CN107820234A - 一种网络漫游保护方法、相关设备及系统 - Google Patents
一种网络漫游保护方法、相关设备及系统 Download PDFInfo
- Publication number
- CN107820234A CN107820234A CN201610826048.7A CN201610826048A CN107820234A CN 107820234 A CN107820234 A CN 107820234A CN 201610826048 A CN201610826048 A CN 201610826048A CN 107820234 A CN107820234 A CN 107820234A
- Authority
- CN
- China
- Prior art keywords
- key
- security
- demand
- visit
- shared key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种网络漫游保护方法、相关设备及系统,该方法包括:拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求;该拜访会话管理设备获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到;该拜访会话管理设备向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。采用本发明,使得该UE在发生网络漫游后依旧能够安全地传输数据。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种网络漫游保护方法、相关设备及系统。
背景技术
未来第五代移动通信技术(5th-Generation,简称:5G)网络正朝着网络多元化、宽带化、综合化、智能化的方向发展。随着各种用户设备(英文:User Equipment,简称:UE)的普及,移动数据流量将呈现爆炸式增长。为了提高流量的传输效率,5G网络在交互流程上也会做相应的改进,例如,5G技术中UE在网络中传输数据时,无需与接入网设备(英文:AccessNetwork,简称:AN)之间验证数据的安全性,该AN用来转发该UE与用户面网关(英文:UserPlane-Gateway,简称:UP-GW)之间的数据即可,验证数据安全性任务的工作由该UE与该网络中的UP-GW来进行,即UE与UP-GW之间端到端地保护数据的安全传输。
图1为目前正在研究的一种5G网络漫游的流程示意图,涉及不同公共陆地移动网络(英文:Public Land Mobile Network,简称:PLMN)之间的漫游,归属网络(英文:HomePLMN,简称:HPLMN)为该用户设备归属的PLMN,拜访网络(英文:Visited PLMN,简称:VPLMN)为该用户设备访问的PLMN。该流程的执行需要的网元包括UE、AN、会话管理设备(英文:Session Management,简称:SM)、UP-GW、安全策略控制器(英文:Security Policy controlFunction,简称:SPCF)等,其中,为了便于区分可以称拜访网络的会话管理设备SM为V-SM,称归属网络的会话管理设备SM为H-SM,称拜访网络的用户面网关UP-GW为VUP-GW,称归属网络的会话管理设备UP-GW为HUP-GW。漫游流程如下:
步骤1:UE向拜访网络中的会话管理设备V-SM发送会话建立请求。
步骤2:该V-SM接收到该会话建立请求后根据该UE携带的信息确定归属网络中与该UE对接的会话管理设备H-SM。
步骤3:该V-SM选择该拜访网络中的用户面网关VUP-GW。
步骤4:该V-SM与选择的VUP-GW进行交互来建立用户面路径。
步骤5:该V-SM向该H-SM发送会话建立请求。
步骤6:该H-SM与该归属网络中的安全策略控制器交互以获取建立新的会话所需要的信息,例如,签约数据、业务数据等。
步骤7:该H-SM确定为该UE提供接入的用户面网关HUP-GW。
步骤8:该H-SM与该HUP-GW进行交互来建立用户面路径。
步骤9:该H-SM向该V-SM发送会话建立响应。
步骤10:该V-SM接收该会话建立响应后向AN申请建立会话所需的资源。
步骤11:该V-SM根据获取的建立会话所需的资源与该VUP-GW进行交互来更新用户面路径。
步骤12:该V-SM与该UE进行交互完成会话的建立。
执行完上述流程后该UE在VPLMN中建立了新的会话(session),如何保证该新会话中的数据的安全传输,是本领域的技术人员正在研究的问题。
发明内容
本发明实施例公开了一种网络漫游保护方法、相关设备及系统,使得该UE在发生网络漫游后依旧能够安全地传输数据。
第一方面,本发明实施例提供了一种网络漫游保护方法,该方法包括:
拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
该拜访会话管理设备获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
该拜访会话管理设备向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。
通过执行上述步骤,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第一方面,在第一方面的第一种可能的实现方式中,该第二安全需求集包含该拜访网关的安全需求;该拜访会话管理设备获取目标安全策略,包括:该拜访会话管理设备将该第一安全需求集和第二安全需求集发送给该拜访网络中的其他设备,以使该拜访网络中的其他设备根据该第一安全需求集和该第二安全需求集生成目标安全策略并向该拜访会话管理设备发送该目标安全策略,或者该拜访会话管理设备根据该第一安全需求集和该第二安全需求集生成该目标安全策略;该拜访会话管理设备预存了该拜访网关的安全需求或者该拜访会话管理设备向该拜访网关获取了该拜访网关的安全需求。
结合第一方面,在第一方面的第二种可能的实现方式中,该第二安全需求集包含该归属网关的安全需求;该拜访会话管理设备获取目标安全策略,包括:该拜访会话管理设备向归属会话管理设备发送第二策略请求消息,该第二策略请求消息包含第一安全需求集,该归属会话管理设备为该UE的归属网络中管理会话的设备;该拜访会话管理设备接收该归属会话管理设备发送的目标安全策略,该目标安全策略由该归属会话管理设备接收到该第二策略请求消息后触发该归属网络中的设备根据该第一安全需求集和第二安全需求集生成,该归属网络中的设备存储了该第二安全需求集。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该方法还包括:该拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该拜访会话管理设备接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;该拜访会话管理设备将该目标共享密钥发送给该拜访网关。
结合第一方面的第二种可能的实现方式,在第一方面的第四种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该方法还包括:该拜访会话管理设备触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;该拜访会话管理设备接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥发送给该归属会话管理设备;该拜访会话管理设备接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第一方面的第五种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该方法还包括:该拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该拜访会话管理设备接收该归属会话管理设备转发的由该归属网络中的密钥管理设备发送的该参考共享密钥;该拜访会话管理设备根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第一方面的第六种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该方法还包括:该拜访会话管理设备触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;该拜访会话管理设备接收该拜访网络中的密钥管理设备发送的该参考共享密钥;该拜访会话管理设备根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,在第一方面的第七种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该方法还包括:该拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该第二会话建立请求包含该目标安全策略;该拜访会话管理设备接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;该拜访会话管理设备将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,在第一方面的第八种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该方法还包括:该拜访会话管理设备触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;该拜访会话管理设备接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥和该目标安全策略发送给该归属会话管理设备;该拜访会话管理设备接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第一方面,或者第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,或者第一方面的第四种可能的实现方式,或者第一方面的第五种可能的实现方式,或者第一方面的第六种可能的实现方式,或者第一方面的第七种可能的实现方式,或者第一方面的第八种可能的实现方式,在第一方面的第九种可能的实现方式中,该目标安全策略为通过预设规则对该第一安全需求集、第二安全需求和第三安全需求集处理得到,该第三安全需求集包括提供该目标业务的服务器的安全需求和该UE的签约服务器的安全需求中至少一项。
第二方面,本发明实施例提供一种网络漫游保护方法,该方法包括:
用户设备UE向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
该UE接收该拜访会话管理设备发送的目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;
该UE通过该目标共享密钥保护该UE与该拜访网关之间的数据的安全传输。
通过执行上述步骤,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第二方面,在第二方面的第一种可能的实现方式中,该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥;该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该方法还包括:该UE与该归属网络中的密钥管理设备进行双向认证生成该UE在该归属网络中的基础密钥。
结合第二方面,在第二方面的第一种可能的实现方式中,该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该方法还包括:该UE与该拜访网络中的密钥管理设备进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证。
第三方面,本发明实施例提供一种拜访会话管理设备,该拜访会话管理设备包括:
第一接收单元,用于接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
获取单元,用于获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
第一发送单元,用于向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。
通过运行上述单元,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第三方面,在第三方面的第一种可能的实现方式中,该第二安全需求集包含该拜访网关的安全需求;该获取单元具体用于将该第一安全需求集和第二安全需求集发送给该拜访网络中的其他设备,以使该拜访网络中的其他设备根据该第一安全需求集和该第二安全需求集生成目标安全策略并向该拜访会话管理设备发送该目标安全策略,或者该拜访会话管理设备根据该第一安全需求集和该第二安全需求集生成该目标安全策略;该拜访会话管理设备预存了该拜访网关的安全需求或者该拜访会话管理设备向该拜访网关获取了该拜访网关的安全需求。
结合第三方面,在第三方面的第二种可能的实现方式中,该第二安全需求集包含该归属网关的安全需求;该获取单元具体用于:向归属会话管理设备发送第二策略请求消息,该第二策略请求消息包含第一安全需求集,该归属会话管理设备为该UE的归属网络中管理会话的设备;接收该归属会话管理设备发送的目标安全策略,该目标安全策略由该归属会话管理设备接收到该第二策略请求消息后触发该归属网络中的设备根据该第一安全需求集和第二安全需求集生成,该归属网络中的设备存储了该第二安全需求集。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第二发送单元,用于在该第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;第二接收单元,用于接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;第三发送单元,用于将该目标共享密钥发送给该拜访网关。
结合第三方面的第二种可能的实现方式,在第三方面的第四种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第一触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;第三接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥发送给该归属会话管理设备;第四接收单元,用于接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第三方面的第一种可能的实现方式,或者第三方面的第二种可能的实现方式,在第三方面的第五种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第四发送单元,用于在该第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;第五接收单元,用于接收该归属会话管理设备转发的由该归属网络中的密钥管理设备发送的该参考共享密钥;第一生成单元,用于根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第三方面的第一种可能的实现方式,或者第三方面的第二种可能的实现方式,在第三方面的第六种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第二触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;第六接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥;第二生成单元,用于根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第三方面的第一种可能的实现方式,在第三方面的第七种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第五发送单元,用于在该第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该第二会话建立请求包含该目标安全策略;第七接收单元,用于接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;第六发送单元,用于将该目标共享密钥发送给该拜访网关。
结合第三方面的第一种可能的实现方式,在第三方面的第八种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备还包括:第三触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;第八接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥和该目标安全策略发送给该归属会话管理设备;第九接收单元,用于接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第三方面,或者第三方面的第一种可能的实现方式,或者第三方面的第二种可能的实现方式,或者第三方面的第三种可能的实现方式,或者第三方面的第四种可能的实现方式,或者第三方面的第五种可能的实现方式,或者第三方面的第六种可能的实现方式,或者第三方面的第七种可能的实现方式,或者第三方面的第八种可能的实现方式,在第三方面的第九种可能的实现方式中,该目标安全策略为通过预设规则对该第一安全需求集、第二安全需求和第三安全需求集处理得到,该第三安全需求集包括提供该目标业务的服务器的安全需求和该UE的签约服务器的安全需求中至少一项。
第四方面,本发明实施例提供一种用户设备,该用户设备包括:
发送单元,用于UE向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
接收单元,用于接收该拜访会话管理设备发送的目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
生成单元,用于根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;
传输单元,用于通过该目标共享密钥保护该UE与该拜访网关之间的数据的安全传输。
通过运行上述单元,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第四方面,在第四方面的第一种可能的实现方式中,该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,该用户设备还包括:第一认证单元,用于在该生成单元根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与该归属网络中的密钥管理设备进行双向认证生成该UE在该归属网络中的基础密钥。
结合第四方面,在第四方面的第二种可能的实现方式中,该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该用户设备还包括:第二认证单元,用于在该生成单元根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与该拜访网络中的密钥管理设备进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证。
第五方面,一种拜访会话管理设备,该拜访会话管理设备包括处理器、存储器和收发器:
该存储器用于存储数据和程序;
该处理器调用该存储器中的程序用于执行如下操作:
通过该收发器接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
通过该收发器向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。
通过执行上述操作,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第一方面,在第一方面的第一种可能的实现方式中,该第二安全需求集包含该拜访网关的安全需求;该处理器获取目标安全策略,具体为:
将该第一安全需求集和第二安全需求集发送给该拜访网络中的其他设备,以使该拜访网络中的其他设备根据该第一安全需求集和该第二安全需求集生成目标安全策略并向该拜访会话管理设备发送该目标安全策略,或者该拜访会话管理设备根据该第一安全需求集和该第二安全需求集生成该目标安全策略;该拜访会话管理设备预存了该拜访网关的安全需求或者该拜访会话管理设备向该拜访网关获取了该拜访网关的安全需求。
结合第一方面,在第一方面的第二种可能的实现方式中,该第二安全需求集包含该归属网关的安全需求;该处理器获取目标安全策略,具体为:
通过该收发器向归属会话管理设备发送第二策略请求消息,该第二策略请求消息包含第一安全需求集,该归属会话管理设备为该UE的归属网络中管理会话的设备;通过该收发器接收该归属会话管理设备发送的目标安全策略,该目标安全策略由该归属会话管理设备接收到该第二策略请求消息后触发该归属网络中的设备根据该第一安全需求集和第二安全需求集生成,该归属网络中的设备存储了该第二安全需求集。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器通过该收发器接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器还用于:通过该收发器向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;通过该收发器接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;通过该收发器将该目标共享密钥发送给该拜访网关。
结合第一方面的第二种可能的实现方式,在第一方面的第四种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器还用于:
触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;通过该收发器接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥发送给该归属会话管理设备;通过该收发器接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第一方面的第五种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器通过该收发器接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器还用于:通过该收发器向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;通过该收发器接收该归属会话管理设备转发的由该归属网络中的密钥管理设备发送的该参考共享密钥;根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,在第一方面的第六种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器还用于:触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;通过该收发器接收该拜访网络中的密钥管理设备发送的该参考共享密钥;根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,在第一方面的第七种可能的实现方式中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器通过该收发器接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器还用于:通过该收发器向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该第二会话建立请求包含该目标安全策略;通过该收发器接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;通过该收发器将该目标共享密钥发送给该拜访网关。
结合第一方面的第一种可能的实现方式,在第一方面的第八种可能的实现方式中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器还用于:触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;通过该收发器接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥和该目标安全策略发送给该归属会话管理设备;通过该收发器接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
结合第一方面,或者第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,或者第一方面的第四种可能的实现方式,或者第一方面的第五种可能的实现方式,或者第一方面的第六种可能的实现方式,或者第一方面的第七种可能的实现方式,或者第一方面的第八种可能的实现方式,在第一方面的第九种可能的实现方式中,该目标安全策略为通过预设规则对该第一安全需求集、第二安全需求和第三安全需求集处理得到,该第三安全需求集包括提供该目标业务的服务器的安全需求和该UE的签约服务器的安全需求中至少一项。
第六方面,本发明实施例提供一种用户设备,该用户设备包括处理器、存储器和收发器:
该存储器用于存储数据和程序;
该处理器调用该存储器中的程序用于执行如下操作:
通过该收发器向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
通过该收发器接收该拜访会话管理设备发送的目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;
通过该目标共享密钥保护该UE与该拜访网关之间的数据的安全传输。
通过执行上述操作,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
结合第六方面,在第六方面的第一种可能的实现方式中,该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥;该处理器根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该处理器还用于:与该归属网络中的密钥管理设备进行双向认证生成该UE在该归属网络中的基础密钥。
结合第六方面,在第六方面的第二种可能的实现方式中,该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该处理器根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该处理器还用于:与该拜访网络中的密钥管理设备进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证。
第七方面,本发明实施例提供一种网络漫游保护系统,该系统包括拜访会话管理设备和用户设备,该拜访会话管理设备为第三方面的任一实现方式或者第五方面任一实现方式所描述的拜访会话管理设备;该用户设备为第三方面的任一实现方式或者第五方面任一实现方式所描述的用户设备。
通过实施本发明实施例,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1是本现有技术中的一种网络漫游的流程示意图;
图2是本发明实施例提供的一种网络漫游保护方法的流程示意图;
图3A是本发明实施例提供的又一种网络漫游保护方法的流程示意图;
图3B是本发明实施例提供的又一种网络漫游保护方法的流程示意图;
图3C是本发明实施例提供的一种网络漫游保护方法的流程示意图;
图3D是本发明实施例提供的又一种网络漫游保护方法的流程示意图;
图3E是本发明实施例提供的又一种网络漫游保护方法的流程示意图;
图3F是本发明实施例提供的一种网络漫游保护方法的流程示意图;
图3G是本发明实施例提供的一种网络漫游保护方法的流程示意图;
图4是本发明实施例提供的一种拜访会话管理设备的结构示意图;
图5是本发明实施例提供的一种用户设备的结构示意图;
图6是本发明实施例提供的又一种拜访会话管理设备的结构示意图;
图7是本发明实施例提供的又一种用户设备的结构示意图;
图8是本发明实施例提供的一种网络漫游保护系统的结构示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚、详细地描述,首先介绍本发明实施例可能涉及到的相关术语和网元。
本发明涉及用户设备在不同公共陆地移动网络(英文:Public Land MobileNetwork,简称:PLMN)之间的漫游,归属网络(英文:Home PLMN,简称:HPLMN)为该用户设备归属的PLMN,拜访网络(英文:Visited PLMN,简称:VPLMN)为该用户设备访问的PLMN;该HPLMN中的网元存储了该用户设备的签约信息。
用户设备(英文:User Equipment,简称:UE):该UE可以为手机、智能手表等智能终端,还可以为服务器、网关、基站、控制器等通信设备,还可以为传感器、电表、水表等物联网(英文:Internet of thing,简称:IoT)设备,还可以为其他能够接入到蜂窝网的设备。
移动性管理(英文:Mobility Management,简称:MM)网元:后续可以直接称执行该移动性管理网元的功能的物理实体为移动性管理设备或者MM。
会话管理网元(英文:Session Management,简称:SM):该会话管理网元用于执行会话、切片、流flow或者承载bearer的建立和管理,后续可以称执行该会话管理网元的功能的物理实体为会话管理设备或者SM。为了便于区分,还可以称该HPLMN中的会话管理设备为归属会话管理设备或者H-SM,可以称该VPLMN中的会话管理设备为拜访会话管理设备或者V-SM。
密钥管理中心(英文:Key Management System,简称:KMS),负责密钥的生成、管理和协商,支持合法监听。KMS可以作为一个独立的逻辑功能实体单独部署,也可以集合在MM、SM等设备中。后续可以称执行该密钥管理中心的功能的物理实体为密钥管理设备。通常情况下,该KMS为网络中的认证单元(英文:Control Plane-Authentication Unit,简称:CP-AU),后续可以称执行该认证单元的功能的物理实体为密钥管理设备或者CP-AU。为了便于区分,还可以称该HPLMN中的密钥管理设备为归属密钥管理设备或者HCP-AU,可以称该VPLMN中的密钥管理设备为拜访密钥管理设备或者VCP-AU。
安全策略控制器(英文:Security Policy control Function,简称:SPCF):安全策略控制器用于管理网络中的安全策略,可能HPLMN中有安全策略控制器但VPLMN中没有安全策略控制器,也可能HPLMN和VPLMN各自具有自身的安全策略控制器,为了便于区分可以称该HPLMN中的安全策略控制器为H-SPCF,可以称该VPLMN中的安全策略控制器为V-SPCF;当该VPLMN中没有安全策略控制器时,可以由该VPLMN中的V-SM或者其他网元执行与安全策略相关的功能。
用户面网关(英文:User Plane-Gateway,UP-GW):用户面网关用于连接运营商网络和数据网络(英文:Data Network,DN),UE通过该用户面网关接入到网络;本发明实施例中可以称该UE接入到HPLMN时用到的网关为归属网关HUP-GW,称该UE接入到VPLMN时用到的网关为拜访网关VUP-GW。
请参见图2,图2是本发明实施例提供的一种网络漫游保护方法的流程示意图,该方法包括但不限于如下步骤。
步骤S201:用户设备UE向拜访会话管理设备发送第一会话建立请求。
具体地,UE漫游到拜访网络VPLMN时会向该VPLMN中的会话管理设备发送会话(session)建立请求,该VPLMN中的会话管理设备为拜访会话管理设备V-SM,该UE向该V-SM发送的会话建立请求可以称为第一会话建立请求。该第一会话建立请求可以与该UE在VPLMN中的附着(attach)流程中的信息集合在一起发送。该第一会话建立请求可以包含第一安全需求集、该用户设备的身份标识UEID等信息。
该第一安全需求集包含所述UE的安全需求和目标业务的安全需求,所述安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,此处的安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,所述目标业务为所述UE当前执行的业务;举例来说,该目标业务的业务数据在传输时需要通过密钥加密,那么该目标业务的安全需求就表明了该密钥可以通过哪些密钥算法计算得到,该密钥的密钥长度可以为多少,以及该密钥的密钥更新周期是多少等等。再如,该UE在网络中传输数据时需要通过密钥加密,那么该UE的安全需求就表明了该密钥可以通过哪些密钥算法计算得到,该密钥的密钥长度可以为多少,以及该密钥的密钥更新周期可以为多少等等。其余类型的安全需求可以依次类推。
该UEID用于向该V-SM表明该第一会话建立请求来自哪个设备。该UEID可以为在一定范围内区分该UE与其他设备的信息,例如:该UE的媒体访问控制(英文:Media AccessControl,简称:MAC)地址、网络协议(英文:Internet Protocol,简称:IP)地址、手机号码、国际移动设备标识(英文:International Mobile Equipment Identity,简称:IMEI)、国际移动用户识别码(英文:International Mobile Subscriber Identity,简称:IMSI)、IP多媒体私有标识(英文:IP Multimedia Private Identity,简称:IMPI)、临时移动用户标识符(英文:Temporary Mobile Subscriber Identity,简称:TMSI)、IP多媒体公共标识(英文:IP Multimedia Public Identity,简称:IMPU)、全球唯一临时UE标识(英文:GloballyUnique Temporary UE Identity,简称:GUTI)等。
步骤S202:拜访会话管理设备接收用户设备UE发送的第一会话建立请求。
步骤S203:所述拜访会话管理设备获取目标安全策略;
具体地,该拜访会话管理设备V-SM响应该第一会话建立请求,响应的方式包括获取目标安全策略,该目标安全策略为通过预设规则对所述第一安全需求集和第二安全需求集处理得到,所述第二安全需求集包含归属网关的安全需求和拜访网关的安全需求中至少一项,该归属网关为该用户接入到归属网络时需要用到的用户面网关,该拜访网关为该用户接入到拜访网络时需要用到的用户面网关。可以理解的是,生成该目标安全策略除了需要考虑的因素除了该第一安全需求集和第二安全需求集外,还可能要考虑第三安全需求集,该第三安全需求集包含提供所述目标业务的服务器的安全需求、所述UE的签约服务器的安全需求和拜访网关的安全需求中至少一项;该预设规则总体而言就是确定一套密钥算法、密钥长度和密钥更新周期等信息,使得该第一安全需求集中的各个安全需求可以接受以及该第二安全需求集中的各个安全需求可以接受,确定的这一套密钥算法、密钥长度和密钥更新周期等信息即为该目标安全策略。该目标安全策略可能由该V-SM生成,也可能由其他网元生成后发送给该V-SM。
拜访会话管理设备V-SM获取目标安全策的方式包括但不限于如下情况:
情况一,所述第二安全需求集包含所述拜访网关的安全需求;所述拜访会话管理设备获取目标安全策,具体为:所述拜访会话管理设备将所述第一安全需求集和第二安全需求集发送给所述拜访网络VPLMN中的其他设备,例如,发送给该VPLMN中的安全策略控制器(Security Policy Function),以使所述拜访网络中的其他设备根据所述第一安全需求集和所述第二安全需求集生成目标安全策略并向所述拜访会话管理设备发送所述目标安全策略,相应地,该拜访会话管理设备H-SM接收该目标安全策略;也可能该拜访会话管理设备自身就可以根据预先设定的规则根据所述第一安全需求集和所述第二安全需求集生成所述目标安全策略;所述拜访会话管理设备预存了所述拜访网关的安全需求或者所述拜访会话管理设备向所述拜访网关获取了所述拜访网关的安全需求。也即是说,在这种可选的方案中,该目标安全策略由该UE的VPLMN中的网元生成。
情况二,所述第二安全需求集包含所述归属网关的安全需求;所述拜访会话管理设备获取目标安全策略,具体为:所述拜访会话管理设备V-SM向归属会话管理设备H-SM发送第二策略请求消息,所述第二策略请求消息包含所述第一安全需求集;所述拜访会话管理设备V-SM接收所述归属会话管理设备H-SM发送的目标安全策略,所述目标安全策略由所述归属会话管理设备接收到所述第二请求消息后触发所述归属网络中的设备根据所述第一安全需求集和第二安全需求集生成,所述归属网络中的设备存储了所述第二安全需求集。可以理解的是,该目标安全策略可能由该H-SM生成也可能为该HPLMN中的其他设备生成,例如,由该HPLMN中安全策略控制器(Security Policy Function)生成。当由该H-SM生成时,该H-SM可能以预先存储了该第二安全需求集,也可能向该安全策略控制器获取该第二安全需求集;当由该安全策略控制器生成时,该H-SM需要将该第一安全需求集发送给该安全策略控制器,该安全策略控制器可以预先存储了该第二安全需求集。也即是说,在这种可选的方案中,该目标安全策略由该HPLMN中的网元生成,然后发送给该VPLMN中的V-SM。
可选的,当该目标安全策略在该HPLMN中生成时,该HPLMN中的网元可以将该目标安全策略发送给该VPLMN中的网元以供备用;当该目标安全策略在该VPLMN中生成时,该VPLMN中的网元可以将该目标安全策略发送给该HPLMN中的网元以供备用。
步骤S204:所述拜访会话管理设备向所述UE发送所述目标安全策略。
具体地,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,或者所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE在所述归属网络中的基础密钥为所述UE与所述归属网络中的密钥管理设备双向认证生成的密钥,所述UE在所述拜访网络中的基础密钥为所述UE与所述拜访网络中的密钥管理设备双向认证生成的密钥。
以下举例讲述如何根据所述UE在所述归属网络中的基础密钥衍生出新的共享密钥的方式,可称衍生得到的共享密钥为过渡共享密钥K_SID1。
在一种可选的方案中,过渡共享密钥K_SID1=KDF(K,(UEID,切片标识,网络标识,业务参数,time1,nonce1,序列号的至少一项));即生成该过渡共享密钥K_SID1需要考虑该UE在该归属网络的基础密钥K,除此之外还要考虑UEID、切片标识、网络标识、业务参数、time1、nonce1和序列号中至少一项。
在又一种可选的方案中,过渡共享密钥K_SID1=KDF(K,(切片标识,网络标识,业务参数,time1,nonce1,序列号的至少一项),UE ID,E2E security policy),即生成该过渡共享密钥K_SID1需要考虑该UE在该归属网络的基础密钥K、UE的身份标识UEID、预先配置的用于定义K_SID1的生成方式的安全策略E2E security policy,除此之外还要考虑切片标识、网络标识、业务参数、time1、nonce1和序列号中至少一项。
“切片标识”可以为对该UE当前开展的业务进行切割得到的切片的标识;
“网络标识”可以为与该HPLMN相关的运营商标识(PLMN ID)、接入网络标识(Access Network ID)、服务网络标识(Serving Network ID)、局域网网络标识、承载标识(bearer ID)、服务质量标识(QoS ID)、流标识(flow ID)等,该网络标识也可以称为网络参数。
“业务参数”可以包括该UE当前开展的业务中的序列号SN、时间戳、新鲜参数(Fresh parameter1)、随机数(nonce1/random number1)、业务相关标识等信息。该业务相关标识可以包括密钥管理中心的设备标识、会话标识(session ID)、链路标识、应用标识(App ID)、服务器标识(server ID)等。
“time1”可为密钥有效的时间、无效的时间和有效期等。
“nonce1”为随机数,也称作新鲜参数。
需要说明的是,该UE生成目标共享密钥时需要的参数可能预先参数在该UE中,也可能该HPLMN和/或该VPLMN中的网元之间进行交互最终将该UE所需要的参数发送给该UE。另外,根据UE在所述拜访网络中的基础密钥衍生出新的共享密钥的原理与根据UE在所述归属网络中的基础密钥衍生出新的共享密钥的原理相同,此处不再赘述。
步骤S205:所述UE接收该目标安全策略并根据参考共享密钥和该目标安全策略生成目标共享密钥。
具体地,不管该参考共享密钥为以上列举的哪种密钥,该UE均可以基于该目标安全策略和自身存在的该参考共享密钥来生成该目标共享密钥K_SID1’。
举例来说,该目标共享密钥K_SID1’=KDF(K_SID1,New E2E Policy Set,(UE ID,切片标识,网络标识,业务参数,time1,nonce1,序列号的至少一项)),其中,K_SID1为参考共享密钥,New E2E Policy Set为目标安全策略,该式子表明生成该目标共享密钥K_SID1’需要考虑参考共享密钥K_SID1、目标安全策略New E2E Policy Set,除此之外还要考虑UEID、切片标识、网络标识、业务参数、time1、nonce1和序列号中至少一项。需要说明的是,该UE生成目标共享密钥需除了需要用到该目标安全策略和参考共享密钥外,还可能需要用到其他参数,其他参数可能预存在该UE中也可能由该VPLMN中的网元或者该HPLMN中的网元发送给该UE。
需要说明的是,上述目标共享密钥可能直接作为加密和完保密钥(即完整性保护密钥),也可能基于该目标共享密钥进一步计算后得到加密和完保密钥。例如,加密密钥K_SID1’_enc=KDF(K_SID1’,(安全策略,加密算法标识,UEID,会话标识中至少一项)),即生成该加密密钥需要考虑该目标共享密钥,除此之外还可以考虑加安全策略、密算法标识、UEID、会话标识等信息,该加密算法标识指示了生成该K_SID1’_enc所需要用到的加密算法。完保密钥K_SID1’_int=KDF(K_SID1’,(Policy Set,完整性保护算法标识,UE ID,会话标识中至少一项)),即生成该完保密钥需要考虑该目标共享密钥,除此之外还可以考虑完整性保护算法标识、UEID、会话标识等信息,该完整性保护算法标识指示了生成该K_SID1’_enc所需要用到的完整性保护算法。
所述目标共享密钥用于所述UE与拜访网关之间端到端地保护数据的安全传输,所述拜访网关为所述UE接入到所述拜访网络的网关。该UE和该拜访网关双方将该目标共享密钥作为该UE与所述拜访网络之间端到端的保护数据安全传输的共享密钥后,该UE与该拜访网关之间若有数据传输则可通过该目标共享密钥或者基于该目标共享密钥衍生的共享密钥来加密。
以下讲述该拜访网关VUP-GW如何获取该目标共享密钥。
在一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况一”,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求;相应地,该归属会话管理设备根据该第二会话建立请触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;该归属会话管理设备接收该归属网络中的密钥管理设备发送的参考共享密钥,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥;该归属会话管理设备根据该参考共享密钥和该目标安全策略生成目标共享密钥;该归属会话管理设备将该目标共享密钥发送给该拜访会话管理设备;所述拜访会话管理设备接收所述归属会话管理设备发送的目标共享密钥;所述拜访会话管理设备将所述目标共享密钥发送给所述拜访网关。
在又一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况一”,所述方法还包括:所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,并将所述参考共享密钥发送给所述归属会话管理设备,所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥;所述拜访会话管理设备接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
在又一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况一”或“情况二”,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求;所述归属会话管理设备根据所述第二会话建立请求触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;所述归属网络中的密钥管理设备将参考共享密钥发送给归属会话管理设备,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥;所述归属会话管理设备将所述参考共享密钥发送给所述拜访会话管理设备;所述拜访会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
在又一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况一”或“情况二”,所述方法还包括:所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述拜访会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
在又一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况二”,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求,所述归属会话管理设备根据所述第二会话建立请求触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥,所述第二会话建立请求包含所述目标安全策略;所述归属网络中的密钥管理设备向所述归属会话管理设备发送参考共享密钥,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥;所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥;所述拜访会话管理设备接收所述归属会话管理设备发送的目标共享密钥,所述拜访会话管理设备将所述目标共享密钥发送给所述拜访网关。
在又一种可选的方案中,所述拜访会话管理设备获取目标安全策略的方式为上述“情况二”,所述方法还包括:所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述拜访会话管理设备将所述参考共享密钥和所述目标安全策略发送给所述归属会话管理设备;所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成目标共享密钥,所述拜访会话管理设备接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
需要说明的是,当该目标共享密钥由该拜访网络VPLMN中的网元生成时,该拜访会话管理设备V-SM还可以将该目标共享密钥发送给该归属网络HPLMN中的归属会话管理设备H-SM,这样一来该H-SM就可以基于该目标共享密钥解析该UE与该V-SM之间传输的数据,实现了对该UE的监听。
本发明实施例还涵盖了本地缓存(Local breakout roaming)的场景,Localbreakout roaming场景具体为从HPLMN的用户面网关HUP-GW漫游到本地网络的网关UP-GW,继而从本地网络直接获取网络数据。
为了更好的理解本发明实施例的方案,以下参照图3A~3G提供几个更具体的方案来对图2所示实施例做进一步地说明。
请参见图3A,图3A是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF。该流程如下:
步骤S3101:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求(也可能称为“UE的安全能力”)、该UE当前执行的目标业务的安全需求等。
步骤S3102:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID等信息确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3103:该V-SM向该VCP-AU发送认证请求消息。
步骤S3104:该VCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该VCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,在一种的方案中,该请求消息中携带该签约信息;在又一种的方案中,该请求消息携带了该UE的UEID,该VCP-AU根据该UEID确定该UEID的归属网络,然后向该归属网络中的网元(例如,归属网络签约服务器,如认证、授权和计费设备(英文:Authentication Authorization Accounting,简称:AAA)获取该签约信息。
步骤S3105:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3106:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含参考共享密钥、该UE的第一安全需求集、该UE的UEID等信息,还可能包含其他安全策略。该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该VCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3107:H-SM接收该第二会话建立请求并解析该第二会话密钥中的信息,然后,该H-SM向预设的安全策略控制器H-SPCF发送更新请求,相应地,该安全策略控制器H-SPCF响应该更新请求,通过预设的规则对该第二会话建立请求中第一安全需求集、以及自身存储的第二安全需求集进行处理得到目标安全策略。也有可能该H-SM自身根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到该目标安全策略,该H-SM自身存储了该第二安全需求集或者向该安全策略控制器请求该第二安全需求集,该第二安全需求可以包含该HPLMN中的网元的安全需求,例如,该HCP-AU、HUP-GW的安全需求。
步骤S3108:H-SM根据该目标安全策略和该参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。
步骤S3109:H-SM将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
步骤S3110:H-SM将该目标共享密钥和目标安全策略发送给V-SM。
步骤S3111:V-SM接收该目标共享密钥和该目标安全策略并将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3112:V-SM将目标安全策略发送给该UE。
步骤S3113:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3B,图3B是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3201:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3202:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3203:该V-SM向该VCP-AU发送认证请求消息。
步骤S3204:该VCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该VCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,在一种的方案中,该请求消息中携带该签约信息;在又一种的方案中,该请求消息携带了该UE的UEID,该VCP-AU根据该UEID确定该UEID的归属网络,然后向该归属网络中的网元获取该签约信息。
步骤S3205:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3206:该V-SM获取第二安全需求集,该第二安全需求集包含该VUP-GW的安全需求,该V-SM可能向VUP-GW获取该VUP-GW的安全需求,也可能向其他存储了VUP-GW的安全需求的设备请求该VUP-GW的安全需求。进一步地,该V-SM还可以向该H-SM获取该UE在签约服务器中默认的安全需求。
步骤S3207:该V-SM根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到新的安全策略,生成该新的安全策略可能还要参考其他安全策略(例如,该UE在签约服务器中默认的安全需求),为了描述方便可以称该新的安全策略为目标安全策略。也可能,该V-SM将第一安全需求集、第二安全需求集等信息发送给拜访网络VPLMN中的预先配置的用来管理安全策略的安全策略控制器V-SPCF,由该安全策略控制器V-SPCF基于该第一安全需求集和第二安全需求集等信息得到目标安全策略。
步骤S3208:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含参考共享密钥、目标安全策略、该UE的UEID等信息。该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该VCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3209:H-SM根据该目标安全策略和该参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。
步骤S3210:H-SM将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
步骤S3211:H-SM将该目标共享密钥发送给V-SM。
步骤S3212:V-SM接收该目标共享密钥和该目标安全策略并将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3213:V-SM将目标安全策略发送给该UE。
步骤S3214:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3C,图3C是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3301:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带该UE的第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3302:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3303:该V-SM向该VCP-AU发送认证请求消息。
步骤S3304:该VCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该VCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,在一种的方案中,该请求消息中携带该签约信息;在又一种的方案中,该请求消息携带了该UE的UEID,该VCP-AU根据该UEID确定该UEID的归属网络,然后向该归属网络中的网元获取该签约信息。
步骤S3305:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3306:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含该UE的UEID等信息。
步骤S3307:该V-SM获取第二安全需求集,该第二安全需求集包含该VUP-GW的安全需求,该V-SM可能向VUP-GW获取该VUP-GW的安全需求,也可能向其他存储了VUP-GW的安全需求的设备请求该VUP-GW的安全需求。进一步地,该V-SM还可以向该H-SM获取该UE在签约服务器中默认的安全需求。
步骤S3308:该V-SM根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到新的安全策略,生成该新的安全策略可能还要参考其他安全策略(例如,该UE在签约服务器中默认的安全需求),为了描述方便可以称该新的安全策略为目标安全策略。也可能,该V-SM将第一安全需求集、第二安全需求集等信息发送给拜访网络VPLMN中的预先配置的用来管理安全策略的安全策略控制器V-SPCF,由该安全策略控制器V-SPCF基于该第一安全需求集和第二安全需求集等信息得到目标安全策略。
步骤S3309:V-SM根据该目标安全策略和参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该VCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3310:V-SM将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3311:V-SM将目标安全策略和/或目标共享密钥发送给该UE。
步骤S3312:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
可选的,该V-SM还将该目标共享密钥发送给该H-SM,相应地,该H-SM接收该目标共享密钥并将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3D,图3D是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3401:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带该UE的第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3402:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3403:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3404:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含该UE的第一安全需求集、该UE的UEID等信息,还可能包含其他安全策略。
步骤S3405:H-SM接收该第二会话建立请求并解析该第二会话密钥中的信息,然后,该H-SM向预设的安全策略控制器发送更新请求,相应地,该安全策略控制器响应该更新请求,通过预设的规则对该第二会话建立请求中第一安全需求集、以及自身存储的第二安全需求集进行处理得到目标安全策略。也有可能该H-SM自身根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到该目标安全策略,该H-SM自身存储了该第二安全需求集或者向该安全策略控制器请求该第二安全需求集,该第二安全需求可以包含该HPLMN中的网元的安全需求,例如,该HCP-AU的安全需求。
步骤S3406:该H-SM向该HCP-AU发送认证请求消息。
步骤S3407:该HCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该HCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,该HCP-AU可能存储了该签约信息,该HCP-AU也可能向该UE的归属网络HPLMN中存储该签约信息的网元获取该签约信息。可以理解的是,由于该UE之前已经接入到了该HPLMN中,因此该UE与该HPLMN中的网元已经认证过,因此本发明实施例需要用到的基础密钥以及基于该基础密钥衍生的密钥也可以为该UE之前在该HPLMN中生成的。
步骤S3408:H-SM根据该目标安全策略和该参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。需要说明的是该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该HCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3409:H-SM将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
步骤S3410:H-SM将该目标共享密钥和目标安全策略发送给V-SM。
步骤S3411:V-SM接收该目标共享密钥和该目标安全策略并将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3412:V-SM将目标安全策略发送给该UE。
步骤S3413:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3E,图3E是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3501:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带该UE的第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3502:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3503:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3504:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含该UE的第一安全需求集、该UE的UEID等信息,还可能包含其他安全策略。
步骤S3505:H-SM接收该第二会话建立请求并解析该第二会话密钥中的信息,然后,该H-SM向预设的安全策略控制器发送更新请求,相应地,该安全策略控制器响应该更新请求,通过预设的规则对该第二会话建立请求中第一安全需求集、以及自身存储的第二安全需求集进行处理得到目标安全策略。也有可能该H-SM自身根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到该目标安全策略,该H-SM自身存储了该第二安全需求集或者向该安全策略控制器请求该第二安全需求集,该第二安全需求集可以包含该HPLMN中的网元的安全需求,例如,该HCP-AU、HUP-GW的安全需求。
步骤S3506:该H-SM向该HCP-AU发送认证请求消息。
步骤S3507:该HCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该HCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,该HCP-AU可能存储了该签约信息,该HCP-AU也可能向该UE的归属网络HPLMN中存储该签约信息的网元获取该签约信息。可以理解的是,由于该UE之前已经接入到了该HPLMN中,因此该UE与该HPLMN中的网元已经认证过,因此本发明实施例需要用到的基础密钥以及基于该基础密钥衍生的密钥也可以为该UE之前在该HPLMN中生成的。
步骤S3508:H-SM将该目标安全策略和参考共享密钥发送给V-SM;需要说明的是该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该HCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3509:V-SM接收该目标安全策略和参考共享密钥,并根据该目标安全策略和参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。
步骤S3510:V-SM将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3511:V-SM将目标安全策略发送给该UE。
步骤S3512:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
可选的,该V-SM还将该目标共享密钥发送给该H-SM,相应地,该H-SM接收该目标共享密钥并将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3F,图3F是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3601:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带该UE的第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3602:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3603:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3604:该V-SM获取第二安全需求集,该第二安全需求集包含该VUP-GW的安全需求,该V-SM可能向VUP-GW获取该VUP-GW的安全需求,也可能向其他存储了VUP-GW的安全需求的设备请求该VUP-GW的安全需求。进一步地,该V-SM还可以向该H-SM获取该UE在签约服务器中默认的安全需求。
步骤S3605:该V-SM根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到新的安全策略,生成该新的安全策略可能还要参考其他安全策略(例如,该UE在签约服务器中默认的安全需求),为了描述方便可以称该新的安全策略为目标安全策略。也可能,该V-SM将第一安全需求集、第二安全需求集等信息发送给拜访网络VPLMN中的预先配置的用来管理安全策略的安全策略控制器V-SPCF,由该安全策略控制器V-SPCF基于该第一安全需求集和第二安全需求集等信息得到目标安全策略。
步骤S3606:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含该目标安全策略、该UE的UEID等信息。
步骤S3607:该H-SM向该HCP-AU发送认证请求消息。
步骤S3608:该HCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该HCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,可能该HCP-AU中存储了该签约信息,也可能该HCP-AU从该归属网络HPLMN中的其他网元获取该签约信息。可以理解的是,由于该UE之前已经接入到了该HPLMN中,因此该UE与该HPLMN中的网元已经认证过,因此本发明实施例需要用到的基础密钥以及基于该基础密钥衍生的密钥也可以为该UE之前在该HPLMN中生成的。
步骤S3609:H-SM根据该目标安全策略和参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该HCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3610:H-SM将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
步骤S3611:H-SM将该目标共享密钥和目标安全策略发送给V-SM。
步骤S3612:V-SM接收该目标共享密钥和该目标安全策略并将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3613:V-SM将目标安全策略发送给该UE。
步骤S3614:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
请参见图3G,图3G是本发明实施例提供的又一种网络漫游保护方法的流程示意图;涉及的网元包括用户设备UE、归属会话管理设备H-SM、拜访会话管理设备V-SM、归属网络中的密钥管理设备HCP-AU、拜访网络中的密钥管理设备VCP-AU、归属网关HUP-GW、拜访网关VUP-GW、归属网络的安全策略控制器H-SPCF和拜访网络的安全策略控制器V-SPCF;该流程如下:
步骤S3701:UE向V-SM发送第一会话(session)建立请求;该第一会话建立请求可以携带该UE的第一安全需求集、该UE的身份标识UEID等信息,该第一安全需求集可以包括该UE的安全需求、该UE当前执行的目标业务的安全需求等。
步骤S3702:该V-SM接收该第一会话建立请求并解析得到该第一会话建立请求中的信息,然后该V-SM可以根据该UEID确定该UE的归属网络HPLMN,从而确定后续需要与该HPLMN中的哪个SM交互,确定的该SM为H-SM。
步骤S3703:该V-SM选择合适的用户面路径,即为该UE选择该UE在拜访网络VPLMN中的用户面网关UP-GW,为该UE选择的UP-GW为VUP-GW。
步骤S3704:该V-SM获取第二安全需求集,该第二安全需求集包含该VUP-GW的安全需求,该V-SM可能向VUP-GW获取该VUP-GW的安全需求,也可能向其他存储了VUP-GW的安全需求的设备请求该VUP-GW的安全需求。进一步地,该V-SM还可以向该H-SM获取该UE在签约服务器中默认的安全需求。
步骤S3705:该V-SM根据预设的规则对该第一安全需求集和第二安全需求集进行处理得到新的安全策略,生成该新的安全策略可能还要参考其他安全策略(例如,该UE在签约服务器中默认的安全需求),为了描述方便可以称该新的安全策略为目标安全策略。也可能,该V-SM将第一安全需求集、第二安全需求集等信息发送给拜访网络VPLMN中的预先配置的用来管理安全策略的安全策略控制器V-SPCF,由该安全策略控制器V-SPCF基于该第一安全需求集和第二安全需求集等信息得到目标安全策略。
步骤S3706:V-SM向H-SM发送第二会话建立请求,该第二会话建立请求包含该UE的UEID等信息。
步骤S3707:该H-SM根据该第二会话建立请求向该HCP-AU发送认证请求消息。
步骤S3708:该HCP-AU接收该认证请求消息并与该UE进行双向认证得到用户面基础密钥,网络认证的方式可以为第三代移动通讯网络的认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)、通用引导架构(英文:GenericBootstrapping Architecture,简称:GBA)、kerberos协议等;该HCP-AU与该UE进行双向认证需要用到该UE的与该UE所归属的运营商之间的签约信息,可能该HCP-AU中存储了该签约信息,也可能该HCP-AU从该归属网络HPLMN中的其他网元获取该签约信息。可以理解的是,由于该UE之前已经接入到了该HPLMN中,因此该UE与该HPLMN中的网元已经认证过,因此本发明实施例需要用到的基础密钥以及基于该基础密钥衍生的密钥也可以为该UE之前在该HPLMN中生成的。
步骤S3709:该HCP-AU将参考共享密钥发送给H-SM,相应地,该H-SM接收该参考共享密钥并将该参考共享密钥转发给该V-SM。
步骤S3710:V-SM根据该目标安全策略和参考共享密钥生成该UE在拜访网络中与VUP-GW端到端地保护数据安全传输的共享密钥,为了方便描述可以称之为目标共享密钥。生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。该参考共享密钥包括但不限于如下情况:
情况一:该参考共享密钥为上述用户面基础密钥。
情况二:该参考共享密钥为基于上述用户面基础密钥生成的会话密钥,如果是这种情况,那么该VCP-AU生成用户面基础密钥后还要基于该用户面基础密钥再生成会话密钥。
步骤S3711:V-SM将该目标共享密钥发送给VPLMN中的用户面网关VUP-GW,还可以将该目标共享密钥发送给该VCP-AU存储。
步骤S3712:V-SM将目标安全策略发送给该UE。
步骤S3713:UE接收该目标安全策略和参考共享密钥生成该目标共享密钥;需要说明的是,生成该目标共享密钥还可能需要参考其他信息,例如,当前需要建立的会话的会话标识、UEID等,如果需要参考的信息该UE自身没有则可以由该V-SM发送给该UE。
可选的,该V-SM还将该目标共享密钥发送给该H-SM,相应地,该H-SM接收该目标共享密钥并将该目标共享密钥发送给该HPLMN中的用户面网关HUP-GW,相应地,该HUP-GW接收该目标共享密钥,这样一来,该HUP-GW后续就可以基于该目标共享密钥监听该UE通过该目标共享密钥加密的会话。
需要说明的是,各个步骤可以按照以上描述的先后顺序来执行,也可以不完全按照描述的顺序来执行,只要逻辑不存在问题即可。
执行完上述操作后,该UE与该HPLMN中的HUP-GW之间存在该目标共享密钥,以及该UE与该VPLMN中的VUP-GW之间存在该目标共享密钥,因此该UE可以与VUP-GW基于该目标共享密钥端到端地保护数据的安全传输,同时该HUP-GW可以基于该目标共享密钥监听UE与VUP-GW之间传输的数据。
在上述各个方法实施例中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
上述详细阐述了本发明实施例的方法,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的装置。
请参见图4,图4是本发明实施例提供的一种拜访会话管理设备40的结构示意图,该拜访会话管理设备包括第一接收单元401、获取单元402和第一发送单元403,其中,各个单元的详细描述如下:
第一接收单元401用于接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备40为该UE的拜访网络中管理会话的设备;
获取单元402用于获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
第一发送单元403用于向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。
通过运行上述单元,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
在一种可选的方案中,该第二安全需求集包含该拜访网关的安全需求;该获取单元402具体用于将该第一安全需求集和第二安全需求集发送给该拜访网络中的其他设备,以使该拜访网络中的其他设备根据该第一安全需求集和该第二安全需求集生成目标安全策略并向该拜访会话管理设备40发送该目标安全策略,或者该拜访会话管理设备40根据该第一安全需求集和该第二安全需求集生成该目标安全策略;该拜访会话管理设备40预存了该拜访网关的安全需求或者该拜访会话管理设备40向该拜访网关获取了该拜访网关的安全需求。
在又一种可选的方案中,该第二安全需求集包含该归属网关的安全需求;该获取单元402具体用于:
向归属会话管理设备发送第二策略请求消息,该第二策略请求消息包含第一安全需求集,该归属会话管理设备为该UE的归属网络中管理会话的设备;
接收该归属会话管理设备发送的目标安全策略,该目标安全策略由该归属会话管理设备接收到该第二策略请求消息后触发该归属网络中的设备根据该第一安全需求集和第二安全需求集生成,该归属网络中的设备存储了该第二安全需求集。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第二发送单元,用于在该第一接收单元401接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;
第二接收单元,用于接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;
第三发送单元,用于将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第一触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
第三接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥发送给该归属会话管理设备;
第四接收单元,用于接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第四发送单元,用于在该第一接收单元401接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;
第五接收单元,用于接收该归属会话管理设备转发的由该归属网络中的密钥管理设备发送的该参考共享密钥;
第一生成单元,用于根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第二触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
第六接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥;
第二生成单元,用于根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第五发送单元,用于在该第一接收单元401接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该第二会话建立请求包含该目标安全策略;
第七接收单元,用于接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;
第六发送单元,用于将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该拜访会话管理设备40还包括:
第三触发单元,用于触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
第八接收单元,用于接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥和该目标安全策略发送给该归属会话管理设备;
第九接收单元,用于接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
在又一种可选的方案中,该目标安全策略为通过预设规则对该第一安全需求集、第二安全需求和第三安全需求集处理得到,该第三安全需求集包括提供该目标业务的服务器的安全需求和该UE的签约服务器的安全需求中至少一项。
需要说明的是,各个单元的具体实现还可以对应参照图2所示的方法实施例的相应描述。
在图4所描述的拜访会话管理设备40中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
请参见图5,图5是本发明实施例提供的一种用户设备50的结构示意图,该用户设备50包括发送单元501、接收单元502、生成单元503和传输单元504,其中,各个单元的详细描述如下。
发送单元501用于UE向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
接收单元502用于接收该拜访会话管理设备发送的目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
生成单元503用于根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;
传输单元504用于通过该目标共享密钥保护该UE与该拜访网关之间的数据的安全传输。
通过运行上述单元,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
在一种可选的方案中,该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,该用户设备50还包括:
第一认证单元,用于在该生成单元503根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与该归属网络中的密钥管理设备进行双向认证生成该UE在该归属网络中的基础密钥。
在又一种可选的方案中,该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该用户设备50还包括:
第二认证单元,用于在该生成单元503根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与该拜访网络中的密钥管理设备进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证。
需要说明的是,各个单元的具体实现还可以对应参照图2所示的方法实施例的相应描述。
在图5所描述的用户设备50中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
请参见图6,图6是本发明实施例提供的又一种拜访会话管理设备60,该拜访会话管理设备60包括处理器601、存储器602和收发器603,该处理器601、存储器602和收发器603通过总线相互连接。
存储器602包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器602用于相关指令及数据。
该收发器603可以包括一个接收器和一个发送器,例如,无线射频模块。
处理器601可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器601是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该拜访会话管理设备60中的处理器601用于读取该存储器602中存储的程序代码,执行以下操作:
通过该收发器603接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
获取目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
通过该收发器603向该UE发送该目标安全策略,以使该UE根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;该目标共享密钥用于该UE与该拜访网关之间端到端地保护数据的安全传输。
通过执行上述操作,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
在又一种可选的方案中,该第二安全需求集包含该拜访网关的安全需求;该处理器601获取目标安全策略,具体为:
将该第一安全需求集和第二安全需求集发送给该拜访网络中的其他设备,以使该拜访网络中的其他设备根据该第一安全需求集和该第二安全需求集生成目标安全策略并向该拜访会话管理设备发送该目标安全策略,或者该拜访会话管理设备根据该第一安全需求集和该第二安全需求集生成该目标安全策略;该拜访会话管理设备预存了该拜访网关的安全需求或者该拜访会话管理设备向该拜访网关获取了该拜访网关的安全需求。
在又一种可选的方案中,该第二安全需求集包含该归属网关的安全需求;该处理器601获取目标安全策略,具体为:
通过该收发器603向归属会话管理设备发送第二策略请求消息,该第二策略请求消息包含第一安全需求集,该归属会话管理设备为该UE的归属网络中管理会话的设备;
通过该收发器603接收该归属会话管理设备发送的目标安全策略,该目标安全策略由该归属会话管理设备接收到该第二策略请求消息后触发该归属网络中的设备根据该第一安全需求集和第二安全需求集生成,该归属网络中的设备存储了该第二安全需求集。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器601通过该收发器603接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器601还用于:
通过该收发器603向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;
通过该收发器603接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;
通过该收发器603将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器601还用于:
触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
通过该收发器603接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥发送给该归属会话管理设备;
通过该收发器603接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器601通过该收发器603接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器601还用于:
通过该收发器603向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;
通过该收发器603接收该归属会话管理设备转发的由该归属网络中的密钥管理设备发送的该参考共享密钥;
根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器601还用于:
触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
通过该收发器603接收该拜访网络中的密钥管理设备发送的该参考共享密钥;
根据该目标安全策略和该参考共享密钥生成该目标共享密钥,并将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥时,该处理器601通过该收发器603接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,该处理器601还用于:
通过该收发器603向归属会话管理设备发送第二会话建立请求,以使该归属会话管理设备触发该归属网络中的密钥管理设备与该UE进行双向认证生成该UE在该归属网络中的基础密钥;该第二会话建立请求包含该目标安全策略;
通过该收发器603接收该归属会话管理设备发送的目标共享密钥,该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成,该参考共享密钥由该归属网络中的密钥管理设备发送;
通过该收发器603将该目标共享密钥发送给该拜访网关。
在又一种可选的方案中,当该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥时,该处理器601还用于:
触发该拜访网络中的密钥管理设备与该UE进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证;
通过该收发器603接收该拜访网络中的密钥管理设备发送的该参考共享密钥,并将该参考共享密钥和该目标安全策略发送给该归属会话管理设备;
通过该收发器603接收该归属会话管理设备发送的该目标共享密钥,并将该目标共享密钥发送给该拜访网关;该目标共享密钥由该归属会话管理设备根据该目标安全策略和该参考共享密钥生成。
在又一种可选的方案中,该目标安全策略为通过预设规则对该第一安全需求集、第二安全需求和第三安全需求集处理得到,该第三安全需求集包括提供该目标业务的服务器的安全需求和该UE的签约服务器的安全需求中至少一项。
需要说明的是,各个操作的具体实现还可以对应参照图2所示的方法实施例的相应描述。
在图6所描述的拜访会话管理设备60中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
请参见图7,图7是本发明实施例提供的一种用户设备70,该用户设备70包括处理器701、存储器702和收发器703,该处理器701、存储器702和收发器703通过总线相互连接。
存储器702包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器702用于相关指令及数据。
该收发器703可以包括一个接收器和一个发送器,例如,无线射频模块。
处理器701可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器701是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
用户设备70中的处理器701用于读取该存储器702中存储的程序代码,执行以下操作:
通过该收发器703向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,该第一安全需求集包含该UE的安全需求和目标业务的安全需求,该安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,该目标业务为该UE当前执行的业务,该拜访会话管理设备为该UE的拜访网络中管理会话的设备;
通过该收发器703接收该拜访会话管理设备发送的目标安全策略,该目标安全策略为通过预设规则对该第一安全需求集和第二安全需求集处理得到,该第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,该拜访网关为该UE接入到该拜访网络时用到的用户面网关,该归属网关为该UE接入到自身的归属网络是用到的用户面网关;
根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥,或者该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该UE在该归属网络中的基础密钥为该UE与该归属网络中的密钥管理设备双向认证生成的密钥,该UE在该拜访网络中的基础密钥为该UE与该拜访网络中的密钥管理设备双向认证生成的密钥;
通过该目标共享密钥保护该UE与该拜访网关之间的数据的安全传输。
在一种可选的方案中,该参考共享密钥为该UE在该归属网络中的基础密钥,或者根据该UE在该归属网络中的基础密钥衍生的共享密钥;该处理器701根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该处理器701还用于:
与该归属网络中的密钥管理设备进行双向认证生成该UE在该归属网络中的基础密钥。
在又一种可选的方案中,该参考共享密钥为该UE在该拜访网络中的基础密钥,或者根据该UE在该拜访网络中的基础密钥衍生的共享密钥;该处理器701根据该目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,该处理器701还用于:
与该拜访网络中的密钥管理设备进行双向认证生成该UE在该拜访网络中的基础密钥,该密钥管理设备预先向该归属网络中的网元获取了该UE的签约信息以用于双向认证。
需要说明的是,各个操作的具体实现还可以对应参照图2所示的方法实施例的相应描述。
在图7所描述的用户设备70中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
上述详细阐述了本发明实施例的方法和装置,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的相关系统。
请参见图8,图8是本发明实施例提供的一种网络漫游保护系统80的结构示意图,该系统80包括拜访会话管理设备801和用户设备802,其中,拜访会话管理设备801可以为图4所示的拜访会话管理设备40或者图6所示的拜访会话管理设备60;用户设备802可以为图5所示的用户设备50或者图7所示的用户设备70。
在图8所描述的系统80中,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
综上所述,通过实施本发明实施例,该UE漫游到拜访网络时,通过归属网络或者拜访网络中的网元生成目标安全策略,该目标安全策略涵盖了该归属网络中某些网元的安全需求和该拜访网络中某些网元的安全需求,进一步参照该目标安全策略定义的规则对参考共享密钥进行处理生成目标共享密钥,该参考共享密钥为该UE在该归属网络或者该拜访网络中双向认证生成的或进一步衍生的密钥;最后该UE和该拜访网络中的拜访网关将该目标共享密钥作为UE与该拜访网关之间端到端地保护数据安全传输的共享密钥,使得该UE在网络发生漫游后依旧能够安全地传输数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上实施例仅揭露了本发明中较佳实施例,不能以此来限定本发明之权利范围,本领域普通技术人员可以理解实现上述实施例的全部或部分流程,并依本发明权利要求所作的等同变化,仍属于发明所涵盖的范围。
Claims (27)
1.一种网络漫游保护方法,其特征在于,包括:
拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,所述第一安全需求集包含所述UE的安全需求和目标业务的安全需求,所述安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,所述目标业务为所述UE当前执行的业务,所述拜访会话管理设备为所述UE的拜访网络中管理会话的设备;
所述拜访会话管理设备获取目标安全策略,所述目标安全策略为通过预设规则对所述第一安全需求集和第二安全需求集处理得到,所述第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,所述拜访网关为所述UE接入到所述拜访网络时用到的用户面网关,所述归属网关为所述UE接入到自身的归属网络是用到的用户面网关;
所述拜访会话管理设备向所述UE发送所述目标安全策略,以使所述UE根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,或者所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE在所述归属网络中的基础密钥为所述UE与所述归属网络中的密钥管理设备双向认证生成的密钥,所述UE在所述拜访网络中的基础密钥为所述UE与所述拜访网络中的密钥管理设备双向认证生成的密钥;所述目标共享密钥用于所述UE与所述拜访网关之间端到端地保护数据的安全传输。
2.根据权利要求1所述的方法,其特征在于,所述第二安全需求集包含所述拜访网关的安全需求;所述拜访会话管理设备获取目标安全策略,包括:
所述拜访会话管理设备将所述第一安全需求集和第二安全需求集发送给所述拜访网络中的其他设备,以使所述拜访网络中的其他设备根据所述第一安全需求集和所述第二安全需求集生成目标安全策略并向所述拜访会话管理设备发送所述目标安全策略,或者所述拜访会话管理设备根据所述第一安全需求集和所述第二安全需求集生成所述目标安全策略;所述拜访会话管理设备预存了所述拜访网关的安全需求或者所述拜访会话管理设备向所述拜访网关获取了所述拜访网关的安全需求。
3.根据权利要求1所述的方法,其特征在于,所述第二安全需求集包含所述归属网关的安全需求;所述拜访会话管理设备获取目标安全策略,包括:
所述拜访会话管理设备向归属会话管理设备发送第二策略请求消息,所述第二策略请求消息包含第一安全需求集,所述归属会话管理设备为所述UE的归属网络中管理会话的设备;
所述拜访会话管理设备接收所述归属会话管理设备发送的目标安全策略,所述目标安全策略由所述归属会话管理设备接收到所述第二策略请求消息后触发所述归属网络中的设备根据所述第一安全需求集和第二安全需求集生成,所述归属网络中的设备存储了所述第二安全需求集。
4.根据权利要求3所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:
所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;
所述拜访会话管理设备接收所述归属会话管理设备发送的目标共享密钥,所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成,所述参考共享密钥由所述归属网络中的密钥管理设备发送;
所述拜访会话管理设备将所述目标共享密钥发送给所述拜访网关。
5.根据权利要求3所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述方法还包括:
所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,并将所述参考共享密钥发送给所述归属会话管理设备;
所述拜访会话管理设备接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关;所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成。
6.根据权利要求2或3所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:
所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;
所述拜访会话管理设备接收所述归属会话管理设备转发的由所述归属网络中的密钥管理设备发送的所述参考共享密钥;
所述拜访会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
7.根据权利要求2或3所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述方法还包括:
所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥;
所述拜访会话管理设备根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
8.根据权利要求2所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,所述方法还包括:
所述拜访会话管理设备向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;所述第二会话建立请求包含所述目标安全策略;
所述拜访会话管理设备接收所述归属会话管理设备发送的目标共享密钥,所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成,所述参考共享密钥由所述归属网络中的密钥管理设备发送;
所述拜访会话管理设备将所述目标共享密钥发送给所述拜访网关。
9.根据权利要求2所述的方法,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述方法还包括:
所述拜访会话管理设备触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
所述拜访会话管理设备接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,并将所述参考共享密钥和所述目标安全策略发送给所述归属会话管理设备;
所述拜访会话管理设备接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关;所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成。
10.根据权利要求1~9任一项所述的方法,其特征在于,所述目标安全策略为通过预设规则对所述第一安全需求集、第二安全需求和第三安全需求集处理得到,所述第三安全需求集包括提供所述目标业务的服务器的安全需求和所述UE的签约服务器的安全需求中至少一项。
11.一种网络漫游保护方法,其特征在于,包括:
用户设备UE向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,所述第一安全需求集包含所述UE的安全需求和目标业务的安全需求,所述安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,所述目标业务为所述UE当前执行的业务,所述拜访会话管理设备为所述UE的拜访网络中管理会话的设备;
所述UE接收所述拜访会话管理设备发送的目标安全策略,所述目标安全策略为通过预设规则对所述第一安全需求集和第二安全需求集处理得到,所述第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,所述拜访网关为所述UE接入到所述拜访网络时用到的用户面网关,所述归属网关为所述UE接入到自身的归属网络是用到的用户面网关;
所述UE根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,或者所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE在所述归属网络中的基础密钥为所述UE与所述归属网络中的密钥管理设备双向认证生成的密钥,所述UE在所述拜访网络中的基础密钥为所述UE与所述拜访网络中的密钥管理设备双向认证生成的密钥;
所述UE通过所述目标共享密钥保护所述UE与所述拜访网关之间的数据的安全传输。
12.根据权利要求11所述的方法,其特征在于,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥;所述UE根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述UE与所述归属网络中的密钥管理设备进行双向认证生成所述UE在所述归属网络中的基础密钥。
13.根据权利要求11所述的方法,其特征在于,所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述UE与所述拜访网络中的密钥管理设备进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证。
14.一种拜访会话管理设备,其特征在于,包括:
第一接收单元,用于接收用户设备UE发送的包含第一安全需求集的第一会话建立请求,所述第一安全需求集包含所述UE的安全需求和目标业务的安全需求,所述安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,所述目标业务为所述UE当前执行的业务,所述拜访会话管理设备为所述UE的拜访网络中管理会话的设备;
获取单元,用于获取目标安全策略,所述目标安全策略为通过预设规则对所述第一安全需求集和第二安全需求集处理得到,所述第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,所述拜访网关为所述UE接入到所述拜访网络时用到的用户面网关,所述归属网关为所述UE接入到自身的归属网络是用到的用户面网关;
第一发送单元,用于向所述UE发送所述目标安全策略,以使所述UE根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,或者所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE在所述归属网络中的基础密钥为所述UE与所述归属网络中的密钥管理设备双向认证生成的密钥,所述UE在所述拜访网络中的基础密钥为所述UE与所述拜访网络中的密钥管理设备双向认证生成的密钥;所述目标共享密钥用于所述UE与所述拜访网关之间端到端地保护数据的安全传输。
15.根据权利要求14所述的拜访会话管理设备,其特征在于,所述第二安全需求集包含所述拜访网关的安全需求;所述获取单元具体用于将所述第一安全需求集和第二安全需求集发送给所述拜访网络中的其他设备,以使所述拜访网络中的其他设备根据所述第一安全需求集和所述第二安全需求集生成目标安全策略并向所述拜访会话管理设备发送所述目标安全策略,或者所述拜访会话管理设备根据所述第一安全需求集和所述第二安全需求集生成所述目标安全策略;所述拜访会话管理设备预存了所述拜访网关的安全需求或者所述拜访会话管理设备向所述拜访网关获取了所述拜访网关的安全需求。
16.根据权利要求14所述的拜访会话管理设备,其特征在于,所述第二安全需求集包含所述归属网关的安全需求;所述获取单元具体用于:
向归属会话管理设备发送第二策略请求消息,所述第二策略请求消息包含第一安全需求集,所述归属会话管理设备为所述UE的归属网络中管理会话的设备;
接收所述归属会话管理设备发送的目标安全策略,所述目标安全策略由所述归属会话管理设备接收到所述第二策略请求消息后触发所述归属网络中的设备根据所述第一安全需求集和第二安全需求集生成,所述归属网络中的设备存储了所述第二安全需求集。
17.根据权利要求16所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第二发送单元,用于在所述第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;
第二接收单元,用于接收所述归属会话管理设备发送的目标共享密钥,所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成,所述参考共享密钥由所述归属网络中的密钥管理设备发送;
第三发送单元,用于将所述目标共享密钥发送给所述拜访网关。
18.根据权利要求16所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第一触发单元,用于触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
第三接收单元,用于接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,并将所述参考共享密钥发送给所述归属会话管理设备;
第四接收单元,用于接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关;所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成。
19.根据权利要求15或16所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第四发送单元,用于在所述第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;
第五接收单元,用于接收所述归属会话管理设备转发的由所述归属网络中的密钥管理设备发送的所述参考共享密钥;
第一生成单元,用于根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
20.根据权利要求15或16所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第二触发单元,用于触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
第六接收单元,用于接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥;
第二生成单元,用于根据所述目标安全策略和所述参考共享密钥生成所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关。
21.根据权利要求15所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第五发送单元,用于在所述第一接收单元接收用户设备UE发送的包含第一安全需求集的第一会话建立请求之后,向归属会话管理设备发送第二会话建立请求,以使所述归属会话管理设备触发所述归属网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述归属网络中的基础密钥;所述第二会话建立请求包含所述目标安全策略;
第七接收单元,用于接收所述归属会话管理设备发送的目标共享密钥,所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成,所述参考共享密钥由所述归属网络中的密钥管理设备发送;
第六发送单元,用于将所述目标共享密钥发送给所述拜访网关。
22.根据权利要求15所述的拜访会话管理设备,其特征在于,当所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥时,所述拜访会话管理设备还包括:
第三触发单元,用于触发所述拜访网络中的密钥管理设备与所述UE进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证;
第八接收单元,用于接收所述拜访网络中的密钥管理设备发送的所述参考共享密钥,并将所述参考共享密钥和所述目标安全策略发送给所述归属会话管理设备;
第九接收单元,用于接收所述归属会话管理设备发送的所述目标共享密钥,并将所述目标共享密钥发送给所述拜访网关;所述目标共享密钥由所述归属会话管理设备根据所述目标安全策略和所述参考共享密钥生成。
23.根据权利要求14~22任一项所述的拜访会话管理设备,其特征在于,所述目标安全策略为通过预设规则对所述第一安全需求集、第二安全需求和第三安全需求集处理得到,所述第三安全需求集包括提供所述目标业务的服务器的安全需求和所述UE的签约服务器的安全需求中至少一项。
24.一种用户设备,其特征在于,包括:
发送单元,用于UE向拜访会话管理设备发送包含第一安全需求集的第一会话建立请求,所述第一安全需求集包含所述UE的安全需求和目标业务的安全需求,所述安全需求定义了可接受的密钥算法、可接受的密钥长度和可接受的密钥更新周期中至少一项,所述目标业务为所述UE当前执行的业务,所述拜访会话管理设备为所述UE的拜访网络中管理会话的设备;
接收单元,用于接收所述拜访会话管理设备发送的目标安全策略,所述目标安全策略为通过预设规则对所述第一安全需求集和第二安全需求集处理得到,所述第二安全需求集包含拜访网关的安全需求和归属网关的安全需求中至少一项,所述拜访网关为所述UE接入到所述拜访网络时用到的用户面网关,所述归属网关为所述UE接入到自身的归属网络是用到的用户面网关;
生成单元,用于根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥;所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,或者所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述UE在所述归属网络中的基础密钥为所述UE与所述归属网络中的密钥管理设备双向认证生成的密钥,所述UE在所述拜访网络中的基础密钥为所述UE与所述拜访网络中的密钥管理设备双向认证生成的密钥;
传输单元,用于通过所述目标共享密钥保护所述UE与所述拜访网关之间的数据的安全传输。
25.根据权利要求24所述的用户设备,其特征在于,所述参考共享密钥为所述UE在所述归属网络中的基础密钥,或者根据所述UE在所述归属网络中的基础密钥衍生的共享密钥,所述用户设备还包括:
第一认证单元,用于在所述生成单元根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与所述归属网络中的密钥管理设备进行双向认证生成所述UE在所述归属网络中的基础密钥。
26.根据权利要求24所述的用户设备,其特征在于,所述参考共享密钥为所述UE在所述拜访网络中的基础密钥,或者根据所述UE在所述拜访网络中的基础密钥衍生的共享密钥;所述用户设备还包括:
第二认证单元,用于在所述生成单元根据所述目标安全策略定义的规则基于参考共享密钥生成目标共享密钥之前,与所述拜访网络中的密钥管理设备进行双向认证生成所述UE在所述拜访网络中的基础密钥,所述密钥管理设备预先向所述归属网络中的网元获取了所述UE的签约信息以用于双向认证。
27.一种网络漫游保护系统,其特征在于,所述系统包括会话拜访会话管理设备和用户设备,其中:
所述拜访会话管理设备为权利要求14~23任一项所述的拜访会话管理设备;
所述用户设备未权利要求24~26任一项所述的用户设备。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610826048.7A CN107820234B (zh) | 2016-09-14 | 2016-09-14 | 一种网络漫游保护方法、相关设备及系统 |
| EP17850070.8A EP3496436B1 (en) | 2016-09-14 | 2017-06-27 | Network roaming protection method, related device and system |
| PCT/CN2017/090286 WO2018049865A1 (zh) | 2016-09-14 | 2017-06-27 | 一种网络漫游保护方法、相关设备及系统 |
| US16/351,772 US10743368B2 (en) | 2016-09-14 | 2019-03-13 | Network roaming protection method, related device, and system |
| US16/909,601 US11109230B2 (en) | 2016-09-14 | 2020-06-23 | Network roaming protection method, related device, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610826048.7A CN107820234B (zh) | 2016-09-14 | 2016-09-14 | 一种网络漫游保护方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107820234A true CN107820234A (zh) | 2018-03-20 |
| CN107820234B CN107820234B (zh) | 2021-02-23 |
Family
ID=61600398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610826048.7A Active CN107820234B (zh) | 2016-09-14 | 2016-09-14 | 一种网络漫游保护方法、相关设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10743368B2 (zh) |
| EP (1) | EP3496436B1 (zh) |
| CN (1) | CN107820234B (zh) |
| WO (1) | WO2018049865A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019196699A1 (zh) * | 2018-04-09 | 2019-10-17 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
| WO2020151614A1 (zh) * | 2019-01-27 | 2020-07-30 | 华为技术有限公司 | 用户面安全保护的方法和装置 |
| CN111770486A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 一种终端漫游的方法及装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109996314B (zh) * | 2017-12-29 | 2021-11-09 | 阿里巴巴集团控股有限公司 | 一种待配网设备接入网络热点设备的方法、装置和系统 |
| EP3791537A4 (en) * | 2018-05-09 | 2022-01-19 | Nokia Technologies Oy | SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM |
| WO2021212351A1 (en) * | 2020-04-22 | 2021-10-28 | Citrix Systems, Inc. | Multifactor authentication service |
| US20230217236A1 (en) * | 2022-01-06 | 2023-07-06 | T-Mobile Innovations Llc | Wireless communication network authorization of home user equipment and visiting user equipment |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6879690B2 (en) * | 2001-02-21 | 2005-04-12 | Nokia Corporation | Method and system for delegation of security procedures to a visited domain |
| KR100888471B1 (ko) * | 2002-07-05 | 2009-03-12 | 삼성전자주식회사 | 링크 접속권한을 등급화 한 암호화 키 차등분배방법 및이를 이용한 로밍방법 |
| JP2004241976A (ja) * | 2003-02-05 | 2004-08-26 | Nec Corp | 移動通信ネットワークシステムおよび移動端末認証方法 |
| US8098818B2 (en) * | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| CN1265676C (zh) * | 2004-04-02 | 2006-07-19 | 华为技术有限公司 | 一种实现漫游用户使用拜访网络内业务的方法 |
| US7639802B2 (en) * | 2004-09-27 | 2009-12-29 | Cisco Technology, Inc. | Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP |
| US8332912B2 (en) * | 2007-01-04 | 2012-12-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for determining an authentication procedure |
| US8064928B2 (en) * | 2008-08-29 | 2011-11-22 | Intel Corporation | System and method for providing location based services (LBS) to roaming subscribers in a wireless access network |
| EP2425644B1 (en) * | 2009-05-01 | 2017-11-22 | Nokia Technologies Oy | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
| CN102223231B (zh) | 2010-04-16 | 2016-03-30 | 中兴通讯股份有限公司 | M2m终端认证系统及认证方法 |
| CN102137397B (zh) | 2011-03-10 | 2014-04-02 | 西安电子科技大学 | 机器类型通信中基于共享群密钥的认证方法 |
| KR101860440B1 (ko) | 2011-07-01 | 2018-05-24 | 삼성전자주식회사 | 기기 간 통신 시스템에서 멀티캐스트 데이터 암호화 키 관리 방법, 장치 그리고 시스템 |
| US8948386B2 (en) * | 2012-06-27 | 2015-02-03 | Certicom Corp. | Authentication of a mobile device by a network and key generation |
| US9008309B2 (en) * | 2012-07-02 | 2015-04-14 | Intel Mobile Communications GmbH | Circuit arrangement and a method for roaming between a visited network and a mobile station |
| CN103634796B (zh) * | 2013-12-06 | 2017-02-01 | 北京航空航天大学 | 一种空天信息网络漫游可信安全接入方法 |
| CN103840941B (zh) | 2014-01-15 | 2016-04-06 | 东南大学 | 基于中国剩余定理的物联网感知层认证中的位置隐私方法 |
| US9900295B2 (en) * | 2014-11-05 | 2018-02-20 | Microsoft Technology Licensing, Llc | Roaming content wipe actions across devices |
| CN107566115B (zh) * | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
-
2016
- 2016-09-14 CN CN201610826048.7A patent/CN107820234B/zh active Active
-
2017
- 2017-06-27 WO PCT/CN2017/090286 patent/WO2018049865A1/zh unknown
- 2017-06-27 EP EP17850070.8A patent/EP3496436B1/en active Active
-
2019
- 2019-03-13 US US16/351,772 patent/US10743368B2/en active Active
-
2020
- 2020-06-23 US US16/909,601 patent/US11109230B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157395A1 (en) * | 2011-08-05 | 2014-06-05 | Huawei Technologies Co., Ltd. | Method and apparatus for establishing tunnel data security channel |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP: "《3GPP TR 33.899 V0.4.1》", 29 August 2016 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019196699A1 (zh) * | 2018-04-09 | 2019-10-17 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
| CN110366159A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
| CN110366159B (zh) * | 2018-04-09 | 2022-05-17 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
| WO2020151614A1 (zh) * | 2019-01-27 | 2020-07-30 | 华为技术有限公司 | 用户面安全保护的方法和装置 |
| CN111491394A (zh) * | 2019-01-27 | 2020-08-04 | 华为技术有限公司 | 用户面安全保护的方法和装置 |
| CN111491394B (zh) * | 2019-01-27 | 2022-06-14 | 华为技术有限公司 | 用户面安全保护的方法和装置 |
| CN111770486A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 一种终端漫游的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018049865A1 (zh) | 2018-03-22 |
| US11109230B2 (en) | 2021-08-31 |
| US10743368B2 (en) | 2020-08-11 |
| US20190215904A1 (en) | 2019-07-11 |
| EP3496436A4 (en) | 2019-08-28 |
| EP3496436B1 (en) | 2021-03-17 |
| EP3496436A1 (en) | 2019-06-12 |
| US20200322798A1 (en) | 2020-10-08 |
| CN107820234B (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107820234A (zh) | 一种网络漫游保护方法、相关设备及系统 | |
| EP3499933B1 (en) | Network switching protection method, related device and system | |
| CN110493774B (zh) | 密钥配置方法、装置以及系统 | |
| CN100405776C (zh) | Wlan相互连接中的服务和地址管理系统及方法 | |
| JP4369513B2 (ja) | 免許不要移動体接続信号通知のための改善された加入者認証 | |
| CN101606372B (zh) | 支持无uicc呼叫 | |
| EP1770940B1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| CN103188681B (zh) | 数据传输方法、装置及系统 | |
| JP4511529B2 (ja) | 電気通信システム及び方法 | |
| CN107623670B (zh) | 一种网络认证方法、相关设备及系统 | |
| JP2019521612A (ja) | ワイヤレスネットワークにおけるカバレージ及びリソース制限デバイスをサポートするためのレイヤ2リレー | |
| CN101300861B (zh) | 用于把具有接入节点的第二通信网络连接到具有接触节点的第一通信网络的方法 | |
| CN109314638A (zh) | 密钥配置及安全策略确定方法、装置 | |
| MX2008013772A (es) | Metodo y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc. | |
| JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
| Shi et al. | IEEE 802.11 roaming and authentication in wireless LAN/cellular mobile networks | |
| JP6884739B2 (ja) | 識別ユニットに加入者情報をダウンロードする方法 | |
| KR20190000781A (ko) | 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법 | |
| CN108702620A (zh) | 一种安全通信方法及核心网节点 | |
| WO2018014630A1 (zh) | 一种网络认证方法、相关设备及系统 | |
| EP3713186B1 (en) | Techniques for enabling unique utilization of identities within a communication network | |
| EP3565311B1 (en) | Communication method and related system | |
| CN116132983A (zh) | 接入认证方法、装置、终端及核心网 | |
| JP4802238B2 (ja) | ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法 | |
| JP5359677B2 (ja) | ローミングシステム、無線基地局、並びに通信制御方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |