通信方法、装置、系统及计算机可读存储介质与流程

1.本公开涉及通信技术领域，尤其是一种通信方法、装置、系统及计算机可读存储介质。


背景技术：

2.随着5g、6g技术的发展，网络功能虚拟化(nfv)技术也在不断发展，nfv技术能够云化组网，具有灵活的网络定制能力，被广泛应用于面向企业的定制专网。定制专网的部分网元下沉部署在地市、园区等边缘节点，这类网元属于虚拟化的边缘网元。
3.相关技术中，虚拟化的边缘网元利用预共享密钥接入核心网。


技术实现要素：

4.发明人注意到，相关技术中预共享密钥存在安全性低的问题。这主要是因为预共享密钥要求预先分发密钥至虚拟化的边缘网元，密钥容易泄露，因此安全性不高。
5.为了解决上述问题，本公开实施例提出了如下解决方案。
6.根据本公开实施例的一方面，提供一种通信方法，包括：边缘网的第一网关基于对核心网的第二网关进行验证的第一密钥，生成与所述第二网关进行通信的第二密钥；所述第一网关基于所述第二密钥与边缘网的虚拟化的第一网元的标识生成第三密钥；以及所述第一网关发送所述第三密钥至所述第一网元和所述第二网关，以使得所述第二网关基于所述第三密钥对所述第一网元进行验证，并使得所述第一网元在验证通过后基于所述第三密钥与核心网的第二网元进行通信。
7.在一些实施例中，所述第一网关接收由所述第二网关基于第一参数和所述第一密钥生成的第二参数；所述第一网关基于第一参数和所述第一密钥生成第三参数与第四参数；以及所述第一网关在所述第二参数与所述第三参数一致的情况下，将所述第四参数发送至所述第二网关，以使得所述第二网关在所述第四参数与第五参数一致的情况下向所述第一网关返回验证通过消息，其中所述第五参数由所述第二网关基于所述第一参数和所述第一密钥生成。
8.在一些实施例中，响应于所述验证通过消息，所述第一网关基于所述第一密钥生成所述第二密钥。
9.在一些实施例中，所述第一网关接收由所述第一网元基于所述第三密钥对第一信息进行加密而生成的第二信息；所述第一网关基于所述第二密钥对所述第二信息进行加密，生成第三信息；以及所述第一网关发送所述第三信息至所述第二网关，以使得所述第二网关基于所述第二密钥和所述第三密钥对所述第三信息进行解密以得到所述第一信息并将所述第一信息发送至所述第二网元。
10.在一些实施例中，所述第一网关接收由所述第二网关基于所述第二密钥和所述第三密钥对第四信息进行加密而生成的第五信息；所述第一网关基于所述第二密钥对所述第五信息进行解密，以得到第六信息；以及所述第一网关发送所述第六信息至所述第一网元，
以使得所述第一网元基于所述第三密钥对所述第六信息进行解密以得到所述第四信息。
11.在一些实施例中，所述第一密钥来自用户识别卡。
12.在一些实施例中，所述用户识别卡可插拔地与所述第一网关相连；在生成所述第二密钥之前，所述第一网关将基于所述第一网关的标识和所述用户识别卡的标识得到的第六参数发送至所述第二网关，以使得所述第二网关基于所述第六参数确定所述第一网关的标识和所述用户识别卡的标识是否与预先配置的绑定信息一致。
13.在一些实施例中，所述用户识别卡包括全球用户识别卡(usim)和嵌入式sim卡(esim)中的至少一种。
14.在一些实施例中，在生成所述第二密钥之前，所述第一网关对所述第一网元进行验证。
15.在一些实施例中，所述第一网关利用预共享密钥、证书颁发机构证书、认证与密钥协商协议中的至少一种对所述第一网元进行验证。
16.根据本公开实施例的另一方面，提供一种通信装置，包括：生成模块，被配置为基于对核心网的第二网关进行验证的第一密钥生成与所述第二网关进行通信的第二密钥，以及基于所述第二密钥与边缘网的虚拟化的第一网元的标识生成第三密钥；发送模块，被配置为发送所述第三密钥至所述第一网元和所述第二网关，以使得所述第二网关基于所述第三密钥对所述第一网元进行验证，并使得所述第一网元在验证通过后基于所述第三密钥与核心网的第二网元进行通信。
17.根据本公开实施例的又一方面，提供一种通信装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行上述任意一个实施例所述的方法。
18.根据本公开实施例的还一方面，提供一种通信系统，包括：边缘网的第一网关，包括上述任意一个实施例所述的通信装置；核心网的第二网元；边缘网的虚拟化的第一网元，被配置为在验证通过后基于第三密钥与所述第二网元进行通信；以及核心网的第二网关，被配置为基于所述第三密钥对所述第一网元进行验证。
19.根据本公开实施例的还一方面，提供一种计算机可读存储介质，包括计算机程序指令，其中，所述计算机程序指令被处理器执行时实现上述任意一个实施例所述的方法。
20.根据本公开实施例的还一方面，提供一种计算机程序产品，包括计算机程序，其中，所述计算机程序被处理器执行时实现上述任意一项所述的方法。
21.本公开实施例中，边缘网的第一网关基于第一密钥建立与核心网的信任关系；再基于第一密钥生成第二密钥，从而将信任关系传递至第二密钥；最后基于第二密钥和第一网元的标识生成第三密钥，使得第一网关将该信任关系通过第三密钥传递给第一网元，以此建立第一网元与核心网的信任关系，保障第一网元与核心网之间的通信安全。
22.下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。
附图说明
23.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其他的附图。
24.图1是根据本公开一些实施例的通信方法的流程图；
25.图2是根据本公开一些实施例的验证方法的流程图；
26.图3是根据本公开一些实施例的第一网元与第二网元的通信过程的流程图；
27.图4是根据本公开另一些实施例的第一网元与第二网元的通信过程的流程图；
28.图5是根据本公开一些实施例的通信装置的结构示意图；
29.图6是根据本公开另一些实施例的通信装置的结构示意图；
30.图7是根据本公开一些实施例的通信系统的结构示意图；
31.图8是根据本公开另一些实施例的通信系统的结构示意图。
具体实施方式
32.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。
33.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
34.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
35.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
36.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
37.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
38.图1是根据本公开一些实施例的通信方法的流程图。
39.在步骤102，边缘网的第一网关基于对核心网的第二网关进行验证的第一密钥，生成与第二网关进行通信的第二密钥。
40.在一些实施例中，第一密钥是第二网关对第一网关进行验证的密钥。后文将结合一些实施例对第一网关与第二网关之间的验证方法进行说明。
41.根据一些实施例，第二密钥可以在验证过程中生成，也可以在验证之后生成，后文将结合不同实施例进行说明。
42.在步骤104，第一网关基于第二密钥与边缘网的虚拟化的第一网元的标识生成第三密钥。
43.根据一些实施例，每个第一网元的标识与其他第一网元的标识不同，这种情况下，针对不同的第一网元生成的第三密钥也不同。
44.根据一些实施例，第一网关基于第二密钥与第一网元的标识，利用密钥衍生函数(kdf)生成第三密钥。第一网元的标识例如包括第一网元的名称、编号和ip地址中的至少一个。
45.在步骤106，第一网关发送第三密钥至第一网元和第二网关，以使得第二网关基于第三密钥对第一网元进行验证，并使得第一网元在验证通过后基于第三密钥与核心网的第二网元进行通信。
46.根据一些实施例，第二网关对第一网元的验证所采用的验证方法与第一网关对第二网关的验证方法相同。
47.根据一些实施例，核心网的第二网关与核心网的第二网元是相互信任的，核心网的多个第二网元之间也是相互信任的，无需进行验证。
48.第一网元与第二网元的通信过程将在后文结合一些实施例进行说明。
49.上述实施例中，边缘网的第一网关基于第一密钥建立与核心网的信任关系；再基于第一密钥生成第二密钥，从而将信任关系传递至第二密钥；最后基于第二密钥和第一网元的标识生成第三密钥，使得第一网关将该信任关系通过第三密钥传递给第一网元，以此建立第一网元与核心网的信任关系，保障了第一网元与核心网之间的通信安全。
50.图2是根据本公开一些实施例的验证方法的流程图。
51.在步骤202，第一网关接收由第二网关基于第一参数和第一密钥生成的第二参数。
52.根据一些实施例，第一网关和第二网关分别储存相同的第一密钥，
53.根据一些实施例，第二网关生成随机数r，将随机数r作为第一参数发送至第一网关。
54.根据一些实施例，第二网关基于第一密钥和第一参数r利用两种方法(例如两种函数)计算出第二参数autn和第五参数xres，将其中的第二参数autn发送至第一网关。
55.在步骤204，第一网关基于第一参数和第一密钥生成第三参数与第四参数。
56.根据一些实施例，第一网关基于第一密钥和第一参数r利用两种方法(例如两种函数)计算出第三参数autn-ue和第四参数res。
57.在步骤206，第一网关在第二参数与第三参数一致的情况下，将第四参数发送至第二网关，以使得第二网关在第四参数与第五参数一致的情况下向第一网关返回验证通过消息，其中第五参数由第二网关基于第一参数和第一密钥生成。
58.根据一些实施例，第一网关比较第二参数autn和第三参数autn-ue是否一致，当一致时，说明第二网关是可信的，此时第一网关将第四参数res发送至第二网关；第二网关比较第二参数xres和第五参数res是否一致，当一致时，说明第一网关是可信的，此时第二网关向第一网关返回验证通过消息，由此实现双向验证。
59.应理解，验证方法还可以包括其他步骤，例如可以生成加密密钥(ck)、完整性密钥(ik)、锚密钥(kseaf)或kamf密钥。
60.根据一些实施例，验证方法包括认证与密钥协商协议(aka)。例如，aka包括5g-aka、可扩展认证协议-认证与密钥协商协议(eap-aka’)和互联网密钥交换协议第2版-使用可扩展的身份验证协议-认证与密钥协商协议(ikev2 eap aka)等。
61.上述实施例中，实现第一网关与第二网关的双向验证，有利于第一网关与第二网关相互确认对方是否可信，从而保障网关之间通信的安全性。
62.下面介绍第二密钥的生成方式的一些实施例。
63.根据一些实施例，响应于验证通过消息，第一网关基于第一密钥生成第二密钥。
64.作为一些实现方式，第一网关基于第一密钥与密钥衍生函数(kdf)生成第二密钥，
例如，利用验证过程中基于第一密钥生成的ck和ik生成第二密钥k2，例如k2＝kdf(ck+ik+r)，r为随机数。kdf可采用哈希函数，例如sm3或sha256等算法。
65.根据另一些实施例，第一网关将验证过程中产生的密钥作为第二密钥，例如将kseaf或kamf作为第二密钥。
66.根据一些实施例，在生成第二密钥之前，第一网关对第一网元进行验证，例如，第一网关利用预共享密钥、证书颁发机构证书和aka中的至少一种对第一网元进行验证。
67.上述实施例中，通过第一网关对第一网元进行验证，有利于确认第一网元是否可信，从而保障通信的安全性。
68.图3是根据本公开一些实施例的第一网元与第二网元的通信过程的流程图。
69.在步骤302，第一网关接收由第一网元基于第三密钥对第一信息进行加密而生成的第二信息。
70.在步骤304，第一网关基于第二密钥对第二信息进行加密，生成第三信息。
71.在步骤306，第一网关发送第三信息至第二网关，以使得第二网关基于第二密钥和第三密钥对第三信息进行解密以得到第一信息并将第一信息发送至第二网元。
72.图4是根据本公开另一些实施例的第一网元与第二网元的通信过程的流程图。
73.在步骤402，第一网关接收由第二网关基于第二密钥和第三密钥对第四信息进行加密而生成的第五信息。
74.在步骤404，第一网关基于第二密钥对第五信息进行解密，以得到第六信息。
75.在步骤406，第一网关发送第六信息至第一网元，以使得第一网元基于第三密钥对第六信息进行解密以得到第四信息。
76.在图3和图4的实施例中，利用第二密钥对第一网关和第二网关之间的网络层的数据(即第二信息)进行加密，利用第三密钥对第一网元与第二网元之间的传输层的数据(即第一信息)进行加密。
77.根据一些实施例中，第二网关与第二网元之间是互相信任的，因此不需要进行验证。根据另一些实施例，第二网关与第二网元之间也需要进行验证。例如，利用aka验证方法进行验证。进一步地，在验证通过后，第二网关与第二网元基于验证过程中或验证后生成的密钥进行通信。
78.根据一些实施例，第一网元与第二网元的通信利用网络域/ip(nds/ip)机制来实现。在一些实现方式中，利用互联网安全协议(ipsec)来实现其中的第一网关与第二网关之间通信。例如，采用封装安全载荷(esp)和隧道模式来实现ipsec。
79.上述实施例中，对第一网元与第二网元之间的通信进行加密，有利于保障通信安全。
80.下面结合一些实施例说明第一密钥的来源。
81.根据一些实施例，第一密钥来自用户识别卡。例如，用户识别卡包括usim和esim中的至少一种。由usim卡或esim卡储存第一密钥，安全性高且成本低。
82.上述实施例中，多个虚拟化的边缘网元共用硬件资源，具有动态加载、弹性伸缩的特性，即，可以根据业务需求进行启动或停止。对于具有动态加载、弹性伸缩特性的虚拟化的第一网元，当第一网元根据需要启动或停止时，第三密钥也会相应地生成或失效，这种密钥生成方式便于管理。
83.根据一些实施例，用户识别卡内置在第一网关中。在一些实现方式中，用户识别卡和第二网元分别储存第一密钥。
84.根据另一些实施例，用户识别卡可插拔地与第一网关相连，例如，用户识别卡通过具有usb接口的读卡设备插入到第一网关的usb口。这种情况下，在生成第二密钥之前，第一网关将基于第一网关的标识和用户识别卡的标识得到的第六参数发送至第二网关，以使得第二网关基于第六参数确定第一网关的标识和用户识别卡的标识是否与预先配置的绑定信息一致。在一些实现方式中，用户识别卡和第二网关分别储存第一密钥。
85.根据一些实施例，第一网关可以预先将第一网关的标识和用户识别卡的标识提交至第二网关以配置这两个标识之间的绑定信息。第一网关的标识例如包括第一网关的设备指纹，用户识别卡的标识例如包括国际移动用户识别码(imsi)或用户永久标识符(supi)码号。在一些实施例中，还可以将网络接入信息也提交至第二网关，网络接入信息例如包括第一网关的端口信息。
86.根据一些实施例，在第一网关与第二网关验证之前或在第一网关与第二网关的验证过程中，第一网关将基于第一网关的标识和用户识别卡的标识得到的第六参数发送至第二网关，第二网关基于第六参数确认第一网关的标识和用户识别卡的标识是否与绑定信息一致，当确认一致后，第一网关与第二网关的验证才能成功。
87.上述实施例中，将第一网关与用户识别卡绑定，能够有效防止用户识别卡被挪用，有利于保障通信安全。
88.本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于装置实施例而言，由于其与方法实施例基本对应，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
89.图5是根据本公开一些实施例的通信装置的结构示意图。
90.如图5所示，通信装置500包括生成模块501和发送模块502。
91.生成模块501被配置为基于对核心网的第二网关进行验证的第一密钥生成与第二网关进行通信的第二密钥，以及基于第二密钥与边缘网的虚拟化的第一网元的标识生成第三密钥。
92.发送模块502被配置为发送第三密钥至第一网元和第二网关，以使得第二网关基于第三密钥对第一网元进行验证，并使得第一网元在验证通过后基于第三密钥与核心网的第二网元进行通信。
93.图6是根据本公开另一些实施例的通信装置的结构示意图。
94.如图6所示，通信装置600包括存储器601以及耦接至该存储器601的处理器602，处理器602被配置为基于存储在存储器601中的指令，执行前述任意一个实施例的方法。
95.存储器601例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如可以存储有操作系统、应用程序、引导装载程序(boot loader)以及其他程序等。
96.通信装置600还可以包括输入输出接口603、网络接口604、存储接口605等。这些接口603、604、605之间、以及存储器601与处理器602之间例如可以通过总线606连接。输入输出接口603为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口604为各种联网设备提供连接接口。存储接口605为sd卡、u盘等外置存储设备提供连接接口。
97.图7是根据本公开一些实施例的通信系统的结构示意图。
98.如图7所示，通信系统700包括边缘网的第一网关710、边缘网的虚拟化的第一网元720、核心网的第二网元730和核心网的第二网关740。边缘网的第一网关710可以包括如上任意一个实施例的通信装置，例如通信装置500或通信装置600。边缘网的虚拟化的第一网元720被配置为在验证通过后基于第三密钥与第二网元进行通信。核心网的第二网关740被配置为基于第三密钥对第一网元进行验证。
99.图8是根据本公开另一些实施例的通信系统的结构示意图。
100.如图8所示，通信系统800包括边缘网的第一网关710、边缘网的虚拟化的第一网元720、核心网的第二网元730和核心网的第二网关740。
101.边缘网的第一网关710包括安全接入模块711、认证授权计费(aaa)认证模块712和内部验证模块713，内部验证模块713被配置为对边缘网的虚拟化的第一网元720进行验证。
102.第二网关740包括安全接入模块741和aaa服务器742。核心网侧的安全接入模块741被配置为与边缘网侧的安全接入模块711协同实现第一网关710与第二网关740之间的通信加密。aaa服务器742被配置为与aaa认证模块712协同实现第一网关710对第二网关740的验证，以及实现第二网关740对第一网元720的验证。
103.根据一些实施例，第二网元730包括密钥管理网元(图中未示出)，密钥管理网元被配置为存储第一密钥。例如，密钥管理网元为统一数据管理功能(udm)网元。根据一些实施例，第二网元730包括鉴权服务器功能(ausf)网元，ausf网元被配置为实现核心网的第二网元730与核心网的第二网关740之间的验证。
104.本公开实施例还提供了一种计算机可读存储介质，包括计算机程序指令，该计算机程序指令被处理器执行时实现上述任意一个实施例的方法。
105.本公开实施例还提供了一种计算机程序产品，包括计算机程序，其中，所述计算机程序被处理器执行时实现上述任意一项所述的方法。
106.至此，已经详细描述了本公开的各实施例。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
107.本领域内的技术人员应当明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
108.本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解，可由计算机程序指令实现流程图中一个流程或多个流程和/或方框图中一个方框或多个方框中指定的功能。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
109.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指
令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
110.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
111.虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。