本申請實施例公開了一種公私網業務的隔離方法、裝置及系統。該方法包括：私網的控制面網元獲取私網的密鑰，該私網的密鑰為該私網的根密鑰或者基于該私網的根密鑰衍生的密鑰，該私網的根密鑰與公網的根密鑰不同，該私網的密鑰用于空口的用戶面安全，該公網的根密鑰用于該空口的控制面安全；該私網的控制面網元接收來自終端設備的第一消息，第一消息包括會話建立請求；私網的控制面網元確定該會話建立請求對應于該私網；私網的控制面網元根據該私網的密鑰建立該空口的用戶面安全。在本申請實施例中，建立空口的用戶面安全的密鑰與建立該空口的控制面安全的密鑰不同，用戶面安全的建立更加獨立，可以提升業務的安全性。

技術領域

本申請涉及通信技術領域，尤其涉及一種公私網業務的隔離方法、裝置及系統。

背景技術

為了提升數據業務的信息安全性，安全性要求更高的數據業務將在特定的私網中進行信息交互。如今，工業場景中不僅要求私網業務數據不出園區，還要求私網業務數據的完整性和加密性得到嚴格保證。

從成本角度考慮，公網和私網共享硬件是降低成本的有效手段。一般的，私網和公網會共享接入網(radio access network，RAN)節點、5G核心部分(5th-Generation Core，5GC)控制面，私網擁有獨立的用戶面(user plane function，UPF)網元；或者，私網和公網共享RAN節點、5GC控制面和5GC用戶面，私網依賴于公網的切片或者閉合接入組(closedaccess group，CAG)特性與公網進行隔離。在上述方式中，由于公網和私網共享的方式，會影響私網業務的安全性。

發明內容

本申請提供一種公私網業務的隔離方法、裝置及系統，用于保障私網業務的安全性。

第一方面，本申請提供一種公私網業務的隔離方法，該方法包括：私網的控制面網元獲取該私網的密鑰，該私網的密鑰為該私網的根密鑰或者基于該私網的根密鑰衍生的密鑰，該私網的根密鑰與公網的根密鑰不同，該私網的密鑰用于空口的用戶面安全，該公網的根密鑰用于該空口的控制面安全；該私網的控制面網元接收來自終端設備的第一消息，該第一消息包括會話建立請求；該私網的控制面網元確定該會話建立請求對應于該私網；該私網的控制面網元根據該私網的密鑰建立該空口的用戶面安全。通過這種方法，建立空口的用戶面安全的密鑰與建立該空口的控制面安全的密鑰不同，用戶面安全的建立更加獨立，可以提升業務的安全性。

結合第一方面，在一種可能的實現方式中，該方法還包括：該私網的控制面網元接收來自該公網的移動性管理網元的該公網的非接入層NAS密鑰；該私網的控制面網元使用該公網的NAS密鑰解析該第一消息，以獲得該會話建立請求。

結合第一方面，在一種可能的實現方式中，該私網的控制面網元接收來自該公網的移動性管理網元的該公網的非接入層NAS密鑰，包括：該私網的控制面網元接收來自該公網的移動性管理網元的第二消息，該第二消息包括第二信息和該公網的NAS密鑰，該第二信息用于指示授予該私網的控制面網元使用該公網的NAS密鑰的權限。

結合第一方面，在一種可能的實現方式中，該第一消息包括第一信息，該第一信息用于指示該會話建立請求對應于該私網，該私網的控制面網元確定該會話建立請求對應于該私網包括：該私網的控制面網元根據該第一信息確定該會話建立請求對應于該私網。

結合第一方面，在一種可能的實現方式中，該私網的控制面網元接收來自終端設備的第一消息，包括：該私網的控制面網元通過該私網和該終端設備之間的第一連接接收來自該終端設備的第一消息；該私網的控制面網元確定該會話建立請求對應于該私網，包括：該私網的控制面網元根據該第一連接確定該會話建立請求對應于該私網。