5G网络安全管理的方法和装置与流程

各种示例实施例涉及5g网络中的安全管理

背景技术：

本节说明了有用的背景信息，但并非承认此处描述的任何技术代表现有技术。

3gpp第五代(5g)系统(5gs)旨在支持具有广泛要求的应用。在物联网(iot)领域，一项要求可能是设备的能量效率，例如具有必须使用多年的电池的便宜传感器。如果此类设备使用次认证，并在设备与通过5gs到达的数据网络(dn)中的某些实体之间应用应用层端到端安全性，那么在对5gs的主认证之后，在进行3gpp指定的分组数据汇聚协议(pdcp)层用户平面业务加密和/或完整性保护(即在设备和作为下一代nodeb(gnb)的pdcp实体之间)中并没有显着的安全增益。因此，所述规范要求对网络和设备都提供这种保护支持，但包括不使用它的选项。由网络(而不是由设备)根据在决策时网络中必须可用的策略来完成该决策。

对于ue与外部数据网络之间的次认证，5gs有一个概念，其中如果会话管理功能(smf)可用的统一数据管理(udm)订阅信息仅在成功的次认证后才允许对于外部dn的访问，则5gs(在其控制平面中)在设备和dn之间传输可扩展认证协议(eap)消息。这样允许在设备和dn之间执行任意eap认证方法，通过这些方法，可以在设备和dn之间完成认证和密钥协商。只有当dn向5gs报告eap运行成功时，5gs才会在设备和dn之间建立用户平面连接性。

在协议数据单元(pdu)会话建立期间，会话管理功能会根据smf处的本地策略，向gnb(与设备相连)发送有关将通过空中应用何用户平面保护的信息，所述本地策略可以针对机密性和完整性二者具有值“需要”，“优选的”或“不需要”。3gpp没有规定本地策略可以是什么。发明人设想的一个例子是网络运营商和数据网络运营商同意到这个dn的所有pdu会话都不需要保护。然后，运营商将smf配置为针对所有这样的会话向gnb发送策略“不需要完整性和机密性”。这将是用于到该dn的所有pdu会话的静态策略。

由于可扩展性的原因，可以在smf中静态配置每dn的细粒度策略似乎是不现实的。此外，这样的策略将是相当静态的。也就是说，dn运营商足够频繁地使移动网络运营商(mno)配置smf中的新策略或更改策略是不现实的。

已规定：当dn的认证、授权和计费(aaa)服务器成功认证用户时，它将向smf发送远程认证拨入用户服务(radius)或diameter消息。除了eap成功消息外，radius或diameter消息还包含所谓的授权数据，所述授权数据可能包含对smf中本地配置的授权数据的引用。所述数据是称为3gpp-授权-引用的属性值对(avp)，并且是一个八位字节字符串。字符串的用途未被规定。

业务加密和完整性保护程序以及相关的计算成本和电池消耗，特别给物联网设备尤其是电池供电的物联网设备带来了挑战，这些设备设计的电池寿命可能超过一两年。

技术实现要素：

根据本发明的第一示例方面，提供了一种5g系统的会话管理功能中的方法，所述方法包括：

接收将对给定的用户设备进行次认证以用于授权用户设备使用数据网络的信息；

响应于所接收的信息，与所述数据网络通信并从所述数据网络接收指示；以及

允许到所述用户设备的5g接入，从而使得所述用户设备能够根据所述指示在没有密码保护或具有密码保护的情况下与所述数据网络通信。

授权所述用户设备使用数据网络可以允许所述用户设备使用所述数据网络中的服务。

密码保护可以包括分组数据汇聚协议层保护。分组数据汇聚协议层保护可以包括完整性保护和/或加密。

所述方法可以包括在由5g系统提供的用于所述用户设备与所述数据网络的通信的所有承载上应用密码保护。所述方法可以包括在由5g系统提供的用于所述用户设备与所述数据网络的通信的协议数据单元会话所有承载上应用密码保护。

所述指示可以在radius或diameter消息中接收，例如radius接入-接受消息、diametereap-应答消息或diameter重新认证请求消息。该radius或diameter消息可以包括可扩展认证协议成功消息。该radius或diameter消息可以包括第一部分，所述第一部分包括可扩展认证协议成功消息。该radius或diameter消息可以包括包含所述指示的第二部分。所述第二部分可以是3gpp-授权-引用属性值对。所述指示可以涉及所述数据网络所期望的分组数据汇聚层安全策略。所述指示可以包括对定义完整性保护和/或加密设置的多个安全策略中给定的一个安全策略的引用。安全策略可以具有从策略值“需要的”、“优选的”或“不需要”中选择的值，一个用于完整性保护，一个用于加密。值“不需要”可以解释为不使用。

或者，所述指示可以包括完整性保护和/或加密的设置。设置可以包括定义是否应为所述用户设备和所述5g系统之间的连接建立任何完整性保护。设置可以包括定义是否应为所述用户设备和所述5g系统之间的连接建立任何加密。这些设置可以进一步指定应该如何实施完整性保护和/或加密，例如应使用何密码套件。

所述指示可以包括用户平面保护指示，所述用户平面保护指示被配置为指示在所述用户设备和所述5g系统之间的通信不需要完整性保护和/或加密。

所述指示可以包括两个标志，一个标志用于加密，另一个标志用于完整性保护。这些标志可以指示是否应用完整性保护和加密。所述指示可能约束受制于国家法律要求的5g系统，例如约束按规定的加密使用。

5g系统还可以向数据网络或数据网络可用的储存库提供关于安全策略的安全策略信息，以使数据网络能够选择安全策略。5g系统还可以通过离线通信，例如使用存储在存储介质上的一个或多个记录，向所述数据网络或所述数据网络可用的存储库提供关于安全策略的安全策略信息。安全策略可以通过相应的标识符或值来关联，以使得能够通过数据网络引用到期望的安全策略。安全策略信息可以包括安全策略的属性的指示。安全策略信息可以包括安全策略的定义。

响应于认证请求与数据网络的通信可以在会话管理功能所述与数据网络的认证、授权和计费服务器之间执行。

认证请求可以在通过5g系统向用户设置提供通信连接的网络附连过程之前被接收。当用户设备通过5g系统具有正在进行的通信连接时，可以在完成网络附连之后接收认证请求。

5g系统可以包括蜂窝无线网络。

数据网络可能在5g系统外部。

根据第二示例方面，提供了一种5g系统的会话管理功能，包括：

输入，用于接收将对给定的用户设备进行次认证以用于授权该用户设备使用数据网络的信息；

处理模块，被配置为响应于所接收的信息来至少执行：

与数据网络通信并从数据网络接收该指示；以及

允许到用户设备的5g接入，从而使得用户设备能够根据指示在没有密码保护或具有密码保护的情况下与该数据网络通信。

该输入可以包括数据输入电路。该输入可以包括计算机程序代码。

所述处理块可以包括计算机程序代码。所述处理块可以包括处理器。

加密保护可以包括分组数据汇聚协议层保护。分组数据汇聚协议层保护可以包括完整性保护和/或加密。

会话管理功能可以是由至少一个服务器计算机或计算云实现的服务。

根据第三示例方面，提供了一种用于数据网络的认证、计费和授权功能，所述数据网络是用户设备经由5g系统可访问的，并且所述认证、计费和授权功能被配置为利用5g系统的会话管理功能对用户设备执行次认证，所述认证、计费和授权功能包括：

输入，用于从5g系统的会话管理功能接收用于授权用户设备使用数据网络的次认证请求；

处理模块，被配置为响应于所述第二认证请求而至少执行：

确定5g系统是否应为用户设备提供具有完整性保护和/或加密的通信信道；以及

基于所述确定，向所述5g系统发送指示，所述指示被配置为使5g系统向用户设备提供没有密码保护或有密码保护的通信信道。

所述认证、计费和授权功能可以是由至少一个服务器计算机或计算云实现的服务。

输入可以包括数据输入电路。所述输入可以包括计算机程序代码。

所述处理块可以包括计算机程序代码。所述处理块可以包括处理器。

密码保护可以包括分组数据汇聚协议层保护。分组数据汇聚协议层保护可以包括完整性保护和/或加密。

根据第四示例方面，提供了一种在用于数据网络的认证、计费和授权功能中的方法，所述数据网络用户设备经由5g系统可访问的，并且所述认证、计费和授权功能被配置为利用5g系统的会话管理功能执行对所述用户设备的认证和授权，所述方法包括：

从5g系统的会话管理功能接收用于向数据网络认证和授权用户设备的次认证请求；

响应于该次认证请求至少执行：

确定5g系统是否应为所述用户设备提供具有完整性保护和/或加密的通信信道；以及

基于该确定，向5g系统发送指示，该指示被配置为使5g系统向用户设装置提供没有密码保护或具有密码保护的通信信道。

根据第五示例方面，提供一种包括计算机程序代码的计算机程序，所述计算机程序代码被配置为使计算机在执行程序代码时执行第一或第四示例方面的方法。

根据第六示例方面，提供了一种包括第五示例方面的计算机程序的计算机程序产品。所述计算机程序产品可以包括被配置为存储第五示例方面的计算机程序的存储介质。存储介质可以是非暂时性存储介质。

根据第七示例方面，提供了一种系统，包括5g系统的会话管理功能以及数据网络的认证、计费和授权功能。

根据第八示例方面，提供了一种包括5g系统和数据网络的系统。

前面已经说明了本发明的不同的非约束性示例方面和实施例。前述的实施例仅用于解释可以在本发明的实现中利用的所选方面或步骤。一些实施例可以仅参考本发明的某些示例方面来呈现。应当理解，相应的实施例也可以应用于其他示例方面。

附图说明

为了更完整地理解本发明的示例实施例，现在参考以下结合附图进行的描述，其中：

图1示出了示例实施例的系统的架构图；

图2示出了5g系统的会话管理功能中的示例实施例的过程的流程图；

图3示出了根据示例实施例的适合于实现图2的过程的5g系统的会话管理功能的框图；

图4示出了根据示例实施例的用于数据网络的认证、计费和授权功能的框图；

图5示出了在认证、计费和授权功能中的示例实施例的过程的流程图；以及

图6示出了适于作为根据示例实施例的5g系统的会话管理功能操作的，或适于作为根据示例实施例的认证、计费和授权功能操作的装置的框图。

具体实施方式

通过参照图1和图6，可以理解本发明的示例实施例及其潜在的优点。在本文件中，相同的附图标记表示相同的部件或步骤。

图1示出了示例实施例的系统100的架构图。系统100包括用于向多个用户设备112提供无线电通信的5g系统110。系统100还包括数据网络120，所述数据网络120具有例如服务功能122(例如通过网络服务服务器或云计算服务实现的网络服务)。在成功的会话建立之后，用户设备可以通过5g系统110与数据网络120进行通信，例如与其中的服务功能122通信。为了认证和授权用户设备112与数据网络120的通信，数据网络包括认证、计费和授权功能124。5g系统110还包括用于控制5g系统110中的会话建立的会话管理功能114。

例如，5g系统110是能够为物联网设备提供无线电通信服务的3gpp5g系统，物联网设备是能够自动测量并通过互联网通信相互中继测量信息而无需人工操作的设备。在系统100中，用户设备112可以是例如智能电话。备选地，用户设备112可以是旨在基于其测量的信息或检测到的事件仅通信其自身动作的装置。例如，该装置可以是自动售货机。

图2示出了5g系统的会话管理功能中的示例实施例的过程的流程图，该过程包括：

210.接收将对给定的用户设备112进行次认证以用于授权用户设备

112使用数据网络120(在示例性实施例中，使用数据网络120包括使用数据网络120的任何服务功能122)的信息；

220.响应于所接收的信息，与数据网络120通信并从数据网络120接收指示；以及

230.允许到用户设备112的5g接入，使得用户设备112可以根据该指示在没有密码保护或具有密码保护的情况下与数据网络120通信。

在示例实施例中，密码保护包括分组数据汇聚协议层保护。分组数据汇聚协议层保护可以包括完整性保护和/或加密。

在示例实施例中，密码保护被应用于由5g系统提供的用于用户设备与数据网络的通信的所有承载，例如，在用于用户设备与数据网络的通信的协议数据单元会话中。例如，一些视频传输会话可以使用多个承载，并且如果不需要完整性保护和/或不需要加密，则可以将相同的策略应用于5g系统为此会话分配的所有承载。

在示例实施例中，在radius或diameter消息中接收指示。在示例实施例中，radius或diameter消息是作为radius访问-接受消息、diametereap-应答消息或diameter重新认证请求消息。在示例实施例中，radius或diameter消息包括可扩展认证协议成功消息。在示例实施例中，radius或diameter消息包括第一部分，该第一部分包括所述可扩展认证协议成功消息。radius或diameter消息可以包括包含该指示的第二部分。第二部分可以是3gpp-授权-引用属性值对。所述指示可以涉及数据网络期望的分组数据汇聚层安全策略。所述指示可以包括对定义完整性保护和/或加密的设置的多个安全策略中的给定一个安全策略的引用。在示例实施例中，安全策略具有从策略值“需要的”、“优选的”或“不需要”中选择的值对，一个用于完整性保护，另一个用于加密。在示例实施例中，值“不需要”被解释为不被使用。

在示例实施例中，所述指示包括对定义完整性保护和/或加密的设置的多个安全策略中的给定安全策略的引用。在替代示例实施例中，所述指示包括完整性保护和/或加密的设置。在示例实施例中，设置包括定义是否应当为用户设备和5g系统之间的连接建立任何完整性保护。在示例实施例中，设置包括定义是否应当为用户设备112与5g系统110之间的连接建立任何加密。在示例实施例中，设置还指定应如何实现完整性保护和/或加密，例如应使用哪个密码套件。

在示例实施例中，所述指示包括用户平面保护指示，该用户平面保护指示被配置为指示在用户设备112与5g系统110之间的通信不需要完整性保护和/或加密。

在示例实施例中，所述指示包括两个标志，一个标志用于加密，另一个标志用于完整性保护。在示例实施例中，标志指示是否应用完整性保护和加密。在一个示例实施例中，所述指示约束受制于国家法律的5g系统110，例如约束按规定的加密使用。

在示例实施例中，5g系统110进一步(例如通过在线或离线通信，直接或间接地)向数据网络或数据网络可用的存储库提供有关安全策略的安全策略信息，以使数据网络能够选择安全策略。例如，关于安全策略的安全策略信息可以通过离线通信提供给数据网络或数据网络可用的存储库，所述离线通信使用可移动存储介质，例如usb记忆棒、cd、dvd或cd或蓝光光盘或便携式硬盘。在示例实施例中，安全策略通过各自的标识符或值关联，以使得数据网络能够引用参考期望的安全策略。在示例实施例中，安全策略信息包括安全策略的属性的指示。在示例实施例中，安全策略信息包括安全策略的定义。

在示例实施例中，响应于认证请求与数据网络120进行通信是在数据网络的会话管理功能114与认证、授权和计费功能124之间执行的。

在一个示例实施例中，所述认证请求是在完成通过5g系统110向用户设备112提供通信连接的网络附连过程之前接收的。

在示例实施例中，5g系统110包括蜂窝无线电网络。

在示例实施例中，所述数据网络120在5g系统外部。

在一个示例实施例中，密码保护包括分组数据汇聚协议层保护。在一个示例实施例中，分组数据汇聚协议层保护包括完整性保护和/或加密。

在示例实施例中，会话管理功能114是由至少一个服务器计算机或计算云实现的服务。

图3示出了根据示例实施例的适于实现图2的过程的5g系统的会话管理功能114的框图，包括：

输入310，用于接收将对给定的用户设备112进行次认证以用于授权用户设备112使用数据网络120(所述数据网络120可能在5g系统110外部或由5g系统110实现)的信息；

处理块320，被配置为响应于该接收的信息而至少执行：

与数据网络120通信并从数据网络120接收指示；以及

允许到用户设备112的5g接入，从而使得用户设备112可以根据该指示在没有密码保护或带有密码保护的情况下与数据网络120通信。

在示例实施例中，输入310包括数据输入电路。在示例实施例中，输入包括计算机程序代码。

在示例实施例中，处理块320包括计算机程序代码。在示例实施例中，处理块包括处理器。

图4示出了用于数据网络120的根据示例实施例的认证、计费和授权功能124的框图。用于数据网络120的认证、计费和授权功能124是5g系统110中的用户设备112可访问的，并且被配置为利用5g系统110的会话管理功能114对用户设备112进行次认证。认证、计费和授权功能124包括：

输入410，用于从5g系统的会话管理功能接收用于授权用户设备到数据网络的次认证请求；以及

处理块420，被配置为响应于所述次认证请求至少执行：

确定5g系统是否应向用户设备112提供具有完整性保护和/或加密的通信信道；以及

基于该确定(5g系统是否应向用户设备112提供具有完整性保护和/或加密的通信信道)，向5g系统110发送指示，该指示被配置为使5g系统110向用户设备112提供没有密码保护或具有密码保护的通信信道。

在一示例实施例中，认证、计费和授权功能124是由至少一个服务器计算机或计算云实现的服务。

在示例实施例中，输入410包括数据输入电路。所述输入可以包括计算机程序代码。

在示例实施例中，处理块420包括计算机程序代码。在示例实施例中，处理块420包括处理器。

在示例实施例中，密码保护包括分组数据汇聚协议层保护。在一个示例实施例中，分组数据汇聚协议层保护包括完整性保护和/或加密。

图5示出了用于数据网络120的认证、计费和授权功能124中的示例实施例的过程的流程图，所述数据网络120是5g系统中的用户设备112可访问的，并且所述认证、计费和授权功能124被配置为利用5g系统的会话管理功能114来执行用户设备112的次认证。所述方法包括：

510.从5g系统110的会话管理功能114接收用于授权用户设备112使用数据网络120的认证请求；

520.响应于该认证请求，至少执行：

530.确定5g系统110是否应向用户设备112提供具有完整性保护和/或加密的通信信道；以及

540.基于该确定，向5g系统110发送指示，所述指示被配置为使5g系统110向用户设备112提供没有密码保护或具有密码保护的通信信道。

图6示出了根据示例实施例适于作为5g系统的会话管理功能的或者根据示例实施例适于作为认证、计费和授权功能的装置600的框图。装置600包括存储器640，其包括持久性计算机程序代码650和数据660，例如关于安全策略和证书的信息。装置600还包括：处理器620，用于使用计算机程序代码640来控制装置600的操作；通信单元610，用于与其他元件进行通信。通信单元610包括例如局域网(lan)端口；或数据总线。处理器620包括例如以下中的任何一个或多个：主控制单元(mcu)；微处理器；数字信号处理器(dsp)；专用集成电路(asic)；现场可编程门阵列；以及微控制器。

如在本申请中使用的，术语“电路”可以指以下的一个或多个或全部：

(a)仅硬件电路实现(例如仅在模拟和/或数字电路中的实现)；以及

(b)硬件电路和软件的组合，例如(如适用)：

(i)模拟和/或数字硬件电路与软件/固件的组合；以及

(ii)具有软件的硬件处理器的任何部分(包括数字信号处理器)、软件和存储器，它们共同工作以使诸如移动电话或服务器之类的装置执行各种功能；和

(c)硬件电路和/或处理器，例如微处理器或微处理器的一部分，需要软件(例如，固件)才能运行，但是当操作不需要软件时，该软件可能不存在。

电路的这种定义适用于本申请中，包括在任何权利要求中，所述术语的所有用途。作为另一个示例，如本申请中所使用的，术语“电路”也仅涵盖硬件电路或处理器(或多个处理器)或硬件电路或处理器及其(或它们)伴随软件和/或固件的一部分的实现。例如如果适用于特定权利要求元素的话，术语“电路”还覆盖用户移动设备的基带集成电路或处理器集成电路或者在服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。

在不以任何方式限制下面出现的权利要求的范围、解释或应用的情况下，本文公开的一个或多个示例实施例的技术效果是，可以避免对数据网络和5g系统之间进行管理级别交互以建立(静态)策略的需求。本文公开的一个或多个示例实施例的另一技术效果是，可以在基于每个会话的基础上选择安全策略时提供完全的灵活性，而不是静态策略。本文公开的一个或多个示例实施例的另一个技术效果是，相同的设备或用户设备可以连接到相同的数据网络，或者换句话说：建立到同一数据网络的会话——多次(连续)，并且取决于每个不同会话的需求，有时会接收分组数据汇聚协议层的保护，有时不会接收。

本发明的实施例可以以软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合来实现。在示例实施例中，应用逻辑、软件或指令集被维持在各种常规计算机可读介质中的任何一种上。在本文档的上下文中，“计算机可读介质”可以是能够包含、存储、通信、传播或传输指令的任何非暂时性介质或装置，以供指令执行系统、装置或设备(例如计算机)使用或与其结合使用，并在图6中描述和描绘了一个计算机示例。计算机可读介质可以包括计算机可读存储介质，所述介质可以是能够包含或存储由指令执行系统、装置或设备(例如，计算机)使用或与其结合使用的指令的任何介质或装置。

如果需要，可以以不同的顺序和/或彼此同时地执行本文讨论的不同功能。此外，如果需要，上述的一个或多个功能中可以是可选的或可以被组合。

尽管在独立权利要求中阐述了本发明的各个方面，但是本发明的其他方面包括来自所描述的实施例和/或从属权利要求的特征与独立权利要求的特征的其他组合，而不仅限于权利要求中明确阐述的组合。

在此还应注意，尽管以上描述了本发明的示例实施例，但是这些描述不应被视为限制。而是，在不脱离所附权利要求书所限定的本发明的范围的情况下，可以进行多种变化和修改。