一种接口安全性保护方法及装置制造方法及图纸

本申请实施例提供了一种接口安全性保护方法及装置，用于解决现有技术中基于IPSec进行接口安全保护成本较高、灵活性差的问题。该方法包括：第一实体向网络存储功能实体发送第一消息，第一消息携带会话参数；第一实体接收网络存储功能实体发送的第二消息，第二消息携带满足会话参数的M个第二实体分别对应的配置信息，其中，M个第二实体中的m个第二实体支持接口安全保护，M为正整数，m为不大于M的正整数；第一实体在确定需要进行接口安全保护时，在m个第二实体中选择目标第二实体。通过本申请实施例提供的方法不再需要依赖专门的物理或者网络层安全协议来保证接口的安全，从而可以降低部署成本。以降低部署成本。以降低部署成本。

【技术实现步骤摘要】
一种接口安全性保护方法及装置


[0001]本申请涉及通信
，尤其涉及一种接口安全性保护方法及装置。

技术介绍

[0002]5G通信系统架构中，核心网的网络功能(network function，NF)之间、核心网与接入网之间存在基于服务化架构(service based architecture，SBA)接口(例如Nnssf、Nnef等接口)和非SBA接口(N3、N4和N9等接口)。
[0003]其中，SBA接口支持使用超文本传输安全协议插层(hyper text transfer protocol over secure socket layer，HTTPS)保护传递信息安全，可以通过安全传输层协议(transport layer security，TLS)对传输数据进行加解密、完整性保护等。
[0004]而对于非SBA接口的保护，例如N3、N4和N9，则通常使用互联网安全协议(internet protocol security，IPSec)等保护传递信息安全。但是，采用IPSec保护N3、N4和N9等接口安全性时，通本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种接口安全性保护方法，其特征在于，包括：第一实体向网络存储功能实体发送第一消息，所述第一消息携带会话参数；所述第一实体接收所述网络存储功能实体发送的第二消息，所述第二消息携带满足所述会话参数的M个第二实体分别对应的配置信息，其中，所述M个第二实体中的m个第二实体支持接口安全保护，所述M为正整数，所述m为不大于M的正整数；所述第一实体在确定需要进行接口安全保护时，在所述m个第二实体中选择目标第二实体。2.如权利要求1所述的方法，其特征在于，所述第一消息进一步包括：用于指示接口安全保护能力的第一参数；所述m等于M。3.如权利要求1或2所述的方法，其特征在于，所述m个第二实体分别对应的配置信息中还包括所述配置信息对应的第二实体的一个或多个网络切片中支持接口安全保护的网络切片；所述第一实体在所述m个第二实体中选择目标第二实体，包括：根据所述m个第二实体对应的配置信息确定X个第二实体，所述X个第二实体中的每个第二实体至少有一个网络切片支持接口安全保护，所述X为不大于m的正整数；从所述X个第二实体中选择至少一个第二实体作为所述目标第二实体。4.如权利要求3所述的方法，其特征在于，所述m个第二实体的配置信息中还包括所述支持接口安全保护的网络切片的安全保护参数。5.如权利要求1-4任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：所述第一实体与所述目标第二实体中的第三实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；所述第一实体与所述第三实体建立第二协议层连接，所述第二协议层用于实现数据包转发控制。6.如权利要求1-4任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：所述第一实体向所述目标第二实体中的第三实体发送第三消息，所述第三消息用于请求建立第二协议层连接，所述第二协议层用于实现数据包转发控制；所述第一实体从所述第三实体接收所述第三消息对应的拒绝消息；所述第一实体与所述第三实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；所述第一实体向所述第三实体发送第四消息，所述第四消息用于请求建立所述第二协议层连接；所述第一实体从所述目标第二实体接收所述第四消息对应的响应消息。7.如权利要求1-4任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：所述第一实体与所述目标第二实体中的第三实体建立第二协议层连接，所述第二协议层用于实现数据包转发控制；
所述第一实体向所述第三实体发送第五消息，所述第五消息用于请求建立所述第二协议层会话；所述第一实体从所述第三实体接收所述第五消息对应的拒绝消息；所述第一实体与所述第三实体进行第一协议层握手，所述第一协议层用于实现接口安全保护；所述第一实体向所述第三实体发送第六消息，所述第六消息用于请求建立所述第二协议层会话；所述第一实体从所述第三实体接收所述第六消息对应的响应消息。8.如权利要求1-7任一项所述的方法，其特征在于，所述第一实体确定需要进行接口安全保护，包括：所述第一实体基于如下属性中至少一项确定需要进行接口安全保护：所述第二实体的地理位置、网络中网络切片的属性、多接入边缘计算场景。9.如权利要求1-7任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：所述第一实体向所述目标第二实体中的第三实体发送第七消息，所述第七消息指示所述第三实体增加第一协议层对应的头部，所述第一协议层用于实现接口安全保护。10.如权利要求9所述的方法，其特征在于，所述第七消息携带外部头创建Outer Header Creation信元，所述Outer Header Creation信元用于指示所述第三实体增加第一协议层对应的头部。11.如权利要求9或10所述的方法，其特征在于，在所述第一实体向所述目标第二实体中的第三实体发送第七消息之后，所述方法还包括：所述第一实体向所述第三实体发送第八消息，所述第八消息指示所述第三实体删除所述第一协议层对应的头部。12.如权利要求11所述的方法，其特征在于，所述第八消息携带外部头删除Outer Header Removal信元，所述Outer Header Removal信元用于指示所述第三实体删除第一协议层对应的头部。13.如权利要求1-12任一项所述的方法，其特征在于，在所述第一实体在所述m个第二实体中选择目标第二实体之后，所述方法还包括：所述第一实体向接入网设备发送第二信息，所述第二信息指示启用接口安全保护。14.如权利要求13所述的方法，其特征在于，所述第二信息携带安全指示Security Indication信元，所述Security Indication用于指示启用接口安全保护。15.如权利要求13或14所述的方法，其特征在于，所述第二信息还携带第三信息，所述第三信息用于确定安全保护参数。16.一种接口安全性保护方法，其特征在于，包括：网络存储功能实体接收第一实体发送的第一消息，所述第一消息携带会话参数；所述网络存储功能实体基于所述会话参数选择满足所述会话参数的M个第二实体，所述M个第二实体中的m个第二实体支持接口安全保护，所述M为正整数，所述m为不大于M的正整数；所述网络存储功能实体向所述第一实体发送第二消息，所述第二消息携带所述M个第
二实体分别对应的配置信息。17.如权利要求16所述的方法，其特征在于，所述第一消息进一步包括：用于指示接口安全保护能力的第一参数；所述网络存储功能实体基于所述会话参数选择M个第二实体，包括：所述网络存储功能实体确定满足所述会话参数且支持所述接口安全保护能力的M个第二实体，所述m等于M。18.如权利要求16或17所述的方法，其特征在于，所述m个第二实体分别对应的配置信息中还包括所述...

【专利技术属性】
技术研发人员：杨文进，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：