CN110972135A - 一种安全通信方法、加密信息确定方法及装置 - Google Patents

一种安全通信方法、加密信息确定方法及装置 Download PDF

Info

Publication number
CN110972135A
CN110972135A CN201811138486.XA CN201811138486A CN110972135A CN 110972135 A CN110972135 A CN 110972135A CN 201811138486 A CN201811138486 A CN 201811138486A CN 110972135 A CN110972135 A CN 110972135A
Authority
CN
China
Prior art keywords
information
terminal
access network
network element
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201811138486.XA
Other languages
English (en)
Inventor
曾信
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201811138486.XA priority Critical patent/CN110972135A/zh
Priority to PCT/CN2019/107320 priority patent/WO2020063540A1/zh
Publication of CN110972135A publication Critical patent/CN110972135A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供一种安全通信方法、加密信息确定方法及装置,用以对终端向网络侧发送的信息进行保护,过滤不安全信息,提高了网络的安全性。该方案应用于终端,终端具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,方法包括:终端使用第一公共参数和移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息,得到NAS层加密信息;终端使用第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息,得到AS层加密信息;终端向接入网设备发送AS层加密信息以及所述NAS层加密信息。

Description

一种安全通信方法、加密信息确定方法及装置
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种安全通信方法、加密信息确定方法及装置。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)在下一代无线通信网络架构(例如,新空口(New Radio,NR)也可以称为第五代(5-Generation,5G)移动通信)中,引入了网络切片(Network Slice)。如图1所示,终端接入网络时,5G核心网(5Gcore network,5GC)中的网元(例如,网络切片选择功能(Network Slice SelectionFunction,NSSF)网元))为终端分配一个或多个网络切片(例如,网络切片1~网络切片3)。
终端在请求这些网络切片提供注册限定的服务之前,终端会向5G网络注册。终端在注册到5G网络时,会向网络侧上报终端的身份信息(例如,移动用户身份(internationalmobile subscriber identity,IMSI)),以及网络切片选择辅助信息(Network SliceSelection Assistant Identifier,NSSAI)。其中,NSSAI涉及到用户业务行为,用于根据NSSAI为终端选择最恰当的网络切片,以匹配终端的服务类型和工作状态。而这些信息都存在用户隐私保护的需求。
终端可以使用基于身份的密码(Identity Based Cryptography,IBC)技术加密需要保护的信息M。首先终端对信息M产生一个消息认证码(Message Authentication Code,MAC)。然后使用从接入网设备处获取到的公共参数加密信息M,形成密文,并发送给接入网设备。接入网设备在接收到密文后自身的ID获得该ID相对应的用于解密的私钥和全局公钥,并使用私钥和全局公钥解密密文,获得相应的信息M。解密后,接入网设备对MAC进行验证,保证消息的合法性,接入网设备将解密后的信息M发送给网络侧中相应的网元。
但是,终端与网络侧没有建立共享密钥。终端与网络侧的数据传输采用的是明文传输,攻击者容易通过空口信令监听到终端的身份信息,造成终端的隐私泄露。如果终端与接入网设备之间的公共参数加密向网络侧发送的非接入层(Non-access stratum,NAS)消息,则可能会加密NAS消息中非敏感参数,这是不必要的。
发明内容
本申请实施例提供一种安全通信方法、加密信息确定方法及装置,用以对终端向网络侧发送的信息进行保护,过滤不安全信息,提高了网络的安全性。
为了实现上述目的,本申请实施例提供如下技术方案:
第一方面,本申请实施例提供一种安全通信方法,该方案应用于终端中,该终端具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,该方法包括:终端使用第一公共参数和移动管理网元的信息加密发送给移动管理网元的非接入NAS层信息,得到NAS层加密信息;终端使用第二公共参数和接入网设备的信息加密发送给接入网设备的接入AS层信息,得到AS层加密信息;终端向接入网设备发送AS层加密信息以及NAS层加密信息。
本申请实施例提供一种安全通信方法,由于发送给接入网设备的AS层信息通常携带在接入层,发送给移动管理网元的NAS层信息通常携带在NAS层中,终端在向接入网设备和移动管理网元发送信息时,使用第一公共参数和移动管理网元的信息加密NAS层信息,以及使用第二公共参数和接入网设备的信息加密AS层信息。这样可以使得NAS层和AS层的信息分别得到安全保护,可以避免AS层被破解,影响到NAS层消息的安全。
一种可能的实现方式中,终端加密AS层信息使用的第二公共参数由终端根据接入网设备指示的第一加密算法确定。这样无论终端中具有的第二公共参数包括一个第一加密算法对应的在接入网设备中的第二公共参数,还是多个第一加密算法对应的在接入网设备中的第二公共参数,均可以由接入网设备指定终端选择哪个第一加密算法,然后终端便可以根据接入网设备指示的第一加密算法确定使用的第二公共参数。
一种可能的实现方式中,第一加密算法对应的在接入网设备中的第二公共参数,包括:接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在接入网设备中的第二公共参数;终端加密AS层信息时使用的第二公共参数由终端从至少一个第一加密算法中对应的在接入网设备中的第二公共参数中选择。
一种可能的实现方式中,终端加密AS层信息时使用的第二公共参数由终端从至少一个第一加密算法中对应的在接入网设备中的第二公共参数中选择,具体包括:终端获取接入网设备的一个或者多个第一加密算法的信息;终端根据一个或者多个第一加密算法的信息,从至少一个第一加密算法中选择一个第一加密算法;终端从至少一个第一加密算法在接入网设备中的第二公共参数中确定被选择的第一加密算法在接入网设备中的第二公共参数。这是由于第二公共参数包括至少一个第一加密算法对应的在接入网设备中的第二公共参数,因此终端需要确定使用哪个第一加密算法,然后使用确定的第一加密算法对应的第二公共参数用于加密AS层信息,由于所选择的第一加密算法为终端和接入网设备均支持的,这样可以使得终端与接入网设备通信时,使用接入网设备支持的第一加密算法对应的第一公共参数加密信息。
一种可能的实现方式中,终端向接入网设备发送AS层加密信息,还包括:终端向接入网设备发送第一指示信息,第一指示信息用于确定被选择的第一加密算法。由于第一加密算法是由终端选择的,因此终端需要告诉接入网设备所选择的加密算法是哪个,以便于接入网设备根据被选择的第一加密算法确定解密AS层加密信息时所使用的第二私钥。
一种可能的实现方式中,终端还具有第一时间信息以及第二时间信息,第一时间信息用于指示第一公共参数关联的第一私钥是否在可用时间内,第二时间信息用于指示第二公共参数关联的第二私钥是否在可用时间内。终端向接入网设备发送AS层加密信息以及NAS层加密信息,还包括:终端向接入网设备发送第二时间信息以及第一时间信息。通过发送第一时间信息和第二时间信息,可以使得接收方确定解密时所使用的私钥是否在第一时间信息/第二指示信息所指示的可用时间内。
一种可能的实现方式中,本申请实施例提供的方法还包括:终端获取第一加密算法对应的第一信息,第一信息包括在移动管理网元中的第一公共参数和第一时间信息,以及在接入网设备中的第二公共参数和第二时间信息。
一种可能的实现方式中,终端获取第一加密算法对应的第一信息,包括:终端接收移动管理网元发送的非接入层安全模式命令NAS SMC请求消息,NAS SMC请求消息包括第一公共参数和第一时间信息,和/或第二公共参数和第二时间信息;或者,终端接收接入设备发送的接入层安全模式命令AS SMC请求消息,AS SMC请求消息包括第二公共参数和第二时间信息;或者,终端接收切换命令消息,切换命令消息包括:第一加密算法对应的在接入网设备中的第二公共参数和第二时间信息,和/或第一加密算法对应的在移动管理网元中的第一公共参数和第一时间信息,切换命令消息用于指示切换至接入网设备;或者,终端接收用于指示鉴权成功的消息,用于指示鉴权成功的消息包括第一公共参数和第一时间信息。通过在NASSMC请求消息和AS SMC请求消息中获取第一公共参数等信息,可以使得终端在注册至网络的过程中便获取到相应的公共参数。使得终端获取第一公共参数的方式更加多样。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。
一种可能的实现方式中,第二公共参数,包括:接入网设备覆盖的一个或者多个小区分别对应的第二公共参数AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。
第二方面,本申请实施例提供一种加密信息确定方法,包括:移动管理网元获取终端支持的第一加密算法对应的第一信息,第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备中的第二公共参数,第一公共参数用于加密终端发送给移动管理网元/目标移动管理网元的NAS层信息;第二公共参数用于加密终端发送给接入网设备的AS层信息;移动管理网元发送第一信息。
本申请实施例提供一种加密信息确定方法,移动管理网元通过获取终端支持的第一加密算法对应的第一信息,这样便于后续终端在向接入网设备发送AS层信息或者向移动管理网元发送NAS层信息时,在加密AS层信息时使用移动管理网元获取的第二公共参数,在加密NAS层信息时使用第二公共参数,以实现对NAS层消息和AS层消息分开保护。
一种可能的实现方式中,移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:移动管理网元接收到终端发送的注册请求消息后,从第一秘钥信息中获取第一公共参数,和/或,从第二秘钥信息中获取终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数,其中,第二秘钥信息至少包括终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数,第一秘钥信息包括:终端支持的一个或者多个加密算法对应的在移动管理网元中的第一公共参数,终端支持的至少一个第一加密算法为接入网设备的一个或者多个第一加密算法中的加密算法。通过在终端注册到网络侧过程中,获取终端支持的第一加密算法对应的第一公共参数/第二公共参数,这样可以使得在后续终端与接入网设备和移动管理网元进行信息交互时,使用相应的公共参数加密。
一种可能的实现方式中,移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:移动管理网元接收目标移动管理网元发送的第一响应消息,该第一响应消息包括:第一加密算法对应的在目标移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,第一响应消息用于指示建立终端和目标移动管理网元之间的连接;或者,移动管理网元在接收到用于请求建立终端和目标移动管理网元之间连接的请求消息后,获取第一加密算法对应的在移动管理网元中的第一公共参数,和在接入网设备中的第二公共参数。
一种可能的实现方式中,本申请实施例提供的方法还包括:移动管理网元接收终端发送的NAS层加密信息;移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:移动管理网元确定未正确解密NAS层加密信息的情况下,移动管理网元根据第一加密算法,从第一秘钥信息中获取第一公共参数。这样便于未正确解密终端发送的NAS层加密信息时,对第一公共参数及时更新。
一种可能的实现方式中,本申请实施例提供的方法还包括:移动管理网元接收终端发送的NAS层加密信息,还包括:移动管理网元接收终端发送的第一时间信息;移动管理网元确定未正确解密NAS层加密信息,包括:移动管理网元根据第一时间信息,确定第一时间信息对应的第一私钥;在确定第一私钥不在第一时间信息指示的时间内,移动管理网元确定未正确解密NAS层加密信息。
一种可能的实现方式中,本申请实施例提供的方法还包括:移动管理网元向秘钥管理网元请求一个或者多个加密算法对应的在移动管理网元中的第一秘钥信息;移动管理网元接收秘钥管理网元发送的一个或者多个加密算法的信息以及第一秘钥信息,第一秘钥信息包括第一公共参数、与第一公共参数对应的第一私钥以及第一私钥关联的第一时间信息。这样便于移动管理网元根据第一加密算法,从第一秘钥信息中确定第一加密算法对应的第一公共参数和第一时间信息。
一种可能的实现方式中,移动管理网元接收接入网设备发送的第一请求消息,第一请求消息用于请求终端支持的一个或者多个加密算法在接入网设备中的第二秘钥信息;移动管理网元根据第一请求消息,获取第二秘钥信息,第二秘钥信息包括第二公共参数、与第二公共参数对应的第二私钥以及第二私钥关联的第二时间信息;移动管理网元向接入网设备发送第二秘钥信息。通过向接入网设备发送第二秘钥信息,便于后续接入网设备根据第一加密算法从第二秘钥信息中确定第二公共参数和第二时间信息。
一种可能的实现方式中,移动管理网元发送第一信息,包括:移动管理网元向终端发送用于指示鉴权成功的消息,用于指示鉴权成功的消息包括第一公共参数和第一时间信息;或者,移动管理网元向终端发送包括第一公共参数和第一时间信息和/或第二公共参数和第二时间信息的NAS SMC请求消息。或者,移动管理网元向接入网设备发送切换确认消息,切换确认消息包括第一加密算法对应的在目标移动管理网元中的第一公共参数和第一时间信息、以及在目标接入网设备中的第二公共参数和第二时间信息,目标接入网设备用于在切换后为终端提供服务。通过在NAS SMC请求消息和用于指示鉴权成功的消息中携带第一信息,可以节约信令开销。此外,在用于指示鉴权成功的消息中携带第一公共参数和与第一公共参数关联的第一时间信息,可以使得在确定终端鉴权成功时才发送第一公共参数和第一时间信息。避免因为未鉴权成功而发送第一公共参数和第一时间信息造成的信令浪费。在NAS SMC请求消息中携带第一信息可以使得在确定终端注册成功时才发送第一公共参数和第一时间信息。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;第二公共参数,包括:接入网设备覆盖的一个或者多个小区分别对应的第二公共参数。
第三方面,本申请实施例提供一种加密信息确定方法,其特征在于,包括:接入网设备获取终端支持的第一加密算法的第一信息,第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备/目标接入网设备中的第二公共参数,其中,第一公共参数用于加密非接入NAS层信息;第二公共参数用于加密AS层信息;接入网设备向终端发送第一信息。
一种可能的实现方式中,接入网设备获取终端支持的第一加密算法的第一信息,包括:
接入网设备在获取到终端发送的注册请求消息后,从第二秘钥信息中获取第二公共参数,第二秘钥信息至少包括第一加密算法对应的在接入网设备中的第二公共参数。
一种可能的实现方式中,接入网设备获取终端支持的第一加密算法的第一信息,包括:接入网设备接收切换确认请求消息,切换确认请求消息至少包括:第一加密算法对应的在目标接入网设备中的第二公共参数,和/或在目标移动管理网元中的第一公共参数,其中,目标移动管理网元用于在切换后为终端提供控制面和用户面服务,目标接入网设备用于在切换后为终端服务;或者,接入网设备在接收到切换请求消息后,从第二秘钥信息中获取第二公共参数,接入网设备为切换后为终端提供服务的接入网设备。
一种可能的实现方式中,本申请实施例提供的方法还包括:接入网设备接收终端发送的AS层加密信息,接入网设备确定未正确解密AS层加密信息的情况下,接入网设备获取第二公共参数。
一种可能的实现方式中,接入网设备接收终端发送的AS层加密信息,还包括:接入网设备接收终端发送的第二公共参数对应的第二时间信息;接入网设备确定未正确解密AS层加密信息,包括:接入网设备根据第二时间信息,确定第二公共参数对应的第二私钥;在第二私钥不在第二时间信息指示的可用时间内,接入网设备确定未正确解密AS层加密信息。
一种可能的实现方式中,本申请实施例提供的方法还包括:接入网设备向移动管理网元请求终端支持的一个或者多个加密算法对应的在接入网设备中的第二秘钥信息;接入网设备接收移动管理网元发送的一个或者多个加密算法的信息和第二秘钥信息,第二秘钥信息包括第二公共参数、第二私钥以及与第二私钥对应的第二时间信息。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;第二公共参数,包括:接入网设备/目标接入网设备覆盖的一个或者多个小区分别对应的第二公共参数。
一种可能的实现方式中,接入网设备向终端发送第一信息,包括:接入网设备向终端发送切换命令消息,切换命令消息包括:第一加密算法对应的在目标接入网设备中的第二公共参数和第二时间信息,和/或在移动管理网元中的第一公共参数和第一时间信息;移动管理网元用于在切换后为终端提供控制面和用户面服务;或者,接入网设备向终端发送的包括第二公共参数和第二时间信息的AS SMC请求消息。通过AS SMC请求消息可以节约信令开销,通过切换命令消息发送可以使得终端在切换至目标接入网设备/目标移动管理网元后,避免了再次从目标接入网设备/目标移动管理网元中获取公共参数的过程。
第四方面,本申请实施例提供一种安全通信装置,该安全通信装置可以实现第一方面或第一方面的任意可能的实现方式中的方法,因此也能实现第一方面或第一方面任意可能的实现方式中的有益效果。该安全通信装置可以为终端,也可以为可以支持终端实现第一方面或第一方面的任意可能的实现方式中的方法的装置,例如应用于终端中的芯片。该安全通信装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一方面,本申请实施例提供一种安全通信装置,该安全通信装置具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,该安全通信装置包括:
处理单元,用于使用第一公共参数和移动管理网元的信息加密发送给移动管理网元的非接入NAS层信息,得到NAS层加密信息。处理单元,还用于使用第二公共参数和接入网设备的信息加密发送给接入网设备的接入AS层信息,得到AS层加密信息;发送单元,用于向接入网设备发送AS层加密信息以及NAS层加密信息。
一种可能的实现方式中,处理单元加密AS层信息使用的第二公共参数根据接入网设备指示的第一加密算法确定。
一种可能的实现方式中,第一加密算法对应的在接入网设备中的第二公共参数,包括:接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在接入网设备中的第二公共参数;处理单元加密AS层信息时使用的第二公共参数由处理单元从至少一个第一加密算法中对应的在接入网设备中的第二公共参数中选择。
一种可能的实现方式中,发送单元,还用于向接入网设备发送第一指示信息,第一指示信息用于确定被选择的第一加密算法。
一种可能的实现方式中,安全通信装置还具有第一时间信息和第二时间信息,其中,第一时间信息用于指示第一公共参数关联的第一私钥是否在可用时间内,第二时间信息用于指示第二公共参数关联的第二私钥是否在可用时间内;发送单元,还用于向接入网设备发送第二时间信息以及第一时间信息。
一种可能的实现方式中,安全通信装置,还包括:接收单元,用于获取第一加密算法对应的第一信息,第一信息包括在移动管理网元中的第一公共参数和第一时间信息,以及在接入网设备中的第二公共参数和第二时间信息。
一种可能的实现方式中,接收单元,具体用于:接收移动管理网元发送的NAS SMC请求消息,NAS SMC请求消息包括第一公共参数和第一时间信息,和/或第二公共参数和第二时间信息。或者,接收单元,具体用于:接收接入设备发送的包括第二公共参数和第二时间信息的AS SMC请求消息。或者,接收单元,具体用于:接收切换命令消息,切换命令消息包括:第一加密算法对应的在接入网设备中的第二公共参数和第二时间信息,和/或第一加密算法对应的在移动管理网元中的第一公共参数和第一时间信息,切换命令消息用于指示切换至接入网设备。接收单元,具体用于接收用于指示鉴权成功的消息,用于指示鉴权成功的消息包括第一公共参数和第一时间信息。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数。NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。
一种可能的实现方式中,第二公共参数,包括:接入网设备覆盖的一个或者多个小区分别对应的第二公共参数,AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。
另一方面,本申请实施例还提供一种安全通信装置,该安全通信装置可以为终端或者为应用于终端中的芯片,该安全通信装置包括:处理器和接口电路,其中,接口电路用于支持该安全通信装置执行第一方面至第一方面的任意一种可能的实现方式中所描述的在该安全通信装置侧进行消息/数据接收和发送的步骤。处理器用于支持该安全通信装置执行第一方面至第一方面的任意一种可能的实现方式中所描述的在该安全通信装置侧进行消息/数据处理的步骤。具体相应的步骤可以参考第一方面至第一方面的任意一种可能的实现方式中的描述,本申请实施例在此不再赘述。
可选的,该安全通信装置的接口电路和处理器相互耦合。
可选的,该安全通信装置还可以包括存储器,用于存储代码和数据,处理器、接口电路和存储器相互耦合。
第五方面,本申请实施例提供一种加密信息确定装置,该加密信息确定装置可以实现第二方面或第二方面的任意可能的实现方式中的方法,因此也能实现第二方面或第二方面任意可能的实现方式中的有益效果。该加密信息确定装置可以为移动管理网元,也可以为可以支持移动管理网元实现第二方面或第二方面的任意可能的实现方式中的方法的装置,例如应用于移动管理网元中的芯片。该加密信息确定装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一方面,加密信息确定装置包括:处理单元,用于获取终端支持的第一加密算法对应的第一信息,第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备中的第二公共参数,第一公共参数用于加密终端发送给移动管理网元/目标移动管理网元的NAS层信息;第二公共参数用于加密终端发送给接入网设备的AS层信息;发送单元,用于发送第一信息。
一种可能的实现方式中,处理单元,具体用于在接收单元接收到终端发送的注册请求消息后,从第一秘钥信息中获取第一公共参数,和/或,从第二秘钥信息中获取终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数,其中,第二秘钥信息至少包括终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数,第一秘钥信息包括:终端支持的一个或者多个加密算法对应的在移动管理网元中的第一公共参数,终端支持的至少一个第一加密算法为接入网设备的一个或者多个第一加密算法中的加密算法。
一种可能的实现方式中,处理单元,具体用于从接收单元接收到目标移动管理网元发送的第一响应消息中获取第一加密算法对应的在目标移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,第一响应消息用于指示建立终端和目标移动管理网元之间的连接;或者,处理单元,具体用于在接收单元接收到用于请求建立终端和目标移动管理网元之间连接的请求消息后,获取第一加密算法对应的在移动管理网元中的第一公共参数,和在接入网设备中的第二公共参数。
一种可能的实现方式中,接收单元和处理单元,其中,接收单元,用于接收终端发送的NAS层加密信息;处理单元,具体用于在处理单元未正确解密NAS层加密信息的情况下,根据第一加密算法,从第一秘钥信息中获取第一公共参数。
一种可能的实现方式中,接收单元还用于接收终端发送的第一时间信息;
处理单元,具体用于根据第一时间信息,确定第一时间信息对应的第一私钥;以及用于在确定第一私钥不在第一时间信息指示的时间内,确定未正确解密NAS层加密信息。
一种可能的实现方式中,发送单元,还用于向秘钥管理网元请求一个或者多个加密算法对应的在移动管理网元中的第一秘钥信息;接收单元,还用于接收秘钥管理网元发送的一个或者多个加密算法的信息以及第一秘钥信息,第一秘钥信息包括第一公共参数、与第一公共参数对应的第一私钥以及第一私钥关联的第一时间信息。
一种可能的实现方式中,接收单元,还用于接收接入网设备发送的第一请求消息,第一请求消息用于请求终端支持的一个或者多个加密算法在接入网设备中的第二秘钥信息;处理单元,还用于根据第一请求消息,获取第二秘钥信息,第二秘钥信息包括第二公共参数、与第二公共参数对应的第二私钥以及第二私钥关联的第二时间信息;发送单元,还用于向接入网设备发送第二秘钥信息。
一种可能的实现方式中,发送单元,具体用于向终端发送用于指示鉴权成功的消息,用于指示鉴权成功的消息包括第一公共参数和第一时间信息;或者,发送单元,具体用于向终端发送非接入层安全模式命令NAS SMC请求消息,NAS SMC请求消息包括第一公共参数和第一时间信息,和/或第二公共参数和第二时间信息,或者,发送单元,具体用于向接入网设备发送切换确认消息,切换确认消息包括第一加密算法对应的在目标移动管理网元中的第一公共参数和第一时间信息、以及在目标接入网设备中的第二公共参数和第二时间信息,目标接入网设备用于在切换后为终端提供服务。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;第二公共参数,包括:接入网设备覆盖的一个或者多个小区分别对应的第二公共参数。
另一方面,本申请实施例还提供一种加密信息确定装置,该加密信息确定装置可以为移动管理网元或者为应用于移动管理网元中的芯片,该加密信息确定装置包括:处理器和接口电路,其中,接口电路用于支持该加密信息确定装置执行第二方面至第二方面的任意一种可能的实现方式中所描述的在该加密信息确定装置侧进行消息/数据接收和发送的步骤。处理器用于支持加密信息确定装置执行第二方面至第二方面的任意一种可能的实现方式中所描述的在该加密信息确定装置侧进行消息/数据处理的步骤。具体相应的步骤可以参考第二方面至第二方面的任意一种可能的实现方式中的描述,本申请实施例在此不再赘述。
可选的,该加密信息确定装置的接口电路和处理器相互耦合。
可选的,该加密信息确定装置还可以包括存储器,用于存储代码和数据,处理器、接口电路和存储器相互耦合。
第六方面,本申请实施例提供一种加密信息确定装置,该加密信息确定装置可以实现第三方面或第三方面的任意可能的实现方式中的方法,因此也能实现第三方面或第三方面任意可能的实现方式中的有益效果。该加密信息确定装置可以为接入网设备,也可以为可以支持接入网设备实现第三方面或第三方面的任意可能的实现方式中的方法的装置,例如应用于接入网设备中的芯片。该加密信息确定装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一方面,加密信息确定装置包括:处理单元,用于获取终端支持的第一加密算法的第一信息,第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备/目标接入网设备中的第二公共参数,其中,第一公共参数用于加密非接入NAS层信息;第二公共参数用于加密AS层信息;发送单元,用于向终端发送第一信息。
一种可能的实现方式中,处理单元,具体用于在获取到终端发送的注册请求消息后,从第二秘钥信息中获取第二公共参数,第二秘钥信息至少包括第一加密算法对应的在接入网设备中的第二公共参数。
一种可能的实现方式中,处理单元,具体用于:从接收单元接收到的切换确认请求消息中获取第一加密算法对应的在目标接入网设备中的第二公共参数,和/或在目标移动管理网元中的第一公共参数,其中,目标移动管理网元用于在切换后为终端提供控制面和用户面服务,目标接入网设备用于在切换后为终端服务;或者,
处理单元,具体用于:在接收单元接收到切换请求消息后,从第二秘钥信息中获取第二公共参数,接入网设备为切换后为终端提供服务的接入网设备。
一种可能的实现方式中,处理单元和接收单元,其中:接收单元,用于接收终端发送的AS层加密信息;处理单元,具体用于在处理单元未正确解密AS层加密信息的情况下,获取第二公共参数。
一种可能的实现方式中,接收单元,接收单元,还用于接收终端发送的第二公共参数对应的第二时间信息;相应的,处理单元具体用于根据第二时间信息,确定第二公共参数对应的第二私钥;以及用于在第二私钥不在第二时间信息指示的可用时间内,接入网设备确定未正确解密AS层加密信息。
一种可能的实现方式中,发送单元,还用于向移动管理网元请求终端支持的一个或者多个加密算法对应的在接入网设备中的第二秘钥信息;接收单元,还用于接收移动管理网元发送的一个或者多个加密算法的信息和第二秘钥信息,第二秘钥信息包括第二公共参数、第二公共参数关联的第二私钥以及与第二私钥对应的第二时间信息。
一种可能的实现方式中,第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;第二公共参数,包括:接入网设备/目标接入网设备覆盖的一个或者多个小区分别对应的第二公共参数
一种可能的实现方式中,发送单元,具体用于向终端发送切换命令消息,切换命令消息包括:第一加密算法对应的在目标接入网设备中的第二公共参数和第二时间信息,和/或在移动管理网元中的第一公共参数和第一时间信息;移动管理网元用于在切换后为终端提供控制面和用户面服务;或者,
发送单元,具体用于向终端发送AS SMC请求消息,AS SMC请求消息包括第二公共参数和第二时间信息。
第七方面,本申请实施例提供一种生成秘钥信息的方法,该方案包括:秘钥管理网元获取移动管理网元发送的第一请求消息,该第一请求消息用于请求终端支持的一个或者多个加密算法在移动管理网元中的第一秘钥信息。秘钥管理网元生成第一秘钥信息。秘钥管理网元向移动管理网元发送第一秘钥信息。该第一秘钥信息包括一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在移动管理网元中的第一公共参数、与第一私钥关联的第一时间信息以及与第一公共参数对应的第一私钥。
一种可能的实现方式中,第一请求消息包括:终端支持的一个或者多个加密算法的信息,以及移动管理网元的信息。
一种可能的实现方式中,第一请求消息包括:终端支持的一个或者多个加密算法的信息,以及移动管理网元覆盖的一个或者多个注册区域的信息。此时,第一秘钥信息包括:一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在移动管理网元覆盖的一个或者多个注册区域中的第一公共参数、与第一公共参数关联的第一私钥,以及第一私钥对应的第一时间信息。
第八方面,本申请实施例提供一种生成秘钥信息的方法,该方案包括:秘钥管理网元获取移动管理网元发送的第二请求消息,该第二请求消息用于请求终端支持的一个或者多个加密算法在接入网设备中的第二秘钥信息。秘钥管理网元生成第二秘钥信息。秘钥管理网元向移动管理网元发送第二秘钥信息。该第二秘钥信息包括一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在接入网设备中的第二公共参数、第二私钥关联的第二时间信息以及第二私钥。移动管理网元用于将第二秘钥信息发送给接入网设备。
一种可能的实现方式中,第二请求消息包括:终端支持的一个或者多个加密算法的信息,以及接入网设备的信息。
一种可能的实现方式中,第二请求消息包括:终端支持的一个或者多个加密算法的信息,以及接入网设备覆盖的一个或者多个小区的信息。此时,第二秘钥信息包括:一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二公共参数、第二时间信息以及第二私钥。
示例性的,第二请求消息可以为NG建立请求消息,或者为接入网设备配置更新消息。
第九方面,本申请实施例提供一种生成秘钥信息的装置,该生成秘钥信息的装置可以实现第七方面或第七方面的任意可能的实现方式中的方法,因此也能实现第七方面或第七方面任意可能的实现方式中的有益效果。该生成秘钥信息的装置可以为秘钥管理网元,也可以为可以支持秘钥管理网元实现第七方面或第七方面的任意可能的实现方式中的方法的装置,例如应用于秘钥管理网元中的芯片。该生成秘钥信息的装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一方面,生成秘钥信息的装置,包括:处理单元,用于获取移动管理网元发送的第一请求消息,该第一请求消息用于请求终端支持的一个或者多个加密算法在移动管理网元中的第一秘钥信息。生成单元,用于生成第一秘钥信息。发送单元,用于向移动管理网元发送第一秘钥信息。该第一秘钥信息包括一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在移动管理网元中的第一公共参数、与第一私钥关联的第一时间信息以及第一公共参数对应的第一私钥。
一种可能的实现方式中,第一请求消息包括:终端支持的一个或者多个加密算法的信息,以及移动管理网元的信息。
一种可能的实现方式中,第一请求消息包括:终端支持的一个或者多个加密算法的信息,以及移动管理网元覆盖的一个或者多个注册区域的信息。此时,第一秘钥信息包括:一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在移动管理网元覆盖的一个或者多个注册区域中的第一公共参数、与第一公共参数关联的第一私钥,以及第一私钥对应的第一时间信息。
另一方面,本申请实施例还提供一种生成秘钥信息的装置,该生成秘钥信息的装置可以为秘钥管理网元或者为应用于秘钥管理网元中的芯片,该生成秘钥信息的装置包括:处理器和接口电路,其中,接口电路用于支持该生成秘钥信息的装置执行第七方面至第七方面的任意一种可能的实现方式中所描述的在该加密信息确定装置侧进行消息/数据接收和发送的步骤。处理器用于支持生成秘钥信息的装置执行第七方面至第七方面的任意一种可能的实现方式中所描述的在该生成秘钥信息的装置侧进行消息/数据处理的步骤。具体相应的步骤可以参考第七方面至第七方面的任意一种可能的实现方式中的描述,本申请实施例在此不再赘述。
可选的,该生成秘钥信息的装置的接口电路和处理器相互耦合。
可选的,该生成秘钥信息的装置还可以包括存储器,用于存储代码和数据,处理器、接口电路和存储器相互耦合。
第十方面,本申请实施例提供一种生成秘钥信息的装置,该生成秘钥信息的装置可以实现第八方面或第八方面的任意可能的实现方式中的方法,因此也能实现第七方面或第七方面任意可能的实现方式中的有益效果。该生成秘钥信息的装置可以为秘钥管理网元,也可以为可以支持秘钥管理网元实现第八方面或第八方面的任意可能的实现方式中的方法的装置,例如应用于秘钥管理网元中的芯片。该生成秘钥信息的装置可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
一方面,一种生成秘钥信息的装置,包括:处理单元,用于获取移动管理网元发送的第二请求消息,该第二请求消息用于请求终端支持的一个或者多个加密算法在接入网设备中的第二秘钥信息。生成单元,用于生成第二秘钥信息。发送单元,用于向移动管理网元发送第二秘钥信息。该第二秘钥信息包括一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在接入网设备中的第二公共参数、第二时间信息以及第二私钥。移动管理网元用于将第二秘钥信息发送给接入网设备。
一种可能的实现方式中,第二请求消息包括:终端支持的一个或者多个加密算法的信息,以及接入网设备的信息。
一种可能的实现方式中,第二请求消息包括:终端支持的一个或者多个加密算法的信息,以及接入网设备覆盖的一个或者多个小区的信息。此时,第二秘钥信息包括:一个或者多个加密算法的信息,以及与一个或者多个加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二公共参数、第二时间信息以及第二私钥。
示例性的,第二请求消息可以为NG建立请求消息,或者为接入网设备配置更新消息。
另一方面,本申请实施例还提供一种生成秘钥信息的装置,该生成秘钥信息的装置可以为秘钥管理网元或者为应用于秘钥管理网元中的芯片,该生成秘钥信息的装置包括:处理器和接口电路,其中,接口电路用于支持该生成秘钥信息的装置执行第八方面至第八方面的任意一种可能的实现方式中所描述的在该加密信息确定装置侧进行消息/数据接收和发送的步骤。处理器用于支持生成秘钥信息的装置执行第八方面至第八方面的任意一种可能的实现方式中所描述的在该生成秘钥信息的装置侧进行消息/数据处理的步骤。具体相应的步骤可以参考第八方面至第八方面的任意一种可能的实现方式中的描述,本申请实施例在此不再赘述。
可选的,该生成秘钥信息的装置的接口电路和处理器相互耦合。
可选的,该生成秘钥信息的装置还可以包括存储器,用于存储代码和数据,处理器、接口电路和存储器相互耦合。
第十一方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行第一方面以及第一方面的任意一种可能的设计方式中描述的一种安全通信方法。
第十二方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行第一方面以及第二方面的任意二种可能的设计方式中描述的一种加密信息确定方法。
第十三方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行第三方面以及第三方面的任意一种可能的实现方式中描述的一种加密信息确定方法。
第十四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行第七方面以及第七方面的任意二种可能的设计方式中描述的一种生成秘钥信息的方法。
第十五方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令在计算机上运行时,使得计算机执行第八方面以及第八方面的任意一种可能的实现方式中描述的一种生成秘钥信息的方法。
第十六方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第一方面和第一方面各种可能的实现方式中的一个或多个。
第十七方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第二方面和第二方面各种可能的实现方式中的一个或多个。
第十八方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第三方面和第三方面各种可能的实现方式中的一个或多个。
第十九方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第七方面和第七方面各种可能的实现方式中的一个或多个。
第二十方面,本申请提供一种包括指令的计算机程序产品,当其在计算机上运行时,使得计算机执行第八方面和第八方面各种可能的实现方式中的一个或多个。
第二十一方面,本申请实施例提供一种芯片,该芯片包括:处理器和接口电路,接口电路和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面以及第一方面的任意一种可能的设计方式中描述的在终端侧进行消息/数据处理的步骤。接口电路用于实现如第一方面以及第一方面的任意一种可能的设计方式中描述的在终端侧进行消息/数据发送和接收的步骤。接口电路用于与芯片之外的其它模块进行通信。
第二十二方面,本申请实施例提供一种芯片,该芯片包括:处理器和接口电路,接口电路和处理器耦合,处理器用于运行计算机程序或指令,以实现如第二方面以及第二方面的任意一种可能的设计方式中描述的在移动管理网元侧进行消息/数据处理的步骤。接口电路用于实现如第一方面以及第一方面的任意一种可能的设计方式中描述的在移动管理网元侧进行消息/数据发送和接收的步骤。接口电路用于与芯片之外的其它模块进行通信。
第二十三方面,本申请实施例提供一种芯片,该芯片包括:处理器和接口电路,接口电路和处理器耦合,处理器用于运行计算机程序或指令,以实现如第三方面以及第三方面的任意一种可能的设计方式中描述的在接入网设备侧进行消息/数据处理的步骤。接口电路用于实现如第三方面以及第三方面的任意一种可能的设计方式中描述的在接入网设备侧进行消息/数据发送和接收的步骤。接口电路用于与芯片之外的其它模块进行通信。
第二十四方面,本申请实施例提供一种芯片,该芯片包括:处理器和接口电路,接口电路和处理器耦合,处理器用于运行计算机程序或指令,以实现如第七方面以及第七方面的任意一种可能的设计方式中描述的在秘钥管理网元侧进行消息/数据处理的步骤。接口电路用于实现如第七方面以及第七方面的任意一种可能的设计方式中描述的在秘钥管理网元侧进行消息/数据发送和接收的步骤。接口电路用于与芯片之外的其它模块进行通信。
第二十五方面,本申请实施例提供一种芯片,该芯片包括:处理器和接口电路,接口电路和处理器耦合,处理器用于运行计算机程序或指令,以实现如第八方面以及第八方面的任意一种可能的设计方式中描述的在接入网设备侧进行消息/数据处理的步骤。接口电路用于实现如第八方面以及第八方面的任意一种可能的设计方式中描述的在秘钥管理网元侧进行消息/数据发送和接收的步骤。接口电路用于与芯片之外的其它模块进行通信。
可选的,本申请中上述描述的芯片还可以包括至少一个存储器,该至少一个存储器中存储有指令或计算机程序。
第二十六方面,本申请实施例提供一种通信系统,该通信系统包括:第四方面或第四方面的任一种可能的设计描述的一种安全通信装置,以及第五方面或第五方面的任一种可能的设计描述的一种加密信息确定装置,以及第六方面或第六方面的任一种可能的实现方式中描述的一种加密信息确定装置。
可选的,第二十六方面描述的通信系统还可以包括:第九方面或第九方面的任一种可能的设计描述的一种生成秘钥信息的装置,以及第十方面和第十方面的任一种可能的设计描述的一种生成秘钥信息的装置。
上述提供的任一种装置或计算机存储介质或计算机程序产品或芯片或通信系统均用于执行上文所提供的对应的方法,因此,其所能达到的有益效果可参考上文提供的对应的方法中对应方案的有益效果,此处不再赘述。
附图说明
图1为一种网络切片的示意图;
图2为本申请实施例提供的一种通信系统示意图;
图3为本申请实施例提供的一种5G核心网的架构示意图;
图4为本申请实施例提供的一种终端使用多个接入技术接入网络的示意图;
图5为本申请实施例提供的一种基站的结构示意图;
图6为本申请实施例提供的另一种基站的结构示意图;
图7为本申请实施例提供的多小区场景示意图;
图8为两个基站之间切换的示意图;
图9为本申请实施例提供的一种接入网设备的结构示意图;
图10为本申请实施例提供的一种终端的结构示意图;
图11为本申请实施例提供的一种通信设备的结构示意图;
图12为一种秘钥生成示意图;
图13为本申请实施例提供的一种安全通信方法流程示意图一;
图14为本申请实施例提供的一种安全通信方法流程示意图二;
图15为本申请实施例提供的一种安全通信方法流程示意图三;
图16为本申请实施例提供的一种终端切换基站的示意图;
图17为本申请实施例提供的一种安全通信方法流程示意图四;
图18为本申请实施例提供的另一种终端切换接入网设备的示意图;
图19为本申请实施例提供的一种安全通信方法流程示意图五;
图20为本申请实施例提供的一种安全通信方法流程示意图六;
图21为本申请实施例提供的一种秘钥生成流程示意图一;
图22为本申请实施例提供的一种秘钥生成流程示意图二;
图23为本申请实施例提供的一种具体实施例示意图一;
图24为本申请实施例提供的一种具体实施例示意图二;
图25为本申请实施例提供的一种通信装置的结构示意图一;
图26为本申请实施例提供的一种通信装置的结构示意图二;
图27为本申请实施例提供的一种芯片的结构示意图。
具体实施方式
需要说明的是,本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图2所示,图2示出了本申请实施例提供的一种通信系统,该通信系统包括:核心网、接入网(Access Network,AN)和一个或者多个终端101。一个或者多个终端101接入网接入服务网络,并通过该服务网络获取外网(例如因特网)的服务,或者通过服务网络与其它终端通信。其中,AN可以为采用不同接入技术的接入网络。其中,接入网包括接入网设备102。核心网包括如下网元:移动管理网元103和秘钥管理网元104。
可以理解的是,图2中以各个网元的数量为1个为例,当然各个网元的数量可以为2个或2个以上。
当终端101通过接入网接入核心网时,核心网中的网元可以为终端部署一个或者多个网络切片,例如,图1中的网络切片1~网络切片3。每个网络切片可以包括:UPF网元、SMF网元、NRF网元以及PCF网元中的一个或者多个。该多个网络切片之间可以共享一些网络功能。被共享的网络功能的集合可以称为控制面共享网络功能(Common Control NetworkFunction,CCNF)。例如,CCNF中会包括AMF网元和NSSF网元中的一个或者多个。
其中,接入网可以为采用多种接入技术的接入网设备(例如,接入网络(AccessNetwork,AN)),也可以称为无线接入网设备(Radio Access Network,RAN)。例如,接入技术可以为第一接入技术和/或第二接入技术。
当终端101通过不同的接入技术接入无线网络时,终端101可以通过不同的接入网设备连接移动管理网元。
本申请实施例中的第一接入技术可以为符合3GPP标准规范的接入技术,例如,第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入技术。例如,5G系统中采用的接入技术。采用3GPP接入技术的接入网络称为无线接入网络(Radio AccessNetwork,RAN)。例如,终端101可以使用3GPP接入技术通过5G系统中的接入网设备接入无线网络中。其中,接入网设备可以为基站。例如,5G系统中的接入网设备称为下一代基站节点(Next Generation Node Basestation,gNB)、演进型节点B(evolved Node B,eNB)等。
第二接入技术可以为不在3GPP标准规范中定义的无线接入技术,例如称为非第三代合作伙伴计划(non 3rd Generation Partnership Project,non3GPP)接入技术。非3GPP接入技术可以是非可信non3GPP接入技术,也可以是可信non3GPP接入技术。非3GPP接入技术可以包括:无线保真(Wirelessfidelity,Wi-Fi)、全球微波互联接入(WorldwideInteroperability for Microwave Access,WiMAX)、码分多址(Code Division MultipleAccess,CDMA)、无线局域网(Wireless Local Area Networks,WLAN),固网技术或者有线技术等。终端101可以通过以无线保真(Wireless Fidelity,WIFI)为代表的空口技术接入网络。其中,接入网设备可以为接入点(Access Point,AP)。
在本发明实施例中,终端101可以分布于无线网络中,每个终端101可以是静态的或移动的。
其中,接入网设备102向终端101发送用于加密发送给接入网设备102的NSSAI的第二公共参数、以及第二时间信息。
移动管理网元103用于向终端101发送用于加密发送给移动管理网元103的NSSAI的第一公共参数,第一时间信息,和/或向终端101发送用于加密发送给接入网设备102的NSSAI的第二公共参数和第二时间信息。
秘钥管理网元104用于根据移动管理网元103的请求,为移动管理网元103分配与终端101支持的一个或者多个加密算法对应的在移动管理网元103覆盖的注册区域中的第一公共参数和第一私钥。以及根据移动管理网元103的请求,为接入网设备102分配与终端101支持的一个或者多个加密算法对应的在接入网设备102中的第二公共参数和第二私钥。或者分配终端101支持的一个或者多个加密算法对应的在接入网设备102覆盖的一个或者多个小区中的第二公共参数和第二私钥。
图2中的接入网设备可以覆盖一个或者多个小区。
其中,若图2所示的通信系统应用于5G网络,则如图3所示,移动管理网元103所对应的网元或者实体可以为接入和移动性管理功能(access and mobility managementfunction,AMF)网元、秘钥管理网元104可以为安全锚点功能(Security Anchor Function,SEAF)网元或者网络切片选择功能(Network Slice Selection Function,NSSF)网元。
其中,核心网中的实体在物理上可以部分或全部集成在一起,也可以分开布置。例如,SEAF网元可以和AMF网元集成在一起,也可以单独布置。SEAF网元主要负责向AUSF网元发起鉴权请求,可以在鉴权过程完成网络侧对终端的认证以及生成公共参数和私钥。
此外,如图3所示,该5G核心网网元还可以包括:会话管理功能(SessionManagement Function,SMF)网元、用户面功能(User Plane Function,UPF)网元、策略控制网元可以为(Policy Control Function,PCF)、应用功能(Application Function,AF)网元、鉴权服务器功能(Authentication Server Function,AUSF)网元、统一数据管理(Unified Data Management,UDM)网元、网络能力开放功能(Network Eposure Function,NEF)网元、网络仓库贮存功能(Network Repository Function,NRF)网元以及数据网络(Data Network,DN)等,本申请实施例对此不作具体限定。
其中,终端通过N1接口(简称N1)与AMF网元通信。AMF网元通过N11接口(简称N11)与SMF网元通信。SMF网元通过N4接口(简称N4)与一个或者多个UPF网元通信。一个或多个UPF网元中任意两个UPF网元通过N9接口(简称N9)通信。UPF网元通过N6接口(简称N6)与数据网络(Data Network,DN)通信。终端通过接入网设备(例如,RAN设备)接入网络。接入网设备与AMF网元之间通过N2接口(简称N2)通信。SMF网元通过N7接口(简称N7)与PCF网元通信,PCF网元通过N5接口与AF网元通信。接入网设备通过N3接口(简称N3)与UPF网元通信。任意两个或两个以上的AMF网元之间通过N14接口(简称N14)通信。SMF网元通过N10接口(简称N10)与UDM网元通信。AMF网元通过N12接口(简称N12)与AUSF网元通信。AUSF网元通过N13接口(简称N13)与UDM网元通信。AMF网元通过N8接口(简称N8)与UDM网元通信。
需要说明的是,图3中的各个网元之间的接口名字只是一个示例,具体实现中接口名字可能为其他名字,本申请实施例对此不作具体限定。
需要说明的是,图3的接入网设备、AF网元、AMF网元、SMF网元、AUSF网元、UDM网元、UPF网元和PCF网元等仅是一个名字,名字对设备本身不构成限定。在5G网络以及未来其它的网络中,接入网设备、AF网元、AMF网元、SMF网元、AUSF网元、UDM网元、UPF网元和PCF网元所对应的网元也可以是其他的名字,本申请实施例对此不作具体限定。例如,该UDM网元还有可能被替换为用户归属服务器(Home Subscriber Server,HSS)或者用户签约数据库(User Subscription Database,USD)或者数据库实体,等等,在此进行统一说明,后续不再赘述。
其中,USD可以存储NSSAI,NSSAI包括:切片服务类型(Slice Server Type,SST)。其中,SST用于定义所接入网络切片的行为特性和服务。可选的,NSSAI还包括:切片区分信息(Slice Differentiator,SD),其中,SD用于对特定网络切片给出唯一的标识,用于补充切片/服务类型,以区分相同切片/服务类型的多个网络切片。
需要说明的是,图3中各个网元的功能除了本申请实施例中所描述的功能外,其余功能可以参考现有技术中的描述,此处不再赘述。
如图4所示,图4示出了本申请一实施例中终端使用多个接入技术接入网络的架构示意图,例如,终端同时使用3GPP接入技术和non-3GPP接入技术的架构。如图4所示,终端可以同时通过3GPP接入技术和non-3GPP接入技术连接到5G核心网(例如,5G核心网中的AMF网元)。具体的,如图4所示,终端在使用non-3GPP接入技术接入AMF网元时,可以通过非3GPP互通功能(non-3GPP interworking function,N3IWF)实体接入AMF网元。其中,N3IWF接口与5G核心网的信令面(也可以称为控制面)采用N2接口(简称N2),N3IWF接口与5G核心网的用户面采用N3接口(简称N3)。
当3GPP接入技术与non 3GPP接入技术属于相同PLMN时,终端选择相同AMF网元。当3GPP接入技术与non 3GPP接入技术属于不同PLMN时,终端可以选择不同的AMF网元。SMF网元由AMF网元选择,不同的PDU会话可以选择不同的SMF网元,但相同的PDU会话要选择相同的SMF网元。
SMF网元在选择UPF网元,一个PDU会话可以有多个UPF网元,所以SMF网元可能会选择多个UPF网元为某PDU会话创建隧道连接。
其中,AUSF网元和鉴权存储功能(Authentication Repository Function,ARPF)/UDM网元构成归属公共陆地移动网(Home Public Land Mobile Network,HPLMN),终端通过不同的接入技术接入网络时,可以具有不同的受访地公用陆地移动网(visited publicland mobile network,VPLMN),也可以具有相同的受访地公用陆地移动网。具体的,图4中所示的各个网元的功能可以参见上述实施例,本申请在此不再赘述。此外,可以理解的是,当终端采用图4所示的方式接入5G核心网时,该5G核心网中的网元与图3所示的5G核心网中的网元相同。具体的,可以参考图3中的网元,此处不再赘述。
终端(terminal)是一种向用户提供语音和/或数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。终端也可以称为用户设备(User Equipment,UE)、接入终端(Access Terminal)、用户单元(User Unit)、用户站(User Station)、移动站(Mobile Station)、移动台(Mobile)、远方站(Remote Station)、远程终端(RemoteTerminal)、移动设备(Mobile Equipment)、用户终端(User Terminal)、无线通信设备(Wireless Telecom Equipment)、用户代理(User Agent)、用户装备(User Equipment)或用户装置。终端可以是无线局域网(Wireless Local Area Networks,WLAN)中的站点(Station,STA),可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、无线本地环路(Wireless Local Loop,WLL)站、个人数字处理(Personal Digital Assistant,PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及下一代通信系统(例如,第五代(Fifth-Generation,5G)通信网络)中的终端或者未来演进的公共陆地移动网络(Public Land Mobile Network,PLMN)网络中的终端等。其中,5G还可以被称为新空口(NewRadio,NR)。
作为示例,在本申请实施例中,该终端还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
示例性的,本申请实施例中所涉及到的接入网设备指的是用于接入核心网的设备,例如可以是基站,宽带网络业务网关(broadband network gateway,BNG),汇聚交换机、非第三代合作伙伴计划(3rd generation partnership project,3GPP)接入网设备等。
接入网设备也可以称为基站。基站可以包括各种形式的基站,例如:宏基站,微基站(也称为小站),中继站,接入点等。具体可以为:是无线局域网(Wireless Local AreaNetwork,WLAN)中的接入点(access point,AP),全球移动通信系统(Global System forMobile Communications,GSM)或码分多址接入(Code Division Multiple Access,CDMA)中的基站(Base Transceiver Station,BTS),也可以是宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)中的基站(NodeB,NB),还可以是LTE中的演进型基站(Evolved Node B,eNB或eNodeB),或者中继站或接入点,或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(The Next Generation Node B,gNB)或者未来演进的公用陆地移动网(Public Land Mobile Network,PLMN)网络中的基站等。
另外,在本发明实施例中,基站为小区提供服务,终端通过该小区使用的传输资源(例如,时域资源,或者,频域资源,或者,时频资源)与基站进行通信。该小区可以是网络设备(例如基站)对应的小区,小区可以属于宏基站,也可以属于小小区(small cell)对应的基站,这里的小小区可以包括:城市小区(metro cell)、微小区(micro cell)、微微小区(Pico cell)、毫微微小区(femto cell)等,这些小小区具有覆盖范围小和发射功率低的特点,适用于提供高速率的数据传输服务。
由于未来接入网可以采用云无线接入网(cloud radio access network,C-RAN)架构来实现,一种可能的方式是将传统基站的协议栈架构和功能分割为两部分,一部分称为集中单元(central unit,CU),另一部分称为分布单元(distributed unit,DU),而CU和DU的实际部署方式比较灵活,例如多个基站的CU部分集成在一起,组成一个规模较大的功能实体。如图5所示,其为本申请实施例提供的一种网络架构的示意图。如图5所示,该网络架构包括核心网(core network,CN)设备和接入网(以无线接入网(radio accessnetwork,RAN)为例)设备。其中RAN设备包括基带装置和射频装置,其中基带装置可以由一个节点实现,也可以由多个节点实现,射频装置可以从基带装置拉远独立实现,也可以集成基带装置中,或者部分拉远部分集成在基带装置中。例如,在LTE通信系统中,RAN设备(eNB)包括基带装置和射频装置,其中射频装置可以相对于基带装置拉远布置(例如射频拉远单元(radio remote unit,RRU)相对于基带处理单元(building base band unit,BBU)),RAN设备由一个节点实现,该节点用于实现无线资源控制(radio resource control,RRC)、分组数据汇聚层协议(packet data convergence protocol,PDCP)、无线链路控制(radiolink control,RLC)、媒体接入控制(medium access control,MAC)等协议层的功能。再如,在一种演进结构中,基带装置可以包括集中单元(centralized unit,CU)和分布单元(distributed unit,DU),多个DU可以由一个CU集中控制。如图5所示,CU和DU可以根据无线网络的协议层划分,例如分组数据汇聚层协议层及以上协议层的功能设置在CU,PDCP以下的协议层,例如无线链路控制(radio link control,RLC)和媒体接入控制层等的功能设置在DU。
这种协议层的划分仅仅是一种举例,还可以在其它协议层划分,例如在RLC层划分,将RLC层及以上协议层的功能设置在CU,RLC层以下协议层的功能设置在DU;或者,在某个协议层中划分,例如将RLC层的部分功能和RLC层以上的协议层的功能设置在CU,将RLC层的剩余功能和RLC层以下的协议层的功能设置在DU。此外,也可以按其它方式划分,例如按时延划分,将处理时间需要满足时延要求的功能设置在DU,不需要满足该时延要求的功能设置在CU。
此外,射频装置可以拉远,不放在DU中,也可以集成在DU中,或者部分拉远部分集成在DU中,在此不作任何限制。
此外,请继续参考图6,相对于图5所示的架构,还可以将CU的控制面(controlplane,CP)和用户面(user plane,UP)分离,分成不同实体来实现,分别为控制面CU实体(CU-CP实体)和用户面CU实体(CU-UP实体)。
在以上网络架构中,CU产生的数据可以通过DU发送给终端,或者终端产生的数据可以通过DU发送给CU。DU可以不对该数据进行解析而直接通过协议层封装后传给终端或CU。例如,RRC或PDCP层的数据最终会处理为物理层(physical layer,PHY)的数据发送给终端,或者,由接收到的PHY层的数据转变而来。在这种架构下,该RRC或PDCP层的数据,即也可以认为是由DU发送的。
在以上实施例中CU划分为RAN中接入网设备,此外,也可以将CU划分为CN中的接入网设备,在此不做限制。
本申请以下实施例中的装置,根据其实现的功能,可以位于终端或接入网设备。当采用以上CU-DU的结构时,接入网设备可以为CU节点、或DU节点、或包括CU节点和DU节点功能的RAN设备。
可以理解的是,当接入网设备可以划分为CU或DU时。如图7所示,如果一个接入网设备覆盖一个或者多个小区可以指该接入网设备的CU覆盖一个或者多个小区,也可以指该接入网设备的DU覆盖一个或者多个小区。
当接入网设备可以划分为CU和DU时,两个接入网设备之间通过Xn接口通信。5G核心网(5G Core,5GC)与每个接入网设备之间的接口为NG接口,其中,NG接口包括控制面接口和数据面接口,例如,控制面接口为N2接口,数据面接口为N3接口。
如图8所示,图8以接入网设备为gNB为例,从gNB1切换至gNB2可以指从gNB1的CU切换至gNB2的CU,或者从gNB1至gNB2的CU。或者从gNB1的DU切换至gNB2的DU,或从gNB1切换至gNB2的DU。
当以小区为粒度切换时,若同一个基站包括多个小区,则两个小区之间的切换可以指:从CU1覆盖的一个小区切换至CU1覆盖的另一个小区,或者从DU1覆盖的一个小区切换至DU1覆盖的另一个小区。
由于CU的CP和UP还可以分离,因此,同一个基站内的两个小区切换时包括如下场景:
CU内UP内DU内切换,指同一个CU下的两个小区切换时,从小区1切换至小区2,其中,小区1为该CU包括的一个UP1对应的DU1覆盖的小区。小区2为该CU包括的一个UP1对应的DU1覆盖的小区。这种情况下可能切换小区也可能不切换小区。
CU内UP内跨DU切换,指同一个CU下的两个小区切换时,从小区1切换至小区2,其中,小区1为该CU包括的一个UP1对应的DU1覆盖的小区。小区2为该CU包括的一个UP1对应的DU2覆盖的小区。
CU内跨UP切换,指同一个CU下的两个小区切换时,从该CU包括的一个UP1对应的小区1切换至另一个UP2对应的小区2。
图9为一种接入网设备的结构示意图。接入网设备102的结构可以参考图9所示的结构。
接入网设备包括至少一个处理器1111、至少一个存储器1112、至少一个收发器(又可以称为接口电路或者通信接口)1113、至少一个网络接口1114和一个或多个天线1115。处理器1111、存储器1112、收发器1113和网络接口1114相连,例如通过总线相连。天线1115与收发器1113相连。网络接口1114用于使得接入网设备通过通信链路,与其它通信设备相连,例如接入网设备通过N2接口,与移动管理网元相连。在本申请实施例中,所述连接可包括各类接口、传输线或总线等,本实施例对此不做限定。
本申请实施例中的处理器,例如处理器1111,可以包括如下至少一种类型:通用中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital SignalProcessor,DSP)、微处理器、特定应用集成电路专用集成电路(Application-SpecificIntegrated Circuit,ASIC)、微控制器(Microcontroller Unit,MCU)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、或者用于实现逻辑运算的集成电路。例如,处理器1111可以是一个单核(single-CPU)处理器或多核(multi-CPU)处理器。至少一个处理器1111可以是集成在一个芯片中或位于多个不同的芯片上。
本申请实施例中的存储器,例如存储器1112,可以包括如下至少一种类型:只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically erasable programmabler-onlymemory,EEPROM)。在某些场景下,存储器还可以是只读光盘(compact disc read-onlymemory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
存储器1112可以是独立存在,与处理器1111相连。可选的,存储器1112也可以和处理器1111集成在一起,例如集成在一个芯片之内。其中,存储器1112能够存储执行本申请实施例的技术方案的程序代码,并由处理器1111来控制执行,被执行的各类计算机程序代码也可被视为是处理器1111的驱动程序。例如,处理器1111用于执行存储器1112中存储的计算机程序代码,从而实现本申请实施例中的技术方案。
收发器1113可以用于支持接入网设备与终端之间射频信号的接收或者发送,收发器1113可以与天线1115相连。收发器1113包括发射机Tx和接收机Rx。具体地,一个或多个天线1115可以接收射频信号,该收发器1113的接收机Rx用于从天线接收所述射频信号,并将射频信号转换为数字基带信号或数字中频信号,并将该数字基带信号或数字中频信号提供给所述处理器1111,以便处理器1111对该数字基带信号或数字中频信号做进一步的处理,例如解调处理和译码处理。此外,收发器1113中的发射机Tx还用于从处理器1111接收经过调制的数字基带信号或数字中频信号,并将该经过调制的数字基带信号或数字中频信号转换为射频信号,并通过一个或多个天线1115发送所述射频信号。具体地,接收机Rx可以选择性地对射频信号进行一级或多级下混频处理和模数转换处理以得到数字基带信号或数字中频信号,所述下混频处理和模数转换处理的先后顺序是可调整的。发射机Tx可以选择性地对经过调制的数字基带信号或数字中频信号时进行一级或多级上混频处理和数模转换处理以得到射频信号,所述上混频处理和数模转换处理的先后顺序是可调整的。数字基带信号和数字中频信号可以统称为数字信号。
如图10所示,为本申请实施例提供的一种终端的结构示意图。终端101的结构可以参考图10所示的结构。
终端包括至少一个处理器1211、至少一个收发器1212和至少一个存储器1213。处理器1211、存储器1213和收发器1212相连。可选的,终端101还可以包括输出设备1214、输入设备1215和一个或多个天线1216。天线1216与收发器1212相连,输出设备1214、输入设备1215与处理器1211相连。
收发器1212、存储器1213以及天线1216可以参考图9中的相关描述,实现类似功能。
处理器1211可以是基带处理器,也可以是CPU,基带处理器和CPU可以集成在一起,或者分开。
处理器1211可以用于为终端实现各种功能,例如用于对通信协议以及通信数据进行处理,或者用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据;或者用于协助完成计算处理任务,例如对图形图像处理或者音频处理等等;或者处理器1211用于实现上述功能中的一种或者多种
输出设备1214和处理器1211通信,可以以多种方式来显示信息。例如,输出设备1214可以是液晶显示器(Liquid Crystal Display,LCD)、发光二级管(Light EmittingDiode,LED)显示设备、阴极射线管(Cathode Ray Tube,CRT)显示设备、或投影仪(projector)等。输入设备1215和处理器1211通信,可以以多种方式接受用户的输入。例如,输入设备1215可以是鼠标、键盘、触摸屏设备或传感设备等。
如图11所示,图11示出了一种通信设备的结构示意图。移动管理网元103以及秘钥管理网元104的结构可以参考图11所示的结构。
其中,通信设备包括:至少一个处理器2111、至少一个通信接口2113。可选的,该通信设备还可以包括:至少一个存储器2112。处理器2111、存储器2112以及通信接口2113相连,例如通过总线相连。通信接口2113用于使得通信设备通过通信链路,与其它通信设备相连,例如通信设备通过NG接口,与接入网设备相连。在本申请实施例中,所述连接可包括各类接口、传输线或总线等,本实施例对此不做限定。
处理器2111、存储器2112以及通信接口2113可以参考图9中的相关描述,实现类似功能。此处不再赘述。
本申请实施例基于身份的加密(Identity Based Encryption,IBE)算法,提供隐私保护技术。IBE算法流程可以参考图12:步骤1、秘钥管理中心派生一个公共参数(publicparameter,pp)和主秘钥(Master Secret Key,msk)。步骤2、秘钥管理中心根据终端提交的身份ID信息和派生的pp,派生一个对应的私钥skID。步骤3、秘钥管理中心将pp以及skID发送给接入网设备或者移动管理网元。
加密过程:加密方根据IBE算法,使用解密方的身份ID信息和IBE算法对应的pp加密明文m,得到密文c。
解密过程:解密方对密文c使用pp参数,以及私钥进行解密得到明文m。
如图12所示,秘钥管理中心为网元1、网元2以及网元3分别生成pp1、pp12以及pp3,并根据每个网元的ID以及每个网元的pp,为每个网元各自生成一个私钥。例如,网元1收到的pp1、sk(ID1)、网元2收到的pp2、sk(ID2)。
如图13所示,图13示出了本申请实施例提供的一种安全通信方法的流程示意图,该方法应用于终端中,终端具有终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,该方法包括:
S101、终端使用第一公共参数和移动管理网元的信息加密发送给移动管理网元的非接入层(Non-access stratum,NAS)信息,得到NAS层加密信息。
本申请中的NAS层信息可以指:通过NAS层需要发送给移动管理网元的信息,例如,NAS层信息可以为切片选择辅助信息NSSAI,切片信息、子网络标识、终端身份标识ID和业务标识中的一个或者多个。
示例性的,移动管理网元的信息可以为移动管理网元的标识信息,例如,用于识别移动管理网元的信息,例如移动管理网元的标识。
示例性的,本申请实施例中涉及到的加密算法可以为IBE算法。
示例性的,终端处具有pp1和pp2,其中,pp1为加密算法1对应的在移动管理网元中的公共参数。pp2为加密算法2对应的在接入网设备中的公共参数。终端需要向移动管理网元发送NSSAI时,终端可以使用pp1以及移动管理网元的信息对NSSAI加密。其中,加密算法2和加密算法1均为终端支持的第一加密算法,加密算法2和加密算法1可以为不同的加密算法,也可以为相同的加密算法。
示例性的,移动管理网元可以为终端所使用的接入技术对应的核心网中的移动管理网元,接入网设备可以为终端所使用的接入技术对应的接入网中的接入网设备。
例如,当终端通过3GPP接入技术接入核心网时,移动管理网元可以为3GPP接入技术中的移动管理网元、接入网设备可以为3GPP接入技术中的接入网设备,例如,基站。
当终端通过非3GPP接入技术接入核心网时,移动管理网元可以为非3GPP接入技术中的移动管理网元、接入网设备可以为非3GPP接入技术中的接入网设备。
可以理解的是,S101中的移动管理网元可以为源移动管理网元,也可以为目标移动管理网元。其中,源移动管理网元用于在切换移动管理网元之前为终端提供控制面和用户面服务。目标移动管理网元用于在切换移动管理网元后为终端提供控制面和用户面服务。
S102、终端使用第二公共参数和接入网设备的信息加密发送给接入网设备的接入(on-access stratum,AS)层信息。
本申请实施例中的AS层信息可以指:通过AS层需要发送给接入网设备的信息,例如,AS层信息可以为切片选择辅助信息NSSAI,切片信息、子网络标识、终端身份标识ID和业务标识中的一个或者多个。
示例性的,接入网设备的信息可以指接入网设备的标识信息,例如用于识别接入网设备的信息,例如接入网设备的标识。
示例性的,终端需要向接入网设备发送NSSAI时,终端可以使用pp2以及接入网设备的信息对NSSAI加密。接入网设备的信息用于识别接入网设备。
可以理解的是,S102中的接入网设备可以为源接入网设备(例如,图8中的gNB1),也可以为目标接入网设备(例如,图8中的gNB2)。其中,源接入网设备用于在切换前为终端提供服务。目标接入网设备用于在切换后为终端提供服务。
S103、终端向接入网设备发送NAS层加密信息以及AS层加密信息。
示例性的,终端可以将NAS层加密信息以及AS层加密信息携带在不同的消息中发送给接入网设备,也可以携带在同一个消息中发送给接入网设备。
例如,终端将AS层加密信息可以携带在AS层消息中,将NAS层加密信息可以携带在非接入(Non-access stratum,NAS)层消息中。
例如,AS层消息和NAS层消息可以位于同一个消息中。
需要说明的是,S101-S103中的移动管理网元不仅可以指终端的源移动管理网元,还可以指目标移动管理网元,接入网设备不仅可以指终端的源接入网设备,也可以指目标接入网设备。
其中,源移动管理网元用于在切换移动管理网元之前为终端提供控制面和用户面服务,目标移动管理网元用于在终端切换至目标移动管理网元后为终端提供控制面和用户面服务。源接入网设备用于在切换接入网设备之前为终端提供服务,目标接入网设备用于在终端切换至该目标接入网设备后为终端提供服务。下述但凡涉及到相关描述,均可以参考此处的内容,后续不再赘述。
如果终端切换至目标接入网设备后,需要向目标接入网设备发送AS层信息,则终端使用第一加密算法对应的在目标接入网设备的第二公共参数和目标接入网设备的信息加密AS层信息,以得到AS层加密信息。如果需要向目标移动管理网元发送NAS层信息,则使用目标移动管理网元的信息,和第一加密算法对应的在目标移动管理网元中的第一公共参数加密NAS层信息,以得到NAS层加密信息。相应的,只要目标接入网设备包括一个或者多个小区,目标移动管理网元均包括一个或者多个注册区域,则均可以参考上述使用小区或者注册区域为粒度选择相应的公共参数。
其中,NAS层消息和AS层消息中分别携带标识信息。由于终端加密密文时,使用第一加密算法对应的在解密方中的公共参数以及解密方的标识信息。因此,当接入网设备接收到NAS层消息时,接入网设备无法解密NAS层消息中携带的NAS层加密信息。但是接入网设备可以对AS层消息中的AS层加密信息进行解密以得到解密后的AS层信息。接入网设备并根据解密得到的AS层信息确定相应的移动管理网元(以AS层信息为例,接入网设备可以确定提供切片服务的移动管理网元)。
本申请实施例提供一种安全通信方法,由于发送给接入网设备的AS层信息和发送给移动性管理网元的NAS层信息通常可以携带在不同的消息中。例如,发送给接入网设备的AS层信息通常携带在接入层消息中,发送给移动管理网元的NAS层信息通常携带在NAS层消息中,终端在向接入网设备和移动管理网元发送信息时,使用第一公共参数和移动管理网元的信息加密NAS层信息,以及使用第二公共参数和接入网设备的信息加密AS层信息。这样可以使得NAS层和AS层中携带的信息分别得到安全保护,可以避免AS层被破解,影响到NAS层消息的安全。
无论终端使用哪个接入技术接入到移动管理网元,然而一个移动管理网元可能覆盖一个或者多个注册区域。一个接入网设备可能覆盖一个或者多个小区。
示例性的,本申请实施例中第一公共参数,包括:移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数。第二公共参数,包括:接入网设备覆盖的一个或者多个小区(Cell)分别对应的第二公共参数。
当一个移动管理网元覆盖多个注册区域时,第一公共参数包括第一加密算法对应的在该多个注册区域中的第一公共参数。其中,第一加密算法对应的在不同注册区域中的第一公共参数可以相同,也可以不相同。
例如,注册区域可以指跟踪区(Tracking Area,TA),也可以指PLMN覆盖的注册区域。
例如,移动管理网元覆盖的注册区域包括TA1、TA2以及TA3。则移动管理网元获取到的第一公共参数包括:TA1对应的pp11、TA2对应的pp12以及TA3对应的pp13。
示例性的,当接入网设备覆盖一个小区时,第二公共参数包括第一加密算法对应的在该小区中的第二公共参数。当接入网设备覆盖多个小区时,第二公共参数包括第一加密算法对应的在该多个小区中的第二公共参数。其中,第一加密算法对应的在不同小区中的第二公共参数可以相同,也可以不相同。
例如,接入网设备覆盖的注册区域包括Cell1、Cell2以及Cell3。则接入网设备获取到的第二公共参数包括:Cell1对应的pp21、Cell2对应的pp22以及Cell3对应的pp23。
步骤S102以接入网设备为粒度加密AS信息为例,而当接入网设备包括一个或者多个小区,第二公共参数包括第一加密算法对应的在一个或者多个小区中的第二公共参数时,终端还可以以小区为粒度加密AS信息。
示例性的,当终端以小区为粒度加密AS信息时,S102具体可以通过以下方式实现:终端使用一个或者多个小区中终端接入的小区的信息以及接入的小区的第二公共参数加密AS层信息,得到AS层加密信息。即使用某个小区对应的标识信息替代S102中接入网设备的信息以及使用第一加密算法在该小区中的第二公共参数替代第一加密算法对应的在接入网设备中的第二公共参数。这样即使终端在同一个接入网设备覆盖的多个小区间移动时,可以无需和接入网设备重新确定加密参数。
例如,当终端位于小区1时,终端可以使用小区1对应的pp21以及小区1的标识加密发送给接入网设备的NSSAI,当终端从小区1移动至小区2时,终端可以使用小区2对应的pp22以及小区2的标识加密发送给接入网设备的NSSAI。
步骤S101以移动管理网元为粒度加密NAS信息为例,而当移动管理网元包括一个或者多个注册区域,第一公共参数包括第一加密算法对应的在一个或者多个注册区域中的第一公共参数时,终端还可以以注册区域为粒度加密NAS信息。
示例性的,当终端以注册区域为粒度加密NAS信息时,S101具体可以通过以下方式实现:终端使用一个或者多个注册区域中终端所在的注册区域的第一公共参数以及所在注册区域的信息加密NAS层信息,得到NAS层加密信息。即S101中移动管理网元的信息可以使用所在的注册区域的信息替换,第一加密算法对应的在移动管理网元中的第二公共参数可以使用第一加密算法对应的在终端所在的注册区域的第一公共参数替换。
下述但凡涉及到以注册区域为粒度加密NAS层信息以及以小区为粒度加密AS层信息,均可以参考此处的描述,后续不再赘述。
本申请实施例中终端处具有的第一公共参数和第二公共参数可以是预配置的,例如存储在终端的存储器中的。也可以是终端和接入网设备和/或移动管理网元进行信息交互时从接入网设备和/或移动管理网元中获取的。
可以理解的是,当第一公共参数和第二公共参数是预配置时,终端在使用选择的公共参数和解密方(接入网设备或者移动管理网元)的标识信息加密发送给解密方的密文时,可以向解密方发送用于指示终端所选择的加密算法的指示信息。这样解密方在接收到指示信息之后,便可以确定与该加密算法对应的公共参数,进而确定私钥。
作为本申请实施例的另一种可能的实现方式中,如图14所示,本申请实施例提供的方法还包括:
S104、移动管理网元获取终端支持的第一加密算法对应的第一信息,该第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备/目标接入网设备中的第二公共参数,所述第一公共参数用于加密所述终端发送给所述移动管理网元/目标移动管理网元的NAS层信息;第二公共参数用于加密终端发送给接入网设备/目标接入网设备的AS层信息。
示例性的,第一加密算法对应的在移动管理网元/目标移动管理网元中的第一公共参数可以包括:第一加密算法对应的在移动管理网元/目标移动管理网元覆盖的一个或者多个注册区域中的第一公共参数。
第一加密算法对应的在接入网设备/目标接入网设备中的第二公共参数包括第二加密算法对应的在接入网设备/目标接入网设备覆盖的一个或者多个小区中的第二公共参数。下述但凡涉及到第一加密算法对应的在移动管理网元中的第一公共参数的描述以及第一加密算法对应的在接入网设备中的第二公共参数的描述,均可以参考此处,后续不再赘述。
S105、移动管理网元发送第一信息。
S106、接入网设备获取终端支持的第一加密算法的第一信息,该第一信息包括:在目标移动管理网元/移动管理网元中的第一公共参数,和/或在接入网设备/目标接入网设备中的第二公共参数。
其中,第一公共参数用于加密终端发送给移动管理网元/目标移动管理网元的NAS层信息。第二公共参数用于加密终端发送给接入网设备/目标接入网设备的AS层信息。
示例性的,接入网设备可以为3GPP接入技术中的接入网设备,例如,基站。也可以为非3GPP接入技术中的接入网设备。
示例性的,移动管理网元可以为3GPP接入技术中的移动管理网元,也可以为非3GPP接入技术中的移动管理网元。
S107、接入网设备向终端发送第一信息。
S108、终端根据接收到的第一信息,获取第一公共参数和第二公共参数。
具体的,由于不同场景下,S104-S108的实现方式存在差异,下述将分别结合各个场景进行介绍:
场景1、在终端请求注册到移动管理网元的过程中。
第一种可能的实现方式中,如图15所示,S104具体可以通过以下方式实现:
S1041、终端在请求注册到核心网的过程中向移动管理网元发送终端支持的一个或者多个加密算法(下述将简述为一个或者多个加密算法)的信息。
例如,终端在初始开机或者更换注册区域时,可以发起注册流程,以请求注册到核心网。
其中,加密算法的信息可以为加密算法的标识,也可以为加密算法。具体的,当移动管理网元或者接入网设备中至少具有一个或者多个加密算法时,该加密算法的信息可以为加密算法的标识。下述但凡涉及到加密算法的信息均可以参考此处的描述,后续不再赘述。
需要说明的是,终端发送给移动管理网元的一个或者多个加密算法可以为终端支持的所有加密算法,也可以为终端支持的所有加密算法中的部分加密算法。
第一种示例,在3GPP接入技术中,终端可以通过接入网设备向移动管理网元发送注册请求消息,该注册请求消息包括一个或者多个加密算法的信息。
可以理解的是,该注册请求消息中还可以携带注册到核心网中的其他必要信息(例如,全球唯一临时UE标识Globally Unique Temporary UE Identity,GUTI))。具体可以参考现有技术中的描述,此处不再赘述。
第二种示例,在非3GPP接入技术中,终端可以通过N3IWF向移动管理网元鉴权请求消息,该鉴权请求消息包括注册请求消息以及一个或者多个加密算法的信息。
其中,鉴权请求消息还可以携带注册到核心网时,其他必要的信息,具体可以参考非3GPP接入技术中终端在鉴权时发送的鉴权请求消息中携带的信息,此处不再赘述。
S1042、移动管理网元接收到终端发送的注册请求消息后,从第一秘钥信息中获取第一加密算法对应的在移动管理网元中的第一公共参数,和/或,从第二秘钥信息中获取终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数。终端支持的至少一个第一加密算法为接入网设备的一个或者多个第一加密算法中的加密算法。
示例性的,在3GPP接入技术中,接入网设备可以根据GUTI将终端发送的注册请求消息转发给根据GUTI确定的移动管理网元。在非3GPP接入技术中N3IWF在选择移动管理网元后,将终端支持的一个或者多个加密算法的信息携带在注册请求消息中,然后发送给移动管理网元。
一种示例,第二秘钥信息至少包括终端支持的至少一个第一加密算法对应的在接入网设备中的第二公共参数。第一秘钥信息至少包括:一个或者多个加密算法对应的在移动管理网元中的第一公共参数。
另一种示例,第一秘钥信息可以包括:一个或者多个加密算法对应的在移动管理网元覆盖的一个或者多个注册区域中的第一公共参数。第二秘钥信息还可以包括:一个或者多个加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二公共参数。
S1042具体可以通过以下方式实现:首先,移动管理网元从一个或者多个加密算法中确定第一加密算法。然后,根据移动管理网元根据第一加密算法,从第一秘钥信息中获取第一公共参数。
具体的,从第一秘钥信息中获取第一公共参数可以为第一加密算法对应的在某个注册区域中的第一公共参数,也可以为第一加密算法对应的在移动管理网元中的第一公共参数。
示例性的,第一加密算法为一个或者多个加密算法中优先级最高/最低的加密算法,也可以为任一个加密算法。
例如,移动管理网元可以根据第一优先级列表从一个或者多个加密算法中确定第一加密算法。其中,第一优先级列表用于指示一个或者多个加密算法中每个加密算法的优先级。不同加密算法的优先级不同。
示例性的,第一优先级列表包括一个或者多个加密算法中每个加密算法的优先级。
其中,第一优先级列表可以是预配置的,也可以是移动管理网元自己确定的,也可以是终端在注册过程中发送给移动管理网元的,本申请实施例对此不作限定。
例如,第一秘钥信息包括加密算法1在移动管理网元中的pp1、加密算法2在移动管理网元中的pp2。
需要说明的是,终端处于空闲(idle)态时,终端在不同的接入网设备之间移动,此时由于终端不需要与接入网设备进行交互。因此,S1042具体可以通过以下方式实现:移动管理网元可以从一个或者多个加密算法中选择出接入网设备的至少一个第一加密算法(在接入网设备注册到核心网的过程中,接入网设备可以向核心网发送接入网设备支持的加密算法),或者移动管理网元从接入网设备支持的一个或者多个第一加密算法中选择出终端支持的至少一个第一加密算法。然后,移动管理网元便可以根据获取到的至少一个第一加密算法,从第二秘钥信息中获取至少一个第一加密算法对应的在接入网设备中的第二公共参数。这样可以使得终端从idle态进入连接态时,无需通过与到接入网设备交互便可以获取到用于加密明文的公共参数。
其中,从第二秘钥信息中获取至少一个第一加密算法对应的在接入网设备中的第二公共参数还可以使用从第二秘钥信息中获取至少一个第一加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二公共参数替代。
示例性的,终端支持IBE算法1、IBE算法2以及IBE算法3,接入网设备支持IBE算法2以及IBE算法3,则移动管理网元便可以确定接入网设备的加密算法为IBE算法2以及IBE算法3。然后将IBE算法2以及IBE算法3对应的在接入网设备中的第二公共参数和第二时间信息发送给终端。
此外,如果接入网设备中的一个或者多个加密算法与移动管理网元中的一个或者多个加密算法相同,则移动管理网元可以代替接入网设备根据第一优先级列表,从一个或者多个加密算法中确定第一加密算法,并将确定后的第一加密算法在接入网设备中的第二公共参数以及第二时间信息发送给接入网设备和终端。此外,移动管理网元还向接入网设备发送第二公共参数对应的第二私钥。
示例性的,第一秘钥信息还可以包括:与第一公共参数对应的第一私钥、第一时间信息。第二秘钥信息还可以包括:与第二公共参数对应的第二私钥、第二时间信息。
其中,时间信息用于确定与该公共参数对应的私钥是否可用。例如,时间信息可以为有效时间。该有效时间可以为相对时间,也可以是绝对时间。
此外,时间信息还可以用于确定与公共参数对应的私钥。
这是由于同一个公共参数可以对应的多个不同的私钥,每个私钥对应一个时间信息。例如,T1对应私钥1,T2对应私钥2。
当一个移动管理网元覆盖一个或者多个注册区域时,则一个或者多个加密算法对应的在移动管理网元中的第一时间信息包括:一个或者多个注册区域中每个注册区域的第一公共参数对应的第一私钥关联的第一时间信息。
当一个接入网设备覆盖一个或者多个小区时,则一个或者多个加密算法对应的在接入网设备中的第二时间信息包括:一个或者多个小区中每个小区的第二公共参数对应的第二私钥关联的第二时间信息。
作为一种可能的实现方式中,如图15所示,S105可以通过以下方式实现:
S1051、移动管理网元可以将第一信息发送给终端。
示例性的,在3GPP接入技术中,S1051可以通过以下方式实现:移动管理网元可以使用NAS安全模式命令(Security Mode Command,SMC)请求消息向终端发送第一加密算法对应的在移动管理网元中的第一公共参数和第一时间信息,和/或第一加密算法对应的在接入网设备中的第二公共参数和第二时间信息。
在非3GPP接入技术中,S1051可以通过以下方式实现:移动管理网元可以使用用于指示鉴权成功的消息向终端发送第一公共参数和第一时间信息。本申请中利用用于指示鉴权成功的消息向终端发送第一公共参数和第一时间信息,可以在确定对终端成功鉴权之后再发送第一公共参数和第一时间信息,避免了由于对终端未成功鉴权而发送第一公共参数时,造成的信令浪费。
当然,移动管理网元可以利用向终端指示鉴权成功的过程中新定义的一个信令消息来向终端发送第一公共参数。
其中,新定义的一个信令消息可以认为是鉴权过程中使用的一条消息,此消息属于5G AKA或EAP-AKA’鉴权中一条消息;或者也可以理解为是鉴权成功后,移动管理网元发送NAS SMC之前的消息,此消息不在5G AKA或EAP-AKA’的消息内;或者还可以是承载用于指示鉴权成功的消息的承载消息。比如,承载消息是通过N2接口的传递的NAS消息。
具体的,第一公共参数和第一时间信息还可以携带在指示鉴权成功的消息内传递给终端,或者放在指示鉴权成功的消息外随着新定义的信令传递给终端。比如用于指示鉴权成功的消息可以通过NAS SMC消息发送,这样也即第一公共参数和第一时间信息携带在用于指示鉴权成功的消息中,用于指示鉴权成功的消息携带在NAS SMC消息中。也可以携带在指示鉴权成功的消息外,同时放在NAS SMC消息中。
其中,用于指示鉴权成功的消息可以有多种,例如,隐式的告知,即SEAF网元在验证终端成功后,发送某些参数给移动管理网元,比如发送永久身份标识(subscriberpermanent identifier,SUPI),或者发送密钥。再例如,显示的告知,即SEAF直接发送鉴权成功消息给移动管理网元,比如在5G AKA鉴权方法中,SEAF发给移动管理网元的一条消息,或者为EAP-AKA’鉴权方法中的EAP-Success消息,当然也可以为5G-AKA鉴权中用于指示鉴权成功的消息。
本申请实施例中用于指示鉴权成功的消息可以为携带鉴权成功消息(例如,第一消息,该第一消息中携带EAP-Success)的消息,也可以为鉴权成功消息(例如,EAP-Success)本身。
例如,使用EAP-Success表示鉴权成功,则第一公共参数等可以携带在EAP-Success中。例如,IKE_AUTH Request中携带EAP-Success以及第一公共参数等。
需要说明的是,在NAS SMC请求消息中的发送的第二公共参数和第二时间信息,可以是移动管理网元确定的接入网设备的至少一个第一加密算法对应的在接入网设备中的第二公共参数。也可以是移动管理网元代替接入网设备从终端支持的一个或者多个加密算法中确定的优先级最高的加密算法对应的在接入网设备中的第二公共参数。
对应于场景1、一种可能的实现方式中,如图15所示,S106具体可以通过以下方式实现:
S1061、在获取到终端发送的注册请求消息后,从第二秘钥信息中获取第一加密算法对应的在所述接入网设备中的第二公共参数,所述第二秘钥信息至少包括所述第一加密算法对应的在所述接入网设备中的第二公共参数。
可以理解的是,在S1061之前还可以包括S1041。此处在不再赘述。第二秘钥信息的内容可以参考上述实施例中的描述,此处不再赘述。
示例性的,S1061具体可以通过以下方式实现:在获取到终端发送的注册请求消息后,接入网设备从一个或者多个加密算法中确定第一加密算法,然后从第二秘钥信息中获取第一加密算法对应的在所述接入网设备中的第二公共参数。
例如,接入网设备可以根据第二优先级列表从一个或者多个加密算法中确定第一加密算法。第二优先级列表用于指示终端支持的一个或者多个加密算法中每个加密算法对应的优先级。
其中第二优先级列表可以是预配置的,也可以是接入网设备自己确定的,也可以是终端/移动管理网元发送给接入网设备的,本申请实施例对此不作限定。
需要说明的是,第一优先级列表和第二优先级列表的内容可以相同,也可以不同。因此,移动管理网元和接入网设备分别根据优先级列表确定的第一加密算法可以相同,也可以不同。
其中,接入网设备处具有终端支持的一个或者多个加密算法。该接入网设备处具有的终端支持的一个或者多个加密算法可以是预配置的。也可以是在终端请求注册到移动管理网元的过程中,向接入网设备发送终端支持的一个或者多个加密算法的信息。也可以是移动管理网元向接入网设备发送的。如果接入网设备处分别具有移动管理网元发送的一个或者多个加密算法的信息以及终端发送的一个或者多个加密算法的信息,则接入网设备可以从移动管理网元发送的一个或者多个加密算法中确定第一加密算法。
移动管理网元向接入网设备发送的一个或者多个加密算法的信息可以为移动管理网元获取到的全部加密算法的信息,也可以为加密算法的信息。
需要说明的是,本申请实施例中接入网设备和移动管理网元分别从一个或者多个加密算法中确定的第一加密算法可以相同,也可以不相同。
一种示例,在3GPP接入技术中,接入网设备可以从终端发送的注册请求消息中获取终端支持的一个或者多个加密算法的信息。或者,接入网设备可以从移动管理网元处获取终端支持的一个或者多个加密算法的信息。
另一种示例,在非3GPP接入技术中,接入网设备可以从终端发送的鉴权请求消息中获取终端支持的一个或者多个加密算法的信息。或者,接入网设备可以从移动管理网元处获取终端支持的一个或者多个加密算法的信息。
需要说明的是,当第二秘钥信息中包括一个或者多个加密算法对应的在一个或者多个小区中的第二公共参数时,S1061中获取到的是第一加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二公共参数。
作为一种可能的实现方式中,如图15所示,S107具体可以通过以下方式实现:S1071、接入网设备向终端发送终端支持的第一加密算法的在接入网设备中的第二公共参数和与第二公共参数对应的第二时间信息。
对应于场景1,接入网设备可以向终端发送AS SMC请求消息,该AS SMC请求消息包括接入网设备的第二公共参数。
可选的,AS SMC请求消息中还可以包括第二时间信息。
需要说明的是,当第一加密算法对应的在接入网设备中第二公共参数等信息由移动管理网元确定时,S106和S107可以省略。
因此,如图15所示,S108具体可以通过以下方式实现:
S1081、终端从移动管理网元处获取第一加密算法的在移动管理网元中的第一公共参数、第一时间信息,和/或在接入网设备中的第二公共参数和第二时间信息,或者从接入网设备获取第一加密算法的在接入网设备中的第二公共参数和第二时间信息。
示例性的,终端可以从NAS请求消息中获取终端支持的第一加密算法的在移动管理网元中的第一公共参数、第一时间信息,和/或在接入网设备中的第二公共参数,或者,终端从AS请求消息中获取终端支持的第一加密算法的在接入网设备中的第二公共参数。或者从用于指示鉴权成功的消息中获取终端支持的第一加密算法的在移动管理网元中的第一公共参数、第一时间信息。
场景2、为终端切换接入网设备,切换后的接入网设备和切换前的接入网设备属于不同的移动管理网元。如图16所示,终端101通过接入网设备1接入AMF网元1。在需要切换为终端提供控制面和用户面服务的AMF网元时,AMF网元1将为终端提供控制面和用户面服务的切换至AMF网元2。此时,AMF网元2需要重新为终端101选择接入网设备2。可以理解的是,接入网设备2和接入网设备1可能为同一个接入网设备,也可能为不同的接入网设备。
第二种可能的实现方式,如图17所示,S104可以通过以下方式实现:
S1043、移动管理网元向目标移动管理网元发送用于请求建立终端和目标移动管理网元之间连接的请求消息,该请求消息中携带一个或者多个加密算法的信息。
S1044、目标移动管理网元根据该请求消息,获取第一加密算法对应的在移动管理网元中的第一公共参数,和在接入网设备中的第二公共参数。
S1045、移动管理网元接收目标移动管理网元发送的第一响应消息(例如,CreateUE Response消息),该第一响应消息包括第一加密算法对应的在目标移动管理网元中的第一公共参数、第一时间信息,和在目标接入网设备中的第二公共参数以及与目标接入网设备的第二公共参数对应的第二私钥关联的第二时间信息。
其中,目标接入网设备为切换后用于为终端提供服务的接入网设备。例如,图16中的接入网设备2。
具体的,S1043中移动管理网元在接收到接入网设备(例如图16中的接入网设备1)发送的切换请求消息(Handover Require)后,向目标移动管理网元发送用于请求建立终端和目标移动管理网元之间连接的请求消息。
具体的,S1044中的目标移动管理网元为切换后为终端提供控制面和用户面服务的设备。例如,目标移动管理网元可以为图16中的AMF网元2。此时移动管理网元可以为图16中的AMF网元1。
一种示例,在3GPP接入技术中,移动管理网元可以在切换至目标移动管理网元的过程中,向目标移动管理网元发送一个或者多个加密算法的信息。例如,移动管理网元可以向目标移动管理网元发送用于请求建立终端和目标移动管理网元之间连接的请求消息,该用于请求建立终端和目标移动管理网元之间连接的请求消息包括:终端支持的一个或者多个加密算法的信息。
具体的,S1044中目标移动管理网元获取第一加密算法对应的在移动管理网元中的第一公共参数的实现方式可以参考S1042中的具体实现方式,此处不再赘述。具体的,S1044中目标移动管理网元获取第一加密算法对应的在目标接入网设备中的第二公共参数可以通过以下方式实现:目标移动管理网元根据请求消息,向目标接入网设备发送切换请求消息(Handover Request)消息,该切换请求消息中携带一个或者多个加密算法的信息。目标接入网设备根据切换请求消息,将获取到的第一加密算法对应的在接入网设备中的第二公共参数、与第二公共参数对应的第二时间信息以及第二私钥发送给目标移动管理网元。
其中,目标接入网设备确定第二公共参数的过程可以参考下述实施例中的接入网设备确定第二公共参数描述,此处不再赘述。
一种可能的实现方式中,如图17所示,S105可以通过以下方式实现:
S1052、移动管理网元向接入网设备发送第一信息。此处的接入网设备可以为切换前用于为终端提供服务的接入网设备。
例如,如图16所示,AMF网元1向接入网设备1发送第一信息。例如,接入网设备为接入网设备1。
示例性的,对应于场景2,在3GPP接入技术中,移动管理网元可以在确认切换过程中向接入网设备发送第一公共参数、第一时间信息、第二公共参数和第二时间信息。
例如,移动管理网元向接入网设备发送切换确认消息(例如,HandoverAcknowledgement)。该切换确认消息包括:第一加密算法对应的在目标移动管理网元中的第一公共参数、第一时间信息、第一私钥,以及第一加密算法对应的在目标接入网设备中的第二公共参数、第二私钥和第二时间信息。其中,切换命令消息用于指示切换至目标接入网设备。此时的移动管理网元用于在切换前为终端提供用户面和控制面服务,接入网设备用于在切换前为终端提供服务(例如,图16中的接入网设备1)。
其中,第二公共参数为切换后为终端提供服务的目标接入网设备(图16中的接入网设备2)的公共参数。移动管理网元可以从目标移动管理网元处获取目标接入网设备的第二公共参数和目标移动管理网元的第一公共参数。具体的交互过程可以参考上述第二种可能的实现方式中的描述。
一种可能的实现方式中,如图17所示,S106具体可以通过以下方式实现,
S1062、接入网设备接收移动管理网元发送的第一加密算法对应的在目标移动管理网元中的第一公共参数和第一加密算法对应的在目标接入网设备的第二公共参数。
可选的,接入网设备还可以接收移动管理网元发送的第一时间信息、以及与目标接入网设备的第二私钥关联的第二时间信息。
在S1062之前还包括:接入网设备向移动管理网元发送切换请求消息(例如,Handover Require消息)。移动管理网元向目标移动管理网元发送Create UE Request消息,该Create UE Request消息包括终端支持的一个或者多个加密算法的信息。
示例性的,接入网设备接收移动管理网元发送的切换确认请求消息,该切换确认请求消息包括:第一加密算法对应的在目标移动管理网元中的第一公共参数、第一时间信息、第一加密算法对应的在目标接入网设备的第二公共参数以及与目标接入网设备的第二私钥关联的第二时间信息。
相应的,如图17所示,一种可能的实现方式中,S107具体可以通过以下方式实现:S1072、接入网设备向终端发送切换命令消息,该切换命令消息包括第一加密算法对应的在目标移动管理网元中的第一公共参数、第二时间信息、第一加密算法对应的在目标接入网设备的第二私钥以及第二时间信息。
如图17所示,一种可能的实现方式中,S108具体可以通过以下方式实现:S1082、终端接收接入网设备发送的切换命令消息,以及从切换命令消息中获取第一加密算法对应的在目标接入网设备中的第二公共参数,和第一加密算法对应的在目标移动管理网元中的第一公共参数,切换命令消息包括:第一加密算法对应的在目标接入网设备中的第二公共参数,和第一加密算法对应的在目标移动管理网元中的第一公共参数,切换命令消息用于指示切换至目标接入网设备。
示例性的,切换命令消息中还可以包括第二时间信息以及第一时间信息。
场景3、为终端切换接入网设备,如图18所示,切换后的接入网设备和切换前的接入网设备属于同一个移动管理网元覆盖。例如,接入网设备3和接入网设备4均由AMF网元1管理。
第三种可能的实现方式,如图19所示,S106可以通过以下方式实现:
S1063、接入网设备在请求切换过程中向目标接入网设备发送终端支持的一个或者多个加密算法的信息(例如,通过切换请求消息)。
S1064、目标接入网设备根据确定的第一加密算法,从第二秘钥信息中确定第一加密算法对应的目标在接入网设备中的第二公共参数和第二时间信息。
S1065、接入网设备接收目标接入网设备发送的切换确认请求消息,该切换确认请求消息包括第二公共参数。这样接入网设备便可以获取到目标接入网设备中的第二公共参数。
相应的,S107具体可以通过以下方式实现:S1073、接入网设备向终端发送切换命令消息,该切换命令消息包括第一加密算法对应的在目标接入网设备中的第二公共参数和第二时间信息。
在这种情况下,S108的具体实现方式为:
S1083、终端接收接入网设备发送的切换命令消息,切换命令消息包括:第一加密算法对应的在目标接入网设备中的第二公共参数和第二时间信息。
需要说明的是,本申请实施例中终端可以以接入网设备为粒度选择加密AS层信息的第二公共参数,也可以以小区为粒度选择加密AS层信息的第二公共参数。本申请实施例中终端可以以移动管理网元为粒度选择加密NAS层信息的第一公共参数,也可以以移动管理网元覆盖的一个或者多个注册区域为粒度选择加密NAS层信息的第一公共参数。
如果终端以小区为粒度选择第二公共参数,则加密AS层信息时使用的接入网设备的信息使用该小区的信息替换。此外终端向接入网设备发送所接入小区的信息。
如果终端以接入网设备为粒度选择第二公共参数,则使用该接入网设备对应的第二公共参数和接入网设备的信息加密AS层信息。
如果终端以注册区域为粒度选择第一公共参数,则在加密NAS层信息时使用该注册区域的信息替换移动管理网元的信息,则在加密后终端还需要向移动管理网元发送注册区域的信息。
如果终端以移动管理网元为粒度选择第一公共参数,终端使用移动管理网元的第一公共参数和移动管理网元的信息加密发送给移动管理网元的NAS层信息。在加密后还可以向移动管理网元发送移动管理网元的信息。
作为一种可能的实现方式中,S102可以通过以下方式实现:终端确定加密AS层信息时使用的第二公共参数;终端使用确定的第二公共参数以及接入网设备的信息加密发送给接入网设备的AS层信息,得到AS层加密信息。
终端确定接入接入网设备1,则终端使用第一加密算法对应的在接入网设备中的pp2,以及接入网设备1的标识信息加密发送给接入网设备的AS层信息,得到AS层加密信息。
具体的,当接入网设备包括一个或者多个小区时,终端确定在一个或者多个小区中接入的小区,终端使用第一加密算法对应的在接入小区中的第二公共参数以及该接入小区的信息加密发送给接入网设备的AS层信息,得到AS层加密信息。
S101具体可以通过以下方式实现:终端确定终端在移动管理网元覆盖的一个或者多个注册区域中所在的注册区域,以及使用终端所在的注册区域的第一公共参数以及终端所在的注册区域的信息加密发送给移动管理网元的NAS层信息,得到NAS层加密信息。
示例性的,移动管理网元覆盖的注册区域包括TA1、TA2以及TA3,若终端确定所在注册区域为TA1,则终端使用第一加密算法对应的在TA1中的PP11,以及TA1的标识信息加密发送给移动管理网元的NAS层信息,得到加密后NAS层信息。
情况1、第一加密算法对应的在接入网设备中的第二公共参数可以是接入网设备选择的一个优先级最高的加密算法对应的第二公共参数。情况2、第一加密算法对应的在接入网设备中的第二公共参数可以是移动管理网元选择的一个或者多个接入网设备支持的第一加密算法对应的在接入网设备中的第二公共参数。因此,终端在加密AS层信息时使用的第二公共参数可以由终端根据接入网设备指示的第一加密算法确定,也可以由终端从至少一个第一加密算法中选择一个第一加密算法,并根据被选择的第一加密算法确定加密AS层信息时使用的第二公共参数。
(1)、对于情况1,终端可以通过下述示例1确定加密AS层信息时使用的第二公共参数。
示例1、终端确定加密AS层信息时使用的第二公共参数可以通过以下方式实现:
步骤1、终端获取接入网设备发送的广播消息,该广播消息中包括:接入网设备的信息和一个或者注册区域的信息。
需要说明的是,还可以使用一个或者多个小区的信息替换广播消息中的接入网设备的信息。
步骤2、终端根据广播消息,确定使用终端接入的接入网设备的第二公共参数加密AS层信息,以及根据一个或者多个注册区域的信息确定终端所在的注册区域。该方案可以适用于终端处具有一个第一加密算法对应的在接入网设备中的第二公共参数。
当广播消息中包括一个接入网设备的信息时,则终端可以选择接入到该接入网设备。
当广播消息中包括多个接入网设备的信息时,则终端可以根据获取到的每个接入网设备的信号强度指示(Received Signal Strength Indication,RSSI)或者其他信号质量参数接入多个接入网设备中任一个接入网设备中。
示例性的,当广播消息中包括一个注册区域的信息时,终端可以确定该注册区域的信息所指示的注册区域即为终端所在的注册区域,当包括多个注册区域的信息时,终端可以根据每个注册区域对应的优先级或者根据终端当时的位置信息确定终端所在的注册区域。
由于第一加密算法在接入网设备中的第二公共参数包括:接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法在接入网设备中的第二公共参数,因此,终端确定加密AS层信息时使用的第二公共参数可以通过以下示例2中的步骤3-步骤5实现:
(2)、对于情况2,终端可以通过下述示例2确定加密AS层信息时使用的第二公共参数。
示例2
步骤3、终端获取接入网设备发送的广播消息,该广播消息中包括:接入网设备的信息、接入网设备的一个或者多个第一加密算法和一个或者注册区域的信息。
当然,步骤3的广播消息中还可以使用第一指示替换接入网设备的一个或者多个第一加密算法,这样终端便可以根据第一指示确定接入网设备所指示的第一加密算法是哪个,然后从至少一个第一加密算法中选择出第一指示指示的第一加密算法。
步骤4、终端根据一个或者多个第一加密算法的信息,从至少一个第一加密算法中选择一个第一加密算法,以及确定终端所在的注册区域。
具体的,终端可以选择一个接入网设备支持的优先级最高的加密算法作为第一加密算法。
可以理解的是,在这种情况下,该至少一个第一加密算法为终端和接入网设备均支持的加密算法。
步骤5、终端从至少一个第一加密算法在接入网设备中的第二公共参数中确定被选择的第一加密算法在接入网设备中的第二公共参数。
可以理解的是,上述示例1和示例2以小区为粒度介绍如何确定第二公共参数,当以小区为粒度时,将上述广播消息中的接入网设备的信息使用一个或者多个小区的信息替换。
当广播消息包括一个小区的信息时,终端可以根据该小区的信息接入到该小区。当广播消息中包括多个小区的信息时,则终端可以基于每个小区的RSSI或者其他信号质量参数接入多个小区中任一个小区。
示例性的,注册区域的标识信息用于识别注册区域,例如,以注册区域为TA为例,则TA的标识信息可以为跟踪区识别码(Tracking Area identity,TAI)。小区的信息用于识别该小区。
当终端使用步骤3至步骤5确定第二公共参数时,终端向接入网设备发送第二NSSAI,还包括:终端向接入网设备发送第一指示信息,第一指示信息用于确定被选择的第一加密算法关联的第二私钥。
示例性的,当终端以接入网设备为粒度时,第一指示信息可以为被选择的加密算法的信息,如果以小区为粒度,则第一指示信息可以为被选择的加密算法对应的第二公共参数的信息。
需要说明的是,示例1和示例2的区别在于,当终端获取到的是一个第一加密算法对应的在接入网设备中的第二公共参数时,则可以使用示例1所描述的方式。当终端获取到的是多个第一加密算法对应的在接入网设备中的第二公共参数时,则使用示例2。
综上所述,S101可以通过以下方式实现:终端使用第一公共参数和移动管理网元的信息加密发送给移动管理网元的NAS层信息,得到NAS层加密信息,包括:终端使用一个或者多个注册区域中终端所在的注册区域的第一公共参数以及所在注册区域的信息加密NAS层信息,得到NAS层加密信息。
S102可以通过以下方式实现:终端使用一个或者多个小区中终端所接入的小区的信息以及所接入小区的第二公共参数加密AS层信息,得到AS层加密信息。
需要说明的是,如果广播消息中包括一个小区、一个接入网设备,终端可以接入到广播消息所指示的小区、接入网设备中,并使用相应的公共参数和标识信息加密AS层信息。如果广播消息中包括一个注册区域的信息时,终端可以接入到广播消息所指示的注册区域中。并使用该注册区域的公共参数和标识信息加密NAS层信息。如果广播消息中包括多个小区、多个接入网设备或者多个注册区域的信息时,如果终端从中选择了一个小区、接入网设备或者注册区域时,则在向解密方发送加密信息时,终端需要向解密方发送所使用的选择的加密算法的信息。可选的,还可以发送接入网设备、小区、注册区域的信息。
可选的,如图20所示,本申请实施例提供的方法还包括:
S109、接入网设备接收终端发送的NAS层加密信息和AS层加密信息。
示例性的,以NAS层信息和AS层信息为NSSAI为例。
一种示例,终端使用移动管理网元的信息以及第一加密算法对应的在移动管理网元中的第一公共参数加密NSSAI,得到第一NSSAI,然后终端将第一NSSAI发送给移动管理网元。
另一种示例,终端使用在移动管理网元覆盖的一个或者多个注册区域中所在的注册区域的信息以及第一加密算法对应的所在的注册区域第一公共参数加密NSSAI,得到第一NSSAI,将得到的第一NSSAI发送给移动管理网元。
示例性的,一种示例,终端使用接入网设备的信息以及第一加密算法对应的在接入网设备中的第一公共参数加密NSSAI,得到第二NSSAI。
另一种示例,终端使用在接入网设备覆盖的一个或者小区中所接入小区的信息以及第一加密算法对应的所接入小区的第二公共参数加密NSSAI,得到第二NSSAI。
例如,接入网设备可以在第一消息中接收NAS层消息和AS层消息。
需要说明的是,如果终端是通过某个小区向接入网设备发送AS层加密信息,则终端可以使用该小区的第二公共参数和该小区的信息加密AS信息。相应的,接入网设备可以使用该小区的第二公共参数对应的第二私钥解密AS层加密信息。
作为本申请的另一个实施例,如图20所示,S104还可以通过以下方式实现:S1066、接入网设备确定未正确解密AS层加密信息的情况下,接入网设备获取第二公共参数。即终端使用第二公共参数或者其他加密信息加密AS信息,接入网设备未正确解密的情况下,接入网设备便从第二秘钥信息中获取第二公共参数。
具体的,S1066中接入网设备获取第二公共参数的方式可以参考上述S1061中的描述,此处不再赘述。可以理解的是,S1066可以理解为在解密错误的情况下,更新第二公共参数。此时,接入网设备可以通过AS层请求消息向终端发送更新后的第二公共参数。
一种示例,S103还包括:终端向接入网设备发送第二时间信息,则接入网设备确定未正确解密AS层加密信息,包括:接入网设备根据第二时间信息,确定第二时间信息指示的第二私钥。接入网设备确定第二私钥不在第二时间信息指示的可用时间内,接入网设备确定未正确解密AS层加密信息。
不同的时间信息可以对应不同的私钥,例如,有效时间1对应私钥1,有效时间2对应的私钥2。
S110、接入网设备将NAS层加密信息发送给移动管理网元。
具体的,接入网设备在正确解密AS层加密信息后,得到AS信息,接入网设备可以根据AS信息确定将NAS层加密信息发送给哪个移动管理网元。如果接入网设备未正确解密NAS层加密信息,则将NAS层加密信息转发至默认(Default)移动管理网元。因此,S110中的移动管理网元可以是接入网设备根据NSSAI确定的,也可以是Default移动管理网元。例如,接入网设备可以通过如下方式解密AS层加密信息,终端根据第二时间信息指示的第二私钥,如果第二私钥在第二时间信息指示的可用时间内,则根据第二时间信息和加密AS信息的第二公共参数解密AS层加密信息。
S111、移动管理网元接收终端发送的NAS层加密信息。
示例性的,NAS层加密信息可以是终端使用移动管理网元的信息以及第一加密算法对应的在移动管理网元中的第一公共参数加密的。另一种示例,NAS层加密信息可以是终端使用在移动管理网元覆盖的一个或者多个注册区域中所在的注册区域的信息以及第一加密算法对应的所在的注册区域第一公共参数加密的。
可以理解的是,移动管理网元可以通过第一私钥解密NAS层加密信息,如果正确解密NAS层加密信息,则移动管理网元便可以根据解密后得到的NAS信息为终端部署相应的服务。
作为本申请的另一个实施例,如图20所示,S104还可以通过以下方式实现:S1046、移动管理网元确定未正确解密NAS层加密信息的情况下,移动管理网元从第一秘钥信息中获取第一公共参数。S1046的具体实现方式可以参考上述实施例S1042处的描述,此处不再赘述。需要说明的是,未正确解密NAS层加密信息的情况重新选择的第一公共参数可以和移动管理网元之前向终端发送的第一公共参数相同,也可以不相同。具体的,当S1042和S1046中使用的是相同的优先级列表则重新选择的第一公共参数可以和移动管理网元之前向终端发送的第一公共参数相同。
一种示例,移动管理网元接收终端发送的NAS层加密信息,还包括:移动管理网元接收第一时间信息,则移动管理网元确定未正确解密NAS层加密信息,包括:移动管理网元根据第一时间信息,确定第一时间信息确定对NAS层加密信息进行解密的第一私钥。移动管理网元确定第一私钥不在第一时间信息指示的可用时间内,移动管理网元确定未正确解密NAS层加密信息。
具体的,如果移动管理网元根据第一时间信息确定的第一私钥在第一时间信息所指示的可用时间内,则移动管理网元根据第一私钥以及加密该NAS信息的第一公共参数解密NAS层加密信息。
具体的,S1046中移动管理网元获取第二公共参数的方式可以参考上述S1042中的描述,此处不再赘述。可以理解的是,S1046可以理解为在解密错误的情况下,移动管理网元更新第一公共参数。
示例性的,在3GPP接入技术中,移动管理网元可以通过NAS层请求消息向终端发送更新后的第一公共参数和第一时间信息。在非3GPP接入技术中,移动管理网元可以通过用于指示鉴权成功的消息向终端发送更新后的第一公共参数和第一时间信息。
具体的用于指示鉴权成功的消息为终端与移动管理网元进行鉴权过程中的消息。其中,鉴权方式可以包括演进分组系统(Evolved Packet System,EPS)-鉴权和密钥协商(Authentication and Key Agreement,AKA)鉴权、5G-AKA鉴权、或可扩展鉴权协议(Extensible Authentication Protocol,EAP)-AKA’鉴权等,以EAP-AKA鉴权为例,该用于指示鉴权成功的消息例如可以称为EAP-Success消息。该名称仅为举例,并没有限制作用。
具体的,终端在向移动管理网元注册时,该移动管理网元可以通过传递鉴权向量的消息或者用于指示鉴权成功的消息或者鉴权向量向终端发送第一公共参数和第一公共参数对应的第一私钥关联的第一时间信息。
其中,用于指示鉴权成功的消息可以有多种,例如,隐式的告知,即SEAF在验证终端成功后,发送某些参数给AMF,比如发送永久身份标识(subscriber permanentidentifier,SUPI),或者发送密钥Kamf。再例如,显示的告知,即SEAF直接发送鉴权成功消息给AMF,比如在5G AKA鉴权方法中,SEAF发给AMF的一条消息,或者为EAP-AKA’鉴权方法中的EAP-Success消息,当然也可以为5G-AKA鉴权中用于指示鉴权成功的消息。
示例性的,终端处具有pp11、pp22、p33以及p44,其中,pp11和pp22用于加密发送给接入网设备的NSSAI,p33和以及p44用于加密发送给移动管理网元的NSSAI。
其中,pp11关联时间信息1、pp2关联时间信息2、p33关联时间信息3以及p44关联时间信息4。以终端使用pp11加密发送给接入网设备的NSSAI为例。接入网设备接收到第二NSSAI,该第二NSSAI使用pp11和接入网设备的信息加密,接入网设备首先根据时间信息1确定与pp11对应的sk1是否过期或者是否在可用时间内。如果接入网设备确定sk1在时间信息1指示的可用时间内,则终端使用sk1以及pp11解密第二NSSAI。如果未正确解密,接入网设备重新获取第二公共参数,并发送给终端。
可以理解的是,本申请实施例提供的方法还包括:接入网设备从秘钥管理网元获取第二秘钥信息,以及移动管理网元从秘钥管理网元获取第一秘钥信息的过程。具体的实现方式可以参考下述图21和图22所示的实施例中的描述,此处不再赘述。
如图21所示,图21示出了本申请实施例提供的一种移动管理网元从秘钥管理网元处获取秘钥的过程。该方法包括:
201、移动管理网元向秘钥管理网元请求一个或者多个加密算法对应的在移动管理网元中的第一秘钥信息。
示例性的,移动性管理网元可以向秘钥管理网元第一秘钥信息。
例如,该秘钥请求消息包括:移动管理网元覆盖的一个或者多个注册区域的信息以及终端支持的一个或者多个加密算法。
具体的,移动管理网元可以在为终端提供无线通讯服务之前,向秘钥管理网元发送秘钥请求消息。
其中,移动管理网元获取终端支持的一个或者多个加密算法的方式,可以参考上述实施例中的描述,此处不再赘述。
其中,移动管理网元可以为AMF网元,秘钥管理网元可以为NSSF网元或者SEAF网元。
示例性的,当秘钥管理网元为NSSF网元时,AMF网元可以通过与NSSF网元之间的N22接口向NSSF网元发送秘钥请求消息。例如,该秘钥请求消息可以为N22key Request消息。
示例性的,当秘钥管理网元为SEAF网元时,AMF网元可以向SEAF网元发送秘钥请求消息。例如,该秘钥请求消息可以为Nseaf key get消息。如果AMF网元和SEAF网元
202、秘钥管理网元接收移动管理网元发送的秘钥请求消息。
203、秘钥管理网元根据秘钥请求消息,生成一个或者多个加密算法对应的在一个或者多个注册区域中每个注册区域中的秘钥。其中,秘钥包括公共参数和私钥。
示例性的,秘钥管理网元可以根据派生IBE私钥的算法,生成一个或者多个加密算法对应的在一个或者多个注册区域中每个注册区域中的秘钥。具体的生成过程可以参考上述实施例中的描述,此处不再赘述。
需要说明的是,秘钥管理网元会根据每个加密算法,为每个注册区域生成一个秘钥。即如果有多个加密算法,则秘钥管理网元会为每个注册区域生成多个秘钥。
例如,移动管理网元上报的加密算法为IBE算法1、IBE算法2、IBE算法3。注册区域包括:注册区域1、注册区域2以及注册区域3。则秘钥管理网元根据IBE算法1为注册区域1、注册区域2以及注册区域3分别生成秘钥11、秘钥12以及秘钥13。秘钥管理网元根据IBE算法2为注册区域1、注册区域2以及注册区域3分别生成秘钥21、秘钥22以及秘钥23。秘钥管理网元根据IBE算法3为注册区域1、注册区域2以及注册区域3分别生成秘钥31、秘钥32以及秘钥33。即最终秘钥管理网元为注册区域1生成的秘钥为秘钥11、秘钥21以及秘钥31。秘钥管理网元为注册区域2生成的秘钥为秘钥12、秘钥22以及秘钥32。秘钥管理网元为注册区域3生成的秘钥为秘钥13、秘钥23以及秘钥33。
需要说明的是,秘钥管理网元根据同一个加密算法为不同注册区域生成的秘钥,可以相同,也可以不同。本申请实施例对此不做限定。
204、秘钥管理网元向移动管理网元发送秘钥响应消息,该秘钥响应消息包括第一秘钥信息,该第一秘钥信息包括:第一公共参数、与第一公共参数对应的第一私钥以及第一时间信息。
示例性的,如果秘钥管理网元为NSSF网元,则秘钥管理网元可以通过N22接口,向移动管理网元发送的秘钥响应消息为N22key Response消息。
示例性的,如果秘钥管理网元为SEAF网元,则秘钥管理网元可以通过Nseaf接口,向移动管理网元发送的秘钥响应消息为Nseaf key Response消息。
205、移动管理网元接收秘钥管理网元发送的秘钥响应消息。
具体的,移动管理网元在接收到秘钥响应消息后,便可以从秘钥响应消息中获取第一公共参数、与第一公共参数对应的第一私钥以及第一时间信息。
需要说明的是,201-205主要描述了移动管理网元从秘钥管理网元处获取到第一秘钥信息的过程。该201-205可以单独实施。201-205也可以与其他过程结合起来实施。例如,移动管理网元实施201-205后,移动管理网元也可以后续与终端进行交互的过程中,向终端发送与移动管理网元进行信息传输时所使用的公共参数。例如,移动管理网元与终端进行交互的过程可以为:终端注册到核心网的过程、终端的源接入网设备请求切换移动管理网元的过程。
如图22所示,图22示出了本申请实施例提供的一种接入网设备通过移动管理网元从秘钥管理网元处获取第二秘钥信息的过程。该方法包括:
301、接入网设备向移动管理网元发送第一请求消息,该第一请求消息用于请求终端支持的一个或者多个加密算法在接入网设备中的第二秘钥信息。
示例性的,该接入网设备可以为3GPP接入技术中的接入网设备,也可以为non3GPP接入技术中的接入网设备。
示例性的,第一请求消息包括一个或者多个加密算法的信息,以及接入网设备的信息。或者该第一请求消息包括一个或者多个加密算法的信息,以及接入网设备覆盖的一个或者小区的信息。
具体的,接入网设备获取终端支持的一个或者多个加密算法的方式,可以参考上述实施例中的描述,此处不再赘述。
示例1,接入网设备可以在建立NG的过程中,向移动管理网元请求第二秘钥信息。此时,接入网设备可以通过控制面接口(例如,N2接口),向AMF网元发送。例如,该第一请求消息可以为NG SETUP Request消息。
示例2,接入网设备可以接入网设备配置更新过程中,向移动管理网元请求第二秘钥信息。此时,第一请求消息可以RAN Configuration update消息。
302、移动管理网元接收接入网设备发送的第一请求消息。
303、移动管理网元向秘钥管理网元发送秘钥请求消息,该秘钥请求消息用于请求接入网设备的第二秘钥信息。
示例性的,秘钥请求消息可以包括接入网设备的信息,以及一个或者多个加密算法的信息。或者秘钥请求消息可以包括接入网设备覆盖的一个或者小区的信息,以及一个或者多个加密算法的信息。
移动管理网元向秘钥管理网元发送秘钥请求消息的方式、以及秘钥管理网元为NSSF网元或SEAF网元时,移动管理网元与秘钥管理网元之间接口的名称,以及秘钥请求消息的具体名称,可以参考上述实施例中移动管理网元从秘钥管理网元处获取第一秘钥信息时的描述,此处不再赘述。
304、秘钥管理网元接收秘钥请求消息。
305、秘钥管理网元根据秘钥请求消息,生成一个或者多个加密算法对应的在接入网设备中的第二秘钥信息。
可以理解的是,当秘钥请求消息请求一个或者多个加密算法对应的在一个或者多个小区中的秘钥时,秘钥管理网元生成一个或者多个加密算法对应的在一个或者多个小区中的第二秘钥信息。
示例性的,秘钥管理网元可以根据秘钥派生算法生成一个或者多个加密算法对应的在一个或者多个小区中的第二秘钥信息。
需要说明的是,秘钥管理网元会根据每个加密算法,为接入网设备生成一个第二秘钥信息。即如果有多个加密算法,则秘钥管理网元会为接入网设备生成多个第二秘钥信息。当请求为接入网设备覆盖的多个小区生成第二秘钥信息时,则秘钥管理网元会为多个小区中每个小区生成多个第二秘钥信息。
例如,接入网设备通过移动管理网元上报的加密算法为IBE算法1、IBE算法2、IBE算法3。小区包括:小区1、小区2以及小区3。则秘钥管理网元根据IBE算法1为小区1、小区2以及小区3分别生成秘钥1-1、秘钥1-2以及秘钥1-3。秘钥管理网元根据IBE算法2为小区1、小区2以及小区3分别生成秘钥2-1、秘钥2-2以及秘钥2-3。秘钥管理网元根据IBE算法3为小区1、小区2以及小区3分别生成秘钥3-1、秘钥3-2以及秘钥3-3。即最终秘钥管理网元为小区1生成的秘钥为秘钥1-1、秘钥2-1以及秘钥3-1。秘钥管理网元为小区2生成的秘钥为秘钥1-2、秘钥2-2以及秘钥3-2。秘钥管理网元为小区3生成的秘钥为秘钥1-3、秘钥2-3以及秘钥3-3。
306、秘钥管理网元向移动管理网元发送秘钥响应消息。该秘钥响应消息中包括一个或者多个加密算法对应的在接入网设备中的第二秘钥信息。
可选的,该秘钥响应消息中包括一个或者多个加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二秘钥信息。
具体的,秘钥管理网元向移动管理网元发送秘钥响应消息、秘钥管理网元为NSSF网元或者SEAF网元时,秘钥管理网元与移动管理网元之间发生秘钥响应消息的接口,以及名称可以参考上述实施例中的描述,此处不再赘述。
307、移动管理网元根据接收到的秘钥响应消息获取一个或者多个加密算法对应的在接入网设备中的第二秘钥信息。
308、移动管理网元向接入网设备发送第一响应消息,该第一响应消息包括:一个或者多个加密算法对应的在接入网设备中的第二秘钥信息。
示例性的,移动管理网元可以通过NG接口向接入网设备发送第一响应消息。例如,第一响应消息可以为NG SETUP Response消息。
309、接入网设备从第一响应消息中获取一个或者多个加密算法对应的在接入网设备中的第二秘钥信息。
具体的,当接入网设备采用示例1时,第一响应消息为NG SETUP Response消息。当接入网设备采用示例2时,第一响应消息可以RAN Configuration update acknowledge消息。
图23示出了本申请实施例中终端以3GPP接入技术接入网络侧时,获取与接入网设备通信的第二公共参数,以及与移动管理网元通信时的第一公共参数的具体实施例,例如,图23中所示的阶段I(公共参数获取过程)。
401、终端通过接入网设备向AMF网元发送注册请求消息(RegistrationRequest),该注册请求消息包括终端支持的一个或者多个加密算法的信息。
具体的,终端向接入网设备发送AN消息(message)。其中,AN message包括(R)AN参数(parameters)、RM-NAS Registration Request(注册类型(Registration type),SUCI或则SUPI或者5G-GUTI,上次终端访问的跟踪区标识(last visited TAI)(if available),安全参数(Security parameters),请求的NSSAI,请求的NSSAI类型(Mapping Of RequestedNSSAI),终端5GC Capability,PDU Session状态(status),PDU Session(s)to be re-activated,Follow on request,以及MICO mode preference))。其中关键信元Registration type,SUCI or SUPI or 5G-GUTI,初始注册会携带SUCI(Subscriptionconcealed identifier)。其中,SUCI是个秘钥。
可选的,该注册请求消息还可以携带终端的GUTI。
其中,终端在初始开机或者更换注册区时,终端可以通过3GPP接入技术注册到网络侧。
402、接入网设备根据注册请求消息中的GUTI为终端选择AMF网元,并将注册请求消息发送给选择的AMF网元。
403、AMF网元发送终端认证流程。
具体的,终端认证流程包括:AMF网元收到注册请求消息之后,AMF网元会将SUCI,传给AUSF网元,AUSF网元将SUCI发给UDM网元请求签约数据。UDM网元将SUCI进行解密得到SUPI,返回给AUSF网元。AUSF网元将得到的SUPI给AMF网元,AMF网元向终端发起NAS安全功能。UDM网元选择过程,AMF网元向UDM网元请求签约数据;UDM网元向AMF网元返回签约数据;AMF网元向终端发送注册接受消息。
404、AMF网元根据加密算法的优先级列表,获取终端支持的最高优先级的加密算法。
示例性的,AMF网元处具有优先级列表,该优先级列表可以为预配置的,也可以为AMF网元自己确定的。
405、AMF网元根据最高优先级的加密算法,确定该最高优先级的加密算法对应的在AMF网元覆盖的一个或者多个区域中的第一公共参数。
示例性的,AMF网元中具有一个或者多个加密算法中每个加密算法与第一秘钥信息之间的对应关系。AMF网元根据最高优先级的加密算法,从该对应关系中确定最高优先级的加密算法对应的第一秘钥信息。
例如,AMF网元处具有第一秘钥信息1、第一秘钥信息2以及第一秘钥信息3,其中,第一秘钥信息1与加密算法1关联,第一秘钥信息2与加密算法2管理,第一秘钥信息3与加密算法3关联。如果最高优先级的加密算法为加密算法1,则AMF网元向终端发送第一秘钥信息1。
该第一秘钥信息可以是预配置的,也可以是AMF网元从NSSF网元或者SEAF网元处获取到的。具体的获取方式可以参考上述图21中的描述,此处不再赘述。
一种示例,在AMF网元接收到402后,AMF网元便可以执行上述实施例中的201-205,以获取一个或者多个加密算法对应的在AMF网元覆盖的一个或者多个区域中的第二秘钥信息。
406、AMF网元在安全流程中向终端发送NAS SMC Request消息,该NAS SMCRequest消息包括:最高优先级的加密算法对应的在AMF网元覆盖的一个或者多个区域中的公共参数以及有效时间。
407、终端向AMF网元发送NAS SMC Response消息。
408、AMF网元向接入网设备发送终端支持的一个或者多个加密算法。
409、接入网设备根据加密算法的优先级列表,获取终端支持的最高优先级的加密算法。
示例性的,接入网设备处具有优先级列表,该优先级列表可以为预配置的,也可以为AMF网元为接入网设备配置的,也可以是接入网设备自己确定的。
410、接入网设备根据最高优先级的加密算法,确定该最高优先级的加密算法对应的在接入网设备中的第二公共参数。
示例性的,接入网设备中具有与一个或者多个加密算法中每个加密算法对应的第二秘钥信息。接入网设备根据最高优先级的加密算法,从与一个或者多个加密算法中每个加密算法对应的第二秘钥信息中确定最高优先级的加密算法对应的第二秘钥信息。
接入网设备中的第二秘钥信息可以是预配置的,也可以是接入网设备从AMF网元处获取到的。具体的获取方式可以参考上述图22中的描述,此处不再赘述。
一种示例,在接入网设备接收到401后,接入网设备网元便可以执行上述实施例中的301-309,以获取一个或者多个加密算法对应的在接入网设备覆盖的一个或者多个小区中的第二私钥信息或者在接入网设备中的第二私钥信息。
411、接入网设备向终端发送AS SMC Request消息,该AS SMC Request消息包括:最高优先级的加密算法对应的在接入网设备中的公共参数以及有效时间。
412、终端向接入网设备发送AS SMC Response消息。
作为本申请的另一个实施例,终端在获取到与AMF网元通信时使用的公共参数和与接入网设备通信时使用的公共参数后,还可以包括如图23所示的阶段II(加密信息的发送过程)
413、终端获取广播消息,该广播消息中包括接入网设备的信息以及TAI List。这样便于终端根据接入网设备的信息向接入网设备的信息指示的接入网设备发送随机接入过程,以接入该接入网设备。
可选的,该广播消息还可以包括接入网设备覆盖的一个或者多个小区的信息。然后终端可以从一个或者多个小区中选择一个小区,并接入该小区。
414、终端根据接入网设备的信息,选择优先级最高的加密算法对应的在接入网设备中的第二公共参数以及接入网设备的信息加密发送给接入网设备的NSSAI,得到第二NSSAI,并上报有效时间2。
415、终端根据TAI List,选择一个TAI,并使用AMF网元发送的优先级最高的加密算法对应的在TAI所指示的TA中的第一公共参数和该TA的标识信息加密发送给AMF网元的NSSAI,得到第一NSSAI,并上报有效时间1。
416、接入网设备根据有效时间1确定与第二公共参数加密关联的第二私钥,如果确定第二私钥未过期或者在时间不同步的保护时间内,则根据有效时间2对应的第二私钥对第二NSSAI解密以得到NSSAI。
417、接入网设备向AMF网元发送第一NSSAI和有效时间1。
418、AMF网元对接收到的第一NSSAI,如果正确解密便可以得到NSSAI。
需要说明的是,如果接入网设备未正确解密第二NSSAI则接入网设备重新为终端选择第二公共参数。或者AMF网元未正确解密第一NSSAI,则AMF网元重新为终端选择第一公共参数。此外,如果接入网设备未正确解密第二NSSAI,则接入网设备可以将第一NSSAI发送给默认AMF网元。
如图24所示,图24示出了终端以非3GPP接入技术接入网络时与核心网和接入网设备之间交互的流程示意图。
501、终端使用non-3GPP接入技术接入网络。
具体的,步骤S501的实现可以参见现有技术,本申请对此不进行限定。
具体的,终端向non-3GPP接入技术中的接入网设备发送终端所选择的N3IWF的地址。
502、在终端具有与网络之间的安全上下文的情况下,终端和N3IWF交互IKE_SA_INIT消息。IKE_SA_INIT消息的具体内容和功能可以参考现有技术中的描述。
503、终端向N3IWF发送网络密钥交换协议鉴权请求消息(Internet Key Exchangeprotocol authentication Request,IKE_AUTH_Request)。
该IKE_AUTH_Request消息中携带终端的标识信息,IKE_AUTH_Request消息中可以不携带鉴权参数。
504、N3IWF向终端发送针对IKE_AUTH_Request消息的回复消息,该针对IKE_AUTH_Request消息的回复消息用于指示终端开始5G鉴权流程。
可选的,针对IKE_AUTH_Request消息的回复消息中携带EAP-5G-Request消息/5G-Start消息。
505、终端向N3IWF发送IKE_AUTH Request消息,该IKE_AUTH Request消息用于终端注册到AMF。该IKE_AUTH Request消息中携带注册请求消息以及终端支持的一个或者多个加密算法的信息。
可选的,该IKE_AUTH Request消息中包括EAP-5G-Response/5G-NAS消息,以及加密后的NSSAI(Enc NSSAI)。
其中,EAP-5G-Response/5G-NAS消息中含有NAS-协议数据单元(protocol dataunit,PDU),NAS PDU中含有注册请求消息,该注册请求消息用于终端向AMF注册。
可以理解的是,当终端已通过3GPP接入技术注册到该AMF的情况下,此处的注册请求可以用于终端通过非3GPP接入技术注册到AMF。
可选的,注册请求消息携带有终端的临时身份信息,例如,GUTI,密钥标识信息ngKSI。该注册请求消息被ngKSI标识的NAS完整性密钥做完整性保护。
506、N3IWF首先根据GUTI中信息,选择一个AMF网元。
具体的,N3IWF根据GUTI找到GUTI标识确定AMF/SEAF网元,N3IWF将注册请求消息发送给AMF/SEAF网元。
507、N3IWF向AMF网元发送注册请求消息,该注册请求消息中携带终端支持的一个或者多个加密算法以及Enc NSSAI。
示例性的,该注册请求消息可以携带在N2接口消息中发送给AMF网元。
508、AMF网元解密Enc NSSAI之后,向N3IWF发送N2接口消息,以获取身份响应(indentity Response)消息,该N2接口消息中包括身份请求(indentity Request)消息。
具体的,N3IWF向终端发送IKE_AUTH Request消息,该IKE_AUTH Request消息中携带EAP-5G-Request消息/5G-NAS消息,以及身份请求消息。终端向N3IWF发送IKE_AUTHResponse消息,该IKE_AUTH Response消息中携带EAP-5G-Response消息/5G-NAS消息,以及身份响应消息。
示例性的,indentity Response消息包括终端的身份标识以及终端的安全能力。
其中,EAP-5G-Request消息中含有NAS-PDU,NAS PDU中含有身份请求消息。EAP-5G-Response消息中含有NAS-PDU,NAS PDU中含有身份响应消息。
509、AMF网元向AUSF网元发送AAA key Request消息,该AAA key Request消息中包括SUCI或者SUPI。
510、AUSF网元向AMF网元发送AAA key Response消息,该AAA key Response消息中包括EAP-请求(Request,REQ)/AKA-Challenge消息。
511、AMF网元向N3IWF发送N2接口消息,该N2接口消息包括EAP-请求(Request,REQ)/AKA-Challenge消息。
示例性的,N2接口消息中具有AUTH Request消息,EAP-请求(Request,REQ)/AKA-Challenge消息位于AUTH Request消息中。
512、N3IWF向终端发送IKE_AUTH Request消息。该IKE_AUTH Request消息中携带EAP-请求(Request,REQ)/AKA-Challenge消息。
具体的,IKE_AUTH Request消息的内容可以参考上述,AUTH Request消息位于NAS-PDU中。
513、终端向N3IWF发送IKE_AUTH Response消息,IKE_AUTH Response消息携带EAP-响应/AKA-Challenge消息。
具体的,IKE_AUTH Response消息的内容可以参考上述描述,EAP-响应/AKA-Challenge消息位于NAS-PDU中。可选的,EAP-响应/AKA-Challenge消息位于AUTH Response消息中。AUTH Response消息位于NAS-PDU中。
514、N3IWF向AMF网元发送N2接口消息,该N2接口消息包括:EAP-响应/AKA-Challenge。
515、AMF网元向AUSF网元发送AAA消息,该AAA消息中包括EAP-响应/AKA-Challenge。
516、AUSF网元向AMF网元发送AAA key Response消息,该AAA key Response消息中包括SEAF key(秘钥信息)以及用于指示鉴权成功的消息(例如,EAP-Success)。
517、AMF网元向N3IWF发送N2消息。该N2消息中包括安全模式(security Mode),以及命令消息。该命令消息包括:用于指示鉴权成功的消息和终端支持的第一加密算法对应的在AMF网元覆盖的一个或者多个TA中的第一公共参数、第一时间信息以及私钥sk。
518、N3IWF向终端发送IKE_AUTH Request消息。该IKE_AUTH Request消息中包括:第一加密算法对应的在AMF网元覆盖的一个或者多个TA中的第一公共参数、第一时间信息以及私钥sk、用于指示鉴权成功的消息。
可以理解的是,518之后还可以包括如图23所描述的阶段II。此处不再赘述。
上述主要从各个网元之间交互的角度对本申请实施例的方案进行了介绍。可以理解的是,各个网元,例如安全通信装置、加密信息确定装置、秘钥信息生成装置等为了实现上述功能,其包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例安全通信装置、加密信息确定装置、秘钥信息生成装置进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
下面以采用对应各个功能划分各个功能模块为例进行说明:
在采用集成的单元的情况下,图25示出了上述实施例中所涉及的一种通信装置的一种可能的结构示意图,该通信装置可以为安全通信装置、加密信息确定装置或者生成秘钥信息的装置中任一种。
如图25所示,该通信装置包括:处理单元201和发送单元202。可选的,该通信装置还可以包括:接收单元203。
一种示例,当该通信装置为安全通信装置,安全通信装置可以为终端,或者为应用于终端中的芯片的情况下,处理单元201用于支持一种安全通信装置执行上述实施例中的步骤S101、S102、S108、S1081。发送单元202用于支持一种安全通信装置执行上述实施例中的步骤S103、S1041。
一种可能的实现方式中,接收单元203,用于支持一种安全通信装置执行上述实施例中的步骤S1082、S1083。
另一种示例,当该通信装置为加密信息确定装置,加密信息确定装置可以为移动管理网元,或者为移动管理网元中的芯片的情况下。其中,处理单元201用于支持加密信息确定装置执行上述实施例中的步骤S104、S1042、以及S1046。发送单元202用于支持加密信息确定装置执行上述实施例中的步骤S105、S1051、S1043、S1052。
一种可能的实现方式中,接收单元203,用于支持加密信息确定装置执行上述实施例中接收终端注册请求消息的步骤、S1045以及S111。
另一种可能的实现方式中,发送单元202还用于支持加密信息确定装置执行上述实施例中的步骤201、接收单元203还用于支持加密信息确定装置执行上述实施例中步骤205。
又一种可能的实现方式中,发送单元202还用于支持加密信息确定装置执行上述实施例中的步骤303、步骤308,接收单元203还用于支持加密信息确定装置执行上述实施例中步骤302、步骤307。
再一种示例,当该通信装置为加密信息确定装置,加密信息确定装置可以为接入网设备,或者为接入网设备中的芯片的情况下,其中处理单元201用于支持加密信息确定装置执行上述实施例中的步骤S106、S1061、以及S1066。发送单元202用于支持加密信息确定装置执行上述实施例中的S107、S1063、S1072、S1073以及S110。
一种可能的实现方式中,接收单元203还用于支持加密信息确定装置执行上述实施例中的S1062以及S1065以及S109。
另一种可能的实现方式中,发送单元202还用于支持加密信息确定装置执行步骤301、以及步骤309。
又一种示例,当该通信装置为生成秘钥信息的装置,生成秘钥信息的装置为秘钥管理网元或者为应用于秘钥管理网元中的芯片的情况下,生成秘钥信息的装置用于执行以下可能的实现方式中的一个或者多个:
一种可能的实现方式中:接收单元203用于支持生成秘钥信息的装置执行步骤202、处理单元201用于支持生成秘钥信息的装置执行步骤203、发送单元202用于支持生成秘钥信息的装置执行步骤204。
另一种可能的实现方式中:接收单元203用于支持生成秘钥信息的装置执行步骤304、处理单元201用于支持生成秘钥信息的装置执行步骤305、发送单元202用于支持生成秘钥信息的装置执行步骤306。
可以理解的是,当该通信装置为生成秘钥信息的装置时,接收单元203为必要的功能单元。
上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在采用集成的单元的情况下,图26示出了上述实施例中所涉及的一种通信装置的一种可能的逻辑结构示意图,该通信装置可以为安全通信装置、加密信息确定装置或者生成秘钥信息的装置中任一种。
如图26所示,该通信装置包括:处理模块212和通信模块213。可选的,该通信装置还可以包括:存储模块211,用于存储一种通信装置的程序代码和数据。
其中,处理模块212用于对通信装置的动作进行控制管理,例如,处理模块212用于执行在通信装置侧进行消息或数据处理的步骤,通信模块213用于在通信装置侧进行消息或数据处理的步骤。
一种示例,当该通信装置为安全通信装置,安全通信装置可以为终端,或者为应用于终端中的芯片的情况下,处理模块212用于支持安全通信装置执行上述实施例中的步骤S101、S102、S108、S1081。通信模块213用于支持一种安全通信装置执行上述实施例中的S103、S1041。
一种可能的实现方式中,通信模块213还用于支持一种安全通信装置执行上述实施例中的S1082、S1083。和/或用于本文所描述的技术的其他由一种安全通信装置执行的过程。
另一种示例,当该通信装置为加密信息确定装置,加密信息确定装置可以为移动管理网元,或者为移动管理网元中的芯片的情况下。其中,处理模块212用于支持加密信息确定装置执行上述实施例中的步骤S104、S1042、以及S1046。通信模块213用于支持加密信息确定装置执行上述实施例中的步骤S105、S1051、S1043、S1052。
一种可能的实现方式中,通信模块213,用于支持加密信息确定装置执行上述实施例中接收终端注册请求消息的步骤、S1045以及S111。
另一种可能的实现方式中,通信模块213还用于支持加密信息确定装置执行上述实施例中的步骤201、通信模块213还用于支持加密信息确定装置执行上述实施例中步骤205。
又一种可能的实现方式中,通信模块213还用于支持加密信息确定装置执行上述实施例中的步骤303、308,通信模块213还用于支持加密信息确定装置执行上述实施例中步骤302、307。
再一种示例,当该通信装置为加密信息确定装置,加密信息确定装置可以为接入网设备,或者为接入网设备中的芯片的情况下,其中处理模块212用于支持加密信息确定装置执行上述实施例中的步骤S106、S1061、以及S1066。通信模块213用于支持加密信息确定装置执行上述实施例中的S107、S1063、S1072、S1073以及S110。
一种可能的实现方式中,通信模块213还用于支持加密信息确定装置执行上述实施例中的S1062以及S1065以及S109。
另一种可能的实现方式中,通信模块213还用于支持加密信息确定装置执行步骤301、以及309。
又一种示例,当该通信装置为生成秘钥信息的装置,生成秘钥信息的装置为秘钥管理网元或者为应用于秘钥管理网元中的芯片的情况下,生成秘钥信息的装置用于执行以下可能的实现方式中的一个或者多个:
一种可能的实现方式中:通信模块213用于支持生成秘钥信息的装置执行步骤202、处理模块212用于支持生成秘钥信息的装置执行步骤203,通信模块213还用于支持生成秘钥信息的装置执行步骤204。
另一种可能的实现方式中:通信模块213用于支持生成秘钥信息的装置执行步骤304、处理模块212用于支持生成秘钥信息的装置执行步骤305、通信模块213还用于支持生成秘钥信息的装置执行步骤306。
其中,处理模块212可以是处理器或控制器,例如可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包括一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。通信模块213可以是通信接口、收发器、收发电路或接口电路等。存储模块211可以是存储器。
当处理模块212为处理器1211,通信模块213为接口电路或收发器1212时,存储模块211为存储器1213时,本申请所涉及的安全通信装置可以为图10所示的设备。
例如,收发器1212支持一种安全通信装置执行S103、S1041、S1082、S1083。处理器1211用于支持一种安全通信装置执行存储器1213中存储的程序代码和数据以实现本申请提供的S101、S102、S108以及S1081。
当处理模块212为处理器1111,通信模块213为接口电路或收发器1113时,存储模块211为存储器1112时,本申请所涉及的加密信息确定装置可以为图9所示的设备。
例如,收发器1111支持加密信息确定装置执行S107、S1063、S1072、S1073以及S110。处理器1111用于支持一种安全通信装置执行存储器1112中存储的程序代码和数据以实现本申请提供的S106、S1061、以及S1066。
一种可能的实现方式中,收发器1111还用于支持加密信息确定装置执行上述实施例中的S1062以及S1065以及S109。
另一种可能的实现方式中,收发器1111还用于支持加密信息确定装置执行步骤301、以及309。
当处理模块212为处理器2111,通信模块213为接口电路或通信接口2113时,存储模块211为存储器2112时,本申请所涉及的加密信息确定装置可以为图11所示的设备。
一种可能的实现方式中:通信接口2113用于支持生成秘钥信息的装置执行步骤202、处理器2111用于支持生成秘钥信息的装置执行步骤203,通信接口2113还用于支持生成秘钥信息的装置执行步骤204。
另一种可能的实现方式中:通信接口2113用于支持生成秘钥信息的装置执行步骤304、处理器2111用于支持生成秘钥信息的装置执行步骤305、通信接口2113还用于支持生成秘钥信息的装置执行步骤306。
需要说明的是,本申请实施例中涉及接收单元、处理单元(或用于接收/获取的单元)是一种该装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该接收单元是该芯片用于从其它芯片或装置接收信号的接口电路。以上发送单元、传输单元(或用于发送/传输的单元)是一种该装置的接口电路,用于向其它装置发送信号。例如,当该装置以芯片的方式实现时,该发送单元是该芯片用于向其它芯片或装置发送信号的接口电路。本申请实施例中的处理单元,确定单元是一种该装置的处理器,用于处理接收到的信号或者处理自身的信号。例如,当该装置以芯片的方式实现时,该处理单元,确定单元是该芯片用于处理接收到的其它芯片或装置的信号的处理器。
图27是本发明实施例提供的芯片150的结构示意图。芯片150包括一个或两个以上(包括两个)处理器1510和接口电路1530。
可选的,该芯片150还包括存储器1540,存储器1540可以包括只读存储器和随机存取存储器,并向处理器1510提供操作指令和数据。存储器1540的一部分还可以包括非易失性随机存取存储器(non-volatile random access memory,NVRAM)。
在一些实施方式中,存储器1540存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
在本发明实施例中,通过调用存储器1540存储的操作指令(该操作指令可存储在操作系统中),执行相应的操作。
一种可能的实现方式中为:安全通信装置、加密信息确定装置或者生成秘钥信息的装置所用的芯片的结构类似,不同的装置可以使用不同的芯片以实现各自的功能。
处理器1510控制安全通信装置、加密信息确定装置或者生成秘钥信息的装置的操作,处理器1510还可以称为中央处理单元(central processing unit,CPU)。存储器1540可以包括只读存储器和随机存取存储器,并向处理器1510提供指令和数据。存储器1540的一部分还可以包括非易失性随机存取存储器(non-volatile random access memory,NVRAM)。例如应用中存储器1540、接口电路1530以及存储器1540通过总线系统1520耦合在一起,其中总线系统1520除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图27中将各种总线都标为总线系统1520。
上述本发明实施例揭示的方法可以应用于处理器1510中,或者由处理器1510实现。处理器1510可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1510中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1510可以是通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1540,处理器1510读取存储器1540中的信息,结合其硬件完成上述方法的步骤。
一种可能的实现方式中,接口电路1530用于执行图13-图15、图17、图19-图22所示的实施例中的终端、移动管理网元、接入网设备、秘钥管理网元的接收和发送的步骤。处理器1510用于执行图13-图15、图17、图19-图22所示的实施例中的终端、移动管理网元、接入网设备、秘钥管理网元处理的步骤。
在上述实施例中,存储器存储的供处理器执行的指令可以以计算机程序产品的形式实现。计算机程序产品可以是事先写入在存储器中,也可以是以软件形式下载并安装在存储器中。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘solid statedisk,SSD)等。
一方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得终端或者应用于终端中的芯片执行实施例中的S101、S102、S103、S1041、S108、S1081、S1082、S1083。和/或用于本文所描述的技术的其他由终端或者应用于终端中的芯片执行的过程。
又一方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得移动管理网元或者应用于移动管理网元中的芯片执行实施例中的S104、S1042、S1046、S105、S1051、S1043、S1052、接收终端注册请求消息的步骤、S1045以及S111、步骤201步骤205、步骤303、步骤302、步骤307、步骤308。和/或用于本文所描述的技术的其他由移动管理网元或者应用于移动管理网元中的芯片执行的过程。
再一方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得接入网设备或者应用于接入网设备中的芯片执行实施例中的S106、S1061、以及S1066、S107、S1063、S1072、S1073以及S110、S1062以及S1065以及S109步骤301、以及步骤309。和/或用于本文所描述的技术的其他由接入网设备或者应用于接入网设备中的芯片执行的过程。
另一方面,提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令被运行时,使得秘钥管理网元或者应用于秘钥管理网元中的芯片执行实施例中的步骤202、步骤203、以及步骤204;和/或执行步骤304、步骤305、步骤306。
前述的可读存储介质可以包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得终端或者应用于终端中的芯片执行实施例中的S101、S102、S103、S1041、S108、S1081、S1082、S1083。和/或用于本文所描述的技术的其他由终端或者应用于终端中的芯片执行的过程。
另一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得移动管理网元或者应用于移动管理网元中的芯片执行实施例中的S104、S1042、S1046、S105、S1051、S1043、S1052、接收终端注册请求消息的步骤、S1045以及S111、步骤201步骤205、步骤303、步骤302、步骤307、步骤308。和/或用于本文所描述的技术的其他由移动管理网元或者应用于移动管理网元中的芯片执行的过程。
另一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得接入网设备或者应用于接入网设备中的芯片执行实施例中的S106、S1061、以及S1066、S107、S1063、S1072、S1073以及S110、S1062以及S1065以及S109步骤301、以及步骤309。和/或用于本文所描述的技术的其他由接入网设备或者应用于接入网设备中的芯片执行的过程。
另一方面,提供一种包括指令的计算机程序产品,计算机程序产品中存储有指令,当指令被运行时,使得秘钥管理网元或者应用于秘钥管理网元中的芯片执行实施例中的步骤202、步骤203、以及步骤204;和/或执行步骤304、步骤305、步骤306。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriber line,简称DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,简称SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看附图、公开内容、以及所附权利要求书,可理解并实现公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。

Claims (38)

1.一种安全通信方法,其特征在于,应用于终端,所述终端中具有所述终端支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,所述方法包括:
所述终端使用所述第一公共参数和所述移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息,得到NAS层加密信息;
所述终端使用所述第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息,得到AS层加密信息;
所述终端向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息。
2.根据权利要求1所述的一种安全通信方法,其特征在于,所述终端加密所述AS层信息使用的第二公共参数根据所述接入网设备指示的第一加密算法确定。
3.根据权利要求1所述的一种安全通信方法,其特征在于,所述第一加密算法对应的在接入网设备中的第二公共参数,包括:所述接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数;
所述终端加密所述AS层信息使用的第二公共参数为所述终端从至少一个第一加密算法中选择的第一加密算法对应的在所述接入网设备中的第二公共参数。
4.根据权利要求3所述的一种安全通信方法,其特征在于,所述终端向所述接入网设备发送所述AS层加密信息,还包括:
所述终端向所述接入网设备发送第一指示信息,所述第一指示信息用于确定被选择的第一加密算法。
5.根据权利要求1-4任一项所述的一种安全通信方法,其特征在于,所述终端中还具有第一时间信息和第二时间信息,其中,所述第一时间信息用于指示所述第一公共参数关联的第一私钥是否在可用时间内,所述第二时间信息用于指示所述第二公共参数关联的第二私钥是否在可用时间内;
所述终端向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息,还包括:
所述终端向所述接入网设备发送所述第二时间信息以及所述第一时间信息。
6.根据权利要求1-5任一项所述的一种安全通信方法,其特征在于,所述方法还包括:所述终端获取所述第一加密算法对应的第一信息,所述第一信息包括在所述移动管理网元中的第一公共参数和第一时间信息,以及在所述接入网设备中的第二公共参数和第二时间信息。
7.根据权利要求6所述的一种安全通信方法,其特征在于,所述终端获取所述第一加密算法对应的第一信息,包括:
所述终端接收所述移动管理网元发送的非接入层安全模式命令NAS SMC请求消息,所述NAS SMC请求消息包括所述第一公共参数和第一时间信息,和/或所述第二公共参数和第二时间信息;或者,
所述终端接收所述接入设备发送的接入层安全模式命令AS SMC请求消息,所述AS SMC请求消息包括所述第二公共参数和第二时间信息;或者,
所述终端接收切换命令消息,所述切换命令消息包括:所述第一加密算法对应的在所述接入网设备中的第二公共参数和第二时间信息,和/或所述第一加密算法对应的在所述移动管理网元中的第一公共参数和第一时间信息,所述切换命令消息用于指示切换至所述接入网设备;
或者,所述终端接收用于指示鉴权成功的消息,所述用于指示鉴权成功的消息包括所述第一公共参数和第一时间信息。
8.根据权利要求1-7任一项所述的一种安全通信方法,其特征在于,所述第一公共参数,包括:所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;
所述NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。
9.根据权利要求1-8任一项所述的一种安全通信方法,其特征在于,所述第二公共参数,包括:所述接入网设备覆盖的一个或者多个小区分别对应的第二公共参数,
所述AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。
10.一种安全通信装置,其特征在于,所述安全通信装置中具有所述安全通信装置支持的第一加密算法对应的在移动管理网元中的第一公共参数和在接入网设备中的第二公共参数,所述安全通信装置包括:
处理单元,用于使用所述第一公共参数和所述移动管理网元的信息加密发送给所述移动管理网元的非接入NAS层信息,得到NAS层加密信息;
所述处理单元,还用于使用所述第二公共参数和所述接入网设备的信息加密发送给所述接入网设备的接入AS层信息,得到AS层加密信息;
发送单元,用于向所述接入网设备发送所述AS层加密信息以及所述NAS层加密信息。
11.根据权利要求10所述的一种安全通信装置,其特征在于,所述处理单元加密所述AS层信息使用的第二公共参数由所述接入网设备指示的第一加密算法确定。
12.根据权利要求10所述的一种安全通信装置,其特征在于,所述第一加密算法对应的在接入网设备中的第二公共参数,包括:所述接入网设备的一个或者多个第一加密算法中的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数;
所述处理单元加密所述AS层信息使用的第二公共参数为所述处理单元从至少一个第一加密算法中选择的第一加密算法对应的在所述接入网设备中的第二公共参数。
13.根据权利要求12所述的一种安全通信装置,其特征在于,所述发送单元,还用于向所述接入网设备发送第一指示信息,所述第一指示信息用于确定被选择的第一加密算法。
14.根据权利要求10-13任一项所述的一种安全通信装置,其特征在于,所述安全通信装置还具有第一时间信息和第二时间信息,其中,所述第一时间信息用于指示所述第一公共参数关联的第一私钥是否在可用时间内,所述第二时间信息用于指示所述第二公共参数关联的第二私钥是否在可用时间内;
所述发送单元,还用于向所述接入网设备发送所述第二时间信息以及所述第一时间信息。
15.根据权利要求10-14任一项所述的一种安全通信装置,其特征在于,所述处理单元,还用于获取所述第一加密算法对应的第一信息,所述第一信息包括在所述移动管理网元中的第一公共参数和第一时间信息,以及在所述接入网设备中的第二公共参数和第二时间信息。
16.根据权利要求15所述的一种安全通信装置,其特征在于,所述安全通信装置,还包括:
接收单元,用于接收所述移动管理网元发送的非接入层安全模式命令NAS SMC请求消息,所述NAS SMC请求消息包括所述第一公共参数和第一时间信息,和/或所述第二公共参数和第二时间信息;或者,
用于接收所述接入设备发送的接入层安全模式命令AS SMC请求消息,所述AS SMC请求消息包括所述第二公共参数和第二时间信息;或者,
用于接收切换命令消息,所述切换命令消息包括:所述第一加密算法对应的在所述接入网设备中的第二公共参数和第二时间信息,和/或所述第一加密算法对应的在所述移动管理网元中的第一公共参数和第一时间信息,所述切换命令消息用于指示切换至所述接入网设备;或者,
用于接收用于指示鉴权成功的消息,所述用于指示鉴权成功的消息包括所述第一公共参数和第一时间信息。
17.根据权利要求10-16任一项所述的一种安全通信装置,其特征在于,所述第一公共参数,包括:所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;
所述NAS层加密信息根据所述一个或者多个注册区域中所述终端所在的注册区域的第一公共参数以及所在注册区域的信息对NAS层信息加密得到。
18.根据权利要求10-17任一项所述的一种安全通信装置,其特征在于,所述第二公共参数,包括:所述接入网设备覆盖的一个或者多个小区分别对应的第二公共参数,
所述AS层加密信息根据所述一个或者多个小区中所述终端所接入的小区的信息以及所接入小区的第二公共参数对所述AS层信息加密得到。
19.一种加密信息确定方法,其特征在于,包括:
移动管理网元获取终端支持的第一加密算法对应的第一信息,所述第一信息包括:在所述移动管理网元/目标移动管理网元中的第一公共参数,和/或在接入网设备中的第二公共参数,所述第一公共参数用于加密所述终端发送给所述移动管理网元/所述目标移动管理网元的非接入NAS层信息;所述第二公共参数用于加密所述终端发送给所述接入网设备的接入AS层信息;
所述移动管理网元发送所述第一信息。
20.根据权利要求19所述的一种加密信息确定方法,其特征在于,所述移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:
所述移动管理网元接收到所述终端发送的注册请求消息后,从第一秘钥信息中获取所述第一公共参数,和/或,从第二秘钥信息中获取所述终端支持的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数,其中,所述第二秘钥信息至少包括所述终端支持的至少一个第一加密算法对应的在所述接入网设备中的第二公共参数,所述第一秘钥信息包括:所述终端支持的一个或者多个加密算法对应的在所述移动管理网元中的第一公共参数,所述终端支持的至少一个第一加密算法为所述接入网设备的一个或者多个第一加密算法中的加密算法。
21.根据权利要求19或20所述的一种加密信息确定方法,其特征在于,所述移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:
所述移动管理网元接收所述目标移动管理网元发送的第一响应消息,所述第一响应消息包括:所述第一加密算法对应的在所述目标移动管理网元中的所述第一公共参数和在所述接入网设备中的第二公共参数,所述第一响应消息用于指示建立所述终端和所述目标移动管理网元之间的连接;或者,
所述移动管理网元在接收到用于请求建立所述终端和所述目标移动管理网元之间连接的请求消息后,获取所述第一加密算法对应的在所述移动管理网元中的第一公共参数,和在所述接入网设备中的第二公共参数。
22.根据权利要求19-21任一项所述的一种加密信息确定方法,其特征在于,所述方法还包括:
所述移动管理网元接收所述终端发送的NAS层加密信息;
所述移动管理网元获取终端支持的第一加密算法对应的第一信息,包括:
所述移动管理网元确定未正确解密所述NAS层加密信息的情况下,所述移动管理网元根据第一加密算法,从第一秘钥信息中获取所述第一公共参数。
23.根据权利要求22所述的一种加密信息确定方法,其特征在于,所述移动管理网元接收所述终端发送的NAS层加密信息,还包括:
所述移动管理网元接收所述终端发送的第一时间信息;
所述移动管理网元确定未正确解密所述NAS层加密信息,包括:
所述移动管理网元根据所述第一时间信息,确定所述第一时间信息对应的第一私钥;
在确定所述第一私钥不在所述第一时间信息指示的时间内,所述移动管理网元确定未正确解密所述NAS层加密信息。
24.根据权利要求19-23任一项所述的一种加密信息确定方法,其特征在于,所述方法还包括:
所述移动管理网元向秘钥管理网元请求一个或者多个加密算法对应的在移动管理网元中的第一秘钥信息;
所述移动管理网元接收所述秘钥管理网元发送的所述一个或者多个加密算法的信息以及所述第一秘钥信息,所述第一秘钥信息包括第一公共参数、与所述第一公共参数对应的第一私钥以及所述第一私钥关联的第一时间信息。
25.根据权利要求19-24任一项所述的一种加密信息确定方法,其特征在于,所述方法还包括:
所述移动管理网元接收所述接入网设备发送的第一请求消息,所述第一请求消息用于请求所述终端支持的一个或者多个加密算法在所述接入网设备中的第二秘钥信息;
所述移动管理网元根据所述第一请求消息,获取所述第二秘钥信息,所述第二秘钥信息包括所述第二公共参数、与所述第二公共参数对应的第二私钥以及所述第二私钥关联的第二时间信息;
所述移动管理网元向所述接入网设备发送所述第二秘钥信息。
26.根据权利要求19-25任一项所述的一种加密信息确定方法,其特征在于,所述移动管理网元发送所述第一信息,包括:
所述移动管理网元向所述终端发送用于指示终端鉴权成功的消息,所述用于指示终端鉴权成功的消息包括所述第一公共参数和第一时间信息;或者,
所述移动管理网元向所述终端发送所述非接入层安全模式命令NAS SMC请求消息,所述NAS SMC请求消息包括所述第一公共参数和第一时间信息,和/或所述第二公共参数和第二时间信息,或者,
所述移动管理网元向接入网设备发送切换确认消息,所述切换确认消息包括所述第一加密算法对应的在目标移动管理网元中的第一公共参数和第一时间信息、以及在目标接入网设备中的第二公共参数和第二时间信息,所述目标接入网设备用于在切换后为所述终端提供服务。
27.根据权利要求19-26任一项所述的一种加密信息确定方法,其特征在于,
所述第一公共参数,包括:所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;
所述第二公共参数,包括:所述接入网设备覆盖的一个或者多个小区分别对应的第二公共参数。
28.一种加密信息确定方法,其特征在于,包括:
接入网设备获取终端支持的第一加密算法的第一信息,所述第一信息包括:在移动管理网元/目标移动管理网元中的第一公共参数,和/或在所述接入网设备/目标接入网设备中的第二公共参数,其中,所述第一公共参数用于加密非接入NAS层信息;所述第二公共参数用于加密AS层信息;
所述接入网设备向所述终端发送所述第一信息。
29.根据权利要求28所述的一种加密信息确定方法,其特征在于,所述接入网设备获取终端支持的第一加密算法的第一信息,包括:
所述接入网设备在获取到所述终端发送的注册请求消息后,从第二秘钥信息中获取所述第二公共参数,所述第二秘钥信息至少包括所述第一加密算法对应的在所述接入网设备中的第二公共参数。
30.根据权利要求28或29所述的一种加密信息确定方法,其特征在于,所述接入网设备获取终端支持的第一加密算法的第一信息,包括:
所述接入网设备接收切换确认请求消息,所述切换确认请求消息至少包括:所述第一加密算法对应的在所述目标接入网设备中的第二公共参数,和/或在所述目标移动管理网元中的第一公共参数,其中,所述目标移动管理网元用于在切换后为终端提供控制面和用户面服务,所述目标接入网设备用于在切换后为所述终端服务;或者,
所述接入网设备在接收到切换请求消息后,从第二秘钥信息中获取所述第二公共参数,所述接入网设备为切换后为终端提供服务的接入网设备。
31.根据权利要求28-30任一项所述的一种加密信息确定方法,其特征在于,所述方法还包括:
所述接入网设备接收所述终端发送的AS层加密信息;
所述接入网设备确定未正确解密所述AS层加密信息的情况下,所述接入网设备获取所述第二公共参数。
32.根据权利要求31所述的一种加密信息确定方法,其特征在于,所述接入网设备接收所述终端发送的AS层加密信息,还包括:
所述接入网设备接收所述终端发送的所述第二公共参数对应的第二时间信息;
相应的,所述接入网设备确定未正确解密所述AS层加密信息,包括:
所述接入网设备根据所述第二时间信息,确定所述第二公共参数对应的第二私钥;
在所述第二私钥不在所述第二时间信息指示的可用时间内,所述接入网设备确定未正确解密所述AS层加密信息。
33.根据权利要求28-32任一项所述的一种加密信息确定方法,其特征在于,所述方法还包括:
所述接入网设备向所述移动管理网元请求所述终端支持的一个或者多个加密算法对应的在所述接入网设备中的第二秘钥信息;
所述接入网设备接收所述移动管理网元发送的一个或者多个加密算法的信息和所述第二秘钥信息,所述第二秘钥信息包括所述第二公共参数、所述第二公共参数关联的第二私钥以及与所述第二私钥对应的第二时间信息。
34.根据权利要求28-33任一项所述的一种加密信息确定方法,其特征在于,所述第一公共参数,包括:所述移动管理网元覆盖的一个或者多个注册区域分别对应的第一公共参数;
所述第二公共参数,包括:所述接入网设备/所述目标接入网设备覆盖的一个或者多个小区分别对应的第二公共参数。
35.根据权利要求29-34任一项所述的一种加密信息确定方法,其特征在于,所述接入网设备向所述终端发送所述第一信息,包括:
所述接入网设备向所述终端发送切换命令消息,所述切换命令消息包括:所述第一加密算法对应的在所述目标接入网设备中的所述第二公共参数和第二时间信息,和/或在所述移动管理网元中的第一公共参数和第一时间信息;所述移动管理网元用于在切换后为所述终端提供控制面和用户面服务;或者,
所述接入网设备向所述终端发送接入层安全模式命令AS SMC请求消息,所述AS SMC请求消息包括所述第二公共参数和第二时间信息。
36.一种通信装置,包括处理器,所述处理器与存储器耦合,并运行所述存储器内的指令或程序,以执行如权利要求19-27任一项所述的一种加密信息确定方法。
37.一种通信装置,其特征在于,包括处理器,所述处理器与存储器耦合,并运行所述存储器内的指令或程序,以执行如权利要求28-35任一项所述的一种加密信息确定方法。
38.一种安全通信装置,其特征在于,包括处理器,所述处理器与存储器耦合,并运行所述存储器内的指令或程序,以执行如权利要求1-9任一项所述的一种安全通信方法。
CN201811138486.XA 2018-09-28 2018-09-28 一种安全通信方法、加密信息确定方法及装置 Withdrawn CN110972135A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201811138486.XA CN110972135A (zh) 2018-09-28 2018-09-28 一种安全通信方法、加密信息确定方法及装置
PCT/CN2019/107320 WO2020063540A1 (zh) 2018-09-28 2019-09-23 一种安全通信方法、加密信息确定方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811138486.XA CN110972135A (zh) 2018-09-28 2018-09-28 一种安全通信方法、加密信息确定方法及装置

Publications (1)

Publication Number Publication Date
CN110972135A true CN110972135A (zh) 2020-04-07

Family

ID=69950313

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811138486.XA Withdrawn CN110972135A (zh) 2018-09-28 2018-09-28 一种安全通信方法、加密信息确定方法及装置

Country Status (2)

Country Link
CN (1) CN110972135A (zh)
WO (1) WO2020063540A1 (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114079915A (zh) * 2020-08-06 2022-02-22 华为技术有限公司 确定用户面安全算法的方法、系统及装置
WO2023225824A1 (zh) * 2022-05-23 2023-11-30 北京小米移动软件有限公司 设备入网的方法、装置、存储介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106162626A (zh) * 2015-04-20 2016-11-23 北京信威通信技术股份有限公司 群组通信空口安全控制的方法、装置和系统
US20170094597A1 (en) * 2015-09-30 2017-03-30 Apple Inc. Voice and data continuity between wireless devices
CN107431916A (zh) * 2015-03-05 2017-12-01 高通股份有限公司 无线网络中的身份私密性
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101790168B (zh) * 2010-02-01 2015-05-20 中兴通讯股份有限公司 Nas和as初始安全模式命令过程的方法
CN108112013B (zh) * 2013-03-13 2020-12-15 华为技术有限公司 数据的传输方法、装置和系统
EP3886397B1 (en) * 2014-03-21 2023-01-18 Sun Patent Trust Security key derivation in dual connectivity
US9717003B2 (en) * 2015-03-06 2017-07-25 Qualcomm Incorporated Sponsored connectivity to cellular networks using existing credentials

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107431916A (zh) * 2015-03-05 2017-12-01 高通股份有限公司 无线网络中的身份私密性
CN106162626A (zh) * 2015-04-20 2016-11-23 北京信威通信技术股份有限公司 群组通信空口安全控制的方法、装置和系统
US20170094597A1 (en) * 2015-09-30 2017-03-30 Apple Inc. Voice and data continuity between wireless devices
CN108347420A (zh) * 2017-01-25 2018-07-31 华为技术有限公司 一种网络密钥处理的方法、相关设备及系统

Also Published As

Publication number Publication date
WO2020063540A1 (zh) 2020-04-02

Similar Documents

Publication Publication Date Title
US10932132B1 (en) Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access
CN110945892B (zh) 安全实现方法、相关装置以及系统
US11570617B2 (en) Communication method and communications apparatus
KR101481558B1 (ko) 이기종 무선접속망간 보안연계 설정 방법
US10798082B2 (en) Network authentication triggering method and related device
US20200280849A1 (en) Communication terminal, core network device, core network node, network node, and key deriving method
EP3910977B1 (en) Security protection method, computer readable storage medium and apparatus
US20170359719A1 (en) Key generation method, device, and system
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
CN110121196B (zh) 一种安全标识管理方法及装置
CN110891271A (zh) 一种鉴权方法及装置
AU2020284886B2 (en) Security context obtaining method and apparatus, and communications system
EP2648437B1 (en) Method, apparatus and system for key generation
US11622268B2 (en) Secure communication method and secure communications apparatus
CN113676904B (zh) 切片认证方法及装置
US11956715B2 (en) Communications method and apparatus
WO2020063540A1 (zh) 一种安全通信方法、加密信息确定方法及装置
US20240089728A1 (en) Communication method and apparatus
CN116114280A (zh) 密钥管理方法及通信装置
EP4013091A1 (en) Communication method and apparatus
KR102324971B1 (ko) 5G 네트워크에서 독립형 SEAF와 연동(interwork)하기 위한 보안 메커니즘
US20230102604A1 (en) Slice service verification method and apparatus
WO2009051405A2 (en) Method of establishing security association in inter-rat handover
CN116684865A (zh) 通信的方法和装置
CN116419218A (zh) 认证与安全方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20200407

WW01 Invention patent application withdrawn after publication