CN110830996B - 一种密钥更新方法、网络设备及终端 - Google Patents
一种密钥更新方法、网络设备及终端 Download PDFInfo
- Publication number
- CN110830996B CN110830996B CN201810899168.9A CN201810899168A CN110830996B CN 110830996 B CN110830996 B CN 110830996B CN 201810899168 A CN201810899168 A CN 201810899168A CN 110830996 B CN110830996 B CN 110830996B
- Authority
- CN
- China
- Prior art keywords
- key
- 3gpp
- access
- updated
- 3gpp access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 98
- 230000002452 interceptive effect Effects 0.000 claims abstract description 21
- 238000004364 calculation method Methods 0.000 claims description 99
- 230000006870 function Effects 0.000 claims description 52
- 230000008569 process Effects 0.000 claims description 44
- 238000005516 engineering process Methods 0.000 claims description 24
- 238000007726 management method Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 abstract description 11
- 230000004044 response Effects 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 101150119040 Nsmf gene Proteins 0.000 description 10
- 230000008859 change Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 5
- 244000118350 Andrographis paniculata Species 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 4
- 101100240462 Homo sapiens RASAL2 gene Proteins 0.000 description 3
- 102100035410 Ras GTPase-activating protein nGAP Human genes 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000011084 recovery Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种密钥更新方法、网络设备及终端,解决目前标准中多注册场景下缺少非3GPP接入密钥更新的处理方式的问题。本发明实施例的密钥更新方法包括:在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。本发明实施例实现了多注册场景下非3GPP接入层密钥的更新。
Description
技术领域
本发明涉及通信应用的技术领域,尤其涉及一种密钥更新方法、网络设备及终端。
背景技术
相比4G网络,5G网络提供了多注册的场景,即UE(User Equipment,用户设备或者终端)可以通过3GPP和非3GPP同时接入相同或者不同的PLMN(Public Land MobileNetwork,公共陆地移动网络)的服务网络中。
当UE通过3GPP接入和非3GPP接入同时注册到相同PLMN的接入和移动管理功能AMF时,UE通过两种接入方式建立的NAS连接将使用相同的密钥,即根密钥KAMF相同。当源AMF更新一个新的KAMF并发给目标KAMF时,UE也会同步更新KAMF,同时UE和AMF会同步计算用于3GPP接入建立的接入层(Access Stratum,AS)的密钥KgNB,且新的密钥标识与当前使用的密钥标识ngKSI相同,而并没有更新当前非3GPP接入使用的AS密钥KN3IWF,这样就导致了在UE和AMF中,相同的ngKSI标识着两套不同的密钥而产生的密钥不同步问题,而目前标准中多注册场景下缺少非3GPP接入密钥更新的处理描述。
发明内容
本发明的目的在于提供密钥更新方法、网络设备及终端,用以解决目前标准中多注册场景下缺少非3GPP接入密钥更新的处理方式的问题。
为了实现上述目的,本发明实施例提供了一种密钥更新方法,应用于接入和移动管理功能AMF,包括:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。
其中,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
其中,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述获取更新后的用于非3GPP接入的接入层密钥,包括:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
其中,将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
为了实现上述目的,本发明实施例还提供了一种密钥更新方法,应用于非3GPP交互网络功能N3IWF,包括:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
其中,向终端发送非3GPP密钥更新指示以及计算参数,包括:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
为了实现上述目的,本发明实施例还提供了一种密钥更新方法,应用于终端,包括:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
其中,获取更新后的用于非3GPP接入的接入层密钥之后,还包括:
通过告知交换消息通知N3IWF完成非3GPP密钥更新。
其中,获取N3IWF发送的非3GPP密钥更新指示以及计算参数,包括:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
为了实现上述目的,本发明实施例还提供了一种网络设备,所述网络设备为接入和移动管理功能AMF,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥通过收发机发送给非3GPP交互网络功能N3IWF。
其中,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
其中,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述处理器执行所述程序时还实现以下步骤:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
其中,所述处理器执行所述程序时还实现以下步骤:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,所述处理器执行所述程序时还实现以下步骤:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
所述处理器执行所述程序时还实现以下步骤:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
为了实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。
为了实现上述目的,本发明实施例还提供了一种网络设备,所述网络设备为非3GPP交互网络功能N3IWF,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
其中,所述处理器执行所述程序时还实现以下步骤:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
为了实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。
为了实现上述目的,本发明实施例还提供了一种终端,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现以下步骤:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
其中,所述处理器执行所述程序时还实现以下步骤:
通过告知交换消息通知N3IWF完成非3GPP密钥更新。
其中,所述处理器执行所述程序时还实现以下步骤:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
为了实现上述目的,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上所述密钥更新方法的步骤。
为了实现上述目的,本发明实施例还提供了一种网络设备,所述网络设备为接入和移动管理功能AMF,包括:
第一获取模块,用于在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
第一发送模块,用于将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。
其中,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述特定密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
其中,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述第一获取模块包括:
接收子模块,用于接收源AMF发送的根密钥更新指示以及更新后的根密钥;
计算子模块,用于根据更新后的根密钥,计算更新后的非接入层密钥;
获取子模块,用于如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
其中,所述第一发送模块用于向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,所述第一发送模块包括:
添加模块,用于在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
第一发送子模块,用于将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
第二发送子模块,用于在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
其中,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
所述第一发送模块用于将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
为了实现上述目的,本发明实施例还提供了一种网络设备,所述网络设备为非3GPP交互网络功能N3IWF,包括:
第二发送模块,用于在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
其中,所述第二发送模块用于通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
为了实现上述目的,本发明实施例还提供了一种终端,包括:
第二获取模块,用于获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
第三获取模块,用于根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
其中,上述终端还包括:
通知模块,用于通过告知交换消息通知N3IWF完成非3GPP密钥更新。
其中,所述第二获取模块用于通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
本发明实施例具有以下有益效果:
本发明实施例的上述技术方案,在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,从而实现了多注册场景下非3GPP接入层密钥的更新。
附图说明
图1为本发明实施例的密钥更新方法的流程图示意图之一;
图2为本发明实施例中终端与网络设备的第一交互示意图;
图3为本发明实施例中终端与网络设备的第二交互示意图;
图4为本发明实施例中终端与网络设备的第三交互示意图;
图5为本发明实施例的密钥更新方法的流程图示意图之二;
图6为本发明实施例的密钥更新方法的流程图示意图之三;
图7为本发明实施例中网络设备AMF的结构框图;
图8为本发明实施例中网络设备AMF的模块示意图;
图9为本发明实施例中网络设备N3IWF的结构框图;
图10为本发明实施例中网络设备N3IWF的模块示意图;
图11为本发明实施例的终端的结构框图;
图12为本发明实施例的终端的模块示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合具体实施例及附图进行详细描述。
5G网络中提供了几种切换的场景:系统间切换、Xn切换(系统内基站gNB之间的切换)和N2切换(系统内接入和移动管理功能AMF之间的切换)。N2切换是指切换至目标gNB时需要借助新的合适的AMF实现。N2为5G接入网与接入移动管理功能之间的接口或参考点,N2切换的流程,包括:
(1)源gNB给源AMF发送切换请求Handover Required消息。
该切换请求消息包含目标Target ID,源到目标透明容器(Source to Targettransparent container),会话管理N2信息列表(SM N2 info list),协议数据单元会话标识(PDU Session IDs),系统内切换指示。
(2)目标AMF选择。当源AMF不能再服务于UE,源AMF将按照标准中的规定选择目标AMF。
(3)源AMF给目标AMF发送AMF通信创建UE上下文请求(Namf_Communication_CreateUEContext Request)消息。
该Namf_Communication_CreateUEContext Request消息中包含了N2消息Information,UE上下文信息。源AMF通过给目标AMF发送Namf_Communication_CreateUEContext服务发起切换资源分配流程。
其中,N2消息包括:Target ID,Source to Target transparent container,SMN2information list,PDU Session IDs,服务区限制;
UE上下文信息包括:签约用户永久标识(SUPI),网络切片选择辅助信息(AllowedNSSAI for each Access Type if available),被允许的接入类型允许的网络切片接入标识(the list of PDU Session IDs)以及相应的SMF information和相应的单个网络切片选择辅助信息(S-NSSAI(s)),策略控制功能(PCF ID)以及数据网络名称(DNN)。
(4):目标AMF向会话管理功能SMF发送SMF PDU会话更新会话上下文(Nsmf_PDUSession_UpdateSMContext)消息。
该Nsmf_PDUSession_UpdateSMContext消息包含PDU Session ID,目标TargetID,目标AMF ID。
(5)基于Target ID,SMF验证是否N2 Handover所指示的PDU Session可以被接收。The SMF按照UPF选择标准验证,如果UE移动范围超出UPF的范围,则SMF将选择一个新的UPF。
(6)SMF给目标AMF发送SMFPDU会话更新会话上下文响应(Nsmf_PDUSession_UpdateSMContext Response)消息,其中包含了PDU Session ID,N2 SM Information和不接受的原因。
(7)目标AMF向目标gNB发送Handover Request,其中包含了Source to Targettransparent container,N2移动性信息(N2 MM Information),N2会话信息列表(N2 SMInformation list),切换限制列表(Handover Restriction List),非允许的PDU会话列表(Non-accepted PDU Session List)。
(8)目标gNB向目标AMF发送切换请求确认Handover Request Acknowledge。
该切换请求确认包含了Target to Source transparent container,N2 SMresponse list,PDU会话建立失败列表(PDU Sessions failed to be setup list),目标基站会话管理N3接口转发信息列表(目标gNB SM N3 forwarding Information list)。
(9)目标AMF向SMF发送SMFPDU会话更新SM上下文请求(Nsmf_PDUSession_UpdateSMContext Request),包含PDU Session ID,N2 SM response,目标gNB SM N3forwarding Information list。
(10)SMF向目标AMF发送SMF PDU会话更新会话上下文响应(Nsmf_PDUSession_UpdateSMContext Response),即N2 SM Information。对每个PDU会话,SMF发送SMF PDU会话更新会话上下文响应(Nsmf_PDUSession_UpdateSMContext Response)消息给目标AMF。
(11)目标AMF给源AMF发送Namf_Communication_CreateUEContext Response。
N2必要信息(N2 information necessary)用于源AMF发送切换命令HandoverCommand给源gNB,其中包含了Target to Source transparent container,PDU Sessionsfailed to be setup list,N2 SM information(N3 DL forwarding Information)。
(12)源AMF给源gNB发送Handover Command消息,其中包含了Target to Sourcetransparent container,协议数据单元会话失败建立列表(PDU Sessions failed to besetup list),SM forwarding info list。当从源AMF接收即转发Target to Sourcetransparent container。SM forwarding info list包含了目标gNB SM N3 forwardinginfo list或者源用户面功能会话管理N3转发信息列表(S-UPF SM N3 forwarding infolist)用于数据的直接转发和间接转发。源gNB通过PDU Sessions failed to be setuplist和the indicated reason for failure来决定是否进行N2切换流程。
(13)源gNB给UE发送切换命令(Handover Command),其中包含UE container。UEcontainer是Target to Source transparent container的UE部分,Target to Sourcetransparent container被透明的从目标gNB通过AMF发给源gNB并由源gNB发给UE。
(14)UE给目标gNB发送切换确认(Handover Confirm)消息。当UE成功与目标消息同步,它将发送Handover Confirm消息给目标gNB,通过本条消息认为切换已经成功在UE中完成。
(15)目标gNB发送Handover Notify消息给目标AMF,到本消息说明切换已经在目标gNB成功完成。
同时TS33.501中对N2切换过程安全保护的现有技术的描述为:当接收到NGAPHANDOVER REQUIRED消息,源AMF将本地保存的NCC值增加1,并且计算一个新的NH。源AMF将使用当前激活的5GS NAS安全中的KAMF计算新的NH。源AMF将通过Namf_Communication_CreateUEContext Request发送{NH,NCC}给目标AMF。在Namf_Communication_CreateUEContext Request消息中将额外包含用于计算{NH,NCC}的KAMF以及对应的ngKSI。
值得注意的是,与LTE网络中不同的是,在单注册场景下,5G网络的N2切换场景考虑了切换与源AMF密钥更新同时发生的场景,即源AMF会更新KAMF并发给目标AMF,或者目标AMF由于策略需要启用新的KAMF密钥。
AMF的处理描述:如果源AMF已经通过一个新的KAMF激活了新的5G NAS安全上下文,该新安全上下文与当前5G AS安全上下文为基础的不同,Namf_Communication_CreateUEContext Request消息将额外包含一个K_AMF_CI(KAMF Change Indicator),意味着发送的KAMF是一个新的密钥。源AMF使用本地策略决定是否执行水平的KAMF推演。如果执行,则Namf_Communication_CreateUEContext Request一个指示说明KAMF已经被重新计算,并且downlink NAS COUNT将用于计算发送的KAMF。新的KAMF的ngKSI与当前密钥的ngKSI具有相同的值,源AMF将会包含ng KSI在Namf_Communication_CreateUEContext Request中,源AMF将downlink NAS COUNT增加1。如果target AMF接收到一个指示说明一个新的KAMF已经被计算,将必须创建一个NASC(NAS Container)包含了K_AMF_change flag,接收的下行连接非接入层计数器值(downlink NAS COUNT),ngKSI,所选的非接入层安全算法(selectedNAS security algorithms),UE的安全能力(UE security capabilities),和<非接入层的校验值(NAS MAC)>。NASC被包含在下一代应用协议切换请求(NGAP HANDOVER REQUEST)发给target gNB。
gNB的处理:目标gNB将在切换命令(HO Command message)包含{NH,NCC}对中的NCC值,以及NASC(如果接收了),发给UE删除当前未使用的{NH,NCC}对。如果目标gNB已经接收了根密钥变化指示K_AMF_CI,则必须设置HO Command消息中的密钥变化指示(keyChangeIndicator)域为真。
UE的处理:UE将会基于收到的KAMF进一步计算KAMF并分配ngKSI给新的KAMF至NAS安全上下文,并选择NASC中的NAS安全算法。UE将进一步验证NASC中的<NAS MAC>,如果验证成功,UE将使用获取的KAMF以及为0的NAS COUNT计算临时的KgNB密钥(temporary KgNB)。
另外,标准中对于KN3IWF的密钥的描述:KN3IWF将被一直用于UE通过非3GPP到5GC的接入除非进行了重认证。对于5G网络提供的多注册场景,在TS33.501中,对该场景的描述为:如果UE通过3GPP和非3GPP同时注册到不同PLMN的服务网络中,则UE将独立维护并使用两套不同的安全上下文。如果UE通过3GPP和非3GPP同时注册到相同PLMN的服务网络中,接入和移动管理功能AMF和UE将建立一套通用的非接入层(Non-access stratum,NAS)安全上下文,该安全上下文是在首次注册时建立的,包含了一组NAS密钥和算法。AMF和UE还会在通用的NAS安全上下文中包含每个NAS连接的特定参数,即一对上下行NAS COUNT值和对每个连接唯一的NAS连接标识。对于3GPP接入建立的NAS连接标识为0,对于非3GPP接入建立的NAS连接标识为1。
按照密钥的同步原则,如果网络中的NAS密钥变化,则接入层(Access Stratum,AS)密钥也应该变化,否则将导致信令和数据的无法加密、无法完整性保护以及无法完成解密或完整性验证。目前33.501标准中在非3GPP接入时,5G AS的密钥为KN3IWF,其产生方法类似于KgNB,基于KAMF以及NAS COUNT等参数。对KN3IWF的应用,目前的描述是:非3GPP交互网络功能N3IWF将使用KN3IWF作为MSK用于UE与N3IWF之间IKEv2流程。在IKEv2协议中,MSK被称为主会话密钥,用于IKEv2流程中建立IKE、ESP/AH SA时的认证,即在建立IPsec SA的过程中会通过因特网密钥交换认证请求IKE_AUTH exchange交互实现,而消息Payload中的认证(authentication,AUTH)参数是通过MSK计算得到,而如果MSK变化将导致无法对IKEv2消息的认证。然而当UE通过3GPP接入和非3GPP接入同时注册到相同PLMN的接入和移动管理功能AMF时,目标标准中缺少非3GPP接入密钥更新的处理方式。
为了解决目前标准中多注册场景下缺少非3GPP接入密钥更新的处理方式的问题,如图1所示,本发明实施例提供了一种密钥更新方法,应用于接入和移动管理功能AMF,该AMF具体为目标AMF,该方法包括:
步骤101:在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥。
该预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
上述预设连接接口为N2,N2为5G接入网与接入移动管理功能之间的接口或参考点。
需要说明的是,源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程,会使根密钥发生变化。
步骤102:将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。
具体的,可通过上下文更新消息将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。
本发明实施例的密钥更新方法,在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,从而实现了多注册场景下非3GPP接入层密钥的更新。
在上述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时,上述步骤101中获取更新后的用于非3GPP接入的接入层密钥,包括:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
基于此,作为第一种可选的实现方式,上述步骤102将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
该第一种实现方式中,UE在多注册场景下通过3GPP接入技术发生预设连接接口切换,则UE将通过非3GPP接入的NAS连接切换到新的目标AMF中,N3IWF与目标AMF将建立新的连接,目标AMF获取更新后的根密钥KAMF后,将需要基于KAMF推演KN3IWF,并通过上下文更新消息发给N3IWF,这样使得UE通过两种接入方式的密钥同步更新,避免了密钥不同的问题。
下面对该第一种实现方式的具体流程进行如下说明。
如图2所示,该流程包括:
步骤201:UE通过3GPP和非3GPP两种接入技术注册到相同PLMN的服务网络。
即UE的两个NAS连接相同的AMF,并使用公共的NAS安全上下文保证安全。
步骤202:由于UE位置变换,UE通过3GPP接入技术切换到目标AMF,此时,UE将通过非3GPP接入的NAS连接切换到目标AMF中。
该目标AMF与源AMF具有相同的PLMN。
步骤203:源AMF发生了密钥更新。
这里的密钥更新具体是指根密钥KAMF的更新。
步骤204:目标AMF接收到密钥更新指示以及更新后的KAMF,并计算更新后的NAS密钥。
步骤205:如果目标AMF从源AMF中获取到N3IWF的信息,则与N3IWF建立连接。
步骤206:目标AMF将根据本地的NAS COUNT值计算新的KN3IWF。
步骤207:目标AMF向N3IWF发送密钥更新指示以及新的KN3IWF。
步骤208:N3IWF向目标AMF发送响应消息。
步骤209:N3IWF接收新的KN3IWF并删除旧的KN3IWF。
步骤210:N3IWF通过IKE_AUTH Request信息携带KN3IWF变化指示以及NAS COUNT,并发送给UE。
步骤211:UE基于新的KAMF及接收到的NAS COUNT计算新的KN3IWF,并删除旧的KN3IWF。
步骤212:UE告知N3IWF完成非3GPP AS密钥的更新。
在本实施例中增加了目标AMF与N3IWF之间的安全上下文更新的消息交互流程,将密钥更新指示以及新的密钥的由目标AMF发送给N3IWF,即在UE与N3IWF之间增加更新非3GPP AS密钥的过程。
需要说明的是,上述步骤208和步骤209不存在先后顺序的限定,即可以先执行步骤208,也可先执行步骤209。
此外,还可以通过因特网密钥告知交换消息IKE_Information Exchange完成N3IWF与UE之间消息的互通。
如图3所示,该流程还可以包括:
步骤301:UE通过3GPP和非3GPP两种接入技术注册到相同PLMN的服务网络。
即UE的两个NAS连接相同的AMF,并使用公共的NAS安全上下文保证安全。
步骤302:由于UE位置变换,UE通过3GPP接入技术切换到目标AMF,此时,UE将通过非3GPP接入的NAS连接切换到目标AMF中。
该目标AMF与源AMF具有相同的PLMN。
步骤303:源AMF发生了密钥更新。
这里的密钥更新具体是指根密钥KAMF的更新。
步骤304:目标AMF接收到密钥更新指示以及更新后的KAMF,并计算更新后的NAS密钥。
步骤305:如果目标AMF从源AMF中获取到N3IWF的信息,则与N3IWF建立连接。
步骤306:目标AMF将根据本地的NAS COUNT值计算新的KN3IWF。
步骤307:目标AMF向N3IWF发送密钥更新指示以及新的KN3IWF。
步骤308:N3IWF向目标AMF发送响应消息。
步骤309:N3IWF接收新的KN3IWF并删除旧的KN3IWF。
步骤310:N3IWF通过Creat Child SA Request信息携带KN3IWF变化指示以及NASCOUNT,并发送给UE。
步骤311:UE基于新的KAMF及接收到的NAS COUNT计算新的KN3IWF,并删除旧的KN3IWF。
步骤312:UE通过Creat Child SA Reponse告知N3IWF完成非3GPP AS密钥的更新。
需要说明的是,上述步骤308和步骤309不存在先后顺序的限定,即可以先执行步骤308,也可先执行步骤309。
图3所示的流程与图2所示的流程的不同之处在于,UE与N3IWF之间的交互消息不同,即利用IKEv2协议中提供的SA更新的流程,但N2消息的指示以及UE与AMF的密钥更新方法相同。
进一步地,作为第二种可选的实现方式,上述步骤102:将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数。
这里,计算接入层密钥的计算参数包括NAS COUNT。
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
该第二种实现方式中,当UE通过3GPP接入发生切换,且更新了根密钥KAMF,可以在本次切换流程中更新UE与AMF侧保存的用于非3GPP接入的KN3IWF,避免了UE与N3IWF之间使用额外的IKEv2消息完成密钥的更新。
下面对该第二种实现方式的具体流程进行如下说明。
如图4所示,该流程包括:
步骤401:源gNB给源AMF发送切换请求。
步骤402:源AMF选择目标AMF。
步骤403:源AMF给目标AMF发送Namf_Communication_CreateUEContext Request消息。
步骤404:目标AMF向会话管理功能SMF发送Nsmf_PDUSession_UpdateSMContext消息。
步骤405:基于Target ID,SMF验证是否N2 Handover所指示的PDU Session可以被接收。
步骤406:SMF给目标AMF发送Nsmf_PDUSession_UpdateSMContext Response消息。
步骤407:目标AMF向目标gNB发送Handover Request。
步骤408:目标gNB向目标AMF发送切换请求确认。
步骤409:目标AMF向SMF发送Nsmf_PDUSession_UpdateSMContext Request。
步骤410:SMF向目标AMF发送Nsmf_PDUSession_UpdateSMContext Response。
步骤411:目标AMF给源AMF发送Namf_Communication_CreateUEContextResponse,其中,包含非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数。
步骤412:源AMF给源gNB发送切换命令,其中,包含非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数。
步骤413:源gNB给UE发送切换命令,其中,包含非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数。
步骤414:UE给目标gNB发送切换确认消息。
这里,UE通过获取的技术参数以及密钥更新指示计算用于非3GPP接入的AS密钥KN3IWF。
步骤415:目标gNB发送Handover Notify消息给目标AMF。
步骤416:目标AMF向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
步骤417:终端与N3IWF之间通过交换消息通知完成非3GPP密钥的更新。
该实现方式中,当UE通过3GPP接入发生切换,且更新了根密钥KAMF,可以在本次切换流程中更新UE与AMF侧保存的用于非3GPP接入的KN3IWF,避免了UE与N3IWF之间使用额外的IKEv2消息完成密钥的更新。
如果目标AMF接收到源AMF发送的KAMF密钥更新指示,如果AMF同时获取到非3GPP连接的信息,则在创建的NAS安全容器中包含non-3GPP密钥的更新指示、计算出的新的KN3IWF密钥以及计算密钥的参数,该指示会通过后续的步骤411、412、413发送给UE。
UE通过获取的参数以及密钥更新指示计算用于非3GPP接入的AS密钥KN3IWF。
N3IWF中密钥的更新通过目标AMF发送NGAP消息告知密钥更新指示以及更新后的密钥,具体可参见图2和图3所示的流程。
进一步地,上述步骤102所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
上述步骤102将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
这里,在UE同时通过两种接入技术注册到同一个AMF中,且通过一种接入方式发生认证并执行了安全上下文更新时,该流程中不涉及到切换的流程,但仍然可以通过安全上下文更新消息将核心网密钥更新的指示告知N3IWF来更新KN3IWF,同时需要考虑在UE侧与AMF一侧推演新的KN3IWF,从而实现了多注册场景下非3GPP接入层密钥的更新。
如图5所示,本发明的实施例还提供了一种密钥更新方法,应用于N3IWF,包括:
步骤501:在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
该计算参数可具体包括NAS COUNT。
进一步地,向终端发送非3GPP密钥更新指示以及计算参数,包括:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求IKE_AUTH Request、创建子安全关联请求Creat Child SA Request或告知交换消息information exchange,该告知交换消息为IKE_information exchange。
本发明实施例的密钥更新方法,在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,以实现终端侧非3GPP接入层密钥的更新。
如图6所示,本发明的实施例还提供了一种密钥更新方法,应用于终端,包括:
步骤601:获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
该计算参数可具体包括NAS COUNT。
步骤602:根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
进一步地,获取更新后的用于非3GPP接入的接入层密钥之后,还包括:
通过告知交换消息通知N3IWF完成非3GPP密钥更新,该告知交换消息可以为IKE_information exchange。
这里,通过交换消息Informational Exchange完成非3GPP密钥更新。
进一步地,获取N3IWF发送的非3GPP密钥更新指示以及计算参数,包括:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求IKE_AUTH Request、创建子安全关联请求Creat Child SA Request或告知交换消息,该告知交换消息为IKE_informationexchange。
需要说明的是,终端以及N3IWF与目标AMF之间的交互流程已在图2、图3及图4所示的流程中进行详细描述,此处不再赘述。
本发明实施例的密钥更新方法,终端根据N3IWF发送的非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥,从而实现终端侧非3GPP接入层密钥的更新。
如图7所示,本发明的实施例还提供了一种网络设备,该网络设备为接入和移动管理功能AMF,包括存储器720、处理器700、收发机710、总线接口及存储在存储器720上并可在处理器700上运行的计算机程序,所述处理器700用于读取存储器720中的程序,执行下列过程:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥通过收发机发送给非3GPP交互网络功能N3IWF。
其中,在图7中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器700代表的一个或多个处理器和存储器720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机710可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器700负责管理总线架构和通常的处理,存储器720可以存储处理器700在执行操作时所使用的数据。
可选的,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述特定密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
可选的,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;所述处理器700执行所述计算机程序时还可实现以下步骤:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
可选的,所述处理器700执行所述计算机程序时还可实现以下步骤:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
可选的,所述处理器700执行所述计算机程序时还可实现以下步骤:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
可选的,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;所述处理器700执行所述计算机程序时还可实现以下步骤:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥通过收发机发送给非3GPP交互网络功能N3IWF。
该程序被处理器执行时能实现上述应用于AMF侧的方法实施例中的所有实现方式,为避免重复,此处不再赘述。
如图8所示,本发明的实施例还提供了一种网络设备,该网络设备为接入和移动管理功能AMF,包括:
第一获取模块801,用于在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
第一发送模块802,用于将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF。
本发明实施例的网络设备,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述特定密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
本发明实施例的网络设备,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述第一获取模块包括:
接收子模块,用于接收源AMF发送的根密钥更新指示以及更新后的根密钥;
计算子模块,用于根据更新后的根密钥,计算更新后的非接入层密钥;
获取子模块,用于如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
本发明实施例的网络设备,所述第一发送模块用于向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
本发明实施例的网络设备,所述第一发送模块包括:
添加模块,用于在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
第一发送子模块,用于将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
第二发送子模块,用于在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
本发明实施例的网络设备,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
所述第一发送模块用于将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
本发明实施例的网络设备,在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,从而实现了多注册场景下非3GPP接入层密钥的更新。
如图9所示,本发明的实施例还提供了一种网络设备,该网络设备为非3GPP交互网络功能N3IWF,包括存储器920、处理器900、收发机910、总线接口及存储在存储器920上并可在处理器900上运行的计算机程序,所述处理器900用于读取存储器920中的程序,执行下列过程:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器900代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机910可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器900负责管理总线架构和通常的处理,存储器920可以存储处理器900在执行操作时所使用的数据。
可选的,所述处理器900执行所述计算机程序时还可实现以下步骤:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
该程序被处理器执行时能实现上述应用于N3IWF侧的方法实施例中的所有实现方式,为避免重复,此处不再赘述。
如图10所示,本发明实施例还提供了一种网络设备,该网络设备为非3GPP交互网络功能N3IWF,包括:
第二发送模块1001,用于在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
本发明实施例的网络设备,所述第二发送模块用于通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
本发明实施例的网络设备,在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,以实现终端侧非3GPP接入层密钥的更新。
如图11所示,本发明实施例还提供了一种终端,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
其中,在图11中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1130还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1100负责管理总线架构和通常的处理,存储器1120可以存储处理器1100在执行操作时所使用的数据。
可选的,处理器1100还用于读取存储器1120中的程序,执行如下步骤:
通过告知交换消息通知N3IWF完成非3GPP密钥更新。
可选的,处理器1100还用于读取存储器1120中的程序,执行如下步骤:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
该程序被处理器执行时能实现上述应用于终端侧的密钥更新方法实施例中的所有实现方式,为避免重复,此处不再赘述。
如图12所示,本发明实施例还提供了一种终端,包括:
第二获取模块1201,用于获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
第三获取模块1202,用于根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
本发明实施例的终端,还包括:
通知模块,用于通过告知交换消息通知N3IWF完成非3GPP密钥更新。
本发明实施例的终端,所述第二获取模块用于通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
本发明实施例的终端,根据N3IWF发送的非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥,从而实现终端侧非3GPP接入层密钥的更新。
在本发明的各种实施例中,应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (30)
1.一种密钥更新方法,应用于接入和移动管理功能AMF,其特征在于,包括:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,所述更新后的用于非3GPP接入的接入层密钥用于触发N3IWF向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
2.根据权利要求1所述的密钥更新方法,其特征在于,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
3.根据权利要求2所述的密钥更新方法,其特征在于,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述获取更新后的用于非3GPP接入的接入层密钥,包括:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
4.根据权利要求3所述的密钥更新方法,其特征在于,将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
5.根据权利要求3所述的密钥更新方法,其特征在于,将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
6.根据权利要求2所述的密钥更新方法,其特征在于,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,包括:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
7.一种密钥更新方法,应用于非3GPP交互网络功能N3IWF,其特征在于,包括:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
8.根据权利要求7所述的密钥更新方法,其特征在于,向终端发送非3GPP密钥更新指示以及计算参数,包括:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
9.一种密钥更新方法,应用于终端,其特征在于,包括:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
10.根据权利要求9所述的密钥更新方法,其特征在于,获取更新后的用于非3GPP接入的接入层密钥之后,还包括:
通过告知交换消息通知N3IWF完成非3GPP密钥更新。
11.根据权利要求9所述的密钥更新方法,其特征在于,获取N3IWF发送的非3GPP密钥更新指示以及计算参数,包括:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
12.一种网络设备,所述网络设备为接入和移动管理功能AMF,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
将更新后的用于非3GPP接入的接入层密钥通过收发机发送给非3GPP交互网络功能N3IWF,所述更新后的用于非3GPP接入的接入层密钥用于触发N3IWF向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
13.根据权利要求12所述的网络设备,其特征在于,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
14.根据权利要求13所述的网络设备,其特征在于,当所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥时;
所述处理器执行所述程序时还实现以下步骤:
接收源AMF发送的根密钥更新指示以及更新后的根密钥;
根据更新后的根密钥,计算更新后的非接入层密钥;
如果目标AMF从源AMF获取到N3IWF信息,则目标AMF与N3IWF建立连接,并获取更新后的接入层密钥。
15.根据权利要求14所述的网络设备,其特征在于,所述处理器执行所述程序时还实现以下步骤:
向所述N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
16.根据权利要求14所述的网络设备,其特征在于,所述处理器执行所述程序时还实现以下步骤:
在创建的非接入层安全容器添加非3GPP密钥更新指示、更新后的用于非3GPP接入的接入层密钥以及用于计算所述接入层密钥的计算参数;
将所述非接入层安全容器通过安全上下文更新消息发送给源AMF,并通过源AMF将所述非接入层安全容器发送给终端;
在所述终端根据所述非接入层安全容器完成预设连接接口切换后,向N3IWF发送非3GPP密钥更新指示以及更新后的用于非3GPP接入的接入层密钥。
17.根据权利要求13所述的网络设备,其特征在于,当所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程时;
所述处理器执行所述程序时还实现以下步骤:
将更新后的用于非3GPP接入的接入层密钥通过安全上下文更新消息发送给N3IWF。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6中任一项所述密钥更新方法的步骤。
19.一种网络设备,所述网络设备为非3GPP交互网络功能N3IWF,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
20.根据权利要求19所述的网络设备,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
21.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求7至8中任一项所述密钥更新方法的步骤。
22.一种终端,包括:收发机、存储器、处理器及存储在存储器上并可在处理器上运行的程序,其特征在于,所述处理器执行所述程序时实现以下步骤:
获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
23.根据权利要求22所述的终端,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过告知交换消息通知N3IWF完成非3GPP密钥更新。
24.根据权利要求22所述的终端,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过预设消息获取非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
25.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求9至11中任一项所述密钥更新方法的步骤。
26.一种网络设备,所述网络设备为接入和移动管理功能AMF,其特征在于,包括:
第一获取模块,用于在终端通过3GPP接入方式和非3GPP接入方式注册到相同公共陆地移动网络PLMN的服务网络中,且满足预设密钥更新条件的情况下,获取更新后的用于非3GPP接入的接入层密钥;
第一发送模块,用于将更新后的用于非3GPP接入的接入层密钥发送给非3GPP交互网络功能N3IWF,所述更新后的用于非3GPP接入的接入层密钥用于触发N3IWF向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
27.根据权利要求26所述的网络设备,其特征在于,所述预设密钥更新条件为终端通过3GPP接入技术发生预设连接接口切换,且源AMF更新了根密钥,目标AMF确定使用更新后的根密钥;
或者,所述预设密钥更新条件为源AMF触发3GPP接入方式对应的安全上下文发生更新过程或触发非3GPP接入方式对应的安全上下文发生更新过程。
28.一种网络设备,所述网络设备为非3GPP交互网络功能N3IWF,其特征在于,包括:
第二发送模块,用于在接收到目标AMF发送的用于非3GPP接入的接入层密钥的情况下,向终端发送非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数。
29.根据权利要求28所述的网络设备,其特征在于,所述第二发送模块用于通过预设消息向终端发送非3GPP密钥更新指示以及计算参数;
所述预设消息为因特网密钥交换认证请求、创建子安全关联请求或告知交换消息。
30.一种终端,其特征在于,包括:
第二获取模块,用于获取N3IWF发送的非3GPP密钥更新指示以及计算参数,所述计算参数为用于计算更新后的用于非3GPP接入的接入层密钥的参数;
第三获取模块,用于根据所述非3GPP密钥更新指示以及计算参数,获取更新后的用于非3GPP接入的接入层密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810899168.9A CN110830996B (zh) | 2018-08-08 | 2018-08-08 | 一种密钥更新方法、网络设备及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810899168.9A CN110830996B (zh) | 2018-08-08 | 2018-08-08 | 一种密钥更新方法、网络设备及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110830996A CN110830996A (zh) | 2020-02-21 |
CN110830996B true CN110830996B (zh) | 2022-04-19 |
Family
ID=69540767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810899168.9A Active CN110830996B (zh) | 2018-08-08 | 2018-08-08 | 一种密钥更新方法、网络设备及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110830996B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115915124A (zh) * | 2021-08-18 | 2023-04-04 | 中兴通讯股份有限公司 | 密钥更新方法、网元、用户设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101577909A (zh) * | 2008-05-05 | 2009-11-11 | 大唐移动通信设备有限公司 | 非3gpp接入系统信任类型的获取方法、系统及装置 |
CN101983517A (zh) * | 2008-04-02 | 2011-03-02 | 诺基亚西门子通信公司 | 演进分组系统的非3gpp接入的安全性 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103517252A (zh) * | 2012-06-21 | 2014-01-15 | 中兴通讯股份有限公司 | 分组网关标识信息的更新方法、aaa服务器和分组网关 |
KR102549946B1 (ko) * | 2017-01-09 | 2023-06-30 | 삼성전자주식회사 | 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터 |
-
2018
- 2018-08-08 CN CN201810899168.9A patent/CN110830996B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101983517A (zh) * | 2008-04-02 | 2011-03-02 | 诺基亚西门子通信公司 | 演进分组系统的非3gpp接入的安全性 |
CN101577909A (zh) * | 2008-05-05 | 2009-11-11 | 大唐移动通信设备有限公司 | 非3gpp接入系统信任类型的获取方法、系统及装置 |
Non-Patent Citations (8)
Title |
---|
"S3-180023_Discussion on multi NAS in same PLMN - NAS message handling after first RR";ZTE;《3GPP TSG SA WG3 (Security) Meeting#90》;20180126;正文第1-3页 * |
"S3-180027_Multi NAS in same PLMN - NAS message handling";ZTE;《3GPP TSG SA WG3 (Security) Meeting #90》;20180115;全文 * |
3GPP.《3rd Generation Partnership Project * |
S2-170739 "Updated procedures for interworking with non-3GPP";Qualcomm Incorporated;《SA WG2 Meeting #S2-119》;20170206;全文 * |
S2-173178 "23.502: Re-registration procedure via untrusted non-3GPP access";Nokia等;《SA WG2 Meeting #121》;20170509;全文 * |
S3-182230 "Clarifications on AS key update for non-3GPP access";CATT;《3GPP TSG-SA WG3 Meeting #92》;20180813;全文 * |
Security architecture and procedures for 5G system (Release 15)》.《3GPP TS 33.501 V15.1.0 (2018-06)》.2018,全文. * |
Technical Specification Group Services and System Aspects * |
Also Published As
Publication number | Publication date |
---|---|
CN110830996A (zh) | 2020-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110945892B (zh) | 安全实现方法、相关装置以及系统 | |
CN109600804B (zh) | 一种安全保护的方法、装置和系统 | |
US9930530B2 (en) | Methods and apparatuses facilitating synchronization of security configurations | |
EP2584802B1 (en) | Methods and apparatuses for security control in a mobile communication system supporting emergency calls | |
US8707045B2 (en) | Method and apparatus for traffic count key management and key count management | |
EP3737032B1 (en) | Key updating method and apparatus | |
EP3255914A1 (en) | Key generation method, device and system | |
US11445365B2 (en) | Communication method and communications apparatus | |
CN113676901B (zh) | 密钥管理方法、设备及系统 | |
EP2648437B1 (en) | Method, apparatus and system for key generation | |
CN113170369B (zh) | 用于在系统间改变期间的安全上下文处理的方法和装置 | |
CN111866870A (zh) | 密钥的管理方法和装置 | |
CN110830996B (zh) | 一种密钥更新方法、网络设备及终端 | |
WO2021073382A1 (zh) | 注册方法及装置 | |
CN112400335A (zh) | 用于执行数据完整性保护的方法和计算设备 | |
CN108712742B (zh) | 物联网网络安全优化方法、用户终端和网络侧设备 | |
CN101325804A (zh) | 获取密钥的方法、设备及系统 | |
CN113810903A (zh) | 一种通信方法及装置 | |
CN118827014A (zh) | 密码算法处理方法、装置、通信设备及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210611 Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing Applicant after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd. Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road Applicant before: Telecommunications Science and Technology Research Institute Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |