專利名稱:安全能力協(xié)商的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域����,尤其是涉及一種安全能力協(xié)商的方法及系統(tǒng)����。
技術(shù)背景請參照圖l所示,現(xiàn)有的3GPP(第3代伙伴工程)無線網(wǎng)絡(luò)分為3GPP無線 才妄入網(wǎng)和核心網(wǎng)兩部分�。3GPP無線接入網(wǎng)分為3種GERAN ( GSM邊緣無線接入網(wǎng))2G/2.5G接入網(wǎng),如下統(tǒng)稱為2G接入 網(wǎng)��,包括BTS (基站)和BSC (基站控制器)����。UTRAN (通用無線陸地接入網(wǎng))3G接入網(wǎng)����,包括NodeB (節(jié)點B)和 RNC (無線網(wǎng)絡(luò)控制器)���。EUTRAN (演進的通用無線陸地接入網(wǎng)) 一種未來演進的LTE (長期演 進的無線接入網(wǎng))接入網(wǎng)�,包括eNodeB (演進的節(jié)點B �����,以下簡稱eNB )����。它們都用來實現(xiàn)和無線業(yè)務(wù)相關(guān)的功能,同時實現(xiàn)和終端安全能力的協(xié)商���。2G/3G的核心網(wǎng)又分為電路域CS和分組域PS��。為了簡便起見����,這里省略 了電路域CS的相關(guān)實體�����,僅保留PS域。PS域的作用是事先與外部分組網(wǎng)絡(luò)的 數(shù)據(jù)業(yè)務(wù)交換和路由����,包括SGSN (服務(wù)GPRS支持節(jié)點)和GGSN (網(wǎng)關(guān)GPRS 支持節(jié)點)。SGSN的作用主要是完成路由轉(zhuǎn)發(fā)����、移動性管理、會話管理����、用 戶鑒權(quán)等,GGSN的作用主要是負責和外部分組網(wǎng)絡(luò)連接���,并負責實現(xiàn)用戶 面數(shù)據(jù)的傳輸�����。未來演進的核心網(wǎng)又叫SAE (系統(tǒng)架構(gòu)演進),包括MME (移動管理實體)���、SAE GW ( SAE網(wǎng)關(guān))/PDN GW (分組域網(wǎng)絡(luò)網(wǎng)關(guān))/HSS (歸屬網(wǎng)絡(luò)用 戶服務(wù)器)等實體�。MME的作用和SGSN類似,主要完成移動性管理�����、用戶 鑒權(quán)等功能���。SAE/PDNGW用于充當不同接入系統(tǒng)間的用戶面錨點�。HSS主 要用于存儲用戶簽約數(shù)據(jù)��。在2G網(wǎng)絡(luò)中�����,執(zhí)行信令面和用戶面安全能力算法協(xié)商的是SGSN��。 3G網(wǎng) 絡(luò)中�����,執(zhí)行信令面和用戶面安全能力算法協(xié)商的是RNC�。在演進網(wǎng)絡(luò) LTE/SAE中,由于RNC/SGSN不再存在��,執(zhí)行NAS (非接入信令)算法協(xié)商 的功能上移到MME,而執(zhí)行RRC (無線資源控制)/UP (用戶面)算法協(xié)商 的功能則下移到eNB��。當用戶從2G/3G網(wǎng)絡(luò)(比如2G/3G)切換到LTE網(wǎng)絡(luò)時,或者反之從LTE 切換到2G/3G網(wǎng)絡(luò)時��,由于執(zhí)行安全能力協(xié)商的實體發(fā)生了變化��,并且這些 實體的安全能力不一定是一樣的�����,因此需要重新執(zhí)行安全能力協(xié)商過程�。這 里的安全能力協(xié)商對于2G網(wǎng)絡(luò)來說指的加密算法,對于3G網(wǎng)絡(luò)來說指完整性 保護算法和加密算法���,對LTE網(wǎng)絡(luò)來說指NAS算法(加密算法和完整性保護 算法)�、RRC算法(加密算法和完整性保護算法)���、UP算法(加密算法)�。具體地���,當從LTE網(wǎng)絡(luò)切換到2G/3G網(wǎng)絡(luò)時UE (用戶設(shè)備)將自身的GERAN (加密算法)/UTRAN安全能力(加密 算法����、完整性保護算法)在初始層3消息中發(fā)給MME; MME再把UE的這些 能力發(fā)送到SGSN��。 SGSN選擇相應(yīng)的GERAN/UTRAN安全能力算法�,通過 MME發(fā)給UE。當從LTE切換到2G時�,由SGSN選擇安全能力算法。但當從 LTE切換到3G時����,根據(jù)上述3G網(wǎng)絡(luò)的描述,應(yīng)該RNC來選擇安全能力算法�����, 而不是由SGSN來選擇����,否則會導致對SGSN引入如下新的需求選擇安全能 力算法的功能。并且此時SGSN必須通過某種方式知道RNC的安全能力���,然后 把選擇的算法發(fā)給RNC,因此將需要額外增加SGSN和RNC之間的交互���。SGSN向UE查詢其NAS (加密算法、完整性保護算法)/UP (加密算法)/RRC (加密算法�����、完整性保護算法)安全能力。從2G/3G切換到LTE時SGSN 把UE的這些能力發(fā)送到MME���。MME選擇所有的NAS/RRC/UP安全能力算法�, 通過SGSN發(fā)給UE����。這種方案中由于MME將選擇所有的NAS/RRC/UP安全能 力算法,將導致MME必須通過某種方式(例如配置或者擴展和eNB之間的交 互消息)知道相應(yīng)的eNB的安全能力��,從而造成配置不靈活����、工作流程復雜的 缺點。發(fā)明內(nèi)容本發(fā)明實施例要解決的技術(shù)問題在于�����,針對上述現(xiàn)有技術(shù)的不足�����,提供一 種安全能力協(xié)商的方法及系統(tǒng)��,使得在網(wǎng)絡(luò)切換時能侵一捷地進行安全能力協(xié)商����。為解決上述技術(shù)問題,本發(fā)明實施例提供一種安全能力協(xié)商的方法���,應(yīng)用 于移動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商�����,包括以下步驟A. 第一網(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)�;B. 所述第二網(wǎng)絡(luò)的接入網(wǎng)實體選擇相應(yīng)的安全能力�����,或者所述第二網(wǎng)絡(luò)的 接入網(wǎng)實體和核心網(wǎng)實體分別選擇相應(yīng)的安全能力��;以及C. 所述第二網(wǎng)絡(luò)將選擇的安全能力通過所述第 一 網(wǎng)絡(luò)發(fā)送給用戶設(shè)備UE����。 本發(fā)明實施例還提供一種安全能力協(xié)商系統(tǒng),應(yīng)用于移動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商�,包括第一網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實體、第二網(wǎng)絡(luò)的接 入網(wǎng)實體和核心網(wǎng)實體�����,所述第二網(wǎng)絡(luò)的接入網(wǎng)實體用于當?shù)谝痪W(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時,選擇相應(yīng)的安全能力����;所述第二網(wǎng)絡(luò)的核心網(wǎng)實體用于當?shù)谝痪W(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時,與所 述第二網(wǎng)絡(luò)的接入網(wǎng)實體分別選擇相應(yīng)的安全能力�;所述第 一網(wǎng)絡(luò)的核心網(wǎng)實體和接入網(wǎng)實體用于將所述第二網(wǎng)絡(luò)選擇的安全 能力發(fā)送給用戶設(shè)備UE。本發(fā)明實施例具有以下有益的效果從2G/3G切換到LTE網(wǎng)絡(luò)時����,MME和eNB分別完成NAS安全算法、RRC/UP安全算法的協(xié)商�����,從而避免了 MME 必須通過某種方式(例如配置或者擴展和eNB之間的交互消息W口道相應(yīng)的eNB 的安全能力的缺點�����;而從LTE網(wǎng)絡(luò)切換到3G網(wǎng)絡(luò)時���,避免了對SGSN引入新 的需求的缺點��,也不需要額外增加SGSN和RNC之間的交互����。
圖1是現(xiàn)有3GPP無線網(wǎng)絡(luò)結(jié)構(gòu)圖。圖2是本發(fā)明實施例一從2G/3G網(wǎng)絡(luò)切換到LTE網(wǎng)絡(luò)時安全能力協(xié)商的方 法的流程圖�。圖3是本發(fā)明實施例二從LTE網(wǎng)絡(luò)切換到3G網(wǎng)絡(luò)時安全能力協(xié)商的流程圖。圖4是本發(fā)明實施例三安全能力協(xié)商的系統(tǒng)的結(jié)構(gòu)示意圖����。
具體實施方式
以下結(jié)合附圖對本發(fā)明實施例進行詳細描述�。請參照圖2所示,本發(fā)明實施例一安全能力協(xié)商的方法包括以下步驟 本實施例中��,網(wǎng)絡(luò)從2G/3G切換到LTE����。首先假設(shè)目前UE通過2G/3G接 入網(wǎng)(2G/3GAccess)訪問業(yè)務(wù)。步驟1 ��, 2G/3G接入網(wǎng)決定發(fā)起切換���。步驟2��, 2G/3G接入網(wǎng)向SGSN發(fā)起切換請求消息�。步驟3����, SGSN向MME發(fā)起切換準備請求消息��,其中攜帶UE支持的各種 安全能力集����,包括NAS算法(加密算法��、完整性保護算法)���、RRC算法(加密 算法�、完整性保護算法)��、UP算法(加密算法)���。這里的SGSN獲取UE支持的各種安全能力集的方法有a. SGSN可以通過直接請求UE發(fā)送其支持的安全能力集�;b. 2G/3G接入網(wǎng)實體(BSS或者RNC)決定發(fā)起切換后��,先請求UE得到其支持的安全能力集后�����,再通過步驟2發(fā)給SGSN��。步驟4, MME根據(jù)UE支持的NAS算法(加密算法、完整性保護算法)��, 以及系統(tǒng)允許的NAS算法(加密算法��、完整性保護算法)��,并結(jié)合自身支持的 NAS算法(加密算法��、完整性保護算法)�����,來選擇NAS算法(加密算法�����、完整 性保護算法)���。應(yīng)當理解,由于UE支持的NAS算法(加密算法�����、完整性保護算法)�����、系統(tǒng) 允許的NAS算法(加密算法、完整性保護算法)��、MME自身支持的NAS算法 (加密算法�����、完整性保護算法)均有多種���,因此此處的選擇具體是指從前述這 三類NAS算法(加密算法��、完整性保護算法)中選擇共同支持的NAS算法(加 密算法���、完整性保護算法)。步驟5����, MME向eNB發(fā)送切換準備請求消息,其中攜帶UE支持的RRC 算法(加密性算法����、完整性保護算法)、UP算法(加密算法)���;還可能攜帶系統(tǒng) 允許的RRC算法(加密算法�����、完整性保護算法)���、UP算法(加密算法)����。步驟6�����, eNB和MME之間的承載資源建立�,包括無線資源建立過程�。步驟7, eNB根據(jù)UE支持的RRC算法(加密算法、完整性保護算法)��、UP 算法(加密算法)��,并結(jié)合自身支持的RRC安全能力集(加密算法��、完整性保 護算法)�����、UP安全能力集(加密算法),來選擇RRC算法(加密算法��、完整性 保護算法)����、UP算法(加密算法)。應(yīng)當理解����,由于UE支持的RRC算法(加密算法、完整性保護算法)���、UP 算法(加密算法)��,系統(tǒng)允許的RRC算法(加密算法�����、完整性保護算法)�、UP 算法(加密算法)�,eNB自身支持的RRC算法(加密算法、完整性保護算法)����、 UP算法(加密算法)均有多種�,因此此處的選擇具體是指從前述這二類RRC 算法(加密算法����、完整性保護算法)、UP算法(加密算法)中選擇共同支持的 RRC算法(加密算法���、完整性保護算法)���、UP算法(加密算法)。如果步驟5中MME向eNB發(fā)送切換準備請求消息里還攜帶了系統(tǒng)允許的 RRC算法(加密算法��、完整性保護算法)����、UP算法(加密算法),則此時eNB還將結(jié)合該系統(tǒng)允許的RRC算法(加密算法��、完整性保護算法)��、UP算法(加 密算法)來選擇RRC算法(加密算法��、完整性保護算法)����、UP算法(加密算法)。步驟8, eNB給MME發(fā)送切換準備確認消息�,其中攜帶選擇的RRC算法 (加密算法、完整性保護算法)�����、UP算法(加密算法)���。步驟9���, MME給SGSN發(fā)送切換準備確認消息,其中攜帶選擇的NAS算 法(加密算法�����、完整性保護算法)�����、RRC算法(加密性算法�����、完整性保護算法)、 UP算法(加密算法)�。步驟10-11, SGSN通過2G/3G接入網(wǎng)給UE發(fā)送切換命令消息,指示其切 換到目標網(wǎng)絡(luò)���。其中攜帶選擇的NAS算法(加密算法����、完整性保護算法)��、RRC 算法(加密算法����、完整性保護算法)、UP算法(加密算法)���。步驟12,繼續(xù)后續(xù)切換過程�。從而完成了 UE和網(wǎng)絡(luò)設(shè)備(eNB/MME)之間的安全能力協(xié)商過程���。 上述步驟4還可以在步驟5到步驟9之間的任一步進行�。步驟7也可以在 步驟6之前進行�。本實施例中�,當從2G/3G切換到LTE網(wǎng)絡(luò)時����,由于UE與MME之間通 過NAS算法保護���,UE與eNB之間通過RRC/UP算法保護��,采用MME和eNB 分別完成NAS安全算法���、RRC/UP安全算法的協(xié)商,從而避免了現(xiàn)有技術(shù)方 案中MME必須通過某種方式(例如配置或者擴展和eNB之間的交互消息)知 道相應(yīng)的eNB的安全能力的缺點�����。請參照圖3所示�,本發(fā)明實施例二安全能力協(xié)商的方法包括以下步驟本實施例中,網(wǎng)絡(luò)從LTE切換到3G���。首先假設(shè)目前UE通過LTE接入網(wǎng) (eNB)訪問業(yè)務(wù)�。步驟l���, eNB決定發(fā)起切換�。步驟2 , eNB向MME發(fā)起切換請求消息��。步驟3�, MME向SGSN發(fā)起切換準備請求消息,其中攜帶UE支持的3G 安全能力集���,包括加密算法���、完整性保護算法。這里的MME獲取UE支持的3G安全能力集的方法有a. UE在切換之前初始層3消息中已經(jīng)攜帶其支持的3G安全能力集發(fā)送給 MME;b. MME直接請求UE發(fā)送其支持的3G安全能力集�����;c. eNB決定發(fā)起切換后���,先請求UE得到其支持的3G安全能力集后��,再通 過步驟2發(fā)送給MME�。步驟4��, SGSN向3G接入網(wǎng)(RNC)發(fā)送切換準備請求消息�����,其中攜帶UE 支持的3G安全能力集,包括加密算法���、完整性保護算法,還可能攜帶系統(tǒng)允許 的3G安全能力集���。步驟5, 3G接入網(wǎng)(RNC)和SGSN之間的承載資源建立�����,包括無線資源 建立過程��。步驟6����, 3G接入網(wǎng)(RNC)根據(jù)UE支持的3G安全能力集����,并結(jié)合本身支 持的3G安全能力集,來選擇3G安全能力集����。 '應(yīng)當理解,由于UE支持的3G安全能力集���,3G接入網(wǎng)(RNC)自身支持 的3G安全能力集均有多種���,因此此處的選擇具體是指從前述這二類3G安全能 力集中選擇共同支持的3G安全能力集(加密算法����、完整性保護算法)�。如果步驟4中SGSN向3G接入網(wǎng)(RNC)發(fā)送的切換準備請求消息里還攜 帶了系統(tǒng)允許的3G安全能力集,則此時3G接入網(wǎng)(RNC)還將結(jié)合該系統(tǒng)允 許的3G安全能力集來選擇3G安全能力集���。步驟7, 3G接入網(wǎng)(RNC)給SGSN發(fā)送切換準備確認消息�,其中攜帶選 擇的3G安全能力集��。步驟8���, SGSN給MME發(fā)送切換準備確認消息�,其中攜帶選擇的3G安全 能力集�����。步驟9-10���, MME通過eNB給UE發(fā)送切換命令消息��,指示其切換到目標網(wǎng) 絡(luò)����。其中攜帶選擇的3G安全能力集。 步驟ll�����、繼續(xù)后續(xù)切換過程����。從而完成了 UE和網(wǎng)絡(luò)設(shè)備(RNC)之間的安全能力協(xié)商過程�����。 步驟6也可以在步驟5之前進行�����。
本實施例可以避免從LTE切換到3G網(wǎng)絡(luò)時會對SGSN引入新的需求的缺點��。
請再參照圖4所示�����,本發(fā)明實施例三提供一種安全能力協(xié)商系統(tǒng),應(yīng)用于移 動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商��,包括第一網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實 體�����、第二網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實體�,所述第二網(wǎng)絡(luò)的接入網(wǎng)實體用于當 第一網(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時,選擇相應(yīng)的安全能力��;所述第二網(wǎng)絡(luò)的核心 網(wǎng)實體用于當?shù)谝痪W(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時�,與所述第二網(wǎng)絡(luò)的接入網(wǎng)實體 分別選擇相應(yīng)的安全能力;所述第一網(wǎng)絡(luò)的核心網(wǎng)實體和接入網(wǎng)實體用于將所 述第二網(wǎng)絡(luò)選擇的安全能力發(fā)送給用戶設(shè)備UE ����。
當從2G/3G網(wǎng)絡(luò)切換到LTE網(wǎng)絡(luò)時,第一網(wǎng)絡(luò)是2G或3G網(wǎng)絡(luò)���,2G網(wǎng)絡(luò)的接 入網(wǎng)實體包括基站BTS和基站控制器BSC�����, 3G網(wǎng)絡(luò)的接入網(wǎng)實體包括節(jié)點NodeB 和無線網(wǎng)絡(luò)控制器RNC; 2G或3G網(wǎng)絡(luò)的核心網(wǎng)實體包括服務(wù)GPRS支持節(jié)點 SGSN;第二網(wǎng)絡(luò)是長期演進的無線接入網(wǎng)絡(luò)LTE����,其接入網(wǎng)實體是演進的節(jié)點 eNodeB,核心網(wǎng)實體是移動管理實體MME。安全能力包括非接入信令NAS完整 性保護和加密算法�����、無線資源控制RRC完整性保護和加密算法�、用戶面UP加密 算法。MME用于選擇NAS完整性保護和加密算法�����,eNodeB用于選擇RRC完整性 保護和加密算法�、UP加密算法��。其工作原理及過程如圖2所示�,此不贅述。由于 采用MME和eNB分別完成NAS安全算法�����、RRC/UP安全算法的:協(xié)商�����,從而避 免了現(xiàn)有技術(shù)方案中MME必須通過某種方式(例如配置或者擴展和eNB之間的 交互消息)知道相應(yīng)的eNB的安全能力的缺點��。
當從LTE網(wǎng)絡(luò)切換到3G網(wǎng)絡(luò)時,第一網(wǎng)絡(luò)的接入網(wǎng)實體是eNodeB,第一網(wǎng) 絡(luò)的核心網(wǎng)實體是移動管理實體MME,第二網(wǎng)絡(luò)的接入網(wǎng)實體是RNC�,第二網(wǎng) 絡(luò)的核心網(wǎng)實體是服務(wù)GPRS支持節(jié)點SGSN。安全能力包括3G安全能力集��,3G 安全能力集進一步包括加密算法��、完整性保護算法�����。其工作原理及過程如圖2所示�����,此不贅述��。RNC用于選擇3G安全能力集����,避免了從LTE切換到3G網(wǎng)絡(luò)時會 對SGSN引入新的需求的缺點,也不需要額外增加SGSN和RNC之間的交互��。
以上僅為本發(fā)明的較佳實施例而已���,并非用于限定本發(fā)明的保護范圍���。凡 在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改��、等同替換�、改進等,均應(yīng)包含 在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1、一種安全能力協(xié)商的方法���,應(yīng)用于移動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商����,包括以下步驟A.第一網(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)�����;B.所述第二網(wǎng)絡(luò)的接入網(wǎng)實體選擇相應(yīng)的安全能力��,或者所述第二網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實體分別選擇相應(yīng)的安全能力�����;以及C.所述第二網(wǎng)絡(luò)將選擇的安全能力通過所述第一網(wǎng)絡(luò)發(fā)送給用戶設(shè)備UE����。
2、 根據(jù)權(quán)利要求l所述的方法�,其特征在于所述步驟A進一步包括Al.所述第一網(wǎng)絡(luò)的接入網(wǎng)實體向第一網(wǎng)絡(luò)的核心網(wǎng)實體發(fā)送切換請求消 息;以及A2.所述第一網(wǎng)絡(luò)的核心網(wǎng)實體向所述第二網(wǎng)絡(luò)的核心網(wǎng)實體發(fā)送切換準 備請求消息�����,攜帶UE支持的安全能力集�。
3、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于所述步驟A2之前�����,所述第一 網(wǎng)絡(luò)的核心網(wǎng)實體通過以下方式之一獲取UE支持的安全能力集所述第一網(wǎng)絡(luò) 的核心網(wǎng)實體直接請求UE發(fā)送其支持的安全能力集�����;或者由所述第一網(wǎng)絡(luò)的接 入網(wǎng)實體決定發(fā)起切換后先請求UE得到其支持的安全能力集�����,再通過所述步驟 Al在切換請求消息中發(fā)送給所述第 一 網(wǎng)絡(luò)的核心網(wǎng)實體。
4���、 根據(jù)權(quán)利要求l所述的方法�,其特征在于所述第一網(wǎng)絡(luò)是2G或3G網(wǎng)絡(luò)��, 所述2G網(wǎng)絡(luò)的接入網(wǎng)實體包括基站BTS和基站控制器BSC��,所述3G網(wǎng)絡(luò)的接入 網(wǎng)實體包括節(jié)點NodeB和無線網(wǎng)絡(luò)控制器RNC;所述2G或3G網(wǎng)絡(luò)的核心網(wǎng)實體 包括服務(wù)GPRS支持節(jié)點SGSN;所述第二網(wǎng)絡(luò)是長期演進的無線接入網(wǎng)絡(luò)LTE, 其接入網(wǎng)實體是演進的節(jié)點eNodeB,核心網(wǎng)實體是移動管理實體MME;所述步 驟B中由所述eNodeB和MME分別選擇相應(yīng)的安全能力��。
5��、 根據(jù)權(quán)利要求4所述的方法�,其特征在于所述步驟B具體包括Bl.所述MME向所述eNodeB發(fā)送切換準備請求消息,攜帶UE支持的無 線資源控制RRC完整性保護和加密算法���、用戶面UP加密算法��;以及B2.所述eNodeB根據(jù)UE支持的無線資源控制RRC完整性保護和加密算 法、用戶面UP加密算法����,并結(jié)合自身支持的RRC完整性保護和加密算法、UP 加密算法,來選擇共同支持的RRC完整性保護和加密算法��、UP加密算法���。
6�����、 根據(jù)權(quán)利要求5所述的方法�����,其特征在于所述步驟B具體還包括 所述步驟B1中所述MME還向所述eNodeB發(fā)送系統(tǒng)允許的RRC完整性保護和加密算法�����、UP加密算法�,所述步驟B2中所述eNodeB還將結(jié)合所述系統(tǒng) 允許的RRC完整性保護和加密算法����、UP加密算法來選擇共同支持的RRC完整 性保護和加密算法、UP加密算法�����。
7、 根據(jù)權(quán)利要求5所述的方法�,其特征在于所述步驟B具體還包括所 述MME根據(jù)UE支持的非接入信令NAS完整性保護和加密算法,以及系統(tǒng)允 許的NAS完整性保護和加密算法�����,并結(jié)合自身支持的NAS完整性保護和加密 算法����,來選擇共同支持的NAS完整性保護和加密算法。
8�、 根據(jù)權(quán)利要求5所述的方法,其特征在于所述步驟C進一步包括 CI.所述eNodeB向所述MME發(fā)送切換準備確認消息�����,攜帶選擇的RRC 完整性保護和加密算法�����、UP加密算法��;C2.所述MME向所述SGSN發(fā)送切換準備確認消息��,攜帶選擇的NAS完 整性保護和加密算法���、RRC完整性保護和加密算法���、UP加密算法;以及C3.所述SGSN通過所述2G/3G接入網(wǎng)向UE發(fā)送切換命令��,指示其切換 到所述LTE網(wǎng)絡(luò)���,所述切換命令攜帶所述選擇的NAS完整性保護和加密算法���、 RRC完整性保護和加密算法、UP加密算法����。
9、 根據(jù)權(quán)利要求8所述的方法�����,其特征在于所述步驟C2中所述MME 向所述SGSN發(fā)送切換準備確認消息之前����,所述MME根據(jù)UE支持的非接入信 令NAS完整性保護和加密算法,以及系統(tǒng)允許的NAS完整性保護和加密算法����, 并結(jié)合自身支持的NAS完整性保護和加密算法��,來選擇共同支持的NAS完整 性保護和加密算法����。
10�、 根據(jù)權(quán)利要求1所述的方法,其特征在于所述第一網(wǎng)絡(luò)是LTE網(wǎng)絡(luò)����,其接入網(wǎng)實體是eNodeB,核心網(wǎng)實體是MME;所述第二網(wǎng)絡(luò)是3G網(wǎng)絡(luò),其接 入網(wǎng)實體是RNC,核心網(wǎng)實體是SGSN;所述步驟B中由所述RNC選擇相應(yīng)的 安全能力����。
11、 根據(jù)權(quán)利要求3所述的方法�,其特征在于所述第一網(wǎng)絡(luò)的核心網(wǎng)實 體還可在初始層3消息中獲取所述消息攜帶的UE所支持的3G安全能力集。
12�、 根據(jù)權(quán)利要求10所述的方法,其特征在于所述步驟B具體包括 所述SGSN向所述RNC發(fā)送切換準備請求消息���,攜帶UE支持的3G安全能力以及系統(tǒng)允許的3G能力����,所述3G安全能力集均包括加密算法、完整性保 護算法�;以及所述RNC根據(jù)UE支持的3G安全能力集,以及系統(tǒng)允許的3G安全能力����, 并結(jié)合本身支持的3G安全能力集�����,來選擇共同支持的3G安全能力集����。
13、 根據(jù)權(quán)利要求12所述的方法���,其特征在于所述步驟C具體包括 Cl���,.所述RNC向所述SGSN發(fā)送切換準備確認消息,攜帶選擇的3G安全能力集����;C2,.所述SGSN向所述MME發(fā)送切換準備確認消息�,攜帶所述選擇的3G 安全能力集�;以及C3��,.所述MME通過所述eNodeB向UE發(fā)送切換命令����,指示其切換到所述3G 網(wǎng)絡(luò),所述切換命令攜帶所述選擇的3G安全能力集���。 .
14�����、 一種安全能力協(xié)商系統(tǒng)�,應(yīng)用于移動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商�����, 包括第一網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實體����、第二網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng) 實體,其特征在于所述第二網(wǎng)絡(luò)的接入網(wǎng)實體用于當?shù)谝痪W(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時�,選擇 相應(yīng)的安全能力;所述第二網(wǎng)絡(luò)的核心網(wǎng)實體用于當?shù)谝痪W(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)時��,與所 述第二網(wǎng)絡(luò)的接入網(wǎng)實體分別選擇相應(yīng)的安全能力;所述第 一網(wǎng)絡(luò)的核心網(wǎng)實體和接入網(wǎng)實體用于將所述第二網(wǎng)絡(luò)選擇的安全能力發(fā)送給用戶設(shè)備UE����。
15、 根據(jù)權(quán)利要求14所述的系統(tǒng)���,其特征在于所述第一網(wǎng)絡(luò)是2G或3G網(wǎng) 絡(luò),所述第二網(wǎng)絡(luò)是長期演進的無線接入網(wǎng)絡(luò)LTE,其接入網(wǎng)實體是演進的節(jié)點 eNodeB���,核心網(wǎng)實體是移動管理實體MME;所述安全能力包括非接入信令NAS 完整性保護和加密算法���、無線資源控制RRC完整性保護和加密算法、用戶面UP 加密算法����;所述MME用于選擇所述NAS完整性保護和加密算法,所述eNodeB用 于選擇所述RRC完整性保護和加密算法�����、UP加密算法�����。
16、 根據(jù)權(quán)利要求14所述的系統(tǒng)���,其特征在于所述第一網(wǎng)絡(luò)為LTE,其接 入網(wǎng)實體是eNodeB,核心網(wǎng)實體是移動管理實體MME;所述第二網(wǎng)絡(luò)為3G�,其 接入網(wǎng)實體是RNC�,核心網(wǎng)實體是服務(wù)GPRS支持節(jié)點SGSN;所述安全能力包 括3G安全能力集,所述3G安全能力集進一步包括加密算法����、完整性保護算法; 所述RNC用于選擇所述3G安全能力集��。
全文摘要
本發(fā)明提供一種安全能力協(xié)商的方法��,應(yīng)用于移動網(wǎng)絡(luò)切換時對安全能力進行協(xié)商��,包括以下步驟A.第一網(wǎng)絡(luò)請求切換到第二網(wǎng)絡(luò)���;B.所述第二網(wǎng)絡(luò)的接入網(wǎng)實體選擇相應(yīng)的安全能力���,或者所述第二網(wǎng)絡(luò)的接入網(wǎng)實體和核心網(wǎng)實體分別選擇相應(yīng)的安全能力;以及C.所述第二網(wǎng)絡(luò)將選擇的安全能力通過所述第一網(wǎng)絡(luò)發(fā)送給用戶設(shè)備UE����。本發(fā)明還提供一種安全能力協(xié)商的系統(tǒng)�。本發(fā)明可以避免從2G/3G切換到LTE網(wǎng)絡(luò)時���,MME必須通過某種方式知道相應(yīng)的eNB的安全能力的缺點����;以及避免從LTE網(wǎng)絡(luò)切換到3G網(wǎng)絡(luò)時�����,對SGSN引入新的需求的缺點��。
文檔編號H04W36/00GK101304600SQ20071007433
公開日2008年11月12日 申請日期2007年5月8日 優(yōu)先權(quán)日2007年5月8日
發(fā)明者何承東 申請人:華為技術(shù)有限公司