本申請涉及移動通信領(lǐng)域，尤其涉及安全策略確定方法及裝置。

背景技術(shù)：

隨著長期演進(longtermevolution，volte)技術(shù)的不斷發(fā)展，越來越多的ue(userequipment，ue)在支持lte語音通話(voiceoverlte)功能之外，開始支持無線保真語音通話(voiceoverwifi，vowifi)功能。具有vowifi功能ue既可以采用運營商所提供的互聯(lián)網(wǎng)協(xié)議多媒體系統(tǒng)(internetprotocolmultimediasubsystem，ims)注冊到volte網(wǎng)絡(luò)，以通過volte網(wǎng)絡(luò)實現(xiàn)lte語音通話，也可以通過所述ims注冊到vowifi網(wǎng)絡(luò)，以通過vowifi網(wǎng)絡(luò)實現(xiàn)wifi語音通話。

為保證無線通信過程的安全性，避免用戶信息泄露或被篡改。在語音通話過程中，需要對ue與代理呼叫會話控制功能(proxy-callsessioncontrolfuntion，pcscf)之間的會話初始化協(xié)議(sessioninitiationprotocol，sip)信令進行保護。其中，對sip信令進步保護包括對sip信令進行加密以及對sip信令進行完整性保護。根據(jù)ue接入的網(wǎng)絡(luò)不同，sip信令進行保護的具體方式的方式也不相同。

當(dāng)ue接入volte網(wǎng)絡(luò)時，ue需要直接將sip信令發(fā)送給pcscf。在此情況下，為實現(xiàn)對sip進行保護，pcscf會在ue初始注冊到核心網(wǎng)時，在ue所發(fā)送的注冊請求中添加認證挑戰(zhàn)標識，其中，所述核心網(wǎng)可以包括服務(wù)呼叫會話控制功能(serving-callsessioncontrolfuntion，scscf)及查詢呼叫會話控制功能(interrogating-callsessioncontrolfuntion，icscf)。核心網(wǎng)接收包含認證挑戰(zhàn)標識的注冊請求后，指示pcscf對該ue發(fā)起認證挑戰(zhàn)。pcscf在對ue發(fā)起認證挑戰(zhàn)的過程中為該ue分配安全策略。ue則根據(jù)pcscf所分配的安全策略對sip信令進行加密及完整性保護。當(dāng)ue重注冊核心網(wǎng)時，可以繼續(xù)使用所述安全策略對sip信令進行加密及完整性包含。

當(dāng)ue接入vowifi網(wǎng)絡(luò)時，ue發(fā)送給pcscf的sip信令會經(jīng)由演進型分組數(shù)據(jù)網(wǎng)關(guān)(evolvedpacketdatagateway，epdg)轉(zhuǎn)發(fā)，由于ue與epdg之間采用隧道傳輸，而epdg與pcscf之間采用明文傳輸。因此，ue需要根據(jù)隧道傳輸?shù)囊髮ip信令進行加密，并將加密后的sip信令發(fā)送給epdg。epdg接收到經(jīng)過加密的sip信令后，對sip信令進行解密，并以明文形式將sip信令發(fā)送給pcscf。在此過程中pcscf并不需要為ue分配安全策略。

由于vowifi網(wǎng)絡(luò)覆蓋范圍通常比較有限，而volte網(wǎng)絡(luò)的無線資源比較有限，為保證通信質(zhì)量并確保語音通話不中斷，ue所附著的網(wǎng)絡(luò)需要在vowifi網(wǎng)絡(luò)和volte網(wǎng)絡(luò)之間切換。當(dāng)ue所附著的網(wǎng)絡(luò)由lte切換附著到vowifi網(wǎng)絡(luò)時，那么ue既會根據(jù)初始注冊到核心網(wǎng)時pcscf為該ue分配安全策略對sip信令進行加密，又會根據(jù)與epdg之間進行隧道傳輸?shù)囊髮ip信令進行加密，從而導(dǎo)致ue會對sip信令進行重復(fù)加密。ue對sip信令進行重復(fù)加密，不但造成會增加ue的耗電量，而且會導(dǎo)致pcscf不必要的性能開銷。

技術(shù)實現(xiàn)要素：

本申請實施例提供了安全策略確定方法及裝置，以減輕pcscf不必要的性能開銷。

第一方面，本申請實施例提供了一種安全策略確定方法，該方法包括：代理呼叫會話控制功能pcscf接收用戶設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊請求；所述pcscf根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略；所述pcscf指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

采用本方面所提供的方法，pcscf可以在ue的附著網(wǎng)絡(luò)切換后，根據(jù)ue所附著的網(wǎng)絡(luò)，重新確定用于保護sip信令傳輸過程安全性的安全策略；從而既可以保證sip信令傳輸?shù)陌踩?，又可以避免對sip信令進行重復(fù)加密，減輕pcscf不必要的性能開銷。

結(jié)合第一方面，在第一方面第一種可能的實現(xiàn)方式中，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略包括：當(dāng)所述重注冊請求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對所述sip信令進行加密。

采用本實現(xiàn)方式，可以在所述ue從加密網(wǎng)絡(luò)切換附著的未加密網(wǎng)絡(luò)后，才對sip信令進行加密，從而保證sip信令傳輸過程的安全性。

結(jié)合第一方面，在第一方面第二種可能的實現(xiàn)方式中，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略包括：當(dāng)所述重注冊請求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對所述sip信令進行加密。

采用本實現(xiàn)方式，可以在所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后，使的ue可 以只對sip信令進行一次加密，從而避免ue對sip信令進行二次加密，減輕pcscf不必要的性能開銷。

結(jié)合第一方面第一種可能的實現(xiàn)方式，在第一方面第三種可能的實現(xiàn)方式中，所述第一安全策略為對所述sip信令進行加密及完整性保護的sip安全性算法套件。

結(jié)合第一方面第二種可能的實現(xiàn)方式，在第一方面第四種可能的實現(xiàn)方式中，所述第二安全策略為對所述sip信令進行完整性保護的sip安全性算法套件。

結(jié)合第一方面第一至四種可能的實現(xiàn)方式其中任意一種，在第一方面第五種可能的實現(xiàn)方式中，所述未加密網(wǎng)絡(luò)為長期演進lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)為無線保真wifi網(wǎng)絡(luò)。

第二方面，本申請實施例還提供了一種安全策略確定裝置，該裝置包括：接收單元，用于接收用戶設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊請求；確定單元，用于根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略；指示單元，用于指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

結(jié)合第二方面，在第二方面第一種可能的實現(xiàn)方式中，所述確定單元，具體用于當(dāng)所述重注冊請求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時，選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對所述sip信令進行加密。

結(jié)合第二方面，在第二方面第二種可能的實現(xiàn)方式中，所述確定單元，具體用于當(dāng)所述重注冊請求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時，選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對所述sip信令進行加密。

結(jié)合第二方面第一或二種可能的實現(xiàn)方式其中任意一種，在第二方面第三種可能的實現(xiàn)方式中，所述未加密網(wǎng)絡(luò)為長期演進lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)為無線保真wifi網(wǎng)絡(luò)。

第三方面，本申請還提供了一種網(wǎng)絡(luò)設(shè)備及一種網(wǎng)元，該網(wǎng)絡(luò)設(shè)備及網(wǎng)元可以用于實現(xiàn)pcscf的全部或部分功能，并接收用戶設(shè)備ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊請求；根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略；指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

采用申請所提供的方法、裝置及網(wǎng)絡(luò)設(shè)備，可以在ue的附著網(wǎng)絡(luò)切換后，根據(jù)ue所附著的網(wǎng)絡(luò)，重新確定用于保護sip信令傳輸過程安全性的安全策略，在重新確定安全策略的過程中，可以根據(jù)對sip信令進行安全保護的需求選擇響應(yīng)的安全策略，從而既可以保證sip信令傳輸?shù)陌踩裕挚梢员苊鈱ip信令進行重復(fù)加密，減輕pcscf不必要的性能開銷。

附圖說明

為了更清楚地說明本申請實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本申請網(wǎng)絡(luò)系統(tǒng)一個實施例的結(jié)構(gòu)示意圖；

圖2為本申請安全策略確定方法的一個實施例的流程示意圖；

圖3為本申請安全策略確定方法的另一個實施例的流程示意圖；

圖4為本申請安全策略確定方法的另一個實施例的流程示意圖；

圖5為本申請安全策略確定裝置一個實施例的結(jié)構(gòu)示意圖。

具體實施方式

參見圖1，為本申請網(wǎng)絡(luò)系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。

如圖1所示，所述網(wǎng)絡(luò)系統(tǒng)包括核心網(wǎng)、pcscf、epdg及ue等網(wǎng)元或設(shè)備。其中，pcscf與核心網(wǎng)相連；pcscf與ue之間可以直接進行sip信令傳輸，也可以通過epdg進行sip信令傳輸。當(dāng)pcscf與ue之間通過epdg進行sip信令傳輸時，ue與epdg之間可以采用密文形式傳輸sip信令，而epdg與pcscf之間則可以采用明文方式傳輸sip信令。

參見圖2，為本申請安全策略確定方法一個實施例的流程圖。由于在ims系統(tǒng)中，用于分配對sip信令進行保護的安全策略的設(shè)備為pcscf，因此該方法可以由pcscf執(zhí)行。

步驟201，pcscf接收ue發(fā)送的重注冊請求。

所述重注冊請求可以是ue所附著的網(wǎng)絡(luò)發(fā)生變化后發(fā)送的重注冊請求。其中，所述ue所附著的網(wǎng)絡(luò)可以包括加密網(wǎng)絡(luò)與非加密網(wǎng)絡(luò)兩類。其中，加密網(wǎng)絡(luò)是指ims中通過安全通道進行sip信令傳輸?shù)木W(wǎng)絡(luò)，如wifi網(wǎng)絡(luò)等；而未加密網(wǎng)絡(luò)是指ims中通過一般 通道進行sip信令傳輸?shù)木W(wǎng)絡(luò)，如lte網(wǎng)絡(luò)等。

附著網(wǎng)絡(luò)切換可以包括ue所附著的網(wǎng)絡(luò)從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)，也可以包括ue所附著的網(wǎng)絡(luò)從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)。例如，所述重注冊請求可以是ue從lte網(wǎng)絡(luò)切換附著到wifi網(wǎng)絡(luò)后發(fā)送的重注冊請求；也可以是ue從wifi網(wǎng)絡(luò)切花到lte網(wǎng)絡(luò)后發(fā)送的重注冊請求。

步驟202，pcscf根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略。

在接收到所述重注冊請求后，無論所述ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型是否相同，pcscf均可以根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型確定用于保護sip信令傳輸過程安全性的指定安全策略。

具體來說，所述pcscf在接收到所述重注冊請求后，可以在所述重注冊請求中添加認證挑戰(zhàn)標識，并將包含所述認證挑戰(zhàn)標識的重注冊請求發(fā)送至核心網(wǎng)，其中，所述認證挑戰(zhàn)標識用于指示核心網(wǎng)對所述ue發(fā)起認證挑戰(zhàn)。例如，pcscf可以在sip的鑒權(quán)頭域設(shè)置integrity-protected＝no作為認證挑戰(zhàn)標識。所述核心網(wǎng)在收到包含所述認證挑戰(zhàn)標識的重注冊請求后，指示所述pcscf發(fā)起認證挑戰(zhàn)，從使pcscf可以更換對所化sip信令進行保護時所采用的安全策略。

當(dāng)所述重注冊請求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf可以選擇第一安全策略作為指定安全策略。所述第一安全策略用于指示所述ue對所述sip信令進行加密。例如，第一安全策略可以為對所述sip信令進行加密及完整性保護的sip安全性算法套件。

當(dāng)所述重注冊請求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf可以選擇第二安全策略作為指定安全策略。所述第二安全策略用于指示所述ue不對所述sip信令進行加密。例如，第二安全策略可以為對所述sip信令進行完整性保護的sip安全性算法套件。

當(dāng)所述重注冊請求為所述ue從一個未加密網(wǎng)絡(luò)切換附著到另一個未加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf同樣也可以選擇第一安全策略作為指定安全策略；相應(yīng)的，當(dāng)所述重注冊請求為所述ue從一個加密網(wǎng)絡(luò)切換附著到另一個加密網(wǎng)絡(luò)后發(fā)送時，所述pcscf同樣也可以選擇第二安全策略作為指定安全策略。

如果ue在附著網(wǎng)絡(luò)切換前所附著網(wǎng)絡(luò)的類型與附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型相同，所述pcscf

步驟203，所述pcscf指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

在指定安全策略選定之后，所述pcscf指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

當(dāng)所述指定安全策略為第一安全策略時，所述pcscf可以指示所述ue使用所述第一安全策略保護所述sip信令在傳輸過程中的安全性。從而使所述ue在與pcscf進行sip信令傳輸?shù)倪^程中，既對所述sip信令進行加密，又對所述sip信令進行完整性保護。

當(dāng)所述指定安全策略為第二安全策略時，所述pcscf可以指示所述ue使用所述第二安全策略保護所述sip信令在傳輸過程中的安全性。從而使所述ue在與pcscf進行sip信令傳輸?shù)倪^程中，僅對所述sip信令完整性保護，而不對所述sip信令進行加密。

從上述實施例可以看出，pcscf可以在ue的附著網(wǎng)絡(luò)切換后，調(diào)整用于保護sip信令傳輸過程安全性的安全策略；從而既可以保證sip信令傳輸?shù)陌踩裕挚梢员苊鈱ip信令進行重復(fù)加密。

參見圖3，為本申請安全策略確定方法一個實施例的流程圖

步驟301，在附著網(wǎng)絡(luò)從lte網(wǎng)絡(luò)切換附著到wifi網(wǎng)絡(luò)后，ue向pcscf發(fā)送第一重注冊請求。

步驟302，pcscf在所述第一重注冊請求的鑒權(quán)頭域中添加認證挑戰(zhàn)標識從而生成第二重注冊請求。

步驟303，pcscf將所述第二重注冊請求發(fā)送至核心網(wǎng)。

步驟304，核心網(wǎng)指示所述pcscf對所述ue發(fā)起認證挑戰(zhàn)。

核心網(wǎng)在接收到第二重注冊請求后，可以向pcscf發(fā)送未授權(quán)響應(yīng)，從而許pcscf更換安全策略

步驟305，pcscf在向所述ue發(fā)認證挑戰(zhàn)的過程中，確定第二安全策略作為用于保護sip信令傳輸過程安全性的指定安全策略。

步驟306，pcscf向所述ue指示所述第二安全策略。

步驟307，ue按照隧道傳輸?shù)囊髮ip信令進行加密生成密文形式的sip信令。

ue根據(jù)第二安全策略的規(guī)定及隧道傳輸?shù)囊髮ip信令進行一次加密。

步驟308，ue將密文形式的sip信令進行發(fā)至epdg。

步驟309，epdg將密文形式的sip信令解密為明文形式的sip信令。

步驟310，epdg將明文形式的sip信令發(fā)送至pcscf。

采用本實施例所提供的方法，可以在ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)時，避免對sip信令的二次加密。

參見圖4，為本申請安全策略確定方法一個實施例的流程圖。

步驟401，在附著網(wǎng)絡(luò)從wifi網(wǎng)絡(luò)切換附著到lte網(wǎng)絡(luò)后，ue向pcscf發(fā)送第一重注冊請求。

步驟402，pcscf在所述第一重注冊請求的鑒權(quán)頭域中添加認證挑戰(zhàn)標識從而生成第二重注冊請求。

步驟403，pcscf將所述第二重注冊請求發(fā)送至核心網(wǎng)。

步驟404，核心網(wǎng)指示所述pcscf對所述ue發(fā)起認證挑戰(zhàn)。

步驟405，pcscf在向所述ue發(fā)認證挑戰(zhàn)的過程中，確定第一安全策略作為用于保護sip信令傳輸過程安全性的指定安全策略。

步驟406，pcscf向所述ue指示所述第一安全策略。

步驟407，ue按第一安全策略的要求對sip信令進行加密生成密文形式的sip信令。

步驟408，ue將密文形式的sip信令進行發(fā)至pcscf。

采用本實施例所提供的方法，可以在ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)時，對sip信令進行加密，從而可以保證sip信令傳輸過程中的安全性。

參見圖5，為本申請安全策略確定裝置一個實施例的結(jié)構(gòu)示意圖。該裝置可以設(shè)置在無線通信系統(tǒng)中的用于實現(xiàn)pcscf的網(wǎng)元上，也可以是無線通信系統(tǒng)中的用于實現(xiàn)pcscf的網(wǎng)元本身。

如圖5所示，所述裝置可以包括：接收單元501，確定單元502及指示單元503。

其中，接收單元501，用于接收ue在附著網(wǎng)絡(luò)切換后發(fā)送的重注冊請求；確定單元502，用于根據(jù)ue在附著網(wǎng)絡(luò)切換前后所附著網(wǎng)絡(luò)的類型，確定用于保護所述pcscf與所述ue之間會話初始化協(xié)議sip信令傳輸過程安全性的指定安全策略；指示單元503，用于指示所述ue使用所述指定安全策略保護所述sip信令在傳輸過程中的安全性。

可選的，所述確定單元502，可以用于當(dāng)所述重注冊請求為所述ue從加密網(wǎng)絡(luò)切換附著到未加密網(wǎng)絡(luò)后發(fā)送時，選定第一安全策略作為所述指定安全策略，所述第一安全策略用于指示所述ue對所述sip信令進行加密。其中，所述第一安全策略可以為對所述sip信令進行加密及完整性保護的sip安全性算法套件。所述未加密網(wǎng)絡(luò)可以為lte網(wǎng)絡(luò)，所述已加密為網(wǎng)絡(luò)可以為wifi網(wǎng)絡(luò)。

可選的，所述確定單元502，可以用于當(dāng)所述重注冊請求為所述ue從未加密網(wǎng)絡(luò)切換附著到加密網(wǎng)絡(luò)后發(fā)送時，選定第二安全策略作為所述指定安全策略，所述第二安全策略用于指示所述ue不對所述sip信令進行加密。所述第二安全策略可以為對所述sip信令進行完整性保護的sip安全性算法套件。

本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請實施例中的技術(shù)可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本申請實施例中的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如rom/ram、磁碟、光盤等，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請各個實施例或者實施例的某些部分所述的方法。

本說明書中各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其對于裝置例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

以上所述的本申請實施方式，并不構(gòu)成對本申請保護范圍的限定。任何在本申請的精神和原則之內(nèi)所作的修改、等同替換和改進等，均應(yīng)包含在本申請的保護范圍之內(nèi)。