CN117062070A - 一种通信方法及通信装置 - Google Patents

一种通信方法及通信装置 Download PDF

Info

Publication number
CN117062070A
CN117062070A CN202210489861.5A CN202210489861A CN117062070A CN 117062070 A CN117062070 A CN 117062070A CN 202210489861 A CN202210489861 A CN 202210489861A CN 117062070 A CN117062070 A CN 117062070A
Authority
CN
China
Prior art keywords
network
access
information
authentication information
iops
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210489861.5A
Other languages
English (en)
Inventor
雷骜
吴义壮
杨艳梅
崔洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210489861.5A priority Critical patent/CN117062070A/zh
Priority to PCT/CN2023/090404 priority patent/WO2023213208A1/zh
Publication of CN117062070A publication Critical patent/CN117062070A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Abstract

本申请实施例提供一种通信方法及通信装置,涉及通信技术领域,第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息,第一统一数据管理单元属于第一网络;第一网络与第二网络不同;第一统一数据管理单元将第二认证信息发送至第二统一数据管理单元,第二统一数据管理单元属于第二网络。本申请中,接入第二网络的第二认证信息是基于接入第一网络的第一认证信息确定的,该方式可降低接入认证的复杂度,提高数据处理效率。

Description

一种通信方法及通信装置
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种通信方法及通信装置。
背景技术
公共安全隔离运营(Isolated e-utran operation for public safety,IOPS)技术在3GPP R13版本中引入长期演进技术(long term evolution,LTE)系统。LTE标准技术规范(technical specification,TS)TS 23.401和TS33.401中对于IOPS场景的定义主要集中于用户设备(user equipment,UE)从宏网接入切换到IOPS网络。
UE在与宏网和IOPS网络进行主认证时,需要使用不同与宏网签约时的国际移动用户识别码(international mobile subscriber identity,IMSI)和不同的根密钥。即宏网核心网中只会存储UE与宏网进行主认证时使用的IMSI和根密钥,而IOPS核心网中只会存储UE与IOPS网络进行主认证时使用的IMSI和根密钥,UE在与不同网络进行主认证时,启用对应的IMSI和根密钥。
发明内容
本申请提供一种通信方法及通信装置,以降低接入认证的复杂度,提高数据处理效率。
第一方面,本申请提供一种通信方法,包括:
第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息,第一统一数据管理单元属于第一网络;第一网络与第二网络不同;第一统一数据管理单元将第二认证信息发送至第二统一数据管理单元,第二统一数据管理单元属于第二网络。
本申请中,第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息可以理解为第一统一数据管理单元参考第一认证信息确定第二认证信息,或者基于第一认证信息中的某些参数推演第二认证信息,本申请在此不对如何确定第二认证信息进行限定。其中,第一网络和第二网络为两个不同的网络,通常是终端若可以接入两个网络需要预配置两套不同的认证信息分别与对应的网络进行接入认证,但是本申请中,第一统一数据管理单元可基于某个网络的认证信息确定另一网络的认证信息,通过该方式终端可以只预配置一套认证信息,本方式减少接入认证的复杂度,且减少了设备数据计算量,且在终端设备和统一数据管理单元中也无需存储大量的认证信息,还可以减少终端设备和统一数据管理单元中的数据存储量,节约设备的存储空间,进一步地采用本申请的方案可以提高数据处理效率。
在一种可选的方式中,第一统一数据管理单元确定终端设备存在接入第一网络的权限的情况下,根据第一认证信息确定第二认证信息。
本申请中,终端设备存在接入第一网络的权限可以理解为终端设备支持在第一网络下接收通信服务,如,通过第一网络发送数据,接收数据等,第一统一数据管理单元可从其他网元如接入和移动管理网元中获取终端设备是否存在接入第一网络的权限,若确定存在,则根据第一认证信息确定第二认证信息,若确定不存在接入第一网络的权限,可以不确定第二认证信息,本申请在根据第一认证信息确定第二认证信息之前,确定终端设备存在接入第一网络的权限,避免计算不支持在第一网络下接收服务的终端设备的第二认证信息。
在一种可选的方式中,第一统一数据管理单元接收来自接入和移动管理网元的指示信息,指示信息用于触发第一统一数据管理单元确定第二认证信息。
本申请中,第一统一数据管理网元可以接收到指示信息后,只在收到指示信息的情况下,基于指示信息确定第二认证信息,该方式可以准确确定第二认证信息的时机,保证数据处理的效率。
在一种可选的方式中,第一统一数据管理单元将第一认证信息作为输入参数,生成第二认证信息。
通过该方式推演的第二认证信息可以适配两个网络的需求,避免采用两套不同的认证信息与不同的网络进行接入认证,可以提高数据处理效率。
在一种可选的方式中,第一认证信息包括以下中的一种或多种:机密性密钥CK、完整性密钥IK、序号(sequence number,SQN)、AUSF密钥KAUSF、SEAF密钥KSEAF、AMF密钥KAMF
第一认证信息中包括上述参数可保证第一统一数据管理单元推演出第二认证信息。
在一种可选的方式中,第一统一数据管理单元将终端设备的标识信息、第二认证信息发送至第二统一数据管理单元,终端设备的标识信息与第二认证信息关联。
本申请中,由于第二统一数据管理单元可能接收多个终端设备的第二认证信息,因此第一统一数据管理单元将终端设备的标识信息以及第二认证信息发送至第二统一数据管理单元,其中终端设备的标识信息与第二认证信息存在对应关系,便于第二统一数据管理单元知晓第二认证信息与终端设备的对应关系。
在一种可选的方式中,第一统一数据管理单元接收来自接入和移动管理网元的第二统一数据管理单元标识,第二统一数据管理单元标识用于标识特定的第二统一数据管理网元。本申请中,由于第二统一数据管理单元可能存在多个,第一统一数据管理单元接收来自接入和移动管理网元的第二统一数据管理单元标识,便于第一统一数据管理单元知晓在获取到第二认证信息后,将第二认证信息发送至哪个第二统一数据管理单元。
在一种可选的方式中,第一统一数据管理单元通过接入和移动管理网元、无线接入网设备将第二认证信息发送至第二统一数据管理单元;或,第一统一数据管理单元通过网络开放功能(Network Exposure Function,NEF)将第二认证信息发送至给第二统一数据管理单元。
在一种可选的方式中,第二认证信息通过密钥保护信息进行安全保护。
通过该方式可保证第二认证信息传输的安全性。
在一种可选的方式中,第一统一数据管理单元接收来自接入和移动管理网元的第二网络的标识信息;第一统一数据管理单元根据第二网络的标识信息确定密钥保护信息。
本申请中,第二网络标识信可能与密钥保护信息存在关联,不同的第二网络可能对应不同的密钥保护信息,通过该方式可以保证第一统一数据管理单元与不同的第二网络之间数据传输的安全性。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
第二方面,本申请提供一种通信方法,包括:
接入和移动管理网元确定第二网络的标识信息;第一统一数据管理单元属于第一网络;第一网络与第二网络不同;接入和移动管理网元向第一统一数据管理单元发送第二网络的标识信息。
本申请中,第一统一数据管理网元在接收到第二网络的标识信息的情况下,才根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息,该方式可以准确确定第二认证信息的时机,保证数据处理的效率。
在一种可选的方式中,接入和移动管理网元触发指示信息,指示信息用于指示第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息;接入和移动管理网元向第一统一数据管理单元发送指示信息。
本申请中,第一统一数据管理网元在接收到指示信息的情况下,才根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息,该方式可以准确确定第二认证信息的时机,保证数据处理的效率。
在一种可选的方式中,接入和移动管理网元根据与终端设备接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
需要说明的是,与无线接入网络设备存在共部署的第二网络,也即无线接入网络设备可以连接的第二网络,但是在实际应用时,该连接可能进行创建也可能未创建,接入和移动管理网元可基于此确定第二网络的标识信息,该方式可以防止终端设备接入的无线接入网络设备不支持切换到第二网络导致浪费处理资源确定第二认证消息。
在一种可选的方式中,接入和移动管理网元根据从终端设备获取终端设备的能力信息,接入和移动管理网元根据终端设备的能力信息,确定终端设备具有接入第二网络的能力;接入和移动管理网元根据终端设备具有接入第二网络的能力以及接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
该方式可以防止终端设备接入的无线接入网络设备不支持切换到第二网络,和终端设备不支持接入第二网络能力,导致浪费处理资源确定第二认证消息。
在一种可选的方式中,接入和移动管理网元接收来自第一统一数据管理单元的第二网络的标识信息的请求消息;接入和移动管理网元基于请求消息确定第二网络的标识信息。
需要说明的是,接入和移动管理网元在接收到第一统一数据管理单元的第二网络标识的请求消息后,查询终端设备接入的无线接入网设备是否存在共部署的第二网络,若存在共部署的第二网络,可将第二网络标识信息直接发送给第一统一数据管理单元,若终端设备接入的无线接入网设备不存在共部署的第二网络,则回复第一统一数据管理网元拒绝响应,通过该方式可以防止接入和移动管理网元未存储网络标识信息导致无法发送第二认证消息给准确的第二网络。需要说明的是,接入和移动管理网元存在共部署的第二网络,即无线接入网络设备可以连接的第二网络,但是在实际应用时,该连接可能进行创建也可能未创建,接入和移动管理网元可基于此确定第二网络的标识信息;接入和移动管理网元不存在共部署的第二网络,即无线接入网络设备没有可以连接的第二网络。
在一种可选的方式中,接入和移动管理网元向终端设备发送用于指示终端设备生成第二认证信息的指示信息。
通过该方式终端设备则知晓第二认证信息已经生成,终端设备可以随时准备接入第二网络。
在一种可选的方式中,第二认证信息通过密钥保护信息进行安全保护。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
第三方面,本申请提供一种通信方法,包括:
第二统一数据管理单元接收来自第一统一数据管理网元的终端设备与第二网络进行接入认证所用的第二认证信息;第二统一数据管理单元根据第二认证信息对终端设备进行接入认证。
在一种可选的方式中,第二认证信息是第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息确定的;第一统一数据管理单元属于第一网络;第二统一数据管理单元属于第二网络;第一网络与第二网络不同。
在一种可选的方式中,第二认证信息通过密钥保护信息进行保护。
在一种可选的方式中,第二统一数据管理单元根据第二认证信息对终端设备进行接入认证之前,第二统一数据管理单元通过密钥解密信息对密钥保护信息保护的第二认证信息进行解密,确定第二认证信息。
在一种可选的方式中,密钥解密信息与第二网络的标识信息存在关联。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
第四方面,本申请实施例提供一种通信装置,所述通信装置可以为第一统一数据管理单元或者设置在第一统一数据管理单元内部的芯片,还可以为接入和移动管理网元或者设置在接入和移动管理网元内部的芯片,还可以为第二统一数据管理单元或者设置在第二统一数据管理单元内部的芯片。所述通信装置具备实现上述第一方面至第三方面中任一方面的功能,比如,所述通信装置包括执行上述第一方面至第三方面中任一方面涉及步骤所对应的模块或单元或手段(means),所述功能或单元或手段可以通过软件实现,或者通过硬件实现,也可以通过硬件执行相应的软件实现。
在一种可能的设计中,所述通信装置包括处理单元、收发单元,其中,收发单元可以用于收发信号,以实现该通信装置和其它装置之间的通信,比如,收发单元用于接收来自终端设备的配置信息;处理单元可以用于执行该通信装置的一些内部操作。所述收发单元可以称为输入输出单元、通信单元等,所述收发单元可以是收发器;所述处理单元可以是处理器。当通信装置是通信设备中的模块(如,芯片)时,所述收发单元可以是输入输出接口、输入输出电路或输入输出管脚等,也可以称为接口、通信接口或接口电路等;所述处理单元可以是处理器、处理电路或逻辑电路等。
在又一种可能的设计中,所述通信装置包括处理器,还可以包括收发器,所述收发器用于收发信号,所述处理器执行程序指令,以完成上述第一方面至第三方面中任意可能的设计或实现方式中的方法。其中,所述通信装置还可以包括一个或多个存储器,所述存储器用于与处理器耦合,所述存储器可以保存实现上述第一方面至第三方面中任一方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令,当所述计算机程序或指令被执行时,使得所述通信装置实现上述第一方面至第三方面任意可能的设计或实现方式中的方法。
在又一种可能的设计中,所述通信装置包括处理器,处理器可以用于与存储器耦合。所述存储器可以保存实现上述第一方面至第三方面中任一方面涉及的功能的必要计算机程序或指令。所述处理器可执行所述存储器存储的计算机程序或指令,当所述计算机程序或指令被执行时,使得所述通信装置实现上述第一方面至第三方面任意可能的设计或实现方式中的方法。
在又一种可能的设计中,所述通信装置包括处理器和接口电路,其中,处理器用于通过所述接口电路与其它装置通信,并执行上述第一方面至第三方面任意可能的设计或实现方式中的方法。
可以理解地,上述第四方面中,处理器可以通过硬件来实现也可以通过软件来实现,当通过硬件实现时,该处理器可以是逻辑电路、集成电路等;当通过软件来实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现。此外,以上处理器可以为一个或多个,存储器可以为一个或多个。存储器可以与处理器集成在一起,或者存储器与处理器分离设置。在具体实现过程中,存储器可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例对存储器的类型以及存储器与处理器的设置方式不做限定。
第五方面,本申请实施例提供一种通信系统,该通信系统包括上述第一方面到第三方面中的第一统一数据管理单元、接入和移动管理网元以及第二统一数据管理单元。
第六方面,本申请提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述第一方面到第三方面中任一种可能的设计中所述的方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第七方面,本申请还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机可读指令,当计算机可读指令在计算机上运行时,以使得计算机执行如第一方面到第三方面中任一种可能的设计中的方法。
第八方面,本申请提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面到第三方面的各实施例的方法。
上述第二方面至第八方面可以达到的技术效果,请参照上述第一方面中相应可能设计方案可以达到的技术效果说明,本申请这里不再重复赘述。
附图说明
图1示出了本申请实施例提供的一种通信系统的示意图;
图2A示出了一种应用场景的示意图;
图2B示出了另一种应用场景的示意图;
图3示出了UE从宏网切换到IOPS网络的流程示意图;
图4示出了本申请实施例提供的一种通信方法的流程示意图;
图5示出了本申请实施例提供的另一种通信方法的流程示意图;
图6示出了本申请实施例提供的另一种通信方法的流程示意图;
图7示出了本申请实施例提供的另一种通信方法的流程示意图;
图8示出了本申请实施例提供的通信装置的结构示意图;
图9示出了本申请实施例提供的通信装置的结构示意图;
图10示出了本申请实施例提供的通信装置的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。因此装置与方法的实施可以相互参见,重复之处不再赘述。
图1示例性示出一种移动通信网络架构的示意图,该网络架构中包括终端设备、接入网设备、接入和移动管理功能、会话管理功能、用户面功能、策略控制功能、网络切片选择功能、网络切片特定身份验证和授权功能、网络仓库功能、网络数据分析功能、统一数据管理功能、统一数据存储功能、认证服务功能、网络能力开放功能、终端无线能力管理功能、绑定支撑功能、应用功能,以及连接运营商网络的数据网络(data network,DN)。终端设备可通过当前位置的接入节点来接入无线网络。终端设备可通过接入网设备、用户面功能向数据网络发送业务数据,以及从数据网络接收业务数据。
接入和移动管理功能,主要用于移动网络中的终端设备的附着、移动性管理、跟踪区更新流程等。在5G通信系统中,接入和移动管理功能可以是接入与移动性管理功能(access and mobility management function,AMF),在未来的通信系统(如6G通信系统)中,接入和移动管理功能可以仍是AMF,或者也可以具有其它名称,本申请并不限定。
会话管理功能,主要用于移动网络中的会话管理,如会话建立、修改、释放。具体功能如为终端设备分配互联网协议地址、选择提供报文转发功能的用户面功能等。在5G通信系统中,会话管理功能可以是会话管理功能(session management function,SMF),在未来的通信系统(如6G通信系统)中,会话管理功能可以仍是SMF,或者也可以具有其它名称,本申请并不限定。
用户面功能,主要用于对用户报文进行处理,如转发和计费等。在5G通信系统中,用户面功能可以是用户面功能(user plane function,UPF),在未来的通信系统(如6G通信系统)中,用户面功能可以仍是UPF,或者也可以具有其它名称,本申请并不限定。
策略控制功能,包含策略控制功能、计费策略控制功能、服务质量(quality ofservice,QoS)控制等。在5G通信系统中,策略控制功能可以是策略控制功能(policycontrol function,PCF),在未来的通信系统(如6G通信系统)中,策略控制功能可以仍是PCF,或者也可以具有其它名称,本申请并不限定。
网络切片选择功能,主要用于为终端设备的业务选择合适的网络切片。在5G通信系统中,网络切片选择功能可以是网络切片选择功能(network slice selectionfunction,NSSF),在未来的通信系统(如6G通信系统)中,网络切片选择功能可以仍是NSSF,或者也可以具有其它名称,本申请并不限定。
网络切片特定身份验证和授权功能(network slice-specific authenticationand authorization function,NSSAAF)主要用于针对终端设备接入特定网络切片的验证和授权。
网络仓库功能,主要用于提供网络功能或网络功能所提供服务的注册和发现。在5G通信系统中,网络仓库功能可以是网络仓库功能(network repository function,NRF),在未来的通信系统(如6G通信系统)中,网络仓库功能可以仍是NRF,或者也可以具有其它名称,本申请并不限定。
网络数据分析功能,可以从各个网络功能,例如策略控制功能、会话管理功能、用户面功能、接入管理功能、应用功能(通过网络能力开放功能)收集数据,并进行分析和预测。在5G通信系统中,网络数据分析功能可以是网络数据分析功能(network dataanalytics function,NWDAF),在未来的通信系统(如6G通信系统)中,网络数据分析功能可以仍是NWDAF,或者也可以具有其它名称,本申请并不限定。
统一数据管理功能,主要用于管理终端设备的签约信息。在5G通信系统中,统一数据管理功能可以是统一数据管理(unified data management,UDM)功能,在未来的通信系统(如6G通信系统)中,统一数据管理功能可以仍是UDM功能,或者也可以具有其它名称,本申请并不限定。
统一数据存储功能,主要用于存储结构化的数据信息,其中包括签约信息、策略信息,以及有标准格式定义的网络数据或业务数据。在5G通信系统中,统一数据存储功能可以是统一数据存储(unified data repository,UDR)功能,在未来的通信系统(如6G通信系统)中,统一数据存储功能可以仍是UDR功能,或者也可以具有其它名称,本申请并不限定。
认证服务功能,主要用于对终端设备进行安全认证。在5G通信系统中,认证服务功能可以是认证服务端功能(authentication server function,AUSF),在未来的通信系统(如6G通信系统)中,认证服务功能可以仍是AUSF,或者也可以具有其它名称,本申请并不限定。
网络能力开放功能,可以将网络的部分功能有控制地暴露给应用。在5G通信系统中,网络能力开放功能可以是NEF,在未来的通信系统(如6G通信系统)中,网络能力开放功能可以仍是NEF,或者也可以具有其它名称,本申请并不限定。
终端无线能力管理功能,用于存储和管理网络内终端设备的无线能力。在5G通信系统中,终端无线能力管理功能可以是终端无线能力管理功能(UE radio capabilitymanagement function,UCMF),在未来的通信系统(如6G通信系统)中,终端无线能力管理功能可以仍是UCMF,或者也可以具有其它名称,本申请并不限定。
绑定支撑功能,用于维护用户网络之间互连的协议(Internet Protocol,IP)地址和服务功能的对应关系。在5G通信系统中,绑定支撑功能可以是绑定支撑功能(bindingsupport function,BSF),在未来的通信系统(如6G通信系统)中,绑定支撑功能可以仍是BSF,或者也可以具有其它名称,本申请并不限定。
应用功能,可以向运营商的通信网络的控制面功能提供各类应用的服务数据,或者从通信网络的控制面功能获得网络的数据信息和控制信息。在5G通信系统中,应用功能可以是应用功能(application function,AF),在未来的通信系统(如6G通信系统)中,应用功能可以仍是AF,或者也可以具有其它名称,本申请并不限定。
数据网络,主要用于为终端设备提供数据传输服务。数据网络可以是私有网络,如局域网,也可以是公用数据网(public data network,PDN),如因特网(Internet),还可以是运营商合并部署的专有网络,如配置的IP多媒体网络子系统(IP multimedia corenetwork subsystem,IMS)服务。
本申请实施例中所涉及的终端(也即终端设备),是用户侧的一种用于接收或发射信号的实体,用于向网络设备发送上行信号,或从网络设备接收下行信号。包括向用户提供语音和/或数据连通性的设备,例如可以包括UE、具有无线连接功能的手持式设备、或连接到无线调制解调器的处理设备。该终端设备可以经无线接入网(radio access network,RAN)与核心网进行通信,与RAN交换语音和/或数据。该终端设备可以包括UE、车用无线通信技术(vehicle to X,V2X)终端设备、无线终端设备、移动终端设备、设备到设备通信(device-to-device,D2D)终端设备、机器到机器/机器类通信(machine-to-machine/machine-type communications,M2M/MTC)终端设备、IoT终端设备、订户单元(subscriberunit)、订户站(subscriber station),移动站(mobile station)、远程站(remotestation)、AP、远程终端(remote terminal)、接入终端(access terminal)、用户终端(userterminal)、用户代理(user agent)、或用户装备(user device)、可穿戴设备、车载设备、无人机等。
作为示例而非限定,在本申请实施例中,该终端设备还可以是可穿戴设备。可穿戴设备也可以称为穿戴式智能设备或智能穿戴式设备等,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能头盔、智能首饰等。
需要说明的是,本申请实施例中功能还可以称为网元、网络功能或功能实体、设备等,例如,接入和移动管理功能还可以称为接入和移动管理网元、或接入和移动管理网络功能、或接入和移动管理功能实体等。各个功能的名称在本申请中不做限定,本领域技术人员可以将上述功能的名称更换为其它名称而执行相同的功能,均属于本申请保护的范围。
图2A示出了本申请提供的一种应用场景示意图,该场景以IOPS网络与宏网为例,当然在实际应用时也可以是私网和宏网,本申请并不具体限定,通常终端设备在无回传通信条件下通过具有IOPS功能的LTE接入网设备(IOPS-capable eNB)为公共安全用户提供通信服务。其中无回传通信即接入网设备与LTE宏网核心网(macro EPC)之间链接中断的情况。在地震等灾难,或回传光纤故障等情况下,回传通信中断,此时具有IOPS功能的LTE接入网设备(IOPS-capable eNodeBs)建立与IOPS网络的回传连接,形成可为用于提供本地连接的IOPS网络(IOPS network),终端设备通过IOPS网络在IOPS模式(IOPS mode)下接收通信服务,以确保数据的可靠传输。此外不具有IOPS功能的LTE接入网设备(IOPS-IncapableeNodeBs)不能建立与IOPS网络的回传连接。
图2B示出了本申请提供的另一应用场景示意图,该场景以IOPS网络为例,当然在实际应用时也可以是私网,本申请并不具体限定,在没有IOPS-capable eNB为公共安全用户提供通信服务的情况下(也即No infrastracture),在eNodeB部署(eNodeB Deployed)时,使用具有IOPS功能的接入网设备(Nomadlc eNodeB)(该接入网设备是可移动的,类似于用户备着一个小接入网设备)实现与IOPS网络的回传连接建立,形成可为用于提供本地连接的IOPS核心网(Local EPC),形成可为用于提供本地连接的IOPS网络(IOPS network)。
现有LTE标准技术规范(technical specification,TS)TS 23.401和TS 33.401中对于IOPS场景的定义主要集中于UE从宏网接入切换到IOPS网络接入的流程。其中LTE对于IOPS场景有如下基本假设:
1、宏网EPC与支持IOPS模式的核心网(即本地IOPS模式的EPC,也称Local EPC,或L-EPC)之间存在隔离,RAN节点同时支持宏网和IOPS,该RAN节点为具有IOPS功能的eNB节点(IOPS-capable eNB)。IOPS-capable eNB与宏网EPC和L-EPC均有连接。
2、IOPS模式具有专属的标识,如公共陆地移动网络标识(public land mobilenetwork identifier,PLMN ID),同一个公共安全机构/运营商的所有L-EPC有同样的PLMNID。IOPS模式开启时,IOPS-capable eNB会广播IOPS对应的PLMN ID以辅助支持IOPS模式的UE接入IOPS模式。
3、只有授权的具有IOPS功能的UE(IOPS-enabled UE)可以接入IOPS网络。
4、L-EPC主要功能是为IOPS-enabled UE之间通信提供路由功能。
5、IOPS-enabled UE具有两个UMTS用户身份识别模块应用(universal mobiletelecommunications system subscriber identity module application,USIM app),两个USIM app分别对应IOPS模式和正常模式。IOPS的USIM app有专用于IOPS PLMN的根密钥K、PLMN ID和国际移动用户识别码(international mobile subscriber Identity,IMSI)。
现有TS 23.401中UE从宏网切换到IOPS网络的流程如图3所示,如下:
步骤1.UE接入到宏网EPC,并进行通信业务。
步骤2.eNB检测到与宏网的回传链路断线,此eNB为IOPS-capable eNB以下不再赘述。
eNB根据运营商本地策略决策激活IOPS模式。
步骤3.L-EPC激活后,eNB与L-EPC建立回传链路。
步骤4.eNB与L-EPC建立回传链路后,广播IOPS网络的PLMN ID。
步骤5.UE检测到IOPS PLMN ID广播,激活IOPS专用的USIM app。
步骤6.UE根据IOPS PLMN ID确定需要接入对应的L-EPC,并与L-EPC进行接入流程(包括接入认证)和会话建立。
步骤7.UE与L-EPC执行接入流程(附着流程)并建立本地协议数据网络(packetdata network,PDN)链接。
步骤8.UE接入L-EPC并进行通信服务。
现有技术中UE在与宏网和IOPS网络进行主认证时,需要使用不同与宏网签约时的IMSI和不同的根密钥。即宏网核心网中只会存储UE与宏网进行主认证时使用的IMSI和根密钥,而IOPS核心网中只会存储UE与IOPS网络进行主认证时使用的IMSI和根密钥,UE在与不同网络进行主认证时,启用对应的IMSI和根密钥,该方式操作复杂。
然而,由于宏网签约和IOPS网络中的用户签约相对隔离,又无法准确预测IOPS模式何时启用,因此用户在宏网的签约进行增加/删除/改动后,需要及时对本地IOPS核心网中用户的签约进行相应的增加/删除/改动,而本地部署的IOPS核心网数量较多,因此存在对本地IOP核心网中签约进行更新的工作量大,维护困难的问题。
基于此,本申请提供一种通信方法,以降低接入认证的复杂度,并在降低接入认证复杂度的基础上,减少设备的数据存储量,节约设备的存储空间。参阅图4为本申请实施例提供的一种通信方法的示意图,该方法可通过第一统一数据管理单元和第二统一数据管理单元的交互来执行,还可借助其他网元,如AMF来实现,在此不具体限定,其中,第一统一数据管理网元以第一UDM为例,第二统一数据管理网元以第二UDM为例来说明,但是在实际应用时,统一数据管理网元还可以其他网元,可以用于存储接入网络的认证信息的网元且可以对认证信息进行进一步处理的网元均可为同一数据管理网元,执行如下:
步骤401,第一UDM根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息。
其中,第一UDM属于第一网络;第一网络与第二网络不同。
需要说明的是,第一网络与第二网络可以为相互隔离的网络。其中,第一网络可为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或所述私网,如,第一网络为IOPS网络,第二网络为宏网络;第一网络为私网(如,校园网、园区网等),第二网络为宏网;第一网络为宏网,第二网络为IOPS网络;第一网络为宏网,第二网络为私网等,本申请在此不具体限定。
其中,终端设备与第一网络进行接入认证可以理解为终端设备与第一网络的主认证,终端设备与第一网络的主认证用于终端设备与第一网络之间互相认证身份,仅在主认证通过后,终端才可与第一网络进行后续注册流程和会话建立流程。假定该第一网络为宏网,则表示终端设备与宏网的主认证;假定该第一网络为IOPS网络,则表示终端设备与IOPS网络的主认证。终端设备与第二网络进行接入认证,可以理解为终端设备与第二网络的主认证,假定该第二网络为IOPS网络,则表示终端设备与IOPS网络的主认证;假定该第二网络为宏网,则表示终端设备与宏网的主认证。本申请在此不展开如何进行主认证流程,可参照现有技术来理解。
此外,第一UDM根据终端设备与第一网络进行接入认证所用的第一认证信息确定终端设备与第二网络进行接入认证所用的第二认证信息可以理解为第一UDM参考第一认证信息确定第二认证信息,或者基于第一认证信息中的某些参数推演第二认证信息,本申请在此不对如何确定第二认证信息进行限定,如,第一网络为宏网,第二网络为IOPS网络,第一UDM可根据终端设备与宏网的第一认证信息确定终端设备与IOPS网络的第二认证信息;第一网络为IOPS网络,第二网络为宏网,第一UDM可根据终端设备与IOPS网络的第一认证信息确定终端设备与宏网的第二认证信息,本申请在此不具体限定。
可选的,第一UDM将第一认证信息作为输入参数,生成第二认证信息。通过该方式推演的第二认证信息可以适配两个网络的接入认证需求,避免采用两套不同的认证信息与不同的网络进行接入认证,可以提高数据处理效率。
可选的,第一认证信息包括以下中的一种或多种:CK、IK、SQN、KAUSF、KSEAF、KAMF。第一UDM根据终端设备以第一网络主认证产生的密钥推演获取第二认证信息,可以是根据第一UDM与UE在主认证流程中生成的CK和IK进一步推演获取第二认证信息,推演方式具体如下:
使用CK和IK作为密钥推演函数(key derivation function,KDF)的输入,获取密钥推演函数的输出信息作为第二认证信息,或者使用CK和IK作为密钥推演函数的输入,获取密钥推演函数的输出信息和SQN参数一起作为第二认证信息。
也可以是根据第一UDM与UE在主认证流程中生成的KAUSF、KSEAF和KAMF中的一个或多个进一步推演,则此时第一UDM需要先向AUSF、SEAF或AMF获取KAUSF、KSEAF和KAMF中的一个或多个后再进一步生成第一认证信息,推演方式具体如下:
使用KAUSF、KSEAF和KAMF中的一个或多个作为密钥推演函数(key derivationfunction,KDF)的输入,获取密钥推演函数的输出信息作为第二认证信息,或者使用KAUSF、KSEAF和KAMF中的一个或多个作为密钥推演函数的输入,获取密钥推演函数的输出信息和SQN参数一起作为第二认证信息。
本申请在实际应用是,不对推演方式进行限定,可采用上述推演方式中一种进行推演,还可以采用其他推演方式进行推演,如第一UDM与第二UDM约定推演规则进行推演等,本申请在此不具体限定。
为了保证第二认证信息在传输过程中的安全性,第一UDM可通过密钥保护信息对第二认证信息进行保护,获取密钥保护信息保护的第二认证信息。其中,该密钥保护信息可以为第一UDM预先设置的。通常第二网络可能包括多个,不同的第二网络的标识信息可通过不同的标识进行指示,如:PLMN1、PLMN2,NID(network identifier,网络ID)或者其他标识等,不同的第二网络标识信息可对应不同的密钥保护信息,如:PLMN1对应密钥保护信息1,PLMN2对应密钥保护信息2等,NID3对应密钥保护信息3等。第一UDM如果获取了第二网络的标识信息,则可知晓具体采用哪个密钥保护信息对第二认证信息进行加密保护,通常第二网络的标识信息可能来自于接入和移动管理网元,但是也可能是与终端设备连接的接入无线网设备广播的,本申请在此不具体限定。
另外,第二网络标识信息可以是接入和移动管理网元确定的,之后第一UDM从接入和移动管理网元接收的,其中,接入和移动管理网元可通过如下方式确定第二网络的标识信息:
方式一、接入和移动管理网元根据与终端设备接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
需要说明的是,与无线接入网络设备存在共部署的第二网络,也即无线接入网络设备可以连接的第二网络,但是在实际应用时,该连接可能进行创建也可能未创建,接入和移动管理网元可基于此确定第二网络的标识信息。
方式二、接入和移动管理网元根据终端设备的能力信息,确定终端设备具有接入第二网络的能力;接入和移动管理网元根据终端设备具有接入第二网络的能力以及接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
方式三、接入和移动管理网元接收来自第一UDM的第二网络的标识信息的请求消息;接入和移动管理网元基于请求消息确定第二网络的标识信息。
需要说明的是,接入和移动管理网元在接收到第一UDM的第二网络标识的请求消息后,查询终端设备接入的无线接入网设备是否存在共部署的第二网络,若存在可将第二网络标识信息直接发送给第一UDM,若终端设备接入的无线接入网设备不存在共部署的第二网络,则回复第一UDM拒绝响应,通过该方式可以防止接入和移动管理网元未存储网络标识信息导致无法发送第二认证消息给准确的第二网络。需要说明的是,接入和移动管理网元存在共部署的第二网络,即无线接入网络设备可以连接的第二网络,但是在实际应用时,该连接可能进行创建也可能未创建,接入和移动管理网元可基于此确定第二网络的标识信息;接入和移动管理网元不存在共部署的第二网络,即无线接入网络设备没有可以连接的第二网络。
另外,接入和移动管理网元确定第二网络的标识信息后,可触发指示信息,指示信息用于触发第一UDM确定第二认证信息。本申请中,在第一UDM接收到指示信息的情况下,基于指示信息确定第二认证信息,该方式可以准确确定第二认证信息的时机,保证数据处理的效率。另外,该指示信息还可用于指示第一UDM将第二认证信息转移给第二UDM,或者指示其他操作,本申请在此不具体限定。
可选的,第一UDM在确定终端设备存在接入第一网络的权限的情况下,第一UDM可根据第一认证信息确定第二认证信息。
需要说明的是,终端设备存在接入第一网络的权限可以理解为终端设备支持在第一网络下接收通信服务,即终端设备有权限接入第一网络,如,通过第一网络发送数据,接收数据等,第一统一数据管理单元可从其他网元如接入和移动管理网元中获取终端设备是否存在接入第一网络的权限,若确定存在,则根据第一认证信息确定第二认证信息,若确定不存在接入第一网络的权限,可以不确定第二认证信息,本申请在根据第一认证信息确定第二认证信息之前,确定终端设备存在接入第一网络的权限,避免计算不支持在第一网络下接收服务的终端设备的第二认证信息。
步骤402,第一UDM将第二认证信息发送至第二UDM。
其中,第二UDM属于第二网络。相应地,第二UDM接收第二认证信息。
可选的,第一UDM可将终端设备的标识信息、第二认证信息发送至第二UDM,终端设备的标识信息与第二认证信息关联。
本申请中,由于第二UDM可能接收多个终端设备的第二认证信息,因此第一UDM将终端设备的标识信息以及第二认证信息发送至第二UDM,其中所述终端设备的标识信息与第二认证信息存在对应关系,便于第二UDM知晓第二认证信息与终端设备的对应关系。
可选的,在第一UDM将第二认证信息发送至第二UDM之前,第一UDM从接入和移动管理网元获取第二UDM的标识信息,第二UDM的标识信息用于标识第二UDM。本申请中,由于第二UDM可能存在多个,第一UDM将第二认证信息发送至第二UDM之前,可根据从接入和移动管理网元获取的第二UDM的标识信息,确定将终端设备的标识信息以及第二认证信息发送至第二UDM,便于第一UDM知晓第二认证信息发送至哪个第二UDM。
可选的,第一UDM可通过接入和移动管理网元、无线接入网设备将第二认证信息发送至第二UDM;或,第一UDM通过NEF将第二认证信息发送至第二UDM。当然在实际应用功能时,第一UDM还可通过其他方式将第二认证信息发送至第二UDM,本申请在此不具体限定。
可选的,如果在步骤401中为了保证第二认证信息在传输过程中的安全性,第一UDM可通过密钥保护信息对第二认证信息进行保护,则本步中第一UDM将通过密钥保护信息保护的第二认证信息发送至第二UDM。
步骤403,第二UDM根据第二认证信息对终端设备进行接入认证。
可选的,在第二认证信息通过密钥保护信息进行保护后,第二UDM根据第二认证信息对终端设备进行接入认证之前,从第一UDM获取通过密钥保护信息保护的第二认证信息,第二UDM通过密钥解密信息对密钥保护信息保护的第二认证信息进行解密,确定第二认证信息。其中,该密钥解密信息可以为第二UDM预先设置的。该密钥解密信息与密钥保护信息可以为对称密钥,也可以为非对称的密钥,本申请在此不具体限定。通常第二网络的标识信息与解密保护信息存在关联,也即不同的第二网络标识信息可对用不同的解密保护信息,如:PLMN1对应密钥解密信息1,PLMN2对应密钥解密信息2等。第二UDM如果获取了第二网络的标识信息,则可知晓具体采用哪个密钥解密信息对第二认证信息进行解密。
其中,第一网络和第二网络为两个不同的网络,通常是终端若可以接入两个网络需要推演两套不同的认证信息分别与对应的网络进行接入认证,但是本申请中,第一统一数据管理单元可基于某个网络的认证信息确定另一网络的认证信息,通过该方式可以减少接入认证的复杂度,且减少了设备数据计算量,且在终端设备和统一数据管理单元中也无需存储大量的认证信息,还可以减少终端设备和统一数据管理单元中的数据存储量,节约设备的存储空间,进一步地采用本申请的方案可以提高数据处理效率。
为了更好地说明本申请的方案,附图5采用UE、RAN、AMF、AUSF、第一UDM以及第二UDM之间的数据交互为例来说明。在该实施例中,AMF会向第一UDM发送指示信息,以便第一UDM确定第二认证信息,以第一网络为宏网,第二网络为IOPS网络(也即下文所述的IOPS核心网),第一UDM属于宏网,第二UDM属于IOPS网络为例来说明,具体如下:
步骤0a.AMF确定与AMF连接的RAN能够与IOPS核心网建立连接。
该步骤的信息可以是IOPS网络搭建时设备上电连接时获取的,也可由网络管理者进行配置的,具体方式不限定。
可选的,AMF还同时获取与AMF连接的RAN(即无线接入网络设备)共部署的IOPS核心网的网络标识信息(也即第二网络的标识信息),IOPS核心网的网络标识信息用于标识IOPS核心网所在的网络,进一步可用来标识IOPS核心网。需要说明的是,RAN共部署的IOPS核心网,即RAN可以连接的IOPS核心网,但是在实际应用时,该连接可能进行创建也可能未创建,具体描述可参考上文步骤401中无线接入网络设备共部署的IOPS核心网的描述,在此不具体说明。进一步的,AMF获取了与AMF连接的RAN共部署的IOPS核心网的网络标识信息后,AMF维护RAN的标识和IOPS核心网的网络标识的对应关系。进一步的,RAN可有多个共部署的IOPS核心网,则预配置信息还可包括优先级信息,用于指示RAN的多个共部署的IOPS核心网的优先级,AMF可根据优先级信息确定选定哪个IOPS核心网。
还要说明的是,如果RAN节点存在共部署的IOPS核心网,则可理解为RAN节点支持接入IOPS核心网的能力,或可连接IOPS网络,如果RAN节点不存在共部署的IOPS核心网,则可理解为RAN节点不支持接入IOPS核心网的能力,或不可连接IOPS网络。
步骤0b.第一UDM预配置用于在传输中保护第二认证信息所需的密钥保护密钥(即上文所述的密钥保护信息)。
密钥保护密钥具体描述可参考上文步骤401处密钥保护信息的描述。具体的,在传输中保护第二认证信息为在发送第二认证信息之前,使用密钥保护密钥对第二认证信息进行保护,获取受保护的第二认证信息,其中使用密钥保护密钥对第二认证信息进行保护可以是对第二认证信息进行机密性保护和/或完整性保护,进而在传输第二认证信息的过程中可以保证第二认证信息的安全性。
可选的,第一UDM同时配置密钥保护密钥和IOPS核心网的网络标识信息的对应关系。
步骤0c.第二UDM预配置用于获取第二认证信息所需的密钥获取密钥(也即上文所述的密钥解密信息)。
即使用密钥获取密钥获取第二认证信息,密钥获取密钥具体描述可参考上文步骤403处密钥解密信息的描述。使用密钥获取密钥获取第二认证信息,具体为使用密钥获取密钥和受保护第二认证信息获取第二认证信息。进一步的,使用密钥获取密钥和受保护第二认证信息获取第二认证信息可以是,使用密钥获取密钥解密受保护的第二认证信息获取第二认证信息,和/或使用密钥获取密钥验证受保护的第二认证信息的完整性。
该密钥获取密钥和步骤0b中的密钥保护密钥对应,即可以与第一UDM中预配置密钥互为对称密钥,也可互为非对称密钥。密钥解密密钥可以用于解密第一UDM中预配置的密钥保护密钥加密的信息,也可以用于验证第一UDM中与配置的密钥保护密钥保护的信息的完整性。
步骤1.UE请求接入宏网,向AMF发送注册请求(registration request)消息。
其中UE在注册请求消息中携带IOPS能力信息,该消息用于指示UE支持IOPS功能。
需要说明的是,注册请求消息为NAS(non-access stratum,非接入层)消息,UE需要将该NAS消息承载在AS(access stratum,接入层)消息中发送给RAN节点,由RAN节点通过回传网络将NAS消息发送给AMF。UE支持IOPS功能,具体可为UE具有接入IOPS网络的能力,也可为UE具有与IOPS网络进行通信的能力。
可选地,UE在注册请求中不携带IOPS能力信息,在此种情况下,UE不需要将支持IOPS功能指示给AMF,减轻了UE对注册请求的处理负担。
步骤2.AMF根据从UE获取的IOPS能力信息,和UE接入的RAN节点支持连接IOPS核心网的能力,确定需要指示第一UDM发起密钥转移。
上述步骤2中指示第一UDM发起密钥转移可以理解为指示第一UDM根据第一认证信息确定第二认证信息,并将第二认证信息发送给第二UDM。
需要说明的是,AMF可根据接受NAS消息的回传网络确定对应的RAN,进而根据0a中预配置的信息,确定RAN节点支持接入IOPS网络的能力。可选的,AMF同时根据步骤0a中的预配置信息,确定UE接入的RAN对应的IOPS核心网的网络标识信息。具体的,AMF可根据接受NAS消息的回传网络确定对应的RAN的标识信息,进一步根据RAN的标识和步骤0a中的RAN的标识和第二网络标识信息的对应关系,确定对应的IOPS核心网的网络标识信息。如果RAN共部署了多个IOPS核心网,则AMF可根据步骤0a中AMF获取的优先级信息确定对应的IOPS核心网的网络标识信息。考虑到实际部署情况,UE接入的RAN可能连接多个IOPS核心网,在这种情况下,AMF可以确定多个本地IOPS核心网的网络标识、信息,并发送给第一UDM。
可选的,如果UE在步骤1的注册请求不携带IOPS能力信息,则AMF仅根据UE接入的RAN节点支持连接IOPS核心网的能力,确定需要指示第一UDM发起密钥转移。
可选地,AMF可仅根据从UE获取的IOPS能力信息,确定需要指示第一UDM发起密钥转移,此方法可以简化AMF的处理逻辑。
步骤3.AMF向第一UDM发送IOPS指示,用于指示第一UDM获取在IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS(也即第二认证信息),并将第二认证信息发送给第二UDM。
可选的,IOPS指示还用于指示第一UDM同时获取在IOPS模式下UE与IOPS核心网主认证所需的其他参数,其他参数可包括用于主认证的五元组信息中的一个或多个,例如SQN参数(也即上述的第一认证信息中的一例),并根据确定的参数确定第二认证信息,此时第二认证信息除根密钥KIOPS外,还包括SQN参数。
可选的,AMF还向第一UDM发送UE接入的RAN对应的IOPS核心网的网络标识信息。
其中,步骤3中IOPS指示可以通过UE与宏网主认证流程中,AMF接收到注册请求后与第一UDM交互触发主认证的消息,具体为AMF将AUSF的UE认证请求(Nausf_UEAuthentication_Authenticate Request)发送给AUSF,进一步由AUSF通过UDM的UE认证获取请求(Nudm_UEAuthentication_Get Request)(附图5中以此消息进行示例性描述)发送给第一UDM,也可以在注册流程之后通过用于获取UE签约信息的UDM的签约信息管理获取Nudm_SDM_Get消息发送给第一UDM,也可以是其他AMF与第一UDM交互的消息中携带IOPS指示,此处不作限定。
可选的,AMF可以使用新的服务消息指示第一UDM获取在IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS(也即第二认证信息),在此情况下,AMF不向第一UDM发送IOPS指示,而是由新的服务消息隐式指示。
步骤4.第一UDM根据UE签约信息确定UE有权限接入IOPS网络后,根据UE与宏网主认证产生的密钥(第一认证信息)推演获取IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS(第二认证信息)。
需要说明的是,UE有权限接入IOPS网络,可理解为UE存在接入IOPS网络的权限,还可以理解为UE支持在IOPS网络下接收通信服务,具体描述可参考步骤401中第一终端设备存在接入第一网络的权限的描述。
还要说明的是,如果KIOPS由主认证流程中生成的CK、IK、KAUSF、KSEAF和KAMF中的一项或几项推演得出,则此时第一认证信息为推演KIOPS所用的CK、IK、KAUSF、KSEAF和KAMF中的一项或几项。
第一UDM使用步骤0b中的密钥保护密钥保护KIOPS获取受保护的第二认证信息。使用密钥保护密钥保护KIOPS可以是对KIOPS进行机密性保护和/或完整性保护。
具体如何推演可参照上文描述来理解在此不赘述。
需要说明的是,如果AMF在主认证流程中将步骤3中的IOPS指示发送给第一UDM,则第一UDM需要在通过UDM的UE认证结果确认请求Nudm_UEAuthentication_ResultConfirmation Request消息获取到主认证成功的指示后,再触发步骤4。
可选的,如果IOPS指示还用于指示第一UDM同时获取在IOPS模式下UE与IOPS核心网主认证所需的其他参数,如步骤3所述,则使用密钥保护密钥保护KIOPS获取受保护的第二认证信息时,还同时使用密钥保护密钥保护所述的主认证所需的其他参数,其中其他参数可包括用于主认证的五元组信息中的一个或多个,例如SQN参数。需要说明的是,在这种情况下第一认证信息除包含UE与宏网主认证产生的密钥外,还包括所述主认证所需的其他参数,例如SQN参数。
可选地,如果第一UDM还在步骤3中从AMF获取了UE接入的RAN对应的IOPS核心网的网络标识信息,则第一UDM根据0b中配置的密钥保护密钥和IOPS核心网的网络标识信息的对应关系,和从AMF获取的IOPS核心网的网络标识信息,确定密钥保护密钥,并进一步使用该密钥保护密钥保护获取受保护的第二认证信息。
步骤4a.如果KIOPS由主认证流程中生成的KAUSF、KSEAF或KAMF中的一个或多个进一步推演得出,则UE对应将KAUSF、KSEAF或KAMF存储到USIM app中。
该步骤为可选的步骤。
步骤5.第一UDM向AMF发送密钥转移请求消息。
其中携带步骤4中受保护的第二认证信息。
其中,密钥转移请求消息中包括UE的标识信息以及受保护的第二认证信息,以便第AMF根据UE的标识信息确定UE接入的RAN对应的IOPS核心网信息,其中IOPS核心网信息包括IOPS核心网的网络标识信息,即确定将UE的标识信息以及受保护的第二认证信息发送给哪个第二UDM所在的IOPS核心网。AMF确定UE接入的RAN对应的IOPS核心网的网络标识信息具体可以是,AMF可根据UE的标识信息确定对应的回传网络,进一步确定该回传网络对应的RAN的标识信息,从而根据RAN的标识和步骤0a中的RAN的标识和第二网络标识信息的对应关系,确定对应的IOPS核心网的网络标识信息。
密钥转移请求消息中包括UE的标识信息以及受保护的第二认证信息,以便第二UDM确定将获取的第二认证信息属于哪个UE,在后续UE与第二UDM所在的IOPS网络进行主认证时,可以根据UE的标识信息确定对应的第二认证信息。需要说明的,第一UDM在主认证中确定UE的标识信息,具体可参考TS 33.501中现有技术。UE的标识信息可以是UE的SUPI信息。
可选的,也可携带密钥转移指示信息,和/或IOPS核心网的网络标识信息。其中密钥转移指示信息用于指示AMF网元本消息用于转移第二认证信息给IOPS网络,IOPS核心网的网络标识信息用于辅助AMF确定密钥转移请求消息需要发送给哪一个IOPS网络。
在实际应用时,第一UDM可通过AMF、RAN转发密钥转移请求至第二UDM,还可通过NEF转发,也可以通过其他方式发送给第二UDM,例如第一UDM和第二UDM之间直接的链接转发。如果第一UDM不通过AMF、RAN转发密钥转移请求至第二UDM,则在本步骤之后跳过步骤6与步骤7,直接执行步骤8。
步骤6.AMF确定向第二UDM转发UE的标识信息以及受保护的第二认证信息。
需要说明的是,如果步骤4是根据UDM的UE认证结果确认请求Nudm_UEAuthentication_ResultConfirmation Request消息获取到主认证成功指示后触发的,则AMF可根据步骤5中IOPS核心网的网络标识信息确定第二UDM,并向第二UDM转发UE的标识信息以及受保护的第二认证信息;如果步骤4是根据AMF与第一UDM交互的消息触发的,则AMF根据来自第一UDM的密钥转移请求消息中包括的UE标识信息和UE接入的RAN对应的IOPS核心网信息确定第二UDM,其中IOPS核心网信息包括IOPS核心网的网络标识信息,并向第二UDM转发UE的标识信息以及受保护的第二认证信息。
可选地,如果步骤4是根据AMF与第一UDM交互的消息触发的,则步骤5中第一UDM向AMF发送的密钥转移请求消息中可不包括UE的标识信息,此时AMF与第一UDM交互的信息包括请求消息和回复消息,其中AMF向第一UDM发送请求消息,请求消息携带UE的标识信息,第一UDM根据请求消息向AMF发送回复消息,则在AMF接收到第一UDM的回复消息后,AMF可根据请求消息和回复消息的关联关系确定UE的标识信息,进一步的,AMF可以根据UE的身份信息和UE接入的RAN对应的IOPS核心网信息确定第二UDM,并向第二UDM转发UE的标识信息以及受保护的第二认证信息。
AMF确定向第二UDM转发UE的标识信息以及受保护的第二认证信息,还包括,AMF根据UE的身份信息,确定UE接入的RAN,AMF向RAN发送密钥转移消息,密钥转移消息携带UE的标识信息以及受保护的第二认证信息。
可选的,也可携带密钥转移指示信息,指示信息用于指示RAN转发密钥转移消息。
可选的,如果AMF从第二UDM获取了IOPS核心网的网络标识信息,则AMF向RAN发送密钥转移消息时,同时向RAN发送IOPS核心网的网络标识信息。
可选的,如果AMF从第二UDM获取了IOPS核心网的网络标识信息,则AMF进一步根据IOPS核心网的网络标识信息确定密钥转移请求消息需要发送给哪一个IOPS网络。
可选的,也可携带密钥转移指示信息,和/或IOPS核心网的网络标识信息。其中密钥转移指示信息用于指示AMF网元本消息用于转移第二认证信息给IOPS网络,IOPS核心网的网络标识信息用于辅助AMF确定密钥转移请求消息需要发送给哪一个IOPS网络。
另外,步骤6还可根据密钥转移请求消息(步骤5)触发、根据受保护的第二认证信息隐式触发、或根据步骤5中携带的密钥转移指示信息触发。
步骤6a.AMF触发向UE发送IOPS密钥指示,IOPS密钥指示用于指示UE根据主认证产生的密钥推演获取IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS并存储该KIOPS
该步骤为可选步骤,也即接入和移动管理网元向终端设备发送用于指示终端设备生成第二认证信息的指示信息。通过该方式终端设备则知晓第二认证信息已经生成,终端设备可以随时准备接入第二网络。
步骤7.RAN向IOPS网络发送密钥转移消息。
需要说明的是,RAN向IOPS网络发送密钥转移消息,具体为RAN将密钥转移消息发送给IOPS网络,使得IOPS网络中的第二UDM获取密钥转移消息,RAN需要通过第二AMF向第二UDM发送密钥转移消息,其中第二AMF与第二UDM属于同一IOPS网络。
其中,RAN从AMF获取密钥转移消息,密钥转移消息中包括受保护的第二认证信息和UE的标识信息。
可选的,RAN向IOPS网络发送密钥转移消息时,也可携带密钥转移指示信息,密钥转移指示信息用于指示IOPS网络,该消息携带了密钥转移消息,具体为,RAN向第二AMF发送消息,其中携带密钥转移消息和密钥转移指示信息,密钥转移指示信息用于指示第二AMF该消息携带了密钥转移消息。
可选的,如果AMF向RAN发送密钥转移消息时,同时向发送IOPS核心网的网络标识信息,则RAN根据IOPS核心网的网络标识信息确定第二UDM。
步骤8.第二UDM根据密钥转移消息确定需要获取第二认证信息(KIOPS),第二UDM形成并存储第二认证信息和UE的标识信息的对应关系,即KIOPS和SUPI的对应关系。
具体的,第二UDM在根据密钥转移消息确定需要获取KIOPS后,获取密钥转移消息中的UE的标识信息以及受保护的第二认证信息,第二UDM使用步骤0c中预配置的密钥获取密钥获取第二认证信息,具体为使用密钥获取密钥和受保护第二认证信息获取第二认证信息。进一步的,使用密钥获取密钥和受保护第二认证信息获取第二认证信息可以是,使用密钥获取密钥解密受保护的第二认证信息获取第二认证信息,和/或使用密钥获取密钥验证受保护的第二认证信息的完整性。进一步的,第二UDM确定第二认证信息和UE的标识信息的对应关系,即KIOPS和SUPI的对应关系。在后续UE接入IOPS网络时,第二UDM使用该UE的SUPI和第二认证信息和UE的标识信息的对应关系,确定KIOPS信息,并作为主认证的根密钥与UE进行主认证流程。
步骤9.UE使用KIOPS作为主认证的根密钥与第二UDM进行主认证流程。
该实施例中,AMF根据网络部署(RAN是否可连接IOPS)和/或UE能力,指示第一UDM确定第二认证信息,第二认证信息根据UE与第一UDM所在网络进行主认证所需的信息获取,具体为UE与IOPS网络进行主认证的根密钥是根据UE与宏网进行主认证获取的密钥(即宏网根密钥的衍生密)进一步推演确定,并进一步由第一UDM将第二认证信息发送给第二UDM。后续UE和IOPS核心网可以用宏网根密钥的衍生密钥进行主认证流程,省去了预先配置给本地IOPS核心网UE根密钥的步骤,可以减少数据处理的复杂度,提高数据处理效率。
为了更好地说明本申请的方案,附图6采用UE、RAN、AMF、AUSF、第一UDM以及第二UDM之间的数据交互为例,来说明。在该实施例中,第一UDM基于UE的签约信息确定UE权限接入IOPS网络后,确定第二认证信息,而与图5对应的实施例方案不同,在本实施例中AMF不会向第一UDM发送指示信息,本例中以第一网络为宏网,第二网络为IOPS网络(也即下文所述的IOPS核心网),第一UDM属于宏网,第二UDM属于IOPS网络为例来说明,具体如下:
步骤0a/0b/0c同上述附图5中的步骤0a/0b/0c,不同在于在该实施中:步骤0a中AMF不需要获取与AMF连接的RAN连接的IOPS核心网的网络标识信息;步骤0b不需要配置密钥保护密钥和IOPS核心网的网络标识信息的对应关系。
步骤1.UE请求接入宏网,向AMF发送注册请求(registration request)消息。
可参照上述附图5中步骤1的描述在此不赘述。
步骤2.AMF接收到注册请求后,与第一UDM交互消息。
该步骤中AMF与UDM交互消息可以是间接的与UDM交互,即通过UE与宏网主认证流程中,AMF接收到注册请求后与第一UDM交互触发主认证的消息,具体为,AMF将AUSF的UE认证请求Nausf_UEAuthentication_Authenticate Request发送给AUSF,进一步由AUSF通过UDM的UE认证获取请求Nudm_UEAuthentication_Get Request发送给第一UDM,AMF与UDM交互消息也可以是在注册流程之后AMF将用于获取UE签约信息的UDM的签约信息管理获取Nudm_SDM_Get消息发送给第一UDM,也可以是其他AMF与UDM交互的消息,此处不限定。
步骤3.第一UDM根据UE签约信息确定UE有权限接入IOPS网络后,根据UE与宏网主认证产生的密钥(第一认证信息)推演获取IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS(第二认证信息)。
可参照上述附图4实施例中的步骤4来理解在此不赘述。
步骤3a.如果KIOPS由主认证流程中生成的KAUSF、KSEAF或KAMF中的一个或多个进一步推演得出,则UE对应将KAUSF、KSEAF或KAMF存储到USIM app中。
该步骤为可选的步骤。
步骤4.第一UDM向AMF发送密钥转移请求消息。
其中携带步骤4中受保护的第二认证信息。
其中,密钥转移请求消息中包括UE的标识信息以及受保护的第二认证信息,以便第AMF根据UE的标识信息确定UE接入的RAN对应的IOPS核心网信息,其中IOPS核心网信息包括IOPS核心网的网络标识信息,即确定将UE的标识信息以及受保护的第二认证信息发送给哪个第二UDM所在的IOPS核心网。密钥转移请求消息中包括UE的标识信息以及受保护的第二认证信息,以便第二UDM确定将获取的第二认证信息属于哪个UE,在后续UE与第二UDM所在的IOPS网络进行主认证时,可以根据UE的标识信息确定对应的第二认证信息。需要说明的,第一UDM在主认证中确定UE的标识信息,具体可参考TS 33.501中现有技术。UE的标识信息可以是UE的SUPI信息。
可选的,也可携带密钥转移指示信息,和/或IOPS核心网的网络标识信息。其中密钥转移指示信息用于指示AMF网元本消息用于转移第二认证信息给IOPS网络,IOPS核心网的网络标识信息用于辅助AMF确定密钥转移请求消息需要发送给哪一个IOPS网络。
在实际应用时,第一UDM可通过AMF、RAN转发密钥转移请求至第二UDM,还可通过NEF转发,也可以通过其他方式发送给第二UDM,例如第一UDM和第二UDM之间直接的链接转发。如果第一UDM不通过AMF、RAN转发密钥转移请求至第二UDM,则在本步之后跳过步骤5与步骤6,直接执行步骤7。
步骤5.AMF根据密钥转移请求消息,和UE接入的RAN存在对应的IOPS核心网,确定向第二UDM转发受保护的第二认证信息。
在该步骤中,AMF将受保护的第二认证信息转发给UE接入的RAN对应的IOPS核心网,进而使得IOPS核心网中的第二UDM可获取第二认证信息。在UE接入的RAN存在对应的IOPS核心网的前提下,该步骤的触发方式可以是以下任意一种或几种:根据密钥转移请求消息(也即步骤4)触发、根据受保护的第二认证信息隐式触发、或根据步骤4中携带的密钥转移指示触发。
如果UE接入的RAN不存在IOPS核心网,则AMF可向UDM发送密钥转移失败消息并附带对应的原因值信息。
步骤5a.AMF触发向UE发送IOPS密钥指示,IOPS密钥指示用于指示UE根据主认证产生的密钥推演获取IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS并存储该KIOPS
该步骤为可选步骤,也即接入和移动管理网元向终端设备发送用于指示终端设备生成第二认证信息的指示信息。通过该方式终端设备则知晓第二认证信息已经生成,终端设备可以随时准备接入第二网络。
步骤6.RAN向IOPS网络发送密钥转移消息。
需要说明的是,RAN向IOPS网络发送密钥转移消息,具体为RAN将密钥转移消息发送给IOPS网络,使得IOPS网络中的第二UDM获取密钥转移消息,RAN需要通过第二AMF向第二UDM发送密钥转移消息,其中第二AMF与第二UDM属于同一IOPS网络。
其中,RAN从AMF获取密钥转移消息,密钥转移消息中包括受保护的第二认证的信息和UE的标识信息(SUPI)。
可选的,RAN向IOPS网络发送密钥转移消息时,也可携带密钥转移指示信息,密钥转移指示信息用于指示IOPS网络,该消息携带了密钥转移消息,具体为,RAN向第二AMF发送消息,其中携带密钥转移消息和密钥转移指示信息,密钥转移指示信息用于指示第二AMF该消息携带了密钥转移消息。
步骤7.第二UDM根据密钥转移消息确定需要获取第二认证信息(KIOPS),第二UDM形成并存储第二认证信息和UE的标识信息的对应关系,即KIOPS和SUPI的对应关系。
具体的,第二UDM在根据密钥转移消息确定需要获取KIOPS后,获取密钥转移消息中的UE的标识信息以及受保护的第二认证信息,第二UDM使用步骤0c中预配置的密钥获取密钥获取第二认证信息,具体为使用密钥获取密钥和受保护第二认证信息获取第二认证信息。进一步的,使用密钥获取密钥和受保护第二认证信息获取第二认证信息可以是,使用密钥获取密钥解密受保护的第二认证信息获取第二认证信息,和/或使用密钥获取密钥验证受保护的第二认证信息的完整性。进一步的,第二UDM确定第二认证信息和UE的标识信息的对应关系,即KIOPS和SUPI的对应关系。在后续UE接入IOPS网络时,第二UDM使用该UE的SUPII和第二认证信息和UE的标识信息的对应关系,确定KIOPS信息,并作为主认证的根密钥与UE进行主认证流程。
步骤8.UE使用KIOPS作为主认证的根密钥与第二UDM进行主认证流程。
该实施例中,第一UDM基于UE的签约信息确定UE权限接入IOPS网络后,确定第二认证信息,第二认证信息根据UE与第一UDM所在网络进行主认证所需的信息获取,具体为UE与IOPS网络进行主认证的根密钥是根据UE与宏网进行主认证获取的密钥(即宏网根密钥的衍生密)进一步推演确定,并进一步由第一UDM将第二认证信息发送给第二UDM。后续UE和IOPS核心网可以用宏网根密钥的衍生密钥进行主认证流程,省去了预先配置给本地IOPS核心网UE根密钥的步骤,可以减少数据处理的复杂度,提高数据处理效率。
为了更好地说明本申请的方案,附图7采用UE、RAN、AMF、AUSF、第一UDM以及第二UDM之间的数据交互为例,来说明。在该实施例中,第一UDM基于UE的签约信息确定UE权限接入IOPS网络后,确定第二认证信息,而与图5对应的实施例方案不同,在本实施例中AMF不会向第一UDM发送指示信息,本例中以第一网络为宏网,第二网络为IOPS网络(也即下文所述的IOPS核心网),第一UDM属于宏网,第二UDM属于IOPS网络为例来说明,具体如下:
步骤0a/0b/0c同上述附图6中的步骤0a/0b/0c,步骤1-2同上述附图6中的步骤1-2,在此不赘述。
步骤3.第一UDM根据UE签约信息确定UE有权限接入IOPS网络后,触发向AMF发送网络标识请求获取消息,以请求获取UE接入的RAN对应的IOPS核心网的网络标识信息。
需要说明的是,如果步骤2中AMF间接的与UDM交互,即通过UE与宏网主认证流程中,AMF接收到注册请求后与第一UDM交互触发主认证的消息(具体为,AMF将AUSF的UE认证请求Nausf_UEAuthentication_Authenticate Request发送给AUSF,进一步由AUSF通过UDM的UE认证获取请求Nudm_UEAuthentication_Get Request发送给第一UDM)则UDM需要在通过UDM的UE认证结果确认请求Nudm_UEAuthentication_ResultConfirmation Request消息获取到主认证成功的指示后,再执行该步骤。
步骤4.第一UDM向AMF请求获取UE接入的RAN对应的IOPS核心网的网络标识信息。
具体的,UDM向AMF发送网络标识信息获取请求,其中携带UE的SUPI信息。
可选的,同时携带网络标识获取指示信息。
AMF确定需要获取网络标识信息,AMF确定SUPI对应的UE接入的RAN是否存在对应的本地IOPS核心网,如果存在则确定该本地IOPS核心网的网络标识信息(考虑到实际部署情况,UE接入的RAN可能连接多个IOPS核心网,在这种情况下AMF可以确定多个本地IOPS核心网的网络标识信息,并发送给第一UDM);如果不存在则向第一UDM发送回复信息并携带对应的原因值信息。AMF确定UE接入的RAN对应的IOPS核心网的网络标识信息具体可以是,AMF可根据UE的标识信息确定对应的回传网络,进一步确定该回传网络对应的RAN的标识信息,从而根据RAN的标识和步骤0a中的RAN的标识和第二网络标识信息的对应关系,确定对应的IOPS核心网的网络标识信息。
需要说明的是,AMF可以根据网络标识信息获取请求消息确定需要获取IOPS网络标识信息,也可根据消息中的网络标识获取指示信息确定需要获取IOPS网络标识信息,本申请在此不具体限定。
步骤5.AMF回复第一UDM的请求信息。
其中,携带步骤4中确定的IOPS核心网的网络标识信息。
步骤6.第一UDM根据UE与宏网主认证产生的密钥(第一认证信息)推演获取IOPS模式下UE与IOPS核心网主认证所需的根密钥KIOPS(第二认证信息)。
具体可参照上述附图6实施例中步骤3与附图5中步骤4来理解,在此不赘述。
步骤6a.具体可参照上述附图6实施例中的步骤3a。
步骤7同上述附图5实施例中的步骤5。
步骤8-11.上述附图5实施例中的步骤6-9。
该实施例中,第一UDM基于UE的签约信息,生成IOPS密钥,并进一步由第一UDM发送给第二UDM。后续UE和IOPS核心网可以用宏网根密钥的衍生密钥进行主认证流程,省去了预先配置给本地IOPS核心网UE根密钥的步骤,额外可对多个第二UDM发送不同的密钥,在多个IOPS核心网部署的情况下,可以实现UE接入任意一个IOPS核心网,可以减少数据处理的复杂度,提高数据处理效率。
上述主要从设备交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,为了实现上述功能,各个设备可以包括执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请的实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对设备进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
在采用集成的单元的情况下,图8示出了本申请实施例中所涉及的通信装置的可能的示例性框图。如图8所示,通信装置800可以包括:处理单元801和收发单元802。处理单元801用于对通信装置800的动作进行控制管理。收发单元802用于支持通信装置800与其他设备的通信。可选地,收发单元802可以包括接收单元和/或发送单元,分别用于执行接收和发送操作。可选的,通信装置800还可以包括存储单元,用于存储通信装置800的程序代码和/或数据。所述收发单元可以称为输入输出单元、通信单元等,所述收发单元可以是收发器;所述处理单元可以是处理器。当通信装置是通信设备中的模块(如,芯片)时,所述收发单元可以是输入输出接口、输入输出电路或输入输出管脚等,也可以称为接口、通信接口或接口电路等;所述处理单元可以是处理器、处理电路或逻辑电路等。具体地,该装置可以为上述的第一UDM、AMF以及第二UDM等。
在一个实施例中,通信装置800的处理单元801,用于根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息,通信装置属于第一网络;第一网络与第二网络不同;收发单元802,用于将第二认证信息发送至第二统一数据管理单元,第二统一数据管理单元属于第二网络。
在一种可选的方式中,处理单元801,用于确定终端设备存在接入第一网络的权限的情况下,根据第一认证信息确定第二认证信息。
在一种可选的方式中,收发单元802,用于接收来自接入和移动管理网元的指示信息,指示信息用于触发通信装置确定第二认证信息。
在一种可选的方式中,处理单元801,用于将第一认证信息作为输入参数,生成第二认证信息。
在一种可选的方式中,第一认证信息包括以下中的一种或多种:CK、IK、SQN、KAUSF、KSEAF、KAMF。
在一种可选的方式中,收发单元802,用于将终端设备的标识信息、第二认证信息发送至第二统一数据管理单元,终端设备的标识信息与第二认证信息关联。
在一种可选的方式中,收发单元802,用于通过接入和移动管理网元、无线接入网设备将第二认证信息发送至第二统一数据管理单元;或,收发单元802,用于通过NEF将第二认证信息发送至给第二统一数据管理单元。
在一种可选的方式中,第二认证信息通过密钥保护信息进行安全保护。
在一种可选的方式中,收发单元802,用于接收来自接入和移动管理网元的第二网络的标识信息;处理单元801,用于根据第二网络的标识信息确定密钥保护信息。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
在一个实施例中,通信装置800的处理单元801,用于确定第二网络的标识信息;第一统一数据管理单元属于第一网络;第一网络与第二网络不同;收发单元802,用于向第一统一数据管理单元发送第二网络的标识信息。
在一种可选的方式中,处理单元801触发指示信息,指示信息用于指示第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定终端设备与第二网络进行接入认证所用的第二认证信息收发单元802,用于向第一统一数据管理单元发送指示信息。
在一种可选的方式中,处理单元801,用于根据与终端设备接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
在一种可选的方式中,处理单元801,用于根据终端设备的能力信息,确定终端设备具有接入第二网络的能力;根据终端设备具有接入第二网络的能力以及接入的无线接入网设备存在共部署的第二网络,确定第二网络的标识信息。
在一种可选的方式中,收发单元802,用于接收来自第一统一数据管理单元的第二网络的标识信息的请求消息;处理单元801,用于基于请求消息查询第二网络的标识信息。
在一种可选的方式中,收发单元802,用于向终端设备发送用于指示终端设备生成第二认证信息的指示信息。
在一种可选的方式中,第二认证信息通过密钥保护信息进行安全保护。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
在一个实施例中,通信装置800的收发单元802,用于接收来自第一统一数据管理网元的终端设备与第二网络进行接入认证所用的第二认证信息;处理单元801,用于根据第二认证信息对终端设备进行接入认证。
在一种可选的方式中,第二认证信息是第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息确定的;第一统一数据管理单元属于第一网络;第二统一数据管理单元属于第二网络;第一网络与第二网络不同。
在一种可选的方式中,第二认证信息通过密钥保护信息进行保护。
在一种可选的方式中,处理单元801,用于根据第二认证信息对终端设备进行接入认证之前,通过密钥解密保护信息对密钥保护信息保护的第二认证信息进行解密,确定第二认证信息。
在一种可选的方式中,密钥解密保护信息与第二网络的标识信息存在关联。
在一种可选的方式中,第一网络为IOPS网络或私网,第二网络为宏网络;或,第一网络为宏网络,第二网络为IOPS网络或私网。
如图9所示,为本申请还提供的一种通信装置900。通信装置900可以是芯片或芯片系统。该通信装置可以位于上述任一方法实施例所涉及的设备中,例如第一UDM、AMF以及第二UDM等,以执行该设备所对应的动作。
可选的,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
通信装置900包括处理器910。
处理器910,用于执行存储器920中存储的计算机程序,以实现上述任一方法实施例中各个设备的动作。
通信装置900还可以包括存储器920,用于存储计算机程序。
可选地,存储器920和处理器910之间耦合。耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。可选的,存储器920与处理器910集成在一起。
其中,处理器910和存储器920均可以为一个或多个,不予限制。
可选的,在实际应用中,通信装置900中可以包括收发器930,也可不包括收发器930,图中以虚线框来示意,通信装置900可以通过收发器930和其它设备进行信息交互。收发器930可以是电路、总线、收发器或者其它任意可以用于进行信息交互的装置。
在一种可能的实施方式中,该通信装置900可以为上述各方法实施中的第一UDM、AMF以及第二UDM。
本申请实施例中不限定上述收发器930、处理器910以及存储器920之间的具体连接介质。本申请实施例在图9中以存储器920、处理器910以及收发器930之间通过总线连接,总线在图9中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。在本申请实施例中,处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实施或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
在本申请实施例中,存储器可以是非易失性存储器,比如硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)等,还可以是易失性存储器(volatilememory),例如随机存取存储器(random-access memory,RAM)。存储器还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器还可以是电路或者其它任意能够实施存储功能的装置,用于存储计算机程序、程序指令和/或数据。
基于以上实施例,参见图10,本申请实施例还提供另一种通信装置1000,包括:接口电路1010和逻辑电路1020;接口电路1010,可以理解为输入输出接口,可用于执行上述任一方法实施例中各个设备的收发步骤,逻辑电路1020可用于运行代码或指令以执行上述任一实施例中各个设备执行的方法,不再赘述。
基于以上实施例,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有指令,当所述指令被执行时,使上述任一方法实施例中各个设备执行的方法被实施,例如,使得图4所示实施例中第一UDM或第二UDM执行的方法被实施。该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
基于以上实施例,本申请实施例提供一种通信系统,该通信系统包括上述任一方法实施例中提及的第一UDM、AMF以及第二UDM,可用于执行上述任一方法实施例中各个设备执行的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理装置的处理器以产生一个机器,使得通过计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理装置以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理装置上,使得在计算机或其他可编程装置上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程装置上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (22)

1.一种通信方法,其特征在于,包括:
第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定所述终端设备与第二网络进行接入认证所用的第二认证信息,所述第一统一数据管理单元属于所述第一网络;所述第一网络与所述第二网络不同;
所述第一统一数据管理单元将所述第二认证信息发送至第二统一数据管理单元,所述第二统一数据管理单元属于所述第二网络。
2.根据权利要求1所述的方法,其特征在于,所述第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定所述终端设备与第二网络进行接入认证所用的第二认证信息,包括:
所述第一统一数据管理单元确定所述终端设备存在接入所述第一网络的权限的情况下,根据所述第一认证信息确定所述第二认证信息。
3.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
所述第一统一数据管理单元接收来自接入和移动管理网元的指示信息,所述指示信息用于触发所述第一统一数据管理单元确定所述第二认证信息。
4.根据权利要求1-3中任一所述的方法,其特征在于,所述第一统一数据管理单元根据终端设备与第一网络进行接入认证所用的第一认证信息,确定所述终端设备与第二网络进行接入认证所用的第二认证信息,包括:
所述第一统一数据管理单元将所述第一认证信息作为输入参数,生成所述第二认证信息。
5.根据权利要求1-4中任一所述的方法,其特征在于,所述第一认证信息包括以下中的一种或多种:机密性密钥CK、完整性密钥IK、序号SQN、AUSF密钥KAUSF、SEAF密钥KSEAF、AMF密钥KAMF
6.根据权利要求1-5中任一所述的方法,其特征在于,所述第一统一数据管理单元将所述第二认证信息发送至第二统一数据管理单元,包括:
所述第一统一数据管理单元将所述终端设备的标识信息、所述第二认证信息发送至所述第二统一数据管理单元,所述终端设备的标识信息与所述第二认证信息关联。
7.根据权利要求1-6中任一所述的方法,其特征在于,所述第一统一数据管理单元将所述第二认证信息发送至所述第二统一数据管理单元包括:
所述第一统一数据管理单元通过接入和移动管理网元、无线接入网设备将所述第二认证信息发送至所述第二统一数据管理单元;或,所述第一统一数据管理单元通过网络开放功能NEF将所述第二认证信息发送至给所述第二统一数据管理单元。
8.根据权利要求1-7中任一所述的方法,其特征在于,所述第二认证信息通过密钥保护信息进行安全保护。
9.根据权利要求8所述的方法,其特征在于,所述方法,还包括:
所述第一统一数据管理单元接收来自接入和移动管理网元的所述第二网络的标识信息;
所述第一统一数据管理单元根据所述第二网络的标识信息确定所述密钥保护信息。
10.根据权利要求1-9中任一所述的方法,其特征在于,所述第一网络为公共安全隔离运营IOPS网络或私网,所述第二网络为宏网络;或,所述第一网络为所述宏网络,所述第二网络为所述IOPS网络或所述私网。
11.一种通信方法,其特征在于,包括:
接入和移动管理网元确定第二网络的标识信息;所述第一统一数据管理单元属于所述第一网络;所述第一网络与所述第二网络不同;
所述接入和移动管理网元向所述第一统一数据管理单元发送所述第二网络的标识信息。
12.根据权利要求11所述的方法,其特征在于,所述接入和移动管理网元确定第二网络的标识信息,包括:
所述接入和移动管理网元触发指示信息,所述指示信息用于指示所述第一统一数据管理单元根据终端设备与所述第一网络接入认证所用的第一认证信息,确定所述终端设备与所述第二网络进行接入认证所用的第二认证信息;
所述接入和移动管理网元向所述第一统一数据管理单元发送所述第二网络的标识信息,包括:
所述接入和移动管理网元向所述第一统一数据管理单元发送所述指示信息。
13.根据权利要求11所述的方法,其特征在于,所述接入和移动管理网元确定第二网络的标识信息,包括:
所述接入和移动管理网元根据与所述终端设备接入的无线接入网设备存在共部署的所述第二网络,确定所述第二网络的标识信息。
14.根据权利要求13所述的方法,其特征在于,所述接入和移动管理网元确定第二网络的标识信息,包括:
所述接入和移动管理网元根据所述终端设备的能力信息,确定所述终端设备具有接入所述第二网络的能力;
所述接入和移动管理网元根据所述终端设备具有接入所述第二网络的能力以及接入的无线接入网设备存在共部署的所述第二网络,确定所述第二网络的标识信息。
15.根据权利要求11所述的方法,其特征在于,所述接入和移动管理网元确定第二网络的标识信息,包括:
所述接入和移动管理网元接收来自所述第一统一数据管理单元的所述第二网络的标识信息的请求消息;
所述接入和移动管理网元基于所述请求消息确定所述第二网络的标识信息。
16.根据权利要求11-15中任一所述的方法,其特征在于,还包括:
所述接入和移动管理网元向所述终端设备发送用于指示所述终端设备生成第二认证信息的指示信息。
17.根据权利要求11-16中任一所述的方法,其特征在于,所述第一网络为公共安全隔离运营IOPS网络或私网,所述第二网络为宏网络;或,所述第一网络为所述宏网络,所述第二网络为所述IOPS网络或所述私网。
18.一种通信装置,其特征在于,包括:实现如权利要求1-10任一项、或权利要求11-17任一项所述的方法的功能模块。
19.一种通信装置,其特征在于,包括:至少一个处理器和存储器;
所述存储器,用于存储计算机程序或指令;
所述至少一个处理器,用于执行所述计算机程序或指令,以使得如权利要求1-10中任一项或权利要求11-17中任一项所述的方法被执行。
20.一种芯片系统,其特征在于,所述芯片系统包括:处理电路;所述处理电路与存储介质耦合;
所述处理电路,用于执行所述存储介质中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现如权利要求1-10任一项或权利要求11-17任一项所述的方法。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有指令,当所述指令被计算机执行时,使得如权利要求1-10任一项或权利要求11-17任一项所述的方法被执行。
22.一种包含计算机程序或指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得上述权利要求1-10任一项或权利要求11-17任一项所述的方法被执行。
CN202210489861.5A 2022-05-06 2022-05-06 一种通信方法及通信装置 Pending CN117062070A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210489861.5A CN117062070A (zh) 2022-05-06 2022-05-06 一种通信方法及通信装置
PCT/CN2023/090404 WO2023213208A1 (zh) 2022-05-06 2023-04-24 一种通信方法及通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210489861.5A CN117062070A (zh) 2022-05-06 2022-05-06 一种通信方法及通信装置

Publications (1)

Publication Number Publication Date
CN117062070A true CN117062070A (zh) 2023-11-14

Family

ID=88646245

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210489861.5A Pending CN117062070A (zh) 2022-05-06 2022-05-06 一种通信方法及通信装置

Country Status (2)

Country Link
CN (1) CN117062070A (zh)
WO (1) WO2023213208A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007280221A (ja) * 2006-04-10 2007-10-25 Fujitsu Ltd 認証ネットワークシステム
US8434132B2 (en) * 2010-08-31 2013-04-30 Intel Corporation Roaming between networks employing different authentication protocols
EP3175639B1 (en) * 2014-07-28 2021-04-14 Telefonaktiebolaget LM Ericsson (publ) Authentication during handover between two different wireless communications networks
CN111669276B (zh) * 2019-03-07 2022-04-22 华为技术有限公司 一种网络验证方法、装置及系统
CN112449339B (zh) * 2019-08-15 2023-05-09 中国移动通信有限公司研究院 一种网络漫游方法、装置、终端及存储介质

Also Published As

Publication number Publication date
WO2023213208A1 (zh) 2023-11-09

Similar Documents

Publication Publication Date Title
EP3820181B1 (en) Secure conversation method and device
CN108432206B (zh) 用于蜂窝物联网的无状态接入阶层安全性
JP6574238B2 (ja) デバイスを別のデバイスのネットワークサブスクリプションと関係付けること
TWI717383B (zh) 用於網路切分的金鑰層級
CN111869182B (zh) 对设备进行认证的方法、通信系统、通信设备
US10687213B2 (en) Secure establishment method, system and device of wireless local area network
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
JP7287534B2 (ja) Mmeデバイスにおいて実行される方法及びmmeデバイス
KR101868713B1 (ko) 사용자 디바이스들 간의 제어된 크레덴셜 제공
US20230319549A1 (en) Privacy of relay selection in cellular sliced networks
CN110637451B (zh) 用在通信网络中的网络节点、通信设备和操作其的方法
EP3820182A1 (en) Method and apparatus for acquiring security context
KR20190084142A (ko) 무선 통신 네트워크에서 라디오 액세스 네트워크(ran)의 콘텍스트를 처리하기 위한 네트워크 노드, 무선 장치 및 방법
EP4142327A1 (en) Method and apparatus for protecting communication
US20230014494A1 (en) Communication method, apparatus, and system
CN104301106A (zh) 无线通信系统及其认证方法
EP3962131A1 (en) Relay selection in cellular sliced networks
CN117062070A (zh) 一种通信方法及通信装置
CN115706997A (zh) 授权验证的方法及装置
CN117062161A (zh) 一种通信方法及通信装置
WO2024067619A1 (zh) 通信方法和通信装置
EP4030800A1 (en) Privacy of relay selection in cellular sliced networks
CN113873520A (zh) 一种通信方法、终端设备和无线接入网设备
CN116762470A (zh) 一种生成设备间通信的密钥的方法、系统和装置
CN115484583A (zh) 一种漫游接入方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication