CN109699028A - 一种生成密钥的方法、装置及系统 - Google Patents
一种生成密钥的方法、装置及系统 Download PDFInfo
- Publication number
- CN109699028A CN109699028A CN201710996047.1A CN201710996047A CN109699028A CN 109699028 A CN109699028 A CN 109699028A CN 201710996047 A CN201710996047 A CN 201710996047A CN 109699028 A CN109699028 A CN 109699028A
- Authority
- CN
- China
- Prior art keywords
- key
- anchor point
- terminal
- mme
- tegrity protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 140
- 238000004891 communication Methods 0.000 claims abstract description 95
- 102000018059 CS domains Human genes 0.000 claims abstract description 7
- 108050007176 CS domains Proteins 0.000 claims abstract description 7
- 238000012545 processing Methods 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 2
- 238000005303 weighing Methods 0.000 claims 1
- 230000008569 process Effects 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 48
- 238000013461 design Methods 0.000 description 22
- 230000004044 response Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 8
- 238000010168 coupling process Methods 0.000 description 6
- 238000005859 coupling reaction Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 5
- 230000011664 signaling Effects 0.000 description 3
- 230000003321 amplification Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000003199 nucleic acid amplification method Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000005553 drilling Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0022—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0022—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies
- H04W36/00224—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies between packet switched [PS] and circuit switched [CS] network technologies, e.g. circuit switched fallback [CSFB]
- H04W36/00226—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies between packet switched [PS] and circuit switched [CS] network technologies, e.g. circuit switched fallback [CSFB] wherein the core network technologies comprise IP multimedia system [IMS], e.g. single radio voice call continuity [SRVCC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及无线通信技术领域。本申请的实施例提供一种生成密钥的方法、装置和系统,用以解决语音业务切换过程中,无法实现对语音业务的安全保护的问题。本申请的方法包括:MME接收来自AMF节点的重定向请求消息,重定向请求消息包括密钥相关信息,然后MME根据密钥相关信息生成加密密钥和完整性保护密钥。其中,重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。本申请适用于语音业务切换的流程中。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及一种生成密钥的方法、装置及系统。
背景技术
单一无线语音呼叫连续性(single radio voice call continuity,SRVCC)是一种在长期演进(long term evolution,LTE)网络中实现语音业务连续性的方案。为了避免正在进行语音业务的终端在移出LTE网络的覆盖范围后出现语音业务中断的问题,可通过SRVCC方案将语音业务由分组交换(packet switch,PS)域切换至电路交换(circuitswitch,CS)域,从而保证语音业务不中断。
在下一代通信网络,例如第五代(5th Generation,5G)网络中,为了避免正在进行语音业务的终端移出5G网络的覆盖范围后出现语音业务终端的问题,也可通过SRVCC方案将语音业务由PS域切换至CS域。在语音业务的切换流程中,接入和移动性管理功能(accessand mobility management function,AMF)节点向MME发送切换请求,进而MME将生成加密密钥和完整性保护密钥。然而由于在语音业务切换流程之前,MME未服务5G网络中需要进行语音业务切换的终端,所以MME中没有终端的非接入层安全上下文,即MME中没有用于生成加密密钥和完整性保护密钥的下行非接入层计数值,导致MME无法生成加密密钥和完整性保护密钥,无法实现对语音业务的安全保护。
发明内容
本申请的实施例提供一种生成密钥的方法、装置及系统,以期解决在正在进行语音业务的终端移出5G网络后,将语音业务由PS域切换至CS域的过程中,无法实现对语音业务的安全保护的问题。
第一方面,本申请的实施例提供一种生成密钥的方法,该方法包括:移动性管理实体MME接收来自接入和移动性管理功能AMF节点的重定向请求消息,重定向请求消息包括密钥相关信息,然后MME根据密钥相关信息生成加密密钥和完整性保护密钥。其中,重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。本申请的实施例的方案中,AMF节点在向MME发送的重定向请求消息中携带密钥相关信息,进而MME可以根据密钥相关信息生成加密密钥和完整性保护密钥,进而在语音业务的切换过程中,可以使用加密密钥和完整性保护密钥对语音业务进行安全保护,提高了安全性。
在一种可能的设计中,密钥相关信息包括锚点密钥,MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:MME确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。采用该方法,MME可直接根据锚点密钥确定加密密钥和完整性保护密钥,在未获取到下行非接入层计数值的情况下也能实现对语音业务的安全保护,且实现简单。
作为一个例子,锚点密钥包括256位比特,MME可确定锚点密钥的前128位比特位为加密密钥,确定锚点密钥的后128位比特为完整性保护密钥;或者确定锚点密钥的后128位比特为加密密钥,确定锚点密钥的前128位比特为完整性保护密钥。
在另一种可能的设计中,密钥相关信息包括锚点密钥和下行非接入层计数值;MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:MME根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。采用该方法,AMF节点可以将下行非接入层计数值发送给MME,进而MME即可根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护。
其中,MME可根据锚点密钥(KASME)和下行接入层计数值生成一个新的密钥(KASME1’),进而将KASME1’的一部分作为加密密钥,将KASME1’的另一部分作为完整性保护密钥。
可选地,MME先对下行非接入层计数值进行运算得到一个输入参数,使用该输入参数和锚点密钥生成一个新的密钥(KASME2’),进而将将KASME2’的一部分作为加密密钥,将KASME2’的另一部分作为完整性保护密钥。
在一种可能的设计中,MME可以向AMF节点发送第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。
在另一种可能的设计中,密钥相关信息包括锚点密钥和预设值,或密钥相关信息包括锚点密钥和随机数;MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥;或者,MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。采用该方法,MME可根据锚点密钥和AMF节点生成的预设值或随机数生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护,由于MME未接收到下行非接入层计数值,所以即使MME被攻击者攻破,也无法根据锚点密钥反推出AMF节点的根密钥,保障了AMF节点的安全性。
其中,MME可将预设值或随机数作为生成新密钥的输入参数,可选地,MME根据锚点密钥和预设值(或根据锚点密钥和随机数)生成一个新的密钥(KASME’),进而将将KASME’的一部分作为加密密钥,将KASME’的另一部分作为完整性保护密钥。
在又一种可能的设计中,密钥相关信息包括锚点密钥,MME根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥;或者,MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
在一种可能的设计中,MME可向AMF节点发送第二指示信息,第二指示信息包括预设值或随机数,第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。采用该方法,MME可根据锚点密钥和自身生成的预设值或随机数生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护,由于MME未接收到下行非接入层计数值,所以即使MME被攻击者攻破,也无法根据锚点密钥反推出AMF节点的根密钥,保障了AMF节点的安全性。
第二方面,本申请的实施例提供一种生成密钥的方法,该方法包括:接入和移动性管理功能AMF节点确定密钥相关信息,密钥相关信息用于生成加密密钥和完整性保护密钥,然后AMF节点向移动性管理实体MME发送重定向请求消息,重定向请求消息中包括密钥相关信息,重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。采用该方法,AMF节点在向MME发送的重定向请求消息中携带密钥相关信息,避免了MME因缺少必要参数而无法生成加密密钥和完整性保护密钥的情况发生,提高了安全性。
在一种可能的设计中,密钥相关信息包括锚点密钥和下行非接入层计数值;AMF节点可向终端发送第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。
在一种可能的实施方式中,在AMF节点向终端发送第一指示信息之前,AMF节点可以生成第一指示信息;或者,AMF节点接收来自MME的第一指示信息。
在另一种可能的设计中,密钥相关信息包括锚点密钥;AMF节点可以接收来自MME的第二指示信息,第二指示信息中包括预设值或随机数,第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥;然后AMF节点向终端发送第二指示信息。
在又一种可能的设计中,密钥相关信息包括锚点密钥和预设值;或者,密钥相关信息包括锚点密钥和随机数;AMF节点可以向终端发送第三指示信息,第三指示信息中包括预设值或随机数,第三指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。
第三方面,本申请的实施例提供一种生成密钥的方法,该方法包括:终端接收下行非接入层计数值,然后终端根据接入和移动性管理功能AMF节点的根密钥和下行非接入层计数值生成锚点密钥,进而终端确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。其中,终端可以事先与MME协商生成加密密钥和完整性保护密钥的方法。进而,采用该方法,终端可以和MME生成相同的加密密钥和完整性保护密钥,使得终端可以对接收到的来自网络侧的数据进行解密,实现了对语音业务的安全保护。
第四方面,本申请的实施例提供一种生成密钥的方法,该方法包括:终端接收下行非接入层计数值和第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥;然后终端根据接入和移动性管理功能AMF节点的根密钥和下行非接入层计数值生成锚点密钥,进而终端根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。采用该方法,终端可以根据第一指示信息确定生成加密密钥和完整性保护密钥的方法,进而根据第一指示信息,终端可和MME生成相同的加密密钥和完整性保护密钥,使得终端可以对接收到的来自网络侧的数据进行解密,实现了对语音业务的安全保护。
第五方面,本申请的实施例提供一种生成密钥的方法,该方法包括:终端接收下行非接入层计数值和第二指示信息,第二指示信息包括预设值或随机数,第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥;然后终端根据接入和移动性管理功能AMF节点的根密钥和下行非接入层计数值生成锚点密钥,进而终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥;或者,终端根据锚点密钥和随机数生成加密密钥和完整性保护密钥。采用该方法,终端可以根据第二指示信息确定生成加密密钥和完整性保护密钥的方法,进而根据第二指示信息,终端可和MME生成相同的加密密钥和完整性保护密钥,使得终端可以对接收到的来自网络侧的数据进行解密,实现了对语音业务的安全保护。
第六方面,本申请的实施例提供一种生成密钥的方法,该方法包括:AMF节点根据密钥相关信息生成加密密钥和完整性保护密钥,然后AMF节点向MME发送重定向请求消息,重定向请求消息包括加密密钥和完整性保护密钥,重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。采用该方法,相比于现有技术中MME因缺少必要参数而无法生成加密密钥和完整性保护密钥,本申请实施例中,AMF节点可生成加密密钥和完整性保护密钥,进而将加密密钥和完整性保护密钥发送给MME,MME无需生成加密密钥和完整性保护密钥,可直接使用接收到的加密密钥和完整性保护密钥,实现了对语音业务的安全保护。
在一种可能的设计中,密钥相关信息包括锚点密钥,AMF节点根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:AMF节点根据自身的根密钥和下行非接入层计数值生成锚点密钥,然后AMF节点确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。
在另一种可能的设计中,密钥相关信息包括锚点密钥和下行非接入层计数值;AMF节点根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:AMF节点根据自身的根密钥和下行非接入层计数值生成锚点密钥,然后AMF节点根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。
在一种可能的设计中,AMF节点可以向终端发送第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。
在另一种可能的设计中,密钥相关信息包括锚点密钥和预设值,或密钥相关信息包括锚点密钥和随机数,AMF节点根据密钥相关信息生成加密密钥和完整性保护密钥的方法为:AMF节点根据自身的根密钥和下行非接入层计数值生成锚点密钥,然后AMF节点根据锚点密钥和预设值生成加密密钥和完整性保护密钥;或者,AMF节点根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
在一种可能的设计中,AMF节点可以向终端发送第三指示信息,第三指示信息包括预设值或随机数,第三指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。
第七方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中MME行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为MME,或者可以为MME中的芯片。
在一种可能的设计中,该装置为MME,MME包括处理器,所述处理器被配置为支持MME执行上述方法中相应的功能。进一步的,MME还可以包括通信接口,所述通信接口用于支持MME与MSC服务器或AMF节点的通信。进一步的,MME还可以包括存储器,所述存储器用于与处理器耦合,其保存MME必要的程序指令和数据。
第八方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中AMF节点行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为AMF节点,或者可以为AMF节点中的芯片。
在一种可能的设计中,该装置为AMF节点,AMF节点包括处理器,所述处理器被配置为支持AMF节点执行上述方法中相应的功能。进一步的,AMF节点还可以包括通信接口,所述通信接口用于支持AMF节点与MME或gNB之间的通信。进一步的,AMF节点还可以包括存储器,所述存储器用于与处理器耦合,其保存AMF节点必要的程序指令和数据。
第八方面,本申请实施例提供一种装置,该装置具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。例如,该装置可以为终端,或者可以为终端中的芯片。
在一种可能的设计中,该装置为终端,终端包括处理器,所述处理器被配置为支持终端执行上述方法中相应的功能。进一步地,终端还可以包括发射器和接收器,所述发射器和接收器用于支持终端与gNB之间的通信。进一步的,终端还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第九方面,本申请实施例提供一种通信系统,该系统包括上述方面所述的AMF节点、MME和终端,或者,该系统可以包括gNB、MSC服务器以及上述方面所述的AMF节点、MME和终端。
第十方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于MME所用的计算机软件指令,其包含用于执行上述第一方面所设计的程序。
第十一方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于AMF节点所用的计算机软件指令,其包含用于执行上述第二方面或第六方面所设计的程序。
第十二方面,本申请实施例提供一种计算机存储介质,用于储存为上述用于终端所用的计算机软件指令,其包含用于执行上述第三方面、第四方面或第五方面所设计的程序。
第十三方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第一方面所述的方法。
第十四方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第二方面或第六方面所述的方法。
第十五方面,本申请的实施例提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行如上述第三方面,第四方面或第五方面所述的方法。
第十六方面,本申请的实施例提供一种芯片系统,应用于MME中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第一方面所述的方法中所述MME的操作。
第十七方面,本申请的实施例提供一种芯片系统,应用于AMF节点中,所述芯片系统包括至少一个处理器,存储器和收发电路,所述存储器、所述收发电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第二方面或第六方面中所述的方法中所述AMF节点的操作。
第十八方面,本申请的实施例提供一种芯片系统,应用于终端中,所述芯片系统包括至少一个处理器,存储器和收发器,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行,以执行上述第三方面、第四方面或第五方面中所述终端的操作。
相比于现有技术中MME因为缺少生成用户面加密密钥和完整性保护密钥的参数,所以无法生成加密密钥和完整性保护密钥,导致无法实现对语音业务的安全保护,本申请实施例中AMF节点在向MME发送的重定向请求消息中携带密钥相关信息,进而MME可以根据密钥相关信息生成加密密钥和完整性保护密钥,进而在语音业务的切换过程中,可以使用加密密钥和完整性保护密钥对语音业务进行安全保护,提高了安全性。
附图说明
图1为本申请的实施例提供的一种可能的网络架构的示意图;
图2为本申请的实施例提供的一种生成密钥的方法的通信示意图;
图3为本申请的实施例提供的另一种生成密钥的方法的通信示意图;
图4为本申请的实施例提供的又一种生成密钥的方法的通信示意图;
图5为本申请的实施例提供的再一种生成密钥的方法的通信示意图;
图6为本申请的实施例提供的再一种生成密钥的方法的通信示意图;
图7为本申请的实施例提供的再一种生成密钥的方法的通信示意图;
图8为本申请的实施例提供的再一种生成密钥的方法的通信示意图;
图9为本申请的实施例提供的一种装置的示意性框图;
图10为本申请的实施例提供的一种MME的结构示意图;
图11为本申请的实施例提供的另一种装置的示意性框图;
图12为本申请的实施例提供的一种AMF节点的结构示意图;
图13为本申请的实施例提供的又一种装置的示意性框图;
图14为本申请的实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请描述的系统架构及业务场景是为了更加清楚的说明本申请的技术方案,并不构成对于本申请提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请提供的技术方案对于类似的技术问题,同样适用。
如图1所示,图1示出了本申请的一种可能的网络架构的示意图,该网络架构中包括5G通信系统中的AMF和无线接入网节点(例如下一代基站节点(next generation nodebasestation,gNB)),第四代(4th generation,4G)通信系统中的MME和无线接入网节点(例如演进的节点B(evolved NodeB,eNB)),以及第二代(2nd generation,2G)或第三代(3rdgeneration,3G)通信系统中的移动交换中心(mobile switching center,MSC)服务器和无线接入网节点(例如通用移动通信系统地面无线接入网(UMTS terrestrial radio accessnetwork,UTRAN)的接入网节点或GSM/EDGE无线接入网(GSM/EDGE radio access network,GERAN)的接入网节点),以及支持5G通信,4G通信以及2G通信和3G通信的终端。
需要说明的是,本申请不限制图1示出的各个设备的数量,图1中示例性地示出了3个终端,分别与2G或3G通信系统中的无线接入网节点、LTE通信系统中的eNB以及5G通信系统中的gNB进行无线通信,当然本申请不限制于此,各终端均可根据网络覆盖情况来确定接入的网络。
其中,本申请所称的终端,是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。该终端可以包括各种类型的用户设备(user equipment,UE)、手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、机器类型通信(machine typecommunication,MTC)的终端设备,工业控制(industrial control)中的终端设备、远程医疗(remote medical)中的具有语音通话功能的终端设备、运输安全(transportationsafety)中具有语音通话功能的终端设备、智慧城市(smart city)中具有语音通话功能的终端设备,以及可穿戴设备(如具有语音通话功能的智能手表和智能手环等)等等。示例性的,本申请实施例所涉及的终端可以是一种具有无线收发功能和语音通话功能的设备。
AMF节点为5G通信系统中负责移动性管理的网元,可以用于实现MME功能中除会话管理之外的其它功能,例如合法监听,接入授权等功能。本申请实施例中的AMF节点可以为包含安全锚点功能(security anchor function,SEAF)的AMF节点,也可以为不包含SEAF功能的节点,SEAF节点可以独立设置。
MME为4G通信系统中负责移动性管理的网元,还用于实现承载管理、用户的鉴权认证、服务网关(serving gate way,SGW)和分组数据网关(packet data network gateway,PGW)的选择等功能。
MSC服务器具有呼叫控制和处理功能,本申请实施例中的MSC服务器为支持SRVCC的增强型MSC服务器。
5G、4G、3G和2G中的无线接入网节点均为可以为终端提供无线通信功能的节点。
本申请的实施例应用于5G的SRVCC场景中,基于图1所示的网络架构示意图,终端在5G通信系统中进行语音业务的过程中,若终端移出了5G网络的覆盖范围,为了保证终端的语音业务不出现中断,可以将终端的语音业务由PS域切换至CS域。然而,5G通信系统与2G或3G通信系统之间不存在直接的通信接口,所以需要将语音业务由5G通信系统切换至4G通信系统,再由4G通信系统切换至2G或3G通信系统。
在现有技术中,终端在4G通信系统中进行语音业务的过程中,若终端移出了4G网络的覆盖范围,为了保证终端的语音业务不出现中断,可以将终端的语音业务由PS域切换至CS域。在切换过程中,MME可以基于自身维护的下行非接入层计数值(downlink nonaccess stratum count,DL NAS count)生成加密密钥和完整性保护密钥,并发送给MSC服务器。同样,终端也可以根据相同的下行非接入层计数值生成加密密钥和完整性保护密钥。
在终端由5G网络切换至4G网络,再切换至2G或3G网络的过程中,5G通信系统中的AMF节点可以向4G通信系统中的MME发送重定向请求消息,进而MME将生成加密密钥和完整性保护密钥,并将生成的加密密钥和完整性保护密钥发送给MSC服务器。然而,在语音业务的切换流程中,AMF通过MME将终端的语音业务由5G网络切换至2G或3G网络,进行语音业务的终端在进行切换过程之前未与MME进行通信,所以MME未与该终端存储相同的下行非接入层计数值,即MME中缺少生成加密密钥和完整性密钥的必要参数,所以无法生成加密密钥和完整性保护密钥,进而无法对语音业务进行安全保护。
为了解决上述问题,本申请的实施例提供的方案为:AMF节点向MME发送重定向请求消息,重定向请求消息中包括密钥相关信息,MME根据密钥相关信息生成加密密钥和完整性保护密钥。采用该方案,AMF节点在切换请求中将用于生成加密密钥和完整性保护密钥的密钥相关信息发送给MME,进而MME就可以生成加密密钥和完整性保护密钥,解决了现有技术中由于MME无法生成加密密钥和完整性密钥而导致的无法对语音业务进行安全保护的问题。
以下对本申请提出的技术方案进行详细描述。
如图2所示,本申请的实施例提供一种生成密钥的方法,该方法包括:步骤201至步骤203。
步骤201、AMF节点确定密钥相关信息。
其中,密钥相关信息为用于生成加密密钥和完整性保护密钥的信息。
其中,密钥相关信息包括锚点密钥。例如,AMF节点可根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
在一个示例中,密钥相关信息包括锚点密钥和下行非接入层计数值。
需要说明的是,该下行非接入层计数值与AMF节点生成锚点密钥时使用的下行非接入层计数值相同。
在另一个示例中,密钥相关信息包括锚点密钥和预设值,或者密钥相关信息包括锚点密钥和随机数。
其中,预设值可以是固定值,也可以不是固定值。例如,AMF节点每向MME发送一次切换请求都可以将预设值加1。密钥相关信息中包括的随机数为AMF节点生成的随机数。
步骤202、AMF节点向MME发送重定向请求消息,重定向请求消息中包括密钥相关信息。相应地,MME接收密钥相关信息。
其中,重定向请求消息用于请求将语音业务由PS域切换至CS域。可选地,重定向请求消息中还包括SRVCC指示信息,SRVCC指示信息用于指示MME通过发送切换请求消息请求将语音业务由PS域切换至CS域。
步骤203、MME根据密钥相关信息生成加密密钥和完整性保护密钥。
本申请的实施例提供的生成密钥的方法,与现有技术中MME因为缺少生成用户面加密密钥和完整性保护密钥的参数,所以无法生成加密密钥和完整性保护密钥,导致无法实现对语音业务的安全保护相比,本申请实施例中AMF节点在向MME发送的重定向请求消息中携带密钥相关信息,进而MME可以根据密钥相关信息生成加密密钥和完整性保护密钥,进而在语音业务的切换过程中,可以使用加密密钥和完整性保护密钥对语音业务进行安全保护,提高了安全性。
可以理解的是,在上述步骤201中,AMF节点确定的密钥相关信息包含的内容存在多种可能性,对应于每种可能性,步骤203中,MME节点根据密钥相关信息生成加密密钥和完整性保护性密钥的方法也不同,以下结合本申请实施例提供的四种实现方式,分别对MME节点根据密钥相关信息生成加密密钥和完整性密钥的四种方法进行说明。
在第一种可能的实现方式中,密钥相关信息包括锚点密钥,如图3所示,该方法包括:步骤301至步骤308。
步骤301至步骤302可参考上述步骤201至步骤202中的相关描述,当然本申请不限于此。其中,步骤301和步骤302中涉及的密钥相关信息包括锚点密钥。
步骤303、MME确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。
示例性地,该锚点密钥可以包括256位比特,MME可以确定锚点密钥的前128位比特为加密密钥,确定锚点密钥的后128位比特为完整性保护密钥。或者MME确定锚点密钥的前128位比特为完整性保护密钥,确定锚点密钥的后128位比特为加密密钥,本申请的实施例对此不作限定。
在MME生成加密密钥和完整性保护密钥之后,终端也需要生成加密密钥和完整性保护密钥,且终端生成的加密密钥和完整性保护密钥与MME生成的加密密钥和完整性保护密钥相同。基于此,在步骤303之后,可以执行步骤304至步骤308。
步骤304、MME向AMF节点发送切换响应消息。相应地,AMF节点接收切换响应消息。
其中,MME生成加密密钥和完整性保护密钥之后,可以根据SVRRC指示信息向MSC服务器发送切换请求消息,在接收到来自MSC服务器的切换响应消息后,向AMF节点发送切换响应消息,进而触发AMF节点执行步骤305。
305、AMF节点向终端发送下行非接入层计数值。
可选地,AMF节点可以在切换命令中携带下行非接入层计数值,AMF节点将切换命令发送给gNB,进而gNB将切换命令转发给终端。
需要说明的是,本申请实施例中涉及到的AMF节点向终端发送的下行非接入层计数值可以是完整的下行非接入层计数值,或者为了节省开销,也可以向终端发送下行非接入层计数值的低四位,终端接收到下行非接入层计数值之后,可以恢复出完整的下行非接入层计数值。
其中,下行非接入层计数值为一个24比特的值,高16比特为溢出位,低8比特位序列号。示例性地,AMF节点发送的完整的下行非接入层计数值可以为00000000000000000011 1101,或者AMF节点只发送1101,终端接收到下行非接入层计数值1101后,可恢复出完整的下行非接入层计数值0000000000000000 0011 1101。
306、终端接收下行非接入层计数值。
307、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
308、终端确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。
示例性地,终端可确定锚点密钥的前128比特位为加密密钥,确定锚点密钥的后128位比特为完整性保护密钥,或者反之,本申请对此不做限制。
需要说明的是,终端与MME需事先协商如何根据锚点密钥确定加密密钥和完整性保护密钥,以保证终端与MME确定的加密密钥和完整性保护密钥相同。
采用该方法,MME可直接根据锚点密钥确定加密密钥和完整性保护密钥,在未获取到下行非接入层计数值的情况下也能实现对语音业务的安全保护,且实现简单。
在第二种可能的实现方式中,密钥相关信息包括锚点密钥和下行非接入层计数值,如图4所示,该方法包括:步骤401至步骤408。
步骤401至步骤402可参考上述步骤201至步骤202中的相关描述,当然本申请不限于此。其中,步骤401和步骤402中的密钥相关信息包括锚点密钥和下行非接入层计数值。
步骤403、MME根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。
可选地,MME可根据锚点密钥(KASME)和下行非接入层计数值生成一个新的密钥(KASME1’),进而将KASME1’的一部分作为加密密钥,将KASME1’的另一部分作为完整性保护密钥。示例性地,KASME1’可以包括256位比特,可以将KASME1’的前128位比特作为加密密钥,将KASME1’的后128位比特作为完整性保护密钥,本申请对此不作限制。
可选地,MME不直接使用接收到的下行非接入层计数值生成加密密钥和完整性保护密钥,而是先对下行非接入层计数值进行运算得到一个输入参数,使用该输入参数和锚点密钥生成一个新的密钥(KASME2’),进而将将KASME2’的一部分作为加密密钥,将KASME2’的另一部分作为完整性保护密钥。示例性地,KASME2’可以包括256位比特,可以将KASME2’的前128位比特作为加密密钥,将KASME2’的后128位比特作为完整性保护密钥。
步骤404、MME向AMF节点发送第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。相应地,AMF节点接收第一指示信息。
需要说明的是,若MME未直接使用下行非接入层计数值生成加密密钥和完整性保护密钥,而是先对下行非接入层计数值进行运算得到一个输入参数,进而根据输入参数和锚点密钥来生成加密密钥和完整性保护密钥,则MME发送的第一指示信息可以指示终端如何根据下行非接入层计数值得到输入参数,进而根据输入参数和锚点密钥生成加密密钥和完整性保护密钥。
步骤405、AMF节点向终端发送第一指示信息和下行非接入层计数值。
可选地,AMF节点向终端发送的第一指示信息可以为AMF节点生成的第一指示信息,也可以为从MME接收的第一指示信息。在第一指示信息为AMF节点生成的第一指示信息的情况下无需执行步骤404。
其中,AMF节点可在切换命令中携带第一指示信息,可选地,切换命令中还包括下行非接入层计数值。AMF节点向gNB发送切换命令,进而gNB向终端发送切换命令。
步骤406、终端接收下行非接入层计数值和第一指示信息。
步骤407、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
步骤408、终端根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。
其中,终端根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥的方法,与上述步骤403中MME根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥的方法相同,终端可根据锚点密钥(KASME)和下行非接入层计数值生成一个新的密钥(KASME1’),进而将KASME1’的一部分作为加密密钥,将KASME1’的另一部分作为完整性保护密钥。或者,终端根据第一指示信息对下行非接入层计数值进行运算得到一个输入参数,使用该输入参数和锚点密钥生成一个新的密钥(KASME2’),进而将将KASME2’的一部分作为加密密钥,将KASME2’的另一部分作为完整性保护密钥。
采用该方法,相比于现有技术中MME中因为不存在下行非接入层计数值而无法生成加密密钥和完整性保护密钥,在本申请实施例中,AMF节点可以将下行非接入层计数值发送给MME,进而MME即可根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护。
在第三种可能的实现方式中,密钥相关信息包括锚点密钥和预设值,或者密钥相关信息包括锚点密钥和随机数,如图5所示,该方法包括:步骤501至步骤508。
步骤501至步骤502可参考上述步骤201至步骤202中的相关描述,当然本申请不限于此。其中,步骤501和步骤502中的密钥相关信息包括锚点密钥和预设值,或者包括锚点密钥和随机数。其中,密钥相关信息中的预设值或随机数均为AMF节点生成的。
步骤503、MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥,或者MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
MME可将预设值或随机数作为生成新密钥的输入参数,可选地,MME根据锚点密钥和预设值(或根据锚点密钥和随机数)生成一个新的密钥(KASME’),进而将将KASME’的一部分作为加密密钥,将KASME’的另一部分作为完整性保护密钥。示例性地,KASME’可以包括256位比特,可以将KASME’的前128位比特作为加密密钥,将KASME’的后128位比特作为完整性保护密钥,或者反之,本申请实施例对此不作限制。
步骤504、MME向AMF节点发送切换响应消息。相应地,AMF节点接收切换响应消息。
其中,MME生成加密密钥和完整性保护密钥之后,可以根据SVRRC指示信息向MSC服务器发送切换请求消息,在接收到来自MSC服务器的切换响应消息后,向AMF节点发送切换响应消息,进而触发AMF节点执行步骤505。
步骤505、AMF节点向终端发送第三指示信息和下行非接入层计数值。
其中,第三指示信息中包括预设值或随机数,第三指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。
可选地,AMF节点在向终端发送的切换命令中携带第三指示信息,切换命令中还可携带下行非接入层计数值。具体地,AMF节点向gNB发送切换命令,进而gNB向终端转发切换命令。
步骤506、终端接收下行非接入层计数值和第三指示信息。
步骤507、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
步骤508、终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥,或者终端根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
其中,若步骤503中MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥,则第三指示信息中包括预设值,相应地,终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥,终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥的方法,与上述步骤503中MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥的方法相同,此处不再赘述。
若步骤503中MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥,则第三指示信息中包括随机数,相应地,终端根据锚点密钥和随机数生成加密密钥和完整性保护密钥,终端根据锚点密钥和随机数生成加密密钥和完整性保护密钥的方法,与上述步骤503中MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥的方法相同,此处不再赘述。
采用该方法,MME可根据锚点密钥和AMF节点生成的预设值或随机数生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护,由于MME未接收到下行非接入层计数值,所以即使MME被攻击者攻破,也无法根据锚点密钥反推出AMF节点的根密钥,保障了AMF节点的安全性。
在第四种可能的实现方式中,密钥相关信息中包括锚点密钥,第三种实现方式与第四种实现方式的区别为,第三种实现方式中MME和终端生成加密密钥和完整性保护密钥时使用的预设值或随机数为AMF节点生成的,而第四种实现方式中MME和终端生成加密密钥和完整性保护密钥时使用的预设值或随机数为MME生成的。如图6所示,该方法包括:步骤601至步骤608。
步骤601至步骤602可参考上述步骤201至步骤202中的相关描述,当然本申请不限于此。其中,步骤601和步骤602中的密钥相关信息包括锚点密钥。
步骤603、MME根据锚点密钥和预设值生成加密密钥和完整性保护密钥,或MME根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
其中,步骤603中的预设值或随机数为MME生成的。需要说明的是,图6对应实施例涉及到的MME生成的预设值或随机数,可以与图5对应的实施例中AMF节点生成的预设值或随机数的具体数值相同或不同,本申请对此不作限制。
在步骤603中,MME根据锚点密钥和预设值(或根据锚点密钥和随机数)生成加密密钥和完整性保护密钥的方法可参考上述步骤503中的相关描述,此处不再赘述。
步骤604、MME向AMF节点发送第二指示信息,相应地,AMF节点接收第二指示信息。
其中,第二指示信息中包括预设值或随机数,第二指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。第二指示信息中的预设值为MME中的预设值,第二指示信息中的随机数为MME生成的随机数。
步骤605、AMF节点向MME发送第二指示信息和下行非接入层计数值。
可选地,AMF节点可在向终端发送的切换命令中携带第二指示信息。第二指示信息中还可以包括下行非接入层计数值。具体地,AMF节点向gNB发送切换命令,gNB向终端转发该切换命令。
步骤606、终端接收下行非接入层计数值和第二指示信息。
步骤607、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
步骤608、终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥,或者终端根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
其中,在步骤608中,终端根据锚点密钥和预设值生成加密密钥和完整性保护密钥的方法可参考上述步骤507中的相关描述,此处不再赘述。
采用该方法,MME可根据锚点密钥和自身生成的预设值或随机数生成加密密钥和完整性保护密钥,实现了对语音业务的安全保护,由于MME未接收到下行非接入层计数值,所以即使MME被攻击者攻破,也无法根据锚点密钥反推出AMF节点的根密钥,保障了AMF节点的安全性。
如图7所示,图7结合将语音业务由PS域切换至CS域的具体场景对本申请实施例提供的生成密钥的方法进行介绍,该方法包括:步骤701至步骤711。
步骤701、gNB向AMF节点发送切换请求(handover required)消息。相应地,AMF节点接收切换请求消息。
其中,gNB可根据终端上报的测量报告确定是否需要对语音业务进行切换,若gNB根据测量报告确定终端接收到的5G网络的信号较弱,而3G或2G网络的信号较强,则可向AMF节点发送切换请求消息。
步骤702、AMF节点根据自身的根密钥和下行非接入层计数值(DL NAS count)生成锚点密钥。
可选地,AMF节点还可以为MME生成用于推演加密密钥和完整性密钥的密钥推演参数,该密钥推演参数可以为预设值或随机数。
步骤703、AMF节点向MME发送重定向请求(forward relocation request)消息,重定向请求消息中包括密钥相关信息。相应地,MME接收重定向请求消息。
其中,重定向请求消息中包括SRVCC指示信息,该SRVCC指示信息用于指示MME通过发送PS域至CS域的切换请求(PS to CS handover request)消息请求将语音业务由PS域切换至CS域。
密钥相关信息可包括锚点密钥。或者,密钥相关信息包括锚点密钥和下行非接入层计数值。或者,密钥相关信息包括锚点密钥和预设值。或者,密钥相关信息包括锚点密钥和随机数。
可选地,密钥相关信息中还可以包括加密密钥和完整性密钥对应的密钥集标识符合终端的安全能力。
步骤704、MME根据密钥相关信息生成加密密钥和完整性保护密钥。
其中,MME根据密钥相关信息生成加密密钥和完整性保护密钥包括四种可能的实现方式,可参考上述实施例中的步骤303、403、503、603中的相关描述,此处不再赘述。
步骤705、MME向MSC服务器发送切换请求消息,切换请求消息中包括加密密钥和完整性保护密钥。相应地,MSC服务器接收切换请求消息。
其中,切换请求消息用于请求将语音业务由PS域切换至CS域。
步骤706、MSC服务器向MME发送切换响应消息。相应地,MME接收切换响应消息。
其中,该切换响应消息为PS域至CS域的切换响应(PS to CS handover reponse)消息。
步骤707、MME向AMF节点转发切换响应消息。相应地,AMF节点接收切换响应消息。
步骤708、AMF节点向gNB发送切换命令(handover command)。相应地,gNB接收切换命令。
其中,切换命令中包括完整的下行非接入层计数值,或者包括下行非接入层计数值的低四位。
切换命令中还可以包括上述实施例中描述的第一指示信息或第二指示信息或第三指示信息。
步骤709、gNB向终端转发切换命令。相应地,终端接收切换命令。
步骤710、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
可选地,若终端接收到的是下行非接入层计数值的低四位,则先恢复出完整的下行非接入层计数值,然后根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
步骤711、终端生成加密密钥和完整性保护密钥。
其中,本申请的实施例提供了四种终端生成加密密钥和完整性保护密钥的方法,具体可参考上述图3至图6对应的实施例中的描述,此处不再赘述。
在上述实施例中,在将语音业务由PS域切换至CS域的过程中,均是由MME生成加密密钥和完整性保护密钥,在另一种可能的实现方式中,还可以由AMF节点生成加密密钥和完整性保护密钥,然后将加密密钥和完整性保护密钥发送给MME,如图8所示,该方法包括:步骤801至步骤811。
步骤801、gNB向AMF节点发送切换请求消息。相应地,AMF节点接收切换请求消息。
步骤802、AMF节点根据自身的根密钥和下行非接入层计数值生成锚点密钥。
步骤803、AMF节点生成加密密钥和完整性保护密钥。
AMF节点生成加密密钥和完整性保护密钥的方法包括以下三种:
方法一、AMF节点确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。
其中,锚点密钥可以包括256位比特,AMF节点可以确定锚点密钥的前128位比特为加密密钥,确定锚点密钥的后128位比特为完整性保护密钥。或者MME确定锚点密钥的前128位比特为完整性保护密钥,确定锚点密钥的后128位比特为加密密钥,本申请的实施例对此不作限定。
方法二、AMF节点根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥。
AMF节点根据锚点密钥和下行非介入层计数值生成加密密钥和完整性保护密钥的方法,与MME根据锚点密钥和下行非介入层计数值生成加密密钥和完整性保护密钥的方法相似,可参考上述图4中的步骤403中的相关描述,此处不再赘述。
方法三、AMF节点根据锚点密钥和预设值生成加密密钥和完整性保护密钥,或者AMF节点根据锚点密钥和随机数生成加密密钥和完整性保护密钥。
AMF节点根据锚点密钥和预设值(或根据锚点密钥和随机数)生成加密密钥和完整性保护密钥的方法,与MME根据锚点密钥和预设值(或根据锚点密钥和随机数)生成加密密钥和完整性保护密钥的方法相似,可参考上述图5中的步骤503中的描述,此处不再赘述。
步骤804、AMF节点向MME发送重定向请求消息。相应地,MME接收重定向请求消息。
其中,重定向请求消息中包括AMF节点生成的加密密钥和完整性保护密钥。
步骤805、MME向MSC服务器发送切换请求消息,切换请求消息中包括加密密钥和完整性保护密钥。相应地,MSC服务器接收切换请求消息。
步骤806、MSC服务器向MME发送切换响应消息。相应地,MME接收切换响应消息。
步骤807、MME向AMF节点转发切换响应消息。相应地,AMF节点接收切换响应消息。
步骤808、AMF节点向gNB发送切换命令(handover command)。相应地,gNB接收切换命令。
其中,切换命令中包括完整的下行非接入层计数值,或者包括下行非接入层计数值的低四位。
可选地,若步骤803通过上述方法二实现,则切换命令中还包括第一指示信息,第一指示信息用于指示终端根据下行非接入层计数值生成加密密钥和完整性保护密钥。若步骤803通过上述方法三实现,则切换命令中还包括第三指示信息,第三指示信息中包括预设值或随机数,第三指示信息用于指示终端根据预设值或随机数生成加密密钥和完整性保护密钥。
步骤809、gNB向终端转发切换命令。相应地,终端接收切换命令。
步骤810、终端根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
可选地,若终端接收到的是下行非接入层计数值的低四位,则先恢复出完整的下行非接入层计数值,然后根据AMF节点的根密钥和下行非接入层计数值生成锚点密钥。
步骤811、终端生成加密密钥和完整性保护密钥。
可选地,对应步骤803中的方法一,AMF节点可事先和终端协商根据锚点密钥生成加密密钥和完整性保护密钥,进而终端接收到切换命令后,确定锚点密钥的一部分为加密密钥,确定锚点密钥的另一部分为完整性保护密钥。
若终端接收的切换命令中包括第一指示信息,则终端根据锚点密钥和下行非接入层计数值生成加密密钥和完整性保护密钥,具体方法与步骤803中的方法二相同,此处不再赘述。
若终端接收的切换命令中包括第三指示信息,则终端根据锚点密钥和预设值(或根据锚点密钥和随机数)生成加密密钥和完整性保护密钥,具体方法与步骤804中的方法三相同,此处不再赘述。
采用该方法,相比于现有技术中MME因缺少必要参数而无法生成加密密钥和完整性保护密钥,本申请实施例中,AMF节点可生成加密密钥和完整性保护密钥,进而将加密密钥和完整性保护密钥发送给MME,MME无需生成加密密钥和完整性保护密钥,可直接使用接收到的加密密钥和完整性保护密钥,实现了对语音业务的安全保护。
上述主要从不同网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是,AMF节点、MME、终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本发明中所公开的实施例描述的各示例的单元及算法步骤,本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本发明实施例的技术方案的范围。
本发明实施例可以根据上述方法示例对AMF节点、MME、终端等进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本发明实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的单元的情况下,图9示出了本发明实施例中提供的一种装置的示意性框图。该装置可以以软件的形式存在,也可以为MME,还可以为MME中的芯片。该装置900包括:处理单元902和通信单元903。处理单元902用于对装置900的动作进行控制管理,例如,处理单元902用于支持装置900执行图2中的步骤203,图3中的步骤303,图4中的步骤403,图5中的步骤503,图6中的步骤603,图7中的步骤704,和/或用于本文所描述的技术的其它过程。通信单元903用于支持装置900和其他网元(例如AMF节点、MSC服务器等)之间的通信。例如,通信单元903用于支持装置900执行图3中的步骤304,图4中的步骤404,图5中的步骤504,图6中的步骤604,图7中的步骤705和步骤707,图8中的步骤805和步骤807。装置900还可以包括存储单元901,用于存储装置900的程序代码和数据。
其中,处理单元902可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元903可以是通信接口,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:MME与AMF节点之间的接口、MME与MSC服务器之间的接口和/或其他接口。存储单元901可以是存储器。
当处理单元902为处理器,通信单元903为通信接口,存储单元901为存储器时,本申请实施例所涉及的装置900的结构可以是如图10所示的MME的结构。
图10示出了本申请实施例提供的MME的一种可能的结构示意图。
如图10所示,该MME1000包括:处理器1002、通信接口1003、存储器1001。可选的,MME1000还可以包括总线1004。其中,通信接口1003、处理器1002以及存储器1001可以通过总线1004相互连接;总线1004可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。所述总线1004可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图11示出了本发明实施例中提供的另一种装置的示意性框图。该装置可以以软件的形式存在,也可以为AMF节点,还可以为AMF节点中的芯片。该装置1100包括:处理单元1102和通信单元1103。处理单元1102用于对装置1100的动作进行控制管理,例如,处理单元1102用于支持装置1100执行图2中的步骤201,图3中的步骤301,图4中的步骤401,图5中的步骤501,图6中的步骤601,图7中的步骤702,图8中的步骤802和803,和/或用于本文所描述的技术的其它过程。通信单元1103用于支持装置1100和其他网元(例如MME、gNB等)之间的通信。例如,通信单元1103用于支持装置1100执行图2中的步骤202,图3中的步骤302和步骤305,图4中的步骤402和步骤405,图5中的步骤502和步骤505,图6中的步骤602和步骤605,图7中的步骤703和步骤708,图8中的步骤804和步骤808。装置1100还可以包括存储单元1101,用于存储装置1100的程序代码和数据。
其中,处理单元1102可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1103可以是通信接口,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:AMF节点与MME之间的接口,AMF节点与gNB之间的接口和/或其他接口。存储单元1101可以是存储器。
当处理单元1102为处理器,通信单元1103为通信接口,存储单元1101为存储器时,本申请实施例所涉及的装置1100的结构可以是如图12所示的AMF节点的结构。
图12示出了本申请实施例提供的AMF节点的一种可能的结构示意图。
如图12所示,该AMF节点1200包括:处理器1202、通信接口1203、存储器1201。可选的,AMF节点1200还可以包括总线1204。其中,通信接口1203、处理器1202以及存储器1201可以通过总线1204相互连接;总线1204可以是PCI总线或EISA总线等。所述总线1204可以分为地址总线、数据总线、控制总线等。为便于表示,图12中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图13示出了本发明实施例中提供的又一种装置的示意性框图。该装置1300可以以软件的形式存在,也可以为终端,还可以为终端中的芯片。装置1300包括:处理单元1302和通信单元1303。处理单元1302用于对装置1300的动作进行控制管理,例如,处理单元1302用于支持装置1300执行图3中的步骤306至步骤308,图4中的步骤406至步骤408,图5中的步骤506至步骤508,图6中的步骤606至步骤608,图7中的步骤710和步骤711,图8中的步骤810和步骤811,和/或用于本文所描述的技术的其它过程。通信单元1303用于支持装置1300和其他网元(例如gNB)之间的通信。装置1300还可以包括存储单元1301,用于存储装置1300的程序代码和数据。
其中,处理单元1302可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1303可以是收发器、收发电路或通信接口等。存储单元1301可以是存储器。
当处理单元1302为处理器,通信单元1303为收发器,存储单元1301为存储器时,本申请实施例所涉及的装置1300可以为图14所示的终端。
图14示出了本申请实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1400包括发射器1401,接收器1402和处理器1403。其中,处理器1403也可以为控制器,图14中表示为“控制器/处理器1403”。可选的,所述终端1400还可以包括调制解调处理器1405,其中,调制解调处理器1405可以包括编码器1407、调制器1407、解码器1408和解调器1409。
在一个示例中,发射器1401调节(例如,模拟转换、滤波、放大和上变频等)该输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。接收器1402调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1405中,编码器1407接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1407进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1409处理(例如,解调)该输入采样并提供符号估计。解码器1408处理(例如,解交织和解码)该符号估计并提供发送给终端1400的已解码的数据和信令消息。编码器1407、调制器1407、解调器1409和解码器1408可以由合成的调制解调处理器1405来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。需要说明的是,当终端1400不包括调制解调处理器1405时,调制解调处理器1405的上述功能也可以由处理器1403完成。
处理器1403对终端1400的动作进行控制管理,用于执行上述本发明实施例中由终端1400进行的处理过程。例如,处理器1403还用于执行图3至图8所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。
进一步的,终端1400还可以包括存储器1404,存储器1404用于存储用于终端1400的程序代码和数据。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(ReadOnly Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于MME、AMF节点或终端中。当然,处理器和存储介质也可以作为分立组件存在于MME、AMF节点或终端中。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络设备上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个功能单元独立存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (30)
1.一种生成密钥的方法,其特征在于,包括:
移动性管理实体MME接收来自接入和移动性管理功能AMF节点的重定向请求消息,所述重定向请求消息包括密钥相关信息,所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域;
所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥。
2.根据权利要求1所述的方法,其特征在于,所述密钥相关信息包括锚点密钥,所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥,包括:
所述MME确定所述锚点密钥的一部分为所述加密密钥,确定所述锚点密钥的另一部分为所述完整性保护密钥。
3.根据权利要求1所述的方法,其特征在于,所述密钥相关信息包括锚点密钥和下行非接入层计数值;所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥,包括:
所述MME根据所述锚点密钥和所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述MME向所述AMF节点发送第一指示信息,所述第一指示信息用于指示终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
5.根据权利要求1所述的方法,其特征在于,所述密钥相关信息包括锚点密钥和预设值,或所述密钥相关信息包括锚点密钥和随机数;所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥,包括:
所述MME根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥;或者,
所述MME根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。
6.根据权利要求1所述的方法,其特征在于,所述密钥相关信息包括锚点密钥,所述MME根据所述密钥相关信息生成加密密钥和完整性保护密钥,包括:
所述MME根据所述锚点密钥和预设值生成所述加密密钥和所述完整性保护密钥;或者,
所述MME根据所述锚点密钥和随机数生成所述加密密钥和所述完整性保护密钥。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述MME向所述AMF节点发送第二指示信息,所述第二指示信息包括所述预设值或所述随机数,所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。
8.一种生成密钥的方法,其特征在于,包括:
接入和移动性管理功能AMF节点确定密钥相关信息,所述密钥相关信息用于生成加密密钥和完整性保护密钥;
所述AMF节点向移动性管理实体MME发送重定向请求消息,所述重定向请求消息包括所述密钥相关信息,所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。
9.根据权利要求8所述的方法,其特征在于,所述密钥相关信息包括锚点密钥和下行非接入层计数值;所述方法还包括:
所述AMF节点生成第一指示信息,或者接收来自所述MME的第一指示信息;
所述AMF节点向终端发送所述第一指示信息,所述第一指示信息用于指示所述终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
10.根据权利要求8所述的方法,其特征在于,所述密钥相关信息包括锚点密钥;所述方法还包括:
所述AMF节点接收来自所述MME的第二指示信息,所述第二指示信息包括预设值或随机数,所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥;
所述AMF节点向所述终端发送所述第二指示信息。
11.根据权利要求8所述的方法,其特征在于,所述密钥相关信息包括锚点密钥和预设值;或者,所述密钥相关信息包括锚点密钥和随机数;所述方法还包括:
所述AMF节点向终端发送第三指示信息,所述第三指示信息包括所述预设值或所述随机数,所述第三指示信息用于指示所述终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。
12.一种生成密钥的方法,其特征在于,包括:
终端接收下行非接入层计数值;
所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥;
所述终端确定所述锚点密钥的一部分为所述加密密钥,确定所述锚点密钥的另一部分为所述完整性保护密钥。
13.一种生成密钥的方法,其特征在于,包括:
终端接收下行非接入层计数值和第一指示信息,所述第一指示信息用于指示所述终端根据所述下行非接入层计数值生成加密密钥和完整性保护密钥;
所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥;
所述终端根据所述锚点密钥和所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
14.一种生成密钥的方法,其特征在于,包括:
终端接收下行非接入层计数值和第二指示信息,所述第二指示信息包括预设值或随机数,所述第二指示信息用于指示所述终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥;
所述终端根据接入和移动性管理功能AMF节点的根密钥和所述下行非接入层计数值生成锚点密钥;
所述终端根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥;或者,
所述终端根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。
15.一种装置,其特征在于,包括:通信单元和处理单元;
所述通信单元,用于接收来自接入和移动性管理功能AMF节点的重定向请求消息,所述重定向请求消息包括密钥相关信息,所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域;
所述处理单元,用于根据所述通信单元接收的密钥相关信息生成加密密钥和完整性保护密钥。
16.根据权利要求15所述的装置,其特征在于,所述密钥相关信息包括锚点密钥;
所述处理单元,具体用于确定所述锚点密钥的一部分为所述加密密钥,确定所述锚点密钥的另一部分为所述完整性保护密钥。
17.根据权利要求15所述的装置,其特征在于,所述密钥相关信息包括锚点密钥和下行非接入层计数值;
所述处理单元,具体用于根据所述锚点密钥和所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
18.根据权利要求17所述的装置,其特征在于,
所述通信单元,还用于向所述AMF节点发送第一指示信息,所述第一指示信息用于指示终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
19.根据权利要求15所述的装置,其特征在于,所述密钥相关信息包括锚点密钥和预设值,或所述密钥相关信息包括锚点密钥和随机数;
所述处理单元,具体用于根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥;或者,具体用于根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。
20.根据权利要求15所述的装置,其特征在于,所述密钥相关信息包括锚点密钥;
所述处理单元,具体用于根据所述锚点密钥和预设值生成所述加密密钥和所述完整性保护密钥;或者,具体用于根据所述锚点密钥和随机数生成所述加密密钥和所述完整性保护密钥。
21.根据权利要求20所述的装置,其特征在于,
所述通信单元,还用于向所述AMF节点发送第二指示信息,所述第二指示信息包括所述预设值或所述随机数,所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。
22.一种装置,其特征在于,包括:处理单元和通信单元;
所述处理单元,用于确定密钥相关信息,所述密钥相关信息用于生成加密密钥和完整性保护密钥;
所述通信单元,用于向移动性管理实体MME发送重定向请求消息,所述重定向请求消息中包括所述处理单元生成的密钥相关信息,所述重定向请求消息用于请求将语音业务由分组交换PS域切换至电路交换CS域。
23.根据权利要求22所述的装置,其特征在于,所述密钥相关信息包括锚点密钥和下行非接入层计数值;
所述处理单元,还用于生成第一指示信息;或者,
所述通信单元,还用于接收来自所述MME的第一指示信息;
所述通信单元,还用于向终端发送第一指示信息,所述第一指示信息用于指示所述终端根据所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
24.根据权利要求22所述的装置,其特征在于,所述密钥相关信息包括锚点密钥;
所述通信单元,还用于接收来自所述MME的第二指示信息,所述第二指示信息包括预设值或随机数,所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥;向所述终端发送所述第二指示信息。
25.根据权利要求22所述的装置,其特征在于,所述密钥相关信息包括锚点密钥和预设值;或者,所述密钥相关信息包括锚点密钥和随机数;
所述通信单元,还用于向终端发送第三指示信息,所述第三指示信息包括所述预设值或所述随机数,所述第三指示信息用于指示所述终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥。
26.一种装置,其特征在于,所述装置包括:通信单元和处理单元;
所述通信单元,用于接收下行非接入层计数值;
所述处理单元,用于根据接入和移动性管理功能AMF节点的根密钥和所述通信单元接收的所述下行非接入层计数值生成锚点密钥;以及用于确定所述锚点密钥的一部分为所述加密密钥,确定所述锚点密钥的另一部分为所述完整性保护密钥。
27.一种装置,其特征在于,所述装置包括:通信单元和处理单元;
所述通信单元,用于接收下行非接入层计数值和第一指示信息,所述第一指示信息用于指示终端根据所述下行非接入层计数值生成加密密钥和完整性保护密钥;
所述处理单元,用于根据接入和移动性管理功能AMF节点的根密钥和所述通信单元接收的所述下行非接入层计数值生成锚点密钥;以及用于根据所述锚点密钥和所述通信单元接收的所述下行非接入层计数值生成所述加密密钥和所述完整性保护密钥。
28.一种装置,其特征在于,所述装置包括:通信单元和处理单元;
所述通信单元,用于接收下行非接入层计数值和第二指示信息,所述第二指示信息包括预设值或随机数,所述第二指示信息用于指示终端根据所述预设值或所述随机数生成所述加密密钥和所述完整性保护密钥;
所述处理单元,用于根据接入和移动性管理功能AMF节点的根密钥和所述通信单元接收的所述下行非接入层计数值生成锚点密钥;以及用于根据所述锚点密钥和所述预设值生成所述加密密钥和所述完整性保护密钥;或者,用于根据所述锚点密钥和所述随机数生成所述加密密钥和所述完整性保护密钥。
29.一种通信系统,其特征在于,包括如权利要求15至21中任一项所述的装置和如权利要求22至25中任一项所述的装置;或者,包括如权利要求15至21中任一项所述的装置、如权利要求22至25中任一项所述的装置和如权利要求26至28中任一项所述的装置。
30.一种计算机程序产品,其特征在于,当其在计算机上运行时,使得所述计算机执行如权利要求1至14中任一项所述的方法。
Priority Applications (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010796240.2A CN112073184B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
| CN201710996047.1A CN109699028B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
| EP18870002.5A EP3691318B1 (en) | 2017-10-23 | 2018-10-22 | Key generation method, device and system |
| RU2020116750A RU2771619C2 (ru) | 2017-10-23 | 2018-10-22 | Система, устройство и способ генерирования ключа |
| PCT/CN2018/111256 WO2019080804A1 (zh) | 2017-10-23 | 2018-10-22 | 一种生成密钥的方法、装置及系统 |
| EP22172893.4A EP4109947A1 (en) | 2017-10-23 | 2018-10-22 | Key generation method, apparatus, and system |
| AU2018357431A AU2018357431B2 (en) | 2017-10-23 | 2018-10-22 | Key generation method, device and system |
| US16/856,613 US11576038B2 (en) | 2017-10-23 | 2020-04-23 | Key generation method, apparatus, and system |
| US18/150,962 US11882436B2 (en) | 2017-10-23 | 2023-01-06 | Key generation method, apparatus, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710996047.1A CN109699028B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010796240.2A Division CN112073184B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109699028A true CN109699028A (zh) | 2019-04-30 |
| CN109699028B CN109699028B (zh) | 2020-08-25 |
Family
ID=66226904
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010796240.2A Active CN112073184B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
| CN201710996047.1A Active CN109699028B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010796240.2A Active CN112073184B (zh) | 2017-10-23 | 2017-10-23 | 一种生成密钥的方法、装置及系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11576038B2 (zh) |
| EP (2) | EP4109947A1 (zh) |
| CN (2) | CN112073184B (zh) |
| AU (1) | AU2018357431B2 (zh) |
| WO (1) | WO2019080804A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110968895A (zh) * | 2019-11-29 | 2020-04-07 | 北京百度网讯科技有限公司 | 一种数据的处理方法、装置、电子设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112968766A (zh) * | 2021-01-29 | 2021-06-15 | 电子科技大学 | 一种密钥协商方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100130207A1 (en) * | 2008-11-27 | 2010-05-27 | Chih-Hsiang Wu | Method of handling handover security configuration and related communication device |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| WO2015196366A1 (zh) * | 2014-06-24 | 2015-12-30 | 华为技术有限公司 | 一种节约语音资源的方法、设备及系统 |
| WO2016134536A1 (zh) * | 2015-02-28 | 2016-09-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
| CN110351724A (zh) * | 2018-04-04 | 2019-10-18 | 华为技术有限公司 | 通信方法和装置 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101600205B (zh) * | 2009-07-10 | 2011-05-04 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| CN103229546B (zh) * | 2010-09-28 | 2017-02-15 | 黑莓有限公司 | 用于在ue移出住宅/企业网络覆盖时释放与本地gw的连接的方法和装置 |
| CN102395130B (zh) * | 2011-11-01 | 2014-06-04 | 重庆邮电大学 | 一种lte中鉴权的方法 |
| US10433161B2 (en) * | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
| US20140068098A1 (en) * | 2012-09-04 | 2014-03-06 | Qualcomm Incorporated | Reducing network latency resulting from non-access stratum (nas) authentication for high performance content applications |
| CN102905267B (zh) * | 2012-10-11 | 2015-09-23 | 大唐移动通信设备有限公司 | Me标识鉴权、安全模式控制方法及装置 |
| CN103476028B (zh) * | 2013-08-30 | 2017-04-05 | 大唐移动通信设备有限公司 | Nas count翻转时nas消息的处理方法及装置 |
| JP6278326B2 (ja) * | 2014-04-28 | 2018-02-14 | インテル アイピー コーポレーション | 回線交換フォールバック(csfb)の間の認証手順を省略して呼設定時間を短縮するための解決策 |
| CN104010305B (zh) * | 2014-05-09 | 2016-10-12 | 中国人民解放军信息工程大学 | 基于物理层密钥的终端和接入网的双向认证增强方法 |
| US9467910B2 (en) * | 2014-07-11 | 2016-10-11 | Luminate Wireless, Inc. | Handover methods and apparatus |
| US9801055B2 (en) * | 2015-03-30 | 2017-10-24 | Qualcomm Incorporated | Authentication and key agreement with perfect forward secrecy |
| GB2537377B (en) * | 2015-04-13 | 2021-10-13 | Vodafone Ip Licensing Ltd | Security improvements in a cellular network |
| EP3466135B1 (en) * | 2016-07-05 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
| WO2018137853A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Management of security contexts at idle mode mobility between different wireless communication systems |
| CN110249646B (zh) * | 2017-01-30 | 2023-01-03 | 瑞典爱立信有限公司 | 在从5g切换到4g系统之前进行安全性管理的方法、装置、计算机程序以及载体 |
| CA3051938C (en) * | 2017-01-30 | 2023-02-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Wireless communications |
| CN110431867B (zh) * | 2017-03-18 | 2021-08-31 | 华为技术有限公司 | 一种基于非3gpp网络的入网认证方法、相关设备及系统 |
| US11297502B2 (en) * | 2017-09-08 | 2022-04-05 | Futurewei Technologies, Inc. | Method and device for negotiating security and integrity algorithms |
| US11026128B2 (en) * | 2017-10-19 | 2021-06-01 | Qualcomm Incorporated | Mechanism to enable interworking between network slicing and evolved packet core connectivity |
| EP3725113B1 (en) * | 2017-12-13 | 2023-07-19 | Telefonaktiebolaget LM Ericsson (PUBL) | Methods and apparatuses for managing single radio voice call continuity (srvcc) handover in 5g network |
-
2017
- 2017-10-23 CN CN202010796240.2A patent/CN112073184B/zh active Active
- 2017-10-23 CN CN201710996047.1A patent/CN109699028B/zh active Active
-
2018
- 2018-10-22 EP EP22172893.4A patent/EP4109947A1/en active Pending
- 2018-10-22 AU AU2018357431A patent/AU2018357431B2/en active Active
- 2018-10-22 WO PCT/CN2018/111256 patent/WO2019080804A1/zh unknown
- 2018-10-22 EP EP18870002.5A patent/EP3691318B1/en active Active
-
2020
- 2020-04-23 US US16/856,613 patent/US11576038B2/en active Active
-
2023
- 2023-01-06 US US18/150,962 patent/US11882436B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100130207A1 (en) * | 2008-11-27 | 2010-05-27 | Chih-Hsiang Wu | Method of handling handover security configuration and related communication device |
| CN102790965A (zh) * | 2011-05-18 | 2012-11-21 | 华为技术有限公司 | 切换方法、基站、用户设备和移动管理实体 |
| WO2015196366A1 (zh) * | 2014-06-24 | 2015-12-30 | 华为技术有限公司 | 一种节约语音资源的方法、设备及系统 |
| WO2016134536A1 (zh) * | 2015-02-28 | 2016-09-01 | 华为技术有限公司 | 密钥生成方法、设备及系统 |
| CN110351724A (zh) * | 2018-04-04 | 2019-10-18 | 华为技术有限公司 | 通信方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "3rd Generation Partnership Project;Technical Specification Group Core Network and Terminals;5G System – Phase 1;CT WG1 Aspects(Release 15)", 《3GPP TR 24.890 V1.0.1 (2017-09)》 * |
| HUAWEI,HISILICON: "Adding EN to declar the ambiguity of AMF in TR33.899", 《3GPP TSG SA WG3 (SECURITY) MEETING #86BIS》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110968895A (zh) * | 2019-11-29 | 2020-04-07 | 北京百度网讯科技有限公司 | 一种数据的处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20230239688A1 (en) | 2023-07-27 |
| EP3691318B1 (en) | 2022-12-07 |
| EP4109947A1 (en) | 2022-12-28 |
| EP3691318A1 (en) | 2020-08-05 |
| US20200252795A1 (en) | 2020-08-06 |
| RU2020116750A3 (zh) | 2021-12-01 |
| AU2018357431A1 (en) | 2020-05-07 |
| EP3691318A4 (en) | 2020-08-05 |
| CN112073184A (zh) | 2020-12-11 |
| RU2020116750A (ru) | 2021-12-01 |
| CN112073184B (zh) | 2022-01-14 |
| AU2018357431B2 (en) | 2021-10-21 |
| WO2019080804A1 (zh) | 2019-05-02 |
| US11576038B2 (en) | 2023-02-07 |
| CN109699028B (zh) | 2020-08-25 |
| US11882436B2 (en) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109362108B (zh) | 一种安全保护的方法、装置和系统 | |
| KR102354625B1 (ko) | 보안 보호 방법 및 장치 | |
| US11882436B2 (en) | Key generation method, apparatus, and system | |
| CN110167018A (zh) | 一种安全保护的方法、装置及接入网设备 | |
| CN112449400B (zh) | 一种通信方法、装置及系统 | |
| RU2771619C2 (ru) | Система, устройство и способ генерирования ключа | |
| CN114642014A (zh) | 一种通信方法、装置及设备 | |
| RU2774435C2 (ru) | Способ и устройство обеспечения безопасности | |
| CN114071800B (zh) | 一种数据传输方法以及相关设备 | |
| CN113810957B (zh) | 一种用于简化切换流程的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |