CN115915121A - 一种通信方法以及相关装置 - Google Patents
一种通信方法以及相关装置 Download PDFInfo
- Publication number
- CN115915121A CN115915121A CN202110898803.3A CN202110898803A CN115915121A CN 115915121 A CN115915121 A CN 115915121A CN 202110898803 A CN202110898803 A CN 202110898803A CN 115915121 A CN115915121 A CN 115915121A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- request message
- intermediate key
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 396
- 238000004891 communication Methods 0.000 title claims abstract description 322
- 239000013598 vector Substances 0.000 claims abstract description 264
- 230000008569 process Effects 0.000 claims abstract description 98
- 230000004044 response Effects 0.000 claims description 325
- 230000006870 function Effects 0.000 claims description 198
- 238000012545 processing Methods 0.000 claims description 160
- 238000007726 management method Methods 0.000 claims description 132
- 238000005516 engineering process Methods 0.000 claims description 120
- 238000012790 confirmation Methods 0.000 claims description 93
- 238000012795 verification Methods 0.000 claims description 89
- 238000013523 data management Methods 0.000 claims description 45
- 230000015654 memory Effects 0.000 claims description 45
- 238000004590 computer program Methods 0.000 claims description 12
- 230000001976 improved effect Effects 0.000 claims description 3
- 230000007774 longterm Effects 0.000 description 41
- 238000010586 diagram Methods 0.000 description 22
- 230000007787 long-term memory Effects 0.000 description 9
- 230000001960 triggered effect Effects 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 238000010295 mobile communication Methods 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000009467 reduction Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 4
- 238000004846 x-ray emission Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 229910052710 silicon Inorganic materials 0.000 description 2
- 239000010703 silicon Substances 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001537 neural effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000008093 supporting effect Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种通信方法以及相关装置,包括:UDM接收来自一个或多个AUSF针对同一个UE的多个鉴权向量获取请求消息,该多个鉴权向量获取请求消息用于获取UE对应的鉴权向量;UDM按序处理该多个鉴权向量获取请求消息,从而可以避免后续UE因为接收到多个接收时序不可控的NAS SMC消息或者EAP‑Success消息而导致UE与网络设备侧存储的中间密钥Kausf失步的问题。上述方法可以保证UE存储的中间密钥与网络设备侧存储的中间密钥一致,避免发生密钥失步。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法以及相关装置。
背景技术
随着网络技术的快速的发展,网络安全成为日益突出的问题。随着第五代移动通信(the5th generation,5G)的发展,5G技术支持的两种鉴权方法分别为:5G认证和密钥协商(5G authentication and key agreement,5G AKA)和第三代认证和密钥协商的改进扩展认证协议方式(improved extensible authentication protocol method for 3rdgeneration authentication and key agreement,EAP-AKA')。在两种鉴权方法中,终端设备侧与网络设备侧分别通过长期密钥K生成中间密钥Kausf。
进一步的,由于终端设备侧与网络设备侧分别需要使用该中间密钥Kausf进一步生成其它密钥或者安全上下文(安全上下文包括但不限于:密钥、算法、计数器等用于安全功能的材料),另外,后续网络设备侧向终端设备发送数据的时候也需要使用该中间密钥Kausf对数据进行安全保护,因此,终端设备侧与网络设备侧都需要存储该中间密钥Kausf。
目前,在5G AKA中规定,在终端设备的注册流程中,终端设备在收到非接入层安全模式命令(non-access stratum security mode commond,NAS SMC)消息后,保存与该NASSMC消息对应的Kausf。在EAP-AKA’中规定,终端设备在收到可扩展认证协议成功消息(EAP-Success)后,保存与该EAP-Success消息对应的Kausf。在网络设备侧,鉴权管理功能(authentication server function,AUSF)中,与终端设备类似,AUSF也需要保存Kausf。
申请人在研究中发现,按照现有标准,当终端设备同时接入两个或两个以上的公共陆地移动网(public land mobile network,PLMN)时,可能会出现网络设备侧中存储的Kausf与终端设备中存储的Kausf不一致的问题,也称为密钥失步。
发明内容
第一方面,本申请实施例提出一种通信方法,包括:统一数据管理接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息,所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量;所述统一数据管理按序处理所述多个鉴权向量获取请求消息。
本申请实施例中,统一数据管理(unified data management,UDM)按照接收的多个鉴权向量获取请求消息的顺序,处理多个鉴权向量获取请求消息。通过按序处理多个鉴权向量获取请消息,从而可以避免后续UE因为接收到多个接收时序不可控的鉴权请求而导致UE与网络设备侧存储的中间密钥Kausf失步的问题。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理按序处理所述多个鉴权向量获取请求消息,包括:所述统一数据管理响应于第一鉴权向量获取请求消息,向第一鉴权管理功能发送第一鉴权向量;在所述统一数据管理收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前,所述统一数据管理暂停处理第二鉴权向量获取请求消息,所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识,其中,所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
本申请实施例中,在UDM同时收到多个鉴权向量请求的情况下,UDM按照接收的多个鉴权向量获取请求消息的顺序,处理多个鉴权向量获取请求消息。UDM在收到第一鉴权向量对应的第一鉴权结果确认请求消息之前,会暂停处理第二鉴权向量获取请求消息。通过在UDM上对针对UE的多个鉴权向量获取请求进行控制,保证与第一鉴权向量获取请求消息关联的第一通信网络的鉴权流程先执行,在UE与所述第一通信网络的鉴权流程中,UE和网络设备侧都会存储与第一通信网络相关的第一中间密钥Kausf-1。当UE收到针对第一鉴权向量的第一鉴权结果确认请求消息后,恢复处理第二鉴权向量获取请求消息,即恢复执行第二通信网络的鉴权流程,在鉴权流程完成之后,UE和网络设备侧最后存储的中间密钥都是与第二通信网络关联的第二中间密钥Kausf-2。上述方法可以保证UE存储的中间密钥与网络设备侧存储的中间密钥总是保持一致,避免发生密钥失步。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理接收所述第一鉴权结果确认请求消息;所述统一数据管理响应于所述第一鉴权结果确认请求消息,存储所述第一鉴权管理功能的标识。
具体的,第一AUSF向UDM发送针对第一鉴权向量的第一鉴权结果确认请求消息。该第一鉴权结果确认请求消息还可以携带以下一个或者多个信息:签约用户的永久身份标识(subscriber permanent identifier,SUPI)、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第一AUSF的标识。可选的,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第一鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理响应于所述第二鉴权向量获取请求消息,向第二鉴权管理功能发送第二鉴权向量;所述统一数据管理接收针对所述第二鉴权向量的第二鉴权结果确认请求消息,所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识;所述统一数据管理响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识。
具体的,第二AUSF向UDM发送第二鉴权向量对应的第二鉴权结果确认请求消息。该第二鉴权结果确认请求消息中携带以下一个或者多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第二AUSF的标识。可选的,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第二鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识,具体为:所述统一数据管理使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。
可选的,统一数据管理可以通知第一鉴权管理功能删除第一中间密钥Kausf-1。以此保证网络设备侧仅保存第二中间密钥Kausf-2,进而保证终端设备保存的中间密钥与网络设备侧保存的中间密钥一致。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理按序处理所述多个鉴权向量获取请求消息,具体为:响应于所述终端设备的鉴权方法为5G认证和密钥协商(5G Authentication and Key Agreement,5G AKA),所述统一数据管理按序处理所述多个鉴权向量获取请求消息。
结合第一方面,在第一方面的一种可能的实现方式中,所述统一数据管理根据所述终端设备的签约信息,确定所述终端设备对应的鉴权方法为5G AKA。具体的,UDM接收第一鉴权向量获取请求消息后,根据该UE的签约信息,确定该UE的鉴权方法。本实施例中,UDM响应于第一鉴权向量获取请求消息,选择该UE的鉴权方法为5G AKA。
第二方面,本申请实施例提出一种通信方法,包括:终端设备接收来自第一通信网络中第一接入和移动性管理功能(access and mobility management function,AMF)的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息;所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
本申请实施例中,终端设备收到多条鉴权请求消息(第一鉴权请求消息和第二鉴权请求消息)后,终端设备需要按序处理多条鉴权请求消息。从而可以避免后续UE因为接收到多个接收时序不可控的NAS SMC消息或者EAP-Success消息而导致UE与网络设备侧存储的中间密钥Kausf失步的问题。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
可选的,第一AUSF与第二AUSF为同一个AUSF实体。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息,包括:所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;当所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;所述终端设备接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息,所述第一NAS SMC消息与所述第一鉴权请求消息关联;所述终端设备响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;所述终端设备接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息,所述第二NAS SMC消息与所述第二鉴权请求消息关联;所述终端设备响应于所述第二NAS SMC消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
可以理解的是,终端设备接收第一鉴权请求消息和第二鉴权请求消息可以是同时接收,也可以是在相邻的时刻接收。
对于同时的理解,可以认为UE是在同一时刻或者相近时刻收到2条消息。具体地:如果UE在同一时刻收到第一鉴权请求消息和第二鉴权请求消息,那么UDM随机选择其中一条消息开始处理。本申请假设UE选择第一鉴权请求消息进行处理.如果UE在相近时刻收到第一鉴权请求消息和第二鉴权请求消息,则UE按收到消息的先后顺序处理第一鉴权请求消息和第二鉴权请求消息。
对于相近时刻的具体理解是:UE收到第一鉴权请求消息时,UE可以是刚刚收该请求消息并且还没来得及处理第一权向量获取请求消息;也可以是在收到该请求消息并开始处理,但是还没有发送第一鉴权请求消息对应的响应消息;还可以是已经处理完第一鉴权向量获取请求消息并已经发送第一鉴权请求消息对应的响应消息,但是还没有收到第一鉴权请求消息对应的NAS SMC消息;不管是随机选择一个鉴权请求消息还是按顺序处理,都可以理解为UE先处理一个鉴权请求消息,挂起了另一个鉴权请求消息。
本申请实施例中,终端设备收到多条鉴权请求消息后,终端设备需要在收到前一条鉴权请求消息对应的NAS SMC消息后,处理后一条鉴权请求消息。从而可以避免后续UE因为接收到多个接收时序不可控的NAS SMC消息或者EAP-Success消息而导致UE与网络设备侧存储的中间密钥Kausf失步的问题。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1,包括:所述终端设备接收所述第一NASSMC消息后,判断所述第一NAS SMC消息是否与所述第一鉴权请求消息关联;当所述第一NASSMC消息与所述第一鉴权请求消息关联,则所述终端设备将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
具体的,UE根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。再比如,根据携带第一NAS SMC的底层消息(比如是RRC消息还是wifi AP消息)确定第一NAS SMC消息是否来自第一AMF。本申请不限定确定方法。
当UE确定第一NAS SMC消息与第一AMF关联后,UE响应于该第一NAS SMC消息,存储第一中间密钥Kausf-1。UE响应于第一鉴权请求消息生成的第一中间密钥Kausf-1存储于缓存区域中。本申请实施例中,将终端设备存储中间密钥Kausf的缓存区域称为第一存储空间。
UE响应于该第二NAS SMC消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。UE使用该第二存储空间(长期存储空间)中的第二中间密钥Kausf-2进行鉴权与通信。
结合第二方面,在第二方面的一种可能的实现方式中,在所述终端设备接收到所述第一NAS SMC消息之前,还包括:所述终端设备暂停处理所述第二鉴权请求消息。
结合第二方面,在第二方面的一种可能的实现方式中,在所述终端设备暂停处理所述第二鉴权请求消息之前,还包括:所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息,包括:所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;当所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;所述终端设备接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP-success消息,所述第一EAP-success消息与所述第一鉴权请求消息关联;所述终端设备响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;所述终端设备接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功EAP-success消息,所述第二EAP-success消息与所述第二鉴权请求消息关联;所述终端设备响应于所述第二EAP-success消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
具体的,UE根据第一EAP-success消息携带的信息确定该第一EAP-success消息是否来自第一AMF。首先检测第一EAP-success消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一EAP-success消息携带的信息确定该第一EAP-success消息是否来自第一AMF。再比如,根据携带第一EAP-success的底层消息(比如是RRC消息还是wifi AP消息)确定第一EAP-success消息是否来自第一AMF。本申请不限定确定方法。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1,包括:所述终端设备接收所述第一EAP-success消息后,判断所述第一EAP-success消息是否与所述第一鉴权请求消息关联;当所述第一EAP-success消息与所述第一鉴权请求消息关联,则所述终端设备将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
当UE确定第一EAP-success消息与第一AMF关联后,UE响应于该第一EAP-success消息,存储第一中间密钥Kausf-1。UE响应于第一鉴权请求消息生成的第一中间密钥Kausf-1存储于缓存区域中。本申请实施例中,将终端设备存储中间密钥Kausf的缓存区域称为第一存储空间。
UE响应于该第二EAP-success消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。UE使用该第二存储空间(长期存储空间)中的第二中间密钥Kausf-2进行鉴权与通信。
结合第二方面,在第二方面的一种可能的实现方式中,在所述终端设备接收到所述第一EAP-success消息之前,还包括:所述终端设备暂停处理所述第二鉴权请求消息。
结合第二方面,在第二方面的一种可能的实现方式中,在所述终端设备暂停处理所述第二鉴权请求消息之前,还包括:所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP-AKA'。
结合第二方面,在第二方面的一种可能的实现方式中,UE可以通过检测第一鉴权请求消息中携带的信元判断第一鉴权请求消息对应的鉴权方法是5G AKA还是EAP-AKA’。
例如:根据第一鉴权请求消息中携带的指示信息判断。指示信息可以是包头信息,该包头信息用于指示是5G AKA鉴权方法还是EAP-AKA’鉴权方法,甚至是其他KAP-AKA’,则UE根据包头中的指示信息确定第一鉴权请求消息对应的鉴权方法为5G AKA还是KAP-AKA’。指示信息还是可以是消息本身,比如没有EAP字段时是5G AKA鉴权方法,有EAP字段则是EAP-AKA’鉴权方法。再比如检测以下一项或多项信元(或者信息):5G密钥标识符(Key SetIdentifier in 5G,ngKSI),或架构间抗降维参数(anti-bidding down betweenarchitectures,ABBA)携带的位置。比如若AV在EAP消息中,则是KAP-AKA’,否则UE确定第一鉴权请求消息对应的鉴权方法为5G AKA。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备通过第一接入技术接入所述第一通信系统,所述终端设备通过第二接入技术接入所述第二通信网络;其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
结合第二方面,在第二方面的一种可能的实现方式中,所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息,包括:所述终端设备生成第一接收顺序记录,所述第一接收顺序记录指示所述第一鉴权请求消息早于所述第二鉴权请求消息;所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;所述终端设备响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;所述终端设备鉴权校验成功,则所述终端设备向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;所述终端设备接收非接入层安全模式命令NAS SMC消息;所述终端设备根据所述第一接收顺序记录,检测所述NAS SMC消息的来源,若所述NAS SMC消息的来源为所述第一接入和移动性管理功能,则所述终端设备响应于所述NAS SMC消息,不存储所述第一中间密钥Kausf-1,若所述NAS SMC消息的来源为所述第二接入和移动性管理功能,则所述终端设备响应于所述NAS SMC消息,存储所述第二中间密钥Kausf-2。
本申请实施例中,终端设备收到多条鉴权请求消息后,终端设备需要生成第一接收顺序记录,该第一接收顺序记录指示终端设备接收的多条鉴权请求消息的接收顺序。当终端设备接收NAS SMC消息后,终端设备检测该NAS SMC消息的来源。当该NAS SMC消息来自第二AMF时,由于第一接收顺序记录中最新(或者最晚接收)的鉴权请求消息来自第二AMF,因此UE响应于该NAS SMC消息,存储第二中间密钥Kausf-2。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
第三方面,本申请实施例提出一种通信方法,包括:
终端设备接收来自第一通信网络中的第一接入和移动性管理功能的第一鉴权请求消息和来自第二通信网络中的第二接入和移动性管理功能的第二鉴权请求消息;所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;所述终端设备响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;所述终端设备鉴权校验成功,则所述终端设备向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;所述终端设备接收非接入层安全模式命令NAS SMC消息;所述终端设备响应于所述NAS SMC消息,存储所述NAS SMC消息对应的所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2;所述终端设备发送所述NAS SMC消息的响应消息,所述NASSMC消息的响应消息指示所述终端设备存储所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2。
本申请实施例中,终端设备接收NAS SMC消息后,终端设备响应于NAS SMC消息存储中间密钥。当终端设备存储该中间密钥后,终端设备通知发送该NAS SMC消息的AMF,自身存储的中间密钥。进而,AMF通知UDM保存该中间密钥对应的AUSF的标识。UDM指示其它的AUSF删除中间密钥。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
结合第三方面,在第三方面的一种可能的实现方式中,所述第一鉴权请求消息早于所述第二鉴权请求消息,所述终端设备响应于所述NAS SMC消息,存储所述NAS SMC消息对应的所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2,包括:所述终端设备接收所述NAS SMC消息后判断所述NAS SMC消息是否与所述第二鉴权请求消息关联;当所述NAS SMC消息与所述第二鉴权请求消息关联,则所述终端设备将所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
具体的,UE根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。再比如,根据携带第一NAS SMC的底层消息(比如是RRC消息还是wifi AP消息)确定第一NAS SMC消息是否来自第一AMF。本申请不限定确定方法。
当UE确定第一NAS SMC消息与第一AMF关联后,UE响应于该第一NAS SMC消息,存储第一中间密钥Kausf-1。UE响应于第一鉴权请求消息生成的第一中间密钥Kausf-1存储于缓存区域中。本申请实施例中,将终端设备存储中间密钥Kausf的缓存区域称为第一存储空间。
UE响应于该第二NAS SMC消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。UE使用该第二存储空间(长期存储空间)中的第二中间密钥Kausf-2进行鉴权与通信。
结合第三方面,在第三方面的一种可能的实现方式中,所述终端设备响应于所述NAS SMC消息,存储所述NAS SMC消息对应的所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2,包括:所述终端设备响应于所述NAS SMC消息,所述终端设备将所述第一中间密钥或者所述第二中间密钥从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
具体的,UE响应于该NAS SMC消息存储第一中间密钥Kausf-1或者第二中间密钥Kausf-2。UE响应于第一鉴权请求消息生成的第一中间密钥Kausf-1或者第二中间密钥Kausf-2存储于缓存区域中。本申请实施例中,将终端设备存储中间密钥Kausf的缓存区域称为第一存储空间。
UE响应于该NAS SMC消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1或者第二中间密钥Kausf-2存储至长期存储空间。UE使用该第二存储空间(长期存储空间)中的中间密钥(Kausf-1或Kausf-2)进行鉴权与通信。
结合第三方面,在第三方面的一种可能的实现方式中,所述终端设备通过第一接入技术接入所述第一通信系统,所述终端设备通过第二接入技术接入所述第二通信网络;其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
第四方面,本申请实施例提出一种通信装置,包括:
收发模块,用于接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息,所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量;
处理模块,用于按序处理所述多个鉴权向量获取请求消息。
在一种可能的实现方式中,所述收发模块,还用于响应于第一鉴权向量获取请求消息,向第一鉴权管理功能发送第一鉴权向量;
所述处理模块,还用于在收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前,暂停处理第二鉴权向量获取请求消息,所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识,其中,所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
在一种可能的实现方式中,所述收发模块,还用于接收所述第一鉴权结果确认请求消息;
所述处理模块,还用于响应于所述第一鉴权结果确认请求消息,存储所述第一鉴权管理功能的标识。
在一种可能的实现方式中,
所述收发模块,还用于响应于所述第二鉴权向量获取请求消息,向第二鉴权管理功能发送第二鉴权向量;
所述收发模块,还用于接收针对所述第二鉴权向量的第二鉴权结果确认请求消息,所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识;
所述处理模块,还用于响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识。
在一种可能的实现方式中,
所述处理模块,具体用于使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。
在一种可能的实现方式中,
所述处理模块,具体用于响应于所述终端设备的鉴权方法为5G AKA,按序处理所述多个鉴权向量获取请求消息。
在一种可能的实现方式中,
所述处理模块,还用于根据所述终端设备的签约信息,确定所述终端设备对应的鉴权方法为5G AKA。
第五方面,本申请实施例提出一种通信装置,包括:
收发模块,用于接收来自第一通信网络中第一接入和移动性管理功能实体的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息;
处理模块,用于按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
在一种可能的实现方式中,
所述处理模块,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块,具体用于接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息,所述第一NAS SMC消息与所述第一鉴权请求消息关联;
所述处理模块,具体用于响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块,具体用于接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息,所述第二NAS SMC消息与所述第二鉴权请求消息关联;
所述处理模块,具体用于响应于所述第二NAS SMC消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
在一种可能的实现方式中,
所述处理模块,具体用于接收所述第一NAS SMC消息后,判断所述第一NAS SMC消息是否与所述第一鉴权请求消息关联;
所述收发模块,具体用于当所述第一NAS SMC消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
在一种可能的实现方式中,
所述处理模块,还用于暂停处理所述第二鉴权请求消息。
在一种可能的实现方式中,
所述处理模块,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。
在一种可能的实现方式中,
所述收发模块,具体用于通过第一接入技术接入所述第一通信系统;
所述收发模块,具体用于通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
第六方面,本申请实施例提出一种通信装置,包括:
收发模块,用于接收来自第一通信网络中的第一接入和移动性管理功能的第一鉴权请求消息和来自第二通信网络中的第二接入和移动性管理功能的第二鉴权请求消息;
处理模块,用于按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
在一种可能的实现方式中,处理模块,用于生成第一接收顺序记录,所述第一接收顺序记录指示所述第一鉴权请求消息早于所述第二鉴权请求消息;
处理模块,还用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
收发模块,还用于鉴权校验成功,则向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;
处理模块,还用于响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
收发模块,还用于鉴权校验成功,则所述终端设备向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;
收发模块,还用于接收非接入层安全模式命令NAS SMC消息;
处理模块,还用于根据所述第一接收顺序记录,检测所述NAS SMC消息的来源,
若所述NAS SMC消息的来源为所述第一接入和移动性管理功能,则响应于所述NASSMC消息,不存储所述第一中间密钥Kausf-1,
所述NAS SMC消息的来源为所述第二接入和移动性管理功能,则所述终端设备响应于所述NAS SMC消息,存储所述第二中间密钥Kausf-2。
在一种可能的实现方式中,所述终端设备响应于所述NAS SMC消息,存储所述第二中间密钥Kausf-2,包括:
收发模块,还用于接收所述NAS SMC消息后判断所述NAS SMC消息是否与所述第二鉴权请求消息关联;
处理模块,还用于当所述NAS SMC消息与所述第二鉴权请求消息关联,将所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,所述处理模块,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块,具体用于接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP-success消息,所述第一EAP-success消息与所述第一鉴权请求消息关联;
所述处理模块,具体用于响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块,具体用于接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功EAP-success消息,所述第二EAP-success消息与所述第二鉴权请求消息关联;
所述处理模块,具体用于响应于所述第二EAP-success消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
在一种可能的实现方式中,所述处理模块,具体用于接收所述第一EAP-success消息后,判断所述第一EAP-success消息是否与所述第一鉴权请求消息关联;
所述收发模块,具体用于当所述第一EAP-success消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
在一种可能的实现方式中,所述处理模块,还用于暂停处理所述第二鉴权请求消息。
在一种可能的实现方式中,所述处理模块,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP-AKA'。
在一种可能的实现方式中,
收发模块,还用于通过第一接入技术接入所述第一通信系统,通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
第七方面,本申请实施例提出一种通信装置,包括:
收发模块,用于接收来自第一通信网络中的第一接入和移动性管理功能的第一鉴权请求消息和来自第二通信网络中的第二接入和移动性管理功能的第二鉴权请求消息;
处理模块,用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块,还用于鉴权校验成功,则向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;
所述处理模块,还用于响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块,还用于鉴权校验成功,则向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;
所述收发模块,还用于接收非接入层安全模式命令NAS SMC消息;
所述处理模块,还用于响应于所述NAS SMC消息,存储所述NAS SMC消息对应的所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2;
所述收发模块,还用于发送所述NAS SMC消息的响应消息,所述NAS SMC消息的响应消息指示所述终端设备存储所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2。
在一种可能的实现方式中,
所述收发模块,还用于接收所述NAS SMC消息后判断所述NAS SMC消息是否与所述第二鉴权请求消息关联;
所述处理模块,还用于当所述NAS SMC消息与所述第二鉴权请求消息关联,则将所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,
所述处理模块,还用于所述终端设备响应于所述NAS SMC消息,将所述第一中间密钥或者所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,所述终端设备通过3GPP接入技术接入所述第一通信系统,所述终端设备通过非3GPP接入技术接入所述第二通信网络。
第八方面,本申请实施例提供了一种通信装置,该通信装置可以实现上述第一、第二方面所涉及方法中终端设备、网络设备所执行的功能。该通信装置包括处理器、存储器以及与该处理器连接的接收器和与该处理器连接的发射器;该存储器用于存储程序代码,并将该程序代码传输给该处理器;该处理器用于根据该程序代码中的指令驱动该接收器和该发射器执行如上述第一、二、三方面该的方法;接收器和发射器分别与该处理器连接,以执行上述各个方面的该的方法中终端设备、网络设备的操作。具体地,发射器可以进行发送的操作,接收器可以进行接收的操作。可选的,该接收器与发射器可以是射频电路,该射频电路通过天线实现接收与发送消息;该接收器与发射器还可以是通信接口,处理器与该通信接口通过总线连接,该处理器通过该通信接口实现接收或发送消息。
第九方面,本申请实施例提供一种通信装置,该通信装置可以包括网络设备或者芯片等实体,或者,该通信装置可以包括终端设备或者芯片等实体,该通信装置包括:处理器,存储器;该存储器用于存储指令;该处理器用于执行该存储器中的该指令,使得该通信装置执行如前述第一方面或第二方面或者第三方面中任一项该的方法。
第十方面,本申请实施例提供了一种存储一个或多个计算机执行指令的计算机可读存储介质,当该计算机执行指令被处理器执行时,该处理器执行如前述第一方面或第二方面或第三方面中任意一种可能的实现方式。
第十一方面,本申请实施例提供一种存储一个或多个计算机执行指令的计算机程序产品(或称计算机程序),当该计算机执行指令被该处理器执行时,该处理器执行前述第一方面或第二方面或第三方面中任意一种可能的实现方式。
第十二方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持计算机设备实现上述方面中所涉及的功能。在一种可能的设计中,该芯片系统还包括存储器,该存储器,用于保存计算机设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十三方面,本申请提供了一种通信系统,该通信系统包括如上述第四方面、第五方面、第六方面或者第七方面中的通信装置。
附图说明
图1为一种通信系统的网络架构示意图;
图2为本申请实施例中通信装置的硬件结构示意图;
图3为本申请实施例涉及的密钥架构示意图;
图4为鉴权流程示意图;
图5为本申请实施例涉及的NAS SMC流程示意图;
图6为多接入场景下终端设备的鉴权流程示意图;
图7为本申请实施例提出的一种通信方法的实施例示意图;
图8为本申请实施例提出的一种通信方法的实施例示意图;
图9为本申请实施例提出的一种通信方法的实施例示意图;
图10为本申请实施例提出的一种通信方法的实施例示意图;
图11为本申请实施例中通信装置的一种实施例示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请的说明书和权利要求书及上述附图中的术语“第一”、第二”以及相应术语标号等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
在本申请的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请的描述中,“至少一项”是指一项或者多项,“多项”是指两项或两项以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(Long TermEvolution,LTE)系统,LTE频分双工(frequency division duplex,FDD)系统,LTE时分双工(time division duplex,TDD),通用移动通信系统(universal mobiletelecommunication system,UMTS),全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统,第五代(5th generation,5G)系统或NR以及未来的第六代通信系统等。
各种通信系统中由运营者运营的部分可称为运营商网络。运营商网络也可称为公用陆地移动网(public land mobile network,PLMN)网络,是由政府或政府所批准的经营者,以为公众提供陆地移动通信业务为目的而建立和经营的网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的运营商网络或PLMN网络,可以为符合第三代合作伙伴项目(3rd generationpartnership project,3GPP)标准要求的网络,简称3GPP网络。通常3GPP网络由运营商来运营,包括但不限于第五代移动通信(5th-generation,5G)网络(简称5G网络),第四代移动通信(4th-generation,4G)网络(简称4G网络)或第三代移动通信技术(3rd-generation,3G)网络(简称3G网络)。还包括未来的6G网络。为了方便描述,本申请实施例中将以运营商网络(如移动网络运营商(mobile network operator,MNO)网络)为例进行说明。
为了便于理解本申请实施例,以图1所示的5G网络架构为例对本申请使用的应用场景进行说明,可以理解的是对其他通信网络与5G网络架构相似,因此不做赘述。请参阅图1,图1为一种通信系统的网络架构示意图,所述网络架构中可以包括:终端设备(也可以称为用户设备部分,运营商网络部分和数据网络(data network,DN)部分。
终端设备部分包括终端设备110,终端设备110也可以称为用户设备(userequipment,UE)。本申请实施例中所涉及的终端设备110作为一种具有无线收发功能的设备,可以经(无线)接入网((radio)access network,(R)AN)140中的接入网设备与一个或多个核心网(core network,CN)进行通信。终端设备110也可称为接入终端,终端,用户单元,用户站,移动站,移动台,远方站,远程终端,移动设备,用户终端,无线网络设备,用户代理或用户装置等。终端设备110可以部署在陆地上,包括室内或室外,手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机,气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone),无绳电话,会话启动协议(session initiation protocol,SIP)电话,智能电话(smart phone),手机(mobile phone),无线本地环路(wireless localloop,WLL)站,个人数字处理(personal digital assistant,PDA),可以是具有无线通信功能的手持设备,计算设备或连接到无线调制解调器的其它设备,车载设备,可穿戴设备,无人机设备或物联网,车联网中的终端,第五代移动通信(fifth generation,5G)网络以及未来网络中的任意形态的终端,中继用户设备或者未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中的终端等,其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。例如终端设备110可以是虚拟现实(virtual reality,VR)终端,增强现实(augmented reality,AR)终端,工业控制(industrial control)中的无线终端,无人驾驶(self driving)中的无线终端,远程医疗(remote medical)中的无线终端,智能电网(smart grid)中的无线终端,运输安全(transportation safety)中的无线终端,智慧城市(smart city)中的无线终端,智慧家庭(smart home)中的无线终端等。本申请实施例对此并不限定。为方便说明,本申请实施例中以终端设备110包括无人机和无人机遥控器为例进行说明。
需要说明的是,本申请实施例中涉及的无人机还可以包括:可以自主进行行驶的车辆(vehicle),或基于遥控器的控制指令进行行驶的车辆;可以自主进行航行的船舶(shipping),或基于遥控器的控制指令进行航行的船舶等。
运营商网络可以包括统一数据管理(unified data management,UDM)134,鉴权管理功能(authentication server function,AUSF)136,接入和移动性管理功能(accessand mobility management function,AMF)137,会话管理功能(session managementfunction,SMF)138,用户面功能(user plane function,UPF)139以及(R)AN140等。上述运营商网络中,除(R)AN140部分之外的其他部分可以称为核心网络(core network,CN)部分或核心网部分。为方便说明,本申请实施例中以(R)AN 140为RAN为例进行说明。
数据网络DN 120,也可以称为协议数据网络(protocol data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。运营商网络可以接入多个数据网络DN120,数据网络DN 120上可部署多种业务,可为终端设备110提供数据和/或语音等服务。例如,数据网络DN 120可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可以是终端设备110,数据网络DN 120中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,基于指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 120可以是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备110,员工的手机或者电脑可以访问公司内部办公网络上的信息,数据资源等。
终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 120,使用数据网络DN 120上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终端设备110之外的服务方,可为终端设备110提供其他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可基于实际应用场景确定,在此不做限制。
下面对运营商网络中的网络功能进行简要介绍。
(R)AN 140可以看作是运营商网络的子网络,是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络,首先是经过(R)AN 140,进而可通过(R)AN 140与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备),是一种为终端设备110提供无线通信功能的设备,也可以称为网络设备,RAN设备包括但不限于:5G系统中的下一代基站节点(next generation node base station,gNB),长期演进(long term evolution,LTE)中的演进型节点B(evolved node B,eNB),无线网络控制器(radio network controller,RNC),节点B(node B,NB),基站控制器(base stationcontroller,BSC),基站收发台(base transceiver station,BTS),家庭基站(例如,homeevolved nodeB,或home node B,HNB),基带单元(base band unit,BBU),传输点(transmitting and receiving point,TRP),发射点(transmitting point,TP),小基站设备(pico),移动交换中心,或者未来网络中的网络设备等。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解,本文对接入网设备的具体类型不作限定。
接入和移动性管理功能AMF(也可以称为AMF网元,AMF网络功能或AMF网络功能实体)137是由运营商网络提供的控制面网络功能,负责终端设备110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
会话管理功能SMF(也可以称为SMF网元,SMF网络功能或SMF网络功能实体)138是由运营商网络提供的控制面网络功能,负责管理终端设备110的协议数据单元(protocoldata unit,PDU)会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 120互相传送PDU。PDU会话由SMF网络功能138负责建立,维护和删除等。SMF网络功能138包括会话管理(如会话建立,修改和释放,包含用户面功能UPF 139和(R)AN 140之间的隧道维护),UPF网络功能139的选择和控制,业务和会话连续性(service and sessioncontinuity,SSC)模式选择,漫游等会话相关的功能。
用户面功能UPF(也可以称为UPF网元,UPF网络功能或UPF网络功能实体)139是由运营商提供的网关,是运营商网络与数据网络DN 120通信的网关。UPF网络功能139包括数据包路由和传输,数据包检测,业务用量上报,服务质量(quality of service,QoS)处理,合法监听,上行数据包检测,下行数据包存储等用户面相关的功能。
统一数据管理网元UDM(也可以称为UDM网元,UDM网络功能或UDM网络功能实体)134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的永久身份标识(subscriber permanent identifier,SUPI),签约用户的公开使用的签约标识(genericpublic subscription identifier,GPSI),信任状(credential)等信息。其中SUPI在传输过程中会先进行加密,加密后的SUPI被称为隐藏的用户签约标识符(subscriptionconcealed identifier,SUCI)。UDM 134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用“中国电信”的手机芯卡的用户,或者使用“中国移动”的手机芯卡的用户等。上述签约用户的信任状可以是:该手机芯卡存储的长期密钥或者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。需要说明的是,永久标识符,信任状,安全上下文,认证数据(cookie),以及令牌等同验证/认证,授权相关的信息,在本申请实施例中,为了描述方便起见不做区分限制。
鉴权管理功能(authentication server function,AUSF)(也可以称为AUSF网元、AUSF网络功能或AUSF网络功能实体)136是由运营商提供的控制面功能,通常用于主认证,即终端设备110(签约用户)与运营商网络之间的认证。AUSF 136接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能136可向签约用户反馈认证信息和/或授权信息。
图1中Nausf、Nudm、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做赘述。需要说明的是,图1中仅以终端设备110为UE作出了示例性说明,图1中的各个网络功能之间的接口名称也仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请实施例对此不做具体限定。
为方便说明,本申请实施例中以移动性管理网络功能为AMF网络功能137为例进行说明。它也可以是未来通信系统中的具有上述AMF网络功能137的其他网络功能。或者,本申请中的移动性管理网络功能还可以是LTE中的移动管理网元(Mobility ManagementEntity,MME)等。
进一步地,将AMF网络功能137简称为AMF,将终端设备110称为UE,将即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能,UE均可替换为终端设备。
本申请实施例中以鉴权管理功能为AUSF 136为例进行说明。鉴权管理功能也可以是未来通信系统中具有上述AUSF 136功能的其它网络功能。进一步的,将AUSF 136简称为AUSF,将即本申请实施例中后文所描述的AUSF均可替换为鉴权管理功能。
本申请实施例中以统一数据管理为UDM 134为例进行说明。统一数据管理也可以是未来通信系统中具有上述UDM 134功能的其它网络功能。进一步的,将UDM 134简称为UDM,将即本申请实施例中后文所描述的UDM均可替换为统一数据管理。
此外,本申请实施例还可以适用于面向未来的其他通信技术,例如6G等。本申请描述的网络架构以及业务场景是为了更加清楚的说明本申请的技术方案,并不构成对本申请提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请涉及的各个网络功能可能发生变更,本申请提供的技术方案对于类似的技术问题,同样适用。
图2为本申请实施例中通信装置的硬件结构示意图。该通信装置可以是本申请实施例中网络设备或终端设备的一种可能的实现方式。如图2所示,通信装置至少包括处理器204,存储器203,和收发器202,存储器203进一步用于存储指令2031和数据2032。可选的,该通信装置还可以包括天线206,I/O(输入/输出,Input/Output)接口210和总线212。收发器202进一步包括发射器2021和接收器2022。此外,处理器204,收发器202,存储器203和I/O接口210通过总线212彼此通信连接,天线206与收发器202相连。
处理器204可以是通用处理器,例如但不限于,中央处理器(Central ProcessingUnit,CPU),也可以是专用处理器,例如但不限于,数字信号处理器(Digital SignalProcessor,DSP),应用专用集成电路(Application Specific Integrated Circuit,ASIC)和现场可编程门阵列(Field Programmable Gate Array,FPGA)等。该处理器204还可以是神经网络处理单元(neural processing unit,NPU)。此外,处理器204还可以是多个处理器的组合。特别的,在本申请实施例提供的技术方案中,处理器204可以用于执行,后续方法实施例中通信方法的相关步骤。处理器204可以是专门设计用于执行上述步骤和/或操作的处理器,也可以是通过读取并执行存储器203中存储的指令2031来执行上述步骤和/或操作的处理器,处理器204在执行上述步骤和/或操作的过程中可能需要用到数据2032。
收发器202包括发射器2021和接收器2022,在一种可选的实现方式中,发射器2021用于通过天线206发送信号。接收器2022用于通过天线206之中的至少一根天线接收信号。特别的,在本申请实施例提供的技术方案中,发射器2021具体可以用于通过天线206之中的至少一根天线执行,例如,后续方法实施例中通信方法应用于网络设备或终端设备时,网络设备或终端设备中接收模块或发送模块所执行的操作。
在本申请实施例中,收发器202用于支持通信装置执行前述的接收功能和发送功能。将具有处理功能的处理器视为处理器204。接收器2022也可以称为输入口、接收电路等,发射器2021可以称为发射器或者发射电路等。
处理器204可用于执行该存储器203存储的指令,以控制收发器202接收消息和/或发送消息,完成本申请方法实施例中通信装置的功能。作为一种实现方式,收发器202的功能可以考虑通过收发电路或者收发的专用芯片实现。本申请实施例中,收发器202接收消息可以理解为收发器202输入消息,收发器202发送消息可以理解为收发器202输出消息。
存储器203可以是各种类型的存储介质,例如随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),非易失性RAM(Non-Volatile RAM,NVRAM),可编程ROM(Programmable ROM,PROM),可擦除PROM(Erasable PROM,EPROM),电可擦除PROM(Electrically Erasable PROM,EEPROM),闪存,光存储器和寄存器等。存储器203具体用于存储指令2031和数据2032,处理器204可以通过读取并执行存储器203中存储的指令2031,来执行本申请方法实施例中所述的步骤和/或操作,在执行本申请方法实施例中操作和/或步骤的过程中可能需要用到数据2032。
可选的,该通信装置还可以包括I/O接口210,该I/O接口210用于接收来自外围设备的指令和/或数据,以及向外围设备输出指令和/或数据。
下面,介绍本申请实施例涉及的一些术语定义。
(1)、密钥架构。
请参阅图3,图3为本申请实施例涉及的密钥架构示意图。UE(或USIM)和UDM(或认证凭据仓库及处理功能(Authentication credential Respository and ProcessingFunction,ARPF)或统一数据存储(Unified Data Repoitory,UDR))上保存UE的长期密钥K。
在网络设备侧,UDM或者ARPF基于UE的长期密钥K,生成密钥CK(cipher Key)和密钥IK(integrity key)。UDM选择的认证方式不同,生成中间密钥Kausf的方式存在差异。当UDM选择使用的认证方式为5G认证和密钥协商(5G Authentication and Key Agreement,5G AKA)时,UDM或者ARPF根据密钥CK和密钥IK,生成中间密钥Kausf。UDM将生成的中间密钥Kausf发送给AUSF。当UDM选择使用的认证方式为第三代认证和密钥协商的改进扩展认证协议方式(Extensible Authentication Protocol Method for 3rd GenerationAuthentication and Key Agreement,EAP-AKA')时,UDM或者ARPF根据密钥CK和密钥IK,生成密钥CK’和密钥IK’。UDM将生成的密钥CK’和密钥IK’发送给AUSF。AUSF根据密钥CK’和密钥IK’生成中间密钥Kausf。
基于该中间密钥Kausf,可以派生出多种密钥。本申请实施例中,安全上下文包括:基于该中间密钥Kausf派生的密钥、算法、计数器等。安全上下文包括但不限于:Kseaf、Kamf、Kaf、Kakma、KNASint、KNASenc、KgNB、KRRCint、KRRCenc或者KN3IWF。
例如,AUSF根据中间密钥Kausf生成密钥Kseaf,并将密钥Kseaf发送给SEAF。SEAF根据密钥Kseaf生成密钥Kamf并将密钥Kamf发送给AMF。AMF根据密钥Kamf生成非接入层(non-access stratum,NAS)密钥和和接入层(access stratum,AS)中间密钥KgNB。AMF将KgNB传递给基站,基站根据KgNB再进一步生成AS安全上下文,比如KRRCint、KRRCenc。
在终端设备侧,首先,通用移动通讯系统用户标识模块(universal mobiletelecommunications system subscriber identity module,UMTS)基于UE的长期密钥K,生成密钥CK和密钥IK。USIM将密钥CK和密钥IK发送给移动设备(mobile equipment,ME)。其次,与网络设备侧类似,不同认证方式下生成中间密钥Kausf的方式存在差异。当使用的认证方式为5G AKA时,UE根据密钥CK和密钥IK,生成中间密钥Kausf。当使用的认证方式为EAP-AKA’时,UE根据密钥CK和密钥IK,生成密钥CK’和密钥IK’。UE根据密钥CK’和密钥IK’生成中间密钥Kausf。
UE根据中间密钥Kausf生成密钥Kseaf。UE根据密钥Kseaf生成密钥Kamf。UE根据密钥Kamf生成NAS密钥和KgNB。UE再根据KgNB进一步生成KRRCint、KRRCenc。
(2)、鉴权流程。
为了便于理解,请参阅图4,图4为鉴权流程示意图。
401、终端设备向鉴权锚点网元(security anchor function,SEAF)发送N1消息。
步骤401中,UE与核心网之间进行主鉴权(Primary authentication)流程。该主鉴权流程需要使用鉴权向量(authentication vector,AV),该鉴权向量用于主鉴权流程中传递主鉴权流程的验证参数。
本申请实施例中,该主鉴权流程也称为鉴权流程,此处不作限制。
步骤401中,首先,终端设备向鉴权锚点网元(security anchor function,SEAF)发送N1消息(N1 message),该N1消息中携带UE的SUCI或者5G-全球唯一临时UE标识(5G-globally unique temporary UE identity,5G-GUTI)。可以理解的是,N1消息可以是注册请求消息。SEAF可以与AMF合设(即SEAF为AMF的一部分),SEAF也可以是独立的网元。
402、SEAF向AUSF发送用户鉴权请求消息。
其次,SEAF(或者合设了SEAF的AMF)向AUSF发送用户鉴权请求消息,该用户鉴权请求消息例如是:“Nausf_UEAuthentication_Authentication Request”。该消息中携带SUCI(或者SUPI)和服务网络名称(serving network name,SN-name)。若SEAF(或者合设了SEAF的AMF)接收来自终端设备的N1消息携带的是SUCI,则SEAF向AUSF发送的用户鉴权请求消息中携带的是该SUCI。若SEAF(或者合设了SEAF的AMF)接收来自终端设备的N1消息携带的是5G-GUTI,则SEAF首先根据5G-GUTI获取SUPI,SEAF向AUSF发送的用户鉴权请求消息中携带该SUPI。
403、AUSF向UDM发送鉴权向量获取请求消息。
步骤403中,AUSF向UDM发送鉴权向量获取请求消息,该鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该鉴权向量获取请求消息用于向UDM请求鉴权向量。该鉴权向量获取请求消息中携带SUPI(或SUCI)和SN-name。具体的,当SEAF(或者合设了SEAF的AMF)向AUSF发送的用户鉴权请求消息中携带SUPI时,该鉴权向量获取请求消息中携带SUPI;当SEAF(或者合设了SEAF的AMF)向AUSF发送的用户鉴权请求消息中携带SUCI时,该鉴权向量获取请求消息中携带SUCI。
SUCI可以理解为是SUPI的一种加密形式。SUCI的具体生成方法可以参考3GPP标准TS 33.501。概括地说,SUPI中除移动国家代码(mobile country code,MCC)之外的部分可以由通用移动通讯系统用户标识模块(universal mobile telecommunications systemsubscriber identity module,UMTS)或移动设备(mobile equipment,ME)进行加密计算得到SUCI中的加密部分。SUCI除了加密部分,还包括路由标识RID(routing indicator,RID),MCC,MNC等内容。
404、UDM选择鉴权方法。
本实施例中,UDM收到鉴权向量获取请求消息后,选择鉴权方法(或者称为鉴权算法)。例如:UDM确定选择5G AKA鉴权方法或者EAP-AKA’鉴权方法。具体的,UDM基于该鉴权向量获取请求消息中的SUPI选择鉴权方法。当该鉴权向量获取请求消息中携带的是SUCI时,UDM对该SUCI进行解密处理,得到SUPI。
405、AUSF接收UDM发送的鉴权向量获取响应消息。
步骤405中,UDM收到步骤403的鉴权向量获取请求消息后,UDM根据选择的鉴权方法确定对应的鉴权向量。UDM向AUSF发送鉴权向量获取响应消息,该鉴权向量获取响应消息中携带鉴权向量。该鉴权向量获取响应消息例如:“Num_UEAuthentication_GetResponse”。
(3)、5G AKA。
在5G AKA鉴权流程中,首先,UDM创建鉴权向量(authentication vector,AV)。然后,UDM通过AUSF和SEAF(或者AMF,该AMF与SEAF合设)向终端设备发送鉴权请求消息。
具体的,SEAF(或者AMF,该AMF与SEAF合设)向UE发送的鉴权请求(AuthenticationRequest)消息中携带以下一个或者多个信元:5G密钥标识符(Key Set Identifier in 5G,ngKSI)和架构间抗降维参数(anti-bidding down between architectures,ABBA)。
终端设备收到该鉴权请求消息后,完成本地的鉴权。当鉴权成功,则生成中间密钥Kausf,并向SEAF(或者AMF,该AMF与SEAF合设)发送鉴权请求响应(Authernticationresponse)消息。
SEAF收到来自终端设备的鉴权响应消息后,生成响应(RES*)。SEAF向AUSF发送该响应(RES*)。
AUSF根据来自SEAF的响应(RES*)进行校验(verification),若校验成功,则AUSF存储中间密钥Kausf。该Kausf与SEAF向UE发送的鉴权请求消息对应。
AUSF在校验成功后,AUSF向UDM发送鉴权结果确认请求消息,该鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authenticationtype)、AUSF的标识和服务网络名称,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmationRequest”消息。
UDM根据该鉴权结果确认请求消息,存储该终端设备的鉴权结果并向AUSF回复消息。示例性的,该回复消息可以是“Nudm_UEAuthentication_ResultConfirmationResponse”消息。
AMF在收到AUSF指示鉴权成功后,AMF执行后续的NAS SMC流程。具体的,请参阅后续“(5)、中间密钥Kausf的存储流程。”以及图5的相关描述。
(4)、EAP-AKA’。
在EAP-AKA’鉴权流程中,首先,UDM创建鉴权向量(authentication vector,AV)。然后,UDM通过AUSF和SEAF(或者AMF,该AMF与SEAF合设)向终端设备发送鉴权请求消息。
具体的,SEAF(或者AMF,该AMF与SEAF合设)向UE发送的鉴权请求(AuthenticationRequest)消息中携带以下一个或多个信元:“EAP request/AKA’-Challenge”、5G密钥标识符(Key Set Identifier in 5G,ngKSI)和架构间抗降维参数(ABBA)。
终端设备收到该鉴权请求消息后,完成本地的鉴权。当鉴权成功,则生成中间密钥Kausf,并向SEAF(或者AMF,该AMF与SEAF合设)发送鉴权请求响应(Authernticationresponse)消息。该鉴权响应消息中携带以下一个或多个信元:“EAP Response/AKA‘-Clallenge”。
SEAF收到来自终端设备的鉴权响应消息后,向AUSF发送转发上述收到的信元:“EAP Response/AKA‘-Clallenge’”。
AUSF根据来自SEAF的信元(“EAP Response/AKA‘-Clallenge’”)进行验证(verification),若校验成功,则AUSF存储中间密钥Kausf。该Kausf与SEAF向UE发送的鉴权请求消息对应。
与(3)、5G AKA中的流程类似。AUSF在校验成功后,AUSF向UDM发送鉴权结果确认请求消息,该鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、AUSF的标识和服务网络名称,该鉴权类型信息中指示鉴权方法为EAP-AKA’。示例性的,该鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
UDM根据该鉴权结果确认请求消息,存储该终端设备的鉴权结果并向AUSF回复消息。示例性的,该回复消息可以是“Nudm_UEAuthentication_ResultConfirmationResponse”消息。
(5)、中间密钥Kausf的存储流程。
Kausf是在主鉴权过程中,在AUSF中生成的,或者UDM生成后发送给AUSF的。在UE侧,UE可以使用与AUSF或者UDM相同的方法生成相同的Kausf。AUSF在确定鉴权成功后保存新的Kausf,而UE侧是存储Kausf的时机会因鉴权方法不同而不同。在使用5G-AKA鉴权方法情况下,UE侧在收到非接入层安全模式命令(Non-access stratum security modecommond,NAS SMC)消息后,保存Kausf;在使用EAP-AKA’鉴权方法情况下,UE侧在收到EAP-Success消息后,保存Kausf。UDM中存储该AUSF的标识,例如:存储该AUSF的实体标识(instance ID)
首先发生主鉴权流程(如前述“(2)、鉴权流程”、“(3)、5G AKA”或者“(4)、EAP-AKA’”),其次发生NAS SMC流程。
在使用5G-AKA流程的情况下,主鉴权流程后需要强制发生NAS SMC流程,并且,主鉴权流程与NAS SMC流程之间的空闲时间尽可能小。终端设备收到来自AMF的NAS SMC消息后(针对不同的鉴权方法,该NAS SMC消息携带的信元可能不一致),终端设备存储在收到来自SEAF的鉴权请求消息后生成的Kausf。
具体的,终端设备在接收来自SEAF(或者AMF,该AMF与SEAF合设)的鉴权请求消息后进行鉴权,当鉴权成功,则生成的Kausf。此时,该Kausf缓存于终端设备中。当终端设备收到来自AMF的NAS SMC消息后,该终端设备将缓存的Kausf存储至终端设备的移动设备(mobile equipment,ME)上。
该NAS SMC消息可以是“NAS security mode command”消息。
对于5G AKA鉴权方法,则该NAS SMC消息包括以下一个或者多个信元:选择的加密算法、选择的完整性保护算法,UE的安全能力等信元。
对于EAP-AKA’鉴权方法,则该NAS SMC消息还可以包括以下一个或多个信元:EAP-Success消息。
为了便于理解,请参阅图5,图5为本申请实施例涉及的NAS SMC流程示意图。NASSMC流程包括:
501、启动完整性保护。
步骤501中,AMF启动完整性保护流程。
502、AMF向UE发送NAS SMC消息。
步骤502中,针对不同的鉴权方法,AMF向UE发送的NAS SMC消息携带不同的信元。终端设备可以根据该NAS SMC消息所携带的信元确定当前采用的鉴权方法。
对于5G AKA鉴权方法,则该NAS SMC消息包括以下一个或多个信元:选择的加密算法、选择的完整性保护算法,UE的安全能力等信元。
对于EAP-AKA’鉴权方法,则该NAS SMC消息还可以包括以下一个或多个信元:EAP-Success信息。
需要说明的是,对于EAP-AKA鉴权方法,AMF还可以通过其它消息向UE发送EAP-Success消息。此时,EAP-Success消息作为该其它消息的信元。UE响应于该其它消息,存储中间密钥Kausf。
503、启动上行解密流程。
步骤503中,AMF启动上行链路的解密流程。
504、检验NAS SMC消息的完整性。
步骤504中,UE检验该NAS SMC消息的完整性,具体的,如果校验成功,则UE启动上行链路加密,下行链路解密和完整性保护等。
505、UE向AMF发送NAS SMC完成响应。
步骤505中,UE完成NAS SMC消息的校验后,UE向AMF发送NAS SMC完成响应。该NASSMC完成响应可以是NAS消息。
506、启动下行加密流程。
步骤506中,AMF检验该NAS SMP消息的完整性,具体的,如果校验成功,则AMF启动下行链路的加密流程。
(6)、多接入场景。
在5G网络架构中支持3GPP标准组定义的接入技术(例如:LTE、5G RAN等)接入核心网络设备侧(5G core network),也支持非3GPP(non-3GPP)接入技术接入核心网络设备侧。例如:非3GPP接入技术可以通过non-3GPP转换功能(non-3GPP interworking function,N3IWF)或下一代接入网关(next generation packet data gateway,ngPDG)接入核心网络设备侧。3GPP标准组定义的无线技术也称为3GPP接入技术。
具体的,在多接入场景下,终端设备可以通过3GPP接入技术和非3GPP接入技术同时接入不同的拜访网络,尽管接入的拜访网络不同,但是归属网络是相同的。
终端设备也可以通过3GPP接入技术和非3GPP接入技术接入相同的拜访网络。
示例性的,在多接入场景下,以终端设备分别接入第一通信网络和第二通信网络为例进行说明。第一通信网络中提供服务的网络功能包括:第一AMF和第一AUSF,第二通信网络中提供服务的网络功能包括:第二AMF和第二AUSF。
一种可能的实现方式中,终端设备通过RAN与第一AMF和第一AUSF等其它网络功能建立通信连接,即终端设备通过3GPP接入技术接入第一通信网络。终端设备通过N3IWF(或者ngPDG)与第二AMF和第二AUSF等其它网络功能建立通信连接,即终端设备通过非3GPP接入技术接入第二通信网络。本申请实施例中,以上述实现方式为例进行举例说明。可以理解的是,第一通信网络也可以是非3GPP接入技术接入的通信网络,第二通信网络也可以是3GPP接入技术接入的通信网络,此处不作限定。
具体的,请参阅图6,图6为多接入场景下终端设备的鉴权流程示意图。以第一通信网络包括第一AMF,第二通信网络包括第二AMF为例。第一通信网络还包括其它网络功能,第二通信网络还包括其它网络功能。第一通信网络与第二通信网络同时与UDM建立通信连接。示例性的,第一通信网络可以是访问公共陆地移动网络(visited plmn,VPLMN),则第二通信网络可以是其它的VPLMN或者本地公用陆地移动网络(home plmn,HPLMN)。针对第一通信网络和第二通信网络,终端设备独立维护并使用不同的5G安全上下文,每个通信网络(PLMN)对应一套5G安全上下文。终端设备维护的5G安全上下文包括完整的5G参数即,包括每个PLMN的3GPP类型和非3GPP类型的NAS上下文参数,例如:维护两对NAS计数器(NASCOUNT),分别用于3GPP接入与非3GPP接入。每个5G安全上下文都需要通过成功的鉴权流程单独建立。需要说明的是,这里说的通信网络特指VPLMN。因为对于UE来说,只有一个Kausf。也就是说,虽然终端每个通信网络(PLMN)对应一套5G安全上下文,但是最终UE和UDM只会存储其中一个通信网络的Kausf。
可以理解的是,第一AUSF和第二AUSF可以是同一个AUSF,也可以是不同的AUSF。
下面,介绍具体的鉴权流程:
首先,终端设备分别接入第一通信网络和第二通信网络,在同一时刻,终端设备与第一通信网络和第二通信网络建立通信连接。终端设备通过第一接入技术接入第一通信网络,终端设备通过第二接入技术接入第二通信网络,其中,一种可能的实现方案为:第一接入技术为3GPP接入技术,第二接入技术为非3GPP接入技术。另一种可能的实现方案为:第一接入技术为非3GPP接入技术,第二接入技术为3GPP接入技术。
示例性的,终端设备可以通过RAN接入第一通信网络,终端设备可以通过N3IWF(或者ngPDG)接入第二通信网络。
601a、第一AMF触发对UE的鉴权。
步骤601a中,第一通信网络的第一AMF触发对UE的鉴权。第一AMF可以根据本地策略触发对UE的鉴权,该鉴权可以发生在任何时刻。第一AMF也可以在服务请求流程中触发对UE的鉴权。具体的鉴权流程与图4所示的鉴权流程一致,或者图4所示流程中的步骤402到步骤405一致。第一AMF(该第一AMF与SEAF合设)向第一AUSF请求对UE进行鉴权。
601b、第二AMF触发对UE的鉴权。
步骤601b中,第二通信网络的第二AMF触发对UE的鉴权。第二AMF可以根据本地策略触发对UE的鉴权,该鉴权可以发生在任何时刻。第二AMF也可以在服务请求流程中触发对UE的鉴权。具体的鉴权流程与图4所示的鉴权流程一致,或者图4所示流程中的步骤402到步骤405一致。第二AMF(该第二AMF与SEAF合设)请求鉴权向量向第二AUSF请求对该UE的鉴权,具体的,第二AMF向第二AUSF发送用户鉴权请求消息。
需要说明的是,本实施例中步骤601a与步骤601b的执行顺序为,先执行步骤601a后执行步骤601b。但是可以理解的是,也可以先执行步骤601b后执行步骤601a。
602a、UDM选择鉴权方法,并对UE进行鉴权,若鉴权成功,则第一AUSF存储Kausf-1,UDM存储第一AUSF的标识。
步骤602a中,在步骤601a后,第一AUSF响应于该用户鉴权请求消息,向UDM发送鉴权向量获取请求消息。UDM响应于第一AUSF的鉴权向量获取请求消息,UDM生成鉴权向量并选择鉴权方法。然后,UDM以及第一通信网络的其它网络功能(例如第一AMF和第一AUSF)完成对UDM的鉴权。
当UDM选择的鉴权方法为:5G AKA时,具体的鉴权流程与前述“(3)、5G AKA。”描述的步骤一致。
当UDM选择的鉴权方法为:EAP-AKA’时,具体的鉴权流程与前述“(4)、EAP-AKA’。”描述的步骤一致。
按照前述的流程完成鉴权后,若鉴权成功,则第一AUSF存储中间密钥Kausf。本申请实施例中,为了便于说明,将第一通信网络触发的鉴权流程中生成的中间密钥Kausf称为Kausf-1。
若鉴权成功,第一AUSF向UDM发送鉴权结果确认请求消息。该鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。该鉴权结果确认请求消息包括SUPI、时间戳、鉴权结果、鉴权类型、AUSF的标识以及服务网络名称等。UDM响应于该鉴权结果确认请求消息,UDM存储第一AUSF的标识,例如:UDM存储第一AUSF的实体标识(instance ID)。
602b、UDM选择鉴权方法,并对UE进行鉴权,若鉴权成功,则第二AUSF存储Kausf-2,UDM存储第二AUSF的标识。
步骤602b中,在步骤601b后,第二AUSF响应于该用户鉴权请求消息,向UDM发送鉴权向量获取请求消息。UDM响应于第二AUSF的鉴权向量获取请求消息,UDM生成鉴权向量并选择鉴权方法。然后,UDM以及第二通信网络的其它网络功能(例如第二AMF和第二AUSF)完成对UDM的鉴权。
当UDM选择的鉴权方法为:5G AKA时,具体的鉴权流程与前述“(3)、5G AKA。”描述的步骤一致。
当UDM选择的鉴权方法为:EAP-AKA’时,具体的鉴权流程与前述“(4)、EAP-AKA’。”描述的步骤一致。
按照前述的流程完成鉴权后,若鉴权成功,则第二AUSF存储中间密钥Kausf。本申请实施例中,为了便于说明,将第二通信网络触发的鉴权流程中生成的中间密钥Kausf称为Kausf-2。
若鉴权成功,第二AUSF向UDM发送鉴权结果确认请求消息。该鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。该鉴权结果确认请求消息包括SUPI、时间戳、鉴权结果、鉴权类型、AUSF的标识以及服务网络名称等。UDM响应于该鉴权结果确认请求消息,存储第二AUSF的标识,例如:UDM存储第二AUSF的实体标识(instance ID)。
由于第一通信网络先进行关于UE的鉴权,第二通信网络后进行关于该UE的鉴权。在UDM中,首先存储第一AUSF的标识,后存储第二AUSF的标识。当UDM存储第二AUSF的标识时,UDM删除第一AUSF的标识,然后保存该第二AUSF的标识。此时,UDM中仅存储后生成的第二AUSF的标识。相应地,如果第二通信网络先进行关于UE的鉴权,第一信网络后进行关于该UE的鉴权。在UDM中,首先存储第二AUSF的标识,后存储第一AUSF的标识。当UDM存储第一AUSF的标识时,UDM删除第二AUSF的标识,然后保存该第一AUSF的标识。此时,UDM中仅存储后生成的第一AUSF的标识。
下面,分别介绍不同鉴权方法的鉴权流程,鉴权方法包括5G AKA和EAP-AKA’,其中,5G AKA对应步骤603a-604a,603b-604b;EAP-AKA’对应步骤605a-606a,605b-606b。
首先,介绍5G-AKA鉴权:
603a、第一AMF向UE发送第一NAS SMC消息。
步骤603a中,5G-AKA主鉴权流程后强制发生NAS SMC流程,因此,当步骤602a中鉴权成功,则第一AMF向UE发送NAS SMC消息。本申请实施例中,将第一通信网络发出的NASSMC消息称为第一NAS SMC消息。
该第一NAS SMC消息携带的信元请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
604a、UE响应于第一NAS SMC消息,存储Kausf-1。
步骤604a中,UE响应于该第一NAS SMC消息,UE将步骤602a中缓存的Kausf-1最终存储。具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
603b、第二AMF向UE发送第二NAS SMC消息。
步骤603b中,主鉴权流程后强制发生NAS SMC流程,因此,当步骤602b中鉴权成功,则第二AMF向UE发送NAS SMC消息。本申请实施例中,将第二通信网络发出的NAS SMC消息称为第二NAS SMC消息。
针对不同的鉴权方法,该第二NAS SMC消息携带的信元可能不一致,具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
604b、UE响应于第二NAS SMC消息,存储Kausf-2。
步骤604b中,UE响应于该第二NAS SMC消息,UE将步骤602b中缓存的Kausf-2最终存储。具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
若UE中已存储了Kausf-1,则UE将该Kausf-1删除,并存储新的Kausf-2。
其次,介绍EAP-AKA’鉴权:
605a、第一AMF向UE发送第一EAP-success消息。
步骤605a中,当步骤602a中鉴权成功,则第一AMF向UE发送EAP-success消息。本申请实施例中,将第一通信网络发出的EAP-success消息称为第一EAP-success消息。
该第一EAP-success消息携带的信元请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
一种可能的实现方式中,该EAP-success消息也是一种NAS SMC消息,该NAS SMC消息包括的信元为EAP-success消息。
606a、UE响应于第一EAP-success消息,存储Kausf-1。
步骤606a中,UE响应于该第一EAP-success消息,UE将步骤602a中缓存的Kausf-1最终存储。具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
605b、第二AMF向UE发送第二EAP-success消息。
步骤605b中,主鉴权流程后强制发生EAP-success流程,因此,当步骤602b中鉴权成功,则第二AMF向UE发送EAP-success消息。本申请实施例中,将第二通信网络发出的EAP-success消息称为第二EAP-success消息。
针对不同的鉴权方法,该第二EAP-success消息携带的信元可能不一致,具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
606b、UE响应于第二EAP-success消息,存储Kausf-2。
步骤606b中,UE响应于该第二EAP-success消息,UE将步骤602b中缓存的Kausf-2最终存储。具体的请参阅前述“(5)、中间密钥Kausf的存储流程。”的描述,此处不作赘述。
若UE中已存储了Kausf-1,则UE将该Kausf-1删除,并存储新的Kausf-2。
在图6描述的场景中,终端设备分别收到第一通信网络的鉴权请求消息和第二通信网络的鉴权请求消息。终端设备需要按照鉴权请求消息接收的顺序,完成鉴权流程。在网络设备侧中,同样需要按照AMF触发的鉴权操作,完成鉴权流程。例如图6示意的场景,首先,第一AMF向终端设备发送鉴权请求消息1,其次,第二AMF向终端设备发送鉴权请求消息2。终端设备响应于该鉴权请求消息1,存储中间密钥Kausf-1;终端设备响应于该鉴权请求消息2,存储中间密钥Kausf-2。网络设备侧,响应于第一AMF的鉴权操作,第一AUSF存储中间密钥Kausf-1,UDM存储第一AUSF的标识;响应于第二AMF的鉴权操作,第二AUSF存储中间密钥Kausf-2,UDM存储第二AUSF的标识。终端设备侧与网络设备侧完成后续流程。
但是,由于终端设备与网络设备侧的通信质量可能不稳定,或者,不同通信系统中网络功能的工作能力存在差异(例如网络功能对信令或者消息的处理能力存在差异),造成UDM中存储的AUSF的标识所对应的AUSF,与终端设备中存储的中间密钥Kausf所对应的AUSF不一致,也称为密钥失步。
下面以漫游路径选择(steer of roaming,SoR)流程和UE参数更新(ueparameters update,UPU)流程为例说明密钥失步导致的问题。
当发生密钥失步(即网络设备侧使用的中间密钥与UE侧使用的中间密钥(Kausf)不一致),UDM触发SoR流程和UPU流程的时候,网络设备侧使用中间密钥对数据进行安全保护后,将安全保护结果发送至UE。由于UE保存的中间密钥与网络设备侧使用的中间密钥不一致。导致UE无法对来自网络设备侧的信息进行校验,或者UE无法解析来自网络设备侧的信息。进而导致SoR流程和UPU流程失败,UE的配置错误。可能导致UE无法入网,或者无法安装运营商要求使用网络。最终给运营商和UE造成不良影响,比如漫游计费增加,UE入网优化失败。
示例性的,如图6所示的场景,如果在两个通信系统中UDM都选择了5G-AKA鉴权方法,首先第一通信系统中的第一AMF触发对UE的鉴权,第一AMF向UE发送鉴权请求消息1。其次,第二通信系统中的第二AMF触发对UE的鉴权,第二AMF向UE发送鉴权请求消息2。在第一通信系统触发的鉴权流程中,UDM存储第一通信系统中第一AUSF的标识。在第二通信系统触发的鉴权流程后,UDM最终存储第二通信系统中第二AUSF的标识。由于通信质量的不稳定,终端设备并未收到第一AMF发送的第一NAS SMC消息,因此触发了第一AMF重新向终端设备发送第一NAS SMC消息。在终端设备侧,首先收到的是来自第二AMF的第二NAS SMC消息,其次收到的是第一AMF发送的第一NAS SMC消息(该第一NAS SMC消息为第一AMF重新发送的)。因此,终端设备最终保存的是与第一NAS SMC消息对应的中间密钥Kausf-1。而在网络设备侧,并未受到通信质量不稳定的影响,UDM最终保存的AUSF的标识是第二AUSF的标识。在后续SoR或UPU流程中,终端设备使用的中间密钥(Kausf-1)与网络设备侧使用的中间密钥(Kausf-2)不一致,造成密钥失步,影响正常业务的进行。
同样问题也可能发生在EAP-AKA’鉴权流程中。如果在两个通信系统中UDM都选择了EAP-AKA’鉴权方法。根据标准TS 33.501章节6.1.3.1中步骤9的描述,在AUSF发送EAPSuccess给SEAF之前,AUSF可能与UE有一些可选的EAP消息进行交互。如果在UDM侧,UDM最终存储了第二通信系统中第二AUSF的标识。但是因为第一通信系统的第一AUSF与UE进行了可选的EAP消息的交互,但是第二通信系统的第一AUSF与UE没有进行可选的EAP消息的交互,这就导致UE先收到第二通信系统发送的EAP-Success,后收到第一通信系统的AUSF发送的EAP-Success。最终导致UE使用的中间密钥(Kausf-1)与网络设备侧使用的中间密钥(Kausf-2)不一致,造成密钥失步,影响正常业务的进行。
基于此,本申请实施例提出一种通信方法,请参阅图7,图7为本申请实施例提出的一种通信方法的实施例示意图。图7所示的实施例中,UDM按照接收的多个鉴权向量获取请求消息的顺序,处理多个鉴权向量获取请求消息。本申请实施例提出的一种通信方法包括:
701、UE向第一AMF发送第一N1消息。
步骤701中,UE接入第一AMF所属的第一通信网络,触发针对该UE的主鉴权流程。首先,UE向AMF(该AMF与SEAF合设),或者SEAF发送第一N1消息(N1 message)。该第一N1消息中携带UE的SUCI或者5G-全球唯一临时UE标识(5G-globally unique temporary UEidentity,5G-GUTI)。该N1消息可以是服务请求消息或者是注册请求消息。
关于第一通信网络,与前述图6所示场景的第一通信网络类似,此处不再赘述。
702、第一AMF向第一AUSF发送第一用户鉴权请求消息。
步骤702中,第一AMF响应于第一N1消息,触发针对该终端设备的鉴权流程,第一AMF向第一AUSF发送第一用户鉴权请求消息,该第一用户鉴权请求消息用于请求关于该终端设备的鉴权向量(authentication vector,AV)。
该第一用户鉴权请求消息例如是:“Nausf_UEAuthentication_AuthenticationRequest”。该消息中携带SUCI(或者SUPI)。
一种可能的实现方式中,若第一AMF接收来自终端设备的第一N1消息携带的是SUCI,则第一AMF向AUSF发送的第一用户鉴权请求消息中携带的是该SUCI。若第一AMF接收来自终端设备的N1消息携带的是5G-GUTI,则第一AMF首先根据5G-GUTI获取SUPI,第一AMF向AUSF发送的第一用户鉴权请求消息中携带该SUPI。
需要说明的是,第一AMF可以是因为响应于第一N1消息,向第一AUSF发送第一用户鉴权请求消息;也可以第一AMF主动触发,向第一AUSF发送第一用户鉴权请求消息,即步骤701是可选的。这是因为第一个AMF在收到第一N1消息后,可以不触发对UE的鉴权,因此此时无需因为第一N1消息触发对UE的鉴权。同时,因为AMF可以根据策略随时发起对UE的鉴权,所以AMF也可以是在收到第一N1消息后,在UE回到空闲态之前,向第一AUSF发送第一用户鉴权请求消息。此时,步骤701的第一N1消息与步骤702之间并无直接关系,也就是说步骤701发生在步骤702之前,并且很可能AMF已经处理完了步骤701对应的整个流程。比如第一AMF在向UE发送服务完成消息后才发起步骤702。
703、第一AUSF向UDM发送第一鉴权向量获取请求消息。相应地,UDM收到第一鉴权向量获取请求消息。
步骤703中,第一AUSF响应于来自第一AMF的第一用户鉴权请求消息后,第一AUSF向UDM发送第一鉴权向量获取请求消息。该第一鉴权向量获取请求消息用于获取关于该UE的鉴权向量。
该第一鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该第一鉴权向量获取请求消息中携带SUPI(或SUCI)。具体的,当第一AMF向第一AUSF发送的第一用户鉴权请求消息中携带SUPI时,该第一鉴权向量获取请求消息中携带SUPI;当第一AMF向第一AUSF发送的第一用户鉴权请求消息中携带SUCI时,该第一鉴权向量获取请求消息中携带SUCI。
704、UE向第二AMF发送第二N1消息。
步骤704中,UE接入第二AMF所属的第二通信网络。
关于第二通信网络,与前述图6示意的场景类似,此处不作赘述。
705、第二AMF向第二AUSF发送第二用户鉴权请求消息。
706、第二AUSF向UDM发送第二鉴权向量获取请求消息。
相应地,UDM收到第二鉴权向量获取请求消息。步骤704-706与前述步骤701-703类似,此处不作赘述。
第一鉴权向量获取请求消息与第二鉴权向量获取请求消息都是针对同一个UE的鉴权向量获取请求消息。因为第一AMF与第二AMF属于2个不同的网络,因此步骤701-703,与步骤704-706可以同时发生、或者相邻时间发生。因此可以理解为,UDM可以同时收到第一鉴权向量获取请求消息和第二鉴权向量获取请求消息。
关于“同时”与“相近时刻”的描述,请参阅发明内容部分,此处不作赘述。
本申请假设UDM选择第一鉴权向量获取请求消息进行处理,并执行步骤707。如果UDM在相近时刻收到第一鉴权向量获取请求消息和第二鉴权向量获取请求消息,则UDM按收到消息的先后顺序处理第一鉴权向量获取请求消息与第二鉴权向量获取请求消息。
在另一种可能的实现方式中,在收到第一鉴权向量获取请求消息后UDM准备开始处理,但是还没有执行步骤707。
在另一种可能的实现方式中,还可以是UDM已经处理完第一鉴权向量获取请求消息并已经执行步骤707。
在另一种可能的实现方式中,可以是已经执行完步骤707,但是UDM还没收到步骤714中针对第一鉴权向量的第一鉴权结果确认请求消息。
不管是随机选择一个鉴权向量请求消息还是按顺序处理,都可以理解为UDM先处理一个鉴权向量请求消息,挂起了另一个鉴权向量请求消息。UDM会直到处理完第一个鉴权向量请求消息对应的主鉴权流程,或者认为UE鉴权成功,才会开始处理被挂起的另一个鉴权向量请求消息。UDM可以是在收到鉴权结果确认消息消息后,认为主鉴权流程结束,或者UE鉴权成功。进一步地,UDM可以在收到鉴权结果确认消息消息并确定是该SUPI的另一条主鉴权流程相关的消息时,就认为主鉴权流程结束;或者UDM在更新完本地保存的UE对应的鉴权状态后,认为主鉴权流程结束。本申请对UDM如何认为主鉴权流程结束不做具体限制。
对于UDM处理第一鉴权向量获取请求消息和第二鉴权向量获取请求消息的具体内容如下:
707、UDM响应于第一鉴权向量获取请求消息,获取第一鉴权向量。
步骤707中,在UDM的角度,UDM随机选择到第一鉴权向量获取请求消息,或者首先接收步骤703中来自第一AUSF的第一鉴权向量获取请求消息(该第一鉴权向量获取请求消息与第一AMF相关,视为与第一通信网络相关的鉴权消息)。UDM其次接收步骤706中的第二AUSF的第二鉴权向量获取请求消息(该第二鉴权向量获取请求消息与第二AMF相关,视为与第二通信网络相关的鉴权消息)。
第一鉴权向量获取请求消息与第二鉴权向量获取请求消息都是针对同一个UE的鉴权向量获取请求消息。UDM按序处理多条鉴权向量获取请求消息包括:UDM根据随机选择的方法,或者根据接收的顺序的方法处理第一鉴权向量获取请求消息与第二鉴权向量获取请求消息。首先执行步骤707-714,然后执行步骤715-719。
具体的,UDM响应于第一鉴权向量获取请求消息,选择该UE的鉴权方法并获取关于该UE的第一鉴权向量。具体的方法与前述步骤404类似,此处不作赘述。
UDM接收第一鉴权向量获取请求消息后,根据该UE的签约信息,确定该UE的鉴权方法。本实施例中,以UDM响应于第一鉴权向量获取请求消息,选择该UE的鉴权方法为5G AKA为例进行说明。
在UDM根据随机选择的方法,或者根据按照接收的顺序的方法处理第一鉴权向量获取请求消息与第二鉴权向量获取请求消息前,UDM要首先判断SUPI是否正在与网络设备侧进行鉴权。具体地,当UDM收到第二鉴权向量请求消息的时候,UDM判断第二鉴权请求消息中携带的SUPI,或者解密SUCI后对应的SUPI是否正在被鉴权。即,UDM在收到第二鉴权向量请求消息的时候,UDM要根据SUPI查看是否该UDM同时收到了第一鉴权向量请求消息。UDM确定是否正在对UE鉴权的方法可能有以下几种:
第一种:UDM根据数据库中存储的状态信息,判断是否正在对UE进行鉴权。
比如,如果UDM的记录中,记录UE被鉴权的完成时间与当前时间非常接近,则可以判断该时刻没有在对UE进行鉴权。再比如,如果UDM的记录中为该UE创建了列表,但是没有标记UE的鉴权结果,则UDM可以判断正在对该UE进行鉴权,并启动一个计时器。在计时器超期前不刚刚收到的鉴权请求消息进行处理。在这种情况下,UDM检测后续收到的鉴权结果确认消息,如果某一条鉴权结果确认消息携带的SUPI与当前收到的鉴权请求消息携带的SUPI相同,则可以停止计时器,并开始处理被挂起的鉴权向量请求消息。
第二种:UDM记录哪些UE正在做鉴权。比如,当UDM收到鉴权请求消息的时候,UDM创建一个正在被鉴权的UE的列表,或者根据已经创建的列表,检查确认该SUPI是否在此列表中。如果有,则证明正在对该UE进行鉴权流程。如果没有,则UDM将该UE加入该列表,并响应鉴权向量请求消息。UDM会在认为主鉴权流程结束时将UE移除该列表。再UDM判断该UE正在被网络鉴权的情况下,UDM挂起刚刚收到的鉴权向量请求消息。
708、UDM向第一AUSF发送第一鉴权向量获取响应消息。该第一鉴权向量获取响应消息中携带第一鉴权向量。
步骤707后,进入步骤708。UDM根据选择的鉴权方法(5G AKA)确定对应的鉴权向量后,向第一AUSF发送第一鉴权向量获取响应消息。该第一鉴权向量获取响应消息中携带第一鉴权向量。该第一鉴权向量获取响应消息例如:“Nudm_UEAuthentication_GetResponse”。
709、第一AUSF向第一AMF发送第一用户鉴权响应消息。
步骤709中,第一AUSF向第一AMF发送第一用户鉴权响应消息。该第一用户鉴权响应消息携带第一鉴权向量*。所述第一鉴权向量*可以是第一鉴权向量的一部分,也可以是由AUSF根据第一鉴权向量中的部分或全部内容计算得到的,此处不作限制。
该第一用户鉴权响应消息例如是“Nausf_UEAuthentication_AuthenticateResponse”。
在5G AKA鉴权流程中,当第一AMF再次接收来自第一AUSF的第一用户鉴权响应消息后,触发NAS SMC流程,以便UE存储Kausf。即进入步骤724,第一AMF向UE发送第一NAS SMC消息。具体的内容在步骤724中描述。
710、第一AMF向UE发送第一鉴权请求消息。
步骤710中,第一AMF响应于第一用户鉴权响应消息,向UE发送第一鉴权请求消息。该第一鉴权请求消息携带以下一个或多个信元:5G密钥标识符(Key Set Identifier in5G,ngKSI)和架构间抗降维参数(ABBA)。
该第一鉴权请求消息可以是:鉴权请求(Authentication Request)消息。
711、UE响应于第一鉴权请求消息,对第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1。
步骤711中,UE响应于第一鉴权请求消息,在本地对第一通信网络进行鉴权校验,例如对比第一鉴权向量*中携带的消息鉴别码(message Authentication code,MAC)与UE根据第一鉴权向量*中的内容指示的预期消息鉴别码(expected message authenticationcode,XMAC)是否相同。如果相同,则鉴权校验结果认为第一通信网络是真实的,鉴权校验成功。
在鉴权校验成功后计算响应。当鉴权校验成功,则生成与第一通信网络对应的中间密钥。本申请实施例中,将与第一通信网络对应的中间密钥称为第一中间密钥。该第一中间密钥可以是Kausf-1。
UE响应于第一鉴权请求消息生成的第一中间密钥Kausf-1,存储于缓存区域中。本申请实施例中,将终端设备存储中间密钥Kausf的缓存区域称为第一存储空间。
需要说明的是,第一中间密钥Kausf-1可以在终端设备鉴权校验成功的情况下生成,也可以在终端设备执行鉴权校验之前生成,还可以在终端设备执行鉴权校验的过程中生成。本申请实施例中对终端设备生成第一中间密钥Kausf-1的时机不作限制。
可以理解的是,当终端设备在执行鉴权校验之前生成Kausf-1,或者在执行鉴权校验的过程中生成第一中间密钥Kausf-1时,如果鉴权校验失败则终端设备还可以删除所生成的第一中间密钥Kausf-1。
712、UE向第一AMF发送第一鉴权响应消息。
步骤712中,当UE对第一通信网络鉴权校验成功,UE向第一AMF发送第一鉴权响应消息,该第一鉴权响应消息可以是“Autherntication response”。
713、第一AMF向第一AUSF发送第一鉴权响应消息对应的第三用户鉴权请求消息。
步骤713中,第一AMF响应于第一鉴权响应消息。比如,在5G-AKA流程中,生成响应(HRES*),并向第一AUSF发送第一鉴权响应消息对应的第三用户鉴权请求消息,该第三用户鉴权请求消息可以是“Nausf_UEAuthentication_Authenticate Resquest”。
714、第一AUSF向UDM发送针对第一鉴权向量的第一鉴权结果确认请求消息。
步骤714中,第一AUSF响应于第一鉴权响应消息对应的第三用户鉴权请求消息,对第三用户鉴权请求消息进行校验。若校验成功,则第一AUSF存储第一中间密钥Kausf-1。该Kausf-1可以在AUSF校验第三用户鉴权请求消息成功后生成,也可以在AUSF收到第一鉴权向量后生成。
第一AUSF向第一AMF(或者与第一AMF关联的SEAF)发送第三用户鉴权响应消息,该第三用户鉴权响应消息携带校验结果(例如:指示对UE的鉴权校验成功)。该第三用户鉴权响应消息可以是“Nausf_UEAuthentication_Authenticate Response”。
第一AUSF向UDM发送针对第一鉴权向量的第一鉴权结果确认请求消息。该第一鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第一AUSF的标识。可选的,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第一鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
715、UDM响应于第一鉴权结果确认请求消息,存储第一AUSF的标识,并继续处理第二鉴权向量获取请求消息,获取第二鉴权向量。
步骤715中,UDM接收来自第一AUSF的第一鉴权结果确认请求消息,存储第一AUSF的标识。
UDM接收来自第一AUSF的第一鉴权结果确认请求消息之前,UDM暂停处理第二鉴权向量获取请求消息。当UDM接收来自第一AUSF的第一鉴权结果确认请求消息后,UDM恢复处理第二鉴权向量获取请求消息。
UDM响应于第二鉴权向量获取请求消息,获取第二鉴权向量,具体的,UDM响应于第二鉴权向量获取请求消息,选择该UE的鉴权方法并获取关于该UE的鉴权向量。具体的方法与前述步骤404类似,此处不作赘述。
本实施例中,以UDM响应于第二鉴权向量获取请求消息,选择该UE的鉴权方法为5GAKA为例进行说明。
716、UDM向第二AUSF发送第二鉴权向量获取响应消息。所述第二鉴权向量获取响应消息包含第二鉴权向量。
717、第二AUSF向第二AMF发送第二用户鉴权响应消息。
所述第二用户鉴权响应消息包括第二鉴权向量*。所述第二鉴权向量*可以是第二鉴权向量的一部分,也可以是由AUSF根据第二鉴权向量中的部分或全部内容计算得到的。
718、第二AMF向UE发送第二鉴权请求消息。
步骤718中,第二AMF响应于第二用户鉴权响应消息,向UE发送第二鉴权请求消息。该第二鉴权请求消息携带以下一个或多个信元:5G密钥标识符(Key Set Identifier in5G,ngKSI)和架构间抗降维参数(ABBA)。
该第二鉴权请求消息可以是:鉴权请求(Authentication Request)消息。
719、UE响应于第二鉴权请求消息,对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。
步骤719中,与前述步骤711类似,需要说明的是,第二中间密钥Kausf-2可以在终端设备鉴权校验成功的情况下生成,也可以在终端设备执行鉴权校验之前生成,还可以在终端设备执行鉴权校验的过程中生成。本申请实施例中对终端设备生成第二中间密钥Kausf-2的时机不作限制。
可以理解的是,当终端设备在执行鉴权校验之前生成Kausf-2,或者在执行鉴权校验的过程中生成中间密钥Kausf-2时,如果鉴权校验失败则终端设备还可以删除所生成的Kausf-2。
720、UE向第二AMF发送第二鉴权响应消息。
721、第二AMF向第二AUSF发送第二鉴权响应消息对应的第四用户鉴权请求消息。
步骤721中,第二AMF响应于第二鉴权响应消息,生成响应并向第二AUSF发送第二鉴权响应消息对应的第四用户鉴权请求消息,该第四用户鉴权请求消息可以是“Nausf_UEAuthentication_Authenticate Resquest”。
722、第二AUSF向UDM发送针对第二鉴权向量的第二鉴权结果确认请求消息。
步骤722中,第二AUSF响应于第二鉴权响应消息对应的第四用户鉴权请求消息,对第四用户鉴权请求消息进行校验。若校验成功,则第二AUSF存储第二中间密钥Kausf-2。该Kausf-2可以在AUSF校验第四用户鉴权请求消息成功后生成,也可以在AUSF收到第二鉴权向量后生成。
第二AUSF向第二AMF(或者与第二AMF关联的SEAF)发送第四用户鉴权响应消息,该第四用户鉴权响应消息携带校验结果(例如:指示对UE的鉴权校验成功)。该第四用户鉴权响应消息可以是“Nausf_UEAuthentication_Authenticate Response”。
第二AUSF向UDM发送针对第二鉴权向量的第二鉴权结果确认请求消息。该第二鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第二AUSF的标识。示例性的,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第二鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
723、UDM响应于第二鉴权结果确认请求消息,存储第二AUSF的标识。
具体的,UDM接收来自第二AUSF的第二鉴权结果确认请求消息,存储第二AUSF的标识。具体地,UDM将第一AUSF的标识替换为第二AUSF的标识。
可选的,UDM可以通知第一AUSF删除第一中间密钥Kausf-1。以此保证网络设备侧仅保存第二中间密钥Kausf-2,进而保证终端设备保存的中间密钥与网络设备侧保存的中间密钥一致。
724、第一AMF向UE发送第一NAS SMC消息。
步骤714中,第一AMF(或者与第一AMF关联的SEAF)收到来自第一AUSF的第三用户鉴权响应消息后,进入步骤724,步骤724中第一AMF向UE发送第一NAS SMC消息,该第一NASSMC消息包括以下一项或多项信息:5G密钥标识符(ngKSI)、UE安全功能(UE seccapabilties)、加密算法(Ciphering Algorithm)、完整性算法(Integrity Algorithm)、Kamf变更标识(K_AMF_change_flag)、ABBA参数、或者请求初始NAS消息标志(requestInitial NAS message flag)。
725、UE响应于第一NAS SMC消息,存储第一中间密钥Kausf-1。
步骤725,UE接收来自第一AMF的第一NAS SMC消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
当UE存储第一中间密钥Kausf-1至第二存储空间后,UE向第一AMF发送该第一NASSMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
可选地,UE接收来自第一AMF的第一NAS SMC消息后首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。具体的,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。再比如,根据携带第一NAS SMC的底层消息(比如是RRC消息还是wifi AP消息)确定第一NAS SMC消息是否来自第一AMF。本申请不限定确定方法。当UE确定第一NASSMC消息与第一AMF关联后,UE响应于该第一NAS SMC消息,存储第一中间密钥Kausf-1。
726、第二AMF向UE发送第二NAS SMC消息。
步骤726中,UE接收来自第二AMF的第二NAS SMC消息后,首先检测第二NAS SMC消息与第二鉴权请求消息(来自第二AMF)是否关联。具体的,参考步骤725的相关描述。
727、UE响应于第二NAS SMC消息使用第二中间密钥Kausf-2替换第一中间密钥Kausf-1。
步骤727中,当UE确定第二NAS SMC消息与第二AMF关联后,UE响应于该第二NASSMC消息,存储第二中间密钥Kausf-2。
具体的,UE响应于该第二NAS SMC消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。UE使用该第二存储空间(长期存储空间)中的第二中间密钥Kausf-2进行鉴权与通信。
当UE存储第二中间密钥Kausf-2至第二存储空间后,UE向第二AMF发送该第二NASSMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
本申请实施例中,UDM按照接收的多个鉴权向量获取请求消息的顺序,处理多个鉴权向量获取请求消息。UDM在收到第一鉴权向量对应的第一鉴权结果确认请求消息之前,会暂停处理第二鉴权向量获取请求消息。通过在UDM上对针对UE的多个鉴权向量获取请求进行控制,保证与第一鉴权向量获取请求消息关联的第一通信网络的鉴权流程先执行,在UE与所述第一通信网络的鉴权流程中,UE和网络设备侧都会存储与第一通信网络相关的第一中间密钥Kausf-1。当UE收到针对第一鉴权向量的第一鉴权结果确认请求消息后,恢复处理第二鉴权向量获取请求消息,即恢复执行第二通信网络的鉴权流程,在鉴权流程完成之后,UE和网络设备侧最后存储的中间密钥都是与第二通信网络关联的第二中间密钥Kausf-2。上述方法可以保证UE存储的中间密钥与网络设备侧存储的中间密钥总是保持一致,避免发生密钥失步。
在图7所示的实施例的基础上,下面介绍本申请实施例提出的一种应用场景。按照图7所示实施例的流程,终端设备最后存储的中间密钥为第二中间密钥Kausf-2,网络设备侧最后存储的中间密钥为第二中间密钥Kausf-2,终端设备存储的中间密钥与网络设备侧存储的中间密钥保持一致。
在一种应用场景中,以漫游路径选择(steer of roaming,SoR)为例进行说明。在SoR中,UDM根据自身保存的第二AUSF的标识,确定第二AUSF。UDM向第二AUSF发送漫游网络选择信息,该第二AUSF保存第二中间密钥Kausf-2。第二AUSF使用第二中间密钥Kausf-2对漫游网络选择信息进行安全保护(例如是完整性保护)。第二AUSF将该安全保护结果发送至UDM。UDM在收到该安全保护结果后,通过AMF将该安全保护结果发送至UE。UE使用自身保存的第二中间密钥Kausf-2对该安全保护结果进行校验。由于终端设备侧与网络设备侧使用相同的中间密钥(Kausf-2),因此上述SoR流程可以成功执行。
在另一种应用场景中,UE参数更新(ue parameters update,UPU)为例进行说明,UPU流程是为了更新UE的签约数据或者配置数据,例如更新UE路由选择策略(ue routeselection policy,URSP)。在UPU中,UDM根据自身保存的第二AUSF的标识,确定第二AUSF。UDM向第二AUSF发送UE的签约数据或者配置数据,该第二AUSF保存第二中间密钥Kausf-2。第二AUSF使用第二中间密钥Kausf-2对UE的签约数据或者配置数据进行安全保护(例如是完整性保护)。第二AUSF将该安全保护结果发送至UDM。UDM在收到该安全保护结果后,通过AMF将该安全保护结果发送至UE。UE使用自身保存的第二中间密钥Kausf-2对该安全保护结果进行校验。由于终端设备侧与网络设备侧使用相同的中间密钥(Kausf-2),因此上述UPU流程可以成功执行。
在图7所示的实施例中,一种特殊的场景为:第一AUSF与第二AUSF为同一个AUSF,即第一AUSF和第二AUSF是同一个功能。
一种可能的实现方式中,AUSF按序处理来自不同AMF的第一用户鉴权请求消息,其中,AUSF收到前一条用户鉴权请求消息的响应后,开始处理后一条第一用户鉴权请求消息。
在另一种可能的实现方式中,AUSF生成接收的多条用户鉴权请求消息的接收顺序记录。AUSF同时对多条用户鉴权请求消息进行处理,这里的“同时”也可以是按照一定顺序处理,不作限制。AUSF按照该接收顺序记录,将多条用户鉴权请求消息对应的鉴权结果确认请求消息按顺序发送至UDM。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
在前述实施例的基础上,请参阅图8,图8为本申请实施例提出的一种通信方法的实施例示意图。图8所示的实施例中,终端设备收到多条鉴权请求消息后,终端设备需要在收到前一条鉴权请求消息对应的NAS SMC或者EAP-Success消息后,处理后一条鉴权请求消息。具体的,终端设备分别接入第一通信网络和第二通信网络,其中,第一通信网络包括第一AMF、第二通信网络包括第二AMF,第一通信网络与第二通信网络如前述图6示意的第一通信网络和第二通信网络类似。本申请实施例提出的一种通信方法包括:
801、第一AMF触发对UE的鉴权。
步骤801中,UE接入第一AMF所属的第一通信网络,触发该UE的主鉴权流程。或者,第一AMF根据本地策略触发对UE的鉴权。
步骤801的流程具体如下:
步骤801a:UE向AMF(该AMF与SEAF合设),或者SEAF发送N1消息(N1 message)。该N1消息中携带UE的SUCI或者5G-全球唯一临时UE标识(5G-globally unique temporary UEidentity,5G-GUTI)。若AMF根据本地策略触发对UE的鉴权,则该步骤对应的流程可能已经结束。
步骤801b:第一AMF向第一AUSF发送第一用户鉴权请求消息,该第一用户鉴权请求消息用于请求关于该终端设备的鉴权向量(authentication vector,AV)。该步骤可以是第一AMF响应于N1消息,触发针对该终端设备的鉴权,也可以是根据本地策略触发。
该第一用户鉴权请求消息例如是:“Nausf_UEAuthentication_AuthenticationRequest”。该消息中携带SUCI(或者SUPI)和服务网络名称(serving network name,SN-name)。
若第一AMF接收来自终端设备的N1消息携带的是SUCI,则第一AMF向AUSF发送的第一用户鉴权请求消息中携带的是该SUCI。若第一AMF接收来自终端设备的N1消息携带的是5G-GUTI,则第一AMF首先根据5G-GUTI获取SUPI,第一AMF向AUSF发送的第一用户鉴权请求消息中携带该SUPI。若由本地策略触发,则AMF第一用户鉴权请求消息中携带该SUPI
步骤801c:第一AUSF响应于来自第一AMF的第一用户鉴权请求消息后,第一AUSF向UDM发送第一鉴权向量获取请求消息。该第一用户获取请求消息用于获取关于该UE的鉴权向量。
该第一用户获取请求消息例如“Numd_UEAuthentication Get Request”。该第一鉴权向量获取请求消息中携带SUPI(或SUCI)和SN-name。具体的,当第一AMF向第一AUSF发送的第一用户鉴权请求消息中携带SUPI时,该第一鉴权向量获取请求消息中携带SUPI;当第一AMF向第一AUSF发送的第一用户鉴权请求消息中携带SUCI时,该第一鉴权向量获取请求消息中携带SUCI。
步骤801d:UDM响应于第一鉴权向量获取请求消息,选择该UE的鉴权方法并获取关于该UE的第一鉴权向量。具体的方法与前述步骤404类似,此处不作赘述。
步骤801e:UDM根据选择的鉴权方法(5G AKA)确定对应的鉴权向量后,向第一AUSF发送第一鉴权向量获取响应消息。该第一鉴权向量获取响应消息中携带第一鉴权向量。该第一鉴权向量获取响应消息例如:“Num_UEAuthentication_Get Response”。
步骤801f:第一AUSF响应于第一鉴权向量获取响应消息,存储并校验预期响应(eXpected response,XRES或XRES*)。第一AUSF向第一AMF发送第一用户鉴权响应消息。该第一用户鉴权响应消息携带鉴权向量,例如“5G SE AV”。
该第一用户鉴权响应消息例如是“Nausf_UEAuthentication_AuthenticateResponse”。
802、UE接收来自第一AMF的第一鉴权请求消息。
步骤802中,第一AMF响应于第一用户鉴权响应消息,向UE发送第一鉴权请求消息。该第一鉴权请求消息携带以下一个或多个信元:5G密钥标识符(Key Set Identifier in5G,ngKSI)和架构间抗降维参数(ABBA)。
该第一鉴权请求消息可以是:鉴权请求(Authentication Request)消息。
步骤802后,执行步骤805或者步骤806。
803、第二AMF触发对UE的鉴权。
步骤803的流程具体如下:
步骤803a:UE向AMF(该AMF与SEAF合设),或者SEAF发送N1消息(N1 message)。该N1消息中携带UE的SUCI或者5G-全球唯一临时UE标识(5G-globally unique temporary UEidentity,5G-GUTI)。
步骤803b:第二AMF触发对该终端设备的鉴权,第二AMF向第二AUSF发送第二用户鉴权请求消息,该第二用户鉴权请求消息用于请求关于该终端设备的鉴权向量(authentication vector,AV)。
该第二用户鉴权请求消息例如是:“Nausf_UEAuthentication_AuthenticationRequest”。该消息中携带SUCI(或者SUPI)和服务网络名称(serving network name,SN-name)。
若第二AMF接收来自终端设备的N1消息携带的是SUCI,则第二AMF向AUSF发送的第二用户鉴权请求消息中携带的是该SUCI。若第二AMF接收来自终端设备的N1消息携带的是5G-GUTI,则第二AMF首先根据5G-GUTI获取SUPI,第二AMF向AUSF发送的第二用户鉴权请求消息中携带该SUPI。
步骤803c:第二AUSF响应于来自第二AMF的第二用户鉴权请求消息后,第二AUSF向UDM发送第二鉴权向量获取请求消息。该第二鉴权向量获取请求消息用于获取关于该UE的鉴权向量。
该第二鉴权向量获取请求消息例如“Numd_UEAuthentication Get Request”。该第二鉴权向量获取请求消息中携带SUPI(或SUCI)和SN-name。具体的,当第二AMF向第二AUSF发送的第二用户鉴权请求消息中携带SUPI时,该第二鉴权向量获取请求消息中携带SUPI;当第二AMF向第二AUSF发送的第二用户鉴权请求消息中携带SUCI时,该第二鉴权向量获取请求消息中携带SUCI。
步骤803d:UDM响应于第二鉴权向量获取请求消息,选择该UE的鉴权方法并获取关于该UE的鉴权向量。具体的方法与前述步骤404类似,此处不作赘述。
步骤803e:UDM根据选择的鉴权方法(5G AKA)确定对应的鉴权向量后,向第二AUSF发送第二鉴权向量获取响应消息。该第二鉴权向量获取响应消息中携带鉴权向量。该第二鉴权向量获取响应消息例如:“Num_UEAuthentication_Get Response”。
步骤803f:第二AUSF响应于第二鉴权向量获取响应消息,存储并校验预期响应(eXpected response,XRES或XRES*)。第二AUSF向第二AMF发送第二用户鉴权响应消息。该第二用户鉴权响应消息携带鉴权向量,例如“5G SE AV”。
该第二用户鉴权响应消息例如是“Nausf_UEAuthentication_AuthenticateResponse”。
804、UE接收来自第二AMF的第二鉴权请求消息。
需要说明的是,步骤802和步骤804可以同时发生、或者相邻时间发生。因此可以理解为,UE可以同时收到第一鉴权请求消息和第二鉴权请求消息。对于同时的理解,可以认为UE是在同一时刻或者相近时刻收到2条消息。具体地:如果UE在同一时刻收到第一鉴权请求消息和第二鉴权请求消息,那么UDM随机选择其中一条消息开始处理。本申请假设UE选择第一鉴权请求消息进行处理.如果UE在相近时刻收到第一鉴权请求消息和第二鉴权请求消息,则UE按收到消息的先后顺序处理第一鉴权请求消息和第二鉴权请求消息。对于相近时刻的具体理解是:UE收到第一鉴权请求消息时,UE可以是刚刚收该请求消息并且还没来得及处理第一权向量获取请求消息;也可以是在收到该请求消息并开始处理,但是还没有发送第一鉴权请求消息对应的响应消息;还可以是已经处理完第一鉴权向量获取请求消息并已经发送第一鉴权请求消息对应的响应消息,但是还没有收到第一鉴权请求消息对应的NAS SMC或者EAP-Success消息;不管是随机选择一个鉴权请求消息还是按顺序处理,都可以理解为UE先处理一个鉴权请求消息,挂起了另一个鉴权请求消息。
本实施例假设UE首先收到来自第一AMF的第一鉴权请求消息,UE其次接收来自第二AMF的第二鉴权请求消息。即首先发生步骤802,步骤804后发生。
在UE确定是通过不同接入技术(例如是3GPP接入技术与非3GPP接入技术)收到2条不同的鉴权请求消息后,UE对鉴权向量中的序列号(sequence number,SQN)比较的结果不做处理,或者不需要做SQN比较。具体地,如果UE先收到一个SQN较大的鉴权请求消息,又收到一个SQN较小的鉴权请求消息,则UE不会因为第二条鉴权请求消息的SQN小就丢弃该消息。而对于同一接入技术收到的2条SQN不同的鉴权请求消息,如果UE先收到一个SQN较大的鉴权请求消息,后收到一个SQN较小的鉴权请求消息,则UE只会处理SQN较大的鉴权请求消息,丢弃SQN较小的鉴权请求消息。基于此,无论是UE通过不同接入技术还是相同接入技术同时收到2条鉴权请求消息,如果UE先收到一个SQN较小的鉴权请求消息,后收到一个SQN较大的鉴权请求消息,则UE均可以按照SQN由小到大的顺序处理接收的2条鉴权请求消息。
805、UE判断第一鉴权请求消息对应的鉴权方法是5G AKA,还是EAP-AKA’。
可选的,若第一鉴权请求消息对应的鉴权方法是5G-AKA,则在收到第一鉴权请求消息对应的NAS SMC前暂停处理第二鉴权请求消息;
可选的,若第一鉴权请求消息对应的鉴权方法是EAP-AKA’,则在收到第一鉴权请求消息对应的EAP-success消息前暂停处理第二鉴权请求消息。
当第一鉴权请求消息对应的鉴权方法为5G AKA,则执行步骤806-815;
当第一鉴权请求消息对应的鉴权方法为EAP-AKA’,则执行步骤806,807,808以及816-822。
步骤805存在多种触发的场景,下面分别进行说明。
一种可能的实现方式中,当步骤802中,UE收到第一鉴权请求消息后,UE判断第一鉴权请求消息对应的鉴权方法是否为5G AKA,若是,则UE在收到第一鉴权请求消息后收到来自其他AMF的鉴权请求消息时,暂停处理来自其他AMF的鉴权请求消息。
在另一种可能的实现方式中,步骤802后,还未执行步骤806和、或807。即UE还未响应于第一鉴权请求消息时,UE接收来自第二AMF的第二鉴权请求消息,则UE触发步骤805。UE判断第一鉴权请求消息对应的鉴权方法是否为5G AKA。若是,则UE暂停处理第二鉴权请求消息。
在另一种可能的实现方式中,步骤807执行的过程中或者已经执行完步骤806和/或807,但是还未执行步骤809,即UE响应于第一鉴权请求消息,对第一通信网络进行鉴权校验的过程中。UE收到来自第二AMF的第二鉴权请求消息,则UE触发步骤805。UE判断第一鉴权请求消息对应的鉴权方法是5G AKA,还是EAP-AKA’。之后,则UE决定什么时候响应第二鉴权请求消息。UE可以在决定前暂停处理第二鉴权请求消息,也可以在决定后暂停处理第二鉴权请求消息,UE还可以先处理第二鉴权请求消息,但是根据决定结果确定什么时候发出第二鉴权请求消息对应的鉴权响应消息。
具体的,UE可以通过检测第一鉴权请求消息中携带的信元判断第一鉴权请求消息对应的鉴权方法是5G AKA还是EAP-AKA’。例如:根据第一鉴权请求消息中携带的指示信息判断。指示信息可以是包头信息,该包头信息用于指示是5G AKA鉴权方法还是EAP-AKA’鉴权方法,甚至是其他KAP-AKA’,则UE根据包头中的指示信息确定第一鉴权请求消息对应的鉴权方法为5G AKA还是KAP-AKA’。指示信息还是可以是消息本身,比如没有EAP字段时是5GAKA鉴权方法,有EAP字段则是EAP-AKA’鉴权方法。再比如检测以下一项或多项信元(或者信息):5G密钥标识符(Key Set Identifier in 5G,ngKSI),或架构间抗降维参数(ABBA),携带的位置。比如若AV在EAP消息中,则是KAP-AKA’,否则UE确定第一鉴权请求消息对应的鉴权方法为5G AKA。
806、UE响应于第一鉴权请求消息,对第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1。
步骤806与前述步骤711一致,此处不作赘述。
807、若鉴权校验成功,则UE向第一AMF发送第一鉴权响应消息。
该第一鉴权响应消息可以是“Autherntication response”。
808、触发针对第一鉴权请求消息关联的鉴权流程,UDM存储第一AUSF的标识。
步骤808中,第一AMF接收来自UE的第一鉴权响应消息后,触发针对第一鉴权请求消息关联的鉴权流程,在该流程中UDM存储第一AUSF的标识。
步骤808中的具体鉴权流程如下:
步骤808a:第一AMF响应于第一鉴权响应消息向第一AUSF发送第一鉴权响应消息对应的第三用户鉴权请求消息,该第三用户鉴权请求消息可以是“Nausf_UEAuthentication_Authenticate Resquest”。该第三用户鉴权请求消息中携带携带网络验证UE的参数。
步骤808b:第一AUSF响应于第一鉴权响应消息对应的第三用户鉴权请求消息,对携带的携带网络验证UE的参数进行校验。若校验成功,则第一AUSF存储第一中间密钥Kausf-1。
步骤808c:第一AUSF向第一AMF(或者与第一AMF关联的SEAF)反馈第三用户鉴权响应消息,该第三用户鉴权响应消息携带校验结果(例如:指示对UE的校验成功)。该第三用户鉴权响应消息可以是“Nausf_UEAuthentication_Authenticate Response”。该第三用户鉴权响应消息是第三用户鉴权请求消息的一个响应消息。
步骤808d:第一AUSF向UDM发送针对第一鉴权向量的第一鉴权结果确认请求消息。该第一鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、第一AUSF的标识和服务网络名称,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第一鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
步骤808e:UDM接收来自第一AUSF的第一鉴权结果确认请求消息,存储第一AUSF的标识。
首先,介绍第一鉴权请求消息对应的鉴权方法为5G AKA的流程:
809、第一AMF向UE发送第一NAS SMC消息。
前述步骤801f中,第一AUSF向第一AMF发送第一用户鉴权响应消息。当第一AMF收到该第一用户鉴权响应消息,则第一AMF向UE发送第一NAS SMC消息。该第一NAS SMC消息包括以下一项或多项信息:5G密钥标识符(ngKSI)、UE安全功能(UE sec capabilties)、加密算法(Ciphering Algorithm)、完整性算法(Integrity Algorithm)、Kamf变更标识(K_AMF_change_flag)、ABBA参数、或者请求初始NAS消息标志(request Initial NAS messageflag)。
810、UE响应于第一NAS SMC消息,存储第一中间密钥Kausf-1。
步骤809中,UE接收来自第一AMF的第一NAS SMC消息后,UE响应于该第一NAS SMC消息,存储第一中间密钥Kausf-1。
具体的,UE响应于该第一NAS SMC消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
当UE存储第一中间密钥Kausf-1至第二存储空间后,UE向第一AMF发送该第一NASSMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
可选地,UE接收来自第一AMF的第一NAS SMC消息后首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。具体的,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。首先检测第一NAS SMC消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一NAS SMC消息携带的信息确定该第一NAS SMC消息是否来自第一AMF。再比如,根据携带第一NAS SMC的底层消息(比如是RRC消息还是wifi AP消息)确定第一NAS SMC消息是否来自第一AMF。本申请不限定确定方法。当UE确定第一NASSMC消息与第一AMF关联后,UE响应于该第一NAS SMC消息,存储第一中间密钥Kausf-1。
811、UE收到第一NAS SMC消息,恢复对第二鉴权请求消息的处理,即对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。
步骤811中,在步骤809后,UE响应于第一NAS SMC消息,根据第二鉴权请求消息对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。即恢复处理第二鉴权请求消息。
812、若鉴权校验成功,则UE向第二AMF发送第二鉴权响应消息。
步骤812中,若鉴权校验成功,则UE响应于第二鉴权请求消息,向第二AMF发送第二鉴权响应消息。该第二鉴权响应消息可以是“Autherntication response”。
813、触发针对第二鉴权请求消息关联的鉴权流程,UDM存储第二AUSF的标识。
步骤813中,第二AMF接收来自UE的第二鉴权响应消息后,触发针对第二鉴权请求消息关联的鉴权流程,在该流程中UDM存储第二AUSF的标识。
步骤813中的具体鉴权流程如下:
步骤813a:第二AMF响应于第二鉴权响应消息并向第二AUSF发送第二鉴权响应消息对应的第四用户鉴权请求消息,该第四用户鉴权请求消息可以是“Nausf_UEAuthentication_Authenticate Resquest”。该第四用户鉴权请求消息中携带网络验证UE的参数。
步骤813b:第二AUSF响应于第二鉴权响应消息对应的第四用户鉴权请求消息,对网络验证UE的参数进行校验。若校验成功,则第二AUSF存储第二中间密钥Kausf-2。
步骤813c:第二AUSF向第二AMF(或者与第二AMF关联的SEAF)反馈第四用户鉴权响应消息,该第四用户鉴权响应消息携带校验结果(例如:指示对UE的校验成功)。该第四用户鉴权响应消息可以是“Nausf_UEAuthentication_Authenticate Response”。该第四用户鉴权响应消息是第四用户鉴权请求消息的响应消息。
步骤813d:第二AUSF向UDM发送针对第二鉴权向量的第二鉴权结果确认请求消息。该第二鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、第二AUSF的标识和服务网络名称。示例性的,该鉴权类型信息中指示鉴权方法为5G AKA。示例性的,该第二鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
步骤813e:UDM接收来自第二AUSF的第二鉴权结果确认请求消息,存储第二AUSF的标识。具体地,UDM将第一AUSF的标识替换为第二AUSF的标识。
可选的,UDM存储第二AUSF的标识后,UDM可以通知第一AUSF删除第一中间密钥Kausf-1。
814、第二AMF向UE发送第二NAS SMC消息。
步骤814中,UE接收来自第二AMF的第二NAS SMC消息后,可选地,首先检测第二NASSMC消息与第二鉴权请求消息(来自第二AMF)是否关联。具体的,根据第二NAS SMC消息携带的信息确定该第二NAS SMC消息是否来自第二AMF。
该第二NAS SMC消息包括以下一项或多项信息:5G密钥标识符(ngKSI)、UE安全功能(UE sec capabilties)、加密算法(Ciphering Algorithm)、完整性算法(IntegrityAlgorithm)、Kamf变更标识(K_AMF_change_flag)、ABBA参数、或者请求初始NAS消息标志(request Initial NAS message flag)。
815、UE响应于第二NAS SMC消息,使用第二中间密钥Kausf-2替换第一中间密钥Kausf-1。
具体的,UE响应于该第二NAS SMC消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
当UE存储第二中间密钥Kausf-2至第二存储空间后,UE向第二AMF发送该第二NASSMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
可选地,UE接收来自第二AMF的第二NAS SMC消息后首先检测第二NAS SMC消息与第二鉴权请求消息(来自第二AMF)是否关联。具体的,根据第二NAS SMC消息携带的信息确定该第二NAS SMC消息是否来自第二AMF。首先检测第二NAS SMC消息与第二鉴权请求消息(来自第二AMF)是否关联。比如,根据第二NAS SMC消息携带的信息确定该第二NAS SMC消息是否来自第二AMF。再比如,根据携带第二NAS SMC的底层消息(比如是RRC消息还是wifi AP消息)确定第二NAS SMC消息是否来自第二AMF。本申请不限定确定方法。当UE确定第二NASSMC消息与第二AMF关联后,UE响应于该第二NAS SMC消息,存储第二中间密钥Kausf-2。具体的,UE响应于该第二NAS SMC消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。
其次,介绍第一鉴权请求消息对应的鉴权方法为EAP-AKA’的流程:
816、第一AMF向UE发送第一EAP-success消息。
前述步骤801f中,第一AUSF向第一AMF发送第一用户鉴权响应消息。当第一AMF收到该第一用户鉴权响应消息,则第一AMF向UE发送第一EAP-success消息。该第一EAP-success消息用于指示鉴权成功。
817、UE响应于第一EAP-success消息,存储第一中间密钥Kausf-1。
步骤816中,UE接收来自第一AMF的第一EAP-success消息后,UE响应于该第一EAP-success消息,存储第一中间密钥Kausf-1。
具体的,UE响应于该第一EAP-success消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
在一种可能的实现方式中,第一EAP-success消息为NAS SMC消息的一个信元,即第一AMF通过NAS SMC消息向UE发送第一EAP-success消息,则当UE存储第二中间密钥Kausf-2至第二存储空间后,UE向第一AMF发送该第一EAP-success消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
在另一种可能的实现方式中,第一AMF通过鉴权结果“Authentication reault”消息向向UE发送第一EAP-success消息,则当UE存储第一中间密钥Kausf-1至第二存储空间后,UE可以不向第一AMF发送该第一EAP-success消息的响应消息。
可选地,UE接收来自第一AMF的第一EAP-success消息后首先检测第一EAP-success消息与第一鉴权请求消息(来自第一AMF)是否关联。具体的,根据第一EAP-success消息携带的信息确定该第一EAP-success消息是否来自第一AMF。首先检测第一EAP-success消息与第一鉴权请求消息(来自第一AMF)是否关联。比如,根据第一EAP-success消息携带的信息确定该第一EAP-success消息是否来自第一AMF。再比如,根据携带第一EAP-success的底层消息(比如是RRC消息还是wifi AP消息)确定第一EAP-success消息是否来自第一AMF。本申请不限定确定方法。当UE确定第一EAP-success消息与第一AMF关联后,UE响应于该第一EAP-success消息,存储第一中间密钥Kausf-1。
818、UE收到第一EAP-success消息,恢复对第二鉴权请求消息的处理,即对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。
步骤818中,在步骤816后,UE响应于第一EAP-success消息,根据第二鉴权请求消息对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。即恢复处理第二鉴权请求消息。
819、若鉴权校验成功,则UE向第二AMF发送第二鉴权响应消息。
步骤819中,若鉴权校验成功,则UE响应于第二鉴权请求消息,向第二AMF发送第二鉴权响应消息。该第二鉴权响应消息可以是“Autherntication response”。
820、触发针对第二鉴权请求消息关联的鉴权流程,UDM存储第二AUSF的标识。
步骤820中,第二AMF接收来自UE的第二鉴权响应消息后,触发针对第二鉴权请求消息关联的鉴权流程,在该流程中UDM存储第二AUSF的标识。
步骤820中的具体鉴权流程如下:
步骤820a:第二AMF响应于第二鉴权响应消息并向第二AUSF发送第二鉴权响应消息对应的第四用户鉴权请求消息,该第四用户鉴权请求消息可以是“Nausf_UEAuthentication_Authenticate Resquest”。该第四用户鉴权请求消息中携带网络验证UE的参数。
步骤820b:第二AUSF响应于第二鉴权响应消息对应的第四用户鉴权请求消息,对网络验证UE的参数进行校验。若校验成功,则第二AUSF生成并存储第二中间密钥Kausf-2。
步骤820c:第二AUSF向第二AMF(或者与第二AMF关联的SEAF)反馈第四用户鉴权响应消息,该第四用户鉴权响应消息携带校验结果(例如:指示对UE的校验成功)。该第四用户鉴权响应消息可以是“Nausf_UEAuthentication_Authenticate Response”。该第四用户鉴权响应消息是第四用户鉴权请求消息的响应消息。
步骤820d:第二AUSF向UDM发送针对第二鉴权向量的第二鉴权结果确认请求消息。该第二鉴权结果确认请求消息还可以携带以下一个或多个信息:SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、第二AUSF的标识和服务网络名称。示例性的,该鉴权类型信息中指示鉴权方法为EAP-AKA’。示例性的,该第二鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
步骤820e:UDM接收来自第二AUSF的第二鉴权结果确认请求消息,存储第二AUSF的标识。具体地,UDM将第一AUSF的标识替换为第二AUSF的标识。
可选的,UDM存储第二AUSF的标识后,UDM可以通知第一AUSF删除第一中间密钥Kausf-1。
821、第二AMF向UE发送第二EAP-success消息。
步骤821中,UE接收来自第二AMF的第二EAP-success消息后,可选地,首先检测第二EAP-success消息与第二鉴权请求消息(来自第二AMF)是否关联。具体的,根据第二EAP-success消息携带的信息确定该第二EAP-success消息是否来自第二AMF。
822、UE响应于第二EAP-success消息,使用第二中间密钥Kausf-2替换第一中间密钥Kausf-1。
具体的,UE响应于该第二EAP-success消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
在一种可能的实现方式中,第二EAP-success消息为NAS SMC消息的一个信元,即第二AMF通过NAS SMC消息向UE发送第二EAP-success消息,则当UE存储第二中间密钥Kausf-2至第二存储空间后,UE向第二AMF发送该第二EAP-success消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
在另一种可能的实现方式中,第二AMF通过鉴权结果“Authentication reault”消息向向UE发送第二EAP-success消息,则当UE存储第二中间密钥Kausf-2至第二存储空间后,UE可以不向第二AMF发送该第二EAP-success消息的响应消息。
可选地,UE接收来自第二AMF的第二EAP-success消息后首先检测第二EAP-success消息与第二鉴权请求消息(来自第二AMF)是否关联。具体的,根据第二EAP-success消息携带的信息确定该第二EAP-success消息是否来自第二AMF。首先检测第二EAP-success消息与第二鉴权请求消息(来自第二AMF)是否关联。比如,根据第二EAP-success消息携带的信息确定该第二EAP-success消息是否来自第二AMF。再比如,根据携带第二EAP-success的底层消息(比如是RRC消息还是wifi AP消息)确定第二EAP-success消息是否来自第二AMF。本申请不限定确定方法。当UE确定第二EAP-success消息与第二AMF关联后,UE响应于该第二EAP-success消息,存储第二中间密钥Kausf-2。具体的,UE响应于该第二EAP-success消息后,将存储在第一存储空间(缓存区域)的第二中间密钥Kausf-2,存储至长期存储空间。由于长期存储空间中已经存储了第一中间密钥Kausf-1,因此,UE使用第一存储空间中的第二中间密钥Kausf-2替换第二存储空间中的第一中间密钥Kausf-1。
本申请实施例中,终端设备收到多条鉴权请求消息后,终端设备需要在收到前一条鉴权请求消息对应的NAS SMC或者EAP-Success消息后,处理后一条鉴权请求消息。保证与第一鉴权请求消息关联的第一通信网络的鉴权流程先执行,UE首先存储与第一通信网络相关的第一中间密钥Kausf-1。与第二鉴权请求消息关联的第二通信网络的鉴权流程后执行,UE最后存储与第二通信网络相关的第二中间密钥Kausf-2。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
在前述实施例的基础上,请参阅图9,图9为本申请实施例提出的一种通信方法的实施例示意图。图9所示的实施例中,终端设备收到多条鉴权请求消息后,终端设备生成多条鉴权请求消息的接收顺序记录。终端设备收到NAS SMC消息后,根据接收顺序记录检测NAS SMC消息的来源。当NAS SMC消息来自发送最新的鉴权请求消息的AMF时,终端设备存储该NAS SMC对应的中间密钥Kausf。本申请实施例提出的一种通信方法包括:
901、第一AMF触发对UE的鉴权。
902、UE接收来自第一AMF的第一鉴权请求消息。
903、第二AMF触发对UE的鉴权。
904、UE接收来自第二AMF的第二鉴权请求消息。
步骤901-904与前述步骤801-804类似,此处不作赘述。
905、UE生成第一接收顺序记录,第一接收顺序记录指示第一鉴权请求消息早于第二鉴权请求消息。
步骤905中,UE根据接收第一鉴权请求消息的时间,和接收第二鉴权请求消息的时间,生成第一接收顺序记录。第一接收顺序记录指示UE接收第一鉴权请求消息的时间早于接收第二鉴权请求消息的时间。
906、UE响应于第一鉴权请求消息,对第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1。
步骤906与前述步骤806类似,此处不作赘述。
907、若鉴权校验成功,则UE向第一AMF发送第一鉴权响应消息。
908、触发针对第一鉴权请求消息关联的鉴权流程,UDM存储第一AUSF的标识。
步骤907-908与前述步骤807-808类似,此处不作赘述。
909、UE响应于第二鉴权请求消息,根据第二鉴权请求消息对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。
910、若鉴权校验成功,则UE向第二AMF发送第二鉴权响应消息。
911、触发针对第二鉴权请求消息关联的鉴权流程,UDM存储第二AUSF的标识。
步骤909-911与前述步骤811-813类似,此处不作赘述。
912、UE接收NAS SMC消息,并根据第一接收顺序记录检测NAS SMC消息的来源。
步骤912中,UE接收NAS SMC消息后,UE需要根据第一接收顺序记录检测NAS SMC消息的来源。
具体的,根据第一接收顺序记录,UE确定收到的NAS SMC消息来自第一AMF还是来自第二AMF。
913、当NAS SMC的来源为第二AMF,则UE存储第二中间密钥Kausf-2。
步骤913中,UE根据NAS SMC消息中信元或者标识,确定NAS SMC消息的来源。当NASSMC消息来自第一AMF,则UE响应于NAS SMC消息,不存储第一中间密钥Kausf-1。
当NAS SMC消息来自第二AMF,则UE响应于NAS SMC消息,存储第二中间密钥Kausf-2。
换言之,只有在NAS SMC消息来自第二AMF(即第一接收顺序中最后发送鉴权请求消息的第二AMF)时,UE响应于该NAS SMC消息存储第二中间密钥Kausf-2。具体的,UE将第二中间密钥Kausf-2从第一存储空间存储至第二存储空间中,第二存储空间为长期存储空间。
当UE存储第二中间密钥Kausf-2至第二存储空间后,UE向第二AMF发送该NAS SMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
本申请实施例中,终端设备收到多条鉴权请求消息后,终端设备需要生成第一接收顺序记录,该第一接收顺序记录指示终端设备接收的多条鉴权请求消息的接收顺序。当终端设备接收NAS SMC消息后,终端设备检测该NAS SMC消息的来源。当该NAS SMC消息来自第二AMF时,由于第一接收顺序记录中最新(或者最晚接收)的鉴权请求消息来自第二AMF,因此UE响应于该NAS SMC消息,存储第二中间密钥Kausf-2。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
在前述实施例的基础上,请参阅图10,图10为本申请实施例提出的一种通信方法的实施例示意图。图10所示的实施例中,终端设备收到NAS SMC消息(或者EAP-success消息)后,终端设备存储该NAS SMC消息(或者EAP-success消息)对应的中间密钥Kausf。终端设备向发送该NAS SMC消息(或者EAP-success消息)的AMF发送响应消息,该响应消息指示终端设备所存储的中间密钥Kausf。AMF收到该响应消息后,通知UDM存储该中间密钥对应的AUSF的标识。本申请实施例提出的一种通信方法包括:
1001、第一AMF触发对UE的鉴权。
1002、UE接收来自第一AMF的第一鉴权请求消息。
1003、第二AMF触发对UE的鉴权。
1004、UE接收来自第二AMF的第二鉴权请求消息。
步骤1001-1004与前述步骤801-804类似,此处不作赘述。
1005、UE响应于第一鉴权请求消息,对第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1。
步骤1005与前述步骤806类似,此处不作赘述。
1006、若鉴权校验成功,则UE向第一AMF发送第一鉴权响应消息。
1007、触发针对第一鉴权请求消息关联的鉴权流程,UDM存储第一AUSF的标识。
步骤1006-1007与前述步骤807-808类似,此处不作赘述。
1008、UE响应于第二鉴权请求消息,根据第二鉴权请求消息对第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2。
1009、若鉴权校验成功,则UE向第二AMF发送第二鉴权响应消息。
1010、触发针对第二鉴权请求消息关联的鉴权流程,UDM存储第二AUSF的标识。
至此步,可以认为UDM最终存储的是第二AUSF的标识。
步骤1008-1010与前述步骤811-813类似,此处不作赘述。
下面,分别介绍5G AKA鉴权方法对应的场景(步骤1011a-1012a)与EAP-AKA’鉴权方法对应的场景(步骤1011b-1012b)。
首先,介绍5G AKA鉴权方法:
1011a、UE接收NAS SMC消息,并根据NAS SMC消息存储对应的中间密钥。
步骤1011a中,UE先后接收2条NAS SMC消息,并存储最后到达的NAS SMC消息对应的中间密钥Kausf。具体的,UE根据NAS SMC消息将缓存在第一存储空间中的Kausf存储至第二存储空间(长期存储空间)。
下面,以最后到达的NAS SMC消息来自第一AMF为例说明处理流程,可以理解的是,当最后到达的NAS SMC消息来自第二AMF时,处理流程与NAS SMC消息来自第一AMF类似,此处不作赘述。
可以理解的是,在另一种可能的实现方式中,UE仅在接收到来自第二AMF的NASSMC消息后,根据该NAS SMC消息存储对应的第二中间密钥Kausf-2。
1012a、UE存储的是第一中间密钥Kausf-1,则UE向第一AMF发送NAS SMC消息的响应消息,该响应消息携带指示信息,指示信息用于指示UE最终存储的是Kausf-1。
步骤1012a中,UE响应于该第一NAS SMC消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
当UE存储第一中间密钥Kausf-1至第二存储空间后,UE向第一AMF发送该第一NASSMC消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。该响应消息携带指示信息,指示信息用于指示UE最终存储的是第一中间密钥Kausf-1。
示例性的,该响应消息携带第一中间密钥的标识,或者,该响应消息携带指示信息,该指示信息指示UE存储第一中间密钥Kausf-1。
可以理解的是,UE还可以通过其它信息(消息或者信令)通知第一AMF,终端设备存储至第二存储空间的中间密钥为第一中间密钥,此处不作限制。
步骤1012a后执行步骤1013。
其次,介绍EAP-AKA’鉴权方法:
1011b、UE接收EAP-success消息,并根据EAP-success消息存储对应的中间密钥。
步骤1011b中,UE先后接收2条EAP-success消息,并存储最后到达的EAP-success消息对应的中间密钥Kausf。具体的,UE根据EAP-success消息将缓存在第一存储空间中的Kausf存储至第二存储空间(长期存储空间)。
下面,以最后到达的EAP-success消息来自第一AMF为例说明处理流程,可以理解的是,当最后到达的EAP-success消息来自第二AMF时,处理流程与EAP-success消息来自第一AMF类似,此处不作赘述。
可以理解的是,在另一种可能的实现方式中,UE仅在接收到来自第二AMF的EAP-success消息后,根据该EAP-success消息存储对应的第二中间密钥Kausf-2。
1012b、UE存储的是第一中间密钥Kausf-1,则UE向第一AMF发送EAP-success消息的响应消息,该响应消息携带指示信息,指示信息用于指示UE最终存储的是Kausf-1。
步骤1012b中,UE响应于该第一EAP-success消息后,将存储在第一存储空间(缓存区域)的第一中间密钥Kausf-1,存储至长期存储空间。本申请实施例中,将终端设备的长期存储空间称为第二存储空间。示例性的,该第二存储空间可以是终端设备中的ME。
当UE存储第一中间密钥Kausf-1至第二存储空间后,UE向第一AMF发送该第一EAP-success消息的响应消息。该响应消息携带指示信息,指示信息用于指示UE最终存储的是第一中间密钥Kausf-1。
在一种可能的实现方式中,第一EAP-success消息为NAS SMC消息的一个信元,即第一AMF通过NAS SMC消息向UE发送第一EAP-success消息,则当UE存储第一中间密钥Kausf-2至第二存储空间后,UE向第一AMF发送该第一EAP-success消息的响应消息。该响应消息可以是“NAS Security Mode Complete”。
可以理解的是,UE还可以通过其它信息(消息或者信令)通知第一AMF,终端设备存储至第二存储空间的中间密钥为第一中间密钥,此处不作限制。
示例性的,该响应消息携带第一中间密钥的标识,或者,该响应消息携带指示信息,该指示信息指示UE存储第一中间密钥Kausf-1。
步骤1012b后执行步骤1013。
1013、第一AMF向UDM发送第一指示信息,第一指示信息指示UE存储第一中间密钥Kausf-1。
一种可能的实现方式中(对应5G AKA鉴权方法,步骤1011a-1012a)。步骤1013中,第一AMF响应于第一NAS SMC消息的响应消息,向UDM发送第一指示信息,第一指示信息指示UE存储第一中间密钥Kausf-1。
另一种可能的实现方式中(对应EAP-AKA’鉴权方法,步骤1011b-1012b)。步骤1013中,第一AMF响应于第一NAS SMC消息的响应消息,向UDM发送第一指示信息,第一指示信息指示UE存储第一中间密钥Kausf-1。
步骤1013还可以是第一AMF发送指示信息给第一AUSF,由第一AUSF发送指示信息给UDM。
1014、UDM响应于第一指示信息,存储第一AUSF的标识。
步骤1014中,一种可能的实现方式中,当UDM已存储了第二AUSF的标识,则UDM删除第二AUSF的标识,并存储第一AUSF的标识。
1015、UDM通知第二AUSF删除第二中间密钥。
步骤1015中,UDM响应于第一指示信息,通知第二AUSF删除第二中间密钥Kausf-2。以此保证网络设备侧仅保存第一中间密钥Kausf-1,进而保证终端设备保存的中间密钥与网络设备侧保存的中间密钥一致。
步骤1014与步骤1015的执行顺序此处不作限制。
本申请实施例中,终端设备接收NAS SMC消息(或者EAP-success消息)后,终端设备响应于NAS SMC消息(或者EAP-success消息)存储中间密钥。当终端设备存储该中间密钥后,终端设备通知发送该NAS SMC消息(或者EAP-success消息)的AMF,自身存储的中间密钥。进而,AMF通知UDM保存该中间密钥对应的AUSF的标识。UDM指示其它的AUSF删除中间密钥。上述方法可以保证UE存储的中间密钥(Kausf-2)与网络设备侧存储的中间密钥(Kausf-2)一致,避免发生密钥失步。
上述主要以方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是,通信装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对通信装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个收发模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
下面对本申请中的通信装置进行详细描述,请参阅图11,图11为本申请实施例中通信装置的一种实施例示意图。通信装置可以部署于网络设备或芯片或芯片系统中,该通信装置还可以部署于终端设备或者芯片或芯片系统中,通信装置1100包括:
收发模块1101,用于接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息,所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量;
处理模块1102,用于按序处理所述多个鉴权向量获取请求消息。
在一种可能的实现方式中,所述收发模块1101,还用于响应于第一鉴权向量获取请求消息,向第一鉴权管理功能发送第一鉴权向量;
所述处理模块1102,还用于在收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前,暂停处理第二鉴权向量获取请求消息,所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识,其中,所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
在一种可能的实现方式中,所述收发模块1101,还用于接收所述第一鉴权结果确认请求消息;
所述处理模块1102,还用于响应于所述第一鉴权结果确认请求消息,存储所述第一鉴权管理功能的标识。
在一种可能的实现方式中,
所述收发模块1101,还用于响应于所述第二鉴权向量获取请求消息,向第二鉴权管理功能发送第二鉴权向量;
所述收发模块1101,还用于接收针对所述第二鉴权向量的第二鉴权结果确认请求消息,所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识;
所述处理模块1102,还用于响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识。
在一种可能的实现方式中,
所述处理模块1102,具体用于使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。
在一种可能的实现方式中,
所述处理模块1102,具体用于响应于所述终端设备的鉴权方法为5G AKA,按序处理所述多个鉴权向量获取请求消息。
在一种可能的实现方式中,
所述处理模块1102,还用于根据所述终端设备的签约信息,确定所述终端设备对应的鉴权方法为5G AKA。
在又一种示例中,
收发模块1101,用于接收来自第一通信网络中第一接入和移动性管理功能实体的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息;
处理模块1102,用于按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
在一种可能的实现方式中,
所述处理模块1102,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块1101,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块1101,具体用于接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息,所述第一NAS SMC消息与所述第一鉴权请求消息关联;
所述处理模块1102,具体用于响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块1101,具体用于接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息,所述第二NAS SMC消息与所述第二鉴权请求消息关联;
所述处理模块1102,具体用于响应于所述第二NAS SMC消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
在一种可能的实现方式中,
所述处理模块1102,具体用于接收所述第一NAS SMC消息后,判断所述第一NASSMC消息是否与所述第一鉴权请求消息关联;
所述收发模块1101,具体用于当所述第一NAS SMC消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
在一种可能的实现方式中,
所述处理模块1102,还用于暂停处理所述第二鉴权请求消息。
在一种可能的实现方式中,
所述处理模块1102,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。
在一种可能的实现方式中,所述处理模块1102,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块1101,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块1101,具体用于接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP-success消息,所述第一EAP-success消息与所述第一鉴权请求消息关联;
所述处理模块1102,具体用于响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块1101,具体用于接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功EAP-success消息,所述第二EAP-success消息与所述第二鉴权请求消息关联;
所述处理模块1102,具体用于响应于所述第二EAP-success消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
在一种可能的实现方式中,所述处理模块1102,具体用于接收所述第一EAP-success消息后,判断所述第一EAP-success消息是否与所述第一鉴权请求消息关联;
所述收发模块1101,具体用于当所述第一EAP-success消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
在一种可能的实现方式中,所述处理模块1102,还用于暂停处理所述第二鉴权请求消息。
在一种可能的实现方式中,所述处理模块1102,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP-AKA'。
在一种可能的实现方式中,
所述收发模块1101,具体用于通过第一接入技术接入所述第一通信系统;
所述收发模块1101,具体用于通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
在又一种示例中,
收发模块1101,用于接收来自第一通信网络中的第一接入和移动性管理功能的第一鉴权请求消息和来自第二通信网络中的第二接入和移动性管理功能的第二鉴权请求消息;
处理模块1102,用于按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
在一种可能的实现方式中,处理模块1102,用于生成第一接收顺序记录,所述第一接收顺序记录指示所述第一鉴权请求消息早于所述第二鉴权请求消息;
处理模块1102,还用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
收发模块1101,还用于鉴权校验成功,则向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;
处理模块1102,还用于响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
收发模块1101,还用于鉴权校验成功,则所述终端设备向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;
收发模块1101,还用于接收非接入层安全模式命令NAS SMC消息;
处理模块1102,还用于根据所述第一接收顺序记录,检测所述NAS SMC消息的来源,
若所述NAS SMC消息的来源为所述第一接入和移动性管理功能,则响应于所述NASSMC消息,不存储所述第一中间密钥Kausf-1,
所述NAS SMC消息的来源为所述第二接入和移动性管理功能,则所述终端设备响应于所述NAS SMC消息,存储所述第二中间密钥Kausf-2。
在一种可能的实现方式中,所述终端设备响应于所述NAS SMC消息,存储所述第二中间密钥Kausf-2,包括:
收发模块1101,还用于接收所述NAS SMC消息后判断所述NAS SMC消息是否与所述第二鉴权请求消息关联;
处理模块1102,还用于当所述NAS SMC消息与所述第二鉴权请求消息关联,将所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,
收发模块1101,还用于通过第一接入技术接入所述第一通信系统,通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
在又一种示例中,
收发模块1101,用于接收来自第一通信网络中的第一接入和移动性管理功能的第一鉴权请求消息和来自第二通信网络中的第二接入和移动性管理功能的第二鉴权请求消息;
处理模块1102,用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块1101,还用于鉴权校验成功,则向所述第一接入和移动性管理功能发送用于指示鉴权校验成功的第一鉴权响应消息;
所述处理模块1102,还用于响应于所述第二鉴权请求消息,对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块1101,还用于鉴权校验成功,则向所述第二接入和移动性管理功能发送用于指示鉴权校验成功的第二鉴权响应消息;
所述收发模块1101,还用于接收非接入层安全模式命令NAS SMC消息;
所述处理模块1102,还用于响应于所述NAS SMC消息,存储所述NAS SMC消息对应的所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2;
所述收发模块1101,还用于发送所述NAS SMC消息的响应消息,所述NAS SMC消息的响应消息指示所述终端设备存储所述第一中间密钥Kausf-1或者所述第二中间密钥Kausf-2。
在一种可能的实现方式中,
所述收发模块1101,还用于接收所述NAS SMC消息后判断所述NAS SMC消息是否与所述第二鉴权请求消息关联;
所述处理模块1102,还用于当所述NAS SMC消息与所述第二鉴权请求消息关联,则将所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,
所述处理模块1102,还用于所述终端设备响应于所述NAS SMC消息,将所述第一中间密钥或者所述第二中间密钥Kausf-2从第一存储空间存储至第二存储空间,所述第二存储空间为长期存储空间。
在一种可能的实现方式中,所述终端设备通过3GPP接入技术接入所述第一通信系统,所述终端设备通过非3GPP接入技术接入所述第二通信网络。
上述实施例中的通信装置,可以是网络设备,也可以是应用于网络设备中的芯片或者其他可实现上述网络设备功能的组合器件、部件等。当通信装置是网络设备时,收发模块可以是收发器,该收发器可以包括天线和射频电路等,处理模块可以是处理器,例如基带芯片等。当通信装置是具有上述网络设备功能的部件时,收发模块可以是射频单元,处理模块可以是处理器。当通信装置是芯片系统时,收发模块可以是芯片系统的输入端口,收发模块可以是芯片系统的输出接口、处理模块可以是芯片系统的处理器,例如:中央处理器(central processing unit,CPU)。
上述实施例中的通信装置,可以是终端设备,也可以是应用于终端设备中的芯片或者其他可实现上述终端设备功能的组合器件、部件等。当通信装置是终端设备时,收发模块可以是收发器,该收发器可以包括天线和射频电路等,处理模块可以是处理器,例如基带芯片等。当通信装置是具有上述终端设备功能的部件时,收发模块可以是射频单元,处理模块可以是处理器。当通信装置是芯片系统时,收发模块可以是芯片系统的输入端口,收发模块可以是芯片系统的输出接口、处理模块可以是芯片系统的处理器,例如:中央处理器。
需要说明的是,通信装置各模块/或元器件之间的信息交互、执行过程等内容,与本申请中图7-图10对应的方法实施例基于同一构思,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
需要说明的是,对于通信装置的具体实现方式以及带来的有益效果,均可以参考图7-图10对应的各个方法实施例中的叙述,此处不再一一赘述。
本申请实施例还提供了一种处理装置,处理装置包括处理器和接口;该处理器,用于执行上述任一方法实施例的通信方法。
应理解,上述处理装置可以是一个芯片,该处理器可以通过硬件实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现,该存储器可以集成在处理器中,可以位于该处理器之外,独立存在。
其中,“通过硬件实现”是指通过不具有程序指令处理功能的硬件处理电路来实现上述模块或者单元的功能,该硬件处理电路可以通过分立的硬件元器件组成,也可以是集成电路。为了减少功耗、降低尺寸,通常会采用集成电路的形式来实现。硬件处理电路可以包括ASIC(application-specific integrated circuit,专用集成电路),或者PLD(programmable logic device,可编程逻辑器件);其中,PLD又可包括FPGA(fieldprogrammable gate array,现场可编程门阵列)、CPLD(complex programmable logicdevice,复杂可编程逻辑器件)等等。这些硬件处理电路可以是单独封装的一块半导体芯片(如封装成一个ASIC);也可以跟其他电路(如CPU、DSP)集成在一起后封装成一个半导体芯片,例如,可以在一个硅基上形成多种硬件电路以及CPU,并单独封装成一个芯片,这种芯片也称为SoC,或者也可以在硅基上形成用于实现FPGA功能的电路以及CPU,并单独封闭成一个芯片,这种芯片也称为SoPC(system on a programmable chip,可编程片上系统)。
本申请还提供一种通信系统,其包括发送端、接收端和中间节点中的至少一种或多种。
本申请实施例还提供的一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机控制网络装置执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供的一种计算机程序产品,计算机程序产品包括计算机程序代码,当计算机程序代码在计算机上运行时,使得计算机执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供一种芯片系统,包括存储器和处理器,存储器用于存储计算机程序,处理器用于从存储器中调用并运行计算机程序,使得芯片执行如前述方法实施例所示任一项实现方式。
本申请实施例还提供一种芯片系统,包括处理器,处理器用于调用并运行计算机程序,使得芯片执行如前述方法实施例所示任一项实现方式。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、通信装置、计算设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、通信装置、计算设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的通信装置、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。
Claims (36)
1.一种通信方法,其特征在于,包括:
统一数据管理接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息,所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量;
所述统一数据管理按序处理所述多个鉴权向量获取请求消息。
2.根据权利要求1所述的方法,其特征在于,所述统一数据管理按序处理所述多个鉴权向量获取请求消息,包括:
所述统一数据管理响应于第一鉴权向量获取请求消息,向第一鉴权管理功能发送第一鉴权向量;
在所述统一数据管理收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前,所述统一数据管理暂停处理第二鉴权向量获取请求消息,所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识,其中,所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述统一数据管理接收所述第一鉴权结果确认请求消息;
所述统一数据管理响应于所述第一鉴权结果确认请求消息,存储所述第一鉴权管理功能的标识。
4.根据权利要求2-3中任一项所述的方法,其特征在于,所述方法还包括:
所述统一数据管理响应于所述第二鉴权向量获取请求消息,向第二鉴权管理功能发送第二鉴权向量;
所述统一数据管理接收针对所述第二鉴权向量的第二鉴权结果确认请求消息,所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识;
所述统一数据管理响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识。
5.根据权利要求4所述的方法,其特征在于,所述统一数据管理响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识,具体为:
所述统一数据管理使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述统一数据管理按序处理所述多个鉴权向量获取请求消息,具体为:
响应于所述终端设备的鉴权方法为5G AKA,所述统一数据管理按序处理所述多个鉴权向量获取请求消息。
7.根据权利要求6所述的方法,其特征在于,所述统一数据管理按序处理所述多个鉴权向量获取请求消息之前,所述方法还包括:
所述统一数据管理根据所述终端设备的签约信息,确定所述终端设备对应的鉴权方法为5G AKA。
8.一种通信方法,其特征在于,包括:
终端设备接收来自第一通信网络中第一接入和移动性管理功能实体的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息;
所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
9.根据权利要求8所述的方法,其特征在于,所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息,包括:
所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
当所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述终端设备接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息,所述第一NAS SMC消息与所述第一鉴权请求消息关联;
所述终端设备响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述终端设备接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息,所述第二NAS SMC消息与所述第二鉴权请求消息关联;
所述终端设备响应于所述第二NAS SMC消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
10.根据权利要求9所述的方法,其特征在于,所述终端设备响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1,包括:
所述终端设备接收所述第一NAS SMC消息后,判断所述第一NAS SMC消息是否与所述第一鉴权请求消息关联;
当所述第一NAS SMC消息与所述第一鉴权请求消息关联,则所述终端设备将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
11.根据权利要求8-10中任一项所述的方法,其特征在于,在所述终端设备接收到所述第一NAS SMC消息之前,所述方法还包括:所述终端设备暂停处理所述第二鉴权请求消息。
12.根据权利要求11所述的方法,其特征在于,在所述终端设备暂停处理所述第二鉴权请求消息之前,所述方法还包括:
所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。
13.根据权利要求8所述的方法,其特征在于,所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息,包括:
所述终端设备响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
当所述终端设备鉴权校验成功,则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述终端设备接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP-success消息,所述第一EAP-success消息与所述第一鉴权请求消息关联;
所述终端设备响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述终端设备接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功EAP-success消息,所述第二EAP-success消息与所述第二鉴权请求消息关联;
所述终端设备响应于所述第二EAP-success消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
14.根据权利要求13所述的方法,其特征在于,所述终端设备响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1,包括:
所述终端设备接收所述第一EAP-success消息后,判断所述第一EAP-success消息是否与所述第一鉴权请求消息关联;
当所述第一EAP-success消息与所述第一鉴权请求消息关联,则所述终端设备将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
15.根据权利要求13-14中任一项所述的方法,其特征在于,在所述终端设备接收到所述第一EAP-success消息之前,所述方法还包括:所述终端设备暂停处理所述第二鉴权请求消息。
16.根据权利要求15所述的方法,其特征在于,在所述终端设备暂停处理所述第二鉴权请求消息之前,所述方法还包括:
所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP-AKA'。
17.根据权利要求8-16中任一项所述的方法,其特征在于,所述终端设备通过第一接入技术接入所述第一通信系统,所述终端设备通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
18.一种通信装置,其特征在于,包括:
收发模块,用于接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息,所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量;
处理模块,用于按序处理所述多个鉴权向量获取请求消息。
19.根据权利要求18所述的通信装置,其特征在于,
所述收发模块,还用于响应于第一鉴权向量获取请求消息,向第一鉴权管理功能发送第一鉴权向量;
所述处理模块,还用于在收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前,暂停处理第二鉴权向量获取请求消息,所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识,其中,所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
20.根据权利要求19所述的通信装置,其特征在于,
所述收发模块,还用于接收所述第一鉴权结果确认请求消息;
所述处理模块,还用于响应于所述第一鉴权结果确认请求消息,存储所述第一鉴权管理功能的标识。
21.根据权利要求19-20中任一项所述的通信装置,其特征在于,
所述收发模块,还用于响应于所述第二鉴权向量获取请求消息,向第二鉴权管理功能发送第二鉴权向量;
所述收发模块,还用于接收针对所述第二鉴权向量的第二鉴权结果确认请求消息,所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识;
所述处理模块,还用于响应于所述第二鉴权结果确认请求消息,存储所述第二鉴权管理功能的标识。
22.根据权利要求21所述的通信装置,其特征在于,
所述处理模块,具体用于使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。
23.根据权利要求18-22中任一项所述的通信装置,其特征在于,
所述处理模块,具体用于响应于所述终端设备的鉴权方法为5G AKA,按序处理所述多个鉴权向量获取请求消息。
24.根据权利要求23所述的通信装置,其特征在于,
所述处理模块,还用于根据所述终端设备的签约信息,确定所述终端设备对应的鉴权方法为5G AKA。
25.一种通信装置,其特征在于,包括:
收发模块,用于接收来自第一通信网络中第一接入和移动性管理功能实体的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息;
处理模块,用于按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。
26.根据权利要求25所述的通信装置,其特征在于,
所述处理模块,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块,具体用于接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息,所述第一NAS SMC消息与所述第一鉴权请求消息关联;
所述处理模块,具体用于响应于所述第一NAS SMC消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块,具体用于接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息,所述第二NAS SMC消息与所述第二鉴权请求消息关联;
所述处理模块,具体用于响应于所述第二NAS SMC消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
27.根据权利要求26所述的通信装置,其特征在于,
所述处理模块,具体用于接收所述第一NAS SMC消息后,判断所述第一NAS SMC消息是否与所述第一鉴权请求消息关联;
所述收发模块,具体用于当所述第一NAS SMC消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
28.根据权利要求25-27中任一项所述的通信装置,其特征在于,
所述处理模块,还用于暂停处理所述第二鉴权请求消息。
29.根据权利要求28所述的通信装置,其特征在于,
所述处理模块,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。
30.根据权利要求25所述的通信装置,其特征在于,
所述处理模块,具体用于响应于所述第一鉴权请求消息,对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf-1;
所述收发模块,具体用于当所述终端设备鉴权校验成功,则向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息;
所述收发模块,具体用于接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP-success消息,所述第一EAP-success消息与所述第一鉴权请求消息关联;
所述处理模块,具体用于响应于所述第一EAP-success消息,存储所述第一中间密钥Kausf-1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf-2;
所述收发模块,具体用于接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功EAP-success消息,所述第二EAP-success消息与所述第二鉴权请求消息关联;
所述处理模块,具体用于响应于所述第二EAP-success消息,使用所述第二中间密钥Kausf-2替换存储的所述第一中间密钥Kausf-1。
31.根据权利要求30所述的通信装置,其特征在于,
所述处理模块,具体用于接收所述第一EAP-success消息后,判断所述第一EAP-success消息是否与所述第一鉴权请求消息关联;
所述收发模块,具体用于当所述第一EAP-success消息与所述第一鉴权请求消息关联,则将所述第一中间密钥Kausf-1从第一存储空间存储至第二存储空间。
32.根据权利要求30-31中任一项所述的通信装置,其特征在于,
所述处理模块,还用于暂停处理所述第二鉴权请求消息。
33.根据权利要求32所述的通信装置,其特征在于,
所述处理模块,还用于确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP-AKA'。
34.根据权利要求25-33中任一项所述的通信装置,其特征在于,
所述收发模块,具体用于通过第一接入技术接入所述第一通信系统;
所述收发模块,具体用于通过第二接入技术接入所述第二通信网络;
其中,所述第一接入技术为3GPP接入技术,所述第二接入技术为非3GPP接入技术,或者所述第一接入技术为非3GPP接入技术,所述第二接入技术为3GPP接入技术。
35.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质具有程序指令,当所述程序指令被直接或者间接执行时,使得如权利要求1-7、或权利要求8-17中任一所述的方法被实现。
36.一种通信装置,其特征在于,所述通信装置包括至少一个处理器,所述处理器用于执行存储器中存储的计算机程序或指令,当所述计算机程序或所述指令在所述至少一个处理器中执行时,使得如权利要求1-7、或权利要求8-17中任一所述的方法被实现。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110898803.3A CN115915121A (zh) | 2021-08-05 | 2021-08-05 | 一种通信方法以及相关装置 |
| EP22852114.2A EP4373144A1 (en) | 2021-08-05 | 2022-08-01 | Communication method and related apparatus |
| PCT/CN2022/109393 WO2023011401A1 (zh) | 2021-08-05 | 2022-08-01 | 一种通信方法以及相关装置 |
| US18/431,568 US20240179519A1 (en) | 2021-08-05 | 2024-02-02 | Communication method and related apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110898803.3A CN115915121A (zh) | 2021-08-05 | 2021-08-05 | 一种通信方法以及相关装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115915121A true CN115915121A (zh) | 2023-04-04 |
Family
ID=85154445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110898803.3A Pending CN115915121A (zh) | 2021-08-05 | 2021-08-05 | 一种通信方法以及相关装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20240179519A1 (zh) |
| EP (1) | EP4373144A1 (zh) |
| CN (1) | CN115915121A (zh) |
| WO (1) | WO2023011401A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3419372B1 (en) * | 2016-02-19 | 2021-06-23 | LG Electronics Inc. | Method for transmitting data in wireless communication system, method for scheduling resources for data transmission and corresponding user equipment |
| EP4284044A3 (en) * | 2019-04-29 | 2024-02-21 | Telefonaktiebolaget LM Ericsson (publ) | Handling of multiple authentication procedures in 5g |
| CN111866858A (zh) * | 2019-04-29 | 2020-10-30 | 华为技术有限公司 | 一种注册方法及通信装置 |
| CN113163402B (zh) * | 2020-01-23 | 2022-10-28 | 华为技术有限公司 | 一种通信方法、装置及系统 |
-
2021
- 2021-08-05 CN CN202110898803.3A patent/CN115915121A/zh active Pending
-
2022
- 2022-08-01 WO PCT/CN2022/109393 patent/WO2023011401A1/zh active Application Filing
- 2022-08-01 EP EP22852114.2A patent/EP4373144A1/en active Pending
-
2024
- 2024-02-02 US US18/431,568 patent/US20240179519A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023011401A1 (zh) | 2023-02-09 |
| US20240179519A1 (en) | 2024-05-30 |
| EP4373144A1 (en) | 2024-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11582231B2 (en) | Key-derivation verification in telecommunications network | |
| CN109417709B (zh) | 用于在移动无线网络系统中认证接入的方法和系统 | |
| US10560879B2 (en) | Techniques for establishing a secure connection between a wireless device and a local area network via an access node | |
| US20190288851A1 (en) | Authentication Mechanism for 5G Technologies | |
| US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| US10708773B2 (en) | On-demand network function re-authentication based on key refresh | |
| CN114095155A (zh) | 增强的非接入层安全 | |
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| Vintilă et al. | Security analysis of LTE access network | |
| CN112087724A (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN114600487B (zh) | 身份认证方法及通信装置 | |
| WO2022228455A1 (zh) | 一种通信方法以及相关装置 | |
| WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
| JP6861285B2 (ja) | 緊急アクセス中のパラメータ交換のための方法およびデバイス | |
| CN115915121A (zh) | 一种通信方法以及相关装置 | |
| CN114245372B (zh) | 一种认证方法、装置和系统 | |
| CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
| CN113904781B (zh) | 切片认证方法及系统 | |
| CN118120201A (zh) | 私有物联网单元pine的接入认证方法和装置 | |
| CN117203999A (zh) | 基于akma的边缘使能器客户端与边缘配置或使能器服务器之间的mec认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |