CN110099382A - 一种消息保护方法及装置 - Google Patents
一种消息保护方法及装置 Download PDFInfo
- Publication number
- CN110099382A CN110099382A CN201810089074.5A CN201810089074A CN110099382A CN 110099382 A CN110099382 A CN 110099382A CN 201810089074 A CN201810089074 A CN 201810089074A CN 110099382 A CN110099382 A CN 110099382A
- Authority
- CN
- China
- Prior art keywords
- request message
- terminal
- network element
- standard system
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 149
- 230000004224 protection Effects 0.000 title claims abstract description 149
- 230000004044 response Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 abstract description 44
- 238000002360 preparation method Methods 0.000 abstract description 7
- 238000007726 management method Methods 0.000 description 103
- 230000006870 function Effects 0.000 description 37
- 238000012545 processing Methods 0.000 description 23
- 238000010586 diagram Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000005055 memory storage Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000004069 differentiation Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000003321 amplification Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0022—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种消息保护方法及装置。该方法包括:当终端准备从第一制式系统切换至第二制式系统时,终端上可能还没有切换后的第二制式系统的安全上下文,因此,本申请方法中,终端使用切换前的第一制式系统的安全上下文中的完整性保护密钥对注册请求消息和位置更新请求消息进行完整性保护,该注册请求消息和位置更新请求消息均为触发切换的消息。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
Description
技术领域
本申请涉及移动通信技术领域,尤其涉及一种消息保护方法及装置。
背景技术
新制式系统的应用离不开与旧制式系统的交互,比如在设计第三代(3rdgeneration,3G)系统时需要考虑与第二代(2nd generation,2G)系统的交互,在设计第四代(4th generation,4G)系统时需要考虑与3G系统的交互,在设计第五代(5thgeneration,5G)系统时需要考虑与4G系统的交互,等等。
目前技术中,对于触发不同制式系统之间切换的消息的保护方法是:如果终端有合适的安全上下文,则采用该安全下文对该消息进行保护,如果终端没有合适的安全上下文,则不对该消息进行保护,其中,合适的安全下文指的是适用于切换后的制式系统的安全上下文。
随着通信技术的发展,新的制式系统(如5G等)对于触发不同制式之间切换的消息的保护具有更高的要求,具体为:即使终端没有合适的安全上下文,也需要对该消息进行保护。
在上述不同制式系统之间切换的场景下,如何对触发切换的消息进行安全保护,目前还没有给出相应的解决方案。
发明内容
本申请提供一种消息保护方法及装置,用以实现对触发切换的消息进行安全保护。
第一方面,本申请提供一种消息保护方法,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,该第二制式系统包括第二移动性管理网元,该方法包括:首先,终端根据注册请求消息和完整性保护密钥生成第二消息认证码MAC,根据位置更新请求消息和完整性保护密钥生成第一MAC;其中,注册请求消息用于请求注册至第二制式系统,完整性保护密钥为第一移动性管理网元与终端进行通信的完整性保护密钥,第一MAC用于对位置更新请求消息进行验证,第二MAC用于对注册请求消息进行验证;然后,终端向第二移动性管理网元发送受保护的注册请求消息和受保护的位置更新请求消息,受保护的所述注册请求消息包括所第二MAC,受保护的所述位置更新请求消息包括第一MAC。
上述方法,当终端准备从第一制式系统切换至第二制式系统时,终端上可能还没有切换后的第二制式系统的安全上下文,因此,本申请方法中,终端使用切换前的第一制式系统的安全上下文中的完整性保护密钥对注册请求消息和位置更新请求消息进行完整性保护,该注册请求消息和位置更新请求消息均为触发切换的消息。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
在一种可能的实现方式中,终端根据注册请求消息和完整性保护密钥生成第二MAC,包括:终端根据注册请求消息、位置更新请求消息和完整性保护密钥,生成第二MAC;或者,终端根据注册请求消息、位置更新请求消息、第一MAC和完整性保护密钥,生成第二MAC;或者,终端根据注册请求消息、第一MAC和完整性保护密钥,生成第二MAC。
上述方法给出了生成第二MAC的几种具体实现方式,在实际应用中可根据不同需要进行选择。
在一种可能的实现方式中,进一步地,终端还接收来自第二移动性管理网元的命令消息,命令消息用于通知终端根据第一制式系统的根密钥推演第二制式系统的根密钥,完整性保护密钥由第一制式系统的根密钥推演得到。
上述方法,终端在接收到命令消息后,根据第一制式系统的根密钥推演得到第二制式系统的根密钥,以便于后续使用该第二制式系统的根密钥推演其它用于在第二制式系统进行通信的密钥。
在一种可能的实现方式中,根据注册请求消息和完整性保护密钥生成第二MAC之前,还包括:终端确定需要发送位置更新请求消息。
上述方法,当终端在确定需要发送位置更新请求消息时,才执行上述任一实施例的方法,有助于避免浪费资源。
作为一种实现方式,终端确定需要发送位置更新请求消息,包括:终端确定第一移动性管理网元不具备验证第二制式系统的注册请求消息的完整性的能力,则确定需要发送位置更新请求消息。
即,当终端确定第一移动性管理网元无法对注册请求消息的完整性进行验证时,则需要发送位置更新请求消息,该第一移动性管理网元可以对该位置更新请求消息的完整性进行验证,从而实现对终端的切换过程进行验证。
第二方面,本申请提供一种消息保护方法,应用于终端从第一制式系统切换至第二制式系统,第一制式系统包括第一移动性管理网元,第二制式系统包括第二移动性管理网元,方法包括:首先,终端根据注册请求消息和完整性保护密钥生成MAC,注册请求消息用于请求注册至第二制式系统,完整性保护密钥为第一移动性管理网元与终端进行通信的完整性保护密钥,该MAC用于对注册请求消息进行验证;然后,终端向第二移动性管理网元发送受保护的注册请求消息,受保护的所述注册请求消息包括上述MAC。
上述方法,当终端准备从第一制式系统切换至第二制式系统时,终端上可能还没有切换后的第二制式系统的安全上下文,因此,本申请方法中,终端使用切换前的第一制式系统的安全上下文中的完整性保护密钥对注册请求消息进行完整性保护,该注册请求消息为触发切换的消息。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
在一种可能的实现方式中,进一步地,终端还接收来自第二移动性管理网元的命令消息,命令消息用于通知终端根据第一制式系统的根密钥推演第二制式系统的根密钥,完整性保护密钥由第一制式系统的根密钥推演得到。
上述方法,终端在接收到命令消息后,根据第一制式系统的根密钥推演得到第二制式系统的根密钥,以便于后续使用该第二制式系统的根密钥推演其它用于在第二制式系统进行通信的密钥。
在一种可能的实现方式中,终端根据注册请求消息和完整性保护密钥生成MAC之前,还包括:终端确定不需要发送位置更新请求消息。
上述方法,当终端在确定不需要发送位置更新请求消息时,才执行上述任一实施例的方法,有助于避免浪费资源。
作为一种实现方式,终端确定不需要发送位置更新请求消息,包括:终端确定第一移动性管理网元具备验证第二制式系统的注册请求消息的完整性的能力,则确定不需要发送位置更新请求消息。
即,当终端确定第一移动性管理网元可以对注册请求消息的完整性进行验证时,则不需要发送位置更新请求消息,该第一移动性管理网元可以通过对该注册消息的完整性进行验证,从而实现对终端的切换过程进行验证。
第三方面,本申请提供一种消息保护方法,应用于终端从第一制式系统切换至第二制式系统,第一制式系统包括第一移动性管理网元,第二制式系统包括第二移动性管理网元,该方法包括:首先,第二移动性管理网元接收来自终端的受保护的位置更新请求消息和受保护的注册请求消息,所述受保护的位置更新请求消息包括第一MAC,所述受保护的注册请求消息包括第二MAC,第一MAC是根据位置更新请求消息和完整性保护密钥生成的,第一MAC用于对所述位置更新请求消息进行验证,第二MAC是根据注册请求消息和完整性保护密钥生成的,第二MAC用于对注册请求消息进行验证,注册请求消息用于请求注册至所述第二制式系统,完整性保护密钥为第一移动性管理网元与所述终端进行通信的完整性保护密钥;接着,第二移动性管理网元向第一移动性管理网元发送上下文请求消息,上下文请求消息包括受保护的位置更新请求消息,上下文请求消息用于请求终端的安全上下文;接着,第二移动性管理网元接收来自第一移动性管理网元的上下文响应消息,上下文响应消息包括所述终端的安全上下文;然后,第二移动性管理网元根据第二MAC和终端的安全上下文,对上述注册请求消息进行验证。
上述方法,当终端准备从第一制式系统切换至第二制式系统时,终端上可能还没有切换后的第二制式系统的安全上下文,因此,本申请方法中,终端使用切换前的第一制式系统的安全上下文中的完整性保护密钥对注册请求消息和位置更新请求消息进行完整性保护,该注册请求消息和位置更新请求消息均为触发切换的消息,从而,第二移动性管理网元接收到的是受保护的注册请求消息和受保护的位置更新请求消息,进一步地,第二移动性管理网元还将受保护的位置更新请求消息发送至第一移动性管理网元,由第一移动性管理网元对位置更新请求消息进行验证,若验证成功,则将终端的安全上下文发送给第二移动性管理网元。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
在一种可能的实现方式中,进一步地,上述终端的安全上下文包括完整性保护密钥;则第二移动性管理网元根据第二MAC和终端的安全上下文,对注册请求消息进行验证,包括:第二移动性管理网元根据第二MAC和完整性保护密钥,对注册请求消息进行验证。
在一种可能的实现方式中,终端的安全上下文包括第一制式系统的根密钥,则第二移动性管理网元根据第一制式系统的根密钥推演得到完整性保护密钥;进一步地,第二移动性管理网元根据第二MAC和终端的安全上下文,对注册请求消息进行验证,包括:第二移动性管理网元根据第二MAC和完整性保护密钥,对注册请求消息进行验证。
在一种可能的实现方式中,进一步地,还包括:第二移动性管理网元根据第一制式系统的根密钥推演第二制式系统的根密钥。
上述方法,第二移动性管理网元根据第一制式系统的根密钥推演得到第二制式系统的根密钥,以便于后续使用该第二制式系统的根密钥推演其它用于在第二制式系统进行通信的密钥。
在一种可能的实现方式中,第二移动性管理网元若对注册请求消息验证成功,则向终端发送命令消息,命令消息用于通知终端根据第一制式系统的根密钥推演第二制式系统的根密钥。
第四方面,本申请提供一种消息保护方法,应用于终端从第一制式系统切换至第二制式系统,第一制式系统包括第一移动性管理网元,第二制式系统包括第二移动性管理网元,该方法包括:首先,第二移动性管理网元接收来自终端的受保护的注册请求消息,受保护的注册请求消息包括MAC,所述MAC是根据注册请求消息和完整性保护密钥生成的,所述注册请求消息用于请求注册至所述第二制式系统,所述完整性保护密钥为第一移动性管理网元与终端进行通信的完整性保护密钥;然后,第二移动性管理网元向第一移动性管理网元发送上下文请求消息,上下文请求消息包括受保护的注册请求消息,上下文请求消息用于请求终端的安全上下文;然后,第二移动性管理网元接收来自第一移动性管理网元的上下文响应消息,所述上下文响应消息包括终端的安全上下文。
上述方法,当终端准备从第一制式系统切换至第二制式系统时,终端上可能还没有切换后的第二制式系统的安全上下文,因此,本申请方法中,终端使用切换前的第一制式系统的安全上下文中的完整性保护密钥对注册请求消息进行完整性保护,该注册请求消息为触发切换的消息,从而第二移动性管理网元接收到的是受保护的注册请求消息。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
在一种可能的实现方式中,终端的安全上下文包括第二制式系统的根密钥,第二制式系统的根密钥是根据第一制式系统的根密钥推演得到的;或者,终端的安全上下文包括第一制式系统的根密钥;进一步地,第二移动性管理网元根据第一制式系统的根密钥推演得到第二制式系统的根密钥。
如此,第二移动性管理网元可得到第二制式系统的根密钥。
在一种可能的实现方式中,进一步地,第二移动性管理网元向终端发送命令消息,命令消息用于通知终端根据第一制式系统的根密钥推演第二制式系统的根密钥。
第五方面,本申请提供一种消息保护方法,应用于终端从第一制式系统切换至第二制式系统,第一制式系统包括第一移动性管理网元,第二制式系统包括第二移动性管理网元,该方法包括:首先,第一移动性管理网元接收来自第二移动性管理网元的上下文请求消息,上下文请求消息包括受保护的注册请求消息,受保护的注册请求消息包括MAC,所述MAC是根据注册请求消息和完整性保护密钥生成的,完整性保护密钥为第一移动性管理网元与终端进行通信的完整性保护密钥,注册请求消息用于为终端请求注册至第二制式系统,上下文请求消息用于请求终端的安全上下文;接着,第一移动性管理网元根据MAC和完整性保护密钥,对注册请求消息进行验证;第一移动性管理网元若对注册请求消息验证成功,则向第二移动性管理网元发送上下文响应消息,上下文响应消息包括终端的安全上下文。
上述方法,第一移动性管理网元从第二移动性管理网元接收到的上下文请求消息中包括的是受保护的注册请求消息,该注册请求消息为触发切换的消息。并且,第一移动性管理网元还对注册请求消息进行验证,若验证成功,则向第二移动性管理网元发送终端的安全上下文。因此,该方法实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
在一种可能的实现方式中,终端的安全上下文包括第一制式系统的根密钥;或者,第一移动性管理网元根据第一制式系统的根密钥推演得到第二制式系统的根密钥;其中,终端的安全上下文包括第二制式系统的根密钥。
第六方面,本申请提供一种装置,该装置可以是终端,也可以是芯片。该装置具有实现上述第一方面的各实施例的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第七方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第一方面或第一方面的任一实现方法中的消息保护方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第八方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第一方面或第一方面的任一实现方法中的消息保护方法。
第九方面,本申请提供一种装置,该装置可以是终端,也可以是芯片。该装置具有实现上述第二方面的各实施例的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第二方面或第二方面的任一实现方法中的消息保护方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十一方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第二方面或第二方面的任一实现方法中的消息保护方法。
第十二方面,本申请提供一种装置,该装置可以是移动性管理网元,也可以是芯片。该装置具有实现上述第三方面的各实施例的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十三方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第三方面或第三方面的任一实现方法中的消息保护方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十四方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第三方面或第三方面的任一实现方法中的消息保护方法。
第十五方面,本申请提供一种装置,该装置可以是移动性管理网元,也可以是芯片。该装置具有实现上述第四方面的各实施例的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十六方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第四方面或第四方面的任一实现方法中的消息保护方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十七方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第四方面或第四方面的任一实现方法中的消息保护方法。
第十八方面,本申请提供一种装置,该装置可以是移动性管理网元,也可以是芯片。该装置具有实现上述第五方面的各实施例的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十九方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第五方面或第五方面的任一实现方法中的消息保护方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第二十方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第五方面或第五方面的任一实现方法中的消息保护方法。
第二十一方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第二十二方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第二十三方面,本申请还提供一种系统,该系统包括移动性管理网元,所述移动性管理网元可用于执行上述第三方面及第三方面的任一方法中由第二移动性管理网元执行的步骤。在一个可能的设计中,所述系统还可以包括另一移动性管理网元,所述另一移动性管理网元可用于执行上述第三方面及第三方面的任一方法中或者本发明实施例提供的方案中由第一移动性管理网元执行的步骤。在一个可能的设计中,该系统还可以包括本发明实施例提供的方案中与该第一移动性管理网元和/或第二移动性管理网元进行交互的其他设备,例如终端,等等。
第二十四方面,本申请还提供一种系统,该系统包括移动性管理网元,所述移动性管理网元可用于执行上述第四方面及第四方面的任一方法中由第二移动性管理网元执行的步骤。在一个可能的设计中,所述系统还可以包括另一移动性管理网元,所述另一移动性管理网元可用于执行上述第五方面及第五方面的任一方法中或者本发明实施例提供的方案中由第一移动性管理网元执行的步骤。在一个可能的设计中,该系统还可以包括本发明实施例提供的方案中与该第一移动性管理网元和/或第二移动性管理网元进行交互的其他设备,例如终端,等等。
另外,第六方面至第二十四方面中任一种实现方式所带来的技术效果可参见第一方面至第五方面中不同实现方式所带来的技术效果,此处不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
图1为本申请提供的一种可能的网络架构示意图;
图2为本申请提供的一种消息保护方法示意图;
图3为本申请提供的又一种消息保护方法示意图;
图4为本申请提供的又一种消息保护方法示意图;
图5为本申请提供的一种装置示意图;
图6为本申请提供的移动性管理网元的示意图;
图7为本申请提供的又一种装置示意图;
图8为本申请提供的终端的示意图。
具体实施方式
下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图1所示,为本申请所适用的一种可能的系统架构图。该系统架构中包括第一移动性管理网元和第二移动性管理网元。可选地,所述系统架构还包括终端。其中,第一移动性管理网元为第一制式系统的移动性管理网元,第二移动性管理网元为第二制式系统的移动性管理网元。并且,该第一制式系统为终端切换前所在的系统,该第二制式系统为终端切换后所在的系统。这里的“切换”指的是终端在空闲态(idle mode)下的切换。例如,空闲态的终端从第一移动性管理网元所管理的范围移动到第二移动性管理网元所管理的范围的过程中进行切换。
其中,相对第一制式系统而言,第二制式系统一般为演进的系统。例如,第二制式系统为5G,第一制式系统为4G或3G。又例如,第二制式系统为4G,第一制式系统为3G。随着通信技术的发展,第二制式系统和第一制式系统也可以为未来可能出现的其他演进系统。例如,第二制式系统为第六代(6th generation,6G)系统,第一制式系统为5G、4G或3G。又例如,第二制式系统为6G的下一代系统,第一制式系统为6G。其中,6G仅作为示例描述,本申请并不限定未来可能出现的其他演进系统的名称。
需要说明的是,本申请并不完全排斥第一制式系统相比第二制式系统为演进的系统的情况。例如,若相对于第二制式系统而言,第一制式系统为演进的系统,但当终端从第一制式系统切换到第二制式系统的情况下,第一制式系统中缺乏终端在第二制式系统的安全上下文时,本申请的方案也可以适用。当然,本申请还可能适用于其他场景,本申请并不限定。
以第一制式系统为4G,第二制式系统为5G为例,则第一移动性管理网元可以是移动性管理实体(mobility management entity,MME),第二移动性管理网元可以是接入与移动性管理功能(access and mobility management function,AMF)网元。
其中,MME是第三代合作伙伴计划(3rd generation partnership project,3GPP)协议长期演进(long term evolution,LTE)网络的关键控制节点MME具有移动性管理、接入管理、会话管理等功能。例如,MME,负责空闲模式的终端的定位,寻呼过程等。
AMF网元,相当于MME的功能中除会话管理之外的部分,主要负责移动性管理和接入管理等服务。
本申请中的终端,是一种具有无线通信功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等;还可以是各种形式的用户设备(user equipment,UE),移动台(mobile station,MS),终端设备(terminal device)。
基于图1所示的系统架构,当终端需要从第一制式系统切换至第二制式系统时,终端可以向第二制式系统的第二移动性管理网元发送请求,例如发送注册请求消息(本申请中将会对该注册请求消息进行安全性保护,即发送的是受保护的注册请求消息)。
第二移动性管理网元在接收到受保护的注册请求消息后,向第一移动性管理网元发送上下文请求消息,用于请求终端在第一制式系统的安全上下文,例如包括第一制式系统的根密钥等。
第一移动性管理网元在接收到上下文请求消息后,首先需要对该上下文请求消息中的内容进行验证,当验证成功时,向第二移动性管理网元返回终端的安全上下文。在具体实现中,例如可以是对该上下文请求消息中的特定内容进行验证,该特定内容可以是由终端发送至第二移动性管理网元,然后由第二移动性管理网元携带于上下文请求消息中发送至第一移动性管理网元的。这里,该第二移动性管理网元分两种情形。
第一种情形是,该第一移动性管理网元支持对特定内容进行验证,不支持对注册请求消息进行验证。
本申请中,该特定内容可以为位置更新请求消息。该情形下,终端在向第二移动性管理网元发送受保护的注册请求消息时,还需要发送受保护的位置更新请求消息,然后由第二移动性管理网元将该位置更新请求消息携带于上下文请求消息中发送给第一移动性管理网元,由第一移动性管理网元对该位置更新请求消息进行验证。若验证成功,第一移动性管理网元则向第二移动性管理网元发送终端的安全上下文。
第二种情形是,该第一移动性管理网元不仅支持对特定内容进行验证,还支持对注册请求消息进行验证。
该情形下,终端向第二移动性管理网元发送受保护的注册请求消息时,可以不发送上述特定内容,即不发送位置更新请求消息。第二移动性管理网元可以将受保护的注册请求消息携带于上下文请求消息中发送至第一移动性管理网元,然后,第一移动性管理网元可以对该注册请求消息进行验证。若验证成功,第一移动性管理网元则向第二移动性管理网元发送终端的安全上下文。
下面结合附图1-图4,对上述过程进行具体说明。
为方便说明,下面以第一制式系统为4G,第一移动性管理网元为MME,第二制式系统为5G,第二移动性管理网元为AMF网元为例进行说明。即终端是从4G的MME切换至5G的AMF网元,并且进一步地还将AMF网元简称为AMF。
本申请后续任何地方提到的4G均可替换为第一制式系统,MME可以替换为第一移动性管理网元,5G可以替换为第二制式系统,AMF可以替换为第二移动性管理网元。这里做统一说明,后续不再赘述。
对于第一制式系统和第二制式系统为其它系统,以及第一移动性管理网元和第二移动性管理网元为相应的系统下的移动性管理网元的情形,与第一制式系统为4G,第一移动性管理网元为MME,第二制式系统为5G,第二移动性管理网元为AMF时的具体实现方式类似,可参考相应的描述。
如图2所示,为本申请提供的一种消息保护方法,该方法可以针对上述第一移动性管理网元的第一种情形,即第一移动性管理网元支持对位置更新请求消息进行验证,不支持对注册请求消息进行验证;该方法也可以针对上述第一移动性管理网元的第二种情形,即第一移动性管理网元既支持对位置更新请求进行验证,也支持对注册请求消息进行验证。
图2所示的方法包括以下步骤:
步骤201,终端根据注册请求消息和完整性保护密钥生成第二消息认证码(message authentication code,MAC),以及,根据位置更新请求消息和完整性保护密钥,生成第一MAC。
具体地,首先,终端生成注册请求消息,然后根据注册请求消息生成位置更新请求消息,该位置更新请求消息是MME可以识别的消息。
也可以理解为,该注册请求消息是MME不能识别的,终端将注册请求消息转换了一种格式,得到了MME可以识别的位置更新请求消息。作为一种具体实现方式,例如,在4G中,该位置更新请求消息可以是追踪区更新(tracking area update,TAU)请求消息。
上述注册请求消息用于请求注册至第二制式系统(该实施例中指的是5G),具体地,该注册请求消息可用于请求5G登记终端的当前位置信息。
同样地,该位置更新请求消息也是请求注册至5G,具体地,该位置更新请求消息可用于请求5G登记终端的当前位置信息。
然后,终端根据注册请求消息和完整性保护密钥生成第二MAC,在生成了第二MAC之后,将该第二MAC的值填充于注册请求消息的相应字段中,得到受保护的注册请求消息。也可以理解为,受保护的注册请求消息中包括该第二MAC。
终端生成的上述第二MAC可用于对注册请求消息进行验证,具体地,AMF可以根据该第二MAC对注册请求消息进行验证。进一步的,AMF可以根据验证的结果来决定是否推演根密钥。
然后,终端根据位置更新请求消息和完整性保护密钥生成第一MAC,在生成了第一MAC之后,将该第一MAC的值填充于位置更新请求消息的相应字段中,得到受保护的位置更新请求消息。也可以理解为,受保护的位置更新请求消息中包括该第一MAC。
终端生成的上述第一MAC可用于对位置更新请求消息进行验证,具体地,MME可以根据该第一MAC对位置更新请求消息进行验证。进一步的,MME可以根据验证的结果来决定是否向AMF发送终端的安全上下文。也可以理解为,该位置更新请求消息可由MME用来验证终端的合法性,具体地,若MME对该位置更新请求消息验证成功,则MME认为该位置更新请求消息没有被篡改过,也可以理解为MME认为终端是合法的,或者,也可以理解为MME认为AMF是合法的;若验证失败,则MME认为该位置更新请求消息被篡改过,也可以理解为MME认为终端是不合法的,或者,也可以理解为MME认为AMF是不合法的。
上述完整性保护密钥为MME与终端进行通信的完整性保护密钥,该完整性保护密钥由4G的根密钥推演得到。例如,4G中的根密钥可以称为Kasme。
需要说明的是,本申请不限定上述生成第一MAC和上述生成第二MAC之间的时序关系,即可能先生成第一MAC,也可能先生成第二MAC,还可能同时生成第一MAC和第二MAC。
下面给出几种终端根据注册请求消息和完整性保护密钥生成第二MAC的具体实现方式:
方式一,终端根据注册请求消息和完整性保护密钥,生成第二MAC。
方式二,终端根据注册请求消息、位置更新请求消息和完整性保护密钥,生成第二MAC。
方式三,终端根据注册请求消息、位置更新请求消息、第一MAC和完整性保护密钥,生成第二MAC。
方式四,终端根据注册请求消息、第一MAC和完整性保护密钥,生成第二MAC。
在具体应用中,可以灵活选择上述四种方法中的任一种生成第二MAC。需要说明的是,上述只是作为示例给出了几种生成第二MAC的方法,在具体使用中,不限于使用上述几种方式,还可以使用其它方式生成第二MAC。
步骤202,终端向AMF发送受保护的注册请求消息和受保护的位置更新请求消息,相应地,AMF接收来自终端的受保护的注册请求消息和受保护的位置更新请求消息。
作为一种实现方式,该受保护的注册请求消息和受保护的位置更新请求消息可以是携带于同一个消息中发送至AMF。
作为又一种实现方式,该受保护的注册请求消息和受保护的位置更新请求消息还可以是分别发送至AMF。
通过上述步骤201-步骤202,当终端准备从4G切换至5G时,终端上可能还没有5G的安全上下文,因此,本申请方法中,终端使用4G的终端的安全上下文中的完整性保护密钥对注册请求消息和位置更新请求消息进行完整性保护,该注册请求消息和位置更新请求消息均为触发切换的消息。因此,该步骤201-步骤202实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
进一步地,针对AMF侧和MME侧,可选地,图2所示的方法还可以包括以下步骤:
步骤203,AMF向MME发送上下文请求(context request)消息,相应地,MME接收来自AMF的上下文请求消息。
该上下文请求消息包括受保护的位置更新请求消息,上下文请求消息用于请求终端的安全上下文。
通过上述步骤203,MME从AMF接收到的上下文请求消息中包括的是受保护的位置更新请求消息,该位置更新请求消息为触发切换的消息。该步骤203实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
步骤204,MME验证位置更新请求消息。
具体地,MME从上下文请求消息中获取到受保护的位置更新请求消息,并从受保护的位置更新请求消息中获取到位置更新请求消息和第一MAC。然后根据第一MAC,对位置更新请求消息进行验证。
具体地,MME根据位置更新请求消息和完整性保护密钥,生成一个MAC,如果生成的该MAC与第一MAC相同,则验证成功;如果不同,则验证失败。
若MME验证位置更新请求消息成功,则执行步骤205-步骤206。若MME验证位置更新请求消息失败,MME可以通知AMF:MME对位置更新请求消息验证失败,然后AMF可以向终端发送注册拒绝消息。
步骤205,MME向AMF发送上下文响应消息,相应地,AMF接收来自MME的上下文响应消息。
该上下文响应消息包括终端的安全上下文,终端的安全上下文包括4G的根密钥。其中,4G的根密钥也可以称为接入安全管理实体的密钥(key of access securitymanagement entity,Kasme)。这里,接入安全管理实体(access security managemententity,ASME)是从归属服务器(home subscriber server,HSS)接收顶层密钥的实体,其中,该顶层密钥可用于推演接入网密钥。从4G接入网的角度看,ASME的角色由MME来承担,即可以理解为,MME具有ASME的功能,例如,ASME可以是MME的一个逻辑功能单元或物理功能单元。
可选地,该上下文响应消息中包括的终端的安全上下文还可以包括以下至少一项:终端和MME之间进行通信时使用的非接入层(non access stratum,NAS)加密密钥,终端和MME之间进行通信时使用的NAS完整性保护密钥(即4G的完整性保护密钥),终端和MME之间进行通信时使用的加密算法,终端和MME之间进行通信时使用的完整性保护算法等。
由于MME对位置更新请求消息验证成功,则认为位置更新请求消息是合法的,或者认为终端是合法的,因而将终端的安全上下文携带于上下文响应消息中发送给AMF。
进一步地,可选地,还包括:
步骤206,AMF验证注册请求消息。
具体地,AMF从受保护的注册请求消息中获取注册请求消息和第二MAC,并根据第二MAC对注册请求消息的合法性进行验证。
具体地,AMF根据完整性保护密钥和注册请求消息,生成一个MAC,如果生成的该MAC与第二MAC相同,则验证成功;如果不同,则验证失败。
若AMF验证注册请求消息成功,则可以执行步骤207-211。若AMF验证注册请求消息失败,AMF可以向终端发送注册拒绝消息。
需要说明的是,AMF根据完整性保护密钥和注册请求消息生成一个MAC的具体方法,应与终端生成第二MAC的方法相同。即,如果终端采用上述提到的四种方法的某种方法生成第二MAC,则AMF应采用相同的方法生成一个MAC。
进一步,还需要说明的是,AMF在生成MAC时使用到的完整性保护密钥,即为终端生成第二MAC时使用的完整性保护密钥,也即为4G的完整性保护密钥。AMF获取该完整性保护密钥的方式包括但不限于以下方式:
方式一,步骤205的上下文响应消息中携带该完整性保护密钥。
方式二,步骤205的上下文响应消息中携带4G的根密钥,AMF根据4G的根密钥推演得到该完整性保护密钥。
步骤207,AMF根据4G的根密钥生成5G的根密钥。
该5G的根密钥(也可以称为接入和移动性管理功能网元的密钥(key of accessand mobility management function,Kamf),可用于推演终端在5G的通信中需要使用的其它密钥,比如5G的NAS加密密钥,5G的NAS完整性保护密钥,等等。
进一步地,可选地,还包括:
步骤208,AMF向终端发送命令消息,相应地,终端接收来自AMF的命令消息。
该命令消息用于通知终端根据4G的根密钥推演5G的根密钥。作为一种实现方式,该命令消息例如可以是非接入层安全模式命令(non access stratum security modecommand,NAS SMC)消息。
步骤209,终端根据4G的根密钥推演得到5G的根密钥。
该终端根据4G的根密钥推演得到5G的根密钥的方法,与AMF根据4G的根密钥推演得到5G的根密钥的方法相同,从而终端推演得到的5G的根密钥与AMF生成的5G的根密钥相同。
通过上述步骤207-步骤209,实现了终端和AMF都推演得到了相同的5G的根密钥,以便于分别进一步推演得到其它用于通信的密钥,比如5G的NAS加密密钥,5G的NAS完整性保护密钥,等等。
进一步,可选地,还包括以下步骤:
步骤210,终端向AMF发送完成消息,相应地,AMF接收来自终端的完成消息。
该完成消息用于通知AMF非接入层安全已激活。例如,该完成消息可以是非接入层安全模式完成(non access stratum security mode complete,NAS SMP)消息。
进一步,可选地,还包括以下步骤:
步骤211,AMF向终端发送注册接受(registration accept)消息,相应地,终端接收来自AMF的注册接受消息。
该注册接受消息用于通知终端注册成功或注册完成。
本申请上述实施例,一方面实现了由终端对发送的触发切换的消息(包括注册请求消息和位置更新请求消息)进行完整性保护,有助于提升通信的安全性;另一方面,还实现了终端和切换后的5G系统之间的根密钥的推演,从而终端和5G可使用5G的根密钥作为基础进行通信,可进一步提升通信的安全性。
如图3所示,为本申请提供的一种消息保护方法,该方法可以针对上述第一移动性管理网元的第二种情形,即第一移动性管理网元不仅支持对位置更新请求消息进行验证,还支持对注册请求消息进行验证。
图3所示的方法包括以下步骤:
步骤301,终端根据注册请求消息和完整性保护密钥生成MAC。
上述注册请求消息用于请求注册至第二制式系统(该实施例中指的是5G),具体地,该注册请求消息可用于请求5G登记终端的当前位置信息。并且,该注册请求消息是MME可以识别的。
具体地,终端根据注册请求消息和完整性保护密钥生成MAC,在生成了MAC之后,将该MAC的值填充于注册请求消息的相应字段中,得到受保护的注册请求消息。也可以理解为,受保护的注册请求消息中包括该MAC。
终端生成的上述MAC可用于对注册请求消息进行验证,具体地,由MME根据该MAC对注册请求消息进行验证,并根据验证的结果来决定是否向AMF发送终端的安全上下文。也可以理解为,该注册请求消息可由MME用来验证终端的合法性,若MME对该注册请求消息验证成功,则MME认为该注册请求消息没有被篡改过,也可以理解为MME认为终端是合法的,或者,也可以理解为MME认为AMF是合法的;若验证失败,则MME认为该注册请求消息被篡改过,也可以理解为MME认为终端是不合法的,或者,也可以理解为MME认为AMF是不合法的。
上述完整性保护密钥为MME与终端进行通信的完整性保护密钥。该完整性保护密钥由4G的根密钥推演得到。例如,4G中的根密钥可以称为Kasme。
步骤302,终端向AMF发送受保护的注册请求消息,相应地,AMF接收来自终端的受保护的注册请求消息。
通过上述步骤301-步骤302,当终端准备从4G切换至5G时,终端上可能还没有5G的安全上下文,因此,本申请方法中,终端使用4G的安全上下文中的完整性保护密钥对注册请求消息进行完整性保护,该注册请求消息为触发切换的消息。因此,该步骤301-步骤302实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
进一步地,针对AMF侧和MME侧,可选地,图3所示的方法包括以下步骤:
步骤303,AMF向MME发送上下文请求(context request)消息,相应地,MME接收来自AMF的上下文请求消息。
该上下文请求消息包括受保护的注册请求消息,上下文请求消息用于请求终端的安全上下文。
通过上述步骤303,MME从AMF接收到的上下文请求消息中包括的是受保护的注册请求消息,该注册请求消息为触发切换的消息。该步骤303实现了对触发切换的消息进行安全性保护,进而有利于提升通信的安全性。
步骤304,MME验证注册请求消息。
MME从上下文请求消息中获取到受保护的注册请求消息,并从受保护的注册请求消息中获取到注册请求消息和MAC。然后根据该MAC,对注册请求消息进行验证。
具体地,MME根据注册请求消息和完整性保护密钥,生成一个MAC,如果生成的该MAC与从受保护的注册请求消息中获取到的MAC相同,则验证成功;如果不同,则验证失败。
若MME验证注册请求消息成功,则执行步骤305-步骤310。若MME验证注册请求消息失败,MME可以通知AMF:MME对位置更新请求消息验证失败,然后AMF可以向终端发送注册拒绝消息。
需要说明的是,MME根据完整性保护密钥和注册请求消息生成一个MAC的具体方法,应与终端生成MAC的方法相同。
步骤305,MME根据4G的根密钥推演得到5G的根密钥。
该5G的根密钥(也可以称为Kamf),可用于推演AMF和终端在5G的通信中需要使用的其它密钥,比如5G的NAS加密密钥,5G的NAS完整性保护密钥,等等。
步骤306,MME向AMF发送上下文响应消息,相应地,AMF接收来自MME的上下文响应消息。
该上下文响应消息包括终端的安全上下文,终端的安全上下文包括5G的根密钥。其中,可选地,该上下文响应消息中包括的终端的安全上下文还可以包括终端的安全能力等。
由于MME对注册请求消息验证成功,则认为注册请求消息是合法的,或者认为终端是合法的,因而将终端的安全上下文携带于上下文响应消息中发送给AMF。
作为一种可替代的实现方式,上述步骤305和步骤306作为一个整体,可由以下步骤305’和步骤306’替换。
步骤305’,MME向AMF发送上下文响应消息,相应地,AMF接收来自MME的上下文响应消息。
该上下文响应消息包括终端的安全上下文,终端的安全上下文包括4G的根密钥。
步骤306’,AMF根据4G的根密钥推演得到5G的根密钥。
上述步骤305’-步骤306’的方案与上述步骤305-步骤306的方案的主要区别在于:上述步骤305-步骤306的方案是由MME推演得到5G的根密钥并发送给AMF;而上述步骤305’-步骤306’的方案是由MME将4G的根密钥发送给AMF,然后AMF根据4G的根密钥推演得到5G的根密钥。
进一步地,可选地,还包括:
步骤307,AMF向终端发送命令消息,相应地,终端接收来自AMF的命令消息。
该命令消息用于通知终端根据4G的根密钥推演5G的根密钥。作为一种实现方式,该命令消息例如可以是NAS SMC消息。
步骤308,终端根据4G的根密钥推演得到5G的根密钥。
该终端根据4G的根密钥推演得到5G的根密钥的方法,与AMF或MME根据4G的根密钥推演得到5G的根密钥的方法相同,从而终端推演得到的5G的根密钥与AMF或MME推演得到的5G的根密钥相同。
通过上述步骤305-步骤308,实现了终端和AMF使用相同的5G的根密钥,以便于分别进一步推演得到其它用于通信的密钥,比如5G的NAS加密密钥,5G的NAS完整性保护密钥,等等。
进一步,可选地,还包括以下步骤:
步骤309,终端向AMF发送完成消息,相应地,AMF接收来自终端的完成消息。
该完成消息用于通知AMF非接入层安全已激活。例如,该完成消息可以是NAS SMP消息。
进一步,可选地,还包括以下步骤:
步骤310,AMF向终端发送注册接受(registration accept)消息,相应地,终端接收来自AMF的注册接受消息。
该注册接受消息用于通知终端注册成功或注册完成。
本申请上述实施例,一方面实现了由终端对发送的触发切换的消息(包括注册请求消息)进行完整性保护,有助于提升通信的安全性;另一方面,还实现了终端和切换后的5G系统之间的根密钥的推演,从而终端和5G可使用5G的根密钥作为基础进行通信,可进一步提升通信的安全性。进一步地,本申请实施例,终端只发送注册请求消息,不发送位置更新请求消息,由MME对注册请求消息进行验证,因而可以节约开销,有利于提升系统性能。
在具体实现中,如果MME能对特定内容,比如位置更新请求消息进行验证,但不能对注册请求消息进行验证,则可以采用上述图2所示的实施例,即携带注册请求消息,还携带位置更新请求消息。该情形中的MME一般是未升级的MME,即未升级的MME只能对特定内容进行验证。这里,未升级的MME指4G中的MME,该MME和AMF的交互方式,与该MME和其他MME的交互方式相同,或者可以理解为,该MME将AMF视为一个MME。
如果MME可以对除特定内容之外的其它信息,如本申请中的注册请求消息进行验证,则可以采用图3所示的实施例,即不需要位置更新请求消息,而只携带注册请求消息。该情形中的MME一般是升级过的MME,即升级过的MME不仅可以对特定内容进行验证,还可以对其它信息,如本申请中的注册请求消息进行验证。
在一种实现方式中,可以是预先配置终端采用上述图2所示的实现方式,或者是预先配置终端采用上述图3所示的实现方式。在该实现方式中,终端无需关注MME的具体类型(是升级过的MME,还是未升级的MME),只需要根据预先配置的方式执行即可。
作为又一实现方式中,还可以是终端自己判断采用图2或图3所示的实现方式。例如,参考图4,为本申请提供的又一种消息保护方法。
终端判断是否需要携带位置更新请求消息。若终端确定需要携带位置更新请求消息,则执行上述图2所示的实施例,即执行步骤201-步骤211。若终端确定不需要携带位置更新请求消息,则执行上述图3所示的实施例,即执行步骤301-步骤310。
该实施例,终端在执行本申请的消息保护方法之前,先判断是否需要携带位置更新请求消息,然后再采用相应的方法执行。因此,不管MME是否升级过,图4所示的方法均适用,因而比较灵活。
具体地,终端可以通过以下方式判断是否需要携带位置更新请求消息:
终端判断MME是否具备验证5G的注册请求消息的完整性的能力,若确定MME不具备验证5G的注册请求消息的完整性的能力,则确定需要发送位置更新请求消息,如确定MME具备验证5G的注册请求消息的完整性的能力,则确定不需要发送位置更新请求消息。
其中,作为一种实现方式,终端判断MME是否具备验证5G的注册请求消息的完整性的能力的方式,例如可以是:
终端在首次接入4G网络时,由于发送的附着请求(attach request)消息中会携带终端的4G安全能力和5G安全能力,当MME完成对终端的鉴权后会向终端发送NAS SMC消息以激活MME和终端间的NAS安全,其中NAS SMC消息中包含了终端在附着请求中携带的安全能力。如果MME是个升级过的MME,由于其可以识别终端的5G安全能力,则其会将终端的4G安全能力和5G安全能力全部通过NAS SMC发回给终端(供终端验证);如果MME没有升级过,由于其不能识别终端的5G安全能力,则只会将终端的4G安全能力通过NAS SMC消息发回给终端。因此终端可以根据收到的NAS SMC消息中是否包括终端的5G安全能力,来判断该MME是否升级过,也即判断MME是否具备验证5G的注册请求消息的完整性的能力。
如果NAS SMC消息中包括终端的5G安全能力,表明MME升级过,进而该MME具备验证5G的注册请求消息的完整性的能力。
如果NAS SMC消息中不包括终端的5G安全能力,表明MME未升级,进而该MME不具备验证5G的注册请求消息的完整性的能力。
需要说明的是,本申请对上述任一实施例中使用的消息名称不做限定。例如,上述注册请求消息还可以称为请求消息、注册请求、第一消息等;上述位置更新请求消息还可以称为位置更新请求消息、更新请求消息、上报消息等;上述上下文请求消息还可以称为请求消息、上下文消息等,上述上下文响应消息还可以称为响应消息、反馈消息;上述命令消息还可以称为通知消息、反馈消息等。随着通信技术的演变,上述消息的名称可能会改变,但只要符合本申请对于各个消息的功能的定义,均应落入本申请的保护范围。
上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是,上述实现各网元为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在采用集成的单元的情况下,图5示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置500可以以软件的形式存在,也可以为移动性管理网元,还可以为移动性管理网元中的芯片。装置500包括:处理单元502和通信单元503。处理单元502用于对装置500的动作进行控制管理。通信单元503用于支持装置500与其他网络实体(例如终端、其它移动性管理网元)的通信。装置500还可以包括存储单元501,用于存储装置500的程序代码和数据。
其中,处理单元502可以是处理器或控制器,例如可以是通用中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理(digital signal processing,DSP),专用集成电路(application specific integrated circuits,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元503可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:移动性管理网元和终端之间的接口,移动性管理网元和其它移动性管理网元之间的接口,和/或其他接口。存储单元501可以是存储器。
上述图5所示的装置500可以是本申请所涉及的第一移动性管理网元,或者可以是本申请所涉及的第二移动性管理网元。
当装置500为第一移动性管理网元时,处理单元502可以支持装置500执行上文中各方法示例中MME的动作,例如,处理单元502用于支持装置500执行图2和图4中的步骤204,图3和图4中的步骤304和步骤305,和/或用于本文所描述的技术的其它过程。通信单元503可以支持装置500与第二移动性管理网元或其它网元之间的通信,例如,通信单元503用于支持装置500执行图2和图4中的步骤203和步骤205,图3和图4中的步骤303和步骤306。
当装置500为第二移动性管理网元时,处理单元502可以支持装置500执行上文中各方法示例中AMF的动作,例如,处理单元502用于支持装置500执行图2和图4中的步骤206和步骤207。通信单元503可以支持装置500与终端、第一移动性管理网元、或其它网元之间的通信。例如,通信单元503可以支持装置500执行图2和图4中的步骤202、步骤203、步骤205、步骤208、步骤210和步骤211,图3和图4中的步骤302、步骤303、步骤306、步骤307、步骤309和步骤310。
当处理单元502为处理器,通信单元503为通信接口,存储单元501为存储器时,本发明实施例所涉及的装置500可以为图6所示的移动性管理网元600。
参阅图6所示,该移动性管理网元600包括:处理器602、通信接口603、存储器601。可选的,移动性管理网元600还可以包括总线604。其中,通信接口603、处理器602以及存储器601可以通过总线604相互连接;总线604可以是外设部件互连标准(peripheralcomponent interconnect,简称PCI)总线或扩展工业标准结构(extended industrystandard architecture,简称EISA)总线等。所述总线604可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图7示出了本发明实施例中所涉及的又一种装置的可能的示例性框图,该装置700可以以软件的形式存在,也可以为终端,还可以为终端中的芯片。装置700包括:处理单元702和通信单元703。处理单元702用于对装置700的动作进行控制管理,例如,处理单元702用于支持装置700执行图2和图4中的步骤201和步骤209,图3和图4中的步骤301和步骤308,以及,图4中的“判断是否需要发送位置更新请求消息”的步骤,和/或用于本文所描述的技术的其它过程。通信单元703用于支持装置700与其他网络实体(例如第二移动性管理网元)的通信。例如,通信单元703用支持装置700执行图2和图4中的步骤202、步骤208、步骤210和步骤211,图3和图4中的步骤302、步骤307、步骤309和步骤310。装置700还可以包括存储单元701,用于存储装置700的程序代码和数据。
其中,处理单元702可以是处理器或控制器,例如可以是通用CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元703可以是通信接口、收发器或收发电路等。存储单元701可以是存储器。
当处理单元702为处理器,通信单元703为收发器,存储单元701为存储器时,本发明实施例所涉及的装置700可以为图8所示的终端。
图8示出了本发明实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端800包括发射器801,接收器802和处理器803。其中,处理器803也可以为控制器,图8中表示为“控制器/处理器803”。可选的,所述终端800还可以包括调制解调处理器805,其中,调制解调处理器805可以包括编码器806、调制器807、解码器808和解调器809。
在一个示例中,发射器801调节(例如,模拟转换、滤波、放大和上变频等)输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的基站。在下行链路上,天线接收上述实施例中基站发射的下行链路信号。接收器802调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器805中,编码器806接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器807进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器809处理(例如,解调)该输入采样并提供符号估计。解码器808处理(例如,解交织和解码)该符号估计并提供发送给终端800的已解码的数据和信令消息。编码器806、调制器807、解调器809和解码器808可以由合成的调制解调处理器805来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。需要说明的是,当终端800不包括调制解调处理器805时,调制解调处理器805的上述功能也可以由处理器803完成。
处理器803对终端800的动作进行控制管理,用于执行上述本发明实施例中由终端800进行的处理过程。例如,处理器803还用于执行图2-图4所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。
进一步的,终端800还可以包括存储器804,存储器804用于存储用于终端800的程序代码和数据。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于终端设备中。可选地,处理器和存储媒介也可以设置于终端设备中的不同的部件中。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (27)
1.一种消息保护方法,其特征在于,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,所述第二制式系统包括第二移动性管理网元,所述方法包括:
所述终端根据注册请求消息和完整性保护密钥生成第二消息认证码MAC,根据位置更新请求消息和所述完整性保护密钥生成第一MAC;其中,所述注册请求消息用于请求注册至所述第二制式系统,所述完整性保护密钥为所述第一移动性管理网元与所述终端进行通信的完整性保护密钥,所述第一MAC用于对所述位置更新请求消息进行验证,所述第二MAC用于对所述注册请求消息进行验证;
所述终端向所述第二移动性管理网元发送受保护的所述注册请求消息和受保护的所述位置更新请求消息,所述受保护的所述注册请求消息包括所述第二MAC,所述受保护的所述位置更新请求消息包括所述第一MAC。
2.根据权利要求1所述的方法,其特征在于,所述终端根据注册请求消息和所述完整性保护密钥生成第二MAC,包括:
所述终端根据所述注册请求消息、所述位置更新请求消息和所述完整性保护密钥,生成所述第二MAC;或者,
所述终端根据所述注册请求消息、所述位置更新请求消息、所述第一MAC和所述完整性保护密钥,生成所述第二MAC;或者,
所述终端根据所述注册请求消息、所述第一MAC和所述完整性保护密钥,生成所述第二MAC。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述终端接收来自所述第二移动性管理网元的命令消息,所述命令消息用于通知所述终端根据所述第一制式系统的根密钥推演所述第二制式系统的根密钥。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述终端根据注册请求消息和完整性保护密钥生成第二MAC之前,还包括:
所述终端确定需要发送所述位置更新请求消息。
5.根据权利要求4所述的方法,其特征在于,所述终端确定需要发送所述位置更新请求消息,包括:
所述终端若确定所述第一移动性管理网元不具备验证所述第二制式系统的注册请求消息的完整性的能力,则确定需要发送所述位置更新请求消息。
6.一种消息保护方法,其特征在于,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,所述第二制式系统包括第二移动性管理网元,所述方法包括:
所述终端根据注册请求消息和完整性保护密钥生成消息认证码MAC,所述注册请求消息用于请求注册至所述第二制式系统,所述完整性保护密钥为所述第一移动性管理网元与所述终端进行通信的完整性保护密钥,所述MAC用于对所述注册请求消息进行验证;
所述终端向所述第二移动性管理网元发送受保护的所述注册请求消息,所述受保护的所述注册请求消息包括所述MAC。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
所述终端接收来自所述第二移动性管理网元的命令消息,所述命令消息用于通知所述终端根据所述第一制式系统的根密钥推演所述第二制式系统的根密钥。
8.根据权利要求6或7所述的方法,其特征在于,所述终端根据注册请求消息和完整性保护密钥生成MAC之前,还包括:
所述终端确定不需要发送位置更新请求消息。
9.根据权利要求8所述的方法,其特征在于,所述终端确定不需要发送所述位置更新请求消息,包括:
所述终端若确定所述第一移动性管理网元具备验证所述第二制式系统的注册请求消息的完整性的能力,则确定不需要发送所述位置更新请求消息。
10.一种消息保护方法,其特征在于,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,所述第二制式系统包括第二移动性管理网元,所述方法包括:
所述第二移动性管理网元接收来自所述终端的受保护的位置更新请求消息和受保护的注册请求消息,所述受保护的位置更新请求消息包括第一消息认证码MAC,所述受保护的注册请求消息包括第二MAC,所述第一MAC是根据位置更新请求消息和完整性保护密钥生成的,所述第一MAC用于对所述位置更新请求消息进行验证,所述第二MAC是根据注册请求消息和所述完整性保护密钥生成的,所述第二MAC用于对所述注册请求消息进行验证,所述注册请求消息用于请求注册至所述第二制式系统,所述完整性保护密钥为所述第一移动性管理网元与所述终端进行通信的完整性保护密钥;
所述第二移动性管理网元向所述第一移动性管理网元发送上下文请求消息,所述上下文请求消息包括所述受保护的位置更新请求消息,所述上下文请求消息用于请求所述终端的安全上下文;
所述第二移动性管理网元接收来自所述第一移动性管理网元的上下文响应消息,所述上下文响应消息包括所述终端的安全上下文;
所述第二移动性管理网元根据所述第二MAC和所述终端的安全上下文,对所述注册请求消息进行验证。
11.根据权利要求10所述的方法,其特征在于,所述终端的安全上下文包括所述完整性保护密钥;所述第二移动性管理网元根据所述第二MAC和所述终端的安全上下文,对所述注册请求消息进行验证,包括:
所述第二移动性管理网元根据所述第二MAC和所述完整性保护密钥,对所述注册请求消息进行验证。
12.根据权利要求10所述的方法,其特征在于,所述终端的安全上下文包括所述第一制式系统的根密钥,所述方法还包括:
所述第二移动性管理网元根据所述第一制式系统的根密钥推演得到所述完整性保护密钥;
所述第二移动性管理网元根据所述第二MAC和所述终端的安全上下文,对所述注册请求消息进行验证,包括:
所述第二移动性管理网元根据所述第二MAC和所述完整性保护密钥,对所述注册请求消息进行验证。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
所述第二移动性管理网元根据所述第一制式系统的根密钥推演得到所述第二制式系统的根密钥。
14.根据权利要求10至13中任一项所述的方法,其特征在于,所述方法还包括:
所述第二移动性管理网元若对所述注册请求消息验证成功,则向所述终端发送命令消息,所述命令消息用于通知所述终端根据所述第一制式系统的根密钥推演所述第二制式系统的根密钥。
15.一种消息保护方法,其特征在于,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,所述第二制式系统包括第二移动性管理网元,所述方法包括:
所述第二移动性管理网元接收来自所述终端的受保护的注册请求消息,所述受保护的注册请求消息包括消息认证码MAC,所述MAC是根据注册请求消息和完整性保护密钥生成的,所述注册请求消息用于请求注册至所述第二制式系统,所述完整性保护密钥为所述第一移动性管理网元与所述终端进行通信的完整性保护密钥;
所述第二移动性管理网元向所述第一移动性管理网元发送上下文请求消息,所述上下文请求消息包括所述受保护的注册请求消息,所述上下文请求消息用于请求所述终端的安全上下文;
所述第二移动性管理网元接收来自所述第一移动性管理网元的上下文响应消息,所述上下文响应消息包括所述终端的安全上下文。
16.根据权利要求15所述的方法,其特征在于,所述终端的安全上下文包括所述第二制式系统的根密钥,所述第二制式系统的根密钥是根据所述第一制式系统的根密钥推演得到的;或者,
所述终端的安全上下文包括所述第一制式系统的根密钥;所述方法还包括:
所述第二移动性管理网元根据所述第一制式系统的根密钥推演得到所述第二制式系统的根密钥。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括:
所述第二移动性管理网元向所述终端发送命令消息,所述命令消息用于通知所述终端根据所述第一制式系统的根密钥推演所述第二制式系统的根密钥。
18.一种消息保护方法,其特征在于,应用于终端从第一制式系统切换至第二制式系统,所述第一制式系统包括第一移动性管理网元,所述第二制式系统包括第二移动性管理网元,所述方法包括:
所述第一移动性管理网元接收来自所述第二移动性管理网元的上下文请求消息,所述上下文请求消息包括受保护的注册请求消息,所述受保护的注册请求消息包括消息认证码MAC,所述MAC是根据注册请求消息和完整性保护密钥生成的,所述完整性保护密钥为所述第一移动性管理网元与所述终端进行通信的完整性保护密钥,所述注册请求消息用于为所述终端请求注册至所述第二制式系统,所述上下文请求消息用于请求所述终端的安全上下文;
所述第一移动性管理网元根据所述MAC和所述完整性保护密钥,对所述注册请求消息进行验证;
所述第一移动性管理网元若对所述注册请求消息验证成功,则向所述第二移动性管理网元发送上下文响应消息,所述上下文响应消息包括所述终端的安全上下文。
19.根据权利要求18所述的方法,其特征在于,所述终端的安全上下文包括所述第一制式系统的根密钥;或者,
所述方法还包括:所述第一移动性管理网元根据所述第一制式系统的根密钥推演得到所述第二制式系统的根密钥;其中,所述终端的安全上下文包括所述第二制式系统的根密钥。
20.一种装置,应用于终端,其特征在于,包括:用于执行权利要求1至9任一项所述方法中各个步骤的单元。
21.一种终端,其特征在于,包括如权利要求20所述的装置。
22.一种移动性管理网元,其特征在于,包括:用于执行权利要求10至17任一项所述方法中各个步骤的单元。
23.根据权利要求22所述的移动性管理网元,其特征在于,所述移动性管理网元为接入和移动性管理功能AMF网元。
24.一种移动性管理网元,其特征在于,包括:用于执行权利要求18或19所述方法中各个步骤的单元。
25.根据权利要求24所述的移动性管理网元,其特征在于,所述移动性管理网元为移动性管理实体MME。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1至19中任一项所述的方法。
27.一种计算机程序产品,其特征在于,所述计算机程序产品中包括指令,当其在计算机上运行时,使得计算机执行权利要求1至19中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810089074.5A CN110099382B (zh) | 2018-01-30 | 2018-01-30 | 一种消息保护方法及装置 |
| PCT/CN2019/073373 WO2019149168A1 (zh) | 2018-01-30 | 2019-01-28 | 一种消息保护方法及装置 |
| EP19747548.6A EP3737134A4 (en) | 2018-01-30 | 2019-01-28 | MESSAGE PROTECTION PROCESS AND DEVICE |
| US16/941,769 US11533609B2 (en) | 2018-01-30 | 2020-07-29 | Message protection method and apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810089074.5A CN110099382B (zh) | 2018-01-30 | 2018-01-30 | 一种消息保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110099382A true CN110099382A (zh) | 2019-08-06 |
| CN110099382B CN110099382B (zh) | 2020-12-18 |
Family
ID=67442754
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810089074.5A Active CN110099382B (zh) | 2018-01-30 | 2018-01-30 | 一种消息保护方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11533609B2 (zh) |
| EP (1) | EP3737134A4 (zh) |
| CN (1) | CN110099382B (zh) |
| WO (1) | WO2019149168A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022067815A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| CN114762372A (zh) * | 2019-12-13 | 2022-07-15 | 华为技术有限公司 | 通信方法、装置及系统 |
| CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866867B (zh) * | 2019-04-28 | 2022-01-14 | 华为技术有限公司 | 信息获取方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094497A (zh) * | 2006-01-06 | 2007-12-26 | 华为技术有限公司 | 移动用户在不同接入系统间切换的方法 |
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101848443A (zh) * | 2009-03-27 | 2010-09-29 | 华为技术有限公司 | 通信业务切换处理方法、网络系统与互通功能实体 |
| US20150334626A1 (en) * | 2011-08-11 | 2015-11-19 | Mediatek Inc. | Method of Heterogeneous Network Mobility |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7280546B1 (en) * | 2002-11-25 | 2007-10-09 | Utstarcom, Inc. | Method and system for providing wireless internet protocol access |
| CN102187599B (zh) * | 2008-08-15 | 2015-04-01 | 三星电子株式会社 | 在移动通信系统中安全保护的非接入层面协议操作支持方法 |
| US9276909B2 (en) * | 2008-08-27 | 2016-03-01 | Qualcomm Incorporated | Integrity protection and/or ciphering for UE registration with a wireless network |
| JP5922785B2 (ja) * | 2011-11-03 | 2016-05-24 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | データセキュリティチャネル処理方法およびデバイス |
| CN103428689B (zh) * | 2012-05-16 | 2017-03-15 | 中兴通讯股份有限公司 | 密钥处理方法及装置 |
| CN102869057A (zh) * | 2012-09-21 | 2013-01-09 | 深圳市海思半导体有限公司 | 分组交换ps域的切换网络制式的方法及系统 |
| US10512005B2 (en) * | 2017-09-29 | 2019-12-17 | Nokia Technologies Oy | Security in intersystem mobility |
-
2018
- 2018-01-30 CN CN201810089074.5A patent/CN110099382B/zh active Active
-
2019
- 2019-01-28 EP EP19747548.6A patent/EP3737134A4/en active Pending
- 2019-01-28 WO PCT/CN2019/073373 patent/WO2019149168A1/zh unknown
-
2020
- 2020-07-29 US US16/941,769 patent/US11533609B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094497A (zh) * | 2006-01-06 | 2007-12-26 | 华为技术有限公司 | 移动用户在不同接入系统间切换的方法 |
| CN101378591A (zh) * | 2007-08-31 | 2009-03-04 | 华为技术有限公司 | 终端移动时安全能力协商的方法、系统及装置 |
| CN101848443A (zh) * | 2009-03-27 | 2010-09-29 | 华为技术有限公司 | 通信业务切换处理方法、网络系统与互通功能实体 |
| US20150334626A1 (en) * | 2011-08-11 | 2015-11-19 | Mediatek Inc. | Method of Heterogeneous Network Mobility |
Non-Patent Citations (2)
| Title |
|---|
| NOKIA: "Idle mode mobility from 4G to 5G", 《3GPP TSG SA WG3 (SECURITY) MEETING #89》 * |
| ZTE: "Security for idle mobility between 4G and 5G", 《3GPP TSG SA WG3 (SECURITY) MEETING #89》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114762372A (zh) * | 2019-12-13 | 2022-07-15 | 华为技术有限公司 | 通信方法、装置及系统 |
| WO2022067815A1 (zh) * | 2020-09-30 | 2022-04-07 | 华为技术有限公司 | 一种通信方法、装置及设备 |
| CN116033541A (zh) * | 2020-12-30 | 2023-04-28 | 展讯通信(上海)有限公司 | 一种网络注册方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110099382B (zh) | 2020-12-18 |
| US11533609B2 (en) | 2022-12-20 |
| US20200359202A1 (en) | 2020-11-12 |
| EP3737134A1 (en) | 2020-11-11 |
| EP3737134A4 (en) | 2021-01-27 |
| WO2019149168A1 (zh) | 2019-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110099382A (zh) | 一种消息保护方法及装置 | |
| CN109587685B (zh) | 获取密钥的方法、设备和通信系统 | |
| CN110312305A (zh) | 终端设备的位置确定方法和设备 | |
| EP2290875B1 (en) | Generating method and system for key identity identifier at the time when user device transfers | |
| CN103476030A (zh) | 移动终端连接网络的方法、移动终端与终端设备 | |
| EP3737032B1 (en) | Key updating method and apparatus | |
| CN102685730B (zh) | 一种ue上下文信息发送方法及mme | |
| CN108347728B (zh) | 一种信息处理方法及装置 | |
| KR20200086721A (ko) | 보안 보호 방법 및 장치 | |
| WO2017172381A1 (en) | Reusing a mobile network operator profile in an embedded smart card | |
| KR102276795B1 (ko) | 블록체인 기반의 무선 충전을 위한 방법 및 이 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 기록매체 | |
| CN109803350B (zh) | 一种安全通信方法和装置 | |
| CN110351725B (zh) | 通信方法和装置 | |
| ES2340507T3 (es) | Metodo y sistema para almacenar identidades temporales i-wlan. | |
| CN110784432A (zh) | 一种会话创建方法及装置 | |
| EP4135377A1 (en) | Key management method, device and system | |
| CN109803262A (zh) | 一种网络参数的传输方法及装置 | |
| CN109819439A (zh) | 密钥更新的方法及相关实体 | |
| CN104683981B (zh) | 一种验证安全能力的方法、设备及系统 | |
| CN109936444B (zh) | 一种密钥生成方法及装置 | |
| CN110149630A (zh) | 一种安全算法的协商、发送方法及装置 | |
| EP3691318B1 (en) | Key generation method, device and system | |
| JP2022548137A (ja) | エアインターフェース情報セキュリティ保護方法および装置 | |
| CN110891270A (zh) | 一种鉴权算法的选择方法和装置 | |
| CN105828330A (zh) | 一种接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |