CN117676558A - 网络信息处理方法及装置 - Google Patents
网络信息处理方法及装置 Download PDFInfo
- Publication number
- CN117676558A CN117676558A CN202211085584.8A CN202211085584A CN117676558A CN 117676558 A CN117676558 A CN 117676558A CN 202211085584 A CN202211085584 A CN 202211085584A CN 117676558 A CN117676558 A CN 117676558A
- Authority
- CN
- China
- Prior art keywords
- network element
- network
- registration information
- registration
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 48
- 238000003672 processing method Methods 0.000 title claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 146
- 238000004891 communication Methods 0.000 claims abstract description 81
- 238000013523 data management Methods 0.000 claims description 64
- 230000004044 response Effects 0.000 claims description 48
- 230000005540 biological transmission Effects 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 description 81
- 238000013461 design Methods 0.000 description 50
- 238000012545 processing Methods 0.000 description 49
- 230000000694 effects Effects 0.000 description 26
- 238000007726 management method Methods 0.000 description 25
- 230000008569 process Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 10
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 9
- 239000000243 solution Substances 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 230000011664 signaling Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- RJQIZOKNUKRKTP-UHFFFAOYSA-N N-acetyl-5-methoxykynuramine Chemical compound COC1=CC=C(N)C(C(=O)CCNC(C)=O)=C1 RJQIZOKNUKRKTP-UHFFFAOYSA-N 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种网络信息处理方法及装置,属于通信技术领域,用以保障终端多注册场景下的业务,避免业务失败。该方法中,第二网元通过能力增强可支持终端的多注册场景,例如,第二网元可以根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,以支持终端和应用服务器之间的业务,如保障业务数据能够安全传输,避免业务失败。
Description
技术领域
本申请涉及通信领域,尤其涉及一种网络信息处理方法及装置。
背景技术
第三代合作伙伴计划(3rd generation partnership project,3GPP)定义了应用认证和密钥管理(authentication and key management for applications,AKMA)机制,用以保障终端的业务安全。例如,在UE的多注册场景下,认证服务功能(authenticationserver function,AUSF)网元向AKMA锚点功能(AKMA anchor function,AAnF)网元提供KAKMA上下文,以及UE在多个网络各自的注册信息,用以保障该UE与多个网络相关的业务的安全。
然而,由于AAnF网元无法支持UE的多注册场景,无法为某些网络对应的业务提供支持,导致业务失败。
发明内容
本申请实施例提供一种网络信息处理方法及装置,用以保障终端多注册场景下的业务,避免业务失败。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种网络信息处理方法。该方法包括:在终端通过归属网络的第一网元分别注册到第一网络和第二网络的情况下,归属网络的第二网元接收来自第一网元的第一注册信息和第二注册信息,以根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息。其中,第一注册信息是终端在第一网络的注册信息,第二注册信息是终端在第二网络的注册信息。第三网元是终端注册的网络的网元,终端注册的网络为第一网络或第二网络,终端的安全信息用于对终端和应用服务器之间的数据传输进行安全保护,终端注册的网络用于支持终端和应用服务器之间的数据传输。
基于第一方面所述的方法可知,第二网元通过能力增强可支持终端的多注册场景,例如,第二网元可以根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,以支持终端和应用服务器之间的业务,如保障业务数据能够安全传输,避免业务失败。
一种可能的设计方案中,归属网络的第二网元接收来自第一网元的第一注册信息和第二注册信息,包括:第二网元接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元保存第一注册信息。之后,第二网元接收来第一网元的第二消息。其中,第二消息包括第二注册信息。如此,第二网元保存第二注册信息,且不删除第一注册信息。也就是说,在终端注册到第一网络和第二网络的情况下,第二网元可以保存所有的注册信息,如第一注册信息和第二注册信息,以确保第二网元能够根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息。
可选地,第一方面所述的方法还可以包括:
第二网元获取注册指示信息;其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。相应的,第二网元保存第二注册信息,且不删除第一注册信息,包括:第二网元根据注册指示信息,保存第二注册信息,且不删除第一注册信息。也就是说,第二网元在获取到注册指示信息的情况下,第二网元保存所有的注册信息,否则,第二网元保存最新的信息,如保存第二注册信息,并删除第一注册信息,以节约储存空间。
进一步的,注册指示信息携带在第二消息中,即通过复用第二消息传输注册指示信息,以降低实现难度。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息,也即,认证服务网元可通过复用密钥注册流程中的消息来提供注册信息,以降低实现难度。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息,也即,数据管理网元可通过复用通知流程中的消息来提供注册信息,以降低实现难度。
可以理解,认证服务网元或者数据管理网元也可以通过新定义的消息来提供注册信息,不做限定。
一种可能的设计方案中,归属网络的第二网元接收来自第一网元的第一注册信息和第二注册信息,包括:第二网元接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。如此,第二网元保存第一注册信息和第二注册信息。
可以理解,第二网元在保存第一注册信息和第二注册信息时,也可以删除先前保存的信息,如第一注册信息,以节约储存空间,或者也可以不删除先前保存的信息,不做限定。
可选地,第一网元是认证服务网元,第二消息是第二密钥注册请求消息,也即,认证服务网元可通过复用密钥注册流程中的消息来提供注册信息,以降低实现难度。或者,第一网元是数据管理网元,第二消息是第二通知消息,也即,数据管理网元可通过复用通知流程中的消息来提供注册信息,以降低实现难度。
可以理解,认证服务网元或者数据管理网元也可以通过新定义的消息来提供注册信息,不做限定。
一种可能的设计方案中,第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,包括:第二网元根据第一注册信息和第二注册信息,确定第三网元是终端注册的网络的网元,例如,第一注册信息包括第一网络的标识,第二注册信息包括第二网络的标识,第二网元确定第三网元所在网络的标识,是否与第一网络的标识或所述第二网络的标识匹配,若第三网元所在网络的标识与第一网络的标识或所述第二网络的标识匹配,则第二网元确定第三网元是终端注册的网络的网元。第二网元向第三网元发送终端的安全信息。
或者,第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,包括:第二网元根据第一注册信息和第二注册信息,在终端注册的网络的网元中确定第三网元,从而向第三网元发送终端的安全信息。
可以看出,第二网元可以只向可信的网元,如终端注册的网络的网元,提供终端的安全信息。如此,可以避免不受信任的网元,如非终端注册的网络的网元获取终端的安全信息,以降低数据暴露的风险。
一种可能的设计方案中,第一方面所述的方法还可以包括:在终端在第一网络中去注册的情况下,第二网元根据第一网元的指示,删除第一注册信息。和/或,在终端在第二网络中去注册的情况下,第二网元根据第一网元的指示,删除第二注册信息。如此,可以避免维护冗余信息,节约储存空间,提高设备运行效率。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络,以保障在归属-漫游场景下的业务安全。或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络,以保障在多漫游场景下的业务安全。
一种可能的设计方案中,第二网元是安全锚点网元,如AAnF网元,如此可以适用于到AMKA场景,或者第二网元也可以是其他任何可能的网元,不做限定。
第二方面,提供一种网络信息处理方法。该方法包括:归属网络的第一网元确定终端注册到多个网络,以向归属网络的第二网元发送第一注册信息和第二注册信息。其中,多个网络包括第一网络和第二网络,第一注册信息是终端在第一网络的注册信息,第二注册信息是终端在第二网络的注册信息,第一注册信息和第二注册信息用于第二网元为终端提供安全保护。
一种可能的设计方案中,第一网元是认证服务网元,归属网络的第一网元确定终端注册到多个网络,包括:认证服务网元根据数据管理网元发送的信息,确定终端注册到多个网络。其中,数据管理网元发送的信息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息,注册指示信息用于指示终端注册到多个网络。可以看出,数据管理网元可以选择通过注册指示信息显式指示终端注册到多个网络,也可以选择通过第一注册信息和/或第二注册信息隐式指示终端注册到多个网络,具体选择采用哪种指示方式可根据实际需求确定,不做限定。
一种可能的设计方案中,第二方面所述的方法还可以包括:认证服务网元向数据管理网元发送针对终端的认证获取请求消息,以接收数据管理网元针对认证获取请求返回的认证获取响应消息。其中,认证获取响应消息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息。可以看出,认证服务网元可通过复用认证流程,如主鉴权流程中的消息来获取数据管理网元发送的信息,以降低实现难度。
一种可能的设计方案中,第一网元是数据管理网元,归属网络的第一网元确定终端注册到多个网络,包括:数据管理网元根据终端的注册状态,确定终端注册到多个网络。也即,数据管理网元可以自行感知终端的注册状态,如此可以避免额外的信令交互,以节约通信开销。
一种可能的设计方案中,第一网元向第二网元发送第一注册信息和第二注册信息,包括:第一网元向第二网元发送第一消息。其中,第一消息包括第一注册信息;第一网元向第二网元发送第二消息。其中,第二消息包括第二注册信息。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,第一网元向第二网元发送第一注册信息和第二注册信息,包括:第一网元向第二网元发送第二消息。其中,第二消息包括第一注册信息和第二注册信息。
可选地,第一网元是认证服务网元,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第二消息是第二通知消息。
一种可能的设计方案中,第二方面所述的方法还可以包括:在终端在第一网络中去注册的情况下,第一网元指示第二网元删除第一注册信息。和/或,在终端在第二网络中去注册的情况下,第一网元指示第二网元删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络;或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,第二网元是安全锚点网元。
此外,第二方面所述的方法的其他技术效果可以参考第一方面所述的方法的技术效果,此处不再赘述。
第三方面,提供一种网络信息处理方法。该方法包括:在终端注册到第一网络的情况下,归属网络的第二网元接收来自第三网元的第一请求消息。其中,第一请求消息用于请求终端的安全信息,终端的安全信息用于终端和应用服务器之间的数据传输的安全保护,第一网络用于支持终端和应用服务器之间的数据传输。第二网元根据第一注册信息,确定第三网元是终端注册的网络的网元,从而向第三网元发送终端的安全信息。其中,终端注册的网络包括第一网络,第一注册信息是终端在第一网络的注册信息。
一种可能的设计方案中,第三方面所述的方法还包括:在终端注册到第二网络的情况下,第二网元接收来自第四网元的第二请求消息。其中,第二请求消息用于请求终端的安全信息,第二网络用于支持终端和应用服务器之间的数据传输。第二网元根据第二注册信息,确定第四网元是终端注册的网络的网元,从而向第四网元发送终端的安全信息。其中,终端注册的网络包括第二网络,第二注册信息是终端在第二网络的注册信息。
一种可能的设计方案中,第三方面所述的方法还包括:第二网元接收来自归属网络的第一网元的第一注册信息和第二注册信息。
可选地,第二网元接收来自归属网络的第一网元的第一注册信息和第二注册信息,包括:第二网元接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元保存第一注册信息。之后,第二网元接收来第一网元的第二消息。其中,第二消息包括第二注册信息。如此,第二网元保存第二注册信息,且不删除第一注册信息。
进一步的,第三方面所述的方法还包括:第二网元获取注册指示信息;其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。相应的,第二网元保存第二注册信息,且不删除第一注册信息,包括:第二网元根据注册指示信息,保存第二注册信息,且不删除第一注册信息。
进一步的,注册指示信息携带在第二消息中。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,第二网元接收来自归属网络的第一网元的第一注册信息和第二注册信息,包括:第二网元接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。如此,第二网元保存第一注册信息和第二注册信息。
可选地,第一网元是认证服务网元,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第二消息是第二通知消息。
一种可能的设计方案中,第一方面所述的方法还可以包括:在终端从第一网络去注册的情况下,第二网元根据第一网元的指示,删除第一注册信息。和/或,在终端从第二网络去注册的情况下,第二网元根据第一网元的指示,删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络。或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,第二网元是安全锚点网元。
此外,第三方面所述的方法的技术效果可以参考第一方面所述的方法的技术效果,此处不再赘述。
第四方面,提供一种网络信息处理方法。该方法包括:在终端通过归属网络的第一网元分别注册到第一网络和第二网络的情况下,第一网元向归属网络的第二网元发送第一注册信息和第二注册信息,第二网元接收来自第一网元的第一注册信息和第二注册信息。第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息。其中,第一注册信息是终端在第一网络的注册信息,第二注册信息是终端在第二网络的注册信息。第三网元是终端注册的网络的网元,终端注册的网络为第一网络或第二网络的网元,终端的安全信息用于对终端和应用服务器之间的数据传输进行安全保护,终端注册的网络用于支持终端和应用服务器之间的数据传输。
一种可能的设计方案中,第一网元向归属网络的第二网元发送第一注册信息和第二注册信息,第二网元接收来自第一网元的第一注册信息和第二注册信息,包括:第一网元向第二网元发送第一消息,第二网元接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元保存第一注册信息。第一网元向第二网元发送第二消息,第二网元接收来第一网元的第二消息。其中,第二消息包括第二注册信息,如此,第二网元保存第二注册信息,且不删除第一注册信息。
可选地,第四方面所述的方法还可以包括:第二网元获取第一注册信息。其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。相应的,第二网元保存第二注册信息,且不删除第一注册信息,包括:第二网元根据注册指示信息,保存第二注册信息,且不删除第一注册信息。
进一步的,注册指示信息携带在第二消息中。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,第一网元向归属网络的第二网元发送第一注册信息和第二注册信息,第二网元接收来自第一网元的第一注册信息和第二注册信息,包括:第一网元向第二网元发送第二消息,第二网元接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。如此,第二网元保存第一注册信息和第二注册信息。
可选地,第一网元是认证服务网元,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第二消息是第二通知消息。
一种可能的设计方案中,在第一网元向归属网络的第二网元发送第一注册信息和第二注册信息之前,第四方面所述的方法还可以包括:第一网元确定终端注册到多个网络,其中,多个网络包括第一网络和第二网络。
可选地,第一网元是认证服务网元,第一网元确定终端注册到多个网络,包括:认证服务网元根据数据管理网元发送的信息,确定终端注册到多个网络。其中,数据管理网元发送的信息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息,注册指示信息用于指示终端注册到多个网络。
进一步的,第四方面所述的方法还可以包括:认证服务网元向数据管理网元发送针对终端的认证获取请求消息,以接收数据管理网元针对认证获取请求返回的认证获取响应消息。其中,认证获取响应消息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息。
可选地,第一网元是数据管理网元,第一网元确定终端注册到多个网络,包括:数据管理网元根据终端的注册状态,确定终端注册到多个网络。
一种可能的设计方案中,第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,包括:第二网元根据第一注册信息和第二注册信息,确定第三网元是终端注册的网络的网元,从而向第三网元发送终端的安全信息。
或者,第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,包括:第二网元根据第一注册信息和第二注册信息,在终端注册的网络的网元中确定第三网络,从而向第三网元发送终端的安全信息。
一种可能的设计方案中,第四方面所述的方法还可以包括:在终端在第一网络中去注册的情况下,第一网元指示第二网元删除第一注册信息,第二网元根据第一网元的指示,删除第一注册信息。和/或,在终端在第二网络中去注册的情况下,第一网元指示第二网元删除第二注册信息,第二网元根据第一网元的指示,删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络。或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,第二网元是安全锚点网元。
此外,第四方面所述的方法的技术效果可以参考第一方面和第二方面所述的方法的技术效果,此处不再赘述。
第五方面,提供一种网络信息处理装置。该装置包括:用于执行第一方面所述的方法的模块,例如,收发模块和处理模块,收发模块用于执行该装置的收发功能,处理模块用于执行该装置除收发功能以外的其他功能。
可选地,收发模块可以包括发送模块和接收模块。其中,发送模块用于实现第五方面所述的装置的发送功能,接收模块用于实现第五方面所述的装置的接收功能。
可选地,第五方面所述的装置还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块执行该程序或指令时,使得该装置可以执行第一方面所述的方法。
可以理解,第五方面所述的装置可以是网络设备,如第二网元,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,第五方面所述的装置的技术效果可以参考第一方面所述的方法的技术效果,此处不再赘述。
第六方面,提供一种网络信息处理装置。该装置包括:用于执行第二方面所述的方法的模块,例如,收发模块和处理模块,收发模块用于执行该装置的收发功能,处理模块用于执行该装置除收发功能以外的其他功能。
可选地,收发模块可以包括发送模块和接收模块。其中,发送模块用于实现第六方面所述的装置的发送功能,接收模块用于实现第六方面所述的装置的接收功能。
可选地,第六方面所述的装置还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块执行该程序或指令时,使得该装置可以执行第二方面所述的方法。
可以理解,第六方面所述的装置可以是网络设备,如第一网元,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,第六方面所述的装置的技术效果可以参考第二方面所述的方法的技术效果,此处不再赘述。
第七方面,提供一种网络信息处理装置。该装置包括:用于执行第三方面所述的方法的模块,例如,收发模块和处理模块,收发模块用于执行该装置的收发功能,处理模块用于执行该装置除收发功能以外的其他功能。
可选地,收发模块可以包括发送模块和接收模块。其中,发送模块用于实现第七方面所述的装置的发送功能,接收模块用于实现第七方面所述的装置的接收功能。
可选地,第七方面所述的装置还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块执行该程序或指令时,使得该装置可以执行第三方面所述的方法。
可以理解,第七方面所述的装置可以是网络设备,如第二网元,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,第七方面所述的装置的技术效果可以参考第三方面所述的方法的技术效果,此处不再赘述。
第八方面,提供一种通信装置。该通信装置包括:处理器,该处理器用于执行第一方面至第四方面中任一方面所述的方法。
在一种可能的设计方案中,第八方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第八方面所述的通信装置与其他通信装置通信。
在一种可能的设计方案中,第八方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起,也可以分开设置。该存储器可以用于存储第一方面至第四方面中任一方面所述的方法所涉及的计算机程序和/或数据。
第八方面所述的通信装置可以为第一方面至第四方面中任一方面所述的网络设备,如第一网元或第二网元,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第八方面所述的通信装置的技术效果可以参考第一方面至第四方面中任一方面所述的方法的技术效果,此处不再赘述。
第九方面,提供一种通信装置。该通信装置包括:处理器,该处理器与存储器耦合,该处理器用于执行存储器中存储的计算机程序,以使得该通信装置执行第一方面至第四方面中任一方面所述的方法。
在一种可能的设计方案中,第九方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第九方面所述的通信装置与其他通信装置通信。
第九方面所述的通信装置可以为第一方面至第四方面中任一方面所述的网络设备,如第一网元或第二网元,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第九方面所述的通信装置的技术效果可以参考第一方面至第四方面中任一方面所述的方法的技术效果,此处不再赘述。
第十方面,提供了一种通信装置,包括:处理器和存储器;该存储器用于存储计算机程序,当该处理器执行该计算机程序时,以使该通信装置执行第一方面至第四方面中任一方面所述的方法。
在一种可能的设计方案中,第十方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十方面所述的通信装置与其他通信装置通信。
第十方面所述的通信装置可以为第一方面至第四方面中任一方面所述的网络设备,如第一网元或第二网元,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第十方面所述的通信装置的技术效果可以参考第一方面至第四方面中任一方面所述的方法的技术效果,此处不再赘述。
第十一方面,提供了一种通信装置,包括:处理器;该处理器用于与存储器耦合,并读取存储器中的计算机程序之后,根据该计算机程序执行如第一方面至第四方面中任一方面所述的方法。
在一种可能的设计方案中,第十一方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第十一方面所述的通信装置与其他通信装置通信。
第十一方面所述的通信装置可以为第一方面至第四方面中任一方面所述的网络设备,如第一归属网元或第二归属网元,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第十一方面所述的通信装置的技术效果可以参考第一方面至第四方面中任一方面所述的方法的技术效果,此处不再赘述。
第十二方面,提供一种通信系统。该通信系统包括:第四方面所述的第一归属网元,以及第四方面所述的第二归属网元。
第十三方面,提供一种计算机可读存储介质,包括:计算机程序或指令;当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面至第四方面中任一方面所述的方法。
第十四方面,提供一种计算机程序产品,包括计算机程序或指令,当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面至第四方面中任一方面所述的方法。
附图说明
图1为5G系统的架构示意图;
图2为AKMA的流程示意图;
图3为会话建立的流程示意图;
图4为多注册场景的流程示意图;
图5为本申请实施例提供的一种通信系统的架构示意图;
图6为本申请实施例提供的一种网络信息处理方法的流程示意图一;
图7为本申请实施例提供的一种网络信息处理方法的流程示意图二;
图8为本申请实施例提供的一种网络信息处理方法的流程示意图三;
图9为本申请实施例提供的一种网络信息处理方法的流程示意图四;
图10为本申请实施例提供的一种网络信息处理方法的流程示意图五;
图11为本申请实施例提供的一种网络信息处理方法的流程示意图六;
图12为本申请实施例提供的一种网络信息处理方法的流程示意图七;
图13为本申请实施例提供的一种网络信息处理方法的流程示意图八;
图14为本申请实施例提供的一种网络信息处理装置结构示意图;
图15为本申请实施例提供的一种通信装置的结构示意图。
具体实施方式
方便理解,下面先介绍本申请实施例所涉及的技术术语。
1、第五代(5th generation,5G)移动通信系统:
图1为5G系统的架构示意图,如图1所示,5G系统包括:接入网(access network,AN)和核心网(core network,CN),还可以包括:终端。
上述终端可以为具有收发功能的终端,或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置(uesr equipment,UE)、接入终端、用户单元(subscriberunit)、用户站、移动站(mobile station,MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant,PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication,MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、具有终端功能的路边单元(road side unit,RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。
上述AN用于实现接入有关的功能,可以为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括:接入网设备,也可以称为无线接入网设备(radio access network,RAN)设备。
RAN设备可以是为终端提供接入的设备。例如,RAN设备可以包括:RAN设备也可以包括5G,如新空口(new radio,NR)系统中的gNB,或,5G中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB、传输点(transmission and reception point,TRP或者transmission point,TP)或传输测量功能(transmission measurementfunction,TMF)的网络节点,如基带单元(building base band unit,BBU),或,集中单元(centralized unit,CU)或分布单元(distributed unit,DU)、具有基站功能的RSU,或者有线接入网关,或者5G的核心网网元。或者,RAN设备还可以包括无线保真(wirelessfidelity,WiFi)系统中的接入点(access point,AP),无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。或者,RAN设备可以也可以包括下一代移动通信系统,例如6G的接入网设备,例如6G基站,或者在下一代移动通信系统中,该网络设备也可以有其他命名方式,其均涵盖在本申请实施例的保护范围以内,本申请对此不做任何限定。
CN主要负责维护移动网络的签约数据,为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元:用户面功能(user plane function,UPF)网元、认证服务功能(authentication server function,AUSF)网元、接入和移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(sessionmanagement function,SMF)网元、网络切片选择功能(network slice selectionfunction,NSSF)网元、网络开放功能(network exposure function,NEF)网元、网络功能仓储功能(NF repository function,NRF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、应用功能(applicationfunction,AF)网元、以及网络切片和独立非公共网络(standalone non-public network,SNPN)的鉴权授权功能(network slice-specific and SNPN authentication andauthorization function,NSSAAF)网元、AKMA锚点功能(AKMA anchor function,AAnF)网元等。
其中,UPF网元主要负责用户数据处理(转发、接收、计费等)。例如,UPF网元可以接收来自数据网络(data network,DN)的用户数据,通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据,并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol,IP)多媒体业务(IP multi-media srvice,IMS)、互联网(internet)等。
AMF网元主要负责移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。
SMF网元主要负责移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol,IP)地址,选择提供报文转发功能的UPF等。
PCF网元主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略,例如服务质量(quality of service,QoS)策略、切片选择策略等。
NSSF网元可用于为终端选择网络切片。
UDM网元可用于存储用户数据,例如签约数据、鉴权/授权数据等。
NSSAAF网元可用于支持切片认证和授权,以及支持使用凭据持有者的凭据访问独立非公共网络。NSSAAF网元可以通过认证、授权和计费代理(authentication,authorization,and accounting proxy,AAA-P)与认证、授权和计费服务器(authentication,authorization,and accounting server,AAA-S)交互。
AUSF网元可用于支持3GPP接入和非3GPP接入的认证。例如,在AKMA场景下,AUSF网元可以生成AKMA的根密钥KAKMA,并向AAnF提供AKMA根密钥KAKMA。
AAnF网元可用于为AKMA服务启用AKMA根密钥KAKMA,即AAnF与AUSF交互获取AKMA根密钥KAKMA,并且根据AKMA根密钥KAKMA为AF生成AF使用的密钥KAF和密钥KAF的有效时间。
AF主要支持与CN交互来提供服务,例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。在AKMA场景中,AF需要与AAnF交互,获得密钥KAF和密钥KAF的有效时间。其中,基于运营商的部署,AF可以与运营商信任的网元直接进行相关网络功能的交互。AF与运营商不信任的网元之间可通过NEF网元完成相关网络功能的交互。
NEF网元可用于能力和事件开放、内部-外部信息的翻译、非IP包的传输等。在AKMA场景下,AF可以通过NEF网元获取AAnF网元的服务。
2、AKMA:
图2为AKMA的流程示意图,AKMA可以基于上述图1所示的5GS架构实现相应的流程,具体如图2所示,流程包括:
S201,AUSF网元向UDM网元发送UE鉴权获得请求(Nudm_UEAuthentication GetRequest)消息。UDM网元接收来自AUSF网元的UE鉴权获得请求消息。
在UE的主鉴权过程中,AUSF网元可向UDM网元发送UE鉴权获得请求消息,用以请求认证向量。UE鉴权获得请求消息可以包括UE的身份标识,如用户永久标识符(subscriptionpermanent identifier,SUPI)或者SUCI。
S202,UDM网元向AUSF网元发送UE鉴权获得响应(Nudm_UEAuthentication GetResponse)消息。AUSF网元接收来自UDM网元的UE鉴权获得响应消息。
UE鉴权获得响应消息可以包括UE鉴权获得请求消息请求的认证向量。可选地,在UE支持AKMA的情况下,UE鉴权获得响应消息还可以包括AKMA指示和路由器标识符(routeridentifier,RID)。AKMA指示可以用于指示AUSF网元生成AKMA根密钥KAKMA,RID可以用于AAnF网元的选择。
S203,AUSF网元生成AKMA根密钥KAKMA和AKMA密钥标识(AKMA-key identifier,A-KID)。
在接收到AKMA指示和RID,且UE的主鉴权流程完成的情况下,AUSF网元可以根据主鉴权流程生成的密钥KAUSF,生成AKMA根密钥KAKMA。A-KID可以用于标识AKMA根密钥KAKMA,如包括RID。
S204,UE生成AKMA根密钥KAKMA和A-KID。
UE可执行与AUSF网元类似的密钥推演流程,以生成AKMA根密钥KAKMA和A-KID。
S205,AUSF网元向AAnF网元发送AKMA注册请求(Naanf_AKMA_AnchorKeyRegistrRequest)消息。AAnF网元接收来自AUSF网元的AKMA注册请求消息。
AKMA注册请求消息可包括KAKMA上下文,如SUPI,A-KID和AKMA根密钥KAKMA。其中,AUSF网元可以选择AAnF网元,如根据RID选择AAnF网元,从而向AAnF网元发送AKMA注册请求消息。
S206,AAnF网元向AUSF网元发送AKMA注册响应(Naanf_AKMA_AnchorKeyRegistrRequest)消息。AUSF网元接收来自AAnF网元的AKMA注册响应消息。
其中,AKMA注册响应消息可以用于响应AKMA注册请求消息。
AAnF网元通常只保存AUSF网元发送的最新信息。例如,当重鉴权发生时,AUSF网元向AAnF网元发送新的A-KID和新的AKMA根密钥KAKMA,此时,AAnF网元保存该新的A-KID和新的AKMA根密钥KAKMA,并删除旧的A-KID和旧的AKMA根密钥KAKMA。
在完成图2所示的流程后,UE可以向AF发起会话建立流程,具体如图3所示,流程包括:
S301,UE向AF发送应用会话建立请求(Application Session EstablishmentRequest)消息。AF接收来自UE的应用会话建立请求消息。
应用会话建立请求消息可以用于请求AF建立应用会话。应用会话建立请求消息可以包括A-KID。
以工业自动化业务为例,UE可以为进行制造生产的机械臂,AF可以为控制机械臂操作的控制服务器。为了简化认证凭证的配置,机械臂和控制服务器之间可以利用AKMA业务进行协商,并建立机械臂与控制服务器的安全连接。机械臂根据控制服务器的IP地址,发送应用会话建立请求消息。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,UE可以与其服务器建立安全连接,此处不做赘述。
S302,AF向AAnF网元发送AKMA应用密钥获取请求(Naanf_AKMA_ApplicationKey_Get Request)消息。AAnF网元接收来自AF的AKMA应用密钥获取请求消息。
AKMA应用密钥获取请求消息可以用于请求A-KID相关的KAF上下文,如A-KID,密钥KAF和密钥KAF的有效时间。例如,AKMA应用密钥获取请求消息可以包括A-KID和AF_ID。其中,A-KID可以作为密钥标识符,用于请求密钥KAF。AF_ID可以作为计算密钥KAF的输入参数,以实现不同AF之间的密钥隔离。其中,AF可以在没有保存A-KID相关的上下文的情况下,向AAnF网元发送AKMA应用密钥获取请求。例如,AF可以选择AAnF网元,如根据A-KID选择AAnF网元,向AAnF网元发送AKMA应用密钥获取请求消息。
以工业自动化业务为例,为获取适用于控制服务器的密钥,控制服务器向AAnF网元发送的AKMA应用密钥获取请求消息中,AF_ID为控制服务器的标识信息。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,此处不做赘述。
S303,AAnF网元推演密钥KAF。
AAnF网元可以将AKMA根密钥KAKMA和AF_ID作为输入参数,推演密钥KAF。
以工业自动化业务为例,密钥KAF与控制服务器存在对应关系。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,此处不做赘述。
S304,AAnF网元向AF发送AKMA应用密钥获取响应(Naanf_AKMA_ApplicationKey_Get Request)消息。AF接收来自AAnF网元的AKMA应用密钥获取响应消息。
AKMA应用密钥获取响应消息可以包括KAF上下文。
以工业自动化业务为例,AAnF网元向控制服务器发送的AKMA应用密钥响应消息中,KAF上下文为控制服务器的安全上下文。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,此处不做赘述。
S305,AF向UE发送应用会话建立响应(Application Session EstablishmentResponse)消息。UE接收来自AF的应用会话建立响应消息。
应用会话建立响应消息可以用于响应应用会话建立请求消息。此外,由于UE可以自行推演密钥KAF,以及密钥KAF的有效时间。至此,AF和UE都获得了相同的密钥,双方可以据此建立应用会话。
以工业自动化业务为例,机械臂接收控制服务器发送的响应消息,机械臂和控制服务器之间可以获得相同的密钥,并根据密钥建立安全连接。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,UE可以与其服务器建立安全连接,此处不做赘述。
3、AKMA的漫游场景:
为解决AKMA的漫游问题,家乡公用陆地移动网络(home public land mobilenetwork,HPLMN)和拜访公用陆地移动网络(visited public land mobile network,VPLMN)均需部署AAnF网元或proxy代理网元(下文以AAnF网元为例)。HPLMN记为归属网络,也可称为家乡网络。VPLMN记为漫游网络,也可以称为拜访网络。漫游网络的AAnF网元记作V-AAnF网元,归属网络的AAnF网元记作H-AAnF网元。此时,上述图2和图3所示的AAnF网元也可以理解为H-AAnF网元,AUSF网元也可以理解为H-AUSF网元。
这种情况下,V-AAnF网元可以从H-AAnF网元获得KAKMA上下文,如SUPI,A-KID和AKMA根密钥KAKMA,或者V-AAnF网元可以也从H-AAnF网元获得KAF上下文,如A-KID,密钥KAF和密钥KAF有效时间。例如,H-AAnF网元也可以在收到AUSF网元发送KAKMA上下文和漫游网络的标识后,选择V-AAnF网元,并主动向V-AAnF网元发送KAKMA上下文或KAF上下文。
4、UE的多注册场景:
5GS支持UE通过不同的接入类型和网络进行多网络注册,如注册到第一网络和第二网络。接入类型可以是3GPP接入,也可以是非3GPP接入。第一网络和第二网络不同。例如,第一网络和第二网络是不同的拜访网络,如第一网络是UE的第一拜访网络,第二网络是UE的第二拜访网络;或者,第一网络是UE的归属网络,第二网络是UE的拜访网络,不做限定。
以工业自动化业务为例,控制服务器(AF)指导机械臂(UE)进行高精度生产操作的场景下,需要机械臂与控制服务器之间需要建立高可靠和安全的数据连接。为实现上述目标,工厂环境中可能有多个运营商网络覆盖。机械臂作为UE同时注册到两个网络中并建立数据传输通道,以保证数据传输的可靠性。例如,机械臂可以通过接入类型1连接到第一网络,在通过主鉴权流程后,完成在第一网络的注册,从而与控制服务器之间建立第一传输通道,用于承载生成操作指令等传输业务。机械臂也可以通过第二接入类型连接到第二网络,并第二次主鉴权流程通过后,完成在第二网络的注册,从而与控制服务器之间建立第二传输通道,用于承载生成操作指令等传输业务。在这种情况下,机械臂可以通过两条通道获得控制服务器发送的操作指令等消息,实现高可靠的数据传输。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,UE可以与其服务器建立安全连接,此处不做赘述。
可以理解,由于H-AAnF网元通常只保存AUSF网元提供的最新信息,导致UE的某些业务可能会失败,影响用户体验,下面具体介绍。
图4为UE在多注册场景下的业务流程示意图,如图4所示,流程具体包括:
S401,第一次主鉴权流程。
UE可以通过第一连接(如3GPP连接或非3GPP连接)向第一网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元完成对UE的第一次主鉴权,以便鉴权成功后,完成UE在第一网络的注册,具体实现可参考上述S201-S204的相关介绍,不再赘述。
S402,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
AKMA注册请求消息1可以包括KAKMA上下文1,具体实现可参考上述S205-S206的相关介绍,不再赘述。AKMA注册请求消息1还可以包括UE在第一网络的注册信息,记为第一注册信息。例如,第一注册信息可以包括第一网络的标识。
S403,H-AAnF网元保存KAKMA上下文1以及第一注册信息。
其中,AAnF网元通过保存第一注册信息,使得AAnF网元后续能够依据第一注册信息,提供KAKMA上下文1。例如,AAnF网元可以根据第一注册信息,查找UE注册的网络的网元,如第一网络的网元,从而向第一网络的网元发送KAKMA上下文1,以保障UE的相关业务,如需要第一网络支持的业务的安全。
S404,第二次主鉴权流程。
UE可以通过第二连接(如3GPP连接或非3GPP连接)向第二网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元完成对UE的第二次主鉴权,以便鉴权成功后,完成UE在第二网络的注册,具体实现也可参考上述S201-S204的相关介绍,不再赘述。
S405,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
AKMA注册请求消息2可以包括KAKMA上下文2。KAKMA上下文2与KAKMA上下文1可以不同,例如,KAKMA上下文2可以是AUSF网元重新生成的KAKMA上下文,具体实现也可参考上述S205-S206的相关介绍,不再赘述。AKMA注册请求消息2还可以包括UE在第二网络的注册信息,记为第二注册信息。例如,第二注册信息可以包括第二网络的标识。
S406,H-AAnF网元保存最新的KAKMA上下文以及最新的注册信息。
例如,H-AAnF网元可以保存KAKMA上下文2以及第二注册信息,并删除KAKMA上下文1以及第一注册信息。
S407,H-AAnF网元向AAnF网元2发送KAKMA上下文2。
其中,AAnF网元2是第二网络的网元。H-AAnF网元可以根据第二注册信息,也即,第二网络的标识,查找UE注册的网络的网元,也即第二网络的网元,如AAnF网元2,从而向AAnF网元2提供KAKMA上下文2,用以保障UE的相关业务,如需要第二网络支持的业务的安全。
S408,UE向AF发送应用会话建立请求消息。AF接收来自UE的应用会话建立请求消息。
S409,AF向AAnF网元1和AAnF网元2发送AKMA应用密钥获取请求消息。AAnF网元1和AAnF网元2接收来自AF的AKMA应用密钥获取请求消息。
其中,AAnF网元1是第一网络的AAnF网元,AAnF网元2是第二网络的AAnF网元。此时,S408-S409的具体实现也可参考上述S301-S302的相关介绍,不再赘述。
S410,AAnF网元2向AF发送AKMA应用密钥获取响应消息。AF接收来自AAnF网元2的AKMA应用密钥获取响应消息。
S411,AF向UE发送应用会话建立响应消息。UE接收来自AF的应用会话建立响应消息。
其中,S410-S411的具体实现也可参考上述S303-S305的相关介绍,不再赘述。
可以理解,在多注册场景下,UE的业务可能需要各个网络的支持,例如,UE的业务1需要第一网络的支持,UE的业务2需要第二网络的支持。由于H-AAnF网元只保存最新的信息,如KAKMA上下文2以及第二注册信息,H-AAnF网元可以根据第二注册信息,查找到第二网络的网元,如AAnF网元2,从而向AAnF网元2提供KAKMA上下文2,以保证业务2的安全。但是,H-AAnF网元会因为没有保存第一注册信息,而无法查找到第一网络的网元,如AAnF网元1,从而无法向AAnF网元1提供KAKMA上下文2,导致业务1可能失败。此外,由于H-AAnF网元缺乏校验能力,导致H-AAnF网元可能会响应不受信任的AAnF网元的请求,并向不受信任的AAnF网元提供UE的信息,导致UE的信息暴露,造成安全风险。
综上,针对上述技术问题,本申请实施例提出了如下技术方案,以实现在多注册场景下避免UE的业务失败。
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如无线保真(wirelessfidelity,WiFi)系统,车到任意物体(vehicle to everything,V2X)通信系统、设备间(device-todevie,D2D)通信系统、车联网通信系统、第四代(4th generation,4G)移动通信系统,如长期演进(long term evolution,LTE)系统、全球互联微波接入(worldwideinteroperability for microwave access,WiMAX)通信系统、5G,如新空口(new radio,NR)系统,以及未来的通信系统等。
本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是,各个系统可以包括另外的设备、组件、模块等,并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外,还可以使用这些方案的组合。
另外,在本申请实施例中,“示例的”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
本申请实施例中,“信息(information)”,“信号(signal)”,“消息(message)”,“信道(channel)”、“信令(singaling)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是匹配的。“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是匹配的。此外,本申请提到的“/”可以用于表示“或”的关系。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为便于理解本申请实施例,首先以图5中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性的,图5为本申请实施例提供的网络信息处理方法所适用的一种通信系统的架构示意图。
如图5所示,该通信系统可以适用于上述5G系统,主要包括:AUSF网元、UDM网元,以及H-AAnF网元。
在UE注册到多个网络的情况下,AUSF网元或UDM网元可以向H-AAnF网元提供UE在多个网络各自的注册信息,也即多个注册信息,H-AAnF网元可以保存这多个注册信息,从而避免UE的业务失败。
H-AAnF网元还可以使用多个注册信息,校验请求UE信息的网元是否为可信的网元。例如,H-AAnF网元可以确定该请求UE信息的网元是否为UE注册的网络的网元。在请求UE信息的网元为可信的网元,如UE注册的网络的网元的情况下,H-AAnF网元向请求UE信息的网元提供UE信息,否则,不提供UE信息。如此,可以避免不受信任的网元获取UE信息,以降低数据暴露的安全风险。
可以理解,本申请实施提到的UE也可以表述为终端,H-AAnF网元或UDM网元也可以表述为归属网络的第一网元(简称第一网元),H-AAnF网元也可以表述为归属网络的第二网元(简称第二网元),以此类推,不再赘述。
还可以理解,UE也可以注册到更多的网络,如网络3、网络4等,其实现原理也涵盖在本申请实施例内,具体可以参考本申请实施例的相关介绍,不再赘述。
下面将结合图6-图12,通过方法实施例具体介绍上述通信系统中各网元/设备之间的交互流程。本申请实施例提供的网络信息处理方法可以适用于上述通信系统,并具体应用到各种场景,下面具体介绍。
场景1:
示例性的,图6为本申请实施例提供的网络信息处理方法的流程示意图一。在场景1中,在UE注册到第一网络和第二网络的情况下,AUSF网元可以向H-AAnF网元提供第一注册信息和第二注册信息。H-AAnF网元可以默认保存第一注册信息和第二注册信息。
具体的,如图6所示,该网络信息处理方法的流程如下:
S601,第一次主鉴权流程。
UE可以通过第一连接(如3GPP连接或非3GPP连接)向第一网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元完成对UE的第一次主鉴权,以便鉴权成功后,完成UE在第一网络的注册,具体实现可参考上述S201-S204的相关介绍,不再赘述。
以工业自动化业务为例,机械臂(UE)可以通过接入类型1连接到第一网络,在通过主鉴权流程后,完成在第一网络的注册,从而与控制服务器(AF)之间建立第一传输通道,用于承载生成操作指令等传输业务。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,UE可以与其服务器建立安全连接,此处不做赘述。
S602,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
其中,S602的具体实现可以参考上述S402的相关介绍,不再赘述。
S603,H-AAnF网元保存KAKMA上下文1以及第一注册信息。
S604,第二次主鉴权流程。
UE可以通过第二连接(如3GPP连接或非3GPP连接)向第二网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元完成对UE的第二次主鉴权,以便鉴权成功后,完成UE在第二网络的注册,具体实现可参考上述S201-S204的相关介绍,不再赘述。
以工业自动化业务为例,机械臂(UE)可以通过接入类型2连接到第二网络,在通过主鉴权流程后,完成在第一网络的注册,从而与控制服务器(AF)之间建立第二传输通道,用于承载生成操作指令等传输业务。其他业务如车辆自动驾驶业务、实时媒体业务、5G消息业务、边缘计算业务与工业自动化业务类似,UE可以与其服务器建立安全连接,此处不做赘述。
S605,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
其中,S601-S605的具体实现可以参考上述S401-S405的相关介绍,不再赘述。
S606,H-AAnF网元保存第二注册信息,且不删除第一注册信息。
H-AAnF网元可以从AKMA注册请求消息2中获取KAKMA上下文2和第二注册信息。H-AAnF网元可以保存KAKMA上下文2,删除先前保存的KAKMA上下文1。以及,H-AAnF网元还可以默认保存第二注册信息,且不删除第一注册信息。此时,H-AAnF网元保存的信息包括:KAKMA上下文2、第一注册信息,以及第二注册信息。
S607,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
其中,AAnF网元3可以是第一网络或第二网络的网元,也可以是其他网络的网元,不做限定。以第一网络是归属网络为例,AAnF网元3可以是归属网络的AAnF网元,且AAnF网元3与H-AAnF网元不同的AAnF网元。以第一网络或第二网络是拜访网络为例,AAnF网元3可以是拜访网络的AAnF网元,也可以称为V-AAnF网元。
AKMA上下文请求消息可以用于请求KAKMA上下文。AKMA上下文请求消息可以包括UE的标识,如SUPI,以及AAnF网元3的身份信息。AAnF网元3的身份信息可以是AAnF网元3的IP地址,或者AAnF网元3的身份信息可以是AAnF网元3的认证凭证(如证书),AAnF网元3的认证凭证可以包括AAnF网元3所属的网络的标识。AAnF网元3的身份信息可以用于H-AAnF网元确定AAnF网元3是否为UE注册的网络(如第一网络或第二网络)的网元,具体实现可参考下述S608的相关介绍,不再赘述。
可以理解,S607的具体实现也可以参考上述S301-S302以及S407-S409的相关介绍,不再赘述。
S608,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
如果AAnF网元3的身份信息是AAnF网元3的IP地址,则H-AAnF网元可以根据AAnF网元3的IP地址,确定AAnF网元3所属网络的标识。例如,H-AAnF网元本地配置有IP地址与网络的标识的对应关系,H-AAnF网元可以根据该对应关系,确定AAnF网元3的IP地址对应的网络的标识,也即AAnF网元3所属网络的标识。或者,如果AAnF网元3的身份信息是AAnF网元3的认证凭证,则H-AAnF网元可以从AAnF网元3的凭证中,获取AAnF网元3所属网络的标识。
可以理解,H-AAnF网元也可以通过其他方式获取AAnF网元3所属网络的标识。例如,AAnF网元3与H-AAnF网元可能不属于同一网络,AAnF网元3与H-AAnF网元通常之间需要通过NEF网元(图6未示出)实现通信。这种情况下,NEF网元可以根据接收到的AKMA上下文请求消息,向H-AAnF网元发送AAnF网元3所属网络的标识。或者,NEF网元也可以根据H-AAnF网元的请求,如H-AAnF网元发送的携带有AAnF网元3的IP地址的请求,向H-AAnF网元发送AAnF网元3所属网络的标识。
由于H-AAnF网元预先保存有第一注册信息和第二注册信息,H-AAnF网元在获取到AAnF网元3所属网络的标识后,H-AAnF网元可以根据第一注册信息和第二注册信息,确定AAnF网元3所属网络的标识是否为第一网络/第二网络的标识,也即,确定AAnF网元3是否为UE注册的网络的网元。例如,H-AAnF网元可以使用AAnF网元3所属网络的标识,遍历第一注册信息和第二注册信息,以确定第一注册信息和第二注册信息中是否有与AAnF网元3所属网络的标识相同的标识。如果有相同的标识,则H-AAnF网元确定AAnF网元3是UE注册的网络的网元,如第一网络的网元,也表示AAnF网元3是可信的网元。如果没有相同的标识,则H-AAnF网元确定AAnF网元3不是UE注册的网络的网元,也表示AAnF网元3是不可信的网元。
S609,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
在AAnF网元3是UE注册的网络的网元的情况下,AKMA上下文响应消息可以包括:KAKMA上下文2或者KAF上下文。该KAF上下文可以由KAKMA上下文2推演得到,具体实现可参考上述相关介绍,不再赘述。其中,H-AAnF网元可以根据UE的标识,获取KAKMA上下文2或者KAF上下文。H-AAnF网元可以将KAKMA上下文2或者KAF上下文封装到AKMA上下文响应消息中,向AAnF网元3发送该AKMA上下文响应消息。
或者,在AAnF网元3不是UE注册的网络的网元的情况下,AKMA上下文响应消息可以包括请求失败的原因值,如原因值可以指示AAnF网元3不是UE注册的网络的网元,或者AAnF网元3是不可信的网元,不做限定。
可以看出,H-AAnF网元可以只向可信的网元,如终端注册的网络的网元,如AAnF网元3,提供终端的安全信息,如KAKMA上下文2或者KAF上下文。如此,可以避免不受信任的网元,如非终端注册的网络的网元获取终端的安全信息,以降低数据暴露的风险。
可以理解,S609的具体实现也可以参考上述S303-S305以及S410-S412的相关介绍,不再赘述。
还可以理解,上述S607-S609也可以适用到UE的单注册场景。例如,在UE注册到第一网络的情况下,H-AAnF网元也可以确定AAnF网元3是否为第一网络内的网元,以便在AAnF网元3为第一网络内的网元的情况下,向AAnF网元3提供如KAKMA上下文2或者KAF上下文。此外,上述S607-S609可以执行多次。也就是说,除了AAnF网元3以外,还可以有其他AAnF网元,如第二网络的AAnF网元4请求H-AAnF网元提供KAKMA上下文。此时,H-AAnF网元可以对AAnF网元4执行类似于AAnF网元3的处理,具体实现可参考S607-S609的相关介绍,不再赘述。
还可以理解,上述S607为可选步骤。例如,H-AAnF网元也可以主动向其他AAnF网元,如AAnF网元3或AAnF网元4提供KAKMA上下文2或者KAF上下文。例如,H-AAnF网元可以根据第一注册信息,选择第一网络内的AAnF网元3,向AAnF网元3发送KAKMA上下文2或者KAF上下文。以及,H-AAnF网元还可以根据第二注册信息,选择第二网络内的AAnF网元4,向AAnF网元4发送KAKMA上下文2或者KAF上下文。此时,承载KAKMA上下文2或者KAF上下文的AKMA上下文响应消息可以替换为AKMA上下文通知消息、AKMA上下文发送消息、或者其他任何可能的消息,不做限定。
还可以理解,H-AAnF网元提供KAKMA上下文2或者KAF上下文仅为一种示例。例如,其他网元(不限于其他AAnF网元)也可以请求H-AAnF网元提供UE的信息,如UE的位置信息、UE的设备信息、UE的业务信息等等。此时,H-AAnF网元仍可以确定其他网元是否为UE注册的网络的网元,以便在其他网元为UE注册的网络的网元的情况下,H-AAnF网元提供UE的信息,否则,H-AAnF网元不提供UE的信息。
S610,AUSF网元向UDM网元发送UE注册管理订阅(UE_RM_sbuscirption)消息。UDM网元接收来自AUSF网元的UE注册管理订阅消息。
UE注册管理订阅消息可以用于订阅UE的注册状态,或者说订阅UE的注册状态变动事件。UE注册管理订阅消息可以包括UE的标识。此外,S610与S606-S609之间的执行顺序不限定。
S611,UDM网元向AUSF网元发送UE注册管理通知(UE_RM_notification)消息。AUSF网元接收来自UDM网元的UE注册管理通知消息。
UE注册管理通知消息可以用于指示UE的注册状态。例如,UE注册管理通知消息可以包括UE的标识,以及第一注册信息和/或第二注册信息,用以指示UE从第一网络和/或第二网络去注册。
具体的,UDM网元可以根据UE注册管理订阅消息,跟踪UE的注册状态,以确定UE是否从第一网络和/或第二网络去注册。例如,UDM网元可以接收来自H-AMF网元(图6未示出)的去注册事件,该注册事件可以用于指示UE从第一网络和/或第二网络去注册。UDM网元可以根据该注册事件,确定UE从第一网络和/或第二网络去注册,以向AUSF网元发送UE注册管理通知消息。
S612,AUSF网元向H-AAnF网元发送指示信息。H-AAnF网元接收来自AUSF网元的指示信息。
其中,指示信息可以承载在任何可能的信令中,不做限定。指示信息可以用于指示UE从第一网络和/或第二网络去注册,指示信息可以包含包括UE的标识,以及第一注册信息和/或第二注册信息,用以指示UE从第一网络和/或第二网络去注册。如此,H-AAnF网元可以根据指示信息指示UE从第一网络去注册,删除第一注册信息;和/或,H-AAnF网元可以根据指示信息指示UE从第二网络去注册,删除第二注册信息。
可以理解,指示信息也可以通过信息类型隐式指示UE从第一网络和/或第二网络去注册。例如,指示信息为类型1的信息,用以指示UE从第一网络去注册;指示信息为类型2的信息,用以指示UE从第二网络去注册;指示信息为类型3的信息,用以指示UE从第一网络和第二网络去注册。
场景2:
示例性的,图7为本申请实施例提供的网络信息处理方法的流程示意图二。场景2与场景1的不同在于,UDM网元可以感知UE注册到第一网络和第二网络,从而向AUSF网元发送注册指示信息,用以指示UE注册到多个网络。AUSF网元可以向H-AAnF网元提供第一注册信息和第二注册信息,以及注册指示信息。H-AAnF网元可以根据注册指示信息,保存第一注册信息和第二注册信息。
具体的,如图7所示,该网络信息处理方法的流程如下:
S701,第一次主鉴权流程。
UE可以通过第一连接(如3GPP连接或非3GPP连接)向第一网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元可以完成对UE的第一次主鉴权。在第一次主鉴权的过程中,UDM网元还可以感知UE的注册状态,以确定UE是否注册到多个网络。例如,UDM网元可以接收来自AUSF网元的UE的标识,以及第一网络的标识,用以指示UE注册到第一网络。UDM网元可以根据UE的标识,查找UE的注册网络列表。如果UDM网元未查找到UE的注册网络列表,则表示UDM网元还未创建UE的注册网络列表,也即表示UE注册到第一网络是初始注册,并非注册到多个网络。此时,UDM网元可以创建UE的注册网络列表,并将第一网络的标识保存到UE的注册网络列表中。或者,如果UDM网元查找到UE的注册网络列表,但UE的注册网络列表中没有网络的标识,则也表示UE注册到第一网络是初始注册,并非注册到多个网络。此时,UDM网元可以将第一网络的标识保存到UE的注册网络列表中。
UDM网元可以选择是否向AUSF网元发送注册指示信息,以通过是否发送注册指示信息指示UE是否注册到多个网络。此时,由于UDM网元感知到UE注册到一个网络,如第一网络,UDM网元可以选择不向AUSF网元发送注册指示信息,以指示UE未注册到多个网络。当然,在UDM网元感知到UE注册到多个网络的情况下,UDM网元可以选择向AUSF网元发送注册指示信息,以指示UE注册到多个网络,具体也可参考下述S704中的相关介绍,不再赘述。
或者,不论UE是否注册到多个网络,UDM网元都可以向AUSF网元发送注册指示信息,并通过注册指示信息的信元内容来指示UE是否注册到多个网络。例如,注册指示信息为一个比特(bit)的信元,以通过一个比特的两种取值(0/1)来指示UE是否注册到多个网络。此时,由于UDM网元感知到UE注册到一个网络,如第一网络,UDM网元向AUSF网元发送注册指示信息,且注册指示信息的信元取值为0(也可以是1),用以指示UE未注册到多个网络。当然,在UDM网元感知到UE注册到多个网络的情况下,UDM网元向AUSF网元发送注册指示信息,且注册指示信息的信元取值为1(也可以是0),用以指示UE注册到多个网络,具体也可参考下述S704中的相关介绍,不再赘述。
此外,S701的具体实现也可以参考上述S401的相关介绍,不再赘述。
S702,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
其中,如上述S701的相关介绍可知,AKMA注册请求消息1可以携带注册指示信息,或者也可以不携带注册指示信息,不做限定。此外,AKMA注册请求消息1的具体实现也可以参考上述S402的相关介绍,不再赘述。
还可以理解,在S702中,如果AUSF网元接收到注册指示信息,AUSF网元还可以根据注册指示信息感知UE的注册状态,如确定UE注册到一个网络,从而向H-AAnF网元发送AKMA注册请求消息1。
S703,H-AAnF网元保存KAKMA上下文1以及第一注册信息。
其中,H-AAnF网元可以默认保存KAKMA上下文1以及第一注册信息。或者,可选地,H-AAnF网元可以根据未获取到注册指示信息,保存KAKMA上下文1以及第一注册信息,或者H-AAnF网元可以根据注册指示信息,如注册指示信息的信元取值指示UE未注册到多个网络,保存KAKMA上下文1以及第一注册信息。此外,S703的具体实现可以参考上述S403的相关介绍,不再赘述。
S704,第二次主鉴权流程。
UE可以通过第二连接(如3GPP连接或非3GPP连接)向第二网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元完成对UE的第二次主鉴权。在第一次主鉴权的过程中,UDM网元也可以感知UE的注册状态,以确定UE是否注册到多个网络。例如,UDM网元可以接收来自AMF网元或AUSF网元的UE的标识,以及第二网络的标识,用以指示UE注册到第二网络。UDM网元可以根据UE的标识,查找到UE的注册网络列表。UDM网元可以使用第二网络的标识,遍历UE的注册网络列表,以确定UE的注册网络列表中保存有网络的标识,如第一网络的标识,且未保存第二网络的标识,从而确定UE注册到多个网络(注册到第一网络和第二网络)。此时,UDM网元可以将第二网络的标识保存到UE的注册网络列表2中。
如上述S701的相关介绍可知,UDM网元还可以向AUSF网元发送注册指示信息,以通过发送注册指示信息指示UE注册到多个网络,或者通过注册指示信息的信元取值指示UE注册到多个网络。
此外,S704的具体实现也可以参考上述S404的相关介绍,不再赘述。
S705,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
其中,AKMA注册请求消息2可以包括第二注册信息和注册指示信息,以通过发送注册指示信息指示UE注册到多个网络,或者通过注册指示信息的信元取值指示UE注册到多个网络。例如,AUSF网元接收到来自UDM网元的注册指示信息后,AUSF网元可以保存注册指示信息。AUSF网元可以将第二注册信息和注册指示信息携带到AKMA注册请求消息2,再向H-AAnF网元发送AKMA注册请求消息2。
可以理解,AKMA注册请求消息2还可以包含其他信元,具体实现也可以参考上述S405的相关介绍,不再赘述。
还可以理解,在S705中,AUSF网元也可以根据注册指示信息感知UE的注册状态,如确定UE注册到多个网络,从而向H-AAnF网元发送AKMA注册请求消息2。
S706,H-AAnF网元根据注册指示信息,保存第二注册信息,且不删除第一注册信息。
H-AAnF网元可以从AKMA注册请求消息2中获取KAKMA上下文2、第二注册信息和注册指示信息。H-AAnF网元可以保存KAKMA上下文2,并删除先前保存的KAKMA上下文1。以及,H-AAnF网元还可以根据注册指示信息,保存第二注册信息,且不删除第一注册信息。此时,H-AAnF网元保存的信息包括:KAKMA上下文2、第一注册信息,以及第二注册信息。此外,H-AAnF网元在未获取到注册指示信息,或者获取到注册指示信息,但注册指示信息指示UE未注册到多个网络的情况下,H-AAnF网元可以保存第二注册信息,且删除第一注册信息。
可以理解,是否发送注册指示信息,或者注册指示信息是否指示UE注册到多个网络可以根据实际业务需求确定。例如,如果实际业务适用于UE的单注册场景,则可以不发送注册信息,或注册信息指示UE未注册到多个网络;或者,如果实际业务适用于UE的多注册场景,则可以发送注册信息,或注册信息指示UE注册到多个网络。这样,H-AAnF网元便可以按照实际业务需求选择是否删除先前保存的注册信息,以确保能够满足实际业务需求。
S707,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
S708,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
S709,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
S710,AUSF网元向UDM网元发送UE注册管理订阅消息。UDM网元接收来自AUSF网元的UE注册管理订阅消息。
其中,S706-S710的具体实现可以参考上述S606-S610的相关介绍,不再赘述。
S711,UDM网元向AUSF网元发送UE注册管理通知消息。AUSF网元接收来自UDM网元的UE注册管理通知消息。
可以理解,S711的具体实现与上述S611类似,可参考理解,不再赘述。但S711与上述S611不同在于,如果UDM网元感知到UE从某个网络去注册,则UDM网元可以删除UE的注册网络列表中UE在该网络的注册信息。例如,UE从第一网络去注册,UDM网元删除UE的注册网络列表中第一网络的标识;和/或,UE从第二网络去注册,UDM网元删除UE的注册网络列表中第二网络的标识。
S712,AUSF网元向H-AAnF网元发送指示信息。H-AAnF网元接收来自AUSF网元的指示信息。
其中,S712的具体实现可以参考上述S612的相关介绍,不再赘述。
场景3:
示例性的,图8为本申请实施例提供的网络信息处理方法的流程示意图三。场景3与场景1和场景2的不同在于,在AUSF网元感知到UE注册到第一网络和第二网络的情况下,AUSF网元可以通过一条信令向H-AAnF网元提供第一注册信息和第二注册信息,以便H-AAnF网元可以保存第一注册信息和第二注册信息。
具体的,如图8所示,该网络信息处理方法的流程如下:
S801,第一次主鉴权流程。
S802,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
S803,H-AAnF网元保存KAKMA上下文1以及第一注册信息。
其中,S801的具体实现可以参考上述S701的相关介绍,S802-S803的具体实现可以参考上述S702-S703的相关介绍,不再赘述。
S804,第二次主鉴权流程。
UE可以通过第二连接(如3GPP连接或非3GPP连接)向第二网络发送注册请求,以触发注册流程。在注册流程中,AUSF网元和UDM网元可以完成对UE的第二次主鉴权。在第一次主鉴权的过程中,UDM网元也可以感知UE的注册状态,以确定UE是否注册到多个网络,具体实现与上述S704类似,可参考理解,不再赘述。在UE注册到多个网络的情况下,UDM网元可以向AUSF网元发送至少一项信息:注册指示信息、第一注册信息、或第二注册信息。其中,注册指示信息的具体实现可以参考上述S701-S704中的相关介绍,不再赘述。
可以看出,UDM网元可以通过注册指示信息显式指示UE注册到多个网络,或者也可以通过第一注册信息和/或第二注册信息隐式指示UE注册到多个网络,具体采用显式还是隐式的指示方式,不做限定。
S805,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
AKMA注册请求消息2可以包括:KAKMA上下文2、第一注册信息,以及第二注册信息。AUSF网元可以根据UDM网元的指示,如上述至少一项信息,确定UE注册到多个网络。AUSF网元可以获取UE在这多个网络的注册信息,如第一注册信息和第二注册信息,并将KAKMA上下文2、第一注册信息,以及第二注册信息一起封装到AKMA注册请求消息2,向H-AAnF网元发送AKMA注册请求消息2。
S806,H-AAnF网元保存第一注册信息和第二注册信息。
H-AAnF网元可以从AKMA注册请求消息2中获取KAKMA上下文2、第一注册信息,以及第二注册信息,并保存KAKMA上下文2、第一注册信息,以及第二注册信息。以及,H-AAnF网元还可以删除先前保存的信息,如S803保存的KAKMA上下文1和第一注册信息。
S807,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
S808,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
S809,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
其中,S806-S809的具体实现可以参考上述S606-S609的相关介绍,不再赘述。
可以理解,与上述场景2类似,如果UDM网元感知到UE从某个网络去注册,则UDM网元可以删除UE的注册网络列表中UE在该网络的注册信息,具体实现可以参考上述场景2的相关介绍,不再赘述。
场景4:
示例性的,图9为本申请实施例提供的网络信息处理方法的流程示意图四。场景4与场景1-场景3的不同在于,在UE注册到第一网络和第二网络的情况下,UDM网元可以向H-AAnF网元提供第一注册信息和第二注册信息,以便H-AAnF网元可以保存第一注册信息和第二注册信息。
具体的,如图9所示,该网络信息处理方法的流程如下:
S901,第一次主鉴权流程。
在UDM网元配合完成对UE的第一次主鉴权的过程中,UDM网元还可以感知UE的注册状态,以确定UE注册的第一网络,获取第一注册信息,具体实现原理与上述S701类似,可参考理解,不再赘述。
S902,UDM网元向H-AAnF网元发送通知消息1。H-AAnF网元接收来自UDM网元的通知消息1。
通知消息1可以包括UE的标识和第一注册信息。
S903,H-AAnF网元保存第一注册信息。
H-AAnF网元可以从通知消息1中获取UE的标识以及第一注册信息,并根据UE的标识,保存第一注册信息,如将第一注册信息保存在UE的相关信息中。
S904,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
AKMA注册请求消息1可以包括UE的标识和KAKMA上下文1,且可以不包括第一注册信息。其中,S904的具体实现也可以参考上述S402的相关介绍,不再赘述。
S905,H-AAnF网元保存KAKMA上下文1。
H-AAnF网元可以从AKMA注册请求消息1中获取UE的标识以及KAKMA上下文1,并根据UE的标识,保存KAKMA上下文1,如将KAKMA上下文1保存在UE的相关信息中。
可以理解,S902-S903与S904-S905之间的执行顺序不限定。
S906,第二次主鉴权流程。
在UDM网元配合完成对UE的第二次主鉴权的过程中,UDM网元也可以感知UE的注册状态,以确定UE注册的第二网络,获取第二注册信息,具体实现原理与上述S704类似,可参考理解,不再赘述。
S907,UDM网元向H-AAnF网元发送通知消息2。H-AAnF网元接收来自UDM网元的通知消息2。
通知消息2可以包括:UE的标识和第二注册信息。
S908,H-AAnF网元保存第二注册信息,且不删除第一注册信息。
H-AAnF网元可以从通知消息2中获取UE的标识和第二注册信息。H-AAnF网元可以根据UE的标识,保存第二注册信息,且不删除第一注册信息,如将第二注册信息保存到UE的相关信息中,且不删除UE的相关信息中的第一注册信息。
S909,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
AKMA注册请求消息2可以包括UE的标识和KAKMA上下文2,且可以不包括第二注册信息。其中,S907的具体实现也可以参考上述S405的相关介绍,不再赘述。
S910,H-AAnF网元保存KAKMA上下文2,并删除KAKMA上下文1。
H-AAnF网元可以从AKMA注册请求消息2中获取UE的标识以及KAKMA上下文2,并根据UE的标识,保存KAKMA上下文2,删除KAKMA上下文1,如将KAKMA上下文1保存在UE的相关信息中,并删除UE的相关信息中的KAKMA上下文1。
可以理解,S907-S908与S909-S910之间的执行顺序不限定。
S911,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
S912,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
S913,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
其中,S911-S913的具体实现可以参考上述S607-S608的相关介绍,不再赘述。
S914,UDM网元向H-AAnF网元发送通知消息3。H-AAnF网元接收来自UDM网元的通知消息3。
UDM网元可以感知到UE从第一网络和/或第二网络去注册,从而向H-AAnF网元发送通知消息3,用以指示UE从第一网络和/或第二网络去注册。如此,H-AAnF网元可以根据通知消息3指示UE从第一网络去注册,删除第一注册信息;和/或,H-AAnF网元也可以根据通知消息3指示UE从第二网络去注册,删除第二注册信息。
其中,UDM网元感知UE从第一网络和/或第二网络去注册的具体实现原理与上述S612类似,可参考理解,不再赘述。
场景5:
示例性的,图10为本申请实施例提供的网络信息处理方法的流程示意图五。场景5与场景4的不同在于,在UE注册到第一网络和第二网络的情况下,UDM网元可以向H-AAnF网元提供第一注册信息和第二注册信息,以及注册指示信息,用以指示UE注册到多个网络。H-AAnF网元可以根据注册指示信息,保存第一注册信息和第二注册信息。
具体的,如图10所示,该网络信息处理方法的流程如下:
S1001,第一次主鉴权流程。
其中,S1001的具体实现与上述S901类似,可参考理解,不再赘述。可选地,S1001与S901不同在于,UDM网元还可以向AUSF网元发送注册指示信息,以通过注册指示信息的信元取值指示UE未注册到多个网络。或者,UDM网元也可以通过不向AUSF网元发送注册指示信息,指示UE未注册到多个网络,具体实现也可以参考上述S701的相关介绍,不再赘述。
S1002,UDM网元向H-AAnF网元发送通知消息1。H-AAnF网元接收来自UDM网元的通知消息1。
其中,S1002的具体实现上述S902类似,可参考理解,不再赘述。可选地,S1002与S902不同在于,通知消息1也可以携带注册指示信息,用以指示UE未注册到多个网络,不做限定。
S1003,H-AAnF网元保存第一注册信息。
其中,H-AAnF网元可以从通知消息1中获取UE的标识以及第一注册信息,并根据UE的标识,默认保存第一注册信息,如将第一注册信息保存在UE的相关信息中。或者,可选地,H-AAnF网元可以根据UE的标识,且未从通知消息1中获取到注册指示信息,保存第一注册信息,或者H-AAnF网元可以根据UE的标识,且从通知消息1中获取的注册指示信息,如注册指示信息的信元取值指示UE未注册到多个网络,保存第一注册信息。
S1004,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
S1005,H-AAnF网元保存KAKMA上下文1。
其中,S1004-S1005的具体实现可以参考上述S904-S905的相关介绍,不再赘述。
S1006,第二次主鉴权流程。
在UDM网元配合AUSF网元完成对UE的第二次主鉴权的过程中,UDM网元也可以感知UE的注册状态,以确定UE注册多个网络,具体实现原理与上述S704类似,可参考理解,不再赘述。此时,UDM网元可以获取第二注册信息,生成并保存注册指示信息。其中,注册指示信息的具体实现也可以参考上述S704的相关介绍,不再赘述。
S1007,UDM网元向H-AAnF网元发送通知消息2。H-AAnF网元接收来自UDM网元的通知消息2。
通知消息2可以包括:UE的标识、第二注册信息,以及注册指示信息,以通过发送注册指示信息指示UE注册到多个网络,或者通过注册指示信息的信元取值指示UE注册到多个网络。
S1008,H-AAnF网元根据注册指示信息,保存第二注册信息,且不删除第一注册信息。
H-AAnF网元可以从通知消息2中获取UE的标识,第二注册信息以及注册指示信息。H-AAnF网元可以根据UE的标识和注册指示信息,保存第二注册信息,且不删除第一注册信息,如将第二注册信息保存到UE的相关信息中,且不删除UE的相关信息中的第一注册信息。
可以理解,在未获取到注册指示信息,或者获取到注册指示信息,但注册指示信息指示UE未注册到多个网络的情况下,H-AAnF网元可以保存第二注册信息,且删除第一注册信息。
S1009,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
S1010,H-AAnF网元保存KAKMA上下文2,并删除KAKMA上下文1。
其中,S1009-S1010的具体实现可以参考上述S909-S910的相关介绍,不再赘述。
S1011,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
S1012,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
S1013,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
S1014,UDM网元向H-AAnF网元发送通知消息3。H-AAnF网元接收来自UDM网元的通知消息3。
其中,S1011-S1013的具体实现可以参考上述S607-S608的相关介绍,S1014的具体实现可以参考上述S914的相关介绍,不再赘述。
场景6:
示例性的,图11为本申请实施例提供的网络信息处理方法的流程示意图六。场景6与场景4的不同在于,在UDM网元感知到UE注册到第一网络和第二网络的情况下,UDM网元可以通过一条信令向H-AAnF网元提供第一注册信息和第二注册信息,以便H-AAnF网元可以保存第一注册信息和第二注册信息。
具体的,如图11所示,该网络信息处理方法的流程如下:
S1101,第一次主鉴权流程。
S1102,UDM网元向H-AAnF网元发送通知消息1。H-AAnF网元接收来自UDM网元的通知消息1。
S1103,H-AAnF网元保存第一注册信息。
其中,S1101-S1103的具体实现可以参考上述S1001-S1003的相关介绍,不再赘述。
S1104,AUSF网元向H-AAnF网元发送AKMA注册请求消息1。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息1。
S1105,H-AAnF网元保存KAKMA上下文1。
其中,S1104-S1105的具体实现可以参考上述S904-S905的相关介绍,不再赘述。
S1106,第二次主鉴权流程。
在UDM网元配合完成对UE的第二次主鉴权的过程中,UDM网元也可以感知UE的注册状态,以确定UE注册多个网络,具体实现原理与上述S704类似,可参考理解,不再赘述。此时,UDM网元可以获取第一注册信息和第二注册信息。
S1107,UDM网元向H-AAnF网元发送通知消息2。H-AAnF网元接收来自UDM网元的通知消息2。
通知消息2可以包括:UE的标识、第一注册信息,以及第二注册信息。
S1108,H-AAnF网元保存第一注册信息和第二注册信息。
H-AAnF网元可以从通知消息2中获取UE的标识、第一注册信息,以及第二注册信息。H-AAnF网元可以根据UE的标识,保存第一注册信息和第二注册信息,并删除上述S1105保存的第一注册信息,如将第一注册信息和第二注册信息保存到UE的相关信息中,并删除UE的相关信息中由上述S1105保存的第一注册信息。
S1109,AUSF网元向H-AAnF网元发送AKMA注册请求消息2。H-AAnF网元接收来自AUSF网元的AKMA注册请求消息2。
S1110,H-AAnF网元保存KAKMA上下文2,并删除KAKMA上下文1。
其中,S1109-S1110的具体实现可以参考上述S909-S910的相关介绍,不再赘述。
S1111,AAnF网元3向H-AAnF网元发送AKMA上下文请求消息。H-AAnF网元接收来自AAnF网元3的AKMA上下文请求消息。
S1112,H-AAnF网元确定AAnF网元3是否为UE注册的网络的网元。
S1113,H-AAnF网元向AAnF网元3发送AKMA上下文响应消息。AAnF网元3接收来自H-AAnF网元的AKMA上下文响应消息。
S1114,UDM网元向H-AAnF网元发送通知消息3。H-AAnF网元接收来自UDM网元的通知消息3。
其中,S1111-S1112的具体实现可以参考上述S607-S608的相关介绍,S1114的具体实现可以参考上述S914的相关介绍,不再赘述。
以上结合图5-图11详细说明了本申请实施例提供的网络信息处理方法在各种场景下的流程。以下结合图12-图13介绍该网络信息处理方法的整体流程。
图12为本申请实施例提供的一种网络信息处理方法的流程示意图七,该方法主要涉及第一网元与第二网元之间的交互。第一网元可以是上述AUSF网元/UDM网元,第二网元可以是上述H-AAnF网元。
如图12所示,该方法的流程如下:
S1201,第一网元向第二网元发送第一注册信息和第二注册信息,第二网元接收来自第一网元的第一注册信息和第二注册信息。
其中,终端(如上述UE)可以通过第一网元分别注册到第一网络(如上述第一网络)和第二网络(如上述第二网络)。第一网元可以是认证服务网元(如上述AUSF网元)或者数据管理网元(如上述UDM网元)。第一网络可以是终端的归属网络,第二网络可以是终端的拜访网络,以保障在归属-漫游场景下的业务安全。或者,第一网络可以是终端的第一拜访网络,第二网络可以是终端的第二拜访网络,以保障在多漫游场景下的业务安全。第二网元可以是安全锚点网元,如AAnF网元,以适用于到AMKA场景,或者第二网元也可以是其他任何可能的网元,不做限定。第一注册信息可以是终端在第一网络的注册信息,如包括第一网络的标识。第二注册信息可以是终端在第二网络的注册信息,如包括第二网络的标识。
一种可能的设计方案中,第一网元可以向第二网元发送第一消息,第二网元可以接收来自第一网元的第一消息。其中,第一消息可以包括第一注册信息。如此,第二网元保存第一注册信息。此后,第一网元可以向第二网元发送第二消息,第二网元接收来第一网元的第二消息。其中,第二消息可以包括第二注册信息。如此,第二网元保存第二注册信息,且不删除第一注册信息。也就是说,在终端注册到第一网络和第二网络的情况下,第二网元可以保存所有的注册信息,如第一注册信息和第二注册信息,以确保第二网元能够根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,具体可以参考下述S1202的相关介绍,不再赘述。
可选地,第二网元可以获取注册指示信息,该注册指示信息用于指示终端注册到多个网络,该多个网络可以包括第一网络和第二网络。第二网元可以根据注册指示信息,保存第二注册信息,且不删除第一注册信息。也就是说,第二网元在获取到注册指示信息的情况下,第二网元保存所有的注册信息,否则,第二网元保存最新的信息,如保存第二注册信息,并删除第一注册信息,以节约储存空间。注册指示信息可以携带在第二消息中,即通过复用第二消息传输注册指示信息,以降低实现难度,或者也可以携带其他任何可能的消息中,不做限定。
可选地,第一网元可以是认证服务网元,第一消息可以是第一密钥注册请求消息(如上述AKMA注册请求消息1),第二消息可以是第二密钥注册请求消息(如上述AKMA注册请求消息2),也即,认证服务网元可通过复用密钥注册流程中的消息来提供注册信息,以降低实现难度。或者,第一网元(如上述UDM网元)可以是数据管理网元,第一消息可以是第一通知消息(如上述通知消息1),第二消息是第二通知消息(如上述通知消息2),也即,数据管理网元可通过复用通知流程中的消息来提供注册信息,以降低实现难度。此外,认证服务网元或者数据管理网元也可以通过新定义的消息来提供注册信息,不做限定。
可以理解,该设计方案的具体实现也可以参考上述S601-S606,S701-S706,S901-S910,以及S1001-S1010的相关介绍,不再赘述。
另一种可能的设计方案中,第一网元可以向第二网元发送第一消息,第二网元接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元保存第一注册信息。
此后,第一网元可以向第二网元发送第二消息,第二网元接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。如此,第二网元保存第一注册信息和第二注册信息,可以理解,第二网元在保存第一注册信息和第二注册信息时,也可以删除先前保存的信息,如第一注册信息,以节约储存空间,或者也可以不删除先前保存的信息,不做限定。
可选地,第一网元可以是认证服务网元,第一消息可以是第一密钥注册请求消息,第二消息可以是第二密钥注册请求消息,也即,认证服务网元可通过复用密钥注册流程中的消息来提供注册信息,以降低实现难度。或者,第一网元(可以是数据管理网元,第一消息可以是第一通知消息,第二消息是第二通知消息也即,数据管理网元可通过复用通知流程中的消息来提供注册信息,以降低实现难度。此外,认证服务网元或者数据管理网元也可以通过新定义的消息来提供注册信息,不做限定。
可选地,在第一网元向第二网元发送第一注册信息和第二注册信息之前,第一网元还可以确定终端注册到多个网络。
其中,第一网元可以是认证服务网元,认证服务网元可以根据数据管理网元发送的信息,确定终端注册到多个网络。其中,数据管理网元发送的信息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息,注册指示信息用于指示终端注册到多个网络。可以看出,数据管理网元可以选择通过注册指示信息显式指示终端注册到多个网络,也可以选择通过第一注册信息和/或第二注册信息隐式指示终端注册到多个网络,具体选择采用哪种指示方式可根据实际需求确定,不做限定。
例如,认证服务网元可以向数据管理网元发送针对终端的认证获取请求消息,以接收数据管理网元针对认证获取请求返回的认证获取响应消息。其中,认证获取响应消息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息。可以看出,认证服务网元可通过复用认证流程,如主鉴权流程中的消息来获取数据管理网元发送的信息,以降低实现难度。
或者,第一网元还可以是数据管理网元,数据管理网元可以根据终端的注册状态,确定终端注册到多个网络。也即,数据管理网元可以自行感知终端的注册状态,如此可以避免额外的信令交互,以节约通信开销。
可以理解,该设计方案的具体实现也可以参考上述S801-S806,以及S1101-S1110的相关介绍,不再赘述。
S1202,第二网元根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息。
第三网元(如上述AAnF网元3)可以是终端注册的网络的网元,终端注册的网络可以为第一网络或第二网络的网元。终端的安全信息(如上述KAKMA上下文2或者KAF上下文)用于对终端和应用服务器(如上述AF)之间的数据传输进行安全保护,终端注册的网络可以用于支持终端和应用服务器之间的数据传输。
第二网元可以根据第一注册信息和第二注册信息,确定第三网元是终端注册的网络的网元。例如,第一注册信息包括第一网络的标识,第二注册信息包括第二网络的标识,第二网元可以确定第三网元所在网络的标识,是否与第一网络的标识或所述第二网络的标识匹配,若第三网元所在网络的标识与第一网络的标识或所述第二网络的标识匹配,则第二网元确定第三网元是终端注册的网络的网元。如此,第二网元可以向第三网元发送终端的安全信息。
或者,第二网元可以根据第一注册信息和第二注册信息,在终端注册的网络的网元中确定第三网元。例如,第二网元可以确定与第一网络的标识对应的设备标识集合,或者与第二网络的标识对应的设备标识集合,这些设备标识集合指示的网元为在终端注册的网络的网元。第二网元可以从终端注册的网元中选择适合的网元,如第三网元,从而向第三网元发送终端的安全信息。
可以看出,第二网元可以只向可信的网元,如终端注册的网络的网元,提供终端的安全信息。如此,可以避免不受信任的网元,如非终端注册的网络的网元获取终端的安全信息,以降低数据暴露的风险。
可以理解,S1202的具体实现也可以参考上述S607-S609的相关介绍,不再赘述。
综上,第二网元通过能力增强可支持终端的多注册场景,例如,第二网元可以根据第一注册信息和第二注册信息,向第三网元发送终端的安全信息,以支持终端和应用服务器之间的业务,如保障业务数据能够安全传输,避免业务失败。
结合上述实施例,一种可能的设计方案中,在终端在第一网络中去注册的情况下,第一网元指示第二网元删除第一注册信息,第二网元根据第一网元的指示,删除第一注册信息。和/或,在终端在第二网络中去注册的情况下,第一网元指示第二网元删除第二注册信息,第二网元根据第一网元的指示,删除第二注册信息。如此,可以避免维护冗余信息,节约储存空间,提高设备运行效率。
可以理解,该设计方案的具体实现也可以参考上述S610-S612以及S914的相关介绍,不再赘述。
图13为本申请实施例提供的一种网络信息处理方法的流程示意图八,该方法主要涉及第二网元与第一网元之间的交互。
如图13所示,该方法的流程如下:
S1301,第二网元接收来自第一网元的第一请求消息。
第一请求消息(类似上述AKMA上下文请求消息,记为AKMA上下文请求消息1)可以用于请求终端(如上述UE)的安全信息。终端可以注册到第一网络。终端的安全信息(如上述KAKMA上下文2或者KAF上下文)可以用于对终端和应用服务器(如上述AF)之间的数据传输进行安全保护,第一网络用于支持终端和应用服务器之间的数据传输。
S1302,第二网元根据第一注册信息,确定第三网元是终端注册的网络的网元。
其中,第一注册信息是终端在第一网络的注册信息,如包括第一网络的标识。终端注册的网络可以包括第一网络。第二网元可以确定第三网元所在网络的标识,是否与第一网络的标识匹配,若第三网元所在网络的标识与第一网络的标识匹配,则第二网元确定第三网元是终端注册的网络的网元。
S1303,第二网元向第一网元发送终端的安全信息。
可以理解,S1301-S1303的具体实现也可以参考上述S607-S609的相关介绍,不再赘述。
结合上述实施例,一种可能的设计方案中,在终端注册到第二网络的情况下,第二网元还可以接收来自第四网元的第二请求消息。其中,第四网元(如上述AAnF网元4)与第三网元可以是不同的网元,第四网元可以是第二网络的网元。第二请求消息(类似上述AKMA上下文请求消息,记为AKMA上下文请求消息2)与第一请求消息可以是相同的消息,或者也可以是不同的消息,不做限定。第二请求消息也可以用于请求终端的安全信息。第二网络用于支持终端和应用服务器之间的数据传输。如此,第二网元根据第二注册信息,确定第二网元是终端注册的网络的网元。其中,第二注册信息是终端在第二网络的注册信息,如包括第二网络的标识。终端注册的网络可以包括第二网络。第二网元可以确定第四网元所在网络的标识,是否与第二网络的标识匹配,若第四网元所在网络的标识与第二网络的标识匹配,则第二网元确定第四网元是终端注册的网络的网元,从而向第四网元发送终端的安全信息。
可以理解,该设计方案具体实现也可以参考上述S607-S609的相关介绍,不再赘述。
结合上述实施例,一种可能的设计方案中,第二网元还可以接收来自第一网元的第一注册信息和第二注册信息。
具体的,第二网元可以接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元可以保存第一注册信息。之后,第二网元可以接收来第一网元的第二消息。其中,第二消息可以包括第二注册信息。如此,第二网元可以保存第二注册信息,且不删除第一注册信息。例如,第二网元可以获取第二注册信息。其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。注册指示信息可以携带在第二消息中,或者也可以携带在其他任何可能的消息中,不做限定。第二网元可以根据注册指示信息,保存第二注册信息,且不删除第一注册信息。或者,第二网元可以接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。如此,第二网元可以保存第一注册信息。之后,第二网元可以接收来自第一网元的第二消息。其中,第二消息可以包括第一注册信息和第二注册信息。如此,第二网元可以保存当前接收到的第一注册信息和第二注册信息,可选地,第二网元还可以删除先前保存的第一注册信息。
可选地,第一网元可以是认证服务网元,第一消息可以是第一密钥注册请求消息,第二消息可以是第二密钥注册请求消息。或者,第一网元可以是数据管理网元,第一消息可以是第一通知消息,第二消息可以是第二通知消息。
可以理解,该设计方案的具体实现也可以参考上述S601-S606,S701-S706,S801-S806,S901-S910,S1001-S1010以及S1101-S1110的相关介绍,不再赘述。
结合上述实施例,一种可能的设计方案中,在终端从第一网络去注册的情况下,第二网元还可以根据第一网元的指示,删除第一注册信息。和/或,在终端从第二网络去注册的情况下,第二网元还可以根据第一网元的指示,删除第二注册信息。
可以理解,该设计方案的具体实现也可以参考上述S610-S612以及S914的相关介绍,不再赘述。
还可以理解,在终端注册到第一网络和第二网络的情况下,第一网络可以是终端的归属网络,第二网络可以是终端的拜访网络。或者,第一网络可以是终端的第一拜访网络,第二网络可以是终端的第二拜访网络。
以上结合图6-图13详细说明了本申请实施例提供的方法。以下结合图14详细说明用于执行本申请实施例提供的方法的网络信息处理装置。
示例性的,图14是本申请实施例提供的网络信息处理装置的结构示意图。如图14所示,网络信息处理装置1400包括:收发模块1401和处理模块1402。为了便于说明,图14仅示出了该通信装置的主要部件。
一些实施例中,网络信息处理装置1400可适用于图5中所示出的系统中,执行上述第二网元,或者H-AAnF网元的功能。其中,收发模块1401可以用于执行该装置1400的收发功能,处理模块1402可以用于执行该装置1400除收发功能以外的其他功能。
例如,收发模块1401,用于在终端通过归属网络的第一网元分别注册到第一网络和第二网络的情况下,接收来自归属网络的第一网元的第一注册信息和第二注册信息,处理模块1402,用于根据第一注册信息和第二注册信息,控制收发模块1401向第三网元发送终端的安全信息。其中,第一注册信息是终端在第一网络的注册信息,第二注册信息是终端在第二网络的注册信息。第三网元是第一网络或第二网络的网元,终端的安全信息用于对终端和应用服务器之间的数据传输进行安全保护,第一网络或第二网络用于支持终端和应用服务器之间的数据传输。
一种可能的设计方案中,收发模块1401,还用于接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。处理模块1402,还用于保存第一注册信息。收发模块1401,还用于接收来第一网元的第二消息。其中,第二消息包括第二注册信息。处理模块1402,还用于保存第二注册信息,且不删除第一注册信息。
可选地,处理模块1402,还用于获取注册指示信息,并根据注册指示信息,保存第二注册信息,且不删除第一注册信息。其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。
进一步的,注册指示信息携带在第二消息中。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,收发模块1401,还用于接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。处理模块1402,还用于保存第一注册信息和第二注册信息。
可选地,第一网元是认证服务网元,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第二消息是第二通知消息。
一种可能的设计方案中,处理模块1402,还用于根据第一注册信息和第二注册信息,确定第三网元是终端注册的网络的网元。例如,第一注册信息包括第一网络的标识,第二注册信息包括第二网络的标识,处理模块1402,还用于确定第三网元所在网络的标识,是否与第一网络的标识或所述第二网络的标识匹配,若第三网元所在网络的标识与第一网络的标识或所述第二网络的标识匹配,则处理模块1402,还用于确定第三网元是终端注册的网络的网元。以及,处理模块1402,还用于控制收发模块1401向第三网元发送终端的安全信息。
或者,处理模块1402,还用于根据第一注册信息和第二注册信息,在终端注册的网络的网元中确定第三网元,从而控制收发模块1401向第三网元发送终端的安全信息。
一种可能的设计方案中,处理模块1402,还用于在终端在第一网络中去注册的情况下,根据第一网元的指示,删除第一注册信息。和/或,处理模块1402,还用于在终端在第二网络中去注册的情况下,根据第一网元的指示,删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络。或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,装置1400是安全锚点网元。
可选地,收发模块1401可以包括发送模块(图14中未示出)和接收模块(图14中未示出)。其中,发送模块用于实现装置1400的发送功能,接收模块用于实现装置1400的接收功能。
可选地,装置1400还可以包括存储模块(图14中未示出),该存储模块存储有程序或指令。当该处理模块1402执行该程序或指令时,使得该装置1400可以执行图6-图12所示的方法。
可以理解,装置1400可以是网络设备,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,装置1400的技术效果可以参考图6-图12所示的方法的技术效果,不再赘述。
另一些实施例中,网络信息处理装置1400可适用于图5中所示出的系统中,执行上述第一网元或者AUSF网元/UDM网元的功能。其中,收发模块1401可以用于执行该装置1400的收发功能,处理模块1402可以用于执行该装置1400除收发功能以外的其他功能。
例如,处理模块1402,用于确定终端注册到多个网络,收发模块1401,用于向第二网元发送第一注册信息和第二注册信息。其中,多个网络包括第一网络和第二网络,第一注册信息是终端在第一网络的注册信息,第二注册信息是终端在第二网络的注册信息,第一注册信息和第二注册信息用于第二网元为终端提供安全保护。
一种可能的设计方案中,装置1400是认证服务网元,处理模块1402,还用于根据数据管理网元发送的信息,确定终端注册到多个网络。其中,数据管理网元发送的信息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息,注册指示信息用于指示终端注册到多个网络。
一种可能的设计方案中,第二方面所述的方法还可以包括:收发模块1401,还用于向数据管理网元发送针对终端的认证获取请求消息,以接收数据管理网元针对认证获取请求返回的认证获取响应消息。其中,认证获取响应消息包括如下至少一项:注册指示信息、第一注册信息、或第二注册信息。
一种可能的设计方案中,装置1400是数据管理网元,处理模块1402,还用于根据终端的注册状态,确定终端注册到多个网络。
一种可能的设计方案中,收发模块1401,还用于向第二网元发送第一消息。其中,第一消息包括第一注册信息。此后,收发模块1401,还用于向第二网元发送第二消息。其中,第二消息包括第二注册信息。
一种可能的设计方案中,收发模块1401,还用于向第二网元发送第一消息。其中,第一消息包括第一注册信息。此后,收发模块1401,还用于向第二网元发送第二消息。其中,第二消息包括第一注册信息和第二注册信息。
可选地,装置1400是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,装置1400是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,处理模块1402,还用于在终端从第一网络去注册的情况下,控制收发模块1401指示第二网元删除第一注册信息。和/或,处理模块1402,还用于在终端从第二网络去注册的情况下,控制收发模块1401指示第二网元删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络;或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,第二网元是安全锚点网元。
可选地,收发模块1401可以包括发送模块(图14中未示出)和接收模块(图14中未示出)。其中,发送模块用于实现装置1400的发送功能,接收模块用于实现装置1400的接收功能。
可选地,装置1400还可以包括存储模块(图14中未示出),该存储模块存储有程序或指令。当该处理模块1402执行该程序或指令时,使得该装置1400可以执行图6-图12所示的方法。
可以理解,装置1400可以是网络设备,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
再一些实施例中,网络信息处理装置1400可适用于图5中所示出的系统中,执行上述第一网元或者AUSF网元/UDM网元的功能。其中,收发模块1401可以用于执行该装置1400的收发功能,处理模块1402可以用于执行该装置1400除收发功能以外的其他功能。
例如,收发模块1401,用于在终端注册到第一网络的情况下,接收来自第三网元的第一请求消息。其中,第一请求消息用于请求终端的安全信息,终端的安全信息用于对终端和应用服务器之间的数据传输进行安全保护,第一网络用于支持终端和应用服务器之间的数据传输。处理模块1402,用于根据第一注册信息,确定第三网元是终端注册的网络的网元,从而控制收发模块1401向第三网元发送终端的安全信息。其中,第三注册信息是终端在第一网络的注册信息。
一种可能的设计方案中,收发模块1401,还用于在终端注册到第二网络的情况下,接收来自第四网元的第二请求消息。其中,第二请求消息用于请求终端的安全信息,第二网络用于支持终端和应用服务器之间的数据传输。处理模块1402,还用于根据第二注册信息,确定第四网元是终端注册的网络的网元,从而控制收发模块1401向第四网元发送终端的安全信息。其中,第二注册信息是终端在第二网络的注册信息。
一种可能的设计方案中,收发模块1401,还用于接收来自第一网元的第一注册信息和第二注册信息。
可选地,收发模块1401,还用于接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。处理模块1402,还用于保存第一注册信息。之后,收发模块1401,还用于接收来第一网元的第二消息。其中,第二消息包括第二注册信息。如此,处理模块1402,还用于保存第二注册信息,且不删除第一注册信息。
进一步的,处理模块1402,还用于获取注册指示信息,并根据注册指示信息,保存第二注册信息,且不删除第一注册信息。其中,注册指示信息用于指示终端注册到多个网络,多个网络包括第一网络和第二网络。
进一步的,注册指示信息携带在第二消息中。
一种可能的设计方案中,还用于接收来自第一网元的第一消息。其中,第一消息包括第一注册信息。处理模块1402,还用于保存第一注册信息。之后,收发模块1401,还用于接收来自第一网元的第二消息。其中,第二消息包括第一注册信息和第二注册信息。如此,处理模块1402,还用于保存第一注册信息和第二注册信息。
可选地,第一网元是认证服务网元,第一消息是第一密钥注册请求消息,第二消息是第二密钥注册请求消息。或者,第一网元是数据管理网元,第一消息是第一通知消息,第二消息是第二通知消息。
一种可能的设计方案中,处理模块1402,还用于在终端从第一网络去注册的情况下,根据第一网元的指示,删除第一注册信息。和/或,处理模块1402,还用于在终端从第二网络去注册的情况下,根据第一网元的指示,删除第二注册信息。
一种可能的设计方案中,第一网络是终端的归属网络,第二网络是终端的拜访网络。或者,第一网络是终端的第一拜访网络,第二网络是终端的第二拜访网络。
一种可能的设计方案中,装置1400是安全锚点网元。
可选地,收发模块1401可以包括发送模块(图14中未示出)和接收模块(图14中未示出)。其中,发送模块用于实现装置1400的发送功能,接收模块用于实现装置1400的接收功能。
可选地,装置1400还可以包括存储模块(图14中未示出),该存储模块存储有程序或指令。当该处理模块1402执行该程序或指令时,使得该装置1400可以执行图6-图12所示的方法。
可以理解,装置1400可以是网络设备,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,装置1400的技术效果可以参考图6-图11以及图13所示的方法的技术效果,不再赘述。
示例性地,图15为本申请实施例提供的通信装置的结构示意图。该通信装置可以是网络设备,也可以是可设置于网络设备的芯片(系统)或其他部件或组件。如图15所示,通信装置1500可以包括处理器1501。可选地,通信装置1500还可以包括存储器1502和/或收发器1503。其中,处理器1501与存储器1502和收发器1503耦合,如可以通过通信总线连接。
下面结合图15对通信装置1500的各个构成部件进行具体的介绍:
其中,处理器1501是通信装置1500的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器1501是一个或多个中央处理器(central processing unit,CPU),也可以是特定集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(fieldprogrammable gate array,FPGA)。
可选地,处理器1501可以通过运行或执行存储在存储器1502内的软件程序,以及调用存储在存储器1502内的数据,执行通信装置1500的各种功能,例如执行上述图6-图13所示的方法。
在具体的实现中,作为一种实施例,处理器1501可以包括一个或多个CPU,例如图15中所示出的CPU0和CPU1。
在具体实现中,作为一种实施例,通信装置1500也可以包括多个处理器,例如图15中所示的处理器1501和处理器1504。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
其中,所述存储器1502用于存储执行本申请方案的软件程序,并由处理器1501来控制执行,具体实现方式可以参考上述方法实施例,此处不再赘述。
可选地,存储器1502可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1502可以和处理器1501集成在一起,也可以独立存在,并通过通信装置1500的接口电路(图15中未示出)与处理器1501耦合,本申请实施例对此不作具体限定。
收发器1503,用于与其他通信装置之间的通信。例如,通信装置1500为终端,收发器1503可以用于与网络设备通信,或者与另一个终端设备通信。又例如,通信装置1500为网络设备,收发器1503可以用于与终端通信,或者与另一个网络设备通信。
可选地,收发器1503可以包括接收器和发送器(图15中未单独示出)。其中,接收器用于实现接收功能,发送器用于实现发送功能。
可选地,收发器1503可以和处理器1501集成在一起,也可以独立存在,并通过通信装置1500的接口电路(图15中未示出)与处理器1501耦合,本申请实施例对此不作具体限定。
可以理解,图15中示出的通信装置1500的结构并不构成对该通信装置的限定,实际的通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,通信装置1500的技术效果可以参考上述方法实施例所述的方法的技术效果,此处不再赘述。
本申请实施例提供一种通信系统。该通信系统包括:执行上述方法的第一网元,以及执行上述方法的第二网元。
应理解,在本申请实施例中的处理器可以是中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (28)
1.一种网络信息处理方法,其特征在于,所述方法包括:
在终端通过归属网络的第一网元分别注册到第一网络和第二网络的情况下,所述归属网络的第二网元接收来自所述第一网元的第一注册信息和第二注册信息;其中,所述第一注册信息是所述终端在所述第一网络的注册信息,所述第二注册信息是所述终端在所述第二网络的注册信息;
所述第二网元根据所述第一注册信息和所述第二注册信息,向第三网元发送所述终端的安全信息;其中,所述第三网元是所述终端注册的网络的网元,所述终端注册的网络为第一网络或所述第二网络,所述安全信息用于对所述终端和应用服务器之间的数据传输进行安全保护,所述终端注册的网络用于支持所述终端和所述应用服务器之间的数据传输。
2.根据权利要求1所述的方法,其特征在于,所述归属网络的第二网元接收来自所述第一网元的第一注册信息和第二注册信息,包括:
所述第二网元接收来自所述第一网元的第一消息;其中,所述第一消息包括所述第一注册信息;
所述第二网元保存所述第一注册信息;
所述第二网元接收来所述第一网元的第二消息;其中,所述第二消息包括所述第二注册信息;
所述第二网元保存所述第二注册信息,且不删除所述第一注册信息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第二网元获取注册指示信息;其中,所述注册指示信息用于指示所述终端注册到多个网络,所述多个网络包括所述第一网络和所述第二网络;
相应的,所述第二网元保存所述第二注册信息,且不删除所述第一注册信息,包括:
所述第二网元根据所述注册指示信息,保存所述第二注册信息,且不删除所述第一注册信息。
4.根据权利要求3所述的方法,其特征在于,所述注册指示信息携带在所述第二消息中。
5.根据权利要求2-4中任一项所述的方法,其特征在于:
所述第一网元是认证服务网元,所述第一消息是第一密钥注册请求消息,所述第二消息是第二密钥注册请求消息;或者,
所述第一网元是数据管理网元,所述第一消息是第一通知消息,所述第二消息是第二通知消息。
6.根据权利要求1所述的方法,其特征在于,所述归属网络的第二网元接收来自所述第一网元的第一注册信息和第二注册信息,包括:
所述第二网元接收来自所述第一网元的第二消息;其中,所述第二消息包括所述第一注册信息和所述第二注册信息;
所述第二网元保存所述第一注册信息和所述第二注册信息。
7.根据权利要求6所述的方法,其特征在于:
所述第一网元是认证服务网元,所述第二消息是第二密钥注册请求消息;或者,
所述第一网元是数据管理网元,所述第二消息是第二通知消息。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述第二网元根据所述第一注册信息和所述第二注册信息,向第三网元发送所述终端的安全信息,包括:
所述第二网元根据所述第一注册信息和所述第二注册信息,确定所述第三网元是所述终端注册的网络的网元;
所述第二网元向第三网元发送所述安全信息。
9.根据权利要求8所述的方法,其特征在于,所述第一注册信息包括所述第一网络的标识,所述第二注册信息包括所述第二网络的标识,所述第二网元根据所述第一注册信息和所述第二注册信息,确定所述第三网元是所述终端注册的网络的网元,包括:
所述第二网元确定所述第三网元所在网络的标识,是否与所述第一网络的标识或所述第二网络的标识匹配;
若所述第三网元所在网络的标识与所述第一网络的标识或所述第二网络的标识匹配,则所述第二网元确定所述第三网元是所述终端注册的网络的网元。
10.根据权利要求1-9中任一项所述的方法,其特征在于,所述方法还包括:
在所述终端在所述第一网络中去注册的情况下,所述第二网元根据所述第一网元的指示,删除所述第一注册信息;和/或,
在所述终端在所述第二网络中去注册的情况下,所述第二网元根据所述第一网元的指示,删除所述第二注册信息。
11.根据权利要求1-10中任一项所述的方法,其特征在于:
所述第一网络是所述终端的归属网络,所述第二网络是所述终端的拜访网络;或者,
所述第一网络是所述终端的第一拜访网络,所述第二网络是所述终端的第二拜访网络。
12.根据权利要求1-11中任一项所述的方法,其特征在于:
所述第二网元是安全锚点网元。
13.一种网络信息处理方法,其特征在于,所述方法包括:
归属网络的第一网元确定终端注册到多个网络;
所述第一网元向所述归属网络的第二网元发送第一注册信息和第二注册信息;其中,所述多个网络包括第一网络和第二网络,所述第一注册信息是终端在所述第一网络的注册信息,所述第二注册信息是所述终端在所述第二网络的注册信息,所述第一注册信息和所述第二注册信息用于所述第二网元为所述终端提供安全保护。
14.根据权利要求13所述的方法,其特征在于,所述第一网元是认证服务网元,所述归属网络的第一网元确定终端注册到多个网络,包括:
所述认证服务网元根据数据管理网元发送的信息,确定所述终端注册到多个网络;其中,所述数据管理网元发送的信息包括如下至少一项:注册指示信息、所述第一注册信息、或所述第二注册信息,所述注册指示信息用于指示所述终端注册到多个网络。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述认证服务网元向所述数据管理网元发送针对所述终端的认证获取请求消息;
所述认证服务网元接收所述数据管理网元针对所述认证获取请求返回的认证获取响应消息;其中,所述认证获取响应消息包括如下至少一项:所述注册指示信息、所述第一注册信息、或所述第二注册信息。
16.根据权利要求13所述的方法,其特征在于,所述第一网元是数据管理网元,所述归属网络的第一网元确定终端注册到多个网络,包括:
所述数据管理网元根据所述终端的注册状态,确定所述终端注册到多个网络。
17.根据权利要求13所述的方法,其特征在于,所述第一网元向所述归属网络的第二网元发送所述第一注册信息和所述第二注册信息,包括:
所述第一网元向所述第二网元发送第一消息;其中,所述第一消息包括所述第一注册信息;
所述第一网元向所述第二网元发送第二消息;其中,所述第二消息包括所述第二注册信息。
18.根据权利要求17所述的方法,其特征在于:
所述第一网元是认证服务网元,所述第一消息是第一密钥注册请求消息,所述第二消息是第二密钥注册请求消息;或者,
所述第一网元是数据管理网元,所述第一消息是第一通知消息,所述第二消息是第二通知消息。
19.根据权利要求13所述的方法,其特征在于,所述第一网元向所述归属网络的第二网元发送所述第一注册信息和所述第二注册信息,包括:
所述第一网元向所述第二网元发送第二消息;其中,所述第二消息包括所述第一注册信息和所述第二注册信息。
20.根据权利要求19所述的方法,其特征在于:
所述第一网元是认证服务网元,所述第二消息是第二密钥注册请求消息;或者,
所述第一网元是数据管理网元,所述第二消息是第二通知消息。
21.根据权利要求13-20中任一项所述的方法,其特征在于,所述方法还包括:
在所述终端在所述第一网络中去注册的情况下,所述第一网元指示所述第二网元删除所述第一注册信息;和/或,
在所述终端在所述第二网络中去注册的情况下,所述第一网元指示所述第二网元删除所述第二注册信息。
22.根据权利要求13-21中任一项所述的方法,其特征在于:
所述第一网络是所述终端的归属网络,所述第二网络是所述终端的拜访网络;或者,
所述第一网络是所述终端的第一拜访网络,所述第二网络是所述终端的第二拜访网络。
23.根据权利要求13-22中任一项所述的方法,其特征在于:
所述第二网元是安全锚点网元。
24.一种网络信息处理装置,其特征在于,所述装置包括:用于执行如权利要求1-12中任一项所述的方法的模块。
25.一种网络信息处理装置,其特征在于,所述装置包括:用于执行如权利要求13-23中任一项所述的方法的模块。
26.一种通信装置,其特征在于,所述通信装置包括:处理器和存储器;所述存储器用于存储计算机指令,当所述处理器执行该指令时,以使所述通信装置执行如权利要求1-23中任一项所述的方法。
27.一种通信系统,其特征在于,所述通信系统包括第一网元和第二网元;其中,所述第二网元用于执行如权利要求1-12中任一项所述的方法,所述第一网元用于执行如权利要求13-23中任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得所述计算机执行如权利要求1-23中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211085584.8A CN117676558A (zh) | 2022-09-06 | 2022-09-06 | 网络信息处理方法及装置 |
PCT/CN2023/116532 WO2024051600A1 (zh) | 2022-09-06 | 2023-09-01 | 网络信息处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211085584.8A CN117676558A (zh) | 2022-09-06 | 2022-09-06 | 网络信息处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117676558A true CN117676558A (zh) | 2024-03-08 |
Family
ID=90062886
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211085584.8A Pending CN117676558A (zh) | 2022-09-06 | 2022-09-06 | 网络信息处理方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117676558A (zh) |
WO (1) | WO2024051600A1 (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110035433B (zh) * | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
CN109699031B (zh) * | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
CN110881184B (zh) * | 2018-09-05 | 2021-05-18 | 华为技术有限公司 | 通信方法和装置 |
CN113541925B (zh) * | 2020-03-30 | 2023-02-14 | 华为技术有限公司 | 通信系统、方法及装置 |
CN114071452B (zh) * | 2020-08-07 | 2023-04-04 | 华为技术有限公司 | 用户签约数据的获取方法及装置 |
CN112423301B (zh) * | 2020-11-02 | 2023-12-22 | 中国联合网络通信集团有限公司 | 专网注册管理方法和amf网元 |
-
2022
- 2022-09-06 CN CN202211085584.8A patent/CN117676558A/zh active Pending
-
2023
- 2023-09-01 WO PCT/CN2023/116532 patent/WO2024051600A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024051600A1 (zh) | 2024-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113630749B (zh) | 一种获取边缘服务的方法和装置 | |
EP4224777A1 (en) | Key acquisition method and communication apparatus | |
KR20210024160A (ko) | 통신 방법 및 장치 | |
EP4171102A1 (en) | Communication method, device and system | |
CN113543135A (zh) | 授权方法、策略控制功能设备和接入和移动管理功能设备 | |
WO2019174582A1 (zh) | 一种消息传输方法和装置 | |
CN113573298B (zh) | 一种通信方法及装置 | |
WO2022199451A1 (zh) | 会话切换的方法和装置 | |
CN114423074A (zh) | 一种通信方法及装置 | |
CN112492592A (zh) | 一种多个nrf场景下的授权方法 | |
CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
EP4207828A1 (en) | Data communication method and communication apparatus | |
WO2022259830A1 (en) | Method of user equipment (ue) and user equipment (ue) | |
CN117676558A (zh) | 网络信息处理方法及装置 | |
WO2023216934A1 (zh) | 通信方法及装置 | |
CN113412679B (zh) | 通信方法及装置 | |
CN117580146B (zh) | 一种伺服电机集群的控制方法及装置 | |
CN117440356A (zh) | 通信方法及装置 | |
CN116996985A (zh) | 一种基于边缘网络的通信方法及装置 | |
CN116567590A (zh) | 授权方法及装置 | |
CN116980218A (zh) | 一种楼宇设备的生命周期管控SaaS系统及方法 | |
KR20220133042A (ko) | 무선 통신 시스템에서 무인 항공기의 인증을 지원하는 통신 방법 및 장치 | |
CN116866844A (zh) | 通信方法及装置 | |
CN116471581A (zh) | 通信方法及装置 | |
CN117641311A (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |