本发明专利技术公开一种基于策略的数据安全传输的实现方法,该方法包括:PCF决策为用户开展的应用进行传输安全保护,并将策略通知密钥产生功能;密钥产生功能使用密钥锚为应用产生密钥,并提供给UPF;PCF将策略通知给UE;UE使用密钥锚为应用产生密钥,并保存;对UE和UPF之间传输的应用数据,使用数据密钥进行机密性和/或完整性保护。该方法通过结合应用的安全需求,决策为应用在5G网络用户面安全传输提供对应的密钥,应用的数据在UE和UPF之间传输时使用密钥对数据流进行安全保护。
【技术实现步骤摘要】
一种基于策略的数据安全传输的实现方法
本专利技术涉及5G通信安全领域,尤其是一种基于策略的数据安全传输的实现方法。
技术介绍
5G网络将为各行业应用提供网络服务,承载各种高价值应用数据及诸如隐私等敏感数据。对网络实施攻击以获取或篡改数据的攻击行为从未停止,并且随着未来5G网络承载业务的不断丰富,攻击手段还在不断发展演进。因此,对数据在网络传输过程中的安全保护(包括完整性(integrity)和/或机密性(ciphering)保护)措施必不可少。机密性是对数据进行加密传输,用于组织传输过程中避免数据被窃听和被非法获取;完整性是对传输数据在接收端进行完整性校验,用于阻止传输过程中数据被篡改。5G网络传输的数据分为两大类:一类是控制面信令数据,例如用户注册到网络的信令和接入网络的切片会话信令等;另一类是用户开展业务的用户面数据,例如在线视频业务的数据。3GPP(The3rdGenerationPartnershipProject,第三代伙伴计划)R15定义的5G网络传输数据过程中安全防护机制如图1所示。UE(UserEquipment,用户设备/用户终端)与RAN(RadioAccessNetwork,接入网络)之间的控制面数据和用户面数据进行机密性和完整性保护,如图1中的A和B;UE和5GC(5GCoreNetwork,5G核心网络)之间的控制面数据进行机密性和完整性保护,如图1中的C,但尚未要求对UE和5GC之间的用户面数据传输进行机密性和完整性保护,用户面数据在UE与5GC之间是明文传输的,如图1中的D。5G为垂直行业提供网络服务。垂直行业结合自身业务特性,存在需要对用户面数据提供UE到5GC传输路径上进行安全防护的需求,主要基于以下原因:(1)基站配置更容易暴露,进而基站侧加密、认证和用户面的完保等配置更容易被攻击。(2)与基站侧对比,位于核心网络侧的网络节点具备更强的计算能力,有助于减少数据交互时延,而垂直行业往往低时延体验非常重视。网络切片运营商(为垂直行业应用提供网络服务的运营商)可能从其他运营商处租用RAN资源。从网络切片运营商/行业应用的角度看,基站并非是绝对信任的设备,因此,网络切片运营商/行业应用希望数据传输安全终结在核心网络而非接入基站侧。针对上述安全需求,可通过以下方式达到部分安全防护的需求,但仍存在以下一些不足:(1)UE和基站之间的防护参考图1中的B所示的方式,在基站边界网元和核心网络边界网元之间,即图1中的D建立加密通道,例如IPSec,对网元间传输的所有数据进行加密和完整性保护。这种方式虽然实现用户面数据在UE和5GC之间的安全保护,但是存在以下缺点:(a)上述方案是对上述网元间传输的所有数据实施加密和完整性保护,对于不管是否有加密需求的用户和应用都要实施加密保护,这将降低处理效率,增加业务时延。(b)基站仍然参与数据加解密和完整性校验处理过程,仍然存在上述基站非信任和基站被攻击而导致数据安全的风险。(2)通过应用自身提供应用层加密等防护机制保证用户面数据安全,例如,某些应用程序使用SSL(SecureSocketLayer,安全套接字层)加密传输应用数据。但并非每个应用都会在应用层对用户面数据进行加密、完保和验证,上述方案对各种应用程序都是特定专有的,并不容易推广。
技术实现思路
针对应用数据用户和核心网络之间传输需要安全保护的需求,以及现有方案的不足,本专利技术提供了一种区分应用的数据安全传输方法,通过结合应用的安全需求,决策为应用在5G网络用户面安全传输提供对应的密钥,应用的数据在UE和UPF之间传输时使用密钥对数据流进行安全保护。为实现上述目的,本专利技术采用下述技术方案:在本专利技术一实施例中,提出了一种基于策略的数据安全传输的实现方法,该方法包括:策略控制功能PCF为用户开展的应用进行传输安全保护,并将策略通知密钥产生功能;密钥产生功能使用密钥锚为应用产生密钥,并提供给用户面功能UPF;策略控制功能PCF将策略通知给UE;UE使用密钥锚为应用产生密钥,并保存;对UE和用户面功能UPF之间传输的应用数据,使用数据密钥进行机密性和/或完整性保护。进一步地,策略控制功能PCF从AF接收应用信息,并根据应用信息和用户标识从UDM获取签约信息,该签约信息中指示为用户开展的应用进行传输安全保护。进一步地,策略控制功能PCF从会话管理功能SMF获取用户标识,根据用户标识从UDM获取签约信息,该签约信息为用户开展的应用进行传输安全保护。进一步地,策略控制功能PCF根据签约信息和运营商策略为用户开展的应用进行传输安全保护。进一步地,为用户开展的应用进行传输保护,包括对UE和用户面功能UPF之间传输的应用数据进行机密性和/或完整保护。进一步地,密钥产生功能为会话管理功能SMF,该会话管理功能SMF使用密钥锚和密钥产生算法为应用产生机密性密钥K1和/或完整性密钥K2,并提供给用户面功能UPF。进一步地,密钥产生功能为接入和移动性管理功能AMF,该接入和移动性管理功能AMF使用密钥锚和密钥产生算法为应用产生机密性密钥K1和/或完整性密钥K2,并经过会话管理功能SMF提供给用户面功能UPF。进一步地,策略控制功能PCF通过会话管理功能SMF和/或接入和移动性管理功能AMF通知UE需要为应用进行传输安全保护。进一步地,UE使用密钥锚和密钥产生算法为应用产生机密性密钥K1和/或完整性密钥K2,该UE使用的密钥锚和密钥产生算法与密钥产生功能使用的密钥锚和密钥产生算法相同。进一步地,对UE和用户面功能UPF之间传输的应用数据,使用数据密钥进行机密性和/或完整性保护,包括:对于UE发送的应用数据,UE利用机密性密钥K1进行数据加密和/或利用完整性密钥K2产生完整性保护摘要,并发送经过加密和/或完整性保护后的数据,用户面功能UPF利用机密性密钥K1进行数据解密和/或利用完整性密钥K2进行完整性校验;对于UE接收的应用数据,用户面功能UPF利用机密性密钥K1进行数据加密和/或利用完整性密钥K2产生完整性保护摘要,并发送经过加密和/或完整性保护后的数据,UE利用所述机密性密钥K1进行数据解密和/或利用完整性密钥K2进行完整性校验。有益效果:本专利技术可以实现对用户开展的应用业务的数据传输进行按需防护的目的,弥补了现有技术的不足,提高了用户数据的安全性以及网络处理效率。附图说明图1是3GPPR15定义的5G网络传输数据过程中安全防护机制示意图;图2是本专利技术的基于策略的数据安全传输的实现流程示意图;图3是本专利技术实施例一的基于策略的数据安全传输的实现流程示意图;图4是本专利技术实施例二的基于策略的数据安全传输的实现流程示意图;图5是本专利技术实施例三的基于策略的数据安全传输的实现流程示意图。具体实施方式下面将参考若干示例性实施方式来描本文档来自技高网...
【技术保护点】
1.一种基于策略的数据安全传输的实现方法,其特征在于,该方法包括:/n策略控制功能PCF决策为用户开展的应用进行传输安全保护,并将策略通知密钥产生功能;/n密钥产生功能使用密钥锚为应用产生密钥,并提供给用户面功能UPF;/n策略控制功能PCF将策略通知给UE;/nUE使用密钥锚为应用产生密钥,并保存;/n对UE和用户面功能UPF之间传输的应用数据,使用数据密钥进行机密性和/或完整性保护。/n
【技术特征摘要】
1.一种基于策略的数据安全传输的实现方法,其特征在于,该方法包括:
策略控制功能PCF决策为用户开展的应用进行传输安全保护,并将策略通知密钥产生功能;
密钥产生功能使用密钥锚为应用产生密钥,并提供给用户面功能UPF;
策略控制功能PCF将策略通知给UE;
UE使用密钥锚为应用产生密钥,并保存;
对UE和用户面功能UPF之间传输的应用数据,使用数据密钥进行机密性和/或完整性保护。
2.根据权利要求1所述的基于策略的数据安全传输的实现方法,其特征在于,所述策略控制功能PCF从AF接收应用信息,并根据应用信息和用户标识从UDM获取签约信息,该签约信息中指示为用户开展的应用进行传输安全保护。
3.根据权利要求1所述的基于策略的数据安全传输的实现方法,其特征在于,所述策略控制功能PCF从会话管理功能SMF获取用户标识,根据用户标识从UDM获取签约信息,该签约信息为用户开展的应用进行传输安全保护。
4.根据权利要求1所述的基于策略的数据安全传输的实现方法,其特征在于,所述策略控制功能PCF根据签约信息和运营商策略决策为用户开展的应用进行传输安全保护。
5.根据权利要求1所述的基于策略的数据安全传输的实现方法,其特征在于,为所述用户开展的应用进行传输保护,包括对UE和用户面功能UPF之间传输的应用数据进行机密性和/或完整保护。
6.根据权利要求1所述的基于策略的数据安全传输的实现方法,其特征在于,所述密钥产生功能为会话管理功能SMF,该会话管理功能SMF使用密钥锚和密钥产生算法为应用产生机密性密钥K1和/...
【专利技术属性】
技术研发人员:何文娟,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。