WO2024146582A1 - 通信方法和通信装置 - Google Patents

通信方法和通信装置 Download PDF

Info

Publication number
WO2024146582A1
WO2024146582A1 PCT/CN2024/070490 CN2024070490W WO2024146582A1 WO 2024146582 A1 WO2024146582 A1 WO 2024146582A1 CN 2024070490 W CN2024070490 W CN 2024070490W WO 2024146582 A1 WO2024146582 A1 WO 2024146582A1
Authority
WO
WIPO (PCT)
Prior art keywords
network element
management function
function network
session management
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/CN2024/070490
Other languages
English (en)
French (fr)
Inventor
吴义壮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to EP24738515.6A priority Critical patent/EP4642072A4/en
Publication of WO2024146582A1 publication Critical patent/WO2024146582A1/zh
Anticipated expiration legal-status Critical
Priority to US19/261,662 priority patent/US20250338123A1/en
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/12Setup of transport tunnels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/22Manipulation of transport tunnels

Definitions

  • the present application relates to the field of communications, and more particularly, to a communication method and a communication method.
  • UE user equipment
  • EHE edge hosting environment
  • VPN visited public land mobile network
  • the UE can initiate a registration process and a protocol data unit (PDU) session establishment process to the visited network to establish a network connection to the visited EHE.
  • PDU protocol data unit
  • the UE can obtain the application server address in the visited EHE by interacting with the visited domain name system (DNS) server.
  • DNS visited domain name system
  • the present application provides a communication method and a communication method, which can protect the communication security between a DNS server at a visited location and a communication device.
  • the method includes: a session management function network element at a visited location obtains security information of a domain name system DNS server and an identifier of the DNS server at the visited location, wherein the security information is used to establish a secure connection between a terminal device and the DNS server; the session management function network element at the visited location sends the security information and the identifier of the DNS server to a session management function network element at a home location; the session management function network element at the visited location receives protocol configuration options (PCO) from the session management function network element at the home location, wherein the PCO includes the security information and the identifier of the DNS server; and the session management function network element at the visited location sends the PCO to the terminal device.
  • PCO protocol configuration options
  • the DNS server of the visited location can be a V-edge application server discovery function network element (V-EASDF) of the visited location.
  • V-EASDF V-edge application server discovery function network element
  • the V-EASDF in the embodiment of the present application is an enhanced function of the DNS server.
  • V-EASDF can support all the functions of the DNS server and has been additionally enhanced. Therefore, the specific implementation method of the subsequent UE interacting with the V-EASDF to perform the server discovery process based on the security information can refer to the implementation method of the current interaction between the UE and the DNS server. For the sake of brevity, it will not be described in detail here.
  • the technical solution of the present application is mainly aimed at roaming scenarios and is applied to the process of establishing or modifying a session of a terminal device, that is, the process of establishing or modifying a PDU session of a terminal device when the terminal device is located at a visited location.
  • the session management function network element at the visited location obtains security information and exchanges security information with the session management function network element at the home location. Furthermore, a PCO containing security information is obtained from the session management function network element at the home location, and the PCO is sent to the terminal device, so that the terminal device can establish a secure connection with the DNS server based on the security information, thereby improving the security performance of communication between the terminal device and the DNS server.
  • the DNS server is authenticated during the process of establishing a secure connection between the terminal device and the DNS server, thereby ensuring network communication security.
  • the security information also includes one or more security protocol types supported by the DNS server, and/or a port number used to establish a secure connection.
  • the session management function network element at the visited location before the session management function network element at the visited location receives the PCO from the session management function network element at the home location, the session management function network element at the visited location sends to the session management function network element at the home location one or more security protocol types supported by the DNS server, and/or the port number used to establish a secure connection; wherein the PCO also includes one or more security protocol types and/or port numbers among the one or more security protocol types supported by the DNS server.
  • the PCO from the session management function network element at the home location is the first PCO; before the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, the session management function network element at the visited location receives the second PCO from the terminal device, wherein the second PCO includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol; the session management function network element at the visited location sends the second PCO to the session management function network element at the home location; the session management function network element at the visited location receives a request message from the session management function network element at the home location, the request message includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol; wherein the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, including: in response to the indication information, the session management function network element at the visited location obtains the security information.
  • the indication information carried in the second PCO for indicating that the terminal device supports security protection of DNS messages based on the security protocol is sent to the session management function network element of the visited location through the session management function network element of the home location, so that the session management function network element of the visited location determines and obtains the security information of the DNS server according to the request message sent by the session management function network element of the home location, thereby increasing the considerations or basis for the session management function network element of the visited location to obtain the security information of the DNS server, so that the network can obtain security information on demand.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server and the identifier of the DNS server located at the visited location, the session management function network element at the visited location receives a home routed session breakout (HR-SBO) permission indication from the mobility and access management function network element; wherein the session management function network element at the visited location obtains the security information of the DNS server and the identifier of the DNS server located at the visited location, including: the session management function network element at the visited location obtains the security information and the identifier of the DNS server according to the HR-SBO permission indication.
  • HR-SBO home routed session breakout
  • the session management function network element at the visited location determines and obtains the security information of the DNS server and the identifier of the DNS server according to the HR-SBO permission indication sent by the mobility and access management function network element, and increases the considerations or basis for the session management function network element at the visited location to obtain the security information of the DNS server and the identifier of the DNS server, so that the network can obtain security information on demand.
  • the session management function network element of the visited location obtains security information of the DNS server located at the visited location, including: the session management function network element of the visited location obtains security information based on local configuration information.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, the session management function network element at the visited location receives the network identifier of the home location from the session management function network element at the home location; wherein the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, including: the session management function network element at the visited location obtains the security information based on the network identifier of the terminal device.
  • the session management function network element at the visited location determines and obtains the security information of the DNS server according to the local configuration information or the network identifier of the home location sent by the session management function network element at the home location, thereby increasing the considerations or basis for the session management function network element at the visited location to obtain the security information of the DNS server, so that the network can obtain accurate security information.
  • the session management function network element at the visited location obtains policy information, and the policy information is used to indicate the trigger conditions for the session management function network element at the home location to send security information to the terminal device; the session management function network element at the visited location sends the policy information to the session management function network element at the home location.
  • the session management function network element at the visited location sends policy information to the session management function network element at the home location, thereby adding a trigger condition for the session management function network element at the home location to send security information to the terminal device, so that the network can provide security information to the terminal device on demand.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, the session management function network element at the visited location receives the user plane security policy corresponding to the session from the session management function network element at the home location, and the user plane security policy indicates that user plane security protection is not enabled or is optionally enabled; wherein, the session management function network element at the visited location obtains the security information of the DNS server located at the visited location, including: the session management function network element at the visited location obtains the security information according to the user plane security policy.
  • the session management function network element at the visited location determines and obtains the security information of the DNS server according to the user plane security policy sent by the session management function network element at the home location, and increases the considerations or basis for the session management function network element at the visited location to obtain the security information of the DNS server, so that the network can obtain security information on demand.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server and the identifier of the DNS server located at the visited location, the session management function network element at the visited location receives HR-SBO authorization information from the session management function network element at the home location; wherein the session management function network element at the visited location obtains the security information of the DNS server and the identifier of the DNS server located at the visited location, including: the session management function network element at the visited location obtains the security information and the identifier of the DNS server based on the HR-SBO authorization information.
  • the session management function network element at the visited location obtains security information and the identifier of the DNS server based on the HR-SBO authorization information, including: when it is determined that the terminal device meets the HR-SBO session establishment conditions, the session management function network element at the visited location obtains security information and the identifier of the DNS server based on the HR-SBO authorization information.
  • the DNS server is a functional network element for the edge server discovery.
  • the session management function network element of the home location exchanges security information with the session management function network element of the visited location, and further sends the PCO containing the security information to the terminal device, so that the terminal device can establish a secure connection with the DNS server based on the security information, thereby ensuring the security of network communications.
  • the DNS server is authenticated during the process of establishing a secure connection between the terminal device and the DNS server, thereby improving the security performance of communication between the terminal device and the DNS server.
  • the second PCO also includes one or more security protocol types supported by the terminal device; wherein the session management function network element at the home location generates the PCO, including: the session management function network element at the home location generates a first PCO based on the one or more security protocol types supported by the terminal device carried in the second PCO, and one or more security protocol types supported by the DNS server, wherein the PCO includes one or more security protocol types among the one or more security protocol types supported by both the DNS server and the terminal device.
  • the session management function network element at the visited location determines and obtains the security information of the DNS server according to the user plane security policy sent by the session management function network element at the home location, thereby increasing the considerations or basis for the session management function network element at the visited location to obtain the security information of the DNS server, so that the network can obtain security information on demand.
  • the transceiver unit can perform the reception and transmission processing in the aforementioned second aspect, and the processing unit can perform other processing except reception and transmission in the aforementioned second aspect.
  • a terminal device such as a UE
  • the device includes: a transceiver unit, configured to send a second PCO to a session management function network element of a visited location, wherein the second PCO includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol; the transceiver unit is also configured to receive a first PCO from the session management function network element of the visited location, wherein the first PCO includes security information and an identifier of a DNS server; and a processing unit, configured to establish a secure connection with the DNS server based on the security information.
  • the memory may be integrated with the processor, or the memory may be provided separately from the processor.
  • a computer program product which includes: a computer program code, when the computer program code is executed by a terminal device, the terminal device executes the method in the above-mentioned first aspect, second aspect, or third aspect and any possible implementation manner thereof.
  • FIG8 is a flow chart of a communication method 800 provided in an embodiment of the present application.
  • FIG9 is a schematic diagram of the structure of a terminal device 1000 provided in an embodiment of the present application.
  • FIG. 10 is a schematic diagram of the structure of another terminal device 2000 provided in an embodiment of the present application.
  • the above-mentioned device providing wireless communication function for the terminal device 110 is collectively referred to as access network equipment or RAN or AN for short. It should be understood that the specific type of access network equipment is not limited herein.
  • SMF 139 is a control plane network function provided by the operator network, responsible for managing the PDU session of the terminal device 110.
  • the PDU session is a channel for transmitting PDUs.
  • the terminal device needs to transmit PDUs to and from the data network DN 140 through the PDU session.
  • the PDU session is established, maintained, and deleted by the SMF network function 139.
  • the SMF network function 139 includes session management (such as session establishment, modification, and release, including tunnel maintenance between the user plane function UPF 130 and (R)AN 120), selection and control of the UPF network function 130, service and session continuity (SSC) mode selection, roaming, and other session-related functions.
  • session management such as session establishment, modification, and release, including tunnel maintenance between the user plane function UPF 130 and (R)AN 120
  • SSC service and session continuity
  • the HR PDU session refers to a home routed PDU session, and this type of PDU session is supported by the SMF controlled by the home network (home PLMN, HPLMN), the SMF controlled by the VPLMN, at least one UPF controlled by the HPLMN, and at least one UPF controlled by the VPLMN.
  • the SMF in the HPLMN selects the UPF in the HPLMN
  • the SMF in the VPLMN selects the UPF in the VPLMN.
  • FIG1( b ) The functions of some network elements in FIG1( b ) are briefly described below.
  • UDM sends SDM information (SDM information) to AMF; correspondingly, AMF receives SDM information from UDM.
  • SDM information SDM information
  • AMF sends a create session management context request to V-SMF; correspondingly, V-SMF receives the create session management context request from AMF.
  • V-SMF determines to create an HR VSBO session
  • V-SMF sends a PDU session Create Request message including a VSBO request, a V-EASDF address or a V-DNS server address to H-SMF.
  • H-SMF requests UDM to obtain SDM information; correspondingly, UDM receives the request for obtaining SDM information from H-SMF.
  • the SDM information includes allowed HR-SBO (HR-SBO allowed), for example, it can be HR-SBO authorization indication, and/or HR-SBO authorization information.
  • H-SMF sends a create HR-SBO session response to V-SMF; correspondingly, V-SMF receives a create HR-SBO session response from H-SMF.
  • the creation of HR-SBO session response includes HR-SBO authorization indication, protocol configuration option (PCO) and the address of the home DNS server.
  • H-SMF determines that the establishment of HR-SBO PDU session is allowed
  • H-SMF sets the DNS server address in PCO to the address of V-EASDF, and sends a PDU session Create Response message including HR-SBO permission indication, PCO, and home DNS server address to V-SMF.
  • V-SMF triggers the local UPF to insert ULCL/BP.
  • V-SMF sends a DNS context creation request to V-EASDF; correspondingly, V-EASDF receives the DNS context creation request from V-SMF.
  • the DNS context creation request may be a Neasdf_DNSContextCreat Request message, where the request includes a DNS message handling rule (DNS Message Handling Rule), a UE IP address, and a DNN.
  • DNS message handling rule DNS Message Handling Rule
  • V-SMF sends N1N2 message transmission to AMF; correspondingly, AMF receives N1N2 message transmission from V-SMF.
  • the N1N2 message transmission can be N1N2_MessageTransfer, which contains the information of PDU session establishment acceptance or rejection (PDU session Establishment Accept/Reject).
  • AMF sends a PDU session establishment acceptance or rejection to the UE; correspondingly, the UE receives a PDU session establishment acceptance or rejection from the AMF.
  • steps S205 to S215 are the process of UE requesting PDU session establishment.
  • the specific implementation method can refer to the relevant description in 3GPP TS23.502. For the sake of brevity, no further details will be given here.
  • a security measure for protecting DNS messages is defined, which can be used when user plane integrity protection cannot be used.
  • the specific security method includes that the UE and the DNS server support DNS based on (D)TLS.
  • the NDS server deployed in the 3GPP network can force the use of the DNS protection mechanism based on (D)TLS.
  • the UE can pre-configure the security information of the DNS server, or receive the security information from the DNS server of the core network, so that when using DNS based on (D)TLS, it is necessary to negotiate the TLS cipher suite that supports integrity protection.
  • the above-mentioned provision of security information of the DNS server through the core network can be achieved.
  • the UE can carry an extended protocol configuration option (ePCO) information element (IE) and a security information indicator of the DNS server in a PDU session establishment request message (for example, step S205 of the above method 200).
  • the PDU session establishment request message can also carry the security protocol support of the DNS server to indicate the type of security protocol that the UE wants to support.
  • the network may carry the ePCO IE in the PDU Session Establishment Accept message sent to the UE, including the security information of the DNS server with a length of two octets.
  • the SMF selects EASDF as the DNS server based on the DNS over (D)TLS capability supported by the UE carried in the ePCO, and optionally, the type of security protocol supported by the UE, and provides the security information of EASDF to the UE.
  • the SMF selects EASDF as the DNS server based on the DNS over (D)TLS capability supported by the UE carried in the ePCO, and optionally, the type of security protocol supported by the UE, and provides the security information of EASDF to the UE.
  • the SMF selects EASDF as the DNS server based on the DNS over (D)TLS capability supported by the UE carried in the ePCO, and optionally, the type of security protocol supported by the UE, and provides the security information of EASDF to the UE.
  • an HR PDU session which is managed by the V-SMF and the H-SMF
  • V-SMF can determine V-EASDF as the DNS server. Since ePCO is transparently transmitted from V-SMF to H-SMF during the PDU session establishment process, V-SMF does not parse the content of ePCO. Therefore, V-SMF cannot perceive whether the UE supports DNS over (D)TLS and which type of security protocol the UE supports, and thus cannot determine whether to use DNS over (D)TLS. In contrast, H-SMF can obtain whether the UE supports DNS over (D)TLS and which type of security protocol the UE supports, but H-SMF does not perceive the information of V-EASDF. When the user plane security (such as integrity protection) of the established HR PDU session is not enabled, the network cannot provide security protection for the DNS messages exchanged between the UE and V-EASDF.
  • the user plane security such as integrity protection
  • V-SMF determines to use V-EASDF to process DNS messages
  • how to ensure the security of DNS messages between UE and V-EASDF is a technical problem that needs to be solved urgently.
  • the present application provides a communication method and device, which supports the process of establishing or modifying a session in an edge environment in a visited network for a terminal device.
  • the session management function network element at the visited location exchanges security information with the session management function network element at the home location, and the session management function network element at the home location sends the security information to the terminal device, so that the terminal device can establish a secure connection with the DNS server based on the security information, thereby ensuring the security of network communications.
  • “at least one” means one or more, and “more than one” means two or more.
  • “And/or” describes the association relationship of the associated objects, indicating that there can be three kinds of relationships.
  • a and/or B can mean: A exists alone, A and B exist at the same time.
  • B the case where B exists alone, wherein A and B can be singular or plural.
  • the character “/” generally indicates that the objects associated before and after are in an "or” relationship.
  • “At least one of the following” or similar expressions refers to any combination of these items, including any combination of single items or plural items.
  • At least one of a, b and c can represent: a, or b, or c, or a and b, or a and c, or b and c, or a, b and c.
  • a, b and c can be single or multiple, respectively.
  • first”, “second” and various numerical numbers indicate distinctions made for ease of description and are not used to limit the scope of the embodiments of the present application. For example, to distinguish between different messages, etc., rather than to describe a specific order or sequence. It should be understood that the objects described in this way can be interchanged where appropriate so as to be able to describe solutions other than the embodiments of the present application.
  • used for indication may include being used for direct indication and being used for indirect indication.
  • indication information may include that the indication information directly indicates A or indirectly indicates A, but it does not mean that the indication information must carry A.
  • the indication method involved in the embodiments of the present application should be understood to include various methods that can enable the party to be indicated to know the information to be indicated.
  • the information to be indicated can be sent as a whole or divided into multiple sub-information and sent separately, and the sending period and/or sending time of these sub-information can be the same or different.
  • the present application does not limit the specific sending method.
  • the "indication information" in the embodiments of the present application may be an explicit indication, i.e., directly indicated by signaling, or obtained by combining other rules or other parameters or by deduction according to the parameters indicated by the signaling. It may also be an implicit indication, i.e., obtained according to a rule or relationship, or according to other parameters, or by deduction. The present application does not make specific restrictions on this.
  • protocol may refer to a standard protocol in the field of communications, such as 5G protocol, NR protocol, and related protocols used in future communication systems, which are not limited in this application.
  • Predefined may include pre-definition. For example, protocol definition.
  • Preconfiguration can be implemented by pre-saving corresponding codes, tables, or other methods that can be used to indicate relevant information in the device, and this application does not limit its specific implementation method.
  • the SMF in the HPLMN is recorded as H-SMF
  • the SMF in the vPLMN is recorded as V-SMF in the embodiment of the present application, and the following related parts will not be repeated.
  • the security information of the DNS server is obtained through the V-SMF of the visited location, and information is exchanged with the H-SMF of the home location. Further, the H-SMF sends the security information of the DNS server to the terminal device, so that the terminal device and the DNS server can communicate securely subsequently.
  • the security information of the DNS server is obtained through the V-SMF of the visited location, and information is exchanged with the H-SMF of the home location.
  • the H-SMF sends the security information of the DNS server to the terminal device, so that the terminal device and the DNS server can communicate securely subsequently.
  • methods 300 to 800 please refer to the description of methods 300 to 800 below.
  • Fig. 3 is a flow chart of a communication method 300 provided in an embodiment of the present application. As shown in Fig. 3, the method is applied to the process of establishing or modifying a session of a terminal device in a roaming scenario, and includes the following steps. For the parts not described in detail, reference may be made to existing protocols.
  • the second PCO includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol.
  • the PCO from the session management function network element of the home location is the first PCO
  • the PCO from the terminal device is the second PCO
  • the relevant parts are not repeated below.
  • the first PCO or the second PCO can be an extended protocol configuration option (extended protocol configuration option, ePCO), which is not limited in the present application.
  • the session management function network element of the visited location obtains the security information of the DNS server of the visited location and the identifier of the DNS server.
  • the session management function network element of the visited location further obtains one or more security protocol types supported by the DNS server and/or the port number used to establish a secure connection. That is, the session management function network element of the visited location obtains the security information of the DNS server of the visited location, one or more security protocol types supported by the DNS server, and/or the port number used to establish a secure connection, and the identifier of the DNS server.
  • the security information may also be acquired by a session management function network element at the visited location from local configuration.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server at the visited location, the session management function network element at the visited location receives a second PCO from the terminal device, wherein the second PCO includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol; the session management function network element at the visited location sends the second PCO to the session management function network element at the home location; the session management function network element at the visited location receives a request message from the session management function network element at the home location, wherein the request message includes indication information for indicating that the terminal device supports security protection of DNS messages based on a security protocol. Further, in response to the indication information, the session management function network element at the visited location obtains security information.
  • the request message may also include one or more of the following: user plane security policy for the PDU session, HPLMN ID, and DNS server security protocol support.
  • the request message includes the HPLMN ID
  • the session management function network element of the visited location can determine the security information of the DNS server based on the HPLMN ID.
  • the security information is used for secure message interaction between the contracted users in the PLMN corresponding to the HPLMN ID and the DNS server.
  • the session management function network element of the visited location can provide security information of the DNS server based on the local policy and the user plane security policy of the PDU session.
  • the local policy indicates that when the terminal device supports DNS over (D)TLS and the terminal device belongs to the HPLMN, the session management function network element of the visited location can provide security information for the terminal device in the PLMN to interact securely with the DNS server.
  • the local policy indicates that the security information is obtained when the terminal device supports DNS over (D) TLS. For example, if the second PCO received by the session management function network element at the visited location includes DNS over (D) TLS, it is determined to obtain the security information.
  • the local policy may also include PLMN information to indicate which PLMN users can be provided with HR-SBO services.
  • the session management function network element at the visited location may determine whether the terminal device belongs to the PLMN, for example, whether the HPLMN of the terminal device is For the PLMN, or whether the terminal device is a subscriber of the PLMN, if the HPLMN of the terminal device is not the PLMN, or the terminal device does not belong to the PLMN, the session management function network element of the visited location can skip the discovery of the DNS server; if the HPLMN of the terminal device is the PLMN, or the terminal device belongs to the PLMN, the session management function network element of the visited location can select a DNS server that supports HR-SBO, such as V-EASDF.
  • HR-SBO such as V-EASDF
  • the session management function network element of the visited location can determine the security information of the DNS server according to the identification of the HPLMN of the terminal device, and the security information is used for the subscriber in the PLMN corresponding to the HPLMN ID to perform secure message interaction with the DNS server. Therefore, in this implementation, different security information of the DNS server can be determined for different HPLMNs. In other words, for terminal devices of different HPLMNs, the security information used to authenticate the DNS server, such as credentials, is also different.
  • the session management function network element at the visited location before the session management function network element at the visited location obtains the security information of the DNS server at the visited location, the session management function network element at the visited location receives the user plane security policy corresponding to the session from the session management function network element at the home location. Further, the session management function network element at the visited location obtains the security information according to the user plane security policy.
  • the user plane security policy indicates not to enable or to enable user plane security protection.
  • the user plane security policy can also be understood as a user plane integrity protection policy, and the two can be used interchangeably.
  • the session management function network element of the visited site may determine to use DNS over (D)TLS, and the session management function network element of the visited site may provide security information; alternatively, if the user plane security policy of the PDU session indicates that user plane integrity protection is required, the session management function network element of the visited site may not provide security information.
  • the session management function network element at the visited location obtains security information and an identifier of the DNS server according to the HR-SBO authorization information.
  • the session management function network element at the home location receives security information and DNS server information from the session management function network element at the visited location. 's logo.
  • the first PCO may further include one or more of the following: one or more security protocol types among one or more security protocol types supported by the DNS server, and a port number used to establish a secure connection between the terminal device and the DNS server.
  • the session management function network element at the visited location before the session management function network element at the visited location receives the first PCO from the session management function network element at the home location, the session management function network element at the visited location sends to the session management function network element at the home location one or more security protocol types supported by the DNS server, and/or the port number used to establish a secure connection; wherein the first PCO also includes one or more security protocol types and/or port numbers among the one or more security protocol types supported by the DNS server.
  • the session management function network element of the home location can determine to include the security information of the V-EASDF in the first ePCO based on the received DNS server address, the indication information for indicating that the terminal device supports security protection of DNS messages based on the security protocol, the VPLMN ID, and the type of security protocol supported by the DNS server.
  • the edge application server discovery function network element of the visited location as V-EASDF the session management function network element of the visited location as V-SMF
  • the session management function network element of the home location as H-SMF the mobility management function network element as AMF
  • the unified data management function network element as UDM the schemes for establishing a secure connection between the UE and V-EASDF are respectively explained.
  • UE sends a PDU session establishment request #a to AMF; correspondingly, AMF receives a PDU session establishment request #a from the UE.
  • AMF selects V-SMF.
  • V-SMF sends a create session management context response to AMF; correspondingly, AMF receives a create session management context response from V-SMF.
  • the specific implementation method of the above steps S402 to S405, and the specific name or meaning of the interactive message can refer to the relevant description of steps S205 to S207 of the above method 200. For the sake of brevity, they will not be repeated here.
  • V-SMF obtains the security information #a of V-EASDF.
  • the local policy may also include PLMN information to indicate which PLMN users can be provided with HR-SBO services.
  • V-SMF can determine whether the UE belongs to the PLMN, that is, whether the HPLMN of the UE is the PLMN or the UE is a subscriber of the PLMN. If the UE does not belong to the PLMN, V-SMF skips the discovery of V-EASDF; if the UE belongs to the PLMN, V-SMF selects V-EASDF that supports HR-SBO.
  • the V-SMF can determine the security information #a of the V-EASDF according to the identifier of the HPLMN of the UE. Therefore, in this implementation, different security information of the V-EASDF can be determined for different HPLMNs. In other words, for UEs of different HPLMNs, the credentials used to authenticate the V-EASDF are also different.
  • V-SMF may also obtain policy information #a, carry it in step S407 and send it to H-SMF, so that H-SMF can determine whether to provide the security information #a of V-EASDF to the UE.
  • policy information #a indicates that when the UE supports DNS over (D)TLS, H-SMF can provide the security information of V-EASDF to the UE; for another example, policy information #a indicates that when the UE supports DNS over (D)TLS and the PDU session user plane security policy indicates that integrity protection is not required, H-SMF can provide the security information of V-EASDF to the UE, etc.
  • policy information #a indicates that when the UE supports DNS over (D)TLS
  • H-SMF can provide the security information of V-EASDF to the UE, etc.
  • V-SMF sends a PDU session establishment request #b to H-SMF; correspondingly, H-SMF receives the PDU session establishment request #b from V-SMF.
  • the PDU session establishment request #b includes ePCO #a, V-EASDF security information #a and the address of V-EASDF.
  • UDM sends SDM information to H-SMF; correspondingly, H-SMF receives SDM information from UDM.
  • H-SMF when H-SMF confirms the authorization of HR-SBO, it confirms the security information #b (i.e., an example of security information) of V-EASDF.
  • security information #b i.e., an example of security information
  • the security information #b may include authentication credentials, i.e., credentials for authenticating the V-EASDF.
  • the security information #b may also include: Including the security protocol information supported by V-EASDF (or, the security mechanism supported by V-EASDF), and/or port number, etc.
  • the H-SMF determines to generate the ePCO#b including the security information #b of the V-EASDF.
  • the ePCO#b also includes the address of the V-EASDF.
  • the H-SMF may determine that the security information #b of the V-EASDF is included in the ePCO#b according to the local policy and/or the user plane security policy of the PDU session. For example, when the user plane security policy of the PDU session indicates that the integrity protection of the user plane is not required, the H-SMF determines that the security information #b of the V-EASDF is included in the ePCO#b; for another example, when the local policy indicates that the user plane security policy of the PDU session indicates that the integrity protection of the user plane is not required, the H-SMF determines that the security information #b of the V-EASDF is included in the ePCO#b.
  • the H-SMF can determine that the security information #b of V-EASDF is contained in ePCO#b.
  • the H-SMF can determine the security protocol finally used based on the DNS server security protocol support carried in ePCO#a and the security protocol information carried in the security information #a of the V-EASDF received in step S407, and carry the DNS server security protocol as part of the security information #b of the V-EASDF in ePCO#b.
  • the security information #b of V-EASDF may be the same as or different from the security information #a of V-EASDF.
  • the security information #b of V-EASDF is included in the security information #a of V-EASDF, or the security information #b of V-EASDF is a subset of the security information #a of V-EASDF.
  • the security information #b of V-EASDF includes credential 1 and security protocol 1
  • the security information #a of V-EASDF includes credential 1, security protocol 1 and security protocol 2.
  • the PDU session establishment response #a includes an N1SM container, that is, providing the UE with the security information #b of the V-EASDF and the address of the V-EASDF.
  • the UE uses the security information #b of the V-EASDF to send a DNS message with security protection to the V-EASDF; correspondingly, the V-EASDF receives the DNS message with security protection from the UE.
  • UE sends a PDU session establishment request #A to AMF; correspondingly, AMF receives a PDU session establishment request #A from the UE.
  • AMF selects V-SMF.
  • AMF sends a create session management context request to V-SMF; correspondingly, V-SMF receives the create session management context request from AMF.
  • the specific implementation method of the above steps S501 to S505, and the specific name or meaning of the interactive message can refer to the relevant description of steps S401 to S405 of the above method 400. For the sake of brevity, they will not be repeated here.
  • step S504 includes an HR-SBO permission indication
  • the V-SMF selects a V-EASDF that supports HR-SBO and obtains the address of the V-EASDF.
  • H-SMF determines that the HR-SBO PDU session is authorized based on the HR-SBO authorization indication and/or HR-SBO authorization information carried in the SDM information of step S509; at the same time, if the ePCO#A received in step S507 carries the DNS server security information indication, H-SMF triggers to obtain the security information #a of V-EASDF from V-SMF, that is, executes steps S511 to S513.
  • V-SMF can determine to use DNS over (D)TLS based on the DNS server security information indication, and carry the security information #a of V-EASDF in the security information response in step S513.
  • V-SMF may determine to provide security information #a of V-EASDF based on the DNS server security protocol support.
  • V-SMF can determine whether to provide security information #a of V-EASDF based on local policy and user plane security policy of PDU session. For example, local policy indicates that V-SMF can provide security information #a of V-EASDF only when the user plane security policy of PDU session indicates that user plane integrity protection is not required.
  • V-SMF can determine whether to provide security information #a of V-EASDF based on local policy and HPLMN ID. For example, local policy indicates that when UE supports DNS over (D)TLS and UE belongs to the HPLMN, V-SMF can provide security information #a for secure interaction between users in the corresponding PLMN and V-EASDF, and so on.
  • V-SMF sends a security information response to H-SMF; correspondingly, H-SMF receives the security information response from V-SMF.
  • the UE uses the security information #b of the V-EASDF to send a DNS message with security protection to the V-EASDF; correspondingly, the V-EASDF receives the DNS message with security protection from the UE.
  • the UE receives the security information #b of the V-EASDF, and the UE transfers the security information #b to the upper layer. Further, the UE uses the security information #b of the V-EASDF to establish a secure connection with the V-EASDF, and uses the established secure connection to send a DNS message.
  • the PDU session establishment request #22 includes ePCO #11.
  • the specific implementation method of the above steps S601 to S608, as well as the specific name or meaning of the interactive message, can refer to the relevant description of steps S401 to S405 and S407 to S409 of the above method 400. For the sake of brevity, they will not be repeated here.
  • the H-SMF determines that the HR-SBO PDU session is authorized according to the HR-SBO authorization indication and/or HR-SBO authorization information carried in the SDM information of step S608, and further generates ePCO#22.
  • ePCO#22 includes the security information of the H-DNS server and the address of the H-DNS server.
  • the H-SMF may determine to include the security information of the corresponding H-DNS server in ePCO#22 based on the local policy and/or the user plane security policy of the PDU session.
  • H-SMF sends a PDU session establishment response #22 to V-SMF; correspondingly, V-SMF receives a PDU session establishment response #22 from H-SMF.
  • the PDU session establishment response #22 includes ePCO #22.
  • the PDU session establishment response #22 may also include an HR-SBO authorization indication or HR-SBO authorization information; if the ePCO#11 received by the H-SMF in step S606 includes a DNS server security information indication, and/or DNS server security protocol support, the PDU session establishment response #22 may also include a DNS server security information indication, and/or DNS server security protocol support.
  • V-SMF determines whether to provide the security information #a of V-EASDF.
  • the specific implementation method of the above steps S615 to S618, as well as the specific name of the interaction message can refer to the relevant description of steps S412 and S415 of the above method 400. For the sake of brevity, they will not be repeated here.
  • V-SMF sends the address of V-EASDF and the security information #a of V-EASDF to H-SMF according to the HR-SBO authorization indication from H-SMF when determining to initiate the HR-SBO PDU session, so that H-SMF can send ePCO#33 containing the security information #b of V-EASDF to UE.
  • the DNS messages exchanged between V-EASDF and UE can be protected to maintain network security communication.
  • AMF sends an N1SM container to the UE; correspondingly, the UE receives the N1SM container from the AMF.
  • the processor in the embodiment of the present application can be an integrated circuit chip with signal processing capabilities.
  • each step of the above method embodiment can be completed by an integrated logic circuit of hardware in the processor or an instruction in the form of software.
  • the above processor can be a general-purpose processor, a digital signal processor, an application-specific integrated circuit, a field programmable gate array or other programmable logic device, a discrete gate or transistor logic device, a discrete hardware component.
  • the processor in the embodiment of the present application can implement or execute the methods, steps and logic block diagrams disclosed in the embodiment of the present application.
  • the general-purpose processor can be a microprocessor or the processor can also be any conventional processor, etc.
  • the logic circuit 3010 can be a processing circuit in the chip system 3000.
  • the logic circuit 3010 can be coupled to the storage unit and call the instructions in the storage unit so that the chip system 3000 can implement the methods and functions of each embodiment of the present application.
  • the input/output interface 3020 can be an input/output circuit in the chip system 3000, outputting information processed by the chip system 3000, or inputting data or signaling information to be processed into the chip system 3000 for processing.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种通信方法和通信装置,应用于建立或修改终端设备的会话过程。该方法包括:拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识,并向归属地的会话管理功能网元发送该安全信息和DNS服务器的标识;以及从归属地的会话管理功能网元接收包括安全信息和DNS服务器的标识的PCO,再将该PCO发送给终端设备。本申请所揭示的方案,通过拜访地的会话管理功能网元与归属地的会话管理功能网元交互安全信息,再由归属地的会话管理功能网元将安全信息发送给终端设备,使得终端设备可以根据安全信息建立与DNS服务器之间的安全连接,从而提高网络通信安全。

Description

通信方法和通信装置
本申请要求在2023年01月06日提交中国国家知识产权局、申请号为202310021264.4的中国专利申请的优先权,发明名称为“通信方法和通信装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,并且更具体地,涉及一种通信方法和通信方法。
背景技术
在面向边缘计算的网络系统架构中,支持用户设备(user equipment,UE)接入拜访地公共陆地移动网络(visited public land mobile network,VPLMN)中的边缘托管环境(edge hosting environment,EHE)。
在漫游场景中,UE可以向拜访地网络发起注册流程,以及协议数据单元(protocol data unit,PDU)会话建立流程,以建立接入拜访地EHE的网络连接。在这种情况下,UE可以通过与拜访地的域名系统(domain name system,DNS)服务器交互获取拜访地EHE中的应用服务器地址。如何保护UE和DNS服务器之间的通信安全,是当前需要考虑的问题。
发明内容
本申请提供一种通信方法和通信方法,能够保护拜访地的DNS服务器与通信装置之间的通信安全。
第一方面,提供了一种通信方法,该方法可以由拜访地的会话管理功能网元(例如Visited-session management function,V-SMF,简称V-SMF)执行,或者,也可以由用于V-SMF的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由V-SMF执行为例进行说明。
该方法包括:拜访地的会话管理功能网元获取位于拜访地的域名系统DNS服务器的安全信息和DNS服务器的标识,安全信息用于终端设备与DNS服务器之间建立安全连接;拜访地的会话管理功能网元向归属地的会话管理功能网元发送安全信息和DNS服务器的标识;拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的协议配置选项(protocol configuration options,PCO),PCO包括安全信息和DNS服务器的标识;拜访地的会话管理功能网元将PCO发送给终端设备。
示例性的,拜访地的DNS服务器可以为拜访地的边缘服务器发现功能网元(V-edge application server discovery function,V-EASDF)。可以理解的是,本申请实施例中的V-EASDF为DNS服务器的增强功能,V-EASDF能够支持DNS服务器所有的功能,并且进行了额外的增强。因此,后续UE根据安全信息与V-EASDF交互执行服务器发现的流程的具体实现方式,可参考当前UE与DNS服务器之间交互的实现方式。为了简洁,此处不再过多赘述。
需要说明的是,本申请技术方案主要针对漫游场景,应用于建立或修改终端设备的会话过程中,即终端设备位于拜访地时,建立或修改终端设备的PDU会话过程。
根据本申请提供的方案,拜访地的会话管理功能网元获取安全信息,并与归属地的会话管理功能网元交互安全信息,进一步地,从归属地的会话管理功能网元获取包含安全信息的PCO,并将PCO发送给终端设备,使得终端设备可以根据安全信息建立与DNS服务器之间的安全连接,可以提高终端设备与DNS服务器之间通信的安全性能。
结合第一方面,在第一方面的某些实现方式中,安全信息包括用于认证DNS服务器的凭证。
基于该实现方式,通过在安全信息中增加DNS服务器的凭证,使得在终端设备与DNS服务器建立安全连接过程中对DNS服务器执行认证,能够保障网络通信安全。
结合第一方面,在第一方面的某些实现方式中,安全信息还包括DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号。
基于该实现方式,通过在安全信息中增加DNS服务器支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证终端设备与DNS服务器使用正确的安全协议和/或端口号建立安全连接,保障通信 安全连接的建立效率。
结合第一方面,在第一方面的某些实现方式中,在拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的PCO之前,拜访地的会话管理功能网元向归属地的会话管理功能网元发送DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号;其中,PCO中还包括DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或端口号。
基于该实现方式,通过在PCO中增加DNS服务器支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证终端设备与DNS服务器使用正确的安全协议和/或端口号建立安全连接,保障通信安全连接的建立效率。
结合第一方面,在第一方面的某些实现方式中,来自归属地的会话管理功能网元的PCO为第一PCO;在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自终端设备的第二PCO,其中,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;拜访地的会话管理功能网元向归属地的会话管理功能网元发送第二PCO;拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的请求消息,请求消息包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护指示信息;其中,拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息,包括:响应于指示信息,拜访地的会话管理功能网元获取安全信息。
基于该实现方式,第二PCO中携带的用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息,通过归属地的会话管理功能网元发送给拜访地的会话管理功能网元,进而使得拜访地的会话管理功能网元根据归属地的会话管理功能网元发送的请求消息,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息的考虑因素或依据,使得网络能够按需获取安全信息。
结合第一方面,在第一方面的某些实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识之前,拜访地的会话管理功能网元接收来自移动和接入管理功能网元的归属地路由会话疏导(home routed session breakout,HR-SBO)允许指示;其中,拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识,包括:拜访地的会话管理功能网元根据HR-SBO允许指示,获取安全信息和DNS服务器的标识。
基于该实现方式,拜访地的会话管理功能网元根据移动和接入管理功能网元发送的HR-SBO允许指示,确定并获取DNS服务器的安全信息和DNS服务器的标识,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息和DNS服务器的标识的考虑因素或依据,使得网络能够按需获取安全信息。
结合第一方面,在第一方面的某些实现方式中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:所述拜访地的会话管理功能网元根据本地配置信息,获取安全信息。
结合第一方面,在第一方面的某些实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的归属地的网络标识;其中,拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息,包括:拜访地的会话管理功能网元根据终端设备的网络标识,获取安全信息。
基于该实现方式,拜访地的会话管理功能网元根据本地配置信息,或者归属地的会话管理功能网元发送的归属地的网络标识,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息的考虑因素或依据,使得网络能够获取准确的安全信息。
结合第一方面,在第一方面的某些实现方式中,拜访地的会话管理功能网元获取策略信息,策略信息用于指示归属地的会话管理功能网元向终端设备发送安全信息的触发条件;拜访地的会话管理功能网元向归属地的会话管理功能网元发送策略信息。
基于该实现方式,拜访地的会话管理功能网元通过向归属地的会话管理功能网元发送策略信息,增加了归属地的会话管理功能网元将安全信息发送给终端设备的触发条件,使得网络能够按需向终端设备提供安全信息。
结合第一方面,在第一方面的某些实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的与会话对应的用户面安全策略,用户面安全策略指示不开启或者可选开启用户面安全保护;其中,拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息,包括:拜访地的会话管理功能网元根据用户面安全策略,获取安全信息。
基于该实现方式,拜访地的会话管理功能网元根据归属地的会话管理功能网元发送的用户面安全策略,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息考虑因素或依据,使得网络能够按需获取安全信息。
结合第一方面,在第一方面的某些实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的HR-SBO授权信息;其中,拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识,包括:拜访地的会话管理功能网元根据HR-SBO授权信息,获取安全信息和DNS服务器的标识。
基于该实现方式,拜访地的会话管理功能网元需要基于来自归属地的会话管理功能网元的HR-SBO授权信息,确定并获取安全信息和DNS服务器的标识,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息和DNS服务器的标识的考虑因素或依据,使得安全信息的获取更具有安全性。
结合第一方面,在第一方面的某些实现方式中,拜访地的会话管理功能网元根据HR-SBO授权信息,获取安全信息和DNS服务器的标识,包括:在确定终端设备满足HR-SBO会话建立条件的情况下,拜访地的会话管理功能网元根据HR-SBO授权信息,获取安全信息和DNS服务器的标识。
基于该实现方式,拜访地的会话管理功能网元需要基于来自归属地的会话管理功能网元的HR-SBO授权信息,以及在确定终端设备满足HR-SBO会话建立条件的情况下,才确定并获取安全信息和DNS服务器的标识,安全性更高。
结合第一方面,在第一方面的某些实现方式中,拜访地的会话管理功能网元接收来自网络功能存储库功能网元的安全信息。
第二方面,提供了一种通信方法,该方法可以由归属地的会话管理功能网元(例如(home management function,HPLMN-SMF),简称H-SMF)执行,或者,也可以由用于H-SMF的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由H-SMF执行为例进行说明。
该方法包括:归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的域名系统DNS服务器的安全信息和DNS服务器的标识,安全信息用于终端设备与DNS服务器之间建立安全连接;归属地的会话管理功能网元生成PCO,PCO包括安全信息和DNS服务器的标识;归属地的会话管理功能网元通过拜访地的会话管理功能网元向终端设备发送PCO。
示例性的,DNS服务器为边缘服务器发现功能网元。
需要说明的是,本申请技术方案主要针对漫游场景,应用于建立或修改终端设备的会话过程中,即终端设备位于拜访地时,建立或修改终端设备的PDU会话的过程。
根据本申请提供的方案,归属地的会话管理功能网元通过与拜访地的会话管理功能网元交互安全信息,进一步地,将包含安全信息的PCO发送给终端设备,使得终端设备可以根据安全信息建立与DNS服务器之间的安全连接,从而保障网络通信安全。
结合第二方面,在第二方面的某些实现方式中,安全信息包括用于认证DNS服务器的凭证。
基于该实现方式,基于该实现方式,通过在安全信息中增加DNS服务器的凭证,使得在终端设备与DNS服务器建立安全连接过程中对DNS服务器执行认证,可以提高终端设备与DNS服务器之间通信的安全性能。
结合第二方面,在第二方面的某些实现方式中,安全信息还包括DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号。
基于该实现方式,通过在安全信息中增加DNS服务器支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证终端设备与DNS服务器使用正确的安全协议和/或端口号建立安全连接过,保障通信安全连接的建立效率。
结合第二方面,在第二方面的某些实现方式中,在归属地的会话管理功能网元向拜访地的会话管理功能网元发送PCO之前,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号;其中,PCO中还包括DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或端口号。
基于该实现方式,通过在PCO中增加DNS服务器支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证终端设备与DNS服务器使用正确的安全协议或端口号建立安全连接,保障通信安全连接的建立效率。
结合第二方面,在第二方面的某些实现方式中,归属地的会话管理功能网元向统一数据管理功能网元发送签约数据管理请求消息;归属地的会话管理功能网元接收来自统一数据管理功能网元的签约数据管理响应消息,其中,签约数据管理响应消息包括HR-SBO授权信息;其中,归属地的会话管理功能网元生成PCO,包括:响应于HR-SBO授权信息,归属地的会话管理功能网元生成PCO。
基于该实现方式,归属地需要通过向统一数据管理功能网元查询签约数据,并在确定HR-SBO会话授权的情况下生成PCO,能够保障终端设备与DNS服务器之间的安全通信。
结合第二方面,在第二方面的某些实现方式中,在归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的DNS服务器的安全信息和DNS服务器的标识之前,归属地的会话管理功能网元向拜访地的会话管理功能网元发送HR-SBO授权信息,HR-SBO授权信息用于请求获取安全信息和DNS服务器的标识。
基于该实现方式,拜访地的会话管理功能网元需要基于来自归属地的会话管理功能网元的HR-SBO授权信息,确定并获取安全信息和DNS服务器的标识,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息和DNS服务器的标识的考虑因素或依据,使得网络能够按需获取安全信息。
结合第二方面,在第二方面的某些实现方式中,归属地的会话管理功能网元生成的PCO为第一PCO;在归属地的会话管理功能网元生成PCO之前,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的第二PCO,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;归属地的会话管理功能网元向拜访地的会话管理功能网元发送请求消息,请求消息包括指示信息。
基于该实现方式,第二PCO中携带的用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息,通过归属地的会话管理功能网元发送给拜访地的会话管理功能网元,进而使得拜访地的会话管理功能网元根据归属地的会话管理功能网元发送的请求消息,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息的考虑因素或依据,使得网络按需获取安全信息。
结合第二方面,在第二方面的某些实现方式中,第二PCO还包括终端设备支持的一种或者多种安全协议类型;其中,归属地的会话管理功能网元生成PCO,包括:归属地的会话管理功能网元根据第二PCO中携带的终端设备支持的一种或者多种安全协议类型,以及DNS服务器支持的一种或者多种安全协议类型,生成第一PCO,其中,PCO包括DNS服务器和终端设备都支持的一种或者多种安全协议类型中的一个或者多个安全协议类型。
基于该实现方式,归属地的会话管理功能网元根据DNS服务器支持的一种或者多种安全协议类型,以及终端设备支持的一种或者多种安全协议类型,最终确定第一PCO中携带的DNS服务器和终端设备都支持的一个或多个安全协议类型。通过在第一PCO中增加DNS服务器和终端设备都支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证终端设备与DNS服务器使用正确的安全协议和/或端口号建立安全连接,保障通信安全连接的建立效率。
结合第二方面,在第二方面的某些实现方式中,在归属地的会话管理功能网元生成PCO之前,归属地的会话管理功能网元向拜访地的会话管理功能网元发送用户面安全策略,用户面安全策略用于确定安全信息,其中,用户面安全策略指示不开启或者可选开启用户面安全保护。
基于该实现方式,拜访地的会话管理功能网元根据归属地的会话管理功能网元发送的用户面安全策略,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息的考虑因素或依据,使得网络能够按需获取安全信息。
结合第二方面,在第二方面的某些实现方式中,在归属地的会话管理功能网元生成PCO之前,归属地的会话管理功能网元向拜访地的会话管理功能网元发送归属地的网络标识,归属地的网络标识用于确定安全信息。
基于该实现方式,拜访地的会话管理功能网元根据本地配置信息,或者归属地的会话管理功能网元发送的归属地的网络标识,确定并获取DNS服务器的安全信息,增加了拜访地的会话管理功能网元获取DNS服务器的安全信息的考虑因素或依据,使得网络能够按需获取安全信息。
结合第二方面,在第二方面的某些实现方式中,归属地的会话管理功能网元生成PCO,包括:归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的策略信息,其中,所述策略信息用于指示所述归属地的会话管理功能网元向所述终端设备发送所述安全信息的触发条件;在满足触发条件的情况 下,归属地的会话管理功能网元生成PCO。
基于该实现方式,拜访地的会话管理功能网元通过向归属地的会话管理功能网元发送策略信息,增加了归属地的会话管理功能网元将安全信息发送给终端设备的触发条件,使得网络能够按需向终端设备提供安全信息。
第三方面,提供了一种通信方法,该方法可以由通信装置执行。可选地,通信装置可以是终端设备,例如手机、汽车、无人机、可穿戴设备等,也可以是终端设备中的芯片。另外,终端设备也可以称为用户设备,因此通信装置也可以是用户设备,或者用户设备中的芯片。本申请对此不作具体限定。
该方法包括:通信装置通过拜访地的会话管理功能网元向归属地的会话管理功能网元发送第二PCO,第二PCO包括用于指示通信装置支持基于安全协议对DNS消息进行安全保护的指示信息;通信装置通过拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的第一PCO,其中,第一PCO包括安全信息和位于拜访地的域名系统DNS服务器的标识;通信装置基于安全信息建立与DNS服务器之间安全连接。
示例性的,DNS服务器为边缘服务器发现功能网元。
需要说明的是,本申请技术方案主要针对漫游场景,应用于建立或修改终端设备的会话过程中,即终端设备位于拜访地时,建立或修改终端设备的PDU会话过程。
根据本申请提供的方案,通信装置从归属地的会话管理功能网元获取包含安全信息的PCO,并基于该安全信息建立与DNS服务器之间的安全连接,可以提高通信装置与DNS服务器之间通信的安全性能。
结合第三方面,在第三方面的某些实现方式中,安全信息包括用于认证DNS服务器的凭证。
基于该实现方式,通过在安全信息中增加DNS服务器的凭证,使得在通信装置与DNS服务器建立安全连接过程中对DNS服务器执行认证,能够保障网络通信安全。
结合第三方面,在第三方面的某些实现方式中,安全信息还包括DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号。
基于该实现方式,通过在安全信息中增加DNS服务器支持的安全协议类型,和/或建立安全连接所使用的端口号,能够保证通信装置与DNS服务器使用正确的安全协议和/或端口号建立安全连接,保障通信安全连接的建立效率。
结合第三方面,在第三方面的某些实现方式中,第二PCO还包括通信装置支持的一种或者多种安全协议类型;其中,第一PCO还包括DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或端口号。
第四方面,提供了一种拜访地的会话管理功能网元,例如V-SMF。该网元包括:处理单元,用于获取位于拜访地的域名系统DNS服务器的安全信息和DNS服务器的标识,安全信息用于终端设备与DNS服务器之间建立安全连接;收发单元,用于向归属地的会话管理功能网元发送安全信息和DNS服务器的标识;收发单元,还用于接收来自归属地的会话管理功能网元的PCO,PCO包括安全信息和DNS服务器的标识;收发单元,还用于将PCO发送给终端设备。
该收发单元可以执行前述第一方面中的接收和发送的处理,处理单元可以执行前述第一方面中除了接收和发送之外的其他处理。
第五方面,提供了一种归属地的会话管理功能网元,例如H-SMF。该网元包括:收发单元,用于接收来自拜访地的会话管理功能网元的域名系统DNS服务器的安全信息和DNS服务器的标识,安全信息用于终端设备与DNS服务器之间建立安全连接;处理单元,用于生成PCO,PCO包括安全信息和DNS服务器的标识;收发单元,还用于向拜访地的会话管理功能网元发送PCO。
该收发单元可以执行前述第二方面中的接收和发送的处理,处理单元可以执行前述第二方面中除了接收和发送之外的其他处理。
第六方面,提供了一种终端设备,例如UE。该装置包括:收发单元,用于向拜访地的会话管理功能网元发送第二PCO,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;收发单元,还用于接收来自拜访地的会话管理功能网元的第一PCO,其中,第一PCO包括安全信息和DNS服务器的标识;以及处理单元,用于基于安全信息,建立与DNS服务器之间安全连接。
该收发单元可以执行前述第三方面中的接收和发送的处理,处理单元可以执行前述第三方面中除了接收和发送之外的其他处理。
第七方面,提供了一种通信装置,包括收发器、处理器和存储器,该处理器用于控制收发器收发信 号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该通信装置执行上述第一方面或第二方面或第三方面及其任一种可能实现方式中的方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
可选地,该通信装置还包括发射机(发射器)和接收机(接收器)。
第八方面,提供了一种通信系统,包括前述的终端设备(例如UE),归属地的会话管理功能网元H-SMF,拜访地的会话管理功能网元V-SMF中的一个或多个。
第九方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序或代码,所述计算机程序或代码在计算机上运行时,使得所述计算机执行上述第一方面至或第二方面或第三方面及其任一种可能实现方式中的方法。
第十方面,提供了一种芯片,包括至少一个处理器,所述至少一个处理器与存储器耦合,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的终端设备执行上述第一方面或第二方面或第三方面及其任一种可能实现方式中的方法。
其中,该芯片可以包括用于发送信息或数据的输入电路或者接口,以及用于接收信息或数据的输出电路或者接口。
第十一方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被终端设备运行时,使得所述终端设备执行上述第一方面或第二方面或第三方面及其任一种可能实现方式中的方法。
附图说明
图1是本申请实施例适用的网络架构的示意图。
图2是本申请实施例提供的一种HR-SBO PDU会话建立的流程示意图。
图3是本申请实施例提供的通信方法300的流程示例图。
图4是本申请实施例提供的通信方法400的流程示意图。
图5是本申请实施例提供的通信方法500的流程示意图。
图6是本申请实施例提供的通信方法600的流程示意图。
图7是本申请实施例提供的通信方法700的流程示意图。
图8是本申请实施例提供的通信方法800的流程示意图。
图9是本申请实施例提供的一种终端设备1000的结构示意图。
图10是本申请实施例提供的另一种终端设备2000的结构示意图。
图11是本申请实施例提供的一种芯片系统3000的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请提供的技术方案可以应用于各种通信系统,例如:新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统等。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet of things,IoT)通信系统或者其他通信系统。
在通信系统中,由运营者运营的部分可称为PLMN,也可以称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN,具体可为符合第三代合作伙伴项目(3rd generation partnership project,3GPP)标准要求的网络,简称3GPP网络。3GPP网络通常包括但不限于5G网络、第四代移动通信(4th-generation,4G)网络,以及未来的其他通信系统,例如(6th-generation,6G)网络等。
为了方便描述,本申请实施例中将以5G网络为例进行说明。
图1是本申请实施例适用的网络架构的示意图。如图1的(a)所示,该网络架构具体可以包括三部 分,分别是终端设备部分、数据网络(data network,DN)和运营商网络PLMN部分。下面对各部分的网元的功能进行简单说明。
终端设备部分可以包括终端设备110,该终端设备110也可以称为用户设备(user equipment,UE)。本申请中的终端设备110是一种具有无线收发功能的设备,可以经无线接入网(radio access network,RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network,CN)设备进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(例如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol,SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)等。或者,终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的6G网络中的终端等。其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。例如终端设备110可以是虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备指的是3GPP终端。本申请实施例对终端设备的类型或种类等并不限定。为便于说明,本申请后续以UE代指终端设备为例进行说明。
运营商网络PLMN部分可以包括但不限于(无线)接入网((radio)access network,(R)AN)120和核心网(core network,CN)部分。
(R)AN 120可以看作是运营商网络的子网络,是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络,首先是经过(R)AN 120,进而可通过(R)AN 120与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备),是一种为终端设备110提供无线通信功能的设备,也可以称为网络设备,RAN设备包括但不限于:5G系统中的下一代基站节点(next generation node base station,gNB)、长期演进(long term evolution,LTE)中的演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(base band unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、小基站设备(pico)、移动交换中心,或者未来网络中的网络设备等。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解,本文对接入网设备的具体类型不作限定。
CN部分可以包括但不限于如下网络功能(Network Function,NF):用户面功能(user plane function,UPF)130、网络开放功能(network exposure function,NEF)131、网络功能存储库功能(network function repository function,NRF)132、策略控制功能(policy control function,PCF)133、统一数据管理功能(unified data management,UDM)134、统一数据存储库功能(unified data repository,UDR)135、网络数据分析功能(network data analytics function,NWDAF)136、认证服务器功能(Authentication Server Function,AUSF)137、接入与移动性管理功能(access and mobility management function,AMF)138、会话管理功能(session management function,SMF)139。
数据网络DN 140,也可以称为分组数据网络(packet data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。当然,在一些实现方式中,DN也可以由运营商进行部署,即DN属于PLMN中的一部分。本申请对DN是否属于PLMN不作限制。运营商网络PLMN可以接入多个数据网络DN 140,数据网络DN 140上可部署多种业务,可为终端设备110提供数据和/或语音等服务。例如,数据网络DN 140可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可以是终端设备110,数据网络DN 140中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 140可以是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备110,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 140,使用数据网络DN 140上部署的运营商业务,和/或第三方提供的业务。
下面对CN包含的NF功能进行进一步简要说明。
1、UPF 130是由运营商提供的网关,是运营商网络与数据网络DN 140通信的网关。UPF网络功能130包括数据包路由和传输、数据包检测、业务用量上报、服务质量(quality of service,QoS)处理、合法监听、上行数据包检测、下行数据包存储等用户面相关的功能。
2、NEF 131是由运营商提供的控制面功能,主要使能第三方使用网络提供的服务,支持网络开放其能力、事件及数据分析、从外部应用给PLMN安全配备信息、PLMN内外交互信息的转换等。
3、NRF 132是由运营商提供的控制面功能,可用于维护网络中网络功能、服务的实时信息。例如支持网络服务发现、维护NF实例的NF配置数据(NF profile)支持的服务、支持通信代理(service communication proxy,SCP)的服务发现、维护SCP实例的SCP配置数据(SCP profile)、发送有关新注册、去注册、更新的NF和SCP的通知、维护NF和SCP运行的健康状态等。
4、PCF 133是由运营商提供的控制面功能,它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。
5、UDM 134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、签约用户的公开使用的签约标识(generic public subscription identifier,GPSI),信任状(credential)等信息。其中SUPI在传输过程中会先进行加密,加密后的SUPI被称为隐藏的用户签约标识符(subscription concealed identifier,SUCI)。UDM网络功能134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用中国电信的手机芯卡(subscriber identity module,SIM)卡的用户,或者使用中国移动的手机芯卡的用户等。上述签约用户的信任状可以是手机芯卡中存储的长期密钥或者跟手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。需要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同验证/认证、授权相关的信息,在本申请实施例中,为了描述方便起见不做区分、限制。
6、UDR 135是由运营商提供的控制面功能,为UDM提供存储和获取签约数据的功能、为PCF提供存储和获取策略数据、存储和获取用户的NF群组ID(group ID)信息等。
7、NWDAF 136是由运营商提供的控制面功能,其主要功能是从NF、外部应用功能(application function,AF)以及运维管理(operations,administration and maintenance,OAM)系统等处收集数据,对NF和AF提供NWDAF业务注册、数据开放和分析数据等。
8、AUSF 137是由运营商提供的控制面功能,通常用于一级认证,即终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能137接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能137可向签约用户反馈认证信息和/或授权信息。
9、AMF 138是由运营商网络提供的控制面网络功能,负责终端设备110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
10、SMF 139是由运营商网络提供的控制面网络功能,负责管理终端设备110的PDU会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 140互相传送PDU。PDU会话由SMF网络功能139负责建立、维护和删除等。SMF网络功能139包括会话管理(例如会话建立、修改和释放,包含用户面功能UPF 130和(R)AN 120之间的隧道维护)、UPF网络功能130的选择和控制、业务和会话连续性(service and session continuity,SSC)模式选择、漫游等会话相关的功能。
在面向边缘计算的5G系统架构中,正在定义增强5GS支持UE接入VPLMN中的EHE,例如UE通过建立的本地疏导PDU(local breakout PDU,LBO PDU)会话接入VPLMN中的EHE(可以简称V-EHE);或者,UE通过建立的归属地路由PDU(home routed PDU,HR PDU)会话接入V-EHE。其中,HR PDU会话是指归属地路由PDU会话,该类型的PDU会话由归属网络(home PLMN,HPLMN)控制的SMF、VPLMN控制的SMF、HPLMN控制的至少一个UPF和VPLMN控制的至少一个UPF支持。在这种情况下,HPLMN中的SMF选择HPLMN中的UPF,VPLMN中的SMF选择VPLMN中的UPF。
示例性的,针对UE通过建立的HR PDU会话接入V-EHE,定义了如图1的(b)所示的漫游架构,该网络架构具体可以包括VPLMN和HPLMN两部分,其中涉及的网元的功能可以参考上述图1的(a)相关描述,为了简洁,此处不再过多赘述。在该网络架构中,UE可以建立HR PDU会话,并在VPLMN中插入上行分类器/分支点(uplink classifier/branching point,UL CL/BP),从而支持UE接入VPLMN中的EHE(例如图1的(b)中的边缘应用服务器(edge application server,EAS),这种类型的HR PDU会话可以称为归属地路由会话疏导PDU会话(HR session breakout PDU,HR-SBO PDU)会话。可选地,HR-SBO PDU会话在VPLMN中可以仅包含UL CL/BP的UPF和L-PSA的UPF。可选地,UL CL/BP的UPF和L-PSA的UPF还可以共部署。即一个UPF既作为UL CL的UPF,又作为L-PSA的UPF。
下面对图1的(b)中的部分网元的功能进行简单说明。
1、边缘应用服务器发现功能EASDF:一种部署在运营商网络中的网元(DNS服务器),用于根据SMF的指示处理DNS消息,具体包含以下一项或多项:接收DNS消息处理规则,与UE交互DNS消息,将DNS消息发送给中心DNS或者本地DNS,缓存或丢弃来自UE或DNS服务器的DNS消息等。若使用DNS安全,则EASDF还可以用于终结DNS安全。一个PLMN中可以部署一个或多个EASDF实例。EASDF与PSA UPF在N6上有直接的用户面连接,用于传输与UE交换的DNS信令。
2、EHE可以部署在DN中。EHE可以由运营商控制或者第三方控制,EHE中可以部署一个或多个EAS。
可以理解的是,上述网元或者功能既可以是硬件设备中的物理实体,也可以是在专用硬件上运行的软件实例,或者是共享平台(例如,云平台)上实例化的虚拟化功能。简单来说,一个NF可以由硬件来实现,也可以由软件来实现。
图1中Nnef、Nnrf、Npcf、Nudm、Nudr、Nnwdaf、Nausf、Namf、Nsmf、Neasdf、N1、N2、N3、N4、N6以及N9为接口序列号。示例性的,上述接口序列号的含义可参见3GPP标准协议中定义的含义,本申请对于上述接口序列号的含义不做限制。需要说明的是,图1中的各个网络功能之间的接口名称仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请对此不作限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
应理解,图1中所示的AMF、SMF、UPF、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。
下面,对HR-SBO PDU会话建立过程进行简单说明,具体描述可以参见3GPP TS23.548。
在一种可能的实现方式中,在HR-SBO PDU会话建立过程中,由V-SMF确定和选择V-EASDF,并与V-EASDF建立DNS上下文。具体包括如下实现过程。
在3GPP TS23.502定义的注册流程中,UE请求注册到网络中,并且AMF通过Nudm_UDM_Get服务接收来自UDM的每个数据网络名称(data network name,DNN)或者单网络切片选择支撑信息(single network slice selection assistance information,S-NSSAI)对应的HR-SBO允许指示。
在3GPP TS23.502定义的PDU会话建立流程中,如果AMF在UE注册请求过程中接收到针对请求的DNN/S-NSSAI的HR-SBO允许指示,则AMF可以为UE选择支持HR-SBO的V-SMF。进一步地,V-SMF向H-SMF发送建立VPLMN中支持HR-SBO的PDU会话的请求和V-EASDF地址。
然后,H-SMF根据会话管理签约数据对V-SMF的请求进行授权,并向V-SMF提供可选的VPLMN特定的卸载策略(如果HPLMN中基于HPLMN和VPLMN之间的SLA存在)和HPLMN的DNS服务器地址。其中,H-SMF将DNS服务器地址字段设置为V-EASDF地址,携带在PCO中发送给V-SMF。
最后,V-SMF根据接收来自H-SMF的VPLMN特定卸载策略和HPLMN的DNS服务器地址,向V-EASDF配置DNS处理规则。
图2是本申请实施例提供的一种HR-SBO PDU会话建立流程200的示意图。如图2所示,该方法包括如下多个步骤,未详尽说明的部分可参考现有协议。
S201,UE向AMF发送注册请求;对应的,AMF接收来自UE的注册请求。
示例性的,UE向AMF发送Registration Request消息,用于请求注册到网络中。
S202,AMF向UDM请求获取签约数据管理(subscriber data management,SDM)信息(Get SDM information);对应的,UDM接收来自AMF的用于获取SDM信息的请求。
S203,UDM向AMF发送SDM信息(SDM information);对应的,AMF接收来自UDM的SDM信息。
其中,SDM信息中携带基于数据网络名称(data network name,DNN)/单网络切片选择支撑信息(single network slice selection assistance information,S-NSSAI)的HR-SBO允许指示(HR-SBO allowed indication),即允许UE使用DNN/S-NSSAI对应的归属地路由的PDU会话接入VPLMN中的数据网络或本地数据网络。
示例性的,AMF可以通过Nudm_UDM_Get服务接收来自UDM的基于per DNN/S-NSSAI的HR-SBO允许指示。
S204,AMF向UE发送注册响应;对应的,UE接收来自AMF的注册响应。
响应于步骤S201的注册请求,AMF向UE发送Registration Response消息。
即,上述步骤S201至S204是UE注册到网络中的过程,具体实现方式可参考3GPP TS23.502中的相关描述,为了简洁,此处不再过多赘述。
S205,UE向AMF发送PDU会话建立请求;对应的,AMF接收来自UE的PDU会话建立请求。
示例性的,UE向AMF发送PDU session establishment request消息和DNN/S-NSSAI。进一步地,AMF根据该PDU会话的DNN/S-NSSAI,与上述注册过程中获取的基于DNN/S-NSSAI的HR-SBO允许指示,确定为PDU会话选择支持HR-SBO的V-SMF。即,在确定UE请求的PDU会话允许HR-SBO时,AMF选择支持该HR-SBO的V-SMF。
S206,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S207,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
示例性的,AMF向V-SMF发送CreatSMContext Request消息,该消息可以携带N1SM容器,N1SM容器包含PDU会话建立。可选地,该消息还可以携带HR-SBO允许指示;对应的,AMF接收来自V-SMF的CreatSMContext Response消息。
S208,V-SMF向H-SMF发送创建HR-SBO会话请求;对应的,H-SMF接收来自V-SMF的创建HR-SBO会话请求。
其中,创建HR-SBO会话请求中携带HR-SBO请求、V-EASDF的地址或VPLMN的DNS服务器的地址(可以简称V-DNS server address),例如IP地址(如可以是IPv4地址或IPv6前缀或IPv6地址)。
示例性的,在V-SMF确定创建HR VSBO会话的情况下,V-SMF向H-SMF发送包含VSBO请求、V-EASDF地址或V-DNS服务器地址的PDU session Creat Request消息。
S209,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请求。
S210,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,SDM信息中包含允许的HR-SBO(HR-SBO allowed),例如可以是HR-SBO授权指示,和/或HR-SBO授权信息。
可选地,允许的HR-SBO指示也可以(预)配置在H-SMF中,则上述步骤S209和S210从UDM获取允许的HR-SBO的流程可以不执行。
S211,H-SMF向V-SMF发送创建HR-SBO会话响应;对应的,V-SMF接收来自H-SMF的创建HR-SBO会话响应。
其中,创建HR-SBO会话响应包括HR-SBO的授权指示、协议配置选项(protocol configuration option,PCO)和归属DNS服务器的地址。
示例性的,在H-SMF确定允许建立HR-SBO PDU会话的情况下,H-SMF将PCO中的DNS服务器地址设置为V-EASDF的地址,并向V-SMF发送包含HR-SBO允许指示,PCO,归属DNS服务器地址的PDU session Creat Response消息。
S212,V-SMF触发本地UPF插入ULCL/BP。
S213,V-SMF向V-EASDF发送DNS上下文创建请求;对应的,V-EASDF接收来自V-SMF的DNS上下文创建请求。
示例性的,DNS上下文创建请求可以是Neasdf_DNSContextCreat Request消息,例如请求中包括DNS消息处理规则(DNS Message Handling Rule),UE IP地址,DNN。
S214,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
其中,N1N2消息传输可以是N1N2_MessageTransfer,该消息包含PDU会话建立接收或拒绝的信息(PDU session Establishment Accept/Reject)。
S215,AMF向UE发送PDU会话建立接收或拒绝;对应的,UE接收来自AMF的PDU会话建立接收或拒绝。
即,上述步骤S205至S215是UE请求PDU会话建立的过程,具体实现方式可参考3GPP TS23.502中的相关描述,为了简洁,此处不再过多赘述。
进一步,基于上述HR-SBO PDU会话建立流程,后续UE可以与V-EASDF交互DNS消息,以发现应用服务器的地址。为了保障网络通信安全,DNS消息的安全保护是需要考虑的问题。
示例性的,根据3GPP TS33.501定义了一种保护DNS消息的安全措施,可以用于用户面完整性保护无法使用的情况下。其中,具体的安全方法包括UE和DNS服务器支持基于(D)TLS的DNS。部署在3GPP网络中的NDS服务器能够强制使用基于(D)TLS的DNS保护机制。UE可以预配置DNS服务器的安全信息,或者接收来自核心网的DNS服务器的安全信息,以便于在使用基于(D)TLS的DNS的情况下,需要协商支持完整性保护的TLS密码套件。基于3GPP TS24.501的相关描述,可以实现上述通过核心网提供DNS服务器的安全信息。例如,UE可以在PDU会话建立请求消息(例如,上述方法200的步骤S205)中携带扩展协议配置选项(extended protocol configuration options,ePCO)信息元(information element,IE),以及DNS服务器的安全信息指示符。可选地,PDU会话建立请求消息还可以携带DNS服务器的安全协议支持,用于指示UE希望支持的安全协议类型。对应的,网络可以在向UE发送的PDU会话建立接受消息中携带ePCO IE,包括长度为两个八位字节的DNS服务器的安全信息。可选地,PDU会话建立接受消息还可以携带DNS服务器的安全协议支持,表示网络希望UE强制使用DNS over(D)TLS。UE在接收到DNS服务器的安全信息后,应将其传递给上层,以及UE可以使用DNS服务器的安全信息,通过(D)TLS发送DNS消息。
应理解,上述保护DNS消息的方案主要适应于非漫游PDU会话或者LBO会话场景中,也就是说,由SMF根据ePCO中携带的UE支持的DNS over(D)TLS能力,可选地,UE支持的安全协议类型等信息,选择EASDF作为DNS服务器,并向UE提供EASDF的安全信息。然而,针对漫游场景下,当PDU会话有两个服务的SMF时,例如HR PDU会话,由V-SMF和H-SMF来管理该HR PDU会话,如何确定向UE提供DNS服务器的安全信息尚未定义。
具体来说,针对增强的边缘计算架构中的HR-SBO的PDU会话场景,可以由V-SMF确定V-EASDF作为DNS服务器,由于ePCO在PDU会话建立过程中由V-SMF透传给H-SMF,V-SMF并不解析ePCO的内容,因此V-SMF无法感知UE是否支持DNS over(D)TLS,以及UE支持哪种安全协议类型,从而无法确定是否使用DNS over(D)TLS。相比而言,H-SMF能够获取UE是否支持DNS over(D)TLS,以及UE支持哪种安全协议类型,但是H-SMF并不感知V-EASDF的信息。当建立的HR PDU会话的用户面安全(如完整性保护)未开启时,网络无法为UE与V-EASDF之间交互的DNS消息提供安全保护。
换言之,在漫游架构中,针对支持UE通过HR PDU会话接入V-EHE的场景,若V-SMF确定使用V-EASDF处理DNS消息时,如何保证UE与V-EASDF之间的DNS消息安全是亟待解决的技术问题。
有鉴于此,本申请提供了一种通信方法和装置,针对支持终端设备接入拜访网络中的边缘环境的会话建立或修改的过程,通过拜访地的会话管理功能网元与归属地的会话管理功能网元交互安全信息,再由归属地的会话管理功能网元将安全信息发送给终端设备,使得终端设备可以根据安全信息建立与DNS服务器之间的安全连接,从而保障网络通信安全。
为了便于理解本申请实施例,做出以下几点说明:
第一、在本申请中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
第二、在本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和 B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b和c中的至少一项(个),可以表示:a,或,b,或,c,或,a和b,或,a和c,或,b和c,或,a、b和c。其中a、b和c分别可以是单个,也可以是多个。
第三、在本申请中,“第一”、“第二”以及各种数字编号(例如,#1、#2等)指示为了描述方便进行的区分,并不用来限制本申请实施例的范围。例如,区分不同的消息等,而不是用于描述特定的顺序或先后次序。应理解,这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第四、在本申请中,“当……时”、“在……的情况下”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理,并非是限定时间,且也不要求设备在实现时一定要有判断的动作,也不意味着存在其它限定。
第五、在本申请中,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
第六、在本申请中,“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时,可以包括该指示信息直接指示A或间接指示A,而并不代表该指示信息中一定携带有A。
本申请实施例涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。待指示信息可以作为整体一起发送,也可以分成多个子信息分开发送,而且这些子信息的发送周期和/或发送时机可以相同,也可以不同,本申请对具体的发送方法不作限定。
本申请实施例中的“指示信息”可以是显式指示,即通过信令直接指示,或者根据信令指示的参数,结合其他规则或结合其他参数或通过推导获得。也可以是隐式指示,即根据规则或关系,或根据其他参数,或推导获得。本申请对此不作具体限定。
第七、在本申请中,“协议”可以是指通信领域的标准协议,例如可以包括5G协议、NR协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。“预定义”可以包括预先定义。例如,协议定义。“预配置”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第八、在本申请中,“存储”可以是指保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置,也可以是集成在编码器或者译码器、处理器、或终端设备中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或终端设备中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第九、在本申请中,“通信”还可以描述为“数据传输”、“信息传输”、“数据处理”等。“传输”包括“发送”和“接收”。
下文将结合附图详细说明本申请实施例提供的通信方法,如可以应用于上述图1所示的通信系统中。为了方便描述,本申请实施例中将HPLMN中的SMF记为H-SMF,将vPLMN中的SMF记为V-SMF,以下相关部分不再赘述。通过拜访地的V-SMF获取DNS服务器的安全信息,并与归属地的H-SMF进行信息交互,进一步的H-SMF将DNS服务器的安全信息发送给终端设备,以便后续终端设备与DNS服务器之间进行安全通信。具体实现方式可参考以下方法300至方法800部分的描述。
图3是本申请实施例提供的通信方法300的流程示例图。如图3所示,该方法应用于漫游场景下建立或修改终端设备的会话过程,包括如下多个步骤,未详尽说明的部分可参考现有协议。
S301,终端设备向拜访地的会话管理功能网元发送第二PCO;
对应的,拜访地的会话管理功能网元接收来自终端设备的第二PCO。
其中,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息。
在本申请实施例中,在终端设备支持基于安全协议对DNS消息进行安全保护时,终端设备在第二PCO中携带用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息。
可选地,第二PCO还包括终端设备支持的一种或者多种安全协议类型,或者说,用于指示终端设备支持的安全协议类型。例如,数据报传输层安全(datagram transport layer security,DTLS)和/或传输层安全协议(transport layer security,TLS),还可以是其他安全协议类型,本申请对此不作限定。因此,在本申请实施例中,安全协议类型也可以理解为支持的安全能力信息。
示例性的,终端设备(例如UE)通过PDU session Establishment Request消息向移动管理功能网元 (例如AMF)发送第二PCO,AMF通过Nsmf_PDUSession_CreatSMContext Request消息向拜访地的会话管理功能网元(例如V-SMF)发送第二PCO。
为了便于说明,本申请实施例将来自归属地的会话管理功能网元的PCO为第一PCO,将来自终端设备的PCO为第二PCO,以下相关部分不再赘述。可选地,第一PCO或第二PCO可以是扩展的协议配置选项(extended protocol configuration option,ePCO),本申请对此不作限定。
应理解,该方法可以由终端设备执行(例如图1所示的UE),也可以是终端设备中的芯片或电路执行;拜访地的会话管理功能网元可以是图1所示的5G场景下的V-SMF,当然不限于5G场景中,也可以是后续演进系统中具有类似的功能的网元,为便于表达,本申请后续实施例以V-SMF为例。
S302,拜访地的会话管理功能网元获取拜访地的DNS服务器的安全信息和DNS服务器的标识。
其中,安全信息包括用于认证DNS服务器的凭证,例如DNS服务器的根密钥;DNS服务器的标识可以是用于指示DNS地址的标识,例如IP地址,IP地址可以是IPv4地址,或者IPv6前缀,或者IPv6地址。
在一种示例中,安全信息还包括DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号。
在另一种示例中,拜访地的会话管理功能网元还获取DNS服务器支持的一种或多种安全协议类型,和/或建立安全连接所使用的端口号。即拜访地的会话管理功能网元获取拜访地的DNS服务器的安全信息,DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号,以及DNS服务器的标识。
基于上述两种示例,DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号与安全信息可以是包含关系,也可以并列关系,本申请对此不作具体限定。
示例性的,本申请实施例中的DNS服务器可以是V-EASDF。应理解,V-EASDF可以理解是DNS服务器的增强,V-EASDF能够支持DNS服务器所有的功能,并且进行了额外的增强。因此,后续UE根据安全信息与V-EASDF交互执行服务器发现的流程的具体实现方式,可参考当前UE与DNS服务器之间交互的实现方式。为了简洁,此处不再过多赘述。
可以理解的是,安全信息用于终端设备与DNS服务器之间建立安全连接。也就是说,在终端设备确定发起DNS发现流程时,终端设备可以根据接收到的安全信息与DNS服务器之间建立(D)TLS连接,并使用(D)TLS连接发送DNS消息。应理解,该DNS消息是被保护的,可以保证UE与DNS服务器之间的安全通信。
可选地,该安全信息可以是拜访地的会话管理功能网元从网络功能存储库功能网元获取的。
示例性的,拜访地的会话管理功能网元向网络功能存储库功能网元发送DNS服务器发现消息,拜访地的会话管理功能网元接收来自网络功能存储库功能网元的响应消息,响应消息中包含安全信息。
可选地,该安全信息还可以是拜访地的会话管理功能网元从本地配置获取。
下面针对安全信息和DNS服务器的标识的获取实现方式进行具体说明。
在一种可能的实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自终端设备的第二PCO,其中,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;拜访地的会话管理功能网元向归属地的会话管理功能网元发送第二PCO;拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的请求消息,请求消息包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护指示信息。进一步地,响应于指示信息,拜访地的会话管理功能网元获取安全信息。
需要说明的是,归属地的会话管理功能网元从终端设备接收到的指示信息,以及归属地的会话管理功能网元向拜访地的会话管理功能网元发送的指示信息可以不同。例如,归属地的会话管理功能网元在接收到来自终端设备的指示信息#1后,通过解析并生成指示信息#2,然后向拜访地的会话管理功能网元发送的指示信息#2。其中,指示信息#1和指示信息#2都是用于指示终端设备支持基于安全协议(例如DTLS和/或TLS)对DNS消息进行安全保护。
在本申请实施例中,第二PCO包括的用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息,即表示终端设备能够支持的安全协议的能力信息,也可以理解为终端设备期望的DNS服务器安全信息指示(DNS server security information indicator)。
可选地,来自归属地的会话管理功能网元的请求消息例如Nsmf_Info Request,本身可以是用于请求 从拜访地的会话管理功能网元获取该安全信息的消息,则此时该请求消息中可以不携带指示信息。
示例性的,拜访地的会话管理功能网元根据接收到的请求消息,或者请求消息中携带的指示信息,确定使用DNS over(D)TLS,进而可以确定获取安全信息。例如,拜访地的会话管理功能网元从本地或NRF获取DNS服务器的实例标识,安全信息和DNS服务器地址;再例如,拜访地的会话管理功能网元从本地或NRF先获取DNS服务器的实例标识,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址,以及根据DNS服务器的实例标识从DNS服务器或其他存储网元或本地获取安全信息;又例如,拜访地的会话管理功能网元先从本地或NRF获取DNS服务器的实例标识和安全信息,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址。
可选地,请求消息还可以包括以下一项或者多项:PDU会话的用户面安全策略,HPLMN ID,DNS服务器安全协议支持(DNS server security protocol support)。
在一种示例中,请求消息中包含PDU会话的用户面安全策略,则拜访地的会话管理功能网元可以根据PDU会话的用户面安全策略,确定是否提供DNS服务器的安全信息。例如,在PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,拜访地的会话管理功能网元可以确定使用DNS over(D)TLS,则拜访地的会话管理功能网元可以提供安全信息;或者,若PDU会话的用户面安全策略指示需要用户面的完整性保护时,则拜访地的会话管理功能网元可以不提供安全信息。
在另一种示例中,请求消息中包含HPLMN ID,则拜访地的会话管理功能网元可以根据HPLMN ID确定提供DNS服务器的安全信息,该安全信息用于HPLMN ID对应的PLMN中的签约用户与DNS服务器进行安全的消息交互。
在又一种示例中,请求消息中包含DNS服务器安全协议支持,则拜访地的会话管理功能网元可以根据DNS服务器安全协议支持,确定使用DNS over(D)TLS,并提供安全信息。
需要说明的是,上述提供的示例可以独立实现,也可以组合实现。示例性的,拜访地的会话管理功能网元可以根据本地策略,以及PDU会话的用户面安全策略,是否提供DNS服务器的安全信息。例如,本地策略指示在终端设备支持DNS over(D)TLS,且终端设备属于该HPLMN的情况下,拜访地的会话管理功能网元可以提供用于PLMN中的终端设备与DNS服务器进行安全交互的安全信息等。
在另一种可能的实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息和DNS服务器的标识之前,拜访地的会话管理功能网元接收来自移动和接入管理功能网元的归属地路由会话疏导HR-SBO允许指示。进一步地,拜访地的会话管理功能网元根据HR-SBO允许指示,获取安全信息和DNS服务器的标识。
示例性的,拜访地的会话管理功能网元从本地或NRF获取DNS服务器的实例标识,安全信息和DNS服务器地址;或者,拜访地的会话管理功能网元从本地或NRF先获取DNS服务器的实例标识,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址,以及根据DNS服务器的实例标识从DNS服务器或其他存储网元或本地获取安全信息;又或者,拜访地的会话管理功能网元先从本地或NRF获取DNS服务器的实例标识和安全信息,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址。
在又一种可能的实现方式中,拜访地的会话管理功能网元可以根据本地策略,获取安全信息。
可选地,本地策略指示在终端设备支持DNS over(D)TLS的情况下,获取安全信息。例如,拜访地的会话管理功能网元接收的第二PCO中包含DNS over(D)TLS,则确定获取安全信息。
可选地,本地策略可以包含每个DNN/S-NSSAI支持或允许HR-SBO的信息。那么,拜访地的会话管理功能网元可以从本地策略的每个DNN/S-NSSAI支持或允许的HR-SBO的信息中,确定终端设备请求的DNN/S-NSSAI是否支持或允许HR-SBO,进而选择DNS服务器,并获取DNS服务器的安全信息和DNS服务器的地址。例如,拜访地的会话管理功能网元从本地或NRF获取DNS服务器的实例标识,安全信息和DNS服务器地址;再例如,拜访地的会话管理功能网元从本地或NRF先获取DNS服务器的实例标识,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址,以及根据DNS服务器的实例标识从DNS服务器或其他存储网元或本地获取安全信息;又例如,拜访地的会话管理功能网元先从本地或NRF获取DNS服务器的实例标识和安全信息,再根据DNS服务器的实例标识从地址解析器获取DNS服务器的地址。
可选地,本地策略还可以包含PLMN信息,用于指示可以为哪些PLMN的用户提供HR-SBO的业务。那么,拜访地的会话管理功能网元可以判断终端设备是否属于该PLMN,例如终端设备的HPLMN是否 为该PLMN,或者终端设备是否为该PLMN的签约用户,若终端设备的HPLMN不是该PLMN,或者终端设备不属于该PLMN,则拜访地的会话管理功能网元可以跳过DNS服务器的发现;若终端设备的HPLMN是该PLMN,或者终端设备属于该PLMN,则拜访地的会话管理功能网元可以选择支持HR-SBO的DNS服务器,例如V-EASDF。
可选地,上述提供的本地策略可以独立实现,也可以组合实现。例如,拜访地的会话管理功能网元可以判断终端设备是否属于该PLMN,以及判断终端设备请求的DNN/S-NSSAI是否支持或允许HR-SBO,进一步地,只有在确定终端设备属于该PLMN,且终端设备请求的DNN/S-NSSAI支持或允许HR-SBO的情况下,拜访地的会话管理功能网元才执行步骤S302。
在又一种可能的实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的归属地的网络标识。进一步地,拜访地的会话管理功能网元根据终端设备的网络标识,获取安全信息。
示例性的,拜访地的会话管理功能网元可以根据终端设备的HPLMN的标识,确定DNS服务器的安全信息,该安全信息用于HPLMN ID对应的PLMN中的签约用户与DNS服务器进行安全的消息交互。因此,在该实现方式中,针对不同的HPLMN,可以确定不同的DNS服务器的安全信息。也就是说,对于不同HPLMN的终端设备,用于认证DNS服务器的安全信息,例如凭证也就不同。
在又一种可能的实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的与会话对应的用户面安全策略。进一步地,拜访地的会话管理功能网元根据用户面安全策略,获取安全信息。
其中,用户面安全策略指示不开启或者可选开启用户面安全保护。在本申请实施例中,用户面安全策略也可以理解为用户面完整性保护策略,二者可替换使用。
示例性的,拜访地的会话管理功能网元在接收到来自归属地的会话管理功能网元的用户面安全策略后,确定该会话对应的用户面安全为不开启或者可选开启用之后,确定UE与DNS服务器之间需要建立安全连接,以保证两者之间的安全通信。因此,拜访地的会话管理功能网元需要获取DNS服务器的安全信息,并通过归属地的会话管理功能网元发送给终端设备,以便于终端设备后续使用安全信息,建立自身与DNS服务器之间的安全连接。
可选地,在用户面安全策略指示开启用户面安全的情况下,拜访地的会话管理功能网元也可以获取安全信息,本申请对此不作具体限定。
示例性的,在PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,拜访地的会话管理功能网元可以确定使用DNS over(D)TLS,则拜访地的会话管理功能网元可以提供安全信息;或者,若PDU会话的用户面安全策略指示需要用户面的完整性保护时,则拜访地的会话管理功能网元可以不提供安全信息。
在又一种可能的实现方式中,在拜访地的会话管理功能网元获取位于拜访地的DNS服务器的安全信息之前,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的HR-SBO授权信息。进一步地,拜访地的会话管理功能网元根据HR-SBO授权信息,获取安全信息和DNS服务器的标识。
可选地,HR-SBO授权信息可以是用于指示终端设备通过会话访问位于拜访地的DNS服务器的信息或指示信息,例如HR-SBO authorization indication或者HR-SBO authorization information,本申请对此不作限定。如果HR-SBO授权信息是指示信息,可以直接指示,也可以间接指示,用于判断HR-SBO是否授权。
示例性的,拜访地的会话管理功能网元根据HR-SBO授权信息,确定在接收到请求HR-SBO PDU会话的情况下,需要提供DNS服务器的安全信息和DNS服务器的标识。
可选地,在确定终端设备满足HR-SBO会话建立条件的情况下,拜访地的会话管理功能网元根据HR-SBO授权信息,获取安全信息和DNS服务器的标识。
示例性的,拜访地的会话管理功能网元可以根据终端设备的位置信息,确定终端设备是否移动待可以接入V-PLMN中的边缘应用的区域内。如果确定终端设备当前移动到边缘应用的服务范围,则可以确定满足HR-SBO会话建立条件,并且基于本地存储的HR-SBO授权信息,获取安全信息和DNS服务器的标识。
S303,拜访地的会话管理功能网元向归属地的会话管理功能网元发送安全信息和DNS服务器的标识;
对应的,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的安全信息和DNS服务器 的标识。
示例性的,通过Nsmf_PDUSession_Creat Request消息发送安全信息和DNS服务器的标识。
可选地,拜访地的会话管理功能网元可以分别向归属地的会话管理功能网元发送安全信息和DNS服务器的标识。即,拜访地的会话管理功能网元可以通过第一消息向归属地的会话管理功能网元发送DNS服务器的标识,通过第二消息向归属地的会话管理功能网元发送安全信息。也就是说,安全信息和DNS服务器的标识可以不在同一个消息中发送,也可以不同时发送,本申请实施例对安全信息和DNS服务器的标识的发送时机和承载方式不作具体限定。
可选地,拜访地的会话管理功能网元获取策略信息,策略信息用于指示归属地的会话管理功能网元向终端设备发送安全信息的触发条件;进一步地,拜访地的会话管理功能网元还可以向归属地的会话管理功能网元发送策略信息。
示例性的,触发条件可以是:在确定终端设备支持DNS over(D)TLS的情况下,归属地的会话管理功能网元可以向终端设备提供安全信息;或者,在确定终端设备支持DNS over(D)TLS,且PDU会话用户面安全策略指示不需要完整性保护或推荐完整性保护的情况下,归属地的会话管理功能网元可以向终端设备提供安全信息等。
S304,归属地的会话管理功能网元生成第一PCO。
其中,第一PCO包括DNS服务器的安全信息和DNS服务器的标识。
可选地,第一PCO还可以包括以下一项或者多项:DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型,建立终端设备与DNS服务器之间的安全连接所使用的端口号。
需要指出的是,第一PCO中包含的一个或者多个安全协议类型,与上述步骤S303中接收到的安全信息中携带的DNS服务器支持的一种或者多种安全协议类型,可以相同,也可以不同,本申请对此不作限定。
示例性的,拜访地的会话管理功能网元提供的DNS服务器可以支持安全协议1和安全协议2,对应的,拜访地的会话管理功能网元发送的安全信息中包括安全协议1和安全协议2,第一PCO中包含的DNS服务器支持的安全协议类型可以是安全协议1和/或安全协议2。例如,情况一:第二PCO中携带的终端设备支持的安全协议类型是安全协议1和安全协议2,则拜访地的会话管理功能网元确定第一PCO中包含安全协议1和安全协议2;或者,情况二:第二PCO中携带的终端设备支持的安全协议类型是安全协议1,则拜访地的会话管理功能网元确定第一PCO中包含安全协议1等。可选地,针对上述情况二,拜访地的会话管理功能网元发送给终端设备的第一PCO中也可以同时包含安全协议1和安全协议2,后续终端设备可以根据自己支持的安全协议类型,例如安全协议1(适用于TLS连接),在确定发起DNS发现流程时,根据安全信息与DNS服务器建立TLS连接,并使用TLS连接发送DNS消息。
下面针对归属地的会话管理功能网元生成第一PCO的具体实现方式进行具体说明。
示例性的,归属地的会话管理功能网元向统一数据管理功能网元发送签约数据管理请求消息;归属地的会话管理功能网元接收来自统一数据管理功能网元的签约数据管理响应消息,其中,签约数据管理响应消息包括归属地路由会话疏导HR-SBO授权信息。
在一种可能的实现方式中,归属地的会话管理功能网元生成第一PCO根据HR-SBO授权信息,生成第一PCO。示例性的,归属地的会话管理功能网元根据SDM信息中携带的HR-SBO授权信息,确定HR-SBO PDU会话被授权,进一步的根据接收来自拜访地的会话管理功能网元的安全信息生成第一PCO。
在另一种可能的实现方式中,归属地的会话管理功能网元可以根据本地策略,和/或PDU会话的用户面安全策略,确定生成第一PCO。例如,在该PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,归属地的会话管理功能网元可以确定第一PCO中包含安全信息;再例如,在本地策略指示PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,归属地的会话管理功能网元确定第一PCO中包含安全信息。
在又一种可能的实现方式中,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的策略信息,策略信息用于指示归属地的会话管理功能网元向终端设备发送安全信息的触发条件;归属地的会话管理功能网元根据策略信息生成第一PCO。
示例性的,当触发条件为:在确定终端设备支持DNS over(D)TLS的情况下,归属地的会话管理功能网元可以向终端设备提供安全信息,则归属地的会话管理功能网元可以根据从拜访地的会话管理功能网元接收到第二PCO确定终端设备支持DNS over(D)TLS,进而可以触发向终端设备提供安全信息。其 中,该第二PCO中携带终端设备支持的安全协议为DNS over(D)TLS。
示例性的,当触发条件为:在确定终端设备支持DNS over(D)TLS,且PDU会话用户面安全策略指示不需要完整性保护或推荐完整性保护的情况下,归属地的会话管理功能网元可以向终端设备提供安全信息,则归属地的会话管理功能网元在根据本地配置的PDU会话用户面安全策略确定不需要开启完整性保护的情况下,可以根据从拜访地的会话管理功能网元接收到第二PCO确定终端设备支持DNS over(D)TLS,触发向终端设备提供安全信息等。
在又一种可能的实现方式中,归属地的会话管理功能网元可以根据本地配置信息确定生成第一PCO。示例性的,归属地的会话管理功能网元获取H-DNS服务器,并根据接收来自拜访地的会话管理功能网元的第二PCO中包含DNS服务器安全信息指示的情况下,确定生成的第一PCO中包含对应的H-DNS服务器的安全信息;进一步地,归属地的会话管理功能网元向拜访地的会话管理功能网元发送HR-SBO授权信息,并接收来自拜访地的会话管理功能网元的用于请求获取安全信息和DNS服务器的标识,进而生成第一PCO。
在又一种可能的实现方式中,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的第二PCO中包含DNS服务器安全协议支持,归属地的会话管理功能网元根据DNS服务器安全协议支持,生成第一PCO。
示例性的,归属地的会话管理功能网元可以根据第二PCO中携带的终端设备安全协议支持,以及DNS服务器支持的一种或者多种安全协议类型,确定生成第一PCO,第一PCO中包括DNS服务器和终端设备都支持的一种或者多种安全协议类型中的一个或者多个安全协议类型。
在又一种可能的实现方式中,在归属地的会话管理功能网元生成第一PCO之前,归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的第二PCO,第二PCO包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;归属地的会话管理功能网元向拜访地的会话管理功能网元发送请求消息,请求消息包括用于指示终端设备支持基于安全协议对DNS消息进行安全保护指示信息;归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的安全信息,进而生成第一PCO。
可选地,归属地的会话管理功能网元可以根据接收来自拜访地的会话管理功能网元的第二PCO中携带的用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息,确定第一PCO中包含安全信息。
可选地,在第二PCO还包括终端设备支持的一种或者多种安全协议类型的情况下,归属地的会话管理功能网元根据第二PCO中携带的终端设备支持的一种或者多种安全协议类型,以及DNS服务器支持的一种或者多种安全协议类型,生成第一PCO,其中,第一PCO包括DNS服务器和终端设备都支持的一种或者多种安全协议类型中的一个或者多个安全协议类型。
S305,归属地的会话管理功能网元向拜访地的会话管理功能网元发送第一PCO;
对应的,拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的第一PCO。
示例性的,归属地的会话管理功能网元通过Nsmf_PDUSession_Creat Response消息向拜访地的会话管理功能网元发送第一PCO。
在一种示例中,在拜访地的会话管理功能网元接收来自归属地的会话管理功能网元的第一PCO之前,拜访地的会话管理功能网元向归属地的会话管理功能网元发送DNS服务器支持的一种或者多种安全协议类型,和/或建立安全连接所使用的端口号;其中,第一PCO中还包括DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或端口号。
需要指出的是,拜访地的会话管理功能网元提供的DNS服务器支持的一种或者多种安全协议类型,与第一PCO中携带的一个或者多个安全协议类型可以完全相同,也可以不同,本申请对此不作限定。例如,拜访地的会话管理功能网元提供的DNS服务器支持的安全协议为安全协议1和安全协议2,归属地的会话管理功能网元向终端设备提供的第一PCO中可以包含安全协议1和/或安全协议2。
S306,拜访地的会话管理功能网元向终端设备发送第一PCO;
对应的,终端设备接收来自拜访地的会话管理功能网元的第一PCO。
示例性的,拜访地的会话管理功能网元(例如V-SMF)向移动管理功能网元(例如AMF)发送PDU session Establishment Response消息发送第一PCO,AMF通过Nsmf_PDUSession_CreatSMContext Response消息向终端设备(例如UE)发送第一PDU会话建立响应消息。例如,V-SMF向AMF发送第一PCO。
S307,终端设备基于安全信息,建立与DNS服务器(例如V-EASDF)之间的安全连接。
示例性的,终端设备在接收到DNS服务器的安全信息后,终端设备将安全信息传递到上层。进一步地,在UE确定发起DNS发现流程时,终端设备使用该安全信息建立与DNS服务器之间的(D)TLS安全连接,并使用建立的(D)TLS安全连接发送DNS消息。应理解,该DNS消息是被保护的,可以保证终端设备与DNS服务器之间的安全通信。
可选地,在上述提供的本申请技术方案中,归属地的会话管理功能网元获取DNS服务器(例如,V-EASDF)的安全信息的实现方式还可以包括:
示例性的,在归属地的会话管理功能网元中预配置位于拜访地的DNS服务器的安全信息,例如预配置中包含V-PLMN ID1,以及关联的V-EASDF的安全信息;又例如V-PLMN ID2,以及关联的V-EASDF的安全信息等。针对同一个V-PLMN,不同的V-EASDF的安全信息可以是相同的,也可以是不同的。当不同的V-EASDF的安全信息相同时,预配置中仅需要包含V-PLMN ID和关联的V-EASDF的安全信息。当安全信息不同时,预配置中同时还需要存储V-EASDF的ID。在确定归属地路由本地疏导(home routed local breakout,HR-LBO)授权的情况下,归属地的会话管理功能网元可以根据接收到的DNS服务器地址,用于指示终端设备支持基于安全协议对DNS消息进行安全保护的指示信息,VPLMN ID,DNS服务器支持的安全协议类型,确定在第一ePCO中包含V-EASDF的安全信息。
示例性的,在UDM中预配置位于拜访地的DNS服务器(例如,V-EASDF)的安全信息,例如V-PLMN ID1,以及关联的V-EASDF的安全信息;又例如V-PLMN ID2,以及关联的V-EASDF的安全信息等。在确定HR-LBO授权的情况下,归属地的会话管理功能网元可以根据接收到的拜访网络的V-PLMN ID和/或V-EASDF地址,从UDM获取V-EASDF的安全信息。其中,针对同一个V-PLMN,不同的V-EASDF的安全信息可以是相同的,也可以是不同的,具体实现可参考上述相关描述。
应理解,上述获取DNS服务器的安全信息的替换方法与方法300的区别在于,该可选的实现方式中归属地的会话管理功能网元不与归属地的会话管理功能网元进行信息交互,自己从本地的预配置或者从UDM获取DNS服务器的安全信息。另外,该实现方式同样适应于以下方法400至800中,为了简洁,下文不再重复赘述。
本申请提供的方案,通过拜访地的会话管理功能网元与归属地的会话管理功能网元交互安全信息,再由归属地的会话管理功能网元将安全信息发送给终端设备,使得终端设备可以根据安全信息建立与DNS服务器之间的安全连接,从而保障网络通信安全。
接下来,以终端设备为UE,拜访地边缘应用服务器发现功能网元为V-EASDF,拜访地的会话管理功能网元为V-SMF,归属地的会话管理功能网元为H-SMF,移动管理功能网元为AMF,统一数据管理功能网元为UDM为例,结合图4至图8,分别说明UE与V-EASDF之间建立安全连接的方案。
图4是本申请实施例提供的通信方法400的流程示例图。该方法在HR-SBO PDU会话建立过程中,V-SMF在确定发起HR-SBO PDU会话的情况下,向H-SMF同时提供V-EASDF地址和V-EASDF的安全信息#a,进而使得H-SMF能够确定向UE发送V-EASDF的安全信息#b,能够节省信令开销。如图4所示,该方法包括如下多个步骤。
S401,UE注册流程,AMF从UDM获取HR-SBO允许指示。
其中,注册流程的具体实现方式可参考上述方法200的步骤S201至S204的相关描述,为了简洁,此处不再赘述。
S402,UE向AMF发送PDU会话建立请求#a;对应的,AMF接收来自UE的PDU会话建立请求#a。
示例性的,若UE支持DNS over(D)TLS,则PDU会话建立请求#a中包含ePCO#a,ePCO#a包含DNS服务器安全信息指示。可选地,ePCO#a还可以包含DNS服务器安全协议支持,用于指示UE支持的安全协议类型。
S403,AMF选择V-SMF。
S404,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S405,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
其中,上述步骤S402至S405的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S205至S207的相关描述,为了简洁,此处不再过多赘述。
S406,V-SMF获取V-EASDF的安全信息#a。
其中,安全信息#a可以包括认证凭证,用于认证V-EASDF的凭证。可选地,安全信息#a还可以包括V-EASDF支持的安全协议信息(或者说,V-EASDF支持的安全机制),和/或端口号等。
在一种示例中,若步骤S404中包含HR-SBO允许指示,则V-SMF选择支持HR-SBO的V-EASDF,并获取V-EASDF的安全信息#a和V-EASDF的地址。例如,V-SMF从本地或NRF获取V-EASDF实例标识,V-EASDF地址和安全信息#a;再例如,V-SMF从本地或NRF先获取V-EASDF实例标识,再根据V-EASDF实例标识从地址解析器获取V-EASDF地址,以及根据V-EASDF实例标识从V-EASDF或其他存储网元或本地获取安全信息#a;又例如,V-SMF先从本地或NRF获取V-EASDF实例标识和安全信息#a,再根据V-EASDF实例标识从地址解析器获取V-EASDF的地址。
在另一种示例中,若步骤S404中不包含HR-SBO允许指示,则V-SMF可以根据本地策略确定选择V-EASDF,并获取V-EASDF的安全信息#a和V-EASDF的地址。
示例性的,本地策略包含per DNN/S-NSSAI支持或允许HR-SBO的信息。那么,V-SMF可以从本地策略的per DNN/S-NSSAI支持或允许的HR-SBO的信息中,确定与步骤S402的PDU会话建立请求#a中携带的DNN/S-NSSAI是否支持或允许HR-SBO,进而选择V-EASDF,并获取V-EASDF的安全信息#a和V-EASDF的地址。例如,V-SMF从本地或NRF获取V-EASDF实例标识,V-EASDF地址和安全信息#a;再例如,V-SMF从本地或NRF先获取V-EASDF实例标识,再根据V-EASDF实例标识从地上解析器获取V-EASDF地址,以及根据V-EASDF实例标识从V-EASDF或其他存储网元或本地获取安全信息#a;又例如,V-SMF先从本地或NRF获取V-EASDF实例标识和安全信息#a,再根据V-EASDF实例标识从地址解析器获取V-EASDF的地址。
可选地,本地策略还可以包含PLMN信息,用于指示可以为哪些PLMN的用户提供HR-SBO的业务。那么,V-SMF可以判断UE是否属于该PLMN,即UE的HPLMN是否为该PLMN或UE为该PLMN的签约用户,若UE不属于该PLMN,则V-SMF跳过V-EASDF的发现;若UE属于该PLMN,则V-SMF选择支持HR-SBO的V-EASDF。
可选地,上述提供的本地策略可以独立实现,也可以组合实现。例如,V-SMF需要判断UE是否属于该PLMN,以及判断UE请求的DNN/S-NSSAI是否支持或允许HR-SBO,只有在确定UE属于该PLMN,且UE请求的DNN/S-NSSAI支持或允许HR-SBO的情况下,V-SMF才执行步骤S406。
可选地,在上述示例中,V-SMF可以根据UE的HPLMN的标识,确定V-EASDF的安全信息#a。因此,在该实现方式中,针对不同的HPLMN,可以确定不同的V-EASDF的安全信息。也就是说,对于不同HPLMN的UE,用于认证V-EASDF的凭证也就不同。
可选地,V-SMF还可以获取策略信息#a,携带在步骤S407中发送给H-SMF,用于H-SMF确定是否向UE提供V-EASDF的安全信息#a。例如,策略信息#a指示在UE支持DNS over(D)TLS的情况下,则H-SMF可以向UE提供V-EASDF的安全信息;又例如,策略信息#a指示在UE支持DNS over(D)TLS,且PDU会话用户面安全策略指示不需要完整性保护的情况下,则H-SMF可以向UE提供V-EASDF的安全信息等。应理解,上述策略信息#a仅是为便于理解方案给出的示例,本申请实施例对策略信息#a不作具体限定。
S407,V-SMF向H-SMF发送PDU会话建立请求#b;对应的,H-SMF接收来自V-SMF的PDU会话建立请求#b。
其中,PDU会话建立请求#b包括ePCO#a、V-EASDF的安全信息#a和V-EASDF的地址。
可选地,如果步骤S406中V-SMF获取了策略信息#a,则PDU会话建立请求#b可以携带该策略信息#a。
S408,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请求。
S409,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,上述步骤S408和S409的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S209和S210的相关描述,为了简洁,此处不再过多赘述。
S410,H-SMF在确定HR-SBO授权的情况下,确定V-EASDF的安全信息#b(即,安全信息的一例)。
其中,安全信息#b可以包括认证凭证,即用于认证V-EASDF的凭证。可选地,安全信息#b还可以 包括V-EASDF支持的安全协议信息(或者说,V-EASDF支持的安全机制),和/或端口号等。
示例性的,H-SMF根据步骤S409的SDM信息中携带的HR-SBO授权指示和/或HR-SBO授权信息,确定HR-SBO PDU会话被授权。
进一步地,H-SMF确定生成包含V-EASDF的安全信息#b的ePCO#b。另外,ePCO#b中还包含V-EASDF的地址。
在一种示例中,H-SMF可以根据在步骤S407接收到的ePCO#a中包含DNS服务器安全信息指示,确定在ePCO#b中包含V-EASDF的安全信息#b。
在另一种示例中,H-SMF可以根据本地策略,和/或PDU会话的用户面安全策略,确定在ePCO#b中包含V-EASDF的安全信息#b。例如,在该PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,H-SMF确定ePCO#b中包含V-EASDF的安全信息#b;再例如,在本地策略指示PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,H-SMF确定ePCO#b中包含V-EASDF的安全信息#b。
在又一种示例中,如果上述步骤S407的PDU会话建立请求#b中携带了策略信息#a,则H-SMF还可以根据该策略信息#a确定ePCO#b中包含V-EASDF的安全信息#b。例如,策略信息#a指示在UE支持DNS over(D)TLS的情况下,使用DNS over(D)TLS,无需考虑PDU会话的用户面安全策略,则在确定HR-SBO授权,且来自UE的ePCO#a中包含DNS服务器安全信息指示的情况下,H-SMF可以确定在ePCO#b中包含V-EASDF的安全信息#b。又例如,策略信息#a指示在PDU会话的用户面安全策略指示不需要用户面的完整性保护时,使用DNS over(D)TLS,则H-SMF可以确定ePCO#b中包含V-EASDF的安全信息#b。
在又一种示例中,如果在步骤S407接收到的ePCO#a中包含DNS服务器安全协议支持,则H-SMF可以根据ePCO#a中携带的DNS服务器安全协议支持,以及步骤S407接收到的V-EASDF的安全信息#a中携带的安全协议信息,确定最终使用的安全协议,并将该DNS服务器安全协议作为V-EASDF的安全信息#b的一部分携带在ePCO#b中。
应理解,以上仅是为便于理解给出的示例,不应构成对本申请技术方案的任何限定。
可选地,V-EASDF的安全信息#b与V-EASDF的安全信息#a可以相同,也可以不同。具体来说,V-EASDF的安全信息#b包含于V-EASDF的安全信息#a,或者说V-EASDF的安全信息#b是V-EASDF的安全信息#a的子集。例如,V-EASDF的安全信息#b包含凭证1,安全协议1,V-EASDF的安全信息#a包含凭证1,安全协议1和安全协议2。
S411,H-SMF向V-SMF发送PDU会话建立响应#b;对应的,V-SMF接收来自H-SMF的PDU会话建立响应#b。
其中,PDU会话建立响应#b包括ePCO#b,ePCO#b包括V-EASDF的安全信息#b和V-EASDF的地址。
可选地,PDU会话建立响应#b还可以包含HPLMN的DNS服务器的地址(可以简称为H-DNS服务器的地址),该H-DNS服务器用于解析特定应用(例如由HPLMN能够路由的)的地址。
S412,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
其中,N1N2消息传输可以是N1N2_MessageTransfer,该消息包含N1SM容器,N1SM容器包括ePCO#b,ePCO#b包括V-EASDF的安全信息#b和V-EASDF的地址。
S413,AMF向UE发送PDU会话建立响应#a;对应的,UE接收来自AMF的PDU会话建立响应#a。
其中,PDU会话建立响应#a包括N1SM容器,也就是向UE提供V-EASDF的安全信息#b和V-EASDF的地址。
S414,PDU会话建立后续过程。
其中,PDU会话建立的具体实现方式可参考3GPP TS23.502中的相关描述,为了简洁,此处不再赘述。
S415,UE使用V-EASDF的安全信息#b,向V-EASDF发送具有安全保护的DNS消息;对应的,V-EASDF接收来自UE的具有安全保护的DNS消息。
示例性的,UE接收V-EASDF的安全信息#b,UE将安全信息#b传递到上层。进一步地,UE使用该V-EASDF的安全信息#b建立与V-EASDF之间的安全连接,并使用建立的安全连接发送DNS消息。
示例性的,在UE确定发起DNS发现流程时,UE可以根据接收到的V-EASDF的安全信息#b建立 (D)TLS连接,并使用(D)TLS连接发送DNS消息。应理解,该DNS消息是被保护的,可以保证UE与V-EASDF之间的安全通信。
本申请所揭示的方法,V-SMF根据来自AMF的HR-SBO允许指示或本地策略,确定发起HR-SBO的PDU会话建立过程中,选择V-EASDF,获取V-EASDF的安全信息#a,并向H-SMF同时发送该V-EASDF的地址和V-EASDF的安全信息#a;H-SMF在确定请求的HR-SBO PDU会话授权通过的情况下,能够根据来自UE的ePCO#a中的DNS服务器安全信息指示和来自V-SMF的V-EASDF的安全信息#a,确定向UE发送包含V-EASDF的安全信息#b的ePCO#b。基于该实现方式,能够保护V-EASDF与UE之间交互的DNS消息,维护网络安全通信。
图5是本申请实施例提供的通信方法500的流程示例图。该方法在HR-SBO PDU会话建立过程中,由H-SMF主动触发向V-SMF获取V-EASDF的安全信息#a,使得网络能够按需获取安全信息#a,即V-SMF根据H-SMF的请求向H-SMF提供V-EASDF的安全信息#a,进而使得H-SMF能够确定向UE发送V-EASDF的安全信息#b。如图5所示,该方法包括如下多个步骤。
S501,UE注册流程,AMF从UDM获取HR-SBO允许指示。
S502,UE向AMF发送PDU会话建立请求#A;对应的,AMF接收来自UE的PDU会话建立请求#A。
示例性的,若UE支持DNS over(D)TLS,则PDU会话建立请求#A中包含ePCO#A,ePCO#A包含DNS服务器安全信息指示。可选地,ePCO#A还可以包含DNS服务器安全协议支持。
S503,AMF选择V-SMF。
S504,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S505,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
其中,上述步骤S501至S505的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S401至S405的相关描述,为了简洁,此处不再过多赘述。
S506,V-SMF获取V-EASDF的地址。
在一种示例中,若步骤S504中包含HR-SBO允许指示,则V-SMF选择支持HR-SBO的V-EASDF,并获取V-EASDF的地址。
在另一种示例中,若步骤S504中不包含HR-SBO允许指示,则V-SMF可以根据本地策略确定选择V-EASDF,并获取V-EASDF的地址。
示例性的,本地策略包含per DNN/S-NSSAI支持或允许HR-SBO的信息。可选地,本地策略还可以包含PLMN信息,用于指示可以为哪些PLMN的用户提供HR-SBO的业务。具体实现方式可参考上述方法400的步骤S406的相关描述,为了简洁,此处不再过多赘述。
S507,V-SMF向H-SMF发送PDU会话建立请求#B;对应的,H-SMF接收来自V-SMF的PDU会话建立请求#B。
其中,PDU会话建立请求#B包括ePCO#A和V-EASDF的地址。
S508,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请求。
S509,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,上述步骤S508和S509的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S408和S409的相关描述,为了简洁,此处不再过多赘述。
S510,H-SMF在确定HR-SBO授权的情况下,触发V-EASDF的安全信息的获取流程。
示例性的,H-SMF根据步骤S509的SDM信息中携带的HR-SBO授权指示和/或HR-SBO授权信息,确定HR-SBO PDU会话被授权;同时,若在步骤S507接收到的ePCO#A中携带DNS服务器安全信息指示,则H-SMF触发向V-SMF获取V-EASDF的安全信息#a,即执行步骤S511至S513。
可选地,H-SMF可以在接收到来自V-SMF的V-EASDF地址的情况下,执行步骤S511至S513。
S511。H-SMF向V-SMF发送安全信息请求;对应的,V-SMF接收来自H-SMF的安全信息请求。
示例性的,安全信息请求可以是Nsmf_Info Request,即消息本身可以指示H-SMF请求从V-SMF获取V-EASDF的安全信息#a。
可选地,安全信息请求中包含以下一项或者多项:DNS服务器安全信息指示,PDU会话的用户面安 全策略,HPLMN ID,DNS服务器安全协议支持。
S512,V-SMF确定是否提供V-EASDF的安全信息#a。
在一种示例中,V-SMF根据步骤S511中接收到的安全信息请求确定使用DNS over(D)TLS,则在步骤S513的安全信息响应中携带V-EASDF的安全信息#a。
在另一种示例中,若步骤S511的安全信息请求中包含DNS服务器安全信息指示,则V-SMF可以根据DNS服务器安全信息指示,确定使用DNS over(D)TLS,并在步骤S513的安全信息响应中携带V-EASDF的安全信息#a。
在又一种示例中,V-SMF可以根据本地策略确定是否提供V-EASDF的安全信息#a。例如,本地策略指示在UE支持DNS over(D)TLS的情况下,则V-SMF可以根据S507中携带的ePCO#A包含的DNS over(D)TLS,确定在步骤S513的安全信息响应中携带V-EASDF的安全信息#a。
在又一种示例中,若步骤S511的安全信息请求中包含PDU会话的用户面安全策略,则V-SMF可以根据PDU会话的用户面安全策略,确定是否提供V-EASDF的安全信息#a。例如,在PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,V-SMF可以确定使用DNS over(D)TLS,并在步骤S513的安全信息响应中携带V-EASDF的安全信息#a;或者,若PDU会话的用户面安全策略指示需要用户面的完整性保护时,则V-SMF可以不提供V-EASDF的安全信息#a。
在又一种示例中,若步骤S511的安全信息请求中包含HPLMN ID,则V-SMF可以根据HPLMN ID提供V-EASDF的安全信息#a。例如,获取HPLMN ID对应的V-EASDF的安全信息#a,该安全信息#a用于HPLMN ID对应的PLMN中的签约用户与V-EASDF安全的交互消息。
在又一种示例中,若步骤S511的安全信息请求中包含DNS服务器安全协议支持,则V-SMF可以根据DNS服务器安全协议支持,确定提供V-EASDF的安全信息#a。
需要说明的是,上述提供的示例可以独立实现,也可以组合实现。示例性的,V-SMF可以根据本地策略,以及PDU会话的用户面安全策略,是否提供V-EASDF的安全信息#a。例如,本地策略指示只有在PDU会话的用户面安全策略指示不需要用户面的完整性保护的情况下,V-SMF可以提供V-EASDF的安全信息#a。示例性的,V-SMF可以根据本地策略和HPLMN ID,确定是否提供V-EASDF的安全信息#a。例如,本地策略指示在UE支持DNS over(D)TLS,且UE属于该HPLMN的情况下,V-SMF可以提供对应PLMN中的用户与V-EASDF安全交互的安全信息#a,等等。
应理解,以上仅是为便于理解给出的示例,不应构成对本申请技术方案的任何限定。
S513,V-SMF向H-SMF发送安全信息响应;对应的,H-SMF接收来自V-SMF的安全信息响应。
其中,安全信息响应中携带V-EASDF的安全信息#a。
示例性的,基于步骤S512的判断,若确定需要提供V-EASDF的安全信息#a,则V-SMF向H-SMF发送Nsmf_Info响应,该Nsmf_Info响应中包含V-EASDF的安全信息#a。
S514,H-SMF向V-SMF发送PDU会话建立响应#B;对应的,V-SMF接收来自H-SMF的PDU会话建立响应#B。
S515,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
S516,AMF向UE发送PDU会话建立响应#A;对应的,UE接收来自AMF的PDU会话建立响应#A。
S517,PDU会话建立后续过程。
S518,UE使用V-EASDF的安全信息#b,向V-EASDF发送具有安全保护的DNS消息;对应的,V-EASDF接收来自UE的具有安全保护的DNS消息。
示例性的,UE接收V-EASDF的安全信息#b,UE将安全信息#b传递到上层。进一步地,UE使用该V-EASDF的安全信息#b建立与V-EASDF之间的安全连接,并使用建立的安全连接发送DNS消息。
其中,上述步骤S514至S518的具体实现方式,以及交互消息的具体名称,可参考上述方法400的步骤S411至S415的相关描述,为了简洁,此处不再过多赘述。
本申请所揭示的方法,在HR-SBO的PDU会话建立过程中,H-SMF在接收到来自UE的DNS服务器安全信息指示,以及确定请求的HR-SBO PDU会话授权通过的情况下,向V-SMF请求获取V-EASDF的安全信息#a,V-SMF根据来自H-SMF的请求消息,和/或本地策略,PDU会话的用户面安全策略,确定向H-SMF发送V-EASDF的安全信息#a,从而使得H-SMF能够向UE发送包含V-EASDF的安全信息#b的ePCO#B。基于该实现方式,能够保护V-EASDF与UE之间交互的DNS消息,维护网络安全通信。
图6是本申请实施例提供的通信方法600的流程示例图。该方法在HR-SBO PDU会话建立过程中, V-SMF在接收到来自H-SMF的HR-SBO授权指示,确定发起HR-SBO PDU会话的情况下,向H-SMF提供V-EASDF的安全信息#a,进而使得H-SMF能够确定向UE发送V-EASDF的安全信息#b。基于HR-SBO授权指示获取安全信息#a能够保障后续UE与V-EASDF之间的安全通信。如图6所示,该方法包括如下多个步骤。
S601,UE注册流程,AMF从UDM获取HR-SBO允许指示。
S602,UE向AMF发送PDU会话建立请求#11;对应的,AMF接收来自UE的PDU会话建立请求#11。
S603,AMF选择V-SMF。
S604,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S605,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
其中,上述步骤S601至S605的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S401至S405的相关描述,为了简洁,此处不再过多赘述。
S606,V-SMF向H-SMF发送PDU会话建立请求#22;对应的,H-SMF接收来自V-SMF的PDU会话建立请求#22。
其中,PDU会话建立请求#22包括ePCO#11。
S607,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请求。
S608,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,上述步骤S601至S608的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S401至S405、S407至S409的相关描述,为了简洁,此处不再过多赘述。
S609,H-SMF生成ePCO#22。
示例性的,H-SMF根据步骤S608的SDM信息中携带的HR-SBO授权指示和/或HR-SBO授权信息,确定HR-SBO PDU会话被授权,并进一步地生成ePCO#22。其中,ePCO#22中包含H-DNS服务器的安全信息和H-DNS服务器的地址。
在一种示例中,H-SMF可以根据本地配置信息获取H-DNS服务器,在步骤S606的ePCO#11中包含DNS服务器安全信息指示的情况下,确定在ePCO#22中包含对应的H-DNS服务器的安全信息。
在另一种示例中,H-SMF可以根据本地策略,和/或PDU会话的用户面安全策略,确定在ePCO#22中包含对应的H-DNS服务器的安全信息。
在又一种示例中,如果上述步骤S606的PDU会话建立请求#22中携带了策略信息#a,则H-SMF还可以根据该策略信息#a确定ePCO#22中包含包含对应的H-DNS服务器的安全信息。
在又一种示例中,如果在步骤S606的PDU会话建立请求#22中携带的ePCO#11包含DNS服务器安全协议支持,则H-SMF可以根据ePCO#11中携带的DNS服务器安全协议支持,确定将该DNS服务器安全协议作为H-DNS服务器的安全信息的一部分携带在ePCO#22中。
应理解,以上仅是为便于理解给出的示例,不应构成对本申请技术方案的任何限定。具体的判断逻辑和实现方式可参考上述方法400的步骤S410的相关描述,为了简洁,此处不再赘述。
S610,H-SMF向V-SMF发送PDU会话建立响应#22;对应的,V-SMF接收来自H-SMF的PDU会话建立响应#22。
其中,PDU会话建立响应#22包括ePCO#22。
可选地,若H-SMF根据步骤S608中的SDM信息确定HR-SBO被授权,则PDU会话建立响应#22中还可以包含HR-SBO授权指示或HR-SBO授权信息;若H-SMF在步骤S606接收到的ePCO#11中包含DNS服务器安全信息指示,和/或DNS服务器安全协议支持,则PDU会话建立响应#22中还可以包含DNS服务器安全信息指示,和/或DNS服务器安全协议支持。
可选地,PDU会话建立响应#22还可以包括PDU会话的用户面安全策略。
S611,V-SMF确定是否提供V-EASDF的安全信息#a。
其中,具体的判断逻辑和实现方式可参考上述方法500的步骤S512的相关描述,为了简洁,此处不再赘述。
S612,V-SMF向H-SMF发送PDU会话更新请求;对应的,H-SMF接收来自V-SMF的PDU会话更新请求。
示例性的,PDU会话更新请求可以是Nsmf_PDUSession_update请求。其中,PDU会话更新请求包括V-EASDF的安全信息#a和V-EASDF的地址,V-SMF获取V-EASDF的地址的具体实现方式可参考上述方法500的步骤S506的相关描述,为了简洁,此处不再赘述。
S613,H-SMF生成ePCO#33。
其中,ePCO#33中包含V-EASDF的地址和V-EASDF的安全信息#b。
需要指出的是,若上述步骤S610的PDU会话建立响应#22中不包含DNS服务器安全信息指示,则可以由H-SMF根据在步骤S606接收到的ePCO#11中携带的DNS服务器安全信息指示,确定向UE发送的V-EASDF的安全信息#b。进一步地,若步骤S606接收到的ePCO#11中携带了DNS服务器安全协议支持,则H-SMF可以根据该DNS服务器安全协议支持,确定向UE发送的V-EASDF的安全信息#b。
S614,H-SMF向V-SMF发送PDU会话更新响应;对应的,V-SMF接收来自H-SMF的PDU会话更新响应。
示例性的,PDU会话更新响应可以是Nsmf_PDUSession_update。其中,PDU会话更新响应包括ePCO#33。
可选地,上述步骤S612和S614的名称仅是为便于理解给出的示例,不应构成对本申请的任何限定。也就是说,PDU会话更新请求消息和PDU会话更新响应消息还可以替换为其他的服务消息。
S615,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
S616,AMF向UE发送PDU会话建立响应#11;对应的,UE接收来自AMF的PDU会话建立响应#11。
S617,PDU会话建立后续过程。
S618,UE使用V-EASDF的安全信息#b,向V-EASDF发送具有安全保护的DNS消息;对应的,V-EASDF接收来自UE的具有安全保护的DNS消息。
其中,上述步骤S615至S618的具体实现方式,以及交互消息的具体名称,可参考上述方法400的步骤S412和S415的相关描述,为了简洁,此处不再过多赘述。
本申请所揭示的方法,V-SMF根据来自H-SMF的HR-SBO授权指示,在确定发起HR-SBO PDU会话时,V-SMF向H-SMF发送V-EASDF的地址和V-EASDF的安全信息#a,使得H-SMF能够向UE发送包含V-EASDF的安全信息#b的ePCO#33。基于该实现方式,能够保护V-EASDF与UE之间交互的DNS消息,维护网络安全通信。
图7是本申请实施例提供的通信方法700的流程示例图。该方法在HR-SBO PDU会话建立过程中,H-SMF确认HR-SBO授权时向V-SMF发起通知流程,以使得V-SMF在确定请求HR-SBO的情况下提供V-EASDF安全信息#a,进而使得H-SMF能够确定向UE发送V-EASDF的安全信息#b。如图7所示,该方法包括如下多个步骤。
S701,UE注册流程,AMF从UDM获取HR-SBO允许指示。
S702,UE向AMF发送PDU会话建立请求#α;对应的,AMF接收来自UE的PDU会话建立请求#α。
S703,AMF选择V-SMF。
S704,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S705,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
S706,V-SMF向H-SMF发送PDU会话建立请求#β;对应的,H-SMF接收来自V-SMF的PDU会话建立请求#β。
S707,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请求。
S708,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,上述步骤S701至S708的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法600的步骤S601至S608的相关描述,为了简洁,此处不再过多赘述。
S709,H-SMF在确定HR-SBO授权的情况下,触发通知流程。
示例性的,H-SMF根据步骤S708的SDM信息中携带的HR-SBO授权指示和/或HR-SBO授权信息,确定HR-SBO PDU会话被授权,然后即可执行步骤S710。
S710,H-SMF向V-SMF发送授权通知消息;对应的,V-SMF接收来自H-SMF的授权通知消息。
示例性的,授权通知消息可以是Nsmf_info_notify消息。其中,该授权通知消息中包含HR-SBO授权指示或HR-SBO授权信息。
可选地,若H-SMF在步骤S706接收到的ePCO#α中包含DNS服务器安全信息指示,则该授权通知消息中可以包含DNS服务器安全信息指示;若ePCO#α中包含DNS服务器安全协议支持,则该授权通知消息中可以包含DNS服务器安全协议支持。
S711,V-SMF确定是否提供V-EASDF的安全信息#a。
其中,具体的判断逻辑和实现方式可参考上述方法500的步骤S512的相关描述,为了简洁,此处不再赘述。
S712,V-SMF向H-SMF发送授权通知响应消息;对应的,HSMF接收来自V-SMF的授权通知响应消息。
其中,该授权通知响应消息中包含V-EASDF的安全信息#a和V-EASDF的地址。
S713,H-SMF生成ePCO#β。
其中,ePCO#β包括V-EASDF的安全信息#b和V-EASDF的地址。具体实现方式可参考上述方法600的步骤S613的相关描述,为了简洁,此处不再赘述。
S714,H-SMF向V-SMF发送PDU会话建立响应;对应的,V-SMF接收来自H-SMF的PDU会话建立响应。
示例性的,PDU会话建立响应可以是Nsmf_PDUSession_Creat Response。其中,PDU会话建立响应包括ePCO#β。
S715,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
S716,AMF向UE发送PDU会话建立响应#α;对应的,UE接收来自AMF的PDU会话建立响应#α。
S717,PDU会话建立后续过程。
S718,UE使用V-EASDF的安全信息#b,向V-EASDF发送具有安全保护的DNS消息;对应的,V-EASDF接收来自UE的具有安全保护的DNS消息。
其中,上述步骤S714至S718的具体实现方式,以及交互消息的具体名称,可参考上述方法600的步骤S614和S618的相关描述,为了简洁,此处不再过多赘述。
本申请所揭示的方法,在HR-SBO PDU会话建立过程中,V-SMF根据来自H-SMF的HR-SBO授权指示,向H-SMF提供V-EASDF的安全信息#a,使得在需要开启DNS over(D)TLS时,H-SMF能够向UE发送包含V-EASDF的安全信息#b的ePCO#β。基于该实现方式,能够保护V-EASDF与UE之间的安全连接,维护网络安全通信。
图8是本申请实施例提供的通信方法800的流程示例图。该方法在HR-SBO PDU会话建立过程中,H-SMF在确定HR-SBO授权通过的情况下,向V-SMF发送HR-SBO授权指示,以使得后续V-SMF在确定需要请求HR-SBO PDU会话时,向H-SMF提供V-EASDF安全信息#a,进而使得H-SMF能够确定向UE发送V-EASDF的安全信息#b。基于来自归属地的会话管理功能网元的HR-SBO授权信息,以及在确定UE满足HR-SBO会话建立条件的情况下,才确定并获取安全信息#a,安全性更高。如图8所示,该方法包括如下多个步骤。
S801,UE注册流程,AMF从UDM获取HR-SBO允许指示。
S802,UE向AMF发送PDU会话建立请求#1;对应的,AMF接收来自UE的PDU会话建立请求#1。
S803,AMF选择V-SMF。
S804,AMF向V-SMF发送创建会话管理上下文请求;对应的,V-SMF接收来自AMF的创建会话管理上下文请求。
S805,V-SMF向AMF发送创建会话管理上下文响应;对应的,AMF接收来自V-SMF的创建会话管理上下文响应。
S806,V-SMF向H-SMF发送PDU会话建立请求#2;对应的,H-SMF接收来自V-SMF的PDU会话建立请求#2。
S807,H-SMF向UDM请求获取SDM信息;对应的,UDM接收来自H-SMF的获取SDM信息的请 求。
S808,UDM向H-SMF发送SDM信息;对应的,H-SMF接收来自UDM的SDM信息。
其中,上述步骤S801至S808的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法600的步骤S601至S608的相关描述,为了简洁,此处不再过多赘述。
S809,H-SMF确定HR-SBO授权。
示例性的,H-SMF根据来自UDM的SDM信息中的HR-SBO授权指示或HR-SBO授权信息,确定HR-SBO授权。
S810,H-SMF向V-SMF发送PDU会话建立响应#2;对应的,V-SMF接收来自H-SMF的PDU会话建立响应#2。
其中,PDU会话建立响应#2包括HR-SBO授权指示或HR-SBO授权信息。进一步地,V-SMF本地存储HR-SBO授权指示或HR-SBO授权信息,用于后续在V-SMF确定请求需要HR-SBO PDU会话时向H-SMF提供V-EASDF安全信息#a。
可选地,若H-SMF在步骤S806接收到的ePCO#1中包含DNS服务器安全信息指示,和/或DNS服务器安全协议支持,则PDU会话建立响应#2还可以包含DNS服务器安全信息指示,和/或DNS服务器安全协议支持。进一步地,V-SMF可以本地存储DNS服务器安全信息指示,和/或DNS服务器安全协议支持。
可选地,PDU会话建立响应#2还可以包含H-DNS服务器的地址,和/或H-DNS服务器的安全信息,用于解析特定应用(如由HPLMN能够路由的)的地址。
可选地,PDU会话建立响应#2还可以包括PDU会话的用户面安全策略。进一步地,V-SMF可以本地存储PDU会话的用户面安全策略。
S811,V-SMF向AMF发送N1N2消息传输#1;对应的,AMF接收来自V-SMF的N1N2消息传输#1。
S812,AMF向UE发送PDU会话建立响应#1;对应的,UE接收来自AMF的PDU会话建立响应#1。
S813,PDU会话建立后续过程。
其中,步骤S811至S813的具体实现方式可参考上述方法600的步骤S615至S617的相关描述,为了简洁,此处不再赘述。
S814,V-SMF判断HR-SBO PDU会话建立是否满足条件。
示例性的,V-SMF根据来自AMF的UE的位置信息,确定当前UE已经移动到EHE(即V-EASDF)的服务范围,而且V-SMF在步骤S810之后本地存储有HR-SBO授权指示,因此V-SM可以确定HR-SBO PDU会话建立满足条件,随即可以获取并向H-SMF提供V-EASDF的安全信息#a。
S815,V-SMF获取V-EASDF的安全信息#a。
其中,获取V-EASDF的安全信息#a的具体实现方式,以及V-EASDF的安全信息#a包含的具体内容可参考上述方法400的步骤S406的相关描述,为了简洁,此处不再赘述。
S816,V-SMF向H-SMF发送PDU会话更新请求;对应的,H-SMF接收来自V-SMF的PDU会话更新请求。
S817,H-SMF生成ePCO#2。
S818,H-SMF向V-SMF发送PDU会话更新响应;对应的,V-SMF接收来自H-SMF的PDU会话更新响应。
其中,上述步骤S816至S818的具体实现方式,以及交互消息的名称或含义,可参考上述方法600的步骤S612至S614的相关描述,为了简洁,此处不再赘述。
S819,V-SMF向AMF发送N1N2消息传输;对应的,AMF接收来自V-SMF的N1N2消息传输。
其中,N1N2消息传输可以是N1N2_MessageTransfer,该消息包含N1SM容器,N1SM容器包括ePCO#2,ePCO#2包括V-EASDF的安全信息#b和V-EASDF的地址。
S820,AMF向UE发送N1SM容器;对应的,UE接收来自AMF的N1SM容器。
S821,PDU会话修改后续过程。
其中,PDU会话修改的具体实现方式可参考3GPP TS23.502中的相关描述,为了简洁,此处不再赘述。
S822,UE使用V-EASDF的安全信息#b,向V-EASDF发送具有安全保护的DNS消息;对应的,V-EASDF接收来自UE的具有安全保护的DNS消息。
应理解,该DNS消息是被保护的,可以保证UE与V-EASDF之间的安全通信。
本申请所揭示的方法,基于H-SMF发送的HR-SBO授权指示或HR-SBO授权信息,V-SMF可以在确定HR-SBO PDU会话建立满足条件时,向H-SMF提供V-EASDF的安全信息#a,使得需要开启DNS over(D)TLS时,H-SMF能够向UE发送包含V-EASDF的安全信息#b的ePCO#2。基于该实现方式,能够保护V-EASDF与UE之间的安全连接,维护网络安全通信。
需要说明的是,本申请提供的技术方案同样适用于其他漫游场景,例如未来独立的非公共网络(stand-alone non-public network,SNPN)的架构支持的漫游场景。区别在于,需要将上述图1示出的PLMN中的V-SMF和H-SMF分别替换成SNPN中不同私网中的SMF。
上文结合图1至图8,详细描述了本申请的通信方法侧实施例,下面将结合图9和图10,详细描述本申请的终端设备侧实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
图9是本申请实施例提供的一种终端设备1000的示意性框图。如图9所示,该设备1000可以包括收发单元1010和处理单元1020。收发单元1010可以与外部进行通信,处理单元1020用于进行数据处理。收发单元1010还可以称为通信接口或收发单元。
在一种可能的设计中,该设备1000可实现对应于上文方法实施例中的通信装置(例如UE)执行的步骤或者流程,其中,处理单元1020用于执行上文方法实施例中UE的处理相关的操作,收发单元1010用于执行上文方法实施例中UE的收发相关的操作。
在另一种可能的设计中,该设备1000可实现对应于上文方法实施例中的拜访地的会话管理功能网元(例如V-SMF)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中V-SMF的收发相关的操作,处理单元1020用于执行上文方法实施例中V-SMF的处理相关的操作。
在又一种可能的设计中,该设备1000可实现对应于上文方法实施例中的归属地的会话管理功能网元(例如H-SMF)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中H-SMF的收发相关的操作,处理单元1020用于执行上文方法实施例中H-SMF的处理相关的操作。
应理解,这里的设备1000以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,设备1000可以具体为上述实施例中的发送端,可以用于执行上述方法实施例中与发送端对应的各个流程和/或步骤,或者,设备1000可以具体为上述实施例中的接收端,可以用于执行上述方法实施例中与接收端对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的设备1000具有实现上述方法中发送端所执行的相应步骤的功能,或者,上述各个方案的设备1000具有实现上述方法中接收端所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。在本申请的实施例,图9中的装置可以是前述实施例中的接收端或发送端,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口。处理单元为该芯片上集成的处理器或者微处理器或者集成电路。在此不做限定。
图10是本申请实施例提供的另一种终端设备2000的示意性框图。如图10所示,该设备2000包括处理器2010和收发器2020。其中,处理器2010和收发器2020通过内部连接通路互相通信,该处理器2010用于执行指令,以控制该收发器2020发送信号和/或接收信号。
可选地,该设备2000还可以包括存储器2030,该存储器2030与处理器2010、收发器2020通过内部连接通路互相通信。该存储器2030用于存储指令,该处理器2010可以执行该存储器2030中存储的指令。
在一种可能的实现方式中,设备2000用于实现上述方法实施例中的通信装置(例如UE)对应的各个流程和步骤。
在另一种可能的实现方式中,设备2000用于实现上述方法实施例中的拜访地的会话管理功能网元 (例如V-SMF)对应的各个流程和步骤。
在又一种可能的实现方式中,设备2000用于实现上述方法实施例中的归属地的会话管理功能网元(例如H-SMF)对应的各个流程和步骤。
应理解,设备2000可以具体为上述实施例中的发送端或接收端,也可以是芯片或者芯片系统。对应的,该收发器2020可以是该芯片的收发电路,在此不做限定。具体地,该设备2000可以用于执行上述方法实施例中与发送端或接收端对应的各个步骤和/或流程。
可选地,该存储器2030可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器2010可以用于执行存储器中存储的指令,并且当该处理器2010执行存储器中存储的指令时,该处理器2010用于执行上述与发送端或接收端对应的方法实施例的各个步骤和/或流程。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例中的处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器、动态随机存取存储器、同步动态随机存取存储器、双倍数据速率同步动态随机存取存储器、增强型同步动态随机存取存储器、同步连接动态随机存取存储器和直接内存总线随机存取存储器。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图11是本申请实施例提供的一种芯片系统3000的示意图。该芯片系统3000(或者也可以称为处理系统)包括逻辑电路3010以及输入/输出接口(input/output interface)3020。
其中,逻辑电路3010可以为芯片系统3000中的处理电路。逻辑电路3010可以耦合连接存储单元,调用存储单元中的指令,使得芯片系统3000可以实现本申请各实施例的方法和功能。输入/输出接口3020,可以为芯片系统3000中的输入输出电路,将芯片系统3000处理好的信息输出,或将待处理的数据或信令信息输入芯片系统3000进行处理。
作为一种方案,该芯片系统3000用于实现上文各个方法实施例中由通信装置(如图2至图8中的UE)执行的操作。例如,逻辑电路3010用于实现上文方法实施例中由UE执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由UE执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统3000用于实现上文各个方法实施例中由拜访地的会话管理功能网元(如图2至图8中的V-SMF)执行的操作。例如,逻辑电路3010用于实现上文方法实施例中由V-SMF执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由V-SMF执行的发送和/或接收相关的操作。
作为又一种方案,该芯片系统3000用于实现上文各个方法实施例中由拜访地的会话管理功能网元(如图2至图8中的H-SMF)执行的操作。例如,逻辑电路3010用于实现上文方法实施例中由H-SMF 执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由H-SMF执行的发送和/或接收相关的操作。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述各方法实施例中由设备(例如UE,或者V-SMF,或者H-SMF)执行的方法的计算机指令。
本申请实施例还提供一种计算机程序产品,包含指令,该指令被计算机执行时以实现上述各方法实施例中由设备(例如UE,或者V-SMF,或者H-SMF)执行的方法。
本申请实施例还提供一种通信的系统,包括前述的例如UE,或者V-SMF,或者H-SMF中的一个或多个。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (52)

  1. 一种通信方法,其特征在于,所述方法应用于建立或修改终端设备的会话过程中,包括:
    拜访地的会话管理功能网元获取位于所述拜访地的域名系统DNS服务器的安全信息和所述DNS服务器的标识,所述安全信息用于所述终端设备与所述DNS服务器之间建立安全连接;
    所述拜访地的会话管理功能网元向归属地的会话管理功能网元发送所述安全信息和所述DNS服务器的标识;
    所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的协议配置选项PCO,所述PCO包括所述安全信息和所述DNS服务器的标识;
    所述拜访地的会话管理功能网元将所述PCO发送给所述终端设备。
  2. 根据权利要求1所述的方法,其特征在于,所述安全信息包括用于认证所述DNS服务器的凭证。
  3. 根据权利要求2所述的方法,其特征在于,所述安全信息还包括所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号。
  4. 根据权利要求2所述的方法,其特征在于,在所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的PCO之前,所述方法还包括:
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号;
    其中,所述PCO中还包括所述DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或所述端口号。
  5. 根据权利要求1至4中任一项所述的方法,其特征在于,来自所述归属地的会话管理功能网元的所述PCO为第一PCO;在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自所述终端设备的第二PCO,其中,所述第二PCO包括用于指示所述终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述第二PCO;
    所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的请求消息,所述请求消息包括所述指示信息;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    响应于所述指示信息,所述拜访地的会话管理功能网元获取所述安全信息。
  6. 根据权利要求1至4中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识之前,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自移动和接入管理功能网元的归属地路由会话疏导HR-SBO允许指示;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识,包括:
    所述拜访地的会话管理功能网元根据所述HR-SBO允许指示,获取所述安全信息和所述DNS服务器的标识。
  7. 根据权利要求1至4中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的所述归属地的网络标识;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    所述拜访地的会话管理功能网元根据所述终端设备的所述网络标识,获取所述安全信息。
  8. 根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
    所述拜访地的会话管理功能网元获取策略信息,所述策略信息用于指示所述归属地的会话管理功能网元向所述终端设备发送所述安全信息的触发条件;
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述策略信息。
  9. 根据权利要求1至4中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的与所述会话对应的用户面安全策略;其中,所述用户面安全策略指示不开启或者可选开启用户面安全保护;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    所述拜访地的会话管理功能网元根据所述用户面安全策略,获取所述安全信息。
  10. 根据权利要求1至4中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识之前,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的HR-SBO授权信息;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识,包括:
    所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识。
  11. 根据权利要求10所述的方法,其特征在于,所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识,包括:
    在确定所述终端设备满足HR-SBO会话建立条件的情况下,所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识。
  12. 根据权利要求1至11中任一项所述的方法,其特征在于,所述DNS服务器为边缘服务器发现功能网元。
  13. 根据权利要求1至12中任一项所述的方法,其特征在于,所述方法还包括:
    所述拜访地的会话管理功能网元接收来自网络功能存储库功能网元的所述安全信息。
  14. 一种通信方法,其特征在于,所述方法应用于建立或修改终端设备的会话过程中,包括:
    归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的域名系统DNS服务器的安全信息和所述DNS服务器的标识,所述安全信息用于所述终端设备与所述DNS服务器之间建立安全连接;
    所述归属地的会话管理功能网元生成协议配置选项PCO,所述PCO包括所述安全信息和所述DNS服务器的标识;
    所述归属地的会话管理功能网元通过所述拜访地的会话管理功能网元向所述终端设备发送所述PCO。
  15. 根据权利要求14所述的方法,其特征在于,所述安全信息包括用于认证所述DNS服务器的凭证。
  16. 根据权利要求15所述的方法,其特征在于,所述安全信息还包括所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号。
  17. 根据权利要求15所述的方法,其特征在于,在所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述PCO之前,所述方法还包括:
    所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号;
    其中,所述PCO中还包括所述DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或所述端口号。
  18. 根据权利要求14至17中任一项所述的方法,其特征在于,所述方法还包括:
    所述归属地的会话管理功能网元向统一数据管理功能网元发送签约数据管理请求消息;
    所述归属地的会话管理功能网元接收来自所述统一数据管理功能网元的签约数据管理响应消息,其中,所述签约数据管理响应消息包括归属地路由会话疏导HR-SBO授权信息;
    其中,所述归属地的会话管理功能网元生成PCO,包括:
    响应于所述HR-SBO授权信息,所述归属地的会话管理功能网元生成所述PCO。
  19. 根据权利要求14至18中任一项所述的方法,其特征在于,在所述归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的DNS服务器的安全信息之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述HR-SBO授权信息,所述HR-SBO授权信息用于请求获取所述安全信息和所述DNS服务器的标识。
  20. 根据权利要求14至18中任一项所述的方法,其特征在于,所述归属地的会话管理功能网元生成的PCO为第一PCO;在所述归属地的会话管理功能网元生成PCO之前,所述方法还包括:
    所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的第二PCO,所述第二 PCO包括用于指示所述终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送请求消息,所述请求消息包括所述指示信息。
  21. 根据权利要求20所述的方法,其特征在于,所述第二PCO还包括所述终端设备支持的一种或者多种安全协议类型;
    其中,所述归属地的会话管理功能网元生成PCO,包括:
    所述归属地的会话管理功能网元根据所述终端设备支持的一种或者多种安全协议类型,以及所述DNS服务器支持的一种或者多种安全协议类型,生成所述第一PCO,其中,所述第一PCO还包括所述DNS服务器与所述终端设备都支持的一个或者多个安全协议类型。
  22. 根据权利要求14至18中任一项所述的方法,其特征在于,在所述归属地的会话管理功能网元生成PCO之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送用户面安全策略,其中,所述用户面安全策略用于指示不开启或者可选开启用户面安全保护。
  23. 根据权利要求14至18中任一项所述的方法,其特征在于,在所述归属地的会话管理功能网元生成PCO之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述归属地的网络标识。
  24. 根据权利要求14至22中任一项所述的方法,其特征在于,所述归属地的会话管理功能网元生成PCO,包括:
    所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的策略信息;其中,所述策略信息用于指示所述归属地的会话管理功能网元向所述终端设备发送所述安全信息的触发条件;
    在满足所述触发条件的情况下,所述归属地的会话管理功能网元生成所述PCO。
  25. 根据权利要求14至24中任一项所述的方法,其特征在于,所述DNS服务器为边缘服务器发现功能网元。
  26. 一种通信方法,其特征在于,所述方法应用于建立或修改终端设备的会话过程中,包括:
    通信装置通过拜访地的会话管理功能网元向归属地的会话管理功能网元发送第二协议配置选项PCO,所述第二PCO包括用于指示所述通信装置支持基于安全协议对DNS消息进行安全保护的指示信息;
    所述通信装置通过所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的第一PCO,其中,所述第一PCO包括所安全信息和位于所述拜访地的域名系统DNS服务器的标识;
    所述通信装置基于所述安全信息,建立与所述DNS服务器之间安全连接。
  27. 根据权利要求26所述的方法,其特征在于,所述安全信息包括用于认证所述DNS服务器的凭证。
  28. 根据权利要求27所述的方法,其特征在于,所述安全信息还包括所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号。
  29. 根据权利要求26至28中任一项所述的方法,其特征在于,所述第二PCO还包括所述通信装置支持的一种或者多种安全协议类型;
    其中,所述第一PCO还包括所述DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型。
  30. 根据权利要求24至27中任一项所述的方法,其特征在于,所述DNS服务器为边缘服务器发现功能网元。
  31. 一种通信方法,其特征在于,所述方法应用于建立或修改终端设备的会话过程中,包括:
    拜访地的会话管理功能网元获取位于所述拜访地的域名系统DNS服务器的安全信息和所述DNS服务器的标识,所述安全信息用于所述终端设备与所述DNS服务器之间建立安全连接;
    所述拜访地的会话管理功能网元向归属地的会话管理功能网元发送所述安全信息和所述DNS服务器的标识,所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的所述安全信息和所述DNS服务器的标识;
    所述归属地的会话管理功能网元生成协议配置选项PCO,所述PCO包括所述安全信息和所述DNS服务器的标识;
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述PCO,所述拜访地的会 话管理功能网元接收来自所述归属地的会话管理功能网元的PCO;
    所述拜访地的会话管理功能网元将所述PCO发送给所述终端设备,所述终端设备接收来自所述拜访地的会话管理功能网元的所述PCO。
  32. 根据权利要求31所述的方法,其特征在于,所述方法还包括:
    所述通信装置基于所述安全信息,建立与所述DNS服务器之间安全连接。
  33. 根据权利要求31或32所述的方法,其特征在于,所述安全信息包括用于认证所述DNS服务器的凭证。
  34. 根据权利要求33所述的方法,其特征在于,所述安全信息还包括所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号。
  35. 根据权利要求31至34中任一项所述的方法,其特征在于,在所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述PCO之前,所述方法还包括:
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号,所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的所述DNS服务器支持的一种或者多种安全协议类型,和/或建立所述安全连接所使用的端口号;
    其中,所述PCO中还包括所述DNS服务器支持的一种或者多种安全协议类型中的一个或者多个安全协议类型和/或所述端口号。
  36. 根据权利要求31至35中任一项所述的方法,其特征在于,所述归属地的会话管理功能网元生成的PCO为第一PCO;在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述终端设备向所述拜访地的会话管理功能网元发送第二PCO,所述拜访地的会话管理功能网元接收来自所述终端设备的第二PCO,其中,所述第二PCO包括用于指示所述终端设备支持基于安全协议对DNS消息进行安全保护的指示信息;
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述第二PCO,所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的所述第二PCO;
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送请求消息,所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的请求消息,所述请求消息包括所述指示信息;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    响应于所述指示信息,所述拜访地的会话管理功能网元获取所述安全信息。
  37. 根据权利要求36所述的方法,其特征在于,所述第二PCO还包括所述终端设备支持的一种或者多种安全协议类型;
    其中,所述归属地的会话管理功能网元生成PCO,包括:
    所述归属地的会话管理功能网元根据所述终端设备支持的一种或者多种安全协议类型,以及所述DNS服务器支持的一种或者多种安全协议类型,生成所述第一PCO,其中,所述第一PCO还包括所述DNS服务器与所述终端设备都支持的一个或者多个安全协议类型。
  38. 根据权利要求31至35中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识之前,所述方法还包括:
    移动和接入管理功能网元向所述拜访地的会话管理功能网元发送归属地路由会话疏导HR-SBO允许指示,所述拜访地的会话管理功能网元接收来自所述移动和接入管理功能网元的归属地路由会话疏导HR-SBO允许指示;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识,包括:
    所述拜访地的会话管理功能网元根据所述HR-SBO允许指示,获取所述安全信息和所述DNS服务器的标识。
  39. 根据权利要求31至35中任一项所述的方法,其特征在于,所述方法还包括:
    所述归属地的会话管理功能网元向统一数据管理功能网元发送签约数据管理请求消息,所述统一数据管理功能网元接收来自所述归属地的会话管理功能网元的所述签约数据管理请求消息;
    所述统一数据管理功能网元向所述归属地的会话管理功能网元发送签约数据管理响应消息,所述归 属地的会话管理功能网元接收来自所述统一数据管理功能网元的所述签约数据管理响应消息,其中,所述签约数据管理响应消息包括HR-SBO授权信息;
    其中,所述归属地的会话管理功能网元生成PCO,包括:
    响应于所述HR-SBO授权信息,所述归属地的会话管理功能网元生成所述PCO。
  40. 根据权利要求39所述的方法,其特征在于,在所述归属地的会话管理功能网元接收来自拜访地的会话管理功能网元的DNS服务器的安全信息之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述HR-SBO授权信息,所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的所述HR-SBO授权信息,所述HR-SBO授权信息用于请求获取所述安全信息和所述DNS服务器的标识;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息和所述DNS服务器的标识,包括:
    所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识。
  41. 根据权利要求40所述的方法,其特征在于,所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识,包括:
    在确定所述终端设备满足HR-SBO会话建立条件的情况下,所述拜访地的会话管理功能网元根据所述HR-SBO授权信息,获取所述安全信息和所述DNS服务器的标识。
  42. 根据权利要求31至41中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送用户面安全策略,所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的所述用户面安全策略,其中,所述用户面安全策略指示不开启或者可选开启用户面安全保护;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    所述拜访地的会话管理功能网元根据所述用户面安全策略,获取所述安全信息。
  43. 根据权利要求31至41中任一项所述的方法,其特征在于,在所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息之前,所述方法还包括:
    所述归属地的会话管理功能网元向所述拜访地的会话管理功能网元发送所述归属地的网络标识,所述拜访地的会话管理功能网元接收来自所述归属地的会话管理功能网元的所述归属地的网络标识;
    其中,所述拜访地的会话管理功能网元获取位于所述拜访地的DNS服务器的安全信息,包括:
    所述拜访地的会话管理功能网元根据所述终端设备的所述网络标识,获取所述安全信息。
  44. 根据权利要求31至43中任一项所述的方法,其特征在于,所述归属地的会话管理功能网元生成PCO,包括:
    所述拜访地的会话管理功能网元获取策略信息,所述策略信息用于指示所述归属地的会话管理功能网元向所述终端设备发送所述安全信息的触发条件;
    所述拜访地的会话管理功能网元向所述归属地的会话管理功能网元发送所述策略信息,所述归属地的会话管理功能网元接收来自所述拜访地的会话管理功能网元的所述策略信息;
    在满足所述触发条件的情况下,所述归属地的会话管理功能网元生成所述PCO。
  45. 根据权利要求31至44中任一项所述的方法,其特征在于,所述DNS服务器为边缘服务器发现功能网元。
  46. 一种通信系统,其特征在于,包括:拜访地的会话管理功能网元和归属地的会话管理功能网元,其中,所述拜访地的会话管理功能网元用于执行如权利要求1至13中任一项所述的方法,所述归属地的会话管理功能网元用于执行如权利要求14至25中任一项所述的方法。
  47. 根据权利要求46所述的通信系统,其特征在于,所述通信系统还包括终端设备,所述终端设备用于执行如权利要求26至30中任一项所述的方法。
  48. 一种通信装置,其特征在于,包括:一个或多个功能模块,所述一个或多个功能模块或网元用于执行如权利要求1至13中任一项所述的方法,或者,所述一个或多个功能模块或网元用于执行如权利要求14至25中任一项所述的方法,或者,所述一个或多个功能模块或网元用于执行如权利要求26至30 中任一项所述的方法。
  49. 一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合;所述处理器,用于执行所述存储器中存储的计算机程序,以使得所述装置执行如权利要求1至13中任一项所述的方法,或者以使得所述装置执行如权利要求14至25中任一项所述的方法,或者以使得所述装置执行如权利要求26至30中任一项所述的方法。
  50. 一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质上存储有计算机程序代码或指令,当所述计算机程序代码或指令运行时,使得所述计算机执行如权利要求1至13中任一项所述的方法,或者使得所述计算机执行如权利要求14至25中任一项所述的方法,或者使得所述计算机执行如权利要求26至30中任一项所述的方法。
  51. 一种计算机程序产品,其特征在于,所述计算机程序产品被通信装置执行时,实现如权利要求1至13中任一项所述的方法,或者实现如权利要求14至25中任一项所述的方法,或者实现如权利要求26至30中任一项所述的方法。
  52. 一种芯片,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的通信装置执行如权利要求1至13中任一项所述的方法,或者使得安装有所述芯片的通信装置执行如权利要求14至25中任一项所述的方法,或者使得安装有所述芯片的通信装置执行如权利要求26至30中任一项所述的方法。
PCT/CN2024/070490 2023-01-06 2024-01-04 通信方法和通信装置 Ceased WO2024146582A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP24738515.6A EP4642072A4 (en) 2023-01-06 2024-01-04 COMMUNICATION METHOD AND COMMUNICATION APPARATUS
US19/261,662 US20250338123A1 (en) 2023-01-06 2025-07-07 Communication method and communication apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202310021264.4A CN118317301A (zh) 2023-01-06 2023-01-06 通信方法和通信装置
CN202310021264.4 2023-01-06

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US19/261,662 Continuation US20250338123A1 (en) 2023-01-06 2025-07-07 Communication method and communication apparatus

Publications (1)

Publication Number Publication Date
WO2024146582A1 true WO2024146582A1 (zh) 2024-07-11

Family

ID=91728166

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2024/070490 Ceased WO2024146582A1 (zh) 2023-01-06 2024-01-04 通信方法和通信装置

Country Status (4)

Country Link
US (1) US20250338123A1 (zh)
EP (1) EP4642072A4 (zh)
CN (1) CN118317301A (zh)
WO (1) WO2024146582A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20250350949A1 (en) * 2024-05-10 2025-11-13 Lenovo (Singapore) Pte. Ltd. Apparatus and method for security event monitoring in a wireless communications system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200366794A1 (en) * 2017-08-11 2020-11-19 Samsung Electronics Co., Ltd. Manual roaming and data usage rights
CN112188574A (zh) * 2018-05-21 2021-01-05 华为技术有限公司 切换方法、设备及系统
CN114125808A (zh) * 2021-11-29 2022-03-01 中国联合网络通信集团有限公司 一种边缘应用服务器的发现方法及装置
CN114286335A (zh) * 2020-09-17 2022-04-05 华为技术有限公司 一种服务器选择方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200366794A1 (en) * 2017-08-11 2020-11-19 Samsung Electronics Co., Ltd. Manual roaming and data usage rights
CN112188574A (zh) * 2018-05-21 2021-01-05 华为技术有限公司 切换方法、设备及系统
CN114286335A (zh) * 2020-09-17 2022-04-05 华为技术有限公司 一种服务器选择方法和装置
CN114125808A (zh) * 2021-11-29 2022-03-01 中国联合网络通信集团有限公司 一种边缘应用服务器的发现方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP4642072A1

Also Published As

Publication number Publication date
US20250338123A1 (en) 2025-10-30
CN118317301A (zh) 2024-07-09
EP4642072A1 (en) 2025-10-29
EP4642072A4 (en) 2026-03-04

Similar Documents

Publication Publication Date Title
EP3817423B1 (en) Network access method, related device, and system
CN116193431B (zh) 切片认证方法及装置
WO2020029938A1 (zh) 安全会话方法和装置
CN108574969A (zh) 多接入场景中的连接处理方法和装置
EP4030798A1 (en) Method for implementing external authentication, communication device and communication system
US20250365578A1 (en) Communication method and communication apparatus
US20240292219A1 (en) Method and device for operating terminal in wireless communication system
US12470917B2 (en) Registering a user equipment to a communication network
US20250227465A1 (en) Communication method and communication apparatus
US20250338123A1 (en) Communication method and communication apparatus
EP4564866A1 (en) Communication method and communication apparatus
JP2017143363A (ja) 通信システム及びその認証接続方法
WO2024169468A1 (zh) 通信方法和通信装置
CN120380786A (zh) 用于针对归属路由会话疏导向vplmn传达业务卸载策略的方法和装置
WO2024094108A1 (zh) 通信方法和通信装置
EP4661339A1 (en) Communication method and communication apparatus
EP4456508A1 (en) Policy configuration method and apparatus
WO2025031156A1 (zh) 通信方法和通信装置
WO2025031157A1 (zh) 通信方法和通信装置
WO2025167553A1 (zh) 通信方法和相关装置
WO2024235111A1 (zh) 一种通信方法和通信装置
WO2025209303A1 (zh) 通信方法和通信装置
WO2023160390A1 (zh) 通信方法与装置
WO2024146315A1 (zh) 通信方法和通信装置
WO2025167832A1 (zh) 一种通信方法和通信装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 24738515

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 202547066922

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 2024738515

Country of ref document: EP

REG Reference to national code

Ref country code: BR

Ref legal event code: B01A

Ref document number: 112025014037

Country of ref document: BR

WWP Wipo information: published in national office

Ref document number: 202547066922

Country of ref document: IN

ENP Entry into the national phase

Ref document number: 2024738515

Country of ref document: EP

Effective date: 20250721

ENP Entry into the national phase

Ref document number: 2024738515

Country of ref document: EP

Effective date: 20250721

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2024738515

Country of ref document: EP

Effective date: 20250721

WWP Wipo information: published in national office

Ref document number: 2024738515

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 112025014037

Country of ref document: BR

Kind code of ref document: A2

Effective date: 20250707