CN115706973A - 一种安全通信的方法及通信装置 - Google Patents
一种安全通信的方法及通信装置 Download PDFInfo
- Publication number
- CN115706973A CN115706973A CN202110915945.6A CN202110915945A CN115706973A CN 115706973 A CN115706973 A CN 115706973A CN 202110915945 A CN202110915945 A CN 202110915945A CN 115706973 A CN115706973 A CN 115706973A
- Authority
- CN
- China
- Prior art keywords
- server
- security
- network element
- session
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 167
- 238000004891 communication Methods 0.000 title claims abstract description 114
- 230000008093 supporting effect Effects 0.000 claims abstract description 24
- 230000006870 function Effects 0.000 claims description 203
- 238000007726 management method Methods 0.000 claims description 122
- 230000004044 response Effects 0.000 claims description 80
- 230000007246 mechanism Effects 0.000 claims description 66
- 238000003860 storage Methods 0.000 claims description 58
- 238000012545 processing Methods 0.000 claims description 54
- 230000004913 activation Effects 0.000 claims description 43
- 238000012986 modification Methods 0.000 claims description 20
- 230000004048 modification Effects 0.000 claims description 20
- 238000013523 data management Methods 0.000 claims description 12
- 230000003213 activating effect Effects 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012546 transfer Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 abstract description 19
- 230000005540 biological transmission Effects 0.000 abstract description 13
- 230000001976 improved effect Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 40
- 238000010586 diagram Methods 0.000 description 25
- 230000015654 memory Effects 0.000 description 20
- 238000005516 engineering process Methods 0.000 description 9
- 230000009849 deactivation Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000003780 insertion Methods 0.000 description 4
- 230000037431 insertion Effects 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000010187 selection method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种安全通信的方法和装置,该安全通信的方法包括:会话管理功能网元接收来自终端设备的第一安全能力指示信息,第一安全能力指示信息用于指示终端设备支持建立终端设备与服务器之间的安全连接;会话管理功能网元根据第一安全能力指示信息确定支持建立安全连接的第一服务器;会话管理功能网元向终端设备发送第一服务器的信息以建立安全连接。该方法能够选择与终端设备安全能力匹配的服务器,以确保终端设备与服务器的通信得到安全保护,避免信息泄露或被篡改,有助于信息交互的传输效率的提升。
Description
技术领域
本申请涉及信息安全领域,尤其涉及一种安全通信的方法及通信装置。
背景技术
为了有效满足移动互联网、物联网高速发展所需的高带宽、低时延的要求并减轻网络负荷,第三代合作伙伴计划(3rd generation partnership project,3GPP)引入了边缘技术(edge computing,EC)技术,定义了边缘应用服务器发现功能(edge applicationserver discovery function,EASDF)支持基于域名查询的方式发现提供业务的边缘应用服务器(edge application server,EAS)。终端设备通过用户面与EASDF交互域名***(domain name system,DNS)消息获取EAS信息,若DNS消息没有被安全保护,恶意的攻击者可以通过空口窃听或修改DNS消息。因此,如何保证终端设备与服务器之间的通信的安全保护是亟待解决的问题。
发明内容
本申请提供一种安全通信的方法及通信装置,能够有效提升对终端设备与服务器之间的通信的安全保护。
第一方面,提供了一种安全通信的方法,该方法可以包括:会话管理功能网元接收来自终端设备的第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;所述会话管理功能网元根据第一安全能力指示信息确定支持建立所述安全连接的第一服务器;所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述安全连接。
该第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接,可以理解为该第一安全能力指示信息用于指示所述终端设备具备与服务器建立安全连接的能力。该安全连接可以理解为通过该连接传输的消息被安全保护。
该方法根据来自终端设备的第一安全能力指示信息确定对应的服务器,能够使服务器与第一安全能力指示信息相匹配,建立终端设备和服务器之间的安全连接,以确保终端设备与服务器之间的通信得到安全保护,避免消息泄露或被篡改,有助于提升信息交互的传输效率。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元可以在确定所述终端的会话未开启用户面安全保护的情况下,根据所述第一安全能力指示信息确定所述第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据。
也即,在用户面安全保护未开启时确定支持建立终端与服务器之间的安全连接的第一服务器。
该方案综合第一安全能力指示信息和会话用户面的安全保护状态确定服务器,能够按需开启终端与服务器之间的安全保护。当会话用户面安全保护未开启时,选择建立终端与服务器之间的安全保护,能够确保通信得到安全保护。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话未开启用户面安全保护。
应理解,用户面安全状态可以包括激活和非激活状态,激活状态对应用户面安全开启,非激活态对应用户面安全未开启;用户面安全策略可以包括必须开启,推荐开启,不需要开启,其中,必须开启对应用户面安全开启,推荐开启可以对应用户面安全开启或者用户面安全不开启,不需要开启一般对应用户面安全未开启。可以理解的是,为了确保能够获知用户面安全是否开启,可以结合用户面安全策略和用户面安全状态来判断。
还应理解,获知用户面安全状态和/或用户面安全策略,能够避免在用户面安全状态激活的情况下还选择建立终端与服务器之间的安全连接,节省了信息交互的时延,提升了安全保护的效率。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元接收来自接入网设备的所述会话的用户面安全状态的指示信息。
结合第一方面,在第一方面的某些实现方式中,所述会话的用户面安全状态为非激活态。
也即,用户面的安全状态为非激活状态,指示用户面安全未开启,该用户面安全状态可以是接入网设备发送给会话管理功能网元的。应理解,用户面安全状态也可以是会话管理功能网元根据用户面安全策略确定的,本申请对此不作限定。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元接收来自统一数据管理网元的所述会话的用户面安全策略。
结合第一方面,在第一方面的某些实现方式中,所述会话的用户面安全策略为不需要开启。
也即,用户面的安全策略为不需要开启,指示用户面安全未开启,该用户面安全策略可以是统一数据管理网元发送给会话管理功能网元的。应理解,用户面安全策略也可以是预配置在会话管理功能网元的,本申请对此不作限定。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息包括第一安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。
也即,会话管理功能网元可以通过网络存储功能网元执行服务器的发现流程,以获取第一服务器的信息。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元根据第一安全能力指示信息确定第三安全能力指示信息,所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息包括第三安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。第三安全能力指示信息用于指示发现支持所述安全连接或者支持激活所述安全连接的服务器。
也即,会话管理功能网元可以通过网络存储功能网元执行服务器的发现流程,以获取第一服务器的信息。第三安全能力指示信息可以是根据第一安全能力指示信息确定的,可以是第一安全能力指示信息经转发后的但功能类似的信息,本申请对此不作限定。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息用于请求发现服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息和第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接;所述会话管理功能网元根据所述第二安全能力指示信息和所述第一安全能力指示信息,确定所述第一服务器。
也即,响应消息中还可以包括第一服务器的安全能力指示。
应理解,本申请中的发送消息也可以理解为调用服务,比如,接收响应消息可以理解为收到所调用的服务的响应。
应理解,与终端设备可以通信的服务器,可以是多个支持建立安全连接的服务器,发现流程中在多个支持安全能力指示的服务器中选择一个即可;也可以是能够灵活调整安全能力指示状态的服务器,比如,该服务器可以在一定条件下关闭安全能力指示,也可以在一定条件下激活安全能力指示,发现流程中确定的如果是此类服务器,会话管理功能网元可以向该服务器发送激活指示信息。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元向所述第一服务器发送请求消息,所述请求消息用于获取所述第一服务器的安全信息。所述会话管理功能网元根据所述第一服务器的安全信息确定所述第一服务器的信息,并向所述终端设备发送所述第一服务器的信息以建立所述安全连接。所述第一服务器的安全信息用于建立所述安全连接。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元可以获取所述第一服务器的标识,再根据所述所述第一服务器的标识获取所述第一服务器的安全信息。
也即,会话管理网元在获取第一服务器的标识和安全信息时,可以是在同时获得,或者在同一流程中获得,比如,发现流程,也可以是在时序上先后获得,或是在不同的信息获取流程中获得,本申请对此不作限定。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元根据本地的第二安全能力指示信息向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接,其中,第二安全能力指示信息用于指示所述第一服务器支持激活所述安全连接。
结合第一方面,在第一方面的某些实现方式中,所述会话管理功能网元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息;或者,所述会话管理功能网元向所述终端设备发送会话修改命令消息,所述会话修改命令消息包括所述第一服务器的信息。
也即,在确定第一服务器后,可以将第一服务器的信息承载在会话修改命令中,或者会话建立接受消息或者会话建立响应消息中告知终端设备。
结合第一方面,在第一方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
第二方面,提供一种安全通信的方法,该方法可以包括:会话管理功能网元接收来自终端设备的第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;所述会话管理功能网元确定所述终端设备的会话开启用户面安全;所述会话管理功能网元确定不支持或者不激活建立所述安全连接的第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据;所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
其中选择支持不激活所述安全连接的服务器,可以理解为,所述会话管理网元确定的第一服务器具备建立所述安全连接的能力,但是在该次信息交互中,UE与该服务器之间无需建立所述安全连接。
该方法在用户面安全开启时,选择不支持建立安全连接的服务器(即该服务器不具备建立安全连接的能力),或者,支持不激活该安全连接的服务器(即该服务器的激活状态可以动态调整,此处选择可以不激活安全连接的服务器),能够避免在用户面安全激活状态激活的情况下还选择建立终端与服务器之间的安全连接,节省了信息交互的时延,提升了安全保护的效率。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话开启用户面安全保护。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元接收来自接入网设备的所述会话的用户面安全状态的指示信息。
结合第二方面,在第二方面的某些实现方式中,所述会话的用户面安全状态为激活状态。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元接收来自统一数据管理网元的所述会话的用户面安全策略。
结合第二方面,在第二方面的某些实现方式中,所述会话的用户面安全策略为必须开启。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息包括第一安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。
也即,会话管理功能网元可以通过网络存储功能网元执行服务器的发现流程,以获取第一服务器的信息。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息用于请求发现服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息和第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器不支持建立所述安全连接,或者,支持不激活所述安全连接。
也即,响应消息中还可以包括第二安全能力指示信息。
应理解,与终端设备可以通信的服务器,可以是多个不支持建立安全连接的服务器中的一个,发现流程中在多个不支持安全能力指示的服务器中选择一个即可;也可以是能够灵活调整安全能力指示状态的服务器,比如,该服务器可以在一定条件下关闭安全能力指示,也可以在一定条件下激活安全能力指示,发现流程中确定的如果是此类服务器,会话管理功能网元可以向该服务器发送不激活指示信息,或者,发送关闭指示信息,或者,不发送指示信息,默认不激活。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元向所述第一服务器发送关闭指示信息,所述关闭指示信息用于指示所述第一服务器关闭所述安全连接。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元根据本地的第二安全能力指示信息向所述第一服务器发送关闭指示信息,所述关闭指示信息用于指示所述第一服务器关闭所述安全连接,其中,第二安全能力指示信息用于指示所述第一服务器支持不激活所述安全连接。
结合第二方面,在第二方面的某些实现方式中,所述会话管理功能网元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息。
结合第二方面,在第二方面的某些实现方式中,在所述会话管理网元选择支持不激活所述安全连接的服务器时,所述会话管理功能网元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息,所述第一服务器的信息仅包含第一服务器的IP地址或IP前缀,不包含安全信息。
也即,在确定第一服务器后,可以将第一服务器的信息承载在会话建立接受消息中告知终端设备。
第三方面,提供了一种安全通信的方法,该方法可以包括:
会话管理功能网元确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接;所述会话管理功能网元将所述终端设备的会话的用户面安全策略设置为开启安全保护,所述会话用于传输所述终端设备与第一服务器之间的数据;所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
当终端设备不支持与服务器之间建立安全连接时,会话管理网元通过设置用户面安全策略为必须开启,打开用户面安全保护,以确保终端的信息交互能够得到安全保护,避免信息被篡改或泄露,有利于提升信息交互的传输效率。
应理解,终端设备可以发送信息来指示不支持建立与服务器的安全连接;也可以不发送信息,会话管理功能网元在未收到任何关于是否支持建立安全连接的指示信息时,可以默认为终端设备不支持。
结合第三方面,在第三方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识。
也即,当终端设备不支持建立与服务器的安全连接时,不需要再向终端发送服务的安全配置信息。
应理解,本申请中的服务器可以是边缘应用服务发现功能网元,也可以是域名查询服务器,安全连接可以是基于DTLS的安全连接、基于TLS的安全连接、基于HTTPS的安全连接中的至少一种。
结合第三方面,在第三方面的某些实现方式中,所述会话管理功能网元接收来自所述终端设备的会话建立请求;所述会话管理功能网元根据所述会话建立请求确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接。
应理解,会话建立请求中可以不包括终端设备的安全能力指示,则会话管理功能网元可以默认为终端设备不支持建立安全连接;或者,会话建立请求中包括指示终端设备不支持的指示信息,会话管理功能网元可以根据该信息确定终端设备不支持建立与服务器之间的安全连接。
第四方面,提供一种安全通信的方法,该方法可以包括:网络存储功能网元接收来自会话管理功能网元的请求消息,所述请求消息用于请求发现支持与终端设备之间建立安全连接的服务器;所述网络存储功能网元根据所述请求消息确定第一服务器的信息;所述网络存储功能网元向会话管理功能网元发送所述请求消息的响应消息,所述请求消息的响应消息包括所述第一服务器的信息。
结合第四方面,在第四方面的某些实现方式中,所述请求消息包括第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接。
结合第四方面,在第四方面的某些实现方式中,所述网络存储功能网元接收来自所述第一服务器的注册请求,所述注册请求包括第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接。所述注册请求还包括以下任意一个或多个:所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号。
应理解,该请求中也可以包括服务器的类型,比如,“边缘应用服务发现功能网元”,网络存储功能网元可以在这一类的服务器中确定第一服务器;该请求中也可以包括服务器的类型,服务器的标识,服务器的安全能力指示等信息,也即指定某个服务器作为第一服务器。本申请对此不作限定。
也即,网络存储功能网元接收服务器的注册请求时可以获取该服务器的信息,在确定该服务器可以建立与终端之间的安全连接后可以将其信息发送给终端设备。
结合第四方面,在第四方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识,或者所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
应理解,当终端设备支持建立与服务器的安全连接,且终端设备会话的用户面安全未开启,且服务器也支持建立与终端设备的安全连接时,可以将该服务器的标识、安全配置等信息发送给终端设备,终端设备与服务器之间建立安全连接,以保护通信;
当终端设备支持建立与服务器的安全连接,但终端设备会话的用户面安全开启,或者,终端设备不支持建立与服务器的安全连接时,可以将该服务器的标识发送给终端设备,终端设备与服务器之间建立连接进行信息交互。
第五方面,提供一种通信装置,该通信装置可以包括收发单元和处理单元,其中,收发单元可以用于接收来自终端设备的第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;处理单元可以用于根据所述安全能力指示确定支持建立所述安全连接的第一服务器;收发单元还可以用于向所述终端设备发送所述第一服务器的信息以建立所述安全连接。
结合第五方面,在第五方面的某些实现方式中,处理单元具体用于在确定所述终端的会话未开启用户面安全保护的情况下,根据所述安全能力指示确定所述第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据。
结合第五方面,在第五方面的某些实现方式中,处理单元具体用于根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话未开启用户面安全保护。
结合第五方面,在第五方面的某些实现方式中,收发单元具体用于接收来自接入网设备会话的用户面安全状态。
结合第五方面,在第五方面的某些实现方式中,所述会话的用户面安全状态为非激活状态。
结合第五方面,在第五方面的某些实现方式中,收发单元具体用于接收来自统一数据管理网元会话的用户面安全策略。
结合第五方面,在第五方面的某些实现方式中,所述会话的用户面安全策略为不需要开启。
结合第五方面,在第五方面的某些实现方式中,收发单元还用于向网络存储功能网元发送请求消息,所述请求消息包括第一安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器,从所述网络存储功能网元接收所述请求消息的响应消息,所述请求消息的响应消息包括所述第一服务器的信息。
结合第一方面,在第一方面的某些实现方式中,处理单元还用于根据第一安全能力指示信息确定第三安全能力指示信息,收发单元向网络存储功能网元发送请求消息,所述请求消息包括第三安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器;收发单元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。第三安全能力指示信息用于指示发现支持所述安全连接或者支持激活所述安全连接的服务器。
也即,会话管理功能网元可以通过网络存储功能网元执行服务器的发现流程,以获取第一服务器的信息。第三安全能力指示信息可以是根据第一安全能力指示信息确定的,可以是第一安全能力指示信息经转发后的但功能类似的信息,本申请对此不作限定。
结合第五方面,在第五方面的某些实现方式中,收发单元还用于向网络存储功能网元发送请求消息,所述请求消息用于请求发现服务器,接收来自所述网络存储功能网元的所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息和第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接,所述处理单元还用于根据第二安全能力指示信息和第一安全能力指示信息,确定所述第一服务器。
结合第五方面,在第五方面的某些实现方式中,所述收发单元用于向所述第一服务器发送请求消息,所述请求消息用于获取所述第一服务器的安全信息。所述处理单元根据所述第一服务器的安全信息确定所述第一服务器的信息,并向所述终端设备发送所述第一服务器的信息以建立所述安全连接。
结合第五方面,在第五方面的某些实现方式中,所述收发单元可以获取所述第一服务器的标识,处理单元再根据所述所述第一服务器的标识获取所述第一服务器的安全信息。
也即,会话管理网元在获取第一服务器的标识和安全信息时,可以是在同时获得,或者在同一流程中获得,比如,发现流程,也可以是在时序上先后获得,或是在不同的信息获取流程中获得,本申请对此不作限定。
结合第五方面,在第五方面的某些实现方式中,收发单元还用于向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接。
结合第五方面,在第五方面的某些实现方式中,收发单元还用于根据本地的第二安全能力指示信息向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接,其中,第二安全能力指示信息用于指示所述第一服务器支持激活所述安全连接,
结合第五方面,在第五方面的某些实现方式中,收发单元还用于向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息,或者,向所述终端设备发送会话修改请求消息,所述会话修改请求消息包括所述第一服务器的信息。
应理解,可以将第一服务器的信息承载在会话修改命令中,或者会话建立接受消息或者会话建立响应消息中告知终端设备。
结合第五方面,在第五方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
第六方面,提供一种通信装置,该通信装置可以包括处理单元和收发单元,收发单元可以用于接收来自终端设备的第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;处理单元可以用于确定所述终端设备的会话开启用户面安全;处理单元还可以用于确定不支持建立所述安全连接,或者,支持不激活所述安全连接的第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据;收发单元还可以用于向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
其中选择支持不激活所述安全连接的服务器,可以理解为,所述会话管理网元确定的第一服务器具备建立所述安全连接的能力,但是在该次信息交互中,UE与该服务器之间无需建立所述安全连接。
结合第六方面,在第六方面的某些实现方式中,所述会话管理功能网元根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话开启用户面安全保护。
结合第六方面,在第六方面的某些实现方式中,收发单元具体用于来自接入网设备的所述会话的用户面安全状态的指示信息。
结合第六方面,在第六方面的某些实现方式中,所述会话的用户面安全状态为激活状态。
结合第六方面,在第六方面的某些实现方式中,收发单元具体用于接收来自统一数据管理网元的所述会话的用户面安全策略。
结合第六方面,在第六方面的某些实现方式中,所述会话的用户面安全策略为必须开启。
结合第六方面,在第六方面的某些实现方式中,收发单元还用于向网络存储功能网元发送请求消息,所述请求消息包括第一安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器,从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。
结合第六方面,在第六方面的某些实现方式中,收发单元具体用于向网络存储功能网元发送请求消息,所述请求消息用于请求发现服务器,从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息和第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器不支持建立所述安全连接,或者支持不激活所述安全连接。
结合第六方面,在第六方面的某些实现方式中,收发单元还用于向所述第一服务器发送关闭指示信息,所述关闭指示信息用于指示所述第一服务器关闭所述安全连接。
结合第六方面,在第六方面的某些实现方式中,收发单元还用于根据本地的第二安全能力指示信息向所述第一服务器发送关闭指示信息,所述关闭指示信息用于指示所述第一服务器关闭所述安全连接,其中,第二安全能力指示信息用于指示所述第一服务器支持不激活所述安全连接。
应理解,与终端设备可以通信的服务器,可以是多个不支持建立安全连接的服务器,发现流程中在多个不支持安全能力指示的服务器中选择一个即可;也可以是能够灵活调整安全能力指示状态的服务器,比如,该服务器可以在一定条件下关闭安全能力指示,也可以在一定条件下激活安全能力指示,发现流程中确定的如果是此类服务器,会话管理功能网元可以向该服务器发送不激活指示信息,或者,发送关闭指示信息,或者,不发送指示信息,默认不激活。
结合第六方面,在第六方面的某些实现方式中,在所述处理单元选择支持不激活所述安全连接的服务器时,所述收发单元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息。
结合第六方面,在第六方面的某些实现方式中,所述收发单元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息,所述第一服务器的信息仅包含第一服务器的IP地址或IP前缀,不包含安全相关信息。
第七方面,提供一种通信装置,该通信装置可以包括收发单元和处理单元,处理单元用于确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接;处理单元还用于将所述终端设备的会话的用户面安全策略设置为开启安全保护,所述会话用于传输所述终端设备与第一服务器之间的数据;收发单元用于向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
结合第七方面,在第七方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识。
结合第七方面,在第七方面的某些实现方式中,收发单元还用于接收来自所述终端设备的会话建立请求;处理单元具体用于根据所述会话建立请求确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接。
第八方面,提供一种通信装置,该通信装置可以包括收发单元和处理单元,收发单元可以用于接收来自会话管理功能网元的请求消息,所述请求消息用于请求发现支持与终端设备之间建立安全连接的服务器;处理单元可以用于根据所述请求消息确定第一服务器的信息;收发单元还用于向会话管理功能网元发送所述请求消息的响应消息,所述所述请求消息的响应消息包括所述第一服务器的信息。
结合第八方面,在第八方面的某些实现方式中,所述请求消息包括第一安全能力指示信息,第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接。
结合第八方面,在第八方面的某些实现方式中,收发单元还用于接收来自所述第一服务器的注册请求,所述注册请求包括第二安全能力指示信息,第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接。所述注册请求还包括以下任意一个或多个:所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号。
结合第八方面,在第八方面的某些实现方式中,所述第一服务器包括边缘应用服务发现功能网元。
结合第八方面,在第八方面的某些实现方式中,所述第一服务器的信息包括所述第一服务器的标识,或者所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
应理解,第一方面的解释、补充与有益效果的描述对于第二、三、四方面以及对应的装置侧(第五、六、七、八方面)同样适用,不再赘述。
第九方面,提供一种计算机可读介质,所述计算机可读介质存储用于通信装置执行的程序代码,所述程序代码包括用于执行第一方面或第二方面或第三方面或第四方面,或,第一方面或第二方面或第三方面或第四方面中任一可能的实现方式,或,第一方面或第二方面或第三方面或第四方面中所有可能的实现方式的方法中的通信方法的指令。
第十方面,提供了一种包含指令的计算机程序产品,其在计算机上运行时,使得计算机执行上述第一方面或第二方面或第三方面或第四方面,或,第一方面或第二方面或第三方面或第四方面中任一可能的实现方式,或,第一方面或第二方面或第三方面或第四方面中所有可能的实现方式的方法。
第十一方面,提供了一种通信***,该通信***包括具有实现上述第一方面或第二方面或第三方面或第四方面,或,第一方面或第二方面或第三方面或第四方面中任一可能的实现方式,或,第一方面或第二方面或第三方面或第四方面中所有可能的实现方式的方法及各种可能设计的功能的装置。
第十二方面,提供了一种处理器,用于与存储器耦合,用于执行上述第一方面或第二方面或第三方面或第四方面,或,第一方面或第二方面或第三方面或第四方面中任一可能的实现方式,或,第一方面或第二方面或第三方面或第四方面中所有可能的实现方式中的方法。
第十三方面,提供了一种芯片,芯片包括处理器和通信接口,该通信接口用于与外部器件或内部器件进行通信,该处理器用于实现上述第一方面或第二方面或第三方面或第四方面,或,第一方面或第二方面或第三方面或第四方面中任一可能的实现方式,或,第一方面或第二方面或第三方面或第四方面中所有可能的实现方式中的方法。
可选地,该芯片还可以包括存储器,该存储器中存储有指令,处理器用于执行存储器中存储的指令或源于其他的指令。当该指令被执行时,处理器用于实现上述第一方面或第二方面或第三方面或第四方面或其任意可能的实现方式中的方法。
可选地,该芯片可以集成在终端上。
附图说明
图1是适用于本申请实施例的一种通信***的架构示意图。
图2中的(a)是适用于本申请实施例的一种服务化通信***的架构示意图。
图2中的(b)是适用于本申请实施例的另一种服务化通信***的架构示意图。
图3示出了一种信息传输的流程示意图。
图4示出了一种信息更新的流程示意图。
图5示出了适用于本申请实施例的一种安全通信的方法示意图。
图6示出了适用于本申请实施例一种安全通信的方法示意图。
图7示出了适用于本申请实施例的一种发现服务器的方法示意图。
图8示出了本申请实施例的一种安全通信的方法的示意图。
图9示出了适用于本申请实施例的一种发现服务器的方法的示意图。
图10示出了适用于本申请实施例的又一种安全通信的方法的示意图。
图11示出了适用于本申请实施例的又一种安全通信的方法的示意图。
图12示出了本申请实施例的一种通信装置的示意性框图。
图13示出了本申请实施例的另一种通信装置的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1中的(a)是本申请实施例适用的一种网络架构示意图。下面对该图所示的网络架构中涉及的各个部分分别进行说明。
1、用户设备(user equipment,UE)110:可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端、移动台(mobile station,MS)、终端(terminal)或软终端等等。例如,水表、电表、传感器等。
示例性地,本申请实施例中的用户设备可以指接入终端、用户单元、用户站、移动站、移动台、中继站、远方站、远程终端、移动设备、用户终端(user terminal)、终端设备(terminal equipment)、无线通信设备、用户代理或用户装置。用户设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public landmobile network,PLMN)中的用户设备或者未来车联网中的用户设备等,本申请实施例对此并不限定。
作为示例而非限定,在本申请实施例中,可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
此外,在本申请实施例中,用户设备还可以是物联网(internet of things,IoT)***中的用户设备,IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。在本申请实施例中,IOT技术可以通过例如窄带(narrow band,NB)技术,做到海量连接,深度覆盖,终端省电。此外,在本申请实施例中,用户设备还可以包括智能打印机、火车探测器、加油站等传感器,主要功能包括收集数据(部分用户设备)、接收接入网设备的控制信息与下行数据,并发送电磁波,向接入网设备传输上行数据。
2、(无线)接入网设备(radio access network,(R)AN)120:用于为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同质量的传输隧道。
(R)AN能够管理无线资源,为用户设备提供接入服务,进而完成控制信号和用户设备数据在用户设备和核心网之间的转发,(R)AN也可以理解为传统网络中的基站。
示例性地,本申请实施例中的接入网设备可以是用于与用户设备通信的任意一种具有无线收发功能的通信设备。该接入网设备包括但不限于:演进型节点B(evolved NodeB,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(home evolved NodeB,HeNB,或home Node B,HNB)、基带单元(baseBand unit,BBU),无线保真(wireless fidelity,WIFI)***中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者发送接收点(transmission andreception point,TRP)等,还可以为5G,如,NR,***中的gNB,或,传输点(TRP或TP),5G***中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU+AAU发送的。可以理解的是,接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外,可以将CU划分为接入网(radio access network,RAN)中的接入网设备,也可以将CU划分为核心网(core network,CN)中的接入网设备,本申请对此不做限定。
3、用户面网元130:用于分组路由和转发以及用户面数据的服务质量(quality ofservice,QoS)处理等。
在5G通信***中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信***中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、数据网络网元140:用于提供传输数据的网络。
在5G通信***中,该数据网络网元可以是数据网络(data network,DN)网元。在未来通信***中,数据网络网元仍可以是DN网元,或者,还可以有其它的名称,本申请不做限定。
5、接入管理网元150:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能,例如,合法监听以及接入授权/鉴权等功能。
在5G通信***中,该接入管理网元可以是接入管理功能(access and mobilitymanagement function,AMF)网元。在未来通信***中,接入管理网元仍可以是AMF网元,或者,还可以有其它的名称,本申请不做限定。
6、会话管理网元160:主要用于会话管理、终端设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信***中,该会话管理网元可以是会话管理功能(session managementfunction,SMF)网元。在未来通信***中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
7、策略控制网元170:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信***中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信***中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信***中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
8、绑定支持网元180:用于查找会话所关联的PCF或查找UE所关联的PCF。
在5G通信***中,该绑定支持网元可以是绑定支持功能(binding supportfunction,BSF)网元。在未来通信***中,绑定支持网元仍可以是BSF网元,或者,还可以有其它的名称,本申请不做限定。
9、认证服务器190:用于鉴权服务、产生密钥实现对终端设备的双向鉴权,支持统一的鉴权框架。
在5G通信***中,该认证服务器可以是认证服务器功能(authentication serverfunction,AUSF)网元。在未来通信***中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
10、数据管理网元1100:用于处理终端设备标识,接入鉴权,注册以及移动性管理等。
在5G通信***中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元。在未来通信***中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
11、应用网元:用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信***中,该应用网元可以是应用功能(application function,AF)网元。在未来通信***中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
12、网络存储网元:用于维护网络中所有网络功能服务的实时信息。
在5G通信***中,该网络存储网元可以是网络注册功能(network repositoryfunction,NRF)网元。在未来通信***中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
为方便说明,本申请后续,以应用网元为AF网元,绑定支持网元为BSF网元,网络存储网元为NRF网元,策略控制网元为PCF网元为例进行说明。
进一步地,将AF网元简称为AF,BSF网元简称为BSF,NRF网元简称为NRF,PCF网元简称为PCF。即本申请后续所描述的AF均可替换为应用网元,BSF均可替换为绑定支持网元,NRF均可替换为网络存储网元,PCF均可替换为策略控制网元。
为方便说明,本申请,以装置为AF实体、BSF实体、PCF实体为例,对用于传输数据的方法进行说明,对于装置为AF实体内的芯片、BSF实体内的芯片或为PCF实体内的芯片的实现方法,可参考装置分别为AF实体、BSF实体、PCF实体的具体说明,不再重复介绍。
在图1所示的网络架构中,终端设备通过N1接口与AMF连接,RAN通过N2接口与AMF连接,RAN通过N3接口与UPF连接。
UPF之间通过N9接口连接,UPF通过N6接口与数据网络(data network,DN)互联。
SMF通过N4接口控制UPF。AMF通过N11接口与SMF接口。
AMF通过N8接口从统一数据管理(unified data management,UDM)单元获取终端设备签约数据;SMF通过N10接口从UDM单元获取终端设备签约数据。
AMF通过N15接口从PCF获取策略数据;SMF通过N7接口从PCF获取策略数据。
AF与PCF间通过N5接口连接。
此外,AF和PCF分别与BSF接口,在由SMF触发建立策略会话时,PCF将策略会话的会话信息和该策略会话对应PCF的标识注册到BSF,在此情况下,AF可根据策略会话对应的会话信息从BSF中查询策略会话对应的PCF的标识,从而将针对同一个会话的SMF和AF选择同一个PCF。
需要说明的是,图1中所涉及的各个网元以及网元之间的通信接口的名称是以目前协议中规定的为例进行简单说明的,但并不限定本申请实施例只能够应用于目前已知的通信***。因此,以目前协议为例描述时出现的标准名称,都是功能性描述,本申请对于网元、接口或信令等的具体名称并不限定,仅表示网元、接口或者信令的功能,可以对应的扩展到其它***,比如2G、3G、4G或未来通信***中。
上述图1所示的本申请实施例能够应用的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF网元、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能网元(network function,NF)网元;或者,在另一些网络架构中,AMF网元,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
本申请实施例的技术方案可以应用于各种通信***,例如:长期演进(long termevolution,LTE)***、LTE频分双工(frequency division duplex,FDD)***、LTE时分双工(time division duplex,TDD)***、通用移动通信***(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信***、第五代(5th generation,5G)***、新无线(newradio,NR)或未来网络等。本申请提供的技术方案还可以应用于未来的通信***,如第六代移动通信***。通信***还可以是陆上公用移动通信网(public land mobile network,PLMN)网络、设备到设备(device-to-device,D2D)通信***、机器到机器(machine tomachine,M2M)通信***、物联网(internet of Things,IoT)通信***或者其他通信***。
在本申请实施例中,用户设备或接入网设备包括硬件层、运行在硬件层之上的操作***层,以及运行在操作***层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作***可以是任意一种或多种通过进程(process)实现业务处理的计算机操作***,例如,Linux操作***、Unix操作***、Android操作***、iOS操作***或windows操作***等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或接入网设备,或者,是用户设备或接入网设备中能够调用程序并执行程序的功能模块。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读存储介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
图2中的(a)是本申请实施例适用的一例支持边缘计算(Edge Computing,EC)的服务化的架构示意图,其中,EASDF可与核心网网元进行交互,该架构支持无需使用上行分类器(uplink Classifier,UL CL)或者分支点(branching point,BP)即可接入边缘应用服务器EAS。
图2中的(b)是本申请实施例适用的又一例支持EC的服务化的架构示意图,其中,EASDF可与核心网网元进行交互。该架构支持使用UL CL或者BP接入EAS。
下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是终端设备或核心网设备,或者,是终端设备或核心网设备中能够调用程序并执行程序的功能模块。
为了便于理解本申请实施例,做出以下几点说明。
第一,在本申请中,“使能”可以包括直接使能和间接使能。当描述某一信息用于使能A时,可以包括该信息直接使能A或间接使能A,而并不代表该信息中一定携带有A。
将信息所使能的信息称为待使能信息,则具体实现过程中,对待使能信息进行使能的方式有很多种,例如但不限于,可以直接使能待使能信息,如待使能信息本身或者该待使能信息的索引等。也可以通过使能其他信息来间接使能待使能信息,其中该其他信息与待使能信息之间存在关联关系。还可以仅仅使能待使能信息的一部分,而待使能信息的其他部分则是已知的或者提前约定的。例如,还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的使能,从而在一定程度上降低使能开销。同时,还可以识别各个信息的通用部分并统一使能,以降低单独使能同样的信息而带来的使能开销。
第二,在本申请中示出的第一、第二以及各种数字编号(例如,“#1”、“#2”等)仅为描述方便,用于区分的对象,并不用来限制本申请实施例的范围。例如,区分不同消息等。而不是用于描述特定的顺序或先后次序。应该理解这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第三,在本申请中,“预设的”可包括预先定义,例如,协议定义。其中,“预先定义”可以通过在设备(例如,包括终端设备或核心网设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第四,本申请实施例中涉及的“保存”,可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器,可以是单独的设置,也可以是集成在编码器或者译码器,处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第五,本申请实施例中涉及的“协议”可以是指通信领域的标准协议,例如可以包括5G协议、新空口(new radio,NR)协议以及应用于未来的通信***中的相关协议,本申请对此不做限定。
为了便于理解本申请,提前对相关概念做一简单解释。
1.边缘计算
5G***能够提供低时延的用户体验和高效的海量数据。这意味着5G***需要支持以分布式方式将应用程序和内容部署到网络边缘。边缘计算(edge computing,EC)被认为是实现此类部署的一个关键技术。通过边缘计算,运营商能够托管自己和/或第三方应用程序和内容,以靠近用户。UE可以通过(R)AN和本地部署的UPF访问应用/内容,从而满足端到端用户体验的期望,并允许低时延和大流量的应用的从骨干网卸载到边缘。通过EC技术在下沉的UPF(即本地UPF)处部署业务(即EAS);中心DN网络部署在远端UPF(remote UPF)处。与UE访问中心DN的路径相比,UE访问本地的EAS获取业务的路径大大缩短。通过EC技术可以为用户提供低时延、高带宽服务。
2.使能边缘计算的连接模型
连接模型1:分布式锚点。业务分布式部署在边缘区域,通过位于边缘区域的锚点(PDU session anchor,PSA),也即,与DN进行交互的UPF,访问业务。当UE发生移动时,可以通过更换锚点实现路径优化。例如,UE建立会话和服务连续模式(session and servicecontinuity mode,SSC mode)为SSC mode2或3的会话,当路径不优时,通过新建会话来更换锚点,实现路径的优化。
连接模型2:分流。DN的业务既部署在边缘区域,也部署在中心区域。通过分流的方式,即在一个PDU会话上***本地锚点,将业务流分流到边缘区域,实现边缘业务的访问。分流点,具体可以是上行分类器(uplink classifier,ULCL)或分支点(branching point,BP)。
连接模型3:多会话。DN的业务即部署在边缘区域,也部署在中心区域。通过多会话的方式,即建立访问边缘业务的会话,实现对边缘业务的访问。
3.域名查询
DNS是一种通过主机信息数据库提供域名(domain name)和互联网协议地址(internet protocol,IP)之间的映射和转换的服务。例如,UE可以通过DNS服务器(server)将域名解析为对应的IP地址,从而实现UE对业务的访问。
示例地,一种简单的DNS查询过程,UE启动业务,发起会话建立流程或重用UE现有会话,以建立UE与UPF之间的用户面连接。在会话建立过程中,SMF将DNS server地址发送至UE,针对该APP(或者说,该业务),UE判断是否有该业务的域名相关的DNS记录(域名和IP地址的对应关系),若有,则UE根据DNS记录,确定该域名对应的IP地址,并使用该IP地址作为该业务的目的IP;若没有,则UE发起DNS查询过程。UE向DNS sever发送DNS查询(query)消息,该DNS查询消息携带该业务的域名。
该DNS查询消息,通过UE与UPF之间的用户面连接发送至DNS server,DNS server接收到DNS query,查询数据库,得到该域名对应的IP地址。并向UE返回DNS响应消息,携带域名对应的IP地址、和/或存留时间(time to live,TTL),TTL表明DNS记录可以缓存的时间,可以是4字节,无符号整数,0代表该DNS记录不能被缓存。UE保存DNS记录,即保存域名和IP地址的对应关系。
4.基于域名查询机制的本地业务发现机制
UE通过建立协议数据单元PDU会话来访问数据网络DN。对于连接模型2,UE如何发现部署在本地的边缘应用服务器,TS23.548 1.0.0提出了基于域名查询的方式发现提供业务的EAS的方法。
A:UE发送的DNS查询消息由EASDF处理,如图3所示,针对使用EASDF处理UE DNS查询的场景下,在PDU会话建立流程中,SMF选择EASDF并提供EASDF的地址给UE,UE向EASDF发送DNS查询。SMF可以向EASDF配置DNS消息处理规则,以使得EASDF在检测到DNS消息时转发UE的DNS消息和/或报告。DNS消息处理规则包含用于DNS消息检测的信息和关联动作,比如,DNS消息处理规则可以包含DNS消息处理规则优先级(precedence)、DNS消息检测模板、和/或动作(action)。其中,DNS消息检测模板可以包含:消息类型(包含DNS查询或DNS响应),源IP地址,全程域名(fully qualified domain name,FQDN)范围数组,和/或,FQDN范围数组和/或EAS IP地址范围数组。动作可以包含:EASDF向SMF上报DNS消息内容、向预配置的DNS服务器或DNS解析器或指定的DNS服务器发送DNS消息、将DNS消息地址替换为指定的DNS服务器地址或替换为本地配置的DNS服务器或DNS解析器、存储DNS消息、向SMF上报DNS消息内容和/或向UE发送缓存的DNS响应消息等。
具体流程如下:
1.根据TS23.502中章节4.3.2.2.1,UE向SMF发送PDU会话建立请求。
2.在PDU会话建立过程中,SMF选择EASDF,SMF可以根据SMF本地配置或者使用NRF执行EASDF发现流程。
可以理解的是,若SMF基于本地配置确定EASDF与DN中的DNS服务器之间的交互需要通过锚点UPF,则SMF还需要在EASDF和UPF之间配置锚点UPF,以转发DNS消息。
发现流程结束后,SMF可以将EASDF的地址包含在PDU会话建立接收消息中发送给UE,UE配置EASDF作为PDU会话的DNS服务器。
3.SMF调用DNS上下文创建请求(Neasdf_DNSContext_Create),请求中包含UE的IP地址,回调(callback)统一资源标识符(uniform resource identifier,URI),请求和处理来自UE的DNS消息的规则(即DNS消息处理规则)。EASDF为PDU会话创建DNS上下文,如存储UEIP地址、callback URI和DNS消息处理规则。
4.EASDF调用DNS上下文创建请求响应,响应中可以包含EASDF的IP地址、EASDF上下文标识、和/或结果指示。
5.当触发SMF更新EASDF上的上下文信息条件发生(如UE移动性、或EASDF的上报信息或者local UPF***/删除等)时,SMF向EASDF发送DNS上下文更新(Neasdf_DNSContext_Update)请求,请求中包含EASDF上下文标识和/或DNS消息处理规则。
6.EASDF向SMF发送Neasdf_DNSContext_Update响应。
7.当需要发起业务时,UE向EASDF发送DNS查询消息。
8.当EASDF接收到的DNS查询消息与配置的上报条件匹配,EASDF向SMF发送DNS上下文通知(Neasdf_DNSContext_Notify)请求。
9.SMF向EASDF发送Neasdf_DNSContext_Notify响应。
10.若根据接收到的FQDN确定DNS消息处理规则需要更新,SMF向EASDF发送DNS上下文更新请求,消息中包含更新的DNS消息处理规则。
针对option A,DNS处理规则包含用于创建ECS option(EDNS client Subnetoption,EDNS客户端子选项)的IP地址;
针对Option B,DNS处理规则中包含本地DNS服务器IP地址。EASDF同时被指示将DNS查询发送给预配置的DNS服务器或DNS解析器。
11.EASDF向SMF发送DNS上下文更新响应。
12.EASDF处理从UE接收到的DNS查询消息,具体地包含:
a)Option A,EASDF在DNS查询消息中包含ECS option。
b)Option B,EASDF向local DNS服务器发送DNS查询消息。
如果接收到的DNS查询请求没有触发与SMF的交互,则EASDF可以将接收到的消息直接发送给配置的DNS服务器或DNS解析器。
13.EASDF接收来自DNS***的DNS响应,并确定向UE发送DNS响应。
14.若DNS响应消息中的EAS IP地址或FQDN与触发上报的条件匹配,则EASDF向SMF发送DNS消息上报信息,该信息包含在Neasdf_DNSContext_Notify请求中。如果EASDF从DNS服务器接收到多个EAS IP地址,DNS消息上报可以包含多个EAS IP地址。DNS消息上报可以包含FQDN和ECS选择。
15.SMF向EASDF发送Neasdf_DNSContext_Notify响应。
16.SMF可以执行UL CL/BP和Local PSA选择并***UL CL/BP和local PSA。
17.SMF调用Neasdf_DNSContext_Update请求。消息中包含DNS消息处理规则,DNS消息处理规则用于指示EASDF向UE发送缓存的DNS响应消息。DNS消息处理规则可以指示EASDF不要发送对应DNAI的FQDN范围和/或EAS IP地址范围的DNS响应消息。
18.EASDF发送Neasdf_DNSContext_Update响应。
19.EASDF向UE发送DNS响应。
该EAS发现流程中,UE向EASDF发送DNS查询消息。DNS查询消息通过用户面发送到EASDF网元,EASDF确定将DNS消息发送给DNS服务(local DNS服务器(简称L-DNS))或者Center DNS服务器(简称C-DNS))。
B:UE发送的DNS查询消息由本地或者中心服务器(local或central Resolver/Server)处理,如图4所示,具体流程如下:
1.SMF***UL CL/BP和local PSA。
UL CL/BP和local PSA的***可以根据DNS消息触发。或者SMF在UE发送DNS查询消息之前预建立UL CL/BP和local PSA。UL CL/BP和local PSA根据23.502中定义的***流程确定。
当***UL CL/BP和local PSA时,SMF配置UL CL/BP关于DNS查询消息的处理方法:
Option C:SMF配置UL CL/BP业务路由规则,路由规则可以包含local DNS服务器地址。使得UL CL/BP将UE发送到local DN的数据包路由到local PSA,该数据包中包含路由到local DNS服务器的DNS查询消息。
2.如果UL CL/BP和local PSA在PDU会话建立之后被***,则SMF向UE发送PDU会话修改命令,命令中包含local DNS服务器地址。
如果根据运营商策略或UE的移动性,需要通知或更新本地数据网络中的本地DNS服务器IP地址给UE,SMF可以向UE发送PDU会话修改命令(本地DNS服务器地址)。
若本地运营商策略指示需要将local DNS服务器地址发送给UE,SMF通过PDU会话修改命令发送local DNS服务器地址。
3.UE发送PDU会话修改完成。
UE将local DNS服务器配置成PDU会话的DNS服务器,UE可以将DNS消息发送给local DNS服务器。
如果EASDF用作PDU会话的DNS服务器,SMF可以调用Neasdf_DNSContext_Delete服务删除EASDF中的DNS上下文。
此处的步骤2和3仅针对技术方案option C。
4.UE发送DNS查询消息。
5.根据下面描述的方式将DNS查询消息发送给local DNS服务器。
a)option C:DNS查询消息的目标IP地址为local DNS服务器的IP地址。DNS查询消息由UL CL/BP和local PSA发送给local DNS服务器。local DNS服务解析DNS查询的FQDN或者使用递归查询解析EAS IP地址。
b)option D:local PSA将DNS查询消息发送给local DNS服务器由local DNS服务器解析DNS查询的FQDN或者使用递归查询解析EAS IP地址。local PSA可以将DNS查询消息通过隧道或IP地址替代发送给local DNS服务器。如果使用的是IP地址替代,SMF指示localPSA将数据包的目标IP地址修改为目标DNS的IP地址。
6.local PSA接收来自local DNS服务器的DNS响应消息,local PSA将DNS响应消息发送给UL CL/BP,UL CL/BP向UE发送DNS响应消息。
该EAS发现流程中,对于Option C,UE通过用户面向local DNS服务器发送DNS查询消息(即DNS查询消息的目标地址为local DNS服务器的IP地址);对于option D,UE通过用户面向EASDF发送DNS查询消息(即DNS查询消息的目标地址为EASDF的IP地址),DNS消息被路由到local DNS代理,代理将DNS查询消息的目标地址修改为用于解析DNS消息的localDNS服务器的IP地址,源地址修改为local代理的地址。
UE通过DNS查询的方式获取EAS的IP地址流程中,DNS查询消息通过用户面发送给EASDF或local DNS服务器。若DNS消息没有被安全保护(包含加密和完整性保护),攻击者可以伪造DNS消息,从而使得EASDF频繁与SMF交互造成SMF资源的消耗。或DNS消息没有被完整性保护,则攻击者可以修改DNS查询消息导致获取错误的EASDF地址或DNS查询消息发送给恶意的DNS服务器。或者DNS消息没有被加密,攻击者可以获取UE正在访问的业务信息,从而导致用户的隐私泄露。
当前,为了保证PDU会话的安全,3GPP定义了用户面安全机制:在UE与网络之间建立PDU会话连接过程中,接入网设备可以根据PDU会话的用户面安全策略确定是否开启空口的用户面安全保护,用户面的安全保护包括用户面的加密保护和完整性保护。接入网设备可以开启用户面的加密保护或完整性保护中的一种或两种,或者都不开启。为了保护DNS的安全,3GPP的规范推荐UE和DNS服务器之间使用TLS或者DTLS保护UE和DNS服务器之间的消息传输。
但是,若使用上述方法保护DNS消息的安全,存在以下问题:PDU会话的安全保护是否开启由无线接入网设备根据PDU会话的用户面安全策略确定的,而用户面的安全策略是由PDU会话的DNN和/或切片信息(如单网络切片选择支撑信息(single network sliceselection assistance information,S-NSSAI))确定的,其中用户面的安全策略包含:加密策略(包括必须、推荐和不需要)和完整性保护策略(包括必须、推荐和不需要)。若根据安全策略确定不开启PDU会话的空口安全保护,则无法基于该PDU会话的安全保护机制保护DNS消息的安全;此时,若UE不支持与DNS服务器建立安全连接(如UE不支持基于,数据包传输层安全性协议(datagram transport layer security,DTLS)、传输层安全性协议(transport layer security,TLS)、基于超文本传输协议(hyper text transferprotocol,HTTPS)等保护DNS的安全机制),则会导致DNS消息在空口未受安全保护的明文传输。如果UE支持与DNS服务器建立安全连接,则UE如何获取与对应的EASDF建立安全连接所需要的信息没有定义。
进一步的,若UE与EASDF服务器建立了(D)TLS的安全连接,当SMF激活了option D的发现机制,由于UE与EASDF之间建立了安全,当DNS Proxy将传输给EASDF的DNS查询发送给local DNS服务器,此时local DNS服务器无法解析DNS查询消息,从而导致无法执行发现流程,即导致发现流程的失败。
针对上述问题,本申请提出一种安全通信的方法,如图5所示:
501:终端设备向SMF发送终端设备的安全能力指示信息(即第一安全能力指示信息);该安全能力指示信息指示该终端设备支持或不支持建立与服务器之间的安全连接。
502:SMF根据终端设备的安全能力指示信息确定是否使能建立UE与服务器之间的安全连接;
503:SMF根据终端设备的安全能力指示信息确定或配置服务器,并向终端发送确定的服务器的信息;
504:终端设备向确定的服务器发送信令面的消息,例如可以是DNS查询消息或者服务提供请求或边缘使能客户端(edge enabler client,EEC)注册请求等。
应理解,SMF还可以根据终端设备的安全能力指示信息(下文也称安全能力指示)和会话的用户面安全状态(下文也可称为用户面安全激活状态)确定是否使能建立终端设备与服务器之间的安全连接,该用户面安全状态可以是指示的,也可以是预设的,本申请对此不作限定。该会话可以用于传输终端设备和服务器之间的数据。
SMF还可以根据终端设备的安全能力指示和会话的用户面安全策略确定是否使能建立终端设备与服务器之间的安全连接,该用户面的安全策略可以是指示的,也可以是预设的,本申请对此不作限定。该会话可以用于传输终端设备和服务器之间的数据。
还应理解,用户面安全策略可以包括必须开启,推荐开启,不需要开启。也可以结合用户面安全策略和用户面安全状态确定是否建立终端设备与服务器之间的安全连接。
该方案通过综合考虑终端设备的安全能力、PDU会话的用户面安全状态和/或PDU会话的用户面安全策略,确定是否建立终端设备与服务器之间的安全连接,能够确保信息交互得到安全保护,避免消息被篡改或泄露,同时能够按需开启或激活终端设备与服务器之间的安全,能够节省功耗以及缩短终端设备与服务器之间的消息交互和接入服务的时间。
应理解,501中,能够支持安全连接的终端设备可以在PDU会话建立请求中携带“支持”的信息或者携带支持的“安全机制”的指示信息,该安全机制用于建立所述安全连接;不支持安全连接的终端设备可以在PDU会话建立请求中携带“不支持”的信息或者也可以在PDU会话建立请求中不携带是否支持安全连接的信息,SMF若未接收到指示信息则可以默认该终端设备不支持安全连接(例如是DNS安全)。
还应理解,本申请中终端设备的安全能力可以是支持或不支持建立终端设备与服务器之间的安全连接的安全机制或安全协议,比如,数据包传输层安全性协议(datagramtransport layer security,DTLS)、传输层安全性协议(transport layer security,TLS)、或基于超文本传输协议(hyper text transfer protocol,HTTPS)。安全连接可以是基于上述安全机制或安全协议的通信连接。
若所述服务器为DNS服务器或EASDF网元,本申请中的安全能力指示可以为支持基于TLS保护DNS、DTLS保护DNS和HTTPS保护DNS指示中的一种或多种。
一般来说,终端设备默认支持空口开启安全。
以下以UE为终端设备的一例,以SMF为会话管理功能网元的一例,以NRF为网络存储功能网元的一例,以UPF为用户面功能网元的一例,以EASDF为服务器的一例,对以(D)TLS为终端设备与服务器之间的安全机制的一例,对本申请提出的方法展开陈述。
在图5所示实施例的基础上,本申请提供一种可能的实施方式,具体可以根据UE的DNS安全能力(即第一安全能力指示信息的一个示例)和PDU会话的用户面安全激活状态确定是否开启UE与EASDF之间的安全保护。
具体地,如图6中的(a)所示:
601:UE向SMF发送PDU会话建立请求,若UE支持(D)TLS的DNS(即支持DNS over(D)TLS),即UE支持与DNS服务器建立(D)TLS来保护DNS消息。
可以在PDU会话建立请求中携带DNS安全能力。
示例地,可以在协议扩展配置选项中携带该指示。
其中,DNS安全能力也可以称为DNS服务器安全信息指示,DNS安全能力可以用于指示UE支持的保护DNS服务的安全机制或安全协议。或者DNS安全能力还可以用于获取安全信息,所述安全信息用于建立UE与服务器之间的安全连接。进一步的,SMF与其他核心网网元交互(如与UDM、PCF、UPF等交互)以执行PDU会话的建立流程。该建立流程与前文类似,此处不再赘述。
602:SMF向UE发送PDU会话建立接受消息。
603:SMF接收来自AMF的会话修改(session modification,SM)上下文更新消息后(图中未示出UE接收到PDU会话建立接收后,UE向RAN发送信息,RAN向AMF发送N2消息以及AMF向SMF发送消息的流程,这部分的流程参见TS23.502 4.3.2章节)。
若PDU会话需要EASDF:
a):UE的DNS安全能力指示支持DNS安全机制((D)TLS),网络中通过部署不同DNS安全能力的EASDF以支持不同的需求(即不支持安全连接建立协商的EASDF,所有与EASDF通信的UE与EASDF之间要么都建立安全连接,要么都不建立安全连接)。
若DNS消息需要安全保护(包括加密保护和/或完整性保护),SMF可以获取PDU会话的用户面安全激活状态,当PDU会话的用户面安全激活状态指示安全保护开启(加密和/或完整性保护开启),则SMF选择不支持DNS安全能力的EASDF或SMF选择支持不激活DNS安全保护的EASDF;当PDU会话的用户面激活状态指示安全保护关闭,则SMF选择UE的DNS安全能力对应的EASDF;
也即,PDU会话的用户面安全状态不满足DNS消息的安全保护需求时,即PDU会话的用户面状态为不激活或未开启安全时,则SMF选择UE支持的DNS安全能力对应的EASDF。
其中,SMF可以通过RAN的指示信息获取PDU用户面安全激活状态。
SMF选择EASDF的具体流程可如图7所示:
701:EASDF向NRF发送注册请求,请求中可以包括EASDF实例的ID和EASDF的DNS安全能力信息。
若DNS安全能力信息指示支持建立DNS安全保护,DNS安全能力信息可以包括EASDF的DNS安全信息,该EASDF的DNS安全信息可以指示用于UE与EASDF之间建立安全连接的信息,简称EASDF安全信息,该信息需要发送给UE。示例地,该EASDF安全信息可以包含验证EASDF的凭证、EASDF支持的安全协议、EASDF支持的安全机制、EASDF的端口号等信息。所述注册请求中还可以包含:S-NSSAI、DNN、EASDF的N6 IP地址、EASDF的IP地址或IP前缀和/或FQDN等。
EASDF的安全机制用于指示与UE建立的安全连接支持使用的安全机制,如证书机制、AKMA机制、共享密钥机制等。示例地,UE与EASDF之间的安全连接可以基于证书机制,则其中EASDF安全信息可以包含验证EASDF服务器的信任状,如根证书信息。
EASDF的安全协议用于指示与UE建立安全连接支持使用的安全协议,如TLS或DTLS或HTTPS等。EASDF的安全协议和安全机制可以结合使用使能UE与EASDF之间建立安全连接保护传输的DNS消息。应理解,EASDF的安全协议和安全机制可以使用独立的指示分别指示,或者也可以使用同一个指示来同时指示,本申请对此不作限定。
该注册请求中还可以包含TS23.501 6.2.6.2中定义的其他信息。其中注册请求对应服务化消息可以为Nnrf_NFmanagement_NFRegister_request。
702:NRF存储EASDF的配置,并向EASDF发送注册响应消息。其中注册响应消息对应服务化消息可以为Nnrf_NFmanagement_NFRegister_response。
上述步骤中,EASDF配置也可以由预配置的方式实现,上述仅为一种可行的实施方式,不作限定。
在PDU会话建立或修改流程中,当需要EASDF时,SMF执行EASDF发现和选择流程。SMF可以通过使用NRF执行EASDF发现和选择,具体可以包含如下两种方式。
Option A:
703a:SMF向NRF发送NF发现请求,请求中包含NF type,此时NF type为EASDF,请求中还可以包括安全指示,该安全指示用于NRF发现安全指示所对应的EASDF实例。其中NF发现请求对应的服务化消息可以为Nnrf_NFDiscovery_Request。
其中,安全指示可以用于指示支持与UE建立DNS安全连接,或者,指示支持(D)TLS或者,指示支持与UE之间使用(D)TLS来保护DNS消息。
该安全指示可以是SMF根据UE的DNS安全能力生成的;或者该安全指示为UE的DNS安全能力。
704a:NRF向SMF发送NF发现响应,响应中可以包括发现的EASDF的信息,比如EASDF的标识、EASDF的IP地址或IP前缀和/或安全信息。
其中NF发现响应对应的服务化消息可以为Nnrf_NFDiscovery_Request,安全信息可以包含安全机制和/或验证EASDF的凭证等用于UE建立安全连接的信息。NRF根据NF type确定并选择的为EASDF实例,结合NF type以及安全指示,能够确定安全指示对应的EASDF实例。若响应消息中不包含EASDF的IP地址或IP前缀,则SMF接收到EASDF的标识后,根据EASDF的标识从EASDF IP地址解析网元获取EASDF的IP地址或IP前缀。其中IP地址解析网元可以理解为根据标识信息获取该标识信息对应的IP地址或前缀的网元。
Option B:
703b:SMF向NRF发送NF发现请求,请求中可以包括NF type,此时NF type为EASDF。其中NF发现请求对应的服务化消息可以为Nnrf_NFDiscovery_Request。
704b:NRF向SMF发送NF发现响应,响应中可以包括EASDF标识,可选地还包括该EASDF的DNS安全能力信息或DNS安全信息。
其中,EASDF的DNS安全能力信息指示该EASDF支持建立DNS安全连接或者支持动态激活建立DNS安全连接(即支持激活或者支持不激活DNS安全连接)。
DNS安全信息可以指示用于UE与EASDF之间建立安全连接的信息,SMF可以根据该DNS安全信息确定EASDF安全信息,示例地,SMF可以确定与该DNS安全信息对应的EASDF安全信息,比如,DNS安全信息指示一种安全机制,对应地,EASDF安全信息可以是指示该种安全机制的安全信息,或者,EASDF安全信息可以包括该种安全机制的指示信息。该EASDF安全信息需要发送给UE。
示例地,该EASDF安全信息可以包含验证EASDF的凭证、EASDF支持的安全协议、EASDF支持的安全机制和/或EASDF的端口号等信息。其中NF发现响应对应服务化消息可以为Nnrf_NFDiscovery_Response。
可以理解的是,若响应中包括DNS安全信息,SMF根据该DNS安全信息能够获知该EASDF支持建立DNS安全连接。因此,EASDF的DNS安全能力信息和DNS安全信息都可以视为第二安全能力指示的示例。
b):UE的DNS安全能力指示支持DNS安全机制,网络中部署的EASDF支持动态开启或关闭(或称为动态激活或不激活)安全连接建立(即与部分UE建立DNS安全连接,与一部分UE可以不建立DNS安全连接,也即EASDF与UE可以建立安全连接或者不建立安全连接)。
其中,EASDF支持动态开启或关闭安全机制的信息来源于SMF的本地配置或者来源于NRF的指示或者来自EASDF的指示,本申请对此不作限定。
若DNS消息需要安全保护(加密保护和/或完整性保护)时,SMF可以获取PDU会话的用户面安全激活状态,
当PDU会话的用户面安全激活状态指示安全保护开启,则SMF不向UE发送EASDF的安全信息,可选地,SMF向EASDF配置与该UE不激活应用层安全保护;
当PDU会话的用户面安全激活状态指示安全保护未开启,则SMF向UE发送EASDF的安全信息,可选地,SMF可以指示EASDF网元为该UE配置激活DNS安全。
604:SMF向EASDF发送Neasdf_DNSContext_Create请求,请求中可以包括UE的IP地址,回调(callback)统一资源标识符(uniform resource indentifier,URI)和处理来自UE的DNS消息的规则(即DNS消息处理规则)。EASDF为PDU会话创建DNS上下文,如存储UE IP地址、callback URI和DNS消息处理规则。
该请求消息中还可以包括DNS安全需求指示信息,用于指示对于该UE是否开启DNS安全保护,即用于指示与UE之间交互的DNS消息是否开启安全保护。该安全保护为UE与EASDF之间交互的消息的端到端的安全保护,该安全保护还可以包含UE使用与EASDF之间建立的安全上下文对发送给EASDF的DNS消息进行安全保护,以及EASDF使用与UE之间建立的安全上下文对发送给UE的DNS消息进行安全保护。
可选地,该指示信息还用于指示建立保护DNS消息的连接的安全机制,如基于证书机制或AKMA机制等。
605:EASDF向SMF发送Neasdf_DNSContext_Create响应,响应中可以包括EASDF的IP地址和用于后续SMF更新或删除上下文的信息,如EASDF上下文标识。对于option b,可选的,若步骤604中DNS安全需求指示信息指示开启DNS安全保护,则该响应消息中可以包括EASDF安全信息。所述安全信息为用于与EASDF建立安全连接的信息,比如EASDF的信任状信息,该信任状信息可以为根证书,还可以包括支持的安全协议、安全机制、验证凭据、和/或端口号等。
可选地,该EASDF安全信息可以在发现流程中获取。或者也可以是预配置在SMF上。或者还可以是在SMF与EASDF之间交互时从EASDF获取。本申请对此不做限定
应理解,本申请中在获取服务器的标识和安全信息时,可以是在同时获得,或者在同一流程中获得,比如,发现流程,也可以是在时序上先后获得,或是在不同的信息获取流程中获得,本申请对此不作限定。
示例地,该EASDF安全信息和该EASDF的标识都可以在发现流程中获取,也可以是在发现流程中先获取该EASDF的标识,比如,该EASDF的实例标识,再根据该EASDF的实例标识从EASDF获取其安全信息,比如信任状信息等。
606:SMF向UE发送PDU会话修改命令消息,该消息中可以包括EASDF的IP地址,进一步的,在确定UE与EASDF之间的DNS消息需要安全保护时,则该命令消息中还可以包括EASDF安全信息。
可选地,EASDF安全信息可以包含在扩展的协议扩展配置选项中。
607:UE向SMF发送PDU会话修改命令完成消息。
608:在需要建立UE与EASDF之间的安全连接时,UE根据EASDF安全信息与EASDF建立安全连接。UE向EASDF发送DNS查询消息。EASDF接收到来自UE的EASDF消息,处理DNS消息数据包。
后续流程与前文类似,此处不再赘述。
可选地,在PDU会话用户面安全激活状态为激活时,SMF还可以根据业务的需求确定不开启UE与EASDF之间的安全保护。示例地,该次业务时延要求较为严格,则可以不开启UE与EASDF之间的安全保护。
应理解,关于图6中的(a)中的SMF的判断逻辑可以参考图6中的(b)所示的逻辑图,该实施例通过在UE的DNS安全能力支持开启DNS安全保护时,SMF根据PDU会话的用户面安全激活状态确定UE与EASDF之间的DNS安全是否开启,能够按需开启UE与EASDF之间的DNS安全保护,确保DNS消息得到保护,避免被篡改或泄露。
在图5所示实施例的基础上,本申请提供一种可能的实施方式,具体可以根据UE的DNS安全能力和PDU会话的用户面策略信息确定是否开启UE与EASDF之间的安全保护。
具体地,如图8中的(a)所示:
801:UE向SMF发送PDU会话建立请求,若UE支持(D)TLS的DNS(即支持DNS over(D)TLS),即UE支持与DNS服务器建立(D)TLS来保护DNS消息。则在PDU会话建立请求中携带DNS安全能力。
具体地,可以在协议扩展配置选项中携带该指示。
其中,DNS安全能力也可以称为DNS服务器安全信息指示,用于指示UE支持的保护DNS服务的安全机制。或者SMF还可以根据DNS安全能力获取安全信息,比如,DNS安全能力指示UE支持建立(D)TLS,则SMF获取可以包括(D)TLS的安全机制指示信息的安全信息。所述安全信息用于建立UE与服务器之间保护DNS的安全连接。所述安全信息与支持的安全机制或安全协议对应,即在使用支持的安全机制或安全协议建立安全连接时所需要的安全信息。
进一步的,SMF与其他核心网网元交互(如与UDM、PCF、UPF等交互)执行PDU会话的建立流程,该流程与前文类似,此处不再赘述。
802:SMF获取PDU会话的用户面安全策略信息,当SMF判断PDU会话需要EASDF时:
a):UE的DNS安全能力指示支持DNS安全机制,当网络中通过部署不同DNS安全能力的EASDF用于支持不同的需求(即不支持安全连接建立协商的EASDF,即所有与EASDF通信的UE与EASDF之间要么都建立安全连接,要么都不建立安全连接)。
若DNS消息需要安全保护(包括加密保护和/或完整性保护),当PDU会话的用户面安全策略指示安全保护必须开启(包括加密和/或完整性保护开启),则SMF选择不支持DNS安全能力的EASDF或SMF选择支持不激活DNS安全保护的EASDF;当PDU会话的用户面安全策略指示不需要安全保护,则SMF选择UE的DNS安全能力对应的EASDF;若PDU会话的用户面安全策略指示安全保护为推荐使用时,则SMF等待RAN发送的最终用户面安全激活状态选择EASDF。
即PDU会话的用户面安全策略不满足DNS消息的安全保护需求时,则SMF选择UE支持的DNS安全能力对应的EASDF。
示例地,SMF选择EASDF的具体流程可如图9所示:
901:EASDF向NRF发送注册请求,请求中可以包括EASDF的实例ID,若DNS安全能力信息指示支持建立DNS安全保护,该注册请求中还可以包括EASDF的DNS安全信息,该EASDF的DNS安全信息可以指示用于UE与EASDF之间建立安全连接的信息,简称EASDF安全信息,该信息中的部分或全部需要发送给UE。示例地,该EASDF安全信息可以包含验证EASDF的凭证、EASDF支持的安全协议、EASDF支持的安全机制、和/或EASDF的端口号等信息。所述注册请求中还可以包含:S-NSSAI、DNN、EASDF的N6 IP地址、EASDF的IP地址、IP前缀、和/或FQDN等。
该EASDF的安全机制用于指示(第二安全指示信息的一个示例)与UE即将建立的安全连接支持使用的安全机制,如证书机制、AKMA机制等。示例地,UE与EASDF之间的安全连接可以基于证书机制,则其中EASDF安全信息还可以包含验证EASDF服务器的信任状,如根证书信息。
EASDF的安全协议用于指示与UE建立安全连接支持使用的安全协议,如TLS或DTLS或HTTPS等。EASDF的安全协议和安全机制可以结合使用使能UE与EASDF之间建立安全连接保护传输的DNS消息。或者EASDF得安全协议和安全机制可以使用独立的指示来分别指示,或者使用一个指示来同时指示两种能力。
其中,使用一个指示来同时指示两种能力的一个例子,可以是指示支持基于证书的TLS、支持基于AKMA的TLS等。安全机制,比如基于证书;安全协议,比如TLS,可以在同一个指示中体现。
请求中还可以包括TS23.501 6.2.6.2中定义的其他信息。其中注册请求对应服务化消息可以为Nnrf_NFmanagement_NFRegister_request。
902:NRF存储EASDF的配置,并向EASDF发送注册响应消息。其中注册响应消息对应服务化消息可以为Nnrf_NFmanagement_NFRegister_response。
上述步骤EASDF配置也可以由预配置的方式实现,上述仅作为一种可行的实现方式,不作限定。
在PDU会话建立或修改流程中,当需要EASDF时,SMF执行EASDF发现和选择流程。当使用NRF执行EASDF发现和选择时,具体方式可以包括如下两种可能。
Option A:
903a:SMF向NRF发送NF发现请求,请求中可以包括NF type,此时NF type为EASDF,进一步的,该请求可以包括安全指示,该安全指示用于NRF发现安全指示所对应的EASDF实例。其中NF发现请求对应的服务化消息可以为Nnrf_NFDiscovery_Request。安全指示用于指示支持与UE建立DNS安全连接或者指示支持(D)TLS或指示支持与UE之间使用(D)TLS来保护DNS消息。
904a:NRF向SMF发送NF发现响应,响应中可以包括EASDF信息,比如EASDF的标识,EASDF的IP地址或IP前缀、安全信息。其中NF发现响应对应的服务化消息可以为Nnrf_NFDiscovery_Request,安全信息可以包含安全机制、和/或验证EASDF的凭证等用于UE建立安全连接的信息。NRF根据NF type确定选择的为EASDF实例,根据安全指示可以确定安全指示对应的EASDF实例。
若响应消息中不包含EASDF的IP地址或IP前缀,则SMF接收到EASDF的标识后,可以根据EASDF的标识从EASDF或IP地址解析网元获取EASDF的IP地址或IP前缀。其中IP地址解析网元可以理解为根据标识信息获取该标识对应的IP地址或前缀的网元。
Option B:
903b:SMF向NRF发送NF发现请求,请求中可以包括NF type,此时NF type为EASDF。其中NF发现请求对应的服务化消息可以为Nnrf_NFDiscovery_Request。
904b:NRF向SMF发送NF发现响应,响应中可以包括EASDF标识,可选地还包括该EASDF的DNS安全能力信息或DNS安全信息。DNS安全信息可以包括用于UE与EASDF之间建立安全连接的信息,根据该DNS安全信息可以确定EASDF安全信息,该EASDF安全信息需要发送给UE。示例地,该EASDF安全信息可以包含验证EASDF的凭证、EASDF支持的安全协议、EASDF支持的安全机制和/或EASDF的端口号等信息。其中NF发现响应对应的服务化消息可以为Nnrf_NFDiscovery_Response。
b):UE的DNS安全能力指示支持DNS安全机制,部署的EASDF支持动态开启或关闭安全连接建立(即与部分UE建立DNS安全连接,与一部分UE不建立DNS安全连接)。其中,EASDF支持动态开启或关闭安全机制的信息来源于SMF的本地配置或者来源于NRF的指示或者来自EASDF的指示,本申请对此不作限定。
若DNS消息需要安全保护时(加密保护和/或完整性保护),
当PDU会话的用户面安全策略指示安全保护必须开启,则SMF不向UE发送EASDF的安全信息,可选地,SMF向EASDF配置与该UE不激活应用层安全保护;
当PDU会话的用户面安全策略指示安全保护不需要开启,则SMF向UE发送EASDF的安全信息,可选地,可以指示EASDF网元为该UE配置激活DNS安全;
若PDU会话的用户面安全策略指示安全保护推荐开启,此时SMF跳过EASDF选择,当SMF获取了用户面的安全激活状态时,根据用户面的安全激活状态来配置UE和EASDF的用户面安全保护是否开启。具体方法与上一实现方式类似,此处不再赘述。
803:SMF向EASDF发送Neasdf_DNSContext_Create请求,请求中可以包括UE IP地址,统一资源标识符和处理来自UE的DNS消息的规则(即DNS消息处理规则)。EASDF为PDU会话创建DNS上下文,如存储UE IP地址、callback URI和处理DNS消息的规则。该请求消息中还可以包括DNS安全开启指示信息,用于指示对于该UE是否开启DNS安全保护,可选的,该指示信息还可以用于指示DNS消息的安全保护机制。
804:SMF向EASDF发送Neasdf_DNSContext_Create响应,响应中可以包括EASDF的IP地址和用于后续SMF更新或删除上下文的信息。对于option b,可选的,若指示开启DNS安全,步骤904a和/或904b中响应消息中可以包括EASDF安全信息。所述安全信息为用于与EASDF建立安全连接的所述的安全信息,如EASDF的信任状信息,该信任状信息可以为根证书。
可选的该EASDF安全信息可以在发现流程中获取。或者也可以是预配置在SMF上。或者还可以是在SMF与EASDF之间交互时从EASDF获取。本申请对此不做限定。
805:SMF向UE发送PDU会话创建请求接收消息,该消息中可以包括EASDF的IP地址,进一步的,在确定UE与EASDF之间的DNS消息需要安全保护时,该消息中还可以包括EASDF安全信息。EASDF安全信息可以包括在扩展的协议扩展配置选项中。
806:在需要建立UE与EASDF之间的安全连接时,UE根据EASDF安全信息与EASDF建立安全连接。UE向EASDF发送DNS查询消息。EASDF接收到来自UE的EASDF消息,处理DNS消息数据包。
后续流程与前文类似,此处不再赘述。
应理解,关于图8中的(a)中SMF的判断逻辑可以参考图8中的(b)的逻辑图,该方案在UE的DNS安全能力支持开启DNS安全保护时,SMF根据PDU会话的用户面安全策略和/或用户面的安全激活状态确定UE与EASDF之间的DNS安全是否开启,能够按需开启UE与EASDF之间DNS安全,保证DNS消息的安全,避免被篡改或泄露,提高业务接入的效率。
在图5所示实施例的基础上,本申请提供另一可能的实施方式,UE不支持与DNS服务器建立(D)TLS来保护DNS消息时,SMF可以通过设置PDU会话的用户面安全策略,以保证DNS消息的安全保护。
具体地,如图10所示:
1001:UE向SMF发送PDU会话建立请求,若UE不支持与EASDF之间建立安全连接,即UE不支持与DNS服务器建立(D)TLS来保护DNS消息,则在PDU会话建立请求中不携带DNS安全能力。
可以理解的是,PDU会话建立请求中不携带DNS安全能力的指示,SMF可以默认该UE不具备该能力,也可以在PDU会话建立请求中携带指示信息,用于指示该UE不具备该能力,本申请对此不作限定。
进一步的,SMF与其他核心网网元交互(如与UDM、PCF、UPF等交互)执行PDU会话的建立流程,该建立流程与前文类似,此处不再赘述。
1002:UE不支持DNS安全能力,当DNS消息需要安全保护时,若SMF获取的PDU会话安全策略指示所需要的安全保护为不需要或推荐时,SMF修改PDU会话策略为必须。或者SMF可以直接生成PDU会话安全策略指示必须开启安全保护,该安全保护具体可以包含必须加密保护、必须完整性保护中的至少一个。
a):当网络中通过部署不同DNS安全能力的EASDF(即不支持安全协商的EASDF,即所有与EASDF通信的UE与EASDF之间要么都建立安全连接,要么都不建立安全连接)来支持不同的需求时,SMF选择不支持DNS安全能力的EASDF;具体的选择方式同上述实施方式,此处不再赘述。
b):若部署的EASDF支持动态开启或关闭安全机制(即与部分UE建立DNS安全连接,与一部分UE不建立DNS安全连接),SMF指示EASDF网元为该UE配置不激活DNS安全保护。
应理解,SMF可以指示EASDF不激活,也可以指示EASDF关闭DNS安全保护,也可以不发送指示,该EASDF未收到指示时默认不激活安全保护。本申请对此不作限定。
1003:SMF向EASDF发送Neasdf_DNSContext_Create请求,请求中可以包括UE IP地址,callback URI和处理来自UE的DNS消息的规则(即DNS消息处理规则)。EASDF为PDU会话创建DNS上下文,如存储UE IP地址、callback URI和处理DNS消息的规则。对于Option 2,消息中还可以包括DNS安全需求指示信息,用于指示对于该UE不开启DNS安全保护。
1004:SMF向EASDF发送Neasdf_DNSContext_Create响应,响应中可以包括EASDF的IP地址和用于后续SMF更新或删除上下文的信息。
1005:SMF向UE发送PDU会话创建请求接收消息,消息中可以包括EASDF的IP地址。
1006:UE无需与EASDF建立安全连接,直接向EASDF发送DNS查询消息。
在UE的DNS安全能力不支持开启DNS安全保护时,SMF确定PDU会话的用户面安全策略为必须,通过PDU会话的安全保护DNS消息的,根据UE的能力选择合适的DNS安全保护方法,尽可能地保证接入业务的效率。
另一可能的实施方式,PDU会话仅配置了远端PSA时,需要***锚点,如图11所示:
1101:UE与网络建立PDU会话,该PDU会话仅仅配置了远端的PSA,且SMF向UE发送了服务PDU会话的EASDF IP地址。
1102:SMF确定需要***UL CL/BP,则执行UL CL/BP的***流程。进一步的,若SMF确定UE与EASDF之间开启了DNS安全保护机制,则获取local DNS服务器的地址,并执行步骤图4中的2和3。若没有开启DNS安全保护机制,SMF可以根据本地策略或其他的信息确定是否更新UE的DNS消息的地址。
1103~1107,与上文的图4中的2~6类似,此处不再赘述。
该方案在UE与EASDF之间开启了DNS安全保护机制的情况下,获取local DNS服务器的地址并通知UE,UE能够及时修改消息的目的地址,避免消息经过EASDF的安全连接后原服务器无法解析的问题。同时,SMF根据UE与EASDF之间的安全是否开启来选择具体的EAS发现机制,提高了发现EAS的灵活性。
本文中描述的各个实施例可以为独立的方案,也可以根据内在逻辑进行组合,这些方案都落入本申请的保护范围中。
上述本申请提供的实施例中,分别从各个设备之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,网络设备或终端设备可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
与上述构思相同,如图12所示,本申请实施例还提供一种装置1200用于实现上述方法中会话管理功能网元的功能。例如,该装置可以为软件模块或者芯片***。本申请实施例中,芯片***可以由芯片构成,也可以包含芯片和其他分立器件。该装置1200可以包括:处理单元1210和通信单元1220。
本申请实施例中,通信单元也可以称为收发单元,可以包括发送单元和/或接收单元,分别用于执行上文方法实施例中会话管理功能网元发送和接收的步骤。
以下,结合图12至图13详细说明本申请实施例提供的通信装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
通信单元也可以称为收发器、收发机、收发装置等。处理单元也可以称为处理器,处理单板,处理模块、处理装置等。可选的,可以将通信单元1220中用于实现接收功能的器件视为接收单元,将通信单元1220中用于实现发送功能的器件视为发送单元,即通信单元1220包括接收单元和发送单元。通信单元有时也可以称为收发机、收发器、或接口电路等。接收单元有时也可以称为接收机、接收器、或接收电路等。发送单元有时也可以称为发射机、发射器或者发射电路等。
通信装置1200执行上面实施例中图5至11任一所示的流程中会话管理功能网元的功能时:
处理单元,用于根据终端设备的安全能力确定第一服务器的信息,
通信单元用于信息的收发。
通信装置1200执行上面实施例中图5至11任一所示的流程中注册功能网元的功能时:
处理单元,用于根据终端设备的安全能力确定第一服务器的信息,
通信单元用于信息的收发。
以上只是示例,处理单元1210和通信单元1220还可以执行其他功能,更详细的描述可以参考图5至11所示的方法实施例或其他方法实施例中的相关描述,这里不加赘述。
如图13所示为本申请实施例提供的装置1300,图13所示的装置可以为图12所示的装置的一种硬件电路的实现方式。该通信装置可适用于前面所示出的流程图中,执行上述方法实施例中终端设备或者网络设备的功能。为了便于说明,图13仅示出了该通信装置的主要部件。
如图13所示,通信装置1300包括处理器1310和接口电路1320。处理器1310和接口电路1320之间相互耦合。可以理解的是,接口电路1320可以为收发器或输入输出接口。可选的,通信装置1300还可以包括存储器1330,用于存储处理器1310执行的指令或存储处理器1310运行指令所需要的输入数据或存储处理器1310运行指令后产生的数据。
当通信装置1300用于实现图5至11所示的方法时,处理器1310用于实现上述处理单元1210的功能,接口电路1320用于实现上述通信单元1220的功能。
当上述通信装置为应用于终端设备的芯片时,该终端设备芯片实现上述方法实施例中终端设备的功能。该终端设备芯片从终端设备中的其它模块(如射频模块或天线)接收信息,该信息是网络设备发送给终端设备的;或者,该终端设备芯片向终端设备中的其它模块(如射频模块或天线)发送信息,该信息是终端设备发送给网络设备的。
当上述通信装置为应用于网络设备的芯片时,该网络设备芯片实现上述方法实施例中网络设备的功能。该网络设备芯片从网络设备中的其它模块(如射频模块或天线)接收信息,该信息是终端设备发送给网络设备的;或者,该网络设备芯片向网络设备中的其它模块(如射频模块或天线)发送信息,该信息是网络设备发送给终端设备的。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中处理器可以是随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于网络设备或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于网络设备或终端设备中。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (34)
1.一种安全通信的方法,其特征在于,包括:
会话管理功能网元接收来自终端设备的第一安全能力指示信息,所述第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;
所述会话管理功能网元根据所述第一安全能力指示信息确定支持建立所述安全连接的第一服务器;
所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述安全连接。
2.根据权利要求1所述的方法,其特征在于,所述会话管理功能网元根据所述第一安全能力指示信息确定支持建立所述安全连接的第一服务器包括:
在确定所述终端的会话未开启用户面安全保护的情况下,所述会话管理功能网元根据安全能力指示信息确定所述第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话未开启用户面安全保护。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元接收来自接入网设备的所述会话的用户面安全状态的指示信息。
5.根据权利要求3或4所述的方法,其特征在于,所述会话的用户面安全状态为非激活态。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元接收来自统一数据管理网元的所述会话的用户面安全策略。
7.根据权利要求3或6所述的方法,其特征在于,所述会话的用户面安全策略为不需要开启。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述会话管理功能网元根据所述第一安全能力指示信息确定支持建立所述安全连接的第一服务器包括:
所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息包括所述第一安全能力指示信息,所述请求消息用于请求发现支持所述安全连接的服务器;所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。
9.根据权利要求1至7中任一项所述的方法,其特征在于,所述会话管理功能网元根据所述第一安全能力指示信息确定支持建立所述安全连接的第一服务器包括:
所述会话管理功能网元向网络存储功能网元发送请求消息,所述请求消息用于请求发现服务器;
所述会话管理功能网元从所述网络存储功能网元接收所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息和第二安全能力指示信息,所述第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接;
所述会话管理功能网元根据所述第二安全能力指示信息和所述第一安全能力指示信息,确定所述第一服务器。
10.根据权利要求9所述的方法,其特征在于,在所述第二安全能力指示信息用于指示所述第一服务器支持激活所述安全连接的情况下,所述方法还包括;
所述会话管理功能网元向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元根据本地的所述第二安全能力指示信息向所述第一服务器发送激活指示信息,所述激活指示信息用于指示所述第一服务器激活所述安全连接,其中,所述第二安全能力指示信息用于指示所述第一服务器支持激活所述安全连接。
12.根据权利要求1至11中任一项所述的方法,其特征在于,所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述安全连接包括:
所述会话管理功能网元向所述终端设备发送会话建立接受消息,所述会话建立接受消息包括所述第一服务器的信息,或者,
所述会话管理功能网元向所述终端设备发送会话修改命令,所述会话修改命令包括所述第一服务器的信息。
13.根据权利要求1至12中任一项所述的方法,其特征在于,所述第一服务器的信息包括所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
14.一种安全通信的方法,其特征在于,包括:
会话管理功能网元接收来自终端设备的第一安全能力指示信息,所述第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接;
所述会话管理功能网元确定所述终端设备的会话开启用户面安全;
所述会话管理功能网元确定不支持建立所述安全连接的第一服务器,或者支持不激活所述安全连接的第一服务器,其中所述会话用于传输所述终端设备与所述第一服务器之间的数据;
所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
15.根据权利要求14所述的方法,其特征在于,所述会话管理功能网元根据所述会话的用户面安全状态或所述会话的用户面安全策略确定所述会话开启用户面安全保护。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元接收来自接入网设备的所述会话的用户面安全状态的指示信息。
17.根据权利要求15或16所述的方法,其特征在于,所述会话的用户面安全状态为激活态。
18.根据权利要求15所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元接收来自统一数据管理网元的所述会话的用户面安全策略。
19.根据权利要求15或18所述的方法,其特征在于,所述会话的用户面安全策略为必须开启。
20.一种安全通信的方法,其特征在于,包括:
会话管理功能网元确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接;
所述会话管理功能网元将所述终端设备的会话的用户面安全策略设置为开启安全保护,所述会话用于传输所述终端设备与第一服务器之间的数据;
所述会话管理功能网元向所述终端设备发送所述第一服务器的信息以建立所述终端设备与所述第一服务器之间的连接。
21.根据权利要求14至20中任一项所述的方法,其特征在于,所述第一服务器的信息包括所述第一服务器的标识。
22.根据权利要求1至21中任一项所述的方法,其特征在于,所述第一服务器包括边缘应用服务器发现功能网元或域名查询服务器。
23.根据权利要求1至22中任一项所述的方法,其特征在于,所述终端设备和/或所述服务器支持建立的所述终端设备与服务器之间的安全连接,包括:基于数据包传输层安全性协议DTLS的安全连接、基于传输层安全性协议TLS的安全连接、基于超文本传输协议HTTPS的安全连接中的至少一种。
24.根据权利要求20至23中任一项所述的方法,其特征在于,会话管理功能网元确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接包括:
所述会话管理功能网元接收来自所述终端设备的会话建立请求;
所述会话管理功能网元根据所述会话建立请求确定所述终端设备不支持建立所述终端设备与服务器之间的安全连接。
25.一种安全通信的方法,其特征在于,包括:
网络存储功能网元接收来自会话管理功能网元的请求消息,所述请求消息用于请求发现支持与终端设备之间建立安全连接的服务器;
所述网络存储功能网元根据所述请求消息确定第一服务器的信息;
所述网络存储功能网元向会话管理功能网元发送所述请求消息的响应消息,所述响应消息包括所述第一服务器的信息。
26.根据权利要求25所述的方法,其特征在于,所述请求信息包括所述第一安全能力指示信息,所述第一安全能力指示信息用于指示所述终端设备支持建立所述终端设备与服务器之间的安全连接。
27.根据权利要求25或26所述的方法,其特征在于,所述方法还包括:
所述网络存储功能网元接收来自所述第一服务器的注册请求,所述注册请求包括所述第二安全能力指示信息,所述第二安全能力指示信息用于指示所述第一服务器支持所述安全连接或者支持激活所述安全连接,
所述注册请求还包括以下任意一个或多个:所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号。
28.根据权利要求25至27中任一项所述的方法,其特征在于,所述第一服务器包括边缘应用服务器发现功能网元。
29.根据权利要求25至28中任一项所述的方法,其特征在于,所述第一服务器的信息包括所述第一服务器的标识、所述第一服务器支持的安全协议、所述第一服务器支持的安全机制、验证第一服务器的凭据、所述第一服务器的端口号中的至少一个。
30.一种通信装置,其特征在于,包括收发单元和处理单元,所述通信装置用于执行如权利要求1至13中任一项所述的方法,或者用于执行如权利要求14至19中任一项所述的方法,或者用于执行如权利要求20至24中任一项所述的方法。
31.一种通信装置,其特征在于,包括收发单元和处理单元,所述通信装置用于执行如权利要求25至29中任一项所述的方法。
32.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至13中任一项所述的方法,或,使得所述计算机执行如权利要求14至19中任一项所述的方法,或,使得所述计算机执行如权利要求20至24中任一项所述的方法,或,权利要求25至29中任一项所述的方法。
33.一种芯片,其特征在于,包括处理器和通信接口,所述处理器用于读取指令以执行如权利要求1至13中任一项所述的方法,或,使得所述计算机执行如权利要求14至19中任一项所述的方法,或,使得所述计算机执行如权利要求20至24中任一项所述的方法,或,权利要求25至29中任一项所述的方法。
34.一种通信***,其特征在于,所述通信***包括如权利要求30或31所述的通信装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110915945.6A CN115706973A (zh) | 2021-08-10 | 2021-08-10 | 一种安全通信的方法及通信装置 |
EP22855376.4A EP4376458A1 (en) | 2021-08-10 | 2022-08-08 | Method and communication apparatus for secure communication |
AU2022327451A AU2022327451A1 (en) | 2021-08-10 | 2022-08-08 | Secure communication method and communication apparatus |
PCT/CN2022/110832 WO2023016395A1 (zh) | 2021-08-10 | 2022-08-08 | 一种安全通信的方法及通信装置 |
US18/437,407 US20240179516A1 (en) | 2021-08-10 | 2024-02-09 | Secure communication method and communication apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110915945.6A CN115706973A (zh) | 2021-08-10 | 2021-08-10 | 一种安全通信的方法及通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115706973A true CN115706973A (zh) | 2023-02-17 |
Family
ID=85179601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110915945.6A Pending CN115706973A (zh) | 2021-08-10 | 2021-08-10 | 一种安全通信的方法及通信装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20240179516A1 (zh) |
EP (1) | EP4376458A1 (zh) |
CN (1) | CN115706973A (zh) |
AU (1) | AU2022327451A1 (zh) |
WO (1) | WO2023016395A1 (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
MX2019010926A (es) * | 2017-03-17 | 2019-11-05 | Ericsson Telefon Ab L M | Solucion de seguridad para encender y apagar la seguridad de datos de up entre ue y ran en 5g. |
RU2743578C1 (ru) * | 2017-10-02 | 2021-02-20 | Телефонактиеболагет Лм Эрикссон (Пабл) | Безопасность на связанном с предоставлением доступа уровне в системе беспроводной связи |
CN111758246B (zh) * | 2018-02-20 | 2023-05-12 | 瑞典爱立信有限公司 | 用于小数据用户平面传输的装备、方法和存储介质 |
KR20210028732A (ko) * | 2018-08-03 | 2021-03-12 | 삼성전자주식회사 | 무선 네트워크에서 사용자 평면 신호 메시지들의 무결성 보호를 위한 방법 및 시스템 |
CN110891269B (zh) * | 2018-09-10 | 2022-04-05 | 华为技术有限公司 | 一种数据保护方法、设备及*** |
-
2021
- 2021-08-10 CN CN202110915945.6A patent/CN115706973A/zh active Pending
-
2022
- 2022-08-08 WO PCT/CN2022/110832 patent/WO2023016395A1/zh active Application Filing
- 2022-08-08 EP EP22855376.4A patent/EP4376458A1/en active Pending
- 2022-08-08 AU AU2022327451A patent/AU2022327451A1/en active Pending
-
2024
- 2024-02-09 US US18/437,407 patent/US20240179516A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023016395A1 (zh) | 2023-02-16 |
AU2022327451A1 (en) | 2024-02-29 |
EP4376458A1 (en) | 2024-05-29 |
US20240179516A1 (en) | 2024-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220330361A1 (en) | Method for establishing connection and obtaining relay service code and communications apparatus | |
EP3820181A1 (en) | Secure conversation method and device | |
CN110557846B (zh) | 一种数据传输方法、终端设备及网络设备 | |
US20220141664A1 (en) | Data transmission method and apparatus in network slice architecture | |
WO2021233340A1 (zh) | 网络注册的方法和装置 | |
US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
CN113676904B (zh) | 切片认证方法及装置 | |
US11606768B2 (en) | Method and apparatus for registration | |
WO2018076553A1 (zh) | 一种接入网络的方法及设备 | |
CN112789896B (zh) | 切换传输路径的方法及装置 | |
KR20240060670A (ko) | 통신 방법 및 장치 | |
WO2023016395A1 (zh) | 一种安全通信的方法及通信装置 | |
CN115484582A (zh) | 通信方法和通信装置 | |
WO2021201729A1 (en) | Faster release or resume for ue in inactive state | |
WO2021186215A1 (en) | Selective user plane protection in 5g virtual ran | |
CN110913507A (zh) | 通信方法和装置 | |
WO2021057456A1 (zh) | 用于注册的方法和装置 | |
WO2023051431A1 (zh) | 通信的方法和装置 | |
US20240244497A1 (en) | Communication method and apparatus | |
US20240244032A1 (en) | Communication method and apparatus | |
WO2024032218A1 (zh) | 通信方法和通信装置 | |
US20240163670A1 (en) | Wireless communication method and apparatus | |
US20230137082A1 (en) | Generic Bootstrapping Architecture (GBA) Signaling To Indicate Need For Key Renegotiation | |
WO2024067619A1 (zh) | 通信方法和通信装置 | |
WO2023142717A1 (zh) | 一种确定用户设备路由选择策略的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |