CN112838925A - 数据传输方法、装置和系统、电子设备、存储介质 - Google Patents
数据传输方法、装置和系统、电子设备、存储介质 Download PDFInfo
- Publication number
- CN112838925A CN112838925A CN202010497412.6A CN202010497412A CN112838925A CN 112838925 A CN112838925 A CN 112838925A CN 202010497412 A CN202010497412 A CN 202010497412A CN 112838925 A CN112838925 A CN 112838925A
- Authority
- CN
- China
- Prior art keywords
- user plane
- key
- target user
- functional entity
- plane data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 116
- 230000005540 biological transmission Effects 0.000 title claims abstract description 82
- 238000012545 processing Methods 0.000 claims description 98
- 238000012795 verification Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 53
- 238000005538 encapsulation Methods 0.000 description 36
- 230000008569 process Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 14
- 238000006243 chemical reaction Methods 0.000 description 10
- 238000007726 management method Methods 0.000 description 9
- 102100022734 Acyl carrier protein, mitochondrial Human genes 0.000 description 8
- 101000678845 Homo sapiens Acyl carrier protein, mitochondrial Proteins 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004873 anchoring Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 235000014676 Phragmites communis Nutrition 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了一种数据传输方法,应用于第一控制面功能实体,该方法包括:确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。本公开还提供了一种数据传输装置和系统、电子设备、计算机可读存储介质。
Description
技术领域
本公开实施例涉及通信安全领域,特别涉及数据传输方法、装置和系统、电子设备、计算机可读存储介质。
背景技术
目前仅对用户设备(UE,User Equipment)与接入网(RAN,Radio Access Network)之间的用户面数据传输进行机密性和/或完整性保护,而未对RAN和核心网络之间的用户面数据传输进行机密性和/或完整性保护,某些场景下需要对用户设备(UE,User Equipment)和核心网络之间的用户面数据传输进行机密性和/或完整性保护,而上述保护方式无法满足这些场景的保护需求。
发明内容
本公开实施例提供一种数据传输方法、装置和系统、电子设备、计算机可读介质。
第一方面,本公开实施例提供一种数据传输方法,应用于第一控制面功能实体,该方法包括:
确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;
向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
第二方面,本公开实施例提供一种数据传输方法,应用于第二控制面功能实体,该方法包括:
接收第一控制面功能实体发送的第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
生成所述第一密钥,将所述第一密钥发送给用户面功能实体。
第三方面,本公开实施例提供一种数据传输方法,应用于用户面功能实体,该方法包括:
获取第一密钥,根据所述第一密钥生成第二密钥;所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
第四方面,本公开实施例提供一种数据传输方法,应用于目标用户设备,该方法包括:
接收第一控制面功能实体发送的第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
第五方面,本公开实施例提供一种电子设备,其包括:
至少一个处理器;
存储器,其上存储有至少一个程序,当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器上述任意一种数据传输方法。
第六方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任意一种数据传输方法。
第七方面,本公开实施例提供一种数据传输系统,包括:
第一控制面功能实体,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护;
目标用户设备,用于接收第一控制面功能实体发送的第一通知消息。
本公开实施例提供的数据传输方法,由第一控制面功能实体或第二控制面功能实体确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,然后通知目标用户设备,使得目标用户设备和用户面功能实体对目标用户面数据进行安全保护,实现了在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护。
附图说明
图1为相关技术中第三代伙伴计划(3GPP,The 3rd Generation PartnershipProject)R15定义的5G网络传输数据过程中安全保护机制的示意图;
图2为本公开实施例提供的一种数据传输方法的流程图;
图3为本公开实施例提供的另一种数据传输方法的流程图;
图4为本公开实施例提供的另一种数据传输方法的流程图;
图5为本公开实施例提供的另一种数据传输方法的流程图;
图6为本公开实施例的示例1提供的数据传输方法的流程图;
图7为本公开实施例的示例2提供的数据传输方法的流程图;
图8为本公开实施例的示例3提供的数据传输方法的流程图;
图9为本公开实施例的示例4提供的协议栈结构示意图;
图10为本公开实施例提供的一种数据传输装置的组成框图;
图11为本公开实施例提供的另一种数据传输装置的组成框图;
图12为本公开实施例提供的另一种数据传输装置的组成框图;
图13为本公开实施例提供的另一种数据传输装置的组成框图;
图14为本公开实施例提供的一种数据传输系统的组成框图。
具体实施方式
为使本领域的技术人员更好地理解本公开的技术方案,下面结合附图对本公开提供的数据传输方法、装置和系统、电子设备、计算机可读存储介质进行详细描述。
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
在不冲突的情况下,本公开各实施例及实施例中的各特征可相互组合。
如本文所使用的,术语“和/或”包括至少一个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加至少一个其它特征、整体、步骤、操作、元件、组件和/或其群组。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
传统通信网络受制于软件和硬件深度绑定,网络性能单一,组网灵活性差,扩展受限。组建一张网络难以同时适应不同应用对带宽、时延、可靠性等网络服务性能的差异化要求。5G对网络架构进行了深度重构,基于虚拟化和软件定义技术,引入服务化架构,在共享统一硬件平台上,根据应用需求,按需构建虚拟化网络功能,通过构建网络切片以提供更贴合应用需求的网络服务性能,例如,对于终端位置固定的物联网应用,在构建为其提供网络服务的网络切片时无需引入移动性管理功能;对于低时延应用,在构建网络切片时需要将用户面功能(UPF,User Plane Function)下沉至网络边缘部署,以缩短数据传输时延满足应用对网络时延的要求。也就是说,5G借助于虚拟化、网络切片等新兴技术可以为不同的应用提供不同特性的网络服务。
5G网络在为各行业应用提供网络服务时,承载各种高价值应用数据及诸如隐私等敏感数据。对网络实施攻击以获取或篡改数据的攻击行为从未停止,并且随着未来5G网络承载业务数据的不断丰富,攻击手段还在不断发展演进。因此,对数据在网络传输过程中的完整性(Integrity)、机密性(Ciphering)保护等防护措施必不可少。
机密性是指对数据进行加密传输,从而防止传输过程中数据被窃听、被非法获取;完整性是指对传输数据在发送端进行完整性处理在接收端进行完整性校验,从而防止传输过程中数据被篡改。
5G网络传输的数据分为两大类:一类是控制面信令数据,例如用户注册到网络的信令、接入网络的切片会话信令等;另一类是用户开展业务的用户面数据,例如在线视频业务的数据。
图1为第三代伙伴计划(3GPP,The 3rd Generation Partnership Project)R15定义的5G网络传输数据过程中安全保护机制的示意图。如图1所示,图1中的A表示对用户设备(UE,User Equipment)与接入网(RAN,Radio Access Network)之间的控制面数据进行机密性和/或完整性保护,图1中的B表示对UE与RAN之间的用户面数据进行机密性和/或完整性保护;图1中的C表示对UE和5G核心网络(5GC,5G Core network)之间的控制面数据进行机密性和/或完整性保护,但尚未要求对UE和5GC之间的用户面数据传输进行机密性和/或完整性保护,用户面数据在RAN与5GC之间是明文传输的,如图1中的D。
5G为垂直行业提供网络服务时,基于垂直行业自身的业务特性,需要对用户面数据提供UE到5GC传输路径上进行安全保护的需求,主要基于下列原因:
(1)接入网功能实体配置更容易暴露,进而接入网功能实体侧加密、认证和用户面的完整性保护等配置更容易被攻击。
(2)与接入网功能实体侧对比,位于核心网络侧的网络节点具备更强的计算能力,有助于减少数据交互时延,而垂直行业往往对低时延体验非常重视。
(3)网络切片运营商(为垂直行业应用提供网络服务的运营商)可能从其他运营商处租用RAN资源。从网络切片运营商或行业应用的角度看,接入网功能实体并非绝对信任的设备,因此网络切片运营商或行业应用希望数据传输安全终结在核心网络而非接入网的接入网功能实体侧。
针对上述安全需求,可通过如下方式达到部分安全保护的需求,但仍存在一些不足:
(1)UE和接入网功能实体之间的防护参考图1中的B所示的方式,在接入网边界网元和核心网络边界网元之间,即图1中的D建立加密通道,例如互联网安全协议(IPSec,Intemet Protocol Security),对接入网边界网元和核心网络边界网元之间传输的所有数据进行加密和/或完整性保护。这种方式虽然实现用户面数据在UE和5GC之间的安全保护,但是存在如下缺点:
1)方案是对接入网边界网元和核心网络边界网元之间传输的所有数据实施加密和/或完整性保护,对于不管是否有加密需求的数据都要实施加密保护,这将降低处理效率,增加业务时延。
2)接入网功能实体仍然参与数据加解密和/或完整性校验处理过程,仍然存在上述接入网功能实体非信任、接入网功能实体被攻击而导致数据安全的风险。
3)通过应用自身提供应用层加密等防护机制保证用户面数据安全,例如,某些应用程序使用安全套接字层(SSL,Secure Sockets Layer)加密传输应用数据。但并非每个应用都具有在应用层对用户面数据进行加密、完整性保护和验证的功能,上述解决方案对各种应用程序都是特定专有的,并不容易推广。
图2为本公开实施例的一种数据传输方法的流程图。
第一方面,参照图2,本公开实施例提供一种数据传输方法,应用于第一控制面功能实体,该方法包括:
步骤200、确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。
在一些示例性实施例中,确定出目标UE的所有目标用户面数据均不需要在目标UE与用户面功能实体之间进行安全保护,结束本流程。
在一些示例性实施例中,可以根据用户签约信息确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。
在另一些示例性实施例中,也可以根据是否接收第二控制面功能实体发送的第一通知消息确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。具体的,接收第二网络控制功能实体发送的第一通知消息,说明需要在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护;未接收第二网络控制功能实体发送的第一通知消息,说明不需要在目标用户设备和用户面功能实体之间对用户面数据进行簧全保护。
当然,还有很多其他的方式,具体的确定策略不用于限定本公开实施例的保护范围,这里不再赘述。
在一些示例性实施例中,可以在目标UE向核心网络的注册过程中确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,例如,在鉴权认证过程完成后,确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。这种情况下,目标用户面数据为目标UE和用户面功能实体之间传输的所有用户面数据。
在另一些示例性实施例中,可以在PDU会话建立过程中确定是否需要在用户设备和核心网络之间针对用户面数据进行安全保护,例如,在接收到来自SMF实体的PDU会话上下文创建响应后,确定是否需要在用户设备和核心网络之间针对用户面数据进行安全保护。这种情况下,确定是否需要在用户设备和核心网络之间针对PDU会话对应的用户面数据进行安全保护。
步骤201、向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
在一些示例性实施例中,可以在目标UE向核心网络的注册过程中向目标UE发送第一通知消息,例如,在鉴权认证过程完成后,向目标UE发送第一通知消息。目标UE接收到该第一通知消息后,确认需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。这种情况下,目标用户面数据为目标UE与用户面功能实体之间传输的所有用户面数据。
在另一些示例性实施例中,可以在PDU会话建立过程中向目标UE发送第一通知消息,例如,在接收到来自SMF实体的PDU会话上下文创建响应后,向目标UE发送第一通知消息。这种情况下,目标用户面数据为目标UE通过PDU会话与用户面功能实体传输的用户面数据。
也就是说,对于某些UE,在确定需要在用户设备与用户面功能实体之间进行安全保护的目标用户面数据以后,向用户设备发送第一通知消息;对于某些UE,在确定UE的所有用户面数据均不需要在用户设备与用户面功能实体之间进行安全保护以后,不向UE发送第一通知消息。从而实现了不是对所有UE的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对部分UE的用户面数据在UE和用户面功能实体之间进行安全保护,具体对哪些UE的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
或者,对于某一个UE的某些PDU会话,在确定需要在用户设备与用户面功能实体之间进行安全保护的目标用户面数据以后,向用户设备发送第一通知消息;对于该UE的另一些PDU会话,在确定出通过PDU会话传输的所有用户面数据均不需要在用户设备与用户面功能实体之间进行安全保护以后,不向UE发送第一通知消息。从而实现了不是对UE的所有PDU会话对应的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对UE的部分PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护,具体对UE的哪些PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
在一些示例性实施例中,确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据之后,该方法还包括:
生成第一密钥,向所述用户面功能实体发送所述第一密钥;其中,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,可以先生成锚定密钥,然后根据锚定密钥生成第一密钥。第一密钥用于密钥隔离,防止一个密钥泄露而影响到其他密钥的安全,提高了安全性。
在一些示例性实施例中,第二密钥包括加密密钥。在另一些示例性实施例中,第二密钥包括完整性密钥。在另一些示例性实施例中,第二密钥包括加密密钥和完整性密钥。
在一些示例性实施例中,加密密钥用于UE和核心用户面功能实体之间针对用户面数据的机密性保护,完整性密钥用于UE和核心用户面功能实体之间针对用户面数据的完整性保护。
在一些示例性实施例中,第一密钥为目标UE对应的第一密钥,第二密钥为目标UE对应的第二密钥,不同UE对应的第一密钥可以相同,也可以不同,不同目标UE对应的第二密钥可以相同,也可以不同。
在另一些示例性实施例中,第一密钥为目标UE的协议数据单元(PDU,ProtocolData Unit)会话对应的第一密钥,具体可以一个PDU会话对应一个第一密钥,也可以两个或两个以上PDU会话对应一个第一密钥;第二密钥为UE的协议数据单元(PDU,Protocol DataUnit)会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥。
在一些示例性实施例中,确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据之后,该方法还包括:
向第二控制面功能实体发送第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
本公开实施例提供的数据传输方法,由第一控制面功能实体或第二控制面功能实体确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,然后通知目标用户设备,使得目标用户设备和用户面功能实体对目标用户面数据进行安全保护,实现了在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护。
图3为本公开实施例的另一种数据传输方法的流程图。
第二方面,参照图3,本公开实施例提供另一种数据传输方法,应用于第二控制面功能实体,该方法包括:
步骤300、接收第一控制面功能实体发送的第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,第二密钥包括加密密钥。在另一些示例性实施例中,第二密钥包括完整性密钥。在另一些示例性实施例中,第二密钥包括加密密钥和完整性密钥。
在一些示例性实施例中,加密密钥用于UE和核心用户面功能实体之间针对用户面数据的机密性保护,完整性密钥用于UE和核心用户面功能实体之间针对用户面数据的完整性保护。
在一些示例性实施例中,第一密钥为目标UE对应的第一密钥,第二密钥为目标UE对应的第二密钥,不同UE对应的第一密钥可以相同,也可以不同,不同目标UE对应的第二密钥可以相同,也可以不同。
在另一些示例性实施例中,第一密钥为目标UE的协议数据单元(PDU,ProtocolData Unit)会话对应的第一密钥,具体可以一个PDU会话对应一个第一密钥,也可以两个或两个以上PDU会话对应一个第一密钥;第二密钥为UE的协议数据单元(PDU,Protocol DataUnit)会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥。
步骤301、生成所述第一密钥,将所述第一密钥发送给用户面功能实体。
在一些示例性实施例中,可以根据第二通知消息中携带的锚定密钥生成第一密钥。第一密钥用于密钥隔离,防止一个密钥泄露而影响到其他密钥的安全,提高了安全性。
在一些示例性实施例中,接收第一控制面功能实体发送的第二通知消息之前,该方法还包括:
确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述第一控制面功能实体发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
在一些示例性实施例中,可以根据用户签约信息确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。当然,还有很多其他的方式,具体的确定策略不用于限定本公开实施例的保护范围,这里不再赘述。
在一些示例性实施例中,可以在目标UE向核心网络的注册过程中确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,例如,在鉴权认证过程完成后,确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。这种情况下,目标用户面数据为目标UE的所有用户面数据。
在另一些示例性实施例中,可以在PDU会话建立过程中确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,例如,在接收到来自SMF实体的PDU会话上下文创建响应后,确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据。这种情况下,目标用户面数据为目标UE通过PDU会话与用户面功能实体传输的用户面数据。
也就是说,对于某些UE,在确定需要在用户设备与用户面功能实体之间进行安全保护的目标用户面数据以后,向用户设备发送第一通知消息;对于某些UE,在确定UE的所有用户面数据均不需要在用户设备与用户面功能实体之间进行安全保护以后,不向UE发送第一通知消息。从而实现了不是对所有UE的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对部分UE的用户面数据在UE和用户面功能实体之间进行安全保护,具体对哪些UE的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
或者,对于某一个UE的某些PDU会话,在确定通过PDU会话传输的用户面数据需要在用户设备与用户面功能实体之间进行安全保护以后,向用户设备发送第一通知消息;对于该UE的另一些PDU会话,在确定通过PDU会话传输的用户面数据均不需要在用户设备与用户面功能实体之间进行安全保护以后,不向UE发送第一通知消息。从而实现了不是对UE的所有PDU会话对应的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对UE的部分PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护,具体对UE的哪些PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
本公开实施例提供的数据传输方法,由第一控制面功能实体或第二控制面功能实体确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,然后通知目标用户设备,使得目标用户设备和用户面功能实体对目标用户面数据进行安全保护,实现了在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护。
图4为本公开实施例的另一种数据传输方法的流程图。
第三方面,参照图4,本公开实施例提供另一种数据传输方法,应用于用户面功能实体,该方法包括:
步骤400、获取第一密钥,根据所述第一密钥生成第二密钥;所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,获取第一密钥包括:
接收第一控制面功能实体发送的所述第一密钥。
在另一些示例性实施例中,获取第一密钥包括:
接收第二控制面功能实体发送的所述第一密钥。
在一些示例性实施例中,第二密钥包括加密密钥。在另一些示例性实施例中,第二密钥包括完整性密钥。在另一些示例性实施例中,第二密钥包括加密密钥和完整性密钥。
在一些示例性实施例中,加密密钥用于UE和核心用户面功能实体之间针对用户面数据的机密性保护,完整性密钥用于UE和核心用户面功能实体之间针对用户面数据的完整性保护。
在一些示例性实施例中,第一密钥为目标UE对应的第一密钥,第二密钥为目标UE对应的第二密钥,不同UE对应的第一密钥可以相同,也可以不同,不同目标UE对应的第二密钥可以相同,也可以不同。
在另一些示例性实施例中,第一密钥为目标UE的协议数据单元(PDU,ProtocolData Unit)会话对应的第一密钥,具体可以一个PDU会话对应一个第一密钥,也可以两个或两个以上PDU会话对应一个第一密钥;第二密钥为UE的协议数据单元(PDU,Protocol DataUnit)会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥。
需要说明的是,对于某些UE,如果获得该UE对应的第一密钥,说明需要在该UE和用户面功能实体之间对UE的所有用户面数据进行安全保护;对于某些UE,如果没有获得该UE对应的第一密钥,说明不需要在该UE和用户面功能实体之间针对UE的所有用户面数据进行安全保护。从而实现了不是对所有UE的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对部分UE的用户面数据在UE和用户面功能实体之间进行安全保护,具体对哪些UE的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
或者,对于某一个UE的某些PDU会话,如果获得该PDU会话对应的第一密钥,说明需要在该UE和用户面功能实体之间针对UE通过PDU会话传输的所有用户面数据进行安全保护;对于该UE的另一些PDU会话,如果没有获得该PDU会话对应的第一密钥,说明不需要在该UE和用户面功能实体之间针对UE通过PDU会话传输的所有用户面数据进行安全保护。从而实现了不是对UE的所有PDU会话对应的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对UE的部分PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护,具体对UE的哪些PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
在一些示例性实施例中,第二密钥可以采用多种方式生成,具体的生成方式不用于限定本公开实施例的保护范围,本公开实施例强调的是该第二密钥是对用户设备和用户面功能实体之间对用户面数据进行安全保护的密钥,与UE和RAN功能实体之间对用户面数据或控制面数据进行安全保护的密钥是不同的,RAN是不参与UE和用户面功能实体之间针对用户面数据的安全保护的。
步骤401、通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
在一些示例性实施例中,第二密钥包括机密性密钥和/或完整性密钥,所述通过所述第二密钥对目标用户设备与用户面功能实体之间传输的目标用户面数据进行安全保护,包括:
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密;使用所述机密性密钥对接收自所述目标用户设备的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往所述目标用户设备的目标用户面数据进行完整性保护;使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密,使用所述完整性密钥对所述目标用户面数据进行完整性保护;
使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
在一些示例性实施例中,所述通过所述第二密钥对目标用户设备与用户面功能实体之间传输的目标用户面数据进行安全保护,包括:对向目标用户设备发送的下行目标用户面数据进行PDCP封装之前,使用所述第二密钥对所述下行目标用户面数据进行第一安全保护处理,将第一安全保护处理后的下行目标用户面数据发送给所述目标用户设备。
对接收到的来自所述目标用户设备的第一安全保护处理后的上行目标用户面数据进行PDCP封装之后,使用所述第二密钥对所述第一安全保护处理后的上行目标用户面数据进行第二安全保护处理。
在一些示例性实施例中,第二密钥为目标UE对应的第二密钥,向目标UE发送的下行目标用户面数据为用户面功能实体向目标UE发送的所有下行目标用户面数据,接收到的来自目标UE的第一安全保护处理后的上行目标用户面数据为用户面功能实体接收到的来自目标UE的所有上行目标用户面数据。
也就是说,使用第二密钥对用户面功能实体向目标UE发送的所有下行目标用户面数据进行第一安全保护处理,使用第二密钥对接收到的来自目标UE的所有上行目标用户面数据进行第二安全保护处理。
在另一些示例性实施例中,第二密钥为目标UE的PDU会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥,那么,向UE发送的下行用户面数据为核心网络通过PDU会话向UE发送的下行用户面数据,接收到的来自UE的第一安全保护处理后的上行用户面数据为核心网络通过PDU会话接收到的来自UE的上行用户面数据。
也就是说,使用第二密钥对用户面功能实体通过第二密钥对应的PDU会话向目标UE发送的下行目标用户面数据进行第一安全保护处理,对于用户面功能实体通过不与第二密钥对应的PDU会话(也就是第二密钥对应的PDU会话之外的其他PDU会话)向UE发送的下行目标用户面数据则不需要进行第一安全保护处理,而是按照现有技术进行处理;同样的,使用第二密钥对通过第二密钥对应的PDU会话接收到的来自目标UE的上行目标用户面数据进行第二安全保护处理,对于通过不与第二密钥对应的PDU会话(也就是第二密钥对应的PDU会话之外的其他PDU会话)接收到的来自目标UE的上行目标用户面数据则不需要进行第二安全保护处理,而是按照现有技术进行处理。
上述示例性实施例中,仅对通过部分PDU会话与UE传输的用户面数据进行安全保护,而不是对UE所有的用户面数据进行安全保护,从而对于不需要进行的用户面数据提高了处理效率,减少了业务时延。
在一些示例性实施例中,安全保护可以是以下三种情况中的任意一种情况:机密性保护、完整性保护、机密性保护和完整性保护。以下分别对这三种情况进行描述。
(一)安全保护仅包括机密性保护的情况
这种情况下,第二密钥仅包括加密密钥,相应的,
所述使用第二密钥对下行目标用户面数据进行第一安全保护处理包括:使用所述加密密钥对所述下行目标用户面数据进行加密;
所述使用第二密钥对第一安全保护处理后的上行目标用户数据进行第二安全保护处理包括:使用所述加密密钥对加密后的上行目标用户数据进行解密。
(二)安全保护仅包括完整性保护的情况
这种情况下,第二密钥仅包括完整性密钥,相应的,
所述使用第二密钥对下行目标用户面数据进行第一安全保护处理包括:使用所述完整性密钥对所述下行目标用户面数据进行完整性保护处理;
所述使用第二密钥对第一安全保护处理后的上行目标用户面数据进行第二安全保护处理包括:使用所述完整性密钥对完整性保护处理后的上行目标用户面数据进行完整性校验。
(三)安全保护既包括机密性保护又包括完整性保护的情况
这种情况下,第二密钥包括加密密钥和完整性密钥,相应的,
所述使用第二密钥对下行目标用户面数据进行第一安全保护处理包括:
使用所述加密密钥对所述下行目标用户面数据进行加密,使用所述完整性密钥对加密后的下行目标用户面数据进行完整性保护处理;
所述使用第二密钥对第一安全保护处理后的上行目标用户面数据进行第二安全保护处理包括:使用所述完整性密钥对加密和完整性保护处理后的上行目标用户面数据进行完整性校验,校验通过后使用所述加密密钥对加密后的上行目标用户数据进行解密。
本公开实施例提供的数据传输方法,由第一控制面功能实体或第二控制面功能实体确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,然后通知目标用户设备,使得目标用户设备和用户面功能实体对目标用户面数据进行安全保护,实现了在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护;并且,RAN不参与在UE和核心网络之间针对用户面数据的安全保护,RAN透传在UE和核心网络之间传输的用户面数据,也不维护第二密钥,适用于RAN非信任、易被攻击的场景。
图5为本公开实施例的另一种数据传输方法的流程图。
第四方面,参照图5,本公开实施例提供另一种数据传输方法,应用于目标UE,该方法包括:
步骤500、接收第一控制面功能实体发送的第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
在另一些示例性实施例中,未接收到来自第一控制面功能实体的第一通知消息,结束本流程。
需要说明的是,对于某些UE,如果在该UE向核心网络的注册过程中,接收到来自第一控制面功能实体的第一通知消息,说明需要在该UE和用户面功能实体之间针对UE的所有用户面数据进行安全保护;对于某些UE,如果在该UE向核心网络的注册过程中,没有接收到来自第一控制面功能实体的第一通知消息,说明不需要在该UE和用户面功能实体之间针对UE的所有用户面数据进行安全保护。从而实现了不是对所有UE的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对部分UE的用户面数据在UE和用户面功能实体之间进行安全保护,具体对哪些UE的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
或者,对于某一个UE的某些PDU会话,如果在PDU会话建立过程中,接收到来自第一控制面功能实体的第一通知消息,说明需要在该UE和用户面功能实体之间针对UE通过PDU会话传输的用户面数据进行安全保护;对于该UE的另一些PDU会话,如果在PDU会话建立过程中,没有接收到来自第一控制面功能实体的第一通知消息,说明不需要在该UE和用户面功能实体之间针对UE通过PDU会话传输的用户面数据进行安全保护。从而实现了不是对UE的所有PDU会话对应的用户面数据均在UE和用户面功能实体之间进行安全保护,而是对UE的部分PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护,具体对UE的哪些PDU会话对应的用户面数据在UE和用户面功能实体之间进行安全保护可以根据UE的签约数据来确定,用户可以根据自身的需求与运营商进行签约来实现。
在一些示例性实施例中,接收第一控制面功能实体发送的第一通知消息之后,该方法还包括:
生成第一密钥,根据所述第一密钥生成第二密钥;其中,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,第二密钥包括加密密钥。在另一些示例性实施例中,第二密钥包括完整性密钥。在另一些示例性实施例中,第二密钥包括加密密钥和完整性密钥。
在一些示例性实施例中,加密密钥用于UE和核心用户面功能实体之间针对用户面数据的机密性保护,完整性密钥用于UE和核心用户面功能实体之间针对用户面数据的完整性保护。
在一些示例性实施例中,第一密钥为目标UE对应的第一密钥,第二密钥为目标UE对应的第二密钥,不同目标UE对应的第一密钥可以相同,也可以不同,不同目标UE对应的第二密钥可以相同,也可以不同。
在另一些示例性实施例中,第一密钥为目标UE的协议数据单元(PDU,ProtocolData Unit)会话对应的第一密钥,具体可以一个PDU会话对应一个第一密钥,也可以两个或两个以上PDU会话对应一个第一密钥;第二密钥为UE的协议数据单元(PDU,Protocol DataUnit)会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥。
在一些示例性实施例中,该方法还包括:
通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
在一些示例性实施例中,所述第二密钥包括机密性密钥和/或完整性密钥;通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理包括:
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密;使用所述机密性密钥对接收自用户功能实体的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往用户面功能实体的目标用户面数据进行完整性保护处理;使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密,使用所述完整性密钥对加密后的所述目标用户面数据进行完整性保护处理;
使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
在一些示例性实施例中,通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理包括:,对向用户面功能实体发送的上行目标用户面数据进行PDCP封装之前,使用所述第二密钥对所述上行目标用户面数据进行第一安全保护处理,将第一安全保护处理后的上行目标用户面数据发送给用户面功能实体。
对接收到的来自用户面功能实体的第一安全保护处理后的下行目标用户面数据进行PDCP解封装之后,使用所述第二密钥对所述第一安全保护处理后的下行目标用户面数据进行第二安全保护处理。
在一些示例性实施例中,第二密钥为目标UE对应的第二密钥,向用户面功能实体发送的上行目标用户面数据为目标UE向用户面功能实体发送的所有上行用户面数据,接收到的来自用户面功能实体的第一安全保护处理后的下行目标用户面数据为目标UE接收到的来自用户面功能实体的所有下行用户面数据。
也就是说,使用第二密钥对目标UE向用户面功能实体发送的所有上行目标用户面数据进行第一安全保护处理,使用第二密钥对接收到的来自用户面功能实体的所有下行目标用户面数据进行第二安全保护处理。
在另一些示例性实施例中,第二密钥为目标UE的协议数据单元(PDU,ProtocolData Unit)会话对应的第二密钥,具体可以一个PDU会话对应一个第二密钥,也可以两个或两个以上PDU会话对应一个第二密钥,那么,向用户面功能实体发送的上行目标用户面数据为目标UE通过PDU会话向用户面功能实体发送的上行用户面数据,接收到的来自用户面功能实体的第一安全保护处理后的下行目标用户面数据为UE通过PDU会话接收到的来自用户面功能实体的下行用户面数据。
也就是说,使用第二密钥对目标UE通过第二密钥对应的PDU会话向用户面功能实体发送的上行目标用户面数据进行第一安全保护处理,对于目标UE通过不与第二密钥对应的PDU会话(也就是第二密钥对应的PDU会话之外的其他PDU会话)向用户面功能实体发送的上行用户面数据则不需要进行第一安全保护处理,而是按照现有技术进行处理;同样的,使用第二密钥对通过第二密钥对应的PDU会话接收到的来自用户面功能实体的下行目标用户面数据进行第二安全保护处理,对于通过不与第二密钥对应的PDU会话(也就是第二密钥对应的PDU会话之外的其他PDU会话)接收到的来自用户面功能实体的下行用户面数据则不需要进行第二安全保护处理,而是按照现有技术进行处理。
上述示例性实施例中,仅对通过部分PDU会话与用户面功能实体传输的用户面数据进行安全保护,而不是对UE所有的用户面数据进行安全保护,从而对于不需要进行的用户面数据提高了处理效率,减少了业务时延。
在一些示例性实施例中,安全保护可以是以下三种情况中的任意一种情况:机密性保护、完整性保护、机密性保护和完整性保护。以下分别对这三种情况进行描述。
(一)安全保护仅包括机密性保护的情况
这种情况下,第二密钥仅包括加密密钥,相应的,
使用第二密钥对上行目标用户面数据进行第一安全保护处理包括:使用所述加密密钥对所述上行目标用户面数据进行加密;
所述使用第二密钥对第一安全保护处理后的下行目标用户数据进行第二安全保护处理包括:使用所述加密密钥对加密后的下行目标用户数据进行解密。
(二)安全保护仅包括完整性保护的情况
这种情况下,第二密钥仅包括完整性密钥,相应的,
所述使用第二密钥对上行目标用户面数据进行第一安全保护处理包括:使用所述完整性密钥对所述上行目标用户面数据进行完整性保护处理;
所述使用第二密钥对第一安全保护处理后的下行目标用户面数据进行第二安全保护处理包括:使用所述完整性密钥对完整性保护处理后的下行目标用户面数据进行完整性校验。
(三)安全保护既包括机密性保护又包括完整性保护的情况
这种情况下,第二密钥包括加密密钥和完整性密钥,相应的,
所述使用第二密钥对上行目标用户面数据进行第一安全保护处理包括:
使用所述加密密钥对所述上行目标用户面数据进行加密,使用所述完整性密钥对加密后的上行目标用户面数据进行完整性保护处理;
所述使用第二密钥对第一安全保护处理后的下行目标用户面数据进行第二安全保护处理包括:
使用所述完整性密钥对加密和完整性保护处理后的下行目标用户面数据进行完整性校验,校验通过后使用所述加密密钥对加密后的下行目标用户数据进行解密。
本公开实施例提供的数据传输方法,由第一控制面功能实体或第二控制面功能实体确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据,然后通知目标用户设备,使得目标用户设备和用户面功能实体对目标用户面数据进行安全保护,实现了在目标用户设备和用户面功能实体之间对目标用户面数据进行安全保护;并且,RAN不参与在UE和核心网络之间针对用户面数据的安全保护,RAN透传UE和核心网络之间传输的用户面数据,也不维护第二密钥,适用于RAN非信任、易被攻击的场景。
在一些示例性实施例中,第一控制面功能实体、第二控制面功能实体和用户面功能实体设置在核心网络的不同设备中。
在一些示例性实施例中,第一控制面功能实体和第二控制面功能实体为负责用户设备接入、业务处理的控制面网络功能。
在一些示例性实施例中,用户面功能实体为处理用户应用数据的转发面网络功能。
在一些示例性实施例中,在5G网络中,第一控制面功能实体为接入管理功能(AMF,Access Management Function),第二控制面功能实体为会话管理功能(SMF,SessionManagement Function),服务器为用户面功能(UPF,User Plane Function)。
在另一些示例性实施例中,在演进的分组核心网络(EPC,Evolved Packet Corenetwork)中,第一控制面功能实体为移动性管理实体(MME,Mobility ManagementEntity),用户面功能实体为服务网关(SGW,Serving GateWay)或分组网关(PGW,PacketGateWay)。
下面通过几个具体示例详细说明上述实施例的具体实现过程,需要说明的是,所列举的示例仅仅是为了说明方便,不能用于限定本公开实施例的保护范围。
示例1
如果虚拟网络运营商提供网络服务,其租借接入设备,对应用而言,接入设备不可信,需要在UE和核心网络设备之间直接建立加密通道;或者如下场景,多个核心网运营商共享接入网络,为保证数据安全,也需要在UE和每个核心网络之间建立加密通道。对于上述场景,可以在UE接入核心网络的注册认证阶段,产生用户面数据加密所需密钥,以便UE开展业务时,对用户面数据进行加密传输。以5G网络为例,实施流程如图6描述。发明方案中的所述第一控制面功能实体为AMF实体,所述用户面功能实体为UPF实体。
1.UE请求接入到5G网络,向AMF实体发起注册认证请求,RAN功能实体根据注册认证请求中的隐藏的签约标识(SUCI,Subscription Concealed Identifier)将注册认证请求路由到AMF实体。
2.UE、AMF实体、认证服务器功能(AUSF,Authentication Server Function)实体和统一数据管理(UDM,Unified Data Management)实体之间完成鉴权认证过程。UE、RAN功能实体、AMF实体之间进行其他注册流程,具体可参考3GPP TS 23.502注册认证流程。
3.鉴权认证过程完成后,AMF实体生成锚定密钥KSEAF。如果AMF实体决策需要在UE和用户面功能实体之间对用户面数据进行安全保护(例如,运营商策略或者用户签约信息中规定了需要在UE和用户面功能实体之间对用户面数据进行安全保护,则AMF实体根据运营商策略或者用户签约信息决策需要在UE和用户面功能实体之间对用户面数据进行安全保护),AMF实体根据KSEAF使用密钥生成算法进行密钥衍生,最终生成第一密钥K1。
4.AMF实体将所述第一密钥K1发送给UPF实体,所述发送过程可在PDU会话建立过程中由AMF实体经过会话管理功能(SMF,Session Management Function)实体发送给UPF实体。
5.UPF实体保存所述第一密钥K1。
6.AMF实体通知UE需要在UE和用户面功能实体之间对用户面数据进行安全保护。
7.UE和RAN功能实体、AMF实体之间完成其余注册过程。
8.UPF实体根据K1使用密钥产生算法生成第二密钥(第二密钥包括加密密钥K2和完整性密钥K3)。在UE侧,根据步骤6的指示,UE按照网络侧相同的密钥生成算法,生成锚定密钥KSEAF,进一步生成第一密钥K1,并根据第一密钥K1生成加密密钥K2和完整性密钥K3。
9.当UE开展业务时,在UE和UPF实体之间对用户面数据进行机密性和完整性保护,相关过程可参考示例4的描述。
上述方案描述的是UE注册到5G网络后,在UE和5G核心网络之间针对用户面数据进行安全保护,即UE和所述5G核心网络交互的所有用户面数据都进行机密性和完整性保护。上述方案也同样适用于EPC,方案所述的第一控制面功能实体是MME,用户面功能实体是SGW或PGW。在UE注册阶段,在UE和SGW/PGW上生成加密密钥K2和完整性密钥K3。
示例2
示例1描述的是在UE和5G核心网络之间针对用户面数据进行安全保护。5G网络还可以网络切片形式提供网络服务,即5GC可以包括多个网络切片,UE注册到5G网络之后,最多可以接入8个网络切片。示例2描述的是提供针对网络切片级别的在UE和核心网之间针对用户面数据进行安全保护,实现过程如图7所示。方案中所述第一网络控制功能实体为AMF实体,第二网络控制功能实体为SMF实体,用户面功能实体为UPF实体:
1.在UE成功注册到5G网络之后,UE请求接入网络切片,发起PDU会话建立请求,PDU会话建立请求中包含NAS消息,NAS消息中包括:单一网络切片选择辅助信息(S-NSSAI,Single Network Slice Selection Assistance Information)等。S-NSSAI包含授权UE请求接入的网络切片标识。AMF保存S-NSSAI等信息。
2.AMF实体根据S-NSSAI等信息进行SMF实体选择。
3.AMF实体向SMF实体发起PDU会话上下文创建请求,PDU会话上下文创建请求中包含用户永久标识(SUPI,Subscription Permanent Identifier),S-NSSAI等信息。
4.SMF实体使用SUPI,S-NSSAI等信息向UDM实体获取会话管理相关签约数据;其中,会话管理相关签约数据中包含表示是否需要在UE和核心网络之间针对用户面数据进行安全保护的信息。
5.如果步骤1中的PDU会话建立请求是第一次发送,则SMF实体进行UPF实体选择;如果步骤1中的PDU会话建立请求不是第一次发送,则直接执行步骤7。
6.SMF实体和UPF实体之间建立N4会话。
7.SMF实体根据签约数据决策是否需要在UE和用户面功能实体之间对用户面数据进行安全保护。
8.SMF实体和AMF实体之间进行PDU会话建立消息或者PDU会话更新消息交互,SMF实体将表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息发送给AMF实体。
9.AMF实体接收表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息后,将鉴权认证成功后生成的锚定密钥(例如,KSEAF)发送给SMF实体。
10.SMF实体保存锚定密钥KSEAF,并根据锚定密钥KSEAF使用密钥产生算法生成第一密钥K1。
11.SMF实体将第一密钥K1发送给UPF实体。
12.UPF实体保存第一密钥K1。
13.根据步骤8,AMF实体向UE返回表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息。
14.UE、AMF实体、SMF实体、UPF实体之间完成PDU会话建立的其余过程。
15.UE接收表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息之后,使用密钥生成算法生成第一密钥K1,并根据第一密钥K1生成第二密钥(第二密钥包括加密密钥K2和完整性密钥K3)。UPF实体根据第一密钥K1使用相同的密钥生成算法生成第二密钥(第二密钥包括加密密钥K2和完整性密钥K3)。
16.在UE和UPF实体之间针对用户面数据进行机密和完整性保护的过程参考示例4。
上述实施例中由SMF实体决策为所述网络切片执行在UE和核心网络之间针对用户面数据进行安全保护,并告知AMF实体。由SMF实体根据AMF实体提供的锚定密钥KSEAF产生第一密钥K1提供给UPF实体。上述过程也可以如下实现:由AMF实体为UE请求的S-NSSAI对应的网络切片决策执行在UE和核心网络之间针对用户面数据进行安全保护,根据锚定密钥KSEAF产生第一密钥K1提供给SMF实体,SMF实体将K1提供给UPF实体。
示例3
示例1描述的是在UE和5G核心网络之间针对用户面数据进行安全保护。5G网络还可以网络切片形式提供网络服务,即5GC可以包括多个网络切片,UE注册到5G网络之后,最多可以接入8个网络切片。示例2描述的是提供针对网络切片级别的UE和核心网之间针对用户面数据进行安全保护,实现过程如图8所示。方案中所述第一网络控制功能实体为AMF实体,第二网络控制功能实体为SMF实体,用户面功能实体为UPF实体:
1.在UE成功注册到5G网络之后,UE请求接入网络切片,发起PDU会话建立请求,PDU会话建立请求中包含NAS消息,NAS消息中包括:单一网络切片选择辅助信息(S-NSSAI,Single Network Slice Selection Assistance Information)等。S-NSSAI包含授权UE请求接入的网络切片标识。AMF实体保存S-NSSAI等信息。
2.AMF实体根据S-NSSAI等信息进行SMF实体选择。
3.AMF实体向SMF实体发起PDU会话上下文创建请求,PDU会话上下文创建请求中包含SUPI,S-NSSAI等信息。
4.SMF实体使用SUPI,S-NSSAI等信息向UDM获取会话管理相关签约数据;其中,会话管理相关签约数据中包含表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息。
5.如果步骤1中的PDU会话建立请求是第一次发送,则SMF实体进行UPF实体选择;如果步骤1中的PDU会话建立请求不是第一次发送,则直接执行步骤7。
6.SMF实体和UPF实体之间建立N4会话。
7.SMF实体和AMF实体之间进行PDU会话建立消息或者PDU会话更新消息交互,SMF实体将表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息发送给AMF实体。
8.AMF实体决策需要在UE和用户面功能实体之间对用户面数据进行安全保护,根据鉴权认证成功后生成的锚定密钥KSEAF使用密钥生成算法生成第一密钥K1,将第一密钥K1发送给SMF实体。
9.SMF实体将第一密钥K1发送给UPF实体。
10.UPF实体保存第一密钥K1。
11.根据步骤8,AMF实体向UE返回表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息。
12.UE、AMF实体、SMF实体、UPF实体之间完成PDU会话建立的其余过程。
13.UE接收表示是否需要在UE和用户面功能实体之间对用户面数据进行安全保护的信息之后,使用密钥生成算法生成第一密钥K1,并根据第一密钥K1生成第二密钥(第二密钥包括加密密钥K2和完整性密钥K3)。UPF实体根据第一密钥K1使用相同的密钥生成算法生成第二密钥(第二密钥包括加密密钥K2和完整性密钥K3)。
14.在UE和UPF实体之间针对用户面数据进行机密和完整性保护的过程参考示例4。
示例4
结合上述实施例,根据AMF实体是否向UE发送第一通知消息,决定在UE和RAN实体或者UE和UPF实体之间针对用户面数据进行安全保护。
如果AMF实体未向UE发送第一通知消息,则在UE和RAN功能实体之间针对用户面数据进行安全保护,为现有技术。
如果AMF实体向UE发送第一通知消息,则在UE和UPF实体之间针对用户面数据进行安全保护,即使用加密密钥K2和完整性密钥K3。
结合上述示例1、示例2和示例3,本示例描述了用户面数据安全终结点在UPF的协议栈处理示意图,如图9所示,即由UE与UPF实体之间建立PDCP连接,用PDCP连接对用户面数据实施加密和完整性保护。中间网络功能实体,例如RAN功能实体,不涉及用户面数据的加解密处理和完整性保护。具体实施过程如下描述:
对于上行用户面数据:
UE按照图9所示的UE协议栈部分完成对发送的上行用户面数据的封装,发送封装后的上行用户面数据。具体的,对上行用户面数据进行应用层封装,对应用层封装后的上行用户面数据进行PDU层封装,对PDU层封装后的上行用户面数据进行简单分布式文件传输系统访问协议(SDAP,Simple Distribution File System Access Protocol)封装,使用K2对SDAP封装后的上行用户面数据进行加密,使用K3对加密后的上行用户面数据进行完整性保护处理,对完整性保护处理后的上行用户面数据进行PDCP封装,对PDCP封装后的上行用户面数据进行无线链路控制层(RLC,Radio Link Control)封装,对RLC封装后的上行用户面数据进行媒体访问控制(MAC,MedicaAccess Control)层封装,对MAC层封装后的上行用户面数据进行物理层(PHY,Physical layer)封装。
当PHY封装后的上行用户面数据发送至RAN实体时,RAN实体完成对上行用户面数据的协议转换,首先对PHY封装后的上行用户面数据进行PHY解封装,对PHY解封装后的上行用户面数据进行MAC层解封装,对MAC层解封装后的上行用户面数据进行RLC解封装,然后将RLC解封装后的上行用户面数据转换成通用分组无线服务(GPRS,General Packet RadioService)隧道协议(GTP,GPRS Tunnelling Protocol)封装格式。在所述协议转换处理过程中,RAN实体对PDCP层及以上不作任何处理,即不对上行用户面数据进行解密和完整性校验处理。RAN实体对上行用户面数据完成协议转换处理后,发送给UPF实体。
UPF实体接收协议转换后的上行用户面数据,对协议转换后的上行用户面数据进行L1层解封装,对L1层解封装后的上行用户面数据进行L2层解封装,对L2层解封装后的上行用户面数据进行GTP-U/UDP/IP层解封装,对GTP-U/UDP/IP层解封装后的上行用户面进行PDCP解封装,使用K3对PDCP解封装后的上行用户面数据进行完整性校验,校验通过后,使用K2对PDCP解封装后的上行用户面数据解密,对解密后的上行用户面数据进行SDAP解封装,对SDAP解封装后的上行用户面数据进行PDU层解封装。
对于下行用户面数据:
UPF实体按照图9所示的UPF协议栈部分完成对发送的下行用户面数据的封装,发送封装后的下行用户面数据。具体的,对下行用户面数据进行PDU层封装,对PDU层封装后的下行用户面数据进行SDAP封装,使用K2对SDAP封装后的下行用户面数据进行加密,使用K3对加密后的下行用户面数据进行完整性保护处理,对完整性保护处理后的下行用户面数据进行PDCP封装,对PDCP封装后的下行用户面数据进行GTP-U/UDP/IP层封装,对GTP-U/UDP/IP层封装后的下行用户面数据进行L2层封装,对L2层封装后的下行用户面数据进行L1层封装。
当数据发送至RAN实体时,RAN实体完成对下行用户面数据的协议转换,首先对L1层封装后的下行用户面数据进行L1层解封装,对L1层解封装后的下行用户面数据进行L2层解封装,对L2层解封装后的下行用户面数据进行GTP-U/DPU/IP层解封装,然后将GTP-U/DPU/IP层解封装后的下行用户面数据转换成RLC封装格式。在所述协议转换处理过程中,RAN实体对PDCP层及以上不作任何处理,即不对下行用户面数据进行解密和完整性校验处理。RAN实体对下行用户面数据完成协议转换处理后,发送给UE。
UE接收协议转换后的下行用户面数据,对协议转换后的下行用户面数据进行PHY解封装,对PHY解封装后的下行用户面数据进行MAC层解封装,对MAC层解封装后的下行用户面数据进行RLC层解封装,对RLC层解封装后的下行用户面进行PDCP解封装,使用K3对PDCP解封装后的下行用户面数据进行完整性校验,校验通过后,使用K2对PDCP解封装后的下行用户面数据解密,对解密后的下行用户面数据进行SDAP解封装,对SDAP解封装后的下行用户面数据进行PDU层解封装,对PDU层解封装后的下行用户面数据进行应用层解封装。
第五方面,本公开实施例提供一种电子设备,其包括:
至少一个处理器;
存储器,其上存储有至少一个程序,当至少一个程序被至少一个处理器执行,使得至少一个处理器实现上述任意一种数据传输方法。
其中,处理器为具有数据处理能力的器件,其包括但不限于中央处理器(CPU)等;存储器为具有数据存储能力的器件,其包括但不限于随机存取存储器(RAM,更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH)。
在一些实施例中,处理器、存储器通过总线相互连接,进而与计算设备的其它组件连接。
第六方面,本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,程序被处理器执行时实现上述任意一种数据传输方法。
图10为本公开实施例的一种数据传输装置的组成框图。
第七方面,参照图10,本公开实施例提供一种数据传输装置(如第一控制面功能实体),包括:
第一确定模块1001,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;
第一通知消息发送模块1002,用于向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
在一些示例性实施例中,还包括:
第一密钥处理模块1003,用于生成第一密钥,向所述用户面功能实体发送所述第一密钥;其中,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,第一确定模块1001具体用于:
接收第二控制面功能实体发送的第一通知消息。
在一些示例性实施例中,还包括:
第二通知消息发送模块1004,用于向第二控制面功能实体发送第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
上述数据传输装置的具体实现过程与前述实施例第一控制面功能实体侧的数据传输方法的具体实现过程相同,这里不再赘述。
图11为本公开实施例的另一种数据传输装置的组成框图。
第八方面,参照图11,本公开实施例提供另一种数据传输装置(如第二控制面功能实体),包括:
第一通知消息接收模块1101,用于接收第一控制面功能实体发送的第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
第二密钥处理模块1102,用于生成所述第一密钥,将所述第一密钥发送给用户面功能实体。
在一些示例性实施例中,还包括:
第三确定模块1103,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;
第三通知消息发送模块1104,用于向所述第一控制面功能实体发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
上述数据传输装置的具体实现过程与前述实施例第二控制面功能实体侧的数据传输方法的具体实现过程相同,这里不再赘述。
图12为本公开实施例的另一种数据传输装置的组成框图。
第九方面,参照图12,本公开实施例提供另一种数据传输装置(如用户面功能实体),包括:
第三密钥处理模块1201,用于获取第一密钥,根据所述第一密钥生成第二密钥;所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
第一数据处理模块1202,用于通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
在一些示例性实施例中,第三密钥处理模块1201具体用于采用以下方式实现获取第一密钥:接收第一控制面功能实体发送的所述第一密钥。
在一些示例性实施例中,第三密钥处理模块1201具体用于采用以下方式实现获取第一密钥:接收第二控制面功能实体发送的所述第一密钥。
在一些示例性实施例中,第二密钥包括机密性密钥和/或完整性密钥,第一数据处理模块1202具体用于:
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密;使用所述机密性密钥对接收自所述目标用户设备的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往所述目标用户设备的目标用户面数据进行完整性保护;使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密,使用所述完整性密钥对所述目标用户面数据进行完整性保护;
使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
上述数据传输装置的具体实现过程与前述实施例用户面功能实体侧的数据传输方法的具体实现过程相同,这里不再赘述。
图13为本公开实施例的另一种数据传输装置的组成框图。
第十方面,参照图13,本公开实施例提供另一种数据传输装置(如目标UE),包括:
第二通知消息接收模块1301,用于接收第一控制面功能实体发送的第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
在一些示例性实施例中,还包括:
第四密钥处理模块1302,用于生成第一密钥,根据所述第一密钥生成第二密钥;其中,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
在一些示例性实施例中,第二密钥包括机密性密钥和/或完整性密钥;还包括:第二数据处理模块1303具体用于:
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密;使用所述机密性密钥对接收自用户功能实体的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往用户面功能实体的目标用户面数据进行完整性保护处理;使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密,使用所述完整性密钥对加密后的所述目标用户面数据进行完整性保护处理;
使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
上述数据传输装置的具体实现过程与前述实施例目标UE侧的数据传输方法的具体实现过程相同,这里不再赘述。
图14为本公开实施例的一种数据传输系统的组成框图。
第十一方面,参照图14,本公开实施例提供一种数据传输系统,包括:
第一控制面功能实体1401,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护;
目标用户设备1402,用于接收第一控制面功能实体发送的第一通知消息。
在一些示例性实施例中,第一控制面功能实体1401还用于:
生成第一密钥,向所述用户面功能实体发送所述第一密钥;其中,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
还包括:
用户面功能实体1403,用于接收第一控制面功能实体发送的所述第一密钥;根据所述第一密钥生成第二密钥;通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理;
目标用户设备1402还用于:
生成第一密钥,根据所述第一密钥生成第二密钥;通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
在一些示例性实施例中,第一控制面功能实体1401具体用于采用以下方式实现确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据包括:
接收第二控制面功能实体发送的第一通知消息;
还包括:
第二控制面功能实体1404,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述第一控制面功能实体发送第一通知消息。
在一些示例性实施例中,第一控制面功能实体1401还用于:
向第二控制面功能实体发送第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
还包括:
第二控制面功能实体1404,用于接收第一控制面功能实体发送的第二通知消息;生成所述第一密钥,将所述第一密钥发送给用户面功能实体;
用户面功能实体1403,用于接收第二控制面功能实体发送的所述第一密钥;根据所述第一密钥生成第二密钥;通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理;
目标用户设备1402还用于:
生成第一密钥,根据所述第一密钥生成第二密钥;通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
上述数据传输系统的具体实现过程与前述实施例数据传输方法的具体实现过程相同,这里不再赘述。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本公开的范围的情况下,可进行各种形式和细节上的改变。
Claims (16)
1.一种数据传输方法,应用于第一控制面功能实体,该方法包括:
确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;
向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
2.根据权利要求1所述的数据传输方法,所述确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据之后,该方法还包括:
生成第一密钥,向所述用户面功能实体发送所述第一密钥;其中,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
3.根据权利要求1所述的方法,其中,所述确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据包括:
接收第二控制面功能实体发送的第一通知消息。
4.根据权利要求1所述的方法,所述确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据之后,该方法还包括:
向第二控制面功能实体发送第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
5.一种数据传输方法,应用于第二控制面功能实体,该方法包括:
接收第一控制面功能实体发送的第二通知消息,所述第二通知消息用于通知所述第二控制面功能实体生成第一密钥,所述第一密钥用于被所述用户面功能实体使用,生成第二密钥,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
生成所述第一密钥,将所述第一密钥发送给用户面功能实体。
6.根据权利要求5所述的方法,所述接收第一控制面功能实体发送的第二通知消息之前,该方法还包括:
确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;
向所述第一控制面功能实体发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
7.一种数据传输方法,应用于用户面功能实体,该方法包括:
获取第一密钥,根据所述第一密钥生成第二密钥;所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护;
通过所述第二密钥对所述目标用户设备与所述用户面功能实体之间传输的目标用户面数据进行安全保护处理。
8.根据权利要求7所述的方法,其中,所述获取第一密钥包括:
接收第一控制面功能实体发送的所述第一密钥。
9.根据权利要求7所述的方法,其中,所述获取第一密钥包括:
接收第二控制面功能实体发送的所述第一密钥。
10.根据权利要求7所述的方法,其中,所述第二密钥包括机密性密钥和/或完整性密钥,所述通过所述第二密钥对目标用户设备与用户面功能实体之间传输的目标用户面数据进行安全保护,包括:
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密;使用所述机密性密钥对接收自所述目标用户设备的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往所述目标用户设备的目标用户面数据进行完整性保护;使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往所述目标用户设备的目标用户面数据进行加密,使用所述完整性密钥对所述目标用户面数据进行完整性保护;
使用所述完整性密钥对接收自所述目标用户设备的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
11.一种数据传输方法,应用于目标用户设备,该方法包括:
接收第一控制面功能实体发送的第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护。
12.根据权利要求11所述的方法,所述接收第一控制面功能实体发送的第一通知消息之后,该方法还包括:
生成第一密钥,根据所述第一密钥生成第二密钥;其中,所述第二密钥用于被所述目标用户设备和所述用户面功能实体使用,对所述目标用户面数据在所述目标用户设备与所述用户面功能实体之间进行安全保护。
13.根据权利要求12所述的方法,其中,所述第二密钥包括机密性密钥和/或完整性密钥;该方法还包括:
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密;使用所述机密性密钥对接收自用户功能实体的目标用户面数据进行解密;
或者,
使用所述完整性密钥对发往用户面功能实体的目标用户面数据进行完整性保护处理;使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验;
或者,
使用所述机密性密钥对发往用户面功能实体的目标用户面数据进行加密,使用所述完整性密钥对加密后的所述目标用户面数据进行完整性保护处理;
使用所述完整性密钥对接收自用户功能实体的目标用户面数据进行完整性校验,校验通过后使用所述机密性密钥对所述目标用户面数据进行解密。
14.一种电子设备,其包括:
至少一个处理器;
存储装置,其上存储有至少一个程序,当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现根据权利要求1~13任意一项所述的数据传输方法。
15.一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现根据权利要求1~13任意一项所述的数据传输方法。
16.一种数据传输系统,包括:
第一控制面功能实体,用于确定需要在目标用户设备与用户面功能实体之间进行安全保护的目标用户面数据;向所述目标用户设备发送第一通知消息,所述第一通知消息用于指示在所述目标用户设备与所述用户面功能实体之间对所述目标用户面数据进行安全保护;
目标用户设备,用于接收第一控制面功能实体发送的第一通知消息。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010497412.6A CN112838925B (zh) | 2020-06-03 | 2020-06-03 | 数据传输方法、装置和系统、电子设备、存储介质 |
| PCT/CN2021/097900 WO2021244569A1 (zh) | 2020-06-03 | 2021-06-02 | 数据传输方法、系统、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010497412.6A CN112838925B (zh) | 2020-06-03 | 2020-06-03 | 数据传输方法、装置和系统、电子设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112838925A true CN112838925A (zh) | 2021-05-25 |
| CN112838925B CN112838925B (zh) | 2023-04-18 |
Family
ID=75923173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010497412.6A Active CN112838925B (zh) | 2020-06-03 | 2020-06-03 | 数据传输方法、装置和系统、电子设备、存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112838925B (zh) |
| WO (1) | WO2021244569A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788594A (zh) * | 2020-06-03 | 2021-05-11 | 中兴通讯股份有限公司 | 数据传输方法、装置和系统、电子设备、存储介质 |
| WO2021244569A1 (zh) * | 2020-06-03 | 2021-12-09 | 中兴通讯股份有限公司 | 数据传输方法、系统、电子设备、存储介质 |
| CN113872752A (zh) * | 2021-09-07 | 2021-12-31 | 哲库科技(北京)有限公司 | 安全引擎模组、安全引擎装置和通信设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120239966A1 (en) * | 2011-03-18 | 2012-09-20 | Kompella Vachaspati P | System and method for session restoration at geo-redundant gateways |
| CN108632308A (zh) * | 2017-03-17 | 2018-10-09 | 电信科学技术研究院 | 控制方法、装置、smf、upf、ue、pcf及an |
| CN108810884A (zh) * | 2017-05-06 | 2018-11-13 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN109309920A (zh) * | 2017-07-28 | 2019-02-05 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| CN109413005A (zh) * | 2017-08-17 | 2019-03-01 | 中兴通讯股份有限公司 | 数据流传输安全控制方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107566115B (zh) * | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
| CN108235300B (zh) * | 2017-12-22 | 2020-05-22 | 中国科学院信息工程研究所 | 移动通信网络用户数据安全保护方法及系统 |
| CN110830991B (zh) * | 2018-08-10 | 2023-02-03 | 华为技术有限公司 | 安全会话方法和装置 |
| CN112788594B (zh) * | 2020-06-03 | 2023-06-27 | 中兴通讯股份有限公司 | 数据传输方法、装置和系统、电子设备、存储介质 |
| CN112838925B (zh) * | 2020-06-03 | 2023-04-18 | 中兴通讯股份有限公司 | 数据传输方法、装置和系统、电子设备、存储介质 |
-
2020
- 2020-06-03 CN CN202010497412.6A patent/CN112838925B/zh active Active
-
2021
- 2021-06-02 WO PCT/CN2021/097900 patent/WO2021244569A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120239966A1 (en) * | 2011-03-18 | 2012-09-20 | Kompella Vachaspati P | System and method for session restoration at geo-redundant gateways |
| CN108632308A (zh) * | 2017-03-17 | 2018-10-09 | 电信科学技术研究院 | 控制方法、装置、smf、upf、ue、pcf及an |
| CN108810884A (zh) * | 2017-05-06 | 2018-11-13 | 华为技术有限公司 | 密钥配置方法、装置以及系统 |
| CN109309920A (zh) * | 2017-07-28 | 2019-02-05 | 华为技术有限公司 | 安全实现方法、相关装置以及系统 |
| CN109413005A (zh) * | 2017-08-17 | 2019-03-01 | 中兴通讯股份有限公司 | 数据流传输安全控制方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112788594A (zh) * | 2020-06-03 | 2021-05-11 | 中兴通讯股份有限公司 | 数据传输方法、装置和系统、电子设备、存储介质 |
| WO2021244569A1 (zh) * | 2020-06-03 | 2021-12-09 | 中兴通讯股份有限公司 | 数据传输方法、系统、电子设备、存储介质 |
| WO2021244509A1 (zh) * | 2020-06-03 | 2021-12-09 | 中兴通讯股份有限公司 | 数据传输方法和系统、电子设备及计算机可读存储介质 |
| CN113872752A (zh) * | 2021-09-07 | 2021-12-31 | 哲库科技(北京)有限公司 | 安全引擎模组、安全引擎装置和通信设备 |
| CN113872752B (zh) * | 2021-09-07 | 2023-10-13 | 哲库科技(北京)有限公司 | 安全引擎模组、安全引擎装置和通信设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021244569A1 (zh) | 2021-12-09 |
| CN112838925B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11405780B2 (en) | Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus | |
| US10785653B2 (en) | Secure short message service over non-access stratum | |
| US20230007475A1 (en) | Method for Performing Verification by Using Shared Key, Method for Performing Verification by Using Public Key and Private Key, and Apparatus | |
| CN112788594B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| CN112838925B (zh) | 数据传输方法、装置和系统、电子设备、存储介质 | |
| US12052350B2 (en) | Quantum resistant secure key distribution in various protocols and technologies | |
| CN110769420B (zh) | 网络接入方法、装置、终端、基站和可读存储介质 | |
| US11997078B2 (en) | Secured authenticated communication between an initiator and a responder | |
| WO2021031051A1 (en) | Mobile device authentication without electronic subscriber identity module (esim) credentials | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| US20200344245A1 (en) | Message sending method and apparatus | |
| EP3700245B1 (en) | Communication method and device | |
| US11316670B2 (en) | Secure communications using network access identity | |
| US20230179997A1 (en) | Method, system, and apparatus for determining user plane security algorithm | |
| CN115767517A (zh) | 一种通信方法、装置及系统 | |
| CN111147273B (zh) | 一种数据安全的实现方法及相关设备 | |
| CN113170369B (zh) | 用于在系统间改变期间的安全上下文处理的方法和装置 | |
| CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN111835691B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
| CN110169128B (zh) | 一种通信方法、装置和系统 | |
| CN106888449B (zh) | 基于usim应用信息处理方法及系统 | |
| CN116530119A (zh) | 保护无线网络中序列号的方法、设备和系统 | |
| CN117425150A (zh) | 信令安全保护方法、系统、基站、终端及存储介质 | |
| CN118540697A (zh) | 一种通信方法及通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |