CN113543121A - 一种终端参数更新的保护方法和通信装置 - Google Patents

一种终端参数更新的保护方法和通信装置 Download PDF

Info

Publication number
CN113543121A
CN113543121A CN202010292085.0A CN202010292085A CN113543121A CN 113543121 A CN113543121 A CN 113543121A CN 202010292085 A CN202010292085 A CN 202010292085A CN 113543121 A CN113543121 A CN 113543121A
Authority
CN
China
Prior art keywords
ausf
terminal
service network
information
udm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010292085.0A
Other languages
English (en)
Inventor
李飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to BR112022019885A priority Critical patent/BR112022019885A2/pt
Priority to CA3178449A priority patent/CA3178449A1/en
Priority to KR1020227037668A priority patent/KR20220159455A/ko
Priority to AU2021247219A priority patent/AU2021247219B2/en
Priority to PCT/CN2021/077280 priority patent/WO2021196913A1/zh
Priority to EP21779741.4A priority patent/EP4132113A4/en
Priority to JP2022559719A priority patent/JP2023519997A/ja
Publication of CN113543121A publication Critical patent/CN113543121A/zh
Priority to US17/936,634 priority patent/US20230035970A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种终端参数更新的保护方法和通信装置,该方法包括:UDM向第一AUSF发送保护请求消息,之后,UDM接收第一AUSF发送的该保护请求消息的响应消息,并通过第一服务网络对应的AMF发送终端的参数更新信息;该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带终端的参数更新信息和第一服务网络信息。由于保护请求消息中携带第一服务网络信息,可使得第一AUSF选择与第一服务网络对应的第一密钥对终端的参数更新信息进行加密保护。这样即使在终端通过多个服务网络注册到归属网络的情况下,也能明确第一AUSF采用哪个密钥,保证终端成功校验HPLMN通过AMF发送的终端的参数更新信息。

Description

一种终端参数更新的保护方法和通信装置
技术领域
本申请涉及终端参数安全技术领域,尤其涉及一种终端参数更新的保护方法和通信装置。
背景技术
在新无线(new radio,NR)网络***中,存在可执行不同网络功能的多个网络实体。例如NR***包括拜访公共陆地移动网(visited public land mobile network,VPLMN)和归属公共陆地移动网(home public land mobile network,HPLMN)。在通信过程中,HPLMN中的实体需要向终端发生一些配置参数,在发送这些配置参数的过程中,HPLMN中的实体需要通过VPLMN中的实体,将配置参数发送给终端。例如,HPLMN中的统一数据管理(unified data management,UDM)实体需要将更新的签约数据通过VPLMN的接入和移动性管理功能(access and mobility management function,AMF)实体发送给终端;再例如HPLMN的策略控制功能(policy control function,PCF)实体需要将策略信息,依次通过VPLMN的PCF实体、VPLMN的AMF实体发送给终端。
可见,HPLMN中的实体发送给终端的参数,只能通过VPLMN中的实体进行转发。然而,在转发过程中,参数可能会被VPLMN中的实体窃听或篡改,安全性较低。为此,UDM会请求HPLMN中的认证服务功能(authentication server function,AUSF)实体保护HPLMN与终端之间的配置参数或者更新的签约参数等,即请求AUSF实体对参数加密,然后经AMF实体发送给终端。
AUSF可使用终端认证过程中生成的密钥对上述参数进行保护,终端使用在认证过程中生成的密钥对AUSF发送的上述参数进行校验。但是在双注册场景中,即终端通过两个服务网络注册,这种情况下,一个AUSF存在多个密钥,如果AUSF随机选择密钥对参数进行加密,AUSF所选择的密钥与终端认证过程中生成的密钥不一致,最终导致终端对参数校验失败。
发明内容
本申请提供一种终端参数更新的保护方法和通信装置,能够保证HPLMN发送给终端的参数在传输过程中的安全性。
第一方面,本申请实施例提供了一种终端参数更新的保护方法,该方法可由第一通信装置执行,第一通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置,例如芯片***。下面以所述通信设备为UDM实体为例进行描述。该方法包括:
UDM向第一AUSF发送保护请求消息,之后,UDM接收第一AUSF发送的该保护请求消息的响应消息,并通过第一服务网络对应的AMF发送终端的参数更新信息;其中,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带终端的参数更新信息和第一服务网络信息。
在本申请实施例中,UDM向第一AUSF发送的用于保护终端的参数更新信息的保护请求消息中携带了用于标识第一服务网络的信息(即第一服务网络信息),从而第一AUSF可根据该第一服务网络信息选择与第一服务网络对应的第一密钥(也可以认为是认证服务功能密钥,下文中简称密钥)对终端的参数更新信息进行加密保护。这样即使在终端通过多个服务网络注册到归属网络(home network,HN),即在一个AUSF对应多个密钥的情况下,通过该方案,也可明确第一AUSF采用哪个密钥,保证终端成功校验HPLMN通过AMF发送的终端的参数更新信息。
在一种可能的实现方式中,所述UDM在向第一AUSF发送保护请求消息之前,该UDM根据本地策略确定第一服务网络信息。该方案中,UDM可向第一AUSF指定后续进行终端参数更新过程的第一服务网络,即指定第一AUSF后续要使用的密钥,从而保证终端处于双注册状态(即终端通过至少两个服务网络进行注册)的情况下,即使这至少两个服务网络中的AMF选择同一个AUSF,也能够保证第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。
在另一种可能的实现方式中,所述UDM在确定存在多个服务网络的情况下,确定进行终端参数更新过程的第一服务网络。该方案中,UDM在确定存在多个服务网络的情况下,才确定第一服务网络,以避免终端通过一个服务网络注册的情况下,也判断后续进行SoR流程的所述第一服务网络,即避免执行不必要的步骤。
在一种可能的实现方式中,所述方法还包括:UDM根据第一服务网络信息确定第一AUSF。该方案中,在终端先后通过不同的多个服务网络注册到HN,且不同的服务网络选择不同的AUSF的情况下,UDM指定第一AUSF保护SoR信息,由于一个AUSF对应一个密钥,因此可保证第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。
在一种可能的实现方式中,UDM在向第一AUSF发送保护请求消息之前,UDM还可以确定第一AUSF有终端在多个服务网络的认证结果,这多个服务网络包括第一服务网络;或者,UDM还可以确定终端在多个服务网络,这多个服务网络包括第一服务网络;或者,UDM还可以确定终端处于双注册状态,即终端通过两个服务网络注册到HN。该方案可包括UDM在确定存在多个密钥(例如一个AUSF对应多个密钥或者存在多个AUSF(每个AUSF对应有密钥))的情况下,通过第一服务网络的第一服务网络信息指定某个密钥,使得第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。可避免发送的保护请求消息携带不必要的第一服务网络信息。
在一种可能的实现方式中,例如该第一服务网络信息包括第一服务网络的名称;又例如,该第一服务网络信息包括第一服务网络的公共陆地移动网络(public landmobile network,PLMN)的标识ID或第一服务网络的ID;又例如,该第一服务网络信息包括终端的认证事件的标识。如上只是列举了第一服务网络信息的4种实现方式,应理解,本申请实施例不限制该第一服务网络信息的具体实现方式,只要可以标识第一服务网络即可。
在一种可能的实现方式中,终端的参数更新信息包括漫游处理(steering ofroaming,SoR)信息。
第二方面,本申请实施例提供了一种终端参数更新的保护方法,该方法可由第二通信装置执行,第二通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置,例如芯片***。下面以所述通信设备为AUSF实体为例进行描述。该方法包括:
第一AUSF接收UDM发送的保护请求消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带参数更新信息和第一服务网络信息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带所述参数更新信息和第一服务网络信息;之后,第一AUSF根据上述第一服务网络信息确定第一密钥,该第一密钥用于保护终端的参数更新信息,并根据第一密钥对终端的参数更新信息进行安全保护。
在一种可能的实现方式中,该第一服务网络信息为UDM存储的多个第一服务网络信息中的一个服务网络信息。
在一种可能的实现方式中,存在多个AUSF,第一AUSF为与所述第一服务网络信息对应的AUSF。
在一种可能的实现方式中,第一AUSF有终端在多个服务网络的认证结果,这多个服务网络包括第一服务网络;或者,终端在多个服务网络,这多个服务网络包括第一服务网络;或者,终端处于双注册状态。
在一种可能的实现方式中,该第一服务网络信息包括第一服务网络的名称;或者,
该第一服务网络信息包括所述第一服务网络的PLMN ID;或者,该述第一服务网络信息包括终端的认证事件的标识。
在一种可能的实现方式中,终端的参数更新信息包括漫游处理(steering ofroaming,SoR)信息。
关于第二方面或第二方面的各种可能的实施方式所带来的技术效果,可以参考对第一方面或第一方面的各种可能的实施方式的技术效果的介绍。
第三方面,本申请实施例提供了一种终端参数更新的保护方法,该方法可由第三通信装置执行,第三通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置,例如芯片***。下面以所述通信设备为UDM实体为例进行描述。该方法包括:
UDM向第一AUSF发送第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;之后,UDM在确定终端处于单注册状态的情况下,确定通过第二AMF发送终端的参数更新信息。
在本申请实施例中,UDM可以指示AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥。这样即使终端在第二AMF所在的第二服务网络注册,也能够保证AUSF上的密钥是唯一的,也就是与终端认证过程中的密钥一致。
在一种可能的实现方式中,UDM在向第一AMF发送第二消息或在接收到第一AMF发送的第三消息的情况下,UDM向第一AUSF发送所述第一消息,其中,第二消息用于删除终端的注册信息,第三消息为第二消息的响应消息。该方案中,UDM在终端通过第二AMF所在的第二服务网络进行注册时,UDM可向第一AUSF发送第一消息,即保证终端处于单注册的状态,从而保证第一AUSF上的密钥是唯一的。
在一种可能的实现方式中,所述第一消息携带所述第一服务网络的标识信息或所述终端的身份标识信息。
第四方面,本申请实施例提供了一终端参数更新的保护方法,该方法可由第四通信装置执行,第四通信装置可以是通信设备或能够支持通信设备实现该方法所需的功能的通信装置,例如芯片***。下面以所述通信设备为AUSF实体为例进行描述。该方法包括:
第一AUSF接收UDM发送的第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;之后,第一AUSF删除终端在第一AMF所在的第一服务网络注册时使用的第一密钥。
在一种可能的实现方式中,所述第一消息携带所述第一服务网络的标识信息或所述终端的身份标识信息。
关于第四方面或第四方面的各种可能的实施方式所带来的技术效果,可以参考对第三方面或第三方面的各种可能的实施方式的技术效果的介绍。
第五方面,提供了一种通信装置,例如该通信装置为如前所述的UDM。该通信装置具有实现上述第一方面方法实施例中的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述通信装置例如包括相互耦合的处理模块和收发模块,其中,该收发模块用于向第一AUSF发送保护请求消息,以及接收第一AUSF发送的保护请求消息的响应消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带所述参数更新信息和第一服务网络信息;该处理模块用于控制收发模块通过第一服务网络对应的AMF发送所述参数更新信息。
在一种可能的实现方式中,该收发模块还用于:在向所述第一AUSF发送所述保护请求消息之前,根据本地策略确定所述第一服务网络信息。
在一种可能的实现方式中,该处理模块具体用于:在确定存在多个服务网络的情况下,确定进行终端的参数更新的所述第一服务网络。
在一种可能的实现方式中,该处理模块具体用于:根据所述第一服务网络信息确定所述第一AUSF。
在一种可能的实现方式中,该处理模块具体用于在向所述第一AUSF发送保护请求消息之前,确定:
所述第一AUSF有所述终端在多个服务网络的认证结果,所述多个服务网络包括所述第一服务网络;或者,
所述终端在多个服务网络,所述多个服务网络包括所述第一服务网络;或者,
所述终端处于双注册状态。
在一种可能的实现方式中,所述第一服务网络信息包括所述第一服务网络的名称;或者,
所述第一服务网络信息包括所述第一服务网络的PLMN的标识ID或所述第一服务网络的ID;或者,
所述第一服务网络信息包括所述终端的认证事件的标识。
在一种可能的实现方式中,所述参数更新信息包括SoR信息。
第六方面,提供了一种通信装置,例如该通信装置为如前所述的AUSF。该通信装置具有实现上述第二方面方法实施例中的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述通信装置例如包括相互耦合的处理模块和收发模块,其中,该收发模块用于接收UDM发送的保护请求消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带所述参数更新信息和第一服务网络信息;所述处理模块用于根据第一服务网络信息确定第一密钥,以及根据第一密钥对所述参数更新信息进行安全保护,其中,第一密钥用于保护所述参数更新信息;
在一种可能的实现方式中,第一服务网络信息为UDM存储的多个第一服务网络信息中的一个服务网络信息。
在一种可能的实现方式中,存在多个AUSF,所述第一AUSF为与所述第一服务网络信息对应的AUSF。
在一种可能的实现方式中,第一AUSF有终端在多个服务网络的认证结果,这多个服务网络包括第一服务网络;或者,
终端在多个服务网络,多个服务网络包括第一服务网络;或者,
终端处于双注册状态。
在一种可能的实现方式中,第一服务网络信息包括第一服务网络的名称;或者,
第一服务网络信息包括第一服务网络的PLMN标识;或者,
第一服务网络信息包括终端的认证事件的标识。
在一种可能的实现方式中,所述参数更新信息包括漫游处理SoR信息。
第七方面,提供了一种通信装置,例如该通信装置为如前所述的UDM。该通信装置具有实现上述第三方面方法实施例中的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述通信装置例如包括相互耦合的处理模块和收发模块,其中,该收发模块用于向第一AUSF发送第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;所述处理模块用于在确定终端处于单注册状态的情况下,确定通过第二AMF发送终端的参数更新信息。
在一种可能的实现方式中,所述收发模块具体用于在向第一AMF发送第二消息或在接收到第一AMF发送的第三消息的情况下,向第一AUSF发送所述第一消息,其中,第二消息用于删除终端的注册信息,第三消息为第二消息的响应消息。
在一种可能的实现方式中,第一消息携带第一服务网络的标识信息或终端的身份标识信息。
第八方面,提供了一种通信装置,例如该通信装置为如前所述的AUSF。该通信装置具有实现上述第四方面方法实施例中的行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述通信装置例如包括相互耦合的处理模块和收发模块,其中,该收发模块用于接收UDM发送的第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;所述处理模块用于删除终端在第一AMF所在的第一服务网络注册时使用的第一密钥。
在一种可能的实现方式中,第一消息携带第一服务网络的标识信息或终端的身份标识信息。
第九方面,提供了一种通信装置。该通信装置可以为上述方法实施例中的UDM或者设置在UDM中的芯片;该通信装置也可以为上述方法实施例中的AUSF或者设置在AUSF或中的芯片。该通信装置包括通信接口以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器与存储器、通信接口耦合,当处理器执行所述计算机程序或指令时,使通信装置执行上述方法实施例中对应功能实体所执行的方法。例如当处理器执行所述计算机程序或指令时,使通信装置执行上述方法实施例中UDM所执行的方法;又例如当处理器执行所述计算机程序或指令时,使通信装置执行上述方法实施例中AUSF或所执行的方法。
其中,第九方面的通信装置中的通信接口可以是通信装置中的收发器,例如通过所述通信装置中的天线、馈线和编解码器等实现,或者,如果通信装置为设置在通信装置中的芯片,则通信接口可以是该芯片的输入/输出接口,例如输入/输出管脚等。
第十方面,提供了一种通信***,所述通信***包括前述的第五方面所述的任一通信装置、第六方面所述的任一通信装置;或者,所述通信***包括前述的第七方面所述的任一通信装置、第八方面所述的任一通信装置。
第十一方面,本申请提供了一种芯片***,该芯片***包括处理器,用于实现上述各方面的方法中UDM或AUSF的功能。在一种可能的设计中,所述芯片***还包括存储器,用于保存程序指令和/或数据。该芯片***,可以由芯片构成,也可以包括芯片和其他分立器件。
第十二方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码并运行时,使得上述各方面中由UDM或AUSF执行的方法被执行。
第十一方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,实现上述各方面中UDM或AUSF执行的方法。
在本申请实施例中,UDM向第一AUSF发送的用于保护终端的参数更新信息的保护请求消息中携带了用于指示第一服务网络的标识。即使终端通过多个服务网络注册到HN,即在一个AUSF对应多个密钥的情况下,能够明确第一AUSF采用哪个密钥,保证终端成功校验UDM进行终端参数更新流程中的参数更新信息。
附图说明
图1为本申请实施例提供的一种网络架构示意图;
图2为本申请实施例提供的网络架构下的一种漫游架构示意图;
图3为本申请实施例提供的网络架构下的另一种漫游架构示意图;
图4为本申请实施例提供的一种终端参数更新的保护方法的一流程示意图;
图5为本申请实施例提供的一种终端参数更新的保护方法的另一流程示意图;
图6为本申请实施例提供的另一种终端参数更新的保护方法的流程示意图;
图7为本申请实施例提供的通信装置的一种结构示意图;
图8为本申请实施例提供的通信装置的另一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
本申请实施例适用的网络架构的示意图,该网络架构可以用于NR通信***,也可以用于下一代通信***。该网络架构包括核心网、接入网和终端。
其中,接入网的主要功能是控制终端通过无线接入到移动通信网络。接入网是移动通信***的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。
核心网包括VPLMN和HPLMN,VPLMN包括移动性管理网元(本文以AMF实例为例)、会话管理网元(本文以SMF实体为例)、策略控制网元(本文以PCF实例为例)等。HPLMN中包括认证服务功能网元(本文以AUSF实体为例)、数据管理网元(本文以UDM实体为例)、AMF实体、PCF实体等。
其中,AMF可负责终端的认证、终端的移动性管理、选择SMF实体,以及维护和管理终端的状态信息等。在5G中,移动性管理网元可以是AMF网元,在未来通信如第六代(the6th generation,6G)中,移动性管理网元仍可以是AMF网元,或有其它的名称,本申请不做限定。
SMF包括会话管理(如会话建立、修改和释放,包含UPF和RAN之间的隧道维护)、UPF网元的选择和控制、业务和会话连续性(Service and Session Continuity,SSC)模式选择、漫游等会话相关的功能。在5G中,会话管理网元可以是SMF网元,在未来通信如6G中,会话管理网元仍可以是SMF网元,或有其它的名称,本申请不做限定。
UPF包括数据包路由和传输、包检测、业务用量上报、服务质量(Quality ofService,QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。在5G中,用户面网元可以是UPF网元,在未来通信如6G中,用户面网元仍可以是UPF网元,或有其它的名称,本申请不做限定。
UDM是由运营商提供的控制面网元,负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、信任状(credential)、安全上下文(security context)、签约数据等信息。UDM网元所存储的这些信息可用于终端设备接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用中国电信的手机芯卡的用户,或者使用***的手机芯卡的用户等。上述签约用户的永久签约标识(Subscription Permanent Identifier,SUPI)可为该手机芯卡的号码等。上述签约用户的信任状、安全上下文可为该手机芯卡的加密密钥或者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。上述安全上下文可为存储在用户本地终端(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可为该手机芯卡的配套业务,例如该手机芯卡的流量套餐或者使用网络等。需要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同认证、授权相关的信息,在本发明本申请文件中,为了描述方便起见不做区分、限制。如果不做特殊说明,本申请实施例将以用安全上下文为例进行来描述,但本申请实施例同样适用于其他表述方式的认证、和/或授权信息。在5G中,数据管理网元可以是UDM网元,在未来通信如6G中,数据管理网元仍可以是UDM网元,或有其它的名称,本申请不做限定。
PCF是由运营商提供的控制面功能,用于向SMF网元提供PDU会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。在5G中,策略控制网元可以是PCF网元,在未来通信如6G中,策略控制网元仍可以是PCF网元,或有其它的名称,本申请不做限定。
AUSF具有鉴权服务功能,用于终结对终端进行认证的网元请求的认证功能,在认证过程中,接收UDM发送的认证向量并对认证向量进行处理,将处理后的认证向量发送给对终端进行认证的网元。
终端,也可以称为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
HPLMN中的实体之间可以通过接口相互通信,也可以通过接口与VPLMN之间的实体进行通信。例如在漫游场景下,HPLMN需要向终端发送参数,例如优选的PLMN等归属网络的参数或需要更新的签约数据。HPLMN中的实体例如UDM需要通过VPLMN的实体例如AMF将这些参数发送给终端。再列如,HPLMN的PCF实体需要将策略信息,依次通过VPLMN的PCF实体、VPLMN的AMF实体发送给终端。由于这些参数的安全等级等,HPLMN需要防止VPLMN等对这些参数进行篡改,所以HPLMN向终端发送这些参数的过程中,通过HPLMN中的AUSF生成的密钥对这些参数进行加密保护处理。由于终端在进行网络注册过程中会生成密钥,所以只要终端的密钥和AUSF保护HPLMN与终端之间的参数的密钥一致,那么对于终端而言,接收到这些参数可通过相应的密钥对其进行校验。
但是在终端双注册的场景中,可能会出现AUSF所选择的密钥与终端侧的密钥不一致,最终导致终端校验失败。
例如,图2示出了本申请实施例适用的一种的网络架构的漫游架构图。在该图2中,终端通过两个服务网络(serving network,SN)进行注册,即终端采用密钥1在AMF1进行注册,终端采用密钥2在AMF2注册。AMF1和AMF2选择了终端的HN中的同一个AUSF,应理解,该AUSF对应两个密钥(即密钥1和密钥2)。或者,终端先通过SN1注册到HN,再通过SN2注册到HN,且SN1和SN2选择了终端的HN中的同一个AUSF。这种情况下,如果UDM需要进行SoR流程或终端参数更新(UE parameters update,UPU)流程,则UDM向AUSF发送保护请求消息,如果AUSF随机选择其中的一个密钥对SoR信息或UPU信息进行加密保护,AUSF所选择的密钥可能与终端侧的密钥不一致,导致终端对接收的SoR信息或UPU信息校验失败。例如UDM选择AMF2进行后续SoR流程,但是AUSF所选择的密钥是密钥1,显然与终端侧的密钥2不一致,最终导致终端侧对接收的SoR信息校验失败。
又例如,图3示出了本申请实施例适用的一种的网络架构的漫游架构图。在该图3中,终端通过两个AN进行注册,即终端采用密钥1在AMF1进行注册,终端采用密钥2在AMF2注册。AMF1选择了终端的HN中的AUSF1,AMF2选择了终端的HN中的AUSF2,应理解,该AUSF1存在密钥1,AUSF2存在密钥2。与图2类似,AUSF侧有两个密钥。这种情况下,如果UDM随机选择一个AUSF对SoR信息或UPU信息进行加密保护,所选择的AUSF上的密钥可能与终端侧的密钥不一致,导致终端对接收的SoR信息或UPU信息校验失败。例如终端侧在AMF1进行后续SoR流程,但是UDM选择AUSF2对SoR信息进行保护,即AUSF2所选择的密钥是密钥2,显然与终端侧的密钥1不一致,最终导致终端侧对接收的SoR信息校验失败。
鉴于此,本申请实施例提供一种网络漫保护方法和通信装置。在本申请实施例中,UDM在向AUSF发送保护请求消息时携带SN的标识,即UDM指示所选择的SN,从而AUSF选择与SN对应的密钥。由于终端的密钥与SN唯一对应,AUSF选择的密钥也与SN唯一对应,所以可保证AUSF侧的密钥和终端侧的密钥一致,保证终端成功校验UDM进行的SoR流程中的SoR信息或者UDM进行UPU流程中的UPU信息。
下面结合附图对本申请实施例提供的定位方法进行详细介绍。
请参见图4,为本申请实施例提供的定位方法的流程图。在下文的介绍过程中,以该方法应用于图1-图3所示的通信***为例。另外,该方法可由两个通信装置执行,这两个通信装置例如为第一通信装置和第二通信装置。为了便于介绍,在下文中,以该方法由AUSF和UDM执行为例,也就是,以第一通信装置是UDM、第二通信装置是AUSF为例。需要说明的是,本申请实施例只是以通过图1-图3的通信***为例,并不限制于这种场景。且本申请实施例适用于保护HPLMN通过AMF向终端发送的参数更新信息的保护,例如可适应SoR流程,也可适用UPU流程。下文以终端的参数更新信息是SoR信息为例。
具体的,本申请实施例提供的终端参数更新的保护方法的具体流程描述如下:
S401、UDM向第一AUSF发送保护请求消息,第一AUSF接收该保护请求消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带参数更新信息和第一SN信息。
本申请实施例旨在解决终端通过多个SN注册到HN的情况下,用于保护HPLMN向终端之间发送的参数的AUSF采用的密钥与终端侧的密钥不一致的问题。为此,本申请实施例中,UDM在向第一AUSF发送的保护请求消息中携带SN的标识信息。应理解,该标识信息用于指示为终端服务的某个SN,在本文中,称为第一SN。也就是UDM可事先从多个SN中选择第一SN,从而选择与该第一SN对应的AUSF对终端的参数更新信息进行加密保护。由于终端的密钥与第一SN唯一对应,AUSF选择的密钥也与第一SN唯一对应,所以可保证AUSF侧的密钥和终端侧的密钥一致,保证终端成功校验UDM进行的SoR流程中的SoR信息或者UDM进行UPU流程中的UPU信息。
应理解,如果终端的参数更新信息是SoR信息,那么保护请求消息用于请求保护SoR信息的,所以在一些实施例中,该保护请求消息也称为SoR保护请求(SoR protectionrequest)消息。需要说明的是,本申请实施例对该保护请求消息的具体名称不作限制,例如如果保护请求消息用于保护终端更新的签约数据,那么该保护请求消息也可以称为UPU保护请求消息。
标识第一SN的具体实现方式有多种,本申请实施例不作限制。示例性的,用于标识第一SN的SN信息可以是第一SN的名称,也可以是包括第一SN的PLMN ID,或者可以是第一SN的ID。或者,该第一SN信息可包括终端的认证事件的标识。应理解,终端的认证事件的标识(authEvent ID)是在认证流程中由UDM发送给AUSF用来标识UE在第一SN认证的一次认证事件,所以authEvent ID可唯一对应一个密钥。
S402、第一AUSF根据保护请求消息中的第一SN信息确定第一密钥,并根据第一密钥对终端的参数更新信息进行安全保护。
应理解,第一密钥可以认为是认证服务功能密钥(Kausf)。如果第一服务网络信息为第一SN的名称或者第一SN的ID或者第一SN的PLMN ID,第一AUSF可根据SUPI和第一服务网络信息选择对应的Kausf,通过该Kausf对保护请求消息中携带的SOR信息进行加密保护。如果第一服务网络信息为authEvent ID,那么第一AUSF可根据authEvent ID选择对应的Kausf,通过该Kausf对保护请求消息中携带的SOR信息进行加密保护。第一AUSF对终端的参数进行保护之后,可以生成保护结果,例如MAC值等信息。
S403、第一AUSF向UDM发送该保护请求消息的响应消息。
应理解,第一AUSF生成保护结果之后,向UDM发送响应消息,该响应消息是前述保护请求消息的响应消息。
在一些实施例中,该响应消息可以包括SoR计数器或UPU计数器,SoR消息认证码MAC或UPU消息认证码MAC等,以告知第一AUSF对终端的参数更新信息的保护结果。
S404、UDM通过与第一服务网络对应的AMF发送终端的参数更新信息。
UDM接收到第一AUSF发送的响应消息之后,可以通过第一SN进行终端的参数更新流程,例如SoR流程。示例性的,UDM向位于第一SN中的AMF发起签约数据管理通知(SDM_notification)服务调用请求消息,该请求消息中携带漫游配置信息,例如PLMN和接入技术组合的优先列表、SoR的消息认证码MAC等信息。
在一些实施例中,UDM在向第一AUSF发送保护请求消息之前,确定进行终端的参数更新流程的第一SN。终端可能处于单注册状态,也可能处于双注册状态下,当终端处于单注册状态下,UDM也可以不确定第一SN,即不执行确定步骤。
示例性的,请参见图5,为本申请实施例提供的终端参数更新的保护方法的一示例性的流程图。
S501、UDM在向第一AUSF发送保护请求消息之前,确定进行终端的参数更新流程的第一SN。
本申请实施例中,UDM发送保护请求消息之前,可确定发送终端的参数更新信息的AMF所在的第一SN。由于在发送保护请求消息之前,选择了第一SN,所以即使在终端处于双注册状态(即终端通过至少两个服务网络进行注册),且这至少两个服务网络中的AMF选择同一个AUSF的情况下,也能够保证第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。
在一些实施例中,UDM可以根据本地策略确定发送终端的参数更新信息的AMF所在的第一SN,例如根据优先级等确定发送终端的参数更新信息的AMF所在的第一SN。
进一步的,UDM在确定存在多个SN的情况下,确定后续进行终端的参数更新流程的第一SN,可以避免存在一个SN的情况下,UDM也判断后续进行终端的参数更新流程的第一SN,与现有终端的参数更新流程机制更好地兼容。
S502、UDM在向第一AUSF发送保护请求消息之前,判断AUSF是否存在多个密钥。
示例性的,UDM在向第一AUSF发送保护请求消息之前,可以判断第一AUSF是否有终端在多个SN的认证结果。如果第一AUSF有终端在多个SN的认证结果,可以认为第一AUSF存在多个密钥,这种情况下,UDM向第一AUSF发送的保护请求消息可以携带SN的标识。应理解,这多个SN包括第一SN。相反,如果第一AUSF没有终端在多个SN的认证结果,可以认为第一AUSF不存在多个密钥,也就是第一AUSF存在一个密钥。这种情况下,UDM向第一AUSF发送的保护请求消息可以不携带SN的标识。
又一示例性的,UDM在向第一AUSF发送保护请求消息之前,可以判断终端是否在多个SN。如果终端在多个SN,可以认为第一AUSF存在多个密钥,此时UDM向第一AUSF发送的保护请求消息可以携带SN的标识。应理解,这多个SN包括第一SN。相反,如果终端不在多个SN,可以认为第一AUSF不存在多个密钥,也就是第一AUSF存在一个密钥。这种情况下,UDM向第一AUSF发送的保护请求消息可以不携带SN的标识。
需要说明的是,终端有多个SN指的是终端设备接入多个SN;或者,多个SN为终端提供服务;或者,终端在多个SN进行注册;或者,终端在多个SN进行认证;或者,终端在UDM上有在多个SN的注册状态;或者,终端在UDM上有在多个SN的认证状态。
再一示例性的,UDM在向第一AUSF发送保护请求消息之前,可以判断终端是否处于双注册状态,即终端同时通过两个SN注册到HN。如果终端处于双注册状态,可以认为第一AUSF存在多个密钥,此时UDM向第一AUSF发送的保护请求消息可以携带SN的标识。相反,如果终端没有处于双注册状态,可以认为第一AUSF不存在多个密钥,也就是第一AUSF存在一个密钥。这种情况下,UDM向第一AUSF发送的保护请求消息可以不携带SN的标识。
UDM在向第一AUSF发送保护请求消息之前,判断AUSF是否存在多个密钥,在确定AUSF存在多个密钥的情况下,UDM才发送SN的络标识,可避免发送的保护请求消息携带不必要的标识。且UDM通过第一SN的标识指定某个密钥,使得第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。
S503、UDM在向第一AUSF发送保护请求消息之前,确定与第一SN对应的第一AUSF。
在本申请实施例中,第一AUSF可以是终端双注册场景中,多个SN所选择的某个AUSF,如图2所示的AUSF;第一AUSF也可以是终端双注册场景中,多个AUSF中的某个AUSF,例如图3所示的2个AUSF中的某个AUSF。应理解,在图3所示的场景中,第一AUSF是UDM从多个AUSF中的选择的。所以UDM在向第一AUSF发送保护请求消息之前,可以从多个AUSF选择第一AUSF。这样即使终端先后通过不同的多个服务网络注册到HN,且不同的服务网络选择不同的AUSF,由于UDM指定第一AUSF保护SoR信息,第一AUSF对应唯一SN(也可认为对应唯一密钥),因此可保证第一AUSF所选择的密钥与终端认证过程中生成的密钥一致。
需要说明的是,S501、S502和S503不是不必可少的步骤,因此在图5中用虚线进行示意。且本申请实施例对S501、S502和S503的先后顺序不作限制。
作为前述实施例的一种可替换的方案,请参见图6,为本申请实施例提供的另一种终端参数更新的保护方法的流程示意图。该流程描述如下:
S601、UDM向第一AUSF发送第一消息,第一AUSF接收该第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一SN注册时所生成的第一密钥,第一AUSF为终端在第一SN注册时进行认证的AUSF。
S602、第一AUSF删除终端在所述第一AMF所在的第一SN注册时生成的第一密钥。
S603、UDM在确定终端处于单注册状态的情况下,确定通过第二AMF发送终端的参数更信息。
在可能的一种场景中,例如终端先通过SN1注册到HN,之后再通过SN2注册到HN,这种情况下,AUSF上也存在两个第一密钥。对此,在本申请实施例中,当终端通过另一个AMF(下文以第二AMF为例)所在SN进行注册时,UDM可以指示对应的AUSF删除终端在已注册AMF(下文以第一AMF为例)所在的第一SN注册时所使用的第一密钥。这样即使终端在第二AMF所在的第二SN注册,也能够保证AUSF上的密钥是唯一的,也就是与终端认证过程中的密钥一致。
应理解,第一消息携带第一服务网络的标识信息或者终端的身份标识信息,以使得AUSF确定删除与第一服务网络对应的密钥。
应理解,UDM向第一AMF发送第二消息,例如用于删除终端的注册信息的消息(Nudm_UECM_DeregistrationNotify消息)时,向第一AUSF发送第一消息;或者UDM在接收到第一AMF发送的第二消息的响应消息,即第三消息(Nudm_SDM_Unsubscribe消息)时,向第一AUSF发送第一消息。
在本申请实施例中,UDM向第一AUSF发送的用于保护终端的参数更新信息的保护请求消息中携带了用于指示第一服务网络的标识。即使终端通过多个服务网络注册到HN,即在一个AUSF对应多个密钥的情况下,能够明确第一AUSF采用哪个密钥,保证终端成功校验UDM进行终端参数更新流程中的参数更新信息。
作为前述实施例的一种可替换的方案,为保证终端和AUSF在需要使用认证服务功能密钥KAUSF时获取到相同的KAUSF,UE,AUSF以及UDM可以通过执行以下动作来保证:
终端在收到安全模式命令SMC消息后或收到安全模式命令SMC消息并验证成功后或收到AUTN并校验成功后或发送认证响应后或发送安全模式完成security modecomplete消息之后或收到扩展认证协议成功消息EAP success或生成新的KAUSF后删除存储的旧的KAUSF或删除存储的在同一服务网络生成的旧的KAUSF。作为一种可选的实施方式,终端在生成新的KAUSF和/或上述条件满足情况下,还可以设定一个定时器,在所述定时器结束时删除存储的旧的KAUSF或删除在同一服务网络生成的旧的KAUSF
AUSF在对终端返回的认证响应校验成功后或向UDM发送终端的认证结果确认请求后或生成新的KAUSF或收到UDM返回的终端的认证结果确认响应后则删除存储的所述终端认证中产生的旧的KAUSF或删除所述终端在同一服务网络认证中产生的旧的KAUSF。作为一种可选的实施方式,AUSF在和终端认证中生成新的KAUSF和/或上述条件满足情况下,还可以设定一个定时器,在所述定时器结束时删除存储的所述终端认证中产生的旧的KAUSF或删除所述终端在同一服务网络认证中产生的旧的KAUSF
UDM在需要进行SoR或UPU时,则会选择最近与终端成功完成认证流程的AUSF。应理解,AUSF在完成与终端认证后会向UDM返回终端的认证结果,认证结果会记录认证的时间以及服务网络名称,所以UDM可以根据记录的时间选择最近完成认证的AUSF。作为一种可选的实施方式,由于认证结果还记录有服务网络名称,所以UDM还可以选择进行SoR或UPU的服务网络中最近与终端成功完成认证流程的AUSF。作为一种可选的实施方式,由于不同AUSF之间可以共享相同终端的KAUSF,所以UDM也可以任选一个AUSF。
这样即使终端先后通过不同的多个服务网络注册到HN,且不同的服务网络选择相同的或不同的AUSF,由于UE和AUSF侧保持了相同的KAUSF,所以UDM指定AUSF保护SoR或UPU信息时,AUSF处只有唯一的密钥KAUSF或针对同一服务网络只有唯一的KAUSF,因此可保证AUSF所选择的密钥与终端选择的密钥一致。
具体的,例如在终端与网络进行主认证流程中,对于EAP-AKA’认证,UDM向AUSF返回UE认证获取响应,携带密钥CK’和IK’。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求。UE接收到SEAF发送的认证请求,计算认证响应以及秘钥CK’和IK’,然后向SEAF返回认证响应,携带EAP响应。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述EAP响应。AUSF认证所收到的EAP响应,如果认证成功,AUSF会根据从UDM获取的CK’和IK’生成第一KAUSF,同时删除存储的旧的KAUSF(如果有的话)。接着AUSF会向SEAF返回UE认证响应,携带EAP success消息。SEAF在收到AUSF的UE认证响应后,向UE返回EAP success消息。UE收到EAP success消息后会根据计算的CK’和IK’生成第二KAUSF,同时删除存储的旧的KAUSF(如果有的话)。其中,所述第一KAUSF和第二KAUSF相同。这就使得UE和AUSF侧在主认证流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。
具体的,例如在终端与网络进行主认证流程中,对于5G AKA认证,UDM向AUSF返回UE认证获取响应,携带第一KAUSF。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应,携带认证令牌AUTN。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求,携带所述AUTN。UE接收到SEAF发送的认证请求,校验所述AUTN成功后,计算认证响应RES*以及第二秘钥KAUSF,同时删除存储的旧的KAUSF(如果有的话),然后向SEAF返回认证响应,携带所述RES*。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述RES*。AUSF认证所收到的所述RES*后,如果认证成功,AUSF会删除存储的旧的KAUSF(如果有的话),如果校验失败则删除第一KAUSF。其中,所述第一KAUSF和第二KAUSF相同。这就使得UE和AUSF侧在主认证流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。
具体的,还例如在终端与网络进行主认证和安全模式命令SMC流程中。对于EAP-AKA’认证,UDM向AUSF返回UE认证获取响应,携带密钥CK’和IK’。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求。UE接收到SEAF发送的认证请求,计算认证响应以及秘钥CK’和IK’,然后向SEAF返回认证响应,携带EAP响应。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述EAP响应。AUSF认证所收到的EAP响应,如果认证成功,AUSF会根据从UDM获取的CK’和IK’生成第一KAUSF,同时删除存储的旧的KAUSF(如果有的话)。接着AUSF会向SEAF返回UE认证响应,携带EAP success消息。SEAF在收到AUSF的UE认证响应后,向UE返回EAP success消息。UE收到EAP success消息后会根据计算的CK’和IK’生成第二KAUSF。其中,所述第一KAUSF和第二KAUSF相同。在认证之后,AMF则会向终端发送安全模式命令SMC消息,终端对所述安全模式命令SMC消息完整性校验成功后则删除存储的旧的KAUSF(如果有的话)。这就使得UE和AUSF侧在主认证流程和安全模式命令SMC流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。
具体的,还例如在终端与网络进行主认证和安全模式命令SMC流程中,对于5G AKA认证,UDM向AUSF返回UE认证获取响应,携带第一KAUSF。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应,携带认证令牌AUTN。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求,携带所述AUTN。UE接收到SEAF发送的认证请求,校验所述AUTN成功后,计算认证响应RES*以及第二秘钥KAUSF,然后向SEAF返回认证响应,携带所述RES*。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述RES*。AUSF认证所收到的所述RES*后,如果认证成功,AUSF会删除存储的旧的KAUSF(如果有的话),如果校验失败则删除第一KAUSF。其中,所述第一KAUSF和第二KAUSF相同。在认证之后,AMF则会向终端发送安全模式命令SMC消息,终端对所述安全模式命令SMC消息完整性校验成功后则删除存储的旧的KAUSF(如果有的话)。这就使得UE和AUSF侧在主认证流程和安全模式命令SMC流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。具体的,还例如在终端与网络进行主认证流程和安全模式命令SMC流程以及认证结果确认流程中。对于EAP-AKA’认证,UDM向AUSF返回UE认证获取响应,携带密钥CK’和IK’。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求。UE接收到SEAF发送的认证请求,计算认证响应以及秘钥CK’和IK’,然后向SEAF返回认证响应,携带EAP响应。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述EAP响应。AUSF认证所收到的EAP响应,如果认证成功,AUSF会根据从UDM获取的CK’和IK’生成第一KAUSF。接着AUSF会向SEAF返回UE认证响应,携带EAP success消息。SEAF在收到AUSF的UE认证响应后,向UE返回EAP success消息。UE收到EAP success消息后会根据计算的CK’和IK’生成第二KAUSF。其中,所述第一KAUSF和第二KAUSF相同。在认证之后,AMF则会向终端发送安全模式命令SMC消息,终端对所述安全模式命令SMC消息完整性校验成功后则删除存储的旧的KAUSF(如果有的话)。同时在AUSF完成对UE的认证后,同时,AUSF完成对UE的认证后,AUSF会向UDM发送终端的认证结果确认请求,并在收到UDM返回的终端的认证结果确认响应后,删除存储的旧的KAUSF(如果有的话)。这就使得UE和AUSF侧在主认证流程和安全模式命令SMC流程以及认证结果确认流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。
具体的,还例如在终端与网络进行主认证流程和安全模式命令SMC流程以及认证结果确认流程中,对于5G AKA认证,UDM向AUSF返回UE认证获取响应,携带第一KAUSF。AUSF接收到UDM返回的UE认证获取响应后,向安全锚点功能SEAF(可能与AMF共部署)返回UE认证响应,携带认证令牌AUTN。SEAF在收到AUSF返回的UE认证响应后,向UE发起认证请求,携带所述AUTN。UE接收到SEAF发送的认证请求,校验所述AUTN成功后,计算认证响应RES*以及第二秘钥KAUSF,然后向SEAF返回认证响应,携带所述RES*。SEAF接收到UE的认证响应后向AUSF发起UE认证请求,携带所述RES*。其中,所述第一KAUSF和第二KAUSF相同。在认证之后,AMF则会向终端发送安全模式命令SMC消息,终端对所述安全模式命令SMC消息完整性校验成功后则删除存储的旧的KAUSF(如果有的话)。同时,AUSF完成对UE的认证后,AUSF会向UDM发送终端的认证结果确认请求,并在收到UDM返回的终端的认证结果确认响应后,删除存储的旧的KAUSF(如果有的话)。这就使得UE和AUSF侧在主认证流程和安全模式命令SMC流程以及认证结果确认流程中删除存储的旧的KAUSF,从而保证UE和AUSF侧只存在唯一的第一和第二KAUSF。在UDM需要进行SoR或UPU时,UDM选择最近与UE完成主认证的AUSF,则所选择的AUSF只保存有与UE一致的KAUSF,从而可以保证AUSF所选择的密钥与终端选择的密钥一致。
上述本申请提供的实施例中,从UDM和AUSF之间交互的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,UDM和AUSF可以包括硬件结构和/或软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能以硬件结构、软件模块、还是硬件结构加软件模块的方式来执行,取决于技术方案的特定应用和设计约束条件。
下面结合附图介绍本申请实施例中用来实现上述方法的装置。因此,上文中的内容均可以用于后续实施例中,重复的内容不再赘述。
如图7所示,为本申请所涉及的通信装置的一种可能的示例性框图,该通信装置700可以对应实现上述各个方法实施例中由UDM或AUSF实现的功能或者步骤。该通信装置可以包括收发模块701和处理模块702。可选的,还可以包括存储模块,该存储模块可以用于存储指令(代码或者程序)和/或数据。收发模块701和处理模块702可以与该存储模块耦合,例如,处理模块702可以读取存储模块中的指令(代码或者程序)和/或数据,以实现相应的方法。上述各个模块可以独立设置,也可以部分或者全部集成。
应理解,处理模块702可以是处理器或控制器,例如可以是通用中央处理器(central processing unit,CPU),通用处理器,数字信号处理(digital signalprocessing,DSP),专用集成电路(application specific integrated circuits,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包括一个或多个微处理器组合,DSP和微处理器的组合等等。收发模块701是一种该装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该收发模块701是该芯片用于从其它芯片或装置接收信号的接口电路,或者,是该芯片用于向其它芯片或装置发送信号的接口电路。
该通信装置700可以为上述实施例中的UDM或AUSF,还可以为用于UDM或AUSF的芯片。例如,当通信装置700为UDM或AUSF时,该处理模块702例如可以是处理器,该收发模块701例如可以是收发器。可选的,该收发器可以包括射频电路,该存储单元例如可以是存储器。例如,当通信装置700为用于UDM或AUSF的芯片时,该处理模块702例如可以是处理器,该收发模块701例如可以是输入/输出接口、管脚或电路等。该处理模块702可执行存储单元存储的计算机执行指令,可选地,该存储单元为该芯片内的存储单元,如寄存器、缓存等,该存储单元还可以是该网络设备、终端或定位管理设备内的位于该芯片外部的存储单元,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
一些可能的实施方式中,通信装置700能够对应实现上述方法实施例中UDM的行为和功能。例如通信装置700可以为UDM,也可以为应用于UDM中的部件(例如芯片或者电路)。收发模块701可以用于支持UDM与其他网络实体的通信,例如支持UDM与图4到图6所示的第一AUSF和/或AMF等之间的通信。处理模块702用于对UDM的动作进行控制管理,例如处理模块702用于支持网络设备执行图4到图6中UDM除收发之外的全部操作。
例如,收发模块701可以用于执行图4所示的实施例中由UDM所执行的全部接收或发送操作,例如图4所示的实施例中的S401、S403和S404,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图4所示的实施例中由UDM所执行的除了收发操作之外的全部操作,和/或用于支持本文所描述的技术的其它过程。
又例如,收发模块701可以用于执行图5所示的实施例中由UDM所执行的全部接收或发送操作,例如图5所示的实施例中的S401、S403和S404,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图5所示的实施例中由UDM所执行的除了收发操作之外的全部操作,例如图5所示的实施例中的S501、S502和S503,和/或用于支持本文所描述的技术的其它过程。
在一些实施例中,收发模块701用于向第一AUSF发送保护请求消息,以及接收第一AUSF发送的保护请求消息的响应消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带所述参数更新信息和第一服务网络信息;该处理模块702用于控制收发模块701通过第一服务网络对应的AMF发送所述参数更新信息。
作为一种可选的实施方式,该收发模块701还用于:在向第一AUSF发送保护请求消息之前,根据本地策略确定第一服务网络信息。
作为一种可选的实施方式,该处理模块702具体用于:在确定存在多个服务网络的情况下,确定进行终端的参数更新的所述第一服务网络。
作为一种可选的实施方式,该处理模块702具体用于:根据第一服务网络信息确定第一AUSF。
作为一种可选的实施方式,该处理模块702具体用于在向第一AUSF发送保护请求消息之前,确定:第一AUSF有所述终端在多个服务网络的认证结果,多个服务网络包括所述第一服务网络;或者,
终端在多个服务网络,多个服务网络包括第一服务网络;或者,
终端处于双注册状态。
作为一种可选的实施方式,第一服务网络信息包括第一服务网络的名称;或者,
第一服务网络信息包括第一服务网络的PLMN的ID或第一服务网络的ID;或者,
第一服务网络信息包括终端的认证事件的标识。
作为一种可选的实施方式,参数更新信息包括SoR信息。
应理解,本申请实施例中的处理模块702可以由处理器或处理器相关电路组件实现,收发模块701可以由收发器或收发器相关电路组件实现。
又例如,收发模块701可以用于执行图5所示的实施例中由UDM所执行的全部接收或发送操作,例如图6所示的实施例中的S601、S603,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图6所示的实施例中由UDM所执行的除了收发操作之外的全部操作,例如图6所示的实施例中的S602,和/或用于支持本文所描述的技术的其它过程。
在一些实施例中,该收发模块701用于向第一AUSF发送第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;所述处理模块702用于在确定终端处于单注册状态的情况下,确定通过第二AMF发送终端的参数更新信息。
作为一种可选的实施方式,所述收发模块701具体用于在向第一AMF发送第二消息或在接收到第一AMF发送的第三消息的情况下,向第一AUSF发送所述第一消息,其中,第二消息用于删除终端的注册信息,第三消息为第二消息的响应消息。
作为一种可选的实施方式,第一消息携带第一服务网络的标识信息或终端的身份标识信息。
一些可能的实施方式中,通信装置700能够对应实现上述方法实施例中第一AUSF的行为和功能。例如通信装置700可以为AUSF,也可以为应用于AUSF中的部件(例如芯片或者电路)。收发模块701可以用于支持AUSF与其他网络实体的通信,例如支持AUSF与图4至图6所示的UDM之间的通信。处理模块702用于对AUSF的动作进行控制管理,例如处理模块702用于支持AUSF执行图4至图6除收发之外的全部操作。
例如,收发模块701可以用于执行图4所示的实施例中由第一AUSF所执行的全部接收或发送操作,例如图4所示的实施例中的S401、S403和S404,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图4所示的实施例中由第一AUSF所执行的除了收发操作之外的全部操作,例如图4所示的实施例中的S402,和/或用于支持本文所描述的技术的其它过程。
又例如,收发模块701可以用于执行图5所示的实施例中由第一AUSF所执行的全部接收或发送操作,例如图5所示的实施例中的S401、S403和S404,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图5所示的实施例中由第一AUSF所执行的除了收发操作之外的全部操作,例如图5所示的实施例中的S402,和/或用于支持本文所描述的技术的其它过程。
该收发模块701用于接收UDM发送的保护请求消息,该保护请求消息用于请求保护终端的参数更新信息,该保护请求消息携带所述参数更新信息和第一服务网络信息;该处理模块702用于根据第一服务网络信息确定第一密钥,以及根据第一密钥对所述参数更新信息进行安全保护,其中,第一密钥用于保护所述参数更新信息;
作为一种可选的实施方式,第一服务网络信息为UDM存储的多个第一服务网络信息中的一个服务网络信息。
作为一种可选的实施方式,存在多个AUSF,所述第一AUSF为与所述第一服务网络信息对应的AUSF。
作为一种可选的实施方式,第一AUSF有终端在多个服务网络的认证结果,这多个服务网络包括第一服务网络;或者,
终端在多个服务网络,多个服务网络包括第一服务网络;或者,
终端处于双注册状态。
作为一种可选的实施方式,第一服务网络信息包括第一服务网络的名称;或者,
第一服务网络信息包括第一服务网络的PLMN标识;或者,
第一服务网络信息包括终端的认证事件的标识。
作为一种可选的实施方式,所述参数更新信息包括SoR信息。
又例如,收发模块701可以用于执行图6所示的实施例中由第一AUSF所执行的全部接收或发送操作,例如图6所示的实施例中的S601、S603,和/或用于支持本文所描述的技术的其它过程。其中,处理模块702用于执行如图6所示的实施例中由第一AUSF所执行的除了收发操作之外的全部操作,例如图6所示的实施例中的S602,和/或用于支持本文所描述的技术的其它过程。
该收发模块701用于接收UDM发送的第一消息,该第一消息用于指示第一AUSF删除终端在第一AMF所在的第一服务网络注册时所使用的第一密钥,第一AUSF为终端在第一服务网络注册时进行认证的AUSF;该处理模块702用于删除终端在第一AMF所在的第一服务网络注册时使用的第一密钥。
在一种可能的实现方式中,第一消息携带第一服务网络的标识信息或终端的身份标识信息。
如图8所示为本申请实施例提供的通信装置800,其中,通信装置800可以是UDM,能够实现本申请实施例提供的方法中UDM的功能,或者,通信装置800可以是AUSF,能够实现本申请实施例提供的方法中第一AUSF的功能;或者,通信装置800也可以是能够支持UDM或AUSF实现本申请实施例提供的方法中对应的功能的装置。其中,该通信装置800可以为芯片***。本申请实施例中,芯片***可以由芯片构成,也可以包含芯片和其他分立器件。
在硬件实现上,上述收发模块701可以为收发器,收发器集成在通信装置800中构成通信接口803。
通信装置800包括至少一个处理器802,处理器802可以是一个CPU,微处理器,ASIC,或一个或多个用于控制本申请方案程序执行的集成电路,用于实现或用于支持通信装置800实现本申请实施例提供的方法中UDM或AUSF实的功能。具体参见方法示例中的详细描述,此处不做赘述。
通信装置800还可以包括至少一个存储器801,用于存储程序指令和/或数据。存储器801和处理器802耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。处理器802可能和存储器801协同操作。处理器802可能执行存储器801中存储的程序指令和/或数据,以使得通信装置800实现相应的方法。所述至少一个存储器中的至少一个可以包括于处理器802中。
通信装置800还可以包括通信接口803,使用任何收发器一类的装置,用于与其他设备或通信网络,如无线接入网(radio access network,RAN),无线局域网(wirelesslocal area networks,WLAN),有线接入网等通信。该通信接口803用于通过传输介质和其它设备进行通信,从而用于通信装置800中的装置可以和其它设备进行通信。示例性地,当该通信装置800为UDM时,该其它设备为AUSF;或者,当该通信装置为AUSF时,该其它设备为UDM。处理器802可以利用通信接口803收发数据。通信接口803具体可以是收发器。
本申请实施例中不限定上述通信接口803、处理器802以及存储器801之间的具体连接介质。本申请实施例在图8中以存储器801、处理器802以及通信接口803之间通过总线804连接,总线在图8中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图8中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在本申请实施例中,处理器802可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器801可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路804与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器801用于存储执行本申请方案的计算机执行指令,并由处理器802来控制执行。处理器802用于执行存储器801中存储的计算机执行指令,从而实现本申请上述实施例提供的终端参数更新的保护方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
本申请实施例还提供一种通信装置,该通信装置可以是电路。该通信装置可以用于执行上述方法实施例中由UDM或第一AUSF所执行的动作。
本申请实施例还提供一种通信***,具体的,通信***包括UDM和ASUF。示例性的,通信***包括用于实现上述图4、图5、图6的相关功能的UDM和ASUF。可选的,该通信***还可以包括更多个UDM和/或ASUF。
所述UDM用于实现上述图4、图5、图6相关UDM部分的功能。所述AUSF用于实现上述图5、图6、图7或图8相关AUSF部分的功能。具体请参考上述方法实施例中的相关描述,这里不再赘述。
本申请实施例中还提供一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行图4、图5、图6中UDM或ASUF执行的方法。
本申请实施例中还提供一种计算机程序产品,包括指令,当其在计算机上运行时,使得计算机执行图4、图5、图6中UDM或ASUF执行的方法。
本申请实施例提供了一种芯片***,该芯片***包括处理器,还可以包括存储器,用于实现前述方法中UDM和ASUF的功能。该芯片***可以由芯片构成,也可以包含芯片和其他分立器件。
本申请实施例提供的方法中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,简称DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digital video disc,简称DVD))、或者半导体介质(例如,SSD)等。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (30)

1.一种终端参数更新的保护方法,其特征在于,包括:
统一数据管理UDM向第一认证服务功能AUSF发送保护请求消息,所述保护请求消息用于请求保护终端的参数更新信息;所述保护请求消息携带所述参数更新信息和第一服务网络信息;
所述UDM接收所述第一AUSF发送的所述保护请求消息的响应消息;
所述UDM通过所述第一服务网络对应的接入和移动性管理功能AMF发送所述参数更新信息。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述UDM在向所述第一AUSF发送所述保护请求消息之前,所述UDM根据本地策略确定所述第一服务网络信息。
3.如权利要求2所述的方法,其特征在于,所述UDM在确定存在多个服务网络的情况下,确定进行终端的参数更新的所述第一服务网络。
4.如权利要求2或3所述的方法,其特征在于,所述方法还包括:
所述UDM根据所述第一服务网络信息确定所述第一AUSF。
5.如权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
所述UDM在向所述第一AUSF发送保护请求消息之前,所述UDM确定:
所述第一AUSF有所述终端在多个服务网络的认证结果,所述多个服务网络包括所述第一服务网络;或者,
所述终端在多个服务网络,所述多个服务网络包括所述第一服务网络;或者,
所述终端处于双注册状态。
6.如权利要求1-5任一所述的方法,其特征在于,所述第一服务网络信息包括所述第一服务网络的名称;或者,
所述第一服务网络信息包括所述第一服务网络的公共陆地移动网络PLMN的标识ID或所述第一服务网络的ID;或者,
所述第一服务网络信息包括所述终端的认证事件的标识。
7.如权利要求1-6任一所述的方法,其特征在于,所述参数更新信息包括漫游处理SoR信息。
8.一种终端参数更新的保护方法,其特征在于,包括:
第一认证服务功能AUSF接收统一数据管理UDM发送的保护请求消息,所述保护请求消息用于请求保护终端的参数更新信息,所述保护请求消息携带所述参数更新信息和第一服务网络信息;
所述第一AUSF根据所述第一服务网络信息确定第一密钥,所述第一密钥用于保护所述参数更新信息;
所述第一AUSF根据所述第一密钥对所述参数更新信息进行安全保护。
9.如权利要求8所述的方法,其特征在于,所述第一服务网络信息为所述UDM存储的多个第一服务网络信息中的一个服务网络信息。
10.如权利要求8或9所述的方法,其特征在于,存在多个AUSF,所述第一AUSF为与所述第一服务网络信息对应的AUSF。
11.如权利要求8或9所述的方法,其特征在于,所述第一AUSF有所述终端在多个服务网络的认证结果,所述多个服务网络包括所述第一服务网络;或者,
所述终端在多个服务网络,所述多个服务网络包括所述第一服务网络;或者,
所述终端处于双注册状态。
12.如权利要求8-11任一所述的方法,其特征在于,所述第一服务网络信息包括所述第一服务网络的名称;或者,
所述第一服务网络信息包括所述第一服务网络的公共陆地移动网络PLMN标识;或者,
所述第一服务网络信息包括所述终端的认证事件的标识。
13.如权利要求8-12任一所述的方法,其特征在于,所述参数更新信息包括漫游处理SoR信息。
14.一种通信装置,其特征在于,包括处理模块和收发模块,其中:
所述收发模块,用于向第一认证服务功能AUSF发送保护请求消息,所述保护请求消息用于请求保护终端的参数更新信息;所述保护请求消息携带所述参数更新信息和第一服务网络信息;
所述收发模块,用于接收所述第一AUSF发送的所述保护请求消息的响应消息;
所述处理模块,用于控制所述收发模块通过所述第一服务网络对应的接入和移动性管理功能AMF发送所述参数更新信息。
15.如权利要求14所述的通信装置,其特征在于,所述收发模块还用于:
在向所述第一AUSF发送所述保护请求消息之前,根据本地策略确定所述第一服务网络信息。
16.如权利要求15所述的通信装置,其特征在于,所述处理模块具体用于:在确定存在多个服务网络的情况下,确定进行终端的参数更新的所述第一服务网络。
17.如权利要求15或16所述的通信装置,其特征在于,所述处理模块具体用于:
根据所述第一服务网络信息确定所述第一AUSF。
18.如权利要求14-17任一所述的通信装置,其特征在于,所述处理模块具体用于在向所述第一AUSF发送保护请求消息之前,确定:
所述第一AUSF有所述终端在多个服务网络的认证结果,所述多个服务网络包括所述第一服务网络;或者,
所述终端在多个服务网络,所述多个服务网络包括所述第一服务网络;或者,
所述终端处于双注册状态。
19.如权利要求14-18任一所述的通信装置,其特征在于,所述第一服务网络信息包括所述第一服务网络的名称;或者,
所述第一服务网络信息包括所述第一服务网络的公共陆地移动网络PLMN的标识ID或所述第一服务网络的ID;或者,
所述第一服务网络信息包括所述终端的认证事件的标识。
20.如权利要求14-19任一所述的通信装置,其特征在于,所述参数更新信息包括漫游处理SoR信息。
21.一种通信装置,其特征在于,包括处理模块和收发模块,其中:
所述收发模块,用于接收统一数据管理UDM发送的保护请求消息,所述保护请求消息用于请求保护终端的参数更新信息,所述保护请求消息携带所述参数更新信息和第一服务网络信息;
所述处理模块,用于根据所述第一服务网络信息确定第一密钥,所述第一密钥用于保护所述参数更新信息;
所述处理模块,用于根据所述第一密钥对所述参数更新信息进行安全保护。
22.如权利要求21所述的通信装置,其特征在于,所述第一服务网络信息为所述UDM存储的多个第一服务网络信息中的一个服务网络信息。
23.如权利要求21或22所述的通信装置,其特征在于,存在多个AUSF,所述第一AUSF为与所述第一服务网络信息对应的AUSF。
24.如权利要求21或22所述的通信装置,其特征在于,所述第一AUSF有所述终端在多个服务网络的认证结果,所述多个服务网络包括所述第一服务网络;或者,
所述终端在多个服务网络,所述多个服务网络包括所述第一服务网络;或者,
所述终端处于双注册状态。
25.如权利要求21-24任一所述的通信装置,其特征在于,所述第一服务网络信息包括所述第一服务网络的名称;或者,
所述第一服务网络信息包括所述第一服务网络的公共陆地移动网络PLMN标识;或者,
所述第一服务网络信息包括所述终端的认证事件的标识。
26.如权利要求21-25任一所述的通信装置,其特征在于,所述参数更新信息包括漫游处理SoR信息。
27.一种通信装置,其特征在于,所述通信装置包括处理器和存储器,所述存储器用于存储计算机程序,所述处理器用于执行存储在所述存储器上的计算机程序,使得所述装置执行如权利要求1~7或8~13中任一项所述的通信方法。
28.一种通信***,其特征在于,包括如权利要求14~20之一的通信装置,和如权利要求21~26之一的通信装置。
29.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被计算机执行时,使所述计算机执行如权利要求1~7或8~13中任意一项所述的方法。
30.一种计算机程序产品,其特征在于,所述计算机程序产品存储有计算机程序,所述计算机程序当被计算机执行时,使所述计算机执行如权利要求1~7或8~13中任意一项所述的方法。
CN202010292085.0A 2020-03-31 2020-04-14 一种终端参数更新的保护方法和通信装置 Pending CN113543121A (zh)

Priority Applications (8)

Application Number Priority Date Filing Date Title
BR112022019885A BR112022019885A2 (pt) 2020-03-31 2021-02-22 Método para proteger atualização de parâmetro de terminal e aparelho de comunicação e sistema de comunicação e meio de armazenamento legível por computador
CA3178449A CA3178449A1 (en) 2020-03-31 2021-02-22 Method for protecting terminal parameter update and communication apparatus
KR1020227037668A KR20220159455A (ko) 2020-03-31 2021-02-22 단말 파라미터 업데이트를 보호하는 방법 및 통신 장치
AU2021247219A AU2021247219B2 (en) 2020-03-31 2021-02-22 Terminal parameter updating protection method and communication device
PCT/CN2021/077280 WO2021196913A1 (zh) 2020-03-31 2021-02-22 一种终端参数更新的保护方法和通信装置
EP21779741.4A EP4132113A4 (en) 2020-03-31 2021-02-22 TERMINAL PARAMETER UPDATE PROTECTION METHOD AND COMMUNICATION DEVICE
JP2022559719A JP2023519997A (ja) 2020-03-31 2021-02-22 端末パラメータ更新を保護するための方法および通信装置
US17/936,634 US20230035970A1 (en) 2020-03-31 2022-09-29 Method for Protecting Terminal Parameter Update and Communication Apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2020102476198 2020-03-31
CN202010247619 2020-03-31

Publications (1)

Publication Number Publication Date
CN113543121A true CN113543121A (zh) 2021-10-22

Family

ID=78119994

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010292085.0A Pending CN113543121A (zh) 2020-03-31 2020-04-14 一种终端参数更新的保护方法和通信装置

Country Status (1)

Country Link
CN (1) CN113543121A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023143251A1 (zh) * 2022-01-30 2023-08-03 华为技术有限公司 通信方法及装置
WO2023165407A1 (zh) * 2022-03-02 2023-09-07 华为技术有限公司 认证方法、发送信息的方法、处理方法及通信装置
WO2024031724A1 (zh) * 2022-08-12 2024-02-15 北京小米移动软件有限公司 终端设备能力指示方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023143251A1 (zh) * 2022-01-30 2023-08-03 华为技术有限公司 通信方法及装置
WO2023165407A1 (zh) * 2022-03-02 2023-09-07 华为技术有限公司 认证方法、发送信息的方法、处理方法及通信装置
WO2024031724A1 (zh) * 2022-08-12 2024-02-15 北京小米移动软件有限公司 终端设备能力指示方法及装置

Similar Documents

Publication Publication Date Title
CN111865598B (zh) 网络功能服务的身份校验方法及相关装置
CN110798833B (zh) 一种鉴权过程中验证用户设备标识的方法及装置
CN110167025B (zh) 一种通信方法及通信装置
CN109922474B (zh) 触发网络鉴权的方法及相关设备
CN112105021B (zh) 一种认证方法、装置及***
CN110557751A (zh) 基于服务器信任评估的认证
US10097540B2 (en) Convenient WiFi network access using unique identifier value
CN113543121A (zh) 一种终端参数更新的保护方法和通信装置
US20230035970A1 (en) Method for Protecting Terminal Parameter Update and Communication Apparatus
CN111818516B (zh) 认证方法、装置及设备
CN110351725B (zh) 通信方法和装置
WO2021109753A1 (zh) 一种应用于极简网络的机卡验证方法和相关设备
CN112512045A (zh) 一种通信***、方法及装置
WO2019056971A1 (zh) 一种鉴权方法及设备
US20220303763A1 (en) Communication method, apparatus, and system
US9137661B2 (en) Authentication method and apparatus for user equipment and LIPA network entities
CN112788598B (zh) 一种保护认证流程中参数的方法及装置
WO2021195816A1 (zh) 一种通信方法、装置及***
WO2019141135A1 (zh) 支持无线网络切换的可信服务管理方法以及装置
CN110351726B (zh) 终端认证的方法及装置
CN115250469A (zh) 一种通信方法以及相关装置
EP4047968A1 (en) Contract information processing method, apparatus, and device
WO2020254205A1 (en) Amf reallocation handling using security context
WO2023144649A1 (en) Application programming interface (api) access management in wireless systems
EP2925034B1 (en) Network element access method and device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination