[发明专利]安全保护方法及装置

说明书

本申请提供一种安全保护的方法及装置，涉及通信技术领域，用于在切换场景下，保证会话的安全性。该方法包括：第二接入网设备接收切换请求，切换请求用于指示将终端从第一接入网设备切换到第二接入网设备，切换请求包括M个会话的信息，M个会话的信息中每一个会话的信息包括会话的第一标识；第二接入网设备从M个会话中确定N个目标会话；N个目标会话为M个会话的非零子集；第二接入网设备确定N个目标会话中每一个目标会话的第二标识；第二接入网设备向终端发送N个对应关系信息，N个对应关系信息与N个目标会话一一对应，N个对应关系信息中每一个对应关系信息用于指示对应的目标会话的第一标识与第二标识的对应关系。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全保护方法及装置。

背景技术

在无线通信系统中，终端到核心网之间采用端到端地保护机制来保护会话中的信息。但是，端到端地保护机制并未对数据包中用于标识会话的信息(例如，会话标识、承载标识等)进行加密，因此攻击者可以轻易在空口传输阶段获取该信息并根据该信息追踪到该会话，从而对该会话的安全带来威胁。

为了解决这一技术问题，业界提出一种技术方案：接入网设备在会话建立流程时，生成与会话对应的短期标识，并将该短期标识发送给终端。从而，接入网设备与终端之间传输的数据包不携带用于标识会话的信息，而是携带该短期标识。这样一来，即使攻击者获取到该短期标识，由于攻击者不知道短期标识与用于标识会话的信息之间的对应关系，因此攻击者不能追踪该会话，从而保证会话的安全性。

但是，在接入网设备发生切换的场景下，如何保证会话的安全性，业界尚未给出相应的解决方案。

发明内容

本申请提供一种安全保护方法及装置，用于在切换场景下，保证会话的安全性。

为达到上述目的，本申请采用如下技术方案：

第一方面，提供一种安全保护方法，包括：第二接入网设备接收切换请求，切换请求用于指示将终端从第一接入网设备切换到第二接入网设备，切换请求包括M个会话的信息，M个会话的信息中每一个会话的信息包括会话的第一标识，M为正整数；第二接入网设备从M个会话中确定N个目标会话；N个目标会话为M个会话的非零子集，N小于或等于M，N为正整数；第二接入网设备确定N个目标会话中每一个目标会话的第二标识；第二接入网设备向终端发送N个对应关系信息，N个对应关系信息与N个目标会话一一对应，N个对应关系信息中每一个对应关系信息用于指示对应的目标会话的第一标识与第二标识的对应关系。基于上述技术方案，在切换流程中，终端与第二接入网设备均能获取到N个对应关系信息。这样一来，在切换完成之后，由于对应关系信息用于指示目标会话的第一标识和第二标识之间的对应关系，从而终端与第二接入网设备在发送目标会话的报文时，目标会话的报文不携带第一标识，而是携带第二标识，从而避免目标会话被攻击者追踪，保证目标会话的安全性。

一种可能的设计中，第二接入网设备确定N个目标会话中每一个目标会话的第二标识，包括：第二接入网设备向核心网设备发送N个目标会话的信息；第二接入网设备从核心网设备接收N个目标会话中每一个目标会话的第二标识。

一种可能的设计中，第二接入网设备确定N个目标会话中每一个目标会话的第二标识，包括：第二接入网设备根据预设规则，生成N个目标会话中每一个目标会话的第二标识。

一种可能的设计中，会话的第一标识包括以下参数中的至少一项：终端与用户面功能网元(user plane function，UPF)之间链路的标识、终端与UPF之间链路的隧道标识、会话标识、UPF的地址、终端的标识、服务质量流标识、承载标识、切片的标识、以及UPF的标识。

一种可能的设计中，对应关系信息包括目标会话的第一标识和第二标识。