CN111787533A - 加密方法、切片管理方法、终端及接入和移动性管理实体 - Google Patents
加密方法、切片管理方法、终端及接入和移动性管理实体 Download PDFInfo
- Publication number
- CN111787533A CN111787533A CN202010618146.8A CN202010618146A CN111787533A CN 111787533 A CN111787533 A CN 111787533A CN 202010618146 A CN202010618146 A CN 202010618146A CN 111787533 A CN111787533 A CN 111787533A
- Authority
- CN
- China
- Prior art keywords
- slice
- ciphertext
- terminal
- identifier
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供一种加密方法、切片管理方法、终端及接入和移动性管理实体,其中,所述加密方法包括:在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。本公开实施例通过对切片中重要标识分别进行加密,可以至少解决用户在同一终端上同时接入多个切片时的安全性。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种加密方法、一种切片管理方法、一种终端、一种接入和移动性管理实体以及一种计算机可读存储介质。
背景技术
网络切片技术是5G(5th generation mobile networks,第五代移动通信技术)的关键技术之一,它能够通过对网络进行配置,使得用户按需获得最合适的网络服务,增加网络资源的灵活度。
在网络切片技术中,一个终端可以同时连接多个切片,终端建立会话前需要将URSP(UE Routing Selection Policy,UE路由选择策略)和网络进行协商,协商内容主要包括NSSAI(Single Network Slice Selection Assistance Information,网络切片标识)以及切片流量描述符来对多个切片的流量进行区分管理。当同一终端同时接入多个切片时,如果不对TMSI(Temporary Mobile Subscriber Identity,用户临时身份标识)、NSSAI以及流量描述符APP ID(Application Identity Document,应用标识)三者实施有效加密,那么无线侧到AMF(Access and Mobility Management Function,接入和移动性管理)之间的监听者只需通过寻呼便可容易获取切片服务的终端的TMSI,再获取到多个应用程序的APP ID的明文,便可以关联到当前该TMSI的终端下的各个应用程序APP ID下的各类流量可以接入到哪些NSSAI的网络切片,然后根据破解的切片标识、流量描述符对特定的流量进行切片策略或者会话策略的篡改、计费攻击,产生安全隐患。
发明内容
本公开提供了一种加密方法、切片管理方法、终端及接入和移动性管理实体,以至少解决上述问题。
根据本公开实施例的第一方面,提供一种加密方法,所述加密方法包括:
在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;以及,
所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。
根据本公开实施例的第二方面,还提供一种切片管理方法,所述切片管理方法包括:
在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;
所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体,以使所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法,然后基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
所述终端获取所述接入和移动性管理实体发送的第二应用标识密文和第二切片标识密文;
所述终端基于第三解密算法分别对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文;
所述终端基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
根据本公开实施例的第三方面,还提供另一种切片管理方法,所述另一种切片管理方法包括:
接入和移动性管理实体获取终端发送的用户临时身份标识密文、第一应用标识密文及第一切片标识密文;
所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法;
所述接入和移动性管理基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
所述接入和移动性管理实体将所述第二应用标识密文和第二切片标识密文发送给所述终端,以使所述终端基于第三解密算法对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文,并基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
根据本公开实施例的第四方面,提供一种终端,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的加密方法,或者所述的切片管理方法。
根据本公开实施例的第五方面,提供一种接入和移动性管理实体,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的另一种切片管理方法。
根据本公开实施例的第六方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的加密方法、所述的切片管理方法,或者另一种切片管理方法中。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例提供的加密方法,通过在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。本公开实施例通过对切片中重要标识分别进行加密,可以至少解决用户在同一终端上同时接入多个切片时的安全性。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的一种加密方法的流程示意图之一;
图2为本公开实施例中终端进行切片服务注册的流程示意图;
图3为本公开实施例提供的一种加密方法的流程示意图之二;
图4为本公开实施例提供的一种切片管理方法的流程示意图之一;
图5为本公开实施例提供的一种切片管理方法的流程示意图之二;
图6A为本公开实施例提供的另一种切片管理方法的流程示意图;
图6B为图6A中步骤S602的流程示意图;
图7为本公开实施例提供的一种终端的结构示意图之一;
图8为本公开实施例提供的一种终端的结构示意图之二;
图9为本公开实施例提供的另一种终端的结构示意图之一;
图10为本公开实施例提供的另一种终端的结构示意图之二;
图11为本公开实施例提供的一种接入和移动性管理实体的结构示意图之一;
图12为本公开实施例提供的一种接入和移动性管理实体的结构示意图之二。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
目前的切片管理方案,切片服务注册和创建切片会话主要基于以下流程实现:(1)终端进行切片服务注册时:终端在进行切片服务注册时,按照现有流程终端直接将Requested NSSAI、TMSI、发送到AMF,AMF再向NSSF转发这些信息。NSSF(Network SliceSelection Function,网络切片选择功能)收到请求后返回给AMF查询结果,返回的查询结果中会携带Allowed NSSAI、目标AMF Set;(2)终端在切片内创建PDU会话时:终端向AMF发送会话请求时,向PCF(Policy Control function,策略控制功能)上报其所需要的网络切片标识NSSAI、提前预置的URSP终端路由选择策略等信息。具体要上报的信息如下所示:流量描述符:<APP ID=视频或图片或文字>+路由选择描述”:<网络切片标识:S-NSSAI-2,SSCMODE:MODE 2,DNN:Internet>。PCF向UDR(Unified Data Repository,统一数据仓库功能)查询用户签约信息,并返回给终端是否可以允许接入请求切片以及允许切片的流量路由路径。终端侧判断某个APP可以匹配该切片服务,那么就将该APP应用的流量接入到切片并完成PDU会话的建立。
相关技术中,通过终端发起会话请求核心网提供切片服务,终端会向网络侧发起携带“TMSI,NSSAI切片标识,流量描述标识”的消息,并对整条消息直接加密。
上述的切片管理流程,由于没有明确的规定要对多个切片之间的各类标识进行安全加密管理,因此在终端接入网络的过程中会被窃听者监测到切片标识、切片流量描述符以及用户身份标识进行关系对应,由此获取切片对应的业务服务、行为习惯、应用使用位置等隐私:相关技术中将整条消息进行加密,没有考虑到TMSI与APP ID及切片标识之间的对应关系产生的安全漏洞:同一终端的多个切片会接入同一个AMF,例如同一个应用程序会同时分接到多个切片中,如果不对切片流量描述符“应用程序ID”、用户临时身份标识“TMSI”、网络切片标识“NSSAI”三者分别实施隔离性的加密,那么无线侧到AMF之间的监听者只需通过寻呼或者发送identity request便可容易获取单个切片的GUTI、再获取到多个“应用程序ID”的明文,便可以关联到当前该GUTI终端下的各个应用程序下的各类流量可以接入到哪些NSSAI的网络切片。根据破解的切片标识、流量描述符对特定的流量进行切片策略或者会话策略的篡改、计费攻击,产生较大的安全漏洞。
可以理解的是,其中用户临时身份标识还可能是GUTI(Globally UniqueTemporary UE Identity,全球唯一临时UE标识)或SUCI(SUbscription ConcealedIdentifier,用户身份加密标识符)。
为解决上述问题,本公开实施例提供了对网络切片标识进行加密、验证的流程及方法,通过多个核心网网元分别切片标识、流量标识以及用户身份标识进行隔离、分层加密,实现了切片中涉及到的重要标识的多重隔离,终端多切片同时接入场景下,避免窃听者获取切片对应的业务服务、行为习惯、应用使用位置等隐私,保护了用户同一终端上同时接入多个切片时的安全性。
请参照图1,图1为本公开实施例提供的一种加密方法的流程示意图,所述加密方法包括步骤S101-S103。
在步骤S101中,在终端接收应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文。
需要说明的是,第一加密算法和下述的第二加密算法为分别两种不同的加密算法,例如,利用两套不同的密钥体系分别对用户临时身份标识和应用标识及切片标识分别进行加密。
本实施例中,步骤S101中所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识包括以下步骤:
所述终端获取用于对所述切片会话请求的用户临时身份标识加密的公钥,其中,所述公钥与接入和移动性管理实体中存储的用于对所述切片会话请求的用户临时身份标识解密的私钥配对;
所述终端基于所述公钥加密所述切片会话请求的用户临时身份标识。
具体地,用户临时身份标识根据非对称加密对的公钥进行加密,具体地,在终端侧对TMSI加密的公钥设为K tmsi 1,K tmsi 1可以由终端SIM提前储存或者AMF通过N1接口定时派发更新给终端,与其配对用于解密的密钥在AMF中储存:私钥K tmsi2。K tmsi 1与Ktmsi2是一对非对称加密的私钥、公钥,具体加密解密算法可以为RSA、Elgamal,该对公钥私钥已协商好同步刷新频率:例如每次新建会话切片服务请求都要更新一次。
进一步地,为了使得AMF接收到终端侧的切片回话请求后,可以快速找到与该公钥K tmsi 1配对的K tmsi2私钥,本实施例在终端进行切片服务注册时,AMF对切片服务注册成功的每个终端都分配一串独立的签名P,其中签名P可以以密钥的形式发放,在AMF与终端的TMSI配对时,作为AMF中检索解密私钥的索引,用于进行K tmsi的配对,为更好地理解本实施例终端切片服务的注册流程,请参照图2,终端进行切片服务的注册流程包括:
S21、终端上报切片注册请求消息给AMF,消息包括《Requested NSSAI、TMSI》;
S22、AMF收到注册请求后,AMF获取终端的TMSI;
S23、AMF向NSSF转发这些信息,查询用户可用的NSSAI;
S24、NSSF收到请求后返回给AMF查询结果,返回的查询结果中会携带AllowedNSSAI、目标AMF Set。
S25、AMF还对切片服务注册成功的每个终端都分配一串独立的公钥P或者签名P,并与该终端的TMSI进行配对,作为AMF中检索终端私钥的索引,用于在后续步骤中进行Ktmsi密钥配对。
S26、AMF向终端返回切片注册响应消息,消息包括<Allowed NSSAI、目标AMF Set、签名P>。
本实施例中,对于TMSI加密的方式采用与AMF协商好的公、私钥以及签名P索引,可以方便AMF解密用户临时身份标识,提高解密效率,简化工作流程。
本实施例中,根据终端当前接入切片的数量,按照需求分别对终端上的用户临时身份标识TMSI、切片标识S-NSSAI,流量描述符中APP ID进行分隔、分类的加密。具体地,终端发起会话之前可能接入切片或者未接入切片,而在未接入切片时,由于TMSI是变化的,终端侧则不需要对TMSI进行加密,以简化流程,如图3所示,本实施例在步骤S101之前,还包括以下步骤S301。
在步骤S301中,所述终端判断当前是否已接入切片,若当前已接入切片,则执行步骤S101基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤,否则,所述终端跳出步骤S101基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤,直接执行步骤S102基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识。
进一步地,本实施例还包括以下步骤:
所述终端设定切片标识位;以及,
所述终端基于所述切片标识位按照当前接入切片的数量对所述切片会话请求进行标记。
本实施例中,终端通过设定切片标识位,基于该切片标识位来提示当前终端接入切片的数量是否大于一(00或者01),00代表目前终端没有接入任何切片服务,01代表终端目前接入至少1个以上的切片服务,并依据切片标识的特点对各个标识进行加密,再将加密后的会话请求发送给AMF。如果终端当前没有接入切片,即新增的标识位00,由于TMSI是变化的,终端侧不需要对TMSI进行加密,只需要保证AMF在接入下一个切片前将TMSI进行刷新即可,监听者就无法把旧TMSI与新TMSI的切片信息进行关联,同时签名P的数据位置也是全0。
可以理解的是,AMF收到加密后的切片注册请求后,开始对各个标识进行解密:首先根据发送消息的新增标识符00/01,判断是否对终端TMSI进行解密。如果是00那么不需要对TMSI进行解密。如果判断标识符01,那么需要对TMSI进行解密,具体解密方法:用公钥P的对应映射关系查找到K tmsi2,并用K tmsi2解密后获得终端的TMSI明文。
在步骤S102中,所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文。
在一种实施方式中,步骤S102所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,包括以下步骤:
所述终端生成用于对所述切片会话请求的应用标识加密的第一伪随机数列,其中,所述第一伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的应用标识的伪随机数列相同;
所述终端生成用于对所述切片会话请求的切片标识加密的第二伪随机数列,其中,所述第二伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的切片标识的伪随机数列相同;
所述终端基于所述第一伪随机数列和第二伪随机数列分别加密所述切片会话请求的应用标识和切片标识。
具体地,对流量描述符中的APP ID、网络切片标识S-NSSAI进行加密:终端中预置伪随机数列生成装置以及一组固定序列A0,该装置可以用固定序列A0以生成长度为X的第一伪随机序列A1、A2……,核心网侧的UDM(Unified Data Management,统一数据管理功能)也预置一套相同伪随机数列生成装置以及一组固定序列A0,可以生成与UDM一样的伪随机序列A1、A2……,其中An用以区分不同的切片,若为第一切片即为A1。这两套伪随机序列生成、刷新的频率是每当有切片会话请求,即终端侧向AMF上报切片会话请求消息后终端侧生成新的伪随机序列,UDM收到AMF请求的切片会话查询消息后UDM侧生成与之对应新的伪随机序列。
UDM还将预置两个密钥派生算法,这两个算法都由伪随机序列A1\A2……作为派生因子,且两个算法的密钥使用、产生顺序也固定。终端侧预置与UDM密钥功能相反的两个个密钥派生算法。这样终端侧由A、算法1派生的加密密钥,需要用UDM侧由A、算法1派生的解密密钥来形成配对;此处结合后述切片管理方法的实施例,AMF还将基于第三加密算法对切片响应会话的切片标识和应用标识进行加密,终端侧再基于第三解密算法对切片标识和应用标识进行解密,除上述两个算法外还设置有其它两个密钥派生算法,即总共包括四个密钥派生算法:终端侧由A、算法1派生的加密密钥,需要用UDM侧由A、算法1派生的解密密钥来形成配对终端侧由A、算法3派生的解密密钥,对应的是UDM侧由A、算法3派生的加密密钥。结合后述实施例,两侧生成的四个密钥的生成关系是:
在步骤S103中,所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。
例如:对于终端接入的第一个切片,终端侧将用L1 A1对切片会话请求中的“APPID”进行加密,L2 A1对“S-NSSAI”进行加密。同时再发给核心网时还将携带生成的A1用于与核心网UDM进行A的校准(伪随机序列自相关运算将会产极大值,可以作为终端与网络鉴定或者同步的依据)。因此终端侧向AMF上报的第一切片会话请求消息格式<新增标识00;TMSI;流量描述符:<用L1 A1加密的APP ID 1>+路由选择描述:<用L2 A1加密后的S-NSSAI-1,SSC MODE:MODE 2,DNN:Internet;A1;公钥位0000>。
如果终端当前已经接入一个切片,现在需要发起新的切片(切片二)会话请求,那么新增标识位显示01。首先需要对TMSI进行加密,具体加密流程以及密钥体系同下:在终端侧对TMSI加密的公钥设为K tmsi 1,K tmsi 1是终端SIM提前储存或者AMF通过N1接口定时派发更新给终端;与其配对用于解密的密钥在核心网移动接入管理网元AMF中储存:私钥Ktmsi2。K tmsi 1与K tmsi2是一对非对称加密的私钥、公钥,具体加密解密算法可以为RSA、Elgamal,该对公钥私钥已协商好同步刷新频率:例如每次新建会话切片服务请求都要更新一次。其次再对流量描述符中的APP ID、网络切片标识S-NSSAI进行加密:由于终端与UDM在切片一的时候已经派生了A1,因此终端以及UDM将根据伪随机数列生成装置以及一组固定序列A0派生新的伪随机序列A2,并将A2与四个预置的密钥派生算法进行密钥派生。终端侧向AMF上报第二切片会话请求消息格式:《新增标识01;K tmsi 1加密后的TMSI;流量描述符:<用L1 A2加密的APP ID 2>+路由选择描述:<用L2 A2加密后的S-NSSAI-2,SSC MODE:MODE 2,DNN:Internet;A2;公钥P》。
依次类推,当终端再需要发起新的切片会话请求,那么新增标识位显示01。此时可能切片一/二的会话已经结束,新的切片会话序号可能还是切片二,但并不影响加密解密的流程,首先需要对TMSI进行加密,具体加密流程以及密钥体系同上述步骤。然后终端以及UDM将根据伪随机数列生成装置以及一组固定序列A0派生新的伪随机序列A3,并将A3与四个预置的密钥派生算法继续进行密钥派生,完成对APPID 3,NSSAI-3的加密,此处不在赘述。
基于相同的技术构思,本公开实施例在上述加密方法的基础上还相应提供了一种切片管理方法,如图4所示,所述切片管理方法包括步骤S401-S405。
本实施例中,对于同一切片的APP ID,NSSAI的加密解密:采用同一个伪随机序列A1作为密钥初始派生向量,提前预置好的四类密钥对同一切片申请中的两个切片标识进行端网侧的加解密,简化了密钥生成流程,其中四个密钥分别用于:终端侧切片服务请求的加密/网络侧切片服务请求解密、网络侧切片响应加密/终端侧切片响应解密,同步发送的伪随机序列A还可以在网络侧、终端侧进行校验,确保密钥的对成性,基于本实施例提供的切片管理方法,可以很好的解决目前切片使用的不安全等问题。
在步骤S401中,在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文。
在步骤S402中,所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文。
在步骤S403中,所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体,以使所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法,然后基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文。
具体地,所述接入和移动性管理实体接收到所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文后,先基于第一解密算法解密所述用户临时身份标识密文得到用户临时身份标识明文,并将所述用户临时身份明文、第一应用标识密文及第一切片标识密文发送给统一数据管理实体,以使所述统一数据管理实体基于所述用户临时身份标识明文查找所述终端关于所述第二加密算法的第二解密算法,并使所述统一数据管理实体将所述第二解密算法发送给所述接入和移动性管理实体,所述接入和移动性管理实体获取所述第二解密算法并基于所述第二解密算法解密所述第一应用标识密文及第一切片标识密文得到第一应用标识明文和第一切片标识明文,然后将所述第一应用标识明文和第一切片标识明文发送给策略控制功能实体和网络切片选择功能实体以查询响应所述切片会话请求的路由策略和切片选择策略,所述路由策略和切片选择策略中包括切片会话响应的应用标识和切片标识,所述接入和移动性管理实体获取所述切片会话响应的应用标识和切片标识,并向所述统一数据管理实体调取用于加密所述切片会话响应的应用标识和切片标识的第三加密算法,然后基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
在步骤S404中,所述终端获取所述接入和移动性管理实体发送的第二应用标识密文和第二切片标识密文。
在步骤S405中,所述终端基于第三解密算法分别对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文。
在步骤S406中,所述终端基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
结合上述加密方法实施例通过终端侧分别对用户临时身份标识和应用标识及切片标识进行加密,并将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体的发送到核心网侧,本实施例中核心网侧在接收到第一应用标识密文及第一切片标识密文并对其解密后,将向终端侧下发切片响应会话消息,在此之前对切片响应会话消息进行加密,终端侧还需要对响应消息进行解密,可以理解的是切片响应会话消息中包括切片会话响应的应用标识和切片标识。
需要说明的是,本实施例中第二加密算法和第三加密算法,或者所述第二解密算法和第三解密算法均是使用伪随机数列生成密钥的方式进行加密和解密,此处仅用于区分加密流程不同,并不是对本公开的限制。
具体地,结合图5所示,
S51,终端识别切片标识位,如果切片标识位为00,不加密TMSI,如果切片标识位为01,加密TMSI;
S52,根据A0派生A1、L1、L2分别对APP ID、S-NSSAI加密;
S53,发送切片会话请求,切片会话请求中包括加密的APP ID、S-NSSAI;
S54,AMF根据签名P索引到用于解密TMSI的私钥K tmsi2,解密获得TMSI明文。
具体地,AMF收到加密后的切片注册请求后,开始对各个标识进行解密:根据发送消息的新增标识符00/01,判断是否对终端TMSI进行解密。如果是00那么不需要对TMSI进行解密。如果判断标识符01,那么需要对TMSI进行解密,具体解密方法:用公钥P的对应映射关系查找到K tmsi2,并用K tmsi2解密后获得终端的TMSI明文。
S55、AMF将携带TMSI\A1消息,上报给UDM。
S56、UDM基于TMSI\A1查找用于解密终端APP ID、S-NSSAI的解密密钥。
可以理解的是,UDM和终端中预置了固定序列A0伪随机数列生产装置,对每个切片生成了与终端配对的解密密钥,UDM需要找到终端请求切片对应的解密密钥。
具体地,UDM依据TMSI查找该终端在UDM中对应的派生伪随机序列A1,UDM新增计算模块对A1进行自相关运算,如果超过阈值1,那么说明伪随机序列配对成功,UDM将依据A1、已经预置在UDM的算法1、已经预置在UDM的算法2派生的解密密钥K1 A1,K2 A1回复给AMF。如果没有超过阈值1,那么说明伪随机序列配对失败,UDM不会给AMF回复解密密钥,并发送AMF密钥失败消息,请AMF再向终端调取A1的派生时间、序列,再次生成合理的A1,进行自相关运算阈值校验。
S57、UDM向AMF返回解密密钥K1 A1,K2 A1。
S58、AMF收到UDM回复的解密密钥K1 A1,K2 A1,将切片注册请求消息中的APP ID,S-NSSAI消息进行解密。
S59、AMF将解密的APP ID,S-NSSAI发送给PCF/NSSF,上报给PCF为终端查询签约数据,即,可用或已签约的切片URSP以及NSSAI策略(路由策略和切片选择策略)。
S510、PCF/NSSF向AMF返回该TMSI终端可用可被允许的URSP以及NSSAI策略。其中包括allowed APP ID,allowed S-NSSAI。
S511、AMF接收allowed APP ID。
S512、接收allowed S-NSSAI后,再次向UDM发送查找用于向终端加密切片响应消息allowed APP ID,allowed S-NSSAI的密钥。
S513、UDM将依据A1、已经预置在UDM的算法3、已经预置在UDM的算法4派生的加密密钥L3 A1,L4 A1。
S514、将加密密钥L3 A1,L4 A1回复给AMF。
S515、AMF对allowed APP ID,allowed S-NSSAI进行加密.
S516、AMF将加密的allowed APP ID,allowed S-NSSAI发送给终端。
具体地,AMF基于加密的allowed APP ID,allowed S-NSSAI生成切片响应消息发送给终端,消息包括《新增标识00;流量描述符:<用L3 A1加密的allowed APP ID 1>+路由选择描述:<用L4 A1加密后的allowed S-NSSAI-1,SSC MODE:MODE 2,DNN:Internet;核心网发的A1》。
S517、终端侧收到切片响应消息,利用K3、K4对allowed APP ID,allowed S-NSSAI进行解密,然后基于解密后的APP ID,allowed S-NSSAI对应用程序进行切片规则匹配,建立会话。
具体地,终端首先根据核心网发的A1与本地的A1进行伪随机序列的自相关运算,如果运算超过阈值则说明伪随机序列同步配对成功,解密密钥与加密密钥是配对的,那么用终端侧伪随机序列A1以及A1与算法3,算法4派生的解密密钥K3 AI,K4 A1分别对allowedAPP ID 1,allowed S-NSSAI-1进行解密。如果运算没有超过阈值那么说明伪随机序列配对失败,请核心网侧UDM调取A1的派生时间、序列,再次生成合理的A1,再次发送给终端进行A1自相关运算的校验,校验通过后再生成密钥K3 AI,K4 A1用于解密。终端根据解密的allowed APP ID 1,allowed S-NSSAI-1对该应用程序进行切片规则的匹配,同意建立切片一的会话请求。会话建立成功。终端与UDM需要将A1刷新到A2,用于下次加密解密密钥的派生。
依此类推,对于切片二……的切片请求消息在核心网侧用解密密钥K1 A2,K2 A2进行解密,并且核心网侧使用L3 A2,L4 A2对切片响应消息中的allowed APP ID2,allowedS-NSSAF2进行加密;在终端侧使用K3A2,K4 A2对allowed APP ID2,allowedS-NSSAF2解密,均可参照以上步骤,此处不再赘述。
基于相同的技术构思,如图6A所示,本公开实施例相应还提供另一种切片管理方法,所述另一种切片管理方法包括步骤S601-S604。
在步骤S601中,接入和移动性管理实体获取终端发送的用户临时身份标识密文、第一应用标识密文及第一切片标识密文;
在步骤S602中,所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法;
本实施例中,如图6B所示,所述步骤S602,包括步骤S602a-S602e。
在步骤S602a中,所述接入和移动性管理实体基于第一解密算法解密所述用户临时身份标识密文,得到用户临时身份标识明文。
在步骤S602b中,所述接入和移动性管理实体基于所述用户临时身份标识明文获取用于解密所述第一应用标识密文及第一切片标识密文的第二解密算法。
具体地,所述接入和移动性管理实体将所述用户临时身份明文、第一应用标识密文及第一切片标识密文发送给统一数据管理实体,所述统一数据管理实体基于所述用户临时身份标识明文查找所述终端关于第二加密算法的第二解密算法,然后发送给所述接入和移动性管理实体,所述接入和移动性管理实体获取所述统一数据管理实体发送的所述第二解密算法。
在步骤S602c中,所述接入和移动性管理实体基于所述第二解密算法解密所述第一应用标识密文及第一切片标识密文,得到第一应用标识明文和第一切片标识明文;
在步骤S602d中,所述接入和移动性管理实体将所述第一应用标识明文和第一切片标识明文分别发送给策略控制功能实体和切片选择功能实体以查询响应所述切片会话请求的路由策略和切片选择策略,所述路由策略和切片选择策略中包括切片会话响应的应用标识和切片标识。
在步骤S602e中,所述接入和移动性管理实体获取用于加密所述切片会话响应的应用标识和切片标识的第三加密算法。
具体地,所述接入和移动性管理实体获取所述切片会话响应的应用标识和切片标识,并向所述统一数据管理实体调取用于加密所述切片会话响应的应用标识和切片标识的第三加密算法。
在步骤S603中,所述接入和移动性管理基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
在步骤S604中,所述接入和移动性管理实体将所述第二应用标识密文和第二切片标识密文发送给所述终端,以使所述终端基于第三解密算法对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文,并基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。在步骤S603中,
需要说明的是,本实施例所提供的另一种切片管理方法应用于接入和移动性管理实体,所公开的步骤为上一实施例的对端流程,其原理已在上述实施例进行详述,此处不再赘述。
基于相同的技术构思,本公开实施例相应还提供一种终端,请参照图7和图8,图7为所述终端的结构示意图之一,所述终端包括第一加密模块71、第二加密模块72以及第一发送模块73,其中,
第一加密模块71,其设置为在接收到应用程序的切片会话请求时,基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
第二加密模块72,其设置为基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;以及,
第一发送模块73,其设置为将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。
进一步地,所述第一加密模块71,包括:
获取单元,其设置为获取用于对所述切片会话请求的用户临时身份标识加密的公钥,其中,所述公钥与接入和移动性管理实体中存储的用于对所述切片会话请求的用户临时身份标识解密的私钥配对;
第一加密单元,其设置为基于所述公钥加密所述切片会话请求的用户临时身份标识。
进一步地,所述第二加密模块,包括:
伪随机数列生成单元,其设置为生成用于对所述切片会话请求的应用标识加密的第一伪随机数列,其中,所述第一伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的应用标识的伪随机数列相同;
所述伪随机数列生成单元还设置为,生成用于对所述切片会话请求的切片标识加密的第二伪随机数列,其中,所述第二伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的切片标识的伪随机数列相同;
第二加密单元,其设置为基于所述第一伪随机数列和第二伪随机数列分别加密所述切片会话请求的应用标识和切片标识。
进一步地,所述终端还包括:
判断模块,其设置为判断当前是否已接入切片;
所述第一加密模块还设置为,在所述判断模块判断为在当前已接入切片时,执行基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤;
所述第二加密模块还设置为,在所述判断模块判断为当前未接入切片时,跳出基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤,直接执行基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识。
进一步地,所述终端还包括:
标识位设定模块,其设置设定切片标识位;以及,
标记模块,其设置为基于所述切片标识位按照当前接入切片的数量对所述切片会话请求进行标记。
图8为所述终端的结构示意图之二,如图8所示,所述终端包括存储器81和处理器82,所述存储器81中存储有计算机程序,当所述处理器82运行所述存储器81存储的计算机程序时,所述处理器81执行所述的加密方法。
基于相同的技术构思,本公开实施例相应还提供另一种终端,请参照图9和图10,图9为所述另一种终端的结构示意图之一,所述终端包括第一加密模块71、第二加密模块72、第一发送模块73、第一获取模块91、第一解密模块92以及会话建立模块93,其中,
第一加密模块71,其设置为在接收到应用程序的切片会话请求时,基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
第二加密模块72,其设置为基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;
第一发送模块73,其设置为将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体,所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法,然后基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
第一获取模块91,其设置为获取所述接入和移动性管理实体发送的第二应用标识密文和第二切片标识密文;
第一解密模块92,其设置为基于第三解密算法分别对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文;
会话建立模块93,其设置为基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
图10为所述另一种终端的结构示意图之二,如图10所示,所述另一种终端包括存储器101和处理器102,所述存储器101中存储有计算机程序,当所述处理器102运行所述存储器101存储的计算机程序时,所述处理器102执行所述的切片管理方法。
基于相同的技术构思,本公开实施例相应还提供一种接入和移动性管理实体,请参照图11和图12,图11为所述接入和移动管理实体的结构示意图之一,所述接入和移动管理实体包括第二获取模块111、第三获取模块112第三加密模块113以及第二发送模块114,其中,
第二获取模块111,其设置为获取终端发送的用户临时身份标识密文、第一应用标识密文及第一切片标识密文;
第三获取模块112,其设置为基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法;
第三加密模块113,其设置为基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
第二发送模块114,其设置为将所述第二应用标识密文和第二切片标识密文发送给所述终端,以使所述终端基于第三解密算法对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文,并基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
进一步地,所述第三获取模块112,包括:
第一解密单元,其设置为基于第一解密算法解密所述用户临时身份标识密文,得到用户临时身份标识明文;
获取单元,其设置为基于所述用户临时身份标识明文获取用于解密所述第一应用标识密文及第一切片标识密文的第二解密算法;
第二解密单元,其设置为基于所述第二解密算法解密所述第一应用标识密文及第一切片标识密文,得到第一应用标识明文和第一切片标识明文;
发送单元,其设置为将所述第一应用标识明文和第一切片标识明文发送给策略控制实体以查询响应所述切片会话请求的路由策略和切片选择策略,所述路由策略和切片选择策略中包括切片会话响应的应用标识和切片标识;
获取单元,其设置为获取用于加密所述切片会话响应的应用标识和切片标识的第三加密算法。
图12为所述接入和移动性管理实体的结构示意图之二,如图12所示,所述接入和移动性管理实体包括存储器121和处理器122,所述存储器121中存储有计算机程序,当所述处理器122运行所述存储器121存储的计算机程序时,所述处理器122执行所述的另一种切片管理方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的加密方法、所述的切片管理方法,或者所述的另一种切片管理方法。
综上所述,本公开实施例提供的加密方法、切片管理方法、终端及接入和移动性管理实体,通过在终端接收应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。本公开实施例通过对切片中重要标识分别进行加密,可以至少解决用户在同一终端上同时接入多个切片时的安全性;进一步的,根据终端当前接入切片的数量,按需对终端上的用户临时身份标识、切片标识以及流量描述符中的应用标识进行分隔、分类的加密,以及对用户临时身份标识的加密解密采用与接入和移动性管理实体协商好的密钥对以及密钥签名,以便于解密用户临时身份标识,以简化解密流程;进一步的,采用同一个伪随机序列作为密钥初始派生向量,提前预置好的四类密钥对同一切片申请中的两个切片标识进行端网侧的加解密,再次简化了密钥生成流程,同时同步发送的伪随机序列还可以在网络侧、终端侧进行校验,确保密钥的对成性。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (11)
1.一种加密方法,其特征在于,包括:
在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;以及,
所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体。
2.根据权利要求1所述的加密方法,其特征在于,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,包括:
所述终端获取用于对所述切片会话请求的用户临时身份标识加密的公钥,其中,所述公钥与接入和移动性管理实体中存储的用于对所述切片会话请求的用户临时身份标识解密的私钥配对;以及,
所述终端基于所述公钥加密所述切片会话请求的用户临时身份标识。
3.根据权利要求1所述的加密方法,其特征在于,所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,包括:
所述终端生成用于对所述切片会话请求的应用标识加密的第一伪随机数列,其中,所述第一伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的应用标识的伪随机数列相同;
所述终端生成用于对所述切片会话请求的切片标识加密的第二伪随机数列,其中,所述第二伪随机数列与所述接入和移动性管理实体获取的用于解密所述切片会话请求的切片标识的伪随机数列相同;
所述终端基于所述第一伪随机数列和第二伪随机数列分别加密所述切片会话请求的应用标识和切片标识。
4.根据权利要求1所述的加密方法,其特征在于,所述终端在基于第一加密算法加密所述切片会话请求的用户临时身份标识之前,还包括:
所述终端判断当前是否已接入切片;
若当前已接入切片,则所述终端执行基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤;
若当前未接入切片,则所述终端跳出基于第一加密算法加密所述切片会话请求的用户临时身份标识的步骤,直接执行基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识的步骤。
5.根据权利要求1或4所述的加密方法,其特征在于,还包括:
所述终端设定切片标识位;以及,
所述终端基于所述切片标识位按照当前接入切片的数量对所述切片会话请求进行标记。
6.一种切片管理方法,其特征在于,包括:
在终端接收到应用程序的切片会话请求时,所述终端基于第一加密算法加密所述切片会话请求的用户临时身份标识,得到用户临时身份标识密文;
所述终端基于第二加密算法分别加密所述切片会话请求的应用标识和切片标识,得到第一应用标识密文和第一切片标识密文;
所述终端将所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文发送给接入和移动性管理实体,以使所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法,然后基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
所述终端获取所述接入和移动性管理实体发送的第二应用标识密文和第二切片标识密文;
所述终端基于第三解密算法分别对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文;
所述终端基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
7.一种切片管理方法,其特征在于,包括:
接入和移动性管理实体获取终端发送的用户临时身份标识密文、第一应用标识密文及第一切片标识密文;
所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法;
所述接入和移动性管理基于所述第三加密算法分别对所述切片会话响应的应用标识和切片标识进行加密,得到第二应用标识密文和第二切片标识密文;
所述接入和移动性管理实体将所述第二应用标识密文和第二切片标识密文发送给所述终端,以使所述终端基于第三解密算法对所述第二应用标识密文和第二切片标识密文进行解密,得到第二应用标识明文和第二切片标识明文,并基于所述第二应用标识明文和第二切片标识明文对所述应用程序进行切片规则匹配,并建立切片会话。
8.根据权利要求7所述的切片管理方法,其特征在于,所述接入和移动性管理实体基于所述用户临时身份标识密文、第一应用标识密文及第一切片标识密文,获取用于加密切片会话响应的应用标识和切片标识的第三加密算法,包括:
所述接入和移动性管理实体基于第一解密算法解密所述用户临时身份标识密文,得到用户临时身份标识明文;
所述接入和移动性管理实体基于所述用户临时身份标识明文获取用于解密所述第一应用标识密文及第一切片标识密文的第二解密算法;
所述接入和移动性管理实体基于所述第二解密算法解密所述第一应用标识密文及第一切片标识密文,得到第一应用标识明文和第一切片标识明文;
所述接入和移动性管理实体将所述第一应用标识明文和第一切片标识明文分别发送给策略控制功能实体和切片选择功能实体以查询响应所述切片会话请求的路由策略和切片选择策略,所述路由策略和切片选择策略中包括切片会话响应的应用标识和切片标识;
所述接入和移动性管理实体获取用于加密所述切片会话响应的应用标识和切片标识的第三加密算法。
9.一种终端,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至5中任一项所述的加密方法,或者根据权利要求6所述的切片管理方法。
10.一种接入和移动性管理实体,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求7或8所述的切片管理方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至5中任一项所述的加密方法、权利要求6所述的切片管理方法,或者权利要求7或8所述的切片管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010618146.8A CN111787533B (zh) | 2020-06-30 | 2020-06-30 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010618146.8A CN111787533B (zh) | 2020-06-30 | 2020-06-30 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111787533A true CN111787533A (zh) | 2020-10-16 |
| CN111787533B CN111787533B (zh) | 2022-08-26 |
Family
ID=72761418
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010618146.8A Active CN111787533B (zh) | 2020-06-30 | 2020-06-30 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111787533B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112492580A (zh) * | 2020-11-25 | 2021-03-12 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
| CN113038477A (zh) * | 2021-03-09 | 2021-06-25 | 中国联合网络通信集团有限公司 | 切片路由规则防篡改方法、终端、网元及介质 |
| CN113596823A (zh) * | 2021-07-27 | 2021-11-02 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
| CN114258017A (zh) * | 2021-12-27 | 2022-03-29 | 中国电信股份有限公司 | 互斥切片接入方法、装置、电子设备及计算机可读介质 |
| WO2022094812A1 (zh) * | 2020-11-04 | 2022-05-12 | 华为技术有限公司 | 一种切片隔离方法、装置及系统 |
| CN114760663A (zh) * | 2020-12-28 | 2022-07-15 | 中国移动通信有限公司研究院 | 信息传输方法、装置、相关设备及存储介质 |
| CN117676559A (zh) * | 2023-11-21 | 2024-03-08 | 航天恒星科技有限公司 | 基于网络切片的通信方法和系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018017132A1 (en) * | 2016-07-22 | 2018-01-25 | Nokia Technologies Oy | Security handling for network slices in cellular networks |
| US20180343249A1 (en) * | 2017-05-24 | 2018-11-29 | Lg Electronics Inc. | Method and apparatus for authenticating ue between heterogeneous networks in wireless communication system |
| CN109561423A (zh) * | 2017-01-26 | 2019-04-02 | 华为技术有限公司 | 一种接入目标小区的方法以及装置 |
| CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
| CN110392370A (zh) * | 2018-04-19 | 2019-10-29 | 上海华为技术有限公司 | 一种安全算法的协商方法及装置 |
| CN110768836A (zh) * | 2019-10-28 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种网络切片管理方法及装置 |
| CN110786031A (zh) * | 2017-06-19 | 2020-02-11 | Idac控股公司 | 用于5g切片标识符的隐私保护的方法和系统 |
| CN110800332A (zh) * | 2017-06-29 | 2020-02-14 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| CN110830989A (zh) * | 2018-08-09 | 2020-02-21 | 华为技术有限公司 | 一种通信方法和装置 |
| CN110891269A (zh) * | 2018-09-10 | 2020-03-17 | 华为技术有限公司 | 一种数据保护方法、设备及系统 |
| US20200145818A1 (en) * | 2018-11-01 | 2020-05-07 | Qualcomm Incorporated | Encrypting network slice selection assistance information |
-
2020
- 2020-06-30 CN CN202010618146.8A patent/CN111787533B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018017132A1 (en) * | 2016-07-22 | 2018-01-25 | Nokia Technologies Oy | Security handling for network slices in cellular networks |
| CN109561423A (zh) * | 2017-01-26 | 2019-04-02 | 华为技术有限公司 | 一种接入目标小区的方法以及装置 |
| US20180343249A1 (en) * | 2017-05-24 | 2018-11-29 | Lg Electronics Inc. | Method and apparatus for authenticating ue between heterogeneous networks in wireless communication system |
| CN110786031A (zh) * | 2017-06-19 | 2020-02-11 | Idac控股公司 | 用于5g切片标识符的隐私保护的方法和系统 |
| CN110800332A (zh) * | 2017-06-29 | 2020-02-14 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| CN110392370A (zh) * | 2018-04-19 | 2019-10-29 | 上海华为技术有限公司 | 一种安全算法的协商方法及装置 |
| CN110830989A (zh) * | 2018-08-09 | 2020-02-21 | 华为技术有限公司 | 一种通信方法和装置 |
| CN110891269A (zh) * | 2018-09-10 | 2020-03-17 | 华为技术有限公司 | 一种数据保护方法、设备及系统 |
| US20200145818A1 (en) * | 2018-11-01 | 2020-05-07 | Qualcomm Incorporated | Encrypting network slice selection assistance information |
| CN110087239A (zh) * | 2019-05-20 | 2019-08-02 | 北京航空航天大学 | 基于5g网络中的匿名接入认证与密钥协商方法及装置 |
| CN110768836A (zh) * | 2019-10-28 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种网络切片管理方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA等: "S2-175693 "Network Slice access subscription management by a third party."", 《3GPP TSG_SA\WG2_ARCH》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022094812A1 (zh) * | 2020-11-04 | 2022-05-12 | 华为技术有限公司 | 一种切片隔离方法、装置及系统 |
| CN112492580A (zh) * | 2020-11-25 | 2021-03-12 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
| CN112492580B (zh) * | 2020-11-25 | 2023-08-18 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
| CN114760663A (zh) * | 2020-12-28 | 2022-07-15 | 中国移动通信有限公司研究院 | 信息传输方法、装置、相关设备及存储介质 |
| CN113038477A (zh) * | 2021-03-09 | 2021-06-25 | 中国联合网络通信集团有限公司 | 切片路由规则防篡改方法、终端、网元及介质 |
| CN113038477B (zh) * | 2021-03-09 | 2023-01-10 | 中国联合网络通信集团有限公司 | 切片路由规则防篡改方法、终端及介质 |
| CN113596823A (zh) * | 2021-07-27 | 2021-11-02 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
| CN113596823B (zh) * | 2021-07-27 | 2022-10-11 | 广州爱浦路网络技术有限公司 | 切片网络保护方法及装置 |
| CN114258017A (zh) * | 2021-12-27 | 2022-03-29 | 中国电信股份有限公司 | 互斥切片接入方法、装置、电子设备及计算机可读介质 |
| CN114258017B (zh) * | 2021-12-27 | 2024-01-30 | 中国电信股份有限公司 | 互斥切片接入方法、装置、电子设备及计算机可读介质 |
| CN117676559A (zh) * | 2023-11-21 | 2024-03-08 | 航天恒星科技有限公司 | 基于网络切片的通信方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111787533B (zh) | 2022-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111787533B (zh) | 加密方法、切片管理方法、终端及接入和移动性管理实体 | |
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| JP6612358B2 (ja) | ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体 | |
| US9253178B2 (en) | Method and apparatus for authenticating a communication device | |
| US8559633B2 (en) | Method and device for generating local interface key | |
| EP2702741B1 (en) | Authenticating a device in a network | |
| US7760885B2 (en) | Method of distributing encryption keys among nodes in mobile ad hoc network and network device using the same | |
| US8046583B2 (en) | Wireless terminal | |
| US11778458B2 (en) | Network access authentication method and device | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| US10609561B2 (en) | Operation related to user equipment using secret identifier | |
| WO2019004929A2 (zh) | 网络切片分配方法、设备及系统 | |
| US11909869B2 (en) | Communication method and related product based on key agreement and authentication | |
| US10979903B2 (en) | Key generation and distribution method based on identity-based cryptography | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| Amadeo et al. | Securing the mobile edge through named data networking | |
| WO2022067667A1 (en) | A method for preventing encrypted user identity from replay attacks | |
| CN112235331A (zh) | 一种数据传输处理方法及设备 | |
| CN116321158A (zh) | 基于证书的本地ue认证 | |
| WO2022067627A1 (en) | A method for preventing leakage of authentication sequence number of a mobile terminal | |
| KR102035154B1 (ko) | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 | |
| CN113098688B (zh) | 一种aka方法及装置 | |
| US20220368546A1 (en) | Systems and methods for group messaging using blockchain-based secure key exchange with key escrow fallback | |
| CN109155913A (zh) | 网络连接方法、安全节点的确定方法及装置 | |
| CN110169128B (zh) | 一种通信方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |