CN115396868A - 一种无线通信方法、通信装置及通信系统 - Google Patents
一种无线通信方法、通信装置及通信系统 Download PDFInfo
- Publication number
- CN115396868A CN115396868A CN202110501343.6A CN202110501343A CN115396868A CN 115396868 A CN115396868 A CN 115396868A CN 202110501343 A CN202110501343 A CN 202110501343A CN 115396868 A CN115396868 A CN 115396868A
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication code
- message authentication
- mac
- parameter update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 188
- 238000004891 communication Methods 0.000 title claims abstract description 78
- 238000013523 data management Methods 0.000 claims description 65
- 238000012790 confirmation Methods 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 45
- 238000012795 verification Methods 0.000 claims description 31
- 230000005540 biological transmission Effects 0.000 claims description 29
- 238000007726 management method Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 abstract description 19
- 239000002699 waste material Substances 0.000 abstract description 14
- 230000006870 function Effects 0.000 description 25
- 238000012545 processing Methods 0.000 description 18
- 238000004364 calculation method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 12
- 230000011664 signaling Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 5
- 230000002349 favourable effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种无线通信方法、通信装置及通信系统。该方法包括:根据第一参数更新类型和Kausf,生成第一消息认证码,第一参数更新类型是终端支持的参数更新类型;向移动性管理网元发送第一参数更新类型和第一消息认证码。由于终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,可以减少资源浪费。并且,在终端向网络侧发送该终端支持的参数更新类型过程中,还通过生成消息认证码对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及一种无线通信方法、通信装置及通信系统。
背景技术
在目前的第三代合作伙伴计划(3rd generation partnership project,3GPP)标准中,协议预定义终端所支持的参数更新类型,从而网络侧可以根据协议定义知晓终端所支持的参数更新类型。后续,网络侧可以根据终端所支持的参数更新类型,向终端发送与该参数更新类型对应的参数。
然而,当网络侧有新的参数更新类型对应的参数需要更新到终端时,由于网络侧不知道终端是否支持该新的参数更新类型,从而网络侧无法判断是否需要将新的参数更新类型对应的参数更新到终端。
如果网络侧不管终端是否支持该新的参数更新类型,直接将新的参数更新类型对应的参数更新到终端,则当终端不支持该新的参数更新类型时,终端需要丢弃收到的该参数,造成资源浪费。
发明内容
本申请提供一种无线通信方法、通信装置及通信系统,用以实现网络侧按照终端支持的参数更新类型向终端发送相应的参数,以减少资源浪费。
第一方面,本申请实施例提供一种无线通信方法,该方法可以由终端或应用于终端中的模块(如芯片)来执行。该方法包括:根据第一参数更新类型和Kausf,生成第一消息认证码,所述第一参数更新类型是所述终端支持的参数更新类型,所述Kausf是所述终端与鉴权网元之间的密钥;向移动性管理网元发送所述第一参数更新类型和所述第一消息认证码。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送该终端支持的参数更新类型过程中,还通过生成消息认证码对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。
在一种可能的实现方法中,接收来自所述移动性管理网元的第五消息认证码所述第五消息认证码是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示数据管理网元成功收到了所述第一参数更新类型;根据第二确认信息和所述Kausf,对所述第五消息认证码进行校验。
根据上述方案,终端在向网络侧发送了第一参数更新类型之后,还从网络侧收到一个针对该第一参数更新类型的消息认证码,即第五消息认证码。然后终端对该第五消息认证码进行校验,当第五MAC校验成功,表明网络侧成功收到第一参数更新类型,当第五MAC校验失败,表明网络侧没有成功收到第一参数更新类型。通过该方案,可以使得终端能够获知网络侧是否成功收到第一参数更新类型,避免终端盲目地重复向网络侧发送第一参数更新类型,有助于减少开销。
在一种可能的实现方法中,当所述第五消息认证码校验成功,保存所述第二确认信息;或者,当所述第五消息认证码校验失败,丢弃所述第二确认信息和/或降低所述终端所在的公共陆地移动网络PLMN的优先级。
根据上述方案,当第五消息认证码校验成功,表明网络侧成功收到第一参数更新类型,终端保存该第二确认信息,后续终端根据保存的第二确认信息,确认网络侧已经成功收到第一参数更新类型,从而终端可以不再向网络侧发送第一参数更新类型,有助于减少开销。当第五MAC校验失败,表明网络侧没有成功收到第一参数更新类型,终端丢弃第二确认信息,后续终端确认自身没有保存第二确认信息,则确认网络侧没有成功收到第一参数更新类型,从而终端可以再次网络侧发送第一参数更新类型,有助于提升网络侧成功收到第一参数更新类型的可能性。当第五MAC校验失败,表明当前网络可能不够安全,存在篡改传输的信息(如网络侧向终端发送的消息认证码)的可能性,因此终端可以降低该终端所在的PLMN的优先级,从而可以降低不安全网络带来的风险。
在一种可能的实现方法中,在向移动性管理网元发送所述第一参数更新类型和所述第一消息认证码之后,接收来自所述移动性管理网元的下行非接入层传输消息;当所述下行非接入层传输消息中包含所述第一参数更新类型对应的参数,确定所述数据管理网元成功收到所述第一参数更新类型;或者,当所述下行非接入层传输消息中不包含所述第一参数更新类型对应的参数,降低所述终端所在的PLMN的优先级。
根据上述方案,终端在向网络侧发送了第一参数更新类型之后,可以通过后续网络侧是否向终端发送该第一参数更新类型对应的参数,来判断网络侧是否成功收到第一参数更新类型。该方法不需要网络侧通过额外的指示信息(如一个消息认证码),来告知终端网络侧是否成功收到第一参数更新类型,而是通过隐式方法告知终端网络侧是否成功收到第一参数更新类型,可以减少网络侧与终端之间的信令交互,有助于减少开销。
在一种可能的实现方法中,所述根据第一参数更新类型和Kausf,生成第一消息认证码之前,还包括以下一项或多项:确定在所述终端中插入了新的全球用户身份模块USIM;确定所述第一参数更新类型中包含除路由指示更新数据和默认配置NSSAI更新数据之外的其它参数更新类型;确定所述终端开机;确定未发送过所述第一参数更新类型;或确定未收到过针对所述第一参数更新类型的响应。
根据上述方案,在满足一定条件时,终端才向网络上报第一参数更新类型,可以避免重复上报或无效上报,从而减少终端开销。
在一种可能的实现方法中,向所述移动性管理网元发送注册请求消息,所述注册请求消息中包含所述第一参数更新类型和所述第一消息认证码;或者,向所述移动性管理网元发送上行非接入层传输消息,所述上行非接入层传输消息中包含所述第一参数更新类型和所述第一消息认证码。
根据上述方案,可以在不同的应用场景中,通过多种消息,向网络侧上报第一参数更新类型,实现较为灵活。
在一种可能的实现方法中,所述第一参数更新类型包括以下一项或多项:
切片认证凭据的更新、协议数据单元PDU会话认证凭据的更新。
第二方面,本申请实施例提供一种无线通信方法,该方法可以由数据管理网元或应用于数据管理网元中的模块(如芯片)来执行。该方法包括:接收来自终端的第二参数更新类型和第二消息认证码;根据所述第二参数更新类型,校验所述第二消息认证码是否与第三消息认证码匹配,所述第三消息认证码是根据所述第二参数更新类型和Kausf生成的;其中,所述Kausf是所述终端与鉴权网元之间的密钥。
根据上述方案,网络侧可以收到终端上报的该终端支持的参数更新类型,从而网络侧可以根据终端支持的参数更新类型,向该终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少网络侧的盲目发送,有助于减少网络侧的资源浪费。并且,网络侧还对收到的该终端支持的参数更新类型进行安全校验,从而可以保证网络侧能够成功收到该终端支持的参数更新类型,有助于实现网络侧与终端之间的正确通信。
在一种可能的实现方法中,向所述鉴权网元发送所述第二参数更新类型;接收来自所述鉴权网元的所述第三消息认证码;校验所述第二消息认证码是否与所述第三消息认证码匹配。
根据上述方案,由鉴权网元与数据管理网元相互配合来校验第二消息认证码与第三消息认证码是否匹配,具体的,由鉴权网元计算得到第三消息认证码,由数据管理网元对第二消息认证码和第三消息认证码进行比对,相较于由鉴权网元计算得到第三消息认证码,以及由鉴权网元对第二消息认证码和第三消息认证码进行比对,有助于减轻鉴权网元的负荷。
在一种可能的实现方法中,向所述鉴权网元发送所述第二参数更新类型和所述第二消息认证码;接收来自所述鉴权网元的消息认证码校验结果,所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配或所述第二消息认证码与第三消息认证码不匹配。
根据上述方案,由鉴权网元来校验第二消息认证码与第三消息认证码是否匹配,并将消息认证码校验结果发送给数据管理网元,该方法由鉴权网元执行校验功能,而数据管理网元只需要从鉴权网元获取消息认证码校验结果,可以实现不同网元之间的功能解耦,有助于减少网元之间的信息传输量。
在一种可能的实现方法中,接收来自所述鉴权网元的第四消息认证码,所述第四消息认证码是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示成功收到所述终端支持的参数更新类型;向所述终端发送所述第四消息认证码。
根据上述方案,在网络侧成功收到终端支持的参数更新类型后,向终端发送第四消息认证码,以告知终端网络侧成功收到终端支持的参数更新类型,可以避免终端盲目地重复向网络侧发送终端支持的参数更新类型,有助于减少网络侧与终端之间的交互带来的开销。
在一种可能的实现方法中,在所述第二消息认证码与第三消息认证码匹配的情况下,保存所述第二参数更新类型;或者,在所述第二消息认证码与第三消息认证码不匹配的情况下,丢弃所述第二参数更新类型,和/或降低所述终端所在的PLMN的优先级。
根据上述方案,在第二消息认证码与第三消息认证码匹配的情况下,表明网络侧收到的第二参数更新类型与终端发送的第一参数更新类型是相同的,也即网络侧成功收到终端支持的参数更新类型,则网络侧可以保存第二参数更新类型,从而后续网络侧可以根据第二参数更新类型,向终端发送与该第二参数更新类型对应的参数,有助于避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。在第二消息认证码与第三消息认证码不匹配的情况下,表明网络侧收到的第二参数更新类型与终端发送的第一参数更新类型是不同的,也即网络侧没有成功收到终端支持的参数更新类型,则网络侧可以丢弃第二参数更新类型,从而后续网络侧不会向终端发送与该第二参数更新类型对应的参数,有助于避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。在第二消息认证码与第三消息认证码不匹配的情况下,表明当前网络可能不够安全,存在篡改传输的信息(如终端向网络侧发送的第一参数更新类型)的可能性,因此网络可以降低该终端所在的PLMN的优先级,从而可以降低不安全网络带来的风险。
第三方面,本申请实施例提供一种无线通信方法,该方法可以由鉴权网元或应用于鉴权网元中的模块(如芯片)来执行。该方法包括:接收来自数据管理网元的第二参数更新类型和第二消息认证码;根据所述第二参数更新类型和Kausf,生成第三消息认证码,所述Kausf是终端与所述鉴权网元之间的密钥;校验所述第二消息认证码是否与所述第三消息认证码匹配;向所述数据管理网元发送消息认证码校验结果,所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配或所述第二消息认证码与第三消息认证码不匹配。
根据上述方案,鉴权网元可以对数据管理网元收到的第二消息认证码进行校验,并向数据管理网元发送消息认证码校验结果,从而数据管理网元可以获知收到的第二参数更新类型是否被篡改过。该方案可以确保数据管理网元能够判断是否使用该第二参数更新类型,有助于实现网络侧与终端之间的正确通信。
在一种可能的实现方法中,在所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配的情况下,根据第一确认信息和所述Kausf,生成第四消息认证码,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;向所述数据管理网元发送所述第四消息认证码。
根据上述方案,在消息认证码校验结果为第二消息认证码与第三消息认证码匹配的情况下,认证网元生成第四消息认证码,并将该第四消息认证码发送给数据管理网元,从而数据管理网元可以将该第四消息认证码发送给终端,以告知终端网络侧成功收到终端支持的参数更新类型,可以避免终端重复向网络侧发送终端支持的参数更新类型,有助于减少终端与网络侧之间的开销。
第四方面,本申请实施例提供一种无线通信方法,该方法可以由鉴权网元或应用于鉴权网元中的模块(如芯片)来执行。该方法包括:接收来自数据管理网元的第二参数更新类型;根据所述第二参数更新类型和Kausf,生成第三消息认证码,所述Kausf是终端与所述鉴权网元之间的密钥;向所述数据管理网元发送所述第三消息认证码。
根据上述方案,鉴权网元可以对数据管理网元收到的第二消息认证码进行校验,并向数据管理网元发送第三消息认证码,从而数据管理网元可以根据第二消息认证码和第三消息认证码,判断收到的第二参数更新类型是否被篡改过。该方案可以确保数据管理网元能够判断是否使用该第二参数更新类型,有助于实现网络侧与终端之间的正确通信。
在一种可能的实现方法中,接收来自所述数据管理网元的指示信息,所述指示信息用于指示所述第二消息认证码与第三消息认证码匹配;根据第一确认信息和所述Kausf,生成第四消息认证码;其中,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;向所述数据管理网元发送所述第四消息认证码。
根据上述方案,在收到来自数据管理网元的用于指示第二消息认证码与第三消息认证码匹配的指示信息的情况下,认证网元生成第四消息认证码,并将该第四消息认证码发送给数据管理网元,从而数据管理网元可以将该第四消息认证码发送给终端,以告知该终端网络侧成功收到终端支持的参数更新类型,可以避免终端重复向网络侧发送终端支持的参数更新类型,有助于减少终端与网络侧之间的开销。
第五方面,本申请实施例提供一种通信装置,该装置可以是终端,还可以是用于终端的芯片。该装置具有实现上述第一方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第六方面,本申请实施例提供一种通信装置,该装置可以是数据管理网元,还可以是用于数据管理网元的芯片或模块。该装置具有实现上述第二方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第七方面,本申请实施例提供一种通信装置,该装置可以是鉴权网元,还可以是用于鉴权网元的芯片或模块。该装置具有实现上述第三方面或第四方面的任意实现方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第八方面,本申请实施例提供一种通信装置,包括处理器和存储器;该存储器用于存储计算机指令,当该装置运行时,该处理器执行该存储器存储的计算机指令,以使该装置执行上述第一方面至第四方面中的任意实现方法。
第九方面,本申请实施例提供一种通信装置,包括用于执行上述第一方面至第四方面中的任意实现方法的各个步骤的单元或手段(means)。
第十方面,本申请实施例提供一种通信装置,包括处理器和接口电路,所述处理器用于通过接口电路与其它装置通信,并执行上述第一方面至第四方面中的任意实现方法。该处理器包括一个或多个。
第十一方面,本申请实施例提供一种通信装置,包括与存储器耦合的处理器,该处理器用于调用所述存储器中存储的程序,以执行上述第一方面至第四方面中的任意实现方法。该存储器可以位于该装置之内,也可以位于该装置之外。且该处理器可以是一个或多个。
第十二方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在通信装置上运行时,使得上述第一方面至第四方面中的任意实现方法被执行。
第十三方面,本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序或指令,当计算机程序或指令被通信装置运行时,使得上述第一方面至第五方面中的任意实现方法被执行。
第十四方面,本申请实施例还提供一种芯片系统,包括:处理器,用于执行上述第一方面至第四方面中的任意实现方法。
第十五方面,本申请实施例提供一种通信系统,该通信系统包括用于执行上述第二方面的任意实现方法的数据管理网元,和用于执行上述第三方面的任意实现方法的鉴权网元。
第十六方面,本申请实施例提供一种通信系统,该通信系统包括用于执行上述第二方面的任意实现方法的数据管理网元,和用于执行上述第四方面的任意实现方法的鉴权网元。
附图说明
图1为3GPP定义的参数配置架构图;
图2为本申请实施例提供的一种无线通信方法示意图;
图3为本申请实施例提供的一种无线通信方法示意图;
图4为本申请实施例提供的一种无线通信方法示意图;
图5为本申请实施例提供的一种无线通信方法示意图;
图6为本申请实施例提供的一种无线通信方法示意图;
图7为本申请实施例提供的一种无线通信方法示意图;
图8为本申请实施例提供的一种无线通信方法示意图;
图9为本申请实施例提供的一种通信装置示意图;
图10为本申请实施例提供的一种通信装置示意图。
具体实施方式
图1为3GPP定义的参数配置架构图。其中,归属网络通过服务网络向终端下发配置信息。具体的,归属网络的统一数据管理(unified data management,UDM)网元将配置信息通过服务网络的接入与移动性管理功能(access and mobility management function,AMF)网元发送给终端。
如果是非漫游场景,服务网络与归属网络是同一个公共陆地移动网络(publicland mobile network,PLMN)。
如果是漫游场景,服务网络是拜访网络,服务网络与归属网络是不同的PLMN。其中,拜访网络可以是拜访地PLMN(visited PLMN,vPLMN),归属网络可以是归属地公共陆地移动网络(home public land mobile network,hPLMN)。
终端也可以称为终端设备、用户设备(user equipment,UE)、移动台、移动终端等。终端可以广泛应用于各种场景,例如,设备到设备(device-to-device,D2D)、车物(vehicleto everything,V2X)通信、机器类通信(machine-type communication,MTC)、物联网(internet of things,IOT)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端可以是手机、平板电脑、带无线收发功能的电脑、可穿戴设备、车辆、无人机、直升机、飞机、轮船、机器人、机械臂、智能家居设备等。本申请的实施例对终端所采用的具体技术和具体设备形态不做限定。
AMF网元,执行移动性管理、接入鉴权/授权等功能。此外,还负责在终端与策略控制功能(policy control function,PCF)网元间传递用户策略。
UDM网元,执行管理签约数据、用户接入授权等功能。
鉴权服务器功能(authentication server function,AUSF)网元,负责对用户进行鉴权,以确定是否允许用户或设备接入网络。
本申请实施例中的移动性管理网元、数据管理网元、鉴权网元分别可以是第五代(5th generation,5G)网络中的AMF、UDM、AUSF,也可以是,也可以是未来通信如第六代(6thgeneration,6G)等网络中具有上述AMF、UDM、AUSF的功能的网元,本申请对此不限定。在本申请的实施例中,以AMF、UDM、AUSF分别作为移动性管理网元、数据管理网元、鉴权网元的一个示例进行描述。
为解决网络侧无法判断是否需要将新的参数更新类型对应的参数更新到终端的问题,本申请实施提供的解决方案可以参考图2所示的无线通信方法,包括以下步骤:
步骤201,终端根据第一参数更新类型和Kausf,生成第一消息认证码(messageauthentication code,MAC)。
该第一参数更新类型是终端支持的参数更新类型。比如,第一参数更新类型可以是终端支持的除了“routing indicator update data”和“default configured NSSAIupdate data”之外的其它参数更新类型,如支持的终端参数更新数据集类型列表(supported UE parameters update data set types list),比如包括切片认证凭据的更新,和/或二次认证凭据的更新。这里的“凭据”可以理解为是参数。其中,二次认证凭据的更新也可以称为协议数据单元会话认证凭据的更新。
其中,routing indicator update data的中文名称是路由指示更新数据,default configured NSSAI update data的中文名称是默认配置网络切片选择辅助信息(network slicing selection assistance information,NSSAI)更新数据。
之所以在一种实现方式中排除这两种参数更新类型,是因为现有的3GPP版本的终端都支持这两种参数更新类型,且UDM知晓终端支持这两种参数更新类型,因此可以不用上报。当然上报这两种参数更新类型也是可以的。
作为一种实现方法,第一参数更新类型也可以包括路由指示更新数据和默认配置NSSAI更新数据,以兼容旧的特性。
该Kausf是终端与AUSF之间的密钥。作为一种实现方法,以Kausf作为密钥(key),以第一参数更新类型作为输入参数,计算得到第一MAC。作为另一种实现方法,以Kausf作为密钥(key),以第一参数更新类型和第一计数值作为输入参数,计算得到第一MAC。该第一MAC用于防止第一参数更新类型在发送过程中被篡改。其中,Kausf是终端与AUSF之间的密钥。
作为一种实现方法,终端可以直接执行上述步骤201,也即向网络侧发送第一参数更新类型。
作为另一种实现方法,当满足以下条件1至条件5中的一个或多个时,则终端确定向网络侧发送第一参数更新类型,也即执行上述步骤201:
条件1,在终端中插入了新的全球用户身份模块(universal subscriberidentity module,USIM)卡。
也即,当新插入USIM卡时,可以触发终端向UDM发送第一参数更新类型。
条件2,该新插入的USIM卡支持第一参数更新类型。
也即,当新卡支持第一参数更新类似时,则可以触发终端向UDM发送第一参数更新类型。
条件3,终端开机。
也即,当终端开机时,可以触发终端向UDM发送第一参数更新类型。
条件4,未向UDM发送过第一参数更新类型。
也即,当没有向UDM发送过第一参数更新类型,则可以向UDM发送第一参数更新类型。
条件5,未从UDM收到过针对第一参数更新类型的响应。
也即,当终端向UDM发送了第一参数更新类型,但没有收到来自UDM的响应,则终端可以重新向UDM发送第一参数更新类型。
其中,这里的响应可以是一个MAC,比如可以是如下所述的第五MAC。
步骤202,终端向AMF发送第一参数更新类型和第一MAC。
作为一种实现方法,终端在向AMF发送的注册请求消息中携带该第一参数更新类型和第一MAC。
作为另一种实现方法,终端在向AMF发送的上行非接入层(non access stratum,NAS)传输消息中携带该第一参数更新类型和第一MAC。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,即第一参数更新类型,使得网络侧可以根据第一参数更新类型,向终端发送相应的参数,即向终端发送与第一参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送该终端支持的参数更新类型过程中,还通过生成消息认证码,即第一MAC,对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。
其中,终端发送的是第一参数更新类型、第一MAC,而AMF收到的是第二参数更新类型、第二MAC。在正常情况下,AMF收到的第二参数更新类型与终端发送的第一参数更新类型相同,AMF收到的第二MAC与终端发送的第一MAC相同。但当网络不够安全时,则终端发送的上述信息可能会被篡改,导致AMF收到的第二参数更新类型与终端发送的第一参数更新类型可能不同,AMF收到的第二MAC与终端发送的第一MAC可能不同。
AMF在收到第二参数更新类型和第二MAC后,向UDM发送该第二参数更新类型和第二MAC。后续可以由UDM根据第二参数更新类型,对收到的第二MAC进行校验,在第二MAC校验成功的情况下,UDM确认成功收到终端支持的参数更新类型,也即UDM收到的第二参数更新类型与终端发送的第一参数更新类型是相同的。
其中,UDM对收到的第二MAC进行校验,也可以称为UDM校验第二MAC是否与第三MAC匹配,该第三MAC是AUSF根据第二参数更新类型和Kausf生成的。
作为示例,下面介绍两种校验方法,即以下实现方法一和实现方法二。
实现方法一,UDM向AUSF发送第二参数更新类型,AUSF根据第二参数更新类型和Kausf生成第三MAC,AUSF向UDM发送第三MAC,UDM校验第二MAC是否与第三MAC匹配。其中,当第二MAC与第三MAC相同,则校验第二MAC成功,或称为校验第二MAC与第三MAC匹配。当第二MAC与第三MAC不同,则校验第二MAC失败,或称为校验第二MAC与第三MAC不匹配。
实现方法二,UDM向AUSF发送第二参数更新类型,AUSF根据第二参数更新类型和Kausf生成第三MAC,AUSF向UDM发送第三MAC,AUSF校验第二MAC是否与第三MAC匹配。然后,AUSF向UDM发送MAC校验结果,该MAC校验结果是第二MAC与第三MAC匹配或第二MAC与第三MAC不匹配。
在第二消息认证码与第三消息认证码匹配的情况下,表明网络侧收到的第二参数更新类型与终端发送的第一参数更新类型是相同的,也即网络侧成功收到终端支持的参数更新类型,则网络侧可以保存第二参数更新类型,从而后续网络侧可以根据第二参数更新类型,向终端发送与该第二参数更新类型对应的参数,有助于避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。在第二消息认证码与第三消息认证码不匹配的情况下,表明网络侧收到的第二参数更新类型与终端发送的第一参数更新类型是不同的,也即网络侧没有成功收到终端支持的参数更新类型,则网络侧可以丢弃第二参数更新类型,从而后续网络侧不会向终端发送与该第二参数更新类型对应的参数,有助于避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。在第二消息认证码与第三消息认证码不匹配的情况下,表明当前网络可能不够安全,存在篡改传输的信息(如终端向网络侧发送的第一参数更新类型)的可能性,因此网络可以降低该终端所在的PLMN的优先级,从而可以降低不安全网络带来的风险。
其中,在MAC校验结果为第二MAC与第三MAC匹配的情况下,表明UDM成功收到终端支持的参数更新类型,则UDM还可以告知终端:UDM成功收到了终端支持的参数更新类型。下面介绍两种不同的方法,即以下实现方法A和实现方法B。
实现方法A,UDM向终端发送第四MAC,该第四MAC是由AUSF根据第一确认信息和Kausf生成的,该第一确认信息用于指示成功收到终端支持的参数更新类型。终端收到第五MAC,然后根据第二确认信息和Kausf,对第五MAC进行校验。
其中,UDM发送的是第四MAC,而终端收到的是第五MAC。在正常情况下,第五MAC与第四MAC相同。在网络存在安全风险情况下,则UDM发送的第四MAC有可能被篡改,则终端收到的第五MAC有可能与第四MAC不同。
其中,终端校验第五MAC时使用的第二确认信息与AUSF生成第四MAC时使用的第一确认信息是相同的确认信息,比如可以是相同的1比特信息。
作为一种实现方法,终端校验第五MAC的方法,比如可以是:以Kausf作为密钥,以第二确认信息作为输入参数,计算得到第六MAC。然后终端判断第六MAC与第五MAC是否相同。当第六MAC与第五MAC相同,则校验第五MAC成功,当第六MAC与第五MAC不同,则校验第五MAC失败。其中,校验第五MAC成功,也意味着UDM发送的第四MAC与终端收到的第五MAC相同。
当第五消息认证码校验成功,表明网络侧成功收到第一参数更新类型,则终端可以保存该第二确认信息,后续终端根据保存的第二确认信息,确认网络侧已经成功收到第一参数更新类型,从而终端可以不再向网络侧发送第一参数更新类型,有助于减少开销。当第五MAC校验失败,表明网络侧没有成功收到第一参数更新类型,则终端可以丢弃第二确认信息,后续终端确认自身没有保存第二确认信息,则确认网络侧没有成功收到第一参数更新类型,从而终端可以再次网络侧发送第一参数更新类型,有助于提升网络侧成功收到第一参数更新类型的可能性。当第五MAC校验失败,表明当前网络可能不够安全,存在篡改传输的信息(如网络侧向终端发送的消息认证码)的可能性,因此终端可以降低该终端所在的PLMN的优先级,从而可以降低不安全网络带来的风险。
作为一种实现方法,当UDM通过上述实现方法一校验第二MAC,则UDM获取第四MAC的方法可以是:在AUSF生成的MAC校验结果为第二MAC与第三MAC匹配的情况下,AUSF根据第一确认信息和Kausf,生成第四MAC,然后AUSF向UDM发送该第四MAC。
作为另一种实现方法,当UDM通过上述实现方法二校验第二MAC,则UDM获取第四MAC的方法可以是:UDM在确定第二MAC与第二MAC匹配时,则向AUSF发送指示信息,该指示信息用于指示第二MAC与第三MAC匹配;然后AUSF根据该指示信息,触发根据第一确认信息和Kausf,生成第四MAC,接着AUSF向UDM发送该第四MAC。
实现方法B,终端从AMF接收下行非接入层传输消息,其中,当该下行非接入层传输消息中包含第一参数更新类型对应的参数,确定UDM成功收到第一参数更新类型,当该下行非接入层传输消息中不包含第一参数更新类型对应的参数,确定UDM没有成功收到第一参数更新类型,进而终端可以降低终端所在的PLMN的优先级。
具体的,UDM在向终端发送参数的过程中,在第二MAC与第三MAC匹配的情况下,UDM可以向终端发送与第二参数更新类型对应的参数,这里的第二参数更新类型与第一参数更新类型相同。在第二MAC与第三MAC不匹配的情况下,UDM不向终端发送与第二参数更新类型对应的参数,这里的第二参数更新类型与第一参数更新类型可能相同,也可能不同。终端通过判断UDM是否发送了与第一参数更新类型对应的参数,来判断UDM是否成功收到第一参数更新类型。
根据上述方案,终端在向网络侧发送了第一参数更新类型之后,可以通过后续网络侧是否向终端发送该第一参数更新类型对应的参数,来判断网络侧是否成功收到第一参数更新类型。该方法不需要网络侧通过额外的指示信息(如一个消息认证码),来告知终端网络侧是否成功收到第一参数更新类型,而是通过隐式方法告知终端网络侧是否成功收到第一参数更新类型,可以减少网络侧与终端之间的信令交互,有助于减少开销。
下面结合以下图3至图6所示的不同具体实现方案,对上述图2所示的方法进行具体说明。
图3为本申请实施例提供的一种无线通信方法,该方法包括以下步骤:
步骤301,终端向AMF发送第一请求。相应地,AMF收到该第一请求。
该第一请求可以是注册请求或上行NAS传输(UL NAS transport)消息。
该第一请求中包含第一参数更新类型和第一MAC,可选的,还包含第一计数值(counter)和/或确认指示(ACK indication)。
当计算第一MAC时使用了第一计数值,则需要该第一请求中携带第一计数值。
其中,确认指示用于指示在收到第一参数更新类型后返回响应,该响应可以包含一个MAC。
可选的,在满足上述步骤201中描述的条件1至条件5中的任一个或多个条件时,在上述第一请求中携带第一参数更新类型和第一MAC,可选的,还携带第一计数值和/或确认指示。
作为一种实现方法,可以将第一参数更新类型和第一MAC封装至一个容器(container)中,该容器对AMF来说是透明的,也就是不需要AMF读取容器的内容,AMF直接将该容器传给UDM。可选的,该容器中还包含第一计数值和/或确认指示。
需要说明的是,如果该方案应用于初始注册场景,则第一请求可以是注册请求,该注册请求可以携带于安全模式完成(security mode complete)消息中,该安全模式完成消息可以对该注册请求进行安全保护。
步骤302,AMF向UDM发送第二请求。相应地,UDM收到该第二请求。
其中,终端发送的是第一参数更新类型、第一MAC和第一计数值,而UDM收到的是第二参数更新类型、第二MAC和第二计数值。在正常情况下,UDM收到的第二参数更新类型与终端发送的第一参数更新类型相同,UDM收到的第二MAC与终端发送的第一MAC相同,UDM收到的第二计数值与终端发送的第一计数值相同。但当网络不够安全时,则终端发送的上述信息可能会被篡改,导致UDM收到的第二参数更新类型与终端发送的第一参数更新类型可能不同,UDM收到的第二MAC与终端发送的第一MAC可能不同,UDM收到的第二计数值与终端发送的第一计数值可能不同。
该第二请求中包含第二参数更新类型和第二MAC。
其中,当第一请求中包含第一计数值,则该第二请求中还包含第二计数值。当第一请求中包含确认指示,则该第二请求中还包含该确认指示。
该第二请求可以是UE上下文管理注册请求、签约数据管理获取请求或签约数据管理通知消息。
步骤303,UDM向AUSF发送第三请求。相应地,AUSF收到该第三请求。
该第三请求中包含永久签约标识(subscription permanent identifier,SUPI),第二参数更新类型和第二MAC。
其中,当第二请求中包含第二计数值,则该第三请求中还包含该第二计数值。当第二请求中包含确认指示,则该第三请求中还包含确认指示。
该第二请求可以是UE参数更新(UE parameter update,UPU)保护请求或UPU数据类型校验请求。
其中,SUPI用于唯一标识一个终端。AUSF可以根据SUPI获取该SUPI对应的密钥(Kausf)。也即,AUSF中存储有各个终端分别对应的Kausf,AUSF需要根据SUPI,获取相应的Kausf,从而保证AUSF与终端使用相同的Kausf。
步骤304,AUSF校验该第二MAC。
这里的校验第二MAC,也可以描述为:校验第二参数更新类型,或者描述为:校验第二参数更新类型与第二MAC是否匹配。具体的,AUSF按照与终端生成第一MAC相同的方法,生成第三MAC。如果该第三MAC与第二MAC相同,则第二MAC校验成功,表明第一参数更新类型在传输过程中没有被篡改,即第二参数更新类型与第一参数更新类型相同。如果该第二MAC与第一MAC不同,则第二MAC校验失败,表明第一参数更新类型在传输过程中可能被篡改,即第二参数更新类型与第一参数更新类型可能不同。
AUSF生成第三MAC的具体过程为:作为一种实现方法,以Kausf作为密钥,以AUSF收到的第二参数更新类型作为输入参数,计算得到第三MAC。作为另一种实现方法,如果第三请求中还携带第二计数值,则AUSF以Kausf作为密钥,以AUSF收到的第二参数更新类型和第二计数值作为输入参数,计算得到第三MAC。
其中,AUSF校验第二MAC,也可以称为AUSF校验第三MAC与第二MAC是否匹配。
步骤305,AUSF生成第四MAC。
其中,当第三请求中包含确认指示,且在步骤304中第二MAC校验成功,则AUSF执行该步骤305,当第三请求中不包含确认指示,或在步骤304中第二MAC校验失败,则AUSF不执行该步骤305。
其中,AUSF生成第四MAC的方法是:AUSF根据确认指示生成第一确认信息(ACK),然后以Kausf作为密钥,以第一确认信息和第二计数值作为输入参数,计算得到第四MAC。其中,生成第四MAC时使用的计数值与生成第三MAC时使用的计数值相同,都为第二计数值。需要说明的是,AUSF使用的第一确认信息也可以是UDM发送给AUSF的。
其中,该第一确认信息用于指示UDM成功收到了第一参数更新类型或UDM成功校验了收到的参数更新类型。
本申请所描述生成第一确认信息(ACK),仅表明AUSF根据第一确认信息进行MAC计算,并不一定需要第一确认信息的生成,因为该第一确认信息可以是固定的1比特数据,可以直接作为计算MAC的输入,不需要生成。
步骤306,AUSF向UDM发送第三响应。相应地,UDM收到该第三响应。
该第三响应是针对第三请求的响应。
该第三响应中包含MAC校验结果。其中,该MAC校验结果是第二MAC校验成功或第二MAC校验失败。
这里的MAC校验结果,也可以描述为:校验第二参数更新类型的结果,或者描述为:校验第二参数更新类型与第二MAC是否匹配的结果。
可选的,该第三响应中还包含第四MAC。当第三响应中包含第四MAC,可选地第三响应中还可以包含第一确认信息。
步骤307,当MAC校验结果是第二MAC校验成功,则UDM保存第二参数更新类型;当MAC校验结果是第二MAC校验失败,则UDM丢弃第二参数更新类型和/或降低终端所在的PLMN的优先级。
其中,MAC校验结果是第二MAC校验成功,也可以理解为是第二MAC与第三MAC匹配。MAC校验结果是第二MAC校验失败,也可以理解为是第二MAC与第三MAC不匹配。
之所以降低终端所在的PLMN的优先级,是因为该网络中可能存在篡改传输的信息(如第一参数更新类型)的问题,因此可能存在安全风险。
步骤308,UDM向AMF发送第二响应。相应地,AMF收到该第二响应。
该第二响应中携带第四MAC。
其中,当UDM从AUSF收到第四MAC,则执行该步骤308;当UDM没有从AUSF收到第四MAC,则可以不执行该步骤308。
步骤309,AMF向终端发送第一响应。相应地,终端收到该第一响应。
当第一请求是注册请求,则第一响应是注册接受,也可以是下行NAS传输(DL NAStransport)消息。
当第一请求是上行NAS传输消息,则第一响应是下行NAS传输(DL NAS transport)消息。
该第一响应中包含第五MAC。
其中,UDM发送的是第四MAC,而终端收到的第一响应中携带的是第五MAC。在正常情况下,第五MAC与第四MAC相同。在网络存在安全风险情况下,则UDM发送的第四MAC有可能被篡改,则终端收到的第五MAC有可能与第四MAC不同。需要说明的是,UDM发送的第四MAC可能是在AMF发出该第一响应之前被篡改,也可能是在AMF发出该第一响应之后在空口被篡改。
步骤310,终端校验第五MAC。
在正常情况下,终端收到的第五MAC与UDM发送的第四MAC相同。但当网络不够安全时,则UDM发送的第四MAC可能会被篡改,导致终端收到的第五MAC与UDM发送的第四MAC可能不同。
具体的,终端根据第二确认信息和Kausf,校验第五MAC。其中,这里的校验第五MAC,也可以描述为:校验第二确认信息,或者描述为:校验第二确认信息与第五MAC是否匹配。
其中,当终端收到第五MAC,则执行该步骤310;当终端没有收到第五MAC,则不执行该步骤310。
其中,当第五MAC与第四MAC相同时,该第五MAC则是根据第一确认信息和Kausf生成的。
具体的,终端按照与AUSF生成第四MAC相同的方法,生成第六MAC。如果该第六MAC与第五MAC相同,则第五MAC校验成功,表明UDM成功收到终端支持的参数更新类型(即第一参数更新类型),也表明第四MAC在传输过程中没有被篡改。如果该第六MAC与第五MAC不同,则第五MAC校验失败,表明第四MAC在传输过程中被篡改。
终端生成第六MAC的具体过程为:以Kausf作为密钥,以第二确认信息和第一计数值作为输入参数,计算得到第六MAC。其中,生成第六MAC使用的计数值与生成第一MAC使用的计数值相同,都是第一计数值。
其中,终端生成第六MAC时使用的第二确认信息与AUSF生成第四MAC时使用的第一确认信息是相同的确认信息,比如可以是相同的1比特信息。
其中,第二确认信息可以是终端生成的,或者是终端在需要生成第六MAC时,直接将该第二确认信息作为计算第六MAC的输入,也即可以不生成该第二确认信息,而是直接使用该第二确认信息。
需要说明的是,终端可以是在收到第五MAC后,触发该终端计算第六MAC,并使用第六MAC校验第五MAC。或者,终端也可以是在上述步骤301中确定要在第一请求中携带确认指示时,则终端可以在发送第一MAC之前,先计算得到第六MAC进行保存,待收到第五MAC后,使用第六MAC校验第五MAC。
作为一种实现方法,当第五MAC校验成功,则终端保存第二确认信息。当第五MAC校验失败,则终端丢弃第二确认信息和/或降低终端所在的PLMN的优先级。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送终端支持的参数更新类型过程中,还通过生成MAC对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。
图4为本申请实施例提供的一种无线通信方法,该方法与上述图3的方法的区别是:
在图3的方法中UDM根据第二参数更新类型,校验第二MAC是否与第三MAC匹配的方法是:UDM向AUSF发送第二参数更新类型和第二MAC,由AUSF根据第二参数更新类型和Kausf生成第三MAC,然后AUSF判断第三MAC与第二MAC是否相同,并生成MAC校验结果,MAC校验结果为第二MAC与第三MAC匹配或第二MAC与第三MAC不匹配,然后AUSF向UDM发送MAC校验结果。从而UDM根据MAC校验结果,获取第二MAC是否与第三MAC匹配。
在图4的方法中UDM根据第二参数更新类型,校验第二MAC是否与第三MAC匹配的方法是:UDM向AUSF发送第二参数更新类型,由AUSF根据第二参数更新类型和Kausf生成第三MAC,AUSF向UDM发送第三MAC,然后UDM校验第二MAC是否与第三MAC匹配,也即判断第三MAC与第二MAC是否相同。当第三MAC与第二MAC相同,则第二MAC与第三MAC匹配,当第三MAC与第二MAC不同,则第二MAC与第三MAC不匹配。
该图4的方法包括以下步骤:
步骤401至步骤402,同步骤301至步骤302,可参考前述描述。
步骤403,UDM向AUSF发送第三请求。相应地,AUSF收到该第三请求。
该第三请求中包含SUPI和第二参数更新类型。
其中,当第二请求中包含第二计数值,则该第三请求中还包含该第二计数值。当第二请求中包含确认指示,则该第三请求中还包含该确认指示。
该第二请求可以是UPU保护请求或UPU数据类型校验请求。
其中,SUPI的作用可以参考步骤303中的描述。
步骤404,AUSF生成第三MAC。
其中,AUSF生成第三MAC的方法,可以参考步骤304中的描述。
步骤405,AUSF向UDM发送第三响应。相应地,UDM收到该第三响应。
该第三响应是针对第三请求的响应。
该第三响应中包含第三MAC。
步骤406,同步骤307,可参考前述描述。
步骤407,当MAC校验结果是第二MAC校验成功,UDM向AUSF发送指示信息,用于指示第二MAC与第三MAC匹配,或用于指示第二MAC校验成功。
步骤408,AUSF生成第四MAC。
当AUSF收到来自UDM的指示信息,且上述第三请求中包含确认指示,则AUSF执行该步骤408,当AUSF未收到来自UDM的指示信息,或上述第三请求中不包含确认指示,则AUSF不执行该步骤408。
其中,AUSF生成第四MAC的方法可以参考步骤305中的描述。
步骤409,AUSF向UDM发送第四MAC。相应地,UDM收到该第四MAC。
该步骤可选。该执行步骤408,则执行该步骤409。
步骤410至步骤412,同步骤308至步骤310,可参考前述描述。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送终端支持的参数更新类型过程中,还通过生成MAC对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。
图5为本申请实施例提供的一种无线通信方法,该方法与图3的方法的主要区别是:图3的方法中,终端可以通过校验收到的第五MAC,来判断UDM是否成功收到第一参数更新类型,也即UDM通过显式方式告知终端是否成功收到第一参数更新类型;图5的方法中,UDM在成功收到第一参数更新类型时,不会向终端发送第四MAC,而是终端通过判断在后续UE参数更新(UE parameter update,UPU)流程或漫游处理(Steering of roaming,SoR)流程中是否收到第一参数更新类型对应的参数,来判断UDM是否成功收到第一参数更新类型,也即UDM通过隐式方式告知终端是否成功收到第一参数更新类型。
该方法包括以下步骤:
步骤501至步骤506,同步骤301至步骤304、步骤306至步骤307,可参考前述描述。
需要说明的是,在步骤501至步骤506的过程中,第一请求、第二请求以及第三请求中均没有携带确认指示,AUSF也没有计算第四MAC,第三响应中也没有包含第四MAC。也即在终端与UDM的交互过程中,不需要UDM向终端发送第四MAC。
步骤507,AMF向终端发送第一响应。相应地,终端收到该第一响应。
当第一请求是注册请求,则第一响应是注册接受。当第一请求是上行NAS传输消息,则第一响应是下行NAS传输(DL NAS transport)消息。
步骤508,UDM决定进行UPU或SoR。
步骤509,UDM向AMF发送第一通知消息。相应地,AMF收到第一通知消息。
该第一通知消息可以是Nudm_SDM_Notification消息。
其中,当UDM在上述步骤506中,保存了收到的第二参数更新类型,则可以在第一通知消息中包含第二参数更新类型对应的参数。由于该情形下,第二参数更新类型与第一参数更新类型相同,因此也可以理解为第一通知消息中包含第一参数更新类型对应的参数。
步骤510,AMF向终端发送第二通知消息。相应地,终端收到第二通知消息。
该第二通知消息可以是下行NAS传输(DL NAS transport)消息。
当第一通知消息中包含第一参数更新类型对应的参数,则在该第二通知消息中携带该第一参数更新类型对应的参数。
终端可以根据第二通知消息中是否包含第一参数更新类型对应的参数,来判断UDM是否收到第一参数更新类型。其中,当第二通知消息中包含第一参数更新类型对应的参数,则确定UDM成功收到了第一参数更新类型;当第二通知消息中没有包含第一参数更新类型对应的参数,则确定UDM没有成功收到第一参数更新类型。
其中,当确定UDM没有成功收到第一参数更新类型,则终端可以降低终端所在的PLMN的优先级。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送终端支持的参数更新类型过程中,还通过生成MAC对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。并且,通过终端根据后续UPU或SoR流程进行隐式判断之前所发送的第一参数更新类型是否被安全地传送到了UDM,进而判断服务网络是否对第一参数更新类型进行了篡改或丢弃,从而可以省去额外的MAC计算以及传递,降低终端与网路的信令和计算开销。
图6为本申请实施例提供的一种无线通信方法,该方法与图4的方法的主要区别是:图4的方法中,终端可以通过校验收到的第五MAC,来判断UDM是否成功收到第一参数更新类型,也即UDM通过显式方式告知终端是否成功收到第一参数更新类型;图6的方法中,UDM在成功收到第一参数更新类型时,不会向终端发送第四MAC,而是终端通过判断在后续UPU流程或SoR流程中是否收到第一参数更新类型对应的参数,来判断UDM是否成功收到第一参数更新类型,也即UDM通过隐式方式告知终端是否成功收到第一参数更新类型。该方法包括以下步骤:
步骤601至步骤606,同步骤401至步骤406,可参考前述描述。
需要说明的是,在步骤601至步骤606的过程中,第一请求、第二请求以及第三请求中均没有携带确认指示。
步骤607至步骤610,同步骤507至步骤510,可参考前述描述。
根据上述方案,终端主动向网络侧上报终端支持的参数更新类型,使得网络侧可以根据终端上报的参数更新类型,向终端发送相应的参数,即向终端发送终端支持的参数更新类型对应的参数,避免网络侧向终端发送该终端不支持的参数更新类型对应的参数,从而可以减少资源浪费。并且,在终端向网络侧发送终端支持的参数更新类型过程中,还通过生成MAC对该参数更新类型进行安全保护,以保证网络侧可以成功收到该终端支持的参数更新类型。并且,通过终端根据后续UPU或SoR流程进行隐式判断之前所发送的第一参数更新类型是否被安全地传送到了UDM,进而判断服务网络是否对第一参数更新类型进行了篡改或丢弃,从而可以省去额外的MAC计算以及传递,降低终端与网路的信令和计算开销。
为解决网络侧无法判断是否需要将新的参数更新类型对应的参数更新到终端的问题,本申请实施还提供一种解决方案,参考图7,为本申请实施例提供的一种无线通信方法,该方法包括以下步骤:
步骤701,终端向AMF发送注册请求。相应地,AMF收到该注册请求。
该注册请求中包含签约隐藏标识(subscription concealed identifier,SUCI)。
其中,该SUCI的实现方法包括但不限于以下方法1和方法2:
方法1,对SUPI以及终端支持的参数更新类型进行加密,得到该SUCI。
比如,先将终端支持的参数更新类型和SUPI进行拼接得到拼接信息,然后对该拼接进行加密得到SUCI的输出部分(output)。其中,拼接信息可以表示为“SUPI||终端支持的参数更新类型”,或者表示为“终端支持的参数更新类型||SUPI”。其中“||”是拼接符号。
方法2,对终端支持的参数更新类型、MAC以及SUPI密文进行拼接,得到该SUCI。
其中,MAC是使用UDM公钥以及终端支持的参数更新类型进行计算得到的。该MAC用于防止终端支持的参数更新类型在传输过程中被篡改。比如,SUCI中可以包含以下信息中的任一个:
1)“终端支持的参数更新类型||SUPI密文||MAC”;
2)“终端支持的参数更新类型||MAC||SUPI密文”;
3)“SUPI密文||MAC||终端支持的参数更新类型”;
4)“SUPI密文||终端支持的参数更新类型||MAC”;
5)“MAC||终端支持的参数更新类型||SUPI密文”;
6)“MAC||SUPI密文||终端支持的参数更新类型”。
作为一种实现方法,当满足上述步骤301中描述的条件1至条件5中的一个或多个时,则在该注册请求中携带该SUCI。
需要说明的是,如果该方案应用于初始注册场景,该注册请求可以携带于安全模式完成消息中,该安全模式完成消息可以对该注册请求进行安全保护。
步骤702,AMF向AUSF发送认证请求。相应地,AUSF收到该认证请求。
该认证请求中包含SUCI。该认证请求用于对SUCI指示的终端进行认证。
步骤703,AUSF向UDM发送认证请求。相应地,UDM收到该认证请求。
该认证请求中包含SUCI。所述认证请求用于请求获取所述SUCI指示的终端的认证参数。
步骤704,UDM从SUCI中解密得到终端支持的参数更新类型。
其中,如果是按照方法1生成SUCI,则UDM解密SUCI,可以得到终端支持的参数更新类型。
如果是按照方法2生成SUCI,则UDM可以从SUCI中获取终端支持的参数更新类型的明文信息,然后根据终端支持的参数更新类型对MAC进行校验,如果校验成功,则表明终端支持的参数更新类型在传输过程中没有被篡改,因此UDM可以成功获取终端发送的终端支持的参数更新类型。
步骤705,UDM保存收到的终端支持的参数更新类型。
根据上述方案,通过在发送的SUCI中保护终端支持的参数更新类型,可以复用现有的IE和流程也能将终端支持的参数更新类型安全的送到UDM,避免了对现有系统流程的改造,降低了终端和网络的信令开销。
为解决网络侧无法判断是否需要将新的参数更新类型对应的参数更新到终端的问题,本申请实施还提供一种解决方案,参考图8,为本申请实施例提供的一种无线通信方法,该方法应用于SOR流程中。该方法是在SOR流程中,通知终端上报终端支持的参数更新类型。
该方法包括以下步骤:
步骤801,UDM向AUSF发送第一请求,相应地,AUSF接收该第一请求。
可选地,第一请求可以是Nausf_SoRProtection消息。
其中,该UDM支持新的参数更新类型,且该UDM需要获取终端支持的新的参数更新类型。如果UDM没有SoR参数需要发送到终端,UDM也可以因为需要获取终端支持的参数更新类型而发起一个负载(payload)为空的SoR流程。如果UDM需要进行SoR参数的更新,则可选地,该负载部分携带相应的漫游参数。
这里的新的参数更新类型,指的是除SoR参数更新之外的其它参数更新类型。比如,UDM支持的新的参数更新类型是SoR-CMCI。其中,CMCI的全称是连接态控制信息(connected mode control information)。还比如,UDM支持除路由指示更新数据和默认配置网络切片选择辅助信息更新数据之外的其他参数更新类型。
这里的SoR参数更新,指的是UDM向终端发送更新的SoR参数,该SoR参数可以是接入技术/PLMN ID的列表。例如,该列表包含:4G/PLMN ID 1,4G/PLMN ID 2,5G/PLMN ID 1,5G/PLMN ID 2。
该第一请求中包含SUPI,该SUPI用于标识一个终端。AUSF可以根据该SUPI,获取与该SUPI对应的Kausf。
可选的,该第一请求中还包含UDM支持的新的参数更新类型。
步骤802,AUSF获取第一信息。
该第一信息可以是SoR header。
该第一信息中包含第一指示,该第一指示用于指示终端需要使用新增参数计算终端侧返回的MAC,或者指示UDM支持新的参数更新类型,或者指示终端发送支持的参数更新类型。新增参数指除ACK之外的参数,如终端返回的SoR header和/或新的参数更新类型。
作为一种实现方法,该第一信息是UDM生成后发送给AUSF的。
作为另一种实现方法,该第一信息是AUSF生成。比如,上述第一请求中包含UDM支持的新的参数更新类型,则AUSF根据UDM支持的新的参数更新类型,生成第一指示,然后根据第一指示,生成第一信息。
步骤803,AUSF根据Kausf,第一信息以及第一计数值,生成第一MAC。
其中,该Kausf是与SUPI对应。该Kausf与终端中使用的Kausf相同。
步骤804,AUSF向UDM发送第一响应,相应地,UDM接收第一响应。
可选地,第一响应可以是Nausf_SoRProtection Response消息。
该第一响应中包含第一MAC、第一信息和第一计数值。
步骤805,UDM向AMF发送第一消息,相应地,AMF接收第一消息。
可选地,第一消息可以是Nudm_SDM_Notification消息。
该第一消息可以是签约数据管理获取响应或签约数据管理通知。
该第一消息中包含第一MAC、第一信息和第一计数值。
步骤806,AMF向终端发送第二消息,相应地,终端接收第二消息。
该第二消息可以是注册接受消息或下行NAS传输消息。
该第二消息中包含第一MAC、第一信息和第一计数值。
其中,UDM发送的是第一MAC、第一信息和第一计数值,而终端收到的是第二MAC、第二信息和第二计数值。在正常情况下,终端收到的第二MAC与UDM发送的第一MAC相同,终端收到的第二信息与UDM发送的第一信息相同,终端收到的第二计数值与UDM发送的第一计数值相同。但当网络不够安全时,则UDM发送的上述信息可能会被篡改,导致终端收到的第二MAC与UDM发送的第一MAC可能不同,终端收到的第二信息与UDM发送的第一信息可能不同,终端收到的第二计数值与UDM发送的第一计数值可能不同。
步骤807,终端根据第二计数值、第二信息和Kausf,校验第二MAC。
其中,终端根据第二计数值、第二信息和Kausf,生成第三MAC。当第三MAC与第二MAC相同,表明第一信息在传输过程中没有被篡改,则校验第二MAC成功,也即确定终端收到的第二MAC与AMF发送的第一MAC相同,终端收到的第二信息与AMF发送的第一信息相同,终端收到的第二计数值与AMF发送的第一计数值相同。当第三MAC与第二MAC不同,表明第一信息在传输过程中可能被篡改,即第二信息可能与第一信息不同,则校验第二MAC失败。
步骤808,在第二MAC校验成功的情况下,当该终端支持新的参数更新类型,则根据第一指示,触发根据Kausf,第一参数更新类型和第三计数值,生成第四MAC。
所述第一参数更新类型,比如可以是支持的终端参数更新数据集类型列表(supported UE parameters update data set types list),或者是除路由指示更新数据和默认配置网络切片选择辅助信息更新数据之外支持的终端参数更新数据集类型列表。
具体的,根据第二信息中的第一指示,触发终端以Kausf为密钥,以第一参数更新类型以及第三计数值作为输入,生成第四MAC。可选的,生成第四MAC时还以第三信息作为输入,该第三信息可以是终端生成的SoR header。其中,该第三计数值与前述第二计数值不同。
其中,第一参数更新类型指的是终端支持的参数更新类型。
其中,可选的,该第三信息中包含第二指示,该第二指示用于指示需要使用新增参数计算AUSF侧的MAC,或者指示终端支持新的参数更新类型,或者指示终端发送了新的参数更新类型。
步骤809,终端向AMF发送第三消息,相应的,AMF接收第三消息。
该第三消息可以是注册完成消息或/上行NAS传输消息。
该第三消息中包含第一参数更新类型,第四MAC,第三信息和第三计数值。
步骤810,AMF向UDM发送第四消息,相应的,UDM接收第四消息。
该第四消息中包含第二参数更新类型,第五MAC,第四信息和第四计数值。
该第四消息可以是Nudm_SDM_Info消息。
其中,终端发送的是第一参数更新类型、第四MAC、第三信息和第三计数值,而UDM收到的是第二参数更新类型、第五MAC、第四信息和第四计数值。在正常情况下,UDM收到的第二参数更新类型与终端发送的第一参数更新类型相同,UDM收到的第五MAC与终端发送的第四MAC相同,UDM收到的第四信息与终端发送的第三信息相同,UDM收到的第四计数值与终端发送的第三计数值相同。但当网络不够安全时,则终端发送的上述信息可能会被篡改,导致UDM收到的第二参数更新类型与终端发送的第一参数更新类型可能不同,UDM收到的第五MAC与终端发送的第四MAC可能不同,UDM收到的第四信息与终端发送的第三信息可能不同,UDM收到的第四计数值与终端发送的第三计数值可能不同。
步骤811,UDM向AUSF发送第五消息,相应地,AUSF收到第五消息。作为一种实现方式,UDM根据第四信息中的第二指示或根据第四消息中携带新的参数更新类型向AUSF发送第五消息,其中携带第二参数更新类型、第五MAC和第四计数值。可选的,第五消息中还携带第四信息。
如果UDM在步骤804中获取了终端侧响应的MAC,则可选地,UDM可以根据第二指示或根据第四消息中携带新的参数更新类型,忽略或删除该MAC。
步骤812,AUSF根据第二参数更新类型、第四计数值和Kausf,校验第五MAC。
其中,AUSF根据第二参数更新类型、第四计数值和Kausf,生成第六MAC。当第六MAC与第五MAC相同,则校验第五MAC成功,也即确定UDM收到的第五MAC与终端发送的第四MAC相同,UDM收到的第二参数更新类型与终端发送的第一参数更新类型相同,AMF收到的第四计数值与终端发送的第三计数值相同。当第六MAC与第五MAC不同,表明第一参数更新类型在传输过程中可能被篡改,即第二参数更新类型可能与第一参数更新类型不同,则校验第五MAC失败。
可选的,当第五消息中包含第四信息,则该步骤中AUSF根据第二参数更新类型、第四计数值、第四信息和Kausf,校验第五MAC。
这里的校验第五MAC,也可以描述为:校验第二参数更新类型,或者描述为:校验第二参数更新类型与第五MAC是否匹配。
步骤813,AUSF向UDM发送MAC校验结果。相应地,UDM接收MAC校验结果。
该MAC校验结果是第五MAC校验成功或第五MAC校验失败。
这里的MAC校验结果,也可以描述为:校验第二参数更新类型的结果,或者描述为:校验第二参数更新类型与第五MAC是否匹配的结果。
步骤814,当MAC校验结果是第五MAC校验成功,则UDM保存收到的第二参数更新类型;当MAC校验结果是第五MAC校验失败,则UDM丢弃收到的第二参数更新类型和/或降低终端所在的PLMN的优先级。
作为另一种可替代的实现方法,上述步骤811的第五消息中不携带第五MAC,将上述步骤812修改为:AUSF根据第二参数更新类型、第四计数值和Kasuf,生成第六MAC,上述步骤813修改为:AUSF向UDM发送第六MAC,以及在步骤813和步骤814之间增加一个步骤:UDM根据第六MAC,校验第五MAC。其中,当第六MAC与第五MAC相同,则MAC校验结果是第五MAC校验成功;当第六MAC与第五MAC不同,则MAC校验结果是第五MAC校验失败。
根据上述方案,在SoR流程中携带终端支持的参数更新类型,从而能最大程度复用现有流程,减少终端和网络侧信令开销,也达到了向网络传递终端支持的参数更新类型的目的。
需要说明的是,作为另一种实现方法,上述步骤808中,终端生成第四MAC时使用的第三计数器值与在步骤807中收到的第二计数值相同。则相应地,在步骤812中,校验第五MAC时使用的第四计数值与第一计数值相同。在正常情况下,第一计数值、第二计数值、第二计数值以及第四计数值均是同一个计数值。在该方法中,可选的,AUSF在执行步骤803后,保存使用的第一计数值。可选的,UDM在步骤804后,保存收到的第一计数值。可选的,UDM在收到第四计数值时,可以判断第四计数值与第一计数值是否相同。如果相同,表明收到的第四计数值是新鲜的,则执行步骤811以及后续步骤。如果不同,则丢弃第四消息,并停止执行后续步骤。可选的,AUSF在执行步骤812之前,还可以判断第四计数值与第一计数值是否相同。如果相同,表明收到的第四计数值是新鲜的,则执行步骤812以及后续步骤。如果不同,则丢弃第五消息并停止执行后续步骤。当然,作为另一种实现方法,如果上述步骤808中终端生成第四MAC时使用的第三计数器值与在步骤807中收到的第二计数值相同,则在上述第三消息中不携带第三计数值,相应地,第四消息中也不携带第四计数值,从而在步骤812时校验第五MAC时使用的计数值就是第一计数值。作为另一种实现方法,如果UDM在步骤804后保存了第一计数值,则UDM执行完上述校验动作后,即使没有在第四消息收到第四计数值,也可以将保存的第一计数值携带在第五消息中,从而在步骤812中校验第五MAC时使用的计数值就是第一计数值。作为另一种实现方法,如果第五消息中也不携带第四计数值,AUSF可以直接使用保存的第一计数值,从而在步骤812中校验第五MAC时使用的计数值就是第一计数值。
上述图8的方法实施例中,是在SoR流程中,通知终端上报终端支持的参数更新类型。作为另一种实现方法,也可以在UPU流程中,通知终端上报至终端支持的参数更新类型。该情形下,则具体实现过程与上述图8的方法实施例类似,主要区别在于:
1)上述第一请求可以是Nausf_UPUProtection消息,UDM支持新的参数更新类型指的是除路由指示更新数据和默认配置NSSAI更新数据之外的其它参数更新类型。
2)上述第一信息可以是UPF header。
3)上述第一响应可以是Nausf_UPUProtection Response消息。
3)上述的第三信息可以是UPU header。
可以理解的是,为了实现上述实施例中功能,AUSF、UDM、AMF和终端包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请中所公开的实施例描述的各示例的单元及方法步骤,本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用场景和设计约束条件。
图9和图10为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中终端、AMF、UDM或AUSF的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中,该通信装置可以是终端、AMF、UDM或AUSF,还可以是应用于终端、AMF、UDM或AUSF的模块(如芯片)。
如图9所示,通信装置900包括处理单元910和收发单元920。通信装置900用于实现上述图3至图6中所示的方法实施例中终端、AMF、UDM或AUSF的功能。
当通信装置900用于实现图3至图6中所示的方法实施例中的终端的功能时:处理单元910,用于根据第一参数更新类型和Kausf,生成第一消息认证码MAC,所述第一参数更新类型是所述终端支持的参数更新类型,所述Kausf是所述终端与鉴权网元之间的密钥;收发单元920,用于向移动性管理网元发送所述第一参数更新类型和所述第一MAC。
在一种可能的实现方法中,收发单元920,还用于接收来自所述移动性管理网元的第五MAC所述第五MAC是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示数据管理网元成功收到了所述第一参数更新类型;处理单元910,还用于根据第二确认信息和所述Kausf,对所述第五MAC进行校验。
在一种可能的实现方法中,处理单元910,还用于当所述第五MAC校验成功,保存所述确认信息;或者,当所述第五MAC校验失败,丢弃所述第二确认信息和/或降低所述终端所在的公共陆地移动网络PLMN的优先级。
在一种可能的实现方法中,收发单元920,还用于在向移动性管理网元发送所述第一参数更新类型和所述第一MAC之后,接收来自所述移动性管理网元的下行非接入层传输消息;处理单元910,还用于当所述下行非接入层传输消息中包含所述第一参数更新类型对应的参数,确定所述数据管理网元成功收到所述第一参数更新类型;或者,当所述下行非接入层传输消息中不包含所述第一参数更新类型对应的参数,降低所述终端所在的PLMN的优先级。
在一种可能的实现方法中,处理单元910,还用于在根据第一参数更新类型和Kausf,生成第一MAC之前,还包括以下一项或多项:
确定在所述终端中插入了新的全球用户身份模块USIM;
确定所述第一参数更新类型中包含除路由指示更新数据和默认配置NSSAI更新数据之外的其它参数更新类型;
确定所述终端开机;
确定未发送过所述第一参数更新类型;
确定未收到过针对所述第一参数更新类型的响应。
在一种可能的实现方法中,收发单元920,具体用于向所述移动性管理网元发送注册请求消息,所述注册请求消息中包含所述第一参数更新类型和所述第一MAC;或者,向所述移动性管理网元发送上行非接入层传输消息,所述上行非接入层传输消息中包含所述第一参数更新类型和所述第一MAC。
在一种可能的实现方法中,所述第一参数更新类型包括以下一项或多项:
切片认证凭据的更新、协议数据单元PDU会话认证凭据的更新。
当通信装置900用于实现图3至图6中所示的方法实施例中的UDM的功能时:收发单元920,用于接收来自终端的第二参数更新类型和第二消息认证码MAC;处理单元910,用于根据所述第二参数更新类型,校验所述第二MAC是否与第三MAC匹配,所述第三MAC是根据所述第二参数更新类型和Kausf生成的;其中,所述Kausf是所述终端与鉴权网元之间的密钥。
在一种可能的实现方法中,处理单元910,具体用于通过收发单元920向所述鉴权网元发送所述第二参数更新类型;通过收发单元920接收来自所述鉴权网元的所述第三MAC;校验所述第二MAC是否与所述第三MAC匹配。
在一种可能的实现方法中,处理单元910,具体用于通过收发单元920向所述鉴权网元发送所述第二参数更新类型和所述第二MAC;通过收发单元920接收来自所述鉴权网元的MAC校验结果,所述MAC校验结果为所述第二MAC与第三MAC匹配或所述第二MAC与第三MAC不匹配。
在一种可能的实现方法中,收发单元920,还用于接收来自所述鉴权网元的第四MAC,所述第四MAC是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示成功收到所述终端支持的参数更新类型;向所述终端发送所述第四MAC。
在一种可能的实现方法中,处理单元910,还用于在所述第二MAC与第三MAC匹配的情况下,保存所述第二参数更新类型;或者,在所述第二MAC与第三MAC不匹配的情况下,丢弃所述第二参数更新类型,和/或降低所述终端所在的PLMN的优先级。
当通信装置900用于实现图3或图5示的方法实施例中的AUSF的功能时:收发单元920,用于接收来自数据管理网元的第二参数更新类型和第二消息认证码MAC;处理单元910,用于根据所述第二参数更新类型和Kausf,生成第三MAC,所述Kausf是终端与所述鉴权网元之间的密钥;校验所述第二MAC是否与所述第三MAC匹配;收发单元920,还用于向所述数据管理网元发送MAC校验结果,所述MAC校验结果为所述第二MAC与第三MAC匹配或所述第二MAC与第三MAC不匹配。
在一种可能的实现方法中,处理单元910,还用于在所述MAC校验结果为所述第二MAC与第三MAC匹配的情况下,根据第一确认信息和所述Kausf,生成第四MAC,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;收发单元920,还用于向所述数据管理网元发送所述第四MAC。
当通信装置900用于实现图4或图6所示的方法实施例中的AUSF的功能时:收发单元920,用于接收来自数据管理网元的第二参数更新类型;处理单元910,用于根据所述第二参数更新类型和Kausf,生成第三消息认证码MAC,所述Kausf是终端与所述鉴权网元之间的密钥;收发单元920,还用于向所述数据管理网元发送所述第三MAC。
在一种可能的实现方法中,收发单元920,还用于接收来自所述数据管理网元的指示信息,所述指示信息用于指示所述第二MAC与第三MAC匹配;处理单元910,还用于根据第一确认信息和所述Kausf,生成第四MAC;其中,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;收发单元920,还用于向所述数据管理网元发送所述第四MAC。
有关上述处理单元910和收发单元920更详细的描述可以直接参考图3至图6所示的方法实施例中相关描述直接得到,这里不加赘述。
如图10所示,通信装置1000包括处理器1010和接口电路1020。处理器1010和接口电路1020之间相互耦合。可以理解的是,接口电路1020可以为收发器或输入输出接口。可选的,通信装置1000还可以包括存储器1030,用于存储处理器1010执行的指令或存储处理器1010运行指令所需要的输入数据或存储处理器1010运行指令后产生的数据。
当通信装置1000用于实现图3至图6所示的方法时,处理器1010用于实现上述处理单元910的功能,接口电路1120用于实现上述收发单元920的功能。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、基站、终端或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘;还可以是半导体介质,例如,固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质,或可包括易失性和非易失性两种类型的存储介质。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
Claims (21)
1.一种无线通信方法,应用于终端,其特征在于,包括:
根据第一参数更新类型和Kausf,生成第一消息认证码,所述第一参数更新类型是所述终端支持的参数更新类型,所述Kausf是所述终端与鉴权网元之间的密钥;
向移动性管理网元发送所述第一参数更新类型和所述第一消息认证码。
2.如权利要求1所述的方法,其特征在于,还包括:
接收来自所述移动性管理网元的第五消息认证码,所述第五消息认证码是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示数据管理网元成功收到了所述第一参数更新类型;
根据第二确认信息和所述Kausf,对所述第五消息认证码进行校验。
3.如权利要求2所述的方法,其特征在于,还包括:
当所述第五消息认证码校验成功,保存所述第二确认信息;或者,
当所述第五消息认证码校验失败,丢弃所述第二确认信息和/或降低所述终端所在的公共陆地移动网络PLMN的优先级。
4.如权利要求1至3中任一项所述的方法,其特征在于,在向移动性管理网元发送所述第一参数更新类型和所述第一消息认证码之后,所述方法还包括:
接收来自所述移动性管理网元的下行非接入层传输消息;
当所述下行非接入层传输消息中包含所述第一参数更新类型对应的参数,确定所述数据管理网元成功收到所述第一参数更新类型;或者,
当所述下行非接入层传输消息中不包含所述第一参数更新类型对应的参数,降低所述终端所在的PLMN的优先级。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述根据第一参数更新类型和Kausf,生成第一消息认证码之前,还包括以下一项或多项:
确定在所述终端中插入了新的全球用户身份模块USIM;
确定所述第一参数更新类型中包含除路由指示更新数据和默认配置NSSAI更新数据之外的其它参数更新类型;
确定所述终端开机;
确定未发送过所述第一参数更新类型;
确定未收到过针对所述第一参数更新类型的响应。
6.如权利要求1至5中任一项所述的方法,其特征在于,所述向移动性管理网元发送所述第一参数更新类型和所述第一消息认证码,包括:
向所述移动性管理网元发送注册请求消息,所述注册请求消息中包含所述第一参数更新类型和所述第一消息认证码;或者,
向所述移动性管理网元发送上行非接入层传输消息,所述上行非接入层传输消息中包含所述第一参数更新类型和所述第一消息认证码。
7.如权利要求1至6中任一项所述的方法,其特征在于,所述第一参数更新类型包括以下一项或多项:
切片认证凭据的更新、协议数据单元PDU会话认证凭据的更新。
8.一种无线通信方法,应用于数据管理网元,其特征在于,包括:
接收来自终端的第二参数更新类型和第二消息认证码;
根据所述第二参数更新类型,校验所述第二消息认证码是否与第三消息认证码匹配,所述第三消息认证码是根据所述第二参数更新类型和Kausf生成的;其中,所述Kausf是所述终端与鉴权网元之间的密钥。
9.如权利要求8所述的方法,其特征在于,所述根据所述第二参数更新类型,校验所述第二消息认证码是否与第三消息认证码匹配,包括:
向所述鉴权网元发送所述第二参数更新类型;
接收来自所述鉴权网元的所述第三消息认证码;
校验所述第二消息认证码是否与所述第三消息认证码匹配。
10.如权利要求8所述的方法,其特征在于,所述根据所述第二参数更新类型,校验所述第二消息认证码是否与第三消息认证码匹配,包括:
向所述鉴权网元发送所述第二参数更新类型和所述第二消息认证码;
接收来自所述鉴权网元的消息认证码校验结果,所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配或所述第二消息认证码与第三消息认证码不匹配。
11.如权利要求8至10中任一项所述的方法,其特征在于,还包括:
接收来自所述鉴权网元的第四消息认证码,所述第四消息认证码是根据第一确认信息和所述Kausf生成的,所述第一确认信息用于指示成功收到所述终端支持的参数更新类型;
向所述终端发送所述第四消息认证码。
12.如权利要求8至11中任一项所述的方法,其特征在于,还包括:
在所述第二消息认证码与第三消息认证码匹配的情况下,保存所述第二参数更新类型;或者,
在所述第二消息认证码与第三消息认证码不匹配的情况下,丢弃所述第二参数更新类型,和/或降低所述终端所在的PLMN的优先级。
13.一种无线通信方法,应用于鉴权网元,其特征在于,包括:
接收来自数据管理网元的第二参数更新类型和第二消息认证码;
根据所述第二参数更新类型和Kausf,生成第三消息认证码,所述Kausf是终端与所述鉴权网元之间的密钥;
校验所述第二消息认证码是否与所述第三消息认证码匹配;
向所述数据管理网元发送消息认证码校验结果,所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配或所述第二消息认证码与第三消息认证码不匹配。
14.如权利要求13所述的方法,其特征在于,还包括:
在所述消息认证码校验结果为所述第二消息认证码与第三消息认证码匹配的情况下,根据第一确认信息和所述Kausf,生成第四消息认证码,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;
向所述数据管理网元发送所述第四消息认证码。
15.一种无线通信方法,应用于鉴权网元,其特征在于,包括:
接收来自数据管理网元的第二参数更新类型;
根据所述第二参数更新类型和Kausf,生成第三消息认证码,所述Kausf是终端与所述鉴权网元之间的密钥;
向所述数据管理网元发送所述第三消息认证码。
16.如权利要求15所述的方法,其特征在于,还包括:
接收来自所述数据管理网元的指示信息,所述指示信息用于指示所述第二消息认证码与第三消息认证码匹配;
根据第一确认信息和所述Kausf,生成第四消息认证码;其中,所述第一确认信息用于指示所述数据管理网元成功收到所述终端支持的参数更新类型;
向所述数据管理网元发送所述第四消息认证码。
17.一种通信装置,其特征在于,包括用于执行如权利要求1至7中任一项所述方法的模块,或用于执行如权利要求8至12中任一项所述方法的模块,或用于执行如权利要求13或14所述方法的模块,或用于执行如权利要求15或16所述方法的模块。
18.一种通信装置,其特征在于,包括处理器和接口电路,所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置,所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至7中任一项所述的方法,或用于实现如权利要求8至12中任一项所述的方法,或用于实现如权利要求13至14中任一项所述的方法,或用于实现如权利要求15或16所述的方法。
19.一种通信系统,其特征在于,包括用于执行如权利要求8至12中任一项所述方法的数据管理网元,和用于执行如权利要求13或14所述方法的鉴权网元;或者,包括用于执行如权利要求8至12中任一项所述方法的数据管理网元,和用于执行如权利要求15或16所述方法的鉴权网元。
20.一种计算机程序产品,其特征在于,包括计算机程序,当所述计算机程序被通信装置执行时,实现如权利要求1至16中任一项所述的方法。
21.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如权利要求1至16中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110501343.6A CN115396868A (zh) | 2021-05-08 | 2021-05-08 | 一种无线通信方法、通信装置及通信系统 |
PCT/CN2022/086588 WO2022237441A1 (zh) | 2021-05-08 | 2022-04-13 | 一种无线通信方法、通信装置及通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110501343.6A CN115396868A (zh) | 2021-05-08 | 2021-05-08 | 一种无线通信方法、通信装置及通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115396868A true CN115396868A (zh) | 2022-11-25 |
Family
ID=84029403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110501343.6A Pending CN115396868A (zh) | 2021-05-08 | 2021-05-08 | 一种无线通信方法、通信装置及通信系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115396868A (zh) |
WO (1) | WO2022237441A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109842880B (zh) * | 2018-08-23 | 2020-04-03 | 华为技术有限公司 | 路由方法、装置及系统 |
CN111669276B (zh) * | 2019-03-07 | 2022-04-22 | 华为技术有限公司 | 一种网络验证方法、装置及系统 |
CN113994629A (zh) * | 2019-04-08 | 2022-01-28 | 日本电气株式会社 | 在ue配置更新过程期间向ue参数提供完整性保护的过程 |
-
2021
- 2021-05-08 CN CN202110501343.6A patent/CN115396868A/zh active Pending
-
2022
- 2022-04-13 WO PCT/CN2022/086588 patent/WO2022237441A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2022237441A1 (zh) | 2022-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11457360B2 (en) | Security mode integrity verification | |
CN108391321B (zh) | 处理无线通信系统中状态不匹配的装置及方法 | |
US20220408249A1 (en) | Home network initiated primary authentication/reauthentication | |
US20220167157A1 (en) | Procedure to provide integrity protection to a ue parameter during ue configuration update procedure | |
US11751130B2 (en) | Apparatus, method and computer program | |
US20210045050A1 (en) | Communications method and apparatus | |
US9100796B2 (en) | Methods, systems, and computer readable media for seamless roaming between diameter and non-diameter networks | |
WO2020067112A1 (ja) | コアネットワーク装置、通信端末、通信システム、認証方法、及び通信方法 | |
US20230337002A1 (en) | Security context generation method and apparatus, and computer-readable storage medium | |
US20240031925A1 (en) | Method of amf, method of ue, amf, and ue | |
US11930472B2 (en) | Target information acquisition method and terminal device | |
US8953636B2 (en) | End-to-end feature support signaling | |
GB2592356A (en) | Network security | |
CN115396868A (zh) | 一种无线通信方法、通信装置及通信系统 | |
US20220240174A1 (en) | Processing nssaa failure caused by network error or timeout | |
CN113973366B (zh) | 一种信息处理方法、终端、设备和可读存储介质 | |
CN113709729B (zh) | 数据处理方法、装置、网络设备及终端 | |
CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
US20200053564A1 (en) | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device | |
WO2024000134A1 (zh) | 验证方法、装置、设备及存储介质 | |
WO2021132087A1 (ja) | Amfノード及びその方法 | |
GB2605718A (en) | Network security | |
CN117044249A (zh) | 基于能力的注册认证 | |
CN117546531A (zh) | 网络切片准入控制 | |
KR20230023593A (ko) | 제어평면 기반 사용자 장비의 파라미터를 업데이트하는 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |