一种报文传输系统、方法及装置制造方法及图纸

本公开实施例提供了一种报文传输系统、方法及装置，该系统包括：会话管理功能网元和多个用户面功能网元，每一用户面功能网元，用于在该用户面功能网元达到预设的第一报文生成需求时，生成针对第一报文生成需求的第一报文；利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；会话管理功能网元，用于在接收到第一加密报文后，确定第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与该虚拟地址信息关联的解密方式，按照关联的解密方式，对第一加密报文进行解密，得到第一报文。通过本方案能够提高了下沉场景下的用户面功能网元和会话管理功能网元之间通信的安全性。通信的安全性。通信的安全性。

【技术实现步骤摘要】
一种报文传输系统、方法及装置


[0001]本公开涉及报文传输
，特别是涉及一种报文传输系统、方法及装置。

技术介绍

[0002]5G(5th Generation Mobile Communication Technology，第五代移动通信技术)核心网用于管理5G网络的数据传输，包括UPF(User Plane Function，用户面功能网元)、SMF(Session Management Function、管理功能网元)等。5G核心网中的用户面功能网元可以独立于管理功能网元等其他网元独立部署。例如，为了提高通信效率、降低网络延迟，可以将多个用户面功能网元下沉部署到更靠近用户终端的位置，例如，公共场所，专网用户园区等。
[0003]在用户终端通过任一用户面功能网元实现会话的过程中，该用户面功能网元需要与会话管理功能网元进行报文的传输。然而由于该用户面功能网元与管理功能网元分离部署，导致该用户面功能网元与会话管理功能网元之间报文的数据，存在信息泄露及被篡改的风险。因此，如何提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性是亟需解决的技术问题。

技术实现思路

[0004]本公开实施例的目的在于提供一种报文传输系统、方法及装置，以提高多个下沉部署的用户面功能网元与会话管理功能网元之间通信安全性。具体技术方案如下：
[0005]第一方面，本公开实施例提供了一种报文传输系统，包括：会话管理功能网元和多个用户面功能网元，其中：
[0006]每一用户面功能网元，用于在该用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；向所述会话管理功能网元发送所述第一加密报文；其中，每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；
[0007]所述会话管理功能网元，用于在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。
[0008]可选地，每一用户面功能网元关联的加密方式为：利用该用户面功能网元关联的密钥，对所述第一报文进行加密，并利用该用户面功能网元对应的虚拟地址信息和加密所得的加密数据，生成报文，作为第一加密报文；其中，每一用户面功能网元关联的密钥为：该
用户面功能网元与所述会话管理功能网元预先约定的密钥；
[0009]每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。
[0010]可选地，所述会话管理功能网元，还用于在任一用户面功能网元满足预设更新条件时，向满足所述预设更新条件的用户面功能网元发送指示更新密钥的第一数据；
[0011]所述满足所述预设更新条件的用户面功能网元，还用于接收所述第一数据，基于所述第一数据更新该用户面功能网元关联的密钥；基于所述第一数据，生成指示生成所述更新后的密钥的第二数据，并向所述会话管理功能网元发送所述第二数据；
[0012]所述会话管理功能网元，还用于：
[0013]接收所述第二数据，并基于所述第二数据，更新所述满足所述预设更新条件的用户面功能网元对应的虚拟地址信息所对应的密钥。
[0014]可选地，所述预设更新条件包括以下条件中的至少一种：
[0015]用户面功能网元关联的密钥使用时长大于预设时长阈值；
[0016]用户面功能网元关联的密钥使用次数大于预设数量阈值；
[0017]用户面功能网元关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数据量。
[0018]可选地，所述会话管理功能网元，还用于从所述会话管理功能网元可采用的至少一种加密方式中，选取至少一备选加密方式；向待约定加密方式的用户面功能网元发送所述至少一备选加密方式；
[0019]所述待约定加密方式的用户面功能网元，用于接收所述至少一备选加密方式；从所述至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向所述会话管理功能网元发送所述目标备选加密方式；
[0020]所述会话管理功能网元，还用于接收所述目标备选加密方式；确定与所述目标备选加密方式相匹配的解密方式；向所述待约定加密方式的用户面功能网元发送加密确认消息；
[0021]所述待约定加密方式的用户面功能网元，还用于在接收到所述加密确认消息后，将所述目标备选加密方式作为该用户面功能网元关联的加密方式。
[0022]可选地，所述会话管理功能网元，还用于在向待约定加密方式的用户面功能网元发送所述至少一备选加密方式之前，向所述待约定加密方式的用户面功能网元发送第一身份标识；
[0023]所述待约定加密方式的用户面功能网元，用于接收所述第一身份标识，并验证所述第一身份标识是否正确；若是，则向所述会话管理功能网元发送所述待约定加密方式的用户面功能网元的第二身份标识；
[0024]所述会话管理功能网元，还用于接收所述第二身份标识，并验证所述第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元发送所述至少一备选加密方式。
[0025]可选地，所述会话管理功能网元，还用于在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对所述第二报文生成需求的第二报文；利用与该用户面功能网元关联的加密方式，对所述第二报文进行加密，得到第二加密报文；向该用户面功能网
元发送所述第二加密报文；
[0026]每一用户面功能网元，还用于在接收到所述第二加密报文后，利用与该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。
[0027]可选地，任一用户面功能网元包括：处理模块，和加解密模块，其中：
[0028]所述处理模块，用于在该用户面功能网元达到预设的第一报文生成需求时，生成所述第一报文，并向所述加解密模块发送所述第一报文；
[0029]所述加解密模块，用于接收所述第一报文，利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到所述第一加密报文，向所述会话管理功能网元发送所述第一加密报文，并接收所述第二加密报文，在接收到所述第二加密报文后，利用该用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文传输系统，其特征在于，包括：会话管理功能网元和多个用户面功能网元，其中：每一用户面功能网元，用于在该用户面功能网元达到预设的第一报文生成需求时，生成针对所述第一报文生成需求的第一报文；利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到第一加密报文；向所述会话管理功能网元发送所述第一加密报文；其中，每一用户面功能网元关联的加密方式为：该用户面功能网元预先与所述会话管理功能网元约定的、用于生成包含该用户面功能网元对应的虚拟地址信息的加密报文的加密方式；每一用户面功能网元对应的虚拟地址信息为：该用户面功能网元与所述会话管理功能网元预先约定的地址信息；所述会话管理功能网元，用于在接收到所述第一加密报文后，确定所述第一加密报文所携带的虚拟地址信息；基于预设的虚拟地址信息与解密方式的关联关系，确定与所述第一加密报文所携带的虚拟地址信息关联的解密方式，以及按照所述解密方式，对所述第一加密报文进行解密，得到所述第一报文；其中，每一虚拟地址信息关联的解密方式为：与该虚拟地址信息对应的用户面功能网元所关联的加密方式匹配的解密方式。2.根据权利要求1所述的系统，其特征在于，每一用户面功能网元关联的加密方式为：利用该用户面功能网元关联的密钥，对所述第一报文进行加密，并利用该用户面功能网元对应的虚拟地址信息和加密所得的加密数据，生成报文，作为第一加密报文；其中，每一用户面功能网元关联的密钥为：该用户面功能网元与所述会话管理功能网元预先约定的密钥；每一虚拟地址信息关联的解密方式为：利用该虚拟地址信息对应的用户面功能网元关联的密钥，对携带有该虚拟地址信息的加密报文中的加密数据进行解密。3.根据权利要求2所述的系统，其特征在于，所述会话管理功能网元，还用于在任一用户面功能网元满足预设更新条件时，向满足所述预设更新条件的用户面功能网元发送指示更新密钥的第一数据；所述满足所述预设更新条件的用户面功能网元，还用于接收所述第一数据，基于所述第一数据更新该用户面功能网元关联的密钥；基于所述第一数据，生成指示生成所述更新后的密钥的第二数据，并向所述会话管理功能网元发送所述第二数据；所述会话管理功能网元，还用于：接收所述第二数据，并基于所述第二数据，更新所述满足所述预设更新条件的用户面功能网元对应的虚拟地址信息所对应的密钥。4.根据权利要求3所述的系统，其特征在于，所述预设更新条件包括以下条件中的至少一种：用户面功能网元关联的密钥使用时长大于预设时长阈值；用户面功能网元关联的密钥使用次数大于预设数量阈值；用户面功能网元关联的密钥所对应的报文数据量大于预设数据量阈值；其中，每一密钥所对应的报文数据量为：利用该密钥进行加密的报文的总数据量，或利用该密钥加密所得到的加密报文的总数据量。5.根据权利要求1所述的系统，其特征在于，所述会话管理功能网元，还用于从所述会话管理功能网元可采用的至少一种加密方式中，选取至少一备选加密方式；向待约定加密
方式的用户面功能网元发送所述至少一备选加密方式；所述待约定加密方式的用户面功能网元，用于接收所述至少一备选加密方式；从所述至少一备选加密方式中，选取一备选加密方式，作为目标备选加密方式；向所述会话管理功能网元发送所述目标备选加密方式；所述会话管理功能网元，还用于接收所述目标备选加密方式；确定与所述目标备选加密方式相匹配的解密方式；向所述待约定加密方式的用户面功能网元发送加密确认消息；所述待约定加密方式的用户面功能网元，还用于在接收到所述加密确认消息后，将所述目标备选加密方式作为该用户面功能网元关联的加密方式。6.根据权利要求5所述的系统，其特征在于，所述会话管理功能网元，还用于在向待约定加密方式的用户面功能网元发送所述至少一备选加密方式之前，向所述待约定加密方式的用户面功能网元发送第一身份标识；所述待约定加密方式的用户面功能网元，用于接收所述第一身份标识，并验证所述第一身份标识是否正确；若是，则向所述会话管理功能网元发送所述待约定加密方式的用户面功能网元的第二身份标识；所述会话管理功能网元，还用于接收所述第二身份标识，并验证所述第二身份标识是否正确；若是，则向待约定加密方式的用户面功能网元发送所述至少一备选加密方式。7.根据权利要求1所述的系统，其特征在于，所述会话管理功能网元，还用于在达到针对任一用户面功能网元的预设的第二报文生成需求时，生成针对所述第二报文生成需求的第二报文；利用与该用户面功能网元关联的加密方式，对所述第二报文进行加密，得到第二加密报文；向该用户面功能网元发送所述第二加密报文；每一用户面功能网元，还用于在接收到所述第二加密报文后，利用与该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文；其中，每一用户面功能网元关联的解密方式为：与该用户面功能网元关联的加密方式匹配的解密方式。8.根据权利要求7所述的系统，其特征在于，任一用户面功能网元包括：处理模块，和加解密模块，其中：所述处理模块，用于在该用户面功能网元达到预设的第一报文生成需求时，生成所述第一报文，并向所述加解密模块发送所述第一报文；所述加解密模块，用于接收所述第一报文，利用该用户面功能网元关联的加密方式，对所述第一报文进行加密，得到所述第一加密报文，向所述会话管理功能网元发送所述第一加密报文，并接收所述第二加密报文，在接收到所述第二加密报文后，利用该用户面功能网元关联的解密方式，对所述第二加密报文进行解密，得到所述第二报文，将所述第二报文发送至所述处理模块。9.一种报文传输方法，其特征在于，应用于报文传输系统中的会话管理功能网元，所述报文传输系统还包括多个用户面功能网元，所述方法包括：当接收到任一用户面功能网元发送的第一加密报文时，确定所述第一加密报文所携带的虚拟地址信息；其中，所述第一加密报文为利用该用户面功能网元关联的加密方式，对第一报文进行加密得到的；所述第一报文为该用户面功能网元达到预设的第一报文生成需求时，生成的针对所述第一报文...

【专利技术属性】
技术研发人员：周浩恩，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：