CN110121196B - 一种安全标识管理方法及装置 - Google Patents

一种安全标识管理方法及装置 Download PDF

Info

Publication number
CN110121196B
CN110121196B CN201810114251.0A CN201810114251A CN110121196B CN 110121196 B CN110121196 B CN 110121196B CN 201810114251 A CN201810114251 A CN 201810114251A CN 110121196 B CN110121196 B CN 110121196B
Authority
CN
China
Prior art keywords
nas
nas security
3gpp
terminal
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810114251.0A
Other languages
English (en)
Other versions
CN110121196A (zh
Inventor
毕晓宇
侯云静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Datang Mobile Communications Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang Mobile Communications Equipment Co Ltd filed Critical Datang Mobile Communications Equipment Co Ltd
Priority to CN201810114251.0A priority Critical patent/CN110121196B/zh
Publication of CN110121196A publication Critical patent/CN110121196A/zh
Application granted granted Critical
Publication of CN110121196B publication Critical patent/CN110121196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种安全标识管理方法及装置。网络功能实体为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;所述网络功能实体将所述NAS安全标识发送给所述终端。其中,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。

Description

一种安全标识管理方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种安全标识管理方法及装置。
背景技术
5G***是一种面向服务的融合***,相比长期演进(long term evolution,LTE)***具有更加广泛的应用场景。例如,5G***支持包括工业自动化(远程)控制***在内的应用的超可靠、低延迟通信,还可支持大量高效、高成本、高密度的物联网设备。5G***中包括5G接入网(5G Access Network,5G-AN)、5G核心网(5G Core Network,5GC)。
为了实现5G***的安全策略,需要在5G***中进行安全标识管理。
目前,针对5G***,尚未有安全标识管理方案。
发明内容
本申请实施例提供了一种安全标识管理方法及装置。
第一方面,提供一种安全标识管理方法,包括:
网络功能实体为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;
所述网络功能实体将所述NAS安全标识发送给所述终端。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识;
所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识。
可选地,所述NAS安全标识,包括:
3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到,所述第二共享密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值不同。
可选地,所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到。
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。
可选地,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:
所述网络功能实体对所述终端发起的3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述3GPP NAS安全标识;
所述网络功能实体在所述终端发起非3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:
所述网络功能实体对所述终端发起的非3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述非3GPP NAS安全标识;
所述网络功能实体在所述终端发起3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述3GPP NAS安全标识。
可选地,所述将所述NAS安全标识发送给所述终端,包括:
所述网络功能实体向所述终端发送认证请求消息,所述认证请求消息携带所述NAS安全标识。
可选地,所述NAS安全标识,包括:
标识值信息域,用于承载所述NAS安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
可选地,所述网络功能实体为AMF。
第二方面,提供一种网络功能实体,包括:
分配模块,用于为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;
发送模块,用于将所述NAS安全标识发送给所述终端。
第三方面,提供一种网络功能实体,包括:处理器、存储器、收发机,所述处理器、存储器和收发机通过总线连接;所述处理器,用于读取存储器中的程序,执行:
为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;
通过所述收发机将所述NAS安全标识发送给所述终端。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识;
所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识。
可选地,所述NAS安全标识,包括:
3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到,所述第二共享密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值不同。
可选地,所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到。
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。
可选地,所述处理器,具体用于:
通过所述收发机向终端发送NAS消息,所述NAS消息携带所述NAS安全标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:
对所述终端发起的3GPP接入进行身份认证后,通过所述收发机向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述3GPP NAS安全标识;
在所述终端发起非3GPP接入后,通过所述收发机向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。
可选地,所述NAS安全标识,括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:
对所述终端发起的非3GPP接入进行身份认证后,通过所述收发机向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述非3GPP NAS安全标识;
在所述终端发起3GPP接入后,通过所述收发机向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述3GPP NAS安全标识。
可选地,所述处理器,具体用于:
通过所述收发机向所述终端发送认证请求消息,所述认证请求消息携带所述NAS安全标识。
可选地,所述NAS安全标识,包括:
标识值信息域,用于承载所述NAS安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
可选地,所述网络功能实体为AMF。
第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面任一项所述的方法。
第五方面,提供一种计算机产品,所述计算机产品用于当所述计算机产品被计算机运行时,可以使得计算机执行如上述第一方面任一项所述的方法的任意一种可能的设计中认证服务器所执行的功能。
第六方面,还提供一种安全标识管理方法,包括:
网络功能实体为终端分配安全标识,所述安全标识用于标识所述终端与网络侧之间共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;
所述网络功能实体向所述终端发送所述安全标识。
所述的网络侧实体可以是归属于不同PLMN的实体,则终端同时保存第一安全标识和第二安全标识。所述第一安全标识用于标识通过3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;所述第二安全标识用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体为终端分配安全标识,包括:
所述AUSF获取终端的认证向量,为所述终端生成所述安全标识;
所述网络功能实体向所述终端发送所述安全标识,包括:
所述AUSF向SEAF发送身份认证启动应答消息,所述身份认证启动应答消息携带所述安全标识,所述身份认证启动应答消息用于触发所述SEAF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体为终端分配安全标识,包括:
所述AMF接收SEAF发送的共享密钥,并为所述共享密钥生成安全标识,所述共享密钥为所述终端与所述AMF之间的共享密钥;
所述网络功能实体向所述终端发送所述安全标识,包括:
所述AMF通过非接入层消息向UE发送安全标识,所述非接入层消息的类型是附着请求响应或者是注册响应,或者是周期性更新消息响应,或者是NAS安全模式命令消息。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向所述终端发送所述安全标识,包括:
所述AUSF向SEAF发送AAA消息,所述AAA消息携带所述安全标识,所述AAA消息用于触发所述SEAF通过N3IWF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向所述终端发送所述安全标识,包括:
所述AMF接收SEAF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识发送给N3IWF,以触发所述N3IWF向终端发送认证成功消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为N3IWF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向所述终端发送所述安全标识,包括:
所述N3IWF接收AUSF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识通过认证成功消息发送给UE。
可选地,所述安全标识承载于遵循EAP-AKA’协议的新定义的信息单元中。
可选地,所述方法还包括:
所述终端切换到的目标AMF为所述终端分配安全标识,并向所述终端的目标基站发送切换请求消息,所述切换请求消息携带当前分配的安全标识。
可选地,所述安全标识,包括:
标识值信息域,用于承载所述安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
第七方面,还提供一种网络功能实体,包括:
分配模块,用于为终端分配安全标识,所述安全标识用于标识所述终端与网络侧之间共享的NAS安全标识以及基于所述NAS安全标识推演得到的非接入层NAS安全上下文;
发送模块,用于向所述终端发送所述安全标识。
第八方面,还提供一种网络功能实体,包括:处理器、存储器、收发机,所述处理器、存储器和收发机通过总线连接;所述处理器,用于读取存储器中的程序,执行:
为终端分配安全标识,所述安全标识用于标识所述终端与网络侧之间共享的NAS安全标识以及基于所述NAS安全标识推演得到的非接入层NAS安全上下文;
通过所述收发机向所述终端发送所述安全标识。
所述的安全标识是用于5G***中的密钥标识。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:
所述AUSF获取终端的认证向量,为所述终端生成所述安全标识;
所述AUSF通过收发机向SEAF发送身份认证启动应答消息,所述身份认证启动应答消息携带所述安全标识,所述身份认证启动应答消息用于触发所述SEAF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:所述AMF接收SEAF发送的共享密钥,并为所述共享密钥生成安全标识,所述共享密钥为所述终端与所述AMF之间的共享密钥;
所述收发机通过所述AMF通过非接入层消息向UE发送安全标识,所述非接入层消息的类型是附着请求响应或者是注册响应,或者是周期性更新消息响应,或者是NAS安全模式命令消息。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述AUSF通过所述收发机向SEAF发送AAA消息,所述AAA消息携带所述安全标识,所述AAA消息用于触发所述SEAF通过N3IWF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:通过所述收发机向所述终端发送所述安全标识,包括:
所述AMF接收SEAF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识发送给N3IWF,以触发所述N3IWF向终端发送认证成功消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为N3IWF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述N3IWF通过所述收发机接收AUSF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识通过认证成功消息发送给UE。
可选地,所述安全标识承载于遵循EAP-AKA’协议的新定义的信息单元中。
可选地,所述处理器,还用于:
所述终端切换到的目标AMF为所述终端分配安全标识,并向所述终端的目标基站发送切换请求消息,所述切换请求消息携带当前分配的安全标识。
可选地,所述安全标识,包括:
标识值信息域,用于承载所述安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
第九方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第六方面中任一项所述的方法。
第十方面,一种计算机产品,所述计算机产品用于当所述计算机产品被计算机运行时,可以使得计算机执行如上述第六方面中任一项所述的方法的任意一种可能的设计中认证服务器所执行的功能。
本申请的上述实施例中,网络功能实体为终端分配NAS安全标识,所述网络功能实体将所述NAS安全标识发送给所述终端。其中,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;所述NAS安全标识包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。因此网络功能实体可以为终端分配NAS安全标识,从而实现对安全标识的管理。
附图说明
图1为本申请实施例适用的一种5G***架构示意图;
图2为本申请实施例提供的UE基于3GPP接入网和非3GPP接入网接入到5G核心网的示意图;
图3为本申请实施例提供的5G***中的密钥层级示意图;
图4为本申请实施例提供的安全标识管理流程示意图;
图5为本申请实施例提供的一种安全标识管理流程示意图;
图6为本申请实施例提供的一种安全标识管理流程示意图;
图7为本申请实施例提供的一种安全标识管理流程示意图;
图8为本申请实施例提供的一种NAS安全标识的格式示意图;
图9为本申请实施例提供的另一种NAS安全标识的格式示意图;
图10为本申请实施例提供的一种安全标识管理流程示意图;
图11为本申请实施例提供的一种安全标识管理流程示意图;
图12为本申请实施例提供的一种安全标识管理流程示意图;
图13为本申请实施例提供的示意图;
图14为本申请实施例提供的一种安全标识管理流程示意图;
图15为本申请实施例提供的一种安全标识管理流程示意图;
图16为本申请实施例提供的装置示意图;
图17为本申请实施例提供的装置示意图;
图18为本申请实施例提供的网络功能实体的结构示意图;
图19为本申请实施例提供的网络功能实体的结构示意图。
具体实施方式
以下,对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)本申请实施例中,名词“网络”和“***”经常交替使用,但本领域的技术人员可以理解其含义。
(2)本申请实施例中,名词“网络设备”和“网元”以及“网络功能实体”可以交替使用。比如,接入及移动性管理功能(access and mobility management function,AMF)可以称为AMF实体或AMF网元,也可简称为AMF;再比如,鉴权服务功能(authentication serverfunction,AUSF)可以称为AUSF实体或AUSF网元,也可简称为AUSF。AMF和AUSF均可统称为网络设备。
(3)本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
(4)“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
下面结合附图对本申请实施例进行详细描述。
本申请实施例提供一种安全标识管理方法及装置,可适用于5G***或其演进***,也可以适用于其他通信***。
参见图1,为本申请实施例提供的5G***架构示意图。该***架构中可包括以下网元:
-鉴权服务功能(authentication server function,AUSF);
-接入及移动性管理功能(access and mobility management function,AMF);
-数据网络(data network,DN),比如运营商业务,互联网接入或者第三方业务等;
-网络切片选择功能(network slice selection function,NSSF);
-策略控制功能(policy control function,PCF);
-会话管理功能(session management function,SMF);
-统一数据管理功能(unified data management,UDM);
-统一数据仓库功能(unified data repository,UDR);
-用户面功能(user plane function,UPF);
-应用层功能(aplication function,AF);
-接入网络((radio)access network,(R)AN)节点;
-安全认证锚点功能(security anchor function,SEAF)。
上述每个网元为一个独立的逻辑功能实体,部分网元也可以合设,比如,SEAF与AMF可以合设。
上述***架构中还包括终端。其中,终端又称之为用户设备(user equipment,UE)、移动台(mobile station,MS)、移动终端(mobile terminal,MT)等,是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例为:手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device,MID)、可穿戴设备,虚拟现实(virtual reality,VR)设备、增强现实(augmented reality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
如图1所示,N1表示UE和AMF之间的参考点,N2表示(R)AN节点和AMF之间的参考点,N3表示(R)AN节点和UPF之间的参考点,N4表示UPF和SMF之间的参考点,N5表示PCF和AF之间的参考点,N6表示UPF和DN之间的参考点,N7表示SMF和PC之间的参考点,N8表示AMF和UDM之间的参考点,N9表示两个核心UPF之间的参考点,N10表示UDM和SMF之间的参考点,N11表示AMF和SMF之间的参考点,N12表示AUSF和AMF之间的参考点,N13表示AUSF和UDM之间的参考点,N14表示两个AMF之间的参考点,N15表示AMF和PCF之间的参考点,N22表示NSSF和AMF之间的参考点。
本申请实施例描述的网络架构是为了更加清楚的说明本申请实施例的技术方案,并不构成对本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
在5G***中,UE可以通过3GPP接入网络和/或非3GPP接入网接入到5G核心网。
图2示出了UE基于3GPP接入网和非3GPP接入网接入到5G核心网的示意图。UE和非3GPP互通功能(Non-3GPP interworking function,N3IWF)之间建立有安全隧道,这些安全隧道用于非3GPP接入的UE与5G核心网之间进行控制面和用户面信息交换的安全传输。
当UE通过3GPP接入网络和独立的非3GPP接入网络接入5G核心网时,UE与AMF之间存在多个NAS连接。进一步地,在UE同时通过3GPP接入网络和非3GPP接入网络接入到相同的公共陆地移动网络(public land mobile network,PLMN)的5G核心网的情况下,如果选择的N3IWF与AMF在同一个PLMN中,则由同一个AMF提供服务。由此可以理解为,UE通过非3GPP接入和3GPP接入时存在两个独立的NAS连接。
5G***中,为了保证传输的安全性,可为NAS连接分配对应的NAS安全上下文,以用于基于该NAS连接的安全传输。不同的NAS连接可使用不同的NAS安全上下文。NAS安全上下文可包含认证产生的共享密钥、NAS加密算法和完整性算法,上下行NAS计数器值(NASCOUNT)及其他可以标识NAS连接的参数,还可以包含基于共享密钥推演得出的NAS密钥。NAS密钥可以由其他密钥推演得到。图3示出了一种5G***的密钥层级结构。
参见图3,为本申请实施例提供的5G***中的密钥层级示意图。
该密钥层级结构中包括如下密钥:
(1)UE与认证信任状存储处理功能(Authentication credential Repositoryand Processing Function,ARPF)之间共享的密钥
K:存储在全球用户识别卡(universal subscriber identity module,USIM)和ARPF的永久密钥;
CK/IK:ARPF和USIM在认证过程中生成的密钥对。
(2)移动设备(mobile equipment,ME)与AUSF共享的密钥
KAUSF:UE与AUSF根据CK/IK推演得到的密钥;
(3)ME与SEAF共享的密钥
KSEAF:UE与SEAF根据KAUSF推演得到的密钥;
(4)ME和AMF共享的密钥
KAMF:UE与AMF根据KSEAF推演得到的密钥;
(5)NAS密钥
KNASint:用于完整性保护的NAS密钥,UE与核心网的网元根据KAMF推演得到的密钥;
KNASenc:用于加密算法的NAS密钥,UE与核心网的网元根据KAMF推演得到的密钥。
当UE同时通过3GPP接入网和独立的非3GPP接入网接入时,针对该UE存在多个NAS连接,比如一个通过5G-RAN的NAS连接和一个通过非3GPP接入网的NAS连接。一般出于安全隔离的目的,通常会建立两套不同的NAS安全上下文(其中可包括NAS密钥)保护分别保护不同NAS连接。另外,在5G***中在***间交互的场景会有5G***与4G***之间的切换,还会有4G***的演进的分组***(evolved packet system,EPS)与5G***核心网中的N3IWF之间的切换,以及4G***中演进型分组数据网关(evolved packet data gateway,ePDG)与5G***之间的切换,因此也会存在多种安全上下文。
本申请实施例中,安全上下文可通过安全标识进行唯一标识。通过安全标识的使用,可以使得UE和核心网的网元能够识别出对应的安全上下文,并且可以在后续的连接中不启动认证流程也可以重用相应的安全上下文。
LTE***的密钥管理方法无法在5G***中使用,原因如下:如前所述,当UE与网络有多个NAS连接时,需要使用不同的安全上下文保护不同的NAS连接。比如,针对UE基于3GPP接入网接入时建立的NAS连接需要分配用于该连接的NAS密钥,针对UE基于非3GPP接入网接入时建立的NAS连接需要分配另外的NAS密钥。由于LTE***的密钥管理方法中,不存在多NAS连接的场景,无法对不同的NAS连接的安全上下文有相应的安全标识,因此无法在5G***中使用。
本申请实施例中,引入NAS安全标识,为描述方便,NAS安全标识表示为ngKSINAS。ngKSINAS用于标识NAS安全上下文,NAS安全上下文中可包含NAS密钥(KNASint和/或KNASenc)。当UE与网络侧(如AMF)之间存在多NAS连接时,不同的NAS连接使用不同的NAS安全上下文,不同的NAS安全上下文分配有不同的ngKSINAS
本申请实施例中,可选地,还引入另一种安全上下文标识,为描述方便,将其称为ngKSI。ngKSI所标识的安全上下文中可包含共享密钥KAMF(由KAMF可以推演得到NAS密钥),该安全标识可以与KAMF一起保存,在认证过程或者切换过程中由网络侧发送给UE。
下面结合图4至图7,描述本申请实施例提供的安全标识管理流程示意图。
参见图4,为本申请实施例提供的安全标识管理流程示意图,该流程可包括:
S401:网络功能实体为终端分配NAS安全标识ngKSINAS
其中,ngKSINAS用于标识NAS安全上下文。NAS安全上下文用于保护所建立的NAS连接的安全。
NAS安全上下文中可包含NAS密钥,ngKSINAS与NAS密钥相关联。可选地,NAS密钥基于所述终端与AMF之间共享的密钥KAMF推演得到。
其中,ngKSINAS可包括3GPP NAS安全标识和非3GPP NAS安全标识。3GPP NAS安全标识用于标识终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文(该NAS安全上下文中可包含用于完整性保护的NAS密钥KNASint和/或用于加密算法的NAS密钥KNASenc以及用于NAS完整性和加密的算法以及NAS COUNT等参数);非3GPP NAS安全标识用于标识终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文(该NAS安全上下文中可包含用于完整性保护的NAS密钥K’NASint和/或用于加密算法的NAS密钥K’NASenc以及用于NAS完整性和加密的算法以及NAS COUNT等参数)。
可选地,3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥(比如KNASint和/或KNASenc),以及非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥(比如K’NASint和/或K’NASenc),可以基于相同的共享密钥KAMF推演得到,3GPP NAS安全标识和非3GPPNAS安全标识取值不同。
可选地,3GPP NAS安全标识所标识的NAS上下文中包含的NAS密钥(比如KNASint和/或KNASenc)基于第一共享密钥KAMF推演得到,非3GPP NAS安全标识所标识的NAS上下文中包含的NAS密钥(比如K’NASint和/或K’NASenc)基于第二共享密钥K’AMF推演得到,第二共享密钥K’AMF基于第一共享密钥KAMF推演得到。3GPP NAS安全标识和非3GPP NAS安全标识取值不同。
可选地,3GPP NAS安全标识所标识的NAS安全上下文中的NAS密钥(比如KNASint和/或KNASenc)和非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥(比如K’NASint和/或K’NASenc),可以基于相同的共享密钥KAMF推演得到,3GPP NAS安全标识和非3GPP NAS安全标识取值相同。
S402:网络功能实体将所述NAS安全标识发送给所述终端。
可选地,网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识ngKSINAS
可选地,在S401之前,所述方法还包括:网络功能实体为该终端分配安全标识ngKSI,并将所述安全标识ngKSI发送给所述终端。其中,所述安全标识ngKSI可以用于标识UE和AMF之间共享的密钥KAMF
可选地,网络功能实体可以通过认证请求消息,将安全标识ngKSI发送给终端。
当UE初始接入5G核心网时,可根据上述图4所示的流程进行NAS安全标识ngKSINAS的分配以及传输。
在UE初始接入5G核心网之后,若进行网络切换,则也可以通过图4所示的流程实现NAS安全标识ngKSINAS的分配以及将其通知给UE。具体地,UE切换到的目标AMF为该UE分配NAS安全标识ngKSINAS,并向该UE的目标基站发送切换请求消息,所述切换请求消息携带当前分配的NAS安全标识ngKSINAS,由该目标基站将该NAS安全标识ngKSINAS发送给该UE。
上述图4所示的流程中,所述网络功能实体可以是5G***核心网的网元,比如可以是AMF。如果UE同时通过3GPP接入和非3GPP接入连接到相同的5G核心网,当被选择的N3IWF和3GPP接入位于同一个PLMN时,那么该UE被一个AMF提供服务,因此可以通过该AMF为终端分配不同的NAS连接所对应的NAS密钥。
基于上述图4所示的流程,在一种可能的实现方式中,在S402中,网络功能实体对终端发起的3GPP接入进行身份认证后,向该终端发送第一NAS安全模式命令,该第一NAS安全模式命令携带3GPP NAS安全标识;网络功能实体在该终端发起非3GPP接入后,向该终端发送第二NAS安全模式命令,该第二NAS安全模式命令携带所述非3GPP NAS安全标识。
该方法可适用于UE采用5G认证与密钥协商(Authentication and KeyAgreement,AKA)认证方式的情况下,先执行3GPP接入,再执行非3GPP接入的场景。
AKA使用挑战应答机制,完成用户和网络间的身份认证,同时基于身份认证对通信加密密钥进行协商。通过认证和加密手段更好的预防攻击行为,保护移动通信网络资源的安全。
如图5所示,该流程可包括:
步骤1:SEAF向AUSF发送认证数据请求(Authentication Data Request)消息。SEAF与AMF可以合设。
步骤2:AUSF向UDM/ARPF发送认证信息请求(Auth-infoReq)消息。
其中,UDM/ARPF表示UDM与ARPF合设在一个设备中。
步骤3:UDM/ARPF向AUSF发送认证信息反馈(Auth-info Resp)消息,其中携带该UE的认证向量。
步骤4:AUSF向SEAF发送5G身份认证启动答复(5G AuthenticationInitiationAnswer)消息。
步骤5:SEAF向UE发送用户认证请求(User authentication request)消息,其中携带随机数RAND,验证参数AUTN以及安全上下文标识ngKSI,ngKSI标识的安全上下文中可包含共享密钥KAMF
其中,安全标识ngKSI可由SEAF分配。安全标识ngKSI也可由AUSF分配,此种情况下,步骤4中AUSF发送的5G身份认证启动答复消息携带该安全标识ngKSI。安全标识ngKSI还可由AMF分配,该安全标识ngKSI可携带于由AMF在获取到认证后的共享密钥后发送给SEAF的消息中。
步骤6:UE向SEAF发送用户认证反馈消息(User authentication response),其中携带验证参数RES。
步骤7:SEAF比较该SEAF接收到的验证参数RES与该SEAF生成的验证参数XRES,根据比较结果进行身份认证。
步骤8:SEAF向AUSF发送5G AC消息,将身份认证结果通知给AUSF。
步骤9:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带基于3GPP接入建立的NAS连接所对应的NAS安全标识KSINAS。KSINAS用于标识基于3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥KNASint和/或用于加密算法的NAS密钥KNASenc
其中,NAS安全标识KSINAS可由AMF分配。
步骤10:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeComplete)。可选地,该消息可携带上述NAS安全标识KSINAS
步骤11:UE基于非3GPP接入网进行网络接入,SEAF与AUSF之间进行身份认证(Authentication)。该过程与上述步骤1~步骤8类似。在此过程中,AUSF为该终端分配NAS安全标识KSI’NAS。KSI’NAS用于标识基于非3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥K’NASint和/或用于加密算法的NAS密钥K’NASenc
步骤12:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带基于非3GPP接入建立的NAS连接所对应的NAS安全标识KSI’NAS
其中,NAS安全标识KSI’NAS可由AMF分配。
步骤13:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeCommand)。可选地,该消息可携带上述NAS安全标识KSI’NAS
需要说明的是,上述步骤11中,UE基于非3GPP接入网进行网络接入时的身份认证过程可以省略。
基于上述图4所示的流程,在一种可能的实现方式中,在S402中,网络功能实体对终端发起的3GPP接入进行身份认证后,向该终端发送第一NAS安全模式命令,该第一NAS安全模式命令携带3GPP NAS安全标识;网络功能实体在该终端发起非3GPP接入后,向该终端发送第二NAS安全模式命令,该第二NAS安全模式命令携带所述非3GPP NAS安全标识。
该方法可适用于UE采用EAP-AKA’认证方式的情况下,先执行3GPP接入,再执行非3GPP接入的场景。
可扩展的身份认证(Extensible Authentication Protocol,EAP)协议是一系列验证方式的集合,设计理念是满足任何链路层的身份认证需求,支持多种链路层认证方式。
如图6所示,该流程可包括:
步骤1:SEAF向AUSF发送认证数据请求(Authentication data request)消息。
SEAF与AMF可以合设。
步骤2:AUSF向UDM/ARPF发送认证信息请求(Auth-infoReq)消息。
步骤3:UDM/ARPF向AUSF发送认证信息反馈(Auth-infoResp)消息,其中携带UE的认证向量。
其中,UDM/ARPF表示UDM与ARPF合设在一个设备中。
步骤4:AUSF向SEAF发送5G身份认证启动答复(5G Authentication InitiationAnswer)消息,其中携带EAP-Req-AKA’/challenge请求消息以及根安全标识ngKSI,ngKSI用于标识共享密钥KAMF
其中,安全标识ngKSI可由SEAF分配。安全标识ngKSI也可由AUSF分配,此种情况下,步骤4中AUSF发送的5G身份认证启动答复消息携带该安全标识ngKSI。安全标识ngKSI还可由AMF分配,该安全标识ngKSI可携带于由AMF获取到认证后的共享密钥后发送给SEAF的消息中。
步骤5:SEAF向UE发送用户认证请求(User authentication request)消息,其中携带EAP-Req-AKA’/challenge请求消息以及根安全标识ngKSI。ngKSI标识的安全上下文中可包含共享密钥KAMF
步骤6:UE向SEAF发送用户认证反馈(User authentication response)消息,其中携带验证参数RES。
步骤7:SEAF比较该SEAF接收到的验证参数RES与该SEAF生成的验证参数XRES,根据比较结果进行身份认证。
步骤8:SEAF向AUSF发送5G AC消息,将身份认证结果通知给AMF。
步骤9:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带基于3GPP接入建立的NAS连接所对应的NAS安全标识KSINAS。KSINAS用于标识基于3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥KNASint和/或用于加密算法的NAS密钥KNASenc
其中,NAS安全标识KSINAS可由AMF分配。
步骤10:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeComplete)。可选地,该消息可携带上述NAS安全标识KSINAS
步骤11:UE基于非3GPP接入网进行网络接入,SEAF与AUSF之间进行身份认证(Authentication)。该过程与上述步骤1~步骤8类似。在此过程中,AUSF为该终端分配NAS安全标识KSI’NAS。KSI’NAS用于标识基于非3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥K’NASint和/或用于加密算法的NAS密钥K’NASenc
步骤12:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带基于非3GPP接入建立的NAS连接所对应的NAS安全标识KSI’NAS
其中,NAS安全标识KSI’NAS可由AMF分配。
步骤13:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeCommand)。可选地,该消息可携带上述NAS安全标识KSI’NAS
需要说明的是,上述步骤11中,UE基于非3GPP接入网进行网络接入时的身份认证过程可以省略。
基于上述图4所示的流程,在一种可能的实现方式中,在S402中,网络功能实体对终端发起的3GPP接入进行身份认证后,向该终端发送第一NAS安全模式命令,该第一NAS安全模式命令携带非3GPP NAS安全标识;网络功能实体在该终端发起3GPP接入后,向该终端发送第二NAS安全模式命令,该第二NAS安全模式命令携带所述3GPP NAS安全标识。
该方法可适用于UE采用EAP-AKA’认证方式的情况下,先执行3GPP接入,再执行非3GPP接入的场景。
如图7所示,该流程可包括:
步骤1a~步骤1b:UE连接到非可信的非3GPP接入网络,选择N3IWF,并获得IP地址。
步骤2~步骤8a:UE与网络侧进行身份认证过程。
步骤8b:AUSF向AMF发送AAA(Authentication、Authorization、Accounting)消息,AMF向N31WF发送消息,其中携带安全标识ngKSI。安全标识ngKSI标识的安全上下文中可包含共享密钥KAMF
其中,安全标识ngKSI可由AMF分配。
步骤8c:AMF向N31WF发送N2消息,其中携带认证请求消息(Auth.Request)、EAP-Req-AKA’/challenge消息以及安全标识ngKSI。
步骤8d:N31WF向UE发送身份认证响应(IKE_AUTH Res)消息,其中携带EAP-Req消息、5G-NAS消息、NAS-PDU消息、Auth.请求消息、EAP/AKA-Challenge消息以及安全标识ngKSI。
步骤8e~步骤9b:UE发起认证请求过程。
其中,步骤9a中,AMF向N31WF发送N2消息,其中携带N3IWF密钥、SMC请求消息、EAP-Success消息以及安全标识ngKSI。步骤9b中,N31WF向UE发送IKE_AUTH Res消息,其中携带EAP-Req消息、5G-NAS消息、NAS-PDU消息、SMC请求消息、EAP-Success消息以及安全标识ngKSI。
步骤10a~步骤11:UE与N3IWF进行交互,完成身份认证。
步骤12:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带NAS安全标识KSI’NAS。KSI’NAS用于标识基于非3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥K’NASint和/或用于加密算法的NAS密钥K’NASenc
其中,NAS安全标识KSI’NAS可由AMF分配。
步骤13:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeCommand)。可选地,该消息可携带上述NAS安全标识KSI’NAS
步骤14:UE基于3GPP接入网进行网络接入,AMF为该终端分配NAS安全标识KSINAS。KSINAS用于标识基于3GPP接入建立的NAS连接所对应的NAS安全上下文,该NAS安全上下文中可包含用于完整性保护的NAS密钥KNASint和/或用于加密算法的NAS密钥KNASenc
步骤15:AMF向UE发送5G NAS安全模式命令(5G NAS Security Mode Command),其中携带基于3GPP接入建立的NAS连接所对应的NAS安全标识KSINAS
其中,NAS安全标识KSINAS可由AMF分配。
步骤16:UE向AMF发送5G NAS安全模式完成消息(5G NAS Security ModeComplete)。可选地,该消息可携带上述NAS安全标识KSINAS
可选地,本申请实施例中,安全标识ngKSI中可包括:
-标识值信息域,用于承载所述安全标识的取值;
-安全上下文类型信息域,用于承载安全上下文类型的指示信息。该指示信息可以标识从4G网络中映射的密钥或者标识基于5G网络主认证方式产生的密钥。
举例来说,所述根安全标识ngKSI的格式可如图8所示。ngKSI长度为一个字节,其中,比特1至比特3为标识值信息域,其取值即为ngKSI的取值;比特4为安全上下文类型信息域;比特5至比特8用于承载该信息单元的相关信息。
可选地,本申请实施例中,NAS安全标识ngKSINAS中可包括:
-标识值信息域,用于承载所述NAS安全标识的取值;
-安全上下文类型信息域,用于承载安全上下文类型的指示信息。该指示信息可以标识从4G网络中映射的密钥或者标识基于5G网络主认证方式产生的密钥。
举例来说,所述NAS密钥标识ngKSINAS的格式可如图9所示。ngKSINAS长度为一个字节,其中,比特1至比特3为标识值信息域,其取值即为ngKSINAS的取值;比特4为安全上下文类型信息域;比特5至比特8用于承载该信息单元的相关信息。
下面结合图10至图15,描述本申请另外的实施例提供的安全标识管理流程示意图。
如图10所示,为本申请实施例提供的安全标识管理流程示意图,该流程可包括:
S1001:网络功能实体为终端分配安全标识ngKSI。
其中,安全标识ngKSI是用于5G***中的密钥标识。ngKSI用于标识所述终端与网络侧之间共享的密钥以及基于所述密钥推演得到的NAS安全上下文。ngKSI与共享的密钥相关联。
其中,为终端分配安全标识ngKSI的所述网络功能实体可以是AUSF或者AMF或者N3IWF。
其中,安全标识ngKSI的格式可如图8所示。
S1002:所述网络功能实体向所述终端发送所述安全标识ngKSI。
基于上述图10所示的流程,该方法适用于UE采用5G AKA’认证方式的情况下,执行3GPP接入的场景。
在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为AUSF,安全标识ngKSI所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文。如图11所示,该流程可包括:
步骤1~2:AUSF向UDM/ARPF发送认证信息请求(Auth-info Req)消息,UDM/ARPF向AUSF返回认证信息响应(Auth-info Resp)消息,其中携带UE的认证向量。
其中,UDM/ARPF表示UDM和ARPF合设在一个设备中。
步骤3:AUSF向SEAF发送身份认证启动(Authentication Initiation Answer,5G-AIA)消息,其中携带安全标识ngKSI。
其中,安全标识ngKSI由AUSF生成。
步骤4:SEAF向UE发送认证请求(Auth-Req)消息,其中携带安全标识ngKSI。
步骤5~6:UE向SEAF发送认证响应(Auth-Resp)消息,SEAF向AUSF返回响应消息。该过程可选。
如果网络实体归属于不同PLMN,则UE要保存两个ngKSI及安全上下文,一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
基于上述图10所示的流程,在一种可能的实现方式中,该方法适用于UE采用EAP-AKA’认证方式的情况下,执行3GPP接入的场景。
在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为AUSF,安全标识ngKSI所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文。如图12所示,该流程可包括:
步骤1~2:AUSF向UDM/ARPF发送认证信息请求(Auth-info Req)消息,UDM/ARPF向AUSF返回认证信息响应(Auth-info Resp)消息,其中携带UE的认证向量。
其中,UDM/ARPF表示UDM和ARPF合设在一个设备中。
步骤3:AUSF向SEAF发送N12消息(该消息为5G-AIA),其中携带EAP-Pequest消息/AKA’-Chanllenge参数。
其中,安全标识ngKSI由AUSF生成。
步骤4:SEAF向UE发送认证请求(Auth-Req)消息,该消息为N1消息,其中携带安全标识ngKSI,还可携带EAP-Pequest消息/AKA’-Chanllenge参数。
步骤5~6:UE向SEAF发送认证响应(Auth-Resp)消息,该消息为N1消息,其中携带EAP-Response消息/AKA’-Chanllenge参数,SEAF向AUSF返回响应消息。该过程可选。
步骤7:UE与AUSF之间进行附带条件的交换通知消息传输。
步骤8:AUSF向SEAF发送N12消息,其中可携带EAP-success参数或anchor key参数。
步骤9:SEAF向UE发送N1消息,其中可携带EAP-success参数。
如果网络实体归属于不同PLMN,则UE要保存两个ngKSI及安全上下文,一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
在一种可能的实现方式中,可以通过修改EAP-AKA’协议,定义一个新的属性,AT_ngKSI其格式如图13所示,AT_ngKSI可根据EAP-AKA’的参数属性设置为指定的取值,长度是该属性的长度值,具体的ngKSI的值被设置有1个字节有效位是4-5位,其他预留其他用途。该属性将通过承载在EAP-Request/AKA’-Challenge消息中发给UE。
基于上述图10所示的流程,在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为AUSF,安全标识ngKSI所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。上述方法适用于UE采用5G AKA’认证方式的情况下,执行非3GPP接入的场景,其信令交互流程可如图14所示。
如图14所示,UE与N3IWF建立IPsec隧道,如果安全标识ngKSI通过NAS消息和N2消息发给UE,则通过8b(由AUSF产生ngKSI),8c(由AMF产生ngKSI),进而N31WF通过8d(通过Auth-Req消息携带ngKSI)将消息发给UE。该流程可包括:
步骤1a~步骤1b:UE连接到非可信的非3GPP接入网络,选择N3IWF,并获得IP地址。
步骤2~步骤8a:UE与网络侧进行身份认证过程。
步骤8b:AUSF产生安全标识ngKSI,将AAA消息发送给SEAF/AMF,其中携带认证向量(AV)以及安全标识ngKSI。
其中,SEAF/AMF表示SEAF和AMF合设在一个设备中。
步骤8c:SEAF/AMF向N31WF发送N2消息,其中携带认证请求消息(Auth-Req)以及安全标识ngKSI。
步骤8d:N31WF向UE发送IKE_AUTH请求消息,其中携带EAP请求消息、5G-NAS消息、NAS-PDU消息、认证请求消息(Auth-Req)以及安全标识ngKSI。
步骤8e~步骤8f:UE发起认证请求过程。
如果网络实体归属于不同PLMN,则UE要保存两个ngKSI及安全上下文,一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
基于上述图10所示的流程,在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为AMF,安全标识ngKSI所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。该方法适用于UE采用EAP-AKA’认证方式的情况下,执行非3GPP接入的场景,其信令交互流程可如图15所示。
如图15所示,在一种可能的实现方式中,安全标识ngKSI可以分别由AUSF和AMF产生,如果安全标识ngKSI由AMF产生,可通过EAP-Req-AKA’/challenge消息发送给UE。增加的AT_ngKSI的属性如图14中的格式。该流程可包括:
步骤1a~步骤1b:UE连接到非可信的非3GPP接入网络,选择N3IWF,并获得IP地址。
步骤2~步骤8a:UE与网络侧进行身份认证过程。
8b:AUSF向AMF发送AAA消息,其中携带EAP-Req-AKA’/Challenge消息。
8c:AMF向N3IWF发送N2消息,其中携带认证请求(Auth-Request)消息,其中携带EAP-Req AKA’/Challenge消息。
8d:N3IWF向UE发送IKE_AUTH请求消息,其中携带EAP请求消息、5G-NAS消息、NAS-PDU消息、认证请求消息(Auth-Request)以及EAP-ReqAKA’/Challenge消息。
8e:UE向N3IWF发送IKE_AUTH响应消息,其中携带EAP响应消息、5G-NAS消息、NAS-PDU消息、认证响应消息(Auth-Response)、EAP-RepAKA’/Challenge消息。
8f:N3IWF向AMF发送N2消息,其中携带认证响应(Auth-Response)消息、EAP-RepAKA’/Challenge消息。
步骤8g~步骤9b:UE发起认证请求过程。
步骤10a~步骤11:UE与N3IWF进行交互,完成身份认证。
步骤12:UE通过IPsec SA向AMF传送连续NAS消息。
如果网络实体归属于不同PLMN,则UE要保存两个ngKSI及安全上下文,一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;一个用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为AMF,安全标识ngKSI所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文。该实现方式中,SEAF向AMF发送KAMF,AMF收到KAMF后产生安全标识ngKSI,通过附着请求响应、附着请求响应或者是注册响应,或者是周期性更新消息响应,或者是NAS安全模式命令消息发给UE。
在一种可能的实现方式中,分配安全标识ngKSI的网络功能实体为N3IWF,安全标识ngKSI所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。该实现方式中,AUSF向N3IWF发送KN3IWF,N3IWF接收到KN3IWF后产生安全标识ngKSI,并将所述安全标识通过认证成功消息发送给UE。
需要说明的是,若SEAF与AMF不采用合设的阶段,则安全标识ngKSI可以通过新定义的其他NAS消息发给UE。
在***间切换的场景下,AMF负责移动性管理,需要由目标AMF计算推演的密钥,并通过切换请求(Handover Request)消息将分配的ngKSI发送给目标基站。UE侧的ngKSI由UE自己分配。
基于相同的技术构思,本申请实施例还提供了一种网络功能实体,可实现上述实施例中提供的安全标识管理方法。
参见图16,为该网络功能实体的结构示意图,该网络功能实体可包括:分配模块1601、发送模块1602。
分配模块1601,用于为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全。
发送模块1602,用于将所述NAS安全标识发送给所述终端。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识;所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及非3GPPNAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到,所述第二共享密钥基于所述第一共享密钥推演得到;所述3GPP NAS安全标识和所述非3GPPNAS安全标识取值不同。
可选地,所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到,所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。
可选地,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPPNAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:所述网络功能实体对所述终端发起的3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述3GPP NAS安全标识;所述网络功能实体在所述终端发起非3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。
可选地,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPPNAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:所述网络功能实体对所述终端发起的非3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述非3GPP NAS安全标识。
可选地,所述网络功能实体在所述终端发起3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述3GPP NAS安全标识。
可选地,所述将所述根密钥标识发送给所述终端,包括:所述网络功能实体向所述终端发送认证请求消息,所述认证请求消息携带所述根密钥标识。
可选地,所述NAS安全标识,包括:
标识值信息域,用于承载所述NAS安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
可选地,所述网络功能实体为AMF。
基于相同的技术构思,本申请实施例还提供了一种网络功能实体,可实现上述实施例中提供的安全标识管理方法。
参见图17,为该网络功能实体的结构示意图,该网络功能实体可包括:分配模块1701、发送模块1702。
分配模块1601,用于为终端分配安全标识,所述安全标识用于标识所述终端与网络侧之间共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
发送模块1602,用于向所述终端发送所述安全标识。
所述的网络侧实体可以是归属于不同PLMN的实体,则终端同时保存第一安全标识和第二安全标识。所述第一安全标识用于标识通过3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文;所述第二安全标识用于标识通过非3GPP接入共享的密钥以及基于所述密钥推演得到的非接入层NAS安全上下文。
可选地,所述的安全标识是用于5G***中的密钥标识。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体为终端分配安全标识,包括:所述AUSF获取终端的认证向量,为所述终端生成所述安全标识。
可选地,所述网络功能实体向所述终端发送所述安全标识,包括:所述AUSF向SEAF发送身份认证启动应答消息,所述身份认证启动应答消息携带所述安全标识,所述身份认证启动应答消息用于触发所述SEAF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体为终端分配安全标识,包括:所述AMF接收SEAF发送的共享密钥,并为所述共享密钥生成安全标识,所述共享密钥为所述终端与所述AMF之间的共享密钥。
可选地,所述网络功能实体向所述终端发送所述安全标识,包括:所述AMF通过非接入层消息向UE发送安全标识,所述非接入层消息的类型是附着请求响应或者是注册响应,或者是周期性更新消息响应,或者是NAS安全模式命令消息。
可选地,所述网络功能实体为AUSF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体向所述终端发送所述安全标识,包括:所述AUSF向SEAF发送AAA消息,所述AAA消息携带所述安全标识,所述AAA消息用于触发所述SEAF通过N3IWF向所述终端发送认证请求消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为AMF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体向所述终端发送所述安全标识,包括:所述AMF接收SEAF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识发送给N3IWF,以触发所述N3IWF向终端发送认证成功消息,所述认证请求消息携带所述安全标识。
可选地,所述网络功能实体为N3IWF,所述安全标识所标识的NAS安全上下文为基于非3GPP接入建立的NAS连接所对应的NAS安全上下文。
可选地,所述网络功能实体向所述终端发送所述安全标识,包括:所述N3IWF接收AUSF发送的共享密钥,为所述终端生成安全标识,并将所述安全标识通过认证成功消息发送给UE。
可选地,所述安全标识承载于遵循EAP-AKA’协议的新定义的信息单元中。
可选地,还包括:所述AMF为所述终端分配安全标识,并向所述终端的目标基站发送切换请求消息,所述切换请求消息携带当前分配的安全标识。
可选地,所述安全标识,包括:
标识值信息域,用于承载所述安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
参见图18,为本申请实施例提供的网络功能实体的结构示意图,如图18所示,该基站可包括:处理器1801、存储器1802、收发机1803以及总线接口。
处理器1801负责管理总线架构和通常的处理,存储器1802可以存储处理器1801在执行操作时所使用的数据。收发机1803用于在处理器1801的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1801代表的一个或多个处理器和存储器1802代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1801负责管理总线架构和通常的处理,存储器1802可以存储处理器1801在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1801中,或者由处理器1801实现。在实现过程中,信号处理流程的各步骤可以通过处理器1801中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1801可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1802,处理器1801读取存储器1802中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器1801,用于读取存储器1802中的程序并执行前述基站侧实现的上行参考信号传输流程或下行参考信号传输流程,或可执行上行参考信号传输流程以及下行参考信号传输流程。
参见图19,为本申请实施例提供的网络功能实体的结构示意图,如图19所示,该终端可包括:处理器1901、存储器902、收发机1903以及总线接口。
处理器1901负责管理总线架构和通常的处理,存储器1902可以存储处理器1901在执行操作时所使用的数据。收发机1903用于在处理器1901的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器1901代表的一个或多个处理器和存储器1902代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器1901负责管理总线架构和通常的处理,存储器1902可以存储处理器1901在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器1901中,或者由处理器1901实现。在实现过程中,信号处理流程的各步骤可以通过处理器1901中的硬件的集成逻辑电路或者软件形式的指令完成。处理器1901可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1902,处理器1901读取存储器1902中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器1901,用于读取存储器1902中的程序并执行前述终端侧实现的上行参考信号传输流程或下行参考信号传输流程,或可执行上行参考信号传输流程以及下行参考信号传输流程。

Claims (20)

1.一种安全标识管理方法,其特征在于,所述方法包括:
网络功能实体为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;其中,所述NAS安全标识包括3GPP NAS安全标识和非3GPP NAS安全标识,所述3GPP NAS安全标识用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文,所述非3GPP NAS安全标识用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识;
所述网络功能实体将所述NAS安全标识发送给所述终端;其中,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
在所述终端进行网络切换时,所述网络功能实体向所述终端切换的目标基站发送切换请求消息,所述切换请求消息携带所述NAS安全标识;所述目标基站将所述NAS安全标识发送给所述终端。
2.如权利要求1所述的方法,其特征在于,所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到,所述第二共享密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值不同。
3.如权利要求1所述的方法,其特征在于,所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。
4.如权利要求1所述的方法,其特征在于,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识。
5.如权利要求4所述的方法,其特征在于,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPPNAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:
所述网络功能实体对所述终端发起的3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述3GPP NAS安全标识;
所述网络功能实体在所述终端发起非3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。
6.如权利要求4所述的方法,其特征在于,所述NAS安全标识,包括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述网络功能实体向终端发送NAS消息,所述NAS消息携带所述NAS安全标识,包括:
所述网络功能实体对所述终端发起的非3GPP接入进行身份认证后,向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述非3GPP NAS安全标识;
所述网络功能实体在所述终端发起3GPP接入后,向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述3GPP NAS安全标识。
7.如权利要求1所述的方法,其特征在于,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
所述网络功能实体向所述终端发送认证请求消息,所述认证请求消息携带所述NAS安全标识。
8.如权利要求1所述的方法,其特征在于,所述NAS安全标识,包括:
标识值信息域,用于承载所述NAS安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
9.如权利要求1所述的方法,其特征在于,所述网络功能实体为AMF。
10.一种网络功能实体,其特征在于,包括:
分配模块,用于为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;其中,所述NAS安全标识包括3GPP NAS安全标识和非3GPP NAS安全标识,所述3GPP NAS安全标识用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文,所述非3GPP NAS安全标识用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识;
发送模块,用于将所述NAS安全标识发送给所述终端;其中,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
在所述终端进行网络切换时,所述网络功能实体向所述终端切换的目标基站发送切换请求消息,所述切换请求消息携带所述NAS安全标识;所述目标基站将所述NAS安全标识发送给所述终端。
11.一种网络功能实体,其特征在于,包括:处理器、存储器、收发机,所述处理器、存储器和收发机通过总线连接;所述处理器,用于读取存储器中的程序,执行:
为终端分配非接入层NAS安全标识,所述NAS安全标识用于标识NAS安全上下文,所述NAS安全上下文用于保护所建立的NAS连接的安全;其中,所述NAS安全标识包括3GPP NAS安全标识和非3GPP NAS安全标识,所述3GPP NAS安全标识用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文,所述非3GPP NAS安全标识用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;所述3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,以及NAS计数器值以及NAS连接标识,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含基于共享密钥推演得到的NAS密钥,NAS计数器值以及NAS连接标识;
通过所述收发机将所述NAS安全标识发送给所述终端;其中,所述网络功能实体将所述NAS安全标识发送给所述终端,包括:
在所述终端进行网络切换时,所述网络功能实体向所述终端切换的目标基站发送切换请求消息,所述切换请求消息携带所述NAS安全标识;所述目标基站将所述NAS安全标识发送给所述终端。
12.如权利要求11所述的网络功能实体,其特征在于,所述3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第二共享密钥推演得到,所述第二共享密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值不同。
13.如权利要求11所述的网络功能实体,其特征在于,所述的3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于第一共享密钥推演得到,所述非3GPP NAS安全标识所标识的NAS安全上下文中包含的NAS密钥基于所述第一共享密钥推演得到;
所述3GPP NAS安全标识和所述非3GPP NAS安全标识取值相同。
14.如权利要求11所述的网络功能实体,其特征在于,所述处理器,具体用于:
通过所述收发机向终端发送NAS消息,所述NAS消息携带所述NAS安全标识。
15.如权利要求14所述的网络功能实体,其特征在于,所述NAS安全标识,包括:3GPPNAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;以及,非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:
对所述终端发起的3GPP接入进行身份认证后,通过所述收发机向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述3GPP NAS安全标识;
在所述终端发起非3GPP接入后,通过所述收发机向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述非3GPP NAS安全标识。
16.如权利要求14所述的网络功能实体,其特征在于,所述NAS安全标识,括:3GPP NAS安全标识,用于标识所述终端基于3GPP接入建立的NAS连接所对应的NAS安全上下文;非3GPP NAS安全标识,用于标识所述终端基于非3GPP接入建立的NAS连接所对应的NAS安全上下文;
所述处理器,具体用于:
对所述终端发起的非3GPP接入进行身份认证后,通过所述收发机向所述终端发送第一NAS安全模式命令,所述第一NAS安全模式命令携带所述非3GPP NAS安全标识;
在所述终端发起3GPP接入后,通过所述收发机向所述终端发送第二NAS安全模式命令,所述第二NAS安全模式命令携带所述3GPP NAS安全标识。
17.如权利要求11所述的网络功能实体,其特征在于,所述处理器,具体用于:
通过所述收发机向所述终端发送认证请求消息,所述认证请求消息携带所述NAS安全标识。
18.如权利要求11所述的网络功能实体,其特征在于,所述NAS安全标识,包括:
标识值信息域,用于承载所述NAS安全标识的取值;
安全上下文类型信息域,用于承载安全上下文类型的指示信息。
19.如权利要求11所述的网络功能实体,其特征在于,所述网络功能实体为AMF。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如权利要求1至9任一项所述的方法。
CN201810114251.0A 2018-02-05 2018-02-05 一种安全标识管理方法及装置 Active CN110121196B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810114251.0A CN110121196B (zh) 2018-02-05 2018-02-05 一种安全标识管理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810114251.0A CN110121196B (zh) 2018-02-05 2018-02-05 一种安全标识管理方法及装置

Publications (2)

Publication Number Publication Date
CN110121196A CN110121196A (zh) 2019-08-13
CN110121196B true CN110121196B (zh) 2021-11-02

Family

ID=67519795

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810114251.0A Active CN110121196B (zh) 2018-02-05 2018-02-05 一种安全标识管理方法及装置

Country Status (1)

Country Link
CN (1) CN110121196B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA3113894A1 (en) 2018-09-24 2020-04-02 Nokia Technologies Oy Systems and method for security protection of nas messages
MX2023001381A (es) * 2020-08-06 2023-03-03 Lenovo Singapore Pte Ltd Autentificacion de uas y establecimiento de seguridad.
CN114258096B (zh) * 2020-09-23 2023-07-18 华为技术有限公司 一种非接入层上下文的处理方法及装置
CN115065998B (zh) * 2021-12-22 2023-04-11 荣耀终端有限公司 通话处理方法及装置
CN116528234B (zh) * 2023-06-29 2023-09-19 内江师范学院 一种虚拟机的安全可信验证方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102769848A (zh) * 2010-12-21 2012-11-07 特克特朗尼克公司 使用实时lte监视的演进分组***非接入层解密
CN103491511A (zh) * 2013-09-22 2014-01-01 大唐移动通信设备有限公司 一种信息发送方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104885510B (zh) * 2013-01-07 2019-04-23 瑞典爱立信有限公司 用于非接入层信令的方法和设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102769848A (zh) * 2010-12-21 2012-11-07 特克特朗尼克公司 使用实时lte监视的演进分组***非接入层解密
CN103491511A (zh) * 2013-09-22 2014-01-01 大唐移动通信设备有限公司 一种信息发送方法及装置

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
《Key identification》;Huawei, Hisilicon, Nokia, Ericsson, ZTE, CATT;《3GPP TSG SA WG3 (Security) Meeting #90 S3-180430》;20180126;第1-11页 *
《On the need for multiple NAS SMC procedures》;Ericsson;《3GPP TSG SA WG3 (Security) Meeting #90 S3-180290》;20180126;第1-4页 *
《Security》;Huawei, HiSilicon;《3GPP TSG-CT WG1 Meeting #107 C1-175150》;20171201;第1-3页 *
Huawei, Hisilicon, Nokia, Ericsson, ZTE, CATT.《Key identification》.《3GPP TSG SA WG3 (Security) Meeting #90 S3-180430》.2018, *

Also Published As

Publication number Publication date
CN110121196A (zh) 2019-08-13

Similar Documents

Publication Publication Date Title
CN110121196B (zh) 一种安全标识管理方法及装置
RU2719447C1 (ru) Способ конфигурирования ключа, способ определения политики безопасности и устройство
US11178584B2 (en) Access method, device and system for user equipment (UE)
KR102571312B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
US11496320B2 (en) Registration method and apparatus based on service-based architecture
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
CN101983517B (zh) 演进分组***的非3gpp接入的安全性
CN109560919B (zh) 一种密钥衍生算法的协商方法及装置
JP6924848B2 (ja) 鍵生成方法、ユーザ機器、装置、コンピュータ可読記憶媒体、および通信システム
EP3709692A1 (en) Routing method, apparatus and system
US20200344245A1 (en) Message sending method and apparatus
CN112512045B (zh) 一种通信***、方法及装置
US11622268B2 (en) Secure communication method and secure communications apparatus
EP3956792B1 (en) Cryptographic key generation for mobile communications device
CN113841366B (zh) 通信方法及装置
Kunz et al. New 3GPP security features in 5G phase 1
US20240089728A1 (en) Communication method and apparatus
CN110972135A (zh) 一种安全通信方法、加密信息确定方法及装置
CN113395697A (zh) 传输寻呼信息的方法和通信装置
KR102209289B1 (ko) 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템
WO2017000620A1 (zh) 重认证识别方法、演进分组数据网关及***
CN115515130A (zh) 一种会话密钥生成的方法及装置
Abdelkader et al. A novel advanced identity management scheme for seamless handoff in 4G wireless networks
CN111866870B (zh) 密钥的管理方法和装置
CN116074822A (zh) 通信方法、装置及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210526

Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing

Applicant after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd.

Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road

Applicant before: Telecommunications Science and Technology Research Institute Co.,Ltd.

GR01 Patent grant
GR01 Patent grant