CN116074828A - 管理安全上下文的方法和装置 - Google Patents
管理安全上下文的方法和装置 Download PDFInfo
- Publication number
- CN116074828A CN116074828A CN202111278501.2A CN202111278501A CN116074828A CN 116074828 A CN116074828 A CN 116074828A CN 202111278501 A CN202111278501 A CN 202111278501A CN 116074828 A CN116074828 A CN 116074828A
- Authority
- CN
- China
- Prior art keywords
- security context
- context
- network element
- security
- mobility management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种管理安全上下文的方法和装置,该方法可以包括:终端设备向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的标识;该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;根据该水平推演指示信息,该终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该终端设备当前的安全上下文;在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文。通过上述方案,可以避免出现UE和网络侧安全上下文不一致的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种管理安全上下文的方法和装置。
背景技术
在第五代(the 5th generation)通信***中,接入和移动管理功能(access andmobility management function,AMF)主要用于UE的注册、连接、移动性管理、签约信息鉴权等。当用户设备UE从一个AMF(记为源AMF)的区域移动到另一个AMF(记为目标AMF)的区域时(这里指UE在空闲态下发生位置变化),该UE需要通过网络注册流程注册到该目标AMF上。然而,按照现有技术规范,如果此时因为某些原因导致UE的网络注册流程失败,则可能会导致UE和网络侧源AMF上的安全上下文不一致。这种情况下,UE的注册请求无法通过NAS的完整性保护检查,从而导致UE之前通过源AMF建立的会话的会话信息也无法迁移到目标AMF中,进而可能会导致之前建立的PDU会话将被释放。
因此,在移动注册场景下,如何避免UE与网络侧的安全上下文不一致导致的问题。
发明内容
本申请提供了一种管理完全上下文的方法和装置,可以避免出现UE与网络侧安全上下文不一致的问题。
第一方面,提供了一种管理安全上下文的方法,该方法包括:终端设备向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的标识;该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;根据该水平推演指示信息,该终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该终端设备当前的安全上下文;在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文。
基于上述方案,在终端设备的注册流程中,如果终端设备进行了水平密钥推演,即利用第一安全上下文中的密钥Kamf进行水平推演得到了新的密钥Kamf’,若注册流程没有成功完成(或者说注册流程失败),终端设备使用第一安全上下文作为当前安全上下文,从而可以避免终端设备和网络侧安全上下文不一致的问题。因此在这种情况下,当注册流程没有成功完成,终端设备可以利用第一安全上下文再次发起注册流程。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备在生成该新的密钥Kamf’之后,维护该第一安全上下文和第二安全上下文;其中,该第二安全上下文包括该Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成。
基于上述方案,终端设备进行了水平密钥推演之后,可以同时维护第一安全上下文和第二安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文,以避免终端侧的安全上下文和网络侧的安全上下文不一致。
结合第一方面,在第一方面的某些实现方式中,该维护该第一安全上下文和第二安全上下文,包括:该终端设备继续将该第一安全上下文作为当前安全上下文,且保存该第二安全上下文。
基于上述方案,终端设备在进行水平密钥推演之后,可以维护第一安全上下文为当前安全上下文,并保存第二安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文。例如,如果注册成功,终端设备可以将第二安全上下文设置成当前安全上下文;如果注册失败,终端设备可以删除第二安全上下文,而使用第一安全上下文进行后续可能的注册流程从而可以避免终端侧的安全上下文和网络侧的安全上下文不一致。
结合第一方面,在第一方面的某些实现方式中,该在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文,包括:该终端设备继续将该第一安全上下文作为当前安全上下文,以及删除该第二安全上下文。
基于上述方案,终端设备在进行水平密钥推演之后,当终端设备维护第一安全上下文为当前安全上下文,并保存第二安全上下文时,在这种情况下,如果注册失败,终端设备可以继续使用第一安全上下文作为当前安全上下文,因此在UE注册失败的情况下,也可以避免终端侧和网络侧的安全上下文不一致。
结合第一方面,在第一方面的某些实现方式中,该维护该第一安全上下文和第二安全上下文,包括:该终端设备保存该第一安全上下文,并将该第二安全上下文作为当前安全上下文。
基于上述方案,终端设备在进行水平密钥推演之后,可以保存第一安全上下文,并设置第二安全上下文为当前安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文。例如,如果注册成功,终端设备可以维护第二安全上下文为当前安全上下文,并删除第一安全上下文;如果注册失败,终端设备可以设置第一安全上下文为当前安全上下文,从而可以使用第一安全上下文进行后续可能的注册流程,可以避免终端侧的安全上下文和网络侧的安全上下文不一致。
结合第一方面,在第一方面的某些实现方式中,该在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文,包括:该终端设备将该第一安全上下文设置为当前安全上下文,以及删除该第二安全上下文。
基于上述方案,终端设备在进行水平密钥推演之后,当终端设备设置第二安全上下文为当前安全上下文,并保存第一安全上下文时,在这种情况下,如果注册失败,终端设备可以将保存的第一安全上下文设置为当前安全上下文,因此在UE注册失败的情况下,也可以避免终端侧和网络侧的安全上下文不一致。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备确定该注册流程没有成功完成。
基于上述方案,终端设备可以确定或判断注册流程是否失败,如果注册流程没有成功完成(或者说注册流程失败)的话,终端设备便设置或维护第一安全上下文为当前安全上下文,从而可以利用第一安全上下文进行后续可能的注册流程,避免在后续注册流程中因终端侧或网络侧的安全上下文不一致导致的注册流程失败的情况。
结合第一方面,在第一方面的某些实现方式中,该终端设备确定该注册流程没有成功完成,包括:该终端设备在接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;或者,该终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的链接释放;该终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。
基于上述技术方案,在接收到注册接受消息之前,终端设备可以根据是否成功发送了NAS安全模式完成消息,或者是否链路异常释放、或者RRC连接是否被挂起或者释放等,来确定注册流程是否失败。如果注册流程没有成功完成的话,终端设备便设置或维护第一安全上下文为当前安全上下文,从而可以利用第一安全上下文进行后续可能的注册流程,避免在后续注册流程中因终端侧或网络侧的安全上下文不一致导致的注册流程失败的情况。
第二方面,提供了一种管理安全上下文的方法,该方法包括:源移动管理网元接收来自目标移动管理网元的上下文请求消息,该上下文请求消息用于请求获取终端设备的上下文;在需要进行水平密钥推演的情况下,该源移动管理网元根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该源移动管理网元与该终端设备之间当前的安全上下文;响应于该上下文请求消息,该源移动管理网元向该目标移动管理网元发送第二安全上下文;其中,该第二安全上下文包括该新的密钥Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成;该源移动管理网元维护该第一安全上下文和/或该第二安全上下文。
基于上述方案,当源移动管理网元进行了水平密钥推演之后,可以维护第一安全上下文和/或第二安全上下文。
具体来说,对于源移动管理网元,在水平推演之后,可以维持第一安全上下文为当前安全上下文,并删除第二安全上下文。在这种情况下,源移动管理网元始终使用第一安全上下文,可以避免网络侧和终端侧的上下文不一致。源移动管理网元可以利用该第一安全上下文对终端设备后续可能的注册请求进行安全验证,该方案可以防止网络侧因安全上下文和终端侧不一致导致的注册失败的情况。
也可以设置第二安全上下文为当前安全上下文,并删除第一安全上下文。在这种情况下,源移动管理网元在生成第二安全上下文之后,并将第二安全上下文设置为当前安全上下文。在终端设备生成第二安全上下文便将第二安全上下文设置为当前安全上下文的情况下,可以避免终端设备和网络侧的安全上下文不一致所带来的问题。
也可以维持第一安全上下文为当前安全上下文,并保存第二安全上下文;或者设置第二安全上下文为当前安全上下文,并保存第一安全上下文。在这两种情况中,无论终端设备在水平推演之后,使用第一安全上下文还是第二安全上下文作为当前安全上下文,都可以保证源移动管理网元侧持有对应的安全上下文,从而可以避免网络侧无法对终端设备的注册请求的安全保护验证成功的问题。
结合第二方面,在第二方面的某些实现方式中,该在该源移动管理网元维护该第一安全上下文和该第二安全上下文的情况下,该方法还包括:该源移动管理网元接收来自又一个目标移动管理网元的上下文请求消息,该上下文请求消息用于请求终端设备的上下文,该上下文请求消息包括受到了安全保护的注册请求消息,该注册请求消息包括该终端设备的标识;该源移动管理网元利用该第一安全上下文和该第二安全上下文对该注册请求消息进行安全验证;在利用该第一安全上下文和该第二安全上下文中的任一个对该注册请求消息安全验证成功,且需要进行水平密钥推演的情况下,该源移动管理网元根据验证成功的安全上下文中的密钥,生成新的密钥Kamf”,并向该目标移动管理网元发送第三安全上下文,该第三安全上下文包括该新的密钥Kamf”。
基于上述技术方案,在源移动管理网元维护第一安全上下文和第二安全上下文的情况,如果源移动管理网元接收到来自又一个目标移动管理网元的上下文请求消息的话,源移动管理网元可以分别使用第一安全上下文和第二安全上下文对该上下文请求消息中携带的注册请求消息进行安全验证,从而可以避免终端侧和网络侧的安全上下文不一致导致的验证失败的问题。
结合第二方面,在第二方面的某些实现方式中,该在该源移动管理网元维护该第一安全上下文和该第二安全上下文的情况下,该方法还包括:该源移动管理网元接收来自又一个目标移动管理网元的上下文请求消息,该上下文请求消息用于请求终端设备的上下文,该上下文请求消息包括受到了安全保护的注册请求消息,该注册请求消息包括该终端设备的标识;该源移动管理网元利用该第一安全上下文和该第二安全上下文对该注册请求消息进行安全验证;在利用该第一安全上下文和该第二安全上下文中的任一个对该注册请求消息安全验证成功,且不需要进行水平密钥推演的情况下,该源移动管理网元向该目标移动管理网元发送验证成功的安全上下文。
基于上述技术方案,在源移动管理网元维护第一安全上下文和第二安全上下文的情况,如果源移动管理网元接收到来自又一个目标移动管理网元的上下文请求消息的话,源移动管理网元可以分别使用第一安全上下文和第二安全上下文对该上下文请求消息中携带的注册请求消息进行安全验证,从而可以避免终端侧和网络侧的安全上下文不一致导致的验证失败的问题。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该源移动管理网元接收来自该目标移动管理网元的注册成功指示信息,该注册成功指示信息用于指示该终端设备成功注册到了网络;该源移动管理网元删除该第一安全上下文和/或该第二安全上下文。
基于上述技术方案,源移动管理网元可以在接收到注册成功指示信息之后,将其维护的安全上下文删除,从而可以节省资源。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该源移动管理网元接收去注册通知消息,该去注册通知消息用于指示该源移动管理网元执行该终端设备的去注册;该源移动管理网元删除该第一安全上下文和/或该第二安全上下文。
基于上述技术方案,源移动管理网元可以在接收到去注册通知消息之后,将其维护的安全上下文删除,从而可以节省资源。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:在预设时间之后,该源移动管理网元删除该第一安全上下文和/或该第二安全上下文。
基于上述技术方案,源移动管理网元可以在预设时间过后,将其维护的安全上下文删除,从而可以节省资源。
结合第二方面,在第二方面的某些实现方式中,该源移动管理网元维护该第一安全上下文的情况下,该方法还包括:该源移动管理网元删除该第二安全上下文。
基于上述技术方案,在源移动管理网元维护第一安全上下文为当前安全上下文的情况,可以删除第二安全上下文,从而可以节省资源。
