CN112533198A - 一种密钥生成方法及装置和mme - Google Patents
一种密钥生成方法及装置和mme Download PDFInfo
- Publication number
- CN112533198A CN112533198A CN201910835444.XA CN201910835444A CN112533198A CN 112533198 A CN112533198 A CN 112533198A CN 201910835444 A CN201910835444 A CN 201910835444A CN 112533198 A CN112533198 A CN 112533198A
- Authority
- CN
- China
- Prior art keywords
- mme
- initial
- key
- uplink
- kenb
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000004913 activation Effects 0.000 claims description 12
- 238000010295 mobile communication Methods 0.000 claims description 7
- 230000011664 signaling Effects 0.000 claims description 7
- 238000013507 mapping Methods 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种密钥生成方法及装置和MME,本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。
Description
技术领域
本申请涉及但不限于移动通信技术,尤指一种密钥生成方法及装置和MME。
背景技术
空闲模式下,用户设备(UE,User Equipment)从第五代移动通信(5G,The 5thGeneration Mobile Communications)移动到第四代移动通信(4G,The 4th GenerationMobile Communications)时,5G核心网的接入和移动性管理功能(AMF,Access andMobility Management Function)需要将5G安全上下文映射为4G安全上下文,比如:通过5G安全上下文中的密钥Kamf和上行非接入层(NAS,Non Access Stratum)序列号,生成4G安全上下文中的基础密钥Kasme。随后,AMF会将生成的映射4G安全上下文传递给4G核心网的移动管理实体(MME,Mobility Management Entity),以便4G网络在随后与UE进行消息交互时,对消息进行加密和完保。
空闲模式下,当UE从5G移动4G时,如果UE存在上行数据或者上行信令需要传递,那么,UE会在发送的请求消息如跟踪区更新请求(TAU Request)中携带激活标记,这样,MME在向UE下发TAU接受(TAU Accept)消息时,会同时向演进的UMTS陆地无线接入网(E-UTRAN)下发初始上下文建立请求(Initial Context Setup Request),并在Initial Context SetupRequest中携带初始密钥KeNB,以便E-UTRAN激活接入层(AS,Access Stratum)安全上下文。
根据3GPP 33.501规范中初始密钥KeNB的生成定义,MME会根据5G AMF传递过来的映射4G安全上下文中的基础密钥Kasme以及上行NAS计数(Count)来生成初始密钥KeNB。根据规范,上行NAS Count取值规则为:
如果在下发TAU Accept之前,MME未触发安全模式命令(Security Mode Command)过程,则上行NAS Count为TAU Request消息关联的NAS Count;否则,上行NAS Count为UE回复的安全模式完成(Security Mode Complete)消息所关联的NAS Count。
但是,对于空闲模式下5G切换到4G的场景,UE使用UE自身在5G侧生成的5G安全上下文对自身发送的TAU Request消息进行安全保护,也就是说,TAU Request所关联的NASCount并不是4G安全上下文的上行NAS Count。因此,当MME在下发TAU Accept给UE之前,如果没有执行Security Mode Command过程,那么,UE和MME将会由于无法取得上行NASCount,而导致无法生成密钥KeNB,或者UE和MME二者生成不一致的密钥KeNB,从而导致AS层安全激活失败,进而导致UE从5G切换至4G失败。
发明内容
本申请提供一种密钥生成方法及装置和MME,能够保证UE和MME二者生成一致的密钥,为UE成功从5G切换到4G提供保障。
本申请提供了一种密钥生成方法,包括:
移动管理实体MME利用取值固定的上行非接入层计数NAS Count生成初始密钥KeNB。
在一种示例性实例中,所述MME利用取值固定的上行NAS Count生成初始密钥KeNB,包括:
所述MME根据基础密钥Kasme和所述取值固定的上行NAS Count,生成所述初始密钥KeNB;其中,基础密钥Kasme来自第五代移动通信5G核心网的接入和移动性管理功能AMF的映射第四代移动通信4G安全上下文。
在一种示例性实例中,所述生成初始密钥KeNB之前,还包括:
所述MME需要下发携带有所述初始密钥KeNB的初始上下文建立请求。
在一种示例性实例中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新到4G,并判断出UE存在需要上传的上行数据或者上行信令。
在一种示例性实例中,所述判断出UE存在需要上传的上行数据或者上行信令,包括:
所述MME接收到来自所述UE的携带有激活标记的跟踪区更新TAU请求消息。
在一种示例性实例中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新TAU到4G,并确定出需要激活用户面。
在一种示例性实例中,所述确定出需要激活用户面,包括:
所述MME根据所述MME本地配置或其他原因,确定出需要激活用户面。
在一种示例性实例中,所述取值固定的上行NAS Count为:232-1,或者0。
本申请还提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一项所述的密钥生成方法。
本申请又提供了一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行上述任一项所述的密钥生成方法的步骤。
本申请再提供了一种移动管理实体MME,至少包括上述实现密钥生成的装置。
本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本申请密钥生成方法的第一实施例的流程示意图;
图2为本申请密钥生成方法的第二实施例的流程示意图。
具体实施方式
在本申请一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本申请发明人发现,对于UE从5G TAU到4G的情况,当4G MME判断需要生成初始密钥KeNB并携带在Initial Context Setup Request中发送给E-UTRAN时,相关技术中没有明确生成初始密钥KeNB所使用的上行NAS Count的具体取值,因此,很可能会导致由于UE和MME双方采用不同取值的上行NAS Count,从而计算出不一致的初始密钥KeNB,从而引起UE无法成功从5G TAU到4G。
对于UE从5G TAU到4G的场景,为了保证UE和MME生成一致的初始密钥KeNB,本申请提供一种密钥生成方法,包括:
MME利用取值固定的上行NAS Count生成初始密钥KeNB。
在一种示例性实例中,MME利用取值固定的上行NAS Count生成初始密钥KeNB,可以包括:
MME根据基础密钥Kasme和取值固定的上行NAS Count,生成初始密钥KeNB;其中,基础密钥Kasme来自5G核心网的AMF的映射4G安全上下文(Mapped 4G Security Context)。
在一种示例性实例中,取值固定的上行NAS Count可以为如:232-1,或者0等。
本申请通过将用于生成初始密钥KeNB的NAS Count设置为一个固定取值,在无可用的上行NAS Count时,仍然能够生成初始密钥KeNB,而且保证了UE和MME二者生成一致的密钥KeNB,为UE成功从5G切换到4G提供了保障。
在一种示例性实例中,本申请方法还包括:
MME将生成的初始密钥KeNB携带在Initial Context Setup Request中发送给E-UTRAN。
在一种示例性实例中,本申请中生成初始密钥KeNB之前,还包括:
MME需要下发携带有初始密钥KeNB的Initial Context Setup Request。
在一种示例性实例中,需要下发携带有初始密钥KeNB的Initial Context SetupRequest,可以包括:
MME获知UE从5G TAU到4G,并判断出UE存在需要上传的上行数据或者上行信令或者确定出需要激活用户面。
在一种示例性实例中,MME判断出UE存在需要上传的上行数据或者上行信令,可以包括:
MME接收到来自UE的携带有激活标记的TAU Request消息。
在一种示例性实例中,MME确定出需要激活用户面,可以包括:
MME接收到来自UE的未携带激活标记的TAU Request消息,但由于MME本地配置或其他原因,MME确定出需要激活用户面。这里,需要激活用户面的其他原因可能是MME已经收到SGW的下行数据通知、专载激活等;MME的本地配置可以是一个开关,比如是否支持在TAU过程中激活用户面等。
本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一项所述的密钥生成方法。
本发明实施例还提供一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行上述任一项所述的密钥生成方法的步骤。
本发明实施例还提供一种MME,包括上述任一项实现密钥生成的装置。
下面结合具体实施例对本申请密钥生成方法的应用进行详细描述。
第一实施例,如图1所示,本申请密钥生成方法可以包括:
步骤100:UE已注册到5G系统。
步骤101:UE检测到需要启动4G系统,第一实施例中,假设UE此时存在需要上传的上行数据,那么,UE向MME发送TAU Request消息,在TAU Request消息中携带有激活标记(Active Flag)。
步骤102:MME根据来自5G核心网的AMF的映射4G安全上下文中的基础密钥Kasme,以及取值固定的NAS Count如232-1或0,计算生成初始密钥KeNB。
步骤103:MME将计算得到的初始密钥KeNB携带在Initial Context SetupRequest中发送给E-UTRAN。
第二实施例,如图2所示,本申请密钥生成方法可以包括:
步骤200:UE已注册到5G系统。
步骤201:UE检测到需要启动4G系统,第二实施例中,假设UE向MME发送TAURequest消息,并且在TAU Request消息中未携带激活标记。
步骤202:第二实施例中,假设由于MME本地配置或其他原因,确定出需要激活用户面,那么,会根据来自5G核心网的AMF的映射4G安全上下文中的基础密钥Kasme,以及取值固定的NAS Count如232-1或0,计算生成初始密钥KeNB。
这里,需要激活用户面的其他原因可能是MME已经收到SGW的下行数据通知、专载激活等;MME的本地配置可以是一个开关,比如是否支持在TAU过程中激活用户面等。
步骤203:MME将计算得到的初始密钥KeNB携带在Initial Context SetupRequest中发送给E-UTRAN。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种密钥生成方法,包括:
移动管理实体MME利用取值固定的上行非接入层计数NAS Count生成初始密钥KeNB。
2.根据权利要求1所述的密钥生成方法,其中,所述MME利用取值固定的上行NAS Count生成初始密钥KeNB,包括:
所述MME根据基础密钥Kasme和所述取值固定的上行NAS Count,生成所述初始密钥KeNB;其中,基础密钥Kasme来自第五代移动通信5G核心网的接入和移动性管理功能AMF的映射第四代移动通信4G安全上下文。
3.根据权利要求1所述的密钥生成方法,所述生成初始密钥KeNB之前,还包括:
所述MME需要下发携带有所述初始密钥KeNB的初始上下文建立请求。
4.根据权利要求3所述的密钥生成方法,其中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新到4G,并判断出UE存在需要上传的上行数据或者上行信令。
5.根据权利要求4所述的密钥生成方法,其中,所述判断出UE存在需要上传的上行数据或者上行信令,包括:
所述MME接收到来自所述UE的携带有激活标记的跟踪区更新TAU请求消息。
6.根据权利要求3所述的密钥生成方法,其中,所述需要下发携带有初始密钥KeNB的初始上下文建立请求,包括:
所述MME获知用户设备UE从5G跟踪区更新TAU到4G,并确定出需要激活用户面。
7.根据权利要求6所述的密钥生成方法,其中,所述确定出需要激活用户面,包括:
所述MME根据所述MME本地配置或其他原因,确定出需要激活用户面。
8.根据权利要求1~7任一项所述的方法,其中,所述取值固定的上行NAS Count为:232-1,或者0。
9.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1~权利要求8任一项所述的密钥生成方法。
10.一种实现密钥生成的装置,包括处理器、存储器;其中,存储器上存储有可在处理器上运行的计算机程序:用于执行权利要求1~权利要求8任一项所述的密钥生成方法的步骤。
11.一种移动管理实体MME,包括权利要求10所述实现密钥生成的装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910835444.XA CN112533198A (zh) | 2019-09-02 | 2019-09-02 | 一种密钥生成方法及装置和mme |
PCT/CN2020/112842 WO2021043130A1 (zh) | 2019-09-02 | 2020-09-01 | 一种密钥生成方法、装置、计算机可读存储介质和mme |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910835444.XA CN112533198A (zh) | 2019-09-02 | 2019-09-02 | 一种密钥生成方法及装置和mme |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112533198A true CN112533198A (zh) | 2021-03-19 |
Family
ID=74852433
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910835444.XA Withdrawn CN112533198A (zh) | 2019-09-02 | 2019-09-02 | 一种密钥生成方法及装置和mme |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112533198A (zh) |
WO (1) | WO2021043130A1 (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478743A (zh) * | 2008-01-03 | 2009-07-08 | 大唐移动通信设备有限公司 | 一种eps承载管理的方法和装置 |
CN106658492A (zh) * | 2015-07-23 | 2017-05-10 | 中兴通讯股份有限公司 | 密钥更新方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355507B (zh) * | 2008-09-12 | 2012-09-05 | 中兴通讯股份有限公司 | 更新跟踪区时的密钥生成方法及系统 |
CN102316451B (zh) * | 2010-07-02 | 2013-12-04 | 电信科学技术研究院 | 一种下一跳链计数器的处理方法及设备 |
CN103476028B (zh) * | 2013-08-30 | 2017-04-05 | 大唐移动通信设备有限公司 | Nas count翻转时nas消息的处理方法及装置 |
CN106375989B (zh) * | 2015-07-20 | 2019-03-12 | 中兴通讯股份有限公司 | 实现接入层安全的方法及用户设备和无线接入小节点 |
-
2019
- 2019-09-02 CN CN201910835444.XA patent/CN112533198A/zh not_active Withdrawn
-
2020
- 2020-09-01 WO PCT/CN2020/112842 patent/WO2021043130A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101478743A (zh) * | 2008-01-03 | 2009-07-08 | 大唐移动通信设备有限公司 | 一种eps承载管理的方法和装置 |
CN106658492A (zh) * | 2015-07-23 | 2017-05-10 | 中兴通讯股份有限公司 | 密钥更新方法及装置 |
Non-Patent Citations (3)
Title |
---|
ERICSSON: "EUTRA connected to 5GC: clause 8 and Annex A", 3GPP TSG-SA WG3 MEETING #94 S3-190280 * |
HUAWEI等: "Discussion on LTE Call Redirection", 3GPP TSG-RAN WG2#100 R2-1713214 * |
INTEL DEUTSCHLAND GMBH等: "Correction of handling of 5G security contexts during EPS to 5GS idle mode mobility", 3GPP TSG-SA3 MEETING #96 S3-192997 * |
Also Published As
Publication number | Publication date |
---|---|
WO2021043130A1 (zh) | 2021-03-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2018228192A1 (zh) | 插入smf的方法及amf实体 | |
CN111434151A (zh) | 网络片选择辅助信息配置 | |
CN110536282B (zh) | 一种事件通知方法及装置 | |
US9681339B2 (en) | Security processing method and system in network handover process | |
US11432349B2 (en) | Group creation method, apparatus, and system | |
US20200214072A1 (en) | Method and device for processing non-matching between ue and network state | |
CN111418260B (zh) | 执行恢复请求过程的方法和装置 | |
US20100172500A1 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
CN112369056B (zh) | 可操作以恢复用户设备能力标识的装置和方法 | |
US11228903B2 (en) | 5G service compatible 4G SIM | |
WO2017177940A1 (zh) | 核心网的选择方法、装置及系统 | |
WO2023098575A1 (zh) | 终端ue注册方法及装置、电子设备及存储介质 | |
US11943830B2 (en) | Link re-establishment method, apparatus, and system | |
CN112533198A (zh) | 一种密钥生成方法及装置和mme | |
CN104683981A (zh) | 一种验证安全能力的方法、设备及系统 | |
US11991516B2 (en) | Session migration method and apparatus | |
CN110891270A (zh) | 一种鉴权算法的选择方法和装置 | |
CN111770488B (zh) | Ehplmn更新方法、相关设备及存储介质 | |
CN114501679A (zh) | 数据传输方法、装置及系统 | |
US11228938B2 (en) | Data transmission method, apparatus, network-side device, terminal, and computer-readable storage medium | |
CN110035432B (zh) | 一种完整性保护密钥管理方法和设备 | |
CN102204297A (zh) | 用户上下文更新方法和装置 | |
US20230188519A1 (en) | Method and system for invoking application programming interface, and apparatus | |
CN117320145A (zh) | 移动注册方法、装置、通信设备和存储介质 | |
US10880776B2 (en) | Terminal management device, mobile communication control system, and mobile communication control method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210319 |
|
WW01 | Invention patent application withdrawn after publication |