CN110536298A - 非接入层消息安全的指示方法、装置、amf设备、终端及介质 - Google Patents

非接入层消息安全的指示方法、装置、amf设备、终端及介质 Download PDF

Info

Publication number
CN110536298A
CN110536298A CN201810907831.5A CN201810907831A CN110536298A CN 110536298 A CN110536298 A CN 110536298A CN 201810907831 A CN201810907831 A CN 201810907831A CN 110536298 A CN110536298 A CN 110536298A
Authority
CN
China
Prior art keywords
amf
terminal
access layer
instruction
nas signaling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810907831.5A
Other languages
English (en)
Other versions
CN110536298B (zh
Inventor
谢振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201810907831.5A priority Critical patent/CN110536298B/zh
Publication of CN110536298A publication Critical patent/CN110536298A/zh
Application granted granted Critical
Publication of CN110536298B publication Critical patent/CN110536298B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information

Abstract

本发明公开了一种非接入层消息安全的指示方法、装置、AMF设备、终端及介质。所述指示方法包括:第一接入管理功能AMF激活新非接入层NAS信令密钥;第一AMF接收到来自第二AMF的上下文转移请求,使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为所述第一AMF激活所述新NAS信令密钥前已有的NAS信令密钥。本发明有效地解决多接入场景移动更新失败的问题。

Description

非接入层消息安全的指示方法、装置、AMF设备、终端及介质
技术领域
本发明涉及通信技术领域,特别是涉及一种非接入层消息安全的指示方法、装置、AMF设备、终端及介质。
背景技术
目前,现有技术中的一种多接入连接核心网时的非接入层(NAS,Non AccessStratum)消息安全处理方法在多接入场景下,接入管理功能(AMF,AuthenticationManagement Function)执行密钥更新的过程前,如果发生移动更新,移动更新可能会失败。
针对上述移动更新失败的问题,现有技术中未给出有效的解决方案。
发明内容
为了克服上述缺陷,本发明要解决的技术问题是提供一种非接入层消息安全的指示方法、装置、AMF设备、终端及介质,用以解决多接入场景移动更新失败的问题。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示方法包括:
第一接入管理功能AMF激活新非接入层NAS信令密钥;
第一AMF接收到来自第二AMF的上下文转移请求,使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为所述第一AMF激活所述新NAS信令密钥前已有的NAS信令密钥。
为解决上述技术问题,本发明实施例中的一种接入管理功能AMF设备,包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种计算机可读存储介质存储有第一计算机程序;
所述第一计算机程序可被至少一个处理器执行,以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示方法包括:
终端发送携带指示信息的非接入层消息;所述指示信息用于指示最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示最近收到的非接入层消息不是安全模式命令。
为解决上述技术问题,本发明实施例中的一种终端包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种计算机可读存储介质存储有第二计算机程序;
所述第二计算机程序可被至少一个处理器执行,以实现如是所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示方法包括:
第一接入管理功能AMF接收到来自第二AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
在验证失败时,所述第一AMF向所述第二AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
为解决上述技术问题,本发明实施例中的一种接入管理功能AMF设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种计算机可读存储介质存储有第三计算机程序;
所述第三计算机程序可被至少一个处理器执行,以实现如上中任意一项所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示方法包括:
第二接入管理功能AMF转发来自终端的接入层消息给第一AMF;
第二AMF收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
为解决上述技术问题,本发明实施例中的一种接入管理功能AMF设备,包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种计算机可读存储介质存储有第四计算机程序;
所述第四计算机程序可被至少一个处理器执行,以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示方法包括:
终端向第二AMF发送非接入层消息;
所述终端接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
为解决上述技术问题,本发明实施例中的一种接入管理功能AMF设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种计算机可读存储介质存储有第五计算机程序;
所述第五计算机程序可被至少一个处理器执行,以实现如上所述方法的步骤。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示装置置包括:
激活模块,用于激活新非接入层NAS信令密钥;
接收验证模块,用于接收到来自第二AMF的上下文转移请求,用于使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为激活所述新NAS信令密钥前第一AMF已有的NAS信令密钥。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示装置包括:
发送单元,用于发送携带指示信息的非接入层消息;所述指示信息用于指示终端最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示终端最近收到的非接入层消息不是安全模式命令。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示装置包括:
接收验证单元,用于接收到来自目标AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
重试指示单元,用于在验证失败时,向所述目标AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示装置包括:
转发模块,用于转发来自终端的接入层消息的内容给第二AMF;
重试指示模块,用于收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
为解决上述技术问题,本发明实施例中的一种非接入层消息安全的指示装置包括:
发送模块,用于向第二AMF发送非接入层消息;
重发模块,用于接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
本发明有益效果如下:
本发明各个实施例有效解决在多接入场景下,接入管理功能执行密钥更新的过程前,如果发生移动更新,移动更新可能会失败的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明实施例中一种可选非接入层消息安全的指示方法流程图;
图2是本发明实施例中另一种可选非接入层消息安全的指示方法流程图;
图3是本发明实施例中又一种可选非接入层消息安全的指示方法流程图;
图4是本发明实施例中再一种可选非接入层消息安全的指示方法流程图;
图5是本发明实施例中再一种可选非接入层消息安全的指示方法流程图;
图6是本发明实施例中再一种可选非接入层消息安全的指示方法流程图;
图7是本发明实施例中再一种可选非接入层消息安全的指示方法流程图。
具体实施方式
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)提出了一种多接入连接核心网时的非接入层(NAS,Non Access Stratum)消息安全处理方法,图1为现有的多接入移动更新时NAS消息安全处理的流程图一,该流程包括如下步骤:
步骤101:终端UE通过无线WIFI和非3GPP交互功能(N3IWF,Non-3GPPInterworking Function)与源AMF建立数据连接,终端UE可能同时还通过源基站(图中未标出)与源AMF建立数据连接;
步骤102:源AMF决定激活新的NAS密钥集合,于是向终端UE发送安全模式命令,比如发送Security Mode Command消息;
步骤103:终端UE收到安全模式命令消息,生成新的NAS信令保护密钥,终端UE向源AMF发送安全模式完成,比如发送Security Mode Complete消息,源AMF收到安全模式完成,也相应生成新的NAS信令保护密钥,从而完成新的NAS信令保护密钥的激活;
步骤104:终端UE发生移动,移动到目标基站(gNB)的覆盖下,于是通过目标gNB向目标AMF发送注册请求,比如发生Registration Request消息,使用新的NAS信令保护密钥保护该消息,即基于新的NAS信令保护密钥和该消息生成校验码MAC,消息到达目标gNB;
步骤105:目标gNB转发该消息给目标AMF;
步骤106:目标AMF向源AMF发送上下文转移请求,比如发生Transfer UE ContextRequest消息,携带收到的注册请求;
步骤107:源AMF的NAS信令保护密钥已更新,于是使用新的NAS信令保护密钥和收到的上下文转移请求中的注册请求验证校验码MAC,由于MAC是基于新NAS信令保护密钥生成,因此验证成功,于是源AMF向目标AMF发送上下文转移响应,比如发送Transfer UEContext Response消息,携带UE上下文;
步骤108:目标AMF通过目标gNB向终端UE发送注册接受,比如发送RegistrationAccept消息。
图2为现有的多接入移动更新时NAS消息安全处理的流程图二,该流程包括如下步骤:
步骤201:终端UE通过无线WIFI和非3GPP交互功能(N3IWF,Non-3GPPInterworking Function)与源AMF建立数据连接,终端UE可能同时还通过源基站(图中未标出)与源AMF建立数据连接;
步骤202:终端UE发生移动,移动到目标基站(gNB)的覆盖下,于是通过目标gNB向目标AMF发送注册请求,比如发生Registration Request消息,使用现有的NAS信令保护密钥(旧密钥)保护该消息,即基于现有的NAS信令保护密钥和该消息生成校验码MAC,消息到达目标gNB;
步骤203:与步骤202同时,或稍早或稍晚点,源AMF决定激活新的NAS密钥集合,于是向终端UE发送安全模式命令,比如发送Security Mode Command消息;
步骤204:在步骤202后,目标gNB转发收到的消息给目标AMF;
步骤205:终端UE收到安全模式命令消息,生成新的NAS信令保护密钥,终端UE向源AMF发送安全模式完成,比如发送Security Mode Complete消息,源AMF收到安全模式完成,也相应生成新的NAS信令保护密钥,从而完成新的NAS信令保护密钥的激活;
步骤206:在步骤204后,目标AMF向源AMF发送上下文转移请求,比如发生TransferUE Context Request消息,携带收到的来自目标gNB的消息;
步骤207:源AMF的NAS信令保护密钥已更新,于是使用新的NAS信令保护密钥和收到的上下文转移请求中携带的消息验证消息中携带的校验码MAC,由于MAC是基于旧的NAS信令保护密钥生成,因此验证失败,于是源AMF向目标AMF发送校验失败,比如发送TransferUE Context Failure消息;
步骤208:目标AMF通过目标gNB向终端UE发送注册失败,比如发送RegistrationFailure消息。
从以上现有方法中可以看出,在多接入场景下,AMF执行密钥更新的过程前如果发生移动更新,移动更新可能会失败。基于此,本发明提供一种非接入层消息安全的指示方法、装置、AMF设备、终端及介质。下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
使用用于区分元件的诸如“第一”、“第二”等前缀仅为了有利于本发明的说明,其本身没有特定的意义。
移动终端可以是手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(PersonalDigital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等。
实施例一
本发明实施例提供一种非接入层消息安全的指示方法,如图3所示,所述方法包括:
S10,第一接入管理功能AMF激活新非接入层NAS信令密钥;
S12,第一AMF接收到来自第二AMF的上下文转移请求,使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为所述第一AMF激活所述新NAS信令密钥前已有的NAS信令密钥。其中,所述指示信息由所述第二AMF接收自所述终端,当然,指示也可以描述为指示。
本发明实施例有效解决在多接入场景下,接入管理功能执行密钥更新的过程前,如果发生移动更新,移动更新可能会失败的问题;并可以有效保证终端在第二AMF的注册接受。
其中,所述第一AMF接收到来自第二AMF的上下文转移请求,使用所述新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求,可选地包括:
所述第一AMF接收到来自第二AMF的携带指示信息的上下文转移请求,使用与所述指示信息对应的新NAS信令密钥或旧NAS信令密钥验证所述上下文转移请求。
其中,所述第一接入管理功能AMF激活新非接入层NAS信令密钥,可选地包括:
所述第一AMF向终端发送安全模式命令;
所述第一AMF接收到所述终端的安全模式完成。
以下通过终端、N3IWF、源AMF、目标基站和目标AMF之间的交互,详细说明本发明实施例。
例如,如图4所示,在多接入移动更新时NAS消息安全的指示方法可以包括如下步骤:
步骤301:终端UE通过无线WIFI和非3GPP交互功能与源AMF建立数据连接,终端UE可能同时还通过源基站(图中未标出)与源AMF建立数据连接;
步骤302:终端UE发生移动,移动到目标基站(gNB)的覆盖下,于是通过目标gNB向目标AMF发送注册请求,比如发送Registration Request消息,或发送业务请求,比如发送Service Request消息,使用现有的NAS信令保护密钥(旧密钥)保护该消息,即基于现有的NAS信令保护密钥和该消息生成校验码MAC,消息携带指示,用于指示NAS密钥未更新,或最近收到的信令不是Security Mode Command,消息到达目标gNB;
另一实施例是不携带指示,没有指示即表示NAS密钥未更新,或最近收到的信令不是Security Mode Command。
步骤303~306:与图2中的步骤203~206相同;
步骤307:源AMF根据收到的上下文转移请求中携带的消息获取到指示信息,于是使用旧的NAS信令保护密钥和收到的上下文转移请求中携带的消息验证消息中的校验码MAC,由于MAC是基于旧的NAS信令保护密钥生成,因此验证成功,于是源AMF向目标AMF发送上下文转移响应,比如发送Transfer UE Context Response消息,携带UE上下文;
另一实施例是上下文转移请求中携带的消息中不带指示,没有指示即表示NAS密钥未更新,或最近收到的信令不是Security Mode Command,目标AMF将使用新的NAS信令密钥验证MAC。
步骤308:目标AMF通过目标gNB向终端UE发送注册接受,比如发送RegistrationAccept消息,或目标AMF向目标gNB发送业务响应,比如发送Initiate UE Context消息,目标gNB向终端发送业务响应,比如发送AS Security Mode Command消息。
又如,如图5所示,相关技术中多接入移动更新时NAS消息安全的指示方案包括如下步骤:
步骤401~403:与图1中的101~103相同;
步骤404:终端UE发生移动,移动到目标基站(gNB)的覆盖下,于是通过目标gNB向目标AMF发送注册请求,比如发送Registration Request消息,或发送业务请求,比如发送Service Request消息,使用新的NAS信令保护密钥(旧密钥)保护该消息,即基于新的NAS信令保护密钥和该消息生成校验码MAC,消息携带指示,用于指示NAS密钥已更新,或最近收到的信令是Security Mode Command,消息到达目标gNB;
另一实施例是不携带指示,没有指示即表示NAS密钥已更新,或最近收到的信令是Security Mode Command。
步骤405:目标gNB转发该消息给目标AMF;
步骤406:目标AMF向源AMF发送上下文转移请求,比如发生Transfer UE ContextRequest消息,携带收到的注册请求或业务请求;
步骤407:源AMF根据收到的上下文转移请求中携带的消息获取到指示信息,于是使用新的NAS信令保护密钥和收到的上下文转移请求中携带的消息验证消息中的校验码MAC,由于MAC是基于新的NAS信令保护密钥生成,因此验证成功,于是源AMF向目标AMF发送上下文转移响应,比如发送Transfer UE Context Response消息,携带UE上下文;
另一实施例是上下文转移请求中携带的消息中不带指示,没有指示即表示NAS密钥已更新,或最近收到的信令是Security Mode Command,目标AMF将使用新的NAS信令密钥验证MAC。
步骤408:目标AMF通过目标gNB向终端UE发送注册接受,比如发送RegistrationAccept消息,或目标AMF向目标gNB发送业务响应,比如发送Initiate UE Context消息,目标gNB向终端发送业务响应,比如发送AS Security Mode Command消息。
其中,源AMF可以是第一AMF,目标AMF可以是实第二AMF。
实施例二
本发明实施例提供一种非接入层消息安全的指示方法,所述方法包括:
终端发送携带指示信息的非接入层消息;所述指示信息用于指示最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示最近收到的非接入层消息不是安全模式命令。
本发明实施例中终端将携带指示信息的非接入层消息发送给目标AMF,从而可以使目标AMF将指示信息发送给源AMF,进而可以使源AMF采用与指示信息对应的信令密钥验证目标AMF的上下文转移请求,进而有效解决在多接入场景下,接入管理功能执行密钥更新的过程前,如果发生移动更新,移动更新可能会失败的问题,并可以有效保证终端在第二AMF的注册接受。
实施例三
本发明实施例提供一种非接入层消息安全的指示方法,如图6所示,所述方法包括:
第一接入管理功能AMF接收到来自第二AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
在验证失败时,所述第一AMF向所述第二AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
本发明实施例提供了在多接入场景下,接入管理功能执行密钥更新的过程前,如果发生移动更新,移动更新失败时的处理方式,从而可以有效解决在多接入场景下,接入管理功能执行密钥更新的过程前,如果发生移动更新,移动更新可能会失败的问题。
其中,所述第一接入管理功能AMF接收到来自第二AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求之前,可选地包括:
所述第一AMF激活新NAS信令密钥。
其中,所述所述第一AMF激活新NAS信令密钥,可选地包括:
所述第一AMF向终端发送安全模式命令;
所述第一AMF接收到所述终端的安全模式完成。
以下通过终端、N3IWF、源AMF、目标基站和目标AMF之间的交互,详细说明本发明实施例。
如图7所示,提供一种非接入层消息安全的指示方法,具体地提供一种多接入移动更新时AS层与NAS层密钥同步的方法,包括如下步骤:
步骤501:终端UE通过无线WIFI和非3GPP交互功能与源AMF建立数据连接,终端UE可能同时还通过源基站(图中未标出)与源AMF建立数据连接;
步骤502:终端UE发生移动,移动到目标基站(gNB)的覆盖下,于是通过目标gNB向目标AMF发送注册请求,比如发送Registration Request消息,或发送业务请求,比如发送Service Request消息,使用旧的NAS信令保护密钥(旧密钥)保护该消息,即基于旧的NAS信令保护密钥和该消息生成校验码MAC,消息到达目标gNB;
步骤503~506:与图2中的步骤203~206相同;
步骤507:源AMF的NAS信令保护密钥已更新,于是使用新的NAS信令保护密钥和收到的上下文转移请求中携带的消息验证消息中携带的校验码MAC,由于MAC是基于旧的NAS信令保护密钥生成,因此验证失败,于是源AMF向目标AMF发送校验失败,比如发送TransferUE Context Failure消息,携带失败原因,用于指示允许终端重试;
步骤508:目标AMF通过目标gNB向终端UE发送注册失败,比如发送RegistrationFailure消息,或目标AMF向目标gNB发送业务失败,比如发送Service Request Failure消息,上述消息都携带重试指示;
步骤509:目标gNB转发步骤508中的失败消息给终端UE,转发的消息中携带步骤508中的重试指示,或发送RRC拒绝消息,比如发送RRC Reject消息,根据收到的重试指示,在RRC拒绝消息中携带重试指示,比如通过重定向到自己的方式指示重试。
其中,源AMF可以是第一AMF,目标AMF可以是第二AMF。
实施例四
本发明实施例提供一种非接入层消息安全的指示方法,所述方法包括:
第二接入管理功能AMF转发来自终端的接入层消息的内容给第一AMF;
第二AMF收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
实施例五
本发明实施例提供一种非接入层消息安全的指示方法,所述方法包括:
终端向第二AMF发送非接入层消息;
所述终端接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
实施例六
本发明实施例提供一种非接入层消息安全的指示装置,对应于方法实施例一,所述装置包括:
激活模块,用于激活新非接入层NAS信令密钥;
接收验证模块,用于接收到来自第二AMF的上下文转移请求,用于使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为激活所述新NAS信令密钥前第一AMF已有的NAS信令密钥。所述指示信息由所述第二AMF接收自所述终端。
其中,所述接收验证模块,可以具体用于接收到来自所述第二AMF的携带指示信息的上下文转移请求,使用与所述指示信息对应的新NAS信令密钥或旧NAS信令密钥验证所述上下文转移请求。
其中,所述激活模块,还可以具体用于向终端发送安全模式命令;接收到所述终端的安全模式完成。
实施例七
本发明实施例提供一种非接入层消息安全的指示装置,对应于方法实施例二,所述装置包括:
发送单元,用于发送携带指示信息的非接入层消息;所述指示信息用于指示终端最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示终端最近收到的非接入层消息不是安全模式命令。
实施例八
本发明实施例提供一种非接入层消息安全的指示装置,对应于方法实施例三,所述装置包括:
接收验证单元,用于接收到来自目标AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
重试指示单元,用于在验证失败时,向所述目标AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
可选地,所述装置还可以包括:激活单元,用于激活新NAS信令密钥。
其中,所述激活单元还可以具体用于向终端发送安全模式命令;接收到所述终端的安全模式完成。
实施例九
本发明实施例提供一种非接入层消息安全的指示装置,对应于方法实施例四,所述装置包括:
转发模块,用于转发来自终端的接入层消息的内容给第一AMF;
重试指示模块,用于收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
实施例十
本发明实施例提供一种非接入层消息安全的指示装置,对应于方法实施例五,所述装置包括:
发送模块,用于向第二AMF发送非接入层消息;
重发模块,用于接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
实施例十一
本发明实施例提供一种接入管理功能AMF设备,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如实施例一中任意一项所述方法的步骤。
实施例十二
本发明实施例提供一种终端,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如实施例二所述方法的步骤。
实施例十三
本发明实施例提供一种接入管理功能AMF设备,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如实施例三中任意一项所述方法的步骤。
实施例十四
本发明实施例提供一种接入管理功能AMF设备,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如实施例四所述方法的步骤。
实施例十五
本发明实施例提供一种接入管理功能AMF设备,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如实施例五所述方法的步骤。
实施例十六
本发明实施例提供一种计算机可读存储介质,所述存储介质存储有以下至少之一计算机程序:第一、第二、第三、第四和第五计算机程序;
所述第一计算机程序可被至少一个处理器执行,以实现如实施例一中任意一项所述方法的步骤;
所述第二计算机程序可被至少一个处理器执行,以实现如实施例二所述方法的步骤;
所述第三计算机程序可被至少一个处理器执行,以实现如实施例三中任意一项所述方法的步骤;
所述第四计算机程序可被至少一个处理器执行,以实现如实施例四所述方法的步骤;
所述第五计算机程序可被至少一个处理器执行,以实现如实施例五所述方法的步骤。
其中,实施例十一至实施例十六在具体实现时,可以参阅上述各个实施例,具有相应的技术效果。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (26)

1.一种非接入层消息安全的指示方法,其特征在于,所述方法包括:
第一接入管理功能AMF激活新非接入层NAS信令密钥;
第一AMF接收到来自第二AMF的上下文转移请求,使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为所述第一AMF激活所述新NAS信令密钥前已有的NAS信令密钥。
2.如权利要求1所述的方法,其特征在于,所述第一AMF接收到来自第二AMF的上下文转移请求,使用所述新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求,包括:
所述第一AMF接收到来自所述第二AMF的携带指示信息的上下文转移请求,使用与所述指示信息对应的新NAS信令密钥或旧NAS信令密钥验证所述上下文转移请求。
3.如权利要求1或2所述的方法,其特征在于,所述第一接入管理功能AMF激活新非接入层NAS信令密钥,包括:
所述第一AMF向终端发送安全模式命令;
所述第一AMF接收到所述终端的安全模式完成。
4.如权利要求1或2所述的方法,其特征在于,所述指示信息由所述第二AMF接收自所述终端。
5.一种非接入层消息安全的指示方法,其特征在于,所述方法包括:
终端发送携带指示信息的非接入层消息;所述指示信息用于指示最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示最近收到的非接入层消息不是安全模式命令。
6.一种非接入层消息安全的指示方法,其特征在于,所述方法包括:
第一接入管理功能AMF接收到来自第二AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
在验证失败时,所述第一AMF向所述第二AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
7.如权利要求6所述的方法,其特征在于,所述第一接入管理功能AMF接收到来自第二AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求之前,包括:
所述第一AMF激活所述新NAS信令密钥。
8.如权利要求7所述的方法,其特征在于,所述第一AMF激活所述新NAS信令密钥,包括:
所述第一AMF向终端发送安全模式命令;
所述第一AMF接收到所述终端的安全模式完成。
9.一种非接入层消息安全的指示方法,其特征在于,所述方法包括:
第二接入管理功能AMF转发来自终端的接入层消息的内容给第一AMF;
第二AMF收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
10.一种非接入层消息安全的指示方法,其特征在于,所述方法包括:
终端向第二AMF发送非接入层消息;
所述终端接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
11.一种非接入层消息安全的指示装置,其特征在于,所述装置包括:
激活模块,用于激活新非接入层NAS信令密钥;
接收验证模块,用于接收到来自第二AMF的上下文转移请求,用于使用新NAS信令密钥或使用旧NAS信令密钥验证所述上下文转移请求;所述旧NAS信令密钥为激活所述新NAS信令密钥前第一AMF已有的NAS信令密钥。
12.如权利要求11所述的装置,其特征在于,所述接收验证模块,具体用于接收到来自所述第二AMF的携带指示信息的上下文转移请求,使用与所述指示信息对应的新NAS信令密钥或旧NAS信令密钥验证所述上下文转移请求。
13.如权利要求11或12所述的装置,其特征在于,所述激活模块,具体用于向终端发送安全模式命令;接收到所述终端的安全模式完成。
14.如权利要求11或12所述的装置,其特征在于,所述指示信息由所述第二AMF接收自所述终端。
15.一种非接入层消息安全的指示装置,其特征在于,所述装置包括:
发送单元,用于发送携带指示信息的非接入层消息;所述指示信息用于指示终端最近收到的非接入层消息的命令属性为安全模式命令,或所述指示信息用于指示终端最近收到的非接入层消息不是安全模式命令。
16.一种非接入层消息安全的指示装置,其特征在于,所述装置包括:
接收验证单元,用于接收到来自目标AMF的上下文转移请求,使用新非接入层NAS信令密钥验证所述上下文转移请求;
重试指示单元,用于在验证失败时,向所述目标AMF发送失败原因信息,所述失败原因信息用于指示允许终端重新发送非接入层消息。
17.如权利要求6所述的装置,其特征在于,所述装置还包括:
激活单元,用于激活所述新NAS信令密钥。
18.如权利要求17所述的装置,其特征在于,所述激活单元,具体用于向终端发送安全模式命令;接收到所述终端的安全模式完成。
19.一种非接入层消息安全的指示装置,其特征在于,所述装置包括:
转发模块,用于转发来自终端的接入层消息的内容给第一AMF;
重试指示模块,用于收到来自第一AMF的失败原因信息,向所述终端发送重试指示,所述重试指示用于指示允许终端UE重新发送消息。
20.一种非接入层消息安全的指示装置,其特征在于,所述装置包括:
发送模块,用于向第二AMF发送非接入层消息;
重发模块,用于接收到来自第二AMF的重试指示,重新发送所述非接入层消息。
21.一种接入管理功能AMF设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如权利要求1-4中任意一项所述方法的步骤。
22.一种终端,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如权利要求5所述方法的步骤。
23.一种接入管理功能AMF设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如权利要求6-8中任意一项所述方法的步骤。
24.一种接入管理功能AMF设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如权利要求9所述方法的步骤。
25.一种接入管理功能AMF设备,其特征在于,所述设备包括存储器和处理器,所述存储器存储有非接入层消息安全的指示计算机程序,所述处理器执行所述计算机程序以实现如权利要求10所述方法的步骤。
26.一种计算机可读存储介质,其特征在于,所述存储介质存储有以下至少之一计算机程序:第一、第二、第三、第四和第五计算机程序;
所述第一计算机程序可被至少一个处理器执行,以实现如权利要求1-4中任意一项所述方法的步骤;
所述第二计算机程序可被至少一个处理器执行,以实现如权利要求5所述方法的步骤;
所述第三计算机程序可被至少一个处理器执行,以实现如权利要求6-8中任意一项所述方法的步骤;
所述第四计算机程序可被至少一个处理器执行,以实现如权利要求9所述方法的步骤;
所述第五计算机程序可被至少一个处理器执行,以实现如权利要求10所述方法的步骤。
CN201810907831.5A 2018-08-10 2018-08-10 非接入层消息安全指示方法、装置、amf设备、终端及介质 Active CN110536298B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810907831.5A CN110536298B (zh) 2018-08-10 2018-08-10 非接入层消息安全指示方法、装置、amf设备、终端及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810907831.5A CN110536298B (zh) 2018-08-10 2018-08-10 非接入层消息安全指示方法、装置、amf设备、终端及介质

Publications (2)

Publication Number Publication Date
CN110536298A true CN110536298A (zh) 2019-12-03
CN110536298B CN110536298B (zh) 2023-11-03

Family

ID=68657471

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810907831.5A Active CN110536298B (zh) 2018-08-10 2018-08-10 非接入层消息安全指示方法、装置、amf设备、终端及介质

Country Status (1)

Country Link
CN (1) CN110536298B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113271588A (zh) * 2020-02-14 2021-08-17 联发科技股份有限公司 安全密钥同步方法及通信装置
WO2022094899A1 (zh) * 2020-11-05 2022-05-12 华为技术有限公司 通信方法及装置
CN115065998A (zh) * 2021-12-22 2022-09-16 荣耀终端有限公司 通话处理方法及装置
US11653194B2 (en) 2021-03-31 2023-05-16 Cisco Technology, Inc. Techniques to provide resiliency and overload control for access and mobility management functions
CN113271588B (zh) * 2020-02-14 2024-05-17 联发科技股份有限公司 安全密钥同步方法及通信装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1819698A (zh) * 2005-08-24 2006-08-16 华为技术有限公司 一种目标基站获取鉴权密钥上下文信息的方法
CN105532026A (zh) * 2013-10-28 2016-04-27 华为技术有限公司 一种安全上下文的提供、获取方法及设备
WO2018138347A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during connected mode

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1819698A (zh) * 2005-08-24 2006-08-16 华为技术有限公司 一种目标基站获取鉴权密钥上下文信息的方法
CN105532026A (zh) * 2013-10-28 2016-04-27 华为技术有限公司 一种安全上下文的提供、获取方法及设备
WO2018138347A1 (en) * 2017-01-30 2018-08-02 Telefonaktiebolaget Lm Ericsson (Publ) Security context handling in 5g during connected mode

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113271588A (zh) * 2020-02-14 2021-08-17 联发科技股份有限公司 安全密钥同步方法及通信装置
CN113271588B (zh) * 2020-02-14 2024-05-17 联发科技股份有限公司 安全密钥同步方法及通信装置
WO2022094899A1 (zh) * 2020-11-05 2022-05-12 华为技术有限公司 通信方法及装置
US11653194B2 (en) 2021-03-31 2023-05-16 Cisco Technology, Inc. Techniques to provide resiliency and overload control for access and mobility management functions
CN115065998A (zh) * 2021-12-22 2022-09-16 荣耀终端有限公司 通话处理方法及装置
CN115065998B (zh) * 2021-12-22 2023-04-11 荣耀终端有限公司 通话处理方法及装置

Also Published As

Publication number Publication date
CN110536298B (zh) 2023-11-03

Similar Documents

Publication Publication Date Title
CN110536298A (zh) 非接入层消息安全的指示方法、装置、amf设备、终端及介质
CN103888941B (zh) 一种无线网络密钥协商的方法及装置
CN106331372B (zh) 数据传输方法及移动终端
CN107453870A (zh) 基于区块链的移动终端认证管理方法、装置及相应的移动终端
US20180167807A1 (en) Message protection method, and related device, and system
CN104901805B (zh) 一种身份鉴权方法、装置和系统
CN106937317A (zh) 通信装置及安全模式命令失败的恢复方法
CN102685730B (zh) 一种ue上下文信息发送方法及mme
CN106686601A (zh) 伪基站防护方法及装置
CN107395560A (zh) 安全校验及其发起、管理方法、设备、服务器和存储介质
CN107040543A (zh) 单点登录方法、终端及存储介质
CN106502826A (zh) 数据备份及传输方法及移动终端
CN109102297A (zh) 一种可撤销的支付方法和装置
CN107451460A (zh) 接口处理方法、设备、服务器及计算机可读存储介质
CN107295501A (zh) 信息更新方法、终端、服务器及计算机可读存储介质
CN107682421A (zh) 访问消息的方法、服务器、终端及计算机可读存储介质
CN106445743A (zh) 数据备份传输方法及移动终端
CN106534324A (zh) 一种数据共享方法及云服务器
CN103997762B (zh) 一种小区切换方法及系统
CN106686592A (zh) 一种带有认证的网络接入方法及系统
CN104899488B (zh) 数值转移方法及装置
CN108810833A (zh) 手机号码绑定信息管理方法、装置及计算机可读存储介质
CN109819439A (zh) 密钥更新的方法及相关实体
CN107317943A (zh) 设定呼叫转移的方法及系统
CN107302526A (zh) 系统接口调用方法、设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant