CN110167081B - 认证方法及装置、消息处理方法及装置、存储介质 - Google Patents
认证方法及装置、消息处理方法及装置、存储介质 Download PDFInfo
- Publication number
- CN110167081B CN110167081B CN201810150834.9A CN201810150834A CN110167081B CN 110167081 B CN110167081 B CN 110167081B CN 201810150834 A CN201810150834 A CN 201810150834A CN 110167081 B CN110167081 B CN 110167081B
- Authority
- CN
- China
- Prior art keywords
- network function
- terminal
- message
- authentication
- nas
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种认证方法及装置、消息处理方法及装置、存储介质,该认证方法包括:第一网络功能与终端建立非接入层NAS连接后,向所述终端发送认证请求或重认证请求;所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求,向所述第二网络功能发送第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生。本实施例提供的方案,使得第二网络功能与终端的安全上下文一致,从而使得网络侧能为终端提供服务。
Description
技术领域
本发明涉及通信技术,尤指一种认证方法及装置、消息处理方法及装置。
背景技术
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)提出了一种多NAS(Non Access Stratum,非接入层)连接的注册方案,终端通过第一接入网与第一接入管理功能建立NAS连接后,向第二接入管理功能注册,第二接入管理功能从第一接入管理功能获取终端的上下文后,通知第一接入网接入管理功能改变,完成与终端的注册。上述注册过程中可能会出现第一接入管理功能或第二接入管理功能无法正确为终端服务的问题。另外,可能出现无法处理来自终端的NAS消息的问题。
发明内容
本发明至少一实施例提供了一种认证方法和装置,使得UE在进行多NAS连接时,网络侧能为终端提供服务。
为了达到本发明目的,本发明至少一实施例提供了一种认证方法,包括:
第一网络功能与终端建立非接入层NAS连接后,向所述终端发送认证请求或重认证请求;
所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求,向所述第二网络功能发送第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生。
本发明一实施例提供一种认证方法,包括:
第二网络功能接收到来自终端的注册请求;
所述第二网络功能向第一网络功能请求所述终端的上下文信息,接收所述第一网络功能发送的第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生。
本发明一实施例提供一种认证装置,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现上述任一实施例所述的认证方法。
本发明一实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一实施例所述的认证方法。
本发明一实施例中,第一无线接入网的第一网络功能将终端的认证向量派生的第一密钥发送给第二网络功能,使得第二网络功能与终端的安全上下文一致,从而使得网络侧能为终端提供服务。
本发明至少一实施例提供了一种消息处理方法和装置,使得UE在进行多NAS连接时,能正确处理来自终端的NAS消息。
为了达到本发明目的,本发明至少一实施例提供了一种消息处理方法,包括:
第三网络功能与终端建立NAS连接后,接收到第四网络功能发送的针对所述终端的上下文转移请求;
所述第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能;或,所述第三网络功能接收所述第四网络功能发送的第二NAS消息,其中,所述第二NAS消息由所述终端发送给所述第四网络功能;或,所述第三网络功能向所述终端发送第三NAS消息,等待第三预设时间后,将所述终端的上下文信息发送给所述第四网络功能。
本发明一实施例提供一种消息处理方法,包括:
第四网络功能通过第一接入网网元接收到来自终端的注册请求;
所述第四网络功能向第三网络功能请求所述终端的上下文信息;
所述第四网络功能接收所述第三网络功能发送的第一NAS消息,其中,所述第一NAS消息由所述终端发送给所述第三网络功能;或,所述第四网络功能通过第二接入网网元接收到来自所述终端的第二NAS消息,向所述第三网络功能发送所述第二NAS消息。
本发明一实施例提供一种消息处理装置,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现上述任一实施例所述的消息处理方法。
本发明一实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一实施例所述的消息处理方法。
本发明一实施例中,第三网络功能与终端建立NAS连接后,接收到来自第四网络功能的针对所述终端的上下文转移请求;第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能;或,所述第三网络功能接收所述第四网络功能发送的第二NAS消息,其中,所述第二NAS消息由所述终端发送给所述第四网络功能;或,所述第三网络功能向所述终端发送第三NAS消息,等待第三预设时间后,将所述终端的上下文信息发送给所述第四网络功能,从而实现正确处理NAS消息。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为相关技术中多NAS连接下的注册方法;
图2为本发明一实施例提供的认证方法流程图;
图3为本发明一实施例提供的认证方法流程图;
图4为本发明一实施例提供的认证流程图;
图5为本发明一实施例提供的认证流程图;
图6为本发明一实施例提供的认证流程图;
图7为本发明一实施例提供的认证流程图;
图8为本发明一实施例提供的认证流程图;
图9为本发明一实施例提供的消息处理方法程图;
图10为本发明另一实施例提供的消息处理方法程图;
图11为本发明另一实施例提供的消息处理方法程图;
图12为本发明另一实施例提供的消息处理方法程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
如图1所示,相关技术中的注册方案包括如下步骤:
步骤101:终端(User Equipment,UE)通过第一无线接入网(Radom AccessNetwork 1,简称RAN1)向移动网络注册,从而与第一接入管理功能(Access ManagementFunction 1,简称AMF1)建立NAS连接;
步骤102:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤103:RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤104:AMF2判断自己没有该UE的上下文,于是从所述注册请求消息中获取所述AMF1的相关信息,并向所述AMF1发送转移上下文请求,比如发送Transfer UE ContextRequest(转移终端上下文请求)消息;
步骤105:所述AMF1向AMF2返回所述UE的上下文信息,从而使得无论该UE通过哪个无线接入网发送消息,AMF2都可以为该UE提供服务;
其中,AMF1可以通过Transfer UE Context Response(转移终端上下文响应)消息携带所述UE的上下文信息,
步骤106:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤107:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response(接入管理功能改变响应)消息;
步骤108:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept(注册接受)消息;
步骤109:所述RAN2转发所述注册接受消息给所述UE。
图1所示的注册流程中,当AMF1通过RAN1向终端发起认证过程,在尚未收到UE的返回消息时,UE通过RAN2向移动网络发起注册,则UE通过认证过程修改了安全上下文后,认证的返回消息可能会在RAN1收到AMF改变请求前被RAN1收到,从而RAN1会将该消息仍旧转发给AMF1,由于AMF1已经将UE的上下文转移给了AMF2,其没有了该UE的上下文,因此导致无法处理该消息,而AMF2与UE可能还会通过RAN2执行安全过程,比如NAS SMC(Security ModeControl,安全模式控制)过程,以激活新的安全上下文,此时UE的安全上下文内容已经改变,而AMF2获得的UE的上下文信息中的安全上下文内容没有改变,即UE和AMF2的安全内容已经不同,AMF2与UE执行的安全过程失败,导致网络无法为UE继续提供服务。因此,本申请中,将认证产生的新密钥发送给AMF2,使得AMF2和UE的安全上下文内容保持一致。
图1的注册流程中,当终端UE通过RAN1发送NAS消息,而后又通过RAN2向移动网络发起注册,则先发送的NAS消息可能会在RAN1收到AMF改变请求前被RAN1收到,从而RAN1会将该NAS消息仍旧转发给AMF1,由于AMF1已经将终端UE的上下文转移给了AMF2,其没有了终端UE的上下文,导致无法处理该NAS消息。
如图2所示,本发明一实施例提供一种认证方法,包括:
步骤201,第一网络功能与终端建立NAS连接后,向所述终端发送认证请求或重认证请求;
步骤202,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求,向所述第二网络功能发送第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生。
其中,上下文转移请求用于请求终端的上下文信息。
本实施例提供的方案,第一网络功能将基于终端的认证向量中的密钥派生的第一密钥发送给第二网络功能,使得第二网络功能和第一网络功能的密钥能保持一致。
其中,第一网络功能、第二网络功能可以是接入管理功能,也可以是其他实现接入管理的核心网设备。
其中,步骤202中,第一网络功能可以通过上下文转移响应携带所述第一密钥。
在一实施例中,所述方法还包括,所述第一网络功能向所述终端发送NAS安全模式命令,接收所述终端返回的NAS安全模式完成消息,将所述NAS安全模式完成消息发送给所述第二网络功能。该实施例中,由第一网络功能发起NAS SMC过程,以激活新的安全上下文,而第一网络功能收到NAS安全模式完成消息后,由于UE的上下文已经转移给第二网络功能,因此将NAS安全模式完成消息转发给第二网络功能处理。
在一实施例中,所述方法还包括,所述第一网络功能接收所述终端返回的认证响应或重认证响应,将所述认证响应或重认证响应发送给所述第二网络功能。本实施例中,第一网络功能返回第一密钥给第二网络功能时,还未接收到来自终端的认证响应或重认证响应,仅告知第二网络功能当前处于认证过程中,在收到认证响应或重认证响应后转发给第二网络功能,由第二网络功能处理认证响应或重认证响应。
在一实施例中,将所述认证响应或重认证响应发送给所述第二网络功能前,还包括:
所述第一网络功能发送所述终端的认证向量中的期望响应给所述第二网络功能,或者,所述第一网络功能发送所述终端的认证向量中的期望响应和随机字符串给所述第二网络功能。第二网络功能根据期望响应或者,根据期望响应和随机字符串来判断认证是否有效。
在一实施例中,所述向所述第二网络功能发送第一密钥包括:所述第一网络功能接收到所述终端返回的认证响应或NAS安全模式完成消息后,向所述第二网络功能发送所述第一密钥。即第一网络功能需要等待接收到认证响应或重认证响应或NAS安全模式完成消息后,才发送第一密钥给第二网络功能。
在一实施例中,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求后,还包括:所述第一网络功能向所述第二网络功能发送状态信息,所述状态信息指示认证过程或NAS安全模式过程的进行状态。第二网络功能可以根据该状态信息执行后续操作。
在一实施例中,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求后,还包括,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求后,还包括,所述第一网络功能等待接收到所述认证请求或所述重认证请求的响应后,将所述终端的上下文信息发送给所述第二网络功能;或者,所述第一网络功能等待第一预设时间后,将所述终端的上下文信息发送给所述第二网络功能;或者,所述第一网络功能将所述终端的上下文信息缓存第二预设时间。
如图3所示,本发明一实施例提供一种认证方法,包括:
步骤301,第二网络功能接收到来自终端的注册请求;
步骤302,所述第二网络功能向第一网络功能请求所述终端的上下文信息,接收所述第一网络功能发送的第一密钥,所述第一密钥基于所述第一网络功能中所述终端的认证向量中的密钥派生。
在一实施例中,所述方法还包括,所述第二网络功能接收所述第一网络功能发送的状态信息,所述状态信息指示认证完成时,所述第二网络功能等待预设时间后执行NAS安全模式控制过程。
在一实施例中,所述方法还包括,所述第二网络功能接收所述第一网络功能发送的状态信息,根据所述状态信息等待接收所述第一网络功能返回的认证响应或重认证响应或NAS安全模式完成消息。
图4为本发明一实施例提供的认证程示意图,如图4所示,该流程包括:
步骤401:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤402:AMF1持有UE的认证向量,于是通过RAN1向UE发起认证或重认证请求,比如发送User Authentication Request,携带认证向量中的网络认证参数AUTN和随机字符串RAND;
步骤403:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤404:所述RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤405:UE收到认证请求或重认证请求后,判断AUTN有效,于是依据认证请求或重认证请求消息中的RAND和AUTN等信息计算挑战响应RES,并生成接入管理密钥Kamf2,然后通过RAN1向AMF1发送认证响应或重认证响应,比如发送User AuthenticationResponse,携带RES,AMF1根据认证向量中的期望响应HXRES,或认证向量中的RAND和期望响应HXRES,判断RES有效,于是通过UE的认证向量中的密钥Kseaf派生出接入管理密钥Kamf2,其与UE生成的Kamf2相同;
步骤406:AMF1尚未执行NAS SMC过程时,收到来自AMF2的针对UE的上下文转移请求,比如Transfer UE Context Request消息;
本实施例的另一种情况是步骤406发生在步骤405前,则AMF1可以等待一段时间以便接收到步骤405的认证认证响应或重认证响应,也可以等待接收到步骤405的认证响应或重认证响应后再执行步骤407,也可以在执行步骤407的同时缓存上下文一段时间,缓存时间可以预先设定。
步骤407:AMF1向AMF2发送上下文转移响应,比如Transfer UE Context Response消息,携带UE的上下文信息,其中包含UE的激活安全上下文信息,并携带状态信息和派生的新密钥Kamf2,所述状态信息指示所述UE的认证过程完成;
在另一实施例中,AMF1可能会基于激活安全上下文中的密钥Kamf派生新的密钥Kamf1,所述激活安全上下文中可能还包含Kamf1,此时Kamf1和Kamf2分别基于不同的密钥派生;
步骤408:可选地,AMF2等待预设时间,以便AMF1之前可能发送给UE的消息都能到达UE,这些消息都是基于激活安全上下文被保护的,等待结束后AMF2将执行NAS SMC过程生成新的激活安全上下文;
其中,所述预设时间可以根据需要设定。
步骤409:AMF2执行NAS SMC过程,通过RAN2向UE发送NAS安全模式命令(NASSecurity Mode Command)消息,所述NAS安全模式命令消息基于Kamf2的派生密钥完保;
步骤410:UE已经执行完认证过程,因此使用Kamf2的派生密钥验证NAS安全模式命令消息的完保,验证通过后通过RAN2向AMF2发送NAS安全模式完成(NAS Security ModeComplete)消息,所述NAS安全模式完成消息使用Kamf2的派生密钥完保和加密;
步骤411:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤412:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response消息;
步骤413:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept消息;
步骤414:所述RAN2转发所述注册接受消息给所述UE。
本实施例中,AMF1在收到认证响应后才接收到AMF2的上下文转移请求,将Kamf2发送给AMF2后,由AMF2执行NAS SMC过程激活新的安全上下文。
图5为本发明另一实施例提供的认证程示意图,如图5所示,该流程包括:
步骤501:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤502:AMF1持有UE的认证向量,于是通过RAN1向UE发起认证或重认证请求,比如发送User Authentication Request,携带认证向量中的网络认证参数AUTN和随机字符串RAND;
步骤503:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤504:所述RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤505:UE收到认证请求或重认证请求,判断AUTN有效,于是依据认证或重认证请求消息中的RAND和AUTN等信息计算挑战响应RES,并生成接入管理密钥Kamf2,然后通过RAN1向AMF1发送认证或重认证响应,比如发送User Authentication Response,携带RES,AMF1根据认证向量中的期望响应HXRES,或认证向量中的RAND和期望响应HXRES,判断RES有效,于是通过认证向量中的密钥Kseaf派生出接入管理密钥Kamf2,其与UE生成的Kamf2相同;
步骤506:AMF1执行NAS SMC过程,通过RAN1向终端发送NAS安全模式命令(NASSecurity Mode Command),消息基于Kamf2的派生密钥完保;
步骤507:AMF1收到来自AMF2的针对UE的上下文转移请求,比如Transfer UEContext Request消息;
步骤508:AMF1标记UE上下文的新位置,比如在缓存的UE的上下文信息中设置AMF2的相关信息,或记录UE相对应的AMF2的相关信息;
其中,AMF1将UE的上下文缓存第二预设时间。
步骤509:AMF1向AMF2发送上下文转移响应,比如Transfer UE Context Response消息,携带UE上下文信息,其中包含UE的激活安全上下文信息,并携带状态信息和派生的新密钥Kamf2,状态信息指示NAS SMC过程进行中,AMF1可能会基于激活安全上下文中的密钥Kamf派生新的密钥Kamf1,激活安全上下文中可能还包含Kamf1,此时Kamf1和Kamf2分别基于不同的密钥派生;
在另一实施例中,AMF1等待第一预设时间后,发送UE的上下文给AMF2。
步骤510:AMF2依据状态信息决定等待,以便接收NAS安全模式完成消息;
步骤511:UE收到NAS安全模式命令消息,因UE已经执行完认证过程,因此使用Kamf2的派生密钥验证NAS安全模式命令消息的完保,验证通过后通过RAN1向AMF1发送NAS安全模式完成(NAS Security Mode Complete)消息,消息使用Kamf2的派生密钥完保和加密;
步骤512:AMF1判断UE的上下文已经转移给AMF2,于是将该NAS安全模式完成消息发送给AMF2处理;
步骤513:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息发送给所述AMF2而不再是AMF1;
步骤514:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response消息;
步骤515:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept消息;
步骤516:所述RAN2发送所述注册接受消息给所述UE。
本实施例中,AMF1在发送安全模式命令给UE后接收到上下文转移请求,因此,在收到安全模式完成消息后,将其发送给AMF2处理。
图6为本发明另一实施例提供的认证程示意图,如图6所示,该流程包括:
