非接入层、接入层安全算法处理方法及设备的制作方法
【专利摘要】本发明实施例提供一种非接入层、接入层安全算法处理方法及设备。该接入层安全算法处理方法,包括:移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。本实施例提供的非接入层、接入层安全算法处理方法及设备,能够为用户设备提供安全的保护机制。
【专利说明】非接入层、接入层安全算法处理方法及设备
【技术领域】
[0001]本发明实施例涉及通信技术,尤其涉及一种非接入层、接入层安全算法处理方法及设备。
【背景技术】
[0002]通信系统中,数据的安全性都是基于算法来实现的,各种算法可以为数据提供机密性和完整性的保护。
[0003]第三代移动通信伙伴组织(3rdGenerat1n Partnership Project,简称:3GPP)组织认可的算法主要包括三种,分别为高级加密标准(advanced encrypt1n standard,AES)算法、SN0W3G算法和祖冲之算法(ZUC),其中ZUC算法为可选算法。
[0004]然而,现有技术中,由于用户设备(User Equipment,简称UE)支持的加密算法和完整性保护算法差异较大,特别是部分UE不支持预设安全算法,导致移动管理实体(Mobility Management Entity,简称MME)或基站无法为所有UE提供安全的保护机制。
【发明内容】
[0005]本发明实施例提供一种非接入层、接入层安全算法处理方法及设备,为用户设备提供安全的保护机制。
[0006]第一方面,本发明实施例提供一种非接入层安全算法处理方法,包括:
[0007]移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;
[0008]所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
[0009]结合第一方面,在第一方面的第一种可能的实现方式中,所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括:
[0010]所述MME判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,若所述MME判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0011]所述MME根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0012]结合第一方面,或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域之前,还包括:
[0013]所述MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息;或者
[0014]所述MME接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息;或者
[0015]所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
[0016]结合第一方面,在第一方面的第三种可能的实现方式中,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域之前,还包括:
[0017]所述MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识,或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识,
[0018]所述MME根据所述UE的归属区域和所述安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括:
[0019]所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0020]所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0021]结合第一方面、第一方面的第一种至第三种任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述MME根据所述标识确定所述UE的归属区域,包括:
[0022]所述MME确定所述标识为国际移动用户识别码MSI,则根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0023]所述MME确定所述识别码为临时标识,则获取所述临时标识对应的IMSI,并根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0024]所述MME确定所述标识为移动用户号码MSISDN,则根据所述MSISDN确定所述UE的归属区域;或者
[0025]所述MME向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域,或者所述识别响应消息包括可识别标识,以使所述MME根据所述可识别标识确定所述UE的归属区域。
[0026]第二方面,本发明实施例提供一种接入层安全算法处理方法,包括:
[0027]基站获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法息;
[0028]所述基站根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法;
[0029]其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
[0030]结合第二方面,在第二方面的第一种可能的实现方式中,所述基站根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括:
[0031]所述基站判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,若所述基站判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0032]所述基站根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0033]结合第二方面,或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述基站获取用户设备UE的归属区域和所述UE的安全能力信息,包括:
[0034]所述基站接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域;或者
[0035]所述基站接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
[0036]结合第二方面,在第二方面的第三种可能的实现方式中,所述基站获取UE的安全算法信息,根据所述UE的安全算法信息判断所述UE可用的加密算法和/或完整性保护算法,包括:
[0037]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的所述UE可用的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法;或者
[0038]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的第一算法选择指示,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