第三方面,提供了一种管理安全上下文的方法,该方法包括:目标移动管理网元接收来自终端设备的注册请求消息,该注册请求消息包括该终端设备的身份标识;该目标移动管理网元向源移动管理网元发送上下文请求消息,该上下文请求消息用于请求获取该终端设备的上下文;该目标移动管理网元接收来自该目标移动管理网元的上下文响应消息,该上下文响应消息包括安全上下文和水平推演指示信息;该目标移动管理网元向该终端设备发送非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括该水平推演指示信息,该水平推演指示信息用于指示该终端设备进行水平密钥推演;该目标移动管理网元接收来自该终端设备的受到了安全保护的NAS安全模式完成消息;该目标移动管理网元利用该安全上下文对该NAS安全模式完成消息进行安全验证;在验证成功的情况下,该目标移动管理网元向该源移动管理网元发送指示信息,该指示信息用于指示该源移动管理网元删除该终端设备的上下文。
基于上述技术方案,目标移动管理网元对来自终端设备的NAS安全模式完成消息验证成功后,可以只是源移动管理网元删除终端设备的上下文,从而可以节省资源,并降低密钥泄露的可能性,提高安全性。
第四方面,提供了一种管理安全上下文的装置,该装置包括:收发模块,用于向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的身份标识;该收发模块还用于接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;处理模块,用于,根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该终端设备当前的安全上下文;该处理模块还用于,在注册流程没有成功完成的情况下,使用该第一安全上下文为当前安全上下文。
结合第四方面,在第四方面的某些实现方式中,该处理模块还用于:生成该新的密钥Kamf’之后,维护该第一安全上下文和第二安全上下文;其中,该第二安全上下文包括该Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成。
结合第四方面,在第四方面的某些实现方式中,该处理模块具体用于:继续将该第一安全上下文作为当前安全上下文,且保存该第二安全上下文。
结合第四方面,在第四方面的某些实现方式中,该处理模块具体用于:继续将该第一安全上下文作为当前安全上下文,以及删除该第二安全上下文。
结合第四方面,在第四方面的某些实现方式中,该处理模块具体用于:该终端设备保存该第一安全上下文,并将该第二安全上下文作为当前安全上下文。
结合第四方面,在第四方面的某些实现方式中,该处理模块具体用于:该终端设备将该第一安全上下文设置为当前安全上下文,以及删除该第二安全上下文。
结合第四方面,在第四方面的某些实现方式中,该处理模块还用于:该终端设备确定该注册流程没有成功完成。
结合第四方面,在第四方面的某些实现方式中,该处理模块具体用于:在收发模块接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;或者,在收发模块接收到注册接受消息之前,确定自身与接入网设备之间的链接释放;在收发模块接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。
第五方面,提供了一种管理安全上下文的装置,该方法包括:收发模块,用于接收来自目标移动管理网元的上下文请求消息,该上下文请求消息用于请求获取终端设备的上下文;处理模块,用于在需要进行水平密钥推演的情况下,根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该源移动管理网元与该装置之间当前的安全上下文;该收发模块还用于向该目标移动管理网元发送第二安全上下文;其中,该第二安全上下文包括该新的密钥Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成;该处理模块还用于维护该第一安全上下文和/或该第二安全上下文。
结合第五方面,在第五方面的某些实现方式中,该收发模块还用于:接收来自又一个目标移动管理网元的上下文请求消息,该上下文请求消息用于请求终端设备的上下文,该上下文请求消息包括受到了安全保护的注册请求消息,该注册请求消息包括该终端设备的身份标识;处理模块,用于利用该第一安全上下文和该第二安全上下文对该注册请求消息进行安全验证;在利用该第一安全上下文和该第二安全上下文中的任一个对该注册请求消息安全验证成功,且需要进行水平密钥推演的情况下,该处理模块还用于根据验证成功的安全上下文中的密钥,生成新的密钥Kamf”,该收发模块还用于向该目标移动管理网元发送第三安全上下文,该第三安全上下文包括该新的密钥Kamf”。
结合第五方面,在第五方面的某些实现方式中,该收发模块还用于:接收来自又一个目标移动管理网元的上下文请求消息,该上下文请求消息用于请求终端设备的上下文,该上下文请求消息包括受到了安全保护的注册请求消息,该注册请求消息包括该终端设备的身份标识;该处理模块还用于利用该第一安全上下文和该第二安全上下文对该注册请求消息进行安全验证;在利用该第一安全上下文和该第二安全上下文中的任一个对该注册请求消息安全验证成功,且不需要进行水平密钥推演的情况下,该收发模块还用于向该目标移动管理网元发送验证成功的安全上下文。
结合第五方面,在第五方面的某些实现方式中,该收发模块还用于:接收来自该目标移动管理网元的注册成功指示信息,该注册成功指示信息用于指示该终端设备成功注册到了网络;该处理模块还用于:删除该第一安全上下文和/或该第二安全上下文。
结合第五方面,在第五方面的某些实现方式中,该收发模块还用于:接收去注册通知消息,该去注册通知消息用于指示该源移动管理网元执行该终端设备的去注册;该处理模块还用于:删除该第一安全上下文和/或该第二安全上下文。
结合第五方面,在第五方面的某些实现方式中,该处理模块还用于:在预设时间之后,删除该第一安全上下文和/或该第二安全上下文。
结合第五方面,在第五方面的某些实现方式中,在该处理模块维护该第一安全上下文的情况下,该处理模块还用于:删除该第二安全上下文。
第六方面,提供了一种管理安全上下文的装置,该装置包括:收发模块,用于接收来自终端设备的注册请求消息,该注册请求消息包括该终端设备的身份标识;收发模块,用于向源移动管理网元发送上下文请求消息,该上下文请求消息用于请求获取该终端设备的上下文;该收发模块还用于接收来自该目标移动管理网元的上下文响应消息,该上下文响应消息包括安全上下文和水平推演指示信息;该收发模块还用于向该终端设备发送非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括该水平推演指示信息,该水平推演指示信息用于指示该终端设备进行水平密钥推演;该收发模块还用于接收来自该终端设备的受到了安全保护的NAS安全模式完成消息;该处理模块还用于利用该安全上下文对该NAS安全模式完成消息进行安全验证;在验证成功的情况下,该收发模块还用于向该源移动管理网元发送指示信息,该指示信息用于指示该源移动管理网元删除该终端设备的上下文。
第七方面,提供一种通信装置,该装置用于执行上述第一方面至第五方面提供的方法。具体地,该装置可以包括用于执行第一方面至第三方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
在一种实现方式中,该装置为网络设备,例如该装置为源移动管理网元,或目标移动管理网元。当该装置为网络设备时,通信单元可以是收发器,或,输入/输出接口;处理单元可以是处理器。
在另一种实现方式中,该装置为用于网络设备中的芯片、芯片***或电路。当该装置为用于通信设备中的芯片、芯片***或电路时,通信单元可以是该芯片、芯片***或电路上的输入/输出接口、接口电路、输出电路、输入电路、管脚或相关电路等;处理单元可以是处理器、处理电路或逻辑电路等。
一种可能情况,该装置为源移动管理网元或源移动管理网元中的芯片、芯片***或电路。在该情况下,该装置可以包括用于执行第二方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
又一种可能情况,该装置为目标移动管理网元中的芯片、芯片***或电路。在该情况下,该装置可以包括用于执行第三方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
在另一种实现方式中,该装置为终端设备。当该装置为终端设备时,通信单元可以是收发器,或,输入/输出接口;处理单元可以是处理器。
一种可能情况,该装置为终端设备(10)或终端设备(10)中的芯片、芯片***或电路。在该情况下,该装置可以包括用于执行第一方面中任一方面提供的方法的单元和/或模块,如处理单元和/或通信单元。
可选地,上述收发器可以为收发电路。可选地,上述输入/输出接口可以为输入/输出电路。
第八方面,提供一种通信装置,该装置包括:存储器,用于存储程序;处理器,用于执行存储器存储的程序,当存储器存储的程序被执行时,处理器用于执行上述第一方面至第三方面提供的方法。
第九方面,本申请提供一种处理器,用于执行上述各方面提供的方法。在执行这些方法的过程中,上述方法中有关发送上述信息和获取/接收上述信息的过程,可以理解为由处理器输出上述信息的过程,以及处理器接收输入的上述信息的过程。在输出上述信息时,处理器将该上述信息输出给收发器,以便由收发器进行发射。该上述信息在由处理器输出之后,还可能需要进行其他的处理,然后才到达收发器。类似的,处理器接收输入的上述信息时,收发器获取/接收该上述信息,并将其输入处理器。更进一步的,在收发器收到该上述信息之后,该上述信息可能需要进行其他的处理,然后才输入处理器。
基于上述原理,举例来说,前述方法中提及的接收请求消息可以理解为处理器接收输入的信息。
对于处理器所涉及的发射、发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则均可以更加一般性的理解为处理器输出和接收、输入等操作,而不是直接由射频电路和天线所进行的发射、发送和接收操作。
在实现过程中,上述处理器可以是专门用于执行这些方法的处理器,也可以是执行存储器中的计算机指令来执行这些方法的处理器,例如通用处理器。上述存储器可以为非瞬时性(non-transitory)存储器,例如只读存储器(read only memory,ROM),其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第十方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第三方面提供的方法。
第十一方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第三方面提供的方法。
第十二方面,提供一种芯片,该芯片包括处理器与通信接口,该处理器通过该通信接口读取存储器上存储的指令,执行上述第一方面至第三方面提供的方法。
可选地,作为一种实现方式,该芯片还可以包括存储器,该存储器中存储有指令,该处理器用于执行该存储器上存储的指令,当该指令被执行时,该处理器用于执行上述第一方面至第三方面提供的方法。
附图说明
图1是一种适用于本申请实施例的网络结构的示意图。
图2是一种终端设备进行注册的方法的示意性流程图。
图3是本申请实施例提供的一种管理安全上下文的方法的示例性流程图。
图4是本申请实施例提供的另一种管理安全上下文的方法的示例性流程图。
图5是本申请实施例提供的又一种管理安全上下文的方法的示例性流程图。
图6是本申请实施例提供的又一种管理安全上下文的方法的示例性流程图。
图7是本申请一个实施例提供的管理安全上下文的装置的示意性框图。
图8是本申请另一个实施例提供的管理安全上下文的装置的示意性框图。
图9是本申请又一个实施例提供的管理安全上下文的装置的示意性框图。
图10是本申请又一个实施例提供的管理安全上下文的装置的示意性框图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图,对本申请中的技术方案进行描述。方法实施例中的具体操作方法也可以应用于装置实施例或***实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
可以理解的是,在本申请中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”以及其他各种术语标号等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了解决背景技术提及的问题,如图1的(a)所示,本申请提供了一种通信***,该通信***包括目标移动管理网元10和源移动管理网元20。其中,该目标移动管理网元10用于在接收到来自终端设备的注册请求消息后,向源移动管理网元发送上下文请求消息;接收来自该目标移动管理网元的上下文响应消息,该上下文响应消息包括终端设备的上下文信息,该终端设备的上下文信息包括安全上下文和水平推演指示信息。应理解,该上下文信息还可能包括其他信息,本申请不做限定,具体可参考现有协议;进一步的,目标移动管理网元10向该终端设备发送非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括该水平推演指示信息,该水平推演指示信息用于指示该终端设备进行水平密钥推演;接收来自该终端设备的NAS安全模式完成消息后,利用该安全上下文对该NAS安全模式完成消息进行安全验证;在验证成功之后,如果终端设备的注册流程成功完成,目标移动管理网元向该源移动管理网元发送指示信息,该指示信息用于指示该源移动管理网元删除该终端设备的上下文。该源移动管理网元20用于在接收来自目标移动管理网元的上下文请求消息后,该上下文请求消息用于请求获取终端设备的上下文;在需要进行水平密钥推演的情况下,根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,该第一安全上下文为该源移动管理网元与该终端设备之间当前的安全上下文;响应于该上下文请求消息,向该目标移动管理网元发送第二安全上下文;其中,该第二安全上下文包括该新的密钥Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成;维护该第一安全上下文和/或该第二安全上下文。可选地,该通信***中还可以包括一个或多个终端设备,例如终端设备30。该终端设备30用于:向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的标识;接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;根据该水平推演指示信息,根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’和新的NAS密钥;其中,该第一安全上下文为该终端设备当前的安全上下文;在注册流程没有成功完成的情况下,使用该第一安全上下文为当前安全上下文。
应理解,上述通信***中的各网元的名称仅作为一种示例,不造成任何限定作用。在上述***中,目标移动管理网元10和源移动管理网元20均为用于实现移动性管理和接入管理功能的网元,其中,目标移动管理网元10可以是终端设备30请求注册到的移动管理网元,源移动管理网元20可以是终端设备30请求注册到目标移动管理网元10之前,为终端设备30提供服务的移动管理网元。在终端设备30请求注册到目标移动管理网元之前,终端设备30已经通过注册流程注册到了源移动管理网元。上述网元名称只是为了区分不同网元,在不同的场景或者示例中,它们还可以有其他名称,或者说,实现相同功能的网元均应在本申请的保护范围内。
应理解,图1的(a)中各网元之间的具体交互过程可以参照图3中的方法流程,具体实现方案见方法300中的详细说明。
本申请提供的技术方案可以应用于各种通信***,例如:第五代(5thgeneration,5G)或新无线(new radio,NR)***、长期演进(long term evolution,LTE)***、LTE频分双工(frequency division duplex,FDD)***、LTE时分双工(time divisionduplex,TDD)***等。本申请提供的技术方案还可以应用于未来的通信***,如第六代移动通信***。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet ofthings,IoT)通信***或者其他通信***。
如图1的(b)所示,为基于服务化架构的第五代(5th generation,5G)网络架构示意图。
图1的(b)所示的5G网络架构中可包括三部分,分别是终端设备部分、数据网络(data network,DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。
其中,运营商网络可包括以下网元中的一个或多个:鉴权服务器功能(authentication server function,AUSF)网元、网络开放功能(network exposurefunction,NEF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、统一数据库(unified data repository,UDR)、网络存储功能(network repository function,NRF)网元、应用功能(applicationfunction,AF)网元、接入与移动性管理功能(access and mobility managementfunction,AMF)网元、会话管理功能(session management function,SMF)网元、无线接入网(radioaccess network,RAN)以及用户面功能(user plane function,UPF)网元等。上述运营商网络中,除无线接入网部分之外的部分可以称为核心网络部分。
1、终端设备(terminal device):也可以成为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备,指的是第三代合作伙伴计划(3rd generation partnershipproject,3GPP)终端。为便于说明,本申请后续以UE代指终端设备为例进行说明。
上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN,使用DN上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终端设备之外的服务方,可为终端设备提供他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
2、无线接入网络(radio access network,RAN)网元:在下文中简称为RAN,对应接入网设备。
RAN是运营商网络的子网络,是运营商网络中业务节点与终端设备之间的实施***。终端设备要接入运营商网络,首先是经过RAN,进而可通过RAN与运营商网络的业务节点连接。本申请中的RAN设备,是一种为终端设备提供无线通信功能的设备,RAN设备也称为接入网设备。本申请中的RAN设备包括但不限于:5G中的下一代基站(g nodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(basetransceiver station,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseBand unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等。
3、用户面功能(user plane function,UPF):用于分组路由和转发以及用户面数据的服务质量(quality of service,QoS)处理等。
在5G通信***中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信***中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、接入和移动管理网元
接入和移动管理网元主要用于移动性管理和接入管理等,可以用于实现MME功能中除会话管理之外的其它功能,例如,接入授权/鉴权等功能。
在5G通信***中,该接入和移动管理网元可以是接入和移动管理功能(accessand mobility management function,AMF)。在未来通信***中,接入和移动管理设备仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
5、会话管理功能(session management function,SMF):主要用于会话管理、用户设备的网络互连协议(internet protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信***中,该会话管理网元可以是会话管理功能网元。在未来通信***中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
6、策略控制功能(policy control function,PCF):用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF等)提供策略规则信息等。
在4G通信***中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信***中,该策略控制网元可以是策略控制功能PCF网元。在未来通信***中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
7、应用功能(application function,AF):用于进行应用影响的数据路由,无线接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信***中,该应用网元可以是应用功能网元。在未来通信***中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
8、统一数据管理(unified data management,UDM):用于处理UE标识,接入鉴权,注册以及移动性管理等。
在5G通信***中,该数据管理网元可以是统一数据管理网元;在4G通信***中,该数据管理网元可以是归属用户服务器(home subscriber server,HSS)网元在未来通信***中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
9、认证服务器(authentication server function,AUSF):用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在5G通信***中,该认证服务器可以是认证服务器功能网元。在未来通信***中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
10、数据网络(data network,DN):DN是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为终端设备提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
图1的(b)中Nausf、Nnef、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
在图1的(b)所示的网络架构中,各网元之间可以通过图中所示的接口通信。如图所示,UE和AMF之间可以通过N1接口进行交互,交互消息例如可以称为N1消息(N1Message)。RAN和AMF之间可以通过N2接口进行交互,N2接口可以用于非接入层(non-access stratum,NAS)消息的发送等。RAN和UPF之间可以通过N3接口进行交互,N3接口可以用于传输用户面的数据等。SMF和UPF之间可以通过N4接口进行交互,N4接口可以用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息。UPF和DN之间可以通过N6接口进行交互,N6接口可以于传输用户面的数据等。其他接口与各网元之间的关系如图1中所示,为了简洁,这里不一一详述。
应理解,上述应用于本申请实施例的网络架构仅是举例说明的从服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF、SMF、UPF、网络切片选择功能网元(network sliceselection function,NSSF)、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。图1中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以网络设备为接入和移动管理网元AMF,基站为无线接入网络RAN为例进行说明。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatiledisc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasableprogrammable read-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
为便于理解本申请实施例,首先对本申请中涉及到的术语做简单说明。
1、NAS安全上下文:可以用于实现数据进行NAS层加/解密和/或完整性保护/验证的信息。
UE对应的NAS安全上下文包括:密钥标识符(例如ngKSI)、Kamf、UE的安全能力、上行NAS COUNT和下行NAS COUNT。可选的,还包括完整性保护密钥与选择的完整性保护算法,加密密钥与选择的加密算法。其中,加密密钥和选择的加密算法用于对UE与AMF之间传输的NAS消息进行加密保护;完整性密钥和选择的完整性保护算法用于对UE与AMF之间传输的NAS消息进行完整性保护。UE的安全能力用于表征UE支持的加密算法和完整性保护算法。
在移动注册场景中,如果源AMF根据本地策略决定进行水平Kamf推演,源AMF可以根据当前的NAS安全上下文中的密钥Kamf,以及接收到的注册请求消息中的上行NAS计数值,进行水平Kamf推演得到新的密钥Kamf’。然后源AMF可以将新的密钥Kamf’、新的ngKSI、UE安全能力和水平推演指示(keyAmfHDerivationInd)发送给目标AMF。应理解,这里的新的ngKSI和之前的(即推演前的)ngKSI相同。如果目标AMF决定使用从源AMF接收到的新的密钥Kamf’,目标AMF可以通过NAS SMC消息向UE发送值为1的K_AMF_change_flag,其中值为1的K_AMF_change_flag用于指示UE进行水平密钥推演。这里的NAS SMC消息中还包括UE安全能力、选择的NAS算法和ngKSI。如果UE接收到值为1的K_AMF_change_flag,则UE进行水平Kamf推演得到新的密钥Kamf’。
2、当前NAS安全上下文(current NAS security context):处于使用中或者激活状态的NAS安全上下文。
3、非当前NAS安全上下文(non-current NAS security context):非当前正在使用的或者处于非激活状态的NAS安全上下文。下面结合图2介绍一种管理安全上下文的方法200。该方法200包括:
201,UE向目标AMF发送注册请求消息。
由于位置移动,UE触发注册请求消息给网络。例如,UE移动到一个新的AMF区域(记为目标AMF),该UE的注册请求消息被投递到该目标AMF上。示例性地,UE向目标AMF(targetAMF)发送注册请求(registration request,RR)消息,该RR消息中携带UE的标识,例如5G全球唯一临时用户设备标识(5G generation globally unique temporary user equipmentidentity,5G-GUTI)。应理解,UE通过当前NAS安全上下文对该RR消息进行了完整性保护,该当前NAS安全上下文为UE在该注册流程之前,用于保护UE与源AMF之间的传递的NAS消息的NAS安全上下文,或者说该当前NAS安全上下文为源AMF在203进行水平KAMF推演之前使用的NAS安全上下文。
202,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括UE的标识(例如5G-GUTI),该Namf_Communication_UEContextTransfer中还包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在201接收到的RR消息。
203,源AMF根据本地策略进行水平推演,生成新的NAS安全上下文。
示例性地,源AMF在接收到UE上下文传输请求消息之后,根据UE的标识在数据库中获取UE的数据(包括与该UE对应的当前NAS安全上下文),源AMF利用当前NAS安全上下文验证接收到的RR消息的完整性。如果RR消息的完整性验证通过,源AMF根据本地策略,决定是否推演新的NAS安全上下文。如果源AMF决定进行推演新的NAS安全上下文,则源AMF进行水平KAMF推演,得到新的NAS安全上下文。具体地,源AMF利用当前激活的Kamf和注册请求消息中携带的上行NAS count,进行水平推演得到新的密钥Kamf’。该新NAS的安全上下文中包括该新的密钥Kamf’。这里的新的NAS安全上下文是相对于源AMF进行水平推演前的NAS安全上下文而言的,因此,此时也可以将源AMF进行水平推演前的NAS安全上下文记为旧的NAS安全上下文。
源AMF随后删除其持有的NAS安全上下文。
204,源AMF向目标AMF发送UE上下文传输响应消息。
示例性地,如果源AMF在数据库中找到了UE对应的数据,并且根据本地策略进行了水平密钥推演,源AMF向目标AMF发送UE上下文传输响应(Namf_Communication_UEContextTransfer Response)消息,该响应消息中携带UE上下文、SUPI、水平KAMF推演指示(keyAmfHDerivationInd指示)。该UE上下文中包括安全上下文。如果源AMF根据本地策略进行了水平KAMF推演,则该响应消息中携带的安全上下文为源AMF在203推演得到的新的安全上下文。
205,目标AMF向UE发送安全模式命令消息。
示例性地,目标AMF接收来自源AMF的UE上下文传输响应消息,如果该响应消息中携带了UE的SUPI,则目标AMF保存该UE上下文传输响应消息中携带的NAS安全上下文。如果目标AMF根据本地策略,启用该响应消息中携带的安全上下文,即源AMF推演得到的新的NAS安全上下文,则目标AMF发起非接入层安全模式命令(non access stratum security modecommand,NAS SMC)消息给UE,用于建立UE和目标AMF之间的NAS安全上下文。该安全模式命令消息中携带水平推演参数(horizontal derivation parameter,HDP),该HDP可以是值为1的K_AMF_change_flag,其中值为1的K_AMF_change_flag用于指示UE进行水平KAMF推演。该NAS SMC消息还包括选择的NAS算法,包括NAS加密算法和NAS完整性保护算法。
目标AMF将非接入层计数值(NAS counts)设置为0,并且根据新的密钥Kamf’和选择的NAS算法推演得到新的密钥NAS keys,包括NAS加密密钥和NAS完整性保护密钥。然后使用该新的安全上下文对安全模式命令消息进行加密和完整性保护(使用推演的新的密钥NAS keys)。
206,UE水平推演生成新的NAS安全上下文。
示例性地,UE接收来自目标AMF的安全模式命令消息。如果该安全模式命令消息中携带值为1的K_AMF_change_flag,则UE根据当前安全上下文中的密钥Kamf进行KAMF推演生成新的密钥Kamf’,从而得到新的NAS安全上下文,该新的NAS安全上下文包括该新的密钥Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成和选择的算法生成。该NAS密钥包括NAS加密密钥和NAS完整性密钥。UE使用新的NAS安全上下文中的NAS密钥(具体地,可以是该NAS密钥中的NAS完整性密钥)对该安全模式命令消息进行完整性校验,如果对该安全模式命令消息的完整性校验通过,则UE向目标AMF发送安全模式完成消息。
进一步,UE可能会由于某些内部或外部原因导致注册流程失败。例如,UE的安全模式完成消息发送失败,或者,UE在注册完成前出现了链路释放,或者由于某些其他的原因,都可能导致UE的注册流程失败。本实施例以UE的安全模式完成消息发送失败导致注册失败为例进行说明。示例性地,在207,UE向目标AMF发送安全模式完成消息,但是该安全模式完成消息发送失败,UE收到底层指示,根据底层指示确定安全模式完成消息发送失败。
208,UE向目标AMF发送注册请求消息。
示例性地,UE确定上一次注册流程失败后,UE重新发送注册请求给目标AMF。应理解,UE对该注册请求消息进行了完整性保护。
209,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在208接收到的RR消息。
对应地,源AMF在接收到来自目标AMF的UE上下文请求之后,源AMF对接收到的RR消息进行完整性验证。这里可能会出现两种情况导致源AMF对该RR消息的完整性校验失败:
一种情况,在204之后,源AMF继续维护并使用旧的安全上下文作为当前安全上下文,而UE在208使用了新的安全上下文对注册请求消息进行了完整性保护,则源AMF在209使用旧的安全上下文验证RR消息的完整性便会失败;
另一种情况,在204之后,源AMF删除了旧的安全上下文,并使用新的安全上下文作为当前安全上下文,而UE在208使用了旧的安全上下文对注册请求消息进行了完整性保护,则源AMF在209使用新的安全上下文验证RR消息的完整性便会验证失败。
如果上述完整性校验失败,则源AMF在210,向目标AMF发送UE上下文传输响应消息,该响应消息用于指示无法获取临时标识5G-GUTI。
211,目标AMF与UE进行身份认证和鉴权流程。
示例性地,目标AMF接收到来自源AMF的UE上下文传输响应消息,通过该响应消息确定UE身份无法识别,则目标AMF启动UE身份认证和鉴权流程。
212,目标AMF向UE发送注册接受消息。
示例性地,在身份认证和鉴权流程完成后,目标AMF向UE下发注册接受消息。但是,由于网络重新对UE进行了身份认证和鉴权,因此UE之前建立的所有PDU会话信息可能无法迁移到目标AMF,导致之前激活的PDU会话被释放。
通过上面的分析可知,由于现有技术规范中并没有规定上述场景(UE移动到目标AMF处,在源AMF向目标AMF请求UE的上下文时,源AMF确定推演了新的安全上下文,且此后出现UE注册到目标AMF失败的情况)下,UE和源AMF该如何维护当前的NAS安全上下文,从而导致UE与源AMF上的当前NAS安全上下文可能会出现不一致的问题。针对上述场景下出现的UE与源AMF上的当前NAS安全上下文不一致的问题,本申请下面实施例中提出了不同的解决方案。
图3示出了本申请实施例提供的管理安全上下文的方法300的示例性流程图。该方法300包括:301,终端设备30向目标移动管理网元10发送注册请求消息。
示例性地,终端设备30向目标移动管理网元10发送注册请求消息,以请求注册到该目标移动管理网元10,该注册请求消息包括该终端设备30的标识。该终端设备30的标识例如是该终端设备30的GUTI。
可选地,终端设备30利用第一安全上下文对该注册请求消息进行了安全保护,例如,终端设备30利用第一安全上下文和该注册请求消息生成完整性校验参数,该完整性校验参数用于验证该注册请求消息是否被篡改。该第一安全上下文为该终端设备30源移动管理网元20当前的安全上下文。第一安全上下文中包括密钥Kamf、NAS密钥集标识符ngKSI。该第一安全上下文中还可能包括其他信息元素(information element,IE),例如选择的算法、上行NAS count、下行NAS count等,本申请不做限定,具体可参考现有标准。应理解,在没有特殊说明的情况下,本申请实施例中的安全上下文均为非接入层NAS安全上下文。
该注册请求消息中还可以包括上行非接入层计数(NAS count)值。
302,目标移动管理网元10向源移动管理网元20发送上下文请求消息。
示例性地,目标移动管理网元10接收来自终端设备30的注册请求消息,根据该终端设备30的标识确定与该终端设备30的标识对应的源移动管理网元20,记为源移动管理网元20目标移动管理网元10。根据该注册请求消息,目标移动管理网元10向源移动管理网元20发送上下文请求消息,该上下文请求消息用于请求获取该终端设备30的上下文。该上下文请求消息包括该终端设备30的标识。
可选地,目标移动管理网元10在该上下文请求消息中携带了来自该终端设备30的完整的注册请求消息,或者说,目标移动管理网元10将在步骤301接收到的受到了安全保护的注册请求消息携带在上下文请求消息中。
303,在需要进行水平密钥推演的情况下,源移动管理网元20根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’。
示例性地,源移动管理网元20接收来自目标移动管理网元10的上下文请求消息。源移动管理网元20根据该上下文请求消息中携带的终端设备30的标识,在本地数据库中搜寻该终端设备30的上下文信息,该上下文信息中包括第一安全上下文,该第一安全上下文为该源移动管理网元20和该终端设备30之间当前的安全上下文。
可选地,源移动管理网元20利用第一安全上下文对上下文请求消息中携带的注册请求消息进行安全验证。如果验证成功,则源移动管理网元20判断是否需要进行水平密钥推演。如果源移动管理网元20确定需要进行水平密钥推演,则进一步,源移动管理网元20根据第一安全上下文中的密钥Kamf生成新的密钥Kamf’。例如,源移动管理网元20利用第一安全上下文中的Kamf和注册请求消息中携带的非接入层计数值进行水平密钥推演,得到新的密钥Kamf’。
304,源移动管理网元20向目标移动管理网元10发送第二安全上下文。
示例性地,响应于上下文请求消息,源移动管理网元20向目标移动管理网元10发送上下文响应消息,该上下文响应消息包括该第二安全上下文,该第二安全上下文包括新的密钥Kamf’。该第二安全上下文中还可能包括其他IE,例如NAS密钥集标识符ngKSI’、选择的算法、上行NAS count、下行NAS count等,本申请不做限定,具体可参考现有标准。
该上下文响应消息包括该终端设备30的标识,例如该终端设备30的SUPI。
305,目标移动管理网元10向终端设备30发送安全模式命令消息。
示例性地,目标移动管理网元10接收到终端设备30来自源移动管理网元20的上下文响应消息,如果该上下文响应消息中携带水平推演指示,则目标移动管理网元10根据新的密钥Kamf’和选择的算法推演得到新的密钥NAS keys,然后保存该上下文响应消息中携带的第二安全上下文。如果目标移动管理网元10根据本地策略,启用第二安全上下文,则目标移动管理网元10向终端设备30发送安全模式命令消息,该安全模式命令消息中包括水平推演指示信息,该水平推演指示信息用于指示终端设备30进行水平密钥推演。
306,终端设备30根据第一安全上下文中的密钥Kamf生成新的密钥Kamf’。
示例性地,终端设备30接收来自目标移动管理网元10的安全模式命令消息,根据该安全模式命令消息中的水平推演指示信息,该终端设备30根据第一安全上下文中的密钥Kamf生成新的密钥Kamf’。目标移动管理网元10例如,该终端设备30利用第一安全上下文中的密钥Kamf和注册请求消息中携带的上行非接入层计数值进行水平密钥推演得到密钥Kamf’,然后利用该新的密钥Kamf’以及安全模式完成消息中算法标识(ngKSI),推演新的NAS密钥(NAS keys)。
下面对源移动管理网元20和终端设备30对第一安全上下文和第二安全上下文的几种可能的维护方式作示例性说明。
一种可能的实现方式(记为方案1):
307,源移动管理网元20维持第一安全上下文为当前安全上下文。
示例性地,源移动管理网元20根据Kamf生成Kamf’之后,维持第一安全上下文为第一安全上下文,或者说,继续使用第一安全上下文作为当前安全上下文,或者说,不删除第一安全上下文。
这里的维持可以是终端设备推演新的kamf’之后,并不会立刻将新的安全上下文设置为当前上下文,而是继续维持第一安全上下文为当前安全上下文,等到注册流程成功之后,将新的安全上下文(第二安全上下文)设置为当前安全上下文,并删除第一安全上下文。
可选地,源移动管理网元20删除第二安全上下文。
应理解,307可以在304之前执行,也可以在304之后执行,本申请不做限定。
可选地,在一定条件下,源移动管理网元20删除第一安全上下文。例如,源移动管理网元20接收来自目标移动管理网元10的指示信息,根据该指示信息该源移动管理网元20删除该终端设备30的上下文。一种示例,该指示信息用于指示终端设备30成功注册到了网络;另一种示例,该指示信息指示删除终端设备30的上下文。根据该指示信息,源移动管理网元20删除第一安全上下文。又例如,源移动管理网元20接收去注册通知消息,例如,源移动管理网元20接收来自统一数据管理网元的去注册通知消息,该去注册通知消息用于指示源移动管理网元20执行该终端设备30的去注册,该统一数据管理网元例如可以是5G网络中的UDM。又例如,在预设时间之后,源移动管理网元20删除第二安全上下文,具体例如,在源移动管理网元20向目标移动管理网元10发送第二安全上下文之后,启动定时器,当定时器超时,源移动管理网元20仍没有接收到响应消息,则源移动管理网元20删除第二安全上下文;或者,源移动管理网元20在生成新的密钥Kamf’之后,启动定时器,当定时器超时,源移动管理网元20仍没有接收到响应消息,则源移动管理网元20删除第二安全上下文。应理解,本申请对启动定时器的具体时机不做限定。应理解,该注册成功指示信息可以承载于现有消息中,也可以承载于源移动管理网元20新增的消息中,本申请对此不做限定。
可选地,终端设备30确定注册流程没有成功完成。应理解,这里的注册成功指的是终端设备的注册流程因为异常情况导致的无法成功完成的情况,或者该注册流程没有成功可以理解为注册流程失败。还应理解,本申请对注册流程没有成功完成的具体原因不做限定。下面对终端设备30确定注册流程没有成功完成的几种可能的情况作示例性说明:一示例,终端设备在预设时间内没有接收到注册接受消息。例如,终端设备30发送了注册请求消息之后,开启定时器,在定时器到期后,仍没有收到注册接受消息,则终端设备30确定注册流程没有成功完成;另一示例,终端设备30接收到注册拒绝消息,该注册拒绝消息用于拒绝终端设备30接入到网络,或者说,该注册拒绝消息用于拒绝终端设备30注册到目标移动管理网元,根据该注册拒绝消息,该终端设备30确定该注册流程没有成功完成;另一示例,终端设备30在接收到注册接受消息之前,需要重新触发注册流程。例如,在本次注册流程完成之前,终端设备30进入了新的跟踪区域,从而需要重新触发注册流程,在这种情况下,终端设备30确定该注册流程失败;又一示例,终端设备30底层失败(Lower layer failure)指示信息,根据该底层失败指示信息,终端设备30确定本次注册流程没有成功完成;又一示例,终端设备30在接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;又一示例,终端设备30在接收到注册接受消息之前,确定自身与接入网设备之间的链接释放;又一示例,终端设备30在接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。
308,在注册流程失败的情况下,终端设备30使用第一安全上下文为当前安全上下文。
示例性地,终端设备30生成新的密钥Kamf’之后,维护第一安全上下文和第二安全上下文,其中,第二安全上下文包括该Kamf’和NAS密钥,该NAS密钥根据该Kamf’生成。该NAS密钥可以包括NAS加密密钥和NAS完整性密钥。
具体地,作为一种可能的实现方式,终端设备30生成新的密钥Kamf’之后,继续将第一安全上下文作为当前安全上下文,并且保存第二安全上下文,即,终端设备网维护第一安全上下文为当前安全上下文,这里的文虎第一安全上下文为当前安全上下文指的是终端设备推演了新的Kamf’之后,并不会立刻将新的安全上下文(第二安全上下文)设置为当前上下文,而是继续维持第一安全上下文为当前安全上下文,等到注册流程成功之后,将新的安全上下文设置为当前安全上下文,删除第一安全上下文。在这种实现方式中,在注册流程失败的情况下,如果注册流程失败的原因为终端设备接收到注册拒绝消息,且注册拒绝消息造成安全上下文删除,则终端设备删除第一安全上下文和第二安全上下文。如果注册流程失败没有导致终端设备删除安全上下文,则终端设备30继续将第一安全上下文为当前安全上下文,以及删除第二安全上下文。如果注册成功,则终端设备30设置第二安全上下文为当前安全上下文,并删除第一安全上下文。例如终端设备30利用第二安全上下文对NAS安全模式命令消息的安全验证成功之后,向目标移动管理网元10发送NAS安全模式完成消息,如果安全模式完成消息发送成功,或者终端设备30接收到来自目标移动管理网元10的注册接受消息,该注册接受消息用于指示该终端设备30成功注册到了网络,则终端设备30设置第二安全上下文为当前安全上下文,并删除第一安全上下文。
作为另一种可能的实现方式,终端设备30生成新的密钥Kamf’之后,保存第一安全上下文,并设置第二安全上下文为当前安全上下文。应理解,这里的设置第二安全上下文为当前安全上下文,表示终端设备生成新的安全上下文(第二安全上下文)之后,将新的安全上下文设置为当前安全上下文,同时保存旧的安全上下文(第一安全上下文),在确定注册流程失败的情况下,将当前安全上下文进行回退,即重新将第一安全上下文设置为当前安全上下文。在这种实现方式中,在注册流程失败的情况下,,如果注册流程失败的原因为终端设备接收到注册拒绝消息,且注册拒绝消息造成安全上下文删除,则终端设备删除第一安全上下文和第二安全上下文。如果注册流程失败没有导致终端设备删除安全上下文,则终端设备30将第一安全上下文为当前安全上下文,以及删除第二安全上下文。如果注册成功,则终端设备30删除第一安全上下文。可选地,在安全模式完成消息发送失败之后,或者说在注册流程失败后,终端设备30重新发起注册流程。例如,在注册流程失败之后,终端设备30向又一个目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备30的标识,该注册请求消息通过第一安全上下文进行了安全保护。应理解,该又一个目标移动管理网元与目标移动管理网元10可能相同也可能不同,。
目标移动管理网元10接收到来自终端设备30的注册请求消息之后,根据该注册请求消息,目标移动管理网元10向源移动管理网元20发送上下文请求消息,该上下文请求消息用于请求获取该终端设备30的上下文。第二目标移动管理网元10将从终端设备30接收到的完整的注册请求消息携带在该上下文请求消息中。对应地,源移动管理网元20接收来自第二目标移动管理网元10的上下文请求消息,然后,源移动管理网元20利用第一安全上下文对该上下文请求消息中携带的注册请求消息进行安全验证。如果验证通过,则源移动管理网元20继续执行后续流程。应理解,这里的注册过程与301至303的过程类似,为了简洁,重复的内容不再赘述。
另一种可能的实现方式(记为方案2):
309,源移动管理网元20设置第二安全上下文为当前安全上下文。
示例性地,源移动管理网元20生成新的密钥Kamf’之后,设置第二安全上下文为当前安全上下文,该第二安全上下文包括新的密钥Kamf’以及推演的NAS keys。
应理解,309可以在304之前执行,也可以在304之后执行,本申请不做限定。
可选地,源移动管理网元20删除第一安全上下文。
310,终端设备30设置第二安全上下文为当前安全上下文。
示例性地,终端设备30生成新的密钥Kamf’之后,设置第二安全上下文为当前安全上下文。
应理解,在这种实现方式中,源移动管理网元20使用新的密钥Kamf’以及选择的算法推演新的NAS密钥。
可选地,终端设备30删除第一安全上下文。
进一步地,终端设备30向目标移动管理网元10发送安全模式完成消息,该NAS安全模式完成消息用于响应于NAS安全模式命令消息。
如果注册流程没有成功完成,例如,该安全模式完成消息发送失败,终端设备30可以重新发起注册流程。例如,终端设备30向目标移动管理网元10发送注册请求消息,该注册请求消息包括该终端设备30的标识。终端设备30通过第二安全上下文对该注册请求消息进行完整性保护。第二目标移动管理网元10根据该注册请求消息,向源移动管理网元20发送第二上下文请求消息,并在该第二上下文请求消息中携带了接收到的完整的注册请求消息。源移动管理网元20接收到该第二上下文请求消息之后,利用第二安全上下文对该注册请求消息进行安全验证。如果验证通过,则继续执行后续流程。
又一种可能的实现方式(记为方案3):
311,源移动管理网元20维护第一安全上下文和第二安全上下文。
示例性地,源移动管理网元20生成新的密钥kamf’之后,维护第一安全上下文和第二安全上下文。例如,源移动管理网元20继续将第一安全上下文作为移动管理网元与终端设备30之间的当前安全上下文,并保存第二安全上下文。又例如,源移动管理网元20保存第一安全上下文,并将第二安全上下文作为源移动管理网元20和终端设备30之间的当前安全上下文
312,终端设备30维护第一安全上下文为当前安全上下文,或设置第二安全上下文为当前安全上下文。
示例性地,作为一种可能的实现方式,终端设备30在生成新的密钥Kamf’之后,维护第一安全上下文为当前安全上下文,并保存第二安全上下文,当注册流程没有成功完成,则终端设备30删除第二安全上下文;或者终端设备30在生成新的密钥Kamf’之后,保存第一安全上下文,并设置第二安全上下文为当前安全上下文,当注册流程没有成功完成,则终端设备30设置第一安全上下文为当前安全上下文,并删除第二安全上下文。即终端设备30可以执行方案1中308所执行的方案;或者,作为另一种可能的实现方式,终端设备30在利用第一安全上下文进行水平密钥推演得到第二安全上下文之后,设置第二安全上下文为当前安全上下文,并删除第一安全上下文。即终端设备30可以执行方案2中310所执行的方案。
当终端设备30的安全模式完成消息发送失败,或者终端设备30因为其他原因导致注册流程没有成功完成,终端设备30可以重新发起注册流程。例如,终端设备30向目标移动管理网元10发送受到了安全保护的注册请求消息。对应地,目标移动管理网元10接收该注册请求消息,根据该注册请求消息,目标移动管理网元10向源移动管理网元20发送上下文请求消息,并在该上下文请求消息中携带了接收到的完整的注册请求消息。源移动管理网元20接收到该上下文请求消息之后,分别利用第一安全上下文和第二安全上下文对该注册请求消息进行安全验证。当该源移动管理网元20利用该第一安全上下文对该注册请求消息的安全验证成功,该源移动管理网元20删除该第二安全上下文;当该源移动管理网元20利用该第二安全上下文对该注册请求消息的安全验证成功时,该源移动管理网元20设置第二安全上下文为当前安全上下文,并删除该第一安全上下文。如果源移动管理网元20使用该第一安全上下文和该第二安全上下文验证该注册请求消息均失败,则源移动管理网元20可以删除该第一安全上下文和该第二安全上下文。
应理解,在这种实现方式中,源移动管理网元20使用新的密钥Kamf’以及选择的算法推演新的NAS密钥。
应理解,本申请对使用第一安全上下文和第二安全上下文进行安全验证的顺序不做限定,即源移动管理网元20既可以先使用第一安全上下文进行验证,也可以先使用第二安全上下文进行验证。
还应理解,当源移动管理网元20使用其中一个安全上下文对该注册请求消息验证成功之后,可以不需要再使用另一个安全上下文进行验证。例如,源移动管理网元20先利用第一安全上下文对该注册请求消息进行安全验证,如果验证成功,可以不再用第二安全上下文对该注册请求消息进行验证,并且可以删除该第二安全上下文;如果验证失败,源移动管理网元20可以再利用第二安全上下文对该注册请求消息进行安全验证,如果验证成功,源移动管理网元20将该第二安全上下文设置为当前安全上下文,并删除第一安全上下文。
基于上述技术方案,通过定义终端设备和源移动管理网元在进行水平密钥推演之后,对新的安全上下文(如上述实施例中的第二安全上下文)和旧的安全上下文(如上述实施例中的第一安全上下文)的处理方式,可以避免因为终端侧和网络侧的安全上下文不一致,导致终端设备的注册请求无法在源移动管理网元通过NAS的完整性保护检查,从而使得终端设备已经建立的安全上下文无法迁移到目标移动管理网元,从而避免终端设备之前激活的PDU会话被释放,影响用户体验。另一方面,可以避免因为终端设备的注册请求无法在源移动管理网元通过NAS的完整性保护检查,导致的身份认证和重鉴权流程,从而增加信令开销的问题。
图4示出了本申请实施例提供的管理安全上下文的方法400的示例性流程图。该方法400包括:
401,UE向目标AMF发送注册请求消息。
由于位置移动,UE触发注册请求消息给网络。例如,UE移动到一个新的AMF区域(记为目标AMF),该UE的注册请求消息被投递到该目标AMF上。示例性地,UE向目标AMF(targetAMF)发送注册请求(registration request,RR)消息,该RR消息中携带UE的标识,例如5G全球唯一临时用户设备标识(5G generation globally unique temporary user equipmentidentity,5G-GUTI)。应理解,UE通过当前NAS安全上下文对该RR消息进行了完整性保护,该当前NAS安全上下文为UE在该注册流程之前,用于保护UE与源AMF之间的传递的NAS消息的NAS安全上下文,或者说该当前安全上下文为源AMF在403进行水平KAMF推演之前使用的NAS当前安全上下文。
402,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括UE的标识(例如5G-GUTI),该Namf_Communication_UEContextTransfer中还包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在401接收到的RR消息。
403,源AMF根据本地策略进行水平推演,生成新的安全上下文#1。
示例性地,源AMF在接收到UE上下文传输请求消息之后,根据UE的标识在数据库中获取UE的数据(包括与该UE对应的当前NAS安全上下文),源AMF利用当前安全上下文验证接收到的RR消息的完整性。如果RR消息的完整性验证通过,源AMF根据本地策略,决定是否推演新的安全上下文。如果源AMF决定进行推演新的安全上下文,则源AMF利用旧的安全上下文中的Kamf进行水平Kamf推演,得到新的密钥Kamf’,从而生成新的安全上下文#1,该新的安全上下文#1包括新的密钥Kamf’。具体地,源AMF利用当前激活的Kamf和注册请求消息中携带的上行NAS count,进行水平推演得到新的密钥Kamf’。该新NAS的安全上下文中包括该新的密钥Kamf’。这里的新的安全上下文#1是相对于源AMF进行水平推演前的当前NAS安全上下文而言的,因此,可以将源AMF进行水平推演前的NAS安全上下文记为旧的安全上下文。
404,源AMF向目标AMF发送UE上下文传输响应消息。
示例性地,如果源AMF在数据库中找到了UE对应的数据,并且根据本地策略进行了水平密钥推演,源AMF向目标AMF发送UE上下文传输响应(Namf_Communication_UEContextTransfer Response)消息,该UE上下文传输响应消息中携带UE上下文、SUPI、水平KAMF推演指示(keyAmfHDerivationInd指示)。该UE上下文中包括安全上下文。如果源AMF根据本地策略进行了水平KAMF推演,则该响应消息中携带的UE上下文为源AMF在403推演得到的新的安全上下文#1。
405,源AMF维持旧的安全上下文为当前安全上下文。
示例性地,在源AMF生成新的密钥Kamf’之后,或者说,在源AMF生成新的安全上下文#1之后,源AMF维持旧的安全上下文为源AMF和UE之间的当前安全上下文,或者说,源AMF继续使用旧的安全上下文为源AMF和UE之间的当前安全上下文,即源AMF不删除旧的安全上下文和非当前的安全上下文,且不更改源AMF和该UE之间的当前安全上下文。
此时,源AMF可以不需要维护新的安全上下文#1,即403之后,源AMF可以删除新的安全上下文#1。
406,目标AMF向UE发送安全模式命令消息。
示例性地,目标AMF接收来自源AMF的UE上下文传输响应消息,如果该UE上下文传输响应消息中携带了UE的SUPI,则目标AMF保存该UE上下文传输响应消息中携带的新的NAS安全上下文#1。如果目标AMF根据本地策略,启用该响应消息中携带的安全上下文,即源AMF推演得到的新的安全上下文#1,则目标AMF发起非接入层安全模式命令(non accessstratum security mode command,NAS SMC)消息给UE,用于建立UE和目标AMF之间的NAS安全上下文。该安全模式命令消息中携带水平推演参数(horizontal derivationparameter,HDP),该HDP可以是值为1的K_AMF_change_flag,其中值为1的K_AMF_change_flag用于指示UE进行水平KAMF推演。该NAS SMC消息还可以包括选择的NAS算法,包括NAS加密算法和NAS完整性保护算法。应理解,目标AMF通过新的安全上下文#1对该安全模式命令消息进行完整性保护。
407,UE水平推演生成新的安全上下文#1。
示例性地,UE接收来自目标AMF的安全模式命令消息,根据该安全模式命令消息中携带的水平KAMF推演指示,进行KAMF推演,即UE根据当前安全上下文中的密钥Kamf进行Kamf推演生成新的密钥Kamf’,从而获取到新的安全上下文#1,该新的安全上下文#1中包括该新的密钥Kamf’。UE使用新的安全上下文#1对该安全模式命令消息进行完整性校验,如果该安全模式命令消息的完整性校验通过,则UE向目标AMF发送安全模式完成消息。
408,UE维护旧的安全上下文和新的安全上下文#1。
在一种实现方式中,UE使用新的安全上下文#1对该安全模式命令消息验证成功之后,保存旧的安全上下文,然后设置新的安全上下文#1为当前安全上下文;或者,在另一种实现方式中,UE通过新的安全上下文#1对该安全模型命令消息验证成功之后,保存新的安全上下文#1,同时UE继续维护旧的安全上下文为当前安全上下文。
在408之后,若UE接收到来自目标AMF的注册接受消息,如果UE在408保存了旧的安全上下文,并设置新的安全上下文#1为当前安全上下文,则根据该注册接受消息,UE删除旧的安全上下文;如果UE在408保存了新的安全上下文#1,同时维护旧的安全上下文为当前安全上下文,则根据该注册接受消息,UE设置第二安全上下文为当前安全上下文,并删除第一安全上下文,即,当第二安全上下文用于当前接入时,UE删除存储的旧的安全上下文(以及Kamf)。
409,UE向目标AMF发送注册请求消息。
示例性地,若UE在408保存了旧的安全上下文,并设置新的安全上下文#1为当前安全上下文,在这种情况下,如果注册流程没有成功完成,或者说,如果注册流程失败,或者说,如果安全模式完成消息发送失败,则UE设置旧的安全上下文为当前安全上下文(或者说UE维护Kamf以及Kamf关联的NAS安全上下文),或者说,UE使用旧的安全上下文为当前安全上下文,或者说,UE使旧的安全上下文成为当前安全上下文,并且UE删除新的安全上下文#1。应理解,这里的旧的安全上下文也可以称为以前的安全上下文,或者水平推演前的安全上下文,或者注册前使用的安全上下文;若UE在408保存新的安全上下文#1并维护旧的安全上下文为当前安全上下文,在这种情况下,如果注册流程没有成功完成,或者说,如果注册流程失败,或者安全模式完成消息发送失败,则UE删除新的安全上下文#1。
若注册流程或者说,如果注册流程失败,,则UE可以重新发起注册流程,例如,UE发送注册请求消息给目标AMF。应理解,UE通过旧的安全上下文对该注册请求消息进行了完整性保护。还应理解,这里的目标AMF可能与步骤401中接收注册请求消息的目标AMF可能不同,即UE可能又移动到了其他目标AMF的区域。
实际通信过程,可能会有各种原因导致UE的注册流程没有成功完成。本申请对UE注册流程没有成功完成的原因不做限定。下面对几种可能的情况作示例性说明。
一示例,UE在收到注册接受消息之前,链路释放,则UE删除新的安全上下文#1,设置旧的安全上下文为当前安全上下文;
另一示例,UE收到网络下发的注册拒绝消息,如果该注册拒绝消息造成安全上下文删除,则UE删除新的安全上下文#1和旧的安全上下文;如果该注册拒绝消息没有造成安全上下文删除,则UE删除新的安全上下文#1,设置旧的安全上下文为当前安全上下文;
又一示例,UE的安全模式完成消息传输失败,则UE删除新的安全上下文#1,设置旧的安全上下文为当前安全上下文。
410,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在409接收到的RR消息。
411,源AMF根据本地策略进行水平推演,生成新的安全上下文#2。
示例性地,源AMF在接收到UE上下文传输请求消息之后,源AMF利用旧的安全上下文对该UE上下文传输请求消息中的RR消息进行完整性验证。如果RR消息的完整性验证通过,源AMF根据本地策略,决定是否推演新的安全上下文。如果源AMF决定进行推演新的安全上下文,则源AMF进行水平KAMF推演,得到新的安全上下文#2。
412,源AMF向目标AMF发送UE上下文传输响应消息。
示例性地,响应于UE上下文传输请求消息,源AMF向目标AMF发送UE上下文传输响应(Namf_Communication_UEContextTransfer Response)消息,该UE上下文传输响应消息中携带UE上下文、SUPI、水平KAMF推演指示(keyAmfHDerivationInd指示)。该UE上下文中包括安全上下文。如果源AMF根据本地策略进行了水平KAMF推演,则该响应消息中携带的UE上下文为源AMF在411推演得到的新的安全上下文#2。
413,目标AMF向UE发送安全模式命令消息。
示例性地,目标AMF接收来自源AMF的UE上下文传输响应消息,如果该UE上下文传输响应消息中携带了UE的SUPI,则目标AMF保存该UE上下文传输响应消息中携带的新的NAS安全上下文#2。如果目标AMF根据本地策略,启用该响应消息中携带的安全上下文,即源AMF推演得到的新的安全上下文#2,则目标AMF发起非接入层安全模式命令消息给UE,用于建立UE和目标AMF之间的NAS安全上下文。该安全模式命令消息中携带水平推演参数(horizontal derivation parameter,HDP),该HDP可以是值为1的K_AMF_change_flag,其中值为1的K_AMF_change_flag用于指示UE进行水平KAMF推演。应理解,目标AMF通过新的安全上下文#2对该安全模式命令消息进行完整性保护。
414,UE水平推演得到新的安全上下文。
示例性地,UE接收来自目标AMF的安全模式命令消息,根据该安全模式命令消息中携带的水平KAMF推演指示,进行KAMF推演,生成新的安全上下文#2。UE使用新的安全上下文#2对该安全模式命令消息进行完整性校验。
415,UE向目标AMF发送安全模式完成消息。
示例性地,如果UE利用的安全上下文#2对该安全模式命令消息的完整性校验通过,则UE向目标AMF发送安全模式完成消息。
416,UE设置新的安全上下文#2为当前安全上下文。
示例性地,UE使用新的安全上下文#2对该安全模式命令消息的完整性校验通过之后,保存旧的安全上下文,然后将新的安全上下文#2设置为当前安全上下文。应理解,416可以在415之前执行,也可以在415之后执行,本申请不做限定。
417,目标AMF向UE发送注册接受消息给UE。
示例性地,目标AMF向UE发送注册接受消息,应理解,目标AMF利用在414推演得到的新的安全上下文#2对该注册接受消息进行了完整性保护。
418,UE删除旧的安全上下文。
示例性地,UE接收到来自目标AMF的注册接受消息后,确定注册成功,则UE删除旧的安全上下文。
或者在另一种可能的实现方式中,在416,UE维护旧的安全上下文为当前安全上下文,并保存新的安全上下文#2。当UE接收到来自目标移动管理网元的注册接受消息之后,UE设置新的安全上下文#2为当前安全上下文,并删除旧的安全上下文。
基于上述技术方案,源移动管理网元在进行水平密钥推演之后,维护第一安全上下文为当前安全上下文,终端设备在进行水平密钥推演之后,且在注册流程没有成功完成时,维护或设置第一安全上下文为当前安全上下文,从而可以避免终端侧和网络侧维护的安全上下文不一致,导致后续可能的注册流程失败的问题。
图5示出了本申请实施例提供的管理安全上下文的方法500的示例性流程图。方法500包括:
501,UE向目标AMF发送注册请求消息。
502,目标AMF向源AMF发送UE上下文传输请求消息。
503,源AMF根据本地策略进行水平推演,生成新的安全上下文#1。
504,源AMF向目标AMF发送UE上下文传输响应消息。
应理解,步骤501至步骤504与方法400的步骤401至步骤404类似,为了简洁,不再详细说明。
505,源AMF设置新的安全上下文#1为当前安全上下文。
示例性地,源AMF通过推演得到新的密钥Kamf’之后,或者说源AMF得到新的安全上下文#1之后,将新的安全上下文#1设置为当前安全上下文。可选的,源AMF删除旧的安全上下文和非当前的安全上下文。
应理解,505可以在504之前执行,也可以在504之后执行,也可以同时执行,本申请不做限定。
506,目标AMF向UE发送安全模式命令消息。
507,UE进行水平推演得到新的安全上下文#1。
应理解,506至507与方法400中的步骤406至407类似,这里不再赘述。
508,UE设置新的安全上下文#1为当前安全上下文。
示例性地,UE水平推演得到新的安全上下文#1之后,将该新的安全上下文#1设置为当前安全上下文。可选的,UE删除旧的安全上下文和非当前的安全上下文。
509,UE向目标AMF发送注册请求消息。
示例性地,在注册流程没有成功完成之后,UE可以重新发起注册流程。例如,UE发送注册请求消息给目标AMF。应理解,UE通过新的安全上下文#1对该注册请求消息进行了完整性保护。还应理解,本申请对导致UE注册失败的原因不做限定。
510,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在510接收到的RR消息。
511,可选的,源AMF根据本地策略进行水平推演,生成新的安全上下文#2。
示例性地,源AMF在接收到UE上下文的请求之后,源AMF利用旧的安全上下文验证接收到的RR消息的完整性。如果RR消息的完整性验证通过,源AMF根据本地策略,决定是否推演新的安全上下文。如果源AMF决定进行推演新的安全上下文,则源AMF进行水平KAMF推演,得到新的安全上下文#2。
由于在该实施例中,源AMF在步骤503已经执行过水平KAMF推演得到了新的安全上下文#1,且在步骤505,源AMF设置新的安全上下文#1为当前安全上下文,因此,源AMF也可以不执行步骤511。
512,源AMF向目标AMF发送UE上下文传输响应消息
示例性地,响应于UE上下文传输请求消息,源AMF向目标AMF发送UE上下文传输响应(Namf_Communication_UEContextTransfer Response)消息,该UE上下文传输响应消息中携带UE上下文、SUPI。该UE上下文中包括安全上下文。如果源AMF执行了步骤511,则该安全上下文为源AMF在步骤511通过水平推演得到的新的安全上下文#2,且该响应消息中还携带水平KAMF推演指示(keyAmfHDerivationInd指示);如果源AMF没有执行步骤511,则该安全上下文为源AMF在步骤503通过水平推演得到的新的安全上下文#1。
513,目标AMF向UE发送安全模式命令消息。
示例性地,目标AMF接收来自源AMF的UE上下文传输响应消息,并从该响应消息中获取源AMF推演得到的新的安全上下文。如果源AMF执行了步骤511,则该新的安全上下文为新的安全上下文#2;如果源AMF没有执行步骤511,则该新的安全上下文为新的安全上下文#1。
目标AMF发起非接入层安全模式命令消息给UE,用于建立UE和目标AMF之间的NAS安全上下文。可选地,该安全模式命令消息中携带水平推演参数(horizontal derivationparameter,HDP),该HDP中包括值为1的K_AMF_change_flag,用于指示UE进行水平KAMF推演。应理解,目标AMF通过响应消息中携带的新的安全上下文对该安全模式命令消息进行完整性保护。
514,可选地,UE水平推演生成新的安全上下文。
示例性地,UE接收来自目标AMF的安全模式命令消息,如果该安全模式命令消息中携带了水平KAMF推演指示,则UE进行水平KAMF推演,生成新的安全上下文#2。
515,UE向目标AMF发送安全模式完成消息。
示例性地,如果UE执行了步骤514,则UE使用新的安全上下文#2对安全模式命令消息进行完整性验证;如果UE没有执行步骤514,则UE使用新的安全上下文#1对该安全模式命令消息进行完整性验证。如果验证通过,UE向目标AMF发送安全模式完成消息。
如果UE通过新的安全上下文#2对该安全模式完成消息的完整性验证成功,则UE设置新的安全上下文#2为当前安全上下文。并且UE删除旧的安全上下文。
516,目标AMF使用新的安全上下文向UE发送注册接受消息。
基于上述技术方案,源移动管理网元在进行水平密钥推演之后,设置二安全上下文为当前安全上下文,终端设备在进行水平密钥推演之后,也设置第二安全上下文为当前安全上下文,从而可以避免终端侧和网络侧维护的安全上下文不一致,导致后续可能的注册流程失败的问题。
图6示出了本申请实施例提供的管理完全上下文的方法600的示例性流程图。方法600包括:
601,UE向目标AMF发送注册请求消息。
602,目标AMF向源AMF发送UE上下文传输请求消息。
603,源AMF根据本地策略进行水平推演,生成新的安全上下文#1。
604,源AMF向目标AMF发送UE上下文传输响应消息。
应理解,步骤601至步骤604与方法400的步骤401至步骤404类似,为了简洁,不再详细说明。
605,源AMF保存旧的安全上下文和新的安全上下文#1。
源AMF通过水平推演生成新的安全上下文#1之后,同时保存新的安全上下文#1和旧的安全上下文,或者说,同时维护新的安全上下文#1和旧的安全上下文,或者说,保存新的安全上下文#1,保留旧的安全上下文。一种示例,源AMF保存旧的安全上下文,并将新的安全上下文#1设置为当前安全上下文;另一示例,源AMF继续维护旧的安全上下文为当前安全上下文,同时保存新的安全上下文#1。
606,目标AMF向UE发送安全模式命令消息。
607,UE进行水平推演得到新的安全上下文#1。
应理解,606至607与方法400中的步骤406至407类似,这里不再赘述。
608,UE设置新的安全上下文#1为当前安全上下文。
示例性地,UE水平推演得到新的安全上下文#1之后,将该新的安全上下文#1设置为当前安全上下文。可选的,UE删除旧的安全上下文和非当前安全上下文。
609,UE向目标AMF发送注册请求消息。
示例性地,当UE注册失败,UE重新发起注册流程。例如,UE发送注册请求消息给目标AMF。应理解,UE通过新的安全上下文#1对注册请求消息进行完整性保护。本申请对导致UE注册失败的原因不做限定。
610,目标AMF向源AMF发送UE上下文传输请求消息。
示例性地,目标AMF接收来自UE的注册请求消息,根据该消息中携带的GUTI,确定上一次为UE提供服务的AMF(记为源AMF)。然后目标AMF调用源AMF提供的UE上下文传输服务(Namf_Communication_UEContextTransfer)操作,以请求UE的上下文信息。该Namf_Communication_UEContextTransfer中包括目标AMF接收到的完整的RR消息,即目标AMF在Namf_Communication_UEContextTransfer中发送在609接收到的RR消息。
611,源AMF分别使用新的安全上下文和旧的安全上下文对注册请求消息进行完整性校验。
示例性地,源AMF接收来自目标AMF的UE上下文传输请求消息之后,分别使用新的安全上下文#1和旧的安全上下文对该UE上下文传输请求消息中的注册请求消息进行完整性验证。
如果源AMF使用新的安全上下文#1对该注册请求消息的完整性校验成功,则源AMF删除旧的安全上下文。如果在步骤605源AMF设置旧的安全上下文为当前安全上下文,则此时源AMF删除旧的安全上下文并设置新的安全上下文#1为当前安全上下文;
如果源AMF使用新的安全上下文#1对该注册请求消息的完整性校验失败,则源AMF使用旧的安全上下文对该注册请求消息的完整性进行校验,如果校验成功,则源AMF删除新的安全上下文#1,并且如果在步骤605源AMF设置新的安全上下文#1为当前安全上下文,则此时源AMF设置旧的安全上下文为当前安全上下文;
如果源AMF使用新的安全上下文#1和旧的安全上下文对该注册请求消息的完整性校验均失败,则源AMF可以将新的安全上下文#1和旧的安全上下文均删除。或者,源AMF向目标AMF返回UE上下文传输响应消息,该响应消息用于指示无法获取临时标识5G-GUTI。
应理解,本申请对使用新的安全上下文#1和旧的安全上下文进行完整性校验的顺序不做限定。也就是说,源AMF可以先使用新的安全上下文#1对注册请求消息的完整性进行校验,也可以先使用旧的安全上下文对注册请求消息的完整性进行校验,本申请不做限定。
612,可选地,源AMF根据本地策略进行水平推演,生成新的安全上下文#2。
示例性地,源AMF通过新的安全上下文#1或旧的安全上下文对注册请求消息的完整性校验成功之后,若源AMF根据本地策略决定推演新的安全上下文,则源AMF进行水平KAMF推演,得到新的安全上下文#2。
如果在611,源AMF使用新的安全上下文#1对注册请求消息的完整性校验成功,则可以不执行步骤612。
613,源AMF向目标AMF发送UE上下文传输响应消息。
示例性地,响应于UE上下文传输请求消息,源AMF向目标AMF发送UE上下文传输响应消息,该响应消息中携带UE上下文、SUPI。该UE上下文中包括安全上下文。如果源AMF执行了步骤612,则该安全上下文为源AMF在步骤612通过水平推演得到的新的安全上下文#2,且该响应消息中携带水平KAMF推演指示(keyAmfHDerivationInd指示);如果源AMF没有执行步骤612,则该安全上下文为源AMF在步骤603通过水平推演得到的新的安全上下文#1。
614,目标AMF向UE发送安全模式命令消息。
示例性地,目标AMF接收来自源AMF的UE上下文传输响应消息,并从该响应消息中获取源AMF推演得到的新的安全上下文。如果源AMF执行了612,则该新的安全上下文为新的安全上下文#2;如果源AMF没有执行612,则该新的安全上下文为新的安全上下文#1。
目标AMF发起非接入层安全模式命令消息给UE,用于建立UE和目标AMF之间的NAS安全上下文。可选地,该安全模式命令消息中携带水平推演参数(horizontal derivationparameter,HDP),该HDP中包括值为1的K_AMF_change_flag,用于指示UE进行水平KAMF推演。应理解,目标AMF通过新的安全上下文对该安全模式命令消息进行完整性保护。
615,可选地,UE水平推演得到生成新的安全上下文。
示例性地,UE接收来自目标AMF的安全模式命令消息,如果该安全模式命令消息中携带了水平KAMF推演指示,则UE进行水平KAMF推演,生成新的安全上下文#2。
616,UE向目标AMF发送安全模式完成消息。
示例性地,如果UE执行了步骤615,则UE使用新的安全上下文#2对安全模式命令消息进行完整性验证;如果UE没有执行步骤615,则UE使用新的安全上下文#1对该安全模式命令消息进行完整性验证。如果验证通过,UE向目标AMF发送安全模式完成消息。
示例性地,如果UE通过新的安全上下文#2对于该安全模式命令消息的完整性验证成功,则UE设置新的安全上下文#2为当前安全上下文。并且UE删除旧的安全上下文。
617,目标AMF使用新的安全上下文向UE发送注册接受消息。
基于上述技术方案,源移动管理网元在进行水平密钥推演之后,同时维护第一安全上下文和第二安全上下文,这样无论终端设备侧将第一安全上下文还是第二安全上下文设置为当前安全上下文,都可以避免终端侧和网络侧维护的安全上下文不一致的问题。
应理解,本申请实施例提供的管理安全上下文的方法以应用在终端设备的注册流程为例进行说明的,但应理解,该方法同样适用于其他网络设备进行了水平密钥推演的场景,例如在未来的其他流程中,网络设备根据本地策略进行了水平密钥推演,均可以采用本申请实施例提供的管理安全上下文的方法,来解决网络侧和终端侧维护的安全上下文不一致的问题。
以上,结合图3至图6详细说明了本申请实施例提供的方法。以下,结合图7至图10详细说明本申请实施例提供的装置。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的内容可以参见上文方法实施例,为了简洁,这里不再赘述。
图7是本申请实施例提供的管理安全上下文的装置10的示意性框图。该装置10包括收发模块11和处理模块12。收发模块11可以实现相应的通信功能,处理模块12用于进行数据处理,或者说该收发模块11用于执行接收和发送相关的操作,该处理模块12用于执行除了接收和发送以外的其他操作。收发模块11还可以称为通信接口或通信单元。
在一种可能的设计中,该装置10可对应于上文方法实施例中的移动管理网元,例如源移动管理网元,或者目标移动管理网元(包括第一目标移动管理网元或第二目标移动管理网元),或者源AMF,或者目标AMF。
示例性地,该装置10可对应于本申请实施例的方法300中的目标移动管理网元20或源移动管理网元30,或者方法400至方法600中的目标AMF或源AMF。该装置10可以包括用于执行图3至图6中的目标移动管理网元20或源移动管理网元30(目标AMF或源AMF)所执行的方法的模块。并且,该装置10中的各单元和上述其他操作和/或功能分别为了实现图3至图6所示方法的相应流程。
该装置10中的该收发模块11执行上述各方法实施例中的目标移动管理网元20或源移动管理网元30(目标AMF或源AMF)所执行的接收和发送操作,该处理模块12则执行除了该接收和发送操作之外的操作。
在另一种可能的设计中,该装置10可对应于上文方法实施例中的终端设备30(或者UE)。
示例性地,该装置10可对应于本申请实施例的方法300中的终端设备30,或者方法400至方法600中的UE。该装置10可以包括用于执行图3至图6中的终端设备30(或者UE)所执行的方法的模块。并且,该装置10中的各单元和上述其他操作和/或功能分别为了实现图3至图6所示方法的相应流程。
该装置10中的该收发模块11执行上述各方法实施例中的终端设备30(或者UE)所执行的接收和发送操作,该处理模块12则执行除了该接收和发送操作之外的操作。
根据前述方法,图8为本申请实施例提供的管理安全上下文的装置20的示意图。在一种可能的设计中,该装置20可对应于上文方法实施例中的目标移动管理网元20或源移动管理网元30(目标AMF或源AMF);在另一种可能的设计中,该装置10可对应于上文方法实施例中的终端设备30(或者UE)。
该装置20可以包括处理器21(即,处理模块的一例)和存储器22。该存储器22用于存储指令,该处理器21用于执行该存储器22存储的指令,以使该装置20实现如图3至图6对应的方法中终端设备或网络设备执行的步骤,该网络设备可以是方法300至方法600中的目标移动管理网元,或者源移动管理网元,或者目标AMF,或者源AMF。
进一步地,该装置20还可以包括输入口23(即,收发模块的一例)和输出口24(即,收发模块的另一例)。进一步地,该处理器21、存储器22、输入口23和输出口24可以通过内部连接通路互相通信,传递控制和/或数据信号。该存储器22用于存储计算机程序,该处理器21可以用于从该存储器22中调用并运行该计算机程序,以控制输入口23接收信号,控制输出口24发送信号,完成上述方法中终端设备或网络设备的步骤。该存储器22可以集成在处理器21中,也可以与处理器21分开设置。
可选地,若该通信装置20为通信设备,该输入口23为接收器,该输出口24为发送器。其中,接收器和发送器可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为收发器。
可选地,若该通信装置20为芯片或电路,该输入口23为输入接口,该输出口24为输出接口。
作为一种实现方式,输入口23和输出口24的功能可以考虑通过收发电路或者收发的专用芯片实现。处理器21可以考虑通过专用处理芯片、处理电路、处理器或者通用芯片实现。
作为另一种实现方式,可以考虑使用通用计算机的方式来实现本申请实施例提供的通信设备。即将实现处理器21、输入口23和输出口24功能的程序代码存储在存储器22中,通用处理器通过执行存储器22中的代码来实现处理器21、输入口23和输出口24的功能。
该装置20所涉及的与本申请实施例提供的技术方案相关的概念,解释和详细说明及其他步骤请参见前述方法或其他实施例中关于这些内容的描述,此处不做赘述。
图9示出了一种简化的网络设备30的结构示意图。网络设备包括31部分以及32部分。31部分主要用于射频信号的收发以及射频信号与基带信号的转换;32部分主要用于基带处理,对网络设备进行控制等。31部分通常可以称为收发模块、收发机、收发电路、或者收发器等。32部分通常是网络设备的控制中心,通常可以称为处理模块,用于控制网络设备执行上述方法实施例中网络设备侧的处理操作。
31部分的收发模块,也可以称为收发机或收发器等,其包括天线和射频电路,其中射频电路主要用于进行射频处理。例如,可以将31部分中用于实现接收功能的器件视为接收模块,将用于实现发送功能的器件视为发送模块,即31部分包括接收模块和发送模块。接收模块也可以称为接收机、接收器、或接收电路等,发送模块可以称为发射机、发射器或者发射电路等。
32部分可以包括一个或多个单板,每个单板可以包括一个或多个处理器和一个或多个存储器。处理器用于读取和执行存储器中的程序以实现基带处理功能以及对网络设备的控制。若存在多个单板,各个单板之间可以互联以增强处理能力。作为一种可选的实施方式,也可以是多个单板共用一个或多个处理器,或者是多个单板共用一个或多个存储器,或者是多个单板同时共用一个或多个处理器。
例如,在一种实现方式中,图9所示的网络设备可以是图3至图6所示的方法中所示的任意网络设备,例如源移动管理网元(20)、目标移动管理网元(10)等。
31部分的收发模块用于执行图3至图6所示的方法中任意网络设备的收发相关的步骤;32部分用于执行图3至图6所示的方法中的任意网络设备的处理相关的步骤。
应理解,图9仅为示例而非限定,上述包括收发模块和处理模块的网络设备可以不依赖于图9所示的结构。
当该装置40为芯片时,该芯片包括收发模块和处理模块。其中,收发模块可以是输入输出电路、通信接口;处理模块为该芯片上集成的处理器或者微处理器或者集成电路。
图10为本申请提供的一种终端设备40的结构示意图。为了便于说明,图10仅示出了通信装置的主要部件。如图10所示,终端设备40包括处理器、存储器、控制电路、天线以及输入输出装置。
处理器主要用于对通信协议以及通信数据进行处理,以及对整个终端设备进行控制,执行软件程序,处理软件程序的数据,例如用于支持终端设备执行上述传输预编码矩阵的指示方法实施例中所描述的动作。存储器主要用于存储软件程序和数据,例如存储上述实施例中所描述的码本。控制电路主要用于基带信号与射频信号的转换以及对射频信号的处理。控制电路和天线一起也可以叫做收发器,主要用于收发电磁波形式的射频信号。输入输出装置,例如触摸屏、显示屏,键盘等主要用于接收用户输入的数据以及对用户输出数据。
当通信装置开机后,处理器可以读取存储单元中的软件程序,解释并执行软件程序的指令,处理软件程序的数据。当需要通过无线发送数据时,处理器对待发送的数据进行基带处理后,输出基带信号至射频电路,射频电路将基带信号进行射频处理后将射频信号通过天线以电磁波的形式向外发送。当有数据发送到终端设备时,射频电路通过天线接收到射频信号,将射频信号转换为基带信号,并将基带信号输出至处理器,处理器将基带信号转换为数据并对该数据进行处理。
本领域技术人员可以理解,为了便于说明,图10仅示出了一个存储器和处理器。在实际的终端设备中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
作为一种可选的实现方式,处理器可以包括基带处理器和中央处理器,基带处理器主要用于对通信协议以及通信数据进行处理,中央处理器主要用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据。图10中的处理器集成了基带处理器和中央处理器的功能,本领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等技术互联。本领域技术人员可以理解,终端设备可以包括多个基带处理器以适应不同的网络制式,终端设备可以包括多个中央处理器以增强其处理能力,终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中,也可以以软件程序的形式存储在存储单元中,由处理器执行软件程序以实现基带处理功能。
如图10所示,终端设备40包括收发单元41和处理单元42。收发单元也可以称为收发器、收发机、收发装置等。可选的,可以将收发单元41中用于实现接收功能的器件视为接收单元,将收发单元41中用于实现发送功能的器件视为发送单元,即收发单元41包括接收单元和发送单元。示例性的,接收单元也可以称为接收机、接收器、接收电路等,发送单元可以称为发射机、发射器或者发射电路等。
图10所示的终端设备可以执行图3至图6所示的方法中终端设备所执行的各动作,这里,为了避免赘述,省略其详细说明。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述方法实施例中由第网络设备执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法实施例中由网络设备执行的方法。
本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得该计算机实现上述方法实施例中由第一设备执行的方法,或由第二设备执行的方法。
本申请实施例还提供一种通信***,该通信***包括上文实施例中的网络设备。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
在本申请实施例中,网络设备可以包括硬件层、运行在硬件层之上的操作***层,以及运行在操作***层上的应用层。其中,硬件层可以包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。操作***层的操作***可以是任意一种或多种通过进程(process)实现业务处理的计算机操作***,例如,Linux操作***、Unix操作***、Android操作***、iOS操作***或windows操作***等。应用层可以包含浏览器、通讯录、文字处理软件、即时通信软件等应用。
本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定,只要能够通过运行记录有本申请实施例提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可。例如,本申请实施例提供的方法的执行主体可以是网络设备,或者,是网络设备中能够调用程序并执行程序的功能模块。
本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。
本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于:无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
应理解,本申请实施例中提及的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM可以包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(doubledata rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的保护范围。
所属领域的技术人员可以清楚地了解到,为描述方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。
另外,在本申请各个实施例中的各功能单元可以集成在一个单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,所述计算机可以是个人计算机,服务器,或者网络设备等。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,(SSD))等。例如,前述的可用介质可以包括但不限于:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求和说明书的保护范围为准。
Claims (18)
1.一种管理安全上下文的方法,其特征在于,包括:
终端设备向目标移动管理网元发送注册请求消息,所述注册请求消息包括所述终端设备的标识;
所述终端设备接收来自所述目标移动管理网元的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息包括水平推演指示信息;
根据所述水平推演指示信息,所述终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,所述第一安全上下文为所述终端设备当前的安全上下文;
在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端设备在生成所述新的密钥Kamf’之后,维护所述第一安全上下文和第二安全上下文;其中,所述第二安全上下文包括所述Kamf’和NAS密钥,所述NAS密钥根据所述Kamf’生成。
3.根据权利要求2所述的方法,其特征在于,所述维护所述第一安全上下文和第二安全上下文,包括:
所述终端设备继续将所述第一安全上下文作为当前安全上下文,且保存所述第二安全上下文。
4.根据权利要求3所述的方法,其特征在于,所述在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文,包括:
所述终端设备继续将所述第一安全上下文作为当前安全上下文,以及删除所述第二安全上下文。
5.根据权利要求2所述的方法,其特征在于,所述维护所述第一安全上下文和第二安全上下文,包括:
所述终端设备保存所述第一安全上下文,并将所述第二安全上下文作为当前安全上下文。
6.根据权利要求5所述的方法,其特征在于,所述在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文,包括:
所述终端设备将所述第一安全上下文设置为当前安全上下文,以及删除所述第二安全上下文。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:
所述终端设备确定所述注册流程没有成功完成。
8.根据权利要求7所述的方法,其特征在于,所述终端设备确定所述注册流程没有成功完成,包括:
在预设时间内,所述终端设备没有接收到注册接受消息,所述终端设备确定所述注册流程没有成功完成;或者,
所述终端设备接收到注册拒绝消息,所述终端设备根据所述注册确定消息确定所述注册流程没有成功完成,所述注册拒绝消息用于拒绝所述终端设备接入到网络;或者,
所述终端设备在接收到注册接受消息之前,确定需要重新发起注册流程;或者,
所述终端设备接收到底层失败的指示信息;或者,
所述终端设备在接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;或者,
所述终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的链接释放;或者,
所述终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。
9.一种管理安全上下文的方法,其特征在于,包括:
源移动管理网元接收来自目标移动管理网元的上下文请求消息,所述上下文请求消息用于请求获取终端设备的上下文;
在需要进行水平密钥推演的情况下,所述源移动管理网元根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf’;其中,所述第一安全上下文为所述源移动管理网元与所述终端设备之间当前的安全上下文;
响应于所述上下文请求消息,所述源移动管理网元向所述目标移动管理网元发送第二安全上下文;其中,所述第二安全上下文包括所述新的密钥Kamf’;
所述源移动管理网元维护所述第一安全上下文和/或所述第二安全上下文。
10.根据权利要求9所述的方法,其特征在于,在所述源移动管理网元维护所述第一安全上下文和所述第二安全上下文的情况下,所述方法还包括:
所述源移动管理网元接收来自又一个目标移动管理网元的上下文请求消息,所述上下文请求消息用于请求终端设备的上下文,所述上下文请求消息包括受到了安全保护的注册请求消息,所述注册请求消息包括所述终端设备的标识;
所述源移动管理网元利用所述第一安全上下文和所述第二安全上下文对所述注册请求消息进行安全验证;
在利用所述第一安全上下文和所述第二安全上下文中的任一个对所述注册请求消息安全验证成功,且需要进行水平密钥推演的情况下,所述源移动管理网元根据验证成功的安全上下文中的密钥,生成新的密钥Kamf”,并向所述目标移动管理网元发送第三安全上下文,所述第三安全上下文包括所述新的密钥Kamf”。
11.根据权利要求9所述的方法,其特征在于,在所述源移动管理网元维护所述第一安全上下文和所述第二安全上下文的情况下,所述方法还包括:
所述源移动管理网元接收来自又一个目标移动管理网元的上下文请求消息,所述上下文请求消息用于请求终端设备的上下文,所述上下文请求消息包括受到了安全保护的注册请求消息,所述注册请求消息包括所述终端设备的标识;
所述源移动管理网元利用所述第一安全上下文和所述第二安全上下文对所述注册请求消息进行安全验证;
在利用所述第一安全上下文和所述第二安全上下文中的任一个对所述注册请求消息安全验证成功,且不需要进行水平密钥推演的情况下,所述源移动管理网元向所述目标移动管理网元发送验证成功的安全上下文。
12.根据权利要求9至11中任一项所述的方法,其特征在于,所述方法还包括:
所述源移动管理网元接收来自所述目标移动管理网元的注册成功指示信息,所述注册成功指示信息用于指示所述终端设备成功注册到了网络;
所述源移动管理网元删除所述第一安全上下文和/或所述第二安全上下文。
13.根据权利要求9至11中任一项所述的方法,其特征在于,所述方法还包括:
所述源移动管理网元接收去注册通知消息,所述去注册通知消息用于指示所述源移动管理网元执行所述终端设备的去注册;
所述源移动管理网元删除所述第一安全上下文和/或所述第二安全上下文。
14.根据权利要求9至11中任一项所述的方法,其特征在于,所述方法还包括:
在预设时间之后,所述源移动管理网元删除所述第一安全上下文和/或所述第二安全上下文。
15.根据权利要求9至11中任一项所述的方法,其特征在于,所述源移动管理网元维护所述第一安全上下文的情况下,所述方法还包括:
所述源移动管理网元删除所述第二安全上下文。
16.一种通信装置,其特征在于,该装置用于执行如权利要求1至15中任一项所述的方法。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序在计算机上运行时,使得计算机执行如权利要求1至15中任一项所述的方法。
18.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令在计算机上运行时,使得计算机执行如权利要求1至15中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111278501.2A CN116074828A (zh) | 2021-10-30 | 2021-10-30 | 管理安全上下文的方法和装置 |
PCT/CN2022/128421 WO2023072271A1 (zh) | 2021-10-30 | 2022-10-28 | 管理安全上下文的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111278501.2A CN116074828A (zh) | 2021-10-30 | 2021-10-30 | 管理安全上下文的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116074828A true CN116074828A (zh) | 2023-05-05 |
Family
ID=86159094
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111278501.2A Pending CN116074828A (zh) | 2021-10-30 | 2021-10-30 | 管理安全上下文的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN116074828A (zh) |
WO (1) | WO2023072271A1 (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2741509C1 (ru) * | 2017-09-15 | 2021-01-26 | Телефонактиеболагет Лм Эрикссон (Пабл) | Контекст безопасности в системе беспроводной связи |
CN111866974B (zh) * | 2019-04-29 | 2022-12-06 | 华为技术有限公司 | 用于移动注册的方法和装置 |
CN111866967A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 切换的处理方法和装置 |
CN114513789B (zh) * | 2019-05-31 | 2023-09-01 | 荣耀终端有限公司 | 获取安全上下文的通信***和方法 |
CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
-
2021
- 2021-10-30 CN CN202111278501.2A patent/CN116074828A/zh active Pending
-
2022
- 2022-10-28 WO PCT/CN2022/128421 patent/WO2023072271A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2023072271A1 (zh) | 2023-05-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102172118B1 (ko) | 네트워크 슬라이스 선택 방법, 무선 액세스 네트워크 장치, 및 단말 | |
EP3281434B1 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
CN113132334B (zh) | 授权结果的确定方法及装置 | |
KR102264356B1 (ko) | 통신 방법 및 장치 | |
US20220174482A1 (en) | Establishing a protocol data unit session | |
WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
CN113841366A (zh) | 通信方法及装置 | |
CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
CN113727342A (zh) | 网络注册的方法和装置 | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
CN117062071A (zh) | 鉴权方法、通信装置和计算机可读存储介质 | |
CN117320002A (zh) | 通信方法及装置 | |
CN114600487B (zh) | 身份认证方法及通信装置 | |
CN115706997A (zh) | 授权验证的方法及装置 | |
CN116074828A (zh) | 管理安全上下文的方法和装置 | |
WO2021134719A1 (zh) | 一种通信方法及装置 | |
CN113873492A (zh) | 一种通信方法以及相关装置 | |
CN114631398A (zh) | 一种通信方法,通信装置及通信*** | |
CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
WO2023216075A1 (en) | Cellular device radio network temporary identity protection | |
WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
CN115915114A (zh) | 注册方法及装置 | |
CN117320010A (zh) | 一种通信方法、装置及设备 | |
CN116996985A (zh) | 一种基于边缘网络的通信方法及装置 | |
CN117812574A (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |