安全策略确定方法及装置与流程

本申请涉及移动通信领域，尤其涉及安全策略确定方法及装置。

背景技术：

随着长期演进(longtermevolution，volte)技术的不断发展，越来越多的ue(userequipment，ue)在支持lte语音通话(voiceoverlte)功能之外，开始支持无线保真语音通话(voiceoverwifi，vowifi)功能。具有vowifi功能ue既可以采用运营商所提供的互联网协议多媒体系统(internetprotocolmultimediasubsystem，ims)注册到volte网络，以通过volte网络实现lte语音通话，也可以通过所述ims注册到vowifi网络，以通过vowifi网络实现wifi语音通话。

为保证无线通信过程的安全性，避免用户信息泄露或被篡改。在语音通话过程中，需要对ue与代理呼叫会话控制功能(proxy-callsessioncontrolfuntion，pcscf)之间的会话初始化协议(sessioninitiationprotocol，sip)信令进行保护。其中，对sip信令进步保护包括对sip信令进行加密以及对sip信令进行完整性保护。根据ue接入的网络不同，sip信令进行保护的具体方式的方式也不相同。

当ue接入volte网络时，ue需要直接将sip信令发送给pcscf。在此情况下，为实现对sip进行保护，pcscf会在ue初始注册到核心网时，在ue所发送的注册请求中添加认证挑战标识，其中，所述核心网可以包括服务呼叫会话控制功能(serving-callsessioncontrolfuntion，scscf)及查询呼叫会话控制功能(interrogating-callsessioncontrolfuntion，icscf)。核心网接收包含认证挑战标识的注册请求后，指示pcscf对该ue发起认证挑战。pcscf在对ue发起认证挑战的过程中为该ue分配安全策略。ue则根据pcscf所分配的安全策略对sip信令进行加密及完整性保护。当ue重注册核心网时，可以继续使用所述安全策略对sip信令进行加密及完整性包含。

当ue接入vowifi网络时，ue发送给pcscf的sip信令会经由演进型分组数据网关(evolvedpacketdatagateway，epdg)转发，由于ue与epdg之间采用隧道传输，而epdg与pcscf之间采用明文传输。因此，ue需要根据隧道传输的要求对sip信令进行加密，并将加密后的sip信令发送给epdg。epdg接收到经过加密的sip信令后，对sip信令进行解密，并以明文形式将sip信令发送给pcscf。在此过程中pcscf并不需要为ue分配安全策略。

由于vowifi网络覆盖范围通常比较有限，而volte网络的无线资源比较有限，为保证通信质量并确保语音通话不中断，ue所附着的网络需要在vowifi网络和volte网络之间切换。当ue所附着的网络由lte切换附着到vowifi网络时，那么ue既会根据初始注册到核心网时pcscf为该ue分配安全策略对sip信令进行加密，又会根据与epdg之间进行隧道传输的要求对sip信令进行加密，从而导致ue会对sip信令进行重复加密。ue对sip信令进行重复加密，不但造成会增加ue的耗电量，而且会导致pcscf不必要的性能开销。

技术实现要素：

本申请实施例提供了安全策略确定方法及装置，以减轻pcscf不必要的性能开销。

第一方面，本申请实施例提供了一种安全策略确定方法，该方法包括：代理呼叫会话控制功能pcscf接收用户设备ue在附着网络切换后发送的重注册请求；所述pcscf根据ue在附着网络切换前后所附着网络的类型，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略；所述pcscf指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

采用本方面所提供的方法，pcscf可以在ue的附着网络切换后，根据ue所附着的网络，重新确定用于保护sip信令传输过程安全性的安全策略；从而既可以保证sip信令传输的安全性，又可以避免对sip信令进行重复加密，减轻pcscf不必要的性能开销。

结合第一方面，在第一方面第一种可能的实现方式中，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述ue从加密网络切换附着到未加密网络后发送时，所述pcscf选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述ue对所述sip信令进行加密。

采用本实现方式，可以在所述ue从加密网络切换附着的未加密网络后，才对sip信令进行加密，从而保证sip信令传输过程的安全性。

结合第一方面，在第一方面第二种可能的实现方式中，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述ue从未加密网络切换附着到加密网络后发送时，所述pcscf选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述ue不对所述sip信令进行加密。

采用本实现方式，可以在所述ue从未加密网络切换附着到加密网络后，使的ue可 以只对sip信令进行一次加密，从而避免ue对sip信令进行二次加密，减轻pcscf不必要的性能开销。

结合第一方面第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述第一安全策略为对所述sip信令进行加密及完整性保护的sip安全性算法套件。

结合第一方面第二种可能的实现方式，在第一方面第四种可能的实现方式中，所述第二安全策略为对所述sip信令进行完整性保护的sip安全性算法套件。

结合第一方面第一至四种可能的实现方式其中任意一种，在第一方面第五种可能的实现方式中，所述未加密网络为长期演进lte网络，所述已加密为网络为无线保真wifi网络。

第二方面，本申请实施例还提供了一种安全策略确定装置，该装置包括：接收单元，用于接收用户设备ue在附着网络切换后发送的重注册请求；确定单元，用于根据ue在附着网络切换前后所附着网络的类型，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略；指示单元，用于指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

结合第二方面，在第二方面第一种可能的实现方式中，所述确定单元，具体用于当所述重注册请求为所述ue从加密网络切换附着到未加密网络后发送时，选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述ue对所述sip信令进行加密。

结合第二方面，在第二方面第二种可能的实现方式中，所述确定单元，具体用于当所述重注册请求为所述ue从未加密网络切换附着到加密网络后发送时，选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述ue不对所述sip信令进行加密。

结合第二方面第一或二种可能的实现方式其中任意一种，在第二方面第三种可能的实现方式中，所述未加密网络为长期演进lte网络，所述已加密为网络为无线保真wifi网络。

第三方面，本申请还提供了一种网络设备及一种网元，该网络设备及网元可以用于实现pcscf的全部或部分功能，并接收用户设备ue在附着网络切换后发送的重注册请求；根据ue在附着网络切换前后所附着网络的类型，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略；指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

采用申请所提供的方法、装置及网络设备，可以在ue的附着网络切换后，根据ue所附着的网络，重新确定用于保护sip信令传输过程安全性的安全策略，在重新确定安全策略的过程中，可以根据对sip信令进行安全保护的需求选择响应的安全策略，从而既可以保证sip信令传输的安全性，又可以避免对sip信令进行重复加密，减轻pcscf不必要的性能开销。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请网络系统一个实施例的结构示意图；

图2为本申请安全策略确定方法的一个实施例的流程示意图；

图3为本申请安全策略确定方法的另一个实施例的流程示意图；

图4为本申请安全策略确定方法的另一个实施例的流程示意图；

图5为本申请安全策略确定装置一个实施例的结构示意图。

具体实施方式

参见图1，为本申请网络系统一个实施例的结构示意图。

如图1所示，所述网络系统包括核心网、pcscf、epdg及ue等网元或设备。其中，pcscf与核心网相连；pcscf与ue之间可以直接进行sip信令传输，也可以通过epdg进行sip信令传输。当pcscf与ue之间通过epdg进行sip信令传输时，ue与epdg之间可以采用密文形式传输sip信令，而epdg与pcscf之间则可以采用明文方式传输sip信令。

参见图2，为本申请安全策略确定方法一个实施例的流程图。由于在ims系统中，用于分配对sip信令进行保护的安全策略的设备为pcscf，因此该方法可以由pcscf执行。

步骤201，pcscf接收ue发送的重注册请求。

所述重注册请求可以是ue所附着的网络发生变化后发送的重注册请求。其中，所述ue所附着的网络可以包括加密网络与非加密网络两类。其中，加密网络是指ims中通过安全通道进行sip信令传输的网络，如wifi网络等；而未加密网络是指ims中通过一般 通道进行sip信令传输的网络，如lte网络等。

附着网络切换可以包括ue所附着的网络从加密网络切换附着到未加密网络，也可以包括ue所附着的网络从未加密网络切换附着到加密网络。例如，所述重注册请求可以是ue从lte网络切换附着到wifi网络后发送的重注册请求；也可以是ue从wifi网络切花到lte网络后发送的重注册请求。

步骤202，pcscf根据ue在附着网络切换前后所附着网络的类型，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略。

在接收到所述重注册请求后，无论所述ue在附着网络切换前后所附着网络的类型是否相同，pcscf均可以根据ue在附着网络切换前后所附着网络的类型确定用于保护sip信令传输过程安全性的指定安全策略。

具体来说，所述pcscf在接收到所述重注册请求后，可以在所述重注册请求中添加认证挑战标识，并将包含所述认证挑战标识的重注册请求发送至核心网，其中，所述认证挑战标识用于指示核心网对所述ue发起认证挑战。例如，pcscf可以在sip的鉴权头域设置integrity-protected＝no作为认证挑战标识。所述核心网在收到包含所述认证挑战标识的重注册请求后，指示所述pcscf发起认证挑战，从使pcscf可以更换对所化sip信令进行保护时所采用的安全策略。

当所述重注册请求为所述ue从加密网络切换附着到未加密网络后发送时，所述pcscf可以选择第一安全策略作为指定安全策略。所述第一安全策略用于指示所述ue对所述sip信令进行加密。例如，第一安全策略可以为对所述sip信令进行加密及完整性保护的sip安全性算法套件。

当所述重注册请求为所述ue从未加密网络切换附着到加密网络后发送时，所述pcscf可以选择第二安全策略作为指定安全策略。所述第二安全策略用于指示所述ue不对所述sip信令进行加密。例如，第二安全策略可以为对所述sip信令进行完整性保护的sip安全性算法套件。

当所述重注册请求为所述ue从一个未加密网络切换附着到另一个未加密网络后发送时，所述pcscf同样也可以选择第一安全策略作为指定安全策略；相应的，当所述重注册请求为所述ue从一个加密网络切换附着到另一个加密网络后发送时，所述pcscf同样也可以选择第二安全策略作为指定安全策略。

如果ue在附着网络切换前所附着网络的类型与附着网络切换前后所附着网络的类型相同，所述pcscf

步骤203，所述pcscf指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

在指定安全策略选定之后，所述pcscf指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

当所述指定安全策略为第一安全策略时，所述pcscf可以指示所述ue使用所述第一安全策略保护所述sip信令在传输过程中的安全性。从而使所述ue在与pcscf进行sip信令传输的过程中，既对所述sip信令进行加密，又对所述sip信令进行完整性保护。

当所述指定安全策略为第二安全策略时，所述pcscf可以指示所述ue使用所述第二安全策略保护所述sip信令在传输过程中的安全性。从而使所述ue在与pcscf进行sip信令传输的过程中，仅对所述sip信令完整性保护，而不对所述sip信令进行加密。

从上述实施例可以看出，pcscf可以在ue的附着网络切换后，调整用于保护sip信令传输过程安全性的安全策略；从而既可以保证sip信令传输的安全性，又可以避免对sip信令进行重复加密。

参见图3，为本申请安全策略确定方法一个实施例的流程图

步骤301，在附着网络从lte网络切换附着到wifi网络后，ue向pcscf发送第一重注册请求。

步骤302，pcscf在所述第一重注册请求的鉴权头域中添加认证挑战标识从而生成第二重注册请求。

步骤303，pcscf将所述第二重注册请求发送至核心网。

步骤304，核心网指示所述pcscf对所述ue发起认证挑战。

核心网在接收到第二重注册请求后，可以向pcscf发送未授权响应，从而许pcscf更换安全策略

步骤305，pcscf在向所述ue发认证挑战的过程中，确定第二安全策略作为用于保护sip信令传输过程安全性的指定安全策略。

步骤306，pcscf向所述ue指示所述第二安全策略。

步骤307，ue按照隧道传输的要求对sip信令进行加密生成密文形式的sip信令。

ue根据第二安全策略的规定及隧道传输的要求对sip信令进行一次加密。

步骤308，ue将密文形式的sip信令进行发至epdg。

步骤309，epdg将密文形式的sip信令解密为明文形式的sip信令。

步骤310，epdg将明文形式的sip信令发送至pcscf。

采用本实施例所提供的方法，可以在ue从未加密网络切换附着到加密网络时，避免对sip信令的二次加密。

参见图4，为本申请安全策略确定方法一个实施例的流程图。

步骤401，在附着网络从wifi网络切换附着到lte网络后，ue向pcscf发送第一重注册请求。

步骤402，pcscf在所述第一重注册请求的鉴权头域中添加认证挑战标识从而生成第二重注册请求。

步骤403，pcscf将所述第二重注册请求发送至核心网。

步骤404，核心网指示所述pcscf对所述ue发起认证挑战。

步骤405，pcscf在向所述ue发认证挑战的过程中，确定第一安全策略作为用于保护sip信令传输过程安全性的指定安全策略。

步骤406，pcscf向所述ue指示所述第一安全策略。

步骤407，ue按第一安全策略的要求对sip信令进行加密生成密文形式的sip信令。

步骤408，ue将密文形式的sip信令进行发至pcscf。

采用本实施例所提供的方法，可以在ue从加密网络切换附着到未加密网络时，对sip信令进行加密，从而可以保证sip信令传输过程中的安全性。

参见图5，为本申请安全策略确定装置一个实施例的结构示意图。该装置可以设置在无线通信系统中的用于实现pcscf的网元上，也可以是无线通信系统中的用于实现pcscf的网元本身。

如图5所示，所述装置可以包括：接收单元501，确定单元502及指示单元503。

其中，接收单元501，用于接收ue在附着网络切换后发送的重注册请求；确定单元502，用于根据ue在附着网络切换前后所附着网络的类型，确定用于保护所述pcscf与所述ue之间会话初始化协议sip信令传输过程安全性的指定安全策略；指示单元503，用于指示所述ue使用所述指定安全策略保护所述sip信令在传输过程中的安全性。

可选的，所述确定单元502，可以用于当所述重注册请求为所述ue从加密网络切换附着到未加密网络后发送时，选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述ue对所述sip信令进行加密。其中，所述第一安全策略可以为对所述sip信令进行加密及完整性保护的sip安全性算法套件。所述未加密网络可以为lte网络，所述已加密为网络可以为wifi网络。

可选的，所述确定单元502，可以用于当所述重注册请求为所述ue从未加密网络切换附着到加密网络后发送时，选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述ue不对所述sip信令进行加密。所述第二安全策略可以为对所述sip信令进行完整性保护的sip安全性算法套件。

本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其对于装置例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述的本申请实施方式，并不构成对本申请保护范围的限定。任何在本申请的精神和原则之内所作的修改、等同替换和改进等，均应包含在本申请的保护范围之内。