【技术实现步骤摘要】
本申请涉及无线通信,尤其涉及一种安全保护的方法、装置和系统。
技术介绍
1、在通信系统中,如果终端快速移出为自身服务的基站的服务范围时,为了保证终端的会话连续性(例如保证终端正在进行的业务不中断),原基站会发起终端的切换流程,将终端的服务基站由原基站切换至目标基站,由目标基站继续支持终端正在进行的业务。
2、在终端的切换流程中,原基站向目标基站发送的切换请求包括终端的安全能力和终端切换过程中基站的密钥(kye in evloved nodeb,kenb*)。目标基站可根据接收到的终端的安全能力和kenb*,确定信令面加密算法、信令面完整性保护算法和用户面加密算法,并且目标基站分别生成信令面加密密钥、信令面完整性保护密钥和用户面加密密钥。然后目标基站通过原基站向终端发送切换命令消息,切换命令消息中携带目标基站确定的信令面加密算法、信令面完整性保护算法和用户面加密算法。接着终端根据切换命令消息中携带的算法分别生成信令面加密算法、信令面完整性保护算法以及用户面加密算法,进而终端使用信令面加密算法和信令面完整性保护算法对切换确认消息进行加密,并将加密后的切换确认消息发送给目标基站。
3、在终端的切换流程中,无论是否需要进行信令面安全保护和用户面安全保护,目标基站都会确定信令面加密算法,信令面完整性保护算法以及用户面加密算法,会增大目标基站的开销,并且会增加目标基站为终端切换作准备的时间,从而降低终端的切换效率。
技术实现思路
1、本申请的实施例提供一种安全保护的方法
2、为了达到上述目的,本申请的实施例采用如下技术方案:
3、第一方面,本申请的实施例提供一种安全保护的方法,该方法包括:第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系,然后第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法,第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请实施例的方案中,第一接入网设备可以只确定用户面保护算法,无需开启信令面保护,节省了网络开销。进一步的,若应用于终端切换的场景中,能够减少第一接入网设备为终端切换作准备的时间,从而提高了终端的切换效率。
4、其中,用户面信息可包括pdu会话标识,qos参数和切片参数中的任意一项或多项。
5、用户面信息和安全策略的对应关系的表现形式可以为具有一个对应关系的用户面信息和安全策略的组合。多种用户面信息可以通过一个对应关系对应多种安全策略,例如一组用户面信息和安全策略的对应关系中的用户面信息包括pdu会话标识和qos参数,安全策略包括安全策略1和安全策略2。或者,一种用户面信息通过一个对应关系对应一种安全策略,例如一组用户面信息和安全策略的对应关系为一个qos参数和一种安全策略的组合。
6、作为一个例子,用户面信息和安全策略的对应关系可以为{pdu session id=1,nia=1,nea=2},表示pdu会话标识为1的会话,使用1号用户面完整性保护算法进行用户面完整性保护,使用2号用户面加密算法进行用户面加密保护。
7、可选地,本申请实施例的方案可以应用于终端切换服务基站的过程中,第一接入网设备可以为tgnb,第二接入网设备可以为sgnb,在终端切换服务基站的过程中,第一接入网设备可以只确定用户面保护算法,无需开启信令面保护,节省了网络开销,减少了第一接入网为终端切换作准备的时间,从而提高了终端的切换效率。
8、在一种可能的设计中,第一接入网设备确定第一用户面保护算法为信令面保护算法。
9、在另一种可能的设计中,第一接入网设备确定信令面保护算法,信令面保护算法包括信令面加密算法和信令面完整性保护算法之一或全部。
10、在一种可能的设计中,第一接入网设备通过第二接入网设备向终端发送第一指示信息,第一指示信息用于指示第一用户面保护算法与信令面保护算法相同;或者,第一指示信息用于指示第一接入网设备确定的信令面保护算法标识。
11、通过本申请实施例的方案,第一接入网设备在确定信令面保护算法之后,通知终端可用的信令面保护算法,以便终端及时开启信令面安全保护,对信令面消息进行安全保护,保证了信令面消息的安全性。
12、在一种可能的设计中,安全策略用于指示开启的安全保护类型,安全保护类型包括用户面加密保护和用户面完整性保护之一或全部;第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法的方法为:第一接入网设备确定安全策略指示开启的安全保护类型对应的第一用户面保护算法。
13、其中,每个安全保护类型对应一个算法集合。其中一种实现方式为:第一接入网设备中存储了用户面加密算法集合,用户面完整性保护算法集合,第一接入网设备不区分用户面加密算法和信令面加密算法,也不区分用户面完整性保护算法和信令面完整性保护算法,即用户面加密算法集合也可作为信令面加密算法集合,用户面完整性保护算法集合也可作为信令面完整性保护算法集合。另一种实现方式为:第一接入网设备区分用户面加密算法和信令面加密算法,区分用户面完整性保护算法和信令面完整性保护算法,第一接入网设备存储了用户面加密算法集合,用户面完整性保护算法集合,信令面加密算法集合和信令面完整性保护算法集合。上述算法集合均可以以优先级列表的形式存在,优先级列表中的算法按照优先级从高到低的顺序排列。
14、在另一种可能的设计中,安全策略中包括用户面保护算法标识;所述第一接入网设备根据所述用户面信息和安全策略的对应关系确定用户面保护算法的方法具体为:第一接入网设备确定用户面保护算法标识对应的第二用户面保护算法;若第一接入网设备和终端均支持第二用户面保护算法,则第一接入网设备确定第二用户面保护算法为第一用户面保护算法;或者,若第一接入网设备和终端中的任意一个不支持第二用户面保护算法,则第一接入网设备从第二用户面保护算法所属的安全保护类型对应的安全算法集合中,选择第一接入网设备和终端均支持的第一用户面保护算法。
15、可选地,安全保护类型对应的安全算法集合可以以优先级列表的形式存在,优先级列表中的算法按照优先级从高到低的顺序排列。
16、可选地,第一接入网设备还可以接收来自第二接入网设备的终端的安全能力,终端的安全能力中包括终端支持的用户面保护算法,第一接入网设备可从第二用户面保护算法所属的安全保护类型对应的安全算法集合中,选择终端支持的优先级最高的用户面保护算法。
17、在一种可能的设计中,第一接入网设备根据第一用户面保护算法生成用户面保护密钥,用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。
18、在一种可能的设计中,第一接入网设备根据所述信令面保护算法生成信令面保护密钥,信令面保护密钥包括信令面加密密钥和信令面完整性保护密钥之一或全部。
19、在一种可能的设计中本文档来自技高网...
【技术保护点】
1.一种安全保护的方法,所述方法应用于终端从第一接入网设备到第二接入网设备切换的场景,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一接入网设备根据所述第一安全策略,为所述会话确定用户面保护算法,包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述用户面信息和第一安全策略的对应关系携带在切换请求消息中,且所述切换请求消息还包括所述终端的安全能力,其中,所述安全能力包括所述终端支持的用户面加密算法的标识和所述终端支持的用户面完整性保护算法的标识。
5.根据权利要求4所述的方法,其特征在于,所述第一接入网设备根据所述第一安全策略,为所述会话确定用户面保护算法,包括:
6.根据权利要求4或5所述的方法,其特征在于,所述切换请求消息还包括密钥,所述方法还包括:
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所述还包括:
9.根据权利要求1-8任一所
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
11.根据权利要求1-8任一所述的方法,其特征在于,所述第一接入网设备根据所述路径切换确认消息中是否携带与所述第一安全策略不同的第二安全策略,确定是否继续使用所述第一安全策略,包括:
12.根据权利要求1-8任一所述的方法,其特征在于,所述第一接入网设备根据所述路径切换确认消息中是否携带与所述第一安全策略不同的第二安全策略,确定是否继续使用所述第一安全策略,包括:
13.根据权利要求1-11任一所述的方法,其特征在于,所述路径切换确认消息中的安全策略为存储在会话管理功能节点上与所述用户面信息对应的安全策略。
14.根据权利要求1-13中任一项所述的方法,其特征在于,所述用户面信息为PDU会话标识。
15.一种安全保护的方法,所述方法应用于终端从第一接入网设备到第二接入网设备切换的场景,其特征在于,包括:
16.根据权利要求15所述的方法,其特征在于,所述第一接入网设备根据所述安全策略,为所述会话确定用户面保护算法,包括:
17.根据权利要求15或16所述的方法,其特征在于,所述用户面信息为PDU会话标识。
18.一种安全保护的方法,所述方法应用于终端从第一接入网设备到第二接入网设备切换的场景,其特征在于,包括:
19.根据权利要求18所述的方法,其特征在于,所述会话管理功能节点接收所述第一接入网设备通过接入和移动性管理功能节点发送的用户面信息对应的第一安全策略,具体为:
20.根据权利要求18或19所述的方法,其特征在于,所述用户面信息包括以下任一项或者多项:PDU会话标识、服务质量数据流标识符QFI、数据无线承载标识DRB ID或者切片标识。
21.一种通信装置,其特征在于,包括作为上述权利要求1-14任一所述方法中的所述第一接入网设备,用于执行上述权利要求1-14任一所述方法的单元。
22.一种通信装置,其特征在于,包括作为上述权利要求18-20任一所述方法中的所述会话管理功能节点,用于执行上述权利要求18-20任一所述方法的单元。
23.一种通信装置,其特征在于,包括与存储器耦合的处理器;当所述处理器执行保存在所存储器中的程序指令时,使得所述通信装置作为第一接入网设备执行上述权利要求1-14任一所述的方法。
24.一种通信装置,其特征在于,包括与存储器耦合的处理器;当所述处理器执行保存在所存储器中的程序指令时,使得所述通信装置作为会话管理功能节点执行上述权利要求18-20任一所述的方法。
25.一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机作为所述第一接入网设备执行如权利要求1-14任意一项所述的方法。
26.一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机作为会话管理功能节点执行如权利要求18-20任意一项所述的方法。
27.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令,当所述指令在计算机上执行时,使得所述计算机作为第一接入网设备执行上述1-14中任意一项所述的通信方法。
28.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令,当所述指令在计算机上执...
【技术特征摘要】
1.一种安全保护的方法,所述方法应用于终端从第一接入网设备到第二接入网设备切换的场景,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一接入网设备根据所述第一安全策略,为所述会话确定用户面保护算法,包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述用户面信息和第一安全策略的对应关系携带在切换请求消息中,且所述切换请求消息还包括所述终端的安全能力,其中,所述安全能力包括所述终端支持的用户面加密算法的标识和所述终端支持的用户面完整性保护算法的标识。
5.根据权利要求4所述的方法,其特征在于,所述第一接入网设备根据所述第一安全策略,为所述会话确定用户面保护算法,包括:
6.根据权利要求4或5所述的方法,其特征在于,所述切换请求消息还包括密钥,所述方法还包括:
7.根据权利要求1-6任一所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所述还包括:
9.根据权利要求1-8任一所述的方法,其特征在于,所述第一接入网设备根据所述路径切换确认消息中是否携带与所述第一安全策略不同的第二安全策略,确定是否继续使用所述第一安全策略,包括:
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
11.根据权利要求1-8任一所述的方法,其特征在于,所述第一接入网设备根据所述路径切换确认消息中是否携带与所述第一安全策略不同的第二安全策略,确定是否继续使用所述第一安全策略,包括:
12.根据权利要求1-8任一所述的方法,其特征在于,所述第一接入网设备根据所述路径切换确认消息中是否携带与所述第一安全策略不同的第二安全策略,确定是否继续使用所述第一安全策略,包括:
13.根据权利要求1-11任一所述的方法,其特征在于,所述路径切换确认消息中的安全策略为存储在会话管理功能节点上与所述用户面信息对应的安全策略。
14.根据权利要求1-13中任一项所述的方法,其特征在于,所述用户面信息为pdu会话标识。
15.一种安全保护的方法,所述方法应用于终端从第一接入网设备到第二接入网设备切换的场景,其特征在于,包括:
16.根据权利要求15所述的方法...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。