一种用户面数据安全保护方法及装置制造方法及图纸

技术编号:21664120 阅读:48 留言:0更新日期:2019-07-20 07:04
本申请公开了一种用户面数据安全保护方法及装置。本申请的一种方法中,接入网节点接收来自于接入及移动性管理网元的请求消息,根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护;其中,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护。本申请的另一方法中,会话管理网元确定对指定的数据流进行完整性保护;所述会话管理网元向接入及移动性管理网元发送请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对所述数据流开启完整性保护。

A Method and Device for Safeguarding User Surface Data

【技术实现步骤摘要】
一种用户面数据安全保护方法及装置
本申请涉及无线通信
,尤其涉及一种用户面数据安全保护方法及装置。
技术介绍
在无线承载方面,5G系统中无线承载的类型及建立流程与长期演进(longtermevolution,LTE)系统中无线承载的类型及建立流程相似。具体的,在LTE系统中无线承载的类型主要有两种:信令无线承载和数据无线承载(DataRadioBearer,DRB),DRB主要传输用户面数据。通过这些承载可以使得下层协议向上层协议提供服务。在LTE系统中,在无线资源控制(radioresourcecontrol,RRC)连接建立过程完成之后启用安全保护,大部分的信令消息都开启加密和完整性保护。由于考虑安全处理效率等因素,基站与终端之间对于用户面数据只启用了加密保护,未启用用户面数据的完整性保护。5G系统是一种面向服务的融合系统,相比LTE系统具有更加广泛的应用场景。例如,5G系统支持用于包括工业自动化(远程)控制系统在内的应用的超可靠、低延迟通信,还可支持大量高效、高成本、高密度的物联网设备。在上述场景中,由于用户面数据涉及关键的执行指令等不可更改信息,需要在空口对这些用户面数据进行完整性保护。
技术实现思路
本申请实施例提供一种用户面数据安全保护方法及装置,以实现对用户面数据进行完整性保护。第一方面,提供一种用户面数据安全保护方法,包括:接入网节点接收来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;所述接入网节点根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。可选地,所述完整性保护指示信息包括所述数据流的信息以及与所述数据流的信息对应的完整性保护开启标识。可选地,所述数据流的信息为所述数据流的标识,所述请求消息包含会话管理信息单元,所述会话管理信息单元包含第一信息单元,所述第一信息单元携带所述数据流的标识以及所述完整性保护开启标识;或者,所述请求消息包含第二信息单元,所述第二信息单元携带所述数据流的服务质量QoS配置信息,所述QoS配置信息包含所述完整性保护开启标识。可选地,所述完整性保护指示信息还用于指示所述接入网节点使用的完整性保护算法;所述接入网节点根据所述请求消息建立所述数据流对应的DRB,并开启对所述DRB的完整性保护,包括:所述接入网节点判断所述接入网节点是否支持所述完整性保护指示信息所指示的完整性保护算法,若判定为是,则根据所述请求消息建立所述数据流对应的DRB,并根据所述完整性保护指示信息所指示的完整性保护算法,开启对所述DRB的完整性保护。可选地,所述请求消息携带多个完整性保护指示信息,一个完整性保护指示信息用于指示针对一个数据流开启完整性保护;所述接入网节点根据所述请求消息建立所述指定的数据流对应的DRB,包括:所述接入网节点根据所述多个完整性保护指示信息,为所述多个完整性保护指示信息指示的多个数据流,建立所述多个数据流对应的DRB。可选地,所述请求消息为以下消息中的一种:参考节点请求消息,所述参考节点请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的服务请求发送所述会话更新请求;第一PDU会话请求消息,所述第一PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话建立请求发送的,其中,所述会话管理网元基于终端发起的PDU会话建立请求发送所述会话建立请求;第二PDU会话请求消息,所述第二PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的PDU会话修改请求发送所述会话更新请求。第二方面,提供一种用户面数据安全保护方法,包括:会话管理网元确定对指定的数据流进行完整性保护;所述会话管理网元向接入及移动性管理网元发送请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对所述数据流开启完整性保护。可选地,所述完整性保护指示信息包括所述数据流的信息以及与所述数据流的信息对应的完整性保护开启标识。可选地,所述数据流的信息为所述数据流的标识,所述请求消息包含会话管理信息单元,所述会话管理信息单元包含第一信息单元,所述第一信息单元携带所述数据流的标识以及所述完整性保护开启标识;或者,所述请求消息包含第二信息单元,所述第二信息单元携带所述数据流的QoS配置信息,所述QoS配置信息包含所述完整性保护开启标识。可选地,所述方法还包括:所述会话管理网元确定对所述数据流进行完整性保护所使用的完整性保护算法;所述请求消息还携带所述会话管理网元确定出的所述终端和所述接入网节点使用的完整性保护算法的指示信息,或者所述请求消息携带的完整性保护指示信息还用于指示所述终端和所述接入网节点使用的完整性保护算法。可选地,所述会话管理网元确定对指定的数据流进行完整性保护,包括:所述会话管理网元根据终端发起的服务请求,确定对所述服务请求所对应的数据流进行完整性保护;或者所述会话管理网元根据终端发起的PDU会话建立请求,确定对所述PDU会话建立请求对应的数据流进行完整性保护;或者所述会话管理网元根据终端发起的PDU会话修改请求,确定对所述PDU会话修改请求对应的数据流进行完整性保护。第三方面,提供一种接入网节点,包括:接收模块,用于来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;处理模块,用于根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。第四方面,提供一种会话管理网元,包括:确定模块,用于确定对指定的数据流进行完整性保护;发送模块,用于向接入及移动性管理网元发送请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对所述数据流开启完整性保护。第五方面,提供一种接入网节点,包括:处理器、存储器、收发机,所述处理器、存储器和收发机通过总线连接;所述处理器,用于读取存储器中的程序,执行:通过所述收发机接收来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。可选地,所述完整性保护指示信息包括所述数据流的信息以及与所述数据流的信息对应的完整性保护开启标识。可选地,所述数据流的信息为所述数据流的标识,所述请求消息包含会话管理信息单元,所述会话管理信息单元包含第一信息单元,所述第一信息单元携带所述数据流的标识以及所述完整性保护开启标识;或者,所述请求消息包含第二信息单元,所述第二信息单元携带所述数据流的服务质量QoS配置信息,所述QoS配置信息包含所述完整性保护开启标识。可选地,所述请求消息还携带终端和所述接入网节点使用的完整性保护算法的指示信息;所述处理器具体用于:判断所述接入网节点是否支持所述完整性保护算法的指示信息所指示的完整性保护算法,若判定为是,则根据所述请求消息建立所述数据本文档来自技高网...

【技术保护点】
1.一种用户面数据安全保护方法,其特征在于,包括:接入网节点接收来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;所述接入网节点根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。

【技术特征摘要】
1.一种用户面数据安全保护方法,其特征在于,包括:接入网节点接收来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;所述接入网节点根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。2.如权利要求1所述的方法,其特征在于,所述完整性保护指示信息包括所述数据流的信息以及与所述数据流的信息对应的完整性保护开启标识。3.如权利要求2所述的方法,其特征在于,所述数据流的信息为所述数据流的标识,所述请求消息包含会话管理信息单元,所述会话管理信息单元包含第一信息单元,所述第一信息单元携带所述数据流的标识以及所述完整性保护开启标识;或者,所述请求消息包含第二信息单元,所述第二信息单元携带所述数据流的服务质量QoS配置信息,所述QoS配置信息包含所述完整性保护开启标识。4.如权利要求1所述的方法,其特征在于,所述完整性保护指示信息还用于指示所述接入网节点使用的完整性保护算法;所述接入网节点根据所述请求消息建立所述数据流对应的DRB,并开启对所述DRB的完整性保护,包括:所述接入网节点判断所述接入网节点是否支持所述完整性保护指示信息所指示的完整性保护算法,若判定为是,则根据所述请求消息建立所述数据流对应的DRB,并根据所述完整性保护指示信息所指示的完整性保护算法,开启对所述DRB的完整性保护。5.如权利要求1所述的方法,其特征在于,所述请求消息携带多个完整性保护指示信息,一个完整性保护指示信息用于指示针对一个数据流开启完整性保护;所述接入网节点根据所述请求消息建立所述指定的数据流对应的DRB,包括:所述接入网节点根据所述多个完整性保护指示信息,为所述多个完整性保护指示信息指示的多个数据流,建立所述多个数据流对应的DRB。6.如权利要求1至4中任一项所述的方法,其特征在于,所述请求消息为以下消息中的一种:参考节点请求消息,所述参考节点请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的服务请求发送所述会话更新请求;第一PDU会话请求消息,所述第一PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话建立请求发送的,其中,所述会话管理网元基于终端发起的PDU会话建立请求发送所述会话建立请求;第二PDU会话请求消息,所述第二PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的PDU会话修改请求发送所述会话更新请求。7.一种用户面数据安全保护方法,其特征在于,包括:会话管理网元确定对指定的数据流进行完整性保护;所述会话管理网元向接入及移动性管理网元发送请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对所述数据流开启完整性保护。8.如权利要求7所述的方法,其特征在于,所述完整性保护指示信息包括所述数据流的信息以及与所述数据流的信息对应的完整性保护开启标识。9.如权利要求8所述的方法,其特征在于,所述数据流的信息为所述数据流的标识,所述请求消息包含会话管理信息单元,所述会话管理信息单元包含第一信息单元,所述第一信息单元携带所述数据流的标识以及所述完整性保护开启标识;或者,所述请求消息包含第二信息单元,所述第二信息单元携带所述数据流的QoS配置信息,所述QoS配置信息包含所述完整性保护开启标识。10.如权利要求7所述的方法,其特征在于:所述方法还包括:所述会话管理网元确定对所述数据流进行完整性保护所使用的完整性保护算法;所述请求消息还携带所述会话管理网元确定出的所述终端和所述接入网节点使用的完整性保护算法的指示信息,或者所述请求消息携带的完整性保护指示信息还用于指示所述终端和所述接入网节点使用的完整性保护算法。11.如权利要求7至10中任一项所述的方法,其特征在于,所述会话管理网元确定对指定的数据流进行完整性保护,包括:所述会话管理网元根据终端发起的服务请求,确定对所述服务请求所对应的数据流进行完整性保护;或者所述会话管理网元根据终端发起的PDU会话建立请求,确定对所述PDU会话建立请求对应的数据流进行完整性保护;或者所述会话管理网元根据终端发起的PDU会话修改请求,确定对所述PDU会话修改请求对应的数据流进行完整性保护。12.一种用户面数据安全保护方法,其特征在于,包括:接入网节点接收来自于接入及移动性管理网元的请求消息,所述请求消息携带数据流的服务质量QoS信息;所述接入网节点根据所述数据流的QoS信息以及完整性保护配置信息,确定是否对所述数据流进行完整性保护;其中,所述完整性保护配置信息用于指示是否需要对所述QoS信息对应的数据流进行完整性保护;若确定为是,则所述接入网节点根据所述请求消息建立所述数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。13.如权利要求12所述的方法,其特征在于,所述完整性保护配置信息包括需要进行完整性保护的数据流所对应的业务类型;所述接入网节点根据所述数据流的QoS信息以及完整性保护配置信息,确定是否对所述数据流进行完整性保护,包括:所述接入网节点根据所述数据流的QoS信息确定所述数据流对应的业务类型;若所述数据流对应的业务类型与所述完整性保护配置信息包括的业务类型相匹配,则所述接入网节点确定对所述数据流进行完整性保护。14.如权利要求12所述的方法,其特征在于,所述接入网节点根据所述请求消息建立所述数据流对应的DRB,包括:若所述接入网节点确定对多个数据流进行完整性保护,则所述接入网节点根据所述多个完整性保护指示信息,建立所述多个数据流对应的DRB。15.如权利要求12至14中任一项所述的方法,其特征在于,所述请求消息为以下消息中的一种:参考节点请求消息,所述参考节点请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的服务请求发送所述会话更新请求;第一PDU会话请求消息,所述第一PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话建立请求发送的,其中,所述会话管理网元基于终端发起的PDU会话建立请求发送所述会话建立请求;第二PDU会话请求消息,所述第二PDU会话请求消息是所述接入及移动性管理网元根据来自于会话管理网元的会话更新请求发送的,其中,所述会话管理网元基于终端发起的PDU会话修改请求发送所述会话更新请求。16.一种接入网节点,其特征在于,包括:接收模块,用于接收来自于接入及移动性管理网元的请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对指定的数据流开启完整性保护;处理模块,用于根据所述请求消息建立所述指定的数据流对应的数据无线承载DRB,并开启对所述DRB的完整性保护。17.一种会话管理网元,其特征在于,包括:确定模块,用于确定对指定的数据流进行完整性保护;发送模块,用于向接入及移动性管理网元发送请求消息,所述请求消息携带完整性保护指示信息,所述完整性保护指示信息用于指示针对所述数据流开启完整性保护。18.一种接入网节点,其特征在于,包括:接收模块,用于接收来自于接入及移动性管理网元的请求消息,所述请求消息携带数据流的服务质量QoS信息;确定模块,用于根据所述数据流的QoS信息以及完整性保...

【专利技术属性】
技术研发人员:毕晓宇刘佳敏刘爱娟郭雅莉
申请(专利权)人:电信科学技术研究院
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1