一种激活安全的方法及通信装置制造方法及图纸

本申请提供一种激活安全的方法及通信装置，该方法包括：第一通信制式的第一接入网设备请求第二通信制式的第二接入网设备为终端设备的双连接分配资源，并向第二接入网设备发送用于指示终端设备支持用户面安全保护的第一指示信息。第二接入网设备根据该第一指示信息和用户面安全策略，确定安全激活状态，并将确定的安全激活状态和对应的承载的标识信息发送至终端设备，从而实现按需开启终端设备与第二接入网设备之间的用户面安全。第二接入网设备之间的用户面安全。第二接入网设备之间的用户面安全。

【技术实现步骤摘要】
一种激活安全的方法及通信装置
[0001]相关申请的交叉引用
[0002]本申请要求在2021年05月08日提交中国国家知识产权局、申请号为202110502511.3、申请名称为“一种激活安全的方法及通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中；本申请要求在2021年05月10日提交中国国家知识产权局、申请号为202110506910.7、申请名称为“一种激活安全的方法及通信装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0003]本申请涉及无线通信
，尤其涉及一种激活安全的方法及通信装置。

技术介绍

[0004]用户面安全按需保护机制是5G网络中的一种安全机制。用户面安全按需保护机制涉及用户面加密保护和用户面完整性保护，要求接入网设备根据从核心网设备接收到的用户面安全策略，判断是否开启与终端设备之间的用户面加密保护和用户面完整性保护，从而为终端设备提供更加灵活的用户面安全。
[0005]现有技术中，4G网络并不支持用户面安全按需保护机制。在4G网络中，接入网设备与终端设备之间的用户面安全固定为：用户面加密保护开启，用户面完整性保护不开启。在4G网络短期内不会退网的情况下，业界已研究通过网络中的接入网设备以及相关的核心网设备(如移动性管理实体(mobility management entity，MME))的参与，将用户面安全按需保护机制应用于4G网络。
[0006]在4G网络向5G网络过渡的过程中，出现了非独立组网(non
‑
standalone，NSA)的部署方式，终端设备通过双连接的方式同时连接4G网络中的演进型基站(evolved packet system，eNB)和5G网络中的下一代基站(next generation NodeB，gNB)。
[0007]当在4G网络中引入用户面安全按需保护机制后，如何在NSA的部署方式下，实现用户面安全按需保护机制，是当前亟待解决的问题。

技术实现思路

[0008]本申请实施例提供一种激活安全的方法及通信装置，用于在NSA部署方式下，开启终端设备与双连接的辅接入网设备之间的用户面安全。
[0009]第一方面，本申请实施例提供一种激活安全的方法，该方法可由第一接入网设备执行，也可以由配置于第一接入网设备的部件(例如芯片或者电路)执行。
[0010]该方法包括：第一通信制式的第一接入网设备请求第二通信制式的第二接入网设备为终端设备的双连接分配资源并向第二接入网设备发送第一指示信息，该第一指示信息用于指示终端设备支持用户面安全保护，第一接入网设备为终端设备的双连接中的主接入网设备；第一接入网设备接收来自第二接入网设备的承载的标识信息和安全激活状态；第一接入网设备向终端设备发送承载的标识信息和安全激活状态，该安全激活状态用于指示
是否开启所述承载的用户面加密保护和/或用户面完整性保护。
[0011]上述技术方案，对跨系统的双连接场景下的辅站添加流程中作为主接入网设备的第一接入网设备和作为辅接入网设备的第二接入网设备的处理逻辑进行了增强。第一接入网设备可向第二接入网设备发送用于指示终端设备支持用户面安全保护的第一指示信息，或者进一步还发送用户面安全策略，由第二接入网设备根据该第一指示信息和用户面安全策略，确定安全激活状态并发送至终端设备，从而实现按需开启终端设备与第二接入网设备之间的用户面安全。同时，第一接入网设备还可根据用户面完整性保护策略判断第二接入网设备是否支持用户面安全保护，从而避免在用户面完整性保护策略为指示开启的情况下，第二接入网设备因为不支持用户面安全保护而忽略掉用户面完整性保护策略，从而导致安全性降低的问题。
[0012]在第一方面的一种可能的设计中，所述承载用于传输终端设备与第二接入网设备之间的用户面数据。
[0013]在第一方面的一种可能的设计中，该方法还包括：第一接入网设备根据终端设备的上下文，生成第一指示信息。
[0014]在第一方面的一种可能的设计中，终端设备的上下文中包括终端设备的第一安全能力，该第一安全能力指示终端设备支持用户面安全保护，该第一安全能力与第一通信制式相对应。
[0015]在第一方面的一种可能的设计中，终端设备的上下文中包括终端设备的第一无线能力，该第一无线能力指示终端设备支持用户面安全保护，该第一无线能力与第一通信制式相对应。
[0016]在第一方面的一种可能的设计中，若用户面安全策略为必须开启，所述第一指示信息的类型为拒绝的关键信息；若用户面安全策略不是必须开启，所述第一指示信息的类型为忽略的关键信息。
[0017]在第一方面的一种可能的设计中，该方法还包括：第一接入网设备根据终端设备的上下文，选择第二接入网设备，该第二接入网设备支持用户面安全保护。
[0018]在第一方面的一种可能的设计中，终端设备的上下文中包括用户面安全策略；所述第一接入网设备根据终端设备的上下文，选择第二接入网设备，包括：第一接入网设备确定终端设备支持用户面安全保护，则根据用户面安全策略，选择第二接入网设备。
[0019]在第一方面的一种可能的设计中，该方法还包括：第一接入网设备向第二接入网设备发送来自核心网设备的或第一接入网设备预配置的用户面安全策略。
[0020]在第一方面的一种可能的设计中，该方法还包括：第一接入网设备接收来自终端设备的开启指示信息，该开启指示信息用于指示终端设备已开启与第二接入网设备之间的用户面安全；第一接入网设备向第二接入网设备发送开启指示信息。
[0021]在第一方面的一种可能的设计中，该方法还包括：第一接入网设备接收来自第二接入网设备的支持开启指示，该支持开启指示用于指示第二接入网设备支持用户面安全保护。
[0022]在第一方面的一种可能的设计中，所述第一通信制式的第一接入网设备请求第二通信制式的第二接入网设备为终端设备的双连接分配资源并向第二接入网设备发送第一指示信息，包括：第一接入网设备向第二接入网设备发送辅站添加请求，该辅站添加请求中
包括第一指示信息，该辅站添加请求用于请求为终端设备的双连接分配资源；所述第一接入网设备接收来自第二接入网设备的承载的标识信息和安全激活状态包括：第一接入网设备接收来自第二接入网设备的辅站添加响应，该辅站添加响应中包括承载的标识信息和安全激活状态。
[0023]在第一方面的一种可能的设计中，所述辅站添加请求中还包括用户面安全策略。
[0024]在第一方面的一种可能的设计中，所述第一接入网设备向终端设备发送承载的标识信息和安全激活状态包括：第一接入网设备向终端设备发送重配置消息，该重配置消息中包括承载的标识信息和安全激活状态。
[0025]第二方面，本申请实施例提供一种激活安全的方法，该方法可由第二接入网设备执行，也可以由配置于第二接入网设备的部件(例如芯片或者电路)执行。
[0026]该方法包括：第二通信制式的第二接入网设备接受第一通信制式的第一接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种激活安全的方法，其特征在于，所述方法包括：第一通信制式的第一接入网设备请求第二通信制式的第二接入网设备为终端设备的双连接分配资源并向所述第二接入网设备发送第一指示信息，所述第一指示信息用于指示所述终端设备支持用户面安全保护，所述第一接入网设备为所述终端设备的双连接中的主接入网设备；所述第一接入网设备接收来自所述第二接入网设备的承载的标识信息和安全激活状态；所述第一接入网设备向所述终端设备发送所述承载的标识信息和所述安全激活状态，所述安全激活状态用于指示是否开启所述承载的用户面加密保护和/或用户面完整性保护。2.根据权利要求1所述的方法，其特征在于，所述承载用于传输所述终端设备与所述第二接入网设备之间的用户面数据。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述第一接入网设备根据所述终端设备的上下文，生成所述第一指示信息。4.根据权利要求3所述的方法，其特征在于，所述终端设备的上下文中包括所述终端设备的第一安全能力，所述第一安全能力指示所述终端设备支持用户面安全保护，所述第一安全能力与所述第一通信制式相对应。5.根据权利要求3所述的方法，其特征在于，所述终端设备的上下文中包括所述终端设备的第一无线能力，所述第一无线能力指示所述终端设备支持用户面安全保护，所述第一无线能力与所述第一通信制式相对应。6.根据权利要求1或2所述的方法，其特征在于，所述第一指示信息为所述终端设备的第一无线能力，所述第一无线能力指示所述终端设备支持用户面安全保护，所述第一无线能力与所述第一通信制式相对应。7.根据权利要求1至6中任一项所述的方法，其特征在于，若用户面安全策略为必须开启，所述第一指示信息的类型为拒绝的关键信息；若所述用户面安全策略不是必须开启，所述第一指示信息的类型为忽略的关键信息。8.根据权利要求1至7中任一项所述的方法，其特征在于，所述方法还包括：所述第一接入网设备根据所述终端设备的上下文，选择所述第二接入网设备，所述第二接入网设备支持用户面安全保护。9.根据权利要求8所述的方法，其特征在于，所述终端设备的上下文中包括用户面安全策略；所述第一接入网设备根据所述终端设备的上下文，选择所述第二接入网设备，包括：所述第一接入网设备确定所述终端设备支持用户面安全保护，则根据所述用户面安全策略，选择所述第二接入网设备。10.根据权利要求1至9中任一项所述的方法，其特征在于，所述方法还包括：所述第一接入网设备向所述第二接入网设备发送来自核心网设备的或所述第一接入网设备预配置的用户面安全策略。11.根据权利要求1至10中任一项所述的方法，其特征在于，所述方法还包括；所述第一接入网设备接收来自所述终端设备的开启指示信息，所述开启指示信息用于
指示所述终端设备已开启与所述第二接入网设备之间的用户面安全；所述第一接入网设备向所述第二接入网设备发送所述开启指示信息。12.根据权利要求1至11中任一项所述的方法，其特征在于，所述第一通信制式的第一接入网设备请求第二通信制式的第二接入网设备为终端设备的双连接分配资源并向所述第二接入网设备发送第一指示信息，包括：所述第一接入网设备向所述第二接入网设备发送辅站添加请求，所述辅站添加请求中包括所述第一指示信息，所述辅站添加请求用于请求为终端设备的双连接分配资源；所述第一接入网设备接收来自所述第二接入网设备的承载的标识信息和安全激活状态包括：所述第一接入网设备接收来自所述第二接入网设备的辅站添加响应或辅站修改响应，所述辅站添加响应或辅站修改响应中包括所述承载的标识信息和所述安全激活状态。13.根据权利要求12所述的方法，其特征在于，所述方法还包括：若用户面安全策略为必须开启，且所述辅站添加响应或辅站修改响应不包括开启指示，则所述第一接入网设备触发辅站释放流程，所述开启指示用于指示所述第二接入网设备支持用户面安全保护。14.一种激活安全的方法，其特征在于，所述方法包括：第二通信制式的第二接入网设备接受第一通信制式的第一接入网设备为终端设备的双连接分配资源的请求并接收来自所述第一接入网设备的第一指示信息，所述第一指示信息用于指示终端设备支...

【专利技术属性】
技术研发人员：胡力，李赫，吴荣，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：