一种安全保护的方法、装置和系统制造方法及图纸

本申请涉及无线通信技术领域。本申请的实施例提供一种安全保护的方法、装置和系统，用以解决终端切换服务基站的效率低的问题。本申请的方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系；第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请适用于终端切换服务基站的流程中。

【技术实现步骤摘要】
一种安全保护的方法、装置和系统
本申请涉及无线通信
，尤其涉及一种安全保护的方法、装置和系统。
技术介绍
在通信系统中，如果终端快速移出为自身服务的基站的服务范围时，为了保证终端的会话连续性(例如保证终端正在进行的业务不中断)，原基站会发起终端的切换流程，将终端的服务基站由原基站切换至目标基站，由目标基站继续支持终端正在进行的业务。在终端的切换流程中，原基站向目标基站发送的切换请求包括终端的安全能力和终端切换过程中基站的密钥(kyeinevlovedNodeB，KeNB*)。目标基站可根据接收到的终端的安全能力和KeNB*，确定信令面加密算法、信令面完整性保护算法和用户面加密算法，并且目标基站分别生成信令面加密密钥、信令面完整性保护密钥和用户面加密密钥。然后目标基站通过原基站向终端发送切换命令消息，切换命令消息中携带目标基站确定的信令面加密算法、信令面完整性保护算法和用户面加密算法。接着终端根据切换命令消息中携带的算法分别生成信令面加密算法、信令面完整性保护算法以及用户面加密算法，进而终端使用信令面加密算法和信令面完整性保护算法对切换确认消息进行加密，并将加密后的切换确认消息发送给目标基站。在终端的切换流程中，无论是否需要进行信令面安全保护和用户面安全保护，目标基站都会确定信令面加密算法，信令面完整性保护算法以及用户面加密算法，会增大目标基站的开销，并且会增加目标基站为终端切换作准备的时间，从而降低终端的切换效率。
技术实现思路
本申请的实施例提供一种安全保护的方法、装置和系统，可以解决终端切换服务基站的效率低的问题。为了达到上述目的，本申请的实施例采用如下技术方案：第一方面，本申请的实施例提供一种安全保护的方法，该方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系，然后第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请实施例的方案中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销。进一步的，若应用于终端切换的场景中，能够减少第一接入网设备为终端切换作准备的时间，从而提高了终端的切换效率。其中，用户面信息可包括PDU会话标识，QoS参数和切片参数中的任意一项或多项。用户面信息和安全策略的对应关系的表现形式可以为具有一个对应关系的用户面信息和安全策略的组合。多种用户面信息可以通过一个对应关系对应多种安全策略，例如一组用户面信息和安全策略的对应关系中的用户面信息包括PDU会话标识和QoS参数，安全策略包括安全策略1和安全策略2。或者，一种用户面信息通过一个对应关系对应一种安全策略，例如一组用户面信息和安全策略的对应关系为一个QoS参数和一种安全策略的组合。作为一个例子，用户面信息和安全策略的对应关系可以为{PDUsessionID＝1，NIA＝1，NEA＝2}，表示PDU会话标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。可选地，本申请实施例的方案可以应用于终端切换服务基站的过程中，第一接入网设备可以为TgNB，第二接入网设备可以为SgNB,在终端切换服务基站的过程中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销，减少了第一接入网为终端切换作准备的时间，从而提高了终端的切换效率。在一种可能的设计中，第一接入网设备确定第一用户面保护算法为信令面保护算法。在另一种可能的设计中，第一接入网设备确定信令面保护算法，信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。在一种可能的设计中，第一接入网设备通过第二接入网设备向终端发送第一指示信息，第一指示信息用于指示第一用户面保护算法与信令面保护算法相同；或者，第一指示信息用于指示第一接入网设备确定的信令面保护算法标识。通过本申请实施例的方案，第一接入网设备在确定信令面保护算法之后，通知终端可用的信令面保护算法，以便终端及时开启信令面安全保护，对信令面消息进行安全保护，保证了信令面消息的安全性。在一种可能的设计中，安全策略用于指示开启的安全保护类型，安全保护类型包括用户面加密保护和用户面完整性保护之一或全部；第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法的方法为：第一接入网设备确定安全策略指示开启的安全保护类型对应的第一用户面保护算法。其中，每个安全保护类型对应一个算法集合。其中一种实现方式为：第一接入网设备中存储了用户面加密算法集合，用户面完整性保护算法集合，第一接入网设备不区分用户面加密算法和信令面加密算法，也不区分用户面完整性保护算法和信令面完整性保护算法，即用户面加密算法集合也可作为信令面加密算法集合，用户面完整性保护算法集合也可作为信令面完整性保护算法集合。另一种实现方式为：第一接入网设备区分用户面加密算法和信令面加密算法，区分用户面完整性保护算法和信令面完整性保护算法，第一接入网设备存储了用户面加密算法集合，用户面完整性保护算法集合，信令面加密算法集合和信令面完整性保护算法集合。上述算法集合均可以以优先级列表的形式存在，优先级列表中的算法按照优先级从高到低的顺序排列。在另一种可能的设计中，安全策略中包括用户面保护算法标识；所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定用户面保护算法的方法具体为：第一接入网设备确定用户面保护算法标识对应的第二用户面保护算法；若第一接入网设备和终端均支持第二用户面保护算法，则第一接入网设备确定第二用户面保护算法为第一用户面保护算法；或者，若第一接入网设备和终端中的任意一个不支持第二用户面保护算法，则第一接入网设备从第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择第一接入网设备和终端均支持的第一用户面保护算法。可选地，安全保护类型对应的安全算法集合可以以优先级列表的形式存在，优先级列表中的算法按照优先级从高到低的顺序排列。可选地，第一接入网设备还可以接收来自第二接入网设备的终端的安全能力，终端的安全能力中包括终端支持的用户面保护算法，第一接入网设备可从第二用户面保护算法所属的安全保护类型对应的安全算法集合中，选择终端支持的优先级最高的用户面保护算法。在一种可能的设计中，第一接入网设备根据第一用户面保护算法生成用户面保护密钥，用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。在一种可能的设计中，第一接入网设备根据所述信令面保护算法生成信令面保护密钥，信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。在一种可能的设计中，第一接入网设备通过所述第二接入网设备向终端发送经过用户面完整性保护密钥或信令面完整性保护密钥保护的第一消息，第一消息中包括所述第一用户面保护算法。可选地，若第一接入网设备已经确定了信令面保护算法，第一消息中还可携带信令面保护算法。在一种可能的设计中，第一接入网设备接收来自终端的经过用户面保护密钥保护的或经过信令面保护密钥保护的第二消息，第二消息为第一消息的响应消息。在一种可能的设计中，该方法还包括：第一接入网设备向接入和移动性管理功能A本文档来自技高网...

【技术保护点】
1.一种安全保护的方法，所述方法应用于终端从源基站到目标基站切换的场景，其特征在于，包括：所述目标基站接收来自所述源基站的数据包单元PDU会话标识和安全策略的对应关系；所述目标基站根据所述PDU会话标识和安全策略的对应关系确定所述PDU会话标识对应的第一用户面保护算法，所述第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。

【技术特征摘要】
1.一种安全保护的方法，所述方法应用于终端从源基站到目标基站切换的场景，其特征在于，包括：所述目标基站接收来自所述源基站的数据包单元PDU会话标识和安全策略的对应关系；所述目标基站根据所述PDU会话标识和安全策略的对应关系确定所述PDU会话标识对应的第一用户面保护算法，所述第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述目标基站确定信令面保护算法，所述信令面保护算法包括信令面加密算法和信令面完整性保护算法。3.根据权利要求1所述的方法，其特征在于，所述安全策略用于指示所述PDU会话标识对应的会话是否需要开启用户面加密保护和/或是否需要开启用户面完整性保护。4.根据权利要求3所述的方法，其特征在于，所述目标基站根据所述PDU会话标识和安全策略的对应关系确定所述PDU会话标识对应的第一用户面保护算法，包括：若所述安全策略指示所述PDU会话标识对应的会话开启用户面加密保护，则所述目标基站从存储的用户面加密算法集合中选择一个所述终端支持的优先级最高的用户面加密算法；若所述安全策略指示所述PDU会话标识对应的会话开启用户面完整性保护，则所述目标基站从存储的用户面完整性保护算法集合中选择一个所述终端支持的优先级最高的用户面完整性保护算法；或者，若安全策略指示指示所述PDU会话标识对应的会话开启用户面加密保护和用户面完整性保护，则所述目标基站从存储的用户面加密算法集合中选择一个所述终端支持的优先级最高的用户面加密算法以及从存储的用户面完整性保护集合中选择一个所述终端支持的优先级最高的用户面完整性保护算法。5.根据权利要求1-4任一所述的方法，其特征在于，所述方法还包括：所述目标基站根据所述第一用户面保护算法生成用户面保护密钥，所述用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述目标基站通过所述源基站向终端发送经过所述用户面完整性保护密钥保护的第一消息，所述第一消息中包括所述第一用户面保护算法。7.根据权利要求1-4中任一项所述的方法，其特征在于，所述方法还包括：所述目标基站通过接入和移动性管理功能AMF节点向会话管理功能SMF节点发送从源基站接收到的所述PDU会话标识和安全策略的对应关系；若所述目标基站通过所述AMF节点接收来到自所述SMF节点的安全策略，且来自所述SMF节点的安全策略与来自所述源基站的安全策略不同，则所述目标基站根据来自所述SMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥。8.根据权利要求1-4中任一项所述的方法，其特征在于，所述方法还包括：所述目标基站通过接入和移动性管理功能AMF节点向会话管理功能SMF节点发送所述PDU会话标识和安全策略的对应关系；若所述目标基站通过所述AMF节点接收来到自所述SMF节点的第二指示信息，且未接收到来自所述SMF节点的安全策略，其中，所述第二指示信息指示所述目标基站不能使用来自所述源基站的安全策略，则所述目标基站根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。9.一种安全保护的方法，所述方法应用于终端从源基站到目标基站切换的场景，其特征在于，包括：所述源基站获取PDU会话标识和安全策略的对应关系；所述源基站向所述目标基站发送所述PDU会话标识和安全策略的对应关系。10.根据权利要求9所述的方法，其特征在于，所述安全策略用于指示所述PDU会话标识对应的会话是否需要开启用户面加密保护和是否需要开启用户面完整性保护。11.根据权利要求10或11所述的方法，其特征在于，所述方法还包括：所述源基站接收来自目标基站的经过用户面完整性保护密钥保护的或经过信令面完整性保护密钥保护的第一消息；其中，所述第一消息中包括所述第一用户面保护算法；所述源基站向所述终端发送所述第一消息。12.一种装置，其特征在于，包括：通信单元和处理单元；所述通信单元，用于接收来自源基站的PDU会话标识和安全策略的对应关系；所述处理单元，用于根据所述第一通信单元接收到的所述PDU会话标识和安全策略的对应关系确定所述PDU会话标识对应的第...

【专利技术属性】
技术研发人员：李赫，陈璟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44