CN112738800A - 一种网络切片的数据安全传输实现方法 - Google Patents

一种网络切片的数据安全传输实现方法 Download PDF

Info

Publication number
CN112738800A
CN112738800A CN202011556913.3A CN202011556913A CN112738800A CN 112738800 A CN112738800 A CN 112738800A CN 202011556913 A CN202011556913 A CN 202011556913A CN 112738800 A CN112738800 A CN 112738800A
Authority
CN
China
Prior art keywords
network slice
key
user
nssai
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011556913.3A
Other languages
English (en)
Inventor
毛玉欣
夏磊
何文娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongying Youchuang Information Technology Co Ltd
Original Assignee
Zhongying Youchuang Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongying Youchuang Information Technology Co Ltd filed Critical Zhongying Youchuang Information Technology Co Ltd
Priority to CN202011556913.3A priority Critical patent/CN112738800A/zh
Publication of CN112738800A publication Critical patent/CN112738800A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开一种网络切片的数据安全传输实现方法,该方法包括:在用户接入认证成功之后,AUSF为UE产生网络切片锚定密钥K1;AUSF向AMF发送网络切片标识S‑NSSAI和网络切片锚定密钥K1的映射关系并保存;AUSF向UE返回需要进行用户面数据加密的网络切片标识S‑NSSAI,以及数据传输安全保护的指示;UE根据该指示为网络切片标识S‑NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S‑NSSAI和网络切片锚定密钥K1的映射关系。该方法通过为指定网络切片产生用户面安全密钥,并使用该安全密钥对该网络切片用户面传输的数据进行机密性和/或完整性保护,实现网络切片数据安全传输的目的。

Description

一种网络切片的数据安全传输实现方法
技术领域
本发明涉及5G通信安全领域,尤其是一种网络切片的数据安全传输实现方法。
背景技术
5G网络使用网络切片为各行业应用提供网络服务。网络切片是一种按需组网的方式,可以结合应用特征和应用需求在统一的基础设施上建立起虚拟的端到端网络,每个网络切片从无线接入网和承载网再到核心网进行逻辑隔离,以适配各种类型的应用。例如,可以在共享的网络基础设施上分别建立用于承载电网业务和承载一般互联网应用的网络切片。每个网络切片都是结合应用特征,按需编排网络功能构建的虚拟网络。网络切片可以按需分配调度网络资源,提高了资源使用效率,满足了各行业应用差异化的组网需求,提供更贴近应用需求的网络服务。
5G网络引入了SDN/NFV(Software Defined Network,软件定义网络)/(NetworkFunctions Virtualization,网络功能虚拟化)等新兴技术,使得网络能力能更好的使能垂直行业。各行业都在计划和研究使用网络切片为应用提供网络服务。未来网络切片将承载很多高价值应用数据及诸如隐私等敏感信息,这使得5G网络的攻击价值大增,因此网络切片安全机制必不可少,其中网络切片内的数据传输安全又是重要的方向。数据传输安全防护包括机密性(ciphering)和完整性(integrity)保护。
机密性是对数据进行加密传输,用于组织传输过程中避免数据被窃听和被非法获取;完整性是对传输数据在接收端进行完整性校验,用于阻止传输过程中数据被篡改。
5G网络传输的数据分为两大类:一类是控制面信令数据,例如用户注册到网络的信令和接入网络的切片会话信令等;另一类是用户开展业务的用户面数据,例如在线视频业务的数据。
3GPP(The 3rd Generation Partnership Project,第三代伙伴计划)R15定义的5G网络传输数据过程中安全防护机制如图1所示。UE(User Equipment,用户设备)与RAN(Radio Access Network,接入网络)之间的控制面数据和用户面数据进行机密性和完整性保护,如图1中的A和B;UE和5GC(5G Core Network,5G核心网络)之间的控制面数据进行机密性和完整性保护,如图1中的C,但尚未要求对UE和5GC之间的用户面数据传输进行机密性和完整性保护,因此,网络切片的用户面数据在UE与5GC之间是明文传输的,如图1中的D。
5G为垂直行业提供网络服务。垂直行业结合自身业务特性,存在需要对用户面数据提供UE到5GC传输路径上进行安全防护的需求,主要基于以下原因:
(1)基站配置更容易暴露,进而基站侧加密、认证和用户面的完保等配置更容易被攻击。
(2)与基站侧对比,位于核心网络侧的网络节点具备更强的计算能力,有助于减少数据交互时延,而垂直行业往往低时延体验非常重视。
网络切片运营商(为垂直行业应用提供网络服务的运营商)可能从其他运营商处租用RAN资源。从网络切片运营商/行业应用的角度看,基站并非是绝对信任的设备,因此,网络切片运营商/行业应用希望数据传输安全终结在核心网络而非接入基站侧。
针对上述安全需求,可通过以下方式达到部分安全防护的需求,但仍存在以下一些不足:
(1)UE和基站之间的防护参考图1中的A和B所示的方式,在基站边界网元和核心网络边界网元之间,即图1中的E建立加密通道,例如IPSec,对网元间传输的所有数据进行加密和完整性保护。这种方式虽然实现用户面数据在UE和5GC之间的安全保护,但是存在以下缺点:
(a)上述方案是对上述网元间传输的所有数据实施加密和完整性保护,对于不管是否有加密需求的用户和应用都要实施加密保护,这将降低处理效率,增加业务时延。
(b)基站仍然参与数据加解密和完整性校验处理过程,仍然存在上述基站非信任和基站被攻击而导致数据安全的风险。
(2)通过应用自身提供应用层加密等防护机制保证用户面数据安全,例如,某些应用程序使用SSL(Secure Socket Layer,安全套接字层)加密传输应用数据。但并非每个应用都会在应用层对用户面数据进行加密、完保和验证,上述方案对各种应用程序都是特定专有的,并不容易推广。
发明内容
针对应用业务在用户和核心网络之间传输需要安全保护的需求,以及现有方案的不足,本发明提供一种为网络切片内的用户面数据提供安全传输实现方法,通过为指定网络切片产生用户面的安全密钥,并使用该安全密钥对该网络切片用户面传输的数据进行机密性和/或完整性保护,实现网络切片数据安全传输的目的。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种网络切片的数据安全传输实现方法,该方法包括:
在用户接入认证成功之后,AUSF为用户UE产生网络切片锚定密钥K1
AUSF向AMF发送网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系,AMF保存该映射关系;
AUSF向用户UE返回需要进行用户面数据加密的网络切片标识S-NSSAI,以及数据传输安全保护的指示;
用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系。
进一步地,网络切片锚定密钥K1作为用户UE接入网络切片的密钥锚,该密钥锚根据KAUSF使用密钥产生算法产生。
进一步地,网络切片锚定密钥K1由AUSF根据UDM中的用户签约信息产生。
进一步地,UDM中的用户签约信息包含用户可接入的S-NSSAI标识的网络切片,以及需要进行用户面数据保护的网络切片。
进一步地,AMF保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当AMF收到用户UE接入S-NSSAI标识的网络切片的会话建立请求时,根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3
进一步地,AMF将用户UE接入S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3通过该网络切片内的SMF发送给UPF并保存。
进一步地,用户UE根据KAUSF使用密钥产生算法产生网络切片锚定密钥K1,该用户UE使用的密钥产生算法和AUSF产生网络切片锚定密钥K1使用的密钥产生算法相同。
进一步地,用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当用户UE接入S-NSSAI标识的网络切片,发起该S-NSSAI标识的网络切片的会话建立请求时,用户UE根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3,该用户UE使用的密钥产生算法和AMF使用的密钥产生算法相同。
进一步地,当用户UE完成接入S-NSSAI标识的网络切片的会话建立后,用户UE使用该网络切片开展应用业务,在用户UE和网络切片内的UPF之间传输的应用业务的数据流使用该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3进行传输安全保护;该传输安全保护包括使用用户面机密性密钥K2进行数据加密传输,使用用户面完整性密钥K3进行数据传输过程中的完整性保护。
有益效果:
通过本发明可以实现网络切片级的用户面数据安全传输。由于用户UE可以同时接入多个网络切片,使用本发明可以对用户UE接入的网络切片的用户面数据传输进行按需防护,即可以对用户UE接入其中一个网络切片的用户面数据进行加密和/或完整性保护,而对用户UE接入其他网络切片的用户面数据不进行传输保护,避免了使用传统技术的不足,提高了数据安全传输保护的灵活性以及网络处理效率。
附图说明
图1是3GPP R15定义的5G网络传输数据过程中安全防护机制示意图;
图2是本发明的网络切片的数据安全传输实现的流程示意图;
图3是本发明实施例一的需要用户面数据安全保护的网络切片产生用户面数据安全保护的锚定密钥K1实现的流程示意图;
图4是本发明实施例二的用户UE接入网络切片时为用户面数据安全保护产生密钥的过程示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种网络切片的数据安全传输实现方法,可以实现针对有安全传输要求的网络切片,在网络切片内提供用户面数据传输的安全保护,对于安全要求较低的网络切片,可以按照现有实现技术进行数据传输。例如,对于承载电力业务的网络切片,可以使用本发明为承载电力业务提供网络切片内的用户面数据安全防护,而对于承载普通互联网业务的网络切片,可以使用现有实现技术进行数据传输,以及用户面仍然采用明文传输数据。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
本发明提供了一种网络切片的数据安全传输实现方法,该方法包括:
在用户接入认证成功之后,AUSF(Authentication Server Function,认证服务器功能)为用户UE产生网络切片锚定密钥K1
网络切片锚定密钥K1作为用户UE接入网络切片的密钥锚,该密钥锚根据KAUSF使用密钥产生算法产生;
网络切片锚定密钥K1由AUSF根据UDM(Unified Data Management,统一数据管理)中的用户签约信息产生;
UDM中的用户签约信息包含用户可接入的S-NSSAI标识的网络切片,以及需要进行用户面数据保护的网络切片;
AUSF向AMF(Access and Mobility Management Function,接入和移动性管理功能)发送网络切片标识S-NSSAI(Single Network Slice Selection AssistanceInformation,单个网络切片选择辅助信息)和网络切片锚定密钥K1的映射关系,AMF保存该映射关系;
AMF保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当AMF收到用户UE接入S-NSSAI标识的网络切片的会话建立请求时,根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3
AMF将用户UE接入S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3通过该网络切片内的SMF(Session Management Function,会话管理功能)发送给UPF(User Plane Function用户面功能)并保存;
AUSF向用户UE返回需要进行用户面数据加密的网络切片标识S-NSSAI,以及数据传输安全保护的指示;
用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系;
用户UE根据KAUSF使用密钥产生算法产生网络切片锚定密钥K1,该用户UE使用的密钥产生算法和AUSF产生网络切片锚定密钥K1使用的密钥产生算法相同;
用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当用户UE接入S-NSSAI标识的网络切片,发起该S-NSSAI标识的网络切片的会话建立请求时,用户UE根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3,该用户UE使用的密钥产生算法和AMF使用的密钥产生算法相同;
当用户UE完成接入S-NSSAI标识的网络切片的会话建立后,用户UE使用该网络切片开展应用业务,在用户UE和网络切片内的UPF之间传输的应用业务的数据流使用该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3进行传输安全保护;该传输安全保护包括使用用户面机密性密钥K2进行数据加密传输,使用用户面完整性密钥K3进行数据传输过程中的完整性保护。
图2是本发明的网络切片的数据安全传输实现的流程示意图。如图2所示,实现过程如下:
1、用户UE接入5G网络,发起初始注册请求,请求中携带用户标识SUCI(Subscription Concealed Identifier,用户隐藏标识),用户UE支持的S-NSSAI标识等信息。AMF接受用户UE注册请求之后,向AUSF发起认证请求。AUSF接收认证请求之后,如果没有用户签约信息(用户标识),则向UDM请求用户签约信息,该请求消息中包含用户标识SUCI。UDM执行SUCI向SUPI(Subscription Permanent Identifier,用户永久标识)的转换,并将对应的用户签约信息返回给AUSF。该用户签约信息中包含允许该用户接入的网络切片(S-NSSAI标识)以及哪些S-NSSAI标识对应的网络切片需要进行用户面数据安全保护的指示。UDM为用户的接入认证请求产生认证向量并和用户签约信息一起返回给AUSF。AUSF接收用户签约信息和认证向量,并和AMF以及用户UE完成用户UE接入网络的双向认证过程。
2、用户UE接入认证成功之后,AUSF为该用户UE产生锚定密钥KAUSF,并且根据UDM返回的用户面数据安全保护的指示,为对应的S-NSSAI标识,根据KAUSF使用密钥产生算法产生用户面数据安全保护的锚定密钥K1。AUSF保存<S-NSSAI,K1>的映射关系,表示需要为用户UE接入S-NSSAI对应的网络切片进行用户面数据安全保护。
3、AUSF将该映射关系<S-NSSAI,K1>发送给AMF。
4、AMF保存该用户接入网络的映射关系<S-NSSAI,K1>。
5、AUSF在保存该用户接入网络的映射关系<S-NSSAI,K1>,并完成其他注册过程之后,向用户UE返回认证成功的响应消息,并在响应消息中包含需要建立用户面数据安全保护的S-NSSAI对应的建立用户面数据安全保护的指示。
6、用户UE接收到网络返回的认证成功的响应消息,产生锚定密钥KAUSF,并根据步骤5中的指示,利用KAUSF和步骤2中相同的密钥产生算法,为对应的S-NSSAI标识产生用户面数据安全保护的锚定密钥K1。相同的KAUSF和密钥产生算法以及其他密钥输入材料保证了用户UE和AUSF产生的锚定密钥K1相同。用户UE保存<S-NSSAI,K1>映射关系。
7、用户UE成功接入5G网络,完成网络注册之后。用户UE可以根据网络返回的授权S-NSSAI标识请求接入S-NSSAI标识对应的网络切片。用户UE向AMF发起接入网络切片过程中的会话建立请求,请求消息中包含用户UE请求接入网络切片对应的S-NSSAI标识。
8、用户UE同时根据步骤6中保存的映射关系<S-NSSAI,K1>,判断需要为请求接入的网络切片建立用户面数据安全保护密钥,用户UE根据映射关系<S-NSSAI,K1>,查询该S-NSSAI标识对应的锚定密钥K1,并根据锚定密钥K1使用密钥产生算法为该请求接入的网络切片产生最终用于用户面数据安全保护的密钥K2(机密性保护)和/或密钥K3(完整性保护)。用户UE保存<S-NSSAI,K2,K3>的映射关系。
9、AMF接收用户UE的会话建立请求,根据步骤4中保存的映射关系<S-NSSAI,K1>,获取需要为用户UE请求接入的S-NSSAI标识需要进行用户面数据安全保护,AMF根据锚定密钥K1使用步骤8中与用户UE使用的相同的密钥产生算法为该S-NSSAI标识产生用户面数据安全保护的密钥K2(机密性保护)和/或密钥K3(完整性保护)。AMF保存<S-NSSAI,K2,K3>的映射关系。
10、AMF完成会话建立过程,包括AMF根据S-NSSAI标识发现SMF,并与SMF之间建立会话。SMF根据S-NSSAI标识发现UPF,并与UPF之间建立会话。AMF将<S-NSSAI,K2,K3>映射关系通过SMF发送给UPF。
11、UPF保存该<S-NSSAI,K2,K3>映射关系,并建立K2,K3和网络切片会话之间的绑定,即当数据使用该网络切片会话进行传输时,并采用密钥K2(机密性保护)和/或密钥K3(完整性保护)进行数据传输的安全保护。
12、用户UE完成接入网络切片的会话建立过程之后,并可以使用该网络切片会话开展应用业务。当用户UE开展的应用业务的数据在用户UE和该网络切片的UPF之间传输时,使用密钥K2(机密性保护)和/或密钥K3(完整性保护)进行数据传输的安全保护,即当该传输数据需要使用加密传输时,使用密钥K2(机密性保护)进行加解密,该传输数据需要使用完整性保护时,使用密钥K3(完整性保护)进行完整性校验。
通过上述过程,可以保证应用业务数据在S-NSSAI标识的网络切片中传输时的安全性。而对于没有用户面数据安全保护要求的S-NSSAI标识,则用户UE和UPF之间不会产生对应的保护密钥,相应的,在其网络切片内传输的用户面数据不会进行传输安全保护。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述网络切片的数据安全传输实现方法进行更为清楚的解释,下面结合两个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
实施例一:
本实施例是对需要用户面数据安全保护的网络切片产生用户面数据安全保护的锚定密钥K1实现的说明。该过程结合3GPP定义的用户UE发起的初始注册过程,参考3GPP23.502定义的用户UE注册流程实现。实现步骤如图3所示:
1、用户UE接入5G网络,发起初始注册请求,请求中携带用户标识SUCI,用户UE支持的S-NSSAI标识等信息。
2、AMF接受用户UE注册请求之后,向AUSF发起认证请求。AUSF接收认证请求之后,如果没有该用户的签约信息,则向UDM请求用户签约信息,该请求消息中包含用户标识SUCI。同时AUSF需要向UDM请求执行的认证方法。
3、UDM执行SUCI向SUPI的转换,并将对应的用户签约信息返回给AUSF。该签约信息中包含允许该用户接入的网络切片(S-NSSAI标识)以及哪些S-NSSAI标识对应的网络切片需要进行用户面数据安全保护的指示。UDM还需要为该用户UE的接入选择认证方法。UDM为用户UE的接入认证请求产生认证向量。UDM将用户签约信息、执行的认证方法和认证向量,以及执行用户面数据安全保护的指示一起返回给AUSF。
4、AUSF接收用户签约信息和认证向量,并和AMF以及用户UE之间按照UDM选择的认证方式完成用户UE接入网络的双向认证过程。
5、用户UE接入认证成功之后,AUSF为该用户产生锚定密钥KAUSF,并且根据UDM返回的用户面数据安全保护的指示,为对应的S-NSSAI标识,根据KAUSF使用密钥产生算法产生用户面数据安全保护的锚定密钥K1。AUSF保存<S-NSSAI,K1>的映射关系,表示需要为S-NSSAI标识对应的网络切片进行用户面数据安全保护。
6、AUSF将该映射关系<S-NSSAI,K1>发送给AMF。
7、AMF保存该用户接入网络的映射关系<S-NSSAI,K1>。
8、用户UE和网络之间完成其他注册过程,参考3GPP 23.502定义的用户注册流程对应的过程。
9、AUSF在保存该用户接入网络的映射关系,并完成其他注册过程之后,向用户UE返回认证成功的响应消息,并在响应消息中包含需要建立用户面数据安全保护的S-NSSAI标识对应的建立用户面数据安全保护的指示。
10、用户UE接收到网络返回的认证成功的响应消息,产生锚定密钥KAUSF,并根据步骤9中的指示,利用KAUSF和步骤5中相同的密钥产生算法,为对应的S-NSSAI标识产生用户面数据安全保护的锚定密钥K1。相同的KAUSF和密钥产生算法以及其他密钥输入材料保证了用户UE和AUSF产生的锚定密钥K1相同。用户UE保存<S-NSSAI,K1>映射关系。
通过在用户UE接入网络,发起注册过程中,AUSF根据UDM的指示,要求为S-NSSAI标识对应的网络切片建立用户面数据安全保护,AUSF在认证成功后产生锚定密钥KAUSF的基础上,为该S-NSSAI标识对应的网络切片产生用户面数据安全保护的锚定密钥K1。同时AUSF通知用户UE也产生对应的密钥。上述方法保证了后续用户UE在接入网络切片之后,可以根据用户面数据安全保护的锚定密钥K1为业务数据在该网络切片内的传输产生用户面安全保护密钥,从而保证网络切片内用户面数据传输的安全性。
实施例二:
本实施例是用户UE接入网络切片时为用户面数据安全保护产生密钥的过程。通过结合用户UE接入网络切片,发起PDU(Protocol Data Unit,协议数据单元)会话建立过程,实现上述过程。PDU会话建立过程可参考3GPP 23.502,实现步骤如图4所示:
1、用户UE请求接入S-NSSAI标识的网络切片。用户UE向AMF发起PDU会话建立请求。请求消息中包含S-NSSAI标识,PDU会话标识和N1接口会话管理消息等。
2、根据实施例一中用户UE保存的<S-NSSAI,K1>的映射关系,用户UE需要S-NSSAI标识对应的网络切片产生用户面数据安全保护密钥,用户UE根据锚定密钥K1和密钥产生算法产生用户面数据机密性密钥K2和/或完整性密钥K3。用户UE保存<S-NSSAI,K2,K3>的映射关系。
AMF接收用户UE发送的PDU会话建立请求之后,根据S-NSSAI标识等信息为网络切片选择对应的SMF。
3、AMF根据实施例一中保存的<S-NSSAI,K1>映射关系,判断S-NSSAI标识对应的网络切片需要实施用户面数据传输安全保护,AMF根据锚定密钥K1使用步骤2中与用户UE相同的密钥产生算法为该S-NSSAI标识产生对应的用于用户面数据机密性密钥K2和完整性密钥K3。AMF保存<S-NSSAI,K2,K3>的映射关系。
4、AMF根据步骤2中选择的SMF,发起PDU会话上下文建立请求,请求消息中包含S-NSSAI标识,SUPI,PDU会话标识,AMF标识和<S-NSSAI,K2,K3>映射关系等信息。
5、SMF保存<S-NSSAI,K2,K3>映射关系等信息,并建立PDU会话上下文。
6、SMF向AMF返回PDU会话上下文建立成功的响应。
7、如果该PDU会话建立过程需要进行授权,则需要SMF触发为PDU会话建立过程进行二次认证和授权过程,相关过程参考3GPP23.502PDU会话建立过程的相关描述。
8、SMF根据S-NSSAI标识为PDU会话执行UPF选择。
9、SMF向UPF发起N4会话建立过程,请求消息中包含隧道信息,QoS(Quality ofService,服务质量)策略以及<S-NSSAI,K2,K3>映射关系信息。
10、UPF保存<S-NSSAI,K2,K3>映射关系信息,并建立K2,K3和该PDU会话的绑定。
11、UPF向SMF返回N4会话建立成功的响应。
12、SMF向AMF发送N1和N2接口相关信息,并向AMF订阅用户UE移动性相关事件等。
13、AMF向RAN发送N2 PDU会话建立请求,请求消息中包含N2接口所需的信息。
14、RAN和用户UE进行信令交互,将从SMF接收的接入网侧相关信令信息发送给用户UE。
15、RAN向AMF返回N2 PDU会话建立响应。
16、用户UE和网络之间完成PDU会话建立过程的其他消息交互,具体参考3GPP33.502中的PDU会话建立过程描述。
17、经过执行步骤2和步骤10,用户UE和UPF上分别保存有S-NSSAI标识的网络切片用户面数据安全传输所需的密钥K2和/或K3
用户UE完成接入网络切片所需的PDU会话建立过程。用户UE可以使用该网络切片开展应用业务。当用户UE开展的应用业务的数据在用户UE和该网络切片的UPF之间传输时,使用密钥K2和/或K3进行数据传输的安全保护,即当该传输数据需要使用加密传输时,使用密钥K2进行加解密,该传输数据需要使用完整性保护时,使用密钥K3进行完整性校验。
通过上述PDU会话建立过程,实现用户UE接入网络切片,并使用该网络切片承载用户UE开展的相关应用业务。对应的应用业务数据在传输过程中,用户UE和UPF分别使用密钥K2和/或K3对该数据流进行加密性和/或完整性保护,实现了应用业务数据在网络切片内部传输过程中的安全性。
本发明提出的网络切片的数据安全传输实现方法及装置,可以实现网络切片级的用户面数据安全传输。由于用户UE可以同时接入多个网络切片,避免了使用传统技术对用户UE接入的所有网络切片进行用户面数据保护,或者对用户UE接入的所有网络切片不进行用户面数据保护,提高了数据安全传输保护的灵活性。还可以实现对用户开展的应用业务的数据传输进行按需防护的目的,弥补了现有技术的不足,提高了用户数据的安全性以及网络处理效率。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。

Claims (9)

1.一种网络切片的数据安全传输实现方法,其特征在于,该方法包括:
在用户接入认证成功之后,AUSF为用户UE产生网络切片锚定密钥K1
AUSF向AMF发送网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系,AMF保存该映射关系;
AUSF向用户UE返回需要进行用户面数据加密的网络切片标识S-NSSAI,以及数据传输安全保护的指示;
用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系。
2.根据权利要求1所述的网络切片的数据安全传输实现方法,其特征在于,所述网络切片锚定密钥K1作为用户UE接入网络切片的密钥锚,该密钥锚根据KAUSF使用密钥产生算法产生。
3.根据权利要求1或2所述的网络切片的数据安全传输实现方法,其特征在于,所述网络切片锚定密钥K1由AUSF根据UDM中的用户签约信息产生。
4.根据权利要求3所述的网络切片的数据安全传输实现方法,其特征在于,所述UDM中的用户签约信息包含用户可接入的S-NSSAI标识的网络切片,以及需要进行用户面数据保护的网络切片。
5.根据权利要求1所述的网络切片的数据安全传输实现方法,其特征在于,所述AMF保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当AMF收到用户UE接入S-NSSAI标识的网络切片的会话建立请求时,根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3
6.根据权利要求5所述的网络切片的数据安全传输实现方法,其特征在于,所述AMF将用户UE接入S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3通过该网络切片内的SMF发送给UPF并保存。
7.根据权利要求1所述的网络切片的数据安全传输实现方法,其特征在于,所述用户UE根据KAUSF使用密钥产生算法产生网络切片锚定密钥K1,该用户UE使用的密钥产生算法和AUSF产生网络切片锚定密钥K1使用的密钥产生算法相同。
8.根据权利要求1所述的网络切片的数据安全传输实现方法,其特征在于,所述用户UE根据数据传输安全保护的指示为网络切片标识S-NSSAI产生网络切片锚定密钥K1,并保存网络切片标识S-NSSAI和网络切片锚定密钥K1的映射关系之后,当用户UE接入S-NSSAI标识的网络切片,发起该S-NSSAI标识的网络切片的会话建立请求时,用户UE根据网络切片锚定密钥K1使用密钥产生算法产生该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3,该用户UE使用的密钥产生算法和AMF使用的密钥产生算法相同。
9.根据权利要求8所述的网络切片的数据安全传输实现方法,其特征在于,当所述用户UE完成接入S-NSSAI标识的网络切片的会话建立后,用户UE使用该网络切片开展应用业务,在用户UE和网络切片内的UPF之间传输的应用业务的数据流使用该S-NSSAI标识的网络切片的用户面机密性密钥K2和/或用户面完整性密钥K3进行传输安全保护;该传输安全保护包括使用用户面机密性密钥K2进行数据加密传输,使用用户面完整性密钥K3进行数据传输过程中的完整性保护。
CN202011556913.3A 2020-12-25 2020-12-25 一种网络切片的数据安全传输实现方法 Pending CN112738800A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011556913.3A CN112738800A (zh) 2020-12-25 2020-12-25 一种网络切片的数据安全传输实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011556913.3A CN112738800A (zh) 2020-12-25 2020-12-25 一种网络切片的数据安全传输实现方法

Publications (1)

Publication Number Publication Date
CN112738800A true CN112738800A (zh) 2021-04-30

Family

ID=75615763

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011556913.3A Pending CN112738800A (zh) 2020-12-25 2020-12-25 一种网络切片的数据安全传输实现方法

Country Status (1)

Country Link
CN (1) CN112738800A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113329414A (zh) * 2021-06-07 2021-08-31 深圳聚创致远科技有限公司 一种基于强化学习的智能电网切片分配方法
CN113596823A (zh) * 2021-07-27 2021-11-02 广州爱浦路网络技术有限公司 切片网络保护方法及装置
CN114915972A (zh) * 2022-05-16 2022-08-16 宁波永耀电力投资集团有限公司 一种网络切片安全架构及信任度量方法
WO2023125675A1 (zh) * 2021-12-30 2023-07-06 天翼物联科技有限公司 一种用于网络切片的用户面数据完整性保护方法和系统
CN114915972B (zh) * 2022-05-16 2024-10-22 宁波永耀电力投资集团有限公司 一种网络切片安全架构及信任度量方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统
CN108810884A (zh) * 2017-05-06 2018-11-13 华为技术有限公司 密钥配置方法、装置以及系统
CN109981258A (zh) * 2017-12-27 2019-07-05 电信科学技术研究院 一种密钥生成方法及通信设备
CN111865872A (zh) * 2019-04-26 2020-10-30 大唐移动通信设备有限公司 一种网络切片内终端安全策略实现方法及设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统
CN108810884A (zh) * 2017-05-06 2018-11-13 华为技术有限公司 密钥配置方法、装置以及系统
CN110574406A (zh) * 2017-05-06 2019-12-13 华为技术有限公司 密钥配置方法、装置以及系统
CN109981258A (zh) * 2017-12-27 2019-07-05 电信科学技术研究院 一种密钥生成方法及通信设备
CN111865872A (zh) * 2019-04-26 2020-10-30 大唐移动通信设备有限公司 一种网络切片内终端安全策略实现方法及设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113329414A (zh) * 2021-06-07 2021-08-31 深圳聚创致远科技有限公司 一种基于强化学习的智能电网切片分配方法
CN113596823A (zh) * 2021-07-27 2021-11-02 广州爱浦路网络技术有限公司 切片网络保护方法及装置
CN113596823B (zh) * 2021-07-27 2022-10-11 广州爱浦路网络技术有限公司 切片网络保护方法及装置
WO2023125675A1 (zh) * 2021-12-30 2023-07-06 天翼物联科技有限公司 一种用于网络切片的用户面数据完整性保护方法和系统
CN114915972A (zh) * 2022-05-16 2022-08-16 宁波永耀电力投资集团有限公司 一种网络切片安全架构及信任度量方法
CN114915972B (zh) * 2022-05-16 2024-10-22 宁波永耀电力投资集团有限公司 一种网络切片安全架构及信任度量方法

Similar Documents

Publication Publication Date Title
US20210297410A1 (en) Mec platform deployment method and apparatus
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
CN109905350B (zh) 一种数据传输方法及系统
WO2017190616A1 (zh) 无线网络连接方法、无线接入点、服务器及系统
US11134069B2 (en) Method for authorizing access and apparatus using the method
US11303431B2 (en) Method and system for performing SSL handshake
CN107094127B (zh) 安全信息的处理方法及装置、获取方法及装置
EP1713289A1 (en) A method for establishing security association between the roaming subscriber and the server of the visited network
WO2017020452A1 (zh) 认证方法和认证系统
CN112738800A (zh) 一种网络切片的数据安全传输实现方法
WO2019041802A1 (zh) 基于服务化架构的发现方法及装置
JP2018519706A (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
CN113556227B (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
JP2018532325A (ja) ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム
WO2020020007A1 (zh) 网络接入方法、装置、终端、基站和可读存储介质
WO2019206286A1 (zh) 一种网络切片接入的方法、装置和系统
WO2008006312A1 (en) A realizing method for push service of gaa and a device
JP2020533853A (ja) デジタル証明書を管理するための方法および装置
WO2021244509A1 (zh) 数据传输方法和系统、电子设备及计算机可读存储介质
WO2021244569A1 (zh) 数据传输方法、系统、电子设备、存储介质
CN109314693A (zh) 验证密钥请求方的方法和设备
US8793494B2 (en) Method and apparatus for recovering sessions
CN113302958B (zh) 一种通信方法及装置
CN109561431B (zh) 基于多口令身份鉴别的wlan接入访问控制系统及方法
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210430

RJ01 Rejection of invention patent application after publication