CN117812574A - 通信方法和通信装置 - Google Patents

通信方法和通信装置 Download PDF

Info

Publication number
CN117812574A
CN117812574A CN202211215255.0A CN202211215255A CN117812574A CN 117812574 A CN117812574 A CN 117812574A CN 202211215255 A CN202211215255 A CN 202211215255A CN 117812574 A CN117812574 A CN 117812574A
Authority
CN
China
Prior art keywords
message
amf
nas
key
gpp network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211215255.0A
Other languages
English (en)
Inventor
李�赫
吴�荣
徐艺珊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202211215255.0A priority Critical patent/CN117812574A/zh
Priority to PCT/CN2023/121659 priority patent/WO2024067619A1/zh
Publication of CN117812574A publication Critical patent/CN117812574A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/06Registration at serving network Location Register, VLR or user mobility server
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例提供了一种通信方法和通信装置。该方法包括:移动性管理功能网元AMF接收终端设备UE通过第一非3GPP网络设备发送的第一注册请求消息,并在确定UE需要重新安置到第二非3GPP网络设备的情况下向UE发送第一NAS消息,用于指示UE通过第二非3GPP网络设备重新接入网络,该第一NAS消息包括第二非3GPP网络设备的标识信息;进一步地,AMF接收来自UE的第二NAS消息,并基于该第二NAS消息携带的第一密钥生成参数生成第一密钥,用于建立第二非3GPP网络设备与终端设备之间的安全连接,进而保证UE重新接入不同非3GPP网络设备时所使用的密钥不同,达到密钥隔离的目的,提升网络通信的安全性。

Description

通信方法和通信装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种通信方法和通信装置。
背景技术
在通信系统,例如第五代(5th generation,5G)中,为了保障网络安全,需要对接入网络的终端设备进行主认证(primary authentication)流程,即对终端设备进行身份认证和授权。终端设备只有在认证通过后,才可以接入非第三代合作伙伴项目(3rdgeneration partnership project,3GPP)网络,并进一步请求建立协议数据单元(protocol data unit,PDU)会话来访问数据网络(data network,DN)上的各种业务。
示例性的,在非3GPP接入技术中,用户设备(user equipment,UE)可以根据既有规则选择一个非3GPP网络设备入网,针对非3GPP网络设备的重分配问题,可能存在接入与移动性管理功能(access and mobility management function,AMF)将同一密钥分发给多个不同的非3GPP网络设备,违背安全原则,使得终端设备和非3GPP网络设备将面对更多的潜在安全风险。例如,被黑客攻击、敏感信息遭到泄露、运行状态被恶意监控或篡改等。因此,如何保证网络通信安全是亟待解决的问题。
发明内容
本申请提供一种通信方法和通信装置,能够保障网络通信安全,提升用户体验。
第一方面,提供了一种通信方法,该方法可以由AMF执行,或者,也可以由用于AMF的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由AMF执行为例进行说明。
该方法包括:移动性管理功能网元AMF接收终端设备通过第一非3GPP网络设备发送的第一注册请求消息,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络;在确定终端设备需要重新安置到第二非3GPP网络设备的情况下,AMF向终端设备发送第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息,第一NAS消息用于指示终端设备通过第二非3GPP网络设备重新接入网络;AMF接收来自终端设备的第二NAS消息,第二NAS消息用于终端设备请求接入网络,第二NAS消息包括第一密钥生成参数的;AMF根据第一密钥生成参数生成第一密钥,第一密钥用于建立第二非3GPP网络设备与终端设备之间的安全连接。
根据本申请提供的方案,AMF接收UE通过第一非3GPP网络设备发送的第一注册请求消息,并在确定UE需要重新安置到第二非3GPP网络设备的情况下,向UE发送第一NAS消息;进一步地,AMF接收来自UE的第二NAS消息,并基于该第二NAS消息携带的第一密钥生成参数生成第一密钥,用于建立第二非3GPP网络设备与终端设备之间的安全连接,该第一密钥与UE在第一注册请求过程中使用的密钥是不同的,即保证UE在接入第一非3GPP网络设备和第二非3GPP网络设备时所使用的密钥不同,达到密钥隔离的目的,进而提升网络通信的安全性。
结合第一方面,在第一方面的某些实现方式中,AMF根据第一密钥生成参数生成第一密钥,包括:AMF根据所述第一密钥生成参数,获取上行NAS COUNT值;AMF将根密钥和上行NAS COUNT值作为输入参数,计算得到第一密钥,该根密钥是用于生成AMF与UE之间的NAS安全上下文的密钥。
示例性的,AMF根据第一密钥生成参数(例如,第二NAS消息中携带的NAS SQN),获取用于生成第二密钥的NAS COUNT值,再将根密钥KAMF和NAS COUNT值作为输入参数,计算得到第一密钥。
结合第一方面,在第一方面的某些实现方式中,在AMF向终端设备发送第一NAS消息之前,AMF确定是否将终端设备重新安置到第二非3GPP网络设备。
结合第一方面,在第一方面的某些实现方式中,第一注册请求消息中还包括终端设备请求的接入的切片信息,AMF确定是否将终端设备重新安置到第二非3GPP网络设备,包括:AMF根据终端设备请求的接入的切片信息,确定是否将终端设备重新安置到第二非3GPP网络设备;或者,AMF根据第一非3GPP网络设备的位置信息,确定是否将终端设备重新安置到第二非3GPP网络设备;或者,AMF根据本地预配置信息,确定是否将终端设备重新安置到第二非3GPP网络设备。
基于上述方案,AMF可以根据终端设备在注册时所请求接入切片的信息,第一非3GPP网络设备的位置信息,或者本地预配置信息等,通过多重考虑可以有针对性地确定是否将终端设备重新安置到第二非3GPP网络设备,保证终端设备重新安置的必要性和有效性,提升用户体验。
结合第一方面,在第一方面的某些实现方式中,第二非3GPP网络设备的标识信息,包括:第二非3GPP网络设备的互联网协议(internet protocol address,IP)地址信息,或者,第二非3GPP网络设备的全限定域名(fully qualified domain name,FQDN)信息。
结合第一方面,在第一方面的某些实现方式中,第一NAS消息还包括第一原因值,第一原因值用于指示终端设备通过第二非3GPP网络设备重新接入网络。
基于上述方案,终端设备可以根据第二非3GPP网络设备的标识信息,确定第二非3GPP网络设备,和/或终端设备第一原因值,确定需要重新安置到第二非3GPP网络设备,进而发送第二NAS消息,使得AMF基于第二NAS消息生成第一密钥,即UE在需要通过第二非3GPP网络设备接入网络的情况下,能够实现密钥隔离,保障网络通信安全。
结合第一方面,在第一方面的某些实现方式中,第一NAS消息为以下消息中的任意一项:重新安置请求消息;NAS下行传输消息;配置更新命令消息;注册拒绝消息;或者,注册完成消息。
基于上述方案,AMF与UE之间的信令交互是NAS消息,即利用NAS消息得到的NASCOUNT值生成密钥,使得根据不同NAS消息生成的密钥不同,达到密钥隔离的目的,保证网络通信的安全原则。
结合第一方面,在第一方面的某些实现方式中,在AMF根据第一密钥生成参数生成第一密钥之前,AMF判断第二NAS消息是否是通过第二非3GPP网络设备发送的。
示例性的,AMF根据发送第二NAS消息的非3GPP网络设备的信息,是否与AMF本地存储的第二非3GPP网络设备的信息相同,确定第二NAS消息是否是通过第二非3GPP网络设备发送的。
结合第一方面,在第一方面的某些实现方式中,在确定第二NAS消息是通过第二非3GPP网络设备接收到的情况下,AMF根据第一密钥生成参数生成第一密钥。
基于上述方案,AMF在确定第二NAS消息是通过第二非3GPP网络设备接收到的情况下,才生成第一密钥,能够有效保证UE重新安置到第二非3GPP网络设备,进而保障对后续第一密钥的安全性。
结合第一方面,在第一方面的某些实现方式中,AMF确定是否已经为第一终端设备重新安置过其他非3GPP网络设备;其中,AMF根据第一密钥生成参数生成第一密钥,包括:在确定AMF已经为第一终端设备重新安置过其他非3GPP网络设备的情况下,AMF根据第一密钥生成参数生成第一密钥。
基于上述方案,AMF只要确定UE被重新安置过非3GPP网络设备,就可以生成第一密钥,省略了上述判断第二NAS消息是否是通过第二非3GPP网络设备发送的动作,提升UE接入网络的效率,提升用户体验。
结合第一方面,在第一方面的某些实现方式中,在AMF向终端设备发送第一NAS消息之前,AMF接收终端设备通过所述第一非3GPP网络设备发送的第三NAS消息,第三NAS消息包括第二密钥生成参数;AMF根据第二密钥生成参数生成第二密钥,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接;在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,AMF向终端设备发送第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G全球唯一临时标识5G-GUTI。
基于上述方案,AMF在向终端设备下发需要重新安置到第二非3GPP网络设备的第一NAS消息之前,需要进行一次完整的注册流程,使得第一非3GPP网络设备与UE之间建立安全连接,进而后续UE与AMF之间的信令交互,例如第一NAS消息、第二NAS消息等是被安全保护的,能保证网络通信的安全性。
结合第一方面,在第一方面的某些实现方式中,在AMF向终端设备发送第一NAS消息之前,AMF接收终端设备通过第一非3GPP网络设备发送的第三NAS消息,第三NAS消息包括第二密钥生成参数;AMF根据第二密钥生成参数生成第二密钥,第二密钥用于第一非3GPP网络设备与终端设备之间的安全建立;以及,在AMF向终端设备发送第一NAS消息之后,且在所述AMF接收来自所述终端设备的第二NAS消息之前,AMF向第一非3GPP网络设备发送第二密钥;在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,AMF向终端设备发送第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G-GUTI。
应理解,该实现方式中UE与第一非3GPP网络设备需要建立IPsecSA安全连接,保障NAS消息的安全传输。基于上述方案,在第一次注册流程中完成UE需要重新安置到第二非3GPP网络设备的流程,使得在UE第一次注册完成通过后,可以立即通过第二非3GPP网络设备重新接入网络,有利于提升UE入网效率,同时也避免后续的安全认证流程,减少信令开销。
结合第一方面,在第一方面的某些实现方式中,在AMF向终端设备发送第一NAS消息之前,AMF接收终端设备通过第一非3GPP网络设备发送的第三NAS消息,第三NAS消息包括第二密钥生成参数;AMF根据第二密钥生成参数生成第二密钥,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接;AMF向第一非3GPP网络设备发送第二密钥;其中,AMF向终端设备发送第一NAS消息,包括:在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,AMF向终端设备发送第一NAS消息,第一NAS消息为第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G-GUTI。
应理解,该实现方式UE与第一非3GPP网络设备需要建立IPsecSA安全连接,保障NAS消息的安全传输。基于上述方案,在第一次注册流程中完成UE需要重新安置到第二非3GPP网络设备的流程,使得在UE第一次注册完成通过后,可以立即通过第二非3GPP网络设备重新接入网络,有利于提升UE入网效率,同时也避免后续的安全认证流程,减少信令开销。另外,该实现方式中可以复用响应于第一注册请求消息的注册拒绝消息或注册完成消息,节省信令开销,无需额外新增NAS消息。
结合第一方面,在第一方面的某些实现方式中,在AMF接收来自终端设备的第二NAS消息之前,AMF触发NAS安全激活流程;在确定AMF与终端设备之间的NAS安全激活的情况下,响应于第一注册请求消息,AMF向终端设备发送第一注册拒绝消息,第一注册拒绝消息为第一NAS消息,第一NAS消息为第一注册拒绝消息,第一注册拒绝消息包括第一5G-GUTI;AMF本地存储终端设备的NAS安全上下文,NAS安全上下文用于保护第二NAS消息。
应理解,该实现方式UE与第一非3GPP网络设备之间无需建立IPsecSA安全连接,这是因为仅发送注册拒绝消息,但是发送或接收注册拒绝消息之后,AMF和UE不需要删除本地NAS安全上下文,这是便于接下来的重新安置过程中无需重复执行认证动作,减少信令开销,同时基于AMF与终端设备之间的NAS安全激活,可以确保注册拒绝消息中携带的用于指示UE重新安置到第二非3GPP网络设备的真实性,保障NAS消息的安全传输。
第二方面,提供了一种通信方法,该方法可以由终端设备(例如用户设备(userequipment,UE))执行,或者,也可以由用于UE的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由UE执行为例进行说明。
该方法包括:终端设备通过第一非3GPP网络设备向移动性管理功能网元AMF发送第一注册请求消息,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络;终端设备接收来自AMF的第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息,第一NAS消息用于指示终端设备通过第二非3GPP网络设备重新接入网络;终端设备通过第二非3GPP网络设备向AMF发送第二NAS消息,第二NAS消息用于终端设备请求接入网络,第二NAS消息包括第一密钥生成参数;终端设备根据所述第一密钥生成参数生成第一密钥,第一密钥用于建立第二非3GPP网络设备与终端设备之间的安全连接。
根据本申请提供的方案,UE通过第一非3GPP网络设备向AMF发送第一注册请求消息,在确定UE需要重新安置到第二非3GPP网络设备的情况下,接收AMF发送的第一NAS消息;进一步地,UE向AMF发送第二NAS消息,并基于该第二NAS消息携带的第一密钥生成参数生成第一密钥,用于建立第二非3GPP网络设备与终端设备之间的安全连接,该第一密钥与UE在第一注册请求过程中使用的密钥是不同的,即保证UE在接入第一非3GPP网络设备和第二非3GPP网络设备时所使用的密钥不同,达到密钥隔离的目的,进而提升网络通信的安全性。
示例性的,UE根据第一密钥生成参数(例如,第二NAS消息中携带的NAS SQN),获取用于生成第二密钥的NAS COUNT值,再将根密钥KAMF和NAS COUNT值作为输入参数,计算得到第一密钥。
结合第二方面,在第二方面的某些实现方式中,第二非3GPP网络设备的标识信息,包括:第二非3GPP网络设备的互联网协议IP地址信息,或者,第二非3GPP网络设备的全限定域名FQDN信息。
结合第二方面,在第二方面的某些实现方式中,在终端设备向AMF发送第二NAS消息之前,终端设备根据第一NAS消息,确定终端设备需要使用第二非3GPP网络设备重新接入网络。
结合第二方面,在第二方面的某些实现方式中,终端设备根据第一NAS消息,确定终端设备需要使用第二非3GPP网络设备重新接入网络,包括:终端设备根据第二非3GPP网络设备的标识信息,确定终端设备需要使用第二非3GPP网络设备重新接入网络;或者,终端设备根据本地策略或者预设值方法,确定终端设备需要使用或立即通过第二非3GPP网络设备重新接入网络。
基于上述方案,终端设备可以根据第二非3GPP网络设备的标识信息,或者本地策略或者预设值方法,确定终端设备需要使用或立即通过第二非3GPP网络设备重新接入网络,通过多重考虑可以保证终端设备重新安置的必要性和有效性,提升用户体验。
结合第二方面,在第二方面的某些实现方式中,第一NAS消息还包括第一原因值,第一原因值用于指示终端设备需要通过第二非3GPP网络设备重新接入网络;其中,终端设备根据第一NAS消息,确定终端设备需要使用第二非3GPP网络设备重新接入网络,包括:终端设备根据第一原因值,确定终端设备需要使用第二非3GPP网络设备的FQDN信息重新接入网络;或者,终端设备根据第二非3GPP网络设备的FQDN信息确定第二非3GPP网络设备,以及终端设备根据第一原因值,确定终端设备需要通过第二非3GPP网络设备接入或者立即接入网络。
基于上述方案,终端设备可以根据第二非3GPP网络设备的标识信息,确定第二非3GPP网络设备,和/或终端设备第一原因值,确定需要重新安置到第二非3GPP网络设备,进而发送第二NAS消息,使得AMF基于第二NAS消息生成第一密钥,即UE在需要通过第二非3GPP网络设备接入网络的情况下,能够实现密钥隔离,保障网络通信安全。
结合第二方面,在第二方面的某些实现方式中,第一NAS消息为以下消息中的任意一项:重新安置请求消息;NAS下行传输消息;配置更新命令消息;注册完成消息,或者注册拒绝消息。
基于上述方案,AMF与UE之间的信令交互是NAS消息,即利用NAS消息得到的NASCOUNT值生成密钥,使得根据不同NAS消息生成的密钥不同,达到密钥隔离的目的,保证网络通信的安全原则。
结合第二方面,在第二方面的某些实现方式中,在终端设备接收来自AMF的第一NAS消息之前,终端设备通过第一非3GPP网络设备向AMF发送第三NAS消息,第三NAS消息包括第二密钥生成参数;终端设备根据第二密钥生成参数生成第二密钥,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接。
进一步地,在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,终端设备接收来自AMF的第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G-GUTI。
基于上述方案,AMF在向终端设备下发需要重新安置到第二非3GPP网络设备的第一NAS消息之前,需要进行一次完整的注册流程,使得第一非3GPP网络设备与UE之间建立安全连接,进而后续UE与AMF之间的信令交互,例如第一NAS消息、第二NAS消息等是被安全保护的,能保证网络通信的安全性。
结合第二方面,在第二方面的某些实现方式中,在终端设备接收来自AMF的第一NAS消息之前,终端设备通过第一非3GPP网络设备向AMF发送第三NAS消息,第三NAS消息包括第二密钥生成参数;终端设备根据第二密钥生成参数生成第二密钥,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接;以及,在终端设备接收来自AMF的第一NAS消息之后,且在终端设备通过第二非3GPP网络设备向AMF发送第二NAS消息之前,且在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,终端设备接收来自AMF的第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G-GUTI。
应理解,该实现方式中UE与第一非3GPP网络设备需要建立IPsecSA安全连接,保障NAS消息的安全传输。基于上述方案,在第一次注册流程中完成UE需要重新安置到第二非3GPP网络设备的流程,使得在UE第一次注册完成通过后,可以立即通过第二非3GPP网络设备重新接入网络,有利于提升UE入网效率,同时也避免后续的安全认证流程,减少信令开销。
结合第二方面,在第二方面的某些实现方式中,在终端设备接收来自AMF的第一NAS消息之前,终端设备通过第一非3GPP网络设备向AMF发送第三NAS消息,第三NAS消息包括第二密钥生成参数;终端设备根据第二密钥生成参数生成第二密钥,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接;终端设备根据第二密钥和第一非3GPP网络设备的标识信息,与第一非3GPP网络设备进行安全连接建立;以及,终端设备接收来自AMF的第一NAS消息,包括:在确定第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,响应于第一注册请求消息,终端设备接收来自AMF的第一NAS消息,第一NAS消息为第一注册完成消息,或者第一注册拒绝消息,其中,第一注册完成和第一注册拒绝消息包括第一5G-GUTI。
应理解,该实现方式UE与第一非3GPP网络设备需要建立IPsecSA安全连接,保障NAS消息的安全传输。基于上述方案,在第一次注册流程中完成UE需要重新安置到第二非3GPP网络设备的流程,使得在UE第一次注册完成通过后,可以立即通过第二非3GPP网络设备重新接入网络,有利于提升UE入网效率,同时也避免后续的安全认证流程,减少信令开销。另外,该实现方式中可以复用响应于第一注册请求消息的注册拒绝消息或注册完成消息,节省信令开销,无需额外新增NAS消息。
结合第二方面,在第二方面的某些实现方式中,在终端设备接收来自AMF的第一注册拒绝消息之后,终端设备本地存储终端设备的NAS安全上下文,NAS安全上下文用于保护第二NAS消息。
结合第二方面,在第二方面的某些实现方式中,在所述终端设备通过所述第二非3GPP网络设备向所述AMF发送第二NAS消息之前,在确定AMF与终端设备之间的NAS安全激活的情况下,响应于第一注册请求消息,终端设备接收来自AMF的注册拒绝消息,第一注册拒绝消息为第一NAS消息,其中,第一注册拒绝消息包括第一5G-GUTI;终端设备本地存储终端设备的NAS安全上下文,NAS安全上下文用于保护第二NAS消息。
应理解,该实现方式UE与第一非3GPP网络设备之间无需建立IPsecSA安全连接,这是因为仅发送注册拒绝消息,但是发送或接收注册拒绝消息之后,AMF和UE不需要删除本地NAS安全上下文,这是便于接下来的重新安置过程中无需重复执行认证动作,减少信令开销,同时基于AMF与终端设备之间的NAS安全激活,可以确保注册拒绝消息中携带的用于指示UE重新安置到第二非3GPP网络设备的真实性,保障NAS消息的安全传输。
第三方面,提供了一种终端设备。该设备包括:收发单元,用于接收终端设备通过第一非3GPP网络设备发送的第一注册请求消息,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络;在处理单元确定终端设备需要重新安置到第二非3GPP网络设备的情况下,收发单元,还用于向终端设备发送第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息,第一NAS消息用于指示终端设备通过第二非3GPP网络设备重新接入网络;收发单元,还用于接收来自终端设备的第二NAS消息,第二NAS消息用于终端设备请求接入网络,第二NAS消息包括第一密钥生成参数;处理单元,还用于根据第一密钥生成参数生成第一密钥,第一密钥用于建立第二非3GPP网络设备与终端设备之间的安全连接。
该收发单元可以执行前述第一方面中的接收和发送的处理,处理单元可以执行前述第一方面中除了接收和发送之外的其他处理。
第四方面,提供了一种AMF。该设备包括:收发单元,用于通过第一非3GPP网络设备向移动性管理功能网元AMF发送第一注册请求消息,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络;收发单元,还用于接收来自AMF的第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息,第一NAS消息用于指示终端设备通过第二非3GPP网络设备重新接入网络;在处理单元确定终端设备需要使用第二非3GPP网络设备重新接入网络的情况下,收发单元,还用于向AMF发送第二NAS消息,第二NAS消息用于终端设备请求接入网络,第二NAS消息包括第一密钥生成参数。
该收发单元可以执行前述第二面中的接收和发送的处理,处理单元可以执行前述第二方面中除了接收和发送之外的其他处理。
第五方面,提供了一种通信装置,包括收发器、处理器和存储器,该处理器用于控制收发器收发信号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
可选地,该通信装置还包括,发射机(发射器)和接收机(接收器)。
第六方面,提供了一种通信系统,包括UE和AMF。
第七方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序或代码,所述计算机程序或代码在计算机上运行时,使得所述计算机执行上述第一方面或第二方面及其任一种可能实现方式中的方法。
第八方面,提供了一种芯片,包括至少一个处理器,所述至少一个处理器与存储器耦合,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。
其中,该芯片可以包括用于发送信息或数据的输入电路或者接口,以及用于接收信息或数据的输出电路或者接口。
第九方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被通信装置运行时,使得所述通信装置执行上述第一方面或第二方面及其任一种可能实现方式中的方法。
附图说明
图1是本申请提供的网络架构100的示意图
图2是本申请提供的非可信非3GPP系统架构200的示意图。
图3是本申请提供的可信非3GPP系统架构300的示意图。
图4是本申请提供的非可信非3GPP注册400的流程示例图。
图5是本申请提供的可信非3GPP注册500的流程示例图。
图6是本申请提供的一种TNGF重新安置600的流程示例图。
图7是本申请实施例提供的通信方法700的流程示例图。
图8是本申请实施例提供的通信方法800的流程示例图。
图9是本申请实施例提供的通信方法900的流程示例图。
图10是本申请实施例提供的通信方法1000的流程示例图。
图11是本申请实施例提供的通信装置1200的结构示意图。
图12是本申请实施例提供的通信装置1300的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请提供的技术方案可以应用于各种通信系统,例如:新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency divisionduplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统等。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet of things,IoT)通信系统或者其他通信系统。
在通信系统中,由运营者运营的部分可称为公共陆地移动网络(public landmobile network,PLMN),也可以称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobilenetwork operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN,具体可为符合3GPP标准要求的网络,简称3GPP网络。3GPP网络通常包括但不限于5G网络、第四代移动通信(4th-generation,4G)网络,以及未来的其他通信系统,例如(6th-generation,6G)网络等。
为了方便描述,本申请实施例中将以PLMN或5G网络为例进行说明。
图1是本申请提供的网络架构100的示意图,以3GPP标准化过程中定义的非漫游场景下,基于服务化架构SBA的5G网络架构为例。如图所示,该网络架构可以包括三部分,分别是终端设备部分、DN和运营商网络PLMN部分。下面对各部分的网元的功能进行简单说明。
终端设备部分可以包括终端设备110,该终端设备110也可以称为用户设备(userequipment,UE)。本申请中的终端设备110是一种具有无线收发功能的设备,可以经无线接入网(radio access network,RAN)140中的接入网设备(或者也可以称为接入设备)与一个或多个核心网(core network,CN)设备进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、用户代理或用户装置等。终端设备110可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(例如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellular phone)、无绳电话、会话启动协议(session initiation protocol,SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA)等。或者,终端设备110还可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、5G网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的6G网络中的终端等。其中,中继用户设备例如可以是5G家庭网关(residential gateway,RG)。例如终端设备110可以是虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。这里的终端设备指的是3GPP终端。本申请实施例对终端设备的类型或种类等并不限定。为便于说明,本申请后续以UE代指终端设备为例进行说明。
运营商网络PLMN部分可以包括但不限于(无线)接入网((radio)access network,(R)AN)120和核心网(core network,CN)部分。
(R)AN 120可以看作是运营商网络的子网络,是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络,首先是经过(R)AN 120,进而可通过(R)AN 120与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备),是一种为终端设备110提供无线通信功能的设备,也可以称为网络设备,RAN设备包括但不限于:5G系统中的下一代基站节点(next generation node base station,gNB)、长期演进(long term evolution,LTE)中的演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base stationcontroller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,homeevolved nodeB,或home node B,HNB)、基带单元(base band unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、小基站设备(pico)、移动交换中心,或者未来网络中的网络设备等。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为终端设备110提供无线通信功能的装置统称为接入网设备或简称为RAN或AN。应理解,本文对接入网设备的具体类型不作限定。
CN部分可以包括但不限于如下网络功能(network function,NF):用户面功能(user plane function,UPF)130、网络开放功能(network exposure function,NEF)131、网络功能存储库功能(network function repository function,NRF)132、策略控制功能(policy control function,PCF)133、统一数据管理功能(unified data management,UDM)134、统一数据存储库功能(unified data repository,UDR)135、网络数据分析功能(network data analytics function,NWDAF)136、认证服务器功能(authenticationserver function,AUSF)137、接入与移动性管理功能(access and mobility managementfunction,AMF)138、会话管理功能(session management function,SMF)139。
数据网络DN 140,也可以称为分组数据网络(packet data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。当然,在一些实现方式中,DN也可以由运营商进行部署,即DN属于PLMN中的一部分。本申请对DN是否属于PLMN不作限制。运营商网络PLMN可以接入多个数据网络DN 140,数据网络DN 140上可部署多种业务,可为终端设备110提供数据和/或语音等服务。例如,数据网络DN 140可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可以是终端设备110,数据网络DN 140中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 140可以是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备110,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 140,使用数据网络DN 140上部署的运营商业务,和/或第三方提供的业务。
