获取安全上下文的方法、装置和通信系统转让专利
申请号 : CN201910470895.8
文献号 : CN112020067B
文献日 : 2021-12-10
发明人 : 李飞 , 张博
申请人 : 荣耀终端有限公司
摘要 :
权利要求 :
1.一种获取安全上下文的方法,其特征在于,包括:第一接入和移动管理功能AMF接收用户设备发送的第一注册请求消息;
所述第一AMF验证所述第一注册请求消息的完整性;
当所述第一AMF对所述第一注册请求消息的完整性验证成功时,所述第一AMF向第二AMF发送第二注册请求消息,所述第二注册请求消息携带有指示信息,所述指示信息用于指示所述用户设备是合法的;
所述第一AMF接收所述第二AMF根据所述第二注册请求消息发送的所述用户设备的安全上下文。
2.根据权利要求1所述的方法,其特征在于,所述第一注册请求消息是通过映射的安全上下文进行安全保护的。
3.根据权利要求2中所述的方法,其特征在于,所述安全保护包括加密保护和/或完整性保护。
4.根据权利要求2中所述的方法,其特征在于,所述映射的安全上下文为所述用户设备根据移动性管理实体MME与所述用户设备的安全上下文推导出来的。
5.根据权利要求2中所述的方法,其特征在于:所述映射的安全上下文是所述用户设备根据密钥KAMF1推导出来的。
6.根据权利要求1中所述的方法,其特征在于:所述用户设备的安全上下文是指本地安全上下文。
7.根据权利要求1所述的方法,其特征在于,所述第一注册请求消息是所述用户设备完成切换程序之后发送的。
8.根据权利要求1中所述的方法,其特征在于,所述第一注册请求消息是Registration Request消息。
9.根据权利要求1中所述的方法,其特征在于,所述第一注册请求消息中包括所述用户设备的5G GUTI全球唯一临时用户设备标识。
10.根据权利要求9中所述的方法,其特征在于,所述5G GUTI为所述第二AMF为所述用户设备配置的,用于标识所述用户设备和所述第二AMF。
11.根据权利要求1中所述的方法,其特征在于,所述第二注册请求消息中包括所述用户设备的5G GUTI 全球唯一临时用户设备标识或者用户永久标识SUPI。
12.根据权利要求1中所述的方法,其特征在于,所述第二AMF无需对所述用户设备进行验证。
13.根据权利要求1中所述的方法,其特征在于,所述指示信息用于指示所述用户设备是合法的具体包括指示所述第一AMF从所述用户设备处接收到的所述第一注册请求消息完整性校验通过。
14.根据权利要求1中所述的方法,其特征在于,所述第二AMF是指所述用户设备从4G通信系统切换到5G通信系统的过程中,所述5G通信系统中除了所述第一AMF之外的保存有所述用户设备的安全上下文的AMF。
15.根据权利要求1中所述的方法,其特征在于,所述第一AMF指的是所述用户设备从4G通信系统切换到5G通信系统的过程中,所述4G通信系统中的移动性管理实体MME为所述用户设备从所述5G通信系统中选择的为所述用户设备提供核心网服务的AMF。
16.根据权利要求1中所述的方法,其特征在于,所述第一AMF接收所述第二AMF根据所述第二注册请求消息发送的所述用户设备的安全上下文具体包括:所述第一AMF接收所述第二AMF根据所述第二注册请求消息发送的所述用户设备的上下文,所述用户设备的上下文包括所述第二AMF与所述用户设备之间协商确定的所述用户设备的安全上下文,其中,所述用户设备的安全上下文中包括密钥KAMF2和非接入层计数NAS COUNT。
17.根据权利要求9中所述的方法,其特征在于,所述用户设备和所述第二AMF之间保存有所述用户设备的安全上下文和所述5G GUTI的原因包括:所述用户设备在从4G通信系统切换至5G通信系统之前,所述用户设备是从所述5G网络通信系统中切换到了所述4G通信系统;或者支持双连接的所述用户设备通过非3GPP接入所述5G通信系统,同时通过3GPP接入所述4G通信系统,发生从所述4G通信系统到所述5G通信系统的连接态切换。
18.根据权利要求1中所述的方法,其特征在于,所述方法还包括:当所述第一AMF对所述第一注册请求消息的完整性验证失败时,所述第一AMF继续使用与所述用户设备之间协商生成的映射的安全上下文,或者,所述第一AMF向所述用户设备发起初始认证生成所述第一AMF与所述用户设备之间的安全上下文。
19.根据权利要求1中所述的方法,其特征在于,所述方法还包括:当所述第一AMF对所述第一注册请求消息的完整性验证失败时,所述第一AMF无法接收来自所述第二AMF发送的所述用户设备的安全上下文。
20.根据权利要求1中所述的方法,其特征在于,所述第一AMF接收所述第二AMF根据所述第二注册请求消息发送的所述用户设备的安全上下文具体包括:所述第一AMF接收所述第二AMF根据所述第二注册请求消息中的5G GUTI确定的所述用户设备的安全上下文。
21.根据权利要求2中所述的方法,其特征在于,所述映射的安全上下文是所述用户设备根据密钥KAMF1推导出来的具体包括:所述用户设备是基于保存的所述密钥KASME和下一跳参数NH以及预设公式推导出密钥KAMF1的,所述预设公式为:
KAMF1= HMAC‑SHA‑256(Key,FC||P0||L0),其中,FC = 0x76、P0 = NH value、L0 = length of NH value、KEY = KASME。
22.根据权利要求1中所述的方法,其特征在于,在所述第一接入和移动管理功能AMF接收用户设备发送的第一注册请求消息之前,所述方法还包括:所述第一AMF接收来自MME的第一转发重分配请求,所述第一转发重分配请求中包括所述用户设备与所述MME之间的安全上下文;
所述第一AMF基于所述用户设备与所述MME之间的安全上下文确定映射安全上下文;
所述第一AMF向所述MME发送转发重分配响应消息;
所述MME向所述用户设备发送切换命令消息;
所述用户设备确定映射的安全上下文。
23.根据权利要求22中所述的方法,其特征在于,所述方法还包括:所述第一转发重分配请求包括密钥KASME和下一跳参数NH;
所述第一AMF根据所述KASME和所述NH推导出密钥KAMF1。
24.根据权利要求23中所述的方法,其特征在于,所述第一AMF根据所述KASME和所述NH推导出密钥KAMF1具体包括:
所述第一AMF接收到所述KASME和所述NH之后,所述第一AMF根据预设公式推导出所述KAMF1,所述预设公式为:
KAMF1= HMAC‑SHA‑256(Key,FC||P0||L0),其中,FC = 0x76、P0 = NH value、L0 = length of NH value、KEY = KASME。
25.根据权利要求24中所述的方法,其特征在于,所述方法还包括:所述第一AMF基于所述KASME以及与所述用户设备协商的安全算法计算得到完整性保护密钥KNASint1和机密性保护密钥KNASenc1。
26.根据权利要求24中所述的方法,其特征在于,所述方法还包括:所述用户设备基于所述密钥KAMF1以及所述用户设备与所述第一AMF之间协商的非接入层NAS完整性保护算法和机密性保护算法,生成用于NAS消息保护的完整性保护密钥KNASint1和机密性保护密钥KNASenc1。
27.根据权利要求26中所述的方法,其特征在于,所述方法还包括:所述生成完整性保护密钥KNASint1的计算公式包括:KNASint1 =HMAC‑SHA‑256 (KEY,S),其中,S=FC||P01||L01||P11||L11,FC = 0x69,P01= 算法类型algorithm type distinguisher、L01=算法类型长度length of algorithm type distinguisher、P11=算法标识algorithm identity、L11=算法标识长度length of algorithm identity,KEY = KAMF1。
28.根据权利要求27中所述的方法,其特征在于,所述方法还包括:所述生成机密性保护密钥KNASenc1的计算公式包括:KNASenc1 =HMAC‑SHA‑256 (KEY,S),其中,S=FC||P0||L0||P1||L1,FC = 0x69,P0 = algorithm type distinguisher、L0 = length of algorithm type distinguisher、P1 = algorithm identity、L1 = length of algorithm identity、KEY = KAMF1。
29.根据权利要求22中所述的方法,其特征在于,所述转发重分配响应消息用于通知所述MME所述第一AMF为所述用户设备从4G通信系统切换至5G通信系统时,在5G通信系统中为所述用户设备提供接入和移动管理服务的AMF。
30.一种获取安全上下文的方法,其特征在于,包括:第二接入和移动管理功能AMF接收第一AMF发送的第二注册请求消息,所述第二注册请求消息携带有指示信息,所述指示信息用于指示用户设备是合法的;
所述第二AMF接收到所述第二注册消息之后,所述第二AMF向所述第一AMF发送所述用户设备的安全上下文;
其中,所述第二注册请求消息是当所述第一AMF对第一注册请求消息的完整性验证成功时发送的,所述第一注册消息为所述用户设备发送给所述第一AMF的。
31.根据权利要求30中所述的方法,其特征在于,包括:所述第二注册请求消息中包括所述用户设备的5G GUTI 全球唯一临时用户设备标识或者用户永久标识SUPI。
32.根据权利要求30中所述的方法,其特征在于,所述第二AMF向所述第一AMF发送所述用户设备的安全上下文之前,所述第二AMF根据所述第二注册请求消息中的5G GUTI确定所述用户设备的安全上下文。
33.根据权利要求30中所述的方法,其特征在于,所述第二AMF无需对所述用户设备进行验证。
34.根据权利要求31中所述的方法,其特征在于,所述用户设备和所述第二AMF之间保存有所述用户设备的安全上下文和所述5G GUTI的原因包括:所述用户设备在从4G通信系统切换至5G通信系统之前,所述用户设备是从5G网络通信系统中切换到了4G通信系统;或者支持双连接的所述用户设备通过非3GPP接入5G通信系统,同时通过3GPP接入4G通信系统,发生4G通信系统到5G通信系统的连接态切换。
35.一种通信系统,其特征在于,所述通信系统中包括第一接入和移动管理功能AMF和第二AMF,
所述第一AMF用于:
接收用户设备发送的第一注册请求消息;
验证所述第一注册请求消息的完整性;
当所述第一AMF对所述第一注册请求消息的完整性验证成功时,向所述第二AMF发送第二注册请求消息,所述第二注册请求消息携带有指示信息,所述指示信息用于指示所述用户设备是合法;
所述第二AMF用于:
接收所述第二注册请求消息;
根据所述第二注册请求消息向所述第一AMF发送所述用户设备的安全上下文。
36.根据权利要求35所述的系统,其特征在于,在所述第一接入和移动管理功能AMF接收用户设备发送的第一注册请求消息之前,所述第一AMF还用于:接收来自移动性管理实体MME的第一转发重分配请求,所述第一转发重分配请求中包括所述用户设备与所述MME之间的安全上下文;
基于所述用户设备与所述MME之间的安全上下文确定映射安全上下文;
向所述MME发送转发重分配响应消息。
37.根据权利要求36中所述的系统,其特征在于,所述第一转发重分配请求包括密钥KASME和下一跳参数NH,所述第一AMF还用于:据所述KASME和所述NH推导出密钥KAMF1。
38.根据权利要求37中所述的系统,其特征在于,所述第一AMF具体用于:所述第一AMF接收到所述KASME和所述NH之后,所述第一AMF根据预设公式推导出所述KAMF1,所述预设公式为:
KAMF1= HMAC‑SHA‑256(Key,FC||P0||L0),其中,FC = 0x76、P0 = NH value、L0 = length of NH value、KEY = KASME。
39.根据权利要求38中所述的系统,其特征在于,所述第一AMF还用于:基于所述KASME以及与所述用户设备协商的安全算法计算得到完整性保护密钥KNASint1和机密性保护密钥KNASenc1。
40.根据权利要求36中所述的系统,其特征在于,所述转发重分配响应消息用于通知所述MME所述第一AMF为所述用户设备从4G通信系统切换至5G通信系统时,在5G通信系统中为所述用户设备提供接入和移动管理服务的AMF。
41.根据权利要求35中所述的系统,其特征在于,所述第一注册请求消息是Registration Request消息。
42.根据权利要求35中所述的系统,其特征在于,在所述第一接入和移动管理功能AMF接收用户设备发送的第一注册请求消息之前,所述第一AMF还用于:当所述用户设备完成切换程序之后,接收所述用户设备发送的第一注册请求消息。
43.根据权利要求35中所述的系统,其特征在于,所述第一注册请求消息中包括所述用户设备的5G GUTI全球唯一临时用户设备标识。
44.根据权利要求43中所述的系统,其特征在于,所述5G GUTI为所述第二AMF为所述用户设备配置的,用于标识所述用户设备和所述第二AMF。
45.根据权利要求43中所述的系统,其特征在于,所述用户设备和所述第二AMF之间保存有所述用户设备的安全上下文和所述5G GUTI的原因包括:所述用户设备在从4G通信系统切换至5G通信系统之前,所述用户设备是从所述5G网络通信系统中切换到了所述4G通信系统;或者支持双连接的所述用户设备通过非3GPP接入所述5G通信系统,同时通过3GPP接入所述4G通信系统,发生从所述4G通信系统到所述5G通信系统的连接态切换。
46.根据权利要求35中所述的系统,其特征在于,所述第二注册请求消息中包括所述用户设备的5G GUTI 全球唯一临时用户设备标识或者用户永久标识SUPI。
47.根据权利要求35中所述的系统,其特征在于,所述第二AMF还用于:当所述第二AMF接收到所述第二注册请求消息之后,根据所述第二注册请求消息中的
5G GUTI确定所述用户设备的安全上下文。
48.根据权利要求35中所述的系统,其特征在于,所述第二AMF还用于:无需对所述用户设备进行验证。
49.一种获取安全上下文的装置,其特征在于,所述装置适用于一种网络系统,所述网络系统包括第一AMF和第二AMF,所述装置包括处理器、接口电路、存储器和系统总线;
所述存储器用于存储计算机执行指令,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述装置执行权利要求1至34中任一项所述的方法。
50.一种获取安全上下文的网络设备,其特征在于,包括:所述网络设备包括处理器,存储器,所述存储器用于存储计算机程序,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述网络设备执行权利要求1至29中任一项所述的方法。
51.一种获取安全上下文的网络设备,其特征在于,包括:所述网络设备包括处理器,存储器,所述存储器用于存储计算机程序,所述处理器执行所述存储器存储的所述计算机执行指令,以使所述网络设备执行权利要求30至34中任一项所述的方法。
说明书 :
获取安全上下文的方法、装置和通信系统
技术领域
背景技术
generation,4G)通信系统中切换到了5G通信系统中,这种切换场景下对于用户设备来说就
是接入网设备部分由4G接入网设备切换到了5G接入网设备,而核心网设备部分则由4G核心
网设备切换到了5G核心网设备,其中,核心网设备部分的切换包括为用户设备提供移动管
理服务的核心网网元之间的切换,也就是从4G通信系统中的移动性管理实体(mobility
management entity,MME)切换到了5G通信系统中的接入和移动管理功能(access and
mobility management function,AMF)。
时,第一AMF如何从第二AMF中获取用户设备的安全上下文成为亟待解决的问题。
发明内容
性保护,以使得第二AMF能够基于用户设备与第二AMF之间的本地安全上下文校验第二注册
请求消息的完整性,从而能够提高第二AMF校验第二注册请求消息成功的可能性,若验证成
功,则第一AMF就能够成功的从第二AMF处获取用户设备的安全上下文。
消息,所述第二注册请求消息被第一安全上下文进行过完整性保护,所述第一安全上下文
为所述用户设备与第二AMF之间的本地安全上下文,其中,所述第一AMF为所述用户设备从
4G通信系统切换至5G通信系统后,为所述用户设备提供接入和移动管理服务的AMF;所述第
一AMF向所述第二AMF发送所述第二注册请求消息;所述第二AMF校验所述第二注册请求消
息的完整性;若所述第二AMF校验所述第二注册请求消息的完整性成功,则所述第二AMF向
所述第一AMF发送所述用户设备的安全上下文。
备从4G通信系统切换至5G通信系统之后,为用户设备提供接入和移动管理服务为第一AMF,
该第一AMF需要从第二AMF处获得上述的用户设备的安全上下文,具体地,用户设备可以在
接收到切换命令之后,基于本地保存的与第二AMF之间的安全上下文对第四注册请求消息
进行完整性保护,生成第二注册请求消息,在向第一AMF发送第一注册请求消息,并在第一
注册请求消息中携带该第二注册请求消息,使得第一AMF可以将该第二注册请求消息转发
给第二AMF,则第二AMF可以校验该第二注册请求消息的完整性,第二AMF校验第二注册请求
消息的完整性成功之后,可以将上述用户设备的安全上下文返回给第一AMF,能够提高第一
AMF成功从第二AMF处获取用户设备的安全上下文的可能性。
的密钥的情况下,上述用户设备的安全上下文还可以是基于所述第一安全上下文进行密钥
推演生成的第二安全上下文。
调用请求,所述用户设备上下文传输服务调用请求中携带所述第二注册请求消息。
第二注册请求消息。
一响应消息中携带所述用户设备的安全上下文。
用户设备的安全上下文。
使用映射的安全上下文或向所述用户设备发起初始认证。
安全上下文,或者,第一AMF可以向用户设备发起初始认证生成第一AMF与用户设备之间安
全上下文。
的网元。
下文对所述第二注册请求消息的完整性进行校验。
过完整性保护,所述第一安全上下文为用户设备与所述第二AMF之间的本地安全上下文,所
述第一AMF为所述用户设备从4G通信系统切换至5G通信系统后,为所述用户设备提供接入
和移动管理服务的AMF;所述第二AMF校验所述第二注册请求消息的完整性;若所述第二AMF
校验所述第二注册请求消息的完整性成功,则所述第二AMF向所述第一AMF发送所述用户设
备的安全上下文。
备从4G通信系统切换至5G通信系统之后,为用户设备提供接入和移动管理服务为第一AMF,
该第一AMF需要从第二AMF处获得上述的用户设备的安全上下文,具体地,用户设备可以在
接收到切换命令之后,基于本地保存的与第二AMF之间的安全上下文对第四注册请求消息
进行完整性保护之后,生成第二注册请求消息,UE在向第一AMF发送的第一注册请求消息中
携带该第二注册请求消息,使得第一AMF可以将该第二注册请求消息转发给第二AMF,第二
AMF可以校验第二注册请求消息的完整性,并在校验第二注册请求消息的完整性成功的情
况下,向第一AMF发送用户设备的安全上下文,能够提高第一AMF成功从第二AMF处获取用户
设备的安全上下文的可能性。
文。
的密钥的情况下,上述用户设备的安全上下文还可以是基于所述第一安全上下文进行密钥
推演生成的第二安全上下文。
传输服务调用请求,所述用户设备上下文传输服务调用请求中携带所述第二注册请求消
息。
第二注册请求消息。
一响应消息中携带所述用户设备的安全上下文。
用户设备的安全上下文。
完整性进行校验。
所述第一安全上下文为所述用户设备与第二接入和移动管理功能AMF之间的本地安全上下
文;所述用户设备向第一接入和移动管理功能AMF发送第一注册请求消息,所述第一注册请
求消息中携带第二注册请求消息,其中,所述第一AMF为所述用户设备从4G通信系统切换至
5G通信系统后,为所述用户设备提供接入和移动管理服务的AMF。
备的安全上下文,在用户设备从4G通信系统切换至5G通信系统之后,为用户设备提供接入
和移动管理服务为第一AMF,该第一AMF需要从第二AMF处获得上述的用户设备的安全上下
文,具体地,用户设备可以在接收到切换命令之后,基于本地保存的与第二AMF之间的安全
上下文对第四注册请求消息进行完整性保护之后,生成第二注册请求消息,UE在向第一AMF
发送的第一注册请求消息中携带该第二注册请求消息,使得第一AMF可以将该第二注册请
求消息转发给第二AMF,则第二AMF可以校验该第二注册请求消息的完整性,第二AMF校验该
第二注册请求消息的完整性成功之后,可以将上述用户设备的安全上下文返回给第一AMF,
能够提高第一AMF成功从第二AMF处获取用户设备的安全上下文的可能性。
成功,则向所述第一AMF发送非接入层安全模式完成消息。
层安全模式完成消息。
消息,所述第二注册请求消息被第一安全上下文进行过完整性保护,所述第一安全上下文
为所述用户设备与第二AMF之间的本地安全上下文,其中,所述第一AMF为所述用户设备从
4G通信系统切换至5G通信系统后,为所述用户设备提供接入和移动管理服务的AMF;所述第
一AMF向所述第二AMF发送所述第二注册请求消息;若所述第二AMF校验所述第二注册请求
消息的完整性成功,则所述第一AMF接收所述第二AMF发送的所述用户设备的安全上下文。
备从4G通信系统切换至5G通信系统之后,为用户设备提供接入和移动管理服务为第一AMF,
该第一AMF需要从第二AMF处获得上述的用户设备的安全上下文,具体地,用户设备可以在
接收到切换命令之后,基于本地保存的与第二AMF之间的安全上下文对第四注册请求消息
进行完整性保护之后,生成第二注册请求消息,UE在向第一AMF发送的第一注册请求消息中
携带第二注册请求消息,使得第一AMF可以将该第二注册请求消息转发给第二AMF,则第二
AMF可以校验该第二注册请求消息的完整性,第二AMF校验第二注册请求消息的完整性成功
之后,可以将上述用户设备的安全上下文返回给第一AMF,能够提高第一AMF成功从第二AMF
处获取用户设备的安全上下文的可能性。
文。
的密钥的情况下,上述用户设备的安全上下文还可以是基于所述第一安全上下文进行密钥
推演生成的第二安全上下文。
调用请求,所述用户设备上下文传输服务调用请求中携带所述第二注册请求消息。
第二注册请求消息。
息,所述第一响应消息中携带所述用户设备的安全上下文。
用户设备的安全上下文。
使用映射的安全上下文或向所述用户设备发起初始认证。
安全上下文,或者,第一AMF可以向用户设备发起初始认证生成第一AMF与用户设备之间安
全上下文。
统中的网元。
请求用于获取用户设备的安全上下文,所述用户设备上下文传输服务调用请求中携带指示
信息,所述指示信息用于指示所述用户设备为合法的用户设备,其中,所述第一AMF为所述
用户设备从4G通信系统切换至5G通信系统后,为所述用户设备提供接入和移动管理服务的
AMF;所述第一AMF接收所述第二AMF发送的第二响应消息,所述第二响应消息中携带所述用
户设备的安全上下文。
UE进行验证失败,导致第二AMF不向第一AMF发送UE的安全上下文,提高第一AMF成功从第二
AMF处获取用户设备的安全上下文的可能性。
所述注册请求消息为所述第一AMF从所述用户设备处接收到的。
通过,为指示UE为合法UE提供灵活可选的方案。
息的完整性保护,其中,所述注册请求消息为所述第一AMF从所述用户设备处接收到的;和/
或,所述第一AMF确定所述注册请求消息,为所述用户设备从4G通信系统切换至5G通信系统
后发送的注册请求消息。
系统后发送的注册请求消息,判断可以向第二AMF发送的用户设备上下文传输服务调用请
求。
中携带该用户设备的标识。
的注册请求消息,所述明文的注册请求消息中包括所述UL NAS COUNT,其中,所述注册请求
消息为所述第一AMF从所述用户设备处接收到的。
请求消息,该明文的注册请求消息中包括该UL NAS COUNT,为第一AMF向第二AMF发送UL
NAS COUNT提供灵活可选的方案。
调用请求用于获取用户设备的安全上下文,所述用户设备上下文传输服务调用请求中携带
指示信息,所述指示信息用于指示所述用户设备为合法的用户设备,其中,所述第一AMF为
所述用户设备从4G通信系统切换至5G通信系统后,为所述用户设备提供接入和移动管理服
务的AMF;所述第二AMF向所述第一AMF发送第二响应消息,所述第二响应消息中携带所述用
户设备的安全上下文。
指示信息无需对UE进行验证,可以避免第二AMF验证UE失败而不向第一AMF发送UE的安全上
下文,提高第一AMF成功从第二AMF处获取用户设备的安全上下文的可能性。
所述注册请求消息为所述第一AMF从所述用户设备处接收到的。
性校验通过,为指示UE为合法UE提供灵活可选的方案。
的安全上下文。
的注册请求消息,所述明文的注册请求消息中包括所述UL NAS COUNT,其中,所述注册请求
消息为所述第一AMF从所述用户设备处接收到的。
请求消息,该明文的注册请求消息中包括该UL NAS COUNT,为第一AMF向第二AMF发送UL
NAS COUNT提供灵活可选的方案。
作。具体地,该通信系统可以包括用于执行上述第一方面以及第一方面的任意可能的实现
方式中所描述的步骤或功能相对应的部件(means)可以是第一方面的第一AMF和第二AMF或
第一AMF和第二AMF内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或
者通过硬件和软件结合来实现。
地,该获取安全上下文的装置可以包括用于执行上述第五方面和第四方面以及第一方面和
第四方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第五
方面和第四方面的第一AMF或第一AMF内部的芯片或功能模块。步骤或功能可以通过软件实
现,或硬件实现,或者通过硬件和软件结合来实现。
地,该获取安全上下文的装置可以包括用于执行上述第二方面和第六方面以及第二方面和
第六方面的任意可能的实现方式中所描述的步骤或功能相对应的部件(means)可以是第二
方面和第六方面的第二AMF或第二AMF内部的芯片或功能模块。步骤或功能可以通过软件实
现,或硬件实现,或者通过硬件和软件结合来实现。
面中所描述的步骤或功能相对应的部件(means)可以是第三方面中的用户设备或用户设备
内部的芯片或功能模块。步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件
结合来实现。
全上下文的装置方法中的收发步骤,该处理器用于从存储器中调用并运行该计算机程序,
使得该通信设备执行第一至第六方面中任一种可能实现方式中的获取安全上下文的装置
方法。
任一种可能实现方式中的方法。
一种可能实现方式中的方法。
信设备执行上述第一至第六方面中任一种可能实现方式中的方法。
附图说明
具体实施方式
access,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系
统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long term
evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工
(time division duplex,TDD)、通用移动通信系统(universal mobile
telecommunication system,UMTS)、全球互联微波接入(worldwide interoperability
for microwave access,WiMAX)通信系统、未来的第五代(5th generation,5G)系统或新无
线(new radio,NR)等。
形式的终端,移动台(mobile station,MS),终端(terminal),软终端等等。例如,水表、电
表、传感器等。
传输隧道。
请不做限定。
定。
如,合法监听以及接入授权/鉴权等功能。
以是AMF,或者,还可以有其它的名称,本申请不做限定。
结点以及下行数据通知等。
其它的名称,本申请不做限定。
功能(policy control function,PCF)网元。在未来通信系统中,策略控制网元仍可以是
PCF网元,或者,还可以有其它的名称,本申请不做限定。
还可以有其它的名称,本申请不做限定。
subscriber server,HSS)网元在未来通信系统中,统一数据管理仍可以是UDM网元,或者,
还可以有其它的名称,本申请不做限定。
定。
其它的名称,本申请不做限定。
明,本申请后续,以接入和移动管理设备为AMF,数据管理网元为UDM网元,会话管理网元为
SMF网元,用户面网元为UPF网元为例进行说明。
别为AMF实体、UDM实体的具体说明,不再重复介绍。
SMF通过N4接口控制UPF。AMF通过N11接口与SMF接口。AMF通过N8接口从UDM单元获取用户设
备签约数据,SMF通过N10接口从UDM单元获取用户设备签约数据。
申请实施例。
AMF,SMF网元,PCF网元,BSF网元,UDM网元等网元的集合都可以称为控制面功能网元。
equipment)、终端(terminal)、无线通信设备、用户代理或用户装置。用户设备还可以是蜂
窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环
路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具
有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设
备、可穿戴设备,未来5G网络中的用户设备或者未来演进的公用陆地移动通信网络(public
land mobile network,PLMN)中的用户设备等,本申请实施例对此并不限定。
器(radio network controller,RNC)、节点B(Node B,NB)、基站控制器(base station
controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(home
evolved NodeB,或home Node B,HNB)、基带单元(baseBand unit,BBU),无线保真
(wireless fidelity,WIFI)系统中的接入点(access point,AP)、无线中继节点、无线回传
节点、传输点(transmission point,TP)或者发送接收点(transmission and reception
point,TRP)等,还可以为5G,如,NR,系统中的gNB,或,传输点(TRP或TP),5G系统中的基站的
一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB或传输点的网络节点,
如基带单元(BBU),或,分布式单元(distributed unit,DU)等。
功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,
RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责
处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入
控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理
层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,
或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为
是由DU发送的,或者,由DU+AAU发送的。可以理解的是,网络设备可以为包括CU节点、DU节
点、AAU节点中一项或多项的设备。此外,可以将CU划分为接入网(radio access network,
RAN)中的网络设备,也可以将CU划分为核心网(core network,CN)中的网络设备,本申请对
此不做限定。
processing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主
存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机
操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows
操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本
申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通
过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法
进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或网络设备,或
者,是用户设备或网络设备中能够调用程序并执行程序的功能模块。
的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或
磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,
DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmable
read‑only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代
表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读存储介质”可
包括但不限于,无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
AMF本申请中涉及到第一AMF和第二AMF。具体地,本申请中所涉及的第一AMF指的是发生用
户设备从4G通信系统切换到5G通信系统的过程中,4G通信系统中的MME为UE从5G通信系统
中选择的为UE提供核心网服务的AMF;本申请中所涉及的第二AMF指的是用户设备从4G通信
系统切换到5G通信系统的过程中,5G通信系统中除了第一AMF之外的保存有UE的安全上下
文的AMF。
程图。包括UE、MME、第一AMF和第二AMF。
系统中接入时,UE和MME会得到一个相同的密钥KASME,当发生UE从4G通信系统到5G通信系统
切换时,MME选择第一AMF并将该KASME和下一跳参数(next hop parameter,NH)发送给第一
AMF,即上述的转发重分配请求消息中携带有KASME和NH等参数。
向MME发送切换请求,使得MME获知用户设备需要从4G通信系统切换到5G通信系统。
信系统切换至5G通信系统时,MME从该至少一个AMF中选择上述的第一AMF。
及的映射的上下文指的是第一AMF和UE分别基于4G通信系统中UE和MME之间协商生成的上
下文,推导得到的UE的安全上下文,对于如何基于4G上下文推导可以参考现有协议的规定,
本申请对此过程并不限制,映射的安全上下文指的是第一AMF和UE分别根据MME与用户设备
之间的安全上下文获得的。另外,本申请中所涉及的4G通信系统中UE和MME之间协商的上下
文,包括UE和MME之间的安全上下文,为了区分也可以称之为UE的4G上下文;同理,本申请中
所涉及的UE从4G通信系统切换至5G通信系统之前,UE和第二AMF中保存的UE的安全上下文
指的是5G通信系统中UE和第二AMF之间协商的上下文,包括UE和AMF之间的安全上下文,为
了区分也可以称之为UE的5G上下文。
称为本地(native)安全上下文。
为了便于描述,本申请实施例中描述可以为发送UE的上下文,或者,本申请实施例中描述可
以为发送UE的安全上下文,仅仅是描述上的简便,对本申请实施例的保护范围并不构成任
何限定。
value、L0=length of NH value(i.e.0x00 0x20)、KEY=KASME。第一AMF基于该密钥KAMF1以
及与UE协商的安全算法计算得到完整性保护密钥KNASint1和机密性保护密钥KNASenc1,其中,
KAMF1、KNASint1和KNASenc1包括在UE的安全上下文中,而KAMF1、KNASint1和KNASenc1是基于KASME和NH推
导得到的,KASME和NH为UE和MME之间的安全上下文,所以KAMF1、KNASint1和KNASenc1称为UE的映射
的安全上下文。
时,在5G通信系统中为UE提供接入和移动管理服务的AMF。
5G通信系统。
一AMF生成用于NAS消息(如注册请求消息)保护的完整性保护密钥KNASint1和机密性保护密
钥KNASenc1。具体地,计算KNASint1和KNASenc1如下所示:
algorithm type distinguisher)(i.e.0x00 0x01)、P11=算法标识(algorithm
identity)、L11=算法标识长度(length of algorithm identity)(i.e.0x00 0x01),KEY
=KAMF1;
(i.e.0x00 0x01)、P1=algorithm identity、L1=length of algorithm identity
(i.e.0x00 0x01)、KEY=KAMF1。
文对该注册请求消息进行安全保护,其中,安全保护包括加密保护和/或完整性保护。
简便本申请中之间描述为UE向第一AMF发送注册请求消息、MME向UE发送消息,其中,UE发送
的注册请求消息中还包括有映射的上下文中的全球唯一临时用户设备标识(globally
unique temporary user equipment identity,GUTI),该GUTI用于接入网设备确定将该注
册请求消息转发给第一AMF,由于该GUTI包括在映射的上下文中,可以称该GUTI为映射的
GUTI。
globally unique temporary user equipment identity,5G‑GUTI),则UE在上述的注册请
求消息中携带该5G‑GUTI。
存有与第二AMF之间协商的UE的安全上下文和5G‑GUTI的情况。
至5G通信系统之前,UE是从5G网络通信系统中切换到了4G通信系统;或者,支持双连接的UE
通过非3GPP接入5G通信系统,同时通过3GPP接入4G通信系统,发生4G通信系统到5G通信系
统的连接态切换。
于从UE处接收到的注册请求消息中携带的5G‑GUTI确定的,该5G‑GUTI是第二AMF为UE配置,
可以用于标识UE和第二AMF。协议规定5G通信系统中存在UE的安全上下文时,优先使用该UE
的安全上下文,而不是使用第一AMF和UE之间协商确定的映射的安全上下文,因为该映射的
安全上下文是基于4G通信系统中UE和MME之间的UE的安全上下文映射得到的,即图2所示的
流程还包括S270,第一AMF发起用户设备上下文传输服务调用请求(Namf_Communication_
UEContextTransfer)。
用请求中携带上述的注册请求消息。
下文。即执行S290,第二AMF校验注册请求消息。
第一AMF无法优先利用UE的安全上下文,不符合协议的规定。
可以描述为第二AMF向第一AMF发送UE的上下文,UE的上下文包括第二AMF与UE之间协商确
定的UE的安全上下文,该UE的安全上下文中包括密钥KAMF2和非接入层计数(non‑access
stratum count,NAS COUNT)等。
的同时还会携带推演指示信息,用来指示第二AMF对KAMF2进行了密钥推演演。
式,只要第二AMF向第一AMF发送的UE的安全上下文中包括推演指示信息,第一AMF能够确定
接收到的UE的安全上下文中的密钥是第二AMF通过预设的密钥推演方式进行密钥推演得到
的。
是对密钥KAMF2进行密钥推演而不是对KAMF进行密钥推演,因为UE接到到指示密钥KAMF2的密钥
标识符,因为本申请对密钥标识符并不涉及改进,这里不对密钥标识符进行详细说明。
免上述的无法成功获取UE的安全上下文的情况发生,本申请实施例提供一种获取安全上下
文的方法,通过第一AMF在从第二AMF处获得UE的安全上下文的时候,携带指示信息,该指示
信息表示UE已经通过了校验,而第二AMF根据指示信息不需要对UE进行验证,直接返回UE的
安全上下文即可,从而可以避免上述的获取UE的安全上下文失败的可能。
求消息的完整性验证通过的前提是成功解密该注册请求消息,所以本申请中实施例中将UE
通过验证描述为注册请求消息的完整性验证通过。
AMF。
程还包括S311‑S316:
配请求消息,则第一AMF能够获知当前接收到的注册请求消息,是在切换过程中从UE接收到
的注册请求消息。
户设备上下文传输服务调用请求不同的是,本申请实施例中的用户设备上下文传输服务调
用请求中新增信息元素(information element,IE)‑指示信息。
令。
一AMF可以直接向第二AMF发送指示信息,无需将该指示信息携带在上述的第二请求消息
中,该可能的实现方式在图3中并未示出。
以用于表示该UE为合法UE,在这种实现方式下,对现有的IE增加了新的指示功能,可以通过
预定义的方式通知第二AMF该5G‑GUTI具有新的功能;另一种可能的实现方式,指示信息可
以是新增的至少一个比特位,该比特位值设为1,表示UE为合法的UE。上述的可能的实现方
式仅仅是举例说明,对本申请的保护范围不构成任何限定。
示第一AMF从UE处接收到的注册请求消息完整性校验通过。
者,携带UE的5G‑GUTI和UE的SUPI。
明文的注册请求消息,该明文的注册请求消息中包括UL NAS COUNT;或者,一种可能的实现
方式是上述第二请求消息中携带UL NAS COUNT。
第一AMF获取UE的安全上下文失败。
为未安全保护的注册请求消息,第二AMF无需验证该明文的注册请求消息,可以直接从明文
的注册请求消息中获得UL NAS COUNT。
进行密钥推演得到的第二密钥。
得到的密钥。
这里不再赘述。
判断UE为合法的UE,第二AMF无需验证UE,第二AMF在接收到携带指示信息的第二请求消息
之后,直接将UE的安全上下文返回给第一AMF,从而避免了第二AMF验证UE失败导致第一AMF
获取UE的安全上下文失败。本申请还提供另外一种获取安全上下文的方法,第二AMF验证
UE,但是该方法能够提高第二AMF验证UE成功的可能性,从而提高第一AMF成功从第二AMF处
获取用户设备的安全上下文的可能性。
(native)安全上下文。
注册请求消息中包括UE与第二AMF之间的UE的上下文中的GUTI、密钥标识符(ngKSI)信息、
UL NAS COUNT,为了便于区分该GUTI可以称之为本地GUTI、该密钥标识符可以称之为本地
密钥标识符。
称,本申请实施例中对于消息的名称并不做限定。
符和UL NAS COUNT还包括其他的信息元素(information element,IE)。
在第一注册请求消息中携带第二注册请求消息也可以理解为:在第一注册请求消息中携带
第一MAC以及所述第四注册请求消息。
法流程S260中UE向第一AMF发送的注册请求消息,具体地,该第三注册请求消息中包括UE与
第一AMF之间的映射的上下文中的GUTI、密钥标识符信息,为了便于区分该GUTI可以称之为
映射的GUTI、该密钥标识符可以称之为映射的密钥标识符。
整性保护得到的MAC值,MAC5为对RR3和RR2用映射的安全上下文进行完保得到的MAC值(或
者,MAC5为对RR3、RR4和MAC1用映射的安全上下文进行完保得到的MAC值);也可以理解为第
一注册请求消息为依次基于native安全上下文和映射的安全上下文进行完整性保护的消
息。
在第一注册请求消息中携带第二注册请求消息也可以理解为:在第一注册请求消息中携带
第一MAC和所述第四注册请求消息。
MAC值,MAC1为对RR3和MAC3用本地安全上下文进行完整性保护得到的MAC值;也可以理解为
第一注册请求消息为依次基于映射的安全上下文和native安全上下文完整性保护的消息。
在第一注册请求消息中携带第二注册请求消息也可以理解为:在第一注册请求消息中携带
第一MAC和所述第四注册请求消息。
值,MAC4为对RR3和MAC1用映射的安全上下文进行完整性保护得到的MAC值,;也可以理解为
第一注册请求消息为依次基于native安全上下文和映射的安全上下文完整性保护的消息。
给第二AMF。
形式也在本申请的保护范围之内,例如,上述第四注册请求消息为UE基于native上下文构
成其他的可能的消息。
息。
转发重分配请求消息,则第一AMF能够获知当前接收到的第一注册请求消息,是在切换过程
中从UE接收到的注册请求消息。
AMF发送第二注册请求消息。
户设备上下文传输服务调用请求不同的是,本申请实施例中的用户设备上下文传输服务调
用请求中新增信元‑第一MAC。
令。
第二注册请求消息中。
SUPI,或者,携带UE的映射的GUTI和UE的SUPI。
GUTI,那么在该情况下,第一AMF可以选择在第一请求消息中携带UE的本地GUTI。
请求消息的完整性。
第一MAC和第二MAC,当第一MAC和第二MAC相等的情况下,第二AMF验证UE成功,确定UE合法
的UE,则第二AMF向第一AMF发送UE的安全上下文。
率下第一MAC和第二MAC是相等的第二AMF能够验证UE成功,向第一AMF返回UE的安全上下
文,除非发生传输错误的小概率事件发生,而导致第二AMF验证失败。图4所示的获取安全上
下文的方法与图2中所示的方法流程相比提高第一AMF成功从第二AMF处获取用户设备的安
全上下文的可能性。
密钥推演得到的第二密钥。其中,本申请实施例中可以将包括该进行密钥推演生成的第二
密钥的UE的安全上下文称为第二安全上下文,也就是说第二AMF向第一AMF发送UE的安全上
下文可以是未经过密钥推演的,第二AMF中本地保存的第二AMF和UE之间的UE的安全上下
文,或者,当第二AMF根据本地策略对本地保存的第二AMF和UE之间的UE的安全上下文中的
密钥,进行过密钥推演生成了推演后的密钥的情况下,第二AMF向第一AMF发送UE的安全上
下文可以是上述的第二安全上下文。
得到的密钥。
这里不再赘述。
息,UE对NAS SMC消息进行完整性校验,当UE校验NAS SMC成功之后,UE向第一AMF发送非接
入层安全模式完成(non‑access layer security mode complete)消息。
求消息的完整性失败。
文,或者,第一AMF基于本地策略确向UE发起初始认证,生成新的第一AMF和UE之间的安全上
下文。
成任何限定。
图3和图4所示的方法实施例中由用户设备执行的相应步骤。
一注册请求消息的步骤S420;
是接收器。接收器和发射器可以集成在一起组成收发器。
示,用户设备60包括处理器(对应于图5中所示的处理单元520)、存储器、控制电路、天线以
及输入输出装置(对应于图5中所示的发送单元510和接收单元530)。处理器用于控制天线
以及输入输出装置收发信号,存储器用于存储计算机程序,处理器用于从存储器中调用并
运行该计算机程序,以执行本申请提出的获取安全上下文的方法中由用户设备执行的相应
流程和/或操作。此处不再赘述。
设备等,本申请实施例对此不做限制。
性保护,所述第一安全上下文为所述用户设备与第二AMF之间的本地安全上下文,所述第一
AMF为所述用户设备从4G通信系统切换至5G通信系统后,为所述用户设备提供接入和移动
管理服务的AMF;
和图4所示的方法实施例中由第一AMF执行的相应步骤。
配请求消息的步骤S411、执行图3中接收UE发送的注册请求消息的步骤S316、执行图3中接
收UE发送的第一注册请求消息的步骤S420、执行图3中接收第二AMF发送的第二响应消息的
步骤S330、执行图4中接收第二AMF发送的UE的安全上下文的步骤S460。
3中验证UE的步骤S317、执行图4中验证UE的步骤S430。
执行图3中向第二AMF发送第二请求消息的步骤S310、执行图4中向第二AMF发送第二注册请
求消息的步骤S440。
收器和发射器可以集成在一起组成收发器。
器820中存储的指令或程序。存储器820中存储的指令或程序被执行时,收发器830用于执行
图7所示的装置70中的接收单元710与发送单元730执行的操作。
AMF之间的本地安全上下文;
和图4所示的方法实施例中由第二AMF执行的相应步骤。
册请求消息的步骤S440。
收器和发射器可以集成在一起组成收发器。
执行存储器1020中存储的指令或程序。存储器1020中存储的指令或程序被执行时,收发器
1030用于执行图9所示的装置90中的接收单元910与发送单元930执行的操作。
AMF执行的各个步骤。
AMF执行的各个步骤。
操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存
储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括
通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理
器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以
是输入输出接口。
或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连
接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接
口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该
通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入
输出接口。
以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员
可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出
本申请的范围。
划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件
可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或
讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦
合或通信连接,可以是电性,机械或其它的形式。
网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目
的。
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read‑Only Memory,ROM)、随机存取存
储器((R)ANdom Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系;本申请中术语“至少一
个”,可以表示“一个”和“两个或两个以上”,例如,A、B和C中至少一个,可以表示:单独存在
A,单独存在B,单独存在C、同时存在A和B,同时存在A和C,同时存在C和B,同时存在A和B和C,
这七种情况。
盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。