一種安全保護協商方法及網元，用以基于5G的網絡架構實現UE和UPF之間協商啟動針對本次會話的用戶面的安全保護。方法包括：SMF確定本次會話過程中用戶面所使用的安全保護信息；SMF向UE發送包括所述用戶面所使用的安全保護信息的第一消息；UE根據所述用戶面所使用的安全保護信息對第一消息進行完整性保護認證；當UE對第一消息認證成功時，UE啟動用戶面的安全保護，以及向SMF發送用于指示UE對第一消息認證成功的第二消息；SMF接收所述第二消息后，向UPF發送包括本次會話過程中用戶面所使用的安全保護的算法和用于安全保護的上下文的第三消息；UPF根據安全保護的算法和安全保護的上下文啟動用戶面的安全保護。

技術領域

本發明涉及無線通信領域，尤其涉及一種安全保護協商方法及網元。

背景技術

目前，相比于第三代合作伙伴計劃(3^rd Generation Partnership Project，3GPP)2G/3G/4G的網絡架構，3GPP 5G提出了新的網絡架構，并且基于5G的網絡架構提出了會話建立過程。但目前標準中并沒有針對5G的網絡架構提出安全保護協商的技術方案，安全保護協商是指執行安全保護的雙方在各安全層協商并同步安全保護的密鑰和安全保護的算法，并啟動安全保護的過程。

由于5G的用戶面連接建立是基于會話的，2G/3G/4G提出的安全保護協商的技術方案沒有基于會話的粒度，并且沒有考慮業務的安全需求，因此2G/3G/4G提出的安全保護協商的技術方案也不能滿足5G的網絡架構。

綜上所述，亟需針對5G的網絡架構設計一種安全保護協商的技術方案。

發明內容

本發明實施例提供了一種安全保護協商方法，用以基于5G的網絡架構實現UE和UPF之間協商啟動針對本次會話的用戶面的安全保護。

第一方面，本發明實施例提供的一種安全保護協商方法，包括：

會話管理網元SMF確定本次會話過程中用戶面所使用的安全保護信息，所述安全保護信息包括安全保護的算法、用于識別安全保護的上下文的索引以及消息認證碼，所述安全保護包括加解密保護和完整性保護，所述消息認證碼是指所述SMF使用完整性保護的算法和所述索引識別的安全保護的上下文包括的完整性保護的密鑰對第一消息進行完整性保護生成的認證碼；

所述SMF向所述UE發送包括所述用戶面所使用的安全保護信息的所述第一消息，所述用戶面所使用的安全保護信息用于所述UE根據所述用戶面所使用的安全保護信息對所述第一消息進行完整性保護認證成功后啟動用戶面的安全保護；

所述SMF接收所述UE發送的用于指示所述UE對所述第一消息認證成功的第二消息，以及向用戶面網關UPF發送包括本次會話過程中用戶面所使用的安全保護的算法和用于安全保護的上下文的第三消息，所述第三消息用于觸發所述UPF根據所述安全保護的算法和所述安全保護的上下文啟動用戶面的安全保護。

其中，本次會話過程中用戶面所使用的安全保護信息具體包括如下信息：本次會話過程中用戶面所使用的加解密保護的算法、本次會話過程中用戶面所使用的完整性保護的算法、用于識別本次會話過程中用戶面所使用的加解密保護的上下文的索引、用于識別本次會話過程中用戶面所使用的完整性保護的上下文的索引、以及消息驗證碼。

上述方法中，SMF確定并向UE發送本次會話過程中用戶面所使用的安全保護信息，包括安全保護的算法、用于識別安全保護的上下文的索引和消息認證碼等，在UE認證成功后，UE會啟動用戶面的安全保護，SMF確定UE認證成功后觸發UPF啟動用戶面的安全保護，進而實現UE和UPF協商啟動各自的用戶面的安全保護。考慮到5G的網絡架構中用戶面的連接建立是基于會話的，上述方法可以實現UE和UPF協商啟動各自的基于會話粒度的用戶面的安全保護，因此上述方法可以滿足5G的網絡架構對于用戶面的安全保護的需求。

在一種可能的實現方式中，所述SMF可以通過如下兩種方式確定所述安全保護的算法：