本發明提供了一種安全管理系統，該系統包括：連接管理功能實體，分別與RAN和移動性管理實體連接，用于對非接入層NAS消息進行安全管理，其中，安全管理包括以下至少之一：加密、解密、完整性保護，移動性管理實體包括以下邏輯實體至少之一：移動性管理功能MMF的邏輯實體和會話管理功能SMF的邏輯實體。通過該系統，至少解決了相關技術中會話管理的NAS消息都需要經過移動性管理功能，導致會話管理功能實體和移動性管理功能實體的耦合性過于緊密、靈活性較差的問題。

技術領域

本發明涉及通信領域，具體而言，涉及一種安全管理系統。

背景技術

移動通信目前已經發展到4G階段。4G的網絡架構和前幾代相比，主要特點是基于全IP傳輸。圖1是相關技術中4G網絡架構的示意圖。如圖1所示，該網絡架構中各網元的功能如下：

終端(User Equipment，簡稱為UE)：主要通過無線空口接入4G網絡并獲得服務，終端通過空口和基站交互信息，通過非接入層信令NAS(全稱為Non-access stratum)和核心網的移動性管理實體交互信息；

基站(Radio Access Network，RAN)：負責終端接入網絡的空口資源調度和空口的連接管理；

移動性管理實體：核心網控制面實體，主要負責對用戶的鑒權、授權以及簽約檢查，以保證用戶是合法用戶；完成對NAS消息的完整性保護和加密；用戶移動性管理，包括用戶注冊，位置更新和臨時標識分配；連接管理，維護IDLE和CONNECT狀態以及狀態遷移；在CONNECT狀態下的切換；會話管理，包括公用數據網(Public Data Network，簡稱PDN)連接以及承載的維護，包括創建、修改和刪除等；用戶IDLE狀態下觸發尋呼等功能；

服務網關(即Serving GateWay)：核心網用戶面功能實體，主要負責漫游情況下和PDN GW的交互；用戶IDLE狀態下收到下行數據包進行緩存并通知MME尋呼用戶；跨基站的用戶面錨點以及跨2G/3G/4G移動性的用戶面錨點等功能；

分組數據網關(即PDN GateWay)：核心網用戶面功能實體，是終端接入PDN網絡的接入點，負責分配用戶IP地址，網絡觸發的承載建立、修改和刪除，還具有服務質量(Quality of Service，簡稱QoS)控制計費等功能，是用戶在3GPP系統內以及非3GPP系統之間切換的錨點，從而保證IP地址不變，保證業務連續性。

因為4G主要為人和人服務，到了5G時代，隨著對物和物之間通訊的支持，對移動網絡的需求更加多樣。特別是隨著虛擬化技術的應用，一種網絡功能可以很方便地部署到虛擬機上，對原有網絡功能進行重新拆分，然后組合為新的邏輯實體，使各種功能可以更方便地獨立部署，是網絡演進的一個方向。

但是目前，由于安全功能處理通常在移動性管理功能實體中實現，而所有的會話管理的NAS消息都需要加解密和完整性保護處理，因此所有會話管理的消息都需要經過移動性管理功能，這導致會話管理功能實體和移動性管理功能實體的耦合性過于緊密、靈活性較差。

針對相關技術中會話管理的NAS消息都需要經過移動性管理功能，導致會話管理功能實體和移動性管理功能實體的耦合性過于緊密、靈活性較差的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種安全管理系統，以至少解決相關技術中會話管理的NAS消息都需要經過移動性管理功能，導致會話管理功能實體和移動性管理功能實體的耦合性過于緊密、靈活性較差的問題。

根據本發明的一個實施例，提供了一種安全管理系統，包括：連接管理功能實體，分別與RAN和移動性管理實體連接，用于對非接入層NAS消息進行安全管理，其中，安全管理包括以下至少之一：加密、解密、完整性保護，移動性管理實體包括以下邏輯實體至少之一：移動性管理功能MMF的邏輯實體和會話管理功能SMF的邏輯實體。