CN112533198A - 一种密钥生成方法及装置和mme - Google Patents

一种密钥生成方法及装置和mme Download PDF

Info

Publication number
CN112533198A
CN112533198A CN201910835444.XA CN201910835444A CN112533198A CN 112533198 A CN112533198 A CN 112533198A CN 201910835444 A CN201910835444 A CN 201910835444A CN 112533198 A CN112533198 A CN 112533198A
Authority
CN
China
Prior art keywords
mme
initial
key
uplink
kenb
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201910835444.XA
Other languages
English (en)
Inventor
陶望胜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201910835444.XA priority Critical patent/CN112533198A/zh
Priority to PCT/CN2020/112842 priority patent/WO2021043130A1/zh
Publication of CN112533198A publication Critical patent/CN112533198A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/14Reselecting a network or an air interface
    • H04W36/144Reselecting a network or an air interface over a different radio air interface technology
    • H04W36/1443Reselecting a network or an air interface over a different radio air interface technology between licensed networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种密钥生成方法及装置和MME,本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。

Description

一种密钥生成方法及装置和MME
技术领域
本申请涉及但不限于移动通信技术,尤指一种密钥生成方法及装置和MME。
背景技术
空闲模式下,用户设备(UE,User Equipment)从第五代移动通信(5G,The 5thGeneration Mobile Communications)移动到第四代移动通信(4G,The 4th GenerationMobile Communications)时,5G核心网的接入和移动性管理功能(AMF,Access andMobility Management Function)需要将5G安全上下文映射为4G安全上下文,比如:通过5G安全上下文中的密钥Kamf和上行非接入层(NAS,Non Access Stratum)序列号,生成4G安全上下文中的基础密钥Kasme。随后,AMF会将生成的映射4G安全上下文传递给4G核心网的移动管理实体(MME,Mobility Management Entity),以便4G网络在随后与UE进行消息交互时,对消息进行加密和完保。
空闲模式下,当UE从5G移动4G时,如果UE存在上行数据或者上行信令需要传递,那么,UE会在发送的请求消息如跟踪区更新请求(TAU Request)中携带激活标记,这样,MME在向UE下发TAU接受(TAU Accept)消息时,会同时向演进的UMTS陆地无线接入网(E-UTRAN)下发初始上下文建立请求(Initial Context Setup Request),并在Initial Context SetupRequest中携带初始密钥KeNB,以便E-UTRAN激活接入层(AS,Access Stratum)安全上下文。
根据3GPP 33.501规范中初始密钥KeNB的生成定义,MME会根据5G AMF传递过来的映射4G安全上下文中的基础密钥Kasme以及上行NAS计数(Count)来生成初始密钥KeNB。根据规范,上行NAS Count取值规则为:
如果在下发TAU Accept之前,MME未触发安全模式命令(Security Mode Command)过程,则上行NAS Count为TAU Request消息关联的NAS Count;否则,上行NAS Count为UE回复的安全模式完成(Security Mode Complete)消息所关联的NAS Count。
但是,对于空闲模式下5G切换到4G的场景,UE使用UE自身在5G侧生成的5G安全上下文对自身发送的TAU Request消息进行安全保护,也就是说,TAU Request所关联的NASCount并不是4G安全上下文的上行NAS Count。因此,当MME在下发TAU Accept给UE之前,如果没有执行Security Mode Command过程,那么,UE和MME将会由于无法取得上行NASCount,而导致无法生成密钥KeNB,或者UE和MME二者生成不一致的密钥KeNB,从而导致AS层安全激活失败,进而导致UE从5G切换至4G失败。
发明内容
本申请提供一种密钥生成方法及装置和MME,能够保证UE和MME二者生成一致的密钥,为UE成功从5G切换到4G提供保障。
本申请提供了一种密钥生成方法,包括:
移动管理实体MME利用取值固定的上行非接入层计数NAS Count生成初始密钥KeNB。
在一种示例性实例中,所述MME利用取值固定的上行NAS Count生成初始密钥KeNB,包括:
所述MME根据基础密钥Kasme和所述取值固定的上行NAS Count,生成所述初始密钥KeNB;其中,基础密钥Kasme来自第五代移动通信5G核心网的接入和移动性管理功能AMF的映射第四代移动通信4G安全上下文。
在一种示例性实例中,所述生成初始密钥KeNB之前,还包括:
所述MME需要下发携带有所述初始密钥KeNB的初始上下文建立请求。
在一种示例性实例中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新到4G,并判断出UE存在需要上传的上行数据或者上行信令。
在一种示例性实例中,所述判断出UE存在需要上传的上行数据或者上行信令,包括:
所述MME接收到来自所述UE的携带有激活标记的跟踪区更新TAU请求消息。
在一种示例性实例中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新TAU到4G,并确定出需要激活用户面。
在一种示例性实例中,所述确定出需要激活用户面,包括:
所述MME根据所述MME本地配置或其他原因,确定出需要激活用户面。
在一种示例性实例中,所述取值固定的上行NAS Count为:232-1,或者0。
本申请还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一项所述的密钥生成方法。
本申请又提供了一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行上述任一项所述的密钥生成方法的步骤。
本申请再提供了一种移动管理实体MME,至少包括上述实现密钥生成的装置。
本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本申请密钥生成方法的第一实施例的流程示意图;
图2为本申请密钥生成方法的第二实施例的流程示意图。
具体实施方式
在本申请一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本申请发明人发现,对于UE从5G TAU到4G的情况,当4G MME判断需要生成初始密钥KeNB并携带在Initial Context Setup Request中发送给E-UTRAN时,相关技术中没有明确生成初始密钥KeNB所使用的上行NAS Count的具体取值,因此,很可能会导致由于UE和MME双方采用不同取值的上行NAS Count,从而计算出不一致的初始密钥KeNB,从而引起UE无法成功从5G TAU到4G。
对于UE从5G TAU到4G的场景,为了保证UE和MME生成一致的初始密钥KeNB,本申请提供一种密钥生成方法,包括:
MME利用取值固定的上行NAS Count生成初始密钥KeNB。
在一种示例性实例中,MME利用取值固定的上行NAS Count生成初始密钥KeNB,可以包括:
MME根据基础密钥Kasme和取值固定的上行NAS Count,生成初始密钥KeNB;其中,基础密钥Kasme来自5G核心网的AMF的映射4G安全上下文(Mapped 4G Security Context)。
在一种示例性实例中,取值固定的上行NAS Count可以为如:232-1,或者0等。
本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。
在一种示例性实例中,本申请方法还包括:
MME将生成的初始密钥KeNB携带在Initial Context Setup Request中发送给E-UTRAN。
在一种示例性实例中,本申请中生成初始密钥KeNB之前,还包括:
MME需要下发携带有初始密钥KeNB的Initial Context Setup Request。
在一种示例性实例中,需要下发携带有初始密钥KeNB的Initial Context SetupRequest,可以包括:
MME获知UE从5G TAU到4G,并判断出UE存在需要上传的上行数据或者上行信令或者确定出需要激活用户面。
在一种示例性实例中,MME判断出UE存在需要上传的上行数据或者上行信令,可以包括:
MME接收到来自UE的携带有激活标记的TAU Request消息。
在一种示例性实例中,MME确定出需要激活用户面,可以包括:
MME接收到来自UE的未携带激活标记的TAU Request消息,但由于MME本地配置或其他原因,MME确定出需要激活用户面。这里,需要激活用户面的其他原因可能是MME已经收到SGW的下行数据通知、专载激活等;MME的本地配置可以是一个开关,比如是否支持在TAU过程中激活用户面等。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一项所述的密钥生成方法。
本发明实施例还提供一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行上述任一项所述的密钥生成方法的步骤。
本发明实施例还提供一种MME,包括上述任一项实现密钥生成的装置。
下面结合具体实施例对本申请密钥生成方法的应用进行详细描述。
第一实施例,如图1所示,本申请密钥生成方法可以包括:
步骤100:UE已注册到5G系统。
步骤101:UE检测到需要启动4G系统,第一实施例中,假设UE此时存在需要上传的上行数据,那么,UE向MME发送TAU Request消息,在TAU Request消息中携带有激活标记(Active Flag)。
步骤102:MME根据来自5G核心网的AMF的映射4G安全上下文中的基础密钥Kasme,以及取值固定的NAS Count如232-1或0,计算生成初始密钥KeNB。
步骤103:MME将计算得到的初始密钥KeNB携带在Initial Context SetupRequest中发送给E-UTRAN。
第二实施例,如图2所示,本申请密钥生成方法可以包括:
步骤200:UE已注册到5G系统。
步骤201:UE检测到需要启动4G系统,第二实施例中,假设UE向MME发送TAURequest消息,并且在TAU Request消息中未携带激活标记。
步骤202:第二实施例中,假设由于MME本地配置或其他原因,确定出需要激活用户面,那么,会根据来自5G核心网的AMF的映射4G安全上下文中的基础密钥Kasme,以及取值固定的NAS Count如232-1或0,计算生成初始密钥KeNB。
这里,需要激活用户面的其他原因可能是MME已经收到SGW的下行数据通知、专载激活等;MME的本地配置可以是一个开关,比如是否支持在TAU过程中激活用户面等。
步骤203:MME将计算得到的初始密钥KeNB携带在Initial Context SetupRequest中发送给E-UTRAN。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种密钥生成方法,包括:
移动管理实体MME利用取值固定的上行非接入层计数NAS Count生成初始密钥KeNB。
2.根据权利要求1所述的密钥生成方法,其中,所述MME利用取值固定的上行NAS Count生成初始密钥KeNB,包括:
所述MME根据基础密钥Kasme和所述取值固定的上行NAS Count,生成所述初始密钥KeNB;其中,基础密钥Kasme来自第五代移动通信5G核心网的接入和移动性管理功能AMF的映射第四代移动通信4G安全上下文。
3.根据权利要求1所述的密钥生成方法,所述生成初始密钥KeNB之前,还包括:
所述MME需要下发携带有所述初始密钥KeNB的初始上下文建立请求。
4.根据权利要求3所述的密钥生成方法,其中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新到4G,并判断出UE存在需要上传的上行数据或者上行信令。
5.根据权利要求4所述的密钥生成方法,其中,所述判断出UE存在需要上传的上行数据或者上行信令,包括:
所述MME接收到来自所述UE的携带有激活标记的跟踪区更新TAU请求消息。
6.根据权利要求3所述的密钥生成方法,其中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新TAU到4G,并确定出需要激活用户面。
7.根据权利要求6所述的密钥生成方法,其中,所述确定出需要激活用户面,包括:
所述MME根据所述MME本地配置或其他原因,确定出需要激活用户面。
8.根据权利要求1~7任一项所述的方法,其中,所述取值固定的上行NAS Count为:232-1,或者0。
9.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1~权利要求8任一项所述的密钥生成方法。
10.一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行权利要求1~权利要求8任一项所述的密钥生成方法的步骤。
11.一种移动管理实体MME,包括权利要求10所述实现密钥生成的装置。
CN201910835444.XA 2019-09-02 2019-09-02 一种密钥生成方法及装置和mme Withdrawn CN112533198A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910835444.XA CN112533198A (zh) 2019-09-02 2019-09-02 一种密钥生成方法及装置和mme
PCT/CN2020/112842 WO2021043130A1 (zh) 2019-09-02 2020-09-01 一种密钥生成方法、装置、计算机可读存储介质和mme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910835444.XA CN112533198A (zh) 2019-09-02 2019-09-02 一种密钥生成方法及装置和mme

Publications (1)

Publication Number Publication Date
CN112533198A true CN112533198A (zh) 2021-03-19

Family

ID=74852433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910835444.XA Withdrawn CN112533198A (zh) 2019-09-02 2019-09-02 一种密钥生成方法及装置和mme

Country Status (2)

Country Link
CN (1) CN112533198A (zh)
WO (1) WO2021043130A1 (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478743A (zh) * 2008-01-03 2009-07-08 大唐移动通信设备有限公司 一种eps承载管理的方法和装置
CN106658492A (zh) * 2015-07-23 2017-05-10 中兴通讯股份有限公司 密钥更新方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101355507B (zh) * 2008-09-12 2012-09-05 中兴通讯股份有限公司 更新跟踪区时的密钥生成方法及系统
CN102316451B (zh) * 2010-07-02 2013-12-04 电信科学技术研究院 一种下一跳链计数器的处理方法及设备
CN103476028B (zh) * 2013-08-30 2017-04-05 大唐移动通信设备有限公司 Nas count翻转时nas消息的处理方法及装置
CN106375989B (zh) * 2015-07-20 2019-03-12 中兴通讯股份有限公司 实现接入层安全的方法及用户设备和无线接入小节点

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101478743A (zh) * 2008-01-03 2009-07-08 大唐移动通信设备有限公司 一种eps承载管理的方法和装置
CN106658492A (zh) * 2015-07-23 2017-05-10 中兴通讯股份有限公司 密钥更新方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ERICSSON: "EUTRA connected to 5GC: clause 8 and Annex A", 3GPP TSG-SA WG3 MEETING #94 S3-190280 *
HUAWEI等: "Discussion on LTE Call Redirection", 3GPP TSG-RAN WG2#100 R2-1713214 *
INTEL DEUTSCHLAND GMBH等: "Correction of handling of 5G security contexts during EPS to 5GS idle mode mobility", 3GPP TSG-SA3 MEETING #96 S3-192997 *

Also Published As

Publication number Publication date
WO2021043130A1 (zh) 2021-03-11

Similar Documents

Publication Publication Date Title
WO2018228192A1 (zh) 插入smf的方法及amf实体
CN111434151A (zh) 网络片选择辅助信息配置
CN110536282B (zh) 一种事件通知方法及装置
US9681339B2 (en) Security processing method and system in network handover process
US11432349B2 (en) Group creation method, apparatus, and system
US20200214072A1 (en) Method and device for processing non-matching between ue and network state
CN111418260B (zh) 执行恢复请求过程的方法和装置
US20100172500A1 (en) Method of handling inter-system handover security in wireless communications system and related communication device
CN112369056B (zh) 可操作以恢复用户设备能力标识的装置和方法
US11228903B2 (en) 5G service compatible 4G SIM
WO2017177940A1 (zh) 核心网的选择方法、装置及系统
WO2023098575A1 (zh) 终端ue注册方法及装置、电子设备及存储介质
US11943830B2 (en) Link re-establishment method, apparatus, and system
CN112533198A (zh) 一种密钥生成方法及装置和mme
CN104683981A (zh) 一种验证安全能力的方法、设备及系统
US11991516B2 (en) Session migration method and apparatus
CN110891270A (zh) 一种鉴权算法的选择方法和装置
CN111770488B (zh) Ehplmn更新方法、相关设备及存储介质
CN114501679A (zh) 数据传输方法、装置及系统
US11228938B2 (en) Data transmission method, apparatus, network-side device, terminal, and computer-readable storage medium
CN110035432B (zh) 一种完整性保护密钥管理方法和设备
CN102204297A (zh) 用户上下文更新方法和装置
US20230188519A1 (en) Method and system for invoking application programming interface, and apparatus
CN117320145A (zh) 移动注册方法、装置、通信设备和存储介质
US10880776B2 (en) Terminal management device, mobile communication control system, and mobile communication control method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20210319

WW01 Invention patent application withdrawn after publication