CN111865872A - 一种网络切片内终端安全策略实现方法及设备 - Google Patents

一种网络切片内终端安全策略实现方法及设备 Download PDF

Info

Publication number
CN111865872A
CN111865872A CN201910343376.5A CN201910343376A CN111865872A CN 111865872 A CN111865872 A CN 111865872A CN 201910343376 A CN201910343376 A CN 201910343376A CN 111865872 A CN111865872 A CN 111865872A
Authority
CN
China
Prior art keywords
network slice
slice security
configuration information
security policy
target terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910343376.5A
Other languages
English (en)
Other versions
CN111865872B (zh
Inventor
周巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN201910343376.5A priority Critical patent/CN111865872B/zh
Publication of CN111865872A publication Critical patent/CN111865872A/zh
Application granted granted Critical
Publication of CN111865872B publication Critical patent/CN111865872B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种网络切片内终端安全策略实现方法及设备。本申请中,会话管理功能实体获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标终端的服务网络接入节点之间进行用户数据保护;所述会话管理功能实体将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。

Description

一种网络切片内终端安全策略实现方法及设备
技术领域
本申请涉及通信技术领域,尤其涉及一种网络切片内终端安全策略实现方法及设备。
背景技术
目前业界将5G网络的应用场景划分为三类:移动宽带、海量物联网(Massive IoT)和任务关键性物联网(Mission-critical IoT)。
网络切片(slice),本质上就是将物理网络划分为多个虚拟网络,每一个虚拟网络根据不同的服务需求,比如时延、带宽、安全性和可靠性等来划分,以灵活应对不同的网络应用场景。其中,划分得到的每个虚拟网络称为一个网络切片。
目前,尚未有实现网络切片内用户数据安全的解决方案。
发明内容
本申请实施例提供一种网络切片内终端安全策略实现方法及设备。
第一方面,提供一种网络切片内终端安全策略实现方法,包括:
会话管理功能实体获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标的服务网络接入节点之间进行用户数据保护;
所述会话管理功能实体将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。
在一种可能的实现方式中,所述网络切片安全策略配置信息来源于至少2个网络设备;所述方法还包括:所述会话管理功能实体根据所述至少2个网络设备各自对应的网络切片安全策略优先级,确定所述目标终端的网络切片安全策略配置信息。
在一种可能的实现方式中,所述会话管理功能实体从以下网络设备中的至少一个,获得所述目标终端的网络切片安全策略配置信息:所述会话管理功能实体,所述会话管理功能实体上存储有所述目标终端的网络切片安全策略配置信息;策略控制功能实体,所述策略控制功能实体上存储有所述目标终端的网络切片安全策略配置信息;数据管理实体,所述数据管理实体上存储有所述目标终端的签约信息,所述目标终端的签约信息包括所述目标终端的网络切片安全策略配置信息;认证服务器,所述认证服务器上存储有所述目标终端的网络切片安全策略配置信息。
在一种可能的实现方式中,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
可选地,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括网络切片的识别信息,所述网络切片的识别信息用于指示所述网络切片安全策略配置信息所应用的网络切片。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
在一种可能的实现方式中,所述会话管理功能实体获得目标终端的网络切片安全策略配置信息,包括:
所述会话管理功能实体接收来自于所述接入移动性管理功能实体的分组数据单元PDU会话管理请求消息;
所述会话管理功能实体响应于所述PDU会话管理请求消息,获取所述目标终端的网络切片安全策略配置信息;
所述会话管理功能实体将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,包括:
所述会话管理功能实体向所述接入移动性管理功能实体发送PDU会话管理响应消息,所述PDU会话管理响应消息携带所述目标终端的网络切片安全策略配置信息。
第二方面,提供一种网络切片内终端安全策略实现方法,包括:
网络接入节点接收目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息来自于接入移动性管理功能实体,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;所述网络接入节点将所述目标终端的网络切片安全策略配置信息发送给所述目标终端;所述网络接入节点根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述目标终端之间传输的用户数据进行保护。其中,所述网络接入节点为所述目标终端的服务网络接入节点。
在一种可能的实现方式中,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥,则所述方法还包括:所述网络接入节点根据上一级密钥以及所述用于实现用户面安全的网络切片专有密钥所应用的网络切片的识别信息,生成用于实现用户面安全的网络切片专有密钥。
在一种可能的实现方式中,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
可选地,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括网络切片的识别信息,所述网络切片的识别信息用于指示所述网络切片安全策略配置信息所应用的网络切片。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
第三方面,提供一种网络切片内终端安全策略实现方法,包括:
目标终端接收来自于网络接入节点的所述目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;所述目标终端根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述网络接入节点之间传输的用户数据进行保护。
在一种可能的实现方式中,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥,则所述方法还包括:所述目标终端根据上一级密钥以及所述用于实现用户面安全的网络切片专有密钥所应用的网络切片的识别信息,生成用于实现用户面安全的网络切片专有密钥。
在一种可能的实现方式中,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
可选地,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括网络切片的识别信息,用于指示所述网络切片安全策略配置信息所应用的网络切片。
在一种可能的实现方式中,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
第四方面,提供一种会话管理功能实体设备,包括:
处理模块,用于获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标终端的服务网络接入节点之间进行用户数据保护;
发送模块,用于将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。
第五方面,提供一种网络接入节点设备,包括:
接收模块,用于接收目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息来自于接入移动性管理功能实体,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
发送模块,用于将所述目标终端的网络切片安全策略配置信息发送给所述目标终端;
处理模块,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述目标终端之间传输的用户数据进行保护。
第六方面,提供一种终端,包括:
接收模块,用于接收来自于网络接入节点的所述目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
处理模块,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述网络接入节点之间传输的用户数据进行保护。
第七方面,提供一种通信装置,包括:处理器、存储器;所述处理器,用于读取所述存储器中的计算机指令,执行如上述第一方面中任一项所述的方法。
第八方面,提供一种通信装置,包括:处理器、存储器、收发机;所述处理器,用于读取所述存储器中的计算机指令,执行如上述第二方面中任一项所述的方法。
第九方面,提供一种通信装置,包括:处理器、存储器、收发机;所述处理器,用于读取所述存储器中的计算机指令,执行如上述第三方面中任一项所述的方法。
第十方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述的方法。
第十一方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第二方面中任一项所述的方法。
第十二方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第三方面中任一项所述的方法。
通过以上描述可以看出,会话管理功能实体获得目标终端的网络切片安全密钥类型指示信息后,将其发送给接入移动性管理功能实体,通过接入移动性管理功能实体,该目标终端的网络切片安全密钥类型指示信息被发送给该目标终端以及该目标终端的服务网络接入节点,从而使得该目标终端和该网络接入节点可以使用相应类型的安全密钥在网络切片内对该目标终端和该网络接入节点之间传输的用户数据进行保护,进而实现网络切片内的用户面安全。
附图说明
图1为本申请实施例适用的网络架构示意图;
图2为本申请实施例提供的网络切片安全密钥架构示意图;
图3、图4分别为本申请实施例提供的网络切片内UE安全策略实现方法的流程示意图;
图5为本申请实施例提供的PDU会话建立流程示意图;
图6为本申请实施例提供的会话管理功能实体设备的结构示意图;
图7为本申请实施例通过的通信设备的结构示意图;
图8为本申请实施例提供的网络接入节点设备的结构示意图;
图9为本申请实施例提供的通信设备的结构示意图;
图10为本申请实施例提供的终端的结构示意图;
图11为本申请实施例提供的通信设备的结构示意图。
具体实施方式
本申请实施例提供了一种网络切片内终端安全策略实现方法及设备,用以实现网络切片内的终端安全策略,即在网络切片内实现用户数据保护与安全。
下面首先对本申请实施例中的一些技术名词进行说明。
本申请实施例中,网络切片内的用户数据保护可根据该网络切片对应的网络切片安全策略来实现。网络切片安全策略可以用来定义实现网络切片安全能力所使用的网络切片安全密钥的类型,还可以进一步定义是否激活网络切片安全能力。
其中,网络切片安全密钥用于实现相应网络切片内终端与网络接入节点(比如基站)之间的用户数据保护,比如,应用于网络切片1的网络切片安全密钥可用于实现网络切片1内UE(user equipment,用户设备或称终端)与RAN(radio access network)节点之间的用户面机密性保护、用户面完整性保护中的至少一种。
本申请实施例中,网络切片安全密钥可包括以下两种类型的密钥:
第一种类型:用于实现用户面安全的通用密钥。该类型密钥可以不受网络切片的限制,比如不同的网络切片可以使用同一通用密钥实现用户面安全。以5G系统为例,该类型密钥可包括5G系统的安全密钥体系中用于实现UE用户面机密性保护的密钥(以下一些实施例中将该密钥称为“通用用户面机密性保护密钥”或表示为KUPenc)和用于实现用户面完整性保护的密钥(以下一些实施例中将该密钥称为“通用用户面完整性保护密钥”或表示为KUPint)。
第二种类型:用于实现用户面安全的网络切片专有密钥。该类型密钥可以针对特定网络切片,实现相应网络切片内的用户数据保护,比如,不同的网络切片对应于各自的网络切片专有密钥,以实现相应网络切片内的用户面安全。以5G系统为例,根据5G系统的安全密钥体系,针对某一网络切片,可生成该网络切片对应的实现UE用户面机密性保护的密钥(以下一些实施例中将该密钥称为“网络切片专有用户面机密性保护密钥”或表示为KUPenc-slice)和用于实现用户面完整性保护的密钥(以下一些实施例中将该密钥称为“网络切片专有用户面完整性保护密钥”或表示为KUPint-slice)。
需要说明的是,上述网络切片安全密钥类型的命名方式以及密钥的命名方式仅为一种示例,本申请实施例对此不作限制。
图1示出了本申请实施例中的一种安全密钥体系。如图所示,该安全密钥体系中包括两级密钥,第一级密钥(如图中的KgNBNH),其用于导出第二级密钥(如图中的KRRCint,KRRCenc,KUPint,KUPenc,KUPnt-slice_n,KUPent-slice_n)。其中,第二级密钥中,KRRCint为用于实现无线资源控制(radio resource control,RRC)信令的完整性保护的密钥,KRRCenc为用于实现RRC信令的机密性保护的密钥,KUPint为通用用户面完整性保护密钥,KUPenc为通用用户面机密性保护密钥,KUPint-slice_n为网络切片n专有的网络切片用户面完整性保护密钥,KUPent-slice_n为网络切片n专有的网络切片用户面机密性保护密钥。
其中,对于至少两个不同的第二级密钥,可基于第一级密钥并使用相同或不同的算法生成。比如,KUPint是基于KgNBNH使用算法1生成的,KUPenc是基于KgNBNH使用算法2生成的,算法1和算法2为两种不同的密钥生成算法;再例如,网络切片n对应的KUPnt-slice_n和网络切片n+1对应的KUPnt-slice_n+1是基于KgNBNH使用相同的算法生成的。
每种算法可使用对应的算法类型标识进行识别。可选地,本申请实施例中,网络切片专有用户面完整性保护密钥使用算法A生成,网络切片专有用户面机密性保护密钥使用算法B生成,算法A和算法B分别使用不同的算法类型标识进行识别。
可选地,本申请实施例中,针对一个网络切片,用于生成该网络切片专有的用户面完整性保护密钥的算法中,可将该网络切片的识别信息作为该算法的输入参数,即对于一个网络切片来说,其专有的用户面完整性保护密钥至少根据上述第一级密钥以及该网络切片的识别信息生成。
可选地,本申请实施例中,针对一个网络切片,用于生成该网络切片专有的用户面机密性保护密钥的算法中,可将该网络切片的识别信息作为该算法的输入参数,即对于一个网络切片来说,其专有的用户面机密性保护密钥至少根据上述第一级密钥以及该网络切片的识别信息生成。
其中,网络切片的识别信息可以用来区分网络切片,或者说网络切片的识别信息可以是网络切片的唯一信息,比如,网络切片的识别信息可以是网络切片的标识。可以使用一个(或一种)信息作为网络切片的识别信息,也可以使用两个(或两种)以上的信息的组合作为网络切片的识别信息。
本申请实施例中,网络切片安全策略可存储为网络切片安全策略配置信息。网络切片安全策略配置信息可包括网络切片安全密钥类型指示信息,通过该指示信息可以确定网络切片安全密钥类型。作为一个例子,网络切片安全密钥类型指示信息可以是类型标识,用于唯一标识一个网络切片安全密钥类型;作为另一个例子,网络切片安全密钥类型指示信息可以用于指示网络切片安全密钥类型是否为“用于实现用户面安全的网络切片专有密钥”,当该指示信息的取值为“是”时表示网络切片安全密钥类型为“用于实现用户面安全的网络切片专有密钥”,当该指示信息的取值为“否”时表示网络切片安全密钥类型不是“用于实现用户面安全的网络切片专有密钥”,进一步地可以是“用于实现用户面安全的通用密钥”,反之亦然。当然,网络切片安全密钥类型指示信息也可以是能够推导出网络切片安全密钥类型的其它信息,本申请实施例对此不作限制。
可选地,网络切片安全策略配置信息还可包括用于指示是否激活网络切片安全能力的指示信息。如果该指示信息指示激活网络切片安全能力,则表明需要对UE的用户数据进行保护,如果该指示信息指示不激活网络切片安全能力,则表明无需对UE的用户数据进行保护。
可选地,网络切片安全策略配置信息还可包括网络切片的识别信息,比如网络切片的标识,用以指示网络切片安全策略配置信息所应用的网络切片。
举例来说,一个UE可配置有一个或多个网络切片,其中每个网络切片对应于一种业务场景,用于实现相应业务场景下的数据传输。相应地,针对该UE的至少一个网络切片,可以配置相应网络切片的网络切片安全策略配置信息。其中一个网络切片对应的网络切片安全策略配置信息可包括网络切片安全密钥类型指示信息和用于指示是否激活网络切片安全能力的指示信息,还可以进一步包括相应网络切片的标识,以指示该网络切片安全策略配置信息所应用的网络切片。
本申请实施例中,网络切片安全策略配置信息可存在于一个或多个网络设备中。具体地,网络切片安全策略配置信息可存在于以下网络设备中的至少一个设备中:
会话管理功能实体,即会话管理功能实体本地可存储有网络切片安全策略配置信息;
策略控制功能实体,即策略控制功能实体本地可存储有网络切片安全策略配置信息;
数据管理实体,所述数据管理实体上存储有UE的签约信息,UE的签约信息可包括UE的网络切片安全策略配置信息;
认证服务器,即认证服务器本地可存储有网络切片安全策略配置信息。
在具有应用场景中,可以从上述一个或多个网络设备获取网络切片安全策略配置信息,即,网络切片安全策略配置信息可有多个来源。
进一步地,考虑到网络切片安全策略配置信息可以被配置或存储在多个或多种网络设备上,也就是说网络切片安全策略配置信息的来源可能不止一个,因此为了解决来自多个来源的网络切片安全策略配置信息发生冲突的问题,本申请实施例中,可针对网络切片安全策略配置信息来源设置优先级,不同的网络切片安全策略配置信息来源对应不同的优先级。比如,将策略控制功能实体对应的优先级设置为最高优先级,针对某个UE,如果会话管理功能实体上配置的网络切片安全策略与来自于策略控制功能实体的网络切片安全策略发生冲突,则以来自于策略控制功能实体的网络切片安全策略为准。
参见图2,为本申请实施例适用的一种通信系统架构示意图。
如图2所示的通信系统中包括:会话管理功能实体201、接入移动性管理功能实体202、网络接入节点203。
可选地,该通信系统中还包括以下网络设备中的至少一个:策略控制功能实体204、数据管理实体205、认证服务器206。
可选地,当上述通信系统应用于5G时,会话管理功能实体201可以是SMF(sessionmanagement function),接入移动性管理功能实体202可以是AMF(access and mobilitymanagement function),网络接入节点203可以是下一代无线接入网(next gerenationradio access network,NG RAN)节点,比如可以是gNB或ng-eNB,策略控制功能实体204可以是PCF(policy control function),数据管理实体205可以是UDM(unified datamanager),认证服务器可以是DN-AAA服务器,DN-AAA服务器是在数据网络(data network,DN)中执行认证、授权和计费(authentication、authorization、accounting,AAA)功能的服务器。
可选地,针对目标终端,策略控制功能实体204、数据管理实体205、认证服务器206中的至少一个可以向会话管理功能实体201提供该目标终端的网络切片安全策略配置信息,会话管理功能实体201本地也可以存储有该目标终端的网络切片安全策略配置信息。
可选地,会话管理功能实体201可以将目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体202。接入移动性管理功能实体202可将目标终端的网络切片安全策略配置信息发送给网络接入节点203。网络接入节点203可以将该目标终端的网络切片安全策略配置信息发送给该目标终端。
可选地,目标终端的网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,这样,目标终端和网络接入节点203可使用相应类型的安全密钥对网络切片内传输的用户数据进行保护,进而实现网络切片内的用户面安全。
参见图3,为本申请实施例提供的网络切片内UE安全策略实现方法的流程示意图。该流程中所涉及的“网络切片安全策略”“网络切片安全密钥类型”“网络切片安全密钥”等的相关描述,可参见前述实施例,此处不再详述。
如图所示,该流程可包括:
步骤301:会话管理功能实体获得目标UE的网络切片安全策略配置信息。
其中,可选地,所述目标UE为需要进行分组数据单元(packet data unit,PDU)会话相关处理的UE,比如需要在某个网络切片内建立PDU会话的UE,或者需要更新某个网络切片中的PDU会话的UE。
其中,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息。所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标UE和所述目标UE的服务网络接入节点之间进行用户数据保护。更具体地,可使用“网络切片密钥类型指示器(slice key type indicator)”来指示网络切片安全密钥类型,所述“网络切片密钥类型指示器”可以理解为网络切片安全密钥类型指示信息或该指示信息的一种数据结构。
可选地,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
可选地,所述网络切片安全策略配置信息还包括网络切片的识别信息,用于指示所述网络切片安全策略配置信息所应用的网络切片。所述网络切片的识别信息可以是网络切片的标识。
步骤302:会话管理功能实体将所述目标UE的网络切片安全策略配置信息发送给接入移动性管理功能实体。
步骤303:接入移动性管理功能实体将所述目标UE的网络切片安全策略配置信息发送给所述目标UE的服务网络接入节点。
步骤304:所述目标UE的服务网络接入节点将所述目标UE的网络切片安全策略配置信息发送给所述目标UE。
步骤305:所述目标UE和所述网络接入节点根据接收到的网络切片安全策略配置信息包含的网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对所述目标UE和所述网络接入节点之间传输的用户数据进行保护。
比如,在步骤305中,在网络切片中为该目标UE建立PDU会话,并在该目标UE和该目标UE的服务RAN节点之间使用相应类型的网络切片安全密钥实现该网络切片内的PDU会话的安全保护,以建立网络切片内的PDU会话安全机制。
通过以上描述可以看出,会话管理功能实体获得目标UE的网络切片安全密钥类型指示信息后,将其发送给接入移动性管理功能实体,通过接入移动性管理功能实体,该目标UE的网络切片安全密钥类型指示信息被发送给该目标UE以及该目标UE的服务网络接入节点,从而使得该目标UE和该网络接入节点可以使用相应类型的安全密钥在网络切片内对该目标UE和该网络接入节点之间传输的用户数据进行保护,进而实现网络切片内的用户面安全。
根据上述图3所示的流程可应用于PDU会话管理流程。可选地,步骤301中,会话管理功能实体接收来自于接入移动性管理功能实体的PDU会话管理请求消息,并响应于所述PDU会话管理请求消息,获取所述目标UE的网络切片安全策略配置信息;步骤302中,会话管理功能实体向接入移动性管理功能实体发送PDU会话管理响应消息,所述PDU会话管理响应消息携带所述目标UE的网络切片安全策略配置信息。
其中,所述PDU会话管理请求消息可以是PDU会话建立请求消息,或者PDU会话更新请求消息等PDU会话管理相关的消息。
根据上述图3所示的流程,可选地,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。其中,所述用于实现用户面安全的网络切片专有密钥,可包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
相应地,若所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥,则步骤305中,目标UE和网络接入节点使用用于实现用户面安全的网络切片专有密钥,对所述目标UE和所述网络接入节点之间传输的用户数据进行保护,比如,使用网络切片专有用户面机密性保护密钥实现用户面机密性保护,使用网络切片专有用户面完整性保护密钥实现用户面完整性保护;若所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的通用密钥,则步骤305中,目标UE和网络接入节点使用用于实现用户面安全的通用密钥,对所述目标UE和所述网络接入节点之间传输的用户数据进行保护,比如,使用通用用户面机密性保护密钥实现用户面机密性保护,使用通用用户面完整性保护密钥实现用户面完整性保护。
可以看出,本申请实施例可针对不同的网络切片设置相应的用于实现用户面安全的网络切片专有密钥,这样可以根据不同网络切片所对应的应用场景的需要进行不同的用户面安全保护。
根据图3所示的流程,可选地,网络接入节点接收到目标UE的网络切片安全策略配置信息后,可根据网络切片安全策略配置信息包含的网络切片安全密钥类型指示信息生成相应类型的用户面安全密钥。具体地,若网络切片安全密钥类型指示信息所指示的类型为“用于实现用户面安全的通用密钥”,则网络接入节点生成用于实现用户面安全的通用密钥(比如,生成通用用户面机密性保护密钥KUpenc、通用用户面完整性保护密钥KUpint中的至少一个),若网络切片安全密钥类型指示信息所指示的类型为“用于实现用户面安全的网络切片专有密钥”,则网络接入节点生成用于实现用户面安全的网络切片专有密钥(比如,生成网络切片专有用户面机密性保护密钥KUPenc-slice、网络切片专有用户面完整性保护密钥KUPint-slice中的至少一个)。
可选地,在生成用于实现用户面安全的网络切片专有密钥时,可利用与该网络切片相关的专有参数(比如该网络切片的识别信息)生成所述用于实现用户面安全的网络切片专有密钥。
以图1所示的密钥体系为例,当使用KgNB作为导出密钥的上级密钥时,网络接入节点基于该上级密钥KgNB,并根据网络切片n的标识生成用于网络切片n的用户面机密性保护密钥KUPenc-slice_n以及用户面完整性保护密钥KUPint-slice_n
当然,网络接入节点也可以不基于KgNB的密钥导出算法生成KUPenc-slice_n和KUPint-slice_n,本申请实施例对此不作限制。
根据图3所示的流程,可选地,目标UE接收到目标UE的网络切片安全策略配置信息后,可根据网络切片安全策略配置信息包含的网络切片安全密钥类型指示信息生成相应类型的用户面安全密钥。具体地,若网络切片安全密钥类型指示信息所指示的类型为“用于实现用户面安全的通用密钥”,则目标UE生成用于实现用户面安全的通用密钥(比如,生成通用用户面机密性保护密钥KUpenc、通用用户面完整性保护密钥KUpint中的至少一个),若网络切片安全密钥类型指示信息所指示的类型为“用于实现用户面安全的网络切片专有密钥”,则目标UE生成用于实现用户面安全的网络切片专有密钥(比如,生成网络切片专有用户面机密性保护密钥KUPenc-slice、网络切片专有用户面完整性保护密钥KUPint-slice中的至少一个)。
可选地,在生成用于实现用户面安全的网络切片专有密钥时,可利用与该网络切片相关的专有参数(比如该网络切片的识别信息)生成所述用于实现用户面安全的网络切片专有密钥。
以图1所示的密钥体系为例,当使用KgNB作为导出密钥的上级密钥时,目标UE基于该上级密钥KgNB,并根据网络切片n的标识生成用于网络切片n的用户面机密性保护密钥KUPenc-slice_n以及用户面完整性保护密钥KUPint-slice_n
当然,目标UE也可以不基于KgNB的密钥导出算法生成KUPenc-slice_n和KUPint-slice_n,本申请实施例对此不作限制。
根据上述图3所示的流程,UE的网络切片安全策略配置信息可存储于一个或多个网络设备中,比如,所述一个或多个网络设备可包括会话管理功能实体、策略控制功能实体、数据管理实体、认证服务器中的至少一个。相应地,会话管理功能实体从本地存储的网络切片安全策略配置信息中获得目标UE的网络切片安全策略配置信息,或者从策略控制功能实体获得目标UE的网络切片安全策略配置信息,或者从数据管理实体获得目标UE的网络切片安全策略配置信息,或者从认证服务器获得目标UE的网络切片安全策略配置信息,或者从其它网络设备获得目标UE的网络切片安全策略配置信息。
在另外一些实施例中,目标UE的网络切片安全策略配置信息是从会话管理功能实体、策略控制功能实体、数据管理实体、认证服务器中的至少2个网络设备获取到的。相应地,会话管理功能实体可以根据所述至少2个网络设备各自对应的网络切片安全策略优先级,确定所述目标UE的网络切片安全策略配置信息。尤其在不同来源的网络切片安全策略配置信息存在冲突的情况下,根据网络切片安全策略配置信息的不同来源各自对应的网络切片安全策略优先级来确定所述目标UE的网络切片安全策略配置信息,可以解决不同来源的网络切片安全策略配置信息存在冲突的问题。
图4中示出了目标UE的网络切片安全策略配置信息来自于多个网络设备的一个示例,如图所示,S401可包括如下步骤:
步骤4011:策略控制功能实体向会话管理实体提供目标UE的网络切片安全策略配置信息。可选地,其中可包含有网络切片安全密钥类型指示信息。
步骤4012:会话管理实体向数据管理实体发送请求,数据管理实体响应于该请求向会话管理实体提供目标UE的签约信息,其中可包含有网络切片安全策略配置信息。可选地,该网络切片安全策略配置信息可包含网络切片安全密钥类型指示信息。
步骤4013:在网络切片内建立PDU会话的过程中,可能需要认证服务器对目标UE进行认证和授权。此种情况下,当认证服务器对目标UE认证和授权成功后,该认证服务器可向会话管理实体提供针对该目标UE的网络切片安全策略配置信息。可选地,其中可包含有网络切片安全密钥类型指示信息。
步骤4014:会话管理实体根据来源于不同网络设备的网络切片安全策略配置信息以及不同来源各自对应的优先级,确定该目标UE的网络切片安全策略配置信息,其中包含有网络切片安全密钥类型指示信息。
需要说明的是,上述步骤4011~4013的执行顺序只是一种示例,本申请实施例对上述流程的执行顺序不作限制。
图4中的其他步骤与图3所示流程中的相应步骤基本相同,在此不再详述。
本申请实施例可应用于PDU会话相关处理过程,比如PDU会话建立过程或PDU会话更新过程等。
下面以在5G系统中的PDU会话建立过程为例,对本申请实施例的具体实现进行详细说明。
该示例中,网络切片安全策略配置信息可以存储在SMF本地安全策略中,也可以存储PCF的网络切片安全策略中,也可以存储在UE的签约信息中。还可以由DN-AAA服务器提供。这些网络设备上存储的网络切片安全策略配置信息中可包含网络切片安全密钥类型指示信息,该指示信息可以是“是否使用网络切片专有密钥”的指示信息。
参见图5,为本申请实施例提供的PDU会话建立过程。
如图所示,该流程可包括:
步骤501:UE向AMF发送请求,用于请求在标识为S-NSSAI的网络切片内为UE建立PDU会话。
步骤502:AMF根据该网络切片标识(S-NSSAI),将该PDU会话请求发送给该网络切片内的SMF。
步骤503:SMF向UDM请求关于该UE的签约信息,UDM向SMF提供该UE的签约信息。
其中,UDM返回的UE签约信息中包含有该UE的网络切片安全策略配置信息,其中包含有网络切片安全密钥类型指示信息。例如,该指示信息取值为“真”时表示使用用于实现用户面安全的网络切片专有密钥,该指示信息的取值为“假”时表示不使用用于实现用户面安全的网络切片专有密钥。
步骤504:SMF根据获得的UE签约信息确定需要对该UE进行网络切片内的二次认证,则SMF引导DN-AAA服务器对该UE进行网络切片内的二次认证过程。
步骤505:DN-AAA服务器通知SMF已经对该UE成功进行了网络切片内的认证和授权。
其中,该通知中可包含有该UE的网络切片安全策略配置信息。该网络切片安全策略配置信息中可包含有是否激活网络切片安全能力的指示信息,以及网络切片安全密钥类型指示信息。
步骤506:SMF与PCF交互以获得该UE的网络切片安全策略配置信息。该网络切片安全策略配置信息中可包含有网络切片安全密钥类型指示信息。
步骤507:SMF基于网络切片安全策略配置信息优先级,以及从本地、PCF、UE签约信息、DN-AAA获得的该UE的网络切片安全策略配置信息,确定最终的UE网络切片安全策略配置信息。该网络切片安全策略配置信息中包含有网络切片安全密钥类型指示信息和是否激活网络切片安全能力的指示信息。
其中,网络切片安全密钥类型指示信息与是否激活网络切片安全能力的指示信息,可以联合编码,即通过一个参数进行指示,也可分别编码,即使用独立的参数进行指示。
步骤508:SMF将该UE的网络切片安全密钥类型指示信息发送给AMF。
步骤509:AMF将该UE的网络切片安全密钥类型指示信息发送给RAN(gNB/ng-eNB)。
步骤510:RAN将该UE的网络切片安全密钥类型指示信息发送给该UE。
步骤511:RAN和该UE利用接收到的该UE的网络切片安全密钥类型指示信息,确定使用的网络切片安全密钥的类型,并生成相应的网络切片安全密钥。
比如,当需要使用网络切片专有密钥时,使用与该网络切片相关的专有参数(比如该网络切片的标识S-NSSAI)分别导出针对该网络切片的用户面机密性保护密钥KUPenc-slice和用户面完整性保护密钥KUPint-slice
步骤512:在标识为S-NSSAI的网络切片中为该UE建立PDU会话,并在该UE和RAN节点之间使用生成的网络切片专有密钥(如用户面机密性保护密钥KUPenc-slice和用户面完整性保护密钥KUPint-slice)实现该网络切片内的用户面安全保护。
基于相同的技术构思,本发明实施例还提供了一种会话管理功能实体设备,该设备可应用于上述实施例,实现会话管理功能实体侧的功能。
参见图6,为本发明实施例提供的会话管理功能实体设备的结构示意图。如图所示,该设备可包括:处理模块601、发送模块602,其中:
处理模块601,用于获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标UE的服务网络接入节点之间进行用户数据保护;
发送模块602,用于将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。
上述设备中各模块的功能可参见前述实施例中会话管理功能实体实现的功能的描述,在此不再重复。
基于相同的技术构思,本发明实施例还提供了一种网络接入节点设备,该设备可应用于上述实施例,实现网络接入节点侧的功能。
参见图7,为本发明实施例提供的网络接入节点设备的结构示意图。如图所示,该设备可包括:接收模块701、发送模块702、处理模块703,其中:
接收模块701,用于接收目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息来自于接入移动性管理功能实体,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
发送模块702,用于将所述目标终端的网络切片安全策略配置信息发送给所述目标终端;
处理模块703,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述目标终端之间传输的用户数据进行保护。
上述设备中各模块的功能可参见前述实施例中网络接入节点实现的功能的描述,在此不再重复。
基于相同的技术构思,本发明实施例还提供了一种终端,该终端可应用于上述实施例,实现终端侧的功能。
参见图8,为本发明实施例提供的终端的结构示意图。如图所示,该终端可包括:接收模块801、处理模块802,其中:
接收模块801,用于接收来自于网络接入节点的所述目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
处理模块802,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述网络接入节点之间传输的用户数据进行保护。
上述设备中各模块的功能可参见前述实施例中终端实现的功能的描述,在此不再重复。
基于相同的技术构思,本申请实施例还提供了一种通信装置,该通信装置可以实现前述实施例中会话管理功能实体侧的功能。
参见图9,为本申请实施例提供的通信装置的结构示意图。如图所示,该通信装置可包括:处理器901、存储器902、通信接口903以及总线接口904。
处理器901负责管理总线架构和通常的处理,存储器902可以存储处理器901在执行操作时所使用的数据。通信接口903用于在处理器901的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器901代表的一个或多个处理器和存储器902代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器901负责管理总线架构和通常的处理,存储器902可以存储处理器901在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器901中,或者由处理器901实现。在实现过程中,信号处理流程的各步骤可以通过处理器901中的硬件的集成逻辑电路或者软件形式的指令完成。处理器901可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器902,处理器901读取存储器902中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器901,用于读取存储器902中的计算机指令并执行图3、图4或图5所示的流程中会话管理功能实体侧实现的功能。
基于相同的技术构思,本申请实施例还提供了一种通信装置,该通信装置可以实现前述实施例中网络接入节点侧的功能。
参见图10,为本申请实施例提供的通信装置的结构示意图。如图所示,该通信装置可包括:处理器1001、存储器1002、收发机1003以及总线接口1004。
处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。收发机1003用于在处理器1001的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1002代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1001负责管理总线架构和通常的处理,存储器1002可以存储处理器1001在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1001中,或者由处理器1001实现。在实现过程中,信号处理流程的各步骤可以通过处理器1001中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1001可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1002,处理器1001读取存储器1002中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器1001,用于读取存储器1002中的计算机指令并执行图3、图4或图5所示的流程中网络接入节点侧实现的功能。
基于相同的技术构思,本申请实施例还提供了一种通信装置,该通信装置可以实现前述实施例中终端侧的功能。
参见图11,为本申请实施例提供的通信装置的结构示意图。如图所示,该通信装置可包括:处理器1101、存储器1102、收发机1103以及总线接口1104。
处理器1101负责管理总线架构和通常的处理,存储器1102可以存储处理器1101在执行操作时所使用的数据。收发机1103用于在处理器1101的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1101代表的一个或多个处理器和存储器1102代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1101负责管理总线架构和通常的处理,存储器1102可以存储处理器1101在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1101中,或者由处理器1101实现。在实现过程中,信号处理流程的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1101可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1102,处理器1101读取存储器1102中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器1101,用于读取存储器1102中的计算机指令并执行图3、图4或图5所示的流程中终端侧实现的功能。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述实施例中会话管理功能实体所执行的方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述实施例中网络接入节点所执行的方法。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述实施例中终端所执行的方法。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (29)

1.一种网络切片内终端安全策略实现方法,其特征在于,包括:
会话管理功能实体获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标终端的服务网络接入节点之间进行用户数据保护;
所述会话管理功能实体将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。
2.如权利要求1所述的方法,其特征在于,所述网络切片安全策略配置信息来源于至少2个网络设备;
所述方法还包括:
所述会话管理功能实体根据所述至少2个网络设备各自对应的网络切片安全策略优先级,确定所述目标终端的网络切片安全策略配置信息。
3.如权利要求1所述的方法,其特征在于,所述会话管理功能实体从以下网络设备中的至少一个,获得所述目标终端的网络切片安全策略配置信息:
所述会话管理功能实体,所述会话管理功能实体上存储有所述目标终端的网络切片安全策略配置信息;
策略控制功能实体,所述策略控制功能实体上存储有所述目标终端的网络切片安全策略配置信息;
数据管理实体,所述数据管理实体上存储有所述目标终端的签约信息,所述目标终端的签约信息包括所述目标终端的网络切片安全策略配置信息;
认证服务器,所述认证服务器上存储有所述目标终端的网络切片安全策略配置信息。
4.如权利要求1所述的方法,其特征在于,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
5.如权利要求4所述的方法,其特征在于,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
6.如权利要求1所述的方法,其特征在于,所述网络切片安全策略配置信息还包括网络切片的识别信息,所述网络切片的识别信息用于指示所述网络切片安全策略配置信息所应用的网络切片。
7.如权利要求1所述的方法,其特征在于,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
8.如权利要求1-7中任一项所述的方法,其特征在于,所述会话管理功能实体获得目标终端的网络切片安全策略配置信息,包括:
所述会话管理功能实体接收来自于所述接入移动性管理功能实体的分组数据单元PDU会话管理请求消息;
所述会话管理功能实体响应于所述PDU会话管理请求消息,获取所述目标终端的网络切片安全策略配置信息;
所述会话管理功能实体将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,包括:
所述会话管理功能实体向所述接入移动性管理功能实体发送PDU会话管理响应消息,所述PDU会话管理响应消息携带所述目标终端的网络切片安全策略配置信息。
9.一种网络切片内终端安全策略实现方法,其特征在于,包括:
网络接入节点接收目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息来自于接入移动性管理功能实体,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
所述网络接入节点将所述目标终端的网络切片安全策略配置信息发送给所述目标终端;
所述网络接入节点根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述目标终端之间传输的用户数据进行保护。
10.如权利要求9所述的方法,其特征在于,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥,则所述方法还包括:
所述网络接入节点根据上一级密钥以及所述用于实现用户面安全的网络切片专有密钥所应用的网络切片的识别信息,生成用于实现用户面安全的网络切片专有密钥。
11.如权利要求9所述的方法,其特征在于,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
12.如权利要求11所述的方法,其特征在于,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
13.如权利要求9所述的方法,其特征在于,所述网络切片安全策略配置信息还包括网络切片的识别信息,所述网络切片的识别信息用于指示所述网络切片安全策略配置信息所应用的网络切片。
14.如权利要求9所述的方法,其特征在于,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
15.一种网络切片内终端安全策略实现方法,其特征在于,包括:
目标终端接收来自于网络接入节点的所述目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
所述目标终端根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述网络接入节点之间传输的用户数据进行保护。
16.如权利要求15所述的方法,其特征在于,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥,则所述方法还包括:
所述目标终端根据上一级密钥以及所述用于实现用户面安全的网络切片专有密钥所应用的网络切片的识别信息,生成用于实现用户面安全的网络切片专有密钥。
17.如权利要求15所述的方法,其特征在于,所述网络切片安全密钥类型指示信息所指示的网络切片安全密钥类型为用于实现用户面安全的网络切片专有密钥或用于实现用户面安全的通用密钥。
18.如权利要求17所述的方法,其特征在于,所述用于实现用户面安全的网络切片专有密钥,包括:网络切片专有用户面机密性保护密钥、网络切片专有用户面完整性保护密钥中的至少一个。
19.如权利要求15所述的方法,其特征在于,所述网络切片安全策略配置信息还包括网络切片的识别信息,用于指示所述网络切片安全策略配置信息所应用的网络切片。
20.如权利要求15所述的方法,其特征在于,所述网络切片安全策略配置信息还包括用于指示是否激活网络切片安全能力的指示信息。
21.一种会话管理功能实体设备,其特征在于,包括:
处理模块,用于获得目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息,所述网络切片安全密钥类型指示信息所指示的相应类型的网络切片安全密钥用于在所述目标终端和所述目标终端的服务网络接入节点之间进行用户数据保护;
发送模块,用于将所述目标终端的网络切片安全策略配置信息发送给接入移动性管理功能实体,以使得所述目标终端的网络切片安全策略配置信息通过所述接入移动性管理功能实体发送到所述目标终端的服务网络接入节点和所述目标终端。
22.一种网络接入节点设备,其特征在于,包括:
接收模块,用于接收目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息来自于接入移动性管理功能实体,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
发送模块,用于将所述目标终端的网络切片安全策略配置信息发送给所述目标终端;
处理模块,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述目标终端之间传输的用户数据进行保护。
23.一种终端,其特征在于,包括:
接收模块,用于接收来自于网络接入节点的所述目标终端的网络切片安全策略配置信息,所述网络切片安全策略配置信息包括网络切片安全密钥类型指示信息;
处理模块,用于根据所述网络切片安全密钥类型指示信息,使用相应类型的网络切片安全密钥,对与所述网络接入节点之间传输的用户数据进行保护。
24.一种通信装置,其特征在于,包括:处理器、存储器;所述处理器,用于读取所述存储器中的计算机指令,执行如权利要1-8中任一项所述的方法。
25.一种通信装置,其特征在于,包括:处理器、存储器、收发机;所述处理器,用于读取所述存储器中的计算机指令,执行如权利要求9-14中任一项所述的方法。
26.一种通信装置,其特征在于,包括:处理器、存储器、收发机;所述处理器,用于读取所述存储器中的计算机指令,执行如权利要求15-20中任一项所述的方法。
27.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要1-8中任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求9-14中任一项所述的方法。
29.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求15-20中任一项所述的方法。
CN201910343376.5A 2019-04-26 2019-04-26 一种网络切片内终端安全策略实现方法及设备 Active CN111865872B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910343376.5A CN111865872B (zh) 2019-04-26 2019-04-26 一种网络切片内终端安全策略实现方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910343376.5A CN111865872B (zh) 2019-04-26 2019-04-26 一种网络切片内终端安全策略实现方法及设备

Publications (2)

Publication Number Publication Date
CN111865872A true CN111865872A (zh) 2020-10-30
CN111865872B CN111865872B (zh) 2021-08-27

Family

ID=72951711

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910343376.5A Active CN111865872B (zh) 2019-04-26 2019-04-26 一种网络切片内终端安全策略实现方法及设备

Country Status (1)

Country Link
CN (1) CN111865872B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683035A (zh) * 2020-02-12 2020-09-18 华东师范大学 基于can总线差分信号电平特性的车载ecu入侵检测方法及系统
CN112738800A (zh) * 2020-12-25 2021-04-30 中盈优创资讯科技有限公司 一种网络切片的数据安全传输实现方法
CN112804679A (zh) * 2020-12-29 2021-05-14 中兴通讯股份有限公司 一种网络切片连接方法、装置、存储介质及电子装置
CN112866998A (zh) * 2021-01-26 2021-05-28 国网福建省电力有限公司泉州供电公司 基于可信计算的5g切片配置数据安全保护方法
CN114363052A (zh) * 2021-12-31 2022-04-15 北京海泰方圆科技股份有限公司 一种网络切片中安全策略的配置方法、装置、设备及介质
WO2022141784A1 (zh) * 2020-12-28 2022-07-07 华为技术有限公司 一种策略冲突管理方法、装置及系统
WO2023236093A1 (en) * 2022-06-08 2023-12-14 Nokia Shanghai Bell Co., Ltd. Devices, methods, apparatuses, and computer readable media for network slice isolation

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180007552A1 (en) * 2016-07-04 2018-01-04 Samsung Electronics Co., Ltd. Method and device for managing security according to service in wireless communication system
CN107566115A (zh) * 2016-07-01 2018-01-09 华为技术有限公司 密钥配置及安全策略确定方法、装置
CN107666666A (zh) * 2016-07-27 2018-02-06 中兴通讯股份有限公司 密钥的衍生方法及装置
US20180084427A1 (en) * 2016-09-16 2018-03-22 Zte Corporation Security features in next generation networks
CN108323245A (zh) * 2017-06-19 2018-07-24 华为技术有限公司 一种注册及会话建立的方法、终端和amf实体
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统
CN108810884A (zh) * 2017-05-06 2018-11-13 华为技术有限公司 密钥配置方法、装置以及系统
US20180343249A1 (en) * 2017-05-24 2018-11-29 Lg Electronics Inc. Method and apparatus for authenticating ue between heterogeneous networks in wireless communication system
CN109309920A (zh) * 2017-07-28 2019-02-05 华为技术有限公司 安全实现方法、相关装置以及系统
CN109479193A (zh) * 2016-07-15 2019-03-15 日本电气株式会社 通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107566115A (zh) * 2016-07-01 2018-01-09 华为技术有限公司 密钥配置及安全策略确定方法、装置
US20180007552A1 (en) * 2016-07-04 2018-01-04 Samsung Electronics Co., Ltd. Method and device for managing security according to service in wireless communication system
CN109479193A (zh) * 2016-07-15 2019-03-15 日本电气株式会社 通信系统、订户信息管理设备、信息获取方法、非暂时性计算机可读介质和通信终端
CN107666666A (zh) * 2016-07-27 2018-02-06 中兴通讯股份有限公司 密钥的衍生方法及装置
US20180084427A1 (en) * 2016-09-16 2018-03-22 Zte Corporation Security features in next generation networks
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统
WO2018137351A1 (zh) * 2017-01-25 2018-08-02 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统
CN108810884A (zh) * 2017-05-06 2018-11-13 华为技术有限公司 密钥配置方法、装置以及系统
US20180343249A1 (en) * 2017-05-24 2018-11-29 Lg Electronics Inc. Method and apparatus for authenticating ue between heterogeneous networks in wireless communication system
CN108323245A (zh) * 2017-06-19 2018-07-24 华为技术有限公司 一种注册及会话建立的方法、终端和amf实体
CN109309920A (zh) * 2017-07-28 2019-02-05 华为技术有限公司 安全实现方法、相关装置以及系统

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683035A (zh) * 2020-02-12 2020-09-18 华东师范大学 基于can总线差分信号电平特性的车载ecu入侵检测方法及系统
CN112738800A (zh) * 2020-12-25 2021-04-30 中盈优创资讯科技有限公司 一种网络切片的数据安全传输实现方法
WO2022141784A1 (zh) * 2020-12-28 2022-07-07 华为技术有限公司 一种策略冲突管理方法、装置及系统
CN112804679A (zh) * 2020-12-29 2021-05-14 中兴通讯股份有限公司 一种网络切片连接方法、装置、存储介质及电子装置
WO2022142740A1 (zh) * 2020-12-29 2022-07-07 中兴通讯股份有限公司 一种网络切片连接方法、装置、存储介质及电子装置
CN112804679B (zh) * 2020-12-29 2023-07-14 中兴通讯股份有限公司 一种网络切片连接方法、装置、存储介质及电子装置
CN112866998A (zh) * 2021-01-26 2021-05-28 国网福建省电力有限公司泉州供电公司 基于可信计算的5g切片配置数据安全保护方法
CN112866998B (zh) * 2021-01-26 2023-06-16 国网福建省电力有限公司泉州供电公司 基于可信计算的5g切片配置数据安全保护方法
CN114363052A (zh) * 2021-12-31 2022-04-15 北京海泰方圆科技股份有限公司 一种网络切片中安全策略的配置方法、装置、设备及介质
CN114363052B (zh) * 2021-12-31 2022-11-18 北京海泰方圆科技股份有限公司 一种网络切片中安全策略的配置方法、装置、设备及介质
WO2023236093A1 (en) * 2022-06-08 2023-12-14 Nokia Shanghai Bell Co., Ltd. Devices, methods, apparatuses, and computer readable media for network slice isolation

Also Published As

Publication number Publication date
CN111865872B (zh) 2021-08-27

Similar Documents

Publication Publication Date Title
CN111865872B (zh) 一种网络切片内终端安全策略实现方法及设备
CN110474875B (zh) 基于服务化架构的发现方法及装置
CN111355684B (zh) 一种物联网数据传输方法、装置、系统、电子设备及介质
US11546173B2 (en) Methods, application server, IoT device and media for implementing IoT services
EP4258593A1 (en) Ota update method and apparatus
EP2823619A1 (en) Policy for secure packet transmission using required node paths and cryptographic signatures
CN107396350B (zh) 基于sdn-5g网络架构的sdn组件间安全保护方法
CN110505627B (zh) 一种基于接入节点组的认证方法及装置
CN109314693B (zh) 验证密钥请求方的方法和设备
CN111783068A (zh) 设备认证方法、系统、电子设备及存储介质
CN114286416A (zh) 通信控制方法及装置、电子设备、存储介质
CN112449323A (zh) 一种通信方法、装置和系统
CN112118568B (zh) 一种设备身份鉴权的方法及设备
CN110730447B (zh) 一种用户身份保护方法、用户终端和核心网
CN111414640A (zh) 秘钥访问控制方法和装置
WO2021170049A1 (zh) 一种访问行为的记录方法、装置
CN114223233A (zh) 用于网络切片管理的数据安全性
CN112367664B (zh) 一种外部设备安全接入智能电表的方法及装置
CN106487761B (zh) 一种消息传输方法和网络设备
CN116155483A (zh) 区块链签名机安全设计方法及签名机
EP3577875B1 (en) Method for enhanced detection of a user equipment type.
CN111163466A (zh) 5g用户终端接入区块链的方法、用户终端设备及介质
CN109586901A (zh) 一种密钥更新方法及设备
CN115866597B (zh) 密码信息的发送方法和装置、存储介质及电子装置
CN111065099B (zh) 基站选择的方法、待接入终端和参考终端

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant