CN112333784B - 安全上下文的处理方法、第一网元、终端设备及介质 - Google Patents
安全上下文的处理方法、第一网元、终端设备及介质 Download PDFInfo
- Publication number
- CN112333784B CN112333784B CN202011225875.3A CN202011225875A CN112333784B CN 112333784 B CN112333784 B CN 112333784B CN 202011225875 A CN202011225875 A CN 202011225875A CN 112333784 B CN112333784 B CN 112333784B
- Authority
- CN
- China
- Prior art keywords
- network element
- security
- network
- terminal
- anchor point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本公开提供一种安全上下文的处理方法、第一网元、终端设备及介质,其中,所述方法包括:第一网元将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;其中所述安全锚点网元设置于无线网与核心网之间的接口处。本公开实施例通过在无线网和核心网的接口之间设置安全锚点网元,通过安全锚定网元实现安全上下文的传递,可以有效避免由于网元之间隔离,导致安全上下文不能直接传输,所导致的用户终端不能及时驻网等问题,且本公开实施例所提供的方案,不论用户终端是否处于休眠状态,均可实现安全上下文的传递。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种安全上下文的处理方法、一种第一网元、一种终端设备以及一种计算机可读存储介质。
背景技术
网络切片技术是5G(5th generation mobile networks,第五代移动通信技术)的关键技术之一,它能够通过对网络进行配置,使得用户按需获得最合适的网络服务,增加网络资源的灵活度。
5G网络切片的隔离度分为高中低等,对于高隔离度的网络切片需要将核心网的AMF(Access and Mobility Management Function,移动和接入管理功能)、SMF(SessionManagement Function,会话管理功能)等网元以及无线网基站gNB与其他网络切片进行隔离,例如车联网须与其他公网资源分离,因此高隔离度的网络切片A的相关网元与网络切片B的相关网元无法进行直接的信息互通。例如,当用户需要从属于网络切片A的AMF(以下简称AMF-A)切换到网络切片B的AMF(以下简称AMF-B),由于AMF隔离不互通因此无法将用于鉴权的“NAS security context”(NAS层安全上下文)直接传输给AMF-B,因此AMF-B需要重新对该用户进行鉴权,在终端侧看来由于AMF-B无法提供安全上下文因此本次鉴权验证也无法通过,最终造成该用户终端不能及时驻网并申请重连接,甚至在重连接过程中如果通过gNB还连接到旧的AMF-A,就会造成以上流程重复而无法驻网。
发明内容
本公开提供了一种安全上下文的处理方法、第一网元、终端设备及计算机可读存储介质,以至少解决上述问题。
根据本公开实施例的一方面,提供一种安全上下文的处理方法,包括:
第一网元将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中所述安全锚点网元设置于无线网与核心网之间的接口处。
在一种实施方式中,所述第一网元和所述第二网元为接入和移动管理网元。
在一种实施方式中,在第一网元将安全上下文存储在安全锚点网元中之前,还包括:
所述第一网元获取其隔离度;
所述第一网元判断所述隔离度是否达到预设条件;
若所述隔离度达到预设条件,则所述第一网元执行将安全上下文存储在安全锚点网元中的步骤。
在一种实施方式中,在所述第一网元获取其隔离度之前,还包括:
所述第一网元获取终端上报的网络切片信息;
所述第一网元根据所述网络切片信息向切片管理网元申请进行切片选择,以使所述切片管理网元为所述终端选择网络切片并向所述第一网元反馈应答消息,其中所述应答消息中携带所述网络切片的隔离度列表,所述隔离度列表中包括所述第一网元的隔离度;
所述第一网元获取其隔离度,包括:
所述第一网元从所述应答消息中获取其隔离度。
在一种实施方式中,若所述隔离度达到预设条件,在所述第一网元将安全上下文存储在安全锚点网元中之前,还包括:
所述第一网元获取所述安全锚点网元的地址及路由路径;以及,
所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端,以使所述终端与所述安全锚点网元建立连接并向所述安全锚点网元进行注册,并使终端在所述安全锚点网元上完成注册后,所述第一网元执行将安全上下文存储至所述安全锚点网元中的步骤。
