[发明专利]一种用户面加密的启动方法

权利要求书

1. 一种用户面加密的启动方法，应用于演进网络中移动管理实体MME和用户面实体UPE物理分离时的用户面加密启动过程，其特征在于，包括：

A、UPE通过MME向用户终端发送需要与其协商的加密初始参数；

B、用户终端接受所述加密初始参数，通过MME向UPE发送确认信息，并采用接受的加密初始参数对发往UPE的上行数据进行加密；

C、UPE确认加密启动成功，并采用所述加密初始参数对发往用户终端的下行数据进行加密。

2. 如权利要求1所述的方法，其特征在于，所述步骤A包括：

A1、UPE向MME发送安全模式请求消息，携带所述加密初始参数和用户标识；

A2、MME向用户标识对应的用户终端发送安全模式命令消息，携带所述加密初始参数；

所述步骤B包括：

B1、用户终端向MME发送安全模式完成消息，携带确认信息；

B2、MME向UPE发送安全模式响应消息，携带所述确认信息和MME根据其接收的所述安全模式完成消息的信令连接所确定的用户标识。

3. 如权利要求2所述的方法，其特征在于，所述步骤B1中，用户终端发送的安全模式完成消息中，还携带由该用户终端指定的需要与UPE进行协商的加密初始参数；

所述步骤B2中，MME将该加密初始参数携带在所述安全模式响应消息中发送给UPE。

4. 如权利要求2或3所述的方法，其特征在于，当演进网络允许同一个用户终端可以通过多个UPE建立IP承载时，所述步骤A1中，所述安全模式请求消息中还携带所述UPE的标识；所述步骤A2中，MME将该UPE标识携带在所述安全模式命令消息中发送给用户终端；

所述步骤B1中，所述安全模式完成消息中还携带该UPE标识；所述步骤B2中，MME向该UPE标识对应的UPE发送所述安全模式响应消息。

5. 如权利要求1所述的方法，其特征在于，所述步骤A包括：

a1、UPE向MME发送信令发送请求消息，携带包含所述加密初始参数的安全模式命令消息和用户标识；

a2、MME将所述安全模式命令消息按照MME与用户终端之间交互透传信令的格式进行封装，并发送给所述用户标识对应的用户终端；

所述步骤B包括：

b1、用户终端将其构造的包含确认信息的安全模式完成消息，按照用户终端与MME之间交互透传信令的格式进行封装，并发送给MME；

b2、MME将所述安全模式完成消息按照MME与UPE之间交互透传信令的格式进行封装，并发送给UPE。

6. 如权利要求5所述的方法，其特征在于，所述步骤b1中，用户终端构造的安全模式完成消息中携带由该用户终端指定的需要与UPE进行协商的加密初始参数；

所述步骤b2中，MME将携带所述加密初始参数的安全模式完成消息发送给UPE。

7. 如权利要求5或6所述的方法，其特征在于，当演进网络允许同一个用户终端可以通过多个UPE建立IP承载时，所述步骤a1中，所述安全模式命令消息中还携带UPE标识；所述步骤a2中，MM将携带该UPE标识的安全模式命令消息发送给用户终端；

所述步骤b1中，用户终端将UPE标识和所述安全模式完成消息进行封装；所述步骤b2中，MME向该UPE标识对应的UPE发送所述安全模式完成消息。

8. 如权利要求5所述的方法，其特征在于，通过扩展分组数据收敛协议PDCP协议栈，增加UPE和用户终端之间的交互信令消息，携带所述加密初始参数以完成协商；或

通过增加一协议栈，支持UPE和用户终端之间的交互信令消息，携带所述加密初始参数以完成协商。

9. 如权利要求1所述的方法，其特征在于，MME为UPE和用户终端之间的信令交互提供信令完整性保护。