[发明专利]一种获取安全策略的方法及设备

说明书

本申请提供一种获取安全策略的方法和装置，该方法包括：当归属网络中的安全边缘保护代理网元hSEPP接收到拜访网络中的安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP会从第一策略存储设备中获取安全策略，该安全策略包括服务授权安全策略；所述hSEPP根据所述服务授权安全策略对服务响应消息中的服务授权字段进行加密处理；所述hSEPP向所述vSEPP发送经过处理的服务响应消息。其中，所述服务响应消息中包括服务授权安全策略。以使得vSEPP和hSEPP根据该服务授权安全策略进行消息的加解密，从而提升消息传输的安全性。

技术领域

本申请涉及通信领域，更具体地，涉及通信领域中获取安全策略的方法及设备。

背景技术

随着通信系统的不断发展，基于服务的网络架构(service based architecture，SBA) 得到的广泛的应用，在基于服务的网络架构中，根据能够提供的特定网络功能的网络实体称为网络功能(network function，NF)模块，网络功能可以以服务的方式提供。

在基于服务的网络架构中，任意两个网络功能模块可以通过服务化接口以网络功能服务调用的方式交互。但是在漫游的场景下，需要注意拜访网络和归属网络之间消息传递时的安全。

如图1所示，在漫游架构中确定了安全边界保护代理(Security Edge ProtectionProxy，SEPP)功能。SEPP主要的功能是完成拜访网络和归属网络消息传递时的安全。其中vSEPP表示拜访网络中部署的SEPP，hSEPP表示归属网络中部署的SEPP。

具体的，vSEPP和hSEPP之间的安全机制可应用于保护应用层传输的安全。其中，应用层安全指的是如何对N32消息中的某些敏感信息进行保护(例如加密)。如何获取安全策略，使得vSEPP/hSEPP根据该安全策略对N32消息中的某些敏感信息进行保护显得尤为重要。

发明内容

本申请提供一种获取安全策略的方法和设备，通过vSEPP与第一策略设备的交互以获取安全策略，进而向hSEPP发送该策略，以使得vSEPP与hSEPP根据该安全策略进行信息传输从而提升漫游场景下信息传输的安全性。

第一方面，本申请提供了一种获取安全策略的方法，该方法包括：当第一安全边缘保护代理网元hSEPP接收到第二安全边缘保护代理网元vSEPP发送的服务发现请求时，所述hSEPP向第一策略存储设备发送安全策略请求；接收所述第一策略存储设备发送的安全策略；向vSEPP发送所述安全策略。

其中，需要指出的是，第一安全边缘保护代理网元hSEPP为归属网络中的安全边缘保护代理网元；第二安全边缘保护代理网元vSEPP为拜访网络中的安全边缘保护代理网元。

其中，需要指出的是，该第一策略存储设备可以是统一数据管理(unified datamanagement，UDM)网元，也可以是策略管控功能网元(policy control function，PCF)，还可以是网络功能数据库功能(Network repository function，NRF)网元。

其中，需要指出的是，该第一策略存储设备中可以存储该运营商网络中所有网络功能所对应的安全策略，也可以存储服务授权安全策略。hSEPP通过与第一策略存储网元交互以获取安全策略，并向vSEPP发送该策略，那么hSEPP和vSEPP就可以利用该安全策略进行信息传输，从而提升信息传输的安全性。

结合第一方面，可选的，所述服务请求中包括目标服务标识；所述安全策略为所述目标服务标识对应的安全策略。该安全策略包括服务访问安全策略。可以理解的是，该目标服务标识可以是所需服务的名称，也可以所述服务的序列号。

结合第一方面，可选的，所述安全策略为所述第一策略存储设备所存储的所有安全策略。其中，该安全策略包括服务访问安全策略。