在一种实施方式中,在所述第一网元获取所述安全锚点网元的地址及路由路径之前,还包括:
所述第一网元根据所述隔离度生成隔离度标识位;
所述第一网元向所述终端发送所述隔离度标识位,以使所述终端向网络仓库功能网元上报所述隔离度标识位,并使所述网络仓库功能网元根据所述隔离度标识位决定是否向所述第一网元反馈所述安全锚点网元的地址及路由路径;
所述第一网元获取所述安全锚点网元的地址及路由路径,包括:
所述第一网元从所述网络仓库功能网元中获取所述安全锚点网元的地址及路由路径。
在一种实施方式中,在所述第一网元获取所述安全锚点网元的地址及路由路径之后,以及所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端之前,还包括:
所述第一网元与所述终端进行双向鉴权;
在所述第一网元与所述终端双向鉴权均通过后,所述第一网元获取所述终端的用户身份标识明文;
所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端,包括:
所述第一网元基于所述终端的用户身份标识明文将所述安全锚点网元的地址及路由路径发送给所述终端。
根据本公开实施例的另一方面,提供一种第一网元,包括:
存储模块,其设置为将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中所述安全锚点网元设置于无线网与核心网之间的接口处。
根据本公开实施例的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行所述的安全上下文的处理方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例提供的安全上下文的处理方法,通过在无线网和核心网的接口之间设置安全锚点网元,通安全锚定网元实现安全上下文的传递,可以避免由于网元之间隔离,导致安全上下文不能直接传输,所导致的用户终端不能及时祝网等问题,且本公开实施例所提供的方案,不论用户终端是否处于休眠状态,均可实现安全上下文的传递。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的一种安全上下文的处理方法的流程示意图;
图2为本公开另一实施例提供的一种安全上下文的处理方法的流程示意图;
图3为本公开又一实施例提供的一种安全上下文的处理方法的流程示意图;
图4为本公开实施例提供的一种第一网元的结构示意图;
图5为本公开实施例提供的一种终端设备的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
本公开实施例以移动和接入管理网元切换时,安全上下文的传递为例。在相关技术中,为实现AMF-1与AMF-2之间的安全上下文传递,主要通过AMF-1与AMF-2通过中间密钥的传递进行终端/AMF-1/AMF-2的鉴权认证,例如源AMF导出新的NAS密钥,向目标AMF提供新的NAS密钥,并且直接或通过某个其他网络节点向UE发送密钥改变指示。然后,UE可以根据旧的NAS密钥导出新的NAS密钥。
但是对于高隔离度的网络切片场景下AMF来说,不同AMF提供不同的、隔离的服务,因此AMF-1与AMF-2不能直接互通并进行密钥传输发送。而无线接入网gNB也不可能储存所有安全上下文,因此,本公开实施例通过在无线侧gNB与核心网之间增加安全锚点网元储存NAS安全上下文,通过该安全锚点网元将终端安全上下文发给AMF-2,实现安全上下文的传递,以完成身份鉴权。
请参照图1,图1为本公开实施例提供的一种安全上下文的处理方法的流程示意图,所述方法包括步骤S101。
在步骤S101中,第一网元将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中,所述安全锚点网元设置于无线网与核心网之间的接口处,所述第一网元和所述第二网元为接入和移动管理网元。
可以理解的是,所述的安全锚点网元为,将锚点业务(即存储安全上下文)锚定在某网元上,该网元即为安全锚点网元。本实施例中,安全锚点网元的作用:通信网络中支持将用户业务锚定在某网元上,当用户从不同接入系统接入时,用户的数据流都可从这个安全锚点网元出去,保证用户移动、在不同系统接入时的不变性。
本实施例中,通过对无线网和核心网之间设定安全锚点网元,保证安全上下文在终端在初次接入的gNB后转到安全锚点网元进行安全上下文的存储,当出现AMF-1(即第一网元)切换AMF-2(即第二网元)重链接的情况下,打通安全锚点与核心网、终端、gNB的安全接口,基于安全锚点网元将NAS安全上下文发送给AMF-2,保证在对AMF-2重选的过程中鉴权可以正常进行。其中,锚点的作用还可以使终端通过AMF-3或者其他非3GPP标准接入网络,都可以将安全上下文锚定到该锚点网元。由于本实施例所提供的安全上下文处理方案,可以保证安全上下文在AMF-1和AMF-2之间的传递,以此有效避免用户终端不能及时驻网并申请重连接等情况。
相关技术中,当用户终端从IDEL休眠状态(没有建立与核心网的连接,因此需要重新走一遍核心网的接入流程)向核心网申请连接,根据现有的技术流程,终端只发送简要的连接请求消息(3GPP称为cleartext IEs)。该简要消息并不包括AMF的选择策略及更多的路由信息,依据路由接入随机特性,终端可能通过AMF1接入到核心网。AMF1在完成对终端的鉴权后,依据NSSAI切片标识,AMF1判定其无法为终端提供相应的切片服务,AMF1通知当前gNB释放重连接的请求消息,并根据NSSAI标识以及鉴权结果(鉴权后得到解密的SUCI便可获得目标AMF-2)发送给gNB以及终端目标AMF是AMF-2。
而按照本实施例的方案,利用安全锚点网元实现安全上下文的存储及处理,终端在IDEL状态下,目标AMF-2无法直接接收源AMF-1的安全上下文,终端可通过简要消息,通过AMF1向gNB提出释放重连接的请求消息之后,申请从安全锚点网元调取终端与AMF-1建立的安全上下文,并由安全锚点网元发送给AMF2。AMF2依据源安全上下文便可推导新的安全上下文,再次完成与终端的鉴权,实现AMF之间的块切换,而不会导致无法驻网等问题。
请参照图2,图2为本公开实另一实施例提供的一种安全上下文的处理方法的流程示意图,本实施例相较于上一实施例,本实施例需要通过判断第一网元隔离度以打通安全锚点网元的接口,以实现安全上下文在安全锚点网元的存储,具体地,在第一网元将安全上下文存储在安全锚点网元中(即,步骤S101)之前,还包括步骤S201和S202。
在步骤S201中,所述第一网元获取其隔离度。
具体地,在步骤S201之前,还包括以下步骤:
所述第一网元获取终端上报的网络切片信息;
所述第一网元根据所述网络切片信息向切片管理网元申请进行切片选择,以使所述切片管理网元为所述终端选择网络切片并向所述第一网元反馈应答消息,其中所述应答消息中携带所述网络切片的隔离度列表,所述隔离度列表中包括所述第一网元的隔离度;
所述步骤S201,具体包括以下步骤:
所述第一网元从所述应答消息中获取其隔离度。
具体地,终端初次进行网络切片注册时(非入网注册),用户终端侧上报网络切片信息,包括NSSAI(Network Slice Selection Assistance Information,切片标识)、5G-S-TMSI(5G-S-Temporary Mobile Subscriber Identity,用户临时身份标识)等信息上报给AMF1、Gnb1;AMF1根据上报的信息向NSSF网元(Network Slice Selection Function,切片管理功能)申请接入进行切片选择,在NSSF为终端选择切片后,NSSF网元向AMF1反馈应答消息:包括该Allowed NSSAI、目标AMF Set。
按照本实施例的方案,NSSF网元在反馈应答消息中,同时反馈当前网络切片的隔离度列表,隔离度列表如下表一所示,如果隔离列表显示AMF的隔离度高,那么考虑到安全隔离度的问题,该切片的AMF可选集无法与可选集之外的AMF直接进行NAS层的安全上下文的消息互通(例如物理资源硬隔离或者虚拟软隔离无法寻址),需要继续履行本专利的以下步骤来保证NAS层安全上下文可以在源AMF与目标AMF进行交互;如果显示AMF的隔离度中、低,那么源AMF与目标AMF可以进行交互,则无需将安全上下文存储在安全锚点中,以简化流程,节约能耗。
表一:
切片包括的网元 | 隔离度要求 | 目标Set |
AMF | 高 | AMF1AMF6,AMF n…… |
AUSF | 中 | AUSF1,AUSF3 |
SMF | 低 | SMF1 |
…… | …… | …… |
在步骤S202中,所述第一网元判断所述隔离度是否达到预设条件,若所述隔离度达到预设条件,则执行步骤S101所述第一网元将安全上下文存储在安全锚点网元中,否则,结束流程,第一网元和第二网元可以直接进行通信或者采用相关技术进行通信。
需要说明的是,隔离度可以分为隔离度高、中、低,本实施例中的预设条件即为达到隔离度高,现有技术中针对AMF隔离高中低有较为明确的界限,此处不多做赘述。
请参照图3,图3为本公开又一实施例提供的一种安全上下文的处理方法,在上一实施例的基础上,本实施例通过注册、鉴权等方式以获取安全锚点网元的地址、路由等信息,从而实现安全上下文在安全锚点网元的存储,保证信息的安全性,具体地,若所述隔离度达到预设条件,在所述第一网元将安全上下文存储在安全锚点网元中(即步骤S101)之前,还包括以下步骤:
在步骤S301中,所述第一网元获取所述安全锚点网元的地址及路由路径。
进一步地,在步骤S301之前,还包括以下步骤:
所述第一网元根据所述隔离度生成隔离度标识位;
所述第一网元向所述终端发送所述隔离度标识位,以使所述终端向网络仓库功能网元上报所述隔离度标识位,并使所述网络仓库功能网元根据所述隔离度标识位决定是否向所述第一网元反馈所述安全锚点网元的地址及路由路径。
具体地,AMF1可以在向终端返回的注册应答时增加所生成的隔离度标识位,实现AMF1向终端发送隔离度标识位:例如,标识位显示为0x1,代表终端当前接入网络切片的AMF隔离度高,需要无线接入与核心网接入之间新增用于安全锚定的服务网元,保证NAS安全上下文的储存与传输。如果标识位显示0x0,代表代表终端当前网络切片的AMF隔离度不需要进行安全锚定。
可以理解的是,上述的AMF1向终端返回的注册应答,是终端初次进行网络切片注册时,上报网络切片信息后,AMF1向终端返回的注册应答消息。
所述步骤S301具体为以下步骤:
所述第一网元从所述网络仓库功能网元中获取所述安全锚点网元的地址及路由路径。
本实施例中,根据新增的隔离度标识位0x1,终端将进行以下步骤:通过当前AMF1,向NRF寻址安全锚点网元。由于安全锚点网元要保存终端与AMF的派生密钥、加密算法等安全上下文,为保证其因此本实施例对安全锚点网元的发现权限进行设置:其中,网络仓库功能网元(NF Repository Function,以下简称NRF),需要验证当前终端、AMF上报的网络切片隔离度,如果终端上报的NSSAI在NRF中备注属于高隔离度,安全锚点网元才可被发现,NRF才将网元Q的地址、属性反馈给当前AMF1;如果终端上报的NSSAI在NRF中备注为中低隔离度,那么NRF不会将网元Q的地址、属性反馈给AMF。其他网元例如SMF,AUSF等发送的寻址请求均不被NRF受理。
进一步地,所述步骤S301之后,以及所述步骤S302之前,还包括以下步骤:
所述第一网元与所述终端进行双向鉴权;
在所述第一网元与所述终端双向鉴权均通过后,所述第一网元获取所述终端的用户身份标识明文。
所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端,包括:
具体地,在进行网络切片服务注册申请时,用户身份标识需完成解密即AMF1已知用户的SUPI(SUbscription Permanent Identifier,用户永久标识符),因此AMF1可将网元Q的地址、路由路径及属性等发送给终端。如果AMF1中没有终端的SUPI信息,本实施例为考虑到安全性,AMF1需要在核心网与终端进行双向鉴权通过后,AMF1获得了终端SUPI(SUPI:SUCI的解密结果,用户身份标识的明文格式)后,再告知终端的安全锚点网元的地址、路由等信息。
在步骤S302中,所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端,以使所述终端与所述安全锚点网元建立连接并向所述安全锚点网元进行注册,并使终端在所述安全锚点网元上完成注册后,所述第一网元执行将安全上下文存储至所述安全锚点网元中的步骤。
本实施例中,需首先完成终端在安全锚点网元的注册,AMF1再执行将安全上下文存储在安全锚点网元。终端向安全锚点网元进行注册,在安全锚点网元中终端用户身份标识为SUPI,AMF-1,切片标识NSSAI-1。对于终端同时接入多个切片的情况,如果终端以SUPI,AMF-1,NSSAI-2身份申请接入安全锚点网元,那么将会被拒绝,如果终端以SUPI,AMF-N,NSSAI-1身份申请接入安全锚点网元则不会被拒绝,其判断规则根据终端在安全锚点网元进行注册的切片标识是否一致所确定,如果与注册时切片标识一致,则可申请接入安全锚点网元。
在一些实施例中,由于安全锚点网元的安全等级高,因此在终端收到安全锚点网元的地址与其建立连接前,安全锚点网元与终端、gNB以及AMF之间需完成端到端鉴权认证机制,其中鉴权机制有多种,例如,终端中储存有密钥K1,由密钥K1与AMF储存的密钥推导出K3,由K3与gNB储存的密钥K4推导出K5,网元Q储存有K6,只有F(K1,K3,K5,K6)的结果符合某项预期,可验证“终端-gNB-Q-AMF”通过鉴权认证,本公开并不对此进行限定。
终端在完成安全锚点网元上的注册后,向AMF1,gNB,ME等反馈确认消息,可以由AMF 1、ME、gNB将初始化安全上下文(包括K AMF1,K nasint和K nasenc,K gNB,K n3iwf等)等发送一份备份给安全锚点网元。在一些实施例中,安全上下文可能会出现更新,刷新频率应以K AMF,K nasint和K nasenc,K gNB,K n3iwf更新频率最快的为准,即只要安全上下文中有更新的内容,AMF1或者相应的网元都会向安全锚点网元发送更新的内容;此外安全上下文在AMF、gNB等网元进行传输时也需要进行加密并在安全锚点网元完成解密,本公开实施例并不对此加密解密过程进行具体限定。
基于相同的技术构思,本公开实施例相应还提供一种第一网元,如图4所示,所述第一网元包括:
存储模块41,其设置为将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中所述安全锚点网元设置于无线网与核心网之间的接口处。
在一种实施方式中,所述第一网元和所述第二网元为接入和移动管理网元。
在一种实施方式中,所述第一网元还包括:
第一获取模块,其设置为在所述存储模块将安全上下文存储在安全锚点网元之前获取其隔离度;
判断模块,其设置为判断所述隔离度是否达到预设条件;
所述存储模块还设置为,在所述判断模块判断为所述隔离度达到预设条件时,将安全上下文存储在安全锚点网元中。
在一种实施方式中,所述第一网元还包括:
第二获取模块,其设置为在所述第一获取模块获取其隔离度之前获取终端上报的网络切片信息;
请求模块,其设置为根据所述网络切片信息向切片管理网元申请进行切片选择,以使所述切片管理网元为所述终端选择网络切片并向所述第一网元反馈应答消息,其中所述应答消息中携带所述网络切片的隔离度列表,所述隔离度列表中包括所述第一网元的隔离度;
所述第一获取模块具体设置为,所述第一网元从所述应答消息中获取其隔离度。
在一种实施方式中,所述第一网元还包括:
第三获取模块,其设置为若所述隔离度达到预设条件,在所述存储模块将将安全上下文存储在安全锚点网元中之前,获取所述安全锚点网元的地址及路由路径;以及,
第一发送模块,其设置为将所述安全锚点网元的地址及路由路径发送给所述终端,以使所述终端与所述安全锚点网元建立连接并向所述安全锚点网元进行注册,并使终端在锚定网元上完成注册后,所述第一网元将安全上下文存储至所述安全锚点网元中。
在一种实施方式中,所述第一网元还包括:
生成模块,其设置为在所述第三获取模块取所述安全锚点网元的地址及路由路径之前根据所述隔离度生成隔离度标识位;
第二发送模块,其设置为向所述终端发送所述隔离度标识位,以使所述终端向网络仓库功能网元上报所述隔离度标识位,并使所述网络仓库功能网元根据所述隔离度标识位决定是否向所述第一网元反馈所述安全锚点网元的地址及路由路径;
所述第三获取模块具体设置为,从所述网络仓库功能网元中获取所述安全锚点网元的地址及路由路径。
在一种实施方式中,所述第一网元还包括:
鉴权模块,其设置为在所述第三获取模块获取安全锚点网元的地址及路由路径之后,以及所述第二发送模块将所述安全锚点网元的地址及路由路径发送给所述终端之前,与所述终端进行双向鉴权;
第四获取模块,其设置为在所述第一网元与所述终端双向鉴权均通过后,获取所述终端的用户身份标识明文;
所述第二发送模块具体设置为,所述第一网元基于所述终端的用户身份标识明文将所述安全锚点网元的地址及路由路径发送给所述终端。
基于相同的技术构思,本公开实施例相应还提供一种终端设备,如图5所示,所述终端设备包括存储器51和处理器52,所述存储器51中存储有计算机程序,当所述处理器52运行所述存储器51存储的计算机程序时,所述处理器52执行所述的安全上下文的处理方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行所述的安全上下文的处理方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (9)
1.一种安全上下文的处理方法,其特征在于,包括:
第一网元将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中所述安全锚点网元设置于无线网与核心网之间的接口处;
在第一网元将安全上下文存储在安全锚点网元中之前,还包括:
所述第一网元获取其隔离度;
所述第一网元判断所述隔离度是否达到预设条件;
若所述隔离度达到预设条件,则所述第一网元执行将安全上下文存储在安全锚点网元中的步骤。
2.根据权利要求1所述的方法,其特征在于,所述第一网元和所述第二网元为接入和移动管理网元。
3.根据权利要求1所述的方法,其特征在于,在所述第一网元获取其隔离度之前,还包括:
所述第一网元获取终端上报的网络切片信息;
所述第一网元根据所述网络切片信息向切片管理网元申请进行切片选择,以使所述切片管理网元为所述终端选择网络切片并向所述第一网元反馈应答消息,其中所述应答消息中携带所述网络切片的隔离度列表,所述隔离度列表中包括所述第一网元的隔离度;
所述第一网元获取其隔离度,包括:
所述第一网元从所述应答消息中获取其隔离度。
4.根据权利要求1所述的方法,其特征在于,若所述隔离度达到预设条件,在所述第一网元将安全上下文存储在安全锚点网元中之前,还包括:
所述第一网元获取所述安全锚点网元的地址及路由路径;以及,
所述第一网元将所述安全锚点网元的地址及路由路径发送给终端,以使所述终端与所述安全锚点网元建立连接并向所述安全锚点网元进行注册,并使终端在所述安全锚点网元上完成注册后,所述第一网元执行将安全上下文存储至所述安全锚点网元中的步骤。
5.根据权利要求4所述的方法,其特征在于,在所述第一网元获取所述安全锚点网元的地址及路由路径之前,还包括:
所述第一网元根据所述隔离度生成隔离度标识位;
所述第一网元向所述终端发送所述隔离度标识位,以使所述终端向网络仓库功能网元上报所述隔离度标识位,并使所述网络仓库功能网元根据所述隔离度标识位决定是否向所述第一网元反馈所述安全锚点网元的地址及路由路径;
所述第一网元获取所述安全锚点网元的地址及路由路径,包括:
所述第一网元从所述网络仓库功能网元中获取所述安全锚点网元的地址及路由路径。
6.根据权利要求4所述的方法,其特征在于,在所述第一网元获取所述安全锚点网元的地址及路由路径之后,以及所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端之前,还包括:
所述第一网元与所述终端进行双向鉴权;
在所述第一网元与所述终端双向鉴权均通过后,所述第一网元获取所述终端的用户身份标识明文;
所述第一网元将所述安全锚点网元的地址及路由路径发送给所述终端,包括:
所述第一网元基于所述终端的用户身份标识明文将所述安全锚点网元的地址及路由路径发送给所述终端。
7.一种第一网元,其特征在于,包括:
存储模块,其设置为将安全上下文存储在安全锚点网元中,以使得当所述第一网元切换至第二网元时,所述第二网元从所述安全锚点网元中获取所述安全上下文;
其中所述安全锚点网元设置于无线网与核心网之间的接口处;
所述第一网元还包括:
第一获取模块,其设置为在所述存储模块将安全上下文存储在安全锚点网元之前获取其隔离度;
判断模块,其设置为判断所述隔离度是否达到预设条件;
所述存储模块还设置为,在所述判断模块判断为所述隔离度达到预设条件时,将安全上下文存储在安全锚点网元中。
8.一种终端设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至6中任一项所述的安全上下文的处理方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至6中任一项所述的安全上下文的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011225875.3A CN112333784B (zh) | 2020-11-05 | 2020-11-05 | 安全上下文的处理方法、第一网元、终端设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011225875.3A CN112333784B (zh) | 2020-11-05 | 2020-11-05 | 安全上下文的处理方法、第一网元、终端设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112333784A CN112333784A (zh) | 2021-02-05 |
CN112333784B true CN112333784B (zh) | 2023-03-24 |
Family
ID=74317238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011225875.3A Active CN112333784B (zh) | 2020-11-05 | 2020-11-05 | 安全上下文的处理方法、第一网元、终端设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112333784B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107846676A (zh) * | 2016-09-20 | 2018-03-27 | 北京信威通信技术股份有限公司 | 基于网络切片安全架构的安全通信方法和系统 |
CN109644339A (zh) * | 2017-01-30 | 2019-04-16 | 瑞典爱立信有限公司 | 连接模式期间5g中的安全性上下文处理 |
WO2020052531A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 获取安全上下文的方法和装置 |
CN111417117A (zh) * | 2019-04-29 | 2020-07-14 | 华为技术有限公司 | 切换的处理方法和装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3453205B1 (en) * | 2016-05-05 | 2022-04-06 | Telefonaktiebolaget LM Ericsson (publ) | Security context escrowing |
US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
-
2020
- 2020-11-05 CN CN202011225875.3A patent/CN112333784B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107846676A (zh) * | 2016-09-20 | 2018-03-27 | 北京信威通信技术股份有限公司 | 基于网络切片安全架构的安全通信方法和系统 |
CN109644339A (zh) * | 2017-01-30 | 2019-04-16 | 瑞典爱立信有限公司 | 连接模式期间5g中的安全性上下文处理 |
WO2020052531A1 (zh) * | 2018-09-15 | 2020-03-19 | 华为技术有限公司 | 获取安全上下文的方法和装置 |
CN111417117A (zh) * | 2019-04-29 | 2020-07-14 | 华为技术有限公司 | 切换的处理方法和装置 |
Non-Patent Citations (1)
Title |
---|
"Clarification on native security context activation in handover from EPS to 5GS";Qualcomm Incorporated;《3GPP TSG-SA WG3 Meeting #98e S3-200358》;20200221;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112333784A (zh) | 2021-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6988004B2 (ja) | 集中型ユニットと分散型ユニットのアーキテクチャにおける通信方法および通信デバイス | |
US11917498B2 (en) | Communication method and communications apparatus | |
US11297542B2 (en) | Base station handover method, system, and computer storage medium | |
CN115002924A (zh) | 一种上行小数据的传输方法、网络侧du和网络侧cu | |
EP3487196A1 (en) | Privacy managing entity selection in communication system | |
CN112235798B (zh) | 空闲状态下重定向到amf的方法、终端及新增网元 | |
US20110135095A1 (en) | Method and system for generating key identity identifier when user equipment transfers | |
CN111615844B (zh) | 用于选择服务无线通信设备的会话管理实体的方法和装置 | |
US11140737B2 (en) | Session processing method in wireless communications and terminal device | |
CN114270900B (zh) | 通过接入和移动性管理功能重新分配进行注册的方法及计算机可读介质 | |
CN110351194B (zh) | 一种组播组创建、组播组加入方法及装置 | |
CN114175770B (zh) | 利用接入和移动性管理功能重新分配进行注册的方法 | |
CN113994633B (zh) | 通信系统中的网络功能集合的授权 | |
CN112997518A (zh) | 通信系统中的分解基站中的安全性管理 | |
WO2018010583A1 (zh) | 网络系统 | |
CN112956253B (zh) | 用于将用户设备附着到网络切片的方法和装置 | |
CN113194519B (zh) | 一种网络切片的接入方法、nssf、amf及系统 | |
US20220264290A1 (en) | Secure mobile-terminated message transfer | |
WO2019196963A1 (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
CN112333784B (zh) | 安全上下文的处理方法、第一网元、终端设备及介质 | |
KR20220152950A (ko) | 네트워크 슬라이스 승인 제어(nsac) 발견 및 로밍 향상들 | |
CN106888447B (zh) | 副usim应用信息的处理方法及系统 | |
CN116074821A (zh) | 一种通信方法及装置 | |
CN111464324A (zh) | 一种安全通信方法、装置和系统 | |
EP4322480A1 (en) | Secure identification of applications in communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |