一种通信方法及相关装置与流程
本申请涉及无线通信技术领域,尤其涉及一种通信方法及相关装置。
背景技术:
在长期演进(longtermevolution,lte)系统中,终端设备和基站之间执行加密/解密和完整性保护的安全操作,对信令提供加密保护和完整性保护。由于不同终端设备的安全能力不同,例如,所支持的加密算法或完整性保护算法不同,因此在接入层(accessstratum,as)进行加密保护和完整性保护之前,需要在终端设备和基站间协商一套安全算法。协商安全算法的过程包括以下步骤:
1、终端设备通过基站向移动性管理实体(mobilitymanagemententity,mme)发送附着请求;其中,附着请求中携带终端设备支持的算法。
2、基站根据预配置的服务网络允许使用的算法,并结合mme转发的终端设备支持的算法,选择服务网络所支持的安全算法。该安全算法包括加密算法和完整性保护算法。基站根据选择的加密算法生成as的加密秘钥,根据完整性保护算法生成完整性保护密钥。其中,基站选择出的服务网络所支持的安全算法既是用户面的安全算法,也是应用于信令面的安全算法。
3、基站和终端设备通过as安全模式命令(securitymodecommand,smc)的流程使终端设备将基站选择出的安全算法应用于用户面和信令面。比如,将基站选择的加密算法和完整性保护算法携带在assmc中发送给终端设备。
现有技术中通过assmc流程确定出同时应用于用户面和信令面的一种安全算法,且安全算法包括加密算法和完整性保护算法,这种安全算法的协商方案较为固定,比如用户面和信令面适用同一套安全算法,不能拆分,再比如加密算法和完整性保护算法必须同时确定出,也不能拆分,可见这种安全协商算法较为固定,并不能适应现在灵活多变的应用场景。
技术实现要素:
本申请实施例提供一种通信方法、相关装置及存储介质,用于能够灵活的单独协商用户面完整性保护算法的方案。
第一方面,本申请实施例提供一种通信方法,包括:基站获取安全策略,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护;当完整性保护指示信息指示基站对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法。如此,可根据安全策略灵活的为终端设备选择是否开启完整性保护,且仅在对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法,一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
可选地,所述完整性保护指示信息为用户面完整性保护算法的标识。也就是说若确定安全策略中携带用户面完整性保护算法的标识,则可确定基站对终端设备开启完整性保护。该实施例中安全策略中携带的用户面完整性保护算法的标识可以为一个或多个(可以称为算法列表),该实施例中安全策略中携带的用户面完整性保护算法可以是根据服务网络允许的用户面完整性保护算法、终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法中的至少一项确定的;也可以说安全策略中携带的的用户面完整性保护算法是服务网络允许的用户面完整性保护算法。
可选地,基站获取安全策略可以是基站从其它网元接收安全策略,也可以是基站从预先存储在基站的至少一个安全策略中确定出安全策略。预先存储在基站侧的安全策略也可以成为预先配置在基站侧的安全策略。基站从预先存储在基站的至少一个安全策略中获取安全策略的方式有多种,比如可根据终端标识与预存储在基站的安全策略的对应关系,确定出终端设备的标识对应的且存储在基站的安全策略;再比如,可以根据会话标识与预存储在基站的安全策略的对应关系,确定出会话标识对应的且存储在基站的安全策略;方案可以与smf实体获取安全策略的方案类似,在此不再赘述。
可选地,基站向终端设备发送目标用户面完整性保护算法,包括:基站通过rrc信令向终端设备发送目标用户面完整性保护算法。通过复用现有技术中的rrc信令的方式实现本申请实施例提供的方案,从而更好的兼容现有技术,且对现有技术改动较小。
一种可选地实现基站向终端设备发送目标用户面完整性保护算法的方式中,基站向终端设备发送目标信令面完整性保护算法,终端设备将接收到的目标信令面完整性保护算法也确定为目标用户面完整性保护算法,也就是说基站向终端设备发送完整性保护算法,该完整性保护算法既是信令面完整性保护算法也是用户面完整性保护算法。
可选地,在基站向终端设备发送目标用户面完整性保护算法之前,方法还包括:基站根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法。如此可既考虑终端设备的安全能力也考虑基站的安全能力,从而使确定出的目标用户面完整性保护算法同时与终端设备的安全能力和基站的安全能力匹配。
可选地,基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,如此可以选择出在基站侧更优的目标用户面完整性保护算法。或者,可选地,终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,如此可以选择出在终端设备侧更优的目标用户面完整性保护算法。
可选地,安全策略还包括服务网络允许的用户面完整性保护算法;基站根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法,包括:基站根据基站允许的用户面完整性保护算法,终端设备支持的用户面完整性保护算法,以及服务网络允许的用户面完整性保护算法,确定目标用户面完整性保护算法,如此可既考虑终端设备的安全能力也考虑基站的安全能力,同时还考虑到服务网络的实际状态,从而使确定出的目标用户面完整性保护算法一方面可与终端设备的安全能力和基站的安全能力匹配,另一方面与服务网络的实际状态更加匹配。
可选地,在安全策略还包括服务网络允许的用户面完整性保护算法的情况下,基站也可以将安全策略中所包括的服务网络允许的用户面完整性保护算法之外的算法确定为目标用户面完整性保护算法。比如可以从基站允许的用户面完整性保护算法中确定出一个算法作为目标用户面完整性保护算法。
可选地,服务网络允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,如此可以选择出基于服务网络的更优的目标用户面完整性保护算法。
可选地,方法还包括:当安全策略还包括加密指示信息,且加密指示信息用于指示基站对终端设备开启加密保护时,基站向终端设备发送目标用户面加密算法;或者,当安全策略还包括密钥长度时,基站向终端设备发送密钥长度;或者,当安全策略还包括d-h指示信息,且d-h指示信息用于指示基站对终端设备开启d-h时,基站向终端设备发送d-h相关密钥。如此,可以更加灵活的对安全策略中的任一个信息进行指示,使最终确定的安全策略更加适应复杂的应用场景。
可选地,在基站向终端设备发送目标用户面完整性保护算法之前,还包括:基站从smf实体接收终端设备的当前会话的服务质量;基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载。
为了节省资源,可选地,基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载,包括:当基站上存在至少一个历史的无线数据承载满足第一条件时,基站将满足第一条件的至少一个历史的无线数据承载中的一个确定为目标无线数据承载;其中,满足所述第一条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的服务质量与所述当前会话的所述服务质量相同,且所述安全策略与所述每个无线数据承载支持的安全策略相同。
可选地,第一条件包括:两个无线数据承载的服务质量相同,且两个无线数据承载的安全策略相同。
为了节省资源,另一种可选地方案中,基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载,包括:当基站上不存在历史的无线数据承载满足第一条件,但存在至少一个历史的无线数据承载满足第二条件时,基站将满足第二条件的至少一个历史的无线数据承载中的一个进行更新后确定为目标无线数据承载;其中,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的与所述当前会话的所述服务质量相同,且所述安全策略与所述每个无线数据承载支持的安全策略匹配;或者,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的与所述当前会话的所述服务质量匹配,且所述安全策略与所述每个无线数据承载支持的安全策略相同;或者,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的与所述当前会话的所述服务质量匹配,且所述安全策略与所述每个无线数据承载支持的安全策略匹配。
可选地,第二条件包括:两个无线数据承载的服务质量匹配,且两个无线数据承载的安全策略相同。或者,可选地,第二条件包括:两个无线数据承载的服务质量相同,且两个无线数据承载的安全策略匹配。或者,可选地,第二条件包括:两个无线数据承载的服务质量匹配,且两个无线数据承载的安全策略匹配。
为了选择出合适的目标无线数据承载,另一种可选地方案中,基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载,包括:当基站上不存在历史的无线数据承载满足第一条件,且不存在至少一个历史的无线数据承载满足第二条件时,基站根据安全策略和服务质量中的至少一种,为终端设备创建目标无线数据承载。
为了选择出合适的目标无线数据承载,另一种可选地方案中,基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载,包括:当基站上不存在历史的无线数据承载满足第一条件时,基站根据安全策略和服务质量中的至少一种,为终端设备创建目标无线数据承载。
为了选择出合适的目标无线数据承载,另一种可选地方案中,基站根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载,包括:基站根据安全策略和服务质量中的至少一种,为终端设备创建目标无线数据承载。
可选地,基站获取安全策略,包括:基站从smf实体接收安全策略;或者;基站从smf实体接收安全策略的标识,并根据安全策略的标识,获取安全策略。
可选地,本申请实施例中还包括:基站获取终端设备支持的信令面安全算法;基站根据终端设备支持的信令面安全算法,以及基站允许的信令面安全算法,确定目标信令面安全算法;基站将目标信令面安全算法携带在接入层as安全模式命令smc中发送给终端设备,如此可实现信令面的算法与用户面安全算法的解耦合,从而使用户面安全算法和信令面安全算法单独协商,从而为更加灵活的确定用户面安全算法提供了基础。
可选地,基站在确定开启用户面完整性保护的情况下,开启用户面完整性保护。
可选地,基站在确定开启用户面加密保护的情况下,开启用户面加密保护。
可选地,基站在确定暂时不开启用户面完整性保护的情况下或者当前无法确定是否开启用户面完整性保护的情况下,不开启用户面完整性保护。
可选地,基站在确定暂时不开启用户面加密保护的情况下或者当前无法确定是否需要开启用户面加密保护的情况下,不开启用户面加密保护。
其中,暂时的意思是指具有一个时间段,暂时不开启用户面完整性保护是指一个时间段内不开启用户面完整性保护,在另一个时间段内开启用户面完整性保护。暂时不开启用户面加密保护是指一个时间段内不开启用户面加密保护,在另一个时间段内开启用户面加密保护。
一种可选地实施方式中,网络规定的在接收到as安全模式命令后可以开启用户面加密保护,而用户面完整性保护是否开启由rrc重配置消息来通知终端设备,这种情况下终端设备无法确定是否开启用户面完整性保护。
另一种可选地实施方式中,网络规定的在接收到as安全模式命令后,只开启信令面安全(开启信令面完整性保护和/或信令面加密保护),而用户面完整性保护是否开启以及用户面加密保护是否开启都由rrc重配置消息来通知终端设备,在这种情况下无法确定是否开启用户面完整性保护,也无法确定是否开启用户面加密保护。
可选地,不开启用户面完整性保护包括:在无法确定是否开启用户面完整性保护或者确定暂时不开启用户面完整性保护的情况下,生成用户面完整性保护密钥,但是不使用用户面完整性保护密钥进行用户面完整性保护,在确定开启用户面完整性保护的情况下使用用户面完整性保护密钥进行用户面完整性保护。这种实施方式中,在生成用户面完整性保护密钥之前获取用户面完整性保护算法,比如可以将信令面完整性保护算法也作为用户面完整性保护算法。
可选地,不开启用户面完整性保护包括:在确定开启用户面完整性保护的情况下生成用户面完整性保护密钥,并使用用户面完整性保护密钥进行用户面完整性保护;也就是说,在无法确定是否开启用户面完整性保护或者确定暂时不开启用户面完整性保护的情况下,用户面完整性保护的情况下可以不生成用户面完整性保护密钥。相对应的,比如针对终端设备和基站,若确定终端设备和基站永久不开启用户面完整性保护(比如可以是预设的条件等等),则可以不生成用户面完整性保护密钥。
可选地,不开启用户面加密保护包括:在无法确定是否开启用户面加密保护或者确定暂时不开启用户面加密保护的情况下,生成用户面加密密钥,但是不使用用户面加密密钥进行用户面加密保护,在确定开启用户面加密保护的情况下使用用户面加密密钥进行用户面加密保护。这种实施方式中,在生成用户面加密密钥之前获取用户面加密算法,比如可以将信令面加密算法也作为用户面加密算法。可选地,不开启用户面加密保护包括:在确定开启用户面加密保护的情况下生成用户面加密密钥,并使用用户面加密密钥进行用户面加密保护;也就是说,在无法确定是否开启用户面加密保护或者确定暂时不开启用户面加密保护的情况下,可以不生成用户面加密密钥。相对应的,比如针对终端设备和基站,若确定终端设备和基站永久不开启用户面加密保护(比如可以是预设的条件等等),则可以不生成用户面加密密钥。
可选地,基站获取完整性保护指示信息和/或加密指示信息,根据获取的完整性保护指示信息确定是否开启完整性保护;或者,根据加密指示信息确定是否开启用户面加密保护。其中,完整性保护指示信息用于指示是否开启用户面完整性保护,加密指示信息用于指示是否开启用户面加密保护。
可选地,基站获取完整性保护指示信息和/或加密指示信息的方式有多种,比如是基站判断后生成或者是接收到其它网元发送的完整性保护指示信息和加密指示信息中的至少一项。其它网元可以是smf实体。
可选地,基站可以向终端设备发送完整性保护指示信息和加密指示信息中的至少一项,以使终端设备确定是否开启用户面完整性保护和/或是否开启用户面加密保护。或者终端设备自己判断并确定是否开启用户面完整性保护和/或是否开启用户面加密保护。
可选地,完整性保护指示信息和/或加密指示信息可以是比特信息或算法的标识。比如,完整性保护指示信息为目标用户面完整性保护算法的标识;再比如加密指示信息为目标用户面加密保护算法的标识,再比如,用1比特信息指示完整性保护指示信息或加密指示信息,再比如,用2比特信息指示完整性保护指示信息和加密指示信息。第二方面,本申请实施例提供一种通信方法,包括:smf实体接收请求消息,请求消息包括安全策略的相关参数;smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识;smf实体向基站发送安全策略或安全策略的标识;其中,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护。一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
可选地,所述完整性保护指示信息为用户面完整性保护算法的标识。也就是说若确定安全策略中携带用户面完整性保护算法的标识,则可确定基站对终端设备开启完整性保护。该实施例中安全策略中携带的用户面完整性保护算法的标识可以为一个或多个(可以称为算法列表),该实施例中安全策略中携带的用户面完整性保护算法可以是根据服务网络允许的用户面完整性保护算法、终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法中的至少一项确定的;也可以说安全策略中携带的的用户面完整性保护算法是服务网络允许的用户面完整性保护算法。
可选地,安全策略的相关参数包括终端设备的标识,终端设备的数据服务网络名称dnn,终端设备的切片的标识,终端设备的服务质量和终端设备的会话标识中的至少一种。如此,可根据不同的标识从不同的角度或粒度实现安全策略的制定,更加灵活。
可选地,smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识,包括:安全策略的相关参数包括终端设备的标识,smf实体根据终端设备的标识与安全策略的关联关系以及终端设备的标识,获得安全策略,如此可实现在终端设备的粒度上的安全策略的确定,实现不同的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识,包括:安全策略的相关参数包括终端设备的切片的标识,smf实体根据切片的标识和安全策略的关联关系以及终端设备的切片的标识,获得安全策略,如此可实现在切片的粒度上的安全策略的确定,实现接入不同的切片的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识,包括:安全策略的相关参数包括终端设备的会话标识,smf实体根据会话标识和安全策略的关联关系以及终端设备的会话标识,获得安全策略,如此可实现在会话的粒度上的安全策略的确定,实现发起不同会话的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识,包括:安全策略的相关参数包括终端设备的服务质量;smf实体根据终端设备的服务质量,获得安全策略,如此可实现在服务质量的粒度上的安全策略的确定,实现发起不同服务质量的终端设备可对应不同的安全策略的目的。
可选地,安全策略还包括以下内容中至少一种:加密指示信息,加密指示信息用于指示基站对终端设备开启加密保护;密钥长度;d-h指示信息,d-h指示信息用于指示基站对终端设备开启d-h;和,服务网络允许的用户面完整性保护算法。如此,可以更加灵活的对安全策略中的任一个信息进行指示,使最终确定的安全策略更加适应复杂的应用场景。
可选地,smf实体向基站发送完整性保护指示信息和/或加密指示信息。完整性保护指示信息用于指示是否开启用户面完整性保护,加密指示信息用于指示是否开启加密保护。可选地,smf实体判断是否开启用户面完整性保护和/或是否开启用户面加密保护有多种实施方式,可以参见后续实施例,也可以参见基站判断是否开启用户面完整性保护和/或是否开启用户面加密保护的实施方式,在此不再赘述。
第三方面,本申请实施例提供一种基站,基站包括存储器、收发器和处理器,其中:存储器用于存储指令;处理器用于根据执行存储器存储的指令,并控制收发器进行信号接收和信号发送,当处理器执行存储器存储的指令时,基站用于执行上述第一方面或第一方面中任一种方法。
第四方面,本申请实施例提供一种smf实体,smf实体包括存储器、收发器和处理器,其中:存储器用于存储指令;处理器用于根据执行存储器存储的指令,并控制收发器进行信号接收和信号发送,当处理器执行存储器存储的指令时,smf实体用于执行上述第二方面或第二方面中任一种方法。
第五方面,本申请实施例提供一种基站,用于实现上述第一方面或第一方面中的任意一种方法,包括相应的功能模块,分别用于实现以上方法中的步骤。
第六方面,本申请实施例提供一种smf实体,用于实现上述第二方面或第二方面中的任意一种的方法,包括相应的功能模块,分别用于实现以上方法中的步骤。
第七方面,本申请实施例提供一种计算机存储介质,计算机存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第八方面,本申请实施例提供一种计算机存储介质,计算机存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第二方面或第二方面的任意可能的实现方式中的方法。
第九方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任意可能的实现方式中的方法。
第十方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第二方面或第二方面的任意可能的实现方式中的方法。
本申请实施例中,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护,基站获取安全策略,当完整性保护指示信息指示基站对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法。如此,可根据安全策略灵活的为终端设备选择是否开启完整性保护,且仅在对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法,一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
附图说明
图1为本申请实施例适用的一种系统架构示意图;
图2为本申请实施例提供的一种通信方法流程示意图;
图2a为本申请实施例提供的另一种通信方法流程示意图;
图2b为本申请实施例提供的另一种通信方法流程示意图;
图3为本申请实施例提供的一种基站的结构示意图;
图4为本申请实施例提供的一种终端设备的结构示意图;
图5为本申请实施例提供的另一种基站的结构示意图;
图6为本申请实施例提供的另一种终端设备的结构示意图。
具体实施方式
图1示例性示出了本申请实施例适用的一种系统架构示意图,如图1所示,在5g系统架构中,包括终端设备101。终端设备101可以经无线接入网(radioaccessnetwork,简称ran)与一个或多个核心网进行通信,终端设备可以指用户设备(userequipment,简称终端设备)、接入终端设备、用户单元、用户站、移动站、移动台、远方站、远程终端设备、移动设备、用户终端设备、终端设备、无线通信设备、用户代理或用户装置。接入终端设备可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol,简称sip)电话、无线本地环路(wirelesslocalloop,简称wll)站、个人数字处理(personaldigitalassistant,简称pda)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5g网络中的终端设备等。
与终端设备101连接的基站102。可选地,基站102可为5g基站(generationnodeb,gnb),可为演进的enb,也可以为lte基站enb,3g基站nb,或者演进的5g基站等新型基站,英文也可写为(r)an。基站102可以是用于与终端设备进行通信的设备,例如,可以是gsm系统或cdma中的基站(basetransceiverstation,bts),也可以是wcdma系统中的基站(nodeb,nb),还可以是lte系统中的演进型基站(evolutionalnodeb,enb或enodeb),还可以是5g基站或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5g网络中的网络侧设备或未来演进的plmn网络中的网络设备等。
会话管理功能(sessionmanagementfunction,smf)实体103,可以是lte中移动性管理模块(mobilitymanagemententity,mme)的功能拆分,可主要负责用户的会话建立,用户的会话建立后,才可以收发数据。lte系统中的mme是核心网侧负责安全、移动性管理和会话管理的网元。安全,即终端设备101在初始入网的时候,需要和网络进行相互认证。在互相认证之后,终端设备101和核心网会生成密钥。生成密钥后,终端设备101和mme会进行算法协商,也就是安全能力协商。移动性管理就是记录终端设备101的位置信息,根据终端设备101的位置信息为终端设备101选择合适的用户面网元设备。会话管理就是负责建立终端设备101的用户面链路,在建立好用户的数据面联络后,终端设备101才可以上网。
用户面功能(userplanefunction,upf)实体104可以是lte系统中中服务网关(servinggateway,s-gw)和公用数据网网关(publicdatanetworkgateway,p-gw)的合体,是终端设备101用户面的功能网元,主要负责连接外部网络。
专用网络(dedicatednetwork,dn)105可为终端设备101提供服务的网络,比如有些dn可以为终端设备101提供上网功能,有些dn可以为终端设备101提供短信功能。还包括策略控制功能(policycontrolfuntion,pcf)106。
鉴权服务器功能(authenticationserverfunction,ausf)实体107与认证凭证存储和处理功能(authenticationcredentialrepositoryandprocessingfunction,arpf)交互,并且终结来自seaf的鉴权请求。也是从lte系统的归属签约用户服务器(homesubscriberserver,hss)拆分出来的功能。ausf107可以是独立的网元。lte系统中的hss可以存储用户的签约信息,以及用户的长期密钥。
arpf可以合并到用户数据管理(userdatamanagement,udm)实体108中作为udm的一部分。arpf是从lte的hss中拆分出来的。主要用于存储长期密钥。与长期密钥相关的处理也在这里完成。
接入和移动性管理(accessandmobilitymanagementfunction,amf)实体109的功能是管理终端设备101的接入问题,还管理终端设备101的移动性。可以是lte中mme中的移动性管理模块(mobilitymanagement,mm)功能,同时加入了接入管理的功能。还可包括切片选择功能(sliceselectfunction,ssf)110。
安全锚点功能(securityanchorfunction,seaf)实体111负责终端设备101和网络侧的鉴权功能,会在鉴权成功后存储锚点密钥(anchorkey)。
安全上下文管理功能(securitycontextmanagementfunction,scmf)实体112,从seaf111获得密钥,进一步衍生其他密钥。是从mme拆分出来的功能。在实际情况中,seaf111和scmf112可能进一步独立成为一个单独的鉴权功能(authenticationfunction,auf)实体。如图1所示,seaf111和scmf112合并到amf109中组成一个网元。
图1中还示出了各个网元中的接口的可能实现方式,比如基站102和amf实体109之间的ng2接口,基站102与upf实体104之间的ng9接口等等,在此不再一一赘述。
图2示例性示出了本申请实施例提供的一种通信方法流程示意图。
基于上述内容,本申请实施例提供的一种通信方法,如图2所示,该方法包括:
步骤201,基站获取终端设备支持的信令面安全算法;可选地,有多种方式获取终端设备支持的信令面安全算法,终端设备支持的信令面安全算法至少包括至少一种信令面加密算法和至少一种信令面完整性保护算法,比如从amf处接收,再比如通过信令消息直接从终端设备处获得,或者预配置在基站上。
本申请实施例中提供一种方案用于实现上述步骤201,具体来说,终端设备向基站发送非接入层(non-accessstratum,nas)消息。nas消息是终端设备和核心网交互的信令面消息,如lte的附着请求(attachrequest),或者5g的注册请求(registrationrequest)。本实施例以5g的注册请求消息为例进行说明,其他nas消息遇到类似的步骤可做相同处理。终端设备向基站发送注册请求(registrationrequest),在该注册请求种携带终端设备支持的信令面安全算法。
上述示例中可选地,注册请求中也可携带终端设备支持的用户面安全算法。终端设备支持的用户面安全算法可包括终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法。终端设备支持的信令面加密算法、终端设备支持的信令面完整性保护算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法中的任两种算法可相同或不同。一种可选地方案中,终端设备可以将终端设备支持的信令面完整性保护算法、终端设备支持的信令面加密算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法这四者可以分别上报,或者,若这四个算法中存在至少两个算法相同,则对于相同的两个算法可以进上报一个算法,比如,若终端设备支持的信令面完整性保护算法和终端设备支持的用户面完整性保护算法相同,则终端设备仅上报终端设备支持的信令面完整性保护算法和终端设备支持的用户面完整性保护算法对应的相同的一个算法;若终端设备支持的信令面加密算法和终端设备支持的用户面加密算法相同,则终端设备仅上报终端设备支持的信令面加密算法和终端设备支持的用户面加密算法对应的相同的一个算法。
另一种可选地实施方式中,终端设备支持的信令面加密算法、终端设备支持的信令面完整性保护算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法都相同,则终端设备可仅上报一种算法用于指示该四种算法即可。比如,终端设备上报的算法分别为eea1,eea2,eia1,eia2;那么eea1和eea2可以既用于信令面加密算法选择,又用于用户面加密算法选择,同理eia1和eia2可以既用于信令面完整性保护算法选择,又可以用于用户面完整性保护算法选择。
再比如,终端设备上报的算法分别为eea11,eea12,eia11,eia12,eea21,eea23,eia21,eia22,那么eea11和eea12可以用于信令面加密算法选择,eea21和eea23用于用户面加密算法选择,eia11和eia12用于信令面完整性保护算法选择,eia21和eia22用于用户面完整性保护算法选择。再比如,终端设备上报的算法分别为eea11,eea12,eia1,eia2,eea21,eea23,eia21,eia22,那么eea11和eea12可以用于信令面加密算法选择,eea21和eea23用于用户面加密算法选择,eia1和eia2可以既用于信令面完整性保护算法选择,又可以用于用户面完整性保护算法选择。再比如,终端设备上报的算法分别为eea1,eea1,eia11,eia12,eia21,eia22,那么eea1和eea2可以既用于信令面加密算法选择,又用于用户面加密算法选择,eia11和eia12用于信令面完整性保护算法选择,eia21和eia22用于用户面完整性保护算法选择。
另一方面,一种可选地实施方案中,终端设备可以通过多条信令来上报终端设备支持的信令面安全算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法,其中一条信令中包括一种算法。另一种可选地方案中,通过一条或多条信令来上报终端设备支持的信令面安全算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法,其中一条信令中包括一种或多种算法,当一条信令中包括多种算法时,可在该条信令中预定义一些字段,这些字段用于承载对应算法,比如依次设置第一字段、第二字段和第三字段,第一字段预定义用于放置终端设备支持的信令面安全算法,第二字段预定义用于放置终端设备支持的用户面完整性保护算法,第三字段预定义用于放置终端设备支持的用户面加密算法。或者,当三种算法都相同时,仅在一条信令中上报一个算法,其它网元默认该一个算法同时为终端设备支持的信令面安全算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法。比如,终端设备上报的安全能力为eea1,eea2,eia1,eia2,那么eea1和eea2可以既用于信令面加密算法选择,又用于用户面加密算法选择,同理eia1和eia2可以既用于信令面完整性保护算法选择,又可以用于用户面完整性保护算法选择。再比如,ue上报的安全能力为eea11,eea12,eia11,eia12,eea21,eea23,eia21,eia22那么eea11和eea12可以用于信令面加密算法选择,eea21和eea23用于用户面加密算法选择,eia11和eia12用于信令面完整性保护算法选择,eia21和eia22用于用户面完整性保护算法选择。再比如,ue上报的安全能力为eea11,eea12,eia1,eia2,eea21,eea23,eia21,eia22那么eea11和eea12可以用于信令面加密算法选择,eea21和eea23用于用户面加密算法选择,eia1和eia2可以既用于信令面完整性保护算法选择,又可以用于用户面完整性保护算法选择。
可选地,基站将注册请求转发给amf,可选地,在amf与基站之间进行双向鉴权并与其它核心网网元,比如seaf、ausf、smf、pcf或udm等进行其它注册流程之后,amf发送第一注册接受消息(registrationaccept)给基站,基站将接收到的该第一注册接受信息转发给终端设备,转发的意思是不对消息本身进行改变,但由于承载消息的接口功能不同,会有额外参数添加到消息外,以实现消息传输功能,比如第一注册接受消息是通过n2接口发给基站,n2接口除了第一注册接受消息外,还有基站需要知道的信息。基站转发第一注册消息给ue是通过rrc消息,rrc消息中除了第一注册消息外,至少还会有其他ue需要知道的信息,或者能够找到ue的信息;或者将第一注册接受消息进行一定的转换,比如根据接口的不同进行格式转换等,将转换后的第一注册接受消息转发给终端设备。在此步骤中,若amf和基站之间的接口为ng2,则第一注册接受消息用ng2消息承载。第一注册接受消息中还携带有amf或seaf为基站生成的基础密钥(kan)和终端设备上报的终端设备支持的信令面安全算法。可选地,注册请求消息可以放到nas容器中,基础密钥(kan)和终端设备的安全能力,可能放到nas容器中,也可能放到nas容器外。
步骤202,基站根据终端设备支持的信令面安全算法,以及基站允许的信令面安全算法,确定目标信令面安全算法。
在步骤202中,可选地,基站可预配置基站允许的信令面安全算法,可选地,该基站允许的信令面安全算法中包括的算法为进行优先级排序的,比如根据运营商的偏好进行优先级排序,根据本地现实环境配置的优先级排序。可选地,该基站允许的信令面安全算法可以是通过网络管理设备配置给基站的,也可以在基站建立之初在安装软件环境的过程中配置完成,也可以通过其他方式进行配置。
步骤202中,一种可能的实现方式为,基站根据终端设备支持的信令面安全算法和具有优先级排序的基站允许的信令面安全算法,选择出具有优先级最高的同时又是终端设备支持的信令面安全算法作为目标信令面安全算法,目标信令面安全算法可包括一个加密算法和/或一个完整性保护算法。
其中一种可能的具体实现方式为,基站选出既存在于终端设备支持的信令面安全算法,且存在于基站允许的信令面安全算法中所有算法的集合,并从该算法的集合中选择出在基站允许的信令面安全算法中优先级较高的算法作为目标信令面安全算法。
这里需要说明的是,基站会至少根据运营商的喜好被配置或预配置有基站允许的信令面安全算法和基站允许的用户面安全算法。基站允许的信令面安全算法包括至少一个基站允许的信令面加密算法和/或至少一个基站允许的信令面完整性保护算法。基站允许的用户面安全算法包括至少一个基站允许的用户面加密算法和/或至少一个基站允许的用户面完整性保护算法。并且基站允许的信令面安全算法的至少一个基站允许的信令面加密算法和/或至少一个基站允许的信令面完整性保护算法是有优先级排序的,优先级排序可以由运营商决定。基站允许的用户面安全算法可以有优先级排序,也可以没有优先级排序。当基站允许的用户面安全算法和基站允许的信令面安全算法相同,并且基站允许的用户面安全算法的优先级排序和基站允许的信令面安全算法的优先级排序相同时,则基站可以只存一套有优先级排序的算法,即存储基站允许的且有优先级排序的用户面安全算法或存储基站允许的且有优先级排序的信令面安全算法。
可选地,基站基于该目标信令面安全算法仅仅生成信令面的相关密钥,比如信令面完整性保护密钥和信令面加密密钥。信令面的相关密钥比如为无线资源控制(radioresourcecontrol,rrc)相关密钥,具体来说可为rrc完整性保护密钥(krrc-int)和rrc加密密钥(krrc-enc)。基站生成密钥时可以基于基础密钥(kan)来生成。kan是基站从核心网网元获得的,比如接入和移动性管理功能(accessandmobilitymanagementfunction,amf),ausf。
步骤203,基站将目标信令面安全算法携带在接入层(accessstratum,as)安全模式命令(securitymodecommand,smc)中发送给终端设备。
可选地,在步骤203中有多种实现方式,基站可以向终端设备发送assmc,其中assmc中包括目标信令面安全算法的指示信息,比如目标信令面安全算法的标识。
进一步,基站还可在assmc中携带终端设备支持的信令面安全算法。可选地,assmc可以用基站生成的信令面完整性保护密钥进行完整性保护。
可选地,终端设备接收到assmc之后,基于目标信令面安全算法的指示信息确定目标信令面安全算法,并且生成信令面的相关密钥(终端设备生成信令面的相关密钥的方法与基站的生成信令面的相关密钥的方法相同),并根据信令面完整性加密密钥对assmc的完整性保护进行检查。如果确定assmc完整性保护合格,即确定终端设备侧的信令面完整性保护密钥与基站用于对assmc的信令面完整性保护密钥相同。则可选地,在步骤203之后,还包括步骤204,终端设备向基站发送as安全模式命令完成(securitymodecommandcomplete,smp)。
可选地,终端设备可以用生成的信令面的相关密钥对assmp进行加密和/或完整性保护。可选地,基站检查assmp消息的加密保护和/或完整性保护正确后。可选地,基站检查assmp消息的加密保护和完整性保护正确后,基站将接收到的该第一注册接受信息转发给终端设备,或者将第一注册接受消息进行一定的转换,比如根据接口的不同进行格式转换等,得到第二注册接受消息(registrationaccept)消息,将第二注册接受消息发送给终端设备。之后可选的,终端设备回复注册完成(registrationcomplete)给amf。
基于上述示例可见,本申请实施例中通过assmc流程仅仅实现基站与终端设备协商目标信令面安全算法的目的,实现了信令面安全算法和用户面安全算法的解耦,由于可以分开确定信令面安全算法和用户面安全算法,因此提高了通信的灵活性。
进一步,在上述示例中,一种可选地方案为终端设备通过发送注册请求上报终端设备支持的信令面安全算法,可选地,终端设备也可将终端设备支持的用户面完整性保护算法、终端设备支持的用户面加密算法携带在注册请求中上报。具体上报的可选方案可参照上述实施例,在此不再赘述。
可选地,终端设备支持的信令面安全算法也可分为nas层的终端设备支持的信令面安全算法和as层的终端设备支持的信令面安全算法,其中,as层的终端设备支持的信令面安全算法也可称为rrc层的终端设备支持的信令面安全算法。终端设备将上述终端设备支持的信令面安全算法、终端设备支持的用户面完整性保护算法、终端设备支持的用户面加密算法上报的时候可以为每个安全算法增加指示信息,也可以通过预定义一些字段,并在相应字段中放置相应算法的方式标识出每个安全算法是属于信令面还是用户面,或者是nas层还是as层的,举个例子,比如预定义一个字段用于放置信令面的安全算法,预定义另一个字段用于放置用户面安全算法,再比如,预定义一个字段用于放置nas层的安全算法,预定义另一个字段用于放置as层安全算法。或者终端设备将终端设备支持的所有安全算法全部上报给amf,终端设备并不对这些安全算法是信令面还是用户面的进行区分,而由amf做区分。或者由amf转发给基站后,由基站做区分。
相应地,在上述amf向基站发送第一注册接受消息给基站时,可以将终端设备上报的所有安全算法均发送给基站,比如信令面安全算法、终端设备支持的用户面完整性保护算法和终端设备支持的用户面加密算法。或者仅仅将基站协商目标信令面安全算法需要的终端设备支持的信令面安全算法发送给基站。或者仅仅传递rrc层的终端设备支持的信令面安全算法。
为了与现有技术兼容,可选地,基站在assmc消息中可以增加一个仅协商目标信令面安全算法的指示信息,当终端设备解析assmc信息后发现存在仅协商目标信令面安全算法的指示信息,则仅仅根据确定的目标信令面安全算法生成信令面相关密钥。如此,终端设备和基站之间仍然只协商出来一套目标信令面安全算法。若终端设备解析assmc信息后发现不存在仅协商目标信令面安全算法的指示信息,则根据确定的目标信令面安全算法就变成目标安全算法,用于生成信令面相关密钥和用户面的相关密钥,用户面的相关密钥包括用户面加密密钥和用户面完整性保护密钥。信令面相关密钥包括信令面加密密钥和信令面完整性保护密钥。如此,终端设备和基站之间协商出来一套目标信令面安全算法,一套目标用户面安全算法。
可选地,为了与现有技术兼容,基站可在在assmc信息中增加用于指示协商目标信令面安全算法的指示信息和/或协商用户面的相关密钥的指示信息的信息,比如增加一个比特位,该比特位可以为新增的也可复用目前的比特位,比如该比特位为0,则表示仅协商目标信令面安全算法,若该比特位为1,则表示同时协商目标信令面安全算法和用户面的相关密钥。
本申请实施例中目标信令面安全算法包括目标信令面整性保护算法和目标信令面加密算法。可选地,可通过assmc流程协商出两个不同的目标信令面整性保护算法和目标信令面加密算法,或者协商出一个目标信令面安全算法,既作为目标信令面整性保护算法,也作为目标信令面加密算法。
另一种可选地实施方案中,可通过assmc流程至少协商出目标信令面整性保护算法和目标信令面加密算法中的至少一种算法,另一种目标信令面安全算法可通过其它流程协商。
可选地,基站和终端设备协商出的目标信令面安全算法可以用算法的标识来表示,一种可选地实施方案中,无论目标信令面整性保护算法和目标信令面加密算法相同或不同,则均用两个算法的标识分别表示,另一种可选地实施方案中,若目标信令面完整性保护算法和目标信令面加密算法相同,则可用一个算法的标识表示该目标信令面整性保护算法和目标信令面加密算法,若目标信令面整性保护算法和目标信令面加密算法不同,则用两个算法的标识表示该目标信令面整性保护算法和目标信令面加密算法。
另一种可选地方案中,本申请实施例中包括目标信令面安全算法和目标用户面安全算法,一种可选地实施方案中,无论目标信令面安全算法和目标用户面安全算法相同或不同,则均用两套算法的标识分别表示,另一种可选地实施方案中,若目标信令面安全算法和目标用户面安全算法相同,则可用一套算法的标识表示该目标信令面安全算法和目标用户面安全算法,若目标信令面安全算法和目标用户面安全算法不同,则用两套算法的标识表示目标信令面安全算法和目标用户面安全算法。其中,目标信令面安全算法对应的一套算法的标识包括至少一个目标信令面整性保护算法的标识和至少一个目标信令面加密算法的标识,目标信令面安全算法对应的一套算法的标识依据上述示例中所示,可以用一个算法的标识也可分别用两个算法的标识来表示目标信令面整性保护算法和目标信令面加密算法。相应地,其中,目标用户面安全算法对应的一套算法的标识包括至少一个目标信令面整性保护算法的标识和至少一个目标用户面加密算法的标识,目标用户面安全算法对应的一套算法的标识依据上述示例中所示,可以用一个算法的标识也可分别用两个算法的标识来表示目标信令面整性保护算法和目标用户面加密算法。
图2a示例性示出了本申请实施例提供的另一种通信方法流程示意图。
基于上述论述,本申请实施例提供另一种通信方法,如图2a所示,该方法包括:
可选地,步骤211,smf实体接收请求消息,请求消息可包括终端设备的标识。可选地,smf实体接收请求消息可以包括多种,比如注册请求(registrationrequest)、服务请求(servicerequest)或会话建立请求(sessionestablishmentrequest),其中,会话建立请求也可称为pdu会话建立请求。
可选地,若请求消息消息为服务请求,则该服务请求可以首先由终端设备发送给基站,由基站转发给amf,之后amf直接转发,转发即不改变原消息的内容将消息发送给amf,发送给amf的时候可能会根据接口等因素增加其他参数,或者根据接口信息对其进行转换后,再发送给smf。若基站和amf之间的之间的接口为n2接口,amf与smf之间的接口为n11,则基站向amf转发的服务请求为与n2接口匹配的请求,amf向smf转发的服务请求为与n11接口匹配的请求。服务请求为nas层的请求。可选地,请求消息也可为注册请求。
可选地,若请求消息为会话建立请求,则该会话建立请求可以首先由终端设备发送给amf,之后amf直接转发,转发即不改变原消息的内容将消息发送给amf,发送给amf的时候可能会或根据接口等因素增加其他参数,或者根据接口信息对其进行转换后再发送给smf。
可选地,在终端设备发送会话建立请求之前,终端设备可能处于会话连接断开的状态,可选地,终端设备与基站之间可以再次进行上述步骤的注册流程,即终端设备可以向基站发送注册请求,从而实现终端设备的注册,在注册流程中的assmc和assmp中重新协商终端设备和基站之间的目标信令面安全算法。
在上述步骤中,终端设备的标识可包括:imsi、imei和临时身份标识中的任一项或任多项等。
步骤212,smf实体根据安全策略的相关参数,获得安全策略或者安全策略的标识;
步骤213,smf实体向基站发送安全策略或安全策略的标识;其中,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护。
可选地,smf或其他与smf连接的网元上存储安全策略和安全策略标识的对应关系。此时安全策略已经完全预配置在smf、基站、ue、或者其他与smf连接的网元上。比如根据具体的业务配置,如voip话音业务的安全策略。比如根据服务的厂商配置,如水表厂。配置方式依据有多种,在此不一一列举。当smf通过终端设备的标识或者其他参数,为终端设备确定安全策略后,就可以得带与安全策略对应的安全策略标识。smf将安全策略标识传递给基站,基站就可以根据安全策略标识对应的安全策略,进行用户面安全保护。比如,smf预配置有安全策略和安全策略标识的对应关系,smf根据服务请求消息中的内容,比如终端设备的标识,确定安全策略标识。再比如,pcf有预配置的安全策略和安全策略标识对应的关系,则smf需要从pdc处获得安全策略标识。再比如,smf和pcf处都与预配置的安全策略标识,则pcf处预配置的安全策略标识可以覆盖smf处配置的安全策略标识,即smf将从pcf处获得的安全策略标识传递给基站。
一种可选地实施方式中,smf实体直接向基站发送安全策略或安全策略的标识,比如根据终端设备的标识以及预设的终端设备和安全策略的标识的预设关系,将终端设备标识对应的安全策略发给基站。预设的安全策略,可以预设在smf上,也可以与设在pcf上或其他网元上。预设的安全策略和安全策略的标识,可以预设在smf上,也可以与设在pcf上或其他网元上。另一种可选地实施方式中,smf实体接收请求消息之后,根据请求消息,向基站发送安全策略或安全策略的标识之前,还包括:smf实体根据请求消息,获得安全策略。另一种可选地实施方式中,smf实体接收请求消息之后,根据请求消息,向基站发送安全策略或安全策略的标识之前,还包括:smf根据安全策略,获得安全策略标识。
另一个方面,可选地,smf实体向基站发送的安全策略或安全策略的标识所标识的安全策略可以是以前生成的安全策略,也可以是此次新生成的安全策略。
上述步骤213中,smf实体向基站发送安全策略或安全策略的标识有多种形式,比如,smf实体可以根据安全策略的相关参数去生成安全策略。比如根据终端设备标识或者会话标识生成安全策略,也可以预设一些生成规则,也可以预配置好所有安全策略。
可选地,基站可根据请求消息中携带的一些信息,将终端设备适用的或者终端设备此次的请求消息所适用的安全策略或安全策略的标识发送过去。可选地,安全策略的相关参数包括终端设备的标识,终端设备的数据网络名称(datanetworkname,dnn),终端设备的切片的标识,终端设备的服务质量和终端设备的会话标识中的至少一种。可选地,安全策略的相关参数包括终端设备的标识,终端设备的dnn,终端设备的切片的标识,终端设备的服务质量,终端设备的会话标识和流标识中的至少一种。
本申请实施例中的关联关系可以包括对应关系,也可包括一些规则,或者也可包括一些相关性的关系。举个例子,比如可以预设相关参数和安全策略的对应关系,之后找到相关参数对应的安全策略,比如,根据切片的标识确定切片标识对应的安全策略,再比如根据会话标识确定会话标识对应的安全策略,再比如根据会话标识、切片标识和安全策略这三者之间的关联关系确定会话标识和切片标识对应的安全策略。
另一种可选地实施方式中,安全策略的相关参数包括终端设备的标识,smf实体根据终端设备的标识与安全策略的关联关系以及终端设备的标识,获得安全策略。举例来说,可在smf或其它与smf连接的网元上存储终端设备与安全策略的对应关系,如终端设备与安全策略有对应关系,比如,用户签约数据中有imsi和安全策略的对应关系,如此,可以针对不同的终端设备比如终端设备的一些服务性能要求等等设置不同的安全策略。
再比如,可以预设终端设备的标识与安全策略的关联关系,比如终端设备的标识关联了多个安全策略,之后可以从终端设备的标识所关联的多个安全策略中选择一个安全策略,也可再根据相关参数中除终端设备的标识之外的其它参数进一步确定安全策略,比如结合会话标识从终端设备的标识关联的多个安全策略中选择出一个于该会话标识相关联的安全策略。再比如,根据服务质量确定服务质量流标识,再根据服务质量流标识确定对应的服务质量的安全策略。
举个例子,比如一个物联网的终端设备,只负责抄送水表,即每月定期将水表数据发送给水厂。那么这个终端设备的安全策略是固定的,可以设置终端设备的标识对应一个安全策略,可选地,可以从udm中保存的用户的签约数据获取。
为了更清楚的介绍本申请实施例,下面再详细介绍几种根据根据相关参数发送安全策略或安全策略的标识的例子,详见下述实施方式a1、实施方式a2、实施方式a3和实施方式a4。
实施方式a1
终端设备的切片的标识为5g应用场景中终端设备所接入的切片的信息,用于表示终端设备会接入哪个切片。
安全策略的相关参数包括终端设备的切片的标识,smf实体根据切片的标识和安全策略的关联关系以及终端设备的切片的标识,获得安全策略。具体来说,一个终端设备可以对应至少一个切片的标识,比如终端设备可以接入不同的切片,终端设备用户面数据在不同的切片下可以对应不同的安全策略。
终端设备在sr消息中,或者pdu会话建立请求(sessionestablishementrequest)中,携带切片选择辅助信息(networksliceselectionassistanceinformation,nssai)。smf会获得nssai对应的安全策略,如果这个nssai对应的切片的安全策略是唯一的,那么终端设备接入该切片时获取的安全策略唯一。如果nssai信息中包含至少一个切片,则需要根据终端设备当前接入的切片的安全策略进行选择(不同切片的安全策略可不同)。如果在确定了接入的切片后,当前切片的安全策略唯一,那么终端设备接入该切片时获取的安全策略唯一。如果当前切片的安全策略不唯一,那么终端设备需要根据其他信息进一步确定安全策略,终端设备需要根据其他信息进一步确定安全策略的实施方式有多种,比如根据相关参数中除了切片标识之外的其它至少一种标识进行选择,比如通过终端设备标识或会话标识等等。
实施方式a2
终端设备的会话标识为终端设备此次请求消息所对应的会话所对应的会话标识。会话,英文可称为session,比如终端设备进行因特网(internet)业务(如,浏览网页、看视频、微信聊天),是一个会话。终端设备接入了终端设备所在公司的内网,使用公司特定的业务(如,公司会议),这又是一个会话。终端设备接入拨打voip电话的网络,这个又是一个会话。这里我们可以设置接入因特网(internet)业务的会话标识为1;公司内网的会话标识为2;voip电话的会话标识为3。
安全策略的相关参数包括终端设备的会话标识,smf实体根据会话标识和安全策略的关联关系以及终端设备的会话标识,获得安全策略。如此,针对同一个终端设备,当终端设备发起不同的会话时,可以为不同的会话选择不同的安全策略。
举个例子,比如一个正常的终端设备,这个终端设备只开通了打电话和发短信的业务。这2种业务分部属于2个会话。那么服务质量和安全策略就是根据会话的不同而不同。对于打电话业务,不需要开启用户面完整性保护,不需要密钥混合,用户面加密算法用128比特的即可,用户面加密密钥长度128bit。而对于短信息业务,需要开启用户面完整性保护,需要密钥混合,用户面加密算法用128bit,用户面加密密钥用128bit(比特),用户面完整性保护算法用256bit,用户面完整性保护密钥用256bit。
举个例子,比如会话标识所对应的业务是超低时延业务,则可能为了保证时延低,安全策略中就要使用安全级别较低的用户面完整性保护算法和用户面加密算法,比如128bit用户面完整性保护算法和用户面加密算法,以及128bit的用户面完整性保护密钥和用户面加密密钥;或不启用用户面完整性保护算法和用户面加密算法。再比如会话标识所对应的业务是可靠性要求高的业务,则不仅需要用户面加密密钥进行加密保护,还需要用户面完整性保护密钥进行完整性保护,而且要选择安全级别较高的用户面完整性保护算法和用户面加密算法,比如256bit的用户面完整性保护算法和用户面加密算法,以及256bit的用户面加密密钥和用户面加密密钥。再比如会话标识所对应的业务是一般普通的业务,如话音业务,可能只需要用户面加密密钥保护,而不需要用户面完整性保护,并且可能需要256bit的用户面加密算法,但密钥用128bit用户面加密密钥就够了。可见,本申请实施例中基于不同的业务可以选择出不同的安全策略,满足用户面安全的动态需求。
实施方式a3
终端设备接入一个切片后可能发起多个会话,因此一个切片标识可能对应多个会话标识,这里所说的对应关系是逻辑上的对应关系,实际应用中,并不代表一定可以明确说明会话标识与切片标识的对应关系。
smf实体根据终端设备的标识、切片的标识、会话标识和安全策略四者之间的关联关系,获得切片的标识和会话标识对应的安全策略。如此,可以得到更细粒度的划分,为同一个终端设备,接入同一个切片中发起的不同的会话分别选择安全策略。
实施方式a4
可选地,smf实体根据流标识和安全策略的关联关系,获得终端设备的安全策略。如此,可以得到更细粒度的划分,为同一个终端设备,接入同一个网络中发起相同的会话,却根据会话的具体内容分别选择安全策略。
举个例子,比如终端设备支持上网业务,那么上网的数据流可以是浏览网页,可以是看视频。对于这个终端设备,上网业务都属于会话1,那么浏览网页是流1,看视频是流2。smf会在发现没有支持流1的服务质量的时候,为流1创建服务质量。对于流2的同理。如果smf发现流1和流2的服务质量都有了,那么就会直接将这些服务质量发给基站。
实施方式a4
安全策略的相关参数包括终端设备的服务质量;smf实体根据终端设备的服务质量,获得安全策略。可选地,可根据请求消息中包括的终端设备标识,获取该终端设备标识对应的一些服务质量,该服务质量比如为该终端设备要求时延低,安全性好等等,之后根据服务质量为终端设备设置一套安全策略。本申请实施例中,安全策略可以预配置在smf或pcf上,也可以从upf和、或udm中获取到dnn对应的服务质量,之后根据服务质量得到一个安全策略。默认的服务质量udm是在签约的时候录入的。upf可以从外部的处理电话或短信的网络中了解到动态服务质量,也可以从pcf处了解到,也可以预配置。
可选地,安全策略的相关参数包括终端设备的dnn,根据dnn对应设置一套安全策略,比如dnn为优酷,优酷网络中视频业务较多,则为终端设备设置的安全策略中时延可以低一些,再比如,dnn为与财务相关的网站,则为终端设备设置的安全策略中安全性要高一些。
进一步,可以根据dnn从核心网网元,比如pcf/upf或udm中获取该dnn对应的服务质量,服务质量中携带有安全策略,或者之后根据服务质量设置安全策略。其中,从pcf获得的是动态的服务质量信息,从udm中获得是用户签约时默认的服务质量信息。
可选地,smf从udm获取信息可以通过向udm发送签约数据请求(subscriptiondatarequest),以及从udm接收签约数据响应(subscriptiondataresponse)来获取。smf与pcf之间可以通过pdu-can会话修改(pdu-cansessionmodification)信息进行获取。smf与upf之间可以通过向upf发送会话建立/修改请求(sessionestablishment/modificationrequest),以及从udm接收会话建立/修改响应(sessionestablishment/modificationresponse)来获取。
在实施方式a4中,服务质量可被服务质量流(qualityofserviceflow,qosflow),用标识(identification,id)标识,可称为qosflowid,简称qfi。在本申请实施例中,服务质量内容(qosprofile)用qfi进行标识。
服务质量中可包括多个参数,比如5gqos指示(qosindicator,5qi)。5qi用于标识性能特征(performancecharacteristics),可包括:资源类型((guaranteedflowbitrate,gbr)还是non-gbr的)、数据包延迟度和误码率中的任一项或任多项,可能还包括其它参数。5qi是网元为服务质量分配资源的基础参数。
服务质量中还可包括分配和保留优先级(allocationandretentionpriority,arp)。可用1到15标识优先级。表示为服务质量请求资源的优先级,是否可以因为资源限制而拒绝建立无线数据承载。
服务质量中还可包括2个参数,用于定义是否可以抢占其他服务质量对应的资源(比如无线数据承载)或者该服务质量建立的无线数据承载是否可以被其他服务质量抢占。
可选地,对于有gbr的数据内容,服务质量中还可包括:gbr保证数据传输速率(guaranteedflowbitrate),可用于上下行。其中,gbr的数据内容gbr可以是一种会话或者是一种流,gbr数据拥有对应的服务级别,不同的服务级别也会对应不同的服务质量。non-gbr数据对应的都是默认的服务级别。比如说,对于运营商,通话一定是要保障的,所以打电话就有gbr的保证。而对于普通的短消息业务,就是non-gbr,稍微延迟一会也不会有什么问题。还有一种情况,举例来说,就是如果腾讯游戏买了运营商的服务,那么原来腾讯游戏non-gbr的业务流就会变成gbr的。
可选地,服务质量中还包括最大传输速率(maximumflowbitrate,mfbr),一个会话的所有流(flow)加起来不可以超过这个速率。一旦超过了,可能就需要参考arp要不要拒绝建立或者抢占其他资源了。
可选地,服务质量中还包括通知控制(notificationcontrol)。这个设定为开或关,如果出现了无法为该服务质量建立无线数据承载的情况,要根据这个开关判断是否要通知终端设备。
可选地,安全策略还包括以下内容中至少一种:加密指示信息,加密指示信息用于指示基站对终端设备开启加密保护;密钥长度;d-h指示信息,d-h指示信息用于指示基站对终端设备开启d-h;服务网络允许的用户面完整性保护算法。也就是说,安全策略还可包括是否开启用户面加密,是否开启用户面完整性保护,加解密算法是128bit还是256bit,密钥长度是128bit还是256bit,是否开启密钥混合中的一种或多种等等这些内容的任一项或任多项。举一些具体例子,比如用比特位来指示安全策略中包括的内容,比如比特序列0000000,代表不开启用户面加密保护且不开启用户面完整性保护,因为都没开启,所以后面都是0。再比如比特序列1010100,即指示开启用户面加密保护但不开启用户面完整性保护,使用128比特的加密算法,不开启密钥混合。请注意给出的只是示例,符合此原则的示例都被此专利覆盖。本申请实施例中密钥混合即是指d-h,d-h为一种密钥混合算法。
可选地,smf实体在确定该终端设备的安全策略中需要开启加密指示信息时,安全策略中还可包括服务网络允许的用户面加密算法。或者,安全策略中出现允许的用户面加密算法,就代表用户面加密是需要开启的。可选地,服务网络是为终端设备提供服务的网络。
可选地,安全策略中可包括用户面完整性保护算法的密钥长度,也可包括用户面加密算法的密钥长度。或者,安全策略中出现允许的用户面加密算法,算法是256bite,就代表使用256bite的密钥长度。
可选地,在基站获取安全策略之前,方法还包括:基站向接入和移动性管理amf实体发送第一优先级指示信息,第一优先级指示信息用于指示基站允许的用户面完整性保护算法未按照优先级排序。
可选地,amf将第一优先级指示信息转发给smf,如此,smf在获取该第一优先级指示信息后,知道基站允许的用户面完整性保护算法未按照优先级排序,因此smf会对服务网络允许的用户面完整性保护算法进行优先级排序或者对该终端设备支持的用户面完整性保护算法并进行优先级排序,该终端设备支持的用户面完整性保护算法从amf处获得。
另一种可选地实施方式中,如果smf未获取该第一优先级指示信息,或者smf根据其它方式知道基站允许的用户面完整性保护算法按照优先级排序,则smf可选的不对服务网络允许的用户面完整性保护算法进行优先级排序。可选地,对服务网络允许的用户面完整性保护算法进行优先级排序可以根据很多元素,比如可根据当前运营商的喜好、当地的服务网络环境等因素。
可选地,在基站获取安全策略之前,方法还包括:基站向接入和移动性管理amf实体发送第二优先级指示信息,第二优先级指示信息用于指示基站允许的用户面加密是否未按照优先级排序。
可选地,amf将第二优先级指示信息转发给smf,如此,smf在获取该第二优先级指示信息后,知道基站允许的用户面加密算法未按照优先级排序,因此smf会对服务网络允许的用户面加密算法进行优先级排序或者对该终端设备支持的用户面加密算法并进行优先级排序,该终端设备支持的用户面加密算法从amf处获得。
另一种可选地实施方式中,如果smf未获取该第二优先级指示信息,或者smf根据其它方式知道基站允许的用户面加密算法按照优先级排序,则smf可选的不对服务网络允许的用户面加密算法进行优先级排序。可选地,对服务网络允许的用户面加密算法进行优先级排序可以根据很多元素,比如可根据当前运营商的喜好、当地的服务网络环境等因素。
上述示例中,对用户面加密算法和用户面完整性保护算法的优先级进行了分别介绍,另一种可选地实施方式中,用户一个指示信息同时指示用户面加密算法和用户面完整性保护算法的优先级问题。
可选地,在基站获取安全策略之前,方法还包括:基站向接入和移动性管理amf实体发送第三优先级指示信息,第三优先级指示信息用于指示基站允许的用户面加密算法和用户面的完整性保护算法均未按照优先级排序。用户面加密算法和用户面的完整性保护算法可以相同也可不同。
可选地,amf将第三优先级指示信息转发给smf,如此,smf在获取该第三优先级指示信息后,知道基站允许的用户面加密算法和用户面的完整性保护算法未按照优先级排序,因此smf会对服务网络允许的用户面加密算法和用户面的完整性保护算法进行优先级排序或者对该终端设备支持的用户面加密算法和用户面的完整性保护算法并进行优先级排序,该终端设备支持的用户面加密算法和用户面的完整性保护算法从amf处获得。
另一种可选地实施方式中,如果smf未获取该第三优先级指示信息,或者smf根据其它方式知道基站允许的用户面加密算法和用户面的完整性保护算法按照优先级排序,则smf可选的不对服务网络允许的用户面加密算法进行优先级排序。可选地,对服务网络允许的用户面加密算法和用户面的完整性保护算法进行优先级排序可以根据很多元素,比如可根据当前运营商的喜好、当地的网络环境等因素。
图2b示例性示出了本申请实施例提供的另一种通信方法流程示意图。
基于上述内容,本申请实施例提供的一种通信方法,如图2b所示,该方法包括:
步骤221,基站获取安全策略,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护。
与前述内容类似,可选地,安全策略,还可以包括允许的用户面加密算法、服务网络允许的用户面完整性保护算法,以及是否开启密钥混合的指示信息。可选地,服务网络允许的用户面加密算法可包括开启用户面加密保护和密钥长度信息。比如用户面加密算法是256比特的,就使用256比特的密钥。可选地,如果服务网络允许的用户面加密算法出现了空加密算法,则允许基站不开启用户面加密保护。可选地,如果安全策略中出现了服务网络允许的用户面完整性保护算法,则基站开启用户面完整性保护。可选地,根据完整性算法的比特信息确定密钥长度,即256比特的完整性算法就使用256比特的密钥。可选地,允许的用户面完整性保护算法不会出现空算法,如果安全策略中没有出现完整性保护算法,则就是不开启完整性保护。可选地,也可以用其他信息告知基站密钥长度信息,如通过比特位信息。
步骤222,当完整性保护指示信息指示基站对终端设备开启完整性保护时,基站确定目标用户面完整性保护算法;
步骤223,基站向终端设备发送目标用户面完整性保护算法。基站如何向终端设备发送目标用户面完整性保护算法参考上述内容,在此不再赘述。
可选地,在上述步骤221和步骤223之间还可包括上述assmc和assmp流程,用于重新协商基站和终端设备之间的目标信令面安全算法。具体来说,可以再上述步骤221和步骤223之间增加上述步骤201至步骤204。
可选地,基站获取安全策略包括:基站从smf实体接收安全策略。或者,可选地,在基站预先存储安全策略,之后当基站从smf实体接收安全策略的标识,并根据安全策略的标识,获取安全策略。
可选地,在基站可定义(directorysystemprotocol,sdap)层,用于将服务质量映射到分组数据汇聚协议(packetdataconvergenceprotocol,pdcp)层。每个pdcp层对应一个drb。因此,之前我们定义的安全级别,需要在ran侧更进一步细分。如果安全依然是在pdcp层做,即用户面的加解密和完整性保护依然在pdcp层完成。因为一个pdcp层对应一个drb,因此在ran侧只能做到drb级别的安全处理。如果安全或者部分安全处理可以上移到sdap层做,则可以做到qosflow级别的安全处理。部分安全是指如果只有用户面完整性保护基于流粒度,则只需要将完整性保护相关的安全处理放到sdap层。如果用户面加解密和完整性保护处理都是基于流粒度,则都需要在sdap层完成。所以基于流粒度的级别的安全处理的前提是,安全或部分安全放到sdap层做。
比如一个会话中中有4个业务流(ip-flow),3个qosflow。nas-levelmapping表示第一次qos处理。是将ipflow映射成为qosflow。用qfi(qosflowid)表示。可以看到iplfow1和ipflow4放到了qfi1中,其他的都是单独的一个qfi。在sdap层,sdap层会将不同给的qfi映射到不同的pdcp层。可以看到qfi1和qfi2被放到了一个pdcpentity(pdcp实体),就说明这qfi1和qfi2通过一个drb传输。(一个pdcp实体对应一个drb承载)qfi-3放到了另一个pdcpentity-2,就是另一个drb承载。
可选地,基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。或者,终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。基站允许的用户面完整性保护算法可根据当地运营商喜好,或者当地环境等内容进行优先级排序,可预先配置在基站上。终端设备支持的用户面完整性保护算法可根据终端设备入网签约内容,或/和终端设备的喜好等内容进行优先级排序,可以由终端设备在签约时或者购买更多服务的时候进行排序。可选地,安全策略中可包括终端设备支持的用户面完整性保护算法。
可选地,在上述步骤222中,一种可选地实施方案中,安全策略中包括至少一个用户面完整性保护算法,基站直接将安全策略中包括的至少一个用户面完整性保护算法中的一个用户面完整性保护算法确定为目标用户面完整性保护算法。另一种可选地方案中,所述基站确定所述目标用户面完整性保护算法,包括:基站根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法。
基站确定目标用户面完整性保护算法可存在几种可选地实施方式,比如基站确定既属于终端设备支持的用户面完整性保护算法,也属于基站允许的用户面完整性保护算法的至少一个算法,从该至少一个算法中确定目标用户面完整性保护算法。可选地,若基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,则从至少一个算法中确定在基站允许的用户面完整性保护算法中优先级排序较高或者最高的算法作为目标用户面完整性保护算法。可选地,若终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,则基站从至少一个算法中确定在终端设备支持的用户面完整性保护算法中优先级排序较高或者最高的算法作为目标用户面完整性保护算法。
可选地,安全策略还包括服务网络允许的用户面完整性保护算法,可选地,服务网络允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。可选地,服务网络允许的用户面完整性保护算法可为预先配置在smf上的。服务网络允许的用户面完整性保护算法的优先级可以根据运营商喜好,和\或当地环境等因素进行排序。可选地,基站根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法,包括:基站根据基站允许的用户面完整性保护算法,终端设备支持的用户面完整性保护算法,以及服务网络允许的用户面完整性保护算法,确定目标用户面完整性保护算法。具体的,服务网络允许的用户面完整性保护算法有优先级排序的时候,以服务网络允许的优先级排序为首要条件或以基站允许的优先级排序为首要条件进行选择,究竟根据哪个优先级排序由当地运营商的策略决定,也可以根据其他信息决定,比如当前基站允许的用户面完整性保护算法是近期更新的,而服务网络允许的用户面完整性保护算法的是很久之前更新的,则以基站允许的用户面完整性保护算法的优先级排序为首要条件;再比如,默认的就是以基站允许的用户面完整性保护算法的优先级排序为首要条件;如果服务网络允许的用户面完整性保护算法没有优先级排序的时候,则以基站允许的用户面完整性保护算法的优先级排序为首要条件。
基站确定目标用户面完整性保护算法可存在几种可选地实施方式,比如基站确定既属于终端设备支持的用户面完整性保护算法,也属于基站允许的用户面完整性保护算法,且还属于服务网络允许的用户面完整性保护算法的至少一个算法,从该至少一个算法中确定目标用户面完整性保护算法。可选地,若基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,则从至少一个算法中确定在基站允许的用户面完整性保护算法中优先级排序较高或者最高的算法作为目标用户面完整性保护算法。可选地,若终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,则基站从至少一个算法中确定在终端设备支持的用户面完整性保护算法中优先级排序较高或者最高的算法作为目标用户面完整性保护算法。可选地,若服务网络允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法,则基站从至少一个算法中确定在服务网络允许的用户面完整性保护算法中优先级排序较高或者最高的算法作为目标用户面完整性保护算法。可选地,本申请实施例中网络可包括5g网络或由5g网络演进的网络。
可选地,方法还包括:当安全策略还包括加密指示信息,且加密指示信息用于指示基站对终端设备开启加密保护时,基站向终端设备发送目标用户面加密算法。
基于上述内容,下面介绍基站和终端设备还需协商目标用户面加密算法方法流程。
可选地,基站允许的用户面加密算法为按照优先级排序的用户面加密算法。或者,终端设备支持的用户面加密算法为按照优先级排序的用户面加密算法。基站允许的用户面加密算法可至少根据运营商喜好进行优先级排序,可以由运营商在建网时进行排序,可预先配置在基站上。终端设备支持的用户面加密算法可根据运营商喜好进行优先级排序,可以由用户在入网签约时进行排序。可选地,安全策略中可包括终端设备支持的用户面加密算法。
可选地,还包括一种可选地实施方案,安全策略中包括至少一个用户面加密算法,基站直接将安全策略中包括的至少一个用户面加密算法中的一个用户面加密算法确定为目标用户面加密算法。另一种可选地方案中,基站根据终端设备支持的用户面加密算法和基站允许的用户面加密算法,确定目标用户面加密算法。
基站确定目标用户面加密算法可存在几种可选地实施方式,比如基站确定既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法的至少一个算法,从该至少一个算法中确定目标用户面加密算法。可选地,若基站允许的用户面加密算法为按照优先级排序的用户面加密算法,则从至少一个既属于终端设备支持的用户面加密算法也属于基站允许的用户面加密算法中确定在基站允许的用户面加密算法中优先级排序较高或者最高的一个算法作为目标用户面加密算法。可选地,若终端设备支持的用户面加密算法为按照优先级排序的用户面加密算法,则基站从至少一个既属于终端设备支持的用户面加密算法也属于基站允许的用户面加密算法中确定在终端设备支持的用户面加密算法中优先级排序较高或者最高的算法作为目标用户面加密算法。
可选地,安全策略还包括服务网络允许的用户面加密算法,可选地,服务网络允许的用户面加密算法为按照优先级排序的用户面加密算法。可选地,服务网络允许的用户面加密算法可为预先配置在smf上的。服务网络允许的用户面加密算法的优先级可以至少根据运营商喜好进行排序。可选地,基站根据终端设备支持的用户面加密算法和基站允许的用户面加密算法,确定目标用户面加密算法,包括:基站根据基站允许的用户面加密算法,终端设备支持的用户面加密算法,以及服务网络允许的用户面加密算法,确定目标用户面加密算法。具体的,服务网络允许的用户面加密算法有优先级排序的时候,以服务网络允许的优先级排序为首要条件进行选择;如果服务网络允许的用户面加密算法没有优先级排序的时候,则以基站允许的用户面安全算法的优先级为首要条件.
基站确定目标用户面加密算法可存在几种可选地实施方式,比如基站确定既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法的至少一个算法,从该至少一个既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法中确定目标用户面加密算法。可选地,若基站允许的用户面加密算法为按照优先级排序的用户面加密算法,则从至少一个既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法中确定在基站允许的用户面加密算法中优先级排序较高或者最高的算法作为目标用户面加密算法。可选地,若终端设备支持的用户面加密算法为按照优先级排序的用户面加密算法,则基站从至少一个既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法中确定在终端设备支持的用户面加密算法中优先级排序较高或者最高的算法作为目标用户面加密算法。可选地,若服务网络允许的用户面加密算法为按照优先级排序的用户面加密算法,则基站从至少一个既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法中确定在服务网络允许的用户面加密算法中优先级排序较高或者最高的算法作为目标用户面加密算法。
可选地,当安全策略还包括密钥长度时,基站向终端设备发送密钥长度。密钥长度包括用户面完整性保护密钥长度和用户面加密密钥密钥长度。可选地,本申请实施例中基站向终端设备发送目标用户面完整性保护算法、目标用户面加密算法、密钥长度等信息时,可以通过一条信令,比如rrc重配置请求发送,或者通过多条信息发送。
一种可选地实施方式中,若使用rrc重配置请求发送的时候,则发送方式可以有多种,比如可以采用rrc重配置消息,该rrc重配置消息种可包括:目前用户面加密算法、目标用户面完整性保护算法、用户面加密密钥长度、用户面完整性保护密钥长度、密钥混合策略(也可称为d-h是否开启指示信息、drb-1(qos信息)、drb-2(qos信息)和其他参数中的至少一种。
一种可选地实施方式中,若用户面完整性不开启的时候,则不会传递目标用户面完整性保护算法,当算法本身可以指示密钥长度的时候,则密钥长度的指示信息是可以不携带的,当密钥混合策略基站不支持,或者不需要启用的时候,则也不需要传递。此方法因为没有在每个drb中传递安全策略,所以适用于所有drb都使用相同的安全能力的时候使用,并且可以通过一次选择过程为所有的drb配置目标安全策略。
另一种可选地实施方式中,rrc重配置消息中可包括:
重配置参数;
drb-1(目标用户面安加密算法-1,[目标用户面完整性保护算法-1],[用户面加密密钥长度-1],[用户面完整性保护密钥长度-1],[密钥混合策略],qos参数,其他参数);
drb-2(目标用户面安加密算法-2,[目标用户面完整性保护算法-2],[用户面加密密钥长度-2],[用户面完整性保护密钥长度-2],[密钥混合策略],qos参数,其他参数),其他参数)。
该rrc重配置消息中仅仅示意性示出了drb-1和drb-2两种情况,rrc重配置消息中携带的格式可类似上述示例,其中的参数项可全部携带也可部分携带,比如上述示例中用[]标出的参数可以携带也可不携带。如此,可针对每个drb配置目标安全策略,可以做到每个drb的目标安全策略相同,也可以做到每个drb的目标安全策略不同。
上面两种方法也可以结合使用,即某些目标安全策略可以所有drb公用,某种安全策略针对drb不同而不同,如rrc重配置消息包括:
目标用户面安加密算法;
drb-1(,[目标用户面完整性保护算法-1],[用户面加密密钥长度-1],[用户面完整性保护密钥长度-1],[密钥混合策略],qos参数,其他参数);
drb-2([目标用户面完整性保护算法-2],[用户面加密密钥长度-2],[用户面完整性保护密钥长度-2],[密钥混合策略],qos参数,其他参数);
其他参数等。
可选地,在基站向终端设备发送目标用户面完整性保护算法之前,还包括:基站从smf实体接收终端设备的当前会话的服务质量。可选地,当前会话的服务质量可以和安全策略通过一条消息发送,也可通过多条消息分别发送。可选地,基站还从amf接收一些用于生成密钥的基本信息,比如用于生成用户面完整性保护密钥的基础密钥,用于生成用户面加密密钥的基础密钥等等。
可选地,基站根据安全策略和服务质量中的至少一种,为终端设备分配无线数据承载(dataradiobearer,drb),无线数据承载由基站分配的。基站至少根据服务质量,为传递给终端设备的数据分配无线数据承载。在5g中,一个无线数据承载中,可能有多种服务质量对应的数据流。
可选地,一个drb可以对应多个服务质量。根据安全策略和服务质量中的至少一种为终端设备分配目标无线数据承载。
可选地,当所述基站上不存在历史的无线数据承载满足所述第一条件,且不存在至少一个历史的无线数据承载满足所述第二条件时,所述基站根据所述安全策略和所述服务质量中的至少一种,为所述终端设备创建所述目标无线数据承载。
可选地,当所述基站上不存在历史的无线数据承载满足所述第一条件时,所述基站根据所述安全策略和所述服务质量中的至少一种,为所述终端设备创建所述目标无线数据承载。
可选地,所述基站根据所述安全策略和所述服务质量中的至少一种,为所述终端设备创建所述目标无线数据承载。
可选地,可以为终端设备选择历史的以前建立的drb作为目标无线数据承载,也可以新建一个drb作为目标无线数据承载。
一种可选地实施方式中,可以直接先从历史的无线数据承载中为终端设备选择一个作为目标无线数据承载,若从历史的无线数据承载中选择不出,则为终端设备创建一个新的无线数据承载直接作为目标无线数据承载。
或者根据一些预设的规则,先确定是否允许该终端设备使用历史的无线数据承载,若允许,则可以先从历史的无线数据承载中为终端设备选择一个作为目标无线数据承载,若从历史的无线数据承载中选择不出,则为终端设备创建一个新的无线数据承载直接作为目标无线数据承载。为了更详细的介绍上述方案,下面通过以下几种详细的示例进行介绍。
实施方式b1
当基站上存在至少一个历史的无线数据承载满足第一条件时,目标无线数据承载为满足第一条件的至少一个历史的无线数据承载中的一个;其中,满足所述第一条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的服务质量与所述当前会话的所述服务质量相同,且所述安全策略与所述每个无线数据承载支持的安全策略相同。
可选地,第一条件包括:支持的服务质量和当前会话的服务质量相同,且步骤221获取的安全策略和支持的安全策略相同。
复用drb的信息可以通过发送消息来实现,举个例子,比如第一次传递给终端设备:rrc重配置消息(目标用户面加密算法-1,drb-1(qos信息-1),drb-2(qos信息-2),其他参数));第二次传递给终端设备:rrc重配置消息(目前用户面加密算法-1,drb-1(qos信息-1),drb-2(qos信息-2),drb-3(目前用户面加密算法-2,qos信息-2/3/4)其他参数)),则实现了修改drb-2的安全策略,达到重用qos的目的。通过该示例可以看到,通过发送信令实现了将历史的无线数据承载作为目标无线数据承载的目的。
再举一个例子,用于实现复用历史的drb的目的,第一次传递给终端设备:rrc重配置消息(目标用户面加密算法-1,drb-1(qos信息-1),drb-2(qos信息-2),其他参数));第二次传递给终端设备:rrc重配置消息(目前用户面加密算法-1,drb-1(qos信息-1),drb-2(目前用户面加密算法-2,qos信息-2),其他参数)),则实现了修改drb-2的安全策略,重用qos的目的。
实施方式b2
当基站上不存在历史的无线数据承载满足第一条件,但存在至少一个历史的无线数据承载满足第二条件时,目标无线数据承载为根据安全策略对满足第二条件的至少一个历史的无线数据承载中的一个进行更新后的无线数据承载,其中,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的服务质量与所述当前会话的所述服务质量相同,且所述安全策略与所述每个无线数据承载支持的安全策略匹配;或者,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的服务质量与所述当前会话的所述服务质量匹配,且所述安全策略与所述每个无线数据承载支持的安全策略相同;或者,满足所述第二条件的所述至少一个历史的无线数据承载中的每个无线数据承载支持的服务质量与所述当前会话的所述服务质量匹配,且所述安全策略与所述每个无线数据承载支持的安全策略匹配。
可选地,第二条件包括:支持的服务质量的当前会话的服务质量匹配,获取的安全策略和支持的安全策略相同。或者,可选地,第二条件包括支持的服务质量的当前会话的服务质量相同,获取的安全策略和支持的安全策略匹配。或者,可选地,第二条件包括:支持的服务质量的当前会话的服务质量匹配,获取的安全策略和支持的安全策略匹配。
也就是说,找到历史的无线数据承载与目的无线数据承载对应的安全策略和服务质量的内容不完全相同,但是差别很小,比如带宽要求的差值在预设范围内,如此可以使用历史的无线数据承载做最小幅度的修改。比如,满足第二条件的无线数据承载与目标无线数据承载之间的关系可以满足:满足第二条件的无线数据承载开启用户面加密保护,但没有开启用户面完整性保护;而目标无线数据承载开启用户面加密保护,且开启用户面完整性保护,且满足第二条件的无线数据承载和目标无线数据承载的目标用户面加密算法相同。在该种情况下,由于基站资源受限了,无法创建新的,或者基站的设置就是想办法重用历史的无线数据承载,则基站利用多次发送rrc重配置消息,开启完整性保护就可以了。
本申请实施例提供一种可能的实现方式:基站在第一次传给终端设备的消息如:rrc重配置消息(目标用户面加密算法,drb-1(qos信息-1),drb-2(qos信息-2),其他参数));第二次这样传递则为rrc重配置消息(目前用户面加密算法,drb-1(qos信息-1),drb-2(目标用户面完整性保护算法,qos信息-2,qos信息-3),其他参数)),如此,可重用drb-2的资源。当然具体实现有多种方式,这里只是举例。
实施方式b3
直接根据安全策略或服务质量中的至少一种,新建一个无线数据承载。
实施方式b4
基站会预先配置无线数据承载跟服务质量和安全策略这三者之间的关联关系,并且将每个关联关系设置对应的标识,比如无线接入/频率优先的用户配置文件标识(subscriberprofileidforrat/frequencypriority,spid)。也就是说smf不管根据sessionid,imsi,dnn,nssai中的任何一个或多个,也不管是否去了udm,upf和pcf查找,总之会得到一个spid。那么smf将spid下发给ran,ran通过spid就可以找到预置的qos策略和安全策略。这个时候smf不需要下发任何安全策略,只需要下发spid。然后ran就可以根据spid确定使用的drb,使用的drb会满足qos策略和安全策略。
可选地,基站向终端设备发送目标用户面完整性保护算法,包括:基站通过无线资源控制(radioresourcecontrol,rrc)信令向终端设备发送目标用户面完整性保护算法。可选地,rrc信令包括rrc重配置请求(rrcconnectionreconfigurationrequest)。
可选地,若安全策略中指示基站和终端设备需要协商出目标用户面加密算法,则基站还需向终端设备发送目标用户面加密算法。可选地,基站还需向终端设备发送密钥长度,若安全策略中指示基站和终端设备需要协商出目标用户面加密算法,则密钥长度可包括用户面加密密钥长度,若完整性保护指示信息指示基站对终端设备开启完整性保护时,则密钥长度可包括用户面完整性保护密钥长度。目标用户面加密算法、目标用户面加密算法、密钥长度和服务质量中的一项或任多项可通过一条信令发送给终端设备。,比如rrc重配置请求。
可选地,当安全策略还包括d-h指示信息,且d-h指示信息用于指示基站对终端设备开启d-h时,基站向终端设备发送d-h相关密钥。下面举个例子,详细描述若d-h指示信息用于指示基站对终端设备开启d-h时,基站和终端设备之间的信令交互流程。
如果密钥混合策略开启,则基站会根据ue上报的d-h能力和基站允许的d-h能力进行选择,选择基站允许的优先级最高的d-h能力。并且基站根据选择出来的d-h能力,生成公钥p1和私钥b1,基站将公钥p1和选择出来的d-h能力发送给终端设备,比如可通过rrc重配置消息。终端设备基于选择的d-h能力,生成公钥p2和私钥b2,并利用私钥b2和公钥p1生成密钥kdh。然后使用kdh与kan进行密钥混合,混合方法可以为new-kan=kdf(kdh,kan,其他参数),其中,kdf(keyderivefunction)为密钥生成函数,比如哈希256算法,其他参数可以为新鲜性参数,比如pdcpcount。也可以不使用其他参数,直接使用kdh和kan做密钥混合。密钥混合后,再根据new-kan和目标用户面安全算法生成新用户面密钥。并使用新用户面密钥,对rrc重配置消息进行保护后发送给基站,rrc重配置消息中,含有公钥p2。基站在得到公钥p2后,根据公钥p2和私钥b1,采用与终端设备相同的方法生成new-kan,并进一步使用与终端设备相同的方法得到新用户面密钥。并使用新用户面密钥研制rrc重配置消息。如果验证成功,则基站开始启用新用户面密钥。
在图2a或图2b所示实施例的一种可选地实施方式中,在上述图2b的步骤213之后还包括基站接收到安全策略或安全策略的标识,则基站可以根据安全策略中提供的信息选择安全策略中的一个用户面完整性保护算法作为目标用户面完整性保护算法,其中,安全策略中可以包括一个或多个用户面完整性保护算法;或者,基站也可以不使用安全策略中的用户面完整性保护算法作为目标用户面完整性保护算法;或者,基站在安全策略中的用户面完整性保护算法不在基站允许的用户面完整性保护算法列表中的情况下,不使用安全策略中的用户面完整性保护算法作为目标用户面完整性保护算法。进一步可选地,当不使用安全策略中的用户面完整性保护算法作为目标用户面完整性保护算法的情况下,若基站开启用户面完整性保护,则可以在除安全策略中的用户面完整性保护算法之外的用户面完整性保护算法中选择一个作为目标用户面完整性保护算法,比如可以从基站允许的用户面完整性保护算法中选择一个作为目标用户面完整性保护算法;再比如,若基站中预配置安全策略,则基站在未收到其它网元下发的安全策略的情况下,基站可以根据基站中预配置的安全策略选择目标用户面完整性保护算法等,比如预配置的安全策略中可以包括一个或多个用户面完整性保护算法,基站从预配置的安全策略中选择一个作为目标用户面完整性保护算法。其它更多实施方式可参见前述内容。
可选地,上述安全策略中的用户面完整性保护算法可以是前述内容中所述的安全策略中所包括的服务网络允许的用户面完整性保护算法,也可以是smf实体根据服务网络允许的用户面完整性保护算法、终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法中的至少一项确定的。比如,smf实体可以将既属于终端设备支持的用户面完整性保护算法,也属于基站允许的用户面完整性保护算法的一个算法中确定为目标用户面完整性保护算法。再比如,smf实体可以将既属于终端设备支持的用户面完整性保护算法,也属于基站允许的用户面完整性保护算法,且还属于服务网络允许的用户面完整性保护算法的一个算法确定为目标用户面完整性保护算法。
其中,上述安全策略中可以包括信令面完整性保护算法,也就是说,安全策略中可以包括信令面完整性保护算法和/或用户面完整性保护算法。比如,安全策略中包括的用户面完整性保护算法,也是信令面完整性保护算法,也就是说,安全策略中包括的完整性保护算法,即同时用于用户面完整性保护和信令面完整性保护。
本领域技术人员可知,基站选择目标用户面加密算法、目标信令面完整性保护算法和目标信令面加密算法的实施方式有多种,可以参见上述选择目标用户面完整性保护算法的方案描述,下面简单列举几种实施方式。
在图2a或图2b所示实施例的一种可选地实施方式中,在上述图2b的步骤213之后还包括基站接收到安全策略或安全策略的标识,则基站可以根据安全策略中提供的信息选择安全策略中的一个用户面加密算法作为目标用户面加密算法,其中,安全策略中可以包括一个或多个用户面加密算法;或者,基站也可以不使用安全策略中的用户面加密算法作为目标用户面加密算法;或者,基站在安全策略中的用户面加密算法不在基站允许的用户面加密算法列表中的情况下,不使用安全策略中的用户面加密算法作为目标用户面加密算法。进一步可选地,当不使用安全策略中的用户面加密算法作为目标用户面加密算法的情况下,若基站开启用户面加密保护,则可以在除安全策略中的用户面加密算法之外的用户面加密算法中选择一个作为目标用户面加密算法,比如可以从基站允许的用户面加密算法中选择一个作为目标用户面加密算法,其它更多实施方式可参见前述内容。
可选地,上述安全策略中的用户面加密算法可以是前述内容中所述的安全策略中所包括的服务网络允许的用户面加密算法,也可以是smf实体根据服务网络允许的用户面加密算法、终端设备支持的用户面加密算法和基站允许的用户面加密算法中的至少一项确定的。比如,smf实体可以将既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法的一个算法中确定为目标用户面加密算法。再比如,smf实体可以将既属于终端设备支持的用户面加密算法,也属于基站允许的用户面加密算法,且还属于服务网络允许的用户面加密算法的一个算法确定为目标用户面加密算法。
其中,上述安全策略中可以包括信令面加密算法,也就是说,安全策略中可以包括信令面加密算法和/或用户面加密算法。比如,安全策略中包括的用户面加密算法,也是信令面加密算法,也就是说,安全策略中包括的加密算法,即同时用于用户面加密保护和信令面加密保护。
可选地,在图2a所示实施例的一种实施方式中,图2a所示的方法还包括:终端设备获取目标用户面完整性保护算法。具体可以采用如下两种方式:
方式一、终端设备接收基站发送的目标用户面完整性保护算法。例如,图2b中步骤223基站向终端设备发送的目标用户面完整性保护算法,相应地,终端设备接收该基站发送的目标用户面完整性保护算法。
方式二、终端设备确定目标用户面完整性保护算法。比如,终端设备沿用之前使用的目标用户面完整性保护算法;再比如,终端设备将目标信令面完整性保护算法(其中,该目标信令面完整性保护算法可以由基站发送给该终端设备)确定为目标用户面完整性保护算法。如此可提高终端设备确定目标用户面完整性保护算法的灵活性。
此外,终端设备还可以确定目标用户面加密算法,比如,终端设备沿用之前使用的目标用户面加密算法;再比如,终端设备将目标信令面加密算法确定为目标用户面加密算法。
在上述图2所示实施例的一种实施方式中,图2所示的方法还包括:基站确定目标用户面完整性保护算法和/或目标用户面加密算法。比如,可以将步骤202中确定的目标信令面保护算法中的目标信令面完整性保护算法也作为目标用户面完整性保护算法,可以将步骤202中确定的目标信令面保护算法中的目标信令面加密算法也作为目标用户面加密算法。
可选地,在上述图2、图2a和图2b所示的实施例中的一种实现方式中,还包括:
基站开启用户面完整性保护;或者,终端设备和基站开启用户面完整性保护;或者,终端设备开启用户面完整性保护。
下面以基站为例对开启用户面完整性保护或开启用户面加密保护进行说明:
示例性地,当满足基站开启用户面完整性保护的条件时,基站开启用户面完整性保护。
其中,上述基站开启用户面完整性保护的条件可以是基站收到第一预设用户面消息,例如,会话建立接受消息;还可以是基站收到用户面信息,例如,会话id或qosprofile,其中,该用户面信息可以指预设的用户面信息,例如,预设的会话id或预设的qosprofile,该预设的会话id可以指特定的会话id;也可以是基站当前为终端设备分配用户面资源或者为终端设备重新分配用户面资源,例如,基站接收到请求为终端设备分配用户面资源的消息;若基站当前在为终端设备重新分配用户面资源,且网络运行参数满足预设网络允许条件,则可以开启用户面完整性保护;也可以是基站接收到的安全策略中包含完整性保护指示信息,且该完整性保护指示信息指示开启用户面完整性保护;也可以是预设的会话的业务类型,例如预配置的安全策略中可以包括预设的会话的业务类型与开启用户面完整性保护的关联关系,在收到预设的会话的业务类型时则可以开启用户面完整性保护。
当满足基站开启用户面完整性保护的条件时,基站开启用户面完整性保护的几种可选地具体实施方式可以参见下述实施方式c1-a1至实施方式c1-a7。
实施方式c1-a1
例如,基站在在预设时间段内收到第一预设用户面消息时可以开启用户面完整性保护;第一预设用户面消息可以是会话建立接受消息。
举个例子,如果基站在预设时间段内收到会话建立接受消息(也可以称之为会话建立完成),则说明基站当前处于会话建立流程中,则为了提高用户面信令安全性,可以开启用户面完整性保护。
实施方式c1-a2
基站在在预设时间段内收到用户面信息时,可以开启用户面完整性保护,其中,用户面信息可以是会话id或预设的qosprofile。
举个例子,基站若在预设时间段内收到任一会话id或任一qosprofile(可选地,可以从n2口接收,也可以直接从终端设备侧获得),则基站当前处于会话建立流程,则开启用户面完整性保护。可选地,还可以开启信令面保护。
可选地,开启信令面保护可以是开启信令面完整性保护和开启信令面加密保护中的至少一项。本段说明适用于本申请所有实施例,下述内容中不再重述。
实施方式c1-a3
基站在预设时间段内收到预设用户面信息时,可以开启用户面完整性保护。其中,预设用户面信息可以是预设的会话id或预设的qosprofile。基站中预设用户面信息和是否开启用户面完整性保护的关联关系,该预设用户面信息和是否开启用户面完整性保护的关联关系可以作为基站中预配置的安全策略中的一部分。
举个例子,设置是否开启用户面完整性保护和会话id二者之间的关联关系,如此,基站在预设时间段内若接收到预设的会话id,则开启用户面完整性保护。其中,预设的会话id在是否开启用户面完整性保护和会话id二者之间的关联关系中所对应的是开启用户面完整性保护。
再举个例子,设置是否开启用户面完整性保护和qosprofile二者之间的关联关系,如此,基站在预设时间段内若接收到预设的qosprofile,则开启用户面完整性保护。其中,预设的会话id在是否开启用户面完整性保护和会话id二者之间的关联关系中所对应的是开启用户面完整性保护。
进一步,是否开启用户面完整性保护和会话id二者之间的关联关系可以是预设在基站中的,也可以有基站接收到的其它网元发送的更新后的关联关系。可选的,基站可以根据预设的关联关系和更新后的关联关系,决定是否开启用户完整性保护。比如,在首次开启用户面完整性保护的时候,可以依据预设的关联关系决定是否开启用户完整性保护;当后续有更新的关联关系时,也可以仅依据最新的关联关系确定是否开启用户面完整性保护。还可以结合具体的预设的关联关系、更新的关联关系和网络负荷情况进行综合判定,比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面完整性保护。
实施方式c1-a4
若基站当前在为终端设备分配用户面资源或者为终端设备重新分配用户面资源,则可以开启用户面完整性保护。例如,基站在预设时间段内接收到请求为终端设备分配用户面资源的消息,则基站为终端设备分配用户面资源或为终端设备重新分配用户面资源,该流程中涉及到用户面信令,为了提高用户面信令的安全性,则可以开启用户面完整性保护。
实施方式c1-a5
若基站当前在为终端设备重新分配用户面资源,且网络运行参数满足预设网络允许条件,则可以开启用户面完整性保护;其中,网络运行参数包括网络负荷量和/或丢包率。
需要指出的是,在基站重新为一个会话分配资源的过程中,可以采用如下两种可选的实施方式:
方式一,沿用终端设备的该会话之前所分配的资源对应的用户面安全方案,比如终端设备的会话之前所分配的资源对应的是开启用户面完整性保护,则终端设备的该会话对应的重新分配的资源对应的也是开启用户面完整性保护。
方式二,根据基站的状态重新确定该会话对应的重新分配的资源对应的用户面安全方案。比如,基站的状态显示某个会话丢包率过高,因为用户面完整性保护是附升高丢包率的,因此在为这个会话重新分配资源的过程中,关掉用户面完整性保护。再比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面完整性保护。
显然上述两种可选地实施方式可以结合,比如,如果基站重新为一个会话分配资源,那么若基站的状态正常,则维持开启用户面完整性保护;或者,若基站的状态异常,如基站因为过载再为这个会话重新分配资源,那么如果这个会话原来开启了用户面完整性保护,则关掉用户面完整性保护,再比如某个会话丢包率过高,因此为这个会话重新分配资源,因为用户面完整性保护是附升高丢包率的,因此关掉用户面完整性保护。可选的,这种情况可作为安全策略的一部分预配置在基站内(预配置在基站内的安全策略也可如上述内容所述为预配置在基站内的安全策略)。
实施方式c1-a6
若基站接收到的安全策略中包括完整性保护指示信息,且该完整性保护指示信息指示开启用户面完整性保护,则基站可以开启用户面完整性保护。可选地,完整性保护指示信息可以是完整性保护算法的标识、比特位指示信息、也可以是预设的信息。该完整性保护指示信息可以是比如smf实体发送的。smf实体在确定满足smf实体用户面完整性保护条件时发送指示开启用户面完整性保护的完整性保护指示信息,其中,smf实体在确定满足smf实体用户面完整性保护条件的方式有多种实施方式,也可以参见实施方式c1-a1至实施方式c1-a5中所描述的基站的实施方式。
实施方式c1-a7
基站中可以预配置安全策略,预配置的安全策略中可以包括预设的会话的业务类型与开启用户面完整性保护的关联关系。基站开启用户面完整性保护的条件可以是基站预配置的安全策略中包含的预设的会话的业务类型。例如预配置的安全策略中可以包括预设的会话的业务类型与开启用户面完整性保护的关联关系,在收到预设的会话的业务类型时则可以开启用户面完整性保护。可选地,若基站没有收到网元发送的安全策略,那么可以使用基站中预配置的安全策略。
举个例子,基站中预配置的安全策略可以是以用户面数据(比如业务类型)为维度去规定的,比如基站中预配置的安全策略中规定:voip业务对应的流程不开启用户面完整性保护,则基站在判断当前会话对应voip业务时,不开启用户面完整性保护。
进一步,安全策略可以是预设预配置在基站中的,也可以有基站接收到的其它网元发送的更新后的安全策略。可选的,基站可以根据预配置的安全策略和更新后的安全策略,决定是否开启用户完整性保护。比如,在首次开启用户面完整性保护的时候,可以依据预配置的安全策略决定是否开启用户完整性保护;当后续有更新的安全策略时,也可以仅依据最新的安全策略确定是否开启用户面完整性保护。还可以结合具体的预配置的安全策略、更新的安全策略和网络负荷情况进行综合判定,比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面完整性保护。
进一步可选地,上述方法还包括:基站向终端设备发送完整性保护指示信息,该加密指示信息用于指示开启用户面完整性保护。其中,该完整性指示信息可以是基站接收的安全策略中包含的完整性保护指示信息。
可选地,在上述图2、图2a和图2b所示的实施例中的另一种实现方式中,还包括:
基站开启用户面加密保护;或者,终端设备和基站开启用户面加密保护;或者,终端设备开启用户面加密保护。
示例性地,当满足基站开启用户面加密保护的条件时,基站开启用户面加密保护。
其中,上述基站开启用户面加密保护的条件可以是基站收到第一预设用户面消息,例如,会话建立接受消息;还可以是基站收到用户面信息,例如,会话id或qosprofile,其中,该用户面信息可以指预设的用户面信息,例如,预设的会话id或预设的qosprofile,该预设的会话id可以指特定的会话id;也可以是基站当前为终端设备分配用户面资源或者为终端设备重新分配用户面资源,例如,基站接收到请求为终端设备分配用户面资源的消息;也可以是基站接收到的安全策略中包含加密指示信息,且该加密指示信息指示开启用户面加密保护;也可以是预设的会话的业务类型,例如预配置的安全策略中可以包括预设的会话的业务类型与开启用户面加密保护的关联关系,在收到预设的会话的业务类型时则可以开启用户面加密保护;也可以是开启信令面保护时则可以开启用户面加密保护。
进一步可选地,上述方法还包括:基站向终端设备发送加密指示信息,该加密指示信息用于指示开启用户面加密保护。其中,该加密指示信息可以是基站接收的安全策略中包含的加密指示信息。
基站开启用户面加密保护的条件时,基站开启用户面加密保护的几种可选地具体实施方式可以参见下述实施方式c1-b1至实施方式c1-b8。
实施方式c1-b1
例如,基站在在预设时间段内收到第一预设用户面消息时可以开启用户面加密保护;第一预设用户面消息可以是会话建立接受消息。
举个例子,如果基站在预设时间段内收到会话建立接受消息(也可以称之为会话建立完成),则说明基站当前处于会话建立流程中,则为了提高用户面信令安全性,可以开启用户面加密保护。
实施方式c1-b2
基站在在预设时间段内收到用户面信息时,可以开启用户面加密保护,其中,用户面信息可以是会话id或预设的qosprofile。
举个例子,基站若在预设时间段内收到任一会话id或任一qosprofile(可选地,可以从n2口接收,也可以直接从终端设备侧获得),则基站当前处于会话建立流程,则开启用户面加密保护。可选地,还可以开启信令面保护。
可选地,开启信令面保护可以是开启信令面加密保护和开启信令面加密保护中的至少一项。本段说明适用于本申请所有实施例,下述内容中不再重述。
实施方式c1-b3
基站在预设时间段内收到预设用户面信息时,可以开启用户面加密保护。其中,预设用户面信息可以是预设的会话id或预设的qosprofile。基站中预设用户面信息和是否开启用户面加密保护的关联关系,该预设用户面信息和是否开启用户面加密保护的关联关系可以作为基站中预配置的安全策略中的一部分。
举个例子,设置是否开启用户面加密保护和会话id二者之间的关联关系,如此,基站在预设时间段内若接收到预设的会话id,则开启用户面加密保护。其中,预设的会话id在是否开启用户面加密保护和会话id二者之间的关联关系中所对应的是开启用户面加密保护。
再举个例子,设置是否开启用户面加密保护和qosprofile二者之间的关联关系,如此,基站在预设时间段内若接收到预设的qosprofile,则开启用户面加密保护。其中,预设的会话id在是否开启用户面加密保护和会话id二者之间的关联关系中所对应的是开启用户面加密保护。
进一步,是否开启用户面加密保护和会话id二者之间的关联关系可以是预设在基站中的,也可以有基站接收到的其它网元发送的更新后的关联关系。可选的,基站可以根据预设的关联关系和更新后的关联关系,决定是否开启用户加密保护。比如,在首次开启用户面加密保护的时候,可以依据预设的关联关系决定是否开启用户加密保护;当后续有更新的关联关系时,也可以仅依据最新的关联关系确定是否开启用户面加密保护。还可以结合具体的预设的关联关系、更新的关联关系和网络负荷情况进行综合判定,比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面加密保护。
实施方式c1-b4
若基站当前在为终端设备分配用户面资源或者为终端设备重新分配用户面资源,则可以开启用户面加密保护。例如,基站在预设时间段内接收到请求为终端设备分配用户面资源的消息,则基站为终端设备分配用户面资源或为终端设备重新分配用户面资源,该流程中涉及到用户面信令,为了提高用户面信令的安全性,则可以开启用户面加密保护。
实施方式c1-b5
若基站当前在为终端设备重新分配用户面资源,且网络运行参数满足预设网络允许条件,则可以开启用户面加密保护;其中,网络运行参数包括网络负荷量和/或丢包率。
需要指出的是,在基站重新为一个会话分配资源的过程中,可以采用如下两种可选的实施方式:
方式一,沿用终端设备的该会话之前所分配的资源对应的用户面安全方案,比如终端设备的会话之前所分配的资源对应的是开启用户面加密保护,则终端设备的该会话对应的重新分配的资源对应的也是开启用户面加密保护。
方式二,根据基站的状态重新确定该会话对应的重新分配的资源对应的用户面安全方案。比如,基站的状态显示某个会话丢包率过高,因为用户面加密保护是附升高丢包率的,因此在为这个会话重新分配资源的过程中,关掉用户面加密保护。再比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面加密保护。
显然上述两种可选地实施方式可以结合,比如,如果基站重新为一个会话分配资源,那么若基站的状态正常,则维持开启用户面加密保护;或者,若基站的状态异常,如基站因为过载再为这个会话重新分配资源,那么如果这个会话原来开启了用户面加密保护,则关掉用户面加密保护,再比如某个会话丢包率过高,因此为这个会话重新分配资源,因为用户面加密保护是附升高丢包率的,因此关掉用户面加密保护。可选的,这种情况可作为安全策略的一部分预配置在基站内(预配置在基站内的安全策略也可如上述内容所述为预配置在基站内的安全策略)。
实施方式c1-b6
若基站接收到的安全策略中包括加密保护指示信息,且该加密保护指示信息指示开启用户面加密保护,则基站可以开启用户面加密保护。可选地,加密保护指示信息可以是加密算法的标识、比特位指示信息、也可以是预设的信息。该加密保护指示信息可以是比如smf实体发送的。smf实体在确定满足smf实体用户面加密保护条件时发送指示开启用户面加密保护的加密保护指示信息,其中,smf实体在确定满足smf实体用户面加密保护条件的方式有多种实施方式,也可以参见实施方式c1-b1至实施方式c1-b5中所描述的基站的实施方式。
实施方式c1-b7
基站中可以预配置安全策略,预配置的安全策略中可以包括预设的会话的业务类型与开启用户面加密保护的关联关系。基站开启用户面加密保护的条件可以是基站预配置的安全策略中包含的预设的会话的业务类型。例如预配置的安全策略中可以包括预设的会话的业务类型与开启用户面加密保护的关联关系,在收到预设的会话的业务类型时则可以开启用户面加密保护。可选地,若基站没有收到网元发送的安全策略,那么可以使用基站中预配置的安全策略。
举个例子,基站中预配置的安全策略可以是以用户面数据(比如业务类型)为维度去规定的,比如基站中预配置的安全策略中规定:voip业务对应的流程不开启用户面加密保护,则基站在判断当前会话对应voip业务时,不开启用户面加密保护。
进一步,安全策略可以是预设预配置在基站中的,也可以有基站接收到的其它网元发送的更新后的安全策略。可选的,基站可以根据预配置的安全策略和更新后的安全策略,决定是否开启用户加密保护。比如,在首次开启用户面加密保护的时候,可以依据预配置的安全策略决定是否开启用户加密保护;当后续有更新的安全策略时,也可以仅依据最新的安全策略确定是否开启用户面加密保护。还可以结合具体的预配置的安全策略、更新的安全策略和网络负荷情况进行综合判定,比如,如基站因为过载再为会话重新分配资源,那么在重新为该会话分配资源的过程中,关闭该会话原来开启的用户面加密保护。
实施方式c1-b8
基站在开启信令面保护(开启信令面完整性保护和/或信令面加密保护)时可以也开启用户面加密保护。比如在上述图2所示的实施方式中,在步骤202之后还包括一种可选地实施方式,基站在开启信令面保护时,也开启用户面加密保护。
在这种实施方式下,若终端设备和基站开启了信令面保护,但是未开启用户面完整性保护且未开启用户面加密保护,在开启用户面完整性保护且开启用户面加密保护时,可以继续维持开启信令面保护的状态,这种实施方式下,基站可以向终端设备发送完整性保护指示信息和加密指示信息,如此,终端设备一方面可以维持当前信令面保护的开启状态(比如若终端设备之前开启了信令面完整性保护未开启信令面加密保护,则继续维持信令面完整性保护且不开启信令面加密保护的状态),另一方面根据用于完整保护指示信息开启用户面完整性保护,且根据加密指示信息开启用户面加密保护。
另一种可选地实施方案中,若终端设备和基站开启了信令面保护,且已经开启用户面加密保护,但是未开启用户面完整性保护,在开启用户面完整性保护时,基站可以只向终端设备发送用于开启用户面完整性保护的完整性保护指示信息,终端设备一方面可以维持当前信令面保护的开启状态(比如若终端设备之前开启了信令面完整性保护未开启信令面加密保护,则继续维持信令面完整性保护且不开启信令面加密保护的状态),另一方面根据完整保护指示信息开启用户面完整性保护,加密保护持续开启。另一种可选地实施方式中,可以再次传输加密指示信息,用于指示用户面加密保护持续开启。
下面以终端设备为例对开启用户面完整性保护或开启用户面完整性保护进行说明:
当满足终端设备开启用户面完整性保护的条件时,终端设备开启用户面完整性保护。
其中,终端设备开启用户面完整性保护的条件可以终端设备接收基站发送的完整性保护指示信息,且该完整性保护指示信息指示开启用户面完整性保护;还可以是终端设备发送第二预设用户面消息,例如,会话建立请求消息。
当满足终端设备开启用户面完整性保护的条件时,终端设备开启用户面完整性保护的几种可选地具体实施方式可以参见下述实施方式c1-c1至实施方式c1-c2。
实施方式c1-c1
在上述图2a和图2b所示的实施例中的一种可选地实施方式中,在步骤211之后还包括:基站向终端设备发送完整性保护指示信息,该完整性保护指示信息用于指示是否开启用户面完整性保护。其中,该完整性保护指示信息可以是基站在上述图2b的布置221中获取的安全策略中包含的完整性保护指示信息,也可以是基站在通过上述实施方式c1-a1至c1-a7中的任一种实施方式确定的。
终端设备在接收到完整性保护指示信息,且该完整性保护指示信息指示开启用户面完整性保护,则终端设备可以开启用户面完整性保护。
实施方式c1-c2
举个例子,终端设备在预设时间段内发送了会话建立请求消息,终端设备当前则处于会话建立流程中,在这种情况下,为了提高用户面安全性,终端设备可以开启用户面完整性保护。
进一步可选地,若终端设备采用实施方式c1-c2,且终端设备还收到了完整性保护指示信息,若二者出现矛盾,则终端设备以收到的完整性保护指示信息为依据去确定是否开启用户面完整性保护。
在上述图2a和图2b所示的实施例中的一种可选地实施方式中,在步骤211之后还包括:基站向终端设备发送加密指示信息,该加密指示信息用于指示是否开启用户面加密保护。其中,该加密指示信息可以是基站在上述图2b的布置221中获取的安全策略中包含的加密指示信息,也可以是基站在通过上述实施方式c1-a1至c1-a7中的任一种实施方式确定的。
例如,终端设备在接收到加密指示信息,且该加密指示信息指示开启用户面加密保护,则终端设备可以开启用户面加密保护。
例如,终端设备在预设时间段内发送第二预设用户面消息,则可以开启用户面加密保护。举个例子,终端设备在预设时间段内发送了会话建立请求消息,终端设备当前则处于会话建立流程中,在这种情况下,为了提高用户面安全性,终端设备可以开启用户面加密保护。
进一步可选地,若终端设备采用实施方式c1-c2,且终端设备还收到了加密指示信息,若二者出现矛盾,则终端设备以收到的加密指示信息为依据去确定是否开启用户面加密保护。
再例如,终端设备在开启信令面保护(开启信令面加密保护和/或信令面加密保护)时可以也开启用户面加密保护。比如在上述图2所示的实施方式中,在步骤203和步骤204之间,还包括基站在开启信令面保护时,也可以开启用户面加密保护。
终端设备可以根据预设时间段内是否发送第二预设用户面消息判断是否开启信令面保护(信令面完整性保护和/或信令面加密保护)。第二预设信令面消息可以包括注册请求或服务请求。具体来说,当前所处的流程确定终端设备当前发起的是注册请求(或服务请求),则确定当前所处的流程为注册流程(或服务流程),由于该流程中还未收到用户面资源分配信息,终端设备可以开启信令面保护。
进一步可选地,终端设备可以根据接收到的信令面完整性保护指示信息确定是否开启信令面的完整性保护,可以根据接收到的信令面加密指示信息确定是否开启信令面的加密保护。其中,终端设备接收到的信令面完整性保护指示信息和信令面加密指示信息中的至少一项也可以是由其它网元发送给基站,并由基站转发给终端设备的。其它网元比如可以是smf实体等。
可选地,在上述图2、图2a和图2b所示的实施例中的一种实现方式中,还包括:
基站不开启用户面完整性保护;或者,终端设备和基站不开启用户面完整性保护。
下面以基站不开启用户面完整性保护为例进行说明:
当满足基站不开启用户面完整性保护的条件时,基站不开启用户面完整性保护。
其中,上述基站不开启用户面完整性保护的条件可以是基站接收到第一预设的信令面消息,例如,注册请求完整消息或服务请求完成消息;还可以基站在预设时间段内未收到用户面信息或预设的用户面信息,例如,会话id,qosprofile,或者,预设的会话id,预设的qosprofile;也可以是基站在预设时间段内未收到为终端设备分配用户面资源或为终端设备重新分配用户面资源的请求消息,例如,资源分配请求消息;也可以是基站接收的安全策略包含的完整性保护指示信息指示不开启用户面完整性保护;也可以是会话的业务类型不是预设的会话的业务类型,例如预配置的安全策略中可以包括预设的话的业务类型与开启用户面完整性保护的关联关系,在未收到预设的会话的业务类型时则可以不开启用户面完整性保护。
例如,当预设的默认条件指示基站是永久不开启时,不生成用户面完整性保护密钥。
可选地,在上述图2、图2a和图2b所示的实施例中的一种实现方式中,还包括:
基站不开启用户面加密保护;或者,终端设备和基站不开启用户面加密保护。
下面以基站不开启用户面加密保护为例进行说明:
当满足基站不开启用户面加密保护的条件时,基站不开启用户面加密保护。
其中,上述基站不开启用户面加密保护的条件可以是基站接收到第一预设的信令面消息,例如,注册请求完整消息或服务请求完成消息;还可以基站在预设时间段内未收到用户面信息或预设的用户面信息,例如,会话id,qosprofile,或者,预设的会话id,预设的qosprofile;也可以是基站在预设时间段内未收到为终端设备分配用户面资源或为终端设备重新分配用户面资源的请求消息,例如,资源分配请求消息;也可以是基站接收的安全策略包含的完整性保护指示信息指示不开启用户面加密保护;也可以是会话的业务类型不是预设的会话的业务类型,例如预配置的安全策略中可以包括预设的话的业务类型与开启用户面加密保护的关联关系。
例如,当预设的默认条件指示基站是永久不开启时,不生成用户面加密密钥。
下面以终端设备不开启用户面完整性保护为例进行说明:
当满足终端设备不开启用户面完整性保护的条件时,终端设备不开启用户面完整性保护。
其中,上述终端设备不开启用户面完整性保护的条件可以是在预设时间段内终端设备未发送第二预设用户面消息,例如,会话建立请求消息;还可以是终端设备接收基站发送的完整性保护指示信息,且该完整性保护指示信息指示开启用户面完整性保护;还可以是终端设备在预设时间段内接收到第一预设的信令面消息,例如,注册请求完整消息或服务请求完成消息。
例如,当预设的默认条件指示终端设备是永久不开启时,不生成用户面完整性保护密钥。
例如,当预设的默认条件指示基站是永久不开启时,不生成用户面加密密钥。
下面以终端设备不开启用户面加密保护为例进行说明:
当满足终端设备不开启用户面加密保护的条件时,终端设备不开启用户面加密保护。
其中,上述终端设备不开启用户面加密保护的条件可以是在预设时间段内终端设备未发送第二预设用户面消息,例如,会话建立请求消息;还可以是终端设备接收基站发送的加密保护指示信息,且该加密保护指示信息指示不开启用户面加密保护。
例如,当预设的默认条件指示终端设备是永久不开启时,不生成用户面加密密钥。
其中,终端设备或基站不开启用户面的完整性保护有多种实施方式,如下:
不开启用户面的完整性保护方式一,终端设备或基站不开启用户面完整性保护可以为:生成用户面完整性保护密钥,但是不使用用户面完整性保护密钥进行用户面完整性保护。也就是说,在不开启用户面完整性保护时可以先生成用户面完整性保护密钥,但是不使用用户面完整性保护密钥,然后在开启用户面完整性保护的情况下,使用用户面完整性保护密钥进行用户面完整性保护。
在上述不开启用户面的完整性保护方式一中,在终端设备生成用户面完整性保护密钥之前获取用户面完整性保护算法,比如可以将信令面完整性保护算法作为用户面完整性保护算法。
不开启用户面的完整性保护方式二,终端设备或基站不开启用户面完整性保护可以为:生成用户面完整性保护密钥,并使用用户面完整性保护密钥进行用户面完整性保护。也就是说,在无法确定是否开启用户面完整性保护或者确定不开启用户面完整性保护时,可以不生成用户面完整性保护密钥,在开启用户面完整性保护时再生成用户面完整性密钥。
相对应的,比如针对终端设备和基站,若确定终端设备和基站始终不开启用户面完整性保护(比如可以是预设的条件等等),则可以不生成用户面完整性保护密钥。
其中,基站和终端设备不开启用户面的完整性保护的实施方式可以相同,也可以不同,比如都使用不开启用户面的完整性保护方式一,或者终端设备使用不开启用户面的完整性保护方式一,基站使用不开启用户面的完整性保护方式二。
终端设备或基站不开启用户面的加密保护有多种实施方式,如下:
不开启用户面的加密保护方式一,终端设备或基站不开启用户面加密保护包括:生成用户面加密保护密钥,但是不使用用户面加密保护密钥进行用户面加密保护。也就是说,在不开启用户面加密保护时可以先生成用户面加密保护密钥,但是不使用,在开启用户面加密保护的情况下,使用用户面加密保护密钥进行用户面加密保护。
在不开启用户面的加密保护方式一种,在终端设备生成用户面加密保护密钥之前获取用户面加密算法,比如可以将信令面加密算法作为用户面加密算法。
不开启用户面的加密保护方式二,终端设备或基站不开启用户面加密保护包括:在开启用户面加密保护时生成用户面加密保护密钥,并使用用户面加密保护密钥进行用户面加密保护。也就是说,在无法确定是否开启用户面加密保护或者确定不开启用户面加密保护时,可以不生成用户面加密保护密钥,在开启用户面加密保护时再生成用户面完整性密钥。
相对应的,比如针对终端设备和基站,若确定终端设备和基站始终不开启用户面加密保护(比如可以是预设的条件等等),则可以不生成用户面加密保护密钥。
其中,基站和终端设备不开启用户面的加密保护的实施方式可以相同,也可以不同,比如都使用不开启用户面的加密保护方式一,或者终端设备使用不开启用户面的加密保护方式一,基站使用不开启用户面的加密保护方式二。
此外,基站和终端设备开启用户面加密保护有多种实施方式,比如可以根据预设的规定确定是否开启用户面加密保护,预设的规定可以是终端设备在接收到as安全模式命令后开启用户面加密保护,也就是说满足基站用户面加密保护条件包括接收到as安全模式命令。基于该示例,举个例子,比如满足终端设备用户面完整性保护条件包括终端设备接收到指示开启用户面完整性保护的完整性保护指示信息,也就是说,终端设备在接收到as安全模式命令后开启用户面加密保护,而用户面完整性保护是否开启需要基站通过发送完整性保护指示信息通知终端设备,这种情况下终端设备在没有收到完整性保护指示信息的情况下,不开启用户面完整性保护。进一步,当终端设备接收到指示开启用户面完整性保护的完整性保护指示信息的情况下,开启用户面完整性保护。换言之,终端设备在一个时间段内不开启用户面完整性保护,但是在另一个时间段内有可能开启用户面完整性保护,也就是说终端设备不开启用户面完整性保护是暂时的,这与终端设备始终不开启用户面完整性保护有区别。基站和终端设备还可以根据预设的规定确定是否开启信令面保护(包括信令面完整性保护和/或信令面加密保护),预设的规定可以是终端设备在接收到as安全模式命令后开启信令面保护。
再比如,终端设备或基站在开启信令面保护(开启信令面完整性保护和/或信令面加密保护)时,开启用户面加密保护。也就是说,满足基站用户面加密保护条件包括开启信令面保护。换言之,用户面加密保护可以和信令面保护一起开启,而开启或不开启用户面完整性保护可以根据是否满足基站用户面完整性保护条件来确定。比如,在基站收到注册接受或服务请求接受后可以开启信令面保护(开启信令面完整性保护和/或信令面加密保护)且开启用户面加密保护,不开启用户面完整性保护。进一步,在这种实施方式中,也可以不设置上述加密指示信息。
举个例子,上述图2中的步骤203之后,即终端设备在基站向终端设备发送as安全模式命令之后,终端设备开启信令面保护不开启用户面保护,可以生成信令面密钥(信令面完整性保护密钥和/或信令面加密保护密钥)、用户面密钥(用户面完整性保护密钥和/或用户面加密保护密钥)。但是仅使用信令面密钥进行保护,可以保存用户面密钥。在开启用户面保护的情况下再使用用户面密钥。
再比如,上述图2中的步骤203之后,即终端设备在基站向终端设备发送as安全模式命令之后,终端设备开启信令面保护、开启用户面加密保护且不开启用户面完整性保护,可以生成信令面密钥(信令面完整性保护密钥和/或信令面加密保护密钥)、用户面加密密钥和用户面完整性保护密钥。但是仅使用信令面密钥进行保护,使用用户面加密密钥进行保护,可以保存用户面完整性保护密钥。在开启用户面完整性保护的情况下再使用用户面完整性保护密钥进行完整性保护。
再比如,上述图2中的步骤203之后,即终端设备在基站向终端设备发送as安全模式命令之后,终端设备开启信令面保护不开启用户面保护,可以生成信令面密钥(信令面完整性保护密钥和/或信令面加密保护密钥)且使用信令面密钥进行保护,不生成用户面密钥(用户面完整性保护密钥和/或用户面加密保护密钥)。再比如,上述图2b中的步骤211中的请求消息是会话建立请求时,在步骤211之后,基站再向终端设备发送as安全模式命令或rrc重配置消息,终端设备在接收到as安全模式命令或rrc重配置消息后使用用户面密钥进行用户面安全保护。
再比如,上述图2中的步骤203之后,即终端设备在基站向终端设备发送as安全模式命令之后,终端设备开启信令面保护、开启用户面加密保护,且不开启用户面完整性保护,可以生成信令面密钥(信令面完整性保护密钥和/或信令面加密保护密钥)且使用信令面密钥进行保护,生成用户面加密密钥,且使用用户面加密密钥进行保护,但不生成用户面完整性保护密钥。再比如,上述图2b中的步骤211中的请求消息是会话建立请求时,在步骤211之后,基站再向终端设备发送as安全模式命令或rrc重配置消息,终端设备在接收到as安全模式命令或rrc重配置消息后,生成用户面完整性保护密钥,且使用用户面完整性保护密钥进行用户面安全保护。
终端设备可以根据接收到的基站发送的完整性保护指示信息确定是否开启用户面的完整性保护,终端设备也可以判断后开启用户面完整性保护或不开启用户面完整性保护,下面通过实施方式c1和实施方式c2进行介绍。进一步,可选地,为了节省资源,若终端设备确定不开启用户面的完整性保护,则可以不发送用户面的完整性保护算法,也就是说,在这种可选地实施方式中,不能发送空的用户面完整性保护算法,但是若终端设备不开启用户面的加密保护,则发送空的用户面加密算法。
需要说明的是,上述各实施例及其各种可选的实施方式中,基站向终端设备发送的完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项可以承载在预设消息中,比如在预设消息中预定义一个字段,在该预定义字段承载完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项。预设消息可以是as安全模式命令或者rrc重配置请求。例如,采用用下述实施方式c1-1(b7)的方式所示的算法的标识的形式向终端设备发送完整性保护指示信息。
需要说明的是,上述各实施例及其各种可选的实施方式中,基站接收的完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项可以携带在安全策略中,具体可以采用c1-1(b2)-c1-1(b7)。
下面介绍了完整性保护指示信息和/或加密指示信息的各种表现方式。
实施方式c1-1(b1)
完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项可以通过在预定义字段设置会话id来表示。比如当基站没有收到会话id的时候,将发送给终端设备的预设消息中的预定义字段中的会话id设置为0,则表示只开启信令面保护,不开启用户面完整性保护指示信息,不开启用户面加密指示信息。终端设备接收到的预设消息中的预定义字段中的会话id为0的信息时,可以确定只开启信令面保护(开启信令面完整性保护和/或开启信令面加密保护),不开启用户面完整性保护指示信息,不开启用户面加密指示信息。
进一步,开启信令面保护可以是开启信令面完整性保护和开启信令面加密保护中的至少一种,具体开启信令面完整性保护,还是开启信令面加密保护,还是开启信令面完整性保护和信令面加密保护,可以根据预设的规则等确定,比如预设规则中默认开启信令面完整性保护和信令面加密保护。下述内容中与此段解释类似,下面不再重复。
再比如,基站在收到会话id的情况下,比如可以将发送给终端设备的预设消息中的预定义字段中的会话id设置为当前的会话id。若终端设备接收到的基站发送的预设消息,预设消息中的预定义字段中包括会话id,且会话id为当前会话的id,则终端设备会默认开启用户面加密保护和用户面完整性保护。可选地,可以将基站选择的信令面的加密算法也用于用户面,也就是基站选择出来的加密算法即为信令面加密算法也为用户面加密算法,类似地,将选择的信令面完整性保护算法作为用户面完整性保护算法。进一步,若终端设备接收到的基站发送的预设消息,预设消息中的预定义字段中包括会话id,且会话id不为空的情况下,终端设备可以开启用户面完整性保护和/或用户面加密保护,具体开启用户面加密保护还是开启用户面完整性保护,还是开启用户面加密保护和用户面完整性保护,可以参考预设规则,也可以根据本申请其它实施例中的描述。
另一种可选地实施方式中,完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项可以通过在预设消息中的预定义字段中设置qos的相关信息来指示,比如设置qfi值。qfi值的使用方式可以与上述会话id的使用方式相类似,比如当基站没有收到qfi的时候,将发送给终端设备的预设消息中的预定义字段中的qfi设置为0,则表示只开启信令面保护,不开启用户面完整性保护指示信息,不开启用户面加密指示信息。终端设备在接收到预定义字段中的qfi为0的信息时,可以确定只开启信令面保护,不开启用户面完整性保护指示信息,不开启用户面加密指示信息。
实施方式c1-1(b2)
完整性保护指示信息和/或加密指示信息可以通过在预设消息或安全策略中的预定义字段中的比特信息来表示,比如预定义字段中可以包括1个比特信息。
例如,在默认情况下,开启用户面加密保护且不开启用户面完整性保护,则预定义字段中的1个比特信息就是完整性保护指示信息,该预定义字段中比特位置1,可以表示开启用户面完整性保护;该预定义字段中比特位置0,可以表示不开启用户面完整性保护。
再比如,在默认情况下,不开启用户面加密保护且开启用户面完整性保护,则预定义字段中的1个比特信息就是加密指示信息,具体地,该预定义字段中的比特位置1,可以表示开启用户面加密保护,该预定义字段中的比特位置0,可以表示不开启用户面加密保护。
再比如,在默认情况下,开启用户面加密保护且开启用户面完整性保护,则预定义字段中的1个比特信息就是完整性保护指示信息和加密指示信息。该预定义字段中的比特位置1可以表示开启用户面完整性保护且开启用户面加密保护,预定义字段中的比特位置0可以表示不开启用户面完整性保护且不开启用户面加密保护。
实施方式c1-1(b3)
完整性保护指示信息和加密指示信息可以通过在预设消息中或安全策略的预定义字段中的比特信息来表示,比如预定义字段中可以包括2个比特信息,其中一个比特信息代表用户面加密是否需要开启或关闭,另一比特信息代表用户面完整性保护是否需要开启或关闭,即其中一个比特信息是加密指示信息,另一个比特信息是完整性保护指示信息,比如,将预定义字段中加密指示信息对应的比特信息置1表示开启用户面加密保护;将预定义字段中完整性保护指示信息对应的比特信息置1表示终端设备开启用户面完整性保护;将预定义字段中加密指示信息对应的比特信息置0表示不开启用户面加密保护;将预定义字段中完整性保护指示信息对应的比特信息置0表示终端设备不开启用户面完整性保护。
实施方式c1-1(b4)
完整性保护指示信息和加密指示信息可以通过在预设消息或安全策略中的预定义字段中的比特信息来表示,比如预定义字段中可以包括4个比特信息,其中,预定义字段中一个比特信息指示用户面加密保护是否开启,比如,该比特信息置1,表示开启用户面加密保护,置0表示不开启用户面加密保护;预定义字段中一个比特信息指示用户面加密保护的秘钥长度是128比特还是256比特,比如,该比特信息置1,表示用户面加密保护的秘钥长度是128比特,置0表示用户面加密保护的秘钥长度是256比特;预定义字段中一个比特信息指示用户面完整性保护的秘钥长度是128比特还是256比特,该比特信息置1,表示用户面完整性保护的秘钥长度是128比特,即生成32bit的mac值,置0表示用户面完整性保护的秘钥长度是256比特,即生成64bit的mac值;预定义字段中一个比特信息指示用户面完整性保护是否开启,比如,该比特信息置1,表示开启用户面完整性保护,置0表示不开启用户面完整性保护。
完整性保护指示信息和/或加密指示信息可以为上述实施方式c1-1(b2)、实施方式c1-1(b3)和实施方式c1-1(b4)中所示的例子,为比特信息,也可以称完整性保护指示信息和/或加密指示信息为开关信息。
进一步,开关信息的具体内容,可以结合具体方法。比如,若开启用户面加密保护和用户面完整性保护;进一步,如果预设规则定义用户面加密保护默认开启,而用户面完整性保护则需要灵活确定,则可以在预设字段只携带1比特指示信息,该1比特指示信息用于指示是否需要开启用户面完整性保护;进一步,如果预设规则定义在没有收到完整性保护指示信息和加密指示信息前,不开启用户面加密保护,也不开启用户面完整性保护,则可以在预设字段携带2比特指示信息,分别用于指示是否开启用户加密保护,以及是否开启用户面完整性保护。
实施方式c1-1(b5)
完整性保护指示信息和/或加密指示信息可以是算法的标识。这种情况下完整性保护指示信息和/或加密指示信息可以承载在预设消息或安全策略中的预定义字段中,也可以承载在安全策略中。换言之,基站向终端设备发送算法的标识,该算法的标识用于指示算法,该算法的标识也是完整性保护指示信息和/或加密指示信息。
一种可选地实施方式中,基站传递的assmc中,携带如lte网络中的eia和eea的号码代表选择的完整性保护算法和加密算法。可以通过携带eia和eea的号码表示完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息,例如,eia的号码表示开启完整性保护。
另一种可选地实施方式中,可以将算法的标识扩充为4个预设字段,分别为eia-rrc,eea-rrc,eia-up,eea-up,并通过将选择的算法放到其相应位置,代表此次协商的方法。比如,基站选择了eia-rrc=3,eea-rrc=2,则完整性保护指示信息、加密指示信息、信令面完整性保护指示信息和信令面加密指示信息可以是(eia-rrc=3,eea-rrc=2,eia-up=0,eea-up=0);从而,终端设备接收到该信息后,由于eia-rrc不是0,因此开启信令面完整性保护;由于eea-rrc不是0,因此开启信令面加密保护;由于eia-up是0,因此不开启用户面完整性保护;或者,由于eea-up是0,因此不开启用户面加密保护。
进一步,在该实施方式中,算法的标识不仅可以指示出完整性保护指示信息、加密指示信息,还可以指示出算法。也就是说,运用该实施例的情况下,发送算法的标识,即可以同时指示出算法(比如目标信令面完整性保护算法、目标信令面加密算法、目标用户面完整性保护算法和目标用户面加密算法),以及完整性保护指示信息、加密指示信息。
比如,eia-rrc=3还可以指示出信令面完整性保护算法,再比如eea-rrc=2还可以指示出信令面加密保护算法,再eia-up=0还可以指示出用户面完整性保护算法,再比如eea-up=0还可以指示出用户面加密保护算法,
在图2a或图2b所示实施例的一种可选地实施方式中,完整性保护指示信息可以是算法的标识,比如当基站对终端设备开启用户面完整性保护的情况下,完整性保护指示信息可以是目标用户面完整性保护算法的标识。
可选地,当基站对终端设备不开启用户面完整性保护的情况下,完整性保护指示信息可以为预设用户面完整性保护算法的标识;或者,不携带任何完整性保护算法的信息。也就是说,不发送任何完整性保护算法的标识或者发送预设用户面完整性保护算法的标识,即表示完整性保护指示信息指示不开启完整性保护。举个例子,假设预设用户面完整性保护算法的标识为x123,若终端设备接收到的完整性保护指示信息是x123的情况下,终端设备不开启用户面完整性保护。
在图2a或图2b所示实施例的一种可选地实施方式中,基站还可以向终端设备发送加密指示信息,加密指示信息用于指示基站是否对终端设备开启用户面加密保护。在基站对终端设备开启用户面加密保护的情况下,加密指示信息可以是算法的标识,比如,加密指示信息是目标用户面加密算法的标识。
可选地,当基站对终端设备不开启加密保护的情况下,加密指示信息可以预设用户面加密算法的标识,或者为空加密算法。也就是说,不发送任何加密算法的标识或者发送空加密算法或者发送预设用户面加密算法的标识,即表示加密指示信息指示不开启加密保护。举个例子,假设预设用户面加密算法算法的标识为x321,若终端设备接收到的加密保护指示信息是x321的情况下,终端设备不开启用户面加密保护。
在图2,图2a或图2b所示实施例的另一种可选地实施方式中,基站还可以向终端设备发送信令面完整性保护指示信息,信令面完整性保护指示信息用于指示基站是否对终端设备开启信令面完整性保护。在基站对终端设备开启信令面完整性保护的情况下,信令面完整性保护指示信息可以是算法的标识,比如,信令面完整性保护指示信息是目标信令面完整性保护算法的标识。
可选地,当基站对终端设备不开启信令面完整性保护的情况下,信令面完整性保护指示信息可以为预设信令面完整性保护算法的标识,或者为不携带任何完整性保护算法的信息。举个例子,假设预设信令面完整性保护算法的标识为x456,若终端设备接收到的信令面完整性保护指示信息是x456的情况下,终端设备不开启信令面完整性保护。
在图2,图2a或图2b所示实施例的另一种可选地实施方式中,基站还可以向终端设备发送信令面加密指示信息,信令面加密指示信息用于指示基站是否对终端设备开启信令面加密保护。在基站对终端设备开启信令面加密保护的情况下,信令面加密指示信息可以是算法的标识,比如,信令面加密指示信息是目标信令面加密算法的标识。
可选地,当基站对终端设备不开启信令面加密保护的情况下,信令面加密指示信息可以预设信令面加密算法的标识,或者为空加密算法。举个例子,假设预设信令面加密算法算法的标识为x654,若终端设备接收到的信令面加密保护指示信息是x654的情况下,终端设备不开启信令面加密保护。
实施方式c1-1(b6)
完整性保护指示信息和/或加密指示信息可以是预设消息或安全策略中的预定义字段中的会话id和4比特信息,那么终端设备需要根据比特信息,开启这个会话id下相应的用户面安全,举个例子,比如终端设备有多个会话id,则每个会话id对应的用户面安全方案可以是不同的,比如一个会话id对应的是开启用户面完整性保护和开启用户面加密保护,另一个会话id对应的可以是不开启用户面完整性保护和开启用户面加密保护。
实施方式c1-1(b7)
完整性保护指示信息和/或加密指示信息可以是预设消息或安全策略中的预定义字段中的会话id和算法的标识。
通过上述实施例可以看出,上述实施方式中,算法的标识和4比特位信息对应的实施方式是较为灵活的用方式,因为可以明确到用户面加密保护是否开启,以及用户名完整性保护是否开启。通过上述实施例可以看出比特位信息可以重用(复用)协商过的信令面算法(也就是说将适用于信令面的算法也适用于用户面,比如将确定出的目标信令面完整性保护算法也作为目标用户面完整性保护算法,将确定出的目标信令面加密算法也作为目标用户面加密算法),而算法的标识可以实现信令面算法和用户面安全算法不同,比如信令面加密算法和用户面加密算法不同,信令面完整性保护算法和用户面完整性保护算法不同。
完整性保护指示信息和/或加密指示信息可以承载于rrc重配置请求消息中,由基站发送给终端设备。在这种情况下,若当前终端设备已经开启用户面加密保护,未开启用户面完整性保护,但是当前终端设备确定开启用户面完整性保护,可选地,rrc重配置请求消息中可以只传递完整性保护指示信息就够了。
基站可以生成并将完整性保护指示信息发送给终端设备,另一种可选地实施方式中,基站接收到完整性保护指示信息和加密指示信息之后,生成新的指示信息(该新的指示信息中可以只包括完整性保护指示信息),进一步将该新的指示信息承载在rrc重配置请求中。由于完整性保护指示信息、加密指示信息可来自于n2接口,发出去的时候可能换了接口,所以基站还是需要根据rrc重配置请求消息中的格式,对将要承载的完整性保护指示信息和/或加密指示信息做一些相应处理。
基站发送完整性保护指示信息和/或加密指示信息的一种方式中,基站也可以将完整性保护指示信息和/或加密指示信息直接转发给终端设备。
基站发送完整性保护指示信息和/或加密指示信息的另一种方式中,基站根据完整性保护指示信息和/或加密指示信息是算法的标识,这种情况下,基站可以根据获取的(例如,基站接收或者是基站判断得到的)完整性保护指示信息和/或加密指示信息,确定对应的目标算法的标识,并将对应的目标算法的标识发送给终端设备。举个例子,比如基站开启用户面完整性保护,则确定目标用户面完整性保护算法,并将目标用户面完整性保护算法的标识发送给终端设备,终端设备在接收到时可以开启用户面完整性保护算法,且使用目标用户面完整性保护算法进行用户面完整性保护。
完整性保护指示信息和/或加密指示信息可以承载在rrc重配置请求消息中,由基站发送给终端设备。可选地,在完整性保护指示信息和/或加密指示信息为算法的标识的情况下,rrc消息中可以携带算法的标识。
举个例子,比如当完整性保护指示信息和/或加密指示信息为算法的标识,则完整性保护指示信息和/或加密指示信息可以是一个算法列表。可选地,如果完整性保护指示信息和/或加密指示信息对应的算法列表中的算法是完整性保护算法,并且完整性保护算法不是空算法,且基站若确定终端设备支持的用户面完整性保护算法、基站允许的用户面完整性保护算法以及完整性保护指示信息和/或加密指示信息对应的算法列表中的算法,这三者没有交集;则基站可以选择一个既是终端设备支持的用户面完整性保护算法,又是基站允许的用户面完整性保护算法作为目标用户面完整性保护算法。如果完整性保护指示信息和/或加密指示信息对应的算法列表中的算法是是空算法,则基站不选择目标用户面完整性保护算法,可以理解为不开启用户面完整性保护。
进一步,可选地,如果完整性保护指示信息和/或加密指示信息对应的算法列表中的算法是加密算法,并且加密算法不是空加密算法,且基站若确定终端设备支持的用户面加密算法、基站允许的用户面加密算法以及完整性保护指示信息和/或加密指示信息对应的算法列表中的算法,这三者没有交集;则基站可以选择一个既是终端设备支持的用户面加密算法,又是基站允许的用户面加密算法作为目标用户面加密算法。如果完整性保护指示信息和/或加密指示信息对应的算法列表中的算法是是空加密算法,则基站可以选择一个空加密算法作为目标用户面加密算法,可以理解为不开启用户面加密保护。
再举个例子,当完整性保护指示信息和/或加密指示信息为算法的标识,则完整性保护指示信息和/或加密指示信息可以是一个算法列表,可以从该算法列表中选择一个算法,若选择出的算法为完整性保护算法,且该选择出的完整性保护算法是预设完整性保护算法,则可选的,基站在转发选择出的完整性保护算法给终端设备之前,检查选择出的完整性保护算法是否既是终端设备支持的用户面完整性保护算法,又是基站允许的用户面完整性保护算法;若是,则该选择出的完整性保护算法即作为目标用户面完整性保护算法发送给终端设备。
另一方面,若选择出的完整性保护算法不满足既是终端设备支持的用户面完整性保护算法,又是基站允许的用户面完整性保护算法的条件,且选择出的完整性保护算法不是空算法,则基站要选择一个既是终端设备支持的用户面完整性保护算法,又是基站允许的用户面完整性保护算法的算法作为目标用户面完整性保护算法发送给终端设备。另一方面,若选择出的完整性保护算法不满足既是终端设备支持的用户面完整性保护算法,又是基站允许的用户面完整性保护算法的条件,且选择出的完整性保护算法是空算法,则则基站不选择目标用户面完整性保护算法,可以理解为不开启用户面完整性保护。
进一步,另一方面,可选地,若选择出的算法为加密算法,且该选择出的加密算法是预设加密算法,则可选的,基站在转发选择出的加密算法给终端设备之前,检查选择出的加密算法是否既是终端设备支持的用户面加密算法,又是基站允许的用户面加密算法;若是,则该选择出的加密算法即作为目标用户面加密算法发送给终端设备。
另一方面,若选择出的加密算法不满足既是终端设备支持的用户面加密算法,又是基站允许的用户面加密算法的条件,且选择出的加密算法不是空算法,则基站要选择一个既是终端设备支持的用户面加密算法,又是基站允许的用户面加密算法的算法作为目标用户面加密算法发送给终端设备。另一方面,若选择出的加密算法不满足既是终端设备支持的用户面加密算法,又是基站允许的用户面加密算法的条件,且选择出的加密算法是空算法,则则基站不选择目标用户面加密算法,可以理解为不开启用户面加密保护。
本申请实施例中完整性保护指示信息和/或加密指示信息可以承载在as安全模式命令中,并通过基站发送给终端设备。可选地,也可以将信令面完整性保护指示信息和/或信令面加密指示信息承载在as安全模式命令中,并通过基站发送给终端设备。
一种可选地实施方式中,在终端设备在开启用户面完整性保护前,终端设备可以验证as安全模式命令的完整性保护。可选的,基站使用用户面完整性保护算法对as安全模式命令进行完整性保护。可选的,基站可以根据安全策略判断用户面完整性保护开启后,使用用户面完整性保护算法对as安全模式命令进行完整性保护。可选的,终端设备使用用户面完整性保护算法验证as安全模式命令的完整性保护是否正确。比如,终端设备是在发现用户面完整性保护激活后,使用用户面完整性保护算法验证as安全模式命令的完整性保护是否正确;不排除用户面完整性保护算法为当前使用的as信令面完整性保护算法。进一步,基站接收到终端设备回复的as安全模式结束消息。可选的,基站使用用户面完整性保护算法,验证as安全模式结束消息的完整性保护。可选的,基站是在发现as安全模式结束消息中携带了完整性保护参数mac-i后,对as安全模式结束消息进行完整性保护验证;不排除,用户面完整性保护算法为当前使用的as信令面完整性保护算法。可选地,基站在接收到安全模式结束消息之后,相应的开启用户面完整性保护(比如完整性指示信息和加密指示信息指示开启用户面完整性保护,不开启用户面加密保护,则基站可以在收到安全模式结束消息之后开启用户面完整性保护,不开启用户面加密保护)。进一步,可选地,基站在相应的开启用户面完整性保护之后可以向终端设备发送rrc重配置请求消息;进一步可选地终端设备向基站返回rrc重配置完成消息。
另一种可选地实施方式中,开启用户面完整性保护的情况,完整性保护指示信息可以承载在as安全模式命令中,再将as安全模式命令承载在rrc重配置请求消息中,并通过基站发送给终端设备。可选地,加密指示信息、信令面完整性保护指示信息和信令面加密指示信息中的至少一项,也可以承载在as安全模式命令中,再将as安全模式命令承载在rrc重配置请求消息中,并通过基站发送给终端设备。
图3示例性示出了本申请提供的一种基站的结构示意图。
基于相同构思,本申请提供一种基站300,用于执行上述方法中的任一个方案。如图3所示,基站300包括处理器301、收发器302、存储器303和通信接口304;其中,处理器301、收发器302、存储器303和通信接口304通过总线305相互连接。
总线305可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器303可以包括易失性存储器(volatilememory),例如随机存取存储器(random-accessmemory,ram);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flashmemory),硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd);存储器303还可以包括上述种类的存储器的组合。
通信接口304可以为有线通信接入口,无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线通信接口可以为wlan接口。
处理器301可以是中央处理器(centralprocessingunit,cpu),网络处理器(networkprocessor,np)或者cpu和np的组合。处理器301还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specificintegratedcircuit,asic),可编程逻辑器件(programmablelogicdevice,pld)或其组合。上述pld可以是复杂可编程逻辑器件(complexprogrammablelogicdevice,cpld),现场可编程逻辑门阵列(field-programmablegatearray,fpga),通用阵列逻辑(genericarraylogic,gal)或其任意组合。
可选地,存储器303还可以用于存储程序指令,处理器301调用该存储器303中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选的实施方式,使得基站300实现上述方法中基站的功能。
处理器301用于根据执行存储器存储的指令,并控制收发器302进行信号接收和信号发送,当处理器301执行存储器存储的指令时,基站300可用于执行下述方案。
处理器301,用于获取安全策略,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护;当完整性保护指示信息指示基站对终端设备开启完整性保护时,确定目标用户面完整性保护算法;收发器302,用于向终端设备发送目标用户面完整性保护算法。如此,可根据安全策略灵活的为终端设备选择是否开启完整性保护,且仅在对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法,一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
可选地,收发器302,用于:通过无线资源控制rrc信令向终端设备发送目标用户面完整性保护算法。通过复用现有技术中的rrc信令的方式实现本申请实施例提供的方案,从而更好的兼容现有技术,且对现有技术改动较小。具体可选地实施方式可以参考上述内容,在此不再赘述。
可选地,处理器301,具体用于:根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法。
可选地,基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法;或者,终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。
可选地,安全策略还包括服务网络允许的用户面完整性保护算法;处理器301,用于:根据基站允许的用户面完整性保护算法,终端设备支持的用户面完整性保护算法,以及服务网络允许的用户面完整性保护算法,确定目标用户面完整性保护算法。
可选地,服务网络允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。
可选地,处理器301,还用于:当安全策略还包括加密指示信息,且加密指示信息用于指示基站对终端设备开启加密保护时,通过收发器302向终端设备发送目标用户面加密算法;或者,当安全策略还包括密钥长度时,通过收发器302向终端设备发送密钥长度;或者,当安全策略还包括d-h指示信息,且d-h指示信息用于指示基站对终端设备开启d-h时,通过收发器302向终端设备发送d-h相关密钥。
可选地,收发器302,具体用于:从会话管理功能smf实体接收终端设备的当前会话的服务质量;处理器301,还用于:根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载。
处理器301,还用于:根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载的具体方式参见上述方法实施例中的内容,在此不再赘述。
一种可选地实施方案中,处理器301,用于:根据安全策略和服务质量中的至少一种,为终端设备创建目标无线数据承载。
可选地,收发器302,用于:从smf实体接收安全策略;或者;从smf实体接收安全策略的标识,并根据安全策略的标识,获取安全策略。
可选地,处理器301,还用于:获取终端设备支持的信令面安全算法;根据终端设备支持的信令面安全算法,以及基站允许的信令面安全算法,确定目标信令面安全算法;收发器302,还用于:将目标信令面安全算法携带在接入层as安全模式命令smc中发送给终端设备。
图4示例性示出了本申请提供的一种smf实体的结构示意图。
基于相同构思,本申请提供一种smf实体400,用于执行上述方法中的任一个方案。如图4所示,smf实体400包括处理器401、收发器402、存储器403和通信接口404;其中,处理器401、收发器402、存储器403和通信接口404通过总线405相互连接。
总线405可以是外设部件互连标准(peripheralcomponentinterconnect,pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture,eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器403可以包括易失性存储器(volatilememory),例如随机存取存储器(random-accessmemory,ram);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flashmemory),硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd);存储器403还可以包括上述种类的存储器的组合。
通信接口404可以为有线通信接入口,无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线通信接口可以为wlan接口。
处理器401可以是中央处理器(centralprocessingunit,cpu),网络处理器(networkprocessor,np)或者cpu和np的组合。处理器401还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specificintegratedcircuit,asic),可编程逻辑器件(programmablelogicdevice,pld)或其组合。上述pld可以是复杂可编程逻辑器件(complexprogrammablelogicdevice,cpld),现场可编程逻辑门阵列(field-programmablegatearray,fpga),通用阵列逻辑(genericarraylogic,gal)或其任意组合。
可选地,存储器403还可以用于存储程序指令,处理器401调用该存储器403中存储的程序指令,可以执行上述方案中所示实施例中的一个或多个步骤,或其中可选的实施方式,使得smf实体400实现上述方法中smf实体的功能。
处理器401用于根据执行存储器存储的指令,并控制收发器402进行信号接收和信号发送,当处理器401执行存储器存储的指令时,smf实体400可用于执行下述方案。
收发器402,用于接收请求消息,请求消息包括安全策略的相关参数;向基站发送安全策略或安全策略的标识;处理器401,用于根据安全策略的相关参数,获得安全策略或者安全策略的标识;其中,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护。一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
一种可选地实施方案中,安全策略的相关参数包括终端设备的标识,终端设备的数据网络名称dnn,终端设备的切片的标识,终端设备的服务质量和终端设备的会话标识中的至少一种。如此,可根据不同的标识从不同的角度或粒度实现安全策略的制定,更加灵活。
可选地,处理器401,用于:安全策略的相关参数包括终端设备的标识,smf实体根据终端设备的标识与安全策略的关联关系以及终端设备的标识,获得安全策略,如此可实现在终端设备的粒度上的安全策略的确定,实现不同的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理器401,用于:安全策略的相关参数包括终端设备的切片的标识,smf实体根据切片的标识和安全策略的关联关系以及终端设备的切片的标识,获得安全策略,如此可实现在切片的粒度上的安全策略的确定,实现接入不同的切片的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理器401,用于:安全策略的相关参数包括终端设备的会话标识,smf实体根据会话标识和安全策略的关联关系以及终端设备的会话标识,获得安全策略,如此可实现在会话的粒度上的安全策略的确定,实现发起不同会话的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理器401,用于:安全策略的相关参数包括终端设备的服务质量;smf实体根据终端设备的服务质量,获得安全策略,如此可实现在服务质量的粒度上的安全策略的确定,实现发起不同服务质量的终端设备可对应不同的安全策略的目的。
可选地,安全策略还包括以下内容中至少一种:加密指示信息,加密指示信息用于指示基站对终端设备开启加密保护;密钥长度;d-h指示信息,d-h指示信息用于指示基站对终端设备开启d-h;和,服务网络允许的用户面完整性保护算法。如此,可以更加灵活的对安全策略中的任一个信息进行指示,使最终确定的安全策略更加适应复杂的应用场景。
图5示例性示出了本申请实施例提供的一种基站的结构示意图。
基于相同构思,本申请实施例提供一种基站,用于执行上述方法流程中的任一个方案。如图5所示,基站500包括接收单元501、处理单元502和发送单元503。
处理单元502,用于获取安全策略,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护;当完整性保护指示信息指示基站对终端设备开启完整性保护时,通过发送单元503向终端设备发送目标用户面完整性保护算法;发送单元503,用于向终端设备发送目标用户面完整性保护算法。如此,可根据安全策略灵活的为终端设备选择是否开启完整性保护,且仅在对终端设备开启完整性保护时,基站向终端设备发送目标用户面完整性保护算法,一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
可选地,发送单元503,用于:通过无线资源控制rrc信令向终端设备发送目标用户面完整性保护算法。通过复用现有技术中的rrc信令的方式实现本申请实施例提供的方案,从而更好的兼容现有技术,且对现有技术改动较小。具体可选地实施方式可以参考上述内容,在此不再赘述。
可选地,处理单元502,在通过发送单元503向终端设备发送目标用户面完整性保护算法之前,还用于:根据终端设备支持的用户面完整性保护算法和基站允许的用户面完整性保护算法,确定目标用户面完整性保护算法。
可选地,基站允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法;或者,终端设备支持的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。
可选地,安全策略还包括服务网络允许的用户面完整性保护算法;处理单元502,用于:根据基站允许的用户面完整性保护算法,终端设备支持的用户面完整性保护算法,以及服务网络允许的用户面完整性保护算法,确定目标用户面完整性保护算法。
可选地,服务网络允许的用户面完整性保护算法为按照优先级排序的用户面完整性保护算法。
可选地,处理单元502,还用于:当安全策略还包括加密指示信息,且加密指示信息用于指示基站对终端设备开启加密保护时,通过发送单元503向终端设备发送目标用户面加密算法;或者,当安全策略还包括密钥长度时,通过发送单元503向终端设备发送密钥长度;或者,当安全策略还包括d-h指示信息,且d-h指示信息用于指示基站对终端设备开启d-h时,通过发送单元503向终端设备发送d-h相关密钥。
可选地,还包括接收单元501,在通过发送单元503向终端设备发送目标用户面完整性保护算法之前,用于:从会话管理功能smf实体接收终端设备的当前会话的服务质量;处理单元502,还用于:根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载。
处理单元502,还用于:根据安全策略和服务质量中的至少一种,为终端设备分配目标无线数据承载的具体方式参见上述方法实施例中的内容,在此不再赘述。
一种可选地实施方案中,处理单元502,用于:根据安全策略和服务质量中的至少一种,为终端设备创建目标无线数据承载。
可选地,接收单元501,用于:从smf实体接收安全策略;或者;从smf实体接收安全策略的标识,并根据安全策略的标识,获取安全策略。
可选地,处理单元502,还用于:获取终端设备支持的信令面安全算法;根据终端设备支持的信令面安全算法,以及基站允许的信令面安全算法,确定目标信令面安全算法;发送单元503,还用于:将目标信令面安全算法携带在接入层as安全模式命令smc中发送给终端设备。
应理解,以上各个单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,接收单元501和发送单元503可以由收发器302实现,处理单元502可以由处理器301实现。如图3所示,基站300可以包括处理器301、收发器302和存储器303。其中,存储器303可以用于存储处理器301执行方案时的代码,该代码可为基站300出厂时预装的程序/代码。
图6示例性示出了本申请实施例提供的一种smf实体的结构示意图。
基于相同构思,本申请实施例提供一种smf实体,用于执行上述方法流程中的任一个方案。如图6所示,smf实体600包括接收单元601、处理单元602,可选地,还包括发送单元603。
接收单元601,用于接收请求消息,请求消息包括安全策略的相关参数;向基站发送安全策略或安全策略的标识;处理单元602,用于根据安全策略的相关参数,获得安全策略或者安全策略的标识;其中,安全策略包括完整性保护指示信息,完整性保护指示信息用于指示基站是否对终端设备开启完整性保护。一方面,由于单独协商用户面的安全算法,提高了用户面安全算法和信令面安全算法分开确定的灵活性,另一方面,由于增加了完整性保护指示信息,提高了终端设备的目标用户面完整性保护算法确定的灵活性。
一种可选地实施方案中,安全策略的相关参数包括终端设备的标识,终端设备的数据网络名称dnn,终端设备的切片的标识,终端设备的服务质量和终端设备的会话标识中的至少一种。如此,可根据不同的标识从不同的角度或粒度实现安全策略的制定,更加灵活。
可选地,处理单元602,用于:安全策略的相关参数包括终端设备的标识,smf实体根据终端设备的标识与安全策略的关联关系以及终端设备的标识,获得安全策略,如此可实现在终端设备的粒度上的安全策略的确定,实现不同的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理单元602,用于:安全策略的相关参数包括终端设备的切片的标识,smf实体根据切片的标识和安全策略的关联关系以及终端设备的切片的标识,获得安全策略,如此可实现在切片的粒度上的安全策略的确定,实现接入不同的切片的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理单元602,用于:安全策略的相关参数包括终端设备的会话标识,smf实体根据会话标识和安全策略的关联关系以及终端设备的会话标识,获得安全策略,如此可实现在会话的粒度上的安全策略的确定,实现发起不同会话的终端设备可对应不同的安全策略的目的。
另一种可选地实施方式中,处理单元602,用于:安全策略的相关参数包括终端设备的服务质量;smf实体根据终端设备的服务质量,获得安全策略,如此可实现在服务质量的粒度上的安全策略的确定,实现发起不同服务质量的终端设备可对应不同的安全策略的目的。
可选地,安全策略还包括以下内容中至少一种:加密指示信息,加密指示信息用于指示基站对终端设备开启加密保护;密钥长度;d-h指示信息,d-h指示信息用于指示基站对终端设备开启d-h;和,服务网络允许的用户面完整性保护算法。如此,可以更加灵活的对安全策略中的任一个信息进行指示,使最终确定的安全策略更加适应复杂的应用场景。
应理解,以上各个单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。本申请实施例中,接收单元601和发送单元603可以由收发器402实现,处理单元602可以由处理器401实现。如图4所示,smf实体400可以包括处理器401、收发器402和存储器403。其中,存储器403可以用于存储处理器401执行方案时的代码,该代码可为smf实体400出厂时预装的程序/代码。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现、当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。指令可以存储在计算机存储介质中,或者从一个计算机存储介质向另一个计算机存储介质传输,例如,指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带、磁光盘(mo)等)、光介质(例如,cd、dvd、bd、hvd等)、或者半导体介质(例如rom、eprom、eeprom、非易失性存储器(nandflash)、固态硬盘(solidstatedisk,ssd))等。
本领域内的技术人员应明白,本申请实施例可提供为方法、系统、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!