一种用户面安全的授权方法及装置制造方法及图纸

本申请公开一种用户面安全的授权方法及装置，该方法包括：在分组数据单元PDU会话建立过程中，策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；PCF至少根据所述安全参数信息做策略决策。在本申请方法解决现有技术中PCF在生成策略规则时，不知道RAN在执行用户面安全时还能否满足业务的QoS需求，从而导致制定出的策略规则RAN无法切实执行的问题。

An authorization method and device for user interface security

【技术实现步骤摘要】
一种用户面安全的授权方法及装置
本申请涉及通信
，尤其涉及一种用户面安全的授权方法及装置。
技术介绍
随着移动通信的发展，通信网络中安全问题也日益严重。一般情况下，网络通信主要面临截断、中断、篡改、伪造等安全威胁，针对这些威胁，在移动通信中将相应的提供保密性、完整性、认证性三类保护机制。为了实现完整性保护，在5G(5th-Generation，第五代移动通信技术)系统中，对于3GPP(3rdGenerationPartnershipProject，第三代合作伙伴计划)接入，NG-RAN(NextGenerationRadioAccessNetworks，下一代无线接入网)对于用户面安全做PDU(PacketDataUnit，分组数据单元)会话粒度的控制。在PDU会话建立过程中，SMF(SessionmanagementFunction，会话管理功能)从UDM(UnifiedDataManager，统一数据管理)取得该PDU会话所对应的DNN(DataNetworkName，数据网络名称)和切片签约的用户面安全策略(UserPlaneSecurityPolicy)，签约的UserPlanesecuritypolicy优先级比运营商预配置的优先级要高。之后SMF与PCF(PolicyControlFunction，策略控制功能)实体建立SMPolicyAssociation时，PCF可能下发UserPlanesecuritypolicy。之后SMF产生UserPlaneSecurityEnforcementinformation在N2SMInformation中发送给NG-RAN。NG-RAN再根据UserPlaneSecurityEnforcementinformation执行对应的UserPlanesecuritypolicy。但是RAN(RadioAccessNetwork，无线接入网)或UE侧执行完整性保护/加密速度有限，由于执行完整性保护可能会对某些业务的传输速率造成很大的影响(比如时延要求为5ms的URLLC(UltraReliable&LowLatencyCommunication，超可靠和低延迟通信)业务)。如果RAN所选择的用户面安全策略不能够同时满足用户面安全需求和QoS(QualityofService，服务质量)需求，和/或QoS需求超过UE完整性保护/加密最大速率，则会导致RAN或UE的完整性保护或QoS中有一项不能实现。
技术实现思路
本申请实施例提供一种用户面安全的授权方法及装置，用以解决现有技术中用户面安全策略无法切实执行的问题。第一方面，本申请实施例提供一种用户面安全的授权方法，包括：在分组数据单元PDU会话建立过程中，策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；PCF至少根据所述安全参数信息做策略决策。该申请实施例中所提供的方法是基于PCF实体侧实现的用户面安全授权，在该申请实施例中，PCF将可以体现RAN和UE安全保护能力的安全参数信息中的至少一种作为输入进行策略决策，从而得到符合RAN和/或UE情况的用户面安全策略，所以PCF可以依据RAN和/或UE的安全参数信息来判断是否RAN可以同时满足用户面安全和QoS需求并产生策略规则或者UE的QoS需求是否超过UE完整性保护/加密最大速率；从而制定出能够满足RAN和UE需求的用户面安全策略。在一种可选的实现方式中，所述PCF至少根据所述安全参数信息做策略决策包括：所述PCF至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。如果PCF是基于RAN的安全参数信息生成策略规则信息的，则执行与该策略规则信息对应的用户面安全策略的执行体可以是RAN也可以是UPF，在本申请实施例中将指示执行体的指示信息添加到策略规则信息中，可以保证NRF选择到符合条件的执行体来执行得到的用户面安全策略。其中，该指示信息可以包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。在一种可选的实现方式中，还包括：PCF实体向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。在该申请实施例中，PCF向所述SMF实体发送策略控制请求触发信息，使得SMF只要确定安全参数有更新，则会及时上报PCF，从而使得PCF动态生成的UserPlaneSecurityPolicy能够符合RAN或UE的实时需求，适应RAN中QoS需求的不断变化，以及UE完整性保护的速率变化。在一种可选的实现方式中，所述PCF实体将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。在一种可选的实现方式中，该方法还包括：所述PCF实体接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种；则所述PCF至少根据所述安全参数信息做策略决策包括：所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。在该申请实施例中，如果RAN由于执行安全策略不能满足QoS需求和/或QoS需求超过UE完整性保护/加密最大速率则会及时的上报原因值到PCF，从而使得PCF基于该原因值动态的形成符合RAN和/或UE情况的用户面安全策略(UserPlaneSecurityPolicy)，进一步及时的解决AN由于执行安全策略不能满足QoS需求和/或QoS需求超过UE完整性保护/加密最大速率的问题。第二方面，提供一种用户面安全的授权方法，包括：在分组数据单元PDU会话建立过程中，会话管理功能SMF实体发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。一种可选的实现方式中，该方法还包括：所述SMF实体接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。一种可选的实现方式中，所述指示信息包括：所述执行体需要满足的用户面安全的信息和QoS需求信息。一种可选的实现方式中，当所述执行体为UPF，方法还包括：所述SMF实体向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所本文档来自技高网...

【技术保护点】
1.一种用户面安全的授权方法，其特征在于，包括：/n在分组数据单元PDU会话建立过程中，策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；/nPCF至少根据所述安全参数信息做策略决策。/n

【技术特征摘要】
1.一种用户面安全的授权方法，其特征在于，包括：
在分组数据单元PDU会话建立过程中，策略控制功能PCF实体接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于指示无线接入网RAN的安全能力信息和用户设备UE的安全能力信息的至少一种；
PCF至少根据所述安全参数信息做策略决策。


2.如权利要求1所述的方法，其特征在于，所述PCF至少根据所述安全参数信息做策略决策包括：
所述PCF至少根据所述安全参数信息所指示的RAN的安全能力信息，生成策略规则信息，所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。


3.如权利要求2所述的方法，其特征在于，所述指示信息包括：
所述执行体需要满足的用户面安全的信息和QoS需求信息。


4.如权利要求1～3任一所述的方法，其特征在于，还包括：
PCF实体向所述SMF实体发送策略控制请求触发信息，所述策略控制请求触发信息用于指示所述SMF实体在所述安全参数信息发生改变时向所述PCF实体上报改变后的安全参数信息。


5.如权利要求4所述的方法，其特征在于，所述PCF实体向SMF实体发送策略控制请求触发信息包括：
所述PCF实体将所述策略控制请求触发信息包含在策略信息中发送到所述SMF实体。


6.如权利要求1～5任一所述的方法，其特征在于，该方法还包括：
所述PCF实体接收所述SMF实体发送的原因值信息；其中，所述原因值信息用于指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)所述QoS需求超过UE完整性保护/加密最大速率中的至少一种：
则所述PCF至少根据所述安全参数信息做策略决策包括：
所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。


7.一种用户面安全的授权方法，其特征在于，包括：
在分组数据单元PDU会话建立过程中，会话管理功能SMF实体发送安全参数信息给策略控制功能PCF实体，所述安全参数信息指示RAN的安全能力信息和UE的安全能力信息的至少一种，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。


8.如权利要求7所述的方法，其特征在于，包括：
所述SMF实体接收所述PCF实体反馈的基于所述安全参数信息生成的策略规则信息；其中，所述安全参数信息指示RAN的安全能力信息，并且所述策略规则信息包括用于指示执行用户面安全策略的执行体的指示信息。


9.如权利要求8所述的方法，其特征在于，所述指示信息包括：
所述执行体需要满足的用户面安全的信息和QoS需求信息。


10.如权利要求9所述的方法，其特征在于，当所述执行体为UPF，方法还包括：
所述SMF实体向NRF发送UPF实例请求信息；其中，所述请求信息中携带所述用户面安全的信息和QoS需求信息，所述UPR实例请求信息用于指示所述NRF上报满足所述用户面安全的信息和QoS需求信息的UPF实例给所述SMF。


11.如权利要求7～10任一所述的方法，其特征在于，所述方法还包括：
所述SMF实体获取所述PCF实体发送的策略控制请求触发信息；
所述SMF实体根据所述策略控制请求触发信息在确定所述安全参数信息发生改变时向所述PCF实体上报新的安全参数信息。


12.如权利要求7～11任一所述的方法，其特征在于，还包括：
所述SMF实体发送原因值信息到所述PCF实体，所述原因值信息用于所述PCF根据所述安全参数信息和所述原因值信息做策略决；其中，所述原因值信息指示情况(1)所述RAN由于执行安全策略不能满足QoS需求和情况(2)QoS需求超过UE完整性保护/加密最大速率中的至少一种。


13.一种用户面安全的授权方法，其特征在于，包括：
在分组数据单元PDU会话建立过程中，接入和移动性管理功能AMF实体通过会话管理功能SMF实体将安全参数信息发送到策略控制功能PCF实体；所述安全参数信息指示RAN的安全能力信息，所述安全参数信息用于所述PCF至少根据所述安全参数信息做策略决策。


14.如权利要求13所述的方法，其特征在于，还包括：
所述AMF实体从NGRAN节点发送的NG建立请求中获取所述安全参数信息。


15.如权利要求14所述的方法，其特征在于，还包括：
所述AMF实体接收所述SMF实体发送的安全参数信息改变请求，则在接收到所述RAN上报的新的安全参数信息后上报所述SMF实体。


16.如权利要求13～15任一所述的方法，其特征在于，还包括：
所述AMF实体从所述RAN发送的N2消息获取原因值信息；其中，所述原因值信息指示RAN由于执行安全策略不能满足QoS需求；
通过所述SMF实体将所述原因值信息发送到所述PCF实体；所述原因值信息用于所述PCF实体根据所述安全参数信息和所述原因值信息做策略决策。


17.一种策略控制功能PCF实体，其特征在于，包括：
接收单元，用于在分组数据单元PDU会话建立过程中，接收会话管理功能SMF实体发送的安全参数信息；其中，所述安全参数信息用于...

【专利技术属性】
技术研发人员：孙海洋，黄正磊，熊春山，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44