本申请实施例涉及通信技术领域,尤其涉及一种终端设备和用户面网元之间的安全通信方法、装置及系统。
背景技术:
传统蜂窝无线通信中,首先终端设备需要和无线接入网设备建立无线资源控制(radioresourcecontrol,rrc)连接。接着,终端设备通过无线接入网设备注册到核心网。经过核心网认证流程后,核心网会发起非接入层(non-accessstratum,nas)安全流程。之后,终端设备和核心网各自拥有nas层的加密密钥和完整性保护密钥。无线接入网设备将触发接入层(accessstratum,as)安全流程,以便终端设备和无线接入网设备各自拥有as层的加密密钥和完整性保护密钥。终端设备和核心网之间可以通过nas层的加密密钥和完整性保护密钥交互数据。终端设备可以和无线接入网设备通过as层的加密密钥和完整性保护密钥交互数据。
如果终端设备和核心网之间采用端到端的特定于第一网络切片(slice/servicespecific)的通道,这样终端设备在与无线接入网设备建立rrc连接之后,后续比如终端移动后想要直接数据传输可以不需要经过rrc连接,或者说终端设备没移动,但是一段时间后由于没有数据释放了rrc连接。那么终端设备可以直接利用slicespecific的预配置数据无线承载(dataradiobearer,drb)向无线接入网设备发送上行数据,而不需要再建立rrc连接。然后由无线接入网设备利用slicespecific的特定于第一网络切片或服务(slice/servicespecific的gtp-u隧道)向用户面功能(userplanefunction,upf)网元发送上行数据。
但是,现有技术中未提供在终端设备和核心网之间采用特定于第一网络切片的通道进行通信时,如何解决数据加密问题。
技术实现要素:
本申请实施例提供一种终端设备和用户面网元之间的安全通信方法、装置及系统,用以提高终端设备和用户面网元之间用户面数据传输的安全性。
为了达到上述目的,本申请实施例提供如下技术方案:
第一方面,本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,包括:终端设备向移动管理网元发送包括第一网络切片的标识信息的第一请求消息。该第一请求消息用于请求为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。终端设备接收来自于移动管理网元的用于确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥的第一信息。
本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,该方法通过终端设备向移动管理网元发送第一请求消息,由于第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。这样便于移动管理网元为终端设备分配第一信息,该第一信息用于确定终端设备与第一用户面网元通信的加密密钥和/或完整性保护密钥。这样在后续数据传输过程中,终端设备可以根据获取到第一信息确定加密密钥,并基于加密密钥加密向第一用户面网元发送的待发送数据,采用完整性保护密钥对向第一用户面网元发送的待发送数据进行完整性保护,从而提高终端设备和第一用户面网元之间安全通信的可靠性。这样终端设备移动后或者从激活态转入非激活态或空闲态后便可以在未建立rrc连接的状态下,解决终端设备与用户面网元之间的数据交互时的加密和完整性保护的问题。
在一种可能的实现方式中,完整性保护密钥用于检验终端设备向第一用户面网元发送的待发送数据是否是完整的,以及用于验证终端设备是否为合法终端设备。
在一种可能的实现方式中,本申请实施例提供的方法在终端设备向移动管理网元发送第一请求消息之前还包括:终端设备在随机接入过程中接收来自第一无线接入网设备为终端设备分配的用于第一用户面网元识别终端设备的第一标识。相应的,终端设备向移动管理网元发送的第一请求消息中还携带第一标识。通过在第一请求消息中携带第一标识,便于移动管理网元为终端设备和第一用户面网元分配的加密密钥与第一标识关联,便于后续第一用户面网元根据第一标识索引的加密密钥解密终端设备发送的加密数据。
示例性的,第一请求消息可以为注册请求消息或者为pdu会话建立请求或者更新请求消息。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备接收来自移动管理网元的第一标识,该第一标识用于第一用户面网元识别终端设备。这样便于后续终端设备根据第一标识确定与第一用户面网元通信时的第一信息,以及便于第一用户面网元根据第一标识确定对应的加密密钥,以解密终端设备发送的加密数据。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备根据加密密钥对与第一网络切片关联的待发送数据进行加密,得到加密数据。终端设备通过与第一网络切片关联的数据无线承载向第一无线接入网设备发送加密数据。这样终端设备可以在rrc被释放的情况下,或者不需要经过已建立的rrc连接,利用与第一网络切片关联的数据无线承载向第一无线接入网设备发送加密数据,进而使得第一无线接入网设备利用与第一用户面网元之间的用户面隧道发送处理后的加密数据,不仅可以实现终端设备和第一用户面网元之间端到端的通信,大大缩短了数据发送的传输时延。通过对待发送数据加密还可以实现终端设备和第一用户面网元之间的安全通信。
在一种可能的实现方式中,加密数据的第一协议层包头中携带第一标识。便于第一用户面网元根据第一协议层中的第一标识识别终端设备,以及确定第一标识关联的加密密钥对来自终端设备的加密数据进行解密。
在一种可能的实现方式中,终端设备通过数据无线承载向第一无线接入网设备发送加密数据,包括:终端设备通过数据无线承载在与第一网络切片关联的第一时频资源上向第一无线接入网设备发送加密数据。使得第一无线接入网设备可以确定接收到的加密数据与第一网络切片关联,进而使得第一无线接入网设备可以确定采用与第一网络切片关联的用户面隧道向第一用户面网元发送处理后的加密数据。
在一种可能的实现方式中,终端设备通过数据无线承载向第一无线接入网设备发送加密数据,包括:终端设备通过数据无线承载在与第一标识关联的第二时频资源上向第一无线接入网设备发送加密数据。第二时频资源为第一无线接入网设备为终端设备单独分配专门的ulgrant即上行时频资源,所以通过第二时频资源第一无线接入网设备就可以识别加密数据来自第一标识关联的终端设备。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备根据加密密钥对待发送数据进行加密,得到加密数据;待发送数据与第一网络切片关联。终端设备在第一时频资源上向第一无线接入网设备发送加密数据,其中,第一时频资源与第一网络切片关联。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备接收来自第一无线接入网设备的包括与第一网络切片关联的第一时频资源信息的第一消息。以便于终端设备确定发送加密数据的第一时频资源。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备确定第一网络切片所在的区域从第一区域变为第二区域。终端设备向移动管理网元发送用于通知移动管理网元确定终端设备和第二用户面网元之间的加密密钥的第一通知消息。其中,在第一区域中第一网络切片对应第一用户面网元,在第二区域中第一网络切片对应第二用户面网元。
在一种可能的实现方式中,本申请实施例提供的方法还包括:终端设备接收来自第二无线接入网设备的第一网络切片对应的在第二区域的区域标识。相应的,终端设备确定第一网络切片对应的区域从第一区域变为第二区域,包括:第一区域的区域标识与第二区域的区域标识不同,终端设备确定第一网络切片所在的区域从第一区域变为第二区域。
例如,当终端设备位于第一区域时,终端设备接收来自第一无线接入网设备的第一网络切片对应的在第一区域的区域标识。当终端设备从第一区域移动至第二区域,即终端设备位于第二区域时,终端设备接收来自第二无线接入网设备的第一网络切片对应的在第二区域的区域标识。
在一种可能的实现方式中,第一通知消息中包括第一标识和第一网络切片的标识信息。
在一种可能的实现方式中,第一信息与第一标识关联,相应的,加密密钥与第一标识关联。也即终端设备根据第一信息确定终端设备粒度的加密密钥。
在一种可能的实现方式中,第一信息与第一标识关联,且第一信息与第一网络切片的标识信息关联,加密密钥与第一标识关联,且加密密钥和第一网络切片的标识信息关联。相应的,终端设备根据第一信息、第一网络切片的标识信息确定网络切片粒度的加密密钥。
第二方面,本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,包括:移动管理网元接收来自终端设备的包括第一网络切片的标识信息的第一请求消息。第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。移动管理网元向终端设备发送第一信息,该第一信息用于终端设备确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。移动管理网元向第一用户面网元发送终端设备的加密密钥。
本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,该方法通过移动管理网元来自终端设备的第一请求消息,可以确定执行终端设备和第一网络切片关联的第一用户面网元之间的安全流程。之后,移动管理网元向终端设备发送第一信息以及向第一用户面网元发送终端设备的加密密钥。这样便于终端设备基于第一信息确定的加密密钥加密向第一用户面网元发送的待发送数据,使得第一用户面网元可以根据加密密钥对来自终端设备的加密数据进行解密,从而提高了终端设备和第一用户面网元之间用户面数据传输的安全性。
在一种可能的实现方式中,第一请求消息还包括第一无线接入网设备为终端设备分配的用于第一用户面网元识别终端设备的第一标识。
在一种可能的实现方式中,本申请实施例提供的方法还包括:移动管理网元向终端设备发送移动管理网元为终端设备分配的用于第一用户面网元识别终端设备的第一标识。
在一种可能的实现方式中,移动管理网元向第一用户面网元发送终端设备的加密密钥,包括:移动管理网元向第一用户面网元发送第一标识以及加密密钥。这样便于第一用户面网元对来自第一标识指示的终端设备的加密数据采用第一标识关联的加密密钥解密。
在一种可能的实现方式中,移动管理网元向第一用户面网元发送终端设备的加密密钥,包括:移动管理网元向第一用户面网元发送第一标识,与第一网络切片的标识信息关联的加密密钥。这样便于第一用户面网元对来自第一标识指示的终端设备的与第一网络切片关联的加密数据采用第一网络切片关联的加密密钥解密。
在一种可能的实现方式中,移动管理网元向终端设备发送第一信息,包括:移动管理网元向终端设备发送第一标识以及第一信息。这样便于终端设备确定采用第一信息确定的加密密钥加密向第一用户面网元发送的待发送数据。
在一种可能的实现方式中,移动管理网元向终端设备发送第一信息,包括:移动管理网元向终端设备发送第一标识,以及与第一网络切片关联的第一信息。这样便于终端设备确定对第一网络切片的数据采用加密密钥加密。
在一种可能的实现方式中,第一信息与第一网络切片的标识信息关联,且第一信息与第一标识。在一种可能的实现方式中,第一信息与第一标识关联。
在一种可能的实现方式中,本申请实施例提供的方法还包括:移动管理网元接收来自终端设备的第一通知消息。该第一通知消息用于通知移动管理网元确定终端设备和第二用户面网元之间的加密密钥。
第三方面,本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,包括:第一用户面网元在与第一网络切片关联的用户面隧道接收来自第一无线接入网设备的加密数据。该加密数据包括用于识别终端设备的第一标识。第一用户面网元采用与第一标识关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一用户面网元根据第一网络切片关联的用户面隧道,确定第一网络切片的标识信息。第一用户面网元采用与第一标识关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据,包括:第一用户面网元采用与第一标识以及第一网络切片的标识信息关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据。
在一种可能的实现方式中,本申请实施例提供的方法还包括:加密数据的第一协议层包头中携带第一标识;或者,加密数据的用户面隧道包头中携带第一标识。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一用户面网元接收来自移动管理网元的终端设备的加密密钥,加密密钥与第一标识关联。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一用户面网元接收来自移动管理网元的终端设备的加密密钥,该加密密钥与第一标识关联,且加密密钥和第一网络切片的标识信息关联。
第四方面,本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,包括:第一无线接入网设备接收来自终端设备的与第一网络切片关联的加密数据。第一无线接入网设备在与第一网络切片关联的用户面隧道上向第一用户面网元发送加密数据。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备接收来自终端设备的包括第一网络切片的标识信息的第一请求消息。该第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。第一无线接入网设备向移动管理网元发送第一请求消息。
在一种可能的实现方式中,本申请实施例提供的方法在第一无线接入网设备接收来自终端设备的包括第一网络切片的标识信息的第一请求消息之前,还包括:第一无线接入网设备在随机接入过程中向终端设备发送第一无线接入网设备为终端设备分配的第一标识。相应的,第一请求消息中还携带用于第一用户面网元识别终端设备的第一标识。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备确定第一网络切片的标识信息。第一无线接入网设备根据第一网络切片的标识信息,确定用户面隧道。
在一种可能的实现方式中,第一无线接入网设备接收来自终端设备的加密数据,包括:第一无线接入网设备在与第一网络切片关联的数据无线承载上接收来自终端设备的加密数据。第一无线接入网设备确定第一网络切片的标识信息,包括:第一无线接入网设备根据数据无线承载的信息确定第一网络切片的标识信息。
在一种可能的实现方式中,第一无线接入网设备接收来自终端设备的加密数据,包括:第一无线接入网设备在与第一网络切片关联的第一时频资源上接收来自终端设备的加密数据。在一种可能的实现方式中,第一无线接入网设备确定第一网络切片的标识信息,包括:第一无线接入网设备根据第一时频资源的信息和第一网络切片的标识信息之间的关联关系,确定第一网络切片的标识信息。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备向终端设备发送第一消息,第一消息包括与第一网络切片关联的第一时频资源信息。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备向一个或多个终端设备发送第一时频资源和第一网络切片之间的关联关系,这样,一个或多个终端设备中的任一个终端设备若需要通过第一网络切片传输数据,则需要通过竞争方式获取该第一时频资源。这样对于竞争到该第一时频资源的终端设备而言,如果通过该第一时频资源向第一无线接入网设备发送与第一网络切片关联的待发送数据,第一无线接入网设备便可以确定该待发送数据与第一网络切片关联。
在一种可能的实现方式中,加密数据的第一协议层包头中携带第一标识。
在一种可能的实现方式中,第一无线接入网设备在与第一网络切片关联的用户面隧道上向第一用户面网元发送加密数据,包括:第一无线接入网设备解封装来自终端设备的加密数据,得到携带第一协议层包头的加密数据。第一无线接入网设备将携带第一协议层包头的加密数据发送给第一用户面网元。示例性的,第一协议层可以为pdcp协议层,或者第一协议层可以为适配层。本申请实施例中的第一协议层未被加密。
在一种可能的实现方式中,第一无线接入网设备在与第一网络切片关联的用户面隧道上向第一用户面网元发送加密数据,包括:第一无线接入网设备采用用户面隧道包头处理加密数据,得到采用用户面隧道包头封装的加密数据;该用户面隧道包头中携带第一标识。第一无线接入网设备将采用用户面隧道包头封装的加密数据发送给第一用户面网元。
在一种可能的实现方式中,第一无线接入网设备在数据无线承载上接收来自终端设备的加密数据,包括:第一无线接入网设备通过数据无线承载在第二时频资源上接收来自终端设备的加密数据。第二时频资源与终端设备的第二标识关联,该第二标识用于在终端设备的随机接入过程接入的小区中识别终端设备。第一无线接入网设备根据第二标识与第一标识之间的映射关系,确定第一标识。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备接收来自移动管理网元的第一标识以及与第一标识关联的第一信息。第一无线接入网设备向终端设备发送第一标识以及与第一标识关联的第一信息。
在一种可能的实现方式中,本申请实施例提供的方法还包括:第一无线接入网设备接收来自移动管理网元第一标识、第一信息以及第一网络切片的标识信息;第一无线接入网设备向终端设备发送第一标识、第一信息以及第一网络切片的标识信息。
第五方面,本申请实施例提供一种通信方法,该方法包括:终端设备接收来自无线接入网设备的第一消息,该第一消息包括:第一网络切片的标识信息,以及第一网络切片关联的上行时频资源信息。终端设备在上行时频资源上向无线接入网设备发送数据。
应理解,第五方面所描述的方法还可以和第一方面描述的方法结合。即利用上行时频资源上向无线接入网设备发送的数据也可以采用由终端设备根据第一信息确定的加密密钥加密。
第六方面,本申请实施例提供一种通信方法,该方法包括:无线接入网设备向终端设备发送第一消息,该第一消息包括:第一网络切片标识的标识信息,以及第一网络切片关联的上行时频资源信息。无线接入网设备在上行时频资源上接收来自终端设备的数据。然后无线接入网设备根据上行时频资源确定该数据所关联的第一网络切片的标识信息。无线接入网设备通过第一网络切片关联的用户面隧道向第一用户面网元发送该数据。
第七方面,本申请实施例提供一种通信方法,该方法包括:无线接入网设备接收来自移动管理网元的第一网络切片关联的公钥。无线接入网设备发送广播消息。该广播消息包括:第一网络切片关联的公钥。
在一种可能的实现方式中,本申请实施例提供的方法还包括:无线接入网设备接收来自终端设备的加密数据。该加密数据由终端设备采用第一网络切片关联的公钥加密。无线接入网设备在与第一网络切片关联的用户面隧道上发送该加密数据。示例性的,无线接入网设备在与第一网络切片关联的数据无线承载上接收来自终端设备的加密数据。
第八方面,本申请实施例提供一种通信方法,该方法包括:终端设备接收来自无线接入网设备的广播消息。该广播消息包括:第一网络切片关联的公钥。终端设备将与第一网络切片关联的数据,采用公钥加密,得到加密数据。终端设备向无线接入网设备发送加密数据。示例性的,终端设备可以在与第一网络切片关联的数据无线承载上向无线接入网设备发送加密数据。
第九方面,本申请实施例提供一种通信方法,该方法包括:移动管理网元向无线接入网设备发送第一网络切片关联的公钥。移动管理网元向第一网络切片对应的第一用户面网元发送第一网络切片关联的私钥。第一用户面网元用于在第一网络切片对应的用户面隧道上接收到加密数据后,采用第一网络切片关联的私钥解密加密数据,得到数据。
示例性的,移动管理网元在ngsetuprequest或者amfconfigurationupdate或者ranconfigurationupdateacknowledge消息中包含第一网络切片关联的公钥。
第十方面,本申请实施例提供一种通信装置,该通信装置可以实现第一方面或第一方面的任意可能的实现方式中的方法,因此也能实现第一方面或第一方面任意可能的实现方式中的有益效果。该通信装置可以为终端设备,也可以为可以支持终端设备实现第一方面或第一方面的任意可能的实现方式中的方法的装置,例如应用于终端设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于向移动管理网元发送包括第一网络切片的标识信息的第一请求消息。该第一请求消息用于请求/请求移动管理网元为该通信装置和第一用户面网元分配加密密钥和/或完整性保护密钥。通信单元,还用于接收来自于移动管理网元的第一信息,该第一信息用于处理单元确定通信单元和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
在一种可能的实现方式中,完整性保护密钥用于检验终端设备向第一用户面网元发送的待发送数据是否是完整的,以及用于验证终端设备是否为合法终端设备。
在一种可能的实现方式中,通信单元,还用于在随机接入过程中接收来自第一无线接入网设备为该通信装置分配的用于第一用户面网元识别该通信装置的第一标识。第一请求消息中还携带第一标识。
在一种可能的实现方式中,通信单元,还用于接收来自移动管理网元的用于第一用户面网元识别该通信装置的第一标识。
在一种可能的实现方式中,处理单元,还用于根据加密密钥对与第一网络切片关联的待发送数据进行加密,得到加密数据。通信单元,还用于通过与第一网络切片关联的数据无线承载向第一无线接入网设备发送加密数据。
在一种可能的实现方式中,加密数据的第一协议层包头中携带第一标识。
在一种可能的实现方式中,通信单元,还用于通过数据无线承载向第一无线接入网设备发送加密数据,具体为:用于通过数据无线承载在与第一网络切片关联的第一时频资源上向第一无线接入网设备发送加密数据。
在一种可能的实现方式中,处理单元,还用于根据加密密钥对与第一网络切片关联的待发送数据进行加密,得到加密数据。通信单元,还用于在与第一网络切片关联的第一时频资源上向第一无线接入网设备发送加密数据。
在一种可能的实现方式中,通信单元,还用于接收来自第一无线接入网设备的包括与第一网络切片关联的第一时频资源的信息的第一消息。第一时频资源的信息用于确定第一时频资源的位置。
在一种可能的实现方式中,处理单元,还用于确定第一网络切片所在的区域从第一区域变为第二区域。通信单元,还用于向移动管理网元发送用于通知移动管理网元确定该通信装置和第二用户面网元之间的加密密钥的第一通知消息。其中,在第一区域中第一网络切片对应第一用户面网元,在第二区域中第一网络切片对应第二用户面网元。
在一种可能的实现方式中,通信单元,还用于接收来自第二无线接入网设备的第一网络切片对应的在第二区域的区域标识。第一网络切片对应的在第一区域的区域标识与第一网络切片对应的在第二区域的区域标识不同,处理单元,具体用于确定第一网络切片所在的区域从第一区域变为第二区域。
在一种可能的实现方式中,第一通知消息中包括第一标识和第一网络切片的标识信息。
在一种可能的实现方式中,第一信息与第一标识关联,相应的,加密密钥与第一标识关联。
在一种可能的实现方式中,第一信息与第一标识关联,且第一信息与第一网络切片的标识信息关联,相应的,加密密钥与第一标识关联,且加密密钥和第一网络切片的标识信息关联。
在一种可能的实现方式中,通信单元,用于通过数据无线承载向第一无线接入网设备发送加密数据,具体为:用于通过数据无线承载在与第一标识关联的第二时频资源上向第一无线接入网设备发送加密数据。第二时频资源为第一无线接入网设备为该通信装置单独分配专门的上行授权(ulgrant)即上行时频资源,所以第一无线接入网设备通过第二时频资源就可以识别加密数据来自第一标识关联的终端设备。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是终端设备,也可以是终端设备内的芯片。当该通信装置是终端设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该终端设备实现第一方面或第一方面的任意一种可能的实现方式中描述的方法。当该通信装置是终端设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该终端设备实现第一方面或第一方面的任意一种可能的实现方式中描述的方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、收发器和存储器相互耦合。
第十一方面,本申请实施例提供一种通信装置,该通信装置可以实现第二方面或第二方面的任意可能的实现方式中的方法,因此也能实现第二方面或第二方面任意可能的实现方式中的有益效果。该通信装置可以为移动管理网元,也可以为可以支持移动管理网元实现第二方面或第二方面的任意可能的实现方式中的方法的装置,例如应用于移动管理网元中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于接收来自终端设备的包括第一网络切片的标识信息的第一请求消息。该第一请求消息用于请求处理单元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。通信单元,还用于向终端设备发送第一信息。该第一信息用于终端设备确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。通信单元,还用于向第一用户面网元发送终端设备的加密密钥。
在一种可能的实现方式中,第一请求消息还包括该第一无线接入网设备为终端设备分配的用于第一用户面网元识别终端设备的第一标识。
在一种可能的实现方式中,通信单元,还用于向终端设备发送该处理单元为终端设备分配的用于第一用户面网元识别终端设备的第一标识。
在一种可能的实现方式中,通信单元,还用于向第一用户面网元发送终端设备的加密密钥,具体为:用于向第一用户面网元发送第一标识以及加密密钥。
在一种可能的实现方式中,通信单元,还用于向第一用户面网元发送终端设备的加密密钥,具体为:用于向第一用户面网元发送第一标识,与第一网络切片的标识信息关联的加密密钥。
在一种可能的实现方式中,第一信息与第一网络切片的标识信息关联,且第一信息与第一标识。或者,第一信息与第一标识关联。
在一种可能的实现方式中,通信单元,还用于接收来自终端设备的第一通知消息,该第一通知消息用于通知处理单元确定终端设备和第二用户面网元之间的加密密钥。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是移动管理网元,也可以是移动管理网元内的芯片。当该通信装置是移动管理网元时,该通信单元可以为通信接口。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该移动管理网元实现第二方面或第二方面的任意一种可能的实现方式中描述的方法。当该通信装置是移动管理网元内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该移动管理网元实现第二方面或第二方面的任意一种可能的实现方式中描述的方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该移动管理网元内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、通信接口和存储器相互耦合。
第十二方面,本申请实施例提供一种通信装置,该通信装置可以实现第三方面或第三方面的任意可能的实现方式中的方法,因此也能实现第三方面或第三方面任意可能的实现方式中的有益效果。该通信装置可以为第一用户面网元,也可以为可以支持第一用户面网元实现第三方面或第三方面的任意可能的实现方式中的方法的装置,例如应用于第一用户面网元中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,本申请实施例提供的一种通信装置,该通信装置中具有终端设备的加密密钥,该通信装置包括:通信单元,用于在与第一网络切片关联的用户面隧道接收来自第一无线接入网设备处理后的加密数据。加密数据包括用于识别终端设备的第一标识。处理单元,用于采用与第一标识关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据。
在一种可能的实现方式中,处理单元,还用于根据第一网络切片关联的用户面隧道,确定第一网络切片的标识信息。处理单元,具体用于采用与第一标识以及第一网络切片的标识信息关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据。
在一种可能的实现方式中,加密数据的第一协议层包头中携带第一标识。
在一种可能的实现方式中,加密数据的用户面隧道包头中携带第一标识。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是第一用户面网元,也可以是第一用户面网元内的芯片。当该通信装置是第一用户面网元时,该通信单元可以为通信接口。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该第一用户面网元实现第三方面或第三方面的任意一种可能的实现方式中描述的方法。当该通信装置是第一用户面网元内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该第一用户面网元实现第三方面或第三方面的任意一种可能的实现方式中描述的方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该第一用户面网元内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第十三方面,本申请实施例提供一种通信装置,该通信装置可以实现第四方面或第四方面的任意可能的实现方式中的方法,因此也能实现第四方面或第四方面任意可能的实现方式中的有益效果。该通信装置可以为第一无线接入网设备,也可以为可以支持该第一无线接入网设备实现第四方面或第四方面的任意可能的实现方式中的方法的装置,例如应用于该第一无线接入网设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,本申请实施例提供一种通信装置。包括:通信单元,用于接收来自终端设备的与第一网络切片关联的加密数据。通信单元,还用于在与第一网络切片关联的用户面隧道上向第一用户面网元发送加密数据。
在一种可能的实现方式中,通信单元,还用于接收来自终端设备的包括第一网络切片的标识信息的第一请求消息。该第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。通信单元,还用于向移动管理网元发送第一请求消息。
在一种可能的实现方式中,通信单元,还用于在随机接入过程中向终端设备发送该通信装置为终端设备分配的用于第一用户面网元识别终端设备的第一标识。第一请求消息中还携带第一标识。
在一种可能的实现方式中,处理单元,还用于确定第一网络切片的标识信息,以及用于根据第一网络切片的标识信息,确定用户面隧道。
在一种可能的实现方式中,通信单元,具体用于在与第一网络切片关联的数据无线承载上接收来自终端设备的加密数据。处理单元,具体用于根据数据无线承载的信息确定第一网络切片的标识信息。
在一种可能的实现方式中,通信单元,具体用于在与第一网络切片关联的第一时频资源上接收来自终端设备的加密数据。处理单元,具体用于根据第一时频资源的信息和第一网络切片的标识信息之间的关联关系,确定第一网络切片的标识信息。
在一种可能的实现方式中,通信单元,还用于向终端设备发送第一消息,第一消息包括与第一网络切片关联的第一时频资源信息。
在一种可能的实现方式中,加密数据的第一协议层包头中携带第一标识。
在一种可能的实现方式中,处理单元,用于解封装来自终端设备的加密数据,得到携带第一协议层包头的加密数据。通信单元,具体用于将携带第一协议层包头的加密数据发送给第一用户面网元。
在一种可能的实现方式中,处理单元,用于采用用户面隧道包头处理加密数据,得到采用用户面隧道包头封装的加密数据,该用户面隧道包头中携带第一标识。通信单元,具体用于将采用用户面隧道包头封装的加密数据发送给第一用户面网元。
在一种可能的实现方式中,通信单元,用于在数据无线承载上接收来自终端设备的加密数据,具体为:用于通过数据无线承载在第二时频资源上接收来自终端设备的加密数据;第二时频资源与终端设备的第二标识关联,第二标识用于在终端设备的随机接入过程接入的小区中识别终端设备;处理单元,用于根据第二标识与第一标识之间的映射关系,确定第一标识。
在一种可能的实现方式中,通信单元,还用于接收来自移动管理网元的第一标识、第一信息;该通信装置向终端设备发送第一标识、第一信息。
在一种可能的实现方式中,通信单元,还用于接收来自移动管理网元第一标识、第一信息以及第一网络切片的标识信息;通信单元,还用于向终端设备发送第一标识、第一信息以及第一网络切片的标识信息。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是第一无线接入网设备,也可以是第一无线接入网设备内的芯片。当该通信装置是第一无线接入网设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该第一无线接入网设备实现第四方面或第四方面的任意一种可能的实现方式中描述的方法。当该通信装置是第一无线接入网设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该第一无线接入网设备实现第四方面或第四方面的任意一种可能的实现方式中描述的方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该第一无线接入网设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第十四方面,本申请实施例提供一种通信装置,该通信装置可以实现第四方面或第四方面的任意可能的实现方式中的方法,因此也能实现第五方面或第五方面任意可能的实现方式中的有益效果。该通信装置可以为该终端设备,也可以为可以支持该通信装置实现第四方面或第四方面的任意可能的实现方式中的方法的装置,例如应用于该终端设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于接收来自无线接入网设备的第一消息,该第一消息包括:第一网络切片的标识信息,以及第一网络切片关联的上行时频资源信息。通信单元,用于利用无线数据承载在上行时频资源上向无线接入网设备发送数据。其中,无线数据承载与第一网络切片关联。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是终端设备,也可以是终端设备内的芯片。当该通信装置是终端设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该终端设备实现第一方面或第一方面的任意一种可能的实现方式中描述的一种通信方法。当该通信装置是终端设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该终端设备实现第一方面或第一方面的任意一种可能的实现方式中描述的一种通信方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、收发器和存储器相互耦合。
第十五方面,本申请实施例提供一种通信装置,该通信装置可以实现第六方面或第六方面的任意可能的实现方式中的方法,因此也能实现第六方面或第六方面任意可能的实现方式中的有益效果。该通信装置可以为无线接入网设备,也可以为可以支持无线接入网设备实现第六方面或第六方面的任意可能的实现方式中的方法的装置,例如应用于无线接入网设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于向终端设备发送第一消息,该第一消息包括:第一网络切片标识的标识信息,以及第第一网络切片关联的上行时频资源信息。通信单元,还用于通过无线数据承载在上行时频资源上接收来自终端设备的数据。处理单元,hia用于根据上行时频资源确定来自终端设备的数据所关联的识别第一网络切片,通信单元,还用于通过第一网络切片对应的用户面隧道向第一用户面网元发送该数据。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是无线接入网设备,也可以是无线接入网设备内的芯片。当该通信装置是无线接入网设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该无线接入网设备实现第六方面或第六方面的任意一种可能的实现方式中描述的一种通信方法。当该通信装置是无线接入网设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该无线接入网设备实现第六方面或第六方面的任意一种可能的实现方式中描述的一种通信方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该无线接入网设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、收发器和存储器相互耦合。
第十六方面,本申请实施例提供一种通信装置,该通信装置可以实现第七方面或第七方面的任意可能的实现方式中的方法,因此也能实现第七方面或第七方面任意可能的实现方式中的有益效果。该通信装置可以为无线接入网设备,也可以为可以支持无线接入网设备实现第七方面或第七方面的任意可能的实现方式中的方法的装置,例如应用于无线接入网设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于接收来自移动管理网元的第一网络切片关联的公钥。通信单元,用于发送广播消息。该广播消息包括:第一网络切片关联的公钥。
在一种可能的实现方式中,通信单元,用于接收来自终端设备的加密数据。该加密数据由终端设备对数据采用第一网络切片关联的公钥。通信单元,用于在与第一网络切片关联的用户面隧道上发送该加密数据。示例性的,无线接入网设备在与第一网络切片关联的数据无线承载上接收来自终端设备的加密数据。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是无线接入网设备,也可以是无线接入网设备内的芯片。当该通信装置是无线接入网设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该无线接入网设备实现第七方面或第七方面的任意一种可能的实现方式中描述的一种通信方法。当该通信装置是无线接入网设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该无线接入网设备实现第七方面或第七方面的任意一种可能的实现方式中描述的一种通信方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该无线接入网设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、收发器和存储器相互耦合。
第十七方面,本申请实施例提供一种通信装置,该通信装置可以实现第八方面或第八方面的任意可能的实现方式中的方法,因此也能实现第八方面或第八方面任意可能的实现方式中的有益效果。该通信装置可以为终端设备,也可以为可以支持终端设备实现第八方面或第八方面的任意可能的实现方式中的方法的装置,例如应用于终端设备中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于接收来自无线接入网设备的广播消息。该广播消息包括:第一网络切片关联的公钥。处理单元,用于将与第一网络切片关联的数据,采用公钥加密,得到加密数据。通信单元,用于向无线接入网设备发送加密数据。示例性的,终端设备可以在与第一网络切片关联的数据无线承载上向无线接入网设备发送加密数据。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是终端设备,也可以是终端设备内的芯片。当该通信装置是终端设备时,该通信单元可以为收发器。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该终端设备实现第八方面或第八方面的任意一种可能的实现方式中描述的一种通信方法。当该通信装置是终端设备内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该终端设备实现第八方面或第八方面的任意一种可能的实现方式中描述的一种通信方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该终端设备内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
可选的,处理器、收发器和存储器相互耦合。
第十八方面,本申请实施例提供一种通信装置,该通信装置可以实现第九方面或第九方面的任意可能的实现方式中的方法,因此也能实现第九方面或第九方面任意可能的实现方式中的有益效果。该通信装置可以为移动管理网元,也可以为可以支持移动管理网元实现第九方面或第九方面的任意可能的实现方式中的方法的装置,例如应用于移动管理网元中的芯片。该通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一种示例,该通信装置,包括:通信单元,用于向无线接入网设备发送第一网络切片关联的公钥。通信单元,用于向第一网络切片对应的第一用户面网元发送第一网络切片关联的私钥。第一用户面网元用于在第一网络切片对应的用户面隧道上接收到加密数据后,采用第一网络切片关联的私钥解密加密数据,得到数据。
另一种示例,本申请实施例提供一种通信装置,该通信装置可以是移动管理网元,也可以是移动管理网元内的芯片。当该通信装置是移动管理网元时,该通信单元可以为通信接口。该处理单元可以是处理器。该通信装置还可以包括存储单元。该存储单元可以是存储器。该存储单元,用于存储计算机程序代码,计算机程序代码包括指令。该处理单元执行该存储单元所存储的指令,以使该移动管理网元实现第九方面或第九方面的任意一种可能的实现方式中描述的一种通信方法。当该通信装置是移动管理网元内的芯片时,该处理单元可以是处理器,该通信单元可以统称为:通信接口。例如,通信接口可以为输入/输出接口、管脚或电路等。该处理单元执行存储单元所存储的计算机程序代码,以使该移动管理网元实现第九方面或第九方面的任意一种可能的实现方式中描述的一种通信方法,该存储单元可以是该芯片内的存储单元(例如,寄存器、缓存等),也可以是该移动管理网元内的位于该芯片外部的存储单元(例如,只读存储器、随机存取存储器等)。
第十九方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行如第一方面、或第二方面、或第三方面、或第四方面、或第五方面、或第六方面、或第七方面、或第八方面、或第九方面的任一方面描述的方法。
第二十方面,本申请实施例提供一种包括指令的计算机程序产品,当指令在计算机上运行时,使得计算机执行第一方面、或第二方面、或第三方面、或第四方面、或第五方面、或第六方面、或第七方面、或第八方面、或第九方面的任一方面描述的方法。
第二十一方面,本申请实施例提供了一种通信装置用于实现上述第一方面、或第二方面、或第三方面、或第四方面、或第五方面、或第六方面、或第七方面、或第八方面、或第九方面的任一方面描述的方法中任一方面的各种可能的设计中的各种方法。该通信装置可以为上述终端设备,或者包含上述终端设备的装置。或者,该通信装置可以为上述移动管理网元,或者包含上述移动管理网元的装置。或者,该通信装置可以为上述无线接入网设备,或者包含上述无线接入网设备的装置。或者,该通信装置可以为上述第一用户面网元,或者包含上述第一用户面网元的装置。该通信装置包括实现上述方法相应的模块、单元、或手段(means),该模块、单元、或means可以通过硬件实现,软件实现,或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。
第二十二方面,本申请实施例提供了一种通信装置,该通信装置包括:至少一个处理器和通信接口。其中,当该通信装置运行时,该处理器执行该通信装置中存储的该计算机执行指令,以使该通信装置执行如上述第一方面、或第二方面、或第三方面、或第四方面、或第五方面、或第六方面、或第七方面、或第八方面、或第九方面的任一方面描述的方法。例如,该通信装置可以为终端设备,或者为应用于终端设备中的芯片。例如,该通信装置可以为移动管理网元,或者为应用于移动管理网元中的芯片。例如,该通信装置可以为无线接入网设备,或者为应用于无线接入网设备中的芯片。该通信装置可以为第一用户面网元,或者为应用于第一用户面网元中的芯片。
应理解,上述第二十二方面中描述的通信装置中还可以包括:总线和存储器,存储器用于存储代码和数据。可选的,至少一个处理器、通信接口和存储器相互耦合。
第二十三方面,本申请实施例提供一种通信系统,该通信系统包括:终端设备向移动管理网元发送包括第一网络切片的标识信息的第一请求消息。第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。移动管理网元向终端设备发送第一信息,第一信息用于终端设备确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。终端设备接收来自于移动管理网元的第一信息,第一用户面网元接收来自第一无线接入网设备的终端设备的加密密钥。
第二十四方面,本申请实施例提供一种通信系统,该通信系统包括:终端设备,用于向移动管理网元发送包括第一网络切片的标识信息的第一请求消息。第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。移动管理网元,用于向终端设备发送第一信息,第一信息用于终端设备确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。终端设备,用于接收来自于移动管理网元的第一信息,第一用户面网元,用于接收来自第一无线接入网设备的终端设备的加密密钥。
第二十五方面,本申请实施例提供一种通信装置,该通信装置包括处理器和存储介质,存储介质存储有指令,指令被处理器运行时,实现如第一方面、或第二方面、或第三方面、或第四方面、或第五方面、或第六方面、或第七方面、或第八方面、或第九方面的任一方面描述的方法。
第二十六方面,本申请实施例提供了一种通信装置,该通信装置包括一个或者多个模块,用于实现上述第一方面、第二方面、第三方面、第四方面、第五方面、第六方面、第七方面、第八方面以及第九方面的方法,该一个或者多个模块可以与上述第一方面、第二方面、第三方面、第四方面、第五方面、第六方面、第七方面、第八方面以及第九方面的方法中的各个步骤相对应。
第二十七方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第一方面或第一方面的各种可能的实现方式中所描述的一种终端设备和用户面网元之间的安全通信方法。通信接口用于与芯片之外的其它模块进行通信。
第二十八方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第二方面或第二方面的各种可能的实现方式中所描述的一种终端设备和用户面网元之间的安全通信方法。通信接口用于与芯片之外的其它模块进行通信。
第二十九方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第三方面或第三方面的各种可能的实现方式中所描述的一种终端设备和用户面网元之间的安全通信方法。通信接口用于与芯片之外的其它模块进行通信。
第三十方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第四方面或第四方面的各种可能的实现方式中所描述的一种终端设备和用户面网元之间的安全通信方法。通信接口用于与芯片之外的其它模块进行通信。
第三十一方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第六方面或第六方面的各种可能的实现方式中所描述的一种通信方法。通信接口用于与芯片之外的其它模块进行通信。
第三十二方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第七方面或第七方面的各种可能的实现方式中所描述的一种通信方法。通信接口用于与芯片之外的其它模块进行通信。
第三十三方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第八方面或第八方面的各种可能的实现方式中所描述的一种通信方法。通信接口用于与芯片之外的其它模块进行通信。
第三十四方面,本申请实施例提供一种芯片,该芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现第九方面或第九方面的各种可能的实现方式中所描述的一种通信方法。通信接口用于与芯片之外的其它模块进行通信。
具体的,本申请实施例中提供的芯片还包括存储器,用于存储计算机程序或指令。
上述提供的任一种装置或计算机存储介质或计算机程序产品或芯片或通信系统均用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考上文提供的对应的方法中对应方案的有益效果,此处不再赘述。
附图说明
图1为本申请实施例提供的一种通信系统的结构示意图;
图2为本申请实施例提供的一种基站的结构示意图;
图3为本申请实施例提供的另一种基站的结构示意图;
图4为本申请实施例提供的一种通信设备的结构示意图;
图5a为本申请实施例提供的lte系统对应的用户面隧道;
图5b为本申请实施例提供的nr系统对应的用户面隧道;
图6为本申请实施例提供的一种终端设备和用户面网元之间安全通信方法的流程示意图;
图7为本申请实施例提供的另一种终端设备和用户面网元之间安全通信方法的流程示意图;
图8为本申请实施例提供的再一种终端设备和用户面网元之间安全通信方法的流程示意图;
图9为本申请实施例提供的一种由第一用户面网元识别加密数据的第一标识的示意图;
图10为本申请实施例提供的一种由第一无线接入网设备识别加密数据的第一标识的示意图;
图11为本申请实施例提供的一种终端设备切换区域的示意图;
图12为本申请实施例提供的又一种终端设备和用户面网元之间安全通信方法的流程示意图;
图13为本申请实施例提供的一种通信方法的流程示意图;
图14为本申请实施例提供的另一种通信方法的流程示意图;
图15为本申请实施例提供的一种通信装置的结构示意图;
图16为本申请实施例提供的另一种通信装置的结构示意图;
图17为本申请实施例提供的一种芯片的结构示意图。
具体实施方式
为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如,第一请求消息和第一通知消息仅仅是为了区分不同的请求消息,并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b的情况,其中a,b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
本申请实施例的技术方案可以应用于各种通信系统。例如,长期演进(longtermevolution,lte)系统、5g通信系统及各种面向未来的通信系统。术语“系统”可以和“网络”相互替换。
本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。本申请实施例中以提供的方法应用于nr系统或5g网络中为例进行说明。
图1示出了本申请实施例提供的一种终端设备和用户面网元之间的安全通信方法所应用的通信系统,该通信系统包括:终端设备10、与该终端设备10通信的无线接入网设备20、与无线接入网设备20通信的移动管理网元30以及与终端设备10通信的一个或多个用户面网元40。
其中,终端设备10和无线接入网设备20之间建立有一个或多个数据无线承载(dataradiobearer,drb)(例如,drb1、drb2以及drb3)。该一个或多个drb中每个drb可以与终端设备的一个网络切片关联。例如,终端设备的网络切片包括网络切片1、网络切片2以及网络切片3。其中,drb1与网络切片1关联。drb2与网络切片2关联。drb3与网络切片3关联。
此外,无线接入网设备20与用户面网元40之间具有一个或多个用户面隧道(例如,用户面隧道1、用户面隧道2、用户面隧道3)。该一个或多个用户面隧道中每个用户面隧道与终端设备的一个网络切片关联。例如,用户面隧道3与网络切片3关联。用户面隧道1与网络切片1关联。用户面隧道2与网络切片2关联。
例如,用户面隧道可以为通用分组无线服务隧道协议用户面(generalpacketradioservicetunnelingprotocol-userplane,gtp-u)通道。不同的网络切片对应不同的数据无线承载,可以实现不同网络切片的服务质量(qualityofservice,qos)需求。也就是说,终端设备可以在没有和无线接入网设备20建立无线资源控制(radioresourcecontrol,rrc)连接,即没有进入rrc连接态,或者终端设备没移动,但是一段时间后由于没有数据释放了rrc连接,或者建立rrc连接,但是无需经过rrc连接,就可以利用与网络切片关联的drb以及已经建立的无线接入网设备20和用户面网元40之间的用户面隧道,和核心网之间实现端到端的通信,从而实现了端到端服务定制化的网络切片,减少了终端设备的功耗。
举例说明,终端设备可以通过与网络切片1关联的drb1向无线接入网设备20发送网络切片1关联的待发送数据。无线接入网设备20在drb1上接收到待发送数据之后,采用与网络切片1关联的用户面隧道1向用户面网元发送待发送数据。
应理解,本申请实施例中终端设备可以通过接入网(例如,无线接入网设备)接入核心网(例如,用户面网元40和移动管理网元30属于核心网中的网元)。在本申请实施例中,终端设备可以分布于整个无线网络中,每个终端设备可以是静态的或移动的。
应理解,上述以该通信系统的核心网(corenetwork,cn)为5g核心网(5gcore,5gc)为例,此时,用户面网元对应的网元或者实体可以为upf网元。移动管理网元对应的网元或者实体可以为接入与移动性管理功能(accessandmobilitymanagementfunction,amf)网元。无线接入网设备20对应的网元或者实体可以为5g网络中的接入设备。例如下一代节点b(thenextgenerationnodeb,gnb)。
本申请实施例中,终端(terminal)设备10是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。终端设备也可以称为用户设备(userequipment,ue)、接入终端(accessterminal)、用户单元(userunit)、用户站(userstation)、移动站(mobilestation)、移动台(mobile)、远方站(remotestation)、远程终端(remoteterminal)、移动设备(mobileequipment)、用户终端(userterminal)、无线通信设备(wirelesstelecomequipment)、用户代理(useragent)、用户装备(userequipment)或用户装置。终端设备可以是无线局域网(wirelesslocalareanetworks,wlan)中的站点(station,sta),可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiationprotocol,sip)电话、无线本地环路(wirelesslocalloop,wll)站、个人数字处理(personaldigitalassistant,pda)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信系统(例如,第五代(fifth-generation,5g)通信网络)中的终端或者未来演进的公共陆地移动网络(publiclandmobilenetwork,plmn)网络中的终端设备等。其中,5g还可以被称为nr。
作为示例,在本申请实施例中,该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
本申请实施例中,无线接入网设备20为与终端设备10配合使用的一种可以用于发射或接收信号的实体。例如,可以是5g中的gnb。或者中继站或接入点,或者车载设备、可穿戴设备以及未来网络中的基站或者未来演进的plmn网络中的基站等。
另外,在本申请实施例中,基站为小区提供服务,终端设备通过该小区使用的传输资源(例如,时域资源,或者,频域资源,或者,时频资源)与基站进行无线通信。该小区可以是基站对应的小区,小区可以属于宏基站,也可以属于小小区(smallcell)对应的基站。此处的小小区可以包括:城市小区(metrocell)、微小区(microcell)、微微小区(picocell)、毫微微小区(femtocell)等,这些小小区具有覆盖范围小和发射功率低的特点,适用于提供高速率的数据传输服务。
由于未来基站可以采用云无线接入网(cloudradioaccessnetwork,c-ran)架构来实现。一种可能的方式是将传统基站的协议栈架构和功能分割为两部分,一部分称为集中单元(centralunit,cu),另一部分称为分布单元(distributedunit,du)。其中,如图2所示,一个基站一般包括一个cu和一个或多个du。多个基站的cu部分集成在一起,组成一个规模较大的功能实体。一个基站的一个或多个du可以由该基站的cu集中控制。如图2所示,cu和du可以根据无线网络的协议层划分,例如分组数据汇聚层协议层(packetdataconvergenceprotocol,pdcp)及以上协议层(例如,rrc)的功能设置在cu。pdcp以下的协议层,例如无线链路控制(radiolinkcontrol,rlc)、媒体接入控制层(mediumaccesscontrol,mac)和物理层(physicallayer,phy)等的功能设置在du。
可以理解的是,图2所示的协议层的划分仅仅是一种举例,还可以在其它协议层划分,例如在rlc层划分,将rlc层及以上协议层的功能设置在cu,rlc层以下协议层的功能设置在du。或者,在某个协议层中划分,例如将rlc层的部分功能和rlc层以上的协议层的功能设置在cu,将rlc层的剩余功能和rlc层以下的协议层的功能设置在du。此外,也可以按其它方式划分,例如按时延划分,将处理时间需要满足时延要求的功能设置在du,不需要满足该时延要求的功能设置在cu。本申请实施例对此不作限定。
此外,请继续参考图3,相对于图2所示的架构,还可以将cu的控制面(controlplane,cp)和用户面(userplane,up)分离,分成不同实体来实现,分别为控制面cu实体(cu-cp实体)和用户面cu实体(cu-up实体)。
在以上网络架构中,cu产生的数据可以通过du发送给终端设备。或者终端设备产生的数据可以通过du发送给cu。du通过协议层的解封装以及封装操作后将数据传给终端设备或cu,但du不对数据的pdcppdu进行解析。例如,rrc或pdcp层的数据最终会被处理为物理层(physicallayer,phy)的数据发送给终端设备,或者,由接收到的phy层的数据转变而来。在这种架构下,该rrc或pdcp层的数据,即也可以认为是由du发送的。
以下行传输为例,cu给du发送的是pdcppdu,但是因为cu-du之间是f1-u用户面隧道,所以pdcppdu外面还会封装gtp-uheader。du收到后,去除gtp-u包头(header)后,在pdcppdu外面封装rlc层协议头,mac层协议头,phy层协议头。然后通过空口发出去。对于上行传输,du收到终端设备发送的数据包后,依次解开phy层协议头,mac层协议头,rlc层协议头。然后得到pdcppdu,接着封装gtp-uheader后通过f1-u给cu发送过去。所以du不解析的只是pdcppdu,因为pdcppdu是加密的。
本申请以下实施例中的装置,根据其实现的功能,可以位于终端设备或基站。当采用以上cu-du的结构时,基站可以为cu节点、或du节点、或包括cu节点和du节点功能的ran设备。
图4示出了本申请实施例提供一种通信设备的硬件结构示意图。本申请实施例中的终端设备10、无线接入网设备20、移动管理网元30、用户面网元40的硬件结构可以参考如图4所示的结构。该通信设备包括处理器41,通信线路44以及至少一个通信接口43。
处理器41可以是一个通用中央处理器(centralprocessingunit,cpu)、微处理器、特定应用集成电路(application-specificintegratedcircuit,asic)、或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路44可包括一通路,在上述组件之间传送信息。
通信接口43,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,ran,wlan等。
可选的,该通信设备还可以包括存储器42。
存储器42可以是只读存储器(read-onlymemory,rom)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(randomaccessmemory,ram)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory,eeprom)、只读光盘(compactdiscread-onlymemory,cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路44与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器42用于存储执行本申请方案的计算机执行指令,并由处理器41来控制执行。处理器41用于执行存储器42中存储的计算机执行指令,从而实现本申请下述实施例提供的无线承载的配置方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器41可以包括一个或多个cpu,例如图4中的cpu0和cpu1。
在具体实现中,作为一种实施例,通信设备可以包括多个处理器,例如图4中的处理器41和处理器45。这些处理器中的每一个可以是一个单核(single-cpu)处理器,也可以是一个多核(multi-cpu)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
需要说明的是,如果该通信设备为终端设备10或者无线接入网设备20,则通信接口43可以采用收发器替换。
在传统蜂窝无线通信中,终端设备可通过随机接入(randomaccesschannel,rach)过程接入无线接入网设备,接着和无线接入网设备建立rrc连接。终端设备和无线接入网设备之间保持rrc连接,终端设备处于rrc连接态。当终端设备释放和无线接入网设备之间的rrc连接,终端设备可能处于非激活态或者空闲态。其中非激活态表示无线接入网设备和核心网之间保留该终端设备的上下文和用户面通道。之后终端设备通过和无线接入网设备之间的rrc连接向核心网发起注册流程以及分组数据单元(packetdataunit,pdu)会话(session)建立流程。之后,核心网将通知无线接入网设备为该终端设备建立如图5a所示的eps承载(lte系统)或如图5b所示的pdu会话(nr系统)对应的用户面隧道。nr系统中,核心网还会额外通知无线接入网设备该pdu会话中包含哪些数据流qosflow(例如,qosflow1~qosflow7)。无线接入网设备收到核心网的消息后,确定eps承载(lte系统)或qosflow(nr系统)和drb的映射关系并通知终端设备。最终终端设备通过终端设备和无线接入网设备之间的drb,以及无线接入网设备和核心网之间的eps承载/s1用户面隧道或ng用户面隧道/pdu会话通道进行数据传输。也就是说,所有的用户面隧道都是终端设备和无线接入网设备建立好rrc连接,即进入rrc连接态之后建立的。
由于目前终端设备需要在rrc连接之后,通过和核心网的交互获取nas层的加密密钥和完整性保护密钥。接着通过和无线接入网设备之间的交互获取as层的加密密钥和完整性保护密钥。其中nas层的加密密钥和完整性保护密钥用于终端设备和移动管理网元之间对nas信令进行加密和完整性保护,as层的加密密钥和完整性保护密钥用于终端设备和无线接入网之间对rrc消息和用户面数据进行加密和完整性保护。因此,如果终端设备和无线接入网设备之间未建立rrc连接,直接通过网络切片关联的drb向用户面网元传输待发送数据,则无法获得as层的加密密钥和完整性保护密钥,即终端设备和接入网之间传输的数据无法获得安全性保障。基于此本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,该方法中终端设备向移动管理网元发送第一请求消息,以请求移动管理网元为终端设备分配终端设备和第一用户面网元在后续数据传输过程中加密密钥和完整性保护密钥。这样终端设备移动后或者从激活态转入非激活态或空闲态后便可以在未建立rrc连接的状态下,解决终端设备与用户面网元之间的数据交互时的加密和完整性保护的问题。
在本申请实施例中,一种终端设备和用户面网元之间的安全通信方法的执行主体的具体结构,本申请实施例并未特别限定,只要可以通过运行记录有本申请实施例的一种终端设备和用户面网元之间的安全通信方法的代码的程序,以根据本申请实施例的一种终端设备和用户面网元之间的安全通信方法进行通信即可,例如,本申请实施例提供的一种终端设备和用户面网元之间的安全通信方法的执行主体可以是终端设备、无线接入网设备、移动管理网元、第一用户面网元,或者,是终端设备、无线接入网设备、移动管理网元、第一用户面网元中能够调用程序并执行程序的功能模块,或者为应用于终端设备、无线接入网设备、移动管理网元、第一用户面网元中的通信装置,例如,芯片,本申请对此不进行限定。下述实施例以一种终端设备和用户面网元之间的安全通信方法的执行主体分别为终端设备、无线接入网设备、移动管理网元、第一用户面网元为例进行描述。
参考图6,为本申请实施例提供的一种终端设备和用户面网元之间的安全通信方法,该方法包括:
步骤601、终端设备向移动管理网元发送第一请求消息,以使得移动管理网元接收来自终端设备的第一请求消息。
其中,该第一请求消息包括第一网络切片的标识信息。该第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。
应理解,第一请求消息具体用于指示移动管理网元执行终端设备和第一网络切片关联的第一用户面网元之间的安全流程。
例如,终端设备可以通过第一无线接入网设备向移动管理网元发送第一请求消息。
例如,终端设备可以为图1所示的终端设备10。第一无线接入网设备可以为图1所示的第一无线接入网设备20。移动管理网元可以为图1所示的移动管理网元30。
示例性的,该第一请求消息中携带第一指示,该第一指示用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。
示例性的,对于注册流程,该第一请求消息可以为注册请求(registrationrequest)消息。当然,第一请求消息还可以为pdu会话建立请求消息或者pdu会话更新请求消息。
例如,第一网络切片的标识信息可以为:单网络切片选择辅助信息(singlenetworksliceselectionassistanceinformation,s-nssai)。第一网络切片也可以使用第一业务或者终端设备所在的群组替代,则相应地第一网络切片的标识信息是第一业务的标识信息或者终端设备所在的群组的群组标识信息,后续不再赘述。终端设备所在的群组中包括该终端设备以及至少一个其他终端设备。
比如终端设备的群组标识可以为app层组标识,第一无线接入网设备侧组标识或其他组标识等。
步骤602、移动管理网元向终端设备发送第一信息,以使得终端设备接收来自于移动管理网元的第一信息。
其中,该第一信息用于终端设备确定终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
示例1)、第一信息可以为移动管理网元生成的通信密钥。该通信密钥用于终端设备生成终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
示例2)、第一信息可以为密钥新鲜性参数(counter)值。密钥新鲜性参数counter值用于终端设备结合第一无线接入网设备的根密钥(例如,以第一无线接入网设备为gnb为例,即gnb根密钥(kgnb))/nas根密钥(knas)生成通信密钥。
示例3)、第一信息可以为加密密钥和/或完整性保护密钥。
示例4)、第一信息可以为密钥新鲜性参数counter值,该密钥新鲜性参数counter值用于终端设备结合kgnb/knas生成加密密钥和/或完整性保护密钥。
其中,加密密钥可以用于保护终端设备和第一用户面网元之间传输的通信数据,不被破解。完整性保护密钥可以用于保护终端设备和第一用户面网元之间传输的数据的完整性,从而可以用于第一用户面网元验证终端设备是否为合法终端设备。
示例性的,移动管理网元可以向终端设备发送nas层注册接受消息或nas层注册回复消息。其中nas层注册接受消息或nas层注册回复消息中携带第一信息。
应理解,本申请实施例中第一信息可以由移动管理网元自己生成,也可以由密钥生成单元生成后发送给移动管理网元。或者由密钥生成单元直接发送给终端设备或者第一用户面网元。
本申请实施例中的第一信息可以是终端设备粒度,也可以是网络切片粒度。所谓的终端设备粒度是指:无论终端设备发送与哪个网络切片关联的数据,均可以采用该第一信息确定的加密密钥加密,以及采用该第一信息确定的完整性保护密钥进行完整性保护。
所谓的网络切片粒度是指:不同网络切片对应的第一信息可能不同。终端设备采用与网络切片1对应的第一信息确定与网络切片1对应的加密密钥和/或完整性保护密钥,然后将与网络切片1关联的数据采用网络切片1对应的加密密钥加密,将与网络切片1关联的数据采用网络切片1对应的完整性保护密钥进行完整性保护。
相应的,对于终端设备粒度的第一信息,本申请实施例中的步骤602具体可以通过以下方式实现:移动管理网元向终端设备发送第一标识和第一信息。其中,第一标识用于第一用户面网元识别终端设备。对于网络切片粒度的第一信息,本申请实施例中的步骤602具体可以通过以下方式实现:移动管理网元向终端设备发送第一标识,第一网络切片的标识信息,以及与第一网络切片关联的第一信息。
步骤603、移动管理网元向第一用户面网元发送终端设备的加密密钥,以使得第一用户面网元接收来自移动管理网元的终端设备的加密密钥。
可选的,移动管理网元还向第一用户面网元发送终端设备的完整性保护密钥。
举例说明,移动管理网元可以经过会话管理功能实体smf网元向第一用户面网元发送终端设备的加密密钥和/或完整性保护密钥。当第一用户面网元接收来自终端设备的数据后,第一用户面网元根据加密密钥对加密数据进行解密,以及根据完整性保护密钥对解密得到的数据进行完整性验证。
本申请实施例提供一种终端设备和用户面网元之间的安全通信方法,该方法通过终端设备向移动管理网元发送第一请求消息,由于第一请求消息用于请求移动管理网元为终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥。这样便于移动管理网元为终端设备分配第一信息,该第一信息用于确定终端设备与第一用户面网元通信的加密密钥和/或完整性保护密钥。这样在后续数据传输过程中,终端设备可以根据获取到第一信息确定加密密钥,并基于加密密钥加密向第一用户面网元发送的待发送数据,采用完整性保护密钥对向第一用户面网元发送的待发送数据进行完整性保护,从而提高终端设备和第一用户面网元之间安全通信的可靠性。这样终端设备移动后或者从激活态转入非激活态或空闲态后便可以在未建立rrc连接的状态下,解决终端设备与用户面网元之间的数据交互时的加密和完整性保护的问题。
应理解,本申请实施例中,对于发送端(例如,终端设备)而言,加密密钥用于加密待发送数据。对于接收端(例如,第一用户面网元)而言加密密钥用于解密加密数据。
加密密钥可以基于终端设备的nas层密钥进行衍生。情况1):当加密密钥是终端设备粒度的,那么该加密密钥可能是基于该终端设备的核心网密钥(例如lte系统中的接入安全管理实体(accesssecuritymanagemententity,asme)根密钥(kasme)或nr系统中的amf根密钥(kamf))以及终端设备粒度的密钥新鲜性参数counter值衍生。也可以是根据nas层完整性保护密钥(例如,knasint)和nas层加密密钥(knasenc)以及counter值分别进行衍生。情况2):当加密密钥是网络切片粒度的,那么该加密密钥衍生在情况1)的基础上还要增加第一网络切片的标识信息(即s-nssai)进行衍生。对于完整性保护密钥,其生成方式和加密密钥类似。
应理解,步骤603中的加密密钥与上述第一信息匹配,即第一用户面网元可以通过加密密钥解密终端设备采用第一信息确定的加密密钥加密的待发送数据。
对于终端设备粒度的第一信息,本申请实施例中的步骤603可以通过以下方式实现:移动管理网元向第一用户面网元发送第一标识以及加密密钥和/或完整性保护密钥。对于网络切片粒度的第一信息,本申请实施例中的步骤603具体可以通过以下方式实现:移动管理网元向第一用户面网元发送第一标识、第一网络切片的标识信息、加密密钥和/或完整性保护密钥。
对于终端设备粒度的第一信息,移动管理网元为终端设备分配第一信息。这样该终端设备的不同网络切片关联的数据,均可以采用通过第一信息确定的加密密钥加密以及完整性保护密钥进行完整性保护。
对于网络切片粒度的第一信息,以终端设备具有网络切片1和网络切片2为例,移动管理网元为终端设备分配与网络切片1关联的第一信息1,以及与网络切片2关联的第一信息2。这样终端设备对于每个网络切片的数据采用每个网络切片各自的第一信息确定的加密密钥加密,以及完整性保护密钥进行完整性保护。
本申请实施例中还可为终端设备分配第一标识,该第一标识用于第一用户面网元识别终端设备。由于第一标识可以由第一无线接入网设备或移动管理网元为终端设备分配,但是分配第一标识的过程存在差异,因此下述将分别介绍:
示例1-1)、第一标识由第一无线接入网设备为终端设备分配
在示例1-1)中,第一请求消息中还携带第一标识,第一标识用于第一用户面网元识别终端设备。如图7所示,本申请实施例提供的方法在步骤601之前还包括:
步骤604、终端设备向第一无线接入网设备发送第三请求消息,以使得第一无线接入网设备接收来自终端设备的第三请求消息。该第三请求消息用于请求第一无线接入网设备为终端设备分配用于第一用户面网元识别终端设备的标识。
示例性的,终端设备可以通过rach过程请求第一无线接入网设备为终端设备分配用于第一用户面网元识别终端设备的标识。
例如,终端设备向第一无线接入网设备发送特定的前导序列(preamble)或第二指示。该第二指示用于指示终端设备后续要通过与网络切片关联的drb向第一用户面网元发送数据。这样第一无线接入网设备收到前导序列或第二指示后便可以确定为终端设备分配一个用于终端设备和第一用户面网元进行安全通信时,便于让第一用户面网元识别该终端设备的标识。
步骤605、第一无线接入网设备在随机接入过程中向终端设备发送第一无线接入网设备为终端设备分配的第一标识,以使得终端设备在随机接入过程中接收来自第一无线接入网设备为终端设备分配的第一标识。
示例性的,第一无线接入网设备可以通过rach过程的随机接入响应(randomaccessresponse,rar),也称为消息二(msg2)或冲突解决消息(也可以称为msg4)向终端设备发送第一标识。
一种可能的示例:第一标识可以包括plmnid、新制式小区全球标识(newradiocellglobalidentifier,ncgi)/物理小区标识(physicalcellidentity,pci)、终端设备的标识。
另一种可能的示例:第一标识可以包括:ncgi/pci和终端设备的标识。终端设备的标识用于识别终端设备。
需要说明的是,第一无线接入网设备在接收到携带第一标识和第一网络切片的标识信息的第一请求消息后,第一无线接入网设备在向移动管理网元转发该第一请求消息时,在给移动管理网元的第一条消息即initialuemessage中包含第一标识和第一网络切片的标识信息。如果第一请求消息中还携带第一标识,则移动管理网元发起认证流程以及nas安全模式命令(securitymodecommand,smc)流程。移动管理网元在发起认证流程时携带第一无线接入网设备在第一条消息中携带第一标识,以便第一无线接入网设备识别第一标识确定的终端设备。
在示例1-1)中,步骤602具体可以通过以下方式实现:移动管理网元通过第一无线接入网设备向终端设备发送nas层注册接受消息。其中,nas层注册接受消息中包括第一信息。此外,移动管理网元在移动管理网元和第一无线接入网设备之间的ng接口消息中包含第一标识以及nas层注册接受消息,以便于第一无线接入网设备根据第一标识找到对应的终端设备。
示例1-2)、第一标识由移动管理网元为终端设备分配
在示例1-2)中,该第一请求消息中可以携带终端设备的标识。
示例性的,本申请实施例中的终端设备的标识可以为以下一个或者多个:网际协议地址(internetprotocol,ip)、签约永久标识(subscriptionpermanentidentifier,supi)、永久设备标识(permanentequipmentidentifier,pei)、通用公共签约标识(genericpublicsubscriptionidentifier,gpsi)、国际移动用户标识符(internationalmobilesubscriberidentifier,imsi)、国际移动设备标识(internationalmobileequipmentidentity,imei)、ip地址或移动台国际综合业务数字网络号码(mobilestationinternationalintegratedservicedigitalnetworknumber,msisdn)。下述实施例中但凡涉及到终端设备的标识均可以参考此处的描述,后续不再赘述。
如图8所示,本申请实施例提供的方法还包括:
步骤606、移动管理网元确定为终端设备分配的第一标识。
需要说明的是,在示例2)中,在步骤601之前,本申请实施例提供的方法还包括:终端设备执行rach过程接入第一无线接入网设备,终端设备在rach过程向第一无线接入网设备发送msg1或msg3。其中,msg1或msg3中携带第三指示,该第三指示用于指示终端设备后续将通过与网络切片关联的drb或者第一网络切片关联的drb向第一无线接入网设备发送数据。也即第三指示用于指示终端设备后续希望通过特定网络切片的drb进行数据传输,可以不指出具体的网络切片的标识信息。
其中,随机接入前导(randomaccesspreamble),也称为消息一(message1,msg1)或根据msg2的指示在分配的上行资源通过数据信道(例如,物理上行共享信道(physicaluplinksharedchannel,pusch))发送上行消息,也称为消息三(msg3)。
相应的,在示例2)中,第一无线接入网设备在向移动管理网元转发第一请求消息时,在第一条消息即initialuemessage中包括第一无线接入网设备为终端设备分配的第三标识(例如第一无线接入网设备侧ng接口终端设备标识),第一指示,还可以包含ncgi或pci,plmn等信息。移动管理网元发起认证流程以及nassmc流程,移动管理网元在发起认证流程时携带第一无线接入网设备在第一条消息中携带的第三标识,以便第一无线接入网设备识别第二标识确定的终端设备。
具体的,本申请实施例中的步骤606可以通过以下方式实现:移动管理网元根据第一无线接入网设备发送的ncgi,plmn等信息为终端设备分配第一标识。具体的,第一标识的内容可以参考示例1-1)中的描述,此处不再赘述。
步骤607、移动管理网元向终端设备发送第一标识,以使得终端设备接收来自移动管理网元的第一标识。
为了节约信令开销,该第一标识可以随第一信息一起发送给终端设备。也即该第一标识也可以携带在nas层注册接受消息中。
作为本申请的另一个实施例,结合图7或图8,本申请实施例提供的方法在步骤603之后,还可以包括:
步骤608、终端设备根据加密密钥对待发送数据进行加密,得到加密数据。待发送数据与第一网络切片关联。
应理解,终端设备还可以根据完整性保护密钥对待发送数据进行完整性保护,得到对应的数据。
其中,待发送数据与第一网络切片关联指:该待发送数据需要通过第一网络切片对应的用户面隧道进行传输。例如通过第一网络切片对应的drb发往第一无线接入网设备,待接入网设备接收到待发送数据后识别待发送数据对应的第一网络切片的标识信息,再通过第一网络切片对应的用户面隧道发往第一用户面网元。
以第一信息为终端设备粒度的为例,本申请实施例提供的方法在步骤608之前还包括:终端设备根据第一信息,确定加密密钥和/或完整性保护密钥。
示例性的,结合上述示例1),终端设备根据第一信息,确定加密密钥和/或完整性保护密钥,包括:终端设备根据通信密钥,生成终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
示例性的,结合上述示例2),终端设备根据第一信息,确定加密密钥和/或完整性保护密钥,包括:终端设备根据counter、原始密钥(例如kgnb或knas)生成通信密钥。终端设备根据通信密钥生成终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
示例性的,结合上述示例3),如果第一信息为加密密钥和/或完整性保护密钥,则终端设备可以直接将其作为终端设备和第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
示例性的,结合上述示例4),终端设备根据第一信息,确定加密密钥和/或完整性保护密钥,包括:终端设备根据counter,并结合kgnb或knas直接生成加密密钥和/或完整性保护密钥。
以第一信息为网络切片粒度的为例,本申请实施例提供的方法在步骤612之前还包括:终端设备根据第一信息,以及第一网络切片的标识信息确定加密密钥。
示例性的,原始密钥可以为kamf或knas。其中,knas表示终端设备和移动管理网元之间进行信令交互时,加密信令所使用的密钥或者对信令进行完整性保护的密钥。knas包含nas层完整性保护密钥knasint和nas层加密密钥knasenc,可以分别根据knasint生成终端设备和第一用户面网元之间的完整性保护密钥,根据knasenc生成终端设备和第一用户面网元之间的加密密钥。
步骤609、终端设备通过数据无线承载向第一无线接入网设备发送加密数据,以使得第一无线接入网设备通过数据无线承载接收来自终端设备的加密数据。
其中,数据无线承载与第一网络切片关联。
作为一种可能的实现方式,本申请实施例提供的方法在步骤609之前还包括:第一无线接入网设备向终端设备发送第一网络切片关联的drb的配置信息。终端设备根据第一网络切片关联的drb的配置信息,配置第一网络切片关联的drb。
例如第一无线接入网设备广播系统消息,系统消息中包含第一网络切片的标识信息,以及第一网络切片对应的drb的配置信息。
示例性的,第一网络切片关联的drb的配置信息包括:drb的标识信息,逻辑信道(logicchannel,lc)标识(id)以及对应的pdcp协议层/rlc协议层/mac协议层/phy协议层配置(可能不包含pdcp层配置)。终端设备读取后不需要经过rrc连接建立和rrc重配置过程,即可直接根据drb的配置信息配置第一网络切片关联的drb。相应地,终端设备将在加密数据中携带第一网络切片关联的逻辑信道标识lcid。第一无线接入网设备接收后,可以根据逻辑信道标识识别出对应的drb,从而识别出对应的第一网络切片的标识信息。或者直接根据逻辑信道标识识别对应的第一网络切片的标识信息。
为了使得第一用户面网元可以识别加密数据来自终端设备,本申请实施例中封装加密数据的第一协议层包头中携带第一标识。
本申请实施例中可以由终端设备对加密数据进行封装使得封装加密数据的第一协议层包头中携带第一标识,也可以由第一无线接入网设备对加密数据进行封装使得封装加密数据的第一协议层包头中携带第一标识。下述将分别介绍:
示例2-1)、由终端设备对加密数据进行封装使得加密数据的第一协议层包头中携带第一标识。
示例a)、第一协议层可以为pdcp协议层。
注意:加密数据指的是对待发送数据采用加密密钥加密。终端设备得到加密数据后需要在加密数据外面依次封装pdcp协议层包头、rlc协议层包头、mac协议层包头、phy协议层包头,得到被封装的加密数据。然后,终端设备通过与第一网络切片关联的drb向第一无线接入网设备发送被封装的加密数据。
在该示例a)中,加密数据的pdcp协议层包头中携带第一标识。
示例b)、第一协议层可以为pdcp协议层和adapt(适配)层,即终端设备和第一用户面网元之间具有端到端的adapt(适配)层,或者pdcp协议层。
终端设备得到加密数据后需要在加密数据外面封装pdcp协议层包头,第一协议层包头,rlc协议层包头,mac协议层包头,phy协议层包头。然后,终端设备通过与第一网络切片关联的drb向第一无线接入网设备发送被封装的加密数据。在该示例b)中,第一协议层为适配层。也即加密数据的适配层头或pdcp协议层包头中携带第一标识。
在示例2-1)中,本申请实施例中的步骤609还可以通过以下方式替代:终端设备在第一时频资源上向第一无线接入网设备发送加密数据,以使得第一无线接入网设备在第一时频资源上接收来自终端设备的加密数据。
在示例2-1)中第一无线接入网设备向终端设备发送第一网络切片的标识信息,以及第一网络切片对应的第一时频资源。
例如,第一无线接入网设备广播系统消息。该系统消息中包含第一网络切片的标识信息,以及第一网络切片对应的第一时频资源。或者系统消息中包含第一网络切片的标识信息,以及第一网络切片对应的drb的配置信息,以及第一网络切片对应的第一时频资源。
后续当终端设备发送第一网络切片关联的待发送数据时,通过第一网络切片关联的第一时频资源发送加密后的待发送数据。第一无线接入网设备通过第一时频资源接收加密数据后,根据第一时频资源识别加密数据关联的第一网络切片。从而第一无线接入网设备可以通过第一网络切片关联的用户面隧道向第一用户面网元发送加密数据。或者终端设备直接在加密数据中包含第一网络切片的标识信息,第一无线接入网设备获取第一网络切片的标识信息后,可以直接通过第一网络切片关联的用户面隧道向第一用户面网元发送加密数据。或者第一无线接入网设备在去除加密数据中包含的第一网络切片的标识信息后,直接通过第一网络切片关联的用户面隧道向第一用户面网元发送处理后的加密数据。
应理解,第一时频资源为上行时频资源,也可以称为共享时频资源,也即第一无线接入网设备为第一网络切片分配第一时频资源,当一个或多个终端设备需要通过第一网络切片传输待发送数据时,该多个终端设备需要通过竞争方式获取第一时频资源。
示例2-2)、由终端设备对加密数据进行封装,但是封装后加密数据不携带第一标识。
在示例2-2)中,终端设备对加密数据进行封装的具体过程可以参考示例2-1)中的描述,区别在于,在示例2-2)中封装后的加密数据不携带第一标识。
相应的,在示例2-2)中,本申请实施例中的步骤609具体可以通过以下方式实现:终端设备通过数据无线承载在第二时频资源上向第一无线接入网设备发送加密数据。或者步骤609可以通过以下方式替代:终端设备在第二时频资源上向第一无线接入网设备发送加密数据。
终端设备在rach过程中向第一无线接入网设备发送第一标识,例如终端设备在msg1或msg3中包含第一标识,第一无线接入网设备在msg2或msg4中携带为该终端设备分配的第二标识,以及第二时频资源。其中第二标识用于第一无线接入网络识别终端设备,例如第二标识为temp-crnti。后续第一无线接入网设备根据加密数据关联的temp-crnti,再根据第一标识和第二标识的关系,识别加密数据关联的第一标识。或者终端设备在加密数据中包含第一标识,第一无线接入网设备获取第一标识后,将加密数据发往第一用户面网元。或者第一无线接入网设备在去除加密数据中包含的第一标识后,将处理后的加密数据发往第一用户面网元。
为了让第一无线接入网设备识别来自终端设备的加密数据所关联的第一网络切片。一种可行的方法是终端设备向第一无线接入网设备发送第一网络切片的标识信息,例如终端设备在msg1或msg3中包含第一网络切片的标识信息。后续第一无线接入网设备收到终端设备发送的加密数据后,将加密数据通过第一网络切片关联的用户面隧道发送给第一用户面网元。另一种可行的方法是,终端设备直接在加密数据中包含第一网络切片的标识信息,第一无线接入网设备获取第一网络切片的标识信息后,可以直接通过第一网络切片关联的用户面隧道向第一用户面网元发送上行数据包。或者第一无线接入网设备在去除加密数据中包含的第一网络切片的标识信息后,直接通过第一网络切片关联的用户面隧道向第一用户面网元发送处理后的加密数据。
具体的,对于示例2-1)、如果终端设备采用第一网络切片关联的drb发送加密数据,则第一无线接入网设备可以根据第一网络切片关联的drb识别第一网络切片。如果终端设备通过数据无线承载在第一时频资源上向第一无线接入网设备发送加密数据,则第一无线接入网设备可以根据第一时频资源和第一网络切片之间的关系,识别该加密数据对应的第一网络切片的标识信息。
具体的,对于示例2-2)、如果终端设备通过数据无线承载在第二时频资源上向第一无线接入网设备发送加密数据,则第一无线接入网设备可以根据第二时频资源,识别该加密数据对应的第一标识。例如根据第二时频资源和第二标识的对应关系,以及第二标识和第一标识的对应关系,实现根据第二时频资源识别对应的第一标识的目的。
步骤610、第一无线接入网设备在第一网络切片关联的用户面隧道上向第一用户面网元发送加密数据。以使得第一用户面网元在与第一网络切片关联的用户面隧道上接收加密数据。加密数据包括用于识别终端设备的第一标识。
结合示例2-1),作为本申请的一种可能的实现方式,本申请实施例中的步骤610具体可以通过以下方式实现:
对应于示例a)、第一无线接入网设备收到加密数据后,去掉phy协议层包头,mac协议层包头以及rlc协议层包头。第一无线接入网设备在第一网络切片关联的用户面隧道上向第一用户面网元发送携带pdcp协议层包头的加密数据,以便于第一用户面网元从携带pdcp协议层头的加密数据中确定第一标识。
对应于示例b)、第一无线接入网设备收到加密数据后,去掉phy协议层包头,mac协议层包头,rlc协议层包头,以及pdcp协议层包头。第一无线接入网设备在第一网络切片关联的用户面隧道上向第一用户面网元发送携带适配层头的加密数据,以便于第一用户面网元从携带适配层头的加密数据中确定第一标识。
应理解,在示例2-1)下,如果第一无线接入网设备不识别第一标识。如图9所示,即来自终端设备的加密数据发送至第一无线接入网设备之后,第一无线接入网设备解封装加密数据,以得到携带pdcp协议层包头的加密数据,或者携带适配层头的加密数据,此时第一无线接入网设备并不识别第一标识,由于第一无线接入网设备可以根据drb确定第一网络切片的标识信息,或者根据第一时频资源确定第一网络切片的标识信息,因此,在示例2-1)中,一旦,第一无线接入网设备识别第一网络切片的标识信息之后,便通过第一网络切片关联的用户面隧道向第一用户面网元发送解封装得到的携带pdcp协议层包头的加密数据,或者携带适配层头的加密数据。
结合示例2-2),作为本申请的一种可能的实现方式,本申请实施例中的步骤610具体可以通过以下方式实现:
由于终端设备通过第二时频资源发送加密数据,这时第一无线接入网设备便可以根据第二时频资源确定加密数据关联的第一标识。
第一无线接入网设备去掉加密数据携带的phy协议层包头,mac协议层包头,rlc协议层包头,pdcp协议层包头。第一无线接入网设备采用用户面隧道包头(例如,gtp-u)封装去掉包头的加密数据。第一无线接入网设备在第一网络切片关联的用户面隧道上向第一用户面网元发送携带用户面隧道包头的加密数据。其中,用户面隧道包头中携带第一标识。
例如,终端设备可以在rach过程中上报之前注册过程中核心网设备为其分配的第一标识,或者其他第一无线接入网设备为其分配的第一标识。接着第一无线接入网设备在回复消息中给终端设备分配第二标识。从而第一无线接入网设备获得终端设备的第一标识和第二标识的映射关系。后续第一无线接入网设备可以根据上行数据关联的第二标识,识别出对应的第一标识。从而第一无线接入网设备在通过第一网络切片的标识信息对应的用户面隧道转发加密数据时,在gtp-u头中携带第一标识。
应理解,如图10所示,如果第一无线接入网设备识别第一标识,即来自终端设备的加密数据发送至第一无线接入网设备之后,第一无线接入网设备识别第一标识,然后在gtp-u头中增加第一标识,以便第一用户面网元根据gtp-u头中携带的第一标识找到对应的加密密钥进行解密。
步骤611、第一用户面网元采用与第一标识关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据。
可以理解的是,第一用户面网元接收到加密数据后,可以采用下述方式a~方式c识别加密数据中的第一标识。
方式a、如果加密数据的pdcp协议层包头中携带第一标识,则第一用户面网元解封装加密数据,以从pdcp协议层包头中得到第一标识。
方式b、如果加密数据的第一协议层包头中携带第一标识,则第一用户面网元解封装加密数据,以从第一协议层包头中得到第一标识。
方式c、如果加密数据的用户面隧道包头中携带第一标识,则第一用户面网元解封装加密数据,以从用户面隧道包头中得到第一标识。
应理解,如果终端设备采用终端设备粒度的第一信息得到加密数据,则第一用户面网元采用与第一标识关联的加密密钥对加密数据进行解密,以及采用与第一标识关联的完整性保护密钥对加密数据进行完整性验证。
如果终端设备采用网络切片粒度的第一信息得到加密数据,则步骤611具体可以通过以下方式实现:第一用户面网元采用与第一标识以及第一网络切片的标识信息关联的加密密钥对加密数据进行解密,得到来自终端设备的待发送数据,以及采用与第一网络切片关联的完整性保护密钥对加密数据进行完整性验证。
也即,对于网络切片粒度的第一信息,本申请实施例提供的方法还包括:第一用户面网元根据第一网络切片关联的用户面隧道,确定第一网络切片的标识信息。
假设在一定区域内,同一个网络切片连接到一个用户面网元,同一个网络切片在不同网络切片连接至不同用户面网元。如图11所示,当终端设备移动跨越不同区域,也即终端设备从第一无线接入网设备覆盖的第一区域移动至第二无线接入网设备覆盖的第二区域时,第一网络切片对应的用户面网元可能从第一用户面网元变为第二用户面网元。因此终端设备需要通知移动管理网元向第二用户面网元发送该终端设备的加密密钥和/或完整性保护密钥。基于此,作为本申请的在一个实施例,继续参考图12,本申请实施例提供的方法还包括:
步骤612、终端设备确定第一网络切片所在的区域由第一区域变为第二区域。
其中,在第一区域中第一网络切片对应第一用户面网元,在第二区域中第一网络切片对应第二用户面网元。
步骤613、终端设备向移动管理网元发送第一通知消息,以使得移动管理网元接收第一通知消息。该第一通知消息用于通知移动管理网元确定终端设备和第二用户面网元之间的加密密钥。
作为一种可能的实现方式,本申请实施例提供的方法在步骤612之前,还可以包括:
步骤614、第二无线接入网设备至少广播第一网络切片在第二区域(area)的区域标识,以使得终端设备接收来自第二无线接入网设备的第一网络切片对应的在第二区域的区域标识;在第二区域中第一网络切片对应第二用户面网元。
相应的,步骤612具体可以通过以下方式实现:第一网络切片对应的在第一区域的区域标识与第一网络切片对应的在第二区域的区域标识不同,终端设备确定第一网络切片所在的区域由第一区域变为第二区域。
应理解,第二无线接入网设备还可以广播除第一网络切片外的其他网络切片在第二区域的区域标识。
例如,第二无线接入网设备广播第一网络切片的标识信息,以及对应的区域标识。
一种可能实现:在第二区域内的所有网络切片具有相同的areaid。另一种可能,第一网络切片所在第二区域内的不同网络切片具有不同的areaid。例如第二无线网络接入网设备广播第一网络切片的标识信息,第二网络切片的标识信息,以及第一网络切片对应的区域标识1,第二网络切片对应的区域标识2。或者第一无线接入网设备广播第一网络切片的标识信息以及对应的区域标识1,和第二网络切片的标识信息以及对应的区域标识2。
例如,终端设备开始在第一无线接入网设备的覆盖范围内的第一区域,接收到第一无线接入网设备广播的第一网络切片的标识信息以及对应的区域标识a。接着终端设备移动到第二无线接入网设备的覆盖范围内的第二区域,接收到第二无线接入网设备广播的第一网络切片的标识信息以及对应的区域标识b。终端设备对比发现第一网络切片关联的区域标识发生变化。
示例性的,如果第一无线接入网设备位于第一区域,则第一无线接入网设备广播第一网络切片对应的在第一区域的区域标识。
作为一种可选的实现方式,第一通知消息中包括第一标识、第一网络切片的标识信息。
具体的,终端设备发现第一网络切片对应的areaid改变时触发通知移动管理网元的流程。终端设备首先通过rach过程,在msg1或msg3上报第一标识。终端设备根据在areaid改变时是否改变第一标识,分为以下两种情况。
case1:终端设备在areaid改变时不改变第一标识
一种可能的方式是,终端设备通过第二无线接入网设备向移动管理网元发送nas消息。其中,nas消息中携带areachange消息(即第一通知消息)。其中,areachange消息包括第一标识,第一网络切片的标识信息等。或者,areachange消息中包括第四指示,第四指示用于指示确定终端设备和第二用户面网元之间的加密密钥和/或完整性保护密钥。
另一种可能的方式是,终端设备向第二无线接入网设备发送区域改变指示(areachangeindication)以及第一网络切片的标识信息。第二无线接入网设备向移动管理网元发送areachangeindication,第一标识以及第一网络切片的标识信息。areachangeindication用于指示移动管理网元确定终端设备和第二用户面网元之间的加密密钥和/或完整性保护密钥。
case2:终端设备在areaid改变时改变第一标识
一种可能的方式是,终端设备通过第二无线接入网设备向移动管理网元发送nas消息。其中,nas消息中携带areachange消息。areachange消息里面包含第一标识,第一网络切片的标识信息等。移动管理网元收到后为终端设备重新分配第一标识,并对加密密钥和/或完整性保护密钥进行更新。之后移动管理网元通过第二无线接入网设备将新的第一标识发送给终端设备,例如通过nas消息将新的第一标识发送给终端设备。可选地,移动管理网元还可以给终端设备发送更新后的第一信息,以便终端设备确定终端设备和第二用户面网元之间通信采用的加密密钥和/或完整性保护密钥。具体地,第二无线接入网设备在ng接口消息中携带第一无线接入网设备为终端设备分配的标识,或者第一标识)以及nas消息。移动管理网元可以在移动管理网元和第一无线接入网设备之间的ng接口消息中包含第一无线接入网设备为终端设备分配的标识,新的第一标识以及给终端设备的nas消息。
需要说明的是,如果终端设备从第一区域移动至第二区域,移动管理网元也发生了变化,则第一区域中的移动管理网元需要将终端设备的上下文发送至第二区域中的移动管理网元,以使得第二区域中的移动管理网元执行步骤615。
步骤615、移动管理网元向第二用户面网元发送终端设备的加密密钥和/或完整性保护密钥。
针对case1,移动管理网元接收到第一通知消息后,采用上述步骤603处的描述方式对终端设备的加密密钥进行更新,例如将原有的counter值加1对终端设备的加密密钥进行更新,并根据第一网络切片的标识信息确定第二用户面网元。移动管理网元向第二用户面网元发送第一标识以及终端设备和第二用户面网元之间通信的加密密钥。或者,移动管理网元向第二用户面网元发送第一标识,以及第一网络切片关联的终端设备和第二用户面网元之间通信的解密密钥。终端设备侧可以自行更新counter值以及对应的加密密钥。对于完整性保护密钥,类似处理。
针对case2,移动管理网元根据第二无线接入网设备所在的第二areaid或者根据第二areaid和第一网络切片的标识信息确定第二用户面网元,将新的第一标识和终端设备和第二用户面网元之间通信的加密密钥发送给第二用户面网元。如果终端设备和第二用户面网元之间通信的加密密钥是网络切片粒度的,则移动管理网元将第一标识、第一网络切片的标识信息和终端设备和第二用户面网元之间通信的解密密钥的对应关系发送给第二用户面网元。对于完整性保护密钥,类似处理。
需要说明的是,上述实施例主要描述了上行传输过程中,终端设备如何向第一用户面网元发送加密数据的过程,可以理解的是,在下行传输过程中,第一用户面网元采用第一标识(或第一网络切片)关联的加密密钥对下行数据进行加密,得到下行加密数据(携带第一标识),然后第一用户面网元通过第一网络切片关联的用户面隧道将下行加密数据发送至第一无线接入网设备,第一无线接入网设备可以采用第一网络切片关联的drb/下行时频资源向终端设备发送下行加密数据。终端设备采用第一标识(或第一网络切片)关联的加密密钥对下行加密数据进行解密,得到下行数据。为了使得终端设备可以识别第一标识,第一用户面网元也可以在下行加密数据的第一协议层包头中携带第一标识。或者第一用户面网元也可以在下行加密数据的用户面隧道包头中携带第一标识,以由第一无线接入网设备识别第一标识后,采用第一标识关联的下行时频资源将下行加密数据发送至终端设备。
如图13所示,本申请实施例提供一种通信方法,该方法包括:
步骤1101、终端设备确定第一网络切片关联的上行时频资源信息。上行时频资源信息用于确定上行时频资源的位置。
第一网络切片为终端设备包括的一个或多个网络切片中的任一个。
步骤1102、终端设备在第一网络切片关联的上行时频资源上向无线接入网设备发送第一网络切片关联的数据,以使得无线接入网设备在第一网络切片关联的上行时频资源信息上接收来自终端设备的数据。
具体的,步骤1102可以通过以下方式实现:终端设备在第一数据无线承载上利用第一网络切片关联的上行时频资源上向无线接入网设备发送第一网络切片关联的数据,以便于无线接入网设备在第一数据无线承载通过上行时频资源接收来自第一网络切片关联的数据。第一数据无线承载与第一网络切片关联。
步骤1103、无线接入网设备在第一网络切片关联的用户面隧道向用户面网元发送来自终端设备的数据,以使得用户面网元在第一网络切片关联的用户面隧道上接收来自终端设备的数据。
本申请实施例中,终端设备可以通过无线接入网设备确定第一网络切片关联的上行时频资源信息。因此,在步骤1101之前,该方法还包括:步骤1100、无线接入网设备向终端设备发送第一消息。该第一消息包括:第一网络切片的标识信息,以及第一网络切片关联的上行时频资源信息。这样步骤1101具体可以通过以下方式实现:终端设备根据第一消息确定第一网络切片关联的上行时频资源信息。如果终端设备可以通过其他方式确定第一网络切片关联的上行时频资源信息时,步骤1100则可以省略。
如图14所示,本申请实施例提供一种通信方法,该方法包括:
步骤1201、移动管理网元向无线接入网设备发送一个或多个网络切片中每个网络切片对应的公钥,以使得无线接入网设备接收来自移动管理网元的每个网络切片对应的公钥。其中,一个网络切片对应的公钥用于终端设备对该网络切片关联的待发送数据进行加密。
例如,网络切片1对应公钥1,网络切片2对应公钥2,则终端设备采用公钥1加密网络切片1关联的待发送数据。终端设备采用公钥2加密网络切片2关联的待发送数据。
例如,移动管理网元在ngsetuprequest或者amfconfigurationupdate或者ranconfigurationupdateacknowledge消息中包含每个网络切片的标识信息以及每个网络切片各自对应的公钥。
步骤1202、移动管理网元向每个网络切片各自对应的用户面网元发送每个网络切片各自对应的私钥,以使得每个网络切片各自对应的用户面网元接收来自移动管理网元的各自服务的网络切片对应的私钥。一个网络切片对应的私钥用于该网络切片对应的用户面网元对来自终端设备采用公钥加密的待发送数据进行解密。
例如,网络切片1对应私钥1,则用户面网元采用私钥1对采用公钥1加密的网络切片1关联的待发送数据进行解密,得到网络切片1关联的待发送数据。
示例性的,移动管理网元向smf网元发送每个网络切片各自的标识信息以及每个网络切片各自对应的私钥,smf网元向每个网络切片各自对应的用户面网元发送每个网络切片各自的标识信息以及每个网络切片各自对应的私钥。
例如,移动管理网元向网络切片1对应的用户面网元发送网络切片1对应的私钥。移动管理网元向网络切片2对应的用户面网元发送网络切片2对应的私钥。
步骤1203、无线接入网设备向终端设备发送第三消息。该第三消息中携带每个网络切片对应的公钥。示例性的,第三消息可以为系统消息。
在步骤1203之后,终端设备在发送第一网络切片关联的待发送数据时,根据该第一网络切片对应的公钥对待发送数据进行加密。第一用户面网元根据第一网络切片关联的用户面隧道接收到上行数据后,根据第一网络切片对应的私钥进行解密。第一网络切片为一个或多个网络切片中的任一个网络切片。
作为一种可能的实现方式,同一个网络切片在不同区域对应的公钥不同,同一个网络切片在不同区域对应的私钥不同。例如,网络切片1在区域1对应公钥1和私钥1。网络切片1在区域2对应公钥2和私钥2。区域1和区域2由不同的无线接入网设备覆盖。这样在图14所示的方案中,终端设备在区域1时,使用公钥1加密网络切片1关联的数据,得到加密数据1。终端设备通过区域1的接入网设备向区域1内网络切片1对应的用户面网元1发送加密数据1。这样用户面网元1可采用私钥1解密加密数据1。当终端设备从区域1移动至区域2,则可以从区域2中的无线接入网设备处获取网络切片1对应的公钥2,并使用公钥2加密网络切片1关联的数据,得到加密数据2。如果区域2中网络切片1对应的用户面网元2接收到加密数据2,用户面网元2采用私钥2解密加密数据2,以得到网络切片1关联的数据。这样当终端设备移动导致用户面网元发生变化时,终端设备可以执行更换公钥。
上述主要从各个网元之间交互的角度对本申请实施例的方案进行了介绍。可以理解的是,各个网元,例如终端设备、无线接入网设备等为了实现上述功能,其包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例终端设备、无线接入网设备进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
上面结合图6至图14,对本申请实施例的方法进行了说明,下面对本申请实施例提供的执行上述方法的终端设备和用户面网元之间的安全通信、通信装置进行描述。本领域技术人员可以理解,方法和装置可以相互结合和引用,本申请实施例提供的发送终端设备和用户面网元之间的安全通信装置、通信装置可以执行上述发送终端设备和用户面网元之间的安全通信的方法中由终端设备、网络设备执行的步骤。
下面以采用对应各个功能划分各个功能模块为例进行说明:
在采用集成的单元的情况下,图15示出了上述实施例中所涉及的一种通信装置,该通信装置可以包括:通信单元102。可选的,该通信装置还可以包括处理单元101。
示例2-1,该通信装置为终端设备,或者为应用于终端设备中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由终端设备执行图6中的步骤601,以及步骤602中终端设备接收的步骤。
在一种可能的实施例中,通信单元102,还用于支持该通信装置执行上述实施例中由终端设备执行的步骤604、步骤605、步骤607、步骤609。
在一种可能的实施例中,该通信装置,还可以包括:处理单元101,还用于支持通信装置执行上述实施例中由终端设备执行的步骤608、步骤612。通信单元102,还用于支持通信装置执行上述实施例中由终端设备执行的步骤613、步骤614。
示例2-2,该通信装置为终端设备,或者为应用于终端设备中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由终端设备执行的步骤1102。处理单元101,用于支持该通信装置执行上述实施例中由终端设备执行的步骤1102。
示例2-3,该通信装置为移动管理网元,或者为应用于移动管理网元中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由移动管理网元执行的步骤601、步骤602、步骤603。
在一种可能的实施例中,该通信装置还可以包括:处理单元101,用于支持通信装置执行上述实施例中由移动管理网元执行的步骤606。通信单元102,还用于支持通信装置执行上述实施例中由移动管理网元执行的步骤607、步骤613、步骤615。
示例2-4,该通信装置为移动管理网元,或者为应用于移动管理网元中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由移动管理网元执行的步骤1201、步骤1202。
示例2-5,该通信装置为第一无线接入网设备,或者为应用于第一无线接入网设备中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由第一无线接入网设备执行的步骤609、以及步骤610。处理单元101用于支持该通信装置执行上述实施例中由第一无线接入网设备执行的处理的步骤。
在一种可能的实现方式中,通信单元102,用于支持该通信装置执行上述实施例中由无线接入网设备执行的步骤604、步骤605。
示例2-6,该通信装置为第一用户面网元,或者为应用于第一用户面网元中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤610。处理单元101,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤611。
在一种可能的实现方式中,通信单元102,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤613。
示例2-7,该通信装置为无线接入网设备,或者为应用于无线接入网设备中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由无线接入网设备执行的步骤1203。
示例2-8,该通信装置为无线接入网设备,或者为应用于无线接入网设备中的芯片。在这种情况下,通信单元102,用于支持该通信装置执行上述实施例中由无线接入网设备执行的步骤1102以及步骤1103。
在采用集成的单元的情况下,图16示出了上述实施例中所涉及的通信装置的一种可能的逻辑结构示意图。该通信装置包括:处理模块112和通信模块113。处理模块112用于对通信装置的动作进行控制管理,例如,处理模块112用于执行在通信装置进行信息/数据处理的步骤。通信模块113用于支持通信装置进行信息/数据发送或者接收的步骤。
在一种可能的实施例中,通信装置还可以包括存储模块111,用于存储通信装置可的程序代码和数据。
示例3-1,该通信装置为终端设备,或者为应用于终端设备中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由终端设备执行步骤601,以及步骤602中终端设备接收的步骤。
在一种可能的实施例中,通信模块113,还用于支持该通信装置执行上述实施例中由终端设备执行的步骤604、步骤605、步骤607、步骤609。
在一种可能的实施例中,该通信装置,还可以包括:处理模块112,还用于支持通信装置执行上述实施例中由终端设备执行的步骤608、步骤612。通信模块113,还用于支持通信装置执行上述实施例中由终端设备执行的步骤613、步骤614。
示例3-2,该通信装置为终端设备,或者为应用于终端设备中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由终端设备执行的步骤1101。处理模块112,用于支持该通信装置执行上述实施例中由终端设备执行的步骤1102。
示例3-3,该通信装置为移动管理网元,或者为应用于移动管理网元中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由移动管理网元执行的步骤601、步骤602、步骤603。
在一种可能的实施例中,该通信装置还可以包括:处理模块112,用于支持通信装置执行上述实施例中由移动管理网元执行的步骤606。通信模块113,还用于支持通信装置执行上述实施例中由移动管理网元执行的步骤607、步骤613、步骤615。
示例3-4,该通信装置为移动管理网元,或者为应用于移动管理网元中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由移动管理网元执行的步骤1201、步骤1202。
示例3-5,该通信装置为第一无线接入网设备,或者为应用于第一无线接入网设备中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由第一无线接入网设备执行的步骤609、以及步骤610。处理模块112,用于支持该通信装置执行上述实施例中由第一无线接入网设备执行的处理的步骤。
在一种可能的实现方式中,通信模块113,用于支持该通信装置执行上述实施例中由第一无线接入网设备执行的步骤604、步骤605。
示例3-6,该通信装置为第一用户面网元,或者为应用于第一用户面网元中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤610。处理模块112,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤611。
在一种可能的实现方式中,通信模块113,用于支持该通信装置执行上述实施例中由第一用户面网元执行的步骤613。
示例3-7,该通信装置为无线接入网设备,或者为应用于无线接入网设备中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由无线接入网设备执行的步骤1203。
示例3-8,该通信装置为无线接入网设备,或者为应用于无线接入网设备中的芯片。在这种情况下,通信模块113,用于支持该通信装置执行上述实施例中由无线接入网设备执行的步骤1102以及步骤1103。
其中,处理模块112可以是处理器或控制器,例如可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。通信模块113可以是收发器、收发电路或通信接口等。存储模块111可以是存储器。
当处理模块112为处理器41或处理器45,通信模块113为通信接口43时,存储模块111为存储器42时,本申请所涉及的通信装置可以为图4所示的通信设备。
图17是本申请实施例提供的芯片150的结构示意图。芯片150包括一个或两个以上(包括两个)处理器1510和通信接口1530。
可选的,该芯片150还包括存储器1540,存储器1540可以包括只读存储器和随机存取存储器,并向处理器1510提供操作指令和数据。存储器1540的一部分还可以包括非易失性随机存取存储器(non-volatilerandomaccessmemory,nvram)。
在一些实施方式中,存储器1540存储了如下的元素,执行模块或者数据结构,或者他们的子集,或者他们的扩展集。
在本申请实施例中,通过调用存储器1540存储的操作指令(该操作指令可存储在操作系统中),执行相应的操作。
一种可能的实现方式中为:终端设备、第一无线接入网设备、无线接入网设备、第一用户面网元、移动管理网元所用的芯片的结构类似,不同的装置可以使用不同的芯片以实现各自的功能。
处理器1510控制终端设备、第一无线接入网设备、第一用户面网元、无线接入网设备、移动管理网元中任一个的处理操作,处理器1510还可以称为中央处理单元(centralprocessingunit,cpu)。
存储器1540可以包括只读存储器和随机存取存储器,并向处理器1510提供指令和数据。存储器1540的一部分还可以包括非易失性随机存取存储器(non-volatilerandomaccessmemory,nvram)。例如应用中存储器1540、通信接口1530以及存储器1540通过总线系统1520耦合在一起,其中总线系统1520除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图17中将各种总线都标为总线系统1520。
上述本申请实施例揭示的方法可以应用于处理器1510中,或者由处理器1510实现。处理器1510可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1510中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1510可以是通用处理器、数字信号处理器(digitalsignalprocessing,dsp)、专用集成电路(applicationspecificintegratedcircuit,asic)、现成可编程门阵列(field-programmablegatearray,fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1540,处理器1510读取存储器1540中的信息,结合其硬件完成上述方法的步骤。
一种可能的实现方式中,通信接口1530用于执行图6-图14所示的实施例中的终端设备、无线接入网设备、第一用户面网元、移动管理网元的接收和发送的步骤。处理器1510用于执行图6-图14所示的实施例中的终端设备、无线接入网设备、第一无线接入网设备、第一用户面网元、移动管理网元的处理的步骤。
以上通信单元可以是一种该通信装置的接口电路或通信接口或收发器,用于从其它装置接收信号。例如,当该通信装置以芯片的方式实现时,该通信单元是该芯片用于从其它芯片或装置接收信号或发送信号的接口电路或通信接口。
在上述实施例中,存储器存储的供处理器执行的指令可以以计算机程序产品的形式实现。计算机程序产品可以是事先写入在存储器中,也可以是以软件形式下载并安装在存储器中。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘solidstatedisk,ssd)等。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得终端设备或者应用于终端设备中的芯片执行图6~图8、图12~图14中任一个由终端设备执行的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得移动管理网元或者应用于移动管理网元中的芯片执行图6~图8、图12~图14中任一个由移动管理网元执行的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得第一无线接入网设备或者应用于第一无线接入网设备中的芯片执行图6~图8、图12中任一个由第一无线接入网设备执行的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得第一用户面网元或者应用于第一用户面网元中的芯片执行实施例图6~图8、图12中任一个由第一用户面网元执行的步骤。
本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得无线接入网设备或者应用于无线接入网设备中的芯片执行图12或图13中由无线接入网设备执行的步骤。
前述的可读存储介质可以包括:u盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得终端设备或者应用于终端设备中的芯片执行图6~图8、图12~图14中任一个由终端设备执行的步骤。
另一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得移动管理网元或者应用于移动管理网元中的芯片执行图6~图8、图12~图14中任一个由移动管理网元执行的步骤。
又一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得第一无线接入网设备或者应用于第一无线接入网设备中的芯片执行图6~图8、图12中任一个由第一无线接入网设备执行的步骤。
再一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得第一用户面网元或者应用于第一用户面网元中的芯片执行实施例图6~图8、图12中任一个由第一用户面网元执行的步骤。
又一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得无线接入网设备或者应用于无线接入网设备中的芯片执行图12或图13中由无线接入网设备执行的步骤。
一方面,提供一种芯片,该芯片应用于终端设备中,芯片包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行图6~图8、图12~图14中任一个由终端设备执行的步骤。
又一方面,提供一种芯片,该芯片应用于移动管理网元中,芯片包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行图6~图8、图12~图14中任一个由移动管理网元执行的步骤。
一方面,提供一种芯片,该芯片应用于第一无线接入网设备中,芯片包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行图6~图8、图12中任一个由第一无线接入网设备执行的步骤。
又一方面,提供一种芯片,该芯片应用于第一用户面网元中,芯片包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行图6~图8、图12中任一个由第一用户面网元执行的步骤。
又一方面,提供一种芯片,该芯片应用于无线接入网设备中,芯片包括至少一个处理器和通信接口,通信接口和至少一个处理器耦合,处理器用于运行指令,以执行无线接入网设备或者应用于无线接入网设备中的芯片执行图12或图13中由无线接入网设备执行的步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline,简称dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,dvd)、或者半导体介质(例如固态硬盘(solidstatedisk,简称ssd))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看附图、公开内容、以及所附权利要求书,可理解并实现公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
1.一种终端设备和用户面网元之间的安全通信方法,其特征在于,包括:
终端设备向移动管理网元发送第一请求消息,所述第一请求消息包括第一网络切片的标识信息;所述第一请求消息用于请求所述移动管理网元为所述终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥;
所述终端设备接收来自于所述移动管理网元的第一信息,所述第一信息用于所述终端设备确定所述终端设备和所述第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
2.根据权利要求1所述的方法,其特征在于,在所述终端设备向移动管理网元发送第一请求消息之前,所述方法还包括:
所述终端设备在随机接入过程中接收来自第一无线接入网设备为所述终端设备分配的第一标识;所述第一标识用于所述第一用户面网元识别所述终端设备;
相应的,所述第一请求消息中还携带第一标识。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端设备接收来自所述移动管理网元的第一标识,所述第一标识用于所述第一用户面网元识别所述终端设备。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备根据所述加密密钥对待发送数据进行加密,得到加密数据;所述待发送数据与所述第一网络切片关联;
所述终端设备通过数据无线承载向第一无线接入网设备发送所述加密数据;其中,所述数据无线承载与所述第一网络切片关联。
5.根据权利要求4所述的方法,其特征在于,所述加密数据的第一协议层包头中携带第一标识。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备根据所述加密密钥对待发送数据进行加密,得到加密数据;所述待发送数据与所述第一网络切片关联;
所述终端设备在第一时频资源上向第一无线接入网设备发送所述加密数据,其中,所述第一时频资源与所述第一网络切片关联。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述终端设备接收来自第一无线接入网设备的第一消息;所述第一消息包括与所述第一网络切片关联的第一时频资源信息。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备确定所述第一网络切片所在的区域从第一区域变为第二区域;其中,在所述第一区域中所述第一网络切片对应所述第一用户面网元,在所述第二区域中所述第一网络切片对应第二用户面网元;
所述终端设备向所述移动管理网元发送第一通知消息,所述第一通知消息用于通知所述移动管理网元确定所述终端设备和所述第二用户面网元之间的加密密钥。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
所述终端设备接收来自第二无线接入网设备的所述第一网络切片对应的在所述第二区域中的区域标识;
所述终端设备确定所述第一网络切片所在的区域从第一区域变为第二区域,包括:
所述第一区域的区域标识与所述第二区域的区域标识不同,所述终端设备确定所述第一网络切片所在的区域从所述第一区域变为所述第二区域。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述第一信息与第一标识关联,相应的,所述加密密钥与第一标识关联;或者,
所述第一信息与所述第一标识关联,且所述第一信息与所述第一网络切片的标识信息关联,相应的,所述加密密钥与所述第一标识关联,且所述加密密钥和所述第一网络切片的标识信息关联。
11.一种终端设备和用户面网元之间的安全通信方法,其特征在于,包括:
移动管理网元接收来自终端设备的第一请求消息,所述第一请求消息包括第一网络切片的标识信息;所述第一请求消息用于请求所述移动管理网元为所述终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥;
所述移动管理网元向所述终端设备发送第一信息,所述第一信息用于所述终端设备确定所述终端设备和所述第一用户面网元之间通信的加密密钥和/或完整性保护密钥;
所述移动管理网元向所述第一用户面网元发送所述终端设备的加密密钥。
12.根据权利要求11所述的方法,其特征在于,所述第一请求消息还包括第一无线接入网设备为所述终端设备分配的第一标识,所述第一标识用于所述第一用户面网元识别所述终端设备。
13.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述移动管理网元向所述终端设备发送所述移动管理网元为所述终端设备分配的第一标识,所述第一标识用于所述第一用户面网元识别所述终端设备。
14.根据权利要求12或13所述的方法,其特征在于,所述移动管理网元向所述第一用户面网元发送所述终端设备的加密密钥,包括:
所述移动管理网元向所述第一用户面网元发送所述第一标识以及所述加密密钥;或者,
所述移动管理网元向所述第一用户面网元发送所述第一标识,与所述第一网络切片的标识信息关联的所述加密密钥。
15.根据权利要求12-14任一项所述的方法,其特征在于,所述第一信息与所述第一网络切片的标识信息关联,且所述第一信息与所述第一标识关联;
或者,所述第一信息与所述第一标识关联。
16.根据权利要求11-15任一项所述的方法,其特征在于,所述方法还包括:
所述移动管理网元接收来自所述终端设备的第一通知消息,所述第一通知消息用于通知所述移动管理网元确定所述终端设备和第二用户面网元之间的加密密钥。
17.一种通信装置,其特征在于,包括:通信单元和处理单元;其中,
所述通信单元,用于向移动管理网元发送第一请求消息,所述第一请求消息包括第一网络切片的标识信息;所述第一请求消息用于请求所述移动管理网元为所述装置和第一用户面网元分配加密密钥和/或完整性保护密钥;
所述通信单元,还用于接收来自于所述移动管理网元的第一信息,所述第一信息用于所述处理单元确定所述通信单元和所述第一用户面网元之间通信的加密密钥和/或完整性保护密钥。
18.根据权利要求17所述的装置,其特征在于,所述通信单元,还用于在随机接入过程中接收来自第一无线接入网设备为所述装置分配的第一标识,所述第一标识用于所述第一用户面网元识别所述装置;
相应的,所述第一请求消息中还携带第一标识。
19.根据权利要求17所述的装置,其特征在于,所述通信单元,还用于接收来自所述移动管理网元的第一标识,所述第一标识用于所述第一用户面网元识别所述装置。
20.根据权利要求17-19任一项所述的装置,其特征在于,所述处理单元,还用于根据所述加密密钥对待发送数据进行加密,得到加密数据;所述待发送数据与所述第一网络切片关联;
所述通信单元,还用于通过数据无线承载向第一无线接入网设备发送所述加密数据;其中,所述数据无线承载与所述第一网络切片关联。
21.根据权利要求20所述的装置,其特征在于,所述加密数据的第一协议层包头中携带第一标识。
22.根据权利要求20或21所述的装置,其特征在于,所述处理单元,还用于根据所述加密密钥对待发送数据进行加密,得到加密数据;所述待发送数据与所述第一网络切片关联;
所述通信单元,还用于在第一时频资源上向第一无线接入网设备发送所述加密数据,其中,所述第一时频资源与所述第一网络切片关联。
23.根据权利要求22所述的装置,其特征在于,所述通信单元,还用于接收来自所述第一无线接入网设备的第一消息;所述第一消息包括与所述第一网络切片关联的第一时频资源信息。
24.根据权利要求17-23任一项所述的装置,其特征在于,所述处理单元,还用于确定所述第一网络切片所在的区域从第一区域变为第二区域;其中,在所述第一区域中所述第一网络切片对应所述第一用户面网元,在所述第二区域中所述第一网络切片对应第二用户面网元;
所述通信单元,还用于向所述移动管理网元发送第一通知消息,所述第一通知消息用于通知所述移动管理网元确定所述装置和所述第二用户面网元之间的加密密钥。
25.根据权利要求24所述的装置,其特征在于,所述通信单元,还用于接收来自第二无线接入网设备的所述第一网络切片对应的在所述第二区域中的区域标识;
所述第一区域的区域标识与所述第二区域的区域标识不同,所述处理单元,具体用于确定所述第一网络切片所在的区域从所述第一区域变为所述第二区域。
26.根据权利要求17-25任一项所述的装置,其特征在于,所述第一信息与第一标识关联,相应的,所述加密密钥与第一标识关联;或者,
所述第一信息与所述第一标识关联,且所述第一信息与所述第一网络切片的标识信息关联,相应的,所述加密密钥与所述第一标识关联,且所述加密密钥和所述第一网络切片的标识信息关联。
27.一种通信装置,其特征在于,包括:通信单元和处理单元,其中,
所述通信单元,用于接收来自终端设备的第一请求消息,所述第一请求消息包括第一网络切片的标识信息;所述第一请求消息用于请求所述处理单元为所述终端设备和第一用户面网元分配加密密钥和/或完整性保护密钥;
所述通信单元,还用于向所述终端设备发送第一信息,所述第一信息用于所述终端设备确定所述终端设备和所述第一用户面网元之间通信的加密密钥和/或完整性保护密钥;
所述通信单元,还用于向所述第一用户面网元发送所述终端设备的加密密钥。
28.根据权利要求27所述的装置,其特征在于,所述第一请求消息还包括第一无线接入网设备为所述终端设备分配的第一标识,所述第一标识用于所述第一用户面网元识别所述终端设备。
29.根据权利要求27所述的装置,其特征在于,所述通信单元,还用于向所述终端设备发送所述处理单元为所述终端设备分配的第一标识,所述第一标识用于所述第一用户面网元识别所述终端设备。
30.根据权利要求28或29所述的装置,其特征在于,所述通信单元,还用于向所述第一用户面网元发送所述终端设备的加密密钥,具体为:
用于向所述第一用户面网元发送所述第一标识以及所述加密密钥;或者,
用于向所述第一用户面网元发送所述第一标识,与所述第一网络切片的标识信息关联的所述加密密钥。
31.根据权利要求28-30任一项所述的装置,其特征在于,所述第一信息与所述第一网络切片的标识信息关联,且所述第一信息与所述第一标识;或者,所述第一信息与所述第一标识关联。
32.根据权利要求27-31任一项所述的装置,其特征在于,所述通信单元,还用于接收来自所述终端设备的第一通知消息,所述第一通知消息用于通知所述处理单元确定所述终端设备和第二用户面网元之间的加密密钥。
33.一种终端设备和用户面网元之间的安全通信方法,其特征在于,应用于第一用户面网元中,所述第一用户面网元中具有终端设备的加密密钥,所述方法包括:
第一用户面网元在与第一网络切片关联的用户面隧道接收来自第一无线接入网设备的加密数据,所述加密数据包括用于识别所述终端设备的第一标识;
所述第一用户面网元采用与所述第一标识关联的加密密钥对所述加密数据进行解密,得到来自所述终端设备的待发送数据。
34.根据权利要求33所述的方法,其特征在于,所述方法还包括:
所述第一用户面网元根据所述第一网络切片关联的用户面隧道,确定所述第一网络切片的标识信息;
所述第一用户面网元采用与所述第一标识关联的加密密钥对所述加密数据进行解密,得到来自所述终端设备的待发送数据,包括:
所述第一用户面网元采用与所述第一标识以及所述第一网络切片的标识信息关联的加密密钥对所述加密数据进行解密,得到来自所述终端设备的待发送数据。
35.根据权利要求33或34所述的方法,其特征在于,所述加密数据的第一协议层包头中携带所述第一标识;
或者,所述加密数据的用户面隧道包头中携带所述第一标识。
36.根据权利要求33-35任一项所述的方法,其特征在于,所述方法还包括:
所述第一用户面网元接收来自移动管理网元的所述终端设备的加密密钥,所述加密密钥与所述第一标识关联,或者,
所述加密密钥与所述第一标识关联,且所述加密密钥和所述第一网络切片的标识信息关联。
37.一种通信装置,其特征在于,所述装置中具有终端设备的加密密钥,所述装置包括:
通信单元,用于在与第一网络切片关联的用户面隧道接收来自第一无线接入网设备的加密数据;所述加密数据包括用于识别所述终端设备的第一标识;
处理单元,用于采用与所述第一标识关联的加密密钥对所述加密数据进行解密,得到来自所述终端设备的待发送数据。
38.根据权利要求37所述的装置,其特征在于,所述处理单元,还用于根据所述第一网络切片关联的用户面隧道,确定所述第一网络切片的标识信息;
所述处理单元,具体用于采用与所述第一标识以及所述第一网络切片的标识信息关联的加密密钥对所述加密数据进行解密,得到来自所述终端设备的待发送数据。
39.根据权利要求37或38所述的装置,其特征在于,所述加密数据的第一协议层包头中携带所述第一标识;
或者,所述加密数据的用户面隧道包头中携带所述第一标识。
40.根据权利要求37-39任一项所述的装置,其特征在于,所述通信单元,还用于接收来自移动管理网元的所述终端设备的加密密钥,所述加密密钥与所述第一标识关联,或者,
所述加密密钥与所述第一标识关联,且所述加密密钥和所述第一网络切片的标识信息关联。
41.一种通信系统,其特征在于,包括:如权利要求17-26任一项所述的通信装置,权利要求27-32任一项所述的通信装置,以及权利要求37-40任一项所述的通信装置。
42.一种可读存储介质,其特征在于,所述可读存储介质中存储有指令,当所述指令被执行时,实现如权利要求1-10任一项所述的方法;或者实现如权利要求11-16任一项所述的方法;或者实现如权利要求33-36任一项所述的方法。
43.一种芯片,其特征在于,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行计算机程序或指令,以实现如权利要求1-10任一项所述的方法;或者实现如权利要求11-16任一项所述的方法;或者实现如权利要求33-36任一项所述的方法。
技术总结