一种安全通信方法、加密信息确定方法及装置制造方法及图纸

本申请实施例提供一种安全通信方法、加密信息确定方法及装置，用以对终端向网络侧发送的信息进行保护，过滤不安全信息，提高了网络的安全性。该方案应用于终端，终端具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数，方法包括：终端使用第一公共参数和移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息，得到NAS层加密信息；终端使用第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息，得到AS层加密信息；终端向接入网设备发送AS层加密信息以及所述NAS层加密信息。

A secure communication method, method and device for determining encrypted information

【技术实现步骤摘要】
一种安全通信方法、加密信息确定方法及装置
本申请实施例涉及通信
，尤其涉及一种安全通信方法、加密信息确定方法及装置。
技术介绍
第三代合作伙伴计划(3rdGenerationPartnershipProject，3GPP)在下一代无线通信网络架构(例如，新空口(NewRadio，NR)也可以称为第五代(5-Generation，5G)移动通信)中，引入了网络切片(NetworkSlice)。如图1所示，终端接入网络时，5G核心网(5Gcorenetwork，5GC)中的网元(例如，网络切片选择功能(NetworkSliceSelectionFunction，NSSF)网元))为终端分配一个或多个网络切片(例如，网络切片1～网络切片3)。终端在请求这些网络切片提供注册限定的服务之前，终端会向5G网络注册。终端在注册到5G网络时，会向网络侧上报终端的身份信息(例如，移动用户身份(internationalmobilesubscriberidentity，IMSI))，以及网络切片选择辅助信息(NetworkSliceSelectionAssistantIdentifier，NSSAI)。其中，NSSAI涉及到用户业务行为，用于根据NSSAI为终端选择最恰当的网络切片，以匹配终端的服务类型和工作状态。而这些信息都存在用户隐私保护的需求。终端可以使用基于身份的密码(IdentityBasedCryptography，IBC)技术加密需要保护的信息M。首先终端对信息M产生一个消息认证码(MessageAuthenticationCode，MAC)。然后使用从接入网设备处获取到的公共参数加密信息M，形成密文，并发送给接入网设备。接入网设备在接收到密文后自身的ID获得该ID相对应的用于解密的私钥和全局公钥，并使用私钥和全局公钥解密密文，获得相应的信息M。解密后，接入网设备对MAC进行验证，保证消息的合法性，接入网设备将解密后的信息M发送给网络侧中相应的网元。但是，终端与网络侧没有建立共享密钥。终端与网络侧的数据传输采用的是明文传输，攻击者容易通过空口信令监听到终端的身份信息，造成终端的隐私泄露。如果终端与接入网设备之间的公共参数加密向网络侧发送的非接入层(Non-accessstratum，NAS)消息，则可能会加密NAS消息中非敏感参数，这是不必要的。
技术实现思路
本申请实施例提供一种安全通信方法、加密信息确定方法及装置，用以对终端向网络侧发送的信息进行保护，过滤不安全信息，提高了网络的安全性。为了实现上述目的，本申请实施例提供如下技术方案：第一方面，本申请实施例提供一种安全通信方法，该方案应用于终端中，该终端具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数，该方法包括：终端使用第一公共参数和移动管理网元的信息加密发送给移动管理网元的非接入NAS层信息，得到NAS层加密信息；终端使用第二公共参数和接入网设备的信息加密发送给接入网设备的接入AS层信息，得到AS层加密信息；终端向接入网设备发送AS层加密信息以及NAS层加密信息。本申请实施例提供一种安全通信方法，由于发送给接入网设备的AS层信息通常携带在接入层，发送给移动管理网元的NAS层信息通常携带在NAS层中，终端在向接入网设备和移动管理网元发送信息时，使用第一公共参数和移动管理网元的信息加密NAS层信息，以及使用第二公共参数和接入网设备的信息加密AS层信息。这样可以使得NAS层和AS层的信息分别得到安全保护，可以避免AS层被破解，影响到NAS层消息的安全。一种可能的实现方式中，终端加密AS层信息使用的第二公共参数由终端根据接入网设备指示的第一加密算法确定。这样无论终端中具有的第二公共参数包括一个第一加密算法对应的在接入网设备中的第二公共参数，还是多个第一加密算法对应的在接入网设备中的第二公共参数，均可以由接入网设备指定终端选择哪个第一加密算法，然后终端便可以根据接入网设备指示的第一加密算法确定使用的第二公共参数。一种可能的实现方式中，第一加密算法对应的在接入网设备中的第二公共参数，包括：接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在接入网设备中的第二公共参数；终端加密AS层信息时使用的第二公共参数由终端从至少一个第一加密算法中对应的在接入网设备中的第二公共参数中选择。一种可能的实现方式中，终端加密AS层信息时使用的第二公共参数由终端从至少一个第一加密算法中对应的在接入网设备中的第二公共参数中选择，具体包括：终端获取接入网设备的一个或者多个第一加密算法的信息；终端根据一个或者多个第一加密算法的信息，从至少一个第一加密算法中选择一个第一加密算法；终端从至少一个第一加密算法在接入网设备中的第二公共参数中确定被选择的第一加密算法在接入网设备中的第二公共参数。这是由于第二公共参数包括至少一个第一加密算法对应的在接入网设备中的第二公共参数，因此终端需要确定使用哪个第一加密算法，然后使用确定的第一加密算法对应的第二公共参数用于加密AS层信息，由于所选择的第一加密算法为终端和接入网设备均支持的，这样可以使得终端与接入网设备通信时，使用接入网设备支持的第一加密算法对应的第一公共参数加密信息。一种可能的实现方式中，终端向接入网设备发送AS层加密信息，还包括：终端向接入网设备发送第一指示信息，第一指示信息用于确定被选择的第一加密算法。由于第一加密算法是由终端选择的，因此终端需要告诉接入网设备所选择的加密算法是哪个，以便于接入网设备根据被选择的第一加密算法确定解密AS层加密信息时所使用的第二私钥。一种可能的实现方式中，终端还具有第一时间信息以及第二时间信息，第一时间信息用于指示第一公共参数关联的第一私钥是否在可用时间内，第二时间信息用于指示第二公共参数关联的第二私钥是否在可用时间内。终端向接入网设备发送AS层加密信息以及NAS层加密信息，还包括：终端向接入网设备发送第二时间信息以及第一时间信息。通过发送第一时间信息和第二时间信息，可以使得接收方确定解密时所使用的私钥是否在第一时间信息/第二指示信息所指示的可用时间内。一种可能的实现方式中，本申请实施例提供的方法还包括：终端获取第一加密算法对应的第一信息，第一信息包括在移动管理网元中的第一公共参数和第一时间信息，以及在接入网设备中的第二公共参数和第二时间信息。一种可能的实现方式中，终端获取第一加密算法对应的第一信息，包括：终端接收移动管理网元发送的非接入层安全模式命令NASSMC请求消息，NASSMC请求消息包括第一公共参数和第一时间信息，和/或第二公共参数和第二时间信息；或者，终端接收接入设备发送的接入层安全模式命令ASSMC请求消息，ASSMC请求消息包括第二公共参数和第二时间信息；或者，终端接收切换命令消息，切换命令消息包括：第一加密算法对应的在接入网设备中的第二公共参数和第二时间信息，和/或第一加密算法对应的在移动管理网元中的第一公共参数和第一时间信息，切换命令消息用于指示切换至接入本文档来自技高网...

【技术保护点】
1.一种安全通信方法，其特征在于，应用于终端，所述终端中具有所述终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数，所述方法包括：/n所述终端使用所述第一公共参数和所述移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息，得到NAS层加密信息；/n所述终端使用所述第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息，得到AS层加密信息；/n所述终端向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息。/n

【技术特征摘要】
1.一种安全通信方法，其特征在于，应用于终端，所述终端中具有所述终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数，所述方法包括：
所述终端使用所述第一公共参数和所述移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息，得到NAS层加密信息；
所述终端使用所述第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息，得到AS层加密信息；
所述终端向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息。


2.根据权利要求1所述的一种安全通信方法，其特征在于，所述终端加密所述AS层信息使用的第二公共参数根据所述接入网设备指示的第一加密算法确定。


3.根据权利要求1所述的一种安全通信方法，其特征在于，所述第一加密算法对应的在接入网设备中的第二公共参数，包括：所述接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数；
所述终端加密所述AS层信息使用的第二公共参数为所述终端从至少一个第一加密算法中选择的第一加密算法对应的在所述接入网设备中的第二公共参数。


4.根据权利要求3所述的一种安全通信方法，其特征在于，所述终端向所述接入网设备发送所述AS层加密信息，还包括：
所述终端向所述接入网设备发送第一指示信息，所述第一指示信息用于确定被选择的第一加密算法。


5.根据权利要求1-4任一项所述的一种安全通信方法，其特征在于，所述终端中还具有第一时间信息和第二时间信息，其中，所述第一时间信息用于指示所述第一公共参数关联的第一私钥是否在可用时间内，所述第二时间信息用于指示所述第二公共参数关联的第二私钥是否在可用时间内；
所述终端向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息，还包括：
所述终端向所述接入网设备发送所述第二时间信息以及所述第一时间信息。


6.根据权利要求1-5任一项所述的一种安全通信方法，其特征在于，所述方法还包括：所述终端获取所述第一加密算法对应的第一信息，所述第一信息包括在所述移动管理网元中的第一公共参数和第一时间信息，以及在所述接入网设备中的第二公共参数和第二时间信息。


7.根据权利要求6所述的一种安全通信方法，其特征在于，所述终端获取所述第一加密算法对应的第一信息，包括：
所述终端接收所述移动管理网元发送的非接入层安全模式命令NASSMC请求消息，所述NASSMC请求消息包括所述第一公共参数和第一时间信息，和/或所述第二公共参数和第二时间信息；或者，
所述终端接收所述接入设备发送的接入层安全模式命令ASSMC请求消息，所述ASSMC请求消息包括所述第二公共参数和第二时间信息；或者，
所述终端接收切换命令消息，所述切换命令消息包括：所述第一加密算法对应的在所述接入网设备中的第二公共参数和第二时间信息，和/或所述第一加密算法对应的在所述移动管理网元中的第一公共参数和第一时间信息，所述切换命令消息用于指示切换至所述接入网设备；
或者，所述终端接收用于指示鉴权成功的消息，所述用于指示鉴权成功的消息包括所述第一公共参数和第一时间信息。


8.根据权利要求1-7任一项所述的一种安全通信方法，其特征在于，所述第一公共参数，包括：所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数；
所述NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。


9.根据权利要求1-8任一项所述的一种安全通信方法，其特征在于，所述第二公共参数，包括：所述接入网设备覆盖的一个或者多个小区分别对应的第二公共参数，
所述AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。


10.一种安全通信装置，其特征在于，所述安全通信装置中具有所述安全通信装置支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数，所述安全通信装置包括：
处理单元，用于使用所述第一公共参数和所述移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息，得到NAS层加密信息；
所述处理单元，还用于使用所述第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息，得到AS层加密信息；
发送单元，用于向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息。


11.根据权利要求10所述的一种安全通信装置，其特征在于，所述处理单元加密所述AS层信息使用的第二公共参数由所述接入网设备指示的第一加密算法确定。


12.根据权利要求10所述的一种安全通信装置，其特征在于，所述第一加密算法对应的在接入网设备中的第二公共参数，包括：所述接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数；
所述处理单元加密所述AS层信息使用的第二公共参数为所述处理单元从至少一个第一加密算法中选择的第一加密算法对应的在所述接入网设备中的第二公共参数。


13.根据权利要求12所述的一种安全通信装置，其特征在于，所述发送单元，还用于向所述接入网设备发送第一指示信息，所述第一指示信息用于确定被选择的第一加密算法。


14.根据权利要求10-13任一项所述的一种安全通信装置，其特征在于，所述安全通信装置还具有第一时间信息和第二时间信息，其中，所述第一时间信息用于指示所述第一公共参数关联的第一私钥是否在可用时间内，所述第二时间信息用于指示所述第二公共参数关联的第二私钥是否在可用时间内；
所述发送单元，还用于向所述接入网设备发送所述第二时间信息以及所述第一时间信息。


15.根据权利要求10-14任一项所述的一种安全通信装置，其特征在于，所述处理单元，还用于获取所述第一加密算法对应的第一信息，所述第一信息包括在所述移动管理网元中的第一公共参数和第一时间信息，以及在所述接入网设备中的第二公共参数和第二时间信息。


16.根据权利要求15所述的一种安全通信装置，其特征在于，所述安全通信装置，还包括：
接收单元，用于接收所述移动管理网元发送的非接入层安全模式命令NASSMC请求消息，所述NASSMC请求消息包括所述第一公共参数和第一时间信息，和/或所述第二公共参数和第二时间信息；或者，
用于接收所述接入设备发送的接入层安全模式命令ASSMC请求消息，所述ASSMC请求消息包括所述第二公共参数和第二时间信息；或者，
用于接收切换命令消息，所述切换命令消息包括：所述第一加密算法对应的在所述接入网设备中的第二公共参数和第二时间信息，和/或所述第一加密算法对应的在所述移动管理网元中的第一公共参数和第一时间信息，所述切换命令消息用于指示切换至所述接入网设备；或者，
用于接收用于指示鉴权成功的消息，所述用于指示鉴权成功的消息包括所述第一公共参数和第一时间信息。


17.根据权利要求10-16任一项所述的一种安全通信装置，其特征在于，所述第一公共参数，包括：所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数；
所述NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。


18.根据权利要求10-17任一项所述的一种安全通信装置，其特征在于，所述第二公共参数，包括：所述接入网设备覆盖的一个或者多个小区分别对应的第二公共参数，
所述AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。


19.一种加密信息确定方法，其特征在于，包括：
移动管理网元获取终端支持的第一加密算法对应的第一信息，所述第一信息包括：在所述移动管理网元/目标移动管理网元中的第一公共参数，和/或在接入网设备中的第二公共参数，所述第一公共参数用于加密所述终端发送给所述移动管理网元/所述目标移动管理网元的非接入NAS层信息；所述第二公共参数用于加密所述终端发送给所述接入网设备的接入AS层信息；
所述移动管理网元发送所述第一信息。


20.根据权利要求19所述的一种加密信息确定方法，其特征在于，所述移动管理网元获取终端支持的第一加密算法对应的第一信息，包括：
所述移动管理网元接收到所述终端发送的注册请求消息后，从第一秘钥信息中获取所述第一公共参数，和/或，从第二秘钥信息中获取所述终端支持的至少一个第一加密算法对应...

【专利技术属性】
技术研发人员：曾信，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44