[发明专利]一种安全保护的方法、装置和系统

说明书

本申请涉及无线通信技术领域。本申请的实施例提供一种安全保护的方法、装置和系统，用以解决终端切换服务基站的效率低的问题。本申请的方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系；第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请适用于终端切换服务基站的流程中。

技术领域

本申请涉及无线通信技术领域，尤其涉及一种安全保护的方法、装置和系统。

背景技术

在通信系统中，如果终端快速移出为自身服务的基站的服务范围时，为了保证终端的会话连续性(例如保证终端正在进行的业务不中断)，原基站会发起终端的切换流程，将终端的服务基站由原基站切换至目标基站，由目标基站继续支持终端正在进行的业务。

在终端的切换流程中，原基站向目标基站发送的切换请求包括终端的安全能力和终端切换过程中基站的密钥(kye in evloved NodeB，KeNB*)。目标基站可根据接收到的终端的安全能力和KeNB*，确定信令面加密算法、信令面完整性保护算法和用户面加密算法，并且目标基站分别生成信令面加密密钥、信令面完整性保护密钥和用户面加密密钥。然后目标基站通过原基站向终端发送切换命令消息，切换命令消息中携带目标基站确定的信令面加密算法、信令面完整性保护算法和用户面加密算法。接着终端根据切换命令消息中携带的算法分别生成信令面加密算法、信令面完整性保护算法以及用户面加密算法，进而终端使用信令面加密算法和信令面完整性保护算法对切换确认消息进行加密，并将加密后的切换确认消息发送给目标基站。

在终端的切换流程中，无论是否需要进行信令面安全保护和用户面安全保护，目标基站都会确定信令面加密算法，信令面完整性保护算法以及用户面加密算法，会增大目标基站的开销，并且会增加目标基站为终端切换作准备的时间，从而降低终端的切换效率。

发明内容

本申请的实施例提供一种安全保护的方法、装置和系统，可以解决终端切换服务基站的效率低的问题。

为了达到上述目的，本申请的实施例采用如下技术方案：

第一方面，本申请的实施例提供一种安全保护的方法，该方法包括：第一接入网设备接收来自第二接入网设备的用户面信息和安全策略的对应关系，然后第一接入网设备根据用户面信息和安全策略的对应关系确定用户面信息对应的第一用户面保护算法，第一用户面保护算法包括用户面加密算法和用户面完整性保护算法之一或全部。本申请实施例的方案中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销。进一步的，若应用于终端切换的场景中，能够减少第一接入网设备为终端切换作准备的时间，从而提高了终端的切换效率。

其中，用户面信息可包括PDU会话标识，QoS参数和切片参数中的任意一项或多项。

用户面信息和安全策略的对应关系的表现形式可以为具有一个对应关系的用户面信息和安全策略的组合。多种用户面信息可以通过一个对应关系对应多种安全策略，例如一组用户面信息和安全策略的对应关系中的用户面信息包括PDU会话标识和QoS参数，安全策略包括安全策略1和安全策略2。或者，一种用户面信息通过一个对应关系对应一种安全策略，例如一组用户面信息和安全策略的对应关系为一个QoS参数和一种安全策略的组合。

作为一个例子，用户面信息和安全策略的对应关系可以为{PDU session ID＝1，NIA＝1，NEA＝2}，表示PDU会话标识为1的会话，使用1号用户面完整性保护算法进行用户面完整性保护，使用2号用户面加密算法进行用户面加密保护。

可选地，本申请实施例的方案可以应用于终端切换服务基站的过程中，第一接入网设备可以为TgNB，第二接入网设备可以为SgNB,在终端切换服务基站的过程中，第一接入网设备可以只确定用户面保护算法，无需开启信令面保护，节省了网络开销，减少了第一接入网为终端切换作准备的时间，从而提高了终端的切换效率。