WO2008134986A1 - A method, system and device for security function negotiation - Google Patents

Description

安全能力协商的方法、 系统及设备 技术领域

本发明涉及通信领域， 尤其是涉及一种安全能力协商的方法、 系 统及设备。 背景技术

请参照图 1所示， 现有的 3GPP (第 3代伙伴工程） 无线网络分 为 3 GPP无线接入网和核心网两部分。

3GPP无线接入网分为 3种：

GERAN ( GSM边缘无线接入网） ： 2G/2.5G 接入网， 如下统 称为 2G接入网， 包括 BTS (基站） 和 BSC (基站控制器） 。

UTRAN (通用无线陆地接入网 )： 3G接入网， 包括 NodeB (节 点 B ) 和 RNC (无线网络控制器） 。

EUTRAN (演进的通用无线陆地接入网 ) ·· 一种未来演进的 LTE (长期演进的无线接入网 )接入网， 包括 eNodeB (演进的节点 B , 以下简称 eNB ) 。

上述三种无线接入网都用来实现和无线业务相关的功能， 同 时实现和终端安全能力的协商。

2G/3G的核心网又分为电路域 CS和分组域 PS。 为了简便起见， 这里省略了电路域 CS的相关实体， 仅保留 PS域。 PS域的作用是事 先与外部分组网络的数据业务交换和路由， 包括 SGSN (服务 GPRS 支持节点） 和 GGSN (网关 GPRS支持节点） 。 SGSN的作用主要是 完成路由转发、 移动性管理、 会话管理、 用户鉴权等， GGSN的作 用主要是负责和外部分组网络连接， 并负责实现用户面数据的传 输。

未来演进的核心网又叫 SAE (系统架构演进）， 包括 MME (移 动管理实体） 、 SAE GW ( SAE网关） /PDN GW (分组域网络网关） /HSS (归属网络用户服务器） 等实体。 MME的作用和 SGSN类似， 主要完成移动性管理、 用户鉴权等功能。 SAE/PDN GW用于充当 不同接入系统间的用户面锚点。 HSS主要用于存储用户签约数据。

在 2G网络中， 执行信令面和用户面安全能力算法协商的是 SGSN。 3G网络中， 执行信令面和用户面安全能力算法协商的是 RNC。 在演进网络 LTE/SAE中， 由于 RNC/SGSN不再存在， 执行 NAS (非接入信令 )算法协商的功能上移到 MME, 而执行 RRC (无 线资源控制） /UP (用户面） 算法协商的功能则下移到 eNB。

当用户从 2G/3G网络（比如 2G/3G ) 切换到 LTE网络时， 或者 从 LTE切换到 2G/3G网络时， 由于执行安全能力协商的实体发生了 变化， 并且这些实体的安全能力不一定一样， 因此需要重新执行 安全能力协商过程。 这里的安全能力协商对于 2G网络来说指加密 算法， 对于 3G网络来说指完整性保护算法和加密算法， 对 LTE网 络来说指 NAS算法（加密算法和完整性保护算法）、 RRC算法（加 密算法和完整性保护算法） 、 UP算法 （加密算法） 。

具体地， 当从 LTE网络切换到 2G/3G网络时：

UE (用户设备）将自身的 GERAN (加密算法 ) /UTRAN安全能 力（加密算法、完整性保护算法）在初始层 3消息中发给 MME; MME 再把 UE 的这些能力发送到 SGSN 。 SGSN 选择相应的 GERAN/UTRAN安全能力算法，通过 MME发给 UE。 当从 LTE切换 到 2G时， 由 SGSN选择安全能力算法。 但当从 LTE切换到 3G时， 才艮据上述 3G网络的描述， 应该由 RNC来选择安全能力算法， 而不 是由 SGSN来选择， 否则会导致对 SGSN引入如下新的需求： 选择安 全能力算法的功能。 并且此时 SGSN必须通过某种方式知道 RNC的 安全能力， 然后把选择的算法发给 RNC, 因此将需要额外增加 SGSN 和 RNC之间的交互。 从 2G/3G切换到 LTE时：

SGSN向 UE查询其 NAS (加密算法、 完整性保护算法） /UP (加 密算法） /RRC (加密算法、 完整性保护算法）安全能力。 从 2G/3G 切换到 LTE时 SGSN把 UE的这些能力发送到 MME。 MME选择所 有的 NAS/RRC/UP安全能力算法， 通过 SGSN发给 UE。

