一种安全算法的协商方法及装置制造方法及图纸

一种安全算法的协商方法及装置，用以用于实现采用网络切片技术的网络对不同业务选择不同的安全算法。该方法为：网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，并将所选择的目标安全算法发送给所述终端。

【技术实现步骤摘要】
一种安全算法的协商方法及装置
本申请实施例涉及通信
，尤其涉及一种安全算法的协商方法及装置。
技术介绍
在长期演进(LongTermEvolution，LTE)系统中，终端和基站之间执行加密/解密和完整性保护的安全操作，对信令提供加密保护和完整性保护。由于不同终端设备的安全能力不同，例如，不同终端所支持的加密算法或完整性保护算法不同，因此在接入层(AccessStratum，AS)进行加密保护和完整性保护之前，需要在终端和基站间协商一套安全算法。协商安全算法的过程大致为：步骤1：终端通过基站向移动性管理实体(MobilityManagementEntity，MME)发送附着请求；其中，附着请求中携带终端的安全能力，例如，携带终端支持的安全算法。步骤2：基站根据预配置的服务网络允许使用的算法，并结合MME转发的终端支持的安全算法，选择服务网络所支持的一个安全算法。步骤3：基站将选择的加密算法和完整性保护算法携带在AS安全模式命令(Securitymodecommand，SMC)中发送给终端。所选择的安全算法作为终端和基站之间所有数据链路的安全算法。第五代移动通信(the5th-generation，5G)系统采用网络切片技术，网络切片是网络运营者从业务视角出发为满足特定用户集的服务质量而动态部署的硬件、软件、策略和频谱的一种组合。具体的，在支持切片技术的网络中，将网络功能划分为多个虚拟网络功能(virtualnetworkfunction，VNF)模块，每个VNF模块可以用来执行不同的网络功能，例如排序、分段、加解密等功能，通过将VNF模块动态地部署到网络中，可以形成一个个网络切片。每个网络切片包含一组功能实例。网络切片能够为各种类型业务提供服务，从网络安全角度而言，不同业务或不同租户对安全有不同的需求。不同地域的国家主推不同的种类的安全算法，例如，位于欧洲某国的中国企业因为政策要求，需要该中国企业的切片网络支持中国主推的安全算法，而该欧洲国家因为政策要求，需要该欧洲国家的切片网络支持欧洲主推的安全算法。而现有的安全算法的协商方法，基站与终端之间只能够协商出一个安全算法，这种方法不能满足采用网络切片技术的网络对不同业务选择不同安全算法的需求。
技术实现思路
本申请实施例提供一种安全算法的协商方法及装置，用以解决采用网络切片技术的网络如何对不同业务选择不同安全算法的问题。本申请实施例提供的具体技术方案如下：第一方面，提供一种安全算法的协商方法，该方法的执行主体是网络设备，该方法主要包括以下步骤：网络设备已知终端接入的n个网络切片，网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，一个网络切片对应一个目标安全算法列表，不同网络切片对应不同的目标安全算法列表，当然不同网络切片对应的目标安全算法也可以是相同的。这里的n为正整数，所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，这样获得n个目标安全算法，并将所选择的n个目标安全算法发送给所述终端。能够实现不同切片实例对应不同的安全算法，使得安全算法的协商或应用的粒度更加细化，满足垂直行业不同的安全算法需求。并且当终端接入多个网络切片时，能够在一次协商过程中指示多个网络切片分别对应的安全算法，可以有效减少终端与接入网设备以及核心网网元之间的交互消息个数，减少空口负荷。其中，网络切片可以简述为切片，也或者称为网络切片实例、或切片实例。在一个可能的设计中，所述网络设备为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。这样，能够使得本申请上述提供的安全算法协商适用于安全保护终结点在核心网的场景，也可以适用于安全保护终结点在接入网的场景。在一个可能的设计中，切片算法配置是基于切片粒度、切片类型粒度或租户粒度的安全算法列表，具体的，切片算法配置可以但不限于包含以下几种配置方式：方式一、按照切片类型配置安全算法列表，切片算法配置包括网络切片类型与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；方式二、按照切片实例配置安全算法列表，切片算法配置包括网络切片实例与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；方式三、按照切片内的租户配置安全算法列表，切片算法配置包括租户与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据所述切片算法配置，确定与所述终端在网络切片的业务所属的租户具有对应关系的所述目标安全算法列表。这样，可以设置不同粒度的安全算法列表，更能适应5G网络结构差异化服务的演变形式。在一个可能的设计中，切片算法配置是预先在网络设备配置并存储的。可以通过3GPP管理切片模板的网元下发创建，或修改切片模板时直接获取，或通过切片模板的安全配置间接映射获取。也可以从核心网、配置管理网元、或者本地维护终端获取。在一个可能的设计中，所述网络设备若确定不存在所述切片算法配置，则根据本地配置的默认算法来进行安全算法协商，其中，传统的通过ASSMC的流程配置的算法，该默认算法作为接入层所有数据链路的加密保护和完整性保护的算法，用户面和信令面共用一套安全算法。这样，能够兼容传统算法协商与切片算法配置，更具有灵活性。在一个可能的设计中，若所述网络设备为接入和移动性管理功能AMF，则所述AMF还需要向用户面功能UPF发送所选择的目标安全算法，所述目标安全算法用于所述终端与所述UPF之间链路的安全保护。这样，才能实现终端与UPF之间能够使用协商出来的目标安全算法进行安全保护。在一个可能的设计中，网络设备在确定n个目标安全算法列表之前，所述网络设备接收到第一消息，所述第一消息用于请求建立所述终端的会话，或者，所述第一消息用于请求切换。也就是，本申请的安全算法协商既可以在接入流程中实现，也可以在切换流程中实现。在一个可能的设计中，所述网络设备还可以向所述终端发送第二消息，在所述第二消息中携带所选择的目标安全算法。可选的，第二消息是RRC消息。在一个可能的设计中，所述网络设备向接入网设备发送第三消息，所述第三消息中携带所选择的目标安全算法，所述第三消息用于请求建立所述终端的会话，以及用于所述接入网设备根据所述第三消息向所述终端发送第四消息，所述第四消息携带所选择的目标安全算法。在一个可能的设计中，所述网络设备通过单个网络切片选择辅助信息S-NSSAI来向所述终端指示网络切片；或者，所述网络设备通过数据承载标识DRBID来向所述终端指示网络切片，其中，所述DRBID与协议数据单元会话标识PDUSESSIONID具有关联关系，所述PDUSESSIONID与S-NSSAI具有关联关系。在一个可能的设计中，所述网络设备在所述n个目标安全算法列表中的每一个目标安全算法列表中，选择符合终端安全能力的、且优先本文档来自技高网...

【技术保护点】
1.一种安全算法的协商方法，其特征在于，包括：网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，并将所选择的目标安全算法发送给所述终端。

【技术特征摘要】
1.一种安全算法的协商方法，其特征在于，包括：网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，并将所选择的目标安全算法发送给所述终端。2.如权利要求1所述的方法，其特征在于，所述网络设备根据切片算法配置，确定n个目标安全算法列表，包括：所述切片算法配置中包括网络切片类型与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；或者，所述切片算法配置中包括网络切片与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；所述切片算法配置中包括租户与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据所述切片算法配置，确定与所述终端在网络切片的业务所属的租户具有对应关系的所述目标安全算法列表。3.如权利要求1或2所述的方法，其特征在于，所述方法还包括：所述网络设备若确定不存在所述切片算法配置，则根据本地配置的默认算法来进行安全算法协商。4.如权利要求1～3任一项所述的方法，其特征在于，所述网络设备为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。5.如权利要求1～3任一项所述的方法，其特征在于，所述网络设备为接入和移动性管理功能AMF，所述方法还包括：所述AMF向用户面功能UPF发送所选择的目标安全算法，所述目标安全算法用于所述终端与所述UPF之间链路的安全保护。6.如权利要求4或5所述的方法，其特征在于，网络设备在确定n个目标安全算法列表之前，所述方法还包括：所述网络设备接收到第一消息，所述第一消息用于请求建立所述终端的会话，或者，所述第一消息用于请求切换。7.如权利要求4所述的方法，其特征在于，所述网络设备将所选择的目标安全算法发送给所述终端，包括：所述网络设备向所述终端发送第二消息，所述第二消息中携带所选择的目标安全算法。8.如权利要求5所述的方法，其特征在于，所述网络设备将所选择的目标安全算法发送给所述终端，包括：所述网络设备向接入网设备发送第三消息，所述第三消息中携带所选择的目标安全算法，所述第三消息用于请求建立所述终端的会话，以及用于所述接入网设备根据所述第三消息向所述终端发送第四消息，所述第四消息携带所选择的目标安全算法。9.如权利要求1～8任一项所述的方法，其特征在于，所述方法还包括：所述网络设备通过单个网络切片选择辅助信息S-NSSAI来向所述终端指示网络切片；或者，所述网络设备通过数据承载标识DRBID来向所述终端指示网络切片，其中，所述DRBID与协议数据单元会话标识PDUSESSIONID具有关联关系，所述PDUSESSIONID与S-NSSAI具有关联关系。10.如权利要求1～9任一项所述的方法，其特征在于，所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，包括：所述网络设备在所述n个目标安全算法列表中的每一个目标安全算法列表中，选择符合终端安全能力的、且优先级最高的算法为目标安全算法。11.一种安全算法的协商装置，其特征在于，包括：处理单元，用于根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；所述处理单元，用于在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法；发送单元，用于将所述处理单元选择的目标安全算法发送给所述终端。12.如权利要求11所述的装置，其特征在于，所述切片算法配置中包括网络切片类型与安全算法列表的一一对应关系，所述处理单元用于，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；或者，所述切片算法配置中包括网络切片与安全算法列表的一一对应关系，所述处理单元用于，针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；所述切片算法配置中包括租户与安全算法列表的一一对应关系，所述处理单元用于，针对所述n个网络切片中的每一个网络切片执行：...

【专利技术属性】
技术研发人员：曾信，
申请(专利权)人：上海华为技术有限公司，
类型：发明
国别省市：上海,31