步骤601:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤602:AMF1持有UE的认证向量,于是通过RAN1向UE发起认证或重认证请求,比如发送User Authentication Request,携带认证向量中的网络认证参数AUTN和随机字符串RAND;
步骤603:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤604:所述RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤605:AMF1收到来自AMF2的针对UE的上下文转移请求,比如Transfer UEContext Request消息;
步骤606:AMF1标记UE上下文的新位置,比如在缓存的UE的上下文信息中设置AMF2的相关信息,或记录UE相对应的AMF2的相关信息,AMF1通过认证向量中的密钥Kseaf派生出接入管理密钥Kamf2,其与UE生成的Kamf2相同;
步骤607:AMF1向AMF2发送上下文转移响应,比如Transfer UE Context Response消息,携带UE上下文信息,其中包含UE的激活安全上下文信息,并携带状态信息、派生的新密钥Kamf2、和认证向量中的期望响应HXRES,还可能携带认证向量中的RAND,其中,所述状态信息指示认证过程进行中。
在另一实施例中,AMF1可能会基于激活安全上下文中的密钥Kamf派生新的密钥Kamf1,激活安全上下文中可能还包含Kamf1,此时Kamf1和Kamf2分别基于不同的密钥派生;
步骤608:AMF2依据状态信息决定等待预设时间,以便接收转发的认证响应消息;
步骤609:UE收到认证请求或重认证请求,判断AUTN有效,于是依据认证请求或重认证请求消息中的RAND和AUTN等信息计算挑战响应RES,并生成接入管理密钥Kamf2,然后通过RAN1发送认证响应或重认证响应,比如发送User Authentication Response,携带RES;
步骤610:AMF1判断UE的上下文已经转移给AMF2,于是将该认证响应或重认证响应消息转发给AMF2处理,AMF2通过期望响应HXRES,或RAND和期望响应HXRES,判断RES有效;
需要说明的是,在另一实施例中,AMF2判断RES无效时,不使用Kamf2,而使用Kamf1作为密钥。
步骤611:AMF2执行NAS SMC过程,通过RAN2向终端发送NAS安全模式命令(NASSecurity Mode Command),消息基于Kamf2的派生密钥完保;
步骤612:UE收到NAS安全模式命令消息,因UE已经执行完认证过程,因此使用Kamf2的派生密钥验证NAS安全模式命令消息的完保,验证通过后通过RAN2向AMF2发送NAS安全模式完成(NAS Security Mode Complete)消息,消息使用Kamf2的派生密钥完保和加密;
步骤613:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤614:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response消息;
步骤615:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept消息;
步骤616:所述RAN2转发所述注册接受消息给所述UE。
本实施例中,AMF1在收到认证响应之前接收到上下文转移请求,因此,在收到认证响应后将认证响应转发给AMF2,由AMF2进行处理。
图7为本发明另一实施例提供的认证程示意图,如图7所示,该流程包括:
步骤701:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤702:AMF1持有UE的认证向量,于是通过RAN1向UE发起认证或重认证请求,比如发送User Authentication Request,携带认证向量中的网络认证参数AUTN和随机字符串RAND;
步骤703:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤704:所述RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤705:AMF1收到来自AMF2的针对UE的上下文转移请求,比如Transfer UEContext Request消息;
步骤706:AMF1因尚未收到认证响应消息,因此等待预设时间以便接收认证响应消息,或等待接收认证响应消息;
步骤707:UE收到认证请求或重认证请求,判断AUTN有效,于是依据认证请求或重认证请求消息中的RAND和AUTN等信息计算挑战响应RES,并生成接入管理密钥Kamf2,然后通过RAN1向AMF1发送认证响应或重认证响应,比如发送User Authentication Response,携带RES,AMF1通过认证向量中的期望响应HXRES,或认证向量中的RAND和期望响应HXRES,判断RES有效,于是通过认证向量中的密钥Kseaf派生出接入管理密钥Kamf2,其与UE生成的Kamf2相同;
步骤708:AMF1向AMF2发送上下文转移响应,比如Transfer UE Context Response消息,携带UE上下文信息,其中包含UE的激活安全上下文信息,并携派生的新密钥Kamf2,AMF1可能会基于激活安全上下文中的密钥Kamf派生新的密钥Kamf1,激活安全上下文中可能还包含Kamf1,此时Kamf1和Kamf2分别基于不同的密钥派生;
需要说明的是,在另一实施例中,上下文转移响应中还可携带状态信息,所述信息指示认证
步骤709:AMF2执行NAS SMC过程,通过RAN2向UE发送NAS安全模式命令(NASSecurity Mode Command),所述NAS安全模式命令消息基于Kamf2的派生密钥完保;
步骤710:UE已经执行完认证过程,因此使用Kamf2的派生密钥验证NAS安全模式命令消息的完保,验证通过后通过RAN2向AMF2发送NAS安全模式完成(NAS Security ModeComplete)消息,消息使用Kamf2的派生密钥完保和加密;
步骤711:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤712:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response消息;
步骤713:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept消息;
步骤714:所述RAN2转发所述注册接受消息给所述UE。
本实施例中,AMF1在收到AFM2的上下文转移请求时,未接收到UE返回的认证响应或重认证响应,因此,AMF1等待接收到UE返回的认证响应后,才发送上下文转移响应给AMF2。
图8为本发明另一实施例提供的认证程示意图,如图8所示,该流程包括:
步骤801:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤802:AMF1持有UE的认证向量,于是通过RAN1向UE发起认证请求或重认证请求,比如发送User Authentication Request,携带所述UE的认证向量中的网络认证参数AUTN和随机字符串RAND;
步骤803:所述UE通过第二无线接入网(RAN2)向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤804:所述RAN2选择第二接入管理功能(AMF2),向所述AMF2转发所述注册请求消息;
步骤805:UE收到认证请求或重认证请求,判断AUTN有效,于是依据认证请求或重认证请求消息中的RAND和AUTN等信息计算挑战响应RES,并生成接入管理密钥Kamf2,然后通过RAN1向AMF1发送认证响应或重认证响应,比如发送User Authentication Response,携带RES,AMF1根据认证向量中的期望响应HXRES,或认证向量中的RAND和期望响应HXRES,判断RES有效,于是通过认证向量中的密钥Kseaf派生出接入管理密钥Kamf2,其与UE生成的Kamf2相同;
步骤806:AMF1执行NAS SMC过程,通过RAN1向终端发送NAS安全模式命令(NASSecurity Mode Command),消息基于Kamf2的派生密钥完保;
步骤807:AMF1收到来自AMF2的针对UE的上下文转移请求,比如Transfer UEContext Request消息;
步骤808:AMF1因尚未收到NAS安全模式完成消息,因此等待预设时间以便接收NAS安全模式完成消息,或等待接收NAS安全模式完成消息;
步骤809:UE收到NAS安全模式命令消息,因UE已经执行完认证过程,因此使用Kamf2的派生密钥验证NAS安全模式命令消息的完保,验证通过后通过RAN1向AMF1发送NAS安全模式完成(NAS Security Mode Complete)消息,所述NAS安全模式完成消息使用Kamf2的派生密钥完保和加密;
步骤810:AMF1完成NAS SMC过程,生成新的激活安全上下文,其中包含派生的新密钥Kamf2,然后向AMF2发送上下文转移响应,比如Transfer UE Context Response消息,携带所述UE上下文信息,其中包含所述UE的激活安全上下文信息;
步骤811:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤812:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response消息;
步骤813:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept消息;
步骤814:所述RAN2转发所述注册接受消息给所述UE。
本实施例中,AMF1发送安全模式命令给UE后,接收到AMF2发送的上下文转移请求,AMF1等待接收到安全模式完成消息后,才发送上下文转移响应给AMF2。
图9为本发明一实施例提供的一种消息处理方法,包括:
步骤901,第三网络功能与终端建立NAS连接后,接收第四网络功能发送的针对所述终端的上下文转移请求;
步骤902,所述第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能;或,所述第三网络功能接收所述第四网络功能发送的第二NAS消息,其中,所述第二NAS消息由所述终端发送给所述第四网络功能;或,所述第三网络功能向所述终端发送第三NAS消息,等待第三预设时间后,将所述终端的上下文信息发送给所述第四网络功能。
其中,第三网络功能、第四网络功能可以是接入管理功能,或其他实现接入管理的核心网设备。第一NAS消息、第二NAS消息、第三NAS消息以及后面的第四NAS消息、第五NAS消息可以是各种类型的NAS消息。
在一实施例中,所述第三网络功能接收所述第四网络功能发送的第二NAS消息,还包括,所述第三网络功能通过所述第四网络功能向所述终端发送第四NAS消息。
在一实施例中,所述第三网络功能接收到来自所述第四网络功能的针对所述终端的上下文转移请求后,还包括:所述第三网络功能记录所述终端的上下文信息所在位置为第四网络功能。由于第三网络功能会把终端的上下文信息发送给第四网络功能,因此记录终端的上下文信息的存储位置,即存储在第四网络功能。
在一实施例中,所述第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能包括:
当所述第三网络功能根据所述第一NAS消息的类别,或名称,或内容判断需要转发时,或者,所述第一NAS消息无法解密时,所述第三网络功能将所述第一NAS消息发送给所述第四网络功能。其中,类别(class)指消息为请求消息、还是响应消息、还是指示消息等等。比如,预设需要转发的消息类别,或者,预设需要转发的消息名称、预设需要转发的内容,当第一NAS消息为预设的类别、或者为预设的消息名称、或者包含预设的内容时,所述第三网络功能将所述第一NAS消息发送给所述第四网络功能。
图10为本发明一实施例提供的一种消息处理方法,所述方法包括:
步骤1001,第四网络功能通过第一接入网网元接收到来自终端的注册请求;
步骤1002,所述第四网络功能向第三网络功能请求所述终端的上下文信息;
步骤1003,所述第四网络功能接收所述第三网络功能发送的第一NAS消息,其中,所述第一NAS消息由所述终端发送给所述第三网络功能;或,所述第四网络功能通过第二接入网网元接收到来自所述终端的第二NAS消息,向所述第三网络功能发送所述第二NAS消息。
在一实施例中,所述第四网络功能接收所述第三网络功能发送的第一NAS消息后,还包括:当所述第一NAS消息有加密时,所述第四网络功能解密所述第一NAS消息,将所述解密的第一NAS消息发送给所述第三网络功能。
在一实施例中,所述将所述解密的第四NAS消息转发给所述第一网络功能包括:
所述将所述解密的第一NAS消息发送给所述第三网络功能包括:
所述第四网络功能成功校验所述第四NAS消息的完整性保护(简称完保)时,将所述解密的第一NAS消息发送给所述第三网络功能。
在一实施例中,所述向所述第三网络功能发送所述第二NAS消息包括:
当所述终端的注册过程未完成时,所述第四网络功能向所述第三网络功能发送所述第二NAS消息。在另一实施例中,如果终端的注册过程已完成,则第四网络功能可以不向第三网络功能转发所述第二NAS消息。
图11为本发明一实施例提供的消息处理方法流程图,如图11所示,该流程包括:
步骤1101:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤1102:所述UE通过RAN2向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤1103:RAN2选择AMF2,向所述AMF2转发所述注册请求消息;
步骤1104:AMF2判断自己没有该UE的上下文,于是从所述注册请求消息中获取所述AMF1的相关信息,并向所述AMF1发送转移上下文请求,比如发送Transfer UE ContextRequest(转移终端上下文请求)消息;
步骤1105:AMF1标记UE上下文的新位置,比如在缓存的UE的上下文信息中设置AMF2的相关信息,或记录UE相对应的AMF2的相关信息;
步骤1106:AMF1向AMF2返回UE的上下文信息,比如发送Transfer UE ContextResponse(转移终端上下文响应)消息,携带UE的上下文信息,该上下文信息中不必包含AMF2相关的信息,从而使得无论UE通过哪个无线接入网发送消息,AMF2都可以为UE提供服务,AMF1可能在步骤1105前通过RAN1发送了一条NAS消息给UE并等待接收另一条NAS消息,AMF1可以等待预设时间以便接收另一条NAS消息后在返回UE的上下文信息;
步骤1107:UE通过RAN1发送NAS消息给核心网,RAN1尚未收到接入管理功能改变的消息,于是将该NAS消息转发给原核心网功能,即AMF1;
步骤1108:AMF1判断UE的上下文已经转移给AMF2,于是将该NAS消息转发给AMF2处理;
在一实施例中,AMF1转发该消息前,根据该消息的类别(Class,即请求(Request),还是响应(Response),还是通知(Indication))或类型(Message Type,即消息名称)或内容判断是否需要转发;
其中,AMF1可以解密收到的NAS消息后转发,也可以因为无法解密(UE在发送1107步的消息时使用了新的密钥)而转发未解密的NAS消息;
步骤1109:AMF2判断接收到的转发的NAS消息有完保或被加密,则解密该转发的NAS消息,校验完保,校验成功后再将NAS消息转发给AMF1;
其中,步骤1109可选,即另一实施例中,也可以不执行步骤1109。
步骤1110:AMF2可以缓存该NAS消息一段时间,等完成注册过程后再处理该NAS消息;
步骤1111:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest(接入管理功能改变请求)消息,收到该接入管理功能改变请求消息后,RAN1将收到的来自所述UE的消息转发给所述AMF2而不再是AMF1;
步骤1112:RAN1返回消息给AMF2,告知接入管理功能改变接受,比如发送AMFMobility Response(接入管理功能改变响应)消息;
步骤1113:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept(注册接受)消息;
步骤1114:所述RAN2转发所述注册接受消息给所述UE。
图12为本发明一实施例提供的消息处理方法流程图,如图12所示,该流程包括:
步骤1201:UE通过RAN1向移动网络注册,从而与AMF1建立NAS连接;
步骤1202:所述UE通过RAN2向移动网络注册,发送注册请求给RAN2,比如发送Register Request(注册请求)消息,该消息携带所述UE之前注册的AMF1的相关信息;
步骤1203:RAN2选择AMF2,向所述AMF2转发所述注册请求消息;
步骤1204:AMF2判断自己没有该UE的上下文,于是从所述注册请求消息中获取所述AMF1的相关信息,并向所述AMF1发送转移上下文请求,比如发送Transfer UE ContextRequest(转移终端上下文请求)消息;
步骤1205:AMF1缓存所述UE的上下文信息,然后向AMF2返回终端UE的上下文信息,比如发送Transfer UE Context Response消息,携带终端UE的上下文信息;
步骤1206:AMF2向RAN1告知接入管理功能发生改变,比如发送AMF MobilityRequest消息,收到该消息,RAN1就会将收到的来自UE的消息转发给AMF2而不再是AMF1;
步骤1207:UE通过RAN1发送第一NAS消息给核心网;
步骤1208:RAN1已经收到接入管理功能改变的消息,于是将该第一NAS消息转发给新核心网功能,即AMF2;
步骤1209:AMF2将收到的来自RAN1的第一NAS消息转发给AMF1,可选的,AMF2转发前,判断经过RAN2的注册过程尚未完成而决定转发;
步骤1210:RAN1收到接入管理功能改变消息后,返回消息给AMF2,告知接入管理功能改变接受,比如发送AMF Mobility Response消息;
步骤1211:可选的,AMF1收到转发的第一NAS消息,决定要返回第二NAS消息,于是通过AMF2转发该第二NAS消息;
步骤1212:AMF2收到转发的第二NAS消息,经过相应处理后,比如加密和完保,通过RAN1或RAN2向UE发送第二NAS消息;
步骤1213:所述AMF2通过RAN2向所述UE发送注册接受消息,比如发送RegisterAccept(注册接受)消息;
步骤1214:所述RAN2转发所述注册接受消息给所述UE。
本发明一实施例提供一种认证装置,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如下操作:
与终端建立非接入层NAS连接后,向所述终端发送认证请求或重认证请求;
接收到来自第二网络功能的针对所述终端的上下文转移请求,向所述第二网络功能发送第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生。
在另一实施例中,所述程序在被所述处理器读取执行时,还实现上述任一实施例所述的认证方法。
本发明一实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一实施例所述的认证方法。
本发明一实施例提供一种消息处理装置,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如下操作:
与终端建立NAS连接后,接收到来自第四网络功能的针对所述终端的上下文转移请求;
接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能;或,接收所述第四网络功能发送的第二NAS消息,其中,所述第二NAS消息由所述终端发送给所述第四网络功能;或,向所述终端发送第三NAS消息,等待第三预设时间后,将所述终端的上下文信息发送给所述第四网络功能。
在另一实施例中,所述程序在被所述处理器读取执行时,还实现上述任一实施例所述的消息处理方法。
本发明一实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一实施例所述的消息处理方法。
所述计算机可读存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (17)
1.一种认证方法,包括:
第一网络功能与终端建立非接入层NAS连接后,向所述终端发送认证请求或重认证请求;
所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求,向所述第二网络功能发送第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生;所述第一网络功能向所述终端发送NAS安全模式命令,并接收所述终端返回的NAS安全模式完成消息,将所述NAS安全模式完成消息发送给所述第二网络功能;
将认证响应或重认证响应发送给所述第二网络功能前,还包括:
所述第一网络功能发送所述终端的认证向量中的期望响应给所述第二网络功能,或者,所述第一网络功能发送所述终端的认证向量中的期望响应和随机字符串给所述第二网络功能。
2.如权利要求1所述的认证方法,其特征在于,所述方法还包括,所述第一网络功能接收所述终端返回的认证响应或重认证响应,将所述认证响应或重认证响应发送给所述第二网络功能。
3.如权利要求1所述的认证方法,其特征在于,所述向所述第二网络功能发送第一密钥包括:所述第一网络功能接收到所述终端返回的认证响应或重认证响应或NAS安全模式完成消息后,向所述第二网络功能发送所述第一密钥。
4.如权利要求1至3任一所述的认证方法,其特征在于,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求后,还包括:所述第一网络功能向所述第二网络功能发送状态信息,所述状态信息指示认证过程或NAS安全模式过程的进行状态。
5.如权利要求1至3任一所述的认证方法,其特征在于,所述第一网络功能接收到来自第二网络功能的针对所述终端的上下文转移请求后,还包括,所述第一网络功能等待接收到所述认证请求或所述重认证请求的响应后,将所述终端的上下文信息发送给所述第二网络功能;或者,所述第一网络功能等待第一预设时间后,将所述终端的上下文信息发送给所述第二网络功能;或者,所述第一网络功能将所述终端的上下文信息缓存第二预设时间。
6.一种认证方法,包括:
第二网络功能接收到来自终端的注册请求;
所述第二网络功能向第一网络功能请求所述终端的上下文信息,接收所述第一网络功能发送的第一密钥,所述第一密钥基于所述终端的认证向量中的密钥派生;所述第二网络功能接收所述第一网络功能发送的状态信息,根据所述状态信息等待接收所述第一网络功能返回的认证响应或重认证响应或NAS安全模式完成消息;
根据认证向量中的期望响应,或者根据认证向量中的期望响应和随机字符串判断认证是否有效。
7.如权利要求6所述的认证方法,其特征在于,所述方法还包括,所述第二网络功能接收所述第一网络功能发送的状态信息,所述状态信息指示认证完成时,所述第二网络功能等待预设时间后执行NAS安全模式控制过程。
8.一种认证装置,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求1至7任一所述的认证方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至7任一所述的认证方法。
10.一种消息处理方法,包括:
第三网络功能与终端建立NAS连接后,接收到第四网络功能发送的针对所述终端的上下文转移请求;
所述第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能;或,所述第三网络功能接收所述第四网络功能发送的第二NAS消息,其中,所述第二NAS消息由所述终端发送给所述第四网络功能;或,所述第三网络功能向所述终端发送第三NAS消息,等待第三预设时间后,将所述终端的上下文信息发送给所述第四网络功能;所述第三网络功能接收所述第四网络功能发送的第二NAS消息后,还包括,所述第三网络功能通过所述第四网络功能向所述终端发送第四NAS消息。
11.如权利要求10所述的消息处理方法,其特征在于,所述第三网络功能接收到来自所述第四网络功能的针对所述终端的上下文转移请求后,还包括:所述第三网络功能记录所述终端的上下文信息所在位置为第四网络功能。
12.如权利要求10所述的消息处理方法,其特征在于,所述第三网络功能接收来自所述终端的第一NAS消息,将所述第一NAS消息发送给所述第四网络功能包括:
当所述第三网络功能根据所述第一NAS消息的类别,或名称,或内容判断需要转发时,或者,所述第一NAS消息无法解密时,所述第三网络功能将所述第一NAS消息发送给所述第四网络功能。
13.一种消息处理方法,包括:
第四网络功能通过第一接入网网元接收到来自终端的注册请求;
所述第四网络功能向第三网络功能请求所述终端的上下文信息;
所述第四网络功能接收所述第三网络功能发送的第一NAS消息,其中,所述第一NAS消息由所述终端发送给所述第三网络功能;或,所述第四网络功能通过第二接入网网元接收到来自所述终端的第二NAS消息,向所述第三网络功能发送所述第二NAS消息;或,接收第三网络功能等待第三预设时间后传输的所述终端的上下文信息;所述向所述第三网络功能发送所述第二NAS消息包括:
当所述终端的注册过程未完成时,所述第四网络功能向所述第三网络功能发送所述第二NAS消息。
14.如权利要求13所述的消息处理方法,其特征在于,所述第四网络功能接收所述第三网络功能发送的第一NAS消息后,还包括:当所述第一NAS消息有加密时,所述第四网络功能解密所述第一NAS消息,将所述解密的第一NAS消息发送给所述第三网络功能。
15.如权利要求14所述的消息处理方法,其特征在于,所述将所述解密的第一NAS消息发送给所述第三网络功能包括:
所述第四网络功能成功校验第四NAS消息的完整性保护时,将所述解密的第一NAS消息发送给所述第三网络功能。
16.一种消息处理装置,其特征在于,包括存储器和处理器,所述存储器存储有程序,所述程序在被所述处理器读取执行时,实现如权利要求10至15任一所述的消息处理方法。
17.一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求10至15任一所述的消息处理方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810150834.9A CN110167081B (zh) | 2018-02-13 | 2018-02-13 | 认证方法及装置、消息处理方法及装置、存储介质 |
PCT/CN2019/073379 WO2019157935A1 (zh) | 2018-02-13 | 2019-01-28 | 认证方法及装置、消息处理方法及装置、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810150834.9A CN110167081B (zh) | 2018-02-13 | 2018-02-13 | 认证方法及装置、消息处理方法及装置、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110167081A CN110167081A (zh) | 2019-08-23 |
CN110167081B true CN110167081B (zh) | 2022-07-26 |
Family
ID=67620212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810150834.9A Active CN110167081B (zh) | 2018-02-13 | 2018-02-13 | 认证方法及装置、消息处理方法及装置、存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110167081B (zh) |
WO (1) | WO2019157935A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114531254B (zh) * | 2020-10-30 | 2023-03-31 | 中国移动通信有限公司研究院 | 一种认证信息获取方法、装置、相关设备和存储介质 |
CN118139044A (zh) * | 2022-12-02 | 2024-06-04 | 中国移动通信有限公司研究院 | 终端认证验证方法及终端认证验证装置 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355785B (zh) * | 2007-07-26 | 2011-07-20 | 华为技术有限公司 | 一种切换过程中非接入层消息的传输方法和系统 |
CN103002521B (zh) * | 2011-09-08 | 2015-06-03 | 华为技术有限公司 | 传递上下文的方法及移动性管理实体 |
CN102547655A (zh) * | 2012-02-23 | 2012-07-04 | 大唐移动通信设备有限公司 | 一种系统间漫游附着方法及装置 |
CN103379490A (zh) * | 2012-04-12 | 2013-10-30 | 华为技术有限公司 | 用户设备的认证方法、装置及系统 |
US9817720B2 (en) * | 2012-10-29 | 2017-11-14 | Nokia Solutions And Networks Oy | Methods, apparatuses and computer program products enabling to improve handover security in mobile communication networks |
GB2537377B (en) * | 2015-04-13 | 2021-10-13 | Vodafone Ip Licensing Ltd | Security improvements in a cellular network |
US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
CN107566115B (zh) * | 2016-07-01 | 2022-01-14 | 华为技术有限公司 | 密钥配置及安全策略确定方法、装置 |
-
2018
- 2018-02-13 CN CN201810150834.9A patent/CN110167081B/zh active Active
-
2019
- 2019-01-28 WO PCT/CN2019/073379 patent/WO2019157935A1/zh active Application Filing
Non-Patent Citations (4)
Title |
---|
Registration procedure using the temporary User ID;Samsung;《SA WG2 Meeting #120 S2-171911》;20170321;全文 * |
S2-178335 "AMF service operation update";Ericsson;《3GPP tsg_sa\WG2_Arch》;20171121;全文 * |
S2-178802 "TS 23.502 UE context in Registration with AMF re-allocation procedure";ZTE;《3GPP tsg_sa\WG2_Arch》;20171121;全文 * |
TS 23.502 UE context in Registration with AMF re-allocation procedure;ZTE;《SA WG2 Meeting #124 S2-179604》;20171202;全文 * |
Also Published As
Publication number | Publication date |
---|---|
WO2019157935A1 (zh) | 2019-08-22 |
CN110167081A (zh) | 2019-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11178543B2 (en) | Apparatus and method for mobility procedure involving mobility management entity relocation | |
US10321309B2 (en) | Apparatuses and methods for wireless communication | |
CN101772021B (zh) | 无线通讯系统处理保密设定的方法及其相关通讯装置 | |
WO2018138347A1 (en) | Security context handling in 5g during connected mode | |
US8452007B2 (en) | Security key generating method, device and system | |
JP5468623B2 (ja) | ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法 | |
CN109474927B (zh) | 信息交互方法、归属网络、用户终端以及信息交互系统 | |
CN101841810B (zh) | 空中接口密钥的更新方法、核心网节点及无线接入系统 | |
US11882433B2 (en) | Communication method and communications apparatus | |
CN111866874B (zh) | 一种注册方法及装置 | |
CN102685730B (zh) | 一种ue上下文信息发送方法及mme | |
EP3479613B1 (en) | Re-establishing a radio resource control connection | |
CN114928842A (zh) | 一种认证结果更新的方法和通信装置 | |
CN111148094A (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
CN110167081B (zh) | 认证方法及装置、消息处理方法及装置、存储介质 | |
CN101909292B (zh) | 空中接口密钥的更新方法、核心网节点及用户设备 | |
CN111132149B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
CN111148213B (zh) | 5g用户终端的注册方法、用户终端设备及介质 | |
CN108271154B (zh) | 一种认证方法及装置 | |
WO2018137617A1 (zh) | 移动网络小数据的安全传输方法及装置 | |
CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
CN112400335B (zh) | 用于执行数据完整性保护的方法和计算设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |