[发明专利]一种网络密钥处理的方法、相关设备及系统

说明书

本申请实施例公开了一种网络密钥处理的系统，包括：用户设备、安全锚点网元、接入及移动管理网元，其中：安全锚点网元用于从切片选择网元获取第一密钥参数，第一密钥参数包括N个网络切片的标识信息，并根据第一密钥参数生成N个切片专用密钥，并将N个切片专用密钥分别发送给相对应的N个网络切片；接入及移动管理网元用于获取第一密钥参数，并将第一密钥参数发送给用户设备；用户设备用于根据第一密钥参数生成N个网络切片的N个切片专用密钥，并根据所生成的N个切片专用密钥访问N个网络切片。这样，针对不同的网络切片设置了不同的专用密钥，从而降低了使用共享密钥进行信令交互时的安全隐患。

技术领域

本申请涉及移动通信网络的网络安全技术领域，尤其涉及一种网络密钥处理的方法、相关设备及系统。

背景技术

当前移动通信网络(如3G/LTE)主要提供了三个层面的安全：终端和网络之间的双向认证、NAS(Non Access Stratum，非接入层)安全、AS(Access Stratum，接入层)安全。终端和网络首先是经过双向认证来确认彼此身份的真实性，并生成可以用来建立NAS安全及AS安全的根密钥(K_ASME)。NAS层位于3GPP EPS(Evolved Packet System，演进分组系统)协议栈中控制面的最高层，它是用来传递终端与核心网之间的非无线接入相关的信令，主要包括了用于移动性管理(MM，Mobility Management)和会话管理(SM，SessionManagement)的信令协议及流程。而AS层主要是用于终端和基站之间交互的无线接入协议栈。NAS安全和AS安全所需要的密钥都是从K_ASME派生而来的。

在3GPP下一代无线通信网络架构中，引入了网络切片(Network Slicing)的架构。一个网络切片是一种虚拟化的逻辑专网，可以根据不同业务需求而定制。为了更好的支持网络切片的定制化，首先需要将当前的网元进行细化。当前LTE核心网中的MME(MobilityManagement Entity，移动性管理网元)的功能网元，在下一代网络中将会被细化为多个功能。比如在3GPP SA2 TR 23.799V14.0.0(2016-12)的技术报告中，MME功能被分解为接入及移动管理功能(AMF，Access and Mobility Management Function)、安全锚点功能(SEAF)、会话管理功能(SMF)等网络功能。

当一个终端接入网络时，网络会根据某些方法选择一个或多个切片给这个终端，当一个终端同时接入多个切片时，终端与切片之间的信令交互都是经过AMF，AMF为NAS信令的加解密终结点，AMF属于多切片共享功能，上述第一点说明，当一个终端同时接入多个切片时，AMF是一个交汇点。这一限制是来源于终端移动性和对网络架构的复杂性的考虑。一方面，终端不管接入几个切片，它的移动性是一致的或唯一的；另一方面，如果允许一个UE同时接入多个AMF，会显著增加网络功能或网元间链接、接口的数目及复杂性。

切片在同终端交互NAS信令时，如切片1(或切片2)发送NAS信息给终端，NAS信息对于AMF来说是没有加密的明文。当攻击者入侵了AMF时，它可以轻易获得SMF发出的信息，从而容易造成了切片的NAS信息泄露。

发明内容

本申请实施例提供了一种网络密钥处理的方法、相关设备及系统，用于提高网络信令交互的安全性。

本申请第一方面提供一种网络密钥处理的系统，包括：用户设备、安全锚点网元、接入及移动管理网元，其中：