CN110167018A - 一种安全保护的方法、装置及接入网设备 - Google Patents
一种安全保护的方法、装置及接入网设备 Download PDFInfo
- Publication number
- CN110167018A CN110167018A CN201810143062.6A CN201810143062A CN110167018A CN 110167018 A CN110167018 A CN 110167018A CN 201810143062 A CN201810143062 A CN 201810143062A CN 110167018 A CN110167018 A CN 110167018A
- Authority
- CN
- China
- Prior art keywords
- user face
- access network
- network equipment
- message
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 166
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 201
- 230000006854 communication Effects 0.000 claims abstract description 44
- 238000004891 communication Methods 0.000 claims abstract description 43
- 230000009977 dual effect Effects 0.000 claims description 89
- 238000012545 processing Methods 0.000 claims description 29
- 230000004044 response Effects 0.000 claims description 14
- 238000005516 engineering process Methods 0.000 abstract description 24
- 230000006870 function Effects 0.000 description 56
- 230000011664 signaling Effects 0.000 description 36
- 238000013461 design Methods 0.000 description 32
- 230000008569 process Effects 0.000 description 18
- 230000005540 biological transmission Effects 0.000 description 16
- 238000012795 verification Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 238000012790 confirmation Methods 0.000 description 9
- 102100023078 Early endosome antigen 1 Human genes 0.000 description 7
- 101001050162 Homo sapiens Early endosome antigen 1 Proteins 0.000 description 7
- 238000010168 coupling process Methods 0.000 description 7
- 238000005859 coupling reaction Methods 0.000 description 7
- 238000005314 correlation function Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 6
- 230000007774 longterm Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 108010062804 fibroblast migration inhibitory factor Proteins 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0069—Transmission or use of information for re-establishing the radio link in case of dual connectivity, e.g. decoupled uplink/downlink
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/16—Performing reselection for specific purposes
- H04W36/22—Performing reselection for specific purposes for handling the traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/15—Setup of multiple wireless link connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/27—Transitions between radio resource control [RRC] states
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请的实施例提供一种安全保护的方法、装置及接入网设备,涉及通信技术领域,用以解决现有技术中无法实现对用户面安全保护的按需开启的问题。该方法包括:第一接入网设备接收来自第二接入网设备的第一消息,第一消息携带用户面安全策略,用户面安全策略用于指示:第一接入网设备待开启的用户面安全保护类型,然后若第一接入网设备能够识别待开启的用户面安全保护类型,则第一接入网设备根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥;或者,若第一接入网设备不能识别待开启的用户面安全保护类型,则第一接入网设备选择默认的用户面安全算法,并确定默认的用户面安全算法对应的用户面密钥。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种安全保护的方法、装置及接入网设备。
背景技术
在双连接架构中,终端可同时接入主站和从站。在长期演进(long termevolution,LTE)的双连接架构中主站和从站均为第四代(4th generation,4G)网络中的演进节点B(evolved NodeB,eNB或eNodeB)。这种架构中,主站可以表示为master eNodeB或MeNB,从站可以表示为secondary eNodeB或SeNB。类似于LTE,第五代(5th generation,5G)网络也可支持双连接技术。在5G网络的双连接架构中,主站和从站可均为5G网络的下一代基站节点(next generation node basestation,gNB);或者,主站为5G网络的gNB,从站为4G网络的eNB;或者,主站为4G网络的eNB,从站为5G网络的gNB。
在双连接架构中,网络侧设备可以通过主站和从站向终端发送用户面数据。在4G网络中,是否开启用户面安全保护是固定的,因此,在LTE的双连接架构中,从站是否开启用户面安全保护是确定的。而在5G网络中,可以按需开启用户面安全保护。所以在5G网络的双连接架构中,若5G网络沿用4G的双连接技术,则无法实现对用户面安全保护的按需开启。
发明内容
本申请提供一种安全保护的方法、装置及接入网设备,用以解决现有技术中无法实现对用户面安全保护的按需开启的问题。
第一方面,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,该场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,该方法包括:
第一接入网设备接收来自第二接入网设备的第一消息,第一消息携带用户面安全策略,用户面安全策略用于指示:第一接入网设备待开启的用户面安全保护类型;若第一接入网设备能够识别该用户面安全策略,则第一接入网设备根据该用户面安全策略确定用户面安全算法;或者,若第一接入网设备不能识别用户面安全策略,则第一接入网设备根据默认的用户面安全策略确定用户面安全算法。可选地,第一接入网设备还可以确定用户面安全算法对应的用户面密钥。采用该方法,在第一接入网设备可以识别来自第二接入网设备的用户面安全策略的情况下,第一接入网设备可根据来自第二接入网设备的用户面安全策略确定用户面安全算法,实现了用户面安全算法的按需开启,若第一接入网设备不能识别来自第二接入网设备的用户面安全策略,第一接入网设备还可以根据默认的用户面安全策略确定用户面安全算法,保障了第一接入网设备与终端之间传输的用户面数据的安全性。
其中,第一接入网设备可以为SN,SN为双连接或多连接的从站,SN可以是5G基站gNB或4G基站eNB,还可以是non-3GPP接入技术,比如wifi接入技术,固网接入技术;或者non-3GPP接入技术的具有网关功能的网元,如5G网络的N3IWF网元,4G网络的ePDG,或5G固网接入的FMIF。eNB又可以分为增强型的eNB或原始型的eNB,增强型的eNB还可以称为updated eNB,原始型的eNB还可以称为legacy eNB。增强型的eNB是指这个eNB可以识别5GgNB能够识别的信令,也具有5G gNB具有的相关功能,比如,支持Xn接口,并可以识别Xn接口的所有内容;再比如,支持用户面完整性保护,并能够识别安全策略。
第二接入网设备可以为MN,MN为双连接或多连接的主要站点(即主站),其作用可以是决定是否启用双连接或多连接模式为终端设备做转发数据的服务,还可以是与核心网控制面网元做唯一交互的站点。可选地,MN可以为5G基站gNB;或者4G基站LTE eNB;4G增强基站e-eNB,NR-eNB;还可以是non-3GPP接入技术,比如wifi接入技术,固网接入技术;或者non-3GPP接入技术的具有网关功能的网元,如5G网络的N3IWF网元,4G网络的ePDG,或5G固网接入的FMIF。
在一种可能的设计中,第一消息还携带用户面安全策略对应的粒度信息。进而使得第一接入网设备和第二接入网设备对同一个粒度下的用户面数据使用相同类型的用户面安全算法进行安全保护,不会出现终端需要对同一个粒度下的用户面数据使用不同类型的用户面安全算法进行安全验证的情况,不会增加终端处理的复杂度。
可选地,用户面安全策略对应的粒度信息代表用户面安全策略可以被使用的粒度,粒度信息可以为PDU会话标识、QoS参数(比如QFI)、切片信息(比如切片标识)、五元组信息和DN信息中的任意一项或多项。
在一种可能的设计中,第一接入网设备还可以向第二接入网设备发送第二消息,第二消息为第一消息的响应消息,第二消息携带第一指示信息,第一指示信息用于指示:终端待开启的用户面安全保护类型。通过该方法,第一接入网设备确定用户面安全算法后,通知终端待开启的用户面安全保护类型,可以使得终端与第一接入网设备开启相同的用户面安全保护类型,从而终端能够对通过第一接入网设备进行安全保护的用户面数据进行安全验证。
可选地,第一指示信息指示的终端待开启的用户面安全保护类型,和用户面策略指示的第一接入网设备待开启的用户面安全保护类型可以相同也可以不同。若第一接入网设备根据用户面安全策略确定用户面安全算法,则第一指示信息指示的终端待开启的用户面安全保护类型,和用户面安全策略指示的第一接入网设备待开启的用户面安全保护类型相同。若第一接入网设备未根据用户面安全策略确定用户面安全算法,则第一指示信息指示的终端待开启的用户面安全保护类型,和用户面安全策略指示的第一接入网设备待开启的用户面安全保护类型不同。
在一种可能的设计中,第二消息还携带第一接入网设备确定的用户面安全算法和第一指示信息对应的粒度信息之一或全部。可以理解的,第二接入网设备接收到第二消息后,可将第一接入网设备确定的用户面安全算法和第一指示信息对应的粒度信息之一或全部发送给终端,进而终端可与第一接入网设备使用相同的用户面安全算法生成用户面密钥,并根据粒度信息对接收到的用户面数据进行安全验证。
在一种可能的设计中,第一消息还携带双连接的分流类型,分流类型为从站分流或双站分流。
其中,从站分流是指使用从站的用户面密钥对UPF网元需发送给终端的用户面数据进行安全保护,双站分流为主站转发给终端的数据通过主站的用户面进行安全保护,从站转发给终端的数据使用从站的用户面进行安全保护。
在一种可能的设计中,第一接入网设备还可以向终端发送第三消息,第三消息携带第二指示信息,第二指示信息用于指示:终端待开启的用户面安全保护类型。采用该方法,第一接入网设备可直接通知终端待开启的用户面安全保护类型,无需经过第二接入网设备转发,减少了信令开销,且终端与第一接入网设备开启相同的用户面安全保护类型,从而终端能够对通过第一接入网设备进行安全保护的用户面数据进行安全验证。
在一种可能的设计中,第三消息还携带第一接入网设备确定的用户面安全算法和第二指示信息对应的粒度信息之一或全部。
在一种可能的设计中,分流类型为主站分流,第一接入网设备可接收来自第二接入网设备的第四消息,第四消息携带分流类型。其中,主站分流是指主站对UPF网元需要发送给终端的用户面数据进行安全保护。采用该方法,第二接入网设备可通过第四消息通知第一接入网设备分流类型为主站分流,进而第一接入网设备就无需确认用户面安全算法。
第二方面,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,该场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,该方法包括:
第二接入网设备获取用户面安全策略,然后第二接入网设备向第一接入网设备发送第一消息,第一消息携带用户面安全策略。其中,用户面安全策略用于指示:第二接入网设备待开启的用户面安全保护类型。采用该方法,第二接入网设备通过向第一接入网设备发送第一消息,可以指示第一接入网设备待开启的用户面安全保护类型,进而第一接入网设备可根据来自第二接入网设备的用户面安全策略确定用户面安全算法,实现了用户面安全算法的按需开启。
在一种可能的设计中,第一消息还携带用户面安全策略对应的粒度信息。进而使得第一接入网设备和第二接入网设备对同一个粒度下的用户面数据使用相同类型的用户面安全算法进行安全保护,不会出现终端需要对同一个粒度下的用户面数据使用不同类型的用户面安全算法进行安全验证的情况,不会增加终端处理的复杂度。
在一种可能的设计中,第一消息还携带双连接的分流类型,分流类型为从站分流或双站分流。
在一种可能的设计中,第二接入网设备还可以接收来自第一接入网设备的第二消息,第二消息为第一消息的响应消息,第二消息携带第一指示信息,第一指示信息用于指示:终端待开启的用户面安全保护类型。
在一种可能的设计中,在第二接入网设备接收来自第一接入网设备的第二消息之后,第二接入网设备可以向终端发送第三消息,第三消息携带第二指示信息,第二指示信息用于指示:终端待开启的用户面安全保护类型。通过该方法,第一接入网设备确定用户面安全算法后,通知终端待开启的用户面安全保护类型,可以使得终端与第一接入网设备开启相同的用户面安全保护类型,从而终端能够对通过第一接入网设备进行安全保护的用户面数据进行安全验证。
在一种可能的设计中,在第二接入网设备向终端发送第三消息之前,若第一指示信息与用户面安全策略一致,则第二接入网设备将第一指示信息确定为第二指示信息;或者,若第一指示信息与用户面安全策略不一致,则第二接入网设备拒绝第一接入网设备接入。采用该方法,第二接入网设备在通知终端待开启的用户面安全保护类型之前,对第一指示信息进行检查,可以确保终端与第一接入网设备开启相同的用户面安全保护类型。
在一种可能的设计中,在第二接入网设备向终端发送第三消息之前,第二接入网设备检查是否接收到来自第一接入网设备的第一指示信息,若第二接入网设备接收到来自第一接入网设备的第一指示信息,则将第一指示信息确定为第二指示信息;若第二接入网设备未接收到来自第一接入网设备的第二指示信息,则根据第一消息判断第一接入网设备是否为legacy eNB,若是,则检查用户面安全策略。
若用户面安全策略为开启用户面加密保护,不开启用户面完整性保护,则第二接入网设备根据用户面安全策略生成第二指示信息,第二指示信息用于指示终端开启用户面加密保护,不开启用户面完整性保护;或者,
若用户面安全策略为不开启用户面加密保护,开启用户面完整性保护,则第二接入网设备拒绝第一接入网设备接入;或者,
若用户面安全策略为不开启用户面加密保护,开启用户面完整性保护,则第二接入网设备修改用户面安全策略,将用户面安全策略修改为开启用户面加密保护,不开启用户面完整性保护,进而根据修改后的用户面安全策略生成第二指示信息,第二指示信息用于指示终端开启用户面加密保护,不开启用户面完整性保护。
在另一种可能的设计中,在第二接入网设备向终端发送第三消息之前,第二接入网设备判断是否允许用户面安全策略与第一指示信息不一致;
若第二接入网设备允许用户面安全策略与第一指示信息不一致,则将第一指示信息作为第二指示信息;或者,
若第二接入网设备不允许用户面安全策略与第一指示信息不一致,且第二接入网设备确定第一指示信息与用户面安全策略一致,则将第一指示信息作为第二指示信息;或者,
若第二接入网设备不允许用户面安全策略与第一指示信息不一致,且第二接入网设备确定第一指示信息与用户面安全策略不一致,则第二接入网设备拒绝第一接入网设备接入。
在一种可能的设计中,分流类型为从站分流,在第二接入网设备接收来自第一接入网设备的第二消息之后,第二接入网设备可以将第一指示信息作为第二指示信息。
在一种可能的设计中,在第二接入网设备向第一接入网设备发送第一消息之前,第二接入网设备可确定双连接的分流类型为从站分流。
第三方面,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,该场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,该方法包括:第一接入网设备向核心网设备发送第一消息,第一消息用于请求获取用户面安全策略,用户面安全策略用户用于指示待开启的用户面安全保护类型,然后第一接入网设备接收来自核心网设备的第二消息,第二消息携带用户面安全策略,进而第一接入网设备根据用户面安全策略确定用户面安全算法。采用该方法,第一接入网设备可向核心网设备请求获取用户面安全策略,进而根据用户面安全策略确定用户面安全算法,即第一接入网设备不是直接开启固定的用户面安全保护类型,而是根据用户面安全策略确定开启的用户面安全保护类型,实现了用户面安全保护的按需开启。
可选地,第一接入网设备为SN,第二接入网设备为MN,核心网设备为SMF网元。
第一接入网设备向核心网设备发送第一消息,具体实现为:第一接入网设备向AMF网元发送第一消息,进而AMF网元向SMF网元转发第一消息。
核心网设备向第一接入网设备发送第二消息,具体实现为:SMF网元向AMF网元发送第二消息,AMF网元向第一接入网设备转发第二消息。
在一种可能的设计中,第一接入网设备根据用户面安全算法确定用户面密钥。
在一种可能的设计中,在第一接入网设备向核心网设备发送第一消息之前,第一接入网设备接收来自第二接入网设备的第三消息,第三消息携带用户面安全保护的粒度信息。
可选地,核心网设备可根据该粒度信息选择该粒度信息对应的用户面安全策略,即第二消息中的用户面安全策略为该粒度信息对应的用户面安全策略。
在一种可能的设计中,在第一接入网设备根据用户面安全策略确定用户面安全算法之后,第一接入网设备可向终端发送指示信息,指示信息用于指示:终端待开启的用户面安全保护类型。
可选地,用户面安全策略指示的第一接入网设备待开启的用户面安全保护类型,和指示信息指示的终端待开启的用户面安全保护类型相同,但用户面安全策略的指示方法和指示信息的指示方法可以相同,也可以不同。
第四方面,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,该场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,该方法包括:核心网设备接收来自第一接入网设备的第一消息,第一消息用于请求获取用户面安全策略,用户面安全策略用户用于指示待开启的用户面安全保护类型,然后核心网设备向第一接入网设备发送用户面安全策略,用户面安全策略。采用该方法,第一接入网设备可向核心网设备请求获取用户面安全策略,核心网设备可向第一接入网设备提供用户面安全策略,使得第一接入网设备能够根据用户面安全策略确定用户面安全算法,即第一接入网设备不是直接开启固定的用户面安全保护类型,而是根据用户面安全策略确定开启的用户面安全保护类型,实现了用户面安全保护的按需开启。
在一种可能的设计中,第一消息中还携带粒度信息,核心网设备可根据粒度信息确定用户面安全策略,进而向第一接入网设备发送第二消息,第二消息携带该粒度信息对应的用户面安全策略。
第五方面,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,该场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,该方法包括:终端接收来自第一接入网设备或第二接入网设备的指示信息,该指示信息用于指示:终端待开启的用户面安全保护类型,然后终端根据指示信息确定用户面安全算法。采用该方法,终端可根据指示信息确定用户面安全算法,从而与第一接入网设备使用相同的安全算法,进而可以对通过第一接入网设备进行安全保护的用户面数据进行安全验证。
第六方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中第一接入网设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为第一接入网设备,或者可以为第一接入网设备中的芯片。
在一种可能的设计中,该装置为接入网设备,该接入网设备为第一接入网设备,第一接入网设备包括处理器,所述处理器被配置为支持第一接入网设备执行上述方法中相应的功能。进一步地,第一接入网设备还可以包括发射器和接收器,所述发射器和接收器用于支持第一接入网设备与终端、第二接入网设备和核心网设备之间的通信。进一步的,第一接入网设备还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第七方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中第二接入网设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为第二接入网设备,或者可以为第二接入网设备中的芯片。
在一种可能的设计中,该装置为接入网设备,该接入网设备为第二接入网设备,第二接入网设备包括处理器,所述处理器被配置为支持第二接入网设备执行上述方法中相应的功能。进一步地,第二接入网设备还可以包括发射器和接收器,所述发射器和接收器用于支持第二接入网设备与终端、第一接入网设备和核心网设备之间的通信。进一步的,第二接入网设备还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第八方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中核心网设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为核心网设备,或者可以为核心网设备中的芯片。
在一种可能的设计中,该装置为核心网设备,核心网设备包括处理器,所述处理器被配置为支持核心网设备执行上述方法中相应的功能。进一步地,核心网设备还可以包括发射器和接收器,所述发射器和接收器用于支持核心网设备与第一接入网设备和第二接入网设备之间的通信。进一步的,核心网设备还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第九方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为终端,或者可以为终端中的芯片。
在一种可能的设计中,该装置为终端,终端包括处理器,所述处理器被配置为支持终端执行上述方法中相应的功能。进一步地,终端还可以包括发射器和接收器,所述发射器和接收器用于支持终端与第一接入网设备和第二接入网设备之间的通信。进一步的,终端还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第十方面,本申请实施例提供一种通信系统,该系统包括上述方面所述的终端、第一接入网设备和第二接入网设备,可选地,该系统还可以包括核心网设备以及上述方面所述的终端、第一接入网设备和第二接入网设备。
第十一方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于第一接入网设备所用的计算机软件指令,其包含用于执行上述第一方面和第三方面所设计的程序。
第十二方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于第二接入网设备所用的计算机软件指令,其包含用于执行上述第二方面所设计的程序。
第十三方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于核心网设备所用的计算机软件指令,其包含用于执行上述第四方面所设计的程序。
第十四方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于终端所用的计算机软件指令,其包含用于执行上述第五方面所设计的程序。
第十五方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第一方面和第三方面所述的方法。
第十六方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第二方面所述的方法。
第十七方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第四方面所述的方法。
第十八方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第五方面所述的方法。
第十九方面,本申请的实施例提供一种芯片系统,应用于第一接入网设备中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第一方面和第三方面所述的方法中所述第一接入网设备的操作。
第二十方面,本申请的实施例提供一种芯片系统,应用于第二接入网设备中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第二方面所述的方法中所述第二接入网设备的操作。
第二十一方面,本申请的实施例提供一种芯片系统,应用于核心网设备中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第四方面所述的方法中所述核心网设备的操作。
第二十二方面,本申请的实施例提供一种芯片系统,应用于终端中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第五方面所述的方法中所述终端的操作。
本申请的实施例提供的安全保护的方法,第二接入网设备可向第一接入网设备发送用户面安全策略,进而第一接入网设备可根据用户面安全策略确定用户面安全算法,即第一接入网设备不是直接开启固定类型的用户面安全保护,而是根据用户面安全策略确定开启的用户面安全保护类型,实现了用户面保护的按需开启。
附图说明
图1为本申请实施例提供的一种LTE双连接的架构示意图;
图2为本申请实施例提供的一种5G双连接的架构示意图;
图3为本申请实施例提供的另一种5G双连接的架构示意图;
图4为本申请实施例提供的又一种5G双连接的架构示意图;
图5为本申请实施例提供的一种安全保护的方法的流程图;
图6为本申请实施例提供的另一种安全保护的方法的流程图;
图7为本申请实施例提供的另一种安全保护的方法的流程图;
图8为本申请实施例提供的另一种安全保护的方法的流程图;
图9为本申请实施例提供的另一种安全保护的方法的流程图;
图10为本申请实施例提供的另一种安全保护的方法的流程图;
图11为本申请的实施例提供的一种装置的结构示意图;
图12为本申请的实施例提供的一种接入网设备的结构示意图;
图13为本申请的实施例提供的另一种装置的结构示意图;
图14为本申请的实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,和c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或a、b和c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
需要说明的是,本申请中“的(英文:of)”,相应的“(英文corresponding,relevant)”和“对应的(英文:corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
在详细描述本申请的技术方案之前,为了便于理解,先对本申请的实施例所应用的场景进行介绍。
如图1所示,图1为LTE双连接(dual connectivity,DC)架构,该架构中包括移动性管理实体(mobility management entity,MME)、服务网关(serving gateway,SGW)、MeNB、SeNB和终端。其中,图1中的实线代表信令面交互,虚线代表用户面交互。
其中,本申请所称的终端,是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。该终端可以包括各种类型的用户设备(user equipment,UE)、手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、无线数据卡、虚拟现实(virtualreality,VR)终端设备、增强现实(augmented reality,AR)终端设备、机器类型通信(machine type communication,MTC)的终端设备,工业控制(industrial control)中的终端设备、无人驾驶(self driving)中的终端设备、远程医疗(remote medical)中的终端设备、智能电网(smart grid)中的终端设备、运输安全(transportation safety)中的终端设备、智慧城市(smart city)中的终端设备,以及可穿戴设备(如智能手表,智能手环,计步器等)等等。在采用不同的无线接入技术的系统中,具备相类似无线通信功能的设备的名称可能会有所不同,仅为描述方便,本申请实施例中,上述具有无线收发通信功能的设备统称为终端。
具体地,该终端中存储有长期密钥和相关函数,终端在与核心网网元(如4G中的MME)进行双向鉴权时,可使用长期密钥和相关函数对验证网络的真实性。
MeNB为LTE DC架构中的主站,主站可以与MME进行控制面的信令交互,也可以与SGW进行用户面的数据交互。
SeNB为LTE DC架构中的从站,主站可以决定是否启用从站。由于从站不会与MME进行信令交互,所以从站不可以接入MME。从站与主站之间存在信令面交互和用户面交互,且从站还可能直接与SGW进行用户面交互。
MME为4G网络的核心网网元,主要负责终端的接入、移动性管理和会话管理。在LTEDC架构中,MME与主站之间存在信令面连接,MME与从站之间不存在信令面连接。
SGW为用于转发用户面数据的网元,在LTE DC架构中,SGW可以只与主站连接,也可以既与主站连接又与从站连接。在只跟主站连接的情况下,用户面数据由SGW发给主站,然后主站转发一部分用户面数据给从站,经由从站转发给终端。在SGW既与主站又与从站的连接的情况下,SGW可以将一部分用户面数据发送给主站,另一部分用户面数据发送给从站。
除图1所示的LTE DC架构外,本申请实施例还提供了三种可能的5G双连接架构:
第一种5G双连接架构如图2所示,其中,主站和从站均为5G网络的gNB,主站可表示为master gNB或MgNB,从站可表示为secondary gNB或SgNB。
第二种5G双连接架构如图3所示,其中,主站为5G网络的gNB,主站可表示为mastergNB或MgNB;从站为LTE网络的eNB,从站可表示为secondary eNB或SeNB。
第三种5G双连接架构如图4所示,其中,主站为LTE网络的eNB,主站可表示为master eNB或MeNB;从站为5G网络的gNB,从站可表示为second gNB或SgNB。
其中,5G双连接架构中的eNB可以为LTE网络中的原始型eNB,可称为legacy eNB,legacy eNB无法识别5G相比于4G升级的情况,例如无法识别5G特有的信令。
或者,5G双连接架构中的eNB可以是为了适配5G网络的增强型eNB,可称为updatedeNB。可选地,updated eNB可识别5G的信令格式,但是可能未同步升级安全保护方法。updated eNB和gNB仅在频谱上存在差异,其余功能均相同。
需要说明的是,图2、图3和图4中的实线均代表信令面交互,虚线均代表用户面交互,可选地,图2中SgNB和终端之间可以存在信令面连接,也可能不存在信令面连接;图3中SeNB和终端之间可以存在信令面连接,也可能不存在信令面连接;图4中的SgNB和终端之间可以存在信令面连接,也可能不存在信令面连接。图2、图3和图4中均以终端与从站之间存在信令面连接为例进行说明。上述三种5G双连接架构中除主站和从站之外还包括以下网元:
接入和移动性管理功能(access and mobility management function,AMF)网元:为负责移动性管理的网元,可以用于实现移动性管理实体(mobility managemententity,MME)功能中除会话管理之外的其它功能,例如合法监听,接入授权等功能。
会话管理功能(session management function,SMF)网元:用于为用户面分配会话资源。
用户面功能(user plane function,UPF)网元:为用户面数据的出口,用于连接外部网络。
终端:存储有长期密钥和相关函数,终端在与核心网网元(如5G中的AMF网元、鉴权服务功能(authentication server function,AUSF)网元、接收安全锚点功能(securityanchor function,SEAF)网元等)进行双向鉴权时,可使用长期密钥和相关函数对验证网络的真实性。
在5G双连接架构中,UPF网元的用户面数据需通过主站和从站发送给终端,本申请实施例提供了三种向终端发送用户面数据的方法,即三种分流类型,每种分流类型可分别对应一种实现场景。
场景一:分流类型为主站分流,可称为主小区组承载(master cell groupbearer,MCG bearer),主站分流的特点为使用主站的用户面进行安全保护,即UPF网元将用户面数据发送给主接入网络(master access network,MN),MN使用自身的用户面对用户面数据进行安全保护,然后将需要由从接入网络(secondary access network,SN)转发的用户面数据发送至SN。这种场景下,MN和SN向终端发送的用户面数据均为使用MN的用户面进行安全保护的用户面数据,且终端只使用MN的用户面对接收到的用户面数据进行安全验证。
需要说明的是,MN为双连接或多连接的主要站点,其作用可以是决定是否启用双连接或多连接模式为终端设备做转发数据的服务,还可以是与核心网控制面网元做唯一交互的站点。
可选地,MN可以为5G基站gNB;或者4G基站LTE eNB;4G增强基站e-eNB,NR-eNB;还可以是非第三代合作伙伴计划(non-3rd generation partnership project,non-3GPP)接入技术,比如wifi接入技术,固网接入技术;或者non-3GPP接入技术的具有网关功能的网元,如5G网络的非3GPP互通功能(non-3GPP interworking function,N3IWF)网元,4G网络的演进的分组数据网关(eloved packed data gateway,ePDG),或5G固网接入的5G FixedMobile Interworking Function(FMIF)。
SN可以是5G基站gNB或4G基站eNB,eNB又可以分为增强型的eNB或原始的eNB,增强型的eNB还可以称为updated eNB,原始型的eNB还可以称为legacy eNB。增强型的eNB是指这个eNB可以识别5G gNB能够识别的信令,也具有5G gNB具有的相关功能,比如,支持Xn接口,并可以识别Xn接口的所有内容;再比如,支持用户面完整性保护,并能够识别安全策略。SN还可以是非第三代合作伙伴计划(non-3rd generation partnership project,non-3GPP)接入技术,比如wifi接入技术,固网接入技术;或者non-3GPP接入技术的具有网关功能的网元,如5G网络的非3GPP互通功能(non-3GPP interworking function,N3IWF)网元,4G网络的ePDG,或5G固网接入的FMIF。
可选地,MN可以理解为主站(例如MgNB,MeNB)的统称,SN可以理解为从站(例如SgNB,SeNB)的统称。
场景二:分流类型为从站分流,可称为辅小区组承载(secondary cell groupbearer,SCG bearer),从站分流的特点为使用从站的用户面进行安全保护,即UPF网元将用户面数据发送给SN,SN使用自身的用户面对用户面数据进行安全保护,然后将需要由MN发送给终端的用户面数据发送给MN。这种场景下,MN和SN向终端发送的用户面数据均为使用SN的用户面进行安全保护的用户面数据,且终端只使用SN的用户面对接收到的用户面数据进行安全验证。
场景三:分流类型为双站分流,可称为分离承载(SPLIT bearer)承载,其特点为MN发送给终端的用户面数据使用MN的用户面进行安全保护,SN发送给终端的用户面数据使用SN的用户面进行安全保护。首先,UPF网元将用户面数据发送给MN,对于需要由SN转发给终端的部分用户面数据,MN不进行安全保护,并将该部分用户面数据发送给SN;或者,UPF网元将用户面数据发送给SN,对于需要由MN转发给终端的部分用户面数据,SN不进行安全保护,并将该部分用户面数据发送给MN;或者,UPF网元将需要由MN发送给终端的用户面数据发送给MN,将需要由SN发送给终端的用户面数据发送给SN。然后,MN使用自身的用户面对部分用户面数据进行安全保护之后发送给终端,SN使用自身的用户面对另一部分用户面数据进行安全保护之后发送给终端。对应的,终端使用MN的用户面对来自MN的用户面数据进行安全验证,使用SN的用户面对来自SN的用户面数据进行安全验证。
结合图1至图4,本申请的实施例提供一种安全保护的方法,该方法用于实现用户面安全的按需开启,本申请实施例仅以5G网络架构为例进行阐述如何在具有双连接或多连接架构的网络中实现用户面安全的按需开启,用户面安全按需开启是指,可以根据某种具有指示作用的信息决定开启何种用户面安全保护,本申请中,以某种具有指示作用的信息为用户面安全策略为例进行描述。该方法可以应用于双连接场景,具体可应用于建立双连接的流程中,该双连接场景中包括第一接入网设备和第二接入网设备,第一接入网设备为图2至图4的双连接架构中的从站,以下均称为SN,第二接入网设备为图2至图4的双连接架构中的主站,以下均称为MN。
在一种可能的实现方式中,该方法可以应用于上述场景二和场景三,如图5所示,该方法包括:
步骤501、终端与MN之间建立无线资源控制(radio resource control,RRC)连接。
步骤502、MN向SN发送从站接入请求消息。相应地,SN接收来自MN的从站接入请求消息。
从站接入请求消息中携带SN使用的根密钥、终端的安全能力。可选地,从站接入请求消息中还可以携带用户面安全策略、用户面安全策略对应的粒度信息和分流类型中的任意一项或多项。可选地,安全策略和用户面安全策略对应的粒度信息可能有一组或多组。可选地,从站接入请求消息中还可以携带SN是否可以不遵循用户面安全策略的指示信息。
若SN为SgNB,则接入请求消息为SgNB addition request,SN的根密钥为S-KgNB,终端的安全能力为终端的5G安全能力。
若SN为SeNB,则接入请求消息为SeNB addition request,SN的根密钥为S-KeNB,终端的安全能力为终端的演进的分组系统(evolved packet system,EPS)安全能力。
若SN为(wlan termination,WT),则接入请求消息为S-WT addition request,SN的根密钥为S-KWT,终端的安全能力为终端的5G安全能力。
终端的安全能力至少包括终端支持的安全算法,安全算法可以是5G网络或未来网络支持的任何对称算法、非对称算法。终端支持的安全算法至少包括可以用于用户面安全保护的用户面安全算法。
其中,用户面安全算法为用于用户面保护的安全算法。如果一个安全算法用于保护用户面,即可成为用户面安全算法。用户面安全算法包括用户面加密算法和用户面完整性保护算法的之一或全部。
用户面安全策略用于指示SN待开启的用户面安全保护类型,用户面安全保护类型分为用户面加密保护和用户面完整性保护,待开启的用户面安全保护粒度就是安全策略对应的粒度信息。即用户面安全策略用于指示SN是否开启用户面加密保护和/或是否开启用户面完整性保护,用户面安全策略可以为SMF发送给MN的;也可以为MN通过其他方法获得的。比如运营商可以为MN预配置用户面安全策略。MN可以将SMF网元发送给MN的用户面安全策略,或者运营商预配置的用户面安全策略未经更改的转发给SN,也可以转发经过加工处理后的,其他形式的用户面安全策略。其中,其他形式的用户面安全策略和SMF网元发送给MN的安全策略的作用相同。本申请实施例提供了以下三种指示方法:
方法一:通过比特位指示信息指示用户面加密保护和用户面完整性保护是否开启。
示例性地,“01”代表用户面加密保护关闭,用户面完整性保护开启;“10”代表用户面加密保护开启,用户面完整性保护关闭,“11”代表用户面加密保护开启,用户面完整性保护开启,“11”代表用户面加密保护关闭,用户面完整性保护关闭。
方法二:通过算法信息指示用户面加密保护和用户面完整性保护是否开启。
例如,SN支持8种用户面加密算法和8种用户面完整性保护算法,8种用户面加密算法的ID分别为EEA1至EEA8,8种用户面完整性保护算法的ID分别为EIA1至EIA8。若用户面安全策略为“EEA1,EIA7”,则代表SN需开启用户面加密保护和用户面完整性保护保护,且使用的用户面加密算法为EEA1或与EEA1相近的用户面加密算法,用户面完整性保护算法为EIA7或与EIA7相近的用户面完整性保护算法。例如,若EEA1代表一种128bit用户面加密算法,EIA7代表一种256bit用户面完整性保护算法,若SN无法使用EEA1,则可使用其他的128bit用户面加密算法,若SN无法使用EIA7,则可使用其他的256bit用户面完整性保护算法。
另外,可选地,EEA0代表用户面加密保护不开启,EIA0代表用户面完整性保护不开启。另一种实施方法为,若用户面安全策略只携带一个EEA,例如EEA1,而未携带任何EIA标识,则用户面安全策略用于指示开启用户面加密保护,不开启用户面完整性保护;若用户面安全策略只携带一个EIA,例如EIA1,而未携带任何EEA标识,则用户面安全策略用户指示不开启用户面加密保护,开启用户面完整性保护。
方法三:通过具体的算法指示用户面加密保护和用户面完整性保护是否开启。
需要说明的是,方法一和方法二描述的均为MN接收到的来自SMF网元的用户面安全策略,即MN直接将SMF网元下发的用户面安全策略转发至SN。而方法三为MN根据SMF网元下发的用户面安全策略确定用户面加密算法和/或用户面完整性保护算法,然后将根据SMF网元下发的用户面安全策略确定的用户面加密算法和/或用户面完整性保护算法作为发送给SN的安全策略。
若MN发送给SN的用户面安全策略包括用户面加密算法和用户面完整性保护算法,则该用户面安全策略用于指示SN开启用户面加密保护和用户面完整性保护,并使用用户面安全策略中的用户面加密算法和用户面完整性保护算法,或者相近的算法。
若MN发送给SN的用户面安全策略只包括用户面加密算法,则该用户面安全策略用于指示SN开启用户面加密保护,不开启用户面完整性保护,并使用用户面安全策略中的用户面加密算法,或与其相近的算法。
若MN发送给SN的用户面安全策略只包括用户面完整性保护算法,则该用户面安全策略用于指示SN开启用户面完整性保护,不开启用户面加密保护,并使用用户面安全策略中的用户面完整性保护算法,或与其相近的算法。用户面安全策略对应的粒度信息代表用户面安全策略可以被使用的粒度,粒度信息可以为数据包单元(packet da ta unit,PDU)会话标识、服务质量(quality of service,QoS)参数(比如服务质量数据流标识符(quality of service flow identifier,QFI))、切片信息(比如切片标识)、五元组信息和数据网络(data network,DN)信息中的任意一项或多项。
可以理解的是,若粒度信息为PDU会话标识,则代表用户面安全策略适用于这个PDU会话;若粒度信息为QFI,则代表用户面安全策略适用于该QFI对应的QoS flow;若粒度信息为五元组信息,则代表用户面安全策略适用于该五元组信息对应的数据业务流;若粒度信息为切片标识,则代表用户面安全策略适用于该切片标识对应的切片;若粒度信息为DN信息,则用户面安全策略适用于DN信息对应的DN。若粒度信息为切片标识信息和PDU会话标识,则代表用户面安全策略适用于这个切片下的这个PDU会话。
需要说明的是,用户面安全策略和粒度信息之间的关系有两种可能的情形。
情形一为用户面安全策略和粒度信息之间的关系是动态改变的,例如SMF网元每次建立PDU会话时都会向MN发送用户面安全策略和粒度信息之间的对应关系,可以理解的是,在这种情形下,MN可以将即将分流的用户面数据对应的用户面安全策略和粒度信息发送给SN,以使得SN根据用户面安全策略和粒度信息对即将分流的用户面数据进行安全保护。或者,MN向SN发送多个用户面安全策略和各用户面安全策略对应的粒度信息,示例性地,若基站和终端之间建立了三个PDU会话,每个PDU会话对应一个用户面安全策略,则MN向SN发送这三个PDU会话标识(即粒度信息)和每个PDU会话标识对应的用户面安全策略。
情形二为用户面安全策略和粒度信息之间的关系在指定时间段内是固定不变的。例如,用户面安全策略对应的粒度信息为DN信息,运营商可通过网管系统配置并下发指定时间段,在配置不变的情况下,用户面安全策略在指定时间段内适用于DN信息对应的DN。或者,可通过计时器确定指定时间段,在计时器到期前,用户面安全策略和粒度信息之间的对应关系不会发生变化。可以理解的是,若用户面安全策略和粒度信息之间的关系在指定时间段内是固定不变的,则MN可向SN发送固定的用户面安全策略和粒度之间的关系。
此外,在图5的实施例中,分流类型为从站分流或双站分流。
需要说明的是,若SN为legacy eNB,则SN只能识别LTE网络的相关信令,无法识别用户面安全策略。可选地,SN可以识别用户面安全策略对应的粒度信息,以根据用户面安全策略对应的粒度信息建立与终端之间的传输通道。
LTE的基站使用X2接口,所以legacy eNB会通过X2接口与MN相连,或者通过升过级的Xn接口与MN相连,而5G基站间的相互连接使用的是Xn接口,为了保证本申请实施例提供的安全保护的方法既可以支SN为legacy eNB的双链接模式,又支持5G基站间的双连接架构,一种可能的实现方式为:Xn接口需兼容X2接口的内容,且Xn还包括除X2接口的性能之外的新特性。MN向SN发送的用户面安全策略、用户面安全策略对应的粒度信息和分流类型需通过Xn接口的除X2接口之外的新特性发送,而不能通过兼容的X2接口的内容发送,从而使得legacy eNB不会发现存在不认识的信令。需要说明的是,本申请实施例以Xn接口和X2接口为例子进行说明,Xn接口还可以替换为5G网络的其他新接口,X2接口还可以替换为LTE中的没有适配到5G网络的旧接口。
可选地,legacy eNB接收到从站接入请求消息后,不会识别接入请求消息中的一部分内容,legacy eNB可能会将该消息中的未识别的这一部分内容删除或保留;接入请求消息中的另一部分内容则可以被legacy eNB识别并保留。可选地,用户面安全策略、用户面安全策略对应的粒度信息和分流类型的部分或全部被放置在从站接入请求消息中可以被legacy eNB保留下来的位置,以使得在其他场景下,例如终端的服务基站切换的过程中,legacy eNB可以继续传递用户面安全策略、用户面安全安全策略对应的粒度信息和分流类型中的任意一项或多项。
示例性地,若接入请求消息中前16比特是一定会被legacy eNB保存的,且legacyeNB只能识别其中的第1至8比特,则用户面安全策略、用户面安全安全策略对应的粒度信息和分流类型可以被携带在若接入请求消息中的第9至16比特中。
步骤503、SN确定用户面安全算法。
可选地,SN可根据用户面安全策略确定用户面安全算法,可选地,SN还可以进一步地确定用户面安全算法对应的用户面密钥。
具体地,其中一种实现方式为,SN可以根据收到的终端的安全能力和预配置的算法优先级列表,确定出优先级最高的,终端设备支持的一套安全算法。这套安全算法既可以用于信令面保护,又可以用于用户面保护。SN确定的安全算法至少包括一个加密算法和一个完整性保护算法。当SN收到用户面安全策略后,再根据用户面安全策略确定用户面安全算法。比如,如果用户面安全策略指示的是开启用户面完整性保护,不开启用户面加密保护,则SN使用确定出来的完整性保护算法保护用户面数据,不使用确定出来的加密算法保护用户面数据。
另一种实现方式为,SN可以根据用户面安全策略确定一套只用于用户面安全保护的算法。比如,SN根据终端的安全能力和预配置的安全算法或预配置的用户面安全算法集合选择用户面安全算法。其中,预配置的安全算法或预配置的用户面安全算法集合可以以优先级列表的形式存在,预配置的安全算法或预配置的用户面安全算法集合中的算法按照优先级从高到低的顺序排列。SN中的预配置的用户面安全算法集合包括用户面加密算法集合和用户面完整性保护算法集合。
在SN接收到用户面安全策略的情况下,可以根据用户面安全策略、终端的安全能力和预配置的安全列表选择用户面安全算法。
示例性地,若用户面安全策略未携带具体的算法,只用于指示是否开启的安全算法类型,则SN根据用户面安全策略确定是否开启用户面加密保护和用户面完整性保护。例如,若用户面安全策略指示开启用户面加密保护,不开启用户面完整性保护,则SN根据终端的安全能力和预配置的加密算法或预配置的用户面加密保护算法集合确定用户面加密算法,并根据确定的用户面加密算法确定用户面加密密钥,无需确定用户面完整性保护算法和用户面完整性保护密钥。
可选地,若用户面和信令面共用一套安全算法,则SN可根据用户面安全策略确定需要开启的用户面安全保护类型,然后将需要开启的用户面安全保护类型对应的信令面安全算法作为用户面安全算法。例如,若用户面安全策略指示开启用户面加密保护,不开启用户面完整性保护,则SN可将信令面加密算法和信令面加密密钥作为用户面加密算法和用户面加密密钥。
可选地,若SN接收到的接入请求消息中携带了SN必须遵循用户面安全策略的指示信息,则SN必须按照用户面安全策略确定用户面安全算法并确定用户面安全算法对应的用户面密钥,若SN无法按照安全策略执行(例如SN过载,或者SN不具备执行用户面加密保护或用户面完整性保护的硬件条件),则向MN回复拒绝消息,可选地,拒绝消息携带拒绝原因值。
若SN接收到的接入请求消息中未携带SN是否可以不遵循用户面安全策略的指示信息,则SN默认按照用户面安全策略执行,若无法按照安全策略执行,则可根据默认的用户面安全策略选择用户面安全算法,并确定用户面安全算法对应的用户面密钥,其中,默认的用户面安全策略,可以是运营商提前配置好的、或者标准协议规定的用户面安全保护方法。比如legacy eNB对应的默认的用户面安全策略为开启用户面加密保护,不开启用户面完整性保护。再比如,5G的N3IWF,默认的用户面安全策略为通过因特网协议安全性(internetprotocol security,IPsec)对用户面数据进行安全保护。
步骤504、SN向MN发送接入请求确认消息。相应地,MN接收来自SN的接入请求确认消息。
若SN为SgNB,则接入请求确认消息为SgNB addition request acknowledge;若SN为SeNB,则接入请求消息为SeNB addition request acknowledge。若SN是其他种类的接入技术,则接入请求确认消息为相应的流程的回复消息。
其中,接入请求确认消息携带SN选择的用户面安全算法和第一指示信息、第一指示信息对应的粒度信息和用户面密钥生成参数中的任意一项或多项。第一指示信息用于指示:终端待开启的用户面安全保护类型,可以理解的是,第一指示信息指示的终端待开启的用户面安全保护类型和SN开启的用户面安全保护类型相同。可选地,第一指示信息指示的终端待开启的用户面安全保护类型,和用户面安全策略指示的SN待开启的用户面安全保护类型可以相同也可以不同,具体地,若SN按照用户面安全策略开启用户面安全保护,则第一指示信息指示的终端待开启的用户面安全保护类型,和用户面安全策略指示的SN待开启的用户面安全保护类型相同;若SN未按照用户面安全策略开启用户面安全保护,则第一指示信息指示的终端待开启的用户面安全保护类型,和用户面安全策略指示的SN待开启的用户面安全保护类型可以不同。
可选地,若信令面安全算法和用户面安全算法不同,则第一指示信息可以为SN选择的用户面保护算法。若信令面安全算法和用户面安全算法相同,则第一指示信息用于指示终端是否开启用户面加密保护和用户面完整性保护,示例性地,若第一指示信息指示开启用户面加密保护,开启用户面完整性保护,则终端可以将信令面加密算法作为用户面加密算法,将信令面完整性保护算法作为用户面完整性保护算法。
可选地,若标准规定SN不需要向MN发送第一指示信息,或者若SN为legacy eNB,则SN无需向MN发送第一指示信息和第一指示信息对应的粒度信息。
步骤505、MN检查第一指示信息。
可选地,步骤505可以不执行,在不执行步骤505的情况下,MN将第一指示信息确定为第二指示信息,并执行步骤506,也可以理解为MN将接收到的第一指示信息转发至终端。
可选地,在执行步骤505的情况下,若SN为legacy eNB,则步骤505可以实现为下述方式一;若SN为为SgNB或updated eNB,则步骤505可以实现为下述方式二。
方式一:MN检查是否接收到来自SN的第一指示信息,若MN接收到来自SN的第一指示信息,则将第一指示信息确定为第二指示信息,若MN未接收到来自SN的第一指示信息,则根据接收到的接入请求确认消息判断SN是否为legacy eNB。具体的,若接入请求确认消息中未携带任何5G相关的信息,则MN可确定SN为legacy eNB,或者若接入请求消息中携带了用于指示SN为legacy eNB的指示信息(例如,通过比特位信息指示,若比特为信息为1,则指示SN为legacy eNB),则MN可确定SN为legacy eNB。在确定SN为legacy eNB的情况下,MN可以检查用户面安全策略。
其中,若根据当前运营商配置的legacy eNB默认的用户面安全保护方法为开启用户面加密保护,不开启用户面完整性保护,所以,若用户面安全策略为开启用户面加密保护,不开启用户面完整性保护,说明用户面安全策略与legacy eNB默认的用户面安全保护方法一致,则MN可根据用户面安全策略生成第二指示信息,此时第二指示信息用于指示终端开启用户面加密保护,不开启用户面完整性保护。
可选地,若MN确定用户面安全策略为不开启用户面加密保护,开启用户面完整性保护,则MN可以拒绝SN接入,可选地,拒绝SN接入后可以重新选择一个基站作为从基站。
或者,若MN确定用户面安全策略为不开启用户面加密保护,开启用户面完整性保护,则MN可以修改用户面安全策略,将用户面安全策略修改为开启用户面加密保护,不开启用户面完整性保护,并根据修改后的用户面安全策略生成第二指示信息,以使得终端开启的安全保护类型与SN开启的安全保护类型一致。其中,该第二指示信息用于指示终端开启用户面加密保护,不开启用户面完整性保护。需要说明的是,修改后的用户面安全策略的有效时间为接入该SN的时间段内,或者为SMF网元下发新的用户面安全策略之前。
方式二:MN判断是否允许第一指示信息与用户面安全策略不一致。若允许,则将第一指示信息作为第二指示信息;若不允许,则MN判断接收到的第一指示信息与用户面安全策略是否一致。若一致,则MN将第一指示信息作为第二指示信息;若不一致,则拒绝SN接入,可选地,在拒绝SN接入之后,MN可以重新选择一个基站作为从基站重新开始建立双链接的流程。
步骤506、MN向终端发送RRC连接重配置请求消息,相应地,终端接收来自终端的RRC连接重配置请求消息。
RRC连接重配置请求消息携带第二指示信息,第二指示信息用于指示终端待开启的用户面安全保护类型。
步骤507、终端向MN发送RRC连接重配置完成消息。相应地,MN接收来自终端的RRC连接重配置完成消息。
其中,RRC连接重配置完成消息可以为RRC connection reconfigurationresponse,RRC连接重配置完成消息中携带第二指示信息和第二指示信息对应的粒度信息。可选地,RRC连接重配置完成消息中还携带SN确定的用户面安全算法或MN为终端确定的用户面安全算法。
需要说明的是,RRC连接重配置完成消息还可以携带用于生成用户面安全密钥的生成参数等信息,可参考现有技术,此处不再赘述。
步骤508、MN向SN发送配置结束消息。相应地,SN接收来自MN的配置结束消息。
若SN为SgNB,则配置结束消息为SgNB reconfiguration complete。
若SN为SeNB,则配置结束消息为SeNB reconfiguration complete。
采用该方法,主站可以向从站发送用户面安全策略,以使得从站根据用户面安全策略确定开启的用户面保护类型,实现了用户面安全的按需开启,且SN可以根据安全策略确定需生成的用户面密钥,无需先生成用户面再决定是否需要使用用户面,可以节省SN的处理开销。
可选地,结合图5的实施例,在另一种可能的实现方式中,若MN为legacy eNB,则legacy eNB无法保存用户面安全策略,在这种情况下,MN向SN发送的从站接入请求消息中不携带用户面安全策略、用户面安全策略对应的粒度信息和分流类型。SN接收到来自MN的接入请求消息之后,选择开启默认的用户面安全保护类型,并确定默认的用户面安全保护类型对应的用户面安全算法和用户面密钥。其中,默认的用户面安全保护类型为用户面加密保护。需要说明的是,SN可以将开启用户面加密保护,不开启用户面完整性保护作为默认的用户面安全策略。然后SN可通过MN向终端发送选择的用户面加密算法,以实现对SN与终端之间传输的数据的安全保护。
以下结合图5所示的流程分别针对每种分流类型对本申请实施例提供的安全保护的方法进行说明。
在一种可能的实施场景中,对应于上述场景一,若分流类型为主站分流,则在上述步骤502中,从站接入请求消息中携带分流类型、SN的根密钥和终端的安全能力。其中,分流类型为主站分流。在SN确定分流类型为主站分流后,即可确定主站可以对来自UPF网元的用户面数据进行安全保护,进而SN就无需确定用于对来自UPF网元的用户面数据进行安全保护的用户面安全算法和用户面密钥。
可选地,在一种可能的实现方式中,从站接入请求消息中不携带用户面安全策略和用户面安全策略对应的粒度信息。
在另一种可能的实现方式中,从站接入请求中可以携带用户面安全策略和用户面安全策略对应的粒度信息。采用这种方式可以保证不管采用哪种分流类型,在建立双连接的过程中的信令消息都具有一致性。同时,在分流类型为主站分流的情况下,SN接收到用户面安全策略还可以预防在主站分流的过程中,MN因为某种原因将分流类型由主站分流变换为从站分流或双分流的情况下,MN还未向SN发送或再次发送用户面安全策略的时候,SN可以根据已经接收到的用户面安全策略确定用户面安全算法,并确定用户面安全算法对应的用户面密钥,进而和终端协商并激活用户面安全策略指示开启的用户面安全保护,保证了在分流类型变换后,用户面数据的安全性。
需要说明的是,从站接入请求消息中不携带用户面安全策略和用户面安全策略对应的粒度信息。
在上述步骤503中,SN可以根据终端的安全能力和预配置的用户面安全算法集合选择用户面安全算法,并通过上述步骤504和步骤506向终端发送选择的用户面安全算法。
可以理解的是,在这种场景下,无需执行步骤505,且步骤504中不携带第一指示信息、步骤506中不携带第二指示信息。步骤503中SN无需选择用户面安全算法。相应地,在完成5G的双连接建立流程后,终端使用MN的用户面对从MN和SN处接收到的用户面数据进行安全验证。
需要说明的是,其他的步骤可参考图5实施例的描述,此处不再赘述。
在另一种可能的实施场景中,对应上述场景二,分流类型为从站分流,则在上述步骤502中,从站接入请求还携带分流类型,分流类型为从站分流。
在上述步骤503中,SN可根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥,具体的确定方法可参考上述步骤503中的相关描述。
可选地,在步骤503中,SN还可以忽略接收到的安全策略,选择开启默认的用户面安全保护类型,并确定默认的用户面安全保护类型对应的用户面安全算法和用户面密钥。
在步骤504中,第一指示信息指示的终端待开启的用户面安全保护类型与SN开启的用户面安全保护类型相同。
可以理解的是在这种场景下,无需执行步骤505,且步骤506中的第二指示信息与步骤504中的第一指示信息相同。相应地,在完成5G的双连接建立流程后,终端使用SN的用户面对从MN和SN处接收到的用户面数据进行安全验证。
需要说明的是,其他的步骤可参考图5实施例的描述,此处不再赘述。
在又一种可能的实施场景中,对应上述场景三,分流类型为双站分流,则在上述步骤502中,从站接入请求还携带分流类型,分流类型为双站分流。
可选地,若默认SN一定会按照用户面安全策略执行,则在上述步骤504中,接入请求确认消息中可以不携带第一指示信息,在步骤505中,MN根据用户面安全策略生成第二指示信息。
可选地,若未默认SN一定会按照用户面安全策略执行,则在上述步骤504中,接入请求确认消息中携带第一指示信息,上述步骤505实现为步骤505中描述的方式二。
相应地,在完成5G的双连接建立流程后,终端使用MN的用户面对从MN处接收到的用户面数据进行安全验证,使用SN的用户面对从SN处接收到的用户面数据进行安全验证。
需要说明的是,其他的步骤可参考图5实施例的描述,此处不再赘述。
结合图1至图4,在另一种可能的实现方式中,该方法可以应用于上述场景二和场景三,SN还可以直接与终端协商用户面安全算法,如图6所示,该方法包括:
步骤601、MN向SN发送从站接入请求消息。相应地,SN接收来自MN的从站接入请求消息。
其中,步骤601与上述步骤502相同,可参考步骤502中的相关描述,此处不再赘述。
步骤602、终端和SN之间进行随机接入流程。
步骤603、SN根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥。
其中,SN根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥的方法,可参考步骤503中的相关描述,此处不再赘述。
步骤604、SN向终端发送RRC连接重配置请求消息,相应地,终端接收来自SN的RRC连接重配置请求消息。
其中,RRC连接重配置请求消息携带SN选择的用户面安全算法和第一指示信息、第一指示信息对应的粒度信息和SN选择的用户面安全算法中的任意一项或多项。第一指示信息用于指示:终端待开启的用户面安全保护类型,可以理解的是,第一指示信息指示的终端待开启的用户面安全保护类型和SN开启的用户面安全保护类型相同。
可选地,在SN确定用户面安全算法后,向终端发送RRC连接重配置请求消息前,终端和SN可以通过接入层(access stratum,AS)安全模式命令(security mode command,SMC)流程向终端发送SN确定的用户面安全算法。可选的,SN确定的用户面安全算法也适用于信令面,也就是说,SN和终端可以将AS SMC中传递的SN确定的安全算法既用作信令面安全算法,又用于用户面安全算法。
步骤605、终端向SN发送RRC连接重配置完成消息。相应地,SN接收来自终端的RRC连接重配置完成消息。
其中,RRC连接重配置完成消息为RRC connection reconfiguration response。
步骤606、SN向MN发送配置结束消息。相应地,MN接收来自SN的配置结束消息。
结合图6对应的实施例,在又一种可能的实现方式中,该方法可应用于上述场景二和场景三,SN可以直接与终端协商用户面安全算法,且SN可从SMF处获取用户面安全策略,如图7所示,该方法包括:
步骤701、MN向SN发送从站接入请求消息。相应地,SN接收来自MN的从站接入请求消息。
其中,从站接入请求消息不携带用户面安全策略,但可携带用户面安全策略对应的粒度信息。
从站接入请求消息中携带的其他信息可参考步骤501中的相关描述,此处不再赘述。
可选地,在MN未保存用户面安全策略或者MN为legacy eNB的情况下,从站接入请求消息中可以不携带用户面安全策略。
步骤702、终端和SN之间进行随机接入流程。
步骤703、SN向SMF网元发送用户面安全策略请求消息。相应地,SMF网元接收来自SN的用户面安全策略请求消息。
其中,用户面安全策略请求消息中携带用户面安全策略对应的粒度信息。
可选地,SN可向AMF网元发送用户面安全策略请求消息,然后AMF网元向SMF网元转发用户面安全策略请求消息。
步骤704、SMF网元向SN发送用户面安全策略响应消息。相应地,SN接收来自SMF网元的用户面安全策略响应消息。
其中,用户面安全策略响应消息携带用户面安全策略,该用户面安全策略为用户面安全策略请求消息中携带的粒度信息对应的用户面安全策略。
可选地,SMF网元可向AMF网元发送用户面安全策略响应消息,然后SMF网元向SN转发用户面安全策略响应消息。
步骤705、SN根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥。
其中,SN根据用户面安全策略确定用户面安全算法和用户面安全算法对应的用户面密钥的方法,可参考步骤503中的相关描述。
步骤706至步骤708与上述步骤604至步骤606相同,此处不再赘述。
结合上述针对具体场景描述的实施例,本申请的实施例提供一种安全保护的方法,该方法应用于双连接的场景,双连接的场景中包括第一接入网设备和第二接入网设备,第一接入网设备为双连接中的从站,第二接入网设备为双连接中的主站,可选地,第一接入网设备可以为上述实施例中的SN,第二接入网设备可以为上述实施例中的MN,如图8所示,该方法包括:
步骤801、第二接入网设备获取用户面安全策略。
用户面安全策略用于指示:第一接入网设备待开启的用户面安全保护类型。用户面安全策略的相关描述可参考步骤502。
可选地,SMF网元可通过AMF网元向第二接入网设备发送用户面安全策略,以使得第二接入网设备获取用户面安全策略。
步骤802、第二接入网设备向第一接入网设备发送第一消息。相应地,第一接入网设备接收来自第二接入网设备的第一消息。
其中,第一消息携带用户面安全策略和第一粒度信息,第一粒度信息为用户面安全策略对应的粒度信息。可选地,第一消息还携带分流类型,第一消息携带的分流类型可以为从站分流或双站分流。
可选地,第一消息可以为上述步骤502中的从站接入请求消息,具体可参考上文中关于从站接入请求消息的描述。
步骤803、若第一接入网设备能够识别用户面安全策略,则第一接入网设备根据用户面安全策略确定用户面安全算法。
可选地,第一接入网设备还可以生成用户面安全算法对应的用户面密钥。
可以理解的是,若第一接入网设备能够识别待开启的用户面安全保护类型,则说明第一接入网设备为SgNB或updated eNB,第一接入网设备可按照上述步骤503中描述的方法确定用户面安全算法和用户面安全算法对应的用户面密钥。
步骤804、若第一接入网设备不能识别用户面安全策略,则第一接入网设备根据默认的用户面安全策略确定用户面安全算法。
可选地,第一接入网设备还可以生成用户面安全算法对应的用户面密钥。
可以理解的是,若第一接入网设备不能识别用户面安全策略,说明该第一接入网设备为legacy eNB,则legacy eNB根据运营商配置默认开启用户面加密保护,不开启用户面完整性保护,默认的用户面安全策略用于指示第一接入网设备开启用户面加密保护,不开启用户面完整性保护。
本申请的实施例提供的安全保护的方法,在从站可以识别来自主站的用户面安全策略的情况下,从站可根据来自主站的用户面安全策略确定用户面安全算法,实现了用户面安全算法的按需开启,若从站不能识别来自主站的用户面安全策略,从站还可以根据默认的用户面安全策略确定用户面安全算法,保障了从站与终端之间传输的用户面数据的安全性。
另外,在从站可以识别来自主站的用户面安全策略的情况下,主站和从站使用相同的用户面安全策略确定用户面安全算法,且主站和从站确定的用户面安全算法适用的粒度也相同,在采用双站分流时,主站和从站对同一个粒度下的用户面数据使用相同类型的用户面安全算法进行安全保护,不会出现终端需要对同一个粒度下的用户面数据使用不同类型的用户面安全算法进行安全验证的情况,不会增加终端处理的复杂度。
可选地,基于图8的实施例,在第一接入网设备根据来自第二接入网设备的用户面安全策略确定用户面安全算法后,还需通知终端开启相同的用户面安全保护类型,基于此,在本申请实施例的另一种实现方式中,如图9所示,该方法包括:
步骤901至步骤903与步骤801至步骤803相同,此处不再赘述。
步骤904、第一接入网设备向第二接入网设备发送第二消息。相应地,第二接入网设备接收来自第一接入网设备的第二消息。
其中,第二消息为第一消息的响应消息,第二消息携带第一指示信息,第一指示信息用于指示终端待开启的用户面安全保护类型。第一指示信息的指示方法可以为上述步骤502中的方法一至方法三种的任意一种。
需要说明的是,第一指示信息指示的终端待开启的用户面安全保护类型为:第一接入网设备实际开启的用户面安全保护类型,由于第一接入网设备可能未根据来自第二接入网设备的用户面安全策略确定用户面安全算法,所以用户面安全策略指示的第一接入网设备待开启的用户面安全保护类型,和第一指示信息指示的终端待开启的用户面安全保护类型可以不同。可选地,若第一接入网设备根据来自第二接入网设备的用户面安全策略确定用户面安全算法,则用户面安全策略指示的第一接入网设备待开启的用户面安全保护类型,和第一指示信息指示的终端待开启的用户面安全保护类型相同。
可选地,第二消息还携带第一接入网设备确定的用户面安全算法和第二粒度信息之一或全部,其中,第二粒度信息为第一指示信息对应的粒度信息。
第二粒度信息,可能与第一粒度信息相同,也可能不同。比如,基站可以关联第二粒度信息与第一粒度信息。比如第二粒度信息可以为数据承载(data resource bearer,DRB),可以用DRB ID表示,第一粒度信息为PDU会话标识,其中多个DRB ID对应于一个PDU会话标识。再例如,第一粒度信息为QFI信息,第二粒度信息为DRB ID,一个DRB ID可以对应多个QFI。再比如,第一粒度信息为DRB,即第一消息还携带DRB ID,第二粒度信息仍然为DRB,但是第一接入网设备可能根据分流类型,选择为终端分配新的DRB ID,即第一粒度信息和第二粒度信息虽然都为DRB,但是第一粒度信息和第二粒度信息对应的DRB ID不同,或者第一接入网设备可以继续使用第二接入网设备发送的第一消息中的DRB ID,即第一粒度信息和第二粒度信息对应的DRB ID相同。
步骤905、第二接入网设备向终端发送第三消息。相应地,终端接收来自第二接入网设备的第三消息。
其中,第三消息携带第二指示信息,第二指示信息用于指示:终端待开启的用户面安全保护类型。第二指示信息的指示方法可以为上述步骤502中的方法一至方法三种的任意一种。
需要说明的是,第一指示信息、第二指示信息和步骤801中的用户面安全策略采用的指示方法可以相同,或者两两相同,或者全部不同。例如,第一指示信息、第二指示信息和用户面安全策略的指示方法均采用上述步骤502中的方法二;或者,用户面安全策略的指示方法为上述步骤502中的方法二,第一指示信息和第二指示信息的指示方法均为上述步骤502中的方法一;或者,用户面安全策略的指示方法上述步骤502中的方法一、第一指示信息的指示方法为上述步骤502中的方法二,第二指示信息的指示方法为上述步骤502中的方法三。
其中,在第二接入网设备向终端发送第三消息之前,需确定第二指示信息。
可选地,若第二接入网设备已确定分流类型为从站分流,则第二接入网设备可将第一指示信息作为第二指示信息,也可以理解为第二接入网设备将接收到的第一指示信息转发给终端。或者也可以理解为第二接入网设备对第一指示信息进行处理后,将处理后的第一指示信息(处理后的第一指示信息即为第二指示信息)转发至终端,即第二指示信息与第一指示信息指示的内容相同,但指示方法可能不同,例如,第一指示的指示方法为上述步骤502中的方法一,第二指示信息的指示方法变为上述步骤502中的方法二。
可选地,第二接入网设备可以检查是否允许第一指示信息与用户面安全策略不一致,在不允许的情况下,再进一步判断第一指示信息与用户面安全策略是否一致。
若第一指示信息与用户面安全策略一致,则第二接入网设备将第一指示信息确定为第二指示信息;或者,
若第一指示信息与用户面安全策略不一致,则第二接入网设备拒绝第一接入网设备接入。可选地,在拒绝SN接入之后,MN可以重新选择一个基站作为从基站。
步骤906、终端根据第二指示信息确定用户面安全算法。
可选地,终端还可以根据用户面安全算法生成用户面密钥,或者终端重用已经生成过的用户面密钥。
示例性地,若第二指示信息指示开启用户面加密保护,不开启用户面安全保护,则终端确定用户面加密算法,并根据用户面加密算法生成用户面加密密钥。若终端对所有的用户面数据使用的相同的用户面密钥进行保护,并且终端在此之前已经为其他业务生成过用户面密钥,则终端只需要根据第二指示信息确定选择重用的用户面密钥即可。
示例性地,若第二指示信息为具体的用户面加密算法和用户面完整性保护算法,则终端根据第二指示信息指示的用户面加密算法生成用户面加密密钥,根据第二指示信息指示的用户面完整性保护算法生成用户面完整性保护密钥。
本申请的实施例提供的安全保护的方法,第一接入网设备确定用户面安全算法后,还需通知终端开启相同的用户面安全保护类型,并使用与第一接入网设备相同的用户面安全算法确定用户面密钥,以使得终端能够对通过第一接入网设备进行安全保护的用户面数据进行安全保护,且使得终端能够成功对接收到的用户面数据进行安全验证,在实现第一接入网设备的用户面安全保护的按需开启的前提下,保证了终端对接收到的用户面数据的安全验证成功率。
可选地,基于图8的实施例,在本申请实施例的另一种实现方式中,还提供了另一种通知终端待开启的用户面安全保护类型的方法,如图10所示,该方法包括:
步骤1001至步骤1003与上述步骤801至步骤803相同,此处不再赘述。
步骤1004、第一接入网设备向终端发送第四消息,相应地,终端接收来自第一接入网设备的第四消息。
其中,第四消息携带第二指示信息,第二指示信息用于指示终端待开启的用户面安全保护类型。
需要说明的是,第二指示信息与上述实施例中描述的第一指示信息相同,可以理解为第一接入网设备将上述实施例中发送给第二接入网设备的第一指示信息直接发送给终端。
可选地,第四消息还携带第一接入网设备确定的用户面安全算法和第二指示信息对应的粒度信息之一或全部。
可选地,第四消息可以携带第一接入网设备确定的安全算法,安全算法至少包括可以使用的用户面保护算法。或者,第四消息未携带第一接入网设备确定的安全算法,在传递第四消息前,第一接入网设备通过其他消息将确定的安全算法发送给终端,例如通过ASSMC消息发送。
步骤1005、终端根据第二指示信息确定用户面安全算法。
可选地,终端还可以根据用户面安全算法生成用户面密钥。
示例性地,若第二指示信息指示开启用户面加密保护,不开启用户面安全保护,则终端确定用户面加密算法,并根据用户面加密算法生成用户面加密密钥。
示例性地,若第二指示信息为具体的用户面加密算法和用户面完整性保护算法,则终端根据第二指示信息指示的用户面加密算法生成用户面加密密钥,根据第二指示信息指示的用户面完整性保护算法生成用户面完整性保护密钥。
本申请的实施例提供的安全保护的方法,第一接入网设备可直接向终端发送第一指示信息,无需经过第二接入网设备转发,可以提高建立双连接的效率。
上述主要从第一接入网设备、第二接入网设备与终端之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,第一接入网设备、第二接入网设备和终端为了实现上述功能,包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的技术方案的范围。
本申请实施例可以根据上述方法示例对接入网设备和终端等进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图11示出了本发明实施例中提供的一种装置的示意性框图。该装置可以以软件的形式存在,也可以为接入网设备,还可以为接入网设备中的芯片。该装置1100包括:处理单元1102和通信单元1103。处理单元1102用于对装置1100的动作进行控制管理。通信单元1103用于支持装置1100和其他网元(例如终端、其它接入网设备、核心网网元等)之间的通信。
在一种可能的实现方式中,装置1100可以为上文所述的第一接入网设备或第一接入网设备中的芯片。处理单元1102可以支持装置1100执行上述方法示例中由第一接入网设备完成的动作,例如,处理单元1102用于支持装置1100执行图5中的步骤503,图6中的步骤603,图7中的步骤705,图8中的步骤803和步骤804,图9中的步骤903,图10中的步骤1003,和/或用于本文所描述的技术的其它过程。通信单元1103可以支持装置1100执行上述方法示例中第一接入网设备与其他设备之间的通信过程,例如,通信单元1103可以支持装置1100执行图5中的步骤502、504和508,图6中的步骤601、602、604、605和606,图7中的步骤701至704以及706至708,图8中的步骤802,图9中的步骤902和步骤904,以及图10中的步骤1002和步骤1004。
在另一种可能的实现方式中,装置1100可以为上文所述的第二接入网设备或第二接入网设备中的芯片。处理单元1102可以支持装置1100执行上述方法示例中由第二接入网设备完成的动作,例如,处理单元1102用于支持装置1100执行图5中的步骤505,图8中的步骤801,图9中的步骤901,图10中的步骤1001,和/或用于本文所描述的技术的其它过程。通信单元1103可以支持装置1100执行上述方法示例中第二接入网设备与其他设备之间的通信过程,例如,通信单元1103可以支持装置1100执行图5中的步骤501、502、504以及506至508,图6中的步骤601和606,图7中的步骤701和708,图8中的步骤802,图9中的步骤902、904和905,以及图10中的步骤1002。
装置1100还可以包括存储单元1101,用于存储装置1100的程序代码和数据。
其中,处理单元1102可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1103可以是通信接口,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口。例如,在装置1100为第一接入网设备的情况下,该通信接口可以包括:第一接入网设备与第二接入网设备之间的接口、第一接入网设备与终端之间的接口、第一接入网设备与核心网网元之间的接口和/或其他接口。又例如,在装置1100为第二接入网设备的情况下,该通信接口可以包括第二接入网设备与第一接入网设备之间的接口、第二接入网设备与终端之间的接口、第二接入网设备与核心网网元之间的接口和/或其他接口。存储单元1101可以是存储器。
当处理单元1102为处理器,通信单元1103为通信接口,存储单元1101为存储器时,本申请实施例所涉及的装置1100的结构可以是如图12所示的接入网设备的结构。
图12示出了本申请实施例提供的接入网设备的一种可能的结构示意图。
如图12所示,该接入网设备1200包括:处理器1202、通信接口1203、存储器1201。可选的,接入网设备1200还可以包括总线1204。其中,通信接口1203、处理器1202以及存储器1201可以通过总线1204相互连接;总线1204可以是PCI总线或EISA总线等。所述总线1204可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图12所述的接入网设备可以是上文所述的第一接入网设备,或者可以是上文所述的第二接入网设备。
在采用集成的单元的情况下,图13示出了本申请实施例中提供的又一种装置的示意性框图。该装置1300可以以软件的形式存在,也可以为终端,还可以为终端中的芯片。装置1300包括:处理单元1302和通信单元1303。处理单元1302用于对装置1300的动作进行控制管理,例如,处理单元1302用于支持装置1300执行图6中的步骤602,图7中的步骤702,图9中的步骤906,图10中的步骤1005,和/或用于本文所描述的技术的其它过程。通信单元1303用于支持装置1300和其他网元(例如第一接入网设备、第二接入网设备等)之间的通信。例如,通信单元1303用于支持装置1300执行图5中的步骤501、506和507,图6中的步骤,604和605,图7中的步骤706和707,图9中的步骤905,图10中的步骤1004。装置1300还可以包括存储单元1301,用于存储装置1300的程序代码和数据。
其中,处理单元1302可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1303可以是收发器、收发电路或通信接口等。存储单元1301可以是存储器。
当处理单元1302为处理器,通信单元1303为收发器,存储单元1301为存储器时,本申请实施例所涉及的装置1300可以为图14所示的终端。
图14示出了本申请实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1400包括发射器1401,接收器1402和处理器1403。其中,处理器1403也可以为控制器,图14中表示为“控制器/处理器1403”。可选的,所述终端1400还可以包括调制解调处理器1405,其中,调制解调处理器1405可以包括编码器1406、调制器1407、解码器1408和解调器1409。
在一个示例中,发射器1401调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。接收器1402调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1405中,编码器1406接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1407进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1409处理(例如,解调)该输入采样并提供符号估计。解码器1408处理(例如,解交织和解码)该符号估计并提供发送给终端1400的已解码的数据和信令消息。编码器1406、调制器1407、解调器1409和解码器1408可以由合成的调制解调处理器1405来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE、5G及其他演进系统的接入技术)来进行处理。需要说明的是,当终端1400不包括调制解调处理器1405时,调制解调处理器1405的上述功能也可以由处理器1403完成。
处理器1403对终端1400的动作进行控制管理,用于执行上述本申请实施例中由终端1400进行的处理过程。例如,处理器1403还用于执行图5至图10所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。
进一步的,终端1400还可以包括存储器1404,存储器1404用于存储用于终端1400的程序代码和数据。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(ReadOnly Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于接入网设备或终端中。当然,处理器和存储介质也可以作为分立组件存在于接入网设备或终端中。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个功能单元独立存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (30)
1.一种安全保护的方法,其特征在于,应用于双连接的场景,所述场景中包括第一接入网设备和第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,所述方法包括:
所述第一接入网设备接收来自所述第二接入网设备的第一消息,所述第一消息携带用户面安全策略,所述用户面安全策略用于指示:所述第一接入网设备待开启的用户面安全保护类型;
若所述第一接入网设备能够识别所述用户面安全策略,则所述第一接入网设备根据所述用户面安全策略确定用户面安全算法;或者,
若所述第一接入网设备不能识别所述用户面安全策略,则所述第一接入网设备根据默认的用户面安全策略确定用户面安全算法。
2.根据权利要求1所述的方法,其特征在于,所述第一消息还携带所述用户面安全策略对应的粒度信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一接入网设备向所述第二接入网设备发送第二消息,所述第二消息为所述第一消息的响应消息,所述第二消息携带第一指示信息,所述第一指示信息用于指示:终端待开启的用户面安全保护类型。
4.根据权利要求3所述的方法,其特征在于,所述第二消息还携带所述第一接入网设备确定的用户面安全算法和所述第一指示信息对应的粒度信息之一或全部。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一消息还携带所述双连接的分流类型,所述分流类型为从站分流或双站分流。
6.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述第一接入网设备向终端发送第三消息,所述第三消息携带第二指示信息,所述第二指示信息用于指示:所述终端待开启的用户面安全保护类型。
7.根据权利要求6所述的方法,其特征在于,所述第三消息还携带所述第一接入网设备确定的用户面安全算法和所述第二指示信息对应的粒度信息之一或全部。
8.一种安全保护的方法,其特征在于,应用于双连接的场景,所述场景中包括第一接入网设备和第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,所述方法包括:
所述第二接入网设备获取用户面安全策略,所述用户面安全策略用于指示:所述第二接入网设备待开启的用户面安全保护类型;
所述第二接入网设备向所述第一接入网设备发送第一消息,所述第一消息携带所述用户面安全策略。
9.根据权利要求8所述的方法,其特征在于,所述第一消息还携带所述用户面安全策略对应的粒度信息。
10.根据权利要求8或9所述的方法,其特征在于,所述第一消息还携带所述双连接的分流类型,所述分流类型为从站分流或双站分流。
11.根据权利要求8至10中任一项所述的方法,其特征在于,所述方法还包括:
所述第二接入网设备接收来自所述第一接入网设备的第二消息,所述第二消息为所述第一消息的响应消息,所述第二消息携带第一指示信息,所述第一指示信息用于指示:所述终端待开启的用户面安全保护类型。
12.根据权利要求11所述的方法,其特征在于,在所述第二接入网设备接收来自所述第一接入网设备的第二消息之后,所述方法还包括:
所述第二接入网设备向所述终端发送第三消息,所述第三消息携带第二指示信息,所述第二指示信息用于指示:所述终端待开启的用户面安全保护类型。
13.根据权利要求12所述的方法,其特征在于,在所述第二接入网设备向所述终端发送第三消息之前,所述方法还包括:
若所述第一指示信息与所述用户面安全策略一致,则所述第二接入网设备将所述第一指示信息确定为所述第二指示信息;或者,
若所述第一指示信息与所述用户面安全策略不一致,则所述第二接入网设备拒绝所述第一接入网设备接入。
14.根据权利要求12所述的方法,其特征在于,所述分流类型为从站分流,在所述第二接入网设备接收来自所述第一接入网设备的第二消息之后,所述方法还包括:
所述第二接入网设备将所述第一指示信息作为所述第二指示信息。
15.一种安全保护的方法,其特征在于,应用于双连接的场景,所述场景中包括第一接入网设备和第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,包括:
终端接收来自所述第一接入网设备或所述第二接入网设备的指示信息,所述指示信息用于指示:所述终端待开启的用户面安全保护类型;
所述终端根据所述指示信息确定用户面安全算法。
16.一种接入网设备,其特征在于,所述接入网设备为第一接入网设备,应用于双连接的场景,所述场景中包括所述第一接入网设备和第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,所述第一接入网设备包括:
通信单元,用于接收来自所述第二接入网设备的第一消息,所述第一消息携带用户面安全策略,所述用户面安全策略用于指示:所述第一接入网设备待开启的用户面安全保护类型;
处理单元,用于若能够识别所述用户面安全策略,则根据所述用户面安全策略确定用户面安全算法;或者,若不能识别所述用户面安全策略,则根据默认的用户面安全策略确定用户面安全算法。
17.根据权利要求16所述的接入网设备,其特征在于,所述第一消息还携带所述用户面安全策略对应的粒度信息。
18.根据权利要求16或17所述的接入网设备,其特征在于,
所述通信单元,还用于向所述第二接入网设备发送第二消息,所述第二消息为所述第一消息的响应消息,所述第二消息携带第一指示信息,所述第一指示信息用于指示:终端待开启的用户面安全保护类型。
19.根据权利要求18所述的接入网设备,其特征在于,所述第二消息还携带所述第一接入网设备确定的用户面安全算法和所述第一指示信息对应的粒度信息之一或全部。
20.根据权利要求16至19中任一项所述的接入网设备,其特征在于,所述第一消息还携带所述双连接的分流类型,所述分流类型为从站分流或双站分流。
21.根据权利要求16或17所述的接入网设备,其特征在于,
所述通信单元,还用于向终端发送第三消息,所述第三消息携带第二指示信息,所述第二指示信息用于指示:所述终端待开启的用户面安全保护类型。
22.根据权利要求21所述的接入网设备,其特征在于,所述第三消息还携带所述处理单元确定的用户面安全算法和所述第二指示信息对应的粒度信息之一或全部。
23.一种接入网设备,其特征在于,所述接入网设备为第二接入网设备,应用于双连接的场景,所述场景中包括第一接入网设备和所述第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,所述第二接入网设备包括:
处理单元,用于获取用户面安全策略,所述用户面安全策略用于指示:所述第二接入网设备待开启的用户面安全保护类型;
通信单元,用于向所述第一接入网设备发送第一消息,所述第一消息携带所述处理单元获取的所述用户面安全策略。
24.根据权利要求23所述的接入网设备,其特征在于,所述第一消息还携带所述用户面安全策略对应的粒度信息。
25.根据权利要求23或24所述的接入网设备,其特征在于,所述第一消息还携带所述双连接的分流类型,所述分流类型为从站分流或双站分流。
26.根据权利要求23至25中任一项所述的接入网设备,其特征在于,
所述通信单元,还用于接收来自所述第一接入网设备的第二消息,所述第二消息为所述第一消息的响应消息,所述第二消息携带第一指示信息,所述第一指示信息用于指示:终端待开启的用户面安全保护类型。
27.根据权利要求26所述的接入网设备,其特征在于,
所述通信单元,还用于向所述终端发送第三消息,所述第三消息携带第二指示信息,所述第二指示信息用于指示:所述终端待开启的用户面安全保护类型。
28.根据权利要求27所述的接入网设备,其特征在于,
所述处理单元,还用于:若所述通信单元接收到的第一指示信息与所述用户面安全策略一致,则将所述第一指示信息确定为所述第二指示信息;或者,若所述通信单元接收到的第一指示信息与所述用户面安全策略不一致,则拒绝所述第一接入网设备接入。
29.根据权利要求27所述的接入网设备,其特征在于,所述分流类型为从站分流;
所述处理单元,还用于将所述通信单元接收到的第一指示信息作为所述第二指示信息。
30.一种安全保护的装置,其特征在于,应用于双连接的场景,所述场景中包括第一接入网设备和第二接入网设备,所述第一接入网设备为所述双连接中的从站,所述第二接入网设备为所述双连接中的主站,所述装置包括:
通信单元,用于接收来自所述第一接入网设备或所述第二接入网设备的指示信息,所述指示信息用于指示:所述装置待开启的用户面安全保护类型;
所述处理单元,还用于根据所述通信单元接收到的指示信息确定用户面安全算法。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810143062.6A CN110167018B (zh) | 2018-02-11 | 2018-02-11 | 一种安全保护的方法、装置及接入网设备 |
| BR112020016253-1A BR112020016253A2 (pt) | 2018-02-11 | 2019-01-31 | Aparelho, método e sistema de proteção de segurança, aparelho de comunicações, dispositivo de rede de acesso, e meio de armazenamento legível por computador |
| RU2020129822A RU2782345C2 (ru) | 2018-02-11 | 2019-01-31 | Способ защиты безопасности, устройство и сетевое устройство доступа |
| AU2019218298A AU2019218298B2 (en) | 2018-02-11 | 2019-01-31 | Security protection method and apparatus, and access network device |
| PCT/CN2019/074281 WO2019154289A1 (zh) | 2018-02-11 | 2019-01-31 | 一种安全保护的方法、装置及接入网设备 |
| EP19751734.5A EP3749017A4 (en) | 2018-02-11 | 2019-01-31 | SECURITY PROTECTION PROCESS AND APPARATUS, AND ACCESS NETWORK DEVICE |
| US16/990,317 US20200374320A1 (en) | 2018-02-11 | 2020-08-11 | Security Protection Method And Apparatus, And Access Network Device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810143062.6A CN110167018B (zh) | 2018-02-11 | 2018-02-11 | 一种安全保护的方法、装置及接入网设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110167018A true CN110167018A (zh) | 2019-08-23 |
| CN110167018B CN110167018B (zh) | 2021-12-10 |
Family
ID=67548782
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810143062.6A Active CN110167018B (zh) | 2018-02-11 | 2018-02-11 | 一种安全保护的方法、装置及接入网设备 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20200374320A1 (zh) |
| EP (1) | EP3749017A4 (zh) |
| CN (1) | CN110167018B (zh) |
| AU (1) | AU2019218298B2 (zh) |
| BR (1) | BR112020016253A2 (zh) |
| WO (1) | WO2019154289A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114640988A (zh) * | 2022-05-17 | 2022-06-17 | 成都信息工程大学 | 基于隐式指示加密的信息处理方法及装置 |
| WO2022227919A1 (zh) * | 2021-04-29 | 2022-11-03 | 华为技术有限公司 | 切换场景下的安全配置方法和通信装置 |
| WO2022237699A1 (zh) * | 2021-05-08 | 2022-11-17 | 华为技术有限公司 | 一种激活安全的方法及通信装置 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113068180A (zh) * | 2018-08-10 | 2021-07-02 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
| WO2021063978A1 (en) * | 2019-10-03 | 2021-04-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Security settings for user plane data sent over different accesses of a network |
| CN115190054B (zh) * | 2022-06-30 | 2024-04-05 | 海南电网有限责任公司电力科学研究院 | 一种双主站批量化通信规约分析方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103959829A (zh) * | 2013-11-01 | 2014-07-30 | 华为技术有限公司 | 一种双连接模式下的密钥处理方法和设备 |
| CN104936171A (zh) * | 2014-03-21 | 2015-09-23 | 中兴通讯股份有限公司 | 安全算法的确定方法及装置 |
| US20160309379A1 (en) * | 2013-12-06 | 2016-10-20 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
| CN106941700A (zh) * | 2016-01-04 | 2017-07-11 | 中兴通讯股份有限公司 | 一种数据传输方法及装置和基站及ue |
| CN107070805A (zh) * | 2017-03-22 | 2017-08-18 | 上海华为技术有限公司 | 一种流量控制的方法及节点 |
| CN107277853A (zh) * | 2016-04-07 | 2017-10-20 | 华为技术有限公司 | 一种数据传输方法及装置 |
| CN109586900A (zh) * | 2017-09-29 | 2019-04-05 | 华为技术有限公司 | 数据安全处理方法及装置 |
| CN110830992A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2002634B1 (en) * | 2006-03-27 | 2014-07-02 | Telecom Italia S.p.A. | System for enforcing security policies on mobile communications devices |
| CN103841082B (zh) * | 2012-11-22 | 2017-05-31 | 中国电信股份有限公司 | 安全能力协商方法和系统、业务服务器、用户终端 |
| CN110086764B (zh) * | 2013-09-11 | 2022-04-05 | 三星电子株式会社 | 用于使能用于enb间的传输的安全通信的方法和系统 |
-
2018
- 2018-02-11 CN CN201810143062.6A patent/CN110167018B/zh active Active
-
2019
- 2019-01-31 AU AU2019218298A patent/AU2019218298B2/en active Active
- 2019-01-31 WO PCT/CN2019/074281 patent/WO2019154289A1/zh active Application Filing
- 2019-01-31 EP EP19751734.5A patent/EP3749017A4/en active Pending
- 2019-01-31 BR BR112020016253-1A patent/BR112020016253A2/pt unknown
-
2020
- 2020-08-11 US US16/990,317 patent/US20200374320A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103959829A (zh) * | 2013-11-01 | 2014-07-30 | 华为技术有限公司 | 一种双连接模式下的密钥处理方法和设备 |
| US20160309379A1 (en) * | 2013-12-06 | 2016-10-20 | Interdigital Patent Holdings, Inc. | Layered connectivity in wireless systems |
| CN104936171A (zh) * | 2014-03-21 | 2015-09-23 | 中兴通讯股份有限公司 | 安全算法的确定方法及装置 |
| CN106941700A (zh) * | 2016-01-04 | 2017-07-11 | 中兴通讯股份有限公司 | 一种数据传输方法及装置和基站及ue |
| CN107277853A (zh) * | 2016-04-07 | 2017-10-20 | 华为技术有限公司 | 一种数据传输方法及装置 |
| CN107070805A (zh) * | 2017-03-22 | 2017-08-18 | 上海华为技术有限公司 | 一种流量控制的方法及节点 |
| CN109586900A (zh) * | 2017-09-29 | 2019-04-05 | 华为技术有限公司 | 数据安全处理方法及装置 |
| CN110830992A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 双连接通信方法及其装置、系统 |
Non-Patent Citations (4)
| Title |
|---|
| 3GPP GROUP: "3GPP TR 33.899 V0.5.0"Study on the security aspects of the next generation system"", 《3GPP》 * |
| 3GPP GROUP: "3GPP TS 33.501 V0.7.0"Security Architecture and Procedures for 5G System"", 《3GPP》 * |
| 3GPP: "5G;Security architecture and procedures for 5G System", 《ETSI TS 133 501 V15.1.0》 * |
| 3GPP: "Evolved Universal Terrestrial Radio Access (E-UTRA) and NR;Multi-connectivity;Stage 2(Release 15)", 《3GPP TS 37.340 V1.1.0》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022227919A1 (zh) * | 2021-04-29 | 2022-11-03 | 华为技术有限公司 | 切换场景下的安全配置方法和通信装置 |
| WO2022237699A1 (zh) * | 2021-05-08 | 2022-11-17 | 华为技术有限公司 | 一种激活安全的方法及通信装置 |
| CN114640988A (zh) * | 2022-05-17 | 2022-06-17 | 成都信息工程大学 | 基于隐式指示加密的信息处理方法及装置 |
| CN114640988B (zh) * | 2022-05-17 | 2023-03-14 | 成都信息工程大学 | 基于隐式指示加密的信息处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2019218298B2 (en) | 2021-11-11 |
| US20200374320A1 (en) | 2020-11-26 |
| RU2020129822A3 (zh) | 2022-04-21 |
| WO2019154289A1 (zh) | 2019-08-15 |
| CN110167018B (zh) | 2021-12-10 |
| EP3749017A1 (en) | 2020-12-09 |
| AU2019218298A1 (en) | 2020-09-24 |
| BR112020016253A2 (pt) | 2020-12-15 |
| EP3749017A4 (en) | 2021-04-07 |
| RU2020129822A (ru) | 2022-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110167018A (zh) | 一种安全保护的方法、装置及接入网设备 | |
| CN109362108B (zh) | 一种安全保护的方法、装置和系统 | |
| CN109729566A (zh) | 一种信息传输方法和设备 | |
| CN104054375B (zh) | 用于在两个传送无线电之上路由分组流的方法和装置 | |
| CN109361655B (zh) | 一种安全保护的方法及装置 | |
| EP1878285B1 (en) | Fast user plane establishment in a telecommunications network | |
| CN110475267A (zh) | 一种配置方法、数据传输方法和装置 | |
| CN1859614B (zh) | 一种无线传输的方法、装置和系统 | |
| CN104396302B (zh) | 传输数据的方法、基站和用户设备 | |
| CN114828117B (zh) | 切换方法、接入网设备和终端设备 | |
| CN109996306A (zh) | 通信方法和通信设备 | |
| CN106031237A (zh) | 双连接的建立 | |
| CN110121168A (zh) | 安全协商方法及装置 | |
| CN107251644A (zh) | 无线通信系统、基站和移动台 | |
| CN104349309A (zh) | 一种移动通信系统中利用nh、ncc对解决安全问题的方法 | |
| CN108282448A (zh) | 多链接通信方法、设备和终端 | |
| CN112492584B (zh) | 终端设备和用户面网元之间的安全通信方法、装置及系统 | |
| CN109428694A (zh) | 一种媒体接入控制层复用的方法及设备 | |
| CN110048988A (zh) | 消息的发送方法和装置 | |
| CN109429267A (zh) | 数据传输方法、相关装置及系统 | |
| CN109391939B (zh) | 密钥、参数发送方法及装置、用户面实体、控制面实体 | |
| CN108810889A (zh) | 通信方法、装置及系统 | |
| CN108966217A (zh) | 一种保密通信方法、移动终端及保密网关 | |
| CN109699028A (zh) | 一种生成密钥的方法、装置及系统 | |
| CN108243082B (zh) | 一种数据传输方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |