一种加密传输方法及装置与流程

本申请涉及网络技术与安全领域，尤其涉及一种加密传输方法及装置。

背景技术：

1、第五代移动通信技术(5th generation mobile communication technology，5g)是具有高速率、低时延和大连接等特点的新一代宽带移动通信技术。随着5g技术在垂直行业的广泛应用，5g技术传输的信息量也越来越大，保证5g技术传输信息的安全性，从而提升垂直行业应用的安全性成为该技术的关键点。

2、为了保证信息传输的安全性，现有技术通常是根据3gpp标准，在终端设备入网注册过程，在空口层面开启加密传输。此外，在终端设备访问业务时，由外部服务器对终端设备进行二次认证。然而，该方法无法实现用户面数据端到端的加密传输，无法保证用户面数据传输的安全性。

技术实现思路

1、本申请实施例提供一种加密传输方法及装置，用以实现用户面数据端到端的加密传输，从而提升用户面数据传输的安全性。

2、第一方面，本申请实施例提供了一种加密传输方法。以用户设备为执行主体为例，该方法包括：用户设备确定第一网元根密钥与用户面网元的第二网元根密钥通过对称性认证，第一网元根密钥是根据用户设备的移动管理密钥获得的；用户设备根据第一网元根密钥获得第一机密性密钥和第一完整性密钥；用户设备向用户面网元发送通过第一机密性密钥和第一完整性密钥保护的数据，数据用于用户面网元通过第二机密性密钥和第二完整性密钥接收，第二机密性密钥和第二完整性密钥保护是根据第二网元根密钥获得的。

3、采用该方法，可以实现用户面数据在用户设备与用户面网元之间的端到端的加密传输，从而提升用户面数据传输的安全性。

4、在一种可能的设计中，用户设备接收来自于会话管理网元的第一消息。

5、在一种可能的设计中，第一消息用于请求验证第一网元根密钥与第二网元根密钥的对称性。

6、在一种可能的设计中，用户设备确定第一网元根密钥与用户面网元的第二网元根密钥通过对称性认证，包括：用户设备发送第一网元根密钥加密的第一信息；用户设备接收来自于用户面网元的接收确认信息，接收确认信息用于指示第一信息成功接收。

7、采用该设计，用户设备根据第一网元根密钥对数据进行加密，用户面网元根据第二网元根密钥对密文进行解密，根据加密前的数据与解密后的数据相同，可以快速准确的确定第一网元根密钥与第二网元根密钥通过对称性验证。

8、第二方面，本申请实施例提供了一种加密传输方法。以用户面网元为执行主体为例，该方法包括：用户面网元确定第二网元根密钥与用户设备的第一网元根密钥通过对称性认证，第二网元根密钥来自于会话管理网元；用户面网元根据第二网元根密钥生成第二机密性密钥和第二完整性密钥；用户面网元根据第二机密性密钥和第二完整性密钥接收来自于用户设备的数据，数据是通过第一机密性密钥和第一完整性密钥保护的，第一机密性密钥和第一完整性密钥保护是根据第一网元根密钥获得的。

9、在一种可能的设计中，第二网元根密钥根据移动管理密钥获得。

10、在一种可能的设计中，第二网元根密钥包括在来自于会话管理网元的会话建立消息中。

11、在一种可能的设计中，用户面网元确定第二网元根密钥与用户设备的第一网元根密钥通过对称性认证，包括：用户面网元接收来自于用户设备的第一网元根密钥加密的第一信息；用户面网元发送接收确认信息，接收确认信息用于指示第一信息成功接收。

12、第三方面，本申请实施例提供了一种加密传输装置，包括：处理模块，用于确定第一网元根密钥与用户面网元的第二网元根密钥通过对称性认证，第一网元根密钥是根据移动管理密钥获得的；处理模块，还用于根据第一网元根密钥获得第一机密性密钥和第一完整性密钥；通信模块，用于向用户面网元发送通过第一机密性密钥和第一完整性密钥保护的数据，数据用于用户面网元通过第二机密性密钥和第二完整性密钥接收，第二机密性密钥和第二完整性密钥保护是根据第二网元根密钥获得的。

13、在一种可能的设计中，通信模块还用于接收来自于会话管理网元的第一消息。

14、在一种可能的设计中，第一消息用于请求验证第一网元根密钥与第二网元根密钥的对称性。

15、在一种可能的设计中，通信模块具体用于：发送第一网元根密钥加密的第一信息；接收来自于用户面网元的接收确认信息，接收确认信息用于指示第一信息成功接收。

16、第四方面，本申请实施例提供了一种加密传输装置，包括：处理模块，用于确定第二网元根密钥与用户设备的第一网元根密钥通过对称性认证，第二网元根密钥来自于会话管理网元；处理模块，还用于根据第二网元根密钥生成第二机密性密钥和第二完整性密钥；通信模块，用于根据第二机密性密钥和第二完整性密钥接收来自于用户设备的数据，数据是通过第一机密性密钥和第一完整性密钥保护的，第一机密性密钥和第一完整性密钥保护是根据第一网元根密钥获得的。

17、在一种可能的设计中，第二网元根密钥根据移动管理密钥获得。

18、在一种可能的设计中，第二网元根密钥包括在来自于会话管理网元的会话建立消息中。

19、在一种可能的设计中，通信模块具体用于：接收来自于用户设备的第一网元根密钥加密的第一信息；发送接收确认信息，接收确认信息用于指示第一信息成功接收。

20、第五方面，本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，计算机程序被处理器执行时，实现如上述第一方面及其任一可能的设计的方法，或者，实现如上述第二方面及其任一可能的设计的方法。

21、第六方面，本申请实施例还提供了一种电子设备，包括存储器和处理器，存储器上存储有可在处理器上运行的计算机程序，当计算机程序被处理器执行时，使得处理器实现如上述第一方面及其任一可能的设计的方法，或者，实现如上述第二方面及其任一可能的设计的方法。

22、第二方面至第六方面及其任意一种设计所带来的技术效果可参见第一方面中对应的设计所带来的技术效果，此处不再赘述。

技术特征：

1.一种加密传输方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

3.如权利要求2所述的方法，其特征在于，所述第一消息用于请求验证所述第一网元根密钥与所述第二网元根密钥的对称性。

4.如权利要求1所述的方法，其特征在于，所述用户设备确定第一网元根密钥与用户面网元的第二网元根密钥通过对称性认证，包括：

5.一种加密传输方法，其特征在于，包括：

6.如权利要求5所述的方法，其特征在于，所述第二网元根密钥根据移动管理密钥获得。

7.如权利要求6所述的方法，其特征在于，所述第二网元根密钥包括在来自于所述会话管理网元的会话建立消息中。

8.如权利要求5所述的方法，其特征在于，所述用户面网元确定第二网元根密钥与用户设备的第一网元根密钥通过对称性认证，包括：

9.一种加密传输装置，其特征在于，所述装置包括：

10.如权利要求9所述的装置，其特征在于，所述通信模块，还用于接收来自于会话管理网元的第一消息。

11.如权利要求10所述的装置，其特征在于，所述第一消息用于请求验证所述第一网元根密钥与所述第二网元根密钥的对称性。

12.如权利要求9所述的装置，其特征在于，所述通信模块具体用于：发送所述第一网元根密钥加密的第一信息；

13.一种加密传输装置，其特征在于，所述装置包括：

14.如权利要求13所述的装置，其特征在于，所述第二网元根密钥根据移动管理密钥获得。

15.如权利要求14所述的装置，其特征在于，所述第二网元根密钥包括在来自于所述会话管理网元的会话建立消息中。

16.如权利要求13所述的装置，其特征在于，所述通信模块具体用于：

17.一种电子设备，其特征在于，所述电子设备包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-8中任一所述方法的步骤。

18.一种计算机可读存储介质，其特征在于，其存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-8中任一所述方法的步骤。

技术总结
本申请公开了一种加密传输方法及装置，该方法包括：用户设备和用户面网元验证第一网元根密钥与第二网元根密钥具有对称性；用户设备根据第一网元根密钥获得第一机密性密钥和第一完整性密钥，用户面网元根据第二网元根密钥获得第二机密性密钥和第二完整性密钥；用户设备向用户面网元发送通过第一机密性密钥和第一完整性密钥保护的数据，用户面网元使用第二机密性密钥和第二完整性密钥接收数据。采用该方法，可以实现用户面数据在用户设备与用户面网元之间的端到端的加密传输，从而提升用户面数据传输的安全性。

技术研发人员：张越,黄铖斌,王锦华,李金慧,王骞然
受保护的技术使用者：中国电信股份有限公司技术创新中心
技术研发日：
技术公布日：2024/1/15