[发明专利]一种安全保护协商方法及网元

说明书

一种安全保护协商方法及网元，用以基于5G的网络架构实现UE和UPF之间协商启动针对本次会话的用户面的安全保护。方法包括：SMF确定本次会话过程中用户面所使用的安全保护信息；SMF向UE发送包括所述用户面所使用的安全保护信息的第一消息；UE根据所述用户面所使用的安全保护信息对第一消息进行完整性保护认证；当UE对第一消息认证成功时，UE启动用户面的安全保护，以及向SMF发送用于指示UE对第一消息认证成功的第二消息；SMF接收所述第二消息后，向UPF发送包括本次会话过程中用户面所使用的安全保护的算法和用于安全保护的上下文的第三消息；UPF根据安全保护的算法和安全保护的上下文启动用户面的安全保护。

技术领域

本发明涉及无线通信领域，尤其涉及一种安全保护协商方法及网元。

背景技术

目前，相比于第三代合作伙伴计划(3^rd Generation Partnership Project，3GPP)2G/3G/4G的网络架构，3GPP 5G提出了新的网络架构，并且基于5G的网络架构提出了会话建立过程。但目前标准中并没有针对5G的网络架构提出安全保护协商的技术方案，安全保护协商是指执行安全保护的双方在各安全层协商并同步安全保护的密钥和安全保护的算法，并启动安全保护的过程。

由于5G的用户面连接建立是基于会话的，2G/3G/4G提出的安全保护协商的技术方案没有基于会话的粒度，并且没有考虑业务的安全需求，因此2G/3G/4G提出的安全保护协商的技术方案也不能满足5G的网络架构。

综上所述，亟需针对5G的网络架构设计一种安全保护协商的技术方案。

发明内容

本发明实施例提供了一种安全保护协商方法，用以基于5G的网络架构实现UE和UPF之间协商启动针对本次会话的用户面的安全保护。

第一方面，本发明实施例提供的一种安全保护协商方法，包括：

会话管理网元SMF确定本次会话过程中用户面所使用的安全保护信息，所述安全保护信息包括安全保护的算法、用于识别安全保护的上下文的索引以及消息认证码，所述安全保护包括加解密保护和完整性保护，所述消息认证码是指所述SMF使用完整性保护的算法和所述索引识别的安全保护的上下文包括的完整性保护的密钥对第一消息进行完整性保护生成的认证码；

所述SMF向所述UE发送包括所述用户面所使用的安全保护信息的所述第一消息，所述用户面所使用的安全保护信息用于所述UE根据所述用户面所使用的安全保护信息对所述第一消息进行完整性保护认证成功后启动用户面的安全保护；

所述SMF接收所述UE发送的用于指示所述UE对所述第一消息认证成功的第二消息，以及向用户面网关UPF发送包括本次会话过程中用户面所使用的安全保护的算法和用于安全保护的上下文的第三消息，所述第三消息用于触发所述UPF根据所述安全保护的算法和所述安全保护的上下文启动用户面的安全保护。

其中，本次会话过程中用户面所使用的安全保护信息具体包括如下信息：本次会话过程中用户面所使用的加解密保护的算法、本次会话过程中用户面所使用的完整性保护的算法、用于识别本次会话过程中用户面所使用的加解密保护的上下文的索引、用于识别本次会话过程中用户面所使用的完整性保护的上下文的索引、以及消息验证码。

上述方法中，SMF确定并向UE发送本次会话过程中用户面所使用的安全保护信息，包括安全保护的算法、用于识别安全保护的上下文的索引和消息认证码等，在UE认证成功后，UE会启动用户面的安全保护，SMF确定UE认证成功后触发UPF启动用户面的安全保护，进而实现UE和UPF协商启动各自的用户面的安全保护。考虑到5G的网络架构中用户面的连接建立是基于会话的，上述方法可以实现UE和UPF协商启动各自的基于会话粒度的用户面的安全保护，因此上述方法可以满足5G的网络架构对于用户面的安全保护的需求。

在一种可能的实现方式中，所述SMF可以通过如下两种方式确定所述安全保护的算法：