The embodiment of the invention discloses a network switch protection method, equipment and system, the method includes: receiving a request for session management device user equipment UE is switched from the source network to the target network path switching request; session management equipment according to the path switching request access to target security policy; access equipment first shared key and session management target security strategy generation second shared key and second shared key is sent to the target or target gateway based on security strategy and obtain the first pre shared key is sent to the target gateway; session management device second shared key is sent to the UE or the target security policy is sent to UE to UE, according to the first shared key and target the security strategy generates second shared key, second shared key used for end-to-end protection between UE and target gateway Secure transmission of protecting data. Using the invention, the UE can still transmit data safely after switching the network.
【技术实现步骤摘要】
一种网络切换保护方法、相关设备及系统
本专利技术涉及计算机
,尤其涉及一种网络切换保护方法、相关设备及系统。
技术介绍
未来第五代移动通信技术(5th-Generation,简称:5G)网络正朝着网络多元化、宽带化、综合化、智能化的方向发展。随着各种用户设备(英文:UserEquipment,简称:UE)的普及,移动数据流量将呈现爆炸式增长。为了提高流量的传输效率,5G网络在交互流程上也会做相应的改进,例如,5G技术中UE在网络中传输数据时,无需与无线接入网设备(英文:RadioAccessNetwork,简称:RAN)之间验证数据的安全性,该RAN用来转发该UE与UP-GW之间的数据即可,验证数据安全性任务的工作由该UE与该网络中的用户面网关(英文:UserPlane-Gateway,简称:UP-GW)来进行,即UE与UP-GW之间端到端地保护数据的安全传输。图1为目前正在研究的一种5G网络的流程示意图,该流程的执行需要的网元包括UE、RAN、UP-GW等,执行流程大致如下:步骤1:UE在当前驻留的网络(当前驻留的网络可以称为“源网络”)中进行数据的传输,该UE与该UP-GW预先协商出共享密钥来保护数据的安全传输。步骤2:该UE执行由源网络到新网络的切换,未来5G中可以根据网络当前的负载、该UE的地理位置变化、当前网络的信号强度等信息来触发该UE发生切换。新网络中的用户面网关可以称为目标UP-GW。步骤3:该UE与该目标UP-GW建立新会话。步骤4:该UE基于该新会话在该新网络中进行数据传输,且该UE与该UP-GW共同保护数据的安全传输。步骤5:该 ...
【技术保护点】
一种网络切换保护方法,其特征在于,包括:会话管理设备接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求,所述源网络为所述UE当前驻留的网络;所述会话管理设备根据所述路径切换请求获取目标安全策略,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输的密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络双向认证生成的密钥推衍的密钥;所述会话管理设备获取基于第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关,或者将所述目标安全策略和预先获取的所述第一共享密钥发送给所述目标网关,以使所述目标网关基于所述第一共享密钥和所述目标安全策略生成的所述第二共享密钥,所述第一共享密钥为所述参考共享密钥或所述基础密钥,所述目标网关为所述目标网络的用户面网关;所述会话管理设备将所述第二共享密钥发送给所述UE或者将所述目标安全策略发送给所述UE,以使所述UE根据所述第一共 ...
【技术特征摘要】
1.一种网络切换保护方法,其特征在于,包括:会话管理设备接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求,所述源网络为所述UE当前驻留的网络;所述会话管理设备根据所述路径切换请求获取目标安全策略,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输的密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络双向认证生成的密钥推衍的密钥;所述会话管理设备获取基于第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关,或者将所述目标安全策略和预先获取的所述第一共享密钥发送给所述目标网关,以使所述目标网关基于所述第一共享密钥和所述目标安全策略生成的所述第二共享密钥,所述第一共享密钥为所述参考共享密钥或所述基础密钥,所述目标网关为所述目标网络的用户面网关;所述会话管理设备将所述第二共享密钥发送给所述UE或者将所述目标安全策略发送给所述UE,以使所述UE根据所述第一共享密钥和所述目标安全策略生成所述第二共享密钥,所述第二共享密钥用于在所述UE与所述目标网关之间端到端地保护数据的安全传输。2.根据权利要求1所述的方法,其特征在于,所述会话管理设备根据所述路径切换请求获取目标安全策略,包括:所述会话管理设备向安全策略控制器发送安全策略请求消息,所述安全策略控制用于管理与所述源网络和/或所述目标网络中的设备相关的安全策略;所述会话管理设备接收所述安全策略控制器发送的目标安全策略。3.根据权利要求1所述的方法,其特征在于,所述会话管理设备包括源会话管理设备和目标会话管理设备;所述源会话管理设备用于管理所述源网络中的各个用户设备的会话,所述目标会话管理设备用于管理所述目标网络中的各个用户设备的会话;所述会话管理设备接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求,包括:所述源会话管理设备接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求;所述会话管理设备根据所述路径切换请求获取目标安全策略,包括:所述源会话管理设备获取初始安全策略并将所述初始安全策略发送给所述目标会话管理设备;所述目标会话管理设备根据所述初始安全策略获取目标安全策略;所述会话管理设备获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关,包括:所述目标会话管理设备获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关;所述会话管理设备将所述目标安全策略发送给所述UE,包括:所述目标会话管理设备将所述目标安全策略发送给所述UE。4.根据权利要求3所述的方法,其特征在于,所述源会话管理设备接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求之后,所述目标会话管理设备获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关之前,所述方法还包括:所述源会话管理设备向源密钥管理设备发送密钥请求消息,所述源密钥管理设备用于管理接入到所述源网络中的各个用户设备的用于端到端地保护数据安全传输的共享密钥;所述源会话管理设备接收所述源密钥管理设备根据所述密钥请求消息发送的第一共享密钥,并将所述第一共享密钥发送给所述目标会话管理设备。5.根据权利1~4任一项所述的方法,其特征在于,所述会话管理设备获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥,包括:向目标密钥管理设备发送所述目标安全策略,所述目标密钥管理设备用于管理接入到所述目标网络的各个用户设备的用于端到端地保护数据安全传输的共享密钥;接收所述目标密钥管理设备根据所述目标安全策略和预先获取的所述第一共享密钥生成的第二共享密钥。6.根据权利要求1~4任一项所述的方法,其特征在于,所述会话管理设备获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥,包括:根据所述目标安全策略和预先获取的所述第一共享密钥生成第二共享密钥。7.根据权利要求1~6任一项所述的方法,其特征在于,所述初始安全策略和所述目标安全策略均定义了密钥算法、密钥长度和密钥更新周期中至少一项。8.根据权利要求1~7任一项所述的方法,其特征在于,所述目标安全策略为根据所述用户设备的安全需求和/或所述目标网关的安全需求得到的,所述用户设备的安全需求表征了所述用户设备可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项;所述目标网关的安全需求表征了所述目标网关可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项。9.一种网络切换保护方法,其特征在于,包括:密钥管理设备接收会话管理设备在接收到路径切换请求后发送的目标安全策略,所述路径切换请求用于请求将用户设备UE从源网络切换到目标网络,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输的密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络双向认证生成的密钥推衍的密钥;所述密钥管理设备根据所述目标安全策略和预先获取的第一共享密钥生成第二共享密钥,所述第一共享密钥为所述参考共享密钥或所述基础密钥;所述密钥管理设备将所述第二共享密钥发送给所述会话管理设备,以使所述会话管理设备将所述第二共享密钥发送给目标网关,所述目标网关为所述目标网络的用户面网关,所述第二共享密钥用于所述UE与所述目标网关之间端到端地保护数据的安全传输。10.根据权利要求9所述的方法,其特征在于,所述密钥管理设备根据所述目标安全策略和预先获取的所述第一共享密钥生成第二共享密钥之前,所述方法还包括:所述密钥管理设备接收所述会话管理设备在接收到路径切换请求后发送的第一共享密钥,所述会话管理设备中预存了所述第一共享密钥或者所述会话管理设备预先向所述源网络中的管理密钥的设备获取了所述第一共享密钥。11.根据权利要求9所述的方法,其特征在于,所述密钥管理设备根据所述目标安全策略和预先获取的所述第一共享密钥生成第二共享密钥之前,所述方法还包括:所述密钥管理设备向所述源网络中的管理密钥的设备发送密钥查询请求,所述密钥查询请求用于请求查询所述UE在所述源网络中用于端到端地保护数据安全传输的共享密钥;所述密钥管理设备接收所述管理密钥的设备发送的所述第一共享密钥。12.根据权利要求9所述的方法,其特征在于,所述密钥管理设备用于管理所述源网络中和所述目标网络中的各个用户设备的密钥,所述密钥管理设备中存储了所述第一共享密钥。13.根据权利要求9~12任一项所述的方法,其特征在于,所述初始安全策略和所述目标安全策略均定义了密钥算法、密钥长度和密钥更新周期中至少一项。14.根据权利要求9~13任一项所述的方法,其特征在于,所述目标安全策略为根据所述用户设备的安全需求和/或所述目标网关的安全需求得到的,所述用户设备的安全需求表征了所述用户设备可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项;所述目标网关的安全需求表征了所述目标网关可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项。15.一种网络切换保护方法,其特征在于,包括:用户设备向目标网络发送会话重建请求,所述会话重建请求用于触发向所述目标网络中的会话管理设备重建会话;所述用户设备接收所述会话管理设备在接收到路径切换请求后发送的目标安全策略,所述路径切换请求用于请求将用户设备UE从源网络切换到目标网络,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络双向认证生成的密钥推衍的密钥;所述用户设备根据所述目标安全策略和自身的第一共享密钥生成第二共享密钥;所述第二共享密钥用于所述UE与目标网关之间端到端地保护数据的安全传输,所述目标网关为所述目标网络的用户面网关,所述第一共享密钥为所述参考共享密钥或所述基础密钥。16.根据权利要求15所述的方法,其特征在于,所述初始安全策略和所述目标安全策略均定义了密钥算法、密钥长度和密钥更新周期中至少一项。17.根据权利要求15或16所述的方法,其特征在于,所述目标安全策略为根据所述用户设备的安全需求和/或所述目标网关的安全需求得到的,所述用户设备的安全需求表征了所述用户设备可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项;所述目标网关的安全需求表征了所述目标网关可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项。18.一种会话管理设备,其特征在于,包括:第一接收单元,用于接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求,所述源网络为所述UE当前驻留的网络;第一获取单元,用于根据所述路径切换请求获取目标安全策略,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输的密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络双向认证生成的密钥推衍的密钥;第二获取单元,用于获取基于第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关,或者将所述目标安全策略和预先获取的所述第一共享密钥发送给所述目标网关,以使所述目标网关基于所述第一共享密钥和所述目标安全策略生成的所述第二共享密钥,所述第一共享密钥为所述参考共享密钥或所述基础密钥,所述目标网关为所述目标网络的用户面网关;第一发送单元,用于将所述第二共享密钥发送给所述UE或者将所述目标安全策略发送给所述UE,以使所述UE根据所述第一共享密钥和所述目标安全策略生成所述第二共享密钥,所述第二共享密钥用于在所述UE与所述目标网关之间端到端地保护数据的安全传输。19.根据权利要求18所述的会话管理设备,其特征在于,所述第一获取单元具体用于向安全策略控制器发送安全策略请求消息,所述安全策略控制用于管理与所述源网络和/或所述目标网络中的设备相关的安全策略;接收所述安全策略控制器发送的目标安全策略。20.根据权利要求18所述的会话管理设备,其特征在于,所述会话管理设备包括源会话管理设备和目标会话管理设备;所述源会话管理设备用于管理所述源网络中的各个用户设备的会话,所述目标会话管理设备用于管理所述目标网络中的各个用户设备的会话;所述源会话管理设备包括所述第一接收单元和所述第一获取单元,所述目标会话管理设备包括所述第二获取单元和所述第一发送单元;所述第一获取单元具体用于获取初始安全策略并将所述初始安全策略发送给所述目标会话管理设备;所述目标会话管理设备根据所述初始安全策略获取目标安全策略;所述第二获取单元具体用于获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关。21.根据权利要求20所述的会话管理设备,其特征在于,所述源会话管理设备还包括第二发送单元和第二接收单元:所述第二发送单元用于在所述接收单元接收用于请求将用户设备UE从源网络切换到目标网络的路径切换请求之后,所述第二获取单元获取基于所述第一共享密钥和所述目标安全策略生成的第二共享密钥并将所述第二共享密钥发送给目标网关之前,向源密钥管理设备发送密钥请求消息,所述源密钥管理设备用于管理接入到所述源网络中的各个用户设备的用于端到端地保护数据安全传输的共享密钥;所述第二接收单元,用于接收所述源密钥管理设备根据所述密钥请求消息发送的第一共享密钥,并将所述第一共享密钥发送给所述目标会话管理设备。22.根据权利18~21任一项所述的会话管理设备,其特征在于,所述第二获取单元具体用于向目标密钥管理设备发送所述目标安全策略,所述目标密钥管理设备用于管理接入到所述目标网络的各个用户设备的用于端到端地保护数据安全传输的共享密钥;接收所述目标密钥管理设备根据所述目标安全策略和预先获取的所述第一共享密钥生成的第二共享密钥。23.根据权利要求18~21任一项所述的会话管理设备,其特征在于,所述第二获取单元具体用于根据所述目标安全策略和预先获取的所述第一共享密钥生成第二共享密钥。24.根据权利要求18~23任一项所述的会话管理设备,其特征在于,所述初始安全策略和所述目标安全策略均定义了密钥算法、密钥长度和密钥更新周期中至少一项。25.根据权利要求18~24任一项所述的会话管理设备,其特征在于,所述目标安全策略为根据所述用户设备的安全需求和/或所述目标网关的安全需求得到的,所述用户设备的安全需求表征了所述用户设备可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项;所述目标网关的安全需求表征了所述目标网关可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项。26.一种密钥管理设备,其特征在于,包括:第一接收单元,用于接收会话管理设备在接收到路径切换请求后发送的目标安全策略,所述路径切换请求用于请求将用户设备UE从源网络切换到目标网络,所述目标安全策略为初始安全策略或者为基于预设规则对所述初始安全策略处理得到的安全策略,所述初始安全策略定义了生成参考共享密钥的方式,所述参考共享密钥为根据基础密钥生成的用于所述UE在所述源网络中端到端地保护数据安全传输的密钥,所述基础密钥为所述UE与所述源网络双向认证生成的密钥或者基于所述UE与所述源网络...
【专利技术属性】
技术研发人员:吴荣,张博,甘露,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。