CN110048988A - 消息的发送方法和装置 - Google Patents
消息的发送方法和装置 Download PDFInfo
- Publication number
- CN110048988A CN110048988A CN201810036963.5A CN201810036963A CN110048988A CN 110048988 A CN110048988 A CN 110048988A CN 201810036963 A CN201810036963 A CN 201810036963A CN 110048988 A CN110048988 A CN 110048988A
- Authority
- CN
- China
- Prior art keywords
- message
- terminal device
- security gateway
- security
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种消息的发送方法和装置,通过安全网关向终端设备发送请求消息,终端设备根据安全网关的安全参数以及终端设备的安全参数,获取终端设备与安全网关之间的安全上下文,使用安全上下文保护发送的消息,从而,提高了发送的消息的安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种消息的发送方法和装置。
背景技术
针对不可信(Untrusted)非第三代合作伙伴计划(3rd generation partnershipproject,3GPP)接入网场景,在4G的网络架构中,终端设备在发送消息之前进行接入鉴权,终端设备在接入鉴权过程中,通过无线局域网(Wireless Local Area Networks,WLAN)的方式接入接入网,WLAN通过SWa接口向验证、授权和账号服务器(Authentication、Authorization、Accounting Server,AAA Server)发起验证请求,以使终端设备获得自身的网络互连协议(Internet Protocol,IP)地址,再采用IP地址进行隧道鉴权,从而保证消息的安全传输。
在5G的网络架构中,采用接入鉴权和隧道鉴权合一鉴权的方式,即接入鉴权和隧道鉴权同时进行。在合一鉴权完成之前,终端设备和安全网关之间发送的消息的安全性得不到保证。
发明内容
本申请提供一种消息的发送方法和装置,以解决现有技术中发送的消息的安全性不高的问题。
本申请第一方面提供一种消息的发送方法,包括:通过终端设备接收安全网关发送的请求消息,请求消息中包含安全网关的安全参数;终端设备获取到安全网关的安全参数后,根据所述安全网关的安全参数以及所述终端设备的安全参数,使用所述安全上下文保护发送的消息。从而,提高发送的消息的安全性。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述终端设备根据所述安全网关的安全参数以及所述终端设备的安全参数,获取所述终端设备与所述安全网关之间的安全上下文,包括:
所述终端设备根据所述安全网关的安全参数以及所述终端设备的安全参数,生成第一密钥;并根据所述第一密钥生成第一完整性消息认证信息。
可选地,还包括:
所述终端设备向所述安全网关发送所述终端设备的安全参数和所述第一完整性消息认证信息。
可选地,还包括:
所述终端设备接收所述安全网关发送的第二完整性消息认证信息;
所述终端设备根据所述第一密钥验证所述第二完整性认证信息。
可选地,所述终端设备接收所述安全网关发送的第二完整性消息认证信息,包括:
所述终端设备接收所述安全网关发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,所述终端设备使用所述安全上下文保护发送的消息,包括:
所述终端设备采用所述第一密钥对向所述安全网关发送的消息进行加密;
所述终端设备采用所述第一完整性消息认证信息对向所述安全网关发送的消息进行完整性保护。
本申请第二方面提供一种消息的发送方法,包括:
安全网关向终端设备发送请求消息,所述请求消息中包含所述安全网关的安全参数,终端设备获取到安全网关的安全参数后,可以根据安全网关的安全参数和自身的安全参数获取所述终端设备与所述安全网关之间的安全上下文;并使用安全上下文保护向安全网关发送的消息,从而,提高发送的消息的安全性。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述方法还包括:
所述安全网关接收所述终端设备发送的所述终端设备的安全参数和所述第一完整性消息认证信息;
所述安全网关根据所述终端设备的安全参数和所述安全网关的安全参数,生成第二密钥;
所述安全网关根据所述第二密钥,验证所述第一完整性消息认证信息。
可选地,还包括:
所述安全网关向所述终端设备发送的第二完整性消息认证信息。
可选地,所述安全网关向所述终端设备发送的第二完整性消息认证信息,包括:
所述安全网关向所述终端设备发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,还包括:
所述安全网关采用所述第二密钥对向所述终端设备发送的消息进行加密;
所述安全网关采用所述第二完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
本申请第三方面提供一种消息的发送方法,包括:
安全网关接收终端设备发送的第一消息,所述第一消息中包含所述终端设备身份标识和所述终端设备的安全参数;根据所述终端设备的安全参数以及所述安全网关的安全参数,获取所述终端设备与所述安全网关之间的安全上下文;使用所述安全上下文保护向所述终端设备发送的消息。从而,提高发送的消息的安全性。
可选地,所述安全网关根据所述终端设备的安全参数以及所述安全网关的安全参数,获取所述终端设备与所述安全网关之间的安全上下文,包括:
所述安全网关根据所述终端设备的安全参数以及所述安全网关的安全参数,生成第一密钥,并根据所述第一密钥生成第一完整性消息认证信息。
可选地,还包括:
所述安全网关向所述终端设备发送所述安全网关的安全参数和所述第一完整性消息认证信息。
可选地,还包括:
所述安全网关接收所述终端设备发送的第二完整性消息认证信息;
所述安全网关根据所述第一密钥验证所述第二完整性消息认证信息。
可选地,所述安全网关使用所述安全上下文保护发送的消息,包括:
所述安全网关采用所述第一密钥对向所述终端设备发送的消息进行加密;
所述安全网关采用所述第一完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
本申请第四方面提供一种消息的发送方法,包括:
终端设备向安全网关发送第一消息,所述第一消息中包含所述终端设备身份标识和所述终端设备的安全参数,所述安全参数用于所述安全网关获取所述终端设备与所述安全网关之间的安全上下文;接收所述安全网关发送的消息,所述消息使用所述终端设备与所述安全网关之间的安全上下文保护。从而,提高发送的消息的安全性。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述终端设备接收所述安全网关发送的消息之前,还包括:
所述终端设备接收所述安全网关发送的所述安全网关的安全参数和所述第一完整性消息认证信息;
所述终端设备根据所述终端设备的安全参数和所述安全网关的安全参数,生成第二密钥;
所述终端设备根据所述第二密钥,验证所述第一完整性消息。
可选地,还包括:
所述终端设备向所述安全网关发送第二完整性消息认证信息。
可选地,还包括:
所述终端设备采用所述第二密钥对向所述网络设备发送的消息进行加密;
所述终端设备采用所述第二完整性消息认证信息对向所述网络设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述协商的算法包括完整性算法和加密算法之一或全部。
本申请第五方面提供一种消息的发送装置,包括:
接收模块,用于接收安全网关发送的请求消息,所述请求消息中包含所述安全网关的安全参数;
处理模块,用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,获取所述消息的发送装置与所述安全网关之间的安全上下文;
发送模块,用于使用所述安全上下文和所述第一完整性消息认证信息保护发送的消息。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述处理模块具体用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,生成第一密钥,并根据所述第一密钥生成第一完整性消息认证信息。
可选地,所述发送模块还用于向所述安全网关发送所述消息的发送装置的安全参数和所述第一完整性消息认证信息。
可选地,所述接收模块还用于接收所述安全网关发送的第二完整性消息认证信息;
所述处理模块还用于根据所述第一密钥验证所述第二完整性认证信息。
可选地,所述接收模块具体用于接收所述安全网关发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,所述发送模块具体用于采用所述第一密钥对向所述安全网关发送的消息进行加密;并采用所述第一完整性消息认证信息对向所述安全网关发送的消息进行完整性保护。
本申请第六方面提供一种消息的发送装置,包括:
发送模块,用于向终端设备发送请求消息,所述请求消息中包含所述消息的发送装置的安全参数,其中,所述消息的发送装置的安全参数用于终端设备获取所述终端设备与所述消息的发送装置之间的安全上下文;
接收模块,用于接收所述终端设备发送的消息,所述消息使用所述终端设备与所述消息的发送装置之间的安全上下文保护。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述接收模块还用于接收所述终端设备发送的所述终端设备的安全参数和所述第一完整性消息认证信息;
还包括:处理模块;
所述处理模块,用于根据所述终端设备的安全参数和所述消息的发送装置的安全参数,生成第二密钥;并根据所述第二密钥,验证所述第一完整性消息认证信息。
可选地,所述发送模块还用于向所述终端设备发送的第二完整性消息认证信息。
可选地,所述发送模块还用于向所述终端设备发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,所述发送模块具体用于采用所述第一密钥对向所述终端设备发送的消息进行加密;并采用所述第二完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
本申请第七方面提供一种消息的发送装置,包括:
接收模块,用于接收终端设备发送的第一消息,所述第一消息中包含所述终端设备身份标识和所述终端设备的安全参数;
处理模块,用于根据所述终端设备的安全参数以及所述消息的发送装置的安全参数,获取所述终端设备与所述消息的发送装置之间的安全上下文;
发送模块,用于使用所述安全上下文保护向所述终端设备发送的消息。
可选地,所述处理模块具体用于根据所述终端设备的安全参数以及所述消息的发送装置的安全参数,生成第一密钥,并根据所述第一密钥生成第一完整性消息认证信息。
可选地,所述发送模块还用于向所述终端设备发送所述消息的发送装置的安全参数和所述第一完整性消息认证信息。
可选地,所述接收模块还用于接收所述终端设备发送的第二完整性消息认证信息;
所述处理模块还用于根据所述第一密钥验证所述第二完整性消息认证信息。
可选地,所述发送模块具体用于采用所述安全上下文对向所述终端设备发送的消息进行加密;并采用所述第一完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
本申请第八方面提供一种消息的发送装置,包括:
发送模块,用于向安全网关发送第一消息,所述第一消息中包含所述消息的发送装置身份标识和所述消息的发送装置的安全参数,所述安全参数用于所述安全网关获取所述消息的发送装置与所述安全网关之间的安全上下文;
接收模块,用于接收所述安全网关发送的消息,所述消息使用所述消息的发送装置与所述安全网关之间的安全上下文保护。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述接收模块,还用于接收所述安全网关发送的所述安全网关的安全参数和所述第一完整性消息认证信息;
还包括:
处理模块,用于根据所述消息的发送装置的安全参数和所述安全网关的安全参数,生成第二密钥;并根据所述第二密钥,验证所述第一完整性消息。
可选地,所述发送模块,还用于向所述安全网关发送第二完整性消息认证信息。
可选地,所述发送模块还用于采用所述安全上下文对向所述网络设备发送的消息进行加密;并采用所述第二完整性消息认证信息对向所述网络设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
本申请第九方面提供一种消息的发送装置,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如下第一方面所述的方法。
本申请第十方面提供一种消息的发送装置,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如下第二方面所述的方法。
本申请第十一方面提供一种消息的发送装置,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如第三方面所述的方法。
本申请第十二方面提供一种消息的发送装置,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如下第四方面所述的方法。
本申请第十三方面提供一种计算机可读存储介质所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如第一方面所述的方法。
本申请第十四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如第二方面所述的方法。
本申请第十五方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如第三方面所述的方法。
本申请第十六方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如第四方面所述的方法。
本申请第十七方面提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行如第一方面所述的方法。
本申请第十八方面提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行如第二方面所述的方法。
本申请第十九方面提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行如第三方面所述的方法。
本申请第二十方面提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行如第四方面所述的方法。
附图说明
图1为本申请提供的一种5G的网络架构示意图;
图2为本申请提供的一种消息的发送方法的流程示意图;
图3a-图3c为本申请提供的请求消息的报文结构示意图;
图4为本申请提供的另一种消息的发送方法的流程示意图;
图5为本申请提供的一种消息的发送装置的结构示意图;
图6为本申请提供的另一种消息的发送装置的结构示意图;
图7为本申请提供的再一种消息的发送装置的结构示意图;
图8为本申请提供的又一种消息的发送装置的结构示意图;
图9为本申请提供的又一种消息的发送装置的结构示意图;
图10为本申请提供的又一种消息的发送装置的结构示意图;
图11为本申请提供的又一种消息的发送装置的结构示意图;
图12为本申请提供的又一种消息的发送装置的结构示意图。
具体实施方式
本申请可应用于5G以及5G之后具有类似功能的网络架构中,本申请以应用于5G的网络架构为例进行描述,图1为本申请提供的一种5G的网络架构示意图,如图1所示,本实施例的网络架构中包括:终端设备、不可信的非3GPP接入网(untrusted non-3GPP accessnetwork)设备、安全网关(security gateway)(图1中以N3IWF为例示出)、接入与移动性管理功能(Access and Mobility Management Function,AMF)网元、认证服务器功能(Authentication Server Function,AUSF)网元,3GPP接入网设备、会话管理功能(sessionmanagement function,SMF)网元、用户面功能(user plane function,UPF)网元和数据网络设备等,其中:
不可信的非3GPP接入网设备:该网元允许终端设备和3GPP核心网之间采用非3GPP技术互连互通,其中,非3GPP技术例如:无线保真(WirelessFidelity,Wi-Fi)、全球微波互联接入(Worldwide Interoperability for Microwave Access,WiMAX)、码分多址(CodeDivision Multiple Access,CDMA)网络等,相对于可信的非3GPP接入网设备可以直接接入3GPP核心网,该网元需要通过安全网关建立的安全隧道来与3GPP核心网互连互通,其中,安全网关例如:演进型分组数据网关(Evolved Packet Data Gateway,eDPG)或者非3GPP互通功能(Non-3GPP InterWorking Function,N3IWF)网元。
安全网关:该网元通过与终端设备建立安全隧道,使得终端设备能够安全的和3GPP核心网之间进行通信,该网元是终端设备和3GPP核心网之间通信的中间网元。
AUSF网元:主要提供认证和鉴权功能。
终端设备:可以为用户设备(user equipment,UE)、手持终端、笔记本电脑、用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant,PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordlessphone)或者无线本地环路(wireless local loop,WLL)台、机器类型通信(machine typecommunication,MTC)终端或是其他可以接入网络的设备。终端设备与接入网设备之间采用某种空口技术相互通信。
3GPP接入网(radio access network,RAN)设备:主要负责空口侧的无线资源管理、服务质量(quality of service,QoS)管理、数据压缩和加密等功能。所述接入网设备可以包括各种形式的基站,例如:宏基站,微基站(也称为小站),中继站,接入点等。在采用不同的无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同,例如,在第五代(5th generation,5G)系统中,称为gNB;在LTE系统中,称为演进的节点B(evolved NodeB,eNB或者eNodeB);在第三代(3rd generation,3G)系统中,称为节点B(Node B)等。
AMF网元:属于核心网网元,主要负责信令处理部分,例如:接入控制、移动性管理、附着与去附着以及网关选择等功能。AMF网元为终端设备中的会话提供服务的情况下,会为该会话提供控制面的存储资源,以存储会话标识、与会话标识关联的SMF网元标识等。
会话管理功能(session management function,SMF)网元:负责用户面网元选择,用户面网元重定向,因特网协议(internet protocol,IP)地址分配,承载的建立、修改和释放以及QoS控制。
UPF网元:负责终端设备中用户数据的转发和接收。可以从数据网络接收用户数据,通过接入网设备传输给终端设备;UPF网元还可以通过接入网设备从终端设备接收用户数据,转发到数据网络。UPF网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。
目前终端设备通过Y1接口与不可信的非3GPP接入网设备进行通信,不可信的非3GPP接入网设备通过Y2接口与N3IWF网元进行通信,N3IWF网元通过N2接口与AMF网元进行通信,AMF网元通过N12接口或者服务化接口与AUSF网元进行通信,终端设备通过N1接口与3GPP接入网设备进行通信,3GPP接入网设备通过N2接口与AMF网元进行通信,AMF网元通过N11接口与SMF网元进行通信,SMF网元通过N4接口与UPF网元进行通信,N3IWF网元通过N3接口与UPF网元进行通信,3GPP接入网设备通过N3接口与UPF网元进行通信,UPF网元通过N6接口与数据网络设备进行通信。
可以理解的是,在图1所示的通信系统中,各网元的功能以及接口仅为示例性的,各个网元在应用于本申请的实施例中时,并非全部功能都是必需的。本实施例中的核心网的全部或者部分网元可以是物理上的实体网元,也可以是虚拟化的网元,在此不做限定。
在本申请的实施例中,“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请的描述中,“多个”是指两个或多于两个。
在本申请的实施例中,某一网元(例如:A网元)获取来自另一网元(例如:B网元)的信息,可以指A网元直接从B网元接收信息,也可以指A网元经其他网元(例如:C网元)从B网元接收信息。当A网元经C网元从B网元接收信息时,C网元可以对信息进行透传,也可以将信息进行处理,例如:将信息携带在不同的消息中进行传输或者对信息进行筛选,只发送筛选后的信息给A网元。类似的,在本申请的各实施例中,A网元向B网元发送信息,可以指A网元直接向B网元发送信息,也可以指A网元经其他网元(例如:C网元)向B网元发送信息。
下面以几个实施例为例对本申请的技术方案进行描述,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图2为本申请提供的一种消息的发送方法的流程示意图,如图2所示;
S201:安全网关向终端设备发送请求消息。
其中,请求消息中包含安全网关的安全参数。
安全网关是指能够通过建立安全隧道使得终端设备和3GPP核心网安全通信的设备,例如:图1中所示的N3IWF网元。
安全网关的安全参数包括但不限于:生成安全上下文的材料,比如待协商的算法,或者选择出来的算法,以及生成安全上下文所需的参数,比如安全证书,迪菲-赫尔曼(Diffie-Hellman,DH)方法中的安全网关发送的公钥,或者公私钥方法中的网关使用的公钥等。
待协商的算法或者选择出来的算法包括完整性算法和加密算法之一或者全部。
生成安全上下文所需的参数包括但不限DH值。
其中,请求消息可以是发送非接入层(Non-access stratum,NAS)消息之前的任一消息,该请求消息可以是现有的请求消息的扩展,也可以是完全新增加的请求消息,对此,本申请不作限制。
请求消息中还可包含安全标志位,安全标志位用于指示该请求消息用于指示建立安全上下文过程,或者,用于指示终端设备建立安全上下文,安全标志位可以包含在请求消息的头部或者净荷中。
安全标志位包含在请求消息的头部中,可以通过定义头部中的空闲比特位中的一个比特或者多个比特来表示安全标志位,例如,可以将图3a中的R位替换为安全标识位;也可以重新定义头部中已定义过的一个比特或者多个比特来表示安全标志位,对此,本申请不做限制。请求消息以5G扩展认证协议(Extensible Authentication Protocol-5G,EAP-5G)消息为例,EAP-5G报文头部的格式如图3a-图3c所示,图3a-图3c中以第二代互联网秘钥交换协议(Internet Key Exchange version 2,IKEv2)为例,图3a为现有的EAP-5G报文头部的示意图,将图3a中的斜线填充部分拓展成图3b所示,图3b中的互联网密钥交换协议报文头(IKE header,IKE HDR)部分的完整部分如图3c所示。在图3a中,S为开始标志位;C为完整标志位,F为失败标志位,R预留标志位。
请求消息中还包含开始标志位,开始标志位是现有报文头部已有的标志,通过一个比特位表示,当该比特位值为有效时,表示开始传输NAS消息;即在这种实现方式中,是通过在现有的请求消息中携带安全参数,以使终端设备获取安全网关的安全参数。
S202:终端设备根据安全网关的安全参数以及终端设备的安全参数,获取终端设备与安全网关之间的安全上下文。
终端设备的安全参数包括但不限于:生成安全上下文的材料,比如待协商的算法,或者选择出来的算法,以及生成安全上下文所需的参数,比如安全证书,DH方法中的安全网关发送的公钥,或者公私钥方法中的网关使用的公钥等。
待协商的算法或者选择出来的算法包括完整性算法和加密算法之一或者全部。
生成安全上下文所需的参数包括但不限DH值。
可选地,安全上下文中包含第一秘钥,终端设备可以根据安全网关的安全参数以及终端设备的安全参数,获取第一密钥。其中,第一密钥包括完整性保护密钥。可选地,第一密钥还包括加密密钥。
S203:终端设备根据第一密钥,生成第一完整性消息认证信息。
其中,完整性消息认证信息是由终端设备即将回复的消息和完整性保护密钥生成。例如,完整性认证信息可以是完整性消息认证码(Message Authentication Code-Integrity,MAC-I),用于对在鉴权过程中终端设备向安全网关的消息进行完整性保护验证。
可选地,终端设备生成第一完整性消息认证信息之后,还可以执行S204。
S204:终端设备向安全网关发送终端设备的安全参数和第一完整性消息认证信息。
其中,第一完整性消息认证信息是由终端生成的完整性保护密钥,和终端设备即将发送给安全网关的下一条消息生成的。
S205:安全网关根据终端设备的安全参数和安全网关的安全参数,生成第二密钥,并采用第二密钥验证第一完整性消息认证信息。
第二密钥包含完整性保护密钥。可选地,第二密钥还包含加密保护密钥。进一步地,是否包含加密保护密钥可以由下面几种方法中的至少1种确定:根据所述安全标志位,或者选择的保护方法,或者双方提前约定好。其中,选择的保护方法比如是某些特定的公私钥方法。
若第一完整性消息认证信息验证成功,则表明第一密钥与第二密钥相同,则安全网关可以采用第二秘钥对向终端设备发送的消息进行完整性保护,或加密保护。
若第一完整性消息认证信息验证失败,则表明第一秘钥与第二秘钥不同,则需要拒绝终端设备接入核心网,可选地,同时可以返回认证失败的信息。
S206:安全网关向终端设备发送第二完整性消息认证信息。
安全网关根据第二秘钥,生成第二完整性消息认证信息。并向终端设备发送第二完整性消息认证信息。其中,第二完整性消息认证信息是由安全网关生成的第二密钥和即将给终端发送的下一条消息生成的。
S207:终端设备采用第一密钥验证第二完整性消息认证信息。
若第二完整性消息认证信息验证成功,则表明第一密钥与第二密钥相同,则终端设备可以采用第一秘钥对向安全网关发送的消息进行安全保护。其中,安全保护为完整性保护,可选地,如果生成了加密密钥,则也进行加密保护。
若第二完整性消息认证信息验证失败,则表明第一秘钥与第二秘钥不同,则需要则需要拒绝终端设备接入核心网,可选地,同时可以返回认证失败的信息。
S208:终端设备使用安全上下文保护发送的消息。
其中,一种可能的实现方式为:
终端设备采用安全上下文对向安全网关发送的消息进行完整性保护,和/或加密保护;。
其中,发送的消息例如:NAS消息,NAS消息例如:NAS注册请求消息,NAS认证请求消息等,对此,本申请不做限制。发送的消息还例如EAP-5G消息中的消息实体的部分或全部。消息实体是指除了EAP-5G头部信息以外的部分。
S209:安全网关使用第二密钥和第二完整性认证消息保护发送的消息。
其中,一种可能的实现方式为:
安全网关采用安全上下文对后续向终端设备发送的消息进行完整性保护,可选地进行加密保护;其中,安全网关后续向终端设备发送的消息包括:后面发送的全部消息或,部分消息。比如,对EAP-5G请求(Request)消息和EAP 5G响应(Response)消息进行保护,但是对EAP成功(success)消息或EAP失败(failure)消息不进行安全保护。
其中,S208和S209的执行顺序不作限制。
本实施例,通过安全网关向终端设备发送请求消息,终端设备根据安全网关的安全参数以及终端设备的安全参数,获取终端设备与安全网关之间的安全上下文,终端设备使用安全上下文保护发送的消息,从而,提高了终端设备向安全网关发送的消息的安全性。并通过终端设备向安全网关发送终端设备的安全参数和第一完整性消息认证信息,安全网关根据终端设备的安全参数和安全网关的安全参数,生成第二密钥,并采用第二密钥验证第一完整性消息认证信息,安全网关向终端设备发送第二完整性消息认证信息,终端设备采用第一密钥验证第二完整性消息认证信息,安全网关使用安全上下文保护发送的消息,从而,提高了安全网关向终端设备发送的消息的安全性。
图4为本申请提供的另一种消息的发送方法的流程示意图,图4所示:
S401:终端设备向安全网关发送第一消息。
其中,第一消息中包含终端设备身份标识和终端设备的安全参数。其中,终端设备的身份标识可以是设备标示符、终端设备的永久身份信息、终端设备的永久身份信息的加密结果中的至少1种。
其中,第一消息可以是终端设备和非3GPP接入网设备交换身份标识过程中的任一消息。
S402:安全网关根据终端设备的安全参数以及安全网关的安全参数,获取终端设备与所述安全网关之间的安全上下文。
所述安全网关根据所述终端设备的安全参数以及所述安全网关的安全参数,生成第一密钥。
S403:安全网关根据第一密钥,生成第一完整性消息认证信息。
其中,完整性消息认证信息是由终端设备即将回复的消息和完整性保护密钥生成。例如,完整性认证信息可以是完整性消息认证码(MAC-I),用于对在鉴权过程中终端设备向安全网关的消息进行完整性保护验证。
S404:安全网关向终端设备发送安全网关的安全参数和所述第一完整性消息认证信息。
其中,第一完整性消息认证信息是由终端生成的完整性保护密钥,和终端设备即将发送给安全网关的下一条消息生成的。
S405:终端设备根据终端设备的安全参数和安全网关的安全参数,生成第二秘钥,并验证第一完整性消息认证信息。
第二密钥包含完整性保护密钥。可选地,第二密钥还包含加密保护密钥。进一步地,是否包含加密保护密钥可以由下面几种方法中的至少1种确定:根据所述安全标志位,或者选择的保护方法,或者双方提前约定好。其中,选择的保护方法比如是某些特定的公私钥方法。
若第一完整性消息认证信息验证成功,则表明第一密钥与第二密钥相同,则终端设备可以采用第二秘钥对向终端设备发送的消息进行完整性保护,或加密保护。
若第一完整性消息认证信息验证失败,则表明第一秘钥与第二秘钥不同,则需要则需要拒绝终端设备接入核心网,可选地,同时可以返回认证失败的信息。
S406:终端设备向安全网关发送第二完整性消息认证信息。
终端设备根据第二秘钥,生成第二完整性消息认证信息。并向安全网关发送第二完整性消息认证信息。其中,第二完整性消息认证信息是由安全网关生成的第二密钥和即将给终端发送的下一条消息生成的。
S407:安全网关根据第一密钥验证第二完整性消息认证信息。
若第二完整性消息认证信息验证成功,则表明第一密钥与第二密钥相同,则安全网关可以采用第一秘钥对向终端设备发送的消息进行安全保护。其中,安全保护为完整性保护,可选地,如果生成了加密密钥,则也进行加密保护。
若第二完整性消息认证信息验证失败,则表明第一秘钥与第二秘钥不同,则需要则需要拒绝终端设备接入核心网,可选地,同时可以返回认证失败的信息。
S408:安全网关使用所述安全上下文保护向所述终端设备发送的消息。
安全网关采用安全上下文对向终端设备发送的消息进行行完整性保护,和/或加密保护。
S409:终端设备使用所述安全上下文保护向所述终端设备发送的消息。
终端设备采用安全上下文对向安全网关发送的消息进行完整性保护,可选地进行加密保护;其中,终端设备后续向安全网关发送的消息包括:后面发送的全部消息或,部分消息。
其中,S408和S409的执行顺序不作限制。
本实施例,通过终端设备向安全网关发送第一消息,安全网关根据终端设备的安全参数以及安全网关的安全参数,获取终端设备与所述安全网关之间的安全上下文,安全网关向终端设备发送安全网关的安全参数和所述第一完整性消息认证信息,终端设备根据终端设备的安全参数和安全网关的安全参数,生成第二秘钥,并验证第一完整性消息认证信息,终端设备向安全网关发送第二完整性消息认证信息,安全网关根据第一密钥验证第二完整性消息认证信息,安全网关使用所述安全上下文保护向所述终端设备发送的消息,终端设备使用所述安全上下文保护向所述终端设备发送的消息,从而,提高发送的消息的安全性,并且,本实施例的第一消息是在终端设备和非3GPP接入网设备交换身份标识过程中的任一消息,因此,减少了信令交互过程。
图5为本申请提供的一种消息的发送装置的结构示意图,该消息的发送装置可以是终端设备。该装置包括:接收模块501、处理模块502和发送模块503,其中,接收模块501用于接收安全网关发送的请求消息,所述请求消息中包含所述安全网关的安全参数;处理模块502用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,获取所述消息的发送装置与所述安全网关之间的安全上下文;发送模块503用于使用所述安全上下文保护发送的消息。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述处理模块502具体用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,生成第一密钥;并根据所述第一密钥生成第一完整性消息认证信息。
可选地,所述发送模块还用于向所述安全网关发送所述消息的发送装置的安全参数和所述第一完整性消息认证信息。
可选地,所述接收模块501还用于接收所述安全网关发送的第二完整性消息认证信息;
所述处理模块502还用于根据所述第一密钥验证所述第二完整性认证信息。
可选地,所述接收模块501具体用于接收所述安全网关发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,所述发送模块503具体用于采用所述第一密钥对向所述安全网关发送的消息进行加密;并采用所述第一完整性消息认证信息对向所述安全网关发送的消息进行完整性保护。
本实施例的装置,对应地可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本申请提供的另一种消息的发送装置的结构示意图,该消息的发送装置可以是安全网关。该装置包括发送模块601和接收模块602,其中,发送模块601用于向终端设备发送请求消息,所述请求消息中包含所述消息的发送装置的安全参数,其中,所述消息的发送装置的安全参数用于终端设备获取所述终端设备与所述消息的发送装置之间的安全上下文;接收模块602用于接收所述终端设备发送的消息,所述消息使用所述终端设备与所述安全网关之间的安全上下文保护。
可选地,所述请求消息中还包括开始标志位。
可选地,所述请求消息中还包括安全标志位。
可选地,所述安全标志位包含在所述请求消息的头部或者净荷中。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述接收模块602还用于接收所述终端设备发送的所述终端设备的安全参数和所述第一完整性消息认证信息;
还包括:处理模块603;
所述处理模块603用于根据所述终端设备的安全参数和所述消息的发送装置的安全参数,生成第二密钥;并根据所述第二密钥,验证所述第一完整性消息认证信息。
可选地,所述发送模块601还用于向所述终端设备发送的第二完整性消息认证信息。
可选地,所述发送模块601还用于向所述终端设备发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
可选地,所述发送模块601具体用于采用所述第二密钥对向所述终端设备发送的消息进行加密;并采用所述第二完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
本实施例的装置,对应地可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本申请提供的再一种消息的发送装置的结构示意图,该消息发送装置可以是安全网关。该装置包括接收模块701、处理模块702和发送模块703,其中,接收模块701用于接收终端设备发送的第一消息,所述第一消息中包含所述终端设备身份标识和所述终端设备的安全参数;处理模块702用于根据所述终端设备的安全参数以及所述消息的发送装置的安全参数,获取所述终端设备与所述消息的发送装置之间的安全上下文;发送模块703用于使用所述安全上下文保护向所述终端设备发送的消息。
可选地,所述处理模块702具体用于根据所述终端设备的安全参数以及所述消息的发送装置的安全参数,生成第一密钥,并根据所述第一密钥生成第一完整性消息认证信息。
可选地,所述发送模块703还用于向所述终端设备发送所述消息的发送装置的安全参数和所述第一完整性消息认证信息。
可选地,所述接收模块701还用于接收所述终端设备发送的第二完整性消息认证信息;
所述处理模块702还用于根据所述第一密钥验证所述第二完整性消息认证信息。
可选地,所述发送模块703具体用于采用所述第一密钥对向所述终端设备发送的消息进行加密;并采用所述第一完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
本实施例的装置,对应地可用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本申请提供的又一种消息的发送装置的结构示意图,该消息发送装置可以是终端设备。该装置包括发送模块801和接收模块802,其中,发送模块801用于向安全网关发送第一消息,所述第一消息中包含所述消息的发送装置身份标识和所述消息的发送装置的安全参数,所述安全参数用于所述安全网关获取所述消息的发送装置与所述安全网关之间的安全上下文;接收模块802用于接收所述安全网关发送的消息,所述消息使用所述消息的发送装置与所述安全网关之间的安全上下文保护。
可选地,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述接收模块,还用于接收所述安全网关发送的所述安全网关的安全参数和所述第一完整性消息认证信息;
还包括:
处理模块803,用于根据所述消息的发送装置的安全参数和所述安全网关的安全参数,生成第二密钥;并根据所述第二密钥,验证所述第一完整性消息。
可选地,所述发送模块801还用于向所述安全网关发送第二完整性消息认证信息。
可选地,所述发送模块801还用于采用所述安全上下文对向所述网络设备发送的消息进行加密;并采用所述第二完整性消息认证信息对向所述网络设备发送的消息进行完整性保护。
可选地,所述安全参数包括:生成安全上下文所需的参数。
可选地,所述生成安全上下文所需的参数包括协商的算法,所述协商的算法包括完整性算法和加密算法之一或全部。
本实施例的装置,对应地可用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本申请提供的又一种消息的发送装置的结构示意图,该消息的发送装置可以是终端设备,该装置包括处理器901、存储器902和收发器903,所述存储器902用于存储指令,所述收发器903用于和其他设备通信,所述处理器901用于执行所述存储器902中存储的指令,以使安全网关执行如图2所示的方法实施例的技术方案。
本实施例的装置,对应地可用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图10为本申请提供的又一种消息的发送装置的结构示意图,所述消息的发送装置可以是安全网关,该装置包括处理器1001、存储器1002和收发器1003,所述存储器1002用于存储指令,所述收发器1003用于和其他设备通信,所述处理器1001用于执行所述存储器1002中存储的指令,以使安全网关执行如图2所示的方法实施例的技术方案。
图11为本申请提供的又一种消息的发送装置的结构示意图,所述消息的发送装置可以是安全网关,该装置包括处理器1101、存储器1102和收发器1103,所述存储器1102用于存储指令,所述收发器1103用于和其他设备通信,所述处理器1101用于执行所述存储器1102中存储的指令,以使安全网关执行如图4所示的方法实施例的技术方案。
图12为本申请提供的又一种消息的发送装置的结构示意图,所述消息的发送装置可以是终端设备,该装置包括处理器1201、存储器1202和收发器1203,所述存储器1202用于存储指令,所述收发器1203用于和其他设备通信,所述处理器1201用于执行所述存储器1202中存储的指令,以使安全网关执行如图4所示的方法实施例的技术方案。
本申请还提供一种计算机可读存储介质,应用于消息的发送装置中,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如图2所述的方法。
本申请还提供一种计算机可读存储介质,应用于消息的发送装置中,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如图4所述的方法。
本申请还提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行图2所述的方法。
本申请还提供一种程序产品,所述程序产品包括计算机程序,所述计算机程序存储在计算机可读存储介质中,消息的发送装置的至少一个处理器从所述计算机可读存储介质中读取所述计算机程序,所述至少一个处理执行所述计算机程序使得所述消息的发送装置执行图4所述的方法。
在本申请的实施例中,发送模块和接收模块用于实现处理模块与其他单元或者网元的内容交互。具体的,发送模块和接收模块可以是通信接口,也可以是收发电路或者收发器,还可以是收发信机。发送模块和接收模块还可以是处理模块的通信接口或者收发电路。
处理模块用于实现对数据的处理。处理模块可以是处理电路,也可以是处理器。其中,处理器可以是中央处理器(central processing unit,CPU),网络处理器(networkprocessor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
处理模块也可以包括多个处理单元或者处理单元包括多个子数据处理单元。具体的,处理器可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。
本实施例中的消息的发送装置还可以包括存储单元。存储模块用于存储处理模块执行的计算机指令。存储模块可以是存储电路也可以是存储器。存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(randomaccess memory,RAM),其用作外部高速缓存。存储模块可以是独立于处理模块的单元,也可以是处理模块中的存储单元,在此不做限定。消息的发送装置可以包括多个存储模块或者存储模块包括多个子存储模块。
发送模块和接收模块以及处理模块可以是在物理上相互分离的单元,也可以是集成到一个或者多个物理单元中,在此不做限定。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
Claims (30)
1.一种消息的发送方法,其特征在于,包括:
终端设备接收安全网关发送的请求消息,所述请求消息中包含所述安全网关的安全参数;
所述终端设备根据所述安全网关的安全参数以及所述终端设备的安全参数,获取所述终端设备与所述安全网关之间的安全上下文;
所述终端设备使用所述安全上下文保护发送的消息。
2.根据权利要求1所述的方法,其特征在于,所述请求消息中还包括开始标志位。
3.根据权利要求1所述的方法,其特征在于,所述请求消息中还包括安全标志位。
4.根据权利要求3所述的方法,其特征在于,所述安全标志位包含在所述请求消息的头部或者净荷中。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述终端设备根据所述安全网关的安全参数以及所述终端设备的安全参数,获取所述终端设备与所述安全网关之间的安全上下文,包括:
所述终端设备根据所述安全网关的安全参数以及所述终端设备的安全参数,生成第一密钥;
所述终端设备根据所述第一密钥,生成第一完整性消息认证信息。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述终端设备向所述安全网关发送所述终端设备的安全参数和所述第一完整性消息认证信息。
7.根据权利要求6所述的方法,其特征在于,还包括:
所述终端设备接收所述安全网关发送的第二完整性消息认证信息;
所述终端设备根据所述第一密钥验证所述第二完整性认证信息。
8.根据权利要求7所述的方法,其特征在于,所述终端设备接收所述安全网关发送的第二完整性消息认证信息,包括:
所述终端设备接收所述安全网关发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
9.根据权利要求1-8任一项所述的方法,其特征在于,
所述安全参数包括:生成安全上下文所需的参数。
10.根据权利要求9所述的方法,其特征在于,
所述生成安全上下文所需的参数包括:协商的算法;
所述协商的算法包括完整性算法和加密算法之一或全部。
11.根据权利要求5所述的方法,其特征在于,所述终端设备使用所述安全上下文保护发送的消息,包括:
所述终端设备采用所述第一密钥对向所述安全网关发送的消息进行加密;
所述终端设备采用所述第一完整性消息认证信息对向所述安全网关发送的消息进行完整性保护。
12.一种消息的发送方法,其特征在于,包括:
安全网关向终端设备发送请求消息,所述请求消息中包含所述安全网关的安全参数,其中,所述安全网关的安全参数用于终端设备获取所述终端设备与所述安全网关之间的安全上下文;
所述安全网关接收所述终端设备发送的消息,所述消息使用所述终端设备与所述安全网关之间的安全上下文保护。
13.根据权利要求12所述的方法,其特征在于,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述方法还包括:
所述安全网关接收所述终端设备发送的所述终端设备的安全参数和所述第一完整性消息认证信息;
所述安全网关根据所述终端设备的安全参数和所述安全网关的安全参数,生成第二密钥;
所述安全网关根据所述第二密钥,验证所述第一完整性消息认证信息。
14.根据权利要求13所述的方法,其特征在于,还包括:
所述安全网关向所述终端设备发送的第二完整性消息认证信息。
15.根据权利要求14所述的方法,其特征在于,所述安全网关向所述终端设备发送的第二完整性消息认证信息,包括:
所述安全网关向所述终端设备发送的响应消息,所述响应消息中包含所述第二完整性消息认证信息。
16.根据权利要求12-15任一项所述的方法,其特征在于,
所述安全参数包括:生成安全上下文所需的参数。
17.根据权利要求16所述的方法,其特征在于,还包括:
所述安全网关采用所述第二密钥对向所述终端设备发送的消息进行加密;
所述安全网关采用所述第二完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
18.一种消息的发送装置,其特征在于,包括:
接收模块,用于接收安全网关发送的请求消息,所述请求消息中包含所述安全网关的安全参数;
处理模块,用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,获取所述消息的发送装置与所述安全网关之间的安全上下文;
发送模块,用于使用所述安全上下文保护发送的消息。
19.根据权利要求18所述的装置,其特征在于,所述处理模块具体用于根据所述安全网关的安全参数以及所述消息的发送装置的安全参数,生成第一密钥;并根据所述第一密钥,生成第一完整性消息认证信息。
20.根据权利要求19所述的装置,其特征在于,所述发送模块还用于向所述安全网关发送所述消息的发送装置的安全参数和所述第一完整性消息认证信息。
21.根据权利要求20所述的装置,其特征在于,所述接收模块还用于接收所述安全网关发送的第二完整性消息认证信息;
所述处理模块还用于根据所述第一密钥验证所述第二完整性认证信息。
22.根据权利要求18-21任一项所述的装置,其特征在于,
所述发送模块具体用于采用所述第一密钥对向所述安全网关发送的消息进行加密;并采用所述第一完整性消息认证信息对向所述安全网关发送的消息进行完整性保护。
23.一种消息的发送装置,其特征在于,包括:
发送模块,用于向终端设备发送请求消息,所述请求消息中包含所述消息的发送装置的安全参数,其中,所述消息的发送装置的安全参数用于终端设备获取所述终端设备与所述消息的发送装置之间的安全上下文;
接收模块,用于接收所述终端设备发送的消息,所述消息使用所述终端设备与所述消息的发送装置之间的安全上下文保护。
24.根据权利要求23所述的装置,其特征在于,所述安全上下文中包含第一密钥和第一完整性消息认证信息;
所述接收模块还用于接收所述终端设备发送的所述终端设备的安全参数和所述第一完整性消息认证信息;
还包括:处理模块;
所述处理模块,用于根据所述终端设备的安全参数和所述消息的发送装置的安全参数,生成第二密钥;并根据所述第二密钥,验证所述第一完整性消息认证信息。
25.根据权利要求24所述的装置,其特征在于,
所述发送模块还用于向所述终端设备发送的第二完整性消息认证信息。
26.根据权利要求25所述的装置,其特征在于,
所述发送模块具体用于采用所述第二密钥对向所述终端设备发送的消息进行加密;并采用所述第二完整性消息认证信息对向所述终端设备发送的消息进行完整性保护。
27.一种消息的发送装置,其特征在于,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如权利要求1-11任一项所述的方法。
28.一种消息的发送装置,其特征在于,包括:
处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使消息的发送装置执行如权利要求12-17任一项所述的方法。
29.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如权利要求1-11任一项所述的方法。
30.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被计算装置执行时,使得消息的发送装置执行如权利要求12-17任一项所述的方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036963.5A CN110048988B (zh) | 2018-01-15 | 2018-01-15 | 消息的发送方法和装置 |
| BR112020013831-2A BR112020013831A2 (pt) | 2018-01-15 | 2018-12-27 | método e aparelho para envio de mensagem |
| EP18899550.0A EP3720079A4 (en) | 2018-01-15 | 2018-12-27 | METHOD AND DEVICE FOR SENDING A MESSAGE |
| PCT/CN2018/124490 WO2019137232A1 (zh) | 2018-01-15 | 2018-12-27 | 消息的发送方法和装置 |
| US16/928,853 US20200344245A1 (en) | 2018-01-15 | 2020-07-14 | Message sending method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810036963.5A CN110048988B (zh) | 2018-01-15 | 2018-01-15 | 消息的发送方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110048988A true CN110048988A (zh) | 2019-07-23 |
| CN110048988B CN110048988B (zh) | 2021-03-23 |
Family
ID=67219306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810036963.5A Active CN110048988B (zh) | 2018-01-15 | 2018-01-15 | 消息的发送方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20200344245A1 (zh) |
| EP (1) | EP3720079A4 (zh) |
| CN (1) | CN110048988B (zh) |
| BR (1) | BR112020013831A2 (zh) |
| WO (1) | WO2019137232A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111132162A (zh) * | 2019-12-26 | 2020-05-08 | 新华三技术有限公司成都分公司 | 一种终端信息的获取方法及装置 |
| CN112601222A (zh) * | 2019-09-16 | 2021-04-02 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
| WO2021068258A1 (zh) * | 2019-10-12 | 2021-04-15 | 华为技术有限公司 | 获得安全参数的方法及装置 |
| CN114302503A (zh) * | 2021-12-31 | 2022-04-08 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
| WO2023066207A1 (zh) * | 2021-10-21 | 2023-04-27 | 华为技术有限公司 | 一种通信方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102528678B1 (ko) * | 2020-12-30 | 2023-05-08 | 한국전자통신연구원 | 원격 검증 관리 장치 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| CN102594555A (zh) * | 2011-01-17 | 2012-07-18 | 华为技术有限公司 | 数据的安全保护方法、网络侧实体和通信终端 |
| CN107005927A (zh) * | 2015-09-22 | 2017-08-01 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8380167B2 (en) * | 2005-05-10 | 2013-02-19 | Network Equipment Technologies, Inc. | LAN-based UMA network controller with proxy connection |
| CN101631309B (zh) * | 2008-07-17 | 2013-03-20 | 上海华为技术有限公司 | 基于家庭基站网络的对终端进行鉴权的方法、设备及系统 |
| CN101754211A (zh) * | 2008-12-15 | 2010-06-23 | 华为技术有限公司 | 认证协商方法及系统、安全网关、家庭无线接入点 |
| US9088408B2 (en) * | 2012-06-28 | 2015-07-21 | Certicom Corp. | Key agreement using a key derivation key |
-
2018
- 2018-01-15 CN CN201810036963.5A patent/CN110048988B/zh active Active
- 2018-12-27 BR BR112020013831-2A patent/BR112020013831A2/pt not_active Application Discontinuation
- 2018-12-27 WO PCT/CN2018/124490 patent/WO2019137232A1/zh unknown
- 2018-12-27 EP EP18899550.0A patent/EP3720079A4/en not_active Withdrawn
-
2020
- 2020-07-14 US US16/928,853 patent/US20200344245A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101815296A (zh) * | 2009-02-23 | 2010-08-25 | 华为技术有限公司 | 一种进行接入认证的方法、装置及系统 |
| CN102594555A (zh) * | 2011-01-17 | 2012-07-18 | 华为技术有限公司 | 数据的安全保护方法、网络侧实体和通信终端 |
| CN107005927A (zh) * | 2015-09-22 | 2017-08-01 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
Non-Patent Citations (1)
| Title |
|---|
| HUAWEI 等: ""Reuse anchor key for fasting untrusted non-3GPP access"(S3-170682)", 《3GPP TSG SA WG3 (SECURITY) MEETING #86BIS》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112601222A (zh) * | 2019-09-16 | 2021-04-02 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
| CN112601222B (zh) * | 2019-09-16 | 2022-04-22 | 华为技术有限公司 | 一种空口信息的安全保护方法及装置 |
| WO2021068258A1 (zh) * | 2019-10-12 | 2021-04-15 | 华为技术有限公司 | 获得安全参数的方法及装置 |
| CN111132162A (zh) * | 2019-12-26 | 2020-05-08 | 新华三技术有限公司成都分公司 | 一种终端信息的获取方法及装置 |
| CN111132162B (zh) * | 2019-12-26 | 2022-11-22 | 新华三技术有限公司成都分公司 | 一种终端信息的获取方法及装置 |
| WO2023066207A1 (zh) * | 2021-10-21 | 2023-04-27 | 华为技术有限公司 | 一种通信方法及装置 |
| CN114302503A (zh) * | 2021-12-31 | 2022-04-08 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
| CN114302503B (zh) * | 2021-12-31 | 2023-06-06 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3720079A1 (en) | 2020-10-07 |
| US20200344245A1 (en) | 2020-10-29 |
| EP3720079A4 (en) | 2021-01-06 |
| WO2019137232A1 (zh) | 2019-07-18 |
| BR112020013831A2 (pt) | 2020-12-01 |
| CN110048988B (zh) | 2021-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695742B2 (en) | Security implementation method, device, and system | |
| CN110048988A (zh) | 消息的发送方法和装置 | |
| EP3499840B1 (en) | User-plane security for next generation cellular networks | |
| Cao et al. | A survey on security aspects for LTE and LTE-A networks | |
| CN106134231B (zh) | 密钥生成方法、设备及系统 | |
| CN110235423A (zh) | 对用户设备的辅认证 | |
| CN109005540A (zh) | 安全实现方法、相关装置以及系统 | |
| US20200228977A1 (en) | Parameter Protection Method And Device, And System | |
| WO2019096075A1 (zh) | 一种消息保护的方法及装置 | |
| WO2019096002A1 (zh) | 一种安全保护的方法及装置 | |
| WO2010124474A1 (zh) | 空口链路安全机制建立的方法、设备 | |
| CN110121168A (zh) | 安全协商方法及装置 | |
| CN110891269A (zh) | 一种数据保护方法、设备及系统 | |
| CN110121196B (zh) | 一种安全标识管理方法及装置 | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| CN109691154A (zh) | 基于密钥刷新的按需网络功能重新认证 | |
| WO2021244509A1 (zh) | 数据传输方法和系统、电子设备及计算机可读存储介质 | |
| CN104969578B (zh) | 数据传输方法、装置及系统 | |
| CN112492590A (zh) | 一种通信方法及装置 | |
| EP2648437A1 (en) | Method, apparatus and system for key generation | |
| WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
| US20190149326A1 (en) | Key obtaining method and apparatus | |
| Ouaissa et al. | New security level of authentication and key agreement protocol for the IoT on LTE mobile networks | |
| CN108243416A (zh) | 用户设备鉴权方法、移动管理实体及用户设备 | |
| CN111226452B (zh) | 一种业务策略创建方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |