WO2010037299A1

WO2010037299A1 - 一种保护用户终端能力的方法、装置

Info

Publication number: WO2010037299A1
Application number: PCT/CN2009/073775
Authority: WO
Inventors: 陈璟; 黄敏; 张爱琴; 刘晓寒
Original assignee: 华为技术有限公司
Priority date: 2008-09-28
Filing date: 2009-09-07
Publication date: 2010-04-08
Also published as: CN101686463B; CN101686463A

Description

一种保护用户终端能力的方法、装置本申请要求于 2008 年 9 月 28 日提交中国专利局、申请号为 200810216626.0, 发明名称为 "一种保护用户终端能力的方法、装置和***" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信技术领域，尤其涉及网络安全技术。

背景技术

当前，移动通信已经发展十分普及，在移动通信过程中，通用地面无线接入网络 ( UTRAN, Universal Terrestrial Radio Access Network ) 包^ ^一个或几个无线网络子***（RNS, Radio Network Subsystem). 一个 RNS由一个无线网络控制器（RNC, Radio Network Controller ) 和一个或多个基站 (NodeB) 组成。

演进的 UTRAN( EUTRAN, Evolved UTRAN )网络结构，包括 eNB( EUTRAN NodeB, 演进基站 ) , eNB之间通过 X2接口实现数据和信令的交互， eNB通过 S1接口连接演变成分组核心（EPC， Evolved Packet Core ) 网络的移动性管理实体 (MME, Mobility Management Entity ) 和 ϋ良务网关 ( S-GW , the Serving Gateway )。

在 SAE/LTE***中，安全保护可以分为应用服务器层（AS , Application Server)安全保护和非接入层（NAS， Non Acces s Strat腿）安全保护， AS层主要保护用户终端和 eNB之间的无线资源控制（ RRC, Radio Resource Control ) 信令和用户平面（UP, User Plane) 的用户数据， NAS层主要保护用户终端与 MME之间的 NAS信令。

在 SAE/LTE***中，安全模式启动包括 AS层的安全模式启动和 NAS层的安全模式启动，安全模式没有启动之前，数据和信令都没有安全保护，安全模式启动成功后才会启动安全保护。 AS 层安全模式启动时， eNB是根据 eNB 上已知的用户终端能力决定选择用户终端与 eNB之间的安全保护所要采用的

AS算法，并通过安全模式命令通知用户终端。 AS层安全模式命令携带密钥标识 KSI_asme (KSI_asme , Key Set Indentifier )和 eNB根据用户终端能力以及 eNB 自身算法支持能力而选择的 RRC加密算法 EPS AS层信令加密算法（EAEA , EPS AS Encryption Algorithm), EPS AS层信令完整性保护算法 (EAIA, EPS AS Integrity Algorithm )、 EPS 用户面加密算法（EUEA, EPS User-plan Encryption Algorithm) 以及携带完整性保护的认证码 AS-MAC。 NAS 层安全模式启动时，丽 E向用户终端发送经过完整性保护的安全模式命令，安全模式命令携带密钥标识 KS I _asme和携带 eNB根据用户终端能力以及固 E自身算法支持能力而最终选择的 EPS NAS 层加密算法（ ENEA, EPS NAS Encryption Algorithm )、 EPS NAS 层完整性保护算法（ ENIA, EPS NAS Integrity Algorithm) 以及携带完整性保护的认证码 NAS- MAC。

在 SAE/LTE ***中，用户终端的能力可以划分为用户终端空口能力（UE Radio Capability) 和用户终端网络能力（ UE Network Capability ) , eNB 上用户终端能力包括空口安全方面的能力以及其他无线传输方面的能力（如支持的天线参数），其中空口方面的安全能力包括用户终端对于 AS 安全层所支持的算法；用户终端的网络能力包含了用户终端在 NAS 层的安全能力，其中用户终端在 NAS层的安全能力体现在对于 NAS层所支持的 NAS安全算法。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：现有技术中，当丽 E处没有用户终端能力信息时， MME向 eNB发送初始上下文请求消息，该上下文请求消息用于获取用户终端的空口能力， eNB收到该初始上下文请求消息后，如果 eNB没有用户终端空口能力信息，则 eNB无法选择 AS安全保护中的 AS层算法，此时， eNB需要向用户终端发送能力查询请求消息，以请求得到该用户终端能力信息，用户终端给 eNB返回能力信息。在上述过程中，因安全模式启动成功后才会启动安全保护，当 eNB 向用户终端查询用户终端能力时， AS层的安全模式命还没有启动，所以 eNB发送的能力查询请求消息和用户终端返回的能力信息都没有安全保护，可能会导致出现安全隐患，无法保证网络侧存储的用户终端能力信息的真实可靠性。

发明内容

本发明实施方式要解决的主要技术问题是提供一种保护用户终端能力的方法、装置，使得网络侧获得的用户终端的能力信息具有安全保护，保证了网络侧存储的用户终端能力信息的真实可靠性。

为了解决上述技术问题，本发明的实施例提供了一种保护用户终端能力的方法，包括：

网络侧向用户终端请求用户终端的能力信息；

网络侧收到用户终端返回的能力信息后，向用户终端发起安全验证过程。本发明实施例提供了一种保护用户终端能力的方法，包括：

用户终端收到网络侧发送的用户终端能力查询请求，向网络侧发送用户终端能力信息；

用户终端收到网络侧发送的安全验证命令后，向网络侧进行安全验证过程。

本发明实施例提供了一种保护用户终端能力的方法，包括：

接收匪 E发送的携带 NAS安全算法能力信息的请求消息；

将用户终端的 NAS安全算法能力信息代替用户终端的 AS安全算法能力信息，并发起验证过程。

本发明实施例提供了一种网络侧装置，包括：

发送模块，用于向用户终端发送获取所述用户终端的能力信息请求；接收模块，用于所述发送模块发送请求消息后，接收所述用户终端返回的能力信息；

验证模块，用于根据接收到的所述用户终端能力信息，向所述用户终端发起安全验证过程。

本发明实施例提供了一种用户终端侧的装置，包括：接收模块，用于接收网络侧发送的用户终端能力查询请求；发送模块，用于接收模块接收到用户终端能力查询请求后，向网络侧发送用户终端的能力信息；

验证模块，用于收到网络侧发送的安全验证命令后，向网络侧进行安全验证过程；该安全验证命令携带网络侧接收的用户终端的能力信息。

本发明实施例提供了一种用户终端侧的装置，包括：

接收模块，用于接收丽 E发送的携带 NAS安全算法能力信息的请求消息；验证模块，用于接收模块接收请求消息后，将用户终端的 NAS 安全算法能力信息代替用户终端的 AS安全算法能力信息，并发起验证过程。

由上述实施例可知，网络侧向用户终端请求所述用户终端的能力信息，网络侧收到所述用户终端返回的能力信息后，向所述用户终端发起安全验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例中保护用户终端能力方法实施例一的流程图；图 2为本发明实施例中保护用户终端能力方法实施例二的流程图；图 3为本发明实施例中保护用户终端能力方法实施例三的流程图；图 4为本发明实施例中保护用户终端能力方法实施例四的流程图；图 5为本发明实施例中保护用户终端能力方法实施例五的流程图；图 6为本发明实施例中保护用户终端能力方法实施例六的流程图；图 7为本发明实施例中本发明实施例提供的网络侧装置的结构；图 8为本发明实施例中本发明实施例提供的用户终端侧的装置的结构；图 9为本发明实施例中本发明实施例提供的另一网络侧的装置的结构。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明实施例的目的、技术方案及优点更加清楚明白，以下对本发明实施例作进一步详细说明。

本发明实施例提供了一种保护用户终端能力的方法，如图 1 所示，本发明实施例一提供的保护用户终端能力的方法，其步骤包括：

101、网络侧向用户终端请求所述用户终端的能力信息；

102、网络侧收到所述用户终端返回的能力信息后，向所述用户终端发起安全验证过程。

与上述方法相对应地，本发明实施例还提供了一种保护用户终端能力的方法，如图 2 所示，本发明实施例二提供的保护用户终端能力的方法，其步骤包括：

201、用户终端收到网絡侧发送的用户终端能力查询请求 , 向所述网络侧发送所述用户终端的能力信息；

202、所述用户终端收到所述网络侧发送的安全验证命令后，向所述网络侧进行安全验证过程。

以下对上述实施例一和实施例二提供的保护用户终端能力的方法作进一步详细描述。如图 3 所示，为本发明实施例三提供的保护用户终端能力的方法的流程示意图，其中该方式为启动 AS安全模式命令保护用户终端能力信息的解决方案，包括如下步骤：

301、丽 E向 eNB发送初始上下文请求；

302、当 eNB上没有该用户终端的能力信息时， eNB向该用户终端发送能力查询请求；

303、该用户终端收到能力查询请求后，向 eNB发送该用户终端的能力信息或者该用户终端的能力信息摘要；

304、 eNB收到该用户终端发送的该用户终端的能力信息或者该用户终端的能力信息摘要后，将获得的该用户终端的能力信息或者该用户终端的能力信息摘要通过完整性保护的 AS安全模式命令发送给该用户终端；

305、该用户终端收到完整性保护的 AS安全模式命令，该 AS安全模式命令携带该用户终端的能力信息或者该用户终端的能力信息摘要，该用户终端判断自身能力信息或能力信息摘要与 AS安全模式命令携带的该用户终端的能力信息或者该用户终端的能力信息摘要是否一致。

若一致，执行步骤 305a。若不一致，执行步骤 305b。

305a、该用户终端开始验证 AS安全模式命令的完整性。当完整性验证成功时，该用户终端向 eNB返回 AS安全模式命令完成消息。

305b , 该用户终端放弃对该安全模式命令的完整性验证，该用户终端发送安全模式失败消息给 eNB , 或者禁止向网络侧反馈。

306、 eNB判定用户终端能力是否经过验证；

若收到该用户终端发送的 AS安全模式完成命令，则 eNB判定该用户终端能力通过验证，进入步骤 307。

若收到该用户终端发送的 AS安全模式失败的消息或者没有在预定时间内收到该用户终端的反馈，则 eNB判定该用户终端能力没有通过睑证， eNB释放 RRC连接或选择重传安全模式命令。上述， eNB没有在预定时间内收到该用户终端的反馈，具体实现可以为： eNB可以设置定时器，当 eNB获得该用户终端能力信息或者该用户终端能力信息摘要，并通过发送完整性保护的 AS安全模式命令将该信息发送给该用户终端后，启动该定时器，如果该用户终端判断自身能力信息或者能力信息摘要与 AS安全模式命令携带的该用户终端能力信息或者该用户终端能力信息摘要不一致时，该用户终端放弃对安全模式命令的完整性验证，即 eNB 没有在预定时间内收到该用户终端的反馈，即定时器超时， eNB释放 RRC连接或选择重新发送安全模式命令。

307、 eNB向 MME传送上下文响应消息，该上下文响应消息携带该用户终端的能力信息。

如图 4 所示，为本发明实施例四提供的保护用户终端能力的方法的流程示意图，其中该方式为启动 NAS 安全模式命令携带用户终端的能力信息，在用户终端侧保护用户终端能力信息的解决方案，包括如下步骤：

401、丽 E向 eNB发送初始上下文请求；

402、当 eNB上没有该用户终端的能力信息时， eNB向该用户终端发送能力查询请求；

403、该用户终端收到能力查询请求后，向 eNB发送该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要；

404、 eNB将收到的该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要通过上下文响应消息发送给 MME。

405、丽 E收到 eNB发送的该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要后，将该用户终端的能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要通过完整性保护的 NAS安全模式命令发送给该用户终端。

406、该用户终端收到完整性保护的 NAS安全模式命令，该 NAS安全模式命令携带该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要，该用户终端判断自身能力信息的全部或者能力信息的一部分或者能力信息摘要与 NAS 安全模式命令携带的该用户终端能力信息的全部或者该用户终端能力的一部分或者该用户终端能力信息摘要是否一致。若一致，执行步骤 407a,若不一致，执行步骤 407b。

407a、该用户终端开始验证 NAS 安全模式命令的完整性，当完整性验证成功，则该用户终端向匪 E返回一个 NAS安全模式命令完成消息。

407b , 该用户终端放弃对该安全模式命令的完整性验证。该用户终端发送一个安全模式失败的消息给丽E，或者禁止向 MME反馈。

丽 E若收到 NAS安全模式完成命令，则该用户终端能力通过验证。

匪 E若收到该用户终端发送的 NAS安全模式失败的消息或者没有在预定时间内收到该用户终端的反馈，则匪 E判定该用户终端能力没有通过验证，丽 E 释放 RRC连接或选择重传安全模式命令。

上述，丽 E没有在预定时间内收到该用户终端的反馈，具体实现可以为：丽 E也可以设置一个定时器，匪 E获得该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要，并通过完整性保护的 NAS安全模式命令将获得的该信息发送给该用户终端后，启动该定时器；如果该用户终端判断自身的能力信息的全部或者能力信息的一部分或者能力信息摘要与完整性保护的 NAS 安全模式命令携带的该用户终端能力信息的全部或者该用户终端能力信息的一部分或者该用户终端能力信息摘要不一致时，该用户终端放弃对安全模式命令的完整性验证，禁止向 MME反馈。因此，匪 E没有在预定时间收到用户终端的反馈，即定时器超时， MME释放 RRC连接或选择重新发送安全模式命令。由上述实施例可知，网络侧向用户终端请求所述用户终端的能力信息，网络侧收到所述用户终端返回的能力信息后，向所述用户终端发起安全验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。

另外，本发明实施例还提供了一种保护用户终端能力的方法，如图 5 所示，本发明实施例五提供的保护用户终端能力的方法，其步骤包括：

501、 eNB接收 MME发送的携带 NAS安全算法能力信息的请求消息； 502、 eNB将用户终端的 NAS安全算法能力信息代替所述用户终端的 AS安全算法能力信息，并发起验证过程。

在本实施例中， eNB根据接收的由固 E发送的 UE的 NAS安全算法能力信息，向该 UE发起验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。

以下对实施例五提供的保护用户终端能力的方法作进一步详细描述。如图 6 所示，为本发明实施例六提供的保护用户终端能力的方法的流程示意图，其中该方式为 eNB没有用户终端的 AS层安全算法能力的情况下，参照用户终端 NAS安全算法能力信息来选择 AS层安全保护算法的解决方案，包括以下步骤：

601、 eNB收到 MME发送的初始化上下文请求消息 , 该消息携带用户终端 NAS安全算法能力信息；

当匪 E没有保存该用户终端的空口能力信息时，圆 E向 eNB发送携带该用户终端的 NAS安全算法能力信息的初始化上下文请求消息；

602、 eNB收到丽 E发送的初始化上下文请求消息后，获取该消息携带的该用户终端的 NAS安全算法能力信息，当 eNB上没有该用户终端的空口能力信息（包括 AS安全算法能力信息）时， eNB参照该用户终端的 NAS安全算法能力信息选择该用户终端的 AS安全算法能力信息；

eNB将参照该 NAS安全算法能力信息选择 AS层安全保护算法，包括选择 RRC加密算法 EAEA、 RRC完整性保护算法 EAIA、用户面加密算法 EUEA。

603、 eNB向该用户终端发送 AS安全模式命令；

eNB将上述 602步骤中该 eNB选择的 AS层安全保护算法，包括选择 RRC 加密算法 EAEA、 RRC完整性保护算法 EAIA、用户面加密算法 EUEA包含在 AS安全模式命令消息中，发送给该用户终端。

604、该用户终端根据接收到的 AS安全模式命令的算法，验证 AS安全模式命令的完整性；

605a、若该用户终端对 AS安全模式命令的完整性保护验证成功，则返回 AS安全模式命令完成消息，启动 AS安全模式后，执行步骤 606 ;

605b , 若该用户终端对 AS安全模式命令的完整性保护验证失败，则该用户终端将发送一个安全模式失败的消息给 eNB后，执行步骤 605c;

605c、 eNB收到安全模式失败的消息后，释放 RRC连接，或者选择重传安全模式命令。

606、 eNB向该用户终端发送能力查询请求，此消息已经具有安全保护；

607、该用户终端向 eNB发送具有安全保护的该用户终端的能力信息；

608、 eNB将具有安全保护的该用户终端能力消息通过上下文响应消息发送给丽 E。

若该用户终端对 AS安全模式命令的完整性保护验证失败，则也可以在 eNB 上设置一个定时器，当 eNB将 NAS安全算法能力信息包含在 AS安全模式命令中，发送给该用户终端后，启动该定时器；当该用户终端对 AS安全模式命令的完整性保护验证失败， eNB上定时器没有超时之前接收到安全模式失败的消息时， eNB可以选择重新发送安全模式命令，当 eNB上定时器超时、但未接收到安全模式失败的消息时， eNB释放 RRC连接或选择重传安全模式命令。

在本实施例中， eNB根据接收的由 MME发送的 UE的 NAS安全算法能力信息，向该 UE发起验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。图 7描述了本发明实施例提供的网络侧装置的结构，包括发送模块 701，用于向用户终端发送获取所述用户终端的能力信息请求，该用户终端的能力信息包括该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份。

接收模块 702，用于发送模块发送请求消息后，接收该用户终端返回的该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份；

验证模块 703 , 用于根据接收到的所述用户终端能力信息，向所述用户终端发起安全验证过程。

进一步地，验证模块 703具体包括：

处理模块 7031 , 用于将获得的该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份通过完整性保护的安全模式命令发给该用户终端进行验证；

执行模块 7032 , 用于若接收安全模式命令完成消息，则验证成功，获取经过完全验证的该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份；若收到安全模式命令失败的消息或没有在预定时间内收到该用户终端的反馈，则验证失败，判定该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份没有通过验证，释放 RRC连接或选择重传安全模式命令。

网络侧实体为 eNB时，获取经过安全验证的该用户终端能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份后， eNB将经过安全验证的该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份发送给匪 E。

图 8描述了本发明实施例提供的用户终端侧的装置的结构，包括：接收模块 801，用于接收网络侧发送的用户终端能力查询请求，查询该用户终端的能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份。

发送模块 802, 用于该接收模块接收到该用户终端能力查询请求后，向网络侧发送该用户终端能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份；

验证模块 803，用于收到网络侧发送的安全验证命令后，向该网络侧进行安全验证过程；该安全验证命令携带网络侧接收的用户终端的能力信息。

进一步地，验证模块 803具体包括：

处理模块 8031 , 用于根据自身的能力信息的全部，能力信息摘要或能力信息的一部份，对收到的通过完整性保护的安全模式命令携带的该用户终端能力信息的全部、该用户终端的能力信息摘要或该用户终端能力信息的一部份进行验证。

执行模块 8032，用于根据处理模块的验证结果进行操作，包括：若处理模块 8031验证成功，对安全模式命令的完整性进行验证。并在完整性验证成功时，向网络侧发送安全模式命令完成消息；

若处理模块 8031验证失改，放弃对该安全模式命令的完整性验证后，向网络侧发送安全模式验证失败消息或禁止向网络侧反馈。

在本发明实施例提供的网絡侧装置和用户终端侧装置中，网络侧向用户终端请求所述用户终端的能力信息，网络侧收到所述用户终端返回的能力信息后，向所述用户终端发起安全验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。

图 9描述了本发明实施例提供的另一网络侧的装置的结构，包括：接收模块 901，用于接收丽 E发送的携带 NAS安全算法能力信息的请求消息；

验证模块 902 , 用于接收模块接收请求消息后，将该用户终端的 NAS安全算法能力信息代替该用户终端的 AS安全算法能力信息，并发起验证过程，具体为参照该 NAS安全算法能力信息选择 RRC加密算法 EAEA、 RRC完整性保护算法 EAIA、用户面加密算法 EUEA。

进一步地，验证模块 902具体包括：

处理模块 9021 ,用于将该用户终端的 NAS安全算法能力信息代替 AS安全算法能力信息，参照 NAS安全算法能力信息选择该用户终端的 AS安全保护算法，通过 AS安全模式命令发送给该用户终端进行验证；

执行模块 9022 , 用于根据处理模块的验证结果，接收 AS安全模式命令完成消息, 启动安全模式。或者，收到该用户终端发送的安全模式验证失败的消息或确定在预定时间内没有收到该用户终端的反馈，判定验证失败，释放 RRC连接或者选择重传安全模式命令。

在本实施例中，根据接收的由 MME发送的 UE的 NAS安全算法能力信息，向该 UE发起验证过程，通过安全验证过程对获得的用户终端的能力信息进行保护，保证了网络侧存储的用户终端能力的真实可靠性。

通过以上的各实施例的描述，本领域的技术人员可以清楚地了解到本发明可借助软件及必需的通用硬件平台的方式来实现，当然，也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例该的方法。

虽然通过参照本发明的某些优选实施方式，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种改变，而不偏离本发明的精神和范围。

Claims

权利要求书

1、一种保护用户终端能力的方法，其特征在于，包括：

网络侧向用户终端请求所述用户终端的能力信息；

网络侧收到所述用户终端返回的能力信息后，向所述用户终端发起安全验证过程。

2、根据权利要求 1所述方法，其特征在于，所述网絡侧向所述用户终端发起安全验证过程包括：

所述网络侧将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证。

3、根据权利要求 2所述的方法，其特征在于，进一步包括：

若验证成功，则所述网络侧收到所述用户终端发送的安全模式命令完成消息，所述网络侧获取经过安全验证的所述用户终端能力信息。

4、根据权利要求 2所述的方法，其特征在于，进一步包括：

若验证失败，则所述网络侧收到所述用户终端发送的安全模式命令验证失败的消息或没有在预定时间内收到所述用户终端的反馈，所述网络侧判定所述用户终端的能力信息没有通过验证，所述网络侧释放无线资源控制 RRC 连接或重新发送安全模式命令。

5、根据权利要求 4所述的方法，其特征在于，所述的网络侧没有在预定时间内收到所述用户终端的反馈，所述网络侧判定所述用户终端的能力信息没有通过验证，具体为：

所述网络侧设置定时器，将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证后，所述网络侧启动该定时器；所述网络侧若没有在预定时间内收到所述用户终端的反馈，所述网络侧判定所述用户终端的能力信息没有通过验证。

6、根据权利要求 1至 5中任意一项所述的方法，其特征在于，所述的用户终端的能力信息，具体为：所述用户终端的能力信息的全部；

或，用户终端能力信息的摘要；

或，用户终端能力信息的一部份。

7、根据权利要求 3所述的方法，其特征在于，所述网络侧获取经过安全验证的所述用户终端能力信息进一步包括：

所述网络侧实体为演进基站 eNB,则 eNB获取经过安全验证的所述用户终端的能力信息后， eNB将经过安全验证的所述用户终端的能力信息发送给移动性管理实体 MME。

8、根据权利要求 2至 5中任一项所述的方法，其特征在于，包括：如果所述网络侧实体为 eNB, 则所述安全模式命令为应用服务器 AS层安全模式命令；

如果所述网络侧实体为固£，则所述的安全模式命令为非接入层 NAS层安全模式命令。

9、一种保护用户终端能力的方法，其特征在于，包括：

用户终端收到网络侧发送的用户终端能力查询请求，向所述网络侧发送所述用户终端的能力信息；

所述用户终端收到所述网絡侧发送的安全验证命令后，向所述网络侧进行安全验证过程。

10、根据权利要求 9 所述的方法，其特征在于，所述用户终端收到所述网络侧发送的安全验证命令后，向所述网络侧进行安全验证过程，具体为：

所述用户终端将收到的通过完整性保护的安全模式命令携带的所述用户终端能力信息与所述用户终端自身的能力信息进行睑证。

11、根据权利要求 10所述的方法，其特征在于，进一步包括：

所述用户终端对所述安全模式命令的完整性进行验证，若完整性验证成功，所这用户终端发送安全模式命令完成消息。

12、根据权利要求 10所述的方法，其特征在于，进一步包括：若能力信息验证失败，则所述用户终端放弃对所述安全模式命令的完整性验证，所述用户终端发送安全模式验证失败消息或禁止向网络侧反馈。

13、一种保护用户终端能力的方法，其特征在于，包括：

接收匪 E发送的携带 NAS安全算法能力信息的请求消息；

将用户终端的 NAS安全算法能力信息代替所述用户终端的 AS安全算法能力信息，并发起验证过程。

14、根据权利要求 13所述的方法，其特征在于，所述将用户终端的 NAS安全算法能力信息代替所述用户终端的 AS安全算法能力信息，并发起验证过程，具体为：

将所述用户终端的 NAS安全算法能力信息代替 AS安全算法能力信息，参照 NAS安全算法能力信息选择所述用户终端的 AS安全保护算法，通过 AS安全模式命令发送给所述用户终端进行验证。

15、根据权利要求 13所述的方法，其特征在于，进一步包括：

对 AS安全模式命令的完整性保护验证成功，则返回 AS安全模式命令完成消息，启动安全模式。

16、根据权利要求 13所述的方法，其特征在于，进一步包括：

若收到所述用户终端发送的安全模式验证失败的消息或在预定时间内没有收到所述用户终端的反馈，则判定验证失败，释放 RRC 连接或者重传安全模式命令。

17、根据权利要求 14所述的方法，其特征在于，所述参照 NAS安全算法能力信息选择用户终端的 AS安全保护算法具体包括：

参照该 NAS安全算法能力信息选择 AS层加密算法 EAEA、 AS层完整性保护算法 EAIA、 AS层用户面加密算法 EUEA。

18、根据权利要求 13至 17 中任一项所述的保护用户终端能力的方法，其特征在于，包括：

若验证通过，则将所述通过安全验证的所述用户终端的能力信息发送给所述丽 E。

19、一种网络侧装置，其特征在于，包括：

20、根据权利要求 19所述的网络侧装置，其特征在于，所述验证模块包括：处理模块，用于将获得的所述用户终端的能力信息通过完整性保护的安全模式命令发给所述用户终端进行验证；

执行模块，用于在验证成功时，接收安全模式命令完成消息；在验证失败时，接收安全模式命令失败的消息或确定没有在预定时间内收到所述用户终端的反馈，释放 R C连接或选择重传安全模式命令。

21、一种用户终端侧的装置，其特征在于，包括：

接收模块，用于接收网络侧发送的所述用户终端能力查询请求；

发送模块，用于所述接收模块接收到所述用户终端能力查询请求后，向所述网络侧发送所述用户终端的能力信息；

验证模块，用于收到所述网络侧发送的安全验证命令后，向所述网络侧进行安全验证过程；所述安全验证命令携带所述网络侧接收的用户终端的能力信息。

22、根据权利要求 21所述的用户终端侧的装置，其特征在于，所述验证模块包括：

处理模块，用于根据自身的能力信息，对收到的通过完整性保护的安全模式命令携带的所述用户终端的能力信息进行验证；

执行模块，用于根据所述处理模块的验证结果，对安全模式命令的完整性进行验证，并在完整性验证成功时，向所述网络侧发送安全模式命令完成消息；或者，放弃对所述安全模式命令的完整性验证，向所述网络侧发送安全模式验证失败消息或禁止向所述网络侧反馈。

23、一种网络侧装置，其特征在于，包括：

接收模块，用于接收匪 E发送的携带 NAS安全算法能力信息的请求消息；验证模块，用于所述接收模块接收请求消息后，将所述用户终端的 NAS 安全算法能力信息代替所述用户终端的 AS安全算法能力信息并发起验证过程。

24、根据权利要求 23所述的网络侧装置，其特征在于，所述验证模块包括：处理模块，用于将所述用户终端的 NAS安全算法能力信息代替所述 AS安全算法能力信息，参照所述 NAS安全算法能力信息选择所述用户终端的 AS安全保护算法，通过 AS安全模式命令发送给所述用户终端进行验证；

执行模块，用于根据所述处理模块的验证结果，接收所述 AS安全模式命令完成消息，启动安全模式；或者，收到所述用户终端发送的安全模式验证失败的消息或确定在预定时间内没有收到所述用户终端的反馈，判定验证失败，释放 RRC连接或者重传安全模式命令。