CN118138100A - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN118138100A CN118138100A CN202211542513.6A CN202211542513A CN118138100A CN 118138100 A CN118138100 A CN 118138100A CN 202211542513 A CN202211542513 A CN 202211542513A CN 118138100 A CN118138100 A CN 118138100A
- Authority
- CN
- China
- Prior art keywords
- terrestrial communication
- communication network
- access network
- network node
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 489
- 238000000034 method Methods 0.000 title claims abstract description 163
- 230000000977 initiatory effect Effects 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 207
- 230000006870 function Effects 0.000 claims description 160
- 230000004044 response Effects 0.000 claims description 136
- 238000013523 data management Methods 0.000 claims description 54
- 238000004590 computer program Methods 0.000 claims description 13
- 239000000523 sample Substances 0.000 claims 1
- 239000000758 substrate Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 23
- 230000003993 interaction Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 101150096310 SIB1 gene Proteins 0.000 description 12
- 238000012795 verification Methods 0.000 description 11
- 230000011664 signaling Effects 0.000 description 5
- 230000002457 bidirectional effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种通信方法和装置,该方法包括:非陆地通信网络网关接收来自卫星接入网节点的卫星接入网节点的标识信息;非陆地通信网络网关向卫星接入网节点发送连接建立请求消息;非陆地通信网络网关根据标识信息获取与卫星接入网节点对应的第一共享密钥;响应于连接建立请求消息,卫星接入网节点发起对非陆地通信网络网关的认证;非陆地通信网络网关根据第一共享密钥认证基于卫星接入网节点接入的网络。在对非陆地通信网络网关认证成功的情况下,卫星接入网节点向非陆地通信网络网关发送安全连接建立命令消息。本申请提供的方法及装置,能够提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而提升用户体验。
Description
技术领域
本申请涉及通信领域,更具体地,涉及一种通信方法及装置。
背景技术
目前,在非陆地通信网络(non-terrestrial network,NTN)中,部署在卫星上的接入网(radio access network,RAN)节点可称为卫星接入网节点。一种可能的架构中,终端设备(user equipment,UE)基于卫星接入网节点与核心网进行交互,其中,卫星接入网节点通过NTN网关与核心网进行交互。具体地,UE与卫星接入网节点使用新无线-Uu(new radio,NR-Uu)无线链路进行交互,卫星接入网节点与NTN网关之间基于卫星无线接口(satelliteradio interface,SRI)进行交互,NTN网关与核心网网元之间基于有线接口进行交互。在这种架构中,在卫星接入网节点为UE提供接入服务前,卫星接入网节点首先需要与NTN网关建立连接,随后通过NTN网关与核心网网元之间进行交互。
然而,针对卫星接入网节点如何与NTN网关建立安全的通信连接,目前并没有具体的解决方案。因此,如何实现卫星接入网节点与NTN网关之间的安全通信成为亟待解决的问题。
发明内容
本申请提供一种通信方法及装置,能够提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而提升用户体验。
第一方面,提供了一种通信方法,该方法可以由非陆地通信网络网关执行,或者,也可以由非陆地通信网络网关的组成部件(例如芯片或者电路)执行,本申请对此不作限定。为了便于描述,下面以由非陆地通信网络网关执行为例进行说明。
该方法可以包括:非陆地通信网络网关接收来自卫星接入网节点的第一系统消息,该第一系统消息包括该卫星接入网节点的标识信息;响应于该第一系统消息,该非陆地通信网络网关向该卫星接入网节点发送连接建立请求消息;该非陆地通信网络网关根据该标识信息获取与该卫星接入网节点对应的第一共享密钥;该非陆地通信网络网关根据该第一共享密钥认证基于该卫星接入网节点接入的网络。
结合第一方面,在第一方面的某些实现方式中,该第一系统消息包括该卫星接入网节点的标识信息,包括:该第一系统消息包括小区的标识信息,该小区的标识信息包括该卫星接入网节点的标识信息。
上述方案,非陆地通信网络网关基于卫星接入网节点接入网络,并通过第一共享密钥对接入的网络进行验证,以便于与卫星接入网节点建立安全连接,能够提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而提升用户体验。
结合第一方面,在第一方面的某些实现方式中,在对该接入的网络认证成功的情况下,该非陆地通信网络网关根据该第一共享密钥生成第一认证响应值;该非陆地通信网络网关向该卫星接入网节点发送该第一认证响应值。
上述方案,能够便于卫星接入网节点确定双向认证成功,以便于建立安全连接。
结合第一方面,在第一方面的某些实现方式中,该方法还包括:该非陆地通信网络网关接收来自该卫星接入网节点的安全连接建立命令消息;响应于该安全连接建立命令消息,该非陆地通信网络网关根据该卫星接入网节点的标识信息和该第一共享密钥建立与该卫星接入网节点的安全连接。
上述方案,通过非陆地通信网络网关根据卫星接入网节点的标识信息和第一共享密钥建立与卫星接入网节点的安全连接,能够提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而提升用户体验。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关根据该标识信息获取与该卫星接入网节点对应的第一共享密钥,包括:该非陆地通信网络网关获取一个或多个共享密钥;该非陆地通信网络网关根据该卫星接入网节点的标识信息在该一个或多个共享密钥中确定该第一共享密钥。
上述方案,非陆地通信网络网关在一个或多个共享密钥中确定该第一共享密钥,相比于由非陆地通信网络网关针对卫星接入网节点推演第一共享密钥,能够节省开销、降低设备复杂度。
可选地,该一个或多个共享密钥中每个共享密钥只与一个卫星接入网节点对应。或者,M个共享密钥分别与M个卫星接入网节点一一对应,M≥1且M为整数。
上述方案,能够实现非陆地通信网络网关接入不同的卫星接入网节点时使用不同的共享密钥,从而实现不同卫星接入点之间的密钥隔离,进一步提升通信的安全。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关获取一个或多个共享密钥,包括:该非陆地通信网络网关从本地获取该一个或多个共享密钥;或者,该非陆地通信网络网关从移动管理网元或用户管理网元或用户面网元获取该一个或多个共享密钥。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关从移动管理网元或用户管理网元获取该一个或多个共享密钥,包括:该非陆地通信网络网关通过第一接入网节点向该移动管理网元发送非接入层消息,该非接入层消息包括该非陆地通信网络网关的标识信息;该非陆地通信网络网关通过该第一接入网节点接收来自该移动管理网元或用户面管理网元的该一个或多个共享密钥,该一个或多个共享密钥与该非陆地通信网络网关可接入的一个或者多个卫星接入网节点对应。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关从用户面网元获取该一个或多个共享密钥,包括:该非陆地通信网络网关通过第一接入网节点和用户面网元建立与密钥管理网元的通信连接,该非陆地通信网络网关通过该第一接入网节点接收来自该用户面网元的该一个或多个共享密钥,该一个或多个共享密钥与该非陆地通信网络网关可接入的一个或者多个卫星接入网节点对应。
可以理解的是,非陆地通信网络网关可接入的卫星接入网节点可以是非陆地通信网络网关具有权限接入的卫星接入网节点,该非陆地通信网络网关可接入的卫星接入节点信息可以预配置在网络中。
可选地,该一个或多个共享密钥与该非陆地通信网络网关可接入的一个或者多个卫星接入网节点一一对应。
上述方案,相比于针对单个卫星接入网节点获取对应的共享密钥,同时获取其他可接入的卫星接入网节点对应的共享密钥,后续步骤中与除该卫星接入网节点以外的接入网节点通信时可以直接从本地获取对应的密钥,能够节省信令交互,降低开销。
可选地,该卫星接入网节点为部署在中低轨卫星上的接入网节点,该第一接入网节点为部署在高轨卫星上的接入网节点。
可以理解的是,针对中低轨卫星,卫星相对地球的位置是时刻变化的,在不同的时刻,同一个非陆地通信网络网关会与不同的卫星建立连接。高轨卫星的数量远小于中低轨卫星的数量(目前高轨卫星的数量为个位数,中低轨卫星的数量为几千个)。上述方案,非陆地通信网络网关从已经建立安全连接的高轨卫星上的卫星接入网节点获取中低轨卫星上的接入网节点对应的共享密钥,能够实现动态获取与中低轨卫星接入网节点进行安全通信的共享密钥,保证安全密钥提供的灵活性。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关从移动管理网元或用户管理网元或用户面网元获取该一个或多个共享密钥,包括:该非陆地通信网络网关通过第一接入网节点向该移动管理网元发送非接入层消息,该非接入层消息包括该非陆地通信网络网关的标识信息和网络标识,该网络标识为该卫星接入网节点所服务的网络的标识信息;该非陆地通信网络网关通过该第一接入网节点接收来自该移动管理网元或该用户管理网元或该用户面网元的该一个或多个共享密钥,该一个或多个共享密钥与该所服务的网络中的一个或多个卫星接入网节点对应。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关根据该标识信息从移动管理网元或用户管理网元获取该第一共享密钥,包括:该非陆地通信网络网关接收来自第一接入网节点的第二系统消息;响应于该第二系统消息,该非陆地通信网络网关通过该第一接入网节点向该移动管理网元发送注册请求消息,该注册请求消息包括该非陆地通信网络网关的第一标识信息和网络标识,该网络标识为该卫星接入网节点所服务的网络的标识信息,该网络标识用于获取用于与该所服务的网络中的每个接入网节点建立安全连接的一个或多个共享密钥;该非陆地通信网络网关接收来自该移动管理网元或该用户管理网元该一个或多个共享密钥;该非陆地通信网络网关根据该标识信息在该一个或多个共享密钥中确定第一共享密钥。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关根据该标识信息获取与该卫星接入网节点对应的第一共享密钥,包括:该非陆地通信网络网关根据该标识信息从移动管理网元或用户管理网元或用户面网元获取与该卫星接入网节点对应的第一共享密钥。
由于在不同的时刻该非陆地通信网络网关可能与不同的卫星接入网节点建立连接,上述方案,非陆地通信网络网关从核心网网元获取第一共享密钥,相比于非陆地通信网络网关存储多个卫星接入网节点对应的一个或多个共享密钥,能够按需获取需要的第一共享密钥,节省非陆地通信网络网关的存储空间。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关根据该标识信息从移动管理网元或用户管理网元或用户面网元获取该第一共享密钥,包括:该非陆地通信网络网关通过第一接入网节点向该移动管理网元发送非接入层消息,该非接入层消息包括该卫星接入网节点的标识信息;该非陆地通信网络网关接收来自该移动管理网元或该用户管理网元或该用户面网元的该第一共享密钥。
可选地,该卫星接入网节点为部署在中低轨卫星上的接入网节点,该第一接入网节点为部署在高轨卫星上的接入网节点。
针对中低轨卫星,卫星相对地球的位置是时刻变化的,在不同的时刻,同一个非陆地通信网络网关会与不同的卫星建立连接。高轨卫星的数量远小于中低轨卫星的数量(目前高轨卫星的数量为个位数,中低轨卫星的数量为几千个)。上述方案,非陆地通信网络网关先与已经建立安全连接的高轨卫星上的卫星接入网节点后,从高轨卫星上的卫星接入网节点获取中低轨卫星上的接入网节点对应的共享密钥,能够实现动态获取与中低轨卫星接入网节点进行安全通信的共享密钥,保证安全密钥提供的灵活性。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关根据该标识信息从移动管理网元或用户管理网元或用户面网元获取该第一共享密钥,包括:该非陆地通信网络网关接收来自第一接入网节点的第二系统消息;响应于该第二系统消息,该非陆地通信网络网关通过该第一接入网节点向该移动管理网元发送注册请求消息,该注册请求消息包括该非陆地通信网络网关的第一标识信息和该卫星接入网节点的标识信息,该卫星接入网节点的标识信息用于获取用于与该卫星接入网节点建立安全连接的共享密钥;该非陆地通信网络网关接收来自该移动管理网元或用户管理网元或该用户面网元的该第一共享密钥。
结合第一方面,在第一方面的某些实现方式中,该接入层消息还包括配置指示信息,该配置指示信息用于触发该移动管理网元发起获取该第一共享密钥的流程。
结合第一方面,在第一方面的某些实现方式中,该注册请求消息还包括配置指示信息,该配置指示信息用于触发该移动管理网元发起获取该第一共享密钥的流程。
结合第一方面,在第一方面的某些实现方式中,该非陆地通信网络网关存储该卫星接入网节点的标识信息和该第一共享密钥。
上述方案,以便于在以后的认证过程中,不需要再根据第二标识信息推演第一共享密钥,降低处理复杂度;不需要再通过信令交互的方式获取第一共享密钥,节省信令交互,降低开销。
第二方面,提供了一种通信方法,该方法可以由卫星接入网节点执行,或者,也可以由卫星接入网节点的组成部件(例如芯片或者电路)执行,本申请对此不作限定。为了便于描述,下面以由卫星接入网节点执行为例进行说明。
该方法可以包括:卫星接入网节点接收来自非陆地通信网络网关的连接建立请求消息;响应于该连接建立请求消息,该卫星接入网节点发起对该非陆地通信网络网关的认证;在对该非陆地通信网络网关认证成功的情况下,该卫星接入网节点向该非陆地通信网络网关发送安全连接建立命令消息。
可以理解的是,卫星接入网节点发起对非陆地通信网络网关的认证,可以指卫星接入网节点确定触发认证流程;也可以指卫星接入网节点向另一个星上功能网元发送消息,以使得另一个星上功能网元触发认证流程。可选地,卫星接入网节点与该另一个星上功能网元部署于同一个卫星上。其中,该认证流程用于对非陆地通信网络网元进行认证或该认证流程用于卫星接入网节点和非陆地通信网络网关进行双向认证。
上述方案,卫星接入网节点接收到非陆地通信网络网关的连接建立请求消息后,会发起对非陆地通信网络网关的认证,认证成功的情况下才与非陆地通信网络网关建立安全连接,能够提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而提升用户体验。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该卫星接入网节点从安全功能网元获取第二认证响应值,该第二认证响应值用于认证该非陆地通信网络网关;该卫星接入网节点接收来自该非陆地通信网络网关的第一认证响应值;在该第二认证响应值和该第一认证响应值相同的情况下,该卫星接入网节点确定对该非陆地通信网络网关认证成功。
上述方案,卫星接入网节点确定双向认证成功的情况下,确定该非陆地通信网络网关认证成功,能够进一步提高卫星接入网节点与非陆地通信网络网关之间的安全性,从而进一步提升用户体验。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:该卫星接入网节点接收该非陆地通信网络网关的第一标识信息;该卫星接入网节点根据该第一标识信息向该安全功能网元传输该非陆地通信网络网关的第二标识信息,该非陆地通信网络网关的第二标识信息用于生成该第二认证响应值。
结合第二方面,在第二方面的某些实现方式中,该第一标识信息为用户隐藏标识,该第二标识信息为用户永久标识。
上述方案,卫星接入网节点与非陆地通信网络网关之间传输用户隐藏标识,相比于直接传输用户永久标识,能够进一步降低暴露非陆地通信网络网关的标识信息的可能性,提高安全性。
结合第二方面,在第二方面的某些实现方式中,该方法还包括:响应于该安全连接建立命令消息,该卫星接入网节点根据该非陆地通信网络网关的用户永久标识和第一共享密钥建立与该非陆地通信网络网关的安全连接,该第一共享密钥是根据该用户永久标识生成的。
结合第二方面,在第二方面的某些实现方式中,该卫星接入网节点发起对该非陆地通信网络网关的认证,包括:卫星接入网节点根据该连接建立请求消息确定发起对该非陆地通信网络网关的认证。
结合第二方面,在第二方面的某些实现方式中,卫星接入网节点根据该连接建立请求消息确定发起对该非陆地通信网络网关的认证,包括:该连接建立请求消息包括指示信息,该卫星接入网节点根据该指示信息确定发起对该非陆地通信网络网关的认证;或者,该卫星接入网节点根据承载该连接建立请求消息的无线资源确定发起对该非陆地通信网络网关的认证。
结合第二方面,在第二方面的某些实现方式中,该指示信息用于指示该非陆地通信网络网关通过该卫星接入网节点接入的网络;或者,该指示信息用于指示该非陆地通信网络网关的类型;或者,该指示信息用于指示该卫星接入网节点所在的星上网络。
其中,该指示信息用于指示该非陆地通信网络网关的类型,可以理解为:连接建立请求消息中包括该指示信息可以指示发送该连接建立请求消息的设备的类型,例如该类型包括终端设备或非陆地通信网络网关。可以理解的是,该类型包括的非陆地通信网络网关为设备的类型,与卫星接入网节点交互的非陆地通信网络网关特指一个或多个具体的网关设备(为了方便说明可以称为第一非陆地通信网络网关)。第一非陆地通信网络网关的类型为非陆地通信网络网关。
其中,卫星接入网节点能够为非陆地通信网络网关提供接入星上网络的服务。
第三方面,提供了一种通信方法,该方法可以由安全功能网元执行,或者,也可以由安全功能网元的组成部件(例如芯片或者电路)执行,本申请对此不作限定。为了便于描述,下面以由安全功能网元执行为例进行说明。
该方法可以包括:该安全功能网元根据非陆地通信网络网关的标识信息确定第一共享密钥;该安全功能网元根据该第一共享密钥生成第二认证响应值;该安全功能网元向该卫星接入网节点发送该第二认证响应值,该第二认证响应值用于认证该非陆地通信网络网关。
上述方案,安全功能网元根据标识信息生成与非陆地通信网络网关对应的第二认证响应值,以便于非陆地通信网络网关能够基于该第二认证响应值对卫星接入网节点进行认证,从而以便于非陆地通信网络网关与卫星接入网节点建立安全连接,从而能提高卫星接入网节点与非陆地通信网络网关之间的安全性,提升用户体验。
结合第三方面,在第三方面的某些实现方式中,该安全功能网元根据该非陆地通信网络网关的标识信息确定第一共享密钥,包括:该安全功能网元获取根密钥;在该非陆地通信网络网关的标识信息为该非陆地通信网络网关的永久身份标识的情况下,该安全功能网元根据该非陆地通信网络网关的标识信息和该根密钥生成该第一共享密钥;或者,在该非陆地通信网络网关的标识信息为该非陆地通信网络网关的用户隐藏标识或临时标识的情况下,该安全功能网元根据该非陆地通信网络网关的标识信息获取用户永久标识,该安全功能网元根据该用户永久标识和该根密钥生成该第一共享密钥。
结合第三方面,在第三方面的某些实现方式中,该安全功能网元根据该用户永久标识和该根密钥生成该第一共享密钥,包括:该安全功能网元根据该用户永久标识的部分信息(如用户永久标识中的用户名)和该根密钥生成该第一共享密钥。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:该安全功能网元从该卫星接入网节点获取认证成功指示信息,该认证成功指示信息用于指示该卫星接入网节点对该非陆地通信网络网关认证成功;响应于该认证成功指示信息,该安全功能网元根据所述非陆地通信网络网关的标识信息存储所述第一共享密钥和所述非陆地通信网络网关的永久身份标识。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:安全功能网元从卫星接入网节点获取该非陆地通信网络网关的标识信息,该标识信息用于请求对该非陆地通信网络网关进行认证。
第四方面,提供了一种通信方法,该方法可以由签约数据管理网元执行,或者,也可以由签约数据管理网元的组成部件(例如芯片或者电路)执行,本申请对此不作限定。为了便于描述,下面以由签约数据管理网元执行为例进行说明。
该方法可以包括:签约数据管理网元接收来自移动管理网元的配置信息请求消息,该配置信息请求消息用于获取与非陆地通信网络网关对应的密钥;该签约数据管理网元向卫星管理功能网元发送密钥信息请求消息,该密钥信息请求消息用于请求与该非陆地通信网络网关对应的密钥;该签约数据管理网元接收来自该卫星管理功能网元的密钥信息响应消息,该密钥信息响应消息包括该非陆地通信网络网关与卫星接入网节点建立安全连接的第一共享密钥;响应于该配置信息请求消息,该签约数据管理网元向该移动管理网元发送配置信息响应消息,该配置信息响应消息包括和该第一共享密钥。
可选地,配置信息请求消息中可以包括该卫星接入网节点的标识信息,和/或,配置信息响应消息中可以包括该卫星接入网节点的标识信息。
结合第四方面,在第四方面的某些实现方式中,该配置信息请求消息和该密钥信息请求消息均包括该非陆地通信网络网关的用户永久标识。
结合第四方面,在第四方面的某些实现方式中,该配置信息请求消息和该密钥信息请求消息均包括该卫星接入网节点的标识信息,其中,该卫星接入网节点的标识信息用于获取用于与该卫星接入网节点建立安全连接的一个或多个共享密钥;和/或,该配置信息请求消息和该密钥信息请求消息均包括网络标识,该网络标识为该卫星接入网节点所服务的网络的标识信息,该网络标识用于获取用于与该所服务的网络中的每个接入网节点建立安全连接的一个或多个共享密钥;该配置信息响应消息包括该每个接入网节点的标识信息和该一个或多个共享密钥,该一个或多个共享密钥包括该第一共享密钥,该每个接入网节点的标识信息包括该卫星接入网节点的标识信息。
第五方面,提供了一种通信方法,该方法可以由移动管理网元执行,或者,也可以由移动管理网元的组成部件(例如芯片或者电路)执行,本申请对此不作限定。为了便于描述,下面以由移动管理网元执行为例进行说明。
该方法可以包括:移动管理网元接收来自非陆地通信网络网关的注册请求消息,该注册请求消息包括该非陆地通信网络网关的第一标识信息;该移动管理网元根据该非陆地通信网络网关的第一标识信息获取卫星接入网节点的标识信息,以及,用于该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥;该移动管理网元向该非陆地通信网络网关发送该卫星接入网节点的标识信息和该第一共享密钥。
结合第五方面,在第五方面的某些实现方式中,该移动管理网元根据该非陆地通信网络网关的第一标识信息获取卫星接入网节点的标识信息,以及,用于该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥,包括:该移动管理网元根据该非陆地通信网络网关的第一标识信息获取该非陆地通信网络网关的用户永久标识;该移动管理网元向该签约数据管理网元或卫星管理功能网元发送配置信息请求消息,该配置信息请求消息包括该用户永久标识;该移动管理网元接收来自该签约数据管理网元或该卫星管理功能网元的配置信息响应消息,该配置信息响应消息包括该卫星接入网节点的标识信息和该第一共享密钥。
结合第五方面,在第五方面的某些实现方式中,该非陆地通信网络网关的第一标识信息为该非陆地通信网络网关的用户隐藏标识,该移动管理网元根据该非陆地通信网络网关的第一标识信息获取该非陆地通信网络网关的用户永久标识,包括:该移动管理网元向该签约数据管理网元发送该非陆地通信网络网关的用户隐藏标识;该移动管理网元接收来自该签约数据管理网元的该用户永久标识。
结合第五方面,在第五方面的某些实现方式中,该注册请求消息和该配置信息请求消息中均包括:该卫星接入网节点的标识信息和/或网络标识,其中,该卫星接入网节点的标识信息用于获取用于与该卫星接入网节点建立安全连接的共享密钥;该网络标识为该卫星接入网节点所服务的网络的标识信息,该网络标识用于获取用于与该所服务的网络中的所有接入网节点建立安全连接的共享密钥。
结合第五方面,在第五方面的某些实现方式中,该注册请求消息还包括配置指示信息,该移动管理网元向该签约数据管理网元或卫星管理功能网元发送配置信息请求消息,包括:该移动管理网元根据该配置指示信息向该签约数据管理网元或卫星管理功能网元发送配置信息请求消息。
第六方面,提供一种通信装置,该装置包括:至少一个处理器,用于执行存储器存储的计算机程序或指令,以执行上述第一方面至第五方面中任一种可能实现方式中的方法。可选地,该装置还包括存储器,用于存储的计算机程序或指令。可选地,该装置还包括通信接口,处理器通过通信接口读取存储器存储的计算机程序或指令。
在一种实现方式中,该装置为通信设备(如非陆地通信网络网关,又如卫星接入网节点,再如安全功能网元,再如签约数据管理网元,再如移动管理网元)。
在另一种实现方式中,该装置为用于通信设备(如非陆地通信网络网关,又如卫星接入网节点,再如安全功能网元,再如签约数据管理网元,再如移动管理网元)的芯片、芯片系统或电路。
第七方面,本申请提供一种处理器,用于执行上述第一方面至第五方面提供的方法。
对于处理器所涉及的发送和获取/接收等操作,如果没有特殊说明,或者,如果未与其在相关描述中的实际作用或者内在逻辑相抵触,则可以理解为处理器输出和接收、输入等操作,也可以理解为由射频电路和天线所进行的发送和接收操作,本申请对此不做限定。
第八方面,提供了一种通信系统,包括非陆地通信网络网关、卫星接入网节点,该非陆地通信网络网关用于实现上述第一方面任一种可能实现方式中的方法,该卫星接入网节点用于实现上述第二方面任一种可能实现方式中的方法。
可选地,该通信系统还包括安全功能网元,该安全功能网元用于实现上述第三方面任一种可能实现方式中的方法。
第九方面,提供一种计算机可读存储介质,该计算机可读介质存储用于设备执行的程序代码,该程序代码包括用于执行上述第一方面至第五方面任一种可能实现方式中的方法。
第十方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第五方面任一种可能实现方式中的方法。
第十一方面,提供了一种通信方法,包括:非陆地通信网络网关接收来自卫星接入网节点的第一系统消息,该第一系统消息包括该卫星接入网节点的标识信息;响应于该第一系统消息,该非陆地通信网络网关向该卫星接入网节点发送连接建立请求消息;该非陆地通信网络网关根据该标识信息获取与该卫星接入网节点对应的第一共享密钥;该非陆地通信网络网关根据该第一共享密钥认证基于该卫星接入网节点接入的网络。
结合第十一方面,在第十一方面的某些实现方式中,响应于该连接建立请求消息,该卫星接入网节点发起对该非陆地通信网络网关的认证;该卫星接入网节点从安全功能网元获取第二认证响应值,该第二认证响应值用于认证该非陆地通信网络网关;在对该接入的网络认证成功的情况下,该非陆地通信网络网关根据该第一共享密钥生成第一认证响应值;该非陆地通信网络网关向该卫星接入网节点发送该第一认证响应值;在该第二认证响应值和该第一认证响应值相同的情况下,该卫星接入网节点确定该非陆地通信网络网关认证成功。
附图说明
图1是适用于本申请实施例的通信系统#1的一种架构以及一种协议栈的示意图。
图2是适用于本申请实施例的通信系统的另一种架构的示意图。
图3中的(a)示出了本申请提供的通信方法100的示意图。
图3中的(b)示出了本申请提供的通信方法110的示意图。
图4示出了本申请提供的通信方法200的示意图。
图5是适用于本申请实施例的通信系统#1的另一种架构的示意图
图6是适用于本申请实施例的通信系统的再一种架构的示意图。
图7示出了本申请提供的通信方法300的示意图。
图8示出了本申请提供的通信方法400的示意图。
图9是本申请提供的通信装置的一种示意性框图。
图10是本申请提供的通信装置的另一种示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1是适用于本申请实施例的通信系统#1的一种架构以及本申请实施例涉及的主要网元或装置的协议栈的示意图。下面介绍该架构中以及本申请实施例中涉及的一些技术用语。
(1)卫星:登上弯曲管道有效载荷或再生有效载荷电信发射器的星载飞行器。卫星放置在低地球轨道(low earth orbit,LEO)、中地球轨道(medium earth orbit,MEO)或地球静止轨道(geostationary orbit,GEO)等中。放置在不同地球轨道的卫星可以分别称为低轨卫星、中轨卫星和静止卫星(也可以称为高轨卫星)。
卫星接入网节点:将部署在卫星上的接入网节点或者接入网功能模块称为卫星接入网节点,或者,也可以称为卫星基站。在本申请实施例中涉及的卫星接入网节点可以用于实现地面基站的功能,按照适用于地面基站的协议进行通信。例如,卫星接入网节点可以基于适用于地面基站的空口协议与终端设备(user equipment,UE)进行通信。本申请中,卫星接入网节点还可以基于适用于地面基站的空口协议与非陆地通信网络(non-terrestrialnetwork,NTN)网关通信。示例性地,这里的卫星接入网节点可以是第五代(5thgeneration,5G)通信系统架构中的无线接入网(radio access network,RAN)节点。本申请实施例中的卫星承载该RAN节点。
安全功能模块:部署在卫星上用于支持与其他设备建立安全连接的功能。安全功能模块可以单独部署在卫星上,也可以与其他功能节点(如卫星接入网节点)共部署。图1示出了安全功能模块单独部署在卫星上的示例。
星上网络:部署在卫星上的网络。未部署在该卫星上的网元可以通过卫星接入网节点建立与星上网络的连接,其中,卫星接入网节点是卫星上的网络组成部分。
(2)NTN网关:位于地球表面的地球站或网关,为接入卫星提供足够的射频功率和射频灵敏度。NTN网关可以理解为一个传输网络中或回传网络中的节点,用于传输接入网络和核心网络之间交互的数据。卫星与NTN网关之间的接口称为卫星无线接口(satelliteradio interface,SRI)。
在本申请实施例中涉及的NTN网关可以作为传输网络层的节点,用于传输接入网络和核心网络之间交互的数据;例如下文即将介绍的图2所示的架构中的NTN网关,或图5所示架构中的第二NTN网关。或者,本申请实施例中涉及的NTN网关也可以通过卫星的卫星接入网节点接入核心网络,例如,下文即将介绍的图5所示的架构中接入第二卫星的第一NTN网关。
图1中的(a)示出了本申请实施例的通信系统#1的一种架构的示意图。该通信系统#1包括NTN网关和卫星接入网节点。
例如,NTN网关用于接收来自卫星接入网节点的第一系统消息,该第一系统消息包括该卫星接入网节点的标识信息;还用于向该卫星接入网节点发送连接建立请求消息;还用于根据该标识信息获取与该卫星接入网节点对应的第一共享密钥;还用于根据该第一共享密钥认证基于该卫星接入网节点接入的网络。
卫星接入网节点用于接收来自非陆地通信网络网关的连接建立请求消息;还用于发起对该非陆地通信网络网关的认证;在对该非陆地通信网络网关认证成功的情况下,还用于向该非陆地通信网络网关发送安全连接建立命令消息。
可选地,该通信系统#1还包括核心网。例如,该核心网包括以下一个或多个网元:用户管理网元、用户面网元或移动管理网元。其中,用户面管理网元可以是签约数据管理网元,具体地,签约数据管理网元可以是统一数据管理(unified data management,UDM)网元或者统一数据存储库(unified data repository,UDR)网元;移动管理网元可以是接入与移动性功能(access and mobility function,AMF)网元;用户面网元可以是UPF。其中,UDM网元主要用于存储用户数据,例如签约数据、鉴权/授权数据等,UDR网元主要用于存储结构化数据,存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。AMF网元主要用于移动网络中的移动性管理,例如用户位置更新、用户注册网络、用户切换等。
例如,签约数据管理网元用于接收来自移动管理网元的配置信息请求消息,该配置信息请求消息用于获取与非陆地通信网络网关对应的密钥;还用于向卫星管理功能网元发送密钥信息请求消息,该密钥信息请求消息用于请求与该非陆地通信网络网关对应的密钥;还用于接收来自该卫星管理功能网元的密钥信息响应消息,该密钥信息响应消息包括该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥;响应于该配置信息请求消息,还用于向该移动管理网元发送配置信息响应消息。
移动管理网元用于接收来自非陆地通信网络网关的注册请求消息,该注册请求消息包括该非陆地通信网络网关的第一标识信息;还用于根据该非陆地通信网络网关的第一标识信息获取卫星接入网节点的标识信息,以及,用于该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥;还用于向该非陆地通信网络网关发送该卫星接入网节点的标识信息和该第一共享密钥。
可选地,核心网还可以包括用于管理卫星的功能模块,例如卫星管理功能。卫星管理功能可以单独部署,也可以与核心网中的设备签约数据管理网元或移动管理网元共部署。例如,卫星管理功能用于管理一个或多个卫星的卫星接入网节点的标识,例如获取、存储、发送一个或多个的卫星接入网节点的标识;还用于管理用于一个或多个卫星接入网节点与NTN网关之间安全通信的共享密钥,例如存储、推演、发送该共享密钥。可选地,卫星管理功能也可以由第三方提供,如卫星网络公司部署。
图1中的(b)示出了本申请实施例中NTN网元与卫星之间的接口协议栈的一例示意图。协议栈包括以下协议层:无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP),无线链路控制(radio linkcontrol,RLC),媒体接入控制(medium access control,MAC),物理(physical,PHY),不同的协议层有个各自的功能。本申请中,NTN网元与卫星之间传输的RRC消息可以理解为对当前3GPP标准中的RRC消息的增强或相对于当前3GPP标准新增了的RRC消息,例如增加了非陆地通信网络网关标识等信元。例如,NTN网关为发送方时,卫星接入网节点为接收方,NTN网关为接收方时,卫星接入网节点为发送方。其中,发送方数据处理的顺序:RRC→PDCP→RLC→MAC→PHY。RRC层在获取数据之后,主要的处理包括:将服务质量(quality of service,QoS)流(flow)映射到无线承载(radio bearer,RB),将处理完的数据递交给PDCP。PDCP的主要的处理包括:加密,完整性保护,头压缩,添加PDCP序列号(serial number,SN)等。PDCP层得到不同RB的数据,终端对不同的RB做各自的处理。一个逻辑信道对应一个RB,递交处理后的数据给RLC。数据在RLC的主要处理:针对确认模式(acknowledge mode,AM),进行自动重传请求(automatic repeat-request,ARQ)、分段、重组、添加RLC SN;针对非确认模式(unacknowledged mode,UM),进行分段、重组、添加RLC SN。MAC的处理,主要包括逻辑信道的复用,混合自动重传请求(hybrid automatic repeat-request,HARQ)。一个数据包按照以上的顺序进行处理,最终由PHY发送出去。在接收方,从采取相反的顺序进行逆向处理。
图2是适用于本申请实施例的通信系统的另一种架构的示意图。图2可以理解为图1所示架构的一种具体示例,其中,卫星具备gNB的功能,为UE和5G核心网络(core network,CN)传输数据。
其中,UE与卫星之间使用新无线-Uu(new radio,NR-Uu)无线链路传输信号,卫星与NTN网关之间基于卫星无线接口SRI传输信号,NTN网关与核心网网元之间是基于有线接口交互。卫星与5G CN之间基于NG口交互,如卫星与AMF之间使用N2接口交互,卫星与用户面之间使用N3接口。卫星与5G CN的节点(如AMF,UPF)之间的交互数据经过NTN网关来传输。5GCN与数据网络(data network,DN)之间基于N6接口交互。
在这种架构中,在卫星接入网节点为UE提供接入服务前,卫星接入网节点首先需要与NTN网关建立连接,随后通过NTN网关与核心网网元之间进行交互。为了保证卫星接入网节点与核心网络之间传输的数据的安全,可以通过逐跳的安全连接来保证数据的安全。例如,卫星接入网节点与NTN网关之间建立安全连接,NTN网关与核心网络网元之间建立安全连接。然而,针对卫星接入网节点如何与NTN网关建立安全的通信连接,目前并没有具体的解决方案。因此,如何实现卫星接入网节点与NTN网关之间的安全通信成为亟待解决的问题。有鉴于此,本申请提供的通信方法卫星接入网节点与NTN网关之间的安全连接的方案。
图3中的(a)示出了本申请提供的通信方法100的示意图。该方法100可以包括以下步骤:
S101,卫星接入网节点向非陆地通信网络网元发送第一系统消息,相应地,非陆地通信网络网关接收来自卫星接入网节点的第一系统消息。
其中,第一系统消息包括卫星接入网节点的标识信息。示例性地,第一系统消息可以是系统信息块(system information block,SIB)1消息。示例性地,第一系统消息包括小区标识,小区的标识中包含卫星接入网节点的标识信息。
S102,响应于第一系统消息,非陆地通信网络网关向卫星接入网节点发送连接建立请求消息,相应地,卫星接入网节点接收来自非陆地通信网络网元的连接建立请求消息。
示例性地,该连接建立请求消息可以是RRC连接建立请求消息。
S103,非陆地通信网络网关根据标识信息获取与卫星接入网节点对应的第一共享密钥。
其中,S103的第一种可能的实现方式中,非陆地通信网络网关获取一个或多个共享密钥;非陆地通信网络网关根据卫星接入网节点的标识信息在一个或多个共享密钥中确定第一共享密钥。S103的第二种可能的实现方式中,非陆地通信网络网关根据标识信息从移动管理网元或用户管理网元或用户面网元获取与卫星接入网节点对应的第一共享密钥。
针对S103的第一种可能的实现方式,下面给出非陆地通信网络网关获取一个或多个共享密钥的示例。
示例1,非陆地通信网络网关获取预配置的一个或多个共享密钥,或者,非陆地通信网络网关从本地获取一个或多个共享密钥。其中,该一个或多个共享密钥中包括与卫星接入网节点对应的共享密钥。可选地,每个卫星接入网节点与一个共享密钥对应。
示例2,非陆地通信网络网关从陆地核心网获取一个或多个共享密钥,例如,非陆地通信网络网关从移动管理网元或用户管理网元或用户面网元获取一个或多个共享密钥。其中,该一个或多个共享密钥中包括与卫星接入网节点对应的共享密钥。可选地,非陆地通信网络网关从陆地核心网获取一个或多个共享密钥后,将该一个或多个共享密钥存储在本地。例如,每个卫星接入网节点与一个共享密钥对应。
作为示例2的一个具体示例,首先,非陆地通信网络网关通过第一接入网节点向移动管理网元发送非接入层消息,相应地,移动管理网元通过第一接入网节点接收来自非陆地通信网络网关的非接入层消息。其中,第一接入网节点与卫星接入网节点不同,第一接入网节点可以是其他卫星接入网节点或陆地接入网节点。非接入层消息包括非陆地通信网络网关的标识信息。这里非陆地通信网络网关的标识信息可以是非陆地通信网络网关的临时标识或用户隐藏标识,也可以是用户永久标识#1。然后,移动管理网元通过第一接入网节点向非陆地通信网络网关发送一个或多个共享密钥,相应地,非陆地通信网络网关接收来自移动管理网元的一个或多个共享密钥。其中,所述一个或多个共享密钥与所述非陆地通信网络网关可接入的一个或者多个卫星接入网节点对应。
作为示例2的另一个具体示例,首先,非陆地通信网络网关通过第一接入网节点向移动管理网元发送非接入层消息,相应地,移动管理网元通过第一接入网节点接收来自非陆地通信网络网关的非接入层消息。其中,第一接入网节点与卫星接入网节点不同,第一接入网节点可以是其他卫星接入网节点或陆地接入网节点。非接入层消息包括非陆地通信网络网关的标识信息和网络标识,网络标识为卫星接入网节点所服务的网络的标识信息。这里非陆地通信网络网关的标识信息可以是非陆地通信网络网关的临时标识或用户隐藏标识,也可以是用户永久标识#1。然后,移动管理网元或用户管理网元或用户面网元通过第一接入网节点向非陆地通信网络网关发送一个或多个共享密钥,相应地,非陆地通信网络网关接收来自移动管理网元或用户管理网元或用户面网元的一个或多个共享密钥。其中,一个或多个共享密钥与所服务的网络中的一个或多个卫星接入网节点对应。
作为示例2的再一个具体示例,其中,非接入层消息以注册消息为例进行说明。步骤1,非陆地通信网络网关接收来自第一接入网节点的第二系统消息。示例性地,第二系统消息可以是系统信息块(system information block,SIB)1消息。步骤2,响应于第二系统消息,非陆地通信网络网关通过第一接入网节点向移动管理网元发送注册请求消息,相应地,移动管理网元通过第一接入网节点接收来自非陆地通信网络网关的注册请求消息。其中,注册请求消息包括非陆地通信网络网关的标识信息和网络标识,网络标识为卫星接入网节点所服务的网络的标识信息,网络标识用于获取与所服务的网络中的每个接入网节点建立安全连接需要使用的一个或多个共享密钥。这里非陆地通信网络网关的标识信息可以是非陆地通信网络网关的临时标识或用户隐藏标识,也可以是用户永久标识#1。步骤3,一种可能的实现方式,移动管理功能网元通过第一接入网节点向非陆地通信网络网关发送一个或多个共享密钥,相应地,非陆地通信网络网关通过第一接入网节点接收来自移动管理功能网元的一个或多个共享密钥。例如,一个或多个共享密钥承载于UE配置更新消息中。或者,另一种可能的实现方式,或用户管理网元通过第一接入网节点向非陆地通信网络网关发送一个或多个共享密钥,相应地,非陆地通信网络网关通过第一接入网节点接收来自用户管理网元的一个或多个共享密钥。例如,非陆地通信网络网关通过UE参数更新(UEparameters update,UPU)流程从UDM接收一个或多个共享密钥。步骤4,非陆地通信网络网关根据标识信息在一个或多个共享密钥中确定第一共享密钥。其中,该一个或多个共享密钥中有与卫星接入网节点对应的共享密钥。可选地,每个卫星接入网节点与一个共享密钥对应。
具体地,下文将通过方法110具体介绍步骤2之后且步骤3之前,移动管理功能网元或用户管理网元或用户面网元如何获取该一个或多个共享密钥。
针对S103的第二种可能的实现方式,下面给出非陆地通信网络网关根据标识信息从移动管理网元或用户管理网元或用户面网元获取第一共享密钥的示例。
示例性地,这里的用户管理网元可以是UDM或UDR。示例性地,非陆地通信网络网关可以直接从移动管理网元或用户管理网元或用户面网元获取第一共享密钥,也可以通过其他网元从移动管理网元或用户管理网元或用户面网元获取第一共享密钥。其中,这里的其他网元用于透传第一共享密钥。例如,这里的其他网元可以是除上述卫星接入网节点以外的第一接入网节点(包括其他卫星接入网节点或陆地接入网节点),也可以是一个具体透明转发功能的卫星,或者还可以是其他具备类似功能的网元,本申请对此不做限定。
示例3,首先,非陆地通信网络网关通过第一接入网节点向移动管理网元发送非接入层消息,相应地,移动管理网元通过第一接入网节点接受来自非陆地通信网络网关的非接入层消息。其中,非接入层消息包括卫星接入网节点的标识信息。然后,移动管理网元或用户管理网元或用户面网元向非陆地通信网络网元发送第一共享密钥,相应地,非陆地通信网络网关接收来自移动管理网元或用户管理网元或用户面网元的第一共享密钥。
作为示例3的一个具体示例,其中,非接入层消息以注册消息为例进行说明。步骤1’,非陆地通信网络网关接收来自第一接入网节点的第二系统消息。示例性地,第二系统消息可以是SIB1消息。步骤2’,响应于第二系统消息,非陆地通信网络网关通过第一接入网节点向移动管理网元发送注册请求消息,相应地,移动管理网元通过第一接入网节点接收来自非陆地通信网络网关的注册请求消息。其中,注册请求消息包括非陆地通信网络网关的标识信息和卫星接入网节点的标识信息,卫星接入网节点的标识信息用于获取与卫星接入网节点建立安全连接需要使用的共享密钥。步骤3’,一种可能的实现方式,移动管理功能网元通过其他接入网网元向非陆地通信网络网关发送第一共享密钥,相应地,非陆地通信网络网关通过其他接入网网元接收来自移动管理功能网元的第一共享密钥。例如,第一共享密钥承载于UE配置更新消息中。或者,另一种可能的实现方式,用户管理网元通过其他接入网网元向非陆地通信网络网关发送第一共享密钥,相应地,非陆地通信网络网关通过其他接入网网元接收来自用户管理网元的第一共享密钥。例如,非陆地通信网络网关通过UPU流程从UDM接收第一共享密钥。或者,再一种可能的实现方式,用户管理网元通过其他接入网网元向非陆地通信网络网关发送第一共享密钥,相应地,非陆地通信网络网关通过其他接入网网元接收来自用户面网元的第一共享密钥。例如,非陆地通信网络网关通过建立的PDU会话连接来自用户面网元的第一共享密钥。
具体地,下文将通过方法110具体介绍步骤2’之后且步骤3’之前,移动管理功能网元或用户管理网元或用户面网元如何获取第一共享密钥。
可以理解的是,在示例2和示例3中,非陆地通信网络网关通过第一接入网节点向移动管理网元发送非接入层消息,由非接入层消息隐式指示移动管理网元发送获取第一共享密钥的流程。在其他实现方式中,非陆地通信网络网关还可以显式指示移动管理网元发送获取第一共享密钥的流程。例如,非接入层消息还包括配置指示信息,配置指示信息用于触发移动管理网元发起获取第一共享密钥的流程。其中,配置指示信息还可以是具备类似功能的其他信息,本申请对此不做限定。
需要说明的是,S103可以在S104之前执行,也可以在S104和之后执行,本申请对此不做限定。
S104,响应于连接建立请求消息,卫星接入网节点发起对非陆地通信网络网关的认证。例如,卫星接入网节点从安全功能网元获取第二认证响应值,第二认证响应值用于认证非陆地通信网络网关。一种可能的实现方式中,包括步骤a至步骤e。
步骤a,非陆地通信网络网关向卫星接入网节点发送第一标识信息,卫星接入网节点接收非陆地通信网络网关的第一标识信息。其中,该第一标识信息可以承载于连接建立请求消息中。或者,卫星接入网节点向非陆地通信网络网关发送标识请求消息,相应地,非陆地通信网络网关接收来自卫星接入网节点的标识请求消息。该标识请求消息用于请求非陆地通信网络网关的标识。非陆地通信网络网关向卫星接入网节点发送标识响应消息,相应地,卫星接入网节点接收来自非陆地通信网络网关的标识响应消息。该标识响应消息包括第一标识信息。
步骤b,卫星接入网节点根据第一标识信息向安全功能网元传输非陆地通信网络网关的第二标识信息,第二标识信息用于请求对非陆地通信网络网关进行认证。在卫星接入网节点与安全功能网元联合部署的情况下,步骤b为内部实现。
其中,第一标识信息和第二标识信息可以相同也可以不同。例如,第一标识信息和第二标识信息不同的情况下,第一标识信息可以是非陆地通信网络网关的用户隐藏标识或临时标识,第二标识信息可以是非陆地通信网络网关的用户永久标识#1。其中,第二标识信息可以是根据第一标识信息获得的。可选地,卫星接入网节点接收到第一标识信息后,通过对该第一标识信息进行解析获得第二标识信息。再例如,第一标识信息和第二标识信息可以相同,第一标识信息和第二标识信息均为用户永久标识#1或者临时标识或用户隐藏标识。
步骤c,安全功能网元根据非陆地通信网络网关的第二标识信息确定第一共享密钥。
例如,安全功能网元获取根密钥;安全功能网元根据非陆地通信网络网关的第二标识信息和根密钥生成第一共享密钥。一种可能的实现方式中,第二标识信息为用户永久标识#1,安全功能网元根据用户永久标识#1和根密钥生成第一共享密钥。另一种可能的实现方式中,第二标识信息为临时标识或用户隐藏标识,安全功能网元对第二标识信息进行解析获得用户永久标识#1,随后根据用户永久标识#1和根密钥生成第一共享密钥。
步骤d,安全功能网元根据第一共享密钥生成第二认证响应值,第二认证响应值用于认证非陆地通信网络网关。
步骤e,安全功能网元向卫星接入网节点发送第二认证响应值。在卫星接入网节点与安全功能网元联合部署的情况下,步骤e为内部实现。
可选地,在S104之前,卫星接入网节点可以根据连接建立请求消息确定发起对非陆地通信网络网关的认证。
一种可能的实现方式中,连接建立请求消息显式指示发起对非陆地通信网络网关的认证。例如,连接建立请求消息包括指示信息,卫星接入网节点根据指示信息确定发起对非陆地通信网络网关的认证。可选地,该指示信息用于指示非陆地通信网络网关通过卫星接入网节点接入的网络。例如,该指示信息可以是非陆地通信网络网关基于卫星接入网节点接入的网络的网络标识,如公共陆地移动网(public land mobile network,PLMN)的PLMN ID或非公共网络(non-public network,NPN)的NPN ID。或者,该指示信息可以是连接建立请求消息的消息名称。
另一种可能的实现方式中,连接建立请求消息隐式指示发起对非陆地通信网络网关的认证。卫星接入网节点根据承载连接建立请求消息的无线资源确定发起对非陆地通信网络网关的认证。例如,该无线资源可以是频率资源,例如频段。
S105,非陆地通信网络网关根据第一共享密钥认证基于卫星接入网节点接入的网络。
可以理解的是,该网络可以是该卫星接入网节点对应的卫星上部署的网络,或者可以称为星上网络。
或者,S105,非陆地通信网络网关根据第一共享密钥认证卫星接入网节点。
例如,非陆地通信网络网元可以根据从卫星接入网节点接收的信息对进行认证。
作为一个示例,卫星接入网节点向非陆地通信网络网元发送认证信息,相应地,非陆地通信网络网元接收来自卫星接入网节点的认证信息。非陆地通信网络网元根据第一共享密钥对该认证信息进行认证。例如,该认证信息可以是随机数和认证令牌,该认证令牌中包括消息验证码#1。非陆地通信网络网元根据第一共享密钥、随机数、认证令牌生成消息验证码#2。如果消息验证码#1和消息验证码#2相同,则认证成功。
可选地,在对接入的网络认证成功的情况下,非陆地通信网络网关根据第一共享密钥生成第一认证响应值。非陆地通信网络网关向卫星接入网节点发送第一认证响应值,相应地,卫星接入网节点接收来自非陆地通信网络网元的第一认证响应值。例如,该第一认证响应值可以指示非陆地通信网络网元对卫星接入网节点认证成功。可选地,该第一认证响应值可以承载于第一认证向量中。
S106,在对非陆地通信网络网关认证成功的情况下,卫星接入网节点向非陆地通信网络网关发送安全连接建立命令消息,相应地,非陆地通信网络网关接收来自卫星接入网节点的安全连接建立命令消息。
例如,卫星接入网节点可以通过以下方式确定对非陆地通信网络网关是否认证成功。如S105中所述,在对接入的网络认证成功的情况下,非陆地通信网络网关向卫星接入网节点发送第一认证响应值,相应地,卫星接入网节点接收来自非陆地通信网络网关的第一认证响应值。卫星接入网节点确定第一认证响应值与第二认证响应值是否相同,在第二认证响应值和第一认证响应值相同的情况下,卫星接入网节点确定对非陆地通信网络网关认证成功,否则认证不成功。
可选地,在对非陆地通信网络网关认证成功的情况下,卫星接入网节点还可以通知安全功能网元非陆地通信网络网关认证成功。例如,安全功能网元从卫星接入网节点获取认证成功指示信息,认证成功指示信息用于指示卫星接入网节点对非陆地通信网络网关认证成功。在卫星接入网节点与安全功能网元联合部署的情况下,安全功能网元获取认证成功指示信息的步骤为内部实现。在卫星接入网节点与安全功能网元分开部署的情况下,卫星接入网节点向安全功能网元发送该认证成功指示信息。响应于认证成功指示信息,安全功能网元存储第一共享密钥和非陆地通信网络网关的用户永久标识#1。
可选地,方法100还包括:
S107,响应于安全连接建立命令消息,非陆地通信网络网关根据卫星接入网节点的标识信息和第一共享密钥建立与卫星接入网节点的安全连接,相应地,卫星接入网节点根据非陆地通信网络网关的第二标识信息和第一共享密钥建立与非陆地通信网络网关的安全连接。
S108,非陆地通信网络网关存储卫星接入网节点的标识信息和第一共享密钥。以便于在以后的认证过程中,可以参照上述方式1和方式2获取第一共享密钥,相比于方式3能够降低处理复杂度。S108可以在S107之后执行,也可以在S103之后执行,本申请对此不做限定。
图3中的(b)示出了本申请提供的通信方法110的示意图。
S111,移动管理网元根据非陆地通信网络网关的第一标识信息获取非陆地通信网络网关的用户永久标识#2。
例如,该第一标识信息可以是该用户永久标识#2。再例如,该第一标识信息还可以是非陆地通信网络网关的临时标识或用户隐藏标识。其中,移动管理网元可以对临时标识或用户隐藏标识进行解析等处理获得用户永久标识#2。
下面基于流程1和流程2分别介绍移动管理网元基于该用户永久标识#2获取第一共享密钥或一个或多个共享密钥的实现方式。
移动管理网元基于该用户永久标识#2获取第一共享密钥:
流程1:
S112,移动管理网元向签约数据管理网元发送配置信息请求消息,相应地,签约数据管理网元接收来自移动管理网元的配置信息请求消息。
其中,配置信息请求消息包括用户永久标识#2。可以理解的是,用户永久标识#2为非陆地通信网络网关接入陆地核心网使用的标识。例如,用户永久标识#2可以用于指示该非陆地通信网络网关的类型。该配置信息请求消息用于请求与非陆地通信网络网关对应的共享密钥。
可选地,配置信息请求消息还包括该卫星接入网节点的标识。卫星接入网节点的标识信息用于获取用于与卫星接入网节点建立安全连接的共享密钥。或者,签约数据管理功能网元可以根据预配置信息或其他方式确定该配置信息请求消息用于请求非陆地通信网络网关与该卫星接入网节点通信的密钥。则配置信息请求消息可以不携带该卫星接入网节点的标识。
S113,签约数据管理网元向卫星管理功能网元发送密钥信息请求消息,相应地,卫星管理功能网元接收来自签约数据管理网元的密钥信息请求消息。
其中,密钥信息请求消息用于请求与非陆地通信网络网关对应的密钥。密钥信息请求消息包括该卫星接入网节点的标识。卫星接入网节点的标识信息用于获取用于与卫星接入网节点建立安全连接的共享密钥。
可选地,在S113之前,卫星管理功能网元根据非陆地通信网关的用户永久标识#1和该卫星接入网节点对应的根密钥推演第一共享密钥。
可以理解的是,本申请中用于推演第一共享密钥的用户永久标识#1和NTN网关接入陆地核心网使用的用户永久标识#2可以相同也可以不同的。示例性地,在用户永久标识#1和用户永久标识#2不同的情况下,可以由签约数据管理网元维护两个标识的对应关系,并在执行S112后获取用于推演第一共享密钥的用户永久标识#1。
S114,卫星管理功能网元向签约数据管理网元发送密钥信息响应消息,相应地,签约数据管理网元接收来自卫星管理功能网元的密钥信息响应消息。
其中,密钥信息响应消息包括非陆地通信网络网关与卫星接入网节点建立安全连接的第一共享密钥。
S115,签约数据管理网元向移动管理网元发送配置信息响应消息,相应地,移动管理网元接收来自签约数据管理网元的配置信息响应消息。
其中,配置信息响应消息包括卫星接入网节点的标识信息和第一共享密钥。
流程2:
S112’,移动管理网元向卫星管理功能网元发送配置信息请求消息,相应地,卫星管理功能网元接收来自移动管理网元的配置信息请求消息。
其中,配置信息请求消息包括用户永久标识#2。该配置信息请求消息用于请求与非陆地通信网络网关对应的共享密钥。
可选地,配置信息请求消息还包括该卫星接入网节点的标识。卫星接入网节点的标识信息用于获取用于与卫星接入网节点建立安全连接的共享密钥。或者,卫星管理功能网元可以根据预配置信息或其他方式确定该配置信息请求消息用于请求非陆地通信网络网关与该卫星接入网节点通信的密钥。则配置信息请求消息可以不携带该卫星接入网节点的标识。
S113’,卫星管理功能网元向移动管理网元发送配置信息响应消息,相应地,移动管理网元接收来自卫星管理功能网元的配置信息响应消息。
其中,配置信息响应消息包括卫星接入网节点的标识信息和第一共享密钥。
可选地,在S113’之前,卫星管理功能网元根据用户永久标识#1和该卫星接入网节点对应的根密钥推演第一共享密钥。
可以理解的是,本申请中用于推演第一共享密钥的用户永久标识#1和NTN网关接入陆地核心网使用的用户永久标识#2可以相同也可以不同的。示例性地,在用户永久标识#1和用户永久标识#2不同的情况下,可以由签约数据管理网元维护两个标识的对应关系。移动管理网元从签约数据管理网元获取该两个标识的对应关系。移动管理网元在执行S112’后获取用于推演第一共享密钥的用户永久标识#1。
移动管理网元基于该用户永久标识#2获取一个或多个共享密钥:
流程1:
S112,移动管理网元向签约数据管理网元发送配置信息请求消息,相应地,签约数据管理网元接收来自移动管理网元的配置信息请求消息。
其中,配置信息请求消息包括用户永久标识#2。该配置信息请求消息用于请求与非陆地通信网络网关对应的共享密钥。配置信息请求消息还包括网络标识,网络标识为卫星接入网节点所服务的网络的标识信息,网络标识用于获取用于与所服务的网络中的每个接入网节点建立安全连接的一个或多个共享密钥。
S113,签约数据管理网元向卫星管理功能网元发送密钥信息请求消息,相应地,卫星管理功能网元接收来自签约数据管理网元的密钥信息请求消息。
其中,密钥信息请求消息用于请求与非陆地通信网络网关对应的密钥。密钥信息请求消息包括该卫星接入网节点的标识。卫星接入网节点的标识信息用于获取用于与卫星接入网节点建立安全连接的共享密钥。密钥信息请求消息还包括网络标识,网络标识为卫星接入网节点所服务的网络的标识信息,网络标识用于获取用于与所服务的网络中的每个接入网节点建立安全连接的一个或多个共享密钥。
可选地,在S113’之前,卫星管理功能网元根据用户永久标识#1和所服务的网络中的每个接入网节点对应的根密钥推演一个或多个共享密钥。
可以理解的是,本申请中用于推演第一共享密钥的用户永久标识#1和NTN网关接入陆地核心网使用的用户永久标识#2可以相同也可以不同的。示例性地,在用户永久标识#1和用户永久标识#2不同的情况下,可以由签约数据管理网元维护两个标识的对应关系,并在执行S112后获取用于推演一个或多个共享密钥的用户永久标识#1。
S114,卫星管理功能网元向签约数据管理网元发送密钥信息响应消息,相应地,签约数据管理网元接收来自卫星管理功能网元的密钥信息响应消息。
其中,密钥信息响应消息包括所服务的网络中的每个接入网节点的标识信息和一个或多个共享密钥,一个或多个共享密钥包括第一共享密钥,每个接入网节点的标识信息包括卫星接入网节点的标识信息。
S115,签约数据管理网元向移动管理网元发送配置信息响应消息,相应地,移动管理网元接收来自签约数据管理网元的配置信息响应消息。
其中,配置信息响应消息包括所服务的网络中的每个接入网节点的标识信息和一个或多个共享密钥。
流程2:
S112’,移动管理网元向卫星管理功能网元发送配置信息请求消息,相应地,卫星管理功能网元接收来自移动管理网元的配置信息请求消息。
其中,配置信息请求消息包括用户永久标识#2。该配置信息请求消息用于请求与非陆地通信网络网关对应的共享密钥。配置信息请求消息还包括网络标识,网络标识为卫星接入网节点所服务的网络的标识信息,网络标识用于获取用于与所服务的网络中的每个接入网节点建立安全连接的一个或多个共享密钥。
S113’,卫星管理功能网元向移动管理网元发送配置信息响应消息,相应地,移动管理网元接收来自卫星管理功能网元的配置信息响应消息。
其中,配置信息响应消息包括所服务的网络中的每个接入网节点的标识信息和一个或多个共享密钥。
可选地,在S113’之前,卫星管理功能网元根据用户永久标识#1和所服务的网络中的每个接入网节点对应的根密钥推演一个或多个共享密钥。
可以理解的是,本申请中用于推演第一共享密钥的用户永久标识#1和NTN网关接入陆地核心网使用的用户永久标识#2可以相同也可以不同的。示例性地,在用户永久标识#1和用户永久标识#2不同的情况下,可以由签约数据管理网元维护两个标识的对应关系。移动管理网元从签约数据管理网元获取该两个标识的对应关系。移动管理网元在执行S112’后获取用于推演一个或多个共享密钥的用户永久标识#1。
下面基于流程3介绍用户管理网元基于该用户永久标识#2获取第一共享密钥或一个或多个共享密钥的实现方式。其中,用户管理网元以签约数据管理网元为例。
用户管理网元基于该用户永久标识#2获取第一共享密钥:
流程3:
S112”至S114”分别可以参照移动管理网元基于该用户永久标识#2获取第一共享密钥的实现方式中S112至S114中对应的描述。
用户管理网元基于该用户永久标识#2获取一个或多个共享密钥:
流程3:
S112”至S114”分别可以参照移动管理网元基于该用户永久标识#2获取一个或多个共享密钥的实现方式中S112至S114中对应的描述。
可选地,对于上述流程1至流程3,在S112、S112’或S112”之前,移动管理网元接收来自非陆地通信网络网关的配置指示信息,并在S112、S112’或S112”中,根据配置指示信息发送配置信息请求消息。
图4示出了本申请提供的通信方法200的示意图。其中,方法100中的NTN网关以第一NTN网关为例,卫星接入网节点以接入网节点#1为例,安全功能网元以安全模块#1为例,指示信息以第一网络标识#1为例进行说明,以接入网节点#1与安全模块#1分开部署为例,以第一NTN网关与接入网节点#1之间进行空口通信为例进行说明。示例性地,第一NTN网关与接入网节点#1之间的空口通信可以参考3GPP TS38.331中涉及的空口协议。该方法200可以包括以下步骤:
S201a,第一NTN网关预配置用于接入一个或多个卫星的密钥信息。
其中,该一个或多个卫星可以理解为第一NTN网关可能接入的卫星接入网节点或者允许接入的卫星接入网节点。该一个或多个卫星中的每个卫星的密钥信息包括:该卫星的接入网节点的标识、接入该卫星的接入网节点需要使用的共享密钥Ks,以及,接入该卫星的接入网节点需要使用的指示信息。该一个或多个卫星包括第一卫星。例如,第一卫星的密钥信息包括接入网节点#1的标识(为了方便说明,下文称为第一标识)、接入接入网节点#1使用的共享密钥(为了方便说明,下文称为第一共享密钥,即第一Ks),以及,接入接入网节点#1使用的网络的标识(例如第一网络标识#1)。具体地,例如第一网络标识#1可以为接入该接入网节点#1使用的公共陆地移动网(public land mobile network,PLMN)的PLMN ID或非公共网络(non-public network,NPN)的NPN ID,或第一网络标识#1还可以是其他用于该第一NTN网关接入接入网节点#1的信息。
应理解,不同的接入网节点的标识用于指示不同的接入网节点,不同的接入网节点的标识对应的共享密钥Ks也可以不同,每个卫星接入网节点对应一个共享密钥。
S201b,第一卫星的接入网节点#1预配置第一网络标识#1。
可以理解的是,第一卫星接收到第一网络标识#1的情况下,能够根据第一网络标识#1确定请求接入的设备属于NTN网关。
S201c,第一卫星的安全模块#1预配置根密钥Kr。
其中,Kr可以用于生成一个或多个NTN网关与接入网节点建立安全连接需要使用的共享密钥。其中,针对不同的NTN网关,生成的共享密钥也不同。
可选地,安全模块还可以与基站共部署。
S202,接入网节点#1广播系统信息块(system information block,SIB)1消息,相应地,第一NTN网关接收来自接入网节点#1的SIB1消息。
其中,SIB1消息中包括第一网络标识#1、小区标识#1。例如,小区标识#1包含第一标识和小区编号#1。
在S202之后,第一NTN网关根据SIB1消息请求接入接入网节点#1。具体地,可以有两种实现方式。其中,实现方式1包括:S203a、S204和S205;实现方式2包括:S203b。
实现方式1:
S203a,第一NTN网关根据接收到SIB1消息向接入网节点#1发送无线资源控制(radio resource control,RRC)连接建立请求消息,相应地,接入网节点#1接收来自第一NTN网关的RRC连接建立请求消息。
其中,RRC连接建立请求消息中包括第一网络标识#1。
S204,接入网节点#1根据第一网络标识#1向第一NTN网关发送标识请求消息,相应地,第一NTN网关接收来自第一标识请求消息。
其中,接入网节点#1根据第一网络标识#1确定RRC连接建立请求消息的发送方属于NTN网关,并根据接收到的第一网络标识#1发起星上认证。该标识请求消息用于请求第一NTN网关的标识(下称为第一NTN网关标识#1)。
S205,第一NTN网关向接入网节点#1发送标识响应消息,相应地,接入网节点#1接收来自第一NTN网关的标识响应消息。
其中,标识响应消息携带第一NTN网关标识#1。
实现方式2:
S203b,第一NTN网关根据接收到SIB1消息向接入网节点#1发送无线资源控制(radio resource control,RRC)连接建立请求消息,相应地,接入网节点#1接收来自第一NTN网关的RRC连接建立请求消息。
其中,RRC连接建立请求消息中包括第一网络标识#1和第一NTN网关标识#1。
其中,接入网节点#1根据第一网络标识#1确定RRC连接建立请求消息的发送方属于NTN网关,并根据接收到的第一网络标识#1发起星上认证。
在执行上述实现方式1或实现方式2后,执行后续步骤。
S206,接入网节点#1向安全模块#1发送认证请求消息#1,相应地,安全模块#1接收来自接入网节点#1的认证请求消息#1。
其中,认证请求消息#1中包括第一NTN网关标识#1。
S207,安全模块#1根据第一NTN网关标识#1确定第一Ks,并使用第一Ks生成认证向量#1。
其中,第一NTN网关标识#1可以为网络为第一NTN网关分配的临时标识或用户隐藏标识。安全模块#1对第一NTN网关标识#1进行解析获得第一NTN网关标识#2,第一NTN网关标识#2为第一NTN网关的用户永久标识。随后,安全模块#1根据第一NTN网关标识#2确定第一Ks。或者,第一NTN网关标识#1和第一NTN网关标识#2均为第一NTN网关的用户永久标识,则跳过前述解析的步骤。
作为S207的第一个示例,若本地未存储有第一NTN网关标识#2对应的Ks,则安全模块#1根据第一NTN网关标识#2和根密钥Kr进行推演获得第一Ks。例如通过密钥导出函数(key derivation function,KDF)推演第一Ks。Ks=KDF(Kr,NTN Id)。进一步地,安全模块#1生成序列号#1和随机数#1。安全模块#1根据第一Ks、序列号#1和随机数#1生成认证向量#1,其中,认证向量#1包含用于指示随机数#1、至少一个中间密钥#1、认证令牌#1和期望响应值的信息,以及消息验证码#1。具体的,中间密钥#1由密钥生成功能、第一Ks和随机数#1生成。认证令牌#1由第一Ks,随机数#1和序列号#1生成。期望响应值由消息认证功能、第一Ks和随机数#1生成。另外,安全模块#1存储第一NTN网关标识#1和第一Ks。可选地,安全模块#1存储序列号#1。或者,安全模块#1可以不存储Ks。例如,每次执行星上认证时,安全模块#1总是执行Ks的推演。这种情况下,安全模块#1可以仅存储第一NTN网关标识#1和序列号#1。
可选地,上述第一个示例中以密钥生成功能和消息认证功能部署在安全模块为例进行说明,或者,密钥生成功能和消息认证功能也可以是独立部署的。
作为S207的第二个示例,若本地存储有第一NTN网关标识#2对应的Ks和序列号,即第一Ks和序列号#1。则安全模块#1根据序列号#1生成一个新的序列号(称为序列号#2)。例如将序列号#1根据约定的方法生成序列号#2,或,将序列号#1加1或加其他约定的数生成序列号#2。随后根据第一Ks生成认证向量#1的过程可以参考TS33.102中的定义。
S208,安全模块#1向接入网节点#1发送认证响应消息#1,相应地,接入网节点#1接收来自安全模块#1的认证响应消息#1。
其中,认证响应消息#1包括认证向量#1。
S209,接入网节点#1向第一NTN网关发送认证请求消息#2,相应地,第一NTN网关接收来自接入网节点#1的认证请求消息#2。
其中,该认证请求消息#2包括随机数#1和认证令牌#1。
在S209之前,接入网节点#1还存储中间密钥#1和期望响应值。
S210,第一NTN网关根据小区标识#1获取Ks,验证认证令牌#1,推演响应值#1。
其中,第一NTN网关根据SIB1消息中的小区标识#1获取第一标识,并根据第一标识从本地获取第一Ks;还根据第一Ks,随机数#1和认证令牌#1获取序列号#1。进一步地,第一NTN网关根据第一Ks,随机数#1和序列号#1生成期望的消息验证码#2;将消息验证码#2与接收到的认证令牌中的消息验证码#1进行对比,两者相同则验证通过。进一步地,第一NTN网关验证序列号#1是否位于正确的范围内,当序列号#1位于正确的范围内,则根据第一Ks和随机数#1推演响应值#1,并生成中间密钥#1。
S211,第一NTN网关向接入网节点#1发送认证响应消息#2,相应地,接入网节点#1接收来自第一NTN网关的认证响应消息#2。
其中,认证响应消息#2包括响应值#1。
S212,接入网节点#1验证响应值#1。
接入网节点#1将接收到的响应值#1与存储的期望响应值对比,相同则验证通过,表明接入的NTN网关是合法的。
可选的,S213,接入网节点#1还向安全模块#1发送认证成功响应消息#3,以便于安全模块#1存储第一NTN网关标识#1,第一Ks和序列号#1。
S214,第一NTN网关向接入网节点#1发送安全连接建立命令消息,相应地,接入网节点#1接收来自第一NTN网关的安全连接建立命令消息。
其中,接入网节点#1根据存储的中间密钥#1推演与第一NTN网关之间信令面通信时使用的加密密钥#1和完整性保护密钥#1。安全连接建立请求消息被完整性保护密钥#1完整性保护,安全连接建立命令消息中包含完整性验证码#1。可选的,安全连接建立命令消息中还包含第一NTN网关根据随机数生成的加密密钥算法标识和完整性保护密钥算法标识。
S215,接入网节点#1向第一NTN网关发送安全连接建立响应消息,相应地,第一NTN网关接收来自接入网节点#1的安全连接建立响应消息。
其中,第一NTN网关使用中间密钥#1推演与接入网节点#1通信时使用的加密密钥#1和完整性保护密钥#2,并使用生成的完整性保护密钥#2验证接收到的安全连接建立命令消息的完整性。如果验证通过,则完整性保护密钥#2与完整性保护密钥#1相同,则执行S215。安全连接建立响应消息被完整性保护密钥#2完整性保护,安全连接建立响应消息中包含完整性验证码。
从而,在S214和S215之后,第一NTN网关与第一卫星之间的信令交互能够被完整性保护和加密保护。
上述方案,安全模块预配置一个根密钥,在NTN网关接入基站时,安全模块根据基站发送的NTN网关标识和根密钥推演与NTN网关之间的共享密钥Ks。进一步的,安全模块可以根据该Ks生成与NTN网关之间的认证向量,从而接入网节点#1使用该认证向量验证NTN网关,并建立与NTN网关之间的安全通信,能够提高通信的安全性,提升用户体验。
NTN网关中预配置与星上基站通信的共享密钥Ks,通过空口的SIB消息获取当前的基站标识,从而确定是否接入该星上基站,且根据基站标识获取第一Ks。进一步的,根据该第一Ks和来自基站的随机数以及认证令牌验证接入的星上基站,并建立与基站之间的安全通信,能够提高通信的安全性,提升用户体验。
在方法200的一种可能的实现方式中,上述S201b中涉及的接入网节点#1通过不同的网络标识(例如第一网络标识#1和第一网络标识#2)来区分接入的设备属于NTN网关的设备或终端设备的方法,可以替换为:通过接入卫星的接入网节点时使用的频段来判断接入的设备是否属于NTN网关。或者,可以替换为:NTN网关发送的RRC连接建立请求消息中包含显示的信息,用于指示接入接入网节点#1设备的属于NTN网关。或者,可以替换为:NTN网关和终端设备用于请求接入接入网节点#1的消息不同,接入网节点#1根据消息区分接入的设备属于NTN网关或终端。
在方法200的另一种可能的实现方式中,安全模块#1部署在接入网节点#1中,则安全模块#1与接入网节点#1之间的交互均为接入网节点#1的内部实现。
图5是适用于本申请实施例的通信系统#1的另一种架构的示意图。图5可以理解为图1所示架构的一种具体示例,该通信系统#1还包括第二卫星、第二NTN网关,图1中的卫星管理功能可以部署于与第二NTN网关连接的5G CN中。其中,以第一卫星为位于卫星承载网#1的卫星为例,以第二卫星为位于卫星承载网#2的卫星为例。其中,第一卫星可以是中轨卫星或低轨卫星,第二卫星为高轨卫星。第一卫星的接入网模块具备gNB的功能,第一卫星通过第一NTN网关与5G CN交互(第一NTN网关与5G CN的连接在图5中并未示出),此时第一NTN网关作为网络节点。第二卫星的接入网模块具备gNB的功能,第二卫星通过第二NTN网关与5G CN交互,此时第二NTN网关作为网络节点。图5中的虚线代表:第一NTN网关通过第二卫星接入5G CN,从卫星管理功能获取第一卫星的密钥信息。例如,第一NTN网关可以理解为接入第二卫星的接入网模块的终端设备。图5中的第一NTN网关与第一卫星之间的双箭头实线带代表:第一NTN网关基于第一卫星的密钥信息,与第一卫星建立安全连接。
图6是适用于本申请实施例的通信系统的再一种架构的示意图。图6可以理解为图1所示架构的一种具体示例,该通信系统#1还包括第二卫星、第二NTN网关、地面gNB,图1中的卫星管理功能可以部署于与第二NTN网关连接的5G CN中。其中,以第一卫星为位于卫星承载网#1的卫星为例,第一卫星可以是中轨卫星或低轨卫星,第二卫星为高轨卫星。图5中的虚线代表:第一NTN网关通过地面gNB接入5G CN,从卫星管理功能获取第一卫星的密钥信息。第二卫星用于透明转发第一NTN网关与5G CN之间传输的信息,第二NTN网关为地面gNB与第二卫星之间的网络节点。例如,第一NTN网关可以理解为接入地面gNB的终端设备。图5中的第一NTN网关与第一卫星之间的双箭头实线带代表:第一NTN网关基于第一卫星的密钥信息,与第一卫星建立安全连接。
下面结合图5所示架构,基于图7和图8介绍本申请提供的通信方法300和400。
图7示出了本申请提供的通信方法300的示意图。其中,方法100中的NTN网关以第一NTN网关为例,卫星接入网节点以接入网节点#1为例,网络标识以第二网络标识#1为例,以第一NTN网关与接入网节点#1之间进行空口通信为例进行说明。方法110中的移动管理网元以AMF为例,用户管理网元以UDM为例进行说明。示例性地,第一NTN网关与接入网节点#1之间的空口通信可以参考3GPP TS38.331中涉及的空口协议。该方法300可以包括以下步骤:
S301a,第一NTN网关预配置:配置网络的信任状和第二网络标识#1。
其中,配置网络可以理解为图5所示架构中的由第二卫星、第二NTN网关标识和5GCN构成的网络,该配置网络用于为第一NTN网关提供支持(如提供传输通道,或,协助获取并提供相关配置信息等),以便于第一NTN网关获取第一卫星的接入网节点#1的配置信息。该配置网络的信任状例如可以是如公私钥、共享密钥等。
其中,第二网络标识#1为签约网络的标识,签约网络可以理解为图5所示架构中与第二NTN网关连接的5G CN。
S301b,UDM预配置第一NTN网关的签约信息。
其中,该签约信息包括第一NTN网关的永久身份标识和第一NTN网关对应的授权信息。可选地,该第一NTN网关的永久身份标识用于索引该签约信息。
S301c,卫星管理功能预配置接入网节点#1的第一标识和根密钥Kr。
S302,第二卫星广播SIB1消息,相应地,第一NTN网关接收来自第二卫星的SIB1消息。
其中,SIB1消息中包括第二网络标识#1和小区标识#2。例如,小区标识#2包含第二卫星中的接入网节点#2的标识(下文称为第二标识)和小区编号#2。
可选地,第一NTN网关还根据SIB1消息确定通过第二卫星的接入网节点#2接入签约网络。
S303,第一NTN网关向AMF发送注册请求消息,相应地,AMF接收来自第一NTN网关的注册请求消息。
其中,该注册请求消息中包括第一NTN网关标识#1。第一NTN网关标识#1为第一NTN网关的临时标识或用户隐藏标识。
可选地,该注册请求消息中还包括接入网节点#1的标识(下文称为第一标识)或第二网络标识#1。第一标识用于指示获取第一NTN网关接入第一标识对应的接入网需要的信息。例如,第一标识可以是第一NTN网关从第一卫星广播的SIB1消息中获取的,或者第一标识是第一NTN网关从第一NTN网元本地获取的。
可选地,该注册请求消息中还包括配置指示信息,该配置指示信息用于显示指示AMF发起配置获取流程(下文的步骤S306至S310a)。
S304,AMF执行安全验证或认证流程。
若注册请求消息被完整性保护,则AMF执行消息的完整性保护校验,验证通过则继续注册流程。可选的,AMF发起主认证流程。
若接收到的注册请求消息为初始注册消息,AMF可以直接触发认证流程,认证通过则继续注册流程。
具体的注册流程处理可以参见TS23.502中的注册流程。
S305,AMF从UDM获取签约信息。
可选的,签约信息中包含第一NTN网关的指示信息#1,该指示信息#1用于指示接入网络的设备为的类型为NTN网关。
S306,AMF向UDM发送配置获取请求消息,相应地,UDM接收来自AMF的配置获取请求消息。
其中,该配置获取请求消息包括用于标识NTN网关的第一NTN网关标识#2。该第一NTN网关标识#2,例如第一NTN网关标识#2可以是第一NTN网关的用户永久标识。
示例性地,AMF根据来自第一NTN网关的配置指示信息和/或指示信息#1,确定向UDM发送配置请求消息。
可选的,该配置获取请求消息还包括第一标识和/或第二网络标识#1。若S303中的注册请求消息中包括第一标识,该配置获取请求消息包括第一标识。若S303中的注册请求消息中包括第二网络标识#1,该配置获取请求消息包括第二网络标识#1。
S307,UDM向卫星管理功能发送卫星密钥获取请求消息,相应地,卫星管理功能接收来自UDM的卫星密钥获取请求消息。
其中,该卫星密钥获取请求消息用于请求获取第一卫星的接入网节点#1对应的共享密钥,该卫星密钥获取请求消息中包括第一NTN网关标识#2。
可选的,该卫星密钥获取请求消息中还包括第一标识和/或第二网络标识#1。若S307中的配置获取请求消息中包括第一标识,该卫星密钥获取请求消息包括第一标识。若S303中的配置获取请求消息中包括第二网络标识#1,该卫星密钥获取请求消息包括第二网络标识#1。
S308,卫星管理功能根据第一NTN网关标识#2和根密钥Kr生成第一Ks。
作为S308的一个示例,若卫星密钥获取请求消息中包含第一标识,则卫星管理功能根据第一标识获取对应的根密钥Kr,根据Kr和第一NTN网关标识#2生成第一Ks。具体地,第一Ks的推演方式可以参见方法200中的对应的描述。
作为S308的另一个示例,若卫星密钥获取请求消息中包含第二网络标识#1,则卫星管理功能获取该第二网络标识#1对应的网络中的所有的接入网节点中的每个接入网节点的根密钥Kr,并为每一个接入网节点推演共享密钥Ks。其中,第二网络标识#1对应的网络中的所有接入网节点包括接入网节点#1,卫星管理功能为该所有接入网节点推演的Ks包括第一Ks。具体地,第一Ks的推演方式可以参见方法200中的对应的描述。
作为S308的再一个示例,若卫星密钥获取请求消息中不包含第一标识和第二网络标识#1,则卫星管理功能根据预配置的策略获取对应的接入网节点#1的根密钥,并推演第一Ks。其中,预配置的策略可以包含第一NTN网关标识#2,接入网节点的列表信息。
S309,卫星管理功能向UDM发送卫星密钥获取响应消息,相应地,UDM接收来自卫星管理功能的卫星密钥获取响应消息。
其中,卫星密钥获取响应消息中包括第一标识,第一Ks。
卫星管理功能能够针对每个接入网节点,提供对应的标识和对应的共享密钥。
下面执行S310。具体地,S310包括S310a和S310b。或者,S310包括S310a和S310c,且,S310a中的配置获取响应消息中不包括第一标识和第一Ks。
S310a,UDM向AMF发送配置获取响应消息,相应地,AMF接收来自UDM的配置获取响应消息。
其中,配置获取响应消息中包括第一标识和第一Ks。
可选地,S310b,AMF向第一NTN网关发送UE配置更新消息,相应地,第一NTN网关接收来自AMF的UE配置更新消息。UE配置更新消息中包括第一标识和第一Ks,且该UE配置更新消息被加密保护和完整性保护。
可选地,S310c,UDM使用UE参数更新(UE parameters update,UPU)流程向第一NTN网关发送第一标识和第一Ks,相应地,第一NTN网关基于UPU流程接收来自UDM的第一标识和第一Ks。
S311,第一NTN网关存储第一标识和第一Ks。
S312,第一网关与第一卫星的接入网节点#1之间根据第一标识和第一Ks建立安全连接。
例如,可以参见方法200中的描述。可选地,可以不执行S201a。
可以理解的是,针对中低轨卫星,卫星相对地球的位置是时刻变化的,在不同的时刻,同一个非陆地通信网络网关会与不同的卫星建立连接。高轨卫星的数量远小于中低轨卫星的数量(目前高轨卫星的数量为个位数,中低轨卫星的数量为几千个)。上述方案,第一NTN网关从已经建立安全连接的第二卫星上的接入网节点#2获取第一卫星上的接入网节点#1对应的第一Ks,能够节省非陆地通信网络网关的存储空间。
在方法300的另一种可能的实现方式中,卫星管理功能部署在UDM中,则卫星管理功能与UDM之间的交互均为UDM的内部实现。
图8示出了本申请提供的通信方法400的示意图。其中,方法100中的NTN网关以第一NTN网关为例,卫星接入网节点以接入网节点#1为例,以第一NTN网关与接入网节点#1之间进行空口通信为例进行说明。方法110中的移动管理网元以AMF为例,用户管理网元以UDM为例进行说明。示例性地,第一NTN网关与接入网节点#1之间的空口通信可以参考3GPPTS38.331中涉及的空口协议。该方法400可以包括以下步骤:
S401a至S405可以参见方法300中S301a至S305的描述。
S406,AMF向卫星管理功能网元发送配置获取请求消息,相应地,卫星管理功能网元接收来自AMF的配置获取请求消息。
其中,该配置获取请求消息包括用于标识NTN网关的第一NTN网关标识#2。该第一NTN网关标识#2,例如第一NTN网关标识#2可以是第一NTN网关的用户永久标识。
示例性地,AMF根据来自第一NTN网关的配置指示信息和/或指示信息#1,确定向卫星管理功能网元发送配置请求消息。
可选的,该配置获取请求消息还包括第一标识和/或第二网络标识#1。若S303中的注册请求消息中包括第一标识,该配置获取请求消息包括第一标识。若S303中的注册请求消息中包括第二网络标识#1,该配置获取请求消息包括第二网络标识#1。
S407可以参见方法300中S308的描述。
S408,卫星管理功能网元向AMF发送配置获取响应消息,相应地,AMF接收来自卫星管理功能网元的配置获取响应消息。
其中,配置获取响应消息中包括第一标识和第一Ks。
S409可以参见方法300中S310b的描述。
S410和S411分别可以参见方法300中S311和S312的描述。
具体可以参见方法300的有益效果。
在方法400的另一种可能的实现方式中,卫星管理功能部署在UDM中,则卫星管理功能与UDM之间的交互均为UDM的内部实现。
图9和图10为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中非陆地通信网络网关或卫星接入网节点或安全功能网元或签约数据管理网元或移动管理网元的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中,该通信装置可以是非陆地通信网络网关或卫星接入网节点或安全功能网元或签约数据管理网元或移动管理网元,还可以是应用于非陆地通信网络网关或卫星接入网节点或安全功能网元或签约数据管理网元或移动管理网元的模块(如芯片)。
如图9所示,通信装置500包括处理单元510和收发单元520。通信装置500用于实现上述图3-图8中所示的方法实施例中非陆地通信网络网关或卫星接入网节点或安全功能网元或签约数据管理网元或移动管理网元的功能。
当通信装置500用于实现图3中的(a)所示的方法实施例中非陆地通信网络网关的功能时:收发单元520,用于接收来自卫星接入网节点的第一系统消息,该第一系统消息包括该卫星接入网节点的标识信息;收发单元520,还用于向该卫星接入网节点发送连接建立请求消息;处理单元510,用于根据该标识信息获取与该卫星接入网节点对应的第一共享密钥;处理单元510,还用于根据该第一共享密钥认证基于该卫星接入网节点接入的网络。
当通信装置500用于实现图3中的(a)所示的方法实施例中卫星接入网节点的功能时:收发单元520,用于接收来自非陆地通信网络网关的连接建立请求消息;处理单元510,用于发起对该非陆地通信网络网关的认证;收发单元520,还用于向该非陆地通信网络网关发送安全连接建立命令消息。
当通信装置500用于实现图3中的(b)所示的方法实施例中的签约数据管理网元的功能时:收发单元520,用于接收来自移动管理网元的配置信息请求消息,该配置信息请求消息用于获取与非陆地通信网络网关对应的密钥;收发单元520,还用于发送密钥信息请求消息,该密钥信息请求消息用于请求与该非陆地通信网络网关对应的密钥;收发单元520,还用于接收来自该卫星管理功能网元的密钥信息响应消息,该密钥信息响应消息包括该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥;收发单元520,还用于向该移动管理网元发送配置信息响应消息,该配置信息响应消息包括该卫星接入网节点的标识信息和该第一共享密钥。
当通信装置500用于实现3中的(b)所示的方法实施例中移动管理网元的功能时:
收发单元520,用于接收来自非陆地通信网络网关的注册请求消息,该注册请求消息包括该非陆地通信网络网关的标识信息;处理单元510,用于根据该非陆地通信网络网关的标识信息获取卫星接入网节点的标识信息,以及,用于该非陆地通信网络网关与该卫星接入网节点建立安全连接的第一共享密钥;收发单元520,还用于向该非陆地通信网络网关发送该卫星接入网节点的标识信息和该第一共享密钥。
有关上述处理单元510和收发单元520更详细的描述可以参考图3-图8所示的方法实施例中相关描述。
如图10所示,通信装置600包括处理器610和接口电路620。处理器610和接口电路620之间相互耦合。可以理解的是,接口电路620可以为收发器或输入输出接口。可选的,通信装置600还可以包括存储器630,用于存储处理器610执行的指令或存储处理器610运行指令所需要的输入数据或存储处理器610运行指令后产生的数据。
当通信装置600用于实现图10所示的方法时,处理器610用于实现上述处理单元510的功能,接口电路620用于实现上述收发单元520的功能。
当上述通信装置为应用于非陆地通信网络网关的芯片时,该非陆地通信网络网关芯片实现上述方法实施例中的非陆地通信网络网关的功能。该非陆地通信网络网关芯片从非陆地通信网络网关中的其它模块(如射频模块或天线)接收信息,该信息是由接入网网元或发送给非陆地通信网络网关的;或者,该非陆地通信网络网关芯片向非陆地通信网络网关中的其它模块(如射频模块或天线)发送信息,该信息是非陆地通信网络网关发送给接入网网元的。
当上述通信装置为应用于卫星接入网节点的芯片时,该终端芯片实现上述方法实施例中卫星接入网节点的功能。该卫星接入网节点的芯片从卫星接入网节点中的其它模块(如射频模块或天线)接收信息,该信息是非陆地通信网络网关发送给卫星接入网节点的;或者,该卫星接入网节点的芯片向基站中的其它模块(如射频模块或天线)发送信息,该信息是卫星接入网节点发送给非陆地通信网络网关的。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以在硬件中实现,也可以在可由处理器执行的软件指令中实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于基站或终端中。处理器和存储介质也可以作为分立组件存在于基站或终端中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘;还可以是半导体介质,例如,固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质,或可包括易失性和非易失性两种类型的存储介质。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。“包括A,B和C中的至少一个”可以表示:包括A;包括B;包括C;包括A和B;包括A和C;包括B和C;包括A、B和C。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
Claims (30)
1.一种通信方法,其特征在于,包括:
非陆地通信网络网关接收来自卫星接入网节点的第一系统消息,所述第一系统消息包括所述卫星接入网节点的标识信息;
响应于所述第一系统消息,所述非陆地通信网络网关向所述卫星接入网节点发送连接建立请求消息;
所述非陆地通信网络网关根据所述标识信息获取与所述卫星接入网节点对应的第一共享密钥;
所述非陆地通信网络网关根据所述第一共享密钥认证基于所述卫星接入网节点接入的网络。
2.根据权利要求1所述的方法,其特征在于,
在对所述接入的网络认证成功的情况下,所述非陆地通信网络网关根据所述第一共享密钥生成第一认证响应值;
所述非陆地通信网络网关向所述卫星接入网节点发送所述第一认证响应值。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述非陆地通信网络网关接收来自所述卫星接入网节点的安全连接建立命令消息;
响应于所述安全连接建立命令消息,所述非陆地通信网络网关根据所述卫星接入网节点的标识信息和所述第一共享密钥建立与所述卫星接入网节点的安全连接。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述非陆地通信网络网关根据所述标识信息获取与所述卫星接入网节点对应的第一共享密钥,包括:
所述非陆地通信网络网关获取一个或多个共享密钥;
所述非陆地通信网络网关根据所述卫星接入网节点的标识信息在所述一个或多个共享密钥中确定所述第一共享密钥。
5.根据权利要求4中所述的方法,其特征在于,所述非陆地通信网络网关获取一个或多个共享密钥,包括:
所述非陆地通信网络网关从本地获取所述一个或多个共享密钥;或者,
所述非陆地通信网络网关从移动管理网元或用户管理网元或用户面网元获取所述一个或多个共享密钥。
6.根据权利要求5所述的方法,其特征在于,所述非陆地通信网络网关从移动管理网元或用户管理网元获取所述一个或多个共享密钥,包括:
所述非陆地通信网络网关通过第一接入网节点向所述移动管理网元发送非接入层消息,所述非接入层消息包括所述非陆地通信网络网关的标识信息;
所述非陆地通信网络网关通过所述第一接入网节点接收来自所述移动管理网元或用户管理网元的所述一个或多个共享密钥,所述一个或多个共享密钥与所述非陆地通信网络网关可接入的一个或者多个卫星接入网节点对应。
7.根据权利要求1至3中任一项所述的方法,其特征在于,所述非陆地通信网络网关根据所述标识信息获取与所述卫星接入网节点对应的第一共享密钥,包括:
所述非陆地通信网络网关根据所述标识信息从移动管理网元或用户管理网元或用户面网元获取与所述卫星接入网节点对应的第一共享密钥。
8.根据权利要求7所述的方法,其特征在于,所述非陆地通信网络网关根据所述标识信息从移动管理网元或者用户管理网元或用户面网元获取所述第一共享密钥,包括:
所述非陆地通信网络网关通过第一接入网节点向所述移动管理网元发送非接入层消息,所述非接入层消息包括所述卫星接入网节点的标识信息;
所述非陆地通信网络网关接收来自所述移动管理网元或所述用户管理网元或所述用户面网元的所述第一共享密钥。
9.根据权利要求6至8中任一项所述的方法,其特征在于,
所述非接入层消息还包括配置指示信息,所述配置指示信息用于触发所述移动管理网元发起获取所述第一共享密钥的流程。
10.根据权利要求5至9中任一项所述的方法,其特征在于,
所述非陆地通信网络网关存储所述卫星接入网节点的标识信息和所述第一共享密钥。
11.一种通信方法,其特征在于,包括:
卫星接入网节点接收来自非陆地通信网络网关的连接建立请求消息;
响应于所述连接建立请求消息,所述卫星接入网节点发起对所述非陆地通信网络网关的认证;
在对所述非陆地通信网络网关认证成功的情况下,所述卫星接入网节点向所述非陆地通信网络网关发送安全连接建立命令消息。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述卫星接入网节点从安全功能网元获取第二认证响应值,所述第二认证响应值用于认证所述非陆地通信网络网关;
所述卫星接入网节点接收来自所述非陆地通信网络网关的第一认证响应值;
在所述第二认证响应值和所述第一认证响应值相同的情况下,所述卫星接入网节点确定对所述非陆地通信网络网关认证成功。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
所述卫星接入网节点接收所述非陆地通信网络网关的第一标识信息;
所述卫星接入网节点根据所述第一标识信息向所述安全功能网元传输所述非陆地通信网络网关的第二标识信息,所述非陆地通信网络网关的第二标识信息用于生成所述第二认证响应值。
14.根据权利要求13所述的方法,其特征在于,
所述第一标识信息为用户隐藏标识,所述第二标识信息为用户永久标识。
15.根据权利要求11至14中任一项所述的方法,其特征在于,所述方法还包括:
响应于所述安全连接建立命令消息,所述卫星接入网节点根据所述非陆地通信网络网关的用户永久标识和第一共享密钥建立与所述非陆地通信网络网关的安全连接,所述第一共享密钥是根据所述用户永久标识生成的。
16.根据权利要求11至15中的任一项所述的方法,其特征在于,所述卫星接入网节点发起对所述非陆地通信网络网关的认证,包括:
卫星接入网节点根据所述连接建立请求消息确定发起对所述非陆地通信网络网关的认证。
17.根据权利要求16中所述的方法,其特征在于,卫星接入网节点根据所述连接建立请求消息确定发起对所述非陆地通信网络网关的认证,包括:
所述连接建立请求消息包括指示信息,所述卫星接入网节点根据所述指示信息确定发起对所述非陆地通信网络网关的认证;或者,
所述卫星接入网节点根据承载所述连接建立请求消息的无线资源确定发起对所述非陆地通信网络网关的认证。
18.根据权利要求17所述的方法,其特征在于,所述指示信息用于指示所述非陆地通信网络网关通过所述卫星接入网节点接入的网络;或者,所述指示信息用于指示所述非陆地通信网络网关的类型;或者,所述指示信息用于指示所述卫星接入网节点所在的星上网络。
19.一种通信方法,其特征在于,包括:
所述安全功能网元根据非陆地通信网络网关的标识信息确定第一共享密钥;
所述安全功能网元根据所述第一共享密钥生成第二认证响应值;
所述安全功能网元向卫星接入网节点发送所述第二认证响应值,所述第二认证响应值用于认证所述非陆地通信网络网关。
20.根据权利要求19所述的方法,其特征在于,所述安全功能网元根据所述非陆地通信网络网关的标识信息确定第一共享密钥,包括:
所述安全功能网元获取根密钥;
在所述非陆地通信网络网关的标识信息为所述非陆地通信网络网关的永久身份标识的情况下,所述安全功能网元根据所述非陆地通信网络网关的标识信息和所述根密钥生成所述第一共享密钥;或者,
在所述非陆地通信网络网关的标识信息为所述非陆地通信网络网关的用户隐藏标识或临时标识的情况下,所述安全功能网元根据所述非陆地通信网络网关的标识信息获取用户永久标识,所述安全功能网元根据所述用户永久标识和所述根密钥生成所述第一共享密钥。
21.根据权利要求19或20所述的方法,其特征在于,所述方法还包括:
所述安全功能网元从所述卫星接入网节点获取认证成功指示信息,所述认证成功指示信息用于指示所述卫星接入网节点对所述非陆地通信网络网关认证成功;
响应于所述认证成功指示信息,所述安全功能网元根据所述非陆地通信网络网关的标识信息存储所述第一共享密钥和所述非陆地通信网络网关的永久身份标识。
22.根据权利要求19至21中任一项所述的方法,其特征在于,所述方法还包括:
安全功能网元从卫星接入网节点获取所述非陆地通信网络网关的标识信息,所述标识信息用于请求对所述非陆地通信网络网关进行认证。
23.一种通信方法,其特征在于,包括:
签约数据管理网元接收来自移动管理网元的配置信息请求消息,所述配置信息请求消息用于获取与非陆地通信网络网关对应的密钥;
所述签约数据管理网元向卫星管理功能网元发送密钥信息请求消息,所述密钥信息请求消息用于请求与所述非陆地通信网络网关对应的密钥;
所述签约数据管理网元接收来自所述卫星管理功能网元的密钥信息响应消息,所述密钥信息响应消息包括所述非陆地通信网络网关与卫星接入网节点建立安全连接的第一共享密钥;
响应于所述配置信息请求消息,所述签约数据管理网元向所述移动管理网元发送配置信息响应消息,所述配置信息响应消息包括所述第一共享密钥。
24.根据权利要求23所述的方法,其特征在于,所述配置信息请求消息和所述密钥信息请求消息均包括所述非陆地通信网络网关的用户永久标识。
25.根据权利要求22至24中任一项所述的方法,其特征在于,所述配置信息请求消息和所述密钥信息请求消息均包括所述卫星接入网节点的标识信息,所述卫星接入网节点的标识信息用于获取用于与所述卫星接入网节点建立安全连接的共享密钥;
和/或,
所述配置信息请求消息和所述密钥信息请求消息均包括网络标识,所述网络标识为所述卫星接入网节点所服务的网络的标识信息,所述网络标识用于获取用于与所述所服务的网络中的每个接入网节点建立安全连接的至少一个共享密钥;
所述配置信息响应消息包括所述每个接入网节点的标识信息和所述至少一个共享密钥,所述至少一个共享密钥包括所述第一共享密钥,所述每个接入网节点的标识信息包括所述卫星接入网节点的标识信息。
26.一种通信装置,其特征在于,所述装置包括一个或多个功能模块,所述一个或多个功能模块:用于执行如权利要求1至9中任一项所述的方法,或者用于执行如权利要求10至17中任一项所述的方法,或者用于执行如权利要求18至21中任一项所述的方法,或者用于执行如权利要求22至25中任一项所述的方法。
27.一种通信装置,其特征在于,包括:
处理器,用于执行存储器中存储的计算机程序,以使得所述装置执行如权利要求1至9中任一项所述的方法,或者以使得所述装置执行如权利要求10至17中任一项所述的方法,或者以使得所述装置执行如权利要求18至21中任一项所述的方法,或者以使得所述装置执行如权利要求22至25中任一项所述的方法。
28.一种计算机可读存储介质,其特征在于,包括:所述计算机可读存储介质存储有计算机程序;所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1至9中任一项所述的方法,或者使得所述计算机执行如权利要求10至17中任一项所述的方法,或者使得所述计算机执行如权利要求18至21中任一项所述的方法,或者使得所述计算机执行如权利要求22至25中任一项所述的方法。
29.一种通信方法,其特征在于,包括:
非陆地通信网络网关接收来自卫星接入网节点的第一系统消息,所述第一系统消息包括所述卫星接入网节点的标识信息;
响应于所述第一系统消息,所述非陆地通信网络网关向所述卫星接入网节点发送连接建立请求消息;
所述非陆地通信网络网关根据所述标识信息获取与所述卫星接入网节点对应的第一共享密钥;
所述非陆地通信网络网关根据所述第一共享密钥认证基于所述卫星接入网节点接入的网络。
30.根据权利要求29所述的方法,其特征在于,
响应于所述连接建立请求消息,所述卫星接入网节点发起对所述非陆地通信网络网关的认证;
所述卫星接入网节点从安全功能网元获取第二认证响应值,所述第二认证响应值用于认证所述非陆地通信网络网关;
在对所述接入的网络认证成功的情况下,所述非陆地通信网络网关根据所述第一共享密钥生成第一认证响应值;
所述非陆地通信网络网关向所述卫星接入网节点发送所述第一认证响应值;
在所述第二认证响应值和所述第一认证响应值相同的情况下,所述卫星接入网节点确定所述非陆地通信网络网关认证成功。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211542513.6A CN118138100A (zh) | 2022-12-02 | 2022-12-02 | 通信方法及装置 |
PCT/CN2023/135503 WO2024114742A1 (zh) | 2022-12-02 | 2023-11-30 | 通信方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211542513.6A CN118138100A (zh) | 2022-12-02 | 2022-12-02 | 通信方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118138100A true CN118138100A (zh) | 2024-06-04 |
Family
ID=91241133
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211542513.6A Pending CN118138100A (zh) | 2022-12-02 | 2022-12-02 | 通信方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN118138100A (zh) |
WO (1) | WO2024114742A1 (zh) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188673A (zh) * | 2011-12-29 | 2013-07-03 | 无锡南理工科技发展有限公司 | 卫星节点和地面网关间的扁平化多源安全认证更新系统 |
CN105827304B (zh) * | 2016-03-21 | 2018-11-09 | 南京邮电大学 | 基于信关站的卫星网络匿名认证方法 |
CN109039436B (zh) * | 2018-10-23 | 2020-09-15 | 中国科学院信息工程研究所 | 一种卫星安全接入认证的方法及系统 |
US20210242933A1 (en) * | 2019-11-07 | 2021-08-05 | Qualcomm Incorporated | Systems and methods for handover of mobile devices, radio cells and space vehicles for mobile satellite wireless access |
US10750366B1 (en) * | 2019-12-19 | 2020-08-18 | Cisco Technology, Inc. | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access |
CN113965925B (zh) * | 2020-07-01 | 2023-08-25 | 大唐移动通信设备有限公司 | 一种动态认证方法、装置、设备及可读存储介质 |
CN114785399B (zh) * | 2022-03-22 | 2024-03-29 | 南京熊猫汉达科技有限公司 | 一种低轨卫星通信网络系统的端到端通信方法 |
-
2022
- 2022-12-02 CN CN202211542513.6A patent/CN118138100A/zh active Pending
-
2023
- 2023-11-30 WO PCT/CN2023/135503 patent/WO2024114742A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
WO2024114742A1 (zh) | 2024-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
US20220337995A1 (en) | Apparatus and method for providing subscription data to non-subscriber registered terminal in wireless communication system | |
KR20230054421A (ko) | 셀룰러 슬라이싱된 네트워크들에서의 중계기 선택의 프라이버시 | |
CN111818516B (zh) | 认证方法、装置及设备 | |
CN110830989A (zh) | 一种通信方法和装置 | |
CN112087724A (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
CN114025352A (zh) | 终端设备的鉴权方法及其装置 | |
CN113676904B (zh) | 切片认证方法及装置 | |
CN113841366A (zh) | 通信方法及装置 | |
WO2022147804A1 (zh) | 一种密钥标识的生成方法以及相关装置 | |
CN113747547B (zh) | 业务获取方法、装置、通信设备及可读存储介质 | |
CN112105015B (zh) | 二级认证的方法和装置 | |
CN116723507A (zh) | 针对边缘网络的终端安全方法及装置 | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
CN118138100A (zh) | 通信方法及装置 | |
CN110557753B (zh) | 一种用于公安网通的基于中继接入的dns重定向方法 | |
CN115280803A (zh) | 多媒体广播组播服务认证方法、装置、设备及介质 | |
CN113904781B (zh) | 切片认证方法及系统 | |
CN113784351B (zh) | 切片服务验证方法、实体及设备 | |
CN114208240B (zh) | 数据传输方法、装置及系统 | |
WO2022021433A1 (zh) | 设备接入认证的方法、终端设备和云平台 | |
US20240137757A1 (en) | Systems and methods for authorization of proximity based services | |
US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
CN115336377A (zh) | 多媒体广播组播服务认证方法、装置、设备及存储介质 | |
CN117676568A (zh) | 一种认证方法、终端、网络设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |