[发明专利]一种安全保护的方法、装置和系统

权利要求书

1.一种安全保护的方法，所述方法应用于终端从源基站到目标基站切换的场景，其特征在于，包括：

所述目标基站接收来自所述源基站的数据包单元PDU会话标识和安全策略的对应关系；其中，所述安全策略用于指示所述PDU会话标识对应的会话是否需要开启用户面加密保护和/或是否需要开启用户面完整性保护；

所述目标基站根据所述PDU会话标识和安全策略的对应关系确定所述会话对应的第一用户面保护算法，所述第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述目标基站确定信令面保护算法，所述信令面保护算法包括信令面加密算法和信令面完整性保护算法。

3.根据权利要求1所述的方法，其特征在于，所述目标基站根据所述PDU会话标识和安全策略的对应关系确定所述会话对应的第一用户面保护算法，包括：

若所述安全策略指示所述PDU会话标识对应的会话开启用户面加密保护，则所述目标基站从存储的用户面加密算法集合中选择一个所述终端支持的优先级最高的用户面加密算法；

若所述安全策略指示所述PDU会话标识对应的会话开启用户面完整性保护，则所述目标基站从存储的用户面完整性保护算法集合中选择一个所述终端支持的优先级最高的用户面完整性保护算法；或者，

若安全策略指示所述PDU会话标识对应的会话开启用户面加密保护和用户面完整性保护，则所述目标基站从存储的用户面加密算法集合中选择一个所述终端支持的优先级最高的用户面加密算法以及从存储的用户面完整性保护集合中选择一个所述终端支持的优先级最高的用户面完整性保护算法。

4.根据权利要求1-3任一所述的方法，其特征在于，所述方法还包括：

所述目标基站根据所述第一用户面保护算法生成用户面保护密钥，所述用户面保护密钥包括用户面加密密钥和用户面完整性保护密钥之一或全部。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

所述目标基站通过所述源基站向终端发送经过所述用户面完整性保护密钥保护的第一消息，所述第一消息中包括所述第一用户面保护算法。

6.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法还包括：

所述目标基站通过接入和移动性管理功能AMF节点向会话管理功能SMF节点发送从源基站接收到的所述PDU会话标识和安全策略的对应关系；

若所述目标基站通过所述AMF节点接收来到自所述SMF节点的安全策略，且来自所述SMF节点的安全策略与来自所述源基站的安全策略不同，则所述目标基站根据来自所述SMF节点的安全策略重新确定第一用户面保护算法和用户面保护密钥。

7.根据权利要求1-3中任一项所述的方法，其特征在于，所述方法还包括：

所述目标基站通过接入和移动性管理功能AMF节点向会话管理功能SMF节点发送所述PDU会话标识和安全策略的对应关系；

若所述目标基站通过所述AMF节点接收来到自所述SMF节点的第二指示信息，且未接收到来自所述SMF节点的安全策略，其中，所述第二指示信息指示所述目标基站不能使用来自所述源基站的安全策略，则所述目标基站根据默认安全策略重新确定第一用户面保护算法和用户面保护密钥。

8.一种安全保护的方法，所述方法应用于终端从源基站到目标基站切换的场景，其特征在于，包括：

所述源基站获取数据包单元PDU会话标识和安全策略的对应关系；其中，所述安全策略用于指示所述PDU会话标识对应的会话是否需要开启用户面加密保护和/或是否需要开启用户面完整性保护；

所述源基站向所述目标基站发送所述PDU会话标识和安全策略的对应关系。