CN110169128B - 一种通信方法、装置和系统 - Google Patents

一种通信方法、装置和系统 Download PDF

Info

Publication number
CN110169128B
CN110169128B CN201780082558.0A CN201780082558A CN110169128B CN 110169128 B CN110169128 B CN 110169128B CN 201780082558 A CN201780082558 A CN 201780082558A CN 110169128 B CN110169128 B CN 110169128B
Authority
CN
China
Prior art keywords
terminal
key
message
ciphertext
context information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780082558.0A
Other languages
English (en)
Other versions
CN110169128A (zh
Inventor
胡力
陈璟
李�赫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN110169128A publication Critical patent/CN110169128A/zh
Application granted granted Critical
Publication of CN110169128B publication Critical patent/CN110169128B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供了一种通信方法、装置和系统,属于通信技术领域。所述方法包括:第一网络侧设备接收终端发送的第一消息,其中,所述第一消息中携带所述终端的上下文信息的密文,所述上下文信息的密文为所述终端的上下文信息经加密处理后的信息;所述第一网络侧设备获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;所述第一网络侧设备根据所述上下文信息,为所述终端建立通信连接。采用本申请,可以使更多的终端接入网络。

Description

一种通信方法、装置和系统
技术领域
本申请涉及通信技术领域,特别涉及一种通信方法、装置和系统。
背景技术
在长期演进(Long Term Evolution,LTE)网络中,终端开机后,如果检测到网络信号,则会请求在网络中进行附着。终端成功附着到网络后,网络侧设备存储终端的上下文信息。其中,网络侧设备可以是移动性管理实体(Mobility Management Entity,MME)、服务网关(Service GateWay,S-GW)、基站等,终端的上下文信息中包括移动性上下文信息、连接性上下文信息、安全性上下文信息和计费上下文信息等。终端的上下文信息可以用于网络侧设备与终端建立安全的通信连接。
在终端与网络侧设备的通信连接建立成功后,终端进入注册连接(ECM-CONNECTED)状态,终端可以与网络侧设备进行通信。如果终端一段时间内未与网络侧设备进行通信,终端会断开与网络侧设备的通信连接,终端进入注册空闲(ECM-IDLE)状态。当终端处于ECM-IDLE状态时,若终端接收到网络侧设备的寻呼指令或有待发送的上行消息,则终端向网络侧设备发送服务请求,网络侧设备接收到服务请求后可以直接获取存储的终端的上下文信息,然后根据终端的上下文信息为终端恢复与网络侧设备的通信。
为了使网络侧设备与终端快速的恢复通信,网络侧设备即使在终端进入ECM-IDLE状态之后,也需要存储终端的上下文信息。然而随着物联网技术的发展,终端的数量呈现指数式的增加,网络侧设备的存储空间有限,网络侧设备有可能会因为存储空间不足,而拒绝终端附着,从而导致终端无法正常接入网络。
发明内容
为了解决现有技术的问题,本发明实施例提供了一种通信方法、装置和系统。所述技术方案如下:
第一方面,提供了一种通信方法,该方法包括:
第一网络侧设备接收终端发送的第一消息,其中,第一消息中携带终端的上下文信息的密文,上下文信息的密文为终端的上下文信息经加密处理后的信息,第一网络侧设备获得第一密钥,并根据第一密钥对上下文信息的密文进行解密,得到上下文信息,第一网络侧设备根据上下文信息,为终端建立通信连接。
其中,第一网络侧设备是移动通信网络架构中网络侧的任一网络侧设备,如MME、基站等。
本发明实施例所示的方案,第一网络侧设备接收终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时发送的第一消息,第一网络侧设备可以使用第一密钥,对第一消息中携带的终端的上下文信息的密文进行解密,得到终端的上下文信息,然后为终端建立通信连接。
在一种可能的实现方式中,第一网络侧设备根据第一密钥对终端的上下文信息进行加密处理,得到终端的上下文信息的密文,第一网络侧设备向终端发送第二消息,其中,第二消息中携带终端的上下文信息的密文。
本发明实施例所示的方案,终端在上述建立通信连接前,会向第一网络侧设备发送Service Request,当第一网络侧设备检测到终端完成Service Request后,可以对终端的上下文信息进行加密,得到终端的上下文信息的密文,然后向终端发送携带终端的上下文信息的密文的第二消息。
在一种可能的实现方式中,第一网络侧设备向终端发送第二消息之前,第一网络侧设备根据第二密钥,对第一密钥进行加密处理,得到第一密钥的密文,第二消息还携带有第一密钥的密文,第一消息还携带有第一密钥的密文,第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
其中,第二密钥可以是第一网络侧设备根据伪随机数生成算法随机生成的,此时第二密钥将在第一网络侧设备上保存,需要说明的是,此时的第二密钥是对称密钥,使用的加密算法是预先配置的对称加密算法。第二密钥也可以是第一网络侧设备预先配置的公私钥对,此时第二密钥将在第一网络侧设备上保存,需要说明的是,此时的第二密钥是非对称密钥,使用的加解密算法为非对称加解密算法。
本发明实施例所示的方案,第一网络侧设备还可以根据第二密钥对第一密钥进行加密,得到第一密钥的密文,同样,网络设备在接收到终端发送的第一消息中的第一密钥的密文后,可以根据第二密钥对第一消息中的第一密钥的密文进行解密,获得第一密钥。这样,终端的上下文信息的安全性更高。
在一种可能的实现方式中,该方法还包括:第一网络侧设备根据第三密钥、终端的上下文信息的密文和第一密钥的密文,生成签名信息,第二消息还携带有签名信息;第一消息还携带有签名信息,在第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥之前,第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文和第一密钥的密文,对第一消息中的签名信息进行校验;若第一消息中的签名信息校验通过,则第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
其中,第三密钥可以是对称密钥,也可以是非对称密钥。
本发明实施例所示的方案,第一网络侧设备可以使用第三密钥,对终端的上下文信息的密文和第一密钥的密文进行签名处理,生成签名信息,同样,第一网络侧设备在第二消息中携带签名信息。网络侧设备在接收到终端发送的第一消息时,可以使用第三密钥对终端的上下文信息的密文、第一密钥的密文和签名信息进行签名处理,生成签名信息,若该签名信息与第一消息中的签名信息相同,确定校验通过,第一网络侧设备可以根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。这样,终端的上下文信息的安全性更高。
在一种可能的实现方式中,第一网络侧设备根据第三密钥,对终端的上下文信息的密文,终端的上下文信息对应的有效时间信息和第一密钥的密文进行签名处理,生成签名信息,第二消息还携带有有效时间信息;第一消息还携带有有效时间信息,第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文、第一密钥的密文和有效时间信息,对签名信息进行校验。
其中,有效时间信息可以是终端的上下文信息的失效时间点,如2017/1/10/24:00等,可以是终端的上下文信息的有效时间范围,如2017/1/10/24:00~2017/1/12/24:00等,可以是终端的上下文信息的生成时间点与有效时长等,如生成时间点为2017/1/10/10:00,有效时长为72小时,终端的上下文信息到2017/1/13/10:00失效。
本发明实施例所示的方案,第一网络侧设备生成签名信息时,还可以使用终端的上下文信息对应的有效时间信息,同样,校验签名时,也使用第一消息中携带的有效时间信息。这样,终端的上下文信息的安全性更高。
在一种可能的实现方式中,第一网络侧设备根据第三密钥、的终端的上下文信息的密文、第一密钥的密文以及设备标识,生成签名信息,第二消息还携带有设备标识以及签名信息;第一消息还携带有签名信息以及设备标识,在第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥之前,第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文、第一密钥的密文和设备标识,对第一消息中的签名信息进行校验;若第一消息中的签名信息校验通过,则第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
其中,设备标识为第一网络侧设备的设备标识。
本发明实施例所示的方案,第一网络侧设备生成签名信息时,还可以使用自身的设备标识,同样,校验签名时,也使用第一消息中携带的设备标识。这样,终端的上下文信息的安全性更高。
在一种可能的实现方式中,该方法还包括:第一消息中还携带有第一密钥的密文、签名信息和设备标识,其中,第一密钥的密文是设备标识所指示的设备根据第二密钥对第一密钥进行加密处理后,得到的密文,签名信息是设备标识所指示的设备根据第三密钥、的终端的上下文信息的密文、第一密钥的密文以及设备标识,生成的签名信息;若设备标识是本设备的设备标识,则第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文、第一密钥的密文和设备标识,对第一消息中的签名信息进行校验,若第一消息中的签名信息校验通过,则根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥;根据第一密钥对上下文信息的密文进行解密,得到上下文信息,若设备标识不是本设备的设备标识,则第一网络侧设备向设备标识所指示的设备发送第一消息,并接收设备标识所指示的设备发送的上下文信息。
本发明实施例所示的方案,第一网络侧设备可以根据第一消息中携带的设备标识,确定是否发生网络侧设备切换,如果未发生切换,可以直接校验签名,然后进行解密得到终端的上下文信息。由于终端的上下文信息的密文只能由生成终端的上下文信息的网络侧设备进行解密,所以网络侧设备发生切换后,新网络侧设备需要将第一消息发送至旧网络侧设备。旧网络侧设备接收到第一消息后,可以校验签名,然后解密得到解密后的终端的上下文信息,向新网络侧设备发送解密后的终端的上下文信息。
在一种可能的实现方式中,该方法还包括:当检测到终端进入注册空闲ECM-IDLE状态之后,第一网络侧设备删除终端的上下文信息。
第二方面,提供了一种通信方法,该方法包括:
当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,获取终端的上下文信息的密文,终端向第一网络侧设备发送第一消息,其中,第一消息中携带有终端的上下文信息的密文。
在一种可能的实现方式中,该方法还包括:终端接收到第一网络侧设备或第二网络侧设备发送的第二消息,第二消息中携带的终端的上下文信息的密文,终端存储终端的上下文信息的密文。
本发明实施例所示的方案,网络侧设备发生切换,第二网络侧设备为切换前的网络侧设备,第一网络侧设备为切换后的网络侧设备,第二消息由第二网络侧设备在终端向第一网络侧设备发送第一消息之前发送,第二消息由第一网络侧设备在终端向第一网络设备发送第二消息之后发送。
在一种可能的实现方式中,该方法还包括:第一消息与第二消息中还携带有第一密钥的密文。
在一种可能的实现方式中,该方法还包括:第一消息与第二消息中还携带有签名信息。
在一种可能的实现方式中,该方法还包括:第一消息与第二消息中还携带有终端的上下文信息对应的有效时间信息和发送第二消息的网络侧设备的设备标识。
第三方面,提供了一种网络侧设备,该网络侧设备包括接收器、发射器和处理器,该处理器通过执行指令来实现上述第一方面所提供的通信方法。
第四方面,提供了一种终端,该终端包括接收器、发射器、处理器和存储器,该处理器通过执行指令来实现上述第二方面所提供的通信方法。
第五方面,提供了一种网络侧设备,该网络侧设备包括至少一个模块,该至少一个模块用于实现上述第一方面所提供的通信方法。
第六方面,提供了一种终端,该终端包括至少一个模块,该至少一个模块用于实现上述第二方面所提供的通信方法。
第七方面,提供了一种通信系统,该系统包括:网络侧设备,如第三方面所述的网络侧设备,终端,如第四方面所述的终端。
第八方面,提供了一种包含指令的计算机程序产品,当其在网络侧设备上运行时,使得网络侧设备执行上述第一方面所提供的通信方法。
第九方面,提供了一种包含指令的计算机程序产品,当其在终端上运行时,使得终端执行上述第二方面所提供的通信方法。
本发明实施例第三到第九方面所获得的技术效果与第一方面、第二方面中对应的技术手段获得的技术效果近似,在这里不再赘述。
本发明实施例提供的技术方案带来的有益效果是:
本发明实施例中,终端的上下文信息存储在终端中,网络侧设备在使用终端的上下文信息时,终端向网络侧设备发送终端的上下文信息,这样,网络侧设备不需要存储终端的上下文信息,从而可以节约网络侧设备的存储空间,网络侧设备可以使更多的新终端进行附着,使更多的终端可以接入网络。
附图说明
图1是本发明实施例提供的一种通信系统的结构示意图;
图2是本发明实施例提供的一种第一网络侧设备的结构示意图;
图3是本发明实施例提供的一种终端的结构示意图;
图4是本发明实施例提供的一种通信方法信令示意图;
图5是本发明实施例提供的一种通信方法信令示意图;
图6是本发明实施例提供的一种通信方法信令示意图;
图7是本发明实施例提供的一种网络侧设备的结构示意图;
图8是本发明实施例提供的一种网络侧设备的结构示意图;
图9是本发明实施例提供的一种网络侧设备的结构示意图;
图10是本发明实施例提供的一种网络侧设备的结构示意图;
图11是本发明实施例提供的一种网络侧设备的结构示意图;
图12是本发明实施例提供的一种网络侧设备的结构示意图;
图13是本发明实施例提供的一种终端的结构示意图;
图14是本发明实施例提供的一种终端的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了便于对本发明实施例的理解,下面首先介绍本发明实施例涉及的系统架构。
本发明实施例可以应用于移动通信网络架构,如4G、5G等,如图1所示,移动通信网络架构由多个网元构成,网元包括多个终端、多个接入网设备、核心网控制平面中的多个设备和核心网用户平面中的多个设备。接入网设设备可以是基站、下一代网络基站(NextGeneration NodeB,gNB)等,核心网控制平面中的多个设备可以包括MME、接入与移动管理功能实体(Access and Mobility Management Function,AMF)和会话管理功能实体(Session Management Function,SMF)等,核心网用户平面中的多个设备可以包括SGW、PGW和用户平面功能实体(User Plane Function,UPF)等,多个接入网设备、核心网控制平面中的多个设备和核心网用户平面中的多个设备都可以称为网络侧设备。
本发明实施例提供了一种通信方法,该方法可以应用于上述移动通信架构,包括终端和第一网络侧设备,其中,第一网络侧设备是移动通信网络架构中的多个接入网设备、核心网控制平面中的多个设备和核心网用户平面中的多个设备中任一网络侧设备。
第一网络侧设备可以包括接收器210、处理器220、发射器230和存储器240,如图2所示。接收器210、发射器230、存储器240可以分别与处理器220连接,接收器210可以用于接收第一消息等,发射器230可以用于发送第二消息等,存储器240可以用于存储终端的上下文信息、以及在建立通信连接过程中需要的数据,处理器220可以是第一网络侧设备的控制中心,利用各种接口和线路连接整个第一网络侧设备的各个部分,如接收器210、发射器230等。在本发明实施例中,处理器220可以用于为终端建立通信连接的相关处理,可选的,处理器220可以包括一个或多个处理单元。
终端可以包括接收器310、处理器320、发射器330和存储器340,如图3所示,接收器310、发射器330、存储器340可以分别与处理器320连接,接收器310可以用于接收第二消息等,处理器320可以是终端的控制中心,发射器230可以用于发送第一消息等,存储器340可以用于存储终端的上下文信息、以及在建立通信连接过程中需要的数据。在本发明实施例中,处理器320可以用于生成获取预先存储的终端的上下文信息等相关处理,可选的,处理器320可以包括一个或多个处理单元。
如图4所示,该方法的处理流程可以包括如下的步骤:
步骤401,当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,获取终端的上下文信息的密文。
其中,终端的上下文信息可以是终端的全部上下文信息中的部分上下文信息,如终端的上下文信息中可以包括连接性上下文信息、安全性上下文信息和计费上下文信息等,连接性上下文信息包含eNB UE S1AP ID等,用于标识基站到核心网设备的各种连接,安全性上下文信息包含非接入层密钥(Non-Access Stratum,NAS key)等,用于终端和核心网设备的安全通信,计费上下文信息包含接入点聚合最大比特率(Access Point NameAggregated Maximum Bit Rate,APN-AMBR)等,用于标识终端的服务质量等。
在实施中,第一网络侧设备中存储有终端的上下文信息中移动性上下文信息,第一网络侧设备要寻呼某个终端时,第一网络侧设备通过终端的上下文信息中的移动性上下文信息找到终端的位置,如核心网设备根据跟踪区列表(Tracking Area List),向标识的跟踪区列表里的所有基站发送寻呼消息,基站根据跟踪区标识列表(List of TAIs)所标识的跟踪区的小区,向终端发送寻呼消息。
在一个示例中,终端接收到寻呼消息后,且在建立终端到基站的用户面无线承载之前,如通过服务请求(Service Request,SR)建立用户面无线承载之前,会获取预先存储的终端的上下文信息的密文;或者,终端有待发送的上行消息时,在建立终端到基站的用户面无线承载之前,如通过Service Request建立用户面无线承载之前,也会获取预先存储的终端的上下文信息的密文。
需要说明的是,在不同的网络侧设备上,针对同一终端的终端的上下文信息有可能不同。本发明实施例中提到的终端的上下文信息,可以在3GPP TS23.401标准的表5.7.2中找到,但是不限于3GPP TS23.401标准。
步骤402,终端向第一网络侧设备发送第一消息,其中,第一消息中携带有终端的上下文信息的密文。
其中,上下文信息的密文为终端的上下文信息经加密处理后的信息。
在实施中,终端获取到预先存储的终端的上下文信息的密文后,终端可以向第一网络侧设备发送第一消息,并在第一消息中携带终端的上下文信息的密文。
其中,该第一消息可以是现有的信令消息,也可以是新增加的消息,不予限制。
步骤403,第一网络侧设备接收终端发送的第一消息。
步骤404,第一网络侧设备获得第一密钥,并根据第一密钥对上下文信息的密文进行解密,得到上下文信息。
其中,第一密钥为第一网络侧设备对终端的上下文信息进行加密时使用的密钥,也可以是第一网络侧设备对终端的上下文信息进行加密时使用的公钥对应的私钥等。
在一个示例性中,第一网络侧设备根据伪随机数生成算法随机生成第一密钥。其中,伪随机数生成算法可以为现有的任意一种算法。例如:蒙特-卡罗(Monte-Carlo)方法。或者,第一网络侧设备也可以根据预先存储的密钥,如KASME,衍生得到第一密钥。
在实施中,第一网络侧设备可以获取预先存储的第一密钥,然后使用第一密钥对终端的上下文信息的密文进行解密,得到终端的上下文信息。
步骤405,第一网络侧设备根据上下文信息,为终端建立通信连接。
具体地,在步骤S405中,第一网络侧设备根据终端的上下文信息为终端进行资源配置,例如,根据终端的上下文信息,建立信令无线承载(signalling radio bearer,SRB)、数据承载(Data Resource Bearer,DRB)、S1、S3/S5等用户面承载和信令面承载,这样就为终端恢复与网络侧设备之间的通信。
在一个示例中,假设第一网络侧设备为SGW,上下文信息包括PGW的S5/S8隧道标识(PGW TEID for S5/S8),SGW的S5/S8隧道标识(SGW TEID for S5/S8),SGW的当前使用IP地址(SGW Address in Use),以及PGW的当前使用IP地址(PGW Address in Use),SGW可以使用PGW TEID以及PGW的IP地址发送数据给PGW,建立起SGW与PGW之间的S5承载。
另外,在步骤405之后,第一网络侧设备可以获取终端的上下文信息,对终端的上下文信息进行加密处理,得到终端的上下文信息的密文,然后向终端发送终端的上下文信息的密文。
如图4所示,第一网络侧设备在接收终端发送的第一消息之前,上述方法还可以包括:向终端发送第二消息,第二消息中可以携带终端的上下文信息的密文,进一步地,第二消息还可以携带第一密钥的密文,相应的处理步骤如下所述。
步骤4011,第一网络侧设备根据第一密钥对终端的上下文信息进行加密处理,得到终端的上下文信息的密文。
其中,第一密钥可以是第一网络侧设备根据伪随机数生成算法随机生成的。其中,伪随机数生成算法可以为现有的任意一种算法。例如:蒙特-卡罗方法。或者,第一密钥可以根据预先存储的密钥,如KASME,衍生得到。
在实施中,第一网络侧设备可以使用第一密钥,根据加密算法对终端的上下文信息进行对称加密处理,得到终端的上下文信息的密文。第一网络侧设备可以向终端发送携带有终端的上下文信息的密文的第二消息。
可选的,第一网络侧设备可以在确定终端完成Service Request后,根据第一密钥对终端的上下文信息进行加密处理,得到终端的上下文信息的密文。
例如,第一网络侧设备为基站,基站向MME发送初始上下文信息建立的消息后,基站确定终端完成Service Request,第一网络侧设备为MME,MME接收到S-GW发送的modifybearer response消息时,确定终端完成Service Request,第一网络侧设备为S-GW,S-GW接收到MME发送的modify bearer response消息时,确定终端完成Service Request。第一网络侧设备在确定终端完成Service Request后,可以根据第一密钥对终端的上下文信息进行加密处理,得到终端的上下文信息的密文。
需要说明的是,不同网络侧设备上对应同一终端的终端的上下文信息有可能不同。
上述提到的加密算法,可以为终端的上下文信息中的非接入层算法(SelectedNAS Algorithm)所标识的算法。
可选的,第二消息中还携带第一密钥的密文,相应的处理可以如下:
步骤4012,第一网络侧设备根据第二密钥和预先配置的加密算法,对第一密钥进行加密处理,得到第一密钥的密文。
在实施中,预先配置的加密算法可以是演进的加密算法(Envoled EncryptionAlgorithm,EEA),如EEA0,EEA1,EEA2等,预先配置的加密算法与预先配置的解密算法相对应。
在一个示例中,第二密钥可以是第一网络侧设备根据伪随机数生成算法随机生成的,此时第二密钥将在第一网络侧设备上保存。其中,伪随机数生成算法可以为现有的任意一种算法,如蒙特-卡罗方法等。需要说明的是,此时的第二密钥是对称密钥,使用的加密算法是预先配置的对称加密算法,使用的解密算法与使用的加密算法相对应。
在另一个示例中,第二密钥可以是第一网络侧设备预先配置的公私钥对,此时第二密钥将在第一网络侧设备上保存。其中,进行加密时使用自身的公钥作为加密密钥,进行解密时使用自身的私钥作为解密密钥。需要说明的是,此时的第二密钥是非对称密钥,使用的加密算法为非对称加密算法,可以使用椭圆曲线密码算法(Elliptic CurveCryptosystem,ECC),也可以使用公钥基础设施(Public Key Infrastructure,PKI)机制、根据身份的加密算法(Identity-based Encryption,IBE)机制等,使用的解密算法与使用的加密算法相对应。
步骤4013,第一网络侧设备向终端发送第二消息,第二消息中携带的终端的上下文信息的密文。
可选的,第二消息中还可以携带第一密钥的密文。此外,第二消息可以是现有通信流程中的信令消息,也可以是新增加的信令消息。
步骤4014,终端接收到第一网络侧设备发送的第二消息,第二消息中携带的终端的上下文信息的密文,终端存储第二消息中携带的终端的上下文信息的密文。
在实施中,终端接收到第一网络侧设备发送的第二消息时,终端可以解析第二消息,从中获取到终端的上下文信息的密文,然后存储终端的上下文信息的密文。
可选的,第二消息中还携带第一密钥的密文,相应的处理可以如下:
终端接收到第二消息时,还可以存储第二消息中携带的第一密钥的密文。
相应的,对于第二消息中携带终端的上下文信息的密文和第一密钥的密文,第一消息中也携带终端的上下文信息的密文和第一密钥的密文,步骤401中,终端除了获取终端的上下文信息的密文,还会获取第一密钥的密文,步骤402和步骤403中,终端向第一网络侧设备发送的第一消息中还携带第一密钥的密文,在步骤404中,第一网络侧设备会首先根据第二密钥和预先配置的解密算法,对第一密钥的密文进行解密,获得第一密钥。
在实施中,第一网络侧设备可以根据预先存储的伪随机数生成的第二密钥和预先配置的解密算法,对第一消息中的第一密钥的密文进行解密,获得第一密钥,或者获取预先存储的第二密钥中私钥和预先配置的解密算法,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
可选的,在本发明实施例中,还提供了终端的状态满足预设条件时,第一网络侧设备可以将终端的上下文信息删除,相应的处理可以如下:第一网络侧设备当检测到终端进入注册空闲ECM-IDLE状态时,删除终端的上下文信息。
在实施中,第一网络侧设备检测到终端的状态满足预设条件时,可以删除终端的的上下文信息,例如,第一网络侧设备确定终端与网络之间无NAS信令连接,确定终端进入ECM-IDLE状态,第一网络侧设备可以删除终端的的上下文信息。
本发明另一实施例中,还提供了一种通信方法,如图5所示,处理流程可以如下:
步骤501,第一网络侧设备获取终端的上下文信息;第一网络侧设备获得第一密钥,根据第一密钥,对终端的上下文信息进行加密处理,得到终端的上下文信息的密文;第一网络侧设备根据第二密钥,对第一密钥进行加密处理,得到第一密钥的密文;第二消息中还携带有第一密钥的密文。
此步骤的处理在前面已详细叙述,此处不再赘述。
步骤502,第一网络侧设备根据第三密钥、终端的上下文信息的密文和第一密钥的密文,生成签名信息。
其中,第三密钥可以是第一网络侧设备根据伪随机数生成算法随机生成的,此时第三密钥可以在第一网络侧设备上保存,伪随机数生成算法可以为现有的任意一种算法。例如:蒙特-卡罗方法,此时第三密钥是对称密钥,使用的签名算法是预先配置的对称签名算法。
此外,第三密钥也可以是第一网络侧设备预先配置的公私钥对,此时第三密钥将在第一网络侧设备上保存。其中,生成签名时使用自身的私钥作为签名密钥,验证签名时使用自身的公钥作为验证签名的密钥,此时的第三密钥是非对称密钥,使用的签名算法为非对称签名算法,可以使用椭圆曲线签名生成和验证算法,也可以使用公钥基础设施机制的签名生成与验证算法、根据身份的加密算法机制的签名生成与验证算法等。当第二密钥和第三密钥都是非对称密钥时,两个密钥可以是相同的公私钥对。
在实施中,第一网络侧设备可以使用上述方法获得第三密钥,然后根据第三密钥和预设的签名生成算法,对终端的上下文信息的密文和第一密钥的密文进行加密签名处理,生成签名信息。例如,第三密钥为非对称密钥,第一网络侧设备可以对终端的上下文信息的密文和第一密钥的密文进行哈希运算,最后使用第三密钥中的私钥,对哈希后得到的数据进行签名生成处理,生成签名信息。第三密钥为对称密钥,第一网络侧设备可以对终端的上下文信息的密文和第一密钥的密文进行哈希运算,最后使用第三密钥,对哈希后得到的数据进行签名生成处理,生成签名信息。
可选的,第一网络侧设备在生成签名信息时,还可以使用终端的上下文信息的有效时间信息,相应的处理可以如下:
第一网络侧设备根据第三密钥,对终端的上下文信息的密文,终端的上下文信息对应的有效时间信息和第一密钥的密文进行签名处理,生成签名信息。
其中,有效时间信息可以是终端的上下文信息的失效时间点,如2017/1/10/24:00等,可以是终端的上下文信息的有效时间范围,如2017/1/10/24:00~2017/1/12/24:00等,可以是终端的上下文信息的生成时间点与有效时长等,如生成时间点为2017/1/10/10:00,有效时长为72小时,终端的上下文信息到2017/1/13/10:00失效。
在实施中,第一网络侧设备可以使用上述方法获得第三密钥,然后根据第三密钥和预设的签名生成算法,对终端的上下文信息的密文、第一密钥的密文和有效时间信息进行加密签名处理,生成签名信息。例如,第三密钥为非对称密钥,第一网络侧设备可以对终端的上下文信息的密文、第一密钥的密文和有效时间信息进行哈希运算,最后使用第三密钥中的私钥,对哈希后得到的数据进行签名生成处理,生成签名信息。第三密钥为对称密钥,第一网络侧设备可以对终端的上下文信息的密文、第一密钥的密文和有效时间信息进行哈希运算,最后使用第三密钥,对哈希后得到的数据进行签名生成处理,生成签名信息。
可选的,第一网络侧设备在生成签名信息时,还可以使用设备标识,相应的处理可以如下:
第一网络侧设备根据第三密钥、的终端的上下文信息的密文、第一密钥的密文以及设备标识,生成签名信息。
其中,设备标识为第一网络侧设备的设备标识。
在实施中,第一网络侧设备可以获得预先存储的第三密钥,然后根据第三密钥和预设的签名生成算法,对终端的上下文信息的密文、第一密钥的密文和设备标识进行加密签名处理,生成签名信息。
步骤503,第一网络侧设备向终端发送第二消息,其中,第二消息中携带有终端的上下文信息的密文、第一密钥的密文和签名信息。
可选的,第二消息中还携带有签名信息和终端的上下文信息的有效时间信息。
可选的,第二消息中还携带有签名信息和设备标识。
步骤504,终端接收到第一网络侧设备发送的第二消息,存储第二消息中携带的终端的上下文信息的密文、第一密钥的密文和签名信息。当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,获取预先存储的终端的上下文信息的密文、第一密钥的密文和签名信息。
可选的,当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,还获取预先存储的终端的上下文信息的有效时间信息。
可选的,当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,还获取预先存储的设备标识。
步骤505,终端向第一网络侧设备发送第一消息,其中,第一消息中携带有终端的上下文信息的密文、第一密钥的密文和签名信息。
相应地,第一网络侧设备接收终端发送的第一消息。
可选的,第一消息中还携带有终端的上下文信息的有效时间信息。
可选的,第一消息中还携带有设备标识。
需要说明的是,如果第一消息中携带有有效时间信息,则第一网络侧设备可以确定第一消息中终端的上下文信息是否失效,如果第一消息中终端的上下文信息失效,则不再执行步骤506和步骤507,如果第一消息中终端的上下文信息未失效,则继续执行步骤506和步骤507。例如,有效时间信息可以是终端的上下文信息的失效时间点,如果当前时间已超过失效时间点,则确定第一消息失效。
步骤506,第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文和第一密钥的密文,对第一消息中的签名信息进行校验,若第一消息中的签名信息校验通过,则第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
在一个示例中,第三密钥为非对称密钥,第一网络侧设备可以对第一消息中的终端的上下文信息的密文和第一密钥的密文进行哈希运算,然后使用第三密钥中的公钥,对哈希后得到的数据进行签名生成处理,生成签名信息,如果该签名信息与第一消息中的签名信息相同,则确定第一消息中的签名信息校验通过。然后第一网络侧设备可以获取预先存储的第二密钥和预先配置的解密算法,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
在另一个示例中,第三密钥为对称密钥,第一网络侧设备可以对第一消息中的终端的上下文信息的密文和第一密钥的密文进行哈希运算,然后使用第三密钥,对哈希后得到的数据进行签名生成处理,生成签名信息,如果该签名信息与第一消息中的签名信息相同,则确定第一消息中的签名信息校验通过。然后第一网络侧设备可以获取预先存储的第二密钥和预先配置的解密算法,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
可选的,第一网络侧设备在验证签名信息时,还可以使用终端的上下文信息的有效时间信息,步骤506的处理可以如下:
第一网络侧设备根据第三密钥,对终端的上下文信息的密文,终端的上下文信息对应的有效时间信息和第一密钥的密文进行签名处理,生成签名信息,第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文、第一密钥的密文和有效时间信息,对签名信息进行校验,若第一消息中的签名信息校验通过,则第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
在实施中,此步骤的处理与第一网络侧设备对第一消息中的终端的上下文信息的密文、第一密钥的密文和签名信息校验签名的处理过程相同,此处不再赘述。
可选的,网络侧设备在验证签名信息时,还可以使用第一消息中的设备标识,步骤506的处理可以如下:
第一网络侧设备根据第三密钥,以及第一消息中的终端的上下文信息的密文、第一密钥的密文和设备标识,对第一消息中的签名信息进行校验;若第一消息中的签名信息校验通过,则第一网络侧设备根据第二密钥,对第一消息中的第一密钥的密文进行解密,获得第一密钥。
在实施中,此步骤的处理与第一网络侧设备对第一消息中的终端的上下文信息的密文、第一密钥的密文和签名信息校验签名的处理过程相同,此处不再赘述。
步骤507,第一网络侧设备获得第一密钥,并根据第一密钥对上下文信息的密文进行解密,得到上下文信息;第一网络侧设备根据上下文信息,为终端建立通信连接。
步骤507的处理过程在步骤404和步骤405中已详细叙述,此处不再赘述。
本发明另一实施例中,还提供了一种通信方法,本发明实施例以第二网络侧设备切换至第一网络侧设备为例进行说明,其中,第一网络侧设备可以参见前述内容,第二网络侧设备也可以是图1所示架构中的任一网络侧设备,如图6所示,相应的步骤处理流程可以如下:
步骤601,第二网络侧设备向终端发送第二消息。
其中,第二消息中携带有终端的上下文信息的密文、第一密钥的密文、签名信息和设备标识。
其中,第一密钥的密文可以是设备标识所指示的设备根据第二密钥对第一密钥进行加密处理后,得到的密文;签名信息可以是设备标识所指示的设备根据第三密钥、的终端的上下文信息的密文、第一密钥的密文以及设备标识,生成的签名信息。此处,设备标识所指示的设备为第二网络侧设备。
在步骤601之前,步骤6011可以包括:第二网络侧设备对终端的上下文信息进行加密;第二网络侧设备对第一密钥进行加密;第二网络侧设备生成签名信息。其中,对终端的上下文信息以及第一密钥进行加密的方法和签名信息的生成方法在前面已经详细叙述,此处不再赘述。
步骤602,当终端接收到第二网络侧设备发送的第二消息时,存储第二消息中携带的终端的上下文信息的密文、第一密钥的密文、签名信息和设备标识。
步骤603,当终端接收到用于寻呼终端的寻呼消息,或终端检测到有待发送上行消息时,获取预先存储的终端的上下文信息的密文和第一密钥的密文、签名信息和设备标识,向第一网络侧设备发送第一消息。
其中,第一消息中携带有终端的上下文信息的密文、第一密钥的密文、签名信息和设备标识。
在实施中,当终端接收到第一网络侧设备发送的用于寻呼终端的寻呼消息,或检测到有待发送的上行消息时,可以获取预先存储的终端的上下文信息的密文、第一密钥的密文、签名信息和设备标识,然后向第一网络侧设备发送第一消息。
步骤604,第一网络侧设备接收终端发送的第一消息。
步骤605,若设备标识不是本设备的设备标识,则第一网络侧设备向设备标识所指示的设备发送第一消息,并接收设备标识所指示的设备发送的上下文信息。
在一个示例中,第一网络侧设备接收到终端发送的第一消息后,可以获取本设备的设备标识,然后判断本设备的设备标识是否与第一消息中的设备标识相同,如果本设备的设备标识与第一消息中的设备标识不相同,则可以向第一消息中的设备标识所指示的设备(此处为第二网络侧设备)发送第一消息,第二网络侧设备接收到第一消息后,第二网络侧设备可以则根据第三密钥,对第一消息中的终端的上下文信息的密文、第一密钥的密文、设备标识和签名信息,进行校验签名,如果校验通过,则根据第二密钥和预先配置的解密算法,对第一消息中的第一密钥的密文进行解密,得到第一密钥;根据第一密钥和预先配置的解密算法,对第一消息中的终端的上下文信息的密文进行解密,得到解密后的终端的上下文信息。这部分的处理过程和图5所示的实施例中的处理过程相同,此处不再赘述,然后第二网络侧设备向第一网络侧设备发送解密后的终端的上下文信息,第一网络侧设备接收解密后的终端的上下文信息。
在另一个示例中,第一网络侧设备接收到终端发送的第一消息后,第一网络侧设备可以判断设备标识所指示的设备是否为所述第一网络侧设备,若不是,则向设备标识所指示的设备发送第一消息。后续的操作与上面的示例相同,不再赘述。
步骤606,根据终端的上下文信息,为终端建立通信连接。
需要说明的是,在上述步骤605和步骤606中,校验签名的方法和为终端通信方法已经在图4和图5所示的实施例中详细叙述,此处不再赘述。
需要说明的是,图6中仅显示出网络侧设备发生切换后(第二网络侧设备切换至第一网络侧设备),如何为终端建立通信连接的处理过程。
另外,如果网络侧设备未发生切换,说明向终端发送第二消息的网络侧设备未发生切换,设备标识也是本设备的设备标识,第一网络侧设备可以则根据第三密钥,对终端的上下文信息的密文、第一密钥的密文、设备标识和签名信息,进行校验签名,如果校验通过,则根据第二密钥,对第一密钥的密文进行解密,得到第一密钥;根据第一密钥,对终端的上下文信息的密文进行解密,得到解密后的终端的上下文信息。这部分的处理过程和图5所示的实施例中的处理过程相同,此处不再赘述。
另外,需要说明的是第一消息和第二消息中也可以仅携带终端的上下文信息的密文和设备标识,相应的在步骤605中,第二网络侧设备仅需要对终端的上下文信息的密文解密,就可以得到解密后的终端的上下文信息。第一消息和第二消息中也可以仅携带终端的上下文信息的密文、第一密钥的密文和设备标识,相应的在步骤605中,第二网络侧设备首先需要对第一密钥的密文进行解密,获得第一密钥,然后使用第一密钥对终端的上下文信息的密文解密,得到解密后的终端的上下文信息。
需要说明的是,图4和图5所示的实施例中,网络侧设备未发生切换,第二消息由第一网络侧设备发送至终端,第一网络侧设备接收终端发送的第一消息,第一网络侧设备接收到第一消息后,可以解密终端的上下文信息的密文,得到终端的上下文信息。另外,图4和图5所示的实施例中仅提到了第一网络侧设备在接收到第一消息之前,向终端发送第二消息,第一网络侧设备也可以在为终端建立通信连接后,向终端发送第二消息。
图6所示的实施例中,网络侧设备发送切换,由第二网路侧设备切换至第一网络侧设备,第二消息是由第二网络侧设备发送至终端,终端向切换后的第一网络侧设备发送第一消息,第一网络侧接收到终端发送的第一消息后,将第一消息发送至第二网络侧设备,由第二网络侧设备解密终端的上下文信息的密文,得到终端的上下文信息,然后再将终端的上下文信息发送至第一网络侧设备,第一网络侧设备得到终端的上下文信息。
本发明实施例中,终端的上下文信息存储在终端中,网络侧设备在使用终端的上下文信息时,终端向网络侧设备发送终端的上下文信息,这样,网络侧设备不需要存储终端的上下文信息,从而可以节约网络侧设备的存储空间,网络侧设备可以使更多的新终端进行附着,使更多的终端可以接入网络。
图7是本发明实施例提供的网络侧设备的结构图。该装置可以通过软件、硬件或者两者的结合实现成为网络侧设备中的部分或者全部。本发明实施例提供的网络侧设备可以实现本发明实施例图4-图6所述的流程。网络侧设备包括:接收模块710、加解密模块720和连接模块730,其中:
接收模块710,用于接收终端发送的第一消息,其中,所述第一消息中携带所述终端的上下文信息的密文,所述上下文信息的密文为所述终端的上下文信息经加密处理后的信息;
加解密模块720,用于获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
连接模块730,用于根据所述上下文信息,为所述终端建立通信连接。
可选的,加解密模块720,还用于:根据所述第一密钥对所述终端的上下文信息进行加密处理,得到所述终端的上下文信息的密文。
如图8所示,所述网络侧设备还包括:
第一发送模块740,用于向所述终端发送第二消息,其中,所述第二消息中携带所述终端的上下文信息的密文。
可选的,加解密模块720,还用于:
根据第二密钥,对所述第一密钥进行加密处理,得到第一密钥的密文,所述第二消息还携带有所述第一密钥的密文;
所述第一消息还携带有所述第一密钥的密文,根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
如图9所示,可选的,所述网络侧设备还包括:
第一签名模块750,用于根据第三密钥、所述终端的上下文信息的密文和所述第一密钥的密文,生成签名信息,所述第二消息还携带有所述签名信息;
所述第一消息还携带有所述签名信息,第一签名模块750,还用于:
根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文和所述第一密钥的密文,对所述第一消息中的签名信息进行校验;
加解密模块720,还用于若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
可选的,第一签名模块750,用于:
根据所述第三密钥,对所述终端的上下文信息的密文,所述终端的上下文信息对应的有效时间信息和所述第一密钥的密文进行签名处理,生成所述签名信息,所述第二消息还携带有所述有效时间信息;
所述第一消息还携带有所述有效时间信息,第一签名模块750,还用于
根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述有效时间信息,对所述签名信息进行校验。
可选的,如图10所示,所述网络侧设备还包括:
第二签名模块760,用于根据所述第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及设备标识,生成签名信息,所述第二消息还携带有所述设备标识以及所述签名信息;
所述第一消息还携带有所述签名信息以及所述设备标识,第二签名模块760,还用于:根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验;
加解密模块720,还用于若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
可选的,所述第一消息中还携带有所述第一密钥的密文、签名信息和设备标识,其中,所述第一密钥的密文是所述设备标识所指示的设备根据第二密钥对所述第一密钥进行加密处理后,得到的密文,所述签名信息是所述设备标识所指示的设备根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及所述设备标识,生成的签名信息;
加解密模块720,用于:
若所述设备标识是本设备的设备标识,则根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验,若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥;根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
如图11所示,所述网络侧设备还包括:
第二发送模块770,用于若所述设备标识不是本设备的设备标识,则向所述设备标识所指示的设备发送所述第一消息;
接收模块710,还用于接收所述设备标识所指示的设备发送的所述上下文信息。
可选的,如图12所示,所述网络侧设备还包括:
删除模块780,用于当所述终端进入注册空闲ECM-IDLE状态时,删除所述终端的上下文信息。
需要说明的是,上述接收模块710、加解密模块720、连接模块730、第一发送模块740、第一签名模块750、第二签名模块760、第二发送模块770和删除模块780可以由处理器220实现,或者处理器220配合发射器230、接收器210和存储器240来实现。
举例说明如下:
接收器210,用于接收终端发送的第一消息,其中,所述第一消息中携带所述终端的上下文信息的密文,所述上下文信息的密文为所述终端的上下文信息经加密处理后的信息;
处理器220,用于获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
处理器220,用于根据所述上下文信息,为所述终端建立通信连接。
可选地,处理器220,还用于:
根据所述第一密钥对所述终端的上下文信息进行加密处理,得到所述终端的上下文信息的密文;
发射器230,用于向所述终端发送第二消息,其中,所述第二消息中携带所述终端的上下文信息的密文。
可选地,处理器220,还用于:
根据第二密钥,对所述第一密钥进行加密处理,得到第一密钥的密文,所述第二消息还携带有所述第一密钥的密文;
所述第一消息还携带有所述第一密钥的密文,处理器220,用于:
根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
可选地,处理器220,还用于:
根据第三密钥、所述终端的上下文信息的密文和所述第一密钥的密文,生成签名信息,所述第二消息还携带有所述签名信息;
所述第一消息还携带有所述签名信息,处理器220还用于:
根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文和所述第一密钥的密文,对所述第一消息中的签名信息进行校验;
若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
可选地,处理器220,还用于
根据所述第三密钥,对所述终端的上下文信息的密文,所述终端的上下文信息对应的有效时间信息和所述第一密钥的密文进行签名处理,生成所述签名信息,所述第二消息还携带有所述有效时间信息;
所述第一消息还携带有所述有效时间信息,根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述有效时间信息,对所述签名信息进行校验。
可选地,处理器220,还用于:
根据所述第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及设备标识,生成签名信息,所述第二消息还携带有所述设备标识以及所述签名信息;
所述第一消息还携带有所述签名信息以及所述设备标识,根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验;
若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
可选地,所述第一消息中还携带有所述第一密钥的密文、签名信息和设备标识,其中,所述第一密钥的密文是所述设备标识所指示的设备根据第二密钥对所述第一密钥进行加密处理后,得到的密文,所述签名信息是所述设备标识所指示的设备根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及所述设备标识,生成的签名信息;
处理器220,用于:
若所述设备标识是本设备的设备标识,则根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验,若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥;根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
发射器230,还用于:
若所述设备标识不是本设备的设备标识,则向所述设备标识所指示的设备发送所述第一消息;
接收器210,还用于接收所述设备标识所指示的设备发送的所述上下文信息。
可选地,处理器220,还用于:
当所述终端进入注册空闲ECM-IDLE状态时,删除所述终端的上下文信息。
本发明实施例中,终端的上下文信息存储在终端中,网络侧设备在使用终端的上下文信息时,终端向网络侧设备发送终端的上下文信息,这样,网络侧设备不需要存储终端的上下文信息,从而可以节约网络侧设备的存储空间,网络侧设备可以使更多的新终端进行附着,使更多的终端可以接入网络。
图13是本发明实施例提供的终端的结构图。该装置可以通过软件、硬件或者两者的结合实现成为终端中的部分或者全部。本发明实施例提供的终端可以实现本发明实施例图4-图6所述的流程,终端包括:获取模块1310和发送模块1320,其中:
获取模块1310,用于当接收到用于寻呼所述终端的寻呼消息,或检测到有待发送上行消息时,获取所述终端的上下文信息的密文;
发送模块1320,用于向第一网络侧设备发送第一消息,其中,所述第一消息中携带有所述终端的上下文信息的密文。
可选的,如图14所示,所述终端还包括:
接收模块1330,用于接收到所述第一网络侧设备或第二网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文;
存储模块1340,用于存储所述终端的上下文信息的密文。
可选的,所述第一消息与所述第二消息中还携带有第一密钥的密文。
可选的,所述第一消息与第二消息中还携带有签名信息。
可选的,所述第一消息与所述第二消息中还携带有所述终端的上下文信息对应的有效时间信息和发送所述第二消息的网络侧设备的设备标识。
需要说明的是,上述获取模块1310、发送模块1320、接收模块1330和存储模块1340可以由处理器320实现,或者处理器320配合发射器330、接收器310和存储器340来实现。
举例如下:
处理器320,用于当接收到用于寻呼所述终端的寻呼消息,或检测到有待发送上行消息时,获取所述终端的上下文信息的密文;
发射器330,用于向第一网络侧设备发送第一消息,其中,所述第一消息中携带有所述终端的上下文信息的密文。
可选地,所述终端还包括:
接收器310,用于接收到所述第一网络侧设备或第二网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文;
存储器340,用于存储所述终端的上下文信息的密文。
可选地,所述第一消息与所述第二消息中还携带有第一密钥的密文。
可选地,所述第一消息与第二消息中还携带有签名信息。
可选地,所述第一消息与所述第二消息中还携带有所述终端的上下文信息对应的有效时间信息和发送所述第二消息的网络侧设备的设备标识。
本发明实施例中,终端的上下文信息存储在终端中,网络侧设备在使用终端的上下文信息时,终端向网络侧设备发送终端的上下文信息,这样,网络侧设备不需要存储终端的上下文信息,从而可以节约网络侧设备的存储空间,网络侧设备可以使更多的新终端进行附着,使更多的终端可以接入网络。
本发明实施例还提供了一个通信体统,包括上述图7-图12中任一附图所示的网络侧设备,以及图13-14任一附图所示的终端。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现,当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在网络侧设备和终端上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴光缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是网络侧设备能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(如软盘、硬盘和磁带等),也可以是光介质(如数字视盘(Digital Video Disk,DVD)等),或者半导体介质(如固态硬盘等)。
以上所述仅为本申请的一个实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (25)

1.一种通信方法,其特征在于,所述方法包括:
第一网络侧设备接收终端发送的第一消息,其中,所述第一消息中携带所述终端的上下文信息的密文,所述第一消息用于请求所述第一网络侧设备为所述终端建立通信连接,所述终端的上下文信息的密文是由所述终端在进入注册空闲ECM-IDLE状态前接入的网络侧设备对所述终端的上下文信息进行加密获得,并发送给所述终端的;
所述第一网络侧设备获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
所述第一网络侧设备根据所述上下文信息,为所述终端建立通信连接。
2.根据权利要求1所述的方法,其特征在于,在第一网络侧设备接收终端发送的第一消息之前,所述方法还包括:
所述第一网络侧设备根据所述第一密钥对所述终端的上下文信息进行加密处理,得到所述终端的上下文信息的密文;
所述第一网络侧设备向所述终端发送第二消息,其中,所述第二消息中携带所述终端的上下文信息的密文;
当所述终端进入ECM-IDLE状态时,所述第一网络侧设备删除所述终端的上下文信息。
3.根据权利要求2所述的方法,其特征在于,所述第一网络侧设备向所述终端发送所述第二消息之前,所述方法还包括:
所述第一网络侧设备根据第二密钥,对所述第一密钥进行加密处理,得到第一密钥的密文,所述第二消息还携带有所述第一密钥的密文;
所述第一消息还携带有所述第一密钥的密文,所述第一网络侧设备获得第一密钥,包括:
所述第一网络侧设备根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述第一网络侧设备根据第三密钥、所述终端的上下文信息的密文和所述第一密钥的密文,生成签名信息,所述第二消息还携带有所述签名信息;
所述第一消息还携带有所述签名信息,在所述第一网络侧设备根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥之前,还包括:
所述第一网络侧设备根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文和所述第一密钥的密文,对所述第一消息中的签名信息进行校验;
若所述第一消息中的签名信息校验通过,则所述第一网络侧设备根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
5.根据权利要求4所述的方法,其特征在于,所述第一网络侧设备根据第三密钥、所述终端的上下文信息的密文和所述第一密钥的密文,生成签名信息,包括:
所述第一网络侧设备根据所述第三密钥,对所述终端的上下文信息的密文,所述终端的上下文信息对应的有效时间信息和所述第一密钥的密文进行签名处理,生成所述签名信息,所述第二消息还携带有所述有效时间信息;
所述第一消息还携带有所述有效时间信息,所述第一网络侧设备根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文和所述第一密钥的密文,对所述签名信息进行校验,包括:
所述第一网络侧设备根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述有效时间信息,对所述签名信息进行校验。
6.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述第一网络侧设备根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及设备标识,生成签名信息,所述第二消息还携带有所述设备标识以及所述签名信息;
所述第一消息还携带有所述签名信息以及所述设备标识,在所述第一网络侧设备根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥之前,还包括:
所述第一网络侧设备根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验;
若所述第一消息中的签名信息校验通过,则所述第一网络侧设备根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
7.根据权利要求1所述的方法,其特征在于,所述第一消息中还携带有所述第一密钥的密文、签名信息和设备标识,其中,所述第一密钥的密文是所述设备标识所指示的设备根据第二密钥对所述第一密钥进行加密处理后,得到的密文,所述签名信息是所述设备标识所指示的设备根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及所述设备标识,生成的签名信息;
所述第一网络侧设备获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息,包括:
若所述设备标识是本设备的设备标识,则所述第一网络侧设备根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验,若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥;根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
所述方法还包括:
若所述设备标识不是本设备的设备标识,则所述第一网络侧设备向所述设备标识所指示的设备发送所述第一消息,并接收所述设备标识所指示的设备发送的所述上下文信息。
8.一种通信方法,其特征在于,所述方法包括:
终端接收所述终端在进入注册空闲ECM-IDLE状态前接入的网络侧设备发送的所述终端的上下文信息的密文,存储所述终端的上下文信息的密文,所述终端的上下文信息的密文是所述终端在进入ECM-IDLE状态前接入的网络侧设备对所述终端的上下文信息进行加密获得的;
当终端接收到用于寻呼所述终端的寻呼消息,或所述终端检测到有待发送上行消息时,获取所述终端的上下文信息的密文;
所述终端向第一网络侧设备发送第一消息,其中,所述第一消息中携带有所述终端的上下文信息的密文,所述第一消息用于请求所述第一网络侧设备为所述终端建立通信连接。
9.根据权利要求8所述的方法,其特征在于,所述终端接收所述终端在进入ECM-IDLE状态前接入的网络侧设备发送的所述终端的上下文信息的密文,包括:
所述终端接收到所述第一网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文,在所述终端进入ECM-IDLE状态时,所述第一网络侧设备删除所述终端的上下文信息;或者,
所述终端接收到第二网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文,在所述终端进入ECM-IDLE状态时,所述第二网络侧设备删除所述终端的上下文信息。
10.根据权利要求9所述的方法,其特征在于,所述第一消息与所述第二消息中还携带有第一密钥的密文。
11.根据权利要求10所述的方法,其特征在于,所述第一消息与第二消息中还携带有签名信息。
12.根据权利要求11所述的方法,其特征在于,所述第一消息与所述第二消息中还携带有所述终端的上下文信息对应的有效时间信息和发送所述第二消息的网络侧设备的设备标识。
13.一种网络侧设备,其特征在于,所述网络侧设备包括:
接收模块,用于接收终端发送的第一消息,其中,所述第一消息中携带所述终端的上下文信息的密文,所述第一消息用于请求所述网络侧设备为所述终端建立通信连接,所述终端的上下文信息的密文是由所述终端在进入注册空闲ECM-IDLE状态前接入的网络侧设备对所述终端的上下文信息进行加密获得,并发送给所述终端的;
加解密模块,用于获得第一密钥,并根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
连接模块,用于根据所述上下文信息,为所述终端建立通信连接。
14.根据权利要求13所述的网络侧设备,其特征在于,所述加解密模块,还用于:
根据所述第一密钥对所述终端的上下文信息进行加密处理,得到所述终端的上下文信息的密文;
所述网络侧设备还包括:
第一发送模块,用于向所述终端发送第二消息,其中,所述第二消息中携带所述终端的上下文信息的密文;
删除模块,用于当所述终端进入ECM-IDLE状态时,删除所述终端的上下文信息。
15.根据权利要求14所述的网络侧设备,其特征在于,所述加解密模块,还用于:
根据第二密钥,对所述第一密钥进行加密处理,得到第一密钥的密文,所述第二消息还携带有所述第一密钥的密文;
所述第一消息还携带有所述第一密钥的密文,根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
16.根据权利要求15所述的网络侧设备,其特征在于,所述网络侧设备还包括:
第一签名模块,用于根据第三密钥、所述终端的上下文信息的密文和所述第一密钥的密文,生成签名信息,所述第二消息还携带有所述签名信息;
所述第一消息还携带有所述签名信息,所述第一签名模块,还用于:
根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文和所述第一密钥的密文,对所述第一消息中的签名信息进行校验;
所述加解密模块,还用于若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
17.根据权利要求16所述的网络侧设备,其特征在于,所述第一签名模块,用于:
根据所述第三密钥,对所述终端的上下文信息的密文,所述终端的上下文信息对应的有效时间信息和所述第一密钥的密文进行签名处理,生成所述签名信息,所述第二消息还携带有所述有效时间信息;
所述第一消息还携带有所述有效时间信息,所述第一签名模块,还用于:
根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述有效时间信息,对所述签名信息进行校验。
18.根据权利要求15所述的网络侧设备,其特征在于,所述网络侧设备还包括:
第二签名模块,用于根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及设备标识,生成签名信息,所述第二消息还携带有所述设备标识以及所述签名信息;
所述第一消息还携带有所述签名信息以及所述设备标识,所述第二签名模块,还用于:根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验;
所述加解密模块,还用于若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥。
19.根据权利要求13所述的网络侧设备,其特征在于,所述第一消息中还携带有所述第一密钥的密文、签名信息和设备标识,其中,所述第一密钥的密文是所述设备标识所指示的设备根据第二密钥对所述第一密钥进行加密处理后,得到的密文,所述签名信息是所述设备标识所指示的设备根据第三密钥、所述的终端的上下文信息的密文、所述第一密钥的密文以及所述设备标识,生成的签名信息;
所述加解密模块,用于:
若所述设备标识是本设备的设备标识,则根据所述第三密钥,以及所述第一消息中的所述终端的上下文信息的密文、所述第一密钥的密文和所述设备标识,对所述第一消息中的签名信息进行校验,若所述第一消息中的签名信息校验通过,则根据所述第二密钥,对所述第一消息中的第一密钥的密文进行解密,获得所述第一密钥;根据所述第一密钥对所述上下文信息的密文进行解密,得到所述上下文信息;
所述网络侧设备还包括:
第二发送模块,用于若所述设备标识不是本设备的设备标识,则向所述设备标识所指示的设备发送所述第一消息;
所述接收模块,还用于接收所述设备标识所指示的设备发送的所述上下文信息。
20.一种终端,其特征在于,所述终端包括:
接收模块,用于接收终端在进入注册空闲ECM-IDLE状态前接入的网络侧设备发送的所述终端的上下文信息的密文,所述终端的上下文信息的密文是由所述终端在进入ECM-IDLE状态前接入的网络侧设备对所述终端的上下文信息进行加密获得的;
存储模块,用于存储所述终端的上下文信息的密文;
获取模块,用于当接收到用于寻呼所述终端的寻呼消息,或检测到有待发送上行消息时,获取所述终端的上下文信息的密文;
发送模块,用于向第一网络侧设备发送第一消息,其中,所述第一消息中携带有所述终端的上下文信息的密文,所述第一消息用于请求所述第一网络侧设备为所述终端建立通信连接。
21.根据权利要求20所述的终端,其特征在于,所述接收模块,用于:
接收到所述第一网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文,在所述终端进入ECM-IDLE状态时,所述第一网络侧设备删除所述终端的上下文信息;或者,
接收到第二网络侧设备发送的第二消息,所述第二消息中携带的所述终端的上下文信息的密文,在所述终端进入ECM-IDLE状态时,所述第二网络侧设备删除所述终端的上下文信息。
22.根据权利要求21所述的终端,其特征在于,所述第一消息与所述第二消息中还携带有第一密钥的密文。
23.根据权利要求22所述的终端,其特征在于,所述第一消息与第二消息中还携带有签名信息。
24.根据权利要求23所述的终端,其特征在于,所述第一消息与所述第二消息中还携带有所述终端的上下文信息对应的有效时间信息和发送所述第二消息的网络侧设备的设备标识。
25.一种通信系统,其特征在于,所述系统包括第一网络侧设备和终端,其中:
所述第一网络侧设备,如所述权利要求13-19中任一项权利要求所述的网络侧设备;
所述终端,如所述权利要求20-24中任一项权利要求所述的终端。
CN201780082558.0A 2017-03-29 2017-03-29 一种通信方法、装置和系统 Active CN110169128B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2017/078609 WO2018176273A1 (zh) 2017-03-29 2017-03-29 一种通信方法、装置和系统

Publications (2)

Publication Number Publication Date
CN110169128A CN110169128A (zh) 2019-08-23
CN110169128B true CN110169128B (zh) 2021-01-29

Family

ID=63674007

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780082558.0A Active CN110169128B (zh) 2017-03-29 2017-03-29 一种通信方法、装置和系统

Country Status (4)

Country Link
US (1) US20200045536A1 (zh)
EP (1) EP3595343B1 (zh)
CN (1) CN110169128B (zh)
WO (1) WO2018176273A1 (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104937964A (zh) * 2013-01-17 2015-09-23 日本电气株式会社 用户面与控制面分离的蜂窝系统中的安全通信
CN105704753A (zh) * 2014-11-26 2016-06-22 电信科学技术研究院 一种进行数据传输的方法、系统和设备
CN106102105A (zh) * 2016-06-15 2016-11-09 京信通信技术(广州)有限公司 一种小区内切换的方法及装置
WO2017023196A1 (en) * 2015-08-05 2017-02-09 Telefonaktiebolaget Lm Ericsson (Publ) Distributed management of network slices using a gossip protocol

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
CN101925059B (zh) * 2009-06-12 2014-06-11 中兴通讯股份有限公司 一种切换的过程中密钥的生成方法及系统
US9210623B2 (en) * 2013-03-15 2015-12-08 Cisco Technology, Inc. Wireless client association and traffic context cookie
US9497624B2 (en) * 2014-10-30 2016-11-15 Alcatel-Lucent Usa Inc. Connectionless wireless access
US10432399B2 (en) * 2016-07-12 2019-10-01 Huawei Technologies Co., Ltd. Method and apparatus for storing context information in a mobile device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104937964A (zh) * 2013-01-17 2015-09-23 日本电气株式会社 用户面与控制面分离的蜂窝系统中的安全通信
CN105704753A (zh) * 2014-11-26 2016-06-22 电信科学技术研究院 一种进行数据传输的方法、系统和设备
WO2017023196A1 (en) * 2015-08-05 2017-02-09 Telefonaktiebolaget Lm Ericsson (Publ) Distributed management of network slices using a gossip protocol
CN106102105A (zh) * 2016-06-15 2016-11-09 京信通信技术(广州)有限公司 一种小区内切换的方法及装置

Also Published As

Publication number Publication date
EP3595343B1 (en) 2021-08-18
US20200045536A1 (en) 2020-02-06
CN110169128A (zh) 2019-08-23
WO2018176273A1 (zh) 2018-10-04
EP3595343A1 (en) 2020-01-15
EP3595343A4 (en) 2020-01-15

Similar Documents

Publication Publication Date Title
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
CN108293223B (zh) 一种数据传输方法、用户设备和网络侧设备
US11589228B2 (en) Subscriber identity privacy protection against fake base stations
US8838972B2 (en) Exchange of key material
CN109922474B (zh) 触发网络鉴权的方法及相关设备
TW201703556A (zh) 網路安全架構
US20200228977A1 (en) Parameter Protection Method And Device, And System
JP2018526869A (ja) 暗号化されたクライアントデバイスコンテキストを用いたネットワークアーキテクチャおよびセキュリティ
CN107113895B (zh) 通信方法、网络侧设备和用户设备
CN108880813B (zh) 一种附着流程的实现方法及装置
US9590962B2 (en) Using cookies to identify security contexts for connectionless service
CN111264071B (zh) 安全性建立方法、终端装置及网络装置
JP2019522945A (ja) 秘密識別子を使用するユーザ機器に関連した動作
US11039346B2 (en) Handover of a device which uses another device as relay
CN106714151B (zh) 信息传输方法
US11330428B2 (en) Privacy key in a wireless communication system
CN110830421B (zh) 数据传输方法和设备
CN110169128B (zh) 一种通信方法、装置和系统
CN111770488B (zh) Ehplmn更新方法、相关设备及存储介质
CN112400335B (zh) 用于执行数据完整性保护的方法和计算设备
WO2017009714A1 (en) Establishing a temporary subscription with isolated e-utran network
US11576232B2 (en) Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device
CN114342472A (zh) 对amf重新分配时的注册请求中的nas容器的处理
KR101094057B1 (ko) 이동 통신시스템의 초기 시그널링 메시지 처리 방법 및장치
CN107005410B (zh) 因特网协议安全性隧道建立方法,用户设备及基站

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant