CN116391376A - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN116391376A CN116391376A CN202080105654.4A CN202080105654A CN116391376A CN 116391376 A CN116391376 A CN 116391376A CN 202080105654 A CN202080105654 A CN 202080105654A CN 116391376 A CN116391376 A CN 116391376A
- Authority
- CN
- China
- Prior art keywords
- counter
- key
- authentication
- value
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种通信方法及装置,涉及通信技术领域,用于保证网络侧与终端设备之间的正常通信。该通信方法应用于配置有(U)SIM卡的终端设备,(U)SIM卡中存储有密钥集标识符,方法包括:终端设备在需要发起初始注册流程时,确定是否存在有效的中间密钥;如果不存在有效的中间密钥,则终端设备删除密钥集标识符;终端设备向移动管理网元发送初始注册请求消息,初始注册请求消息不携带密钥集标识符以触发对终端设备的鉴权流程;终端设备在鉴权流程中得到鉴权密钥信息,鉴权密钥信息包括有效的中间密钥。
Description
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
第三代合作伙伴计划项目(3rd generation partnership project,3GPP)定义的移动通信网络引入了安全保护机制来保证移动通信的安全(例如:通信的保密性、完整性)。示例性的,在经过鉴权流程之后,网络侧(例如统一数据管理网元)和终端设备可以分别保存相同的中间密钥(例如K
AUSF)。网络侧发送给终端设备的信息可以使用中间密钥进行安全保护;相应的,终端设备可以使用该中间密钥对网络侧进行安全保护后的信息进行安全校验,以验证信息的安全性。
但是,在一些场景下(例如终端设备当前插入的全球用户识别模块(universal subscriber identity module,USIM)卡是从其他终端设备拔出的),终端设备未存储有效的中间密钥。但是,网络侧并不能获知该终端设备是否存储有效的中间密钥。从而,网络侧依然按照正常的流程使用中间密钥对待发送给终端设备的信息进行安全保护,但是终端设备由于未存储中间密钥,因此无法对安全保护后的信息进行安全校验。这样一来,影响网络侧与终端设备之间的正常通信。
发明内容
本申请提供一种通信方法,用于保证网络侧与终端设备之间的正常通信。
第一方面,提供一种通信方法,该方法应用于配置有(U)SIM卡的终端设备,(U)SIM卡中存储有密钥集标识符,方法包括:终端设备在需要发起初始注册流程时,确定是否存在有效的中间密钥;如果不存在有效的中间密钥,则终端设备删除密钥集标识符;终端设备向移动管理网元发送初始注册请求消息,初始注册请求消息不携带密钥集标识符以触发对终端设备的鉴权流程;终端设备在鉴权流程中得到鉴权密钥信息,鉴权密钥信息包括有效的中间密钥。
基于上述技术方案,在终端设备需要发起初始注册流程时,终端设备先检查是否存在有效的中间密钥。在不存在有效的中间密钥的情况下,终端设备删除(U)SIM卡中的密钥集标识符,以使得终端设备发送初始注册请求消息中不携带密钥集标识符。由于初始注册请求消息不携带密钥集标识符,从而移动管理网元会发起与终端设备的鉴权流程。在鉴权流程中,终端设备与网络侧可以同步得到相同的中间密钥。这样一来,在后续流程(例如SOR流程或者UPU流程)中,网络侧可以使用中间密钥对发送给终端设备的信息进行安全保护;相应的,终端设备可以使用相同的中间密钥对安全保护后的信息进行安全校验。从而,本申请实施例能够保证终端设备与网络侧之间的安全通信。
一种可能的设计中,密钥集标识符为终端设备通过第一接入技术接入网络时生成的密钥集标识符;终端设备向移动管理网元发送初始注册请求消息,包括:终端设备使用第一接入技术向移动管理网元发送初始注册请求消息。
一种可能的设计中,终端设备删除密钥集标识符,包括:终端设备将密钥集标识 符的值设置为第一值,第一值用于指示“没有可用的密钥”。
一种可能的设计中,初始注册请求消息不携带密钥集标识符,包括:初始注册请求消息包括第一指示信息,第一指示信息用于指示没有可用的密钥。
一种可能的设计中,终端设备还配置有非易失性存储器;终端设备确定是否存在有效的中间密钥,包括:终端设备确定非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识是否一致;在非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识一致的情况下,终端设备确定非易失性存储器和(U)SIM卡中是否存在有效的中间密钥;或者,在非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识不一致的情况下,终端设备确定(U)SIM卡中是否存在有效的中间密钥。
一种可能的设计中,鉴权密钥信息还包括:漫游引导(steering of roaming,SOR)计数器(counter)的取值,和/或用户设备参数更新(UE parameters update,UPU)计数器的取值。
一种可能的设计中,有效的中间密钥包括Kausf。
一种可能的设计中,密钥集标识符为下一代网络密钥集标识符(key set identifier for next generation radio access network,ngKSI)。
第二方面,提供一种通信方法,该方法包括:终端设备确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值;当第一计数器的取值大于或等于预设值时,终端设备删除密钥集标识符;终端设备向移动管理网元发送注册请求消息,注册请求消息不携带密钥集标识符以触发对终端设备的鉴权流程;终端设备在鉴权流程中得到更新后的鉴权密钥信息,更新后的鉴权密钥信息包括更新后的中间密钥和数值为0的第一计数器。
基于上述技术方案,终端设备在鉴权密钥信息中的计数器大于或等于预设值(也即计数器即将翻转)的情况下,删除密钥集标识符以使得终端设备发送注册请求消息中不携带密钥集标识符。由于注册请求消息不携带密钥集标识符,从而移动管理网元会发起与终端设备的鉴权流程。在鉴权流程中,终端设备与网络侧可以同步得到更新后的鉴权密钥信息,更新后的鉴权密钥信息包括更新后的中间密钥以及数值为0的计数器。这样一来,由于网络侧在鉴权流程之前发送给终端设备的信息不是使用更新后的中间密钥进行安全保护,因此网络攻击者即使使用网络侧在鉴权流程之前发送给终端设备的信息,也不能通过终端设备的安全校验,无法对终端设备进行重播攻击。可见,本申请实施例能够保证终端设备与网络侧之间的正常通信。
一种可能的设计中,密钥集标识符为终端设备通过第一接入技术接入网络时生成的密钥集标识符;终端设备向移动管理网元发送注册请求消息,包括:终端设备使用第一接入技术向移动管理网元发送注册请求消息。
一种可能的设计中,终端设备删除密钥集标识符,包括:终端设备将密钥集标识符的值设置为第一值,第一值用于指示“没有可用的密钥”。
一种可能的设计中,终端设备删除密钥集标识符,包括:当终端设备处于连接态时,终端设备释放与网络设备之间的连接;终端设备在释放与网络设备之间的连接之后,删除密钥集标识符。
一种可能的设计中,注册请求消息不携带密钥集标识符,包括:注册请求消息包 括第一指示信息,第一指示信息用于指示没有可用的密钥。
一种可能的设计中,方法还包括:终端设备接收第一信息,第一信息包括数据、第二计数器的取值、以及消息认证码(message authentication code,MAC);终端设备比较第二计数器的取值是否大于第一计数器的取值;当第二计数器的取值大于第一计数器的取值时,终端设备根据第一信息中的数据和第二计数器的取值,验证MAC;当MAC通过验证时,终端设备以第二计数器的取值更新第一计数器的取值。
一种可能的设计中,终端设备确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值,包括:终端设备确定更新后的第一计数器的取值是否大于或等于预设值。
一种可能的设计中,第一计数器包括:SOR计数器,和/或UPU计数器。
一种可能的设计中,中间密钥包括Kausf。
一种可能的设计中,密钥集标识符为ngKSI。
第三方面,提供一种通信方法,该通信方法包括:统一数据管理网元在需要向终端设备发送数据时,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护;响应于确定结果,统一数据管理网元触发对终端设备的鉴权流程。
基于上述技术方案,针对统一数据管理网元发送给终端设备的数据无法使用中间密钥进行安全保护的情况,统一数据管理网元通过触发鉴权流程,从而使得终端设备与网络侧同步更新中间密钥以及相关参数(例如SOR counter和/或UPU counter)。从而,统一数据管理网元发送给终端设备的数据可以使用有效的中间密钥进行安全保护,终端设备也能对安全保护后的数据进行相应的安全校验。这样一来,保证统一数据管理网元与终端设备之间的正常通信。
一种可能的设计中,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护,包括:统一数据管理网元无法获取终端设备鉴权过程中涉及的鉴权服务网元的标识。
一种可能的设计中,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护据,包括:统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;统一数据管理网元接收来自鉴权服务网元的响应消息,响应消息用于指示对数据安全保护失败。
一种可能的设计中,响应消息包括第二指示信息,第二指示信息用于指示对数据安全保护失败的原因。
一种可能的设计中,对数据安全保护失败的原因包括中间密钥缺失或者对数据进行安全保护的计数器将翻转。
一种可能的设计中,计数器包括SOR的计数器或者UPU的计数器。
一种可能的设计中,在统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息之前,还包括:统一数据管理网元根据终端设备的标识,获取鉴权服务网元的标识。
一种可能的设计中,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护,包括:统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;统一数据管理网元接收来自鉴权服务网元的响应消 息,响应消息包括第一MAC以及第一计数器的取值;统一数据管理网元向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值;如果在预设的时间内未收到来自终端设备的确认消息,则统一数据管理网元确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,确定无法使用终端设备主鉴权过程中生成的中间密钥对数据进行安全保护,包括:统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;统一数据管理网元接收来自鉴权服务网元的响应消息,响应消息包括第一MAC以及第一计数器的取值;统一数据管理网元向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值;统一数据管理网元接收到确认消息,且对确认消息校验失败,则确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,确定无法使用终端设备主鉴权过程中生成的中间密钥对数据进行安全保护,包括:统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;统一数据管理网元接收来自鉴权服务网元的响应消息,响应消息包括第一MAC以及第一计数器的取值;统一数据管理网元向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值;统一数据管理网元接收到确认消息,确认消息包括第三指示信息,第三指示信息用于指示对数据进行安全校验失败的原因;统一数据管理网元根据第三指示信息,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,对数据进行安全校验失败的原因包括中间密钥缺失或者对数据进行安全保护的计数器将翻转。
一种可能的设计中,统一数据管理网元触发对终端设备的鉴权流程,包括:统一数据管理网元向为终端设备提供服务的移动管理网元发送第四指示信息,第四指示信息用于触发对终端设备的鉴权流程。
一种可能的设计中,统一数据管理网元向为终端设备提供服务的移动管理网元发送第四指示信息,包括:统一数据管理网元向移动管理网元发送去注册请求消息,去注册请求消息用于请求对终端设备去注册。
一种可能的设计中,统一数据管理网元触发对终端设备的鉴权流程,包括:统一数据管理网元向鉴权服务网元发送第五指示信息,第五指示信息用于指示鉴权服务网元触发移动管理网元发起对终端设备的鉴权流程。
一种可能的设计中,上述数据为SOR数据、UPU数据、终端设备的签约数据、终端设备的路由数据、或者路由标识。
一种可能的设计中,中间密钥包括K
AUSF。
第四方面,提供一种通信方法,该方法包括:移动管理网元接收终端设备发送的用于从4G网络切换到5G网络的注册请求消息,注册请求消息包括密钥集标识符,密钥集标识符包括安全上下文类型参数;当安全上下文类型参数所指示的安全上下文的类型不为原生(native)时,移动管理网元发起与终端设备的鉴权流程。
具体来说,移动管理网元根据安全上下文类型参数确定终端设备上是否存在原生的安全上下文。例如,注册请求消息中包括ngKSI,且ngKSI中的类型为映射的 (mapped),并且注册请求中未携带“Non-current native NAS key set identifier”这个信元,则移动管理网元确定终端设备本地没有原生的安全上下文,进而触发终端的鉴权流程。
基于上述技术方案,在终端设备从4G网络切换到5G网络的场景下,当安全上下文类型参数所指示的安全上下文的类型不为native时,移动管理网元可以确定终端设备未在5G网络中经过鉴权流程,因此统一数据管理网元并未存储终端设备鉴权流程所涉及的鉴权服务网元的标识。因此,移动管理网元发起终端设备的鉴权流程,以使得统一数据管理网元可以在鉴权流程中存储终端设备鉴权流程所涉及的鉴权服务网元的标识,从而保证统一数据管理网元和终端设备之间的正常通信。
一种可能的设计中,密钥集标识符为ngKSI。
第五方面,提供一种通信装置,包括处理模块和通信模块。处理模块,用于在需要发起初始注册流程时,确定是否存在有效的中间密钥;如果不存在有效的中间密钥,则删除(U)SIM卡中存储的密钥集标识符。通信模块,用于向移动管理网元发送初始注册请求消息,初始注册请求消息不携带密钥集标识符以触发移动管理网元与通信装置之间的鉴权流程。处理模块,用于在鉴权流程中得到鉴权密钥信息,鉴权密钥信息包括有效的中间密钥。
一种可能的设计中,密钥集标识符为通信装置通过第一接入技术接入网络时生成的密钥集标识符;通信模块,具体用于使用第一接入技术向移动管理网元发送初始注册请求消息。
一种可能的设计中,处理模块,具体用于将密钥集标识符的值设置为第一值,第一值用于指示“没有可用的密钥”。
一种可能的设计中,初始注册请求消息不携带密钥集标识符,包括:初始注册请求消息包括第一指示信息,第一指示信息用于指示没有可用的密钥。
一种可能的设计中,通信装置还包括存储模块;处理模块,具体用于确定存储模块中的终端身份标识和(U)SIM卡中的终端身份标识是否一致;在存储模块中的终端身份标识和(U)SIM卡中的终端身份标识一致的情况下,确定存储模块和(U)SIM卡中是否存在有效的中间密钥;或者,在存储模块中的终端身份标识和(U)SIM卡中的终端身份标识不一致的情况下,确定(U)SIM卡中是否存在有效的中间密钥。
一种可能的设计中,鉴权密钥信息还包括:SOR的计数器的取值,和/或UPU的计数器的取值。
一种可能的设计中,有效的中间密钥包括Kausf。
一种可能的设计中,密钥集标识符为ngKSI。
第六方面,提供一种通信装置,包括处理模块和通信模块。处理模块,用于确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值;当第一计数器的取值大于或等于预设值时,删除密钥集标识符。通信模块,用于向移动管理网元发送注册请求消息,注册请求消息不携带密钥集标识符以触发对通信装置的鉴权流程。处理模块,还用于在鉴权流程中得到更新后的鉴权密钥信息,更新后的鉴权密钥信息包括更新后的中间密钥和数值为0的第一计数器。
一种可能的设计中,密钥集标识符为通信装置通过第一接入技术接入网络时生成 的密钥集标识符;通信模块,具体使用第一接入技术向移动管理网元发送注册请求消息。
一种可能的设计中,处理模块,具体用于将密钥集标识符的值设置为第一值,第一值用于指示“没有可用的密钥”。
一种可能的设计中,处理模块,具体用于当通信装置处于连接态时,释放与网络设备之间的连接;在释放与网络设备之间的连接之后,删除密钥集标识符。
一种可能的设计中,注册请求消息不携带密钥集标识符,包括:注册请求消息包括第一指示信息,第一指示信息用于指示没有可用的密钥。
一种可能的设计中,通信模块,还用于接收第一信息,第一信息包括数据、第二计数器的取值、以及MAC。处理模块,还用于比较第二计数器的取值是否大于第一计数器的取值;当第二计数器的取值大于第一计数器的取值时,根据第一信息中的数据和第二计数器的取值,验证MAC;当MAC通过验证时,以第二计数器的取值更新第一计数器的取值。
一种可能的设计中,处理模块,具体用于确定更新后的第一计数器的取值是否大于或等于预设值。
一种可能的设计中,第一计数器包括:SOR计数器,和/或UPU计数器。
一种可能的设计中,中间密钥包括Kausf。
一种可能的设计中,密钥集标识符为ngKSI。
第七方面,提供一种通信装置,包括处理模块和通信模块。处理模块,用于在需要向终端设备发送数据时,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。通信模块,用于响应于确定结果,触发对终端设备的鉴权流程。
一种可能的设计中,处理模块,具体用于当无法获取终端设备鉴权过程中涉及的鉴权服务网元的标识时,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,通信模块,还用于向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;接收来自鉴权服务网元的响应消息,响应消息用于指示对数据安全保护失败。处理模块,具体用于根据响应消息,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,响应消息包括第二指示信息,第二指示信息用于指示对数据安全保护失败的原因。
一种可能的设计中,对数据安全保护失败的原因包括中间密钥缺失或者对数据进行安全保护的计数器将翻转。
一种可能的设计中,计数器包括SOR计数器或者UPU计数器。
一种可能的设计中,处理模块,还用于根据终端设备的标识,获取鉴权服务网元的标识。
一种可能的设计中,通信模块,还用于向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;接收来自鉴权服务网元的响应消息,响应消息包括第一MAC以及第一计数器的取值;向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值。处理模块,具体用于在预设的时间内未收到 来自终端设备的确认消息,则确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,通信模块,还用于向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;接收来自鉴权服务网元的响应消息,响应消息包括第一MAC以及第一计数器的取值;向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值;接收到确认消息。处理模块,用于当对确认消息校验失败时,则确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,通信模块,还用于向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息,请求消息包括数据;接收来自鉴权服务网元的响应消息,响应消息包括第一MAC以及第一计数器的取值;向终端设备发送第一信息,第一信息包括数据、第一MAC以及第一计数器的取值;接收到确认消息,确认消息包括第三指示信息,第三指示信息用于指示对数据进行安全校验失败的原因。处理模块,具体用于根据第三指示信息,确定无法使用终端设备鉴权过程中生成的中间密钥对数据进行安全保护。
一种可能的设计中,对数据进行安全校验失败的原因包括中间密钥缺失或者对数据进行安全保护的计数器将翻转。
一种可能的设计中,通信模块,用于向为终端设备提供服务的移动管理网元发送第四指示信息,第四指示信息用于触发对终端设备的鉴权流程。
一种可能的设计中,通信模块,用于向移动管理网元发送去注册请求消息,去注册请求消息用于请求对终端设备去注册。
一种可能的设计中,通信模块,用于向鉴权服务网元发送第五指示信息,第五指示信息用于指示鉴权服务网元触发移动管理网元发起对终端设备的鉴权流程。
一种可能的设计中,数据为SOR数据、UPU数据、终端设备的签约数据、终端设备的路由数据、或者路由标识(routing ID)。
一种可能的设计中,中间密钥包括K
AUSF。
第八方面,提供一种通信装置,包括处理模块和通信模块。通信模块,用于接收终端设备发送的用于从4G网络切换到5G网络的注册请求消息,注册请求消息包括密钥集标识符,密钥集标识符包括安全上下文类型参数。处理模块,用于当安全上下文类型参数所指示的安全上下文的类型不为native时,发起对终端设备的鉴权流程。
一种可能的设计中,密钥集标识符为ngKSI。
第九方面,提供一种通信装置,包括处理器和通信接口,处理器用于执行计算机程序指令,使得通信装置实现第一方面至第四方面中任一方面所提供的任一种设计所涉及的通信方法。
第十方面,提供一种计算机可读存储介质,计算机可读存储介质存储有指令,当指令在计算机上运行时,使得计算机实现第一方面至第四方面中任一方面所提供的任一种设计所涉及的通信方法。
第十一方面,提供一种包含计算机指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机实现第一方面至第四方面中任一方面所提供的任一种设 计所涉及的通信方法。
第十二方面,提供一种芯片,该芯片包括处理器,当处理器执行计算机程序指令时,实现第一方面至第四方面中任一方面所提供的任一种设计所涉及的通信方法。
其中,第五方面至第十二方面中任一种设计方式所带来的技术效果可参见上文所提供的对应的方法中的有益效果,此处不再赘述。
图1为本申请实施例提供的一种5G网络的架构示意图;
图2为本申请实施例提供的一种终端设备的结构示意图;
图3为本申请实施例提供的一种终端设备中的移动设备的硬件结构示意图;
图4为发送端计算MAC的示意图;
图5为接收端计算MAC的示意图;
图6为相关技术中注册流程的示意图;
图7为相关技术中EAP-AKA'流程的示意图;
图8为相关技术中5G-AKA流程的示意图;
图9为相关技术中SOR流程的示意图;
图10为相关技术中UPU流程的示意图;
图11为相关技术中终端设备未存储有效的K
AUSF的原因的示意图;
图12为本申请实施例提供的一种通信方法的流程图;
图13为本申请实施例提供的另一种通信方法的流程图;
图14为本申请实施例提供的另一种通信方法的流程图;
图15为本申请实施例提供的另一种通信方法的流程图;
图16为本申请实施例提供的另一种通信方法的流程图;
图17为本申请实施例提供的另一种通信方法的流程图;
图18为本申请实施例提供的另一种通信方法的流程图;
图19为本申请实施例提供的另一种通信方法的流程图;
图20为本申请实施例提供的另一种通信方法的流程图;
图21为本申请实施例提供的另一种通信方法的流程图;
图22为本申请实施例提供的一种通信装置的结构示意图;
图23为本申请实施例提供的一种通信装置的硬件结构示意图。
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的” 或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例提供的技术方案可以应用于各种通信系统,例如,采用第五代(5th generation,5G)通信技术的通信系统,未来演进系统或者多种通信融合系统等等。本申请提供的技术方案可以应用于多种应用场景,例如,机器对机器(machine to machine,M2M)、宏微通信、增强型移动互联网(enhanced mobile broadband,eMBB)、超高可靠超低时延通信(ultra-reliable & low latency communication,uRLLC)以及海量物联网通信(massive machine type communication,mMTC)等场景。
应理解,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
示例性的,如图1所示,为本申请实施例提供的技术方案所适用的5G网络的架构。5G网络可以包括:终端设备、无线接入网络(radio access network,RAN)或者接入网络(access network,AN)(下文中将RAN和AN统称为(R)AN)、核心网、以及数据网(data network,DN)。其中,核心网包括多个核心网网元(或者称为网络功能网元),例如:接入与移动性管理(access and mobility management function,AMF)网元、会话管理功能(session management function,SMF)网元、策略控制功能(policy control function,PCF)网元、用户面功能(user plane function,UPF)网元、应用层功能(application function)网元、鉴权服务功能(authentication server function,AUSF)网元、以及统一数据管理(unified data management,UDM)网元。此外,核心网还可以包括一些其他未示出的网元,例如安全锚功能(security anchor function,SEAF)网元、认证凭证库以及处理功能(authentication credential repository and processing function,ARPF),本申请实施例在此不予赘述。
其中,终端设备通过下一代网络(Next generation,N)1接口(简称N1)与AMF通信,RAN设备通过N2接口(简称N2)与AMF通信,RAN设备通过N3接口(简称N3)与UPF通信,UPF通过N6接口(简称N6)与DN通信。
AMF、SMF、UDM、AUSF、或者PCF等控制面网元也可以采用服务化接口进行交互。比如,如图1所示,AMF对外提供的服务化接口可以为Namf;SMF对外提供的服务化接口可以为Nsmf;UDM对外提供的服务化接口可以为Nudm;PCF对外提供的服务化接口可以为Npcf,AUSF对外提供的服务化接口可以为Nausf;在此不再一一描述。
需要说明的是,上述核心网网元可以有其他的名称,本申请实施例不限于此。例如,AMF网元也可以简称为AMF,UPF网元也可以简称为UPF,等。
AMF网元主要负责移动性管理处理部分,例如:接入控制、移动性管理、附着与去附着以及SMF选择等功能。AMF网元为终端设备中的会话提供服务的情况下,会为该会话提供控制面的存储资源,以存储会话标识、与会话标识关联的SMF标识等。
UDM网元主要用于管理用户的签约数据和鉴权数据,以及进行鉴权信用处理,用户标识处理,访问授权,注册/移动性管理,订阅管理和短消息管理等。
AUSF网元用于为AMF提供对终端设备的鉴权服务,对一些网元(例如UDM) 发送给终端设备的数据进行安全保护等。
SEAF网元用于参与对终端设备的鉴权流程,负责传递相应的鉴权信息。
(R)AN可以由(R)AN设备构成。(R)AN设备可以是各种形式的基站,例如:宏基站,微基站(也称为“小站”),分散单元-控制单元(distribute unit-control unit,DU-CU)等,其中,DU-CU是一种部署在无线接入网中能够和终端设备进行无线通信的设备。另外,上述基站还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者中继站、接入点、车载设备、可穿戴设备或者未来演进的公共陆地移动网络(public land mobile network,PLMN)网络中的网络设备等。(R)AN设备也可以是宽带网络业务网关(broadband network gateway,BNG),汇聚交换机,非(non)-第三代合作伙伴计划(3rd generation partnership project,3GPP)接入设备等。(R)AN设备主要负责空口侧的无线资源管理、上下行数据分类、服务质量(quality of service,QoS)管理、数据压缩和加密、与控制面网元完成信令处理或与用户面功能网元完成数据转发等功能。本申请实施例对(R)AN设备的具体形态和结构不做限定。示例性的,在采用不同的无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同。例如,基站可以是LTE中的演进型通用陆地无线接入网
(evolved universal terrestrial radio access network,E-UTRAN)设备,如演进型节点B(evolutional NodeB,eNB或e-NodeB),也可以是5G系统中的下一代无线接入网(next generation radio access network,NG-RAN)设备(如gNB)等。
终端设备可以是一种具有无线收发功能的设备。所述终端设备可以有不同的名称,例如用户设备(user equipment,UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。终端可以被部署在陆地上,包括室内或室外、手持或车载;也可以被部署在水面上(如轮船等);还可以被部署在空中(例如飞机、气球和卫星上等)。终端设备包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地,终端设备可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请实施例中,终端设备可以是指用于实现终端设备的功能的装置,例如芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包括芯片和其他分立器件。本申请实施例中,以用于实现终端设备的功能的装置是终端为例,描述本申请实施例提供的技术方案。
示例性的,图2示出本申请实施例提供的一种终端设备的结构示意图。如图2所示,终端设备至少包括通用集成电路卡(universal integrated circuit card,UICC)和移动设备(mobile equipment,ME)。
UICC主要用于存储和计算用户信息、鉴权密钥、付费方式等消息。UICC是一种可移动智能卡,用户只需要将UICC卡从一部终端取出并插入到另一部终端,就可以方便的将UICC中存储的信息从一部终端转移到另一部终端。UICC可以包括一种或多种逻辑模块,如用户识别模块(subscriber identity module,SIM)、USIM、IP多媒体 业务识别模块(IP multi media service identity module,ISIM),以及其他如电子签名认证、电子钱包等非电信。
参考图3,ME可以包括以下部件:射频(radio frequency,RF)电路110、存储器120、其他输入设备130、显示屏140、传感器150、音频电路160、I/O子系统170、处理器180、以及电源190等部件。本领域技术人员可以理解,图3中示出的ME结构并不构成对ME的限定,ME可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。
RF电路110可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器180处理;另外,将设计上行的数据发送给基站。通常,RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、LNA(low noise amplifier,低噪声放大器)、双工器等。此外,RF电路110还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(global system of mobile communication,GSM)、通用分组无线服务(general packet radio service,GPRS)、码分多址(code division multiple access,CDMA)、宽带码分多址(wideband code division multiple access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
存储器120可用于存储软件程序以及模块,处理器180通过运行存储在存储器120的软件程序以及模块,从而执行ME的各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图象播放功能等)等;存储数据区可存储根据ME的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其他输入设备130可用于接收输入的数字或字符信息,以及产生与ME的用户设置以及功能控制有关的键信号输入。具体地,其他输入设备130可包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆、光鼠(光鼠是不显示可视输出的触摸敏感表面,或者是由触摸屏形成的触摸敏感表面的延伸)等中的一种或多种。其他输入设备130与I/O子系统170的其他输入设备控制器171相连接,在其他设备输入控制器171的控制下与处理器180进行信号交互。
显示屏140可用于显示由用户输入的信息或提供给用户的信息以及ME的各种菜单,还可以接受用户输入。具体的显示屏140可包括显示面板141,以及触控面板142。其中显示面板141可以采用液晶显示器(quid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板141。触控面板142,也称为触摸屏、触敏屏等,可收集用户在其上或附近的接触或者非接触操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板142上或在触控面板142附近的操作,也可以包括体感操作;该操作包括单点控制操作、多点控制操作等操作类型。),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板142可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位、姿势,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接 收触摸信息,并将它转换成处理器能够处理的信息,再送给处理器180,并能接收处理器180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板142,也可以采用未来发展的任何技术实现触控面板142。进一步的,触控面板142可覆盖显示面板141,用户可以根据显示面板141显示的内容(该显示内容包括但不限于,软键盘、虚拟鼠标、虚拟按键、图标等等),在显示面板141上覆盖的触控面板142上或者附近进行操作,触控面板142检测到在其上或附近的操作后,通过I/O子系统170传送给处理器180以确定用户输入,随后处理器180根据用户输入通过I/O子系统170在显示面板141上提供相应的视觉输出。虽然在图3中,触控面板142与显示面板141是作为两个独立的部件来实现ME的输入和输入功能,但是在某些实施例中,可以将触控面板142与显示面板141集成而实现ME的输入和输出功能。
ME还可包括至少一种传感器150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器。ME还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
I/O子系统170用来控制输入输出的外部设备,可以包括其他设备输入控制器171、传感器控制器172、显示控制器173。可选的,一个或多个其他输入控制设备控制器171从其他输入设备130接收信号和/或者向其他输入设备130发送信号,其他输入设备130可以包括物理按钮(按压按钮、摇臂按钮等)、拨号盘、滑动开关、操纵杆、点击滚轮。值得说明的是,其他输入控制设备控制器171可以与任一个或者多个上述设备连接。所述I/O子系统170中的显示控制器173从显示屏140接收信号和/或者向显示屏140发送信号。显示屏140检测到用户输入后,显示控制器173将检测到的用户输入转换为与显示在显示屏140上的用户界面对象的交互,即实现人机交互。传感器控制器172可以从一个或者多个传感器150接收信号和/或者向一个或者多个传感器150发送信号。
处理器180是ME的控制中心,利用各种接口和线路连接整个ME的各个部分,通过运行或执行存储在存储器120内的软件程序和/或模块,以及调用存储在存储器120内的数据,执行ME的各种功能和处理数据,从而对ME进行整体监控。可选的,处理器180可包括一个或多个处理单元;优选的,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器180中。
ME还包括给各个部件供电的电源190(比如电池),优选的,电源可以通过电源管理系统与处理器180逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
尽管未示出,ME还可以包括摄像头、蓝牙模块等,在此不再赘述。
为了便于理解本申请的技术方案,下面先对本申请所涉及的术语进行简单介绍。
1、(U)SIM卡
在本申请实施例中,(U)SIM卡是SIM卡和USIM卡的统称。也即,(U)SIM卡可以表示SIM卡或者USIM卡。
在移动通信系统中,(U)SIM卡可以作为移动用户的网络身份的标识。(U)SIM卡用于存储用户数据和完成用户身份鉴权。一张(U)SIM卡对应一个移动用户。需要说明的是,(U)SIM卡可以存储移动用户对应的终端身份标识。
(U)SIM卡通过物理卡片的形式实现的,包括但不限于:标准SIM卡、Mini-SIM卡、Micro SIM卡、以及Nano SIM卡。
或者,(U)SIM卡可以以芯片的形式实现,例如嵌入式用户识别模块(embedded-SIM,eSIM)卡。
2、安全保护
安全保护是指对数据进行加密/解密,和/或完整性保护/校验等处理,以避免数据泄露或者数据被篡改等风险。
1)加密/解密
加密/解密:保护数据在传输过程中的机密性(因此又可以被称作机密性保护),机密性是指无法被直接看出真实内容。加密保护一般可以使用密钥和加密算法对数据进行加密来实现。加密保护的具体方法可以参考3GPP TS 33.401 f50中8.2节或33.501 f50中6.4.4节标准相关描述,这里不再赘述。
2)完整性保护/校验
完整性保护/校验用于判断消息在传递过程中,其内容是否被更改,也可以用于作为身份验证,以确认消息的来源。完整性校验和保护需要使用MAC。完整性校验和保护的具体方法可以参考3GPP TS 33.401 f50中8.1节或33.501 f50中6.4.3节标准相关描述,这里不再赘述。
MAC可以用于检查消息在传递过程中,其内容是否被更改;以及,消息认证码可以用于作为身份验证,以确认消息的来源。
如图4所示,发送端将密钥(key)、计数器(count)、长度(length)、承载(bearer)、消息(message)、方向(direction)等参数输入演进分组系统完整性算法(evolved packet system integrity algorithm,EIA),可以得到完整性的消息认证码(message authentication code integrity,MAC-I)或者NAS-MAC。
如图5所示,接收端将完整性保护密钥、count、length、bearer、message、direction等参数输入EIA,可以得到期望的完整性的消息认证码(excepted message authentication code integrity,XMAC-I)或者期望的非接入层消息认证码(excepted non-access stratum message authentication code,XNAS-MAC)。
对于接收端来说,接收端可以将接收到的MAC-I与自身生成的XMAC-I进行比对,以验证消息是否完整。若MAC-I与XMAC-I相同,则接收端确定接收到的MAC-I通过验证,从而接收端能够确定发送端所发送的消息是完整的;若MAC-I与XMAC-I不相同,则接收端能够确定接收到的MAC-I未通过验证,从而接收端能够确定发送端所发送的消息是不完整的。
3、注册流程
注册流程用于建立终端设备与网络侧之间的连接,以使得终端设备能够接入到网络中。注册流程可以分为:
1)初始注册流程:终端设备由于某些原因(例如开机)而发起的第一次注册流程。
2)移动更新注册流程:终端设备移动出原先的服务区域而发起的注册流程。
3)周期性注册流程:终端设备按照预设时间间隔而发起的注册流程。应理解,周期性注册流程类似于心跳机制,以便于网络侧获知终端还处于服务区域内。
如图6所示,注册流程可以包括以下步骤:
S1、终端设备向接入网设备发送注册请求。
S2、接入网设备执行AMF选择流程。
S3、接入网设备向第一AMF发送注册请求。
S4、第一AMF根据注册请求,确定第二AMF,并向第二AMF发送上下文传输请求。
其中,第一AMF是当前为终端设备提供服务的AMF。第二AMF是之前为终端设备提供服务的AMF。
S5、第二AMF向第一AMF发送上下文传输请求的响应消息。
S6、第一AMF向终端设备发送标识请求(例如Identity Request)。
S7、终端设备向第一AMF发送标识请求的响应消息(Identity Response)。
S8、第一AMF执行鉴权功能(authentication server function,AUSF)选择流程。
如果第一AMF无法从本地或者第二AMF中查找到安全上下文,或者第一AMF对终端设备发送的信息进行完整性校验失败,则移动管理网元应执行下述步骤S9。
S9、终端设备和网络侧之间执行认证和安全流程。
S10、第一AMF向第二AMF发送注册完成通知。
S11、第一AMF向UE发起标识获取流程。
S12、第一AMF与设备标识寄存器(equipment identity register,EIR)执行设备标识检查。
S13、第一AMF执行UDM选择流程。
S14、第一AMF与UDM执行注册、订阅获取流程。
S15、若第一AMF确定第二AMF提供的PCF信息不可用,第一AMF执行PCF选择流程。
S16、若第一AMF确定第二AMF提供的PCF信息可用,且PCF信息指示的PCF是第二AMF使用的PCF时,第一AMF向该PCF发送控制策略获取请求。
S17、第一AMF向SMF发送事件开放通知消息。
S18、第一AMF向非3GPP互通功能(non-3GPP interworking function,N3IWF)发送N2请求。
S19、N3IWF向第一AMF返回N2请求的响应消息。
S20、第一AMF向终端设备发送注册接收消息(例如Registration Accept)。
其中,注册接收消息用于指示网络侧接受终端设备的注册。
S21、终端设备向第一AMF发送注册完成消息(例如Registration complete)。
可以理解的是,注册完成消息用于指示完成注册流程。
其中,上述步骤S4-S19、以及S21均是可选的步骤,可以根据实际情况选择执行或者不执行。
以上是对注册流程中的各个步骤的一些介绍,注册流程还可以包括其他步骤,本 申请实施例不限于此。
4、鉴权流程
鉴权流程用于网络侧与终端协商用于安全保护的信息(例如密钥、计数器等)。在5G网络中,鉴权流程可以分为两种:一种为可扩展的认证协议(extensible authentication protocol,EAP)-AKA'流程,另一种为5G-AKA流程。
1)EAP-AKA'流程
如图7所示,EAP-AKA'流程包括以下步骤:
S201、UDM生成认证向量(authentication vector,AV)。
作为一种可能的实现方式,在创建5G HE AV时,UDM将鉴权管理域的分离(separation)比特设置为“1”。并且,UDM将计算CK'和IK',并以CK'和IK'替换CK和IK。从而,UDM生成AV'。
AV'是由RAND,AUTN,XRES,CK',IK'构成的认证数据,用于在EAP-AKA'流程中对终端设备进行鉴权。
S202、UDM向AUSF发送Nudm_UEAuthentication_Get Response消息。
其中,Nudm_UEAuthentication_Get Response消息包括AV'。
可选的,如果UDM之前接收到的Nudm_Authenticate_Get Request消息包括SUCI,则对应的Nudm_Authentication_Get Response消息还包括SUPI。
S203、AUSF向SEAF发送Nausf_UEAuthentication_Authenticate Response消息。
其中,Nausf_UEAuthentication_Authenticate Response消息包括EAP Request/AKA′-Challenge。
S204、SEAF向终端设备发送Authentication Request消息。
其中,Authentication Request消息包括EAP Request/AKA′-Challenge。
另外,Authentication Request消息还包括ngKSI。
终端设备中的ME在接收到Authentication Request消息之后,将ngKSI、EAP Request/AKA′-Challenge中的RAND和AUTN发送给USIM卡。
S205、终端设备计算鉴权响应。
作为一种可能的实现方式,终端设备中的USIM卡在接收到RAND和AUTN之后,验证5G AV的新鲜度。在通过这些验证之后,USIM卡计算出RES。之后,USIM卡将RES、CK、IK发送给ME。
S206、终端设备向SEAF发送Authentication Response消息。
其中,Authentication Response消息包括EAP-Response/AKA'-Challenge。
S207、SEAF向AUSF发送Nausf_UEAuthentication_Authenticate Request消息。
在本申请实施例中,Nausf_UEAuthentication_Authenticate Request消息包括EAP-Response/AKA'-Challenge。
S208、AUSF验证鉴权响应。
作为一种可能的实现方式,AUSF验证EAP-Response/AKA'-Challenge。如果鉴权失败,则AUSF应向SEAF返回鉴权失败消息。
此外,AUSF应向UDM通知鉴权结果。
S209(可选的)、终端设备与AUSF之间交互其他的EAP消息。
S210、AUSF向SEAF发送Nausf_UEAuthentication_Authenticate Response消息。
在鉴权成功的情况下,Nausf_UEAuthentication_Authenticate Response消息包括EAP Success||Anchor Key。
在鉴权成功的情况下,AUSF从CK'和IK'中退导出EMSK,并将EMSK的最高有效256位作为K
AUSF。并且,AUSF根据K
AUSF推导出K
SEAF。
S211、SEAF向终端设备发送N1消息。
其中,N1消息包括EAP Success消息以及ngKSI。
在终端设备接收EAP Success消息之后,终端设备从CK'和IK'中退导出EMSK,并将EMSK的最高有效256位作为K
AUSF。并且,终端设备根据K
AUSF推导出K
SEAF。
以上是对EAP-AKA'流程的一些介绍,其具体细节可以参考现有技术,在此不予赘述。
2)5G-AKA流程
如图8所示,5G-AKA流程包括以下步骤:
S301、UDM生成认证向量。
对于UDM接收到的每一个Nudm_Authenticate_Get Request消息,UDM/ARPF都会创建5G归属环境(home environment,HE)AV。
作为一种可能的实现方式,在创建5G HE AV时,UDM将鉴权管理域的分离比特设置为“1”。然后,UDM可以按照TS33.501附录A.2,推导出K
AUSF,并且按照TS33.501附录A.4推导出预期响应(expected response,XRES*)。从而,UDM创建出5G HE AV。
5G HE AV是由RAND、AUTN、XRES*、以及K
AUSF构成的认证数据,用于在5G-AKA流程中对终端设备进行鉴权。
S302、UDM向AUSF发送Nudm_Authentication_Get Response消息。
其中,Nudm_Authentication_Get Response消息包括:5G HE AV。
可选的,如果UDM接收到的Nudm_Authenticate_Get Request消息包括SUCI,则对应的Nudm_Authentication_Get Response消息还包括SUPI。
S303、AUSF存储XRES*。
作为一种可能的实现方式,AUSF应将XRES*与收到的SUCI或SUPI一起临时存储
S304、AUSF计算哈希预期响应(hash expected response,HXRES*)。
作为一种可能的实现方式,AUSF根据XRES*计算HXRES*,以及根据K
AUSF计算K
SEAF。
S305、AUSF向SEAF发送Nausf_UEAuthentication_Authenticate Response消息。
其中,Nausf_UEAuthentication_Authenticate Response消息包括5G SE AV。其中,5G SE AV包括RAND,AUTN,以及HXRES*。
S306、SEAF向终端设备发送Authentication Request消息。
其中,Authentication Request消息包括RAND,AUTN。
并且,Authentication Request消息还包括ngKSI。需要说明的是,终端设备和AMF使用该ngKSI来识别K
AMF和在认证成功的情况下创建的部分原生安全上下文(partial native security context)。
终端设备中的ME将Authentication Request消息中的随机值(RAND)和认证凭证(authentication token,AUTN)转发给USIM卡。
S307、终端设备计算鉴权响应(response,RES*)。
作为一种可能的实现方式,终端设备中的USIM卡在接收到RAND和AUTN之后,验证5G AV的新鲜度。在通过这些验证之后,USIM卡计算出RES。
另外,USIM卡还会将RES、CK、IK返回给ME。ME根据RES推导出RES*。以及,ME还会计算出K
AUSF以及K
SEAF。
S308、终端设备向SEAF发送Authentication Response消息。
其中,Authentication Response消息包括RES*。
S309、SEAF计算HRES*,并比较HRES*与HXRES是否一致。
其中,HRES*是根据RES*推导出来的。
应理解,当HRES*与HXRES一致时,则SEAF从服务网络的角度考虑认为鉴权成功。
在HRES*与HXRES一致的情况下,SEAF执行下述步骤S310。
S310、SEAF向AUSF发送Nausf_UEAuthentication_Authenticate Request消息。
其中,Nausf_UEAuthentication_Authenticate Request消息包括RES*。
S311、AUSF验证接收到的RES*。
作为一种可能的实现方式,当AUSF接收到作为认证确认的、携带RES*的Nausf_UEAuthentication_Authenticate Request消息时,AUSF可以验证AV是否已过期。如果AV已过期,则AUSF从归属网络的角度认为鉴权不成功。如果AV未过期,AUSF应将接收到的RES*是否与存储的XRES*相等。如果RES*与XRES*相等,则AUSF从归属网络的角度认为鉴权成功。并且,AUSF向UDM通知鉴权结果。
在鉴权成功的情况下,AUSF存储K
AUSF。
S312、AUSF向SEAF发送Nausf_UEAuthentication_Authenticate Response消息。
其中,Nausf_UEAuthentication_Authenticate Response消息用于指示归属网络对此次鉴权的鉴权结果。也即,Nausf_UEAuthentication_Authenticate Response消息用于通知SEAF从归属网络的角度来看鉴权是否成功。
在鉴权成功的情况下,Nausf_UEAuthentication_Authenticate Response消息包括K
SEAF和SUPI。
在鉴权成功的情况下,SEAF应根据K
SEAF等参数计算K
AMF。之后,SEAF应向AMF提供ngKSI和K
AMF。
以上是对5G-AKA流程的一些介绍,其具体细节可以参考现有技术,在此不予赘述。
5、ngKSI
ngKSI用于对5G非接入层(non-access stratum,NAS)安全上下文进行标识,并指示该5G NAS安全上下文的类型。ngKSI由一个标识值和一个安全上下文类型参数构成。其中,标识值用于唯一对应一个5G NAS安全上下文。安全上下文类型参数用于指示该5G NAS安全上下文是native 5G NAS安全上下文还是映射(mapped)5G NAS 安全上下文。
示例性的,当5G NAS安全上下文的类型为native时,安全上下文类型参数的值为KSIAMF。当5G NAS安全上下文的类型为mapped时,安全上下文类型参数的值为KSIASME。
应理解,对于原生的安全上下文来说,ngKSI由AMF在鉴权流程中生成并发送给终端设备的。或者,对于mapped 5G NAS安全上下文来说,ngKSI是在异系统切换期间由终端设备和AMF分别推演的。
native 5G NAS安全上下文是接入5G网络的终端设备与5G核心网网元之间通过鉴权流程来生成的。
napped 5G NAS安全上下文是在4G网络的终端设备鉴权流程中生成的演进分组系统(evolved packet system,EPS)安全上下文通过映射方式而得到的。
6、5G NAS安全上下文
5G NAS安全上下文是指可以用于实现终端与核心网之间传输数据的安全保护(例如,加密/解密,和/或完整性保护/校验)的信息。
安全上下文可以包括以下一项或者多项:根密钥、加密密钥、完整性保护密钥、特定参数(比如NAS Count)、安全算法、安全指示(例如,是否开启加密的指示,是否开启完整性保护的指示、密钥使用期限的指示,密钥长度)等。
其中,加密密钥为发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法,加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说,发送端和接收端可以基于同一个密钥去加密和解密。
完整性保护密钥为发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。
特定参数(比如NAS Count)为发送端根据防重放保护算法对明文或密文进行防重放保护时输入的参数。接收端可以根据相同的防重放保护算法对进行了防重放保护的数据进行防重放验证。
安全算法即对数据进行安全保护时使用的算法。例如,加密算法、解密算法、完整性保护算法等。
7、SOR
漫游引导用于使得归属地网络(home public land mobile network,HPLMN)有能力指导处于自动选网模式的终端设备搜索特定的拜访地网络(visited public land mobile network,VPLMN)。
如图9所示,SOR流程可以包括以下步骤:
S401、HPLMN UDM确定通知终端设备引导信息列表(steering information list)发生更新。
S402、HPLMN UDM向HPLMN AUSF发送Nausf_SoRProtection消息。
其中,Nausf_SoRProtection消息包括SUPI、引导信息列表、以及SOR头部(header)。
可选的,如果HPLMN决定终端设备要确认接收到的引导信息列表安全检查成功, 则UDM需要在SOR header中进行相应的设置,并且Nausf_SoRProtection消息还包括ACK Indication。
S403、HPLMN AUSF向HPLMN UDM发送Nausf_SoRProtection Response消息。
其中,Nausf_SoRProtection Response消息包括:SoR-MAC-I
AUSF以及SOR counter。
可选的,在Nausf_SoRProtection消息包括ACK Indication的情况下,Nausf_SoRProtection Response消息还包括SoR-XMAC-I
UE。
在本申请实施例中,SoR-MAC-I
AUSF是根据引导信息列表、SOR header、SOR counter以及K
AUSF来计算得到的。SoR-XMAC-I
UE是根据SOR成功确认消息、SOR counter以及K
AUSF来计算得到的。
S404、HPLMN UDM向VPLMN AMF发送Nudm_SDM_Notification消息。
其中,Nudm_SDM_Notification消息包括:引导信息列表、SOR header、SoR-MAC-I
AUSF以及SOR counter。
S405、VPLMN AMF向终端设备发送DL NAS Transport消息。
其中,DL NAS Transport消息包括:引导信息列表、SOR header、SoR-MAC-I
AUSF以及SOR counter。
S406、终端设备验证SoR-MAC-I
AUSF。
作为一种可能的实现方式,终端设备根据接收到的引导信息列表、SOR header和SOR counter,按照与AUSF相关的方式,计算出SoR-MAC-I
AUSF,并验证计算出的SoR-MAC-I
AUSF与接收到的SoR-MAC-I
AUSF是否相同。如果计算出的SoR-MAC-I
AUSF与接收到的SoR-MAC-I
AUSF相同,则说明接收到的SoR-MAC-I
AUSF通过验证。
当UDM已经请求终端设备确认接收到的引导信息列表安全检查成功时,在终端设备已经成功验证SoR-MAC-I
AUSF之后,终端设备还应执行下述步骤S407。
S407、终端设备向VPLMN AMF发送UL NAS Transport消息。
其中,UL NAS Transport消息包括透明容器,该透明容器包括SOR-MAC-I
UE。
S408、VPLMN AMF向HPLMN UDM发送Nudm_SDM_Info request消息。
其中,Nudm_SDM_Info request消息包括透明容器,该透明容器包括SOR-MAC-I
UE。
S409、HPLMN UDM比较接收到的SOR-MAC-I
UE和存储的SOR-XMAC-I
UE是否一致。
应理解,若接收到的SOR-MAC-I
UE和存储的SOR-XMAC-I
UE不一致,说明网络存在安全风险。
以上是对SOR流程的简单介绍,其具体细节可以参考现有技术,在此不予赘述。
8、SOR counter
其中,SOR counter也可以记为Counter
SOR。
AUSF和终端设备会将SOR counter与K
AUSF相关联。SOR counter一般为16位的计数器。SOR counter用于避免重播攻击。
在终端设备推导出K
AUSF时,终端设备会将SOR counter设置为0。
在AUSF推导出K
AUSF时,AUSF会将SOR counter设置为1。
9、用户设备参数更新(UE parameters update,UPU)
UPU流程可以使得网络侧有能力更新终端设备的相关参数。
如图10所示,UPU流程可以包括以下步骤:
S501、UDM决定执行UPU。
S502、UDM向AUSF发送Nausf_UPUProctection消息。
其中,Nausf_UPUProctection消息包括SUPI以及UPU数据。
可选的,Nausf_UPUProctection消息还可以包括确认指示(ACK indication),以表明UDM请求终端设备确认接收到的UPU数据安全检查成功。
S503、AUSF向UDM发送Nausf_UPUProctection response消息。
其中,Nausf_UPUProctection response消息包括:UPU counter以及UPU-MAC-I
AUSF。UPU-MAC-I
AUSF是对UPU数据进行完整性保护后产生的MAC。UPU counter是在对对UPU数据进行完整性保护过程中使用的counter。
可选的,在Nausf_UPUProctection消息还包括ACK indication的情况下,Nausf_UPUProctection response消息还包括UPU-XMAC-I
UE。
需要说明的是,UPU-MAC-I
AUSF是根据UPU数据、UPU counter以及K
AUSF来计算得到的。UPU-XMAC-I
UE是根据ACK indication、UPU counter以及K
AUSF来计算得到的。
S504、UDM向AMF发送Nudm_SDM_Notification消息。
其中,Nudm_SDM_Notification消息包括:UPU数据、UPU counter以及UPU-MAC-I
AUSF。
S505、AMF向终端设备发送DL NAS Transport消息。
其中,DL NAS Transport消息包括UPU数据、UPU counter以及UPU-MAC-I
AUSF。
S506、终端设备验证UPU-MAC-I
AUSF。
作为一种可能的实现方式,终端设备根据接收到的UPU数据和UPU counter,按照与AUSF相同的方式计算出UPU-MAC-I
AUSF,并验证计算出来的UPU-MAC-I
AUSF是否与接收到的UPU-MAC-I
AUSF相同。当计算出来的UPU-MAC-I
AUSF与接收到的UPU-MAC-I
AUSF相同时,说明验证成功。
在验证成功的情况下,若UPU数据中包含受安全分组(secured packet)保护的参数时,则终端设备中的ME将受安全分组保护的参数发送给终端设备中的USIM卡。
在验证成功的情况下,若UPU数据中不包含受安全分组保护的参数时,则终端设备中的ME根据UPU数据中的参数,更新其存储的参数。
当UDM已经请求终端设备确认接收到的UPU数据安全检查成功时,在终端设备已经成功验证UPU-MAC-I
AUSF,以及根据UPU数据更新参数之后,终端设备应执行下述步骤S507。
S507、终端设备向AMF发送UL NAS Transport消息。
其中,UL NAS Transport消息包括透明容器,该透明容器包括UPU-MAC-I
UE。
需要说明的是,UPU-MAC-I
UE是根据UPU确认(Acknowledgement)、UPU counter以及K
AUSF来计算得到的。
S508、AMF向UDM发送Nudm_SDM_Info request消息。
其中,Nudm_SDM_Info request消息包括透明容器,该透明容器包括UPU-MAC-I
UE。
S509、UDM比较接收到的UPU-MAC-I
UE和存储的UPU-XMAC-I
UE是否一致。
应理解,如果接收到的UPU-MAC-I
UE和存储的UPU-XMAC-I
UE不一致,说明网络存在安全风险。
以上是对UPU流程的简单介绍,其具体细节可以参考现有技术,在此不予赘述。
10、UPU counter
其中,UPU counter也可以记为Counter
UPU。
AUSF和终端设备会将UPU counter与K
AUSF相关联。UPU counter一般为16位的计数器。UPU counter用于避免重播攻击。
在终端设备推导出K
AUSF时,终端设备会将UPU counter设置为0。
在AUSF推导出K
AUSF时,AUSF会将UPU counter设置为1。
以上是对本申请实施例所涉及的术语的介绍,在此统一说明,以下不再赘述。
当前,终端设备与AUSF之间经过鉴权流程之后,终端设备与AUSF可以存储、维护相同的密钥K
AUSF。但是,由于一些原因,终端设备可能未存储有效的K
AUSF。
示例性的,以图11为例说明终端设备未存储有效的K
AUSF的原因。
S601、插入USIM卡1的ME1在5G网络下注册,生成ngKSI=0的5G NAS安全上下文以及5G鉴权密钥信息。
应理解,ngKSI=0仅是示例。
其中,5G NAS安全上下文可以存储于EF
5GS3GPPNSC卡文件。5G鉴权密钥信息可以存储于EF
5GAUTHKEYS卡文件。5G鉴权密钥信息包括K
AUSF等。
S602、ME1中存储5G鉴权密钥信息,USIM卡1存储ngKSI=0的5G NAS安全上下文。
之后,在插入USIM卡1的ME1去注册之后,网络侧依然会保存ngKSI=0的5G NAS安全上下文。
S603、USIM卡1从ME1中拨出,并插入ME2中。
此时,USIN卡1还存储ngKSI=0的5G NAS安全上下文,但是ME2中并未存储相应的5G鉴权密钥信息。
S604、插入USIM卡1的ME2在开机后,发送初始注册请求消息。
由于USIM卡1存储ngKSI=0的5G NAS安全上下文,因此初始注册请求消息携带ngKSI=0。
S605、AMF启用ngKSI=0的5G NAS安全上下文。
插入USIM卡1的ME2在5G网络下注册成功。
应理解,基于上述步骤S601-S605,插入USIM卡1的ME2并未存储有5G鉴权密钥信息。这导致,插入USIM卡1的ME2无法对网络侧的一些网元(例如UDM)的信息进行安全校验,导致插入USIM卡1的ME2只能丢弃这些信息。下面以SOR流程为例进行说明。
S606、HPLMN UDM确定通知插入USIM卡1的ME2引导信息列表发生更新。
S607、HPLMN UDM向HPLMN AUSF发送Nausf_SoRProtection消息。
其中,Nausf_SoRProtection消息包括SUPI、引导信息列表、以及SOR头部(header)。
S608、HPLMN AUSF向HPLMN UDM发送Nausf_SoRProtection Response消息。
其中,Nausf_SoRProtection Response消息包括:SoR-MAC-I
AUSF以及SOR counter。
S609、HPLMN UDM向VPLMN AMF发送Nudm_SDM_Notification消息。
其中,Nudm_SDM_Notification消息包括:引导信息列表、SOR header、SoR-MAC-I
AUSF以及SOR counter。
S610、VPLMN AMF向插入USIM卡1的ME2发送DL NAS Transport消息。
其中,DL NAS Transport消息包括:引导信息列表、SOR header、SoR-MAC-I
AUSF以及SOR counter。
在接收到DL NAS Transport消息之后,由于插入USIM卡1的ME2并未存储5G鉴权密钥信息,因此插入USIM卡1的ME2无法对SoR-MAC-I
AUSF进行安全校验。
S611、插入USIM卡1的ME2由于无法校验SoR-MAC-I
AUSF,而丢弃DL NAS Transport消息。
应理解,除了图11所示的原因之外,终端设备未存储有效的K
AUSF还可以是其他因素导致的,例如终端设备的存储出现故障,终端设备的软件运行异常等,对此不作限定。
可见,当前,在终端设备未存储有效的K
AUSF,但存储ngKSI的情况下,终端设备在开机后的初始注册流程中,终端设备会发送携带ngKSI的初始注册请求消息,使得网络侧激活相应的5G NAS安全上下文。但是,网络侧并不获知终端设备未存储有效的K
AUSF,从而导致网络侧按照正常流程(例如SOR流程和UPU流程)中的安全保护步骤,使用K
AUSF对发送给终端设备的信息进行安全保护。但是,终端设备由于未存储有效的K
AUSF,因此不能对安全保护后的信息进行安全校验,从而终端设备只能丢弃安全保护后的信息。这样一来,影响了网络侧的相关网元(例如UDM)正常与终端设备进行安全的通信。
为了解决这一技术问题,本申请实施例提供一种通信方法。如图12所示,该通信方法包括以下步骤:
S701、终端设备在需要发起初始注册流程时,确定是否存在有效的中间密钥。
其中,该终端设备配置有(U)SIM卡,该(U)SIM卡中存储有密钥集标识符。
示例性的,密钥集标识符可以为ngKSI,或者未来网络中的用于标识安全上下文的密钥集标识符。
在本申请实施例中,中间密钥可以包括K
AUSF,K
SEAF for 3gpp access,K
SEAF for non-3gpp access。
可选的,终端设备需要发起初始注册流程的场景可以是:终端设备刚开机时。
示例性的,在终端设备新插入一张新的(U)SIM卡之后,终端设备响应于用户设备的操作而开机,准备以插入的(U)SIM卡发起初始注册流程。
可选的,步骤S701可以包括以下子步骤:S7011-S7013。
S7011、在终端设备还配置有非易失性存储器的情况下,终端设备确定非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识是否一致。
应理解,在终端设备还配置有非易失性存储器的情况下,当(U)SIM卡从终端设备中拨出时,终端设备的非易失性存储器会存储该(U)SIM卡中的终端身份标识。之后,若终端设备又插入(U)SIM卡,则终端设备会比较新插入的(U)SIM卡中的终端身份标识与非易失性存储器中的终端身份标识是否一致。
若一致,则说明新插入的(U)SIM卡与之前拔出的(U)SIM卡是同一张SIM卡,则终端设备的非易失性存储器所存储的卡文件(例如EF
5GAUTHKEYS卡文件等)对于新插入的(U)SIM卡是有效的,从而终端设备应执行下述步骤S7012。
若不一致,则说明新插入的(U)SIM卡与之前拔出的(U)SIM卡不是同一张SIM卡,则终端设备的非易失性存储器所存储的卡文件(例如EF
5GAUTHKEYS卡文件等)对于新插入的(U)SIM卡是无效的,因此终端设备无需在非易失性存储器中查找有效的中间密钥,从而终端设备应执行下述步骤S7013。
S7012、在非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识一致的情况下,终端设备确定非易失性存储器和(U)SIM卡中是否存在有效的中间密钥。
S7013、在非易失性存储器中的终端身份标识和(U)SIM卡中的终端身份标识不一致的情况下,终端设备确定(U)SIM卡中是否存在有效的中间密钥。
其中,终端身份标识用于在网络中唯一标识终端设备。
在4G网络中,终端身份标识可以为:国际移动用户识别码(international mobile subscriber identification number,IMSI)。
在5G网络中,终端身份标识可以为:签约永久标识(subscription permanent identifier,SUPI)、签约隐藏标识(subscription concealed identifier,SUCI)、或者5G全球唯一临时身份(5G globally unique temporary identity,5G-GUTI)。需要说明的是,SUPI用于表征终端设备的真实身份,功能类似于LTE中的IMSI。SUCI是SUPI以公钥进行加密后生成的。网络设备与终端设备之间传输SUCI,可以避免明文传输的SUPI被攻击者窃取的问题。可以理解的是,SUCI可以利用与公钥成对的私钥进行解密,以得到SUCI。
S702、如果不存在有效的中间密钥,则终端设备删除密钥集标识符。
在本申请实施例中,终端设备删除密钥集标识符可以具体实现为:终端设备将ngKSI的值设置为第一值,该第一值用于指示“没有可用的密钥(no key is available)”。
S703、终端设备向移动管理网元发送初始注册请求消息。
作为一种可能的实现方式,若(U)SIM卡之前存储的密钥集标识符为终端设备通过第一接入技术接入网络时生成的的密钥集标识符,则终端设备可以使用第一接入技术向移动管理网元发送初始注册请求消息。
其中,第一接入技术可以为3GPP接入技术或者non-3GPP接入技术。
应理解,由于终端设备已删除密钥集标识符,因此初始注册请求消息不携带密钥集标识符,从而移动管理网元在接收到不携带密钥集标识符的初始注册请求消息,会触发与终端设备的鉴权流程。
在本申请实施例中,初始注册请求消息不携带密钥集标识符,可以具体实现为:初始注册请求消息包含第一指示信息,该第一指示信息用于指示没有可用的密钥。
示例性的,第一指示信息可以具体实现为:初始注册请求消息中的密钥集标识符信元被设置为“no key is available”。
S704、终端设备在鉴权流程中得到鉴权密钥信息。
其中,鉴权密钥信息包括有效的中间密钥。
可选的,鉴权密钥信息还包括:SOR计数器的取值和/或UPU计数器的取值。
鉴权流程的具体细节可以参考上文中图7或图8所示流程的描述,在此不再赘述。
基于图12所示实施例,在终端设备需要发起初始注册流程时,终端设备先检查是否存在有效的中间密钥。在不存在有效的中间密钥的情况下,终端设备删除(U)SIM卡中的密钥集标识符,以使得终端设备发送初始注册请求消息中不携带密钥集标识符。由于初始注册请求消息不携带密钥集标识符,从而移动管理网元会发起与终端设备的鉴权流程。在鉴权流程中,终端设备与网络侧可以同步得到相同的中间密钥。这样一来,在后续流程(例如SOR流程或者UPU流程)中,网络侧可以使用中间密钥对发送给终端设备的信息进行安全保护;相应的,终端设备可以使用相同的中间密钥对安全保护后的信息进行安全校验。从而,本申请实施例能够保证终端设备与网络侧之间的安全通信。
当前,终端设备在鉴权流程之后,会存储设置为0的SOR counter和UPU counter。之后,在相关流程(例如UPU流程或者SOR流程)中,终端设备会根据网络侧下发的SOR counter或者UPU counter,更新自身存储的SOR counter或者UPU counter。从而,终端设备存储的SOR counter或者UPU counter的数值不断增大。若允许终端设备存储的SOR counter(或者UPU counter)发生翻转,则网络攻击者可以使用之前网络侧发送给终端设备的信息进行重播攻击,影响网络侧与终端设备之间的正常通信。对此,现有技术并未给出相应的解决方案。
为了解决这一技术问题,本申请实施例提供一种通信方法。如图13所示,该通信方法包括以下步骤:
S801、终端设备确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值。
其中,鉴权密钥信息中的第一计数器可以为SOR计数器和/或UPU计数器。
应理解,计数器大于或等于预设值,说明计数器临近翻转。
计数器翻转是指计数器在超出最大计数范围之后,重新从0开始计数的过程。
示例性的,对于16位计数器来说,计数器的计数范围为0~65535。在计数器的取值为65535的情况下,若计数器的取值再加1,则会导致计数器翻转,使得计数器为0。
在本申请实施例中,预设值是可以终端设备出厂时预配置的,或者终端设备根据自身使用情况配置的,又或者网络设备向终端设备指示的。示例性的,以计数器的计数范围为0~65535为例,预设值可以为65500。
可选的,终端设备执行步骤S801的触发条件可以为以下条件中的任意一个:
条件1、终端设备刚更新鉴权密钥信息中的第一计数器的取值。
条件2、终端设备刚开机。
条件3、终端设备准备发起注册流程。
以上条件1-条件3仅是示例性说明,不构成具体限定。
S802、当第一计数器大于或等于预设值时,终端设备删除自身存储的密钥集标识符。
示例性的,密钥集标识符可以为ngKSI,或者未来网络中的用于标识安全上下文的密钥集标识符。
应理解,终端设备可以将密钥集标识符存储在终端设备配置的(U)SIM卡中。
在本申请实施例中,终端设备删除密钥集标识符以具体实现为:终端设备将密钥 集标识符设置为第一值,第一值用于指示“没有可用的密钥(no key is available)”。
S803、终端设备向移动管理网元发送注册请求消息。
作为一种可能的实现方式,若(U)SIM卡之前存储的密钥集标识符为终端设备通过第一接入技术接入网络时生成的的密钥集标识符,则终端设备可以使用第一接入技术向移动管理网元发送注册请求消息。
其中,第一接入技术可以为3GPP接入技术或者non-3GPP接入技术。
应理解,由于终端设备已删除密钥集标识符,因此注册请求消息不携带密钥集标识符,从而移动管理网元在接收到不携带密钥集标识符的注册请求消息,会触发与终端设备的鉴权流程。
在本申请实施例中,注册请求消息不携带密钥集标识符,可以具体实现为:注册请求消息包含第一指示信息,该第一指示信息用于指示没有可用的密钥。
示例性的,第一指示信息可以具体实现为:注册请求消息中的ngKSI信元被设置为“no key is available”。
上述注册请求消息可以是初始注册请求消息或者其他注册流程中的注册请求消息。
S804、终端设备在鉴权流程中得到更新后的鉴权密钥信息。
其中,更新后的鉴权密钥信息包括更新后的中间密钥和数值为0的第一计数器。中间密钥包括K
AUSF,K
SEAF for 3gpp access,K
SEAF for non-3gpp access。
应理解,在鉴权流程之后,鉴权密钥信息中的第一计数器与更新后的中间密钥相关联。
鉴权流程的具体细节可以参考上文中图7或图8所示流程的描述,在此不再赘述。
基于图13所示的实施例,终端设备在鉴权密钥信息中的计数器大于或等于预设值(也即计数器即将翻转)的情况下,删除密钥集标识符以使得终端设备发送注册请求消息中不携带密钥集标识符。由于注册请求消息不携带密钥集标识符,从而移动管理网元会发起与终端设备的鉴权流程。在鉴权流程中,终端设备与网络侧可以同步得到更新后的鉴权密钥信息,更新后的鉴权密钥信息包括更新后的中间密钥以及数值为0的计数器。这样一来,由于网络侧在鉴权流程之前发送给终端设备的信息不是使用更新后的中间密钥进行安全保护,因此网络攻击者即使使用网络侧在鉴权流程之前发送给终端设备的信息,也不能通过终端设备的安全校验,无法对终端设备进行重播攻击。可见,本申请实施例能够保证终端设备与网络侧之间的正常通信。
下面结合具体应用场景来说明图13所示实施例。其中,下述场景主要针对步骤S801的触发条件为条件1的情况。
基于图13所示的实施例,如图14所示,该通信方法在步骤S801之前还包括步骤S901-S904。相应的,步骤S801可以具体实现为步骤S905。
S901、终端设备接收第一信息。
其中,第一信息包括数据、第二计数器的取值以及MAC。
示例性的,以SOR流程为例,第一信息中的数据可以是引导信息列表和SOR header,第一信息中的第二计数器可以为SOR计数器,第一信息中的MAC可以为SoR-MAC-I
AUSF。
示例性的,以UPU流程为例,第一信息中的数据可以为UPU数据,第一信息中 的第二计数器可以为UPU计数器,第一信息中的MAC可以为UPU-MAC-I
AUSF。
应理解,第一信息还可以为其他流程中的消息,本申请实施例对此不作限定。
S902、终端设备比较第一信息中的第二计数器的取值是否大于鉴权密钥信息中的第一计数器的取值。
当第一信息中的第二计数器的取值小于或等于鉴权密钥信息中的第一计数器的取值时,终端设备可以丢弃第一信息。反之,终端设备执行下述步骤S903。
S903、当第一信息中的第二计数器的取值大于鉴权密钥信息中的第一计数器的取值时,终端设备根据第一信息中的数据和第二计数器的取值,验证第一信息中的MAC。
作为一种可能的实现方式中,终端设备根据第一信息中的数据和第二计数器的取值,以及鉴权密钥信息所包括的中间密钥,生成期望MAC。终端设备比较期望MAC和第一信息中的MAC是否一致。当第一信息中的MAC与期望MAC一致时,第一信息中的MAC通过验证。反之,第一信息中的MAC未通过验证。
示例性的,以SOR流程为例,终端设备根据第一信息中的数据和第二计数器的取值,以及鉴权密钥信息所包括的中间密钥,生成SoR-MAC-I
AUSF。之后,终端设备比较自身生成的SoR-MAC-I
AUSF与第一信息中的SoR-MAC-I
AUSF是否一致。若一致,则说明第一信息中的SoR-MAC-I
AUSF通过验证。反之,则说明SoR-MAC-I
AUSF未通过验证。
示例性的,以UPU流程为例,终端设备根据第一信息中的数据和第二计数器的取值,以及鉴权密钥信息所包括的中间密钥,生成UPU-MAC-I
AUSF。之后,终端设备比较自身生成的UPU-MAC-I
AUSF与第一信息中的UPU-MAC-I
AUSF是否一致。若一致,则说明第一信息中的UPU-MAC-I
AUSF通过验证。反之,则说明UPU-MAC-I
AUSF未通过验证。
S904、当第一信息中的MAC通过验证时,终端设备以第一信息中的第二计数器的取值更新鉴权密钥信息中的第一计数器的取值。
以SOR流程为例,终端设备以第一信息中的SOR计数器的取值更新鉴权密钥信息中的SOR计数器的取值。示例性的,假设第一信息中的SOR计数器的取值为20,鉴权密钥信息中的SOR计数器的取值为4,则终端设备可以将鉴权密钥信息中的SOR计数器的取值更新为20。
以UPU流程为例,终端设备以第一信息中的UPU计数器的取值更新鉴权密钥信息中的UPU计数器的取值。
S905、终端设备确定鉴权密钥信息中更新后的第一计数器的取值是否大于或等于预设值。
基于图14所示的实施例,在每次更新鉴权密钥信息中的第一计数器的取值之后,终端设备及时检查更新后的第一计数器的取值是否大于或等于预设值。在更新后的第一计数器的取值大于或等于预设值的情况下,终端设备可以通过发送不携带密钥集标识符的注册请求消息触发网络侧发起鉴权流程,得到更新后的鉴权密钥信息。可见,图14所示的实施例能够减少计数器临近翻转却未被发现的情况发生,进而减少网络侧由于计数器临近翻转而不能使用相应流程(例如SOR流程或者UPU流程)的情况发生。
目前,为了保证数据的安全,UDM下发给终端设备的数据均需要使用终端设备鉴权过程中生成的中间密钥进行安全保护。目前,在一些场景下,UDM下发给终端设备的数据无法进行相应的安全保护。下面结合一些应用场景进行说明。
场景一、在鉴权流程之后,终端设备与鉴权流程中涉及的AUSF会存储相同的K
AUSF,从而UDM可以将发送给终端设备的数据请求终端设备鉴权流程中涉及的AUSF使用K
AUSF进行相应的安全保护。但是,一些情况下,UDM可能并未存储终端设备鉴权过程中涉及的AUSF的标识,从而UDM不能确定该向哪一个AUSF请求对待发送给终端设备的数据进行相应的安全保护。
示例性的,UDM未存储终端设备鉴权过程中涉及的AUSF的标识的原因为:终端设备先在4G网络中注册,生成EPS安全上下文;之后,终端设备从4G网络切换到5G网络,5G网络基于EPS安全上下文,推演出一个隐射的(mapped)5G NAS安全上下文,并启用该mapped 5G NAS安全上下文。这一过程中,由于4G网络中不存在AUSF,因此UDM不可能存储终端设备鉴权过程中涉及的AUSF的标识。
场景二、AUSF因为一些因素(例如AUSF未存储K
AUSF,或者AUSF存储的对数据进行安全保护的counter即将翻转),导致AUSF无法正常地对UDM待发送给终端设备的数据进行安全保护。
场景三、终端设备因为一些因素(例如终端设备未存储K
AUSF,或者终端设备存储的对数据进行安全保护的counter即将翻转),导致终端设备无法正常地对UDM发送给终端设备的数据进行安全校验。其中,终端设备未存储K
AUSF的相关原因可以参考上文描述,在此不再赘述。
当UDM下发给终端设备的数据无法进行相应的安全保护时,终端设备和UDM之间无法正常通信。针对这一技术问题,业界亟待解决方案。
为了解决上述技术问题,本申请实施例提供一种通信方法。如图15所示,该通信方法包括以下步骤:
S1001、统一数据管理网元在需要向终端设备发送数据时,确定无法使用终端设备鉴权流程中生成的中间密钥对数据进行安全保护。
其中,中间密钥包括K
AUSF。K
AUSF的来源可以参考图7或图8所示鉴权流程中的说明,在此不再赘述
在本申请实施例中,统一数据管理网元可以是5G网络中的UDM,或者是未来网络中用于负责管理签约数据、鉴权数据等的网元。在此统一说明,以下不再赘述。
上述统一数据管理网元待发送给终端设备的数据可以为SOR数据、UPU数据、所述终端设备的签约数据、所述终端设备的路由数据、或者路由标识等,本申请实施例对此不作限定。
S1002、响应于确定结果,统一数据管理网元触发对终端设备的鉴权流程。
其中,确定结果即为:确定无法使用终端设备鉴权流程中生成的中间密钥对数据进行安全保护。
可选的,响应于确定结果,统一数据管理网元可以先为终端设备设置一个定时器,在定时器超时之后,再触发对终端设备的鉴权流程。
可选的,统一数据管理网元触发对终端设备的鉴权流程,可以采用以下实现方式 中的任意一种:
实现方式一、统一数据管理网元向为终端设备提供服务的移动管理网元发送第四指示信息。其中,第四指示信息用于触发对终端设备的鉴权流程。
应理解,上述第四指示信息可以承载于现有的信令中,或者新增的信令中。
示例性的,鉴权第四指示信息可以承载于Nudm_SDM_Notification消息中。
示例性的,统一数据管理网元向为终端设备提供服务的移动管理网元发送第四指示信息,可以具体实现为:统一数据管理网元向该移动管理网元发送去注册请求消息。其中,去注册请求消息用于请求对终端设备去注册。这样一来,在终端设备重新注册到网络的过程中,移动管理网元可以与终端设备进行鉴权流程。
实现方式二、统一数据管理网元向鉴权服务网元发送第五指示信息。其中,第五指示信息用于指示鉴权服务网元触发移动管理网元发起对终端设备的鉴权流程。
这样一来,鉴权服务网元接收到第五指示信息之后,可以向移动管理网元发送第六指示信息,以触发移动管理网元发起对终端设备的鉴权流程。
应理解,上述第五指示信息或者第六指示信息可以承载于现有的信令中,或者新增的信令中。
应理解,在鉴权流程之后,网络侧和终端设备之间得到相同的中间密钥,从而统一数据管理网元可以按照正常流程(例如SOR流程或UPU流程)进行数据的发送。
基于图15所示的实施例,针对统一数据管理网元发送给终端设备的数据无法使用中间密钥进行安全保护的情况,统一数据管理网元通过触发鉴权流程,从而使得终端设备与网络侧同步更新中间密钥以及相关参数(例如SOR counter和/或UPU counter)。从而,统一数据管理网元发送给终端设备的数据可以使用有效的中间密钥进行安全保护,终端设备也能对安全保护后的数据进行相应的安全校验。这样一来,保证统一数据管理网元与终端设备之间的正常通信。
下面以举例的方式来说明图15所示实施例的具体实现方式。
实现方式一、
如图16所示,图15中的步骤S1001可以具体实现为图16中的步骤S1101,图15所示的步骤S1002可以具体实现为图16中的步骤S1102。
S1101、统一数据管理网元无法获取终端设备鉴权过程中涉及的鉴权服务网元的标识。
可选的,在鉴权流程中,统一数据管理网元可以建立并存储终端设备的终端身份标识与终端设备鉴权过程中涉及的鉴权服务网元的标识之间的对应关系。示例性的,该对应关系可以存储成表1所示的格式。
表1
| 终端设备的终端身份标识 | 鉴权服务网元的标识 |
| …… | …… |
应理解,每经过一次终端设备的鉴权流程,统一数据管理网元均会更新一次终端设备的终端身份标识与鉴权服务网元的标识之间的对应关系,以保证该对应关系的有效性。
从而,在统一数据管理网元准备给终端设备发送数据时,统一数据管理网元可以 根据终端设备的终端身份标识,查找对应的鉴权服务网元的标识。若统一数据管理网元未查找到对应的鉴权服务网元的标识,则统一数据管理网元确定无法获取终端设备鉴权过程中涉及的鉴权服务网元的标识。
S1102、统一数据管理网元触发对终端设备的鉴权流程。
基于图16所示的实施例,统一数据管理网元在无法获取终端设备鉴权过程中涉及的鉴权服务网元的标识的情况下,通过及时地触发鉴权流程,以保证后续过程中统一数据管理网元与终端设备之间的正常通信。
应理解,图16所示的实施例能够解决上述场景一所存在的问题。
实现方式二、
如图17所示,图15中的步骤S1001可以具体实现为图17中的步骤S1201-S1202,图15中的步骤S1002可以具体实现为图17中的步骤S1203。
S1201、统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息。
其中,该请求消息包括所述数据。
示例性的,以SOR流程为例,该请求消息可以为Nausf_SoRProtection消息,该请求消息中的数据可以为引导信息列表、以及SOR header。
示例性的,以UPU流程为例,该请求消息可以为Nausf_UPUProctection消息,该请求消息中的数据可以为UPU数据。
可选的,该请求消息还可以包括确认指示信息,该确认指示信息用于指示终端设备在对数据进行安全校验成功后返回确认消息。
应理解,在执行步骤S1201之前,统一数据管理网元能够根据终端设备的终端身份标识,查找到终端设备鉴权过程中涉及的鉴权服务网元的标识。
S1202、统一数据管理网元接收鉴权服务网元发送的响应消息。
其中,响应消息用于指示对所述数据安全保护失败。
以SOR流程为例,该响应消息可以为Nausf_SoRProtection Response消息。
以UPU流程为例,该响应消息可以为Nausf_UPUProctection Response消息。
一种可能的设计中,响应消息包括第二指示信息,该第二指示信息用于指示安全保护失败的原因。
示例性的,安全保护失败的原因可以包括:中间密钥缺少,或者对数据进行安全保护的counter即将翻转。
应理解,在SOR流程中,上述对数据进行安全保护的counter即为SOR counter。在UPU流程中,上述对数据进行安全保护的counter即为UPU counter。
S1203、统一数据管理网元根据响应消息,触发对终端设备的鉴权流程
基于图17所示的实施例,统一数据管理网元能够根据鉴权服务网元返回的安全保护失败原因,及时触发鉴权流程,以保证后续过程中统一数据管理网元与终端设备之间的正常通信。
应理解,图17所示的实施例能够解决上述场景二所存在的问题。
实现方式三、
如图18所示,图15中的步骤S1001可以具体实现为图18中的步骤S1301-S1304, 图15中的步骤S1002可以具体实现为图18中的步骤S1305。
S1301、统一数据管理网元向终端设备鉴权过程中涉及的鉴权服务网元发送请求消息。
其中,该请求消息包括所述数据。
可选的,该请求消息还可以包括确认指示信息,该确认指示信息用于指示终端设备在对数据进行安全校验成功后返回确认消息。
示例性的,以SOR流程为例,该请求消息可以为Nausf_SoRProtection消息,该请求消息中的数据可以为引导信息列表、以及SOR header。
示例性的,以UPU流程为例,该请求消息可以为Nausf_UPUProctection消息,该请求消息中的数据可以为UPU数据。
S1302、统一数据管理网元接收鉴权服务网元发送的响应消息。
其中,该响应消息包括第一MAC、第一计数器的取值。
可选的,在请求消息还包括确认指示信息的情况下,该响应消息还包括第二期望MAC。
示例性的,在SOR流程中,第一MAC为SoR-MAC-I
AUSF,第一计数器为SOR计数器,第二期望MAC为SoR-XMAC-I
UE。上述三个参数的确定方式可以参考图9所示SOR流程中的介绍,在此不再赘述。
示例性的,在UPU流程中,第一MAC为UPU-MAC-I
AUSF,第一计数器为UPU计数器,第二期望MAC为UPU-XMAC-I
UE。上述三个参数的确定方式可以参考图10所示UPU流程中的介绍,在此不再赘述。
S1303、统一数据管理网元向终端设备发送第一信息。
其中,第一信息包括:数据、第一MAC以及第一计数器的取值。
作为一种可能的实现方式,统一数据管理网元先向为终端设备提供服务的移动管理网元发送第一信息。之后,该移动管理网元向终端设备发送第一信息。
示例性的,在SOR流程中,步骤S1303可以具体实现为图9中的步骤S404-S405。
示例性的,在UPU流程中,步骤S1303可以具体实现为图10中的步骤S504-S505。
S1304、如果统一数据管理网元在预设时间内未接收到来自终端设备的确认消息,则统一数据管理网元确定无法使用终端设备鉴权过程中生成的中间密钥对所述数据进行安全保护。
其中,上述预设时间的时长可以是统一数据管理根据操作维护管理(operation administration and maintenance,OAM)系统指示来配置的,或者统一数据管理网元根据实际情况配置的,本申请实施例对此不作限定。
作为一种可能的实现方式,统一数据管理网元在发送第一信息之后,为终端设备设置定时器。在定时器超时的情况下,若统一数据管理网元还未接收到来自终端设备的确认消息,则统一数据管理网元确定无法使用终端设备鉴权过程中生成的中间密钥对所述数据进行安全保护。
应理解,定时器的定时时长即为上文中预设时间的时长。
S1305、响应于确定结果,统一数据管理网元触发对终端设备的鉴权流程。
基于图18所示的实施例,统一数据管理网元在预设时间内未接收到来自终端设备 的确认消息,则统一数据管理网元可以获知终端设备不能成功地对第一信息进行安全校验,进而统一数据管理网元可以获知终端设备可能未存储有效的中间密钥。这种情况下,统一数据管理网元通过及时地触发鉴权流程,以保证后续过程中统一数据管理网元与终端设备之间的正常通信。
应理解,图18所示实施例可以解决上述场景三所存在的问题。
实现方式四、
如图19所示,图15中的步骤S1001可以具体实现为图19中的步骤S1401-S1405,图15中的步骤S1002可以具体实现为图19中的步骤S1406。
S1401-S1403、与步骤S1301-S1403相似,其具体细节可以参考图18所示实施例,在此不再赘述。
S1404、统一数据管理网元接收到来自于终端设备的确认消息。
其中,确认消息包括第二MAC。
在SOR流程中,第二MAC为SoR-MAC-I
UE。或者,在UPU流程中,第二MAC为UPU-MAC-I
UE。
示例性的,在SOR流程中,步骤S1304可以具体实现为图9中的步骤S407-S408。
示例性的,在UPU流程中,步骤S1304可以具体实现为图9中的步骤S507-S508。
在接收到确认消息之后,统一数据管理网元可以对确认消息进行校验。
示例性的,统一数据管理网元对确认消息进行校验,可以具体实现为:统一数据管理网元比较接收到的第二MAC和存储的第二期望MAC是否一致。若第二MAC与第二期望MAC一致,则确认消息的校验成功。反之,确认消息的校验失败。
S1405、在确认消息校验失败的情况下,统一数据管理网元确定无法使用终端设备鉴权过程中生成的中间密钥对所述数据进行安全保护。
S1406、响应于确定结果,统一数据管理网元触发对终端设备的鉴权流程。
基于图19所示实施例,当来自于终端设备的确认消息安全校验失败时,统一数据管理网元可以获知终端设备不能成功地对第一信息进行安全校验,进而统一数据管理网元可以获知终端设备可能未存储有效的中间密钥。这种情况下,统一数据管理网元通过及时地触发鉴权流程,以保证后续过程中统一数据管理网元与终端设备之间的正常通信。
应理解,图19所示实施例可以解决上述场景三所存在的问题。
实现方式五、
如图20所示,图15中的步骤S1001可以具体实现为图20中的步骤S1501-S1505,图15中的步骤S1002可以具体实现为图20中的步骤S1506。
S1501-S1503、与步骤S1301-S1304相似,其具体细节可以参考图18所示实施例,在此不再赘述。
S1504、统一数据管理网元接收到来自于终端设备的确认消息。
其中,确认消息包括第二MAC。
在SOR流程中,第二MAC为SoR-MAC-I
UE。或者,在UPU流程中,第二MAC为UPU-MAC-I
UE。
示例性的,在SOR流程中,步骤S1304可以具体实现为图9中的步骤S407-S408。
示例性的,在UPU流程中,步骤S1304可以具体实现为图9中的步骤S507-S508。
在接收到确认消息之后,统一数据管理网元可以对确认消息进行校验。
示例性的,统一数据管理网元对确认消息进行校验,可以具体实现为:统一数据管理网元比较接收到的第二MAC和存储的第二期望MAC是否一致。若第二MAC与第二期望MAC一致,则确认消息的校验成功。反之,确认消息的校验失败。
可选的,在确认消息校验成功的情况下,统一数据管理网元可以执行下述步骤S1505。
在本申请实施例中,确认消息包括第三指示信息。其中,第三指示信息用于指示安全校验失败的原因。
示例性的,安全校验失败的原因可以包括:中间密钥缺少,或者对数据进行安全保护的计数器即将翻转。
应理解,在SOR流程中,上述对数据进行安全保护的计数器即为SOR计数器。在UPU流程中,上述对数据进行安全保护的counter即为UPU计数器。
S1505、统一数据管理网元根据第三指示信息,确认定无法使用终端设备鉴权过程中生成的中间密钥对所述数据进行安全保护。
S1506、响应于确定结果,统一数据管理网元触发对终端设备的鉴权流程。
基于图20所示的实施例,统一数据管理网元能够根据终端设备返回的安全校验失败原因,及时触发鉴权流程,以保证后续过程中统一数据管理网元与终端设备之间的正常通信。
应理解,图20所示的实施例可以解决上述场景三所存在的问题。
当前,终端设备先在4G网络中注册,生成演进分组系统(evolved packet system,EPS)安全上下文;之后,终端设备从4G网络切换到5G网络,5G网络基于EPS安全上下文,推演出一个隐射的(mapped)5G NAS安全上下文,并启用该mapped 5G NAS安全上下文。这一过程中,由于4G网络中不存在AUSF,因此UDM不可能存储终端设备鉴权过程中涉及的AUSF的标识。这样一来,导致UDM需要向终端设备发送数据时,UDM无法确定应向哪一个AUSF请求对待发送给终端设备的数据进行安全保护,从而影响到UDM和终端设备之间的正常通信。
针对这一技术问题,本申请实施例提供一种通信方法。如图21所示,该通信方法包括以下步骤:
S1601、移动管理网元接收来自终端设备的注册请求消息。
其中,该注册请求消息用于从4G网络切换到5G网络。
可选的,从4G网络切换到5G网络,可以表述为:从S1接口切换到N1接口。
在本申请实施例中,移动管理网元可以为5G网络中的AMF。
应理解,当注册请求消息包括第七指示信息时,移动管理网元可以获知终端设备从4G网络切换到5G网络。其中,第七指示信息用于指示终端设备上一次接入的网络为4G网络。
可选的,当注册请求消息中的用户设备状态(UE status)信元中的EMM状态(state)被设置为EMM-REGISTERED时,说明注册请求消息携带第七指示信息。
该注册请求消息包括密钥集标识符,密钥集标识符包括安全上下文类型参数。
其中,安全上下文类型参数用于指示安全上下文的类型。
可选的,安全上下文的类型包括native或mapped。
示例性的,上述安全上下文为5G NAS安全上下文。
S1602、当安全上下文类型参数所指示的安全上下文的类型不为native时,移动管理网元发起终端设备的鉴权流程。
具体来说,移动管理网元根据安全上下文类型参数确定终端设备上是否存在原生的安全上下文。例如,注册请求消息中包括ngKSI,且ngKSI中的类型为映射的(mapped),并且注册请求中未携带“Non-current native NAS key set identifier”这个信元,则移动管理网元确定终端设备本地没有原生的安全上下文,进而触发终端的鉴权流程。
基于图21所示实施例,在终端设备从4G网络切换到5G网络的场景下,当安全上下文类型参数所指示的安全上下文的类型不为native时,移动管理网元可以确定终端设备未在5G网络中经过鉴权流程,因此统一数据管理网元并未存储终端设备鉴权流程所涉及的鉴权服务网元的标识。因此,移动管理网元发起终端设备的鉴权流程,以使得统一数据管理网元可以在鉴权流程中存储终端设备鉴权流程所涉及的鉴权服务网元的标识,从而保证统一数据管理网元和终端设备之间的正常通信。
上述主要从方法的角度对本申请实施例提供的方案进行了介绍。可以理解的是,终端为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端设备、移动管理网元以及统一数据管理网元进行功能模块的划分,例如,可以对应每一个功能划分每一个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以采用对应每一个功能划分每一个功能模块为例进行说明:
如图22所示,为本申请实施例提供的一种通信装置,该通信装置包括:处理模块201和通信模块202。
一个示例中,通信装置为终端设备,或者为应用于终端设备中的芯片。处理模块201用于支持终端设备执行图12中的步骤S701、S702、S704,图13中的步骤S801、S802、S804,图14中的步骤S902-S905。通信模块202用于支持终端设备执行图12中的步骤S702,图13中的步骤S803,图14中的步骤S901。
另一个示例中,通信装置为统一数据管理网元,或者为应用于统一数据管理网元中的芯片。处理模块201用于支持统一数据管理网元执行图15中的步骤S1001,图16中的步骤S1101,图18中的步骤S1304,图19中的步骤S1405,图20中的步骤S1505。通信模块202用于支持统一数据管理网元执行图15中的步骤S1002,图17中的步骤 S1201-S1202,图18中的步骤S1301-S1303,图19中的步骤S1401-S1404,图20中的步骤S1501-S1504。
另一个示例中,通信装置为移动管理网元,或者为应用于移动管理网元中的芯片。处理模块201用于支持移动管理网元执行图21中的步骤S1602。通信模块202用于支持移动管理网元执行图21中的步骤S1601。
可选,该通信装置还可以包括存储模块203,用于存储通信装置的程序代码和数据,数据可以包括不限于原始数据或者中间数据等。
其中,处理模块201可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
通信模块202可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:基站和终端设备之间的接口和/或其他接口。
存储模块203可以是存储器。
当处理模块201为处理器,通信模块202为通信接口,存储模块203为存储器时,本申请实施例所涉及的通信装置可以为图23所示。
参阅图23所示,该通信装置包括:处理器301、通信接口302、存储器303。可选的,通信装置还可以包括总线304。其中,通信接口302、处理器301以及存储器303可以通过总线304相互连接;总线304可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线304可以分为地址总线、数据总线、控制总线等。为便于表示,图23中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,本申请实施例还提供一种计算机可读存储介质,其上存储有指令,该指令被执行时执行上述方法实施例中的方法。
可选的,本申请实施例还提供一种包含指令的计算机程序产品,该指令被执行时执行上述方法实施例中的方法。
可选的,本申请实施例再提供一种芯片,该芯片包括处理器,用于实现本申请实施例的技术方法。在一种可能的设计中,该芯片还包括存储器,用于保存本申请实施例通信设备必要的程序指令和/或数据。在一种可能的设计中,该芯片还包括存储器,用于处理器调用存储器中存储的应用程序代码。该芯片,可以由一个或多个芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
结合本申请公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于RAM、闪存、ROM、可擦除可编程只读存储器(erasable programmable ROM,EPROM)、电可擦可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任 何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于核心网接口设备中。当然,处理器和存储介质也可以作为分立组件存在于核心网接口设备中。或者,存储器可以与处理器耦合,例如存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。存储器可以用于存储执行本申请实施例提供的技术方案的应用程序代码,并由处理器来控制执行。处理器用于执行存储器中存储的应用程序代码,从而实现本申请实施例提供的技术方案。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (38)
- 一种通信方法,其特征在于,所述方法应用于配置有(全球)用户身份模块(U)SIM卡的终端设备,所述(U)SIM卡中存储有密钥集标识符,所述方法包括:所述终端设备在需要发起初始注册流程时,确定是否存在有效的中间密钥;如果不存在所述有效的中间密钥,则所述终端设备删除所述密钥集标识符;所述终端设备向移动管理网元发送初始注册请求消息,所述初始注册请求消息不携带所述密钥集标识符以触发对所述终端设备的鉴权流程;所述终端设备在鉴权流程中得到鉴权密钥信息,所述鉴权密钥信息包括所述有效的中间密钥。
- 根据权利要求1所述的方法,其特征在于,所述密钥集标识符为所述终端设备通过第一接入技术接入网络时生成的密钥集标识符;所述终端设备向移动管理网元发送初始注册请求消息,包括:所述终端设备使用所述第一接入技术向所述移动管理网元发送所述初始注册请求消息。
- 根据权利要求1或2所述的方法,其特征在于,所述终端设备删除所述密钥集标识符,包括:所述终端设备将所述密钥集标识符的值设置为第一值,所述第一值用于指示“没有可用的密钥”。
- 根据权利要求1至3任一项所述的方法,其特征在于,所述初始注册请求消息不携带所述密钥集标识符,包括:所述初始注册请求消息包括第一指示信息,所述第一指示信息用于指示没有可用的密钥。
- 根据权利要求1至4任一项所述的方法,其特征在于,所述终端设备还配置有非易失性存储器;所述终端设备确定是否存在有效的中间密钥,包括:所述终端设备确定所述非易失性存储器中的终端身份标识和所述(U)SIM卡中的终端身份标识是否一致;在所述非易失性存储器中的终端身份标识和所述(U)SIM卡中的终端身份标识一致的情况下,所述终端设备确定所述非易失性存储器和所述(U)SIM卡中是否存在所述有效的中间密钥;或者,在所述非易失性存储器中的终端身份标识和所述(U)SIM卡中的终端身份标识不一致的情况下,所述终端设备确定所述(U)SIM卡中是否存在所述有效的中间密钥。
- 根据权利要求1至5任一项所述的方法,其特征在于,所述鉴权密钥信息还包括:漫游引导SOR的计数器的取值,和/或用户设备参数更新UPU的计数器的取值。
- 根据权利要求1至6任一项所述的方法,其特征在于,所述有效的中间密钥包括Kausf。
- 根据权利要求1至7任一项所述的方法,其特征在于,所述密钥集标识符为下一代网络密钥集标识符ngKSI。
- 一种通信方法,其特征在于,所述方法包括:终端设备确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值;当所述第一计数器的取值大于或等于所述预设值时,所述终端设备删除密钥集标识符;所述终端设备向移动管理网元发送注册请求消息,所述注册请求消息不携带所述密钥集标识符以触发对所述终端设备的鉴权流程;所述终端设备在所述鉴权流程中得到更新后的鉴权密钥信息,所述更新后的鉴权密钥信息包括更新后的中间密钥和数值为0的所述第一计数器。
- 根据权利要求9所述的方法,其特征在于,所述密钥集标识符为所述终端设备通过第一接入技术接入网络时生成的密钥集标识符;所述终端设备向移动管理网元发送注册请求消息,包括:所述终端设备使用所述第一接入技术向所述移动管理网元发送所述注册请求消息。
- 根据权利要求9或10所述的方法,其特征在于,所述终端设备删除所述密钥集标识符,包括:所述终端设备将所述密钥集标识符的值设置为第一值,所述第一值用于指示“没有可用的密钥”。
- 根据权利要求9至11任一项所述的方法,其特征在于,所述终端设备删除所述密钥集标识符,包括:当所述终端设备处于连接态时,所述终端设备释放与网络设备之间的连接;所述终端设备在释放与网络设备之间的连接之后,删除所述密钥集标识符。
- 根据权利要求9至12任一项所述的方法,其特征在于,所述注册请求消息不携带所述密钥集标识符,包括:所述注册请求消息包括第一指示信息,所述第一指示信息用于指示没有可用的密钥。
- 根据权利要求9至13任一项所述的方法,其特征在于,所述方法还包括:所述终端设备接收第一信息,所述第一信息包括数据、第二计数器的取值、以及消息认证码MAC;所述终端设备比较所述第二计数器的取值是否大于所述第一计数器的取值;当所述第二计数器的取值大于所述第一计数器的取值时,所述终端设备根据所述第一信息中的所述数据和所述第二计数器的取值,验证所述MAC;当所述MAC通过验证时,所述终端设备以所述第二计数器的取值更新所述第一计数器的取值。
- 根据权利要求14所述的方法,其特征在于,所述终端设备确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值,包括:所述终端设备确定更新后的所述第一计数器的取值是否大于或等于所述预设值。
- 根据权利要求9至15任一项所述的方法,其特征在于,所述第一计数器包括:漫游引导SOR的计数器,和/或用户设备参数更新UPU的计数器。
- 根据权利要求9至16任一项所述的方法,其特征在于,所述中间密钥包括Kausf。
- 根据权利要求9至17任一项所述的方法,其特征在于,所述密钥集标识符为 下一代网络密钥集标识符ngKSI。
- 一种通信装置,其特征在于,包括:处理模块,用于在需要发起初始注册流程时,确定是否存在有效的中间密钥;如果不存在所述有效的中间密钥,则备删除(全球)用户身份模块(U)SIM卡中存储的密钥集标识符;通信模块,用于向移动管理网元发送初始注册请求消息,所述初始注册请求消息不携带所述密钥集标识符以触发对所述通信装置的鉴权流程;所述处理模块,用于在鉴权流程中得到鉴权密钥信息,所述鉴权密钥信息包括所述有效的中间密钥。
- 根据权利要求19所述的通信装置,其特征在于,所述密钥集标识符为所述通信装置通过第一接入技术接入网络时生成的密钥集标识符;所述通信模块,具体用于使用所述第一接入技术向所述移动管理网元发送所述初始注册请求消息。
- 根据权利要求19或20所述的通信装置,其特征在于,所述处理模块,具体用于将所述密钥集标识符的值设置为第一值,所述第一值用于指示“没有可用的密钥”。
- 根据权利要求19至21任一项所述的通信装置,其特征在于,所述初始注册请求消息不携带所述密钥集标识符,包括:所述初始注册请求消息包括第一指示信息,所述第一指示信息用于指示没有可用的密钥。
- 根据权利要求19至22任一项所述的通信装置,其特征在于,所述通信装置还包括存储模块;所述处理模块,具体用于确定所述存储模块中的终端身份标识和所述(U)SIM卡中的终端身份标识是否一致;在所述存储模块中的终端身份标识和所述(U)SIM卡中的终端身份标识一致的情况下,确定所述存储模块和所述(U)SIM卡中是否存在所述有效的中间密钥;或者,在所述存储模块中的终端身份标识和所述(U)SIM卡中的终端身份标识不一致的情况下,确定所述(U)SIM卡中是否存在所述有效的中间密钥。
- 根据权利要求19至23任一项所述的通信装置,其特征在于,所述鉴权密钥信息还包括:漫游引导SOR的计数器的取值,和/或用户设备参数更新UPU的计数器的取值。
- 根据权利要求19至24任一项所述的通信装置,其特征在于,所述有效的中间密钥包括Kausf。
- 根据权利要求19至25任一项所述的通信装置,其特征在于,所述密钥集标识符为下一代网络密钥集标识符ngKSI。
- 一种通信装置,其特征在于,包括:处理模块,用于确定鉴权密钥信息中的第一计数器的取值是否大于或等于预设值;当所述第一计数器的取值大于或等于所述预设值时,删除密钥集标识符;通信模块,用于向移动管理网元发送注册请求消息,所述注册请求消息不携带所述密钥集标识符以触发对所述通信装置的鉴权流程;所述处理模块,还用于在所述鉴权流程中得到更新后的鉴权密钥信息,所述更新后的鉴权密钥信息包括更新后的中间密钥和数值为0的所述第一计数器。
- 根据权利要求27所述的通信装置,其特征在于,所述密钥集标识符为所述通信装置通过第一接入技术接入网络时生成的密钥集标识符;所述通信模块,具体使用所述第一接入技术向所述移动管理网元发送所述注册请求消息。
- 根据权利要求27或28所述的通信装置,其特征在于,所述处理模块,具体用于将所述密钥集标识符的值设置为第一值,所述第一值用于指示“没有可用的密钥”。
- 根据权利要求27至29任一项所述的通信装置,其特征在于,所述处理模块,具体用于当所述通信装置处于连接态时,释放与网络设备之间的连接;在释放与网络设备之间的连接之后,删除所述密钥集标识符。
- 根据权利要求27至30任一项所述的通信装置,其特征在于,所述注册请求消息不携带所述密钥集标识符,包括:所述注册请求消息包括第一指示信息,所述第一指示信息用于指示没有可用的密钥。
- 根据权利要求27至31任一项所述的通信装置,其特征在于,所述通信模块,还用于接收第一信息,所述第一信息包括数据、第二计数器的取值、以及消息认证码MAC;所述处理模块,还用于比较所述第二计数器的取值是否大于所述第一计数器的取值;当所述第二计数器的取值大于所述第一计数器的取值时,根据所述第一信息中的所述数据和所述第二计数器的取值,验证所述MAC;当所述MAC通过验证时,以所述第二计数器的取值更新所述第一计数器的取值。
- 根据权利要求32所述的通信装置,其特征在于,所述处理模块,具体用于确定更新后的所述第一计数器的取值是否大于或等于所述预设值。
- 根据权利要求27至33任一项所述的通信装置,其特征在于,所述第一计数器包括:漫游引导SOR的计数器,和/或用户设备参数更新UPU的计数器。
- 根据权利要求27至34任一项所述的通信装置,其特征在于,所述中间密钥包括Kausf。
- 根据权利要求27至35任一项所述的通信装置,其特征在于,所述密钥集标识符为下一代网络密钥集标识符ngKSI。
- 一种芯片,其特征在于,包括处理器和通信接口,所述处理器用于执行计算机程序指令,使得所述通信装置实现权利要求1至18任一项所述的通信方法。
- 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令在计算机上运行时,使得所述计算机执行权利要求1至18任一项所述的通信方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/119728 WO2022067803A1 (zh) | 2020-09-30 | 2020-09-30 | 通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116391376A true CN116391376A (zh) | 2023-07-04 |
Family
ID=80949438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080105654.4A Pending CN116391376A (zh) | 2020-09-30 | 2020-09-30 | 通信方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116391376A (zh) |
| WO (1) | WO2022067803A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024031724A1 (zh) * | 2022-08-12 | 2024-02-15 | 北京小米移动软件有限公司 | 终端设备能力指示方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610506B (zh) * | 2008-06-16 | 2012-02-22 | 上海华为技术有限公司 | 防止网络安全失步的方法和装置 |
| CN103476028B (zh) * | 2013-08-30 | 2017-04-05 | 大唐移动通信设备有限公司 | Nas count翻转时nas消息的处理方法及装置 |
| WO2019017689A1 (en) * | 2017-07-18 | 2019-01-24 | Samsung Electronics Co., Ltd. | METHOD AND SYSTEM FOR DETECTING ANTI-DIRECTION OF ROAMING ACTIVITY IN A WIRELESS COMMUNICATION NETWORK |
| CN111328112B (zh) * | 2018-12-14 | 2021-08-13 | 华为技术有限公司 | 一种安全上下文隔离的方法、装置及系统 |
-
2020
- 2020-09-30 CN CN202080105654.4A patent/CN116391376A/zh active Pending
- 2020-09-30 WO PCT/CN2020/119728 patent/WO2022067803A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022067803A1 (zh) | 2022-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11829774B2 (en) | Machine-to-machine bootstrapping | |
| JP6812421B2 (ja) | モビリティ管理エンティティ再配置を伴うモビリティ手順のための装置および方法 | |
| US10743176B1 (en) | Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile | |
| JP2020065276A (ja) | ワイヤレス通信のための装置および方法 | |
| RU2697645C1 (ru) | Способ защиты сообщений и соответствующее устройство и система | |
| KR20180023913A (ko) | 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증 | |
| US20230224704A1 (en) | Using a pseudonym for access authentication over non-3gpp access | |
| WO2022067803A1 (zh) | 通信方法及装置 | |
| CN112788598B (zh) | 一种保护认证流程中参数的方法及装置 | |
| CN114223231B (zh) | 通信方法及装置 | |
| WO2022228455A1 (zh) | 一种通信方法以及相关装置 | |
| EP4336879A1 (en) | Method for authenticating nswo service, and device and storage medium | |
| WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| WO2023230924A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
| WO2022257878A1 (zh) | 密钥材料的发送方法、获取方法、信息传输方法及设备 | |
| CN117597962A (zh) | 认证方法、装置、通信设备和存储介质 | |
| CN117256166A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| CN117795915A (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
| CN117795905A (zh) | Api调用者认证方法以及装置、通信设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |