[发明专利]安全实现方法、设备以及系统

说明书

本发明实施例公开了一种安全实现方法、设备以及系统。其中，所述方法包括：第一设备获取会话的安全策略以及至少一个密钥；所述第一设备向第二设备发送保护数据，其中，所述保护数据是根据所述会话的安全策略使用所述至少一个密钥对所述会话的会话数据的安全性进行保护得到的，所述第二设备用于根据所述安全策略使用所述至少一个密钥对所述保护数据进行还原以获得所述会话数据；其中，当所述第一设备为终端设备时，所述第二设备为接入网节点或者用户面节点；当所述第一设备为接入网节点或者用户面节点时，所述第二设备为终端设备。

技术领域

本发明涉及通信领域，尤其涉及一种安全实现方法、设备以及系统。

背景技术

在现有的网络安全架构中，数据的安全性保护采用的是hop-by-hop的方式，即分段进行安全性保护。以数据从终端设备—基站—服务网关—PDN网关的传输链路为例，终端设备-基站之间执行一次安全性保护，基站—服务网关之间执行一次安全性保护，服务网关—PDN网关之间执行一次安全性保护。可以看出，在数据传输的过程中，如果中间节点出现了问题，则可能会导致数据的泄露。而且，在数据传输过程中多次对数据进行加密和还原，也会导致资源的浪费。

发明内容

本发明实施例所要解决的技术问题在于，提供一种安全实现方法、设备以及系统，实现了数据的端到端的保护。

第一方面，本发明实施例提供一种安全实现方法，包括：第一设备获取会话的安全策略以及至少一个密钥；所述第一设备向第二设备发送保护数据，其中，所述保护数据是根据所述会话的安全策略使用所述至少一个密钥对所述会话的会话数据的安全性进行保护得到的，所述第二设备用于根据所述安全策略使用所述至少一个密钥对所述保护数据进行还原以获得所述会话数据；其中，当所述第一设备为终端设备时，所述第二设备为接入网节点或者用户面节点；当所述第一设备为接入网节点或者用户面节点时，所述第二设备为终端设备。

结合第一方面，第一方面的第一种可能的实施方式中，所述至少一个密钥包括：第一密钥以及第二密钥，其中，所述第一密钥用于对所述会话的第一安全性进行保护，所述第二密钥用于对所述会话的第二安全性进行保护。

结合第一方面的第一种可能的实施方式，第一方面的第二种可能的实施方式中，所述安全策略用于指示所述会话数据的保护方式，其中，所述保护方式是通过第一安全性算法使用第一密钥对所述会话数据的第一安全性进行保护，或者，通过第二安全性算法使用第二密钥对所述会话数据的第二安全性进行保护，或者，同时通过所述第一安全性算法使用第一密钥对所述会话数据的第一安全性进行保护以及通过所述第二安全性算法使用第二密钥对所述会话数据的第二安全性进行保护。

结合第一方面的第二种可能的实施方式，第一方面的第三种可能的实施方式中，所述安全策略还用于指示所述第一安全性算法、所述第二安全性算法、密钥长度以及密钥更新时间中的至少一个。

结合第一方面的第三种可能的实施方式，第一方面的第四种可能的实施方式中，所述密钥长度包括第一密钥长度和/或第二密钥长度，其中，所述第一密钥长度用于表征所述第一密钥的长度，所述第二密钥长度用于表征所述第二密钥的长度。

结合第一方面的第三种可能的实施方式，第一方面的第五种可能的实施方式中，所述密钥更新时间包括第一密钥更新时间和/或第二密钥更新时间，其中，所述第一密钥更新时间用于表征所述第一密钥的更新时间，所述第二密钥更新时间用于表征所述第二密钥的更新时间。

结合第一方面的上述任一种可能的实施方式，第一方面的第六种可能的实施方式中，所述第一安全性为加密性，所述第二安全性为完整性。

结合第一方面的第六种可能的实施方式，第一方面的第七种可能的实施方式中，所述保护数据还包括参数字段，所述参数字段包括第一标识字段、第二标识字段、第三标识字段至少一个，其中，所述第一标识字段用于指示本消息为会话消息，所述第二标识字段用于指示业务标识、会话标识、承载标识、flow标识以及切片标识中的至少一个，所述第三标识用于指示所述会话的保护方式。