【技术实现步骤摘要】
密钥配置方法、装置以及系统
本专利技术涉及通信领域,尤其涉及密钥配置方法、装置以及系统。
技术介绍
在现有的网络安全架构中,数据的安全性保护采用的是hop-by-hop方式,即分段进行安全性保护。以数据从终端设备—基站—服务网关—PDN网关的传输链路为例,终端设备-基站之间执行一次安全性保护,基站—服务网关之间执行一次安全性保护,服务网关—PDN网关之间执行一次安全性保护在数据传输的过程中,如果中间节点出现了问题,则可能会导致数据的泄露。此外,在现有的网络安全架构中,终端设备和基站之间采用PDCD空口保护机制。PDCD空口保护机制仅支持一套用户数据保护机制,也就是说,即使终端设备与基站之间传输多种类型的业务数据,这些多种类型的业务数据也只能采用同一种加密算法和完整性保护算法进行安全保护。可以看到,现有技术不支持差异化的安全保护,在基站侧所有的业务数据均需进行统一的安全保护。另外,在未来的5G规划中,要求5G网络中的网元支持基于业务的安全策略协商,而目前LTE中的安全算法协商仅用于用户面或者控制面的安全算法协商。不支持基于业务的安全策略协商,所以,现有的LTE的协商机制不能够直接应用于未来5G通信中。
技术实现思路
本专利技术实施例公开了一种密钥配置方法、装置以及系统,能够实现在5G通信中用户设备与网络设备分别完成用户面保护密钥的配置,提高用户面数据传输的安全性,实现网络安全保护。第一方面,本专利技术实施例提供了一种密钥配置方法,应用于通信系统的策略功能网元侧,该方法包括:策略功能网元接收用户设备与网络设备之间通信的请求;所述请求包括会话标识、用户设备标识、以及 ...
【技术保护点】
1.一种密钥配置方法,其特征在于,包括:策略功能网元接收用户设备与网络设备之间通信的请求;所述请求包括会话标识、用户设备标识、以及安全需求的指示信息,所述安全需求的指示信息用于指示用户设备安全需求和/或业务安全需求;所述策略功能网元基于所述请求,以及统一数据管理网元UDM反馈的UE注册信息、所述UDM反馈的签约业务数据、应用功能网元AF反馈的业务安全需求中的至少一个,确定用户面保护机制;所述用户面保护机制用于指示所述用户设备与所述网络设备之间传输的用户面数据是否需要加密,或是否需要完整性保护,或是否同时需要加密和完整性保护;当所述网络设备为接入网AN设备时,所述策略功能网元向所述AN设备发送所述用户面保护机制;其中,所述AN设备用于基于所述用户面保护机制确定安全保护算法,基于所述安全保护算法生成第一用户面保护密钥;所述AN设备还用于将所述安全保护算法发送至所述用户设备,以便于所述用户设备基于所述安全保护算法生成第二用户面保护密钥;当所述网络设备为核心网CN设备时,所述策略功能网元向算法网元发送所述用户面保护机制;其中,所述算法网元用于基于所述用户面保护机制确定安全保护算法,基于所述安全 ...
【技术特征摘要】
1.一种密钥配置方法,其特征在于,包括:策略功能网元接收用户设备与网络设备之间通信的请求;所述请求包括会话标识、用户设备标识、以及安全需求的指示信息,所述安全需求的指示信息用于指示用户设备安全需求和/或业务安全需求;所述策略功能网元基于所述请求,以及统一数据管理网元UDM反馈的UE注册信息、所述UDM反馈的签约业务数据、应用功能网元AF反馈的业务安全需求中的至少一个,确定用户面保护机制;所述用户面保护机制用于指示所述用户设备与所述网络设备之间传输的用户面数据是否需要加密,或是否需要完整性保护,或是否同时需要加密和完整性保护;当所述网络设备为接入网AN设备时,所述策略功能网元向所述AN设备发送所述用户面保护机制;其中,所述AN设备用于基于所述用户面保护机制确定安全保护算法,基于所述安全保护算法生成第一用户面保护密钥;所述AN设备还用于将所述安全保护算法发送至所述用户设备,以便于所述用户设备基于所述安全保护算法生成第二用户面保护密钥;当所述网络设备为核心网CN设备时,所述策略功能网元向算法网元发送所述用户面保护机制;其中,所述算法网元用于基于所述用户面保护机制确定安全保护算法,基于所述安全保护算法生成第一用户面保护密钥,以及将所述第一用户面保护密钥发送至所述CN设备;所述算法网元还用于将所述安全保护算法发送至所述用户设备,以便于所述用户设备基于所述安全保护算法生成第二用户面保护密钥。2.根据权利要求1所述的方法,其特征在于,所述请求还包括业务标识、用户设备业务标识、数据网络标识DNN、用户设备安全能力中的至少一项。3.根据权利要求1或2所述的方法,其特征在于,所述请求为附着请求;所述附着请求为所述用户设备向认证服务器网元AUSF发起的;所述附着请求用于所述网络设备与所述AUSF之间进行双向认证,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为会话请求;所述会话请求为所述用户设备向会话管理网元SMF发起的,或者为接入与移动管理网元AMF向所述SMF发起的;所述会话请求用于网络设备和所述SMF之间建立会话,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为策略请求;所述策略请求为所述SMF向所述策略功能网元发起的,所述策略请求用于触发所述策略功能网元确定用户面保护机制。4.根据权利要求1至3任一项所述的方法,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据需要采用的安全保护算法、密钥长度、密钥更新周期中的至少一项。5.根据权利要求1至4任一项所述的方法,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据可以采用的具有优先级的安全保护算法列表。6.根据权利要求1至5任一项所述的方法,其特征在于,所述策略功能网元包括策略控制节点PCF、认证服务器网元AUSF、接入与移动管理功能网元AMF、会话管理网元SMF、AN设备中的一个。7.根据权利要求1至6任一项所述的方法,其特征在于,所述CN设备为用户面节点UPF;所述算法网元包括所述PCF、所述AUSF、所述AMF、所述SMF、所述AN设备中的至少一个。8.根据权利要求1至7任一项所述的方法,其特征在于,所述AN设备用于基于所述用户面保护机制确定安全保护算法,包括:如果用户面保护机制不包括安全保护算法,则基于所述用户面保护机制、所述用户设备安全能力、所述AN设备支持的算法优先级列表中的至少一项确定安全保护算法;如果用户面保护机制包括安全保护算法,则直接获取所述用户面保护机制中的安全保护算法。9.根据权利要求1至7任一项所述的方法,其特征在于,所述算法网元用于基于所述用户面保护机制确定安全保护算法,包括:如果用户面保护机制不包括安全保护算法,则基于所述用户面保护机制、所述用户设备安全能力、所述CN设备支持的算法优先级列表中的至少一项确定安全保护算法;如果用户面保护机制包括安全保护算法,则直接获取所述用户面保护机制中的安全保护算法。10.根据权利要求3至9任一项所述的方法,其特征在于,当所述网络设备为接AN设备时,基于所述安全保护算法生成第一用户面保护密钥,包括:第一用户面保护密钥=KDF(K_AN,UP算法ID),其中,K_AN为认证成功后,所述AMF根据认证后的基础密钥或认证后再次推衍得到的密钥,推衍出的基站密钥,所述AN设备从所述AMF获得所述K_AN;当所述网络设备为CN设备时,基于所述安全保护算法生成第一用户面保护密钥,包括:第一用户面保护密钥=KDF(K_算法网元,UP算法ID),其中,所述K_算法网元为认证成功后,所述AMF或所述AUSF根据认证后的基础密钥或认证后再次推衍得到的密钥,推衍出的基站密钥,所述算法网元从所述AMF或所述AUSF获得所述K_算法网元;其中,所述UP算法ID为加密算法的标识,或者为完整性保护算法的标识;所述KDF为密钥推衍函数。11.根据权利要求1至9任一项所述的方法,其特征在于,包括:所述用户面数据通过服务质量流Qosflow传输通道承载;若已存在Qosflow传输通道对应的服务质量流标识QoSflowID,所述QoSflowID对应QoSflow满足用户面保护机制,或Qos需求,或用户面保护机制和QoS需求,则选择该Qosflow传输通道传输用户面数据;否则,新建Qosflow传输通道,并生成与该Qosflow传输通道对应的QoSflowID;若已存在Qosflow传输通道对应的QoSflowID,所述QoSflowID对应QoSflow满足用户面保护机制,则选择该Qosflow传输通道传输用户面数据;否则,新建Qosflow传输通道,并生成与该Qosflow传输通道对应的QoSflowID;其中,所述Qos需求为对通信网络中服务质量参数的需求。12.根据权利要求1至9任一项所述的方法,其特征在于,包括:所述用户面数据通过数据无线承载DRB传输通道承载;若已存在DRB传输通道对应的数据无线承载标识DRBID,所述DRBID对应DRB满足用户面保护机制,或Qos需求,或用户面保护机制和QoS需求,则选择该DRB传输通道传输用户数据;否则,新建DRB传输通道,并生成与该DRB传输通道对应的DRBID;或者,若已存在DRB传输通道对应的DRBID,所述DRBID对应DRB满足用户面保护机制,则选择该DRB传输通道传输用户数据;否则,新建DRB传输通道,并生成与该DRB传输通道对应的DRBID;其中,所述DRBID与所述用户面保护机制具有映射关系。13.根据权利要求1至9任一项所述的方法,其特征在于,包括:所述用户面数据通过会话session传输通道承载;若已存在session传输通道对应的会话标识sessionID,所述sessionID对应session满足用户面保护机制,或Qos需求,或用户面保护机制和QoS需求,则选择该session传输通道传输用户数据;否则,新建session传输通道,并生成与该session传输通道对应的sessionID;或者,若已存在session传输通道对应的sessionID,所述sessionID对应session满足用户面保护机制,则选择该session传输通道传输用户数据;否则,新建session传输通道,并生成与该session传输通道对应的sessionID;其中,所述sessionID与所述用户面保护机制具有映射关系。14.根据权利要求11至13任一项所述的方法,其特征在于,确定用户面保护机制,还包括:建立所述sessionID和所述QoSflowID至所述DRBID的映射,将具有相同的用户面保护机制的QoSflow映射到同一个DRB。15.根据权利要求11至14任一项所述的方法,其特征在于,当所述网络设备为AN设备时,基于所述安全保护算法生成第一用户面保护密钥,包括:所述第一用户面保护密钥=KDF(K_AN,UP算法ID);或者,所述第一用户面保护密钥=KDF(K_AN,UP算法ID,flowID);或者,所述第一用户面保护密钥=KDF(K_AN,UP算法ID,sessionID);或者,所述第一用户面保护密钥=KDF(K_AN,UP算法ID,DRBID)。16.根据权利要求11至14任一项所述的方法,其特征在于,当所述网络设备为CN设备时,基于所述安全保护算法生成第一用户面保护密钥,包括:所述第一用户面保护密钥=KDF(K_算法网元,UP算法ID);或者,所述第一用户面保护密钥=KDF(K_算法网元,UP算法ID,flowID);或者,所述第一用户面保护密钥=KDF(K_算法网元,UP算法ID,sessionID);或者,所述第一用户面保护密钥=KDF(K_算法网元,UP算法ID,DRBID)。17.一种策略功能网元,其特征在于,包括:接收模块、策略模块和发送模块,其中:所述接收模块用于接收用户设备与网络设备之间通信的请求;所述请求包括会话标识、用户设备标识、以及安全需求的指示信息,所述安全需求的指示信息用于指示用户设备安全需求和/或业务安全需求;所述策略模块用于基于所述请求,以及统一数据管理网元UDM反馈的UE注册信息、所述UDM反馈的签约业务数据、应用功能网元AF反馈的业务安全需求中的至少一个,确定用户面保护机制;所述用户面保护机制用于指示所述用户设备与所述网络设备之间传输的用户面数据是否需要加密,或是否需要完整性保护,或是否同时需要加密和完整性保护;所述发送模块用于,当所述网络设备为接入网AN设备时,向所述AN设备发送所述用户面保护机制;其中,所述AN设备用于基于所述用户面保护机制确定安全保护算法,基于所述安全保护算法生成第一用户面保护密钥;所述AN设备还用于将所述安全保护算法发送至所述用户设备,以便于所述用户设备基于所述安全保护算法生成第二用户面保护密钥;所述发送模块还用于,当所述网络设备为核心网CN设备时,向算法网元发送所述用户面保护机制;其中,所述算法网元用于基于所述用户面保护机制确定安全保护算法,基于所述安全保护算法生成第一用户面保护密钥,以及将所述第一用户面保护密钥发送至所述CN设备;所述算法网元还用于将所述安全保护算法发送至所述用户设备,以便于所述用户设备基于所述安全保护算法生成第二用户面保护密钥。18.根据权利要求17所述的策略功能网元,其特征在于,所述请求还包括业务标识、用户设备业务标识、数据网络标识DNN、用户设备安全能力中的至少一项。19.根据权利要求17或18所述的策略功能网元,其特征在于,所述请求为附着请求;所述附着请求为所述用户设备向认证服务器网元AUSF发起的;所述附着请求用于所述网络设备与所述AUSF之间进行双向认证,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为会话请求;所述会话请求为所述用户设备向会话管理网元SMF发起的,或者为接入与移动管理网元AMF向所述SMF发起的;所述会话请求用于网络设备和所述SMF之间建立会话,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为策略请求;所述策略请求为所述SMF向所述策略功能网元发起的,所述策略请求用于触发所述策略功能网元确定用户面保护机制。20.根据权利要求17至19任一项所述的策略功能网元,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据需要采用的安全保护算法、密钥长度、密钥更新周期中的至少一项。21.根据权利要求17至20任一项所述的策略功能网元,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据可以采用的具有优先级的安全保护算法列表。22.根据权利要求17至21任一项所述的策略功能网元,其特征在于,所述策略功能网元包括策略控制节点PCF、认证服务器网元AUSF、接入与移动管理功能网元AMF、会话管理网元SMF、AN设备中的一个。23.根据权利要求17至22任一项所述的策略功能网元,其特征在于,所述CN设备为用户面节点UPF;所述算法网元包括所述PCF、所述AUSF、所述AMF、所述SMF、所述AN设备中的至少一个。24.一种通信系统,包括:用户设备、策略功能网元、网络设备、统一数据管理网元UDM、应用功能网元AF、算法网元,所述策略功能网元与所述用户设备、所述网络设备连接,所述策略功能网元还与所述UDM、所述AF连接,所述算法网元与所述策略功能网元、网络设备连接,其中:所述策略功能网元用于接收用户设备与网络设备之间通信的请求;所述请求包括会话标识、用户设备标识、以及安全需求的指示信息,所述安全需求的指示信息用于指示用户设备安全需求和/或业务安全需求;所述策略功能网元还用于基于所述请求,以及所述UDM反馈的UE注册信息、所述UDM反馈的签约业务数据、所述AF反馈的业务安全需求中的至少一个,确定用户面保护机制;所述用户面保护机制用于指示所述用户设备与所述网络设备之间传输的用户面数据是否需要加密,或是否需要完整性保护,或是否同时需要加密和完整性保护;当所述网络设备为接入网AN设备时,所述策略功能网元还用于向所述AN设备发送所述用户面保护机制;所述AN设备用于基于所述用户面保护机制确定安全保护算法;所述AN设备还用于基于所述安全保护算法生成第一用户面保护密钥;所述AN设备还用于将所述安全保护算法发送至所述用户设备;所述用户设备用于基于所述安全保护算法生成第二用户面保护密钥;当所述网络设备为核心网CN设备时,所述策略功能网元用于向算法网元发送所述用户面保护机制;所述算法网元还用于基于所述用户面保护机制确定安全保护算法;所述算法网元还用于基于所述安全保护算法生成第一用户面保护密钥;所述算法网元还用于将所述第一用户面保护密钥发送至所述CN设备;所述算法网元还用于将所述安全保护算法发送至所述用户设备;所述用户设备用于基于所述安全保护算法生成第二用户面保护密钥;其中,所述UDM用于存储UE的注册信息,还用于存储签约业务数据;所述AF用于存储业务安全需求。25.根据权利要求24所述的系统,其特征在于,所述请求还包括业务标识、用户设备业务标识、数据网络标识DNN、用户设备安全能力中的至少一项。26.根据权利要求24或25所述的系统,其特征在于,所述系统还包括认证服务器网元AUSF、会话管理网元SMF、接入与移动管理网元AMF中的一个或多个;所述请求为附着请求;所述附着请求为所述用户设备向所述AUSF发起的;所述附着请求用于所述网络设备与所述AUSF之间进行双向认证,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为会话请求;所述会话请求为所述用户设备向所述SMF发起的,或者为所述AMF向所述SMF发起的;所述会话请求用于网络设备和所述SMF之间建立会话,还用于触发所述策略功能网元确定用户面保护机制;或者,所述请求为策略请求;所述策略请求为所述SMF向所述策略功能网元发起的,所述策略请求用于触发所述策略功能网元确定用户面保护机制。27.根据权利要求24至26任一项所述的系统,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据需要采用的安全保护算法、密钥长度、密钥更新周期中的至少一项。28.根据权利要求24至27任一项所述的系统,其特征在于,所述用户面保护机制还用于指示所述用户设备与所述网络设备之间传输的用户面数据可以采用的具有优先级的安全保护算法列表。29.根据权利要求24至28任一项所述的系统,其特征在于,所述策略功能网元为策略控制节点PCF、认证服务器网元AUSF、接入与移动管理功能网元AMF、会话管理网元SMF、AN设备中的一个。30.根据权利要求24至29任一项所述的系统,其特征在于,所述CN设备为用户面节点UPF;所述算法网元包括所述PCF、所述AUSF、所述AMF、所述SMF、所述AN设备中的至少一个。31.根据权利要求24至30任一项所述的系统,其特征在于,所述AN设备用于基于所述用户面保护机制确定安全保护算法,包括:如果用户面保护机制不包括安全保护算法,则所述AN设备用于基于所述用户面保护机制、所述用户设备安全能力、所述AN设备支持的算法优先级列表中的至少一项确定安全保护算法;如果用户面保护机制包括安全保护算法,则所述AN设备用于直接获取所述用户面保护机制中的安全保护算法。32.根据权利要求24至30任一项所述的系统,其特征在于,所述算法网元用于基于所述用户面保护机制确定安全保护算法,包括:如果用户面保护机制不包括安全保护算法,则所述算法网元用于基于所述用户面保护机制、所述用户设备安全能力、所述CN设备支持的算法优先级列表中的至少一项确定安全保护算法;如果用户面保护机制包括安全保护算法,则所述算法网元用于直接获取所述用户面保护机制中的安全保护算法。33.根据权利要求26至32任一项所述的系统,其特征在于,当所述网络设备为AN设备时,所述AN设备用于基于所述安全保护算法生成第一用户面保护密钥,包括:第一用户面保护密钥=KDF(K_AN,UP算法ID),其中,K_AN为认证成功后,所述AMF根据认证后的基础密钥或认证后再次推衍得到的密钥,推衍出的基站密钥;所述AN设备用于从所述AMF获得所述K_AN;当所述网络设备为...
【专利技术属性】
技术研发人员:张博,吴荣,甘露,李岩,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。