路由方法、装置及系统制造方法及图纸

本申请提供一种路由方法、装置及系统，涉及通信技术领域，能够解决当用户迁移到新的用户统一数据管理网元UDM时，用户隐藏标识中的路由指示如果发生变化时，更新用户隐藏标识中的路由指示的问题。该方法包括：认证服务器功能AUSF网元向第一统一数据管理UDM网元发送第一鉴权向量获取请求，若AUSF网元接收到第一UDM网元发送的路由指示RI，则向接入和移动性管理功能AMF网元发送RI。该方法应用在终端更新RI的过程中。

Routing methods, devices and systems

【技术实现步骤摘要】
路由方法、装置及系统
本申请涉及通信
，尤其涉及一种路由方法、装置及系统。
技术介绍
通常，为了确保网络和终端的安全，终端在接入网络时，网络和终端之间需进行双向鉴权，即网络需验证终端的合法性，终端也需验证网络的安全性。在长期演进(LongTermEvolution，LTE)网络中，在双向鉴权完成前，终端和网络侧还没有建立安全上下文时，用户的国际移动用户标识符(InternationalMobileSubscriberIdentifier，IMSI)在空口中是明文传输，导致攻击者可从空口获取IMSI，以进行一系列攻击。第五代(5th-Generation，5G)移动通信技术为了缓解攻击者利用空口获取的IMSI进行攻击，在双向鉴权完成前，使用加密的用户隐藏标识(SubscriptionConcealedIdentifier，SUCI)来代替未加密的用户永久标识(SubscriberPermanentIdentifier，SUPI)或者IMSI。终端在接入网络进行鉴权时，需要寻址到用户的归属统一数据管理(unifieddatamanagement，UDM)网元，并从用户归属的UDM中获取鉴权向量。具体的，在5G网络中，终端在接入网络进行鉴权时，向网络设备发送鉴权请求，并在鉴权请求中携带SUCI。其中，SUCI包含路由指示(RoutingIndicator，RI)，用以寻址到用户归属的UDM。目前，通常采用静态配置RI与UDM的对应关系来确保RI寻址到对应的UDM。但是，这种静态配置的方式缺乏灵活性，在5G网络的许多场景中，无法适应5G丰富的业务需求。
技术实现思路
本申请实施例提供一种路由方法、装置及系统，可以更改SUCI中的RI信息，以更加灵活的寻址到用户归属的UDM，适应5G丰富的业务需求。为达到上述目的，本申请实施例采用如下技术方案：第一方面，本申请实施例提供一种路由方法，该方法可以应用于AUSF或者AUSF中的芯片中，该方法包括：认证服务器功能AUSF网元向第一统一数据管理UDM网元发送第一鉴权向量获取请求；若AUSF网元接收到第一UDM网元发送的路由指示RI，则向接入和移动性管理功能AMF网元发送RI。本申请实施例提供的路由方法，AUSF向第一UDM发送第一鉴权向量获取请求，若AUSF接收到第一UDM发送的RI，则向AMF发送RI。后续，由管理终端的AMF向终端下发RI，使得终端能够更新自身的RI，以便于终端在入网进行鉴权时能够寻址到正确的UDM。在一种可能的设计中，在AUSF网元向第一UDM网元发送第一鉴权向量获取请求之后，AUSF网元还可以执行如下步骤：若AUSF网元接收到第一UDM网元发送的重定向消息，则AUSF网元根据重定向消息向第二UDM网元发送第二鉴权向量获取请求；AUSF网元接收第二UDM网元发送的RI；以及AUSF网元向AMF网元发送RI。可见，采用上述路由方法，即使AUSF将用户的第一鉴权向量获取请求路由到一个非归属UDM(第一UDM)上，由于该第一UDM向AUSF发送重定向消息，AUSF仍能够根据该重定向消息为用户执行下一次寻址归属UDM的操作，提升了寻址成功的概率。在一种可能的设计中，为了对RI进行完整性保护，AUSF网元执行如下步骤：AUSF网元根据完整性保护密钥以及RI确定RI的完整性验证码；AUSF网元向AMF网元发送完整性验证码。可选的，AUSF可基于自身的预设策略生成RI的完整性验证码，预设策略例如包括但不限于接收到UDM网元下发的RI。当然，AUSF网元还可以在接收到UDM网元发送的完整性保护请求消息后，生成RI的完整性验证码，具体的，AUSF网元接收第一UDM网元或第二UDM网元发送的完整性保护请求消息，并在该完整性保护请求消息的触发下生成RI的完整性验证码，其中，完整性保护请求消息用于指示AUSF生成针对RI的完整性验证码。第二方面，本申请实施例提供一种路由方法，该方法可以应用于UDM或者UDM中的芯片中，该方法包括：第一统一数据管理UDM网元接收认证服务器功能AUSF网元发送的第一鉴权向量获取请求；响应于第一鉴权向量获取请求，第一UDM网元向AUSF网元发送重定向消息或路由指示RI。在一种可能的设计中，上述第一UDM向AUSF发送RI的情况具体指的是：当第一UDM网元为用户归属的UDM网元时，第一UDM网元向AUSF网元发送RI。在一种可能的设计中，上述第一UDM向AUSF发送重定向消息的情况具体指的是：当第一UDM网元不是用户归属的UDM网元时，则第一UDM网元向AUSF网元发送重定向消息。在一种可能的设计中，第一UDM在终端请求用户数据的过程中指示AUSF生成针对RI的完整性验证码，具体的，第一UDM网元接收AMF网元发送的用户数据获取请求消息；第一UDM网元向AUSF网元发送完整性保护请求消息，完整性保护请求消息用于指示AUSF网元生成针对RI的完整性验证码。在一种可能的设计中，在第一UDM网元向AUSF网元发送完整性保护请求消息之后，第一UDM网元接收AUSF网元发送的完整性验证码。可以理解的是，若AUSF在双向鉴权过程中已经生成针对RI的完整性验证码，则在接收到第一UDM发送的完整性保护请求消息后，AUSF直接向第一UDM发送RI完整性验证码，或者，若在接收到第一UDM发送的完整性保护请求消息后，AUSF发现自身还未生成RI的完整性验证码，则此时生成RI的完整性验证码，并向第一UDM发送生成的RI完整性验证码。其中，上述第一UDM网元向AUSF网元发送RI，包括：第一UDM网元向AUSF网元发送经过完整性验证码保护的RI。第三方面，本申请实施例提供一种路由方法，该方法可以应用于终端或者终端中的芯片中，该方法包括：终端接收接入和移动性管理功能AMF网元发送的路由指示RI，并利用RI更新用户隐藏标识SUCI的信息。采用上述路由方法，终端可以接收网络侧下发的更新后的RI，并更新自身存储的SUCI信息，后续，终端可利用更新后SUCI中包含的RI寻址到用户的归属UDM。在一种可能的设计中，在对RI进行完整性保护的情况下，若终端接收到RI对应的完整性验证码，则利用完整性验证码对RI进行完整性验证。其中，终端利用RI更新SUCI的信息，具体可以实现为：若对RI的完整性验证成功，则终端利用RI更新SUCI的信息。在一种可能的设计中，终端接收AMF发送的RI，具体可以实现为如下步骤：终端接收AMF发送的非接入层安全模式命令NASSMC消息，NASSMC消息携带RI。采用该路由方法，AMF可以基于SMC的完整性保护机制，对该NASSMC消息携带的RI进行完整性保护。第四方面，本申请实施例提供一种路由方法，该方法应用于UDM或者UDM的芯片中，该方法包括：当用户归属的统一数据管理UDM网元由第一UDM变化为第二UDM时，第一UDM网元向接入和移动性管理功能AMF网元发送路本文档来自技高网...

【技术保护点】
1.一种路由方法，其特征在于，包括：/n认证服务器功能AUSF网元向第一统一数据管理UDM网元发送第一鉴权向量获取请求；/n若所述AUSF网元接收到所述第一UDM网元发送的路由指示RI，则向接入和移动性管理功能AMF网元发送所述RI。/n

【技术特征摘要】
20180823 CN 20181097012021.一种路由方法，其特征在于，包括：
认证服务器功能AUSF网元向第一统一数据管理UDM网元发送第一鉴权向量获取请求；
若所述AUSF网元接收到所述第一UDM网元发送的路由指示RI，则向接入和移动性管理功能AMF网元发送所述RI。


2.根据权利要求1所述的路由方法，其特征在于，所述方法还包括：
若所述AUSF网元接收到所述第一UDM网元发送的重定向消息，则所述AUSF网元根据所述重定向消息向第二UDM网元发送第二鉴权向量获取请求；
所述AUSF网元接收所述第二UDM网元发送的RI；以及
所述AUSF网元向所述AMF网元发送所述RI。


3.根据权利要求1或2所述的路由方法，其特征在于，所述方法还包括：
所述AUSF网元根据完整性保护密钥以及所述RI确定所述RI的完整性验证码；
所述AUSF网元向AMF网元发送所述完整性验证码。


4.根据权利要求3所述的路由方法，其特征在于，所述AUSF网元根据完整性保护密钥以及所述RI确定所述RI的完整性验证码之前，所述方法还包括：
所述AUSF网元接收所述第一UDM网元或第二UDM网元发送的完整性保护请求消息，所述完整性保护请求消息用于指示所述AUSF生成针对RI的完整性验证码。


5.一种路由方法，其特征在于，包括：
第一统一数据管理UDM网元接收认证服务器功能AUSF网元发送的第一鉴权向量获取请求；
响应于所述第一鉴权向量获取请求，所述第一UDM网元向所述AUSF网元发送重定向消息或路由指示RI。


6.根据权利要求5所述的路由方法，其特征在于，所述第一UDM网元向所述AUSF网元发送RI包括：
当所述第一UDM网元为用户归属的UDM网元时，所述第一UDM网元向所述AUSF网元发送RI。


7.根据权利要求5所述的路由方法，其特征在于，所述第一UDM网元向所述AUSF网元发送重定向消息包括：
当所述第一UDM网元不是用户归属的UDM网元时，则所述第一UDM网元向所述AUSF网元发送重定向消息。


8.根据权利要求5至7任一所述的路由方法，其特征在于，所述方法还包括：
所述第一UDM网元接收AMF网元发送的用户数据获取请求消息；
所述第一UDM网元向AUSF网元发送完整性保护请求消息，所述完整性保护请求消息用于指示所述AUSF网元生成针对RI的完整性验证码。


9.根据权利要求8所述的路由方法，其特征在于，所述方法还包括：
所述第一UDM网元向所述AUSF网元发送完整性保护请求消息；
所述第一UDM网元接收所述AUSF网元发送的完整性验证码；
所述第一UDM网元向所述AUSF网元发送RI，包括：
所述第一UDM网元向所述AUSF网元发送经过所述完整性验证码保护的RI。


10.一种路由方法，其特征在于，包括：
终端接收接入和移动性管理功能AMF网元发送的路由指示RI；
所述终端利用所述RI更新用户隐藏标识SUCI的信息。


11.根据权利要求10所述的路由方法，其特征在于，所述方法还包括：
若所述终端接收到所述RI对应的完整性验证码，则利用所述完整性验证码对所述RI进行完整性验证；
所述终端利用所述RI更新SUCI的信息，包括：
若对所述RI的完整性验证成功，则所述终端利用所述RI更新SUCI的信息。


12.根据权利要求10或11所述的路由方法，其特征在于，所述终端接收AMF发送的RI，包括：
所述终端接收所述AMF发送的非接入层安全模式命令NASSMC消息，所述NASSMC消息携带所述RI。


13.一种路由方法，其特征在于，包括：
当用户归属的统一数据管理UDM网元由第一UDM变化为第二UDM时，所述第一UDM网元向接入和移动性管理功能AMF网元发送路由指示RI。


14.根据权利要求13所述的路由方法，其特征在于，所述方法还包括：
第一UDM网元向AUSF网元发送完整性保护请求消息，所述完整性保护请求消息用于指示所述AUSF生成针对RI的完整性验证码；
所述第一UDM网元接收所述AUSF网元发送的RI的完整性验证码；
所述第一UDM向所述AMF网元发送所述完整性验证码。


15.一种路由方法，其特征在于，包括：
认证服务器功能AUSF网元接收第一统一数据管理UDM网元发送的完整性保护请求消息，所述完整性保护请求消息携带路由指示RI；
所述AUSF网元根据完整性保护密钥和所述RI生成RI的完整性验证码；
所述AUSF网元向所述第一UDM网元发送所述完整性验证码。


16.一种路由方法，其特征在于，包括：
终端接收接入和移动性管理功能AMF网元发送的路由指示RI；
所述终端利用所述RI更新用户隐藏标识SUCI的信息。


17.根据权利要求16所述的路由方法，其特征在于，所述方法还包括：
若所述终端接收到所述RI对应的完整性验证码，则利用所述完整性验证码对所述RI进行完整性验证；
所述终端利用所述RI更新SUCI的信息，包括：
若对所述RI的完整性验证成功，则所述终端利用所述RI更新SUCI的信息。


18.根据权利要求16或17所述的路由方法，其特征在于，所述方法还包括：
若所述终端中存储的RI发生变化，则所述终端注册到所述RI所指示的第...

【专利技术属性】
技术研发人员：李华，张博，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44