安全策略确定方法及装置制造方法及图纸

本申请实施例公开了安全策略确定方法及装置。所述方法包括：PCSCF接收用户设备UE在附着网络切换后发送的重注册请求；所述PCSCF根据UE在附着网络切换前后所附着网络的类型，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略；所述PCSCF指示所述UE使用所述指定安全策略保护所述SIP信令在传输过程中的安全性。采用申请所提供的方法及装置，可以在UE的附着网络切换后，重新确定用于保护SIP信令传输过程安全性的安全策略，从而既可以保证SIP信令传输的安全性，又可以避免对SIP信令进行重复加密，从而减轻PCSCF不必要的性能开销。

【技术实现步骤摘要】
安全策略确定方法及装置
本申请涉及移动通信领域，尤其涉及安全策略确定方法及装置。
技术介绍
随着长期演进(LongTermEvolution，VoLTE)技术的不断发展，越来越多的UE(UserEquipment，UE)在支持LTE语音通话(VoiceoverLTE)功能之外，开始支持无线保真语音通话(VoiceoverWiFi，VoWiFi)功能。具有VoWiFi功能UE既可以采用运营商所提供的互联网协议多媒体系统(InternetProtocolMultimediaSubsystem，IMS)注册到VoLTE网络，以通过VoLTE网络实现LTE语音通话，也可以通过所述IMS注册到VoWiFi网络，以通过VoWiFi网络实现WiFi语音通话。为保证无线通信过程的安全性，避免用户信息泄露或被篡改。在语音通话过程中，需要对UE与代理呼叫会话控制功能(Proxy-CallSessionControlFuntion，PCSCF)之间的会话初始化协议(SessionInitiationProtocol，SIP)信令进行保护。其中，对SIP信令进步保护包括对SIP信令进行加密以及对SIP信令进行完整性保护。根据UE接入的网络不同，SIP信令进行保护的具体方式的方式也不相同。当UE接入VoLTE网络时，UE需要直接将SIP信令发送给PCSCF。在此情况下，为实现对SIP进行保护，PCSCF会在UE初始注册到核心网时，在UE所发送的注册请求中添加认证挑战标识，其中，所述核心网可以包括服务呼叫会话控制功能(Serving-CallSessionControlFuntion，SCSCF)及查询呼叫会话控制功能(Interrogating-CallSessionControlFuntion，ICSCF)。核心网接收包含认证挑战标识的注册请求后，指示PCSCF对该UE发起认证挑战。PCSCF在对UE发起认证挑战的过程中为该UE分配安全策略。UE则根据PCSCF所分配的安全策略对SIP信令进行加密及完整性保护。当UE重注册核心网时，可以继续使用所述安全策略对SIP信令进行加密及完整性包含。当UE接入VoWiFi网络时，UE发送给PCSCF的SIP信令会经由演进型分组数据网关(evolvedPacketDataGateway，ePDG)转发，由于UE与EPDG之间采用隧道传输，而EPDG与PCSCF之间采用明文传输。因此，UE需要根据隧道传输的要求对SIP信令进行加密，并将加密后的SIP信令发送给EPDG。EPDG接收到经过加密的SIP信令后，对SIP信令进行解密，并以明文形式将SIP信令发送给PCSCF。在此过程中PCSCF并不需要为UE分配安全策略。由于VoWiFi网络覆盖范围通常比较有限，而VoLTE网络的无线资源比较有限，为保证通信质量并确保语音通话不中断，UE所附着的网络需要在VoWiFi网络和VoLTE网络之间切换。当UE所附着的网络由LTE切换附着到VoWiFi网络时，那么UE既会根据初始注册到核心网时PCSCF为该UE分配安全策略对SIP信令进行加密，又会根据与EPDG之间进行隧道传输的要求对SIP信令进行加密，从而导致UE会对SIP信令进行重复加密。UE对SIP信令进行重复加密，不但造成会增加UE的耗电量，而且会导致PCSCF不必要的性能开销。
技术实现思路
本申请实施例提供了安全策略确定方法及装置，以减轻PCSCF不必要的性能开销。第一方面，本申请实施例提供了一种安全策略确定方法，该方法包括：代理呼叫会话控制功能PCSCF接收用户设备UE在附着网络切换后发送的重注册请求；所述PCSCF根据UE在附着网络切换前后所附着网络的类型，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略；所述PCSCF指示所述UE使用所述指定安全策略保护所述SIP信令在传输过程中的安全性。采用本方面所提供的方法，PCSCF可以在UE的附着网络切换后，根据UE所附着的网络，重新确定用于保护SIP信令传输过程安全性的安全策略；从而既可以保证SIP信令传输的安全性，又可以避免对SIP信令进行重复加密，减轻PCSCF不必要的性能开销。结合第一方面，在第一方面第一种可能的实现方式中，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述UE从加密网络切换附着到未加密网络后发送时，所述PCSCF选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述UE对所述SIP信令进行加密。采用本实现方式，可以在所述UE从加密网络切换附着的未加密网络后，才对SIP信令进行加密，从而保证SIP信令传输过程的安全性。结合第一方面，在第一方面第二种可能的实现方式中，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述UE从未加密网络切换附着到加密网络后发送时，所述PCSCF选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述UE不对所述SIP信令进行加密。采用本实现方式，可以在所述UE从未加密网络切换附着到加密网络后，使的UE可以只对SIP信令进行一次加密，从而避免UE对SIP信令进行二次加密，减轻PCSCF不必要的性能开销。结合第一方面第一种可能的实现方式，在第一方面第三种可能的实现方式中，所述第一安全策略为对所述SIP信令进行加密及完整性保护的SIP安全性算法套件。结合第一方面第二种可能的实现方式，在第一方面第四种可能的实现方式中，所述第二安全策略为对所述SIP信令进行完整性保护的SIP安全性算法套件。结合第一方面第一至四种可能的实现方式其中任意一种，在第一方面第五种可能的实现方式中，所述未加密网络为长期演进LTE网络，所述已加密为网络为无线保真WiFi网络。第二方面，本申请实施例还提供了一种安全策略确定装置，该装置包括：接收单元，用于接收用户设备UE在附着网络切换后发送的重注册请求；确定单元，用于根据UE在附着网络切换前后所附着网络的类型，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略；指示单元，用于指示所述UE使用所述指定安全策略保护所述SIP信令在传输过程中的安全性。结合第二方面，在第二方面第一种可能的实现方式中，所述确定单元，具体用于当所述重注册请求为所述UE从加密网络切换附着到未加密网络后发送时，选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述UE对所述SIP信令进行加密。结合第二方面，在第二方面第二种可能的实现方式中，所述确定单元，具体用于当所述重注册请求为所述UE从未加密网络切换附着到加密网络后发送时，选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述UE不对所述SIP信令进行加密。结合第二方面第一或二种可能的实现方式其中任意一种，在第二方面第三种可能的实现方式中，所述未加密网络为长期演进LTE网络，所述已加密为网络为无线保真WiFi网络。第三方面，本申请还提供了一种网络设备及一种网元，该网络设备及网元可以用于实现PCSCF的全部或部分功能，并接收用户本文档来自技高网...

【技术保护点】
一种安全策略确定方法，其特征在于，包括：代理呼叫会话控制功能PCSCF接收用户设备UE在附着网络切换后发送的重注册请求；所述PCSCF根据UE在附着网络切换前后所附着网络的类型，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略；所述PCSCF指示所述UE使用所述指定安全策略保护所述SIP信令在传输过程中的安全性。

【技术特征摘要】
1.一种安全策略确定方法，其特征在于，包括：代理呼叫会话控制功能PCSCF接收用户设备UE在附着网络切换后发送的重注册请求；所述PCSCF根据UE在附着网络切换前后所附着网络的类型，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略；所述PCSCF指示所述UE使用所述指定安全策略保护所述SIP信令在传输过程中的安全性。2.如权利要求1所述的方法，其特征在于，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述UE从加密网络切换附着到未加密网络后发送时，所述PCSCF选定第一安全策略作为所述指定安全策略，所述第一安全策略用于指示所述UE对所述SIP信令进行加密。3.如权利要求1所述的方法，其特征在于，确定用于保护所述PCSCF与所述UE之间会话初始化协议SIP信令传输过程安全性的指定安全策略包括：当所述重注册请求为所述UE从未加密网络切换附着到加密网络后发送时，所述PCSCF选定第二安全策略作为所述指定安全策略，所述第二安全策略用于指示所述UE不对所述SIP信令进行加密。4.如权利要求2所述的方法，其特征在于，所述第一安全策略为对所述SIP信令进行加密及完整性保护的SIP安全性算法套件。5.如权利要求3所述的方法，其特征在于，所述第二安全策略为对所述SIP信令进...

【专利技术属性】
技术研发人员：张晋，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44