CN114640988B - 基于隐式指示加密的信息处理方法及装置 - Google Patents

Abstract

本申请提供一种基于隐式指示加密的信息处理方法及装置，用以满足高安全需求，保障用户面数据传输的安全。该方法包括：会话管理网元根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略；接入网设备为终端当前驻留的接入网设备；会话管理网元向终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；终端与用户面网元之间预先建立有安全隧道，第一指示信息和第二指示信息均用于指示接入网设备不开启终端的用户面安全策略。

Description

基于隐式指示加密的信息处理方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种基于隐式指示加密的信息处理方法及装置。

背景技术

第五代移动通信系统（5th generation，5G）中，为保证用户面数据的安全，用户装置（UE，user equipment）与gNB之间通过空口传输的用户面数据会经过加密，gNB与用户面功能（user plane function，UPF）之间通过Nx口传输的用户面数据也会经过加密，直至用户面数据传输至数据网络（date network，DN）。

在第三代合作伙伴计划（3rd Generation Partnership Project，3GPP）的R18讨论中指出目前的用户面数据的安全方案，无法满足未来更高的安全需求。

发明内容

本申请实施例提供一种基于隐式指示加密的信息处理方法及装置，用以满足高安全需求，保障用户面数据传输的安全。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请实施例提供了一种基于隐式指示加密的信息处理方法。该方法包括：会话管理网元根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略；接入网设备为终端当前驻留的接入网设备；会话管理网元向终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；终端与用户面网元之间预先建立有安全隧道，第一指示信息和第二指示信息均用于指示接入网设备不开启终端的用户面安全策略。

基于第一方面所述的方法可知，终端的用户面策略可以指示终端当前是否有高安全需求，如此，在有高安全需求的情况下，会话管理网元可以将接入网设备不开启终端的用户面安全策略指示给终端或用户面网元，以便终端与用户面网元能够直接基于安全隧道进行加密通信，避免用户面数据在接入网设备暴露，以实现在高安全需求场景下，保障用户面数据传输的安全。

一种可能的设计方案中，会话管理网元根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略，包括：若终端的用户面策略指示有业务为高安全需求的业务，则会话管理网元确定接入网设备不开启终端的用户面安全策略。也即，会话管理网元可以仅针对高安全需求的业务开启基于上述安全隧道的加密通信，以避免针对非高安全需求的业务也开启基于安全隧道的加密通信而导致的资源浪费。

可选地，高安全需求的业务包括关联的第一业务和第二业务，第一指示信息和第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密，以进一步提高通信安全。

第二方面，本申请实施例提供了一种基于隐式指示加密的信息处理方法。该方法包括：终端接收来自会话管理网元的第一指示信息；第一指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；终端根据第一指示信息，通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送加密的第一用户面信息。

一种可能的设计方案中，高安全需求的业务包括关联的第一业务和第二业务，第一指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密，终端根据第一指示信息，通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送加密的第一用户面信息，包括：终端使用密钥组加密第一业务的第一用户面数据，得到第一业务的第一用户面信息，以及使用密钥组加密第二业务的第一用户面数据，得到第二业务的第一用户面信息；加密的第一用户面信息包括：第一业务的第一用户面信息，以及第二业务的第一用户面信息，所述密钥组包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应；终端通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第一用户面信息，以及第二业务的第一用户面信息。

这种情况下，由于用户面数据的不仅被自身业务对应的密钥加密，还被其他关联业务的密钥加密，从而极大的提高了用户面数据传输的安全性，以实现在高安全需求场景下，保障用户面数据传输的安全。

第三方面，本申请实施例提供了一种基于隐式指示加密的信息处理方法。该方法包括：用户面网元接收来自会话管理网元的第二指示信息；第二指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；用户面网元根据第二指示信息，通过终端与用户面网元之间预先建立的安全隧道，向终端发送加密的第二用户面信息。

一种可能的设计方案中，高安全需求的业务包括关联的第一业务和第二业务，第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密，用户面网元根据第二指示信息，通过终端与用户面网元之间预先建立的安全隧道，向终端发送加密的第二用户面信息，包括：用户面网元使用密钥组加密第一业务的第二用户面数据，得到第一业务的第二用户面信息，以及使用密钥组加密第二业务的第二用户面数据，得到第二业务的第二用户面信息；加密的第二用户面信息包括：第一业务的第二用户面信息，以及第二业务的第二用户面信息，所述密钥组包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应；用户面网元通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第二用户面信息，以及第二业务的第二用户面信息。

这种情况下，由于用户面数据的不仅被自身业务对应的密钥加密，还被其他关联业务的密钥加密，从而极大的提高了用户面数据传输的安全性，以实现在高安全需求场景下，保障用户面数据传输的安全。

第四方面，本申请实施例提供了一种基于隐式指示加密的信息处理装置。该装置包括：处理模块，用于根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略；接入网设备为终端当前驻留的接入网设备；收发模块，用于向终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；终端与用户面网元之间预先建立有安全隧道，第一指示信息和第二指示信息均用于指示接入网设备不开启终端的用户面安全策略。

一种可能的设计方案中，处理模块，还用于若终端的用户面策略指示有业务为高安全需求的业务，则确定接入网设备不开启终端的用户面安全策略。也即，会话管理网元可以仅针对高安全需求的业务开启基于上述安全隧道的加密通信，以避免针对非高安全需求的业务也开启基于安全隧道的加密通信而导致的资源浪费。

可选地，高安全需求的业务包括关联的第一业务和第二业务，第一指示信息和第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密。

第五方面，本申请实施例提供了一种基于隐式指示加密的信息处理装置。该装置包括：收发模块，用于接收来自会话管理网元的第一指示信息；第一指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；处理模块，用于根据第一指示信息，控制收发模块通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送加密的第一用户面信息。

一种可能的设计方案中，处理模块，还用于使用密钥组加密第一业务的第一用户面数据，得到第一业务的第一用户面信息，以及使用密钥组加密第二业务的第一用户面数据，得到第二业务的第一用户面信息；加密的第一用户面信息包括：第一业务的第一用户面信息，以及第二业务的第一用户面信息；收发模块，还用于通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第一用户面信息，以及第二业务的第一用户面信息。

第六方面，本申请实施例提供了一种基于隐式指示加密的信息处理装置。该装置包括：收发模块，用于接收来自会话管理网元的第二指示信息；第二指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；处理模块，用于根据第二指示信息，控制收发模块通过终端与用户面网元之间预先建立的安全隧道，向终端发送加密的第二用户面信息。

一种可能的设计方案中，处理模块，还用于使用密钥组加密第一业务的第二用户面数据，得到第一业务的第二用户面信息，以及使用密钥组加密第二业务的第二用户面数据，得到第二业务的第二用户面信息；加密的第二用户面信息包括：第一业务的第二用户面信息，以及第二业务的第二用户面信息；收发模块，还用于通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第二用户面信息，以及第二业务的第二用户面信息。

第七方面，本申请实施例提供了一种计算机可读存储介质，所述存储介质上存储有程序代码，当所述程序代码被所述计算机运行时，执行如第一方面所述的方法。

附图说明

图1为5G系统的架构示意图；

图2为本申请实施例提供的一种通信系统的架构示意图一；

图3为本申请实施例提供的一种基于关联加密的信息处理方法的流程图；

图4为本申请实施例提供的一种基于关联加密的信息处理装置的结构示意图一；

图5为本申请实施例提供的一种基于关联加密的信息处理装置的结构示意图二。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1为5G系统的架构示意图，如图1所示，5G系统包括：接入网（access network，AN）和核心网（core network，CN），还可以包括：终端。

上述终端可以为具有收发功能的终端，或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置（uesr equipment，UE）、接入终端、用户单元（subscriberunit）、用户站、移动站（mobile station，MS）、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机（mobile phone）、蜂窝电话（cellular phone）、智能电话（smart phone）、平板电脑（Pad）、无线数据卡、个人数字助理电脑（personal digital assistant，PDA）、无线调制解调器（modem）、手持设备（handset）、膝上型电脑（laptop computer）、机器类型通信（machinetype communication，MTC）终端、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端、增强现实（augmented reality，AR）终端、工业控制（industrial control）中的无线终端、无人驾驶（self driving）中的无线终端、远程医疗（remote medical）中的无线终端、智能电网（smart grid）中的无线终端、运输安全（transportation safety）中的无线终端、智慧城市（smart city）中的无线终端、智慧家庭（smart home）中的无线终端、车载终端、具有终端功能的路边单元（road side unit，RSU）等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。

上述AN用于实现接入有关的功能，可以为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括：接入网设备，也可以称为无线接入网设备（radio access network，RAN）设备。

RAN设备可以是为终端提供接入的设备。例如，RAN设备可以包括：下一代移动通信系统，例如6G的接入网设备，例如6G基站，或者在下一代移动通信系统中，该网络设备也可以有其他命名方式，其均涵盖在本申请实施例的保护范围以内，本申请对此不做任何限定。或者，RAN设备也可以包括5G，如新空口（new radio，NR）系统中的gNB，或，5G中的基站的一个或一组（包括多个天线面板）天线面板，或者，还可以为构成gNB、传输点（transmissionand reception point，TRP或者transmission point，TP）或传输测量功能（transmissionmeasurement function，TMF）的网络节点，如基带单元（building base band unit，BBU），或，集中单元（centralized unit，CU）或分布单元（distributed unit，DU）、具有基站功能的RSU，或者有线接入网关，或者5G的核心网网元。或者，RAN设备还可以包括无线保真（wireless fidelity，WiFi）系统中的接入点（access point，AP），无线中继节点、无线回传节点、各种形式的宏基站、微基站（也称为小站）、中继站、接入点、可穿戴设备、车载设备等等。

CN主要负责维护移动网络的签约数据，为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元：用户面功能（user plane function，UPF）网元、认证服务功能（authentication server function，AUSF）网元、接入和移动性管理功能（access and mobility management function，AMF）网元、会话管理功能（sessionmanagement function，SMF）网元、网络切片选择功能（network slice selectionfunction，NSSF）网元、网络开放功能（network exposure function，NEF）网元、网络功能仓储功能（NF repository function，NRF）网元、策略控制功能（policy control function，PCF）网元、统一数据管理（unified data management，UDM）网元、统一数据存储（unifieddata repository，UDR）、应用功能（application function，AF）网元、以及计费功能（charging function，CHF）网元。

其中，UPF网元主要负责用户数据处理（转发、接收、计费等）。例如，UPF网元可以接收来自数据网络（data network，DN）的用户数据，通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据，并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议（internet protocol，IP）多媒体业务（IP multi-media srvice，IMS）、互联网（internet）等。DN可以为运营商外部网络，也可以为运营商控制的网络，用于向终端设备提供业务服务。

AUSF网元主要用于执行终端的安全认证。

AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。

SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议（internet protocol，IP）地址，选择提供报文转发功能的UPF等。

PCF网元主要支持提供统一的策略框架来控制网络行为，提供策略规则给控制层网络功能，同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略，例如服务质量（quality of service，QoS）策略、切片选择策略等。

NSSF网元主要用于为终端选择网络切片。

NEF网元主要用于支持能力和事件的开放。

UDM网元主要用于存储用户数据，例如签约数据、鉴权/授权数据等。

UDR网元主要用于存储结构化数据，存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。

AF网元主要支持与CN交互来提供服务，例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。

请参阅图2，本申请实施例提供了一种通信系统，该通信系统可以包括：会话管理网元、终端和用户面网元。其中，会话管理网元可以是上述SMF网元、终端可以是上述UE，用户面网元可以是上述UPF网元。会话管理网元、终端和用户面网元的功能可以参考上述图1的相关介绍，不再赘述。下面将结合方法，对上述通信系统中会话管理网元、用户面网元与终端的交互进行详细说明。

请参阅图3，本申请实施例提供了一种基于关联加密的信息处理方法。该方法可以适用于会话管理网元、用户面网元与终端。该方法的流程包括：

S301，会话管理网元根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略。

其中，接入网设备可以为终端当前驻留的接入网设备。

若终端的用户面策略指示有业务为高安全需求的业务，则会话管理网元确定接入网设备不开启终端的用户面安全策略。也即，会话管理网元可以仅针对高安全需求的业务开启基于上述安全隧道的加密通信，以避免针对非高安全需求的业务也开启基于安全隧道的加密通信而导致的资源浪费。可以理解，接入网设备不开启终端的用户面安全策略是指：终端的加密和完整性保护在接入网设备上均不开启。

可选地，高安全需求的业务包括关联的第一业务和第二业务，第一指示信息和第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密，以进一步提高通信安全。

S302a，会话管理网元向终端发送第一指示信息。相应的，终端接收来自会话管理网元的第一指示信息。

第一指示信息可以承载非介入层NAS消息中，以便终端能够获取到第一指示信息。

S303a，终端根据第一指示信息，通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送加密的第一用户面信息。

高安全需求的业务包括关联的第一业务和第二业务，第一指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密。终端可以使用密钥组加密第一业务的第一用户面数据，得到第一业务的第一用户面信息，以及使用密钥组加密第二业务的第一用户面数据，得到第二业务的第一用户面信息。其中，加密的第一用户面信息包括：第一业务的第一用户面信息，以及第二业务的第一用户面信息。密钥组包括第一密钥和第二密钥，第一密钥与第一业务对应，第二密钥与第二业务对应。如此，终端可以通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第一用户面信息，以及第二业务的第一用户面信息。

这种情况下，由于用户面数据的不仅被自身业务对应的密钥加密，还被其他关联业务的密钥加密，从而极大的提高了用户面数据传输的安全性，以实现在高安全需求场景下，保障用户面数据传输的安全。

具体的，一种可能的设计方案中，终端将第一密钥和第二密钥组合，得到关联密钥。终端可以使用关联密钥对第一业务的第一用户面数据进行加密，得到第一业务的第一用户面信息。以及，终端还可以使用关联密钥对第二业务的第一用户面数据进行加密，得到第二业务的第一用户面信息。这种情况下，即使攻击者获取到密钥组，其也因为不知道如何组合，而无法破译加密的用户面数据，从而可以进一步提高通信安全。

或者，一种可能的设计方案中，终端可以使用第二密钥对第一业务的第一用户面数据进行加密，得到第一业务的第一中间数据。终端可以使用第一密钥对第一业务的第一中间数据进行加密，得到第一业务的第一用户面信息。同理，终端可以使用第一密钥对第二业务的第一用户面数据进行加密，得到第二业务的第一中间数据。终端可以使用第二密钥对第二业务的第一中间数据进行加密，得到第二业务的第一用户面信息。如此，可以实现多层级的加密，以进一步提高通信安全。

其中，第一业务与第二业务关联是指：承载第一业务的第一协议数据单元PDU会话，与承载第二业务的第二PDU会话具有关联关系。如此，终端无需额外维护业务的关联关系，以节约资源，便于终端节能。

S302b，会话管理网元向用户面网元发送第二指示信息。相应的，用户面网元接收来自会话管理网元的第二指示信息。

第二指示信息可以N4消息中，以便用户面网元能够获取到第二指示信息。

S303b，用户面网元根据第二指示信息，通过终端与用户面网元之间预先建立的安全隧道，向终端发送加密的第二用户面信息。

高安全需求的业务包括关联的第一业务和第二业务，第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密。用户面网元可以使用密钥组加密第一业务的第二用户面数据，得到第一业务的第二用户面信息，以及使用密钥组加密第二业务的第二用户面数据，得到第二业务的第二用户面信息。其中，加密的第二用户面信息包括：第一业务的第二用户面信息，以及第二业务的第二用户面信息，所述密钥组包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应。如此，用户面网元通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第二用户面信息，以及第二业务的第二用户面信息。

这种情况下，由于用户面数据的不仅被自身业务对应的密钥加密，还被其他关联业务的密钥加密，从而极大的提高了用户面数据传输的安全性，以实现在高安全需求场景下，保障用户面数据传输的安全。

具体的，一种可能的设计方案中，用户面网元将第一密钥和第二密钥组合，得到关联密钥。用户面网元可以使用关联密钥对第一业务的第二用户面数据进行加密，得到第一业务的第二用户面信息。以及，用户面网元还可以使用关联密钥对第二业务的第二用户面数据进行加密，得到第二业务的第二用户面信息。这种情况下，即使攻击者获取到密钥组，其也因为不知道如何组合，而无法破译加密的用户面数据，从而可以进一步提高通信安全。

或者，一种可能的设计方案中，用户面网元可以使用第二密钥对第一业务的第二用户面数据进行加密，得到第一业务的第二中间数据。用户面网元可以使用第一密钥对第一业务的第二中间数据进行加密，得到第一业务的第二用户面信息。同理，用户面网元可以使用第一密钥对第二业务的第二用户面数据进行加密，得到第二业务的第二中间数据。终端可以使用第二密钥对第二业务的第二中间数据进行加密，得到第二业务的第二用户面信息。如此，可以实现多层级的加密，以进一步提高通信安全。

此外，可以理解，本申请实施例是以两个业务关联为例，多个业务的关联也同样适用于本申请，也即多个密钥的组合，或者多个层级的加密/解密，其可以参考理解，不再赘述。

综上，终端的用户面策略可以指示终端当前是否有高安全需求，如此，在有高安全需求的情况下，会话管理网元可以将接入网设备不开启终端的用户面安全策略指示给终端或用户面网元，以便终端与用户面网元能够直接基于安全隧道进行加密通信，避免用户面数据在接入网设备暴露，以实现在高安全需求场景下，保障用户面数据传输的安全。

请参阅图4，本实施例中还提供了一种基于关联加密的信息处理装置400，该装置400包括：收发模块401和处理模块402。

一些实施例中，该装置400适用于上述方法实施例中的会话管理网元。

其中，处理模块402，用于根据终端的用户面策略，确定接入网设备不开启终端的用户面安全策略；接入网设备为终端当前驻留的接入网设备；收发模块401，用于向终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；终端与用户面网元之间预先建立有安全隧道，第一指示信息和第二指示信息均用于指示接入网设备不开启终端的用户面安全策略。

一种可能的设计方案中，处理模块402，还用于若终端的用户面策略指示有业务为高安全需求的业务，则确定接入网设备不开启终端的用户面安全策略。

可选地，高安全需求的业务包括关联的第一业务和第二业务，第一指示信息和第二指示信息还用于指示终端与用户面网元之间通信的加密方式为关联加密。

另一些实施例中，该装置400适用于上述方法实施例中的终端。

收发模块401，用于接收来自会话管理网元的第一指示信息；第一指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；处理模块402，用于根据第一指示信息，控制收发模块401通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送加密的第一用户面信息。

一种可能的设计方案中，处理模块402，还用于使用密钥组加密第一业务的第一用户面数据，得到第一业务的第一用户面信息，以及使用密钥组加密第二业务的第一用户面数据，得到第二业务的第一用户面信息；加密的第一用户面信息包括：第一业务的第一用户面信息，以及第二业务的第一用户面信息；收发模块401，还用于通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第一用户面信息，以及第二业务的第一用户面信息

再一些实施例中，该装置400适用于上述方法实施例中的用户面网元。

其中，收发模块401，用于接收来自会话管理网元的第二指示信息；第二指示信息用于指示接入网设备不开启终端的用户面安全策略，接入网设备为终端当前驻留的接入网设备；处理模块402，用于根据第二指示信息，控制收发模块401通过终端与用户面网元之间预先建立的安全隧道，向终端发送加密的第二用户面信息。

一种可能的设计方案中，处理模块402，还用于使用密钥组加密第一业务的第二用户面数据，得到第一业务的第二用户面信息，以及使用密钥组加密第二业务的第二用户面数据，得到第二业务的第二用户面信息；加密的第二用户面信息包括：第一业务的第二用户面信息，以及第二业务的第二用户面信息；收发模块401，还用于通过终端与用户面网元之间预先建立的安全隧道，向用户面网元发送第一业务的第二用户面信息，以及第二业务的第二用户面信息。

下面结合图5对基于关联加密的信息处理装置500的各个构成部件进行具体的介绍：

其中，处理器501是基于关联加密的信息处理装置500的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器501是一个或多个中央处理器（centralprocessing unit，CPU），也可以是特定集成电路（application specific integratedcircuit，ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路，例如：一个或多个微处理器（digital signal processor，DSP），或，一个或者多个现场可编程门阵列（field programmable gate array，FPGA）。

可选地，处理器501可以通过运行或执行存储在存储器502内的软件程序，以及调用存储在存储器502内的数据，执行基于关联加密的信息处理装置500的各种功能。

在具体的实现中，作为一种实施例，处理器501可以包括一个或多个CPU，例如图5中所示出的CPU0和CPU1。

在具体实现中，作为一种实施例，基于关联加密的信息处理装置500也可以包括多个处理器，例如图5中所示的处理器501和处理器504。这些处理器中的每一个可以是一个单核处理器（single-CPU），也可以是一个多核处理器（multi-CPU）。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据（例如计算机程序指令）的处理核。

其中，存储器502用于存储执行本申请方案的软件程序，并由处理器501来控制执行，具体实现方式可以参考上述方法实施例，此处不再赘述。

可选地，存储器502可以是只读存储器（read-only memory，ROM）或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器（random access memory，RAM）或

可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器（electrically erasable programmable read-only memory，EEPROM）、只读光盘（compact disc read-only memory，CD-ROM）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器502可以和处理器501集成在一起，也可以独立存在，并通过5G通信装置500

的接口电路（图5中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

收发器503，用于与其他装置之间的通信。例如，基于关联加密的信息处理装置为网络设备，收发器503可以用于与终端设备通信，或者与另一个网络设备通信。

可选地，收发器503可以包括接收器和发送器（图5中未单独示出）。其中，接收器用于实现接收功能，发送器用于实现发送功能。

可选地，收发器503可以和处理器501集成在一起，也可以独立存在，并通过基于关联加密的信息处理装置500的接口电路（图5中未示出）与处理器501耦合，本申请实施例对此不作具体限定。

需要说明的是，图5中示出的基于关联加密的信息处理装置500的结构并不构成对该基于关联加密的信息处理装置500的限定，实际的基于关联加密的信息处理装置500可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

此外，基于关联加密的信息处理装置500的技术效果可以参考上述方法实施例的方法的技术效果，此处不再赘述。

应理解，在本申请实施例中的处理器可以是中央处理单元（central processingunit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现成可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（read-only memory，ROM）、可编程只读存储器（programmable ROM，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）或闪存。易失性存储器可以是随机存取存储器（random access memory，RAM），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器（random accessmemory，RAM）可用，例如静态随机存取存储器（static RAM，SRAM）、动态随机存取存储器（DRAM）、同步动态随机存取存储器（synchronous DRAM，SDRAM）、双倍数据速率同步动态随机存取存储器（double data rate SDRAM，DDR SDRAM）、增强型同步动态随机存取存储器（enhanced SDRAM，ESDRAM）、同步连接动态随机存取存储器（synchlink DRAM，SLDRAM）和直接内存总线随机存取存储器（direct rambus RAM，DR RAM）。

上述实施例，可以全部或部分地通过软件、硬件（如电路）、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行计算机指令或计算机程序时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。可用介质可以是磁性介质（例如，软盘、硬盘、磁带）、光介质（例如，DVD）、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项（个）或复数项（个）的任意组合。例如，a,b,或c中的至少一项（个），可以表示：a, b, c, a-b, a-c, b-c, 或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征字段可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read-only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种基于隐式指示加密的信息处理方法，其特征在于，所述方法包括：

会话管理网元根据终端的用户面策略，确定接入网设备不开启所述终端的用户面安全策略；所述接入网设备为所述终端当前驻留的接入网设备；

所述会话管理网元向所述终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；所述终端与所述用户面网元之间预先建立有安全隧道，所述第一指示信息和所述第二指示信息均用于指示所述接入网设备不开启所述终端的用户面安全策略，所述第一指示信息和所述第二指示信息还用于指示所述终端与所述用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述第一业务和所述第二业务是高安全需求的业务中的关联业务，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

2.根据权利要求1所述的方法，其特征在于，所述会话管理网元根据终端的用户面策略，确定接入网设备不开启所述终端的用户面安全策略，包括：

若所述终端的用户面策略指示有业务为所述高安全需求的业务，则所述会话管理网元确定所述接入网设备不开启所述终端的用户面安全策略。

3.根据权利要求2所述的方法，其特征在于，所述高安全需求的业务包括关联的第一业务和第二业务，所述第一指示信息和所述第二指示信息还用于指示所述终端与所述用户面网元之间通信的加密方式为关联加密。

4.一种基于隐式指示加密的信息处理方法，其特征在于，所述方法包括：

终端接收来自会话管理网元的第一指示信息；所述第一指示信息用于指示接入网设备不开启所述终端的用户面安全策略，以及所述第一指示信息还用于指示所述终端与用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应，所述接入网设备为所述终端当前驻留的接入网设备；

所述终端根据所述第一指示信息，通过所述终端与用户面网元之间预先建立的安全隧道，向所述用户面网元发送加密的第一用户面信息；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

5.根据权利要求4所述的方法，其特征在于，所述终端根据所述第一指示信息，通过所述终端与用户面网元之间预先建立的安全隧道，向所述用户面网元发送加密的第一用户面信息，包括：

所述终端使用所述密钥组加密所述第一业务的第一用户面数据，得到所述第一业务的第一用户面信息，以及使用所述密钥组加密所述第二业务的第一用户面数据，得到所述第二业务的第一用户面信息；所述加密的第一用户面信息包括：所述第一业务的第一用户面信息，以及所述第二业务的第一用户面信息；

所述终端通过所述终端与用户面网元之间预先建立的安全隧道，向所述用户面网元发送所述第一业务的第一用户面信息，以及所述第二业务的第一用户面信息。

6.一种基于隐式指示加密的信息处理方法，其特征在于，所述方法包括：

用户面网元接收来自会话管理网元的第二指示信息；所述第二指示信息用于指示接入网设备不开启终端的用户面安全策略，以及所述第二指示信息还用于指示所述终端与所述用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述第一业务和所述第二业务是高安全需求的业务中的关联业务，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应，所述接入网设备为所述终端当前驻留的接入网设备；

所述用户面网元根据所述第二指示信息，通过所述终端与所述用户面网元之间预先建立的安全隧道，向所述终端发送加密的第二用户面信息；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

7.根据权利要求6所述的方法，其特征在于，所述用户面网元根据所述第二指示信息，通过所述终端与所述用户面网元之间预先建立的安全隧道，向所述终端发送加密的第二用户面信息，包括：

所述用户面网元使用所述密钥组加密所述第一业务的第二用户面数据，得到所述第一业务的第二用户面信息，以及使用所述密钥组加密所述第二业务的第二用户面数据，得到所述第二业务的第二用户面信息；所述加密的第二用户面信息包括：所述第一业务的第二用户面信息，以及所述第二业务的第二用户面信息；

所述用户面网元通过所述终端与用户面网元之间预先建立的安全隧道，向所述用户面网元发送所述第一业务的第二用户面信息，以及所述第二业务的第二用户面信息。

8.一种基于隐式指示加密的信息处理装置，其特征在于，所述装置包括：

处理模块，用于根据终端的用户面策略，确定接入网设备不开启所述终端的用户面安全策略；所述接入网设备为所述终端当前驻留的接入网设备；

收发模块，用于向所述终端发送第一指示信息，和/或，向用户面网元发送第二指示信息；所述终端与所述用户面网元之间预先建立有安全隧道，所述第一指示信息和所述第二指示信息均用于指示所述接入网设备不开启所述终端的用户面安全策略，所述第一指示信息和所述第二指示信息还用于指示所述终端与所述用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述第一业务和所述第二业务是高安全需求的业务中的关联业务，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

9.一种基于隐式指示加密的信息处理装置，其特征在于，所述装置包括：

收发模块，用于接收来自会话管理网元的第一指示信息；所述第一指示信息用于指示接入网设备不开启终端的用户面安全策略，以及所述第一指示信息还用于指示所述终端与用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应，所述接入网设备为所述终端当前驻留的接入网设备；

处理模块，用于根据所述第一指示信息，控制所述收发模块通过所述终端与用户面网元之间预先建立的安全隧道，向所述用户面网元发送加密的第一用户面信息；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

10.一种基于隐式指示加密的信息处理装置，其特征在于，所述装置包括：

收发模块，用于接收来自会话管理网元的第二指示信息；所述第二指示信息用于指示接入网设备不开启终端的用户面安全策略，以及所述第二指示信息还用于指示所述终端与用户面网元之间通信的加密方式为关联加密，所述关联加密是指第一业务的第一用户面数据和第二业务的第一用户面数据均通过密钥组加密，所述第一业务和所述第二业务是高安全需求的业务中的关联业务，所述密钥组加密包括第一密钥和第二密钥，所述第一密钥与所述第一业务对应，所述第二密钥与所述第二业务对应，所述接入网设备为所述终端当前驻留的接入网设备；

处理模块，用于根据所述第二指示信息，控制所述收发模块通过所述终端与所述用户面网元之间预先建立的安全隧道，向所述终端发送加密的第二用户面信息；

其中，所述第一业务与所述第二业务关联是指：承载所述第一业务的第一协议数据单元PDU会话，与承载所述第二业务的第二PDU会话具有关联关系。

Images