[发明专利]安全会话方法和装置

权利要求书

1.一种安全会话方法，其特征在于，包括：

用户面网关接收来自会话管理网元的N4接口会话建立/修改请求消息，所述N4接口会话建立/修改请求消息与用户设备UE发送的业务请求消息相关联，其中，所述业务请求消息用于请求建立所述UE与数据网络的业务服务器的连接；

所述用户面网关基于所述N4接口会话建立/修改请求消息，生成加密密钥和完整性保护密钥；

所述用户面网关基于所述加密密钥和完整性保护密钥，激活加密保护和/或完整性保护；

其中，所述用户面网关基于所述N4接口会话建立/修改请求消息，生成加密密钥和完整性保护密钥，包括：

所述用户面网关接收来自接入和移动管理网元的用户面功能UPF传输根密钥；

所述用户面网关基于所述业务请求消息和所述UPF传输根密钥生成所述加密密钥和所述完整性保护密钥；所述方法还包括：

所述用户面网关接收来自所述接入和移动管理网元的密钥标识，所述密钥标识包括：与UPF传输根密钥对应的密钥集标识KSI和/或与中间密钥对应的5G中的密钥集标识ngKSI，所述中间密钥为用于生成所述UPF传输根密钥的密钥。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述用户面网关基于所述UE的安全能力、所述用户面网关的安全能力和业务的安全需求，确定第一安全算法；

所述用户面网关向所述UE发送所述第一安全算法的指示信息。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：

所述用户面网关接收来自会话管理网元的第一安全算法的指示信息，所述第一安全算法基于所述UE的安全能力、所述用户面网关的安全能力和业务的安全需求确定。

4.如权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

所述用户面网关向接入网设备发送第一安全激活指示信息，所述第一安全激活指示信息用于指示不激活所述接入网设备的用户面安全保护。

5.如权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：

所述用户面网关与所述UE传输数据包，所述数据包中携带所述密钥标识。

6.一种安全会话方法，其特征在于，包括：

接入和移动管理网元接收来自用户设备UE的业务请求消息，所述业务请求消息用于请求建立所述UE与数据网络的业务服务器的连接；

所述接入和移动管理网元根据所述业务请求消息，确定需要建立所述UE和用户面网关之间的用户面安全保护；

所述接入和移动管理网元基于所述业务请求消息，生成用户面功能UPF传输根密钥，所述UPF传输根密钥用于用户面网关生成加密密钥和完整性保护密钥；所述接入和移动管理网元向所述用户面网关发送所述UPF传输根密钥；以及

所述接入和移动管理网元向接入网设备发送第一安全激活指示信息，所述第一安全激活指示信息用于指示不激活所述接入网设备的用户面安全保护；

所述方法还包括：

所述接入和移动管理网元发送密钥标识，所述密钥标识包括：与UPF传输根密钥对应的密钥集标识KSI和/或与中间密钥对应的5G中的密钥集标识ngKSI，所述中间密钥为用于生成所述UPF传输根密钥的密钥。

7.如权利要求6所述的方法，其特征在于，所述方法还包括：

所述接入和移动管理网元向所述UE发送用于生成所述UPF传输根密钥的入参。