在实现本发明的过程中，发现现有技术中由于 MME将选择所有 的 NAS/RRC/UP安全能力算法，将导致 MME必须通过某种方式（例 如配置或者扩展和 eNB之间的交互消息）知道相应的 eNB的安全能 力， 从而造成配置不灵活、 工作流程复杂的缺点。 发明内容

本发明实施例提供了一种安全能力协商的方法、 系统及设备， 使 得在网络切换时能便捷地进行安全能力协商。

本发明实施例提供一种安全能力协商的方法，应用于移动网络切 换时对安全能力进行协商， 包括以下步骤：

A. 第二网络接收第一网络发送的切换请求；

B. 所述第二网络的接入网实体选择相应的安全能力， 或者所述 第二网络的接入网实体和核心网实体分别选择相应的安全能力； 以及

C. 所述第二网络将选择的安全能力通过所述第一网络发送给用 户设备 UE。

本发明实施例还提供一种安全能力协商系统，应用于移动网络切 换时对安全能力进行协商， 包括： 第一网络的接入网实体和核心网实 体、 第二网络的接入网实体和核心网实体，

所述第二网络的接入网实体用于当第一网络请求切换到第二网 络时， 选择相应的安全能力；

所述第二网络的核心网实体用于当第一网络请求切换到第二网 络时， 与所述第二网络的接入网实体分别选择相应的安全能力； 所述第一网络的核心网实体和接入网实体用于将所述第二网络 选择的安全能力发送给用户设备 UE。

本发明实施例还提供一种网络， 包括：

接入网实体， 用于接收对端网络发送的切换请求；

核心网实体， 用于当对端网络请求切换到本网络时， 与所述本网 络的接入网实体分别选择相应的安全能力，并将所述选择的安全能力 通过所述对端网络发送给用户设备。

本发明实施例具有以下有益的效果：从 2G/3G切换到 LTE网络 时， MME和 eNB分别完成 NAS安全算法、 RRC/UP安全算法的 协商， 从而避免了 MME必须通过某种方式（例如配置或者扩展和 eNB之间的交互消息）知道相应的 eNB的安全能力的缺点；而从 LTE 网络切换到 3G网络时， 避免了对 SGSN引入新的需求的缺点， 也 不需要额外增加 SGSN和 RNC之间的交互。 附图说明

图 1是现有 3GPP无线网络结构图。

图 2是本发明实施例一从 2G/3G网络切换到 LTE网络时安全能 力协商的方法的流程图。

图 3是本发明实施例二从 LTE网络切换到 3G网络时安全能力协 商的流程图。

图 4是本发明实施例三安全能力协商的系统的结构示意图。 具体实施方式

以下结合附图对本发明实施例进行详细描述。

请参照图 2所示，本发明实施例一安全能力协商的方法包括以下 步骤：

本实施例中， 网络从 2G/3G切换到 LTE。 首先 4叚设目前 UE通过 2G/3G接入网 （2G/3G Access )访问业务。

步骤 201 , 2G/3G接入网决定发起切换。

步骤 202 , 2G/3G接入网向 SGSN发起切换请求消息。

步骤 203 , SGSN向 MME发起切换准备请求消息，其中携带 UE 支持的各种安全能力集， 包括 NAS算法（加密算法、 完整性保护算 法）、 RRC算法（加密算法、完整性保护算法）、 UP算法（加密算法）。

这里的 SGSN获取 UE支持的各种安全能力集的方法有： a. SGSN可以通过直接请求 UE发送其支持的安全能力集； b. 2G/3G接入网实体（BSS或者 RNC ) 决定发起切换后， 先请 求 UE得到其支持的安全能力集后， 再通过步骤 202发给 SGSN。

步骤 204 , MME根据 UE支持的 NAS算法（加密算法、 完整性 保护算法 ) ,以及系统允许的 NAS算法（加密算法、完整性保护算法 ), 并结合自身支持的 NAS算法（加密算法、 完整性保护算法）， 来选择 NAS算法（加密算法、 完整性保护算法）。

应当理解， 由于 UE支持的 NAS算法 （加密算法、 完整性保护 算法）、 系统允许的 NAS算法（加密算法、 完整性保护算法）、 MME 自身支持的 NAS算法（加密算法、 完整性保护算法） 均有多种， 因 此此处的选择具体是指从前述这三类 NAS算法 （加密算法、 完整性 保护算法） 中选择共同支持的 NAS算法（加密算法、 完整性保护算 法）。

步骤 205 , MME向 eNB发送切换准备请求消息， 其中携带 UE 支持的 RRC算法（加密性算法、 完整性保护算法）、 UP算法（加密 算法）； 还可能携带系统允许的 RRC算法（加密算法、 完整性保护算 法）、 UP算法（加密算法）。

步骤 206 , eNB和 MME之间的承载资源建立， 包括无线资源建 立过程。

步骤 207 , eNB根据 UE支持的 RRC算法（加密算法、 完整性 保护算法）、 UP算法（加密算法）， 并结合自身支持的 RRC安全能力 集（加密算法、 完整性保护算法）、 UP安全能力集（加密算法）， 来 选择 RRC算法（加密算法、完整性保护算法）、 UP算法（加密算法）。

应当理解， 由于 UE支持的 RRC算法 （加密算法、 完整性保护 算法）、 UP算法（加密算法）， 系统允许的 RRC算法（加密算法、 完 整性保护算法）、 UP算法（加密算法）， eNB自身支持的 RRC算法（加 密算法、 完整性保护算法）、 UP算法（加密算法）均有多种， 因此此 处的选择具体是指从前述这二类 RRC算法（加密算法、 完整性保护 算法）、 UP算法（加密算法） 中选择共同支持的 RRC算法（加密算 法、 完整性保护算法）、 UP算法 （加密算法）。

如果步骤 205 中 MME向 eNB发送切换准备请求消息里还携带 了系统允许的 RRC算法（加密算法、完整性保护算法）、 UP算法（加 密算法 ), 则此时 eNB还将结合该系统允许的 RRC算法（加密算法、 完整性保护算法）、 UP算法（加密算法）来选择 RRC算法（加密算 法、 完整性保护算法）、 UP算法 （加密算法）。

步骤 208 , eNB给 MME发送切换准备确认消息， 其中携带选择 的 RRC算法（加密算法、 完整性保护算法）、 UP算法（加密算法）。

步骤 209 , MME给 SGSN发送切换准备确认消息， 其中携带选 择的 NAS算法（加密算法、 完整性保护算法）、 RRC算法（加密性 算法、 完整性保护算法）、 UP算法（加密算法）。

步骤 210-211 , SGSN通过 2G/3G接入网给 UE发送切换命令消 息， 指示其切换到目标网络。 其中携带选择的 NAS算法（加密算法、 完整性保护算法）、 RRC算法（加密算法、 完整性保护算法）、 UP算 法（加密算法）。

步骤 212 , 继续后续切换过程。

从而完成了 UE和网络设备 ( eNB/MME )之间的安全能力协商 过程。 上述步骤 204还可以在步骤 205到步骤 209之间的任一步进行。 步骤 207也可以在步骤 206之前进行。

本实施例中，当从 2G/3G切换到 LTE网络时，由于 UE与 MME 之间通过 NAS算法保护， UE与 eNB之间通过 RRC/UP算法保护， 釆用 MME和 eNB分别完成 NAS安全算法、 RRC/UP安全算法的 协商， 从而避免了现有技术方案中 MME必须通过某种方式（例如 配置或者扩展和 eNB之间的交互消息 )知道相应的 eNB的安全能力 的缺点。

请参照图 3所示，本发明实施例二安全能力协商的方法包括以下 步骤：

本实施例中 ,网络从 LTE切换到 3G。首先 4叚设目前 UE通过 LTE 接入网 （eNB )访问业务。

步骤 301 , eNB决定发起切换。

步骤 302 , eNB向 MME发起切换请求消息。

步骤 303 , MME向 SGSN发起切换准备请求消息，其中携带 UE 支持的 3G安全能力集， 包括加密算法、 完整性保护算法。

这里的 MME获取 UE支持的 3G安全能力集的方法有： a. UE在切换之前初始层 3消息中已经携带其支持的 3G安全能 力集发送给 MME;

b. MME直接请求 UE发送其支持的 3G安全能力集；

c eNB决定发起切换后， 先请求 UE得到其支持的 3G安全能力 集后， 再通过步骤 302发送给 MME。

步骤 304 , SGSN向 3G接入网 （ RNC )发送切换准备请求消息， 其中携带 UE支持的 3G安全能力集， 包括加密算法、 完整性保护算 法， 还可能携带系统允许的 3G安全能力集。

