CN109803256A - 通信管理方法、装置、系统、终端、管理实体及存储介质 - Google Patents
通信管理方法、装置、系统、终端、管理实体及存储介质 Download PDFInfo
- Publication number
- CN109803256A CN109803256A CN201711139319.2A CN201711139319A CN109803256A CN 109803256 A CN109803256 A CN 109803256A CN 201711139319 A CN201711139319 A CN 201711139319A CN 109803256 A CN109803256 A CN 109803256A
- Authority
- CN
- China
- Prior art keywords
- terminal
- security information
- management entity
- access request
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 238
- 238000004891 communication Methods 0.000 title claims abstract description 133
- 230000006870 function Effects 0.000 claims description 94
- 230000004044 response Effects 0.000 claims description 68
- 238000012546 transfer Methods 0.000 claims description 37
- 238000010295 mobile communication Methods 0.000 claims description 34
- 230000005540 biological transmission Effects 0.000 claims description 25
- 239000000284 extract Substances 0.000 claims description 8
- 241000208340 Araliaceae Species 0.000 claims description 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 claims description 3
- 235000003140 Panax quinquefolius Nutrition 0.000 claims description 3
- 235000008434 ginseng Nutrition 0.000 claims description 3
- 238000006243 chemical reaction Methods 0.000 claims 2
- 238000000034 method Methods 0.000 description 20
- 230000011664 signaling Effects 0.000 description 9
- 238000010276 construction Methods 0.000 description 8
- 238000012360 testing method Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种通信管理方法、装置、系统、终端、管理实体及存储介质,终端在接入第一制式网络后,获取第一安全信息,在成功接入第二制式网络后,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信;即终端在进行不同制式网络切换之后,将根据切换前网络的安全信息生成切换后网络的安全信息,并使用切换后网络的安全信息进行后续安全通信,满足了网络通信安全要求。
Description
技术领域
本发明涉及通信领域,尤其涉及一种通信管理方法、装置、系统、终端、管理实体及存储介质。
背景技术
在用户使用手机进行通信时,通常会出现网络切换的场景,例如从4G(the4Generationmobile communication technology,第四代移动通信技术)网络切换到5G(5-Generation,第五代移动通信技术)网络等。
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)针对终端从4G到5G的切换场景,提供了如图8所示的切换流程,由图8可知,在切换完成后,终端UE和5G网络的AMF(Authentication Management Function,接入管理实体)是基于4G的安全信息进行安全通信,不满足5G网络要求的终端需要使用5G的安全信息进行安全通信的要求。即,在现有技术中,终端进行不同制式网络切换之后,仍然使用切换前网络的安全信息进行后续安全通信,不满足网络通信安全要求。
发明内容
本发明实施例提供了一种通信管理方法、装置、系统、终端、管理实体及存储介质,以解决现有技术中终端进行不同制式网络切换之后,仍然使用切换前网络的安全信息进行后续安全通信,不满足网络通信安全要求的问题。
为实现上述目的,本发明实施例提供一种终端通信管理方法,其包括:
终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;
终端接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
接收第二管理实体发送的成功响应;成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求,并在第一管理实体根据终端验证请求对终端验证通过时发送的;
根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
本发明实施例还提供一种终端通信管理方法,其包括:
第二管理实体接收来自终端的接入请求;接入请求为终端在从第一制式网络接入第二制式网络时发送的,携带终端根据第一安全信息和接入请求生成的安全校验码,第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的;
根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
接收第一管理实体发送的通过响应;通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的;
获取第二安全信息,使用第二安全信息进行安全通信;
向终端发送成功响应。
本发明实施例还提供一种终端通信管理方法,其包括:
终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
第二管理实体接收来自终端的接入请求,根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
第一管理实体接收终端验证请求,并根据安全校验码对终端进行验证,在验证通过时,向第二管理实体发送通过响应;
第二管理实体接收第一管理实体发送的通过响应,获取第二安全信息,使用第二安全信息进行安全通信,向终端发送成功消息;
终端接收第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
本发明实施例还提供一种终端通信管理装置,其设置于终端内,终端通信管理装置包括:
接入模块,用于接入第一制式网络,与第一管理实体建立通信,获取第一安全信息,在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
接收模块,用于接收第二管理实体发送的成功响应;成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求,并在第一管理实体根据终端验证请求对终端验证通过时发送的;
通信模块,用于根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
本发明实施例还提供一种终端,其包括:处理器、存储器及通信总线,其中,
通信总线用于实现处理器和存储器之间的连接通信;
处理器用于执行存储器中存储的一个或者多个程序,以实现本发明实施例提供的终端通信管理方法的步骤。
本发明实施例还提供一种终端通信管理装置,其设置于第二管理实体,终端通信管理装置包括:
接收模块,用于接收来自终端的接入请求;接入请求为终端在从第一制式网络接入第二制式网络时发送的,携带终端根据第一安全信息和接入请求生成的安全校验码,第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的;
验证模块,用于根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;接收第一管理实体发送的通过响应;通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的;
通信模块,用于获取第二安全信息,使用第二安全信息进行安全通信;向终端发送成功响应。
本发明实施例还提供一种管理实体,其包括:处理器、存储器及通信总线,其中,
通信总线用于实现处理器和存储器之间的连接通信;
处理器用于执行存储器中存储的一个或者多个程序,以实现本发明实施例提供的终端通信管理方法的步骤。
本发明实施例还提供一种终端通信管理系统,其包括终端、设置在第一制式网络中的第一管理实体,设置在第二制式网络中的第二管理实体,其中,
终端用于接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
第二管理实体用于接收来自终端的接入请求,根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
第一管理实体用于接收终端验证请求,并根据安全校验码对终端进行验证,在验证通过时,向第二管理实体发送通过响应;
第二管理实体用于接收第一管理实体发送的通过响应,获取第二安全信息,使用第二安全信息进行安全通信,向终端发送成功消息;
终端用于接收第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
本发明实施例还提供一种计算机可读存储介质,其特征在于,计算机可读存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现本发明实施例提供的终端通信管理方法的步骤。
本发明的有益效果是:
根据本发明实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质,终端在接入第一制式网络后,获取第一安全信息,在成功接入第二制式网络后,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信;即终端在进行不同制式网络切换之后,将根据切换前网络的安全信息生成切换后网络的安全信息,并使用切换后网络的安全信息进行后续安全通信,满足了网络通信安全要求。
本发明其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为本发明实施例一提供的终端通信管理方法的流程图;
图2为本发明实施例一提供的终端通信管理方法在终端侧的流程图;
图3为本发明实施例一提供的终端通信管理方法在管理实体侧的流程图;
图4为本发明实施例一提供的终端的示意图;
图5为本发明实施例一提供的设置在终端的终端通信管理装置的示意图;
图6为本发明实施例一提供的管理系统的示意图;
图7为本发明实施例一提供的设置在管理实体的终端通信管理装置的示意图;
图8为现有终端从4G切换到5G时的流程图;
图9为本发明实施例二提供的终端从4G切换到5G时的第一种流程图;
图10为本发明实施例二提供的终端从4G切换到5G时的第二种流程图;
图11为本发明实施例二提供的终端从4G切换到5G时的第三种流程图;
图12为本发明实施例二提供的终端从4G切换到5G时的第四种流程图;
图13为本发明实施例三提供的终端从5G切换到4G时的第一种流程图;
图14为本发明实施例三提供的终端从5G切换到4G时的第二种流程图;
图15为本发明实施例三提供的终端从5G切换到4G时的第三种流程图;
图16为本发明实施例三提供的终端从5G切换到4G时的第四种流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过具体实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明中,第一制式网络和第二制式网络是指两种制式不同的网络,例如4G和5G就是两种制式不同的网络,第一管理实体是指第一制式网络中的用于对终端用户进行管理的实体设备,而第一安全信息则是指终端在第一制式网络进行消息和数据等加解密处理等安全通信所使用的信息,对应的,第二管理实体是指第二制式网络中的用于对终端用户进行管理的实体设备,而第二安全信息则是指终端在第二制式网络进行消息和数据等加解密处理等安全通信所使用的信息。
在本发明中,安全信息至少包括加解密密钥和密钥修正参数,密钥修正参数是指对加解密密钥进行修正的参数,包括:加解密密钥多长时间修改一次,或者使用几次之后修改一次,以及如何修改。在实际应用中,可以通过计时器等实现加解密密钥多长时间修改一次,或者使用几次之后修改一次的控制,可以使用修改函数,例如散列函数等实现加解密密钥的修改。
实施例一:
为了解决现有技术中终端进行不同制式网络切换之后,仍然使用切换前网络的安全信息进行后续安全通信,不满足网络通信安全要求的问题,提供本实施例,请参见图1,本实施例提供的终端通信管理方法包括以下步骤:
S101:终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码。
在本发明中,终端先接入第一制式网络,然后在重启、用户手动选择网络、自动进行小区切换等场景下,接入第二制式网络。
在本发明中,终端首先在第一小区接入第一制式网络,与第一管理实体建立通信,完成身份验证,然后第一管理实体生成第一安全信息,发送至终端,终端基于第一安全信息,在第一制式网络中进行安全通信。然后终端因为移动或者信号强度变化,进行小区重选,根据基站发送的系统广播,判断新小区(第二小区)的网络制式是否和第一小区相同,若相同,则没有发生网络制式的切换,向第二小区的基站发送常规的接入请求,接入第二小区,并继续使用第一安全信息进行通信,若不同,则发生网络制式的切换,通过第二小区的基站向第二制式网络发送接入请求。
S102:第二管理实体接收来自终端的接入请求,根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码。
S103:第一管理实体接收终端验证请求,并根据安全校验码对终端进行验证,在验证通过时,向第二管理实体发送通过响应。
本步骤包括:第一管理实体提取终端验证请求携带的第一通信标识和接入请求;查找第一通信标识对应的第一安全信息;根据第一安全信息和接入请求,生成验证校验码;提取接入请求携带的安全校验码;比对验证校验码和安全校验码;若比对通过,则终端验证通过,若比对未通过,则终端验证未通过,向第二管理实体发送未通过响应。
S104:第二管理实体接收第一管理实体发送的通过响应,获取第二安全信息,使用第二安全信息进行安全通信,向终端发送成功消息。
S105:终端接收第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
在一些实施例中,本方法还包括:第一管理实体向第二管理实体发送未通过响应,第二管理实体接收第一管理实体发送的未通过响应后,向终端发送失败消息,拒绝终端接入。
具体的,如图2所示,本实施例在终端侧的体现包括以下步骤:
S201:终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;
S202:终端接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
在一些实施例中,本步骤包括:终端根据在第一制式网络的第一通信标识,生成在第二制式网络中的第二通信标识;构建携带第二通信标识的接入请求;根据接入请求和第一安全信息,生成安全校验码;将安全校验码添加至接入请求;发送接入请求至第二管理实体。
S203:接收第二管理实体发送的成功响应;成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求,并在第一管理实体根据终端验证请求对终端验证通过时发送的;
S204:根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
在一些实施例中,本步骤包括:根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥包括:调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,转换函数可以是相等函数或者散列函数,以散列函数为例,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括:当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
在一些实施例中,散列函数可以是HMAC-SHA-256函数,该函数的输入包括密钥和散列参数,锚点密钥和节点密钥可以基于这个函数进行转换,例如,当锚点密钥为{123456}这个字符串时,经过HMAC-SHA-256函数的计算,输出字符串{284369},然后将这个字符串{284369}作为节点密钥即可。
具体的,如图3所示,本实施例在管理实体侧的体现包括以下步骤:
S301:第二管理实体接收来自终端的接入请求;接入请求为终端在从第一制式网络接入第二制式网络时发送的,携带终端根据第一安全信息和接入请求生成的安全校验码,第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的;
S302:根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
在一些实施例中,本步骤包括:提取接入请求携带的终端在第二制式网络中的第二通信标识;根据在第二通信标识,生成终端在第一制式网络中的第一通信标识;构建携带第一通信标识和接入请求的终端验证请求;发送终端验证请求至第一管理实体。
S303:接收第一管理实体发送的通过响应;通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的;
S304:获取第二安全信息,使用第二安全信息进行安全通信;
在一些实施例中,本步骤包括:直接提取通过响应携带的第二安全信息,第二安全信息为第一管理实体根据第一安全信息生成的;或者,提取通过响应携带的第一安全信息,根据第一安全信息生成第二安全信息。
在一些实施例中,根据第一安全信息生成第二安全信息包括:根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥包括:调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,转换函数为散列函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥包括:当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
S305:向终端发送成功响应。
具体的,如图4所示,本实施例提供的终端包括:处理器41、存储器42及通信总线43,其中,
通信总线43用于实现处理器41和存储器42之间的连接通信;
处理器41用于执行存储器42中存储的一个或者多个程序,以实现以下步骤:
接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;
在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
接收第二管理实体发送的成功响应;成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求,并在第一管理实体根据终端验证请求对终端验证通过时发送的;
根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
在一些实施例中,处理器41用于执行存储器42中存储的一个或者多个程序,以实现以下步骤:
根据在第一制式网络的第一通信标识,生成在第二制式网络中的第二通信标识;构建携带第二通信标识的接入请求;根据接入请求和第一安全信息,生成安全校验码;将安全校验码添加至接入请求;发送接入请求至第二管理实体。
在一些实施例中,处理器41用于执行存储器42中存储的一个或者多个程序,以实现以下步骤:
根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;
根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,处理器41用于执行存储器42中存储的一个或者多个程序,以实现以下步骤:
调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,转换函数可以是相等函数或者散列函数,以散列函数为例,处理器41用于执行存储器42中存储的一个或者多个程序,以实现以下步骤:
当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
如图5所示,本实施例提供的设置在终端的终端通信管理装置5包括:
接入模块51,用于接入第一制式网络,与第一管理实体建立通信,获取第一安全信息,在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
接收模块52,用于接收第二管理实体发送的成功响应;成功响应为第二管理实体基于接入请求向第一管理实体发送终端验证请求,并在第一管理实体根据终端验证请求对终端验证通过时发送的;
通信模块53,用于根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
在一些实施例中,接入模块51用于:根据在第一制式网络的第一通信标识,生成在第二制式网络中的第二通信标识;构建携带第二通信标识的接入请求;根据接入请求和第一安全信息,生成安全校验码;将安全校验码添加至接入请求;发送接入请求至第二管理实体。
在一些实施例中,通信模块53用于:根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,通信模块53用于:调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,转换函数可以是相等函数或者散列函数,以散列函数为例,通信模块53用于:当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
具体的,如图6所示,本实施例提供的管理实体包括:处理器61、存储器62及通信总线63,其中,
通信总线63用于实现处理器61和存储器62之间的连接通信;
处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
接收来自终端的接入请求;接入请求为终端在从第一制式网络接入第二制式网络时发送的,携带终端根据第一安全信息和接入请求生成的安全校验码,第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的;
根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
接收第一管理实体发送的通过响应;通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的;
获取第二安全信息,使用第二安全信息进行安全通信;
向终端发送成功响应。
在一些实施例中,处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
提取接入请求携带的终端在第二制式网络中的第二通信标识;根据在第二通信标识,生成终端在第一制式网络中的第一通信标识;构建携带第一通信标识和接入请求的终端验证请求;发送终端验证请求至第一管理实体。
在一些实施例中,处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
直接提取通过响应携带的第二安全信息,第二安全信息为第一管理实体根据第一安全信息生成的;或者,提取通过响应携带的第一安全信息,根据第一安全信息生成第二安全信息。
在一些实施例中,处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,转换函数为散列函数,处理器61用于执行存储器62中存储的一个或者多个程序,以实现以下步骤:
当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
如图7所示,本实施例提供的设置在管理实体的终端通信管理装置7包括:
接收模块71,用于接收来自终端的接入请求;接入请求为终端在从第一制式网络接入第二制式网络时发送的,携带终端根据第一安全信息和接入请求生成的安全校验码,第一安全信息为终端在与第一制式网络中的第一管理实体建立通信后获取的;
验证模块72,用于根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;接收第一管理实体发送的通过响应;通过响应为第一管理实体根据终端验证请求对终端验证通过时发送的;
通信模块73,用于获取第二安全信息,使用第二安全信息进行安全通信;向终端发送成功响应。
在一些实施例中,验证模块72用于:提取接入请求携带的终端在第二制式网络中的第二通信标识;根据在第二通信标识,生成终端在第一制式网络中的第一通信标识;构建携带第一通信标识和接入请求的终端验证请求;发送终端验证请求至第一管理实体。
在一些实施例中,通信模块73用于:根据第一安全信息中的加解密密钥,生成第二安全信息中的加解密密钥;根据第一安全信息中的密钥修正参数,生成第二安全信息中的密钥修正参数。
在一些实施例中,通信模块73用于:直接提取通过响应携带的第二安全信息,第二安全信息为第一管理实体根据第一安全信息生成的;或者,提取通过响应携带的第一安全信息,根据第一安全信息生成第二安全信息。
在一些实施例中,通信模块73用于:调用预设的转换函数;将第一安全信息中的加解密密钥,作为转换函数的输入参数,将转换函数的输出结果,作为第二安全信息中的加解密密钥;使用转换函数,根据第一安全信息中的加解密密钥生成第二安全信息中的加解密密钥。
在一些实施例中,通信模块73用于:当第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将第一安全信息中的锚点密钥作为散列函数的输入,派生出第二安全信息中的节点密钥;当第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将第一安全信息中的节点密钥作为散列函数的输入,派生出第二安全信息中的锚点密钥。
在一些实施例中,本实施例还提供一种终端通信管理系统,其包括终端、设置在第一制式网络中的第一管理实体,设置在第二制式网络中的第二管理实体,其中,
终端用于接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;接入请求携带终端根据第一安全信息和接入请求生成的安全校验码;
第二管理实体用于接收来自终端的接入请求,根据接入请求,根据接入请求,确定终端对应的第一管理实体,向第一管理实体发送终端验证请求;终端验证请求携带安全校验码;
第一管理实体用于接收终端验证请求,并根据安全校验码对终端进行验证,在验证通过时,向第二管理实体发送通过响应;
第二管理实体用于接收第一管理实体发送的通过响应,获取第二安全信息,使用第二安全信息进行安全通信,向终端发送成功消息;
终端用于接收第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信。
根据本实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质,终端在接入第一制式网络后,获取第一安全信息,在成功接入第二制式网络后,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信;即终端在进行不同制式网络切换之后,将根据切换前网络的安全信息生成切换后网络的安全信息,并使用切换后网络的安全信息进行后续安全通信,满足了网络通信安全要求。
现结合具体的运用场景对本发明做进一步的说明。
随着通信技术的发展,4G和5G将作为主流的通信网络,终端将在以下实施例中进行重点描述,可以预见的是,本发明可以运用到任意的不同制式网络的切换场景。
实施例二:
本实施例以终端从4G切换到5G为例。
图8为现有3GPP提供的终端从4G切换到5G的切换流程图,如图8所示,现有切换流程包括以下步骤:
S801:终端UE在4G网络制式下与4G网络的MME(Mobility Management Entity,移动管理实体)建立了信令连接,而后终端UE由于移动等因素进入空闲状态,释放了无线连接,但UE和4G MME都保留有针对UE的4G上下文,包括4G安全信息,4G标识(4G GUTI)。
S802:终端在5G网络制式下接入网络,向5G AMF发送注册请求。
UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息,使用该跟踪区更新消息和4G安全信息生成的消息验证码4G MAC(Message Authentication Code,消息认证码,带密钥的Hash函数),跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI),UE构造的跟踪区更新消息,以及消息验证码4G MAC。
S803:5G AMF从注册请求中获取4G跟踪区更新消息和4G MAC,根据4G跟踪区消息中的4G标识获取4G MME信息,然后向4G MME发送上下文请求消息,消息包含4G标识,4G跟踪区更新消息,以及4G MAC。
S804:4G MME从上下文请求消息中获取4G标识,4G跟踪区更新消息和4G MAC,使用4G标识找到针对终端UE的4G安全信息,使用包含的4G跟踪区更新消息和针对终端UE的4G安全信息校验4G MAC,如果校验成功则认证终端UE成功,否则认证失败。
S805:如果4G MME认证终端UE成功,则向5G AMF发送上下文响应,包含针对终端UE的4G上下文信息,包括4G安全信息。
S806:5G AMF向终端UE发送注册响应,使终端UE可接入5G移动网络。
S807:5G AMF和终端UE使用4G安全信息进行安全通信。
在该流程中,UE和5G网络还使用4G的安全信息,而非5G的安全信息对消息和数据进行保护,不满足通信要求,同时,UE在接入5G制式移动网络时还需要构造接入4G制式移动网络时需要的消息,使UE需要额外构造内容,增大了消息长度,降低了网络接入效率。
为了解决图8存在的UE和5G网络还使用4G的安全信息的问题,提供图9或图10所示的实施例。
如图9所示,本实施例提供的切换方法包括以下步骤:
S901:终端UE在4G网络制式下与4G的MME建立了信令连接,而后终端UE由于移动等因素进入空闲状态,释放了无线连接,但UE和4G MME都保留有针对UE的4G上下文,包括4G安全信息,4G标识(4G GUTI)。
S902:终端在5G网络制式下接入网络,向5G AMF发送注册请求。
UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息,使用该跟踪区更新消息和4G安全信息生成消息验证码4G MAC(Message Authentication Code,消息认证码,带密钥的Hash函数),跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI),跟踪区更新消息,以及消息验证码4G MAC。
S903:5G AMF根据5G标识生成4G标识,然后向4G MME发送上下文请求消息,消息包含4G标识,完整的注册请求,以及4G MAC。
S904:4G MME从上下文请求消息中获取4G标识,包含的注册请求和4G MAC,使用4G标识找到针对终端UE的安全信息,使用注册请求包含的跟踪区更新消息和查找到的针对终端UE的安全信息重新生成校验码,以校验注册请求包含的4G MAC(下文相同),如果校验成功则认证终端UE成功,否则认证失败。
S905:如果4G MME认证终端UE成功,则使用针对UE的安全信息生成5G安全信息,比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S906:然后4G MME向5G AMF发送上下文响应,包含针对终端UE的上下文信息,包括5G安全信息。
S907:5G AMF向终端UE发送注册成功消息。
S908:UE使用相同派生方法,使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S909:UE和5G移动网络开始使用5G安全信息进行安全通讯。
如图10所示,本实施例提供的切换方法包括以下步骤:
S1001:终端UE在4G网络制式下与4G的MME建立了信令连接,而后终端UE由于移动等因素进入空闲状态,释放了无线连接,但UE和4G MME都保留有针对UE的4G上下文,包括4G安全信息,4G标识(4G GUTI)。
S1002:终端在5G网络制式下接入网络,向5G AMF发送注册请求。
UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息,使用该跟踪区更新消息和4G安全信息生成消息验证码4G MAC(Message Authentication Code,消息认证码,带密钥的Hash函数),跟踪区更新消息包含有4G标识。注册请求携带由4G标识映射而来的5G标识(5G GUTI),跟踪区更新消息,以及4G MAC。
S1003:5G AMF根据5G标识生成4G标识,然后向4G MME发送上下文请求消息,消息包含4G标识,完整的注册请求,以及4G MAC。
S1004:4G MME从上下文请求消息中获取4G标识,包含的注册请求和4G MAC,使用4G标识找到针对终端UE的安全信息,使用注册请求包含的跟踪区更新消息和针对终端UE的安全信息校验注册请求携带的4G MAC,如果校验成功则认证终端UE成功,否则认证失败。
S1005:如果4G MME认证终端UE成功,4G MME向5G AMF发送上下文响应,包含针对终端UE的上下文信息,包括4G安全信息。
S1006:5G AMF使用针对UE的安全信息生成5G安全信息,比如使用上下文响应携带的4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1007:5G AMF向终端UE发送注册成功消息。
S1008:UE使用相同派生方法,使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1009:UE和5G移动网络开始使用5G安全信息进行安全通讯。
为了解决图8存在的接入效率低的问题,提供图11或图12所示的实施例。
如图11所示,本实施例提供的切换方法包括以下步骤:
S1101:终端UE在4G网络制式下与4G的MME建立了信令连接,而后终端UE由于移动等因素进入空闲状态,释放了无线连接,但UE和4G MME都保留有针对UE的4G上下文,包括4G安全信息,4G标识(4G GUTI)。
S1102:终端在5G网络制式下接入网络,向5G AMF发送注册请求。
终端在5G网络制式下接入网络,向5G AMF发送注册请求,注册请求携带由4G标识映射而来的5G标识(5G GUTI),以及UE使用该注册请求和4G安全信息生成的消息验证码4GMAC。
S1103:5G AMF根据5G标识生成4G标识,然后向4G MME发送上下文请求消息,消息包含4G标识,注册请求,以及4G MAC。
S1104:4G MME从上下文请求消息中获取4G标识,包含的注册请求和4G MAC,使用4G标识找到针对终端UE的安全信息,使用包含的注册请求和针对终端UE的安全信息校验4GMAC,如果校验成功则认证终端UE成功,否则认证失败。
S1105:如果4G MME认证终端UE成功,则使用针对UE的安全信息生成5G安全信息,比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1106:然后4G MME向5G AMF发送上下文响应,包含针对终端UE的上下文信息,包括5G安全信息。
S1107:5G AMF向终端UE发送注册成功消息。
S1108:UE使用相同派生方法,使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1109:UE和5G移动网络开始使用5G安全信息进行安全通讯。
如图12所示,本实施例提供的切换方法包括以下步骤:
S1201:终端UE在4G网络制式下与4G的MME建立了信令连接,而后终端UE由于移动等因素进入空闲状态,释放了无线连接,但UE和4G MME都保留有针对UE的4G上下文,包括4G安全信息,4G标识(4G GUTI)。
S1202:终端在5G网络制式下接入网络,向5G AMF发送注册请求。
终端在5G网络制式下接入网络,向5G AMF发送注册请求,注册请求携带由4G标识映射而来的5G标识(5G GUTI),以及UE使用该注册请求和4G安全信息生成的消息验证码4GMAC。
S1203:5G AMF根据5G标识生成4G标识,然后向4G MME发送上下文请求消息,消息包含4G标识,注册请求,以及4G MAC。
S1204:4G MME从上下文请求消息中获取4G标识,包含的注册请求和4G MAC,使用4G标识找到针对终端UE的安全信息,使用包含的注册请求和针对终端UE的安全信息校验4GMAC,如果校验成功则认证终端UE成功,否则认证失败。
S1205:如果4G MME认证终端UE成功,4G MME向5G AMF发送上下文响应,包含针对终端UE的上下文信息,包括4G安全信息。
S1206:5G AMF使用针对UE的安全信息生成5G安全信息,比如使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1207:5G AMF向终端UE发送注册成功消息。
S1208:UE使用相同派生方法,使用4G安全信息中的锚点密钥Kasme作为HMAC-SHA-256函数的输入派生出5G AMF使用的节点密钥Kamf。
S1209:UE和5G移动网络开始使用5G安全信息进行安全通讯。
实施例三:
本实施例以终端从5G切换到4G为例。
由于现有3GPP没有提供的终端从5G切换到4G的切换流程图,本实施例提供4种具体的从5G切换到4G的切换流程,以解决这个空白。
如图13所示,本实施例提供的切换方法包括以下步骤:
S1301:终端UE在5G网络制式下与5G AMF建立了信令连接,而后终端UE进入空闲状态,即释放了无线连接,但UE和5G AMF都保留有针对UE的5G上下文,包括5G安全信息,5G标识(5G GUTI)。
S1302:终端在4G网络制式下接入网络,向4G MMF发送跟踪区更新消息。
UE构造在5G网络制式下接入网络时会发送的注册请求,使用该注册请求和5G安全信息生成消息验证码5G MAC。跟踪区更新消息可以为TAU Request消息,携带由5G标识映射而来的4G标识(4G GUTI),注册请求以及5G MAC。
S1303:4G MME根据4G标识生成5G标识,然后向5G AMF发送上下文请求消息,消息包含5G标识,完整的跟踪区更新消息,以及5G MAC;在其他实施例中,4G MME可在上下文请求消息中直接携带4G标识。
S1304:5G AMF从上下文请求消息中获取4G标识或5G标识,包含的跟踪区更新消息和5G MAC,如果收到的是5G标识,则使用5G标识找到针对终端UE的安全信息,如果收到的是4G标识,则使用收到的4G标识生成5G标识,而后再使用5G标识找到针对终端UE的5G安全信息,5G AMF再使用包含的注册请求和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC,如果校验成功则认证终端UE成功,否则认证失败。
S1305:如果5G AMF认证终端UE成功,则使用针对UE的5G安全信息生成4G安全信息,比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1306:然后5G AMF向4G MME发送上下文响应,包含针对终端UE的上下文信息,包括4G安全信息。
S1307:4G MME向终端UE发送注册成功消息。
S1308:UE使用相同派生方法,使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1309:UE和4G移动网络开始使用4G安全信息进行安全通讯。
如图14所示,本实施例提供的切换方法包括以下步骤:
S1401:终端UE在5G网络制式下与5G AMF建立了信令连接,而后终端UE进入空闲状态,即释放了无线连接,但UE和5G AMF都保留有针对UE的5G上下文,包括5G安全信息,5G标识(5G GUTI)。
S1402:终端在4G网络制式下接入网络,向4G MMF发送跟踪区更新消息。
UE构造在5G网络制式下接入网络时会发送的注册请求,使用该注册请求和5G安全信息生成消息验证码5G MAC。跟踪区更新消息可以为TAU Request消息,携带由5G标识映射而来的4G标识(4G GUTI),注册请求以及5G MAC。
S1403:4G MME根据4G标识生成5G标识,然后向5G AMF发送上下文请求消息,消息包含5G标识,完整的跟踪区更新消息,以及5G MAC;在其他实施例中,4G MME可在上下文请求消息中直接携带4G标识。
S1404:5G AMF从上下文请求消息中获取4G标识或5G标识,包含的跟踪区更新消息和5G MAC,如果收到的是5G标识,则使用5G标识找到针对终端UE的安全信息,如果收到的是4G标识,则使用收到的4G标识生成5G标识,而后再使用5G标识找到针对终端UE的安全信息,5G AMF再使用包含的注册请求和针对终端UE的5G安全信息校验跟踪区更新消息携带的5GMAC,如果校验成功则认证终端UE成功,否则认证失败。
S1405:如果5G AMF认证终端UE成功,5G AMF向4G MME发送上下文响应,包含针对终端UE的上下文信息,包括5G安全信息。
S1406:4G MME使用针对UE的5G安全信息生成4G安全信息,比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1407:4G MME向终端UE发送注册成功消息。
S1408:UE使用相同派生方法,使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1409:UE和4G移动网络开始使用4G安全信息进行安全通讯。
如图15所示,本实施例提供的切换方法包括以下步骤:
S1501:终端UE在5G网络制式下与5G AMF建立了信令连接,而后终端UE进入空闲状态,即释放了无线连接,但UE和5G AMF都保留有针对UE的5G上下文,包括5G安全信息,5G标识(5G GUTI)。
S1502:终端在4G网络制式下接入网络,向4G MMF发送跟踪区更新消息。
UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息,可以为TAURequest消息,根据跟踪区更新消息和5G安全信息生成消息验证码5G MAC,跟踪区更新消息携带由5G标识映射而来的4G标识(4G GUTI),以及5G MAC。
S1503:4G MME根据4G标识生成5G标识,然后向5G AMF发送上下文请求消息,消息包含5G标识,跟踪区更新消息,以及5G MAC;在其他实施例中,4G MME可在上下文请求消息中直接携带4G标识。
S1504:5G AMF从上下文请求消息中获取4G标识或5G标识,包含的跟踪区更新消息和5G MAC,如果收到的是5G标识,则使用5G标识找到针对终端UE的安全信息,如果收到的是4G标识,则使用收到的4G标识生成5G标识,而后再使用5G标识找到针对终端UE的安全信息,5G AMF再使用包含的跟踪区更新消息和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC,如果校验成功则认证终端UE成功,否则认证失败。
S1505:如果5G AMF认证终端UE成功,则使用针对UE的5G安全信息生成4G安全信息,比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1506:然后5G AMF向4G MME发送上下文响应,包含针对终端UE的上下文信息,包括4G安全信息。
S1507:4G MME向终端UE发送注册成功消息。
S1508:UE使用相同派生方法,使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1509:UE和4G移动网络开始使用4G安全信息进行安全通讯。
如图16所示,本实施例提供的切换方法包括以下步骤:
S1601:终端UE在5G网络制式下与5G AMF建立了信令连接,而后终端UE进入空闲状态,即释放了无线连接,但UE和5G AMF都保留有针对UE的5G上下文,包括5G安全信息,5G标识(5G GUTI)。
S1602:终端在4G网络制式下接入网络,向4G MMF发送跟踪区更新消息。
UE构造在4G网络制式下接入网络时会发送的跟踪区更新消息,可以为TAURequest消息,根据跟踪区更新消息和5G安全信息生成消息验证码5G MAC,跟踪区更新消息携带由5G标识映射而来的4G标识(4G GUTI),以及5G MAC。
S1603:4G MME根据4G标识生成5G标识,然后向5G AMF发送上下文请求消息,消息包含5G标识,跟踪区更新消息,以及5G MAC;在其他实施例中,4G MME可在上下文请求消息中直接携带4G标识。
S1604:5G AMF从上下文请求消息中获取4G标识或5G标识,包含的跟踪区更新消息和5G MAC,如果收到的是5G标识,则使用5G标识找到针对终端UE的安全信息,如果收到的是4G标识,则使用收到的4G标识生成5G标识,而后再使用5G标识找到针对终端UE的安全信息,5G AMF再使用包含的跟踪区更新消息和针对终端UE的5G安全信息校验跟踪区更新消息携带的5G MAC,如果校验成功则认证终端UE成功,否则认证失败。
S1605:如果5G AMF认证终端UE成功,5G AMF向发送上下文响应,包含针对终端UE的上下文信息,包括5G安全信息。
S1606:4G MME使用针对UE的5G安全信息生成4G安全信息,比如使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1607:4G MME向终端UE发送注册成功消息。
S1608:UE使用相同派生方法,使用5G安全信息中的节点密钥Kamf作为HMAC-SHA-256函数的输入派生出4G MME使用的锚点密钥Kasme。
S1609:UE和4G移动网络开始使用4G安全信息进行安全通讯。
本发明还提供了一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个程序,一个或者多个程序被执行,以实现本发明所有实施例所提供的方法的步骤。
综上可知,通过本发明实施例的实施,至少存在以下有益效果:
根据本发明实施例提供的通信管理方法、装置、系统、终端、管理实体及存储介质,终端在接入第一制式网络后,获取第一安全信息,在成功接入第二制式网络后,根据第一安全信息生成第二安全信息,使用第二安全信息进行安全通信;即终端在进行不同制式网络切换之后,将根据切换前网络的安全信息生成切换后网络的安全信息,并使用切换后网络的安全信息进行后续安全通信,满足了网络通信安全要求。
显然,本领域的技术人员应该明白,上述本发明实施例的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在计算机存储介质(ROM/RAM、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明实施例所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (19)
1.一种终端通信管理方法,其特征在于,包括:
终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;
所述终端接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码;
接收所述第二管理实体发送的成功响应;所述成功响应为所述第二管理实体基于所述接入请求向所述第一管理实体发送终端验证请求,并在所述第一管理实体根据所述终端验证请求对终端验证通过时发送的;
根据第一安全信息生成第二安全信息,使用所述第二安全信息进行安全通信。
2.如权利要求1所述的终端通信管理方法,其特征在于,所述根据第一安全信息生成第二安全信息包括:
根据所述第一安全信息中的加解密密钥,生成所述第二安全信息中的加解密密钥;
根据所述第一安全信息中的密钥修正参数,生成所述第二安全信息中的密钥修正参数。
3.如权利要求2所述的终端通信管理方法,其特征在于,所述根据所述第一安全信息中的加解密密钥,生成所述第二安全信息中的加解密密钥包括:
调用预设的转换函数;
将所述第一安全信息中的加解密密钥,作为所述转换函数的输入参数,将所述转换函数的输出结果,作为所述第二安全信息中的加解密密钥;
使用所述转换函数,根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥。
4.如权利要求3所述的终端通信管理方法,其特征在于,所述转换函数为散列函数,所述根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥包括:
当所述第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将所述第一安全信息中的锚点密钥作为所述散列函数的输入,派生出所述第二安全信息中的节点密钥;
当所述第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将所述第一安全信息中的节点密钥作为所述散列函数的输入,派生出所述第二安全信息中的锚点密钥。
5.如权利要求1至4任一项所述的终端通信管理方法,其特征在于,所述根据所述第一安全信息向第二管理实体发送第二制式网络的接入请求包括:
终端根据在所述第一制式网络的第一通信标识,生成在所述第二制式网络中的第二通信标识;
构建携带所述第二通信标识的接入请求;
对所述接入请求和所述第一安全信息进行安全校验,生成安全校验码;
将所述安全校验码添加至所述接入请求;
发送所述接入请求至所述第二管理实体。
6.一种终端通信管理方法,其特征在于,包括:
第二管理实体接收来自终端的接入请求;所述接入请求为所述终端在从第一制式网络接入第二制式网络时发送的,携带所述终端根据第一安全信息和所述接入请求生成的安全校验码,所述第一安全信息为所述终端在与所述第一制式网络中的第一管理实体建立通信后获取的;
根据所述接入请求,确定所述终端对应的第一管理实体,向所述第一管理实体发送终端验证请求;所述终端验证请求携带所述安全校验码;
接收所述第一管理实体发送的通过响应;所述通过响应为所述第一管理实体根据所述终端验证请求对终端验证通过时发送的;
获取第二安全信息,使用所述第二安全信息进行安全通信;
向所述终端发送成功响应。
7.如权利要求6所述的终端通信管理方法,其特征在于,所述获取第二安全信息的方式包括:
直接提取所述通过响应携带的第二安全信息,所述第二安全信息为所述第一管理实体根据第一安全信息生成的;
或者,
提取所述通过响应携带的第一安全信息,根据所述第一安全信息生成所述第二安全信息。
8.如权利要求7所述的终端通信管理方法,其特征在于,所述根据第一安全信息生成第二安全信息包括:
根据所述第一安全信息中的加解密密钥,生成所述第二安全信息中的加解密密钥;
根据所述第一安全信息中的密钥修正参数,生成所述第二安全信息中的密钥修正参数。
9.如权利要求8所述的终端通信管理方法,其特征在于,所述根据所述第一安全信息中的加解密密钥,生成所述第二安全信息中的加解密密钥包括:
调用预设的转换函数;
将所述第一安全信息中的加解密密钥,作为所述转换函数的输入参数,将所述转换函数的输出结果,作为所述第二安全信息中的加解密密钥;
使用所述转换函数,根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥。
10.如权利要求9所述的终端通信管理方法,其特征在于,所述转换函数为散列函数,所述根据所述第一安全信息中的加解密密钥生成所述第二安全信息中的加解密密钥包括:
当所述第一制式网络为第四代移动通信网络、第二制式网络为第五代移动通信网络时,将所述第一安全信息中的锚点密钥作为所述散列函数的输入,派生出所述第二安全信息中的节点密钥;
当所述第一制式网络为第五代移动通信网络、第二制式网络为第四代移动通信网络时,将所述第一安全信息中的节点密钥作为所述散列函数的输入,派生出所述第二安全信息中的锚点密钥。
11.如权利要求6至10任一项所述的终端通信管理方法,其特征在于,所述基于所述接入请求向所述第一管理实体发送终端验证请求包括:
提取所述接入请求携带的终端在第二制式网络中的第二通信标识;
根据在所述第二通信标识,生成所述终端在第一制式网络中的第一通信标识;
构建携带所述第一通信标识和所述接入请求的终端验证请求;
发送所述终端验证请求至所述第一管理实体。
12.一种终端通信管理方法,其特征在于,包括:
终端接入第一制式网络,与第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码;
所述第二管理实体接收来自所述终端的接入请求,根据所述接入请求,确定所述终端对应的第一管理实体,向所述第一管理实体发送终端验证请求;所述终端验证请求携带所述安全校验码;
所述第一管理实体接收所述终端验证请求,并根据所述安全校验码对所述终端进行验证,在验证通过时,向所述第二管理实体发送通过响应;
所述第二管理实体接收所述第一管理实体发送的通过响应,获取第二安全信息,使用所述第二安全信息进行安全通信,向所述终端发送成功消息;
所述终端接收所述第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用所述第二安全信息进行安全通信。
13.如权利要求12所述的终端通信管理方法,其特征在于,所述第一管理实体对所述终端进行验证包括:
所述第一管理实体提取所述终端验证请求携带的第一通信标识和接入请求;
查找所述第一通信标识对应的第一安全信息;
根据所述第一安全信息和接入请求,生成验证校验码;
提取所述接入请求携带的安全校验码;
比对所述验证校验码和所述安全校验码;
若比对通过,则终端验证通过。
14.一种终端通信管理装置,其特征在于,设置于终端内,所述终端通信管理装置包括:
接入模块,用于接入第一制式网络,与第一管理实体建立通信,获取第一安全信息,在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码;
接收模块,用于接收所述第二管理实体发送的成功响应;所述成功响应为所述第二管理实体基于所述接入请求向所述第一管理实体发送终端验证请求,并在所述第一管理实体根据所述终端验证请求对终端验证通过时发送的;
通信模块,用于根据第一安全信息生成第二安全信息,使用所述第二安全信息进行安全通信。
15.一种终端,其特征在于,包括:处理器、存储器及通信总线,其中,
所述通信总线用于实现所述处理器和所述存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现如权利要求1至5任一项所述的终端通信管理方法的步骤。
16.一种终端通信管理装置,其特征在于,设置于第二管理实体,所述终端通信管理装置包括:
接收模块,用于接收来自终端的接入请求;所述接入请求为所述终端在从第一制式网络接入第二制式网络时发送的,携带所述终端根据第一安全信息和所述接入请求生成的安全校验码,所述第一安全信息为所述终端在与所述第一制式网络中的第一管理实体建立通信后获取的;
验证模块,用于根据所述接入请求,确定所述终端对应的第一管理实体,向所述第一管理实体发送终端验证请求;所述终端验证请求携带所述安全校验码;接收所述第一管理实体发送的通过响应;所述通过响应为所述第一管理实体根据所述终端验证请求对终端验证通过时发送的;
通信模块,用于获取第二安全信息,使用所述第二安全信息进行安全通信;向所述终端发送成功响应。
17.一种管理实体,其特征在于,包括:处理器、存储器及通信总线,其中,
所述通信总线用于实现所述处理器和所述存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的一个或者多个程序,以实现如权利要求6至11任一项所述的终端通信管理方法的步骤。
18.一种终端通信管理系统,其特征在于,包括终端、设置在第一制式网络中的第一管理实体,设置在第二制式网络中的第二管理实体,其中,
所述终端用于接入第一制式网络,与所述第一管理实体建立通信,获取第一安全信息;在接入第二制式网络时,向第二管理实体发送第二制式网络的接入请求;所述接入请求携带所述终端根据所述第一安全信息和所述接入请求生成的安全校验码;
所述第二管理实体用于接收来自所述终端的接入请求,根据所述接入请求,根据所述接入请求,确定所述终端对应的第一管理实体,向所述第一管理实体发送终端验证请求;所述终端验证请求携带所述安全校验码;
所述第一管理实体用于接收所述终端验证请求,并根据所述安全校验码对所述终端进行验证,在验证通过时,向所述第二管理实体发送通过响应;
所述第二管理实体用于接收所述第一管理实体发送的通过响应,获取第二安全信息,使用所述第二安全信息进行安全通信,向所述终端发送成功消息;
所述终端用于接收所述第二管理实体发送的成功消息,根据第一安全信息生成第二安全信息,使用所述第二安全信息进行安全通信。
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至13任一项所述的终端通信管理方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711139319.2A CN109803256A (zh) | 2017-11-16 | 2017-11-16 | 通信管理方法、装置、系统、终端、管理实体及存储介质 |
PCT/CN2018/099855 WO2019095748A1 (zh) | 2017-11-16 | 2018-08-10 | 通信管理方法、装置、系统、终端、管理实体及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711139319.2A CN109803256A (zh) | 2017-11-16 | 2017-11-16 | 通信管理方法、装置、系统、终端、管理实体及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109803256A true CN109803256A (zh) | 2019-05-24 |
Family
ID=66539307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711139319.2A Pending CN109803256A (zh) | 2017-11-16 | 2017-11-16 | 通信管理方法、装置、系统、终端、管理实体及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109803256A (zh) |
WO (1) | WO2019095748A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111050366A (zh) * | 2019-12-04 | 2020-04-21 | 路邦科技授权有限公司 | 一种智能网络自动切换系统及其网络切换方法 |
WO2023142777A1 (zh) * | 2022-01-30 | 2023-08-03 | 华为技术有限公司 | 通信方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102547698B (zh) * | 2010-12-22 | 2014-09-10 | 中国移动通信集团北京有限公司 | 认证系统、方法及中间认证平台 |
JP6135878B2 (ja) * | 2012-05-04 | 2017-05-31 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | ネットワークスイッチング中におけるセキュリティ処理方法およびシステム |
CN105451284A (zh) * | 2014-07-10 | 2016-03-30 | 华为技术有限公司 | 用于网络切换的方法及装置 |
CN106664286B (zh) * | 2014-08-13 | 2020-09-11 | 宇龙计算机通信科技(深圳)有限公司 | 异构网络之间的切换方法及切换系统 |
-
2017
- 2017-11-16 CN CN201711139319.2A patent/CN109803256A/zh active Pending
-
2018
- 2018-08-10 WO PCT/CN2018/099855 patent/WO2019095748A1/zh active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111050366A (zh) * | 2019-12-04 | 2020-04-21 | 路邦科技授权有限公司 | 一种智能网络自动切换系统及其网络切换方法 |
WO2023142777A1 (zh) * | 2022-01-30 | 2023-08-03 | 华为技术有限公司 | 通信方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2019095748A1 (zh) | 2019-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109756896B (zh) | 一种信息处理方法、网络设备及计算机可读存储介质 | |
CN109542796A (zh) | 测试方法及相关产品 | |
CN109548175A (zh) | 一种会话处理方法及装置 | |
CN110235458A (zh) | 5g系统中的安全锚功能 | |
CN106332047B (zh) | 一种实现专网注册的方法、系统及相应的网元设备 | |
CN108683690A (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
CN108347728B (zh) | 一种信息处理方法及装置 | |
CN113709736B (zh) | 网络认证方法及装置、系统 | |
CN110809892B (zh) | 一种认证方法及终端、网络设备 | |
CN108401273B (zh) | 一种路由方法和装置 | |
CN110505627A (zh) | 一种基于接入节点组的认证方法及装置 | |
CN109803256A (zh) | 通信管理方法、装置、系统、终端、管理实体及存储介质 | |
CN109803262A (zh) | 一种网络参数的传输方法及装置 | |
CN106714329A (zh) | 一种建立数据链路的方法及装置 | |
EP4307736A1 (en) | Communication method and apparatus | |
CN109089288A (zh) | 一种数据传输的方法和设备 | |
CN103945378A (zh) | 一种终端协同的认证方法及设备中间件 | |
CN109729048A (zh) | 一种联合认证方法、系统、相关平台及介质 | |
CN103546873B (zh) | 一键通业务处理方法及装置 | |
CN109982319A (zh) | 用户认证方法、装置、系统、节点、服务器及存储介质 | |
WO2023125675A1 (zh) | 一种用于网络切片的用户面数据完整性保护方法和系统 | |
AU2017386034A1 (en) | Link re-establishment method, apparatus, and system | |
WO2023045472A1 (zh) | 一种通信方法、装置及系统 | |
CN112788598A (zh) | 一种保护认证流程中参数的方法及装置 | |
CN109246847B (zh) | 网络接入方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |