CN107846676A - 基于网络切片安全架构的安全通信方法和系统 - Google Patents

Abstract

本发明提出一种基于网络切片安全架构的安全通信方法，包括：关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片；非关联型网络切片各自设置安全锚点；统一认证中心为用户接入的不同的网络切片的安全锚点设置不同的安全上下文。本发明提供的方法和系统，既可以实现网络切片间安全的独立性，又可以实现具有关联性的网络切片间的安全上下文的共享。

Description

基于网络切片安全架构的安全通信方法和系统

技术领域

本发明涉及移动通信，尤其涉及基于网络切片安全架构的安全通信方法和系统。

背景技术

在下一代移动通信系统中，网络切片作为一个主要的研究议题。运营商可以通过不同网络切片的最优选择，来满足不同的市场的需求。一个网络切片包含一定数量的逻辑网元，来支持具体使用场景的通信服务。UE可以通过不同的接入网络来获取服务，也可以同时接入不同的网络切片来获取服务。下一代网络是一个服务面向性的网络，并且不同的服务具有不同的安全要求。3GPP系统应该能够根据不同网络切片提供的服务，提供不同级别的安全保障。不同网络切片之间是相互隔离的，一个切片的通信不能影响其他切片提供的服务。

在下一代网络中，为了满足不同类型用户的服务，网络中存在多个网络切片，用户接入网络，由网络进行统一认证。用户想要使用网络提供的服务，需要接入一个或者多个网络切片。网络切片从统一认证中心获得安全上下文。为了便于网络切片的安全管理，在每个网络切片中设置一个安全锚点，用于管理网络切片的安全相关的处理。上面的场景会引入两个问题，一是：由于不同的网络切片具有不同的安全等级，相对应的，各安全锚点的安全等级也是不同的，而多个安全锚点从网络中的统一认证中心获取安全上下文，需要保证多个安全锚点之间安全的独立性。二是，有些网络切片间具有关联性，而每次用户接入都向统一认证中心申请安全上下文，将导致资源的浪费和管理的复杂。

发明内容

针对上述问题，本发明提出一种基于网络切片安全架构的安全通信方法，包括：

关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片；

非关联型网络切片各自设置安全锚点；

统一认证中心为用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

进一步地，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理包括：当用户接入所述关联型网络切片中任一网络切片时，如果所述共用的安全锚点本地存在有效的安全上下文，则直接使用该安全上下文，否则向所述统一认证中心申请授权。

进一步地，所述共用安全锚点对所述关联型网络切片的安全上下文进行统一管理还包括：当用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务时，对应的关联型网络切片共用的安全锚点进行一次请求授权。

进一步地，还包括：接入网接收并转发用户的服务请求给提供相应服务的网络切片，所述服务请求携带用户标识和业务标识；网络切片接收到服务请求后，向安全锚点请求安全上下文；安全锚点向统一认证中心请求授权，接收并保存返回的安全上下文，然后将相关安全数据发送给所述网络切片。

进一步地，还包括：如果安全锚点本地有对应的有效安全上下文，则直接将相关安全数据发送给所述网络切片。

进一步地，所述安全上下文的衍生包括如下步骤：统一认证中心产生安全参数，将安全参数和之前的安全上下文作为输入，通过预设的密钥衍生函数生成新的安全上下文；发送新的安全上下文给安全锚点；用户接收安全锚点传递的安全参数，用户根据相同密钥衍生函数产生新的安全上下文；所述安全参数包括但不限于：随机数、时间相关参数、和/或根据安全锚点标示或其他标识产生的参数。

根据相同的构思，本发明还提出一种基于网络切片安全架构的安全通信系统，包括：

网络切片包括关联型网络切片和非关联型网络切片；

所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片，关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；

非关联型网络切片各自具有独立的安全锚点；

统一认证中心为一个用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

本发明的方法和系统实现了不同网络切片间安全上下文的共享，减少安全锚点与统一认证中心之间的交互次数，从而节省网络资源。用户使用关联性业务，各个网络切片只需要由共同的安全锚点进行一次请求授权，减少网络切片请求授权的次数，从而减少不必要的时延。网络中统一认证中心为用户接入的不同网络切片的安全锚点分配不同的安全上下文，保证安全锚点之间安全上下文的独立性，从而减少用户接入的网络切片间的安全的相互影响。

附图说明

图1为本发明实施例中的网络架构示意图；

图2为本发明实施例中用户接入网络切片的接入认证流程示意图；

图3为本发明实施例中用户请求使用网络切片服务的流程示意图；

图4位本发明安全上下文衍生示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例；需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的一个实施例提出一种基于网络切片安全架构的安全通信方法，包括：

关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片；

非关联型网络切片各自设置安全锚点；

统一认证中心为用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

在一个可选实施例中，共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理包括：当用户接入所述关联型网络切片中任一网络切片时，如果所述共用的安全锚点本地存在有效的安全上下文，则直接使用该安全上下文，否则向所述统一认证中心申请授权。

在一个可选实施例中，共用安全锚点对所述关联型网络切片的安全上下文进行统一管理还包括：当用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务时，对应的关联型网络切片由共用的安全锚点进行一次请求授权。

在一个可选实施例中，还包括：接入网接收并转发用户的服务请求给提供相应服务的网络切片，所述服务请求携带用户标识和业务标识；网络切片接收到服务请求后，向安全锚点请求安全上下文；安全锚点向统一认证中心请求授权，接收并保存返回的安全上下文，然后将相关安全数据发送给所述网络切片。

在一个可选实施例中，还包括：如果安全锚点本地有对应的有效安全上下文，则直接将相关安全数据发送给所述网络切片。

在一个可选实施例中，安全上下文的衍生包括如下步骤：

统一认证中心产生安全参数，将安全参数和之前的安全上下文作为输入，通过预设的密钥衍生函数生成新的安全上下文；发送新的安全上下文给安全锚点；

用户接收安全锚点传递的安全参数，用户根据相同密钥衍生函数产生新的安全上下文；

所述安全参数包括但不限于：随机数、时间相关参数、和/或根据安全锚点标示或其他标识产生的参数。

在一个可选实施例中，用户接入网络时还执行接入认证，包括：统一认证中心获取认证过程所需的认证矢量；用户与所述认统一认证中心进行相互认证；用户和所述认统一认证中心根据相互认证过程获得的参数，衍生出安全上下文。

基于相同的构思，本发明的另一个实施例提出一种基于网络切片安全架构的安全通信系统，包括：网络切片包括关联型网络切片和非关联型网络切片；所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片，关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；非关联型网络切片各自具有独立的安全锚点；统一认证中心为一个用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

在一个可选实施例中，共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理包括：当用户接入所述关联型网络切片中任一网络切片时，如果所述共用的安全锚点本地存在有效的安全上下文，则直接使用该安全上下文。

在一个可选实施例中，共用安全锚点对所述关联型网络切片的安全上下文进行统一管理还包括：当用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务时，对应的关联型网络切片由共用的安全锚点进行一次请求授权。

在一个可选实施例中，还包括：接入网接收并转发用户的服务请求给提供相应服务的网络切片，所述服务请求携带用户标识和业务标识；网络切片接收到服务请求后，向安全锚点请求安全上下文；安全锚点向统一认证中心请求授权，接收并保存返回的安全上下文，然后将相关安全数据发送给所述网络切片。

在一个可选实施例中，还包括：如果安全锚点本地有对应的有效安全上下文，则直接将相关安全数据发送给所述网络切片。

在一个可选实施例中，安全上下文的衍生包括：统一认证中心产生安全参数，将安全参数和之前的安全上下文作为输入，通过预设的密钥衍生函数生成新的安全上下文；发送新的安全上下文给安全锚点；用户接收安全锚点传递的安全参数，用户根据相同密钥衍生函数产生新的安全上下文；所述安全参数包括但不限于：随机数、时间相关参数、和/或根据安全锚点标示或其他标识产生的参数。

本发明提供的方法和系统，既可以实现网络切片间安全的独立性，又可以实现具有关联性的网络切片间的安全上下文的共享。

实施例

本实例对应的基于5G移动通信系统的网络切片的安全的实现方法，网络架构图如图1所示，各组成部分的功能说明如下：

UE：5G终端，为了实现用户的不同服务，可以同时接入不同的网络切片。

AAA：存储用户基本信息，用户长期根密钥和网络支持的算法。

Network Slicing,网络切片，不同类型网络切片提供不同的服务，不同的网络切片具有不同的安全要求。

CP-AU:执行与网络中的UE之间的安全认证，与AAA进行信息交互，获取安全信息。

AS:security anchor，安全锚点，管理所属网络切片的安全上下文。

假设网络中有四个网络切片A，B，C和D。四个网络切片分别为用户提供不同类型的服务，四个网络切片根据网元独立型可以分为两种类型：非关联型网络切片和关联型网络切片。其中非关联型网络切片具有完整的控制面和用户面功能实体，网络切片间没有业务或者安全的关联性；关联型网络切片具有功能实体间的共享，或者综合的业务的共同实现，或者相同的安全要求。具有关联性的网络切片具有共同的安全锚点，而非关联型的网络切片具有各自独立的安全锚点。如图1中AS1为网络切片A，B，C的安全锚点，AS1同时为网络切片A,B,C提供安全服务；AS2为网络切片D的安全锚点，仅管理网络切片D的安全处理过程。

请参考图2，本实例所描述的用户接入认证流程，包括：

步骤1、认证执行网元CP-AU向AAA获取用户认证过程中需要的认证矢量。

步骤2、终端向认证执行网元CP-AU执行相互认证流程；

步骤3a-步骤3b、终端和认证执行网元CP-AU根据认证过程获得的参数，衍生出安全上下文。

请参考图3，本实例所描述的用户成功接入网络之后请求使用网络服务的流程，包括：

步骤1、用户成功接入网络；

步骤2、用户请求使用网络服务，并携带用户标识，业务标识等参数；

步骤3、接入网络将该用户服务请求转发给提供该服务的网络切片，该网络切片向其归属的安全锚点AS1请求安全上下文。其中，网络切片X可以A,B,C之中的任一个。

步骤4、AS1首先判断本地是否保存对应请求的服务的有效的安全上下文，如果有(安全锚点保存有该网络切片之前申请的或者相关联的其他网络切片申请的安全上下文，且仍在有效期)，则直接转到步骤7，否则向认证执行网元请求该用户的业务授权。

步骤5、安全锚点携带用户标识及其业务类型向认证执行网元申请授权及安全上下文。

步骤6、认证执行网元根据用户标识判断用户是否有权使用该业务，无权则拒绝。有权则返回应答，携带认证执行网元根据规则衍生的相关安全上下文。

步骤7、安全锚点AS1保存安全上下文，并将相关的安全数据发送给网络切片。

步骤8、网络切片返回服务应答，用户可以安全使用该业务。

图4为本实例所描述的新的安全上下文的衍生图。

认证执行网元为同一用户接入的不同安全锚点分配不同的安全上下文。实现不同安全锚点间安全的独立性。

首先认证执行网元产生安全参数，可以为随机数，或者时间相关的参数或者根据安全锚点标示或其他标识产生的安全参数，然后将安全参数和之前的安全上下文作为输入，通过一个密钥衍生函数，生成新的安全上下文。然后将新的安全上下文发送给安全锚点。安全锚点将安全参数传递给终端，终端根据相同的规则产生新的安全上下文。

在本实施例中，具有业务，安全等级或者共享网络功能等关联性的网络切片均有同一个安全锚点，安全锚点对这些网络切片的安全上下文进行统一管理。如果安全锚点管理多个网络切片，用户接入其中一个网络切片，如果安全锚点保存的安全上下文在有效期内，可以直接使用该安全上下文，而不需要再次向统一认证中心进行获取。对于网络中的统一认证中心而言，用户接入的每个网络切片都是独立的，认证中心为每一个安全锚点设置不同的安全上下文。具有以下优点：实现不同网络切片间安全上下文的共享，可以减少安全锚点与统一认证中心之间的交互次数，从而节省网络资源。用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务，各个网络切片只需要由共同的安全锚点进行一次请求授权，可以减少网络切片请求授权的次数，从而减少不必要的时延。网络中统一认证中心为用户接入的不同网络切片的安全锚点分配不同的安全上下文，保证安全锚点之间安全上下文的独立性，从而减少用户接入的网络切片间的安全的相互影响。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (13)

1.一种基于网络切片安全架构的安全通信方法，其特征在于，包括：

关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片；

非关联型网络切片各自设置安全锚点；

统一认证中心为用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

2.根据权利要求1所述的方法，其特征在于，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理包括：

当用户接入所述关联型网络切片中任一网络切片时，如果所述共用的安全锚点本地存在有效的安全上下文，则直接使用该安全上下文，否则向所述统一认证中心申请授权。

3.根据权利要求1或2所述的方法，其特征在于，所述共用安全锚点对所述关联型网络切片的安全上下文进行统一管理还包括：

当用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务时，对应的关联型网络切片由共用的安全锚点进行一次请求授权。

4.根据权利要求1所述的方法，其特征在于，还包括：

接入网接收并转发用户的服务请求给提供相应服务的网络切片，所述服务请求携带用户标识和业务标识；

网络切片接收到服务请求后，向安全锚点请求安全上下文；

安全锚点向统一认证中心请求授权，接收并保存返回的安全上下文，然后将相关安全数据发送给所述网络切片。

5.根据权利要求4所述的方法，其特征在于，还包括：

如果安全锚点本地有对应的有效安全上下文，则直接将相关安全数据发送给所述网络切片。

6.根据权利要求1所述的方法，其特征在于，所述安全上下文的衍生包括如下步骤：

统一认证中心产生安全参数，将安全参数和之前的安全上下文作为输入，通过预设的密钥衍生函数生成新的安全上下文；发送新的安全上下文给安全锚点；

用户接收安全锚点传递的安全参数，用户根据相同密钥衍生函数产生新的安全上下文；

所述安全参数包括但不限于：随机数、时间相关参数、和/或根据安全锚点标示或其他标识产生的参数。

7.根据权利要求1所述的方法，其特征在于，所述用户接入网络时还执行接入认证，包括：统一认证中心获取认证过程所需的认证矢量；

用户与所述认统一认证中心进行相互认证；

用户和所述认统一认证中心根据相互认证过程获得的参数，衍生出安全上下文。

8.一种基于网络切片安全架构的安全通信系统，其特征在于，包括：

网络切片包括关联型网络切片和非关联型网络切片；

所述关联型网络切片为一组具有业务关联性、相同安全等级和/或共享网络功能的多个网络切片，关联型网络切片共用安全锚点，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理；

非关联型网络切片各自具有独立的安全锚点；

统一认证中心为一个用户接入的不同的网络切片的安全锚点设置不同的安全上下文。

9.根据权利要求8所述的系统，其特征在于，所述共用的安全锚点对所述关联型网络切片的安全上下文进行统一管理包括：

当用户接入所述关联型网络切片中任一网络切片时，如果所述共用的安全锚点本地存在有效的安全上下文，则直接使用该安全上下文。

10.根据权利要求8或9所述的系统，其特征在于，所述共用安全锚点对所述关联型网络切片的安全上下文进行统一管理还包括：

当用户先后使用具有关联性的几种业务或者同时使用具有关联性的一种综合业务时，对应的关联型网络切片由共用的安全锚点进行一次请求授权。

11.根据权利要求8所述的系统，其特征在于，还包括：

接入网接收并转发用户的服务请求给提供相应服务的网络切片，所述服务请求携带用户标识和业务标识；

网络切片接收到服务请求后，向安全锚点请求安全上下文；

安全锚点向统一认证中心请求授权，接收并保存返回的安全上下文，然后将相关安全数据发送给所述网络切片。

12.根据权利要求11所述的系统，其特征在于，还包括：

如果安全锚点本地有对应的有效安全上下文，则直接将相关安全数据发送给所述网络切片。

13.根据权利要求8所述的系统，其特征在于，所述安全上下文的衍生包括：

统一认证中心产生安全参数，将安全参数和之前的安全上下文作为输入，通过预设的密钥衍生函数生成新的安全上下文；发送新的安全上下文给安全锚点；

用户接收安全锚点传递的安全参数，用户根据相同密钥衍生函数产生新的安全上下文；

所述安全参数包括但不限于：随机数、时间相关参数、和/或根据安全锚点标示或其他标识产生的参数。