[0039]结合第二方面,在第二方面的第四种可能的实现方式中,所述基站获取UE的安全算法信息,根据所述UE的安全算法信息判断所述UE可用的加密算法和/或完整性保护算法,包括:
[0040]若所述UE的归属区域为预设区域,所述基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0041]若所述UE的归属区域为预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0042]若所述UE的归属区域为预设区域,所述UE支持预设安全算法,所述基站接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
[0043]结合第二方面的第三种或第四种可能的实现方式,在第二方面的第五种可能的实现方式中,所述方法还包括:
[0044]所述基站向所述MME发送所述基站的安全能力信息,以使所述MME确定所述UE的安全算法信息。
[0045]第三方面,本发明实施例提供一种移动管理实体,包括:
[0046]确定模块,用于根据用户设备UE的标识确定所述UE的归属区域;
[0047]判断模块,用于根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
[0048]结合第三方面,在第三方面的第一种可能的实现方式中,所述判断模块具体用于:
[0049]判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0050]根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0051]结合第三方面,或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,还包括第一接收模块,用于在根据用户设备UE的标识确定所述UE的归属区域之前,
[0052]接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息;或者
[0053]接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息;或者
[0054]接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
[0055]结合第三方面,在第三方面的第三种可能的实现方式中,还包括第二接收模块,用于在根据用户设备UE的标识确定所述UE的归属区域之前,
[0056]接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识,或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识,
[0057]所述判断模块具体用于:判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0058]判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0059]结合第三方面、第三方面的第一种至第三种任一种可能的实现方式,在第三方面的第四种可能的实现方式中,所述确定模块具体用于:
[0060]确定所述标识为国际移动用户识别码MSI,则根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0061]确定所述识别码为临时标识,则获取所述临时标识对应的IMSI,并根据所述IMSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0062]确定所述标识为移动用户号码MSISDN,则根据所述MSISDN确定所述UE的归属区域;或者
[0063]向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域,或者所述识别响应消息包括可识别标识,以使所述MME根据所述可识别标识确定所述UE的归属区域。
[0064]第四方面,本发明实施例提供一种基站,包括:
[0065]获取模块,用于获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息;
[0066]判断模块,用于根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法;
[0067]其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
[0068]结合第四方面,在第四方面的第一种可能的实现方式中,所述判断模块具体用于:
[0069]判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0070]根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0071]结合第四方面,或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述获取模块具体用于:
[0072]接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域;或者
[0073]接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
[0074]结合第四方面,在第四方面的第三种可能的实现方式中,所述判断模块具体用于:
[0075]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的所述UE可用的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法;或者
[0076]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第一算法选择指示,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
[0077]结合第四方面,在第四方面的第四种可能的实现方式中,所述判断模块具体用于:若所述UE的归属区域为预设区域,所述基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0078]若所述UE的归属区域为预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0079]若所述UE的归属区域为预设区域,所述UE支持预设安全算法,接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
[0080]结合第四方面的第三种或第四种可能的实现方式,在第四方面的第五种可能的实现方式中,还包括:
[0081]发送模块,用于向所述MME发送所述基站的安全能力信息,以使所述MME确定所述UE的安全算法信息。
[0082]本发明实施例提供的非接入层、接入层安全算法处理方法及设备。该接入层安全算法处理方法,包括:移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。本实施例提供的非接入层、接入层安全算法处理方法及设备,能够为用户设备提供安全的保护机制。
【专利附图】
【附图说明】
[0083]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0084]图1为本发明非接入层安全算法处理方法实施例一的流程图;
[0085]图2为本发明非接入层安全算法处理方法实施例一的信令流程图;
[0086]图3为本发明接入层安全算法处理方法实施例一的流程图;
[0087]图4为本发明接入层安全算法处理方法实施例一的信令流程图一;
[0088]图5为本发明接入层安全算法处理方法实施例一的信令流程图二 ;
[0089]图6为本发明移动管理实体实施例一的结构示意图;
[0090]图7为本发明移动管理实体实施例二的结构示意图;
[0091]图8为本发明基站实施例一的结构不意图;
[0092]图9为本发明基站实施例二的结构示意图。
【具体实施方式】
[0093]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0094]本发明实施例对非接入层和接入层的安全算法处理方法进行详细说明。其中,接入层的流程和非接入层的流程,实际是从协议栈的角度出发的。在协议栈中,无线资源控制(Rad1 Resource Control,简称:RRC)和无线接入网应用部分(Rad1 Access NetworkApplicat1n Part,简称RANAP)层及其以下的协议层称为接入层,它们之上的会话管理(Sess1n Management,简称:SM)、呼叫控制(Call Control,简称:CC)、短消息业务(ShortMessage Service,简称:SMS)等称为非接入层。简单地说,接入层的流程,也就是指无线接入层的设备无线网络控制器(Rad1 Network Controller,简称:RNC)、UMTS基站(UMTSBase Stat1n,简称NodeB)需要参与处理的流程。非接入层的流程,就是指只有UE和核心网(Core Network,简称:CN)需要处理的信令流程,无线接入网络RNC、NodeB是不需要处理的。
[0095]图1为本发明非接入层安全算法处理方法实施例一的流程图。如图1所示,本实施例的执行主体为移动管理实体(MobiIity Management Entity,简称MME),该MME可以通过软件和/或硬件实现。本实施例提供的非接入层安全算法处理方法包括:
[0096]步骤101、移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;
[0097]步骤102、所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
[0098]在通信系统中,MME和用户设备(User Equipment,简称UE)之间的非接入层(Non-Access Stratum,简称NAS)信令连接中,存在NAS安全机制,一旦安全过程建立,所有的NAS层信令都会被安全保护,包括加密和完整性保护。
[0099]在具体实现过程中,由MME选择加密算法(EPS Enerpt1n Algorithm,简称EEA)和 / 或完整性保护算法(EPS Integrity Algorithm,简称 EIA)。在 3GPP 中,SN0W3G、AES算法和ZUC算法分别包括各自对应的EEA和ΕΙΑ,其中,SN0W3G算法包括EEAl和EIAl,AES算法包括ΕΕΑ2和ΕΙΑ2,ZUC算法包括ΕΕΑ3和ΕΙΑ3。
[0100]在步骤101中,MME根据UE的标识确定所述UE的归属区域。在具体实现过程中,MME根据标识确定UE的归属区域包括以下可能的实现方式。
[0101]一种可能的实现方式为:MME确定所述标识为国际移动用户标识(Internat1nalMobile Subscriber Identity,简称:IMSI),则根据所述IMSI获取移动网络号码(MobileNetwork Code,简称 MNC)和移动国家码(Mobile Country Code,简称 MCC),根据所述 MNC和所述MCC判断所述UE的归属区域。
[0102]具体地,MME根据MSI可以解析出MNC和MCC,MCC可以唯一识别移动用户所属的国家,区别出每个用户的来自的国家,因此可以实现国际漫游。在同一个国家内,如果有多个移动网络运营商,可以通过MNC来进行区别。因此,根据MNC和MCC可以判断UE的归属区域,可以确定UE的归属区域为预设区域或非预设区域,其中,预设区域可以为国外,非预设区域可以为国内。例如,MME根据MCC确定该UE为国外用户,或者根据MCC确定该UE为国内用户,根据MNC确定该UE移动网络运营商。
[0103]另一种可能的实现方式为:所述MME确定所述标识为临时标识,则获取所述临时标识对应的MSI,并根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域。
[0104]具体地,MME确定标识为临时标识,例如,该临时标识为临时识别码(TemporaryMobile Subscriber Identity,简称 TMSI),则 MME 根据 TMSI 与 IMSI 的对应关系,确定该TMSI对应的MSI,然后根据MSI获取MNC和MCC,并判断UE的归属区域。该临时标识还可以为全球唯一临时标识符(Globally Unique Temporary Identif ier,简称 GUTI), MME 根据⑶TI与MSI的对应关系,确定该⑶TI对应的MSI,然后根据MSI获取MNC和MCC,并判断UE的归属区域。
[0105]再一种可能的实现方式为:所述MME确定所述标识为移动用户号码(MobileSubscriber Internat1nal ISDN/PSTN number,简称 MSISDN),则根据所述 MSISDN 确定所述UE的归属区域。
[0106]具体地,MME确定识别码为MSISDN,根据MSISDN与归属区域的对应关系,确定UE的归属区域。
[0107]又一种可能的实现方式为:所述MME向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域。
[0108]具体地,UE的归属区域的确定,由其它网络实体设备确定,MME不进行判断。MME可以向网络实体设备发送识别响应消息,该识别响应消息中包括标识,该网络实体设备根据该标识对UE的归属区域进行判断。然后网络实体设备向MME发送识别响应消息,该识别响应消息包括UE的归属区域。本领域技术人员可以理解,网络实体设备根据标识判读UE的归属区域的方式,与MME根据标识确定UE的归属区域的方式类似,本实施例此处不再赘述。
[0109]UE的安全能力信息是指UE支持的安全算法,不同的UE支持的安全算法不同,例如,UE支持预设安全算法,该预设安全算法为祖冲之算法(ZUC),或者该UE不支持ZUC算法,支持SN0W3G、AES算法,再或者,该UE支持ZUC算法,支持SN0W3G、AES算法。
[0110]在步骤102中,MME根据UE的归属区域和安全能力信息确定UE可用的加密算法和/或完整性保护算法。即MME不仅考虑UE的安全能力信息,还根据UE的归属区域确定UE可用的加密算法和/或完整性保护算法。例如,当UE不支持预设安全算法时,若UE的归属区域为预设区域,则根据预设完整性保护算法优先级选择完整性保护算法,根据预设加密算法优先级选择加密算法,若UE的归属区域为非预设区域时,则根据预设完整性保护算法优先级选择完整性保护算法,并选择空算法作为加密算法。本领域技术人员可以理解,MME可以仅根据归属区域和安全能力信息判断UE可用的加密算法,根据现有技术确定UE的完整性保护算法,或者,MME可以仅根据归属区域和安全能力信息判断UE可用的完整性保护算法,根据现有技术确定UE的加密算法,或者,MME根据归属区域和安全能力信息判断UE可用的加密算法和完整性保护算法。
[0111]在步骤102之后,MME向UE发送安全模式命令消息,安全模式命令消息包括UE可用的加密算法和完整性保护算法,UE使用MME指定的完整性保护算法,计算完整性保护算法密钥并对消息进行完整性保护校验,若检验成功,UE向MME发送安全模式完成消息,MME接收所述UE发送的安全模式完成消息,建立非接入层NAS安全过程。在以后的NAS信令都要使用该加密算法和完整性保护算法进行安全保护。
[0112]本发明实施例提供的非接入层安全算法处理方法,移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,能够为所有的UE提供安全的保护机制。
[0113]下面根据MME确定UE的标识和安全能力信息的不同方式,采用几个具体的实施例,对本发明实施例中的非接入层安全算法处理方法进行详细说明。
[0114]在一种可能的实现方式中,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域之前,MME可以同时获取UE的标识和安全能力信息。
[0115]具体的,MME可通过以下的情况确定UE的标识和安全能力信息。
[0116]—种可能的情况,在UE的重定向场景下,MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息。
[0117]另一种可能的情况,在UE建立网络连接时,所述MME接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息。
[0118]又一种可能的情况,在UE进行位置更新时,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
[0119]在MME获取到UE的标识和安全能力信息之后,MME根据UE的标识确定UE的归属区域,然后MME根据所述UE的归属区域和所述安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,具体包括以下可能的情况。
[0120]—种可能的情况为,MME先判断UE的归属区域,再根据安全能力信息确定UE的加密算法和/或完整性保护算法,具体如下所示:
[0121]若所述MME判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。
[0122]具体实现过程中,当MME判断UE的归属区域为预设区域,则继续根据UE的安全能力信息判断UE是否支持预设安全算法,若支持,则采用预设安全算法对应的加密算法和完整性保护算法。例如,预设安全算法为ZUC时,则UE可用EEA3和EIA3。当UE不支持预设安全算法时,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。
[0123]若所述MME判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0124]具体实现过程中,当MME判断UE的归属区域为非预设区域,则继续根据UE的安全能力信息判断UE是否支持预设安全算法,若支持,则采用预设安全算法对应的加密算法和完整性保护算法。当UE不支持预设安全算法时,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法,空算法即不实施加密。
[0125]另一种可能的情况,MME先判断安全能力信息,再判断UE的归属区域,具体如下:
[0126]所述MME根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0127]具体地,MME先根据安全能力信息判断UE不支持预设安全算法,然后判断UE的归属区域是否为预设区域。若是预设区域,则MME根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。若是非预设区域,则MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0128]在另一种可能的实现方式中,MME仅获取安全能力信息,而没有获取到UE的标识。具体如下:
[0129]所述MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识;或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识。
[0130]此时,所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0131]所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0132]在上述的各可能的实现方式中,当预设安全算法为ZUC算法时,对于预设加密算法优先级,EEA3的优先级高于EEAl和EEA2,而EEAl的优先级,可能高于EEA2,也可能低于EEA2,本实施例在此不作特别限制。当EEAl的优先级高时,则选择EEAl,当EEA2的优先级高时,则选择EEA2。对于预设完整性保护算法优先级,EIA3的优先级高于EIAl和EIA2,而EIAl的优先级,可能高于EIA2,也可能低于EIA2,本实施例在此不作特别限制。当EIAl的优先级高时,则选择EIA1,当EIA2的优先级高时,则选择EIA2。本领域技术人员可以理解,当预设安全算法为其它算法时,EEA3的优先级可以低于EEAl和EEA2,EIA3的优先级低于EIAl和EIA2。对于预设安全算法为其它算法,EEA3、EEA1、EEA2的优先级,EIA3、EIA1、EIA2的优先级,本实施例不作特别限制。
[0133]图2为本发明非接入层安全算法处理方法实施例一的信令流程图。本实施例对非接入层安全算法处理方法的信令流程进行说明。
[0134]步骤201、UE向MME发送附着请求消息;
[0135]本领域技术人员可以理解,UE不仅可以向MME发送附着请求消息,还可以向MME发送位置更新请求消息。或者,还可以为SGSN向MME发送重定向请求消息。MME可以根据上述三种消息确定用户设备UE的标识和安全能力信息。具体的确定方式,可参见图1所示实施例。
[0136]步骤202、MME根据标识确定UE的归属区域,根据UE的归属区域和安全能力信息判断UE可用的加密算法和/或完整性保护算法;
[0137]MME判断UE可用的加密算法和/或完整性保护算法的过程,具体可参见图1所示实施例。
[0138]步骤203、MME向UE发送安全模式命令消息;
[0139]步骤204、UE向MME发送安全模式完成消息。
[0140]本发明实施例提供的非接入层安全算法处理方法,移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域;所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,能够为所有的UE提供安全的保护机制。
[0141]图3为本发明接入层安全算法处理方法实施例一的流程图。如图3所示,本实施例的执行主体为基站,该基站可以通过软件和/或硬件实现。本实施例提供的接入层安全算法处理方法包括:
[0142]步骤301、基站获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息;
[0143]步骤302、所述基站根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法。
[0144]其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
[0145]由于基站部署的数量众多,分布面积广,接入层之间各网络实体无论从地理位置上还是逻辑上都处于高度分散化,运营商无法对其实行安全集中控制,每个基站都处于非安全区域,所以各个基站都需要根据UE的安全能力选择和各个UE之间用于接入层安全机制的安全算法。
[0146]在步骤301中,基站获取用户设备UE的归属区域和安全能力信息包括以下两种可能的情况。
[0147]一种可能的情况为:所述基站接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域。
[0148]具体地,归属信息中的区域指示的实现方式有多种,例如区域指示可以用“O”或“I”表示,其中O表示非预设区域,可以为国内,I表示预设区域,可以为国外;或者区域指示用字符表示,如用“domestic”表示非预设区域,可以为国内,用“ internat1nal ”表示预设区域,可以为国外。
[0149]另一种可能的情况为:所述基站接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
[0150]在切换场景下,基站接收MME发送的切换请求消息,切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
[0151]其次,基站可接收MME发送的UE安全算法信息,其中,UE的安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一。
[0152]在步骤302中,基站根据所述UE的归属区域和安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
[0153]本领域技术人员可以理解,基站可以仅根据归属区域和安全能力信息判断基站可用的加密算法,根据现有技术确定UE的完整性保护算法,或者,基站可以仅根据归属区域和安全能力信息判断UE可用的完整性保护算法,根据现有技术确定UE的加密算法,或者,基站根据归属区域和安全能力信息判断UE可用的加密算法和完整性保护算法。具体可以包括以下可能的情况。
[0154]—种可能的情况,基站先判断UE的归属区域,再根据安全能力信息确定UE的加密算法和/或完整性保护算法,具体如下所示:
[0155]若所述基站判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;
[0156]具体实现过程中,当基站判断UE的归属区域为预设区域,则继续根据UE的安全能力信息判断UE是否支持预设安全算法,若支持,则采用预设安全算法对应的加密算法和完整性保护算法。例如,预设安全算法为ZUC时,则UE可用EEA3和EIA3。当UE不支持预设安全算法时,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。本领域技术人员可以理解,基站本地支持的安全算法包括ZUC、AES、SN0W3G。
[0157]若所述基站判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0158]具体地,当基站判断UE的归属区域为非预设区域,则继续根据UE的安全能力信息判断UE是否支持预设安全算法,若支持,则采用预设安全算法对应的加密算法和完整性保护算法。当UE不支持预设安全算法时,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法,空算法即不实施加密。
[0159]另一种可能的情况,基站先判断UE的安全能力信息,再归属区域,再根据安全能力/[目息确定UE的加密算法和/或完整性保护算法,具体如下所不:
[0160]所述基站根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0161]具体地,基站先根据UE的安全能力信息判断所述UE不支持预设安全算法,然后判断UE的归属区域是否为预设区域,若是预设区域,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若为非预设区域,则根据预设加密算法优先级选择加密算法,和/或选择空算法作为加密算法。
[0162]在上述的各可能的实现方式中,当预设安全算法为ZUC算法时,对于预设加密算法优先级,EEA3的优先级高于EEAl和EEA2,而EEAl的优先级,可能高于EEA2,也可能低于EEA2,本实施例在此不作特别限制。当EEAl的优先级高时,则选择EEAl,当EEA2的优先级高时,则选择EEA2。对于预设完整性保护算法优先级,EIA3的优先级高于EIAl和EIA2,而EIAl的优先级,可能高于EIA2,也可能低于EIA2,本实施例在此不作特别限制。当EIAl的优先级高时,则选择EIA1,当EIA2的优先级高时,则选择EIA2。本领域技术人员可以理解,当预设安全算法为其它算法时,EEA3的优先级可以低于EEAl和EEA2,EIA3的优先级低于EIAl和EIA2。对于预设安全算法为其它算法,EEA3、EEA1、EEA2的优先级,EIA3、EIA1、EIA2的优先级,本实施例不作特别限制。
[0163]基站根据安全算法信息确定UE可用的加密算法和/或完整性保护算法。具体实现过程中,基站可以接收MME直接发送的UE可用的完整性保护算法和/或加密算法,或者基站可以根据UE的安全能力信息确定UE可用的完整性保护算法和/或加密算法,再或者,基站可以根据算法选择指示确定UE可用的完整性保护算法和/或加密算法。
[0164]在基站确定UE的可用算法和/或加密算法之后,向UE发送安全模式命令消息,安全模式命令消息包括UE可用的加密算法和完整性保护算法,UE使用基站指定的完整性保护算法,计算完整性保护算法密钥并对消息进行完整性保护校验,若检验成功,UE向基站发送安全模式完成消息,基站接收所述UE发送的安全模式完成消息,建立接入层AS安全过程。在以后的AS信令都要使用该加密算法和完整性保护算法进行安全保护。
[0165]本发明实施例提供的方法,基站获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息;所述基站根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法,能够为UE提供安全的保护机制。
[0166]图4为本发明接入层安全算法处理方法实施例一的信令流程图一。本实施例对接入层安全算法处理方法的信令流程进行说明。
[0167]步骤401、MME确定UE的归属信息和安全能力信息;
[0168]其中,MME确定的归属信息包括UE的归属区域。
[0169]步骤402、MME向基站发送UE的归属信息和安全能力信息;
[0170]或者,MME还可以向基站发送切换请求消息,切换请求消息包括UE的安全能力信息以及所述UE的归属区域。特别地,MME确定UE的归属区域和安全能力信息的方式,可参见非接入层安全算法实施例。
[0171]步骤403、基站根据UE的归属区域和UE的安全能力信息判断UE可用的加密算法和/或完整性保护算法。
[0172]基站确定UE可用的加密算法和/或完整性保护算法的具体方式,可参见图3实施例。
[0173]步骤404、基站向UE发送安全模式命令消息;
[0174]步骤405、UE接收基站发送的安全模式完成消息。
[0175]本发明实施例通过基站获取用户设备UE的归属区域和安全能力信息;所述基站根据所述UE的归属区域和安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,能够为UE提供安全的保护机制。
[0176]在本实施例提供的接入层安全算法处理方法中,还包括MME修改UE的安全能力,或者MME指示基站选取特定的安全算法的方法。具体可如图5所示,图5为本发明接入层安全算法处理方法实施例一的信令流程图二。如图5所示,包括以下步骤:
[0177]步骤501、MME获取基站的安全能力信息。
[0178]在具体实现过程中,MME首先通过以下方式获取基站的安全能力信息:
[0179]基站向MME发送基站的安全能力信息,基站可以在UE的附着请求消息中添加本机的安全能力信息,或者在上下文建立请求后新增一条消息,该消息中包括基站的安全能力信息;或者
[0180]通过预设基站的安全能力信息的方式,MME获取基站的安全能力信息;或者
[0181]由运营商设备向MME发送基站的安全能力信息。
[0182]步骤502、MME确定UE的归属信息和安全能力信息。
[0183]本领域技术人员可以理解,步骤501和步骤502没有严格的时序关系。
[0184]步骤503、MME根据UE的归属区域、安全能力信息和基站的安全能力信息,修改UE的安全能力,并确定算法选择指示。
[0185]步骤504、MME向基站发送修改后的UE的安全能力以及算法选择指示。
[0186]MME针对UE的不同归属区域,向基站发送修改后的加密算法和/或完整性保护算法,或者算法选择指示。
[0187]步骤505、基站根据修改后的UE的安全能力以及算法选择指示,确定UE可用的加密算法和完整性保护算法。
[0188]506、基站向UE发送安全模式命令消息。
[0189]507、UE向基站发送安全模式完成消息。
[0190]在具体实现过程中,步骤503至步骤505的实现过程具体如下:
[0191]一种可能的实现方式,若MME确定UE的归属区域为非预设区域,UE不支持预设安全算法。本领域技术人员可以理解,MME确定UE的归属区域为非预设区域,UE不支持预设安全算法,二者没有严格的时序关系。然后MME确定UE的安全能力信息,并向基站发送安全能力信息。具体包括以下情况:
[0192]一种可能的情况,MME向基站发送UE的完整性保护算法和/或加密算法,其中完整性保护算法为UE的安全能力信息中包括的完整性保护算法,加密算法为空算法。
[0193]基站接收移动管理实体MME发送的所述UE的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法。
[0194]另一种可能的情况,MME向基站发送第一算法选择指示。
[0195]基站接收移动管理实体MME发送的第一算法选择指示。其中,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据基站预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
[0196]另一种可能的实现方式,若MME确定UE的归属区域为预设区域。然后MME确定UE的安全能力信息,并向基站发送安全能力信息。具体包括以下情况:
[0197]—种可能的情况:MME向基站发送UE的安全能力信息。
[0198]基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。
[0199]另一种可能的情况:当MME确定UE不支持预设安全算法时,MME向基站发送第二选择算法选择指示。本领域技术人员可以理解,MME确定UE不支持预设安全算法和MME确定所述UE的归属区域为预设区域,没有严格的时序关系。
[0200]基站接收MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法。
[0201]又一种可能的情况,当MME确定UE支持预设安全算法时,MME向基站发送第三算法选择指示。本领域技术人员可以理解,MME确定UE支持预设安全算法和MME确定所述UE的归属区域为预设区域,没有严格的时序关系。
[0202]基站接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
[0203]本发明实施例提供的方法,通过基站接收MME修改的UE的安全能力或算法选择指示,不仅为UE提供了安全的保护基站,还减少了基站的处理量。
[0204]图6为本发明移动管理实体实施例一的结构示意图。如图6所示,本实施例提供的移动管理实体60包括确定模块601、判断模块602。
[0205]其中,确定模块601,用于根据用户设备UE的标识确定所述UE的归属区域;
[0206]判断模块602,用于根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
[0207]本实施例的移动管理实体,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0208]图7为本发明移动管理实体实施例二的结构示意图。本实施例在图6实施例的基础上实现,具体如下:
[0209]可选地,所述判断模块602具体用于:
[0210]判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0211]根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0212]可选地,还包括第一接收模块603,用于在根据用户设备UE的标识确定所述UE的归属区域之前,
[0213]接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息;或者
[0214]接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息;或者
[0215]接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
[0216]可选地,还包括第二接收模块604,用于在根据用户设备UE的标识确定所述UE的归属区域之前,
[0217]接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识,或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识,
[0218]所述判断模块602具体用于:判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0219]判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0220]可选地,所述确定模块601具体用于:
[0221 ] 确定所述标识为国际移动用户识别码MSI,则根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0222]确定所述识别码为临时标识,则获取所述临时标识对应的IMSI,并根据所述IMSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者
[0223]确定所述标识为移动用户号码MSISDN,则根据所述MSISDN确定所述UE的归属区域;或者
[0224]向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域,或者所述识别响应消息包括可识别标识,以使所述MME根据所述可识别标识确定所述UE的归属区域。
[0225]本实施例的移动管理实体,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0226]图8为本发明基站实施例一的结构示意图。如图8所示,本发明实施例提供的基站80包括:获取模块801、判断模块802。
[0227]其中,获取模块801,用于获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息;
[0228]判断模块802,用于根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法;
[0229]其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
[0230]本实施例的基站,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0231]图9为本发明基站实施例二的结构示意图。本实施例在图8实施例的基础上实现,具体如下:
[0232]可选地,所述判断模块802具体用于:
[0233]判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者
[0234]根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
[0235]可选地,所述获取模块801具体用于:
[0236]接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域;或者
[0237]接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
[0238]可选地,所述判断模块802具体用于:
[0239]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的所述UE可用的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法;或者
[0240]若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第一算法选择指示,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
[0241]可选地,所述判断模块802具体用于:若所述UE的归属区域为预设区域,所述基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0242]若所述UE的归属区域为预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者
[0243]若所述UE的归属区域为预设区域,所述UE支持预设安全算法,接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
[0244]可选地,还包括:
[0245]发送模块803,用于向所述MME发送所述基站的安全能力信息,以使所述MME确定所述UE的安全算法信息。
[0246]本实施例的基站,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
[0247]本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0248]最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
【权利要求】
1.一种非接入层安全算法处理方法,其特征在于,包括: 移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域; 所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
2.根据权利要求1所述的方法,其特征在于,所述MME根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括: 所述MME判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,若所述MME判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者 所述MME根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
3.根据权利要求1或2所述的方法,其特征在于,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域之前,还包括: 所述MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息;或者 所述MME接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息;或者 所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
4.根据权利要求1所述的方法,其特征在于,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域之前,还包括: 所述MME接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识,或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识, 所述MME根据所述UE的归属区域和所述安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括: 所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 所述MME判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述移动管理实体MME根据用户设备UE的标识确定所述UE的归属区域,包括: 所述MME确定所述标识为国际移动用户识别码MSI,则根据所述MSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者 所述MME确定所述识别码为临时标识,则获取所述临时标识对应的IMSI,并根据所述IMSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者 所述MME确定所述标识为移动用户号码MSISDN,则根据所述MSISDN确定所述UE的归属区域;或者 所述MME向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域,或者所述识别响应消息包括可识别标识,以使所述MME根据所述可识别标识确定所述UE的归属区域。
6.一种接入层安全算法处理方法,其特征在于,包括: 基站获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息; 所述基站根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法; 其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
7.根据权利要求6所述的方法,其特征在于,所述基站根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法,包括: 所述基站判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,若所述基站判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者 所述基站根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
8.根据权利要求6或7所述的方法,其特征在于,所述基站获取用户设备UE的归属区域和所述UE的安全能力信息,包括: 所述基站接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域;或者 所述基站接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
9.根据权利要求6所述的方法,其特征在于,所述基站获取UE的安全算法信息,根据所述UE的安全算法信息判断所述UE可用的加密算法和/或完整性保护算法,包括: 若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的所述UE可用的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法;或者 若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的第一算法选择指示,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
10.根据权利要求6所述的方法,其特征在于,所述基站获取UE的安全算法信息,根据所述UE的安全算法信息判断所述UE可用的加密算法和/或完整性保护算法,包括: 若所述UE的归属区域为预设区域,所述基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 若所述UE的归属区域为预设区域,所述UE不支持预设安全算法,所述基站接收移动管理实体MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 若所述UE的归属区域为预设区域,所述UE支持预设安全算法,所述基站接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
11.根据权利要求9或10所述的方法,其特征在于,所述方法还包括: 所述基站向所述MME发送所述基站的安全能力信息,以使所述MME确定所述UE的安全算法息O
12.—种移动管理实体,其特征在于,包括: 确定模块,用于根据用户设备UE的标识确定所述UE的归属区域; 判断模块,用于根据所述UE的归属区域和所述UE的安全能力信息判断所述UE可用的加密算法和/或完整性保护算法。
13.根据权利要求12所述的移动管理实体,其特征在于,所述判断模块具体用于: 判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者 根据所述安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
14.根据权利要求12或13所述的移动管理实体,其特征在于,还包括第一接收模块,用于在根据用户设备UE的标识确定所述UE的归属区域之前, 接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识和安全能力信息;或者 接收用户设备UE发送的附着请求消息,所述附着请求消息中包括所述UE的标识和安全能力信息;或者 接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识和安全能力信息。
15.根据权利要求12所述的移动管理实体,其特征在于,还包括第二接收模块,用于在根据用户设备UE的标识确定所述UE的归属区域之前, 接收SGSN发送的重定向请求消息,所述重定向请求消息中包括所述UE的标识,或者,所述MME接收用户设备UE发送的位置更新请求消息,所述位置更新请求消息中包括所述UE的标识, 所述判断模块具体用于:判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为预设区域,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 判断所述重定向请求消息或所述位置更新请求消息中不包括所述安全能力信息,且所述UE的归属区域为非预设区域,则所述MME根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
16.根据权利要求12至15任一项所述的移动管理实体,其特征在于,所述确定模块具体用于: 确定所述标识为国际移动用户识别码頂SI,则根据所述IMSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者 确定所述识别码为临时标识,则获取所述临时标识对应的MSI,并根据所述IMSI获取MNC和MCC,根据所述MNC和所述MCC判断所述UE的归属区域;或者 确定所述标识为移动用户号码MSISDN,则根据所述MSISDN确定所述UE的归属区域;或者 向网络实体设备发送识别请求消息,所述识别请求消息包括所述标识,并接收所述网络实体设备发送的识别响应消息,所述识别响应消息包括所述UE的归属区域,或者所述识别响应消息包括可识别标识,以使所述MME根据所述可识别标识确定所述UE的归属区域。
17.—种基站,其特征在于,包括: 获取模块,用于获取用户设备UE的归属区域和所述UE的安全能力信息,或者获取UE的安全算法信息; 判断模块,用于根据所述UE的归属区域和所述UE的安全能力信息,或者根据所述安全算法信息判断所述UE可用的加密算法和/或完整性保护算法; 其中,所述安全算法信息包括UE的安全能力信息、算法选择指示、UE可用的加密算法和完整性保护算法中的任一或其组合。
18.根据权利要求17所述的基站,其特征在于,所述判断模块具体用于: 判断所述UE的归属区域为预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,或者,判断所述UE的归属区域为非预设区域,则根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法;或者 根据所述UE的安全能力信息判断所述UE不支持预设安全算法,则判断所述UE的归属区域是否为预设区域,若是,则根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法,若否,则根据预设完整性保护算法优先级选择完整性保护算法,和/或选择空算法作为加密算法。
19.根据权利要求17或18所述的基站,其特征在于,所述获取模块具体用于: 接收移动管理实体MME发送的所述UE的归属信息和安全能力信息,并根据所述归属信息中的区域指示确定所述UE的归属区域;或者 接收所述MME发送的切换请求消息,所述切换请求消息包括所述UE的安全能力信息以及所述UE的归属区域。
20.根据权利要求17所述的基站,其特征在于,所述判断模块具体用于: 若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的所述UE可用的完整性保护算法和/或加密算法,所述完整性保护算法为所述UE的安全能力信息中所包括的完整性保护算法,所述加密算法为空算法;或者 若所述UE的归属区域为非预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第一算法选择指示,所述第一算法选择指示用以指示所述基站选择空算法作为加密算法,和/或根据预设完整性保护算法优先级选择完整性保护算法,或者所述第一算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或禁止所述基站选择空算法以外的加密算法。
21.根据权利要求17所述的基站,其特征在于,所述判断模块具体用于:若所述UE的归属区域为预设区域,所述基站接收移动管理实体MME发送的所述UE的安全能力信息,并根据所述UE的安全能力信息判断所述UE是否支持预设安全算法,若否,根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 若所述UE的归属区域为预设区域,所述UE不支持预设安全算法,接收移动管理实体MME发送的第二算法选择指示,所述第二算法选择指示用以指示所述基站根据预设完整性保护算法优先级选择完整性保护算法,和/或根据预设加密算法优先级选择加密算法;或者 若所述UE的归属区域为预设区域,所述UE支持预设安全算法,接收移动管理实体MME发送的第三算法选择指示,所述第三算法选择指示用以指示所述基站根据预设安全算法确定完整性保护算法和/或加密算法。
22.根据权利要求20或21所述的基站,其特征在于,还包括: 发送模块,用于向所述MME发送所述基站的安全能力信息,以使所述MME确定所述UE的安全算法信息。
【文档编号】H04W12/08GK104244247SQ201310226174
【公开日】2014年12月24日 申请日期:2013年6月7日 优先权日:2013年6月7日
【发明者】许怡娴, 崔洋, 陈璟 申请人:华为技术有限公司