CN107846275A - 切片网络安全隔离的方法及装置 - Google Patents
切片网络安全隔离的方法及装置 Download PDFInfo
- Publication number
- CN107846275A CN107846275A CN201610835104.3A CN201610835104A CN107846275A CN 107846275 A CN107846275 A CN 107846275A CN 201610835104 A CN201610835104 A CN 201610835104A CN 107846275 A CN107846275 A CN 107846275A
- Authority
- CN
- China
- Prior art keywords
- network security
- section
- section network
- security policy
- cpf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Abstract
本文公布了一种切片网络安全隔离的方法及装置,包括:第一控制面功能实体CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。本文中,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
Description
技术领域
本申请涉及通信领域,具体涉及一种切片网络安全隔离的方法及装置。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)提出了一种网络切片的方案,使得一个物理移动网络可以被虚拟化为多个虚拟的移动网络,每个虚拟移动网络称为切片网络(slice)。终端可以接入多个不同的切片网络,从中获得相应的服务,极大的增加了网络的灵活性。
切片网络的安全隔离,现有技术中可以使网络侧相互隔离,但没有考虑终端访问网络的因素,相关技术中,终端接入物理移动网络及其切片网络的方法如图1所示,该方法的流程包括如下步骤:
步骤101:终端向移动网络发送附着网络请求,比如发送Attach Request消息,携带用户标识和用于选择该终端可接入切片网络的切片网络选择信息,附着网络请求经过无线接入网络(RAN)转发给合适的控制面功能实体(Control Plan Function,CPF);
步骤102:CPF与终端交互,执行认证与密钥协商过程,比如CPF向终端发送UserAuthentication Request消息,终端回应User Authentication Response消息。;
步骤103:CPF与终端交互,执行网络安全激活过程,比如CPF向终端发送SecureMode Command消息,终端回应Secure Mode Complete消息。终端和CPF之间利用该过程传递的参数以及步骤102中传递的参数作为密钥生成参数(如何生成已经定义好了,只需输入不同生成参数),生成各种密钥,比如完整性密钥和机密性密钥,并可以使用这些密钥对消息和数据做完整性和机密性保护;
步骤104:CPF根据切片网络选择信息选择终端可以接入的切片网络;
步骤105:CPF通过RAN向终端发送附着网络接受消息,比如Attach Accept消息,携带新的用户标识和切片网络选择信息。
至此,终端可以使用网络安全上下文(即步骤102和步骤103中生成的各种密钥及其他辅助信息)安全的访问各个切片网络中的功能实体。
相关技术中,终端只能使用相关信息生成一套密钥用于访问物理移动网络及其所有切片网络,使得当终端访问某个切片网络的密钥泄漏后,该密钥可以被用来访问其他切片网络及物理移动网络,导致各切片网络间以及切片网络与物理移动网络间无法真正的实现安全隔离。
发明内容
为了解决上述技术问题,本发明实施例提供了一种切片网络安全隔离的方法及装置。
本申请提供了:
一种切片网络安全隔离的方法,包括:
第一控制面功能实体CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
其中,所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
其中,所述派生信息包含指定密钥是否派生的指示或派生参数。
其中,所述第一CPF向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:
第一发送单元,用于向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
其中,还包括:第一获取单元,用于向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:处理器和存储器;所述存储器用于存储用于切片网络安全隔离的程序,所述处理器用于读取所述用于切片网络安全隔离的程序来执行如下操作:
向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
一种切片网络安全隔离的方法,包括:
第一控制面功能实体CPF接收来自第二CPF的密钥信息;
所述第一CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
其中,所述第一CPF通过所述第二CPF向所述终端发送所述切片网络安全策略。
一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:
第一接收单元,用于接收来自第二CPF的密钥信息;
第二发送单元,用于向所述终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
一种切片网络的密钥协商方法,包括:终端接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
其中,所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
其中,所述派生信息包含指定密钥是否派生的指示或派生参数。
一种用于切片网络密钥协商的装置,应用于终端,包括:第二接收单元,用于接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
一种用于切片网络密钥协商的装置,应用于终端,包括:处理器和存储器;所述存储器用于存储用于切片网络密钥协商的程序,所述处理器用于读取所述用于切片网络密钥协商的程序来执行如下操作:
接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
另一方面,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述切片网络安全隔离的方法。
另一方面,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述一种切片网络的密钥协商方法。
另一方面,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述另一种切片网络的密钥协商方法。
本发明实施例提供的切片网络密钥协商方法及装置、以及切片网络安全隔离方法及装置,网络侧将切片网络安全策略发送至终端,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示,所述切片网络安全策略可以包含与切片网络相关的派生信息或密钥长度信息,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为相关技术中切片网络密钥生成的流程示意图;
图2为本发明实施例切片网络安全隔离方法的流程示意图;
图3为本发明实施例用于切片网络安全隔离的装置的组成结构示意图;
图4为本发明实施例一种切片网络安全隔离方法的流程示意图;
图5为本发明实施例一种用于切片网络安全隔离的装置的组成结构示意图;
图6为本发明实施例另一种用于切片网络密钥协商的装置的组成结构示意图;
图7为本发明实施例中一种切片网络安全隔离的流程示意图;
图8为本发明实施例中另一种切片网络安全隔离的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图2所示,本申请提供一种切片网络安全隔离的方法,包括:
步骤201,第一控制面功能实体CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,所述切片网络由所述切片网络安全策略中的信息指示。
在一些实现方式中,所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
在一些实现方式中,所述派生信息包含指定密钥是否派生的指示或派生参数。
在一些实现方式中,在步骤201之前,还可以包括:步骤200,所述第一CPF向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
如图3所示,本申请相应提供一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:
第一发送单元31,用于向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
在一些实现方式中,还可以包括:第一获取单元32,用于向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
相应的,本申请还提供一种用于切片网络安全隔离的装置,应用于第一CPF,包括:处理器和存储器;所述存储器用于存储用于切片网络安全隔离的程序,所述处理器用于读取所述用于切片网络安全隔离的程序来执行如下操作:向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
本申请中,网络侧将切片网络安全策略发送至终端,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示,所述切片网络安全策略可以包含与切片网络相关的派生信息或密钥长度信息。如此,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
如图4所示,本申请还提供了一种切片网络安全隔离的方法,包括:
步骤401,第一CPF接收来自第二CPF的密钥信息;
步骤402,第一CPF向所述终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
在一种实现方式中,所述第一CPF通过所述第二CPF向所述终端发送所述切片网络安全策略。
相应的,如图5所示,本申请还提供了一种用于切片网络密钥协商的装置,应用于第一控制面功能实体CPF,包括:
第一接收单元51,用于接收来自第二CPF的密钥信息;
第二发送单元52,用于向所述终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
在一种实现方式中,所述第二发送单元52可用于通过所述第二CPF向所述终端发送所述切片网络安全策略。
相应的,本申请还提供一种用于切片网络密钥协商的装置,应用于第一CPF,包括:处理器和存储器;所述存储器用于存储用于切片网络密钥协商的程序,所述处理器用于读取所述用于切片网络密钥协商的程序来执行如下操作:第一CPF接收来自第二CPF的密钥信息;第一CPF向所述终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
本申请中,网络侧在接收到来自第二CPF的密钥信息之后,通过第二CPF将切片网络安全策略发送至终端,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示,所述切片网络安全策略可以包含与切片网络相关的派生信息或密钥长度信息。如此,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
本申请还提供一种应用于终端侧的切片网络的密钥协商方法,可以包括:终端接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
在一种实现方式中,所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
在一种实现方式中,所述派生信息包含指定密钥是否派生的指示或派生参数。
相应的,如图6所示,本申请还提供一种应用于终端的用于切片网络密钥协商的装置,包括:
第二接收单元,用于接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
相应的,还提供一种用于切片网络密钥协商的装置,应用于终端,包括:处理器和存储器;所述存储器用于存储用于切片网络密钥协商的程序,所述处理器用于读取所述用于切片网络密钥协商的程序来执行如下操作:
接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
本申请中,终端通过接收来自网络侧的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示,所述切片网络安全策略可以包含与切片网络相关的派生信息或密钥长度信息,使得网络侧和终端能够分别针对不同的切片网络生成其专用的密钥,使得每个切片网络都有且专用的安全保护手段,实现了切片网络间的安全隔离,提高了切片网络通信的安全性。
图7是本发明实施例一种切片网络密钥安全隔离的流程图,该流程包括:
步骤701,终端向移动网络发送附着网络请求,比如发送Attach Request消息,消息经过无线接入网络(RAN)转发至CPF;
其中,附着网络请求消息中可携带用户标识、切片网络选择信息等。实际应用中,用户标识可以是国际移动用户识别码(IMSI,International Mobile SubscriberIdentity)或网络分配的临时用户标识等。其中,切片网络选择信息可用于辅助网络侧选择终端可接入的切片网络。
步骤702,CPF与所述终端之间执行认证与密钥协商过程。
具体的,可以通过执行认证与密钥协商协议(Authentication and KeyAgreement,AKA)来实现所述相互认证,比如CPF向终端发送User Authentication Request消息,终端回应User Authentication Response消息。
步骤703,CPF与终端之间执行网络安全激活过程;
例如,网络安全激活过程可以包括:CPF向终端发送安全模式命令(Secure ModeCommand)消息,终端再向CPF响应安全模式完成(Secure Mode Complete)消息。
在该网络安全激活过程中,终端和CPF之间利用该过程传递的参数以及步骤702中传递的参数作为密钥生成参数(如何生成已经定义好了,只需输入不同生成参数),生成各种密钥,比如完整性密钥和机密性密钥,并可以使用这些密钥对消息和数据做完整性和机密性保护。
步骤704,CPF为终端选择其可接入的切片网络;
实际应用中,CPF可以根据切片网络选择信息为终端选择可接入的切片网络。切片网络选择信息中指示的切片网络不一定都被选择。
步骤705,CPF通过RAN向终端发送附着网络接受消息,比如发送Attach Accept消息,附着网络接受消息携带新的用户标识(比如CPF为该终端分配的新的临时用户标识)和切片网络选择信息,还携带切片网络安全策略。具体的,切片网络安全策略用于生成与该终端和切片网络相关的密钥集合,其中切片网络由切片网络安全策略中的信息指示,切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息等。
其中,派生信息包含指定密钥是否派生的指示或派生参数,或还携带相应的派生算法标识。
以下为切片网络安全策略的用法举例:
网络安全上下文中的各个密钥可以有一个相应的密钥标识,切片网络中的安全上下文中的密钥与网络安全上下文中的密钥可以相互对应。
A、某个切片网络的某个密钥对应的派生指示为“是”,则该密钥的生成通过密钥生成算法计算,算法以网络安全上下文中相应的密钥,该切片的相应切片网络选择信息作为参数。如果还有对应的派生算法标识,则使用相应的派生算法,而不是预先规定的派生算法;
B、某个切片网络的某个密钥对应有派生参数(可以没有派生指示),当采用密钥标识作为派生参数时,该密钥的密钥生成算法以网络安全上下文中与密钥标识相对应的密钥,该切片的相应切片网络选择信息作为参数,当采用其他信息作为派生参数时,则该密钥的密钥生成算法以网络安全上下文中与相应的密钥,该派生参数作为参数。两种类型的派生参数可以同时存在;
C、某个切片网络的某个密钥对应有密钥长度,则该密钥为网络安全上下文中相应的密钥截取相应长度后的值,如果结合A和B的情况,则该密钥为密钥生成算法计算的结果截取相应长度后的值。
上述实施方式还可以是:步骤703在步骤704之后,并在步骤703中的安全模式命令消息中携带切片网络安全策略。
本实施例中,终端如果访问某个切片网络时,有能力根据切片网络安全策略中的相应信息决定如何生成与该切片网络相关的安全上下文,最终使得不同切片网络可以有不同的安全上下文,实现了切片网络间的真正隔离。
图8是本发明实施例中另一种切片网络安全隔离的流程图,该流程包括:
步骤801,终端向移动网络发送附着网络请求,比如发送Attach Request消息,附着网络请求消息经过无线接入网络(RAN)转发至CPF1;
其中,附着网络请求消息中可携带用户标识、切片网络选择信息等。实际应用中,所述用户标识可以是国际移动用户识别码(IMSI,International Mobile SubscriberIdentity)或网络分配的临时用户标识等。其中,切片网络选择信息可用于辅助网络侧选择终端可接入的切片网络。
步骤802,CPF1与所述终端之间执行认证与密钥协商过程。
具体的,可以通过执行认证与密钥协商协议(Authentication and KeyAgreement,AKA)来实现所述相互认证,比如CPF向终端发送User Authentication Request消息,终端回应User Authentication Response消息。
步骤803,CPF1与终端之间执行网络安全激活过程;
例如,网络安全激活过程可以包括:CPF向终端发送安全模式命令(Secure ModeCommand)消息,终端再向CPF响应安全模式完成(Secure Mode Complete)消息。
在该网络安全激活过程中,终端和CPF1之间利用该过程传递的参数以及步骤802中传递的参数作为密钥生成参数(如何生成已经定义好了,只需输入不同生成参数),生成各种密钥,比如完整性密钥和机密性密钥,并可以使用这些密钥对消息和数据做完整性和机密性保护。
步骤804,CPF1根据该附着请求中的信息判断CPF2更适合处理该附着请求,于是向CPF2发送转发附着网络请求,比如发送Forward Attach Request消息,该消息携带一组密钥,这些密钥来自CPF1中针对该终端的密钥,这些密钥由CPF1根据步骤802或步骤803中传递的信息生成;
步骤805,CPF2为该终端选择其可接入的切片网络;
实际应用中,CPF可以根据切片网络选择信息为终端选择可接入的切片网络。该切片网络选择信息中指示的切片网络不一定都被选择。
步骤806,CPF2向CPF1发送转发附着网络接受,比如发送Forward Attach Accept消息,该消息携带新的用户标识(比如CPF2为该终端分配的新的临时用户标识)和切片网络选择信息,还携带切片网络安全策略;
具体的,切片网络安全策略参考图2中步骤205中的描述。
步骤807,CPF1通过RAN向终端发送附着网络接受消息,携带从步骤806中得到的切片网络安全策略。
本实施例的另一种实施方案是步骤803在步骤805之后,并由CPF2执行步骤803,在步骤803中的安全模式命令消息中携带切片网络安全策略。
此外,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述切片网络安全隔离的方法。
此外,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述一种切片网络的密钥协商方法。
此外,本申请实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令被执行时实现上述另一种切片网络的密钥协商方法。
可选地,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,在本实施例中,处理器根据存储介质中已存储的程序代码执行上述实施例的方法步骤。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,例如通过集成电路来实现其相应功能,也可以采用软件功能模块的形式实现,例如通过处理器执行存储于存储器中的程序/指令来实现其相应功能。本申请不限制于任何指定形式的硬件和软件的结合。
以上显示和描述了本申请的基本原理和主要特征和本申请的优点。本申请不受上述实施例的限制,上述实施例和说明书中描述的只是说明本申请的原理,在不脱离本申请精神和范围的前提下,本申请还会有各种变化和改进,这些变化和改进都落入要求保护的本申请范围内。
Claims (15)
1.一种切片网络安全隔离的方法,包括:
第一控制面功能实体CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
2.根据权利要求1所述的方法,其特征在于,
所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
3.根据权利要求2所述的方法,其特征在于,
所述派生信息包含指定密钥是否派生的指示或派生参数。
4.根据权利要求1所述的方法,其特征在于,
所述第一CPF向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
5.一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:
第一发送单元,用于向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
6.根据权利要求5所述的装置,其特征在于,还包括:
第一获取单元,用于向第二CPF发送密钥信息,并接收来自所述第二CPF的所述切片网络安全策略。
7.一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:处理器和存储器;其特征在于,所述存储器用于存储用于切片网络安全隔离的程序,所述处理器用于读取所述用于切片网络安全隔离的程序来执行如下操作:
向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
8.一种切片网络安全隔离的方法,包括:
第一控制面功能实体CPF接收来自第二CPF的密钥信息;
所述第一CPF向终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
9.根据权利要求8所述的方法,其特征在于,
所述第一CPF通过所述第二CPF向所述终端发送所述切片网络安全策略。
10.一种用于切片网络安全隔离的装置,应用于第一控制面功能实体CPF,包括:
第一接收单元,用于接收来自第二CPF的密钥信息;
第二发送单元,用于向所述终端发送切片网络安全策略,所述切片网络安全策略用于生成与所述终端和切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
11.一种切片网络的密钥协商方法,包括:
终端接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
12.根据权利要求7所述的方法,其特征在于,
所述切片网络安全策略包含与切片网络相关的派生信息或密钥长度信息。
13.根据权利要求8所述的方法,其特征在于,
所述派生信息包含指定密钥是否派生的指示或派生参数。
14.一种用于切片网络密钥协商的装置,应用于终端,包括:
第二接收单元,用于接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
15.一种用于切片网络密钥协商的装置,应用于终端,包括:处理器和存储器;其特征在于,所述存储器用于存储用于切片网络密钥协商的程序,所述处理器用于读取所述用于切片网络密钥协商的程序来执行如下操作:
接收来自第一CPF的切片网络安全策略,所述切片网络安全策略用于生成与切片网络相关的密钥集合,其中所述切片网络由所述切片网络安全策略中的信息指示。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610835104.3A CN107846275A (zh) | 2016-09-20 | 2016-09-20 | 切片网络安全隔离的方法及装置 |
PCT/CN2017/100757 WO2018054220A1 (zh) | 2016-09-20 | 2017-09-06 | 切片网络安全隔离的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610835104.3A CN107846275A (zh) | 2016-09-20 | 2016-09-20 | 切片网络安全隔离的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107846275A true CN107846275A (zh) | 2018-03-27 |
Family
ID=61656709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610835104.3A Pending CN107846275A (zh) | 2016-09-20 | 2016-09-20 | 切片网络安全隔离的方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN107846275A (zh) |
WO (1) | WO2018054220A1 (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
WO2019201017A1 (zh) * | 2018-04-19 | 2019-10-24 | 华为技术有限公司 | 一种安全算法的协商方法及装置 |
US10616934B2 (en) | 2017-12-08 | 2020-04-07 | Comcast Cable Communications, Llc | User plane function selection for isolated network slice |
US10764789B2 (en) | 2017-08-11 | 2020-09-01 | Comcast Cable Communications, Llc | Application-initiated network slices in a wireless network |
US11134424B2 (en) | 2017-05-04 | 2021-09-28 | Comcast Cable Communications, Llc | Communications for network slicing using resource status information |
US11153813B2 (en) | 2017-08-11 | 2021-10-19 | Comcast Cable Communications, Llc | Network slice for visited network |
CN113596823A (zh) * | 2021-07-27 | 2021-11-02 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022011578A1 (en) * | 2020-07-15 | 2022-01-20 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for isolation support in network slicing |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090205046A1 (en) * | 2008-02-13 | 2009-08-13 | Docomo Communications Laboratories Usa, Inc. | Method and apparatus for compensating for and reducing security attacks on network entities |
-
2016
- 2016-09-20 CN CN201610835104.3A patent/CN107846275A/zh active Pending
-
2017
- 2017-09-06 WO PCT/CN2017/100757 patent/WO2018054220A1/zh active Application Filing
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11134424B2 (en) | 2017-05-04 | 2021-09-28 | Comcast Cable Communications, Llc | Communications for network slicing using resource status information |
US11889370B2 (en) | 2017-05-04 | 2024-01-30 | Comcast Cable Communications, Llc | Handover procedure using resource status information |
US10764789B2 (en) | 2017-08-11 | 2020-09-01 | Comcast Cable Communications, Llc | Application-initiated network slices in a wireless network |
US11153813B2 (en) | 2017-08-11 | 2021-10-19 | Comcast Cable Communications, Llc | Network slice for visited network |
US11412418B2 (en) | 2017-08-11 | 2022-08-09 | Comcast Cable Communications, Llc | Third party charging in a wireless network |
US11690005B2 (en) | 2017-08-11 | 2023-06-27 | Comcast Cable Communications, Llc | Network slice for visited network |
US11818608B2 (en) | 2017-08-11 | 2023-11-14 | Comcast Cable Communications, Llc | Third party charging in a wireless network |
US11102828B2 (en) | 2017-12-08 | 2021-08-24 | Comcast Cable Communications, Llc | User plane function selection for isolated network slice |
US10616934B2 (en) | 2017-12-08 | 2020-04-07 | Comcast Cable Communications, Llc | User plane function selection for isolated network slice |
WO2019201017A1 (zh) * | 2018-04-19 | 2019-10-24 | 华为技术有限公司 | 一种安全算法的协商方法及装置 |
CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
CN110087239B (zh) * | 2019-05-20 | 2020-10-13 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
CN113596823A (zh) * | 2021-07-27 | 2021-11-02 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
CN113596823B (zh) * | 2021-07-27 | 2022-10-11 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2018054220A1 (zh) | 2018-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107846275A (zh) | 切片网络安全隔离的方法及装置 | |
CN109462847B (zh) | 安全实现方法、相关装置以及系统 | |
JP6769014B2 (ja) | セキュリティ保護ネゴシエーション方法およびネットワークエレメント | |
CN107666666B (zh) | 密钥的衍生方法及装置 | |
EP3337088B1 (en) | Data encryption method, decryption method, apparatus, and system | |
CN103415008A (zh) | 一种加密通信方法和加密通信系统 | |
CN106134231A (zh) | 密钥生成方法、设备及系统 | |
CN104885519A (zh) | 分流方法、用户设备、基站和接入点 | |
CN105101158A (zh) | Profile切换方法、信号强度检测方法及设备 | |
US11647390B2 (en) | Information exchange method and apparatus | |
CN107483383A (zh) | 一种数据处理方法、终端及后台服务器 | |
CN103458400A (zh) | 一种语音加密通信系统中的密钥管理方法 | |
CN110417563A (zh) | 一种网络切片接入的方法、装置和系统 | |
CN109729000B (zh) | 一种即时通信方法及装置 | |
KR20180006664A (ko) | 의료 기기, 게이트웨이 기기 및 이를 이용한 프로토콜 보안 방법 | |
CN107359989A (zh) | 数据加密方法、安全芯片及计算机可读存储介质 | |
US9756504B2 (en) | Security authentication method, device, and system | |
CN107846676A (zh) | 基于网络切片安全架构的安全通信方法和系统 | |
CN108738015A (zh) | 网络安全保护方法、设备及系统 | |
Lin et al. | Research on PUF-based security enhancement of narrow-band Internet of Things | |
CN109302425A (zh) | 身份认证方法及终端设备 | |
CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
CN111404666B (zh) | 一种密钥生成方法、终端设备及网络设备 | |
US20230336998A1 (en) | Safe mode configuration method, device and system, and computer-readable storage medium | |
JP6096327B2 (ja) | ユーザデバイスとサーバとの間の通信を準備する方法およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180327 |
|
WD01 | Invention patent application deemed withdrawn after publication |