[发明专利]一种安全信息交互的方法和装置

说明书

本发明涉及通信领域，公开了一种安全信息交互的方法和装置，该方案为：终端触发附着流程，在附着过程中，当接收到MME发送的指定消息时，通过NAS消息经由MME与PGW进行安全交互消息协商，并在确定协商成功后，终端在本地和PGW之间建立安全通道，终端进一步在确定附着成功后，通过安全通道与PGW进行信息交互。这样，通过终端与PGW进行安全信息交互协商后在执行后续的信息交互，不仅可以增强信息传输的安全性，而且可以提高信息在传输过程中的转发效率。

技术领域

本发明涉及通信领域，特别涉及一种安全信息交互的方法和装置。

背景技术

终端在长期演进(Long Term Evolution，LTE)下进行附着，随后终端通过LTE网络进行数据报文的下发，在某些行业的应用中，需要考虑到数据的安全性，在空口以及基站与演进的分组核心网(Evolved Packet Core Network，EPC)之间以及EPC内部进行传输时，需要对数据采用加密传输。但是这种方法在一定程度是有风险的，对于安全级别要求高的场景是不适合的。

具体的，终端开机附着，附着完成后，终端与网络侧之间建立了默认承载，之后所有的业务数据都是通过默认承载来转发，参阅图1所示为承载连接关系图。

其中，在非接入层(Non-Access Stratum，NAS)附着的过程中，网络和终端号之间存在双向鉴权过程，具体流程如下：首先，移动管理实体(Mobility Management Entity，MME)向归属签约用户服务器(Home Subscriber Server，HSS)发送鉴别数据请求消息，HSS会向MME发送鉴别数据响应消息。然后，MME向终端发起鉴权过程，MME向终端发送用户鉴别数据请求消息，终端向MME发送用户数据鉴别响应消息，此时，认为执行完网络侧和终端侧之间的双向鉴权过程。鉴权通过后，MME开始执行安全模式控制(SecurityMode Control，SMC)过程，具体的，MME向终端发送NAS安全模式启动请求消息，即启动NAS安全，终端向MME发送NAS安全模式完成消息，此时，认为执行完SMC过程。由于终端和网络侧的密钥是在HSS以及全球用户识别卡(Universal Subscriber Identity Module，USIM)中计算的，所以是安全的，参阅图2-4所示。

接入层(Access Stratum，AS)的安全过程是在附着过程中，MME向基站下发基站所使用的密钥，终端侧的密钥是由终端自己计算的，MME向基站下发的密钥是明文传输的，所以是不安全的，具体的，MME向基站发送初始上下文建立请求消息，基站接收到以后，向MME发送初始上下文建立响应消息。然后，基站向终端发送AS安全模式启动请求，即启动AS安全请求，终端向基站发送AS安全模式完成消息。参阅图5和图6所示。

然而，现有技术下，终端与网络之间的报文加密传输需要经过两次加解密过程，首先，终端与基站之间完成空口的加解密过程，然后基站与服务网关(Serving GateWay，SGW)之间完成S1u口的加解密，这就造成一次数据传输需要进行两次加解密过程，影响数据转发效率，其次，终端与网络之间的安全信息协商都是在明文中进行的，所以对于某些行业要求安全级别较高的场景来说，这是存在安全隐患的。例如，首先空口的加密，空口加密所需的根密钥是在附着过程中MME通过初始上下文建立请求(Initial context setup request)消息带给基站的，这个消息是明文传输的，所以空口的数据加密存在一定的安全隐患，其次，基站与核心网之间的传输，协议要求采用IP安全(IP Security，IPsec)，IPsec的协商也是在两个设备没有安全通道的情况下进行的，所以该被称为“最后一公里”的链路上，也存在一定的安全隐患。

发明内容

本发明实施例提供一种安全信息交互的方法和装置，用以解决现有技术中存在数据传输不安全以及数据传输效率低的问题。

本发明实施例提供的具体技术方案如下：

一种安全信息交互的方法，包括：