WO2013127190A1

WO2013127190A1 - 一种nas算法的传输方法及装置

Info

Publication number: WO2013127190A1
Application number: PCT/CN2012/084314
Authority: WO
Inventors: 吴鹏程
Original assignee: Datang Mobile Communications Equipment Co Ltd
Current assignee: Datang Mobile Communications Equipment Co Ltd
Priority date: 2012-02-29
Filing date: 2012-11-08
Publication date: 2013-09-06
Anticipated expiration: 2014-08-29
Also published as: CN102595369A; EP2822309A4; US20150118997A1; EP2822309A1; US9220009B2; EP2822309B1; CN102595369B

Description

一种 NAS算法的传输方法及装置本申请要求在 2012年 2月 29日提交中国专利局、申请号为 201210050881.9、发明名称为"一种 NAS算法的传输方法及装置"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，尤其涉及一种 NAS算法的传输方法及装置。

背景技术

在长期演进 ( Long Term Evolution, LTE )网络内，移动性管理实体 ( Mobility Management Entity, MME )和用户设备 ( User Equipment, UE )之间的非接入层（Non-Access Stratum, NAS ) 消息传输是被完整性保护和安全保护的。 MME可以根据 UE上报的网络能力和 MME 配置的安全算法能力以及优先级来决定使用哪种安全算法。

现有在 MME上配置算法能力和优先级的方法，在配置数据固定的情况下不能轻易地对算法集合以及优先级做出改变。另外，在目前使用的算法中，包括演进的分组系统（Evolved Packet System, EPS )加密算法 0~EPS加密算法 7 ( EE AO-EE A7; EPS Encryption Algorithm, EEA ) 以及 EPS 完整性保护算法 0~EPS 完整性保护算法 7 ( EIA0-EIA7; EPS Integrity Algorithm, EIA ), 每一种算法的安全保护程度以及运行效率都是不一样的，现有配置 NAS 层算法列表的方法无法满足用户对 NAS安全算法多样性的需要。

现在 LTE网络中， MME选择加密保护算法和完整性保护算法主要依据 UE上报的 UE安全能力（ UE Security Capability )和 MME上配置的算法集合以及优先级。

在 3GPP TS 33.401 V9.4.0协议 7.2.4.3章节中， MME需要能够通过配置算法列表配置加密保护算法列表和完整性保护算法列表。在建立 NAS安全上下文的时候， MME根据算法集合选择出优先级排列最高的 NAS安全算法。并通过发起安全模式控制过程，将选择的算法以及 UE支持的安全能力通过安全模式命令 ( Security Mode Command ) 消息发送给 UE。

也就是说 , MME选择算法是根据 UE的安全能力以及网络侧配置的 NAS安全算法集以及算法的优先级来决定的。

UE侧的安全能力是根据 UE本身所支持的算法，可以根据 UE自身的安全能力决定。而网络侧配置的 NAS安全算法集以及算法的优先级通过在 MME上预先配置的方法实现。如果多个 UE上报的安全能力一样， MME选择出的算法必然是一样，不能体现出用户之间的差异性和多样性。

另外，加密保护算法 EEA0 EEA7以及完整性保护算法 EIA0 EIA7之间，每种算法的安全保护程度以及运行效率也都是不同的。对不同的用户来说，效率和安全程度的要求是不一样的。综上所述，现有技术在网络侧配置 NAS安全算法列表的方法使得运营商无法灵活地针对具体用户来灵活改变 NAS层使用的安全算法。

发明内容

本发明实施例提供了一种 NAS算法的传输方法及装置，用以实现由归属签约用户服务器 ( Home Subscriber Server, HSS )确定 NAS算法并下发该 NAS算法给 MME的过程，使得运营商可以根据业务运营支撑系统（ Business Operating Support System, BOSS )端对 HSS的签约信息进行修改，针对不同资盾的用户对 NAS算法进行灵活配置。

本发明实施例提供的一种 NAS算法的通知方法包括：

归属签约用户服务器 HSS确定 NAS算法列表，其中包括 NAS加密保护算法列表和 NAS 完整性保护算法列表；

HSS将所述 NAS算法列表发送给移动性管理实体 MME。

本发明实施例提供的一种 NAS算法的获取方法包括：

移动性管理实体 MME接收归属签约用户服务器 HSS发送的携带有 NAS算法列表的消息，所述 NAS算法列表中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

MME从所述消息中获取 NAS算法列表。

本发明实施例提供的一种 NAS算法的通知装置包括：

NAS算法列表确定单元，用于确定 NAS算法列表，其中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

通知单元，用于将所述 NAS算法列表发送给移动性管理实体 MME。

本发明实施例提供的一种 NAS算法的获取装置包括：

消息接收单元，用于接收归属签约用户服务器 HSS发送的携带有 NAS算法列表的消息，所述 NAS算法列表中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

获取单元，用于从所述消息中获取 NAS算法列表。

本发明实施例中，归属签约用户服务器 HSS确定 NAS算法列表，其中包括 NAS加密保护算法列表和 NAS完整性保护算法列表； HSS将所述 NAS算法列表发送给移动性管理实体 MME, 从而实现了由 HSS来配置 NAS算法列表的策略，运营商可以通过 BOSS系统来修改 HSS中的用户签约数据，使得 NAS安全算法和服务盾量（Quality of Service, QoS )等用户信息进行关联，针对不同用户的需求，可以选择不同特点的算法对 NAS消息进行安全保护。附图说明

图 1为本发明实施例提供的一种 NAS算法的通知方法的流程示意图；

图 2为本发明实施例提供的一种 NAS算法的获取方法的流程示意图；

图 3为本发明实施例提供的鉴权信息获取过程示意图；

图 4为本发明实施例提供的插入签约数据过程示意图；图 5为本发明实施例提供的插入签约数据成功过程示意图；

图 6为本发明实施例提供的插入签约数据失败过程示意图；

图 7为本发明实施例提供的一种 NAS算法的通知装置的结构示意图；

图 8为本发明实施例提供的一种 NAS算法的获取装置的结构示意图。

具体实施方式

本发明实施例提供了一种 NAS算法的传输方法及装置，用以实现由 HSS确定 NAS算法并下发该 NAS算法给 MME的过程，使得运营商可以根据 BOSS端对 HSS的签约信息进行修改，针对不同资盾的用户对 NAS算法进行灵活配置。

本发明实施例将 NAS层算法列表由 MME配置改变为由 HSS下发。运营商可以根据业务运营支撑系统（ Business Operating Support System, BOSS )端对 HSS的签约信息进行修改，针对不同资盾的用户对算法列表进行灵活配置。

参见图 1 , 本发明实施例提供的一种 NAS算法的通知方法，包括：

5101、 HSS确定 NAS算法列表，其中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

5102、 HSS将 NAS算法列表发送给 MME。

较佳地， HSS将 NAS算法列表发送给 MME, 包括：

HSS通过鉴权信息获取过程或者插入签约数据过程，将 NAS算法列表传递给 MME。较佳地， HSS通过鉴权信息获取过程将 NAS算法列表传递给 MME, 包括：

HSS接收 MME发送的筌权信息请求（ Authentication Information Request ) 消息； HSS将鉴权信息响应（ Authentication Information Answer ) 消息发送给 MME, 其中携带 NAS算法列表。

较佳地， HSS通过插入签约数据过程，将 NAS算法列表传递给 MME, 包括：当签约数据更新时， HSS向 MME发送插入签约数据请求（ Insert Subscriber Data Request ) 消息，其中携带 NAS算法列表。

较佳地， NAS算法列表中的算法，按照预设优先级从高到低的顺序排列。

相应地，参见图 2, 本发明实施例提供的一种 NAS算法的获取方法，包括：

5201、 MME接收 HSS发送的携带有 NAS算法列表的消息，该 NAS算法列表中包括 NAS 加密保护算法列表和 NAS完整性保护算法列表；

5202、 MME从该消息中获取 NAS算法列表。

较佳地， MME通过鉴权信息获取过程或者插入签约数据过程，接收 HSS发送的携带有 NAS算法列表的消息。

较佳地， MME通过鉴权信息获取过程接收 HSS发送的携带有 NAS算法列表的消息，包括： MME向 HSS发送筌权信息请求（ Authentication Information Request ) 消息；

MME接收 HSS发送的筌权信息响应（ Authentication Information Answer )消息，其中携带 NAS算法列表。

较佳地， MME通过插入签约数据过程 , 接收 HSS发送的携带有 NAS算法列表的消息，包括：

当签约数据更新时， MME接收 HSS 发送的插入签约数据请求（Insert Subscriber Data Request ) 消息，其中携带 NAS算法列表。

较佳地， MME获取 NAS算法列表后，该方法还包括：

MME从 NAS算法列表中选择 NAS算法，并将选择的 NAS算法通知给 UE。

较佳地， MME从 NAS算法列表中选择 NAS算法，将选择的 NAS算法通知给 UE, 包括：

MME确定自身支持的 NAS加密保护算法集合 A1和 NAS完整性保护算法集合 A2; MME确定 UE支持的 NAS加密保护算法集合 B1和 NAS完整性保护算法集合 B2; MME确定 NAS算法列表中的 NAS加密保护算法集合 C1和 NAS完整性保护算法集合

C2;

MME确定集合 Al、 B1和 C1的交集 D1 , 以及 A2、 B2和 C2的交集 D2;

MME将交集 D1中的 NAS加密保护算法和交集 D2中的 NAS完整性保护算法集合通知给 UE。

较佳地，该方法还包括：

当 NAS算法列表更新时， MME从 HSS发送的插入签约数据请求（ Insert Subscriber Data Request ) 消息中获取更新的 NAS算法列表；

MME从更新的 NAS算法列表中重新选择 NAS算法；

当重新选择的 NAS算法，与现有的 NAS算法不一致时， MME向 UE发送安全模式命令 ( Security Mode Command ) 消息，其中携带重新选择的 NAS算法；

当重新选择的 NAS算法，与现有的 NAS算法一致时，或者当 MME从更新的 NAS算法列表中重新选择 NAS 算法的操作失败时， MME 向 HSS 回复插入签约数据应答（Insert Subscriber Data Answer ) 消息。

较佳地， MME向 UE发送安全模式命令（ Security Mode Command ) 消息后，该方法还包括：

MME接收 UE发送的安全模式完成（Security Mode Complete ) 消息或者安全模式拒绝 ( Security Mode Reject ) 消息；

MME向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ) 消息。本发明实施例中，预先在 3GPP TS 29.272 协议的表 7.3.1/1 中，增加定义信息元素

( Information Elements ), 如下面的表 7.3.1/1所示：

表 7.3.1/1 : S6a/S6d接口和 S13/S13接口属性值定义（ S6a/S6d and SI 3/S 13' specific

Diameter AVPs )

并且，预先在 3GPP TS 29.272增加 7.3.165章节，描述如下：

NAS-Algorithms-Lists ( NAS算法列表）

The AVP format shall conform to (属性值类型应当遵照以下格式）：

NAS-Algorithms-Lists( NAS算法列表）：: = <AVP header (属性值头）： 1613 10415> { NAS-ciphering-algorithms-List ( NAS加密保护算法列表 ) }

{ NAS-integrity-algorithms-List ( NAS完整性保护算法列表） }

以及，在 3GPP TS 29.272中增加 7.3.166章节，描述如下：

NAS-ciphering-algorithms-List ( NAS加密保护算法列表 )

NAS加密保护算法列表（ NAS-ciphering-algorithms-List ) 由长度不大于 8的字符串通用转换格式编码（UTF8String )字符串表示，支持的加密保护算法， 0~7分别代表 EEA0 EEA7 , 按优先级从高到低排列。

在 3GPP TS 29.272增加 7.3.166章节，描述如下：

NAS-integrity-algorithms-List ( NAS完整性保护算法列表）

NAS完整性保护算法列表（NAS-integrity-algorithms-List )由长度不大于 8的 UTF8String 字符串表示，支持的完整性保护算法， 0~7分别代表 EIA0 EIA7, 按优先级从高到低排列。

具体的 NAS算法列表的传输方法，可以有两种：

第一种：在 HSS和 MME之间的鉴权信息获取过程（ Authentication Procedures ) 中传递 NAS算法列表（ NAS-Algorithms-Lists )。

在现有鉴权信息响应消息结构（见表 5.2.3.1.1/2 ) 中增加 NAS 算法列表 ( NAS-Algorithms-Lists ), 如下表 5.2.3.1.1/2所示： Information Mapping to Cat. Description (描述)

element Diameter (

name (信息 AVP (映射到种

元素名称） Diameter协类）

议的 AVP )

Result (原因） Result-Code 1 M This IE shall contain the result of the operation (该信息

Experimental- 元素应当包含结果操作码） .

(See 7.4) Result (原因

值 /结果值） This IE shall contain the Result-Code AVP shall be

used to indicate success 1 errors as defined in the

Diameter Base Protocol. (该信息元素应该包含结果码的属性值，被用来指示成功或者失败）

The Experimental-Result AVP shall be used for

S6a/S6d errors. This is a grouped AVP which shall

contain the 3 GPP Vendor ID in the Vendor-Id AVP, and the error code in the Experimental-Result-Code

AVP. (结果值被用来表示 S6a/S6d接口的错误，该属性值应该包含制造商标识和错误码）

The following errors are applicable in this case: (以下的错误码在这种情况下被使用）

- User Unknown (未知用户 )

- Unknown EPS Subscription (未知 EPS签约）

Supported Supported-Fe 0 If present, this information element shall contain the list Features (支 atures (支持 of features supported by the origin host. (如果出现 ,该持的特征）的特征）信息元素需要包含来自源地址的支持的特征列表）

(See 3 GPP

TS 29.229

[9])

Authenticatio Authenticatio C This IE shall contain the Authentication Vectors. (该信 n Info (鉴权 n-Info (鉴权息元素需要包含鉴权向量）

信息）信息）

(See 7.3.17)

NAS-Algorith NAS-Algorith C This IE shall contain the NAS Algorithms Lists。 (该信 ms-Lists ms-Lists 息元素需要包含算法列表）

( NAS算法 ( NAS算法

列表）列表）

^ 5.2.3.1.1/2: 筌权信息响应 ( Authentication Information Answer )

HSS通过鉴权信息获取过程将 NAS算法列表传递给 MME, 如图 3所示。

MME向 HSS发出鉴权信息请求（ Authentication Information Request )消息， HSS收到该消息后，将用户相关的 NAS算法列表包含在鉴权信息响应（ Authentication Information Answer ) 消息中发给 MME。 NAS算法列表包括 NAS加密保护算法列表和以及 NAS完整性保护算法列表。其中， NAS加密保护算法列表和 NAS完整性保护算法列表中，各算法按照优先级从高到低排列。

第二种：在 HSS和 MME之间的插入签约数据过程 ( Insert Subscriber Data Procedure )中传递 NAS算法列表 ( NAS-Algorithms-Lists )。

表 5.2.2.1.1/1：插入签约数据请求 ( Insert Subscriber Data Request )

HSS通过插入签约数据过程将 NAS算法列表传递给 MME, 如图 4所示。

在签约数据改变的情况下， HSS向 MME发出插入签约数据请求（Insert Subscriber Data Request )消息，包含用户相关的 NAS算法列表。 NAS算法列表包括 NAS加密保护算法列表和以及 NAS完整性保护算法列表。其中 NAS加密保护算法列表和 NAS完整性保护算法列表中，算法按照优先级从高到低排列。 ΜΜΕ收到插入签约数据请求后，向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ) 消息。下面介绍一下本发明实施例提供的 MME从接收到的 NAS算法列表中选择 NAS加密保护算法和 NAS完整性保护算法的方法。

对于 NAS加密保护算法和 NAS完整性保护算法，釆用相同的处理过程 , 下面以其中一种算法为例进行说明。

MME需要支持尽可能多的算法集，假如算法集合为 A。

UE通过附着请求（ ATTACH REQUEST )消息或者位置区域更新请求（ TRACKING AREA UPDATE REQUEST ) 消息，携带 UE网络能力（ UE network capability )给 MME, 即将 UE 支持的算法结合通知给 MME, 记为集合 B。

运营商可以根据用户资盾 , 对每个用户设置不同的算法集和优先级，通过鉴权信息获取过程 ( Authentication Procedures )或者 4 入签约数据过程 ( Insert Subscriber Data Procedure ) 将 NAS算法列表（ NAS-Algorithms-Lists )传递给 MME, 假设 NAS算法列表中的算法集合为 C。

首先选择出算法集合 D为 A、 B、 C三者的交集，即 D = AflBnC。

在根据 NAS算法列表（ NAS-Algorithms-Lists )表示的优先级对计算出的 D进行选择，选择出优先级最高的 NAS加密保护算法或 NAS完整性保护算法。

MME通过安全模式控制（ Security Mode Command )消息将选择的 NAS加密保护算法和 NAS完整性保护算法发送给 UE。

下面介绍一下本发明实施例提供的在 HSS 和 MME之间的插入签约数据过程（Insert Subscriber Data Procedure ) 中传递 NAS算法列表 ( NAS-Algorithms-Lists )后的处理流程。

参见图 5 , 插入签约数据成功的流程如下：

步骤一，当 NAS 算法列表改变的时候， HSS 向 MME发送插入签约数据请求（Insert Subscriber Data Request ) 消息给 MME, 消息中携带 NAS算法列表（ NAS-Algorithms-Lists )。

步骤二， MME从插入签约数据请求中获取到 NAS算法列表后，对 NAS算法进行再次选择。

如果发现再次选择的 NAS算法和 MME与 UE之间当前釆用的 NAS算法不一致，则 MME 向 UE发生安全模式命令 ( Security Mode Command ) 消息，消息中携带再次选择的 NAS算法。

如果再次选择的 NAS算法和 MME与 UE之间当前釆用的 NAS算法一致， MME和 UE 之间不再发起安全模式控制（ Security mode control, SMC )过程， MME直接向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ), 则插入签约数据成功。

步骤三， UE对安全模式命令（ Security Mode Command )消息进行校验，当校验成功时， UE向 MME发送一个安全模式完成 ( Security Mode Complete ) 消息。

步骤四， MME对安全模式完成（Security Mode Complete ) 消息进行完整性保护校验和解密，成功则 NAS算法更新成功。 MME向 HSS回复插入签约数据应答（ Insert Subscriber Data Answer ), 则插入签约数据成功。

参见图 6, 插入签约数据失败的流程如下：

步骤一，当 NAS 算法列表改变的时候， HSS 向 MME发送插入签约数据请求（Insert Subscriber Data Request ) 消息给 MME , 消息中携带更新后的 NAS 算法列表 ( NAS-Algorithms-Lists )。

如果再次选择 NAS算法的过程失败，则 MME和 UE之间不再发起安全模式控制（ Security mode control, SMC )过程， MME直接向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ), 则插入签约数据失败。

步骤三， UE对安全模式命令（ Security Mode Command ) 消息进行校验，若校验失败，则 UE向 MME发送一个安全模式拒绝（ Security Mode Reject ) 消息。

步骤四， MME收到安全模式拒绝（Security Mode Reject ) 消息后，向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ), 则插入签约数据失败。

参见图 7, 本发明实施例提供的一种 NAS算法的通知装置，包括：

NAS算法列表确定单元 11 , 用于确定 NAS算法列表，其中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

通知单元 12, 用于将 NAS算法列表发送给 MME。

较佳地，通知单元 12, 具体用于：

通过鉴权信息获取过程或者插入签约数据过程，将 NAS算法列表传递给 MME。

较佳地，通知单元 12通过鉴权信息获取过程将 NAS算法列表传递给 MME时，具体用于：

接收 MME发送的筌权信息请求（ Authentication Information Request ) 消息；

将筌权信息响应（ Authentication Information Answer ) 消息发送给 MME, 其中携带 NAS 算法列表。

较佳地，通知单元 12通过插入签约数据过程，将 NAS算法列表传递给 MME时，具体用于：

当签约数据更新时，向 MME发送插入签约数据请求（ Insert Subscriber Data Request )消息，其中携带 NAS算法列表。较佳地， NAS算法列表中的算法，按照预设优先级从高到低的顺序排列。

较佳地，本发明实施例提供的一种 NAS算法的通知装置，为 HSS。

参见图 8, 本发明实施例提供的一种 NAS算法的获取装置，包括：

消息接收单元 21 , 用于接收 HSS发送的携带有 NAS算法列表的消息， NAS算法列表中包括 NAS加密保护算法列表和 NAS完整性保护算法列表；

获取单元 22, 用于从该消息中获取 NAS算法列表。

较佳地，消息接收单元 21 , 具体用于：

通过鉴权信息获取过程或者插入签约数据过程，接收 HSS发送的携带有 NAS算法列表的消息。

较佳地，消息接收单元 21通过鉴权信息获取过程接收 HSS发送的携带有 NAS算法列表的消息时，具体用于：

向 HSS发送筌权信息请求（ Authentication Information Request ) 消息；

接收 HSS发送的鉴权信息响应（Authentication Information Answer )消息，其中携带 NAS 算法列表。

较佳地，消息接收单元 21通过插入签约数据取过程，接收 HSS发送的携带有 NAS算法列表的消息时，具体用于：

当签约数据更新时，接收 HSS发送的插入签约数据请求（ Insert Subscriber Data Request ) 消息，其中携带 NAS算法列表。

较佳地，该装置还包括：

选择处理单元 23 , 用于在获取单元 22从消息中获取 NAS算法列表后，从该 NAS算法列表中选择 NAS算法，并将选择的 NAS算法通知给 UE。

较佳地，选择处理单元 23 , 具体用于：

确定 MME支持的 NAS加密保护算法集合 A1和 NAS完整性保护算法集合 A2;

确定 UE支持的 NAS加密保护算法集合 B1和 NAS完整性保护算法集合 B2;

确定 NAS算法列表中的 NAS加密保护算法集合 C1和 NAS完整性保护算法集合 C2; 确定集合 Al、 B1和 C1的交集 D1 , 以及 A2、 B2和 C2的交集 D2;

将交集 D1中的 NAS加密保护算法和交集 D2中的 NAS完整性保护算法集合通知给 UE。较佳地：

消息接收单元 21 , 还用于当 NAS 算法列表更新时，从 HSS发送的插入签约数据请求 ( Insert Subscriber Data Request ) 消息中获取更新的 NAS算法列表；

选择处理单元 23 , 还用于从更新的 NAS算法列表中重新选择 NAS算法；当重新选择的 NAS算法，与现有的 NAS算法不一致时，向 UE发送安全模式命令（ Security Mode Command ) 消息，其中携带重新选择的 NAS算法；当重新选择的 NAS算法，与现有的 NAS算法一致时，或者当从更新的 NAS算法列表中重新选择 NAS算法的操作失败时，向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ) 消息。

较佳地，选择处理单元 23 , 向 UE发送安全模式命令 ( Security Mode Command )消息后，还用于：

接收 UE发送的安全模式完成（ Security Mode Complete )消息或者安全模式拒绝（ Security Mode Reject ) 消息；

向 HSS回复插入签约数据应答 ( Insert Subscriber Data Answer ) 消息。

较佳地，本发明实施例提供的一种 NAS算法的获取装置，为 MME。

综上所述，本发明实施例，在 3GPP TS 29.272协议中增加定义信息元素 NAS算法列表 ( NAS- Algorithms-Lists ) , 在 HSS 和 MME 之间的鉴权信息获取过程（Authentication Procedures ) 中传递 NAS算法列表 ( NAS-Algorithms-Lists )。或者，在 HSS和 MME之间的插入签约数据过程（ Insert Subscriber Data Procedure ) 中传递 NAS 算法列表 ( NAS-Algorithms-Lists )„从而实现了由 HSS来配置 NAS算法列表的策略，运营商可以通过 BOSS系统来修改 HSS中的用户签约数据，使得 NAS安全算法和 QoS等用户信息进行关联，针对不同用户的需求，可以选择不同特点的算法对 NAS消息进行安全保护。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介盾（包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和 / 或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 / 或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

权利要求

1、一种非接入层 NAS算法的通知方法，其特征在于，该方法包括：

HSS将所述 NAS算法列表发送给移动性管理实体 MME。

2、根据权利要求 1所述的方法，其特征在于，所述 HSS将所述 NAS算法列表发送给 MME, 包括：

HSS通过鉴权信息获取过程或者插入签约数据过程，将 NAS算法列表传递给 MME。

3、根据权利要求 2所述的方法，其特征在于， HSS通过鉴权信息获取过程将 NAS算法列表传递给 MME, 包括：

HSS接收 MME发送的筌权信息请求 Authentication Information Request消息；

HSS将鉴权信息响应 Authentication Information Answer消息发送给 MME,其中携带所述 NAS算法列表。

4、根据权利要求 2所述的方法，其特征在于， HSS通过插入签约数据过程，将 NAS算法列表传递给 MME, 包括：

当签约数据更新时， HSS向 MME发送插入签约数据请求 Insert Subscriber Data Request 消息，其中携带所述 NAS算法列表。

5、根据权利要求 1-4任一权项所述的方法，其特征在于，所述 NAS算法列表中的算法，按照预设优先级从高到低的顺序排列。

6、一种非接入层 NAS算法的获取方法，其特征在于，该方法包括：

MME从所述消息中获取 NAS算法列表。

7、根据权利要求 6所述的方法，其特征在于， MME通过鉴权信息获取过程或者插入签约数据过程 , 接收 HSS发送的携带有 NAS算法列表的消息。

8、根据权利要求 7所述的方法，其特征在于， MME通过鉴权信息获取过程接收 HSS发送的携带有 NAS算法列表的消息，包括：

MME向 HSS发送筌权信息请求 Authentication Information Request消息；

MME接收 HSS发送的筌权信息响应 Authentication Information Answer消息，其中携带所述 NAS算法列表。

9、根据权利要求 7所述的方法，其特征在于， MME通过插入签约数据过程，接收 HSS 发送的携带有 NAS算法列表的消息，包括：

当签约数据更新时， MME接收 HSS 发送的插入签约数据请求 Insert Subscriber Data Request消息，其中携带所述 NAS算法列表。

10、根据权利要求 6-9任一权项所述的方法，其特征在于，所述 NAS算法列表中的算法，按照预设优先级从高到低的顺序排列。

11、根据权利要求 6-9任一权项所述的方法，其特征在于， MME从所述消息中获取 NAS 算法列表后，该方法还包括：

MME从所述 NAS算法列表中选择 NAS算法，并将选择的 NAS算法通知给用户设备 UE。

12、根据权利要求 11所述的方法，其特征在于， MME从所述 NAS算法列表中选择 NAS 算法，将选择的 NAS算法通知给 UE, 包括：

MME确定自身支持的 NAS加密保护算法集合 A1和 NAS完整性保护算法集合 A2; MME确定 UE支持的 NAS加密保护算法集合 B1和 NAS完整性保护算法集合 B2; MME确定所述 NAS算法列表中的 NAS加密保护算法集合 C1和 NAS完整性保护算法集合 C2;

MME确定集合 Al、 B1和 C1的交集 D1 , 以及 A2、 B2和 C2的交集 D2;

13、根据权利要求 12所述的方法，其特征在于，该方法还包括：

当 NAS算法列表更新时， MME从 HSS发送的插入签约数据请求 Insert Subscriber Data Request消息中获取更新的 NAS算法列表；

MME从更新的 NAS算法列表中重新选择 NAS算法；

当重新选择的 NAS算法，与现有的 NAS算法不一致时， MME向 UE发送安全模式命令 Security Mode Command消息，其中携带重新选择的 NAS算法；

当重新选择的 NAS算法，与现有的 NAS算法一致时，或者当 MME从更新的 NAS算法列表中重新选择 NAS 算法的操作失败时， MME 向 HSS 回复插入签约数据应答 Insert Subscriber Data Answer消息。

14、根据权利要求 13所述的方法，其特征在于， MME向 UE发送安全模式命令 Security Mode Command消息后，该方法还包括：

MME接收 UE发送的安全模式完成 Security Mode Complete 消息或者安全模式拒绝 Security Mode Reject消息；

MME向 HSS回复插入签约数据应答 Insert Subscriber Data Answer消息。

15、一种非接入层 NAS算法的通知装置，其特征在于，该装置包括：

16、根据权利要求 15所述的装置，其特征在于，所述通知单元，具体用于：通过鉴权信息获取过程或者插入签约数据过程，将 NAS算法列表传递给 MME。

17、根据权利要求 16所述的装置，其特征在于，所述通知单元通过鉴权信息获取过程将 NAS算法列表传递给 MME时，具体用于：

接收 MME发送的筌权信息请求 Authentication Information Request消息；

将筌权信息响应 Authentication Information Answer消息发送给 MME,其中携带所述 NAS 算法列表。

18、根据权利要求 16所述的装置，其特征在于，所述通知单元通过插入签约数据过程，将 NAS算法列表传递给 MME时，具体用于：

当签约数据更新时，向 MME发送插入签约数据请求 Insert Subscriber Data Request消息，其中携带所述 NAS算法列表。

19、一种非接入层 NAS算法的获取装置，其特征在于，该装置包括：

获取单元，用于从所述消息中获取 NAS算法列表。

20、根据权利要求 19所述的装置，其特征在于，所述消息接收单元，具体用于：通过鉴权信息获取过程或者插入签约数据过程，接收 HSS发送的携带有 NAS算法列表的消息。

21、根据权利要求 20所述的装置，其特征在于，所述消息接收单元通过鉴权信息获取过程接收 HSS发送的携带有 NAS算法列表的消息时，具体用于：

向 HSS发送筌权信息请求 Authentication Information Request消息；

接收 HSS发送的鉴权信息响应 Authentication Information Answer消息，其中携带所述

NAS算法列表。

22、根据权利要求 20所述的装置，其特征在于，所述消息接收单元通过插入签约数据过程，接收 HSS发送的携带有 NAS算法列表的消息时，具体用于：

当签约数据更新时，接收 HSS发送的插入签约数据请求 Insert Subscriber Data Request消息，其中携带所述 NAS算法列表。

23、根据权利要求 19-22任一权项所述的装置，其特征在于，该装置还包括：

选择处理单元，用于在所述获取单元从所述消息中获取 NAS算法列表后，从所述 NAS 算法列表中选择 NAS算法，并将选择的 NAS算法通知给用户设备 UE。

24、根据权利要求 23所述的装置，其特征在于，所述选择处理单元，具体用于：确定 MME支持的 NAS加密保护算法集合 A1和 NAS完整性保护算法集合 A2;

确定 UE支持的 NAS加密保护算法集合 B1和 NAS完整性保护算法集合 B2; 确定所述 NAS算法列表中的 NAS加密保护算法集合 C1和 NAS完整性保护算法集合 C2; 确定集合 Al、 B1和 C1的交集 D1 , 以及 A2、 B2和 C2的交集 D2;

将交集 D1中的 NAS加密保护算法和交集 D2中的 NAS完整性保护算法集合通知给 UE。

25、根据权利要求 24所述的装置，其特征在于，

所述消息接收单元，还用于当 NAS算法列表更新时，从 HSS发送的插入签约数据请求 Insert Subscriber Data Request消息中获取更新的 NAS算法列表；

所述选择处理单元，还用于从更新的 NAS算法列表中重新选择 NAS算法；当重新选择的 NAS算法，与现有的 NAS算法不一致时，向 UE发送安全模式命令 Security Mode Command 消息，其中携带重新选择的 NAS算法；当重新选择的 NAS算法，与现有的 NAS算法一致时，或者当从更新的 NAS算法列表中重新选择 NAS算法的操作失败时，向 HSS回复插入签约数据应答 Insert Subscriber Data Answer消息。

26、根据权利要求 25所述的装置，其特征在于，所述选择处理单元，向 UE发送安全模式命令 Security Mode Command消息后，还用于：

接收 UE发送的安全模式完成 Security Mode Complete消息或者安全模式拒绝 Security Mode Reject消息；

向 HSS回复插入签约数据应答 Insert Subscriber Data Answer消息。