CN112654046A - 用于注册的方法和装置 - Google Patents
用于注册的方法和装置 Download PDFInfo
- Publication number
- CN112654046A CN112654046A CN201911089396.0A CN201911089396A CN112654046A CN 112654046 A CN112654046 A CN 112654046A CN 201911089396 A CN201911089396 A CN 201911089396A CN 112654046 A CN112654046 A CN 112654046A
- Authority
- CN
- China
- Prior art keywords
- amf
- initial
- message
- nas
- indication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供了一种用于注册的方法和装置,该用于注册的方法应用在发生接入和移动管理功能AMF重定向的场景下,该方法包括:AMF重定向时选择的为UE服务的第一AMF确定对第一消息进行保护,并将经由保护的对第一消息发送给该UE,该第一消息包括认证请求消息。从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
Description
本申请要求于2019年09月29日提交中国专利局、申请号为201910932460.0、申请名称为“用于注册的方法和装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,并且更具体地,涉及一种用于注册的方法和装置。
背景技术
第五代(5th generation,5G)通信协议中定义了用户设备在注册流程中发生接入管理功能(access and mobility management function,AMF)重定向的流程。该注册流程中,首先用户设备向(无线)接入网络((radio)access network,(R)AN)发送携带了用户设备的5G全球唯一临时用户设备标识(5th generation globally unique temporary userequipment identity,5G-GUTI)或隐藏标识符(subscriber concealed identifier,SUCI)的注册请求消息。其次(R)AN在接收到用户设备的注册请求消息之后,选择将注册请求消息发送给初始AMF(initial AMF),初始AMF根据5G-GUTI找到上次服务用户设备的第二AMF(old AMF),并从第二AMF中获取该用户设备的上下文,该用户设备的上下文中包括用户设备的NAS安全上下文。最后初始AMF基于某些触发条件发起AMF重定向,重定向到第一AMF,该第一AMF(target AMF)可以从初始AMF中获取该用户设备的上下文。
目前协议规定的一种AMF重定向流程中,初始AMF可以将完整的注册请求消息直接转发给第一AMF。在此情况下,第一AMF如果向用户设备发送认证请求消息,用户设备可能会丢弃该认证请求消息,从而导致用户设备的注册失败。
发明内容
本申请提供一种用于注册的方法和装置,该用于注册的方法应用在发生AMF重定向的场景下,当第一AMF从初始AMF处接收到指示对认证请求消息进行保护的第一指示信息时,向用户设备发送经保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
第一方面,提供了一种用于注册的方法,包括:第一接入和移动管理功能AMF接收来自初始AMF的第一指示信息;该第一AMF根据该第一指示信息对第一消息进行保护;该第一AMF向用户设备UE发送保护的该第一消息,其中,该第一AMF为AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。或者,
第一接入和移动管理功能AMF接收来自初始AMF的第一指示信息;该第一AMF根据该第一指示信息不进行主认证、或跳过主认证流程进行注册流程中的其他流程、或使用接收到KAMF。第一AMF采用接收到的NAS安全上下文或KAMF保护N1消息
本申请实施例提供的用于注册的方法,可以通过初始AMF向第一AMF发送第一指示信息,使得第一AMF向UE发送保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。或者,本申请实施例提供的用于注册的方法,可以通过初始AMF向第一AMF发送第一指示信息指示第一AMF不进行主认证流程,从而第一AMF向UE发送保护保护的N1消息。
本申请实施例涉及到的“保护的第一消息”包括有完整性保护的第一消息,或者有完整性和加密保护的第一消息,其中,第一消息为NAS SMC消息的情况下保护的第一消息为有完整性保护的第一消息,第一消息为NAS SMC消息之外的N1消息的情况下保护的第一消息为有完整性和加密保护的第一消息,为了便于描述下文中简称为保护的第一消息。
结合第一方面,在第一方面的某些实现方式中,该第一AMF接收来自初始AMF的第一指示信息包括:该第一AMF接收来自该初始AMF的第一服务操作,该第一服务操作中包括该第一指示信息。
本申请实施例提供的用于注册的方法,初始AMF向第一AMF发送第一指示信息可以是通过向第一AMF发送第一服务操作,并在第一服务操作中携带该第一指示信息。作为一种可能的实现方式,第一服务操作为Namf_Communication_N1MessageNotify服务操作。
应理解,本申请中并不限定第一指示信息一定是携带在第一服务操作中的,为初始AMF向第一AMF发送第一指示信息提供灵活可选的方案。
当上述的第一指示信息携带在现有的初始AMF和第一AMF的信令中时,从信令开销的角度来看可以节省信令的开销。
结合第一方面,在第一方面的某些实现方式中,该第一服务操作中还包括非接入层NAS安全上下文;该第一AMF对第一消息进行保护包括:该第一AMF使用该NAS安全上下文对该第一消息进行保护。
本申请实施例提供的用于注册的方法,初始AMF向第一AMF发送的第一服务操作中还可以包括NAS安全上下文,使得第一AMF可以使用接收到的NAS安全上下文保护第一消息,为第一AMF保护第一消息提供可行的方案。
结合第一方面,在第一方面的某些实现方式中,该第一指示信息用于指示以下情况中的至少一种:该UE和该初始AMF之间进行了NAS消息的安全交互、该第一AMF应使用接收到的NAS安全上下文保护该第一消息、该UE和该初始AMF之间建立了安全上下文、该UE和该初始AMF之间建立了安全关联、该UE和该初始AMF之间激活了安全保护、该UE和该初始AMF之间成功了进行了NAS SMC、该第一AMF应使用接收到的KAMF、第一AMF不进行主认证流程、第一AMF跳过主认证流程进行注册中的其他流程、或第一AMF应使用接收到的KAMF。
本申请实施例提供的用于注册的方法,第一指示信息指示第一AMF保护第一消息可以用于指示UE和该初始AMF之间进行了NAS消息的安全交互,和/或,第一消息可以用于第一AMF使用接收到的NAS安全上下文保护第一消息,为第一指示信息的具体指示形式提供灵活可选的方案。或者,
第一指示信息指示第一AMF不进行主认证也可以通过不同的指示方式。
第二方面,提供了一种用于注册的方法,包括:初始接入和移动管理功能AMF确定向第一AMF发送第一指示信息,该第一指示信息用于指示该第一AMF对第一消息进行保护;该初始AMF向该第一AMF发送该第一指示信息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。或者,
初始接入和移动管理功能AMF确定向第一AMF发送第一指示信息,该第一指示信息用于指示该第一AMF不进行主认证、或跳过主认证流程进行注册流程中的其他流程、或使用接收到KAMF。该初始AMF向该第一AMF发送该第一指示信息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF。
本申请实施例提供的用于注册的方法,初始AMF可以通过向第一AMF发送第一指示信息,使得第一AMF向UE发送保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。或者,
初始AMF可以通过向第一AMF发送第一指示信息,使得第一AMF不进行主认证流程,为第一AMF不进行主认证提供可视性的方案。
结合第二方面,在第二方面的某些实现方式中,该初始AMF确定向第一AMF发送第一指示信息包括:该初始AMF基于第一预设条件确定向第一AMF发送第一指示信息,其中,该第一预设条件包括以下条件中的至少一种:该UE和该初始AMF之间进行了NAS消息的安全交互、该UE和该初始AMF之间建立了安全上下文、该UE和该初始AMF之间成功地进行了NASSMC、该UE和该初始AMF之间激活了安全关联、该UE和该初始AMF之间激活了安全保护、该UE和该初始AMF之间进行了主认证、该初始AMF选择了与第二AMF选择的安全算法不同的安全算法、该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生产的KAMF;其中该第二AMF为上次服务UE的AMF。
本申请实施例提供的用于注册的方法,初始AMF确定向第一AMF发送第一指示信息可以是初始AMF确定满足一定的第一预设条件的情况下,才决定向一AMF发送第一指示信息,为初始AMF如何确定发送第一指示信息提供可行的方案。
结合第二方面,在第二方面的某些实现方式中,该初始AMF向该第一AMF发送该第一指示信息包括:该初始AMF向该第一AMF发送第一服务操作,该第一服务操作中包括该第一指示信息。
本申请实施例提供的用于注册的方法,初始AMF向第一AMF发送第一指示信息可以是通过向第一AMF发送第一服务操作,并在第一服务操作中携带该第一指示信息。为初始AMF向第一AMF发送第一指示信息提供灵活可选的方案。作为一种可能的实现方式,第一服务操作为Namf_Communication_N1MessageNotify服务操作。
结合第二方面,在第二方面的某些实现方式中,该第一服务操作中还包括NAS安全上下文。
本申请实施例提供的用于注册的方法,初始AMF向第一AMF发送的第一服务操作中还可以包括NAS安全上下文,使得第一AMF可以使用接收到的NAS安全上下文保护第一消息,为第一AMF保护第一消息提供可行的方案。
结合第二方面,在第二方面的某些实现方式中,该第一指示信息用于指示以下情况的至少一种:该UE和该初始AMF之间进行了NAS消息的安全交互、该第一AMF应使用该NAS安全上下文保护第一消息、该UE和该初始AMF之间建立了安全上下文、该UE和该初始AMF之间建立了安全关联、该UE和该初始AMF之间激活了安全保护、该UE和该初始AMF之间成功了进行了NAS SMC、该第一AMF应使用接收到的KAMF、第一AMF不进行主认证流程、第一AMF跳过主认证流程进行注册中的其他流程的情况下、或第一AMF应使用接收到的KAMF。
本申请实施例提供的用于注册的方法,第一指示信息指示第一AMF保护第一消息可以通过指示UE和该初始AMF之间进行了NAS消息的安全交互和/或第一AMF使用接收到的NAS安全上下文保护第一消息,为第一指示信息的具体指示形式提供灵活可选的方案。或者,
第一指示信息指示第一AMF不进行主认证也可以通过不同的指示方式。
第三方面,提供了一种用于注册的方法,包括:用户设备UE接受来自第一AMF的保护的第一消息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NASSMC之外的N1消息。
本申请实施例提供的用于注册的方法,UE接收到保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
第四方面,提供了一种用于注册的方法,包括:用户设备UE接收来自初始接入和移动管理功能AMF的第二指示信息,该第二指示信息用于指示该UE接受未经保护的第一消息;该UE根据该第二指示信息接受来自第一AMF的该未经保护的第一消息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
本申请实施例提供的用于注册的方法,可以通过初始AMF向UE发送第二指示信息,使得UE接受未经保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
第五方面,提供了一种用于注册的方法,包括:初始接入和移动管理功能AMF基于第二预设条件确定向用户设备UE发送第二指示信息,该第二指示信息用于指示该UE接受未经保护的第一消息,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息;该初始AMF向该UE发送该第二指示信息。
本申请实施例提供的用于注册的方法,可以通过初始AMF向UE发送第二指示信息,使得UE接受未经保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
结合第五方面,在第五方面的某些实现方式中,初始AMF基于第二预设条件确定向UE发送第二指示信息,其中该预设条件包括以下条件中的至少一种:该初始AMF与该UE进行的NAS消息的安全交互,该初始AMF确定进行AMF重定向、该UE和该初始AMF之间建立了安全上下文、该UE和该初始AMF之间成功地进行了NAS SMC、该UE和该初始AMF之间激活了安全关联、该UE和该初始AMF之间激活了安全保护、该UE和该初始AMF之间进行了主认证、该初始AMF选择了与第二AMF选择的安全算法不同的安全算法、该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生产的KAMF;其中该第二AMF为上次服务UE的AMF。
第六方面,提供了一种用于注册的方法,包括:第一接入和移动管理功能AMF接收初始AMF发送的第一服务操作;该第一AMF对第一消息进行保护;该第一AMF向用户设备UE发送保护的该第一消息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。或者,
第一接入和移动管理功能AMF接收初始AMF发送的第一服务操作;该第一AMF跳过主认证流程;该第一AMF向用户设备UE发送保护的N1消息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF。
本申请实施例提供的用于注册的方法,可以通过第一AMF确定发生AMF重定向之后向UE发送保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。或者,本申请实施例提供的用于注册的方法,可以通过初始AMF向第一AMF发送第一服务操作指示第一AMF不进行主认证流程,则第一AMF在判断发生AMF重定向之后可以跳过主认证流程,而进行注册中的其他流程,或者说第一AMF在判断发生AMF重定向之后可以不进行主认证,并且第一AMF采用接收到的NAS安全上下文保护N1消息。
结合第六方面,在第六方面的某些实现方式中,在第一AMF接收初始AMF发送的第一服务操作之后,该用于注册的方法还包括:该第一AMF根据上述的第一服务操作确定发生AMF重定向。
本申请实施例提供的用于注册的方法,第一AMF可以根据第一服务操作中携带的IE(s)判断是否发生了AMF重定向。例如,若第一服务操作中携带N1的消息类型包括5GMM时,判断发生了AMF重定向;还例如,若第一服务操作中携带有注册上下文容器(registrationContext Container)类型IE时,判断发生了AMF重定向。
结合第六方面,在第六方面的某些实现方式中,该第一AMF对第一消息进行保护包括:该第一AMF使用接收到的NAS安全上下文保护该第一消息。
作为一种可能的实现方式,该接收到的NAS安全上下文为第一AMF接收初始AMF发送的第一操作服务中携带的NAS安全上下文。
本申请实施例提供的用于注册的方法,第一AMF可以使用接收到的NAS安全上下文保护第一消息,为第一AMF保护第一消息提供可行的方案。
第七方面,提供了一种用于注册的方法,包括:用户设备UE接受来自第一AMF的保护的第一消息,其中,该第一AMF为进行该AMF重定向时选择的为该UE服务的目标AMF,该第一消息为以下消息的一种:认证请求消息、N1消息、或除非接入层安全模式命令消息NASSMC之外的N1消息。
本申请实施例提供的用于注册的方法,UE接收到保护的认证请求消息,从而避免用户设备丢弃该认证请求消息,提高用户设备注册成功几率。
第八方面,提供一种用于注册的装置,该用于注册的装置包括处理器,用于实现上述第一方面和第七方面描述的方法中第一AMF的功能。
可选地,该用于注册的装置还可以包括存储器,该存储器与该处理器耦合,该处理器用于实现上述第一方面和第七方面描述的方法中第一AMF的功能。在一种可能的实现中,该存储器用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第一方面和第七方面描述的方法中第一AMF的功能。
可选地,所述用于注册的装置还可以包括通信接口,所述通信接口用于所述用于注册的装置与其它设备进行通信。当该用于注册的装置为用户设备时,所述通信接口可以为收发器、输入/输出接口、或电路等。
在一种可能的设计中,所述用于注册的装置包括:处理器和通信接口,
所述处理器用于运行计算机程序,以使得所述用于注册的装置实现上述第一方面和第七方面描述的任一种方法;
所述处理器利用所述通信接口与外部通信。
可以理解,所述外部可以是处理器以外的对象,或者是所述装置以外的对象。
在另一种可能的设计中,该用于注册的装置为芯片或芯片***。所述通信接口可以是该芯片或芯片***上输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
第九方面,提供一种用于注册的装置,所述用于注册的装置包括处理器,用于实现上述第二方面和第五方面描述的方法中初始AMF的功能。
可选地,所述用于注册的装置还可以包括存储器,所述存储器与所述处理器耦合,所述处理器用于实现上述第二方面和第五方面描述的方法中初始AMF的功能。在一种可能的实现中,所述存储器用于存储程序指令和数据。所述存储器与所述处理器耦合,所述处理器可以调用并执行所述存储器中存储的程序指令,用于实现上述第二方面和第五方面描述的方法中初始AMF的功能。
可选地,所述用于注册的装置还可以包括通信接口,所述通信接口用于所述用于注册的装置与其它设备进行通信。当该用于注册的装置为初始AMF时,所述通信接口可以为收发器、输入/输出接口、或电路等。
在一种可能的设计中,所述用于注册的装置包括:处理器和通信接口,
所述处理器利用所述通信接口与外部通信;
所述处理器用于运行计算机程序,以使得所述用于注册的装置实现上述第二方面和第五方面描述的任一种方法。
可以理解,所述外部可以是处理器以外的对象,或者是所述装置以外的对象。
在另一种可能的设计中,该用于注册的装置为芯片或芯片***。所述通信接口可以是该芯片或芯片***上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
第十方面,提供一种用于注册的装置,所述用于注册的装置包括处理器,用于实现上述第三方面、第四方面和第八方面描述的方法中用户设备的功能。
可选地,所述用于注册的装置还可以包括存储器,所述存储器与所述处理器耦合,所述处理器用于实现上述第三方面、第四方面和第八方面描述的方法中用户设备的功能。在一种可能的实现中,所述存储器用于存储程序指令和数据。所述存储器与所述处理器耦合,所述处理器可以调用并执行所述存储器中存储的程序指令,用于实现上述第三方面、第四方面和第八方面描述的方法中用户设备的功能。
可选地,所述用于注册的装置还可以包括通信接口,所述通信接口用于所述用于注册的装置与其它设备进行通信。当该用于注册的装置为用户设备时,所述通信接口可以为收发器、输入/输出接口、或电路等。
在一种可能的设计中,所述用于注册的装置包括:处理器和通信接口,
所述处理器利用所述通信接口与外部通信;
所述处理器用于运行计算机程序,以使得所述用于注册的装置实现上述第三方面、第四方面和第八方面描述的任一种方法。
可以理解,所述外部可以是处理器以外的对象,或者是所述装置以外的对象。
在另一种可能的设计中,该用于注册的装置为芯片或芯片***。所述通信接口可以是该芯片或芯片***上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等。所述处理器也可以体现为处理电路或逻辑电路。
第十一方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十二方面,本申请提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十三方面,提供了一种通信***,包括第八方面所示的用于注册的装置、第九方面所示的用于注册的装置和第十方面所示的用于注册的装置。
第十四方面,提供了一种芯片***,包括存储器和处理器,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片***的通信设备执行上述第一至第七方面中任一种可能实现方式中的方法。
附图说明
图1是适用于本申请实施例的网络架构。
图2是一种发生AMF重定向的注册流程的示意图。
图3是本申请实施例中提供的一种用于注册的方法示意性流程图。
图4是本申请实施例中提供的另一种用于注册的方法示意性流程图。
图5是本申请提出的用于注册的装置10的示意图。
图6是适用于本申请实施例的用户设备20的结构示意图。
图7是本申请提出的用于注册的装置30的示意图。
图8是适用于本申请实施例的初始AMF 40的结构示意图。
图9是本申请提出的用于注册的装置50的示意图。
图10是适用于本申请实施例的第一AMF 60的结构示意图。
图11是本申请实施例中提供的又一种用于注册的方法示意性流程图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1是适用于本申请实施例的网络架构。如图1所示,下面对该网络架构中涉及的各个部分分别进行说明。
1、用户设备110:可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,移动台(mobile第一AMFtion,MS),终端(terminal),用户设备(user equipment,UE),软终端等等。例如,水表、电表、传感器等。
示例性地,本申请实施例中的用户设备可以指接入终端、用户单元、用户站、移动站、移动台、中继站、远方站、远程终端、移动设备、用户终端(user terminal)、终端设备(terminal equipment)、无线通信设备、用户代理或用户装置。用户设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assi第一AMFnt,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的用户设备或者未来车联网中的用户设备等,本申请实施例对此并不限定。
作为示例而非限定,在本申请实施例中,可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
此外,在本申请实施例中,用户设备还可以是物联网(internet of Things,IoT)***中的用户设备,IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。在本申请实施例中,IOT技术可以通过例如窄带(narrow band,NB)技术,做到海量连接,深度覆盖,终端省电。此外,在本申请实施例中,用户设备还可以包括智能打印机、火车探测器、加油站等传感器,主要功能包括收集数据(部分用户设备)、接收接入网设备的控制信息与下行数据,并发送电磁波,向接入网设备传输上行数据。
2、(无线)接入网设备(radio access network,(R)AN)120:用于为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同质量的传输隧道。
(R)AN能够管理无线资源,为用户设备提供接入服务,进而完成控制信号和用户设备数据在用户设备和核心网之间的转发,(R)AN也可以理解为传统网络中的基站。
示例性地,本申请实施例中的接入网设备可以是用于与用户设备通信的任意一种具有无线收发功能的通信设备。该接入网设备包括但不限于:演进型节点B(evolved NodeB,eNB)、无线网络控制器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(base第一AMFtion controller,BSC)、基站收发台(base transceiver第一AMFtion,BTS)、家庭基站(home evolved NodeB,HeNB,或home Node B,HNB)、基带单元(baseBandunit,BBU),无线保真(wireless fidelity,WIFI)***中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者发送接收点(transmission and reception point,TRP)等,还可以为5G,如,NR,***中的gNB,或,传输点(TRP或TP),5G***中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU+AAU发送的。可以理解的是,接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外,可以将CU划分为接入网(radio access network,RAN)中的接入网设备,也可以将CU划分为核心网(core network,CN)中的接入网设备,本申请对此不做限定。
3、用户面网元130:用于分组路由和转发以及用户面数据的服务质量(quality ofservice,QoS)处理等。
在5G通信***中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信***中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、数据网络网元140:用于提供传输数据的网络。
在5G通信***中,该数据网络网元可以是数据网络(data network,DN)网元。在未来通信***中,数据网络网元仍可以是DN网元,或者,还可以有其它的名称,本申请不做限定。
5、接入管理网元150:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能,例如,合法监听以及接入授权/鉴权等功能。
在5G通信***中,该接入管理网元可以是接入管理功能(access and mobilitymanagement function,AMF)。在未来通信***中,接入管理网元仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
6、会话管理网元160:主要用于会话管理、用户设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信***中,该会话管理网元可以是会话管理功能(session managementfunction,SMF)网元。在未来通信***中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
7、策略控制网元170:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信***中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信***中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信***中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
8、认证服务器180:用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在5G通信***中,该认证服务器可以是认证服务器功能(authentication serverfunction,AUSF)网元。在未来通信***中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
9、数据管理网元190:用于处理用户设备标识,接入鉴权,注册以及移动性管理等。
在5G通信***中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元;在4G通信***中,该数据管理网元可以是归属用户服务器(homesubscriber server,HSS)网元在未来通信***中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
10、应用网元1100:用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信***中,该应用网元可以是应用功能(application function,AF)网元。在未来通信***中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
11、网络切片选择网元1200:用于实现用户设备与网络切片之间的接入映射,为用户设备提供合适的网络切片接入。
在5G通信***中,该应用网元可以是网络切片选择功能(network sliceselection function,NSSF)网元。在未来通信***中,应用网元仍可以是NSSF网元,或者,还可以有其它的名称,本申请不做限定。
还应理解,图1只是一种示例对本申请的保护范围不构成任何限定。本申请实施例提供的用于注册的方法还可以涉及图1中未示出的网元,例如,本申请实施例提供的用于注册的方法还涉及网络存储网元,其中,网络存储网元用于维护网络中所有网络功能服务的实时信息。
在5G通信***中,该网络存储网元可以是网络注册功能(network repositoryfunction,NRF)网元。在未来通信***中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以接入管理网元为AMF,数据管理网元为UDM网元,会话管理网元为SMF网元,用户面网元为UPF网元为例进行说明。
进一步地,将AMF网元简称为AMF,UDM网元简称为UDM,SMF网元简称为SMF,UPF网元简称为UPF。即本申请后续所描述的AMF均可替换为接入管理网元,UDM均可替换为数据管理网元,SMF均可替换为会话管理网元,UPF均可替换为用户面网元。
为方便说明,本申请实施例中以装置为AMF实体、UDM实体为例,对用于注册的方法进行说明,对于装置为AMF实体内的芯片、UDM实体内的芯片的实现方法,可参考装置分别为AMF实体、UDM实体的具体说明,不再重复介绍。
在图1所示的网络架构中,用户设备通过N1接口与AMF连接,RAN通过N2接口与AMF连接,RAN通过N3接口与UPF连接。UPF之间通过N9接口连接,UPF通过N6接口DN互联。SMF通过N4接口控制UPF。AMF通过N11接口与SMF接口。AMF通过N8接口从UDM单元获取用户设备签约数据,SMF通过N10接口从UDM单元获取用户设备签约数据。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function,NF)网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
本申请实施例的技术方案可以应用于各种通信***,例如:长期演进(long termevolution,LTE)***、LTE频分双工(frequency division duplex,FDD)***、LTE时分双工(time division duplex,TDD)***、通用移动通信***(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信***、第五代(5th generation,5G)***、新无线(newradio,NR)或未来网络等,本申请中所述的5G移动通信***包括非独立组网(non-第一AMFndalone,NSA)的5G移动通信***或独立组网(第一AMFndalone,SA)的5G移动通信***。本申请提供的技术方案还可以应用于未来的通信***,如第六代移动通信***。通信***还可以是陆上公用移动通信网(public land mobile network,PLMN)网络、设备到设备(device-to-device,D2D)通信***、机器到机器(machine to machine,M2M)通信***、物联网(internet of Things,IoT)通信***或者其他通信***。
在本申请实施例中,用户设备或接入网设备包括硬件层、运行在硬件层之上的操作***层,以及运行在操作***层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作***可以是任意一种或多种通过进程(process)实现业务处理的计算机操作***,例如,Linux操作***、Unix操作***、Android操作***、iOS操作***或windows操作***等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或接入网设备,或者,是用户设备或接入网设备中能够调用程序并执行程序的功能模块。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读存储介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
本申请实施例中主要涉及到图1所示的网络架构中的AMF、UE、(R)AN、AUSF、UDM、NSSF还涉及图1中未示出的NRF。其中,针对AMF本申请中涉及到初始AMF(initial AMF)、第二AMF(old AMF)以及第一AMF(target AMF)。
具体地,本申请中所涉及的第二AMF指的是上一次服务UE的AMF,即在当前注册时刻之前为该UE提供服务的AMF,也可以称为UE上次访问的AMF;本申请中所涉及的初始AMF指的是当前UE发起注册请求的时候,(R)AN选择的AMF;本申请中所涉及的第一AMF指的是初始AMF决定进行AMF重定向之后,选择的除初始AMF之外的另一个为UE提供服务的AMF。
本申请中所涉及的AUSF主要用于进行主认证;本申请中所涉及的UDM主要用于提供用户设备的订阅信息,该订阅信息包括用户设备的网络切片选择订阅数据;本申请中所涉及的NSSF主要用于提供可以服务用户设备请求的(requested)网络切片选择辅助信息(network slice selection assistance information,NSSAI)的AMF集合或者AMF的地址列表;本申请中所涉及的NRF主要用于提供第一AMF的地址。
为了便于描述,本申请实施例中将UE与第二AMF之间建立的NAS安全上下文中包括的AMF密钥记为Kamf,该Kamf也可以称为第一密钥,或者,旧的密钥;该Kamf对应的标识符记为ngKSI,该ngKSI也称为第一密钥标识符,或者,旧的密钥标识符;该NAS安全上下文也可以称为旧的NAS安全上下文。
将初始AMF和UE进行主认证之后,激活并使用的主认证生成的密钥记为Kamf_new、密钥标识符记为ngKSI_new,该Kamf_new也可以称为第二密钥,该ngKSI_new也可以称为第二密钥标识符;
将对Kamf_new进行密钥推演之后生成的密钥记为Kamf_new′,该Kamf_new′也可以称为第三密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf_new′对应的密钥标识符也为ngKSI_new,称为第二密钥标识符;
将对Kamf进行密钥推演之后生成的密钥记为Kamf′,该Kamf′也可以称为第四密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf′对应的密钥标识符也为ngKSI;
将对Kamf′进行密钥推演之后生成的密钥记为Kamf″,该Kamf″也可以称为第五密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf″对应的密钥标识符也为ngKSI;
将对Kamf″进行密钥推演之后生成的密钥记为Kamf″′,该Kamf″′也可以称为第六密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf″′对应的密钥标识符也为ngKSI;
将对Kamf_new′进行密钥推演之后生成的密钥记为Kamf_new″,该Kamf_new″也可以称为第七密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf_new″对应的密钥标识符也为ngKSI_new。
应理解,本申请实施例中涉及到对密钥进行密钥推演生成新的密钥所使用的推演的机制和参数不做限制,只限制利用密钥推演生成的新的密钥不能进行密钥推演得到被推演的密钥;或者,可以称新的密钥和被推演的密钥之间是隔离的。
作为一种可能的实现方式,本申请中所述的密钥推演可以为现有协议中定义的水平密钥推演;
作为另一种可能的实现方式,本申请中所述的密钥推演可以为不同的网元之间约定的密钥推演方式。
应理解,本申请实施例中并不涉及网元结构的改变,只是通过在网元之间新增其他的信令和/或在现有网元之间的交互的信令中新增信息元素(information element,IE)达到本申请实施例中提供的用于发生AMF重定向的注册流程中需要实现的目的。
首先,为了便于理解本申请实施例中提供的用于发生AMF重定向的注册流程中的方法,下面结合图2简单介绍现有协议中定义的发生AMF重定向的注册流程中可能出现注册失败的场景。图2是一种发生AMF重定向的注册流程的示意图。执行主体包括UE、初始AMF、第二AMF、第一AMF、UDM、NSSF以及NRF。
该AMF重定向的注册流程包括以下步骤。
S1,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI或SUCI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
一种可能的实现方式,UE没有非接入层(non access stratum,NAS)安全上下文,则UE在RR消息中应包括明文的IE(s),且明文IE(s)中不包括UE的requested NSSAI;
另一种可能的实现方式,UE有NAS安全上下文,则UE在RR消息中应包括明文的IE(s)和NAS容器(container)。该NAS container中包括完整的RR消息,完整的RR消息中包括UE的requested NSSAI。
可选地,如果初始AMF接收到的RR消息中携带UE的5G-GUTI,则初始AMF向第二AMF请求UE上下文。即图2所示的注册流程还包括S2:初始AMF调用第二AMF的第六服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第二AMF,并向第二AMF调用第六服务操作,该第六服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第二AMF获得UE的上下文;其中,UE的上下文中包括UE的NAS安全上下文,UE的NAS安全上下文包括UE和第二AMF之间建立的AMF密钥和AMF密钥对应的标识符。
S3,第二AMF向初始AMF发送第六服务操作响应,该第六服务操作响应中包括UE的上下文。
具体地,第二AMF在认证UE成功之后向初始AMF发送第六服务操作响应。第二AMF认证UE指的是通过验证RR消息的完整性保护。该第六服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,该第六服务操作响应中包括Kamf或者Kamf′,以及Kamf或者Kamf′对应的密钥标识符ngKSI。
应理解,本申请实施例中所涉及到的验证某个消息的完整性保护包括:消息接收方使用约定的算法(和密钥)对接收到的消息计算消息验证码,然后跟接收到的消息验证码进行比较。
第六服务操作响应中包括的UE的上下文中包括以下安全相关的上下文:
1)第六服务操作响应中包括Kamf和ngKSI。
具体地,第六服务操作响应中包括Kamf时,指的是第二AMF直接将UE跟第二AMF之间使用的AMF密钥携带在第六服务操作响应中通知给初始AMF。
上述的Kamf对应的密钥标识符记为ngKSI。密钥和密钥标识符可以统称为密钥信息。第六服务操作响应消息中还可以携带该ngKSI。
2)第六服务操作响应中包括Kamf′和ngKSI。
第六服务操作响应中包括Kamf′时,指的是第二AMF根据UE和第二AMF使用的密钥Kamf,进行水平KAMF推演,生成了新的密钥,记为Kamf′。应理解,本申请实施例中并不限制第二AMF如何得到上述的Kamf′的,可以是现有协议中规定的水平KAMF推演的方法,或者也可以是经由约定的其他的推演算法和参数得到了上述的Kamf′,本申请中对此不再赘述。
上述的Kamf′对应的密钥标识符记为ngKSI。第六服务操作响应消息中还可以携带该ngKSI。
具体地,在此情况下第六服务操作响应中还包括密钥推演指示,该密钥推演指示用于指示第六服务操作响应中包括的密钥Kamf′经由第二AMF进行密钥推演,该密钥推演指示可以称为keyAMFHDerivationInd。
3)当第二AMF本地保存的UE的上下文中包括上行NAS计数(uplink NAS COUNT)值和/或下行NAS计数(downlink NAS COUNT)值时,第六服务操作响应中还可以包括该uplinkNAS COUNT值和/或downlink NAS COUNT值。
4)当第二AMF本地保存有UE和第二AMF使用的完保和/或加密算法时,第六服务操作响应中还可以包括该完保和/或加密算法。
5)当第二AMF本地保存有UE的安全能力(UE security capabilities)时,第六服务操作响应中还可以包括该UE的安全能力。其中,UE的安全能力包括UE上实现的完保和/或加密算法。
可选地,如果初始AMF接收到的RR消息中携带UE的SUCI,则初始AMF发起主认证(primary authentication)流程,和/或,
如果初始AMF接收到的RR消息中携带UE的5G-GUTI,但是初始AMF从第二AMF处获取UE上的下文失败,则初始发起主认证流程,和/或,
如果初始AMF接收到的RR消息中携带UE的5G-GUTI,并且初始AMF成功从第二AMF处获的UE的上下文,但是初始AMF根据本地策略决定需要发起主认证流程。即图2所示的注册流程还包括S4:初始AMF发起主认证流程,UE和初始AMF都获得Kamf_new及其对应的标识符ngKSI_new。
具体地,当初始AMF发起主认证流程时,为了使得UE侧的AMF密钥开始使用主认证生成的Kamf_new,初始AMF发起非接入层安全模式命令消息(non-access stratumsecurity mode command,NAS SMC),和/或,
如果第二AMF进行了密钥推演,上述的第六服务操作响应中包括keyAMFHDerivationInd、Kamf′和ngKSI,初始AMF需要发起上述的NAS SMC流程,和/或,
如果第二AMF未进行密钥推演,上述的第六服务操作响应中包括Kamf,或者,Kamf和ngKSI,初始AMF决定使用Kamf和ngKSI,但是初始AMF选择新的安全算法,初始AMF需要发起上述的NAS SMC流程。
即图2所示的注册流程还可以包括S5:初始AMF向UE发送非接入层安全模式命令(non-access stratum security mode command,NAS SMC)消息。不特殊说明的情况下,下述的NAS SMC消息指的是非接入层安全模式命令NAS SMC消息,在NAS SMC指代非接入层安全模式控制时需要特殊说明。
可选地,NAS SMC消息中携带请求完整初始NAS消息的指示。由于本申请主要涉及到UE的注册流程,所以该请求完整初始NAS消息的指示指的是请求完整注册请求消息的指示,下文中不做特殊解释的时候,请求完整初始NAS消息的指示指的是请求完整注册请求消息的指示。
S6,UE向初始AMF发送NAS安全模式完成(non-access stratum security modecomplete,NAS SMP)消息。
可选地,UE根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。
该完整初始NAS消息中携带上述的requested NSSAI。
可选地,如果初始AMF需要UE的订阅信息来决定是否进行AMF重定向,并且第二AMF没有提供UE的切片选择订阅信息,那么初始AMF需要从UDM处获得UE的切片选择订阅信息,即图2所示的注册流程还包括S7:初始AMF调用UDM的第二服务操作,该第二服务操作可以称为Nudm_SDM_Get服务操作,用于请求从UDM获得UE的切片选择订阅信息。
S8,UDM向初始AMF发送第二服务操作响应,该第二服务操作响应中包括UE的切片选择订阅信息。
可选地,如果初始AMF需要进行切片选择(例如,初始AMF不能服务UE的requestedNSSAI中的部分或全部的单网络切片选择辅助信息(single-NSSAI,S-NSSAI)),那么初始AMF需要从NSSF处获得能够服务上述的UE的requested NSSAI的AMF的信息。
即图2所示的注册流程还可以包括S9:初始AMF调用NSSF的第三服务操作,该第三服务操作可以称为Nnssf_NSSelection_Get服务,用于请求从NSSF获得服务上述的UE的requested NSSAI的AMF的信息。
S10,NSSF向初始AMF发送第三服务操作响应,该第三服务操作响应中包括UE的切片选择订阅信息。
初始AMF确定需要进行AMF重定向之后,初始AMF决定将RR消息重转给第一AMF,即图2所示的注册流程还包括S11:初始AMF调用第二AMF的第四服务操作。该第四服务操作指示UE在初始AMF处的注册失败。
具体地,该第四服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第四服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。第二AMF在接收到初始AMF的第二服务操作的调用之后,就当从未接收到上述的S2中初始AMF发送的Namf_Communication_UEContextTransfer调用。
可选地,如果初始AMF决定进行NAS重转(direct NAS reroute or reroute NASvia RAN),且初始AMF没有第一AMF的地址,那么初始AMF需要从NRF处获得第一AMF的地址,即图2所示的注册流程还包括S12:初始AMF调用NRF的第五服务操作,该第五服务操作可以称为Nnrf_NFDiscovery_Request服务操作,用于获取第一AMF的地址。
S13,NRF向初始AMF发送第五服务操作响应,该第五服务操作响应中包括第一AMF的地址。
可选地,如果初始AMF根据本地策略和UE的订阅信息,决定将NAS消息(即RR消息)直接转发给第一AMF(即直接非接入层重路由,direct NAS reroute),那么初始AMF需要将完整的注册请求消息和UE上下文发送给第一AMF。
即图2所示的注册流程还可以包括S14:初始AMF调用第一AMF的第一服务操作,该第一服务操作可以称为Namf_Communication_N1MessgeNotify服务操作,用于向第一AMF发送该完整的注册请求消息和/或UE的上下文。UE的上下文中包括UE的NAS安全相关的上下文,为了便于描述,下文中UE的安全相关的上下文简称为UE的NAS安全上下文。
初始AMF调用第一AMF的第一服务操作之前,初始AMF根据本地策略决定是否进行水平KAMF推演,如果初始AMF根据本地策略不进行水平KAMF推演,则初始AMF向第一AMF发送当前安全上下文;如果初始AMF根据本地策略进行水平KAMF推演,则初始AMF根据当前KAMF生成新的KAMF或新的安全上下文或新的NAS安全上下文,初始AMF向第一AMF发送新的KAMF或新的安全上下文或新的NAS安全上下文,并且初始AMF向第一AMF发送水平KAMF推演指示。该水平KAMF推演指示可称为keyAmfHDerivationInd。
初始AMF在第一服务操作中发送当前安全上下文,或新的KAMF,或新的安全上下文或水平KAMF推演指示。
在本申请中,当前安全上下文包括当前NAS安全上下文。当前NAS安全上下文包括当前KAMF。初始AMF根据当前KAMF生成新的KAMF,也称为推演的KAMF。初始AMF根据当前KAMF生成新的安全上下文,也称为推演的安全上下文。初始AMF根据当前KAMF生成新的NAS安全上下文,也称为推演的NAS安全上下文,包括推演的KAMF。初始AMF根据当前KAMF生成的新的安全上下文包括初始AMF根据当前KAMF生成的新的NAS安全上下文。水平KAMF推演指示也称为KAMF水平推演指示,用于指示生成新的KAMF,或水平KAMF推演。
具体地,图2所示的注册流程,由上述步骤S14的描述可知,第一AMF接收到第一服务操作之后,第一AMF向UE发送的第一条N1消息包括以下几种可能:
可能一、如果第一AMF决定发起主认证(例如,第一AMF没有接收到UE的NAS安全上下文,或者第一AMF虽然接收到UE的NAS上下文但是决定不使用接收到的KAMF),则第一AMF向UE发送认证请求消息;
可能二、如果第一服务操作中携带UE的上下文,并且第一AMF决定使用接收到的KAMF,第一AMF选择新的加密和/或完保算法或者第一AMF接收到水平KAMF推演指示,则第一AMF向UE发送NAS SMC消息;
可能三、如果第一服务操作中携带UE的上下文,并且第一AMF决定使用接收到的密钥和接收到的加密和/或完保算法(UE和第二AMF之间使用的安全算法),则第一AMF向UE发送其他的N1消息。
在上述的可能一所示的情况下,第一AMF向UE发送的认证请求消息可能被UE丢弃。例如,在初始AMF向第一AMF发送上述的第一服务操作之前,初始AMF和UE之间建立了新的NAS安全上下文,或者初始AMF和UE之间成功的进行了NAS SMC,或者初始AMF和UE之间激活了NAS安全保护,或者初始AMF和UE进行了NAS消息的安全交互,则第一AMF给UE发送的认证请求消息,UE会可能会丢弃不处理,因为UE之前和初始AMF之间已经通过NAS SMC流程建立了新的NAS安全上下文,UE就只能处理由新的NAS安全上下文保护的N1消息,或NAS SMC消息。而当第一AMF决定进行主认证的情况下,第一AMF向UE发送认证请求消息时,目前协议并没有定义该消息是要保护的,那么UE接收到没有保护的认证请求消息,会丢弃该认证请求消息,最终导致注册失败。
此外,为了便于理解本申请实施例,做出以下几点说明。
第一,在本申请中,“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时,可以包括该指示信息直接指示A或间接指示A,而并不代表该指示信息中一定携带有A。
将指示信息所指示的信息称为待指示信息,则具体实现过程中,对待指示信息进行指示的方式有很多种,例如但不限于,可以直接指示待指示信息,如待指示信息本身或者该待指示信息的索引等。也可以通过指示其他信息来间接指示待指示信息,其中该其他信息与待指示信息之间存在关联关系。还可以仅仅指示待指示信息的一部分,而待指示信息的其他部分则是已知的或者提前约定的。例如,还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示,从而在一定程度上降低指示开销。同时,还可以识别各个信息的通用部分并统一指示,以降低单独指示同样的信息而带来的指示开销。
第二,在本申请中示出的第一、第二以及各种数字编号(例如,“#1”、“#2”等)仅为描述方便,用于区分的对象,并不用来限制本申请实施例的范围。例如,区分第二AMF和第一AMF等。而不是用于描述特定的顺序或先后次序。应该理解这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。
第三,在本申请中,“预设的”可包括预先定义,例如,协议定义。其中,“预先定义”可以通过在设备(例如,包括用户设备和接入网设备)中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第四,本申请实施例中涉及的“保存”,可以是指的保存在一个或者多个存储器中。所述一个或者多个存储器,可以是单独的设置,也可以是集成在编码器或者译码器,处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第五,本申请实施例中涉及的“协议”可以是指通信领域的标准协议,例如可以包括LTE协议、新空口(new radio,NR)协议以及应用于未来的通信***中的相关协议,本申请对此不做限定。
第六,为方便理解,对下文本申请实施中涉及到的主要参数做简单说明:
Kamf:UE与第二AMF之间建立的NAS安全上下文中包括的AMF密钥;
Kamf′:对Kamf进行密钥推演之后生成的AMF密钥;
KAMF:AMF密钥,可以指代上述Kamf或Kamf′或其他的AMF密钥。
为了解决图2中所示的注册流程中可能存在注册失败的问题,本申请提供一种用于注册的方法,通过使第一AMF发送经保护的认证请求消息,从而避免UE丢弃该认证请求消息,提高注册成功的几率。下面将结合附图详细说明本申请实施例提供的用于注册的方法。
应理解,本申请实施例提供的方法可以应用于图1所示的网络架构中,并且具体可以应用在发生了AMF重定向的场景下。
还应理解,下文示出的实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或接入网设备,或者,是用户设备或接入网设备中能够调用程序并执行程序的功能模块。
以下,不失一般性,以用户设备与网络设备之间的交互为例详细说明本申请实施例提供的用于注册的方法。其中,网络设备包括接入网设备和核心网设备。
图3是本申请实施例中提供的一种用于注册的方法示意性流程图。执行主体包括UE、初始AMF、第二AMF、第一AMF、UDM、NSSF以及NRF。
该用于注册的方法包括以下部分或全部步骤。
S310,UE向初始AMF发送RR消息,与图2中的S1类似这里不再赘述。
可选地,如果初始AMF接收到的RR消息中携带UE的5G-GUTI,则初始AMF向第二AMF请求UE上下文。
即图3所示的注册流程还可以包括S320:初始AMF调用第二AMF的第六服务操作,与图2中的S2类似这里不再赘述。
S330,第二AMF向初始AMF发送第六服务操作响应,与图2中的S3类似这里不再赘述。
可选地,初始AMF决定发起主认证流程的情况下,图3所示的注册流程还包括S340:初始AMF发起主认证流程,与图2中的S4类似这里不再赘述。
S350,初始AMF向UE发送NAS SMC消息,与图2中的S5类似这里不再赘述。
S360,UE向初始AMF发送NAS SMP消息,与图2中的S6类似这里不再赘述。
S370,初始AMF调用UDM的第二服务操作,与图2中的S7类似这里不再赘述。
S380,UDM向初始AMF发送第二服务操作响应,与图2中的S8类似这里不再赘述。
S390,初始AMF调用NSSF的第三服务操作,与图2中的S9类似这里不再赘述。
S391,NSSF向初始AMF发送第三服务操作响应,与图2中的S10类似这里不再赘述。
S392,初始AMF调用第二AMF的第四服务操作,与图2中的S11类似这里不再赘述。
S393,初始AMF调用NRF的第五服务操作,与图2中的S12类似这里不再赘述。
S394,NRF向初始AMF发送第五服务操作响应,与图2中的S13类似这里不再赘述。
S395,初始AMF调用第一AMF的第一服务操作,该第一服务操作用于指示发生AMF重定向。
与图2所示的注册流程不同的是,该实施例中,第一AMF接收到上述的第一服务操作之后,第一AMF对第一消息进行保护,或者第一AMF不进行主认证。
具体地,第一AMF对第一消息进行保护,或者第一AMF不进行主认证包括以下两种情况:
情况一:第一AMF接收到第一指示信息。
作为一种可能的实现方式:该第一指示信息用于指示第一AMF对第一消息进行保护。在该实现方式下,该第一AMF根据该第一指示信息,确定应对该第一消息进行保护。
作为一种可能的实现方式,该第一指示信息用于指示第一AMF使用接收到的KAMF,或指示第一AMF使用接收到的安全上下文,或指示第一AMF不进行主认证或第一AMF跳过主认证流程进行注册中的其他流程。在该实现方式下,该第一AMF不进行主认证,或该第一AMF使用接收到的KAMF,或该第一AMF跳过主认证,进行注册流程中的其他流程。在该实现方式下,第一AMF仍然使用接收到的NAS安全上下文对N1消息进行保护。
其中,该第一消息为认证请求消息,或者该第一消息为N1消息,或该第一消息为除NAS SMC消息之外的N1消息。
应理解,本申请实施例提供的用于注册的方法,主要是为了发生AMF重定向的时候,避免UE丢弃第一AMF发送的未经保护的认证请求消息导致注册失败。所以可以理解为上述的第一消息包括认证请求消息即可,其他的消息也可以在第一消息涵盖的范围之内,该其他消息不一定限制为N1消息。本申请实施例中涉及的第一消息包括认证请求消息理解为第一消息可以为认证请求消息。
作为一种可能的实现方式,第一指示信息携带在上述的第一服务操作中。即在图2所示的第一服务操作中新增IE,该新增的IE为上述的第一指示信息;
作为另一种可能的实现方式,第一指示信息为新增的初始AMF和第一AMF之间的信令,在第一AMF发送上述的第一消息之前发送给第一AMF。
从节省信令开销的角度考虑,可以选择将第一指示信息携带在上述的第一服务操作中发送给第一AMF,相当于在初始AMF和第一AMF之间原有的信令中增加IE,无需新增一条信令。
在该情况一下,在初始AMF向第一AMF发送第一指示信息之前,初始AMF确定需要向第一AMF发送第一指示信息,即图3所示的方法流程还包括S396:初始AMF确定向第一AMF发送第一指示信息。
具体地,当满足第一预设条件时,初始AMF向第一AMF发送第一指示信息。相应地,第一AMF接收第一指示信息。
该第一预设条件为以下条件中的任意一种或者多种:
初始AMF和UE之间进行了NAS消息的安全交互、初始AMF和UE之间成功进行了NASSMC、UE和初始AMF之间建立了安全关联、UE和初始AMF之间激活了安全保护、或UE和初始AMF之间建立了新的NAS安全上下文、初始AMF进行水平KAMF推演;该UE和该初始AMF之间进行了主认证、该初始AMF选择了与第二AMF选择的安全算法不同的安全算法、该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生产的KAMF。
当第一预设条件不满足时,初始AMF不向第一AMF发送第一指示信息。则第一AMF没有接收到第一信息指示。
作为一种可能的实现方式,如果第一AMF没有接收到第一指示信息,则第一AMF根据本地策略决定是否进行主认证,如果第一AMF决定进行主认证,则第一AMF发送没有保护的认证请求消息,或者第一AMF采用接收到的安全上下文保护认证请求消息,并发送有保护的认证请求消息。
进一步地,第一指示信息可以用于指示以下情况的至少一种:
初始AMF和UE之间进行了NAS消息的安全交互、UE和初始AMF之间建立了安全关联、UE和初始AMF之间激活了安全保护、UE和初始AMF之间建立了新的NAS安全上下文、初始AMF和UE之间成功进行了NAS SMC流程、第一AMF应使用接收到的NAS安全上下文保护第一消息、第一AMF不进行主认证流程、第一AMF跳过主认证流程进行注册中的其他流程、或第一AMF使用接收到的KAMF。
具体地,上述的第一服务操作中的UE的上下文包括NAS安全上下文。该NAS安全上下文可以是经过水平推演之后的NAS安全上下文。
当第一AMF接收到上述的第一指示信息之后,图3所示的方法流程还包括S397:第一AMF根据第一指示信息对第一消息进行保护。并将保护的第一消息发送给UE,图3所示的方法流程还包括S301:第一AMF向UE发送保护的第一消息。
可选地,第一指示信息用于指示第一AMF使用接收到的KAMF,或第一AMF不进行主认证流程,或第一AMF跳过主认证流程进行注册中的其他流程的情况下,图3所示的方法流程还可以包括,S302:第一AMF根据第一指示信息不进行主认证,或者可以描述为第一AMF根据第一指示信息跳过主认证进行注册中的其他流程,或第一AMF使用接收到的KAMF。第一AMF仍然采用接收到的NAS安全上下文保护N1消息。
具体地,第一AMF根据第一指示信息对第一消息进行保护,包括以下可能中的任意一种:
当第一AMF根据本地策略决定发起主认证时,第一AMF使用接收到的NAS安全上下文保护认证请求消息、第一AMF使用接收到的KAMF和安全算法保护认证请求消息、或第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对认证请求消息进行保护。
当第一AMF根据第一指示信息决定不进行主认证或跳过主认证时,第一AMF使用接收到的NAS安全上下文或KAMF保护N1消息。
当第一AMF根据本地策略决定使用接收到的KAMF时,第一AMF应使用接收到的NAS安全上下文保护N1消息、第一AMF使用接收到的NAS安全上下文保护除了NASSMC消息之外的N1消息、第一AMF使用接收到的KAMF和安全算法保护N1消息、第一AMF使用接收到的KAMF和安全算法保护除了NAS SMC消息之外的N1消息、第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对N1消息进行保护、或第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对除了NAS SMC消息之外的N1消息进行保护。
情况二:第一AMF接收到第一服务操作后,第一AMF也可以对第一消息进行保护。
作为一种可能的实现方式,该第一AMF根据接收第一服务操作对第一消息进行保护。
作为一种可能的实现方式,该第一AMF根据接收到的第一服务操作判断是否发生AMF重定向,如果发生重定向,则对第一消息进行保护。
作为一种可能的实现方式,该第一AMF根据接收第一服务操作,使用接收到的KAMF、或不进行主认证、或跳过主认证进行注册流程中的其他流程。在该实现方式下,第一AMF仍然使用接收到NAS安全上下文保护N1消息。
作为一种可能的实现方式,该第一AMF根据接收到的第一服务操作判断是否发生AMF重定向。如果发生AMF重定向,则第一AMF使用接收到的KAMF、或不进行主认证、或跳过主认证进行注册流程中的其他流程。在该实现方式下,第一AMF仍然使用接收到NAS安全上下文保护N1消息。
该第一AMF根据第一服务操作中携带注册上下文容器信元(registrationCtxtContainer IE)来判断发生AMF重定向,和/或,第一AMF根据第一服务操作中通知的N1消息的类型是5GMM来判断发生AMF重定向。
在情况二下,图3所示的方法流程还包括S398:第一AMF对第一消息进行保护。并将保护的第一消息发送给UE,图3所示的方法流程还包括S301:第一AMF向UE发送保护的第一消息。
可选地,第一AMF根据接收第一服务操作使用接收到的KAMF、不进行主认证、或跳过主认证的情况下,图3所示的方法流程还可以包括,S303:第一AMF根据第一服务操作不进行主认证,或者可以描述为第一AMF根据第一服务操作跳过主认证进行注册中的其他流程,或第一AMF使用接收到的KAMF。并且第一AMF仍然采用接收到的NAS安全上下文保护N1消息。
具体地,第一AMF对第一消息进行保护,包括以下可能中的任意一种:
当第一AMF根据本地策略决定发起主认证时,第一AMF使用接收到的KAMF保护认证请求消息、第一AMF使用接收到的NAS安全上下文保护认证请求消息、第一AMF使用接收到的KAMF和安全算法保护认证请求消息、或第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对认证请求消息进行保护。
当第一AMF根据第一服务操作决定不进行主认证或跳过主认证时,第一AMF使用接收到的NAS安全上下文或KAMF保护向UE发送NAS SMC消息或者其他的N1消息。
当第一AMF根据本地策略决定不发起主认证时,即第一AMF向UE发送NAS SMC消息或其他的N1消息时,第一AMF使用接收到的NAS安全上下文保护N1消息、第一AMF使用接收到的NAS安全上下文保护除了NAS SMC消息之外的N1消息、第一AMF使用接收到的KAMF和安全算法保护N1消息、第一AMF使用接收到的KAMF和安全算法保护除了NAS SMC消息之外的N1消息、第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对N1消息进行保护、或第一AMF使用接收到的KAMF和接收到的安全算法,计算NAS密钥,并使用计算所得NAS密钥和接收到的算法对除了NAS SMC消息之外的N1消息进行保护。
作为一种可能的实现方式,第一AMF接收到第一服务操作之后,确定发生AMF重定向,然后第一AMF对第一消息进行保护。则图3所示的方法流程还包括S399:第一AMF判断发生了AMF重定向。
可选地,第一AMF可以根据第一服务操作中携带的IE(s)判断是否发生了AMF重定向。例如,若第一服务操作中携带N1的消息类型包括5GMM时,判断发生了AMF重定向;还例如,若第一服务操作中携带有注册上下文容器(registration Context Container)类型IE时,判断发生了AMF重定向。
作为一种可能的实现方式,第一AMF在判断发生AMF重定向之后可以跳过主认证流程,而进行注册中的其他流程,或者说第一AMF在判断发生AMF重定向之后可以不进行主认证,并且第一AMF采用接收到的NAS安全上下文保护第一消息,或第一AMF使用接收到的KAMF。
应理解,上述的第一AMF判断发生AMF重定向的情况只是举例,对本申请的保护范围不构成任何限定,可以参考目前协议或未来协议中对于判断是否发生AMF重定向的规定,这里不再赘述。
图3所示的方法流程,通过使第一AMF发送经由保护的认证请求消息,从而避免UE丢弃接收到未经保护的认证请求消息。
图4是本申请实施例中提供的另一种用于注册的方法示意性流程图。执行主体包括UE、(R)AN、初始AMF、第二AMF、第一AMF、UDM、NSSF以及NRF。
该用于注册的方法包括以下部分或全部步骤。
S410,UE向初始AMF发送RR消息,与图2中的S1类似这里不再赘述。
可选地,如果初始AMF接收到的RR消息中携带UE的5G-GUTI,则初始AMF向第二AMF请求UE上下文。即图3所示的注册流程还包括S420:初始AMF调用第二AMF的第六服务操作,与图2中的S2类似这里不再赘述。
S430,第二AMF向初始AMF发送第六服务操作响应,与图2中的S3类似这里不再赘述。
可选地,初始AMF决定发起主认证流程的情况下,图3所示的注册流程还包括S440:初始AMF发起主认证流程,与图2中的S4类似这里不再赘述。
S450,初始AMF向UE发送NAS SMC消息,与图2中的S5类似这里不再赘述。
S460,UE向初始AMF发送NAS SMP消息,与图2中的S6类似这里不再赘述。
S470,初始AMF调用UDM的第二服务操作,与图2中的S7类似这里不再赘述。
S480,UDM向初始AMF发送第二服务操作响应,与图2中的S8类似这里不再赘述。
与图2所示的注册流程不同的是,图4所示的用于注册的方法流程,初始AMF确定向UE发送第二指示信息,用于指示UE接受未经保护的认证请求消息,即可避免图2所示的注册流程汇总UE丢弃第一AMF发送的未经保护的认证请求消息,则图4所示的注册流程还包括S481:初始AMF向UE发送第二指示信息。其中,第二指示信息用于指示UE接受未经保护的认证请求消息,也可以理解为第二指示信息用于指示UE处理未经保护的认证请求消息,还可以理解为第二指示信息用于指示UE不丢弃未经保护的认证请求消息。
初始AMF确定向UE发送第二指示信息,包括,所述初始AMF基于第二预设条件确定向UE发送第二指示信息,即当满足以下第二预设条件的至少一种时,初始AMF确定向UE发送第二指示信息:
初始AMF决定发起AMF重定向、初始AMF决定发起通过RAN的AMF重定向、在AMF重定向之前初始AMF和UE之间进行了NAS消息的安全交互、在AMF重定向之前初始AMF和UE之间成功进行了NAS SMC、在AMF重定向之前UE和初始AMF之间建立了安全关联、在AMF重定向之前UE和初始AMF之间激活了安全保护、在AMF重定向之前UE和初始AMF之间建立了新的NAS安全上下文、在AMF重定向之前UE和初始AMF之间进行了主认证、在AMF重定向之前该初始AMF选择了与第二AMF选择的安全算法不同的安全算法、或在AMF重定向之前该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生产的KAMF。
应理解,本申请中对于初始AMF如何向UE发送该第二指示信息并不限制,可以是在现有的消息中增加该第二指示信息,也可以是新增的一条信令,用于传输该第二指示信息。
例如,初始AMF发送第二指示信息,可以是初始AMF向UE发送一条N1消息,该N1消息用于指示UE接收没有保护的认证请求消息;还例如,初始AMF发送第二指示信息,可以是初始AMF向UE发送一条N1消息(例如,配置更新命令(configuration update command)消息、NAS SMC消息、5GMM status消息、或下行NAS传输(downlink NAS transport)消息等),该N1消息中携带第二指示信息。
与图2中所示的注册流程类似,图4所示的用于注册的方法流程还应该包括S490,初始AMF调用NSSF的第三服务操作,与图2中的S9类似这里不再赘述。
S491,NSSF向初始AMF发送第三服务操作响应,与图2中的S10类似这里不再赘述。
S492,初始AMF调用第二AMF的第四服务操作,与图2中的S11类似这里不再赘述。
S493,初始AMF调用NRF的第五服务操作,与图2中的S12类似这里不再赘述。
S494,NRF向初始AMF发送第五服务操作响应,与图2中的S13类似这里不再赘述。
S495,初始AMF调用第一AMF的第一服务操作,与图2中的S14类似这里不再赘述。
应理解,上述的S481可以是上述的S460之后S493之前任何时候发生的步骤。
具体地,与图2所示的注册流程不同的是,由于UE提前接收到了上述的第二指示信息,则S495之后,当UE接收到第一AMF发送的未经保护的认证请求消息时,UE不会丢弃该认证请求消息,图4所示的用于注册的方法流程还应该包括S496:UE接收来自第一AMF的未经保护的第一消息,第一消息包括认证请求消息,从而可以避免因UE丢弃未经保护的认证请求消息而导致的注册失败。
图11是本申请实施例中提供的又一种用于注册的方法示意性流程图。执行主体包括UE、初始AMF、第二AMF、第一AMF、UDM、NSSF以及NRF。
该用于注册的方法包括以下部分或全部步骤。
S510,UE向初始AMF发送RR消息,与图2中的S1类似这里不再赘述。
可选地,如果初始AMF接收到的RR消息中携带UE的5G-GUTI,则初始AMF向第二AMF请求UE上下文。
即图11所示的注册流程还可以包括S520:初始AMF调用第二AMF的第六服务操作,与图2中的S2类似这里不再赘述。
S530,第二AMF向初始AMF发送第六服务操作响应,与图2中的S3类似这里不再赘述。
可选地,初始AMF决定发起主认证流程的选项下,图11所示的注册流程还包括S540:初始AMF发起主认证流程,与图2中的S4类似这里不再赘述。
S550,初始AMF向UE发送NAS SMC消息,与图2中的S5类似这里不再赘述。
S560,UE向初始AMF发送NAS SMP消息,与图2中的S6类似这里不再赘述。
S570,初始AMF调用UDM的第二服务操作,与图2中的S7类似这里不再赘述。
S580,UDM向初始AMF发送第二服务操作响应,与图2中的S8类似这里不再赘述。
S590,初始AMF调用NSSF的第三服务操作,与图2中的S9类似这里不再赘述。
S591,NSSF向初始AMF发送第三服务操作响应,与图2中的S10类似这里不再赘述。
S592,初始AMF调用第二AMF的第四服务操作,与图2中的S11类似这里不再赘述。
S593,初始AMF调用NRF的第五服务操作,与图2中的S12类似这里不再赘述。
S594,NRF向初始AMF发送第五服务操作响应,与图2中的S13类似这里不再赘述。
S595,初始AMF调用第一AMF的第一服务操作,该第一服务操作用于通知第一AMF接收到的N1消息。当初始AMF保存有完整的注册请求消息和/或UE的上下文时,初始AMF通过第一服务操作向第一AMF发送该完整的注册请求消息和/或UE的上下文。
与图2所示的注册流程不同的是,在该实施例中,初始AMF在调用第一AMF的第一服务操作之前,初始AMF决定是否进行水平KAMF推演,即图11所示的方法流程还包括S596:初始AMF决定是否进行水平KAMF推演。
如果初始AMF决定不进行水平KAMF推演,则初始AMF向第一AMF发送当前的安全上下文,包括当前的KAMF;
如果初始AMF决定进行水平KAMF推演,则初始AMF根据当前KAMF生成新的KAMF或新的安全上下文或新的NAS安全上下文,初始AMF向第一AMF发送新的KAMF或新的安全上下文或新的NAS安全上下文,并且初始AMF向第一AMF发送水平KAMF推演指示。该水平KAMF推演指示可称为keyAmfHDerivationInd。
可选地,初始AMF通过第一服务操作向第一AMF发送UE的安全上下文,包括当前安全上下文或新的KAMF或新的安全上下文或水平KAMF推演指示;可选地,初始AMF可以通过除上述第一服务操作之外的消息向第一AMF发送UE的安全上下文,包括当前安全上下文或新的KAMF或新的安全上下文或水平KAMF推演指示,本申请对于初始AMF如何向第一AMF发送UE的安全上下文的具体方式并不限制。
初始AMF决定是否进行水平KAMF推演可以是以下三种方式中的任意一种:
方式一:初始AMF不进行水平KAMF推演,即初始AMF发送当前的安全上下文给第一AMF;
方式二:初始AMF根据本地策略判断是否进行水平KAMF推演,即初始AMF根据本地策略确定进行水平KAMF推演,或,初始AMF根据本地策略确定不进行水平KAMF推演;
方式三:初始AMF根据第四预设条件判断是否进行水平KAMF推演,即如果初始AMF判断第四预设条件满足,则初始AMF不进行水平KAMF推演,也就是,初始AMF发送当前安全上下文给第一AMF;如果初始AMF判断第四预设条件不满足,则初始AMF根据本地策略判断是否进行水平KAMF推演,即初始AMF根据本地策略确定进行水平KAMF推演,或初始AMF根据本地策略确定不进行水平KAMF推演。其中第四预设条件为以下条件中的任意一种或者几种:
初始AMF和UE之间进行了NAS消息的安全交互;初始AMF和UE之间成功进行了NASSMC;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;UE和初始AMF之间进行了主认证;初始AMF选择了与第二AMF选择的安全算法不同的安全算法;初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生成的KAMF;初始AMF从第二AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第二AMF处接收到的KAMF;
与图2所示的注册流程不同的是,该实施例中,第一AMF接收到上述的第一服务操作之后,第一AMF执行以下选项中的任意一种:
选项一:第一AMF不进行主认证,或,第一AMF使用接收到的KAMF或安全上下文。
应理解第一AMF不进行主认证,或,第一AMF使用接收到的KAMF或安全上下文,是指该第一AMF跳过主认证,进行注册流程中的其他流程。在该选项一下,图11所示的方法流程还包括S5951:第一AMF跳过主认证或,第一AMF使用接收到的KAMF或安全上下文。该第一AMF基于接收到的KAMF或安全上下文保护第三消息,并将该第三消息发送给UE,图11所示的方法流程还包括S5952:第一AMF向UE发送第三消息。具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对第三消息进行保护。在这种选项下,第三消息为不包括认证请求的任意N1消息。
在该实施例中,第一AMF不进行主认证,即第一AMF使用接收到的KAMF或安全上下文。
选项二:第一AMF保护认证请求消息,和/或,第一AMF发送有安全保护的认证请求消息,和/或,第一AMF发送有安全保护的N1消息,包括认证请求消息。图11所示的方法流程还包括S5953:第一AMF保护认证请求消息。S5954:第一AMF向UE发送有安全保护的认证请求消息,其中,第一AMF向UE发送有安全保护的认证请求消息可以理解为第一AMF向UE发送有安全保护的N1消息,该N1消息包括认证请求消息。
应理解,第一AMF保护认证请求消息,即第一AMF基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息,具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对认证请求消息进行保护,并发送有安全保护的认证请求消息。
应理解,第一AMF发送有安全保护的认证请求消息,即第一AMF基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息,具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对认证请求消息进行保护,并发送有安全保护的认证请求消息。
应理解,在本实施例中,第一AMF发送有安全保护的N1消息,包括认证请求消息,即第一AMF基于接收到的KAMF或安全上下文保护认证N1消息、并发送有安全保护的N1消息,具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对N1消息进行保护,并发送有安全保护的N1消息。这里的N1消息包括认证请求消息。
选项三:第一AMF发送没有安全保护的认证请求消息,或第一AMF发起NAS SMC。图11所示的方法流程还包括S5955:第一AMF发起NAS SMC。S5956:第一AMF向UE发送没有安全保护的认证请求消息。
选项四:第一AMF不进行主认证;或第一AMF保护认证请求消息;或第一AMF发送有安全保护的N1消息,包括认证请求消息。图11所示的方法流程还包括S5956:第一AMF保护认证请求消息或第一AMF不进行主认证。S5957:第一AMF向UE发送有安全保护的认证请求消息,其中,第一AMF向UE发送有安全保护的认证请求消息可以理解为第一AMF向UE发送有安全保护的N1消息,该N1消息包括认证请求消息。
应理解,在该实施例中,第一AMF不进行主认证,即,第一AMF使用接收到的KAMF或安全上下文,是指该第一AMF跳过主认证,进行注册流程中的其他流程。在该实现方式下,该第一AMF基于接收到的KAMF或安全上下文保护第三消息;具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对第三消息进行保护。在这种选项下,第三消息为不包括认证请求的任意N1消息。
第一AMF保护认证请求消息,即第一AMF基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息,具体地,该第一AMF根据接收到的KAMF或安全上下文生成NAS加解密密钥和NAS完整性密钥,并采用生成的NAS加解密密钥和/或NAS完整性密钥对认证请求消息进行保护,并发送有安全保护的认证请求消息。
作为选项一的一种可能的实现方式:该第一AMF接收到上述的第一服务操作之后,则该第一AMF不进行主认证,或该第一AMF使用接收到的KAMF或安全上下文。
作为选项一的另一种可能的实现方式:该第一AMF接收到上述的第一服务操作之后,判断是否发生AMF重定向或者直接非接入层重路由(也称为direct NAS reroute)。如果发生AMF重定向或者直接非接入层重路由,则该第一AMF不进行主认证,或该第一AMF使用接收到的KAMF或安全上下文。该第一AMF根据第一服务操作中携带注册上下文容器信元(registrationCtxtContainer IE)来判断发生AMF重定向,和/或,第一AMF根据第一服务操作中通知的N1消息的类型是5GMM来判断发生AMF重定向。
作为选项一的又一种可能的实现方式:如果第一AMF接收到初始AMF发送的水平KAMF推演指示,则该第一AMF根据水平KAMF推演指示,不进行主认证,或使用接收到的KAMF或安全上下文。
如果第一AMF没有接收到初始AMF发送的水平KAMF推演指示,则第一AMF可执行以下操作中的任意一种:
操作一:第一AMF仍然不进行主认证,或使用接收到的KAMF或安全上下文;
操作二:第一AMF如果根据本地策略进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求消息;第一AMF如果根据本地策略不进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护N1消息,并发送有安全保护的N1消息;
操作三:第一AMF应基于接收到的KAMF或安全上下文保护N1消息,包括认证请求消息,并发送有安全保护的N1消息,包括有安全保护的认证请求消息。
作为选项一的一种可能的实现方式:如果第一AMF接收到初始AMF发送的第十指示信息,则该第一AMF根据第十指示信息,不进行主认证,或,使用接收到的KAMF或安全上下文。该第十指示信息用于指示第一AMF不进行主认证,或第一AMF使用接收到的KAMF或安全上下文。
在该实现方式下还包括在S595,该初始AMF调用第一AMF的第一服务操作之前,初始AMF确定向第一AMF发送第十指示信息(即图11所示的方法流程还包括S5961:初始AMF确定向第一AMF发送第十指示信息)。具体地,初始AMF判断第十预设条件满足时,初始AMF向第一AMF发送第十指示信息。相应地,第一AMF接收第十指示信息。可选地,初始AMF利用第一服务操作向第一AMF发送第十指示信息。第十预设条件为以下条件中的任意一种或者多种:
初始AMF和UE之间进行了NAS消息的安全交互;初始AMF和UE之间成功进行了NASSMC;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;初始AMF进行水平KAMF推演;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第二AMF选择的安全算法不同的安全算法;该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生成的KAMF;初始AMF从第二AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第二AMF处接收到的KAMF。
当第十预设条件不满足时,初始AMF不向第一AMF发送第十指示信息。则第一AMF没有接收到第十指示信息。如果第一AMF没有接收到第十指示信息,则第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应发送没有安全保护的认证请求消息,或第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息;
操作二:如果第一AMF决定不进行主认证,则第一AMF发送没有安全保护的N1消息或第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息;
操作三:第一AMF应发送没有安全保护的N1消息,包括认证请求消息。
操作四:第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息,包括认证请求消息。
如果第一AMF没有接收到第十指示信息,则第一AMF还可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,且第一AMF没有接收到水平KAMF推演指示,则第一AMF应发送没有安全保护的认证请求消息;或者第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息;
操作二:如果第一AMF接收到水平KAMF推演指示,则第一AMF应不进行主认证、或第一AMF使用接收到的KAMF或安全上下文,或第一AMF应进行NAS SMC。
操作三:如果第一AMF决定进行主认证,则第一AMF应发送没有安全保护的认证请求消息。
如果第一AMF没有接收到第十指示信息,则第一AMF还可以执行以下操作中的任意一种:
操作一:如果第一AMF决定进行主认证,且第一AMF没有接收到水平KAMF推演指示,则第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息;
操作二:如果第一AMF决定进行主认证,且第一AMF接收到水平KAMF推演指示,则第一AMF应发送没有安全保护的认证请求消息;
第十指示信息还可以用于指示以下的任意一种或多种:
初始AMF和UE之间进行了NAS消息的安全交互;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;初始AMF和UE之间成功进行了NAS SMC流程;初始AMF和UE进行主认证;初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用从第二AMF处接收到的KAMF或安全上下文;初始AMF进行了水平KAMF推演;初始AMF生成了新的KAMF;初始AMF选择了与第二AMF选择的安全算法不同的安全算法;第一AMF不进行主认证流程;第一AMF跳过主认证流程进行注册中的其他流程;第一AMF使用接收到的KAMF或安全上下文。
作为选项二的一种可能的实现方式:如果第一AMF接收到初始AMF发送的第九指示信息,则当第一AMF决定进行主认证时,该第一AMF根据第九指示信息,应保护认证请求消息,具体地,第一AMF基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求消息,或者第一AMF根据第九指示信息应发送有安全保护的N1消息,包括认证请求消息。该第九指示信息用于指示第一AMF保护认证请求消息。
在该实现方式下还包括在在S595,该初始AMF调用第一AMF的第一服务操作之前,初始AMF确定向第一AMF发送第九指示信息(即图11所示的方法流程还包括S5962:初始AMF确定向第一AMF发送第九指示信息)。具体地,初始AMF判断第九预设条件满足时,初始AMF向第一AMF发送第九指示信息。相应地,第一AMF接收第九指示信息。可选地,初始AMF利用第一服务操作向第一AMF发送第九指示信息。第九预设条件为以下条件中的任意一种或者多种:
初始AMF和UE之间进行了NAS消息的安全交互;初始AMF和UE之间成功进行了NASSMC;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第二AMF选择的安全算法不同的安全算法;该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生成的KAMF。初始AMF从第二AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第二AMF处接收到的KAMF。
当第九预设条件不满足时,初始AMF不向第一AMF发送第九指示信息。则第一AMF没有接收到第九指示信息。如果第一AMF没有接收到第九指示信息,第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应发送没有安全保护的认证请求消息;
操作二:如果第一AMF决定不进行主认证,则第一AMF发送没有安全保护的N1消息或第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息;
操作三:第一AMF应发送没有安全保护的N1消息,包括认证请求消息。
操作四:如果第一AMF决定进行主认证,且第一AMF没有接收到水平KAMF推演指示,则第一AMF应发送没有安全保护的认证请求消息,或第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证请求消息。
操作五:如果第一AMF决定进行主认证,且第一AMF接收到水平KAMF推演指示,则第一AMF应发送没有安全保护的认证请求消息。
第九指示信息还可以用于指示以下的任意一种或多种:
第一AMF应保护认证请求消息;第一AMF应发送有安全保护认证请求消息;第一AMF应保护认证请求消息;第一AMF应发送有安全保护的N1消息,包括认证请求消息。
初始AMF和UE之间进行了NAS消息的安全交互;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;初始AMF和UE之间成功进行了NAS SMC流程;初始AMF和UE进行主认证;初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用从第二AMF处接收到的KAMF或安全上下文;初始AMF选择了与第二AMF选择的安全算法不同的安全算法。
作为选项二的一种可能的实现方式:该第一AMF接收到上述的第一服务操作之后,判断是否发生AMF重定向或者直接非接入层重路由(也称为direct NAS reroute)。如果发生AMF重定向或者直接非接入层重路由,则当第一AMF决定进行主认证时,该第一AMF应保护认证请求消息,具体地,第一AMF基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求消息,或者第一AMF应发送有安全保护的N1消息,包括认证请求消息。该第一AMF根据第一服务操作中携带注册上下文容器信元(registrationCtxtContainer IE)来判断发生AMF重定向,和/或,第一AMF根据第一服务操作中通知的N1消息的类型是5GMM来判断发生AMF重定向。
作为选项二的另一种可能的实现方式:该第一AMF接收到上述的第一服务操作之后,如果第一AMF决定进行主认证时,该第一AMF应保护认证请求消息,或者,第一AMF应发送有安全保护的N1消息,包括认证请求消息。第一AMF应保护认证请求消息,即第一AMF基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求消息;第一AMF应发送有安全保护的N1消息,即第一AMF基于接收到的KAMF或安全上下文保护N1消息,并发送有安全保护的N1消息。
作为选项三的一种可能的实现方式:如果第一AMF接收到初始AMF发送的第八指示信息,则当第一AMF决定进行主认证时,该第一AMF根据第八指示信息,应发送没有安全保护的认证请求消息,或者第一AMF应根据第八指示信息,发起NAS SMC。该第八指示信息,用于指示第一AMF发送没有安全保护的认证请求消息。第八指示信息可为水平KAMF推演指示。
在该实现方式下还包括在在S595,该初始AMF调用第一AMF的第一服务操作之前,初始AMF确定向第一AMF发送第八指示信息(即图11所示的方法流程还包括S5963:初始AMF向第一AMF发送第八指示信息)。具体地,初始AMF判断第八预设条件满足时,初始AMF向第一AMF发送第八指示信息。相应地,第一AMF接收第八指示信息。可选地,初始AMF利用第一服务操作向第一AMF发送第八指示信息。第八预设条件为以下条件中的任意一种或者多种:初始AMF进行水平KAMF推演,或初始AMF生成新的KAMF。
当第八预设条件不满足时,初始AMF不向第一AMF发送第八指示信息。则第一AMF没有接收到第八指示信息。如果第一AMF没有接收到第八指示信息,第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求信息。
操作二:如果第一AMF决定不进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息;
操作三:第一AMF应基于接收到的KAMF或安全上下文保护的N1消息,并发送有安全保护的N1消息,包括认证请求消息。
第八指示信息还可以用于指示以下的任意一种或多种:
初始AMF进行水平KAMF推演;初始AMF生成新的KAMF;第一AMF应发送没有安全保护的认证请求消息;第一AMF应发起NAS SMC。
作为选项四的一种可能的实现方式:如果第一AMF接收到水平KAMF推演指示,则,第一AMF应不进行主认证,或第一AMF应使用接收到的KAMF或安全上下文,或第一AMF发起NASSMC。否则如果第一AMF没有接收到水平KAMF推演指示,但是接收到第七指示信息,则:
第一AMF如果决定发起主认证,根据第七指示信息,第一AMF应发送有安全保护的认证请求消息,或者,
第一AMF根据第七指示信息,应发送有安全保护的N1消息,包括认证请求消息。
该第七指示信息,用于指示第一AMF发送有安全保护的认证请求消息,或第一AMF发送有安全保护的N1消息。
在该实现方式下还包括在在S595,该初始AMF调用第一AMF的第一服务操作之前,初始AMF确定向第一AMF发送第七指示信息(即图11所示的方法流程还包括S5964:初始AMF确定向第一AMF发送第七指示信息)。具体地,初始AMF判断第七预设条件满足时,初始AMF向第一AMF发送第七指示信息。相应地,第一AMF接收第七指示信息。可选地,初始AMF利用第一服务操作向第一AMF发送第七指示信息。第七预设条件为以下条件中的任意一种或多种:
初始AMF和UE之间进行了NAS消息的安全交互;初始AMF和UE之间成功进行了NASSMC;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第二AMF选择的安全算法不同的安全算法;该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生成的KAMF;该初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用从第二AMF处接收到的KAMF或安全上下文。
当第七预设条件不满足时,初始AMF不向第一AMF发送第七指示信息。则第一AMF没有接收到第七指示信息。如果第一AM没有接收到第七指示信息,也没有接收到水平KAMF推演指示,则第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息,并发送有安全保护的认证请求信息,或第一AMF发送没有安全保护的认证请求消息。
操作二:如果第一AMF决定不进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息,或第一AMF应发送没有安全保护的N1消息。
操作三:第一AMF应基于接收到的KAMF或安全上下文保护的N1消息,并发送有安全保护的N1消息,包括认证请求消息。
操作四:第一AMF应发送没有安全保护的N1消息,包括认证请求消息。
第七指示信息还可以用于指示以下的任意一种或多种:
初始AMF和UE之间进行了NAS消息的安全交互;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;初始AMF和UE之间成功进行了NAS SMC流程;初始AMF和UE进行主认证;初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用从第二AMF处接收到的KAMF或安全上下文;初始AMF选择了与第二AMF选择的安全算法不同的安全算法;第一AMF应发送有安全保护的认证请求消息;第一AMF应保护认证请求消息;第一AMF应发送有安全保护的N1消息,包括认证请求消息。
作为选项四的另一种可能的实现方式:如果第一AMF接收到的第六指示信息和水平KAMF推演指示,则第一AMF应不进行主认证,或第一AMF应使用接收到的KAMF或安全上下文。否则如果第一AMF没有接收到水平KAMF推演指示,但是接收到第六指示信息,则第一AMF如果决定发起主认证,根据第六指示信息,第一AMF应发送有安全保护的认证请求消息;或者,
第一AMF根据第六指示信息,应发送有安全保护的N1消息,N1消息包括认证请求消息。
该第六指示信息,用于指示第一AMF发送有安全保护的认证请求消息。
在该实现方式下还包括在在S595,该初始AMF调用第一AMF的第一服务操作之前,初始AMF确定向第一AMF发送第六指示信息(即图11所示的方法流程还包括S5964:初始AMF确定向第一AMF发送第六指示信息)。具体地,初始AMF判断第六预设条件满足时,初始AMF向第一AMF发送第六指示信息。相应地,第一AMF接收第六指示信息。可选地,初始AMF利用第一服务操作向第一AMF发送第六指示信息。第六预设条件为以下条件中的任意一种或者多种:
初始AMF和UE之间进行了NAS消息的安全交互;初始AMF和UE之间成功进行了NASSMC;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第二AMF选择的安全算法不同的安全算法;该初始AMF使用了从第二AMF处接收到的由水平KAMF推演后生成的KAMF;该初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用从第二AMF处接收到的KAMF和安全上下文。
当第六预设条件不满足时,初始AMF不向第一AMF发送第六指示信息。则第一AMF没有接收到第六指示信息。如果第一AMF没有接收到第六指示信息,但是接收到水平KAMF推演指示,则第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应发送没有安全保护的认证请求消息。
操作二:如果第一AMF决定不进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息,或第一AMF应发送没有安全保护的N1消息,或第一AMF发起NAS SMC;
操作三:第一AMF应发送没有安全保护的N1消息,包括认证请求消息。
如果第一AMF没有接收到第六指示信息,也没有接收到水平KAMF推演指示,则第一AMF可执行以下操作的任意一种:
操作一:如果第一AMF决定进行主认证,则第一AMF应发送没有安全保护的认证请求消息,或第一AMF应基于接收到的KAMF或安全上下文保护认证请求消息、并发送有安全保护的认证消息。
操作二:如果第一AMF决定不进行主认证,则第一AMF应基于接收到的KAMF或安全上下文保护N1消息、并发送有安全保护的N1消息,或第一AMF应发送没有安全保护的N1消息;
操作三:第一AMF应发送没有安全保护的N1消息,包括认证请求消息。
操作四:第一AMF应发送有安全保护的N1消息,包括认证请求消息。
第六指示信息还可以用于指示以下的任意一种或多种:
初始AMF和UE之间进行了NAS消息的安全交互;UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;初始AMF和UE之间成功进行了NAS SMC流程;初始AMF和UE进行主认证;初始AMF从第二AMF处接收到水平KAMF推演指示,并决定使用接收到的KAMF或安全上下文;初始AMF决定使用从第二AMF处接收到的由水平KAMF推演生成的KAMF;初始AMF选择了与第二AMF选择的安全算法不同的安全算法;第一AMF应发送有安全保护的认证请求消息;第一AMF应保护认证请求消息;第一AMF应发送有保护的N1消息,包括认证请求消息。
图11所示的方法流程,通过使第一AMF不做主认证或保护认证请求消息,从而避免UE丢弃接收到未经保护的认证请求消息。
还应理解,上述方法实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
上面结合图3、图4和图11详细介绍了本申请实施例提供的用于注册的方法,下面结合图5-图10详细介绍本申请实施例提供的用于注册的装置。
参见图5,图5是本申请提出的用于注册的装置10的示意图。如图5所示,装置10包括接收单元110和处理单元120。
接收单元110,用于接收来自第一AMF的保护的第一消息;
处理单元120,用于处理所述保护的第一消息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
为了便于描述,用于注册的装置10接收并处理保护的第一消息可以描述为用于注册的装置10接受(accept)保护的第一消息。
本申请实施例中对于UE的处理单元如何处理接收到的经保护的第一消息并不限制,可以参考目前协议中相关的规定,例如,参考目前协议中规定的UE如何处理保护的消息,获得消息中的信息,这里不赘述。
装置10和方法实施例中的用户设备完全对应,装置10可以是方法实施例中的用户设备,或者方法实施例中的用户设备内部的芯片或功能模块。装置10的相应单元用于执行图3、图4和图11所示的方法实施例中由用户设备执行的相应步骤。
其中,装置10中的接收单元110执行方法实施例中用户设备接收的步骤。例如,执行图3中接收初始AMF发送的NAS安全模式命令消息的步骤S350、执行图3中接收第一AMF发送的保护的第一消息的步骤S301、执行图4中接收初始AMF发送的NAS安全模式命令消息的步骤S450、执行图4中接收第一AMF发送的未经保护的第一消息的步骤S496、执行图4中接收初始AMF发送的第二指示信息的步骤S481、执行图11中接收初始AMF发送的NAS安全模式命令消息的步骤S550、执行图11中接收第一AMF发送的第三消息的步骤S5952、执行图11中接收第一AMF发送的有安全保护的认证请求消息的步骤S5954和S5957、执行图11中接收第一AMF发送的没有安全保护的认证请求消息的步骤S5956。
装置10中的处理单元120执行方法实施例中用户设备内部实现或处理的步骤。例如,执行图3中与初始AMF进行主认证的步骤S340、执行图4中与初始AMF进行主认证的步骤S440、执行图11中与初始AMF进行主认证的步骤S540。
装置10中所示的用于注册的装置还可能包括发送单元(图5中并未示出),发送单元用于执行向其他设备发送消息的功能。例如,执行执行图3中向初始AMF发送RR消息的步骤S310、执行执行图3中向初始AMF发送NAS安全模式完成消息的步骤S360、执行执行图4中向初始AMF发送RR消息的步骤S410、执行执行图4中向初始AMF发送NAS安全模式完成消息的步骤S460。
接收单元110和发送单元可以组成收发单元,同时具有接收和发送的功能。其中,处理单元120可以是处理器。发送单元可以是接收器。接收单元110可以是发射器。接收器和发射器可以集成在一起组成收发器。
参见图6,图6是适用于本申请实施例的用户设备20的结构示意图。该用户设备20可应用于图1所示出的***中。为了便于说明,图6仅示出了用户设备的主要部件。如图6所示,用户设备20包括处理器、存储器、控制电路、天线以及输入输出装置。处理器用于控制天线以及输入输出装置收发信号,存储器用于存储计算机程序,处理器用于从存储器中调用并运行该计算机程序,以执行本申请提出的用于注册的方法中由用户设备执行的相应流程和/或操作。此处不再赘述。
本领域技术人员可以理解,为了便于说明,图6仅示出了一个存储器和处理器。在实际的用户设备中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
参见图7,图7是本申请提出的用于注册的装置30的示意图。如图7所示,装置30包括处理单元310和发送单元320。
处理单元310,用于确定向第一AMF发送第一指示信息,所述第一指示信息用于指示所述第一AMF对第一消息进行保护;
发送单元320,用于向所述第一AMF发送所述第一指示信息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
装置30和方法实施例中的初始AMF完全对应,装置30可以是方法实施例中的初始AMF,或者方法实施例中的初始AMF内部的芯片或功能模块。装置30的相应单元用于执行图3、图4和图11所示的方法实施例中由初始AMF执行的相应步骤。
其中,装置30中的处理单元310执行方法实施例中初始AMF内部实现或处理的步骤。例如,执行图3中确定向第一AMF发送第一指示信息的步骤S396、执行图11中确定是否进行水平KAMF推演的步骤S596、执行图11中确定确定向第一AMF发送第十指示信息的步骤S5961、执行图11中确定确定向第一AMF发送第九指示信息的步骤S5962、执行图11中确定确定向第一AMF发送第八指示信息的步骤S5963、执行图11中确定确定向第一AMF发送第六或第七指示信息的步骤S5964。
装置30中的发送单元320执行方法实施例中初始AMF发送的步骤。例如,执行图3中向第二AMF发送第六服务操作的步骤S320、执行图3中向UE发送NAS安全模式命令消息的步骤S350、执行图3中向UDM发送第二服务操作的步骤S370、执行图3中向NSSF发送第三服务操作的步骤S390、执行图3中向第二AMF发送第四服务操作的步骤S392、执行图3中向NRF发送第五服务操作的步骤S393、执行图3中向第一AMF发送第一服务操作的S395、执行图4中向第二AMF发送第六服务操作的步骤S420、执行图4中向UE发送NAS安全模式命令消息的步骤S450、执行图4中向UDM发送第二服务操作的步骤S470、执行图4中向NSSF发送第三服务操作的步骤S490、执行图4中向第二AMF发送第四服务操作的步骤S492、执行图4中向NRF发送第五服务操作的步骤S493、执行图4中向第一AMF发送第一服务操作的S495、执行图4中向UE发送第二指示信息的S481、执行图11中向第二AMF发送第六服务操作的步骤S520、执行图11中向UE发送NAS安全模式命令消息的步骤S550、执行图11中向UDM发送第二服务操作的步骤S570、执行图11中向NSSF发送第三服务操作的步骤S590、执行图11中向第二AMF发送第四服务操作的步骤S592、执行图11中向NRF发送第五服务操作的步骤S593、执行图11中向第一AMF发送第一服务操作的S595。
装置30中所示的用于注册的装置还可能包括接收单元(图7中并未示出),接收单元用于执行接收其他设备发送的消息的功能。例如,执行图3中接收UE发送的RR消息的步骤S310、执行图3中接收UE发送的NAS安全模式完成消息的步骤S360、执行图3中接收第二AMF发送的第六服务操作响应的步骤S330、执行图3中接收UDM发送的第二服务操作响应的步骤S380、执行图3中接收NSSF发送的第三服务操作响应的步骤S391、执行图3中接收NRF发送的第五服务操作响应的步骤S394、执行图4中接收UE发送的RR消息的步骤S410、执行图4中接收UE发送的NAS安全模式完成消息的步骤S460、执行图4中接收第二AMF发送的第六服务操作响应的步骤S430、执行图4中接收UDM发送的第二服务操作响应的步骤S480、执行图4中接收NSSF发送的第三服务操作响应的步骤S491、执行图4中接收NRF发送的第五服务操作响应的步骤S494、执行图11中接收UE发送的RR消息的步骤S510、执行图11中接收UE发送的NAS安全模式完成消息的步骤S560、执行图11中接收第二AMF发送的第六服务操作响应的步骤S530、执行图11中接收UDM发送的第二服务操作响应的步骤S580、执行图11中接收NSSF发送的第三服务操作响应的步骤S591、执行图11中接收NRF发送的第五服务操作响应的步骤S594。
接收单元和发送单元320可以组成收发单元,同时具有接收和发送的功能。其中,处理单元310可以是处理器。发送单元320可以是接收器。接收单元可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图8所示,本申请实施例还提供了一种初始AMF 40,该初始AMF 40包括处理器410,存储器420与收发器430,其中,存储器420中存储指令或程序,处理器430用于执行存储器420中存储的指令或程序。存储器420中存储的指令或程序被执行时,收发器430用于执行图7所示的装置30中的发送单元320执行的操作。
参见图9,图9是本申请提出的用于注册的装置50的示意图。如图9所示,装置50包括接收单元510、处理单元520和发送单元530。
接收单元510,用于接收来自初始AMF的第一指示信息;
处理单元520,用于根据所述第一指示信息对第一消息进行保护;
发送单元530,用于向用户设备UE发送保护的所述第一消息,其中,所述用于注册的装置为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
装置50和方法实施例中的第一AMF完全对应,装置50可以是方法实施例中的第一AMF,或者方法实施例中的第一AMF内部的芯片或功能模块。装置50的相应单元用于执行图3、图4和图11所示的方法实施例中由第一AMF执行的相应步骤。
其中,装置50中的接收单元510执行方法实施例中第一AMF接收的步骤。例如,执行图3中接收初始AMF发送第一服务操作的步骤S395、执行图4中接收初始AMF发送第一服务操作的步骤S495。
处理单元520执行方法实施例中第一AMF内部实现或处理的步骤。例如,执行图3中判断发生了AMF重定向的步骤S399、执行图3中对第一消息进行保护的步骤S398、执行图3中根据第一指示信息不进行主认证的步骤S302、执行图3中根据第一服务操作不进行主认证的步骤S303、执行图11中跳过主认证的步骤S5951、执行图11中保护认证请求消息的步骤S5953、执行图11中发起主认证的步骤S5955、执行图11中跳过主认证或保护认证请求消息的步骤S5956。
发送单元530执行方法实施例中第一AMF发送的步骤。例如,执行图3中向UE发送保护的第一消息的步骤S301、执行图4中向UE发送未保护的第一消息的步骤S496、执行图11中向UE发送第三消息的步骤S5952、执行图11中向UE发送有安全保护的认证请求消息的步骤S5954和S5957、执行图11中向UE发送没有安全保护的认证请求消息的步骤S5956。
接收单元510和发送单元530可以组成收发单元,同时具有接收和发送的功能。其中,处理单元520可以是处理器。发送单元530可以是接收器。接收单元510可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图10所示,本申请实施例还提供了一种第一AMF 60,该第一AMF 60包括处理器610,存储器620与收发器630,其中,存储器620中存储指令或程序,处理器630用于执行存储器620中存储的指令或程序。存储器620中存储的指令或程序被执行时,收发器630用于执行图9所示的装置50中的接收单元510与发送单元530执行的操作。
本申请实施例还提供一种通信***,其包括前述的初始AMF、第一AMF和一个或多个用户设备。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图3、图4和图11所示的方法中初始AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图3、图4和图11所示的方法中第一AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图3、图4和图11所示的方法中用户设备执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图3、图4和图11所示的方法中初始AMF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图3、图4和图11所示的方法中第一AMF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图3、图4和图11所示的方法中用户设备执行的各个步骤。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于注册的方法中由用户设备执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的用于注册的方法中由初始AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的用于注册的方法中由第一AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
应理解,上述的芯片也可以替换为芯片***,这里不再赘述。
本申请中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另外,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系;本申请中术语“至少一个”,可以表示“一个”和“两个或两个以上”,例如,A、B和C中至少一个,可以表示:单独存在A,单独存在B,单独存在C、同时存在A和B,同时存在A和C,同时存在C和B,同时存在A和B和C,这七种情况。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (23)
1.一种用于注册的方法,其特征在于,包括:
第一接入和移动管理功能AMF接收来自初始AMF的第一指示信息;
所述第一AMF根据所述第一指示信息对第一消息进行保护;
所述第一AMF向用户设备UE发送保护的所述第一消息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
2.根据权利要求1所述的方法,其特征在于,所述第一AMF接收来自初始AMF的第一指示信息包括:
所述第一AMF接收来自所述初始AMF的第一服务操作,所述第一服务操作中包括所述第一指示信息。
3.根据权利要求2所述的方法,其特征在于,所述第一服务操作中还包括非接入层NAS安全上下文;
所述第一AMF对第一消息进行保护包括:
所述第一AMF使用所述NAS安全上下文对所述第一消息进行保护。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述第一指示信息用于指示以下情况中的至少一种:
所述UE和所述初始AMF之间进行了NAS消息的安全交互、所述第一AMF使用接收到的NAS安全上下文保护所述第一消息、所述UE和所述初始AMF之间建立安全上下文。
5.一种用于注册的方法,其特征在于,包括:
初始接入和移动管理功能AMF确定向第一AMF发送第一指示信息,所述第一指示信息用于指示所述第一AMF对第一消息进行保护;
所述初始AMF向所述第一AMF发送所述第一指示信息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
6.根据权利要求5所述的方法,其特征在于,所述初始AMF确定向第一AMF发送第一指示信息包括:
所述初始AMF基于第一预设条件确定向第一AMF发送第一指示信息,其中,所述第一预设条件包括所述UE和所述初始AMF之间进行了NAS消息的安全交互或所述UE和所述初始AMF之间建立了安全上下文。
7.根据权利要求5或6所述的方法,其特征在于,所述初始AMF向所述第一AMF发送所述第一指示信息包括:
所述初始AMF向所述第一AMF发送第一服务操作,所述第一服务操作中包括所述第一指示信息。
8.根据权利要求7所述的方法,其特征在于,所述第一服务操作中还包括NAS安全上下文。
9.根据权利要求5-8中任一项的方法,其特征在于,所述第一指示信息用于指示以下情况的至少一种:
所述UE和所述初始AMF之间进行了NAS消息的安全交互、所述第一AMF使用所述NAS安全上下文保护第一消息、所述UE和所述初始AMF之间建立了安全上下文。
10.一种用于注册的方法,其特征在于,包括:
用户设备UE接受来自第一AMF的保护的第一消息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
11.一种用于注册的装置,其特征在于,包括:
接收单元,用于接收来自初始AMF的第一指示信息;
处理单元,用于根据所述第一指示信息对第一消息进行保护;
发送单元,用于向用户设备UE发送保护的所述第一消息,其中,所述用于注册的装置为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
12.根据权利要求11所述的装置,其特征在于,所述接收单元接收来自初始AMF的第一指示信息包括:
所述接收单元接收来自所述初始AMF的第一服务操作,所述第一服务操作中包括所述第一指示信息。
13.根据权利要求12所述的装置,其特征在于,所述第一服务操作中还包括非接入层NAS安全上下文;
所述处理单元对第一消息进行保护包括:
所述处理单元使用所述NAS安全上下文对所述第一消息进行保护。
14.根据权利要求11-13中任一项所述的装置,其特征在于,所述第一指示信息用于指示以下情况中的至少一种:
所述UE和所述初始AMF之间进行了NAS消息的安全交互、所述第一AMF使用接收到的NAS安全上下文保护所述第一消息、所述UE和所述初始AMF之间建立安全上下文。
15.一种用于注册的装置,其特征在于,包括:
处理单元,用于确定向第一AMF发送第一指示信息,所述第一指示信息用于指示所述第一AMF对第一消息进行保护;
发送单元,用于向所述第一AMF发送所述第一指示信息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
16.根据权利要求15所述的装置,其特征在于,所述处理单元确定向第一AMF发送第一指示信息包括:
所述处理单元基于第一预设条件确定向第一AMF发送第一指示信息,其中,所述第一预设条件包括所述UE和所述初始AMF之间进行了NAS消息的安全交互或所述UE和所述初始AMF之间建立了安全上下文。
17.根据权利要求15或16所述的装置,其特征在于,所述发送单元向所述第一AMF发送所述第一指示信息包括:
所述发送单元向所述第一AMF发送第一服务操作,所述第一服务操作中包括所述第一指示信息。
18.根据权利要求17所述的装置,其特征在于,所述第一服务操作中还包括NAS安全上下文。
19.根据权利要求15-18中任一项的装置,其特征在于,所述第一指示信息用于指示以下情况的至少一种:
所述UE和所述初始AMF之间进行了NAS消息的安全交互、所述第一AMF使用所述NAS安全上下文保护第一消息、所述UE和所述初始AMF之间建立安全上下文。
20.一种用于注册的装置,其特征在于,包括:
处理单元,用于接受来自第一AMF的保护的第一消息,其中,所述第一AMF为进行AMF重定向时选择的为所述UE服务的目标AMF,所述第一消息为以下消息的一种:
认证请求消息、N1消息、或除非接入层安全模式命令消息NAS SMC之外的N1消息。
21.一种通信设备,其特征在于,包括:
存储器,所述存储器用于存储计算机程序;
收发器,所述收发器用于执行收发步骤;
处理器,所述处理器用于从所述存储器中调用并运行所述计算机程序,使得所述通信设备执行权利要求1-10中任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,包括:所述计算机可读介质存储有计算机程序;所述计算机程序在计算机上运行时,使得计算机执行权利要求1-10中任一项所述的方法。
23.一种通信***,其特征在于,包括:
权利要求11-14中任一项所述的用于注册的装置、权利要求15-19中任一项所述的用于注册的装置和权利要求20所述的用于注册的装置。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2020/113777 WO2021057456A1 (zh) | 2019-09-29 | 2020-09-07 | 用于注册的方法和装置 |
EP20848683.7A EP3826341A4 (en) | 2019-09-29 | 2020-09-07 | METHOD AND DEVICE FOR USE IN REGISTRATION |
US17/180,032 US11606768B2 (en) | 2019-09-29 | 2021-02-19 | Method and apparatus for registration |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2019109324600 | 2019-09-29 | ||
CN201910932460 | 2019-09-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112654046A true CN112654046A (zh) | 2021-04-13 |
Family
ID=75343248
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911089396.0A Pending CN112654046A (zh) | 2019-09-29 | 2019-11-08 | 用于注册的方法和装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11606768B2 (zh) |
EP (1) | EP3826341A4 (zh) |
CN (1) | CN112654046A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022228455A1 (zh) * | 2021-04-28 | 2022-11-03 | 华为技术有限公司 | 一种通信方法以及相关装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11800346B2 (en) * | 2021-06-25 | 2023-10-24 | Cisco Technology, Inc. | Dual access and mobility management function support for supporting optimized 5G core deployments |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180106998A (ko) * | 2017-03-21 | 2018-10-01 | 한국전자통신연구원 | 등록 지역을 최적화하는 통신 시스템 및 상기 통신 시스템에서의 등록 방법 |
US20190007500A1 (en) * | 2017-07-03 | 2019-01-03 | Electronics And Telecommunications Research Institute | Method for protocol data unit (pdu) session anchor relocation and 5g network registration |
WO2019141520A1 (en) * | 2018-01-17 | 2019-07-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Security mechanism for interworking with independent seaf in 5g networks |
US20190281649A1 (en) * | 2018-03-06 | 2019-09-12 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for protection of an initial non-access stratum (nas) message |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10397892B2 (en) | 2017-02-06 | 2019-08-27 | Huawei Technologies Co., Ltd. | Network registration and network slice selection system and method |
CN109257815B (zh) | 2017-07-14 | 2021-01-22 | 电信科学技术研究院 | 一种注册请求的管理方法和装置 |
WO2019034021A1 (zh) | 2017-08-14 | 2019-02-21 | 华为技术有限公司 | 一种异***互操作的方法及装置 |
WO2019072681A1 (en) | 2017-10-10 | 2019-04-18 | Nokia Technologies Oy | AMF 5G NODE CHANGE IN CASE OF OVERLOAD |
WO2021093160A1 (en) * | 2020-01-15 | 2021-05-20 | Zte Corporation | Secure handling of registration in wireless communications |
-
2019
- 2019-11-08 CN CN201911089396.0A patent/CN112654046A/zh active Pending
-
2020
- 2020-09-07 EP EP20848683.7A patent/EP3826341A4/en active Pending
-
2021
- 2021-02-19 US US17/180,032 patent/US11606768B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180106998A (ko) * | 2017-03-21 | 2018-10-01 | 한국전자통신연구원 | 등록 지역을 최적화하는 통신 시스템 및 상기 통신 시스템에서의 등록 방법 |
US20190007500A1 (en) * | 2017-07-03 | 2019-01-03 | Electronics And Telecommunications Research Institute | Method for protocol data unit (pdu) session anchor relocation and 5g network registration |
WO2019141520A1 (en) * | 2018-01-17 | 2019-07-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Security mechanism for interworking with independent seaf in 5g networks |
US20190281649A1 (en) * | 2018-03-06 | 2019-09-12 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for protection of an initial non-access stratum (nas) message |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022228455A1 (zh) * | 2021-04-28 | 2022-11-03 | 华为技术有限公司 | 一种通信方法以及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
US20210185631A1 (en) | 2021-06-17 |
EP3826341A1 (en) | 2021-05-26 |
US11606768B2 (en) | 2023-03-14 |
EP3826341A4 (en) | 2021-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2019062996A1 (zh) | 一种安全保护的方法、装置和*** | |
CN110830993B (zh) | 一种数据处理的方法、装置和计算机可读存储介质 | |
CN108605225B (zh) | 一种安全处理方法及相关设备 | |
JP2011524097A (ja) | ハンドオーバーのためのマルチホップ暗号分離を与える方法、装置及びコンピュータプログラム手順 | |
CN111052675B (zh) | 以会话为粒度进行安全激活的***和方法 | |
CN114145032B (zh) | 获取安全上下文的方法、装置和通信*** | |
CN109803350B (zh) | 一种安全通信方法和装置 | |
US11606768B2 (en) | Method and apparatus for registration | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
AU2022204263A1 (en) | Information sending method, key generation method, and apparatus | |
WO2021057456A1 (zh) | 用于注册的方法和装置 | |
WO2019213925A1 (zh) | 密钥更新方法、设备和存储介质 | |
WO2023016395A1 (zh) | 一种安全通信的方法及通信装置 | |
CN115915114A (zh) | 注册方法及装置 | |
CN117998305A (zh) | 语音通话方法和装置 | |
CN116033464A (zh) | 信息传输的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |