CN110167013B - 一种通信方法及装置 - Google Patents
一种通信方法及装置 Download PDFInfo
- Publication number
- CN110167013B CN110167013B CN201810149811.6A CN201810149811A CN110167013B CN 110167013 B CN110167013 B CN 110167013B CN 201810149811 A CN201810149811 A CN 201810149811A CN 110167013 B CN110167013 B CN 110167013B
- Authority
- CN
- China
- Prior art keywords
- network element
- suci
- message
- ausf
- udm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例提供一种通信方法及装置,实现AUSF网元根据加密的SUCI从NRF网元处获取信息,根据获取的信息来寻址归属UDM网元,该方法包括:AUSF网元接收来自AMF网元的第一消息,第一消息用于向AUSF网元请求鉴权,第一消息包含用户隐藏标识SUCI,SUCI包括根据公钥生成的密文;AUSF网元向NRF网元发送第二消息,第二消息用于向NRF网元请求发现UDM网元,第二消息包含SUCI;AUSF网元接收来自NRF网元的第一寻址信息,第一寻址信息是NRF网元根据本地私钥对SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;AUSF网元根据第一寻址信息,向第一寻址信息关联的归属UDM网元发送第三消息,第三消息用于向归属UDM网元请求获取鉴权矢量,第三消息包含SUCI。
Description
技术领域
本申请涉及移动通信技术领域,尤其涉及一种通信方法及装置。
背景技术
在2/3/4G移动网络中,用户设备(user equipment,UE)在首次注册时,由于UE和网络还没有协商出用于空口加密的空口密钥,所以用户永久标识,如:国际移动用户标识符(international mobile subscriber identifier,IMSI)只能在空口明文传递。但是IMSI在空口明文传输,容易导致用户的IMSI信息被截获,从而导致用户的信息(如位置信息)被泄露。
第五代(5th generation,5G)系统及未来的通信系统中,为了解决首次注册时用户永久标识,如:用户隐藏标识(subscription concealed identifier,SUPI),在空口明文传输的安全隐患问题,首次注册时,在空口上不传输用户永久标识subscriptionpermanent identifier,SUPI),而使用用户隐藏标识(SUCI)代替SUPI。其中,SUPI的格式可以为明文的SUPI=移动网号(mobile network code MCC)+移动国家码(mobile countrycode,MNC)+移动用户识别号(mobile subscriber identification number,MSIN),SUCI的格式可以为:SUCI=MCC+MNC+加密的MSIN,即明文的MCC+明文的MNC+密文的MSIN。
由于在初始注册时使用SUCI替代了SUPI,所以5G网络中需要支持通过SUCI来寻址统一数据管理(unified data management,UDM)网元,获取用户的鉴权数据以及业务签约数据。但是,由于SUCI中的MSIN为密文,在归属存在多个UDM的情况下,仅根据MCC和MNC,只能寻址到用户的归属(如中国移动),还无法确定到用户实际归属哪一个UDM网元(如中国移动哪一个省的UDM网元)。
综上,当归属存在多个UDM网元的情况下,5G网络存在不支持使用SUCI寻址到用户的归属UDM网元。
发明内容
本申请实施例提供一种通信方法及装置,用以实现。为达到上述目的,本申请提供如下技术方案:
第一方面,本申请实施例提供一种通信方法,适用于私钥部署在NRF网元且非漫游的场景。
在一种可能的设计中,该通信方法主要由AMF网元、AUSF网元和NRF网元执行,该方法可实现AUSF网元根据SUCI寻址UDM网元。
在一种可能的设计中,AUSF网元加密的SUCI从NRF网元处获取信息,根据获取的信息来寻址归属UDM网元,此过程由AUSF网元执行的方法包括:
AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含所述SUCI;所述AUSF网元接收来自所述NRF网元的第一寻址信息,所述第一寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;所述AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
其中,该设计中由NRF网元执行的方法包括:NRF网元接收来自AUSF网元的第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述NRF网元根据所述SUCI的解密信息,向所述AUSF网元发送所述第一寻址信息。所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
在第一方面的上述几种可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第一方面的上述几种可能的设计中,所述第一寻址信息包括一个或多个与所述用户归属区域信息关联的UDM网元地址;或者,所述第一寻址信息包括与所述UDM网元地址和所述SUPI;或者,所述第一寻址信息包括与所述UDM网元地址和所述用户归属区域信息。
在第一方面的上述几种可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
第二方面,本申请实施例提供一种通信方法,适用于私钥部署在UDM网元且非漫游的场景。
在一种可能的设计中,该通信方法主要由AMF网元、AUSF网元和UDM网元执行,该方法可实现AUSF网元根据SUCI寻址UDM网元。
在一种可能的设计中,AUSF网元根据加密的SUCI从UDM网元处获取信息,根据获取的信息来寻址归属UDM网元,此过程中AUSF网元执行以下方法:AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;所述AUSF网元接收来自所述第一UDM网元的第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息;所述AUSF网元根据所述第四消息,向归属UDM网元发送第三消息,所述归属UDM网元是与所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的UDM网元;所述第三消息用于向所述归属UDM网元请求获取鉴权矢量;所述AUSF网元接收来自所述归属UDM网元的鉴权矢量。
该设计中,第一UDM网元执行的方法包括:第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI;所述SUCI包括根据公钥生成的密文;所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述第一UDM网元根据所述SUCI的解密信息,确定归属UDM网元不是所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送第四消息,所述第四消息包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息为所述第一UDM网元根据所述SUCI的解密信息获得。
在一种可替换的设计中,所述第一UDM网元执行的方法包括:
第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述第一UDM网元根据所述SUCI的解密信息,向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息是所述第一UDM网元根据所述SUCI的解密信息获得的。
在又一种可能的设计中,AUSF网元根据加密的SUCI从UDM网元处获取信息,根据获取的信息来寻址归属UDM网元,此过程中AUSF网元执行的方法包括:AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;所述AUSF网元接收鉴权矢量;其中,所述鉴权矢量是所述第一UDM网元根据本地私钥对所述SUCI进行解密并确定归属UDM网元为所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送的。
该设计中所述第一UDM网元执行的方法包括:第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI,所述SUCI包括根据公钥生成的密文;所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送鉴权矢量。
在又一种可能的设计中,AUSF网元根据加密的SUCI从UDM网元处获取信息,根据获取的信息来寻址归属UDM网元,此过程中AUSF网元执行的方法包括:AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;所述AUSF网元接收鉴权矢量;其中,所述鉴权矢量是所述第一UDM网元根据本地私钥对所述SUCI进行解密并确定归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量之后向所述AUSF网元发送的。
该设计中第一UDM网元执行的方法包括:第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI,所述SUCI包括根据公钥生成的密文;所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量,并向所述AUSF网元发送所述鉴权矢量。
在又一种可能的设计中,AUSF网元根据加密的SUCI从UDM网元处获取信息,根据获取的信息来寻址归属UDM网元,此过程中AUSF网元执行的方法包括:AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;所述AUSF网元接收鉴权矢量;其中,所述鉴权矢量是所述第一UDM网元确定归属UDM网元为所述第二UDM网元并向所述第二UDM网元发送第三消息之后,所述第二UDM网元向所述AUSF网元发送的,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
该设计中第一UDM网元执行的方法包括:第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI,所述SUCI包括根据公钥生成的密文;所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为所述第二UDM网元时,所述第一UDM网元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
在第二方面的上述几种可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第二方面的上述几种可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
第三方面,本申请实施例提供一种通信方法,适用于私钥部署在AUSF网元且非漫游的场景。该通信方法主要由AMF网元、AUSF网元和UDM网元执行,该方法可实现AUSF网元根据SUCI寻址UDM网元。
在一种可能的设计中,AUSF网元对加密的SUCI进行解密,根据解密信息与归属UDM网元交互,此过程中AUSF网元执行的方法为:AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AUSF网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述AUSF网元向所述SUPI关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;所述AUSF网元接收来自所述归属UDM网元的鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成的。
在又一种可能的设计中,第一AUSF网元对加密的SUCI进行解密,根据解密信息与归属AUSF网元交互来寻址归属UDM网元,第一AUSF网元执行的方法包括:第一AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述第一AUSF网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述第一AUSF向所述SUPI关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述SUPI;所述第一AUSF网元接收来自所述归属AUSF网元的所述鉴权矢量,所述鉴权矢量是所述归属AUSF网元根据所述SUPI从归属UDM网元处获取的。
在又一种可能的设计中,第一AUSF网元对加密的SUCI进行解密,根据解密信息与AMF网元交互归属AUSF网元信息来寻址归属UDM网元,此过程中,第一AUSF网元执行的方法包括:由第一AUSF网元执行的方法包括:第一AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述第一AUSF网元根据本地私钥对所述SUCI进行解密,得到SUPI;所述第一AUSF根据所述SUPI,向所述AMF网元发送第四消息,所述第四消息包含所述SUPI或归属AUSF网元的寻址信息,所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的。
该设计中由AMF网元执行的方法包括:AMF网元向第一AUSF网元发送第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AMF网元接收来自所述第一AUSF网元的第四消息,所述第四消息包含SUPI或归属AUSF网元的寻址信息,所述SUPI或所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的;所述AMF网元根据所述第四消息,向归属AUSF网元发送第一消息,所述归属AUSF网元是与所述归属AUSF网元的寻址信息或所述SUPI关联的AUSF网元,所述第一消息用于向所述归属AUSF网元请求鉴权。
该设计中由归属AUSF网元执行的方法包括:归属AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含SUCI,所述SUCI包括根据公钥生成的密文;当所述第一消息包含所述SUCI时,所述归属AUSF网元根据本地私钥对所述SUCI进行解密,得到所述SUPI;所述归属AUSF网元向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;所述归属AUSF网元接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成。
在第三方面的上述几种可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第三方面的上述几种可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
第四方面,本申请实施例提供一种通信方法,适用于私钥部署在NRF网元且非漫游的场景。该方法可实现AMF网元根据SUCI寻址AUSF网元。
在一种可能的设计中,AMF网元根据加密的SUCI从NRF网元处获取信息,根据获取的信息来寻址归属AUSF网元,此过程中,AMF网元执行的方法包括:AMF网元向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AMF网元接收来自所述NRF网元的第二寻址信息,所述第二寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的AUSF网元寻址信息;所述AMF网元根据所述第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI或者所述SUCI的解密信息。
该设计中NRF网元执行的方法包括:NRF网元接收来自AMF网元的第二消息,所述第二消息用于向所述NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述NRF网元根据所述SUCI的解密信息,向所述AMF网元发送所述第二寻址信息,所述第二寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的AUSF网元寻址信息。
在第四方面的上述两种可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第四方面的上述两种可能的设计中,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址;或者,所述第二寻址信息包括所述AUSF网元地址和所述SUPI;或者,所述第二寻址信息包括所述AUSF网元地址和所述用户归属区域信息。
在第四方面的上述两种可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
第五方面,本申请实施例提供一种通信方法,适用于私钥部署在NRF网元且漫游的场景。该方法可实现AMF网元根据SUCI寻址AUSF网元。
在一种可能的设计中,归属NRF网元根据加密的SUCI从归属SEPP网元处获取信息,AMF网元根据归属NRF网元获取的信息来寻址归属AUSF网元,此过程中,服务网络的AMF网元执行的方法包括:服务网络的AMF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AMF网元接收来自归属NRF网元的第二寻址信息,所述第二寻址信息是所述归属NRF网元从所述归属SEPP网元处获取所述SUCI的解密信息之后,根据SUCI的解密信息获取的AUSF网元寻址信息;所述AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI或者所述SUCI的解密信息。
该设计中归属SEPP网元执行的方法包括:归属SEPP网元接收来自服务网络的AMF网元的第二消息,所述第二消息用于向归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述归属SEPP网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述归属SEPP网元向所述归属NRF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含所述SUCI的解密信息。
该设计中归属NRF网元执行的方法包括:归属NRF网元接收来自归属SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含SUCI的解密信息;所述归属NRF网元根据所述SUCI的解密信息,向AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
在另一种可能的设计中,归属NRF网元对加密的SUCI进行解密,AMF网元根据归属NRF网元的解密信息来寻址归属AUSF网元,此过程中,服务网络的AMF网元执行的方法包括:服务网络的AMF网元通过归属SEPP网元向归属NRF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述AMF网元接收来自归属NRF网元的第二寻址信息,所述第二寻址信息是所述归属NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的AUSF网元寻址信息;所述AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI或者所述SUCI的解密信息。
该设计中归属NRF网元执行的方法,包括:归属NRF网元接收来自归属SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;所述归属NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述归属NRF网元根据所述SUCI的解密信息向AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
在第五方面的上述两种可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第五方面的上述两种可能的设计中,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址;或者,所述第二寻址信息包括所述AUSF网元地址和所述SUPI;或者,所述第二寻址信息包括所述AUSF网元地址和所述用户归属区域信息。
在第五方面的上述两种可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
第六方面,本申请实施例提供一种通信方法,适用于终端对SUPI灵活加密的场景。该方法基于终端采用第一种加密方式得到的第一SUCI,可实现AMF网元根据第一SUCI寻址AUSF网元,以及AUSF网元根据第一SUCI寻址UDM网元。
在一种可能的设计中,终端根据本地公钥对用户永久标识SUPI的进行加密,得到第一SUCI,所述第一SUCI包括MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN的其余信息为密文;所述终端向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
在一种可能的设计中,所述终端根据本地公钥对SUPI进行加密,得到第一SUCI,包括:当所述终端根据当前位置信息,确定服务网络为归属网络时,根据本地公钥对SUPI进行加密得到所述第一SUCI。
在一种可能的设计中,AMF网元接收来自终端的第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含第一SUCI,所述第一SUCI包括MSIN,所述MSIN的用户归属区域信息为明文,所述MSIN的其余信息为密文;所述AMF网元根据所述第一SUCI,向所述第一SUCI关联的所述归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述第一SUCI。
在一种可能的设计中,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含第一SUCI,所述第一SUCI包括MSIN,所述MSIN的用户归属区域信息为明文,所述MSIN的其余信息为密文;所述AUSF网元向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第一SUCI;所述AUSF网元接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述第一SUCI生成。
第七方面,本申请实施例提供一种通信方法,适用于终端对SUPI灵活加密的场景。该方法基于终端采用第二种加密方式得到的第二SUCI,可实现AMF网元根据第二SUCI寻址AUSF网元,以及AUSF网元根据第二SUCI寻址UDM网元。
在一种可能的设计中,终端根据本地公钥对用户永久标识SUPI的进行加密,得到第二SUCI,所述第二SUCI包括MSIN,所述MSIN全部为密文;所述终端向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第二SUCI和用户归属区域信息。
在一种可能的设计中,终端根据本地公钥对用户永久标识SUPI的进行加密,得到第二SUCI,包括:所述终端根据当前位置信息,确定服务网络为漫游网络时,根据本地公钥对所述SUPI进行加密,得到所述第二SUCI。
在一种可能的设计中,AMF网元接收来自终端的第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含第二SUCI和用户归属区域信息,所述第二SUCI包括MSIN,所述MSIN全部为密文;所述AMF网元根据所述用户归属区域信息,向所述用户归属区域信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述用户归属区域信息和所述第二SUCI。
在一种可能的设计中,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含第二SUCI和用户归属区域信息,所述第二SUCI包括MSIN,所述MSIN全部为密文;所述AUSF网元向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第二SUCI和所述用户归属区域信息;所述AUSF网元接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述第二SUCI和所述用户归属区域信息生成的。
第八方面,本申请提供一种通信装置,该装置可以是AMF网元,也可以是芯片。该装置具有实现上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的各实施例中AMF网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面AMF网元的功能,包括:
发送单元,用于向第一AUSF网元发送第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
接收单元,用于接收来自所述第一AUSF网元的第四消息,所述第四消息包含SUPI或归属AUSF网元的寻址信息,所述SUPI或所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的;
处理单元,用于根据所述第四消息,通过发送单元向归属AUSF网元发送第一消息,所述归属AUSF网元是与所述归属AUSF网元的寻址信息或所述SUCI的解密信息(SUPI)关联的AUSF网元,所述第一消息用于向所述归属AUSF网元请求鉴权。
第九方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的AMF网元执行的方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的AMF网元执行的方法。
第十一方面,本申请提供一种通信装置,该装置可以是AUSF网元(包括第一AUSF网元和归属AUSF网元),也可以是芯片。该装置具有实现上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的各实施例中AMF网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
例如,在一种可能的设计中,本申请实施例提供一种装置,可用于执行第一方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
发送单元,用于向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含所述SUCI;
所述接收单元,还用于接收来自所述NRF网元的第一寻址信息,所述第一寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;
处理单元,用于根据所述第一寻址信息,通过发送单元向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
第十二方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的AUSF网元(包括第一AUSF网元和归属AUSF网元)执行的方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十三方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的AUSF网元(包括第一AUSF网元和归属AUSF网元)执行的方法。
第十四方面,本申请提供一种通信装置,该装置可以是NRF网元,也可以是芯片。该装置具有实现上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的各实施例中NRF网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
例如,在一种可能的设计中,本申请实施例提供一种装置,可用于执行第一方面NRF网元的功能,包括:
接收单元,用于接收来自AUSF网元的第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
处理单元,还用于根据所述SUCI的解密信息,通过发送单元向所述AUSF网元发送所述第一寻址信息。所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
第十五方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的NRF网元执行的方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十六方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的NRF网元执行的方法。
第十七方面,本申请提供一种通信装置,该装置可以是UDM网元(包括第一UDM网元和归属UDM网元),也可以是芯片。该装置具有实现上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的各实施例中AMF网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
例如,在一种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面第一UDM网元的功能,包括:
接收单元,用于接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI;所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述第一UDM网元根据所述SUCI的解密信息,确定归属UDM网元不是所述第一UDM网元时,通过发送单元向所述AUSF网元发送第四消息,所述第四消息包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息为所述第一UDM网元根据所述SUCI的解密信息获得。
第十八方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的UDM网元(包括第一UDM网元和归属UDM网元)执行的方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第十九方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第一方面,或第二方面,或第三方面,或第四方面,或第五方面,或第六方面,或第七方面的任一实现方法中的UDM网元(包括第一UDM网元和归属UDM网元)网元执行的方法。
第二十方面,本申请提供一种装置,该装置可以是终端,也可以是芯片。该装置具有实现上述第六方面,或第七方面的各实施例中AMF网元的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的设计中,本申请实施例提供一种装置,可用于执行第六方面终端的功能,包括:
处理单元,用于根据本地公钥对用户永久标识SUPI的进行加密,得到第一SUCI,所述第一SUCI包括MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN的其余信息为密文;
发送单元,用于向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
第二十一方面,本申请提供一种装置,包括:处理器和存储器;该存储器用于存储指令,当该装置运行时,该处理器执行该存储器存储的该指令,以使该装置执行上述第六方面,或第七方面的任一实现方法中的终端执行的方法。需要说明的是,该存储器可以集成于处理器中,也可以是独立于处理器之外。
第二十二方面,本申请提供一种装置,该装置包括处理器,所述处理器用于与存储器耦合,并读取存储器中的指令并根据所述指令执行上述第六方面,或第七方面的任一实现方法中的终端执行的方法。
第二十三方面,本申请还提供一种可读存储介质,所述可读存储介质中存储有程序或指令,当其在计算机上运行时,使得上述各方面的任意通信方法被执行。
第二十四方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面中的任意通信方法。
第二十五方面,本申请还提供一种系统,该系统包AMF网元,所述AMF网元可用于执行上述各方面中的任一方法中或者本发明实施例提供的方案中由AMF网元执行的步骤。
在一些可能的实现方式中,所述系统还可以包括本申请实施例提供的方案中与该AMF网元进行交互的其他设备,例如AUSF,或者终端设备等等。
第二十六方面,本申请还提供一种系统,所述系统还可以包括AUSF网元,所述AUSF网元可用于执行上述各方面中的任一方法中或者本发明实施例提供的方案中由AUSF网元执行的步骤。
在一些可能的实现方式中,所述系统还可以包括本申请实施例提供的方案中与该AUSF网元进行交互的其他设备,例如AMF网元或者UDM网元等等。
第二十七方面,本申请还提供一种系统,所述系统还可以包括UDM网元,所述UDM网元可用于执行上述各方面中的任一方法中或者本发明实施例提供的方案中由UDM网元执行的步骤。
在一些可能的实现方式中,所述系统还可以包括本申请实施例提供的方案中与该UDM网元进行交互的其他设备,例如AUSF网元等等。
第二十八方面,本申请还提供一种系统,所述系统还可以包括NRF网元,所述NRF网元可用于执行上述各方面中的任一方法中或者本发明实施例提供的方案中由NRF网元执行的步骤。
在一些可能的实现方式中,所述系统还可以包括本申请实施例提供的方案中与该NRF网元进行交互的其他设备,例如AMF网元、AUSF网元等等。
第二十九方面,本申请还提供一种系统,所述系统还可以包括终端,所述终端可用于执行上述第六方面及第七方面的任一方法中或者本发明实施例提供的方案中由终端执行的步骤。
在一些可能的实现方式中,所述系统还可以包括本申请实施例提供的方案中与该终端网元进行交互的其他设备,例如AMF网元等等。
另外,第八方面至第二十九方面中任一种设计方式所带来的技术效果可参见第一方面至第四方面中不同实现方式所带来的技术效果,此处不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
图1(a)为本申请实施例涉及的一种可能的网络架构示意图;
图1(b)为本申请实施例涉及的又一种可能的网络架构示意图;
图2为本申请实施例提供的一种通信方法的方法流程示意图之一;
图3为本申请实施例提供的一种通信方法的方法流程示意图之二;
图4为本申请实施例提供的一种通信方法的方法流程示意图之三;
图5为本申请实施例提供的一种通信方法的方法流程示意图之四;
图6为本申请实施例提供的一种通信方法的方法流程示意图之五;
图7为本申请实施例提供的一种通信方法的方法流程示意图之六;
图8为本申请实施例提供的一种通信方法的方法流程示意图之七;
图9为本申请实施例提供的通信方法的方法流程示意图之八;
图10为本申请实施例提供的一种装置的结构示意图;
图11为本申请实施例提供的又一种装置的结构示意图;
图12为本申请实施例提供的又一种装置的结构示意图;
图13为本申请实施例提供的又一种装置的结构示意图;
图14为本申请实施例提供的又一种装置的结构示意图;
图15为本申请实施例提供的又一种装置的结构示意图;
图16为本申请实施例提供的又一种装置的结构示意图;
图17为本申请实施例提供的又一种装置的结构示意图;
图18为本申请实施例提供的又一种装置的结构示意图;
图19为本申请实施例提供的又一种装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
如图1(a)所示,为本申请适用的一种可能的5G系统非漫游网络架构示意图。该网络架构包括网络数据分析功能(network data analysis function,NWDAF)网元的3GPP系统的网络架构示意图。图1中的网络架构包括终端、(无线)接入网络((radio)accessnetwork,(R)AN网元、用户面功能(user plane function,UPF)网元,DN网元,接入和移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(session management function,SMF)网元、认证服务器功能(authentication serverfunction,AUSF)网元、应用功能(application function,AF)网元、统一数据管理(UnifiedData Management,UDM)网元、策略控制功能(policy control function,PCF)网元、网络注册和发现功能(the NF repository function,NRF)网元、网络开放功能(networkexposure function,NEF)网元和网络切片选择功能(network slice selectionfunction,NSSF)网元等。这些网元通过总线实现逻辑上的两两互联。
其中,(R)AN网元与UPF网元通过N3接口实现逻辑上的互联,DN网元与UPF网元通过N6接口实现逻辑上的互联,终端与AMF网元通过N1接口实现逻辑上的互联,(R)AN网元与AMF网元通过N2接口实现逻辑上的互联,SMF网元与UPF网元通过N4接口实现逻辑上的互联。
针对非漫游场景,本申请提供的通信方法可能涉及的网元主要包括终端,AMF网元、AUSF网元、NRF网元、NRF网元,其主要功能如下:
终端,是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。该终端可以是UE,手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。
AMF网元:负责终端的接入管理和移动性管理,在实际应用中,其包括了LTE中网络框架中移动管理实体(mobility management entity,MME)的移动性管理功能,并加入了接入管理功能。与本申请相关的功能是对接入授权\鉴权方面进行管理。当终端注册到服务网络时,服务网络的AMF网元向归属网络AUSF网元发送鉴权初始请求,并从归属地的AUSF网元接收鉴权矢量,完成对终端在服务网络的鉴权。当终端在服务网络鉴权通过以后,AMF网元发起注册流程,AMF网元到UDM网元中获取用户签约数据。可以理解,在未来通信(例如6G中),负责接入管理和移动性管理的网元仍可以是AMF网元,或有其它的名称,本申请不做限定。
NRF网元,具有NF注册和发现功能,在鉴权流程中AMF网元通过NRF网元发现AUSF网元,或者AUSF网元通过NRF网元发现UDM网元。可以理解,在未来通信,负责网络功能注册和发现功能的网元仍可以是NRF网元,或有其它的名称,本申请不做限定。
AUSF网元:用于进行鉴权认证。对于归属网络AUSF网元来说,在接收服务网络AMF网元发来的鉴权初始请求后,向归属网络UDM网元发送鉴权请求消息,申请获取鉴权矢量。可以理解,在未来通信,负责鉴权认证的网元仍可以是AUSF网元,或有其它的名称,本申请不做限定。
UDM网元:用于存储用户的鉴权数据和用户签约数据。对于归属网络UDM网元来说,在鉴权流程中,在收到归属网络AUSF网元发来的鉴权请求消息之后,选择鉴权方法,生成鉴权矢量,向归属网络AUSF网元反馈鉴权矢量。在注册流程中,归属网络UDM网元收到服务网络AMF发来的注册消息之后,返回用户签约数据。可以理解,在未来通信,负责存储用户的鉴权数据和用户签约数据的网元仍可以是UDM网元,或有其它的名称,本申请不做限定。
上述网元的功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
基于上述图1(a)所示的网络架构,本申请将针对非漫游场景,提供相应的通信方法及装置,以实现本申请用户鉴权流程中AUSF网元如何根据加密的SUCI寻址UDM网元,以及AMF网元如何根据加密的SUCI寻址AUSF网元。
在一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在UDM网元上部署私钥,实现AUSF网元根据加密的SUCI寻址UDM网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在NRF网元上部署私钥,实现AUSF网元根据加密的SUCI寻址UDM网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在AUSF网元上部署私钥,实现AUSF网元根据加密的SUCI寻址UDM网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在终端的USIM上部署灵活加密方式,只将SUPI的MSIN进行部分加密,可以实现AUSF网元根据加密的SUCI寻址UDM网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过增加信元包含MSIN中用户归属区域信息的明文,可以实现在非漫游场景下AUSF网元根据加密的SUCI寻址UDM网元。
在一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在NRF网元上部署私钥,实现AMF网元根据加密的SUCI寻址AUSF网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过在终端的USIM上部署灵活加密方式,只将SUPI的MSIN进行部分加密,可以实现AMF网元根据加密的SUCI寻址AUSF网元。
在又一种实施例中,针对非漫游场景,本申请提供的通信方法,通过增加信元包含MSIN中用户归属区域信息的明文,可以实现在非漫游场景下AMF网元根据加密的SUCI寻址AUSF网元。
如图1(b)所示,为本申请适用的另一种可能的5G系统漫游网络架构示意图。该网络架构由漫游地服务网络和归属地服务网络两部分的网络架构构成,为了方便描述,本申请中,当终端在漫游地注册服务时,称漫游地服务网络为服务网络,称归属地服务网络为归属网络。其中,服务网络涉及的网元主要包括终端、(R)AN网元、UPF网元,AMF网元、SMF网元、PCF网元、NRF网元、NEF网元、NSSF网元和安全边缘保护代理(security edge protectionproxy,SEPP)网元。归属网络涉及的网元主要包括UPF网元,DN网元,SMF网元、AUSF网元、PCF网元、AF网元、UDM网元、NRF网元、NEF网元和SEPP网元。可以理解的是,上述网元的名称仅是举例说明,可以被替换为其他具有相应功能的网元。
SEPP网元,用于拓扑隐藏和网络间的控制面消息过滤。
为了便于描述,针对漫游场景,服务网络的AMF网元可以简称为V-AMF网元,服务网络的NRF网元可以简称为V-NRF网元,服务网络的SEEP网元可以简称为V-SEPP网元,归属网络的SEPP网元可以简称为H-SEPP网元,归属网络的NRF网元可以简称为H-NRF网元。
基于上述图1(b)所示的网络架构,本申请将针对漫游场景,提供相应的通信方法及装置,以解决本申请用户鉴权流程中V-AMF网元如何根据加密的SUCI寻址H-AUSF网元的问题。其中,针对本申请漫游场景的用户鉴权流程,在V-AMF网元寻址H-AUSF网元时,V-AMF网元依次通过V-NRF网元、V-SEPP网元、H-SEPP网元和H-NRF网元交互进而实现寻址H-AUSF网元。
在一种实施例中,针对漫游场景,本申请提供的通信方法,通过在H-SEPP网元上部署SUCI加密的私钥,可以实现在漫游场景下V-AMF网元根据加密的SUCI寻址H-AUSF网元。
在又一种实施例中,针对漫游场景,本申请提供的通信方法,通过在H-NRF网元上部署SUCI加密的私钥,可以实现在漫游场景下V-AMF网元根据加密的SUCI寻址H-AUSF网元。
在又一种实施例中,针对漫游场景,本申请提供的通信方法,通过增加信元包含MSIN中用户归属区域信息的明文,可以实现在漫游场景下V-AMF网元根据加密的SUCI寻址H-AUSF网元。
本申请涉及的网络功能发现请求,可以是Nnrf_NF Discovery Service请求。
本申请涉及的鉴权请求,可以是Nnrf_UE Authentication请求。
本申请涉及的鉴权矢量获取请求,可以是Nnrf_Authentication VectorRetrieval请求。
本申请中,上述网元可以是物理上的实体网元,也可以是虚拟的网元,在此不做限定。
在以下实施例中,步骤编号仅仅是为了方便描述,各步骤之间没有严格的执行先后关系。
下面结合附图具体说明本申请在不同场景下AUSF网元如何寻址UDM网元。
基于图1(a)所示的5G系统的非漫游网络架构,本申请提供的一种通信方法,通过在UDM网元上部署私钥,实现AUSF网元使用加密的SUCI寻址UDM网元。
本申请提供的一种通信方法如图2所示,主要包括以下方法流程:
步骤101,AUSF网元接收来自AMF网元的用户隐藏标识SUCI,所述SUCI用于所述AUSF网元进行鉴权,所述SUCI包括根据公钥生成的密文。
其中,AUSF网元可以接收来自AMF网元的任何一种用于向所述AUSF网元请求鉴权的消息,消息中包含SUCI。
可选的,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文。
作为一种示例,AUSF网元可以接收来自AMF网元的鉴权请求,所述鉴权请求中包含SUCI。
其中,SUCI是终端或终端的USIM对SUPI进行加密得到,所述SUCI包括根据公钥生成的密文,具体为终端根据公钥对SUPI中的MSIN加密成的密文。
本申请中,终端根据公钥对SUPI中的MSIN加密形成SUCI,其中终端的任何加密方式所形成的SUCI均在本申请的保护范围之内。终端根据公钥对SUPI中的MSIN加密形成SUCI的加密方式不限于本申请提供的加密方式。
例如,本申请提供一种终端根据公钥对SUPI中的MSIN加密形成SUCI的加密方式,具体如下:
终端生成自己的公私钥对,根据自己的私钥和本地配置的归属网络公钥生成一个共享密钥,然后根据共享密钥对SUPI加密得到SUCI。
可选的,对于本申请涉及本地配置私钥能够对SUCI进行解密的网络侧网元来说,网络侧网元可以有多种根据私钥对SUCI进行解密的灵活解密方式,不限于本申请提供的解密方式。例如,其解密过程为:
网络侧网元(如AUSF/UDM/NRF/H-SEEP/H-NRF)根据终端的公钥和本地配置的归属网络私钥首先生成一个共享密钥,再根据共享密钥对SUCI解密得到SUPI。
其中,SUPI有2种格式,一种是IMSI格式,一种是网络接入标识(network accessidentifier,NAS)格式。对于全球用户身份模块(universal subscriber identitymodule,USIM)卡,NAS格式的SUPI可以根据IMSI增加前缀和域名推导得到,具体可以参见3GPP TS23.003。本文中仅以IMSI格式进行描述,NAI的给可以根据同样的规则推导而出。
例如,IMSI格式为234150999999999,根据IMSI增加前缀和域名推导得到NAS格式可以为0234150999999999@nai.epc.mnc015.mcc234.3gppnetwork.org。
IMSI的可以分为3部分,MCC+MNC+MSIN,其中MCC是移动国家码(如中国的移动国家码是460),MNC为移动网号(如中国电信的移动网号是03),MSIN为移动用户识别号,用于区别不同的用户。
因此,对SUPI加密后得到的SUCI包括明文的MCC、明文的MNC和密文的MSIN。
不同的国家,MSIN又被细化为n位的用户归属区域信息和m位的剩余号段。
例如对于中国,MSIN又被细化为H1H2H3H4X1X2X3X4X5X6,其中MSIN中的前四位H1H2H3H4用于表示用户所在的省份,本申请中,MSIN中的前四位H1H2H3H4称为用户归属区域信息。不同的国家,MSIN的n位的用户归属区域信息和m位的剩余号段可能不同。下文所有实施例中MSIN以中国为例进行说明。
本申请中用户归属区域信息可以用于确定用户归属地的UDM网元和/或AUSF网元,例如,在中国,用户归属区域信息H1H2H3H4用于表示用户所在的省份,AMF网元在寻址AUSF网元时,可以根据明文的用户归属区域信息确定用户所在省的AUSF网元,AUSF网元在寻址UDM网元时,可以根据明文的用户归属区域信息确定用户所在省的UDM网元。
步骤101中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。
步骤102,所述AUSF网元向第一UDM网元发送所述SUCI,所述SUCI用于所述第一UDM网元生成鉴权矢量。
其中,AUSF网元可以向第一UDM网元发送任何可用于向所述第一UDM网元请求获取鉴权矢量的消息,消息中包含SUCI。
可选的,所述AUSF网元向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
作为一种示例,AUSF网元可以向第一UDM网元发送鉴权矢量获取请求,所述鉴权矢量获取请求中包含SUCI。
其中,第一UDM网元可以为归属网络的任意一个UDM网元,也可以是AUSF网元根据本地策略从归属网络的多个UDM网元中确定的一个UDM网元。
步骤103,所述第一UDM网元接收来自AUSF网元的SUCI,并根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息。
可选的,第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
作为一种示例,所述第一UDM网元接收来自AUSF网元的鉴权矢量获取请求,所述鉴权矢量获取请求中包含SUCI。
其中,第一UDM网元根据本地私钥对所述SUCI进行解密,可以有多种灵活解密方式,例如,作为一种示例,第一UDM网元可以根据本地私钥对所述SUCI中的MSIN进行全部解密,恢复明文的MSIN,也可以根据本地私钥对所述SUCI中的MSIN进行部分解密,仅恢复明文的用户归属区域信息H1H2H3H4。
其中,SUCI的解密信息可灵活配置。
作为一种示例,SUCI的解密信息包括SUPI,SUPI根据明文的MCC、MNC和MSIN得到。
作为另外一种示例,SUCI的解密信息包括用户归属区域信息,即MSIN的号段H1H2H3H4。
步骤104,所述第一UDM网元向所述AUSF网元发送SUCI的解密信息或所述归属UDM网元的寻址信息。
其中,所述第一UDM网元向所述AUSF网元发送任何类型的消息,消息中包含SUCI的解密信息或所述归属UDM网元的寻址信息。
可选的,所述第一UDM网元根据所述SUCI的解密信息,向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或所述归属UDM网元的寻址信息。
作为一种示例,所述第一UDM网元根据所述SUCI的解密信息,向所述AUSF网元发送重定向消息,所述重定向消息包含所述SUCI的解密信息或所述归属UDM网元的寻址信息。
作为一种示例,当SUCI的解密信息包括SUPI时,第四消息中包含SUPI。
作为一种示例,当SUCI的解密信息包括用户归属区域信息时,第四消息中包含用户归属区域信息。
其中,归属UDM网元的寻址信息可以是用于寻址归属UDM网元的任何一种信息,作为一种示例,归属UDM网元的寻址信息可以是归属UDM网元的地址信息。
归属UDM网元的寻址信息可以是第一UDM网元,根据SUCI的解密信息获取的。作为一种示例,第一UDM网元根据MCC+MNC以及用户归属区域信息H1H2H3H4,就可以确定归属UDM网元,以及获取归属UDM网元的寻址信息。其中,归属UDM网元存储有归属地用户数据,包括鉴权数据和签约数据。
步骤105,所述AUSF网元接收来自所述第一UDM网元的所述归属UDM网元的寻址信息或所述SUCI的解密信息,所述AUSF网元向所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的归属UDM网元发送SUCI,所述SUCI用于所述归属UDM网元生成鉴权矢量。
其中,AUSF网元可以向所述归属UDM网元发送任何一种类型的消息,所述消息用于向所述归属UDM网元请求获取鉴权矢量,消息中包含SUCI。
可选的,所述AUSF网元根据所述第四消息,向所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量。
作为一种示例,AUSF网元可以向所述归属UDM网元发送鉴权矢量获取请求,鉴权矢量获取请求中包含SUCI。
可选的,所述AUSF网元根据所述第四消息,向所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的归属UDM网元发送第三消息,包括:
所述AUSF网元根据所述归属UDM网元的寻址信息或所述SUCI的解密信息,确定归属UDM网元,所述AUSF网元向所述归属UDM网元发送所述第三消息。
当第四消息中包含SUPI时,所述AUSF网元根据SUPI(至少根据MCC,MNC和用户归属区域信息H1H2H3H4),确定归属UDM网元。
当第四消息中包含用户归属区域信息时,所述AUSF网元根据SUCI中的MCC和MNC,以及第四消息中包含的用户归属区域信息,确定归属UDM网元。
当第四消息中包含归属UDM网元的寻址信息时,所述AUSF网元可以直接根据归属UDM网元的寻址信息,确定归属UDM网元。
可选的,所述第三消息中包含SUCI,以使归属UDM网元根据本地私钥对所述SUCI进行解密得到SUPI,进而根据SUPI,生成鉴权矢量,并向AUSF网元反馈鉴权矢量。
步骤106,所述AUSF网元接收来自所述归属UDM网元的鉴权矢量。
作为上述步骤104的一种可替换的实现方式,在第一UDM网元得到SUCI的解密信息之后,第一UDM网元也可以根据SUCI的解密信息,确定归属UDM网元之后,再向AUSF网元发送第四消息。相应的,上述步骤104可替换为:所述第一UDM网元根据所述SUCI的解密信息,确定归属UDM网元;当确定所述归属UDM网元不是所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或所述归属UDM网元的寻址信息。
作为上述步骤105的一种可替换的实现方式,当第四消息中包含的SUCI的解密信息为SUPI时,所述AUSF网元可以直接向所述归属UDM网元发送SUPI,省去了归属UDM网元的解密过程。相应的,步骤106也可替换为:所述AUSF网元向所述归属UDM网元发送SUPI,以使归属UDM网元直接根据SUPI,生成鉴权矢量。
作为上述步骤101至上述步骤106的第一种可替换实现方式,将上述步骤103至上述步骤106进行如下替换:
上述步骤103可替换为:第一UDM网元接收来自AUSF网元的SUCI,所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI。
上述步骤104至步骤105可替换为:所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为所述第一UDM网元时,所述第一UDM网元根据SUPI,获取鉴权矢量,向所述AUSF网元发送鉴权矢量。
上述步骤106可替换为:所述AUSF网元接收来自所述第一UDM网元的鉴权矢量。
作为上述步骤101至上述步骤107的第二种可替换实现方式,将上述步骤103至上述步骤107进行如下替换:
上述步骤103可替换为:第一UDM网元接收来自AUSF网元的SUCI,所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI。
可选的,第一UDM网元接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI。作为一种示例第三消息可以是鉴权矢量获取请求。
上述步骤104至步骤106可替换为以下步骤:所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量,并向所述AUSF网元发送所述鉴权矢量。
其中,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量,包括:
所述第一UDM网元向所述第二UDM发送SUPI,所述SUPI用于向第二UDM网元请求获取鉴权矢量,以使所述第二UDM网元根据所述SUPI生成鉴权矢量,以及向所述第一UDM网元发送所述鉴权矢量。
可选的,所述第一UDM网元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI。作为一种示例第三消息可以是鉴权矢量获取请求。
上述步骤107可替换为:所述AUSF网元接收来自所述第一UDM网元的鉴权矢量。
作为上述步骤101至上述步骤107的第三种可替换实现方式,将上述步骤103至上述步骤107进行如下替换:
上述步骤103可替换为:第一UDM网元接收来自AUSF网元的SUCI,所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI。
上述步骤104至步骤106可替换为:所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为第二UDM网元时,所述第一UDM网元向所述第二UDM发送SUPI,所述SUPI用于第二UDM网元生成鉴权矢量,以使所述第二UDM网元根据所述SUPI生成鉴权矢量之后,向AUSF网元发送所述鉴权矢量。
可选的,所述第一UDM网元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。作为一种示例第三消息可以是鉴权矢量获取请求。
上述步骤106可替换为:所述AUSF网元接收来自所述第二UDM网元的鉴权矢量。
作为上述步骤101至上述步骤107的第四种可替换实现方式,将上述步骤103至上述步骤107进行如下替换:
上述步骤103可替换为:第一UDM网元接收来自AUSF网元的SUCI,所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到SUPI。
上述步骤104至步骤105可替换为以下步骤:所述第一UDM网元根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为第二UDM网元时,所述第一UDM网元向所述第二UDM网元发送SUCI,所述SUCI用于第二UDM网元生成鉴权矢量,以使所述第二UDM网元根据本地私钥对所述SUCI解密得到SUPI生成鉴权矢量之后,向AUSF网元发送所述鉴权矢量。
上述步骤106可替换为:所述AUSF网元接收来自所述第二UDM网元的鉴权矢量。
基于图1(a)所示的5G系统的非漫游网络架构,本申请提供的一种通信方法,通过在NRF网元上部署私钥,实现AUSF网元使用加密的SUCI寻址UDM网元。
如图3所示,该通信方法主要包括以下方法流程:
步骤201,AUSF网元接收来自AMF网元的用户隐藏标识SUCI,所述SUCI用于所述AUSF网元鉴权,所述SUCI包括根据公钥生成的密文。
其中步骤201中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。SUCI的具体内容参见上述步骤101,此处不再详述。
其中,AUSF网元接收来自AMF网元的任何一种用于向所述AUSF网元请求鉴权的消息,消息中包含SUCI。
可选的,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI。
作为一种示例,AUSF网元可以接收来自AMF网元的鉴权请求,所述鉴权请求中包含SUCI。
步骤202,所述AUSF网元向NRF网元发送所述SUCI,所述SUCI用于NRF网元发现UDM网元。
其中,AUSF网元向NRF网元发送所述SUCI时,AUSF网元向NRF网元发送任何一种用于向所述NRF网元请求发现UDM网元的消息,消息中包含SUCI。
可选的,所述AUSF网元向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含所述SUCI。
作为一种示例,AUSF网元向NRF网元发送网络功能发现请求,所述网络功能发现请求中包含SUCI。
步骤203,NRF网元接收来自AUSF网元的SUCI,所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述NRF网元根据所述SUCI的解密信息,向所述AUSF网元发送所述第一寻址信息,所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
根据本地私钥对所述SUCI进行解密的具体内容参见前述实施例步骤103,此处不再累述。
其中,SUCI的解密信息可灵活配置。
作为一种示例,SUCI的解密信息包括SUPI,SUPI根据明文的MCC、MNC和MSIN得到。
作为另外一种示例,SUCI的解密信息包括用户归属区域信息,即MSIN的号段H1H2H3H4。
其中,第一寻址信息也可灵活配置。
作为一种可选的示例,所述第一寻址信息包括一个或多个与所述用户归属区域信息关联的UDM网元地址。其中,UDM网元地址可以为UDM网元的IP地址,或者可以为UDM网元的端点信息(如URLs),或者也可以为UDM网元的全量域名(fully qualified domain name,FQDN)。
作为又一种可选的示例,所述第一寻址信息除了包括一个或多个与所述用户归属区域信息关联的UDM网元地址,还包括SUPI。
作为又一种可选的示例,所述第一寻址信息除了包括一个或多个与所述用户归属区域信息关联的UDM网元地址,还包括所述用户归属区域信息。
步骤204,所述AUSF网元接收来自所述NRF网元的第一寻址信息,AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送所述SUCI,所述SUCI用于所述归属UDM网元生成鉴权矢量。
其中,AUSF网元可以向所述归属UDM网元发送任何一种用于向所述归属UDM网元请求获取鉴权矢量的消息,消息中包含SUCI。
可选的,所述AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
作为一种示例,AUSF网元可以向所述归属UDM网元发送鉴权矢量获取请求,鉴权矢量获取请求中包含SUCI。
可选的,所述AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送第三消息之前,包括:
所述AUSF网元根据所述第一寻址信息,确定述第一寻址信息关联的归属UDM网元。
可选的,当获取第一寻址信息之后,AUSF网元可以保存第一寻址信息中的用户归属区域信息与UDM网元地址之间的关联关系,以便AUSF网元下次寻址时,可以直接根据用户归属区域信息与UDM网元地址之间的关联关系来寻址归属UDM网元,可减少AUSF网元与NRF网元交互的次数,节省信令开销。
可选的,如果第一寻址信息中还包括用户归属区域信息的有效期信息,AUSF网元可以保存第一寻址信息中的用户归属区域信息、UDM网元地址和用户归属区域信息的有效期信息之间的关联关系。
可选的,在所述AUSF网元根据所述第一寻址信息,确定述第一寻址信息关联的归属UDM网元时,如果第一寻址信息中包括多个与用户归属区域信息关联的UDM网元地址,AUSF网元可以根据本地的策略,选择轮询第一寻址信息中的多个UDM网元地址,直到寻址到归属UDM网元,也可以根据第一寻址信息中的多个UDM网元地址的优先级信息,优选某个高优先级的UDM网元地址,也可以随机选一个UDM网元地址。
步骤205,所述AUSF网元接收来自所述归属UDM网元的鉴权矢量。
需要说明的是,上述步骤204适用于归属UDM网元支持对SUCI解密的应用场景,归属UDM网元接收到SUCI之后,归属UDM网元根据本地私钥对SUCI解密,得到SUPI,进而根据SUPI生成鉴权矢量。
如果归属UDM不支持解密,上述步骤204还可以替换为以下步骤:所述AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送所述SUPI,所述SUPI用于所述归属UDM网元生成鉴权矢量。其中,SUPI是NRF网元根据本地私钥对所述SUCI进行解密得到的。
基于图1(a)所示的5G系统的非漫游网络架构,本申请提供的一种通信方法,通过在AUSF网元上部署私钥,实现AUSF网元使用加密的SUCI寻址UDM网元。
本申请提供的第一种实现方式,适用于AUSF网元支持与跨区域的UDM网元交互的场景,如图4所示,该通信方法主要包括以下方法流程:
步骤301,第一AUSF网元接收来自AMF网元的SUCI,所述SUCI用于所述第一AUSF网元鉴权,所述SUCI包括根据公钥生成的密文。
其中步骤301中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。SUCI的具体内容参见上述步骤101,此处不再详述。
其中,AUSF网元接收来自AMF网元的任何一种用于向所述AUSF网元请求鉴权的消息,消息中包含SUCI。
可选的,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI。
作为一种示例,AUSF网元可以接收来自AMF网元的鉴权请求,所述鉴权请求中包含SUCI。
步骤302,所述第一AUSF网元根据本地私钥对所述SUCI进行解密,得到SUPI。
根据本地私钥对所述SUCI进行解密的具体内容参见前述实施例步骤103,此处不再累述。
步骤303,所述第一AUSF网元根据SUPI向所述SUPI关联的归属UDM网元发送所述SUPI,所述SUPI用于所述归属UDM网元生成鉴权矢量。
其中,AUSF网元可以向所述归属UDM网元发送任何一种用于向所述归属UDM网元请求获取鉴权矢量的消息,消息中包含SUPI。
可选的,所述AUSF网元向所述SUPI关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI,以使所述归属UDM网元根据所述SUPI生成鉴权矢量。
作为一种示例,AUSF网元可以向所述归属UDM网元发送鉴权矢量获取请求,鉴权矢量获取请求中包含SUPI。
其中,第一AUSF网元为任意一个支持与第二AUSF网元位于相同用户归属区域的UDM网元直接交互的AUSF网元。其中,归属UDM网元可以是与第一AUSF网元位于相同用户归属区域的UDM网元,也可以是与第二AUSF网元位于相同用户归属区域的UDM网元。
步骤304,所述第一AUSF网元接收来自所述归属UDM网元的鉴权矢量。
当第一AUSF网元不支持与第二AUSF网元位于相同用户归属区域的UDM网元直接交互时,作为上述步骤301至步骤304的一种可替换实现方式,可将上述步骤303和步骤304替换如下:
上述步骤303替换为:所述第一AUSF向所述SUPI关联的归属AUSF网元发送所述SUPI。
可选的,所述第一AUSF向所述SUPI关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述SUPI,以使所述归属AUSF网元根据所述SUPI从归属UDM网元处获取鉴权矢量。
作为一种示例,第一消息为鉴权请求,鉴权请求中包含所述SUPI。
例如,所述第一AUSF向所述SUPI关联的归属AUSF网元发送所述SUPI,包括:所述第一AUSF网元根据SUPI,确定归属AUSF网元,当所述归属AUSF网元为第二AUSF网元时,所述第一AUSF网元向所述第二AUSF网元发送所述SUPI,所述SUPI用于向所述第二AUSF网元请求鉴权,以使所述第二AUSF网元根据所述SUPI从归属UDM网元处获取鉴权矢量。相应的,上述步骤304可替换为:所述第一AUSF网元接收来自所述第二AUSF网元的所述鉴权矢量。
其中,第一AUSF网元为任意一个仅支持与第一AUSF网元位于相同用户归属区域的UDM网元交互的AUSF网元。此处的归属UDM网元是指与第二AUSF网元位于相同用户归属区域的UDM网元。
其中,所述第二AUSF网元根据所述SUPI从归属UDM网元处获取鉴权矢量,包括:所述第二AUSF网元向归属UDM网元发送所述SUPI,所述SUPI用于向所述归属UDM网元请求获取鉴权矢量。
需要说明的是,当所述第一AUSF网元根据SUPI,确定归属AUSF网元之后,当所述归属AUSF网元刚好为第一AUSF网元时,所述第一AUSF网元向所述与第一AUSF网元位于相同用户归属区域的归属UDM网元发送所述SUPI,所述SUPI用于向与所述第一AUSF网元位于相同用户归属区域的所述归属UDM网元请求获取鉴权矢量。相应的,上述步骤304替换为:所述第一AUSF网元接收来自所述与第一AUSF网元位于相同用户归属区域的归属UDM网元的所述鉴权矢量。
本申请提供的另一种通信方法,如图5所示,该通信方法主要包括以下方法流程:
步骤401,AMF网元向第一AUSF网元发送SUCI,所述SUCI用于所述第一AUSF网元鉴权,所述SUCI包括根据公钥生成的密文。
其中步骤401中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。SUCI的具体内容参见上述步骤101,此处不再详述。
其中,AMF网元向第一AUSF网元发送SUCI时,可发送任何一种用于向所述AUSF网元请求鉴权的消息,消息中包含SUCI。
可选的,AMF网元向第一AUSF网元发送第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI。
作为一种示例,AMF网元向第一AUSF网元发送鉴权请求,所述鉴权请求中包含SUCI。
步骤402,第一AUSF网元接收来自AMF网元的SUCI,根据本地私钥对所述SUCI进行解密,得到SUPI。
根据本地私钥对所述SUCI进行解密的具体内容参见前述实施例步骤103,此处不再累述。
步骤403,所述第一AUSF网元根据所述SIPI,向所述AMF网元发送所述SUPI或归属AUSF网元的寻址信息。所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的。
可选的,所述第一AUSF根据所述SUPI,向所述AMF网元发送第四消息,所述第四消息包含所述SUPI或归属AUSF网元的寻址信息。
作为一种示例,第四消息为重定向消息,重定向消息包含所述SUPI或归属AUSF网元的寻址信息。
其中,归属AUSF网元的寻址信息可以是用于寻址归属AUSF网元的任何一种信息,作为一种示例,归属AUSF网元的寻址信息可以是归属AUSF网元的地址信息。
例如,所述第一AUSF根据所述SUPI,向所述AMF网元发送第四消息,包括:所述第一AUSF网元根据所述SUPI,确定归属AUSF网元,当所述归属AUSF网元为第二AUSF网元时,所述第一AUSF网元向所述AMF网元发送第四消息。
步骤404,所述AMF网元接收来自所述第一AUSF网元的所述SUPI或归属AUSF网元的寻址信息,向归属AUSF网元发送所述SUPI,所述SUPI用于所述归属AUSF网元鉴权,其中,所述归属AUSF网元是与所述归属AUSF网元的寻址信息或SUPI关联的AUSF网元。
其中,AMF网元向归属AUSF网元发送SUPI时,可发送任何一种用于向所述归属AUSF网元请求鉴权的消息,消息中包含SUPI。
可选的,所述AMF网元接收来自所述第一AUSF网元的第四消息,所述AMF网元根据所述第四消息,向归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权。
作为一种示例,AMF网元向归属AUSF网元发送鉴权请求,所述鉴权请求中包含SUPI。
例如,所述AMF网元向归属AUSF网元发送所述SUPI,具体包括:所述AMF网元根据所述第四消息,确定归属AUSF网元;向确定的归属AUSF网元发送所述第一消息。
其中,所述AMF网元根据所述第四消息,确定归属AUSF网元,包括:当第四消息包括所述SUPI时,AMF网元根据SUPI确定归属AUSF网元;当第四消息包括所述归属AUSF网元的寻址信息时,AMF网元根据归属AUSF网元的寻址信息确定归属AUSF网元。
作为一种示例,AMF网元向确定的归属AUSF网元发送所述第一消息,包括:当所述归属AUSF网元为第二AUSF网元时,所述AMF网元向所述第二AUSF网元发送所述SUPI,所述SUPI用于所述第二AUSF网元鉴权。
步骤405,归属AUSF网元接收来自AMF网元的SUPI,向归属UDM网元发送所述SUPI,所述SUPI用于所述归属UDM网元生成鉴权矢量。
可选的,归属AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含SUPI。
作为一种示例,第一消息为鉴权请求,鉴权请求中包含SUPI。
当所述第二AUSF网元接收所述SUPI时,所述第二AUSF网元根据SUPI向归属UDM网元发送所述SUPI,以使归属UDM网元根据SUPI,生成鉴权矢量,并向所述归属AUSF网元发送鉴权矢量。
步骤406,所述第二AUSF网元接收来自所述归属UDM网元的所述鉴权矢量。
需要说明的是,在上述步骤404中,当第四消息包括所述SUPI时,AMF网元可以向归属AUSF网元发送SUPI,也可以向归属AUSF发送SUCI,当第四消息包括所述归属AUSF网元的寻址信息时,AMF网元可以向归属AUSF网元发送SUCI。
因此,作为上述步骤404至步骤406的一种可替换方案,上述步骤404、步骤405和步骤406替换如下:
上述步骤404可替换为以下步骤:所述AMF网元接收来自所述第一AUSF网元的所述SUPI或归属AUSF网元的寻址信息,向归属AUSF网元发送所述SUCI。
上述步骤405可替换为以下步骤:所述归属AUSF网元对所述SUCI进行解密,得到所述SUPI,所述归属AUSF网元向归属UDM网元发送所述SUPI,以使归属UDM网元根据SUPI,生成鉴权矢量。
可选的,对于上述步骤405的替换步骤,如果归属UDM网元同时也支持解密,归属AUSF网元也可不对所述SUCI进行解密,向归属UDM网元发送所述SUCI。
作为上述步骤401至上述步骤406的可替换方案,第一AUSF网元在对SUCI进行解密之后,可直接向AMF网元发送重定向消息,相应的可将上述步骤403至上述步骤404进行如下替换:
上述步骤403可替换为以下步骤:所述第一AUSF网元根据所述SIPI,向所述AMF网元发送所述SUPI。
可选的,所述第一AUSF网元向所述AMF网元发送第四消息,所述第四消息包含所述SUPI。作为一种示例,第四消息为重定向消息。
上述步骤404可替换为以下步骤:所述AMF网元接收来自所述第一AUSF网元的所述SUPI,向归属AUSF网元发送所述SUPI,所述SUPI用于所述归属AUSF网元鉴权。
可选的,所述AMF网元接收来自所述第一AUSF网元的第四消息,所述AMF网元根据所述第四消息,向归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含SUPI。
下面结合附图具体说明本申请在不同场景下AMF网元如何寻址AUSF网元。
基于图1(a)所示的5G系统的非漫游网络架构,本申请提供的一种通信方法,通过在NRF网元上部署私钥,实现AMF网元使用加密的SUCI寻址AUSF网元。
如图6所示,主要包括以下方法流程:
步骤501,AMF网元向NRF网元发送SUCI,所述SUCI用于所述NRF网元发现AUSF网元,所述SUCI包括根据公钥生成的密文。
其中步骤501中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。SUCI的具体内容参见上述步骤101,此处不再详述。
其中,AMF网元向NRF网元发送SUCI时,可发送任何一种用于向NRF网元请求发现AUSF网元的消息,消息中包含SUCI。
可选的,AMF网元向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现AUSF网元,所述第二消息包含SUCI。
作为一种示例,AMF网元向NRF网元发送网络功能发现请求,所述网络功能发现请求中包含SUCI。
步骤502,NRF网元接收来自AMF网元的SUCI,所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述NRF网元根据所述SUCI的解密信息,向所述AMF网元发送所述第二寻址信息,所述第二寻址信息是根据所述SUCI的解密信息获取到的AUSF网元寻址信息。
根据本地私钥对所述SUCI进行解密的具体内容参见前述实施例步骤103,此处不再累述。
可选的,所述NRF网元根据所述SUCI的解密信息,向所述AMF网元发送所述第二寻址信息,包括:所述NRF网元根据所述SUCI的解密信息获取第二寻址信息,向所述AMF网元发送所述第二寻址信息。
其中,SUCI的解密信息也可灵活配置。
作为一种示例,SUCI的解密信息包括SUPI,SUPI根据明文的MCC、MNC和MSIN得到。作为另外一种示例,SUCI的解密信息包括用户归属区域信息,即MSIN的号段H1H2H3H4。
其中,第二寻址信息可以有多种配置。
作为一种可选示例,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址。其中,AUSF网元地址可以是任何形式的用于寻址AUSF网元的地址信息,例如,AUSF网元地址可以为AUSF网元的IP地址,或者可以为AUSF网元的端点信息(如URLs),或者也可以为AUSF网元的全量域名(fully qualified domain name,FQDN)。
作为又一种可选示例,所述第二寻址信息除了包括一个或多个与用户归属区域信息关联的AUSF网元地址,还包括SUPI。
作为又一种可选示例,所述第二寻址信息除了包括一个或多个与用户归属区域信息关联的AUSF网元地址,还包括所述用户归属区域信息。
步骤503,所述AMF网元接收来自所述NRF网元的第二寻址信息,根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送所述SUCI,所述SUCI用于所述归属AUSF网元鉴权。
其中,AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送所述SUCI,包括所述AMF网元根据所第二寻址信息,确定归属AUSF网元,然后向归属AUSF网元发送所述SUCI。
其中,所述AMF网元向所述归属AUSF网元发送所述SUCI时,可以向归属AUSF网元发送任何可用于向归属AUSF网元请求鉴权的消息,消息中包含SUCI。
所述AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI。
作为一种示例,所述AMF网元向所述归属AUSF网元发送鉴权请求,所述鉴权请求中包含SUCI。
可选的,步骤503中,当获取第二寻址信息之后,AMF网元可以保存第二寻址信息中的用户归属区域信息与AUSF网元地址之间的关联关系,以便AUSF网元下次寻址时,可以直接根据用户归属区域信息与AUSF网元地址之间的关联关系来寻址归属AUSF网元,可减少AMF网元与NRF网元交互的次数,节省信令开销。
可选的,如果第二寻址信息中还包括用户归属区域信息的有效期信息,AMF网元可以保存第二寻址信息中的用户归属区域信息、AUSF网元地址和用户归属区域信息的有效期信息之间的关联关系。
可选的,在所述AMF网元根据所述第二寻址信息,确定述第二寻址信息关联的归属AUSF网元时,如果第二寻址信息中包括多个与用户归属区域信息关联的AUSF网元地址,AMF网元可以根据本地的策略,选择轮询第二寻址信息中的多个AUSF网元地址,直到寻址到归属AUSF网元,也可以根据第二寻址信息中的多个AUSF网元地址的优先级信息,优选某个高优先级的AUSF网元地址,也可以随机选一个AUSF网元地址。
可替换的,上述步骤503可替换为:所述AMF网元向所述归属AUSF网元发送所述SUCI的解密信息,SUCI的解密信息用于所述归属AUSF网元鉴权。
可选的,所述AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI的解密信息,如SUPI或用户归属区域信息。
基于图1(b)所示的5G系统的漫游网络架构,本申请提供的一种通信方法,通过在H-SEPP网元上部署私钥,实现AMF网元使用加密的SUCI寻址AUSF网元,如图7所示,主要包括以下方法流程:
步骤601,V-AMF网元向H-SEPP网元发送SUCI,所述SUCI用于H-NRF网元鉴权,所述SUCI包括根据公钥生成的密文。
其中步骤601中,SUCI包括的密文可以是MSIN密文,其含义为MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6全部被加密成密文。SUCI的具体内容参见上述步骤101,此处不再详述。
其中,V-AMF网元向H-SEPP网元发送SUCI时,可以向H-SEPP网元发送任何可用于向H-NRF网元请求鉴权的消息,消息中包含SUCI。
可选的,V-AMF网元向H-SEPP网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI。
作为一种示例,V-AMF网元向H-SEPP网元发送鉴权请求,所述鉴权请求中包含SUCI。
作为一种可选示例,V-AMF网元可经过V-NRF网元和V-SEPP网元向H-SEPP网元发送鉴权请求,所述鉴权请求中包含SUCI。
步骤602,H-SEPP网元接收来自V-AMF网元的SUCI,所述H-SEPP网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述H-SEPP网元向所述H-NRF网元发送所述SUCI的解密信息,所述SUCI的解密信息可用于H-NRF网元发现AUSF网元。
可选的,H-SEPP网元接收来自V-AMF网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI。
其中,SUCI的解密信息可以灵活配置。作为一种示例,SUCI的解密信息包括SUPI,SUPI根据明文的MCC、MNC和MSIN得到。作为另外一种示例,SUCI的解密信息包括用户归属区域信息,即MSIN的号段H1H2H3H4。
其中,所述H-SEPP网元向所述H-NRF网元发送所述SUCI的解密信息时,可以向所述H-NRF网元发送任何可用于向H-NRF网元请求发现AUSF网元的消息,消息中包含SUCI的解密信息。
可选的,所述H-SEPP网元向所述H-NRF网元发送第二消息,所述第二消息用于向所述H-NRF网元请求发现AUSF网元,所述第二消息包含所述SUCI的解密信息。
作为一种示例,所述H-SEPP网元向所述H-NRF网元发送网络功能发现请求,所述网络功能发现请求中包含SUCI的解密信息。
步骤603,H-NRF网元接收来自H-SEPP网元发送SUCI的解密信息;所述H-NRF网元根据所述SUCI的解密信息,向V-AMF网元发送第二寻址信息,所述第二寻址信息是所述H-NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
可选的,H-NRF网元接收来自H-SEPP网元的第二消息,所述第二消息用于向所述H-NRF网元请求发现AUSF网元,所述第二消息包含SUCI的解密信息。
其中,第二寻址信息可以有多种呈现。
作为一种可选示例,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址。其中,AUSF网元地址可以是任何形式的用于寻址AUSF网元的地址信息,例如,AUSF网元地址可以为AUSF网元的IP地址,或者可以为AUSF网元的端点信息(如URLs),或者也可以为AUSF网元的全量域名(fully qualified domain name,FQDN)。
作为又一种可选示例,所述第二寻址信息除了包括一个或多个与用户归属区域信息关联的AUSF网元地址,还包括SUPI。
作为又一种可选示例,所述第二寻址信息除了包括一个或多个与用户归属区域信息关联的AUSF网元地址,还包括所述用户归属区域信息。
其中,H-NRF网元可经过H-SEPP网元和V-SEPP网元向V-AMF网元发送第二寻址信息。
步骤604,V-AMF网元接收来自H-NRF网元的第二寻址信息,V-AMF网元向第二寻址信息关联的归属AUSF网元发送所述SUCI,所述SUCI用于所述归属AUSF网元鉴权。
其中,V-AMF网元向第二寻址信息关联的归属AUSF网元发送所述SUCI,包括:V-AMF网元根据所第二寻址信息,确定归属AUSF网元,然后向属AUSF网元发送所述SUCI。
其中,所述AMF网元向所述归属AUSF网元发送所述SUCI时,可以向归属AUSF网元发送任何可用于向归属AUSF网元请求鉴权的消息,消息中包含SUCI。
可选的,所述AMF网元根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI。
作为一种示例,所述AMF网元向所述归属AUSF网元发送鉴权请求,所述鉴权请求中包含SUCI。
作为一种可选示例,V-AMF网元可经过V-NRF网元、V-SEPP网元和H-SEPP网元向归属AUSF网元发送鉴权请求,所述鉴权请求中包含SUCI。
可替换的,上述步骤604可替换为:所述AMF网元向所述归属AUSF网元发送所述SUCI的解密信息,SUCI的解密信息用于所述归属AUSF网元鉴权。
基于图1(b)所示的5G系统的非漫游网络架构,本申请提供的一种通信方法,通过在H-NRF网元上部署私钥,实现AMF网元使用加密的SUCI寻址AUSF网元。
具体而言,本申请提供一种上述步骤601至步骤606的可替换的实现方式,可将上述步骤602和步骤603替换如下:
上述步骤602可替换为:H-SEPP网元接收来自服务网络的AMF网元的SUCI,向所述H-NRF网元发送所述SUCI,所述SUCI用于H-NRF网元发现AUSF网元。
其中,所述H-SEPP网元向所述H-NRF网元发送所述SUCI的解密信息时,可以向所述H-NRF网元发送任何可用于向H-NRF网元请求发现AUSF网元的消息,消息中包含SUCI。
可选的,所述H-SEPP网元向所述H-NRF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含SUCI。
作为一种示例,所述H-SEPP网元向所述H-NRF网元发送网络功能发现请求,所述网络功能发现请求中包含SUCI。
上述步骤603可替换为:H-NRF网元接收来自H-SEPP网元的SUCI,根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息,所述H-NRF网元根据所述SUCI的解密信息,向V-AMF网元发送第二寻址信息,所述第二寻址信息是所述H-NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
在其他可替换的实现方式中,终端可以根据不同的应用场景,对SUPI进行灵活加密。
比如,终端根据本地公钥对用户永久标识SUPI进行加密,得到第一SUCI,所述第一SUCI包括MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN的其余信息为密文。
比如,终端根据本地公钥对用户永久标识SUPI的进行加密,得到第二SUCI,所述第二SUCI包括MSIN,所述MSIN全部为密文。
可选的,所述终端根据当前位置信息,确定服务网络为归属网络时,根据本地公钥对所述SUPI进行加密,得到所述第一SUCI。
可选的,所述终端根据当前位置信息,确定服务网络为漫游网络时,根据本地公钥对所述SUPI进行加密,得到所述第二SUCI。
针对非漫游场景,本申请提供一种通信方法,用以实现在终端将SUPI加密成第一SUCI之后,AMF网元根据第一SUCI寻址归属AUSF网元,以及AUSF网元根据第一SUCI寻址归属UDM网元。如图8所示,具体包括以下步骤:
步骤701,终端根据本地公钥对用户永久标识SUPI进行加密,得到第一SUCI,所述第一SUCI包括MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN中的其余信息为密文。
其中,SUPI包括MCC、MNC和MSIN,其中MSIN包括用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6。终端根据本地公钥对SUPI进行加密,得到第一SUCI,是指对剩余号段X1X2X3X4X5X6进行加密,而对MCC、MNC和MSIN包括的用户归属区域信息H1H2H3H4不加密,最终得到的第一SUCI包括明文的MCC、MNC和用户归属区域信息,以及密文的剩余号段X1X2X3X4X5X6。
作为一种可选示例,当所述终端根据当前位置信息,确定服务网络为归属网络时,根据本地公钥对SUPI进行加密得到所述第一SUCI。
步骤702,所述终端向AMF网元发送所述第一SUCI,所述第一SUCI用于所述AMF网元对终端进行注册。
其中,所述终端向AMF网元发送所述第一SUCI时,可以发送任何用于向所述AMF网元请求注册的消息,消息中包含第一SUCI。
可选的,所述终端向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
作为一种示例,所述终端向AMF网元发送注册请求,注册请求中包含所述第一SUCI,该注册请求可以是终端向服务网络进行初次注册时发送的。
步骤703,AMF网元接收来自终端的第一SUCI,向所述归属AUSF网元发送所述第一SUCI,所述第一SUCI用于所述AUSF鉴权。
可选的,AMF网元在向所述归属AUSF网元发送所述第一SUCI之前,还包括所述AMF网元根据所述第一SUCI,确定归属AUSF网元。
其中,AMF网元向所述归属AUSF网元发送所述第一SUCI时,可以发送任何用于向所述AUSF请求鉴权的消息,消息中包含第一SUCI。
可选的,AMF网元接收来自终端的第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
作为一种示例,AMF网元向所述归属AUSF网元发送鉴权请求,鉴权请求中包含所述第一SUCI,该鉴权请求可以是AMF网元触发鉴权流程时发送的。
其中,所述AMF网元根据所述第一SUCI中明文的用户归属区域信息,确定归属AUSF网元。
步骤704,AUSF网元接收来自AMF网元的第一SUCI,根据所述第一SUCI,向所述第一SUCI关联的归属UDM网元发送所述第一SUCI,所述第一SUCI用于所述归属UDM网元生成鉴权矢量,以使所述归属UDM网元根据所述第一SUCI生成鉴权矢量。
其中,AUSF网元向归属UDM网元发送所述第一SUCI时,可以发送任何用于向所述归属UDM网元请求获取鉴权矢量的消息,消息中包含第一SUCI。
可选的,所述AUSF网元向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第一SUCI。
作为一种示例,AUSF网元向归属UDM网元发送鉴权矢量获取请求,鉴权矢量获取请求中包含所述第一SUCI。
步骤705,所述AUSF网元接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述第一SUCI生成的。
对于终端将SUPI加密成第二SUCI的场景,AUSF网元根据第一SUCI寻址归属UDM网元的实现方式可以参见图2至图5所对应的实施例部分,具体而言,可以采用本申请上述实施例步骤101至步骤106对应的实现方法,或者步骤101至步骤106的替换方案,也可以采用本申请上述实施例步骤201至步骤205对应的实现方法,或者步骤201至步骤205的替换方案,也可以采用本申请上述实施例步骤301至步骤304对应的实现方法,或者步骤301至步骤104的替换方案,也可以采用本申请上述实施例步骤401至步骤406对应的实现方法,或者步骤401至步骤406的替换方案。具体内容,此处不再累述。
对于终端将SUPI加密成第二SUCI的场景,AMF网元根据第一SUCI寻址归属AUSF网元的具体实现方式,可以参见图6至图7所对应的实施例部分,具体而言,可以采用本申请上述实施例步骤501至步骤503对应的实现方法,或者步骤501至步骤503的替换方案,也可以采用本申请上述实施例步骤601至步骤604对应的实现方法,或者步骤601至步骤604的替换方案。具体内容此处不再累述。
本申请还提供另一种通信方法,用于实现在终端将SUPI加密成第二SUCI之后,AUSF网元根据第一SUCI寻址归属UDM网元,以及AMF网元根据第一SUCI寻址归属AUSF网元,可适用于非漫游场景,也可以适用于漫游场景。具体如图9所示,包括如下步骤:
终端将SUPI加密成第二SUCI,下面结合附图说明此种场景下AMF网元如何寻址归属AUSF网元,以及AUSF网元如何寻址归属UDM网元。如图9所示,具体包括以下步骤:
步骤801,终端根据本地公钥对用户永久标识SUPI进行加密,得到第二SUCI,所述第二SUCI包括MSIN,所述MSIN全部为密文。
其中,SUPI包括MCC、MNC和MSIN,其中MSIN包括用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6。终端根据本地公钥对SUPI进行加密,得到第二SUCI,是指对MSIN的用户归属区域信息H1H2H3H4和剩余号段X1X2X3X4X5X6都进行加密,最终得到的第二SUCI包括明文的MCC和MNC,以及密文的MSIN。
作为一种可选示例,所述终端根据当前位置信息,确定服务网络为漫游网络时,根据本地公钥对所述SUPI进行加密,得到所述第二SUCI。
步骤802,所述终端向AMF网元发送所述第二SUCI和用户归属区域信息,所述第二SUCI和所述用户归属区域信息用于向所述AMF网元对终端进行注册。
其中,所述终端向AMF网元发送所述第二SUCI和用户归属区域信息时,可以发送任何用于向所述AMF网元请求注册的消息,消息中包含所述第二SUCI和用户归属区域信息。
可选的,所述终端向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第二SUCI和用户归属区域信息。
作为一种示例,所述终端向AMF网元发送注册请求,注册请求中包含所述第二SUCI和用户归属区域信息,该注册请求可以是终端向服务网络进行初次注册时发送的。
步骤803,AMF网元接收来自终端的第二SUCI和用户归属区域信息,AMF网元向所述用户归属区域信息关联的归属AUSF网元发送所述用户归属区域信息和所述第二SUCI,所述用户归属区域信息和所述第二SUCI用于所述AUSF鉴权。
可选的,AMF网元向所述用户归属区域信息关联的归属AUSF网元发送所述用户归属区域信息和所述第二SUCI之前,还包括:所述AMF网元根据所述用户归属区域信息,确定用户归属区域信息关联的归属AUSF网元。
其中,AMF网元向所述归属AUSF网元发送所述用户归属区域信息和所述第二SUCI时,可以发送任何用于向所述AUSF请求鉴权的消息,消息中包含所述用户归属区域信息和所述第二SUCI。
可选的,所述AMF网元根据所述用户归属区域信息,向所述用户归属区域信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述用户归属区域信息和所述第二SUCI。
作为一种示例,AMF网元向所述归属AUSF网元发送鉴权请求,鉴权请求中包含所述用户归属区域信息和所述第二SUCI,该鉴权请求可以是AMF网元触发鉴权流程时发送的。
步骤804,AUSF网元接收来自AMF网元的第二SUCI和用户归属区域信息,所述AUSF网元根据用户归属区域信息,向归属UDM网元发送所述第二SUCI和所述用户归属区域信息,所述第二SUCI和所述用户归属区域信息用于所述归属UDM网元获取鉴权矢量。
可选的,AUSF网元接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含第二SUCI和用户归属区域信息。作为一种示例,第一消息为鉴权矢量。
其中,AUSF网元向归属UDM网元发送所述第二SUCI和所述用户归属区域信息时,可以发送任何用于向所述归属UDM网元请求获取鉴权矢量的消息,消息中包含所述第二SUCI和所述用户归属区域信息。
可选的,所述AUSF网元向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第二SUCI和所述用户归属区域信息。
作为一种示例,AUSF网元向归属UDM网元发送鉴权矢量获取请求,鉴权矢量获取请求中包含所述第二SUCI和所述用户归属区域信息。
步骤805,归属UDM网元根据所述第二SUCI和所述用户归属区域信息生成鉴权矢量,向所述AUSF网元发送所述鉴权矢量。
上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是,上述实现各网元为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在第一种可能的设计中,本申请实施例提供一种装置,可用于执行第一方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
发送单元,用于向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含所述SUCI;
所述接收单元,还用于接收来自所述NRF网元的第一寻址信息,所述第一寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;
处理单元,用于根据所述第一寻址信息,通过发送单元向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
在第一种可能的设计中,本申请实施例提供一种装置,可用于执行第一方面NRF网元的功能,包括:
接收单元,用于接收来自AUSF网元的第二消息,所述第二消息用于向所述NRF网元请求发现UDM网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
处理单元,还用于根据所述SUCI的解密信息,通过发送单元向所述AUSF网元发送所述第一寻址信息。所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述第一寻址信息包括一个或多个与所述用户归属区域信息关联的UDM网元地址;或者,
所述第一寻址信息包括与所述UDM网元地址和所述SUPI;或者,
所述第一寻址信息包括与所述UDM网元地址和所述用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第二种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
发送单元,用于向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;
接收单元,还用于接收来自所述第一UDM网元的第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息;
处理单元,用于根据所述第四消息,通过发送单元向归属UDM网元发送第三消息,所述归属UDM网元是与所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的UDM网元;所述第三消息用于向所述归属UDM网元请求获取鉴权矢量;
接收单元,还用于接收来自所述归属UDM网元的鉴权矢量。
在第二种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面第一UDM网元的功能,包括:
接收单元,用于接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI;所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述第一UDM网元根据所述SUCI的解密信息,确定归属UDM网元不是所述第一UDM网元时,通过发送单元向所述AUSF网元发送第四消息,所述第四消息包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息为所述第一UDM网元根据所述SUCI的解密信息获得。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第二种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面第一UDM网元的功能,包括:
接收单元,用于接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;根据所述SUCI的解密信息,通过发送单元向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息是所述第一UDM网元根据所述SUCI的解密信息获得的。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第三种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
发送单元,用于向第一UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;
接收单元,还用于所述AUSF网元接收鉴权矢量;其中,所述鉴权矢量是所述第一UDM网元根据本地私钥对所述SUCI进行解密并确定归属UDM网元为所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送的;或者,所述鉴权矢量是所述第一UDM网元根据本地私钥对所述SUCI进行解密并确定归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量之后向所述AUSF网元发送的;或者,所述鉴权矢量是所述第一UDM网元确定归属UDM网元为所述第二UDM网元并向所述第二UDM网元发送第三消息之后,所述第二UDM网元向所述AUSF网元发送的,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
在第三种可能的设计中,本申请实施例提供一种装置,可用于执行第二方面第一UDM网元的功能,包括:
接收单元,用于接收来自AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到SUPI;根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为所述第一UDM网元时,通过发送单元向所述AUSF网元发送鉴权矢量;或者,当所述归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量,并通过发送单元向所述AUSF网元发送所述鉴权矢量;或者,当所述归属UDM网元为所述第二UDM网元时,通过发送单元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
在第四种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到SUPI;
发送单元,用于向所述SUPI关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;
接收单元,还用于接收来自所述归属UDM网元的鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成的。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第五种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面第一AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到SUPI;
发送单元,用于向所述SUPI关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述SUPI;
接收单元,还用于接收来自所述归属AUSF网元的所述鉴权矢量,所述鉴权矢量是所述归属AUSF网元根据所述SUPI从归属UDM网元处获取的。
在第六种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面第一AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到SUPI;根据所述SUPI,通过发送单元向所述AMF网元发送第四消息,所述第四消息包含所述SUPI或归属AUSF网元的寻址信息,所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第七种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面第一AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到SUPI;
发送单元,用于向所述AMF网元发送第四消息,所述第四消息包含所述SUPI。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
其中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第七种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面AMF网元的功能,包括:
发送单元,用于向第一AUSF网元发送第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
接收单元,用于接收来自所述第一AUSF网元的第四消息,所述第四消息包含SUPI或归属AUSF网元的寻址信息,所述SUPI或所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的;
处理单元,用于根据所述第四消息,通过发送单元向归属AUSF网元发送第一消息,所述归属AUSF网元是与所述归属AUSF网元的寻址信息或所述SUCI的解密信息(SUPI)关联的AUSF网元,所述第一消息用于向所述归属AUSF网元请求鉴权。
在第七种可能的设计中,本申请实施例提供一种装置,可用于执行第三方面归属AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUPI;
发送单元,用于向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;
接收单元,还用于接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成。
其中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在第八种可能的设计中,本申请实施例提供一种装置,可用于执行第四方面AMF网元的功能,包括:
发送单元,用于向NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
接收单元,用于接收来自所述NRF网元的第一寻址信息,所述第二寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的AUSF网元寻址信息;
处理单元,用于根据所第二寻址信息,通过发送单元向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI或者所述SUCI的解密信息。
在上述可能的设计中,所述SUCI的解密信息包括SUPI或用户归属区域信息。
在上述可能的设计中,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址;或者,所述第二寻址信息包括所述AUSF网元地址和所述SUPI;或者,所述第二寻址信息包括所述AUSF网元地址和所述用户归属区域信息。
在上述可能的设计中,所述根据公钥生成的密文具体是根据公钥对SUPI中的MSIN加密成的密文,其中所述MSIN包括用户归属区域信息。
在第八种可能的设计中,本申请实施例提供一种装置,可用于执行第四方面NRF网元的功能,包括:
接收单元,用于接收来自AMF网元的第二消息,所述第二消息用于向所述NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
处理单元,用于根据所述SUCI的解密信息,向所述AMF网元发送所述第二寻址信息,所述第二寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的AUSF网元寻址信息。在第九种可能的设计中,本申请实施例提供一种装置,可用于执行第五方面服务网络的AMF网元的功能,包括:
发送单元,用于发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
接收单元,用于接收来自归属NRF网元的第二寻址信息,所述第二寻址信息是所述归属NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的AUSF网元寻址信息;或者,所述第二寻址信息是所述归属NRF网元从所述归属SEPP网元处获取所述SUCI的解密信息之后,根据SUCI的解密信息获取的AUSF网元寻址信息;
处理单元,用于根据所第二寻址信息,向所述第二寻址信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息中包含所述SUCI或者所述SUCI的解密信息。
在第十种可能的设计中,本申请实施例提供一种装置,可用于执行第五方面归属SEPP网元的功能,包括:
接收单元,用于接收来自服务网络的AMF网元的第二消息,所述第二消息用于向归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
发送单元,用于向所述归属NRF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含所述SUCI的解密信息。
在第十种可能的设计中,本申请实施例提供一种装置,可用于执行第五方面归属NRF网元的功能,包括:
接收单元,用于接收来自归属SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含SUCI的解密信息;
处理单元,用于根据所述SUCI的解密信息,向AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
在第十一种可能的设计中,本申请实施例提供一种装置,可用于执行第五方面归属NRF网元的功能,包括:
接收单元,用于接收来自归属SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
处理单元,用于根据所述SUCI的解密信息向AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
在第十二种可能的设计中,本申请实施例提供一种装置,可用于执行第六方面终端的功能,包括:
处理单元,用于根据本地公钥对用户永久标识SUPI的进行加密,得到第一SUCI,所述第一SUCI包括MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN的其余信息为密文;
发送单元,用于向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
在第十二种可能的设计中,所述终端根据本地公钥对SUPI进行加密,得到第一SUCI,包括:
处理单元,用于根据当前位置信息,确定服务网络为归属网络时,根据本地公钥对SUPI进行加密得到所述第一SUCI。
在第十二种可能的设计中,本申请实施例提供一种装置,可用于执行第六方面AMF网元的功能,包括:
接收单元,用于接收来自终端的第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含第一SUCI,所述第一SUCI包括MSIN,所述MSIN的用户归属区域信息为明文,所述MSIN的其余信息为密文;
处理单元,用于根据所述第一SUCI,向所述第一SUCI关联的所述归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述第一SUCI。
在第十二种可能的设计中,本申请实施例提供一种装置,可用于执行第六方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含第一SUCI,所述第一SUCI包括MSIN,所述MSIN的用户归属区域信息为明文,所述MSIN的其余信息为密文;
发送单元,用于向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第一SUCI;
接收单元,还用于接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述第一SUCI生成。
在第十三种可能的设计中,本申请实施例提供一种装置,可用于执行第七方面终端的功能,包括:
处理单元,用于根据本地公钥对用户永久标识SUPI的进行加密,得到第二SUCI,所述第二SUCI包括MSIN,所述MSIN全部为密文;
发送单元,用于向AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第二SUCI和用户归属区域信息。
在第十三种可能的设计中,终端根据本地公钥对用户永久标识SUPI的进行加密,得到第二SUCI,包括:
处理单元,用于根据当前位置信息,确定服务网络为漫游网络时,根据本地公钥对所述SUPI进行加密,得到所述第二SUCI。
在第十三种可能的设计中,本申请实施例提供一种装置,可用于执行第七方面AMF网元的功能,包括:
接收单元,用于接收来自终端的第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含第二SUCI和用户归属区域信息,所述第二SUCI包括MSIN,所述MSIN全部为密文;
处理单元,用于根据所述用户归属区域信息,向所述用户归属区域信息关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述用户归属区域信息和所述第二SUCI。
在第十三种可能的设计中,本申请实施例提供一种装置,可用于执行第六方面AUSF网元的功能,包括:
接收单元,用于接收来自AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含第二SUCI和用户归属区域信息,所述第二SUCI包括MSIN,所述MSIN全部为密文;
发送单元,用于向归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述第二SUCI和所述用户归属区域信息;
接收单元,用于接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述第二SUCI和所述用户归属区域信息生成的。
在采用集成的单元的情况下,图10示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置1000可以以软件的形式存在,也可以为AMF网元,还可以为AMF网元中的芯片。装置1000包括:处理单元1002和通信单元1003,通信单元1003可以包括接收单元和发送单元。处理单元1002用于对装置1000的动作进行控制管理。通信单元1003用于支持装置1000与其他网络实体(例如终端、网络功能库网元)的通信。装置1000还可以包括存储单元1001,用于存储装置1000的程序代码和数据。
其中,处理单元1002可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1003可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:AMF网元和终端之间的接口,AMF网元和网络功能库网元之间的接口,和/或其他接口。存储单元1001可以是存储器。
处理单元1002可以支持装置1000执行上文中各方法示例中AMF网元的动作。通信单元1003可以支持装置1000与终端之间的通信,例如,通信单元1003可以支持装置1000执行图2至图9所示方法中涉及AMF网元的处理过程和/或本申请所描述的技术方案的其他过程。
当处理单元1002为处理器,通信单元1003为通信接口,存储单元1001为存储器时,本发明实施例所涉及的装置1000可以为图11所示的AMF网元1100。
参阅图11所示,该AMF网元1100包括:处理器1102、通信接口1103、存储器1101(可选的)。可选的,AMF网元1100还可以包括总线1104。其中,通信接口1103、处理器1102以及存储器1101可以通过总线1104相互连接;总线1104可以是PCI总线或EISA总线等。所述总线1104可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图12示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置1200可以以软件的形式存在,也可以为AUSF网元,还可以为AUSF网元中的芯片。装置1200包括:处理单元1202和通信单元1203,通信单元1203可以包括接收单元和发送单元。处理单元1202用于对装置1200的动作进行控制管理。通信单元1203用于支持装置1200与其他网络实体(例如多媒体系统入口网元)的通信。装置1200还可以包括存储单元1201,用于存储装置1200的程序代码和数据。
其中,处理单元1202可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1203可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:AUSF网元和多媒体系统入口网元之间的接口,和/或其他接口。存储单元1201可以是存储器。
处理单元1202可以支持装置1200执行上文中各方法示例中AUSF网元的动作。通信单元1203可以支持装置1200与终端之间的通信,例如,通信单元1203可以支持装置1200执行图2至图9所示方法中涉及AUSF网元的处理过程和/或本申请所描述的技术方案的其他过程。
当处理单元1202为处理器,通信单元1203为通信接口,存储单元1201为存储器时,本发明实施例所涉及的装置1200可以为图13所示的AUSF网元1300。
参阅图13所示,该AUSF网元1300包括:处理器1302、通信接口1303、存储器1301(可选的)。可选的,AUSF网元1300还可以包括总线1304。其中,通信接口1303、处理器1302以及存储器1301可以通过总线1304相互连接;总线1304可以是PCI总线或EISA总线等。所述总线1304可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图14示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置1400可以以软件的形式存在,也可以为UDM网元,还可以为UDM网元中的芯片。装置1400包括:处理单元1402和通信单元1403,通信单元1403可以包括接收单元和发送单元。处理单元1402用于对装置1400的动作进行控制管理。通信单元1403用于支持装置1400与其他网络实体(例如多媒体系统入口网元)的通信。装置1400还可以包括存储单元1401,用于存储装置1400的程序代码和数据。
其中,处理单元1402可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1403可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:UDM网元和多媒体系统入口网元之间的接口,和/或其他接口。存储单元1401可以是存储器。
处理单元1402可以支持装置1400执行上文中各方法示例中UDM网元的动作。通信单元1403可以支持装置1400与终端之间的通信,例如,通信单元1403可以支持装置1400执行图2至图9所示方法中涉及UDM网元的处理过程和/或本申请所描述的技术方案的其他过程。
当处理单元1402为处理器,通信单元1403为通信接口,存储单元1401为存储器时,本发明实施例所涉及的装置1400可以为图15所示的UDM网元1500。
参阅图15所示,该UDM网元1500包括:处理器1502、通信接口1503、存储器1501(可选的)。可选的,UDM网元1500还可以包括总线1504。其中,通信接口1503、处理器1502以及存储器1501可以通过总线1504相互连接;总线1504可以是PCI总线或EISA总线等。所述总线1504可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在采用集成的单元的情况下,图16示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置1600可以以软件的形式存在,也可以为终端,还可以为终端中的芯片。装置1600包括:处理单元1602和通信单元1603。在一种实现方式中,通信单元1603包括接收单元和发送单元。处理单元1602用于对装置1600的动作进行控制管理。通信单元1603用于支持装置1600与其他网络实体(例如DNS、P-CSCF)的通信。例如,通信单元1603用支持装置1600执行图8或者图9所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。装置1600还可以包括存储单元1601,用于存储装置1600的程序代码和数据。
其中,处理单元1602可以是处理器或控制器,例如可以是通用中央处理器(central processing unit,CPU),通用处理器,数字信号处理(digital signalprocessing,DSP),专用集成电路(application specific integrated circuits,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1603可以是通信接口、收发器或收发电路等。存储单元1601可以是存储器。
当处理单元1602为处理器,通信单元1603为收发器,存储单元1601为存储器时,本发明实施例所涉及的装置1600可以为图17所示的终端1700。
图17示出了本发明实施例中所涉及的终端的一种可能的设计结构的简化示意图。所述终端1700包括发射器1701,接收器1702和处理器1703。其中,处理器1703也可以为控制器,图17中表示为“控制器/处理器1703”。可选的,所述终端1700还可以包括调制解调处理器1705,其中,调制解调处理器1705可以包括编码器1706、调制器1707、解码器1708和解调器1709。
在一个示例中,发射器1701调节(例如,模拟转换、滤波、放大和上变频等)输出采样并生成上行链路信号,该上行链路信号经由天线发射给上述实施例中所述的DNS、P-CSCF。在下行链路上,天线接收下行链路信号。接收器1702调节(例如,滤波、放大、下变频以及数字化等)从天线接收的信号并提供输入采样。在调制解调处理器1705中,编码器1706接收要在上行链路上发送的业务数据和信令消息,并对业务数据和信令消息进行处理(例如,格式化、编码和交织)。调制器1707进一步处理(例如,符号映射和调制)编码后的业务数据和信令消息并提供输出采样。解调器1709处理(例如,解调)该输入采样并提供符号估计。解码器1708处理(例如,解交织和解码)该符号估计并提供发送给终端1700的已解码的数据和信令消息。编码器1706、调制器1707、解调器1709和解码器1708可以由合成的调制解调处理器1705来实现。这些单元根据无线接入网采用的无线接入技术(例如,LTE及其他演进系统的接入技术)来进行处理。需要说明的是,当终端1700不包括调制解调处理器1705时,调制解调处理器1705的上述功能也可以由处理器1703完成。
处理器1703对终端1700的动作进行控制管理,用于执行上述本发明实施例中由终端1700进行的处理过程。例如,处理器1703还用于执行图9或图8所示方法中涉及终端的处理过程和/或本申请所描述的技术方案的其他过程。
进一步的,终端1700还可以包括存储器1704,存储器1704用于存储用于终端1700的程序代码和数据。
在采用集成的单元的情况下,图18示出了本发明实施例中所涉及的一种装置的可能的示例性框图,该装置1800可以以软件的形式存在,也可以为NRF网元,还可以为NRF网元中的芯片。装置1800包括:处理单元1802和通信单元1803,通信单元1803可以包括接收单元和发送单元。处理单元1802用于对装置1800的动作进行控制管理。通信单元1803用于支持装置1800与其他网络实体(例如多媒体系统入口网元)的通信。装置1800还可以包括存储单元1801,用于存储装置1800的程序代码和数据。
其中,处理单元1802可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1803可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:NRF网元和多媒体系统入口网元之间的接口,和/或其他接口。存储单元1801可以是存储器。
处理单元1802可以支持装置1800执行上文中各方法示例中NRF网元的动作。通信单元1803可以支持装置1800与终端之间的通信,例如,通信单元1803可以支持装置1800执行图2至图9所示方法中涉及NRF网元的处理过程和/或本申请所描述的技术方案的其他过程。
当处理单元1802为处理器,通信单元1803为通信接口,存储单元1801为存储器时,本发明实施例所涉及的装置1800可以为图19所示的NRF网元1900。
参阅图19所示,该NRF网元1900包括:处理器1902、通信接口1903、存储器1901(可选的)。可选的,NRF网元1900还可以包括总线1904。其中,通信接口1903、处理器1902以及存储器1901可以通过总线1904相互连接;总线1904可以是PCI总线或EISA总线等。所述总线1904可以分为地址总线、数据总线、控制总线等。为便于表示,图19中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于终端设备中。可选地,处理器和存储媒介也可以设置于终端设备中的不同的部件中。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (29)
1.一种通信方法,其特征在于,包括:
认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述AUSF网元向网络注册和发现功能NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现统一数据管理UDM网元,所述第二消息包含所述SUCI;
所述AUSF网元接收来自所述NRF网元的第一寻址信息,所述第一寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;
所述AUSF网元根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
2.一种通信方法,其特征在于,包括:
网络注册和发现功能NRF网元接收来自认证服务器功能AUSF网元的第二消息,所述第二消息用于向所述NRF网元请求发现统一数据管理UDM网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述NRF网元根据所述SUCI的解密信息,向所述AUSF网元发送第一寻址信息,所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
3.根据权利要求1或2所述的通信方法,其特征在于,所述第一寻址信息包括一个或多个与用户归属区域信息关联的UDM网元地址;或者,
所述第一寻址信息包括所述UDM网元地址和用户永久标识SUPI;或者,
所述第一寻址信息包括所述UDM网元地址和所述用户归属区域信息。
4.一种通信方法,其特征在于,包括:
认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述AUSF网元向第一统一数据管理UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;
所述AUSF网元接收来自所述第一UDM网元的第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息;
所述AUSF网元根据所述第四消息,向所述归属UDM网元发送第三消息,所述归属UDM网元是与所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的UDM网元;所述第三消息用于向所述归属UDM网元请求获取鉴权矢量;
所述AUSF网元接收来自所述归属UDM网元的鉴权矢量。
5.一种通信方法,其特征在于,包括:
第一统一数据管理UDM网元接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI;所述SUCI包括根据公钥生成的密文;
所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;所述第一UDM网元根据所述SUCI的解密信息,确定归属UDM网元不是所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送第四消息,所述第四消息包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息为所述第一UDM网元根据所述SUCI的解密信息获得。
6.一种通信方法,其特征在于,包括:
第一统一数据管理UDM网元接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述第一UDM网元根据所述SUCI的解密信息,向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息是所述第一UDM网元根据所述SUCI的解密信息获得的。
7.一种通信方法,其特征在于,包括:
第一统一数据管理UDM网元接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述第一UDM网元根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述第一UDM网元根据所述SUPI,确定归属UDM网元;
当所述归属UDM网元为所述第一UDM网元时,所述第一UDM网元向所述AUSF网元发送鉴权矢量;或者,
当所述归属UDM网元为第二UDM网元时,所述第一UDM网元从所述第二UDM网元处获取所述鉴权矢量,并向所述AUSF网元发送所述鉴权矢量;或者,
当所述归属UDM网元为所述第二UDM网元时,所述第一UDM网元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
8.一种通信方法,其特征在于,包括:
认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述AUSF网元根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述AUSF网元向所述SUPI关联的归属统一数据管理UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;
所述AUSF网元接收来自所述归属UDM网元的鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成的。
9.一种通信方法,其特征在于,包括:
第一认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述第一AUSF网元根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述第一AUSF向所述SUPI关联的归属AUSF网元发送第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含所述SUPI;
所述第一AUSF网元接收来自所述归属AUSF网元的鉴权矢量,所述鉴权矢量是所述归属AUSF网元根据所述SUPI从归属UDM网元处获取的。
10.一种通信方法,其特征在于,包括:
第一认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述第一AUSF网元根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述第一AUSF根据所述SUPI,向所述AMF网元发送第四消息,所述第四消息包含所述SUPI或归属AUSF网元的寻址信息,所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的。
11.一种通信方法,其特征在于,包括:
接入和移动性管理功能AMF网元向第一认证服务器功能AUSF网元发送第一消息,所述第一消息用于向所述第一AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述AMF网元接收来自所述第一AUSF网元的第四消息,所述第四消息包含用户永久标识SUPI或归属AUSF网元的寻址信息,所述SUPI或所述归属AUSF网元的寻址信息是所述第一AUSF网元根据本地私钥对所述SUCI进行解密的解密信息获得的;
所述AMF网元根据所述第四消息,向归属AUSF网元发送第一消息,所述归属AUSF网元是与所述归属AUSF网元的寻址信息或所述SUPI关联的AUSF网元,所述第一消息用于向所述归属AUSF网元请求鉴权。
12.一种通信方法,其特征在于,包括:
归属认证服务器功能AUSF网元接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向所述归属AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
当所述第一消息包含所述SUCI时,所述归属AUSF网元根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述归属AUSF网元向归属统一数据管理UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUPI;
所述归属AUSF网元接收来自所述归属UDM网元的所述鉴权矢量,所述鉴权矢量是所述归属UDM网元根据所述SUPI生成。
13.一种通信方法,其特征在于,包括:
网络注册和发现功能NRF网元接收来自接入和移动性管理功能AMF网元的第二消息,所述第二消息用于向所述NRF网元请求发现认证服务器功能AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述NRF网元根据所述SUCI的解密信息,向所述AMF网元发送第二寻址信息,所述第二寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的AUSF网元寻址信息。
14.一种通信方法,其特征在于,包括:
归属安全边缘保护代理SEPP网元接收来自服务网络的接入和移动性管理功能AMF网元的第二消息,所述第二消息用于向归属网络注册和发现功能NRF网元请求发现认证服务器功能AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述归属SEPP网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述归属SEPP网元向所述归属NRF网元发送第二消息,所述第二消息用于向所述归属NRF网元请求发现AUSF网元,所述第二消息包含所述SUCI的解密信息。
15.一种通信方法,其特征在于,包括:
归属网络注册和发现功能NRF网元接收来自归属安全边缘保护代理SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现认证服务器功能AUSF网元,所述第二消息包含用户隐藏标识SUCI的解密信息;
所述归属NRF网元根据所述SUCI的解密信息,向接入和移动性管理功能AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
16.一种通信方法,其特征在于,包括:
归属网络注册和发现功能NRF网元接收来自归属安全边缘保护代理SEPP网元的第二消息,所述第二消息用于向所述归属NRF网元请求发现认证服务器功能AUSF网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述归属NRF网元根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述归属NRF网元根据所述SUCI的解密信息向接入和移动性管理功能AMF网元发送第二寻址信息;所述第二寻址信息是所述归属NRF网元根据所述SUCI的解密信息获取的AUSF网元寻址信息。
17.根据权利要求15或16所述的通信方法,其特征在于,所述第二寻址信息包括一个或多个与用户归属区域信息关联的AUSF网元地址;或者,
所述第二寻址信息包括所述AUSF网元地址和用户永久标识SUPI;或者,
所述第二寻址信息包括所述AUSF网元地址和所述用户归属区域信息。
18.一种通信方法,其特征在于,包括:
终端根据当前的位置信息,确定服务网络为归属网络;
所述终端根据本地公钥对用户永久标识SUPI进行加密,得到第一用户隐藏标识SUCI,所述第一SUCI包括移动用户识别号MSIN,所述MSIN中的用户归属区域信息为明文,所述MSIN的其余信息为密文;
所述终端向接入和移动性管理功能AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第一SUCI。
19.一种通信方法,其特征在于,包括:
终端根据当前的位置信息,确定服务网络为漫游网络;
所述终端根据本地公钥对用户永久标识SUPI进行加密,得到第二用户隐藏标识SUCI,所述第二SUCI包括移动用户识别号MSIN,所述MSIN中的用户归属区域信息和其余信息均为密文;
所述终端向接入和移动性管理功能AMF网元发送第五消息,所述第五消息用于向所述AMF网元请求注册,所述第五消息包含所述第二SUCI和所述用户归属区域信息的明文。
20.一种通信装置,其特征在于,包括:
通信单元,用于接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向认证服务器功能AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述通信单元,还用于向网络注册和发现功能NRF网元发送第二消息,所述第二消息用于向所述NRF网元请求发现统一数据管理UDM网元,所述第二消息包含所述SUCI;
所述通信单元,还用于接收来自所述NRF网元的第一寻址信息,所述第一寻址信息是所述NRF网元根据本地私钥对所述SUCI进行解密,获得SUCI的解密信息,并根据SUCI的解密信息获取的UDM网元寻址信息;
处理单元,用于根据所述第一寻址信息,向所述第一寻址信息关联的归属UDM网元发送第三消息,所述第三消息用于向所述归属UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI。
21.一种通信装置,其特征在于,包括:
通信单元,用于接收来自认证服务器功能AUSF网元的第二消息,所述第二消息用于向网络注册和发现功能NRF网元请求发现统一数据管理UDM网元,所述第二消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述处理单元,用于根据所述SUCI的解密信息,通过所述通信单元向所述AUSF网元发送第一寻址信息,所述第一寻址信息是所述NRF网元根据所述SUCI的解密信息获取到的UDM网元寻址信息。
22.根据权利要求20或21所述的装置,其特征在于,所述第一寻址信息包括一个或多个与用户归属区域信息关联的UDM网元地址;或者,
所述第一寻址信息包括所述UDM网元地址和用户永久标识SUPI;或者,
所述第一寻址信息包括所述UDM网元地址和所述用户归属区域信息。
23.一种通信装置,其特征在于,包括:
通信单元,用于接收来自接入和移动性管理功能AMF网元的第一消息,所述第一消息用于向认证服务器功能AUSF网元请求鉴权,所述第一消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
所述通信单元,还用于向第一统一数据管理UDM网元发送第三消息,所述第三消息用于向所述第一UDM网元请求获取鉴权矢量,所述第三消息包含所述SUCI;
所述通信单元,还用于接收来自所述第一UDM网元的第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息;
处理单元,用于根据所述第四消息,通过所述通信单元向所述归属UDM网元发送第三消息,所述归属UDM网元是与所述归属UDM网元的寻址信息或所述SUCI的解密信息关联的UDM网元;所述第三消息用于向所述归属UDM网元请求获取鉴权矢量;
所述通信单元,还用于接收来自所述归属UDM网元的鉴权矢量。
24.一种通信装置,其特征在于,包括:
通信单元,用于接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向第一统一数据管理UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述处理单元,还用于根据所述SUCI的解密信息,确定归属UDM网元不是所述第一UDM网元时,通过所述通信单元向所述AUSF网元发送第四消息,所述第四消息包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息为所述第一UDM网元根据所述SUCI的解密信息获得。
25.一种通信装置,其特征在于,包括:
通信单元,用于接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向第一统一数据管理UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到所述SUCI的解密信息;
所述处理单元,还用于根据所述SUCI的解密信息,通过所述通信单元向所述AUSF网元发送第四消息,所述第四消息中包含所述SUCI的解密信息或归属UDM网元的寻址信息,所述归属UDM网元的寻址信息是所述第一UDM网元根据所述SUCI的解密信息获得的。
26.一种通信装置,其特征在于,包括:
通信单元,用于接收来自认证服务器功能AUSF网元的第三消息,所述第三消息用于向第一统一数据管理UDM网元请求获取鉴权矢量,所述第三消息包含用户隐藏标识SUCI,所述SUCI包括根据公钥生成的密文;
处理单元,用于根据本地私钥对所述SUCI进行解密,得到用户永久标识SUPI;
所述处理单元,还用于根据所述SUPI,确定归属UDM网元;当所述归属UDM网元为所述第一UDM网元时,通过所述通信单元向所述AUSF网元发送鉴权矢量;或者,当所述归属UDM网元为第二UDM网元时,从所述第二UDM网元处获取所述鉴权矢量,并通过所述通信单元向所述AUSF网元发送所述鉴权矢量;或者,当所述归属UDM网元为所述第二UDM网元时,通过所述通信单元向所述第二UDM网元发送第三消息,所述第三消息用于向所述第二UDM网元请求获取鉴权矢量,所述第三消息包含SUPI,以使所述第二UDM网元根据所述SUPI生成所述鉴权矢量。
27.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器读取并执行所述存储器中存储的计算机程序时,使得所述通信装置实现权利要求1至19中任意一项所述的方法。
28.一种通信装置,其特征在于,包括处理器和接口电路;
所述接口电路,用于交互代码指令至所述处理器;
所述处理器用于运行所述代码指令,以执行权利要求1至19中任意一项所述的方法。
29.一种可读存储介质,其特征在于,所述可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1至19中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810149811.6A CN110167013B (zh) | 2018-02-13 | 2018-02-13 | 一种通信方法及装置 |
| PCT/CN2019/074767 WO2019158028A1 (zh) | 2018-02-13 | 2019-02-11 | 一种通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810149811.6A CN110167013B (zh) | 2018-02-13 | 2018-02-13 | 一种通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110167013A CN110167013A (zh) | 2019-08-23 |
| CN110167013B true CN110167013B (zh) | 2020-10-27 |
Family
ID=67619667
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810149811.6A Active CN110167013B (zh) | 2018-02-13 | 2018-02-13 | 一种通信方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110167013B (zh) |
| WO (1) | WO2019158028A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4060963A1 (en) * | 2018-11-05 | 2022-09-21 | Telefonaktiebolaget LM Ericsson (publ) | Fully qualified domain name handling for service interactions in 5g |
| CN112566072B (zh) * | 2019-09-26 | 2022-07-22 | 华为技术有限公司 | 一种基于nf的通信方法、设备及存储介质 |
| CN112584371B (zh) * | 2019-09-30 | 2022-05-10 | 华为技术有限公司 | 漫游信令消息发送的方法、相关设备和通信系统 |
| CN112672336B (zh) * | 2019-09-30 | 2024-04-30 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信系统 |
| CN113382410B (zh) * | 2020-02-21 | 2022-12-06 | 华为技术有限公司 | 通信方法和相关装置及计算机可读存储介质 |
| CN113541925B (zh) * | 2020-03-30 | 2023-02-14 | 华为技术有限公司 | 通信系统、方法及装置 |
| CN113596831B (zh) * | 2020-04-14 | 2022-12-30 | 华为技术有限公司 | 一种切片认证中标识用户设备的通信方法和通信设备 |
| CN115398946A (zh) * | 2020-04-28 | 2022-11-25 | 中兴通讯股份有限公司 | 认证与密钥协商中的认证服务器功能选择 |
| CN111638997A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 数据恢复方法、装置及网络设备 |
| CN111741467B (zh) * | 2020-06-19 | 2023-04-18 | 中国联合网络通信集团有限公司 | 一种鉴权方法及装置 |
| CN111770496B (zh) * | 2020-06-30 | 2022-08-02 | 中国联合网络通信集团有限公司 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
| CN112003912B (zh) * | 2020-08-13 | 2021-11-02 | 广州爱浦路网络技术有限公司 | 一种5g核心网中sepp认证nf的方法 |
| US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
| CN114245378A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、相关网络设备和存储介质 |
| US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
| CN115843434A (zh) * | 2020-09-29 | 2023-03-24 | Oppo广东移动通信有限公司 | 网元发现方法、装置、设备及存储介质 |
| CN114423001A (zh) * | 2020-10-13 | 2022-04-29 | 中兴通讯股份有限公司 | 解密方法、服务器及存储介质 |
| US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
| CN112468483B (zh) * | 2020-11-24 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 基于5g边缘防护代理的服务动态分配及信令防护方法 |
| US11818570B2 (en) * | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
| US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
| CN114727285B (zh) * | 2021-01-04 | 2024-05-14 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
| CN114401506A (zh) * | 2021-12-16 | 2022-04-26 | 中国电信股份有限公司 | 通信方法及装置、存储介质 |
| US11974134B2 (en) | 2022-01-28 | 2024-04-30 | Oracle International Corporation | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network |
| CN117062051A (zh) * | 2022-05-06 | 2023-11-14 | 华为技术有限公司 | 密钥管理方法及通信装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969638A (zh) * | 2010-09-30 | 2011-02-09 | 中国科学院软件研究所 | 一种移动通信中对imsi进行保护的方法 |
| CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2273522C (en) * | 1999-06-01 | 2009-03-24 | Nortel Networks Corporation | High speed ethernet based on sonet technology |
-
2018
- 2018-02-13 CN CN201810149811.6A patent/CN110167013B/zh active Active
-
2019
- 2019-02-11 WO PCT/CN2019/074767 patent/WO2019158028A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101969638A (zh) * | 2010-09-30 | 2011-02-09 | 中国科学院软件研究所 | 一种移动通信中对imsi进行保护的方法 |
| CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP TS 33.501 V0.7.0;3GPP;《3GPP》;20180131;正文第6-9节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019158028A1 (zh) | 2019-08-22 |
| CN110167013A (zh) | 2019-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110167013B (zh) | 一种通信方法及装置 | |
| CA3096143C (en) | Unified subscription identifier management in communication systems | |
| EP3681186B1 (en) | Secure protection method, computer readable storage medium, apparatus and computer program product | |
| US11751051B2 (en) | Authentication method based on GBA, and device thereof | |
| JP7047921B2 (ja) | 通信装置、第1のネットワーク装置、通信装置の方法、及び第1のネットワーク装置の方法 | |
| KR20210014669A (ko) | 통신 방법 및 통신 장치 | |
| CN116017424A (zh) | 用于控制认证请求的隐私指示符 | |
| CN112218287B (zh) | 一种通信方法及装置 | |
| US20220279471A1 (en) | Wireless communication method for registration procedure | |
| WO2018053804A1 (zh) | 一种加密保护方法及相关设备 | |
| CA3204394A1 (en) | Registration method and apparatus, authentication method and apparatus, routing indicator determination method and apparatus, entity, and terminal | |
| CN117041955A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| CN106550362B (zh) | 智能设备安全接入无线局域网络的方法和系统 | |
| EP3745806B1 (en) | Communication method and device for communication between terminal device and network function | |
| EP3622736B1 (en) | Privacy key in a wireless communication system | |
| CN114208111B (zh) | 一种通信方法、装置及系统 | |
| CN116074821A (zh) | 一种通信方法及装置 | |
| CN112688908A (zh) | 安全通信的方法和装置 | |
| CN109155775B (zh) | 一种移动设备、网络节点及其方法 | |
| WO2023241899A1 (en) | Apparatus, method and computer program for privacy protection of subscription identifiers | |
| WO2023223118A1 (en) | Subscription identification in networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |