安全策略的更新方法及装置、系统制造方法及图纸

本申请公开了一种安全策略的更新方法及装置、系统。其中，该方法包括：应用功能实体通过安全策略接口获取边缘应用的安全策略信息，安全策略信息中包括以下至少之一：边缘应用对应的协议数据单元会话的完整性保护策略、边缘应用对应的协议数据单元会话的用户面加密策略；应用实体向策略控制功能实体发送第一请求消息，第一请求消息包括安全策略信息，安全策略信息用于使得策略控制功能实体修改边缘应用的安全策略。本申请解决了现有技术没有提供5G边缘应用向5G网络反馈应用所需的安全等级策略需求机制的技术问题。

【技术实现步骤摘要】
安全策略的更新方法及装置、系统
本申请涉及网络安全领域，具体而言，涉及一种安全策略的更新方法及装置、系统。
技术介绍
边缘计算是云计算的一种演进方式，边缘计算不同于集中式数据中心，它将分散的数据中心部署在网络边缘，使得数据处理逻辑更接近消费者。边缘计算被认为是满足5G(5th-gengration，5G)网络需求中的关键性能指标(KeyPerformanceIndicator，KPI)的重要手段之一，特别是在低延迟和宽带效率方面。电信网络中的边缘计算不仅成为满足5G性能指标的推动者，它还在电信业务的转型中发挥着重要作用，电信业务正在转变为工业和其他特定客户群的多功能服务平台。边缘计算支持这种转换，因为它为应用程序和服务(包括来自第三方的应用程序和服务)打开了网络边缘。5G边缘应用对5G网络有不同的安全等级策略需求，例如，有些应用需要5G网络提供用户面的完整性保护，然而，现有技术没有提供5G边缘应用向5G网络反馈应用所需的安全等级策略需求机制。针对上述的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种安全策略的更新方法及装置、系统，以至少解决现有技术没有提供5G边缘应用向5G网络反馈应用所需的安全等级策略需求机制的技术问题。根据本申请实施例的一个方面，提供了一种安全策略的更新方法，包括：应用功能AF(ApplicationFunction，AF)实体通过安全策略接口获取边缘应用的安全策略信息，安全策略信息中包括以下至少之一：边缘应用对应的协议数据单元PDU(ProtocolDataUnit，PDU)会话的完整性保护策略、边缘应用对应的协议数据单元会话的用户面UP(UserPlane，UP)加密策略；应用功能实体向策略控制功能PCF(PolicyControlFunction，PCF)实体发送第一请求消息，第一请求消息包括安全策略信息，安全策略信息用于使得策略控制功能实体修改边缘应用的安全策略。根据本申请实施例的另一方面，还提供了另一种安全策略的更新方法，包括：边缘计算平台获取边缘应用的安全策略信息，其中，安全策略信息包括以下至少之一：边缘应用对应的协议数据单元会话的完整性保护策略、边缘应用对应的协议数据单元会话的用户面加密信息；所述边缘计算平台向策略控制功能实体发送包括所述安全策略信息的第十请求消息，该第十请求消息用于使得所述策略控制功能实体向所述会话管理功能实体发送第十一请求消息，该第十一请求消息中包括所述安全策略信息。根据本申请实施例的另一方面，还提供了另一种安全策略的更新方法，包括：应用功能实体向策略控制功能实体发送第十三请求消息，第十三请求消息包括安全策略信息，该第十三请求消息用于使得策略控制功能实体向会话管理功能实体发送第十四请求消息，该第十四请求消息中包括安全策略信息；应用功能实体接收来自策略控制功能实体发送的第十四响应消息。根据本申请实施例的再一方面，还提供了一种安全策略的更新装置，应用于应用功能实体中，包括：获取模块，用于通过安全策略接口获取边缘应用的安全策略信息，安全策略信息中包括以下至少之一：边缘应用对应的协议数据单元会话的完整性保护策略、边缘应用对应的协议数据单元会话的用户面加密策略；发送模块，用于向策略控制功能实体发送第一请求消息，第一请求消息包括安全策略信息，安全策略信息用于使得策略控制功能实体修改边缘应用的安全策略。根据本申请实施例的再一方面，还提供了一种安全策略的更新系统，包括：应用功能实体，用于通过安全策略接口获取边缘应用的安全策略信息；策略控制功能实体，用于接收第一请求消息，第一请求消息中包括安全策略信息，安全策略信息用于使得策略控制功能实体修改边缘应用的安全策略。在本申请实施例中，采用应用功能实体通过安全策略接口获取边缘应用的安全策略信息，安全策略信息中包括以下至少之一：边缘应用对应的协议数据单元会话的完整性保护策略、边缘应用对应的协议数据单元会话的用户面加密策略；应用功能实体向策略控制功能实体发送第一请求消息，第一请求消息包括安全策略信息，安全策略信息用于使得策略控制功能实体修改边缘应用的安全策略的方式，5G核心网中的应用功能实体通过安全策略接口从边缘应用获取对应的安全策略信息，然后向策略控制功能实体请求修改该边缘应用对应的安全策略信息。达到了使得边缘应用的安全策略可以上报到5G核心网中，并且在相应地协议数据单元会话中采用相应的安全策略的目的，从而实现了可以有效地根据边缘应用的需求采用相应地安全策略，提高应用数据传输的安全性，并且同时保证网络效率的技术效果，进而解决了现有技术没有提供5G边缘应用向5G网络反馈应用所需的安全等级策略需求机制的技术问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1a-1h是根据本申请实施例的不同场景下的安全策略更新方法的示意图；图2是根据本申请实施例的一种安全策略的更新方法的流程图；图3是根据本申请实施例的一种边缘计算系统的总体架构图；图4是根据本申请实施例的一种移动边缘计算系统与5G核心网结合以后的架构图；图5是根据本申请实施例的另一种安全策略的更新方法的流程图；图6是根据本申请实施例的一种安全策略的更新装置的结构图；图7是根据本申请实施例的一种安全策略的更新系统的结构图；图8是根据本申请实施例的另一种安全策略的更新方法的流程图。具体实施方式为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本申请实施例，提供了一种通信系统，该系统中包括：应用功能AF实体、网络开放功能NEF(NetworkExposureFunction，NEF)实体、统一数据管理UDM(UnifiedDataManagement，UDM)实体、统一数据存储UDR(UnifiedDataRepository，UDR)实体、会话管理功能SMF(SessionManagementFunction，SMF)本文档来自技高网...

【技术保护点】
1.一种安全策略的更新方法，其特征在于，包括：/n应用功能实体通过安全策略接口获取边缘应用的安全策略信息，所述安全策略信息中包括以下至少之一：所述边缘应用对应的协议数据单元会话的完整性保护策略、所述边缘应用对应的协议数据单元会话的用户面加密策略；/n所述应用功能实体向策略控制功能实体发送第一请求消息，所述第一请求消息包括安全策略信息，所述安全策略信息用于使得所述策略控制功能实体修改所述边缘应用的安全策略。/n

【技术特征摘要】
1.一种安全策略的更新方法，其特征在于，包括：
应用功能实体通过安全策略接口获取边缘应用的安全策略信息，所述安全策略信息中包括以下至少之一：所述边缘应用对应的协议数据单元会话的完整性保护策略、所述边缘应用对应的协议数据单元会话的用户面加密策略；
所述应用功能实体向策略控制功能实体发送第一请求消息，所述第一请求消息包括安全策略信息，所述安全策略信息用于使得所述策略控制功能实体修改所述边缘应用的安全策略。


2.根据权利要求1所述的方法，其特征在于，
所述应用功能实体向策略控制功能实体发送第一请求消息包括：所述应用功能实体通过网络开放功能实体向统一数据管理实体发送第二请求消息，所述第二请求消息中包括所述安全策略信息；
所述应用功能实体向策略控制功能实体发送第一请求消息之后，所述方法还包括：所述应用功能实体通过所述网络开放功能实体接收所述统一数据管理实体发送的第一响应消息，所述第一响应消息包括安全策略信息的更新结果信息。


3.根据权利要求2所述的方法，其特征在于，所述应用功能实体通过所述网络开放功能实体接收所述统一数据管理实体发送的第一响应消息之前，所述方法还包括：
所述统一数据管理实体向统一数据存储实体发送第三请求消息，该第三请求消息中包括所述安全策略信息；
所述统一数据管理实体接收所述统一数据存储实体反馈的第二响应消息，该第二响应消息中包括用于指示安全策略的更新结果信息；
在接收到所述第二响应消息后，所述统一数据管理实体向所述策略控制功能实体发送通知消息。


4.根据权利要求3所述的方法，其特征在于，在所述更新结果信息指示更新失败的情况下，所述第二响应消息中还包括更新失败的原因信息。


5.根据权利要求3所述的方法，其特征在于，所述统一数据管理实体向所述策略控制功能实体发送通知消息之前，所述方法还包括：
网络开放功能实体接收所述统一数据管理实体发送的第三响应消息，其中，该第三响应消息中包括所述更新结果信息，所述第三响应消息为所述网络开放功能实体向所述统一数据管理实体发送的第四请求消息对应的响应消息，所述第四请求消息包括所述安全策略信息；
所述网络开放功能实体向所述应用功能实体发送第四响应消息，其中，该第四响应消息中包括所述更新结果信息，所述第四响应消息为所述应用功能实体向所述网络开放功能实体发送的第五请求消息对应的响应消息，所述第五请求消息中包括所述安全策略信息。


6.根据权利要求3所述的方法，其特征在于，所述统一数据管理实体向所述策略控制功能实体发送通知消息包括：
所述统一数据管理实体接收所述统一数据存储实体发送的第一通知消息，其中，所述第一通知消息中包括所述安全策略信息；
所述统一数据管理实体向所述策略控制功能实体发送第二通知消息，其中，所述第二通知消息中包括所述安全策略信息。


7.根据权利要求3所述的方法，其特征在于，所述应用功能实体向策略控制功能实体发送包括所述安全策略信息的请求消息之后，所述方法还包括：
所述策略控制功能实体向会话管理功能实体发送第六请求消息，该第六请求消息中包括所述安全策略信息；
所述策略控制功能实体接收所述会话管理功能实体发送的所述第六请求消息对应的第六响应消息，其中，该第六响应消息中包括用于指示安全策略是否更新成功的更新结果信息。


8.根据权利要求7所述的方法，其特征在于，在所述策略控制功能实体接收到第六响应消息之后，所述方法还包括：
所述会话管理功能实体向接入和移动管理功能实体发送第七请求消息，所述第七请求消息中包括所述安全策略信息。


9.根据权利要求1所述的方法，其特征在于，所述应用功能实体向策略控制功能实体发送第一请求消息之后，所述方法还包括：
所述策略控制功能实体向统一数据管理实体发送第八请求消息，其中，所述第八请求消息中包括：所述安全策略信息；
所述策略控制功能实体接收...

【专利技术属性】
技术研发人员：于小博，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY