WO2019196699A1

WO2019196699A1 - 一种获取安全策略的方法及设备

Info

Publication number: WO2019196699A1
Application number: PCT/CN2019/080915
Authority: WO
Inventors: 何承东; 李华; 丁辉
Original assignee: 华为技术有限公司
Priority date: 2018-04-09
Filing date: 2019-04-02
Publication date: 2019-10-17
Also published as: CN110366159A; CN110366159B

Abstract

本申请提供一种获取安全策略的方法和装置，该方法包括：当归属网络中的安全边缘保护代理网元hSEPP接收到拜访网络中的安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP会从第一策略存储设备中获取安全策略，该安全策略包括服务授权安全策略；所述hSEPP根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；所述hSEPP向所述vSEPP发送经过处理的服务响应消息。其中，所述服务响应消息中包括服务授权安全策略。以使得vSEPP和hSEPP根据该服务授权安全策略进行消息的加解密，从而提升消息传输的安全性。

Description

一种获取安全策略的方法及设备

本申请要求于2018年4月9日提交中国国家知识产权局、申请号为201810308968.9、发明名称为“一种获取安全策略的方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信领域，更具体地，涉及通信领域中获取安全策略的方法及设备。

背景技术

随着通信系统的不断发展，基于服务的网络架构(service based architecture，SBA)得到的广泛的应用，在基于服务的网络架构中，根据能够提供的特定网络功能的网络实体称为网络功能(network function，NF)模块，网络功能可以以服务的方式提供。

在基于服务的网络架构中，任意两个网络功能模块可以通过服务化接口以网络功能服务调用的方式交互。但是在漫游的场景下，需要注意拜访网络和归属网络之间消息传递时的安全。

如图1所示，在漫游架构中确定了安全边界保护代理(Security Edge Protection Proxy，SEPP)功能。SEPP主要的功能是完成拜访网络和归属网络消息传递时的安全。其中vSEPP表示拜访网络中部署的SEPP，hSEPP表示归属网络中部署的SEPP。

具体的，vSEPP和hSEPP之间的安全机制可应用于保护应用层传输的安全。其中，应用层安全指的是如何对N32消息中的某些敏感信息进行保护(例如加密)。如何获取安全策略，使得vSEPP/hSEPP根据该安全策略对N32消息中的某些敏感信息进行保护显得尤为重要。

发明内容

本申请提供一种获取安全策略的方法和设备，通过vSEPP与第一策略设备的交互以获取安全策略，进而向hSEPP发送该策略，以使得vSEPP与hSEPP根据该安全策略进行信息传输从而提升漫游场景下信息传输的安全性。

第一方面，本申请提供了一种获取安全策略的方法，该方法包括：当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；接收所述第一策略存储设备发送的安全策略；向vSEPP发送所述安全策略。

其中，需要指出的是，第一安全边缘保护代理网元hSEPP为归属网络中的安全边缘保护代理网元；第二安全边缘保护代理网元vSEPP为拜访网络中的安全边缘保护代理网元。

其中，需要指出的是，该第一策略存储设备可以是统一数据管理(unified data management，UDM)网元，也可以是策略管控功能网元(policy control function，PCF)，还可以是网络功能数据库功能(Network repository function，NRF)网元。

其中，需要指出的是，该第一策略存储设备中可以存储该运营商网络中所有网络功能所对应的安全策略，也可以存储服务授权安全策略。hSEPP通过与第一策略存储网元交互以获取安全策略，并向vSEPP发送该策略，那么hSEPP和vSEPP就可以利用该安全策略进行信息传输，从而提升信息传输的安全性。

结合第一方面，可选的，所述服务请求中包括目标服务标识；所述安全策略为所述目标服务标识对应的安全策略。该安全策略包括服务访问安全策略。可以理解的是，该目标服务标识可以是所需服务的名称，也可以所述服务的序列号。

结合第一方面，可选的，所述安全策略为所述第一策略存储设备所存储的所有安全策略。其中，该安全策略包括服务访问安全策略。

另外，需要指出的是，所述第一策略存储设备所存储的所有安全策略中包括所需服务所对应的安全策略；

相应的，所述hSEPP向所述vSEPP发送所述安全策略，包括：

所述hSEPP向所述vSEPP发送所需服务所对应的安全策略。

进一步，如果所述第一策略存储设备所存储的所有安全策略中包括服务授权安全策略和所需服务所对应的安全策略；

相应的，所述hSEPP向所述vSEPP发送所述安全策略，包括：

所述hSEPP向所述vSEPP发送所述服务授权安全策略和所需服务所对应的安全策略。

结合上述描述，可以理解的是，如果hSEPP没有存储或者通过上述交互没有接收到服务授权按策策略，那么hSEPP还需要获取服务授权安全策略。具体的，可以向第二策略存储设备发送获取请求。

需要指出的是，如果第二策略存储设备与所述第一策略存储设备为同一设备。那么该hSEPP可通过上述的安全策略请求来获取所述服务授权安全策略。

具体的，hSEPP接收vSEPP发送的服务发现请求；所述hSEPP向第一策略存储设备发送安全策略请求；所述hSEPP接收所述第一策略存储设备发送的安全策略，其中，该安全策略就包括服务授权安全策略；当然，该安全策略还包括所需服务对应的安全策略或所述第一策略存储设备存储的所有服务所对应的安全策略；所述hSEPP向所述vSEPP发送所述安全策略。可以理解的是，第一策略存储设备中存储的每项服务都有对应的安全策略。比如，服务1对应服务1的安全策略，服务2对应服务2的安全策略。在此不再一一例举。

另外，可以理解的是，如果第二策略存储设备与所述第一策略存储设备不是同一设备。那么该hSEPP可向所述第二策略存储设备发送请求消息来获取服务授权安全策略。其中，该第二策略存储设备可以UDM，也可以是PCF，还可以是NRF网元。具体的，所述hSEPP向所述第二策略存储设备发送第一请求，其中，所述第一请求用于获取服务授权安全策略；接收所述第二策略存储设备发送的所述服务授权安全策略；向所述vSEPP发送所述服务授权安全策略。另外，需要指出的是，所述hSEPP和所述vSEPP所支持的安全策略可能相同，也可能不同，那么，所述hSEPP向所述vSEPP发送所述服务授权安全策略之后，所述vSEPP会反馈对于所述服务授权安全策略的支持情况，当然，hSEPP也会接收到vSEPP的反馈。具体的，所述hSEPP接收所述vSEPP发送的通知消息，所述通知消息用于指示所述vSEPP所支持的安全策略或所述vSEPP所不支持的安全策略。可以理解的是，如果存在vSEPP不支持的安全策略的话，所述hSEPP和所述vSEPP可以进行策略协商。

进一步，需要指出的是，hSEPP接收到服务授权安全策略之后，会根据该服务授权安全策略对服务响应消息中的部分字段进行加密。

具体的，所述hSEPP根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密；所述hSEPP向所述vSEPP发送所述服务响应消息。

可以理解的是，向所述vSEPP发送的所述服务响应消息应该是所述hSEPP处理过的服务响应消息。

进一步，需要指出的是，hSEPP向vSEPP发送完服务授权安全策略之后，还有可能接收到所述vSEPP发送的业务请求消息；所述hSEPP利用所述服务授权安全策略对所述业务消息进行解密；所述hSEPP向服务提供设备发送解密的业务请求消息。

可以理解的是，vSEPP接收到hSEPP发送的服务响应消息和服务授权安全策略之后，也会做一些处理，具体包括：vSEPP接收hSEPP发送的服务响应消息和服务授权安全策略；所述vSEPP根据所述服务授权安全策略对所述服务响应消息中的的服务授权字段进行解密；向接入和移动管理网元AMF发送所述服务响应消息。

第二方面，本申请提供了一种获取安全策略的安全设备，用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。所述安全设备包括：

发送单元，用于当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；

接收单元，用于接收所述第一策略存储设备发送的安全策略；

所述发送单元，还用于向所述vSEPP发送所述安全策略。

其中，可选的，所述服务请求中包括目标服务标识；所述安全策略包括所述目标服务标识对应的安全策略。

其中，可选的，所述安全策略为所述第一策略存储设备所存储的所有安全策略。

其中，可选的，所述安全策略包括服务访问安全策略。

结合第二方面，可以理解的是，该安全设备可以通过请求来获取服务授权安全策略。具体的，所述发送单元，还用于向所述第二策略存储设备发送第一请求，其中，所述第一请求用于获取服务授权安全策略；

所述接收单元，还用于接收所述第二策略存储设备发送的所述服务授权安全策略；

所述发送单元，还用于向所述vSEPP发送所述服务授权安全策略。

可选的，收到服务授权安全策略后，可以根据服务授权安全策略对服务响应消息进行处理，具体的，所述安全设备还包括加密单元；

所述加密单元，还用于根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；

所述发送单元，还用于向所述vSEPP发送经过处理的服务响应消息。

可选的，该安全设备向所述vSEPP发送所述服务授权安全策略之后，还会收到vSEPP发送的通知消息。具体的：

所述接收单元，还用于接收所述vSEPP发送的通知消息，所述通知消息用于指示所述vSEPP所支持的安全策略或所述vSEPP所不支持的安全策略。

第三方面，本申请提供了一种获取安全策略的装置，该装置包括：存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序，当存储器中的计算机程序被执行时，该收发器和处理器执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第四方面，本申请提供了一种计算机可读介质，用于存储计算机程序，该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。

第五方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面或第一方面的任意可能的实现方式中的方法。

第六方面，本申请提供了一种芯片，包括：输入接口、输出接口、至少一个处理器、存储器，所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连，所述处理器用于执行所述存储器中的代码，当所述代码被执行时，所述处理器用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。

附图说明

图1是本申请实施例的5G漫游架构图；

图2是本申请实施例的一种服务调用流程图；

图3是本申请实施例的一种服务对应的安全策略示意图；

图4是本申请实施例的另一种服务调用流程图；

图5是本申请实施例的另一种服务调用流程图；

图6是本申请实施例的一种安全边缘保护代理网元的结构示意图；

图7是本申请实施例的一种安全边缘保护代理网元的物理结构图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

图1示出了本申请实施例提供的5G漫游架构的示意性框图。该网络架构以服务为基础，得到多种不同类型的网络功能模块，网络功能模块之间通过服务化接口以网络功能服务调用的方式进行交互。

应理解，本申请实施例中的网络功能模块具有特定功能和网络接口，可以是专用硬件上的网元，也可以是专用硬件上运行的软件实例，还可以是相关平台(如云基础设施上)上的虚拟功能实例，本申请实施例对此不作限定。

下面将结合图1对该基于服务的网络架构中的各个模块进行介绍：

无线接入网络(radio access network，RAN)：负责用户设备(user equipment，UE)的接入。可以理解的是，在实际表述过程中，RAN也可以简写为AN。

可选地，本申请实施例中的UE可以是移动的或固定的，该UE可以指接入终端、终端设备、移动终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol，SIP)电话、无线本地环路(wireless local loop，WLL)站、个人数字处理(personal digital assistant，PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、未来的第五代(5th generation，5G)系统或新无线(new radio，NR)系统中的用户设备。

访问与移动性管理功能(access and mobility management function，AMF)模块：负责与现有的移动管理实体(mobile management entity，MME)中的移动性管理类似的功能，用于控制UE对网络资源的访问和对UE的移动进行管理。AMF模块与RAN模块互相通信，以对接入网控制面进行处理，其中，N2不是服务化接口。

鉴权服务功能(authentication server function，AUSF)模块：负责密钥的生成，以及与UE之间的双向鉴权。

会话管理功能(session management function，SMF)模块：负责管理UE的会话，包括会话的建立、修改和释放。

网络开放功能(network exposure function，NEF)模块：负责将核心网内的网络功能服务安全地提供给外部网络实体服务，以及内外网信息转换等。

网络功能(network fuction)模块：是指一个能够提供网络服务的网元，比如AUSF、AMF或UDM。

网络功能数据库功能(Network repository function，NRF)模块：负责服务发现等功能。当然，网络功能数据库的英文全称还可以是NF repository function.

策略管控功能(policy control function，PCF)模块：负责管理网络行为的统一策略框架；提供策略规则给控制平面执行等功能。

统一数据管理(unified data management，UDM)模块：包括前端(front end，FE)和用户数据库(user data repository，UDR)。其中，FE负责信用评级处理、位置管理、订阅管理等功能，并可以访问存储在UDR中的用户订阅数据，UDR是一个用户订阅数据存储服务器，负责向前端提供用户订阅数据。

应用功能(application function，AF)模块：提供应用服务。

其中，上述各个模块也可以解释为各个网元或功能网元。比如UDM可以理解为UDM网元或UDM功能网元，NRF可以理解为NRF网元或NRF功能网元。

如图1中所示，AMF模块具有服务化接口N _AMF、SMF模块具有服务化接口N _SMF、AUSF模块具有服务化接口N _AUSF、NEF模块具有服务化接口N _NEF、NRF模块具有服务化接口N _NRF、PCF模块具有服务化接口N _PCF、UDM模块具有服务化接口N _UDM、AF模块具有服务化接口N _AF。

应理解，本申请实施例中的各个网络功能模块的服务化接口的还可以为其它名称，本申请实施例对此不作限定。

如图2所示，现有技术中提供了一种获取服务对应的安全策略的方法。具体的，网络功能提供网元Producer NF在向网络功能数据库功能网元NRF注册服务的同时，提供所注册服务对应的安全策略。当NRF收到来自hSEPP的服务发现请求消息时，则在响应消息中返回服务相关信息Service profile及服务对应安全策略。具体流程如图2所示(前缀v表示网络功能(Network Function，NF)部署在拜访网络，前缀h表示网络功能部署在归属网络，后文不再一一解释)。

步骤A)服务注册

1.Producer NF向hNRF发送服务注册请求，其中携带自身网络功能类型NF Type，网络功能标识NF ID，待注册服务信息及各服务对应安全策略；

2.hNRF收到Producer NF所发送的服务注册请求后，返回响应消息通知注册成功。

步骤B)安全策略传递

3.若拜访网络中的服务请求网元Consumer NF需调用归属网络Producer NF所提供的服务1，则向vNRF发起服务发现请求消息，其中携带目标公共陆地移动网络标识(public land mobile network identity，PLMN-ID)及服务名1，指示需查找目标网络中可提供服务1的服务相关信息，如目标网络功能实例标识NF instance id，NF Type，NF地址/域名等信息。

4-5.当vNRF收到来自Consumer NF所发送的服务发现请求消息后，则将该消息经由vSEPP和hSEPP到达PLMN-ID对应的目标网络中的hNRF网元。

6.当hNRF收到来自hSEPP的服务发现请求消息后，将返回服务相关信息至hSEPP，其中可包含服务授权令牌(token)信息，网元实例类型，网元地址等信息。此外，hNRF还将提供服务1所对应的安全策略至hSEPP。

其中，需要指出的是，该服务1对应的安全策略包括服务提供者提供的服务资源名称(如UE-authentications)，服务调用方法(http中的方法，如POST)，调用方向(请求或者响应),信元名称(如：ueID)，保护方法(如：加密enc)。

7.hSEPP收到来自hNRF的响应消息后，则将该消息转发至vSEPP，其中包含服务1相关信息及服务1所对应的安全策略。

8-10.vSEPP接收来自hSEPP的响应消息，其中包含服务1相关信息及服务1所对应的安全策略。随后vSEPP将服务1相关信息经由vNRF发送至Consumer NF。

C)服务消息传递

11.Consumer NF根据第10步中所收到的服务相关信息，向Consumer NF发送业务请求，其中可包含SUPI信息，SUPI为用户永久标识。由于涉及网间交互，该消息将经由vSEPP和hSEPP传递至Consumer NF。

12.vSEPP接收来自Consumer NF所发起的服务1请求消息，根据步骤8中所接收的安全策略，vSEPP对消息中的SUPI信元执行加密操作，并将处理后的请求消息发送至hSEPP。

13.hSEPP接收来自vSEPP的服务1请求消息，根据其在步骤7所收到的安全策略对请求消息中的SUPI信元执行解密操作，并将处理后的请求消息发送至Producer NF。

14.Producer NF接收到该服务1请求消息后，将返回相应的响应消息。响应消息中可携带SUPI标识，及需加密的敏感信元AVP 1。

15.hSEPP接收来自Producer NF所发送的服务1响应消息，根据该服务对应的加密策略，hSEPP对响应消息中的SUPI及AVP 1执行加密操作。并将处理后的消息发送至vSEPP。

16.vSEPP接收来自hSEPP所返回的服务1响应消息，并根据该服务对应的加密策略，对响应消息中的SUPI及AVP 1执行解密操作。并将处理后的消息发送至Consumer NF。

结合图2以及步骤1-16，可以理解的是，现有技术中涉及到安全策略是指所需服务所对应的安全策略。对于hNRF反馈的重要的信息是没有对应的安全策略的。

如图3所示，当拜访网络请求的是归属网络中的AUSF所提供的Nausf_Auth服务，其对应的安全策略如图3所示。该服务所涉及资源中以下内容需执行加密操作：Request消息中的UE ID，Response消息中的UE ID；Response消息中的鉴权向量5gAkaData/av5gAka。另外，需要指出的是，图3中r标识资源resource，m标识方法method(比如POST)，d表示方向(比如请求或响应)，e表示元素(比如用户标识ueId)，a表示动作(比如加密)。当hNRF收到来自hSEPP的服务发现请求消息后，将返回服务相关信息至hSEPP，其中可包含服务授权令牌(token)信息。具体的，该token是没有对应的处理策略的，如果以明文的形式进行发送，该token会存在安全风险。

图4示出了本申请实施例提供的获取安全策略的方法的示意性流程图，该方法可以应用于如图1中所示的网络架构。所述方法包括：

1.Consumer NF向vNRF发起服务发现请求，其中携带服务名1及目标PLMN-ID；

其中，可以理解的是，服务名1为Consumer NF所需的服务。该Comsumer NF为所需服务的网元。

2-4.vNRF通过vSEPP/hSEPP发送该请求消息至hNRF，hNRF返回服务1相关信息Service profile，其中包含服务1对应token信息。

5.hSEPP向第一策略存储设备发送请求消息，该请求消息用于请求安全策略。

其中，所述第一策略存储设备可以是hPCF，可以是hUDM，也可以是hNRF。

具体的，步骤5有两种实现方式，包括：该请求消息可以是请求策略存储设备所存储的所有服务所对应的安全策略(具体实现方式如步骤5a所示)，也可以是请求某一服务所对应的安全策略(具体实现方式如步骤5b所示)。

5a.hSEPP向策略存储设备发送请求消息，用于请求所有服务可用的安全策略；

5b.hSEPP向策略存储设备请求服务1对应的安全策略；此外，hSEPP同时还可请求NRF的服务授权安全策略。

可选地，如果第一策略存储设备上没有存储服务授权安全策略，hSEPP需要向第二策略存储设备请求服务授权安全策略。其中，该第二策略存储设备可以是hPCF，可以是hUDM，也可以是hNRF。

举例来说，比如第一策略存储设备是UDM或PCF，第二策略存储设备为hNRF.那么hSEPP就需要向第一存储设备请求所需服务所对应的安全策略，向第二策略存储设备请求服务授权安全策略。

举例来说，比如第一策略存储设备是hNRF，第二策略存储设备与第一策略存储设备相同，那么，可通过向第一策略存储设备发送请求消息来获取所需服务所对应的安全策略以及服务授权安全策略。

举例来说，比如第一策略存储设备是hNRF，第二策略存储设备与第一策略存储设备相同，那么，可通过向第一策略存储设备发送请求消息来获取所述第一策略存储设备所存储的所有安全策略。包括所需服务所对应的安全策略以及服务授权安全策略。

注：步骤5也可在步骤4前执行.

6.hSEPP在服务发现响应消息中返回服务授权安全策略以及服务1的安全策略，并根据所述服务授权安全策略对服务1相关信息中的token值进行加密；

其中，服务授权安全策略以及服务1的安全策略可以合并为1个策略。

6a.vSEPP收到来自hSEPP的响应消息后，根据服务授权安全策略对响应消息中的token值进行解密。此外，vSEPP根据自身配置返回确认消息确认(或者调用hSEPP的通知服务)接受该安全策略，此处还可能包含vSEPP支持的(或者不支持的)安全策略。

7-8.vSEPP经由vNRF将服务1相关信息发送至Consumer NF。

C)同现有技术步骤C。Consumer NF通过vSEPP发送服务请求消息。vSEPP对请求消息中特定信元进行加密，并将处理过的请求消息发送至hSEPP，由hSEPP对该请求消息中的特定信元进行解密，并转发该消息至Producer NF。Producer NF所返回响应消息则由hSEPP根据安全策略进行加密，vSEPP执行解密操作并转发至Consumer NF。

结合图2可知，现有技术中，网络功能提供网元Producer NF向NRF发送服务注册请求时，需要提供服务标识以及该服务对应的安全策略。需要指出的是，一个运营商网络中可能包括多个功能相同的网元，同一个运营商网络中，相同的功能对应的安全策略是相同的。因此，相同功能的网元在NRF注册时，每次都会传输安全策略，但是NRF只要存储一次就可以了，多次传输相同的安全策略会浪费网络带宽。举例来说，A运营商网络在10个区域部署了10个AUSF，那么每个AUSF向NRF注册时都会传输认证服务以及认证服务对应的策略，但是10个AUSF提供的认证服务的策略是相同的，那么相同的安全策略就会传输10次，从而浪费的带宽。

本发明提供了一种获取安全策略的方法，该方法可节省带宽，该方法具体包括：NRF接收服务提供网元发送的服务注册请求，所述服务注册请求中包括需要注册的服务；若所述NRF中没有存储与需要注册的服务所对应的安全策略，则向所述服务提供网元发送服务提供响应；接收所述服务提供网元发送的安全策略。另外，需要指出的是，所述服务提供响应中包括服务列表；以使得所述服务提供网元提供所述服务列表中每种服务所对应的安全策略。

相应的，服务提供网元会执行对称的操作，具体包括：服务提供网元向NRF发送服务注册请求，所述服务注册请求中包括需要注册的服务；接收所述业务管理网元发送的服务提供响应，其中，所述服务提供响应中包括服务列表；向所述业务管理网元发送所述服务列表中每种服务所对应的安全策略。

具体的，如图5所示，图5示出了本申请实施例提供的获取安全策略的方法的示意性流程图。该方法例如可以应用于如图1所示的网络架构。

1.Producer NF向NRF发送服务注册请求，其中携带NF Type，NF ID，NF Services等信息；

2-3.若hNRF未存储所注册服务对应的安全策略，所述hNRF向Producer NF请求所需安全策略信息；

4.Producer NF提供所请求安全策略信息至hNRF。

5-7.同图4中步骤1-3；

8.hSEPP向hNRF发送服务发现请求，其中携带指示信息指示NRF提供服务1及服务授权安全策略；

9.hNRF在响应消息中携带服务1profi le，其中包含token等服务相关信息，及服务1与服务授权对应安全策略；

10-12.同实施例1中步骤7-9.

上面结合图3至图5详细描述了本申请实施例提供的获取安全策略的方法，下面将结合图6至图7描述本申请实施例提供的用于获取安全策略的装置。

图6示出了本申请实施例提供的用于获取安全策略的装置600，该装置600包括：

发送单元610，用于当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；

接收单元620，用于接收所述第一策略存储设备发送的安全策略；

发送单元610，还用于向所述vSEPP发送所述安全策略。

其中，可选的，所述安全策略包括服务访问安全策略。

其中，如果第一策略存储设备中没有存储服务授权安全策略的话，就需要向第二策略存储设备进行请求。

具体的，发送单元610，还用于向所述第二策略存储设备发送第一请求，其中，所述第一请求用于获取服务授权安全策略；

接收单元630，还用于接收所述第二策略存储设备发送的所述服务授权安全策略；

发送单元620，还用于向所述vSEPP发送所述服务授权安全策略。

进一步可选的，所述安全设备还包括加密单元620；

加密单元620，还用于根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；

发送单元630，还用于向所述vSEPP发送经过处理的服务响应消息。

进一步可选的，接收单元610，还用于接收所述vSEPP发送的通知消息，所述通知消息用于指示所述vSEPP所支持的安全策略或所述vSEPP所不支持的安全策略。

应理解，这里的装置600以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit，ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中，本领域技术人员可以理解，装置600可以具体为上述图3所示的的hSEPP，装置600可以用于执行上述图3中hSEPP为主体所执行流程和/或步骤，为避免重复，在此不再赘述。

图7示出了本申请实施例提供的用于调用网络功能服务的装置700，该装置700可以是图7中所述的hSEPP，该hSEPP可以采用如图7所示的硬件架构。该hSEPP可以包括处理器710、收发器720和存储器730，该处理器710、收发器720和存储器730通过内部连接通路互相通信。

该处理器710可以包括是一个或多个处理器，例如包括一个或多个中央处理单元(central processing unit，CPU)，在处理器是一个CPU的情况下，该CPU可以是单核CPU，也可以是多核CPU。

该收发器720用于发送和接收数据和/或信号，以及接收数据和/或信号。该收发器可以包括发射器和接收器，发射器用于发送数据和/或信号，接收器用于接收数据和/或信号。

该存储器730包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(read-only memory，ROM)、可擦除可编程存储器(erasable programmable read only memory，EPROM)、只读光盘(compact disc read-only memory，CD-ROM)，该存储器730用于存储相关指令及数据。

存储器730用于存储授权模块的程序代码和数据，可以为单独的器件或集成在处理器710中。

具体地，所述处理器710用于控制收发器与vSEPP或hNRF通信。具体可参见方法实施例3中的描述，在此不再赘述。

可以理解的是，图7仅仅示出了授权模块的简化设计。在实际应用中，授权模块还可以分别包含必要的其他元件，包含但不限于任意数量的收发器、处理器、控制器、存储器等，而所有可以实现本申请的授权模块都在本申请的保护范围之内。

在一种可能的设计中，装置700可以为芯片，例如可以为可用于授权模块中的通信芯片，用于实现授权模块中处理器710的相关功能。该芯片可以为实现相关功能的现场可编程门阵列，专用集成芯片，系统芯片，中央处理器，网络处理器，数字信号处理电路，微控制器，还可以采用可编程控制器或其他集成芯片。该芯片中，可选的可以包括一个或多个存储器，用于存储程序代码，当所述代码被执行时，使得处理器实现相应的功能。

另外，需要指出的是，图3至图5所涉及的网元，其构造均可如图7所示，包括处理器，收发器，存储器等部件，存储器中存储有程序代码，当所述程序代码被执行时，各个网元执行如图3至图5所示的功能。

应理解，本申请实施例中的第一网络功能模块、第二网络功能模块和授权模块均为具有特定功能和网络接口，可以是同一个专用硬件上的不同网元，也可以是同一个专用硬件上运行的不同软件实例，还可以是同一个相关平台(如云基础设施上)上的不同虚拟功能实例，本申请实施例对此不作限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，数字通用光盘(digital versatile disc，DVD))、或者半导体介质(例如SSD)等。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，该流程可以由计算机程序来指令相关的硬件完成，该程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。而前述的存储介质包括：ROM或RAM、磁碟或者光盘等各种可存储程序代码的介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种获取安全策略的方法，其特征在于，所述方法包括：

当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；

所述hSEPP接收所述第一策略存储设备发送的安全策略；

所述hSEPP向所述vSEPP发送所述安全策略。
根据权利要求1所述的方法，其特征在于，所述服务请求中包括目标服务标识；所述安全策略包括所述目标服务标识对应的安全策略。
根据权利要求1所述的方法，其特征在于，所述安全策略为所述第一策略存储设备所存储的所有安全策略；其中，所述第一策略存储设备所存储的所有安全策略中包括所需服务所对应的安全策略；

所述hSEPP向所述vSEPP发送所述安全策略，包括：

所述hSEPP向所述vSEPP发送所需服务所对应的安全策略。
根据权利要求1至3任一所述的方法，其特征在于，所述安全策略包括服务访问安全策略。
根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

所述hSEPP向所述第二策略存储设备发送第一请求，其中，所述第一请求用于获取服务授权安全策略；

所述hSEPP接收所述第二策略存储设备发送的所述服务授权安全策略；

所述hSEPP向所述vSEPP发送所述服务授权安全策略。
根据权利要求5所述的方法，其特征在于，所述方法还包括：

所述hSEPP根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；

所述hSEPP向所述vSEPP发送经过处理的服务响应消息。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

所述hSEPP接收所述vSEPP发送的通知消息，所述通知消息用于指示所述vSEPP所支持的安全策略或所述vSEPP所不支持的安全策略。
一种安全设备，其特征在于，所述安全设备包括：

发送单元，用于当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；

接收单元，用于接收所述第一策略存储设备发送的安全策略；

所述发送单元，还用于向所述vSEPP发送所述安全策略。
根据权利要求8所述的安全设备，其特征在于，所述服务请求中包括目标服务标识；所述安全策略包括所述目标服务标识对应的安全策略。
根据权利要求8所述的安全设备，其特征在于，所述安全策略为所述第一策略存储设备所存储的所有安全策略；其中，所述第一策略存储设备所存储的所有安全策略中包括服务授权安全策略以及所需服务所对应的安全策略；所述发送单元，具体用于向所述vSEPP发送所述服务授权安全策略以及所需服务所对应的安全策略。
根据权利要求8至10任一所述的安全设备，其特征在于，所述安全策略包括服务访问安全策略。
根据权利要求8至10任一所述的安全设备，其特征在于，

所述发送单元，还用于向所述第二策略存储设备发送第一请求，其中，所述第一请求用于获取服务授权安全策略；

所述接收单元，还用于接收所述第二策略存储设备发送的所述服务授权安全策略；

所述发送单元，还用于向所述vSEPP发送所述服务授权安全策略。
根据权利要求12所述的安全设备，其特征在于，所述安全设备还包括加密单元；

所述加密单元，还用于根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；

所述发送单元，还用于向所述vSEPP发送经过处理的服务响应消息。
根据权利要求13所述的安全设备，其特征在于，

所述接收单元，还用于接收所述vSEPP发送的通知消息，所述通知消息用于指示所述vSEPP所支持的安全策略或所述vSEPP所不支持的安全策略。