一种安全通信方法和装置制造方法及图纸

本发明专利技术实施例提供一种安全通信方法和装置，涉及通信技术领域，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。该方案应用于终端中，终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于终端与第一网络通信，第二安全上下文用于终端与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，该方法包括：终端在与目标网络通信时，根据第一信息确定目标安全上下文，其中，目标网络为第一网络，当目标安全上下文为第一安全上下文；当目标网络为第二网络，目标安全上下文为第二安全上下文；终端根据目标安全上下文与目标网络通信，本申请适用于终端通过不同网络接入的场景中。

【技术实现步骤摘要】
一种安全通信方法和装置
本专利技术实施例涉及通信
，尤其涉及一种安全通信方法和装置。
技术介绍
目前，主要的无线接入技术包括第三代合作伙伴计划(3rdGenerationPartnershipProject，3GPP)无线接入技术。该接入技术从2G逐渐演进，目前已经从长期演进(LongTermEvolution，LTE)(又称为4G)技术向新无线(NewRadio，NR)(又称为5G)技术演进。在4G及以前的接入技术中，3GPP接入技术和非(non)-3GPP接入技术是独立的。因此对通信安全的处理也是独立的，不会彼此影响。随着技术的演进，在NR技术或未来的技术中，非3GPP接入技术可能会接入3GPP的核心网，因此在通信安全的处理上需要进一步改进，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。
技术实现思路
本专利技术实施例提供一种安全通信方法和装置，以提高终端通过不同无线接入技术接入无线网络时的安全通信能力。为了解决上述技术问题，本申请提供的如下技术方案：第一方面，本申请提供一种安全通信方法，应用于终端中，该终端具有第一安全上下文和第二安全上下文，其中，第一安全上下文用于终端与第一网络通信，第二安全上下文用于终端与第二网络通信，且第一安全上下文和第二安全上下文包括不同的第一信息，本申请提供的方法包括：终端在与目标网络通信时，根据第一信息确定目标安全上下文，其中，当目标网络为第一网络时，目标安全上下文为第一安全上下文；或者，当目标网络为第二网络，目标安全上下文为第二安全上下文；终端根据目标安全上下文与目标网络通信。本申请提供一种安全通信方法，当终端通过不同的接入技术接入到不同的网络时，例如，第一网络和第二网络，可能会存在如下情况：该不同的网络属于同一个运营商，或者该不同的网络属于不同的运营商。无论，不同的网络是否属于同一个运营商，现有技术中均可能存在如下问题：终端设备从不同网络处获得相同的密钥标识符，而通常密钥标识符的作用是对密钥进行标识，而网络通常可以使用密钥，结合预设算法以及NASCOUNT等参数建立安全上下文，因此，若终端从不同AMF处获得的密钥标识符相同，终端根据该密钥标识符确定的密钥可能也是相同的，当终端再次入网的时候，终端无法区分选择哪个安全上下文与需要接入的网络进行通信。基于此，本申请中通过在终端侧具有的第一安全上下文和第二安全上下文中包括不同的第一信息，这样终端在与目标网络通信时，可以通过第一信息确定与目标网络通信时所需要的安全上下文，例如，终端可以根据第一信息确定与第一网络通信时使用第一安全上下文，与第二网络通信时使用第二安全上下文，从而可以使得终端正确的接入相应的网络。结合第一方面，在第一方面的第一种可能的实现方式中，第一信息为密钥标识信息和终端的身份标识信息中的至少一项。具体的，终端的身份标识信息由终端所接入的网络生成，当终端接入不同网络时，不同网络为终端生成的终端的身份标识信息不同，因此，可以使用终端的身份标识信息区分第一安全上下文和第二安全上下文，另一方面，在第一网络和第二网络属于同一个运营商时，同一个运营商之间的网络可以交互，因此，不同网络与终端之间的密钥标识信息不同，因此，可以使用密钥标识信息区分第一安全上下文和第二安全上下文，又一方面，在第一网络和第二网络属于不同运营商时，在不同运营商之间的网络可能无法交互时，便可能存在不同网络生成相同的密钥标识信息，因此可以进一步结合终端的身份标识信息区分第一安全上下文和第二安全上下文。结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，第一安全上下文和第二安全上下文还包括不同的第二信息，所述第二信息用于指示第一安全上下文和第二安全上下文针对的网络的接入技术。例如，第一安全上下文包括的第二信息可以为第一网络的接入技术，第二安全上下文包括的第二信息可以为第二网络的接入技术，通过在第一安全上下文和第二安全上下文中携带用于指示接入技术的第二信息，可以使得终端根据技术接入确定安全上下文是针对哪个网络的，从而正确的接入相应的网络中。结合第一方面至第一方面的第二种可能的实现方式中的任一项，在第一方面的第三种可能的实现方式中，第一信息为指示信息，该指示信息用于安全上下文对应的网络的接入技术。结合第一方面至第一方面的第三种可能的实现方式中的任一项，在第一方面的第四种可能的实现方式中，第一安全上下文不包括UP密钥，第二安全上下文包括UP密钥；或者，第一安全上下文包括UP密钥，所述第二安全上下文不包括UP密钥。由于终端通过3GPP接入网络时，与网络的安全上下文中通常会包括UP密钥，而终端通过Non-3GPP接入时，通常安全上下文中可能不包括UP密钥，因此，终端也可以使用UP密钥区分安全上下文针对的网络。结合第一方面至第一方面的第四种可能的实现方式中的任一项，在第一方面的第五种可能的实现方式中，终端在与目标网络通信之前，本申请提供的还包括：终端在注册到第一网络时，终端确定第一安全上下文；终端在注册到第二网络时，终端确定第二安全上下文。结合第一方面至第一方面的第五种可能的实现方式中的任一项，在第一方面的第六种可能的实现方式中，终端确定第一安全上下文，包括：终端接收来自第一网络设备的第一密钥标识信息；终端生成包括第一密钥标识信息的第一安全上下文，第一密钥标识信息用于标识第一安全上下文。结合第一方面至第一方面的第六种可能的实现方式中的任一项，在第一方面的第七种可能的实现方式中，终端确定第二安全上下文，包括：终端接收来自第二网络设备的第二密钥标识信息；终端生成包括第二密钥标识信息的第二安全上下文，第二密钥标识信息用于标识第二安全上下文。结合第一方面至第一方面的第七种可能的实现方式中的任一项，在第一方面的第八种可能的实现方式中，终端接收来自网络设备的密钥标识信息，包括：终端接收网络设备发送的非接入层安全模式命令NASSMC消息，该NASSMC消息中包括第一密钥标识信息；或，终端接收网络设备发送的用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息包括密钥标识信息；或，终端接收网络设备发送的NASSMC消息，该NASSMC消息包括用于指示终端鉴权成功的消息，该用于指示终端鉴权成功的消息包括密钥标识信息。结合第一方面至第一方面的第八种可能的实现方式中的任一项，在第一方面的第九种可能的实现方式中，终端在与目标网络通信之前，本申请提供的方法还包括：终端确定第三网络的第一标识与所述目标网络的第一标识是否相同，所述第三网络为所述终端当前接入的网络。第二方面，本申请提供一种安全通信方法，包括：第一网络设备获取密钥标识信息，所述密钥标识信息用于标识安全上下文；所述第一网络设备在网络侧完成对终端的鉴权时，向所述终端发送所述密钥标识信息。结合第二方面，在第二方面的第一种可能的实现方式中，第一网络设备获取密钥标识信息，包括：第一网络设备接收到用于指示对所述终端鉴权成功的消息之后，生成所述密钥标识信息。结合第二方面或第二方面的第一种可能的实现方式，本文档来自技高网...

【技术保护点】
1.一种安全通信方法，其特征在于，所述方法包括：/n终端接收来自第一网络的第一接入和移动性管理功能AMF设备的第一密钥标识信息；/n所述终端生成包括所述第一密钥标识信息的所述第一安全上下文，所述第一密钥标识信息用于标识所述第一安全上下文，所述第一安全上下文包括用于保护终端和所述第一网络之间通信的参数；/n所述终端接收来自第二网络的第二AMF设备的第二密钥标识信息；/n所述终端生成包括所述第二密钥标识信息的所述第二安全上下文，所述第二密钥标识信息用于标识所述第二安全上下文，所述第二安全上下文包括用于保护终端和所述第二网络之间通信的参数；/n所述终端使用所述第一安全上下文与所述第一网络通信，使用所述第二安全上下文与所述第二网络通信。/n

【技术特征摘要】
1.一种安全通信方法，其特征在于，所述方法包括：
终端接收来自第一网络的第一接入和移动性管理功能AMF设备的第一密钥标识信息；
所述终端生成包括所述第一密钥标识信息的所述第一安全上下文，所述第一密钥标识信息用于标识所述第一安全上下文，所述第一安全上下文包括用于保护终端和所述第一网络之间通信的参数；
所述终端接收来自第二网络的第二AMF设备的第二密钥标识信息；
所述终端生成包括所述第二密钥标识信息的所述第二安全上下文，所述第二密钥标识信息用于标识所述第二安全上下文，所述第二安全上下文包括用于保护终端和所述第二网络之间通信的参数；
所述终端使用所述第一安全上下文与所述第一网络通信，使用所述第二安全上下文与所述第二网络通信。


2.根据权利要求1所述的方法，其特征在于，所述终端接收来自所述第一AMF设备的第一密钥标识信息，包括：
所述终端接收所述第一AMF设备发送的非接入层安全模式命令NASSMC消息，所述NASSMC消息中包括所述第一密钥标识信息；或，
所述终端接收所述第一AMF设备发送的NASSMC消息，所述NASSMC消息包括用于指示终端鉴权成功的消息和所述第一密钥标识信息。


3.根据权利要求1所述的方法，其特征在于，所述终端接收来自所述第二AMF设备的第二密钥标识信息，包括：
所述终端接收所述第二AMF设备发送的非接入层安全模式命令NASSMC消息，所述NASSMC消息中包括所述第二密钥标识信息；或，
所述终端接收所述第二AMF设备发送的NASSMC消息，所述NASSMC消息包括用于指示终端鉴权成功的消息和所述第二密钥标识信息。


4.根据权利要求2或3所述的方法，所述用于指示终端鉴权成功的消息为可扩展鉴权协议成功消息EAP-Success。


5.根据权利要求1或2或3所述的方法，所述第一密钥标识信息为第一密钥标识符，所述第二密钥标识信息为第二密钥标识符。


6.根据权利要求1或2或3所述的方法，其特征在于，所述第一安全上下文中的参数包括如下至少一个：
为非接入层加密密钥、非接入层完整性保护密钥、加密算法、完整性保护算法和新鲜性参数。


7.一种安全通信方法，其特征在于，包括：
接入和移动性管理功能AMF设备获取密钥标识信息，所述密钥标识信息用于标识安全上下文；
所述AMF设备确定网络侧完成对终端的鉴权时，通过非接入层安全模式命令NASSMC消息向所述终端发送所述密钥标识信息。


8.根据权利要求7所述的方法，其特征在于，所述第一网络设备确定网络侧完成对终端的鉴权，包括：
所述AMF设备接收鉴权服务器功能AUSF发送的用于指示终端鉴权成功的消息。


9.根据权利要求7或8所述的方法，其特征在于，所述AMF设备获取密钥标识信息，包括：
所述AMF设备接收到用于指示对所述终端鉴权成功的消息之后，生成所述密钥标识信息。


10.根据权利要求7或8所述的方法，其特征在于，所述AMF设备获取密钥标识信息，包括：

【专利技术属性】
技术研发人员：李赫，陈璟，李欢，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44