本发明专利技术实施例提供一种安全协商方法、安全功能实体、核心网网元及用户设备,该方法包括:安全功能实体接收核心网网元发送的认证请求,所述认证请求为所述核心网网元根据用户设备UE的请求消息生成的;所述安全功能实体根据所述认证请求,与所述UE进行认证和和密钥协商,生成安全参数,其中,所述安全参数包括第一密钥;所述安全功能实体接收所述核心网网元发送的密钥请求;所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥。该方法能够协商出针对5G网络架构的NAS安全,从而满足5G网络的安全需要。
Security Negotiation Method, Security Functional Entities, Core Network Elements and User Equipment
【技术实现步骤摘要】
安全协商方法、安全功能实体、核心网网元及用户设备
本专利技术涉及通信技术,尤其涉及一种安全协商方法、安全功能实体、核心网网元及用户设备。
技术介绍
在第三代合作伙伴计划(3rdGenerationPartnershipProject,简称3GPP)网络中,附着是用户设备(UserEquipment,简称UE)进行业务前在网络中注册的过程,UE只有在附着成功后才能接收来自网络的服务。附着主要完成安全流程、资源清理和注册更新及默认承载建立等过程。其中,安全流程主要包括接入认证和密钥协商(AuthenticationandKeyAgreement,简称AKA)和算法协商。UE和网络之间通过AKA过程协商出一个基础密钥Kamse,再根据该基础Kasme和特定的算法标识完成算法协商,从而协商出完整性保护密钥和加密密钥。在此之后,UE和网络之间进行交互的信令都会通过协商出的完整性保护密钥和加密密钥分别进行完整性保护和加密保护。在4G长期演进(LongTermEvolution,简称LTE)系统中,UE和网络之间的AKA和算法协商具体是通过UE和移动性管理实体(MobilityManagementEntity,简称MME)之间进行协商。MME主要负责用户及会话管理的所有控制平面功能,包括非接入层(Non-accessStratum,简称NAS)信令及安全,跟踪区管理,网关选择等。即,MME既负责移动性管理,又负责会话管理,因此,在4G网络中,UE和网络之间的信令交互都终结在MME,因此,UE和网络之间的AKA和算法协商仅需要UE和MME之间进行协商,因此仅需要协商出一套AKA和算法协商结果即可。而在5G网络中,原MME所具有的移动性管理功能和会话功能被不同的网络实体来实现。具体地,5G网络被抽象为不同的网络切片,每个网络切片中都包括移动性管理功能实体(MobilityManagement,简称MM)和会话管理(SessionManagement,简称SM)功能实体等控制面功能实体(ControlPlaneFunction,简称CPF),以及用户面功能实体(UserPlaneFunction,简称UPF)。由于在5G网络中包括了多个网络切片,多个网络切片之间是相互独立的,并且每个网络切片中的MM和SM都是独立的,因此,在5G网络中,不同的网络切片之间、以及每个网络切片的MM和SM之间都需要进行安全隔离,使用各自的AKA和算法协商结果。其中,5G网络中的AKA与4G网络中可能不同。现有技术中的AKA和算法协商结果是基于UE和MME之间的一套协商结果,因此,现有技术的AKA和算法协商方法并不能满足5G网络的需要。
技术实现思路
本专利技术实施例提供一种安全协商方法、安全功能实体、核心网网元及用户设备,以解决现有技术的问题。本专利技术第一方面提供一种安全协商方法,包括:安全功能实体接收核心网网元发送的认证请求,所述认证请求为所述核心网网元根据用户设备UE的请求消息生成的;所述安全功能实体根据所述认证请求,与所述UE进行认证和和密钥协商,生成安全参数,其中,所述安全参数包括第一密钥;所述安全功能实体接收所述核心网网元发送的密钥请求;所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥。在一种可能的设计中,所述安全参数还包括第一标识信息,其中,所述第一标识信息用于标识所述UE和所述安全功能实体之间的第一安全认证。在一种可能的设计中,所述安全参数还包括第一标识信息,其中,所述第一标识信息用于标识UE与所述安全功能实体之间的第一安全认证,所述第一标识信息中包含所述第一安全认证对应的安全功能实体的地址信息。在一种可能的设计中,还包括:所述安全功能实体将所述第一标识信息发送给所述UE。在一种可能的设计中,所述核心网网元包括移动性管理MM实体、会话管理SM实体、非接入层NAS代理节点、切片选择功能SSF或核心网节点,其中,所述核心网节点支持MM功能和SM功能。在一种可能的设计中,所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥,包括:所述安全功能实体根据所述第一密钥,生成所述MM和所述UE之间的安全密钥。在一种可能的设计中,所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥,包括:所述安全功能实体根据所述第一密钥以及所述MM的标识,生成所述MM和所述UE之间的安全密钥,其中,所述MM的标识由所述MM通过所述密钥请求发送给所述安全功能实体。在一种可能的设计中,所述生成所述MM和所述UE之间的安全密钥,包括:所述安全功能实体生成所述MM的第二密钥;所述安全功能实体将所述MM的第二密钥发送给所述MM,以使所述MM根据所述MM的第二密钥生成所述MM和所述UE之间的安全密钥。在一种可能的设计中,所述安全功能实体根据所述第一密钥,生成所述SM和所述UE之间的安全密钥。在一种可能的设计中,所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥,包括:所述安全功能实体根据所述第一密钥以及所述SM的标识,生成所述SM和所述UE之间的安全密钥,其中,所述SM的标识由所述SM通过所述密钥请求发送给所述安全功能实体。在一种可能的设计中,所述安全功能实体接收所述核心网网元发送的密钥请求,包括:所述安全功能实体接收所述SM发送的密钥请求,所述密钥请求中包括所述第一标识信息,所述第一标识信息由所述UE发送给所述SM。在一种可能的设计中,所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥,包括:所述安全功能实体根据所述第一密钥和所述第一标识信息,生成所述SM和所述UE之间的安全密钥。在一种可能的设计中,所述安全功能实体根据所述密钥请求以及所述第一密钥,生成所述核心网网元和所述UE之间的安全密钥,包括:所述安全功能实体根据所述第一密钥、所述第一标识信息以及所述SM的标识,生成所述SM和所述UE之间的安全密钥,其中,所述SM的标识由所述SM通过所述密钥请求发送给所述安全功能实体。在一种可能的设计中,所述生成所述SM和所述UE之间的安全密钥,包括:所述安全功能实体生成所述SM的第二密钥;所述安全功能实体将所述SM的第二密钥发送给所述SM,以使所述SM根据所述SM的第二密钥生成所述SM和所述UE之间的安全密钥。本专利技术第二方面提供一种安全协商方法,包括:核心网网元接收用户设备UE发送的请求消息;所述核心网网元根据预设的策略,判断是否需要对所述UE进行安全认证;所述核心网网元根据判断结果进行安全协商,获取所述核心网网元与所述UE之间的安全密钥。在一种可能的设计中,所述请求消息中包括第一标识信息,所述第一标识信息用于标识UE与安全功能实体之间的第一安全认证。在一种可能的设计中,所述请求消息中包括第一标识信息,所述第一标识信息用于标识UE与安全功能实体之间的第一安全认证,并包含所述第一安全认证对应的安全功能实体的地址信息。在一种可能的设计中,所述核心网网元包括移动性管理MM实体、会话管理SM实体、非接入层NAS代理节点、切片选择功能SSF或核心网节点,其中,所述核心网节点支持MM功能本文档来自技高网...
【技术保护点】
1.一种安全协商方法,其特征在于,包括:用户设备UE向核心网网元发送第一请求消息,所述第一消息用于所述核心网网元根据所述第一请求消息向安全功能实体发送认证请求;通过与所述安全功能实体的认证和密钥协商,所述UE生成第一密钥;所述UE根据所述第一密钥生成第二密钥;以及所述UE根据所述第二密钥生成非接入层的完整性保护密钥以及加密密钥。
【技术特征摘要】
2016.07.01 CN PCT/CN2016/0882371.一种安全协商方法,其特征在于,包括:用户设备UE向核心网网元发送第一请求消息,所述第一消息用于所述核心网网元根据所述第一请求消息向安全功能实体发送认证请求;通过与所述安全功能实体的认证和密钥协商,所述UE生成第一密钥;所述UE根据所述第一密钥生成第二密钥;以及所述UE根据所述第二密钥生成非接入层的完整性保护密钥以及加密密钥。2.根据权利要求1所述的方法,其特征在于,所述核心网网元为移动性管理功能实体。3.根据权利要求1所述的方法,其特征在于,所述核心网网元为会话管理功能实体。4.根据权利要求1所述的方法,其特征在于,所述核心网网元为切片选择功能实体。5.根据权利要求1至4任一所述的方法,其特征在于,所述UE根据所述第一密钥生成第二密钥,包括:所述UE根据所述核心网网元的标识以及所述第一密钥生成第二密钥。6.一种用户设备,其特征在于,包括:发送模块,用于向核心网网元发送第一请求消息,所述第一消息用于所述核心网网元根据所述第一请求消息向安全功能实体发送认证请求;处理模块,用于通过与所述安全功能实体的认证和密钥协商,生成第一密钥;根据所述第一密钥生成第二密钥;以及根据所述第二密钥生成非接入层的完整性保护密钥以及加密密钥。7.根据权利要求6所述的用户设备,其特征在于,所述核心网网元为移动性管理功能实体。8.根据权利要求6所述的用户设备,其特征在于,所述核心网网元为会话管理功能实体。9.根据权利要求6所述的用户设备,其特征在于,所述核心网网元为切片选择功能实体。10.根据权利要求6至9任一所述的用户设备,其特征在于,所述处理模块,具体用于根据所述核心网网元的标识以及所述第一密钥生成第二密钥。11.一种用户设备,其特征在于...
【专利技术属性】
技术研发人员:应江威,杨艳梅,黄正磊,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。