CN111866974A - 用于移动注册的方法和装置 - Google Patents

用于移动注册的方法和装置 Download PDF

Info

Publication number
CN111866974A
CN111866974A CN201911094122.0A CN201911094122A CN111866974A CN 111866974 A CN111866974 A CN 111866974A CN 201911094122 A CN201911094122 A CN 201911094122A CN 111866974 A CN111866974 A CN 111866974A
Authority
CN
China
Prior art keywords
amf
key
nas
security context
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911094122.0A
Other languages
English (en)
Other versions
CN111866974B (zh
Inventor
邓娟
张博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to EP20798470.9A priority Critical patent/EP3952446A4/en
Priority to PCT/CN2020/085943 priority patent/WO2020221067A1/zh
Publication of CN111866974A publication Critical patent/CN111866974A/zh
Priority to US17/512,276 priority patent/US11751160B2/en
Application granted granted Critical
Publication of CN111866974B publication Critical patent/CN111866974B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • H04W8/065Registration at serving network Location Register, VLR or user mobility server involving selection of the user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种用于移动注册的方法和装置,方法包括:UE接收初始AMF发送的第一NAS SMC消息之后,保存第一NAS安全上下文;UE接收第二AMF发送的第二NAS SMC消息,该消息中携带指示信息,用于指示UE使用第一NAS安全上下文;UE根据指示信息,将第一NAS安全上下文作为当前NAS安全上下文。本申请提供的用于移动注册的方法通过使UE在接收到第二AMF发送的第二NAS SMC消息时,将第一NAS安全上下文作为当前NAS安全上下文,然后处理第二NAS SMC消息,达到UE与第二AMF上的NAS安全上下文一致的目的。

Description

用于移动注册的方法和装置
本申请要求于2019年04月29日提交中国专利局、申请号为201910356880.9、申请名称为“用于移动注册的方法和装置”和于2019年06月14日提交中国专利局、申请号为201910517920.3、申请名称为“用于移动注册的方法和装置”以及于2019年08月19日提交中国专利局、申请号为201910766175.6、申请名称为“用于移动注册的方法和装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信领域,并且更具体地,涉及一种用于移动注册的方法和装置。
背景技术
第五代(5th generation,5G)通信协议中定义了用户设备在注册流程中发生接入管理功能(access and mobility management function,AMF)重定向的流程。该注册流程中,首先用户设备向(无线)接入网络((radio)access network,(R)AN)发送携带了用户设备的5G全球唯一临时用户设备标识(5th generation globally unique temporary userequipment identity,5G-GUTI)的注册请求消息。其次(R)AN在接收到用户设备的注册请求消息之后,选择将注册请求消息发送给初始AMF(initial AMF),初始AMF根据5G-GUTI找到上次服务用户设备的第一AMF(old AMF),并从第一AMF中获取该用户设备的上下文,该用户设备的上下文中包括用户设备的安全上下文。最后初始AMF基于某些触发条件发起AMF重定向,重定向到第二AMF,该第二AMF(target AMF)仍然从old AMF中获取该用户设备的上下文。
现有的AMF重定向流程中,存在用户设备中的用户设备密钥与第二AMF中的用户设备密钥不同的情况,从而会导致用户设备的注册失败。
发明内容
本申请提供一种用于移动注册的方法和装置,通过使用户设备在接收到第二接入管理功能AMF发送的指示用户设备使用第一NAS安全上下文的指示信息时,用户设备根据所述指示信息将第一NAS安全上下文作为当前NAS安全上下文,达到用户设备与第二AMF上的NAS安全上下文一致的目的。
第一方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:用户设备UE接收初始AMF发送的第一非接入层安全模式命令NAS SMC消息;所述UE基于所述第一NAS SMC消息保存第一NAS安全上下文,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文;所述UE接收第二AMF发送的指示信息,所述指示信息用于指示所述UE使用所述第一NAS安全上下文;所述UE根据所述指示信息,将所述第一NAS安全上下文作为当前NAS安全上下文;其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
结合第一方面,在第一方面的某些实现方式中,所述指示信息包括:所述用户设备从所述第二AMF处接收的一个NAS消息,所述NAS消息用于通知所述用户设备网络设备侧发生AMF重定向;或者,用户设备从所述第二AMF接收的NAS消息中携带的第八指示。所述NAS消息为新增NAS消息。所述第八指示,为新增IE,携带在现有NAS消息中。本申请实施例中不对携带所述指示的现有NAS消息做限制,NAS消息可能的选项有配置更新命令(configurationupdate command)消息、安全模式命令(security mode command)消息、认证请求(authentication request)消息、下行NAS传输(downlink NAS transport)消息、和5G系统移动管理状态(5G system mobility management status,5GMM Status)等。
本申请实施例提供的用于移动注册的方法,用户设备基于接收到的第一NAS SMC消息保存第一NAS安全上下文,并在接收到第二AMF发送的指示信息后,基于所述指示信息首先恢复使用保存的第一NAS安全上下文,从而达到在处理第二AMF发送的NAS SMC消息时,用户设备上的当前NAS安全上下文为第一NAS安全上下文。
应理解本申请中的“第一”、“第二”仅用于区分说明,而不应对本申请构成任何限定。其中,第一AMF和第二AMF区分不同的AMF,第一AMF也可以称为旧的AMF,第二AMF也可以称为目标AMF。第一NAS安全上下文和第二NAS安全上下文区分不同的NAS安全上下文,第一NAS安全上下文也可以称为旧的NAS安全上下文。
还应理解,本申请实施例中涉及的第一NAS安全上下文可以称为UE和第一AMF之间的建立的NAS安全上下文,或者,第一NAS安全上文还可以为UE发送注册请求之前,UE上的NAS安全上下文,或者,第一NAS安全上下文还可以为UE发送注册请求之后,UE上的NAS上下文,或者,第一NAS安全上下文还可以为UE接收到第一NAS SMC消息时,当前使用的NAS安全上下文。
还应理解,上述的UE基于所述第一NAS SMC消息保存第一NAS安全上下文,保存的是UE在接收第一NAS SMC消息时,UE还没有处理NAS SMC时的当前NAS安全上下文。
还应理解,本申请实施例中对于UE将第一NAS安全上下文作为当前NAS安全上下文之后,如何处理携带指示信息的NAS消息的过程并不限制,基于现有协议中规定的处理NASSMC消息的流程即可。
一种可能的实现方式,UE中包括第一NAS安全上下文和生成新的第二NAS安全上下文时,可以通过设置标识位区别该第一NAS安全上下文和第二NAS安全上下文。例如,设置flag位、设置一个比特位比特值为0的标识第一NAS安全上下文等。
还应理解,为了区分不同的AMF之间交互的信令,初始AMF向第一AMF发送的第一指示,用于通知网络侧发生AMF重定向,和/或,用于指示第一AMF恢复第一NAS安全上下文;
第一AMF向第二AMF发送的第二指示,用于通知网络侧发生AMF重定向,和/或,用于指示第二AMF向UE发送指示信息;
第二AMF向UE发送的指示信息,用于通知UE网络侧发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文的指示,和/或,用于指示UE激活第一NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE删除新的NAS安全上下文,和/或,用于指示UE恢复使用第一NAS安全上下文第二AMF向UE发送的指示信息的功用适用于整个发明文档,不再赘述。
所述UE根据所述第二AMF向所述UE发送的所述指示信息,使用第一NAS安全上下文,和/或,激活第一NAS安全上下文,和/或,第一NAS安全上下文作为当前NAS安全上下文,和/或,删除新的NAS安全上下文,和/或,恢复使用第一NAS安全上下文。
还应理解,本申请中能够对于某个信息的称谓并不限制,需要注意的是某个信息的功能,也就是说上述的第一指示、第二指示等只是为了区分不同的网元之间的信令,也可以有其他的称谓,这里不再一一举例说明。结合第一方面,在第一方面的某些实现方式中,所述第一NAS SMC消息中包括第四指示;所述UE基于所述第一NAS SMC消息保存第一NAS安全上下文包括:所述UE根据所述第四指示,保存所述第一NAS安全上下文。
本申请实施例提供的用于移动注册的方法,用户设备在接收到第一NAS SMC消息之后,确定保存第一NAS安全上下文可以是基于第一NAS SMC消息中携带的第四指示,或者,可以是用户设备基于收到第一NAS SMC消息确定保存第一NAS安全上下文,提供灵活的选择方案。
第二方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:初始AMF向用户设备UE发送第一NAS SMC消息,所述第一NAS SMC消息用于指示所述UE保存第一NAS安全上下文;所述初始AMF向第一AMF发送第一指示,所述第一指示用于指示所述第一AMF恢复所述第一NAS安全上下文,和/或,所述第一指示用于通知所述第一AMF发生AMF重定向,其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF。
本申请实施例提供的用于移动注册的方法,初始AMF向用户设备UE发送第一NASSMC消息,用户设备可以在基于接收到的第一NAS SMC消息时,先保存第一NAS安全上下文,再处理第一NAS SMC消息。
结合第二方面,在第二方面的某些实现方式中,所述第一NAS SMC消息中包括第四指示,所述第四指示用于指示所述UE保存第一NAS安全上下文。
本申请实施例提供的用于移动注册的方法,用户设备在接收到第一NAS SMC消息之后,确定保存第一NAS安全上下文可以是基于第一NAS SMC消息中携带的第四指示,或者,可以是用户设备基于收到第一NAS SMC消息确定保存第一NAS安全上下文,提供灵活的选择方案。
第三方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:第二AMF接收第二指示,所述第二指示用于指示所述第二AMF向UE发送指示信息,和/或,所述第二指示用于通知所述第二AMF发生AMF重定向,和/或,或者用于指示所示第二AMF第一AMF使用旧的安全上下文,即第一安全上下文,和/或,或者用于指示所示第二AMF所述UE使用旧的安全上下文,即第一安全上下文,和/或,或者用于指示所示第二AMF所述UE和所述第一AMF使用旧的安全上下文,即第一安全上下文;第二AMF向用户设备UE发送用于指示所述UE使用第一NAS安全上下文的指示信息;所述指示信息,可以是第二AMF发送的一个新增的NAS消息,或者所述指示信息,为携带在第二AMF发送给UE的NAS消息中的指示。该发明不对携带所述指示信息的NAS消息做限制,比如可能是NAS SMC消息,或者配置更新命令(Configuration Update Command)消息等。其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
本申请实施例提供的用于移动注册的方法,第二AMF向用户设备UE发送用于指示所述UE使用第一NAS安全上下文的指示信息,UE基于所述指示信息首先恢复使用保存的第一NAS安全上下文,从而达到用户设备上的NAS安全上下文为第一NAS安全上下文。
结合第三方面,在第三方面的某些实现方式中,所述第二AMF接收第二指示包括:所述第二AMF从所述第一AMF接收所述第二指示;或者,所述第二AMF从初始AMF接收所述第二指示。
应理解,第二AMF从初始AMF接收第二指示指的是,初始AMF经由(无线)接入网络((R)AN)向第二AMF发送第二指示信息。一种可能的实现方式,初始AMF向(R)AN发送第二指示,(R)AN将该第二指示转发给第二AMF;另一种可能的实现方式,初始AMF向(R)AN发送完整注册请求消息,(R)AN将该完整注册请求消息转发给第二AMF,第二AMF基于该完整注册请求消息能够确定向UE发送指示信息,和/或,发生AMF重定向,即该完整注册请求消息也能称之为第二指示信息。
本申请实施例提供的用于移动注册的方法,第二AMF可以是从第一AMF接收到第二指示,也可以是从初始AMF侧接收到第二指示,判断网络侧发生了AMF重定向,并向UE发送指示信息,通知所述UE发生所述AMF重定向。
一种可能的实现方式,上述的指示信息可以同时通知UE执行开始使用第一NAS安全上下文和网络侧发生所述AMF重定向。
第四方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:第一AMF接收初始AMF发送的第一指示,所述第一AMF根据所述第一指示恢复第一NAS安全上下文,和/或,所述第一AMF根据所述第一指示获知发生所述AMF重定向;所述第一AMF接收第二AMF的UE上下文传输请求;所述第一AMF根据所述第一指示,向第二AMF发送的第二指示,所述第二指示用于指示所述第二AMF向用户设备UE发送指示信息,和/或,通知第二AMF发生所述AMF重定向,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
本申请实施例提供的用于移动注册的方法,第一AMF可以在接收到初始AMF发送的第一指示,基于该第一指示判断网络侧发生了AMF重定向,并向第二AMF发送第二指示,通知所述第二AMF网络侧发生了AMF重定向。
第五方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:用户设备接收初始AMF发送的第一非接入层安全模式命令NAS SMC消息;用户设备基于所述第一NAS SMC消息保存第一非接入层NAS安全上下文;用户设备接收初始AMF发送的第三指示,所述UE根据所述第三指示,将所述第一NAS安全上下文作为当前NAS安全上下文,和/或,使用所述第一NAS安全上下文,和/或,恢复使用所述UE和所述第一AMF建立的所述第一NAS安全上下文,和/或,使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文;其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。所述第三指示用于通知网络侧发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE激活第一NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,丢弃UE和所述初始AMF建立的当前的安全上下文,和/或,用于指示UE恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,用于指示UE使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。
所述初始AMF可以在所述初始AMF决定进行通过(无线)接入网络((R)AN)进行AMF重定向之后,在所述初始AMF向所述(无线)接入网络((R)AN)发送非接入层NAS重转消息(NAS Reroute Message)之前发送所述第三指示。
本申请实施例提供的用于移动注册的方法,用户设备基于接收到的第一NAS SMC消息保存第一NAS安全上下文,并在接收到所述第三指示之后,恢复使用保存的第一NAS安全上下文,从而达到在接收到第二AMF发送的NAS消息之前,用户设备上的NAS安全上下文为第一NAS安全上下文。
结合第五方面,在第五方面的某些实现方式中,第三指示包括:用户设备从初始AMF处接收的第八NAS消息,或称为重定向通知消息,所述第八NAS消息,或称为重定向通知消息;或者,用户设备从所述初始AMF接收的携带的第八指示(或称为重定向指示)的NAS消息。所述第八NAS消息,或称为重定向通知消息,为新增NAS消息。所述第八指示,或称为重定向指示,为新增IE,携带在现有NAS消息中。本申请实施例中不对携带所述第八指示的现有NAS消息做限制,NAS消息可能的选项有配置更新命令(configuration update command)消息、下行NAS传输(downlink NAS transport)消息、5G系统移动管理状态(5G systemmobility management status,5GMM Status)和注册拒绝(registration reject)消息等。
结合第五方面,在第五方面的某些实现方式中,包括:所述用户设备UE在接收到所述初始AMF发送的第一非接入层安全模式命令NAS SMC消息之后,所述用户设备应保存所述UE跟所述第一AMF之间建立的老的NAS安全上下文,即第一NAS安全上下文,如果有的话。当所述初始AMF决定通过(R)AN进行AMF重定向之后,所述初始AMF应发送一个携带所述第八指示的NAS消息给所述UE。所述UE,基于所述第八指示,应丢弃新建立的NAS安全上下文,并恢复使用所述老的NAS安全上下文,即第一NAS安全上下文。所述新的NAS安全上下文,为所述UE和所述初始AMF通过NAS安全模式控制流程建立的安全上下文。
本申请实施例提供的用于移动注册的方法,所述用户设备可以基于多种可能的方案实现在接收到所述第三指示时,将第一NAS安全上下文作为当前NAS安全上下文。如果所述第三指示为所述用户设备从所述初始AMF接收的NAS消息中携带的所述第八指示,或称为重定向指示,则所述用户设备首先根据所述第八指示,将第一NAS安全上下文作为当前NAS安全上下文,然后处理所述NAS消息。
结合第五方面,在第五方面的某些实现方式中,所述第一NAS SMC消息中包括第四指示,所述第四指示用于指示所述用户设备保存第一NAS安全上下文。
本申请实施例提供的用于移动注册的方法,用户设备在接收到第一NAS SMC消息之后,保存第一NAS安全上下文可以是基于第一NAS SMC消息中携带的第四指示,或者,可以是基于收到第一NAS SMC消息确定保存第一NAS安全上下文,提供灵活的选择方案。
第六方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:所述初始AMF向用户设备发送第一NAS SMC消息;所述初始AMF在决定进行重定向后、在所述初始AMF向(无线)接入网络((R)AN)发送非接入层重转消息(NASReroute Message)之前,所述初始AMF向用户设备发送第三指示,所述第三指示用于通知UE发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE激活第一NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃UE和所述初始AMF建立的当前的安全上下文,和/或,用于指示UE恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,用于指示UE使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。
本申请实施例提供的用于移动注册的方法,初始AMF向用户设备发送第一NAS SMC消息,用户设备基于第一NAS SMC保存第一NAS安全上下文,并在接收到第三指示之后,恢复使用保存的第一NAS安全上下文,从而达到在接收到第二AMF发送的NAS消息之前,用户设备上的NAS安全上下文为第一NAS安全上下文。
结合第六方面,在第六方面的某些实现方式中,所述第一NAS SMC消息中包括第四指示,所述第四指示用于指示所述用户设备保存第一NAS安全上下文。
本申请实施例提供的用于移动注册的方法,用户设备在接收到第一NAS SMC消息之后,保存第一NAS安全上下文可以是基于第一NAS SMC消息中携带的第四指示,或者,可以是基于收到第一NAS SMC消息确定保存第一NAS安全上下文,提供灵活的选择方案。
结合第六方面,在第六方面的某些实现方式中,所述初始AMF向用户设备发送第三指示包括:初始AMF向用户设备发送的第八NAS消息,或称为重定向通知消息,所述第八NAS消息,或称为重定向通知消息;或者,所述初始AMF向用户设备发送的携带第八指示(或称为重定向指示)的NAS消息。所述第八NAS消息,比如重定向通知消息,为新增NAS消息。该第八指示,或称为重定向指示,为新增IE,携带在现有NAS消息中。本申请实施例中不对携带该第八指示,或称为重定向指示,的现有NAS消息做限制,NAS消息可能的选项有配置更新命令(configuration update command)消息、下行NAS传输(downlink NAS transport)消息、5G系统移动管理状态(5G system mobility management status,5GMM Status)和注册拒绝(registration reject)消息等。
本申请实施例提供的用于移动注册的方法,用户设备可以基于多种可能的方案实现在接收到第二AMF发送的NAS消息时,采用第一非接入层NAS安全上下文处理所述NAS消息。
第七方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:初始AMF确定第一密钥信息,所述第一密钥信息包括所述初始AMF的当前NAS安全上下文;所述当前NAS安全上下文包括所述初始AMF使用的密钥和NAS Counts;初始AMF向第一AMF发送所述第一密钥信息,所述第一AMF为UE上次访问的AMF。
本申请实施例提供的用于移动注册的方法,初始AMF可以将自身使用的AMF密钥的相关信息携带在第一密钥信息中发送给第一AMF,使得第一AMF能够获知初始AMF当前使用的AMF密钥的情况。
结合第七方面,在第七方面的某些实现方式中,所述初始AMF进行主认证,生成第二密钥和第二密钥对应的第二密钥标识符;所述第一密钥信息包括:所述第二密钥和所述第二密钥标识符;
或者,所述初始AMF进行主认证,生成第二密钥和第二密钥对应的第二密钥标识符并对所述第二密钥进行密钥推演得到第三密钥;所述第一密钥信息包括:所述第三密钥、所述第二密钥标识符以及第一指示信息,所述第一指示信息用于指示所述第三密钥为所述初始AMF推演之后得到的密钥。
本申请实施例提供的用于移动注册的方法,在初始AMF进行了主认证生成新的AMF密钥和新的AMF密钥标识符(第二密钥和第二密钥标识符)的情况下,初始AMF需要将新生成的AMF密钥和新的AMF密钥标识符携带在第一密钥信息中通知给第一AMF密钥,或者,初始AMF不仅进行主认证生成了新的AMF密钥和新的AMF密钥标识符,还进行了密钥推演,基于新的AMF密钥推演得到第二密钥,则初始AMF需要将第三密钥、所述第二密钥标识符以及将用于指示密钥推演的第一指示信息携带在第一密钥信息中通知给第一AMF。
结合第七方面,在第七方面的某些实现方式中,初始AMF从第一AMF处获得第四密钥所述第四密钥为第一密钥推演得到的密钥,所述第一密钥为所述用户设备与所述第一AMF之间建立的AMF密钥,所述第一密钥标识符为所述第一密钥对应的下一代密钥集标识符;
所述第一密钥信息包括:
所述第四密钥,或者,第二指示信息,所述第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥,或者说第二指示信息用于指示第一AMF进行密钥推演;或者,所述第一密钥信息包括:
所述初始AMF对所述第四密钥进行密钥推演得到的第五密钥以及用于指示密钥推演的第一指示信息。
本申请实施例提供的用于移动注册的方法,在初始AMF未进行主认证并且使用从第一AMF处获得的经过密钥推演的第四密钥的情况下,初始AMF需要将第四密钥,或者,第二指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥,或者,初始AMF从第一AMF处获得第四密钥之后,还进行了密钥推演,基于第四密钥推演得到第五密钥,则初始AMF需要将第五密钥和第一指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第一指示信息用于指示密钥推演。
结合第七方面,在第七方面的某些实现方式中,所述第一密钥信息还包括:所述第一密钥对应的第一密钥标识符。
本申请实施例提供的用于移动注册的方法,由于第一密钥经过推演的密钥对应的密钥标识符与第一密钥对应的第一密钥标识符相同,所以在第一AMF已知该第一密钥标识符的情况下,初始AMF可以不在第一密钥信息中携带该第一密钥标识符也可以携带该第一密钥标识符,本申请不做限制。
第八方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:第一AMF接收所述初始AMF发送的第一密钥信息,所述第一密钥信息包括所述初始AMF使用的密钥和NAS Counts,所述第一AMF为用户设备UE上次访问的AMF;所述第一AMF保存所述第一密钥信息。
如果第一密钥信息中包括用于指示密钥推演的,或,用于指示初始AMF使用的密钥为第四密钥的第二指示信息,则所述第一AMF先根据与UE建立的第一密钥进行推演得到第四密钥,并将所述第四密钥包括在所述第一密钥信息中保存。
第一AMF接收目标AMF发送的UE上下文请求消息,基于与UE建立的安全上文验证所述UE上下文请求消息中携带的注册请求消息的完整性。第一AMF将第二密钥信息包括在UE上下文请求的响应中发送给第二AMF。所述第二密钥包括所述第一密钥。其中,所述第二AMF为进行所述第一AMF重定向时选择的为所述用户设备服务的AMF。
如果第一AMF接收到的第一密钥信息中包括第一指示信息,则第一AMF在第二密钥信息中包括用于指示密钥推演的第四指示信息。
本申请实施例提供的用于移动注册的方法,初始AMF可以将自身使用的AMF密钥的相关信息携带在第一密钥信息中发送给第一AMF,使得第一AMF能够获知初始AMF当前使用的AMF密钥的情况,并保存该第一密钥信息。
结合第八方面,在第八方面的某些实现方式中,所述第一密钥信息包括:第二密钥和第二密钥标识符,其中,所述第二密钥和第二密钥标识符为所述初始AMF进行主认证生成的;或者,第三密钥、所述第二密钥标识符以及第一指示信息,所述第三密钥为所述第二密钥进行密钥推演得到的,所述第一指示信息用于指示密钥推演。
本申请实施例提供的用于移动注册的方法,在初始AMF进行了主认证生成新的AMF密钥和新的AMF密钥标识符(第二密钥和第二密钥标识符)的情况下,初始AMF需要将新生成的AMF密钥和新的AMF密钥标识符携带在第一密钥信息中通知给第一AMF,或者,初始AMF不仅进行主认证生成了新的AMF密钥和新的AMF密钥标识符,还进行了密钥推演推演得到第二密钥,则初始AMF需要将第三密钥、所述第二密钥标识符以及第一指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第一指示信息用于指示密钥推演。
结合第八方面,在第八方面的某些实现方式中,所述第一密钥信息包括:第四密钥,或者,第二指示信息,所述第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥;或者,第五密钥以及第一指示信息,所述第五密钥为所述第四密钥进行密钥推演得到,所述第一指示信息用于指示所述第五密钥为所述初始AMF推演之后得到的密钥。
本申请实施例提供的用于移动注册的方法,在初始AMF未进行主认证并且使用从第一AMF处获得的经过密钥推演的第四密钥的情况下,初始AMF需要将第四密钥,或者,第二指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥,或者,第二指示信息用于指第一AMF进行密钥推演,或者,初始AMF从第一AMF处获得第四密钥之后,还进行了密钥推演,基于第四密钥推演得到第五密钥,则初始AMF需要将第五密钥和第一指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第一指示信息用于指示密钥推演。
结合第八方面,在第八方面的某些实现方式中,第一密钥信息还包括:所述第一密钥对应的第一密钥标识符。
本申请实施例提供的用于移动注册的方法,由于第一密钥经过推演的密钥对应的密钥标识符与第一密钥对应的第一密钥标识符相同,所以在第一AMF已知该第一密钥标识符的情况下,初始AMF可以不在第一密钥信息中携带该第一密钥标识符也可以携带该第一密钥标识符,本申请不做限制。
结合第八方面,在第八方面的某些实现方式中,所述方法还包括:所述第一AMF向第二AMF发送第二密钥信息,所述第二密钥信息包括所述第一密钥信息中的密钥经过推演生成的密钥以及第三指示信息,所述第三指示信息用于指示密钥推演。
本申请实施例提供的用于移动注册的方法,第一AMF可以将从初始AMF处获得到的第一密钥信息通知给第二AMF,或者当第一AMF获取到第一密钥信息之后,进行了密钥推演,则第一AMF将推演后的密钥以及用于指示密钥推演的第三指示信息通知给第二AMF。
第九方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:第二AMF从第一AMF处接收到第二密钥信息,所述第二密钥信息包括以下密钥信息中的一种:第一密钥信息,所述第一密钥信息包括初始AMF使用的密钥和NASCounts;或者,所述第一密钥信息中包括的密钥经过推演之后的密钥,以及指示密钥推演的第三指示信息和所述NAS Counts。
如果第二AMF接收到的第二密钥信息中包括用于指示密钥推演的第三指示信息和/或用于指示密钥推演的第四指示信息,第二AMF向用户设备发送第二NAS SMC消息,包括推演指示信息和/或第五指示信息。所述推演指示信息用于指示第二密钥信息中包括的密钥为经过推演之后的密钥,所述第五指示信息用于指示第一密钥信息中包括的密钥为经过推演之后的密钥;第二AMF激活或使用接收到的第二密钥信息中的密钥对后续NAS消息进行保护。
结合第九方面,在第九方面的某些实现方式中,所述第二密钥信息包括:
第二密钥和第二密钥标识符,其中,所述第二密钥和第二密钥标识符为所述初始AMF进行主认证生成的;或者,
第三密钥、所述第二密钥标识符以及指示密钥推演的第三指示信息,所述第三密钥为所述第一密钥进行密钥推演得到的;或者,
第三密钥、所述第二密钥标识符以及指示密钥推演的第四指示信息,所述第三密钥为所述第二密钥进行密钥推演得到的;或者,
第七密钥,第二密钥标识符,指示密钥推演的第四指示信息,指示密钥推演的第三指示信息;或者,
第四密钥,第一密钥标识符;或者,
由第四密钥推演所得的第五密钥,第一密钥标识符,指示密钥推演的第三指示信息;或者,
由第四密钥推演所得的第五密钥,第一密钥标识符,指示密钥推演的第四指示信息;或者,
由第五密钥推演所得的第第六密钥,第一密钥标识符,指示密钥推演的第四指示信息,指示密钥推演的第三指示信息。
结合第九方面,在第九方面的某些实现方式中,第一密钥信息还包括:所述第一密钥对应的第一密钥标识符。
本申请实施例提供的用于移动注册的方法,在初始AMF将第一密钥经过推演的密钥携带在第一密钥信息中通知给第一AMF的时候,由于第一密钥经过推演的密钥对应的密钥标识符与第一密钥对应的第一密钥标识符相同,所以在第一AMF已知该第一密钥标识符的情况下,初始AMF可以不在第一密钥信息中携带该第一密钥标识符也可以携带该第一密钥标识符,本申请不做限制。
第十方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:用户设备接收第二AMF发送的第二NAS SMC消息,所述第二NAS SMC消息中包括推演指示信息和/或第五指示信息,推演指示信息用于指示第二密钥信息中包括的密钥为经过推演之后的密钥,所述第五指示信息用于指示第一密钥信息中包括的密钥为经过推演之后的密钥;
其中,所述第一密钥信息包括所述初始AMF使用的NAS安全上下文,包括初始AMF使用的密钥;
用户设备根据推演指示信息,进行密钥推演。
用户设备根据第五指示信息,进密钥推演。
所述第二密钥信息包括以下密钥信息中的一种:
所述第一密钥信息;
所述第一密钥信息中包括的密钥经过推演之后的密钥,以及所述推演指示信息;
所述第二AMF为进行所述AMF重定向时选择的为所述用户设备服务的AMF。
结合第十方面,在第十方面的某些实现方式中,所述第一密钥信息包括:第二密钥和第二密钥标识符,其中,所述第二密钥和第二密钥标识符为所述初始AMF进行主认证生成的;或者,第三密钥、所述第二密钥标识符以及第一指示信息,所述第三密钥为所述第二密钥进行密钥推演得到的,所述第一指示信息用于指示所述第二密钥为所述初始AMF推演之后得到的密钥。
本申请实施例提供的用于移动注册的方法,在初始AMF进行了主认证生成新的AMF密钥和新的AMF密钥标识符(第二密钥和第二密钥标识符)的情况下,初始AMF需要将新生成的AMF密钥和新的AMF密钥标识符携带在第一密钥信息中通知给第一AMF密钥,或者,初始AMF不仅进行主认证生成了新的AMF密钥和新的AMF密钥标识符,还进行了密钥推演,基于新的AMF密钥推演得到第二密钥,则初始AMF需要将第二密钥、所述第一密钥标识符以及第一指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第一指示信息用于指示所述第二密钥为所述初始AMF推演之后得到的密钥。
结合第十方面,在第十方面的某些实现方式中,所述第一密钥信息包括:第四密钥,或者,第二指示信息,所述第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥;或者,第五密钥以及用于指示密钥推演的第一指示信息,所述第五密钥为所述第四密钥进行密钥推演得到。
本申请实施例提供的用于移动注册的方法,在初始AMF未进行主认证并且使用从第一AMF处获得的经过密钥推演的第四密钥的情况下,初始AMF需要将第四密钥,或者,第二指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第二指示信息用于指示所述初始AMF使用的密钥为所述第四密钥,或者,第二指示信息用于指示第一AMF进行密钥推演,或者,初始AMF从第一AMF处获得第四密钥之后,还进行了密钥推演,基于第三密钥推演得到第五密钥,则初始AMF需要将第五密钥和第一指示信息携带在第一密钥信息中通知给第一AMF密钥,其中,第一指示信息用于指示所述第五密钥为所述初始AMF推演之后得到的密钥。
结合第十方面,在第十方面的某些实现方式中,第一密钥信息还包括:所述第一密钥对应的第一密钥标识符。
本申请实施例提供的用于移动注册的方法,在初始AMF将第一密钥经过推演的密钥携带在第一密钥信息中通知给第一AMF的时候,由于第一密钥经过推演的密钥对应的密钥标识符与第一密钥对应的第一密钥标识符相同,所以在第一AMF已知该第一密钥标识符的情况下,初始AMF可以不在第一密钥信息中携带该第一密钥标识符也可以携带该第一密钥标识符,本申请不做限制。
第十一方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:初始AMF判断是否发起非接入层安全模式控制流程;所述初始AMF决定进行AMF重定向的情况下,直接进行AMF重定向流程,无需发起非接入层安全模式控制流程。
本申请实施例提供的用于移动注册的方法,通过改变现有的移动注册的流程,使得初始AMF判断需要进行AMF重定向时,初始AMF不再发起非接入层安全模式控制流程,则UE与第二AMF之间进行非接入层安全模式控制流程即可,保证UE与第二AMF之间的NAS安全上下文一致。
第十二方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:所述初始AMF接收所述UE发送的第一NAS SMC完成消息,所述第一NASSMC完成消息中携带完整注册请求消息;所述初始AMF解密所述第一NAS SMC完成消息,获取所述完整注册请求消息;
所述初始AMF决定发起AMF重定向;所述初始AMF向第二AMF发送第二指示,用于通知网络侧发生AMF重定向,和/或,用于指示第二AMF向UE发送指示信息;
具体地,所述初始AMF向目标AMF发送第二指示,包括所述初始AMF,在向(无线)接入网络发送的非接入层NAS重转消息(NAS Reroute Message)中携带第二指示,所述(R)AN在初始用户设备消息(Initial UE Message)中将第二指示发给目标AMF。
结合第十二方面,一种可能的实现中,第二指示为完整注册请求消息。
结合第十二方面,一种可能的实现中,第二指示为指示第二AMF向UE发送指示信息,和/或,第二AMF通知网络侧发生AMF重定向的一种指示。
本申请实施例提供的用于移动注册的方法,初始AMF向(无线)接入网络发送的NAS重转消息中携带的是完整注册请求消息。
第十三方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:第二AMF接收(无线)接入网络发送的初始用户设备消息,所述初始用户设备消息中携带完整注册请求消息;第二AMF基于所述完整注册请求消息判断发生所述AMF重定向。
第十四方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:(无线)接入网络接收初始AMF发送的非接入层NAS重转消息(NASreroute message),所述NAS重转消息中携带第二指示,用于通知AMF重定向发生,和/或,用于指示第二AMF向UE发送指示信息;(无线)接入网络向第二AMF发送初始用户设备消息(Initial UE Message),所述初始用户设备消息中携带第二指示;第二AMF基于所述第二指示判断发生所述AMF重定向。
本申请实施例提供的用于移动注册的方法,第二AMF接收到的初始用户设备消息中携带的是完整注册请求消息。
应理解,第十二方面至第十四方面提供的方案可以结合到第一方面至第十一方面提供的方案种,实施例部分将信息介绍。
第十五方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:用户设备UE在发送了注册请求消息之后,保存第一NAS安全上下文,所述第一NAS安全上下文为所述UE当前的NAS安全上下文,或所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文。所述UE接收第二AMF发送的指示信息,所述指示信息用于指示所述UE使用所述第一NAS安全上下文;所述UE根据所述指示信息,将所述第一NAS安全上下文作为当前NAS安全上下文;其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
结合第十五方面,在第十五方面的某些实现方式中,所述指示信息包括:所述用户设备从所述第二AMF处接收的NAS消息,比如重定向通知消息,所述所述NAS消息,比如重定向通知消息,用于通知所述用户设备网络设备侧发生AMF重定向;或者,用户设备从所述第二AMF接收的NAS消息中携带的一个指示,或称为重定向指示。所述NAS消息,比如重定向通知消息,为新增NAS消息。该指示,或称为重定向指示,为新增IE,携带在现有NAS消息中。本申请实施例中不对携带该指示的现有NAS消息做限制,NAS消息可能的选项有配置更新命令(configuration update command)消息、安全模式命令(security mode command)消息、认证请求(authentication request)消息、下行NAS传输(downlink NAS transport)消息、和5G系统移动管理状态(5G system mobility management status,5GMM Status)等。
本申请实施例提供的用于移动注册的方法,所述用户设备可以基于多种可能的方案实现在接收到第三指示时,将第一NAS安全上下文作为当前NAS安全上下文。如果所述第三指示为所述用户设备从所述初始AMF接收的NAS消息中携带的一个指示,或称为重定向指示,则所述用户设备首先根据所述的指示,或称为重定向指示,将第一NAS安全上下文作为当前NAS安全上下文,然后处理所述NAS消息。
第十六方面,提供了一种用于移动注册的方法,应用在发生接入管理功能AMF重定向AMF的情况下,包括:用户设备UE在发送了注册请求消息之后,保存第一NAS安全上下文,所述第一NAS安全上下文为所述UE当前的NAS安全上下文,或所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文。
用户设备接收初始AMF发送的第三指示,所述UE根据所述第三指示,将所述第一NAS安全上下文作为当前NAS安全上下文;其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。所述第三指示用于通知网络侧发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE激活第一NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文。
本申请实施例提供的用于移动注册的方法,用户设备在发送注册消息之后,保存第一NAS安全上下文,并在接收到AMF的一个指示,或称为重定向指示,之后,恢复使用保存的第一NAS安全上下文,从而达到在接收到第二AMF发送的NAS消息之前,用户设备上的NAS安全上下文为第一NAS安全上下文。
结合第十六方面,在第十六方面的某些实现方式中,第三指示包括:用户设备从初始AMF处接收的一个NAS消息,比如重定向通知消息,所述NAS消息,比如重定向通知消息,用于通知所述用户设备网络设备侧发生AMF重定向;或者,用户设备从所述初始AMF接收的NAS消息中携带的一个指示,或称为重定向指示。所述NAS消息,比如重定向通知消息,为新增NAS消息。该指示,或称为重定向指示,为新增IE,携带在现有NAS消息中。本申请实施例中不对携带该指示现有NAS消息做限制,NAS消息可能的选项有配置更新命令(configurationupdate command)消息、下行NAS传输(downlink NAS transport)消息、5G系统移动管理状态(5G system mobility management status,5GMM Status)和注册拒绝(registrationreject)消息等。
本申请实施例提供的用于移动注册的方法,所述用户设备可以基于多种可能的方案实现在接收到第三指示时,将第一NAS安全上下文作为当前NAS安全上下文。如果所述第三指示为所述用户设备从所述初始AMF接收的NAS消息中携带的一个指示,或称为重定向指示,则所述用户设备首先根据所述指示,或称为重定向指示,将第一NAS安全上下文作为当前NAS安全上下文,然后处理所述NAS消息。
第十七方面,提供了一种用于移动注册的装置,该装置可以用来执行第一方面、第五方面和第十方面以及第一方面、第五方面和第十方面的任意可能的实现方式中的用户设备的操作。具体地,用于移动注册的装置包括用于执行上述第一方面、第五方面和第十方面以及第一方面、第五方面和第十二方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第一方面、第五方面和第十方面中的用户设备或用户设备内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第十八方面,提供了一种用于移动注册的装置,该装置可以用来用于执行第二方面、第六方面、第七方面和第十一方面以及第二方面、第六方面、第七方面和第十一方面的任意可能的实现方式中的初始AMF的操作。具体地,该用于移动注册的装置可以包括用于执行上述第二方面、第六方面、第七方面和第十一方面以及第二方面、第六方面、第七方面和第十一方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第二方面、第六方面、第七方面和第十一方面的初始AMF或初始AMF内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第十九方面,提供了一种用于移动注册的装置,该装置可以用来用于执行第三方面、和第十方面以及第三方面、和第十方面的任意可能的实现方式中的第二AMF的操作。具体地,该用于移动注册的装置可以包括用于执行上述第三方面、和第十方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第三方面、和第十方面的第二AMF或第二AMF内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第二十方面,提供了一种用于移动注册的装置,该装置可以用来用于执行第四方面和第八方面以及第四方面和第八方面的任意可能的实现方式中的第一AMF的操作。具体地,该用于移动注册的装置可以包括用于执行上述第四方面和第八方面以及第四方面和第八方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第四方面和第八方面的第一AMF或第一AMF内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第二十一方面,提供了一种用于移动注册的装置,该装置可以用来用于执行第十四方面以及第十四方面的任意可能的实现方式中的(无线)接入网络的操作。具体地,该用于移动注册的装置可以包括用于执行上述第十四方面以及第十四方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第十四方面的(无线)接入网络或(无线)接入网络内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第二十二方面,提供了一种通信设备,包括,处理器,收发器,存储器,该存储器用于存储计算机程序,该收发器,用于执行第一至第十六方面中任一种可能实现方式中的用于移动注册的方法中的收发步骤,该处理器用于从存储器中调用并运行该计算机程序,使得该通信设备执行第一至第十六方面中任一种可能实现方式中的用于移动注册的方法。
可选地,处理器为一个或多个,存储器为一个或多个。
可选地,存储器可以与处理器集成在一起,或者存储器与处理器分离设置。
可选的,收发器包括,发射机(发射器)和接收机(接收器)。
第二十三方面,提供了一种系统,系统包括第十五方面至第十九方面提供的用于移动注册的装置。
第二十四方面,提供了一种计算机程序产品,计算机程序产品包括:计算机程序(也可以称为代码,或指令),当计算机程序被运行时,使得计算机执行上述第一至第十六方面中任一种可能实现方式中的方法。
第二十五方面,提供了一种计算机可读介质,计算机可读介质存储有计算机程序(也可以称为代码,或指令)当其在计算机上运行时,使得计算机执行上述第一至第十六方面中任一种可能实现方式中的方法。
第二十六方面,提供了一种芯片系统,包括存储器和处理器,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的通信设备执行上述第一至第十六方面中任一种可能实现方式中的方法。
附图说明
图1是适用于本申请实施例的网络架构。
图2是一种AMF重定向的流程示意图。
图3是另一种AMF重定向的流程示意图。
图4是本申请实施例中提供的一种用于移动注册的方法示意性流程图。
图5中(a)-(j)是本申请实施例提供密钥信息传递流程图。
图6是本申请实施例中提供的另一种用于移动注册的方法示意性流程图。
图7是本申请实施例中提供的另一种用于移动注册的方法示意性流程图。
图8是本申请实施例中提供的另一种用于移动注册的方法示意性流程图。
图9是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
图10是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
图11是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
图12是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
图13是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
图14为本申请实施例提供的用于移动注册的装置10的示意图。
图15是适用于本申请实施例的用户设备20的结构示意图。
图16为本申请实施例提供的用于移动注册的装置30的示意图。
图17是适用于本申请实施例的初始AMF 40的结构示意图。
图18为本申请实施例提供的用于移动注册的装置50的示意图。
图19是适用于本申请实施例的第一AMF 60的结构示意图。
图20为本申请实施例提供的用于移动注册的装置70的示意图。
图21是适用于本申请实施例的第二AMF 80的结构示意图。
图22是本申请实施例中提供的又一种用于移动注册的方法示意性流程图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1是适用于本申请实施例的网络架构。如图1所示,下面对该网络架构中涉及的各个部分分别进行说明。
1、用户设备110:可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备,以及各种形式的终端,移动台(mobile station,MS),终端(terminal),用户设备(user equipment,UE),软终端等等。例如,水表、电表、传感器等。
2、(无线)接入网络(radio access network,(R)AN)120:用于为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同质量的传输隧道。
(R)AN能够管理无线资源,为用户设备提供接入服务,进而完成控制信号和用户设备数据在用户设备和核心网之间的转发,(R)AN也可以理解为传统网络中的基站。
3、用户面网元130:用于分组路由和转发以及用户面数据的服务质量(quality ofservice,QoS)处理等。
在5G通信系统中,该用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
4、数据网络网元140:用于提供传输数据的网络。
在5G通信系统中,该数据网络网元可以是数据网络(data network,DN)网元。在未来通信系统中,数据网络网元仍可以是DN网元,或者,还可以有其它的名称,本申请不做限定。
5、接入管理网元150:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其它功能,例如,合法监听以及接入授权/鉴权等功能。
在5G通信系统中,该接入管理网元可以是接入管理功能(access and mobilitymanagement function,AMF)。在未来通信系统中,接入管理网元仍可以是AMF,或者,还可以有其它的名称,本申请不做限定。
6、会话管理网元160:主要用于会话管理、用户设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信系统中,该会话管理网元可以是会话管理功能(session managementfunction,SMF)网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
7、策略控制网元170:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信系统中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
8、认证服务器180:用于鉴权服务、产生密钥实现对用户设备的双向鉴权,支持统一的鉴权框架。
在5G通信系统中,该认证服务器可以是认证服务器功能(authentication serverfunction,AUSF)网元。在未来通信系统中,认证服务器功能网元仍可以是AUSF网元,或者,还可以有其它的名称,本申请不做限定。
9、数据管理网元190:用于处理用户设备标识,接入鉴权,注册以及移动性管理等。
在5G通信系统中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元;在4G通信系统中,该数据管理网元可以是归属用户服务器(homesubscriber server,HSS)网元在未来通信系统中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
10、应用网元1100:用于进行应用影响的数据路由,接入网络开放功能网元,与策略框架交互进行策略控制等。
在5G通信系统中,该应用网元可以是应用功能(application function,AF)网元。在未来通信系统中,应用网元仍可以是AF网元,或者,还可以有其它的名称,本申请不做限定。
11、网络存储网元:用于维护网络中所有网络功能服务的实时信息。
在5G通信系统中,该网络存储网元可以是网络注册功能(network repositoryfunction,NRF)网元。在未来通信系统中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。为方便说明,本申请后续,以接入管理网元为AMF,数据管理网元为UDM网元,会话管理网元为SMF网元,用户面网元为UPF网元为例进行说明。
进一步地,将AMF简称为AMF,UDM网元简称为UDM,SMF网元简称为SMF,UPF网元简称为UPF。即本申请后续所描述的AMF均可替换为接入管理网元,UDM均可替换为数据管理网元,SMF均可替换为会话管理网元,UPF均可替换为用户面网元。
为方便说明,本申请实施例中以装置为AMF实体、UDM实体为例,对用于移动注册的方法进行说明,对于装置为AMF实体内的芯片、UDM实体内的芯片的实现方法,可参考装置分别为AMF实体、UDM实体的具体说明,不再重复介绍。
在图1所示的网络架构中,用户设备通过N1接口与AMF连接,RAN通过N2接口与AMF连接,RAN通过N3接口与UPF连接。UPF之间通过N9接口连接,UPF通过N6接口DN互联。SMF通过N4接口控制UPF。AMF通过N11接口与SMF接口。AMF通过N8接口从UDM单元获取用户设备签约数据,SMF通过N10接口从UDM单元获取用户设备签约数据。
应理解,上述应用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元、BSF网元以及UDM网元等网络功能网元实体都称为网络功能(network function,NF)网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通信(globalsystem for mobile communications,GSM)系统、码分多址(code division multipleaccess,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、未来的第五代(5th generation,5G)系统或新无线(new radio,NR)等。
本申请实施例中的用户设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。用户设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的用户设备等,本申请实施例对此并不限定。
本申请实施例中的网络设备可以是用于与用户设备通信的设备,该网络设备可以是全球移动通信(global system for mobile communications,GSM)系统或码分多址(code division multiple access,CDMA)中的基站(base transceiver station,BTS),也可以是宽带码分多址(wideband code division multiple access,WCDMA)系统中的基站(NodeB,NB),还可以是LTE系统中的演进型基站(evolved NodeB,eNB或eNodeB),还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等,本申请实施例并不限定。
在本申请实施例中,用户设备或网络设备包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(centralprocessing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或网络设备,或者,是用户设备或网络设备中能够调用程序并执行程序的功能模块。
另外,本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmableread-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
本申请实施例中主要涉及到图1所示的网络架构中的AMF、UE、(R)AN、AUSF以及UDM。其中,针对AMF本申请中涉及到初始AMF(initial AMF)、第一AMF(old AMF)以及第二AMF(target AMF)。
具体地,本申请中所涉及的第一AMF指的是上一次服务UE的AMF,即在当前注册时刻之前为该UE提供服务的AMF,也可以称为UE上次访问的AMF;本申请中所涉及的初始AMF指的是当前UE发起注册请求的时候,(R)AN选择的AMF;本申请中所涉及的第二AMF指的是初始AMF决定进行AMF重定向之后,选择除初始AMF之外的另一个为UE提供服务的AMF。
进一步地,本申请中所涉及的AUSF和UDM网元主要用于进行主认证。
进一步地,为了便于描述,本申请实施例中将UE与第一AMF之间建立的第一NAS安全上下文中包括的AMF密钥记为Kamf,该Kamf也可以称为第一密钥,或者,旧的密钥;该Kamf对应的标识符记为ngKSI,该ngKSI也称为第一密钥标识符,或者,旧的密钥标识符;该第一NAS安全上下文也可以称为旧的NAS安全上下文。
将初始AMF和UE进行主认证之后,激活并使用的主认证生成的密钥记为Kamf_new、密钥标识符记为ngKSI_new,该Kamf_new也可以称为第二密钥,该ngKSI_new也可以称为第二密钥标识符;
将对Kamf_new进行密钥推演之后生成的密钥记为Kamf_new’,该Kamf_new’也可以称为第三密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf_new’对应的密钥标识符也为ngKSI_new,称为第二密钥标识符;
将对Kamf进行密钥推演之后生成的密钥记为Kamf’,该Kamf’也可以称为第四密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf’对应的密钥标识符也为ngKSI;
将对Kamf’进行密钥推演之后生成的密钥记为Kamf”,该Kamf”也可以称为第五密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf”对应的密钥标识符也为ngKSI;
将对Kamf”进行密钥推演之后生成的密钥记为Kamf”’,该Kamf”’也可以称为第六密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf”’对应的密钥标识符也为ngKSI;
将对Kamf_new’进行密钥推演之后生成的密钥记为Kamf_new”,该Kamf_new”也可以称为第七密钥。具体地,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致,则该Kamf_new”对应的密钥标识符也为ngKSI_new。
应理解,本申请实施例中涉及到对密钥进行密钥推演生成新的密钥所使用的推演的机制和参数不做限制,只限制利用密钥推演生成的新的密钥不能进行密钥推演得到被推演的密钥;或者,可以称新的密钥和被推演的密钥之间是隔离的。
作为一种可能的实现方式,本申请中所述的密钥推演可以为现有协议中定义的水平密钥推演;
作为另一种可能的实现方式,本申请中所述的密钥推演可以为不同的网元之间约定的密钥推演方式。
应理解,本申请实施例中并不涉及网元结构的改变,只是通过在网元之间新增其他的信令和/或在现有网元之间的交互的信令中新增信息元素(information element,IE)达到本申请实施例中提供的用于发生AMF重定向的注册流程中需要实现的目的。
首先,为了便于理解本申请实施例中提供的用于发生AMF重定向的注册流程中的方法,下面简单介绍两种现有协议中定义的发生AMF重定向的注册流程中出现注册失败的场景问题。
第一种:
如图2所示,图2是一种发生AMF重定向的注册流程的示意图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF、AUSF以及S1-S16。UE与上一次服务UE的第一AMF之间建立了第一NAS安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf,Kamf对应的密钥标识符记为ngKSI。
S1,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
S2,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;其中,UE的上下文中包括UE的安全上下文,UE的安全上下文包括UE和第一AMF之间建立的AMF密钥和AMF密钥对应的标识符。
S3,第一AMF向初始AMF发送第一服务操作响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,该第一服务操作响应中包括Kamf或者Kamf’,以及Kamf或者Kamf’对应的密钥标识符ngKSI。
应理解,本申请实施例中所涉及到的验证某个消息的完整性保护指的是:消息接收方使用约定的算法(和密钥)对接收到的消息计算消息验证码,然后跟接收到的消息验证码进行比较。
具体地,第一服务操作响应中包括Kamf时,指的是第一AMF直接将UE跟第一AMF之间使用的AMF密钥携带在第一服务操作响应中通知给初始AMF;或者,
第一服务操作响应中包括Kamf’时,指的是第一AMF根据UE和第一AMF使用的密钥Kamf,进行密钥推演,生成了新的密钥,记为Kamf’。具体地,在此情况下第一服务操作响应中还包括密钥推演指示,该密钥推演指示用于指示第一服务操作响应中包括的密钥Kamf’经由第一AMF进行密钥推演,该密钥推演指示可以称为keyAMFHDerivationInd。
应理解,本申请实施例中并不限制第一AMF如何得到上述的Kamf’的,可以是现有协议中规定的水平密钥推演的方法,或者也可以是经由约定的其他的推演算法和参数得到了上述的Kamf’,本申请中对此不再赘述。
上述的Kamf或者Kamf’对应的密钥标识符是相同的,记为ngKSI。密钥和密钥标识符可以统称为密钥信息。第一服务操作响应消息中还可以携带该ngKSI。
S4,初始AMF发起主认证流程,UE和初始MAF各自生成Kamf_new及其对应的标识符ngKSI_new。
具体地,初始AMF在从第一AMF处获取到Kamf或者Kamf’之后,可能进行以下操作中的一种操作:
操作一:直接使用第一AMF发送的Kamf,如果第一AMF发送的是Kamf;
操作二:直接使用第一AMF发送的Kamf’,如果第一AMF发送的是Kamf’;
操作三:初始AMF不使用第一AMF发送的密钥,进行主认证,生成新的AMF密钥Kamf_new和新的密钥标识符ngKSI_new;
图2所示的AMF重定向流程中,初始AMF执行上述的操作三。在执行操作三之后,初始AMF通过下述的非接入层安全模式控制(non-access stratum security modecontrol,NAS SMC)流程,使得UE侧的AMF密钥开始使用主认证生成的Kamf_new,即执行下述的步骤S5和S6。
S5,初始AMF向UE用户设备发送非接入层安全模式命令(non-access stratumsecurity mode command,NAS SMC)消息。不特殊说明的情况下,下述的NAS SMC消息指的是非接入层安全模式命令NAS SMC消息,在NAS SMC指代非接入层安全模式控制时需要特殊说明。
具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。由于本申请主要涉及到UE的注册流程,所以该请求完整初始NAS消息的指示指的是请求完整注册请求消息的指示,下文中不做特殊解释的时候,请求完整初始NAS消息的指示指的是请求完整注册请求消息的指示。初始AMF激活并开始使用主认证生成的Kamf_new。
具体地,该NAS SMC消息用于初始AMF和UE之间协商使用AMF密钥。
S6,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。UE激活并开始使用Kamf_new。
具体地,本申请中所涉及的完整注册请求消息与上述S1中的注册请求消息的区别在于:完整注册请求消息中携带的信息为明文的,未经过加密、而S1中的注册请求消息中部分信息为明文的,部分信息为经过加密的信息。
S7,初始AMF根据UE发送的安全模式命令完成消息中的完整注册请求消息中携带的请求网络片选择辅助信息(requested network slice selection assistanceinformation,Requested NSSAIs),判断并决定进行AMF重定向。可以称为初始AMF决定进行NAS reroute。
具体地,本申请实施例中,对于初始AMF决定进行AMF重定向的原因并不限制,可以是现有协议中规定的触发AMF重定向的任意一种原因。例如,当初始AMF发现自己不能为UE的网络切片提供服务时,则决定进行AMF重定向,选择能为UE服务的第二AMF。重定向的实现,现有协议中定义了以下两种方式,初始AMF可以选择其中一种:
方式一:如果初始AMF和第二AMF之间可以建立连接,则初始AMF调用第二AMF的Namf_Communication_N1 Message Notify服务操作。
方式二:如果初始AMF和第二AMF之间没有连接(可能的原因是初始AMF和第二AMF分属于不同的网络切片,二者之间不允许互通),初始AMF将接收到的UE的注册请求消息,通过(R)AN发送给第二AMF。
图2所示的注册流程中考虑的是上述的方式二。
S8,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
S9,第一AMF恢复UE的上下文。第一AMF在接收到初始AMF的第三服务操作的调用之后,就当从未接收到上述的S2中初始AMF发送的Namf_Communication_UEContextTransfer调用,将UE的上下文恢复到S2之前。
S10,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message,并将从UE处在S1中接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S11,(R)AN向第二AMF(target AMF)发送初始UE消息(initial UE message),该initial UE message中携带有上述的RR消息。
S12,第二AMF调用第一AMF发送第二服务操作。该第二服务操作可以称为Namf_Communication_UEContextTransfer。
具体地,在上述的方式二中,由于第二AMF并没有获取到UE的上下文(包括UE的安全上下文),第二AMF根据RR消息中的5G-GUTI从第一AMF中获取UE的上下文。
S13,第一AMF向第二AMF发送第二服务操作响应。具体地,第一AMF认证UE成功之后向初始AMF发送第二服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第二服务操作响应可以称为Namf_Communication_UEContextTransfer Response,该第二服务操响应消息中包括Kamf或者Kamf’,以及Kamf或者Kamf’对应的密钥标识符ngKSI。
第二AMF获取到的AMF密钥可以为Kamf或者Kamf’。此时第二AMF可进行的一下操作中的任意一种操作:
操作一:直接使用第一AMF发送的Kamf,如果第一AMF发送的是Kamf;
操作二:直接使用第一AMF发送的Kamf’,如果第一AMF发送的是Kamf’;
操作三:第二AMF不使用第一AMF发送的密钥,进行主认证,生成新的AMF密钥Kamf_new2和新的密钥标识符ngKSI_new2。
图2所示的AMF重定向流程中,第二AMF执行上述的操作二。
第二服务操作响应中包括Kamf’时,指的是第一AMF根据UE和第一AMF使用的密钥Kamf,进行密钥推演,生成了新的密钥,记为Kamf’。具体地,在此情况下第二服务操作响应中还包括密钥推演指示,该密钥推演指示用于指示第二服务操作响应中包括的密钥Kamf’经由第一AMF进行密钥推演,该密钥推演指示可以称为keyAMFHDerivationInd。
S14,第二AMF确定要使用的UE的密钥信息。
具体地,第二AMF决定使用第一AMF发送的Kamf’。
S15,第二AMF向UE发送NAS SMC消息。如果第二AMF从第一AMF接收到密钥推演指示,则第二AMF在NAS SMC消息中需要携带密钥推演指示,用于指示UE进行密钥推演。
具体地,本申请实施例中称第一AMF向第二AMF发送的第二服务操作响应中携带的密钥推演指示称为keyAMFHDerivationInd;将第二AMF向UE发送NAS SMC消息中携带的密钥推演指示可以称为K_AMF_change_flag,或者,还可以称为AMF密钥改变指示,其中,NAS SMC消息中携带K_AMF_change_flag的值为1,用于指示UE进行密钥推演。
S16,UE验证NAS SMC消息的完整性保护失败.
S17,UE向第二AMF发送拒绝消息。该拒绝消息可以称为NAS SMC reject消息。
S18,第二AMF终止注册流程。
具体地,第二AMF接收到NAS SMC reject消息,则终止注册流程。
图2所示的用于重定向的注册流程中,UE和第一AMF之间的建立的AMF密钥为Kamf。在初始AMF进行了主认证之后,使用NAS SMC消息建立NAS安全上下文,UE和初始AMF使用Kamf_new。而第二AMF从第一AMF处获取到的密钥可能为Kamf或者Kamf’:
如果第二AMF从第一AMF获取的密钥是Kamf,并使用Kamf,则这时,UE的密钥为Kamf_new,第二AMF的密钥为Kamf。UE和Target AMF的密钥不一致,导致最终注册流程终止;
如果第二AMF从第一AMF获取的密钥是Kamf’,并使用Kamf’,则第二AMF在NAS SMC消息中发送密钥推演指示信息,指示UE进行密钥推演。该密钥推演指示称为K_AMF_change_flag,具体地,K_AMF_change_flag的值为1。UE此时的密钥为Kamf_new,在接收到密钥推演指示之后,UE对Kamf_new进行水平推演,得到密钥Kamf_new’。这样的话,UE的密钥为Kamf_new’,而第二AMF的密钥为Kamf’,二者不一致导致最终注册流程终止。
综上所述图2所示的用于重定向注册流程中,不管第一AMF给初始AMF发送的是Kamf还是Kamf’,初始AMF决定进行主认证,使用主认证产生的Kamf_new。第二AMF在接收到第一AMF发送的AMF密钥(不管是Kamf还是Kamf’)后,决定使用第一AMF给的Kamf或者Kamf’,则UE跟第二AMF上的密钥信息不一致,导致注册失败。
在图2所示流程中,如果在S13中,第二AMF采用操作三,即第二AMF发起主认证,则在S13之后,第二AMF发送认证相关的NAS消息(比如认证请求消息)给UE,该NAS消息没有安全保护。UE在接收到没有保护的NAS消息之后,会直接丢掉该NAS消息,因为UE在之前已经跟网络侧建立并激活了安全上下文,UE会丢弃没有安全保护的NAS消息,最终导致注册失败。
在图2所示流程中,如果在S13中,第二AMF采用操作一,即第二AMF直接使用第一AMF发送的Kamf,则第二AMF可选择发送NAS SMC,比如当第二AMF选择的安全算法跟第一AMF选择的安全算法不同时,或者第二AMF可以选择发送注册流程中的其他NAS消息。UE在接收到NAS SMC或者注册流程中的其他NAS消息之后,UE在验证接收到的消息的完整性会失败,因为第二AMF采用的密钥是Kamf,而UE采用的密钥是Kamf_new,最终导致注册失败。
第二种:
如图3所示,图3是另一种发生AMF重定向的注册流程示意图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF以及S21-S208。UE与上一次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
S21,UE向初始AMF发送RR消息,该RR消息中携带该UE的5G-GUTI;
S22,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并调用第一AMF的第一服务操作,该第一服务操作可以称为Namf_Communication_UE ContextTransfer,用于请求获得UE的上下文;
S23,第一AMF向初始AMF发送第一服务操作响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,该第一服务操作响应中包括Kamf’。
应理解,第一服务操作响应中包括Kamf’时,指的是第一AMF根据UE和第一AMF使用的密钥Kamf,进行密钥推演,生成新的密钥,记为Kamf’。并将该Kamf’发送给了初始AMF。还应理解,本申请实施例中并不限制第一AMF如何得到上述的Kamf’的,可以是现有协议中规定的密钥推演的方法,或者也可以是通过网元之间约定的密钥推演算法和参数得到上述的Kamf’,本申请中对此不再赘述。
具体地,第一服务操作响应包括Kamf’时,还包括密钥推演指示,则初始AMF在NASSMC消息中需要携带密钥推演指示,用于指示UE进行密钥推演。
具体地,本申请实施例中称第一AMF向初始AMF发送的第一服务操作响应中携带的密钥推演指示称为keyAMFHDerivationInd;将初始AMF向UE发送NAS SMC消息中携带的密钥推演指示称为K_AMF_change_flag,其中,NAS SMC消息中携带K_AMF_change_flag的值为1,用于指示UE进行密钥水平推演。
S24,初始AMF决定使用Kamf’。
与图2所示的方法流程不同的是,图3所示的方法流程中初始AMF不进行主认证,而是基于第一服务操作响应获得Kamf’之后,直接使用第一AMF发送的Kamf’(可以理解为执行S4中列举的操作二)。
S25,初始AMF向用户设备发送NAS SMC消息。NAS SMC消息中携带请求完整初始NAS消息的指示。初始AMF激活并开始使用Kamf’。
S26,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整注册请求消息。UE激活并开始使用Kamf’。
S27,初始AMF根据UE发送的安全模式命令完成消息中的完整注册请求消息中携带的Requested NSSAIs,判断并决定进行AMF重定向。可以称为初始AMF决定进行NASreroute。
具体地,本申请实施例中,对于初始AMF决定进行AMF重定向的原因并不限制,可以是现有协议中规定的触发AMF重定向的任意一种原因。例如,当初始AMF发现自己不能为UE请求的网络切片提供服务时,则决定进行AMF重定向,选择能为UE服务的第二AMF。重定向的实现,现有协议中定义了以下两种方式,初始AMF可以选择其中一种:
方式一:如果初始AMF和第二AMF之间可以建立链接,则初始AMF调用第二AMF的Namf_Communication_N1 Message Notify服务操作。
方式二:如果初始AMF和第二AMF之间没有链接(可能的原因是初始AMF和第二AMF分属于不同的网络切片,二者之间不允许互通),初始AMF将在S21中接收到的UE的注册请求,通过(R)AN发送给第二AMF。
图3所示的用于重定向注册流程中考虑的是上述的方式二。
S28,初始AMF调用第一AMF的第三服务操作。该第三服务操作通知UE在初始AMF处的注册失败。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
S29,第一AMF恢复UE的上下文。第一AMF在接收到初始AMF的第三服务操作的调用之后,就当从未接收到上述的S22中初始AMF发送的Namf_Communication_UE ContextTransfer调用,将UE的上下文恢复到S22之前。
S20,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message,并将从UE处在S21中接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S201,(R)AN向第二AMF(target AMF)发送初始UE消息(initial UE message),该initial UE message中携带有上述的RR消息。
S202,第二AMF调用第一AMF的第二服务操作。该第二服务操作可以称为Namf_Communication_UEContextTransfer。
具体地,在上述的方式二中,由于第二AMF并没有获取到UE的上下文(包括UE的安全上下文),第二AMF根据RR消息中的5G-GUTI从第一AMF中获取UE的上下文。
S203,第一AMF向第二AMF发送第二服务操作的响应。具体地,第一AMF认证UE成功之后向初始AMF发送第二服务操作的响应。第一AMF认证UE指的是通过验证注册请求消息的完整性保护。第二服务操作的响应为Namf_Communication_UEContextTransfer Response,该第二服务操作响应中包括Kamf或者Kamf’。
第二AMF获取到的AMF密钥也可以为Kamf或者Kamf’。此时第二AMF可进行的操作有:
操作一:直接使用第一AMF发送的Kamf,如果第一AMF发送的是Kamf;
操作二:直接使用第一AMF发送的Kamf’,如果第一AMF发送的是Kamf’;
操作三:第二AMF进行主认证,生成新的AMF密钥,记为Kamf_new2。
图3所示的AMF重定向流程中,第二AMF执行上述的操作二。
第二服务操作响应中包括Kamf’时,指的是第一AMF根据UE和第一AMF使用的密钥Kamf,进行密钥推演,生成了新的密钥,记为Kamf’。具体地,在此情况下第二服务操作响应中还包括密钥推演指示,该密钥推演指示用于指示第二服务操作响应中包括的密钥Kamf’经由第一AMF进行密钥推演,该密钥推演指示可以称为keyAMFHDerivationInd。
S204,第二AMF确定要使用的UE的密钥信息。
具体地,第二AMF决定使用第一AMF发送的Kamf或者Kamf’。
S205,第二AMF向UE发送NAS SMC消息。如果第二AMF从第一AMF接收到密钥推演指示,则第二AMF在NAS SMC消息中需要携带密钥推演指示,用于指示UE进行密钥推演。
具体地,本申请实施例中称第一AMF向第二AMF发送的第二服务操作响应中携带的密钥推演指示称为keyAMFHDerivationInd;将第二AMF向UE发送NAS SM消息C中携带的密钥推演指示称为K_AMF_change_flag,其中,NAS SMC消息中携带K_AMF_change_flag的值为1,用于指示UE进行密钥水平推演。
S206,UE验证NAS SMC消息的完整性保护失败。
S207,UE向第二AMF发送拒绝消息。该拒绝消息为NAS SMC reject消息。
S208,第二AMF终止注册流程。
具体地,接第二AMF收到NAS SMC reject消息,则终止注册流程。
图3所示的用于重定向注册流程中,UE和第一AMF之间的建立的AMF密钥为Kamf。初始AMF使用NAS SMC消息使得UE和初始AMF之间使用的AMF密钥为Kamf’。而第二AMF从第一AMF处获取到的密钥可能为Kamf或者Kamf’:
如果第二AMF从第一AMF获取的密钥是Kamf,并使用Kamf,则这时,UE的密钥为Kamf’,第二AMF的密钥为Kamf。UE和Target AMF的密钥不一致,导致最终注册流程终止;
如果第二AMF从第一AMF获取的密钥是Kamf’,并使用Kamf’,则第二AMF在NAS SMC消息中携带密钥推演指示,指示UE进行密钥推演。该指示信息称为K_AMF_change_flag,具体地,K_AMF_change_flag的值为1。UE此时的密钥为Kamf’,在接收到值为1的K_AMF_change_flag之后,使用Kamf’进行密钥推演,得到密钥Kamf”。这样的话,UE的密钥为Kamf”,而第二AMF的密钥为Kamf’,二者不一致导致最终注册流程终止。
综上所述图3所示的发生了AMF重定向的注册流程中,第一AMF给初始AMF发送的是Kamf’,初始AMF使用NAS SMC消息使得UE和初始AMF之间使用的AMF密钥为Kamf’。第二AMF在接收到第一AMF发送的AMF密钥(不管是Kamf还是Kamf’)后,决定使用第一AMF给的Kamf或者Kamf’,则UE跟第二AMF上的密钥信息不一致,导致注册失败。
在图3所示流程中,如果在S203中,第二AMF采用操作三,即第二AMF发起主认证,则在S203之后,第二AMF发送认证相关的NAS消息(比如认证请求消息)给UE,该NAS消息没有安全保护。UE在接收到没有保护的NAS消息之后,会直接丢掉该NAS消息,因为UE在之前已经跟网络侧建立并激活了安全上下文,UE会丢弃没有安全保护的NAS消息,最终导致注册失败。
在图2所示流程中,如果在S13中,第二AMF采用操作一,即第二AMF直接使用第一AMF发送的Kamf,则第二AMF可能发送NAS SMC,比如当第二AMF选择的安全算法跟第一AMF选择的安全算法不同时,或者第二AMF可以可能发送注册流程中的其他NAS消息。UE在接收到第二AMF发送的NAS SMC或者注册流程中的其他NAS消息之后,UE在验证接收到的消息的完整性会失败,因为第二AMF采用的密钥是Kamf,而UE采用的密钥是Kamf’,最终导致注册失败。
图2所示流程中,初始AMF在接收到第一服务操作之后,发起主认证;在图3所示流程中,初始AMF在接收到第一服务操作之后,使用了第一AMF发送的Kamf’。实际上,如果初始AMF在接收到第一服务操作之后,使用第一AMF发送的Kamf,并向UE发送了NAS SMC消息更新了选择的安全算法,则后面的注册流程同样会失败,因为:
如果第二AMF向UE发送NAS SMC消息时,UE在接收到该NAS SMC消息时,验证完保会失败,因为第二AMF和UE使用的NAS Count不匹配;或者
如果第二AMF向UE发起认证相关的NAS消息时,该NAS消息没有安全保;UE在接收到该NAS消息时,会丢弃该NAS消息,因为UE之前已经跟网络侧建立了NAS安全上下文
如果当第二AMF向UE发送注册流程中的其他注册消息时,UE在接收到该NAS消息时,验证完保会失败,因为第二AMF和UE使用的NAS count不匹配。
图2和图3所示的用于重定向注册流程中,最终都会存在UE和第二AMF上的密钥信息不一致,导致注册失败。为了避免图2和图3所示的注册失败,本申请提出一种用于移动注册流程的方法,通过保证UE和第二AMF上的密钥信息一致,使得UE能够成功注册完成。下面结合图4-图7详细介绍本申请实施例中提供的用于重定向的方法。
图4是本申请实施例中提供的一种用于发生AMF重定向的注册流程的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF、AUSF以及S110-S160。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。下面从信令交互的角度详细介绍S110-S160。
S110,初始AMF调用第一AMF的第三服务操作。
具体地,所述第三服务操作用于指示所述用户设备在所述初始AMF处注册失败,其中,所述第三服务操作中包括第一密钥信息,该第一密钥信息包括所述初始AMF使用的密钥和非接入层计数器NAS Counts。
其中,第三服务操作用于指示所述用户设备在所述初始AMF处注册失败。具体可以描述为初始AMF通知第一AMF,UE在初始AMF处的注册失败,发生AMF重定向。初始AMF调用的第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带用户设备的注册状态的值为“NOT_TRANSFERRED”,需要注意的是与图2和图3所示的方法流程中不同的是,本申请图4所示的实施例中,该通知消息中还携带有当前初始AMF使用的密钥信息。所以图4所示的方法流程中,还包S101,初始AMF确定第一密钥信息,其中,第一密钥信息包括初始AMF使用的密钥信息。
应理解,上述初始AMF通过初始AMF调用第一AMF的第三服务操作将第一密钥信息发送给第一AMF只是一种举例,不对本申请构成任何限定,还可以通过其他方式将第一密钥信息发送给第一AMF,例如,新增信令该信令中携带该第一密钥信息,或者其他方式这里不再一一列举。
具体地,初始AMF确定上述的第一密钥信息中的密钥可能是以下两种情况:
情况一:
初始AMF从第一AMF成功获取UE context之后(图2所示的S3),发起了主认证(图2所示的S4),UE和初始AMF各自生成新的AMF密钥,记为Kamf_new。初始AMF发起NAS安全命令控制流程,使得UE和初始AMF激活并开始使用在在主认证生成的密钥Kamf_new(图2所示的S5和S6),然后初始AMF决定进行NAS reroute(图2所示的S7),则情况一下初始AMF在该第三服务操作中,携带的新增的第一密钥信息中的密钥可以为以下的三种选项中的任意一种:
选项一:初始AMF和UE之间通过主认证生成的、激活并使用的AMF密钥信息,即第一密钥信息包括:Kamf_new以及Kamf_new对应的密钥标识符ngKSI_new。
选项二:初始AMF根据主认证生成的Kamf_new,然后初始AMF对Kamf_new进行密钥推演得到的新的密钥Kamf_new’和新的密钥Kamf_new’的密钥标识符ngKSI_new,初始AMF当前确定使用Kamf_new’和ngKSI_new。即第一密钥信息包括:Kamf_new’、第一指示信息以及Kamf_new’对应的密钥标识符ngKSI_new,该第一指示信息用于指示第一密钥信息中包括的密钥Kamf_new’为初始AMF进行过密钥推演得到的。该第一指示信息可以称为initAMFHDerivationInd。
应理解,本申请中对初始AMF根据Kamf_new进行密钥推演得到Kamf_new’使用的推演机制和参数不做限制,只限制生成的Kamf_new’跟Kamf_new之间是隔离的就可以。
作为一种可能的实现方式是,初始AMF使用现有协议中定义的水平密钥推演,基于Kamf_new水平推演获得Kamf_new’。
作为另一种可能的实现方式是,初始AMF和系统中其他的网元之间约定一种密钥推演的方式,当第三服务操作中携带的第一密钥信息包括上述的第一指示信息之后,第一AMF能够基于第一密钥信息中包括的第一指示信息确定第一密钥信息中包括的密钥Kamf_new’为经过约定的密钥推演方式得到的密钥。
情况二:
如果初始AMF从第一AMF中成功获取了UE的上下文,该上下文中包括UE的安全上下文,UE的安全上下文包括UE和第一AMF之间使用的AMF密钥信息。并且初始AMF接收到第一AMF发送的密钥推演指示,该密钥推演指示用于指示初始AMF接收到的密钥是第一AMF经过密钥推演所得,该密钥推演指示可以称为keyAMFHDerivationInd(如图3所示的S23)。初始AMF决定使用第一AMF返回的密钥Kamf’(如图3所示的S24),初始AMF发起了NAS安全模式控制流程,UE在该流程中,生成了Kamf’,并且UE和初始AMF激活并开始使用Kamf’(如图3所示的S25和S26),初始AMF决定通过(R)AN进行NAS Reroute(如图3所示的S27),则情况二下初始AMF在该第三服务操作中,携带的新增第一密钥信息中的密钥可以为以下的三种选项中的任意一种:
选项一:第一密钥信息中包括第二指示信息,该第二指示信息用于指示初始AMF激活并使用了之前第一AMF发送给初始AMF的密钥Kamf’。该第二指示信息可以称为OldAMFHDKeyActivatedInd。可选地,第一密钥信息还可以包括密钥Kamf’相应的密钥标识符ngKSI。
选项二:第一密钥信息中包括密钥Kamf’,可能包括密钥Kamf’相应的密钥标识符ngKSI。
选项三:第一密钥信息中包括密钥Kamf”和第一指示信息,可能包括密钥Kamf”相对应的密钥标识符ngKSI。其中,密钥Kamf”为初始AMF根据从第一AMF接收到的密钥Kamf’进行密钥推演,生成的新的密钥Kamf”,第一指示信息用于表明第三服务操作中携带的Kamf”为初始AMF进行了密钥推演之后得到的密钥。
情况三:
如果初始AMF从第一AMF中成功获取了UE的上下文,该上下文中包括UE的安全上下文,UE的安全上下文包括UE和第一AMF之间使用的AMF密钥信息。并且初始AMF接收到第一AMF发送的密钥Kamf。初始AMF决定使用第一AMF返回的密钥Kamf,初始AMF发起了NAS安全模式控制流程更新了安全算法,UE在该流程中,和初始AMF激活并开始使用Kamf,初始AMF决定通过(R)AN进行NAS Reroute(如图3所示的S27),则情况二下初始AMF在该第三服务操作中,携带的新增第一密钥信息包括当前的NAS count,还可能包括密钥,密钥可以为以下的选项中的任意一种:
选项一:初始AMF从第一AMF处获取的Kamf,和/或,该Kamf对应的密钥标识符,
选项二:密钥Kamf’和第一指示信息,可能包括密钥Kamf’相对应的密钥标识符ngKSI。其中,密钥Kamf’为初始AMF根据从第一AMF接收到的密钥Kamf进行密钥推演,生成的新的密钥Kamf”,第一指示信息用于表明第三服务操作中携带的Kamf’为初始AMF进行了密钥推演之后得到的密钥。
选项三:初始AMF不发送任何密钥。
在上述情况三和选项三种,初始AMF发送的第一密钥信息中只有NAS counts
应理解,与情况一中类似本申请中对初始AMF根据Kamf’进行密钥推演得到Kamf”使用的推演机制和参数不做限制,只限制生成的Kamf”跟Kamf’之间是隔离的就可以。
作为一种可能的实现方式是,初始AMF使现有协议中定义的水平密钥推演,基于Kamf’进行水平密钥推演获得Kamf”。
作为另一种可能的实现方式是,初始AMF和系统中的其他网元之间约定一种密钥推演的方式,当通知消息中携带的第一密钥信息包括上述的第一指示信息之后,第一AMF能够基于第一密钥信息中包括的第一指示信息确定第一密钥信息中包括的密钥Kamf”为经过约定的密钥推演方式得到的密钥。
作为一种可能的实现方式是,图4所示的实施例中,在该第三服务操作中还可能携带原因值(value),该原因值用于指示UE在初始AMF处注册失败的原因是发生了AMF重定向。也就是说图4所示的实施例中,第一AMF基于第三服务操作能够获知UE在初始AMF处注册失败,并且获知UE在初始AMF处注册失败的原因是发生了AMF重定向。
还应理解,由于在情况二下,密钥Kamf’或Kamf”对应的密钥标识符与密钥Kamf对应的密钥标识符ngKSI一致,所以说在情况二下第一密钥信息中可以不包括Kamf’或Kamf”对应的密钥标识符,也可以包括Kamf’或Kamf”对应的密钥标识符ngKSI,本申请对此并不限制。
还应理解,图4所示的实施例中主要涉及图2和图3中所示的初始AMF决定进行重定向之后的部分流程的改进,对于初始AMF决定进行重定向之前的流程与图2和图3中所示的类似。例如,在执行上述的S110之前,图4所示的方法流程还应该包括以下步骤:
S111,UE向初始AMF发送RR消息,该RR消息中携带该UE的5G-GUTI;
S112,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF发送第一服务操作的调用,该第一服务操作调用可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;
S113,第一AMF向初始AMF发送第一服务操作的响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作的响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作的响应息可以称为Namf_Communication_UEContextTransferResponse。
对应于上述的情况一:
该第一服务操作响应中包括Kamf或者Kamf’;
对应于上述的情况二:
该第一服务操作响应中包括Kamf’。
对应于上述的情况三:
该第一服务操作响应中包括Kamf’或者Kamf。
S114,对应于上述的情况一:
初始AMF发起主认证流程。初始AMF和UE各自生成Kamf_new及其对应的ngKSI_new;
对应于上述的情况二:
初始AMF确定使用Kamf’。
对应于上述的情况三:
初始AMF确定使用Kamf
S115,初始AMF向用户设备发起NAS SMC消息。
对应于上述的情况一:
初始AMF激活并开始使用主认证生成的Kamf_new;
对应于上述的情况二:
初始AMF激活并开始使用Kamf’。
具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。
对应于上述的情况三:
初始AMF激活并开始使用Kamf。
对应于上述情况一和二,初始AMF在NAS SMC消息中携带请求完整初始NAS消息的指示。对应于上述情况三,初始AMF可以解密注册消息中的NAS container,获取完整的初始注册消息。
S116,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。
对应于上述的情况一:
UE激活并开始使用Kamf_new;
对应于上述的情况二:
UE激活并开始使用Kamf’。
对应于上述的情况三:
UE激活并开始使用Kamf。
具体地,根据NAS SMC中的请求完整初始NAS消息的指示,NAS安全模式命令完成消息中携带完整注册请求消息。具体地,本申请中所涉及的完整注册请求消息与上述S111中的注册请求消息的区别在于:完整注册请求消息中携带的信息为明文的,未经过加密、而S111中的注册请求消息中部分信息为明文的,部分信息为经过加密的信息。
S117,初始AMF根据UE发送的安全模式命令完成消息中的完整注册请求消息中携带的Requested NSSAIs或者初始AMF根据解密注册消息获取的Requested NSSAIs,判断并决定进行AMF重定向。称为初始AMF决定NAS reroute。
具体地,本申请实施例中,对于初始AMF决定进行AMF重定向的原因并不限制,可以是现有协议中规定的触发AMF重定向的任意一种原因。例如,当初始AMF发现自己不能为UE的网络切片提供服务时,则决定进行AMF重定向,选择能为UE服务的第二AMF。重定向的实现,现有协议中定义了以下两种方式,初始AMF可以选择其中一种:
方式一:如果初始AMF和第二AMF之间可以建立链接,则初始AMF调用第二AMF的Namf_Communication_N1MessageNotify服务操作。
方式二:如果初始AMF和第二AMF之间没有链接(可能的原因是初始AMF和第二AMF分属于不同的网络切片,二者之间不允许互通),初始AMF将接收到的UE的注册请求,通过(R)AN发送给第二AMF。
图4所示的注册流程中考虑的是上述的方式二。
进一步地,在执行上述S110之后,第一AMF接收到初始AMF发送的第三服务操作调用之后,需要保存上述第三服务操作中携带的第一密钥信息,即执行S120,第一AMF存储第一密钥信息。
具体地,针对上述的情况一和情况二和情况三中分别列举的几种不同的选项,第一AMF存储的第一密钥信息包括以下三情况:
情况一:
选项一:Kamf_new,以及Kamf_new对应的密钥标识符ngKSI_new,以及NAS Counts。
选项二:Kamf_new’、第一指示信息、和Kamf_new’对应的密钥标识符ngKSI_new、以及NAS Counts;该第一指示信息用于指示第一密钥信息中的密钥为初始AMF进行密钥推演得到的。
情况二:
选项一:第二指示信息,以及NAS Counts,该第二指示信息用于指示初始AMF激活并使用了之前第一AMF发送给初始AMF的密钥Kamf’。可选地,第一密钥信息还可以包括密钥Kamf’相应的密钥标识符ngKSI。
选项二:Kamf’,以及NAS Counts,可能包括Kamf’相应的密钥标识符ngKSI。
选项三:Kamf”和第一指示信息,以及NAS Counts,可能包括密钥Kamf”相应的密钥标识符ngKSI。第一指示信息用于表明通知消息中携带的Kamf”为初始AMF进行了密钥推演之后得到的密钥。
情况三:
选项一:NAS Counts,以及Kamf和/或Kamf对应的密钥标识符ngKSI。
选项二:Kamf’和第一指示信息、以及NAS Counts,可能包括Kamf’对应的密钥标识符ngKSI,第一指示信息用于表明通知消息中携带的Kamf’为初始AMF进行了密钥推演之后得到的密钥:
选项三:NAS Counts。
应理解,图4所示的实施例中主要涉及图2和图3中所示的初始AMF决定进行重定向过程中初始AMF、第一AMF、第二AMF以及UE之间的信令交互。
一种可能的实现方式,对于与(R)AN之间的信令交互并不改变。例如,在执行S120之前,图4所示的方法还应该包括以下步骤:
S121,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message,并将从UE处接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S122,(R)AN向第二AMF发送initial UE message,该initial UE message中携带有上述的RR消息。
另一种可能的实现方式,对于与(R)AN之间的信令交互进行改变。例如,在执行S120之前,图4所示的方法还应该包括以下步骤:
S121,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message。
与图2和图3中所示的NAS Reroute Message不同的是:NAS Reroute Message不是携带从UE处接收到的RR消息,而是携带上述的S116中所示的完整注册请求消息。
S122,(R)AN向第二AMF发送initial UE message,该initial UE message中携带有上述的完整注册请求消息。其中,该完整注册请求消息用于指示网络设备侧发生了AMF重定向,选择第二AMF为UE提供服务。
具体地,如果在S122中(R)AN向第二AMF发送initial UE message中携带的是完整注册请求消息,则第二AMF无需再向UE请求完整注册请求消息,并且第二AMF能够根据完整注册请求消息判断网络设备侧发生了AMF重定向,自身能够为UE提供服务,第二AMF无需再次执行是否进行AMF重定向的步骤。
S123,第二AMF调用第一AMF的第二服务操作。该第二服务操作为Namf_Communication_UEContextTransfer。
具体地,第一AMF在接收到第二AMF发送的第二服务操作的调用之后,使用第一AMF跟UE之间建立的NAS安全上下文对RR消息进行验证,验证成功之后,向第二AMF发送第二服务操作的响应,即执行S130,第一AMF向第二AMF发送第二服务操作的响应。图4所示的实施例中,第一AMF向第二AMF发送的第二服务操作的响应中携带的信息与图2和图3中所示的第二服务操作的响应存在区别,下面详细介绍第一AMF向第二AMF发送的第二服务操作的响应。
需要注意的是,所述第二服务操作响应中包括第二密钥信息,该第二密钥信息包括上述第一密钥信息中的部分信息,或者该第二密钥信息包括第一密钥信息中的密钥经过密钥推演之后生成的密钥和第三指示信息,以及第一密钥信息中的非接入层计数器NASCounts。
应理解,上述第一AMF通过第一AMF向第二AMF发送第二服务操作的响应将第二密钥信息发送给第二AMF只是一种举例,不对本申请构成任何限定,还可以通过其他方式将第二密钥信息发送给第二AMF,例如,新增信令该信令中携带该第二密钥信息,或者其他方式这里不再一一列举。
具体地,针对上述S110中的情况一和情况二和情况三,第一AMF向第二AMF发送的第二服务操作响应中包括的第二密钥信息中的密钥包括以下多种可能的选项,其中,选项一和选项二对应于S110中的情况一中描述的第一AMF从初始AMF接收到的第三服务操作调用中包括的第一密钥信息选项一和选项二;选项三对应于S110中的情况二中描述的第一AMF从初始AMF接收到的第三服务操作调用中包括的第一密钥信息选项二,选项四对应于S110中的情况二中描述的第一AMF从初始AMF接收到的通知消息中包括的第一密钥信息选项三,选项五对应于S110中的情况二中描述的第一AMF从初始AMF接收到的第三服务操作调用中包括的第一密钥信息选项一,选项六对应于S110中的情况三中描述的第一AMF从初始AMF接收到的第三服务操作调用中包括的第一密钥信息中密钥选项一和选项三;选项七对应于S110中的情况三中描述的第一AMF从初始AMF接收到的第三服务操作调用中包括的第一密钥信息中密钥选项二:
选项一:第一AMF从初始AMF处没有接收到第一指示信息,即第三服务操作响应中携带的第一密钥信息中的密钥是初始AMF未进行密钥推演的密钥,初始AMF发送给第一AMF的第三服务操作响应中携带的第一密钥信息中包括的是密钥Kamf_new以及Kamf_new对应的密钥标识符ngKSI_new;
一种可能的实现方式是,第一AMF不对接收到的密钥Kamf_new进行密钥推演,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括Kamf_new以及Kamf_new对应的密钥标识符ngKSI_new;
另一种可能的实现方式是,第一AMF决定对接收到的密钥Kamf_new进行密钥推演,得到Kamf_new’。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括基于Kamf_new进行密钥推演之后Kamf_new’、Kamf_new’对应的密钥标识符ngKSI_new。根据现有标准定义,第一AMF在进行了密钥推演之后,在第二服务操作响应中携带第三指示信息,用于指示第二密钥信息中的密钥Kamf_new’为第一AMF进行密钥推演得到的。第三指示信息可以称为keyAMFHDerivationInd。
选项二:第一AMF从初始AMF中接收到第一指示信息,即第三服务操作响应中携带的第一密钥信息中的密钥是初始AMF进行了密钥推演之后得到的密钥,初始AMF发送给第一AMF第三服务操作响应中携带的第一密钥信息中包括的是Kamf_new’以及Kamf_new’对应的密钥标识符ngKSI_new。
一种可能的实现方式是,第一AMF不对接收到密钥Kamf_new’进行密钥推演,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括Kamf_new’、Kamf_new’对应的密钥标识符ngKSI_new。第一第二AMF根据接收到的第一指示信息,还在发送给第二AMF中的第二密钥信息中包括第四指示信息,记为initAMFHDerivationInd2;该第四指示信息用于指示第一AMF进行了密钥推演。第四指示信息和第一指示信息可相同,也可以不同。
另一种可能的实现方式是,第一AMF决定对接收到密钥Kamf_new’进行密钥推演,得到Kamf_new”。则第一AMF在第二操作服务响应中发送给第二AMF的第二密钥信息包括基于Kamf_new’进行密钥推演之后Kamf_new”,Kamf_new”对应的密钥标识符ngKSI_new。第一AMF根据接收到的第一指示信息,还在发送给第二AMF中的第二密钥信息中包括第四指示信息,记为initAMFHDerivationInd2;该第四指示信息用于指示第一AMF进行了水平密钥推演。第四指示信息和第一指示信息可相同,也可以不同。根据现有标准定义,第一AMF在进行了密钥水平推演之后,在第二服务操作响应中携带第三指示信息,用于指示第二密钥信息中的密钥Kamf_new’为第一AMF进行密钥推演得到的。第三指示信息可以称为keyAMFHDerivationInd。
选项三:第一AMF从初始AMF处没有接收到第一指示信息,即第三服务操作响应中携带的第一密钥信息中的密钥是初始AMF未进行密钥推演的密钥,初始AMF发送给第一AMF的第三服务操作响应中携带的第一密钥信息中包括的是Kamf’,第一密钥信息中还可能包括Kamf’对应的密钥标识符ngKSI;
一种可能的实现方式是,第一AMF不对接收到的密钥Kamf’进行密钥推演,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括Kamf’和Kamf’对应的密钥标识符ngKSI。
另一种可能的实现方式是,第一AMF决定对接收到的密钥Kamf’进行密钥推演,得到Kamf”。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括基于Kamf’进行密钥推演之后Kamf”以及Kamf”对应的密钥标识符ngKSI。根据现有标准定义,第一AMF在进行了密钥推演之后,在第二服务操作响应中携带第三指示信息,用于指示第二密钥信息中的密钥Kamf_new’为第一AMF进行密钥推演得到的。第三指示信息可以称为keyAMFHDerivationInd。
针对以上两种可能的实现方式,如果第一AMF接收到密钥标识符ngKSI,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括接收到的密钥标识符ngKSI;否则第一AMF从本地存储的跟UE建立的NAS安全上下文中找到密钥标识符ngKSI,然后在第二密钥信息中包括该密钥标识符ngKSI。也就是说第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中需要包括密钥标识符ngKSI,但是本申请中并不限定该密钥标识符ngKSI是从第一AMF接收到的还是第一AMF从本地存储的跟UE建立的NAS安全上下文中找到的。
选项四:第一AMF从初始AMF中接收到第一指示信息,即第三服务操作响应中携带的第一密钥信息中的密钥是初始AMF进行了密钥推演之后得到的密钥,初始AMF发送给第一AMF第三服务操作响应中携带的第一密钥信息中包括的是Kamf”,第一密钥信息中还可能包括Kamf”对应的密钥标识符ngKSI。
一种可能的实现方式是,第一AMF不对接收到密钥Kamf”进行密钥推演,则第一AMF在第二服务操作响应中发送第二AMF的第二密钥信息包括Kamf”、Kamf”对应的密钥标识符ngKSI以及第四指示信息,第一AMF根据接收到的第一指示信息,还在发送给第二AMF中的第二密钥信息中包括第四指示信息,记为initAMFHDerivationInd2;该第四指示信息用于指示第一AMF进行了水平密钥推演。
另一种可能的实现方式是,第一AMF决定对接收到密钥Kamf”进行密钥推演,得到Kamf”’。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括基于Kamf”进行密钥推演之后Kamf”’、Kamf”’对应的密钥标识符ngKSI以及第四指示信息。根据现有标准,第一AMF在发送给第二AMF的第二服务调用响应中中还包括第三密钥推演指示信息指示,用于指示第二密钥信息中的kamf”’为第一AMF进行水平密钥推演得到
针对以上两种可能的实现方式,如果第一AMF接收到密钥标识符ngKSI,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括接收到的密钥标识符ngKSI;否则第一AMF从本地存储的跟UE建立的NAS安全上下文中找到密钥标识符ngKSI,然后在第二密钥信息中包括该密钥标识符ngKSI。
选项五:第一AMF从初始AMF接收到第二指示信息。可选地,第一AMF从初始AMF还可能接收到密钥标识符ngKSI和/或Kamf’。
一种可能的实现方式是:第一AMF根据第二指示信息,对第一AMF和UE之间使用的Kamf进行密钥推演得到Kamf’。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括Kamf’和Kamf’对应的密钥标识符ngKSI。
另外一种可能的实现方式是:第一AMF根据第二指示信息,对第一AMF和UE之间使用的Kamf进行密钥推演得到Kamf’。然后第一AMF根据本地策略,决定对Kamf’进行密钥推演得到Kamf”。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括Kamf”和Kamf”对应的密钥标识符ngKSI。根据现有标准定义,在该可能的实现方式下第一AMF在第二服务操作响应中包括第三指示信息,用于指示第二密钥信息中的Kamf”为第一AMF进行密钥推演得到。
针对以上两种可能的实现方式,如果第一AMF接收到密钥标识符ngKSI,则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括接收到的密钥标识符ngKSI;否则第一AMF从本地存储的跟UE建立的NAS安全上下文中找到密钥标识符ngKSI,然后在第二密钥信息中包括该密钥标识符ngKSI。
选项六:第一AMF从初始AMF接收到Kamf和/或Kamf对应密钥标识符ngKSI;或者第一AMF从初始AMF接收到的第一密钥信息中没有密钥和标识符,只有NAS Counts
一种可能的实现方式是:第一AMF从本地存储的第一AMF跟UE之间建立的NAS安全上下文中获取Kamf和/或ngKSI,或者第一AMF从初始AMF接收到的第一密钥信息中获取Kamf和/或ngKSI。第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息中包括Kamf和Kamf对应的密钥标识符ngKSI。
另外一种可能的实现方式是:第一AMF从本地存储的第一AMF跟UE之间建立的NAS安全上下文中获取Kamf和/或ngKSI,或者第一AMF从初始AMF接收到的第一密钥信息中获取Kamf和/或ngKSI。然后第一AMF决定对接收到的密钥Kamf进行密钥推演,得到Kamf’。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括基于Kamf进行密钥推演之后的Kamf’以及Kamf’对应的密钥标识符ngKSI。根据现有标准定义,第一AMF在进行了密钥推演之后,在第二服务操作响应中携带第三指示信息,用于指示第二密钥信息中的密钥Kamf_new’为第一AMF进行密钥推演得到的。第三指示信息可以称为keyAMFHDerivationInd。
选项7:第一AMF从初始AMF接收到Kamf’和第一指示信息,第一AMF还可能从初始AMF获取Kamf’对应的密钥标识符ngKSI
一种可能的实现方式是,第一AMF不对接收到密钥Kamf’进行密钥推演,则第一AMF在第二服务操作响应中发送第二AMF的第二密钥信息包括Kamf’、Kamf’对应的密钥标识符ngKSI以及第四指示信息。第一AMF根据接收到的第一指示信息,还在发送给第二AMF中的第二密钥信息中包括第四指示信息,记为initAMFHDerivationInd2;该第四指示信息用于指示第一AMF进行了水平密钥推演。
另一种可能的实现方式是,第一AMF决定对接收到密钥Kamf’进行密钥推演,得到Kamf”。则第一AMF在第二服务操作响应中发送给第二AMF的第二密钥信息包括基于Kamf’进行密钥推演之后Kamf”、Kamf”对应的密钥标识符ngKSI以及第四指示信息。根据现有标准,第一AMF在发送给第二AMF的第二服务调用响应中中还包括第三密钥推演指示信息指示,用于指示第二密钥信息中的kamf”为第一AMF进行水平密钥推演得到应理解,上述的第一指示信息、第三指示信息以及第四指示信息可以统称为推演指示信息,表示接收到的密钥为经过密钥推演的密钥。也就是说UE接收到N个推演指示信息,需要对当前使用的AMF密钥经过N次推演才能保证与第二AMF使用的AMF密钥保持一致,N为整数。
S140,第二AMF确定要使用的UE的密钥信息。根据S130中第二AMF收到的第二密钥信息,第二AMF确定使用第二密钥信息中的密钥以及相应的密钥标识符,以及非接入层计数器NAS Counts。
S150,第二AMF向UE发送NAS消息。NAS消息基于第二密钥信息进行保护。
具体地,如果第二AMF接收到的第二密钥信息中有第四指示信息,则第二AMF发送NAS SMC消息,并在NAS SMC消息中携带第五指示信息,用于指示UE进行密钥推演。第五指示信息可以记为init_AMF_CHANGE_FLAG。
根据现有标准定义,第二AMF发送NAS SMC消息的情况,还包括:第二AMF接收到的第二服务操作响应中包括第三指示信息,则第二AMF在NAS SMC消息中还要携带值为1的K_AMF_change_flag指示;或者,第二AMF选择的安全算法跟第二服务操作响应中携带的第一AMF选择的安全算法不同。
一种可能的实现方式,第二AMF向UE发送的NAS SMC消息中携带请求完整初始NAS消息的指示。
另一种可能的实现方式,在上述的S122中,(R)AN向第二AMF发送initial UEmessage中携带有完整注册请求消息的情况下,第二AMF向UE发送的NAS SMC消息中无需携带请求完整初始NAS消息的指示。
如果上述的初始AMF不进行密钥推演、第一AMF不进行密钥推演以及第二AMF决定使用第一AMF发送的AMF密钥,以及第一AMF选择的安全算法,则该NAS消息是根据注册流程,向UE发送其他的非NAS SMC消息的NAS消息。
S160,UE验证接收到的NAS消息。
如果NAS消息为非NAS SMC消息的NAS消息,由于该NAS消息具有加密和完整性保护,则UE能够验证成功;
如果该NAS消息为NAS SMC消息;
一种可能的实现方式,NAS SMC消息中携带第五指示信息,UE先根据本地激活使用的AMF密钥,进行密钥推演。如果UE使用的AMF密钥是Kamf’,则UE进行密钥推演生成Kamf”;如果UE使用的AMF密钥是Kamf_new,则UE进行密钥推演生成Kamf_new’。该密钥推演跟初始AMF推演使用的机制和参数相同。然后UE根据现有标准定义,处理NAS SMC消息。比如,如果NAS SMC消息中还携带值为1的K_AMF_change_flag,则UE再进行密钥推演:如果UE根据第五指示信息生成了Kamf”,则进行密钥推演后生成Kamf”’;如果UE根据第五指示信息生成了Kamf_new’,则进行密钥推演后生成Kamf_new”。该密钥推演跟第一AMF推演使用的机制和参数相同。处理成功之后,发送NAS安全模式命令完成消息给目标AMF,第二AMF接收到NAS安全模式命令完成消息之后,第二AMF继续进行注册流程。即图4所示的方法流程中还包括S161和S162。
图4所示的方法流程详细介绍了本申请实施例提供的用于发生AMF重定向的注册的方法流程,下面结合图5详细说明相比于图2和图3,图4所示的用于重定向的方法如何克服了图2和图3所示的UE和第二AMF之间的AMF密钥不一致的问题。图5是本申请实施例提供密钥信息传递流程图。
应理解,图5主要是用于说明UE和第二AMF之间的AMF密钥如何保持一致的,因此图5中仅仅示出密钥信息的传递流程,其他的流程省略未示出。具体地,图5所示流程中,UE和第一AMF之间之前建立的AMF密钥记为Kamf。
对应于图4所示的方法流程中的S110中的情况一,在初始AMF进行了主认证之后,使用NAS SMC消息使得初始AMF和UE之间激活并使用主认证生成的Kamf_new,以及对应的标识符为ngKSI_new。初始AMF决定进行AMF重定向。下面结合图5(a)-(d)根据初始AMF在决定进行AMF重定向之后,初始AMF和第一AMF是否对密钥进行密钥推演的不同情况,分别说明图4所示的实施例如何解决了UE和第二AMF之间AMF密钥不一致的问题。
情况1:如图5(a)所示初始AMF不对Kamf_new进行密钥推演,发送给第一AMF的AMF密钥为Kamf_new,密钥标识符为ngKSI_new;第一AMF不对Kamf_new进行密钥推演,发送给第二AMF的密钥为Kamf_new,密钥标识符为ngKSI_new。在此情况下UE和第二AMF上的密钥均为Kamf_new,密钥一致。
情况2:如图5(b)所示初始AMF不对Kamf_new进行密钥推演,发送给第一AMF的AMF密钥为Kamf_new,密钥标识符为ngKSI_new;第一AMF对Kamf_new进行密钥推演,发送给第二AMF的密钥为推演得到的Kamf_new’,以及标识符ngKSI_new。根据现有标准定义,第一AMF还发给第二AMF第三指示信息,该第三指示信息用于指示第二密钥信息中的密钥Kamf_new’为第一AMF进行密钥推演得到的。第二AMF发给UE的NAS SMC消息中会携带值为1的K_AMF_change_flag。UE在接收到值为1的K_AMF_change_flag之后,对Kamf_new进行密钥推演,根据当前的Kamf_new生成Kamf_new’。这样,UE和第二AMF上的密钥均为Kamf_new’,密钥一致。
情况3:如图5(c)所示初始AMF对Kamf_new进行密钥推演,发送给第一AMF的AMF密钥为Kamf_new’,密钥标识符为ngKSI_new以及第一指示信息,该第一指示信息用于指示第一密钥信息中的密钥Kamf_new’为初始AMF进行密钥推演得到的;第一AMF不对Kamf_new’进行密钥推演,发送给第二AMF的密钥为Kamf_new’,密钥标识符ngKSI_new以及第四指示信息,该第四指示信息用于指示第二密钥信息中的密钥Kamf_new’为初始AMF进行密钥推演得到的。第二AMF发给UE的NAS SMC消息中会携带值为1的K_AMF_change_flag。UE在接收到该值为1的K_AMF_change_flag之后,对Kamf_new进行密钥推演,根据当前的Kamf_new生成Kamf_new’。这样,UE和第二AMF上的密钥均为Kamf_new’,密钥一致。
情况4:如图5(d)所示初始AMF对Kamf_new进行推密钥演,发送给第一AMF的AMF密钥为Kamf_new’,密钥标识符为ngKSI_new以及第一指示信息,该第一指示信息用于指示第一密钥信息中的密钥Kamf_new’为初始AMF进行密钥推演得到的;第一AMF对Kamf_new’进行密钥推演,发送给第二AMF的密钥为密钥推演得到的Kamf_new”,以及标识符ngKSI_new,以及上述的第四指示信息。根据现有标准定义,由于第一AMF进行了水平密钥推演,则第一AMF还发送第三指示信息给第二AMF,该第三指示信息用于指示第一AMF进行水平密钥推演。第二AMF发给UE的NAS SMC消息中会携带第五指示信息和值为1的K_AMF_change_flag。UE根据第五指示信息,对Kamf_new进行水平推演,根据当前的Kamf_new生成Kamf_new’。UE再根据值为1的K_AMF_change_flag,对Kamf_new’进行水平推演,得到Kamf_new”。这样,UE和第二AMF上的密钥均为Kamf_new”,密钥一致。
对应于图4所示的方法流程中的S110中的情况二,在初始AMF确定使用第一AMF发送的进行了密钥推演生成的AMF密钥,即Kamf’,及其密钥标识符ngKSI之后,使用NAS SMC消息使得UE和初始AMF激活并使用Kamf’,Kamf’对应的标识符为ngKSI。初始AMF决定进行AMF重定向。下面结合图5(e)-(h)根据初始AMF在决定进行AMF重定向之后,初始AMF和第一AMF是否对密钥进行密钥推演的不同情况,分别说明图4所示的实施例如何解决了UE和第二AMF之间AMF密钥不一致的问题。
情况1:如图5(e)所示初始AMF不对Kamf’进行密钥推演,发送给第一AMF的AMF密钥为Kamf’,可能还向第一AMF发送密钥标识符ngKSI;第一AMF不对Kamf’进行密钥推演,发送给第二AMF的密钥为Kamf’,密钥标识符为ngKSI。在此情况下UE和第二AMF上的密钥均为Kamf’,密钥一致。
情况2:如图5(f)所示初始AMF不对Kamf’进行密钥推演,发送给第一AMF的AMF密钥为Kamf’,可能还向第一AMF发送密钥标识符ngKSI;第一AMF对Kamf’进行密钥推演,发送给第二AMF的密钥为推演得到的Kamf”,以及标识符ngKSI。根据现有标准定义,第一AMF还发送第三指示信息给第二AMF,该第三指示信息用于指示第二密钥信息中的密钥Kamf”为第一AMF进行密钥推演得到的。根据现有标准定义,第二AMF发给UE的NAS SMC消息中还会带值为1的K_AMF_change_flag。UE在接收到值为1的K_AMF_change_flag后,对Kamf’进行密钥推演,根据当前的Kamf’生成Kamf”。这样,UE和第二AMF上的密钥均为Kamf”,密钥一致。
情况3:如图5(g)所示初始AMF对Kamf’进行密钥推演,发送给第一AMF的AMF密钥为Kamf”以及第一指示信息,可能还向第一AMF发送密钥标识符ngKSI,该第一指示信息用于指示第一密钥信息中的密钥Kamf”为初始AMF进行密钥推演得到的;第一AMF不对Kamf”进行密钥推演,发送给第二AMF的密钥为Kamf”,密钥标识符ngKSI以及第四指示信息,该第四指示信息用于指示第二密钥信息中的密钥Kamf”为初始AMF进行密钥推演得到的。第二AMF发给UE的NAS SMC消息中会带第五指示信息。UE在接收到该第五指示信息之后,对Kamf’进行密钥推演,根据当前的Kamf’生成Kamf”。这样,UE和第二AMF上的密钥均为Kamf”,密钥一致。
情况4:如图5(h)所示初始AMF对Kamf’进行密钥推演,发送给第一AMF的AMF密钥为Kamf”以及第一指示信息,可能还向第一AMF发送密钥标识符ngKSI,该第一指示信息用于指示第一密钥信息中的密钥Kamf”为初始AMF进行密钥推演得到的;第一AMF对Kamf”进行水平推演,发送给第二AMF的密钥为水平推演得到的Kamf”’,以及标识符ngKSI,以及上第四指示信息。根据现有标准定义,第一AMF还发送第三指示信息给第二AMF。第三指示信息,该第三指示信息用于指示第一AMF进行水平密钥推演。第二AMF发给UE的NAS SMC消息中会携带第五指示信息。根据现有标准定义,第二AMF发给UE的NAS SMC消息中还会带值为1的K_AMF_change_flag。UE根据第五指示信息,对Kamf’进行水平推演,根据当前的Kamf’生成Kamf”。UE再根据值为1的K_AMF_change_flag,对Kamf”进行水平推演,得到Kamf”’。这样,UE和第二AMF上的密钥均为Kamf”’,密钥一致。
情况5:如图5(i)所示初始AMF不对Kamf’进行密钥推演,发送给第一AMF的第一密钥信息为第二指示信息,可能还向第一AMF发送密钥标识符ngKSI;第一AMF根据第二指示信息确定初始AMF使用的密钥为Kamf’,则第一AMF生成Kamf’并且第一AMF不对Kamf’进行密钥推演,发送给第二AMF的密钥为Kamf’,密钥标识符为ngKSI。在此情况下UE和第二AMF上的密钥均为Kamf’,密钥一致。
情况6:如图5(j)所示初始AMF不对Kamf’进行密钥推演,发送给第一AMF的AMF密钥为第二指示信息,可能还向第一AMF发送密钥标识符ngKSI;第一AMF根据第二指示信息确定初始AMF使用的密钥为Kamf’,则第一AMF生成Kamf’并且第一AMF对Kamf’进行密钥推演,发送给第二AMF的密钥为推演得到的Kamf”,以及标识符ngKSI。根据现有标准定义,第一AMF还发送第三指示信息给第二AMF,该第三指示信息用于指示第二密钥信息中的密钥Kamf”为第一AMF进行密钥推演得到的。根据现有标准定义,第二AMF发给UE的NAS SMC消息中还会带值为1的K_AMF_change_flag。UE在接收到值为1的K_AMF_change_flag后,对Kamf’进行密钥推演,根据当前的Kamf’生成Kamf”。这样,UE和第二AMF上的密钥均为Kamf”,密钥一致。
上面结合图4和图5详细介绍了本申请实施例提供的一种用于注册的方法,克服了图2和图3所示的方法流程中UE和第二AMF上的密钥不一致的问题。
图4所示的方法流程中主要是通过初始AMF在向第一AMF发送的第三服务操作中携带自身使用的AMF密钥,以及在第三服务操作中携带的密钥是否经过推演的指示信息、第一AMF向第二AMF发送的第二服务操作响应中携带有初始AMF在第三服务操作中携带的密钥信息或该密钥信息中的推演密钥信息以及在第二服务操作响应中携带初始AMF和/或第一AMF是否对密钥进行密钥推演的指示信息,从而达到UE和第二AMF上的密钥一致的目的。
本申请还提供另一种用于重定向的方法,下面结合图6详细介绍本申请实施例中提供的另一种用于重定向的方法。图6是本申请实施例中提供的另一种用于移动注册的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF、AUSF以及S210-S260。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。下面从信令交互的角度详细介绍S210-S260。
S210,UE接收初始AMF发送的NAS SMC消息。具体地,该NAS SMC消息中携带请求完整初始NAS消息的指示。图6所示的实施例中,初始AMF向UE发送的NAS SMC消息可以称为第一NAS SMC消息。
需要注意的是,与图2和图3中所示的初始AMF向UE发送的NAS SMC消息不同的是,图6所示的实施例中,该NAS SMC消息中可能携带有第四指示,该第四指示用于指示UE保存UE和初始AMF之间建立的NAS安全上下文,具体地,指示UE保存在发送注册消息后的NAS安全上下文或者指示UE保存在发送注册消息前的NAS安全上下文,应理解本申请中将第一NASSMC消息中携带的用于指示UE保存在发送注册消息时的NAS安全上下文称为第四指示只是一种举例,不对本申请构成任何限定,例如,该第四指示也可以称为保存指示,或保存信息,或信息等。该NAS安全上下文至少包括UE跟第一AMF之间建立的NAS安全上下文中的密钥,还可以包括密钥标识符ngKSI,以及NAS Counts。为了便于描述,下文中将UE跟第一AMF之间建立的NAS安全上下文简称为第一NAS安全上下文。
进一步地,图6所示的实施例中UE在接收到初始AMF发送的NAS SMC消息之后,会执行保存动作,保存第一NAS安全上下文,而不是直接更新本地的AMF密钥。也就是说与前述方法不同的是,图6所示的方法实施例中,UE会执行S220,保存第一NAS安全上下文。具体地,UE执行保存第一NAS安全上下文可以基于以下两种可能的方式:
方式一:
UE接收初始AMF发送的NAS SMC消息,根据NAS SMC消息,UE执行S220,保存上述第一NAS安全上下文。然后UE根据现有标准定义,处理NAS SMC消息更新密钥。
应理解,本申请实施例中不特别限制UE处理第一NAS SMC消息以及保存第一NAS安全上下文之间的先后关系,例如,UE可以是接收到第一NAS SMC消息之后,先不处理第一NASSMC消息,先保存本地的第一NAS安全上下文,然后再按照现有协议规定的处理方式处理该第一NAS安全上下文;或者,UE可以是接收到第一NAS SMC消息之后,先处理第一NAS SMC消息,但是在这种情况下UE能够区别本地的第一NAS安全上下文,以及处理第一NAS SMC消息生成的新的NAS安全上下文,UE可以在处理第一NAS SMC消息之后第一NAS SMC消息之后。
方式二:
UE接收初始AMF发送的NAS SMC消息,所述NAS SMC消息中携带第四指示,该第四指示用于指示UE用户设备保存第一NAS安全上文信息。UE根据所述第四指示,首先保存第一NAS安全上下文信息,然后UE按照现有标准定义,处理NAS SMC消息更新密钥。
也就是说图6所示的实施例中,一种可能的实现方式是:UE基于从初始AMF处接收到的NAS SMC消息可以决定保存第一NAS安全上下文信息;另一种可能的实现方式是:该NASSMC消息中包括第四指示,UE基于该第四指示可以决定保存第一NAS安全上下文信息。即第一种可能的实现方式中,NAS SMC消息本身具有指示UE保存第一NAS安全上文信息的作用,在第二种可能的实现方式中,NAS SMC消息的作用于现有协议中规定的一样,只是该NASSMC消息中新增的第四指示具有指示UE保存第一NAS安全上文信息的作用。本申请中对与UE基于上述哪种可能的实现方式实现保存第一NAS安全上下文并不限制。
应理解,UE还需要处理第一NAS SMC消息,例如,UE根据第一NAS SMC消息的密钥推演指示进行密钥推演生成新的AMF密钥,当UE本地同时存在新的AMF密钥和第一密钥的情况下,UE可以设置标识位分别标识新的AMF密钥和第一密钥,本申请对此并不限制。应理解,与上述图2和图3所示的方法流程类似,图6所示的实施例中UE从初始AMF处接收到的NAS SMC消息同样可以用于初始AMF和UE之间协商使用AMF密钥和安全算法,具体地图6所示的实施例中UE根据NAS SMC消息更新密钥Kamf包括以下两种情况:
情况一:
UE基于NAS SMC消息将Kamf更新为初始AMF进行主认证之后激活并使用的Kamf_new。
具体地,UE接收并处理NAS SMC消息时。在完整性保护验证成功之后,确定更新UE的密钥和对应的标识符为Kamf_new和ngKSI_new,则UE在更新之前,保存第一AMF密钥和对应的标识符,即UE和第一AMF之间建立的Kamf和ngKSI。
情况二:
UE基于NAS SMC消息将Kamf更新为初始AMF从第一AMF处接收到的密钥Kamf’。
具体地,UE接收并处理NAS SMC消息时。在完整性保护验证成功之后,确定更新UE的密钥为Kamf’,则UE在更新之前,保存第一AMF密钥和对应的密钥标识符,即保存UE和第一AMF之间建立的Kamf和ngKSI。
情况三:
UE基于NAS SMC消息激活并使用Kamf,并将使用的安全算法进行更新。
应理解,图6所示的实施例中主要详细介绍与图2和图3中所示的流程不同的信令,对于与图2和图3中所示的流程类似的信令简单进行说明即可。例如,图6所示的方法还应该包括以下步骤:
S211,UE向初始AMF发送RR消息,该RR消息中携带该UE的5G-GUTI;
S212,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;
S213,第一AMF向初始AMF发送第一服务操作响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response。
对应于S220中的情况一:
该第一服务操作响应中包括Kamf或者Kamf’;
对应于S220中的情况二:
该第一服务操作响应中包括Kamf’。
对应于S220中情况三:
该第一服务操作响应中包括Kamf。
S214,对应于S220中的情况一:
初始AMF发起主认证流程。初始AMF和UE各自生成Kamf_new及其对应的ngKSI_new;
对应于上述S220中的情况二:
初始AMF确定使用Kamf’。
对应于上述S220中的情况三:
初始AMF确定使用Kamf。
在执行S214之后,初始AMF需要向用户设备发送NAS SMC消息,即执行上述的S210,初始AMF向用户设备发送NAS SMC消息。
S221,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。具体地,NAS安全模式命令完成消息中可能携带完整注册请求消息。具体地,本申请中所涉及的完整注册请求消息与上述S211中的注册请求消息的区别在于:完整注册请求消息中携带的信息为明文的,未经过加密、而S211中的注册请求消息中部分信息为明文的,部分信息为经过加密的信息。
对应于S220中的情况一:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,激活并开始使用Kamf_new和ngKSI_new;
对应于上述S220中的情况二:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,激活并开始使用Kamf’和ngKSI。
对应于上述S220中的情况三:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,并激活并开始使用Kamf和ngKSI。
S222,初始AMF根据UE发送的安全模式命令完成消息中的完整注册请求消息中携带的Requested NSSAIs或者初始AMF解密注册请求消息之后获取的Requested NSSAIs,判断并决定进行AMF重定向。称为初始AMF决定NAS reroute。
具体地,本申请实施例中,对于初始AMF决定进行AMF重定向的原因并不限制,可以是现有协议中规定的触发AMF重定向的任意一种原因。例如,当初始AMF发现自己不能为UE的网络切片提供服务时,则决定进行AMF重定向,选择能为UE服务的第二AMF。重定向的实现,现有协议中定义了以下两种方式,初始AMF可以选择其中一种:
方式一:如果初始AMF和第二AMF之间可以建立链接,则初始AMF调用第二AMF的Namf_Communication_N1 Message Notify服务操作。
方式二:如果初始AMF和第二AMF之间没有链接(可能的原因是初始AMF和第二AMF分属于不同的网络切片,二者之间不允许互通),初始AMF将接收到的UE的注册请求,通过(R)AN发送给第二AMF。
图6所示的注册流程中考虑的是上述的方式二。
S223,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
需要注意的是,与现有技术不同的是,图6所示的实施例中,在该第三服务操作中携带原因值(value),该原因值用于指示UE在初始AMF处注册失败的原因是发生了AMF重定向。也就是说图6所示的实施例中,第一AMF基于第三服务操作能够获知UE在初始AMF处注册失败,并且获知UE在初始AMF处注册失败的原因是发生了AMF重定向。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。原因值可以称为AMF_Reallocation_Ind,或者,第一指示。
应理解,上述初始AMF通过调用第一AMF的第三服务操作将第一指示发送给第一AMF只是一种举例,不对本申请构成任何限定,还可以通过其他方式将第一指示发送给第一AMF,例如,新增信令该信令中携带该第一指示,或者其他方式这里不再一一列举。
S224,第一AMF接收到的第三服务操作调用后,根据现有标准定义,第一AMF就当没有接收到之前S212中的第一服务操作的调用,恢复第一AMF上的UE的上下文。
作为一种可能的实现方式是,该第三服务操作调用中携带原因值,则第一AMF存储该原因值。第一AMF根据该原因值,恢复NAS安全上下文,即恢复到接收到S212之前的NAS安全上下文。
S225,初始AMF向(R)AN发送重定向消息。该消息称为NAS Reroute Message,并将从UE处接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S226,(R)AN向第二AMF(第二AMF)发送初始UE消息(initial UE message),该initial UE message中携带有上述的RR消息。
可选地,上述S225和S226还可以是:
S225,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message,或者非接入层重选消息。
与图2和图3中所示的NAS Reroute Message不同的是:NAS Reroute Message不是携带从UE处接收到的RR消息,而是携带上述的S221中所示的完整注册请求消息或者初始AMF解密注册请求消息之后的明文的完整的注册请求消息。
S226,(R)AN向第二AMF发送initial UE message,该initial UE message中携带有上述的完整注册请求消息。其中,该完整注册请求消息用于指示网络设备侧发生了AMF重定向。
具体地,如果在S226中(R)AN向第二AMF发送initial UE message中携带的是完整注册请求消息,则第二AMF无需再向UE请求完整注册请求消息,并且第二AMF能够根据完整注册请求消息判断网络设备侧发生了AMF重定向,自身能够为UE提供服务,第二AMF无需再次执行是否进行AMF重定向的步骤。
S227,第二AMF调用第一AMF的第二服务操作。该第二服务操作为Namf_Communication_UEContextTransfer请求消息。
S230,第一AMF判断网络侧是否发生AMF重定向。
具体地,第一AMF在接收到第一AMF发送的第二服务操作的调用之后,首先认证UE,认证成功之后,与现有技术不同的是,第一AMF进行判断网络侧是否发生AMF重定向。如果判断发生了AMF重定向,则第一AMF确定在向第二AMF发送的第二服务操作响应消息中携带第二指示,第二指示用于指示第二AMF向UE指示网络侧发生了AMF重定向。第二指示可以称为Ind_UE_OldCntx。
第一AMF判断是否发生AMF重定向的方式包括::
如果第一AMF之前接收到第一指示,则第一AMF可以判断网络侧发生了AMF重定向。
S240,第一AMF向第二AMF发送第二服务操作响应。具体地,第一AMF认证UE成功之后向初始AMF发送第二服务操作响应。第一AMF认证UE指的是通过验证注册请求消息的完整性保护。该第二服务操作响应为Namf_Communication_UEContextTransfer Response,该第二服务操作响应中包括Kamf或者Kamf’。与现有技术不同的是,如果第一AMF判断网络侧发生了AMF重定向,则在该第二服务操作响应中携带第二指示。
应理解,上述第一AMF通过向第二AMF发送第二服务操作响应将第二指示发送给第二AMF只是一种举例,不对本申请构成任何限定,还可以通过其他方式将第二指示发送给第二AMF,例如,新增信令该信令中携带该第二指示,或者其他方式这里不再一一列举。
S241,第二AMF确定使用的UE的密钥信息。
具体地,第二AMF决定使用第一AMF发送的Kamf或者Kamf’。如果第二AMF接收到第二指示,则第二AMF发送NAS SMC消息。其他要发送NAS SMC消息的情况见现有标准定义。
S242,第二AMF向UE发送NAS SMC消息。
如果第二AMF决定使用第一AMF发送的密钥,并且第二AMF从第一AMF中接收到了第二指示,则第二AMF在NAS SMC消息中增加一个指示信息,指示信息用于指示UE使用第一NAS安全上下文。该指示信息可以称为Ind_Oamf_OldCntx。
一种可能的实现方式,第二AMF向UE发送的NAS SMC消息中携带请求完整初始NAS消息的指示。
另一种可能的实现方式,在上述的S226中,(R)AN向第二AMF发送initial UEmessage中携带有完整注册请求消息的情况下,第二AMF向UE发送的NAS SMC消息中无需携带请求完整初始NAS消息的指示。
S250,UE确定使用的密钥。
UE在接收到NAS SMC消息之后,如果该消息中携带指示信息,则UE使用UE第一NAS安全上下文或者将第一NAS安全上下文作为当前的NAS安全上下文。然后UE按照现有标准的定义,处理NAS SMC消息,处理成功之后,发送NAS安全模式命令完成消息给第二AMF。册。即图6所示的方法流程中还包括S251。
S252,第二AMF进行注册流程。
具体地,第二AMF继续进行下一步流程。当第二AMF接收UE注册之后,执行S253,第二AMF发送注册接收(registration accept)消息给UE。
S254,可选地,UE删除第一NAS安全上下文。
具体地,在UE接收到第二AMF发送的注册接收消息之后,可选地,UE删除在上述AMF重定向注册流程中存储的第一NAS安全上下文,如果在上述AMF重定向注册流程中,UE存储了第一NAS安全上下文。
在图6的S241中,第二AMF也可决定发起主认证,则第二AMF向UE发送跟主认证相关的NAS消息。或者在图6的S241中,第二AMF决定使用第一AMF发送的Kamf和安全算法,则第二AMF向UE发起注册流程中的其他NAS消息。第二AMF在向UE发送的NAS消息中,携带一个指示信息,该指示信息用于指示UE使用第一NAS安全上下文,和/或,用于指示UE删除新的NAS安全上下文,和/或,用于指示UE删除当前的NAS安全上下文和/或,用于指示UE发生AMF。该指示信息可以称为Ind_Oamf_OldCntx。如果第二AMF对该NAS消息进行安全保护,则该指示信息应该作为该NAS消息的明文信息元(cleartext IE)。UE在接收到该NAS消息时,先根据该指示信息,将第一NAS安全上下文作文当前的安全上文,然后根据现有标准定义,处理该NAS消息。
图6所示的方法流程中第二AMF从第一AMF处获取的密钥为Kamf或者根据Kamf进行密钥推演后得到了Kamf’。UE在接收到第二AMF发送的NAS SMC消息中的指示信息之后,恢复使用保存的第一NAS安全上下文或者将第一NAS安全上下文作为当前的安全上下文。
图6中,UE根据初始AMF发送的NAS SMC消息或者该NAS SMC消息中携带的第四指示保存第一NAS安全上下文。UE保存第一NAS安全上下另外一种可能的实现方式为:
UE在发送了注册请求(RR)消息之后,就立刻保存当前的安全上下文,即第一NAS安全上下文。
图6所示的方法流程中主要是通过UE保存与第一AMF之间的第一NAS安全上下文(至少包括密钥Kamf和相应的密钥标识符ngKSI),并通过在第二AMF发送的NAS SMC消息中携带指示信息,指示UE是否恢复使用第一NAS安全上下文,从而达到UE和第二AMF上的密钥一致的目的。
本申请还提供另一种用于重定向的方法,下面结合图7详细介绍本申请实施例中提供的另一种用于重定向的方法。图7是本申请实施例中提供的另一种用于重定向的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF、AUSF以及S310-S360。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。下面从信令交互的角度详细介绍S310-S360。
S310,初始AMF判断是否发起非接入层安全模式控制(NAS security modecontrol,NAS SMC)流程。
图7所示的实施例中初始AMF判断自身能为UE提供服务之后,才向UE发送NAS SMC消息,否则初始AMF不向UE发送NAS SMC消息,而是先进行NAS reroute。
具体地,图7所示的实施例中包括以下两种情况:
情况一:
初始AMF发起了主认证流程,UE和初始AMF各自生成了新的密钥Kamf_new以及ngKSI_new,初始AMF判断是否发起非接入层安全模式控制流程。判断的方式为:初始AMF判断自己是否可以服务UE,如果能服务UE,才能发送NAS SMC消息给UE;否则如果初始AMF不能服务UE,则初始AMF不会发送NAS SMC消息,而是先通知第一个AMF,UE在初始AMF处的注册失败,并进行NAS reroute。
情况二:
初始AMF成功从第一AMF处获取了UE的context,第一AMF返回Kamf’。初始AMF决定使用Kamf’之后,初始AMF判断是否发起非接入层安全模式控制流程。判断的方式为:初始AMF判断自己是否可以服务UE,如果能服务UE,才能发送NAS SMC消息给UE;否则如果初始AMF不能服务UE,则初始AMF不会发送NAS SMC消息,而是通知第一个AMF,UE在初始AMF处的注册失败,并先进行NAS reroute。
具体地,图7所示的实施例还包括一下一种情况:
情况三:初始AMF成功地从第一AMF处获取了UE的context,第一AMF返回Kamf。初始AMF基于Kamf,解密注册请求消息,然后判断初始AMF是否可以服务UE,如果能服务UE,才能发送NAS SMC消息或者其他NAS消息给UE;否则如果初始AMF不能服务UE,则初始AMF不发送NAS SMC消息或其他NAS消息给UE,初始AMF通知第一个AMF,UE在初始AMF处的注册失败,并进行NAS reroute。
应理解,图7所示的实施例中主要涉及介绍与图2和图3中所示的流程不同的信令,对于与图2和图3中所示的流程类似的信令简单进行说明即可。例如,图7所示的方法还应该包括以下步骤:
S311,UE向初始AMF发送RR消息,该RR消息中携带该UE的5G-GUTI;
S312,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;
S313,第一AMF向初始AMF发送第一服务操作响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransferResponse。
对应于上述的情况一:
该第一服务操作响应中包括Kamf或者Kamf’;
对应于上述的情况二:
该第一服务操作响应中包括Kamf’。
对应于上述的情况三:
该第一服务操作响应中包括Kamf。
S314,对应于上述的情况一:
初始AMF发起主认证流程。初始AMF和UE各自生成Kamf_new及其对应的ngKSI_new;或者
对应于上述的情况二:
初始AMF确定使用Kamf’。
对应于上述的情况三:
初始AMF确定使用Kamf’。
S315,初始AMF决定进行AMF重定向。称为初始AMF决定NAS reroute。
S316,初始AMF调用第一AMF的第三服务操作。该的第三服务操作指示UE在初始AMF处的注册失败。
需要注意的是,与现有技术不同的是,图7所示的实施例中,在该第三服务操作中可能携带原因值(value),该原因值用于指示UE在初始AMF处注册失败的原因是发生了AMF重定向。也就是说图7所示的实施例中,第一AMF基于第三服务操作能够获知UE在初始AMF处注册失败,并且获知UE在初始AMF处注册失败的原因是发生了AMF重定向。原因值可以称为AMF_Reallocation_Ind。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate请求消息,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
S317,第一AMF接收到的第三服务操作调用后,根据现有标准定义,第一AMF就当没有接收到之前S212中的第一服务操作的调用,恢复第一AMF上的UE的上下文。
作为一种可能的实现方式是,如果该第三服务操作调用中携带原因值,则第一AMF存储该原因值。
S318,初始AMF向(R)AN发送重定向消息。该消息称为NAS Reroute Message,并将从UE处接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S319,(R)AN向第二AMF发送初始UE消息(initial UE message),该initial UEmessage中携带有上述的RR消息。
S320,第二AMF调用第一AMF的第二服务操作。该第二服务操作为Namf_Communication_UE Context Transfer请求消息。
S321,第一AMF向第二AMF发送第二服务操作响应。具体地,第一AMF认证UE成功之后向初始AMF发送第二服务操作响应。第一AMF认证UE指的是通过验证注册请求消息的完整性保护。该第二服务操作响应为Namf_Communication_UEContextTransfer Response,该第二服务操作响应中包括Kamf或者Kamf’。
S322,第二AMF确定使用的UE的密钥信息。
具体地,第二AMF决定使用第一AMF发送的Kamf或者Kamf’。
S323,第二AMF向UE发送NAS SMC消息。
S324,UE验证NAS SMC消息的完整性保护。
UE在接收到NAS SMC消息之后,UE按照现有标准的定义,处理NAS SMC消息,处理成功之后,发送NAS SMC完成消息给目标AMF,第二AMF继续注册流程。即图7所示的方法流程中还包括S325和S326。
图7中,S322中,第二AMF还可以决定进行主任证。第二AMF向UE发送主任证相关的NAS消息,比如认证请求消息。S322中,第二AMF还可发送注册流程中的其他NAS消息。UE根据现有标准定义,对接收到的NAS消息进行处理。
图7所示的实施例中,初始AMF在确定自己不能为UE提供服务之后与前述的实施例不同的是,初始AMF不进行非接入层安全模式控制流程,即UE保存的安全上下文,跟重定向之后,第二AMF从第一AMF中获取的是一致的,因此避免了UE和第二AMF上的密钥不一致。
具体地,若第二AMF决定使用第一AMF发送的Kamf,由于UE上保存的安全上下文中的密钥为Kamf,则UE和第二AMF上的密钥一致;或者,第二AMF决定使用第一AMF发送的Kamf’,则第二AMF向UE发送NAS SMC消息中携带密钥推演指示称为K_AMF_change_flag,其中,NAS SMC消息中携带K_AMF_change_flag的值为1,用于指示UE进行密钥推演。此情况下UE对Kamf进行密钥推演,得到Kamf’,则UE和第二AMF上的密钥一致。
本申请还提供另一种用于注册的方法,下面结合图8详细介绍本申请实施例中提供的另一种用于注册的方法。图8是本申请实施例中提供的另一种用于发生重定向的注册流程的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF、AUSF以及S410-S460。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上使用的AMF密钥,记为Kamf,其对应密钥标识符为ngKSI。下面从信令交互的角度详细介绍S410-S460。
S410,UE接收初始AMF发送的NAS SMC消息。具体地,该NAS SMC消息中携带请求完整初始NAS消息的指示,可以将初始AMF向UE发送的NAS SMC消息称为第一NAS SMC消息。该NAS SMC消息中也可能不携带请求完整初始NAS消息的指示。
需要注意的是,与图2和图3中所示的初始AMF向UE发送的NAS SMC消息不同的是,图8所示的实施例中,该NAS SMC消息中可能携带有第四指示,该第四指示用于指示UE保存为UE和第一AMF之间建立的NAS安全上下文,具体地,用于指示UE保存UE在发送了注册请求消息之后的NAS安全上下文,或者用于指示UE保存UE在发送注册请求消息前的NAS安全上下文。该第一NAS安全上下文至少包括UE跟第一AMF之间建立的AMF密钥Kamf,还可以包括密钥标识符ngKSI,以及NAS Counts。为了便于描述,下文中将UE跟第一AMF之间建立的NAS安全上下文简称为第一NAS安全上下文。
进一步地,图8所示的实施例中UE在接收到初始AMF发送的NAS SMC消息之后,会执行保存动作,保存第一NAS安全上下文,而不是直接更新本地的AMF密钥的信息。也就是说与前述方法不同的是,图8所示的方法实施例中,UE会执行S420,保存第一NAS安全上下文。
具体地,UE执行保存第一NAS安全上下文可以基于以下两种可能的方式:
方式一:
UE接收初始AMF发送的NAS SMC消息,根据NAS SMC消息,UE执行S420,保存上述第一NAS安全上下文。然后UE根据现有标准定义,处理NAS SMC消息更新密钥。
应理解,UE在接收到初始AMF发送的NAS SMC消息之后,UE应保存UE跟第一AMF之间建立的老的NAS安全上下文,即第一NAS安全上下文,如果有的话。
方式二:
UE接收初始AMF发送的NAS SMC消息,所述NAS SMC消息中携带第四指示,所述第四指示,该第四指示用于指示UE保存第一NAS安全上文信息。UE根据所述第四指示,首先保存第一NAS安全上下文,然后UE按照现有标准定义,处理NAS SMC消息更新密钥。
应理解,UE在接收到初始AMF发送的携带第四指示的NAS SMC消息之后,UE,根据第四指示,应保存UE跟第一AMF之间建立的老的NAS安全上下文,即第一NAS安全上下文。
也就是说图8所示的实施例中,一种可能的实现方式是:UE基于从初始AMF处接收到的NAS SMC消息保存第一NAS安全上下文;另一种可能的实现方式是:该NAS SMC消息中包括第四指示,UE基于该第四指示保存第一NAS安全上下文。即第一种可能的实现方式中,NASSMC消息本身具有指示UE保存第一NAS安全上文信息的作用,在第二种可能的实现方式中,NAS SMC消息的作用于现有协议中规定的一样,只是该NAS SMC消息中新增的第四指示具有指示UE保存第一NAS安全上文的作用。本申请中对与UE基于上述哪种可能的实现方式实现保存第一NAS安全上下文并不限制。
应理解,与上述图2和图3所示的方法流程类似,图8所示的实施例中UE从初始AMF处接收到的NAS SMC消息同样可以用于初始AMF和UE之间协商使用AMF密钥,具体地图8所示的实施例中UE根据NAS SMC消息更新密钥Kamf包括以下三种情况:
情况一:
UE基于NAS SMC消息将Kamf更新为初始AMF进行主认证之后激活并使用的Kamf_new。
具体地,UE接收并处理NAS SMC消息时。在完整性保护验证成功之后,确定更新UE的密钥和对应的标识符为Kamf_new和ngKSI_new,可以称Kamf_new和ngKSI_new为第一新的密钥信息。则UE在更新之前,保存第一AMF密钥和对应的标识符,即UE和第一AMF之间建立的Kamf和ngKSI。
情况二:
UE基于NAS SMC消息将Kamf更新为初始AMF从第一AMF处接收到的密钥Kamf’。
具体地,UE接收并处理NAS SMC消息时。在完整性保护验证成功之后,确定更新UE的密钥为Kamf’,可以称Kamf’和Kamf’对应的密钥标识符ngKSI为第二新的密钥信息。则UE在更新之前,保存第一AMF密钥和对应的标识符,即UE和第一AMF之间建立的Kamf和ngKSI。
情况三:
初始AMF从第一AMF处接收到的密钥为Kamf。当初始AMF决定使用Kamf,并且初始AMF选择的安全算法跟第一AMF选择的安全算法不同时,初始AMF发送NAS SMC给UE,更新安全算法,并激活和使用Kamf。UE在接收到该NAS SMC消息时,保存第一AMF密钥和对应的标识符ngKSI。
应理解,图8所示的实施例中主要详细介绍与图2和图3中所示的流程不同的信令,对于与图2和图3中所示的流程类似的信令简单进行说明即可。例如,图8所示的方法还应该包括以下步骤:
S411,UE向初始AMF发送RR消息,该RR消息中携带该UE的5G-GUTI;
S412,初始AMF调用第一AMF的第一服务操作。具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;
S413,第一AMF向初始AMF发送第一服务操作响应。具体地,第一AMF在认证UE成功之后向初始AMF发送第第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransferResponse。
对应于S420中的情况一:
该第一服务操作响应中包括Kamf或者Kamf’;
对应于S420中的情况二:
该第一服务操作响应中包括Kamf’。
对应于S420中的情况三:
该第一服务操作响应中包括Kamf
S414,对应于S420中的情况一:
初始AMF发起主认证流程。初始AMF和UE各自生成Kamf_new及其对应的ngKSI_new;
对应于上述S320中的情况二:
初始AMF确定使用Kamf’。
对应于上述S320中的情况三:
初始AMF确定使用Kamf。
在执行S414之后,初始AMF需要向用户设备发送NAS SMC消息,即执行上述的S410,初始AMF向用户设备发送NAS SMC消息。
S421,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。具体地,NAS安全模式命令完成消息中可能携带完整注册请求消息。具体地,本申请中所涉及的完整注册请求消息与上述S411中的注册请求消息的区别在于:完整注册请求消息中携带的信息为明文的,未经过加密、而S411中的注册请求消息中部分信息为明文的,部分信息为经过加密的信息。
对应于S420中的情况一:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,激活并开始使用Kamf_new和ngKSI_new;
对应于上述S420中的情况二:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,激活并开始使用Kamf’和ngKSI。
对应于上述S420中的情况三:
UE保存第一NAS安全上下文,包括Kamf、ngKSI和NAS Counts等,激活并开始使用Kamf和ngKSI。
S422,初始AMF根据UE发送的安全模式命令完成消息中的完整注册请求消息中携带的Requested NSSAIs或者初始AMF通过结果解密注册请求消息获取的RequestedNSSAIs,判断并决定进行AMF重定向。称为初始AMF决定NAS reroute。
具体地,本申请实施例中,对于初始AMF决定进行AMF重定向的原因并不限制,可以是现有协议中规定的触发AMF重定向的任意一种原因。例如,当初始AMF发现自己不能为UE的网络切片提供服务时,则决定进行AMF重定向,选择能为UE服务的第二AMF。重定向的实现,现有协议中定义了以下两种方式,初始AMF可以选择其中一种:
方式一:如果初始AMF和第二AMF之间可以建立链接,则初始AMF调用第二AMF的Namf_Communication_N1 Message Notify服务操作。
方式二:如果初始AMF和第二AMF之间没有链接(可能的原因是初始AMF和第二AMF分属于不同的网络切片,二者之间不允许互通),初始AMF将接收到的UE的注册请求,通过(R)AN发送给第二AMF。
图8所示的注册流程中考虑的是上述的方式二。
需要注意的是,与上述的图2和图3中所示的流程不同的是,图8所示的方法流程中,初始AMF决定进行AMF重定向之后,通知UE网络侧进行AMF重定向,即执行S430,初始AMF通知UE发生重定向。在S430中,初始AMF向UE发送第三指示,用于通知UE发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,用于指示UE使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。
图8所示的实施例中,初始AMF通知UE发生重定向,即S430,包括以下两种可能的方式:
方式一:初始AMF在决定进行通过(R)AN(R)AN的AMF重定向后,初始AMF向UE发送第八NAS消息,或称为重定向通知消息,该第八NAS消息,或称为重定向通知消息,用于通知UE发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,用于指示UE使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。该重定向通知消息可以称为NAS Reallocation Notification。
方式二:初始AMF在决定进行通过(R)AN(R)AN的AMF重定向后,初始AMF向UE发送一个NAS消息,该NAS消息中携带第八指示,或称为重定向指示信息,该第八指示,或称为重定向指示信息,用于通知UE发生AMF重定向,和/或,用于指示UE使用第一NAS安全上下文,和/或,用于指示UE恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,用于指示UE使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,用于指示UE将第一NAS安全上下文作为当前NAS安全上下文,和/或,用于指示UE将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。例如,本申请实施例中不对携带第八指示(或称为重定向指示信息)的现有NAS消息做限制,可能的选项有配置更新命令(configuration update command)消息、下行NAS传输(downlink NAS Transport)消息、5G系统移动管理状态(5G system mobilitymanagement status,5GMM Status)和注册拒绝(registration reject)消息等,或者,其他NAS消息,这里不再一一举例说明。
应理解,当初始AMF复用现有的NAS消息,在现有的NAS消息新增IE的方式通知UE网络侧发生AMF重定向时,需要赋予UE侧处理该新增了IE的现有的NAS消息的功能,使得UE能够正确获知NAS消息中携带第八指示,或称为重定向指示信息,确定网络侧发生AMF重定向。
S440,UE恢复第一NAS安全上下文。
具体地,UE接收到S430中所示的第八NAS消息,或称为重定向通知消息,或者,携带第八指示的NAS消息,之后,使用上述S410中所示保存的第一NAS安全上下文。
应理解,UE,基于第八NAS消息,或称为重定向通知消息,或者基于携带第八指示的NAS消息,使用第一NAS安全上下文,和/或,恢复使用所述UE和所述第一AMF建立的第一NAS安全上下文,和/或,使用所述UE和所述第一AMF建立的老的NAS安全上下文,和/或,将第一NAS安全上下文作为当前NAS安全上下文,和/或,将所述UE和所述第一AMF建立的老的安全上下文作为当前NAS安全上下文,和/或,丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,丢弃所述UE和所述初始AMF建立的当前的NAS安全上下文。
应理解,如果UE在接收到初始AMF发送的安全模式命令消息时没有NAS安全上下文,则UE在接收到第八NAS消息,或者携带第八指示的NAS消息之后,UE应丢弃新的NAS安全上下文,并恢复无NAS安全上下文。所述新的NAS安全上下文为UE和初始AMF通过安全模式控制流程建立的NAS安全上下文。
在初始AMF通知UE网络侧发生AMF重定向之后,初始AMF继续执行AMF重定向的流程。例如,执行S423,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
需要注意的是,与现有技术不同的是,图8所示的实施例中,在该第三服务操作中可能携带原因值(value),该原因值用于指示UE在初始AMF处注册失败的原因是发生了AMF重定向。也就是说图8所示的实施例中,第一AMF基于第三服务操作能够获知UE在初始AMF处注册失败,并且获知UE在初始AMF处注册失败的原因是发生了AMF重定向。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。原因值可以称为AMF_Reallocation_Ind。
S424,第一AMF接收到的第三服务操作调用后,根据现有标准定义,第一AMF就当没有接收到之前S412中的第一服务操作的调用,恢复第一AMF上的UE的上下文。
作为一种可能的实现方式是,如果该第三服务操作调用中携带原因值,则第一AMF存储该原因值。
S425,初始AMF向(R)AN发送重定向消息。该消息称为NAS Reroute Message,并将从UE处接收到的RR消息携带在NAS Reroute Message中发送给(R)AN。
S426,(R)AN向第二AMF(第二AMF)发送初始UE消息(initial UE message),该initial UE message中携带有上述的RR消息。
可选地,上述S425和S426还可以是:
S425,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS Reroute Message。
与图2和图3中所示的NAS Reroute Message不同的是:NAS Reroute Message不是携带从UE处接收到的RR消息,而是携带上述的S421中所示的完整注册请求消息。
S426,(R)AN向第二AMF发送initial UE message,该initial UE message中携带有上述的完整注册请求消息。其中,该完整注册请求消息用于指示网络设备侧发生了AMF重定向,选择第二AMF为UE提供服务。
具体地,如果在S426中(R)AN向第二AMF发送initial UE message中携带的是完整注册请求消息,则第二AMF无需再向UE请求完整注册请求消息,并且第二AMF能够根据完整注册请求消息判断网络设备侧发生了AMF重定向,自身能够为UE提供服务,第二AMF无需再次执行是否进行AMF重定向的步骤。
S427,第二AMF调用第一AMF的第二服务操作。该第二服务操作为Namf_Communication_UEContextTransfer请求消息。
S428,第一AMF向第二AMF发送第二服务操作响应。具体地,第一AMF认证UE成功之后向初始AMF发送第二服务操作响应。第一AMF认证UE指的是通过验证注册请求消息的完整性保护。该第二服务操作响应为Namf_Communication_UEContextTransfer Response,该第二服务操作响应中包括Kamf或者Kamf’。
S429,第二AMF确定使用的UE的密钥信息。
具体地,第二AMF决定使用第一AMF发送的Kamf或者Kamf’。
S431,第二AMF向UE发送NAS SMC消息。
可以将第二AMF向UE发送的NAS SMC消息称为第二NAS SMC消息。
S432,UE确定使用的密钥。
UE按照现有标准的定义,处理NAS SMC消息。
例如,第二AMF决定使用第一AMF发送的Kamf,第二AMF向UE发送NAS SMC消息中不携带值为1的K_AMF_change_flag,则UE按照现有标准的定义,处理NAS SMC消息确定使用的密钥为Kamf;第二AMF决定使用第一AMF发送的Kamf’,第二AMF向UE发送NAS SMC消息中携带值为1的K_AMF_change_flag,则UE按照现有标准的定义,处理NAS SMC消息对Kamf进行密钥推演,确定使用的密钥为Kamf’。
UE按照现有标准的定义,处理NAS SMC消息成功之后,发送NAS安全模式命令完成消息给第二AMF。即图8所示的方法流程中还包括S433。
S434,第二AMF进行注册流程。
具体地,第二AMF继续进行下一步流程。当第二AMF接收UE注册之后,执行S435,第二AMF发送注册接收(registration accept)消息给UE。
S436,UE删除第一NAS安全上下文。
具体地,在UE接收到第二AMF发送的注册接收消息之后,UE删除在上述AMF重定向注册流程中存储的第一NAS安全上下文,如果在上述AMF重定向注册流程中,UE存储了第一NAS安全上下文。
图8所示的方法流程中第二AMF从第一AMF处获取的密钥为Kamf或者根据Kamf进行密钥推演后得到了Kamf’。UE在接收到初始AMF发送的第八NAS消息,比如重定向通知消息,或,携带第八指示(或称为重定向指示信息)的NAS消息之后,恢复保存的第一NAS安全上下文。
图8所示的方法流程中主要是通过UE保存与第一AMF之间的第一NAS安全上下文(至少包括密钥Kamf和相应的密钥标识符ngKSI),并通过初始AMF发送的一个NAS消息,比如重定向通知消息,或,重定向指示信息,指示UE是否恢复使用第一NAS安全上下文,从而达到UE和第二AMF上的密钥一致的目的。
应理解,上述各个方法实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
图8所示的方法流程中,初始AMF可以在初始AMF决定进行通过(无线)接入网络((R)AN)进行AMF重定向之后、在初始AMF向(R)AN发送NAS Reroute Message之前的任何时候发送S430。
图8中,UE根据初始AMF发送的NAS SMC消息或者该NAS SMC消息中携带的第四指示保存第一NAS安全上下文。UE保存第一安全上下另外一种可能的实现方式为:
S411,UE在发送了注册请求(RR)消息之后,保存当前的安全上下文,即第一安全安全上下文。
图9是本申请实施例中提供的又一种用于发生AMF重定向的注册流程的方法示意性流程图。执行主体包括UE、(R)AN、初始AMF、第一AMF、第二AMF。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
该用于发生AMF重定向的注册流程的方法包括以下步骤。
S910,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
可选地,该RR消息中应携带第六指示信息,所述第六指示信息用于指示UE为Release16或者Release 16之后版本的UE、第六指示信息用于指示UE为非Release 15的UE、第六指示信息指示UE具备Release 16或者Release 16之后版本的UE的功能、第六指示信息指示UE具备通过(R)AN进行NAS重定向的能力、第六指示信息指示UE具备通过(R)AN进行AMF重定向的能力、第六指示信息指示UE具备NAS安全上下文回退的能力、第六指示信息指示UE具备使用第一NAS安全上下文的能力、第六指示信息指示UE具备恢复到无NAS安全上下文的能力、或第六指示信息指示UE具备NAS安全上下文处理的能力中的至少一种。
在本申请中,第六指示信息还可用于指示UE能处理或接受没有安全保护的认证请求消息;和/或UE在NAS安全激活之后能处理或接受没有安全保护的认证请求消息;和/或UE与AMF进行安全地NAS消息交换之后可处理或接受没有安全保护的认证请求消息;和/或UE能返回使用保存的NAS安全上下文的能力;
应理解,本申请实施例中对于上述第六指示信息的具体形式并不限制。
还应理解,图4-图8所示的实施例中,UE向初始AMF发送的RR消息中,应可选地携带第六指示信息。
S920,初始AMF调用第一AMF的第一服务操作。
具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文。其中,UE的上下文中包括UE的安全上下文,UE的安全上下文包括UE和第一AMF之间建立的第一密钥和第一密钥对应的第一密钥标识符。
一种可能的实现方式,如果初始AMF没有接收到第六指示信息,则初始AMF应在第一服务操作中携带第七指示信息;或者,初始AMF基于上述RR消息判断UE为Release15版本的UE、判断UE为非Release 16或者Release 16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则初始AMF应在第一服务操作中携带上述的第七指示信息;或者,初始AMF应在第一服务操作中携带所述的第七指示信息(例如,初始AMF无需经过上述的判断UE是否为Release 15版本的UE,也无需确定是否接收到第六指示信息,直接决定应该在第一服务操作中携带所述的第七指示信息)。
第七指示信息用于指示第一AMF向初始AMF发送第一密钥和第一密钥标识符、第七指示信息用于指示第一AMF无需对第一密钥进行密钥推演、第七指示信息用于指示第一AMF返回第一密钥、第七指示信息用于指示第一AMF返回未经过密钥推演的密钥、第七指示信息用于指示第一AMF返回旧的密钥、或第七指示信息用于指示第一AMF不进行密钥推演中的至少一种。
应理解,本申请实施例中对于上述第七指示信息的具体形式并不限制。
还应理解,本申请实施例中所涉及的密钥推演可以替换为“水平Kamf推演”。
另一种可能的实现方式,如果初始AMF接收到第六指示信息,则初始AMF确认该UE为Release 16或者Release 16之后版本的UE、确认UE具备Release 16或者Release 16之后版本的UE的功能、确认UE具备通过(R)AN进行NAS重定向的能力、确认UE具备通过(R)AN进行AMF重定向的能力、确认UE具备NAS安全上下文回退的能力、确认UE具备使用第一NAS安全上下文的能力、确认UE具备恢复到无NAS安全上下文的能力、或确认UE具备NAS安全上下文处理的能力;或者,初始AMF基于上述RR消息判断UE为非Release 15版本的UE、判断UE为非Release 16或者Release 16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种。在该可能的实现方式下,初始AMF应执行图4、图6、图7、或图8所示的实施例中初始AMF的步骤,这里不再赘述。
S930,初始AMF决定是否进行密钥推演。
一种可能的实现方式,如果第一AMF接收到上述第七指示信息,则第一AMF执行以下可能的步骤中的至少一种:
第一AMF应返回第一密钥和第一密钥标识符、第一AMF确定不对第一密钥进行密钥推演、第一AMF确定返回第一密钥、第一AMF确定返回未经过密钥推演的密钥、第一AMF确定返回旧的密钥、或第一AMF确定不进行密钥推演。其中,第一密钥和第一密钥标识符简称为第一密钥相关信息。
另一种可能的实现方式,如果第一AMF未接收到上述第七指示信息,则第一AMF应根据第一AMF本地策略决定是否进行密钥推演。
S940,第一AMF向初始AMF发送第一服务操作响应。
具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,如果第一AMF接收到上述第七指示,则该第一服务操作响应中应包括第一密钥和第一密钥标识符、未经密钥推演的密钥、老的密钥、或第一密钥中的至少一种。
S950,初始AMF判断是否进行AMF重定向。
初始AMF判断是否需要进行通过(R)AN的NAS Reroute,或初始AMF判断是否需要进行通过(R)AN的AMF重定向。
一种可能的实现方式,如果初始AMF判断需要进行通过(R)AN的NAS Reroute或通过(R)AN的AMF重定向。若初始AMF未接收到第六指示信息,或者,初始AMF基于上述RR消息判断UE为Release 15版本的UE、判断UE为非Release 16或者Release 16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则
初始AMF应跳过主认证流程、初始AMF应跳过跟UE建立新的NAS安全上下文的流程、初始AMF应跳过更新UE NAS安全上下文的流程、初始AMF跳过与UE之间的信令交互流程、初始AMF应跳过NAS安全模式命令流程、或初始AMF应跳过安全算法选择中的至少一种。
具体地,初始AMF应调用第一AMF提供的第三服务操作,通知第一AMF:UE在初始AMF处注册失败、或初始AMF进行通过(R)AN的NAS reroute或初始AMF进行通过(R)AN的AMF重定向。
S960,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
S970,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS reroute Message,并将从UE处在S910中接收到的RR消息携带在NAS reroute Message中发送给(R)AN。或者,当初始AMF在S950中获得完整的注册请求消息的情况下,初始AMF应将该完整的注册请求消息携带在NAS reroute Message中发送给(R)AN。
S980,(R)AN向第二AMF发送初始UE消息(initial UE message),该initial UEmessage中携带有S970中获得的RR消息,或者完整的注册请求消息。
具体地,第二AMF获得了RR消息,或者完整的注册请求消息之后,可以按照目前协议中的规定执行UE注册流程。
图9所示的方法流程中,当初始AMF决定要进行通过(R)AN的NAS reroute之后,没有更新UE的NAS安全上下文。UE上的NAS安全上下文为第一NAS安全上下文。并且第二AMF在接收到通过(R)AN转发的注册请求消息之后,从第一AMF处获取的NAS安全上下文也是第一NAS安全上下文。UE和第二AMF上的NAS安全上下文一致,避免了由于NAS安全上下文不一致导致的注册失败。
图10是本申请实施例中提供的又一种用于发生AMF重定向的注册流程的方法示意性流程图。执行主体包括UE、(R)AN、初始AMF、第一AMF、第二AMF。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
该用于发生AMF重定向的注册流程的方法包括以下步骤。
S1010,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
S1020,初始AMF调用第一AMF的第一服务操作。
具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文。其中,UE的上下文中包括UE的安全上下文。
可选地,初始AMF执行S1020之前,判断RR消息中未携带图9中所示的第六指示信息。
S1030,第一AMF向初始AMF发送第一服务操作响应。
具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response。
S1040,初始AMF可能发起主认证流程。
根据本地策略,初始AMF不使用从第一AMF处获得的密钥,而是发起主认证流程,生成新的AMF密钥Kamf_new和新的密钥标识符ngKSI_new。
S1050,初始AMF向UE用户设备发送非接入层安全模式命令(non-access stratumsecurity mode command,NAS SMC)消息。具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。初始AMF激活并开始使用新的NAS安全上下文。
S1060,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。UE激活并开始使用新的NAS安全上下文。
S1070,初始AMF判断是否进行AMF重定向。
初始AMF判断是否需要进行通过(R)AN的NAS Reroute,或初始AMF判断是否需要进行通过(R)AN的AMF重定向。如果初始AMF判断需要进行通过(R)AN的NAS Reroute或通过(R)AN的AMF重定向:
一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则初始AMF在判断需要进行通过(R)AN的NAS Reroute之后、在进行通过(R)AN的NASreoute之前,将UE的当前的NAS安全上下文发给第一AMF;
另一种可能的实现方式,如果初始AMF接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为非Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则初始AMF应执行图4、图6、图7、或图8所示的实施例中初始AMF的步骤,这里不再赘述。
又一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,并且如果初始AMF和UE之间建立了新的NAS安全上下文,则初始AMF在判断需要进行通过(R)AN的NAS Reroute之后、在进行通过(R)AN的NAS reoute之前,将UE的当前的NAS安全上下文发给第一AMF;否则,则初始AMF应执行图4、图6、图7、或图8所示的实施例中初始AMF的步骤,这里不再赘述。
又一种可能的实现方式,初始AMF在判断需要进行通过(R)AN的NAS Reroute之后、在进行通过(R)AN的NAS reoute之前,将UE的当前的NAS安全上下文发给第一AMF。
S1080,初始AMF将UE的当前的或新的NAS安全上下文发给第一AMF。
可选地,初始AMF将UE的当前的或新的NAS安全上下文发给第一AMF,可以调用现有的Namf_Communication_RegistrationStatusUpdate服务,在该服务调用中,携带UE的当前的或新的NAS安全上下文。其中,UE的当前的NAS安全上下文可以理解为UE当前使用的NAS安全上下文;UE新的NAS安全上下文可以理解为UE和初始AMF之间生成的新的NAS安全上下文。
可选地,初始AMF将UE的新的或当前的NAS安全上下文发给第一AMF,也可以调用一个新的服务,在新的服务中将UE的新的或当前的NAS安全上下文发送给第一AMF。
可选地,初始AMF应通知第一AMF发生AMF重定向(或者通知第一AMF发生通过(R)AN的NAS reroute),可以调用Namf_Communication_RegistrationStatusUpdate服务,应在该服务中携带一个第八指示信息,该第八指示信息用于通知第一AMF发生AMF重定向,或者通知第一AMF发生通过(R)AN的NAS reroute;
可选地,初始AMF通知第一AMF发生AMF重定向(或者通知第一AMF发生通过(R)AN的NAS reroute),也可调用一个新的服务,该服务用于通知第一AMF发生AMF重定向,或者通知第一AMF发生通过(R)AN的NAS reroute。
第一AMF在接收到初始AMF发送的UE的新的或当前的NAS安全上下文之后,第一AMF使用接收到的新的UE NAS安全上下文取代第一AMF本地存储的UE NAS安全上下文,或者,第一AMF使用接收到的新的UE NAS安全上下文更新第一AMF本地存储的UE NAS安全上下文,或者,第一AMF删除第一AMF本地存储的UE NAS安全上下文、存储接收到的新的UE NAS安全上下文。
图10所示的方法流程还包括S1090,第一AMF在接收到初始AMF发送的UE的NAS安全上下文后,应更新本地存储的UE NAS安全上下文。
S1011,初始AMF向(R)AN发送重定向消息。该消息可以称为NAS reroute Message,并将从UE处在S1010中接收到的RR消息携带在NAS reroute Message中发送给(R)AN。或者,当初始AMF在S950中获得完整的注册请求消息的情况下,初始AMF将该完整的注册请求消息携带在NAS reroute Message中发送给(R)AN。
S1012,(R)AN向第二AMF发送初始UE消息(initial UE message),该initial UEmessage中携带有S1090中获得的RR消息,或者完整的注册请求消息。
具体地,第二AMF获得了RR消息,或者完整的注册请求消息之后,可以按照目前协议中的规定执行UE注册流程。
图10所示的方法流程中,当如果初始AMF在进行通过(R)AN的NAS reroute之前,初始AMF和UE之间建立了新的NAS安全上下文,则初始AMF更新了第一AMF处的UE NAS安全上下文。
在发生通过(R)AN的NAS reroute之后,第二AMF从第一AMF处获取到的UE NAS安全上下文是新的UE NAS安全上下文,则避免了UE和第二AMF上NAS安全上下文不一致的情况,从而避免了由此带来的注册失败。
图11是本申请实施例中提供的又一种用于发生AMF重定向的注册流程的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
该用于发生AMF重定向的注册流程的方法包括以下步骤:
S1110,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
具体地,该实施例中RR消息中携带该UE的5G-GUTI为第一AMF给UE分配的,该实施例中称之为第一5G-GUTI。
S1120,初始AMF调用第一AMF的第一服务操作。
具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;其中,UE的上下文中包括UE的安全上下文。
可选地,初始AMF执行S1120之前,判断RR消息中未携带图9中所示的第六指示信息。
S1130,第一AMF向初始AMF发送第一服务操作响应。
具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response。
S1140,初始AMF可能发起主认证流程。
根据本地策略,初始AMF不使用从第一AMF处获得第一密钥和第一密钥对应的第一密钥标识符,而是发起主认证流程,生成新的AMF密钥Kamf_new和新的密钥标识符ngKSI_new。
S1150,初始AMF向UE用户设备发送非接入层安全模式命令(non-access stratumsecurity mode command,NAS SMC)消息。具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。初始AMF激活并开始使用新的NAS安全上下文。
S1160,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。UE激活并开始使用新的NAS安全上下文。
S1170,初始AMF判断是否进行AMF重定向。
如果初始AMF判断该初始AMF不能服务UE,图11所示的方法流程还包括S1180,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
如果初始AMF判断需要进行通过(R)AN的NAS Reroute或通过(R)AN的AMF重定向:
一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE,并且如果初始AMF和UE建立并开始使用了新的UE NAS安全上下文(或初始AMF和UE之间进行了NAS安全模式控制或者NAS安全模式命令流程),则初始AMF应跳过通过(R)AN的NAS reroute,并且初始AMF应请求第二AMF分配第二5G-GUTI,或者应请求第二AMF分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第二5G-GUTI);
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASreroute。
另一种可能的实现方式,如果初始AMF接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为非Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则初始AMF应执行图4、图6、图7、或图8所示的实施例中初始AMF的步骤,这里不再赘述。
又一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE,并且初始AMF和UE建立并开始使用了新的UE NAS安全上下文(或初始AMF和UE之间进行了NAS安全模式控制或者NAS安全模式命令流程),则初始AMF应跳过通过(R)AN的NAS reroute,且初始AMF应请求第二AMF分配第二5G-GUTI,或者应请求第二AMF分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第二5G-GUTI);
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASreroute。
又一种可能的实现,初始AMF应跳过通过(R)AN的NAS reroute,并且初始AMF应请求第二AMF分配第二5G-GUTI,或者应请求第二AMF分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第二5G-GUTI);
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASreroute。
第二AMF在接收初始AMF发送的请求第二AMF分配第二5G-GUTI的请求时,应理解,第二AMF在接收请求分配第二5G-GUTI的请求可以是上述所示的可能的实现方式中的任一种。第二AMF应分配第二5G-GUTI;第二AMF应确定发生了重定向;或者,
第二AMF在接收到初始AMF发送的请求第二AMF分配第二5G-GUTI的请求时,第二AMF应分配一个用于AMF重定向的特殊的5G-GUTI;该用于AMF重定向的特殊的5G-GUTI应为AMF重定向场景中使用。第二AMF应将第二5G-GUTI发送给初始AMF,具体地,第二AMF应通过(R)AN,发送一个携带第二5G-GUTI的消息,给初始AMF。该实施例不对携带第二5G-GUTI的消息做限定。
可选地,初始AMF请求第二AMF分配一个第二5G-GUTI,可以是,初始AMF应通过(R)AN向第二AMF发送第一请求消息,第一请求消息应用于请求第二AMF分配一个第二5G-GUTI。
应理解,该实施例中不限制第一请求消息的具体形式。
图11所示的方法流程还包括S1190,初始AMF应向(R)AN发送第一请求消息;S1191,(R)AN应向第二AMF转发第一请求消息,该第一请求消息用于请求第二AMF分配第二5G-GUTI,该第二5G-GUTI应用于标识UE,与上述第一5G-GUTI不同的是,上述的第一5G-GUTI为第一AMF给UE分配的,第二5G-GUTI为第二AMF给UE分配的;S1192,第二AMF向(R)AN应发送第二5G-GUTI;S1193,(R)AN应向第一AMF转发第二5G-GUTI。
如果第二AMF接收到初始AMF发送的注册请求消息中携带的第一5G-GUTI时,应保存该第一5G-GUTI。
可选地,初始AMF向第二AMF发送注册请求消息中携带的第一5G-GUTI,可以是初始AMF通过(R)AN应向第二AMF发送第一消息,第一消息中应包括注册请求消息中携带的第一5G-GUTI。
应理解,该实施例中不限制第一消息的具体形式。
图11所示的方法流程还可选地包括S1194,初始AMF应向(R)AN发送第一消息;S1195,(R)AN应向第二AMF转发第一消息,第一消息中应包括第一5G-GUTI;S1196,第二AMF应保存第一5G-GUTI。
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASReroute,可以是,初始AMF应通过(R)AN向第二AMF发送第九指示信息,第九指示信息用于通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS Reroute。
应理解,该实施例中不限制携带该第九指示信息的消息。
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASReroute,还可以是,初始AMF应通过(R)AN向第二AMF发送第二消息,第二消息用于通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS Reroute。
应理解,该实施例中不限制第二消息的类型。
图11所示的方法流程可选地还包括S1197,初始AMF应向(R)AN发送第二消息;S1198,(R)AN向第二AMF转发第二消息。
第二AMF在接收到初始AMF发送的第一5G-GUTI,和请求第二AMF分配第二5G-GUTI的请求时,第二AMF保存第一5G-GUTI,并分配第二5G-GUTI,且在本地建立第一5G-GUTI和第二5G-GUTI之间的对应关系。
S1111,初始AMF应向UE发送第二5G-GUTI。
情况一:
初始AMF应在向UE发送的注册接受(Registration accept)消息中携带第二5G-GUTI。
情况二:
初始AMF应在向UE发送配置更新命令(configuration update command)中携带第二5G-GUTI。
S1112,针对上述S1111中的情况一:初始AMF应发起去注册流程,并指示UE进行重注册。
针对上述S1111中的情况二:初始AMF应向UE发送注册拒绝消息,并指示UE进行重注册。
S1113,可选地,初始AMF应释放RRC连接。
S1114,UE应重新发起注册请求消息,该消息中携带接收到的第二5G-GUTI。
第二AMF判断之前是否接收到第一5G-GUTI。如果第二AMF之前接收到第一5G-GUTI,则第二AMF根据第一5G-GUTI,从第一AMF中获取UE的上下文。
第二AMF,如果没有UE上下文,则第二AMF发起身份请求流程,然后发起注册流程。
图11所示的方法流程中,初始AMF在判断不能服务UE之后,并且如果初始AMF和UE之间以及建立并使用了新的NAS安全上下文,则初始AMF从第二AMF处获取第二5G-GUTI,并将第二5G-GUTI发送给UE。初始AMF去注册UE,并指示UE进行重注册。初始AMF还可将第一5G-GUTI发给第二AMF。
第二AMF在接收到请求之后,生成第二5G-GUTI,并发给初始AMF。
UE使用第二5G-GUTI重新发起注册请求,(R)AN根据第二5G-GUTI,可直接将UE的注册请求发给第二AMF。
图12是本申请实施例中提供的又一种用于发生AMF重定向的注册流程的方法示意性流程图。包括UE、(R)AN、初始AMF、第一AMF、第二AMF。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
该用于发生AMF重定向的注册流程的方法包括以下步骤:
S1210,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
具体地,该实施例中RR消息中携带该UE的5G-GUTI为第一AMF给UE分配的,该实施例中称之为第一5G-GUTI。
S1220,初始AMF调用第一AMF的第一服务操作。
具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;其中,UE的上下文中包括UE的安全上下文。
可选地,初始AMF执行S1220之前,判断RR消息中未携带图9中所示的第六指示信息。
S1230,第一AMF向初始AMF发送第一服务操作响应。
具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,该第一服务操作响应中包括第一密钥和第一密钥标识符。
S1240,初始AMF可能发起主认证流程。
根据本次策略,初始AMF不使用从第一AMF处获得第一密钥和第一密钥对应的第一密钥标识符,而是发起主认证流程,生成新的AMF密钥Kamf_new和新的密钥标识符ngKSI_new;
S1250,初始AMF向UE用户设备发送非接入层安全模式命令(non-access stratumsecurity mode command,NAS SMC)消息。具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。初始AMF激活并开始使用新的安全上下文。
S1260,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。UE激活并开始使用新的安全上下文。
S1270,初始AMF判断是否进行AMF重定向。
如果初始AMF判断需要进行通过(R)AN的NAS Reroute或通过(R)AN的AMF重定向:
一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,并且如果初始AMF和UE建立并开始使用了新的UE NAS安全上下文,或初始AMF和UE之间进行了NAS安全模式控制或者NAS安全模式命令流程,则初始AMF应跳过NAS reroute流程,并且初始AMF给UE分配第三5G-GUTI,并标记UE(或者该第三5G-GUTI指示发生重定向);或者给UE分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第三5G-GUTI)。
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS reroute。
另一种可能的实现方式,如果初始AMF接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为非Release 15版本的UE、判断UE为非Release 16或者Release16之后版本的UE、判断UE不具备Release 16或者Release 16之后版本的UE的功能、判断UE不具备通过(R)AN进行NAS重定向的能力、判断UE不具备通过(R)AN进行AMF重定向的能力、判断UE不具备NAS安全上下文回退的能力、判断UE不具备使用第一NAS安全上下文的能力、判断UE不具备恢复到无NAS安全上下文的能力、或判断UE不具备NAS安全上下文处理的能力中的至少一种,则初始AMF应执行图4、图6、图7、或图8所示的实施例中初始AMF的步骤,这里不再赘述
又一种可能的实现方式,如果初始AMF未接收到第六指示信息,或者,如果初始AMF基于上述RR消息判断UE为Release 15版本的UE,并且如果初始AMF和UE建立并开始使用了新的UE NAS安全上下文(或初始AMF和UE之间进行了NAS安全模式控制或者NAS安全模式命令流程),则初始AMF应跳过通过(R)AN的NAS reroute,并且给UE分配第三5G-GUTI,并标记UE(或者该第三5G-GUTI指示发生重定向);或者给UE分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第三5G-GUTI);
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS reroute。
又一种可能的实现,初始AMF应跳过通过(R)AN的NAS reroute,并且给UE分配第三5G-GUTI,并标记UE(或者该第三5G-GUTI指示发生重定向);或者给UE分配一个用于AMF重定向的特殊的5G-GUTI(该实施例中,该用于AMF重定向的特殊的5G-GUTI也称为第三5G-GUTI);
可选地,初始AMF应向第二AMF发送注册请求消息中携带的5G-GUTI(第一5G-GUTI);或者,可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS reroute。
如果初始AMF判断该初始AMF不能服务UE,图12所示的方法流程还包括S1280,初始AMF调用第一AMF的第三服务操作。该第三服务操作指示UE在初始AMF处的注册失败。
具体地,该第三服务操作可以称为Namf_Communication_RegistrationStatusUpdate,该第三服务操作中携带的UE的注册状态为“NOT_TRANSFERRED”。
可选地,初始AMF应将上述的第三5G-GUTI发送给第二AMF。并且如果第二AMF接收到初始AMF发送的第三5G-GUTI,则第二AMF保存该第三5G-GUTI,该第三5G-GUTI用于指示发生重定向。
可选地,初始AMF应将上述的第三5G-GUTI发送给第二AMF,可以是初始AMF通过(R)AN,发送第三消息,第三消息中包括上述的第三5G-GUTI。
应理解,该实施例中不限制第三请求消息的具体形式。
在该实现方式下,图12所示的方法流程还包括S1290,初始AMF向(R)AN发送第三消息;S1291,(R)AN向第二AMF发送第三消息,该第三消息中包括上述的第三5G-GUTI;S1292,第二AMF保存第三5G-GUTI,该第三5G-GUTI指示发生重定向。
可选地,初始AMF应将上述的第一5G-GUTI发送给第二AMF。并且如果第二AMF接收到初始AMF发送的第一5G-GUTI,则第二AMF保存该第一5G-GUTI。
可选地,初始AMF向第二AMF发送注册请求消息中携带的第一5G-GUTI,可以是初始AMF通过(R)AN向第二AMF发送第四消息,第四消息中包括注册请求消息中携带的第一5G-GUTI。
应理解,该实施例中不限制第四消息的具体形式。
在该实现方式下,图12所示的方法流程还包括S1293,初始AMF向(R)AN发送第四消息;S1294,(R)AN向第二AMF发送第四消息,第四消息中包括第一5G-GUTI;S1295,第二AMF保存第一5G-GUTI。
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASReroute,可以是,初始AMF应通过(R)AN向第二AMF发送第十指示信息,第十指示信息用于通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS Reroute。
应理解,该实施例中不限制携带该第十指示信息的消息。
可选地,初始AMF应通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NASReroute,还可以是,初始AMF应通过(R)AN向第二AMF发送第五消息,第五消息用于通知第二AMF发生通过(R)AN的AMF重定向或通过(R)AN的NAS Reroute。
应理解,该实施例中不限制第五消息的类型。
在该实现方式下,图12所示的方法流程还包括S1296,初始AMF向(R)AN发送第五消息;S1297,(R)AN向第二AMF发送第五消息。
第二AMF在接收到初始AMF发送的第一5G-GUTI和第三5G-GUTI的请求时,第二AMF保存第一5G-GUTI和第三5G-GUTI,且在本地建立第一5G-GUTI和第二5G-GUTI之间的对应关系。
另一种可能的实现方式,第二AMF未接收到上述的第一5G-GUTI、第三5G-GUTI和重定向指示。
在该实现方式下,图12所示的方法流程还包括S1298,第二AMF发起主认证流程。
S1211,初始AMF向UE发送第三5G-GUTI。
情况一:
初始AM应在向UE发送的注册接受(Registration accept)消息中携带第三5G-GUTI。
情况二:
初始AMF应在向UE发送的配置更新命令(configuration update command)中携带第三5G-GUTI。
S1212,针对上述S1211中的情况一:初始AMF应发起去注册流程,并指示UE进行重注册。
针对上述S1211中的情况二:初始AMF应向UE发送注册拒绝消息,并指示UE进行重注册。
S1213,可选地,初始AMF应释放RRC连接。
S1214,UE重新发起注册请求消息,该消息中携带接收到的第三5G-GUTI。
S1215,初始AMF判断是否进行AMF重定向。
具体地,初始AMF接收到UE的注册请求消息,检查如果UE被标记的,或者注册请求中的第三5G-GUTI是否指示发生重定向,或者该第三5G-GUTI是否是用于AMF重定向的特殊的5G-GUTI,如果是,则初始AMF发起通过(R)AN的NAS reroute。
S1216,初始AMF向UE发送重定向NAS消息。
具体地,该重定向NAS消息中包括第三5G-GUTI。
S1217,UE经由(R)AN向第二AMF发送RR消息,该消息中携带接收到的第三5G-GUTI或携带第一5G-GUTI。
第二AMF判断之前是否接收到第一5G-GUTI。如果第二AMF之前接收到第一5G-GUTI,则第二AMF根据第一5G-GUTI,从第一AMF中获取UE的上下文。
第二AMF,如果没有UE上下文,则第二AMF发起身份请求流程,然后发起注册流程。
图12所示的方法流程中,初始AMF在判断不能服务UE之后,并且如果初始AMF和UE之间以及建立并使用了新的NAS安全上下文,则初始AMF为UE配置新的第三5G-GUTI,并将第三5G-GUTI发送给UE和第二AMF。初始AMF去注册UE,并指示UE进行重注册。初始AMF还可将第一5G-GUTI发给第二AMF。
UE使用第三5G-GUTI重新发起注册请求,(R)AN根据第三5G-GUTI,可直接将UE的注册请求发给第二AMF。
图13是本申请实施例中提供的又一种用于发生AMF重定向的注册流程的方法示意性流程图。执行主体包括UE、初始AMF、第一AMF和第二AMF。UE与上次服务UE的第一AMF之间建立了安全上下文,UE与第一AMF上分别存储有一致的AMF密钥,记为Kamf。
该实施例中,初始AMF和第二AMF之间可以直接进行信令交互,与上述的图4-图12所示的实施例中所示的初始AMF和第二AMF之间需要经由(R)AN进行信令交互不同。
该用于发生AMF重定向的注册流程的方法包括以下步骤。
S1310,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI;
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
S1320,初始AMF调用第一AMF的第一服务操作。
具体地,初始AMF接收到UE发送的RR消息之后,初始AMF根据RR消息中的5G-GUTI确定上一次为UE提供服务的第一AMF,并向第一AMF调用第一服务操作,该第一服务操作可以称为Namf_Communication_UEContextTransfer,用于请求从第一AMF获得UE的上下文;其中,UE的上下文中包括UE的安全上下文。
可选地,初始AMF执行S1320之前,判断RR消息中未携带图9中所示的第六指示信息。
S1330,第一AMF向初始AMF发送第一服务操作响应。
具体地,第一AMF在认证UE成功之后向初始AMF发送第一服务操作响应。第一AMF认证UE指的是通过验证RR消息的完整性保护。该第一服务操作响应可以称为Namf_Communication_UEContextTransfer Response,具体地,该第一服务操作响应中包括第一密钥和第一密钥标识符。
S1340,初始AMF可能发起主认证流程。
根据本地策略,初始AMF不使用从第一AMF处获得第一密钥和第一密钥对应的第一密钥标识符,而是发起主认证流程,生成新的AMF密钥Kamf_new和新的密钥标识符ngKSI_new;
S1350,初始AMF向UE用户设备发送非接入层安全模式命令(non-access stratumsecurity mode command,NAS SMC)消息。具体地,NAS SMC消息中携带请求完整初始NAS消息的指示。初始AMF激活并开始使用新的NAS安全上下文。
S1360,UE向初始AMF发送NAS安全模式命令完成(non-access stratum securitymode complete)消息。根据NAS SMC消息中请求完整初始NAS消息的指示,UE在NAS安全模式完成消息中携带完整的完整初始NAS消息,在本申请实施例中该完整初始NAS消息主要指代完整注册请求消息。UE激活并开始使用新的NAS安全上下文。
S1370,初始AMF判断是否进行AMF重定向。
初始AMF判断是否进行直接AMF重定向,或初始AMF判断是否进行直接NASReroute。如果初始AMF决定直接进行AMF重定向或NAS Reroute,则初始AMF执行以下三种方式中其中的一种描述的步骤。
方式一:
初始AMF应将UE的当前的NAS安全上下文发送给第二AMF。
方式二:
初始AMF根据初始AMF本地策略决定进行密钥推演,或者,初始AMF根据初始AMF本地策略决定不进行密钥推演。
方式三:
初始AMF根据第一AMF是否进行密钥推演决定初始AMF是否进行密钥推演,具体地包括以下几种可能:
可能一:
如果第一AMF没有进行密钥推演,则初始AMF根据本地策略决定是否进行密钥推演。
例如,如果初始AMF没有接收到来自第一AMF的用于指示生成了新密钥的第十三指示信息;或者初始AMF没有接收到第一AMF发送的密钥推演指示,该密钥推演指示可以称为keyAMFHDerivationInd,用于指示第一AMF进行了密钥推演,则初始AMF根据本地策略决定是否进行密钥推演。
可能二:
第一AMF进行了密钥推演,则初始AMF将UE的当前的NAS安全上下文发送给UE。
例如,初始AMF接收来自第一AMF的用于指示生成了新密钥的第十三指示信息;或者初始AMF接收到第一AMF发送的密钥推演指示,则初始AMF将UE的当前的安全上下文发送给UE。
方式四:初始AMF根据第一预设条件判断是否进行密钥推演。
具体地,当第一预设条件满足时,初始AMF确定不进行密钥推演,即初始AMF将当前的安全上下文发送给第二AMF。
否则当第一预设条件不满足时,初始AMF可根据本地策略决定是否进行密钥推演,包括:初始AMF根据本地策略,决定进行密钥推演;或者初始AMF根据本地策略,决定不进行密钥推演,即将当前的安全上下文发送给第二AMF。
第一预设条件包括:初始AMF和UE之间成功地进行了NAS安全模式控制流程、初始AMF和UE之间建立了安全上下文、初始AMF和UE之间进行了安全地NAS消息交互、初始AMF和UE之间成功地进行了NAS SMC、或UE激活了NAS安全。
在本申请中,密钥推演、水平推演、水平KAMF推演均可表达相同的密钥推演方式,可交互使用。
可选地,当初始AMF决定进行密钥推演的情况下。图13所示的方法流程还包括S1380,初始AMF进行密钥推演。
当初始AMF进行密钥推演的情况下,初始AMF应通知第二AMF发生了密钥推演。在该情况下,图13所示的方法流程还包括S1390,初始AMF应调用第二AMF的第四服务操作,第四服务操作中应包括第十一指示信息,该第十一指示信息指示初始AMF进行了密钥推演,或者,指示初始AMF了生成新的密钥。该第四服务操作中还包括推演之后的密钥和密钥标识符,其中,第一密钥推演之后的密钥称为第四密钥,密钥推演之后生成的密钥与被推演的密钥对应的密钥标识符一致则该第四密钥对应的密钥标识符也为第一密钥标识符。该第四服务服务操作中还应包括指示需要进行接入层密钥重新生成(AS key re-keying)的指示。
该第四服务操作可以称为Namf_Communication_N1MessageNotify,用于与第二AMF之间通信。
具体地,第二AMF接收到上述的第十一指示信息之后。图13所示的方法流程还包括S1391,第二AMF应向UE发送第十二指示信息,该第十二指示信息指示UE进行密钥推演,或者,指示UE生成新的密钥。该第十二指示信息指示可以为值为1的K_AMF_change_flag。
可选地,当初始AMF决定不进行密钥推演的情况下。初始AMF将UE的当前的NAS安全上下文发送给第二AMF在该情况下,图13所示的方法流程还包括S1390,初始AMF调用第二AMF的第四服务操作,第四服务操作中应包括UE的当前的NAS安全上下文。
初始AMF生成新的密钥应使用以下几种方式中的一种:
方式一:
初始AMF生成新的密钥应使用当前的密钥和接收到的RR消息中的上行NAS计数(uplink NAS COUNT)值;
方式二:
初始AMF生成新的密钥应使用当前的密钥和最近接收到的N1消息的uplink NASCOUNT值。例如,初始AMF接收到UE发送的NAS Security Mode Complete消息,则初始AMF生成新的密钥应使用当前的密钥和接收到的NAS Security Mode Complete消息中的uplinkNAS COUNT值;否则初始AMF生产新的密钥应使用当前的密钥和接收到的RR消息中的uplinkNAS COUNT值;
方式三:
初始AMF生成新密钥应使用当前的密钥和当前的下行NAS计数(downlink NASCOUNT)值。
方式四:
如果初始AMF和UE没有激活、使用、生成、或建立新的NAS安全上下文,或如果,初始AMF只收到注册请求消息一个NAS消息,或如果,初始AMF和UE之间没有进行NAS安全模式命令/控制(NAS security mode command/control)流程,或如果,初始AMF接收到的NAS消息只有注册请求消息,则初始AMF生成新的密钥应使用当前的密钥和注册请求消息中的uplink NAS COUNT,否则初始AMF生成新的密钥应使用当前的密钥和当前的downlink NASCOUNT。
方式五:
初始AMF接收到除了注册请求消息之外的其他的NAS消息,则初始AMF生成新的密钥应使用当前的密钥和当前的downlink NAS COUNT,否则初始AMF生成新的密钥应使用当前的密钥和注册请求消息中的uplink NAS COUNT。
应理解,当初始AMF生成了新的密钥,或者当初始AMF进行了密钥推演的情况下,初始AMF应将新生成的密钥、新的密钥标识符、第十一指示信息以及第十四指示信息发送给第二AMF。其中,上述的第十一指示信息用于指示初始AMF进行了密钥推演,或者,指示初始AMF了生成新的密钥,第十四指示信息用于指示需要做AS key re-keying。
可选地,上述的新生成的密钥、新的密钥标识符、第十一指示信息以及第十四指示信息应携带在第四服务操作中。
应理解,当初始AMF生成新的密钥使用了当前的downlink NAS COUNT,则初始AMF应将该downlink NAS COUNT值发送给第二AMF。具体地,初始AMF在Namf_Communication_N1MessageNotify中应包括生成新的密钥所使用的downlink NAS COUNT值。
可选地,初始AMF可以将生成新的密钥所用的uplink NAS COUNT值发送给第二AMF;
可选地,当初始AMF在生成新的密钥时使用了注册请求消息中的uplink NASCOUNT时,初始AMF在Namf_Communication_N1MessageNotify中包括第十五指示信息,该第十五指示信息用于指示使用注册请求消息的uplink NAS COUNT值生成新的密钥。
可选地,当初始AMF在生成新的密钥时使用了NAS Security Mode Complete消息的uplink NAS COUNT时,初始AMF在Namf_Communication_N1MessageNotify中包括第十六指示信息,该第十六指示信息用于指示使用NAS Security Mode Complete消息的uplinkNAS COUNT值生成新的密钥。
可选地,初始AMF在Namf_Communication_N1MessageNotify中还包括第十七指示信息,该第十七指示信息用于指示UE为合法的UE,或第十七指示信息用于指示注册请求消息来自验证过的UE、第十七指示信息用于指示注册消息已通过验证、或第十七指示信息用于指示不需要验证注册消息等。
应理解,该实施例中并不限定上述Namf_Communication_N1MessageNotify中一定携带上述的第十七指示信息。当初始AMF跟UE之间建立了新的NAS安全上下文时,则初始AMF应将第十七指示信息发送给第二AMF。
可选地,当第二AMF接收到downlink NAS COUNT值,则第二AMF应将downlink NASCOUNT值发送给UE。可选地,第二AMF应将downlink NAS COUNT值包括在NAS Container中发送给UE。
可选地,当第二AMF接收到uplink NAS COUNT值时,第二AMF应将uplink NASCOUNT值发送给UE。可选地,第二AMF应将uplink NAS COUNT值包括在NAS Securtiy ModeCommand消息中中发送给UE。
可选地,当第二AMF接收到第十五指示信息时,第二AMF向UE发送第十八指示信息,该第十八指示信息用于指示使用注册请求消息的uplink NAS COUNT值生成新的密钥。例如,第二AMF将该第十八指示信息包括在NAS Security Mode Command消息中发给UE。
可选地,当第二AMF接收到第十六指示信息时,第二AMF向UE发送第十九指示信息,该第十九指示信息用于指示使用NAS Security Mode Complete的uplink NAS COUNT值生成新的密钥。可选地,第二AMF应将该第十九指示信息包括在NAS Security Mode Command消息中发给UE。
可选地,当第二AMF接收到第十七指示信息,则第二AMF对接收到的注册请求消息不进行验证,或者第二AMF不对UE进行验证。
可选地,UE接收到值为1的K_AMF_change_flag,并且UE接收到downlink NASCOUNT值,则UE应使用该downlink NAS COUNT值生成新的密钥。
可选地,UE接收到值为1的K_AMF_change_flag,并且UE接收到uplink NAS COUNT值,则UE应使用该uplink NAS COUNT值生成新的密钥。
可选地,UE接收到值为1的K_AMF_change_flag,并且UE接收到第十八指示信息,则UE应使用注册请求消息中的uplink NAS COUNT值生成新的密钥。
可选地,UE接收到值为1的K_AMF_change_flag,并且UE接收到第十九指示信息,则UE应使用NAS Security Mode Complete中的uplink NAS COUNT值生成新的密钥。
否则,UE接收到值为1的K_AMF_change_flag,则UE应使用最近发送的N1消息中的uplink NAS COUNT的值生成新的密钥,具体地,如果UE最近发送了NAS Security Command消息,则UE使用NAS Security Command消息中的uplink NAS COUNT值生成新的密钥,否则UE使用发送了的注册请求消息中的uplink NAS COUNT值。
图13所示的方法流程中,初始AMF和第二AMF之间可以建立链接,即初始AMF可以通知第二AMF是否进行了密钥推演或者生成新的密钥,进而第二AMF可以通知UE执行同样的步骤,从而保证UE和第二AMF上的NAS安全上下文一致,避免了由于NAS安全上下文不一致导致的注册失败。
在本申请中,Kamf,KAMF和KAMF均表示AMF密钥,可交互使用。UE上下文包括安全上下文,安全上下文包括NAS安全上下文,NAS安全上下文包括KAMF。在本申请中安全上下文和NAS安全上下文的使用场景和方式均相同,且交互使用时不会带来歧义,因此在本申请中安全上下文和NAS安全上下文可交互使用。
本申请还提供另一种用于重定向的方法,下面结合图22详细介绍本申请实施例中提供的又一种用于重定向的方法。图22是本申请实施例中提供的另一种用于移动注册的方法示意性流程图。执行主体包括UE、(R)AN、初始AMF、第一AMF、第二AMF。如果UE在发起注册流程时,有安全上下文和5G-GUTI,则该安全上下文为UE与上次服务UE的第一AMF之间建立的安全上下文,5G-GUTI为第一AMF分配给UE的,UE与第一AMF上分别存储有一致的Kamf。该用于移动注册的方法至少包括以下部分步骤。
S1410,UE向初始AMF发送注册请求(registration request,RR)消息,该RR消息中携带该UE的5G-GUTI或者订阅隐藏标识(Subscription Concealed Identifier,SUCI);
应理解,本申请实施例中所涉及的UE向初始AMF发送RR消息,表示的是UE向(R)AN发送RR消息,(R)AN再将RR消息发送给初始AMF,由于在该步骤中(R)AN起到透传的作用,为了描述的简洁在本申请实施例中和附图中直接描述为UE向初始AMF发送RR消息。
如果在发起注册流程时,UE有安全上下文和/或5G-GUTI,则UE发送的RR消息包括:明文信元(Information Elements,IEs)和NAS容器(NAS container),并且RR消息是有完整性保护的。其中,NAS容器中包括加密的完整的RR消息。
如果在发起注册流程时,UE没有安全上下文,则UE发送的RR消息只包括明文IEs。且没有完整性保护。
如果该RR消息中包括5G-GUTI,则初始AMF从第一AMF处获取UE的上下文,包括安全上下文,即该注册流程还包括S1411和S1412。
S1411,初始AMF调用第一AMF的第一服务操作。与图3的S22类似,这里不再赘述。
S1412,第一AMF向初始AMF发送第一服务操作响应。与图3的S23类似,这里不再赘述。
如果初始AMF接收到的RR消息中携带SUCI;或初始AMF从第一AMF处获取上下文失败;或初始AMF根据本地策略决定发起主认证,则该注册流程还包括S1413。
S1413,初始AMF和UE进行主认证流程,UE和初始AMF各自生成Kamf_new及其对应的标识符ngKSI_new。与图2的S4类似,这里不再赘述。
S1414,初始AMF向UE发送NAS SMC消息。初始AMF可在NAS SMC中包括重传初始NAS消息指示,用于指示UE重传初始NAS消息。在这里,初始NAS消息为RR消息。初始AMF在NASSMC中包括该重传初始NAS消息指示的情况包括:
初始AMF不能解开RR消息中的NAS容器(container),或初始AMF从第一AMF处获取上下文失败,或初始AMF接收到的RR消息中只有明文IEs。其余与图2的S5类似,这里不再赘述。
S1415,UE向初始AMF发送NAS安全模式完成消息(security mode complete,SMP)消息。如果UE在NAS SMC中接收到重传初始NAS消息指示,则UE在SMP消息中包括完整的注册请求消息。其余与图2的S6类似,这里不再赘述。
S1416,初始AMF决定进行AMF重定向。根据本次策略和订阅消息,初始AMF可决定进行以下两种重定向选项中的一种:
选项A(Option A):直接NAS重路由(direct NAS reroute),即初始AMF直接将NAS消息,即注册请求消息发送给第二AMF。如果初始AMF有UE的上下文,则初始AMF将UE的上下文发送给第二AMF。初始AMF通过调用第二AMF的第五服务操作(可称为Namf_Communication_RegistrationStatusUpdate服务操作),发送RR消息和上下文。
选项B(Option B):通过(R)AN的NAS重路由(NAS reroute via RAN),即初始AMF将注册请求消息通过(R)AN,发送给第二AMF。与图2中的S10和S11类似,这里不再赘述。
S1418,初始AMF向UE发送第二十指示信息,用于指示UE接受或处理没有安全保护的认证请求消息,和/或,指示UE返回使用保存的安全上下文。相应地,UE接收该第二十指示信息。
作为一种可能的实现方式,初始AMF在向UE发送第二十指示信息之前,初始AMF确定向UE发送该第二十指示信息。当初始AMF判断第二十预设条件满足时,则初始AMF向UE发送第二十指示信息。第二十预设条件为以下条件的任意一项或者多项:
初始AMF判断需要进行AMF重定向;初始AMF判断需要进行NAS重路由(NASreroute);初始AMF和UE之间进行了安全地NAS消息交换;初始AMF和UE之间成功进行了NASSMC(NAS安全模式控制);UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第一AMF选择的安全算法不同的安全算法;该初始AMF使用了从第一AMF处接收到的由水平KAMF推演后生成的KAMF;初始AMF从第一AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第一AMF处接收到的KAMF。
初始AMF向UE发送第二十指示信息,可通过以下两种选项中的任意一种:
选项一:初始AMF可向UE发送第一通知消息,该第一通知消息用于指示UE接受或处理没有安全保护的认证请求消息,和/或,指示UE返回使用保存的安全上下文。该第一通知消息可以为新增的NAS消息,该新增的NAS消息可以命名为AMF ReallocationNotification。
选项二:初始AMF可以向UE发送第一NAS消息,该第一NAS消息中携带第二十指示信息。该第二十指示信息可以为新增的指示信息,例如,该第二十指示信息可以命名为AMF_Reallocation_Ind。示例的,该第一NAS消息可为现在已有的NAS消息,例如包括但不限于以下NAS消息:配置更新命令(Configuration Update Command)、下行NAS传输(DL NASTransport)消息、5G系统移动管理状态(5G system mobility management status,5GMMStatus)和注册拒绝(Registration Reject)消息等。
该第二十指示信息,以及第一通知消息,均还可指示以下中任意一种或多种:
用于指示UE删除或丢弃NAS安全上下文,和/或,用于指示UE去激活(deactivate)UE的当前NAS安全上下文,和/或,用于指示UE处理没有安全保护的认证请求消息,和/或,用于指示UE网络侧发生AMF重定向,和/或,用于指示UE恢复无NAS安全上下文,和/或,用于指示UE删除或丢弃所述UE和所述初始AMF建立的新的NAS安全上下文,和/或,用于指示UE删除或丢弃所述UE和所述初始AMF建立的NAS安全上下文,和/或,用于指示UE删除或丢弃所述新的NAS安全上下文,和/或,用于指示UE去激活(deactivate)所述UE和所述初始AMF建立的当前NAS安全上下文,和/或,用于指示UE恢复使用保存的NAS安全上下文,和/或,用于指示UE恢复使用UE在接收到的安全NAS消息之前使用的安全上下文,和/或,用于指示UE恢复使用在安全激活之前使用的安全上下文,和/或,用于指示UE恢复使用在接收到NAS SMC之前使用的安全上下文,和/或,用于指示UE恢复使用UE发送RR消息之后、在接收到的安全NAS消息之前使用的安全上下文,和/或,用于指示UE恢复使用UE发送RR消息之后、在接收到的NASSMC之前使用的安全上下文;和/或,用于指示AMF重定向;和/或,用于指示NAS重路由(NASreroute);和/或,用于指示直接NAS重路由(direct NAS reroute);和/或,用于指示通过RAN的NAS重路由(NAS reroute via RAN);和/或,用于指示UE丢弃除了未保护的认证请求消息之外了其他的没有安全保护的认证请求消息。
UE在接收到第二十指示信息或第一通知消息之后,UE根据该第二十指示信息或第一通知消息,进行以下操作中的任意一种或者多种:
如果UE接收到没有安全保护的认证请求消息时,则应接受或者处理该没有安全保护的认证请求消息;和/或,丢弃或删除NAS安全上下文;和/或,去激活UE的当前NAS安全上下文;和/或,恢复无NAS安全上下文;和/或,删除或丢弃所述UE和所述初始AMF建立的新的NAS安全上下文;和/或,删除或丢弃所述UE和所述初始AMF建立的NAS安全上下文;和/或,删除或丢弃所述新的NAS安全上下文;和/或,去激活(deactivate)所述UE和所述初始AMF建立的当前NAS安全上下文;和/或,使用保存的NAS安全上下文;和/或,使用UE在接收到的安全NAS消息之前使用的安全上下文;和/或,恢复使用UE发送RR消息之后、在接收到的安全NAS消息之前使用的安全上下文;和/或,用于指示UE恢复使用UE在发送RR消息之后、在接收到的NAS SMC之前使用的安全上下文;和/或,恢复使用在安全激活之前使用的安全上下文;和/或,恢复使用在接收到NAS SMC之前使用的安全上下文;和/或,UE恢复使用没有安全上下文,并且接受或处理没有安全保护的N1消息包括(认证请求消息),如果UE在发送RR消息是没有安全上下文的;和/或,UE恢复使用没有安全上下文,并且接受或处理没有安全保护的N1消息包括(认证请求消息),如果UE在发起注册流程时没有没有安全上下文
UE在接收到第二十指示信息或第一通知消息之后,UE根据该第二十指示信息或第一通知消息,还可以进行以下操作中的任意一种或者多种:如果UE接收到没有安全保护的认证请求消息,则UE应接受或者处理没有安全保护的认证请求消息;如果UE接收到没有安全保护的N1消息,该N1消息为非认证请求消息的其他任意N1消息,则UE应丢弃该N1消息。如果UE接收到有保护的N1消息,则UE应恢复使用保存的安全上下文来处理该有保护的N1消息。
在本申请中,以下安全上下文均表示相同的安全上下文,可交互使用:
UE在接收到第二十指示信息或第一通知消息时保存的安全上下文;UE在发送注册请求消息之后、接收到NAS SMC之前的安全上下文;UE在发送注册请求消息之后、在NAS安全激活之前使用的安全上下文。
UE在接收到第二十指示信息或第一通知消息之后,作为一种可能的实现方式,UE向初始AMF发送注册请求消息。相应地,初始AMF接收该注册请求消息。该注册请求消息可为以下中任意一种:
第一注册请求消息,即UE在发起注册流程时发送的注册请求消息,即S1410中的RR消息;
第二注册请求消息,该第二注册请求消息包括明文IEs,以及NAS容器,其中NAS容器中包括完整的注册请求消息,并且UE使用当前安全上下文对该NAS容器或者NAS容器的内容部分或者NAS容器的值部分进行加密;
第三注册请求消息,该第三注册请求消息仅包括明文的IEs,或者该第三注册请求消息包括明文IEs,以及NAS容器,其中NAS容器中包括完整的注册请求消息,并且UE对该NAS容器或者NAS容器的内容部分或者NAS容器的值部分进行加密。在该加密中,UE应采用与第一AMF建立的安全上下文、或保存的安全上下文、或老的安全上下文、或第一安全上下文、或UE发起注册流程时使用的安全上下文。如果UE在发起注册流程时,没有任何安全上下文或者没有5G-GUTI,则UE在第三注册请求消息中仅包括明文的IEs。
UE向初始AMF发送注册请求消息可包括:UE向初始AMF发送第一注册请求消息;UE向初始AMF发送有完整性保护的第二注册请求消息;UE向初始AMF发送第三注册请求消息。其中,如果UE在发起注册流程时,没有安全上下文,则第一注册请求信息和第三注册请求消息没有完整性保证;如果UE在发起注册流程时,有安全上下文,则第一注册请求信息和第三注册请求消息有完整性保证;
作为一种可能的实现方式,UE向初始AMF发送注册请求消息,可通过配置更新完成(Configuration Update Complete)消息或上下NAS传输(Uplink NAS transport)消息等现有的NAS消息发送。UE向初始AMF发送注册请求消息也可以通过一个新增的NAS消息。该申请不对该消息做限制。
S1417,如果初始AMF决定进行直接NAS重路由(direct NAS reroute),初始AMF直接将注册请求消息,发送给第二AMF。初始AMF通过调用第二AMF的第五服务操作向第二AMF发送注册请求消息。在该第五服务操作中,初始AMF还包括UE的上下文。第五服务操作可为Namf_Communication_RegistrationStatusUpdate服务操作。
S14181,如果初始AMF决定进行通过RAN的NAS重路由(direct NAS reroute),则初始AMF通过RAN向第二AMF发送注册请求消息。具体地,初始AMF向RAN发送重定向消息(NASreroute message),并在该重定向消息中包括注册请求消息。相应的,RAN接收该重定向消息。RAN在接收到重定向消息之后,向第二AMF发送初始UE消息(initial UE message),并在该初始UE消息中包括接收到的注册请求消息。即该注册流程包括S1419。
作为一种可能的实现方式,初始AMF通过RAN向第二AMF发送第二十一指示信息,即该注册流程包括S14191和S14192。该第二十一指示信息用于指示以下中一种或几种:
AMF重定向;NAS重路由(NAS reroute);通过RAN的NAS重路由;初始AMF和UE之间进行了安全地NAS消息交换;初始AMF和UE之间成功进行了NAS SMC(NAS安全模式控制);UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第二AMF选择的安全算法不同的安全算法;该初始AMF使用了从第一AMF处接收到的由水平KAMF推演后生成的KAMF;初始AMF从第一AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第一AMF处接收到的KAMF。第二AMF发送有安全保护的认证请求消息;第二AMF发送有安全保护的认证请求消息;第二AMF发送有安全保护的NAS消息,包括认证请求消息;
作为一种可能的实现方式,初始AMF在向UE发送第二十一指示信息之前,初始AMF确定向UE发送该第二十一指示信息。当初始AMF判断第二十一预设条件满足时,则初始AMF向UE发送第二十一指示信息。第二十一预设条件为以下条件的任意一项或者多项:
需要进行AMF重定向;需要进行NAS重路由(NAS reroute);需要进行通过RAN的NAS重路由;初始AMF和UE之间进行了安全地NAS消息交换;初始AMF和UE之间成功进行了NASSMC(NAS安全模式控制);UE和初始AMF之间建立了安全关联;UE和初始AMF之间激活了安全保护;UE和初始AMF之间建立了新的NAS安全上下文;该UE和该初始AMF之间进行了主认证;该初始AMF选择了与第一AMF选择的安全算法不同的安全算法;该初始AMF使用了从第一AMF处接收到的由水平KAMF推演后生成的KAMF;初始AMF从第一AMF处接收到水平KAMF推演指示,并且初始AMF决定使用从第一AMF处接收到的KAMF。
初始AMF通过RAN向第二AMF发送第二十一指示信息,包括初始AMF向RAN发送第二十一指示信息,相应的,RAN接收第二十一指示信息。RAN将接收到的第二十一指示信息发送给第二AMF。初始AMF可通过重定向消息向RAN发送第二十一指示信息,RAN通过初始UE消息向第二AMF发送接收到的第二十一指示信息。
在S1417和S14181中,初始AMF发送的注册请求消息,可是以下注册请求消息中的任意一种:
第一注册请求消息:第二注册请求消息;第三注册请求消息;第四注册请求消息,即初始AMF从NAS SMP消息中获取的注册请求消息;第五注册请求消息,即初始AMF解密注册请求消息中的NAS容器而获取的注册请求消息。
其中,初始AMF从NAS SMP消息中获取注册请求消息,即初始AMF解密NAS SMP,获取NAS SMP消息中包括的注册请求消息;初始AMF解密注册请求消息中的NAS容器而获取的注册请求消息,即初始AMF解密注册请求消息中携带的NAS容器或NAS容器的值部分或NAS容器的内容部分而获取的注册请求消息。
S1420,第二AMF接收到初始UE消息之后,可调用第一AMF的第一服务操作,去获取UE上下文。
一种可能的实现方式,第二AMF向第一AMF发送UE的5G-GUTI和/或第二十二指示信息,其中第二十二指示信息用于指示AMF重定向,或用于指示UE已经过验证。
第一AMF接收到在第二十二指示信息之后,第一AMF根据第二十二指示信息跳过完整性验证。
第一AMF接收到5G-GUTI和第二十二指示信息之后,第一AMF根据第二十二指示信息跳过完整性验证,并根据5G-GUTI,找到UE上下文,并返回UE上下文。
一种可能的实现方式中,第二AMF在向第一AMF发送UE的5G-GUTI和/或第二十二指示信息之前,第二AMF确定向第一AMF发送5G-GUTI和/或第二十二指示信息。具体地,第二AMF如果判断第二十二预设条件满足,则第二AMF确定向第一AMF发送5G-GUTI和/或第二十二指示信息。该第二十二预设条件为以下条件中的任意一种或多种:
第二AMF接收到第二十一指示信息;第二AMF接收到的注册请求消息为没有完整性保护的完整的注册请求消息;第二AMF接收到完整的注册请求消息;第二AMF接收到没有完整性保护的注册请求消息;第二AMF接收到的初始UE消息中包括源到目标AMF信息重路由信元(Source to Target AMF Information Reroute IE);第二AMF接收到的初始UE消息中包括网络切片选择辅助信息(network slice selection assistance information,NSSAI);第二AMF接收到的初始UE消息中包括配置的网络切片选择辅助信息(configured networkslice selection assistance information,configured NSSAI)和/或拒绝的切片网络切片选择辅助信息(rejected network slice selection assistance information,rejected NSSAI)。
一种可能的实现方式,第二AMF通过第一服务操作向第一AMF发送5G-GUTI和/或第二十二指示信息。
S1421,第一AMF向第二AMF发送第一服务操作响应。
该第一服务响应中可包括UE的上下文。
S1422,第二AMF向UE发送NAS消息。
一种可能的实现方式,如果第二AMF决定发起主认证,并且如果第二AMF接收到第二十一指示信息,则根据第二十一指示信息,第二AMF发送有安全保护的认证请求消息。第二AMF应采用从第二AMF处接收到的安全上下文保护认证请求消息;
一种可能的实现方式,如果第二AMF决定发起主认证,则第二AMF发送有安全保护的认证请求消息。第二AMF应采用从第二AMF处接收到的安全上下文保护认证请求消息;
一种可能的实现方式,第二AMF发送有安全保护的NAS消息,包括认证请求消息。第二AMF应采用从第二AMF处接收到的安全上下文保护NAS消息。
上面结合图4-图13和图22详细介绍了本申请实施例提供的用于移动注册的方法,下面结合图14-图21详细介绍本申请实施例提供的用于移动注册的装置。
参见图14,图14是本申请提出的用于移动注册的装置10的示意图。如图14所示,装置10包括接收单元110和处理单元120。
接收单元110,用于接收初始AMF发送的第一非接入层安全模式命令NAS SMC消息;
接收单元110,还用于第二AMF发送的第二NAS SMC消息,所述第二NAS SMC消息中携带指示信息,所述指示信息用于指示所述UE使用所述第一NAS安全上下文;
处理单元120,用于恢复使用第一NAS安全上下文。
装置10和方法实施例中的用户设备完全对应,装置10可以是方法实施例中的用户设备,或者方法实施例中的用户设备内部的芯片或功能模块。装置10的相应单元用于执行图4-图13和图22所示的方法实施例中由用户设备执行的相应步骤。
其中,装置10中的接收单元110执行方法实施例中用户设备接收的步骤。例如,执行图4中接收初始AMF发送NAS安全模式命令消息的步骤115、执行图4中接收第二AMF发送NAS消息的步骤150、执行图6中接收初始AMF发送NAS安全模式命令消息的步骤210、执行图6中接收第二AMF发送NAS安全模式命令消息的步骤242、执行图6中接收第二AMF发送注册接收消息的步骤253、执行图7中接收第二AMF发送NAS安全模式命令消息的步骤323、执行图8中接收初始AMF发送NAS安全模式命令消息的步骤410、执行图8中接收初始AMF发送一个NAS消息,比如重定向通知消息,或重定向指示的步骤430、执行图8中接收第二AMF发送NAS安全模式命令消息的步骤431、执行图22中接收初始AMF发送第二十指示信息的步骤1480、执行图22中接收第二AMF发送NAS消息的步骤1422。
处理单元120执行方法实施例中用户设备内部实现或处理的步骤。例如,执行图4中验证NAS消息的步骤160、执行图6中保存第一NAS安全上下文的步骤220、执行图6中确定使用的密钥的步骤250、执行图6中删除第一NAS安全上下文的步骤254、执行图7中验证NASSMC消息的步骤324、执行图8中保存第一NAS安全上下文的步骤420、执行图8中恢复第一NAS安全上下文的步骤440、执行图8中确定使用的密钥的步骤432、执行图8中删除第一NAS安全上下文的步骤436。
装置10中所示的用于移动注册的装置还可能包括发送单元(图14中并未示出),发送单元用于执行向其他设备发送消息的功能,例如,向初始AMF发送RR消息。接收单元110和发送单元可以组成收发单元,同时具有接收和发送的功能。其中,处理单元120可以是处理器。发送单元可以是接收器。接收单元110可以是发射器。接收器和发射器可以集成在一起组成收发器。
参见图15,图15是适用于本申请实施例的用户设备20的结构示意图。该用户设备20可应用于图1所示出的系统中。为了便于说明,图15仅示出了用户设备的主要部件。如图15所示,用户设备20包括处理器、存储器、控制电路、天线以及输入输出装置。处理器用于控制天线以及输入输出装置收发信号,存储器用于存储计算机程序,处理器用于从存储器中调用并运行该计算机程序,以执行本申请提出的用于移动注册的方法中由用户设备执行的相应流程和/或操作。此处不再赘述。
本领域技术人员可以理解,为了便于说明,图15仅示出了一个存储器和处理器。在实际的用户设备中,可以存在多个处理器和存储器。存储器也可以称为存储介质或者存储设备等,本申请实施例对此不做限制。
参见图16,图16是本申请提出的用于移动注册的装置30的示意图。如图16所示,装置30包括接收单元310、处理单元320和发送单元330。
接收单元310,用于接收第一AMF发送第一服务操作响应;
处理单元320,用于进行主认证;
发送单元330,用于向UE发送第一NAS安全模式命令消息;
装置30和方法实施例中的初始AMF完全对应,装置30可以是方法实施例中的初始AMF,或者方法实施例中的初始AMF内部的芯片或功能模块。装置30的相应单元用于执行图4-图13和图22所示的方法实施例中由初始AMF执行的相应步骤。
其中,装置30中的接收单元310执行方法实施例中初始AMF接收的步骤。例如,执行图4中接收UE发送RR消息的步骤111、执行图4中接收第一AMF发送第一服务操作响应的步骤113、执行图4中接收UE发送NAS安全模式命令完成消息的步骤116、执行图6中接收UE发送RR消息的步骤211、执行图6中接收第一AMF发送第一服务操作响应的步骤213、执行图6中接收UE发送NAS安全模式命令完成消息的步骤221、执行图7中接收UE发送RR消息的步骤311、执行图7中接收第一AMF发送第一服务操作响应的步骤313、执行图8中接收UE发送RR消息的步骤411、执行图8中接收第一AMF发送第一服务操作响应的步骤413、执行图8中接收UE发送NAS安全模式命令完成消息的步骤421、执行图9中接收UE发送RR消息的步骤910、执行图9中接收第一AMF发送第一服务操作响应的步骤940、执行图10中接收UE发送RR消息的步骤1010、执行图10中接收第一AMF发送第一服务操作响应的步骤1030、执行图11中接收UE发送RR消息的步骤1110、执行图11中接收第一AMF发送第一服务操作响应的步骤1130、执行图11中接收(R)AN发送第二5G-GUTI的步骤1110、执行图12中接收UE发送RR消息的步骤1210、执行图12中接收第一AMF发送第一服务操作响应的步骤1230、执行图12中接收UE发送注册请求消息的步骤1214、执行图13中接收UE发送RR消息的步骤1210、执行图22中接收UE发送RR消息的步骤1410、执行图22中接收第一AMF发送第一服务操作响应的步骤1412、执行图22中接收UE发送NAS安全模式命令完成消息的步骤1415。
处理单元320执行方法实施例中初始AMF内部实现或处理的步骤。例如,执行图4中主认证的步骤114、执行图4中决定进行AMF重定向的步骤117、执行图4中确定第一密钥信息的步骤101、执行图6中主认证的步骤214、执行图6中决定进行AMF重定向的步骤222、执行图7中主认证的步骤314、执行图7中判断是否发起非接入层安全模式控制流程的步骤310、执行图7中决定进行AMF重定向的步骤315、执行图8中主认证的步骤414、执行图8中决定进行AMF重定向的步骤422、执行图9中判断是否进行AMF重定向的步骤950、执行图10中判断是否进行AMF重定向的步骤1070、执行图11中判断是否进行AMF重定向的步骤1170、执行图12中判断是否进行AMF重定向的步骤1270、执行图12中判断是否进行AMF重定向的步骤1215、执行图13中进行AMF重定向的步骤1350、执行图13中进行密钥推演的步骤1360、执行图22中决定进行AMF重定向的步骤1416。
发送单元330执行方法实施例中初始AMF发送的步骤。例如,执行图4中向第一AMF发送第一服务操作的步骤112、执行图4中向UE发送NAS安全模式命令消息的步骤112、执行图4中向第一AMF发送第三服务操作的步骤110、执行图4中向RAN发送重定向消息的步骤121、执行图6中向第一AMF发送第一服务操作的步骤212、执行图6中向UE发送NAS安全模式命令消息的步骤210、执行图6中向第一AMF发送第三服务操作的步骤223、执行图6中向RAN发送重定向消息的步骤225、执行图7中向第一AMF发送第一服务操作的步骤312、执行图7中向第一AMF发送第三服务操作的步骤316、执行图7中向RAN发送重定向消息的步骤318、执行图8中向第一AMF发送第一服务操作的步骤412、执行图8中向UE发送NAS安全模式命令消息的步骤410、执行图8中向第一AMF发送第三服务操作的步骤423、执行图8中向RAN发送重定向消息的步骤425、执行图9中向第一AMF发送第一服务操作的步骤920、执行图9中向第一AMF发送第三服务操作的步骤960、执行图9中向RAN发送重定向消息的步骤970、执行图10中向第一AMF发送第一服务操作的步骤1020、、执行图10中向第一AMF发送UE NAS安全上下文更新消息的步骤1080、执行图10中向RAN发送重定向消息的步骤1011、执行图11中向第一AMF发送第一服务操作的步骤1120、执行图11中向第一AMF发送第三服务操作的步骤1180、执行图11中向RAN发送第一请求消息的步骤1190、执行图11中向RAN发送第一消息的步骤1194、执行图11中向RAN发送第二消息的步骤1197、执行图11中向UE发送第二5G-GUTI的步骤1111、执行图12中向第一AMF发送第一服务操作的步骤1220、执行图12中向第一AMF发送第三服务操作的步骤1280、执行图12中向RAN发送第三消息的步骤1290、执行图12中向RAN发送第四消息的步骤1293、执行图12中向RAN发送第五消息的步骤1296、执行图12中向UE发送第三5G-GUTI的步骤1211、执行图12中向UE发送重定向消息的步骤1216、执行图13中向UE发送NAS安全模式命令消息的步骤1330、执行图13中向第二AMF发送第四服务操作的步骤1370、执行图22中向第一AMF发送第一服务操作的步骤1411、执行图22中向第二AMF发送注册请求消息的步骤1417、执行图22中向RAN发送重定向消息的步骤1418、执行图22中向RAN发送第二十一指示信息的步骤14191、执行图22中向UE发送第二十指示信息的步骤1480。
接收单元310和发送单元330可以组成收发单元,同时具有接收和发送的功能。其中,处理单元320可以是处理器。发送单元330可以是接收器。接收单元310可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图17所示,本申请实施例还提供了一种初始AMF 40,该初始AMF 40包括处理器410,存储器420与收发器430,其中,存储器420中存储指令或程序,处理器430用于执行存储器420中存储的指令或程序。存储器420中存储的指令或程序被执行时,收发器430用于执行图16所示的装置30中的接收单元310与发送单元330执行的操作。
参见图18,图18是本申请提出的用于移动注册的装置50的示意图。如图18所示,装置50包括接收单元510、处理单元520和发送单元530。
接收单元510,用于接收初始AMF发送第一服务操作;
处理单元520,用于判断是否发生AMF重定向;
发送单元530,用于用于向UE发送第二NAS安全模式命令消息;
装置50和方法实施例中的第一AMF完全对应,装置50可以是方法实施例中的第一AMF,或者方法实施例中的第一AMF内部的芯片或功能模块。装置50的相应单元用于执行图4-图13和图22所示的方法实施例中由第一AMF执行的相应步骤。
其中,装置50中的接收单元510执行方法实施例中第一AMF接收的步骤。例如,执行图4中接收初始AMF发送第一服务操作的步骤112、执行图4中接收初始AMF发送第三服务操作的步骤110、执行图4中接收第二AMF发送第二服务操作的步骤123、执行图6中接收初始AMF发送第一服务操作的步骤212、执行图6中接收初始AMF发送第三服务操作的步骤223、执行图6中接收第二AMF发送第二服务操作的步骤227、执行图7中接收初始AMF发送第一服务操作的步骤312、执行图7中接收初始AMF发送第三服务操作的步骤316、执行图7中接收第二AMF发送第二服务操作的步骤320、执行图8中接收初始AMF发送第一服务操作的步骤412、执行图8中接收初始AMF发送第三服务操作的步骤423、执行图8中接收第二AMF发送第二服务操作的步骤427、执行图9中接收初始AMF发送第一服务操作的步骤920、执行图9中接收初始AMF发送第三服务操作的步骤960、执行图10中接收初始AMF发送第一服务操作的步骤1020、执行图10中接收初始AMF发送UE NAS安全上下文更新消息的步骤1080、执行图11中接收初始AMF发送第一服务操作的步骤1120、执行图11中接收初始AMF发送第三服务操作的步骤1180、执行图12中接收初始AMF发送第一服务操作的步骤1220、执行图12中接收初始AMF发送第三服务操作的步骤1280、执行图22中接收初始AMF发送第一服务操作的步骤1411、执行图22中接收第二AMF发送第一服务操作的步骤1420。
处理单元520执行方法实施例中第一AMF内部实现或处理的步骤。例如,执行图4中确定密钥的步骤114、执行图4中恢复密钥信息的步骤120、执行图6中确定密钥的步骤214、执行图6中恢复UE的上下文的步骤224、执行图6中判断是否发生重定向的步骤230、执行图7中确定密钥的步骤314、执行图7中恢复UE的上下文的步骤317、执行图8中确定密钥的步骤414、执行图8中恢复UE的上下文的步骤424、执行图9中确定返回第一密钥和第一密钥标识符的步骤930、执行图10中更新本地存储的UE NAS安全上下文的步骤1090。
发送单元530执行方法实施例中第一AMF发送的步骤。例如,执行图4中向初始AMF发送第一操作服务响应的步骤113、执行图4中向第二AMF发送第二操作服务响应的步骤130、执行图6中向初始AMF发送第一操作服务响应的步骤213、执行图6中向第二AMF发送第二操作服务响应的步骤240、执行图7中向初始AMF发送第一操作服务响应的步骤313、执行图7中向第二AMF发送第二操作服务响应的步骤321、执行图8中向初始AMF发送第一操作服务响应的步骤413、执行图8中向第二AMF发送第二操作服务响应的步骤430、执行图9中向初始AMF发送第一操作服务响应的步骤940、执行图10中向初始AMF发送第一操作服务响应的步骤1030、执行图11中向初始AMF发送第一操作服务响应的步骤1130、执行图12中向初始AMF发送第一操作服务响应的步骤1230、执行图22中向初始AMF发送第一操作服务响应的步骤1412、执行图22中向第二AMF发送第一操作服务响应的步骤1421。
接收单元510和发送单元530可以组成收发单元,同时具有接收和发送的功能。其中,处理单元520可以是处理器。发送单元530可以是接收器。接收单元510可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图19所示,本申请实施例还提供了一种第一AMF 60,该第一AMF 60包括处理器610,存储器620与收发器630,其中,存储器620中存储指令或程序,处理器630用于执行存储器620中存储的指令或程序。存储器620中存储的指令或程序被执行时,收发器630用于执行图18所示的装置50中的接收单元510与发送单元530执行的操作。
参见图20,图20是本申请提出的用于移动注册的装置70的示意图。如图20所示,装置70包括接收单元710、处理单元720和发送单元730。
接收单元710,用于接收第一AMF发送第二服务操作响应;
处理单元720,用于确定要使用的UE的密钥信息;
发送单元730,用于向第一AMF发送第二服务操作;
装置70和方法实施例中的第二AMF完全对应,装置70可以是方法实施例中的第二AMF,或者方法实施例中的第二AMF内部的芯片或功能模块。装置70的相应单元用于执行图4-图13和图22所示的方法实施例中由第二AMF执行的相应步骤。
其中,装置70中的接收单元710执行方法实施例中第二AMF接收的步骤。例如,执行图4中接收第一AMF发送第二服务操作响应的步骤130、执行图4中接收RAN发送初始UE消息的步骤122、执行图4中接收UE发送NAS安全模式命令完成消息的步骤161、执行图6中接收第一AMF发送第二服务操作响应的步骤240、执行图6中接收RAN发送初始UE消息的步骤226、执行图6中接收UE发送NAS安全模式命令完成消息的步骤251、执行图7中接收第一AMF发送第二服务操作响应的步骤321、执行图7中接收RAN发送初始UE消息的步骤319、执行图7中接收UE发送NAS安全模式命令完成消息的步骤325、执行图8中接收第一AMF发送第二服务操作响应的步骤440、执行图8中接收RAN发送初始UE消息的步骤426、执行图8中接收UE发送NAS安全模式命令完成消息的步骤433、执行图9中接收RAN发送初始UE消息的步骤980、执行图10中接收RAN发送初始UE消息的步骤1012、执行图11中接收UE发送注册请求消息的步骤1114、执行图11中接收RAN发送第一请求消息的步骤1191、执行图11中接收RAN发送第一消息的步骤1195、执行图11中接收RAN发送第二消息的步骤1198、执行图12中接收UE发送注册请求消息的步骤1217、执行图12中接收RAN发送第三消息的步骤1291、执行图12中接收RAN发送第四消息的步骤1294、执行图12中接收RAN发送第五消息的步骤1297、执行图13中接收第一AMF发送第四服务操作的步骤1370、执行图22中接收初始AMF发送注册请求消息的步骤1417、执行图22中接收RAN发送初始UE消息的步骤1419、执行图22中接收RAN发送第二十一指示信息的步骤14192、执行图22中第一AMF发送第一服务操作响应的步骤1421。
处理单元720执行方法实施例中第二AMF内部实现或处理的步骤。例如,执行图4中确定要使用的UE的密钥信息的步骤140、执行图4中进行注册流程的步骤161、执行图6中确定要使用的UE的密钥信息的步骤241、执行图6中进行注册流程的步骤252、执行图7中确定要使用的UE的密钥信息的步骤322、执行图7中进行注册流程的步骤326、执行图8中确定要使用的UE的密钥信息的步骤429、执行图8中进行注册流程的步骤434、执行图11中保存第一5G-GUTI的步骤1196、执行图11中保存第二5G-GUTI的步骤1292、执行图11中保存第一5G-GUTI的步骤1295。
发送单元730执行方法实施例中第二AMF发送的步骤。例如,执行图4中向第一AMF发送第二服务操作的步骤123、执行图4中向UE发送NAS消息的步骤150、执行图6中向第一AMF发送第二服务操作的步骤227、执行图6中向UE发送NAS安全模式命令消息的步骤242、执行图6中向UE发送注册接收消息的步骤253、执行图7中向第一AMF发送第二服务操作的步骤320、执行图7中向UE发送NAS安全模式命令消息的步骤323、执行图8中向第一AMF发送第二服务操作的步骤428、执行图8中向UE发送NAS安全模式命令消息的步骤431、执行图8中向UE发送注册接收消息的步骤435、执行图8中向(R)AN发送第二5G-GUTI的步骤1192、执行图22中向UE发送NAS消息的步骤1422、执行图22中向第一AMF发送第一服务操作响应的步骤1420。
接收单元710和发送单元730可以组成收发单元,同时具有接收和发送的功能。其中,处理单元720可以是处理器。发送单元730可以是接收器。接收单元710可以是发射器。接收器和发射器可以集成在一起组成收发器。
如图21所示,本申请实施例还提供了一种第二AMF 80,该第二AMF 80包括处理器810,存储器820与收发器830,其中,存储器820中存储指令或程序,处理器830用于执行存储器820中存储的指令或程序。存储器820中存储的指令或程序被执行时,收发器830用于执行图20所示的装置70中的接收单元710与发送单元730执行的操作。
上述各个装置实施例中网络设备与用户设备和方法实施例中的网络设备或用户设备对应,由相应的模块或单元执行相应的步骤,例如通信单元(收发器)执行方法实施例中接收或发送的步骤,除发送、接收外的其它步骤可以由处理单元(处理器)执行。具体单元的功能可以参考相应的方法实施例。其中,处理器可以为一个或多个。
本申请实施例还提供一种通信系统,其包括前述的初始AMF、第一AMF、第二AMF和一个或多个用户设备。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图13和图22所示的方法中初始AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图13和图22所示的方法中第一AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图13和图22所示的方法中第二AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图4-图13和图22所示的方法中用户设备执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图13和图22所示的方法中初始AMF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图13和图22所示的方法中第一AMF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图13和图22所示的方法中第二AMF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图4-图13和图22所示的方法中用户设备执行的各个步骤。
本申请还提供一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的用于移动注册的方法中由用户设备执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的用于移动注册的方法中由初始AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的用于移动注册的方法中由第一AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。本申请还提供一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的用于移动注册的方法中由第二AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (17)

1.一种用于移动注册的方法,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
用户设备UE接收初始AMF发送的第一非接入层安全模式命令NAS SMC消息;
所述UE基于所述第一NAS SMC消息保存第一NAS安全上下文,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文;
所述UE接收第二AMF发送的第二NAS SMC消息,所述第二NAS SMC消息中携带指示信息,所述指示信息用于指示所述UE使用所述第一NAS安全上下文;
所述UE根据所述指示信息,将所述第一NAS安全上下文作为当前NAS安全上下文;
其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
2.根据权利要求1所述的方法,其特征在于,所述第一NAS SMC消息中包括第四指示;
所述UE基于所述第一NAS SMC消息保存第一NAS安全上下文包括:
所述UE根据所述第四指示,保存所述第一NAS安全上下文。
3.一种用于移动注册的方法,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
初始AMF向用户设备UE发送第一非接入层安全模式命令NAS SMC消息,所述第一NASSMC消息用于指示所述UE保存第一NAS安全上下文;
所述初始AMF向第一AMF发送第一指示,所述第一指示用于指示所述第一AMF恢复所述第一NAS安全上下文,和/或,所述第一指示用于通知所述第一AMF发生AMF重定向,其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF。
4.根据权利要求3所述的方法,其特征在于,所述第一NAS SMC消息中包括第四指示,所述第四指示用于指示所述UE保存所述第一NAS安全上下文。
5.一种用于移动注册的方法,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
第二AMF接收第二指示;
所述第二AMF根据所述第二指示,向用户设备UE发送第二NAS SMC消息,所述第二NASSMC消息中携带用于指示所述UE使用第一NAS安全上下文的指示信息,和/或所述第二AMF根据所述第二指示获知发生所述AMF重定向;
其中,所述第一NAS安全上下文为所述UE和所述第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
6.根据权利要求5所述的方法,其特征在于,所述第二AMF接收第二指示包括:
所述第二AMF从所述第一AMF接收所述第二指示;或者,
所述第二AMF从初始AMF接收所述第二指示。
7.一种用于移动注册的方法,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
第一AMF接收初始AMF发送的第一指示;
所述第一AMF根据所述第一指示恢复第一NAS安全上下文,和/或,所述第一AMF根据所述第一指示获知发生所述AMF重定向;
所述第一AMF接收第二AMF的UE上下文传输请求;
所述第一AMF根据所述第一指示,向第二AMF发送的第二指示,所述第二指示用于通知所述第二AMF向用户设备UE发送指示信息,和/或,所述第二指示用于通知所述第二AMF发生AMF重定向;
其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
8.一种用于移动注册的装置,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
接收单元,用于接收初始AMF发送的第一非接入层安全模式命令NAS SMC消息;
处理单元,用于基于所述第一NAS SMC消息保存第一NAS安全上下文,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文;
所述接收单元,还用于接收第二AMF发送的第二NAS SMC消息,所述第二NAS SMC消息中携带指示信息,所述指示信息用于指示所述UE使用所述第一NAS安全上下文;
所述处理单元,还用于根据所述指示信息,将所述第一NAS安全上下文作为当前NAS安全上下文;
其中,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
9.根据权利要求8所述的装置,其特征在于,所述第一NAS SMC消息中包括第四指示;
所述处理单元基于所述第一NAS SMC消息保存第一NAS安全上下文包括:
所述处理单元根据所述第四指示,保存所述第一NAS安全上下文。
10.一种用于移动注册的装置,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
发送单元,用于向用户设备UE发送第一NAS SMC消息,所述第一NAS SMC消息用于指示所述UE保存第一NAS安全上下文;
所述发送单元,还用于向第一AMF发送第一指示,所述第一指示用于指示所述第一AMF恢复所述第一NAS安全上下文,和/或,所述第一指示用于通知所述第一AMF发生AMF重定向,其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF。
11.根据权利要求10所述的装置,其特征在于,所述第一NAS SMC消息中包括第四指示,所述第四指示用于指示所述UE保存所述第一NAS安全上下文。
12.一种用于移动注册的装置,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
接收单元,用于接收第二指示;
发送单元,用于根据所述第二指示向用户设备UE发送所述第二NAS SMC消息,所述第二NAS SMC消息中携带用于指示所述UE使用第一NAS安全上下文的指示信息,和/或,处理单元根据所述第二指示获知发生所述AMF重定向;
其中,所述第一NAS安全上下文为所述UE和所述第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
13.根据权利要求12所述的装置,其特征在于,所述接收单元接收第二指示包括:
所述接收单元从所述第一AMF接收所述第二指示;或者,
所述接收单元从初始AMF接收所述第二指示。
14.一种用于移动注册的装置,应用在发生接入和移动管理功能AMF重定向的情况下,其特征在于,包括:
接收单元,用于接收初始AMF发送的第一指示;
处理单元,用于根据所述第一指示,恢复第一NAS安全上下文,和/或,所述第一AMF根据所述第一指示获知发生所述AMF重定向;
发送单元,用于根据所述第一指示向第二AMF发送的第二指示,所述第二指示用于通知所述第二AMF向用户设备UE发送指示信息,和/或,所述第二指示用于通知所述第二AMF发生AMF重定向;
其中,所述第一NAS安全上下文为所述UE和第一AMF之间建立的NAS安全上下文,所述第一AMF为所述UE上次访问的AMF,所述第二AMF为进行所述AMF重定向时选择的为所述UE服务的AMF。
15.一种通信设备,其特征在于,包括:
存储器,所述存储器用于存储计算机程序;
收发器,所述收发器用于执行收发步骤;
处理器,所述处理器用于从所述存储器中调用并运行所述计算机程序,使得所述通信设备执行权利要求1-7中任一项所述的方法。
16.一种计算机可读存储介质,其特征在于,包括:所述计算机可读介质存储有计算机程序;所述计算机程序在计算机上运行时,使得计算机执行权利要求1-7中任一项所述的方法。
17.一种通信系统,其特征在于,包括:
权利要求8或9所述的用于移动注册的装置、权利要求10或11所述的用于移动注册的装置、权利要求12或13所述的用于移动注册的装置和权利要求14所述的用于移动注册的装置。
CN201911094122.0A 2019-04-29 2019-11-11 用于移动注册的方法和装置 Active CN111866974B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
EP20798470.9A EP3952446A4 (en) 2019-04-29 2020-04-21 MOBILE REGISTRATION METHOD AND DEVICE
PCT/CN2020/085943 WO2020221067A1 (zh) 2019-04-29 2020-04-21 用于移动注册的方法和装置
US17/512,276 US11751160B2 (en) 2019-04-29 2021-10-27 Method and apparatus for mobility registration

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
CN2019103568809 2019-04-29
CN201910356880 2019-04-29
CN2019105179203 2019-06-14
CN201910517920 2019-06-14
CN2019107661756 2019-08-19
CN201910766175 2019-08-19

Publications (2)

Publication Number Publication Date
CN111866974A true CN111866974A (zh) 2020-10-30
CN111866974B CN111866974B (zh) 2022-12-06

Family

ID=72970738

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911094122.0A Active CN111866974B (zh) 2019-04-29 2019-11-11 用于移动注册的方法和装置

Country Status (4)

Country Link
US (1) US11751160B2 (zh)
EP (1) EP3952446A4 (zh)
CN (1) CN111866974B (zh)
WO (1) WO2020221067A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022148469A1 (zh) * 2021-01-11 2022-07-14 华为技术有限公司 一种安全保护方法、装置和系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116074828A (zh) * 2021-10-30 2023-05-05 华为技术有限公司 管理安全上下文的方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101925050A (zh) * 2010-08-19 2010-12-22 华为技术有限公司 一种安全上下文的生成方法及装置
US20170201937A1 (en) * 2014-05-30 2017-07-13 Nec Corporation Apparatus, system and method for dedicated core network
EP3257283A1 (en) * 2015-02-13 2017-12-20 Nec Corporation Apparatus, system and method for security management
CN108696872A (zh) * 2017-03-06 2018-10-23 中国移动通信有限公司研究院 一种重定向方法及装置
US20180310170A1 (en) * 2007-08-31 2018-10-25 Huawei Technologies Co.,Ltd. Communication Method and Device
WO2018201398A1 (zh) * 2017-05-04 2018-11-08 华为技术有限公司 获取密钥的方法、设备和通信系统
CN109413646A (zh) * 2017-08-16 2019-03-01 华为技术有限公司 安全接入方法、设备及系统
CN109587688A (zh) * 2017-09-29 2019-04-05 诺基亚技术有限公司 系统间移动性中的安全性

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10397892B2 (en) * 2017-02-06 2019-08-27 Huawei Technologies Co., Ltd. Network registration and network slice selection system and method
US20200163009A1 (en) * 2017-05-09 2020-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Amf eligibility for relay and reroute
WO2018236819A1 (en) * 2017-06-19 2018-12-27 Idac Holdings, Inc. SYSTEMS AND METHODS FOR PROTECTING THE CONFIDENTIALITY OF A 5G WAFER IDENTIFIER
WO2019183885A1 (zh) * 2018-03-29 2019-10-03 Oppo广东移动通信有限公司 网元间切换的方法、用户设备、网元及计算机存储介质
US20220070157A1 (en) * 2019-01-21 2022-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Network slice authentication

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180310170A1 (en) * 2007-08-31 2018-10-25 Huawei Technologies Co.,Ltd. Communication Method and Device
CN101925050A (zh) * 2010-08-19 2010-12-22 华为技术有限公司 一种安全上下文的生成方法及装置
US20170201937A1 (en) * 2014-05-30 2017-07-13 Nec Corporation Apparatus, system and method for dedicated core network
EP3257283A1 (en) * 2015-02-13 2017-12-20 Nec Corporation Apparatus, system and method for security management
CN108696872A (zh) * 2017-03-06 2018-10-23 中国移动通信有限公司研究院 一种重定向方法及装置
WO2018201398A1 (zh) * 2017-05-04 2018-11-08 华为技术有限公司 获取密钥的方法、设备和通信系统
CN109413646A (zh) * 2017-08-16 2019-03-01 华为技术有限公司 安全接入方法、设备及系统
CN109587688A (zh) * 2017-09-29 2019-04-05 诺基亚技术有限公司 系统间移动性中的安全性

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ZTE CORPORATION: ""S3-190153 Handling of AMF redirection"", 《3GPP TSG_SA\WG3_SECURITY》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022148469A1 (zh) * 2021-01-11 2022-07-14 华为技术有限公司 一种安全保护方法、装置和系统

Also Published As

Publication number Publication date
EP3952446A4 (en) 2022-06-08
EP3952446A1 (en) 2022-02-09
CN111866974B (zh) 2022-12-06
WO2020221067A1 (zh) 2020-11-05
US11751160B2 (en) 2023-09-05
US20220053445A1 (en) 2022-02-17

Similar Documents

Publication Publication Date Title
JP7074847B2 (ja) セキュリティ保護方法、装置及びシステム
KR102358918B1 (ko) 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치
CN109309920B (zh) 安全实现方法、相关装置以及系统
US9060270B2 (en) Method and device for establishing a security mechanism for an air interface link
CN111328112B (zh) 一种安全上下文隔离的方法、装置及系统
CN113225784B (zh) 消息的识别方法和装置
CN111417117B (zh) 切换的处理方法和装置
CN111866974B (zh) 用于移动注册的方法和装置
KR20130089663A (ko) 보안 및 비보안 데이터를 전송 및 수신하기 위한 방법들 및 장치
EP4262258A1 (en) Method and apparatus for generating security context, and computer-readable storage medium
CN110225517B (zh) 一种信息发送方法、装置、系统以及计算机可读存储介质
EP4322579A1 (en) Communication method and apparatus
CN112654046A (zh) 用于注册的方法和装置
CN115835218A (zh) 二级认证的方法和装置
KR101670743B1 (ko) 트래픽 카운트 키 및 키 카운트 관리 방법 및 장치
WO2015106387A1 (zh) 一种校验密钥的方法、基站、用户设备和核心网网元
CN110830996B (zh) 一种密钥更新方法、网络设备及终端
WO2021201729A1 (en) Faster release or resume for ue in inactive state
CN112654043A (zh) 注册方法及装置
KR101094057B1 (ko) 이동 통신시스템의 초기 시그널링 메시지 처리 방법 및장치
EP3804374B9 (en) Method and apparatus for security algorithm negotiation
CN114205814B (zh) 一种数据传输方法、装置、系统、电子设备及存储介质
CN114208240B (zh) 数据传输方法、装置及系统
WO2024094108A1 (zh) 通信方法和通信装置
WO2018069043A1 (en) Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant