CN111447675B - 通信方法和相关产品 - Google Patents

通信方法和相关产品 Download PDF

Info

Publication number
CN111447675B
CN111447675B CN201910045711.3A CN201910045711A CN111447675B CN 111447675 B CN111447675 B CN 111447675B CN 201910045711 A CN201910045711 A CN 201910045711A CN 111447675 B CN111447675 B CN 111447675B
Authority
CN
China
Prior art keywords
network
key
kn3iwf
npn
plmn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910045711.3A
Other languages
English (en)
Other versions
CN111447675A (zh
Inventor
李飞
张博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201910045711.3A priority Critical patent/CN111447675B/zh
Publication of CN111447675A publication Critical patent/CN111447675A/zh
Application granted granted Critical
Publication of CN111447675B publication Critical patent/CN111447675B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例通信方法和相关产品,一种通信方法包括:第一网络的AMF接收用于请求将UE注册到第一网络的注册请求,注册请求是在UE通过第二网络接入第一网络的注册过程产生,第一网络为PLMN且第二网络为NPN,或第一网络为NPN且第二网络为PLMN;第一网络的AMF在通过UE注册到第一网络的过程而得到对应的AMF密钥Kamf后,基于Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;第一密钥Kn3iwf与第二密钥Kn3iwf不同,第二密钥Kn3iwf在UE通过第二网络的非3GPP接入网接入第二网络的过程中产生。上述方案有利于提升跨网络接入场景下的Kn3iwf密钥隔离性,进而提升通信安全性。

Description

通信方法和相关产品
技术领域
本申请涉及通信技术领域,尤其涉及通信方法和相关产品。
背景技术
第三代合作伙伴项目(3GPP,3rd Generation Partnership Project)在5G LAN研究项目提出一种群组通信的方式:采用非公共网络(NPN,Non-Public Network)组网,NPN在网络形态上与陆上公用移动通信网(PLMN,Public Land Mobile Network)基本一致,拥有自己独立的接入网部分(包含3gpp接入和非3gpp接入)和核心网部分。NPN用户设备(UE,User Equipment)也有着与PLMN UE相同的密钥体系。
为了保证UE的网络连续性,UE可通过NPN自身的接入网来接入NPN,当然也可通过PLMN来接入NPN,反之亦然。例如,如果UE通过NPN non-3gpp接入网接入到NPN,且同时又通过PLMN的方式接入NPN,那么安全性问题需要被考虑。
发明内容
本申请实施例提供通信方法和相关产品。
第一方面,本申请实施例提供一种通信方法,包括:第一网络的AMF接收用于请求将UE注册到所述第一网络的注册请求(其中,这个注册请求可能来自于第一网络的非3gpp网间交互功能(N3IWF,Non-3GPP InterWorking Function),例如第一网络的N3IWF在接收到来自UE的注册请求之后,将其转发给第一网络的AMF)。所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生。所述第一网络为PLMN且所述第二网络为NPN,或所述第一网络为NPN且所述第二网络为PLMN。
所述第一网络的AMF在通过所述UE注册到第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf(一个N3IWF密钥);所述第一密钥Kn3iwf与第二密钥Kn3iwf不同,所述第二密钥Kn3iwf(另一N3IWF密钥)在所述UE通过第一网络的非3GPP接入网接入第一网络的过程中产生。
其中,第一密钥Kn3iwf由第一网络中的第一N3IWF使用,第二密钥Kn3iwf由第一网络中的第二N3IWF使用,其中,第一N3IWF为通过第二网络接入第一网络的UE服务,第二N3IWF为通过第一网络的非3GPP接入网接入第一网络的UE服务。
可以看出,本申请实施例,在UE既通过第一网络的非3GPP接入网接入第一网络,且还通过第二网络接入第一网络的情况下,使两种接入方式下各自使用的第一密钥Kn3iwf(一个N3IWF密钥)与第二密钥Kn3iwf(另一N3IWF密钥)不同,进而实现了第一密钥Kn3iwf与第二密钥Kn3iwf的密钥隔离,因此,这样的密钥隔离机制有利于更好抵抗密钥泄漏风险,进而有利于提升通信安全性。
在一些可能的实施方式中,所述密钥输入参数T1可能来自于所述UE或所述第一网络的N3IWF或其他设备。
在一些可能的实施方式中,所述密钥输入参数T1可包括如下参数的一种或多种:上行非接入层计数值(UL NAS COUNT,UpLink Non-Access Stratum Count)、所述第一网络的服务网络标识(SN ID)、所述第二网络的描述信息(所述第二网络的描述信息例如可包括所述第二网络的网络标识,当然,也可能是其它用于描述第二网络的信息,基于所述第二网络的描述信息可以确定其所描述的是第二网络)、所述第一网络的N3IWF标识或接入类型标识。所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
在一些可能的实施方式中,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数。
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
可以理解,两个密钥输入参数不同,可以指密钥输入参数的类型不同,也可以指密钥输入参数的类型相同但取值不同。
在一些可能的实施方式中,所述密钥输入参数T1例如可携带于所述注册请求中或其他消息中。
第二方面,本申请实施例还提供一种第一网络的AMF,包括:
收发单元,用于接收用于请求将UE注册到所述第一网络的注册请求,所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生,其中,所述第一网络为PLMN且所述第二网络为NPN,或所述第一网络为NPN且所述第二网络为PLMN;
处理单元,用于在通过所述UE注册到所述第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;所述第一密钥Kn3iwf与第二密钥Kn3iwf相互隔离,其中,所述第二密钥Kn3iwf在所述UE通过第二网络的非3GPP接入网接入第二网络的过程中产生。
可以看出,本申请实施例,在UE既通过第一网络的非3GPP接入网接入第一网络,且还通过第二网络接入第一网络的情况下,使两种接入方式下各自使用的第一密钥Kn3iwf(一个N3IWF密钥)与第二密钥Kn3iwf(另一N3IWF密钥)不同,进而实现了第一密钥Kn3iwf与第二密钥Kn3iwf的密钥隔离,因此,这样的密钥隔离机制有利于更好抵抗密钥泄漏风险,进而有利于提升通信安全性。
在一些可能的实施方式中,所述密钥输入参数T1可能来自于所述UE或所述第一网络的N3IWF或其他设备。
在一些可能的实施方式中,所述密钥输入参数T1可以包括如下参数的一种或多种:上行NAS计数值(UL NAS COUNT)、所述第一网络的服务网络标识(SN ID)、所述第二网络的描述信息(所述第二网络的描述信息例如可包括所述第二网络的网络标识,当然也可能是其它用于描述第二网络的信息,当然,基于第二网络的描述信息可确定其所描述的是第二网络)、所述第一网络的N3IWF标识或接入类型标识。所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
在一些可能的实施方式中,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
其中,本申请实施例中所称的密钥输入参数不同,可指密钥输入参数类型不同,或指密钥输入参数类型相同但取值不同。
在一些可能的实施方式中,所述密钥输入参数T1例如可携带于所述注册请求中或其他消息中。
第三方面,本申请实施例还提供一种第一网络的AMF,包括:
相互耦合的处理器和存储器;
其中,所述处理器用于调用所述存储器中存储的计算机程序,以执行以上各方面的方法的部分或全部步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其中,所述计算机程序被处理器执行,以完成以上各方面的方法的部分或全部步骤。
第五方面,本申请实施例还提供了一种包括指令的计算机程序产品,其中,当所述计算机程序产品在第一网络的AMF运行时,使得第一网络的AMF执行以上各方面的方法的部分或全部步骤。
附图说明
下面将对本申请实施例涉及的一些附图进行说明。
图1-A是本申请实施例提供的一种通信系统的架构示意图。
图1-B是本申请实施例提供的另一种通信系统的架构示意图。
图2是本申请实施例提供的一种通信方法的流程示意图。
图3是本申请实施例提供的另一种通信方法的流程示意图。
图4是本申请实施例提供的另一种通信方法的流程示意图。
图5是本申请实施例提供的另一种通信方法的流程示意图。
图6是本申请实施例提供的另一种通信方法的流程示意图。
图7是本申请实施例提供的另一种通信方法的流程示意图。
图8是本申请实施例提供的另一种通信方法的流程示意图。
图9是本申请实施例提供的一种AMF的结构示意图。
图10是本申请实施例提供的另一种AMF的结构示意图。
具体实施方式
下面结合本申请实施例中的附图对本申请实施例进行描述。
参见图1-A,图1-A是本申请实施例举例的一种5G网络架构的示意图。其中,5G网络对4G网络的某些功能网元(例如移动性管理实体(MME,Mobility Management Entity)等等)进行了一定拆分,并定义了基于服务化架构的架构。在图1-A所示网络架构中,类似4G网络中的MME的功能,被拆分成了接入与移动性管理功能(AMF,Access and MobilityManagement Function)和会话管理功能(SMF,Session Management Function)等等。
下面对其他一些相关网元/实体进行介绍。
用户终端(UE,User Equipment)通过接入运营商网络来访问数据网络(DN,DataNetwork)等等,使用DN上的由运营商或第三方提供的业务。
接入与移动性管理功能(AMF)是3GPP网络中的一种控制面网元,主要负责UE接入运营商网络的接入控制和移动性管理。其中,安全锚点功能(SEAF,Security AnchorFunction)可以部署于AMF之中,或SEAF也可能部署于不同于AMF的另一设备中,图1-A中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时,SEAF和AMF可合称AMF。
会话管理功能(SMF)是3GPP网络中的一种控制面网元,其中,SMF主要用于负责管理UE的数据包(PDU,Packet Data Unit)会话。PDU会话是一个用于传输PDU的通道,UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。
数据网络(DN,Data Network)也称为分组数据网络(PDN,Packet Data Network),是位于3GPP网络之外的网络。其中,3GPP网络可接入多个DN,DN上可部署运营商或第三方提供的多种业务。例如,某个DN是一个智能工厂的私有网络,安装在智能工厂车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器。UE与控制服务器通信,UE在获取控制服务器的指令之后,可根据这个指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工所使用的终端则可扮演UE的角色,这个UE可以访问公司内部的信息和其他资源。
其中,统一数据管理网元(UDM,Unified Data Management)也是3GPP网络中的一种控制面网元,UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、信任状(credential)和持久身份标识(SUPI,Subscriber Permanent Identifier)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。
认证服务器功能(AUSF,Authentication Server Function)也是3GPP网络中的一种控制面网元,AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。
其中,网络开放功能(NEF,Network Exposure Function)也是3GPP网络之中的一种控制面网元。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。其中,在SMF等网元需要与第三方网元通信时,可以以NEF为通信的中继。其中,中继时,NEF可以进行内外部标识的翻译。比如,将UE的SUPI从3GPP网络发送到第三方时,NEF可以将SUPI翻译成其对应的外部身份标识(ID,Identity)。反之,NEF可以将外部身份ID在发送到3GPP网络时,将其翻译成对应的SUPI。
其中,网络存储功能(NRF,Network Repository Function)也是3GPP网络中的一种控制面网元,主要负责存储可被访问的网络功能(NF)的配置额服务资料(profile),为其他网元提供网络功能的发现服务。
用户面功能(UPF,User Plane Function)是3GPP网络与DN通信的网关。
策略控制功能(PCF,Policy Control Function)是3GPP网络中的一种控制面功能,用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(QoS,Quality ofService)、授权相关策略等。
接入网(AN,Access Network)是3GPP网络的一个子网络,UE要接入3GPP网络,首先需要经过AN。在无线接入场景下AN也称无线接入网(RAN,Radio Access Network),因此RAN和AN这两个术语经常不做区分的混用。
3GPP网络是指符合3GPP标准的网络。其中,图1-A中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不只局限于3GPP定义的5G网络,还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外,在图1-A所示架构中的N1、N2、N3、N4、N6等分别代表相关网元/网络功能之间的参照点(Reference Point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。
当然,3GPP网络和非3GPP网络可能共存,5G网络的中的一些网元也可能被运用到一些非5G网络中。
参见图1-B,图1-B举例示出了一种第一网络和第二网络共存的场景。其中,第一网络为PLMN且第二网络为NPN,或者第一网络为NPN且第二网络为PLMN。其中,在PLMN和NPN共存的系统架构,UE可通过NPN接入网(例如NPN的非3GPP接入网)来接入NPN,同时UE也可以通过PLMN来接入NPN。类似的,UE可通过PLMN接入网(例如PLMN的非3GPP接入网)来接入PLMN,同时UE也可通过NPN来接入PLMN。
其中,第一网络中有两个N3IWF(即N3IWF1和N3IWF2),其中,N3IWF1用于为通过第二网络接入第一网络的UE服务,而N3IWF2则用于为通过第一网络的非3GPP接入网接入第一网络的UE服务。
其中,对于PLMN和NPN共存场景,当UE通过NPN接入网(例如NPN的非3GPP接入网)来接入NPN,并且UE还通过PLMN来接入NPN;或者UE通过PLMN接入网(例如PLMN的非3GPP接入网)来接入PLMN,并且UE还可通过NPN来接入PLMN,那么,可能出现的安全性问题有哪些呢。
发明人研究发现,当UE通过NPN接入网(如NPN的非3GPP接入网)接入NPN,且UE还通过PLMN接入NPN,若两种接入方式下推演出相同非3gpp网间交互功能密钥(Kn3iwf),这样将不符合密钥隔离原则,对通信安全性可能产生隐患。UE通过PLMN接入网(例如PLMN的非3GPP接入网)来接入PLMN,且UE还通过NPN来接入PLMN的情况类似。
下面针对这些可能的安全隐患问题进行解决方案讨论。
在一些实施例中,为便于区别网元到底属于NPN还是PLMN,对于NPN中的网元,可表示为NPN-网元(例如NPN-N3IWF,NPN-AMF,其它网元以此类推),对于PLMN中的网元,可表示为PLMN-网元(例如PLMN-N3IWF,PLMN-AMF,其它网元以此类推)。
参见图2,图2是本申请实施例提供的一种通信方法的流程示意图。一种通信方法可以包括:
201.第一网络的AMF接收用于请求将UE注册到所述第一网络的注册请求。
这个注册请求(RR,Registration Request)可能来自于第一网络的N3IWF,例如第一网络的N3IWF在接收到来自UE的注册请求之后,将其转发给第一网络的AMF。第一网络的N3IWF可能不调整接收到的注册请求所携带的信息,而直接将其转发给第一网络的AMF,第一网络的N3IWF可能先调整接收到的注册请求所携带的信息(例如在注册请求中新增信息,例如新增第二网络的网络标识等,第一网络的N3IWF可能从UE获得第二网络的网络标识),而后将调整后的注册请求转发给第一网络的AMF。
其中,所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生。
其中,所述第一网络为PLMN且所述第二网络为NPN,或所述第一网络为NPN且所述第二网络为PLMN。
202.所述第一网络的AMF在通过所述UE注册到第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf。其中,所述第一密钥Kn3iwf与第二密钥Kn3iwf相互隔离,所述第二密钥Kn3iwf在所述UE通过第一网络的非3GPP接入网接入第一网络的过程中产生。
其中,第一密钥Kn3iwf由第一网络中的第一N3IWF使用,第二密钥Kn3iwf由第一网络中的第二N3IWF使用,其中,第一N3IWF为通过第二网络接入第一网络的UE服务,第二N3IWF为通过第一网络的非3GPP接入网接入第一网络的UE服务。
在一些可能的实施方式中,所述密钥输入参数T1可能来自于所述UE或所述第一网络的N3IWF或其他设备。
在一些可能的实施方式中,所述密钥输入参数T1可以包括如下参数的一种或多种:上行NAS计数值(UL NAS COUNT)、第一网络的服务网络标识(SN ID)、第二网络的描述信息(所述第二网络的描述信息例如可包括所述第二网络的网络标识,当然,也可能是其它用于描述第二网络的信息,其中,基于所述第二网络的描述信息可以确定其所描述的是第二网络)、所述第一网络的N3IWF标识或接入类型标识。此处,所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
在一些可能的实施方式中,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数。
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
可以理解,两个密钥输入参数不同,可以指密钥输入参数的类型不同,也可以指密钥输入参数的类型相同但取值不同。
在一些可能的实施方式中,所述密钥输入参数T1例如可携带于所述注册请求中或其他消息中。
可以看出,本申请实施例,在UE既通过第一网络的非3GPP接入网接入第一网络,且还通过第二网络接入第一网络的情况下,使两种接入方式下各自使用的第一密钥Kn3iwf(一个N3IWF密钥)与第二密钥Kn3iwf(另一N3IWF密钥)不同,进而实现了第一密钥Kn3iwf与第二密钥Kn3iwf的密钥隔离,因此,这样的密钥隔离机制有利于更好抵抗密钥泄漏风险,进而有利于提升通信安全性。
下面通过更为具体的应用场景进行举例介绍。
参见图3,图3是本申请实施例提供的另一种通信方法的流程示意图。图3所示的另一通信方法可基于图1-B所示网络架构来实施,其在,具体以第一网络为NPN,第二网络为PLMN为例。另一种通信方法可以包括:
301.UE进行PLMN注册并建立起PLMN的分组数据单元(PDU,packet data unit)会话。
302.UE通过上述PLMN的PDU会话与NPN-N3IWF1(这个NPN-N3IWF1是NPN中的其中一个N3IWF,且NPN-N3IWF1是为通过PLMN接入NPN的UE服务的N3IWF)发起互联网密钥交换安全关联(IKE_SA,Internet key exchange_Security association)流程。
303.NPN-N3IWF1向UE发送IKE认证(IKE_AUTH)请求。
304.UE通过上述PLMN的PDU会话向NPN-N3IWF1发送IKE_AUTH响应。
其中,IKE_AUTH响应携带用于请求将所述UE注册到NPN的注册请求。这个注册请求可携带UE的PLMN标识(PLMN ID),当然这个注册请求还可携带其他信息。
可选的,UE也可在步骤302或304中将PLMN标识传递给NPN-N3IWF1。具体的,UE可通过IKE_SA流程将PLMN标识传递给NPN-N3IWF1,或者UE可通过IKE_AUTH响应将PLMN标识传递给NPN-N3IWF1。
305、NPN-N3IWF1在接收到上述注册请求之后,可为UE选择对应的NPN-AMF(即NPN网络中的AMF)。
306.NPN-N3IWF1向为UE选择的NPN-AMF转发上述注册请求(这个注册请求例如可携带于N2消息中),进而向NPN-AMF转发的这个注册请求携带的PLMN标识。
其中,如果UE发送的注册请求携带PLMN标识,那么NPN-N3IWF可向NPN-AMF转发这个注册请求,而不执行向所转发的注册请求中添加PLMN标识的操作。如UE发送的注册请求未携带PLMN标识,那么NPN-N3IWF先向注册请求中添加PLMN标识,而后再向NPN-AMF转发这个添加了PLMN标识的注册请求。
307.UE与NPN进行NPN注册认证。
308.UE和NPN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过PLMN接入NPN)或PLMN标识等。
例如,Kn3iwf=KDF(Kamf,PLMN ID)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
309.NPN-AMF向NPN-N3IWF1发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给NPN-N3IWF1。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
310.UE与NPN-N3IWF1之间建立起互联网安全协议(IPSEC,Internet ProtocolSecurity)隧道。
可选地,UE也可不向NPN-N3IWF1传递PLMN标识,而可由NPN-N3IWF1将NPN-N3IWF1的N3IWF ID传递给UE和NPN-AMF等,UE和NPN-AMF以Kamf作为输入密钥,以NPN-N3IWF1的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成相应的Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于NPN中有两个N3IWF(即NPN-N3IWF1和NPN-N3IWF2),NPN-N3IWF1用于为通过PLMN接入NPN的UE服务,而NPN-N3IWF2则用于为通过NPN的非3GPP接入网接入NPN的UE服务。而NPN-N3IWF1和NPN-N3IWF2的N3IWF ID不同,因此在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现接入两种场景下的对应Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过PLMN接入NPN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过PLMN接入NPN,还是通过NPN接入网来接入NPN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现两种接入场景下的Kn3iwf密钥隔离效果。
可以看出,本实施例,在UE既通过NPN的非3GPP接入网接入NPN,且还通过PLMN接入NPN的情况下,NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf互不相同,实现了对NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。
参见图4,图4是本申请实施例提供的另一种通信方法的流程示意图。另一种通信方法可包括:
401.UE进行PLMN注册。
402.在建立UE在PLMN的PUD会话过程中,PLMN-SMF若确定要发起UE二次认证,PLMN-SMF可向UE发送标识请求(Identitf Request)消息。
403.UE向PLMN-SMF发送携带注册请求的标识响应(Identitf Response)消息,注册请求用于请求将UE注册到NPN。
可选的,注册请求还可携带PLMN标识等。其中,Identitf Response消息还携带UE标识等。
404.PLMN-SMF向NPN-N3IWF1转发携带注册请求的Identitf Response消息。
405.UE与NPN进行NPN注册认证。
406.UE和NPN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过PLMN接入NPN)或者PLMN标识(即服务网络标识SN ID)等。
例如,Kn3iwf=KDF(Kamf,PLMN ID)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,PLMN ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
407.NPN-AMF向NPN-N3IWF1发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给NPN-N3IWF1。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
408.UE与NPN-N3IWF1之间建立起互联网安全协议(IPSEC)隧道。
可选地,UE也可不向NPN-N3IWF1传递PLMN标识,而可由NPN-N3IWF1将NPN-N3IWF1的N3IWF ID传递给UE和NPN-AMF等,UE和NPN-AMF以Kamf作为输入密钥,以NPN-N3IWF1的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于NPN中有两个N3IWF(即NPN-N3IWF1和NPN-N3IWF2),NPN-N3IWF1用于为通过PLMN接入NPN的UE服务,而NPN-N3IWF2则用于为通过NPN的非3GPP接入网接入NPN的UE服务。而NPN-N3IWF1和NPN-N3IWF2的N3IWF ID不同,因此在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过PLMN接入NPN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过PLMN接入NPN,还是通过NPN接入网来接入NPN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
可以看出,本实施例,在UE既通过NPN的非3GPP接入网接入NPN,且还通过PLMN接入NPN的情况下,NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf互不相同,实现了对NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。并且,通过PLMN接入NPN的的流程与PLMN的PDU会话建立流程融合,灵活性非常强。
参见图5,图5是本申请实施例提供的另一种通信方法的流程示意图。另一种通信方法可包括:
501.UE通过NPN的非3GPP接入网与NPN-N3IWF2(这个NPN-N3IWF2是NPN中的其中一个N3IWF,且NPN-N3IWF2是为通过NPN的非3GPP接入网接入NPN的UE服务的N3IWF)发起IKE_SA流程。
502.UE通过NPN的非3GPP接入网与NPN-N3IWF2发起互联网密钥交换安全关联(IKE_SA)流程。
503.NPN-N3IWF2向UE发送IKE_AUTH响应。
504.UE向NPN-N3IWF2发送IKE认证(IKE_AUTH)请求。
505.UE向NPN-N3IWF2发送用于请求将所述UE注册到NPN的注册请求。这个注册请求可携带UE的NPN标识(NPN ID),当然这个注册请求还可携带其他信息。。
可选的,UE也可在步骤501、502或504中将NPN标识传递给NPN-N3IWF2。具体例如UE可通过IKE_SA流程将NPN标识传递给NPN-N3IWF2,或者UE可通过IKE_AUTH请求将NPN标识传递给NPN-N3IWF2。
506、NPN-N3IWF2在接收到上述注册请求之后,可为UE选择对应的NPN-AMF(即NPN网络中的AMF)。
507.NPN-N3IWF2向为UE选择的NPN-AMF转发上述注册请求,向NPN-AMF转发的这个注册请求携带NPN标识。
其中,如果UE发送的注册请求携带NPN标识,那么NPN-N3IWF2可向NPN-AMF转发这个注册请求,而不执行向所转发的注册请求中添加NPN标识的操作。如UE发送的注册请求未携带NPN标识,那么NPN-N3IWF2先向注册请求中添加NPN标识,而后再向NPN-AMF转发这个添加了NPN标识的注册请求。
508.UE与NPN进行NPN注册认证。
509.UE和NPN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过NPN接入网接入NPN)或者NPN标识(即服务网络标识SNID)等。
例如,Kn3iwf=KDF(Kamf,SNID)。
又例如,Kn3iwf=KDF(Kamf,SNID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,SNID,Access type)。
又例如,Kn3iwf=KDF(Kamf,SNID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
510.NPN-AMF向NPN-N3IWF2发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给NPN-N3IWF2。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
511.UE与NPN-N3IWF2之间建立起互联网安全协议(IPSEC)隧道。
可选地,UE也可不向NPN-N3IWF2传递PLMN标识,而可由NPN-N3IWF2将NPN-N3IWF2的N3IWF ID传递给UE和NPN-AMF等,UE和NPN-N3IWF2以Kamf作为输入密钥,以NPN-N3IWF2的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成对应的Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于NPN中有两个N3IWF(即NPN-N3IWF2和NPN-N3IWF2),NPN-N3IWF1用于为通过PLMN接入NPN的UE服务,而NPN-N3IWF2则用于为通过NPN的非3GPP接入网接入NPN的UE服务。而NPN-N3IWF1和NPN-N3IWF2的N3IWF ID不同,因此在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现两种接入场景下的Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过NPN接入NPN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过PLMN接入NPN,还是通过NPN接入网来接入NPN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(NPN-N3IWF1和NPN-N3IWF2使用的Kn3iwf不同),这就可实现两种接入场景下的对应Kn3iwf密钥隔离效果。
可以看出,本实施例,在UE既通过NPN的非3GPP接入网接入NPN,且还通过PLMN接入NPN的情况之下,NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf互不相同,进而可使得对NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。
参见图6,图6是本申请实施例提供的另一种通信方法的流程示意图。图6所示的另一通信方法可基于图1-B所示网络架构来实施,其在,具体以第一网络为PLMN,第二网络为PLMN为例。另一种通信方法可以包括:
601.UE进行NPN注册并建立起NPN的PDU会话。
602.UE通过上述NPN的PDU会话与PLMN-N3IWF1(这个PLMN-N3IWF1是PLMN中的其中一个N3IWF,且PLMN-N3IWF1是为通过NPN接入PLMN的UE服务的N3IWF)发起互联网密钥交换安全关联(IKE_SA,Internet key exchange_Security association)流程。
603.PLMN-N3IWF1向UE发送IKE认证(IKE_AUTH)请求。
604.UE通过上述PLMN的PDU会话向PLMN-N3IWF1发送IKE_AUTH响应。
其中,IKE_AUTH响应携带用于请求将所述UE注册到PLMN的注册请求。这个注册请求可携带UE的NPN标识(NPN ID),当然这个注册请求还可携带其他信息。
可选的,UE也可在步骤602或604中将NPN标识传递给PLMN-N3IWF1。具体的,UE可通过IKE_SA流程将NPN标识传递给PLMN-N3IWF1,或者UE可通过IKE_AUTH响应将NPN标识传递给PLMN-N3IWF1。
605、PLMN-N3IWF1在接收到上述注册请求之后,可为UE选择对应的PLMN-AMF(即PLMN网络中的AMF)。
606.PLMN-N3IWF1向为UE选择的PLMN-AMF转发上述注册请求(这个注册请求例如可携带于N2消息中),进而向PLMN-AMF转发的这个注册请求携带的NPN标识。
其中,如果UE发送的注册请求携带NPN标识,那么PLMN-N3IWF可向PLMN-AMF转发这个注册请求,而不执行向所转发的注册请求中添加NPN标识的操作。如UE发送的注册请求未携带NPN标识,那么PLMN-N3IWF先向注册请求中添加NPN标识,而后再向PLMN-AMF转发这个添加了NPN标识的注册请求。
607.UE与PLMN进行PLMN注册认证。
608.UE和PLMN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过NPN接入PLMN)或NPN标识等。
例如,Kn3iwf=KDF(Kamf,NPN ID)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
609.PLMN-AMF向PLMN-N3IWF1发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给PLMN-N3IWF1。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
610.UE与PLMN-N3IWF1之间建立起互联网安全协议(IPSEC)隧道。
可选地,UE也可不向PLMN-N3IWF1传递NPN标识,而可由PLMN-N3IWF1将PLMN-N3IWF1的N3IWF ID传递给UE和PLMN-AMF,UE和PLMN-AMF以Kamf作为输入密钥,以PLMN-N3IWF1的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成相应的Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于PLMN中有两个N3IWF(即PLMN-N3IWF1和PLMN-N3IWF2),PLMN-N3IWF1用于为通过NPN接入PLMN的UE服务,而PLMN-N3IWF2则用于为通过PLMN的非3GPP接入网接入PLMN的UE服务。而PLMN-N3IWF1和PLMN-N3IWF2的N3IWF ID不同,因此,在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过NPN接入PLMN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过NPN接入PLMN,还是通过PLMN接入网来接入PLMN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的对应Kn3iwf密钥隔离效果。
可以看出,本实施例在UE既通过PLMN的非3GPP接入网接入PLMN,且还通过NPN接入PLMN的情况下,PLMN-N3IWF1使用的Kn3iwf与PLMN-N3IWF2使用的Kn3iwf互不相同,使得PLMN-N3IWF1使用的Kn3iwf与PLMN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。
参见图7,图7是本申请实施例提供的另一种通信方法的流程示意图。另一种通信方法可包括:
701.UE进行NPN注册。
702.在建立UE在NPN的PUD会话过程,NPN-SMF若确定要发起UE二次认证,NPN-SMF向UE发送标识请求(Identitf Request)消息。
703.UE向NPN-SMF发送携带注册请求的标识响应(Identitf Response)消息,注册请求用于请求将UE注册到PLMN。
可选的,注册请求还可携带NPN标识等。其中,Identitf Response消息还可携带UE标识等。
704.NPN-SMF向PLMN-N3IWF1转发携带注册请求的Identitf Response消息。
705.UE与PLMN进行PLMN注册认证。
706.UE和PLMN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过NPN接入PLMN)或者NPN标识(即服务网络标识SN ID)等。
例如,Kn3iwf=KDF(Kamf,NPN ID)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,NPN ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
707.PLMN-AMF向PLMN-N3IWF1发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给PLMN-N3IWF1。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
708.UE与PLMN-N3IWF1之间建立起互联网安全协议(IPSEC)隧道。
可选地,UE也可不向PLMN-N3IWF1传递NPN标识,而可由PLMN-N3IWF1将PLMN-N3IWF1的N3IWF ID传递给UE和PLMN-AMF等,UE和PLMN-AMF以Kamf作为输入密钥,以PLMN-N3IWF1的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于PLMN中有两个N3IWF(即PLMN-N3IWF1和PLMN-N3IWF2),PLMN-N3IWF1用于为通过NPN接入PLMN的UE服务,而PLMN-N3IWF2则用于为通过PLMN的非3GPP接入网接入PLMN的UE服务。而PLMN-N3IWF1和PLMN-N3IWF2的N3IWF ID不同,因此,在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过NPN接入PLMN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过NPN接入PLMN,还是通过PLMN接入网来接入PLMN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
可以看出,本实施例,在UE既通过NPN的非3GPP接入网接入NPN,且还通过PLMN接入NPN的情况下,NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf互不相同,实现了对NPN-N3IWF1使用的Kn3iwf与NPN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。并且,通过NPN接入PLMN的的流程与NPN的PDU会话建立流程融合,灵活性非常强。
参见图8,图8是本申请实施例提供的另一种通信方法的流程示意图。另一种通信方法可包括:
801.UE通过PLMN的非3GPP接入网与PLMN-N3IWF2(这个PLMN-N3IWF2是PLMN中的其中一个N3IWF,且PLMN-N3IWF2是为通过PLMN的非3GPP接入网接入PLMN的UE服务的N3IWF)发起IKE_SA流程。
802.UE通过PLMN的非3GPP接入网与PLMN-N3IWF2发起互联网密钥交换安全关联(IKE_SA)流程。
803.UE向PLMN-N3IWF2发送IKE认证(IKE_AUTH)请求。
804.PLMN-N3IWF2向UE发送IKE_AUTH响应。
805.UE向PLMN-N3IWF2发送用于请求将所述UE注册到PLMN的注册请求。这个注册请求可携带UE的PLMN标识(PLMN ID),当然这个注册请求还可携带其他信息。
可选的,UE也可在步骤801、802或804中将PLMN标识传递给PLMN-N3IWF2。具体例如UE可通过IKE_SA流程将PLMN标识传递给PLMN-N3IWF2,或者UE可通过IKE_AUTH请求将PLMN标识传递给PLMN-N3IWF2。
806、PLMN-N3IWF2在接收到上述注册请求之后,可为UE选择对应的PLMN-AMF(即PLMN网络中的AMF)。
807.PLMN-N3IWF2向为UE选择的PLMN-AMF转发上述注册请求,向PLMN-AMF转发的这个注册请求携带PLMN ID。
其中,如果UE发送的注册请求携带PLMN ID,那么PLMN-N3IWF可向PLMN-AMF转发这个注册请求,而不执行向所转发的注册请求中添加PLMN ID的操作。如UE发送的注册请求未携带PLMN ID,那么PLMN-N3IWF先向注册请求中添加PLMN ID,而后再向PLMN-AMF转发这个添加了PLMN ID的注册请求。
808.UE与PLMN进行PLMN注册认证。
809.UE和PLMN-AMF分别生成Kn3iwf(N3IWF密钥)。
其中,Kn3iwf的输入密钥可为Kamf(AMF密钥),Kn3iwf的密钥输入参数包括如下参数的一种或多种:UL NAS COUNT、Access type(这个Access type所表示的接入类型可为通过非3GPP接入网接入,或者这个Access type所表示的接入类型为通过PLMN接入网接入PLMN)或者PLMN标识(即服务网络标识SNID)等。
例如,Kn3iwf=KDF(Kamf,SNID)。
又例如,Kn3iwf=KDF(Kamf,SNID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,SNID,Access type)。
又例如,Kn3iwf=KDF(Kamf,SNID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
810.PLMN-AMF向PLMN-N3IWF2发送携带有生成的Kn3iwf的消息,进而将生成的Kn3iwf传递给PLMN-N3IWF2。
其中,上述携带有生成的Kn3iwf的消息例如可以是N2 Initial Context SetupRequest消息或其他信息等。
811.UE与PLMN-N3IWF2之间建立起互联网安全协议(IPSEC)隧道。
可选地,UE也可不向PLMN-N3IWF2传递NPN标识,而可由PLMN-N3IWF2将PLMN-N3IWF2的N3IWF ID传递给UE和PLMN-AMF等,UE和PLMN-AMF以Kamf作为输入密钥,以PLMN-N3IWF2的N3IWF ID作为密钥输入参数之一,并还可以以UL NAS COUNT和/或Access type等作为密钥输入参数,进而生成Kn3iwf。
例如,Kn3iwf=KDF(Kamf,N3IWF ID)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,Access type)。
又例如,Kn3iwf=KDF(Kamf,N3IWF ID,UL NAS COUNT,Access type)。
当然,Kn3iwf的推演方式并不限于上述举例。
其中,由于PLMN中有两个N3IWF(即PLMN-N3IWF2和PLMN-N3IWF2),PLMN-N3IWF1用于为通过NPN接入PLMN的UE服务,而PLMN-N3IWF2则用于为通过PLMN的非3GPP接入网接入PLMN的UE服务。而PLMN-N3IWF1和PLMN-N3IWF2的N3IWF ID不同,因此,在这两种接入场景中,如果以这个N3IWF ID作为密钥输入参数来生成的对应Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的Kn3iwf密钥隔离效果。
此外,如果Access type所表示的接入类型为通过NPN接入PLMN。
那么又例如,Kn3iwf=KDF(Kamf,Access type)。其中,若这个Access type可区分出UE是通过NPN接入PLMN,还是通过PLMN接入网来接入PLMN,因此在这两种接入场景中,如果以这个Access type作为密钥输入参数来生成的Kn3iwf必然不同(PLMN-N3IWF1和PLMN-N3IWF2使用的Kn3iwf不同),这就可实现两种场景下的对应Kn3iwf密钥隔离效果。
可以看出,本实施例在UE既通过PLMN的非3GPP接入网接入PLMN,且还通过NPN接入PLMN的情况下,PLMN-N3IWF1使用的Kn3iwf与PLMN-N3IWF2使用的Kn3iwf互不相同,使得PLMN-N3IWF1使用的Kn3iwf与PLMN-N3IWF2使用的Kn3iwf相互隔离,这样的密钥隔离机制有利于更好的抵抗密钥泄漏等风险,进而有利于提升通信安全性。
参见图9,本申请实施例还提供一种第一网络的AMF 900,可包括:
收发单元910,用于接收用于请求将UE注册到所述第一网络的注册请求,所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生,其中,所述第一网络为PLMN且所述第二网络为NPN,或所述第一网络为NPN且所述第二网络为PLMN。
处理单元920,用于在通过所述UE注册到所述第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;所述第一密钥Kn3iwf与第二密钥Kn3iwf不同,其中,所述第二密钥Kn3iwf在所述UE通过第二网络的非3GPP接入网接入第二网络的过程中产生。
在一些可能的实施方式中,所述密钥输入参数T1可能来自于所述UE或所述第一网络的N3IWF或其他设备。
在一些可能的实施方式中,所述密钥输入参数T1可以包括如下参数的一种或多种:上行NAS计数值(UL NAS COUNT)、所述第一网络的服务网络标识(SN ID)、所述第二网络的描述信息(所述第二网络的描述信息例如可包括所述第二网络的网络标识,当然也可能是其它用于描述第二网络的信息,当然,基于所述第二网络的描述信息可以确定其所描述的是第二网络)、所述第一网络的N3IWF标识或接入类型标识。所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
在一些可能的实施方式中,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
其中,本申请实施例中所称的密钥输入参数不同,可指密钥输入参数类型不同,或指密钥输入参数类型相同但取值不同。
在一些可能的实施方式中,所述密钥输入参数T1例如可携带于所述注册请求中或其他消息中。
处理单元和收发单元可用于配合执行本申请上述实施例中由AMF执行的方法的部分或全部步骤。
可以看出,本实施例,在UE既通过第一网络的非3GPP接入网接入第一网络,且还通过第二网络接入第一网络的情况下,使两种接入方式下各自使用的第一密钥Kn3iwf(一个N3IWF密钥)与第二密钥Kn3iwf(另一N3IWF密钥)不同,进而实现了第一密钥Kn3iwf与第二密钥Kn3iwf的密钥隔离,因此,这样的密钥隔离机制有利于更好抵抗密钥泄漏风险,进而有利于提升通信安全性。
参见图10,本申请实施例提供了一种第一网络的AMF 1000,包括:
相互耦合的处理器1010和存储器1020,还可耦合通信接口;例如处理器1010、通信接口和存储器1020通过总线耦合。
存储器1020可包括但不限于随机存储记忆体(Random Access Memory,RAM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、只读存储器(Read-OnlyMemory,ROM)或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM)等等,该存储器1020用于相关指令及数据。
处理器1010可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器1010是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
处理器1010用于读取所述存储器1020中存储的程序代码,还可与通信接口配合执行本申请上述实施例中由AMF执行的方法的部分或全部步骤。
具体例如,所述处理器1010可用于,通过通信接口接收用于请求将UE注册到所述第一网络的注册请求(这个注册请求可能来自于第一网络的非3gpp网间交互功能(N3IW),例如第一网络的N3IWF在接收到来自UE的注册请求之后,将其转发给第一网络的AMF)。所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生。所述第一网络为PLMN且所述第二网络为NPN,或所述第一网络为NPN且所述第二网络为PLMN。
所述处理器1010用于,在通过所述UE注册到第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;其中,所述第一密钥Kn3iwf与第二密钥Kn3iwf不同,所述第二密钥Kn3iwf在所述UE通过第一网络的非3GPP接入网接入第一网络的过程中产生。
在一些可能的实施方式中,所述密钥输入参数T1可能来自于所述UE或所述第一网络的N3IWF或其他设备。
在一些可能的实施方式中,所述密钥输入参数T1可包括如下参数的一种或多种:上行非接入层计数值(UL NAS COUNT,UpLink Non-Access Stratum Count)、所述第一网络的服务网络标识(SN ID)、所述第二网络的描述信息(所述第二网络的描述信息例如可包括所述第二网络的网络标识,当然,也可能是其它用于描述第二网络的信息,基于所述第二网络的描述信息可以确定其所描述的是第二网络)、所述第一网络的N3IWF标识或接入类型标识。所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
在一些可能的实施方式中,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数。
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
可以理解,两个密钥输入参数不同,可以指密钥输入参数的类型不同,也可以指密钥输入参数的类型相同但取值不同。
在一些可能的实施方式中,所述密钥输入参数T1例如可携带于所述注册请求中或其他消息中。
可以看出,本实施例,在UE既通过第一网络的非3GPP接入网接入第一网络,且还通过第二网络接入第一网络的情况下,使两种接入方式下各自使用的第一密钥Kn3iwf(一个N3IWF密钥)与第二密钥Kn3iwf(另一N3IWF密钥)不同,进而实现了第一密钥Kn3iwf与第二密钥Kn3iwf的密钥隔离,因此,这样的密钥隔离机制有利于更好抵抗密钥泄漏风险,进而有利于提升通信安全性。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被硬件(例如处理器等)执行,以本申请实施例中由任意设备执行的任意一种方法的部分或全部步骤。
本申请实施例还提供了一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行以上各方面的任意一种方法的部分或者全部步骤。
在上述实施例中,可全部或部分地通过软件、硬件、固件、或其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个系统,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,或者也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质例如可包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或光盘等各种可存储程序代码的介质。

Claims (14)

1.一种通信方法,其特征在于,包括:第一网络的接入与移动性管理功能AMF接收用于请求将用户设备UE注册到所述第一网络的注册请求,所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生,其中,所述第一网络为陆上公用移动通信网PLMN且所述第二网络为非公共网络NPN,或所述第一网络为NPN且所述第二网络为PLMN;
所述第一网络的AMF在通过所述UE注册到第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;其中,所述第一密钥Kn3iwf与第二密钥Kn3iwf不同,所述第二密钥Kn3iwf在所述UE通过第一网络的非第三代合作伙伴项目3GPP接入网接入第一网络的过程中产生;
其中,
所述密钥输入参数T1包括如下参数的一种或多种:上行接入层NAS计数值、所述第一网络的服务网络标识、所述第二网络的描述信息、所述第一网络的非3gpp网间交互功能N3IWF标识或接入类型标识。
2.根据权利要求1所述方法,其特征在于,所述密钥输入参数T1来自于所述UE或所述第一网络的N3IWF。
3.根据权利要求1所述方法,其特征在于,所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
4.根据权利要求3所述的方法,其特征在于,所述第二网络的描述信息包括所述第二网络的网络标识。
5.根据权利要求1至4任意一种所述的方法,其特征在于,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
6.根据权利要求1至4任意一种所述的方法,其特征在于,所述密钥输入参数T1携带于所述注册请求中。
7.一种第一网络的接入与移动性管理功能AMF,其特征在于,包括:
收发单元,用于接收用于请求将用户设备UE注册到所述第一网络的注册请求,所述注册请求是在所述UE通过第二网络接入第一网络的注册过程产生,其中,所述第一网络为陆上公用移动通信网PLMN且所述第二网络为非公共网络NPN,或所述第一网络为NPN且所述第二网络为PLMN;
处理单元,用于在通过所述UE注册到所述第一网络的过程而得到对应的AMF密钥Kamf之后,基于所述Kamf和密钥输入参数T1推演出第一密钥Kn3iwf;所述第一密钥Kn3iwf与第二密钥Kn3iwf不同,其中,所述第二密钥Kn3iwf在所述UE通过第一网络的非第三代合作伙伴项目3GPP接入网接入第一网络的过程中产生;
其中,
所述密钥输入参数T1包括如下参数的一种或多种:上行接入层NAS计数值、所述第一网络的服务网络标识、所述第二网络的描述信息、所述第一网络的非3gpp网间交互功能N3IWF标识或接入类型标识。
8.根据权利要求7所述AMF,其特征在于,所述密钥输入参数T1来自于所述UE或所述第一网络的N3IWF。
9.根据权利要求7所述AMF,其特征在于所述接入类型标识所表示的接入类型为通过第二网络接入第一网络。
10.根据权利要求9所述的AMF,其特征在于,所述第二网络的描述信息包括所述第二网络的网络标识。
11.根据权利要求7至10任意一种所述的AMF,其特征在于,所述密钥输入参数T1不同于所述第二密钥Kn3iwf的任意一种密钥输入参数;
或者,所述第一密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第二密钥Kn3iwf的任意一个密钥输入参数;或者,所述第二密钥Kn3iwf的一个或多个密钥输入参数,不同于所述第一密钥Kn3iwf的任意一个密钥输入参数。
12.根据权利要求7至10任意一种所述的AMF,其特征在于,所述密钥输入参数T1携带于所述注册请求中。
13.一种第一网络的接入与移动性管理功能AMF,其特征在于,包括:
相互耦合的处理器和存储器;
其中,所述处理器用于调用所述存储器中存储的计算机程序,以执行权利要求1至6任意一项所述的方法。
14.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以完成权利要求1至6任意一项所述的方法。
CN201910045711.3A 2019-01-17 2019-01-17 通信方法和相关产品 Active CN111447675B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910045711.3A CN111447675B (zh) 2019-01-17 2019-01-17 通信方法和相关产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910045711.3A CN111447675B (zh) 2019-01-17 2019-01-17 通信方法和相关产品

Publications (2)

Publication Number Publication Date
CN111447675A CN111447675A (zh) 2020-07-24
CN111447675B true CN111447675B (zh) 2021-11-09

Family

ID=71648532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910045711.3A Active CN111447675B (zh) 2019-01-17 2019-01-17 通信方法和相关产品

Country Status (1)

Country Link
CN (1) CN111447675B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111465011B (zh) * 2019-01-18 2021-07-16 华为技术有限公司 跨网络接入方法、装置、存储介质及通信系统
US12089177B2 (en) * 2019-11-08 2024-09-10 Lenovo (Singapore) Pte. Ltd. Registering with a mobile network through another mobile network
CN115699979A (zh) * 2020-08-03 2023-02-03 Oppo广东移动通信有限公司 无线通信方法和设备
WO2022027303A1 (en) * 2020-08-05 2022-02-10 Guangdong Oppo Mobile Telecommunications Corp., Ltd. User equipment and method of operating access control for at least one of onboarding service and/or of npn service
CN114079992B (zh) * 2020-08-13 2024-08-02 阿里巴巴集团控股有限公司 网络切换方法、用户设备、网络实体及存储介质
CN114080003B (zh) * 2020-08-22 2023-06-16 华为技术有限公司 一种接入网络的方法及装置
CN114531254B (zh) * 2020-10-30 2023-03-31 中国移动通信有限公司研究院 一种认证信息获取方法、装置、相关设备和存储介质
CN112437456B (zh) * 2020-12-07 2023-05-26 中国联合网络通信集团有限公司 一种非公共网络中的通信方法及设备
CN115348580A (zh) * 2021-05-12 2022-11-15 华为技术有限公司 通信方法和通信装置
WO2024000537A1 (zh) * 2022-06-30 2024-01-04 北京小米移动软件有限公司 网络访问方法、装置、通信设备和存储介质
CN117812574A (zh) * 2022-09-30 2024-04-02 华为技术有限公司 通信方法和通信装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018146068A1 (en) * 2017-02-07 2018-08-16 Ipcom Gmbh & Co. Kg Interworking function using untrusted network

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10433174B2 (en) * 2017-03-17 2019-10-01 Qualcomm Incorporated Network access privacy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018146068A1 (en) * 2017-02-07 2018-08-16 Ipcom Gmbh & Co. Kg Interworking function using untrusted network

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Multiple NAS connecions: mobility with horizontal KAMF derivation,S3-183585;Ericsson;《3GPP TSG SA WG3 (Security) Meeting #93》;20181116;全文 *
New KI: Isolation of multiple NAS connections;Huawei, Hisilicon;《3GPP TSG SA WG3 (Security) Meeting #94》;20190201;全文 *

Also Published As

Publication number Publication date
CN111447675A (zh) 2020-07-24

Similar Documents

Publication Publication Date Title
CN111447675B (zh) 通信方法和相关产品
CN108574969B (zh) 多接入场景中的连接处理方法和装置
WO2020029938A1 (zh) 安全会话方法和装置
EP3477993A1 (en) Method for processing pdu session establishment procedure and amf node
CN113260016B (zh) 多模终端接入控制方法、装置、电子设备及存储介质
US11871223B2 (en) Authentication method and apparatus and device
CN111869261A (zh) Lwa 通信中的发现与安全
CN113207191B (zh) 基于网络切片的会话建立方法、装置、设备及存储介质
CN108293183B (zh) E-utran与wlan之间的切换
CN111465012B (zh) 通信方法和相关产品
WO2021063304A1 (zh) 通信认证方法和相关设备
WO2021218878A1 (zh) 切片认证方法及装置
CN111770492B (zh) 通信方法和通信设备
US9107071B2 (en) Method and system for transmitting wireless data streams
EP4401464A1 (en) Communication method and apparatus
CN113382410B (zh) 通信方法和相关装置及计算机可读存储介质
CN112153647B (zh) 通信方法和相关设备
CN116193415A (zh) 中继设备的选择方法、装置、设备及存储介质
EP3477899A1 (en) Method and apparatus for indicating type of participating service provider identity
KR102373794B1 (ko) 시그널링 변환 방법 및 장치
EP4391648A1 (en) Communication method and apparatus
WO2021253859A1 (zh) 切片认证方法及系统
WO2024146582A1 (zh) 通信方法和通信装置
WO2023142632A1 (zh) 通信方法及通信装置
KR20240133661A (ko) 네트워크 슬라이스 서비스를 지원하는 모바일-무선랜 통합 시스템 및 그 서비스 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant