用户面安全策略配置方法及相关设备技术

本公开实施例提供了一种用户面安全策略配置方法及相关设备。由第一基站执行的方法包括：在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时，第一基站获取第二基站的用户面安全策略；第一基站将第二基站的用户面安全策略发送至核心网控制面实体，以便核心网控制面实体将第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略；第一基站将所述核心网存储的用户面安全策略发送至所述终端。略发送至所述终端。略发送至所述终端。

【技术实现步骤摘要】
用户面安全策略配置方法及相关设备


[0001]本公开涉及通信
，具体而言，涉及一种用户面安全策略配置方法、第一基站、第二基站、终端、核心网控制面实体、核心网会话管理功能实体、电子设备和计算机可读存储介质。

技术介绍

[0002]5G(5th Generation Mobile Communication Technology，第五代移动通信技术)作为下一代无线网络的主要技术，具有支持超宽带、大连接等技术特征。相比于4G状态，5G系统对于非NB
‑
IoT(Narrow Band Internet of Things，窄带物联网)类终端支持了一种新的状态即非激活状态(inactive状态)，在Rel
‑
16之前的版本中，inactive状态如果有小数据(small data，SD)的发送需求，需要回到连接状态进行传输，这种方式导致了大量的信令消耗以及终端耗电。
[0003]在Rel
‑
17阶段，3GPP(3rd Generation Partnership Project，第三代合作伙伴)在Rel
‑
17中开展了Small Data Transmission(SDT，小数据传输)的研究工作，其目的是缩小终端在inactive时发送小数据的接入时延。
[0004]但是，由于不同基站对完整性保护的支持能力不一样，并且在inactive状态需要传输数据的需求，目前3GPP规范中支持上述需求时会存在如下问题：基站支持完整性保护能力的缺失对终端移动性产生负面影响；可能导致inactive状态更换锚点的错误。
[0005]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解。

技术实现思路

[0006]本公开实施例提供一种用户面安全策略配置方法、第一基站、第二基站、终端、核心网控制面实体、核心网会话管理功能实体、电子设备和计算机可读存储介质，可为终端配置合适的用户面安全策略。
[0007]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0008]本公开实施例提供一种用户面安全策略配置方法，所述方法包括：在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时，所述第一基站获取第二基站的用户面安全策略；所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体，以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略；所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
[0009]本公开实施例提供一种用户面安全策略配置方法，所述方法包括：第二基站获取
第一基站的用户面安全支持能力；所述第二基站根据所述第一基站的用户面安全支持能力，确定终端的传输锚点从所述第二基站重配置到第一基站；所述第二基站将第二基站的用户面安全策略传输至所述第一基站，以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体；其中，所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略，并将所述核心网存储的用户面安全策略发送至终端。
[0010]本公开实施例提供一种用户面安全策略配置方法，所述方法包括：终端向第一基站发送无线资源控制恢复请求消息，以便所述第一基站根据所述无线资源控制恢复请求消息确定所述终端需要在非激活状态时发送小数据；所述终端接收所述第一基站发送的核心网存储的用户面安全策略；其中，所述核心网存储的用户面安全策略是所述第一基站从核心网控制面实体接收的，在根据第一基站的用户面安全支持能力将所述终端的传输锚点从第二基站重配置到所述第一基站时，所述第一基站用于获取第二基站的用户面安全策略，将所述第二基站的用户面安全策略发送至所述核心网控制面实体，所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体；所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定所述核心网存储的用户面安全策略。
[0011]本公开实施例提供一种用户面安全策略配置方法，所述方法包括：在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时，核心网控制面实体从所述第一基站接收第二基站的用户面安全策略；所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，以便所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述核心网控制面实体接收所述核心网会话管理功能实体返回的所述核心网存储的用户面安全策略；所述核心网控制面实体将所述核心网存储的用户面安全策略发送至所述第一基站，以便所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。
[0012]本公开实施例提供一种用户面安全策略配置方法，所述方法包括：在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时，核心网会话管理功能实体从核心网控制面实体接收第二基站的用户面安全策略；所述核心网会话管理功能实体根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述核心网会话管理功能实体将所述核心网存储的用户面安全策略发送至所述核心网控制面实体，以便所述核心网控制面实体将所述核心网存储的用户面安全策略发送至第一基站，所述第一基站用于将所述核心网存储的用户面安全策略发送至终端。
[0013]本公开实施例提供一种第一基站，所述第一基站包括：第二基站用户面安全策略获取单元，用于在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到所述第一基站时，获取第二基站的用户面安全策略；第二基站用户面安全策略发送单元，用于将所述第二基站的用户面安全策略发送至核心网控制面实体，以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安
全策略；核心网用户面安全策略接收单元，用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略；核心网用户面安全策略发送单元，用于将所述核心网存储的用户面安全策略发送至所述终端。
[0014]本公开实施例提供一种第二基站，所述第二基站包括：第一基站用户面安全支持能力获取单元，用于获取第一基站的用户面安全支持能力；终端传输锚点重配置单元，用于根据所述第一基站的用户面安全支持能力，确定终端的传输锚点从所述第二基站重配置到第一基站；第二基站用户面安全策略传输单元，用于将第二基站的用户面安全策略传输至所述第一基本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户面安全策略配置方法，其特征在于，包括：在根据第一基站的用户面安全支持能力将终端的传输锚点从第二基站重配置到第一基站时，所述第一基站获取第二基站的用户面安全策略；所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体，以便所述核心网控制面实体将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略；所述第一基站将所述核心网存储的用户面安全策略发送至所述终端。2.根据权利要求1所述的方法，其特征在于，还包括：接收网管发送的第一配置信息，所述第一配置信息包括用户面安全支持能力的目标交互方式；若所述目标交互方式为小区级交互，则所述第一基站将所述第一基站的用户面安全支持能力通过与所述第二基站之间的接口发送给所述第二基站；若所述目标交互方式为网管交互，则所述第一基站将所述第一基站的用户面安全支持能力通过所述网管发送给所述第二基站。3.根据权利要求1或2所述的方法，其特征在于，所述第一基站的用户面安全支持能力包括以下一项或多项：是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。4.根据权利要求1所述的方法，其特征在于，还包括：所述第一基站接收所述第二基站发送的接口建立响应消息或接口配置更新响应消息，所述接口建立响应消息或所述接口配置更新响应消息携带所述第二基站的用户面安全支持能力；所述第一基站将所述第二基站的用户面安全支持能力保存到邻区列表信息中。5.根据权利要求2所述的方法，其特征在于，所述第一基站获取第二基站的用户面安全策略，包括：所述第一基站接收所述终端发送的无线资源控制恢复请求消息和数据缓存请求消息；所述第一基站根据所述无线资源控制恢复请求消息中携带的原因确定所述终端需要在非激活状态时发送小数据，同时根据所述第一基站接收到的所述终端上报的数据缓存请求消息中指示的上行待传数据确定终端的待传信息量；所述第一基站将检索终端上下文请求消息发送至所述第二基站，以便所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点从所述第二基站重配置到所述第一基站；所述第一基站接收所述第二基站发送的检索终端上下文响应消息，所述检索终端上下文响应消息携带所述第二基站的用户面安全策略。6.根据权利要求5所述的方法，其特征在于，所述检索终端上下文请求消息包括如下信息中的一项或多项：用户标识信息、小数据传输的指示信息、上行缓存信息，其中，所述上行缓存信息用于标识所述第一基站的媒体接入控制层缓存的上行待传数据大小。7.根据权利要求6所述的方法，其特征在于，若所述目标交互方式为小区级交互；或者，
未将所述第一基站的用户面安全支持能力通过所述网管或者与所述第二基站之间的接口发送给所述第二基站，则所述检索终端上下文请求消息还包括所述第一基站的用户面安全支持能力。8.根据权利要求5所述的方法，其特征在于，所述第二基站的用户面安全策略包括以下信息中的一项或多项：完整性保护指示、保密保护指示、完整性保护支持的最大的速率。9.根据权利要求5所述的方法，其特征在于，在根据第一基站的用户面安全支持能力将终端的传输锚点从所述第二基站重配置到所述第一基站时，所述检索终端上下文响应消息还包括以下信息中的一项或多项：服务数据适配协议SDAP/分组数据汇聚协议PDCP/无线链路层控制协议RLC层参数、安全算法配置信息、密钥配置信息。10.根据权利要求5所述的方法，其特征在于，还包括：若所述检索终端上下文响应消息中携带SDAP/PDCP/RLC层参数、安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略，则所述第一基站根据所述检索终端上下文响应消息中携带的SDAP/PDCP/RLC层参数确定所述终端的协议层的层数；所述第一基站保存所述终端的安全算法配置信息、密钥配置信息和所述第二基站的用户面安全策略；所述第一基站根据SDAP/PDCP/RLC层参数对所述第一基站的媒体接入控制层缓存的所述上行待传数据进行处理；所述第一基站将处理后的所述上行待传数据发送至核心网用户面功能实体。11.根据权利要求5所述的方法，其特征在于，若所述第二基站根据所述第一基站的用户面安全支持能力确定所述终端的传输锚点维持在所述第二基站，则所述检索终端上下文响应消息包括以下信息中的一项或多项：RLC层的配置信息、安全算法配置信息、上行通道地址。12.根据权利要求5所述的方法，其特征在于，还包括：若接收到的所述检索终端上下文响应消息包括RLC层的配置信息和上行通道地址，则所述第一基站采用所述RLC层的配置信息处理所述第一基站的媒体接入控制层缓存的所述上行待传数据；所述第一基站将处理后的所述上行待传数据发送至所述上行通道地址。13.根据权利要求1所述的方法，其特征在于，还包括：所述第一基站将下行通道地址发送至所述第二基站，以便所述第二基站将从核心网接收到的数据发送至所述下行通道地址。14.根据权利要求1所述的方法，其特征在于，所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体，包括：所述第一基站将所述第二基站的用户面安全策略和所述第一基站的用户面安全支持能力包含在路径倒换请求消息中；所述第一基站将所述路径倒换请求消息发送至所述核心网控制面实体；其中，所述核心网控制面实体用于将所述终端的安全和承载配置信息发送至所述核心网会话管理功能实体；所述核心网会话管理功能实体用于根据所述安全和承载配置信息生成第一安全反馈信息，并将所述第一安全反馈信息发送给所述核心网控制面实体；
所述核心网控制面实体还用于接收所述第一安全反馈信息，根据所述第一安全反馈信息生成第二安全反馈信息，并将所述第二安全反馈信息包含在路径倒换响应消息中，将所述路径倒换响应消息发送给所述第一基站。15.根据权利要求14所述的方法，其特征在于，所述安全和承载配置信息包括如下信息中的一项或多项：用户标识信息、所述第二基站的用户面安全策略、所述第一基站的用户面安全支持能力、需要倒换路径的服务质量流的列表；其中，所述需要倒换路径的服务质量流的列表包括服务质量流的标识以及相应的通道地址。16.根据权利要求14所述的方法，其特征在于，所述第一安全反馈信息包括以下信息中的一项或多项：用户标识信息、所述核心网存储的用户面安全策略、第二基站的用户面安全策略是否保留，所述核心网存储的用户面安全策略包括以下信息中的一项或多项：是否支持完整性保护、完整性保护所支持的算法配置列表、完整性保护支持的最大的速率。17.根据权利要求14所述的方法，其特征在于，所述第二安全反馈信息包括以下信息中的一项或多项：所述第一安全反馈信息、用户的安全能力、用户的安全上下文。18.根据权利要求14所述的方法，其特征在于，所述第一基站从所述核心网控制面实体接收所述核心网存储的用户面安全策略，包括：所述第一基站从所述核心网控制面实体接收所述路径倒换响应消息，所述路径倒换响应消息包括所述核心网存储的用户面安全策略、用户的安全能力、用户的安全上下文和第二基站的用户面安全策略是否保留；其中，所述方法还包括：所述第一基站根据所述用户的安全上下文更新密钥；所述第一基站根据所述用户的安全能力以及所述核心网存储的用户面安全策略确定用户面加密和完整性保护是否激活以及相应的算法；若所述第二基站的用户面安全策略是否保留为保留，则所述第一基站保留所述第二基站的用户面安全策略；在切换和移动性过程中所述第一基站向目标实体提供所述第二基站的用户面安全策略。19.根据权利要求18所述的方法，其特征在于，还包括：若所述第二基站的用户面安全策略是否保留为不保留，则所述第一基站删除所述第二基站的用户面安全策略，并采用所述核心网存储的用户面安全策略；在切换和移动性过程中所述第一基站向所述目标实体提供所述核心网存储的用户面安全策略。20.根据权利要求1所述的方法，其特征在于，所述第一基站将所述核心网存储的用户面安全策略发送至所述终端，包括：若所述核心网存储的用户面安全策略与所述第二基站的用户面安全策略不一致，则所述第一基站向所述终端发送无线资源控制重配消息，以将所述核心网存储的用户面安全策略发送给所述终端。21.根据权利要求1所述的方法，其特征在于，还包括：所述第一基站向所述第二基站发送终端上下文释放消息，以指示所述第二基站释放所
述终端的上下文配置信息。22.根据权利要求1所述的方法，其特征在于，还包括：在所述终端发送完数据后，所述第一基站向所述终端发送无线资源控制释放消息，以让所述终端回到非激活状态。23.一种用户面安全策略配置方法，其特征在于，包括：第二基站获取第一基站的用户面安全支持能力；所述第二基站根据所述第一基站的用户面安全支持能力，确定终端的传输锚点从所述第二基站重配置到第一基站；所述第二基站将第二基站的用户面安全策略传输至所述第一基站，以便所述第一基站将所述第二基站的用户面安全策略发送至核心网控制面实体；其中，所述核心网控制面实体用于将所述第二基站的用户面安全策略发送至核心网会话管理功能实体，所述核心网会话管理功能实体用于根据所述第二基站的用户面安全策略确定核心网存储的用户面安全策略；所述第一基站还用于从所述核心网控制面实体接收所述核心网存储的用户面安全策略，并将所述核心网存储的用户面安全策略发送至终端。24.根据权利要求23所述的方法，其特征在于，第二基站获取第一基...

【专利技术属性】
技术研发人员：许森，曹磊，信金灿，张化，熊尚坤，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：