一种安全通信方法及装置与流程

技术特征：
1.一种安全通信方法，其特征在于，所述方法包括：第一网络功能nf向第三nf发送第一请求消息，所述第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于所述第一请求消息，所述第三nf确定所述第一用户标识的可信属性；若所述第一用户标识的可信属性符合预设条件，则所述第三nf向所述第一nf发送第一响应消息，所述第一响应消息携带所述第一用户标识的第二假名信息。2.根据权利要求1所述的方法，其特征在于，所述第三nf向所述第一nf发送第一响应消息，包括：若所述第一nf的可信级别匹配预设级别，则所述第三nf向所述第一nf发送所述第一响应消息。3.根据权利要求1或2所述的方法，其特征在于，所述第三nf向所述第一nf发送第一响应消息，包括：若所述第一nf所在的安全域的可信级别匹配预设级别，则所述第三nf向所述第一nf发送所述第一响应消息。4.根据权利要求1-3任一项所述的方法，其特征在于，所述第三nf确定所述第一用户标识的可信属性，包括：所述第三nf根据所述第一用户标识的签约等级确定所述第一用户标识的可信属性；或者，所述第三nf根据所述第一用户标识的会话属性确定所述第一用户标识的可信属性；或者，所述第三nf根据所述第一用户标识的行业要求确定所述第一用户标识的可信属性。5.根据权利要求1-4任一项所述的方法，其特征在于，所述第三nf向所述第一nf发送第一响应消息之前，所述方法还包括：所述第三nf根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：所述第三nf保存所述第二假名信息和所述第一用户标识的对应关系。7.根据权利要求1-4任一项所述的方法，其特征在于，所述第三nf向所述第一nf发送第一响应消息之前，所述方法还包括：所述第三nf向第四nf发送第二请求消息，所述第二请求消息携带所述第一假名信息；响应于所述第二请求消息，所述第四nf根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息；所述第四nf向所述第三nf发送所述第二假名信息，所述第三nf接收所述第二假名信息。8.根据权利要求1-7任一项所述的方法，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：若所述第一响应消息中包括所述第一指示信息，则所述第一nf根据所述第二假名信息
生成所述根密钥；所述第一nf向所述终端设备发送所述第一指示信息。10.根据权利要求8所述的方法，其特征在于，所述方法还包括：若所述第一响应消息中包括所述第二指示信息，则所述第一nf根据所述第二假名信息生成所述用户面密钥；所述第一nf向所述终端设备发送所述第二指示信息。11.根据权利要求10述的方法，其特征在于，所述方法还包括：所述第一nf向用户面功能发送所述用户面密钥。12.一种安全通信方法，其特征在于，所述方法包括：终端设备接收第一网络功能nf发送的第一指示信息；其中，所述第一指示信息用于指示所述终端设备生成第二假名信息和/或根密钥；所述终端设备根据第一用户标识生成所述第二假名信息；所述终端设备根据所述第二假名信息生成所述根密钥；所述终端设备根据所述根密钥生成接入层密钥和/或非接入层密钥；其中，所述接入层密钥用于对所述终端设备与接入设备之间的数据和/或信令进行保护，所述非接入层密钥用于对所述终端设备与所述第一nf之间的数据和/或信令进行保护。13.一种安全通信方法，其特征在于，所述方法包括：终端设备接收第一nf发送的第二指示信息，所述第二指示信息用于指示所述终端设备生成用户面密钥；所述终端设备根据第一用户标识生成第二假名信息；所述终端设备根据所述第二假名信息生成根密钥；所述终端设备根据所述根密钥生成所述用户面密钥，所述用户面密钥用于对所述终端设备与用户面功能之间的数据进行保护。14.一种安全通信方法，其特征在于，所述方法包括：第一网络功能nf向网络存储功能nrf发送第三请求消息，所述第三请求消息携带可信级别；响应于所述第三请求消息，所述nrf根据所述可信级别确定第二nf；所述nrf向所述第一nf发送所述第二nf的标识信息。15.根据权利要求14所述的方法，其特征在于，所述nrf根据所述可信级别确定第二nf之前，所述方法还包括：所述nrf接收所述第二nf发送的注册请求消息，所述注册请求消息携带所述第二nf的可信级别；所述nrf保存所述第二nf的标识信息和所述第二nf的可信级别的对应关系。16.根据权利要求15所述的方法，其特征在于，所述nrf根据所述可信级别确定第二nf，包括：所述nrf根据保存的所述第二nf的标识信息和所述第二nf的可信级别的对应关系，以及所述第三请求消息中携带的所述可信级别，确定所述第二nf。17.根据权利要求14-16任一项所述的方法，其特征在于，所述第一网络功能nf向网络存储功能nrf发送第三请求消息之前，所述方法还包括：
所述第一nf从第三nf获取第一用户标识的可信属性；所述第一nf根据所述第一用户标识的可信属性确定所述可信级别。18.根据权利要求14或15所述的方法，其特征在于，所述第一网络功能nf向网络存储功能nrf发送第三请求消息之前，所述方法还包括：所述第一nf向网络切片选择功能nssf发送第四请求消息，所述第四请求消息携带第一切片的标识信息；所述nssf向所述第一nf发送第四响应消息，所述第四响应消息中携带所述第一切片的可信级别。19.根据权利要求18所述的方法，其特征在于，所述nssf向所述第一nf发送第四响应消息之前，所述方法还包括：所述nssf根据第一预配置信息和所述第一切片的标识信息，确定所述第一切片的可信级别，所述第一预配置信息中包括所述第一切片的可信级别和所述第一切片的标识信息的对应关系。20.根据权利要求19所述的方法，其特征在于，所述第三请求消息携带可信级别包括：所述第三请求消息携带所述第一切片的可信级别；以及所述第三请求消息中还携带所述第一切片的标识信息；所述nrf根据所述可信级别确定第二nf，包括：所述nrf根据所述第一切片的标识信息确定与所述第一切片对应的第二nf集合；所述nrf根据保存的nf的标识信息和所述nf的可信级别的对应关系，以及所述第一切片的可信级别，从所述第二nf集合中确定所述第二nf。21.根据权利要求14或15所述的方法，其特征在于，所述第一网络功能nf向网络存储功能nrf发送第三请求消息之前，所述方法还包括：所述第一nf向网络切片选择功能nssf发送第四请求消息，所述第四请求消息携带第一切片的标识信息；所述nssf向所述第一nf发送第四响应消息，所述第四响应消息中携带第二nf集合的标识信息和所述第二nf集合的可信级别，所述第二nf集合为与所述第一切片对应的nf集合。22.根据权利要求21所述的方法，其特征在于，所述nssf向所述第一nf发送第四响应消息之前，所述方法还包括：所述nssf根据第二预配置信息和所述第一切片的标识信息，确定所述第二nf集合的可信级别，所述第二预配置信息中包括所述第二nf集合的标识信息和所述第二nf集合的可信级别的对应关系。23.根据权利要求22所述的方法，其特征在于，所述第三请求消息携带可信级别包括：所述第三请求消息携带所述第二nf集合的可信级别；以及所述第三请求消息还携带所述第二nf集合的标识信息；所述nrf根据所述可信级别确定第二nf，包括：所述nrf根据保存的nf的标识信息和所述nf的可信级别的对应关系，以及所述第二nf集合的可信级别，从所述第二nf集合中确定所述第二nf。24.一种安全通信方法，其特征在于，所述方法包括：域名系统dns接收来自第一网络功能nf的第五请求消息，所述第五请求消息携带域名
信息和可信级别；响应于所述第五请求消息，所述dns根据所述域名信息和所述可信级别确定第二nf；所述dns向所述第一nf发送所述第二nf的标识信息。25.一种无线通信系统，其特征在于，所述系统包括：第一网络功能nf，用于向第三nf发送第一请求消息，所述第一请求消息携带终端设备的第一用户标识的第一假名信息；所述第三nf，用于响应于所述第一请求消息，确定所述第一用户标识的可信属性；以及若所述第一用户标识的可信属性符合预设条件，则向所述第一nf发送第一响应消息，所述第一响应消息携带所述第一用户标识的第二假名信息。26.根据权利要求25所述的系统，其特征在于，所述第三nf，具体用于若所述第一nf的可信级别匹配预设级别，则向所述第一nf发送所述第一响应消息。27.根据权利要求25或26所述的系统，其特征在于，所述第三nf，具体用于若所述第一nf所在的安全域的可信级别匹配预设级别，则向所述第一nf发送所述第一响应消息。28.根据权利要求25-27任一项所述的系统，其特征在于，所述第三nf，具体用于根据所述第一用户标识的签约等级确定所述第一用户标识的可信属性；或者，所述第三nf，具体用于根据所述第一用户标识的会话属性确定所述第一用户标识的可信属性；或者，所述第三nf，具体用于根据所述第一用户标识的行业要求确定所述第一用户标识的可信属性。29.根据权利要求25-28任一项所述的系统，其特征在于，所述第三nf，还用于根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息。30.根据权利要求29所述的系统，其特征在于，所述第三nf，还用于保存所述第二假名信息和所述第一用户标识的对应关系。31.根据权利要求25-28任一项所述的系统，其特征在于，所述第三nf，还用于向第四nf发送第二请求消息，所述第二请求消息携带所述第一假名信息；所述系统还包括：所述第四nf，用于响应于所述第二请求消息，根据所述第一假名信息得到所述第一用户标识，以及根据所述第一用户标识生成所述第二假名信息；以及向所述第三nf发送所述第二假名信息；所述第三nf，还用于接收所述第二假名信息。32.根据权利要求25-31任一项所述的系统，其特征在于，所述第一响应消息中还携带第一指示信息和/或第二指示信息，所述第一指示信息用于指示生成所述第二假名信息和/或根密钥，所述第二指示信息用于指示生成用户面密钥。33.根据权利要求32所述的系统，其特征在于，
所述第一nf，还用于若所述第一响应消息中包括所述第一指示信息，则根据所述第二假名信息生成所述根密钥；以及向所述终端设备发送所述第一指示信息。34.根据权利要求32所述的系统，其特征在于，所述第一nf，还用于若所述第一响应消息中包括所述第二指示信息，则根据所述第二假名信息生成所述用户面密钥；以及向所述终端设备发送所述第二指示信息。35.根据权利要求34所述的系统，其特征在于，所述第一nf，还用于向用户面功能发送所述用户面密钥。36.一种无线通信系统，其特征在于，所述系统包括：第一网络功能nf，用于向网络存储功能nrf发送第三请求消息，所述第三请求消息携带可信级别；所述nrf，用于响应于所述第三请求消息，根据所述可信级别确定第二nf；以及向所述第一nf发送所述第二nf的标识信息。37.根据权利要求36所述的系统，其特征在于，所述nrf，还用于接收所述第二nf发送的注册请求消息，所述注册请求消息携带所述第二nf的可信级别；以及保存所述第二nf的标识信息和所述第二nf的可信级别的对应关系。38.根据权利要求37所述的系统，其特征在于，所述nrf，具体用于根据保存的所述第二nf的标识信息和所述第二nf的可信级别的对应关系，以及所述第三请求消息中携带的所述可信级别，确定所述第二nf。39.根据权利要求36-38任一项所述的系统，其特征在于，所述第一nf，还用于从第三nf获取第一用户标识的可信属性；以及根据所述第一用户标识的可信属性确定所述可信级别。40.根据权利要求36或37所述的系统，其特征在于，所述第一nf，还用于向网络切片选择功能nssf发送第四请求消息，所述第四请求消息携带第一切片的标识信息；所述系统还包括：所述nssf，用于向所述第一nf发送第四响应消息，所述第四响应消息中携带所述第一切片的可信级别。41.根据权利要求40所述的系统，其特征在于，所述nssf，还用于根据第一预配置信息和所述第一切片的标识信息，确定所述第一切片的可信级别，所述第一预配置信息中包括所述第一切片的可信级别和所述第一切片的标识信息的对应关系。42.根据权利要求40所述的系统，其特征在于，所述第三请求消息携带可信级别包括：所述第三请求消息携带所述第一切片的可信级别；以及所述第三请求消息中还携带所述第一切片的标识信息；所述nrf，具体用于根据所述第一切片的标识信息确定与所述第一切片对应的第二nf集合；根据保存的nf的标识信息和所述nf的可信级别的对应关系，以及所述第一切片的可信级别，从所述第二nf集合中确定所述第二nf。43.根据权利要求36或37所述的系统，其特征在于，所述第一nf，还用于向网络切片选择功能nssf发送第四请求消息，所述第四请求消息
携带第一切片的标识信息；所述系统还包括：所述nssf，用于向所述第一nf发送第四响应消息，所述第四响应消息中携带第二nf集合的标识信息和所述第二nf集合的可信级别，所述第二nf集合为与所述第一切片对应的nf集合。44.根据权利要求43所述的系统，其特征在于，所述nssf，还用于根据第二预配置信息和所述第一切片的标识信息，确定所述第二nf集合的可信级别，所述第二预配置信息中包括所述第二nf集合的标识信息和所述第二nf集合的可信级别的对应关系。45.根据权利要求44所述的系统，其特征在于，所述第三请求消息携带可信级别包括：所述第三请求消息携带所述第二nf集合的可信级别；以及所述第三请求消息还携带所述第二nf集合的标识信息；所述nrf，具体用于根据保存的nf的标识信息和所述nf的可信级别的对应关系，以及所述第二nf集合的可信级别，从所述第二nf集合中确定所述第二nf。

技术总结
本申请实施例公开一种安全通信方法及装置，该方法包括：第一NF向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于第一请求消息，该第三NF确定第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则该第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。该方法中第一用户标识以假名化的方式存在于不同NF之间，避免了第一用户标识被不被信任的NF篡改或截获等，提高了第一用户标识的安全性。提高了第一用户标识的安全性。提高了第一用户标识的安全性。


技术研发人员：周艳 何承东 林青春
受保护的技术使用者：华为技术有限公司
技术研发日：2020.05.09
技术公布日：2021/11/14