步骤 305 , 3G接入网 （RNC )和 SGSN之间的承载资源建立， 包括无线资源建立过程。 步骤 306, 3G接入网 （RNC )根据 UE支持的 3G安全能力集， 并结合本身支持的 3G安全能力集， 来选择 3G安全能力集。

应当理解， 由于 UE支持的 3G安全能力集， 3G接入网 （RNC ) 自身支持的 3G安全能力集均有多种， 因此此处的选择具体是指从前 述这二类 3G安全能力集中选择共同支持的 3G安全能力集（加密算 法、 完整性保护算法）。

如果步骤 304中 SGSN向 3G接入网 （ RNC )发送的切换准备请 求消息里还携带了系统允许的 3G安全能力集， 则此时 3G接入网 ( RNC )还将结合该系统允许的 3G安全能力集来选择 3G安全能力 步骤 307 , 3G接入网 （RNC )给 SGSN发送切换准备确认消息， 其中携带选择的 3G安全能力集。

步骤 308, SGSN给 MME发送切换准备确认消息， 其中携带选 择的 3G安全能力集。

步骤 309-310, MME通过 eNB给 UE发送切换命令消息， 指示 其切换到目标网络。 其中携带选择的 3G安全能力集。

步骤 311、 继续后续切换过程。

从而完成了 UE和网络设备 ( RNC )之间的安全能力协商过程。 步骤 306也可以在步骤 305之前进行。

本实施例可以避免从 LTE切换到 3 G网络时会对 SGSN引入新 的需求的缺点。

请再参照图 4所示，本发明实施例三提供一种安全能力协商系统， 应用于移动网络切换时对安全能力进行协商， 包括： 第一网络的接入 网实体 401和核心网实体 402、 第二网络的接入网实体 403和核心网实 体 404,所述第二网络的接入网实体 403用于当第一网络请求切换到第 二网络时， 选择相应的安全能力； 所述第二网络的核心网实体 404用 于当第一网络请求切换到第二网络时，与所述第二网络的接入网实体 403分别选择相应的安全能力；所述第一网络的核心网实体 402和接入 网实体 401用于将所述第二网络选择的安全能力发送给用户设备 UE405。

本实施例提供了一种网络， 包括： 接入网实体， 用于接收对端 网络发送的切换请求； 核心网实体， 用于当对端网络请求切换到本网 络时， 与所述本网络的接入网实体分别选择相应的安全能力， 并将所 述选择的安全能力通过所述对端网络发送给用户设备。

当从 2G/3G网络切换到 LTE网络时，第一网络是 2G或 3G网络， 2G 网络的接入网实体包括基站 BTS和基站控制器 BSC, 3G网络的接入网 实体包括节点 NodeB和无线网络控制器 RNC; 2G或 3G网络的核心网 实体包括服务 GPRS支持节点 SGSN;第二网络是长期演进的无线接入 网络 LTE,其接入网实体是演进的节点 eNodeB,核心网实体是移动管 理实体 MME。安全能力包括非接入信令 NAS完整性保护和加密算法、 无线资源控制 RRC完整性保护和加密算法、用户面 UP加密算法。 MME 用于选择 NAS完整性保护和加密算法， eNodeB用于选择 RRC完整性 保护和加密算法、 UP加密算法。 其工作原理及过程如图 2所示， 此不 赘述。 由于釆用 MME和 eNB分别完成 NAS安全算法、 RRC/UP安全 算法的协商， 从而避免了现有技术方案中 MME必须通过某种方式 (例如配置或者扩展和 eNB之间的交互消息）知道相应的 eNB的安全 能力的缺点。

当从 LTE 网络切换到 3G 网络时， 第一网络的接入网实体是 eNodeB, 第一网络的核心网实体是移动管理实体 MME, 第二网络的 接入网实体是 RNC, 第二网络的核心网实体是服务 GPRS支持节点 SGSN。 安全能力包括 3G安全能力集， 3G安全能力集进一步包括加 密算法、完整性保护算法。其工作原理及过程如图 2所示，此不赘述。 RNC用于选择 3G安全能力集， 避免了从 LTE切换到 3G网络时会 对 SGSN引入新的需求的缺点， 也不需要额外增加 SGSN和 RNC 之间的交互。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解 到本发明可以通过硬件实现，也可以可借助软件加必要的通用硬件平 台的方式来实现基于这样的理解，本发明的技术方案可以以软件产品 的形式体现出来， 该软件产品可以存储在一个非易失性存储介质（可 以是 CD-ROM, U盘， 移动硬盘等） 中， 包括若干指令用以使得一 台通讯设备（可以是个人计算机， 服务器， 或者网络设备等）执行本 发明各个实施例所述的方法。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护 范围。 凡在本发明的精神和原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权利要求

1、 一种安全能力协商的方法， 应用于移动网络切换时对安全能 力进行协商， 其特征在于， 所述方法包括以下步骤：

A. 第二网络接收第一网络发送的切换请求；

B. 所述第二网络的接入网实体选择相应的安全能力， 或者所述 第二网络的接入网实体和核心网实体分别选择相应的安全能力； 以及

C. 所述第二网络将选择的安全能力通过所述第一网络发送给用 户设备 UE。

2、 根据权利要求 1所述的方法， 其特征在于： 所述步骤 A进一步 包括：

A1. 所述第一网络的接入网实体向第一网络的核心网实体发送 切换请求消息； 以及

A2. 所述第一网络的核心网实体向所述第二网络的核心网实体 发送切换准备请求消息 , 携带 UE支持的安全能力集。

3、 根据权利要求 2所述的方法， 其特征在于： 所述步骤 A2之前， 所述第一网络的核心网实体通过以下方式之一获取 UE支持的安全能 力集： 所述第一网络的核心网实体直接请求 UE发送其支持的安全能 力集； 或者由所述第一网络的接入网实体决定发起切换后先请求 UE 得到其支持的安全能力集， 再通过所述步骤 A1在切换请求消息中发 送给所述第一网络的核心网实体。

4、根据权利要求 1所述的方法， 其特征在于： 所述第一网络是 2G 或 3G网络， 所述 2G网络的接入网实体包括基站 BTS和基站控制器 BSC, 所述 3G网络的接入网实体包括节点 NodeB和无线网络控制器 RNC;所述 2G或 3G网络的核心网实体包括服务 GPRS支持节点 SGSN; 所述第二网络是长期演进的无线接入网络 LTE, 其接入网实体是演进 的节点 eNodeB , 核心网实体是移动管理实体 MME; 所述步骤 B中由 所述 eNodeB和 MME分别选择相应的安全能力。

5、 根据权利要求 4所述的方法， 其特征在于： 所述步骤 B具体 包括：

B 1. 所述 MME向所述 eNodeB发送切换准备请求消息，携带 UE 支持的无线资源控制 RRC完整性保护和加密算法、 用户面 UP加密 算法； 以及

B2. 所述 eNodeB根据 UE支持的无线资源控制 RRC完整性保护 和加密算法、 用户面 UP加密算法， 并结合自身支持的 RRC完整性 保护和加密算法、 UP加密算法， 来选择共同支持的 RRC完整性保护 和加密算法、 up加密算法。

6、 根据权利要求 5所述的方法， 其特征在于： 所述步骤 B具体 还包括：

所述步骤 B1 中所述 MME还向所述 eNodeB发送系统允许的 RRC 完整性保护和加密算法、 UP加密算法， 所述步骤 B2 中所述 eNodeB还将结合所述系统允许的 RRC完整性保护和加密算法、 UP 加密算法来选择共同支持的 RRC完整性保护和加密算法、 UP加密算 法。

7、 根据权利要求 5所述的方法， 其特征在于： 所述步骤 B具体 还包括： 所述 MME根据 UE支持的非接入信令 NAS完整性保护和 加密算法， 以及系统允许的 NAS完整性保护和加密算法， 并结合自 身支持的 NAS完整性保护和加密算法，来选择共同支持的 NAS完整 性保护和加密算法。

8、 根据权利要求 5所述的方法， 其特征在于： 所述步骤 C进一 步包括：

C1. 所述 eNodeB向所述 MME发送切换准备确认消息， 携带选 择的 RRC完整性保护和加密算法、 UP加密算法；

C2. 所述 MME向所述 SGSN发送切换准备确认消息，携带选择 的 NAS 完整性保护和加密算法、 RRC 完整性保护和加密算法、 UP 加密算法； 以及

C3. 所述 SGSN通过所述 2G/3G接入网向 UE发送切换命令，指 示其切换到所述 LTE网络， 所述切换命令携带所述选择的 NAS完整 性保护和加密算法、 RRC完整性保护和加密算法、 UP加密算法。

9、根据权利要求 8所述的方法， 其特征在于： 所述步骤 C2中所 述 MME向所述 SGSN发送切换准备确认消息之前， 所述 MME根据 UE支持的非接入信令 NAS完整性保护和加密算法，以及系统允许的 NAS完整性保护和加密算法， 并结合自身支持的 NAS完整性保护和 加密算法， 来选择共同支持的 NAS完整性保护和加密算法。

10、 根据权利要求 1所述的方法， 其特征在于： 所述第一网络是 LTE网络， 其接入网实体是 eNodeB, 核心网实体是 MME; 所述第二 网络是 3G网络， 其接入网实体是 RNC, 核心网实体是 SGSN; 所述 步骤 B中由所述 RNC选择相应的安全能力。

11、 根据权利要求 3所述的方法， 其特征在于： 所述第一网络的 核心网实体还可在初始层 3消息中获取所述消息携带的 UE所支持的 3G安全能力集。

12、 根据权利要求 10所述的方法， 其特征在于： 所述步骤 B具体 包括：

所述 SGSN向所述 RNC发送切换准备请求消息， 携带 UE支持 的 3G安全能力以及系统允许的 3G能力，所述 3G安全能力集均包括 加密算法、 完整性保护算法； 以及

所述 RNC根据 UE支持的 3G安全能力集， 以及系统允许的 3G 安全能力，并结合本身支持的 3G安全能力集，来选择共同支持的 3G 安全能力集。

13、 根据权利要求 12所述的方法， 其特征在于： 所述步骤 C具 体包括：

C1'. 所述 RNC向所述 SGSN发送切换准备确认消息，携带选择 C2'. 所述 SGSN向所述 MME发送切换准备确认消息， 携带所 述选择的 3G安全能力集； 以及

C3'. 所述 MME通过所述 eNodeB向 UE发送切换命令， 指示其切 换到所述 3 G网络， 所述切换命令携带所述选择的 3 G安全能力集。

14、 一种安全能力协商系统， 应用于移动网络切换时对安全能力 进行协商， 包括： 第一网络的接入网实体和核心网实体、 第二网络的 接入网实体和核心网实体， 其特征在于：

所述第二网络的接入网实体用于当第一网络请求切换到第二网 络时， 选择相应的安全能力；

所述第二网络的核心网实体用于当第一网络请求切换到第二网 络时， 与所述第二网络的接入网实体分别选择相应的安全能力；

所述第一网络的核心网实体和接入网实体用于将所述第二网络 选择的安全能力发送给用户设备 UE。

15、 根据权利要求 14所述的系统， 其特征在于： 所述第一网络是 2G或 3G网络， 所述第二网络是长期演进的无线接入网络 LTE, 其接 入网实体是演进的节点 eNodeB, 核心网实体是移动管理实体 MME; 所述安全能力包括非接入信令 NAS完整性保护和加密算法、无线资源 控制 RRC完整性保护和加密算法、 用户面 UP加密算法； 所述 MME用 于选择所述 NAS完整性保护和加密算法， 所述 eNodeB用于选择所述 RRC完整性保护和加密算法、 UP加密算法。

16、 根据权利要求 14所述的系统， 其特征在于： 所述第一网络 为 LTE,其接入网实体是 eNodeB,核心网实体是移动管理实体 MME; 所述第二网络为 3G,其接入网实体是 RNC,核心网实体是服务 GPRS 支持节点 SGSN; 所述安全能力包括 3G安全能力集， 所述 3G安全 能力集进一步包括加密算法、 完整性保护算法； 所述 RNC用于选择

17、 一种网络， 其特征在于， 包括：

接入网实体， 用于接收对端网络发送的切换请求；

核心网实体， 用于当对端网络请求切换到本网络时， 与所述本网 络的接入网实体分别选择相应的安全能力，并将所述选择的安全能力 通过所述对端网络发送给用户设备。