[发明专利]一种安全通信方法及装置

说明书

本申请实施例公开一种安全通信方法及装置，该方法包括：第一NF向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于第一请求消息，该第三NF确定第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则该第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。该方法中第一用户标识以假名化的方式存在于不同NF之间，避免了第一用户标识被不被信任的NF篡改或截获等，提高了第一用户标识的安全性。

技术领域

本申请涉及通信技术领域，尤其涉及一种安全通信方法及装置。

背景技术

在无线通信系统中，终端设备可以通过无线接入网中的接入设备与一个或多个核心设备进行通信。示例性的，终端设备与应用服务器通信时，从终端设备发出的消息，可以经过多个核心设备如第一网络功能(network function，NF)、第二NF或第三NF等，从而到达该应用服务器。

同时，各国运营商和政府机构对第五代通信系统(5th-generation，5G)的安全问题比较关注。比如网络部署中可能会存在恶意泄露用户隐私和数据的风险。

因此，如何提升网络的可信安全程度，降低风险，薄弱环节不被任何人利用，安全威胁能够被有效应对是本领域技术人员正在研究的问题。

发明内容

本申请提供一种安全通信方法及装置，能够有效提高终端设备与NF之间信息交互的安全性。

第一方面，本申请提供一种安全通信方法，该方法包括：第一网络功能(networkfunction，NF)向第三NF发送第一请求消息，该第一请求消息携带终端设备的第一用户标识的第一假名信息；响应于该第一请求消息，第三NF确定第一用户标识的可信属性；若该第一用户标识的可信属性符合预设条件，则第三NF向第一NF发送第一响应消息，该第一响应消息携带第一用户标识的第二假名信息。

以上所示的第一用户标识的可信属性符合预设条件，也可以理解为终端设备的可信属性符合预设条件。本申请实施例中，若第一用户标识的可信属性符合预设条件，则该第一用户标识可以以假名化的方式存在于不同NF之间，避免了该第一用户标识被不被信任或不安全的NF篡改或截获等，有效保护了该第一用户标识，提高了该第一用户标识的安全性。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息包括：若第一NF的可信级别匹配预设级别，则该第三NF向第一NF发送第一响应消息。

本申请实施例中，预设级别用于衡量不同NF的可信级别。例如，可信级别包括强可信级别、弱可信级别和不可信级别，则该预设级别可以为弱可信级别或不可信等。又例如，可信级别包括高可信级别、低可信级别和不可信级别，则该预设级别可以为低可信级别或不可信等。也就是说，第一NF的可信级别较低时，为保护第一用户标识，第三NF可以向第一NF发送该第一用户标识的假名信息(即第二假名信息)。

在一种可能的实现方式中，所述方法还包括：若第一NF的可信级别不匹配预设级别，则该第三NF向第一NF发送携带第一用户标识的响应消息。

也就是说，第一NF的可信级别较高时，则第三NF可以信任该第一NF，由此可以向该第一NF发送真实的用户标识如第一用户标识。

在一种可能的实现方式中，第三NF向第一NF发送第一响应消息包括：若第一NF所在的安全域的可信级别匹配预设级别，则第三NF向第一NF发送第一响应消息。

本申请实施例中，不同NF之间可以区分可信级别，同时可以区分不同安全域的可信级别。示例性的，本申请提供的方法中可以区分第一安全域、第二安全域等，该第一安全域的可信级别与第二安全域的可信级别不同。如果第一NF位于第一安全域，且该第一安全域的可信级别较弱，则该第三NF可以向第一NF发送第一用户标识的第二假名信息。或者，若第一安全域的可信级别较强(如不匹配预设级别)，则第三NF可以向第一NF发送真实的用户标识如第一用户标识。