下面对CN包含的NF功能进行进一步简要说明。
1、UPF 130是由运营商提供的网关,是运营商网络与数据网络DN 140通信的网关。UPF网络功能130包括数据包路由和传输、数据包检测、业务用量上报、服务质量(qualityof service,QoS)处理、合法监听、上行数据包检测、下行数据包存储等用户面相关的功能。
2、NEF 131是由运营商提供的控制面功能,主要使能第三方使用网络提供的服务,支持网络开放其能力、事件及数据分析、从外部应用给PLMN安全配备信息、PLMN内外交互信息的转换,提供运营商网络对外开放的API接口,提供给外部服务端与内部运营商网络的交互等。
3、NRF 132是由运营商提供的控制面功能,可用于维护网络中网络功能、服务的实时信息。例如支持网络服务发现、维护NF实例的NF配置数据(NF profile)支持的服务、支持通信代理(service communication proxy,SCP)的服务发现、维护SCP实例的SCP配置数据(SCP profile)、发送有关新注册、去注册、更新的NF和SCP的通知、维护NF和SCP运行的健康状态等。
4、PCF 133是由运营商提供的控制面功能,它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。
5、UDM 134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、签约用户的公开使用的签约标识(generic public subscription identifier,GPSI),信任状(credential)等信息。其中SUPI在传输过程中会先进行加密,加密后的SUPI被称为隐藏的用户签约标识符(subscription concealed identifier,SUCI)。UDM网络功能134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用中国电信的手机芯卡(subscriber identitymodule,SIM)卡的用户,或者使用中国移动的手机芯卡的用户等。上述签约用户的信任状可以是手机芯卡中存储的长期密钥或者跟手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。需要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同验证/认证、授权相关的信息,在本申请实施例中,为了描述方便起见不做区分、限制。
6、UDR 135是由运营商提供的控制面功能,为UDM提供存储和获取签约数据的功能、为PCF提供存储和获取策略数据、存储和获取用户的NF群组ID(group ID)信息等。
7、NWDAF 136是由运营商提供的控制面功能,其主要功能是从NF、外部应用功能AF以及运维管理(operations,administration and maintenance,OAM)系统等处收集数据,对NF和AF提供NWDAF业务注册、数据开放和分析数据等。
8、AUSF 137是由运营商提供的控制面功能,通常用于一级认证,即终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能137接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能137可向签约用户反馈认证信息和/或授权信息。
9、AMF 138是由运营商网络提供的控制面网络功能,负责终端设备110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
AMF 138用于与UE进行NAS连接,拥有与UE相同的5G NAS安全上下文。5G NAS安全上下文包括KAMF、NAS层级密钥与其相同的密钥标识信息、UE安全能力,以及上下行NASCOUNT值。NAS层级密钥包括NAS加密密钥和NAS完整性保护密钥,分别用于NAS消息的机密性保护和完整性保护。
10、SMF 139是由运营商网络提供的控制面网络功能,负责管理终端设备110的PDU会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 140互相传送PDU。PDU会话由SMF网络功能139负责建立、维护和删除等。SMF网络功能139包括会话管理(例如会话建立、修改和释放,包含用户面功能UPF 130和(R)AN 120之间的隧道维护)、UPF网络功能130的选择和控制、业务和会话连续性(service and session continuity,SSC)模式选择、漫游等会话相关的功能。
11、AF 141是由运营商网络提供的控制面网络功能,用于提供应用层信息,可以通过网络开放功能网元,与策略框架交互或直接与策略框架交互进行策略决策请求等。可以位于运营商网络内,或位于运营商网络外。
可以理解的是,上述网元或者功能既可以是硬件设备中的物理实体,也可以是在专用硬件上运行的软件实例,或者是共享平台(例如,云平台)上实例化的虚拟化功能。简单来说,一个NF可以由硬件来实现,也可以由软件来实现。
图1中Nnef、Nnrf、Npcf、Nudm、Nudr、Nnwdaf、Nausf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。示例性的,上述接口序列号的含义可参见3GPP标准协议中定义的含义,本申请对于上述接口序列号的含义不做限制。需要说明的是,图中的各个网络功能之间的接口名称仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请对此不作限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
为方便说明,本申请实施例中将网络功能(如NEF 131…SMF139)统称/简称为NF,即本申请实施例中后文所描述的NF可替换为任一个网络功能。另外,图1仅示意性地描述了部分网络功能,后文所描述的NF不局限于图1中示出的网络功能。
应理解,上述应用于本申请实施例的网络架构仅是从服务化架构的角度描述的网络架构,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图中所示的AMF、SMF、UPF、NEF、AUSF、NRF、PCF、UDM可以理解为核心网中用于实现不同功能的网元,例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对于上述网元的具体形态不作限定。
还应理解,上述命名仅为便于区分不同的功能而定义,不应对本申请构成任何限定。本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。
应理解,3GPP接入是指使用3GPP接入技术接入移动网络,3GPP接入技术包括但不限于:5G、LTE、UMTS等技术。通俗的可以理解为,3GPP接入技术使用gNB,eNB等类型的基站提供的接入。非3GPP接入是指使用3GPP接入技术之外的技术接入网络,非3GPP接入技术包括但不限于:无线保真(wireless fidelity,WiFi)、蓝牙或紫峰(zigBee)等技术。非3GPP接入类型包括:非可信非3GPP接入技术(untrusted non-3GPP access)和可信非3GPP接入技术(trusted non-3GPP access)。例如,非可信非3GPP接入技术通过非运营商部署的无线接入节点接入核心网,可信非3GPP接入技术通过运营商部署的无线接入节点接入核心网、有线接入技术。
非3GPP接入网设备可以包括但不限于:非3GPP互通功能(non-3GPP interworkingfunction,N3IWF)、可信非3GPP网关功能(trusted non-3GPP gateway function,TNGF)、可信非3GPP接入点(trusted non-3GPP access point,TNAP)、可信无线局域网互通功能(trusted wireless local area network interworking function,TWIF)、有线接入网关功能(wireline access gateway function,W-AGF)。其中,W-AGF也可以称为AGF。
示例性的,若接入技术为非可信非3GPP接入技术,则其对应的非3GPP接入网设备可以包括N3IWF,其网络拓扑结构相当于3GPP接入网中的无线接入网(radio accessnetwork,RAN),可以支持N2、N3接口。若接入技术为可信非3GPP接入技术,则其对应的非3GPP接入网设备可以包括TNGF,其网络拓扑结构相当于3GPP接入网中的RAN,可以支持N2、N3接口。
下面结合图2和图3分别介绍非可信非3GPP和可信非3GPP的系统架构的示意图。
图2是本申请提供的非可信非3GPP系统架构200的示意图。如图2所示,该网络架构200可以包括但不限于以下网元(或者称为功能网元、功能实体、节点、设备等):UE、N3IWF、3GPP(R)AN、UPF、DN、AMF、SMF等。
示例性的,UE可以通过Y1接口接入非可信非3GPP接入网设备,比如WiFi。非可信非3GPP接入网设备可以通过Y2接口接入N3IWF。N3IWF可以通过N2接口连接到AMF,以及可以通过N3接口连接到UPF。另外,UE也可以通过3GPP接入技术(例如N1接口)连接到AMF。换句话说,UE可以同时通过3GPP接入技术和非3GPP接入技术接入到相同的,或者不同的AMF;UE也可以只通过3GPP接入技术接入到AMF,或者只通过非3GPP接入技术接入到AMF。
其中,N3IWF可以用于允许终端设备(例如UE)和3GPP核心网(例如AMF)之间采用非3GPP技术互连互通。N3IWF支持N2接口与移动管理设备通信,支持N3接口与用户面设备通信。另外,其他网元功能的介绍可以参考图1中对应的网元功能的介绍,这里不再赘述。N1、N2、N3、N4、N6以及N11为接口序列号,这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
图3是本申请提供的可信非3GPP系统架构300的示意图。如图3所示,该网络架构300可以包括但不限于以下网元(或者称为功能网元、功能实体、节点、设备等):UE、TNAP、TNGF、3GPP(R)AN、UPF、DN、AMF、SMF等。其中,TNAP和TNGF属于可信非3GPP接入网络(trustednon-3GPP access network,TNAN),TNAP和TNGF可以通过Ta接口连接,TNGF可以通过Tn接口与TNGF连接。
示例性的,UE可以通过Yt接口接入TNAP,以及通过NWt接口接入TNGF。TNGF可以通过N2接口连接到AMF,以及通过N3接口连接到UPF。另外,UE也可以通过3GPP接入技术(例如N1接口)连接到AMF。换句话说,UE可以同时通过3GPP接入技术和非3GPP接入技术接入到相同的,或者不同的AMF;UE也可以只通过3GPP接入技术接入到AMF,或者只通过非3GPP接入技术接入到AMF。
其中,TNAP可以称为可信非3GPP接入节点,可信非3GPP接入点可以是运营商部署的接入节点。TNAP可以用于发送认证、授权和计费(authentication,authorization,andaccounting,AAA)消息,例如将身份验证协议(extensible authentication protocol,EAP)数据包封装于AAA消息,并与TNGF交互,可以用于转发NAS消息。TNGF可以用于支持N2接口和N3接口,可以用于终止EAP-5G信令,可以实现AMF选择、处理与SMF(由AMF中继)的N2信令,以支持会话和QoS,以及在终端设备和用户面设备之间透明中继PDU等功能。另外,其他网元功能的介绍可以参考图1中对应的网元功能的介绍,这里不再赘述。N1、N2、N3、N4、N6以及N11为接口序列号,这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
3GPP标准在TS 23.501中分别定义了非可信非3GPP接入流程和可信非3GPP接入流程。下面结合图4和图5对UE通过非3GPP技术执行注册流程进行具体说明。
图4是本申请提供的非可信非3GPP注册400的流程示例图。如图4所示,包括如下多个步骤。
S401,UE连接至非可信非3GPP接入网络,并被分配了一个IP地址。
示例性的,UE选择连接至一个WiFi,并输入密码。
S402,UE选择N3IWF。
其中,N3IWF是非可信非3GPP接入网络(例如WiFi)中的任一网络设备。
S403,UE通过非可信非3GPP接入网络向N3IWF发起因特网密钥交换(internet keyexchange,IKE)协议进行初始交换,用于与N3IWF建立IPsec Security Association(IPSecSA)。
需要说明的是,非3GPP接入网络到5G核心网络的安全性是UE根据RFC 7296[25]中定义的IKEv2发起IKE初始交换,继续与选定的N3IWF建立IPsec安全关联(SA)。在此之后,所有后续的IKE消息都会使用该步骤中建立的IKE SA进行加密和完整性保护。
应理解,步骤S403是第一次交换(称为IKE_SA_INIT交换),以明文方式完成IKE SA的参数协商,包括协商加密和验证算法,交换临时随机数和DH交换。IKE_SA_INIT交换后生成一个共享密钥材料,通过该共享密钥材料可以衍生出IPSec SA的所有密钥。
S404,UE向N3IWF发送IKE_AUTH请求消息#Aa;
对应的,N3IWF接收来自UE的IKE_AUTH请求消息#Aa。
即UE通过发送IKE_AUTH请求消息来启动IKE_AUTH交换。
其中,该IKE_AUTH请求消息#Aa中不包括AUTH有效负载,这表明IKE_AUTH交换应使用EAP信令(在本例中为EAP-5G信令)。根据RFC 7296[25],在Idi字段中,UE应在此消息中设置ID类型为ID_KEY-ID,并将其值设置为任意随机数。在该步骤中,UE不应使用其GUTI/SUCI/SUPI作为Id。
S405,N3IWF向UE发送IKE_AUTH响应消息#Aa;
对应的,UE接收来自N3IWF的IKE_AUTH响应消息#Aa。
其中,N3IWF以IKE_AUTH响应消息#Aa作为IKE_AUTH请求消息#Aa的响应,该IKE_AUTH响应消息#Aa包括N3IWF标识、保护其发送给UE的先前消息(在步骤S403的IKE_SA_INIT交换中)的AUTH有效负载和EAP-Request/5G-Start数据包。EAP-Request/5G-Start数据包用于通知UE发起EAP-5G会话,即开始发送封装在EAP-5G数据包中的NAS消息。
进一步地,在执行步骤S405之后,UE应验证N3IWF证书,并确认N3IWF标识与UE选择的N3IWF是否相匹配。如果UE请求证书或身份确认不成功,则由于缺少N3IWF的证书将导致UE与N3IWF连接失败。此时,UE应执行步骤S406,即UE向N3IWF发送IKE_AUTH请求。
S406,UE向N3IWF发送IKE_AUTH请求消息#Bb;
对应的,N3IWF接收来自UE的IKE_AUTH请求消息#Bb。
其中,IKE_AUTH请求消息#Bb包括EAP-Response/5G-NAS数据包,该EAP-Response/5G-NAS数据包包括AN参数(如AN-params)和注册请求消息#Aa(如registration request)。AN参数包含了用于N3IWF选择AMF的参数信息,例如全局唯一的AMF标识符(globallyunique AMF identifier,GUAMI)、选择的PLMN ID(或者PLMN ID和NID)中的一个或多个。
需要说明的是,如果UE之前接入过3GPP系统,比如UE已经通过3GPP技术接入使用5GC并且存在可用的安全性上下文,则UE应该完整性地保护上述注册请求消息#Aa,并且可以在注册请求消息#Aa中携带5G全球唯一临时标识(5G-globally unique temporary UEidentity,5G-GUTI)发送给AMF;如果UE之前没有接入过3GPP系统,则UE可以在注册请求消息#Aa中携带订阅隐藏标识符(subscription concealed identifier,SUCI)。
S407,N3IWF执行AMF选择。
示例性的,N3IWF可以根据步骤S406中的AN参数确定AMF。具体的实现方式可以参考标准TS23.501中关于AMF选择与发现章节的相关描述。为了简洁,此处不再赘述。
S408,N3IWF向AMF发送N2消息#Aa。
对应的,AMF接收来自N3IWF的N2消息#Aa。
其中,N2消息#Aa包括注册请求消息#Aa。
示例性的,基于上述步骤S407选择的AMF,以及步骤S406中的注册请求消息#Aa,N3IWF向AMF发送N2消息#Aa,用于将注册请求消息#Aa发送给AMF。
可选地,若AMF在收到注册请求消息#Aa后无法确定UE的真实身份,则可以通过步骤S409-S410向UE请求获取UE的SUCI。
S409-S410,AMF向N3IWF发送N2消息#Bb;N3IWF向UE发送IKE_AUTH请求消息#Cc。其中,N2消息#Bb和IKE_AUTH请求消息#Cc包括NAS Identity Request消息,用于请求获取UE的身份信息,例如UE的SUCI。
对应的,UE向N3IWF发送IKE_AUTH响应消息#Cc;N3IWF向AMF发送N2消息#Bb’。其中,KE_AUTH响应消息#Cc和N2消息#Bb’包括NAS Identity Response消息,该消息中携带UE的SUCI。
应理解,该NAS Identity Request消息和NAS Identity Response消息是封装在EAP/5G-NAS数据包中的。
可选地,AMF对UE进行鉴权,具体可参见下列步骤S411-S418。
示例性的,如果在步骤S408或S409中接收到UE的SUCI时,AMF可以决定对UE执行鉴权。如果在步骤S408或S409中接收到UE的5G-GUTI,并且在验证注册请求消息#Aa的完整性保护通过的情况下,AMF可以决定不对UE发起鉴权,此时步骤S411-S418可以跳过。
需要说明的是,在AMF决定执行对UE鉴权的情况下,AMF需要选择AUSF。即在执行步骤S411之前,AMF需要确定AUSF。其中,AMF选择和发现AUSF的具体实现方式可以参考3GPP协议TS 23.501中的相关描述。为了简洁,此处不再赘述。
S411,AMF向AUSF发送鉴权请求消息#Aa;
对应的,AUSF接收来自AMF的鉴权请求消息#Aa。
其中,鉴权请求消息#Aa包括UE的SUCI。示例性的,鉴权请求消息#Aa可以是Nausf_UEAuthentication Request消息。
进一步地,在执行步骤S411之后,AUSF从UDM处获得SUCI对应的SUPI,以及用于鉴权的鉴权向量。
S412,AUSF向AMF发送鉴权响应消息#Aa;
对应的,AMF接收来自AUSF的鉴权响应消息#Aa。
其中,鉴权响应消息#Aa包括用于鉴权的鉴权向量。示例性的,鉴权响应消息#Aa可以是Nausf_UEAuthentication Reponse消息。
S413,AMF向N3IWF发送N2消息#Cc。
对应的,N3IWF接收来自AMF的N2消息#Cc。
其中,N2消息#Cc包括NAS消息,如Authentication Request消息。AuthenticationRequest消息包括的具体内容可以参考3GPP标准TS33.501中第6章节的相关描述。为了简洁,此处不再赘述。
S414,N3IWF向UE发送IKE_AUTH请求消息#Dd。
对应的,UE接收来自N3IWF的IKE_AUTH请求消息#Dd。
其中,IKE_AUTH请求消息#Dd包括EAP-Req/5G-NAS/NAS-PDU。示例性的,IKE_AUTH请求消息#Dd可以是Authentication Reuest消息。
S415,UE向N3IWF发送IKE_AUTH响应消息#Dd。
对应的,N3IWF接收来自UE的IKE_AUTH响应消息#Dd。
其中,IKE_AUTH响应消息#Dd为EAP-Req/5G-NAS/NAS-PDU。示例性的,IKE_AUTH响应消息#Dd可以是Authentication Response消息。Authentication Response消息包括的具体内容可以参考3GPP标准TS33.501中第6章节的相关描述。为了简洁,此处不再赘述。
S416,N3IWF向AMF发送N2消息#Dd。
对应的,AMF接收来自AMF的N2消息#Dd。
其中,N2消息#Dd包括NAS消息,如Authentication Response消息。
示例性的,AMF收到该Authentication Response消息后的具体操作可参考3GPP标准TS33.501中第6章节的相关描述。为了简洁,此处不再赘述。例如,若鉴权方法为5G-AKA方法,则AMF需要对UE进行验证,在验证成功后,再将Authentication Response消息中携带的RES*发送给AUSF,即执行步骤S417;若鉴权方法为EAP-AKA’方法,则AMF直接转发EAPResponse/AKA’-Challenge消息给AUSF,即执行步骤S417。
S417,AMF向AUSF发送鉴权请求消息#Bb;
对应的,AUSF接收来自AMF的鉴权请求消息#Bb。
示例性的,鉴权请求消息#Bb可以是Nausf_UEAuthentication Request消息。其中,Nausf_UEAuthentication Request消息包括用于AUSF验证UE的参数,具体内容可以参考3GPP标准TS33.501中第6章节的相关描述。另外,AUSF对UE进行验的具体实现方式也可以参考3GPP标准TS33.501中第6章节的相关描述。为了简洁,此处不再赘述。
S418,AUSF向AMF发送鉴权请求消息#Bb;
对应的,AMF接收来自AUSF的鉴权请求消息#Bb。
示例性的,鉴权请求消息#Bb可以是Nausf_UEAuthentication_AuthenticateResponse消息。在鉴权成功的情况下,Nausf_UEAuthentication Response消息包括鉴权成功结果和密钥KSEAF。其中,KSEAF的生成方法可以参考3GPP标准TS33.501中第6章节的相关描述。为了简洁,此处不再赘述。
进一步地,AMF在确定AUSF认证UE成功后,可以根据密钥KSEAF推衍出AMF密钥KAMF。应理解,KAMF可以用于生成NAS安全密钥和N3IWF密钥(如KN3IWF)。其中,该NAS安全密钥包括NAS加密密钥和NAS完整性保护密钥,并且NAS安全密钥在此时生成。该N3IWF密钥用于UE和N3IWF之间建立IPSec SA安全连接。NAS安全密钥用于保护后续步骤(例如步骤S419-S422)所携带的NAS消息。
应理解,KN3IWF的生成参数包括但不限于:上行NAS COUNT值,接入类型(accesstype)信息和KAMF。其中,上行NAS COUNT值至少包括序列号(sequence number,SQN)和翻转值(overlow count)两部分,具体内容可以参考3GPP TS33.501中的相关描述。其中,SQN是在NAS消息中携带和传递的。示例性的,生成KN3IWF所使用的上行NAS COUNT值包括以下两种可能:
(1)在执行鉴权且发送NAS SMC消息的情况下,上行NAS COUNT值为NAS SecurityMode Command消息中的SQN组成的上行NAS COUNT。
(2)在没有执行鉴权,且没有发送NAS SMC消息的情况下,则使用注册请求消息中的SQN组成的上行NAS COUNT。
需要说明的是,KN3IWF的生成是在执行步骤S423消息之前完成的。例如,若AMF有执行NAS SMC流程(参见步骤S419-S422),则KN3IWF的生成在步骤S422之后。另外,KN3IWF的发送时机是在步骤S423,即KN3IWF携带在AMF发送给N3IWF的N2初始上下文设置请求消息#Aa中。
S419,AMF向N3IWF发送N2消息#Ee;
对应的,N3IWF接收来自AMF的N2消息#Ee。
其中,N2消息#Ee包括NAS Security Mode Command(即NAS SMC)消息,用于请求激活NAS安全。NAS SMC消息包括的具体内容可以参考3GPP标准TS33.501中第6.7.2章节的相关描述。为了简洁,此处不再赘述。
S420,N3IWF向UE发送IKE_AUTH响应消息#Bb。
对应的,UE接收来自N3IWF的IKE_AUTH响应消息#Bb。
其中,IKE_AUTH响应消息#Bb包括NAS Security Mode Command消息。
示例性的,N3IWF在EAP-Request/5G-NAS数据包中携带NAS SMC消息,转发到UE。
S421,UE向N3IWF发送IKE_AUTH请求消息#Ee;
对应的,N3IWF接收来自UE的IKE_AUTH请求消息#Ee。
其中,IKE_AUTH请求消息#Ee包括NAS Security Mode Complete消息,用于指示NAS安全激活完成。NAS Security Mode Complete消息包括的具体内容可以参考3GPP标准TS33.501中第6.7.2章节的相关描述。为了简洁,此处不再赘述。
另外,IKE_AUTH请求消息#Ee还包括NAS PDU,NAS PDU携带上行NAS COUNT值,用于生成N3IWF的密钥。
S422,N3IWF向AMF发送N2消息#Ff;
对应的,AMF接收来自N3IWF的N2消息#Ff。
其中,N2消息#Ff包括NAS Security Mode Complete消息。
示例性的,N3IWF通过N2接口将包含NAS SMC Complete消息的NAS数据包转发到AMF。
进一步地,AMF在接收到NAS SMC Complete消息后,或者在完整性保护验证成功后,启动NGAP流程以建立AN上下文。
S423,AMF向N3IWF发送N2初始上下文设置请求消息#Aa;
对应的,N3IWF接收来自AMF的初始上下文设置请求消息#Aa。
其中,N2初始上下文设置请求消息#Aa包括KN3IWF
示例性的,N2初始上下文设置请求消息#Aa可以是NGAP Initial Context SetupRequest消息。应理解,N3IWF密钥是根据KAMF和上述步骤S421中携带的SQN组成的上行NASCOUNT值生成的。
S424,N3IWF向UE发送IKE_AUTH响应消息#Ee;
对应的,UE接收来自N3IWF的IKE_AUTH响应消息#Ee。
其中,IKE_AUTH响应消息#Ee包括EAP-Success。
此时,UE与N3IWF之间的EAP-5G会话完成。应理解,后续UE与N3IWF之间没有EAP-5G数据包的交互。
可选地,若在上述步骤S423中,N3IWF没有接收到KN3IWF,则N3IWF将以EAP-Failure响应。
S425,UE通过IKE_AUTH消息,与N3IWF进行IKE_AUTH交换。
其中,IKE_AUTH消息包括UE ID和AUTH payload(即with AUTH),IKE_AUTH消息用于UE与N3IWF建立IPSec SA,该IPSec SA称为“signalling IPSec SA”。
示例性的,在执行S425之前,UE可以根据KAMF和上述步骤S421中携带的SQN组成的上行NAS COUNT值生成N3IWF密钥,该N3IWF密钥与AMF生成的N3IWF密钥相同,具体实现方式可参见上述步骤S418。N3IWF通过步骤S423可以获取AMF发送的N3IWF密钥,因此UE和N3IWF基于N3IWF密钥可以建立IPSec SA。
S426,N3IWF向AMF发送N2初始上下文设置响应消息#Aa;
对应的,AMF接收来自N3IWF的N2初始上下文设置响应消息#Aa。
其中,N2初始上下文设置响应消息#Aa用于通知UE上下文已经创建。
示例性的,N2初始上下文设置响应消息#Aa可以是NGAP Initial Context SetupReponse消息。即在UE和N3IWF之间成功建立IPsec SA后,N3IWF向AMF发送NGAP初始上下文建立响应消息。
S427,AMF向N3IWF发送N2消息#Gg;
对应的,N3IWF接收来自AMF的N2消息#Gg。
其中,N2消息#Gg包括NAS注册接受消息(例如,NAS Registration Accept消息)。
示例性的,在AMF收到UE的NGAP初始上下文设置响应消息后,AMF通过N2接口向N3IWF发送UE的NAS注册接受消息。
S428,N3IWF向UE转发NAS注册接受消息。
对应的,UE接收来自N3IWF的NAS注册接受消息。
示例性的,在收到来自AMF的NAS注册接受消息后,N3IWF通过步骤S425建立的signalling IPSec SA向UE转发NAS注册接受消息。应理解,后续UE和N3IWF之间的所有NAS消息都通过已建立的signalling IPSec SA承载。
图5是本申请提供的可信非3GPP注册500的流程示例图。如图5所示,包括如下多个步骤。
S500,UE选择可信非3GPP接入网络,并与TNAP建立L2连接。
示例性的,UE选择PLMN,以及与该PLMN连接的可信非3GPP接入网络TNAN。并且,UE和可信非3GPP接入点TNAP建立层2(layer 2,L2)连接。
接下来,步骤S501-S521是UE和TNAN之间的EAP流程。其中,EAP数据包被封装在L2消息中,例如封装在IEEE 802.3、802.1x,或者PPP数据包中。
S501,TNAP向UE发送L2消息#1;
对应的,UE接收来自TNAP的L2消息#1。
其中,L2消息#1包括EAP-Req/Identity消息,用于请求获取UE的标识信息。
S502,UE向TNAP发送L2消息#2;
对应的,TNAP接收来自UE的L2消息#2。
其中,L2消息#2包括网络访问标识(network access identifier,NAI),NAI用于请求一个特定的PLMN的5G连接(5G connectivity)。例如,NAI="<any_username>@nai.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org",表示该NAI触发TNAP向TNGF发送AAA请求(AAA request),即执行步骤S503。
S503,TNAP向TNGF发送AAA消息#AA;
对应的,TNGF接收来自TNAP的AAA消息#AA。
其中,AAA消息#AA包括上述NAI,用于请求5G连接。
可选地,AAA消息#AA还包括TNAP标识,可以看作用户位置信息(user locationinformation,ULI)。
应理解,TNAP与TNGF之间的EAP数据包是通过AAA消息封装的。
S504,TNGF向UE发送L2消息#3;
对应的,UE接收来自TNAG的L2消息#3。
其中,L2消息#3包括EAP Request/5G-Start数据包,用于通知UE发起EAP-5G会话。例如通知UE开始发送5G-NAS消息,5G-NAS消息可以封装在EAP-5G数据包中。
S505,UE向TNGF发送L2消息#4;
对应的,TNGF接收来自UE的L2消息#4。
其中,L2消息#4包括EAP-Response/5G-NAS数据包,该EAP-Response/5G-NAS数据包包括AN参数和注册请求消息#AA。AN参数包含了用于TNGF选择AMF的参数信息,例如UEID、GUAMI、选择的PLMN ID(或者PLMN ID和NID)等。
需要说明的是,如果UE之前接入过3GPP系统,比如通过3GPP技术接入过,则UE可以在注册请求消息#AA中携带5G-GUTI;如果UE之前没有接入过3GPP系统,则UE可以在注册请求消息#AA中携带SUCI。
S506,TNGF执行AMF选择。
其中,具体实现方式可参考上述方法400的步骤S407,为了简洁,此处不再赘述。
S507,TNGF向AMF发送N2消息#AA。
其中,具体实现方式可参考上述方法400的步骤S408,为了简洁,此处不再赘述。
S508-S509,AMF向TNGF发送N2消息#BB,TNGF向UE发送L2消息#5;
对应的,UE向TNGF发送L2消息#5,TNGF向AMF发送N2消息#BB’。
其中,具体实现方式可参考上述方法400的步骤S409-S410,区别在于将IKEv2消息替换为L2消息,为了简洁,此处不再赘述。
S510,AMF向AUSF发送鉴权请求消息#AA;
其中,具体实现方式可参考上述方法400的步骤S411,为了简洁,此处不再赘述。
S511,AUSF、AMF、TNGF与UE之间执行身份验证和密钥协议。
其中,具体实现方式可参考上述方法400的步骤S412-S417,区别在于将IKEv2消息替换为L2消息,为了简洁,此处不再赘述。
进一步地,在完成对UE的鉴权后,AUSF执行步骤S512。
S512,AUSF向AMF发送鉴权响应消息#AA;
其中,鉴权响应消息#AA的含义可参考上述方法400的步骤S418,与上述方法400区别在于AMF不再生成KN3IWF,而是生成TNGF密钥(如KTNGF)。AMF生成KTNGF的实现方式也可参考步骤S418中AMF生成KN3IWF的实现方式,为了简洁,此处不再赘述。另外,KTNGF的发送时机是在步骤S517,即KTNGF携带在AMF发送给TNGF的N2初始上下文设置请求消息#AA中。
S513,AMF向TNGF发送N2消息#CC;
对应的,TNGF接收来自AMF的N2消息#CC。
其中,N2消息#CC包含的具体内容可参考上述方法400的步骤S419,为了简洁,此处不再赘述。
S514,TNGF向UE发送L2消息#6。
对应的,UE接收来自TNGF的L2消息#6。
其中,L2消息#6包括NAS Security Mode Command消息。
S515,UE向TNGF发送L2消息#7;
对应的,TNGF接收来自UE的L2消息#7。
其中,L2消息#7包括NAS Security Mode Complete消息,用于指示NAS安全激活完成。NAS Security Mode Complete消息包括的具体内容可以参考3GPP标准TS33.501中第6.7.2章节的相关描述。为了简洁,此处不再赘述。
另外,L2消息#7还包括NAS PDU,NAS PDU携带上行NAS COUNT值,用于生成TNGF的密钥。
S516,TNGF向AMF发送N2消息#DD;
对应的,AMF接收来自TNGF的N2消息#DD。
其中,N2消息#DD包含的具体内容可参考上述方法400的步骤S422,为了简洁,此处不再赘述。
S517,AMF向TNGF发送N2初始上下文设置请求消息#AA;
对应的,TNGF接收来自AMF的N2初始上下文设置请求消息#AA。
其中,N2初始上下文设置请求消息#AA包含的具体内容可参考上述方法400的步骤S423,与上述方法400区别在于AMF传递的是KTNGF
S518,TNGF向UE发送L2消息#8;
对应的,UE接收来自TNGF的L2消息#8。
其中,L2消息#8包括EAP-Request/5G-Notification,该EAP-Request/5G-Notification数据包包括TNGF的地址信息,该TNGF的地址信息用于后续步骤S524-S527中UE与TNGF建立IPSec SA。
S519,UE向TNGF发送L2消息#9;
对应的,TNGF接收来自UE的L2消息#9。
其中,L2消息#9包括EAP-Response/5G-Notification。
S520,TNGF向TNAP发送AAA消息#BB;
对应的,TNAP接收来自TNGF的AAA消息#BB。
其中,AAA消息#BB包括EAP-Success和TNAP密钥。
应理解,TNAP密钥是AMF根据上述步骤512获取的TNGF密钥进一步推衍得到的,TNAP密钥是用于UE与TNAP之间建立L2安全(layer-2security)的,参见步骤S522。
S521,TNGF向UE发送L2消息#10;
对应的,UE接收来自TNGF的L2消息#10。
其中,L2消息#10包括EAP-Success,用于指示UE与TNGF之间的EAP-5G会话完成。应理解,后续UE与TNGF之间没有EAP-5G数据包的交互。
S522,UE与TNAP建立L2安全(L2 security)连接。
示例性的,UE根据KAMF和上述步骤S519中携带的SQN组成的上行NAS COUNT值生成TNAP密钥,该TNAP密钥与AMF生成的TNAP密钥相同,TNAP通过步骤S520可以获取TNGF发送的TNAP密钥,因此UE和TNAP基于TNAP密钥可以建立L2安全保护。
应理解,TNAP是可信非3GPP接入设备,因此UE在步骤S521之后,可以直接与TNAP建立连接,无需身份验证等。
S523,TNAN向UE发送IP配置;
对应的,UE接收来自TNAN的IP配置。
示例性的,UE通过动态主机配置协议(dynamic host configuration protocol,DHCP)接收IP配置,即UE获取自己的IP地址。此时,UE与TNAN成功连接,并获取了UE的本地IP配置。
接下来,UE根据步骤S518获取的TNGF地址,与TNGF建立安全连接,即执行下面步骤S524-S527。应理解,标准中定义UE与TNGF之间的连接接口为NWt,即UE与TNGF之间建立NWt安全连接。
S524,UE与TNGF进行IKE_INIT交互,建立安全连接。
S525,UE向TNGF发送IKE_AUTH#1;
对应的,TNGF接收来自UE的IKE_AUTH#1。
其中,IKE_AUTH#1包括UE ID,该UE ID与步骤S505中携带的UE ID相同。这是为了让TNGF根据UE ID确定该UE对应的TNGF密钥。该TNGF密钥用于UE与TNGF之间进行身份的双向认证。
应理解,UE和TNGF之间的传输不需要加密。这是因为可信网络是运营商部署的,一般认为是可信的,所以不需要进行加密。
S526,TNGF向UE发送IKE_AUTH#2;
对应的,UE接收来自TNGF的IKE_AUTH#2。
其中,IKE_AUTH#2包括“inner”IP地址、TCP端口、NAS_IP_ADDRESS和区分服务编码点(differentiated services code point,DSCP)值。
应理解,所有UE和TNGF之间传输的IP数据包,均需要标记该DSCP值。UE和TNAP可以将DSCP值映射为对应的QoS等级。
S527,UE与TNGF建立TCP连接。
示例性的,基于上述步骤S524建立signalling IPSec SA之后,UE通过NAS_IP_ADDRESS和TCP端口,与TNGF建立TCP连接。
应理解,后续所有NAS消息均通过该signalling IPSec SA传输。其中,对于UE向AMF发送的上行NAS消息,源地址为UE的“inner”IP地址,目的地址为NAS_IP_ADDRESS;对于AMF向UE发送的下行NAS消息,源地址为NAS_IP_ADDRESS,而目的地址则为UE的“inner”IP地址。
S528,TNGF向AMF发送N2初始上下文设置响应消息#AA;
对应的,AMF接收来自TNGF的N2初始上下文设置响应消息#AA。
其中,N2初始上下文设置响应消息#AA包含的具体内容可参考上述方法400的步骤S426,为了简洁,此处不再赘述。
S529,AMF向TNGF发送N2消息#EE;
对应的,TNGF接收来自AMF的N2消息#EE。
其中,N2消息#EE包含的具体内容可参考上述方法400的步骤S427,为了简洁,此处不再赘述。
应理解,后续当AMF向UDM请求注册时,需向UDM提供接入类型(access type)为Non-3GPP access。
S530,TNGF向UE发送NAS注册完成消息;
对应的,UE接收来自TNGF的NAS注册完成消息。
在本申请中,注册完成消息表示接受UE的注册请求,名称上可以与注册接受消息替换使用,下文中不再强调。
示例性的,在收到来自AMF的NAS注册接受消息后,TNGF通过上述建立的NWt连接向UE发送NAS注册完成消息。应理解,后续UE和TNGF之间的所有的NAS消息都通过已经建立的NWt连接承载。
考虑到当前标准讨论中,UE是根据既有规则选择一个默认的N3IWF或者TNGF接入,然后AMF判断是否有更合适的N3IWF或者TNGF可以被UE使用。如果有,则AMF需要重新为UE选择一个N3IWF或者TNGF,此时涉及N3IWF或者TNGF的重新安置问题。接下来,以可信非3GPP接入网络为例,结合图6具体说明如何为UE重新分配TNGF。
图6是本申请实施例提供的一种TNGF重新安置的流程600的一例示例图。如图6所示,包括如下多个步骤。
S600,UE选择可信非3GPP接入网络,并与TNAP建立L2连接。
S601,TNAP向UE发送L2消息#aa;
对应的,UE接收来自TNAP的L2消息#aa。
其中,L2消息#aa包括EAP-Req/Identity消息,用于请求获取UE的标识信息。
S602,UE向TNAP发送L2消息#bb;
对应的,TNAP接收来自UE的L2消息#bb。
其中,L2消息#bb包括NAI,用于请求一个特定的PLMN的5G连接。
S603,TNAP向TNGF-1发送AAA消息#aa;
对应的,TNGF-1接收来自TNAP的AAA消息#aa。
其中,AAA消息#aa包括上述NAI,用于请求5G连接。
S604,TNGF-1向UE发送L2消息#cc;
对应的,UE接收来自TNAG-1的L2消息#cc。
其中,L2消息#cc包括EAP Request/5G-Start数据包,用于通知UE发起EAP-5G会话。
S605,UE向TNGF-1发送L2消息#dd;
对应的,TNGF-1接收来自UE的L2消息#dd。
其中,L2消息#4包括EAP-Response/5G-NAS数据包,该EAP-Response/5G-NAS数据包包括AN参数和注册请求消息#aa。
S606,TNGF-1执行AMF选择。
S607,TNGF-1向AMF发送N2消息#aa。
对应的,AMF接收来自TNGF-1的N2消息#aa。
其中,N2消息#aa包括注册请求消息#aa。
S608-S609,可选地,AMF向TNGF-1发送N2消息#bb,TNGF-1向UE发送L2消息#ee;
对应的,UE向TNGF-1发送L2消息#ee’,TNGF-1向AMF发送N2消息#bb’。
其中,N2消息#bb和L2消息#ee包括NAS Identity Request,用于请求获取UE的SUCI。
S610,可选地,AMF向AUSF发送鉴权请求消息#aa;
对应的,AUSF接收来自AMF的鉴权请求消息#aa。
其中,鉴权请求消息#aa包括UE的SUCI。
S611,AUSF、AMF、TNGF-1与UE之间执行身份验证和密钥协议。
S612,AUSF向AMF发送鉴权响应消息#aa;
对应的,AMF接收来自AUSF的鉴权响应消息#aa。
其中,鉴权响应消息#aa包括SEAF密钥和EAP-Success。
进一步地,AMF可以根据SEAF密钥推衍出NAS安全密钥和TNGF-1密钥。
S613,AMF向TNGF-1发送N2消息#cc;
对应的,TNGF-1接收来自AMF的N2消息#cc。
其中,N2消息#cc包括NAS Security Mode Command消息,用于请求激活NAS安全。该NAS Security Mode Command包括EAP-Success。
S614,TNGF-1向UE发送L2消息#ff。
对应的,UE接收来自TNGF-1的L2消息#ff。
其中,L2消息#ff包括NAS Security Mode Command消息。
S615,UE向TNGF-1发送L2消息#gg;
对应的,TNGF-1接收来自UE的L2消息#gg。
其中,L2消息#gg包括NAS Security Mode Complete消息,用于指示NAS安全激活完成。
另外,L2消息#gg还包括NAS PDU,NAS PDU携带上行NAS COUNT值,用于生成TNGF-1的密钥。
S616,TNGF-1向AMF发送N2消息#dd;
对应的,AMF接收来自TNGF-1的N2消息#dd。
其中,N2消息#dd包括NAS Security Mode Complete消息。
示例性的,AMF判断TNGF-1不支持UE进行切片接入,则AMF重新为UE选择TNGF-2进行接入。接下来,结合步骤S617a、S618和S617b,说明重定向的过程。
S617a,AMF向TNGF-1发送N2初始上下文设置请求消息#aa;
对应的,TNGF-1接收来自AMF的N2初始上下文设置请求消息#aa。
其中,N2初始上下文设置请求消息#aa用于指示UE需要发起重定向。N2初始上下文设置请求消息#aa包括TNGF-1密钥和TNGF-2的地址信息,例如TNGF-2的IP地址。TNGF-1密钥用于后续UE和TNGF-1之间建立安全保护。
S618,TNGF-1向UE发送L2消息#hh;
对应的,UE接收来自TNGF-1的L2消息#hh。
其中,L2消息#hh包括EAP-Request/5G-Notification,该EAP-Request/5G-Notification数据包包括TNGF-2的地址信息。
S619,UE向TNGF-1发送L2消息#ii;
对应的,TNGF-1接收来自UE的L2消息#ii。
其中,L2消息#ii包括EAP-Response/5G-Notification。
需要说明的是,上述步骤S600-S619的具体实现方式可参考上述方法500的步骤S500-S519,对应的每个步骤所携带的消息(例如,N2消息、L2消息、NAS消息等)的含义类似。为了简洁,此处不再赘述。
S617b,TNGF-1向AMF发送N2初始上下文设置失败消息#aa;
对应的,AMF接收来自TNGF-1的N2初始上下文设置失败消息#aa。
其中,TNGF-1以N2初始上下文设置失败消息#aa作为N2初始上下文设置请求消息#aa的响应,该N2初始上下文设置失败消息#aa用于指示UE上下文创建失败。可选地,该N2初始上下文设置失败消息#aa携带原因值,原因值用于指示UE上下文创建失败。
S620,TNGF-1向TNAP发送AAA消息#bb;
对应的,TNAP接收来自TNGF的AAA消息#bb。
其中,AAA消息#bb包括EAP-Success和TNAP密钥。
S621,TNGF-1向UE发送L2消息#jj;
对应的,UE接收来自TNGF-1的L2消息#jj。
其中,L2消息#jj包括EAP-Success,用于指示UE与TNGF-1的EAP-5G会话完成。
S622,UE与TNAP建立L2安全连接。
S623,TNAN向UE发送IP配置;
对应的,UE接收来自TNAN的IP配置。
需要说明的是,上述步骤S620-S623的具体实现方式可参考上述方法500的步骤S520-S523,为了简洁,此处不再赘述。
S628a,AMF向TNGF-2发送N2初始上下文设置请求消息#bb;
对应的,TNGF-2接收来自AMF的N2初始上下文设置请求消息#bb。
其中,N2初始上下文设置请求消息#bb包括TNGF-1密钥,用于后续UE和TNGF-2之间建立安全。
接下来,UE根据步骤S618获取的TNGF-2的地址,与TNGF-2建立NWt安全连接,即执行下面步骤S624-S627,具体实现方式可参考上述方法500的步骤S524-S527,为了简洁,不再过多赘述。
S624,UE与TNGF-2进行IKE_INIT交互,建立安全连接。
S625,UE向TNGF-2发送IKE_AUTH#aa;
对应的,TNGF-2接收来自UE的IKE_AUTH#aa。
其中,IKE_AUTH#aa包括UE ID,该UE ID与步骤S605中携带的UE ID相同。这是为了让TNGF-2根据UE ID确定与该UE对应的TNGF-1密钥。该TNGF-1密钥用于UE与TNGF-2之间进行身份的的双向认证。
S626,TNGF向UE发送IKE_AUTH#bb;
对应的,UE接收来自TNGF的IKE_AUTH#bb。
其中,IKE_AUTH#bb包括“inner”IP地址、TCP端口、NAS_IP_ADDRESS和DSCP值。
S627,UE与TNGF-2建立TCP连接。
S628b,TNGF-2向AMF发送N2初始上下文设置响应消息#bb;
对应的,AMF接收来自TNGF-2的N2初始上下文设置响应消息#bb。
其中,TNGF-2以N2初始上下文设置响应消息#bb作为N2初始上下文设置请求消息#bb的响应,N2初始上下文设置响应消息#bb用于指示UE上下文创建完成。
S629,AMF向TNGF-2发送N2消息#ee;
对应的,TNGF-2接收来自AMF的N2消息#ee。
其中,N2消息#ee包括向UE发送的NAS注册接受消息。
S630,TNGF-2向UE发送NAS注册完成消息;
对应的,UE接收来自TNGF-2的NAS注册完成消息。
需要说明的是,上述步骤S628b-S630的具体实现方式可参考上述方法500的步骤S528-S530,对应的每个步骤所携带的消息(例如,N2消息、NAS消息等)的含义类似。为了简洁,此处不再赘述。
基于上述图6所示的方法,AMF将相同的TNGF密钥(如KTNGF-1)分别发给了2个TNGF(如TNGF-1和TNGF-2),这是违背安全原则的,安全原则是指禁止将同一密钥发给具有相同功能的不同实体。也就是说,不可以把相同的AMF密钥(如Kamf)发送给2个不同的AMF(如AMF-1和AMF-2)。
所以,上述方法600中需要为TNGF-2重新生成密钥(如KTNGF-2),考虑到生成TNGF密钥需要使用上行NAS密钥,而在NAS SMC流程后没有新的上行NAS消息,导致上行NAS COUNT的值不变,那么重新生成的密钥仍然是KTNGF-1,依然违背安全原则。因此,当AMF为UE进行TNGF(或者N3IWF)重新安置,且需要先后给不同的TNGF(或者N3IWF)提供密钥时,如何做到密钥隔离,确保不同的TNGF(或者N3IWF)获取不同的密钥是亟待解决的技术问题。
有鉴于此,本申请提供一种通信方法和通信装置,在重定向情况下,能够保证先后给不同的TNGF(或者N3IWF)提供密钥时,做到密钥隔离,确保不同的TNGF(或者N3IWF)获取不同的密钥,进而保障网络通信中的安全性,提升用户体验。
为了便于理解本申请实施例,作出以下几点说明:
第一,在本申请中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
第二,在本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b和c中的至少一项(个),可以表示:a,或,b,或,c,或,a和b,或,a和c,或,b和c,或,a、b和c。其中a、b和c分别可以是单个,也可以是多个。
第三,在本申请中,“第一”、“第二”以及各种数字编号(例如,#1、#2等)指示为了描述方便进行的区分,并不用来限制本申请实施例的范围。例如,区分不同的消息等,而不是用于描述特定的顺序或先后次序。应理解,这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。需要说明的是,本申请实施例中每个步骤的数字仅是一种编号,不代表执行的先后顺序,具体执行先后顺序以用文字说明。
第四,在本申请中,“当……时”、“在……的情况下”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理,并非是限定时间,且也不要求设备在实现时一定要有判断的动作,也不意味着存在其它限定。
第五,在本申请中,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
第六,在本申请中,“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时,可以包括该指示信息直接指示A或间接指示A,而并不代表该指示信息中一定携带有A。
本申请涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。待指示信息可以作为整体一起发送,也可以分成多个子信息分开发送,而且这些子信息的发送周期和/或发送时机可以相同,也可以不同,本申请对具体的发送方法不作限定。
本申请中的“指示信息”可以是显式指示,即通过信令直接指示,或者根据信令指示的参数,结合其他规则或结合其他参数或通过推导获得。也可以是隐式指示,即根据规则或关系,或根据其他参数,或推导获得。本申请对此不作具体限定。
第七,在本申请中,“协议”可以是指通信领域的标准协议,例如可以包括5G协议、NR协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。“预配置”可以包括预先定义。例如,协议定义。其中,“预先定义”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第八,在本申请中,“存储”可以是指保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置,也可以是集成在编码器或者译码器、处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第九,在本申请中,“通信”还可以描述为“数据传输”、“信息传输”、“数据处理”等。“传输”包括“发送”和“接收”,本申请对此不作限定。
第十,在本申请中,说明书附图中的虚线表示可选步骤。
下面将结合附图详细说明本申请提供的技术方案。
图7是本申请实施例提供的通信方法700的流程示意图。如图7所示,该方法包括如下多个步骤。
S710,终端设备UE通过第一非3GPP网络设备向移动性管理功能网元AMF发送第一注册请求消息;
对应的,移动性管理功能网元AMF接收终端设备通过第一非3GPP网络设备发送的第一注册请求消息。
其中,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络。
可选地,第一非3GPP网络设备可以是N3IWF,或者TNGF。
可选地,第一个标识信息可以是SUCI,或者5G-GUTI(例如,第二5G-GUTI)。比如,该5G-GUTI是前一次注册流程中AMF下发的标识信息。
应理解,在终端设备通过第一非3GPP网络设备向AMF发送第一注册请求消息之前,该方法还包括步骤S701。
S701,终端设备确定并接入第一非3GPP网络设备。
具体实现方式可参考方法400的描述,这里不再赘述。
S720,在确定终端设备需要被重新安置到第二非3GPP网络设备的情况下,AMF向终端设备发送第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息,第二非3GPP网络设备的标识信息用于终端设备通过第二非3GPP网络设备接入网络;
对应的,终端设备接收来自AMF的第一NAS消息,第一NAS消息包括第二非3GPP网络设备的标识信息。
示例性的,AMF通过第一非3GPP网络设备向终端设备发送第一NAS消息。
可选地,第二非3GPP网络设备的标识信息,可以是第二非3GPP网络设备的IP地址信息,或者,第二非3GPP网络设备的FQDN信息;或者,用于找到第二非3GPP网络设备的信息。
可选地,该第一NAS消息还包括第一原因值,和/或第一信息;其中,第一原因值用于指示UE需要立即接入或在后续流程中通过第二非3GPP网络设备重新接入网络。第一信息用于指示第二非3GPP网络设备的FQDN信息的关联信息,例如,用于告知UE该第二非3GPP网络设备的FQDN信息所关联的信息是什么,以便于UE进行存储和后续使用。比如,第一信息是切片信息(例如,与第二非3GPP网络设备对应的切片信息S-NSSAI)。再比如,第一信息是保存指示信息,用于告知UE后续优先使用该保存的信息接入。
示例性的,示例性的,该第一NAS消息可以是重新安置请求消息,其名称可以是NASN3IWF Relocated Request消息,或者是DL NAS TRANSPORT,又或者是UE ConfigurationUpdate Command消息,NAS Registration Accept消息,NAS Registration Reject消息等。应理解,以上名称仅是示例,不应构成对本申请技术方案的任何限定。
可选地,在AMF向终端设备发送第一NAS消息之前,包括步骤S702和S703。
S702,AMF对UE进行切片鉴权认证。
进一步地,在终端设备的切片鉴权认证通过的情况下,AMF确定终端设备能够使用第二非3GPP网络设备接入网络。
其中,具体的切片鉴权流程可以参考3GPP标准TS33.501章节16中的相关描述,为了简洁,此处不再赘述。
示例性的,如果AMF从切片角度确认有更合适的N3IWF(如N3IWF-2)为UE提供服务,则为了防止AMF为UE重新安置N3IWF-2后,UE立即执行通过N3IWF-2重新接入AMF流程,却由于UE无法通过切片鉴权而导致整个接入网络流程失败,最终造成资源浪费,所以AMF在确定为UE重新安置到N3IWF-2之前,可以先通过切片鉴权判断UE是否可以使用该切片,避免不必要的资源浪费。
可选地,该切片鉴权流程是否执行可以取决于本地策略。
S703,AMF与UE进行NAS SMC流程。
应理解,在确定AMF与UE之间的NAS安全激活的情况下,后续AMF与UE之间的信息交互(例如,第一NAS消息,第二NAS消息等)是被NAS安全保护的,能够保证信息的真实性,保证网络通信的安全性。
需要说明的是,在终端设备的第标识信息是SUCI的情况下,执行该步骤S703。否则不执行。
其中,NAS SMC的具体实现方式可参考上述方法400的相关描述,为了简洁,此处不再赘述。
可选地,AMF与UE需要生成第二密钥,用于UE与第一非3GPP网络设备之间建立安全连接。例如,步骤S710中UE通过第一注册请求消息或者NAS SMP消息携带第二密钥生成参数发送给AMF;又例如,步骤S703中UE通过NAS SMC流程中的NAS消息携带第二密钥生成参数发送给AMF。第二密钥生成参数可以是NAS SQN,AMF与UE将NAS SQN与根密钥Kamf作为输入参数,生成第二密钥,即执行步骤S705。
S705,可选地,AMF根据第二密钥生成参数生成第二密钥。
具体地,AMF根据第三NAS消息中携带的第二密钥生成参数生成第二密钥。第三NAS消息是第一注册请求消息,或者NAS SMP消息。第二密钥生成参数为第一注册请求消息,或者NAS SMP消息中携带的SQN对应的上行NAS COUNT。AMF将根密钥和上行NAS COUNT值作为输入参数,计算得到所述第一密钥。根密钥是KAMF,KAMF是在AMF在主鉴权之后生成的,或者由其他AMF生成的。
具体生成密钥的实现方式可参考上述方法400的相关描述,为了简洁,不再赘述。
S706,可选地,AMF向第一非3GPP网络设备发送第二密钥。
其中,第二密钥生成参数可以携带在步骤S710的第一注册请求消息中,第二密钥用于建立第一非3GPP网络设备与终端设备之间的安全连接。
因此,UE可以根据第二密钥与第一非3GPP网络设备建立安全连接。
需要说明的是,步骤S705和步骤S706可以发生在步骤S720之前,或者也可以发生在S720之后,或者也可以不发生。
示例性的,如果步骤S705和步骤S706发生在步骤S720前,即第一非3GPP网络设备与终端设备之间的安全连接建立完成的情况下,AMF可以向终端设备发送第一NAS消息;如果步骤S705和步骤S706发生在步骤S720后,即AMF可以向终端设备发送第一NAS消息,然后第一非3GPP网络设备与终端设备之间完成安全连接建立。
可选地,在AMF向UE发送第一NAS消息之前,包括步骤S707。
S707,AMF判断UE是否需要重新安置到第二非3GPP网络设备。
可选的,AMF根据本地策略确定是否执行第一动作。
其中,第一动作为:AMF判断UE是否需要重新安置到第二非3GPP网络设备。
示例性的,本地策略可以是开关选项,比如,若开关被选择为开启,则AMF执行该判断动作;若开关被选择为关闭,则AMF不执行该判断动作。再例如,本地策略还可以预配置信息,如果AMF有预配置信息,则执行该判断动作;否则不执行该判断动作。本地策略还可以是本地记录,本地记录可以是UE上下文的一部分,如果本地记录显示为UE执行过该动作,则不执行该判断动作;否则,执行该动作。
其中,AMF判断UE是否需要重新安置到第二非3GPP网络设备的实现方式,包括但不限于:
方式一:AMF根据UE请求的切片信息,判断UE是否需要重新安置到第二非3GPP网络设备。示例性的,如果AMF发现同时有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供切片服务,则AMF可以决定将UE重新安置到可以服务该切片的某个N3IWF上。例如,在有多个N3IWF可以为该UE服务的情况下,AMF可以随机选择一个N3IWF,或者AMF根据UE的其他信息(比如,UE当前的位置)选择一个最合适的N3IWF。反之,如果AMF未发现有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供切片服务,且AMF判断当前N3IWF-1可以服务该切片,则AMF认为N3IWF-1为最佳选择,继续后续注册流程。
方式二:AMF根据第一非3GPP网络设备的位置信息,判断UE是否需要重新安置到第二非3GPP网络设备。AMF可以根据N3IWF-1的地理位置信息,判断是否将UE重新安置到另一个N3IWF上。示例性的,如果AMF发现同时有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供服务,则AMF可以决定为UE重新安置一个N3IWF,例如,在有多个N3IWF可以为该UE服务的情况下,AMF可以随机选择一个N3IWF,或者AMF根据UE的其他信息(比如,UE当前的位置)选择一个最合适的N3IWF。反之,如果AMF未发现有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供服务,且AMF判断当前N3IWF-1可以为UE提供服务,则AMF认为N3IWF-1为最佳选择,继续后续注册流程。
方式三:AMF根据本地预配置信息,判断UE是否需要重新安置到第二非3GPP网络设备。AMF可以根据本地预配置信息,判断是否将UE重新安置到另一个N3IWF上。比如本地预配置有N3IWF与S-NSSAI的关系列表,当UE使用某个S-NSSAI但是却没有使用列表中对应的N3IWF时,则AMF确定需要将UE重新安置到另一个N3IWF上。本地预配置信息可以通过网管配置到AMF,AMF收到后存储该预配置信息。
可选地,如果AMF发现有更适合的一个或多个其他N3IWF后,AMF也可以决定不将UE重新安置到可以服务该切片的某个N3IWF上。比如,该可以为该UE提供服务的一个或多个N3IWF已经负载过高,不适合接入更多UE。AMF可以认为N3IWF-1为最佳选择,继续后续注册流程。
可选地,AMF可以响应于步骤S710,向UE发送第四NAS消息,即执行步骤S713。可选地,该响应消息可以是通过步骤S713执行,或者,也可以通过步骤S720中的第一NAS消息执行,本申请不作限制。
S713,AMF向UE发送第四NAS消息;
对应的,UE接收来自AMF的第四NAS消息。
其中,第四NAS消息可以是第一注册完成消息,或第一注册拒绝消息。该第一注册完成和第一注册拒绝消息包括第一5G-GUTI。第一5G-GUTI是AMF为UE新分配的。
当第四NAS消息是第一注册拒绝消息时,在第一非3GPP网络设备向UE转发第四NAS消息后,第一非3GPP网络设备向UE发送EAP-Failure消息,终止流程。
当第四NAS消息是第一注册完成消息时,第一NAS消息可以在第四NAS消息前发送,也可以在第四NAS消息后发送。在先发送第一NAS消息再发送第四NAS消息的情况下,第一非3GPP网络设备与终端设备之间的安全连接建立,可以在发送第一NAS消息前完成,或者在发送第一NAS消息后完成。在先发送第四NAS消息再发送第一NAS消息后的情况下,第一非3GPP网络设备与终端设备之间的安全连接建立,在发送第四NAS消息之前完成。
在第四NAS消息发送的情况下,该第一NAS消息可以是重新安置请求消息,其名称可以是NAS N3IWF Relocated Request消息,或者是DL NAS TRANSPORT,又或者是UEConfiguration Update Command消息等。并且,第二非3GPP网络设备的标识信息、原因值可以分别携带在第一NAS消息和第四NAS消息中。本实施例不做具体限定。在第四NAS消息不发送的情况下,该第一NAS消息可以是重新安置请求消息,其名称可以是NAS RegistrationAccept消息,NAS Registration Reject消息等。本实施例不做具体限定。或者,在第一NAS消息不发送的时候,可以通过第四NAS消息(注册完成消息,或者注册拒绝消息)告知UE才需要重新安置到第二非3GPP网络设备中,此时第四NAS消息携带第二非3GPP网络设备的标识信息。
也就是说,在一种示例中,第一NAS消息可以是新增的一条NAS消息,或者,也可以是响应第一注册请求消息的NAS消息,即复用NAS注册完成消息,或者注册拒绝消息向UE指示需要重新安置到第二非3GPP网络设备。
可选地,若上述步骤S713中发送的是注册拒绝消息,则UE和AMF需要本地存储NAS安全上下文,执行步骤S714,便于后续UE重新请求接入网络时可以省略认证流程,节省信令开销。
S714,存储NAS安全上下文。
NAS安全上下文包括NAS完整性保护密钥和NAS加密密钥,以及相关协商好的算法。NAS安全上下文的密钥是基于根密钥KAMF生成的。
可选地,在终端设备接收来自AMF的第一NAS消息之后,UE执行步骤S708。
S708,终端设备向AMF发送第一NAS响应消息;
对应的,AMF接收来自终端设备的第一NAS响应消息。
示例性的,终端设备根据本地策略或者预设值方法,确定是否发送向AMF发送第一NAS响应消息。比如,UE根据本地策略确定不需要发送第一NAS响应消息。再比如,UE根据预设值方法确定需要发送第一NAS响应消息。
需要说明的是,第一NAS响应消息可以是重新安置响应消息。示例性的,该重新安置响应消息的名称可以是NAS N3IWF Relocated Response消息,或者是UL NASTRANSPORT,又或者是UE Configuration Update Complete消息等。应理解,以上名称仅是示例,不应构成对本申请技术方案的任何限定。
在确定UE需要重新安置到第二非3GPP网络设备的情况下,UE执行步骤S730。
S730,终端设备向AMF发送第二NAS消息;
对应的,AMF接收来自终端设备的第二NAS消息。
其中,第二NAS消息用于终端设备请求重新接入网络,第二NAS消息包括第一密钥生成参数。
应理解,第一密钥生成参数为该上行NAS消息中携带的NAS SQN,AMF和UE可以基于NAS SQN和本地保存的参数,组成用于生成第一密钥KN3IWF-2的上行NAS COUNT值。
可选地,该第二NAS消息可以是服务请求消息,或者注册请求消息。其中,该服务请求消息和注册请求消息包括终端设备的第二标识信息。应理解,该第二标识信息可以是SUCI,该SUCI与步骤S710中的SUCI不一样;或者,该第二标识信息也可以是5G-GUTI,该5G-GUTI与步骤S710中的相同5G-GUTI(即,第二5G-GUTI);或者,该第二标识信息也可以是AMF重新下发的5G-GUTI(即,第一5G-GUTI),即不论第一标识信息为5G-GUTI还是SUCI,该第二标识信息为AMF为UE重新分配的5G-GUTI。
应理解,第二NAS消息被保存的NAS安全上下文保护。
可选地,在终端设备向AMF发送第二NAS消息之前,包括步骤S709。
S709,UE确定需要使用第二非3GPP网络设备重新接入网络。
示例性的,UE根据第一NAS消息和/或第四NAS消息,确定需要使用第二非3GPP网络设备重新接入网络。
在一种可能的实现方式中,终端设备根据第一NAS消息中携带的第二非3GPP网络设备的FQDN信息,确定需要使用第二非3GPP网络设备重新接入网络。进一步的,UE可以根据本地策略或者预设值方法,确定立即使用N3IWF-2重新接入网络,还是在下一次重新建立非可信非3GPP连接的时候使用N3IWF-2重新接入网络。
示例性的,如果UE确定立即使用N3IWF-2重新接入网络,则UE需要立即释放与N3IWF-1的连接,并开始执行步骤S730。需要说明的是,UE释放与N3IWF-1的连接并不会导致NAS安全上下文的删除。这是因为UE在步骤S730中已经成功完成了注册流程,UE在注册成功后,即使回到IDLE态,也会继续保存NAS安全上下文。
在另一种可能的实现方式中,终端设备根据第一NAS消息中携带或者第四NAS消息中携带的第一原因值确定需要使用第二非3GPP网络设备的FQDN信息重新接入网络;或者,终端设备根据第一NAS消息中携带的第二非3GPP网络设备的FQDN信息,确定后续使用的第二非3GPP网络设备,以及根据第一原因值确定需要通过第二非3GPP网络设备重新接入或者立即接入网络。需要说明的是,本申请对UE使用N3IWF-2接入网络的时机不作具体限定。
示例性的,该原因值为二进制bit原因值,比特“0”表示UE可以继续保持当前与N3IWF-1的连接,并且在下一次使用非可信非3GPP接入技术的时候,使用N3IWF-2重新接入网络。具体地,如果重新安置请求消息#1携带“0”,则UE需要存储N3IWF-2的FQDN信息。其中,UE何时执行步骤S809无法确定,UE可能短期内不再使用非可信非3GPP接入,则短期内就不会执行步骤S809。可选地,当UE接收到的重新安置请求消息#1中携带“0”时,UE还可以根据当前UE的状态,或者本地策略,或者人为控制等方法,确定立即使用N3IWF-2重新接入网络,此时UE需要立即释放与N3IWF-1的连接,并开始执行步骤S730。示例性的,该原因值为二进制bit原因值,比特“1”表示UE需要立即使用N3IWF-2重新接入网络。具体地,如果重新安置请求消息#1携带“1”,则UE需要立即释放与N3IWF-1的连接,并开始执行步骤S730。
在又一种可能的实现方式中,终端设备根据第二非3GPP网络设备的FQDN信息,确定需要使用第二非3GPP网络设备重新接入网络,且终端设备存储所述第二非3GPP网络设备的FQDN信息和第一NAS消息中携带的第一信息,第一信息用于指示所述第二非3GPP网络设备的FQDN信息的关联信息。
示例性的,UE优先使用第二非3GPP网络设备的FQDN信息发现第二非3GPP网络设备。若其他信息是S-NSSAI#1,表示第二非3GPP网络设备的FQDN信息与S-NSSAI#1有关。如果UE要使用非可信非3GPP接入技术向5GC进行注册,并使用切片S-NSSAI#1,则UE优先选择第二非3GPP网络设备。进一步的,UE可以根据本地策略或者预设值方法,确定需要通过第二非3GPP网络设备重新接入或者立即接入网络,还是在下一次重新建立非可信非3GPP连接的时候使用第二非3GPP网络设备重新接入。
需要说明的是,不论是UE立即使用第二非3GPP网络设备重新接入网络,还是后续使用第二非3GPP网络设备重新接入网络,UE均不再使用第一非3GPP网络设备的密钥KN3IWF-1和使用KN3IWF-1衍生的其他密钥。示例性的,UE删掉KN3IWF-1和使用KN3IWF-1衍生的其他密钥,但保留NAS安全密钥。
可选地,在终端设备接收来自AMF的第一NAS消息之后,包括步骤S711。
S711,UE确定需要使用或立即使用第二非3GPP网络设备重新接入网络。
可选地,在终端设备向网络发送第二NAS消息之前,终端设备根据本地策略或者预设值方法,确定需要使用或立即使用第二非3GPP网络设备重新接入网络。
UE确定需要使用第二非3GPP网络设备重新接入网络,终端设备根据第二非3GPP网络设备的FQDN信息,或者第二非3GPP网络设备的IP地址信息,确定第二非3GPP网络设备;或者,在终端设备根据第二非3GPP网络设备的FQDN信息,或者第二非3GPP网络设备的IP地址信息,无法确定第二非3GPP网络设备情况下,终端设备重新选择第三非3GPP网络设备。
进一步地,在找到第二非3GPP网络设备的情况下,终端设备执行步骤下面步骤S730,即:终端设备通过第二非3GPP网络设备向网络发送第二NAS消息;进一步地,在未找到第二非3GPP网络设备的情况下,UE通过第三非3GPP网络设备向AMF发送第二NAS消息,第二NAS消息还包括第二原因值,所述第二原因值用于指示终端设备无法使用所述第二非3GPP网络设备接入网络。
S740,AMF根据第一密钥生成参数生成第一密钥。
类似地,UE根据第一密钥生成参数生成第一密钥。
其中,第一密钥用于建立第二非3GPP网络设备与终端设备之间的安全连接。
示例性的,具体生成密钥的实现方式可参考方法400的相关描述,例如,AMF基于第一密钥生成参数与本地保存的参数组成用于上行NAS COUNT,并结合根密钥Kamf等参数生成密钥KN3IWF-2
可选地,在AMF根据第一密钥生成参数生成第一密钥之前,包括步骤S709。
S712,AMF判断第二NAS消息是否是通过第二非3GPP网络设备接收到的。
在一种可能的实现方式中,AMF判断发送第二NAS消息的非3GPP网络设备的信息,是否与AMF本地存储的第二非3GPP网络设备的信息相同。
示例性的,AMF将第二NAS消息关联的非3GPP网络设备信息(比如,第二NAS消息携带的非3GPP网络设备的FQDN信息,或者第二NAS消息对应的非3GPP网络设备的IP地址)和AMF本地存储的第二非3GPP网络设备的信息(比如,第二非3GPP网络设备的FQDN信息,或者第二非3GPP网络设备及其对应的S-NSSAI信息)进行对比,如果相同,则AMF确定该UE是通过重新安置的第二非3GPP网络设备接入的;如果不同,则AMF确定该UE没有使用重新安置的第二非3GPP网络设备接入。
在一种可能的实现方式中,基于上述步骤S709的判断,在确定UE是通过第二非3GPP网络设备发送第二NAS消息的情况下,AMF根据第一密钥生成参数生成第一密钥。
在另一种可能的实现方式中,可以不执行上述步骤S711,AMF本地查询记录,确定是否已经为第一终端设备重新安置过非3GPP网络设备,在确定已经为UE重新安置过非3GPP网络设备的情况下,跳过判断动作,AMF直接根据第一密钥生成参数生成第一密钥。
示例性的,如果AMF确定UE使用的非3GPP网络设备的信息与AMF在步骤S720中携带的第二非3GPP网络设备的信息相同,则AMF生成第一密钥;或者,如果AMF本地记录显示曾经为UE重新安置过一个非3GPP网络设备,则AMF可以跳过上述检查过程,执行第一密钥生成动作。
示例性的,如果AMF确定UE使用的非3GPP网络设备的信息与AMF在步骤S720中携带的第二非3GPP网络设备的信息不相同,或者AMF没有存储发送给UE的第二非3GPP网络设备信息,则AMF需要确定是否有更合适的非3GPP网络设备可以使用,如果有,则重新开始执行上述步骤S720;如果没有,则执行步骤S740;或者,如果AMF确定UE使用的非3GPP网络设备的信息与AMF在步骤S720中携带的第二非3GPP网络设备的信息不相同,或者AMF没有存储发送给UE的第二非3GPP网络设备的信息,同时UE在第二NAS消息中携带了第二原因值,且AMF根据第二原因值确定UE无法使用AMF为其重新安置的第二非3GPP网络设备,此时AMF不再为UE重新安置一个非3GPP网络设备,则执行步骤S740;或者,如果AMF确定UE使用的非3GPP网络设备的信息与AMF在步骤S720中携带的第二非3GPP网络设备的信息不相同,或者AMF没有存储发送给UE的第二非3GPP网络设备的信息,同时本地记录显示AMF曾经为UE重新安置过一个非3GPP网络设备,则AMF可以跳过上述检查过程,执行步骤S740。
基于该实现方式,在生成密钥之前执行判断步骤S711,能够确定UE是按照AMF为其分配的第二非3GPP网络设备接入网络,可以确保通信的安全性,更好地为UE提供用户体验。相比而言,在生成密钥之前不执行判断步骤S711,只要查询本地记录确认为UE重新安置过非3GPP网络设备即可,不限制UE必须使用第二非3GPP网络设备接入网络,可以简化后续UE再次入网时AMF的操作,同时UE的入网方式的灵活性更高些。
也就是说,无论终端设备是否通过第二非3GPP网络设备发送第二NAS消息,AMF都会生成第一密钥。
S750,AMF向第二非3GPP网络设备发送第一密钥;
对应的,第二非3GPP网络设备接收来自AMF的第一密钥。
示例性的,UE与第二非3GPP网络设备基于该第一密钥,以及第二非3GPP网络设备的标识信息,建立安全连接。具体实现方式可参考上述方法400的相关描述,为了简洁,此处不再赘述。
本申请提供的方案,AMF通过判断确定UE需要重新安置到第二非3GPP网络设备,并通过NAS消息通知UE重新安置的第二非3GPP网络设备的信息,使得UE通过第二非3GPP网络设备,重新向AMF下发NAS消息发起注册或请求服务。AMF可以基于该UE发送的NAS消息携带的密钥生成参数生成第一密钥,用于建立第二非3GPP网络设备与终端设备之间的安全连接,进而保证UE重新接入不同非3GPP网络设备时所使用的密钥不同,达到密钥隔离的目的,提升网络通信的安全性。
接下来,以非可信非3GPP接入网络为例,结合图8对重定向情况下的密钥生成同步方法进行具体说明。
图8是本申请实施例提供的通信方法800的流程示例图。如图8所示,该方法包括如下多个步骤。
S801,执行注册流程。
其中,注册的具体实现方式可参考上述方法400的步骤S401至步骤S426的相关描述。例如,UE选择N3IWF-1,并通过N3IWF-1向AMF进行注册,为了简洁,此处不再赘述。需要说明的是,注册流程中携带的是第一标识信息。第一标识信息可以是SUCI,或者5G-GUTI。AMF在发送给UE的注册成功消息中,会携带新的5G-GUTI,相应地,UE保存新的5G-GUTI。在注册流程中,UE和AMF使用第二密钥参数生成第二密钥KN3IWF-1。第二密钥参数生成为注册请求中的上行NAS消息中的NAS SQN,比如注册请求消息或者NAS SMC消息中的NAS SQN。AMF和UE基于相同的NAS SQN对应的上行上行NAS COUNT值生成KN3IWF-1。UE和AMF基于KN3IWF-1建立IPsec。
需要额外说明的是,相比于方法400中的相关描述之外,当AMF通过N3IWF-1接收到UE的注册请求后,介于步骤S419至步骤S423之间,AMF判断是否需将UE重新安置到另一个N3IWF上,即判断UE是否需要使用另一个N3IWF接入该AMF或者其他AMF。例如,在该实现方式中,AMF决定需要将UE重新安置到N3IWF-2。
在一种可能的实现方式中,AMF可以根据UE请求接入的切片信息,判断是否将UE重新安置到另一个N3IWF上。示例性的,如果AMF发现同时有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供切片服务,则AMF可以决定将UE重新安置到可以服务该切片的某个N3IWF上。例如,在有多个N3IWF可以为该UE服务的情况下,AMF可以随机选择一个N3IWF,或者AMF根据UE的其他信息(比如,UE当前的位置)选择一个最合适的N3IWF。反之,如果AMF未发现有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供切片服务,且AMF判断当前N3IWF-1可以服务该切片,则AMF认为N3IWF-1为最佳选择,继续后续注册流程。
在另一种可能的实现方式中,AMF可以根据N3IWF-1的地理位置信息,判断是否将UE重新安置到另一个N3IWF上。示例性的,如果AMF发现同时有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供服务,则AMF可以决定为UE重新安置一个N3IWF,例如,在有多个N3IWF可以为该UE服务的情况下,AMF可以随机选择一个N3IWF,或者AMF根据UE的其他信息(比如,UE当前的位置)选择一个最合适的N3IWF。反之,如果AMF未发现有一个或多个其他N3IWF比N3IWF-1更适合为该UE提供服务,且AMF判断当前N3IWF-1可以为UE提供服务,则AMF认为N3IWF-1为最佳选择,继续后续注册流程。
在又一种可能的实现方式中,AMF还可以根据UE请求接入的切片信息,以及N3IWF-1的地理位置信息,判断是否将UE重新安置到另一个N3IWF上,具体实现方式与上述方式类似,这里不再赘述。
在又一种可能的实现方式中,AMF可以根据本地预配置信息,判断是否将UE重新安置到另一个N3IWF上。比如本地预配置有N3IWF与S-NSSAI的关系列表,当UE使用某个S-NSSAI但是却没有使用列表中对应的N3IWF时,则AMF确定需要将UE重新安置到另一个N3IWF上。本地预配置信息可以通过网管配置到AMF,AMF收到后存储该预配置信息。
可选地,如果AMF发现有更适合的一个或多个其他N3IWF后,AMF也可以决定不将UE重新安置到可以服务该切片的某个N3IWF上。比如,该可以为该UE提供服务的一个或多个N3IWF已经负载过高,不适合接入更多UE。AMF可以认为N3IWF-1为最佳选择,继续后续注册流程。
例如,在本申请实施例中,AMF决定为UE重新安置到N3IWF-2。
需要说明的是,AMF可以根据本地策略确定是否执行判断动作,即判断是否需将UE重新安置到另一个N3IWF上。例如,本地策略可以是开关选项,比如,若开关被选择为开启,则AMF执行该判断动作;若开关被选择为关闭,则AMF不执行该判断动作。再例如,本地策略还可以预配置信息,如果AMF有预配置信息,则执行该判断动作;否则不执行该判断动作。本地策略还可以是本地记录,本地记录可以是UE上下文的一部分,如果本地记录显示为UE执行过该动作,则不执行该判断动作;否则,执行该动作。
S802,AMF向UE发送注册完成消息;
对应的,UE接收来自AMF的注册完成消息。
基于上述步骤S801-S802,UE与AMF之间完成注册流程。同时,AMF确定为UE重新安置N3IWF-2。
需要说明的是,在确定需要为UE重新安置N3IWF-2的情况下,AMF执行如下步骤S803-S820。反之,在确定不需要为UE重新安置N3IWF-2的情况下,AMF不执行如下步骤S803-S820。
S803,可选地,AMF触发切片鉴权流程。
其中,具体的切片鉴权流程可以参考3GPP标准TS33.501章节16中的相关描述,为了简洁,此处不再赘述。
需要说明的是,如果AMF从切片角度确认有更合适的N3IWF(如N3IWF-2)为UE提供服务,则为了防止AMF为UE重新安置N3IWF-2后,UE立即执行通过N3IWF-2重新接入AMF流程,却由于UE无法通过切片鉴权而导致整个接入AMF流程失败,最终造成资源浪费,所以AMF在确定为UE重新安置到N3IWF-2之前,可以先通过切片鉴权判断UE是否可以使用该切片,避免不必要的资源浪费。即先执行步骤S803,在保证UE切片鉴权通过的情况下,再执行步骤S804。
可选地,该切片鉴权流程是否执行可以取决于本地策略。
可选地,该切片鉴权流程也可以在N3IWF-2重新安置流程完成后执行。即先执行步骤S804-S807,再执行步骤S803,本申请对此不作具体限定。
S804,AMF向N3IWF-1发送重新安置请求消息#1(即,第一NAS消息);
对应的,N3IWF-1接收来自AMF的重新安置请求消息#1。
具体地,重新安置请求消息#1包括一个或多个N3IWF的IP信息,或者一个或多个N3IWF的FQDN信息,或者用于找到一个或多个N3IWF的信息。在该实现方式中,以重新安置请求消息#1携带一个N3IWF-2的FQDN信息为例进行说明。应理解,本申请对N3IWF-2的数量和位置不作具体限定。
可选地,重新安置请求消息#1还包括原因值(cause value)(即,第一原因值)。该原因值可以用于指示UE需要立即使用N3IWF-2接入AMF,或者用于指示UE在后续流程中使用N3IWF-2接入AMF,或者用于指示UE需要使用重新安置请求消息#1中携带的N3IWF-2的FQDN信息重新接入AMF,或者需要重新注册。
可选地,重新安置请求消息#1还包括其他信息(即,第一信息)。该其他信息用于告知UE该N3IWF-2的FQDN信息所关联的信息是什么,以便于UE进行存储和后续使用。比如,其他信息是切片信息(例如,与N3IWF-2对应的切片信息S-NSSAI#1)。再比如,其他信息是保存指示信息,用于告知UE后续优先使用该保存的信息接入。
需要说明的是,重新安置请求消息#1是一条NAS消息,可以使用上述步骤S801中的NAS安全上下文进行安全保护。示例性的,该重新安置请求消息#1的名称可以是NAS N3IWFRelocated Request消息,或者是DL NAS TRANSPORT,又或者是UE Configuration UpdateCommand消息等。应理解,以上重新安置请求消息#1的名称仅是示例,不应构成对本申请技术方案的任何限定。
S805,N3IWF-1向UE转发重新安置请求消息#1;
对应的,UE接收来自N3IWF-1的重新安置请求消息#1。
S806,可选地,UE向N3IWF-1发送重新安置响应消息#1;
对应的,N3IWF-1接收来自UE的重新安置配响应消息#1。
示例性的,UE可以根据本地策略,或者预设值方法确定是否发送重新安置响应消息#1。比如,UE根据本地策略确定不需要发送重新安置响应消息#1。再比如,UE根据预设值方法确定需要发送重新安置响应消息#1。
需要说明的是,上述步骤S805和S806中,UE与N3IWF-1之间的信息交互的前提是IPSec SA的建立。也就是说,上述步骤S805中的重新安置请求消息#1,以及步骤S806中的重新安置响应消息#1都是在IPsec隧道中进行传输的。其中,IPsec隧道是在步骤S801执行注册流程完成后建立成功的。其中,IPSec SA是UE和N3IWF-1基于获取的N3IWF-1的密钥KN3IWF-1建立的,KN3IWF的生成方法的具体实现方式可参考上述方法400的步骤S418和S425所提及的相关描述,为了简洁,此处不再赘述。
需要说明的是,重新安置响应消息#1是一条NAS消息,可以使用上述步骤S801中的NAS安全上下文进行安全保护。示例性的,该重新安置响应消息#1的名称可以是NAS N3IWFRelocated Response消息,或者是UL NAS TRANSPORT,又或者是UE Configuration UpdateComplete消息等。应理解,以上重新安置响应消息#1的名称仅是示例,不应构成对本申请技术方案的任何限定。
S807,可选地,N3IWF-1向AMF转发重新安置响应消息#1;
对应的,AMF接收来自N3IWF-1的重新安置响应消息#1。
需要说明的是,如果上述步骤S806执行,则该步骤S807需要执行。
S808,UE确定需要重新使用N3IWF-2接入AMF。
示例性的,UE根据步骤S805的重新安置请求消息#1,确定需要使用N3IWF-2重新接入AMF。
在一种可能的实现方式中,在步骤S805的重新安置请求消息#1只携带N3IWF-2的FQDN信息的情况下,UE根据该N3IWF-2的FQDN信息确定需要使用N3IWF-2重新接入AMF。进一步的,UE可以根据本地策略或者预设值方法,确定立即使用N3IWF-2重新接入AMF,还是在下一次重新建立非可信非3GPP连接的时候使用N3IWF-2重新接入AMF。
示例性的,如果UE确定立即使用N3IWF-2重新接入AMF,则UE需要立即释放与N3IWF-1的连接,并开始执行步骤S809。应理解,UE在进入IDLE态后释放与N3IWF-1的连接。需要说明的是,UE释放与N3IWF-1的连接并不会导致NAS安全上下文的删除。这是因为UE在步骤S801中已经成功完成了注册流程,UE在注册成功后,即使回到IDLE态,也会继续保存NAS安全上下文。
在另一种可能的实现方式中,在步骤S805的重新安置请求消息#1携带N3IWF-2的FQDN信息和原因值的情况下,UE根据该原因值确定需要使用N3IWF-2的FQDN信息重新接入AMF;或者,UE根据N3IWF-2的FQDN信息确定后续使用的N3IWF-2,然后根据原因值确定需要立即使用N3IWF-2重新接入AMF,还是在下一次重新建立非可信非3GPP连接的时候使用N3IWF-2重新接入AMF,或者根据原因值确定需要重新注册,UE根据N3IWF-2的FQDN信息确定后续使用的N3IWF-2。
示例性的,该原因值为二进制bit原因值,比特“0”表示UE可以继续保持当前与N3IWF-1的连接,并且在下一次使用非可信非3GPP接入技术的时候,使用N3IWF-2重新接入AMF。具体地,如果重新安置请求消息#1携带“0”,则UE需要存储N3IWF-2的FQDN信息。其中,UE何时执行步骤S809无法确定,UE可能短期内不再使用非可信非3GPP接入,则短期内就不会执行步骤S809。可选地,当UE接收到的重新安置请求消息#1中携带“0”时,UE还可以根据当前UE的状态,或者本地策略,或者人为控制等方法,确定立即使用N3IWF-2重新接入AMF,此时UE需要立即释放与N3IWF-1的连接,并开始执行步骤S809。
示例性的,该原因值为二进制bit原因值,比特“1”表示UE需要立即使用N3IWF-2重新接入AMF。具体地,如果重新安置请求消息#1携带“1”,则UE需要立即释放与N3IWF-1的连接,并开始执行步骤S809。
在又一种可能的实现方式中,在步骤S805的重新安置请求消息#1携带N3IWF-2的FQDN信息和其他信息的情况下,UE根据N3IWF-2的FQDN信息确定需要重新使用N3IWF-2接入AMF,并将N3IWF-2的FQDN信息与其他信息一起存储。当UE后续再次使用非可信非3GPP技术接入的时候,则UE优先选择使用N3IWF-2接入AMF。
示例性的,UE优先使用N3IWF-2的FQDN信息发现N3IWF-2。若其他信息是S-NSSAI#1,表示N3IWF-2的FQDN信息与S-NSSAI#1有关。如果UE要使用非可信非3GPP接入技术向5GC进行注册,并使用切片S-NSSAI#1,则UE优先选择N3IWF-2。进一步的,UE可以根据本地策略或者预设值方法,确定立即重新接入N3IWF-2,还是在下一次重新建立非可信非3GPP连接的时候使用N3IWF-2重新接入。例如,如果确定立即使用N3IWF-2重新接入AMF,则UE需要立即释放与N3IWF-1的连接,并开始执行步骤S809。
需要说明的是,不论是UE立即使用N3IWF-2重新接入AMF,还是后续使用N3IWF-2重新接入AMF,UE均不再使用N3IWF-1的密钥KN3IWF-1和使用KN3IWF-1衍生的其他密钥。示例性的,UE删掉KN3IWF-1和使用KN3IWF-1衍生的其他密钥,但保留NAS安全密钥。接下来,结合步骤S809-S820说明UE通过N3IWF-2重新注册到AMF(或者通过N3IWF-2向AMF请求服务)的流程。该流程可以理解为UE立即使用N3IWF-2接入AMF,也可以理解为UE在释放了与N3IWF-1的连接后的某段时间后,使用N3IWF-2接入AMF,还可以理解为UE在后续需要重新建立非可信非3GPP连接的时候,再释放与N3IWF-1的连接,并使用N3IWF-2重新接入AMF。也就是说,本申请对UE使用N3IWF-2接入AMF的时机不作具体限定。
S809,UE与N3IWF-2进行IKE_SA_INIT交换。
其中,在UE发送消息给N3IWF-2之前,UE需要确定(或接入)N3IWF-2。在一种可能的实现方式中,UE根据重配置请求消息#1中携带的信息,确定N3IWF-2的IP地址信息。比如,UE根据重配置请求消息#1中携带的N3IWF-2的FQDN信息,或者IP地址信息,确定N3IWF-2。
一种例外情况是,如果UE无法通过N3IWF-2的FQDN信息获得N3IWF-2的IP地址信息,或者UE无法通过N3IWF-2的IP地址信息,接入到N3IWF-2,则UE需要重新选择一个N3IWF-2’接入。此时,本实施例中的N3IWF-2替换为N3IWF-2’。
示例性的,UE先使用上述步骤S805中N3IWF-2的FQDN信息发现N3IWF-2,再与N3IWF-2进行IKE_SA_INIT交换。其中,IKE_SA_INIT交换的具体实现方式可参考上述方法400的步骤S403,为了简洁,此处不再赘述。
S810,N3IWF-2与UE进行IKE_AUTH交换。
示例性的,N3IWF-2向UE发送IKE_AUTH消息#1,并接收来自UE的IKE_AUTH消息#1’;对应的,UE接收来自N3IWF-2的IKE_AUTH消息#1,并向N3IWF-2发送IKE_AUTH消息#1’。
其中,IKE_AUTH交换的具体实现方式可参考上述方法400的步骤S404-S405,为了简洁,此处不再赘述。
S811,UE向N3IWF-2发送IKE_AUTH消息#2;
对应的,N3IWF-2接收来自UE的IKE_AUTH消息#2。
其中,IKE_AUTH消息#2包括NAS注册请求消息(如NAS registration request消息),或者NAS服务请求消息(如NAS service request消息),NAS注册请求消息,或者NAS服务请求消息中携带UE的第二标识信息。应理解,NAS注册请求消息,或者NAS服务请求消息中还携带SQN,用于确定NAS COUNT值。所述第二标识信息为步骤S801中新的5G-GUTI。
需要说明的是,由于在上述步骤S801中,UE已经成功注册到AMF,因此UE与AMF有相同的NAS安全上下文,所以步骤S811中的NAS注册请求消息,或者NAS服务请求消息中携带的UE标识是5G-GUTI。应理解,该NAS注册请求消息,或者该NAS服务请求消息被完整性保护。
可选地,若UE通过N3IWF-2’接入,则UE在NAS消息中携带原因值#2,原因值#2用于告知AMF该UE无使用AMF重新安置的N3IWF-2。
S812,N3IWF-2执行AMF选择。
其中,具体实现方式可参考上述方法400的步骤S407,为了简洁,此处不再赘述。
S813,N3IWF-2向AMF发送N2消息#1;
对应的,AMF接收来自N3IWF-2的N2消息#1。
其中,N2消息#1包括NAS注册请求消息,或者NAS服务请求消息。
可选地,AMF在上述步骤S801确定为UE重新安置的N3IWF-2后,可以本地存储N3IWF-2的信息,用于AMF后续(如,步骤S813)进行验证;或者,AMF也可以在本地标记已经为UE重新安置了N3IWF-2。其中,本地记录的方式有多种,比如通过一个flag比特位,若为0则表示没有为UE重新按照过N3IWF;若为1则表示为重新按照过N3IWF。
可选地,AMF检查并确定UE是通过AMF为UE重新安置的N3IWF-2接入的。
在一种可能的实现方式中,AMF将N2消息#1关联的N3IWF信息(比如,N2消息中携带的N3IWF FQDN信息,或者N2消息对应的N3IWF的IP地址)和AMF本地存储的N3IWF-2的信息(比如,N3IWF-2的FQDN信息,或者N3IWF-2及其对应的S-NSSAI信息)进行对比,根据二者比较结果是否相同,确定UE是否使用N3IWF-2重新接入AMF。示例性的,如果相同,则AMF确定该UE是通过重新安置的N3IWF-2接入的;如果不同,则AMF确定该UE没有使用重新安置的N3IWF-2接入。
在另一种可能的实现方式中,在AMF接收来自N3IWF-2的N2消息#1之后,AMF查阅本地是否记录已经为UE重新安置了N3IWF-2,如果本地有记录,则跳过上述判断过程,执行步骤S814。
进一步地,经过上述比较或查阅,如果AMF确定UE使用的N3IWF-2信息与AMF在步骤S804中携带的N3IWF-2信息相同,则AMF执行步骤S814;或者,如果AMF本地记录显示曾经为UE重新安置过一个N3IWF,则AMF可以跳过上述检查过程,执行步骤S814。应理解,该实现方式中AMF为UE生成的KN3IWF-2是AMF为UE重新安置的N3IWF-2对应的密钥。
可选地,如果AMF确定UE使用的N3IWF-2信息与AMF在步骤S804中携带的N3IWF-2信息不相同,或者AMF没有存储发送给UE的N3IWF-2信息,则AMF需要确定是否有更合适的N3IWF可以使用,如果有,则重新开始执行上述步骤S804-S812;如果没有,则执行步骤S814;或者,如果AMF确定UE使用的N3IWF-2信息与AMF在步骤S804中携带的N3IWF-2信息不相同,或者AMF没有存储发送给UE的N3IWF-2信息,同时UE在N2消息#1中携带了原因值#2,且AMF根据原因值#2确定UE无法使用AMF为其重新安置的N3IWF-2,此时AMF不再为UE重新安置一个N3IWF,则执行步骤S814;或者,如果AMF确定UE使用的N3IWF-2信息与AMF在步骤S804中携带的N3IWF-2信息不相同,或者AMF没有存储发送给UE的N3IWF-2信息,同时本地记录显示AMF曾经为UE重新安置过一个N3IWF,则AMF可以跳过上述检查过程,执行步骤S814。应理解,该实现方式中AMF为UE生成的KN3IWF-2是UE使用的N3IWF-2对应的密钥,非AMF为其重新安置的N3IWF-2对应的密钥。
通过上述方法,避免了AMF反复执行判断动作,并不停的让UE重新接入的死循环问题。一旦该循环问题发生,UE将无法接入网络。
应理解,基于上述步骤S801和S803,AMF知道UE需要使用N3IWF-2重新接入网络。因此,在步骤S813中接收到N2消息#1之后,AMF需要生成新的密钥,即N3IWF-2的密钥KN3IWF-2,并将生成的KN3IWF-2告知N3IWF-2,用于UE和N3IWF-2之间进行身份验证和密钥协议等,进而建立UE与N3IWF-2之间的IPsec SA安全保护,即执行步骤S814-S817。
S814,AMF生成KN3IWF-2
具体地,AMF基于UE发送的上行NAS消息中携带的第一密钥生成参数生成新KN3IWF-2。第一密钥生成参数为上行NAS消息中的SQN。
可选地,如果在执行步骤S811后,AMF没有触发NAS SMC流程,则上行NAS消息为S811中NAS注册请求消息,则AMF使用步骤S811中NAS注册请求消息,或者NAS服务请求消息中携带的SQN对应的上行NAS COUNT值生成KN3IWF-2
可选地,如果在执行步骤S811与步骤S814之间,AMF有触发NAS SMC流程,则上行NAS消息为AMF使用NAS安全模式完成(security mode completed,SMP)消息中的SQN对应的上行NAS COUNT值生成KN3IWF-2
其中,生成KN3IWF-2的具体实现方式可参考上述方法400的步骤S418的相关描述,为了简洁,此处不再赘述。
S815,AMF向N3IWF-2发送初始上下文设置请求消息#1;
对应的,N3IWF-2接收来自AMF的初始上下文设置请求消息#1。
其中,初始上下文设置请求消息#1包括密钥KN3IWF-2
S816,N3IWF-2向UE发送IKE_AUTH消息#3;
对应的,UE接收来自N3IWF-2的IKE_AUTH消息#3。
其中,IKE_AUTH消息#3包括EAP-Success。此时,UE与N3IWF-2之间的EAP-5G会话完成。
进一步地,UE在接收到IKE_AUTH消息#3后,生成N3IWF-2的密钥KN3IWF-2。可选地,UE也可以在接收到IKE_AUTH消息#3之前,生成N3IWF-2的密钥KN3IWF-2。其中,生成KN3IWF-2的具体实现方式可参考上述步骤S814,为了简洁,此处不再赘述。应理解,UE生成的KN3IWF-2与AMF生成的KN3IWF-2相同。
S817,UE通过IKE_AUTH消息#4,与N3IWF-2进行IKE_AUTH交换。
其中,IKE_AUTH消息#4携带UE ID和AUTH payload,IKE_AUTH消息#4用于UE与N3IWF-2建立IPSec SA。具体实现方式可参考上述方法400的步骤S425中,有关UE与N3IWF-1建立IPSec SA的描述,为了简洁,此处不再赘述。
S818,N3IWF-2向AMF发送初始上下文设置响应消息#1;
对应的,AMF接收来自N3IWF-2的初始上下文设置响应消息#1。
S819,AMF向N3IWF-2发送N2消息#2;
对应的,N3IWF-2接收来自AMF的N2消息#2。
其中,N2消息#Gg包括NAS注册接受消息(如NAS registration accept消息),或者NAS服务接受消息(如NAS service accept消息)。
S820,N3IWF-2向UE发送IKE_AUTH消息#5;
对应的,UE接收N3IWF-2的IKE_AUTH消息#5。
其中,IKE_AUTH消息#5包括NAS注册接受消息,或者NAS服务接受消息。
需要说明的是,上述步骤S815-S820的具体实现方式可参考上述方法400的步骤S423-S428,为了简洁,此处不再过多赘述。
本申请所揭示的方法,在第一次注册流程后,AMF通过判断确定UE需要重新安置到N3IWF-2,并通过NAS消息通知UE重新安置的N3IWF-2的信息,使得UE通过N3IWF-2重新向AMF发起注册或请求服务。因为新的注册流程中会发送上行NAS消息,比如注册请求消息或者NAS SMC消息,因此AMF可以使用新的注册流程中会发送上行NAS消息中携带的第一密钥生成参数生成新KN3IWF-2。第一密钥生成参数为上行NAS消息中携带的NAS SQN,AMF和UE会基于第一密钥生成参数与本地保存的参数组成用于生成密钥KN3IWF-2的上行NAS COUNT。该实现方式通过UE前后两次注册到同一个AMF,因为触发了不同的上行NAS消息,进而实现了AMF和UE先后生成两个不同的在N3IWF上使用的密钥,例如KN3IWF-1和KN3IWF-2,达到KN3IWF密钥隔离的目的。
图9是本申请实施例提供的通信方法900的流程示例图。相比于上述方法800,在注册流程完成后发送N3IWF-2的信息,该方法900是在第一次注册流程中,通过一条新的NAS消息将N3IWF-2的信息发送给UE,或者通过NAS注册接受消息或NAS注册拒绝消息将N3IWF-2的信息发送给UE,该方式可以提高效率,增强用户体验。如图9所示,该方法包括如下多个步骤。
S901,UE与N3IWF-1进行IKE_SA_INIT#A交换。
S902,N3IWF-1与UE进行IKE_AUTH交换。
示例性的,UE向N3IWF-1发送IKE_AUTH消息#A,并接收来自N3IWF-1的IKE_AUTH消息#A’;
对应的,N3IWF-1接收来自UE的IKE_AUTH消息#A,并向UE发送IKE_AUTH消息#A’。
S903,UE向N3IWF-1发送IKE_AUTH消息#B;
对应的,N3IWF-1接收来自UE的IKE_AUTH消息#B。
其中,IKE_AUTH消息#B包括NAS注册请求消息#A。示例性的,IKE_AUTH消息#B包括EAP-Response/5G-NAS数据包,该NAS注册请求消息#A可以携带在该EAP-Response/5G-NAS数据包中。注册请求消息#A携带是第一标识信息。第一标识信息可以是SUCI,或者5G-GUTI。
S904,N3IWF-1执行AMF选择。
S905,N3IWF-1向AMF发送N2消息#A;
对应的,AMF接收来自N3IWF-2的N2消息#A。
其中,N2消息#A包括NAS注册请求消息#A。
其中,上述步骤S901-S905的具体实现方式可参考上述方法400的步骤S403-S408,为了简洁,此处不再过多赘述。
S906,可选地,AMF对UE进行主认证和NAS SMC流程。
应理解,为了保障网络安全,AMF需要对接入网络的终端设备执行主认证(primaryauthentication)流程,即对终端设备进行身份认证和授权。其中,主认证的具体实现方式可参考上述方法400的步骤S411-S422,为了简洁,此处不再过多赘述。
S907,AMF确认N3IWF-2可以为UE提供服务。
示例性的,在AMF确定UE有权限使用切片,且N3IWF-1不支持UE的切片服务时,AMF需要为UE重新安置一个支持该切片的N3IWF,例如N3IWF-2。其中,AMF确定UE需要重新安置到N3IWF-2的具体实现方式可参考上述方法800的步骤S801,AMF对UE进行切片鉴权认证可参考步骤S803,为了简洁,此处不再赘述。
S908,AMF向N3IWF-1发送N2消息#B;
对应的,N3IWF-1接收来自AMF的N2消息#B。
其中,N2消息#B携带有重新安置请求消息#1。重新安置请求消息#1可参考上述方法800的步骤S804中的相关描述,为了简洁,此处不再赘述。
S909,N3IWF-1向UE发送IKE_AUTH消息#C;
对应的,UE接收来自N3IWF-1的IKE_AUTH消息#C。
其中,IKE_AUTH消息#C为IKE_AUTH Response(EAP-Req/5G-NAS/NAS-PDU)消息,NAS-PDU包括步骤S908中的重新安置请求消息#1。
S910,可选地,UE向N3IWF-1发送IKE_AUTH消息#D。
其中,IKE_AUTH消息#D中携带重新安置响应消息#1。UE确定是否发送重新安置响应消息#1的具体实现方式可参考上述方法800的步骤S806,为了简洁,此处不再赘述。
S911,可选地,N3IWF-1向AMF发送N2消息#C。
对应的,AMF接收来自N3IWF-1的N2消息#C。
其中,N2消息#C中携带重新安置响应消息#1。
需要说明的是,如果上述步骤S910执行,则该步骤S911也需要执行,具体实现方式可参考上述方法800的步骤S807相关描述,为了简洁,此处不再过多赘述。
需要说明的是,上述重新安置请求消息#1和重新安置响应消息#1是新的NAS消息。
进一步地,UE在步骤S909中接收到重新安置请求消息#1后,UE确定需要重新使用N3IWF-2接入AMF,具体实现方式可参考上述方法800的步骤S808的相关描述。为了简洁,此处不再赘述。
S912,AMF向N3IWF-1发送N2初始上下文设置请求消息#A;
对应的,N3IWF-1接收来自AMF的N2初始上下文设置请求消息#A。
其中,N2初始上下文设置请求消息#A包括N3IWF-1的密钥KN3IWF-1。KN3IWF-1的生成方法参考步骤S801中的相关描述。为了简洁,此处不再赘述。
S913,N3IWF-1向UE发送IKE_AUTH消息#E;
对应的,UE接收来自N3IWF-1的IKE_AUTH消息#E。
其中,IKE_AUTH消息#E为IKE_AUTH Response(EAP-Success)消息。此时,UE与N3IWF-1之间的EAP-5G会话完成。
S914,UE通过IKE_AUTH消息#F,与N3IWF-1进行IKE_AUTH交换。
其中,IKE_AUTH消息#D包括UE ID和AUTH payload。IKE_AUTH消息#D用于UE与N3IWF-1建立IPSec SA。
S915,N3IWF-1向AMF发送N2初始上下文设置响应消息#A;
对应的,AMF接收来自N3IWF-1的N2初始上下文设置响应消息#A。
其中,N2初始上下文设置响应消息#A用于通知UE上下文已经创建。
基于上述步骤S908-S915,UE与N3IWF-1之间NAS安全上下文已经创建。
需要说明的是,上述步骤S908-S911可以理解为AMF通过新NAS消息通知UE需要重新安置到N3IWF-2的信息,步骤S912-S915可以理解为AMF通过N2消息和IKE_AUTH消息通知向UE该N3IWF-1的密钥,使得UE与N3IWF-1之间建立IPsec SA安全保护。
S916,AMF向N3IWF-1发送N2消息#D;
对应的,N3IWF-1接收来自AMF的N2消息#D。
其中,N2消息#D包括NAS注册接受消息,或者注册拒绝消息。
可选地,如果UE在步骤S903中携带的是5G-GUTI,则AMF为该UE重新分配一个5G-GUTI,并携带在注册接受消息,或者NAS注册拒绝消息中。可选地,如果UE在步骤S903中携带的是SUCI,则AMF为该UE分配一个5G-GUTI,并携带在NAS注册接受消息,或者注册拒绝消息中。同时,AMF保存UE的NAS安全上下文。
相比现有技术,该实现方式的AMF在发送NAS注册拒绝消息后,不会删掉与UE相关的安全上下文。UE在收到NAS注册拒绝消息,也不会删掉NAS安全上下文,这是因为UE可以立即重新接入到该AMF,如果删掉了UE的NAS安全上下文,则UE在下次接入的时候,AMF需要重新执行步骤S906的主认证流程和NAS SMC流程,浪费信令开销,并延长接入的时间,降低网络效率。因此,通过在发送NAS注册拒绝消息后仍然保存UE的安全上下文,节省信令开销,加速UE的注册过程。
S917,N3IWF-1向UE转发注册接受消息,或者注册拒绝消息;
对应的,UE接收来自N3IWF-1的注册接受消息,或者注册拒绝消息。
需要说明的是,上述步骤S908-S911可以执行,或者也可以不执行。
在一种可能的实现方式中,在不执行上述步骤S908到步骤S911的情况下,则AMF在步骤S916和S917中发送的NAS注册接受消息,或者NAS注册拒绝消息中携带一个或多个N3IWF的IP地址信息,或者一个或多个N3IWF的FQDN信息、原因值、其他信息中的一个或多个,具体可以参考上述方法800的步骤S804中的相关描述。此时,UE验证NAS注册接受消息,或者NAS注册拒绝消息的完整性保护,并在验证成功后,确定要使用N3IWF-2重新接入AMF,即执行步骤S918。在该实现方式中,N3IWF-2的信息是在步骤S912-S915中,UE与N3IWF-1之间建立IPsec安全保护之后传输的。
换句话说,在该实现方式中,NAS注册接受消息,或者NAS注册拒绝消息可以看做是重新安置请求消息#1的另一种表现形式。
在另一种可能的实现方式中,在执行上述步骤S908到步骤S911的情况下,则AMF在步骤S916和S917中发送的NAS注册接受消息,或者NAS注册拒绝消息中可以不携带任何信息,或者可以携带一个原因值,该原因值用于指示该UE需要重新接入AMF,或者用于指示UE使用重新安置的N3IWF接入AMF。例如,UE根据该原因值确定需要使用N3IWF-2重新接入AMF,即执行步骤S918。
需要说明的是,上述步骤S912-S917的具体实现方式可参考上述方法400的步骤S423-S428,为了简洁,此处不再过多赘述。
基于上述步骤S906的主认证和NAS SMC流程,UE可以确定N3IWF-1的真实性,进而根据上述步骤S909,确定需要使用N3IWF-2重新接入AMF的真实性,即UE确定需要使用N3IWF-2重新接入AMF。其中,UE确定需要重新接入N3IWF-2的具体实现方式,可以参考上述方法800的步骤S808,为了简洁,此处不再赘述。可选地,UE确定需要重新接入N3IWF-2,可以在上述步骤S909和S910之间执行,也可以在步骤S917之后执行,本申请对此不作具体限定。进一步地,UE通过N3IWF-2重新接入AMF,即执行步骤S918。
S918,UE通过N3IWF-2重新向AMF请求注册;或者,UE通过N3IWF-2向AMF请求服务。
其中,具体实现方式可参考上述方法800的步骤S809-S820,为了简洁,此处不再赘述。需要说明的是,注册过程中使用的是第二标识信息。第二标识信息可以是新的SUCI,或者UE在步骤S917中收到的新的5G-GUTI,或者依然是步骤S903中携带的5G-GUTI。
本申请所揭示的方法,在第一个注册流程中,AMF通过判断确定UE需要重新安置到N3IWF-2,并通过新的NAS消息将重新安置的N3IWF-2的信息和KN3IWF-1在发送注册完成消息或注册拒绝消息之前依次发送给UE,使得UE在注册到AMF后可以直接通过N3IWF-2重新接入AMF,无需额外执行UE与N3IWF-2之间的EAP-5G流程,减少不必要的信令开销。或者,在UE与N3IWF-1建立安全保护之后,将N3IWF-2的信息携带在注册完成消息或注册拒绝消息中发送至UE,指示UE使用N3IWF-2重新接入AMF。该实现方式,提高UE接入网络效率的同时,保证AMF和UE先后生成两个不同的密钥,例如KN3IWF-1和KN3IWF-2,达到KN3IWF密钥隔离的目的。
针对特定场景,当前TNGF(或者N3IWF)信息(例如,TNGF(或者N3IWF)的地址或密钥等)可以放在NAS SMC消息中传递,也可以放到IKEv2消息中传递。然而,AMF可能不发送NASSMC消息,这样就无法通过NAS SMC消息告诉UE重新分配的TNGF(或者N3IWF)的地址信息。而将TNGF(或者N3IWF)的信息放到IKEv2消息中,可能会因为UE与TNGF(或者N3IWF)之间没有建立安全保护,导致UE无法确定该重定向消息的真实性。
图10是本申请实施例提供的通信方法1000的流程示例图。相比于方法900,涉及注册完成消息和注册拒绝消息,同时注册完成或拒绝消息是在建立完IPsec之后传输的。该方法1000只涉及注册拒绝消息,且并未完成IPsec的建立过程。如图10所示,该方法包括如下多个步骤。
S1001,UE与N3IWF-1进行IKE_SA_INIT交换。
S1002,N3IWF-1与UE进行IKE_AUTH交换。
示例性的,UE向N3IWF-1发送IKE_AUTH消息#11,并接收来自N3IWF-1的IKE_AUTH消息#11’;对应的,N3IWF-1接收来自UE的IKE_AUTH消息#11,并向UE发送IKE_AUTH消息#11’。
S1003,UE向N3IWF-1发送IKE_AUTH消息#22;
对应的,N3IWF-1接收来自UE的IKE_AUTH消息#22。
其中,IKE_AUTH消息#22包括NAS注册请求消息#11。注册请求消息#11携带是第一标识信息。第一标识信息可以是SUCI,或者5G-GUTI。
S1004,N3IWF-1执行AMF选择。
S1005,N3IWF-1向AMF发送N2消息#11;
对应的,AMF接收来自N3IWF-1的N2消息#11。
其中,N2消息#11包括NAS注册请求消息#11。
S1006,可选地,AMF对UE进行主认证和NAS SMC流程。
其中,上述步骤S1001-S1006的具体实现方式可参考上述方法900的步骤S901-S906,为了简洁,此处不再过多赘述。
S1007,AMF确认N3IWF-1不可以为UE提供服务。
示例性的,AMF可以根据UE请求接入的切片信息,判断当前N3IWF-1不可以服务该切片;或者,AMF可以根据N3IWF-1的地理位置信息,判断N3IWF-1不可以为当前UE服务。具体实现方式可参考上述方法800的步骤S801,为了简洁,此处不再赘述。
进一步地,AMF确定需要为UE重新安置到N3IWF-2。
需要特别说明的是,该实现方式是通过步骤S1013-S1014中的注册拒绝消息携带N3IWF-2的信息,来告知UE需要通过N3IWF-2重新接入AMF的。为了使得UE确定该注册拒绝消息的真实性,进而与N3IWF-1释放连接,并使用N3IWF-2重新接入AMF,AMF需要在发送注册拒绝消息之前触发NAS SMC流程,即执行步骤S1008-S1012,确保UE知道该AMF是真实的,进而UE可以确定在后续步骤S1014中接收到的注册拒绝消息也是真实的,并非攻击者发送的,随即与N3IWF-1释放连接,并与N3IWF-2建立安全连接。
S1008,AMF触发NAS SMC流程。
其中,具体实现方式可参考上述方法400的步骤S409-S418,为了简洁,此处不再赘述。
需要说明的是,本申请对上述步骤S1007和S1008的执行顺序不作具体限定。
示例性的,步骤S1008可以在步骤S1007之前执行,则AMF先执行NAS SMC流程,再判断是否有比N3IWF-1更适合的一个或多个N3IWF为UE提供服务,如果有更适合的一个或多个N3IWF,则AMF确定需要为UE重新安置一个N3IWF,例如N3IWF-2。
示例性的,步骤S1008可以在步骤S1007之后执行,则AMF先判断是否有比N3IWF-1更适合的一个或多个N3IWF为UE提供服务,如果有更适合的一个或多个N3IWF,则AMF确定需要为UE重新安置一个N3IWF,例如N3IWF-2。那么AMF决定需要建立安全,进而发送NAS SMC流程。需要指出的是,这里建立安全连接是指至少建立UE和AMF之间的NAS安全。进一步地,建立安全连接也可以是完成UE和N3IWF之间的IPsec安全连接建立。具体实现方式可参考上述方法400的步骤S419-S422,为了简洁,此处不再赘述。
可选地,AMF可以根据使用第二密钥参数生成第二密钥KN3IWF-1
S1009,AMF向N3IWF-1发送N2消息#22;
对应的,N3IWF-1接收来自AMF的N2消息#22。
其中,N2消息#22携带有重新安置请求消息#1。
S1010,N3IWF-1向UE发送IKE_AUTH消息#33;
对应的,UE接收来自N3IWF-1的IKE_AUTH消息#33。
其中,IKE_AUTH消息#C为IKE_AUTH Response(EAP-Req/5G-NAS/NAS-PDU)消息,NAS-PDU包括步骤S1009中的重新安置请求消息#1。
应理解,在验证重新安置请求消息#1的完整性保护成功后,UE确定需要重新使用N3IWF-2重新接入AMF。
S1011,可选地,UE向N3IWF-1发送IKE_AUTH消息#44。
对应的,N3IWF-1接收来自AMF的IKE_AUTH消息#44。
其中,IKE_AUTH消息#44中携带重新安置响应消息#1。
S1012,可选地,N3IWF-1向AMF发送N2消息#33。
对应的,AMF接收来自N3IWF-1的N2消息#33。
其中,N2消息#33中携带重新安置响应消息#1。
需要指出的是,如果上述步骤S1011执行,则该步骤S1012也需要执行。
其中,上述步骤S1009-S1012的具体实现方式可参考上述方法900的步骤S908-S911,为了简洁,此处不再赘述。
S1013,AMF向N3IWF-1发送N2消息#44;
N2消息#44可以是N2初始上下文设置请求消息。
对应的,N3IWF-1接收来自AMF的N2消息#44。
其中,N2消息#44包括NAS注册拒绝消息。即AMF发送NAS注册拒绝消息给UE。该NAS注册拒绝消息至少被NAS完整性保护。可选地,该NAS注册拒绝消息可以同时被机密性保护。
可选地,N3IWF-1确定接入失败。
在一种可能的实现方式中,N2消息#44包括失败指示信息,N3IWF-1基于失败指示信息确定接入失败。
在另一种可能的实现方式中,N3IWF根据N2消息#44中没有携带第二密钥KN3IWF-1确定接入失败。比如,在AMF生成第二密钥KN3IWF-1的情况下,N2消息#44不携带第二密钥KN3IWF-1
可选地,如果UE在步骤S1003中携带的是5G-GUTI,则AMF为该UE重新分配一个5G-GUTI,并携带在NAS注册拒绝消息中。如果UE在步骤S1003中携带的是SUCI,则AMF为该UE分配一个5G-GUTI,并携带在NAS注册拒绝消息中。同时,AMF保存UE的NAS安全上下文。相比现有技术,该实现方式的AMF在发送NAS注册拒绝消息后,不会删掉与UE相关的安全上下文。UE在收到NAS注册拒绝消息,也不会删掉NAS安全上下文,这是因为UE可以立即重新接入到该AMF,如果删掉了UE的NAS安全上下文,则UE在下次接入的时候,AMF需要重新执行步骤S1006的主认证流程和步骤S1008的NAS SMC流程,浪费信令开销,并延长接入的时间,降低网络效率。因此,通过在发送NAS注册拒绝消息后仍然保存UE的安全上下文,节省信令开销,加速UE的注册过程。
需要说明的是,上述步骤S1009-S1012可以执行,或者也可以不执行。比如,如果通过步骤S1013传递重新安置参数,则可以不执行。具体实现方式可参考上述方法900的步骤S917中的相关描述,为了简洁,此处不再赘述。
S1014,N3IWF-1向UE发送IKE_AUTH消息#55;
对应的,UE接收来自N3IWF-1的IKE_AUTH消息#55。
具体地,IKE_AUTH消息#55是IKE_AUTH Response(EAP-Req/5G-NAS/NAS-PDU)消息,NAS-PDU包括步骤S1013中的NAS注册拒绝消息。
需要说明的是,IKE_AUTH Response(EAP-Req/5G-NAS/NAS-PDU)消息只是一种举例,本申请不限制具体的消息名称。
示例性的,UE在接收到NAS注册拒绝消息后,UE确定需要使用N3IWF-2重新接入AMF。例如,UE通过NAS注册拒绝消息确定需要使用N3IWF-2重新接入AMF,或者通过重新安置请求消息#1确定需要使用N3IWF-2重新接入AMF。相关标识可以参考步骤S808(未提及进行完整性保护验证),或者步骤S1010(提及进行完整性保护验证)的相关描述。
进一步地,在UE确定需要重新接入N3IWF-2后,如果注册拒绝消息包括了新的5G-GUTI,则UE保存新的5G-GUTI,并保存NAS安全上下文。如果注册拒绝消息没有包括新的5G-GUTI,则只保存NAS安全上下文。
S1015,可选地,UE向N3IWF-1发送IKE_AUTH消息#66;
对应的,N3IWF-1接收来自UE的IKE_AUTH消息#66。
其中,KE_AUTH消息#66用于通知N3IWF-1释放IPsec连接。
需要说明的是,在由N3IWF-1主动释放连接的场景下,该步骤S1015不需要执行。
S1016,可选地,N3IWF-1向UE发送IKE_AUTH消息#77;
对应的,UE接收来自N3IWF-1的IKE_AUTH消息#77。
其中,该IKE_AUTH消息#77包括EAP-Failure消息。N3IWF-1可以根据步骤S1013中携带的失败指示信息向UE发送EAP-Failure消息,或者根据步骤S1013中携带的NAS注册拒绝消息向UE发送EAP-Failure消息。
S1017,UE通过N3IWF-2重新向AMF请求注册;或者,UE通过N3IWF-2向AMF请求服务。
其中,具体实现方式可参考上述方法900的步骤S918,为了简洁,此处不再赘述。
需要说明的是,UE在步骤S1003中发送的注册请求消息是通过步骤S1008激活的,保存的NAS安全上下文是进行完整性保护的。如果上述步骤S1013-S1014的NAS注册拒绝消息中携带(新分配的或首次下发的)5G-GUTI,则步骤S1017中的重新注册过程需要使用该新的5G-GUTI。
本申请所揭示的方法,通过AMF触发NAS SMC流程,使得UE和AMF建立安全保护连接,进而确保后续UE接收来自AMF的注册拒绝消息和N3IWF-2的信息是真实的,则UE可以确定使用N3IWF-2重新接入AMF,保障通信网络中的安全性。
应理解,以上图8至图10均是以非可信非3GPP接入网络(例如,非3GPP网络设备N3IWF)为例,对重定向情况下的密钥生成同步方法进行具体说明。需要说明的是,本申请技术方案(例如,上述图8至图10所示的通信方法)同样适用于可信非3GPP接入网络(例如,非3GPP网络设备TNGF)。即,将N3IWF替换为TNGF,具体实现方式可参考上述方法800至1000,为了简洁,此处不再过多赘述。
上文结合图1至图10,详细描述了本申请的通信方法侧实施例,下面将结合图11和图12,详细描述本申请的通信装置侧实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
图11是本申请实施例提供的通信装置的示意性框图。如图11所示,该设备1200可以包括收发单元1210和处理单元1220。收发单元1210可以与外部进行通信,处理单元1220用于进行数据处理。收发单元1210还可以称为通信接口或收发单元。
在一种可能的设计中,该设备1200可实现对应于上文方法实施例中的UE执行的步骤或者流程,其中,处理单元1220用于执行上文方法实施例中UE的处理相关的操作,收发单元1210用于执行上文方法实施例中UE的收发相关的操作。
在另一种可能的设计中,该设备1200可实现对应于上文方法实施例中的AMF执行的步骤或者流程,其中,收发单元1210用于执行上文方法实施例中AMF的收发相关的操作,处理单元1220用于执行上文方法实施例中AMF的处理相关的操作。
应理解,这里的设备1200以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,设备1200可以具体为上述实施例中的发送端,可以用于执行上述方法实施例中与发送端对应的各个流程和/或步骤,或者,设备1200可以具体为上述实施例中的接收端,可以用于执行上述方法实施例中与接收端对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的设备1200具有实现上述方法中发送端所执行的相应步骤的功能,或者,上述各个方案的设备1200具有实现上述方法中接收端所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。在本申请的实施例,图11中的装置可以是前述实施例中的接收端或发送端,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口。处理单元为该芯片上集成的处理器或者微处理器或者集成电路。在此不做限定。
图12示出了本申请实施例提供的通信装置2000。如图12所示,该设备2000包括处理器2010和收发器2020。其中,处理器2010和收发器2020通过内部连接通路互相通信,该处理器2010用于执行指令,以控制该收发器2020发送信号和/或接收信号。
可选地,该设备2000还可以包括存储器2030,该存储器2030与处理器2010、收发器2020通过内部连接通路互相通信。该存储器2030用于存储指令,该处理器2010可以执行该存储器2030中存储的指令。
在一种可能的实现方式中,设备2000用于实现上述方法实施例中的UE对应的各个流程和步骤。
在另一种可能的实现方式中,设备2000用于实现上述方法实施例中的AMF对应的各个流程和步骤。
应理解,设备2000可以具体为上述实施例中的发送端或接收端,也可以是芯片或者芯片系统。对应的,该收发器2020可以是该芯片的收发电路,在此不做限定。具体地,该设备2000可以用于执行上述方法实施例中与发送端或接收端对应的各个步骤和/或流程。
可选地,该存储器2030可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器2010可以用于执行存储器中存储的指令,并且当该处理器2010执行存储器中存储的指令时,该处理器2010用于执行上述与发送端或接收端对应的方法实施例的各个步骤和/或流程。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例中的处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器、动态随机存取存储器、同步动态随机存取存储器、双倍数据速率同步动态随机存取存储器、增强型同步动态随机存取存储器、同步连接动态随机存取存储器和直接内存总线随机存取存储器。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行上述所示实施例中的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读介质,该计算机可读介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行上述所示实施例中的方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (34)

1.一种通信方法,其特征在于,包括:
移动性管理功能网元AMF接收终端设备通过第一非3GPP网络设备发送的第一注册请求消息,所述第一注册请求消息包括所述终端设备的第一标识信息,所述第一注册请求消息用于请求接入网络;
在确定所述终端设备需要重新安置到第二非3GPP网络设备的情况下,所述AMF向所述终端设备发送第一NAS消息,所述第一NAS消息包括所述第二非3GPP网络设备的标识信息,所述第一NAS消息用于指示所述终端设备通过所述第二非3GPP网络设备重新接入所述网络;
所述AMF接收来自所述终端设备的第二NAS消息,所述第二NAS消息用于请求接入所述网络,所述第二NAS消息包括第一密钥生成参数;
所述AMF根据所述第一密钥生成参数生成第一密钥,所述第一密钥用于建立所述第二非3GPP网络设备与所述终端设备之间的安全连接;
所述AMF将所述第一密钥发送给所述第二非3GPP网络设备。
2.根据权利要求1所述的方法,其特征在于,所述AMF根据所述第一密钥生成参数生成第一密钥,包括:
所述AMF根据所述第一密钥生成参数,获取上行NAS COUNT值;
所述AMF将根密钥和所述上行NAS COUNT值作为输入参数,计算得到所述第一密钥,所述根密钥是用于生成所述AMF与所述终端设备之间的NAS安全上下文的密钥。
3.根据权利要求1或2所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
所述AMF确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备。
4.根据权利要求3所述的方法,其特征在于,所述第一注册请求消息包括所述终端设备请求的切片信息,所述AMF确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备,包括:
所述AMF根据所述切片信息,确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备;或者,
所述AMF根据所述第一非3GPP网络设备的位置信息,确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备;或者,
所述AMF根据本地预配置信息,确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第二非3GPP网络设备的标识信息,包括:所述第二非3GPP网络设备的互联网协议IP地址信息,或者,所述第二非3GPP网络设备的全限定域名FQDN信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一NAS消息还包括第一原因值;
其中,所述第一原因值用于指示所述终端设备通过所述第二非3GPP网络设备重新接入所述网络。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一NAS消息为以下消息中的任意一项:
重新安置请求消息;NAS下行传输消息;配置更新命令消息;注册拒绝消息;或者,注册完成消息。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述AMF根据所述第一密钥生成参数生成第一密钥之前,所述方法还包括:
所述AMF判断所述第二NAS消息是否是通过所述第二非3GPP网络设备接收到的。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述AMF根据所述第一密钥生成参数生成第一密钥,包括:
在确定所述第二NAS消息是通过所述第二非3GPP网络设备接收到的情况下,所述AMF根据所述第一密钥生成参数生成所述第一密钥。
10.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
所述AMF确定是否已经为所述第一终端设备重新安置过其他非3GPP网络设备;
其中,所述AMF根据所述第一密钥生成参数生成第一密钥,包括:
在确定所述AMF已经为所述第一终端设备重新安置过其他非3GPP网络设备的情况下,所述AMF根据所述第一密钥生成参数生成所述第一密钥。
11.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
所述AMF接收所述终端设备通过所述第一非3GPP网络设备发送的第三NAS消息,所述第三NAS消息包括第二密钥生成参数;
所述AMF根据所述第二密钥生成参数生成第二密钥,所述第二密钥用于建立所述第一非3GPP网络设备与所述终端设备之间的安全连接;
所述AMF向所述第一非3GPP网络设备发送所述第二密钥。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述AMF向所述终端设备发送第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G全球唯一临时标识5G-GUTI。
13.根据权利要求11所述的方法,其特征在于,所述AMF向所述终端设备发送第一NAS消息,包括:
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述AMF向所述终端设备发送所述第一NAS消息,所述第一NAS消息为第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G-GUTI。
14.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
所述AMF接收所述终端设备通过所述第一非3GPP网络设备发送的第三NAS消息,所述第三NAS消息包括第二密钥生成参数;
所述AMF根据所述第二密钥生成参数生成第二密钥,所述第二密钥用于建立第一非3GPP网络设备与所述终端设备之间的安全连接;以及,
在所述AMF向所述终端设备发送第一NAS消息之后,且在所述AMF接收来自所述终端设备的第二NAS消息之前,所述方法还包括:
所述AMF向所述第一非3GPP网络设备发送所述第二密钥;
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述AMF向所述终端设备发送第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G-GUTI。
15.根据权利要求12至14中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一注册拒绝消息之后,所述方法还包括:
所述AMF本地存储所述终端设备的NAS安全上下文,所述NAS安全上下文用于保护所述第二NAS消息。
16.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF接收来自所述终端设备的第二NAS消息之前,所述方法还包括:
在确定所述AMF与所述终端设备之间的NAS安全激活的情况下,响应于所述第一注册请求消息,所述AMF向所述终端设备发送所述第一注册拒绝消息,所述第一注册拒绝消息为所述第一NAS消息,所述第一注册拒绝消息包括第一5G-GUTI;
所述AMF本地存储所述终端设备的NAS安全上下文,所述NAS安全上下文用于保护所述第二NAS消息。
17.一种通信方法,其特征在于,包括:
终端设备通过第一非3GPP网络设备向移动性管理功能网元AMF发送第一注册请求消息,所述第一注册请求消息包括所述终端设备的第一标识信息,所述第一注册请求消息用于请求接入网络;
所述终端设备接收来自所述AMF的第一NAS消息,所述第一NAS消息包括第二非3GPP网络设备的标识信息,所述第一NAS消息用于指示所述终端设备通过所述第二非3GPP网络设备重新接入所述网络;
所述终端设备通过所述第二非3GPP网络设备向所述AMF发送第二NAS消息,所述第二NAS消息用于请求接入所述网络,所述第二NAS消息包括第一密钥生成参数;以及,
所述终端设备根据所述第一密钥生成参数生成第一密钥,所述第一密钥用于建立所述第二非3GPP网络设备与所述终端设备之间的安全连接。
18.根据权利要求17所述的方法,其特征在于,所述终端设备根据所述第一密钥生成参数生成第一密钥,包括:
所述终端设备根据所述第一密钥生成参数,获取上行NAS COUNT值;
所述终端设备将根密钥和所述上行NAS COUNT值作为输入参数,计算得到所述第一密钥,所述根密钥是用于生成所述终端设备与所述AMF之间的NAS安全上下文。
19.根据权利要求17或18所述的方法,其特征在于,所述第二非3GPP网络设备的标识信息,包括:所述第二非3GPP网络设备的互联网协议IP地址信息,或者,所述第二非3GPP网络设备的全限定域名FQDN信息。
20.根据权利要求17至19中任一项所述的方法,其特征在于,在所述终端设备向所述AMF发送第二NAS消息之前,所述方法还包括:
所述终端设备根据所述第一NAS消息,确定所述终端设备需要使用所述第二非3GPP网络设备重新接入所述网络。
21.根据权利要求20所述的方法,其特征在于,所述终端设备根据所述第一NAS消息,确定所述终端设备需要使用所述第二非3GPP网络设备重新接入所述网络,包括:
所述终端设备根据所述第二非3GPP网络设备的标识信息,确定所述终端设备需要使用所述第二非3GPP网络设备重新接入所述网络。
22.根据权利要求17至21中任一项所述的方法,其特征在于,在所述终端设备向所述AMF发送第二NAS消息之前,所述方法还包括:
所述终端设备根据本地策略或者预设值方法,确定所述终端设备需要使用或立即使用所述第二非3GPP网络设备重新接入所述网络。
23.根据权利要求20至22中任一项所述的方法,其特征在于,所述第一NAS消息还包括第一原因值,所述第一原因值用于指示所述终端设备需要重新接入所述第二非3GPP网络设备;
其中,所述终端设备根据所述第一NAS消息,确定所述终端设备需要使用所述第二非3GPP网络设备重新接入所述网络,包括:
所述终端设备根据所述第一原因值,确定所述终端设备需要使用所述第二非3GPP网络设备的FQDN信息重新接入所述网络;或者,
所述终端设备根据所述第二非3GPP网络设备的标识信息确定所述第二非3GPP网络设备,以及所述终端设备根据所述第一原因值,确定所述终端设备需要使用或者立即使用所述第二非3GPP网络设备重新接入所述网络。
24.根据权利要求17至23中任一项所述的方法,其特征在于,所述第一NAS消息为以下消息中的任意一项:
重新安置请求消息;NAS下行传输消息;配置更新命令消息;注册完成消息,或者注册拒绝消息。
25.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一NAS消息之前,所述方法还包括:
所述终端设备通过所述第一非3GPP网络设备向所述AMF发送第三NAS消息,所述第三NAS消息包括第二密钥生成参数;
所述终端设备根据所述第二密钥生成参数生成第二密钥,所述第二密钥用于建立所述第一非3GPP网络设备与所述终端设备之间的安全连接。
26.根据权利要求25所述的方法,其特征在于,所述方法还包括:
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述终端设备接收来自所述AMF的第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G全球唯一临时标识5G-GUTI。
27.根据权利要求25所述的方法,其特征在于,所述终端设备接收来自所述AMF的第一NAS消息,包括:
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述终端设备接收来自所述AMF的所述第一NAS消息,所述第一NAS消息为第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G-GUTI。
28.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一NAS消息之前,所述方法还包括:
所述终端设备通过所述第一非3GPP网络设备向所述AMF发送第三NAS消息,所述第三NAS消息包括第二密钥生成参数;
所述终端设备根据第二密钥生成参数生成第二密钥,所述第二密钥用于建立第一非3GPP网络设备与所述终端设备之间的安全连接;以及,
在所述终端设备接收来自所述AMF的第一NAS消息之后,且在所述终端设备通过所述第二非3GPP网络设备向所述AMF发送第二NAS消息之前,所述方法还包括:
所述终端设备与所述第一非3GPP网络设备建立安全连接;
在确定所述第一非3GPP网络设备与所述终端设备之间的安全连接建立完成的情况下,响应于所述第一注册请求消息,所述终端设备接收来自所述AMF的第一注册完成消息,或者第一注册拒绝消息,其中,所述第一注册完成和所述第一注册拒绝消息包括第一5G-GUTI。
29.根据权利要求26至28中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一注册拒绝消息之后,所述方法还包括:
所述终端设备本地存储所述终端设备的NAS安全上下文,所述NAS安全上下文用于保护所述第二NAS消息。
30.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备通过所述第二非3GPP网络设备向所述AMF发送第二NAS消息之前,所述方法还包括:
在确定所述终端设备与所述AMF之间的NAS安全激活的情况下,响应于所述第一注册请求消息,所述终端设备接收来自所述AMF的所述第一注册拒绝消息,所述第一注册拒绝消息为所述第一NAS消息,所述第一注册拒绝消息包括第一5G-GUTI;
所述终端设备本地存储所述终端设备的NAS安全上下文,所述NAS安全上下文用于保护所述第二NAS消息。
31.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合;所述处理器,用于执行所述存储器中存储的计算机程序,以使得所述装置执行如权利要求1至30中任一项所述的方法。
32.一种芯片,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的通信装置执行如权利要求1至30中任一项所述的方法。
33.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质上存储有计算机程序,当所述计算机程序运行时,使得所述计算机执行如权利要求1至30中任一项所述的方法。
34.一种计算机程序,其特征在于,所述计算机程序被通信装置执行时,实现如权利要求1至30中任一项所述的方法。
CN202211215255.0A 2022-09-30 2022-09-30 通信方法和通信装置 Pending CN117812574A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211215255.0A CN117812574A (zh) 2022-09-30 2022-09-30 通信方法和通信装置
PCT/CN2023/121659 WO2024067619A1 (zh) 2022-09-30 2023-09-26 通信方法和通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211215255.0A CN117812574A (zh) 2022-09-30 2022-09-30 通信方法和通信装置

Publications (1)

Publication Number Publication Date
CN117812574A true CN117812574A (zh) 2024-04-02

Family

ID=90420410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211215255.0A Pending CN117812574A (zh) 2022-09-30 2022-09-30 通信方法和通信装置

Country Status (2)

Country Link
CN (1) CN117812574A (zh)
WO (1) WO2024067619A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3659312B1 (en) * 2017-07-28 2023-04-12 Telefonaktiebolaget LM Ericsson (PUBL) Methods providing non-3gpp access using access network keys and related wireless terminals and network nodes
CN116866905A (zh) * 2017-09-27 2023-10-10 日本电气株式会社 通信终端和通信终端的方法
CN111447675B (zh) * 2019-01-17 2021-11-09 华为技术有限公司 通信方法和相关产品
US20230146052A1 (en) * 2020-04-03 2023-05-11 Lenovo (Singapore) Pte. Ltd. Relocating an access gateway
MX2022012349A (es) * 2020-04-03 2023-01-05 Lenovo Singapore Pte Ltd Reubicacion de una puerta de acceso.

Also Published As

Publication number Publication date
WO2024067619A1 (zh) 2024-04-04

Similar Documents

Publication Publication Date Title
KR102264718B1 (ko) 보안 구현 방법, 및 관련된 장치 및 시스템
US11082855B2 (en) Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile
US10454686B2 (en) Method, apparatus, and system for providing encryption or integrity protection in a wireless network
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
CN107018676B (zh) 用户设备与演进分组核心之间的相互认证
JP6823047B2 (ja) セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子
US20170171752A1 (en) Securing signaling interface between radio access network and a service management entity to support service slicing
WO2018170617A1 (zh) 一种基于非3gpp网络的入网认证方法、相关设备及系统
CN111818516B (zh) 认证方法、装置及设备
US20190274039A1 (en) Communication system, network apparatus, authentication method, communication terminal, and security apparatus
CN113676904B (zh) 切片认证方法及装置
CN115484595A (zh) 一种公私网业务的隔离方法、装置及系统
US20230292115A1 (en) Registering a user equipment to a communication network
CN114902789A (zh) 一种通信方法及装置
CN115706997A (zh) 授权验证的方法及装置
WO2024067619A1 (zh) 通信方法和通信装置
WO2024146582A1 (zh) 通信方法和通信装置
CN115915114A (zh) 注册方法及装置
CA3236441A1 (en) User equipment-to-network relay security for proximity based services
CA3228224A1 (en) Secure communication method and apparatus
CN116074828A (zh) 管理安全上下文的方法和装置
CN114765827A (zh) 一种安全保护方法、装置和系统
CN118317302A (zh) 鉴权方法及通信装置
CN116546490A (zh) 密钥生成方法及装置
CN117641311A (zh) 通信方法和通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination