CN117998353A - 通信方法和通信装置 - Google Patents

通信方法和通信装置 Download PDF

Info

Publication number
CN117998353A
CN117998353A CN202211379655.5A CN202211379655A CN117998353A CN 117998353 A CN117998353 A CN 117998353A CN 202211379655 A CN202211379655 A CN 202211379655A CN 117998353 A CN117998353 A CN 117998353A
Authority
CN
China
Prior art keywords
network element
remote
communication device
key
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211379655.5A
Other languages
English (en)
Inventor
刘文峰
李�赫
雷骜
吴义壮
郭涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202211379655.5A priority Critical patent/CN117998353A/zh
Priority to PCT/CN2023/129280 priority patent/WO2024094108A1/zh
Publication of CN117998353A publication Critical patent/CN117998353A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0433Key management protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例提供了一种通信方法和通信装置。该方法包括:第一通信装置确定是否需要更新第一远端用户密钥;且在确定不更新的情况下发起临近业务认证请求;认证服务器功能网元获取第一远端用户密钥和第一通信装置的用户永久标识符,并在确定第一通信装置具有使用中继服务的权限的情况下,生成第一邻近业务密钥,用于第一通信装置与第二通信装置的安全连接,以提供邻近业务。本申请增加第一远端用户密钥的更新机制,以及在确定不更新的情况下新增认证服务器功能网元,或者邻近业务锚点功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验。

Description

通信方法和通信装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种通信方法和通信装置。
背景技术
在通信系统,例如第五代(5th generation,5G)通信系统中,数据业务的普遍使用提高了用户对带宽的需求。示例性的,在临近业务(proximity based service,ProSe)控制面(control plane,CP)流程中,当用户处于网络覆盖之外,或者与网络间通信信号不好时,通过建立远端用户到中继用户到网络的通信方式,可以扩展支持远端用户获得网络服务。
为了保障网络安全,需要对接入网络的终端设备进行身份认证和授权,终端设备只有在通过了认证和授权后,才可以接入第三代合作伙伴计划(3rd generationpartnership project,3GPP)网络,并进一步请求建立协议数据单元(protocol dataunit,PDU)会话来访问数据网络(data network,DN)上的各种业务。
然而,远端用户到中继用户之间的通信存在一定的安全风险,可能导致密钥泄露、敏感信息遭到泄露、运行状态被恶意监控或篡改等。如何保证网络通信安全是当前需要解决的问题。
发明内容
本申请提供一种通信方法和通信装置,能够保证临近业务的网络通信安全。
第一方面,提供了一种通信方法,该方法可以由远端终端设备(例如Remote UE)执行,或者,也可以由用于Remote UE的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由Remote UE执行为例进行说明。
该方法包括:第一通信装置确定是否需要更新第一远端用户密钥;在确定需要更新第一远端用户密钥的情况下,第一通信装置通过第二通信装置向认证服务器功能网元发送临近业务认证请求消息,邻近业务认证请求消息包括第一通信装置的用户隐藏标识符和中继服务码,中继服务码指示第一通信装置与第二通信装置建立安全连接;第一通信装置生成第二远端用户密钥。
根据本申请提供的方案,增加第一通信装置执行第一远端用户密钥的更新机制,避免第一远端用户密钥由于长期使用导致的安全风险,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
结合第一方面,在第一方面的某些实现方式中,第一通信装置确定是否需要更新第一远端用户密钥,包括:第一通信装置根据本地策略,确定是否需要更新第一远端用户密钥。
结合第一方面,在第一方面的某些实现方式中,第一通信装置生成第二远端用户密钥,包括:第一通信装置根据第一通信装置的用户永久标识符,中继服务码和认证服务器功能网元的根密钥,生成第二远端用户密钥。
结合第一方面,在第一方面的某些实现方式中,在确定不需要更新第一远端用户密钥的情况下,第一通信装置通过第二通信装置向认证服务器功能网元发送临近业务认证请求消息,邻近业务认证请求消息包括第第一远端用户密钥的标识和中继服务码。
第二方面,提供了一种通信方法,该方法可以由远端终端设备的认证服务器功能(例如AUSF(Remote))网元执行,或者,也可以由用于AUSF(Remote)的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由AUSF(Remote)执行为例进行说明。
该方法包括:认证服务器功能网元获取第一通信装置的第一远端用户密钥;在确定第一通信装置具有使用中继服务的权限的情况下,认证服务器功能网元根据第一远端用户密钥,生成第一邻近业务密钥,第一邻近业务密钥用于第一通信装置与第二通信装置建立安全连接。
根据本申请提供的方案,基于继续使用第一远端用户密钥的情况下,新增认证服务器功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,进而生成第一第一邻近业务密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
结合第二方面,在第二方面的某些实现方式中,认证服务器功能网元获取第一远端用户密钥,包括:认证服务器功能网元通过第二通信装置接收来自第一通信装置的临近业务认证请求消息,邻近业务认证请求消息包括第一远端用户密钥的标识和中继服务码,中继服务码指示第一通信装置与第二通信装置建立安全连接;认证服务器功能网元向邻近业务锚点功能网元发送密钥查询请求消息,密钥查询请求消息包括第一远端用户密钥的标识和中继服务码;认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息,密钥查询响应消息包括第一远端用户密钥和第一通信装置的用户永久标识符。
结合第二方面,在第二方面的某些实现方式中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限。
结合第二方面,在第二方面的某些实现方式中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限,包括:认证服务器功能网元向统一数据管理网元发送授权检查请求消息,授权检查请求消息包括第一通信装置的用户永久标识符;认证服务器功能网元接收来自统一数据管理网元的授权检查响应消息,授权检查响应消息包括授权检查结果;认证服务器功能网元根据授权检查结果,确定第一通信装置是否具有使用中继服务的权限。
结合第二方面,在第二方面的某些实现方式中,认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息,包括:在邻近业务锚点功能网元确定第一通信装置具有使用中继服务的权限的情况下,认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息;认证服务器功能网元根据密钥查询响应消息中携带的第一远端用户密钥,确定第一通信装置具有使用中继服务的权限。
结合第二方面,在第二方面的某些实现方式中,在邻近业务锚点功能网元确定第一通信装置具有使用中继服务的权限的情况下,密钥查询响应消息还包括指示信息;认证服务器功能网元根据指示信息,确定第一通信装置具有使用中继服务的权限。
结合第二方面,在第二方面的某些实现方式中,在认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限之前,方法还包括:认证服务器功能网元确定是否需要更新第一远端用户密钥。
结合第二方面,在第二方面的某些实现方式中,邻近业务锚点功能网元确定是否需要更新第一远端用户密钥,包括:认证服务器功能网元根据本地策略,确定是否需要更新第一远端用户密钥。
结合第二方面,在第二方面的某些实现方式中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限,包括:在确定不需要更新第一远端用户密钥的情况下,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限。
考虑到当前ProSe控制面PC5安全连接建立过程中,生成的PC5安全密钥是长期使用的密钥,难以保障5GPRUK的使用安全,这可能带来网络安全隐患问题,例如密钥泄露、黑客攻击等。基于本申请技术方案提供的5GPRUK的更新机制,可以通过分别Remote UE、AUSF或者PAnF主动触发ProSe控制面5GPRUK密钥的更新,能够在保障D2D网络安全的同时,提升用户体验。
第三方面,提供了一种通信方法,该方法可以由远端终端设备的邻近业务锚点功能(例如PAnF(Remote))网元执行,或者,也可以由用于PAnF(Remote)的芯片或电路执行,本申请对此不作限定。为了便于描述,下面以由PAnF(Remote)执行为例进行说明。
该方法包括:邻近业务锚点功能网元获取第一通信装置的第一远端用户密钥;在确定第一通信装置具有使用中继服务的权限的情况下,邻近业务锚点功能网元向认证服务器功能网元发送第一远端用户密钥。
根据本申请提供的方案,基于获取第一远端用户密钥的情况下,新增邻近业务锚点功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,进而生成第一第一邻近业务密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元获取第一远端用户密钥,包括:邻近业务锚点功能网元接收来自认证服务器功能网元密钥查询请求消息,密钥查询请求消息包括第一远端用户密钥的标识和中继服务码;邻近业务锚点功能网元根据第一远端用户密钥的标识和中继服务码,本地查询得到第一远端用户密钥和第一通信装置的用户永久标识符。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限,包括:邻近业务锚点功能网元向统一数据管理网元发送授权检查请求消息,授权检查请求消息包括第一通信装置的用户永久标识符;邻近业务锚点功能网元接收来自统一数据管理网元的授权检查响应消息,授权检查响应消息包括授权检查结果;邻近业务锚点功能网元根据授权检查结果,确定第一通信装置是否具有使用中继服务的权限。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限,包括:邻近业务锚点功能网元根据第一通信装置的用户永久标识符,本地查询得到邻近业务授权信息;邻近业务锚点功能网元根据邻近业务授权信息,确定第一通信装置是否具有使用中继服务的权限。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元接收来自认证服务器功能网元的邻近业务授权信息。
结合第三方面,在第三方面的某些实现方式中,在邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限之前,方法还包括:邻近业务锚点功能网元确定是否需要更新第一远端用户密钥。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定是否需要更新第一远端用户密钥,包括:邻近业务锚点功能网元根据本地策略,确定是否需要更新第一远端用户密钥。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定是否需要更新第一远端用户密钥,包括:邻近业务锚点功能网元根据本地是否存储中继服务码,确定是否需要更新第一远端用户密钥。
结合第三方面,在第三方面的某些实现方式中,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限,包括:在确定不需要更新第一远端用户密钥的情况下,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由Remote UE判断是否更新5GPRUK#1,即新增由Remote UE触发的5GPURK更新流程,并通过发送SUCI指示更新5GPRUK。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5G Prose中继服务的权限检查,且在通过检查后才使用该5GPRUK#2,保障网络安全通信的同时提升用户体验。
第四方面,提供了一种通信方法,该方法包括:第一通信装置确定是否需要更新第一远端用户密钥;在确定不需要更新第一远端用户密钥的情况下,第一通信装置通过第二通信装置向认证服务器功能网元发送第一临近业务认证请求消息,第一邻近业务认证请求消息包括第一远端用户密钥的标识和中继服务码,中继服务码指示第一通信装置与第二通信装置建立安全连接;认证服务器功能网元接收来自第一通信装置的第一临近业务认证请求消息,且认证服务器功能网元根据第一远端用户密钥的标识,获取第一远端用户密钥和第一通信装置的用户永久标识符;在确定第一通信装置具有使用中继服务的权限的情况下,认证服务器功能网元根据第一远端用户密钥,生成第一邻近业务密钥,第一邻近业务密钥用于第一通信装置与第二通信装置建立安全连接。
根据本申请提供的方案,增加第一远端用户密钥的更新机制,以及在确定不更新的情况下新增认证服务器功能网元,或者邻近业务锚点功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验
结合第四方面,在第四方面的某些实现方式中,认证服务器功能网元根据第一远端用户密钥的标识,获取第一远端用户密钥和第一通信装置的用户永久标识符,包括:认证服务器功能网元向邻近业务锚点功能网元发送密钥查询请求消息,密钥查询请求消息包括第一远端用户密钥的标识和中继服务码;邻近业务锚点功能网元接收来自认证服务器功能网元的密钥查询请求消息,且邻近业务锚点功能网元根据第一远端用户密钥的标识和中继服务码,本地查询得到第一远端用户密钥和第一通信装置的用户永久标识符;邻近业务锚点功能网元向认证服务器功能网元发送密钥查询响应消息,密钥查询响应消息包括第一远端用户密钥和第一通信装置的用户永久标识符;认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息。
结合第四方面,在第四方面的某些实现方式中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限。
结合第四方面,在第四方面的某些实现方式中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限,包括:认证服务器功能网元向统一数据管理网元发送授权检查请求消息,授权检查请求消息包括第一通信装置的用户永久标识符;统一数据管理网元接收来自认证服务器功能网元的授权检查请求消息,且统一数据管理网元根据第一通信装置的用户永久标识符,对第一通信装置进行授权检查;统一数据管理网元向认证服务器功能网元发送授权检查响应消息,授权检查响应消息包括授权检查结果;认证服务器功能网元接收来自统一数据管理网元的授权检查响应消息,且认证服务器功能网元根据授权检查结果,确定第一通信装置是否具有使用中继服务的权限。
结合第四方面,在第四方面的某些实现方式中,第一通信装置的用户永久标识符,本地查询得到邻近业务授权信息;邻近业务锚点功能网元根据邻近业务授权信息,确定第一通信装置是否具有使用中继服务的权限。
结合第四方面,在第四方面的某些实现方式中,在邻近业务锚点功能网元向认证服务器功能网元发送密钥查询响应消息之前,方法还包括:邻近业务锚点功能网元向统一数据管理网元发送授权检查请求消息,授权检查请求消息包括第一通信装置的用户永久标识符;统一数据管理网元接收来自邻近业务锚点功能网元的授权检查请求消息,且统一数据管理网元根据第一通信装置的用户永久标识符,对第一通信装置进行授权检查;统一数据管理网元向邻近业务锚点功能网元发送授权检查响应消息,授权检查响应消息包括授权检查结果;邻近业务锚点功能网元接收来自统一数据管理网元的授权检查响应消息,且邻近业务锚点功能网元根据授权检查结果,确定第一通信装置是否具有使用中继服务的权限。
结合第四方面,在第四方面的某些实现方式中,邻近业务锚点功能网元向认证服务器功能网元发送密钥查询响应消息,包括:在确定第一通信装置具有使用中继服务的权限的情况下,邻近业务锚点功能网元向认证服务器功能网元发送密钥查询响应消息;认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息;
其中,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限,包括:认证服务器功能网元根据第一远端用户密钥,确定第一通信装置具有使用中继服务的权限。
结合第四方面,在第四方面的某些实现方式中,在确定需要更新第一远端用户密钥的情况下,第一通信装置通过第二通信装置向认证服务器功能网元发送第二临近业务认证请求消息,第二邻近业务认证请求消息包括第一通信装置的用户隐藏标识符和中继服务码;认证服务器功能网元接收来自第一通信装置的第二临近业务认证请求消息,且认证服务器功能网元根据第一通信装置的用户隐藏标识符,对第一通信装置进行临近业务认证;在确定临近业务认证通过的情况下,认证服务器功能网元生成第二远端用户密钥,且第一通信装置生成第二远端用户密钥。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由Remote UE判断是否更新5GPRUK#1,即新增由Remote UE触发的5GPURK更新流程,并通过发送SUCI指示更新5GPRUK。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5G Prose中继服务的权限检查,且在通过检查后才使用该5GPRUK#2,保障网络安全通信的同时提升用户体验。
第五方面,提供了一种第一通信装置,例如Remote UE。该装置包括:处理单元,用于确定是否需要更新第一远端用户密钥;在确定需要更新第一远端用户密钥的情况下,收发单元,用于通过第二通信装置向认证服务器功能网元发送临近业务认证请求消息,邻近业务认证请求消息包括第一通信装置的用户隐藏标识符和中继服务码,中继服务码指示第一通信装置与第二通信装置建立安全连接;处理单元,还用于在确定临近业务认证通过的情况下,第一通信装置生成第二远端用户密钥。
根据本申请提供的方案,增加第一通信装置执行第一远端用户密钥的更新机制,避免第一远端用户密钥由于长期使用导致的安全风险,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
该收发单元可以执行前述第一方面中的接收和发送的处理,处理单元可以执行前述第一方面中除了接收和发送之外的其他处理。
第六方面,提供了一种认证服务器功能网元,例如AUSF(Remote)。该网元包括:收发单元,用于获取第一通信装置的第一远端用户密钥,例如接收单元,用于接收来自邻近业务锚点功能网元的密钥查询响应消息,密钥查询响应消息包括第一远端用户密钥;在确定第一通信装置具有使用中继服务的权限的情况下,处理单元,用于根据第一远端用户密钥,生成第一邻近业务密钥,第一邻近业务密钥用于第一通信装置向第二通信装置建立安全连接。
根据本申请提供的方案,基于继续使用第一远端用户密钥的情况下,新增认证服务器功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,进而生成第一第一邻近业务密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
该收发单元可以执行前述第二方面中的接收和发送的处理,处理单元可以执行前述第二方面中除了接收和发送之外的其他处理。
第七方面,提供了一种邻近业务锚点功能网元,例如PAnF。该网元包括:处理单元,用于获取第一通信装置的第一远端用户密钥;在确定第一通信装置具有使用中继服务的权限的情况下,收发单元,用于向认证服务器功能网元发送第一远端用户密钥。
根据本申请提供的方案,基于获取第一远端用户密钥的情况下,新增邻近业务锚点功能网元对第一通信装置使用邻近业务的授权检查,只有在通过授权检查后才可以继续使用第一远端用户密钥,进而生成第一第一邻近业务密钥,在保障邻近业务控制面网络安全通信的同时,提升用户体验。
该收发单元可以执行前述第三方面中的接收和发送的处理,处理单元可以执行前述第三方面中除了接收和发送之外的其他处理。
第八方面,提供了一种通信装置,包括收发器、处理器和存储器,该处理器用于控制收发器收发信号,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得该通信装置执行上述第一方面至第四方面及其任一种可能实现方式中的方法。
可选地,所述处理器为一个或多个,所述存储器为一个或多个。
可选地,所述存储器可以与所述处理器集成在一起,或者所述存储器与处理器分离设置。
可选地,该通信装置还包括发射机(发射器)和接收机(接收器)。
第九方面,提供了一种通信系统,包括前述的第一通信装置(Remote UE),第二通信装置(Relay UE),认证服务器功能网元AUSF(Remote),邻近业务锚点功能网元PAnF(Remote)中的一个或多个。
第十方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序或代码,所述计算机程序或代码在计算机上运行时,使得所述计算机执行上述第一方面至第四方面及其任一种可能实现方式中的方法。
第十一方面,提供了一种芯片,包括至少一个处理器,所述至少一个处理器与存储器耦合,该存储器用于存储计算机程序,该处理器用于从存储器中调用并运行该计算机程序,使得安装有该芯片系统的通信装置执行上述第一方面至第四方面及其任一种可能实现方式中的方法。
其中,该芯片可以包括用于发送信息或数据的输入电路或者接口,以及用于接收信息或数据的输出电路或者接口。
第十二方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被通信装置运行时,使得所述通信装置执行上述第一方面至第四方面及其任一种可能实现方式中的方法。
附图说明
图1示出了本申请实施例适用的网络架构100的示意图。
图2示出了一种控制面的PC5安全建立流程200的示意图。
图3是本申请实施例提供的通信方法300的流程示例图。
图4是本申请实施例提供的通信方法400的流程示例图。
图5是本申请实施例提供的通信方法500的流程示例图。
图6是本申请实施例提供的通信方法600的流程示例图。
图7是本申请实施例提供的通信方法700的流程示例图。
图8是本申请实施例提供的通信装置1000的结构示意图。
图9是本申请实施例提供的通信装置2000的结构示意图。
图10是本申请实施例提供的芯片系统3000的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请提供的技术方案可以应用于各种通信系统,例如:新无线(new radio,NR)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency divisionduplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统等。本申请提供的技术方案还可以应用于设备到设备(device to device,D2D)通信,车到万物(vehicle-to-everything,V2X)通信,机器到机器(machine to machine,M2M)通信,机器类型通信(machine type communication,MTC),以及物联网(internet of things,IoT)通信系统或者其他通信系统。
在通信系统中,由运营者运营的部分可称为公共陆地移动网络(public landmobile network,PLMN),也可以称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobilenetwork operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN,具体可为符合第三代合作伙伴项目(3rd generation partnership project,3GPP)标准要求的网络,简称3GPP网络。3GPP网络通常包括但不限于5G网络、第四代移动通信(4th-generation,4G)网络,以及未来的其他通信系统,例如(6th-generation,6G)网络等。
为了方便描述,本申请实施例中将以5G网络为例进行说明。
图1示出了本申请实施例适用的网络架构100的示意图。如图1的(a)所示,该网络架构具体可以包括下列网元:
1、用户设备(user equipment,UE):可以称为终端设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、无人机、可穿戴设备,5G网络中的终端设备或演进的PLMN中的终端设备等,本申请实施例对此并不限定。UE可以通过Uu接口与下一代无线接入网(next generation radio access network,NG-RAN)设备相连,例如图1的(a)所示的UE#A和UE#D通过Uu接口与NG-RAN相连。
在与传统蜂窝网络通信相比,可以用于ProSe通信的UE需要有邻近业务应用(proximity-based services application,ProSe application)功能。两个具有邻近业务应用ProSe application功能的UE之间也可以通过PC5接口相连,例如图1的(a)所示的UE#A与UE#B通过PC5接口相连,UE#B与UE#C通过PC5接口相连,UE#A与UE#D通过PC5接口相连。
2、接入网(access network,AN):为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的接入网络技术包括:第三代(3rd generation,3G)系统中采用的无线接入网技术、4G系统中采用的无线接入网技术、或图1的(a)所示的NG-RAN技术(如5G系统中采用的无线接入技术)等。
基于无线通信技术实现接入网络功能的接入网可以称为无线接入网络(radioaccess network,RAN)。无线接入网能够管理无线资源,为终端提供接入服务,进而完成控制信号和用户数据在终端和核心网之间的转发。
无线接入网设备例如可以是基站(NodeB)、演进型基站(evolved NodeB,eNB或eNodeB)、5G移动通信系统中的下一代基站节点(next generation Node Base station,gNB)、为例移动通信系统中的基站或wifi无线热点(WiFi)系统中的接入点(access point,AP)等,还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该无线接入网设备可以为中继站、接入点、车载设备、无人机、可穿戴设备以及5G网络中的网络设备或者演进的PLMN中的网络设备等。本申请实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。
3、接入管理网元:主要用于移动性管理和接入管理、负责在用户设备与策略控制功能(policy control function,PCF)网元间传递用户策略等,可以用于实现移动性管理实体(mobility management entity,MME)功能中除会话管理之外的其他功能。接入授权(或鉴权)的功能。
接入和移动管理功能(access and mobility management function,AMF)网元与UE进行NAS连接。拥有与UE相同的5G NAS安全上下文。5G NAS安全上下文包括NAS层级密钥与其相同的密钥标识信息,UE安全能力,上下行NAS COUNT值。NAS层级密钥包括NAS加密密钥和NAS完整性保护密钥。分别用于NAS消息的机密性保护和完整性保护。
在5G通信系统中,接入管理网元可以是AMF网元。在未来通信系统中,接入管理网元仍可以是AMF网元,或者,还可以有其他的名称,本申请不做限定。
4、会话管理网元:主要用于会话管理、用户设备的网络互连协议(internetprotocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。
在5G通信系统中,会话管理网元可以会话管理功能(session managementfunction,SMF)网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其他的名称,本申请不做限定。
5、用户面网元:用于分组路由和转发、用户面数据的服务质量(quality ofservices,QoS)处理、完成用户面数据转发、基于会话/流级的计费统计,带宽限制等功能等。
在5G通信系统中,用户面网元可以是用户面功能(user plane function,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其他名称,本申请不做限定。
6、数据网络网元:用于提供传输数据的网络。
在5G通信系统中,数据网络网元可以是数据网络(data network,DN)网元。在未来通信系统中,数据网络网元仍可以是DN网元,或者,还可以有其他名称,本申请不做限定。
7、策略控制网元:用于指导网络行为的统一策略框架,为控制面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy andcharging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信系统中,该策略控制网元仍可以是PCF网元,或者,还可以有其他名称,本申请不做限定。
8、数据管理网元:用于处理用户设备标识,接入鉴权,注册以及移动性管理等。
在5G通信系统中,该数据管理网元可以是统一数据管理(unified datamanagement,UDM)网元;在4G通信系统中,该数据管理网元可以是归属用户服务器(homesubscriber serve,HSS)网元。在未来通信系统中,数据管理网元仍可以是UDM网元,或者,还可以有其他的名称,本申请不做限定。
9、数据存储库网元:用于负责签约数据、策略数据、应用数据等类型数据的存取功能。
在5G通信系统中,该数据存储库网元可以是统一数据存储库(unified datarepository,UDR)网元。在未来通信系统中,数据存储库网元仍可以是UDR网元,或者,还可以有其他的名称,本申请不做限定。
10、网络开放功能(network exposure function,NEF)实体:用于安全地向外部开放由3GPP网络功能提供的业务和能力等。
11、ProSe应用服务器(application server,AS):可以是DN的应用功能(application function,AF),也可以是提供ProSe服务的AS本身。具有ProSe应用服务器功能的AF具有23.501R-15版本中定义的AF的所有功能,以及具有用于ProSe业务的相关功能。也就是说,在用户面架构中,ProSe应用服务器与UE是通过UE-RAN-UPF-AF的路径进行用户面通信。ProSe应用服务器还可以在控制面架构中,通过NEF与5G核心网(5G core network,5GC)中的其他网络功能(network function,NF)进行通信。比如通过NEF与PCF通信。如果ProSe应用服务器是DN的AF,且该AF为5GC的运营商布置,则ProSe应用服务器还可在控制面架构中,不通过NEF与5GC中的其他NF进行直接通信,比如直接与PCF通信。
12、5G直连通信发现名称管理功能(direct discovery name managementfunction,DDNMF):具有为开放邻近业务发现(open ProSe discovery)分配和处理邻近业务应用标识(ProSe application identifier)和邻近业务应用代码(ProSe applicationcode)之间映射关系的作用。在受限邻近业务发现(restricted ProSe direct discovery)中,5G DDNMF可以通过PC2接口与邻近业务应用服务器通信,用于处理发现请求(discoveryrequest)的授权,也具有未分配和处理应用标识(application identifier)和受限邻近业务中使用的代码之间映射关系的作用,其中受限邻近业务中使用的代码包括受限邻近业务代码(ProSe restricted code)、邻近业务请求代码(ProSe query code)和邻近业务回复代码(ProSe response code)。
目前标准定义中,5G DDNMF是PLMN粒度的,即一个PLMN只有一个5G DDNMF。通过移动国家码(mobile country code,MCC)和移动网络码(mobile network code,MNC)可以唯一确定一个5G DDNMF。
13、认证服务器功能(authentication server function,AUSF):AUSF接收到签约用户发起的认证请求之后,可通过UDM中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM生成签约用户的认证和/或授权信息。AUSF可向签约用户反馈认证信息和/或授权信息。
14、邻近业务密钥管理功能(ProSe key management function,PKMF):可以负责为使用邻近业务的UE生成和分发PC5接口连接使用的密钥,UE需要通过控制面与PKMF进行交互以获取PC5接口使用的密钥。
15、邻近业务锚点功能网元(Prose Anchor Function,PAnF):用于存储UE的ProSe安全上下文,以及5GPRUK密钥,便于后续PAnF在接收到AUSF的密钥获取请求后,会基于5GPRUK ID检索关联的5GPRUK。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。上述网元或者功能可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作具体限定。
还应理解,上述图1的(a)所示的适用于本申请实施例的网络架构仅是一种举例说明,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
例如,在某些网络架构中,AMF、SMF网元、PCF网元以及UDM网元等网络功能网元实体都称为网络功能NF网元;或者,在另一些网络架构中,AMF,SMF网元,PCF网元,UDM网元等网元的集合都可以称为控制面功能网元。因为UE需要通过用户面与PKMF和DDNMF交互,因此PKMF和DDNMF等网元可以称为用户面网元。
在图1的(b)中,当远端终端设备(Remote UE)处于网络覆盖范围之外或者与接入网设备之间的信号质量不好(例如,低于预设门限)时,远端终端设备可以通过中继终端设备(Relay UE)进行辅助,通过远端终端设备与中继终端设备之间的通信,以及中继终端设备与接入网设备之间的通信来实现远端终端设备和接入网设备之间的通信。如图1的(b)所示,在用户面架构中,远端终端设备可以通过UE-RAN-UPF-AF的路径进行用户面通信,即远端终端设备可以通过中继终端设备实现与RAN的通信。
随着移动通信的高速发展,新业务类型,如视频业务、虚拟现实(virtualreality,VR)/增强现实(augmented reality,AR)等数据业务的普遍使用提高了用户对带宽的需求。D2D通信允许UE之间直接进行通信,可以在小区网络的控制下与小区用户共享频谱资源,有效地提高频谱资源的利用率。目前,D2D通信已经应用于4G和5G网络系统中,统称为邻近业务通信(proximity based service,ProSe)。
D2D通信包括一对多通信(One to many communication)以及一对一通信(One toone communication)。一对多通信对应于组播和广播通信,一对一通信对应于单播通信。在一对一通信中,若发送方UE与接收方UE在近距离范围内,通过相互发现后可以直接通信。在D2D通信中,UE之间通过PC5接口进行通信,可用于数据面和信令面的信息传输。
当UE处于网络覆盖之外或与RAN间通信信号不好时,远端UE(Remote UE)可以通过中继UE(Relay UE)进行辅助通信,即通过远端UE与中继UE间通信、中继UE与移动网络通信进而实现远端UE获得服务。通过建立远端UE到中继UE到网络的通信方式,可以扩展支持处在网络覆盖范围外UE到网络的通信。
下面,结合图2介绍一种Prose控制面(control plane,CP)的PC5安全建立流程200,其中,该CP流程指的是Remote UE通过Relay UE的NAS消息,获得用于与Relay UE建立PC5安全的密钥的过程。需要说明的是,在方法200的流程图中,AMF(Remote)指的是RemoteUE对应的AMF,该AMF也可以记作Remote AMF;类似地,AMF(Relay)指的是Relay UE对应的AMF,该AMF也可以记作Relay AMF,其余网元可以用类似的方式解释,这里不再一一说明。下面结合方法200中的各个步骤对CP流程进行示例性说明,未详尽说明的部分可参考现有协议。
S201,Remote UE注册到网络,并通过网络进行认证和授权。
其中,Remote UE可以从网络侧获取Remote UE的Prose参数,包括发现参数,接入Relay UE参数等。
S202,Relay UE注册到网络,并通过网络进行认证和授权。
S203,Remote UE和Relay UE互相发现。
示例性的,在Remote UE准备采用5G Prose中继服务模式接入网络的时候,首先要进行用户发现,即寻找可用的Relay UE。
S204,Remote UE向Relay UE发送直连通信请求消息;
对应的,Relay UE接收来自Remote UE的直连通信请求消息。
示例性的,直连通信请求消息可以是direct communication request消息。
其中,该直连通信请求消息用于请求建立安全Relay UE与Remote UE之间的PC5单播链路,该直连通信请求消息携带Remote UE的用户隐藏标识(subscription concealedidentifier,SUCI),或者远端用户密钥标识符(5G ProSe Remote User Key Identifier,5GPRUK ID),以及中继服务码(relay service code,RSC),随机数Nounce_1等。
具体地,5GPRUK ID是5G邻近业务远端用户密钥标识。SUCI是通过Remote UE的永久身份SUPI获得的。Remote UE的SUCI用于UDM获得Remote UE的真实身份SUPI。RSC用于Remote UE与Relay UE之间的互相发现,例如用于指示Relay UE可以为Remote UE提供的服务信息。同时,RSC还用于密钥生成根密钥。可选地,RSC是网络侧下发给Relay UE和RemoteUE的,或者RSC是来自于USIM卡的配置。Nounce_1用于生成子密钥。
需要说明的是,在本申请技术方案中,5GPRUK可以称为邻近业务远端用户密钥,也可以称为远端用户密钥,或者5GPRUK也可以称为CP-PRUK等,表示控制面的用于邻近业务的远端用户密钥,以上仅是示例性的名称,本申请对该密钥的具体名称不作限定。
需要说明的是,在现有方案中,该直连通信请求消息中携带SUCI,还是5GPRUK ID,取决于Remote UE本地是否拥有远端用户密钥5GPRUK。具体地,如果Remote UE存储有5GPRUK,则直连通信请求消息中包含5GPRUK ID;如果Remote UE没有存储5GPRUK,则直连通信请求消息中包含Remote UE的SUCI,用于指示创建密钥5GPRUK。
S205,Relay UE向AMF(Relay)发送中继密钥请求消息;
对应的,AMF(Relay)接收来自Relay UE的中继密钥请求消息。
示例性的,中继密钥请求消息可以是relay key request消息。
其中,该中继密钥请求消息为NAS消息。该AMF为Relay UE对应的AMF,或者说,该AMF是为Relay UE提供接入服务的AMF。该中继密钥请求消息包括Relay UE与AMF(Relay)之间的交互标识(transaction identifier),Remote UE的SUCI或5GPRUK ID,RSC,Nounce_1等。
S206,AMF(Relay)对Relay UE进行授权检查(Authorize relay UE)。
示例性的,AMF检查Relay UE是否被授权可以为Remote UE提供5G Prose中继服务;或者说,AMF检查Relay UE是否可以作为中继设备。如果是的话,则执行后续流程。
S207,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#1;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#1。
示例性的,Prose认证请求消息#1可以是Nausf_UEAuthentication_ProseAuthenticate Request消息。
其中,该AUSF与Remote UE对应,该Prose认证请求消息#1携带Remote UE的SUCI或者5GPRUK ID,RSC,Nounce_1等。
接下来,AUSF(Remote)根据接收到的Prose认证请求消息#1中携带的是Remote UE的SUCI,还是5GPRUK ID,来确定执行下列方式一还是方式二。即,在Prose认证请求消息#1携带Remote UE的SUCI的情况下,执行方式一,即执行步骤S208到步骤217;在Prose认证请求消息#1携带5GPRUK ID的情况下,执行方式二,即执行步骤S218和S219。进一步地,在执行方式一或方式二之后,AUSF再执行步骤S220。
方式一:
应理解,该方式表明Remote UE本地没有存储5GPRUK,因此网络侧需要对RemoteUE进行认证,并创建密钥5GPRUK。
S208,AUSF(Remote)通过UDM(Remote)获取认证向量(authentication vector,AV)。
示例性的,AUSF向UDM发送认证向量请求消息,以请求获取认证向量;对应的,UDM根据AUSF的请求向AUSF返回认证向量。应理解,认证向量是一个四元组,包括KAUSF_P
其中,AUSF与UDM之间的交互消息可以是Nudm_UEAuthentication_GetProseAV(AVrequied))
需要说明的是,在该步骤S208中,UDM(Remote)检查Remote UE是否被授权可以使用5G Prose中继服务。具体地,UDM(Remote)首先获得UE的永久身份SUPI,UDM根据SUPI对应的签约数据确定Remote UE是否有权限使用Prose业务。在Remote UE授权检查通过后,执行后续的ProSe认证流程。
另外,AUSF(Remote)将Remote UE的SUCI发送给UDM(Remote),UDM(Remote)将Remote UE的SUCI转换成Remote UE的SUPI,并将SUPI返回给AUSF(Remote)。
进一步地,AUSF(Remote)获取认证向量之后,触发Remote UE的Prose认证流程。即Remote UE通过Relay UE与AUSF(Remote)进行Prose认证。具体流程如步骤S209-S214所示,未详尽说明的部分可参考现有协议,这里不再赘述。
S209,AUSF(Remote)向AMF(Relay)发送Prose认证响应消息#1;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose认证响应消息#1。
示例性的,Prose认证响应消息#1可以是Nausf_UEAuthentication_ProseAuthenticate Response消息。
其中,该Prose认证响应消息#1包括EAP信息#1,EAP信息#1包括认证向量,用于请求对Remote UE进行Prose认证。
S210,AMF(Relay)向Relay UE发送中继认证请求消息;
对应的,Relay UE接收来自AMF(Relay)的中继认证请求消息。
示例性的,中继认证请求消息可以是Rely Auth Request消息。
其中,该中继认证请求消息为NAS消息。该中继认证请求消息包括EAP信息#1,以及Relay UE与AMF(Relay)之间的交互标识(transaction identifier)。
S211,Relay UE通过PC5接口向Remote UE发送EAP信息#1。
对应的,Remote UE接收来自Relay UE的EAP信息#1。
示例性的,Remote UE根据EAP信息#1,推演计算得到一个信息值。
S212,Remote UE通过PC5接口向Relay UE发送EAP信息#2;
对应的,Relay UE接收来自Remote UE的EAP信息#2。
其中,EAP信息#2响应于EAP信息#1。EAP信息#2包括信息值
S213,Relay UE向AMF(Relay)发送中继认证响应消息;
对应的,AMF(Relay)接收来自Relay UE的中继认证响应消息。
示例性的,中继认证响应消息可以是Rely Auth Response消息。
其中,该中继认证响应消息为NAS消息。该中继认证响应消息包括EAP信息#2,以及Relay UE与AMF(Relay)之间的交互标识(transaction identifier)。
S214,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#2;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#2。
示例性的,Prose认证请求消息#2可以是Nausf_UEAuthentication_ProseAuthenticate Request消息。
其中,该Prose认证请求消息#2包括EAP信息#2。
S215a,AUSF(Remote)生成5GPRUK和5GPRUK ID。
示例性的,AUSF(Remote)对EAP信息#2中携带的信息值进行验证,在鉴权成功的情况下,确定生成5GPRUK和5GPRUK ID。
具体地,AUSF(Remote)可以将RSC(参见步骤S207)、SUPI(参见步骤S208)和KAUSF_P(用于邻近业务的AUSF密钥)作为输入参数,推导生成5GPRUK和5GPRUK ID。
S215b,Remote UE生成5GPRUK和5GPRUK ID。
示例性的,Remote UE根据Remote UE的SUPI、自己生成的KAUSF_P、和随机数Nonce_1生成5GPRUK。这里不再过多赘述。
S216,AUSF(Remote)向PAnF(Remote)发送密钥存储请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥存储请求消息。
示例性的,密钥存储请求消息可以是Npanf_ProseKey_Register_Request消息。
其中,该密钥存储请求消息包括5GPRUK,5GPRUK ID,SUPI和RSC。
S217,PAnF(Remote)向AUSF(Remote)发送密钥存储响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥存储响应消息。
示例性的,密钥存储响应消息可以是Npanf_ProseKey_Register_Response消息。
方式二:
应理解,该方式表明Remote UE本地存储有远端用户密钥5GPRUK,因此网络侧无需重新对Remote UE进行认证,且无需创建密钥5GPRUK。
S218,AUSF(Remote)向PAnF(Remote)发送密钥查询请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥查询请求消息。
示例性的,密钥查询请求消息可以是Npanf_ProseKey_get_Request消息。
其中,该密钥查询消息包括5GPRUK ID和RSC。
S219,PAnF(Remote)向AUSF(Remote)发送密钥查询响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥查询响应消息。
示例性的,密钥查询响应消息可以是Npanf_ProseKey_get_Response消息。
其中,该密钥查询响应消息包括5GPRUK。
S220,AUSF(Remote)生成密钥KNR_ProSe
示例性的,AUSF(Remote)根据步骤S215a或者S219中获取的5GPRUK,以及随机生成的Nonce_2,UE侧发送的Nonce_1(参见步骤S207),推衍生成密钥KNR_ProSe
S221,AUSF(Remote)向AMF(Relay)发送Prose授权响应消息#2;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose授权响应消息#2。
示例性的,Prose授权响应消息#2可以是Nausf_UEAuthentication_ProseAuthenticate Response消息。
其中,该Prose授权响应消息#2包括KNR_ProSe,Nounce_2等。
可选地,在执行方式一的情况下,该Prose授权响应消息#2还包括EAP success。
S222,AMF(Relay)向Relay UE发送中继密钥响应消息;
对应的,Relay UE接收来自AMF(Relay)的中继密钥响应消息。
示例性的,中继密钥响应消息可以是Relay Key Response消息。
其中,该中继密钥响应消息包括KNR_ProSe,Nounce_2等。
可选地,在执行方式一的情况下,该中继密钥响应消息还包括EAP success。
S223,Relay UE保存KNR_ProSe,并向Remote UE发送直连安全模式命令消息;
对应的,Remote UE接收来自Relay UE的直连安全模式命令消息。
示例性的,直连安全模式命令消息可以是Direct Security mode command消息。
其中,该直连安全模式命令消息包括Nounce_2等。
可选地,在执行方式一的情况下,该直连安全模式命令消息还包括EAP success。
S224,Remote UE生成KNR_ProSe
具体实现方式与步骤S220类似,例如,Remote UE根据步骤S215b或者本地存储的5GPRUK,以及步骤S223接收到的Nonce_2,本地存储的Nonce_1,推衍生成密钥KNR_ProSe
S225,Remote UE向Relay UE发送直连安全模式完成消息;
对应的,Relay UE接收来自Remote UE的直连安全模式完成消息。
示例性的,直连安全模式完成消息可以是Direct Security Complete消息。
其中,该直连安全模式完成消息用于指示Remote UE与Relay UE之间的安全环境构建完成。
S226,Relay UE向Remote UE发送直连通信接受消息;
对应的,Remote UE接收来自Relay UE的直连通信接受消息。
示例性的,直连通信接受消息可以是Direct Communication Accept消息。
也就是说,根据上述步骤S223-S226,Remote UE和Relay UE之间交互推衍KNR_ProSe,Krelay-sess,Krelay-enc等参数,并启动直接通信安全模式。在确认启动直接通信安全模式后,Relay UE向Remote UE回复直接通信接受消息,完成Remote UE和Relay UE之间的PC5安全连接建立过程。此后,Remote UE即可以通过Relay UE接入数据网中。
基于上述方法200,即Remote UE和Relay UE通过ProSe控制面PC5安全连接建立流程获得PC5安全密钥,使得Remote UE和Relay UE之间可以进行安全通信,有效提高频谱资源的利用率。
然而,在上述步骤S204中携带5GPRUK ID时,AUSF(Remote)直接向PAnF(Remote)查询5GPRUK,缺乏对Remote UE是否仍然具有使用5G Prose中继服务的权限,若此时RemoteUE由于自身原因或其他原因而不再具备使用5G Prose中继服务的权限,而继续执行后续过程,将无法保障网络安全。
有鉴于此,本申请提供一种通信方法和通信装置,针对ProSe控制面PC5安全连接建立过程,AUSF(Remote)在接收到5GPRUK ID时,增加了对Remote UE是否仍然具有5GProse中继服务权限的检查,并且只有在通过检查后,PC5安全连接建立过程才可以继续使用该5GPRUK,能够在保障PC5网络安全通信的同时,提升用户体验。
为了便于理解本申请实施例,作出以下几点说明:
第一,在本申请中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
第二,在本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b和c中的至少一项(个),可以表示:a,或,b,或,c,或,a和b,或,a和c,或,b和c,或,a、b和c。其中a、b和c分别可以是单个,也可以是多个。
第三,在本申请中,“第一”、“第二”以及各种数字编号(例如,#1、#2等)指示为了描述方便进行的区分,并不用来限制本申请实施例的范围。例如,区分不同的消息等,而不是用于描述特定的顺序或先后次序。应理解,这样描述的对象在适当情况下可以互换,以便能够描述本申请的实施例以外的方案。需要说明的是,本申请实施例中每个步骤的数字仅是一种编号,不代表执行的先后顺序,具体执行先后顺序以用文字说明。
第四,在本申请中,“当……时”、“在……的情况下”以及“如果”等描述均指在某种客观情况下设备会做出相应的处理,并非是限定时间,且也不要求设备在实现时一定要有判断的动作,也不意味着存在其它限定。
第五,在本申请中,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
第六,在本申请中,“用于指示”可以包括用于直接指示和用于间接指示。当描述某一指示信息用于指示A时,可以包括该指示信息直接指示A或间接指示A,而并不代表该指示信息中一定携带有A。
本申请涉及的指示方式应理解为涵盖可以使得待指示方获知待指示信息的各种方法。待指示信息可以作为整体一起发送,也可以分成多个子信息分开发送,而且这些子信息的发送周期和/或发送时机可以相同,也可以不同,本申请对具体的发送方法不作限定。
本申请中的“指示信息”可以是显式指示,即通过信令直接指示,或者根据信令指示的参数,结合其他规则或结合其他参数或通过推导获得。也可以是隐式指示,即根据规则或关系,或根据其他参数,或推导获得。本申请对此不作具体限定。
第七,在本申请中,“协议”可以是指通信领域的标准协议,例如可以包括5G协议、NR协议以及应用于未来的通信系统中的相关协议,本申请对此不做限定。“预配置”可以包括预先定义。例如,协议定义。其中,“预先定义”可以通过在设备中预先保存相应的代码、表格或其他可用于指示相关信息的方式来实现,本申请对于其具体的实现方式不做限定。
第八,在本申请中,“存储”可以是指保存在一个或者多个存储器中。所述一个或者多个存储器可以是单独的设置,也可以是集成在编码器或者译码器、处理器、或通信装置中。所述一个或者多个存储器,也可以是一部分单独设置,一部分集成在译码器、处理器、或通信装置中。存储器的类型可以是任意形式的存储介质,本申请并不对此限定。
第九,在本申请中,“通信”还可以描述为“数据传输”、“信息传输”、“数据处理”等。“传输”包括“发送”和“接收”,本申请对此不作限定。
第十,在本申请中,说明书附图中的虚线表示可选步骤。
下面将结合附图详细说明本申请提供的技术方案。
首先,对本申请涉及的执行主体进行示例性说明,例如第一通信装置可以是Remote UE,第二通信装置可以是Relay UE,认证服务器功能网元可以是AUSF(Remote),邻近业务锚点功能网元可以是PAnF(Remote),统一数据管理网元可以是是UDM(Remote)等。第一远端用户密钥可以是5GPRUK#1,第一远端用户密钥的标识可以是5GPRUK ID#1,第二远端用户密钥可以是5GPRUK#2,第二远端用户密钥的标识可以是5GPRUK ID#2,中继服务码可以是RSC,用户永久标识符可以称为订阅用户永久标识符SUPI,第一邻近业务用户密钥可以是KNR_Prose,是根据第一远端用户密钥5GPRUK#1生成的,与第一远端用户密钥5GPRUK#1对应,等等。
图3是本申请实施例提供的通信方法300的流程示例图。该方法300可应用于图1的给出的网络架构。如图3所示,该方法包括如下多个步骤。
S301,第一通信装置确定是否需要更新第一远端用户密钥;
在一种可能的实现方式中,第一通信装置根据本地策略判断是否需要更新5GPRUK#1。比如,本地策略是一个本地计时器,当计时器到期或者归零后,第一通信装置需要更新5GPRUK#1。再比如,本地策略为:当中继服务码RSC相关配置改变时,则第一通信装置需要更新5GPRUK#1。其中,RSC相关配置可以来自于网络侧,RSC相关配置比如可以是QoS信息等内容。应理解,RSC是与远端用户密钥5GPRUK对应的。
在另一种可能的实现方式中,第一通信装置在本地存储有5GPRUK#1的情况下,Remote UE根据从网络侧接收到的安全策略,以及第一通信装置的本地信息(例如,位置信息、Cell ID信息和PLMN信息),判断是否需要更新本地存储的5GPRUK#1,即是否需要重新生成5GPRUK#2。
在又一种可能的实现方式中,在第一通信装置从网络侧接收到RSC相关配置时,则需要删除旧密钥5GPRUK#1对应的RSC的相关配置内容,进而使得第一通信装置删除5GPRUK#1,或者将5GPRUK#1设置为无效。例如,当第一通信装置确定5GPRUK#1设置为无效时,则确定更新5GPRUK#1。需要说明的是,第一通信装置因为RSC相关的配置更新导致5GPRUK#1删除,也可以认为是一种更新密钥的判断方式。
也就是说,基于上述判断过程,如果第一通信装置确定不需要重新生成5GPRUK#2,则第一通信装置继续使用旧的5GPRUK#1,那么在步骤S302中携带5GPRUK ID#1;如果第一通信装置确定需要更新5GPRUK#1,则第一通信装置在步骤S302中携带SUCI,或者携带5GPRUK#1和密钥更新指示。
接下来,具体以第一通信装置确定不需要更新5GPRUK#1的情况进行具体说明,针对需要更新5GPRUK#1的情况,这里不过多赘述,具体可参见下面方法400的相关描述。
S302,第一通信装置(Remote UE)通过第二通信装置(Relay UE)向认证服务器功能网元(AUSF)发送第一临近业务认证请求消息。
对应的,认证服务器功能网元通过第二通信装置接收来自第一通信装置的第一临近业务认证请求消息。
示例性的,在确定不需要更新第一远端用户密钥的情况下,第一通信装置通过第二通信装置向认证服务器功能网元发送第一临近业务认证请求消息;第一邻近业务认证请求消息包括第一远端用户密钥的标识5GPRUK ID#1和中继服务码RSC。
S303,认证服务器功能网元获取第一通信装置的第一远端用户密钥。
在一种可能的实现方式中,认证服务器功能网元从邻近业务锚点功能网元获取第一通信装置的第一远端用户密钥,即执行步骤S3031-S032。
S3031,认证服务器功能网元向邻近业务锚点功能网元发送密钥查询请求消息;
对应的,邻近业务锚点功能网元接收来自认证服务器功能网元的密钥查询请求消息。
其中,密钥查询请求消息包括步骤S302携带的第一远端用户密钥的标识和中继服务码。
S3032,认证服务器功能网元接收来自邻近业务锚点功能网元的密钥查询响应消息。
需要说明的是,该密钥查询响应消息是否携带5GPRUK#1,以及,该密钥查询响应消息否还携带SUPI,取决于PAnF是否执行授权检查,以及授权检查的结果。例如,PAnF不执行授权检查,则携带5GPRUK#1和SUPI;若PAnF执行授权检查,且检查通过则携带5GPRUK#1;若PAnF执行授权检查,且检查不通过,则不携带5GPRUK#1和SUPI;若PAnF不执行授权检查,且PAnF确定更新密钥5GPRUK#1,则携带SUPI。具体参见下面描述。
可选地,在执行步骤S3032之前,还可以包括:
S304,邻近业务锚点功能网元确定第一通信装置是否具有使用中继服务的权限。具体包括但不限于如下两种实现方式:
在一种可能的实现方式中,在邻近业务锚点功能网元没有存储5GProse业务授权信息的情况下,邻近业务锚点功能网元可以根据步骤S3031中的5GPRUKID#1本地查询得到第一通信装置的5GPRUK#1和SUPI,进一步地,邻近业务锚点功能网元还可以执行步骤S3041和S3042,即邻近业务锚点功能网元向统一数据管理网元请求对第一通信装置进行授权检查。
S3041,邻近业务锚点功能网元向统一数据管理网元发送授权检查请求消息;
对应的,统一数据管理网元接收来自邻近业务锚点功能网元的授权检查请求消息。
其中,授权检查请求消息包括第一通信装置的用户永久标识符,第一通信装置的SUPI。可选地,该授权检查请求消息还可以携带RSC。
具体的,统一数据管理网元接收第一通信装置的用户永久标识符(例如,订阅永久标识符SUPI)之后,检查第一通信装置是否有权限使用5G Prose业务。示例性的,统一数据管理网元根据第一通信装置的SUPI对应的签约数据,确定第一通信装置是否有权限使用Prose业务。可选地,在授权检查请求消息携带RSC的情况下,统一数据管理网元根据SUPI对应的签约数据,确定第一通信装置是否有权限使用该RSC对应的5GProse业务。例如,统一数据管理网元根据服务化操作确定用于请求对第一通信装置进行授权检查。再例如,统一数据管理网元根据服务化操作中的指示信息确定用于请求对第一通信装置进行授权检查。
S3042,统一数据管理网元向邻近业务锚点功能网元发送授权检查响应消息;
对应的,邻近业务锚点功能网元接收来自统一数据管理网元的授权检查响应消息。
其中,授权检查响应消息中携带授权结果。
示例性的,该授权检查响应消息中的授权结果包括success或者failure,用于指示第一通信装置授权检查是否通过。应理解,只有在第一通信装置授权检查通过的情况下,执行步骤S3042,此时密钥查询响应消息携带第一远端用户密钥。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
在另一种可能的实现方式中,邻近业务锚点功能网元根据第一通信装置的订阅永久标识符,本地查询得到邻近业务授权信息;邻近业务锚点功能网元根据邻近业务授权信息,确定第一通信装置是否具有使用中继服务的权限。
也就是说,在邻近业务锚点功能网元存储有5GProse业务授权信息的情况下,邻近业务锚点功能网元基于步骤S3031中的5GPRUK ID#1和RSC,本地查询得到第一通信装置的5GPRUK#1和SUPI,并基于SUPI查询本地存储的5GProse业务授权信息,使用该5GProse业务授权信息对第一通信装置进行授权检查,以确认该第一通信装置是否有权限使用5G Prose业务,也就是RSC对应的中继服务。进一步地,在邻近业务锚点功能网元确定第一通信装置授权成功的情况下,执行步骤S3032,此时密钥查询响应消息携带5GPRUK#1;在邻近业务锚点功能网元确定第一通信装置授权失败的情况下,执行步骤S3032,此时密钥查询响应消息中携带指示信息,例如403原因值,用于表征授权检查失败结果。
需要说明的是,邻近业务锚点功能网元本地存储的5GProse业务授权信息可以是来自于认证服务器功能网元。比如,在第一通信装置获取5GPRUK#1的过程中,例如在方法200的步骤S208中,统一数据管理网元还可以向认证服务器功能网元发送第一通信装置对应的5GProse业务授权信息,包括但不限于:5GProse业务授权信息的签约数据,或者授权结果,或者授权指示信息。进一步地,在方法200的步骤S216中密钥存储请求消息中还携带该5GProse业务授权信息。对应的,邻近业务锚点功能网元在收到该5GProse业务授权信息后,存储该5GProse业务授权信息。
在又一种可能的实现方式中,在邻近业务锚点功能网元没有存储5GProse业务授权信息的情况下,邻近业务锚点功能网元可以根据步骤S3031中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,则步骤S3042的密钥查询响应消息包括5GPRUK#1和SUPI。此时,该SUPI可以作为输入参数,用于认证服务器功能网元向统一数据管理网元请求对Remote UE进行授权检查,即执行步骤S3051和S3052。
可选地,认证服务器功能网元向邻近业务锚点功能网元发送第一通信装置的SUPI查询消息,邻近业务锚点功能网元本地查询后,向认证服务器功能网元返回第一通信装置的SUPI。本申请中,SUPI查询消息可以和S410中的密钥查询请求消息解耦使用,本申请对此不作具体限定。
可选地,在执行步骤S303之后,还可以包括:
S305,认证服务器功能网元确定第一通信装置是否具有使用中继服务的权限。具体包括但不限于如下实现方式:
在一种可能的实现方式中,
S3051,认证服务器功能网元向统一数据管理网元发送授权检查请求消息;
对应的,统一数据管理网元接收来自认证服务器功能网元的授权检查请求消息。
其中,授权检查请求消息包括第一通信装置的订阅永久标识符。可选地,该授权检查请求消息还包括RSC。
示例性的,授权检查请求消息可以是Nudm_UEAuthorization_ProseCheckRequest消息,本申请对此不作具体限定。
S3052,统一数据管理网元向认证服务器功能网元发送授权检查响应消息。
对应的,认证服务器功能网元接收来自统一数据管理网元的授权检查响应消息。
具体地,在统一数据管理网元向认证服务器功能网元发送授权检查响应消息之前,需要检查第一通信装置是否有权限使用5GProse业务。
示例性的,统一数据管理网元根据定第一通信装置的订阅永久标识符对应的签约数据,确定第一通信装置是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,统一数据管理网元根据订阅永久标识符对应的签约数据,确定第一通信装置是否有权限使用该RSC对应的5G Prose业务。
在一种可能的实现方式中,统一数据管理网元根据服务化操作确定用于请求对第一通信装置进行授权检查。
在另一种可能的实现方式中,统一数据管理网元根据服务化操作中的指示信息确定用于请求对第一通信装置进行授权检查。
示例性的,授权检查响应消息可以是Nudm_UEAuthorization_ProseCheckResponse消息,本申请对此不作具体限定。
其中,授权检查响应消息包括授权检查结果,包括success或者failure,用于指示第一通信装置授权检查是否通过。应理解,只有在第一通信装置授权检查通过的情况下,执行下列步骤S425。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
此时,认证服务器功能网元根据授权检查结果,确定第一通信装置是否具有使用中继服务的权限。
需要说明的是,上述判断第一通信装置是否具有使用中继服务的权限的步骤S304-S3042和S305-S3052是择一执行的。在执行S304-S3042的情况下,认证服务器功能网元在收到第一远端用户密钥的情况下,确定第一通信装置是具有使用中继服务的权限。并且在S304-S2042的方法中,用户订阅永久标识符可以不携带在S3032消息中。
S306,在确定第一通信装置具有使用中继服务的权限的情况下,认证服务器功能网元根据第一远端用户密钥,生成第一邻近业务密钥,第一邻近业务密钥用于第一通信装置与第二通信装置建立安全连接。
S307,第一通信装置生成第一邻近业务密钥。
其中,步骤S306中认证服务器功能网元,以及步骤S307中第一通信装置生成第一邻近业务密钥的实现方式,可参考上述方法200的步骤S220和S224,为了简洁,此处不再赘述。
本申请提供的方案,针对ProSe控制面PC5安全连接建立过程,增加第一通信装置判断第一远端用户密钥更新的机制,以及在确定不更新的情况下新增认证服务器功能网元,或者邻近业务锚点功能网元对第一通信装置使用ProSe邻近业务的权限检查,并且只有在通过检查后,PC5安全连接建立过程才可以继续使用该5GPRUK,能够在保障PC5网络安全通信的同时,提升用户体验。
考虑到当前ProSe控制面PC5安全连接建立过程中,生成的PC5安全密钥是长期使用的密钥,难以保障5GPRUK的使用安全,这可能带来网络安全隐患问题,例如密钥泄露、黑客攻击等。因此,本申请技术方案提供一种5GPRUK的更新机制,通过分别Remote UE、AUSF或者PAnF主动触发ProSe控制面5GPRUK密钥的更新,能够在保障D2D网络安全的同时,提升用户体验。
接下来,以第一通信装置为Remote UE,第二通信装置为Relay UE,认证服务器功能网元为AUSF(Remote),统一数据管理网元为UDM,邻近业务锚点功能网元为PAnF(Remote)为例,结合图4至图7分别针对控制面建立的PC5安全连接中使用的5GPURK密钥更新机制,进行具体说明。
需要说明的是,在本申请实施例中,在Remote UE本地存储有旧密钥5GPRUK的情况下,重新生成新的远端用户密钥5GPRUK,并删除本地旧密钥以及存储新密钥,称为“更新密钥”;在Remote UE本地未存储有5GPRUK的情况下,需要生成密钥5GPRUK,称为“创建密钥”。二者的区别在于前者是在有存储旧密钥的情况下重新获得新密钥,后者是在没有任何密钥的情况下获得密钥。进一步地,通过新生成的远端用户密钥5GPRUK,生成KNR_Prose,以完成Remote UE和Relay UE之间的PC5安全建立连接。
为便于区分,本申请将更新前的5GPRUK和5GPRUK ID记作5GPRUK#1和5GPRUK ID#1,将更新后的(或者说新生成的)5GPRUK和5GPRUK ID记作5GPRUK#2和5GPRUK ID#2,另外为了便于表述,本申请将“创建密钥”后的5GPRUK和5GPRUK ID,也记作5GPRUK#2和5GPRUK ID#2,以下相关部分不再重复赘述。
图4是本申请实施例提供的通信方法400的流程示例图。该方法是由Remote UE判断是否需要更新5GPRUK#1,并触发更新机制的方案。同时,在确定继续使用5GPRUK#1的情况下,新增对Remote UE的5G Prose中继服务的权限检查。如图4所示,该方法包括如下多个步骤。
S401,Remote UE注册到网络,并通过网络进行认证和授权。
其中,Remote UE从网络侧获取Remote UE的Prose参数,包括发现参数、接入RelayUE参数等。
S402,Relay UE注册到网络,并通过网络进行认证和授权。
S403,Remote UE和Relay UE互相发现。
需要说明的是,上述步骤S401-S403的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S201-S203,为了简洁,此处不再赘述。
S404,Remote UE判断是否需要更新5GPRUK#1。
在该实现方式中,Remote UE首先需要本地查询是否存储5GPRUK#1,并在确定存储有5GPRUK#1的情况下,进一步判断是否需要更新5GPRUK#1,并在确定需要更新5GPRUK#1的情况下,重新生成5GPRUK#2。
在一种可能的实现方式中,Remote UE根据本地策略判断是否需要更新5GPRUK#1。比如,本地策略是一个本地计时器,当计时器到期或者归零后,Remote UE需要更新5GPRUK#1。再比如,本地策略为:当RSC相关配置改变时,则Remote UE需要更新5GPRUK#1。其中,RSC相关配置可以来自于网络侧,RSC相关配置比如可以是QoS信息等内容。应理解,RSC是与远端用户密钥5GPRUK对应的。
在另一种可能的实现方式中,在Remote UE本地存储有5GPRUK#1的情况下,RemoteUE根据从网络侧接收到的安全策略,以及Remote UE的本地信息(例如,位置信息、Cell ID信息和PLMN信息),判断是否需要更新本地存储的5GPRUK#1,即是否需要重新生成5GPRUK#2。
示例性的,安全策略用于指示:当Remote UE的位置信息、PLMN信息、或者Cell ID信息中的一项或者多项发生变化时,则Remote UE是否需要更新本地存储的5GPRUK#1。比如,当UE更换Cell ID时,需要更新5GPRUK#1;再比如,当Relay UE的PLMN信息改变时,不需要更新密钥。
在又一种可能的实现方式中,在Remote UE从网络侧收到RSC相关配置时,则需要删除旧密钥5GPRUK#1对应的RSC的相关配置内容,进而使得Remote UE删除5GPRUK#1,或者将5GPRUK#1设置为无效。例如,当Remote UE确定5GPRUK#1设置为无效时,则确定更新5GPRUK#1。需要说明的是,上述Remote UE因为RSC相关的配置更新导致5GPRUK#1删除,也可以认为是一种更新密钥的判断方式。区别在于,该方法是“非实时”的,即删除5GPRUK#1的时候Remote UE可能没有与Relay UE建立连接,那么因为密钥删除,导致之后Remote UE使用RSC与Relay UE建立连接的时候没有密钥可以用,不得不发送SUCI以获取新密钥。而其他可能的实现方法可能是“实时”的,即Remote UE在每次建立新连接的时候进行的判断。
也就是说,基于上述判断过程,如果Remote UE确定不需要重新生成5GPRUK#2,则Remote UE继续使用旧的5GPRUK#1,那么在步骤S405中携带5GPRUK ID#1;如果Remote UE确定需要更新5GPRUK#1,则Remote UE在步骤S405中携带SUCI。
S405,Remote UE向Relay UE发送直连通信请求消息;
对应的,Relay UE接收来自Remote UE的直连通信请求消息。
其中,该直连通信请求消息携带Remote UE的SUCI或者5GPRUK ID#1,以及RSC,Nounce_1等。
示例性的,基于上述步骤S404,若Remote UE确定需要更新5GPRUK#1,则该直连通信请求消息中携带SUCI;若Remote UE确定不需要更新5GPRUK#1,则该直连通信请求消息中携带5GPRUK ID#1。
S406,Relay UE向AMF(Relay)发送中继密钥请求消息;
对应的,AMF(Relay)接收来自Relay UE的中继密钥请求消息。
其中,该中继密钥请求消息为NAS消息,该中继密钥请求消息包括Remote UE的SUCI或者5GPRUK ID#1,RSC,Nounce_1,以及transaction identifier等。
S407,AMF(Relay)对Relay UE进行授权检查。
S408,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#1;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#1。
其中,该Prose认证请求消息#1携带Remote UE的SUCI或者5GPRUK ID#1,RSC,Nounce_1等。
需要说明的是,上述步骤S405-S408的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S204-S207,为了简洁,此处不再赘述。
S409,AUSF(Remote)确定执行方式一或者方式二。
可选地,AUSF(Remote)根据Prose认证请求消息#1中携带的5GPRUK ID#1,确定执行方式一;或者,AUSF(Remote)根据Prose认证请求消息#1中携带SUCI,确定执行方式二。基于方式一或者方式二执行完成后,AUSF再执行后续步骤S425-S431。
方式一:
S410,AUSF(Remote)向PAnF(Remote)发送密钥查询请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥查询请求消息。
其中,该密钥查询消息包括5GPRUK ID#1和RSC。
S411,PAnF(Remote)向AUSF(Remote)发送密钥查询响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥查询响应消息。
可选地,在执行步骤S411前,PAnF可以确定是否对Remote UE进行授权检查,以及PAnF如何对Remote UE进行授权检查。
在一种可能的实现方式中,在执行步骤S411前,在PAnF存储有5GProse业务授权信息的情况下,PAnF基于步骤S410中的5GPRUK ID#1和RSC,本地查询得到Remote UE的5GPRUK#1和SUPI,并基于SUPI查询本地存储的5GProse业务授权信息,使用该5GProse业务授权信息对Remote UE进行授权检查,以确认该Remote UE是否有权限使用5G Prose业务,也就是RSC对应的中继服务。进一步地,在PAnF确定Remote UE授权成功的情况下,执行步骤S411,此时密钥查询响应消息携带5GPRUK#1;在PAnF确定Remote UE授权失败的情况下,执行步骤S411,此时密钥查询响应消息中携带指示信息,例如403原因值,用于表征授权检查失败结果。
需要说明的是,PAnF本地存储的5GProse业务授权信息可以是来自于AUSF。比如,在Remote UE获取5GPRUK#1的过程中,例如在方法200的步骤S208中,UDM还可以向AUSF发送Remote UE对应的5GProse业务授权信息,包括但不限于:5GProse业务授权信息的签约数据,或者授权结果,或者授权指示信息。进一步地,在方法200的步骤S216中密钥存储请求消息中还携带该5GProse业务授权信息。对应的,PAnF在收到该5GProse业务授权信息后,存储该5GProse业务授权信息。
在另一种可能的实现方式中,在执行步骤S411前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据步骤S410中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,则步骤S411中的密钥查询响应消息包括5GPRUK#1和SUPI。此时,该SUPI可以作为输入参数,用于AUSF向UDM请求对Remote UE进行授权检查,即执行步骤S412和S413。
可选地,AUSF(Remote)向PAnF(Remote)发送Remote UE的SUPI查询消息,PAnF(Remote)本地查询后,向AUSF(Remote)返回Remote UE的SUPI。应理解,该Remote UE的SUPI用于后续步骤S412的输入参数。本申请中,SUPI查询消息可以和S410中的密钥查询请求消息解耦使用,本申请对此不作具体限定。
在又一种可能的实现方式中,在执行步骤S411前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据步骤S410中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,并且进一步地,PAnF还可以执行步骤S4110和S4112,即PAnF向UDM请求对Remote UE进行授权检查。
S4110,PAnF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自PAnF(Remote)的授权检查请求消息。
其中,该授权检查请求消息中携带Remote UE的SUPI。
可选地,该授权检查请求消息还可以携带RSC。
S4111,UDM检查Remote UE是否有权限使用5G Prose业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5GProse业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
S4112,UDM(Remote)向PAnF(Remote)发送授权检查响应消息;
对应的,PAnF(Remote)接收来自UDM(Remote)的授权检查响应消息。
其中,授权检查响应消息中携带授权结果。
示例性的,该授权检查响应消息中的授权结果包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行步骤S411。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
需要特别指出的是,上述步骤S4110-S4112是PAnF向UDM请求对Remote UE进行授权校验的过程。当该过程执行的时候,步骤S412和步骤S413不需要执行。在步骤S4110-S4112执行的情况下,步骤S411可以不携带SUPI。AUSF根据消息S411中携带5GPRUK#1确定UE有权使用5G Prose业务。在该过程不执行的时候,步骤S412和步骤S413需要执行。
S412,AUSF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自AUSF(Remote)的授权检查请求消息。
其中,该授权检查请求消息用于请求UDM(Remote)检查Remote UE是否被授权可以使用5G Prose中继服务,该授权检查请求消息包括Remote UE的SUPI。可选地,该授权检查请求消息还包括RSC。
示例性的,授权检查请求消息可以是Nudm_UEAuthorization_ProseCheckRequest消息,本申请对此不作具体限定。
S413,UDM(Remote)向AUSF(Remote)发送授权检查响应消息;
对应的,AUSF(Remote)接收来自UDM(Remote)的授权检查响应消息。
具体地,在UDM(Remote)向AUSF(Remote)发送授权检查响应消息之前,UDM检查Remote UE是否有权限使用5GProse业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5G Prose业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
其中,该授权检查响应消息包括授权结果,包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行下列步骤S425。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
示例性的,授权检查响应消息可以是Nudm_UEAuthorization_ProseCheckResponse消息,本申请对此不作具体限定。
方式二:
S414,AUSF(Remote)通过UDM(Remote)获取认证向量。
示例性的,AUSF将S408中Prose认证请求消息#1中携带的SUCI作为输入参数,向UDM发送认证向量请求消息,以请求获取认证向量;对应的,UDM根据AUSF的请求向AUSF返回认证向量和Remote UE的SUPI。其中,认证向量中携带KAUSF_P,Remote UE的SUPI可以作为步骤S421a生成5GPRUK ID#2的输入参数。
在该步骤中,UDM(Remote)需要检查Remote UE是否被授权可以使用5G Prose中继服务。只有在Remote UE授权检查通过的情况下,才执行后续的ProSe认证流程,即步骤S415-S420。
另外,AUSF(Remote)还将Remote UE的SUCI发送给UDM(Remote),用于UDM(Remote)将SUCI转换成SUPI,并返回给AUSF(Remote)。
S415,AUSF(Remote)向AMF(Relay)发送Prose认证响应消息#1;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose认证响应消息#1。
其中,该Prose认证响应消息#1包括EAP message#1,EAP message#1携带认证向量。
S416,AMF(Relay)向Relay UE发送中继认证请求消息;
对应的,Relay UE接收来自AMF(Relay)的中继认证请求消息。
其中,该中继认证请求消息为NAS消息,该中继认证请求消息包括EAP message#1,以及transaction identifier。
S417,Relay UE向Remote UE发送EAP信息#1;
对应的,Remote UE接收来自Relay UE的EAP信息#1。
S418,Remote UE向Relay UE发送EAP信息#2;
对应的,Relay UE接收来自Remote UE的EAP信息#2。
S419,Relay UE向AMF(Relay)发送中继认证响应消息;
对应的,AMF(Relay)接收来自Relay UE的中继认证响应消息。
其中,该中继认证响应消息为NAS消息,该中继认证响应消息包括EAP信息#2,以及transaction identifier。
S420,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#2;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#2。
其中,该Prose认证请求消息#2包括EAP信息#2。
应理解,AUSF(Remote)只有在Prose认证通过的情况下,才执行下列步骤S421a。
S421a,AUSF(Remote)生成5G PRUK#2和5GPRUK ID#2。
具体地,AUSF(Remote)可以将RSC(参见步骤S408)、SUPI(参见步骤S411或S414)和KAUSF_P作为输入参数,推衍生成5GPRUK#2和5GPRUK ID#2。
S421b,Remote UE生成并存储5GPRUK#2和5GPRUK ID#2。
具体实现方式与步骤S421a类似,这里不再赘述。
也就是说,Remote UE在生成新的5GPRUK#2和5GPRUK ID#2之后,随即本地存储该5GPRUK#2和5GPRUK ID#2,用于后续生成KNR_ProSe,使得Remote UE与Relay UE之间进行PC5安全建立连接。
可选地,如果Remote UE在执行步骤S421b之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S412b之后,Remote UE删除本地保存的旧的5GPRUK#1和5GPRUKID#1,并存储重新生成的5GPRUK#2和5GPRUK ID#2,即Remote UE使用5GPRUK#2和5GPRUKID#2替换5GPRUK#1和5GPRUK ID#1。
应理解,5GPRUK的生成输入参数为KAUSF_P、RSC和SUPI。需要特别指出的是,5GPRUK#1与5GPRUK#2不同是因为KAUSF_P的不同,KAUSF是UDM根据某一个随机数生成的。在每次Prose认证之前,由于步骤S414请求获取的认证向量中生成KAUSF_P的随机数不同,UDM对应生成的KAUSF_P也不同,生成的5GPRUK#1与5GPRUK#2自然也就不同。
S422,AUSF(Remote)向PAnF(Remote)发送密钥存储请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥存储请求消息。
其中,该密钥存储请求消息包括SUPI,RSC,5GPRUK#2和5GPRUK ID#2。
S423,PAnF(Remote)存储更新后的5GPRUK#2和5GPRUK ID#2。
可选地,如果PAnF(Remote)在执行步骤S422之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S422之后,PAnF(Remote)删除本地保存的旧的5GPRUK#1和5GPRUK ID#1,并存储重新生成的5GPRUK#2和5GPRUK ID#2。也就是说,PAnF(Remote)使用5GPRUK#2和5GPRUK ID#2替换5GPRUK#1和5GPRUK ID#1。
S424,PAnF(Remote)向AUSF(Remote)发送密钥存储响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥存储响应消息。
需要说明的是,上述步骤S414-S422和S424的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S208-S217,为了简洁,此处不再赘述。
S425,AUSF(Remote)生成密钥KNR_ProSe
示例性的,AUSF(Remote)根据步骤S421a获取的5GPRUK#2,或者S411中获取的5GPRUK#1,以及随机生成的Nonce_2,UE侧发送的Nonce_1(参见步骤S408),生成密钥KNR_ProSe
也就是说,该KNR_ProSe是基于更新后的5GPRUK#2生成的密钥,可以记作KNR_ProSe#2;或者,该KNR_ProSe也可以是基于Remote UE本地存储的5GPRUK#1生成的密钥,可以记作KNR_ProSe#1
S426,AUSF(Remote)向AMF(Relay)发送Prose授权响应消息#2;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose授权响应消息#2。
其中,该Prose授权响应消息#2包括Nounce_2,KNR_ProSe等。
可选地,该Prose授权响应消息#2还包括EAP success。
S427,AMF(Relay)向Relay UE发送中继密钥响应消息;
对应的,Relay UE接收来自AMF(Relay)的中继密钥响应消息。
其中,该中继密钥响应消息包括KNR_ProSe,Nounce_2等。
可选地,该中继密钥响应消息还包括EAP success。
S428,Relay UE向Remote UE发送直连安全模式命令消息;
对应的,Remote UE接收来自Relay UE的直连安全模式命令消息。
其中,该直连安全模式命令消息包括Nounce_2等。应理解,在执行步骤S428之前,Relay UE本地保存AUSF(Remote)重新生成的KNR_ProSe
可选地,该直连安全模式命令消息还包括EAP success。
S429,Remote UE生成KNR_ProSe
具体实现方式与步骤S425类似,这里不再赘述。需要说明的是,步骤S429与S425生成KNR_ProSe是相同的,用于Remote UE与Relay UE进行PC5安全通信。
S430,Remote UE向Relay UE发送直连安全模式完成消息;
对应的,Relay UE接收来自Remote UE的直连安全模式完成消息。
其中,该直连安全模式完成消息用于指示Remote UE与Relay UE之间的安全环境构建完成。
S431,Relay UE向Remote UE发送直连通信接受消息;
对应的,Remote UE接收来自Relay UE的直连通信接受消息。
需要说明的是,上述步骤S425-S431的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S220-S226,为了简洁,此处不再赘述。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由Remote UE判断是否更新5GPRUK#1,即新增由Remote UE触发的5GPURK更新流程,并通过发送SUCI指示更新5GPRUK。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5G Prose中继服务的权限检查,且在通过检查后才使用该5GPRUK#2,保障网络安全通信的同时提升用户体验。
图5是本申请实施例提供的通信方法500的流程示例图。该方法是由Remote UE判断是否需要更新5GPRUK#1密钥,并触发更新机制的方案。同时,在确定继续使用5GPRUK#1的情况下,新增对Remote UE的5G Prose中继服务的权限检查。相比于方法400通过发送SUCI指示后续流程更新5GPRUK,该方法500是通过发送密钥更新指示来指示后续流程更新5GPRUK。如图5所示,该方法包括如下多个步骤。
S501,Remote UE注册到网络,并通过网络进行认证和授权。
S502,Relay UE注册到网络,并通过网络进行认证和授权。
S503,Remote UE和Relay UE互相发现。
S504,Remote UE判断是否需要更新5GPRUK#1。
需要说明的是,上述步骤S501-S504的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S401-S404,为了简洁,此处不再赘述。
S505,Remote UE向Relay UE发送直连通信请求消息;
对应的,Relay UE接收来自Remote UE的直连通信请求消息。
其中,该直连通信请求消息携带Remote UE的5GPRUK ID#1,或者5GPRUK ID#1和密钥更新指示,以及RSC,Nounce_1等。
示例性的,基于上述步骤S504,若Remote UE判断需要更新5GPRUK#1,则该直连通信请求消息中携带SUCI,或者5GPRUK ID#1和密钥更新指示;若Remote UE判断不需要更新5GPRUK#1,则该直连通信请求消息中携带5GPRUK ID#1。
可选地,密钥更新指示可以是一个比特值,例如“0”用于指示需要更新5GPRUK#1,“1”用于指示不需要更新5GPRUK#1,即继续使用5GPRUK#1进行PC5安全建立连接;或者,密钥更新指示也可以是某一个原因值,用于指示网络侧需要更新5GPRUK#1等,本申请对此不作具体限定。
S506,Relay UE向AMF(Relay)发送中继密钥请求消息;
对应的,AMF(Relay)接收来自Relay UE的中继密钥请求消息。
其中,该中继密钥请求消息为NAS消息,该中继密钥请求消息包括RSC,Nounce_1,transaction identifier,以及Remote UE的5GPRUK ID#1和密钥更新指示,或者5GPRUKID#1,或者SUCI等。
S507,AMF(Relay)对Relay UE进行授权检查。
S508,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#1;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#1。
其中,该Prose认证请求消息#1携带RSC,Nounce_1,以及Remote UE的5GPRUK ID#1和密钥更新指示,或者5GPRUK ID#1等。
S509,AUSF(Remote)确定执行方式一、方式二或方式三中的一种或多种。
可选地,AUSF(Remote)根据Prose认证请求消息#1中携带5GPRUK ID#1,确定执行方式一和方式二(其中,方式一的步骤S5110-S5112,以及方式二的步骤S512-S5513只需要择一执行即可);或者,AUSF(Remote)根据Prose认证请求消息#1中携带5GPRUK ID#1和密钥更新指示,确定执行方式一和方式三(其中,方式一的步骤S5110-S5112不执行);或者,AUSF(Remote)根据Prose认证请求消息#1中携带的SUCI,确定执行方式三。基于方式一或者方式二执行完成后,AUSF再执行后续步骤S525-S531。
方式一:
S510,AUSF(Remote)向PAnF(Remote)发送密钥查询请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥查询请求消息。
其中,该密钥查询消息包括5GPRUK ID#1和RSC。
S511,PAnF(Remote)向AUSF(Remote)发送密钥查询响应消息;对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥查询响应消息。
可选地,在执行步骤S511前,PAnF可以确定是否对Remote UE进行授权检查,以及PAnF如何对Remote UE进行授权检查。
在一种可能的实现方式中,在执行步骤S511前,在PAnF存储有5GProse业务授权信息的情况下,PAnF基于步骤S510中的5GPRUK ID#1和RSC,本地查询得到Remote UE的5GPRUK#1和SUPI,并基于SUPI查询本地存储的5GProse业务授权信息,使用该5GProse业务授权信息对Remote UE进行授权检查,以确认该Remote UE是否有权限使用5G Prose业务,也就是RSC对应的中继服务。进一步地,在PAnF确定Remote UE授权成功的情况下,执行步骤S511,此时密钥查询响应消息携带5GPRUK#1;在PAnF确定Remote UE授权失败的情况下,执行步骤S511,此时密钥查询响应消息中携带指示信息,例如403原因值,用于表征授权检查失败结果。
需要说明的是,PAnF本地存储的5GProse业务授权信息可以是来自于AUSF。比如,在Remote UE获取5GPRUK#1的过程中,例如在方法200的步骤S208中,UDM还可以向AUSF发送Remote UE对应的5GProse业务授权信息,包括但不限于:5GProse业务授权信息的签约数据,或者授权结果,或者授权指示信息。进一步地,在方法200的步骤S216中密钥存储请求消息中还可以携带该5GProse业务授权信息。对应的,PAnF在收到该5GProse业务授权信息后,存储该5GProse业务授权信息。
在另一种可能的实现方式中,在执行步骤S511前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据步骤S510中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,则步骤S511中的密钥查询响应消息包括5GPRUK#1和SUPI。此时,该SUPI可以作为输入参数,用于AUSF向UDM请求对Remote UE进行授权检查,即执行步骤S512和S513。
在又一种可能的实现方式中,在执行步骤S511前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据步骤S510中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,并且进一步地,PAnF还可以执行步骤S5110和S5112,即PAnF向UDM请求对Remote UE进行授权检查。
S5110,PAnF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自PAnF(Remote)的授权检查请求消息。
其中,该授权检查请求消息中携带Remote UE的SUPI。
可选地,该授权检查请求消息还可以携带RSC。
S5111,UDM检查Remote UE是否有权限使用5G Prose业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5GProse业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
S5112,UDM(Remote)向PAnF(Remote)发送授权检查响应消息;
对应的,PAnF(Remote)接收来自UDM(Remote)的授权检查响应消息。
其中,授权检查响应消息中携带授权结果。
示例性的,该授权检查响应消息中的授权结果包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行步骤S511。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
需要特别指出的是,上述步骤S5110-S5112是PAnF向UDM请求对Remote UE进行授权校验的过程。当该过程执行的时候,步骤S512和步骤S513不需要执行。在该过程不执行的时候,步骤S512和步骤S513需要执行。
可选地,AUSF(Remote)向PAnF(Remote)发送Remote UE的SUPI查询消息,PAnF(Remote)本地查询后,向AUSF(Remote)返回Remote UE的SUPI。应理解,该Remote UE的SUPI用于后续步骤S512的输入参数。同时,针对上述Prose认证请求消息#1中携带5GPRUK ID#1和密钥更新指示的情况,该Remote UE的SUPI还用于步骤S514和S521a。本申请中,SUPI查询消息可以和S510中的密钥查询请求消息解耦使用,本申请对此不作具体限定。
需要说明的是,上述步骤S505-S511的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S405-S411,为了简洁,此处不再赘述。
方式二:
S512,AUSF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自AUSF(Remote)的授权检查请求消息。
其中,该授权检查请求消息用于请求UDM(Remote)检查Remote UE是否被授权可以使用5G Prose中继服务,该授权检查请求消息包括Remote UE的SUPI。可选地,该授权检查请求消息还包括RSC。
示例性的,授权检查请求消息可以是Nudm_UEAuthorization_ProseCheckRequest消息,本申请对此不作具体限定。
S513,UDM(Remote)向AUSF(Remote)发送授权检查响应消息;
对应的,AUSF(Remote)接收来自UDM(Remote)的授权检查响应消息。
具体地,在UDM(Remote)向AUSF(Remote)发送授权检查响应消息之前,UDM检查Remote UE是否有权限使用5GProse业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5G Prose业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
其中,该授权检查响应消息包括授权结果,包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行下列步骤S525。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
示例性的,授权检查响应消息可以是Nudm_UEAuthorization_ProseCheckResponse消息,本申请对此不作具体限定。
方式三:
S514,AUSF(Remote)通过UDM(Remote)获取认证向量。
示例性的,AUSF向UDM发送认证向量请求消息,以请求获取认证向量;对应的,UDM根据AUSF的请求向AUSF返回认证向量。其中,认证向量中携带KAUSF_P
若Prose认证请求消息#1中携带5GPRUK ID#1和密钥更新指示,则认证向量请求消息中携带步骤S511中获取的Remote UE的SUPI作为输入参数,并从UDM获取认证向量;若Prose认证请求消息#1中携带SUCI,则认证向量请求消息中携带Remote UE的SUCI作为输入参数,并从UDM获取认证向量和Remote UE的SUPI,作为步骤S521a生成5GPRUK ID#2的输入参数。
该步骤中,UDM(Remote)需要检查Remote UE是否被授权可以使用5G Prose中继服务。只有在Remote UE授权检查通过的情况下,才执行后续的ProSe认证流程,即步骤S515-S520。
S515,AUSF(Remote)向AMF(Relay)发送Prose认证响应消息#1;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose认证响应消息#1。
其中,该Prose认证响应消息#1包括EAP message#1。
S516,AMF(Relay)向Relay UE发送中继认证请求消息;
对应的,Relay UE接收来自AMF(Relay)的中继认证请求消息。
其中,该中继认证请求消息为NAS消息,该中继认证请求消息包括EAP message#1,以及transaction identifier。
S517,Relay UE向Remote UE发送EAP信息#1;
对应的,Remote UE接收来自Relay UE的EAP信息#1。
S518,Remote UE向Relay UE发送EAP信息#2;
对应的,Relay UE接收来自Remote UE的EAP信息#2。
S519,Relay UE向AMF(Relay)发送中继认证响应消息;
对应的,AMF(Relay)接收来自Relay UE的中继认证响应消息。
其中,该中继认证响应消息为NAS消息,该中继认证响应消息包括EAP信息#2,以及transaction identifier。
S520,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#2;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#2。
其中,该Prose认证请求消息#2包括EAP信息#2。
应理解,AUSF(Remote)只有在Prose认证通过的情况下,才执行下列步骤S521a。
S521a,AUSF(Remote)生成5G PRUK#2和5GPRUK ID#2。
具体地,AUSF(Remote)可以将RSC(参见步骤S508)、SUPI(参见步骤S511或步骤S514)和KAUSF_P作为输入参数,推衍生成5GPRUK#2和5GPRUK ID#2。
S521b,Remote UE生成并存储新生成的5GPRUK#2和5GPRUK ID#2。
具体实现方式与步骤S521a类似,这里不再赘述。
也就是说,Remote UE在生成新的5GPRUK#2和5GPRUK ID#2之后,随即本地存储该5GPRUK#2和5GPRUK ID#2,用于后续生成KNR_ProSe,使得Remote UE与Relay UE之间进行PC5安全建立连接。
可选地,如果Remote UE在执行步骤S521b之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S512b之后,Remote UE删除本地保存的旧的5GPRUK#1和5GPRUKID#1,并存储重新生成的5GPRUK#2和5GPRUK ID#2,即Remote UE使用5GPRUK#2和5GPRUKID#2替换5GPRUK#1和5GPRUK ID#1。
S522,AUSF(Remote)向PAnF(Remote)发送密钥存储请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥存储请求消息。
其中,该密钥存储请求消息包括SUPI,RSC,5GPRUK#2和5GPRUK ID#2。
S523,PAnF(Remote)存储5GPRUK#2和5GPRUK ID#2。
可选地,如果PAnF(Remote)在执行步骤S522之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S522之后,PAnF(Remote)删除本地保存的旧的5GPRUK#1和5GPRUK ID#1,并存储新生成的5GPRUK#2和5GPRUK ID#2。也就是说,PAnF(Remote)使用5GPRUK#2和5GPRUK ID#2替换5GPRUK#1和5GPRUK ID#1。
S524,PAnF(Remote)向AUSF(Remote)发送密钥存储响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥存储响应消息。
需要说明的是,上述步骤S514-S524的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S414-S424,为了简洁,此处不再赘述。
S525,AUSF(Remote)生成密钥KNR_ProSe
示例性的,AUSF(Remote)根据步骤S521a获取的5GPRUK#2,或者S511中获取的5GPRUK#1,以及随机生成的Nonce_2,UE侧发送的Nonce_1(参见步骤S508),生成密钥KNR_ProSe
也就是说,该KNR_ProSe是基于新的5GPRUK#2生成的密钥,可以记作KNR_ProSe#2;或者,该KNR_ProSe也可以是基于Remote UE本地存储的5GPRUK#1生成的密钥,可以记作KNR_ProSe#1
S526,AUSF(Remote)向AMF(Relay)发送Prose授权响应消息#2;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose授权响应消息#2。
其中,该Prose授权响应消息#2包括Nounce_2,KNR_ProSe等。
可选地,该Prose授权响应消息#2还包括EAP success。
S527,AMF(Relay)向Relay UE发送中继密钥响应消息;
对应的,Relay UE接收来自AMF(Relay)的中继密钥响应消息。
其中,该中继密钥响应消息包括KNR_ProSe,Nounce_2等。
可选地,该中继密钥响应消息还包括EAP success。
S528,Relay UE向Remote UE发送直连安全模式命令消息;
对应的,Remote UE接收来自Relay UE的直连安全模式命令消息。
其中,该直连安全模式命令消息包括Nounce_2等。应理解,在执行步骤S528之前,Relay UE本地保存AUSF(Remote)重新生成的KNR_ProSe
可选地,该直连安全模式命令消息还包括EAP success。
S529,Remote UE生成KNR_ProSe
具体实现方式与步骤S525类似,这里不再赘述。需要说明的是,步骤S529与S525生成KNR_ProSe是相同的,用于Remote UE与Relay UE进行PC5安全通信。
S530,Remote UE向Relay UE发送直连安全模式完成消息;
对应的,Relay UE接收来自Remote UE的直连安全模式完成消息。
其中,该直连安全模式完成消息用于指示Remote UE与Relay UE之间的安全环境构建完成。
S531,Relay UE向Remote UE发送直连通信接受消息;
对应的,Remote UE接收来自Relay UE的直连通信接受消息。
需要说明的是,上述步骤S525-S531的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S425-S431,为了简洁,此处不再赘述。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由Remote UE判断是否更新5GPRUK#1,即新增由Remote UE触发的5GPURK更新流程,并通过发送密钥更新指示来指示后续流程更新5GPRUK。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5G Prose中继服务的使用权限进行检查,且在通过检查后才使用该5GPRUK#1,保障网络安全通信的同时提升用户体验。
图6是本申请实施例提供的通信方法600的流程示例图。相比于方法400和500,该方法600是由AUSF(Remote)判断是否需要更新5GPRUK#1,并触发更新机制的方案。同时,在确定继续使用5GPRUK#1的情况下,新增对Remote UE的5G Prose中继服务的权限检查。如图6所示,该方法包括如下多个步骤。
S601,Remote UE注册到网络,并通过网络进行认证和授权。
S602,Relay UE注册到网络,并通过网络进行认证和授权。
S603,Remote UE和Relay UE互相发现。
S604,Remote UE向Relay UE发送直连通信请求消息;
对应的,Relay UE接收来自Remote UE的直连通信请求消息。
其中,该直连通信请求消息携带Remote UE的5GPRUK ID#1,以及RSC,Nounce_1等。
示例性的,在Remote UE本地查询后发现存储有5GPRUK#1,则直连通信请求消息中携带5GPRUK ID#1。
S605,Relay UE向AMF(Relay)发送中继密钥请求消息;
对应的,AMF(Relay)接收来自Relay UE的中继密钥请求消息。
其中,该中继密钥请求消息为NAS消息,该中继密钥请求消息包括RSC,Nounce_1,transaction identifier,以及Remote UE的5GPRUK ID#1等。
S606,AMF(Relay)对Relay UE进行授权检查。
S607,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#1;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#1。
其中,该Prose认证请求消息#1携带RSC,Nounce_1,以及Remote UE的5GPRUK ID#1等。
需要说明的是,上述步骤S601-S607的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法200的步骤S201-S207,为了简洁,此处不再赘述。
S608,AUSF(Remote)判断是否需要更新5GPRUK#1,并确定执行方式一、方式二和方式三中的一种或多种。
在一种可能的实现方式中,在Prose认证请求消息#1中携带5GPRUK ID#1的情况下,表明Remote UE本地存储有旧密钥5GPRUK#1,进一步地在步骤S608中,AUSF(Remote)可以根据预配置的本地策略,判断是否需要更新5GPRUK#1,即AUSF(Remote)触发密钥更新机制。
示例性的,本地策略指示:当AMF(Relay)的PLMN ID,或者AUSF(Remote)本地的配置文件发生变化时,AUSF(Remote)确定需要更新5GPRUK#1。
可选地,该步骤S608也可以发生在方式一之后,即在步骤S610后执行。
示例性的,在步骤S608发生在步骤S609前面的情况下(也就是说步骤S608发生在方式一前),AUSF(Remote)确定不更新5GPRUK#1时,则执行方式一和方式二(此时,方式一的步骤S6110-S6112不执行),或者执行方式一(此时,方式一的步骤S6110-S6112执行);当AUSF(Remote)确定需要更新5GPRUK#1时,则执行方式一和方式三(此时,方式一的步骤S6110-S6112不执行)。
示例性的,在步骤S608发生在步骤S610后,S611前的情况下(也就是说步骤S608发生在方式一后),AUSF(Remote)可以根据本地策略确定是否更新5GPRUK#1,该5GPRUK#1由步骤S610得到。当AUSF(Remote)确定不需要更新5GPRUK#1时,则执行方式二,可选地,如果方式一中已经执行了步骤S6110-S6112,或者说在方式一中已经对Remote UE进行了授权检查,则AUSF(Remote)不需要执行方式二,且在确定不需要更新5GPRUK#1,以及Remote UE授权检查通过的情况下,接着执行步骤S624;当AUSF(Remote)确定需要更新5GPRUK#1时,则执行方式三。
也就是说,针对Remote UE的授权检查,在方式一中步骤S6110-S6113执行的情况下,方式二不需要执行,在方式一中步骤S6110-S6113没有执行的情况下,方式二需要执行。
方式一:
S609,AUSF(Remote)向PAnF(Remote)发送密钥查询请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥查询请求消息。
其中,该密钥查询消息包括5GPRUK ID#1和RSC。
S610,PAnF(Remote)向AUSF(Remote)发送密钥查询响应消息;对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥查询响应消息。
可选地,在执行步骤S610前,PAnF可以确定是否对Remote UE进行授权检查,以及PAnF如何对Remote UE进行授权检查。
在一种可能的实现方式中,在执行步骤S610前,在PAnF存储有5GProse业务授权信息的情况下,PAnF基于步骤S609中的5GPRUK ID#1和RSC,本地查询得到Remote UE的5GPRUK#1和SUPI,并基于SUPI查询本地存储的5GProse业务授权信息,使用该5GProse业务授权信息对Remote UE进行授权检查,以确认该Remote UE是否有权限使用5G Prose业务,也就是RSC对应的中继服务。进一步地,在PAnF确定Remote UE授权成功的情况下,执行步骤S610,此时密钥查询响应消息携带5GPRUK#1;在PAnF确定Remote UE授权失败的情况下,执行步骤S610,此时密钥查询响应消息中携带指示信息,例如403原因值,用于表征授权检查失败结果。
需要说明的是,PAnF本地存储的5GProse业务授权信息可以是来自于AUSF。比如,在Remote UE获取5GPRUK#1的过程中,例如在方法200的步骤S208中,UDM还可以向AUSF发送Remote UE对应的5GProse业务授权信息,包括但不限于:5GProse业务授权信息的签约数据,或者授权结果,或者授权指示信息。进一步地,在方法200的步骤S216中密钥存储请求消息中还携带5GProse业务授权信息。对应的,PAnF在接收到5GProse业务授权信息后,存储5GProse业务授权信息。
在另一种可能的实现方式中,在执行步骤S610前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,则步骤S610中的密钥查询响应消息包括5GPRUK#1和SUPI。
可选地,AUSF(Remote)向PAnF(Remote)发送Remote UE的SUPI查询消息,PAnF(Remote)本地查询后,向AUSF(Remote)返回Remote UE的SUPI。应理解,该Remote UE的SUPI用于后续步骤S611或S613的输入参数。本申请中,SUPI查询消息可以和S609中的密钥查询请求消息解耦使用,本申请对此不作具体限定。
在又一种可能的实现方式中,在执行步骤S610前,在PAnF没有存储5GProse业务授权信息的情况下,可选地,PAnF可以根据步骤S609中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,并且进一步地,PAnF还可以执行步骤S6110和S6112,即PAnF向UDM请求对Remote UE进行授权检查。
S6110,PAnF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自PAnF(Remote)的授权检查请求消息。
其中,该授权检查请求消息中携带Remote UE的SUPI。
可选地,该授权检查请求消息还携带RSC。
S6111,UDM对Remote UE进行授权验证。
也就是,UDM检查Remote UE是否有权限使用5G Prose业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5GProse业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
S6112,UDM(Remote)向PAnF(Remote)发送授权检查响应消息;
对应的,PAnF(Remote)接收来自UDM(Remote)的授权检查响应消息。
其中,授权检查响应消息中携带授权结果。
示例性的,该授权检查响应消息中的授权结果包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行步骤S610。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
需要特别指出的是,上述步骤S6110-S6112是PAnF向UDM请求对Remote UE进行授权校验的过程。当该过程执行的时候,步骤S611和步骤S612不需要执行。在该过程不执行的时候,步骤S611和步骤S612需要执行。
需要说明的是,上述步骤S609-S610的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S410-S411,为了简洁,此处不再赘述。
方式二:
S611,AUSF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自AUSF(Remote)的授权检查请求消息。
其中,该授权检查请求消息用于请求UDM(Remote)检查Remote UE是否被授权可以使用5G Prose中继服务,该授权检查请求消息包括Remote UE的SUPI。可选地,该授权检查请求消息还包括RSC。
示例性的,授权检查请求消息可以是Nudm_UEAuthorization_ProseCheckRequest消息,本申请对此不作具体限定。
S612,UDM(Remote)向AUSF(Remote)发送授权检查响应消息;
对应的,AUSF(Remote)接收来自UDM(Remote)的授权检查响应消息。
具体地,在UDM(Remote)向AUSF(Remote)发送授权检查响应消息之前,UDM检查Remote UE是否有权限使用5GProse业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5G Prose业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
其中,该授权检查响应消息包括授权结果,包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行下列步骤S624。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
示例性的,授权检查响应消息可以是Nudm_UEAuthorization_ProseCheckResponse消息,本申请对此不作具体限定。
需要说明的是,上述步骤S611-S612的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S412-S413,为了简洁,此处不再赘述。
方式三:
S613,AUSF(Remote)通过UDM(Remote)获取认证向量。
示例性的,AUSF将步骤S610中获取的Remote UE的SUPI作为输入参数,向UDM发送认证向量请求消息,以请求获取认证向量;对应的,UDM根据AUSF的请求向AUSF返回认证向量。其中,认证向量中携带KAUSF_P
在该步骤中,UDM(Remote)需要检查Remote UE是否被授权可以使用5G Prose中继服务。只有在Remote UE授权检查通过的情况下,才执行后续的ProSe认证流程,即步骤S614-S619。
S614,AUSF(Remote)向AMF(Relay)发送Prose认证响应消息#1;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose认证响应消息#1。
其中,该Prose认证响应消息#1包括EAP message#1。
S615,AMF(Relay)向Relay UE发送中继认证请求消息;
对应的,Relay UE接收来自AMF(Relay)的中继认证请求消息。
其中,该中继认证请求消息为NAS消息,该中继认证请求消息包括EAP message#1,以及transaction identifier。
S616,Relay UE向Remote UE发送EAP信息#1(EAP message#1);
对应的,Remote UE接收来自Relay UE的EAP信息#1。
S617,Remote UE向Relay UE发送EAP信息#2(EAP message#2);
对应的,Relay UE接收来自Remote UE的EAP信息#2。
S618,Relay UE向AMF(Relay)发送中继认证响应消息;
对应的,AMF(Relay)接收来自Relay UE的中继认证响应消息。
其中,该中继认证响应消息为NAS消息,该中继认证响应消息包括EAP信息#2,以及transaction identifier。
S619,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#2;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#2。
其中,该Prose认证请求消息#2包括EAP信息#2。
应理解,AUSF(Remote)只有在Prose认证通过的情况下,才执行下列步骤S620a。
S620a,AUSF(Remote)生成5G PRUK#2和5GPRUK ID#2。
具体地,AUSF(Remote)可以将RSC(参见步骤S607)、SUPI(参见步骤S610或步骤S613)和KAUSF_P作为输入参数,推衍生成5GPRUK#2和5GPRUK ID#2。
S620b,Remote UE生成并存储新生成的5GPRUK#2和5GPRUK ID#2。
具体实现方式与步骤S620a类似,这里不再赘述。
也就是说,Remote UE在生成新的5GPRUK#2和5GPRUK ID#2之后,随即本地存储该5GPRUK#2和5GPRUK ID#2,用于后续生成KNR_ProSe,使得Remote UE与Relay UE之间进行PC5安全建立连接。
可选地,如果Remote UE在执行步骤S620b之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S620b之后,Remote UE删除本地保存的旧的5GPRUK#1和5GPRUKID#1,并存储重新生成的5GPRUK#2和5GPRUK ID#2,即Remote UE使用5GPRUK#2和5GPRUKID#2替换5GPRUK#1和5GPRUK ID#1。
S621,AUSF(Remote)向PAnF(Remote)发送密钥存储请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥存储请求消息。
其中,该密钥存储请求消息包括SUPI,RSC,5GPRUK#2和5GPRUK ID#2。
S622,PAnF(Remote)存储5GPRUK#2和5GPRUK ID#2。
可选地,如果PAnF(Remote)在执行步骤S621之前,本地存储了旧的5GPRUK#2和5GPRUK ID#2,则在执行步骤S621之后,PAnF(Remote)删除本地保存的旧的5GPRUK#1和5GPRUK ID#1,并存储新生成的5GPRUK#2和5GPRUK ID#2。也就是说,PAnF(Remote)使用5GPRUK#2和5GPRUK ID#2替换5GPRUK#1和5GPRUK ID#1。
S623,PAnF(Remote)向AUSF(Remote)发送密钥存储响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥存储响应消息。
需要说明的是,上述步骤S609-S623的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法500的步骤S510-S524,为了简洁,此处不再赘述。
S624,AUSF(Remote)生成密钥KNR_ProSe
示例性的,AUSF(Remote)根据步骤S620a获取的5GPRUK#2,或者S610中获取的5GPRUK#1,以及随机生成的Nonce_2,UE侧发送的Nonce_1(参见步骤S607),生成密钥KNR_ProSe
S625,AUSF(Remote)向AMF(Relay)发送Prose授权响应消息#2;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose授权响应消息#2。
其中,该Prose授权响应消息#2包括Nounce_2,KNR_ProSe等。
可选地,该Prose授权响应消息#2还包括EAP success。
S626,AMF(Relay)向Relay UE发送中继密钥响应消息;
对应的,Relay UE接收来自AMF(Relay)的中继密钥响应消息。
其中,该中继密钥响应消息包括KNR_ProSe,Nounce_2等。
可选地,该中继密钥响应消息还包括EAP success。
S627,Relay UE向Remote UE发送直连安全模式命令消息;
对应的,Remote UE接收来自Relay UE的直连安全模式命令消息。
其中,该直连安全模式命令消息包括Nounce_2等。应理解,在执行步骤S627之前,Relay UE本地保存AUSF(Remote)重新生成的KNR_ProSe
可选地,该直连安全模式命令消息还包括EAP success。
S628,Remote UE生成KNR_ProSe
具体实现方式与步骤S624类似,这里不再赘述。需要说明的是,步骤S628与S624生成KNR_ProSe是相同的,用于Remote UE与Relay UE进行PC5安全通信。
S629,Remote UE向Relay UE发送直连安全模式完成消息;
对应的,Relay UE接收来自Remote UE的直连安全模式完成消息。
其中,该直连安全模式完成消息用于指示Remote UE与Relay UE之间的安全环境构建完成。
S630,Relay UE向Remote UE发送直连通信接受消息;
对应的,Remote UE接收来自Relay UE的直连通信接受消息。
需要说明的是,上述步骤S624-S630的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法500的步骤S525-S531,为了简洁,此处不再赘述。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由AUSF(Remote)判断是否更新5GPRUK#1,即新增由AUSF(Remote)触发的5GPURK更新流程。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5GProse中继服务的使用权限进行检查,且在通过检查后才使用该5GPRUK#1,保障网络安全通信的同时提升用户体验。
图7是本申请实施例提供的通信方法700的流程示例图。相比于方法400-600,该方法700是由PAnF(Remote)判断是否需要更新5GPRUK#1,并触发更新机制的方案。同时,在确定继续使用5GPRUK#1的情况下,新增对Remote UE的5G Prose中继服务的权限检查。如图7所示,该方法包括如下多个步骤。
S701,Remote UE注册到网络,并通过网络进行认证和授权。
S702,Relay UE注册到网络,并通过网络进行认证和授权。
S703,Remote UE和Relay UE互相发现。
S704,Remote UE向Relay UE发送直连通信请求消息;
对应的,Relay UE接收来自Remote UE的直连通信请求消息。
其中,该直连通信请求消息携带Remote UE的5GPRUK ID#1,以及RSC,Nounce_1等。
S705,Relay UE向AMF(Relay)发送中继密钥请求消息;
对应的,AMF(Relay)接收来自Relay UE的中继密钥请求消息。
其中,该中继密钥请求消息为NAS消息,该中继密钥请求消息包括RSC,Nounce_1,transaction identifier,以及Remote UE的5GPRUK ID#1等。
S706,AMF(Relay)对Relay UE进行授权检查。
S707,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#1;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#1。
其中,该Prose认证请求消息#1携带RSC,Nounce_1,以及Remote UE的5GPRUK ID#1等。
需要说明的是,上述步骤S701-S707的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法600的步骤S601-S607,为了简洁,此处不再赘述。
S708,AUSF(Remote)确定执行方式一或方式三。
示例性的,Prose认证请求消息#1中携带5GPRUK ID#1,则确定执行方式一和方式二。其中,方式一中的步骤S71110-S71112,以及方式二中的步骤S713-S714择一执行即可。
可选地,Prose认证请求消息#1中携带Remote UE的SUCI,则确定执行方式三。
方式一:
S709,AUSF(Remote)向PAnF(Remote)发送密钥查询请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥查询请求消息。
其中,该密钥查询消息包括5GPRUK ID#1和RSC。
S710,PAnF(Remote)判断是否需要更新5GPRUK#1。
在一种可能的实现方式中,在接收到5GPRUK ID#1的情况下,PAnF(Remote)可以根据预配置的本地策略(例如,5GPRUK#1的使用时间、PAnF(Remote)接收的来自其它网元,如AUSF或UDM等网元的更新指示),判断是否需要更新5GPRUK#1。
示例性的,预配置的本地策略表明5GPRUK#1的使用时间(或者有效期)为24h,若密钥查询请求消息进一步指示5GPRUK#1的使用时间为18h,则说明该密钥5GPRUK#2目前仍然有效,则PAnF(Remote)确定不需要更新5GPRUK#1,此时步骤S710中携带5GPRUK#1。
示例性的,预配置的本地策略表明5GPRUK#1的有效期截止时间为18:00,若PAnF(Remote)在接收到密钥查询请求消息的时间为20:00,则说明该密钥5GPRUK#1已经失效,则PAnF(Remote)确定需要更新5GPRUK#1,此时步骤S710中不携带5GPRUK#1。
在另一种可能的实现方式中,在接收到5GPRUK ID#1的情况下,PAnF(Remote)本地查询是否存储有与5GPRUK#1对应的RSC#1,若本地未存储(或者PAnF(Remote)根据接收到的来自UDM的指示删除RSC#1)RSC#1,则PAnF(Remote)确定需要更新5GPRUK#1。
可选地,在PAnF判断不需要更新5GPRUK#1后,可以对Remote UE进行授权检查。
在一种可能的实现方式中,在执行步骤S711前,在PAnF存储有5GProse业务授权信息的情况下,PAnF基于Remote UE的SUPI查询本地存储的5GProse业务授权信息,使用该5GProse业务授权信息对Remote UE进行授权检查,以确认该Remote UE是否有权限使用5GProse业务,也就是RSC对应的中继服务。进一步地,在PAnF确定Remote UE授权成功的情况下,执行步骤S711,此时密钥查询响应消息携带5GPRUK#1;在PAnF确定Remote UE授权失败的情况下,执行步骤S711,此时密钥查询响应消息中携带指示信息,例如403原因值,用于表征授权检查失败结果。
需要说明的是,PAnF本地存储的5GProse业务授权信息可以是来自于AUSF。比如,在Remote UE获取5GPRUK#1的过程中,例如在方法200的步骤S208中,UDM还可以向AUSF发送Remote UE对应的5GProse业务授权信息,包括但不限于:5GProse业务授权信息的签约数据,或者授权结果,或者授权指示信息。进一步地,在方法200的步骤S216中密钥存储请求消息中还携带5GProse业务授权信息。对应的,PAnF在接收到5GProse业务授权信息后,存储5GProse业务授权信息。
在另一种可能的实现方式中,在执行步骤S711前,在PAnF没有存储5GProse业务授权信息的情况下,PAnF可以根据5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,则步骤S711中的密钥查询响应消息包括5GPRUK#1和SUPI。
可选地,AUSF(Remote)向PAnF(Remote)发送Remote UE的SUPI查询消息,PAnF(Remote)本地查询后,向AUSF(Remote)返回Remote UE的SUPI。应理解,该Remote UE的SUPI用于后续步骤S713或S715的输入参数。本申请中,SUPI查询消息可以和S709中的密钥查询请求消息解耦使用,本申请对此不作具体限定。
在又一种可能的实现方式中,在PAnF判断不需要更新5GPRUK#1后,在PAnF没有存储5GProse业务授权信息的情况下,可选地,PAnF可以根据步骤S710中的5GPRUKID#1本地查询得到Remote UE的5GPRUK#1和SUPI,并且进一步地,PAnF还可以执行步骤S7110和S7112,即PAnF向UDM请求对Remote UE进行授权检查。
S7110,PAnF(Remote)向UDM(Remote)发送授权检查请求消息。
对应的,UDM(Remote)接收来自PAnF(Remote)的授权检查请求消息。
其中,该授权检查请求消息中携带UE的SUPI。
可选地,该授权检查请求消息还携带RSC。
S7111,UDM对Remote UE进行授权验证。
也就是,UDM检查Remote UE是否有权限使用Prose业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5GProse业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
可选地,PAnF也可以先根据5GPRUK ID#1本地查询得到的5GPRUK#1和SUPI,对Remote UE进行授权检查。并且在Remote UE授权通过的情况下,再判断是否需要更新5GPRUK#1。其中,这里具体实现方式不再过多赘述。
S7112,UDM(Remote)向PAnF(Remote)发送授权检查响应消息;
对应的,PAnF(Remote)接收来自UDM(Remote)的授权检查响应消息。
其中,授权检查响应消息中携带授权结果。
在一种可能的实现方式中,该授权检查响应消息中的授权结果包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行步骤S711。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。
需要特别指出的是,上述步骤S7110-S7112是PAnF向UDM请求对Remote UE进行授权校验的过程。当该过程执行的时候,步骤S713和步骤S714不需要执行。在该过程不执行的时候,步骤S713和步骤S714需要执行。
S711,PAnF(Remote)向AUSF(Remote)发送密钥查询响应消息;对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥查询响应消息。
示例性的,如果PAnF(Remote)确定需要更新5G PRUK#1,则该密钥查询响应消息中携带SUPI;如果PAnF(Remote)确定不需要更新5GPRUK#1,则该密钥查询响应消息中携带5GPRUK#1和SUPI。
可选地,AUSF(Remote)向PAnF(Remote)发送Remote UE的SUPI查询消息,PAnF(Remote)本地查询后,向AUSF(Remote)返回Remote UE的SUPI。应理解,该Remote UE的SUPI用于作为后续步骤S713,或者针对上述Prose认证请求消息#1中携带5GPRUK ID#1的情况,该Remote UE的SUPI还用于步骤S715的输入参数。
S712,AUSF(Remote)根据是否接收到5GPRUK#1,确定执行方式二或者方式三。
可选地,若该密钥查询响应消息包括5GPRUK#1,则密钥查询成功,意味着不需要更新5GPRUK#1。若方式一的步骤S7110-S7112未执行,或者PAnF未根据临近业务授权信息对Remote UE进行授权检查,则AUSF(Remote)可以执行方式二。
可选地,在PAnF确定Remote UE具有使用5GProse业务的权限的情况下,例如通过执行步骤S7110-S7112确定,则PAnF向AUSF(Remote)反馈5GPRUK#1,进而AUSF(Remote)根据5GPRUK#1可以确定Remote UE具有使用5GProse业务的权限。接下来AUSF(Remote)直接执行步骤S726。
可选地,若该密钥查询响应消息不包括5GPRUK#1,则密钥查询失败,意味着需要更新5GPRUK#1,此时AUSF(Remote)可以执行方式三的流程,即创建5GPRUK#2。或者,通过方式一中的步骤S7110-S7113确定Remote UE不具有使用5GProse业务的权限,则可以拒绝Remote UE的服务请求,此时中断后续流程。
可选地,上述密钥查询响应消息中不包括5GPRUK#1的原因还可以是:5GPRUK ID#2是个无效或者错误的密钥标识,或者PAnF因为自身存储问题等。
方式二:
S713,AUSF(Remote)向UDM(Remote)发送授权检查请求消息;
对应的,UDM(Remote)接收来自AUSF(Remote)的授权检查请求消息。
其中,该授权检查请求消息用于请求UDM(Remote)检查Remote UE是否被授权可以使用5G Prose中继服务,该授权检查请求消息包括Remote UE的SUPI。可选地,该授权检查请求消息还包括RSC。
示例性的,授权检查请求消息可以是Nudm_RemoteUE_Authorization_CheckRequest消息,本申请对此不作具体限定。
S714,UDM(Remote)向AUSF(Remote)发送授权检查响应消息;
对应的,AUSF(Remote)接收来自UDM(Remote)的授权检查响应消息。
具体地,在UDM(Remote)向AUSF(Remote)发送授权检查响应消息之前,UDM检查Remote UE是否有权限使用5GProse业务。
示例性的,UDM根据Remote UE的SUPI对应的签约数据,确定Remote UE是否有权限使用Prose业务。
可选地,在授权检查请求消息携带RSC的情况下,UDM根据SUPI对应的签约数据,确定UE是否有权限使用该RSC对应的5G Prose业务。
在一种可能的实现方式中,UDM根据服务化操作确定用于请求对Remote UE进行授权检查。
在另一种可能的实现方式中,UDM根据服务化操作中的指示信息确定用于请求对Remote UE进行授权检查。
其中,该授权检查响应消息包括授权结果,包括success或者failure,用于指示Remote UE授权检查是否通过。应理解,只有在Remote UE授权检查通过的情况下,执行下列步骤S726。其中,suceess代表授权成功,其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“200OK”信息。Failure代表授权失败其表示形式可以是一个指示信息,用于指示鉴权成功,或者是“403forbidden”,或者其他代码为403信息。应理解,只有在Remote UE授权检查通过的情况下,执行下列步骤S726。
示例性的,授权检查响应消息可以是Nudm_RemoteUE_Authorization_CheckResponse消息,本申请对此不作具体限定。
需要说明的是,上述步骤S713-S714的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法400的步骤S412-S413,为了简洁,此处不再赘述。
方式三:
S715,AUSF(Remote)通过UDM(Remote)获取认证向量。
示例性的,AUSF将步骤S711中获取的Remote UE的SUPI作为输入参数,向UDM发送认证向量请求消息,以请求获取认证向量;对应的,UDM根据AUSF的请求向AUSF返回认证向量。其中,认证向量中携带KAUSF_P
在该步骤中,UDM(Remote)需要检查Remote UE是否被授权可以使用5G Prose中继服务。只有在Remote UE授权检查通过的情况下,才执行后续的ProSe认证流程,即步骤S716-S721。
S716,AUSF(Remote)向AMF(Relay)发送Prose认证响应消息#1;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose认证响应消息#1。
其中,该Prose认证响应消息#1包括EAP message#1。
S717,AMF(Relay)向Relay UE发送中继认证请求消息;
对应的,Relay UE接收来自AMF(Relay)的中继认证请求消息。
其中,该中继认证请求消息为NAS消息,该中继认证请求消息包括EAP message#1,以及transaction identifier。
S718,Relay UE向Remote UE发送EAP信息#1;
对应的,Remote UE接收来自Relay UE的EAP信息#1。
S719,Remote UE向Relay UE发送EAP信息#2;
对应的,Relay UE接收来自Remote UE的EAP信息#2。
S720,Relay UE向AMF(Relay)发送中继认证响应消息;
对应的,AMF(Relay)接收来自Relay UE的中继认证响应消息。
其中,该中继认证响应消息为NAS消息,该中继认证响应消息包括EAP信息#2,以及transaction identifier。
S721,AMF(Relay)向AUSF(Remote)发送Prose认证请求消息#2;
对应的,AUSF(Remote)接收来自AMF(Relay)的Prose认证请求消息#2。
其中,该Prose认证请求消息#2包括EAP信息#2。
应理解,AUSF(Remote)只有在Prose认证通过的情况下,才执行下列步骤S722a。
S722a,AUSF(Remote)生成5G PRUK#2和5GPRUK ID#2。
具体地,AUSF(Remote)可以将RSC(参见步骤S707)、SUPI(参见步骤S711或者步骤S715)和KAUSF_P作为输入参数,推衍生成5GPRUK#2和5GPRUK ID#2。
S722b,Remote UE生成并存储新生成的5GPRUK#2和5GPRUK ID#2。
具体实现方式与步骤S722a类似,这里不再赘述。
也就是说,Remote UE在生成新的5GPRUK#2和5GPRUK ID#2之后,随即本地存储该5GPRUK#2和5GPRUK ID#2,用于后续生成KNR_ProSe,使得Remote UE与Relay UE之间进行PC5安全建立连接。
可选地,如果Remote UE在执行步骤S722b之前,本地存储了旧的5GPRUK#2和5GPRUK ID#2,则在执行步骤S722b之后,Remote UE存储更新后的5GPRUK#1和5GPRUK ID#1,即将本地保存的旧的5GPRUK#2和5GPRUK ID#2替换为重新生成的5GPRUK#1和5GPRUK ID#1。
S723,AUSF(Remote)向PAnF(Remote)发送密钥存储请求消息;
对应的,PAnF(Remote)接收来自AUSF(Remote)的密钥存储请求消息。
其中,该密钥存储请求消息包括SUPI,RSC,5GPRUK#1和5GPRUK ID#1。
S724,PAnF(Remote)存储5GPRUK#1和5GPRUK ID#1。
可选地,如果PAnF(Remote)在执行步骤S723之前,本地存储了旧的5GPRUK#1和5GPRUK ID#1,则在执行步骤S723之后,PAnF(Remote)删除本地保存的旧的5GPRUK#1和5GPRUK ID#1,并存储新生成的5GPRUK#2和5GPRUK ID#2。也就是说,PAnF(Remote)使用5GPRUK#2和5GPRUK ID#2替换5GPRUK#1和5GPRUK ID#1。
S725,PAnF(Remote)向AUSF(Remote)发送密钥存储响应消息;
对应的,AUSF(Remote)接收来自PAnF(Remote)的密钥存储响应消息。
需要说明的是,上述步骤S713-S725的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法600的步骤S611-S623,为了简洁,此处不再赘述。
S726,AUSF(Remote)生成密钥KNR_ProSe
示例性的,AUSF(Remote)根据步骤S722a获取的5GPRUK#2,或者S711中获取的5GPRUK#1,以及随机生成的Nonce_2,UE侧发送的Nonce_1(参见步骤S707),生成密钥KNR_ProSe
S727,AUSF(Remote)向AMF(Relay)发送Prose授权响应消息#2;
对应的,AMF(Relay)接收来自AUSF(Remote)的Prose授权响应消息#2。
其中,该Prose授权响应消息#2包括Nounce_2,KNR_ProSe等。
可选地,该Prose授权响应消息#2还包括EAP success。
S728,AMF(Relay)向Relay UE发送中继密钥响应消息;
对应的,Relay UE接收来自AMF(Relay)的中继密钥响应消息。
其中,该中继密钥响应消息包括KNR_ProSe,Nounce_2等。
可选地,该中继密钥响应消息还包括EAP success。
S729,Relay UE向Remote UE发送直连安全模式命令消息;
对应的,Remote UE接收来自Relay UE的直连安全模式命令消息。
其中,该直连安全模式命令消息包括Nounce_2等。应理解,在执行步骤S729之前,Relay UE本地保存AUSF(Remote)重新生成KNR_ProSe
可选地,该直连安全模式命令消息还包括EAP success。
S730,Remote UE生成KNR_ProSe
具体实现方式与步骤S726类似,这里不再赘述。需要说明的是,步骤S730与S726生成KNR_ProSe是相同的,用于Remote UE与Relay UE进行PC5安全通信。
S731,Remote UE向Relay UE发送直连安全模式完成消息;
对应的,Relay UE接收来自Remote UE的直连安全模式完成消息。
其中,该直连安全模式完成消息用于指示Remote UE与Relay UE之间的安全环境构建完成。
S732,Relay UE向Remote UE发送直连通信接受消息;
对应的,Remote UE接收来自Relay UE的直连通信接受消息。
需要说明的是,上述步骤S726-S732的具体实现方式,以及交互消息的具体名称或含义,可参考上述方法600的步骤S624-S630,为了简洁,此处不再赘述。
本申请所揭示的方法,在Remote UE建立Prose PC5控制面安全连接的时候,由PAnF(Remote)判断是否更新5GPRUK#1,即新增由PAnF(Remote)触发的5GPURK更新流程。另外,本申请技术方案在确定继续使用5GPRUK#1的情况下,还增加了AUSF(Remote)在接收到5GPRUK#1的情况下,或者,PAnF(Remote)在接收到5GPRUK ID#1的情况下,对Remote UE的5GProse中继服务的使用权限进行检查,且在通过检查后才使用该5GPRUK#1,保障网络安全通信的同时提升用户体验。
上文结合图1至图7,详细描述了本申请的通信方法侧实施例,下面将结合图8和图9,详细描述本申请的通信装置侧实施例。应理解,装置实施例的描述与方法实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
图8是本申请实施例提供的通信装置的示意性框图。如图8所示,该设备1000可以包括收发单元1010和处理单元1020。收发单元1010可以与外部进行通信,处理单元1020用于进行数据处理。收发单元1010还可以称为通信接口或收发单元。
在一种可能的设计中,该设备1000可实现对应于上文方法实施例中的第一通信装置Remote UE执行的步骤或者流程,其中,处理单元1020用于执行上文方法实施例中RemoteUE的处理相关的操作,收发单元1010用于执行上文方法实施例中Remote UE的收发相关的操作。
在另一种可能的设计中,该设备1000可实现对应于上文方法实施例中的认证服务器功能网元AUSF(Remote)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中AUSF(Remote)的收发相关的操作,处理单元1020用于执行上文方法实施例中AUSF(Remote)的处理相关的操作。
在另一种可能的设计中,该设备1000可实现对应于上文方法实施例中的邻近业务锚点功能网元PAnF(Remote)执行的步骤或者流程,其中,收发单元1010用于执行上文方法实施例中PAnF(Remote)的收发相关的操作,处理单元1020用于执行上文方法实施例中PAnF(Remote)的处理相关的操作。
应理解,这里的设备1000以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,设备1000可以具体为上述实施例中的发送端,可以用于执行上述方法实施例中与发送端对应的各个流程和/或步骤,或者,设备1000可以具体为上述实施例中的接收端,可以用于执行上述方法实施例中与接收端对应的各个流程和/或步骤,为避免重复,在此不再赘述。
上述各个方案的设备1000具有实现上述方法中发送端所执行的相应步骤的功能,或者,上述各个方案的设备1000具有实现上述方法中接收端所执行的相应步骤的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块;例如收发单元可以由收发机替代(例如,收发单元中的发送单元可以由发送机替代,收发单元中的接收单元可以由接收机替代),其它单元,如处理单元等可以由处理器替代,分别执行各个方法实施例中的收发操作以及相关的处理操作。
此外,上述收发单元还可以是收发电路(例如可以包括接收电路和发送电路),处理单元可以是处理电路。在本申请的实施例,图8中的装置可以是前述实施例中的接收端或发送端,也可以是芯片或者芯片系统,例如:片上系统(system on chip,SoC)。其中,收发单元可以是输入输出电路、通信接口。处理单元为该芯片上集成的处理器或者微处理器或者集成电路。在此不做限定。
图9示出了本申请实施例提供的通信装置2000。如图9所示,该设备2000包括处理器2010和收发器2020。其中,处理器2010和收发器2020通过内部连接通路互相通信,该处理器2010用于执行指令,以控制该收发器2020发送信号和/或接收信号。
可选地,该设备2000还可以包括存储器2030,该存储器2030与处理器2010、收发器2020通过内部连接通路互相通信。该存储器2030用于存储指令,该处理器2010可以执行该存储器2030中存储的指令。
在一种可能的实现方式中,设备2000用于实现上述方法实施例中的Remote UE对应的各个流程和步骤。
在另一种可能的实现方式中,设备2000用于实现上述方法实施例中的AUSF(Remote)对应的各个流程和步骤。
在又一种可能的实现方式中,设备2000用于实现上述方法实施例中的PAnF(Remote)对应的各个流程和步骤。
应理解,设备2000可以具体为上述实施例中的发送端或接收端,也可以是芯片或者芯片系统。对应的,该收发器2020可以是该芯片的收发电路,在此不做限定。具体地,该设备2000可以用于执行上述方法实施例中与发送端或接收端对应的各个步骤和/或流程。
可选地,该存储器2030可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。例如,存储器还可以存储设备类型的信息。该处理器2010可以用于执行存储器中存储的指令,并且当该处理器2010执行存储器中存储的指令时,该处理器2010用于执行上述与发送端或接收端对应的方法实施例的各个步骤和/或流程。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。本申请实施例中的处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器、动态随机存取存储器、同步动态随机存取存储器、双倍数据速率同步动态随机存取存储器、增强型同步动态随机存取存储器、同步连接动态随机存取存储器和直接内存总线随机存取存储器。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
图10是本申请实施例提供一种芯片系统3000的示意图。该芯片系统3000(或者也可以称为处理系统)包括逻辑电路3010以及输入/输出接口(input/output interface)3020。
其中,逻辑电路3010可以为芯片系统3000中的处理电路。逻辑电路3010可以耦合连接存储单元,调用存储单元中的指令,使得芯片系统3000可以实现本申请各实施例的方法和功能。输入/输出接口3020,可以为芯片系统3000中的输入输出电路,将芯片系统3000处理好的信息输出,或将待处理的数据或信令信息输入芯片系统3000进行处理。
作为一种方案,该芯片系统3000用于实现上文各个方法实施例中由远端终端设备Remote UE(如图2至图7中的Remote UE)执行的操作。
例如,逻辑电路3010用于实现上文方法实施例中由Remote UE执行的处理相关的操作,如,图2所示实施例中的Remote UE执行的处理相关的操作,或图3至图7中任意一个所示实施例中的Remote UE执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由移动管理网元执行的发送和/或接收相关的操作,如,图2所示实施例中的RemoteUE执行的发送和/或接收相关的操作,或图3至图7中任意一个所示实施例中的Remote UE执行的发送和/或接收相关的操作。
作为另一种方案,该芯片系统3000用于实现上文各个方法实施例中由AUSF(Remote)(如图2至图7中的AUSF(Remote))执行的操作。
例如,逻辑电路3010用于实现上文方法实施例中由AUSF(Remote)执行的处理相关的操作,如,图2所示实施例中的AUSF(Remote)执行的处理相关的操作,或图3至图7中任意一个所示实施例中的AUSF(Remote)执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由AUSF(Remote)执行的发送和/或接收相关的操作,如,图2所示实施例中的AUSF(Remote)执行的发送和/或接收相关的操作,或图3至图7中任意一个所示实施例中的AUSF(Remote)执行的发送和/或接收相关的操作。
作为又一种方案,该芯片系统3000用于实现上文各个方法实施例中由PAnF(Remote)(如图2至图7中的PAnF(Remote))执行的操作。
例如,逻辑电路3010用于实现上文方法实施例中由PAnF(Remote)执行的处理相关的操作,如,图2所示实施例中的PAnF(Remote)执行的处理相关的操作,或图3至图7中任意一个所示实施例中的PAnF(Remote)执行的处理相关的操作;输入/输出接口3020用于实现上文方法实施例中由PAnF(Remote)执行的发送和/或接收相关的操作,如,图2所示实施例中的PAnF(Remote)执行的发送和/或接收相关的操作,或图3至图7中任意一个所示实施例中的PAnF(Remote)执行的发送和/或接收相关的操作。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述各方法实施例中由设备(例如远端终端设备,中继终端设备,AUSF(Remote),或者PAnF(Remote))执行的方法的计算机指令。
本申请实施例还提供一种计算机程序产品,包含指令,该指令被计算机执行时以实现上述各方法实施例中由设备(例如远端终端设备,中继终端设备,AUSF(Remote),或者PAnF(Remote))执行的方法。
本申请实施例还提供一种通信的系统,包括前述的远端终端设备,中继终端设备,AUSF(Remote),PAnF(Remote)中的一个或多个。
上述提供的任一种装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (29)

1.一种通信方法,其特征在于,包括:
认证服务器功能网元获取第一通信装置的第一远端用户密钥;
在确定所述第一通信装置具有使用中继服务的权限的情况下,所述认证服务器功能网元根据所述第一远端用户密钥,生成第一邻近业务密钥,所述第一邻近业务密钥用于所述第一通信装置与所述第二通信装置建立安全连接。
2.根据权利要求1所述的方法,其特征在于,所述认证服务器功能网元获取第一远端用户密钥,包括:
所述认证服务器功能网元通过所述第二通信装置接收来自所述第一通信装置的临近业务认证请求消息,所述邻近业务认证请求消息包括所述第一远端用户密钥的标识和中继服务码,所述中继服务码用于所述第一通信装置与所述第二通信装置建立安全连接。
所述认证服务器功能网元向邻近业务锚点功能网元发送密钥查询请求消息,所述密钥查询请求消息包括所述第一远端用户密钥的标识和所述中继服务码;
所述认证服务器功能网元接收来自所述邻近业务锚点功能网元的密钥查询响应消息,所述密钥查询响应消息包括所述第一远端用户密钥和所述第一通信装置的用户永久标识符。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述认证服务器功能网元确定所述第一通信装置是否具有使用所述中继服务的权限。
4.根据权利要求3所述的方法,其特征在于,所述认证服务器功能网元确定所述第一通信装置是否具有使用所述中继服务的权限,包括:
所述认证服务器功能网元向统一数据管理网元发送授权检查请求消息,所述授权检查请求消息包括所述第一通信装置的用户永久标识符;
所述认证服务器功能网元接收来自所述统一数据管理网元的授权检查响应消息,所述授权检查响应消息包括授权检查结果;
所述认证服务器功能网元根据授权检查结果,确定所述第一通信装置是否具有使用所述中继服务的权限。
5.根据权利要求3所述的方法,其特征在于,所述认证服务器功能网元接收来自所述邻近业务锚点功能网元的密钥查询响应消息,包括:
在所述邻近业务锚点功能网元确定所述第一通信装置具有使用所述中继服务的权限的情况下,所述认证服务器功能网元接收来自所述邻近业务锚点功能网元的所述密钥查询响应消息;
所述认证服务器功能网元根据所述密钥查询响应消息中携带的所述第一远端用户密钥,确定所述第一通信装置具有使用所述中继服务的权限。
6.一种通信方法,其特征在于,包括:
邻近业务锚点功能网元获取第一通信装置的第一远端用户密钥;
在确定所述第一通信装置具有使用中继服务的权限的情况下,所述邻近业务锚点功能网元向认证服务器功能网元发送所述第一远端用户密钥。
7.根据权利要求6所述的方法,其特征在于,所述邻近业务锚点功能网元获取第一远端用户密钥,包括:
所述邻近业务锚点功能网元接收来自所述认证服务器功能网元密钥查询请求消息,所述密钥查询请求消息包括所述第一远端用户密钥的标识和所述中继服务码;
所述邻近业务锚点功能网元根据所述第一远端用户密钥的标识和所述中继服务码,本地查询得到所述第一远端用户密钥和所述第一通信装置的用户永久标识符。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述邻近业务锚点功能网元确定所述第一通信装置是否具有使用所述中继服务的权限。
9.根据权利要求8所述的方法,其特征在于,所述邻近业务锚点功能网元确定所述第一通信装置是否具有使用所述中继服务的权限,包括:
所述邻近业务锚点功能网元向统一数据管理网元发送授权检查请求消息,所述授权检查请求消息包括所述第一通信装置的用户永久标识符;
所述邻近业务锚点功能网元接收来自所述统一数据管理网元的授权检查响应消息,所述授权检查响应消息包括授权检查结果;
所述邻近业务锚点功能网元根据授权检查结果,确定所述第一通信装置是否具有使用所述中继服务的权限。
10.根据权利要求8所述的方法,其特征在于,所述邻近业务锚点功能网元确定所述第一通信装置是否具有使用所述中继服务的权限,包括:
所述邻近业务锚点功能网元根据所述第一通信装置的用户永久标识符,本地查询得到邻近业务授权信息;
所述邻近业务锚点功能网元根据所述邻近业务授权信息,确定所述第一通信装置是否具有使用所述中继服务的权限。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
所述邻近业务锚点功能网元接收来自所述认证服务器功能网元的所述邻近业务授权信息。
12.一种通信方法,其特征在于,包括:
第一通信装置确定是否需要更新第一远端用户密钥;
在确定需要更新所述第一远端用户密钥的情况下,所述第一通信装置通过第二通信装置向认证服务器功能网元发送第二临近业务认证请求消息,所述第二邻近业务认证请求消息包括所述第一通信装置的订阅隐藏标识符和中继服务码,所述中继服务码用于所述第一通信装置与所述第二通信装置建立安全连接。
所述第一通信装置生成第二远端用户密钥。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
在确定不需要更新所述第一远端用户密钥的情况下,所述第一通信装置通过所述第二通信装置向所述认证服务器功能网元发送第一临近业务认证请求消息,所述第一邻近业务认证请求消息包括所述第一远端用户密钥的标识和所述中继服务码;
所述第一通信装置根据所述第一远端用户密钥,生成第一邻近业务密钥,所述第一邻近业务密钥用于所述第一通信装置与所述第二通信装置建立安全连接。
14.根据权利要求12或13所述的方法,其特征在于,所述第一通信装置确定是否需要更新第一远端用户密钥,包括:
所述第一通信装置根据本地策略,确定是否需要更新所述第一远端用户密钥。
15.根据权利要求12至14中任一项所述的方法,其特征在于,所述第一通信装置生成第二远端用户密钥,包括:
所述第一通信装置根据所述第一通信装置的用户永久标识符,所述中继服务码和所述认证服务器功能网元的根密钥,生成所述第二远端用户密钥。
16.一种通信方法,其特征在于,包括:
第一通信装置确定是否需要更新所述第一远端用户密钥;
在确定不需要更新所述第一远端用户密钥的情况下,所述第一通信装置通过第二通信装置向认证服务器功能网元发送第一临近业务认证请求消息,所述第一邻近业务认证请求消息包括所述第一远端用户密钥的标识和中继服务码,所述中继服务码指示所述第一通信装置与所述第二通信装置建立安全连接;
所述认证服务器功能网元接收来自所述第一通信装置的所述第一临近业务认证请求消息,且所述认证服务器功能网元根据所述第一远端用户密钥的标识,获取所述第一远端用户密钥和所述第一通信装置的用户永久标识符;
在确定所述第一通信装置具有使用中继服务的权限的情况下,所述认证服务器功能网元根据所述第一远端用户密钥,生成第一邻近业务密钥,所述第一邻近业务密钥用于所述第一通信装置与所述第二通信装置建立安全连接。
17.根据权利要求16所述的方法,其特征在于,所述认证服务器功能网元根据所述第一远端用户密钥的标识,获取所述第一远端用户密钥和所述第一通信装置的用户永久标识符,包括:
所述认证服务器功能网元向邻近业务锚点功能网元发送密钥查询请求消息,所述密钥查询请求消息包括所述第一远端用户密钥的标识和所述中继服务码;
所述邻近业务锚点功能网元接收来自所述认证服务器功能网元的所述密钥查询请求消息,且所述邻近业务锚点功能网元根据所述第一远端用户密钥的标识和所述中继服务码,本地查询得到所述第一远端用户密钥和所述第一通信装置的用户永久标识符;
所述邻近业务锚点功能网元向所述认证服务器功能网元发送所述密钥查询响应消息,所述密钥查询响应消息包括所述第一远端用户密钥和所述第一通信装置的用户永久标识符;
所述认证服务器功能网元接收来自所述邻近业务锚点功能网元的所述密钥查询响应消息。
18.根据权利要求17所述的方法,其特征在于,所述方法还包括:
所述认证服务器功能网元确定所述第一通信装置是否具有使用所述中继服务的权限。
19.根据权利要求18所述的方法,其特征在于,所述认证服务器功能网元确定所述第一通信装置是否具有使用所述中继服务的权限,包括:
所述认证服务器功能网元向统一数据管理网元发送授权检查请求消息,所述授权检查请求消息包括所述第一通信装置的用户永久标识符;
所述统一数据管理网元接收来自所述认证服务器功能网元的所述授权检查请求消息,且所述统一数据管理网元根据所述第一通信装置的用户永久标识符,对所述第一通信装置进行授权检查;
所述统一数据管理网元向所述认证服务器功能网元发送授权检查响应消息,所述授权检查响应消息包括授权检查结果;
所述认证服务器功能网元接收来自所述统一数据管理网元的所述授权检查响应消息,且所述认证服务器功能网元根据所述授权检查结果,确定所述第一通信装置是否具有使用所述中继服务的权限。
20.根据权利要求18所述的方法,其特征在于,在所述邻近业务锚点功能网元向所述认证服务器功能网元发送所述密钥查询响应消息之前,所述方法还包括:
所述邻近业务锚点功能网元根据所述第一通信装置的用户永久标识符,本地查询得到邻近业务授权信息;
所述邻近业务锚点功能网元根据所述邻近业务授权信息,确定所述第一通信装置是否具有使用所述中继服务的权限。
21.根据权利要求18所述的方法,其特征在于,在所述邻近业务锚点功能网元向所述认证服务器功能网元发送所述密钥查询响应消息之前,所述方法还包括:
所述邻近业务锚点功能网元向统一数据管理网元发送授权检查请求消息,所述授权检查请求消息包括所述第一通信装置的用户永久标识符;
所述统一数据管理网元接收来自所述邻近业务锚点功能网元的所述授权检查请求消息,且所述统一数据管理网元根据所述第一通信装置的用户永久标识符,对所述第一通信装置进行授权检查;
所述统一数据管理网元向所述邻近业务锚点功能网元发送授权检查响应消息,所述授权检查响应消息包括授权检查结果;
所述邻近业务锚点功能网元接收来自所述统一数据管理网元的所述授权检查响应消息,且所述邻近业务锚点功能网元根据所述授权检查结果,确定所述第一通信装置是否具有使用所述中继服务的权限。
22.根据权利要求20或21所述的方法,其特征在于,所述邻近业务锚点功能网元向所述认证服务器功能网元发送所述密钥查询响应消息,包括:
在确定所述第一通信装置具有使用所述中继服务的权限的情况下,所述邻近业务锚点功能网元向所述认证服务器功能网元发送所述密钥查询响应消息;
所述认证服务器功能网元接收来自所述邻近业务锚点功能网元的所述密钥查询响应消息;
其中,所述认证服务器功能网元确定所述第一通信装置是否具有使用所述中继服务的权限,包括:
所述认证服务器功能网元根据所述第一远端用户密钥,确定所述第一通信装置具有使用所述中继服务的权限。
23.根据权利要求16至22中任一项所述的方法,其特征在于,所述方法还包括:
在确定需要更新所述第一远端用户密钥的情况下,所述第一通信装置通过所述第二通信装置向所述认证服务器功能网元发送第二临近业务认证请求消息,所述第二邻近业务认证请求消息包括所述第一通信装置的订阅隐藏标识符和所述中继服务码;
所述认证服务器功能网元接收来自所述第一通信装置的所述第二临近业务认证请求消息,且所述认证服务器功能网元根据所述第一通信装置的订阅隐藏标识符,对所述第一通信装置进行临近业务认证;
在确定所述临近业务认证通过的情况下,所述认证服务器功能网元生成第二远端用户密钥,且所述第一通信装置生成所述第二远端用户密钥。
24.一种通信装置,其特征在于,包括:一个或多个功能模块,所述一个或多个功能模块或网元用于执行如权利要求1至23中任一项所述的方法。
25.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合;所述处理器,用于执行所述存储器中存储的计算机程序,以使得所述装置执行如权利要求1至23中任一项所述的方法。
26.一种通信系统,其特征在于,包括:第一通信装置,认证服务器功能网元,和邻近业务锚点功能网元,所述认证服务器功能网元,用于执行如权利要求1至5中任一项所述的方法;所述邻近业务锚点功能网元,用于执行如权利要求6至11中任一项所述的方法;所述第一通信装置,用于执行如权利要求12至15中任一项所述的方法。
27.一种芯片,其特征在于,包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有所述芯片的通信装置执行如权利要求1至23中任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质上存储有计算机程序,当所述计算机程序运行时,使得所述计算机执行如权利要求1至23中任一项所述的方法。
29.一种计算机程序,其特征在于,所述计算机程序被通信装置执行时,实现如权利要求1至23中任一项所述的方法。
CN202211379655.5A 2022-11-04 2022-11-04 通信方法和通信装置 Pending CN117998353A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211379655.5A CN117998353A (zh) 2022-11-04 2022-11-04 通信方法和通信装置
PCT/CN2023/129280 WO2024094108A1 (zh) 2022-11-04 2023-11-02 通信方法和通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211379655.5A CN117998353A (zh) 2022-11-04 2022-11-04 通信方法和通信装置

Publications (1)

Publication Number Publication Date
CN117998353A true CN117998353A (zh) 2024-05-07

Family

ID=90897985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211379655.5A Pending CN117998353A (zh) 2022-11-04 2022-11-04 通信方法和通信装置

Country Status (2)

Country Link
CN (1) CN117998353A (zh)
WO (1) WO2024094108A1 (zh)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220144670A (ko) * 2021-04-20 2022-10-27 삼성전자주식회사 이동 통신 시스템에서 단말 간 연결을 통한 네트워크 접속 요청의 인증을 위한 방법 및 장치

Also Published As

Publication number Publication date
WO2024094108A1 (zh) 2024-05-10

Similar Documents

Publication Publication Date Title
EP3629613B1 (en) Network verification method, and relevant device and system
US11805409B2 (en) System and method for deriving a profile for a target endpoint device
CN113016202A (zh) 5g系统中的初始非接入层协议消息的保护
TW201625028A (zh) 限制直接發現方法
WO2009008627A2 (en) A method of establishing fast security association for handover between heterogeneous radio access networks
EP3944649A1 (en) Verification method, apparatus, and device
CN111869182A (zh) 无线通信网络认证
US20230189192A1 (en) Access to Second Network by Wireless Device
EP4005281A1 (en) Communications device, infrastructure equipment, core network element and methods
KR101460766B1 (ko) 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
CN113676904B (zh) 切片认证方法及装置
EP4107916A1 (en) Privacy protection for sidelink communications
CN103384365A (zh) 一种网络接入方法、业务处理方法、系统及设备
WO2010126417A1 (en) Method and apparatus for mobile terminal positioning operations
CN115484595A (zh) 一种公私网业务的隔离方法、装置及系统
CN115412911A (zh) 一种鉴权方法、通信装置和系统
WO2021069358A1 (en) Security for groupcast message in d2d communication
CN117320002A (zh) 通信方法及装置
CN117998353A (zh) 通信方法和通信装置
CN114205814A (zh) 一种数据传输方法、装置、系统、电子设备及存储介质
EP4369760A1 (en) Secure communication method and apparatus
WO2023202337A1 (zh) 通信方法和装置
WO2023160390A1 (zh) 通信方法与装置
US20220393877A1 (en) Cryptographic Security Mechanism for Groupcast Communication
CN115915126A (zh) 安全通信的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication