CN111417117B - 切换的处理方法和装置 - Google Patents
切换的处理方法和装置 Download PDFInfo
- Publication number
- CN111417117B CN111417117B CN202010127744.5A CN202010127744A CN111417117B CN 111417117 B CN111417117 B CN 111417117B CN 202010127744 A CN202010127744 A CN 202010127744A CN 111417117 B CN111417117 B CN 111417117B
- Authority
- CN
- China
- Prior art keywords
- amf
- security context
- nas
- nas security
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0077—Transmission or use of information for re-establishing the radio link of access information of target access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0079—Transmission or use of information for re-establishing the radio link in case of hand-off failure or rejection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种切换的处理方法和装置,该方法包括:第一接入管理功能AMF接收第一接入网设备发送的切换请求消息;当确定需要进行密钥推演时,所述第一AMF保存第一非接入层NAS安全上下文,所述第一NAS安全上下文为所述第一AMF与用户设备UE协商生成的NAS安全上下文;所述第一AMF恢复使用所述第一NAS安全上下文。通过本发明提供的技术方案,当在接入网设备切换失败的时候,能够保证用户设备与第一AMF上的安全上下文一致,进而保证用户设备与第一AMF上的密钥一致。
Description
技术领域
本发明涉及通信领域,并且更具体地,涉及一种切换的处理方法和装置。
背景技术
在第五代(5th generation,5G)通信场景下,由于用户设备的移动会存在接入网设备切换场景,例如用户设备的位置发生变化导致为用户设备提供服务的接入网设备发生变化。目前通信协议中定义了两种接入网设备的切换,一种是Xn接口切换,一种是N2接口切换。Xn接口切换指的是发生接入网设备切换前后的接入网设备之间存在Xn接口,接入网设备之间的切换基于该接口进行。N2切换是指发生接入网设备切换基于接入网设备与核心网元接入管理功能(access and mobility management function,AMF)之间的N2接口进行。
现有的N2接口切换场景下,在接入网设备切换失败的时候,可能会存在切换流程中导致用户设备与第一AMF上的密钥不一致的情况,从而导致接入网设备切换失败之后用户设备无法重新与第一AMF建立连接。
发明内容
本发明公开了一种切换的处理方法和装置,通过第一AMF保存并恢复使用第一NAS安全上下文,保证在接入网设备切换失败的时候,用户设备与第一AMF上的安全上下文一致,进而保证了用户设备与第一AMF上的密钥一致。
第一方面,提供了一种切换的处理方法,包括:第一接入管理功能AMF接收第一接入网设备发送的切换请求消息;当确定需要进行密钥推演时,所述第一AMF保存第一非接入层NAS安全上下文,所述第一NAS安全上下文为所述第一AMF与用户设备UE协商生成的NAS安全上下文;所述第一AMF恢复使用所述第一NAS安全上下文。
本申请实施例提供的切换的处理方法,通过第一AMF在需要密钥推演的情况下,保存第一NAS安全上下文,并在密钥推演之后,恢复使用第一NAS安全上下文,达到接入网设备切换失败的时候,用户设备与第一AMF上的密钥一致的目的。
应理解,本申请实施例第一NAS安全上下文还可以称为UE当前使用的NAS安全上下文。
结合第一方面,在第一方面的某些实现方式中,所述第一NAS安全上下文中包括第一NAS安全算法、第一AMF密钥Kamf1、第一非接入层NAS密钥以及第一非接入层计数器NASCOUNT。
本申请实施例提供的切换的处理方法,第一NAS安全上下文中包括第一AMF与用户设备UE协商使用的AMF密钥Kamf1、第一AMF与用户设备UE协商生成的NAS密钥以及非接入层计数器NAS COUNT。
结合第一方面,在第一方面的某些实现方式中,所述第一AMF恢复使用所述第一NAS安全上下文包括:所述第一AMF向第二AMF发起用户上下文创建服务请求之后,所述第一AMF恢复使用所述第一NAS安全上下文。
本申请实施例提供的切换的处理方法,第一AMF恢复使用所述第一NAS安全上下文可以是在第一AMF向第二AMF发起用户上下文创建服务请求之后;或者,在第一AMF向第二AMF发起用户上下文创建服务请求之前;或者,在第一AMF向第二AMF发起用户上下文创建服务请求的时候。
第二方面,提供了一种切换的处理方法,包括:用户设备UE接收第一接入网设备发送的切换命令消息,所述切换命令消息携带第二接入管理功能AMF选择的第二NAS安全算法和AMF密钥改变指示;当所述第二NAS安全算法与所述UE当前使用的第一NAS安全算法不一致和/或所述AMF密钥改变指示为预设值时,所述UE保存第一非接入层NAS安全上下文,所述第一NAS安全上下文为所述UE和第一AMF协商生成的NAS安全上下文,当所述UE用户设备切换失败时,使用所述第一NAS安全上下文与所述第一AMF进行非接入层NAS保护;或者,当所述UE对非接入层容器NASC完整性校验失败时,所述UE继续使用所述第一NAS安全上下文,其中,所述NASC携带在所述切换命令消息中。
本申请实施例提供的切换的处理方法,通过使得UE接收到的切换命令消息中携带的第二NAS安全算法和/或AMF密钥改变指示为1时,UE保存第一NAS安全上下文,并在UE用户设备切换失败使用所述第一NAS安全上下文与所述第一AMF进行非接入层NAS保护;或者,UE在对NASC完整性校验失败时,继续使用当前的第一NAS安全上下文,达到用户设备与第一AMF上的密钥一致。
结合第二方面,在第二方面的某些实现方式中,所述第一NAS安全上下文中包括第一NAS安全算法、第一AMF密钥Kamf1、第一非接入层NAS密钥以及第一非接入层计数器NASCOUNT。
本申请实施例提供的切换的处理方法,第一NAS安全上下文中包括第一AMF与用户设备UE协商使用的AMF密钥Kamf1、第一AMF与用户设备UE协商生成的NAS密钥以及非接入层计数器NAS COUNT。
结合第二方面,在第二方面的某些实现方式中,所述AMF密钥改变指示为预设值包括:所述AMF密钥改变指示为1。
本申请实施例提供的切换的处理方法,AMF密钥改变指示为1的时候指示进行密钥推演。
第三方面,提供了一种切换的处理方法,包括:第一接入管理功能AMF接收第一接入网设备发送的切换请求消息;所述第一AMF根据本地策略进行密钥推演得到第二AMF密钥;所述第一AMF基于所述第二AMF密钥以及第一NAS安全算法生成第二NAS安全上下文,其中,所述第一NAS安全算法为所述第一AMF与用户设备UE协商的NAS安全算法;所述第一AMF使用所述第二NAS安全上下文与所述UE进行非接入层NAS保护。
本申请实施例提供的切换的处理方法,第一AMF进行密钥推演生成了第二AMF密钥的情况下,第一AMF可以基于第二AMF密钥以及与用户设备UE协商的第一NAS安全算法生成第二NAS安全上下文。
结合第三方面,在第三方面的某些实现方式中,所述第二NAS安全上下文中包括所述第一NAS安全算法、所述第二AMF密钥、第二非接入层NAS密钥以及第二非接入层计数器NAS COUNT。
第四方面,提供了一种切换的处理方法,包括:用户设备UE接收第一接入网设备发送的切换命令消息,所述切换命令消息携带第二接入管理功能AMF选择的第二NAS安全算法和AMF密钥改变指示;当所述第二NAS安全算法与第一NAS安全算法不一致且所述AMF密钥改变指示为预设值时,所述UE保存第一NAS安全算法,以及进行密钥推演以获取第二AMF密钥;其中,所述第一NAS安全算法为所述UE与第一接入管理功能AMF协商的NAS安全算法。
本申请实施例提供的切换的处理方法,通过使得UE接收到的切换命令消息中携带的第二NAS安全算法和AMF密钥改变指示为1时,UE保存第一NAS安全算法,并基于AMF密钥改变指示进行密钥推演得到第二AMF密钥。结合第四方面,在第四方面的某些实现方式中,所述UE利用所述第二AMF密钥以及所述第一NAS安全算法生成第二NAS安全上下文。
本申请实施例提供的切换的处理方法,UE可以利用新生成的第二AMF密钥以及保存的第一NAS安全算法生成第二NAS安全上下文。
结合第四方面,在第四方面的某些实现方式中,当所述UE切换失败时,所述UE使用所述第二NAS安全上下文与所述第一AMF进行非接入层NAS安全保护。
本申请实施例提供的切换的处理方法,UE切换失败时,UE使用第二NAS安全上下文与第一AMF进行非接入层NAS安全保护。
结合第四方面,在第四方面的某些实现方式中,当所述UE切换失败时,所述UE利用所述第二AMF密钥以及所述第一NAS安全算法生成二NAS安全上下文;所述UE使用所述第二NAS安全上下文与所述第一AMF进行非接入层NAS安全保护。
本申请实施例提供的切换的处理方法,UE切换失败时,UE首先利用新生成的第二AMF密钥以及保存的第一NAS安全算法生成第二NAS安全上下文,再利用第二NAS安全上下文与第一AMF进行非接入层NAS安全保护。
结合第四方面,在第四方面的某些实现方式中,所述AMF密钥改变指示为预设值包括:所述AMF密钥改变指示为1。
本申请实施例提供的切换的处理方法,AMF密钥改变指示为1的时候指示进行密钥推演。
第五方面,提供了一种切换的处理装置,该装置可以用来用于执行第一方面和第三方面以及第一方面和第三方面的任意可能的实现方式中的用户设备的操作。具体地,该切换的处理装置可以包括用于执行上述第一方面和第三方面以及第一方面和第三方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第一方面和第三方面的用户设备或用户设备内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第六方面,提供了一种切换的处理装置,该装置可以用来用于执行第二方面和第四方面以及第二方面和第四方面的任意可能的实现方式中的第一AMF的操作。具体地,该切换的处理装置可以包括用于执行上述第二方面和第四方面以及第二方面和第四方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第二方面和第四方面的第一AMF或第一AMF内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第七面,提供了一种通信设备,包括,处理器,收发器,存储器,该存储器用于存储计算机程序,该收发器,用于执行第一至第四方面中任一种可能实现方式中的切换的处理装置方法中的收发步骤,该处理器用于从存储器中调用并运行该计算机程序,使得该通信设备执行第一至第四方面中任一种可能实现方式中的切换的处理装置方法。
可选地,处理器为一个或多个,存储器为一个或多个。
可选地,存储器可以与处理器集成在一起,或者存储器与处理器分离设置。
可选的,收发器包括,发射机(发射器)和接收机(接收器)。
第八方面,提供了一种系统,系统包括第五方面至第六方面提供的切换的处理装置。
第九方面,提供了一种计算机程序产品,计算机程序产品包括:计算机程序(也可以称为代码,或指令),当计算机程序被运行时,使得计算机执行上述第一至第四方面中任一种可能实现方式中的方法。
第十方面,提供了一种计算机可读介质,计算机可读介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述第一至第四方面中任一种可能实现方式中的方法。
第十一方面,提供了一种芯片系统,包括存储器和处理器,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的通信设备执行上述第一至第四方面中任一种可能实现方式中的方法。
附图说明
图1是适用于本申请实施例的网络架构。
图2是一种切换失败流程示意图。
图3是另一种切换失败流程示意图。
图4是本申请实施例提供的一种切换的处理方法的流程示意图。
图5是本申请实施例提供的另一种切换的处理方法的流程示意图。
图6为本申请实施例提供的切换的处理装置10的示意图。
图7是适用于本申请实施例的用户设备20的结构示意图。
图8为本申请实施例提供的切换的处理装置30的示意图。
图9是适用于本申请实施例的第一AMF 40的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1是适用于本申请实施例的网络架构。如图1所示,下面对该网络架构中涉及的各个部分分别进行说明。
1、用户设备110:可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,移动台(mobile station,MS),终端(terminal),用户设备(user equipment,UE),软终端等等。例如,水表、电表、传感器等。
2、(无线)接入网络(radio access network,(R)AN)网元120:用于为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同质量的传输隧道。
(R)AN网元能够管理无线资源,为用户设备提供接入服务,进而完成控制信号和用户设备数据在用户设备和核心网之间的转发,(R)AN网元也可以理解为传统网络中的基站。
3、用户面网元130:用于分组路由和转发以及用户面数据的服务质量(quality ofservice,QoS)处理等。
在5G通信系统中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、数据网络网元140:用于提供传输数据的网络。
在5G通信系统中,该数据网络网元可以是数据网络(data network,DN)网元。在未来通信系统中,数据网络网元仍可以是DN网元,或者,还可以有其它的名称,本申请不做限定。
5、接入管理网元150:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能,例如,合法监听以及接入授权/鉴权等功能。
在5G通信系统中,该接入管理网元可以是接入管理功能(access and mobilitymanagement function,AMF)网元。在未来通信系统中,接入管理网元仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
6、会话管理网元160:主要用于会话管理、用户设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信系统中,该会话管理网元可以是会话管理功能(session managementfunction,SMF)网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
7、策略控制网元170:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信系统中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
8、认证服务器180:用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在5G通信系统中,该认证服务器可以是认证服务器功能(authentication serverfunction,AUSF)网元。在未来通信系统中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
9、数据管理网元190:用于处理用户设备标识,接入鉴权,注册以及移动性管理等。
在5G通信系统中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元;在4G通信系统中,该数据管理网元可以是归属用户服务器(homesubscriber server,HSS)网元在未来通信系统中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
10、应用网元1100:用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信系统中,该应用网元可以是应用功能(application function,AF)网元。在未来通信系统中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
11、网络存储网元:用于维护网络中所有网络功能服务的实时信息。
在5G通信系统中,该网络存储网元可以是网络注册功能(network repositoryfunction,NRF)网元。在未来通信系统中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以接入管理网元为AMF,数据管理网元为UDM网元,会话管理网元为SMF网元,用户面网元为UPF网元为例进行说明。
进一步地,将AMF简称为AMF,UDM网元简称为UDM,SMF网元简称为SMF,UPF网元简称为UPF。即本申请后续所描述的AMF均可替换为接入管理网元,UDM均可替换为数据管理网元,SMF均可替换为会话管理网元,UPF均可替换为用户面网元。
为方便说明,本申请实施例中以装置为AMF实体、UDM实体为例,对用于会话建立的方法进行说明,对于装置为AMF实体内的芯片、UDM实体内的芯片的实现方法,可参考装置分别为AMF实体、UDM实体的具体说明,不再重复介绍。
在图1所示的网络架构中,用户设备通过N1接口与AMF连接,(R)AN通过N2接口与AMF连接,(R)AN通过N3接口与UPF连接。UPF之间通过N9接口连接,UPF通过N6接口DN互联。SMF通过N4接口控制UPF。AMF通过N11接口与SMF接口。AMF通过N8接口从UDM单元获取用户设备签约数据,SMF通过N10接口从UDM单元获取用户设备签约数据。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function,NF)网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通信(globalsystem for mobile communications,GSM)系统、码分多址(code division multipleaccess,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、未来的第五代(5th generation,5G)系统或新无线(new radio,NR)等。
本申请实施例中的用户设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。用户设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的用户设备等,本申请实施例对此并不限定。
本申请实施例中的网络设备可以是用于与用户设备通信的设备,该网络设备可以是全球移动通信(global system for mobile communications,GSM)系统或码分多址(code division multiple access,CDMA)中的基站(base t(R)ANsceiver station,BTS),也可以是宽带码分多址(wideband code division multiple access,WCDMA)系统中的基站(NodeB,NB),还可以是LTE系统中的演进型基站(evolved NodeB,eNB或eNodeB),还可以是云无线接入网络(cloud radio access network,C(R)AN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等,本申请实施例并不限定。
在本申请实施例中,用户设备或网络设备包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或网络设备,或者,是用户设备或网络设备中能够调用程序并执行程序的功能模块。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
本申请实施例中主要涉及到图1所示的网络架构中的AMF、UE以及(R)AN。其中,针对AMF本申请中涉及到第一AMF(或称为源AMF(source AMF))和第二AMF(或称为目标AMF(target AMF));针对(R)AN网元本申请中涉及到第一(R)AN(或称为源(R)AN(source(R)AN))网元和第二(R)AN(或称为目标(R)AN(target(R)AN))网元。
具体地,本申请中所涉及的第一AMF指的是发生切换之前为UE提供核心网服务的AMF;本申请中所涉及的第二AMF指的是发生切换之后选择为UE提供核心网服务的AMF。本申请中所涉及的第一(R)AN网元指的是第一AMF切换之前为UE提供接入网服务的(R)AN网元;本申请中所涉及的第二(R)AN网元指的是第二AMF切换之后选择为UE提供接入网服务的(R)AN网元。进一步地,本申请中还可能涉及到AUSF/UDM,AUSF/UDM主要用于进行认证。例如,实现UE与网络设备之间的认证。应理解,本申请主要涉及到切换流程,对于认证流程并不限制,下面不再对UE与网络设备之间的认证进行描述。
具体地,本申请实施例中为了便于描述,可以将第一(R)AN网元简称为第一(R)AN、第二(R)AN网元简称为第二(R)AN。本申请实施例中所涉及的切换指的是为UE提供接入网服务的(R)AN网元从第一(R)AN切换至与第二(R)AN,而第一(R)AN与第二(R)AN之间无法直接建立连接进行信令交互,第一(R)AN由第一AMF管理、第二(R)AN由第二AMF管理,则为UE提供接入网服务的(R)AN网元从第一(R)AN切换至与第二(R)AN过程中需要经由第一AMF和第二AMF传递相关的信令。当为UE提供接入网服务的(R)AN网元从第一(R)AN切换至与第二(R)AN失败的时候,一般情况下第一(R)AN会继续为UE提供接入网服务。本申请中将为UE提供接入网服务的(R)AN网元从第一(R)AN切换至与第二(R)AN简称为切换,将为UE提供接入网服务的(R)AN网元从第一(R)AN切换至与第二(R)AN失败的情况简称为切换失败。
进一步地,在进行切换之前,UE与网络设备完成认证之后,UE和第一AMF得到相同的AMF密钥,本申请实施例中为了便于描述,将UE与第一AMF得到的AMF密钥记为Kamf,Kamf也可以称为第一AMF密钥或者Kamf1。然后,UE和第一AMF分别基于该Kamf以及UE与第一AMF之间协商的非接入层(non-access stratum,NAS)完整性保护算法生成用于NAS消息保护的完整性保护密钥;UE和第一AMF基于该Kamf以及UE与第一AMF之间协商的非接入层(non-access stratum,NAS)机密性保护算法,生成用于NAS消息保护的机密性保护密钥,其中,用于NAS消息保护的完整性保护密钥和机密性保护密钥可以统称为NAS Key。本申请实施例中为了便于描述,将UE与第一AMF生成用于NAS消息保护的完整性保护密钥记为Knasint;将UE与第一AMF生成用于NAS消息保护的机密性保护密钥记为Knasenc,可以将UE和第一AMF基于Kamf以及UE与第一AMF之间协商的NAS完整性保护算法和机密性保护算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥称为第一NAS Key;可以将UE与第一AMF之间协商的NAS完整性保护算法和机密性保护算法称为第一NAS安全算法。
应理解,本申请中对于UE与第一AMF之间如何协商NAS完整性保护算法和机密性保护算法并不限制,可以是现有协议中规定的协商方案。
为了保证切换的业务连续性,在发生上述的切换的时候,第一AMF会将与UE之间的UE的安全上下文传递给第二AMF。UE的安全上下文包括上述的Kamf或上述Kamf经过密钥推演之后的Kamf’(也可以称为Kamf2或第二AMF密钥)、第一AMF与UE之间协商的第一NAS安全算法、下行非接入层计数(downlink non-access stratum count,DL NAS COUNT)以及UE支持的NAS安全算法列表等。应理解,第一AMF将与UE之间的UE的安全上下文传递给第二AMF为现有协议中切换流程中规定的步骤,本申请对此步骤并不做改进,也就是说第一AMF向第二AMF发送的UE的安全上下文包括的内容可以参考现有协议的规定,这里只做简单的描述。
第二AMF利用第一AMF所传递的UE的安全上下文中包括的AMF密钥,以及第二AMF与UE之间协商的第二NAS安全算法生成第三NAS安全上下文。第三NAS安全上下文包括Kamf2、Knasint2、Knasenc2以及DL NAS COUNT2等。具体地,第二AMF与UE之间协商第二NAS安全算法包括第二AMF从第一AMF接收到的UE的安全上下文中包括的UE支持的NAS安全算法列表中选择一个第二NAS安全算法,基于选择的第二NAS安全算法与接收到的UE的安全上下文中包括的密钥Kamf或Kamf’生成上述新的NAS安全上下文。不做特别说明的情况下,本申请中涉及的第二NAS安全算法与上述的第一NAS安全算法相异。
应理解,与上述的第一NAS安全算法类似,第二NAS安全算法包括第二NAS完整性保护算法和第二NAS机密性保护算法,NAS完整性保护算法用于生成第二完整性保护密钥、NAS机密性保护算法用于生成第二机密性保护密钥。
具体地,由上述可知第一AMF向第二AMF发送的UE的安全上下文包括以下两种可能的形式:
形式一:第一AMF未对Kamf进行推演。UE的安全上下文包括:Kamf、DL NAS COUNT、第一AMF与UE之间协商的第一NAS安全算法以及UE支持的NAS安全算法列表;
形式二:第一AMF对Kamf进行了密钥推演,生成了第二AMF密钥Kamf’。UE的安全上下文包括:Kamf’、DL NAS COUNT、第一AMF与UE之间协商的第一NAS安全算法、UE支持的NAS安全算法列表以及推演指示信息,该推演指示信息用于指示第一AMF进行了AMF密钥的水平推演。
在形式二下第一AMF在将第一AMF与UE之间的安全上下文传递给第二AMF之前,第一AMF根据第一AMF本地的策略对上述的Kamf进行密钥推演,生成密钥推演之后的密钥Kamf’。应理解,本申请实施例中涉及到对密钥进行密钥推演生成第二密钥所使用的密钥推演的机制和参数不做限制,只限制生成的第二密钥不能进行密钥推演得到被推演的密钥;或者,可以称第二密钥和被推演的密钥之间是隔离的。
作为一种可能的实现方式,本申请中所述的密钥推演可以为现有协议中定义的水平密钥推演;
例如,Kamf经过水平密钥推演生成为Kamf’的方式为:
Kamf’=HMAC-SHA-256(Key,S);
FC=0x72;
P0=0x01;
L0=length of P0(i.e.0x00 0x01);
P1=DL NAS COUNT;
L1=length of P1(i.e.0x00 0x04);
KEY=Kamf;
S=FC||P0||L0||P1||L1。
作为另一种可能的实现方式,本申请中所述的密钥推演可以为不同的网元之间约定的密钥推演方式。例如,第一AMF和第二AMF之间约定密钥推演方式为预设的密钥推演方式,只要第一AMF向第二AMF发送的UE的安全上下文中包括上述的推演指示信息,第二AMF能够确定接收到的UE的安全上下文中的密钥是第一AMF通过预设的密钥推演方式进行密钥推演得到的。
具体地,由上述可知第二AMF利用第一AMF所传递的UE的安全上下文,以及第二AMF与UE之间协商第二NAS安全算法生成新的NAS安全上下文包括以下两种可能的形式:
形式一:对应于上述的形式一第一AMF未对Kamf进行推演。新的NAS安全上下文包括:Kamf2、Knasint2、Knasenc2以及DL NAS COUNT2,其中,Kamf2为上述的Kamf。
一种可能的实现方式是,第二AMF与UE之间协商的NAS完整性保护算法和机密性保护算法,与第一AMF与UE之间协商的NAS完整性保护算法和机密性保护算法一致,则第二AMF基于该Kamf以及UE与第二AMF之间协商的NAS完整性保护算法和机密性保护算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥Knasint2和Knasenc2为上述的Knasint和Knasenc;
另一种可能的实现方式是,第二AMF与UE之间协商的NAS完整性保护算法和机密性保护算法,与第一AMF与UE之间协商的NAS完整性保护算法和机密性保护算法不一致,则第二AMF基于该Kamf以及UE与第二AMF之间协商的NAS完整性保护算法和机密性保护算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥Knasint2和Knasenc2与上述的Knasint和Knasenc不同。
形式二:对应于上述的形式二第一AMF对Kamf进行了推演。新的NAS安全上下文包括:Kamf’、Knasint2、Knasenc2、DL NAS COUNT以及推演指示信息,该推演指示信息用于指示Kamf’为经过推演之后的AMF密钥。
其中,Knasint2和Knasenc2为第二AMF基于Kamf’以及UE与第二AMF之间协商的NAS完整性保护算法和机密性保护算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥。
在形式二下第二AMF收到了推演指示信息,也会向UE发送该推演指示信息,该推演指示信息用于指示UE对Kamf进行推演,保证UE和网络侧的Kamf’保持一致。
应理解,第二AMF在收到第一AMF发送的Kamf或Kamf’之后,结合第二AMF与UE之间的算法协商,根据自身选择的NAS安全算法(包括完整性保护算法和机密性保护算法)以及收到的Kamf或Kamf’,生成第二AMF与UE之间的NAS Key(Knasenc2和Knasint2)。UE侧也会进行相同的计算,最终UE侧和第二AMF侧的AMF密钥以及NAS Key达成一致。
当上述的切换失败的情况下,只能保证UE和第二AMF上的AMF密钥以及NAS Key达成一致,不能保证在发生切换失败的时候,UE和第一AMF上的NAS Key是一致的。下面结合图2和图3分别简单介绍切换失败过程中上述第一AMF对Kamf进行推演和第一AMF不对Kamf进行推演,但是第一AMF与第二AMF支持的NAS安全算法不一致时,UE和第一AMF上的AMF密钥以及NAS Key不一致的情况。
图2是一种切换失败流程示意图。包括UE、第一AMF、第二AMF、第一(R)AN、第二(R)AN以及S1-S11。下面详细介绍图2所示的方法流程。
在进行切换之前UE和第一AMF上的AMF密钥以及NAS Key为Kamf、Knasenc和Knasint,DL NAS COUNT=X。
S1,第一(R)AN向第一AMF发送切换请求消息。
该切换请求消息用于指示需要进行接入网设备切换。其中,切换请求消息可以称为handover required。应理解,本申请中对于第一(R)AN向第一AMF发送的切换请求消息并不做改进,参照现有协议中对于切换请求消息的规定即可。
S2,第一AMF进行密钥推演。
图2所示的切换失败流程中,第一AMF在接收到第一(R)AN发送的切换请求消息之后,确定需要进行接入网设备切换。第一AMF对本地的第一AMF密钥Kamf进行密钥推演得到第二AMF密钥Kamf’。
应理解,第一AMF执行S2之后,第一AMF上的AMF密钥以及NAS Key为Kamf’、Knasenc和Knasint。
S3,第一AMF向第二AMF发送UE的安全上下文。
UE的安全上下文中包括上述的Kamf’、Knasenc和Knasint以及DL NAS COUNT=X+1。其中,第一AMF向第二AMF发送UE的安全上下文可以是第一AMF向第二AMF发起UE上下文创建服务请求,该UE上下文创建服务请求可以称为create UE context request。应理解,本申请中对于第一AMF向第二AMF发送UE的安全上下文并不做改进,参照现有协议中对于第一AMF向第二AMF发送UE的安全上下文的规定即可。
S4,第二AMF生成新的NAS安全上下文。
新的NAS安全上下文包括上述的第二AMF接收到的Kamf’、第二AMF结合第二AMF与UE之间协商的第二NAS安全算法,生成第二AMF与UE之间的NAS Key(Knasenc2和Knasint2)和DL NAS COUNT=0,其中,Knasenc2和Knasint2与Knasenc和Knasint相异。
S5,第二AMF向第二(R)AN发送切换请求。
该切换请求用于获取第二(R)AN的相关信息。其中,该切换请求可以称为handoverrequest。应理解,本申请中对于第二AMF向第二(R)AN发送切换请求并不做改进,参照现有协议中对于第二AMF向第二(R)AN发送切换请求的规定即可。
S6,第二(R)AN向第二AMF发送切换请求响应。
该切换请求响应用于通知第二AMF,该第二(R)AN的相关信息。其中,该切换请求响应可以称为handover request acknowledge。应理解,本申请中对于第二(R)AN向第二AMF发送切换请求响应并不做改进,参照现有协议中对于第二(R)AN向第二AMF发送切换请求响应的规定即可。
S7,第二AMF向第一AMF发送UE上下文创建服务请求响应。
该UE上下文创建服务请求响应用于通知第一AMF第二(R)AN的相关信息。其中,该UE上下文创建服务请求响应可以称为create UE context response。应理解,本申请中对于第二AMF向第一AMF发送UE上下文创建服务请求响应并不做改进,参照现有协议中对于第二AMF向第一AMF发送UE上下文创建服务请求响应的规定即可。
S8,第一AMF向第一(R)AN发送切换命令消息。
该切换命令消息用于通知第一(R)AN,第二(R)AN的相关信息。其中,该切换命令消息可以称为handover command。应理解,本申请中对于第一AMF向第一(R)AN发送切换命令消息并不做改进,参照现有协议中对于第一AMF向第一(R)AN发送切换命令消息的规定即可。
S9,第一(R)AN向UE发送切换命令消息。
该切换命令消息用于通知UE第二(R)AN的相关信息。其中,该切换命令消息可以称为handover command。应理解,本申请中对于第一(R)AN向UE发送切换命令消息并不做改进,参照现有协议中对于第一(R)AN向UE发送切换命令消息的规定即可。
S10,UE生成新的NAS安全上下文。
新的NAS安全上下文包括上述的Kamf’、UE结合第二AMF与UE之间协商的第二NAS安全算法生成第二AMF与UE之间的NAS Key(Knasenc2和Knasint2),DL NAS COUNT=0。
UE执行S10之后,UE上的AMF密钥以及NAS Key为Kamf’、Knasenc2和Knasint2。
当UE因为某些原因导致切换失败(比如第二(R)AN信号变差,或者,UE对接收到的NASC完整性校验失败)发生S11,切换失败的情况时,此时UE需要回到第一AMF处进行服务。但是如果在切换阶段,第一AMF进行了Kamf的推演,由于UE上的NAS Key和第一AMF上的NASKey不一致,导致后续UE与第一AMF的NAS消息无法进行安全保护。
图3是另一种切换失败流程示意图。包括UE、第一AMF、第二AMF、第一(R)AN、第二(R)AN以及S20-S29。下面详细介绍图3所示的方法流程。
在进行切换之前UE和第一AMF上的AMF密钥以及NAS Key为Kamf、Knasenc和Knasint,DL NAS COUNT=X。
S20,第一(R)AN向第一AMF发送切换请求消息。
该切换请求消息用于指示需要进行切换。与图2中所示的第一(R)AN向第一AMF发送的切换请求消息类似,这里不再赘述。
S21,第一AMF向第二AMF发送UE的安全上下文。
UE的安全上下文中包括上述的Kamf、Knasenc和Knasint以及DL NAS COUNT=X+1。
S22,第二AMF确定新的NAS安全上下文。
新的NAS安全上下文包括上述的第二AMF接收到的Kamf、第二AMF结合第二AMF与UE之间协商的第二NAS安全算法,生成第二AMF与UE之间的NAS Key(Knasenc2和Knasint2)和DL NAS COUNT=X+1,其中,Knasenc2和Knasint2与Knasenc和Knasint相异。
S23,第二AMF向第二(R)AN发送切换请求。
该切换请求用于获取第二(R)AN的相关信息。
S24,第二(R)AN向第二AMF发送切换请求响应。
该切换请求响应用于通知第二AMF,该第二(R)AN的相关信息。
S25,第二AMF向第一AMF发送UE上下文创建服务请求响应。
该UE上下文创建服务请求响应用于通知第一AMF第二(R)AN的相关信息。
S26,第一AMF向第一(R)AN发送切换命令消息。
该切换命令消息用于通知第一(R)AN,第二(R)AN的相关信息。
S27,第一(R)AN向UE发送切换命令消息。
该切换命令消息用于通知UE第二(R)AN的相关信息。
S28,UE生成新的NAS安全上下文。
新的NAS安全上下文包括上述的Kamf、UE结合第二AMF与UE之间协商的第二NAS安全算法生成第二AMF与UE之间的NAS Key(Knasenc2和Knasint2),DL NAS COUNT=X+1。
UE执行S28之后,UE上的AMF密钥以及NAS Key为Kamf、Knasenc2和Knasint2。
当UE因为某些原因导致切换失败(比如第二(R)AN信号变差)发生S29,切换失败的情况时,此时UE需要回到第一AMF处进行服务。但是如果在切换阶段,第二(R)AN选择与上述第一NAS安全算法相异的第二NAS安全算法,UE基于Kamf和第二NAS安全算法生成的Knasenc2和Knasint2与上述的Knasenc和Knasint相异,则UE上的NAS Key和第一AMF上的NAS Key不一致,导致后续UE与第一AMF的NAS消息无法进行安全保护。
为了避免图2和图3所示的方法流程中出现的UE上的NAS Key和第一AMF上的NASKey不一致,本申请提出一种切换的处理方法,通过保证UE与第一AMF上采用的NAS安全上下文一致,使得UE上的NAS Key和第一AMF上的NAS Key一致。下面结合图4和图5详细介绍本申请实施例提供的切换的处理方法。
图4是本申请实施例提供的一种切换的处理方法的流程示意图。该示意图包括UE、第一AMF、第二AMF、第一(R)AN、第二(R)AN以及S110-S140。下面详细介绍图4所示的方法流程。
在进行切换之前UE和第一AMF上的NAS安全上下文包括上述的Kamf(第一AMF密钥Kamf1)、Knasenc、Knasint(Knasenc和Knasint统称为第一非接入层NAS密钥)、DL NASCOUNT=X(第一非接入层计数器NAS COUNT)以及UE与第一AMF之间协商的NAS安全算法(第一NAS安全算法)等。图4所示的实施例中称切换之前UE和第一AMF上的NAS安全上下文为第一NAS安全上下文。
S110,第一AMF确定需要进行密钥推演,保存第一NAS安全上下文。
一种可能的实现方式,第一AMF进行密钥推演之前保存第一NAS安全上下文;
另一种可能的实现方式,第一AMF进行密钥推演之后保存第一NAS安全上下文;
本申请中对于第一AMF进行密钥推演和第一AMF保存第一NAS安全上下文的先后关系不做严格的限制。具体地,第一AMF在执行S110之前,图4所示的实施例还包括S111,第一(R)AN向第一AMF发送切换请求消息。图4所示的实施例中,第一(R)AN向第一AMF发送切换请求消息与图2中S1类似,这里不再赘述。
具体地,图4所示的实施例中第一AMF接收到切换请求消息之后,保存第一NAS安全上下文包括以下两种可能:
可能一:第一AMF不对第一NAS安全上下文中包括的密钥Kamf进行密钥推演,则第一AMF确定保存第一NAS安全上下文,与现有图2所示的流程一致。
可能二:第一AMF根据本地策略确定需要对第一NAS安全上下文中包括的密钥Kamf进行密钥推演,图4所示的实施例中还包括S112,第一AMF进行密钥推演。
具体地,第一AMF将第一NAS安全上下文保存之后,第一AMF进行密钥推演将第一密钥Kamf进行密钥推演得到第二密钥Kamf’。应理解,本申请实施例中对于第一AMF进行密钥推演的过程并不限制,可以是现有协议中规定的第一AMF进行密钥推演的流程。第一AMF进行密钥推演生成推演之后的Kamf’,图4所示的实施例中称之为第一密钥。图4所示的实施例中主要介绍与现有流程不一致的可能二,对于与现有流程一致的可能一只进行简单描述。
S113,第一AMF向第二AMF发送UE的安全上下文。
具体地,第一AMF将UE的安全上下文发送给第二AMF可以是第一AMF向第二AMF发起UE上下文创建服务请求。对应于S110中的可能一和可能二,第一AMF向第二AMF发送的UE的安全上下文也包括以下两种可能:
可能一:第一AMF不对第一NAS安全上下文中包括的第一密钥Kamf进行密钥推演,则第一AMF向第二AMF发送的UE的安全上下文中包括Kamf、DL NAS COUNT=X+1、UE与第一AMF之间协商的NAS安全算法和UE支持的NAS安全算法列表;
可能二:第一AMF对第一NAS安全上下文中包括的第一密钥Kamf进行密钥推演,则第一AMF向第二AMF发送的UE的安全上下文中包括Kamf’、DL NAS COUNT=X+1、UE与第一AMF之间协商的NAS安全算法、UE支持的NAS安全算法列表以及密钥推演指示,该密钥推演指示用于指示第一AMF向第二AMF发送的UE的安全上下文中的密钥为第一AMF经过密钥推演得到的。其中,密钥推演指示可以称为K_AMF_change_flag,具体地K_AMF_change_flag的值为1表示指示第一AMF向第二AMF发送的UE的安全上下文中的密钥为第一AMF经过密钥推演得到。
图4所示的实施例中,第二AMF接收到第一AMF发送的UE的安全上下文之后,执行S114,第二AMF生成第三NAS安全上下文。对应于S113中的可能一和可能二,第二AMF生成第三NAS安全上下文也包括以下两种可能:
可能一:第一AMF向第二AMF发送的UE的安全上下文中包括的密钥为Kamf。
第二AMF基于接收到第一AMF发送的UE的安全上下文中的密钥Kamf以及从UE支持的NAS安全算法列表中选择一种NAS安全算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥Knasint2和Knasenc2。第二AMF生成第三NAS安全上下文中包括Kamf、Knasint2、Knasenc2、DL NAS COUNT=X+1、UE与第二AMF之间协商的NAS安全算法。
一种可能的实现方式,第二AMF从UE支持的NAS安全算法列表中选择的一种NAS安全算法与UE与第一AMF之间协商的NAS安全算法相同,则Knasint2、Knasenc2与上述的Knasint、Knasenc相同,在该实现方式下,不会发生切换失败时,UE和第一AMF上的AMF密钥和NSA Key不一致的情况。
另一种可能的实现方式,第二AMF从UE支持的NAS安全算法列表中选择的一种NAS安全算法与UE与第一AMF之间协商的NAS安全算法不同,则Knasint2、Knasenc2与上述的Knasint、Knasenc不同,在该实现方式为图3中所示的情况,UE和第一AMF上的NSA Key不一致。
可能二:第一AMF向第二AMF发送的UE的安全上下文中包括的密钥为Kamf’。
第二AMF基于接收到第一AMF发送的UE的安全上下文中的密钥Kamf’以及从UE支持的NAS安全算法列表中选择一种NAS安全算法,生成用于NAS消息保护的完整性保护密钥和机密性保护密钥Knasint2和Knasenc2。第二AMF生成第三NAS安全上下文中包括Kamf’、Knasint2、Knasenc2、DL NAS COUNT=X+1或DL NAS COUNT=0、UE与第二AMF之间协商的NAS安全算法以及上述密钥推演指示。
一种可能的实现方式,第二AMF从UE支持的NAS安全算法列表中选择的一种NAS安全算法与UE与第一AMF之间协商的NAS安全算法相同,由于密钥不一致,则Knasint2、Knasenc2与上述的Knasint、Knasenc仍然不同,在该实现方式为图2中所示的情况,UE和第一AMF上的AMF密钥和NSA Key不一致。
另一种可能的实现方式,第二AMF从UE支持的NAS安全算法列表中选择的一种NAS安全算法与UE与第一AMF之间协商的NAS安全算法不同,由于密钥和NAS安全算法均不一致,则Knasint2、Knasenc2与上述的Knasint、Knasenc不同,在该实现方式为图2中所示的情况,UE和第一AMF上的AMF密钥和NSA Key不一致。
进一步地,第二AMF生成第三NAS安全上下文之后,基于该第三NAS安全上下文确定非接入层容器NASC(non-access stratum container,NASC),即图4所示的实施例还包括S115,第二AMF确定NASC。对应于S114中的可能一和可能二,第二AMF确定NASC也包括以下两种可能:
可能一:第三NAS安全上下文中包括Kamf’、Knasint2、Knasenc2、DL NAS COUNT=X+1、UE与第二AMF之间协商的NAS安全算法。则NASC中包括COUNT=X+1以及UE与第二AMF之间协商的NAS安全算法。
可能二:第三NAS安全上下文中包括Kamf’、Knasint2、Knasenc2、DL NAS COUNT=X+1或DL NAS COUNT=0、UE与第二AMF之间协商的NAS安全算法以及上述密钥推演指示。则NASC中包括DL NAS COUNT=X+1或DL NAS COUNT=0、UE与第二AMF之间协商的NAS安全算法以及上述密钥推演指示。
应理解,第二AMF需要将上述的NASC发送给UE,具体地发送给UE需要经由第二(R)AN、第一AMF以及第一(R)AN的转发,本申请实施例中对于上述的NASC如何发送至UE并不限制,参照现有协议中的规定即可,例如,图4所示的实施例还包括:
S116,第二AMF向第二(R)AN发送切换请求。
该切换请求用于获取第二(R)AN的相关信息。
S117,第二(R)AN向第二AMF发送切换请求响应。
该切换请求响应用于通知第二AMF,该第二(R)AN的相关信息。
S118,第二AMF向第一AMF发送UE上下文创建服务请求响应。
UE上下文创建服务请求响应中携带上述的NASC。
S119,第一AMF向第一(R)AN发送切换命令消息。
该切换命令消息中携带上述的NASC。
S1191,第一(R)AN向UE发送切换命令消息。
该切换命令消息中携带上述的NASC。
可选地,图4所示的实施例中还包括S120,第一AMF恢复使用第一NAS安全上下文。
一种可能的实现方式,第一AMF收到S110中所示的切换请求消息后,对应于S110中的可能二,第一AMF进行了密钥推演,在第一AMF将水平推演后的Kamf’发送给第二AMF上述UE的上下文之后的任意时刻第一AMF删除第二Kamf’,恢复使用第一NAS安全上下文;
另一种可能的实现方式,第一AMF执行上述的S110保存了第一NAS安全上下文之后,并且进行密钥推演生成了第四NAS安全上下文之后,第一AMF设置标识位区分第一NAS安全上下文和第四NAS安全上下文,也就是说第一AMF可以在发送给第二AMF上述UE的上下文之前或者同时恢复使用第一NAS安全上下文。
S130,UE保存第一NAS安全上下文。
UE收到第一(R)AN发送的切换命令消息,获取到NASC之后,UE对该NASC进行完整性验证,NASC的完整性验证通过之后,若NASC中的UE与第二AMF之间协商的NAS安全算法与UE与第一AMF之间协商的NAS安全算法不一致,和/或,NASC中携带K_AMF_change_flag=1,则UE保存第一NAS安全上下文,K_AMF_change_flag可以称为AMF密钥改变指示或密钥推演指示。
UE保存了第一NAS安全上下文之后,基于NASC中的信息更新第一NAS安全上下文得到第三NAS安全上下文,执行S131。
S140,UE恢复使用第一NAS安全上下文。
在UE发现切换失败时,UE恢复S130保存的第一NAS安全上下文。
可选地,UE删除第三NAS安全上下文。
作为另一种可能的实现方式,UE不执行上述的S130、S131和S140。而是执行S132,继续使用第一NAS安全上下文。
UE收到第一(R)AN发送的切换命令消息,获取到NASC之后,UE对该NASC进行完整性验证,NASC的完整性验证失败之后,UE继续使用当前使用的第一NAS安全上下文。
本申请实施例中涉及的NAS安全上下文主要包括:密钥标识符ngKSI、AMF密钥、NASKey、DL NAS count、UL NAS count以及NAS安全算法等。其中,密钥标识符用来指示AMF密钥,DL NAS count和UL NAS count分别是下行和上下NAS计数器。上述描述的NAS安全上下文中包括的内容只是简单的描述,并不能以此限制本申请的保护范围。
综上所述,图4所示的实施例中,在切换失败的情况下,UE和第一AMF均退回到使用第一NAS安全上下文进行NAS安全保护,进而到达UE和第一AMF使用的AMF密钥和NAS密钥一致的目的。
图5是本申请实施例提供的另一种切换的处理方法的流程示意图。该示意图包括UE、第一AMF、第二AMF、第一(R)AN、第二(R)AN以及S210-S240。下面详细介绍图5所示的方法流程。
在进行切换之前UE和第一AMF上的NAS安全上下文包括上述的Kamf、Knasenc、Knasint、DL NAS COUNT=X以及UE与第一AMF之间协商的NAS安全算法等。图4所示的实施例中称切换之前UE和第一AMF上的NAS安全上下文为第一NAS安全上下文。
S211,第一(R)AN向第一AMF发送切换请求消息。
图5所示的实施例中,第一(R)AN向第一AMF发送切换请求消息与图2中S1类似,这里不再赘述。
S212,第一AMF向第二AMF发送UE的安全上下文。
具体地,第一AMF将UE的安全上下文发送给第二AMF可以是第一AMF向第二AMF发起UE上下文创建服务请求。包括以下两种可能:
可能一:第一AMF不对第一NAS安全上下文中包括的密钥Kamf进行密钥推演,则第一AMF向第二AMF发送的UE的安全上下文中包括Kamf、DL NAS COUNT=X+1、UE与第一AMF之间协商的NAS安全算法和UE支持的NAS安全算法列表;
可能二:第一AMF对第一NAS安全上下文中包括的密钥Kamf进行密钥推演,则第一AMF向第二AMF发送的UE的安全上下文中包括Kamf’、DL NAS COUNT=X+1、UE与第一AMF之间协商的NAS安全算法、UE支持的NAS安全算法列表以及密钥推演指示,该密钥推演指示用于指示第一AMF向第二AMF发送的UE的安全上下文中的密钥为第一AMF经过密钥推演得到的。其中,密钥推演指示可以称为K_AMF_change_flag,具体地K_AMF_change_flag的值为1表示指示第一AMF向第二AMF发送的UE的安全上下文中的密钥为第一AMF经过密钥推演得到。
图5所示的实施例中,第二AMF接收到第一AMF发送的UE的安全上下文之后,执行S213,第二AMF生成第三NAS安全上下文。具体地,图5所示的实施例中,第二AMF生成第三NAS安全上下文与图4所示的实施例中第二AMF生成第三NAS安全上下文类似,这里不再赘述。
进一步地,第二AMF生成第三NAS安全上下文之后,基于该新的NAS安全上下文确定NASC,即图5所示的实施例还包括S214,第二AMF确定NASC。具体地,图5所示的实施例中,第二AMF确定NASC与图4所示的实施例中第二AMF确定NASC类似,这里不再赘述。
应理解,第二AMF需要将上述的NASC发送给UE,具体地发送给UE需要经由第二(R)AN、第一AMF以及第一(R)AN的转发,本申请实施例中对于上述的NASC如何发送至UE并不限制,参照现有协议中的规定即可,与图4所示的实施例中第二AMF将上述的NASC发送给UE类似,这里不再赘述。
S210,UE保存第一NAS安全上下文。
UE收到第一(R)AN发送的切换命令消息,获取到NASC之后,UE首先保存第一NAS安全上下文之后,再基于NASC中的信息更新第一NAS安全上下文得到第三NAS安全上下文,执行S211。
S220,UE生成第二NAS安全上下文。
UE在发现切换失败时,UE生成第三NAS安全上下文包括以下几种可能:
可能一:NASC中的UE与第二AMF之间协商的NAS安全算法与UE与第一AMF之间协商的NAS安全算法不一致且NASC中携带K_AMF_change_flag=1。NASC中携带K_AMF_change_flag=1指的是UE需要进行密钥推演得到Kamf’。
UE对Kamf进行密钥推演,得到Kamf’。进一步地UE根据第二密钥Kamf’和保存的第一NAS安全上下文中UE与第一AMF之间的NAS安全算法,生成第二NAS安全上下文。然后删除第一NAS安全上下文以及与S211中生成的第三NAS安全上下文,开始使用第二NAS安全上下文与第一AMF进行NAS保护。
可能二:NASC中的UE与第二AMF之间协商的NAS安全算法与UE与第一AMF之间协商的NAS安全算法不一致。
UE使用第一NAS安全上下文与第一AMF进行NAS保护,与图4所示的实施例类似。
可能三:NASC中携带K_AMF_change_flag=1。
UE对Kamf进行密钥推演,得到Kamf’。进一步地UE根据第二密钥Kamf’和保存的第一NAS安全上下文中UE与第一AMF之间的NAS安全算法,生成第二NAS安全上下文。然后删除第一NAS安全上下文以及与S211中生成的第三NAS安全上下文,开始使用第二NAS安全上下文与第一AMF进行NAS保护。
进一步地,UE发现切换失败之后,需要经由第一(R)AN通知第一AMF取消切换,则图5所示的方法流程中,还包括S221,第一(R)AN向第一AMF发送切换取消请求。
S230,第一AMF生成第二NAS安全上下文。
第一AMF侧在收到切换取消请求后,生成第二NAS安全上下文包括以下两种可能:
可能一:第一AMF在S212之前对Kamf进行了密钥推演,得到了第二密钥Kamf’。则第一AMF侧在收到切换取消请求后根据Kamf’以及第一NAS安全上下文中UE与第一AMF之间的NAS安全算法,生成第二NAS安全上下文。然后利用第二NAS安全上下文与UE进行NAS安全保护。图5所示的实施例主要考虑可能一,第一AMF生成了第二NAS安全上下文。
可能二:第一AMF在S212之前未对Kamf进行了密钥推演。则第一AMF侧在收到切换取消请求后使用第一NAS安全上下文与第一AMF进行NAS保护,与图4所示的实施例类似。
综上所述,图5所示的实施例中,在切换失败的情况下,UE和第一AMF均使用第二NAS安全上下文进行NAS安全保护,进而到达UE和第一AMF使用的NAS密钥一致的目的。
应理解,上述各个方法实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解本申请中的“第一”、“第二”仅用于区分说明,而不应对本申请构成任何限定。其中,第一NAS安全上下文、第二NAS安全上下文只是用于区分不同的NAS安全上下文。
上面结合图4和图5详细介绍了本申请实施例提供的切换的处理方法,下面结合图6-图9详细介绍本申请实施例提供的切换的处理装置。
参见图6,图6是本申请提出的切换的处理装置10的示意图。如图6所示,装置10包括接收单元110和处理单元120。
接收单元110,用于接收第一接入网设备发送的切换命令消息,所述切换命令消息携带第二接入管理功能AMF选择的第二NAS安全算法和AMF密钥改变指示;
处理单元120,用于当所述第二NAS安全算法与所述UE当前使用的第一NAS安全算法不一致和/或所述AMF密钥改变指示为1时,所述UE保存第一非接入层NAS安全上下文,所述第一NAS安全上下文为所述UE和第一AMF协商生成的NAS安全上下文;
所述处理单元120,还用于切换失败时,使用所述第一NAS安全上下文与所述第一AMF进行非接入层NAS保护。
装置10和方法实施例中的用户设备完全对应,装置10可以是方法实施例中的用户设备,或者方法实施例中的用户设备内部的芯片或功能模块。装置10的相应单元用于执行图4和图5所示的方法实施例中由用户设备执行的相应步骤。
其中,装置10中的接收单元110执行方法实施例中用户设备接收的步骤。例如,执行图4中接收第一(R)AN发送切换命令消息的步骤1191、执行图5中接收第一(R)AN发送切换命令消息的步骤219。
处理单元120执行方法实施例中用户设备内部实现或处理的步骤。例如,执行图4中保存第一NAS安全上下文的步骤130、执行图4中生成第三NAS安全上下文的步骤131、执行图4中恢复使用第一NAS安全上下文的步骤140、或者,执行图4中继续使用第一NAS安全上下文的步骤132、执行图5中保存第一NAS安全上下文的步骤210、执行图5中生成第三NAS安全上下文的步骤211、执行图5中生成第二NAS安全上下文的步骤220。
装置10中所示的切换的处理装置还可能包括发送单元(图6中并未示出),发送单元用于执行向其他设备发送消息的功能,接收单元110和发送单元可以组成收发单元,同时具有接收和发送的功能。其中,处理单元120可以是处理器。发送单元可以是接收器。接收单元110可以是发射器。接收器和发射器可以集成在一起组成收发器。
参见图7,图7是适用于本申请实施例的用户设备20的结构示意图。该用户设备20可应用于图1所示出的系统中。为了便于说明,图7仅示出了用户设备的主要部件。如图7所示,用户设备20包括处理器、存储器、控制电路、天线以及输入输出装置。处理器用于控制天线以及输入输出装置收发信号,存储器用于存储计算机程序,处理器用于从存储器中调用并运行该计算机程序,以执行本申请提出的切换的处理方法中由用户设备执行的相应流程和/或操作。此处不再赘述。
本领域技术人员可以理解,为了便于说明,图7仅示出了一个存储器和处理器。在实际的用户设备中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
参见图8,图8是本申请提出的切换的处理装置30的示意图。如图8所示,装置30包括接收单元310、处理单元320和发送单元330。
接收单元310,用于接收第一接入网设备发送的切换请求消息;
处理单元320,用于根据本地策略确定需要进行密钥推演;
处理单元320,还用于保存第一非接入层NAS安全上下文,所述第一NAS安全上下文为所述第一AMF与用户设备UE协商生成的NAS安全上下文;
发送单元330,用于向第二AMF发送用户设备UE的安全上下文;
处理单元320,还用于恢复使用所述第一NAS安全上下文。
装置30和方法实施例中的第一AMF完全对应,装置30可以是方法实施例中的第一AMF,或者方法实施例中的第一AMF内部的芯片或功能模块。装置30的相应单元用于执行图4和图5所示的方法实施例中由第一AMF执行的相应步骤。
其中,装置30中的接收单元310执行方法实施例中第一AMF接收的步骤。例如,执行图4中接收第一(R)AN发送切换请求消息的步骤111、执行图4中接收第二AMF发送UE上下文创建服务请求响应的步骤118、执行图5中接收第一(R)AN发送切换请求消息的步骤211、执行5中接收第二AMF发送UE上下文创建服务请求响应的步骤217。
处理单元320执行方法实施例中第一AMF内部实现或处理的步骤。例如,执行图4中保存第一NAS安全上下文的步骤110、执行图4中进行密钥推演的步骤112、执行图4中恢复使用第一NAS安全上下文的步骤120、执行图5中生成第二NAS安全上下文的步骤230。
发送单元330执行方法实施例中第一AMF发送的步骤。例如,执行图4中向第二AMF发送UE的安全上下文的步骤113、执行图4中向第一(R)AN发送切换命令消息的步骤119、执行图5中向第二AMF发送UE的安全上下文的步骤212、执行图5中向第一(R)AN发送切换命令消息的步骤218。
接收单元310和发送单元330可以组成收发单元,同时具有接收和发送的功能。其中,处理单元320可以是处理器。发送单元330可以是接收器。接收单元310可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图9所示,本申请实施例还提供了一种第一AMF 40,该第一AMF 40包括处理器410,存储器420与收发器430,其中,存储器420中存储指令或程序,处理器430用于执行存储器420中存储的指令或程序。存储器420中存储的指令或程序被执行时,收发器430用于执行图8所示的装置30中的接收单元310与发送单元330执行的操作。
本申请一实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4和图5所示的方法中第一AMF执行的各个步骤。
本申请一实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4和图5所示的方法中用户设备执行的各个步骤。
本申请一实施例还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4和图5所示的方法中第一AMF执行的各个步骤。
本申请一实施例还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4和图5所示的方法中用户设备执行的各个步骤。
本申请一实施例还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的切换的处理方法中由用户设备执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的切换的处理方法中由第一AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器((R)ANdom Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (21)
1.一种切换的处理方法,其特征在于,所述方法应用于用户设备UE从第一接入管理网元AMF向第二AMF切换的场景,所述方法包括:
用户设备UE接收来自第一接入网设备的切换命令消息,所述切换命令消息携带非接入层容器NASC;
所述UE对所述NASC进行完整性验证;
若对所述NASC的完整性验证失败,所述UE继续使用第一非接入层NAS安全上下文;其中,所述第一NAS安全上下文为所述UE与所述第一AMF之间的安全上下文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述NASC包括密钥推演指示且所述密钥推演指示的值为1,则所述UE根据所述第一NAS安全上下文获取第三NAS安全上下文。
3.根据权利要求2所述的方法,其特征在于,所述第一NAS安全上下文包括第一密钥Kamf;所述用户设备根据所述第一NAS安全上下文获取第三NAS安全上下文,包括:
所述用户设备根据所述第一Kamf获取第二Kamf。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
若对所述NASC的完整性验证失败,则删除所述第三NAS安全上下文。
5.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
若对所述NASC的完整性验证成功,则使用所述第三NAS安全上下文对所述UE与所述第二AMF之间的信息进行安全保护。
6.根据权利要求1所述的方法,其特征在于,所述UE继续使用第一非接入层NAS安全上下文,包括:
所述UE使用第一NAS安全上下文对所述UE与所述第一AMF之间的信息进行安全保护。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述NASC包括密钥推演指示且所述密钥推演指示的值为1,则所述UE保存所述第一NAS安全上下文。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若对所述NASC的完整性验证失败,所述UE通过第一接入网设备向所述第一AMF发送切换取消请求。
9.一种切换的处理装置,其特征在于,包括:
接收单元,用于接收来自第一接入网设备的切换命令消息,所述切换命令消息携带非接入层容器NASC;
处理单元,用于对所述NASC进行完整性验证;若对所述NASC的完整性验证失败,则继续使用第一非接入层NAS安全上下文;其中,所述第一NAS安全上下文为UE与第一AMF之间的安全上下文。
10.根据权利要求9所述的处理装置,其特征在于,
所述处理单元,还用于若所述NASC包括密钥推演指示且所述密钥推演指示的值为1,则所述UE根据所述第一NAS安全上下文获取第三NAS安全上下文。
11.根据权利要求10所述的处理装置,其特征在于,所述第一NAS安全上下文包括第一密钥Kamf;所述处理单元,还用于根据所述第一Kamf获取第二Kamf。
12.根据权利要求10或11所述的处理装置,其特征在于,所述处理单元,还用于若对所述NASC的完整性验证失败,则删除所述第三NAS安全上下文。
13.根据权利要求10或11所述的处理装置,其特征在于,所述处理单元,还用于若对所述NASC的完整性验证成功,则使用所述第三NAS安全上下文对所述UE与所述第二AMF之间的信息进行安全保护。
14.根据权利要求9所述的处理装置,其特征在于,所述处理单元,具体用于使用第一NAS安全上下文对所述UE与所述第一AMF之间的信息进行安全保护。
15.根据权利要求9所述的处理装置,其特征在于,所述处理单元,还用于若所述NASC包括密钥推演指示且所述密钥推演指示的值为1,则保存所述第一NAS安全上下文。
16.根据权利要求9所述的处理装置,其特征在于,所述处理装置还包括发送单元,所述发送单元用于若对所述NASC的完整性验证失败,则通过第一接入网设备向所述第一AMF发送切换取消请求。
17.一种通信设备,其特征在于,包括:
存储器,用于存储计算机程序;
收发器,用于执行收发步骤;
处理器,所述处理器与所述存储器、收发器耦合,所述存储器中的所述计算机程序被所述处理器执行时,权利要求1至8任一项所述的方法会被运行。
18.一种计算机可读存储介质,其特征在于,所述计算机可读介质存储有计算机程序;所述计算机程序在计算机上运行时,权利要求1至8中任一项所述的方法会被处理器运行。
19.一种芯片,其特征在于,所述芯片包括处理器,所述处理器用于读取并运行存储器中存储的计算机程序,以执行权利要求1至8任一所述的方法。
20.根据权利要求19所述的芯片,其特征在于,所述芯片还包括所述存储器,所述存储器与所述处理器通过电路或电线连接,处理器用于读取并执行该存储器中的计算机程序。
21.根据权利要求19或20所述的芯片,其特征在于,所述芯片还包括通信接口,所述处理器与所述通信接口连接;通信接口用于接收需要处理的数据和/或信息,所述处理器从所述通信接口获取所述数据和/或信息,并对所述数据和/或信息进行处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010127744.5A CN111417117B (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910356843.8A CN111866967A (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
CN202010127744.5A CN111417117B (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910356843.8A Division CN111866967A (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111417117A CN111417117A (zh) | 2020-07-14 |
CN111417117B true CN111417117B (zh) | 2021-03-02 |
Family
ID=71509229
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910356843.8A Pending CN111866967A (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
CN202010127744.5A Active CN111417117B (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910356843.8A Pending CN111866967A (zh) | 2019-04-29 | 2019-04-29 | 切换的处理方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11576092B2 (zh) |
EP (1) | EP3751780A4 (zh) |
JP (2) | JP2022530961A (zh) |
CN (2) | CN111866967A (zh) |
BR (1) | BR112021021641A8 (zh) |
WO (1) | WO2020220888A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
MX2020002595A (es) * | 2017-09-15 | 2020-10-22 | Ericsson Telefon Ab L M | Contexto de seguridad en un sistema de comunicacion inalambrica. |
CN112333784B (zh) * | 2020-11-05 | 2023-03-24 | 中国联合网络通信集团有限公司 | 安全上下文的处理方法、第一网元、终端设备及介质 |
US11653194B2 (en) | 2021-03-31 | 2023-05-16 | Cisco Technology, Inc. | Techniques to provide resiliency and overload control for access and mobility management functions |
CN116074828A (zh) * | 2021-10-30 | 2023-05-05 | 华为技术有限公司 | 管理安全上下文的方法和装置 |
CN116939736A (zh) * | 2022-04-01 | 2023-10-24 | 华为技术有限公司 | 通信方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299884A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
CN106507348A (zh) * | 2015-09-07 | 2017-03-15 | 大唐移动通信设备有限公司 | 一种lte系统中ue接入核心网epc的方法和装置 |
CN109587685A (zh) * | 2017-05-04 | 2019-04-05 | 华为技术有限公司 | 获取密钥的方法、设备和通信系统 |
CN109600803A (zh) * | 2017-09-30 | 2019-04-09 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2009020789A2 (en) * | 2007-08-03 | 2009-02-12 | Interdigital Patent Holdings, Inc. | Security procedure and apparatus for handover in a 3gpp long term evolution system |
US8179860B2 (en) * | 2008-02-15 | 2012-05-15 | Alcatel Lucent | Systems and method for performing handovers, or key management while performing handovers in a wireless communication system |
KR101700448B1 (ko) * | 2009-10-27 | 2017-01-26 | 삼성전자주식회사 | 이동 통신 시스템에서 보안 관리 시스템 및 방법 |
CN102281535A (zh) * | 2010-06-10 | 2011-12-14 | 华为技术有限公司 | 一种密钥更新方法与装置 |
WO2017128306A1 (zh) * | 2016-01-29 | 2017-08-03 | 华为技术有限公司 | 通信方法及设备 |
US10856131B2 (en) * | 2017-01-16 | 2020-12-01 | Lg Electronics Inc. | Method for updating UE configuration in wireless communication system and apparatus for same |
CN115396886A (zh) * | 2017-01-30 | 2022-11-25 | 瑞典爱立信有限公司 | 空闲模式期间5g中的安全性上下文处理的方法和装置 |
US10397892B2 (en) * | 2017-02-06 | 2019-08-27 | Huawei Technologies Co., Ltd. | Network registration and network slice selection system and method |
US10917789B2 (en) * | 2017-04-21 | 2021-02-09 | Nokia Technologies Oy | Radio link recovery for user equipment |
US10470042B2 (en) * | 2017-07-27 | 2019-11-05 | Nokia Technologies Oy | Secure short message service over non-access stratum |
CN109005540B (zh) * | 2017-07-28 | 2019-07-23 | 华为技术有限公司 | 一种密钥推演的方法、装置及计算机可读存储介质 |
MX2020002595A (es) | 2017-09-15 | 2020-10-22 | Ericsson Telefon Ab L M | Contexto de seguridad en un sistema de comunicacion inalambrica. |
TWI783184B (zh) * | 2018-10-17 | 2022-11-11 | 新加坡商聯發科技(新加坡)私人有限公司 | 行動性更新時的使用者設備金鑰推導方法及相關使用者設備 |
-
2019
- 2019-04-29 CN CN201910356843.8A patent/CN111866967A/zh active Pending
- 2019-04-29 CN CN202010127744.5A patent/CN111417117B/zh active Active
-
2020
- 2020-03-27 JP JP2021564354A patent/JP2022530961A/ja active Pending
- 2020-03-27 WO PCT/CN2020/081779 patent/WO2020220888A1/zh unknown
- 2020-03-27 BR BR112021021641A patent/BR112021021641A8/pt not_active Application Discontinuation
- 2020-03-27 EP EP20754608.6A patent/EP3751780A4/en active Pending
- 2020-07-27 US US16/939,926 patent/US11576092B2/en active Active
-
2023
- 2023-07-06 JP JP2023111567A patent/JP2023139045A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101299884A (zh) * | 2008-06-16 | 2008-11-05 | 中兴通讯股份有限公司 | 用户设备转移时密钥身份标识符的生成方法和生成系统 |
CN106507348A (zh) * | 2015-09-07 | 2017-03-15 | 大唐移动通信设备有限公司 | 一种lte系统中ue接入核心网epc的方法和装置 |
CN109587685A (zh) * | 2017-05-04 | 2019-04-05 | 华为技术有限公司 | 获取密钥的方法、设备和通信系统 |
CN109600803A (zh) * | 2017-09-30 | 2019-04-09 | 华为技术有限公司 | 一种安全保护的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3751780A1 (en) | 2020-12-16 |
US11576092B2 (en) | 2023-02-07 |
WO2020220888A1 (zh) | 2020-11-05 |
CN111417117A (zh) | 2020-07-14 |
JP2022530961A (ja) | 2022-07-05 |
BR112021021641A8 (pt) | 2022-10-25 |
EP3751780A4 (en) | 2021-04-21 |
BR112021021641A2 (zh) | 2021-12-28 |
JP2023139045A (ja) | 2023-10-03 |
CN111866967A (zh) | 2020-10-30 |
US20200359280A1 (en) | 2020-11-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111417117B (zh) | 切换的处理方法和装置 | |
US11589274B2 (en) | Security protection method, apparatus, and system | |
EP3574669B1 (en) | Security context handling in 5g during connected mode | |
CN114513790B (zh) | 获取安全上下文的方法和网络设备 | |
US11751160B2 (en) | Method and apparatus for mobility registration | |
CN117377011A (zh) | 第一网络装置及其方法和第二网络装置及其方法 | |
CN110913393B (zh) | 切换方法和终端设备 | |
WO2019096279A1 (zh) | 一种安全通信方法和装置 | |
US11606768B2 (en) | Method and apparatus for registration | |
WO2021201729A1 (en) | Faster release or resume for ue in inactive state | |
WO2018228444A1 (zh) | 连接管理方法、终端及无线接入网设备 | |
US20230362201A1 (en) | Security policy processing method and communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |