CN110830993B - 一种数据处理的方法、装置和计算机可读存储介质 - Google Patents

一种数据处理的方法、装置和计算机可读存储介质 Download PDF

Info

Publication number
CN110830993B
CN110830993B CN201810913099.2A CN201810913099A CN110830993B CN 110830993 B CN110830993 B CN 110830993B CN 201810913099 A CN201810913099 A CN 201810913099A CN 110830993 B CN110830993 B CN 110830993B
Authority
CN
China
Prior art keywords
user plane
security
network element
plane security
indication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810913099.2A
Other languages
English (en)
Other versions
CN110830993A (zh
Inventor
李�赫
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810913099.2A priority Critical patent/CN110830993B/zh
Publication of CN110830993A publication Critical patent/CN110830993A/zh
Application granted granted Critical
Publication of CN110830993B publication Critical patent/CN110830993B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种数据处理的方法和装置,该数据处理的方法包括:接入网设备向终端设备发送用户面安全激活指示信息,该用户面安全激活指示信息用于指示用户面安全终结点的位置信息,且该用户面安全激活指示信息用于指示用户面加密保护是否激活和/或用户面完整性保护是否激活,终端设备根据用户面安全激活指示信息确定安全算法和安全密钥,该终端设备根据安全算法和安全密钥对待发送给该用户面安全终结点的位置的上行数据进行安全保护,该终端设备向该接入网设备发送该安全保护后的上行数据。本申请实施例的数据处理的方法,有助于终端设备和用户面安全终结点之间激活用户面安全。

Description

一种数据处理的方法、装置和计算机可读存储介质
技术领域
本申请涉及通信领域,并且更具体地,涉及一种数据处理的方法和装置。
背景技术
现有的第五代(5rd generation,5G)网络架构中,用户面安全终结点在接入网(access network,AN)设备,例如,5G系统中的接入网设备可以为下一代基站节点(nextgeneration node basestation,gNB),也就是说做用户面安全保护的节点为终端设备和gNB,当终端设备发送一个有安全保护的上行数据包时,终端设备做安全保护,即在用户面数据只有加密保护的时候只做加密操作、在用户面完整性保护的时候只做完整性保护操作、在既有加密保护又有完整性保护的时候就要既做加密操作又做完整性保护。gNB进行解安全保护,即在用户面数据只有加密保护的时候只做解密操作、在用户面完整性保护的时候只做验证完整性保护操作、在既有加密保护又有完整性保护的时候就要既做解密操作又做完整性保护验证,或者,当gNB发送一个有安全保护的下行数据包时,gNB做安全保护,即在用户面数据只有加密保护的时候只做加密操作、在用户面完整性保护的时候只做完整性保护操作、在既有加密保护又有完整性保护的时候就要既做加密操作又做完整性保护,终端设备进行解安全保护,即在用户面数据只有加密保护的时候只做解密操作、在用户面完整性保护的时候只做验证完整性保护操作、在既有加密保护又有完整性保护的时候就要既做解密操作又做完整性保护验证。还可以进一步理解,若终端设备发出的上行用户面数据是先加密保护,再完整性保护,则gNB在接收到上行用户面数据时先完整性保护验证,再解密。若终端设备发出的上行用户面数据是先完整性保护,再加密保护,则gNB在接收到上行用户面数据时先解密,再完整性保护验证。
随着标准课题的研究,有讨论到用户面安全终结点的位置在用户面功能(userplane function,UPF)网元,那就会出现一个问题:有些终端设备的用户面安全终结点在接入网设备,而有些终端设备的用户面安全终结点在UPF网元,此时就需要一个统一的流程告诉终端设备、接入网设备和UPF网元当前数据或者即将发送的数据的安全终结点在哪里。由于当前UPF网元没有安全激活功能,因此当用户面安全终结点在UPF网元时,终端设备和UPF如何激活用户面安全成为了一个亟待解决的问题。
发明内容
本申请提供一种数据处理的方法和装置,有助于终端设备和用户面安全终结点之间激活用户面安全。
第一方面,提供了一种数据处理的方法,该方法包括:终端设备接收接入网设备发送的用户面安全激活指示信息,该用户面安全激活指示信息用于指示用户面安全终结点的位置,且该用户面安全激活指示信息用于指示是否激活用户面加密保护,和/或,是否激活用户面完整性保护;该终端设备根据该用户面安全激活指示信息,确定第一用户面安全信息,该第一用户面安全信息包括安全算法和安全密钥;该终端设备根据该第一用户面安全信息,对待发送给该用户面安全终结点的位置的上行数据进行安全保护;该终端设备向该接入网设备发送安全保护后的该上行数据。
在一些可能的实现方式中,该终端设备根据该第一用户面安全信息,对下行数据进行解安全保护。
本申请实施例的数据处理方法,通过在用户面安全激活指示信息中携带用户面安全终结点的位置信息,有助于终端设备确定用户面安全终结点的位置,同时,有助于终端设备明确激活该终端设备和该用户面安全终结点之间的用户面安全。
结合第一方面,在第一方面的某些实现方式中,该用户面安全终结点的位置包括该接入网设备或者用户面功能网元。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备向该接入网设备发送第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点的位置。
在一些可能的实现方式中,该第一指示信息为比特位的指示信息。
例如,比特位“0”代表用户面安全终结点的位置在接入网设备,比特位“1”代表用户面安全终结点的位置在用户面功能网元。
在一些可能的实现方式中,该第一指示信息包括PDU session ID,QCI,5QI,DRBID 中的一种或者多种。
本申请实施例的数据处理的方法,在用户面安全终结点的位置在用户面功能网元时,接入网设备在接收到该第一指示信息后,不对该上行数据做任何解安全操作的处理,而直接将该上行数据转发给用户面功能网元。
结合第一方面,在第一方面的某些实现方式中,该上行数据是由该终端设备的第一协议栈处理得到的。
在一些可能的实现方式中,在该用户面安全终结点的位置在用户面功能网元时,该上行数据由该终端设备的PDCP上层处理得到。
在一些可能的实现方式中,在该用户面安全终结点的位置在接入网设备时,该上行数据由该终端设备的PDCP下层处理得到。
本申请实施例的数据处理的方法,在接入网设备和用户面功能网元做安全保护的协议栈可以被区分时,终端设备可以通过不同的协议栈对上行数据进行处理,从而使得接入网设备和用户面功能网元确定该上行数据的用户面安全终结点的位置。
结合第一方面,在第一方面的某些实现方式中,该终端设备根据该用户面安全激活指示信息,确定第一用户面安全信息,包括:该终端设备根据第一根密钥,确定第二根密钥;该终端设备根据该用户面安全激活指示信息和该第二根密钥,确定该安全密钥,该安全密钥包括加密密钥和/或完整性保护密钥。
在一些可能的实现方式中,该用户面安全终结点的位置在用户面功能网元时,该第一根密钥为KAN,该第二根密钥为KUPF
在一些可能的实现方式中,该用户面安全终结点的位置在用户面功能网元时,该第三根密钥为KAMF,该第二根密钥为KUPF
在一些可能的实现方式中,该终端设备根据该第二根密钥和该用户面安全激活指示信息,生成该安全密钥,该安全密钥包括加密密钥和/或用户面完整性保护密钥。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备接收该接入网设备发送的第二指示信息,该第二指示信息用于指示加密算法和/或完整性保护算法;其中,该终端设备根据该用户面安全激活指示信息,确定第一用户面安全信息,包括:该终端设备根据该用户面安全激活指示信息和该第二指示信息,确定该安全算法。
在一些可能的实现方式中,在该用户面安全终结点的位置在用户面功能网元时,该接入网设备可以在代替该用户面功能网元进行用户面安全激活的过程中确定安全算法,并通过该第二指示信息告知该终端设备。
在一些可能的实现方式中,在该用户面安全终结点的位置在用户面功能网元时,该用户面功能网元在进行用户面安全激活的过程中确定安全算法,并通过该第二指示信息告知该终端设备,可选地,该第二指示信息也可以称之为用户面安全激活请求信息。
结合第一方面,在第一方面的某些实现方式中,该加密算法和/或该完整性保护算法由该接入网设备确定,或者,该加密算法和/或该完整性保护算法由该用户面功能网元确定。
第二方面,提供了一种数据处理的方法,该方法包括:接入网设备接收控制面功能网元发送的用户面安全策略,该用户面安全策略用于指示用户面安全终结点的位置,且该用户面安全策略用于指示用户面加密保护激活、偏好激活或者不激活,和/或,用户面完整性保护激活、偏好激活或者不激活;该接入网设备根据该用户面安全策略,确定用户面安全激活指示信息,该用户面安全激活指示信息用于指示该用户面安全激活终结点的位置,且该用户面安全激活指示信息用于指示该用户面加密保护激活或者不激活,和/或,该用户面完整性保护激活或者不激活;该接入网设备向终端设备发送用户面安全激活指示信息。
在一些可能的实现方式中,该接入网设备根据该用户面安全策略,确定用户面安全激活指示信息,包括:该接入网设备根据该终端设备的能力和/或用户面功能网元的能力,确定该用户面安全激活指示信息。
本申请实施例数据处理方法,通过在用户面安全激活指示信息中携带用户面安全终结点的位置信息,有助于接入网设备明确用户面安全终结点的位置。
结合第二方面,在第二方面的某些实现方式中,该用户面安全终结点的位置在用户面功能网元,该方法还包括:该接入网设备根据该用户面安全激活指示信息,确定第二用户面安全信息,该第二用户面安全信息包括安全算法和安全密钥;该接入网设备向该用户面功能网元发送该第二用户面安全信息。
本申请实施例数据处理方法,在用户面安全终结点的位置在用户面功能网元时,接入网设备可以代替用户面功能网元进行用户面安全激活。
结合第二方面,在第二方面的某些可能的实现方式中,该方法还包括:该接入网设备接收该终端设备发送的上行数据和第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点的位置。
结合第二方面,在第二方面的某些可能的实现方式中,该方法还包括:该接入网设备接收该终端设备发送的上行数据,该上行数据由是由该终端设备的第一协议栈处理得到的,该第一协议栈的类型用于指示该上行数据的用户面安全终结点的位置。
在一些可能的实现方式中,该方法还包括:该接入网设备接收该终端设备发送的安全保护后的上行数据和第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点在用户面功能网元;该接入网设备向用户面功能网元转发该安全保护的该上行数据。
本申请实施例的数据处理的方法,当用户面安全终结点的位置在用户面功能网元时,该接入网设备通过接收终端设备发送的第一指示信息,不对该上行数据做任何解安全保护的操作,直接将该上行数据转发给用户面功能网元。
在一些可能的实现方式中,该方法还包括:该接入网设备向该用户面功能网元发送终端设备的标识信息,该终端设备的标识信息用于该用户面功能网元确定该第二用户面安全信息用于该终端设备。
本申请实施例中的数据处理的方法,通过接入网设备向用户面功能网元发送终端设备的标识信息,有助于用户面功能网元明确用户面安全信息用于哪个终端设备或者哪个数据流。
在一些可能的实现方式中,该接入网设备向该用户面功能网元发送该第二用户面安全信息,包括:该接入网设备通过该控制面功能网元向该用户面功能网元发送该第二用户面安全信息;或者,该接入网设备通过第一接口向该用户面功能网元发送该第二用户面安全信息,该第一接口为该接入网设备和该用户面功能网元之间的接口。
在一些可能的实现方式中,该接入网设备向该用户面功能网元发送该第二用户面安全信息,包括:该接入网设备接收终端设备发送的第一上行数据和第一指示信息,该第一指示信息用于指示该第一上行数据的安全终结点位于该用户面功能网元;该接入网设备向该用户面功能网元发送第二上行数据,该第二上行数据包括该第一上行数据、该第一指示信息和该第二用户面安全信息。
在一些可能的实现方式中,该第二上行数据由该接入网设备和该用户面功能网元进行安全保护。
第三方面,提供了一种数据处理的方法,该方法包括:用户面功能网元接收控制面功能网元发送的第二根密钥和终端设备的安全能力信息;该用户面功能网元根据该终端设备的安全能力信息,确定安全算法;该用户面功能网元根据该第二根密钥,确定安全密钥;该用户面功能网元根据该安全算法和该安全密钥,对下行数据进行安全保护;或者,该用户面功能网元根据该安全算法和该安全密钥,对上行数据进行解安全保护。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:该用户面功能网元接收该控制面功能网元发送的第一用户面安全策略;该用户面功能网元根据该第一用户面安全策略,确定第二用户面安全策略;该用户面功能网元向接入网设备发送该第二用户面安全策略。
本申请实施例的数据处理的方法,安全保护是否激活由UPF网元而不是AN设备确认,有助于提高安全保护的效率和准确度。
结合第三方面,在第三方面的某些实现方式中,该第一用户面安全策略用于指示该用户面加密保护偏好激活和/或该用户面完整性保护偏好激活,该第二用户面安全策略用于指示该用户面安全保护激活或者不激活,和/或,该用户面完整性保护激活或者不激活。
结合第三方面,在第三方面的某些实现方式中,该第一用户面安全策略和该第二用户面安全策略还用于指示用户面安全终结点位于该用户面功能网元。
本申请实施例的数据处理的方法,通过在用户面安全策略中携带用户面安全终结点的位置信息,有助于接入网设备和终端设备明确用户面安全终结点的位置。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:该用户面功能网元接收该接入网设备发送的第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点在该用户面功能网元。
本申请实施例的数据处理的方法,用户面功能网元通过接收接入网设备发送的第一指示信息,有助于用户面功能网元明确该上行数据的用户面安全终结点在该用户面功能网元。
第四方面,提供了一种数据处理的方法,该方法包括:用户面功能网元接收来自于接入网设备的第二用户面安全信息,该第二用户面安全信息包括安全算法和安全密钥;该用户面功能网元根据该第二用户面安全信息,对下行数据进行安全保护;或者,该用户面功能网元根据该第二用户面安全信息,对上行数据进行解安全保护。
结合第四方面,在第四方面的某些可能的实现方式中,该用户面功能网元接收来自于接入网设备的第二用户面安全信息之前,该方法还包括:该用户面功能网元确定第二用户面安全策略;该用户面功能网元向该接入网设备发送该第二用户面安全策略,该第二用户面安全策略用于该接入网设备确定该第二用户面安全信息。
结合第四方面,在第四方面的某些可能的实现方式中,该用户面功能网元确定第二用户面安全策略之前,该方法还包括:该用户面功能网元接收控制面功能网元发送的第一用户面安全策略;其中,用户面功能网元确定第二用户面安全策略,包括:该用户面功能网元根据该第一用户面安全策略,确定该第二用户面安全策略。
结合第四方面,在第四方面的某些可能的实现方式中,该第一用户面安全策略用于指示用户面加密保护偏好激活和/或用户面完整性保护偏好激活,该第二用户面安全策略用于指示该用户面加密保护激活或者不激活,和/或,该用户面完整性保护激活或者不激活。
第五方面,提供了一种数据处理的装置,该数据处理的装置包括用于执行第一方面或第一方面的任意一种可能的实现方式中的数据处理的方法的模块。
第六方面,提供了一种数据处理的装置,该数据处理的装置包括用于执行第二方面或第二方面的任意一种可能的实现方式中的数据处理的方法的模块。
第七方面,提供了一种数据处理的装置,该数据处理的装置包括用于执行第三方面或第三方面的任意一种可能的实现方式中的数据处理的方法的模块,或者,该数据处理的装置包括用于执行第四方面或第四方面的任意一种可能的实现方式中的数据处理的方法的模块。
第八方面,提供了一种数据处理的装置,该装置可以为上述方法设计中的终端设备,或者为设置在终端设备中的芯片。该装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面及其任意一种可能的实现方式中终端设备所执行的方法。可选地,该装置还包括存储器。可选地,该装置还包括通信接口,处理器与通信接口耦合。
当该装置为终端设备时,该通信接口可以是收发器,或,输入/输出接口。
当该装置为配置于终端设备中的芯片时,该通信接口可以是输入/输出接口。
第九方面,提供了一种数据处理的装置,该装置可以为上述方法设计中的接入网设备,或者为设置在接入网设备中的芯片。该装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第二方面及其任意一种可能的实现方式中接入网设备所执行的方法。可选地,该装置还包括存储器。可选地,该装置还包括通信接口,处理器与通信接口耦合。
当该装置为接入网设备时,该通信接口可以是收发器,或,输入/输出接口。
当该装置为配置于接入网设备中的芯片时,该通信接口可以是输入/输出接口。
第十方面,提供了一种数据处理的装置,该装置可以为上述方法设计中的用户面功能网元,或者为设置在用户面功能网元中的芯片。该装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第三方面及其任意一种可能的实现方式中用户面功能网元所执行的方法,或者,第四方面及其任意一种可能的实现方式中用户面功能网元所执行的方法。可选地,该装置还包括存储器。可选地,该装置还包括通信接口,处理器与通信接口耦合。
当该装置为用户面功能网元时,该通信接口可以是收发器,或,输入/输出接口。
当该装置为配置于用户面功能网元中的芯片时,该通信接口可以是输入/输出接口。
第十一方面,提供了一种通信系统,该通信系统包括上述接入网设备和上述用户面功能网元。
在一些可能的实现方式中,该通信系统该还包括上述控制面功能网元。
在一些可能的实现方式中,上述接入网设备和上述用户面功能网元通过第一接口进行通信,或者,上述接入网设备通过上述控制面功能网元和上述用户面功能网元进行通信。
第十二方面,提供了一种程序,该程序在被处理器执行时,用于执行第一方面至第四方面提供的方法。
第十三方面,提供了一种程序产品,所述程序产品包括:程序代码,当所述程序代码被装置(例如,终端设备、接入网设备或者用户面功能网元)的通信单元、处理单元或收发器、处理器运行时,使得该装置执行上述第一方面至第四方面及其可能的实施方式中的任一方法。
第十四方面,提供了一种计算机可读介质,所述计算机可读介质存储有程序,所述程序使得装置(例如,终端设备、接入网设备或者用户面功能网元)执行上述第一方面至第四方面及其可能的实施方式中的任一方法。
附图说明
图1是本申请实施例的技术方案的应用场景的示意图。
图2是本申请实施例提供的一种数据处理的方法的示意性流程图。
图3是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图4是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图5是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图6是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图7是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图8是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图9是本申请实施例提供的一种数据处理的方法的另一示意性流程图。
图10是本申请实施例提供的一种数据处理的装置的示意性框图。
图11是本申请实施例提供的另一种数据处理的装置的示意性框图。
图12是本申请实施例提供的另一种数据处理的装置的示意性框图。
图13是本申请实施例提供的另一种数据处理的装置的示意性框图。
图14是本申请实施例提供的另一种数据处理的装置的示意性框图。
图15是本申请实施例提供的通信系统的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
如图1所示,可以应用本申请实施例的技术方案的应用场景中可以包括用户设备(user equipment,UE)101、接入网(access network,AN)设备102、用户面功能(user planefunction,UPF)网元103、接入和移动性管理功能(access and mobility managementfunction,AMF) 网元104、会话管理功能(session management function,SMF)网元105、统一数据管理功能(unified data management,UDM)网元106和数据网络(data network,DN)107。
UE也可以称为终端设备。终端设备可以经AN设备与一个或多个核心网(corenetwork,CN)进行通信。终端设备可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线网络设备、用户代理或用户装置。终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备或物联网、车联网中的终端设备以及未来网络中的任意形态的终端设备等。
AN设备可以是无线接入网(radio access network,RAN)设备。RAN设备的一种示例是基站(base station,BS)。
基站,也可称为基站设备,是一种将终端接入到无线网络的设备,包括但不限于:传输接收点(transmission reception point,TRP)、5G系统中的下一代基站节点(nextgeneration node basestation,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base stationcontroller, BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,homeevolved nodeB,或home node B,HNB)、基带单元(base band unit,BBU),或Wifi接入点(access point, AP),或小基站设备(pico)等。
应理解,本文对基站的具体类型不作限定。采用不同无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为终端设备提供无线通信功能的装置统称为基站。
UPF网元具有终端设备的报文转发、封装和统计等功能,AN设备和UPF网元之间的接口可以为N3接口。
AMF网元负责终端设备的接入和移动性管理。例如,负责UE位置更新、UE注册网络或UE切换等,UE和AMF之间的接口可以为N1接口,AN设备和AMF网元之间的接口可以为N2接口。
SMF网元负责UPF网元的选择、重选,互联网协议(internet protocol,IP)地址的分配等,还可以负责会话的建立、修改和释放等,SMF网元和UPF网元之间的接口可以为 N4接口。
PCF网元用于实现包括管理网络行为的统一策略框架、为控制面提供需要执行的策略规则以及获取与策略决策相关的订阅信息等功能。
UDM网元用于存储用户的签约数据。
DN是指为UE提供数据传输服务的运营商网络。例如,DN可以是提供IP多媒体业务(IP multi-media,IMS)、互联网业务等业务的网络,UPF网元和DN之间的接口可以为N6接口。
应理解,本申请实施例并不限于图1所示的系统架构中。例如,可以应用本申请实施例的通信方法的通信系统中可以包括更多或更少的网元或设备。图1中的设备或网元可以是硬件,也可以是从功能上划分的软件或者以上二者的结合。图1中的设备或网元之间可以通过其他设备或网元通信。
图1所示的应用场景中,SMF网元可以生成用户面安全实施信息(user planesecurity enforcement information),或者还可以称之为用户面安全策略、安全策略等,该用户面安全策略包括两方面内容:
(1)用户面完整性保护是必须激活的(required)、偏好激活的(preferred)或者不需要激活(not needed);
(2)用户面加密保护是必须激活的(required)、偏好激活的(preferred)或者不需要激活(not needed)。
在required的情况下,相关保护必须激活;在preferred的情况下,相关安全是否可以激活由AN设备102自己决定;在not needed的时候,相关安全是不要激活的。
SMF网元105将生成的用户面安全策略通过AMF网元104发送给AN设备102,AN 设备102可以根据该用户面安全策略,激活AN设备102和UE101之间的用户面安全,生成安全密钥,例如,若该用户面安全策略指示加密保护是required,同时也指示了完整性保护是required,那么AN设备102可以生成加密密钥和完整性保护密钥。
AN设备102可以在确定出加密保护和完整性保护开启方法后,通过无线控制资源(radio resource set,RRC)消息(例如,RRC重配置消息),将确定的加密保护是否开启和完整性保护是否开启告诉给UE101,UE101在收到之后,激活UE101和AN设备102 之间的用户面安全,生成相应的加密密钥和/或完整性保护密钥。
UE101可以在向AN设备102发送上行数据时,可以对上行数据进行安全保护,该安全保护包括加密保护和/或完整性保护,该加密保护可以是UE101根据确定的加密算法和生成的加密密钥,对上行数据进行加密,该完整性保护可以是UE101根据确定的完整性保护算法和生成的完整性保护密钥,对上行数据进行完整性保护。
当用户面终结点在AN设备102时,AN设备102可以对上行数据进行解安全保护,该解安全保护包括解密保护和/或验证完整性保护是否正确,该解密保护可以为AN设备 102对该上行数据进行解密,该验证完整性保护可以为AN设备102验证该上行数据的完整性保护是否正确。
上述UE101对上行数据进行安全保护的过程适用于用户面终结点在AN设备102的情况下,当用户面终结点为UPF网元103时,需要设计一个方法或者流程,使得UE101 和UPF网元103激活用户面安全。
以下结合图2至图9,介绍本申请实施例的数据处理的方法,其中,图2至图7的数据处理的方法为UE101和AN设备102进行用户面安全激活,然后由AN设备102通知 UPF网元103用户面安全激活,相当于AN设备102代理UPF网元103进行了用户面安全激活;图8和图9的数据处理方法为UE101和AN设备102之间直接进行用户面安全激活。
图2示出了本申请实施例提供的数据处理的方法200的示意性流程图,该方法200中接入网设备代替用户面功能网元进行了用户面安全激活,并且由该接入网设备确定安全算法以及生成安全密钥,并将确定的安全算法和安全密钥发送给用户面功能网元,如图2所示,该方法200包括:
S210,控制面功能网元向接入网设备发送用户面安全策略,该接入网设备接收该控制面功能网元发送的该用户面安全策略,该用户面安全策略用于指示用户面安全终结点位于用户面功能网元。
可选地,该用户面安全策略可以包括第一字段和第二字段,该第一字段用于指示用户面安全终结点的位置信息,该第二字段用于指示安全保护为必须激活的(required)、偏好激活的(preferred)或者不需要激活的(not needed)。
应理解,本申请实施例中,安全保护指加密保护和/或完整性保护。
还应理解,控制面功能网元可以包括图1所示的AMF网元104、SMF网元105等,接入网设备可以为图1所示的AN设备102,用户面功能网元可以为图1所示的UPF网元 103,终端设备可以为图1所示的UE101。
可选地,该用户面安全策可以略由SMF网元105确定,该控制面功能节点向该接入网设备发送用户面安全策略可以理解为该SMF网元105通过AMF网元104向该AN设备 102发送该用户面安全策略。
例如,SMF网元105确定用户面安全策略,该用户面安全策略用于指示用户面安全终结点位于UPF103,SMF网元105向AMF网元104发送该用户面安全策略,该AMF 网元104将该用户面安全策略转发给AN设备102。
可选地,该用户面安全策略可以由UPF网元103确定,该控制面功能节点向该接入网设备发送用户面安全策略可以理解为UPF网元103通过SMF网元105和AMF网元104 向AN设备102发送该用户面安全策略。
应理解,若该用户面安全策略由UPF网元103确定,则该第二字段用于指示安全保护为必须激活的(required)或者不需要激活的(not needed)。
可选地,该用户面安全策略由UPF网元103确定,包括:
该SMF网元105确定第一用户面安全策略;
该SMF网元105向该UPF网元103发送该第一用户面安全策略,该UPF网元103 接收该SMF网元105发送的该第一用户面安全策略;
该UPF网元103根据该第一用户面安全策略,确定第二用户面安全策略。
具体而言,第一用户面安全策略和第二用户面安全策略可以相同也可不同。比如,该 SMF网元105确定的第一用户面安全策略,并将第一用户面安全策略发送给该UPF网元103,若第一安全策略中第二字段指示安全保护为偏好激活(preferred),那么UPF网元 103确定偏好激活的安全保护是否激活,进而该UPF网元103可以确定第二用户面安全策略,该第二用户面安全策略中携带的第二字段明确指示了安全保护为必须激活的 (required)或者不需要激活的(not needed)。若UPF网元103发现第二字段指示安全激活没有偏好激活的,则UPF网元103在确定安全激活方法可以被使用后,将第一用户面安全策略作为第二用户面安全策略。若UPF网元103发现安全激活方法不可以被使用,则UPF网元103可以拒绝这个PDU会话建立流程。
本申请实施例的数据处理的方法,安全保护是否激活由UPF网元而不是AN设备确认,有助于提高安全保护的效率和准确度。
应理解,本申请实施例中,SMF网元105确定用户面安全终结点位置的方式可以和现有技术中的确定方式相同,为了简洁,这里不加赘述。
S220,该接入网设备根据该用户面安全策略,确定用户面安全激活指示信息。
具体而言,AN设备102在接收到该用户面安全策略后,根据该第一字段确定该用户面安全终结点位于UPF网元103,根据第二字段确定用户面安全保护激活或者不激活,和 /或,用户面完整性保护激活或者不激活。
可选地,该第二字段用于指示安全保护为偏好激活的(preferred)时,该接入网设备根据该终端设备的能力和/或该用户面功能网元的能力,确定安全保护是否被激活。
例如,该第二字段指示该加密保护为偏好激活的(preferred)且该完整性保护为偏好激活的(preferred)时,若该接入网设备确定该用户面功能很强大或根据预配置的信息确定安全终结在UPF网元103的激活加密保护和该完整性保护,则确定激活该加密保护和该完整性保护。
可选地,该方法该包括:
该接入网设备确定第二用户面安全信息,该第二用户面安全信息包括安全密钥。
可选地,该接入网设备确定安全密钥,包括:
该接入网设备根据第一根密钥KAN,生成第二根密钥KUPF
可选地,该接入网设备根据该用户面安全激活指示信息和该第二根密钥KUPF,生成该安全密钥。
例如,在接入网设备确定用户面安全激活指示信息中加密保护激活且完整性保护不激活时,该接入网设备根据该第二根密钥生成加密密钥。
应理解,该第一根密钥KAN可以是该终端设备进行注册时保存在该接入网设备的密钥。
例如,该第一根密钥KAN可以是KgNB
可选地,该第二用户面安全信息还包括安全算法,该接入网设备确定安全算法,包括:
该接入网设备根据终端设备的安全能力信息和预配置的安全算法优先级列表,确定所述安全算法。
例如,AN设备102保存有UE101的安全能力信息和安全算法优先级列表,该安全算法优先级列表包括加密算法优先级列表和完整性保护算法优先级列表,或者该AN设备已经选择过控制面的安全算法。AN设备102通过重用选择出来的控制面安全算法确定相应的用户面安全算法,或者AN设备102通过用户面安全策略,确定用户面加密保护激活和 /或用户面完整性保护激活,AN设备102可以根据UE101的安全能力信息和预配置的安全算法优先级列表,确定相应的安全算法。
可以理解的是,本申请实施例中并不对信息或者消息的名称做限定,凡是有类似功能的消息都可以理解为是用户面安全激活指示信息。
S230,该接入网设备向终端设备发送用户面安全激活指示信息,该终端设备接收该接入网设备发送的该用户面安全激活指示信息,该用户面安全激活指示信息用于指示用户面安全终结点位于用户面功能网元。
可选地,该用户面安全激活指示信息包括第三字段和第四字段,该第三字段用于指示该用户面安全终结点的位置信息,该第四字段用于指示安全保护为激活的或者不激活的。其中,第四字段可能进一步分为加密保护是激活的还是不激活的,完整性保护是激活的还是不激活的。
应理解,S220中该接入网设备在根据终端设备的能力和/或该用户面功能网元的能力,将偏好激活的安全保护确定为必须激活的安全保护或者不必激活的安全保护后,在S230 中可以直接将安全保护是否必须激活告知终端设备。
可选地,该用户面安全激活指示信息携带在RRC重配置(RRC connectionreconfiguration)消息中。
如图1所示,UE101在收到该RRC重配置消息后,确定该第三字段指示该用户面安全终结点在UPF网元103;UE101根据第四字段确定激活用户面安全,并生成相应的密钥。
S240,该终端设备根据该用户面安全激活指示信息,确定第一用户面安全信息,该第一用户面安全信息包括该安全密钥。
可选地,该用户面安全激活指示信息携带在RRC消息中发送给该终端设备。
可选地,该终端设备根据该用户面安全激活指示信息中的该第三字段确定用户面安全终结点位于用户面功能网元,然后根据该第四字段生成相应的密钥。
可选地,该终端设备生成安全密钥,包括:
在一种可能的实现方法中,该终端设备根据第三根密钥KAMF,生成第二根密钥KUPF
在另一种可能的实现方法中,该终端设备根据第一根密钥KAN生成第二根密钥KUPF
该终端设备根据该第二根密钥KUPF,生成安全密钥。
应理解,该第一根密钥KAN、第三根密钥KAMF可以是该终端设备进行注册时保存在该终端设备的密钥。
可选地,该终端设备根据该第二根密钥KUPF,生成安全密钥,包括:
该终端设备根据该第二根密钥KUPF和新鲜性参数,生成该安全密钥。
本申请实施例中,用于生成第二根密钥KUPF或者第二根密钥KUPF生成用户面加密密钥和用户面完整性密钥使用的新鲜性参数包括但不限于:
(1)AN设备102生成的一个值。
(2)AMF网元104获取的一个值,比如维护的计数器值、上行NAS COUNT值、 NH值等,SMF网元105生成的一个随机数。
(3)SMF网元105获取的一个值,比如维护的计数器值、上行NAS COUNT值、NH 值等,SMF网元105生成的一个随机数。
(4)分组数据汇聚协议(packet data convergence protocol,PDCP)计数值,或者UE101 和UPF网元103之间采用的交互协议中的某个计数器值。
例如,UE101和UPF网元103之间有一个协议层,这个协议层有一个计数器值用于保证数据包可以在UPF网元103处按照顺序和/或重新组装。
(5)UE101可以随机生成一个值,或者UE101维护有计数器值。
(6)UPF网元103可以随机生成一个值,或者UPF网元103维护有计数器值。
(7)算法ID。
应理解,本申请实施例中并不限定只使用一种新鲜性参数,即可以有多个新鲜性参数参与安全密钥的计算。这时可以理解为使用了以上提及的新鲜性参数的至少2种的。
例如,该终端设备根据该第二根密钥KUPF、新鲜性参数和其他参数,生成该安全密钥。其中,该其他参数为终端设备确定的算法的标识符和算法的ID号。
本申请实施例中,该终端设备可以根据该第二根密钥KUPF生成加密密钥和完整性保护密钥,该终端设备根据该用户面安全激活指示信息,确定该安全密钥,该安全密钥包括该加密密钥和/或完整性保护密钥;或者,该终端设备可以根据该用户面安全激活指示信息和该第二根密钥KUPF生成该安全密钥,该安全密钥包括加密密钥和/或完整性保护密钥。
可选的,该第一用户面安全信息还包括安全算法,该终端设备根据该用户面安全激活指示信息,确定该安全算法。
例如,UE101确定加密保护激活和/或完整性保护激活后,可以将控制面激活过程中保存的加密算法和/或完整性保护算法确定为用户面激活过程中的安全算法。
可选地,S220中AN设备102向UE101发送的RRC重配置消息中除了包括用户面安全激活指示信息外,还可以包括第二指示信息,该第二指示信息用于指示加密算法和/或完整性保护算法,UE101确定加密保护激活和/或完整性保护激活后,可以将该加密算法和/或完整性保护算法确定为用户面安全激活过程中的安全算法。可选地,该第二指示信息或者具体的安全算法标识符指示。
S250,该终端设备向该接入网设备发送第一用户面安全激活响应信息,该接入网设备接收该终端设备发送的该第一用户面安全激活响应信息,该用户面安全激活响应信息使得接入网设备知晓该终端设备的用户面安全已经激活。
可选地,该第一用户面安全激活响应信息为RRC重配置完成消息。
具体而言,该终端设备在生成安全密钥后,向接入网设备发送第一用户面安全激活响应信息。
如图1所示,UE101向AN设备102发送该第一用户面安全激活响应信息,AN设备 102在接收到该第一用户面安全激活响应信息后,确定UE101和AN设备102之间的用户面安全激活。
可以理解的是,本申请实施例中并不对信息或者消息的名称做限定,凡是有类似功能的消息都可以理解为是第一用户面安全激活响应信息。
S260,该接入网设备向该用户面功能网元发送该接入网设备生成的该第二用户面安全信息,该用户面功能网元接收该接入网设备发送的该第二用户面安全信息。
可选地,该第二用户面安全信息还可以包含接入网设备使用的用户面安全算法和用户面安全密钥。
应理解,该接入网设备向该用户面功能网元发送安全算法的目的是使得用户面功能网元知道当前终端设备会使用哪种算法对用户面数据进行安全保护。
可选地,该安全算法可以是指示信息或者具体的安全算法标识符指示。
例如,在接入网设备和用户面功能网元配置有相同的算法优先级列表的情况下,接入网设备可以发送指示信息给用户面功能网元,其中,安全算法优先级列表代表加密算法优先使用的顺序和完整性保护算法优先使用的顺序,接入网设备可以发送数字1、2、3或者发送相应比特值给用户面功能网元,用户面功能网元在收到之后就知道使用哪个号码的算法。
又例如,接入网设备可以发送确定的算法的标识符给用户面功能网元,其中标识符可以是NIA1,NIA2或者NIA3等3GPP标准化的代表具体算法方法的完整性保护算法标识符,也可以是NEA1,NEA2或者NEA3等3GPP标准化的代表具体算法方法的加密保护算法标识符。
可选地,该安全算法包括加密算法的指示信息和/或完整性算法的指示信息。
可选地,该安全算法包括加密算法标识符和/或完整性算法的标识符。
可选地,该安全密钥包括用户面加密密钥和/或用户面完整性保护密钥。
可选地,S260中该接入网设备除了向该用户面功能网元发送该第二用户面安全信息之外,还可以向该用户面功能网元发送其他信息,该其他信息用于该用户面功能网元确定该第二用户面安全信息用于哪个终端设备或者哪个数据流。
可选地,该其他信息可以为分组数据单元会话标识(packet data unit sessionID,PDU session ID)、服务质量类别标识(quality of service class identifier,QCI)、5QI(5G Quality of service Indicator)、终端设备的永久身份标识(subscriberconcealed identifier,SUPI)或者该终端设备的全球唯一临时UE标识(globally uniquetemporary UE identity,GUTI)中的一种或者多种。
如图1所示,AN设备102在确定UE101和AN设备102之间的用户面安全激活后,向UPF网元103发送该第二用户面安全信息。
可选地,该接入网设备向该用户面功能网元发送该第二用户面安全信息,包括:
该接入网设备通过该控制面功能网元向该用户面功能网元发送该第二用户面安全信息。
如图1所示,AN设备102向AMF网元104发送该第二用户面安全信息,该AMF网元104向SMF网元105转发该第二用户面安全信息,该SMF网元105向该UPF网元103 转发该第二用户面安全信息。
可选地,该接入网设备向该用户面功能网元发送该第二用户面安全信息,包括:
该接入网设备通过第一接口向该用户面功能网元发送该第二用户面安全信息,该第一接口为该接入网设备和该用户面功能网元之间的接口。
可选地,该第一接口为该接入网设备和该用户面功能网元之间的N3接口。
如图1所示,AN设备102通过该N3接口向该UPF网元103发送该第二用户面安全信息。
S270,该终端设备根据该第一用户面安全信息,对待发送给该用户面功能网元的上行数据进行安全保护,得到安全保护后的上行数据。
可选地,在发送安全保护后的上行数据给用户面安全功能网元时,终端设备还会发送第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点位于该用户面功能网元。
如图1所示,当AN设备102和UPF网元103有相似的做安全保护的协议栈,即AN 设备102和UPF网元103做安全保护的协议栈部分是一样的,那么此时AN设备102和 UPF网元103都无法从协议栈区分安全终结点是在AN设备102还是在UPF网元103。
对于上述情况,需要UE101发送一个指示信息给AN设备102和UPF网元103,这个指示信息可以是比特位的指示信息,也可以是S206中的其他指示信息,比如PDU session ID,QCI,5QI,数据无线承载标识(data radio bearer identifier,DRB ID)等。因此,AN 设备102和UPF网元103可以通过指示信息或者其他信息知道当前上行用户面数据的安全终结点在哪。比如,AN设备102可以根据DRB ID确定收到的数据的用户面安全激活方法和、或用户面安全终结点位置信息,进而知晓这个数据的用户面安全终结点在UPF 网元103。
可选地,该上行数据是由该终端设备的第一协议栈处理得到的。
具体而言,对于用户面安全终结点在接入网设备和用户面功能网元的上行数据,该上行数据由终端设备中不同的协议栈处理,不同的协议栈的类型用于指示不同的用户面安全终结点的位置。
例如,当AN设备102和UPF网元103做安全保护的协议栈可以被区分时,UE101 可以根据用户面安全终结点的位置选择相应的协议栈对上行数据进行处理,例如,对发送给UPF网元103的上行数据,UE选择分组数据汇聚协议(packet data convergence protocol,PDCP)层上层进行处理,对发送给AN设备102的上行数据,UE101选择PDCP层下层进行处理。
可以理解的是,对于上行数据进行安全保护使用的协议栈,当用户面功能网元和接入网设备使用的是相同或相似的第二协议栈执行安全时,用户面功能网元和接入网设备无法通过第二协议栈区分当前数据包的安全终结点在哪的时候,用户面功能网元和接入网设备就会通过指示信息知晓安全终结点的位置。若用户面功能网元和接入网设备使用的是不同的协议栈,比如用户面功能网元使用的是第一协议栈处理用户面安全,接入网设备使用的是第三协议栈处理用户面安全,那么用户面功能网元和接入网设备就很容易通过协议栈知晓是否需要自己做解安全操作。
应理解,本申请实施例中,UE101对上行数据进行处理的方式并不限于以上两种方式,还有其他可能的方式可以让AN设备102和UPF网元103区分出该上行数据的用户面安全终结点的位置,本申请对此并不作任何限定。
S280,该终端设备通过该接入网设备向该用户面节点发送该上行数据,该用户面节点通过该接入网设备接收该终端设备发送的该上行数据。
如图1所示,该AN设备102在接收到该上行数据时,判断该上行数据的用户面安全终结点在UPF网元103,AN设备102不对该上行数据做解安全保护的操作,直接将该上行数据转发给UPF网元103。
可选地,该接入网设备向该用户面功能网元发送该第二用户面安全信息,包括:
该接入网设备接收该终端设备发送的第一上行数据,该第一上行数据包括第一指示信息和安全保护后的上行数据,该第一指示信息用于使接入网设备知晓该第一上行数据的安全终结点位于该用户面功能网元。
具体而言,本申请实施例中S260中AN设备102发送给UPF网元103的第二用户面安全信息可以在S280中发送给该UPF网元103。
应理解,本申请实施例中AN设备102可以在转发用户面终结点为UPF网元103的上行数据时,将该第二用户面安全信息(或者,该第二用户面安全信息、该第一指示信息和其他信息)放在该第二上行数据中发送给UPF网元103,此时,S260为可选地。
可选地,该第二上行数据由该接入网设备和该用户面功能网元进行安全保护。
例如,该第二数据包可以使用网络安全协议(internet protocol security,IPsec)进行安全保护。
S290,该用户面功能网元根据该第二用户面安全信息,对该上行数据进行解安全保护。
如图1所示,该UPF网元103在接收到该上行数据时,判断该上行数据的用户面安全终结点在UPF网元103,然后根据该第二用户面安全信息对该上行数据进行解安全保护。
应理解,本申请实施例中,解安全保护可以包括对接收的数据进行解密和/或对接收的数据进行完整性验证。
应理解,本申请实施例中以终端设备发送上行数据为例进行说明,对于用户面功能网元发送下行数据的过程也适用,可选地,该方法还包括:
用户面功能网元根据该第二用户面安全信息对下行数据进行安全保护;
用户面功能网元向接入网设备发送安全保护后的下行数据,接入网设备接收用户面功能网元发送的该下行数据;
该接入网设备不对该下行数据做解安全保护的操作,直接将该下行数据发送给该终端设备。
可选地,该用户面功能网元向接入网设备发送用于指示该下行数据的用户面安全终结点在该终端设备的信息。
一个实施例中,图3示出了本申请实施例提供的数据处理方法200的另一示意性流程图,如图3所示,该方法200包括:
S201,UE101向AN设备102发送非接入层(non-access stratum,NAS)消息,AN 设备102接收UE101发送的该NAS消息。
S202,AN设备102转发该NAS消息给AMF网元104,该AMF网元104接收该AN 设备102发送的该NAS消息。
可选地,该NAS消息会被放在NG AP消息中进行传递,NG AP接口为AN设备102 到AMF网元104之间的接口,在这个接口中传递的消息统称为NG AP消息。
应理解,本申请实施例中,N2接口和NG AP接口为同一接口。
S203,AMF网元104向该SMF网元105发送第一会话管理(session management, SM)消息,该SMF网元105接收该AMF网元104发送的该第一SM消息,该第一SM 消息包括该NAS消息中与会话信息先关的部分。
应理解,NAS消息可以由移动性管理消息和会话管理消息两部分组成。AMF网元104只负责处理移动性管理相关的消息,AMF网元104会将会话管理消息进一步发送给SMF 网元105,SMF网元105负责处理会话管理相关的消息。
S204,SMF网元105向UDM网元106发送第一请求消息,UDM网元106接收该SMF 网元105发送的该第一请求消息,该第一请求消息用于请求与UE101相关的会话签约信息。
S205,UMD网元106向该SMF网元105发送第一请求响应消息,该第一请求响应消息,该第一请求响应消息包括与UE101相关的会话签约信息。
可选地,该第一请求响应消息中包括用户面安全激活的方法。
可选地,该第一请求响应消息包括用户面安全终结点的位置信息。
S206,SMF网元105获取UE101的用户面安全终结点位置信息,并根据该用户面安全终结点位置信息确定第一用户面安全策略。
可选地,SMF网元105获取UE101的安全终结点位置信息包括但不限于以下几种:
(1)NAS消息中有UE101的安全终结点偏好信息,SMF网元105可以从AMF网元 104转发的消息中获取;UE101发送的安全终结点偏好信息可以表示UE101喜欢的安全终结点位置。比如,安全终结点可以是比特位信息,0代表安全终结点在AN设备102,1 代表安全终结点在UPF网元103。因此当SMF网元105看到这个信息的时候,就知道UE101 想要的安全终结点在哪。
(2)签约信息里有UE101的安全终结点位置信息(比如存储在签约信息中的用户面安全策略中、或者签约信息明确指出UE101可以接受的服务类型,比如物联网(internet ofthings,IoT)服务,车联网服务);正如S205中的描述,签约信息中可以包含某种信息用于指示安全终结点位置。比如安全终结点可以是比特位信息,0代表安全终结点在AN 设备102,1代表安全终结点在UPF网元103。因此当SMF网元105看到这个信息的时候,就知道UE101想要的安全终结点在哪。
(3)SMF网元105可以根据切片信息判断(比如车联网的切片、物联网的切片的用户面安全终结点在UPF网元103);切片信息可以是切片ID,表示切片的字符串信息等各种用于区分切片的信息。
例如,UE101会传递NSSAI给SMF网元105,SMF网元105可以从签约信息中获得UE101允许接入的切片信息。SMF网元105可以获得通过切片信息确定安全终结点;比如,SMF网元105可以直接获取UE101的切片信息和安全终结点信息(比如,签约信息规定当UE101接入增强移动带宽(enhance mobile broadband,eMBB)切片的时候,安全终结点在AN设备102;当UE101接入车联网切片的时候,安全终结点在UPF网元103。因此此时可以理解为如果UE101可以接入多个切片,不同切片的安全终结点位置可以不同)。再比如运营商可以在SMF网元105本地配置对切片信息和安全终结点信息的应关系。
总之,SMF网元105可以根据切片信息获取对应的用户面安全终结点位置信息,进而决定安全终结点在哪里。
(4)SMF网元105可以进一步的跟其他控制面功能网元进行交互,比如应用功能(application function,AF)网元、策略控制功能(policy control function,PCF)网元,并根据交互结果获取用户面安全终结点在哪(AF网元提供或者SMF网元105根据AF网元反馈信息判断);AF可以接收外部第三方信息。比如AF可以获取到当DNN是腾讯的时候,那么安全终结点在UPF网元103;PCF网元可以提供给SMF网元105当前这个会话的时延、带宽保证等信息;SMF网元105可以根据从AF网元、PCF网元等至少一种核心网网元的提供的信息,比如数据网络名称(data network name,DNN)信息、分流信息、时延信息等至少一种信息进行判断安全终结点在哪。
(5)SMF网元105可以根据本地配置的策略(local policy)进行判断;当SMF网元105没有从上述(1)到(4)获取任何内容的时候,可以根据本地预配置的策略进行判断。比如本地预配置的策略是安全终结点在AN设备102,则所有会话的安全终结点在AN设备102。再比如本地配置是某些DNN在AN设备102,某些DNN在UPF网元103,则SMF 网元105要根据UE101提供的DNN信息判断安全终结点位置信息。
(6)SMF网元105根据获取的各种信息的优先级判断;比如,SMF网元105可以根据(1)到(4)中的内容进行综合判断。比如SMF网元105预配置有(1)到(4)的优先级顺序关系,SMF网元105根据优先级顺序进行选择。
本申请实施例中,扩展用户面安全策略的内容,增加一个信息,这个信息用于指示用户面安全终结点的位置在哪。比如信息可以是指示信息,当指示为0的时候安全终结点在AN设备102,当指示信息是1的时候安全终结点在UPF网元103;再比如指示信息可以是字符串信息,当为“AN”时则安全终结点在AN设备102,当为“UPF”的时候安全终结点在UPF网元103。
应理解,本申请实施例中并不限制用户面安全策略只包括用户面完整性保护是否需要激活、用户面加密保护是否需要激活、用户面安全终结点位置这3种信息,也就是说,安全策略中可以包括更多的内容,比如建议的算法强度等内容。
还应理解,本申请实施例中主要以用户面安全终结点位于UPF网元103进行介绍,下面的步骤中用户面安全策略指示用户面安全终结点位于UPF网元103。
S211,SMF网元105向AMF网元104发送第一用户面安全策略,该AMF网元104 接收该SMF网元105发送的该第一用户面安全策略。
S212,AMF网元104向AN设备102发送该第一用户面安全策略,该AN设备102 接收该AMF网元104发送的该第一用户面安全策略。
S221,AN设备102根据该第一用户面安全策略,确定第一RRC消息,该第一RRC 消息指示用户面安全终结点位于UPF网元103,该第一RRC消息还指示用户面加密保护是否激活,和/或,用户面完整性保护是否激活。
可选地,AN设备102生成安全密钥。
具体而言,AN设备102确定用户面安全终结点位于UPF网元103,根据第一用户面安全策略中指示的用户面完整性保护是否需要激活以及用户面加密保护是否需要激活生成相应的安全密钥。
可选地,AN设备102确定安全算法。
S231,AN设备102向UE101发送第一RRC消息,该UE101接收该AN设备102发送的第一RRC消息,该第一RRC消息指示用户面安全终结点位于UPF网元103,该一 RRC消息还指示了用户面完整性保护是否激活,和/或,用户面加密保护是否激活。
S241,UE101根据该第一RRC消息,生成安全密钥。
可选地,UE101确定安全算法。
S251,UE101向AN设备102发送第二RRC消息,AN设备102接收UE101发送的第二RRC消息,该第二RRC消息用于确定UE101的用户面安全激活。
S252,AN设备102确定UE101和UPF网元103之间的用户面安全激活完成。
S261,AN设备102向AMF网元104发送第一N2消息,AMF网元104接收该AN 设备102发送的第一N2消息,该第一N2消息包括S221中生成的该安全密钥。
可选地,该第一N2消息还包括UE101的标识信息。
可选地,该第一N2消息还包括S221中确定的安全算法。
可选地,该第一N2消息还包括AN设备102确定的第三指示信息,该第三指示信息用于指示加密保护是否开启,和/或,完整性保护是否开启。
S262,AMF网元104向SMF网元105发送第二SM消息,SMF网元105接收AMF 网元104发送的该第二SM消息,该第二SM消息包括S221中生成的该安全密钥。
可选地,该第二SM消息还包括UE101的标识信息。
可选地,该第二SM消息还包括S221中确定的安全算法。
可选地,该第二SM消息还包括AN设备102确定的第三指示信息,该第三指示信息用于指示加密保护是否开启,和/或,完整性保护是否开启。
可选地,该第二用户面安全信息包括该第三指示信息。
S263,SMF网元105向UPF网元103发送第一N4消息,UPF网元103接收SMF网元105发送的该第一N4消息,该第一N4消息包括S221中生成的该安全密钥。
可选地,该第一N4消息还包括UE101的标识信息。
可选地,该第一N4消息还包括AN设备102确定的第三指示信息,该第三指示信息用于指示加密保护是否开启,和/或,完整性保护是否开启。
可选地,该第一N4消息中还包括S221中确定的安全算法。
S264,UPF网元103在收到该第一N4消息后,会存储该安全密钥和确定使用跟UE101一样的安全算法。
S265,UPF网元103向SMF网元105发送第一N4响应消息,SMF网元105接收该 UPF网元103发送的该第一N4响应消息。
S266,SMF网元105向AMF网元104发送第二SM响应消息,AMF网元104接收 SMF网元105发送的该第二SM响应消息。
S267,AMF网元104向AN设备102发送第一N2响应消息,AN设备102接收AMF 网元104发送的该第一N2响应消息。
S271,UE101对待发送的用户面数据进行安全保护。
具体而言,UE101可以使用S241中确定的安全密钥对该用户面数据进行安全保护。
可选地,该用户面数据包括第一指示信息,该第一指示信息用于指示该用户面数据的安全终结点在UPF网元103。
S281,UE101向AN设备102发送该用户面数据,该AN设备102接收UE101发送的该用户面数据。
可选地,UE101向AN设备102发送第一指示信息,该第一指示信息用于指示该用户面数据的安全终结点在UPF网元103。
S282,AN设备102确定该用户面数据的安全终结点在UPF网元103后,不对用户面数据做解安全操作,直接将该用户面数据转发给UPF网元103。
S291,UPF网元103根据该安全算法和该安全密钥,对该用户面数据进行解安全保护。
一个实施例中,图4示出了本申请实施例提供的数据处理方法200的再一示意性流程图,相比于图3中用户面安全策略由SMF网元105生成,图4所示的方法中该用户面安全策略由UPF网元103生成,如图4所示,该方法200包括:
S207,SMF网元105向UPF网元103发送第二N4消息,UPF网元103接收该SMF 网元105发送的该第二N4消息,该第二N4消息包括第一用户面安全策略。
应理解,S207中的第一用户面安全策略可以为图4中SMF网元105在S206中确定的用户面安全策略。
还应理解,S207之前还包括S201-S206,S201-S206与图3中的步骤相同,为了简洁,在此不加赘述。
S208,UPF网元103根据该第一用户面安全策略,确定第二用户面安全策略。
具体而言,该第一用户面安全策略可能指示了用户面完整性保护为偏好激活,和/或,用户面完整性保护为偏好激活,此时,UPF网元103在接收到该第一用户面安全策略后,可以由UPF网元103或者运营商配置策略确定用户面完整性保护为激活或者不激活,和/或,用户面加密保护为激活或者不激活。如前所述,第一用户面安全策略和第二用户面安全策略可能相同也可能不同。
相比于图3中用户面安全保护激活或者不激活由AN设备102确定,图4中用户面安全保护激活或者不激活由UPF网元103确定,这样有助于提高用户面安全保护的效率和准确性。
S209,UPF网元103向SMF网元105发送该第二N4响应消息,SMF网元105接收 UPF网元103发送的该第二N4响应消息,该第二N4响应消息包括该第二用户面安全策略。
S213,SMF网元105向AMF网元104发送该第二用户面安全策略,该AMF网元104 接收该SMF网元105发送的该第二用户面安全策略。
S214,AMF网元104向AN设备102发送该第二用户面安全策略,该AN设备102 接收该AMF网元104发送的该第二用户面安全策略。
S222,AN设备102根据该第二用户面安全策略,确定第一RRC消息。
应理解,S222后的步骤S231-S291与图3中的步骤相同,为了简洁,在此不加赘述。
一个实施例中,图5示出了本申请实施例提供的数据处理方法200的再一个示意性流程图,图3和图4所示的方法中UPF网元在接收到用户面安全算法以及安全密钥的时候,就可以认为用户面安全已经激活了,而图5所示的方法中考虑的是UPF网元接收到安全算法以及安全密钥和用户面安全激活分离的场景,也就是说,UPF网元可以在某个是否先接收到安全算法和安全密钥,然后根据具体的指示信息确定安全是否激活,即是否可以开始使用安全算法和安全密钥,图5所示的方法提供了另一种AN设备告诉UPF网元用户面安全已经被激活的方式。
图5中假设UPF网元103在之前的某个流程中,已经获得了用户面安全算法和安全密钥,这里和图3中方法主要区别在S261-S263,如图5所示,该方法200包括:
S264,AN设备102向AMF网元104发送第二N2消息,AMF网元104接收该AN 设备102发送的该第二N2消息,该第二N2消息包括第三指示信息,该第三指示信息用于指示激活用户面加密保护和/或用户面完整性保护。
该第三指示信息可以包括指示2个比特位,分别指示用户面加密保护是否激活、用户面完整性保护是否激活。
可选地,该第三指示信息还包括第3个比特位,该第3个比特位指示使用的安全等级,例如,安全等级通过安全算法区分:第3比特的指示信息指示安全算法使用128比特的还是256比特的(256比特算法那比128比特算法更安全)。
可选地,该第三指示信息中还包括其他信息。
应理解,该其他信息可以和上述S260中的其他信息相同,该其他信息用于该用户面功能网元确定该用户面安全信息用于哪个终端设备或者哪个数据流。
S265,AMF网元104向SMF网元105发送第三SM消息,SMF网元105接收AMF 网元104发送的该第三SM消息,该第三SM消息包括该第三指示信息。
可选地,该第三SM消息还包括UE101的标识信息。
S266,SMF网元105向UPF网元103发送第三N4消息,UPF网元103接收SMF网元105发送的该第三N4消息,该第三N4消息包括该第三指示信息。
S267,UPF网元103开启使用安全密钥。
具体而言,UPF网元103在接收到该第三指示信息后,UPF网元103激活用户面安全,即UPF网元103开启上行数据解密和/或完整性保护验证;或者,UPF网元103开启下行数据加密和/或完整性保护,也就是说UPF可以开始使用之前获得的算法和密钥了。
本申请实施例的数据处理方法,UPF可以重复使用某个UE的密钥和可以使用的若干个算法(比如128比特算法和256比特算法,这里的算法包括完整性保护算法和加密算法)。具体为:UPF只要获取过这个UE的密钥和可以使用的若干个安全算法,那么UPF根据安全激活指示信息激活特定的基于其他信息的用户面安全。
例如,首次激活了PDU session 1的用户面安全,然后下次激活了PDU session 2的用户面安全。PDU session 1和PDU session 2使用相同的安全密钥。可以看到在图3所示的方法200中,只要安全在UPF激活,就需要给UPF传递密钥。因此图5中的方法200可以达到的效果是只需要下发一次密钥,然后根据具体的安全激活指示信息激活特定的用户面安全即可。
因此图3所示的方法(或者图4所示的方法)可以和图5所示的方法结合,即图3(或者图4)所示的方法可以是当某个UE的用户面安全首次终结点在UPF网元103的时候;或者,在UE的安全终结点在UPF网元103后,用户面安全密钥更新后,AN设备102通知UPF网元 103更换密钥,同时激活用户面安全的过程。UPF网元103通过获得安全密钥和安全算法,显示地确定用户面安全激活;图5所示的方法是在UE已经有过安全终结点在UPF网元103,或者UPF网元103使用的安全密钥更新之后,这个UE另一个会话的用户面安全又终结在这个UPF网元103的时候,只需要发送第三指示信息和其他信息就可以激活UPF的用户面安全保护了。
本申请实施例中,UPF网元103只需要获得针对某个UE或者某个数据流的一次安全密钥和安全算法,当UE回到空闲(Idle)态的时候,UE和UPF网元103不需要删除用户面密钥和算法,有助于节省计算开销。
图6示出了本申请实施例提供的数据处理方法300的示意性流程图,相比于方法200 中用户面安全激活、生成安全密钥均由接入网设备完成的方式,方法300中用户面安全激活可以由接入网设备完成,但是安全算法和安全密钥的确定可以由用户面功能网元确定,如图6所示,该方法300包括:
S310,控制面功能网元向接入网设备发送用户面安全策略,该接入网设备接收该控制面功能网元发送的该用户面安全策略,该用户面安全策略用于指示用户面安全终结点位于用户面功能网元。
应理解,方法300中S310和方法200中S210相同,该用户面安全策略可以是第一用户面安全策略,也可以是第二用户面安全策略,为了简洁,在此不加赘述。
还应理解,该用户面安全策略可以是图3中SMF网元105确定后通过AMF网元104 发送给AN设备102,也可以是图4中SMF网元105确定后发送给UPF网元103,由UPF 网元103确定后再通过SMF网元105和AMF网元104发送给AN设备102,方法300中对用户面安全策略的确定方式并不作任何限定。
可选地,该方法300还包括:
控制面功能网元向用户面功能网元发送终端设备的安全能力信息和第一用户面安全策略,该用户面功能网元接收该控制面功能网元发送的该终端设备的安全能力信息和该第一用户面安全策略;该用户面功能网元根据该第一用户面安全策略,确定第二用户面安全策略;
该用户面功能网元根据该终端设备的安全能力信息和预配置的安全算法的安全算法优先级列表,确定安全算法。
可选地,AMF网元104可以将UE101的安全能力信息发送给SMF网元105,并由 SMF网元105发送给UPF网元103。
例如,当AMF网元104和UPF网元103有直接接口的时候,AMF网元104可以直接发送KUPF和UE101的安全能力信息给UPF网元103;当AMF网元104知道哪个UPF 在给UE101服务但是没有直接接口的时候,SMF网元105作为中间转发者可以透传KUPF和UE101的安全能力信息给UPF网元103,此时,SMF网元105还透传所有UPF网元 103发给UE101的消息。
具体而言,UPF网元103预先配置有安全算法优先级列表,该安全算法优先级列表包括用户面加密算法优先级列表和用户面完整性保护算法优先级列表,UPF网元103可以根据该UE101的安全能力信息和该预配置的安全算法优先级列表,确定安全算法。
例如,UPF网元103根据该第二用户面安全策略,确定需要进行加密保护和完整性保护;UPF网元103根据UE101的安全能力和该预配置的安全算法优先级列表,确定相应的安全算法。
例如,表1示出了一种预配置的加密算法优先级列表。
表1预配置的加密算法优先级列表
Figure BDA0001762271370000211
当该UE101的安全能力信息指示UE101的安全能力为“NEA2,NEA3”时,该UPF网元103根据该预配置的加密算法优先级列表,可以确定出加密算法为NEA2。
应理解,本申请实施例中,UE101的安全能力可以为“NEA2,NEA3”时,表示UE101 支持的加密算法为NEA2和NEA3,UPF网元103通过表1可知优先级2对应的加密算法为NEA2,优先级3对应的加密算法为NEA3,由于优先级从1至4依次降低,则UPF网元103可以选择优先级较高的NEA2作为加密算法。
又例如,表2示出了一种预配置的完整性保护算法优先级列表。
表2预配置的完整性保护算法优先级列表
Figure BDA0001762271370000212
当该UE101的安全能力信息指示UE101的安全能力为“NIA1和NIA2”时,该UPF网元103根据该预配置的完整性保护算法优先级列表,可以确定出加密算法为NIA1。
应理解,本申请实施例中,UE101的安全能力还可以为“NIA1,NIA2”时,表示UE101支持的完整性保护算法为NIA1和NIA2,UPF网元103通过表2可知优先级1对应的完整性保护算法为NIA1,优先级2对应的完整性保护算法为NIA2,由于优先级从1至4依次降低,则UPF网元103可以选择优先级较高的NIA1作为完整性保护算法。
UPF网元103最终确定出的安全算法为加密算法NEA2和完整性保护算法NIA1。
S320,该接入网设备确定该用户面安全策略指示的用户面安全终结点位于用户面功能网元。
应理解,相比于方法200中的S220,S320中AN设备102在确定用户面安全终结点的位置位于UPF网元103后,直接向UE101发送用户面安全激活指示信息,可以不确定安全算法以及生成安全密钥。
S330,该接入网设备向该终端设备发送用户面安全激活指示信息,该终端设备接收该接入网设备发送的该用户面安全激活指示信息,该用户面安全激活指示信息指示用户面安全终结点位于用户面功能网元。
可选地,该用户面安全激活指示信息包括第三字段和第四字段,该第三字段用于指示该用户面安全终结点的位置信息,该第四字段用于指示安全保护为必须激活的(required) 或者不需要激活的(not needed)。
应理解,S330与方法200中的S230相同,为了简洁,在此不加赘述。
S340,该终端设备根据该用户面安全激活指示信息,确定用户面安全信息,该用户面安全信息包括该安全算法和该安全密钥。
应理解,S340与方法200中的S240相同,为了简洁,在此不加赘述。
S350,该终端设备向该接入网设备发送第一用户面安全激活响应信息,该接入网设备接收该终端设备发送的该第一用户面安全激活响应信息,该第一用户面安全激活响应信息用于指示该终端设备的用户面安全已经激活。
应理解,S350与方法200中的S250相同,为了简洁,在此不加赘述。
S360,该接入网设备向控制面功能网元发送安全指示信息,该控制面功能网元接收该接入网设备发送的该安全指示信息,该安全指示信息用于指示用户面安全激活成功。
可选地,该安全指示信息中包括第五字段,该第五字段用于通知用户面安全激活成功。
例如,该安全指示信息可以是1个比特指示信息用于通知UPF网元103用户面安全激活成功。
可以理解的是,本申请实施例中并不对信息或者消息的名称做限定,凡是有类似功能的消息都可以理解为是安全指示信息。
S370,该控制面功能网元生成该第二根密钥。
可选地,该控制面功能网元为AMF网元104。
具体而言,AMF网元104在接收到该安全指示信息后,可以根据第三根密钥KAMF,生成该第二根密钥KUPF
应理解,该第三根据密钥KAMF可以是该UE101进行注册时保存在AMF网元104的密钥。
可选地,该AMF网元104根据该第三根密钥和新鲜性参数,生成该第二根密钥KUPF
应理解,新鲜性参数的定义可以参考步骤S240中的内容。
还应理解,本申请实施例中并不限定只使用一种新鲜性参数,即可以有多个新鲜性参数参与安全密钥的计算。
可选地,该AMF网元104根据该第三根密钥、新鲜性参数和其他参数,生成该第二根密钥KUPF
可选地,其他参数包括UE101的GUTI、UE101的SUPI、区分标识符、固定的ID号、接入类型ID或者安全终结点ID中的一种或者多种。
应理解,该AMF网元104在生成该第二根密钥KUPF后,通过SMF网元105向UPF 网元103发送该第二根密钥KUPF
可选地,该控制面安全功能网元为SMF网元105。
具体而言,SMF网元105可以先从AMF网元104接收到第四根密钥KSMF,然后根据该第四根密钥KSMF,生成该第二根密钥KUPF
应理解,该SMF网元105根据该第四根密钥KSMF,生成该第二根密钥KUPF与上述 AMF网元104根据第三根密钥KAMF,生成该第二根密钥KUPF的过程类似,为了简洁,在此不加赘述。
S380,该控制面功能网元向该用户面功能网元发送该第二根密钥,该用户面功能网元接收该控制面功能网元发送的该第二根密钥。
S390,该用户面功能网元存储该第二根密钥。
可选地,该用户面功能网元根据该第二根密钥,生成安全密钥。
例如,UPF网元103可以根据该第二根密钥KUPF,生成该安全密钥。
可选地,该用户面功能网元根据该第二根密钥KUPF和新鲜性参数,生成该安全密钥。
新鲜性参数的定义可以参考步骤S240中的内容。
应理解,该新鲜性参数还可以携带在UE101待发送的上行数据中发送给该UPF网元103,此时S390可以先不生成该安全密钥,而是等到接收到该上行数据时,根据接收到的新鲜性参数和该第二根密钥,生成该安全密钥。
还应理解,后续终端设备对上行数据进行加密,并向用户面功能网元发送上行数据,以及该用户面功能网元对上行数据进行解安全保护的过程和方法200中的S270-S290相同,为了简洁,在此不再赘述。
还应理解,本申请实施例中,S310中SMF网元105还可以不向UPF网元103发送用户面安全策略,而在S360中的安全指示信息中指示用户面加密保护激活,和/或,用户面完整性保护激活的指示信息,并在S380中携带该安全指示信息,UPF网元103可以根据该安全指示信息确定用户面加密保护激活和/或用户面完整性保护激活,此时再确定安全算法和安全密钥。
一个实施例中,图7示出了本申请实施例的数据处理方法300的另一示意性流程图,如图7所示,该方法300包括:
S301,UE101向AN设备102发送非接入层(non-access stratum,NAS)消息,AN 设备102接收UE101发送的该NAS消息。
S302,AN设备102转发该NAS消息给AMF网元104,该AMF网元104接收该AN 设备102发送的该NAS消息。
S303,AMF网元104向该SMF网元105发送第一SM消息,该SMF网元105接收该AMF网元104发送的该第一SM消息,该第一SM消息包括该NAS消息中与会话信息先关的部分。
S304,SMF网元105向UDM网元106发送第一请求信息,UDM网元106接收该SMF 网元105发送的该第一请求信息,该第一请求信息用于请求与UE101相关的会话签约信息。
S305,UMD网元106向该SMF网元105发送第一请求响应信息,该第一请求响应信息,该第一请求响应信息包括与UE101相关的会话签约信息。
S306,SMF网元105获取UE101的用户面安全终结点位置信息,并根据该用户面安全终结点位置信息确定第一用户面安全策略。
应理解,S301-S306与图3中的S201-S206相同,为了简洁,在此不加赘述。
S311,SMF网元105向AN设备102发送该用户面安全策略,该AN设备102接收该 SMF网元105发送的该用户面安全策略。
应理解,S311中该用户面安全策略可以是S306中SMF网元105确定的第一用户满安全策略,也可以是UPF网元103确定的第二用户面安全策略,例如,该SMF还可以在确定该第一用户面安全策略后,将该第一用户面安全策略发送给UPF网元103,并由UPF 网元103确认该第二用户面安全策略后发送给AN设备102。
S321,AN设备102确定该用户面安全策略指示的用户面安全终结点位于UPF网元103。
具体而言,AN设备102在确定用户面安全终结点位于UPF网元103后,不生成安全密钥,向UE101发送第一RRC消息。
S331,AN设备102向UE101发送第一RRC消息,该UE101接收该AN设备102发送的第一RRC消息,该第一RRC消息指示用户面安全终结点位于UPF网元103,该第一 RRC消息还指示了用户面完整性保护是否需要激活以及用户面加密保护是否需要激活。
S341,UE101根据该第一RRC消息,确定安全算法并生成安全密钥。
S351,UE101向AN设备102发送第二RRC消息,AN设备102接收UE101发送的第二RRC消息,该第二RRC消息用于确定UE101的用户面安全激活。
S352,AN设备102确定UE101和UPF网元103之间的用户面安全激活。
应理解,S331-S352与图3中S231-S252相同,为了简洁,在此不加赘述。
S361,AN设备102向AMF网元104发送第三N2消息,AMF网元104接收该AN 设备102发送的第三N2消息,该第三N2消息包括该安全指示信息,该安全指示信息用于指示用户面安全激活成功。
可选地,该安全指示信息还用于指示激活用户面加密保护和/或用户面完整性保护。
S371,AMF网元104根据第三根密钥KAMF,生成第二根密钥KUPF
S381,AMF网元104向SMF网元105发送第四SM消息,该SMF网元105接收AMF 网元104发送的该第四SM消息,该第四SM消息包括该安全指示信息、第二根密钥KUPF和UE的安全能力信息。
S382,SMF网元105向UPF网元103发送第四N4消息,UPF网元103接收该SMF 网元发送的该第四N4消息,该第四N4消息包括该安全指示信息、第二根密钥KUPF和 UE的安全能力信息。
S391,UPF网元103确定安全算法并生成安全密钥。
可选地,UPF网元103根据该第二根密钥,生成安全密钥。
可选地,UPF网元103根据该UE的安全能力信息和预配置的安全算法优先级列表,确定安全算法。若该安全指示信息还用于指示激活用户面加密保护和/或用户面完整性保护,那么,UPF网元103根据该UE101的安全能力信息、该安全指示信息和预配置的安全算法优先级列表,确定安全算法。
S392-S394,UPF网元103向AN设备发送第二用户面安全激活响应信息。
可以理解的是,本申请实施例中并不对信息或者消息的名称做限定,凡是有类似功能的消息都可以理解为是第二用户面安全激活响应信息。
S395,UE101对待发送的用户面数据进行安全保护。
具体而言,UE101可以使用安全算法和安全密钥对该用户面数据进行安全保护。
可选地,该用户面数据包括第一指示信息,该第一指示信息用于指示该用户面数据的安全终结点在UPF网元103。
S396,UE101向AN设备102发送该用户面数据,该AN设备102接收UE101发送的该用户面数据。
S397,AN设备102确定该用户面数据的安全终结点在UPF网元103后,不对用户面数据进行解安全保护的操作,直接将该用户面数据转发给UPF网元103。
S398,UPF网元103根据该安全算法和该安全密钥,对该用户面数据进行解安全保护。
图8示出了本申请实施例提供的数据处理的方法400的示意性流程图,相比于方法200和方法300中接入网设备代理用户面功能网元进行安全激活的方式,方法400中终端设备和用户面功能网元的安全激活点在终端设备和用户面功能网元,而不是在终端设备和接入网设备,也就是说,用户面功能网元作为用户面安全终结点直接参与用户面安全激活的流程,如图8所示,该方法400包括:
S410,控制面功能网元向用户面功能网元发送第一用户面安全策略、终端设备的安全能力信息和第二根密钥,该用户面功能网元接收该控制面功能网元发送的该第一用户面安全策略、该终端设备的安全能力信息和该第二根密钥。
S420,该用户面功能网元确定第二用户面安全策略、安全算法和安全密钥。
可选地,该用户面功能网元根据该第一用户面安全策略,确定该第二用户面安全策略。
应理解,该用户面功能网元根据该第一用户间安全策略,确定该第二用户面安全策略的过程与方法200中S210中的确定过程相同,为了简洁,在此不再赘述。
可选地,该用户面功能网元根据该终端设备的安全能力信息和预配置的安全算法优先级列表,确定该安全算法。
还应理解,该用户面功能网元根据该终端设备的安全能力信息和预配置的安全算法优先级列表,确定安全算法的过程和方法300中的S310中的确定过程类似,不同的地方在于无论用户面安全策略中指示的用户面完整性保护是否开启,此时用户面功能网元都需要激活用户面完整性保护,即用户面功能网元需要确定完整性保护算法,或者说,用户面功能网元确定的安全算法中至少包括完整性保护算法。
可选地,该用户面功能网元根据该第二根密钥,生成该安全密钥。
还应理解,该用户面功能网元根据该第二根密钥确定该安全密钥的过程与方法300中 S390中的确定过程类似,不同的地方在于无论用户面安全策略中指示的用户面完整性保护是否开启,此时用户面功能网元都需要激活用户面完整性保护,即用户面功能网元需要确定完整性保护密钥,或者说,用户面功能网元确定的安全密钥中至少包括完整性保护密钥。
S430,该用户面功能网元向接入网设备发送用户面安全激活请求信息和第二用户面安全策略,该接入网设备接收该用户面安全激活请求信息和第二用户面安全策略,该用户面安全激活请求信息包括该安全算法,该用户面安全激活请求信息至少通过完整性保护密钥进行保护。
可选地,该第二用户面安全策略用于指示用户面安全终结点位于用户面功能网元。
可以理解的是,用户面功能网元发送了用户面安全激活请求信息,接入网设备和终端设备可以根据这条消息判断出用户面安全终结点在用户面功能网元,此时第二用户面安全策略中可以不携带用户面安全终结点的位置指示信息。
S440,该接入网设备向该终端设备发送该用户面安全激活请求信息,该终端设备接收该接入网设备发送的该安全激活请求信息。
可选地,该接入网设备还可以向终端设备发送用户面安全激活指示信息,该用户面安全激活指示信息包括第三字段和第四字段,该第三字段用于指示用户面安全终结点位于用户面功能网元,该第四字段用于指示激活用户面加密保护和/或用户面完整性保护。
应理解,该用户面安全激活指示信息也可以不发送,该终端设备在接收到该用户面安全激活请求信息后可以隐式得确定用户面安全终结点位于用户面功能网元,该终端设备可以通过该用户面安全激活响应消息中的携带的安全算法确定至少激活用户面完整性保护,可选地,若该安全算法中还包括用户面加密保护算法,则该终端设备还可以确定激活用户面加密保护。
还可以理解的是该用户面安全激活指示信息也可以放在用户面安全激活请求信息中发送。也就是说用户面加密保护是否激活,和/或,用户面完整性保护是否激活的指示信息已经被用户面功能网元放到了用户面安全激活请求消息中。此时用户面功能网元不会再单独发第二用户面安全策略给接入网设备。
具体而言,该接入网设备确定用户面安全终结点的位置后,向终端设备发送用户面安全激活请求信息,该用户面安全激活请求信息包括用户面功能网元选择的安全算法。
可选地,该用户面安全激活请求信息还包括第一消息验证码(messageauthentication code,MAC)。
可选地,该用户面功能网元根据完整性保护密钥生成该第一消息验证码。
应理解,本申请实施例中并不对MAC的生成方法作任何限定。
还应理解,该用户面安全激活请求信息可能会经过控制面功能网元和接入网设备转发给该终端设备。
例如,该用户面安全激活请求信息会经过SMF网元105、AMF网元104和AN设备 102转发给UE101。
S450,该终端设备确定该安全算法并生成安全密钥。
具体而言,终端设备可以根据用户面安全激活请求消息中的安全算法确定安全密钥,由于该安全算法中至少包括完整性保护算法,终端设备确定的安全密钥中至少包括完整性保护密钥。
可选地,终端设备根据该完整性保护密钥生成第二消息验证码。
具体而言,该终端设备可以将自己生成的该第二消息验证码和用户面功能网元生成的该第一消息验证码进行对比,若二者相等,则终端设备激活该终端设备和该用户面功能网元的用户面安全。
S460,该终端设备向该用户面功能网元发送第三用户面安全激活响应信息,该用户面功能网元接收该终端设备发送的该第三用户面安全激活响应信息,该第三用户面安全激活响应信息至少通过完整性保护密钥进行保护。
相应的,这条消息需要经过接入网设备和/或控制面功能网元转发给用户面功能网元。
可选地,若该S440终端设备确定的安全密钥还包括加密密钥,则该第三用户面安全激活响应信息可以通过加密密钥进行保护。
应理解,本申请实施例中,并不对加密保护和完整性保护的先后顺序进行限定。
可选地,该第三用户面安全激活响应信息还包括该第二消息验证码。
可以理解的是,本申请实施例中并不对信息或者消息的名称做限定,凡是有类似功能的消息都可以理解为是第三用户面安全激活响应信息。
S470,该用户面功能网元激活用户面安全。
可选地,该用户面功能网元在确定该第二消息验证码和该第一消息验证码相同后,根据确定的第二用户面安全策略中的安全保护方法,激活用户面安全。例如,如果第二用户面安全策略中用户面完整性是开启的,则用户面功能网元开启用户面完整性保护,如果用户面加密保护是开启的,则开启用户面加密保护。
可以理解的是,虽然用户面功能网元确定了完整性保护算法、并生成了用户面完整性保护密钥,但如果UPF网元103确定完整性保护不开启,则UPF网元103也不会使用用户面完整性保护算法和用户面完整性保护密钥。
应理解,后续终端设备对上行数据进行加密、完整性保护,并向用户面功能网元发送上行数据,以及该用户面功能网元对上行数据进行解安全保护的过程和方法200中的S270-S290相同,为了简洁,在此不再赘述。
一个实施例中,图9示出了本申请实施例的数据处理方法400的另一示意性流程图,如图9所示,该方法400包括:
S401,UE101向AN设备102发送NAS消息,AN设备102接收UE101发送的该NAS 消息。
S402,AN设备102转发该NAS消息给AMF网元104,该AMF网元104接收该AN 设备102发送的该NAS消息。
S403,AMF网元104向该SMF网元105发送第一SM消息,该SMF网元105接收该AMF网元104发送的该第一SM消息,该第一SM消息包括该NAS消息中与会话信息先关的部分。
S404,SMF网元105向UDM网元106发送第一请求信息,UDM网元106接收该SMF 网元105发送的该第一请求信息,该第一请求信息用于请求与UE101相关的会话签约信息。
S405,UDM网元106向该SMF网元105发送第一请求响应信息,该第一请求响应信息,该第一请求响应信息包括与UE101相关的会话签约信息。
S406,SMF网元105获取UE101的用户面安全终结点位置信息,并根据该用户面安全终结点位置信息确定第一用户面安全策略。
应理解,S401-S406与图3中的S201-S206相同,为了简洁,在此不加赘述。
S407,SMF网元105获取第二根密钥。
可选地,SMF网元105获取UE101的安全能力信息。
具体而言,SMF网元105在确定用户面安全终结点在UPF网元103的时候,SMF网元105获取该第二根密钥KUPF
例如,SMF网元105可以通过从AMF网元104获取该第二根密钥KUPF,也可以自己生成该第二根密钥KUPF。SMF网元105若自己生成该第二根密钥KUPF,则AMF网元104需要在S403提供一个SMF网元105使用的第四根密钥KSMF给SMF网元105。
应理解,SMF网元105根据该第四根密钥KSMF生成该第二根密钥KUPF的过程可以参照方法300,为了简洁,在此不再赘述。
可选地,SMF网元105还会获取UE101的安全能力。SMF网元105可以在获取该第二根密钥KUPF的同时获取UE的安全能力。
当AMF网元104和UPF网元103有直接接口的时候,AMF网元104可以直接发送该第二根密钥KUPF和UE的安全能力信息给UPF网元103。
当AMF网元104知道哪个UPF网元103在给UE101服务但是没有直接接口的时候,SMF网元105作为中间转发者可以透传该第二根密钥KUPF和UE101的安全能力信息给 UPF网元103。此时,SMF网元105还透传所有UPF网元103发给UE101的消息。
S411,SMF网元105向UPF网元103发送第五N4消息,UPF网元103接收SMF网元105发送的该第五N4消息,该第五N4消息包括该第二根密钥,UE101的安全能力信息和第一用户面安全策略。
S421,UPF网元103确定第二用户面安全策略、安全算法和安全密钥。
可选地,UPF网元103根据该第一用户安全策略,确定第二用户面安全策略。
可选地,UPF网元103根据UE101的安全能力信息和预配置的安全全算法优先级列表,确定安全算法。
具体而言,UPF103根据预配置的加密算法优先级列表和/或完整性保护优先级列表,分别与UE101的安全能力信息确定加密保护算法和/或完整性保护算法。
具体地,如果该第二用户面安全策略指示激活用户面加密保护,则UPF网元103需要确定出用户面加密算法。不管该第二用户面安全策略是否激活用户面完整性保护,UPF网元103都需要确定用户面完整性保护算法。这里需要说明的是:用户面完整性保护算法是必须要确认的,即使UPF网元103确定的该第二用户面安全策略是不激活用户面完整性保护,因为完整性保护算法会被用于保护UPF网元103生成的安全激活请求消息。
可选地,UPF网元103根据该第二根密钥,确定安全密钥。
相应地,UPF网元103至少生成用户面完整性保护密钥。
S431,UPF网元103向SMF网元105发送第五N4响应消息,SMF网元105接收UPF 网元103发送的该第五N4响应消息,该第五N4响应消息包括该第二用户面安全策略和用户面安全激活请求信息,该用户面安全激活请求信息包括该安全算法,该第二用户面安全策略指示用户面安全终结点位于UPF网元103。
可选地,该用户面安全激活请求信息还包括第一MAC。
具体而言,UPF网元103发送用户面安全激活请求信息给UE101。用户面安全激活请求信息中至少包括UPF网元103选择的安全算法(该安全算法中至少包括完整性保护算法)。该安全激活请求信息还可以包括根据完整性保护密钥生成的第一MAC。
S432,SMF网元105向AMF网元104发送第五SM消息,该AMF网元104接收SMF 网元105发送的该第五SM消息,该第五SM消息包括该第二用户面安全策略和该用户面安全激活请求信息。
S433,AMF网元104向AN设备102发送NG AP消息,该AN设备102接收AMF 网元104发送的该NG AP消息,该NG AP消息包括该第二用户面安全策略和该用户面安全激活请求信息。
S434,AN设备102向UE101发送第一RRC消息,该UE101接收AN设备102发送的该第一RRC消息,该第一RRC消息包括该用户面安全激活请求信息。
可选地,该第一RRC消息还包括用户面安全激活指示信息。
具体而言,AN设备102在判断出该用户面安全终结点在UPF网元103后,直接转发从UPF网元103收到的用户面安全激活请求信息给UE101。
S441,UE101根据该第一RRC消息,确定安全算法和安全密钥。
具体而言,UE根据用户面安全激活指示信息确定用户面安全终结点在UPF网元103,同时确定激活完整性保护和/或激活加密保护。
UE101根据安全激活请求信息中的选安全算法,生成安全密钥。这里要至少生成用户面完整性保护密钥。UE101使用选择的用户面完整性保护算法和用户面完整性保护密钥生成第二MAC,并与安全激活请求信息中携带的第一MAC进行对比。如果二者相等,则 UE101激活UE101到UPF网元103的用户面安全(激活用户加密保护和/或用户面完整性保护)。
之后,UE101生成第三用户面安全激活响应信息,该第三用户面安全激活响应信息至少用生成的用户面完整性保护密钥进行完整性保护。如果用户面加密安全激活,则可选地还对第三用户面安全激活响应信息进行加密保护。本申请实施例中并不限制UE101使用加密保护和完整性保护的使用顺序。
S451,UE101向AN设备102发送第二RRC消息,AN设备102接收UE101发送的该第二RRC消息,该第二RRC消息包括该第三用户面安全激活响应信息。
S452,AN设备1024向AMF网元10发送第四N2消息,该AMF网元1042接收AN 设备10发送的该第四N2消息,该第四N2消息包括该第三用户面安全激活响应信息。
S453,AMF网元104向SMF网元105发送第六SM消息,该AMF网元104接收SMF 网元105发送的该第六SM消息,该第六SM消息包括该第三用户面安全激活响应信息。
S454,SMF网元105向UPF网元103发送第六N4响应消息,UPF网元103接收SMF 网元105发送的该第六N4响应消息,该第六N4响应消息包括该第三用户面安全激活响应信息。
S461,UPF网元103激活用户面安全。
S462,UPF网元103向SMF网元105发送第六N4响应消息,SMF网元105接收UPF 网元103发送的该第六N4响应消息。
S463,SMF网元105向AMF网元104发送第六SM响应消息,该AMF网元104接收SMF网元105发送的该第六SM响应消息。
S464,AMF网元104向AN设备102发送第四N2响应消息,该AN设备102接收 AMF网元104发送的该第四N2响应消息。
S470,UE101对待发送的用户面数据进行安全保护。
具体而言,UE101可以使用安全算法和安全密钥对该用户面数据进行安全保护。
可选地,该用户面数据包括第一指示信息,该第一指示信息用于指示该用户面数据的安全终结点在UPF网元103。
S471,UE101向AN设备102发送该用户面数据,该AN设备102接收UE101发送的该用户面数据。
S472,AN设备102确定该用户面数据的安全终结点在UPF网元103后,不对该用户面数据做任何解安全保护的操作,直接将该用户面数据转发给UPF网元103。
S473,UPF网元103根据该安全算法和该安全密钥,对该用户面数据进行解安全保护。
以上结合图1至图9,详细得描述了本申请实施例的数据处理的方法,下面结合图10 至图15,详细描述本申请实施例的数据处理的装置和通信系统,方法实施例中所描述的技术特征同样适用于以下装置实施例。
图10示出了本申请实施例提供的数据处理的装置500的示意性框图,如图10所示,该数据处理的装置500包括:
收发模块510,用于接收接入网设备发送的用户面安全激活指示信息,该用户面安全激活指示信息用于指示用户面安全终结点的位置,且该用户面安全激活指示信息用于指示是否激活用户面加密保护,和/或,是否激活用户面完整性保护;
处理模块520,用于根据该用户面安全激活指示信息,确定第一用户面安全信息,该第一用户面安全信息包括安全算法和安全密钥;
处理模块520,还用于根据该第一用户面安全信息,对待发送给该用户面安全终结点的位置的上行数据进行安全保护;
收发模块510,还用于向该接入网设备发送安全保护后的该上行数据。
可选地,该用户面安全终结点的位置包括该接入网设备或者用户面功能网元。
可选地,收发模块510,还用于向该接入网设备发送第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点的位置。
可选地,该上行数据是由该终端设备的第一协议栈处理得到的,该第一协议栈的类型用于指示该上行数据的用户面安全终结点的位置。
可选地,处理模块520具体用于:
该终端设备根据第一根密钥,确定第二根密钥;
该终端设备根据该用户面安全激活指示信息和该第二根密钥,确定该安全密钥,该安全密钥包括加密密钥和/或完整性保护密钥。
可选地,收发模块510,还用于接收该接入网设备发送的第二指示信息,该第二指示信息用于指示该用户面安全终结点的加密算法和/或完整性保护算法;
其中,处理模块520具体用于:
根据该用户面安全激活指示信息和该第二指示信息,确定该安全算法。
可选地,该加密算法和/或该完整性保护算法由该接入网设备确定,或者,该加密算法和/或该完整性保护算法由该用户面功能网元确定。
具体地,该数据处理的装置500可对应于本申请实施例的数据处理的方法200至400 中的终端设备,该数据处理的装置500可以包括用于执行方法200至方法400中的终端设备执行的方法的模块(或者单元)。并且,该装置500中的各模块(或者单元)和上述其他操作和/或功能分别是为了实现方法200至方法400的相应流程。各模块(或者单元) 执行上述相应步骤的具体过程在方法200至方法400中已经详细说明,为了简洁,在此不再赘述。
应理解,该数据处理的装置500可以为终端设备,也可以为终端设备中的芯片或者功能单元。
图11示出了本申请实施例提供的数据处理的装置600的示意性框图,如图11所示,该数据处理的装置600包括:
收发模块610,用于接收控制面功能网元发送的用户面安全策略,该用户面安全策略用于指示用户面安全终结点的位置,且该用户面安全策略用于指示用户面加密保护激活、偏好激活或者不激活,和/或,用户面完整性保护激活、偏好激活或者不激活;
处理模块620,用于根据该用户面安全策略,确定用户面安全激活指示信息,该用户面安全激活指示信息用于指示该用户面安全激活终结点的位置,且该用户面安全激活指示信息用于指示该用户面加密保护激活或者不激活,和/或,该用户面完整性保护激活或者不激活;
收发模块610,还用于向终端设备发送用户面安全激活指示信息。
可选地,该用户面安全终结点的位置在用户面功能网元,该处理模块620,还用于根据该用户面安全激活指示信息,确定第二用户面安全信息,该第二用户面安全信息包括安全算法和安全密钥;
收发模块610,还用于向该用户面功能网元发送该第二用户面安全信息。
可选地,收发模块610,还用于接收该终端设备发送的上行数据和第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点的位置。
可选地,收发模块610,还用于接收该终端设备发送的上行数据,该上行数据是由该终端设备的第一协议栈处理得到的,该第一协议栈的类型用于指示该上行数据的用户面安全终结点的位置。
可选地,收发模块610,还用于向该用户面功能网元发送终端设备的标识信息,该终端设备的标识信息用于该用户面功能网元确定该第二用户面安全信息用于该终端设备。
可选地,该收发模块610具体用于:
通过该控制面功能网元向该用户面功能网元发送该第二用户面安全信息;或者,
通过第一接口向该用户面功能网元发送该第二用户面安全信息,该第一接口为该接入网设备和该用户面功能网元之间的接口。
可选地,该收发模块610具体用于:
接收终端设备发送的第一上行数据和第一指示信息,该第一指示信息用于指示该第一上行数据的安全终结点位于该用户面功能网元;
向该用户面功能网元发送第二上行数据,该第二上行数据包括该第一上行数据、该第一指示信息和该第二用户面安全信息。
可选地,该第二上行数据由该接入网设备和该用户面功能网元进行安全保护。
具体地,该数据处理的装置600可对应于本申请实施例的数据处理的方法200至400 中的接入网设备,该数据处理的装置600可以包括用于执行方法200至方法400中的接入网设备执行的方法的模块(或者单元)。并且,该装置600中的各模块(或者单元)和上述其他操作和/或功能分别是为了实现方法200至方法400的相应流程。各模块(或者单元)执行上述相应步骤的具体过程在方法200至方法400中已经详细说明,为了简洁,在此不再赘述。
应理解,该数据处理的装置600可以为接入网设备,也可以为接入网设备中的芯片或者功能单元。
图12示出了本申请实施例提供的数据处理的装置700的示意性框图,如图12所示,该数据处理的装置700包括:
收发模块710,用于接收控制面功能网元发送的第二根密钥和终端设备的安全能力信息;
处理模块720,用于根据该终端设备的安全能力信息,确定安全算法;
处理模块720,还用于根据该第二根密钥,确定安全密钥;
处理模块720,还用于根据该安全算法和该安全密钥,对下行数据进行安全保护;或者,根据该安全算法和该安全密钥,对上行数据进行解安全保护。
可选地,该收发模块710,还用于接收该控制面功能网元发送的第一用户面安全策略;
处理模块720,还用于根据该第一用户面安全策略,确定第二用户面安全策略;
该收发模块710,还用于向接入网设备发送该第二用户面安全策略。
可选地,该第一用户面安全策略用于指示该用户面加密保护偏好激活和/或该用户面完整性保护偏好激活,该第二用户面安全策略用于指示该用户面安全保护激活或者不激活,和/或,该用户面完整性保护激活或者不激活。
可选地,该第一用户面安全策略和该第二用户面安全策略还用于指示用户面安全终结点位于该用户面功能网元。
可选地,该收发模块710,还用于接收该接入网设备发送的第一指示信息,该第一指示信息用于指示该上行数据的用户面安全终结点在该用户面功能网元。
具体地,该数据处理的装置700可对应于本申请实施例的数据处理的方法400中的用户面功能网元,该数据处理的装置700可以包括用于执行方法400中的用户面功能网元执行的方法的模块(或者单元)。并且,该装置700中的各模块(或者单元)和上述其他操作和/或功能分别是为了实现方法400的相应流程。各模块(或者单元)执行上述相应步骤的具体过程在方法400中已经详细说明,为了简洁,在此不再赘述。
应理解,该数据处理的装置700可以为用户面功能网元,也可以为用户面功能网元中的芯片或者功能单元。
图13示出了本申请实施例提供的数据处理的装置800的示意性框图,如图13所示,该数据处理的装置800包括:
收发模块810,用于接收来自于接入网设备的第二用户面安全信息,该第二用户面安全信息包括安全算法和安全密钥;
处理模块820,用于根据该第二用户面安全算法,对下行数据进行安全保护;或者,根据该第二用户面安全算法,对上行数据进行解安全保护。
可选地,处理模块820,还用于确定第二用户面安全策略;
收发模块810,还用于向该接入网设备发送该第二用户面安全策略,该第二用户面安全策略用于该接入网设备确定该第二用户面安全信息。
可选地,收发模块810,还用于接收控制面功能网元发送的第一用户面安全策略;
其中,处理模块820具体用于:该用户面功能网元根据该第一用户面安全策略,确定该第二用户面安全策略。
可选地,该第一用户面安全策略用于指示用户面加密保护偏好激活和/或用户面完整性保护偏好激活,该第二用户面安全策略用于指示该用户面加密保护激活或者不激活,和 /或,该用户面完整性保护激活或者不激活。
具体地,该数据处理的装置800可对应于本申请实施例的数据处理的方法200中的用户面功能网元,该数据处理的装置800可以包括用于执行方法200中的用户面功能网元执行的方法的模块(或者单元)。并且,该装置800中的各模块(或者单元)和上述其他操作和/或功能分别是为了实现方法200的相应流程。各模块(或者单元)执行上述相应步骤的具体过程在方法200中已经详细说明,为了简洁,在此不再赘述。
应理解,该数据处理的装置800可以为用户面功能网元,也可以为用户面功能网元中的芯片或者功能单元。
图14是本申请实施例提供的数据处理的装置900的示意性结构图。应理解,图14示出的数据处理的装置900仅是示例,本申请实施例的数据处理的装置还可包括其他模块或单元,或者包括与图14中的各个模块的功能相似的模块。
通信装置900可以包括一个或多个处理器910、一个或多个存储器920、接收器930和发送器940。接收器930和发送器940可以集成在一起,称为收发器。存储器920用于存储处理器910执行的程序代码。其中,处理器910中可以集成有存储器920,或者处理器910耦合到一个或多个存储器920,用于调取存储器920中的指令。
在一个实施例中,处理器910可以用于实现图10中的处理模块520能够实现的操作或步骤,接收器930和发送器940可以用于实现图10中的收发模块510能够实现的操作或步骤。
在另一个实施例中,处理器910可以用于实现图11中的处理模块620能够实现的操作或步骤,接收器930和发送器940可以用于实现图11中的收发模块610能够实现的操作或步骤。
在另一个实施例中,处理器910可以用于实现图12中的处理模块720能够实现的操作或步骤,接收器930和发送器940可以用于实现图12中的收发模块710能够实现的操作或步骤。
在又一个实施例中,处理器910可以用于实现图13中的处理模块820能够实现的操作或步骤,接收器930和发送器940可以用于实现图13中的收发模块810能够实现的操作或步骤。
图15示出了本申请实施例提供的通信系统1000的示意性框图,如图15所示,该通信系统1000包括接入网设备1010和用户面功能网元1020,该接入网设备1010可以包括上述装置600或者装置900,和/或,该用户面1020可以包括上述装置700、装置800或者装置900。
可选地,该通信系统还包括控制面功能网元,该控制面功能网元可以为上述方法实施例中所述的控制面功能网元。
可选地,该接入网设备1010和该用户面功能网元1020通过第一接口进行通信,或者,该接入网设备1010通过该控制面功能网元和该用户面功能网元1020进行通信。
在本申请实施例中,应注意,本申请实施例上述的方法实施例可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、微处理器(digital singnal processor,DSP)、特定集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储元件可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM, EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器 (enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM, SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,说明书中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请中出现的术语“第一”、“第二”等仅是为了区分不同的对象,“第一”、“第二”本身并不对其修饰的对象的实际顺序或功能进行限定。本申请中出现的“示例性的”,“示例”,“例如”,“可选的设计”或者“一种设计”等表述,仅用于表示举例子、例证或说明。本申请中被描述为“示例性的”,“示例”,“例如”,“可选的设计”或者“一种设计”的任何实施例或设计方案都不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用这些词旨在以具体方式呈现相关概念。
在本申请中可能出现的对各种消息/信息/设备/网元/系统/装置/动作/操作/流程/概念等各类客体进行了赋名,可以理解的是,这些具体的名称并不构成对相关客体的限定,所赋名称可随着场景,语境或者使用习惯等因素而变更,对本申请中技术术语的技术含义的理解,应主要从其在技术方案中所体现/执行的功能和技术效果来确定。
本申请实施例描述的网络架构以及业务场景是为了便于读者清楚理解本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品可以包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁盘)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (29)

1.一种数据处理的方法,其特征在于,包括:
终端设备接收接入网设备发送的用户面安全激活指示信息,所述用户面安全激活指示信息用于指示用户面安全终结点的位置,且所述用户面安全激活指示信息用于指示是否激活用户面加密保护,和/或,是否激活用户面完整性保护;
所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,所述第一用户面安全信息包括安全算法和安全密钥;
所述终端设备根据所述第一用户面安全信息,对待发送给所述用户面安全终结点的位置的上行数据进行安全保护;
所述终端设备向所述接入网设备发送安全保护后的所述上行数据。
2.根据权利要求1所述的方法,其特征在于,所述用户面安全终结点的位置包括所述接入网设备或者用户面功能网元。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述终端设备向所述接入网设备发送第一指示信息,所述第一指示信息用于指示所述上行数据的用户面安全终结点的位置。
4.根据权利要求1或2所述的方法,其特征在于,所述上行数据是由所述终端设备的第一协议栈处理得到的,所述第一协议栈的类型用于指示所述上行数据的用户面安全终结点的位置。
5.根据权利要求1或2所述的方法,其特征在于,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据第一根密钥,确定第二根密钥;
所述终端设备根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
6.根据权利要求3所述的方法,其特征在于,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据第一根密钥,确定第二根密钥;
所述终端设备根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
7.根据权利要求4所述的方法,其特征在于,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据第一根密钥,确定第二根密钥;
所述终端设备根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
8.根据权利要求1、2、6或7所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第二指示信息,所述第二指示信息用于指示所述用户面安全终结点的加密算法和/或完整性保护算法;
其中,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据所述用户面安全激活指示信息和所述第二指示信息,确定所述安全算法。
9.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第二指示信息,所述第二指示信息用于指示所述用户面安全终结点的加密算法和/或完整性保护算法;
其中,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据所述用户面安全激活指示信息和所述第二指示信息,确定所述安全算法。
10.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第二指示信息,所述第二指示信息用于指示所述用户面安全终结点的加密算法和/或完整性保护算法;
其中,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据所述用户面安全激活指示信息和所述第二指示信息,确定所述安全算法。
11.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述接入网设备发送的第二指示信息,所述第二指示信息用于指示所述用户面安全终结点的加密算法和/或完整性保护算法;
其中,所述终端设备根据所述用户面安全激活指示信息,确定第一用户面安全信息,包括:
所述终端设备根据所述用户面安全激活指示信息和所述第二指示信息,确定所述安全算法。
12.一种数据处理的方法,其特征在于,包括:
接入网设备接收控制面功能网元发送的用户面安全策略,所述用户面安全策略用于指示用户面安全终结点的位置,且所述用户面安全策略用于指示用户面加密保护激活、偏好激活或者不激活,和/或,用户面完整性保护激活、偏好激活或者不激活;
所述接入网设备根据所述用户面安全策略,确定用户面安全激活指示信息,所述用户面安全激活指示信息用于指示所述用户面安全激活终结点的位置,且所述用户面安全激活指示信息用于指示所述用户面加密保护激活或者不激活,和/或,所述用户面完整性保护激活或者不激活;
所述接入网设备向终端设备发送所述用户面安全激活指示信息。
13.根据权利要求12所述的方法,其特征在于,所述用户面安全终结点的位置在用户面功能网元,所述方法还包括:
所述接入网设备根据所述用户面安全激活指示信息,确定第二用户面安全信息,所述第二用户面安全信息包括安全算法和安全密钥;
所述接入网设备向所述用户面功能网元发送所述第二用户面安全信息。
14.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收所述终端设备发送的上行数据和第一指示信息,所述第一指示信息用于指示所述上行数据的用户面安全终结点的位置。
15.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:
所述接入网设备接收所述终端设备发送的上行数据,所述上行数据由是由所述终端设备的第一协议栈处理得到的,所述第一协议栈的类型用于指示所述上行数据的用户面安全终结点的位置。
16.一种数据处理的装置,其特征在于,包括:
收发模块,用于接收接入网设备发送的用户面安全激活指示信息,所述用户面安全激活指示信息用于指示用户面安全终结点的位置,且所述用户面安全激活指示信息用于指示是否激活用户面加密保护,和/或,是否激活用户面完整性保护;
处理模块,用于根据所述用户面安全激活指示信息,确定第一用户面安全信息,所述第一用户面安全信息包括安全算法和安全密钥;
所述处理模块,还用于根据所述第一用户面安全信息,对待发送给所述用户面安全终结点的位置的上行数据进行安全保护;
所述收发模块,还用于向所述接入网设备发送安全保护后的所述上行数据。
17.根据权利要求16所述的装置,其特征在于,所述用户面安全终结点的位置包括所述接入网设备或者用户面功能网元。
18.根据权利要求16或17所述的装置,其特征在于,所述收发模块,还用于向所述接入网设备发送第一指示信息,所述第一指示信息用于指示所述上行数据的用户面安全终结点的位置。
19.根据权利要求16或17所述的装置,其特征在于,所述上行数据是由所述装置的第一协议栈处理得到的,所述第一协议栈的类型用于指示所述上行数据的用户面安全终结点的位置。
20.根据权利要求16或17所述的装置,其特征在于,所述处理模块具体用于:
根据第一根密钥,确定第二根密钥;
根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
21.根据权利要求18所述的装置,其特征在于,所述处理模块具体用于:
根据第一根密钥,确定第二根密钥;
根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
22.根据权利要求19所述的装置,其特征在于,所述处理模块具体用于:
根据第一根密钥,确定第二根密钥;
根据所述用户面安全激活指示信息和所述第二根密钥,确定所述安全密钥,所述安全密钥包括加密密钥和/或完整性保护密钥。
23.根据权利要求16或17所述的装置,其特征在于,所述收发模块,还用于接收所述接入网设备发送的第二指示信息,所述第二指示信息用于指示所述用户面安全终结点的加密算法和/或完整性保护算法;
其中,所述处理模块具体用于:
根据所述用户面安全激活指示信息和所述第二指示信息,确定所述安全算法。
24.根据权利要求23所述的装置,其特征在于,所述加密算法和/或所述完整性保护算法由所述接入网设备确定,或者,所述加密算法和/或所述完整性保护算法由所述用户面功能网元确定。
25.一种数据处理的装置,其特征在于,包括:
收发模块,用于接收控制面功能网元发送的用户面安全策略,所述用户面安全策略用于指示用户面安全终结点的位置,且所述用户面安全策略用于指示用户面加密保护激活、偏好激活或者不激活,和/或,用户面完整性保护激活、偏好激活或者不激活;
处理模块,用于根据所述用户面安全策略,确定用户面安全激活指示信息,所述用户面安全激活指示信息用于指示所述用户面安全激活终结点的位置,且所述用户面安全激活指示信息用于指示所述用户面加密保护激活或者不激活,和/或,所述用户面完整性保护激活或者不激活;
所述收发模块,还用于向终端设备发送所述用户面安全激活指示信息。
26.根据权利要求25所述的装置,其特征在于,所述用户面安全终结点的位置在用户面功能网元,所述处理模块,还用于根据所述用户面安全激活指示信息,确定第二用户面安全信息,所述第二用户面安全信息包括安全算法和安全密钥;
所述收发模块,还用于向所述用户面功能网元发送所述第二用户面安全信息。
27.根据权利要求25或26所述的装置,其特征在于,所述收发模块还用于接收所述终端设备发送的上行数据和第一指示信息,所述第一指示信息用于指示所述上行数据的用户面安全终结点的位置。
28.根据权利要求25或26所述的装置,其特征在于,所述收发模块还用于接收所述终端设备发送的上行数据,所述上行数据由是由所述终端设备的第一协议栈处理得到的,所述第一协议栈的类型用于指示所述上行数据的用户面安全终结点的位置。
29.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-15任意一项所述的方法。
CN201810913099.2A 2018-08-10 2018-08-10 一种数据处理的方法、装置和计算机可读存储介质 Active CN110830993B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810913099.2A CN110830993B (zh) 2018-08-10 2018-08-10 一种数据处理的方法、装置和计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810913099.2A CN110830993B (zh) 2018-08-10 2018-08-10 一种数据处理的方法、装置和计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN110830993A CN110830993A (zh) 2020-02-21
CN110830993B true CN110830993B (zh) 2021-08-20

Family

ID=69546724

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810913099.2A Active CN110830993B (zh) 2018-08-10 2018-08-10 一种数据处理的方法、装置和计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN110830993B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111641944A (zh) * 2019-03-01 2020-09-08 华为技术有限公司 一种通信方法及设备
WO2021196051A1 (zh) * 2020-03-31 2021-10-07 华为技术有限公司 一种通信方法、装置及系统
CN113766494A (zh) * 2020-05-27 2021-12-07 维沃移动通信有限公司 密钥获取方法、装置、用户设备及网络侧设备
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
WO2022032692A1 (zh) * 2020-08-14 2022-02-17 华为技术有限公司 通信方法、装置及系统
CN114362984B (zh) * 2020-10-13 2023-05-09 华为技术有限公司 一种接口安全性保护方法及装置
WO2022237699A1 (zh) * 2021-05-08 2022-11-17 华为技术有限公司 一种激活安全的方法及通信装置
CN116939588A (zh) * 2022-03-31 2023-10-24 华为技术有限公司 通信方法及装置
CN114640988B (zh) * 2022-05-17 2023-03-14 成都信息工程大学 基于隐式指示加密的信息处理方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017134449A1 (en) * 2016-02-05 2017-08-10 Vodafone Ip Licensing Limited Controlling bearer security in a telecommunications connection
CN108347416A (zh) * 2017-01-24 2018-07-31 华为技术有限公司 一种安全保护协商方法及网元
WO2018138379A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Methods for integrity protection of user plane data
CN108377495A (zh) * 2016-10-31 2018-08-07 华为技术有限公司 一种数据传输方法、相关设备及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247167B (zh) * 2007-02-14 2013-10-09 华为技术有限公司 多用户面路径网络中的业务传输方法、系统及设备
EP2337413A1 (en) * 2009-12-18 2011-06-22 Panasonic Corporation Implicit component carrier determination for aperiodic channel quality reports

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017134449A1 (en) * 2016-02-05 2017-08-10 Vodafone Ip Licensing Limited Controlling bearer security in a telecommunications connection
CN108377495A (zh) * 2016-10-31 2018-08-07 华为技术有限公司 一种数据传输方法、相关设备及系统
CN108347416A (zh) * 2017-01-24 2018-07-31 华为技术有限公司 一种安全保护协商方法及网元
WO2018138379A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Methods for integrity protection of user plane data

Also Published As

Publication number Publication date
CN110830993A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
CN110830993B (zh) 一种数据处理的方法、装置和计算机可读存储介质
US10798578B2 (en) Communication method and related apparatus
US11778459B2 (en) Secure session method and apparatus
US20200084631A1 (en) Key Configuration Method, Apparatus, and System
US11533610B2 (en) Key generation method and related apparatus
US11647391B2 (en) Security protection method, device, and system
CN110891269B (zh) 一种数据保护方法、设备及系统
US20200228977A1 (en) Parameter Protection Method And Device, And System
US11140545B2 (en) Method, apparatus, and system for protecting data
JPWO2018079692A1 (ja) システム、基地局、コアネットワークノード、及び方法
CN113518315B (zh) 一种配置无线承载的方法、装置及系统
CN112019489A (zh) 验证方法及装置
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN116723507B (zh) 针对边缘网络的终端安全方法及装置
CN112654046A (zh) 用于注册的方法和装置
WO2021073382A1 (zh) 注册方法及装置
CN114205814A (zh) 一种数据传输方法、装置、系统、电子设备及存储介质
CN114245372B (zh) 一种认证方法、装置和系统
WO2023213191A1 (zh) 安全保护方法及通信装置
CN116528234B (zh) 一种虚拟机的安全可信验证方法及装置
CN115915114A (zh) 注册方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant