CN111464572A - 一种会话配置方法及装置 - Google Patents

一种会话配置方法及装置 Download PDF

Info

Publication number
CN111464572A
CN111464572A CN201910051183.2A CN201910051183A CN111464572A CN 111464572 A CN111464572 A CN 111464572A CN 201910051183 A CN201910051183 A CN 201910051183A CN 111464572 A CN111464572 A CN 111464572A
Authority
CN
China
Prior art keywords
session
security
redundant transmission
information
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910051183.2A
Other languages
English (en)
Other versions
CN111464572B (zh
Inventor
吴�荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910051183.2A priority Critical patent/CN111464572B/zh
Priority to PCT/CN2020/072868 priority patent/WO2020147849A1/zh
Priority to EP20740939.2A priority patent/EP3893468A4/en
Publication of CN111464572A publication Critical patent/CN111464572A/zh
Priority to US17/377,425 priority patent/US11902325B2/en
Application granted granted Critical
Publication of CN111464572B publication Critical patent/CN111464572B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0663Performing the actions predefined by failover planning, e.g. switching to standby network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种会话配置方法及装置,在本申请中,终端设备向会话管理网元发送用于请求建立第一会话的会话建立请求;会话管理网元在接收到会话建立请求后,向接入网设备发送冗余传输安全信息;接入网设备在接收到冗余传输安全信息,向终端设备发送冗余传输安全信息,其中,冗余传输安全信息用于指示终端设备需建立的第一会话与第二会话的安全密钥和安全策略,其中,第二会话为第一会话的冗余会话。接入网设备可以将冗余传输安全信息发送给终端设备,可以保证接入网设备和终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。

Description

一种会话配置方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种会话配置方法及装置。
背景技术
第三代合作伙伴计划(3rd generation partnership project,3GPP)定义了第五代移动通信技术(fifth-generation,5G)中的三大应用场景,分别为增强移动宽带(enhance mobile broadband,eMBB)、海量大连接(massive machine type ofcommunicationm,mMTC)以及超高可靠超低时延通信(ultra-reliable low-latencycommunication,uRLLC)。
其中,uRLLC兼具可靠性和时延性,应用场景广泛,目前为了保证uRLLC的可靠性,提出了一种设想:对一条数据通道的传输进行复制,形成另一条相同的数据通道,用作冗余传输,在其中一条数据通道传输不可靠或存在安全问题的情况下,另一条相同的数据通道可以保证数据的正常传输,这里数据通道可以是会话粒度的,也可以是承载粒度的,还可以是服务质量流(quality of service folw,QoS Flow)粒度的。
这种方式仅处于设想阶段,如何配置两个数据通道还亟待解决。
发明内容
本申请提供一种会话配置方法及装置,用以实现对用于冗余传输的两个会话的安全配置。
第一方面,本申请实施例提供了一种会话配置方法,所述方法包括:首先,接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示终端设备需建立的第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;之后,所述接入网设备向所述终端设备发送所述冗余传输安全信息。
通过上述方法,所述接入网设备可以将所述冗余传输安全信息发送给所述终端设备,可以保证所述接入网设备和所述终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。
在一种可能的设计中,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,所述接入网设备可以根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略。
通过上述方法,所述接入网设备可以较为方便的完成所述接入网设备侧的针对所述第一会话和所述第二会话的安全配置,例如安全密钥的配置和安全策略的配置。
在一种可能的设计中,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,可以向所述终端设备发送所述第一会话和所述第二会话的安全策略。
通过上述方法,通过向所述终端设备发送所述第一会话和所述第二会话的安全策略,可以保证所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全策略的配置。
在一种可能的设计中,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,还可以向所述终端设备发送第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
通过上述方法,通过向所述终端设备发送所述第一参数和所述第二参数,可以保证所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全密钥的配置。
在一种可能的设计中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
通过上述方法,通过所述冗余传输安全信息的指示可以方便所述接入网设备对所述第一会话与第二会话的安全密钥和安全策略进行相应的配置。
第二方面,本申请实施例提供了一种会话配置方法,所述方法包括:终端设备向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;之后,所述终端设备可以从接入网设备接收所述冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
通过上述方法,所述终端设备从所述接入网设备接收所述冗余传输安全信息,可以保证所述接入网设备和所述终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。
在一种可能的设计中,所述终端设备可以基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
通过上述方法,所述终端设备可以较为便捷的完成所述终端设备侧的针对所述第一会话和所述第二会话的安全配置。
在一种可能的设计中,所述终端设备基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全策略时,可以先所述终端设备从所述接入网设备接收所述第一会话和所述第二会话的安全策略;之后,基于所述冗余传输安全信息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
通过上述方法,所述终端设备通过所述接入网设备接收所述第一会话和所述第二会话的安全策略,可以使得所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全策略的配置。
在一种可能的设计中,所述终端设备基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥时,所述终端设备可以先从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;之后,所述终端设备基于所述冗余传输安全信息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥。
通过上述方法,所述终端设备通过所述接入网设备接收所述第一参数和所述第二参数,可以使得所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全密钥的配置。
在一种可能的设计中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
通过上述方法,通过所述冗余传输安全信息的指示可以方便所述终端备对所述第一会话与第二会话的安全密钥和安全策略进行相应的配置。
第三方面,本申请实施例提供了一种会话配置方法,所述方法包括:首先,接入网设备为终端设备需建立的第一会话与第二会话配置安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话;之后,向所述终端设备发送指示消息,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略。
通过上述方法,所述接入网设备可以将所述指示消息发送给所述终端设备,可以保证所述接入网设备和所述终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。
在一种可能的设计中,所述接入网设备为终端设备需建立的第一会话与所述第二会话配置安全密钥和安全策略之前,所述接入网设备可以接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略由所述接入网设备确定,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同或不同。
通过上述方法,所述接入网设备可以是在接收所述冗余传输安全信息后,可以根据所述冗余传输安全信息的指示自己确定第一会话与所述第二会话的安全密钥和安全策略,也可以不接收所述冗余传输安全信息的指示自己确定所述第一会话与所述第二会话的安全密钥和安全策略,可以更加灵活的配置所述第一会话与所述第二会话的安全密钥和安全策略。
在一种可能的设计中,所述接入网设备在为终端设备需建立的第一会话与第二会话配置安全密钥和安全策略时,可以根据第一规则确定所述第一会话与第二会话配置安全密钥和安全策略,所述第一规则包括下列的至少一项:
所述接入网设备的负载、网络部署策略、所述接入网设备的资源状态。
通过上述方法,所述接入网设备可以灵活的为所述第一会话与第二会话配置安全密钥和安全策略,可以扩展应用范围。
在一种可能的设计中,所述接入网设备可以向所述终端设备发送所述第一会话和所述第二会话的安全策略。
通过上述方法,通过向所述终端设备发送所述第一会话和所述第二会话的安全策略,可以使得所述终端设备侧能够方便的完成针对所述第一会话和所述第二会话的安全配置,如安全策略的配置。
在一种可能的设计中,所述接入网设备还可以向所述终端设备发送第一参数以及第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
通过上述方法,通过向所述终端设备发送所述第一参数和所述第二参数,可以使得所述终端设备侧能够方便的完成针对所述第一会话和所述第二会话的安全配置,如安全密钥的配置。
在一种可能的设计中,所述接入网设备为所述第一会话与第二会话配置安全密钥和安全策略相同,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略相同。
通过上述方法,通过所述第一指示消息的指示可以方便的使所述终端设备为所述第一会话与第二会话配置相同的安全密钥和安全策略。
在一种可能的设计中,所述接入网设备为所述第一会话与第二会话配置安全密钥和安全策略不同,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略不同。
通过上述方法,通过所述第一指示消息的指示可以方便的使所述终端设备为所述第一会话与第二会话配置不同的安全密钥和安全策略。
第四方面,本申请实施例提供了一种会话配置方法,所述方法包括:终端设备先向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;之后,所述终端设备可以从接入网设备接收指示消息,所述指示消息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话。
通过上述方法,所述终端设备可以从所述接入网设备接收所述指示信息,可以保证所述接入网设备和所述终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。
在一种可能的设计中,所述终端设备基于所述指示消息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
通过上述方法,所述终端设备可以较为便捷的完成所述终端设备侧的针对所述第一会话和所述第二会话的安全配置。
在一种可能的设计中,所述终端设备基于所述指示消息,在为所述第一会话和所述第二会话配置安全策略时,所述终端设备可以先从所述接入网设备接收所述第一会话和所述第二会话的安全策略;之后,基于所述指示消息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全密钥和安全策略。
通过上述方法,所述终端设备通过所述接入网设备接收所述第一会话和所述第二会话的安全策略,可以使得所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全策略的配置。
在一种可能的设计中,所述终端设备基于所述指示消息,在为所述第一会话和所述第二会话配置安全密钥时,所述终端设备可以先从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;之后,基于所述指示消息,根据所述第一参数和第二参数为所述第一会话和所述第二会话配置安全密钥。
通过上述方法,所述终端设备通过所述接入网设备接收所述第一参数和所述第二参数,可以使得所述终端设备侧能够完成针对所述第一会话和所述第二会话的安全配置,如安全密钥的配置。
在一种可能的设计中,所述指示消息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
通过上述方法,通过所述指示消息的指示可以方便所述终端备对所述第一会话与第二会话的安全密钥和安全策略进行相应的配置。
第五方面,本申请实施例提供了一种会话配置方法,所述方法包括:会话管理网元可以在接收到来自终端设备的会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述会话建立请求用于请求建立所述第一会话,所述第二会话为所述第一会话的冗余会话;之后,所述会话管理网元向接入网设备发送所述冗余传输安全信息。
通过上述方法,所述会话管理网元通过将所述冗余传输安全信息发送给所述接入网设备可以保证所述接入网设备在所述冗余传输指示信息的指示下,与所述终端设备针对与用于冗余传输的两个会话(第一会话和第二会话)的安全密钥和安全策略保持一致,进而可以保证完成用于冗余传输的两个会话的安全配置。
在一种可能的设计中,所述会话管理网元确定所述第一会话的冗余传输安全信息时,所述会话管理网元根据第一信息确定所述冗余传输安全信息,所述第一信息为下列的部分或全部:
所述终端设备的签约信息,所述会话管理网元本地保存的会话策略、所述会话管理网元从策略控制网元获取的会话策略。
通过上述方法,所述接入网设备可以灵活的确定所述冗余传输安全信息,进而可以扩展应用范围。
在一种可能的设计中,所述会话管理网元确定还可以是通过其他网元确定所述余传输安全信息,示例性的,所述会话管理网元从策略控制网元接收所述冗余传输安全信息。
通过上述方法,所述接入网设备可以灵活的确定所述冗余传输安全信息,进而可以扩展应用范围。
在一种可能的设计中,所述会话管理网元向接入网设备发送所述冗余传输安全信息时,可以通过接入管理网元向所述接入网设备发送所述冗余传输安全信息。
通过上述方法,所述接入网设备可以较为方便的传输所述冗余传输安全信息。
在一种可能的设计中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同,或指示所述第一会话与第二会话的安全密钥和安全策略由接入网设备确定。
通过上述方法,通过所述冗余传输安全信息的指示可以方便的使所述接入网设备和所述终端设备为所述第一会话与第二会话配置不同的安全密钥和安全策略。
第六方面,本申请实施例还提供了一种通信装置,所述通信装置应用于接入网设备,有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元和发送单元,还可以包括处理单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第七方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元和发送单元,还可以包括处理单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第八方面,本申请实施例还提供了一种通信装置,所述通信装置应用于接入网设备,有益效果可以参见第三方面的描述此处不再赘述。该装置具有实现上述第三方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括处理单元和发送单元,还可以包括接收单元,这些单元可以执行上述第三方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第九方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第四方面的描述此处不再赘述。该装置具有实现上述第四方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元和发送单元,还可以包括处理单元,这些单元可以执行上述第四方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第十方面,本申请实施例还提供了一种通信装置,所述通信装置应用于会话管理网元,有益效果可以参见第五方面的描述此处不再赘述。该装置具有实现上述第五方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、发送单元和处理单元,这些单元可以执行上述第五方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第十一方面,本申请实施例还提供了一种通信装置,所述通信装置应用于接入网设备,有益效果可以参见第一方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述终端执行上述第一方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述终端必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十二方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述终端执行上述第二方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述终端必要的程序指令和数据。所述通信装置的结构中还包括收发器,用于与其他设备进行通信。
第十三方面,本申请实施例还提供了一种通信装置,所述通信装置应用于接入网设备,有益效果可以参见第三方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述终端执行上述第三方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述终端必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十四方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第四方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述终端执行上述第四方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述终端必要的程序指令和数据。所述通信装置的结构中还包括收发器,用于与其他设备进行通信。
第十五方面,本申请实施例还提供了一种通信装置,所述通信装置应用于会话管理网元,有益效果可以参见第五方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述终端执行上述第五方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述终端必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十六方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十七方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十八方面,本申请还提供一种计算机芯片,所述芯片与存储器相连,所述芯片用于读取并执行所述存储器中存储的软件程序,执行上述各方面所述的方法。
附图说明
图1为本申请提供的一种网络架构示意图;
图2为本申请提供的一种网络架构示意图;
图3A~3B为本申请提供的一种网络架构示意图;
图4为双链接场景下,数据通过的建立方法示意图;
图5为本申请提供的一种网络配置的方法示意图;
图6为本申请提供的一种网络配置的方法示意图;
图7为本申请提供的一种网络配置的方法示意图;
图8为本申请提供的一种网络配置的方法示意图;
图9~图15为本申请提供的一种通信装置的结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
为了便于理解,示例性的给出了与本申请相关概念的说明以供参考,如下所示:
1)、第一会话和第二会话,本申请实施例涉及用于冗余传输的两个会话,分别为第一会话和第二会话,所述第一会话和所述第二会话用于传输相同的数据,也就是说用于冗余传输,所述第一会话和所述第二会话互为冗余会话;第一会话和第二会话可以是PDU会话,也可以是承载(bear)。
2)、安全密钥,安全密钥是指会话中数据保护所采用的密钥,包括加密密钥和完整性保护密钥等。
其中,加密密钥可以是发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法,加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说,发送端和接收端可以基于同一个密钥去加密和解密。
在本实施例中,该加密密钥可以简称为KUPenc。加密密钥KUPenc可以基于中间密钥由KDF等密钥生成算法生成,具体可以如下式所示:
KUPenc=KDF(KgNB,其他参数),其中,可以是加密算法的类型、加密算法类型的长度、加密算法的标识、加密算法标识的长度或上文所提及的参数。还可以包括一些字符串如“uRLLC”“Redundant Transmission Indication(RTI)”,例如,KUPenc=KDF(KgNB,“uRLLC”,加密算法的类型)。
完整性保护密钥可以是发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。
在本实施例中,该完整性保护密钥可以简称为KUPint。完整性保护密钥KUPint可以基于中间密钥由KDF等密钥生成算法生成,具体可以如下式所示:
KUPint=KDF(KgNB,其他参数),其中,其他参数可以是完整性保护算法的类型、完整性保护算法类型的长度、完整性保护算法的标识、完整性保护算法标识的长度或上文所提及的参数,还可以包括一些字符串如“uRLLC”“Redundant Transmission Indication(RTI)”,例如,KUPint=KDF(KgNB,“uRLLC”,完整性保护算法的类型)。
3)、中间密钥,为用于生成加密密钥和完整性保护密钥所需的密钥。在本申请实施例中,中间密钥可以包括KAMF、KgNB,其中KgNB可以分为KMgNB和KSgNB,KMgNB为MgNB使用的用于生成加密密钥和完整性保护密钥的中间密钥,KSgNB为SgNB使用的用于生成加密密钥和完整性保护密钥的中间密钥。中间密钥还可以用于推衍生成其他密钥,如用于uRLLC场景的密钥,基于中间密钥推衍生成的密钥可以继续进行推衍生成互为冗余会话的(在本申请实施例中对应第一会话和第二会话)加密密钥和完整性保护密钥,为方便说明用KuRLLC表示基于中间密钥推衍生成的密钥,本申请实施例并不限定KuRLLC的个数。
其中,KAMF可以是在UE注册认证过程中所述UE和AMF网元分别获取到的密钥。双连接场景下,在MgNB和SgNB分别都与所述AMF网元有接口的情况下,KMgNB可以是所述UE和所述AMF网元基于KAMF生成的,所述AMF网元基于KAMF生成KMgNB之后,可以将KMgNB发给所述MgNB;KSgNB是所述UE和所述AMF网元基于KAMF生成的,所述AMF网元基于KAMF生成KSgNB之后,可以将KSgNB发给所述SgNB;在只有所述MgNB与AMF有接口的情况下,KSgNB可以由所述MgNB传递给所述SgNB,作为另一种可能的方式,所述UE和所述AMF网元只生成KMgNB,所述SgNB若需要KSgNB,则可以由所述MgNB生成KSgNB并发送给所述SgNB。
4)、安全策略,安全策略至少可用于指示是否激活加密保护和/或完整性保护。在一种实现方式中,安全策略可以指示安全保护的偏好,例如,可以指示需要的(required)、推荐的(preferred)和不需要的(not needed)安全保护。基于该安全保护的偏好可以确定是否激活加密保护和/或完整性保护。可选地,各安全策略还可以指示其他更多的信息,比如安全算法的强度建议等,一般情况下,所述安全策略的获取可以基于SMF本地配置、PCF配置、DN配置、运营商的策略、本地策略、第三方的配置、UDM中签约信息或策略以及网络切片辅助信息(network slice selection assistance information,NSSAI)等。
5)、第一参数,所述第一参数包括但不限于第一会话的标识(identification,ID)、切片标识、NSSAI、随机数、字符串,算法类型、算法类型标识、算法类型值、非接入层计数值(non-access stratum count,NAS COUNT)、下一跳(Next Hop,NH)、分组数据汇聚协议计数值(packet data convergence protocol count,PDCP COUNT),字符串等。其中随机数包括计数值(count)、NONCE、Random Number等等,示例性的,字符串可以为uRLLC的指示,若本申请实施例中第一会话为承载粒度的,第一会话的标识可以替换为承载的标识(bearID)。
6)、第二参数,在本申请实施例中,所述第二参数为用于生成所述第二会话的安全密钥的参数,所述第二参数包括但不限于第二会话的标识、切片标识、NSSAI、随机数、字符串,算法类型、算法类型标识、算法类型值、NAS COUNT、NH、PDCP COUNT,字符串等。其中随机数包括COUNT、NONCE、random number等等,示例性的,字符串可以为uRLLC的指示,若本申请实施例中第二会话为承载粒度的,第二会话的标识可以替换为承载的标识。
7)、基站的负载,比如基站所能接入的最大用户数目,或接入基站的用户在某段时间的带宽占用率等。
8)、网络部署策略,比如基站的容量部署,而容量对于基站的负载或者资源状态有影响。
9)、基站的资源状态,用于表征基站当前的资源的分配状态,或使用状态,例如基站的内存等资源占有率等。
参阅图1所示,为本申请适用的一种可能的网络架构示意图。该网络架构为4G网络架构。该4G架构中的网元包括终端设备,图1中以终端设备为用户设备(user equipment,UE)为例。网络架构还包括MME、服务GPRS支持节点(serving GPRS support node,SGSN)、HSS、服务网关(serving gateway,S-GW)、分组数据网络网关(packet data networkgateway,PDN gateway,P-GW)、策略与计费规则功能(policy and charging rulesfunction,PCRF)实体、演进的通用陆地无线接入网(evolved universal terrestrialradio access network,E-TURAN)等。
需要说明的是,本申请实施例中涉及的UE均是指包括移动设备(mobileequipment,ME)和安全模块的设备,其中,安全模块可以为通用集成电路卡(universalintegrated circuit card,UICC),也可以为集成在ME中的安全存储单元,UICC中包括全球用户身份模块(Universal Subscriber Identity Module,USIM)。
E-UTRAN由多个演进的基站(evolved nodeB,eNodeB)组成,eNodeB之间通过X2接口彼此互联,eNodeB与演进分组核心网(evolved packet core,EPC)之间通过S1接口交互,而eNodeB与UE通过长期演进(long term evolution,LTE)-Uu互联。
MME的主要功能是支持NAS信令及其安全、跟踪区域(track area,TA)列表的管理、P-GW和S-GW的选择、跨MME切换时进行MME的选择、在向2G/3G接入系统切换过程中进行SGSN的选择、用户的鉴权、漫游控制以及承载管理、第三代合作伙伴计划(3rd generationpartnership project,3GPP)不同接入网络的核心网络节点之间的移动性管理。
S-GW是终止于E-UTRAN接口的网关,其主要功能包括:进行基站间切换时,作为本地锚定点,并协助完成基站的重排序功能;在3GPP不同接入系统间切换时,作为移动性锚点;执行合法侦听功能;进行数据包的路由和前转;在上行和下行传输层进行分组标记;用于运营商间的计费等。
P-GW是面向PDN终结于SGi接口的网关,如果UE访问多个PDN,UE将对应一个或多个P-GW。P-GW的主要功能包括基于用户的包过滤功能、合法侦听功能、UE的网络之间互连的协议(internet protocol,IP)地址分配功能、在上行链路中进行数据包传送级标记、进行上下行服务等级计费以及服务水平门限的控制、进行基于业务的上下行速率的控制等。
HSS是用于存储用户签约信息的数据库,归属网络中可以包含一个或多个HSS。HSS负责保存跟用户相关的信息,例如用户标识、编号和路由信息、安全信息、位置信息、概要(Profile)信息等。
SGSN可以用于2G/3G和E-UTRAN 3GPP接入网间移动时,进行信令交互,包括对P-GW和S-GW的选择,同时为切换到E-UTRAN 3GPP接入网的用户进行MME的选择。
PCRF实体终结于Rx接口和Gx接口,非漫游场景时,在HPLMN中只有一个PCRF跟UE的一个IP连通性接入网络(ip-connectivity access network)IP-CAN会话相关;在漫游场景并且业务流是本地疏导时,可能会有两个PCRF跟一个UE的IP-CAN会话相关。
参阅图2所示,一种本申请适用的网络架构示意图。该网络架构为5G网络架构。该5G架构中的网元包括终端设备,图2中以终端设备为UE为例。网络架构还包括无线接入网(radio access network,RAN)、接入和移动性管理功能(access and mobilitymanagement function,AMF)网元、会话管理功能(session management function,SMF)网元、用户面功能(user plane function,UPF)网元、统一数据管理(unified datamanagement,UDM)网元、策略控制功能(policy control function,PCF)网元、应用功能(application function,AF)网元、数据网络(data network,DN)等。
所述RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。所述RAN可以包括基站,示例性的,所述RAN可以为gNB、节点B(node B,NB)、演进型节点B(evolved Node B,eNB)、无线网络控制器(radio network controller,RNC)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,Home eNB,或HomeNode B)、基带单元(baseband unit,BBU)、接入点(access point,AP)、无线互通微波接入基站(worldwide interoperability for microwave access base station,WiMAX BS)、中继节点Relay等,本申请对此并不限定。
所述AMF网元负责终端的接入管理和移动性管理,在实际应用中,其包括了LTE中网络框架中MME里的移动性管理功能,并加入了接入管理功能。
所述SMF网元负责会话管理,如用户的会话建立、修改等。
所述UPF网元是用户面的功能网元,主要负责连接外部网络,其包括了LTE的服务网关(serving gateway,SGW)和公用数据网网关(public data network GateWay,PDN-GW)的相关功能。
所述DN负责为终端提供服务的网络,如一些DN为终端提供上网功能,另一些DN为终端提供短信功能等等。
所述UDM网元可存储用户的签约信息,实现类似于4G中的HSS的后端,在本申请实施例所述UDM存储有UE的会话上下文。
所述PCF网元的主要功能是执行策略控制,功能包括LTE中的策略与计费规则功能(policy and charging rules function,PCRF)网元的功能,主要负责策略授权、策略控制,服务质量以及计费规则的生成,并将相应规则下发,比如将业务相关的会话规则下发给SMF网元或其他网元,完成相应策略及规则的安装。
所述AF网元可以是第三方的应用程序功能实体或设备,也可以是运营商自己的设备或实体,所述AF网元可以为多个应用服务器提供服务。
申请中的终端设备,又可以称为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
为了保证uRLLC的可靠性,需要在UE和所述DN之间建立两条相同的数据通道,以实现冗余传输,当其中一条数据通道发生问题,可以由另一条数据通道继续进行数据传输,在如图1和图2所示的网络架构基础上,还可以衍生其他本申请实施例适用的网络架构,下面列举两种本申请实施例适用的网络架构:
如图3A所示,为本申请实施例提供的另一种网络架构,如图3A中以终端设备为UE。网络架构中包括两个gNB,分别用主基站(MgNB)和辅基站(SgNB)表示,对应于MgNB和SgNB还包括两个UPF网元,分别用UPF1和UPF2表示,网络架构中还包括AMF网元、SMF、UPF网元、UDM网元、DN。
各个网元相关描述可参见前述内容,此处不再赘述。
在如图3A所示,可以通过两个gNB,两个UPF网元建立两条从UE到DN的数据通道,其中一条为UE<-MgNB<-UPF1<-DN,另一条为UE<-SgNB<-UPF2<-DN,这里数据通道可以是会话粒度的。
尽管未示出,如图3A所示的网络架构中还可以包括PCF网元、AF网元等。
如图3B所示,为本申请实施例提供的另一种网络架构,如图3B中以终端设备为UE。网络架构中包括两个gNB,分别用MgNB和SgNB表示,网络架构中还包括UPF网元、AMF网元、SMF、UPF网元、UDM网元、DN。
在如图3B所示,可以通过两个gNB建立两条从UE到DN的数据通道,其中一条为UE<-MgNB<-UPF<-DN,另一条为UE<-SgNB<-UPF<-DN。
需要说明的是,在图3A~3B所示的网络架构中UE与两个gNB存在连接,是双链接场景下常见的两种网络架构;在图3A~3B所示的网络架构仅是以RAN为gNB为例,本申请实施例中并不限于gNB还可以是其他类型的设备,如eNB,ng-eNB等等,也可以是4G的网络架构中可以实习相同功能的设备。
基于如图3A和3B的网络架构,基于双连接场景下,据通道的建立过程如下,如图4所示,该方法包括:
步骤401:所述UE发起会话建立流程,所述UE与所述MgNB建立所述第一会话和所述第二会话,所述第一会话和所述第二会话互为冗余会话。
步骤402:所述MgNB向所述SgNB发送辅基站增加/建立请求(SgNB addition/modification request),所述辅基站增加/修改请求中携带有所述第二会话的信息,所述第二会话的信息包括但不限于所述标识第二会话的标识,第二会话相应的切片信息,会话对应的QoS flow信息、从SMF获取到的用户面安全策略、UE的安全能力等信息。
步骤403:所述SgNB在接收到所述辅基站增加/建立请求后,所述SgNB为所述第二会话分配相应的资源,并可以为所述第二会话选择在自身列表中优先级最高的加密算法和完整性保护算法,这些算法也同时在UE的安全能力中。
步骤404:所述SgNB向所述MgNB发送辅基站增加/修改确认消息(SgNB addition/modification acknowledge),所述辅基站增加/修改确认消息用于指示所述SgNB已为所述第二会话分配相应的资源,所述辅基站增加/修改确认消息还可以指示所述第二会话的加密和完整性保护算法,可选的,还可以包含针对所述第二会话分配的资源的资源标识符。
目前,仅是提及可以在UE和DN之间建立两条数据通道,如建立两个协议数据单元(protocol data unit,PDU)会话,承载,或QoS flow,对于如何配置两条数据通道,如何配置两条数据通道上所采用的安全密钥和安全策略,还没有提出具体的方案。
为了配置两条数据通道上所采用的安全密钥和安全策略,本申请实施例提供了一种会话配置方法,在本申请实施例中,接入网设备在从会话管理网元接收到第一会话的冗余传输安全信息后,可以将所述冗余传输安全信息发送给终端设备,可以使得所述接入网设备和所述终端设备根据所述冗余传输安全信息的指示,生成安全密钥和安全策略,可以实现对用于冗余传输的两个会话的配置。
基于如图1~3B所示的网络架构,以接入网设备为基站,会话管理网元为SMF网元,终端设备为UE,对本申请实施例提供的一种会话配置方法进行介绍,如图5所示,该方法包括:
步骤501:所述UE向SMF网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话。
示例性的,所述UE通过所述基站向所述AMF网元发送所述会话建立请求,所述AMF网元可以在选择相应的SMF网元后,将所述会话建立请求发送给所述SMF网元。
步骤502:所述SMF网元在接收到所述会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
作为一种可能的实施方式,所述UE发送的会话建立请求中携带有指示所述第一会话用于冗余传输的指示信息。所述SMF网元在接收到所述会话建立请求后,根据所述指示信息确定所述第一会话用于冗余传输。
作为另一种可能的实施方式,所述UE发送的会话建立请求中也可以不包括所述第一会话用于冗余传输的指示消息,而是由所述SMF网元在接收到所述会话建立请求后,根据从NSSAI等切片信息、DN信息、所述UDM网元中的UE签约信息中的一个或多个判断所述第一会话为冗余传输会话,并生成用于指示所述第一会话为冗余传输会话的指示信息,所述指示消息可以作为所述第一会话的信息保存在所述SMF网元本地。
其中,所述指示信息指示所述第一会话用于冗余传输的方式有许多种,可以是redundant transmission/session indication,当该字段的值不一样时,可以指示不同的内容,例如redundant transmission/session indication=1,表明所述第一会话为用于冗余传输的第一个会话或者表明所述第一会话需要被冗余,且目前正在建立的为第一条冗余传输会话,在这种情况下,在所述第一会话建立之后还需要经建立另一个用于冗余传输的会话;redundant transmission/session indication=2,表明所述第一会话为用于冗余传输的第二个会话,在这种情况下,在所述第一会话建立之前已经建立了用于冗余传输的会话(为方便说明,用第二会话标识所述第一会话建立之前已经建立的用于冗余传输的会话),所述指示信息中还可以携带所述第二会话的标识;应需理解的是,redundanttransmission/session indication也可能为0,表明所述第一会话不需要被冗余等,具体指示的值不限定,但作用表示一样即可;还例如,所述指示信息可以指示所述第一会话用于支持uRLLC业务,或所述指示信息指示所述第一会话的会话类型为uRLLC业务,上述指示方式仅是举例,本申请实施例并不限定。
在本申请实施例中,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略;示例性的,所述冗余传输安全信息可以指示所述第一会话与第二会话的安全密钥和安全策略相同,所述冗余传输安全信息也可以指示所述第一会话与第二会话的安全密钥和安全策略不同。所述冗余传输安全信息也可以指示所述第一会话与第二会话的安全密钥和安全策略由基站确定,这种方式可以参见如图7所示的实施例。
所述SMF网元确定所述冗余传输安全信息的方式有许多种,比如所述SMF网元根据所述UE的签约信息、运营商配置、本地配置、第三方业务策略信息、DN的信息和/或切片相关信息如NSSAI()来判断,下面列举其中三种:
第一、所述SMF网元根据所述UE的签约信息确定所述冗余传输安全信息。
所述UE在与网络签约时,所述UE的签约信息中可以包括所述冗余传输安全信息。所述SMF网元在接收到所述会话建立请求后,可以从所述UDM网元获取所述UE的签约信息,之后,根据获取的所述UE的签约信息确定所述冗余传输安全信息。
第二、所述SMF网元根据当前网络状态确定所述冗余传输安全信息,所述网络状态用于表征网络的负载、安全能力等状态。
当所述第一会话需要用于冗余传输,则必然需要所述第二会话作为所述第一会话的冗余会话,会占用一定的网络资源,会影响网络负载。
若当前网络负载较低,存在较多的可用的网络资源,则所述SMF网元可以确定所述第一会话可以用于冗余传输,如果当前网络安全性较低,为了保证数据传输的安全性,可以设置所述第一会话与第二会话的安全密钥和安全策略不同,能够实现数据隔离。如果当前网络安全性较高,可以设置所述第一会话与第二会话的安全密钥和安全策略相同,可以保证数据传输的安全性,也可以节约资源。
当前网络状态不适用于冗余传输,如当前网络负载较高,能够使用的网络资源较少,则所述SMF网元可以按照现有的流程,为所述UE建立所述第一会话。
第三、所述SMF网元通过其他网元确定所述冗余传输安全信息。
以其他网元为AF网元为例,所述SMF网元可以所述AF网元交互,根据所述AF网元的指示确定所述冗余传输安全信息。
例如,所述AF网元是某个具体的切片的应用服务器,该切片需要提供高安全性,即使对于冗余传输的数据,也需要保证两条会话的安全性隔离,则安全密钥和安全策略不同可以满足这种情况下的安全需求。
上述三种方式仅是举例说明,本申请实施例并不限定所述SMF网元确定所述冗余传输安全信息的方式。
所述冗余传输安全信息中指示了所述第一会话与所述第二会话的安全密钥和安全策略,所述SMF网元还需要确定所述第一会话的冗余会话,也就是所述SMF网元需要确定哪一个会话为所述第二会话。
作为一种可能的实施方式,所述第二会话可以是在所述UE发起所述会话建立请求之前,已经建立的一个会话,所述SMF网元可以根据所述会话建立请求确定所述第二会话,示例性的,所述UE可以在发起所述会话建立请求时,所述会话建立请求中可以携带所述第二会话的标识;所述SMF网元也可以在所述第二会话建立时,记录所述第二会话的相关信息,如所述第二会话的标识,以及所述第二会话用于进行冗余传输,当所述UE可以在发起所述会话建立请求时,所述SMF网元在接收到所述会话建立请求后,根据本地记录的信息确定所述第二会话为所述第一会话的冗余会话。
作为另一种可能的实施方式,所述第二会话可以是在所述UE发起所述会话建立请求之后,所述UE建立的一个会话,与上述方式类似,所述SMF网元可以根据所述UE发送的用于请求建立所述第二会话的会话建立请求确定所述第二会话,示例性的,所述UE可以在发起所述会话建立请求时,所述会话建立请求中可以携带所述第一会话的标识,指示所述第二会话与所述第一会话互为冗余会话,进而可以确定当前建立的所述第二会话为所述第一会话的冗余会话;所述SMF网元也可以在所述第一会话建立时,记录所述第一会话的相关信息,如标识,以及所述第一会话用于进行冗余传输,当所述UE可以在发起用于请求建立所述第二会话的会话建立请求时,所述SMF网元在接收到所述会话建立请求后,根据本地记录的信息确定所述第二会话为所述第一会话的冗余会话。
所述SMF网元在确定了所述冗余传输安全信息后,可以执行步骤503。
步骤503:所述SMF网元向所述基站发送所述冗余传输安全信息。
所述SMF网元可以通过所述AMF网元向所述基站发送所述冗余传输安全信息。
步骤504:所述基站在接收到所述冗余传输信息后,所述基站向所述UE发送所述冗余传输安全信息。
所述基站在接收到所述冗余传输信息后,可以根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略;相应的,所述UE也需要根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略。
基于所述冗余传输信息指示的内容不同,具体可以分为如下两种情况:
情况一、所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同。
所述基站为所述第一会话与第二会话配置相同的安全密钥和安全策略。
以所述第二会话是在所述UE发起所述会话建立请求之前已建立的会话为例,所述基站可以查询所述第二会话的安全密钥和安全策略,为所述第一会话配置与所述第二会话相同的安全密钥和安全策略。
所述第二会话在所述第一会话建立之后,所述UE需要建立的会话,与上述方式相同,所述基站可以查询所述第一会话的安全密钥和安全策略,为所述第二会话配置相同的安全密钥和安全策略。
相应的,所述UE在接收到所述冗余传输安全信息,所述UE为所述第一会话与第二会话配置相同的安全密钥和安全策略,所述UE执行的操作与所述基站侧执行的操作相同,具体可以参见前述内容,此处不再赘述。
结合基于如图3A或3B的网络架构,由于所述基站分为两个gNB,用于构建两个数据通道,两个gNB分别为MgNB和SgNB,所述SMF网元可以将所述冗余传输安全信息发送给其中一个gNB,下面以所述SMF网元可以将所述冗余传输安全信息发送给所述MgNB,通过所述MgNB建立的数据通道为所述第一会话,通过所述SgNB建立的数据通道为所述第二会话为例进行说明。
如图6所示,为本申请实施例提供的一种会话配置方法,该方法包括:
步骤601:所述MgNB若确定所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,所述MgNB可以向所述SgNB发送所述MgNB侧配置的所述第一会话的安全密钥,例如KUpenc和KUpint;所述MgNB可以向所述SgNB发送所述MgNB侧配置的所述第一会话的安全策略。可选的,所述MgNB也可以向所述SgNB发送指示消息,所述指示消息可以指示所述第一会话和第二会话互为冗余会话,还可以指示所述第一会话与第二会话的安全密钥和安全策略相同。
示例性的,所述MgNB可以将所述第一会话的安全密钥携带辅基站增加/修改请求(SgNB addition/modification request)中,之后向所述SgNB发送所述辅基站增加/修改请求,所述第一会话的安全策略也可以携带在所述辅基站增加/修改请求中。
步骤602:所述SgNB在接收到所述第一会话的安全策略和安全密钥后,可以直接对所述第二会话的安全策略和安全密钥进行配置,也可以在后续从所述MgNB接收通知消息再对所述第二会话的安全策略和安全密钥进行配置,其中,所述通知消息可以指示所述UE已完成配置,也可以指示所述SgNB激活所述第二会话的配置。
所述SgNB向所述MgNB发送辅基站增加/修改确认消息(SgNB addition/modification acknowledge),所述辅基站增加/修改确认消息用于指示所述SgNB已确定收到所述第一会话的安全策略和安全密钥,还可以指示所述SgNB可以为所述第二会话配置与所述第一会话相同的安全策略和安全密钥。若所述SgNB已完成对所述第二会话的安全策略和安全密钥的配置,所述辅基站增加/修改确认消息用于还可以指示所述第二会话的安全策略和安全密钥的配置完成。
步骤603:所述MgNB在接收到所述辅基站增加/修改确认消息后,可以向所述UE发送所述冗余传输安全信息,所述UE在接收到所述冗余传输安全信息后,根据所述冗余传输安全信息对所述第一会话和所述第二会话的安全密钥和安全策略进行配置。示例性的,所述冗余传输安全信息可以携带在无线资源控制(radio resource control,RRC)消息中,例如RRC连接重配置请求(RRC connection reconfiguration Request)。
步骤604:所述UE在对所述第一会话和所述第二会话的安全密钥和安全策略配置完成后,向所述MgNB发送确认消息,所述确认消息也可以RRC消息发送,示例性的,所述确认消息可以为RRC连接重配置完成(RRC connection reconfiguration complete)消息。
步骤605所述MgNB从所述UE接收到所述确认消息后,所述MgNB可以向所述SgNB发送所述通知消息。
情况二、所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略不同。
所述基站为所述第一会话与第二会话配置不同的安全密钥和安全策略。
针对安全密钥,所述基站可以采用不同的安全密钥生成方式,生成所述第一会话的安全密钥和所述第二会话的安全密钥,本申请实施例并不限定安全密钥的生成方式,凡是可以使所述第一会话的安全密钥和所述第二会话的安全密钥的不同的方式均适用于本申请实施例。
示例性的,所述基站可以根据第一参数生成所述第一会话的安全密钥,根据第二参数生成所述第二会话的安全密钥。
所述基站可以将所述第一参数和所述第二参数发送给所述UE,所述UE可以基于所述冗余传输安全信息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥,具体的,所述UE在接收到所述第一参数和第二参数后,根据第一参数生成所述第一会话的安全密钥,根据第二参数生成所述第二会话的安全密钥。
下面介绍两种所述第一会话与第二会话的安全密钥的生成方法:
(一),基于所述第一会话和第二会话中已建立的会话的安全密钥推衍生成所述第一会话和第二会话中未建立完成的会话的安全密钥。
若所述第二会话是在所述UE发起所述会话建立请求之前已建立的会话,则所述基站在建立所述第一会话时,可以查询所述第二会话的安全密钥,基于所述第二会话的安全密钥继续推衍生成所述第一会话的安全密钥;所述基站在基于所述第二会话的安全密钥继续推衍生成所述第一会话的安全密钥时,可以引入所述第一参数,根据所述第二会话的安全密钥、所述第一参数生成所述第一会话的安全密钥。
例如,所述第二会话的完整性保护密钥为KUpint,所述第二会话的加密密钥为KUPenc,KUpint和KUPenc可以是现有的会话建立时,配置的完整性保护密钥和加密密钥,也可以是所述基站采用其他方式生成的完整性保护密钥和加密密钥;所述基站可以基于KUpint和KUPenc推衍生成所述第一会话的完整性保护密钥和加密密钥,所述第一会话的完整性保护密钥KUpint-session1=KDF(KUpint,第一参数)。
所述基站将所述第一参数发送给所述UE,所述UE采用与所述基站相同的方式生成所述第一会话的安全密钥。
可选的,如果所述UE已经拥有所述第一参数中的部分参数,比如NAS COUNT,则所述基站可以不发送所述部分参数给所述UE。
若所述第二会话在所述第一会话建立之后所述UE需要建立的会话,则所述基站在建立第二会话时,可以查询所述第一会话的安全密钥,基于所述第一会话的安全密钥继续推衍生成所述第二会话的安全密钥;所述基站在基于所述第一会话的安全密钥继续推衍生成所述第二会话的安全密钥时,可以引入所述第二参数。
所述基站将所述第二参数发送给所述UE,所述UE采用与所述基站相同的方式生成所述第二会话的安全密钥。
可选的,如果所述UE已经拥有所述第二参数中的部分参数,比如NAS COUNT,则所述基站可以不发送所述部分参数给所述UE。
(二)、基于中间密钥或者基于中间密钥推衍的密钥推衍出不同的安全密钥,将不同的安全密钥配置给所述第一会话和第二会话,所述中间密钥可以包括KAMF、KMgNB,KSgNB
作为一种可能的实施方式,所述基站可以基于KgNB可以生成多套不同的安全密钥,当接收到所述冗余传输安全信息,所述基站可以从所述多套不同的安全密钥中选用不同的安全密钥作为所述第一会话和所述第二会话的安全密钥。比如KUpint-session=KDF(KgNB,第一参数或第二参数等)。其中,KgNB可以为KMgNB或KSgNB;在所述MgNB侧生成安全密钥时,可以使用KMgNB;在所述SgNB侧生成安全密钥时,可以使用KSgNB
作为另一种可能的实施方式,所述AMF网元可以基于KAMF可以生成多个不同的KgNB,并将生成的多个不同的KgNB发送给所述基站,所述基站可以基于不同的KgNB生成多个不同的安全密钥,当接收到所述冗余传输安全信息,所述基站可以从所述多个不同的安全密钥中选用安全密钥作为所述第一会话和所述第二会话的安全密钥。
作为另一种可能的实施方式,所述AMF网元也可以基于中间密钥(如KAMF)推衍密钥,并将所述基于中间密钥(如KAMF)推衍密钥发送给所述基站,所述基站根据所述基于中间密钥推衍的密钥继续推衍生成会话(如第一会话或第二会话)的安全密钥。
例如,所述AMF网元可以基于KAMF生成多个密钥KuRLLC,比如KuRLLC=KDF(KAMF,第三参数,所述AMF网元将生成的KuRLLC发送给所述基站(例如MgNB和SgNB)。所述第三参数是所述基站和所述UE未获知的参数,所述第三参数包括但不限于会话的标识、切片标识、NSSAI、随机数、字符串,算法类型、算法类型标识、算法类型值、NAS COUNT、NH、PDCP COUNT,字符串、NAS连接标识,业务标识(service type)等。若本申请实施例中会话为承载粒度的,会话的标识可以替换为承载的标识。不同的KuRLLC的入参中,会话的标识和NAS COUNT,切片标识可能是不同的,随机数也不同。
所述AMF网元将生成的KuRLLC发送给所述基站时,可以确定哪些基站为后续需要建立用于冗余传输的会话的基站,并将多个KuRLLC发送分别发送给确定的所述基站。
可选的,所述AMF也可以将所有KuRLLC发给其中一个主基站,后续在进行辅基站的增加/修改操作时,将KuRLLC携带在所述辅基站增加/修改请求中分别发送给对应的辅基站,每个辅基站可以获取一个或多个KuRLLC
需要说明的是,所述第一会话或所述第二会话的安全密钥基于中间密钥推衍的密钥继续推衍生成的,所述UE未存储有中间密钥推衍的密钥,所述基站需要将生成所述基于中间密钥推衍的密钥所需的第三参数发送给所述UE,所述UE会基于中间密钥,根据所述第三参数生成密钥,之后基于所述中间密钥推衍的密钥推衍生成对应的会话(如第一会话、第二会话)的安全密钥。
应需理解的是,在所述基站生成所述第一会话的安全密钥时,引入了第一参数,则需要将所述第一参数发送给所述UE,相应的,生成所述第二会话的安全密钥时,引入了第二参数,则需要将所述第二参数发送给所述UE。通常,所述基站和所述UE会交互安全密钥生成时所需使用的KgNB,这里所述第一参数和所述第二参数是除KgNB、所述UE与所述基站未提前获知的参数、新引入的参数。其他所述UE与所述基站已提前获知的参数可以不发送,例如会话ID,所述UE与所述基站通常在会话建立过程的消息中会携带会话ID,双方已经拥有,则不必发送。
结合具体的网络架构,在如图3A和3B的网络架构中,存在MgNB和SgNB,存在两个不同的数据通道,对应两个不同的会话(对应本申请实施例中的第一会话和第二会话)。
若所述AMF网元与所述MgNB和所述SgNB之间均存在接口,并均维持有用于生成安全密钥的对应的NAS COUNT,所述AMF网元基于KAMF为所述MgNB生成KgNB为KMgNB,基于KAMF为所述SgNB生成KgNB为KsgNB,则所述AMF网元通过相应的接口,将KMgNB发送给所述MgNB,将KsgNB发送给所述SgNB,之后,所述MgNB可以基于所述KMgNB生成安全密钥,所述SgNB可以基于所述KSgNB生成安全密钥。
若所述AMF网元只与所述MgNB和所述SgNB中的一个gNB存在接口,以所述AMF网元只与所述MgNB存在接口为例,所述MgNB和所述SgNB可以采用各自的方式生成安全密钥。
作为一种可能的实施方式,所述MgNB可以自己生成KMgNB(例如由KAMF基于NASCOUNT生成),也可以获取KAMF(KAMF由所述AMF网元发送给所述MgNB);而所述MgNB可以将KAMF发送给所述SgNB,也可以将KMgNB发送给所述SgNB,还可以将经过KAMF或KMgNB推衍的密钥(以所生成的密钥为KSgNB来表示)发送给所述SgNB。所述SgNB根据接收到所述MgNB发送的密钥(如KAMF、KMgNB、KSgNB)之后,所述SgNB可以基于接收到的密钥(如KAMF、KMgNB、KSgNB)生成相应的安全密钥,所述安全密钥的生成可以参考前述KUpint和KUpenc的生成方法,此处不再赘述。
当所述MgNB生成KSgNB时,可以基于KAMF结合其他参数进行推衍,如KSgNB=KDF(KAMF,第四参数),也可以为KSgNB=KDF(KAMF,第四参数)。其中,第四参数包括但不限于SgNB ID,SgNB Counter、随机数、SgNB Counter的字符串长度、NH,切片ID,NSSAI,字符串、PDCPCOUNT,业务类型,NAS COUNT等,SgNB ID为所述SgNB的标识,本申请实施例并不限定标识的具体类型,凡是可以指示所述SgNB的标识均适用于本申请实施例。SgNB Counter为当前与所述MgNB的所述SgNB的个数,对于一个所述MgNB,可以由多个所述SgNB为其分流,所述MgNB每接入一个所述SgNB,SgNB Counter就相应的增加1,随机数、字符串的说明还见前内容,此处不再赘述。
采用上述方式,所述MgNB可以采用特定的方式生成KSgNB,之后根据KSgNB生成安全密钥,可以保证所述MgNB和所述SgNB生成的安全密钥是隔离的,进一步可以保证数据传输的安全性。
针对安全策略,所述基站为所述第一会话与第二会话配置不同的安全策略。
若所述第二会话是在所述UE发起所述会话建立请求之前已建立的会话,则所述基站可以查询所述第二会话的安全策略,为所述第一会话配置与所述第二会话不同安全策略。
若所述第二会话在所述第一会话建立之后,所述UE需要建立的会话,所述基站在建立所述第二会话时,查询所述第一会话的安全策略,为所述第二会话配置与所述第一会话不同的安全策略。
对于同一个会话(如第一会话或第二会话),所述基站和所述UE需要采用相同的安全策略,所述基站需要向所述终端设备发送所述第一会话的安全策略和所述第二会话的安全策略,所述UE从所述基站接收所述第一会话和所述第二会话的安全策略;所述UE基于所述冗余传输安全信息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
结合具体的网络架构,在如图3A和3B的网络架构中,存在MgNB和SgNB,存在两个不同的数据通道,对应两个不同的会话(对应本申请实施例中的第一会话和第二会话),所述SMF网元可以下面以所述SMF网元可以将所述冗余传输安全信息发送给所述MgNB,通过所述MgNB建立的数据通道为所述第一会话,通过所述SgNB建立的数据通道为所述第二会话为例进行说明。
所述MgNB若确定所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略不同,所述MgNB向所述SgNB所述第二参数或用于生成所述第二会话的安全密钥的中间密钥,例如KSgNB、KAMF;所述MgNB还可以预先确定所述第二会话的安全策略,并向所述SgNB发送所述第二会话的安全策略。
示例性的,所述MgNB可以将所述第二参数或用于生成所述第二会话的安全密钥的中间密钥携带在辅基站增加/建立请求中,之后向所述SgNB发送所述辅基站修改/建立请求,所述第二会话的安全策略也可以携带在所述辅基站增加/建立请求中。
所述SgNB在接收到所述第二参数或用于生成所述第二会话的安全密钥的中间密钥后,可以直接对所述第二会话的安全策略和安全密钥进行配置,也可以在后续从所述MgNB接收通知消息再对所述第二会话的安全策略和安全密钥进行配置,其中,所述通知消息可以指示所述UE已完成配置,还可以指示所述SgNB激活所述第二会话的配置。
所述SgNB向所述MgNB发送辅基站增加/修改确认消息(SgNB addition/modification acknowledge),所述辅基站增加/修改确认消息用于指示所述SgNB已确定收到所述MgNB发送的消息,还可以指示所述SgNB可以为所述第二会话配置与所述第一会话不同的安全策略和安全密钥。若所述SgNB已完成对所述第二会话的安全策略和安全密钥的配置,所述辅基站增加/修改确认消息用于还可以指示所述第二会话的安全策略和安全密钥的配置完成。
所述MgNB在接收到所述辅基站增加/修改确认消息后,可以向所述UE发送所述冗余传输安全信息,所述UE在接收到所述冗余传输安全信息后,根据所述冗余传输安全信息对所述第一会话和所述第二会话的安全密钥和安全策略进行配置。示例性的,所述冗余传输安全信息可以携带在RRC消息中,例如RRC配置请求;所述MgNB还会向所述UE发送所述第一会话的安全策略、所述第二会话的安全策略,若所述第一会话的安全密钥时引入了所述第一参数,所述MgNB还会向所述UE发送所述第一参数;若所述第二会话的安全密钥时引入了所述第二参数,所述MgNB还会向所述UE发送所述第二参数,所述冗余传输安全信息、所述第一会话的安全策略、所述第二会话的安全策略、所述第一参数或所述第二参数可以携带在一个消息中,发送给所述UE。
所述UE在对所述第一会话和所述第二会话的安全密钥和安全策略配置完成后,向所述MgNB发送确认消息,所述确认消息也可以RRC消息发送,示例性的,所述确认消息可以为RRC连接重配置完成消息。
所述MgNB从所述UE接收到所述确认消息后,所述MgNB可以向所述SgNB发送所述通知消息。
在上述举例中,数据通道是会话粒度的,事实上,数据通道也可以是QoS flow粒度,也就是在一个会话中建立两个QoS flow,如第一QoS flow和第二QoS flow,用于传输相同的数据,QoS flow的安全密钥和安全策略配置过程与如图5所示的会话配置方式相似,第一QoS flow对应于第一会话,第二QoS flow对应于第二会话,此处不再赘述,其中的区别在于所述SMF网元在会话建立的过程中,可以基于所述UE的签约信息和所述PCF网元中的QoS等级策略等信息,根据待建立的会话所对应的QoS flows确定冗余的QoS flows,即第一QoSflow和第二QoS flow,所述UE的签约信息可以是所述SMF网元从所述UDM网元获取的,而所述QoS等级策略等信息可以是所述SMF从所述UDM获取,也可以是所述SMF网元从所述PCF网元获取的;所述SMF网元向所述基站发送所述冗余传输安全信息,所述冗余传输安全信息指示第一QoS flow和第二QoS flow的安全密钥和安全策略。
在上述说明中所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略不同,是指所述第一会话的安全策略不同于所述第二会话的安全策略,所述第一会话的安全密钥不同于所述第二会话的安全密钥;事实上,所述冗余传输安全信息也可以指示所述第一会话和第二会话的安全策略相同以及所述第一会话和第二会话的安全密钥不同,还可以指示所述第一会话和第二会话的安全策略不同以及所述第一会话和第二会话的安全密钥相同。
所述基站和所述UE可以根据所述冗余传输安全信息的指示做相应的操作,如所述冗余传输安全信息也可以指示所述第一会话和第二会话的安全策略相同以及所述第一会话和第二会话的安全密钥不同,为所述第一会话和第二会话配置不同的安全密钥、以及相同的安全密钥;如所述冗余传输安全信息也可以指示所述第一会话和第二会话的安全策略不同以及所述第一会话和第二会话的安全密钥相同,为所述第一会话和第二会话配置相同的安全密钥、以及不同的安全密钥;具体的配置方式可以参见前述内容,此处不再赘述。
作为一种可能的实施方式,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略由所述基站确定。
下面对这种情况进行介绍,如图7所示,以接入网设备为基站,会话管理网元为SMF网元,终端设备为UE,对本申请实施例提供的另一种会话配置方法进行介绍,该方法包括:
步骤701:所述UE向SMF网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话。与如图5所示的实施例中步骤501相同,此处不再赘述。
步骤702:所述SMF网元在接收到所述会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略由所述基站确定。与如图5所示的实施例中步骤301相似,区别在与所述SMF网元确定的所述冗余传输安全信息用于指示的内容不同,此处不再赘述,可以参见前述内容。
步骤703:所述SMF网元向所述基站发送所述冗余传输安全信息,所述基站接收来所述冗余传输安全信息。
步骤704:所述基站为所述第一会话与所述第二会话配置安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
由于所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略由所述基站确定,所述基站可以根据第一规则确定所述第一会话与第二会话配置安全密钥和安全策略。
其中,所述第一规则可以为包括下列的部分或全部:
所述基站的负载、网络部署策略、所述基站的资源状态。
若所述基站当前的负载过大,为了节约资源,所述基站可以为所述第一会话与第二会话配置相同的安全密钥和安全策略;当所述基站当前的负载较低,为了保证数据传输的可靠性,所述基站可以为所述第一会话与第二会话配置不同的安全密钥和安全策略。
若所述基站的资源状态指示当前所述基站可用的资源较少,所述基站可以为所述第一会话与第二会话配置相同的安全密钥和安全策略;当所述基站的资源状态指示当前所述基站可用的资源较多,为了保证数据传输的可靠性,所述基站可以为所述第一会话与第二会话配置不同的安全密钥和安全策略。
若所述网络部署策略指示所述基站需要保证数据传输的可靠性,所述基站可以为所述第一会话与第二会话配置不同的安全密钥和安全策略,若所述网络部署策略对所述基站数据传输的无可靠性要求,所述基站可以为所述第一会话与第二会话配置相同的安全密钥和安全策略。
步骤705:所述基站向所述UE发送指示消息,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略。
所述基站在为所述第一会话与所述第二会话配置安全密钥和安全策略后,需要告知所述UE所述第一会话与所述第二会话配置安全密钥和安全策略是否相同。
所述基站确定的所述第一会话与第二会话的安全密钥和安全策略的关系可以存在如下四种情况:
1)、所述第一会话与第二会话的安全密钥和安全策略相同;相应的,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略相同。
2)、所述第一会话与第二会话的安全密钥和安全策略不同;相应的,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略不同。
3)、所述第一会话与第二会话的安全密钥不同,所述第一会话与第二会话的安全策略相同;相应的,所述指示消息用于所述第一会话与第二会话的安全密钥不同,所述第一会话与第二会话的安全策略相同。
4)、所述第一会话与第二会话的安全密钥相同,所述第一会话与第二会话的安全策略不同;相应的,所述指示消息用于所述第一会话与第二会话的安全密钥相同,所述第一会话与第二会话的安全策略不同。
在上述四种情况下,所述基站和所述UE具体为所述第一会话与第二会话的安全密钥和安全策略配置方法可以参见如图5所示的实施例,此处不再赘述。
针对安全策略,若所述基站为所述第一会话和第二会话配置的安全策略不同,所述基站在为所述第一会话和所述第二会话配置了安全策略后,所述基站会向所述UE发送所述第一会话和所述第二会话的安全策略,所述UE在接收到所述第一会话和所述第二会话的安全策略后,基于所述指示消息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
针对安全密钥,若所述基站为所述第一会话和第二会话配置的安全密钥不同,所述基站会可以向所述UE发送用于生成所述第一会话的安全密钥的第一参数和用于生成所述第二会话的安全密钥的第二参数,所述UE在接收到所述第一参数和所述第二参数后,基于所述指示消息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥,也就是说,所述UE根据所述第一参数生成所述第一会话的安全密钥,所述UE根据所述第二参数生成所述第二会话的安全密钥。
关于所述第一参数和第二参数的描述,可参见如图5所示的实施例中的相关描述,此处不再赘述。
需要说明的是,当所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略不同或相同的情况下,所述基站在接收到所述冗余传输安全信息后,也可以不根据所述冗余传输安全信息,为所述第一会话与第二会话配置安全密钥和安全策略,而是自行确定所述第一会话与第二会话配置安全密钥和安全策略(如根据第一规则确定所述第一会话与第二会话的安全密钥和安全策略),并进行配置。
结合如图3A和3B所示的网络架构,存在MgNB和SgNB,存在两个不同的数据通道,对应两个不同的会话(对应本申请实施例中的第一会话和第二会话),下面以所述SMF网元可以将所述冗余传输安全信息发送给所述MgNB,通过所述MgNB建立的数据通道为所述第一会话,而所述SgNB建立的数据通道为所述第二会话为例进行说明。
下面分别对所述MgNB在接收到所述冗余传输安全信息后,确定所述第一会话与第二会话的安全密钥和安全策略相同或不同分别介绍:
(一)、所述第一会话与第二会话的安全密钥和安全策略相同。
所述MgNB在确定所述第一会话与第二会话的安全密钥和安全策略相同后,可以向所述SgNB发送第一指示消息,所述第一指示消息可以指示所述第一会话和第二会话互为冗余会话,还可以指示所述第一会话与第二会话的安全密钥和安全策略相同;所述MgNB还可以向所述SgNB发送所述第一会话的安全密钥,和所述第一会话的安全策略。
示例性的,所述MgNB可以将所述第一指示消息、所述第一会话的安全密钥、或所述第一会话的安全策略携带在辅基站增加/修改请求中,之后向所述SgNB发送所述辅基站增加/修改请求。
所述SgNB在接收到所述第一指示消息、所述第一会话的安全密钥、或所述第一会话的安全策略后,可以根据所述第一指示消息确定所述第二会话的安全策略和安全密钥,并可以直接进行配置,也可以在后续从所述MgNB接收通知消息再对所述第二会话的安全策略和安全密钥进行配置,其中,所述通知消息可以指示所述UE已完成配置,还可以指示所述SgNB激活所述第二会话的配置。
所述SgNB向所述MgNB发送辅基站增加/修改确认消息、所述MgNB向所述UE发送所述冗余传输安全信息、以及之后所述UE、所述MgNB以及所述SgNB的操作可参见如图5所示的实施例中,所述冗余传输安全信息指示所述第一会话和所述第二会话的安全密钥和安全策略相同的情况下的相关描述,此处不再赘述。
应需理解的是,确定会话的安全策略和安全密钥、与配置会话的安全策略和安全密钥表示的意义不同,确定会话的安全策略和安全密钥是指可以根据一些信息(如第一指示消息、其他会话的安全策略和安全密钥)确定后续需要配置的会话的安全策略和安全密钥,并未完成会话的安全策略和安全密钥的配置操作,而配置会话的安全策略和安全密钥是指激活所述第二会话的配置,完成对所述第二会话的配置操作,比如激活安全策略中指示的加密和/或完整性保护操作,或者去激活安全策略中指示的加密和/或完整性保护。
需要说明的是,所述SgNB在接收到所述第一指示消息后,也可以不根据所述第一指示消息的指示,而是基于所述SgNB当前的负载、网络部署策略、或所述SgNB的资源状态等确定是否可以为所述第二会话配置与所述第一会话相同的安全密钥和安全策略,若确定可以配置相同的安全密钥和安全策略,可采用上述方式进行配置;若确定为所述第二会话配置与所述第一会话不同的安全密钥和安全策略,对于所述第二会话与所述第一会话的安全密钥不同的情况,所述SgNB可以根据所述第一会话的安全密钥继续进行推衍生成所述第二会话的安全密钥,如果生成所述第二会话的安全密钥还需要所述第二参数,则所述SgNB可以向所述MgNB发送用于请求所述第二参数的请求消息;从所述MgNB获取所述第二参数,生成所述第二会话的安全密钥,所述第二参数也可以是在所述MgNB预先发送给所述SgNB的;对于所述第二会话与所述第一会话的安全策略不同的情况,所述SgNB可以根据所述第一会话的安全策略配置所述第二会话的安全策略;在确定了所述第二会话的安全密钥和安全策略后,所述SgNB还可以向所述MgNB发送第二指示消息,所述第二指示消息用于指示所述第二会话的安全密钥和安全策略,所述第二指示消息可以是所述辅基站增加/修改确认消息。所述MgNB向所述UE发送所述冗余传输安全信息后所述UE、所述MgNB以及所述SgNB可参见如图5所示的实施例中,所述冗余传输安全信息指示所述第一会话和所述第二会话的安全密钥和安全策略不同的情况下的相关描述,此处不再赘述。这里在说明仅提及了所述SgNB确定为所述第二会话配置与所述第一会话不同或相同的安全密钥和安全策略的两种情况,对于安全密钥相同,安全策略不同、以及安全密钥不同,安全策略相同的情况与上述两种方式相似,此处不再赘述。
(二)、所述第一会话与第二会话的安全密钥和安全策略不同。
所述MgNB在确定所述第一会话与第二会话的安全密钥和安全策略不同后,可以向所述SgNB发送第三指示消息,所述第三指示消息可以指示所述第一会话和第二会话互为冗余会话,还可以指示所述第三会话与第三会话的安全密钥和安全策略不同;所述MgNB还可以向所述SgNB发送所述第一会话的安全密钥、所述第一会话的安全策略、所述第二参数或用于生成所述第二会话的安全密钥的中间密钥,例如KSgNB、KAMF等;所述MgNB还可以确定所述第二会话的安全策略,并向所述SgNB发送所述第二会话的安全策略。
示例性的,所述MgNB可以将所述第三指示消息、所述第一会话的安全密钥、所述第一会话的安全策略、所述第二参数或用于生成所述第二会话的安全密钥的中间密钥或基于中间密钥推衍的密钥携带在辅基站增加/建立请求中,之后向所述SgNB发送所述辅基站修改/建立请求,所述第二会话的安全策略也可以携带在所述辅基站增加/建立请求中。
所述SgNB在接收到所述第三指示消息、所述第一会话的安全密钥、所述第一会话的安全策略、所述第二参数或用于生成所述第二会话的安全密钥的中间密钥,可以根据接收到所述第三指示消息,确定所述第二会话的安全密钥和安全策略;对于所述第二会话的安全密钥,所述SgNB可以根据所述第一会话的安全密钥继续进行推衍生成所述第二会话的安全密钥,也可以根据所述第二参数或所述中间密钥或基于中间密钥推衍的密钥生成所述第二会话的安全密钥;对于所述第二会话的安全策略不同的情况,所述SgNB可以根据所述第一会话的安全策略配置所述第二会话的安全策略;若接收到所述第二会话的安全策略,则可以将所述第二会话的安全策略作为后续为所述第二会话配置的会话策略。
所述SgNB向所述MgNB发送辅基站增加/修改确认消息,所述MgNB向所述UE发送所述冗余传输安全信息、以及之后所述UE、所述MgNB以及所述SgNB可参见如图5所示的实施例中,所述冗余传输安全信息指示所述第一会话和所述第二会话的安全密钥和安全策略不同的情况下的相关描述,此处不再赘述。
需要说明的是,所述SgNB在接收到所述第三指示消息后,也可以不根据所述第三指示消息的指示,而是基于所述SgNB当前的负载、网络部署策略、或所述SgNB的资源状态等确定是否可以为所述第二会话配置与所述第一会话不同的安全密钥和安全策略,若确定可以配置不同的安全密钥和安全策略,可采用上述方式进行配置;若确定为所述第二会话配置与所述第一会话相同的安全密钥和安全策略,所述SgNB为所述第二会话配置与所述第一会话相同的安全密钥和安全策略、所述SgNB向所述MgNB发送辅基站增加/修改确认消息以及所述MgNB向所述UE发送所述冗余传输安全信息、以及之后所述UE、所述MgNB以及所述SgNB可参见如图5所示的实施例中,所述冗余传输安全信息指示所述第一会话和所述第二会话的安全密钥和安全策略不同的情况下的相关描述,此处不再赘述。这里在说明仅提及了所述SgNB确定为所述第二会话配置与所述第一会话不同或相同的安全密钥和安全策略的两种情况,对于安全密钥相同,安全策略不同、以及安全密钥不同,安全策略相同的情况与上述两种方式相似,此处不再赘述。
在上述两种情况的说明中仅提及了所述MgNB确定所述第二会话配置与所述第一会话不同或相同的安全密钥和安全策略的两种情况,对于安全密钥相同,安全策略不同、以及安全密钥不同,安全策略相同的情况与上述两种方式相似,只需分别参见安全密钥相同/不同、安全策略相同/不同相应的描述即可,此处不再赘述。
下面将如图5和7所示的实施例应用于具体场景,对本申请提供的会话配置方法进行进一步介绍,如图8所示,为本申请实施例提供的一种会话配置方法,该方法包括:
步骤801:所述UE向所述AMF网元发送会话建立请求,所述会话建立请求用于请求建立第一会话。
所述会话建立请求中可以携带指示所述第一会话支持URLLC业务的指示信息,也可以不携带所述指示信息。
步骤802:所述AMF网元接收到所述会话建立请求后,向所述SMF网元发送所述会话建立请求。
步骤803:所述SMF网元确定所述冗余传输安全信息。
示例性的,所述SMF网元从所述UDM网元获取所述UE的签约信息中与URLLC业务关联的签约信息,根据所述UE的签约信息中与URLLC业务关联的签约信息,确定所述冗余传输安全信息,所述冗余传输安全信息指示用于冗余传输的两个会话是否需要保持相同的安全密钥和安全策略。
一种可能的实现方式是,可以设置一个指示如Indication of Security policyfor URLLC redundant transmission,如果相同则可置该指示为“1”,默认为相同;如果为“2”,则为不同;如果为“0”,则为默认不选择,由RAN侧节点来具体判断执行。
步骤804:所述SMF网元通过所述PCF网元确定所述第一会话的会话策略。
若用于冗余传输的数据通道为QoS粒度的,所述SMF需要确定通过所述PCF网元或者所述UDM网元确定所述第一QoS flow和所述第二QoS flow,如需要确定所述第一QoSflow的和所述第二QoS flow的标识。QoS flow标识可以从第五代移动通信服务质量标识(5G QoS identity,5QI)中获取,也可以是QoS流标识(QoS flow ID,QFI)。
步骤805:所述SMF网元向所述UPF网元发送所述第一会话的会话策略。
步骤806:所述SMF网元向所述AMF网元发送所述冗余传输安全信息。
作为一种可能的实施方式,所述冗余传输安全信息中还可以携带所述第一会话的标识和所述第二会话的标识。
若用于冗余传输的数据通道为QoS粒度的,所述冗余传输安全信息中还可以携带所述第一QoS flow的和所述第二QoS flow的标识。
步骤807:所述AMF网元向所述基站发送所述冗余传输安全信息。
步骤808:所述基站在接收到所述冗余传输安全信息后,向所述UE发送所述冗余传输安全信息。
所述基站在接收到所述冗余传输安全信息还可以根据所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略;相应的,所述UE在接收到所述冗余传输安全信息后,根据所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
所述基站和所述UE在所述冗余传输安全信息指示的内容不同时,为所述第一会话和所述第二会话配置安全密钥和安全策略的方式可以参见如图5、6所示的实施例,此处不再赘述。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图5、8所示的实施例中基站执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图9所示,该装置包括接收单元901和发送单元902:
所述接收单元901,用于接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示终端设备需建立的第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;
所述发送单元902,用于向所述终端设备发送所述冗余传输安全信息。
在一种可能的实施方式中,所述装置还包括处理单元903,所述处理单元903在所述接收单元901接收来自会话管理网元的第一会话的冗余传输安全信息之后,还可以根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略。
在一种可能的实施方式中,所述发送单元902可以向所述终端设备发送所述第一会话和所述第二会话的安全策略。
在一种可能的实施方式中,所述发送单元902可以向所述终端设备发送第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
在一种可能的实施方式中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图5、8所示的实施例中终端设备执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图10所示,该装置包括发送单元1001和接收单元1002:
所述发送单元1001,用于向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;
所述接收单元1002,用于从接入网设备接收所述冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
在一种可能的实施方式中,所述装置还处理单元1003,所述处理单元1003可以基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
在一种可能的实施方式中,所述接收单元1002还可以从所述接入网设备接收所述第一会话和所述第二会话的安全策略;之后,所述处理单元1003在基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全策略时,可以基于所述冗余传输安全信息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
在一种可能的实施方式中,所述接收单元1002还可以从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;之后,所述处理单元1003在基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥时,可以基于所述冗余传输安全信息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥。
在一种可能的实施方式中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图7、8所示的实施例中基站执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图11所示,该装置包括处理单元1101和发送单元1102:
所述处理单元1101,用于为终端设备需建立的第一会话与第二会话配置安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话;
所述发送单元1102,用于向所述终端设备发送指示消息,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略。
在一种可能的实施方式中,所述装置还包括接收单元1103,所述接收单元1103在所述处理单元1101为终端设备需建立的第一会话与所述第二会话配置安全密钥和安全策略之前,可以接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略由所述接入网设备确定。
在一种可能的实施方式中,所述处理单元1101在为终端设备需建立的第一会话与第二会话配置安全密钥和安全策略时,可以根据第一规则确定所述第一会话与第二会话配置安全密钥和安全策略,所述第一规则包括下列的部分或全部:
所述接入网设备的负载、网络部署策略、所述接入网设备的资源状态。
在一种可能的实施方式中,所述发送单元1102还可以向所述终端设备发送所述第一会话和所述第二会话的安全策略。
在一种可能的实施方式中,所述发送单元1102还可以向所述终端设备发送第一参数以及第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
在一种可能的实施方式中,所述处理单元1101为所述第一会话与第二会话配置安全密钥和安全策略相同,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略相同。
在一种可能的实施方式中,所述处理单元1101为所述第一会话与第二会话配置安全密钥和安全策略不同,所述指示消息用于指示所述第一会话与所述第二会话的安全密钥和安全策略不同。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图7、8所示的实施例中终端设备执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图12所示,该装置包括接收单元1201和发送单元1202:
所述发送单元1202,用于向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;
所述接收单元1201,用于从接入网设备接收指示消息,所述指示消息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话。
在一种可能的实施方式中,所述装置还包括处理单元1203,所述处理单元1203可以基于所述指示消息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
在一种可能的实施方式中,所述接收单元1201可以先从所述接入网设备接收所述第一会话和所述第二会话的安全策略;之后,所述处理单元1203在基于所述指示消息,为所述第一会话和所述第二会话配置安全策略时,可以基于所述指示消息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全密钥和安全策略。
在一种可能的实施方式中,所述接收单元1201可以先从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;之后,所述处理单元1203在基于所述指示消息,为所述第一会话和所述第二会话配置安全密钥时,可以基于所述指示消息,根据所述第一参数和第二参数为所述第一会话和所述第二会话配置安全密钥。
在一种可能的实施方式中,所述指示消息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图5、6、7、8所示的实施例中SMF网元执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图13所示,该装置包括接收单元1301、处理单元1302和发送单元1303:
所述接收单元1301,用于接收到来自终端设备的会话建立请求,其中,所述会话建立请求用于请求建立所述第一会话;
所述处理单元1302,用于在所述接收单元1301接收到来自终端设备的会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;
所述发送单元1303,用于向接入网设备发送所述冗余传输安全信息。
在一种可能的实施方式中,所述处理单元1302在确定所述第一会话的冗余传输安全信息时,可以根据第一信息确定所述冗余传输安全信息,所述第一信息为下列的部分或全部:所述终端设备的签约信息,所述会话管理网元本地保存的会话策略、所述会话管理网元从策略控制网元获取的会话策略。
在一种可能的实施方式中,所述处理单元1302还可以从其他网元,例如所述策略控制网元接收所述冗余传输安全信息。
在一种可能的实施方式中,所述发送单元1303在向接入网设备发送所述第一会话的冗余传输安全信息时,可以通过接入管理网元向所述接入网设备发送所述冗余传输安全信息。
在一种可能的实施方式中,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同,或指示所述第一会话与第二会话的安全密钥和安全策略由接入网设备确定。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,所述接入网设备、所述终端设备均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,本领域的技术人员可以想到所述接入网设备、所述会话管理网元可以采用图14所示的形式。
如图14所示的装置1400,包括至少一个处理器1401、存储器1402,可选的,还可以包括通信接口1403。
存储器1402可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1402可以是上述存储器的组合。
本申请实施例中不限定上述处理器1401以及存储器1402之间的具体连接介质。本申请实施例在图中以存储器1402和处理器1401之间通过总线1404连接,总线1404在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1404可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1401可以具有数据收发功能,能够与其他设备进行通信,在如图14装置中,也可以设置独立的数据收发模块,例如通信接口1403,用于收发数据;处理器1401在与其他设备进行通信时,可以通过通信接口1403进行数据传输。
当接入网设备采用图14所示的形式时,图14中的处理器1401可以通过调用存储器1402中存储的计算机执行指令,使得所述接入网设备可以执行上述任一方法实施例中的基站执行的方法。
具体的,图9、图11中的收发单元和处理单元的功能/实现过程均可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现。或者,图9、图11中的处理单元的功能/实现过程可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现,图9、图11中的收发单元的功能/实现过程可以通过图14中的通信接口1403来实现。
当会话管理网元采用图14所示的形式时,图14中的处理器1401可以通过调用存储器1402中存储的计算机执行指令,使得所述接入网设备可以执行上述任一方法实施例中的SMF网元执行的方法。
具体的,图13中的收发单元和处理单元的功能/实现过程均可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现。或者,图13中的处理单元的功能/实现过程可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现,图13中的收发单元的功能/实现过程可以通过图14中的通信接口1403来实现。
由于本申请实施例提供的装置可执行上述的通信方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
在一个简单的实施例中,本领域的技术人员可以想到所述终端设备可以采用图15所示的形式。
如图15所示的装置1500,包括至少一个处理器1501、存储器1502,可选的,还可以包括收发器1503。
存储器1502可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1502可以是上述存储器的组合。
本申请实施例中不限定上述处理器1501以及存储器1502之间的具体连接介质。本申请实施例在图中以存储器1502和处理器1501之间通过总线1504连接,总线1504在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1504可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1501可以具有数据收发功能,能够与其他设备进行通信,在如图15装置中,也可以设置独立的数据收发模块,例如收发器1503,用于收发数据;处理器1501在与其他设备进行通信时,可以通过收发器1503进行数据传输。
当终端设备采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述终端设备可以执行上述任一方法实施例中的UE执行的方法。
具体的,图10、图12中的收发单元和处理单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图10、图12中的处理单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图10、图12中的收发单元的功能/实现过程可以通过图15中的收发器1503来实现。
由于本申请实施例提供的装置可执行上述的通信方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (30)

1.一种会话配置方法,其特征在于,所述方法包括:
接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示终端设备需建立的第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;
所述接入网设备向所述终端设备发送所述冗余传输安全信息。
2.如权利要求1所述的方法,其特征在于,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,还包括:
所述接入网设备根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略。
3.如权利要求2所述的方法,其特征在于,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,还包括:
所述接入网设备向所述终端设备发送所述第一会话和所述第二会话的安全策略。
4.如权利要求2或3所述的方法,其特征在于,所述接入网设备接收来自会话管理网元的第一会话的冗余传输安全信息之后,还包括:
所述接入网设备向所述终端设备发送第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
5.如权利要求1~3任一所述的方法,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
6.一种会话配置方法,其特征在于,所述方法包括:
终端设备向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;
所述终端设备从接入网设备接收所述第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
所述终端设备基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
8.如权利要求6所述的方法,其特征在于,所述终端设备基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全策略,包括:
所述终端设备从所述接入网设备接收所述第一会话和所述第二会话的安全策略;
所述终端设备基于所述冗余传输安全信息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
9.如权利要求7或8所述的方法,其特征在于,所述终端设备基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥,包括:
所述终端设备从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;
所述终端设备基于所述冗余传输安全信息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥。
10.如权利要求6~9任一所述的方法,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
11.一种会话配置方法,其特征在于,所述方法包括:
会话管理网元在接收到来自终端设备的会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述会话建立请求用于请求建立所述第一会话,所述第二会话为所述第一会话的冗余会话;
所述会话管理网元向接入网设备发送所述冗余传输安全信息。
12.如权利要求11所述的方法,其特征在于,所述会话管理网元确定所述第一会话的冗余传输安全信息,包括:
所述会话管理网元根据第一信息确定所述冗余传输安全信息,所述第一信息为下列的部分或全部:
所述终端设备的签约信息,所述会话管理网元本地保存的会话策略、所述会话管理网元从策略控制网元获取的会话策略。
13.如权利要求11所述的方法,其特征在于,所述会话管理网元确定所述第一会话的冗余传输安全信息,包括:
所述会话管理网元从策略控制网元接收所述第一会话的冗余传输安全信息。
14.如权利要求11~13任一所述的方法,其特征在于,所述会话管理网元向接入网设备发送所述冗余传输安全信息,包括:
所述会话管理网元通过接入管理网元向所述接入网设备发送所述冗余传输安全信息。
15.如权利要求11~13任一所述的方法,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同,或指示所述第一会话与第二会话的安全密钥和安全策略由接入网设备确定。
16.一种通信装置,其特征在于,所述装置包括接收单元和发送单元:
所述接收单元,用于接收来自会话管理网元的第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示终端设备需建立的第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;
所述发送单元,用于向所述终端设备发送所述冗余传输安全信息。
17.如权利要求16所述的装置,其特征在于,所述装置还包括处理单元,所述处理单元在所述接收单元接收来自会话管理网元的第一会话的冗余传输安全信息之后,用于:
根据所述冗余传输安全信息为所述第一会话和所述第二会话配置安全密钥和安全策略。
18.如权利要求17所述的装置,其特征在于,所述发送单元,还用于:
向所述终端设备发送所述第一会话和所述第二会话的安全策略。
19.如权利要求17或18所述的装置,其特征在于,所述发送单元,还用于:
向所述终端设备发送第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数。
20.如权利要求16~19任一所述的装置,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
21.一种通信装置,其特征在于,所述装置包括发送单元和接收单元:
所述发送单元,用于向会话管理网元发送会话建立请求,所述会话建立请求用于请求建立所述第一会话;
所述接收单元,用于从接入网设备接收所述冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,所述第二会话为所述第一会话的冗余会话。
22.如权利要求21所述的装置,其特征在于,所述装置还处理单元,所述处理单元用于:
基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥和安全策略。
23.如权利要求21所述的装置,其特征在于,所述接收单元,还用于:
从所述接入网设备接收所述第一会话和所述第二会话的安全策略;
所述处理单元在基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全策略,具体用于:
基于所述冗余传输安全信息,根据所述第一会话和所述第二会话的安全策略为所述第一会话和所述第二会话配置安全策略。
24.如权利要求22或23所述的装置,其特征在于,所述接收单元,还用于:
从所述接入网设备接收第一参数和第二参数,所述第一参数为用于生成所述第一会话的安全密钥的参数,所述第二参数为用于生成所述第二会话的安全密钥的参数;
所述处理单元在基于所述冗余传输安全信息,为所述第一会话和所述第二会话配置安全密钥,具体用于:
基于所述冗余传输安全信息,根据所述第一参数和所述第二参数为所述第一会话和所述第二会话配置安全密钥。
25.如权利要求21~24任一所述的装置,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同。
26.一种通信装置,其特征在于,所述装置包括接收单元、处理单元和发送单元:
所述接收单元,用于接收到来自终端设备的会话建立请求,其中,所述会话建立请求用于请求建立所述第一会话;
所述处理单元,用于在所述接收单元接收到来自终端设备的会话建立请求后,确定第一会话的冗余传输安全信息,所述冗余传输安全信息用于指示所述第一会话与第二会话的安全密钥和安全策略,其中,所述第二会话为所述第一会话的冗余会话;
所述发送单元,用于向接入网设备发送所述冗余传输安全信息。
27.如权利要求26所述的装置,其特征在于,所述处理单元在确定所述第一会话的冗余传输安全信息,具体用于:
根据第一信息确定所述冗余传输安全信息,所述第一信息为下列的部分或全部:
所述终端设备的签约信息,所述会话管理网元本地保存的会话策略、所述会话管理网元从策略控制网元获取的会话策略。
28.如权利要求26所述的装置,其特征在于,所述处理单元还用于:
从策略控制网元接收所述冗余传输安全信息。
29.如权利要求26~28任一所述的装置,其特征在于,所述发送单元在向接入网设备发送所述冗余传输安全信息,具体用于:
通过接入管理网元向所述接入网设备发送所述冗余传输安全信息。
30.如权利要求26~29任一所述的装置,其特征在于,所述冗余传输安全信息指示所述第一会话与第二会话的安全密钥和安全策略相同,或指示所述第一会话与第二会话的安全密钥和安全策略不同,或指示所述第一会话与第二会话的安全密钥和安全策略由接入网设备确定。
CN201910051183.2A 2019-01-18 2019-01-18 一种会话配置方法及装置 Active CN111464572B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201910051183.2A CN111464572B (zh) 2019-01-18 2019-01-18 一种会话配置方法及装置
PCT/CN2020/072868 WO2020147849A1 (zh) 2019-01-18 2020-01-17 一种会话配置方法及装置
EP20740939.2A EP3893468A4 (en) 2019-01-18 2020-01-17 SESSION CONFIGURATION METHOD AND DEVICE
US17/377,425 US11902325B2 (en) 2019-01-18 2021-07-16 Session configuration method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910051183.2A CN111464572B (zh) 2019-01-18 2019-01-18 一种会话配置方法及装置

Publications (2)

Publication Number Publication Date
CN111464572A true CN111464572A (zh) 2020-07-28
CN111464572B CN111464572B (zh) 2021-09-07

Family

ID=71614281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910051183.2A Active CN111464572B (zh) 2019-01-18 2019-01-18 一种会话配置方法及装置

Country Status (4)

Country Link
US (1) US11902325B2 (zh)
EP (1) EP3893468A4 (zh)
CN (1) CN111464572B (zh)
WO (1) WO2020147849A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113543119A (zh) * 2021-06-07 2021-10-22 中国联合网络通信集团有限公司 标识符的获取方法和统一数据管理实体、终端
WO2022067480A1 (en) * 2020-09-29 2022-04-07 Qualcomm Incorporated Enhancing connection reliability using motion metrics
CN114374553A (zh) * 2021-12-30 2022-04-19 中国电信股份有限公司 一种时间同步方法及系统
CN115134936A (zh) * 2021-03-24 2022-09-30 海能达通信股份有限公司 用户会话的处理方法及相关装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2574898A (en) * 2018-06-22 2019-12-25 Nec Corp Communication system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104620536A (zh) * 2012-09-17 2015-05-13 瑞典爱立信有限公司 高可用性、可扩展策略和计费控制系统及用于其的方法
CN105703890A (zh) * 2014-11-28 2016-06-22 电信科学技术研究院 一种进行数据传输的方法和设备
CN108347410A (zh) * 2017-01-24 2018-07-31 华为技术有限公司 安全实现方法、设备以及系统
WO2018167307A1 (en) * 2017-03-17 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Security solution for switching on and off security for up data between ue and ran in 5g

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110255691A1 (en) * 2010-04-15 2011-10-20 Qualcomm Incorporated Apparatus and method for transitioning enhanced security context from a utran-based serving network to a geran-based serving network
US10638388B2 (en) * 2016-08-05 2020-04-28 Qualcomm Incorporated Techniques for fast transition of a connection between a wireless device and a local area network, from a source access node to a target access node

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104620536A (zh) * 2012-09-17 2015-05-13 瑞典爱立信有限公司 高可用性、可扩展策略和计费控制系统及用于其的方法
CN105703890A (zh) * 2014-11-28 2016-06-22 电信科学技术研究院 一种进行数据传输的方法和设备
CN108347410A (zh) * 2017-01-24 2018-07-31 华为技术有限公司 安全实现方法、设备以及系统
WO2018167307A1 (en) * 2017-03-17 2018-09-20 Telefonaktiebolaget Lm Ericsson (Publ) Security solution for switching on and off security for up data between ue and ran in 5g

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
" "3rd Generation Partnership Project;Technical Specification Group Services and System Aspects; Study on the Security for 5G URLLC (Release 16)"", 《3GPP TR 33.825 V0.2.0》 *
3GPP: "《3GPP TR 33.825 V0.2.0》", 19 November 2018 *
ERICSSON: "Security solution for handling UP security policy for multiple PDU sessions used for redundant data transmission", 《3GPP TSG SA WG3 (SECURITY) MEETING #93》 *
QUALCOMM INCORPORATED: "Analysis of URLLC solutions using DC", 《SA WG2 MEETING #129BIS》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022067480A1 (en) * 2020-09-29 2022-04-07 Qualcomm Incorporated Enhancing connection reliability using motion metrics
CN115134936A (zh) * 2021-03-24 2022-09-30 海能达通信股份有限公司 用户会话的处理方法及相关装置
CN113543119A (zh) * 2021-06-07 2021-10-22 中国联合网络通信集团有限公司 标识符的获取方法和统一数据管理实体、终端
CN113543119B (zh) * 2021-06-07 2023-10-24 中国联合网络通信集团有限公司 标识符的获取方法和统一数据管理实体、终端
CN114374553A (zh) * 2021-12-30 2022-04-19 中国电信股份有限公司 一种时间同步方法及系统

Also Published As

Publication number Publication date
US11902325B2 (en) 2024-02-13
EP3893468A1 (en) 2021-10-13
WO2020147849A1 (zh) 2020-07-23
EP3893468A4 (en) 2022-02-09
CN111464572B (zh) 2021-09-07
US20210344716A1 (en) 2021-11-04

Similar Documents

Publication Publication Date Title
EP3820181B1 (en) Secure conversation method and device
CN111464572B (zh) 一种会话配置方法及装置
US10582522B2 (en) Data transmission and reception method and device of terminal in wireless communication system
KR102601585B1 (ko) Nas 메시지의 보안 보호를 위한 시스템 및 방법
US10694383B2 (en) Method and device for transmitting or receiving data by terminal in wireless communication system
CN106465227B (zh) 经由多个无线接入来支持网络ip流移动性的方法和设备
US11627458B2 (en) Key derivation algorithm negotiation method and apparatus
US20180124117A1 (en) Network entity, user device, and method for setting up device to device communications
TWI652957B (zh) 基地台以及可在兩基地台間切換的通訊裝置
US10805938B2 (en) Data transmission/reception method and apparatus for terminal in wireless communication system
CN105874766B (zh) 在用户设备之间提供受控证书的方法和设备
US11937319B2 (en) Integrity protection handling at the gNB-CU-UP
WO2019096075A1 (zh) 一种消息保护的方法及装置
CN108307695A (zh) 用于操控无线通信网络中的无线电接入网络(ran)上下文信息的网络节点、无线装置和其中的方法
WO2014127677A1 (zh) 数据传输方法、装置及系统
CN112399507A (zh) 用于传输数据的方法、终端设备和网络设备
CN107431953B (zh) 业务流分流的方法和装置
CN109803262B (zh) 一种网络参数的传输方法及装置
CN109474954B (zh) 一种会话建立方法及装置
WO2020056433A2 (en) SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo)
US9258711B2 (en) Wireless communication system and authentication method thereof
US10045391B2 (en) Methods, apparatuses and computer program products for prose communication
CN106489283B (zh) 一种近距离业务通信方法、相关设备及系统
CN116711458A (zh) 信息传输方法及通信装置
JP2022553618A (ja) 無線通信方法及び端末装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant