CN112399422A - 一种安全算法配置方法、控制平面中心节点及终端 - Google Patents
一种安全算法配置方法、控制平面中心节点及终端 Download PDFInfo
- Publication number
- CN112399422A CN112399422A CN201910760051.7A CN201910760051A CN112399422A CN 112399422 A CN112399422 A CN 112399422A CN 201910760051 A CN201910760051 A CN 201910760051A CN 112399422 A CN112399422 A CN 112399422A
- Authority
- CN
- China
- Prior art keywords
- message
- algorithm information
- security algorithm
- information corresponding
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种安全算法配置方法、控制平面中心节点及终端,方法包括:向终端发送用户平面中心节点CU‑UP所对应的安全算法信息,实现了对CU‑UP所对应的安全算法信息的协商过程,实现了CU‑UP能够对应自身的安全算法信息,提高了CU‑UP服务的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种安全算法配置方法、控制平面中心节点及终端。
背景技术
在新空口(New Radio,NR)系统中,一个逻辑上的无线接入网(Radio AccessNetwork,RAN)节点可以进一步划分为一个控制平面中心节点(Central Unit-ControlPlane,CU-CP)、一个或多个用户平面中心节点(Central Unit-User Plane,CU-UP)以及一个或多个分布节点(Distributed Unit,DU),该种结构称为CU-CP/UP分离结构,这些节点可以位于不同的物理实体内。此外,一个CU-CP可以连接多个CU-UP。
此外,在现有技术中,一个用户与5g基站(gNB)之间的所有用户承载使用的安全算法是相同的(包括加密算法和完整性保护算法)。在该种情景下,如果在gNB内部的CU-UP上承载不同服务质量(Quality of Service,QoS)的用户数据(例如,一些CU-UP承载了与用户隐私无关的网络娱乐视频,一些CU-UP承载了小数据量但是包含了与用户隐私相关的数据,比如位置和用户的家庭的设备信息等),且所有CU-UP采用相同的安全算法,则会导致安全风险,例如在用户注册到公共陆地移动网络(Public Land Mobile Network,PLMN)内被选择了空算法,但某些用户的数据是不被允许使用空算法保护的。另外,由于不同CU-UP的位置不同,则有些CU-UP被部署在内部相对核心的位置,则需要配置安全级别比较高的安全算法,此时如果将所有CU-UP的安全算法统一,也会导致一些安全隐患。
发明内容
本发明实施例提供一种安全算法配置方法、控制平面中心节点及终端,以实现能够对不同的CU-UP配置相适应的安全算法。
第一方面,本发明实施例提供一种安全算法配置方法,包括:
向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
第二方面,本发明实施例提供一种安全算法配置方法,包括:
接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
第三方面,本发明实施例提供一种安全算法配置方法,包括:
接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
第四方面,本发明实施例提供一种安全算法配置装置,包括:
发送模块,用于向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
第五方面,本发明实施例提供一种安全算法配置装置,包括:
接收模块,用于接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
第六方面,本发明实施例提供一种安全算法配置装置,包括:
接收模块,用于接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
第七方面,本发明实施例提供一种控制平面中心节点CU-CP,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现下述步骤:
向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
第八方面,本发明实施例提供一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现下述步骤:
接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
第九方面,本发明实施例提供一种用户平面中心节点CU-UP,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现下述步骤:
接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
第十方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的安全算法配置方法的步骤。
本发明实施例提供的安全算法配置方法、控制平面中心节点及终端,通过向终端发送CU-UP所对应的安全算法信息,实现了与终端之间每个CU-UP所对应的安全算法信息的协商过程,使得CU-UP能够对应有自身的安全算法信息,避免了每个CU-UP均对应同样的安全算法信息时导致出现安全隐患的问题,提高了CU-UP服务的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中安全算法配置方法的步骤流程图之一;
图2为本发明实施例中安全算法配置方法的步骤流程图之二;
图3为本发明实施例中安全算法配置方法的步骤流程图之三;
图4为本发明实施例中CU-CP对CU-UP配置安全算法时的交互过程示意图之一;
图5为本发明实施例中CU-CP对CU-UP配置安全算法时的交互过程示意图之二;
图6为本发明实施例中CU-UP自身配置安全算法时的交互过程示意图;
图7为本发明实施例中安全算法配置装置的模块框图之一;
图8为本发明实施例中安全算法配置装置的模块框图之二;
图9为本发明实施例中安全算法配置装置的模块框图之三;
图10为本发明实施例中CU-CP的结构示意图;
图11为本发明实施例中终端的结构示意图;
图12为本发明实施例中CU-UP的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在NR及类似系统中,一个逻辑上的RAN节点可以进一步划分为一个CU-CP、一个或多个CU-UP以及一个或多个分布节点DU,该种结构称为CU-CP/UP分离结构。在该种结构中,CU-CP与DU之间以F1-C或类似接口连接,而CU-CP与CU-UP之间以E1或类似接口连接;RAN节点与核心网的控制面连接止于CU-CP,用户面连接止于CU-UP,而RAN节点与终端的空口连接止于DU。
CU-CP/UP分离结构的一种常见场景如下:CU-UP实现为中心控制节点,而CU-UP实现为数据服务节点,不同CU-UP支持不同类型的数据流。例如,CU-UP1支持低时延数据流,与DU一并部署在基站附近的室外;而CU-UP2支持高带宽数据流,部署于中心机房之内。
当前NR/5G系统中所使用的加密算法有NEA0、NEA1和NEA2以及NEA3,完整性算法有NIA0,NIA1,NIA2以及NIA3。通常情况下,gNB会支持上述的安全算法,且现有技术中对于UP安全算法的描述为:会话管理功能(Session Management Function,SMF)实体应在协议数据单元(Protocol Data Unit,PDU)会话建立流程中向ng-Enb/gNB提供该PDU会话的用户面安全算法,且UP安全算法应指示是否应对属于该PDU会话的所有数据无线承载(Data RadioBearer,DRB)激活UP机密性和/或UP完整性包含。
此外现有技术中接入层(Access Stratum,AS)的算法协商是针对每个gNB的,具体为:每个gNB应通过网络管理配置允许使用的算法列表,包括一个完整性算法列表和一个机密性算法列表,这些列表应按照运营商决定的优先顺序排列。当要在gNB中建立AS安全上下文时,接入和移动性管理功能(Access and Mobility Management Function,AMF)实体应将终端5G安全功能发送给gNB。gNB应按照列表排序选择最高优先级机密性安全算法,并保存在终端5G安全能力中,且所选安全算法通过AS安全模式命令(Security Mode Command,SMC)消息发送给终端。此外,所选加密算法用于加密被激活的用户平面和无线资源控制(Radio Resource Control,RRC)业务,所选完整性算法用于用户面和RRC流量的完整性保护。
但是,在CU-CP/UP分离时,按照现有技术,基站内部所有的CU-UP采用相同的安全算法,这将可能导致不同的CU-UP上计算相同的密钥,导致安全隐患,并且无法实现CU-CP/UP满足多种服务的安全需求。
针对上述这种基站内部所有CU-UP采用相同安全算法容易出现安全隐患的问题,如图1所示,本发明实施例提供一种安全算法配置方法,包括如下步骤:
步骤101:向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
在本步骤中,具体的,CU-CP向终端发送CU-UP所对应的安全算法信息。
需要说明的是,CU-UP的数量为一个或多个,且每个CU-UP对应一个安全算法信息,本步骤可以将CU-UP所对应的安全算法信息发送给终端,从而实现与终端之间安全算法的协商,进而提高每个CU-UP服务的安全性。
另外,具体的,安全算法可以包括加密算法和完整性保护算法。
此外,进一步地,在本实施例中,CU-CP在向终端发送CU-UP所对应的安全算法信息时,可以采用如下方式中的任一方式:
第一种方式:向所述终端发送N个接入层AS安全模式命令SMC消息。
在该种方式下,CU-CP通过向终端发送AS SMC消息,实现CU-UP所对应的安全算法信息的发送。
其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息。
具体的,在此对上述N取值不同的情景进行说明。例如,当CU-CP自身能够确定CU-UP所对应的安全算法信息时,可以通过向终端发送1次或N次SMC消息,实现CU-UP所对应的安全算法信息的发送;比如,当CU-UP的个数为n个,且CU-CP确定每个CU-UP所对应的安全算法信息时,可以向终端发送1次SMC消息,此时SMC消息中需携带n个CU-UP中每个CU-UP所对应的安全算法信息,还可以向终端发送N次SMC消息,此时SMC消息中只需要携带一个CU-UP所对应的安全算法信息即可。又例如,当CU-UP自身确定所对应的安全算法信息时,则需要一个CU-UP对应一个SMC消息,此时CU-CP需要将每个CU-UP自身所确定的安全算法信息,通过一个SMC消息发送给终端。
当然,在此需要说明的是,安全算法信息中可以携带有所对应CU-UP的标识,从而使得能够通过CU-UP的标识,对不同的安全算法信息进行区分。
此外,在此需要说明的是,SMC消息中还可以携带有消息认证码(MessageAuthentication Code,MAC)值。
此时,CU-CP在向终端发送N个接入层AS安全模式命令SMC消息之后,可以接收所述终端在对所述MAC值校验成功时,发送的安全模式完成消息;然后向与所述SMC消息相对应的CU-UP发送协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
当然,在此需要说明的是,SMC消息可以通过RRC安全算法中的NIA算法进行完整性保护,计算MAC值。
这样,通过在SMC消息中携带MAC值,使得终端能够对SMC消息的完整性进行校验,从而使得终端在对该MAC值校验成功,即验证SMC消息的完整性之后,能够向CU-CP发送安全模式完成消息,以完成安全算法的协商过程;此时,CU-CP可以通过E1接口向与该SMC消息相对应的CU-UP发送协商接受消息,从而使得CU-UP能够确定自身所对应的安全算法。
第二种方式:向所述终端发送RRC连接重配置消息。
具体的,所述RRC连接重配置消息中携带有每个DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
具体的,DRB与CU-UP之间预配置有对应关系,例如DRB1和DRB2与CU-UP1之间相对应,DRB3和DRB4与CU-UP2相对应。这使得CU-CP在向终端发送的RRC连接重配置消息中携带每个DRB对应的安全算法信息时,终端能够通过DRB与CU-UP之间的对应关系,确定CU-UP所对应的安全算法信息,从而实现与终端之间CU-UP所对应的安全算法之间的协商。
另外,进一步地,本实施例在向终端发送用户平面中心节点CU-UP所对应的安全算法信息之前,还需要获取CU-UP所对应的安全算法信息,具体获取方式可以包括如下两种方式:
其一,对CU-UP配置对应的安全算法。
具体的,在该种方式下,CU-CP对CU-UP所对应的安全算法进行配置。
其中,在对CU-UP配置对应的安全算法时,可以通过如下两种方式:
第一种:根据为CU-UP所分配的服务质量QoS数据流,对所述CU-UP配置相对应的安全算法。
具体的,CU-CP可以根据用户的服务需求,为每个CU-UP分配QoS数据流,然后根据为CU-UP所分配的QoS数据流,对CU-UP配置相对应的安全算法。
这样,通过根据每个CU-UP的QoS数据流,对CU-UP配置相对应的安全算法,保证了为CU-UP所配置的安全算法的适配性,从而保证了CU-UP服务时的安全性。
第二种,当接收到核心网发送的针对所述CU-UP的第一承载上下文设置请求消息时,根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法。
具体的,当CU-CP接收到来自核心网的针对CU-CP的第一承载上下文设置请求消息(BEARER CONTEXT SETUP REQUEST)时,可以根据第一承载上下文设置请求消息中数据流所对应的QoS,对CU-UP配置相对应的安全算法。保证了为CU-UP所配置的安全算法的适配性。
另外,在此需要说明的是,CU-CP在根据第一承载上下文设置请求消息中数据流所对应的QoS,对CU-UP设置对应的安全算法之后,还可以向所述CU-UP发送第二承载上下文设置请求消息,所述第二承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;然后接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息(BEARER CONTEXT SETUP RESPONSE),所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
这样通过上述方式,实现了CU-CP与CU-UP之间关于CU-UP所对应的安全算法信息的交互以及确定。
当然,在此需要说明的是,本实施例可以在CU-CP接收到上下文设置响应消息之后,再通过RRC连接重配置消息,向终端发送CU-UP所对应的安全算法信息。
此外,还需要说明的是,在接收CU-UP根据第二承载上下文设置请求消息反馈的上下文设置响应消息之后,还可以向所述CU-UP发送承载上下文修改请求消息,所述承载上下文修改请求消息(BEARER CONTEXT MODIFICATION REQUEST)中携带或不携带所述CU-UP的安全算法信息;然后接收所述CU-UP反馈的承载上下文修改响应消息(BEARER CONTEXTMODIFICATION RESPONSE),所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
这样,通过上述方式,可以实现CU-CP对CU-UP所对应的安全算法信息的修改过程,实现了对CU-UP配置安全算法的灵活性。
其二,接收CU-UP所发送的通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
具体的,CU-UP可以自身根据CU-CP分配的用户服务需求,选择与自身承载服务相对应的安全算法,并向CU-CP发送携带有所对应的安全算法信息的通知消息。此时CU-UP可以通过接收该携带有CU-UP所对应的安全算法信息的通知消息,实现对每个CU-UP所对应的安全算法信息的获取。
这样,CU-CP通过上述两种方式实现对CU-UP所对应的安全算法信息的获取,实现了CU-CP对CU-UP所对应的安全算法信息获取过程的灵活性。
本实施例通过向终端发送CU-UP所对应的安全算法信息,实现了与终端之间每个CU-UP所对应的安全算法信息的协商过程,使得CU-UP能够对应有自身的安全算法信息,避免了每个CU-UP均对应同样的安全算法信息时导致出现安全隐患的问题,提高了CU-UP服务的安全性。
此外,如图2所示,为本发明实施例中安全算法配置方法的步骤流程图之二,该方法包括如下步骤:
步骤201:接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
本步骤中,具体的,终端接收CU-CP发送的CU-UP所对应的安全算法信息。
当然,在此需要说明的是,CU-UP的数量为一个或多个,在此并不限定CU-UP的数量。
终端通过接收CU-CP发送的CU-UP所对应的安全算法信息,实现了对CU-UP所对应的安全算法信息的协商过程,实现了CU-UP能够对应自身的安全算法信息,提高了CU-UP服务的安全性。
进一步地,本实施例在接收CU-CP发送的CU-UP所对应的安全算法信息时,可以包括如下两种方式:
其一,接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息。
具体的,当N为1时,SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息。
当然,在此需要说明的是,安全算法信息中可以携带有所对应CU-UP的标识,从而使得能够通过CU-UP的标识,对不同的安全算法信息进行区分。
在此需要说明的是,上述N个SMC消息与CU-CP侧实施例中N个SMC消息相同,对N个SMC消息的介绍可以参见上述实施例,在此不再进行具体赘述。
CU-CP通过发送N个SMC消息,向终端发送CU-UP所对应的安全算法信息,此时终端通过N个SMC消息,实现对CU-UP所对应的安全算法信息的接收,从而实现CU-UP所对应的安全算法信息的协商过程。
另外,具体的,SMC消息中还携带有消息认证码MAC值。此时,当终端接收到CU-CP发送的N个SMC消息之后,可以对MAC值进行校验;具体的,当终端对所述MAC值校验成功时,可以向所述CU-CP发送安全模式完成消息,从而完成对CU-UP所对应的安全算法信息的协商过程。
其二:接收所述CU-CP发送的RRC连接重配置消息。
具体的,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
在此需要说明的是,上述RRC连接重配置消息与CU-CP侧实施例中RRC连接重配置消息相同,对RRC连接重配置消息的介绍可以参见上述实施例,在此不再进行具体赘述。
这样,通过上述两种方式接收CU-UP所对应的安全算法信息,实现了CU-UP所对应的安全算法信息的交互过程的灵活性。
本实施例中终端通过接收CU-CP发送的CU-UP所对应的安全算法信息,实现了对CU-UP所对应的安全算法信息的协商过程,实现了CU-UP能够对应自身的安全算法信息,提高了CU-UP服务的安全性。
此外,如图3所示,为本发明实施例中安全算法配置方法的步骤流程图之三,该方法包括如下步骤:
步骤301:接收控制平面中心节点CU-CP发送的协商接受消息。
具体的,所述协商接受消息中携带有CU-UP对应的安全算法信息。
在本步骤中,具体的,当CU-CP接收到终端发送的安全模式完成消息时,CU-CP向CU-UP发送协商接受消息,此时CU-UP通过E1接口接收CU-CP发送的协商接受消息,从而完成CU-UP所对应的安全算法信息的整个协商确定过程,使得CU-UP能够对应自身的安全算法,避免了所有CU-UP均对应相同的安全算法时存在安全隐含的问题,提高了CU-UP服务的安全性。
此外,进一步地,CU-UP在接收CU-CP发送的协商接受消息之前,还可以向所述CU-CP发送通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
具体的,CU-CP可以为CU-UP分配用户服务需求(对应QoS),此时CU-UP可以根据CU-CP分配的用户服务需求,选择与自身承载服务相对应的安全算法,并向CU-CP发送携带有所对应的安全算法信息的通知消息,从而使得CU-CP能够从通知消息中获取CU-UP所对应的安全算法信息,进而能够与终端进行安全算法的协商。
当然,在此需要说明的是,CU-UP所对应的安全算法信息可以携带有CU-UP的标识,从而使得CU-CP能够通过CU-UP的标识,对不同的安全算法信息进行区分。
另外,进一步地,CU-UP还可以接收所述CU-CP发送的承载上下文设置请求消息,所述承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;然后根据所述承载上下文设置请求消息,向所述CU-CP发送上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
具体的,当CU-CP向CU-UP发送携带有CU-UP所对应的安全算法信息的承载上下文设置请求消息时,CU-UP可以接收该上下文设置请求消息,并反馈携带有CU-UP所对应的安全算法信息的上下文设置响应消息,以实现与CU-CP之间的安全算法的交互确认过程,并使得CU-CP能够根据该上下文设置响应信息进行后续操作流程。
当然,在此还需要说明的是,CU-UP在向CU-CP发送上下文设置响应消息之后,还可以接收所述CU-CP发送的承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;然后向所述CU-CP发送承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
这样,通过上述方式,可以实现CU-UP所对应的安全算法信息的修改过程,实现了对CU-UP配置安全算法的灵活性。
本实施例通过接收CU-CP发送的携带有CU-UP所对应的安全算法信息的协商接受信息,使得CU-UP能够对应自身的安全算法,避免了所有CU-UP均对应相同的安全算法时存在安全隐含的问题,提高了CU-UP服务的安全性。
针对上述实施例,下面通过具体示例对上述实施例中CU-CP、CU-UP和终端之间的交互过程进行说明。
其一:参见图4,为CU-CP对CU-UP配置安全算法时的交互过程示意图之一。
假设基站内部存在多个CU-UP,下面以第n个CU-UP为例进行说明。此时,CU-CP可以根据为CU-UP所分配的QoS数据流,对每个CU-UP分配相对应的安全算法。
然后,CU-CP向终端发起AS安全算法的协商,即向终端发送SMC消息,该消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和CU-UP所对应的安全算法信息;可选地,为了区分不同的安全算法信息,可以对每个安全算法信息中附加所对应CU-UP的标识;该SMC消息使用RRC安全算法中的NIA进行完整性保护,计算MAC值。
再然后,终端接收到SMC消息后,校验MAC值,若校验成功,则向CU-CP发送安全模式完成消息。
此时,CU-CP接收到安全模式完成消息后,通过每个E1接口向CU-UP发送携带有CU-UP所对应的安全算法信息的协商接受信息。
需要说明的是,终端与CU-CP之间可以发送一次或多次SMC消息,当发送一次SMC消息时,SMC消息中所携带的CU-UP所对应的安全算法信息为多个CU-UP的安全算法信息;当发送多次SMC消息时,则每个SMC消息中所携带的CU-UP所对应的安全算法信息为单个CU-UP的安全算法信息。
其二:参见图5,为CU-CP对CU-UP配置安全算法时的交互过程示意图之二。
假设基站内部存在多个CU-UP,下面以第n个CU-UP为例进行说明。此时,CU-CP接收来自核心网的分别针对每个CU-UP的第一承载上下文设置请求消息(BEARER CONTEXTSETUP REQUEST),并根据每个第一承载上下文设置请求消息中数据流的QoS,对每个CU-UP配置相对应的安全算法。
然后,CU-CP向CU-UP发送第二承载上下文设置请求消息,第二承载上下文设置请求消息中携带有CU-UP所对应的安全算法信息。
再然后,CU-CP接收CU-UP根据第二承载上下文设置请求消息反馈的上下文设置响应消息(BEARER CONTEXT SETUP RESPONSE),所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。此时,CU-CP可以向终端发送RRC连接重配置消息,RRC连接重配置消息中携带有每个DRB对应的安全算法信息,当然DRB与CU-UP预配置有对应关系。
需要说明的是,CU-CP可以向CU-UP发送承载上下文修改请求消息(BEARERCONTEXT MODIFICATION REQUEST),然后接收CU-UP反馈的承载上下文修改响应消息(BEARER CONTEXT MODIFICATION RESPONSE);当然,承载上下文修改请求消息和承载上下文修改响应消息中均可以携带或不携带CU-UP的安全算法信息。
其三:参见图6,为CU-UP自身配置安全算法时的交互过程示意图。
假设基站内部存在多个CU-UP,下面以第n个CU-UP为例进行说明。CU-CP为CU-UP分配用户服务需求(对应QoS),此时CU-UP根据CU-CP分配的用户服务需求,选择与自身承载服务相对应的安全算法。
然后,CU-UP向CU-CP发送携带有所对应的安全算法信息的通知消息;此时为了区分不同的E1连接,可以对每个CU-CP的安全算法信息附加CU-CP的标识。
再然后,CU-CP接收到通知消息后,向终端发送N个SMC消息,并在SMC消息只能够携带CU-UP自身选择的安全算法的信息、RRC消息加密算法信息和RRC消息完整性算法信息;当然,还可以携带MAC值。此外,安全算法信息可以附加所对应CU-UP的标识;另外,还需要说明的是,针对每个CU-UP,均需要发送一次SMC消息,每个SMC消息对应一个CU-UP,即终端与CU-UP之间的安全算法的协商过程是一对一,如果有N个CU-UP,则需要执行N次SMC消息的发送。
再然后,终端接收到SMC消息后,校验MAC值,若校验成功,则向CU-CP发送安全模式完成消息。
此时,CU-CP接收到安全模式完成消息后,通过每个E1接口向CU-UP发送携带有CU-UP所对应的安全算法信息的协商接受信息。
这样,通过上述多个交互过程,均实现了CU-CP、CU-UP以及终端之间的CU-UP所对应的安全算法的协商过程,使得每个CU-UP均能够对应自身的安全算法,避免了所有CU-UP均对应相同的安全算法时存在安全隐含的问题,提高了CU-UP服务的安全性。
此外,如图7所示,为本发明实施例中安全算法配置装置的模块框图之一,该装置包括:
发送模块701,用于向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
可选地,所述发送模块701包括:
第一发送单元,用于向所述终端发送N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
第二发送单元,用于向所述终端发送RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
可选地,还包括:
配置模块,用于对CU-UP配置对应的安全算法;或者,
接收模块,用于接收CU-UP所发送的通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
在此需要说明的是,本实施例中的装置能够实现CU-CP侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再对本实施例中与CU-CP侧方法实施例内的相同部分以及技术效果等进行赘述。
此外,如图8所示,为本发明实施例中安全算法配置装置的模块框图之二,该装置包括:
接收模块801,用于接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
可选地,所述接收模块801包括:
第一接收单元,用于接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
第二接收单元,用于接收所述CU-CP发送的RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
在此需要说明的是,本实施例中的装置能够实现终端侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再对本实施例中与终端侧方法实施例内的相同部分以及技术效果等进行赘述。
此外,如图9所示,为本发明实施例中安全算法配置装置的模块框图之三,该装置包括:
接收模块901,用于接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
可选地,还包括:
发送模块,用于向所述CU-CP发送通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
在此需要说明的是,本实施例中的装置能够实现终端侧方法实施例的所有方法步骤,并能够达到相同的技术效果,在此不再对本实施例中与CU-UP侧方法实施例内的相同部分以及技术效果等进行赘述。
另外,如图10所示,为本发明实施例提供的CU-CP的实体结构示意图,该CU-CP可以包括:处理器(processor)1010、通信接口(Communications Interface)1020、存储器(memory)1030和通信总线1040,其中,处理器1010,通信接口1020,存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储在存储器1030上并可在处理器1010上运行的计算机程序,以执行如下步骤:
向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
可选地,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息,包括:向所述终端发送N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;或者,向所述终端发送RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
可选地,所述SMC消息中还携带有消息认证码MAC值。
可选地,所述向所述终端发送N个接入层AS安全模式命令SMC消息之后,所述处理器执行所述程序时还实现下述步骤:接收所述终端在对所述MAC值校验成功时,发送的安全模式完成消息;向与所述SMC消息相对应的CU-UP发送协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
可选地,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息之前,所述处理器执行所述程序时还实现下述步骤:对CU-UP配置对应的安全算法;或者,接收CU-UP所发送的通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
可选地,所述对CU-UP配置对应的安全算法,包括:根据为CU-UP所分配的服务质量QoS数据流,对所述CU-UP配置相对应的安全算法;或者,当接收到核心网发送的针对所述CU-UP的第一承载上下文设置请求消息时,根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法。
可选地,所述根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法之后,所述处理器执行所述程序时还实现下述步骤:向所述CU-UP发送第二承载上下文设置请求消息,所述第二承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
可选地,所述接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息之后,所述处理器执行所述程序时还实现下述步骤:向所述CU-UP发送承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;接收所述CU-UP反馈的承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
此外,上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另外,如图11所示,为本发明实施例提供的终端的实体结构示意图,该终端可以包括:处理器(processor)1110、通信接口(Communications Interface)1120、存储器(memory)1130和通信总线1140,其中,处理器1110,通信接口1120,存储器1130通过通信总线1140完成相互间的通信。处理器1110可以调用存储在存储器1130上并可在处理器1110上运行的计算机程序,以执行如下步骤:
接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
可选地,所述接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息,包括:接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;或者,接收所述CU-CP发送的RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
可选地,所述SMC消息中还携带有消息认证码MAC值。
可选地,所述接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息之后,所述处理器执行所述程序时还实现下述步骤:当对所述MAC值校验成功时,向所述CU-CP发送安全模式完成消息。
另外,如图12所示,为本发明实施例提供的CU-UP的实体结构示意图,该CU-UP可以包括:处理器(processor)1210、通信接口(Communications Interface)1220、存储器(memory)1230和通信总线1240,其中,处理器1210,通信接口1220,存储器1230通过通信总线1240完成相互间的通信。处理器1210可以调用存储在存储器1230上并可在处理器1210上运行的计算机程序,以执行如下步骤:
接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
可选地,所述接收控制平面中心节点CU-CP发送的协商接受消息之前,所述处理器执行所述程序时还实现下述步骤:向所述CU-CP发送通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
可选地,所述处理器执行所述程序时还实现下述步骤:
接收所述CU-CP发送的承载上下文设置请求消息,所述承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;根据所述承载上下文设置请求消息,向所述CU-CP发送上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
可选地,在所述向所述CU-CP发送上下文设置响应消息之后,所述处理器执行所述程序时还实现下述步骤:接收所述CU-CP发送的承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;向所述CU-CP发送承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (36)
1.一种安全算法配置方法,其特征在于,包括:
向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
2.根据权利要求1所述的安全算法配置方法,其特征在于,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息,包括:
向所述终端发送N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
向所述终端发送RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
3.根据权利要求2所述的安全算法配置方法,其特征在于,所述SMC消息中还携带有消息认证码MAC值。
4.根据权利要求3所述的安全算法配置方法,其特征在于,所述向所述终端发送N个接入层AS安全模式命令SMC消息之后,还包括:
接收所述终端在对所述MAC值校验成功时,发送的安全模式完成消息;
向与所述SMC消息相对应的CU-UP发送协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
5.根据权利要求1所述的安全算法配置方法,其特征在于,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息之前,还包括:
对CU-UP配置对应的安全算法;或者,
接收CU-UP所发送的通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
6.根据权利要求5所述的安全算法配置方法,其特征在于,所述对CU-UP配置对应的安全算法,包括:
根据为CU-UP所分配的服务质量QoS数据流,对所述CU-UP配置相对应的安全算法;或者,
当接收到核心网发送的针对所述CU-UP的第一承载上下文设置请求消息时,根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法。
7.根据权利要求6所述的安全算法配置方法,其特征在于,所述根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法之后,还包括:
向所述CU-UP发送第二承载上下文设置请求消息,所述第二承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;
接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
8.根据权利要求7所述的安全算法配置方法,其特征在于,所述接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息之后,还包括:
向所述CU-UP发送承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;
接收所述CU-UP反馈的承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
9.一种安全算法配置方法,其特征在于,包括:
接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
10.根据权利要求9所述的安全算法配置方法,其特征在于,所述接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息,包括:
接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
接收所述CU-CP发送的RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
11.根据权利要求10所述的安全算法配置方法,其特征在于,所述SMC消息中还携带有消息认证码MAC值。
12.根据权利要求11所述的安全算法配置方法,其特征在于,所述接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息之后,还包括:
当对所述MAC值校验成功时,向所述CU-CP发送安全模式完成消息。
13.一种安全算法配置方法,其特征在于,包括:
接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
14.根据权利要求13所述的安全算法配置方法,其特征在于,所述接收控制平面中心节点CU-CP发送的协商接受消息之前,还包括:
向所述CU-CP发送通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
15.根据权利要求13所述的安全算法配置方法,其特征在于,还包括:
接收所述CU-CP发送的承载上下文设置请求消息,所述承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;
根据所述承载上下文设置请求消息,向所述CU-CP发送上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
16.根据权利要求15所述的安全算法配置方法,其特征在于,在所述向所述CU-CP发送上下文设置响应消息之后,还包括:
接收所述CU-CP发送的承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;
向所述CU-CP发送承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
17.一种安全算法配置装置,其特征在于,包括:
发送模块,用于向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
18.一种安全算法配置装置,其特征在于,包括:
接收模块,用于接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
19.一种安全算法配置装置,其特征在于,包括:
接收模块,用于接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
20.一种控制平面中心节点CU-CP,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现下述步骤:
向终端发送用户平面中心节点CU-UP所对应的安全算法信息。
21.根据权利要求20所述的CU-CP,其特征在于,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息,包括:
向所述终端发送N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
向所述终端发送RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
22.根据权利要求21所述的CU-CP,其特征在于,所述SMC消息中还携带有消息认证码MAC值。
23.根据权利要求22所述的CU-CP,其特征在于,所述向所述终端发送N个接入层AS安全模式命令SMC消息之后,所述处理器执行所述程序时还实现下述步骤:
接收所述终端在对所述MAC值校验成功时,发送的安全模式完成消息;
向与所述SMC消息相对应的CU-UP发送协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
24.根据权利要求20所述的CU-CP,其特征在于,所述向终端发送用户平面中心节点CU-UP所对应的安全算法信息之前,所述处理器执行所述程序时还实现下述步骤:
对CU-UP配置对应的安全算法;或者,
接收CU-UP所发送的通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
25.根据权利要求24所述的CU-CP,其特征在于,所述对CU-UP配置对应的安全算法,包括:
根据为CU-UP所分配的服务质量QoS数据流,对所述CU-UP配置相对应的安全算法;或者,
当接收到核心网发送的针对所述CU-UP的第一承载上下文设置请求消息时,根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法。
26.根据权利要求25所述的CU-CP,其特征在于,所述根据所述第一承载上下文设置请求消息中数据流所对应的QoS,对所述CU-UP配置相对应的安全算法之后,所述处理器执行所述程序时还实现下述步骤:
向所述CU-UP发送第二承载上下文设置请求消息,所述第二承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;
接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
27.根据权利要求26所述的CU-CP,其特征在于,所述接收所述CU-UP根据所述第二承载上下文设置请求消息反馈的上下文设置响应消息之后,所述处理器执行所述程序时还实现下述步骤:
向所述CU-UP发送承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;
接收所述CU-UP反馈的承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
28.一种终端,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现下述步骤:
接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息。
29.根据权利要求28所述的终端,其特征在于,所述接收控制平面中心节点CU-CP发送的用户平面中心节点CU-UP所对应的安全算法信息,包括:
接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息;其中,当N为1时,SMC消息中携带有无线资源控制RRC消息加密算法信息、RRC消息完整性算法信息和所有CU-UP中每个CU-UP所对应的安全算法信息;当N的取值与CU-UP的个数相同时,每个所述SMC消息中携带有RRC消息加密算法信息、RRC消息完整性算法信息和单个CU-UP所对应的安全算法信息;
或者,
接收所述CU-CP发送的RRC连接重配置消息,所述RRC连接重配置消息中携带有每个数据无线承载DRB对应的安全算法信息,所述DRB与CU-UP预配置有对应关系。
30.根据权利要求29所述的终端,其特征在于,所述SMC消息中还携带有消息认证码MAC值。
31.根据权利要求30所述的终端,其特征在于,所述接收所述CU-CP发送的N个接入层AS安全模式命令SMC消息之后,所述处理器执行所述程序时还实现下述步骤:
当对所述MAC值校验成功时,向所述CU-CP发送安全模式完成消息。
32.一种用户平面中心节点CU-UP,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现下述步骤:
接收控制平面中心节点CU-CP发送的协商接受消息,所述协商接受消息中携带有CU-UP对应的安全算法信息。
33.根据权利要求32所述的CU-UP,其特征在于,所述接收控制平面中心节点CU-CP发送的协商接受消息之前,所述处理器执行所述程序时还实现下述步骤:
向所述CU-CP发送通知消息,所述通知消息中携带有所述CU-UP所对应的安全算法信息。
34.根据权利要求32所述的CU-UP,其特征在于,所述处理器执行所述程序时还实现下述步骤:
接收所述CU-CP发送的承载上下文设置请求消息,所述承载上下文设置请求消息中携带有所述CU-UP所对应的安全算法信息;
根据所述承载上下文设置请求消息,向所述CU-CP发送上下文设置响应消息,所述上下文设置响应消息中携带有所述CU-UP所对应的安全算法信息。
35.根据权利要求34所述的CU-UP,其特征在于,在所述向所述CU-CP发送上下文设置响应消息之后,所述处理器执行所述程序时还实现下述步骤:
接收所述CU-CP发送的承载上下文修改请求消息,所述承载上下文修改请求消息中携带或不携带所述CU-UP的安全算法信息;
向所述CU-CP发送承载上下文修改响应消息,所述承载上下文修改响应消息中携带或不携带所述CU-UP的安全算法信息。
36.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至16任一项所述的安全算法配置方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910760051.7A CN112399422B (zh) | 2019-08-16 | 2019-08-16 | 一种安全算法配置方法、控制平面中心节点及终端 |
| PCT/CN2020/102061 WO2021031746A1 (zh) | 2019-08-16 | 2020-07-15 | 一种安全算法配置方法、控制平面中心节点及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910760051.7A CN112399422B (zh) | 2019-08-16 | 2019-08-16 | 一种安全算法配置方法、控制平面中心节点及终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112399422A true CN112399422A (zh) | 2021-02-23 |
| CN112399422B CN112399422B (zh) | 2022-08-05 |
Family
ID=74602903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910760051.7A Active CN112399422B (zh) | 2019-08-16 | 2019-08-16 | 一种安全算法配置方法、控制平面中心节点及终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112399422B (zh) |
| WO (1) | WO2021031746A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024046176A1 (zh) * | 2022-08-30 | 2024-03-07 | 华为技术有限公司 | 通信方法和通信装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483516A (zh) * | 2008-01-07 | 2009-07-15 | 华为技术有限公司 | 安全控制的方法及其系统 |
| CN110035431A (zh) * | 2018-01-12 | 2019-07-19 | 中国移动通信有限公司研究院 | 信息处理方法及装置、网络实体及存储介质 |
| CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3602978B1 (en) * | 2017-03-31 | 2022-10-19 | Telefonaktiebolaget LM Ericsson (publ) | Coordinated selection of user plane functions in core and radio access networks |
| WO2018231031A2 (ko) * | 2017-06-17 | 2018-12-20 | 엘지전자 주식회사 | 무선 통신 시스템에서 cu-cp와 cu-up의 분리를 위한 보안을 지원하는 방법 및 장치 |
| CN110035430A (zh) * | 2018-01-11 | 2019-07-19 | 北京三星通信技术研究有限公司 | 密钥处理方法、控制平面节点、用户平面节点和用户设备 |
-
2019
- 2019-08-16 CN CN201910760051.7A patent/CN112399422B/zh active Active
-
2020
- 2020-07-15 WO PCT/CN2020/102061 patent/WO2021031746A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101483516A (zh) * | 2008-01-07 | 2009-07-15 | 华为技术有限公司 | 安全控制的方法及其系统 |
| CN110035431A (zh) * | 2018-01-12 | 2019-07-19 | 中国移动通信有限公司研究院 | 信息处理方法及装置、网络实体及存储介质 |
| CN110121168A (zh) * | 2018-02-06 | 2019-08-13 | 华为技术有限公司 | 安全协商方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024046176A1 (zh) * | 2022-08-30 | 2024-03-07 | 华为技术有限公司 | 通信方法和通信装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021031746A1 (zh) | 2021-02-25 |
| CN112399422B (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200296574A1 (en) | Method and apparatus for accessing cellular network for sim profile | |
| KR102162678B1 (ko) | 통신 방법 및 관련 장치 | |
| US10306549B2 (en) | Access control method and device | |
| US10516988B2 (en) | Profile processing method, profile processing apparatus, user terminal, and eUICC | |
| US11297542B2 (en) | Base station handover method, system, and computer storage medium | |
| JP2020504559A (ja) | Pduセッション管理 | |
| JP6697075B2 (ja) | 車車間・路車間通信システムにおけるデータ伝送のための方法 | |
| KR20140109928A (ko) | E-utran에 부착하는 방법 및 이동성 관리 엔티티 | |
| US20190268757A1 (en) | Subscription Information Download Method, Related Device, and System | |
| CN104144463A (zh) | Wi-Fi网络接入方法和系统 | |
| CN111757424B (zh) | 一种无线接入网的共享方法及装置 | |
| CN103002428A (zh) | 一种物联网终端网络附着的方法及系统 | |
| CN113498057A (zh) | 通信系统、方法及装置 | |
| EP3396981B1 (en) | Security parameter transmission method and related device | |
| CN114173384A (zh) | QoS控制方法、装置及处理器可读存储介质 | |
| CN114902703A (zh) | D2d通信方法、装置及系统 | |
| CN112399422B (zh) | 一种安全算法配置方法、控制平面中心节点及终端 | |
| CN109804706B (zh) | 用于建立移动终端到移动无线电通信网络的连接的方法和无线电接入网络组件 | |
| CN107257558B (zh) | 报文转发方法及装置 | |
| CN110662297A (zh) | 一种信令处理方法、节点及装置 | |
| US20230090543A1 (en) | User Plane Security Enforcement Information Determining Method, Apparatus, and System | |
| CN112788738A (zh) | 公专网融合系统的码号处理方法和装置 | |
| RU2653298C2 (ru) | Способ конфигурирования, сетевое устройство и абонентское устройство | |
| CN104967984A (zh) | 一种获取用户设备的信息的方法和系统 | |
| CN108307457B (zh) | 一种消息路由的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |