安全算法选择处理方法与装置、网络实体及通信系统的制作方法

文档序号：7699500阅读：177来源：国知局

专利名称：安全算法选择处理方法与装置、网络实体及通信系统的制作方法
技术领域：
本发明涉及通信技术，尤其是一种安全算法选择处理方法与装置、网络实体及通信系统。
背景技术：
长期演进(Long Term Evolve，以下简称LTE)是由第三代合作伙伴计划(Third Generation Partnership Project,以下简称3GPP)定义的移动宽带网络标准的下一个演进目标，支持在成对频谱和非成对频谱上的运行，可实现对现有和未来的无线频带的高效利用。如图1所示，为作为LTE系统中接入网部分的演进的通用移动电信系统陆地无线接入网(Evolved UMTSTerrestrial Radio Access Network，以下简称E_UTRAN)的结构示意图。演进基站(Evolved NodeB，以下简称eNB)之间通过X2接口实现数据和信令的交互。 eNB通过S1接口连接到演变分组核心(Evolved Packet Core，以下简称EPC)网络中的移动性管理实体(Mobility Management Entity，以下简称MME)。eNB通过SI接口连接到服务网关(Serving Gateway,以下简称:S_GW)。如图2 所示，为 LTE系统架构演进(LTE System Architecture Evolution，以下简称LTE-SAE)系统的安全架构示意图。该LTE-SAE系统中，具有如下两层安全保护一层是用户终端(User Equipment，以下简称:UE)与eNB之间的接入层(Access Stratum，以下简称AS)，主要用于对UE与eNB之间的无线资源控制(Radio Resource Control,以下简称 RRC)信令和用户面(User Plane，以下简称UP)的用户数据进行安全保护，包括RRC信令的加密保护和完整性保护以及UP的用户数据的加密；另一层是UE和MME之间的非接入层 (Non Access Stratum,以下简称NAS)，主要用于对UE和MME之间的NAS信令进行安全保护，包括NAS信令的加密保护和完整性保护。在LTE-SAE系统中，UE的能力包括UE空口能力(UE radio capability)和UE网络能力(UE network capability)。其中，UE空口能力使用在UE与eNB之间，主要体现在 UE对于AS所支持的AS安全算法列表，假设该AS安全算法列表中算法的集合表示为{A}。 UE网络能力使用在UE与MME之间，包含了 UE在NAS的安全能力，体现在对于NAS所支持的 NAS安全算法的列表，假设该NAS安全算法列表中算法的集合表示为{B}。从AS与NAS的安全模式启动成功后启动对数据和信令的安全保护。启动AS与NAS的安全模式时，UE分别向网络实体eNB、MME上报AS安全算法{A}与NAS安全算法{B}；假设表示eNB自身安全算法支持能力的安全算法列表为{a}，表示MME自身安全算法支持能力的安全算法列表为 {b}，eNB从{{A} n {a}}中选择AS的安全算法，包括RRC加密算法，即演进的分组系统 (EvolvedPacket System，以下简称EPS)AS信令加密算法(EPS AS EncryptionAlgorithm, 以下简称EAEA)，RRC完整性保护算法，即EPS AS信令完整性保护算法(EPS AS Integrity Algorithm，以下简称EAIA)，和用户面加密算法，S卩EPS用户面加密算法(EPS User-plan Encryption Algorithm，以下简称EUEA)，MME 从{{B} n {b}}中选择 NAS 的安全算法，包括 EPSNAS 加密算法(EPS NAS Encryption Algorithm，以下简称ENEA)，和 EPSNAS 完整性
10保护算法(EPS NAS Integrity Algorithm,以下简称ENIA)。在实现本发明的过程中，发明人发现选择AS安全算法与NAS的安全算法的现有技术至少存在以下问题UE中的AS安全算法列表与NAS安全算法列表相同，也即集合{A}=集合{B}，当 UE中的AS安全算法列表包含eNB的安全算法列表、UE中的NAS安全算法列表包含MME的安全算法列表时，也即{a}包含于{A}、集合{b}包含于{B}时，eNB选择的AS的安全算法与MME选择的NAS的安全算法可能相同；并且，UE中的AS安全算法列表包括了 RRC信令的安全算法和UP的安全算法，因此，根据现有技术选择的RRC信令的安全算法和UP的安全算法完全相同。在LTE-SAE系统中，UE与网络实体支持的安全算法可能会有多种，不同安全算法的复杂度与开销有所不同。一般而言，安全级别越高的算法其复杂度与开销越大。不同的数据类型、业务类型与用户需求可能需要不同的安全算法，甚至不需要进行安全保护，因此，没必要针对所有的业务均采用相同的安全算法。但是，现有技术中网络实体eNB、MME 无法基于不同的数据类型、业务类型与用户需求来选择相应的AS的安全算法与NAS的安全算法，因此，无法根据不同的数据类型、业务类型与用户需求对相应的业务进行不同的安全保护。

发明内容
本发明实施例的目的是提供一种安全算法选择处理方法与装置、网络实体及通信系统，以针对不同的业务选择不同的安全算法进行安全保护。本发明实施例提供的一种安全算法选择处理方法，包括接收用户终端发送的业务请求消息；根据该业务请求消息的安全保护需求，从该用户终端与网络实体都支持的安全算法列表中选择安全算法；其中，该用户终端和/或该网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，该用户终端与该网络实体支持的安全算法列表分别用于表示该用户终端与该网络实体的安全能力。本发明实施例提供的一种安全算法选择处理装置，包括第一获取模块，用于获取用户终端发送的业务请求消息的安全保护需求；第一选择模块，用于根据该业务请求消息的安全保护需求，从该用户终端与网络实体都支持的安全算法列表中选择安全算法；该用户终端和/或该网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，该用户终端与该网络实体支持的安全算法列表分别用于表示该用户终端与该网络实体的安全能力。本发明实施例提供的一种通信系统，包括网络实体，还包括安全算法选择处理装置，用于获取该用户终端发送的业务请求消息的安全保护需求，并根据该业务请求消息对应的安全保护需求，从该用户终端与该网络实体都支持的安全算法列表中选择安全算法；该用户终端和/或该网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，该用户终端与该网络实体支持的安全算法列表分别用于表示该用户终端与该网络实体的安全能力。基于本发明上述实施例提供的安全算法选择处理方法、安全算法选择处理装置与
11通信系统，由于用户终端和/或网络实体，例如eNB、MME，支持的安全算法列表基于不同的安全保护需求分别设置，可以根据不同业务请求消息的安全保护需求选择不同的安全算法，以对相应的业务进行不同的安全保护，不但提高了业务的安全性，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。本发明实施例提供的一种用户终端，包括第一存储模块，用于存储该用户终端支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或者用于表示该用户终端的安全能力；第二获取模块，用于从该第一存储模块中获取安全算法列表，或查询该业务请求消息的安全保护需求，从该第一存储模块中获取该安全保护需求对应的安全算法列表；第一发送模块，用于生成并向网络实体发送业务请求消息，该业务请求消息中包括该第二获取模块获取的安全算法列表；第一接收模块，用于接收该网络实体返回的安全算法，该安全算法根据该业务请求消息的安全保护需求，从该用户终端与网络实体都支持的安全算法列表中选择。本发明实施例提供的一种网络实体，包括第二存储模块，用于存储该网络实体支持的安全算法列表或安全算法选择策略，该安全算法列表基于不同的安全保护需求分别设置或者用于表示该网络实体的安全能力，该安全算法选择策略基于该网络实体支持的安全算法列表设置；第二接收模块，用于接收用户终端发送的业务请求消息，该业务请求消息中包括该用户终端支持的安全算法列表；第二选择模块，用于根据该第二存储模块中存储的安全算法列表或安全算法选择策略，与该业务请求消息中的安全算法列表，从该用户终端与该网络实体都支持的安全算法列表中选择该安全保护需求对应的安全算法；第二发送模块，用于将该第二选择模块选择的安全算法发送给该用户终端。本发明实施例提供的另一种通信系统，包括网络实体，该网络实体中存储有该网络实体支持的安全算法列表或安全算法选择策略，该安全算法列表基于不同的安全保护需求分别设置或用于表示该网络实体的安全能力，该安全算法选择策略基于该网络实体支持的安全算法列表设置；该网络实体用于接收该用户终端发送的业务请求消息，该业务请求消息中包括该用户终端支持的安全算法列表或该业务请求消息的安全保护需求所对应的安全算法列表，根据该网络实体支持的安全算法列表或安全算法选择策略，与该业务请求消息中携带的安全算法列表，从该用户终端与该网络实体都支持的安全算法列表中选择该安全保护需求对应的安全算法，并将选择的安全算法发送给该用户终端。基于本发明上述实施例提供的用户终端、网络实体与另一种通信系统，由于用户终端和/或网络实体，支持的安全算法列表基于不同的安全保护需求分别设置，用户终端将其支持的全部安全算法列表或与业务请求消息的安全保护需求相应的安全算法列表发送给网络实体后，网络实体就可以从用户终端与该网络实体支持的安全算法中选择业务请求消息的安全保护需求相应的安全算法，以便后续对该业务进行相应的安全保护，提高了业务的安全性；另外，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。本发明实施例提供的另一种用户终端，包括第一存储模块，用于存储该用户终端支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或用于表示该用户终端的安全能力；第一发送模块，用于生成并向网络实体发送业务请求消息；第一接收模块，用于接收该网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法列表为该网络实体支持的安全算法列表或该安全算法列表中与该业务请求消息的安全保护需求对应的安全算法列表，该安全算法选择策略基于该网络实体支持的安全算法列表设置；第三选择模块，用于根据该第一存储模块中存储的安全算法列表，与该第一接收模块接收到的安全算法列表，从该用户终端与该网络实体都支持的安全算法列表中选择该安全保护需求对应的安全算法。本发明实施例提供的另一种网络实体，包括第二存储模块，用于存储该网络实体支持的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法列表基于不同的安全保护需求分别设置或用于表示该网络实体的安全能力，该安全算法选择策略基于该网络实体支持的安全算法列表设置；第二接收模块，用于接收用户终端发送的业务请求消息；第四发送模块，用于将该第二存储模块中存储的安全算法列表、该业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给该用户终端。本发明实施例提供的又一种通信系统，包括网络实体，该网络实体中存储有该网络实体支持的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法列表基于不同的安全保护需求分别设置相应表示该用户终端或该网络实体的安全能力，该安全算法选择策略基于该网络实体支持的安全算法列表设置；该网络实体用于接收该用户终端发送的业务请求消息，将该网络实体存储的安全算法列表、该安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给该用户终端，以便该用户终端根据该用户终端存储的安全算法列表，与该网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择该安全保护需求对应的安全算法。基于本发明上述实施例提供的另一种用户终端、另一种网络实体与又一种通信系统，由于用户终端和/或网络实体，支持的安全算法列表基于不同的安全保护需求分别设置，网络实体接收到用户终端发送的业务请求消息后，可以将其支持的全部安全算法列表或与业务请求消息的安全保护需求相应的安全算法列表返回给用户终端，以便用户终端从该用户终端与网络实体支持的安全算法中选择业务请求消息的安全保护需求相应的安全算法，从而在后续对该业务进行相应的安全保护，提高了业务的安全性；另外，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

图1为作为LTE系统中接入网部分的E-UTRAN的结构示意图；图2为LTE-SAE系统的安全架构示意图；图3为本发明实施例的一种安全算法选择处理方法流程图；图4为本发明安全算法选择处理方法一个实施例的流程图；图5为本发明安全算法选择处理方法另一个实施例的流程图；图6为本发明安全算法选择处理方法又一个实施例的流程图；图7为本发明安全算法选择处理方法再一个实施例的流程图；图8为本发明安全算法选择处理方法还一个实施例的流程图；图9为本发明安全算法选择处理方法又一个实施例的流程图；图10为本发明安全算法选择处理装置一个实施例的结构示意图；图11为本发明安全算法选择处理装置另一个实施例的结构示意图；图12为本发明通信系统一个实施例的结构示意图；图13为本发明UE 一个实施例的结构示意图；图14为本发明UE另一个实施例的结构示意图；图15为本发明UE又一个实施例的结构示意图；图16为本发明网络实体一个实施例的结构示意图；图17为本发明网络实体另一个实施例的结构示意图；图18为本发明应用服务器一个实施例的结构示意图；图19为本发明通信系统另一个实施例的结构示意图；图20为本发明通信系统又一个实施例的结构示意图；图21为本发明UE再一个实施例的结构示意图；图22为本发明UE还一个实施例的结构示意图；图23为本发明网络实体又一个实施例的结构示意图；图24为本发明网络实体再一个实施例的结构示意图；图25为本发明通信系统再一个实施例的结构示意图；图26为本发明通信系统还一个实施例的结构示意图。
具体实施例方式如图3所示，本发明实施例的一种安全算法选择处理方法，包括S1，接收UE发送的业务请求消息；S2，根据业务请求消息的安全保护需求，从UE与网络实体都支持的安全算法列表中选择安全算法。其中，UE和/或网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，UE与网络实体支持的安全算法列表分别用于表示UE与网络实体的安全能力。由于用户终端和/或网络实体，支持的安全算法列表基于不同的安全保护需求分别设置，可以根据不同业务请求消息的安全保护需求选择不同的安全算法，以对相应的业务进行不同的安全保护，不但提高了业务的安全性，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。其中的安全保护需求可以包括数据类型、业务类型与用户需求中的任意一种或多种。例如数据类型对应的安全保护级别需求或安全算法列表，业务类型对应的安全保护级别需求或安全算法列表或安全算法策略，其中，业务类型对应的安全算法策略用于表示该业务类型在不同条件下的安全保护级别需求。具体地，数据类型可以是RRC信令、UP的用户数据或NAS信令。安全算法可以是RRC加密算法、RRC完整性保护算法、UP加密算法、UP 完整性保护算法、NAS加密算法或NAS完整性算法。作为本发明的一个实施例，UE支持的安全算法列表包括该UE的空口安全能力 Radio Capability算法列表与网络安全保护能力NetworkCapability算法列表。UE发送的业务请求消息具体可以是服务请求消息Service Request或者附着请求消息Attach Request。本发明的实施例中，UE的安全能力，例如算法能力集，可以按照不同数据类型安全保护需求的不同，例如区分信令与用户面数据，来分别定义不同的算法能力集，为不同数据类型或者不同安全保护层次提供该用UE支持的、不同的安全保护算法列表。其中的安全保护层次包括AS与NAS。网络实体的安全能力具体可以为不同数据类型或者不同安全保护层次提供该网络实体支持的、不同的安全保护算法列表。由于不同安全算法的复杂度不同，占用的开销与加解密、完整性验证码的计算和校验的效率也不同，不同数据类型的数据包以及流量的特点是不一样的，对于安全保护需求也不同，例如信令和用户数据为不同的数据类型。本发明实施例中，UE的安全能力基于不同的数据类型、业务类型或用户需求的安全保护需求，在UE和/或网络实体中设置不同的安全算法能力集，这样，UE或网络实体就可以根据不同的安全保护需求选择不同的安全算法来相应的业务进行安全保护，不但提高了业务的安全性，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。由于数据量大，完整性算法占用的开销太大，对于系统的性能影响太大，现有技术中，对于UP的用户数据，并没有进行完整性保护。但是在某些场合，例如在安全级别要求较高的防篡改、需要准确保证数据正常传输的场合，也有实际的数据完整性保护的需求。或者，基于高安全级别安全算法性能的局限性，本发明实施例中可以根据安全算法本身的特点，例如复杂度、占用的开销等，来根据用户订阅的安全保护需求预先设置相应的安全算法列表，从而可以采用较为适合和完整性保护算法，例如采用较低计算量的完整性算法，或者特定部分数据完整性校验的方法，来对相应的UP的用户数据进行完整性保护。在本发明的实施例中，网络实体具体可以是eNB，也可以是MME。网络实体为演进基站eNB时，相应的业务请求消息为RRC请求消息或UP的用户数据，接收UE发送的业务请求消息具体为eNB接收UE发送的RRC请求消息或UP的用户数据。网络实体为MME时，相应的业务请求消息为NAS请求消息，接收UE发送的业务请求消息具体为MME接收由eNB转发的、由UE发送的NAS请求消息。具体从UE与网络实体都支持的安全算法列表中选择业务请求消息的安全保护需求对应的安全算法时，若UE与网络实体都支持的安全算法列表中与业务请求消息的安全保护需求对应的安全算法有多种，则可以根据预先设定的优先级顺序，从符合条件的算法中选择用于业务保护的安全算法。该预先设定的优先级顺序可以包含在安全算法列表本身中，也可以在安全算法列表以外的位置存储安全算法列表中各安全算法的优先级顺序。本发明实施例的安全算法选择处理方法之前，可以在UE和/或网络实体中，根据不同的安全保护需求分别设置不同的安全算法列表，并可以根据实际需求，对UE的和/或网络实体中安全算法列表进行增加、删除或更新。通过本发明实施例，从UE与网络实体都支持的安全算法列表中选择业务请求消息的安全保护需求对应的安全算法后，UE与网络实体之间，例如UE与eNB之间，UE与MME 之间，就可以根据选择的安全算法对业务进行安全保护。具体地，在LTE-SAE系统中，eNB从该eNB自身与UE都支持的安全算法列表中选择出RRC加密算法、RRC完整性保护算法、UP加密算法、UP完整性保护算法后，eNB向UE发送经过完整性保护的AS安全模式命令，其中携带有密钥标识KSIasme、EAEA、EAIA、EUEA和 AS消息完整性保护的认证码(AS Message Authentication Codes，以下简称AS-MAC)，UE 进入AS安全模式并向eNB返回经过完整性保护的AS安全模式响应，其中携带有AS-MAC，从而启动AS的安全模式，从AS的安全模式启动成功后，通过eNB选择的安全保护算法对数据和信令进行安全保护。MME从该MME自身与UE都支持的安全算法列表中选择出ENEA与 ENIA后，向UE发送经过完整性保护的NAS安全模式命令，其中携带有密钥标识KSIasme、 ENEA、ENIA与NAS消息完整性保护的认证码(NAS Message Authentication Codes，以下简称NAS-MAC)，UE进入NAS安全模式并向MME返回经过完整性保护的NAS安全模式响应，其中携带有NAS-MAC，从而启动NAS的安全模式，从NAS的安全模式启动成功后，通过MME选择的安全保护算法对数据和信令进行安全保护。如图4所示，为本发明安全算法选择处理方法一个实施例的流程图，其包括以下步骤步骤101，网络实体接收UE发送的业务请求消息，该业务请求消息中包括UE支持的安全算法列表。其中的网络实体可以是eNB或者MME。若网络实体是eNB，则eNB可以与UE进行信息交互，直接从UE获得UE支持的安全算法列表。另外，UE也可以将其支持的安全算法列表发送给MME，eNB从MME获取UE支持的安全算法列表。若网络实体是MME，由于MME通过eNB与UE进行信息交互，UE先将业务请求消息发送给eNB，再由eNB将该业务请求消息转发给MME。其它实施例中的消息发送流程同理，不再赘述。另外，步骤101中的业务请求消息中也可以不包括UE支持的安全算法列表，而由网络实体预先存储UE支持的安全算法列表，或者由应用服务器中存储的关于UE的安全能力信息提供。步骤102，网络实体根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求。步骤103，网络实体获取自己支持的安全算法列表中与安全保护需求对应的安全算法列表，以及获取UE支持的安全算法列表中与安全保护需求对应的安全算法列表。具体地，若网络实体与UE中只有一个安全算法列表基于不同的安全保护需求分别设置，则仅对基于不同的安全保护需求分别设置安全算法列表的UE或网络实体执行该步骤103的操作，而认为未基于不同的安全保护需求分别设置的安全算法列表中的安全算法适用于所有的安全保护需求，也就是说，不论安全保护需求是什么，针对该安全保护需求，从该未基于不同的安全保护需求分别设置安全算法列表的UE或网络实体中获取的安全算法都是该UE或网络实体中的所有安全算法列表。其它实施例同理。例如假设UE支持的安全算法列表包括A、B、C三种算法，且该安全算法列表未基于不同的安全保护需求分
16别设置，而网络实体支持的安全算法列表包括A、B、D、E、F五种算法，该安全算法列表中，与第一用户需求对应的安全算法为A与B，与第二用户需求对应的安全算法为D、E与F，则若用户终端发送的业务请求消息的安全保护需求为第一用户需求，则从UE获取的与该第一用户需求对应的安全算法UE支持的安全算法列表中的所有安全算法，即A、B与C，从网络实体获取的与该第一用户需求对应的安全算法为A与B。步骤104，网络实体从获取的安全算法列表中，UE与网络实体都支持的安全算法列表中选择一种作为该业务请求消息所请求业务的安全保护算法。根据步骤103中的实例，可以选择A或B作为该业务请求消息所请求业务的安全保护算法。若预先设置了 A安全算法与B安全算法的优先级顺序，则根据优先级顺序选择A 或B作为该业务请求消息所请求业务的安全保护算法。否则，可以根据其它规则或随机选择A或B作为该业务请求消息所请求业务的安全保护算法。在上述图4所示的实施例中，由UE在发送给网络实体的业务请求消息时携带UE 支持的安全算法列表，由网络实体直接根据UE支持的安全算法列表与网络实体支持的安全算法列表中选择相应的安全保护算法，对现有技术的流程改动较小，并且流程简单，易于实现。本发明实施例中的步骤103与步骤104可以没有时间顺序关系，例如步骤104也可以先于或同时与步骤103执行。例如可以先通过步骤104选择UE和网络实体都支持的安全算法，则从中选择出与业务请求消息的安全保护需求对应的安全算法。还是基于步骤103的实施例，从UE的安全算法列表和网络实体的安全算法列表中选择出二者都支持的安全算法为A与B，再从A与B中选择出与第一用户需求对应的安全算法A与B，之后可以根据优先级顺序或随机选择A或B作为该业务请求消息所请求业务的安全保护算法。作为本发明实施例的一个具体应用，假设UE支持的安全算法列表如下表1所示。其中，在信令协议中的标识包括该安全算法支持的密钥长度_安全算法名称缩写，例如“128-EEA0”表示名称为Null ciphering algorithm的安全算法支持的密钥长度为128，该安全算法名称缩写为EEA0。“ V”表示该安全算法适用于某项业务，“ V”表示该安全算法不适用于某项业务，根据表1，安全算法Null ciphering与AES适用于RRC加密业务，安全算法SNOW 3G 不适用于RRC加密业务，也就是说对于RRC加密算法，UE支持Null ciphering与AES安全算法。进一步地，可以按照安全算法被选择的优先级顺序来为安全算法分配安全算法编号，也就是说，在某一安全保护需求对应的各种算法中，可以优先选择编号较小或者编号较大的算法作为对相应业务进行安全保护的算法。表1UE支持的安全算法列表 eNB支持的安全算法列表如下表2所示，eNB支持的安全算法适用于所有业务的安全保护需求，也就是说，eNB支持的安全算法列表未基于不同的安全保护需求分别设置。表2eNB支持的安全算法列表表1与表2中的安全保护需求仅以数据类型为例。若网络实体接收到UE发送的业务请求消息为RRC请求消息，则确定其数据类型为RRC信令，根据步骤103，从RRC请求消息中UE支持的安全算法列表中选择的安全算法列表包括安全算法Null ciphering与AES，从eNB支持的安全算法列表中选择的安全算法列表包括安全算法Null ciphering、SNOW 3G与AES，因此，eNB可从Null ciphering与AES中选择一种安全算法作为RRC信令的加密算法。若表1与表2中的安全算法按照从高到低的优先级顺序排列，则eNB选择Null ciphering与AES中优先级较高的Null ciphering作为RRC信令的加密算法。而针对UP的用户数据选择SNOW 3G安全算法，这样，对UP的用户数据与RRC信令就选择了不同多个安全算法。在本发明的各实施例中，若网络实体与UE中对安全算法的优先级排列顺序冲突，可以根据预先设定，按照UE或网络实体中的优先级顺序选择，或者优先级顺序冲突的安全算法都不选择，或者直接结束本次安全算法选择。另外，在步骤101之前，UE可以根据其将要发送的业务请求消息的安全保护需求，从该UE支持的安全算法列表中选择该安全保护需求对应的安全算法列表；相应的，步骤 101中，业务请求消息中包括的是该UE支持的、安全保护需求对应的安全算法列表；步骤 103中，仅需网络实体获取自己支持的安全算法列表中与获取的安全保护需求对应的安全算法即可，若网络实体中的安全算法列表未基于不同的安全保护需求分别设置，则网络实体获取自己支持的安全算法列表。如图5所示，为本发明安全算法选择处理方法另一个实施例的流程图，其包括以下步骤步骤201，网络实体接收UE发送的业务请求消息。步骤202，网络实体获取自己支持的向安全算法列表，并发送给UE。步骤203，UE根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求。其中，步骤203与步骤202之间没有严格的时间关系限制，步骤203也可以与步骤 202同时执行或先于步骤202执行。步骤204，UE从该UE与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算法。具体地，UE可以参考步骤103-104的方式选择从该UE与网络实体都支持的安全
18算法列表中选择安全保护需求对应的安全算法。在上述图5所示的实施例中，网络实体在接收到UE发送的业务请求消息后，向UE 反馈该网络实体支持的安全算法列表，由UE直接根据UE支持的安全算法列表与网络实体支持的安全算法列表中选择相应的安全保护算法，不需要UE向网络实体上报其支持的安全算法列表，因此，可以较为快速的选择出安全保护需求对应的安全算法。或者，在步骤201之后，网络实体可以根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求，并从自己支持的安全算法列表中与获取的安全保护需求对应的安全算法列表。相应的，步骤202中，网络实体仅将获取的安全保护需求对应的安全算法列表发送给UE。步骤204中，UE从网络实体发送的安全保护需求对应的安全算法列表与UE自身中与通过步骤203获取的安全保护需求对应的安全算法列表中，选择一种安全算法作为业务消息所请求业务的安全保护算法。若UE中的安全算法列表未基于不同的安全保护需求分别设置，则不需要执行步骤203。相应的，步骤204中，UE从网络实体发送的安全保护需求对应的安全算法列表与 UE自身支持的安全算法列表中，选择一种安全算法作为业务消息所请求业务的安全保护算法。或者，在网络实体中存储有安全算法选择策略时，步骤201之后，向UE返回网络实体支持的安全算法选择策略，该安全算法选择策略基于网络实体支持的安全算法列表设置，例如安全算法选择策略可以是在网络实体支持的安全算法列表中，各种数据类型、业务类型与用户需求具体对应的安全算法，或进一步包括安全算法的优先级顺序。相应的，步骤204中，UE根据网络实体发送的安全算法选择策略，从UE与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算法。网络实体中可以存储多个安全算法选择策略，这些安全算法选择策略的相关信息，例如策略名称、策略标识(identifier，以下简称ID)、安全保护需求应用的安全算法在终端与网络实体都是同步的，或者，网络实体与UE对对方所能支持的安全算法选择策略是可知的。当网络实体启用安全算法的时候，可以将安全算法选择策略通过安全保护的消息传递给UE,指示UE采用相应的安全算法保护后续的通信业务。如下表3、表4所示，分别为网络实体中存储的安全算法策略一和安全算法策略二。安全算法策略给出了针对不同的数据类型、业务类型与用户需求具体应用的安全算法。表3安全算法策略一表4安全算法策略二
进一步地，若UE中也存储有与网络实体中相同的安全算法选择策略，并且UE与网络实体都存储有安全算法选择策略与安全算法选择策略ID时，为了减少网络流量，尽可能少地占用有限的网络带宽资源，网络实体可以仅将与用户终端发送的业务请求消息对应的安全算法选择策略的安全算法选择策略ID发送给UE。在步骤204中，UE确定网络实体发送的安全算法选择策略ID所标识的安全算法选择策略，并根据该安全算法选择策略，从UE 与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算法。为了进一步对不同安全保护需求的安全算法进行限制，便于对安全算法的选择进行统一管理和更新，可以在通信网络中设置一个应用服务器，在其中基于不同的安全保护需求分别设置安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，其设置方法可以参考网络实体中安全算法选择策略的设置方法。具体选择业务请求消息所请求业务的安全算法时，从UE与网络实体都支持且应用服务器存储的安全算法列表中选择安全算法。可以预先设定，在UE或网络实体选择的安全算法与应用服务器选择的安全算法冲突时，以应用服务器选择的安全算法为准。如图6所示，为本发明安全算法选择处理方法又一个实施例的流程图，其包括以下步骤步骤301，UE向应用服务器发送获取请求消息，获取该应用服务器存储的安全算法列表，或该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID。步骤302，UE根据自身支持的安全算法列表，与从应用服务器获取的安全算法列表、安全算法选择策略或安全算法选择策略ID，相应选择该UE支持且应用服务器存储的安全算法列表，或选择该UE支持且应用服务器存储的、业务请求消息的安全保护需求对应的安全算法列表。若UE从应用服务器获取的是安全算法选择策略ID，UE先根据安全算法选择策略与安全算法选择策略ID之间的对应关系获取相应的安全算法选择策略。UE选择的安全算法列表具体是UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对应的安全算法列表，还是UE支持且应用服务器存储的安全算法列表，可以根据通信需求预先设定。步骤303，UE向网络实体发送业务请求消息，该业务请求消息中包括UE选择的安全算法列表，具体为UE支持且应用服务器存储的安全算法列表，或UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对应的安全算法列表。步骤304，网络实体根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求。步骤305，若业务请求消息中包括的是UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对应的安全算法列表，网络实体获取自己支持的安全算法列表中与获取的安全保护需求对应的安全算法列表。若业务请求消息中包括的是UE支持且应用服务器存储的安全算法列表，则该步骤305中，网络实体还从该安全算法列表中选择出安全保护需求对应的安全算法列表。具体业务请求消息中包括的安全算法列表是UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对应的安全算法列表，还是UE支持且应用服务器存储的安全算法列表，可以根据通信需求预先设定。步骤306，网络实体从自己支持的、且与业务请求消息的安全保护需求对应的安全算法列表，与业务请求消息中UE选择的安全算法列表中，选择一种作为该业务请求消息所请求业务的安全保护算法。在上述图6所示的实施例中，UE先选择出该UE支持且应用服务器存储的安全算法列表，或选择该UE支持且应用服务器存储的、业务请求消息的安全保护需求对应的安全算法列表，再发送给网络实体，减少了 UE发送全部该UE支持的全算法列表与应用服务器存储的全算法列表的网络流量。并且，网络实体选择安全算法列表时还考虑了应用服务器存储的安全算法列表，进一步限制了不同安全保护需求的安全算法，便于对安全算法的选择进行统一管理和更新。如图7所示，为本发明安全算法选择处理方法再一个实施例的流程图，其包括以下步骤步骤401，UE向应用服务器发送获取请求消息，获取该应用服务器存储的安全算法列表，或该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID。步骤402，UE向网络实体发送业务请求消息，该业务请求消息中包括UE支持的安全算法列表，或该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安全算法列表，与获取的应用服务器存储的安全算法列表，或该安全算法列表中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID。该业务请求消息中的安全算法列表具体是UE支持的安全算法列表，还是该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安全算法列表，是应用服务器存储的安全算法列表，还是该安全算法列表中与安全保护需求对应的安全算法列表，可以根据通信需求预先设定。步骤403，网络实体根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求。步骤404，若业务请求消息中包括的是UE支持且应用服务器存储的、与该安全保护需求对应的安全算法列表，网络实体获取自己支持的安全算法列表中与获取的安全保护需求对应的安全算法列表。若业务请求消息中包括的是UE支持的安全算法列表，与应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略ID，则该步骤404中，网络实体还分别选择出UE支持且应用服务器存储的、与该安全保护需求对应的安全算法列表。如果业务请求消息中包括应用服务器的安全算法选择策略ID，则需要预先在网络实体与应用服务器中设置相同的安全算法选择策略与安全算法选择策略ID之间的对应关系，网络实体根据安全算法选择策略ID获取相应的安全算法选择策略。具体业务请求消息中包括的安全算法列表是UE支持且应用服务器存储的、且与该安全保护需求对应的安全算法列表，还是UE支持且应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略ID，可以根据通信需求预先设定。步骤405，网络实体从自己支持的、且与该安全保护需求对应的安全算法列表，和 UE支持且应用服务器存储的、与该安全保护需求对应的安全算法列表中，选择一种作为该业务请求消息所请求业务的安全保护算法。在上述图7所示的实施例中，UE将该UE支持的安全算法列表与应用服务器存储的安全算法列表，或该安全算法列表中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，发送给网络实体，网络实体选择安全算法列表时还考虑了应用服务器存储的安全算法列表，进一步限制了不同安全保护需求的安全算法，便于对安全算法的选择进行统一管理和更新。如图8所示，为本发明安全算法选择处理方法还一个实施例的流程图，其包括以下步骤步骤501，UE向网络实体发送业务请求消息，该业务请求消息中包括UE支持的安全算法列表，或UE根据该业务请求消息的安全保护需求，从自己支持的安全算法列表选择出来的与安全保护需求对应的安全算法列表。业务请求消息中的安全算法列表具体是UE支持的、且与业务请求消息的安全保护需求对应的安全算法列表，还是UE支持的安全算法列表，可以根据通信需求预先设定。步骤502，网络实体接收到UE发送的业务请求消息之后，获取应用服务器存储的安全算法列表、该应用服务器存储的且与该安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID。步骤503，网络实体根据预先设置的业务请求消息与安全保护需求之间的对应关系信息，获取UE发送的业务请求消息的安全保护需求。步骤504，若网络实体通过步骤501与步骤502获得的是UE与应用服务器都支持的、业务请求消息的安全保护需求对应的安全算法列表，网络实体获取自己支持的安全算法列表中与获取的安全保护需求对应的安全算法列表。若网络实体通过步骤501与步骤502获得的是UE支持的安全算法列表，与应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略ID，则该步骤504中，网络实体还分别选择出UE支持且应用服务器存储的、与安全保护需求对应的安全算法列表。如果业务请求消息中包括应用服务器的安全算法选择策略ID，则需要预先在网络实体与应用服务器中设置相同的安全算法选择策略与安全算法选择策略ID之间的对应关系，网络实体根据安全算法选择策略ID获取相应的安全算法选择策略。步骤505，网络实体从自己支持的、且与该安全保护需求对应的安全算法列表，与 UE支持且应用服务器存储的、与该安全保护需求对应的安全算法列表中，选择一种作为该业务请求消息所请求业务的安全保护算法。在上述图8所示的实施例中，网络实体接收到UE发送的业务请求消息后，自己获取而不需要UE获取再发送应用服务器存储的安全算法列表，或该安全算法列表中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，减少了 UE 发送应用服务器的安全算法列表，或安全算法选择策略，或安全算法选择策略ID所占用的网络带宽；另外，网络实体选择安全算法列表时还考虑了应用服务器存储的安全算法列表，进一步限制了不同安全保护需求的安全算法，便于对安全算法的选择进行统一管理和更新。通过图4中的步骤104，图6中的步骤306，图7中的步骤405，与图8中的步骤505，网络实体选择出安全算法之后，可以通过安全模式命令将该选择的安全算法发送给UE，以便于UE与网络实体通过该安全算法对相应的业务进行安全保护。具体地，若网络实体是 eNB,则eNB可以直接将选择的安全算法发送给UE ；若网络实体是MME，则MME可以将选择的安全算法发送给eNB，由eNB将该安全算法转发给UE,网络实体向UE发送的其它消息流程类同，不再赘述。如图9所示，为本发明安全算法选择处理方法又一个实施例的流程图，其包括以下步骤步骤601，UE向应用服务器发送获取请求消息，获取该应用服务器存储的安全算法列表，或该安全算法列表中与将要发送的业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID。若从应用服务器获取的是安全算法选择策略ID，UE需要根据安全算法选择策略与安全算法选择策略ID之间的对应关系获取相应的安全算法选择策略。步骤602，UE向网络实体发送业务请求消息。另外，步骤602也可以与步骤601同时执行或先于步骤601执行。步骤603，网络实体接收到UE发送的业务请求消息之后，向UE返回该网络实体支持的安全算法列表，或其中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，该安全算法选择策略基于网络实体支持的安全算法列表设置。若网络实体返回的是安全算法选择策略ID，UE需要根据安全算法选择策略与安全算法选择策略ID之间的对应关系获取相应的安全算法选择策略。网络实体返回的具体是其支持的安全算法列表，还是其中安全保护需求对应的安全算法列表，还是安全算法选择策略，还安全算法选择策略ID，可以根据通信需求预先设定。步骤604，UE根据自己支持的安全算法列表，与应用服务器存储的安全算法列表或安全算法选择策略，与网络实体的安全算法列表或安全算法选择策略，选择出与该业务请求消息的安全保护需求对应的安全算法。具体地，该步骤604中，UE可以先分别选择出UE与网络实体都支持且应用服务器存储的、与安全保护需求对应的安全算法列表，如果网络实体或应用服务器本身返回的就是其支持的、且与安全保护需求对应的安全算法列表，则无需执行该操作。然后，再进一步从三个安全算法列表中选择出一个共有的安全算法。具体实现可以参考图4-图8中的相应步骤。另外，如果网络实体或应用服务器本身返回的都是其支持的安全算法列表、安全算法选择策略或安全算法选择策略ID，UE也可以先选择出UE与网络实体都支持且应用服务器存储的安全算法列表，再从中选择出一个与安全保护需求对应的安全算法。在上述图9所示的实施例中，由UE获取网络实体支持的安全算法列表与应用服务器存储的安全算法列表，或该安全算法列表中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，据此选择UE与网络实体都支持且应用服务器存储的与安全保护需求对应的安全算法列表，对现有技术的流程改动较小；另外，UE选择安全算法列表时还考虑了应用服务器存储的安全算法列表，进一步限制了不同安全保护需求的安全算法，便于对安全算法的选择进行统一管理和更新。如图10所示，为本发明安全算法选择处理装置一个实施例的结构示意图，其包括第一获取模块701与第一选择模块702。其中，第一获取模块701用于获取UE发送的业务请求消息的安全保护需求。第一选择模块702用于根据业务请求消息的安全保护需求，从 UE与网络实体都支持的安全算法列表中选择安全算法。其中，UE和/或网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，UE与网络实体支持的安全算法列表分别用于表示UE与网络实体的安全能力。如图11所示，为本发明安全算法选择处理装置另一个实施例的结构示意图，与图 10所示的实施例相比，该实施例中的第一选择模块702包括第一获取单元7021与第一选择单元7022。其中，第一获取单元7021用于获取UE支持的安全算法列表，或UE支持的、且与该UE发送的业务请求消息的安全保护需求对应的安全算法列表，与网络实体支持的安全算法列表、该安全算法列表中与该业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，该安全算法选择策略基于网络实体支持的安全算法列表设置。第一选择单元7022用于根据第一获取单元7021从UE获取的安全算法列表，与从网络实体获取的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择该安全保护需求对应的安全算法。进一步地，在图11所示的实施例中，第一获取单元7021还可以获取应用服务器存储的安全算法列表、该安全算法列表中与该业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，该安全算法选择策略基于安全保护需求设置，应用服务器存储的安全算法列表基于不同的安全保护需求分别设置。相应的，第一选择单元7022用于根据第一获取单元7021从UE获取的安全算法列表，与分别从网络实体和应用服务器获取的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择UE、网络实体与应用服务器都支持的、且与该安全保护需求对应的安全算法。由于UE、网络实体和/或应用服务器的安全算法列表基于不同的安全保护需求分别设置，本发明实施例的安全算法选择处理装置可以根据不同业务请求消息的安全保护需求选择不同的安全算法，以对UE与网络实体之间相应的业务进行不同的安全保护，不但提高了业务的安全性，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。本发明上述各实施例提供的安全算法选择处理装置可用于实现本发明上述实施例中各安全算法选择处理的相应流程。本发明实施例提供的一种通信系统，包括网络实体1与安全算法选择处理装置2。其中，安全算法选择处理装置2用于获取UE发送的业务请求消息的安全保护需求，并根据该业务请求消息对应的安全保护需求，从UE与网络实体1都支持的安全算法列表中选择安全算法。其中，UE和/或网络实体1支持的安全算法列表基于不同的安全保护需求分别设置，或者，UE与网络实体1支持的安全算法列表分别用于表示该UE与网络实体1的安全能力。该实施例中的安全算法选择处理装置2可基于图10或图11所示实施例的安全算法选择处理装置实现。进一步地，通信系统中还可以包括应用服务器3，用于存储该应用服务器3存储的安全算法列表、安全算法选择策略或安全算法选择策略标识，其中的安全算法选择策略基于安全保护需求设置，应用服务器3存储的安全算法列表基于不同的安全保护需求分别设置。相应的，安全算法选择处理装置2还可以获取应用服务器3存储的安全算法列表、安全算法选择策略或安全算法选择策略ID，根据从UE获取的安全算法列表，与分别从网络实体 1和应用服务器3获取的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择与 UE发送的业务请求消息的安全保护需求对应的安全算法。其中，网络实体1的安全算法选择策略基于该网络实体1支持的安全算法列表设置。该实施例中的安全算法选择处理装置 2可基于图11所示实施例的安全算法选择处理装置实现。如图12所示，为本发明通信系统一个实施例的结构示意图，该实施例的安全算法选择处理装置2采用图11所示实施例的安全算法选择处理装置。如图13所示，为本发明UE—个实施例的结构示意图，该实施例的UE可以实现本发明图4与图8所示实施例中的相应流程，其包括第一存储模块801、第二获取模块802、第一发送模块803与第一接收模块804。其中，第一存储模块801用于存储UE支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或者用于表示该UE的安全能力。第二获取模块802用于从第一存储模块801中获取安全算法列表，或查询业务请求消息的安全保护需求，从第一存储模块801中获取该安全保护需求对应的安全算法列表。第一发送模块803用于生成并向网络实体发送业务请求消息，业务请求消息中包括第二获取模块802获取的安全算法列表。第一接收模块804用于接收网络实体根据该业务请求消息返回的安全算法，该安全算法根据业务请求消息的安全保护需求，从UE与网络实体都支持的安全算法列表中选择。如图14所示，为本发明UE另一个实施例的结构示意图，该实施例的UE可以实现本发明图7所示实施例中的相应流程。与图13所示的实施例相比，该实施例的UE还包括第三获取模块805，用于获取应用服务器存储的安全算法列表，或其中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，该安全算法选择策略基于安全保护需求设置，应用服务器存储的安全算法列表基于不同的安全保护需求分别设置。相应的，第一发送模块803向网络实体发送的业务请求消息中包括第二获取模块802从第一存储模块801中获取的安全算法列表和第三获取模块805从应用服务器获取的安全算法列表、安全算法选择策略、或安全算法选择策略ID。如图15所示，为本发明UE又一个实施例的结构示意图，该实施例的UE可以实现本发明图6所示实施例中的相应流程。与图13所示的实施例相比，该实施例的UE还包括第三获取模块805，用于获取应用服务器存储的安全算法列表，或其中与UE发送的业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，该安全算法选择策略基于安全保护需求设置。相应的，第二获取模块802包括第二获取单
25元8021与第二选择单元8022。其中，第二获取单元8021用于从第一存储模块801中获取安全算法列表，或查询业务请求消息的安全保护需求，从第一存储模块801中获取该安全保护需求对应的安全算法列表。第二选择单元8022用于根据第二获取单元8021从第一存储模块801中存储的安全算法列表，与第三获取模块805从应用服务器获取的安全算法列表、安全算法选择策略、或安全算法选择策略ID，选择UE支持且应用服务器存储的安全算法列表，或UE支持且应用服务器存储的、且与UE发送的业务请求消息的安全保护需求对应的安全算法列表。相应的，UE向网络实体发送的业务请求消息中的安全算法列表具体为第二选择单元8022选择的安全算法列表。如图16所示，为本发明网络实体一个实施例的结构示意图，该实施例的网络实体可用于实现本发明图4所示实施例中的相应流程，其包括第二存储模块901、第二接收模块 902、第二选择模块903与第二发送模块904。其中，第二存储模块901用于存储网络实体支持的安全算法列表或安全算法选择策略，其中的安全算法列表基于不同的安全保护需求分别设置或者用于表示该网络实体的安全能力，安全算法选择策略基于网络实体支持的安全算法列表设置。第二接收模块902用于接收UE发送的业务请求消息，该业务请求消息中包括UE支持的安全算法列表。第二选择模块903用于根据第二存储模块901中存储的安全算法列表或安全算法选择策略，与第二接收模块902接收到的业务请求消息中的安全算法列表，从UE与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算法。第二发送模块904用于将第二选择模块903选择的安全算法发送给UE。与图7所示实施例中的流程相应，在图16所示实施例的网络实体中，第二接收模块902接收到的业务请求消息中的安全算法列表具体可以是UE支持且应用服务器存储的安全算法列表，或UE支持且应用服务器存储的、且与业务请求消息的安全保护需求对应的安全算法列表。相应的，第二选择模块903从第二存储模块901中存储的安全算法列表或安全算法选择策略，与业务请求消息中的安全算法列表中，选择该安全保护需求对应的安全算法。与图6所示实施例中的流程相应，在图16所示实施例的网络实体中，第二接收模块902接收到的业务请求消息中还可以包括应用服务器存储的安全算法列表，或该安全算法列表中与业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，应用服务器存储的安全算法列表基于不同的安全保护需求分别设置。相应的，第二选择模块903根据第二存储模块901中存储的安全算法列表或安全算法选择策略，与业务请求消息中UE的安全算法列表，和应用服务器存储的安全算法列表、与安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择安全保护需求对应的安全算法。如图17所示，为本发明网络实体另一个实施例的结构示意图。与图8所示实施例中的流程相应，与图16所示实施例的网络实体相比，第二接收模块902接收到的业务请求消息中的安全算法列表具体为UE支持的、且与UE发送的业务请求消息的安全保护需求对应的安全算法列表。相应的，网络实体还包括第四获取模块905，用于获取应用服务器存储的安全算法列表，或该安全算法列表中与安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，应用服务器存储的安全算法列表基于不同的安全保护需求分别设置。相应的，第二选择模块903根据第二存储模块901中存储的安全算法列表或安全算法选择策略，与第二接收模块902 接收到的业务请求消息中的安全算法列表，与第四获取模块905获取到的应用服务器存储的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择安全保护需求对应的安全算法。如图18所示，为本发明应用服务器一个实施例的结构示意图，该实施例的应用服务器包括第三存储模块1001、第三接收模块1002与第三发送模块1003。其中，第三存储模块1001用于存储应用服务器的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置。第三接收模块1002用于接收UE或网络实体发送的获取请求消息。第三发送模块1003用于向发送获取请求消息的相应UE返回第三存储模块1001中存储的安全算法列表、安全算法选择策略或安全算法选择策略ID。本发明提供的另一个实施例的通信系统包括网络实体1。该实施例的通信系统中， UE中存储有该UE支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置。网络实体1中存储有该网络实体1支持的安全算法列表或安全算法选择策略，其中的安全算法列表基于不同的安全保护需求分别设置，安全算法选择策略基于该网络实体1支持的安全算法列表设置。UE生成并向网络实体1发送业务请求消息，该业务请求消息中包括 UE支持的安全算法列表或其中与业务请求消息的安全保护需求对应的安全算法列表，以及接收网络实体1返回的安全算法，该安全算法由网络实体1根据业务请求消息的安全保护需求，从UE与网络实体1都支持的安全算法列表中选择得到。网络实体1接收UE发送的业务请求消息，根据网络实体1支持的安全算法列表或安全算法选择策略，与业务请求消息中携带的安全算法列表，从UE与网络实体1都支持的安全算法列表中选择与UE发送的业务请求消息的安全保护需求对应的安全算法，并将该选择的安全算法发送给UE。该实施例的通信系统可用于实现如本发明图4所示实施例的流程，其中的UE可以采用图13所示实施例的UE，网络实体1可以采用图16所示实施例的网络实体。如图19所示，为本发明通信系统另一个实施例的结构示意图。进一步地，本发明实施例的通信系统还可以包括应用服务器3，用于存储该应用服务器3的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，应用服务器3存储的安全算法列表基于不同的安全保护需求分别设置，根据UE发送的获取请求消息，向UE返回该应用服务器3存储的安全算法列表、安全算法选择策略或安全算法选择策略标识。相应的，UE还可以用于获取应用服务器3存储的安全算法列表、或其中与该安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，并通过业务请求消息发送给网络实体1，或者，选择UE支持且应用服务器3存储的安全算法列表，或其中与安全保护需求对应的安全算法列表，并通过业务请求消息发送给网络实体1。网络实体1根据该网络实体1支持的安全算法列表或安全算法选择策略，与业务请求消息中携带的安全算法列表，选择UE与网络实体1都支持且应用服务器3存储的、且与该安全保护需求对应的安全算法。该实施例的通信系统可用于实现如本发明图6与图7所示实施例的流程，其中的UE可以采用图15与图14所示实施例的UE, 网络是实体1可以采用图16所示实施例中的相应网络实体。如图20所示，为本发明通信系统又一个实施例的结构示意图。如图21所示，为本发明UE再一个实施例的结构示意图，该实施例的UE可以实现
27本发明图5与图8所示实施例中的相应流程。其包括第一存储模块801、第一发送模块803、第一接收模块804与第三选择模块806。其中，第一存储模块801用于存储该UE支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或用于表示该UE的安全能力。第一发送模块803用于生成并向网络实体发送业务请求消息。第一接收模块804用于接收网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略ID，该安全算法列表为网络实体支持的安全算法列表，或其中与UE发送的业务请求消息的安全保护需求对应的安全算法列表，其中的安全算法选择策略基于网络实体支持的安全算法列表设置。第三选择模块806用于根据第一存储模块801中存储的安全算法列表，与第一接收模块804接收到的安全算法列表，从UE与网络实体都支持的安全算法列表中选择安全保护需求对应的安全算法。如图22所示，为本发明UE还一个实施例的结构示意图，该实施例的UE可以实现本发明图9所示实施例中的相应流程。与图21所示的实施例相比，该实施例的UE还包括第三获取模块805，用于获取应用服务器存储的安全算法列表，或其中与UE发送的业务请求消息的安全保护需求对应的安全算法列表，或安全算法选择策略，或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置。相应的，第三选择模块806根据第一存储模块801中存储的安全算法列表，与第三获取模块805从应用服务器获取到的安全算法列表、安全算法选择策略或安全算法选择策略ID，与第一接收模块804接收到的网络实体的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择UE与网络实体都支持且应用服务器存储的、与UE发送的业务请求消息的安全保护需求对应的安全算法。如图23所示，为本发明网络实体又一个实施例的结构示意图，该实施例的网络实体可以实现本发明图5所示实施例中的相应流程。该实施例的网络实体包括第二存储模块 901、第二接收模块902与第四发送模块907。其中，第二存储模块901用于存储网络实体支持的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法列表基于不同的安全保护需求分别设置或用于表示该网络实体的安全能力，安全算法选择策略基于网络实体支持的安全算法列表设置。第二接收模块902用于接收UE发送的业务请求消息。第四发送模块907用于将第二存储模块901中存储的安全算法列表、其中与业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID发送给 UE。如图24所示，为本发明网络实体再一个实施例的结构示意图，该实施例的网络实体可以实现本发明图9所示实施例中的相应流程。与图23所示的实施例相比，该实施例的网络实体还包括第四获取模块905与第二选择模块903。其中，第四获取模块905用于获取应用服务器存储的安全算法列表、该安全算法列表中与安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，应用服务器存储的安全算法列表基于不同的安全保护需求分别设置。第二选择模块903用于根据第二存储模块901中存储的安全算法列表或安全算法选择策略，与第四获取模块905获取的应用服务器存储的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，或者进一步选择网络实体支持且应用服务器存储的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID。第四发送模块907将第二存储模块901中存储的安全算法列表或安全算法选择策略，与第四获取模块905获取的应用服务器存储的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID发送给UE，或者将第二选择模块 903选择的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID发送给UE。本发明再一个实施例提供的通信系统中，UE中存储有该UE支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置。网络实体1中存储有该网络实体1支持的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法列表基于不同的安全保护需求分别设置或相应表示UE或网络实体1的安全能力，安全算法选择策略基于网络实体1支持的安全算法列表设置。UE生成并向网络实体1发送业务请求消息，以及接收网络实体1返回的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法列表为网络实体1支持的安全算法列表或其中与业务请求消息的安全保护需求对应的安全算法列表，并根据UE存储的安全算法列表，与网络实体1返回的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择UE发送的业务请求消息的安全保护需求对应的安全算法。网络实体1用于接收UE发送的业务请求消息，将该网络实体1存储的安全算法列表、其中与业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID发送给UE。该实施例的通信系统可用于实现如本发明图5所示实施例的流程，其中的UE可以采用图21所示实施例的UE,网络是实体1可以采用图23 所示实施例中的相应网络实体。如图25所示，为本发明通信系统再一个实施例的结构示意图。进一步地，在上述通信系统中，还可以包括应用服务器3，用于存储该应用服务器 3的安全算法列表、安全算法选择策略或安全算法选择策略ID，其中的安全算法选择策略基于安全保护需求设置，并根据UE发送的获取请求消息，向UE返回应用服务器3存储的安全算法列表、与UE发送的业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，相应的，网络实体1还用于通过获取请求消息获取应用服务器3存储的安全算法列表、或其中与安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，并发送给UE，或者选择网络实体1支持且应用服务器3存储的安全算法列表、安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略ID，并发送给UE。UE根据UE存储的安全算法列表，和网络实体1返回的安全算法列表、安全算法选择策略或安全算法选择策略ID，选择UE与网络实体1都支持且应用服务器 3存储的、且与业务请求消息的安全保护需求对应的安全算法。该实施例的通信系统可用于实现如本发明图9所示实施例的流程，其中的UE可以采用图22所示实施例的UE,网络实体1可以采用图24所示实施例中的相应网络实体。如图26所示，为本发明通信系统还一个实施例的结构示意图。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。本发明实施例可以根据不同业务请求消息的安全保护需求选择不同的安全算法，以对相应的业务进行不同的安全保护，不但提高了业务的安全性，还可以综合考虑通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。最后所应说明的是以上实施例仅用以说明本发明的技术方案，而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换，而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
权利要求
一种安全算法选择处理方法，其特征在于，包括接收用户终端发送的业务请求消息；根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法；其中，所述用户终端和/或所述网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，所述用户终端与所述网络实体支持的安全算法列表分别用于表示所述用户终端与所述网络实体的安全能力。
2.根据权利要求1所述的方法，其特征在于，所述网络实体预先存储所述用户终端支持的安全算法列表，或者，所述业务请求消息中包括所述用户终端支持的安全算法列表；相应的，根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法具体包括所述网络实体从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法；或者所述业务请求消息中包括所述用户终端支持的、所述安全保护需求对应的安全算法列表；相应的，根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法具体包括所述网络实体从所述用户终端支持的、所述安全保护需求对应的安全算法列表与所述网络实体支持的安全算法列表中选择安全算法；或者，所述网络实体从所述用户终端支持的、所述安全保护需求对应的安全算法列表与所述网络实体支持的、所述安全保护需求对应的安全算法列表中选择安全算法。
3.根据权利要求1所述的方法，其特征在于，接收用户终端发送的业务请求消息之后，还包括所述网络实体向所述用户终端返回所述网络实体支持的安全算法列表，以便所述用户终端根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法，具体包括所述用户终端从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法；或者所述网络实体向所述用户终端返回所述网络实体支持的、所述安全保护需求对应的安全算法列表，以便所述用户终端根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法，具体包括所述用户终端从所述用户终端支持的安全算法列表与所述网络实体支持的、所述安全保护需求对应的安全算法列表中选择安全算法；或者，所述用户终端从所述用户终端支持的、所述安全保护需求对应的安全算法列表与所述网络实体支持的、所述安全保护需求对应的安全算法列表中选择安全算法；或者所述网络实体向所述用户终端返回所述网络实体支持的安全算法选择策略，该安全算法选择策略基于所述网络实体支持的安全算法列表设置，以便根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法，具体包括所述用户终端根据所述安全算法选择策略，从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法；或者所述网络实体向所述用户终端返回用于标识所述网络实体支持的安全算法选择策略的安全算法选择策略标识，以便所述用户终端根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法，具体包括所述用户终端确定所述安全算法选择策略标识所述标识的安全算法选择策略；所述用户终端根据所述安全算法选择策略，从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法。
4.根据权利要求1所述的方法，其特征在于，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法包括从所述用户终端与网络实体都支持的且应用服务器存储的安全算法列表中选择安全算法，所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置。
5.根据权利要求4所述的方法，其特征在于，所述业务请求消息中包括所述用户终端选择的安全算法列表，该安全算法列表由所述用户终端从所述用户终端支持的安全算法列表与所述应用服务器存储的安全算法列表、该安全算法列表中所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识选择，为所述用户终端支持且所述应用服务器存储的安全算法列表或所述用户终端支持且所述应用服务器存储的、所述安全保护需求对应的安全算法列表；根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法具体包括所述网络实体根据所述业务请求消息中的安全算法列表，从所述用户终端支持且所述应用服务器存储的安全算法列表以及所述网络实体支持的安全算法列表中，选择所述安全保护需求对应的安全算法；或者，所述网络实体根据所述业务请求消息中所述用户终端支持且所述应用服务器存储的、所述安全保护需求对应的安全算法列表与所述网络实体支持的、所述安全保护需求对应的安全算法列表中，选择所述安全保护需求对应的安全算法。
6.根据权利要求4所述的方法，其特征在于，所述业务请求消息中包括所述用户终端支持的安全算法列表或所述安全保护需求对应的安全算法列表，与所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识；根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法包括所述网络实体根据所述业务请求消息中所述用户终端支持的安全算法列表或所述安全保护需求对应的安全算法列表，与所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，与所述网络实体支持的安全算法列表或所述安全保护需求对应的安全算法列表，选择所述安全保护需求对应的安全算法。
7.根据权利要求4所述的方法，其特征在于，所述业务请求消息中包括所述用户终端支持的安全算法列表或该安全算法列表中与所述安全保护需求对应的安全算法列表；所述接收用户终端发送的业务请求消息之后，还包括所述网络实体获取所述应用服务器存储的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置；根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法包括所述网络实体从所述用户终端与所述网络实体都支持且所述应用服务器存储的安全算法列表中，选择所述安全保护需求对应的安全算法；或者，所述网络实体根据所述应用服务器存储的安全算法选择策略、或所述安全算法选择策略标识所标识的安全算法选择策略，从所述用户终端与所述网络实体都支持且所述应用服务器存储的与所述安全保护需求对应的安全算法列表中，选择所述安全保护需求对应的安全算法。
8.根据权利要求4所述的方法，其特征在于，所述接收用户终端发送的业务请求消息之后，还包括所述网络实体向所述用户终端返回所述网络实体支持的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、所述网络实体支持的安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于所述网络实体支持的安全算法列表设置，以便所述用户终端根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法，具体包括所述用户终端根据所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，与所述网络实体支持的安全算法列表、所述安全保护需求对应的安全算法列表、所述网络实体支持的安全算法选择策略或安全算法选择策略标识，从所述用户终端与所述网络实体都支持且所述应用服务器存储的安全算法列表中，选择所述安全保护需求对应的安全算法，所述安全算法选择策略基于安全保护需求设置。
9.根据权利要求1至8任意一项所述的方法，其特征在于，所述安全保护需求包括数据类型对应的安全保护级别需求或安全算法列表、业务类型对应的安全保护级别需求或安全算法列表或安全算法策略、与用户需求中的任意一种或多种，其中业务类型对应的安全算法策略用于表示所述业务类型在不同条件下的安全保护级别需求。
10.根据权利要求1至8任意一项所述的方法，其特征在于，所述网络实体为演进基站 eNB ；所述业务请求消息为RRC请求消息或UP的用户数据；所述接收用户终端发送的业务请求消息包括eNB接收用户终端发送的RRC请求消息或UP的用户数据；或者所述网络实体为移动性管理实体MME ；所述业务请求消息为NAS请求消息；所述接收用户终端发送的业务请求消息包括MME接收由eNB转发的、由所述用户终端发送的NAS请求消息。
11.根据权利要求1至8任意一项所述的方法，其特征在于，所述用户终端的安全能力包括为不同数据类型或者不同安全保护层次提供该用户终端支持的、不同的安全保护算法列表；所述网络实体的安全能力包括为不同数据类型或者不同安全保护层次提供该网络实体支持的、不同的安全保护算法列表。
12.根据权利要求1至8任意一项所述的方法，其特征在于，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法包括从所述用户终端与网络实体都支持的安全算法列表中，按照优先级顺序选择安全算法。
13.一种安全算法选择处理装置，其特征在于，包括第一获取模块，用于获取用户终端发送的业务请求消息的安全保护需求；第一选择模块，用于根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择安全算法；所述用户终端和/或所述网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，所述用户终端与所述网络实体支持的安全算法列表分别用于表示所述用户终端与所述网络实体的安全能力。
14.根据权利要求13所述的装置，其特征在于，所述第一选择模块包括第一获取单元，用于获取所述用户终端支持的安全算法列表或该安全算法列表中与所述安全保护需求对应的安全算法列表，与所述网络实体支持的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略、或安全算法选择策略标识，该安全算法选择策略基于所述网络实体支持的安全算法列表设置，所述用户终端和/或所述网络实体支持的安全算法列表基于不同的安全保护需求分别设置；第一选择单元，用于根据所述第一获取单元从所述用户终端获取的安全算法列表，与从所述网络实体获取的安全算法列表、安全算法选择策略、或安全算法选择策略标识，选择所述安全保护需求对应的安全算法。
15.根据权利要求14所述的装置，其特征在于，所述第一获取单元还用于获取应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置，所述应用服务器存储的安全算法列表基于不同的安全保护需求分别设置；所述第一选择单元根据所述第一获取单元从所述用户终端获取的安全算法列表，与分别从所述网络实体和应用服务器获取的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述安全保护需求对应的安全算法。
16.一种通信系统，包括网络实体，其特征在于，还包括安全算法选择处理装置，用于获取用户终端发送的业务请求消息的安全保护需求，并根据所述业务请求消息对应的安全保护需求，从所述用户终端与所述网络实体都支持的安全算法列表中选择安全算法；所述用户终端和/或所述网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，所述用户终端与所述网络实体支持的安全算法列表分别用于表示所述用户终端与所述网络实体的安全能力。
17.根据权利要求16所述的通信系统，其特征在于，还包括应用服务器，用于存储该应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法选择策略基于安全保护需求设置，所述应用服务器存储的安全算法列表基于不同的安全保护需求分别设置；所述安全算法选择处理装置还用于获取应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略标识，根据从所述用户终端获取的安全算法列表，与分别从所述网络实体和应用服务器获取的安全算法列表安全算法选择策略或安全算法选择策略标识，选择所述安全保护需求对应的安全算法，所述网络实体的安全算法选择策略基于所述网络实体支持的安全算法列表设置。
18.一种用户终端，其特征在于，包括第一存储模块，用于存储所述用户终端支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或者用于表示所述用户终端的安全能力；第二获取模块，用于从所述第一存储模块中获取安全算法列表，或查询所述业务请求消息的安全保护需求，从所述第一存储模块中获取该安全保护需求对应的安全算法列表；第一发送模块，用于生成并向网络实体发送业务请求消息，所述业务请求消息中包括所述第二获取模块获取的安全算法列表；第一接收模块，用于接收所述网络实体返回的安全算法，所述安全算法根据所述业务请求消息的安全保护需求，从所述用户终端与网络实体都支持的安全算法列表中选择。
19.根据权利要求18所述的用户终端，其特征在于，还包括第三获取模块，用于获取应用服务器存储的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置，所述应用服务器存储的安全算法列表基于不同的安全保护需求分别设置；所述第一发送模块向所述网络实体发送的业务请求消息中包括所述第二获取模块从第一存储模块中获取的安全算法列表和所述第三获取模块从所述应用服务器获取的安全算法列表、安全算法选择策略或安全算法选择策略标识。
20.根据权利要求18所述的用户终端，其特征在于，还包括第三获取模块，用于获取应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置；所述第二获取模块包括第二获取单元，用于从所述第一存储模块中获取安全算法列表，或查询所述业务请求消息的安全保护需求，从所述第一存储模块中获取该安全保护需求对应的安全算法列表；第二选择单元，用于根据所述第二获取单元从所述第一存储模块中存储的安全算法列表，与所述第三获取模块从所述应用服务器获取的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述用户终端支持且所述应用服务器存储的安全算法列表，或所述用户终端支持且所述应用服务器存储的安全算法列表中与所述安全保护需求对应的安全算法列表；所述业务请求消息的安全算法列表包括所述第二选择单元选择的安全算法列表。
21.—种网络实体，其特征在于，包括第二存储模块，用于存储所述网络实体支持的安全算法列表或安全算法选择策略，所述安全算法列表基于不同的安全保护需求分别设置或者用于表示所述网络实体的安全能力，所述安全算法选择策略基于所述网络实体支持的安全算法列表设置；第二接收模块，用于接收用户终端发送的业务请求消息，该业务请求消息中包括所述用户终端支持的安全算法列表；第二选择模块，用于根据所述第二存储模块中存储的安全算法列表或安全算法选择策略，与所述业务请求消息中的安全算法列表，从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法；第二发送模块，用于将所述第二选择模块选择的安全算法发送给所述用户终端。
22.根据权利要求21所述的网络实体，其特征在于，所述用户终端支持的安全算法列表包括所述用户终端支持且应用服务器存储的安全算法列表、或该安全算法列表中与所述业务请求消息的安全保护需求对应的安全算法列表；所述第二选择模块从所述第二存储模块中存储的安全算法列表或安全算法选择策略，与所述业务请求消息中的安全算法列表中，选择所述安全保护需求对应的安全算法。
23.根据权利要求21所述的网络实体，其特征在于，所述业务请求消息中还包括所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置，所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置；所述第二选择模块根据所述第二存储模块中存储的安全算法列表或安全算法选择策略，与所述业务请求消息中所述用户终端的安全算法列表，和所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述安全保护需求对应的安全算法。
24.根据权利要求21所述的网络实体，其特征在于，所述业务请求消息中的安全算法列表包括所述用户终端支持的、所述安全保护需求对应的安全算法列表；所述网络实体还包括第四获取模块，用于获取所述应用服务器存储的安全算法列表、该安全算法列表中所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置，所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置；所述第二选择模块根据所述第二存储模块中存储的安全算法列表或安全算法选择策略，所述业务请求消息中的安全算法列表，与所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述安全保护需求对应的安全算法。
25.—种通信系统，包括网络实体，其特征在于，所述网络实体中存储有该网络实体支持的安全算法列表或安全算法选择策略，该安全算法列表基于不同的安全保护需求分别设置或用于表示该网络实体的安全能力，所述安全算法选择策略基于所述网络实体支持的安全算法列表设置；所述网络实体用于接收用户终端发送的业务请求消息，该业务请求消息中包括所述用户终端支持的安全算法列表或所述业务请求消息的安全保护需求所对应的安全算法列表，根据所述网络实体支持的安全算法列表或安全算法选择策略，与所述业务请求消息中携带的安全算法列表，从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法，并将选择的安全算法发送给所述用户终端。
26.根据权利要求25所述的通信系统，其特征在于，还包括应用服务器，用于存储该应用服务器的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法选择策略基于安全保护需求设置，所述应用服务器存储的安全算法列表基于不同的安全保护需求分别设置，并根据所述用户终端发送的获取请求消息，向所述用户终端返回所述应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略标识；所述网络实体根据所述网络实体支持的安全算法列表或安全算法选择策略，与所述业务请求消息中携带的安全算法列表，选择所述用户终端与所述网络实体都支持且所述应用服务器存储的、所述安全保护需求对应的安全算法；其中，所述业务请求消息中携带的安全算法列表为所述用户终端从所述应用服务器获取的安全算法列表、该安全算法列表与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，或者，为所述用户终端支持且所述应用服务器存储的安全算法列表或所述安全保护需求对应的安全算法列表。
27.一种用户终端，其特征在于，包括第一存储模块，用于存储所述用户终端支持的安全算法列表，该安全算法列表基于不同的安全保护需求分别设置或用于表示所述用户终端的安全能力；第一发送模块，用于生成并向网络实体发送业务请求消息；第一接收模块，用于接收所述网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法列表为所述网络实体支持的安全算法列表或该安全算法列表中与所述业务请求消息的安全保护需求对应的安全算法列表，所述安全算法选择策略基于所述网络实体支持的安全算法列表设置；第三选择模块，用于根据所述第一存储模块中存储的安全算法列表，与所述第一接收模块接收到的安全算法列表，从所述用户终端与所述网络实体都支持的安全算法列表中选择所述安全保护需求对应的安全算法。
28.根据权利要求27所述的用户终端，其特征在于，还包括第三获取模块，用于获取应用服务器存储的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置；所述第三选择模块根据所述第一存储模块中存储的安全算法列表，与所述第三获取模块获取到的安全算法列表、安全算法选择策略或安全算法选择策略标识，与所述第一接收模块接收到的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述用户终端与所述网络实体都支持且所述应用服务器存储的、所述安全保护需求对应的安全算法。
29.—种网络实体，其特征在于，包括第二存储模块，用于存储所述网络实体支持的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法列表基于不同的安全保护需求分别设置或用于表示所述网络实体的安全能力，所述安全算法选择策略基于所述网络实体支持的安全算法列表设置；第二接收模块，用于接收用户终端发送的业务请求消息；第四发送模块，用于将所述第二存储模块中存储的安全算法列表、所述业务请求消息的安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给所述用户终端。
30.根据权利要求29所述的网络实体，其特征在于，还包括第四获取模块，用于获取所述应用服务器存储的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，该安全算法选择策略基于安全保护需求设置，所述应用服务器支持的安全算法列表基于不同的安全保护需求分别设置；第二选择模块，用于根据所述第二存储模块中存储的安全算法列表或安全算法选择策略，与所述第四获取模块获取的所述应用服务器的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，或者进一步选择所述网络实体支持且所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识；所述第二发送模块将所述第二存储模块中存储的安全算法列表或安全算法选择策略，与所述第四获取模块获取的所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给所述用户终端，或者将所述第二选择模块选择的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给所述用户终端。
31.一种通信系统，包括网络实体，其特征在于，所述网络实体中存储有该网络实体支持的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法列表基于不同的安全保护需求分别设置相应表示用户终端或所述网络实体的安全能力，所述安全算法选择策略基于所述网络实体支持的安全算法列表设置；所述网络实体用于接收所述用户终端发送的业务请求消息，将所述网络实体存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识发送给所述用户终端，以便所述用户终端根据该用户终端存储的安全算法列表，与所述网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略标识，选择所述安全保护需求对应的安全算法。
32.根据权利要求31所述的通信系统，其特征在于，还包括应用服务器，用于存储所述应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述安全算法选择策略基于安全保护需求设置，并根据所述网络实体发送的获取请求消息，向所述网络实体返回所述应用服务器存储的安全算法列表、安全算法选择策略或安全算法选择策略标识；所述网络实体还用于通过所述获取请求消息获取所述应用服务器存储的安全算法列表、该安全算法列表中与所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，并发送给所述用户终端，或者选择所述网络实体支持且所述应用服务器存储的安全算法列表、所述安全保护需求对应的安全算法列表、安全算法选择策略或安全算法选择策略标识，并发送给所述用户终端，以便所述用户终端根据该用户终端存储的安全算法列表、所述网络实体返回的安全算法列表、安全算法选择策略或安全算法选择策略标识，所述用户终端存储的安全算法列表，选择所述用户终端与所述网络实体都支持且所述应用服务器存储的、所述安全保护需求对应的安全算法。
全文摘要
本发明实施例公开了一种安全算法选择处理方法与装置、网络实体及通信系统，其中，方法包括接收用户终端发送的业务请求消息；根据业务请求消息的安全保护需求，从用户终端与网络实体都支持的安全算法列表中选择安全算法；用户终端和/或网络实体支持的安全算法列表基于不同的安全保护需求分别设置，或者，用户终端与网络实体支持的安全算法列表分别用于表示用户终端与网络实体的安全能力。本发明实施例可以根据不同业务请求消息的安全保护需求选择不同的安全算法，以对相应的业务进行不同的安全保护，提高了业务的安全性，综合考虑了通信系统中各算法的复杂度与占用的开销，在对业务进行有效安全保护的同时提高通信系统的性能。
文档编号H04W28/18GK101854625SQ20091008116
公开日2010年10月6日申请日期2009年4月3日优先权日2009年4月3日
发明者张爱琴, 杨义, 陈璟申请人:华为技术有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：张爱琴;陈璟;杨义
技术所有人：华为技术有限公司
我是此专利的发明人

上一篇：一种组播转发路径收敛的方法和系统的制作方法
上一篇：信息发送方法与装置和信息接收方法与装置的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。