CN112738881B - 一种网络注册方法及装置 - Google Patents
一种网络注册方法及装置 Download PDFInfo
- Publication number
- CN112738881B CN112738881B CN202011642923.9A CN202011642923A CN112738881B CN 112738881 B CN112738881 B CN 112738881B CN 202011642923 A CN202011642923 A CN 202011642923A CN 112738881 B CN112738881 B CN 112738881B
- Authority
- CN
- China
- Prior art keywords
- access network
- network device
- message
- security context
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种网络注册方法,应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备包括终端设备与第二接入网设备建立的第一安全上下文,该方法包括:向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示目标参数P0为第一参数值,P0为映射密钥;接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。该方法可提高终端设备在通信网络上的注册成功率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络注册方法及装置。
背景技术
5G多模终端若在4G网络注册成功,则会与4G网络间建立了一套安全上下文。在该5G多模终端的移动过程中,可能会与该4G网络断开连接,驻留至5G网络。5G多模终端在该5G网络进行注册的过程中,5G网络若选择使用该5G多模终端在4G网络中建立的安全上下文,则5G多模终端和5G网络可以将该4G网络的安全上下文映射成5G网络的安全上下文进行使用。
需要说明的是,5G多模终端和5G网络将4G网络的安全上下文映射成5G网络的安全上下文是相对独立的。映射时,需要保证5G多模终端和5G网络中用于映射的信息相同,若两者的这些信息不相同,则会导致5G多模终端的映射结果与5G网络的映射结果不一致。映射结果不一致就会进一步导致5G多模终端在5G网络中注册失败。
发明内容
本申请公开了一种网络注册方法及装置,可以提高终端设备在通信网络上的注册成功率。
第一方面,本申请实施例提供了一种网络注册方法,应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,该方法包括:
向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示映射密钥P0为第一参数值;
接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。
在一实施方式中,将目标字段的值设置为P0的低8位,P0为非接入层上行计数值NAS Uplink Count Value;向第一接入网设备发送包括设置了指示P0的低8位的目标字段的注册请求消息。
在一实施方式中,向第一接入网设备发送注册请求消息之前,注册接入第二接入网设备,并与第二接入网设备建立第一安全上下文;向第二接入网设备发送非接入层NAS消息,NAS消息包括P0;若未确定NAS消息成功发送至第二接入网设备,进入空闲态,且检测到从第二接入网设备切换到第一接入网设备,则触发向第一接入网设备发送注册请求消息。
在一实施方式中,若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息之后,接收第一接入网设备发送的注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
第二方面,本申请实施例提供了一种网络注册方法,应用于第一接入网设备,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,该方法包括:
接收终端设备发送的注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示P0为第一参数值,P0为非接入层上行计数值NAS Uplink Count Value;
根据EPS序列号将P0由第二参数值修改为第一参数值;
根据修改后的P0对第一安全上下文进行映射得到第二安全上下文;
根据第二安全上下文处理得到安全模式命令消息;
向终端设备发送安全模式命令消息。
在一实施方式中,向终端设备发送安全模式命令消息之后,接收终端设备发送的安全模式完成消息;向终端设备发送注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
第三方面,本申请实施例提供了一种网络注册方法,应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,该方法包括:
接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第三安全上下文处理得到的,第三安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息,安全模式拒绝消息包括整数检测失败Integrity check failure信息,Integrity check failure信息用于指示获取第四安全上下文;
接收第一接入网设备发送的注册接受消息,注册接受消息是第一接入网设备基于第四安全上下文生成的。
在一实施方式中,若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息之后,接收第一接入网设备发送的授权请求消息;向第一接入网设备发送授权响应消息,授权响应消息用于指示生成第四安全上下文。
在一实施方式中,第四安全上下文是第一接入网设备保存的终端设备的本地安全上下文。
第四方面,本申请实施例提供了一种网络注册方法,应用于第一接入网设备,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,该方法包括:
接收终端设备发送的安全模式拒绝消息;
若安全模式拒绝消息包括整数检测失败字段,则向终端设备发送授权请求消息;
接收终端设备发送的授权响应信息,并生成第四安全上下文,第四安全上下文与第一安全上下文不同;
向终端设备发送安全模式命令消息,安全模式命令消息是根据第四安全上下文处理得到的;
接收终端设备发送的安全模式完成消息;
若对安全模式完成消息进行完整性检查成功,则向终端设备发送注册接受消息。
在一实施方式中,接收终端设备发送的安全模式拒绝消息之后,若安全模式拒绝消息包括整数检测失败字段,且第一接入网设备包括本地安全上下文,则使用本地安全上下文对注册接受消息进行处理,本地安全上下文与第一安全上下文或第四安全上下文不同;向终端设备发送处理后的注册接受消息。
第五方面,本申请实施例提供了一种网络注册装置,应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,该装置包括:
收发单元,用于向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示映射密钥P0为第一参数值;
上述收发单元还用于接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
上述收发单元还用于若处理单元对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。
第六方面,本申请实施例提供了一种网络注册装置,包括处理器、存储器和通信接口,处理器、存储器和通信接口相互连接,其中,存储器用于存储计算机程序,计算机程序包括程序指令,处理器被配置用于调用程序指令,执行如第一方面、第二方面、第三方面和第四方面描述的网络注册方法。
第七方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有一条或多条指令,一条或多条指令适于由处理器加载并执行如第一方面、第二方面、第三方面和第四方面描述的网络注册方法。
第八方面,本申请实施例提供了一种芯片,该芯片包括处理器与数据接口,处理器通过数据接口读取存储器上存储的指令,以执行如第一方面、第二方面、第三方面和第四方面描述的网络注册方法。
第九方面,本申请实施例提供了一种芯片模组,该芯片模组包括第八方面的芯片。
本申请实施例中,终端设备可以向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示目标参数P0为第一参数值,P0为映射密钥;接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。通过该方法可以提高终端设备在通信网络上的注册成功率。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种移动通信网络架构图;
图2为本申请实施例提供的一种网络注册方法的流程示意图;
图3为本申请实施例提供的又一种网络注册方法的流程示意图;
图4为本申请实施例提供的又一种网络注册方法的流程示意图;
图5为本申请实施例提供的又一种网络注册方法的流程示意图;
图6为本申请实施例提供的又一种网络注册方法的流程示意图;
图7为本申请实施例提供的又一种网络注册方法的流程示意图
图8为本申请实施例提供的一种网络注册装置的单元示意图;
图9为本申请实施例提供的一种网络注册装置的实体结构简化示意图;
图10为本申请实施例提供的一种网络注册装置的芯片简化示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
为了能够更好地理解本申请实施例,下面对本申请实施例涉及的专业术语进行介绍:
非接入层(Non-access stratum,NAS):存在于移动通信***(Universal MobileTelecommunications System,UMTS)的无线通信协议栈中,作为核心网与用户设备之间的功能层。该层支持在这两者之间的信令和数据传输。
演进的分组***(Evolved Packet System,EPS):是3GPP标准委员会在第4代移动通信中出现的概念。可以认为EPS=用户设备(User Equipment,UE)+4G接入网部分(LTE)+演进的分组核心网(Evolved Packet Core,EPC)。
为了能够更好地理解本申请实施例,下面对本申请实施例可应用的网络架构进行说明。
请参见图1,图1为本申请实施例提供的一种移动通信网络架构图。如图1所示,该网络架构包括第一接入网设备、第二接入网设备和终端设备。其中,该第一接入网设备上分布的是第一网络,该第一网络可以是5G网络;第二接入网设备上分布的是第二网络,该第二网络可以是4G网络。该终端设备可以是多模终端,即支持连接不同的网络,例如4G网络、5G网络、6G网络等,本申请实施例不对该多模终端能连接的网络做限定。终端设备在第二网络中处于空闲(IDLE)状态,且在处于IDLE态的期间,从第二网络移动到了第一网络,驻留至该第一网络中。终端设备在第二网络时,可以与该第二网络建立安全上下文。当终端设备移动到第一网络时,则可以将在第二网络建立的安全上下文映射得到与第一网络匹配的安全上下文,这样就可以在第一网络上进行注册。本申请实施例以终端设备从第二网络移动到第一网络为例。
本申请实施例中所涉及的接入网设备,是网络侧的一种用于发射或接收信号的实体,可以用于将收到的空中帧与网络协议(Internet Protocol,IP)分组进行相互转换,作为终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可以包括IP网络等。接入网设备还可以协调对空中接口的属性管理。例如,接入网设备可以是LTE中的eNB,还可以是新无线控制器(New Radio Controller,NR controller),可以是5G***中的gNB,可以是集中式网元(Centralized Unit),可以是新无线基站,可以是射频拉远模块,可以是微基站,可以是中继(Relay),可以是分布式网元(Distributed Unit),可以是接收点(Transmission Reception Point,TRP)或传输点(Transmission Point,TP),可以是车内短距离通信***中的G节点或者任何其它无线接入设备,但本申请实施例不限于此。
本申请实施例中涉及的终端设备,是用户侧的一种用于接收或发射信号的实体。终端设备可以是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。终端设备也可以是连接到无线调制解调器的其他处理设备。终端设备可以与无线接入网(Radio Access Network,RAN)进行通信。终端设备也可以称为无线终端、订户单元(Subscriber Unit)、订户站(Subscriber Station),移动站(MobileStation)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(User Device)、或用户设备(User Equipment,UE)等等。终端设备可以是移动终端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,终端设备还可以是个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(Session Initiation Protocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)、等设备。常见的终端设备例如包括:手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(Mobile Internet Device,MID)、车辆、路边设备、飞行器、T节点、可穿戴设备,例如智能手表、智能手环、计步器等,但本申请实施例不限于此。以下对本申请所提供的通信方法及相关设备进行详细地介绍。终端设备还可以包括车辆终端、路侧单元RSU、应用服务器、基站或者手持终端等,比如:车辆终端与车辆终端(Vehicle-to-Vehicle,V2V)、车辆终端与路侧单元(Road Side Unit,RSU)、车辆终端与行人手持终端(Vehicle-to-Pedestrian,V2P)和车辆终端与应用服务器(Vehicle-to-Network,V2N)之间基于无线网络进行通信的接口。其中,所述无线网络可以是指4G网络、5G网络、6G网络、DSRC网络或者WIFI网络等。
为了能够提高终端设备在通信网络上的注册成功率,本申请实施例提供了一种网络注册方法及装置,下面进一步对本申请实施例提供的网络注册方法及装置进行详细介绍。
请参见图2,图2为本申请实施例提供了一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作210~操作230。图2所示的方法执行主体可以为终端设备,或主体可以为终端设备中的芯片。需要说明的是,本部分操作与图3所示的操作相对应,图2是终端设备侧的操作,图3是第一接入网设备侧的操作。图2以终端设备为方法的执行主体为例进行说明,该终端设备与第一接入网设备建立通信连接,该第一接入网设备中包括该终端设备与第二接入网设备建立的第一安全上下文。其中:
210、向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,该EPS序列号用于指示映射密钥P0为第一参数值。
其中,该EPS序列号(EPS Sequence Number)是可以是该注册请求(RegistrationRequest)消息中的目标字段,该字段专用于表示该EPS序列号。终端设备可以将该目标字段的值设置为P0的低8位,来指示P0的值为第一参数值。其中,该P0可以是非接入层上行计数值(NAS Uplink Count Value);该NAS Uplink Count Value可以是根据具体协议中的规定确定的。终端设备可以向第一接入网设备发送包括设置了指示该P0的低8位的目标字段的注册请求消息。本申请实施例中,P0和NAS Uplink Count Value是等价的,为便于理解,后续同一使用NAS Uplink Count Value进行描述。
在一种可能的实现方式中,终端设备在向第一接入网设备发送注册请求消息之前,终端设备可以注册接入第二接入网设备。该第二接入网设备上可以分布4G网络。终端设备与该第二接入网设备建立该第一安全上下文。终端设备与第二接入网设备可以各维护一套NAS Uplink Count Value。
该NAS Uplink Count Value可以包含于NAS消息中。若终端设备向第二接入网设备发送了该NAS消息,该NAS消息中包括了终端设备中最新的NAS Uplink Count Value,那么第二接入网设备接收到该NAS消息后,就会将NAS Uplink Count Value修改为终端设备发送的NAS Uplink Count Value。若终端设备再次发送该NAS消息,则会先将当前维护的NAS Uplink Count Value加1,再将加1后的NAS Uplink Count Value发送给第二接入网设备,第二接入网设备再将自己维护的NAS Uplink Count Value进行加1。这样,就可以使终端设备和第二接入网设备各自维护的NAS Uplink Count Value保持一致。若该终端设备在第二接入网设备的网络下进入空闲态,并驻留至了第一接入网设备分布的网络,那么第一接入网设备可以获取到第二接入网设备中与该终端设备关联的NAS Uplink Count Value。第二接入网设备可以根据该NAS Uplink Count Value将终端设备与第二接入网设备建立的安全上下文映射到与该第一接入网设备匹配的安全上下文,就可以使终端设备在第一接入网设备的网络中进行注册。
而若终端设备未确定发送给第二接入网设备的NAS消息成功送达第二接入网设备,进入空闲态,且检测到从第二接入网设备切换到了第一接入网设备,那么就会向第一接入网设备发送上述注册请求消息。这是因为,终端设备未确定该NAS消息成功发送至第二接入网设备,就无法确定自己维护的NAS Uplink Count Value是否与第二接入网设备维护的NAS Uplink Count Value保持一致。若两者未保持一致,就会导致第一接入网设备根据与终端设备不一致的NAS Uplink Count Value进行安全上下文的映射,这样就会导致终端设备在第一接入网设备上注册失败。故终端设备需要发送该注册请求消息,用该注册请求消息中的EPS序列号指示第一接入网设备对其获取到的NAS Uplink Count Value进行修改。
需要说明的是,NAS Uplink Count Value可以是一个32位的参数,由于终端设备与接入网设备分别维护的NAS Uplink Count Value在有差别的时候不会有太大的误差,即两端的NAS Uplink Count Value的高位很有可能是完全相同的。考虑到为了节省传输资源,注册请求消息中可以仅指示NAS Uplink Count Value的低8位,就可使第一接入网设备获取到准确的NAS Uplink Count Value。
220、接收第一接入网设备发送的安全模式命令消息,该安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,该第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的。
其中,该安全模式命令(Security mode command)消息是经过第一接入网设备进行安全处理过的,该安全处理可以是对该安全模式命令进行加密和完保处理。
230、若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。
终端设备可以根据自己保存的NAS Uplink Count Value将在第二接入网设备建立的第一安全上下文映射为与该第一接入网设备匹配的安全上下文。由于第一接入网设备中的NAS Uplink Count Value已经和终端设备的NAS Uplink Count Value保持一致,所以终端设备映射得到的安全上下文和第二安全上下文实际上是匹配或相同的。故终端设备可以对第一接入网设备根据第二安全上下文进行安全处理得到的安全模式命令消息,用终端设备映射得到的安全上下文进行完整性检查。若完整性检查成功,则说明第二安全上下文与终端设备映射得到的安全上下文匹配或相同。故终端设备可以向第一接入网设备发送安全模式完成(Security mode complete)消息。第一接入网设备接收到该安全模式完成消息之后,终端设备就能接收到该第一接入网设备发送的注册接受(Registration Accept)消息。该注册接受消息用于指示该终端设备在第一接入网设备上注册成功。这样,终端设备就完成了在第一接入网设备上的注册。
通过本申请实施例,终端设备可以在未确定向第二接入网设备发送NAS消息成功,且进入空闲态,并驻留至第一接入网设备的网络的情况下,向该第一接入网设备发送注册请求消息。其中,该NAS消息中包括映射密钥P0的值,该注册请求消息中包括EPS序列号,可以指示终端设备中的P0的值为第一参数值。这样就可以使第一接入网设备维护的P0值与终端设备中的P0值保持一致,使得两者分别对终端设备与第二接入网设备建立的安全上下文进行映射,得到的安全上下文也保持一致或相互匹配。在终端设备由第一接入网设备的安全上下文一致或匹配的情况下,终端设备就可以在第一接入网设备中注册成功。通过该方法,可以提高终端设备在第一接入网设备上的注册成功率。
请参见图3,图3为本申请实施例提供了又一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作310~操作350。图3所示的方法执行主体可以为第一接入网设备,或主体可以为第一接入网设备中的芯片。需要说明的是,本部分操作与图2所示的操作相对应,图2是终端设备侧的操作,图3是第一接入网设备侧的操作。图3以第一接入网设备为方法的执行主体为例进行说明,该第一接入网设备与终端设备建立通信连接,第一接入网设备中包括该终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值。其中:
310、接收终端设备发送的注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示P0为第一参数值,P0为非接入层上行计数值NAS Uplink CountValue。
其中,第一接入网设备可以从第二接入网设备获取终端设备与第二接入网设备建立的第一安全上下文和P0,即NAS Uplink Count Value。第一接入网设备获取到的NASUplink Count Value可以是第二参数值,该第二参数值可能与EPS序列号指示的第一参数值不同。这是因为,终端设备向第二接入网设备发送的NAS消息可能会由于网络问题,导致第二接入网设备无法成功接收该NAS消息,所以会导致第二接入网设备中的NAS UplinkCount Value与终端设备中的NAS Uplink Count Value不相同。
320、根据EPS序列号将P0由第二参数值修改为第一参数值。
由于终端设备不确定第二接入网设备是否接收到了NAS消息,所以终端设备中的NAS Uplink Count Value可能与第一接入网设备获取到的NAS Uplink Count Value不相同。故第一接入网设备可以根据EPS序列号将NAS Uplink Count Value由第二参数值修改为第一参数值。
可选的,第二参数值也有可能和第一参数值相同,但第一接入网设备也可以执行本步骤。
330、根据修改后的P0对第一安全上下文进行映射得到第二安全上下文。
340、根据第二安全上下文处理得到安全模式命令消息。
第一接入网设备可以根据第二安全上下文对安全模式命令(Security modecommand)消息进行安全处理,该安全处理可以是根据第二安全上下文对安全模式命令消息进行加密和完保处理。
350、向终端设备发送安全模式命令消息。
该安全模式命令消息是加密和完保处理后的,需要终端设备使用于该第二安全上下文相同或匹配的安全上下文才开一对该安全模式命令消息进行完整性检查成功。若终端设备对该安全模式命令消息进行完整性检查成功,则第一接入网设备可以接收终端设备发送的安全模式完成(Security mode complete)消息。进而第一接入网设备可以向终端设备发送注册接受(Registration Accept)消息,该注册接受消息用于指示终端设备在第一接入网设备上注册成功。
通过本申请实施例,第一接入网设备根据终端设备发送的注册请求消息中的EPS序列号,修改NAS Uplink Count Value,使之与终端设备中的NAS Uplink Count Value相同。这样第一接入网设备根据该修改后的NAS Uplink Count Value对第一安全上下文进行映射得到的第二安全上下文,就和终端设备映射得到的安全上下文相同或匹配。这样,终端设备就可以在第一接入网设备上注册成功。通过该方法,可以提高终端设备在第一接入网设备上的注册成功率。
请参见图4,图4为本申请实施例提供了又一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作410~操作4110。图4所示的方法执行主体可以为终端设备和第一接入网设备,或主体可以为终端设备和第一接入网设备中的芯片。其中:
410、终端设备注册接入第二接入网设备。
该第二接入网设备中可以分布4G网络。
420、终端设备未确定向第二接入网设备发送NAS消息成功,且进入空闲态。
430、终端设备与第二接入网设备断开连接,驻留至第一接入网设备的网络。
其中,该第一接入网设备的网络可以是5G网络。
440、第一接入网设备获取第一安全上下文和参数值为第二参数值的映射密钥P0。
其中,第一接入网设备可以是从第二接入网设备获取到第一安全上下文和参数值为第二参数值的映射密钥P0的。
450、终端设备向第一接入网设备发送注册请求消息,该注册请求消息包括EPS序列号,该EPS序列号用于指示终端设备中的P0的值为第一参数值。
460、第一接入网设备根据EPS序列号将P0的值由第二参数值修改为第一参数值,根据修改后的P0对第一安全上下文映射为第二安全上下文。
470、第一接入网设备根据第二安全上下文对安全模式命令消息进行安全处理。
其中,该安全处理可以是对该安全模式命令消息进行加密和完保处理。
480、第一接入网设备向终端设备发送安全模式命令消息。
490、终端设备对安全模式命令消息进行完整性检查成功。
4100、终端设备第一接入网设备发送安全模式完成消息。
4110、第一接入网设备向终端设备发送注册接受消息。
通过本申请实施例,第一接入网设备将维护的P0值修改为与终端设备中的P0值保持一致,使得第一接入网设备和终端设备映射出的安全上下文相同或匹配,以使终端设备可以成功在第一接入网设备上进行注册。
请参见图5,图5为本申请实施例提供了又一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作510~操作530。图5所示的方法执行主体可以为终端设备,或主体可以为终端设备中的芯片。需要说明的是,本部分操作与图6所示的操作相对应,图5是终端设备侧的操作,图6是第一接入网设备侧的操作。图5以终端设备为方法的执行主体为例进行说明,该终端设备与第一接入网设备建立通信连接,该第一接入网设备中包括该终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,该P0为第二参数值。其中:
510、接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第三安全上下文处理得到的,该第三安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的。
在一种可能的实现方式中,终端设备在接收第一接入网设备发送的安全模式命令消息之前,会先注册接入第二接入网设备。其中,该第二接入网设备上分布的可以是4G网络,该第一接入网设备上分布的可以是5G网络。终端设备在第二接入网设备上建立了第一安全上下文。终端设备与第二接入网设备分别维护了映射密钥P0的值,即NAS UplinkCount Value的值。当终端设备向第二接入网设备发送包括该NAS Uplink Count Value的NAS消息,确定该NAS消息发送失败,即未成功发送给第二接入网设备,且随后进入了空闲态,从第二接入网设备的网络切换到了第一接入网设备的网络,那么该终端设备就可以向第一接入网设备发送注册请求消息。该注册请求消息是用于终端设备在第一接入网设备请求注册用的。第一接入网设备还可以获取到该终端设备与第二接入网设备建立的第一安全上下文和第二接入网设备中的NAS Uplink Count Value,根据该NAS Uplink Count Value将第一安全上下文映射出该第三安全上下文。第一接入网设备根据该第三安全上下文对安全模式命令消息进行安全处理,并发送至终端设备。
520、若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息,该安全模式拒绝消息包括整数检测失败Integrity check failure信息,该Integrity check failure信息用于指示获取第四安全上下文。
其中,终端设备中会根据自己保存的与第二接入网设备的NAS Uplink CountValue将第一安全上下文映射为与第一接入网设备匹配的安全上下文。终端设备使用其映射出的安全上下文对接收到的安全模式命令消息进行完整性检查。由于终端设备已确定向第二接入网设备发送NAS消息失败,则说明终端设备中的NAS Uplink Count Value与第一接入网设备的NAS Uplink Count Value不相同,使用终端设备对该安全模式命令消息进行完整性检查的将会是失败。进而终端设备就不能在第一接入网设备上注册成功,可以向该第一接入网设备发送安全模式拒绝(Security mode reject)消息。该安全模式拒绝消息中可以包括5G移动管理(5G mobility management,5GMM)原因(cause)值,该5GMM cause值为整数检测失败(Integrity check failure)。该整数检测失败可以指示第一接入网设备获取第四安全上下文。
530、接收第一接入网设备发送的注册接受消息,注册接受消息是第一接入网设备基于第四安全上下文生成的。
在一种可能的实现方式中,该第四安全上下文可以是第一接入网设备与终端设备重新建立的新的安全上下文。具体地,终端设备向第一接入网设备发送安全模式拒绝消息后,则可以接收第一接入网设备发送的授权请求(Authentication Request)消息,该授权请求消息可以是用于请求与终端设备建立一套新的安全上下文。第一接入网设备可以将该新的安全上下文作为该第四安全上下文。终端设备可以响应该授权请求消息,向第一接入网设备发送授权响应(Authentication Response)消息,该授权响应消息可以指示第一接入网设备生成新的安全上下文,即第四安全上下文。第一接入网设备向终端设备发送根据第四安全上下文加密和完保处理后的安全模式命令消息,该安全模式命令消息可以指示终端设备使用该第四安全上下文该安全模式命令消息进行完整性检查。若终端设备完整性检查成功,则可以向第一接入网设备发送根据第四安全上下文加密和完保处理后的安全模式完成消息。第一接入网设备可以使用第四安全上下文对该安全模式完成消息进行完整性检查,若成功,则向终端设备发送注册接受消息。这样,终端设备就可以在第一接入网设备上注册成功。
在一种可能的实现方式中,若终端设备之前就在该第一接入网设备上注册成功过,则该第一接入网设备中会保存与该终端设备匹配的本地(Native)安全上下文,该本地安全上下文则可以作为第四安全上下文。第一接入网设备可以使用该第四安全上下文对注册接受消息进行加密和完保处理,终端设备接收到该注册接受消息后,若进行完整性检查成功,则可以在第一接入网设备上注册成功。
通过本申请实施例,终端设备在接收到安全模式命令消息,对该安全模式命令消息进行完整性检查失败的情况下,可以向第一接入网设备发送安全模式拒绝消息。其中,该安全模式拒绝消息中可以包括5GMM cause,该5GMM cause值为整数检测失败。这样第一接入网设备就可以获取第四安全上下文。该第四安全上下文可以是第一接入网设备与终端设备重新建立的新的安全上下文;或者,若终端设备之前就在该第一接入网设备上注册成功过,则该第一接入网设备中会保存与该终端设备匹配的本地(Native)安全上下文,该本地安全上下文则可以作为第四安全上下文。这样,第一接入网设备和终端设备的安全上下文就可以匹配,终端设备就可以在第一接入网设备上注册成功。通过该方法,可以提高终端设备在通信网络上的注册成功率。
请参见图6,图6为本申请实施例提供了又一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作610~操作660。图6所示的方法执行主体可以为第一接入网设备,或主体可以为第一接入网设备中的芯片。需要说明的是,本部分操作与图5所示的操作相对应,图5是终端设备侧的操作,图6是第一接入网设备侧的操作。图6以第一接入网设备为方法的执行主体为例进行说明,该第一接入网设备与终端设备建立通信连接,该第一接入网设备中包括该终端设备与第二接入网设备建立的第一安全上下文。其中:
610、接收终端设备发送的安全模式拒绝消息。
620、若安全模式拒绝消息包括整数检测失败字段,则向终端设备发送授权请求消息。
第一接入网设备若检测到该安全模式拒绝消息中包括5GMM cause值,该5GMMcause值为整数检测失败(Integrity check failure),则可以向终端设备发送授权请求消息(Authentication Request)。其中,该整数检测失败可以指示第一接入网设备获取第四安全上下文,该授权请求消息可以用于请求终端设备的授权,以使第一接入网设备与该终端设备建立新的安全上下文。
630、接收终端设备发送的授权响应信息,并生成第四安全上下文,该第四安全上下文与第一安全上下文不同。
640、向终端设备发送安全模式命令消息,安全模式命令消息是根据第四安全上下文处理得到的。
其中,第一接入网设备可以使用第四安全上下文对该安全模式命令消息进行加密和完保处理。
650、接收终端设备发送的安全模式完成消息。
若终端设备对该安全模式命令消息进行完整性检查成功,则可以向第一接入网设备发送根据该第四安全上下文加密和完保处理得到的安全模式完成消息。
660、若对安全模式完成消息进行完整性检查成功,则向终端设备发送注册接受消息。
该注册接受消息用于指示终端设备在第一接入网设备上注册成功。
通过该方法,第一接入网设备在接收到终端设备发送的5GMM cause值为整数检测失败的安全模式拒绝消息后,可以选择与终端设备重新建立一套新的安全上下文作为第四安全上下文;也可以在第一接入网设备中保存有该终端设备的本地安全上下文的情况下,将该本地安全上下文作为第四安全上下文。这样第一接入网设备和终端设备的安全上下文可以得到匹配,进而终端设备可以在第一接入网设备上注册成功。通过该方法,可以提高终端设备在通信网络上的注册成功率。
请参见图7,图7为本申请实施例提供了又一种网络注册方法的流程示意图。其中,该网络注册方法包括如下操作710~操作7120。图7所示的方法执行主体可以为终端设备和第一接入网设备,或主体可以为终端设备和第一接入网设备中的芯片。其中:
710、终端设备注册接入第二接入网设备。
该第二接入网设备中可以分布4G网络。
720、终端设备未确定向第二接入网设备发送NAS消息成功,且进入空闲态。
730、终端设备与第二接入网设备断开连接,驻留至第一接入网设备的网络。
其中,该第一接入网设备的网络可以是5G网络。
740、第一接入网设备获取第一安全上下文和参数值为第二参数值的映射密钥P0。
其中,第一接入网设备可以是从第二接入网设备获取到第一安全上下文和参数值为第二参数值的映射密钥P0的。
750、终端设备向第一接入网设备发送注册请求消息。
760、第一接入网设备根据P0对第一安全上下文映射为第三安全上下文。
770、第一接入网设备根据第三安全上下文对安全模式命令消息进行安全处理。
其中,该安全处理可以是加密和完保处理。
780、第一接入网设备向终端设备发送安全模式命令消息。
790、终端设备对安全模式命令消息进行完整性检查失败。
这是由于终端设备的P0和第一接入网设备的P0不一致,导致第三安全上下文与终端设备映射出的安全上下文不匹配,所以终端设备对安全模式命令消息进行完整性检查会失败。
7100、终端设备向第一接入网设备发送安全模式拒绝消息,该安全模式拒绝消息包括5GMM cause,该5GMM cause为Integrity check failure。
7110、终端设备与第一接入网设备创建新的安全上下文作为第四安全上下文。
7120、若第一接入网设备中存在之前保存的终端设备的本地安全上下文,则将该本地安全上下文作为第四安全上下文。
需要说明的是,步骤7110和步骤7120属于并列的步骤,若终端设备和第一接入网设备若执行步骤7110,则不会执行步骤7120;同理若终端设备和第一接入网设备若执行步骤7120,则不会执行步骤7110。
通过本申请实施例,终端设备与第一接入网设备在各自的安全上下文不匹配的情况下,终端设备可以向第一接入网设备发送安全模式拒绝消息,通过该安全模式拒绝消息中的5GMM cause值为Integrity check failure,来指示第一接入网设备获取第四安全上下文。该第四安全上下文可以是重新建立的安全上下文,也可以是以前保存的本地安全上下文。当终端设备与第一接入网设备的安全上下文匹配后,终端设备就可以在第一接入网设备上注册成功。通过该方法,可以提高终端设备在通信网络上的注册成功率。
请参见图8,图8为本申请实施例提供的在网络注册装置的单元示意图。图8所示的网络注册装置可以用于执行上述图2、图3、图4、图5、图6和图7所描述的方法实施例中的部分或全部功能。该装置可以是终端设备或第一接入网设备,也可以是终端设备或第一接入网设备中的装置,或者是能够和终端设备或第一接入网设备匹配使用的装置。
该装置的逻辑结构可包括:收发单元810、处理单元820。当该装置被应用于终端设备时,该终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,其中:
收发单元810,用于向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示映射密钥P0为第一参数值;
上述收发单元810还用于接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
上述收发单元810还用于若处理单元820对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。
在一种可能的实现方式中,上述处理单元820还用于将目标字段的值设置为P0的低8位,P0为非接入层上行计数值NAS Uplink Count Value;上述收发单元810还用于向第一接入网设备发送包括设置了指示P0的低8位的目标字段的注册请求消息。
在一种可能的实现方式中,向第一接入网设备发送注册请求消息之前,上述处理单元820还用于注册接入第二接入网设备,并与第二接入网设备建立第一安全上下文;上述收发单元810还用于向第二接入网设备发送非接入层NAS消息,NAS消息包括P0;若未确定NAS消息成功发送至第二接入网设备,进入空闲态,且检测到从第二接入网设备切换到第一接入网设备,则触发向第一接入网设备发送注册请求消息。
在一种可能的实现方式中,若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息之后,上述收发单元810还用于接收第一接入网设备发送的注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
当该装置应用于第一接入网设备时,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,其中:
收发单元810,用于接收终端设备发送的注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示P0为第一参数值,P0为非接入层上行计数值NASUplink Count Value;
处理单元820,用于根据EPS序列号将P0由第二参数值修改为第一参数值;
上述处理单元820还用于根据修改后的P0对第一安全上下文进行映射得到第二安全上下文;
上述处理单元820还用于根据第二安全上下文处理得到安全模式命令消息;
上述收发单元810还用于向终端设备发送安全模式命令消息。
在一种可能的实现方式中,向终端设备发送安全模式命令消息之后,上述收发单元810还用于接收终端设备发送的安全模式完成消息;向终端设备发送注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
当该装置应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,其中:
收发单元810,用于接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第三安全上下文处理得到的,第三安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
上述收发单元810还用于若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息,安全模式拒绝消息包括整数检测失败Integritycheck failure信息,Integrity check failure信息用于指示获取第四安全上下文;
上述收发单元810还用于接收第一接入网设备发送的注册接受消息,注册接受消息是第一接入网设备基于第四安全上下文生成的。
在一种可能的实现方式中,若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息之后,上述收发单元810还用于接收第一接入网设备发送的授权请求消息;向第一接入网设备发送授权响应消息,授权响应消息用于指示生成第四安全上下文。
在一种可能的实现方式中,第四安全上下文是第一接入网设备保存的终端设备的本地安全上下文。
当该装置应用于第一接入网设备,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,其中:
收发单元810,用于接收终端设备发送的安全模式拒绝消息;
若安全模式拒绝消息包括整数检测失败字段,则上述收发单元810还用于向终端设备发送授权请求消息;
上述收发单元810还用于接收终端设备发送的授权响应信息,并生成第四安全上下文,第四安全上下文与第一安全上下文不同;
上述收发单元810还用于向终端设备发送安全模式命令消息,安全模式命令消息是根据第四安全上下文处理得到的;
上述收发单元810还用于接收终端设备发送的安全模式完成消息;
上述收发单元810还用于若对安全模式完成消息进行完整性检查成功,则向终端设备发送注册接受消息。
在一种可能的实现方式中,接收终端设备发送的安全模式拒绝消息之后,若安全模式拒绝消息包括整数检测失败字段,且第一接入网设备包括本地安全上下文,则处理单元820用于使用本地安全上下文对注册接受消息进行处理,本地安全上下文与第一安全上下文或第四安全上下文不同;上述收发单元810还用于向终端设备发送处理后的注册接受消息。
请参见图9,图9为本申请实施例提供的一种网络注册装置的实体结构简化示意图,该装置包括处理器910、存储器920和通信接口930,该处理器910、存储器920以及通信接口930通过一条或多条通信总线连接。该网络注册装置可以是芯片、或芯片模组等。
处理器910被配置为支持网络注册装置执行上述图2、图3、图4、图5、图6和图7中方法相应的功能。应理解,本申请实施例中,所述处理器910可以为中央处理单元(centralprocessing unit,简称CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signal processor,简称DSP)、专用集成电路(application specificintegrated circuit,简称ASIC)、现成可编程门阵列(field programmable gate array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器920用于存储程序代码等。本申请实施例中的存储器920可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,简称ROM)、可编程只读存储器(programmable ROM,简称PROM)、可擦除可编程只读存储器(erasable PROM,简称EPROM)、电可擦除可编程只读存储器(electrically EPROM,简称EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random access memory,简称RAM)可用,例如静态随机存取存储器(static RAM,简称SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(double datarate SDRAM,简称DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,简称ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,简称DR RAM)。
通信接口930用于收发数据、信息或消息等,也可以描述为收发器、收发电路等。
在本申请实施例中,当该网络注册装置应用于中继设备时,该中继设备与接入网设备建立通信连接,且通过预设接口与远端设备建立通信连接,该处理器910调用存储器920中存储的程序代码以执行以下操作:
当该装置被应用于终端设备时,该终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,其中:
控制通信接口930向第一接入网设备发送注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示映射密钥P0为第一参数值;
控制通信接口930接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第二安全上下文处理过的,第二安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
控制通信接口930若处理器910调用存储器920中存储的程序代码对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息。
在一种可能的实现方式中,处理器910调用存储器920中存储的程序代码将目标字段的值设置为P0的低8位,P0为非接入层上行计数值NAS Uplink Count Value;控制通信接口930向第一接入网设备发送包括设置了指示P0的低8位的目标字段的注册请求消息。
在一种可能的实现方式中,向第一接入网设备发送注册请求消息之前,处理器910调用存储器920中存储的程序代码注册接入第二接入网设备,并与第二接入网设备建立第一安全上下文;控制通信接口930向第二接入网设备发送非接入层NAS消息,NAS消息包括P0;若未确定NAS消息成功发送至第二接入网设备,进入空闲态,且检测到从第二接入网设备切换到第一接入网设备,则触发向第一接入网设备发送注册请求消息。
在一种可能的实现方式中,若对安全模式命令消息进行完整性检查成功,则向第一接入网设备发送安全模式完成消息之后,控制通信接口930接收第一接入网设备发送的注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
当该装置应用于第一接入网设备时,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,其中:
控制通信接口930接收终端设备发送的注册请求消息,注册请求消息包括演进分组***EPS序列号,EPS序列号用于指示P0为第一参数值,P0为非接入层上行计数值NASUplink Count Value;
处理器910调用存储器920中存储的程序代码根据EPS序列号将P0由第二参数值修改为第一参数值;
处理器910调用存储器920中存储的程序代码根据修改后的P0对第一安全上下文进行映射得到第二安全上下文;
处理器910调用存储器920中存储的程序代码根据第二安全上下文处理得到安全模式命令消息;
控制通信接口930向终端设备发送安全模式命令消息。
在一种可能的实现方式中,向终端设备发送安全模式命令消息之后,控制通信接口930接收终端设备发送的安全模式完成消息;向终端设备发送注册接受消息,注册接受消息用于指示终端设备在第一接入网设备上注册成功。
当该装置应用于终端设备,终端设备与第一接入网设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,P0为第二参数值,其中:
控制通信接口930接收第一接入网设备发送的安全模式命令消息,安全模式命令消息是第一接入网设备根据第三安全上下文处理得到的,第三安全上下文是第一接入网设备根据P0对第一安全上下文进行映射得到的;
控制通信接口930若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息,安全模式拒绝消息包括整数检测失败Integrity checkfailure信息,Integrity check failure信息用于指示获取第四安全上下文;
控制通信接口930接收第一接入网设备发送的注册接受消息,注册接受消息是第一接入网设备基于第四安全上下文生成的。
在一种可能的实现方式中,若对安全模式命令消息进行完整性检查失败,则向第一接入网设备发送安全模式拒绝消息之后,控制通信接口930接收第一接入网设备发送的授权请求消息;向第一接入网设备发送授权响应消息,授权响应消息用于指示生成第四安全上下文。
在一种可能的实现方式中,第四安全上下文是第一接入网设备保存的终端设备的本地安全上下文。
当该装置应用于第一接入网设备,第一接入网设备与终端设备建立通信连接,第一接入网设备中包括终端设备与第二接入网设备建立的第一安全上下文,其中:
控制通信接口930接收终端设备发送的安全模式拒绝消息;
若安全模式拒绝消息包括整数检测失败字段,则控制通信接口930向终端设备发送授权请求消息;
控制通信接口930接收终端设备发送的授权响应信息,并生成第四安全上下文,第四安全上下文与第一安全上下文不同;
控制通信接口930向终端设备发送安全模式命令消息,安全模式命令消息是根据第四安全上下文处理得到的;
控制通信接口930接收终端设备发送的安全模式完成消息;
控制通信接口930若对安全模式完成消息进行完整性检查成功,则向终端设备发送注册接受消息。
在一种可能的实现方式中,接收终端设备发送的安全模式拒绝消息之后,若安全模式拒绝消息包括整数检测失败字段,且第一接入网设备包括本地安全上下文,则处理器910调用存储器920中存储的程序代码使用本地安全上下文对注册接受消息进行处理,本地安全上下文与第一安全上下文或第四安全上下文不同;控制通信接口930向终端设备发送处理后的注册接受消息。
关于上述实施例中描述的装置、产品包含的各个模块/单元,其可以是软件模块/单元,也可以是硬件模块/单元,或者也可以部分是软件模块/单元,部分是硬件模块/单元。例如,对于应用于或集成于芯片的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于芯片内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现;对于应用于或集成于芯片模组的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,不同的模块/单元可以位于芯片模组的同一组件(例如芯片、电路模块等)或者不同组件中,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于芯片模组内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现;对于应用于或集成于终端的各个装置、产品,其包含的各个模块/单元可以都采用电路等硬件的方式实现,不同的模块/单元可以位于终端内同一组件(例如,芯片、电路模块等)或者不同组件中,或者,至少部分模块/单元可以采用软件程序的方式实现,该软件程序运行于终端内部集成的处理器,剩余的(如果有)部分模块/单元可以采用电路等硬件方式实现。
请参见图10,图10为本申请实施例提供的一种网络注册装置的芯片简化示意图,该芯片中包括处理器1010和数据接口1020。该芯片可以用于处理如图2、图3、图4、图5、图6和图7中方法相应的功能。该芯片可以包含于如图9所示的网络注册装置中。该芯片也可以包含于芯片模组中。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。
本发明实施例处理设备中的单元可以根据实际需要进行合并、划分和删减。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、存储盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态存储盘Solid State Disk(SSD))等。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (11)
1.一种网络注册方法,其特征在于,应用于终端设备,所述终端设备与第一接入网设备建立通信连接,所述第一接入网设备包括所述终端设备与第二接入网设备建立的第一安全上下文,所述方法包括:
向所述第一接入网设备发送注册请求消息,所述注册请求消息包括演进分组***EPS序列号,所述EPS序列号用于指示映射密钥P0为第一参数值;
接收所述第一接入网设备发送的安全模式命令消息,所述安全模式命令消息是所述第一接入网设备根据第二安全上下文处理过的,所述第二安全上下文是所述第一接入网设备根据所述P0对所述第一安全上下文进行映射得到的;
若对所述安全模式命令消息进行完整性检查成功,则向所述第一接入网设备发送安全模式完成消息。
2.如权利要求1所述的方法,其特征在于,所述注册请求消息包括目标字段,所述向所述第一接入网设备发送注册请求消息,包括:
将目标字段的值设置为所述P0的低8位,所述P0为非接入层上行计数值NAS UplinkCount Value;
向所述第一接入网设备发送包括设置了指示所述P0的低8位的目标字段的所述注册请求消息。
3.根据权利要求2所述的方法,其特征在于,所述向所述第一接入网设备发送注册请求消息之前,所述方法还包括:
注册接入第二接入网设备,并与第二接入网设备建立所述第一安全上下文;
向所述第二接入网设备发送非接入层NAS消息,所述NAS消息包括所述P0;
若未确定所述NAS消息成功发送至所述第二接入网设备,进入空闲态,且检测到从所述第二接入网设备切换到所述第一接入网设备,则触发所述向所述第一接入网设备发送注册请求消息。
4.根据权利要求1所述的方法,其特征在于,所述若对所述安全模式命令消息进行完整性检查成功,则向所述第一接入网设备发送安全模式完成消息之后,所述方法还包括:
接收第一接入网设备发送的注册接受消息,所述注册接受消息用于指示所述终端设备在所述第一接入网设备上注册成功。
5.一种网络注册方法,其特征在于,应用于第一接入网设备,所述第一接入网设备与终端设备建立通信连接,所述第一接入网设备中包括所述终端设备与第二接入网设备建立的第一安全上下文和映射密钥P0,所述P0为第二参数值,所述方法包括:
接收所述终端设备发送的注册请求消息,所述注册请求消息包括演进分组***EPS序列号,所述EPS序列号用于指示所述P0为第一参数值,所述P0为非接入层上行计数值NASUplink Count Value;
根据所述EPS序列号将所述P0由所述第二参数值修改为所述第一参数值;
根据修改后的所述P0对所述第一安全上下文进行映射得到第二安全上下文;
根据所述第二安全上下文处理得到安全模式命令消息;
向所述终端设备发送所述安全模式命令消息。
6.根据权利要求5所述的方法,其特征在于,所述向所述终端设备发送所述安全模式命令消息之后,所述方法还包括:
接收所述终端设备发送的安全模式完成消息;
向所述终端设备发送注册接受消息,所述注册接受消息用于指示所述终端设备在所述第一接入网设备上注册成功。
7.一种网络注册装置,其特征在于,应用于终端设备,所述终端设备与第一接入网设备建立通信连接,所述第一接入网设备中包括所述终端设备与第二接入网设备建立的第一安全上下文,所述装置包括:
收发单元,用于向所述第一接入网设备发送注册请求消息,所述注册请求消息包括演进分组***EPS序列号,所述EPS序列号用于指示映射密钥P0为第一参数值;
所述收发单元还用于接收所述第一接入网设备发送的安全模式命令消息,所述安全模式命令消息是所述第一接入网设备根据第二安全上下文处理过的,所述第二安全上下文是所述第一接入网设备根据所述P0对所述第一安全上下文进行映射得到的;
所述收发单元还用于若处理单元对所述安全模式命令消息进行完整性检查成功,则向所述第一接入网设备发送安全模式完成消息。
8.一种网络注册装置,其特征在于,包括处理器、存储器和通信接口,所述处理器、所述存储器和所述通信接口相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1至4中任一项所述的网络注册方法,或如权利要求5至6中任一项所述的网络注册方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一条或多条指令,所述一条或多条指令适于由处理器加载并执行如权利要求1至4中任一项所述的网络注册方法,或如权利要求5至6中任一项所述的网络注册方法。
10.一种芯片,其特征在于,所述芯片包括处理器与数据接口,所述处理器通过所述数据接口读取存储器上存储的指令,以执行如权利要求1至4中任一项所述的网络注册方法,或如权利要求5至6中任一项所述的网络注册方法。
11.一种芯片模组,其特征在于,该芯片模组包括如权利要求10所述的芯片。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211342819.7A CN116033541A (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
| CN202011642923.9A CN112738881B (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011642923.9A CN112738881B (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211342819.7A Division CN116033541A (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112738881A CN112738881A (zh) | 2021-04-30 |
| CN112738881B true CN112738881B (zh) | 2022-09-30 |
Family
ID=75609180
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211342819.7A Pending CN116033541A (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
| CN202011642923.9A Active CN112738881B (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211342819.7A Pending CN116033541A (zh) | 2020-12-30 | 2020-12-30 | 一种网络注册方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN116033541A (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115885540A (zh) * | 2021-07-29 | 2023-03-31 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| CN116074828A (zh) * | 2021-10-30 | 2023-05-05 | 华为技术有限公司 | 管理安全上下文的方法和装置 |
| CN114697963A (zh) * | 2022-03-29 | 2022-07-01 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087297A (zh) * | 2019-06-14 | 2020-12-15 | 华为技术有限公司 | 一种获取安全上下文的方法、***及设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101224230B1 (ko) * | 2008-06-13 | 2013-01-21 | 노키아 코포레이션 | 시스템간 모빌리티 동안에 프레시 보안 콘텍스트를 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| CN106507348B (zh) * | 2015-09-07 | 2019-11-22 | 大唐移动通信设备有限公司 | 一种lte***中ue接入核心网epc的方法和装置 |
| CN108738015B (zh) * | 2017-04-25 | 2021-04-09 | 华为技术有限公司 | 网络安全保护方法、设备及*** |
| CN110099382B (zh) * | 2018-01-30 | 2020-12-18 | 华为技术有限公司 | 一种消息保护方法及装置 |
| KR102425582B1 (ko) * | 2018-05-11 | 2022-07-26 | 삼성전자주식회사 | 무선통신 시스템에서 정보 보호 방법 및 장치 |
| US11689920B2 (en) * | 2018-09-24 | 2023-06-27 | Nokia Technologies Oy | System and method for security protection of NAS messages |
| CN113519147B (zh) * | 2019-03-08 | 2024-05-28 | 联想(新加坡)私人有限公司 | 安全模式完整性验证 |
| EP3942857A4 (en) * | 2019-04-25 | 2022-11-23 | Samsung Electronics Co., Ltd. | METHOD AND SYSTEM FOR PROVIDING NON-ACCESS STRATUM (NAS) MESSAGE PROTECTION |
| CN111866974B (zh) * | 2019-04-29 | 2022-12-06 | 华为技术有限公司 | 用于移动注册的方法和装置 |
-
2020
- 2020-12-30 CN CN202211342819.7A patent/CN116033541A/zh active Pending
- 2020-12-30 CN CN202011642923.9A patent/CN112738881B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087297A (zh) * | 2019-06-14 | 2020-12-15 | 华为技术有限公司 | 一种获取安全上下文的方法、***及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112738881A (zh) | 2021-04-30 |
| CN116033541A (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112738881B (zh) | 一种网络注册方法及装置 | |
| CN113473391B (zh) | 会话建立方法、设备及*** | |
| US20190335332A1 (en) | Authorization and Verification Method and Apparatus | |
| CN113691943B (zh) | 一种定位方法及相关设备 | |
| CN111385830B (zh) | 通信方法和装置 | |
| US11317450B2 (en) | Wireless communication method and network device | |
| CN111698755B (zh) | 基于ursp规则的应用数据路由方法及用户设备 | |
| US11612006B2 (en) | Routing method and device | |
| CN114071639A (zh) | 接入网络的方法、通信***和通信装置 | |
| CN114915407A (zh) | Pc5根密钥处理方法、装置、ausf及远程终端 | |
| CN111953714B (zh) | 文件共享方法、通信装置及存储介质 | |
| CN117082612B (zh) | 针对电机的集群式控制方法及装置 | |
| WO2018214762A1 (zh) | 一种获取寻呼参数的方法及装置 | |
| CN112887965A (zh) | 发送用户标识的方法和装置 | |
| CN109639698B (zh) | 一种数据处理方法及服务器 | |
| WO2021087888A1 (zh) | 一种rrc连接恢复方法及设备 | |
| JP2020519079A (ja) | コンテキスト設定情報の取得方法、端末装置及びアクセスネットワーク機器 | |
| WO2022133912A1 (zh) | 侧行链路通信方法、装置和*** | |
| CN115150894A (zh) | 通信方法及装置 | |
| US9485670B2 (en) | Method, apparatus and computer program product for security configuration coordination during a cell update procedure | |
| KR101838772B1 (ko) | 셀 업데이트 절차 동안의 보안 구성 코디네이션을 위한 방법, 장치 및 컴퓨터 프로그램 제품 | |
| CN115836548A (zh) | 无线通信方法和设备 | |
| CN113556703A (zh) | 无线通信方法和通信装置 | |
| CN113194505B (zh) | 一种信息指示方法、设备及*** | |
| CN112218285B (zh) | 上行用户数据传输的方法、设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |