 (zh)
CN (1) CN101854625B (zh)
BR (1) BRPI1015037A2 (zh)
MX (1) MX2011010433A (zh)
WO (1) WO2010111964A1 (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130036191A1 (en) * 2010-06-30 2013-02-07 Demand Media, Inc. Systems and Methods for Recommended Content Platform
EP2611227A1 (en) * 2011-01-10 2013-07-03 Huawei Technologies Co., Ltd. Method, device and system for sending communication information
CN103260156A (zh) * 2012-02-15 2013-08-21 中国移动通信集团公司 密钥流生成装置及方法、机密性保护装置及方法
US10162486B2 (en) 2013-05-14 2018-12-25 Leaf Group Ltd. Generating a playlist based on content meta data and user parameters
US10509831B2 (en) 2011-07-29 2019-12-17 Leaf Group Ltd. Systems and methods for time and space algorithm usage
WO2024098414A1 (zh) * 2022-11-11 2024-05-16 华为技术有限公司 一种通信的方法和装置

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2454204A (en) * 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
US8819765B2 (en) * 2008-01-22 2014-08-26 Telefonaktiebolaget L M Ericsson (Publ) Security policy distribution to communication terminals
US8965415B2 (en) 2011-07-15 2015-02-24 Qualcomm Incorporated Short packet data service
US9185080B2 (en) 2011-08-12 2015-11-10 Intel Deutschland Gmbh Data transmitting devices, data receiving devices, methods for controlling a data transmitting device, and methods for controlling a data receiving device
CN103179559B (zh) * 2011-12-22 2016-08-10 华为技术有限公司 一种低成本终端的安全通信方法、装置及系统
PT2807847T (pt) * 2012-01-26 2020-12-15 Ericsson Telefon Ab L M Funcionamento de um nó de serviço numa rede
US8660078B2 (en) * 2012-02-07 2014-02-25 Qualcomm Incorporated Data radio bearer (DRB) enhancements for small data transmissions apparatus, systems, and methods
CN102595369B (zh) * 2012-02-29 2015-02-25 大唐移动通信设备有限公司 一种nas算法的传输方法及装置
US9355261B2 (en) 2013-03-14 2016-05-31 Appsense Limited Secure data management
WO2014184938A1 (ja) * 2013-05-16 2014-11-20 富士通株式会社 端末装置、通信システム及び通信制御プログラム
CN104244247B (zh) * 2013-06-07 2019-02-05 华为技术有限公司 非接入层、接入层安全算法处理方法及设备
CN104281621A (zh) * 2013-07-11 2015-01-14 腾讯科技(深圳)有限公司 网页浏览方法及装置
US9215251B2 (en) * 2013-09-11 2015-12-15 Appsense Limited Apparatus, systems, and methods for managing data security
CN104618089B (zh) 2013-11-04 2019-05-10 华为技术有限公司 安全算法的协商处理方法、控制网元和系统
WO2015094346A1 (en) * 2013-12-20 2015-06-25 Hewlett-Packard Development Company, L.P. Digital switchboard
US10462660B2 (en) * 2014-05-12 2019-10-29 Nokia Technologies Oy Method, network element, user equipment and system for securing device-to-device communication in a wireless network
CN105323231B (zh) * 2014-07-31 2019-04-23 中兴通讯股份有限公司 安全算法选择方法、装置及系统
US9565216B2 (en) 2014-10-24 2017-02-07 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks
CN104936172A (zh) * 2015-05-11 2015-09-23 柳州天运寰通科技有限公司 北斗定位数据传输加密系统
CN106302152A (zh) * 2015-05-21 2017-01-04 中兴通讯股份有限公司 一种生成路由的控制方法及路由设备
CN106452776A (zh) * 2015-08-12 2017-02-22 航天信息股份有限公司 一种数据加密方法
US11374941B2 (en) * 2015-11-02 2022-06-28 Telefonaktiebolaget Lm Ericsson (Publ) Wireless communications
WO2017121854A1 (en) * 2016-01-14 2017-07-20 Nokia Solutions And Networks Oy Flexible selection of security features in mobile networks
GB2547040A (en) * 2016-02-05 2017-08-09 Vodafone Ip Licensing Ltd Controlling bearer security in a telecommunications connection
CN106899562A (zh) * 2016-04-21 2017-06-27 中国移动通信有限公司研究院 物联网的安全算法协商方法、网元及物联网终端
CN107566115B (zh) * 2016-07-01 2022-01-14 华为技术有限公司 密钥配置及安全策略确定方法、装置
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
WO2018076298A1 (zh) * 2016-10-28 2018-05-03 华为技术有限公司 一种安全能力协商方法及相关设备
WO2018132952A1 (zh) * 2017-01-17 2018-07-26 华为技术有限公司 无线通信的方法和装置
CN110024331B (zh) * 2017-01-26 2021-11-19 华为技术有限公司 数据的保护方法、装置和系统
WO2018201506A1 (zh) * 2017-05-05 2018-11-08 华为技术有限公司 一种通信方法及相关装置
EP3747165B1 (en) * 2018-02-03 2022-09-14 Nokia Technologies Oy Application based routing of data packets in multi-access communication networks
CN110351092A (zh) * 2019-06-11 2019-10-18 北京思源互联科技有限公司 数据包的传输方法和装置、存储介质、电子装置
WO2020254113A1 (en) * 2019-06-17 2020-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Key distribution for hop by hop security in iab networks
CN110430573A (zh) * 2019-07-31 2019-11-08 维沃移动通信有限公司 一种信息认证方法、电子设备及网络侧设备
CN115004634B (zh) * 2020-04-03 2023-12-19 Oppo广东移动通信有限公司 信息处理方法、装置、设备及存储介质
CA3185313A1 (en) * 2020-05-29 2021-12-02 Huawei Technologies Co., Ltd. Communications method and apparatus
EP4185003A4 (en) * 2020-07-30 2023-09-13 Huawei Technologies Co., Ltd. COMMUNICATION METHOD AND DEVICE
JP2022114391A (ja) * 2021-01-26 2022-08-05 京セラドキュメントソリューションズ株式会社 電子機器
CN115470513A (zh) * 2021-06-11 2022-12-13 支付宝(杭州)信息技术有限公司 针对隐私计算进行算法协商的方法、装置及系统
CN115879143A (zh) * 2021-09-29 2023-03-31 华为技术有限公司 数据安全策略配置方法、设备以及系统
CN115589321A (zh) * 2022-10-11 2023-01-10 中国电信股份有限公司 安全上下文隔离策略协商方法、装置、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1895706A1 (en) * 2006-08-31 2008-03-05 Nortel Networks Limited Method for securing an interaction between nodes and related nodes
CN101170811A (zh) * 2006-10-24 2008-04-30 中兴通讯股份有限公司 通用引导体系中安全等级的协商方法
CN101242629A (zh) * 2007-02-05 2008-08-13 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101262337A (zh) * 2008-02-05 2008-09-10 中兴通讯股份有限公司 安全功能控制方法和系统
CN101330376A (zh) * 2007-06-22 2008-12-24 华为技术有限公司 安全算法的协商方法
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6941459B1 (en) 1999-10-21 2005-09-06 International Business Machines Corporation Selective data encryption using style sheet processing for decryption by a key recovery agent
FI111423B (fi) * 2000-11-28 2003-07-15 Nokia Corp Järjestelmä kanavanvaihdon jälkeen tapahtuvan tietoliikenteen salauksen varmistamiseksi
EP2618597B1 (en) * 2004-03-02 2015-01-14 Panasonic Intellectual Property Corporation of America Negotiation of functions between wireless access point and control node
US7194763B2 (en) * 2004-08-02 2007-03-20 Cisco Technology, Inc. Method and apparatus for determining authentication capabilities
CN100571130C (zh) * 2004-11-08 2009-12-16 中兴通讯股份有限公司 一种通用的安全等级协商方法
CN1835436B (zh) * 2005-03-14 2010-04-14 华为技术有限公司 一种通用鉴权网络及一种实现鉴权的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1895706A1 (en) * 2006-08-31 2008-03-05 Nortel Networks Limited Method for securing an interaction between nodes and related nodes
CN101170811A (zh) * 2006-10-24 2008-04-30 中兴通讯股份有限公司 通用引导体系中安全等级的协商方法
CN101242629A (zh) * 2007-02-05 2008-08-13 华为技术有限公司 选择用户面算法的方法、系统和设备
CN101330376A (zh) * 2007-06-22 2008-12-24 华为技术有限公司 安全算法的协商方法
CN101378591A (zh) * 2007-08-31 2009-03-04 华为技术有限公司 终端移动时安全能力协商的方法、系统及装置
CN101262337A (zh) * 2008-02-05 2008-09-10 中兴通讯股份有限公司 安全功能控制方法和系统

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130036191A1 (en) * 2010-06-30 2013-02-07 Demand Media, Inc. Systems and Methods for Recommended Content Platform
US9721035B2 (en) * 2010-06-30 2017-08-01 Leaf Group Ltd. Systems and methods for recommended content platform
EP2611227A1 (en) * 2011-01-10 2013-07-03 Huawei Technologies Co., Ltd. Method, device and system for sending communication information
EP2611227A4 (en) * 2011-01-10 2014-01-15 Huawei Tech Co Ltd METHOD, DEVICE AND SYSTEM FOR SENDING COMMUNICATION INFORMATION
US8989381B2 (en) 2011-01-10 2015-03-24 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system
US9301147B2 (en) 2011-01-10 2016-03-29 Huawei Technologies Co., Ltd. Method, apparatus, and system for data protection on interface in communications system
US10509831B2 (en) 2011-07-29 2019-12-17 Leaf Group Ltd. Systems and methods for time and space algorithm usage
CN103260156A (zh) * 2012-02-15 2013-08-21 中国移动通信集团公司 密钥流生成装置及方法、机密性保护装置及方法
US10162486B2 (en) 2013-05-14 2018-12-25 Leaf Group Ltd. Generating a playlist based on content meta data and user parameters
US11119631B2 (en) 2013-05-14 2021-09-14 Leaf Group Ltd. Generating a playlist based on content meta data and user parameters
WO2024098414A1 (zh) * 2022-11-11 2024-05-16 华为技术有限公司 一种通信的方法和装置

Also Published As

Publication number Publication date
MX2011010433A (es) 2011-11-29
US20120066737A1 (en) 2012-03-15
BRPI1015037A2 (pt) 2016-04-12
CN101854625A (zh) 2010-10-06
EP2416521A1 (en) 2012-02-08
US8898729B2 (en) 2014-11-25
CN101854625B (zh) 2014-12-03
EP2416521B1 (en) 2018-06-20
EP2416521A4 (en) 2012-04-18

Similar Documents

Publication Publication Date Title
WO2010111964A1 (zh) 安全算法选择处理方法与装置、网络实体及通信系统
JP5392879B2 (ja) 通信デバイスを認証するための方法および装置
US11582602B2 (en) Key obtaining method and device, and communications system
US10798082B2 (en) Network authentication triggering method and related device
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
WO2019017837A1 (zh) 网络安全管理的方法及装置
JP2022502908A (ja) Nasメッセージのセキュリティ保護のためのシステム及び方法
CN103609154B (zh) 一种无线局域网接入鉴权方法、设备及系统
WO2019004929A2 (zh) 网络切片分配方法、设备及系统
WO2019206286A1 (zh) 一种网络切片接入的方法、装置和系统
WO2009030164A1 (fr) Procédé, système et dispositif pour empêcher l'attaque par dégradation pendant qu'un terminal se déplace
WO2009030155A1 (en) Method, system and apparatus for negotiating the security ability when a terminal is moving
KR20100054178A (ko) 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
JP2004164576A (ja) 公衆無線lanサービスシステムにおけるユーザ認証方法およびユーザ認証システム、ならびに記録媒体
US10278073B2 (en) Processing method for terminal access to 3GPP network and apparatus
WO2011000315A1 (zh) 群组管理方法、网络设备和网络系统
WO2009043278A1 (fr) Procédé, système et dispositif pour négocier la capacité de sécurité pendant qu'un terminal se déplace
WO2010094244A1 (zh) 一种进行接入认证的方法、装置及系统
WO2015100974A1 (zh) 一种终端认证的方法、装置及系统
US10172003B2 (en) Communication security processing method, and apparatus
JP2007529763A (ja) ネットワークアプリケーションエンティティのためにユーザーの身元確認を得る方法
WO2013127190A1 (zh) 一种nas算法的传输方法及装置
WO2013185709A1 (zh) 一种呼叫认证方法、设备和系统
WO2013152740A1 (zh) 用户设备的认证方法、装置及系统
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10758066

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: MX/A/2011/010433

Country of ref document: MX

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2010758066

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 7758/CHENP/2011

Country of ref document: IN

REG Reference to national code

Ref country code: BR

Ref legal event code: B01A

Ref document number: PI1015037

Country of ref document: BR

ENP Entry into the national phase

Ref document number: PI1015037

Country of ref document: BR

Kind code of ref document: A2

Effective date: 20111003