一种通信方法以及相关装置制造方法及图纸

本申请实施例公开了一种通信方法以及相关装置，包括：UDM接收来自一个或多个AUSF针对同一个UE的多个鉴权向量获取请求消息，该多个鉴权向量获取请求消息用于获取UE对应的鉴权向量；UDM按序处理该多个鉴权向量获取请求消息，从而可以避免后续UE因为接收到多个接收时序不可控的NAS SMC消息或者EAP

【技术实现步骤摘要】
一种通信方法以及相关装置


[0001]本申请涉及通信
，尤其涉及一种通信方法以及相关装置。

技术介绍

[0002]随着网络技术的快速的发展，网络安全成为日益突出的问题。随着第五代移动通信(the5th generation，5G)的发展，5G技术支持的两种鉴权方法分别为：5G认证和密钥协商(5G authentication and key agreement，5G AKA)和第三代认证和密钥协商的改进扩展认证协议方式(improved extensible authentication protocol method for 3rd generation authentication and key agreement，EAP
‑
AKA')。在两种鉴权方法中，终端设备侧与网络设备侧分别通过长期密钥K生成中间密钥Kausf。
[0003]进一步的，由于终端设备侧与网络设备侧分别需要使用该中间密钥Kausf进一步生成其它密钥或者安全上下文(安全上下文包括但不限于：密钥、算法、计数器等用于安全功能的材料)，另外，后续网络设备侧向终端设备发送数据的时候也需要使用该中间密钥Kausf对数据进行安全保护，因此，终端设备侧与网络设备侧都需要存储该中间密钥Kausf。
[0004]目前，在5G AKA中规定，在终端设备的注册流程中，终端设备在收到非接入层安全模式命令(non
‑
access stratum security mode commond，NAS SMC)消息后，保存与该NAS SMC消息对应的Kausf。在EAP
‑
AKA
’
中规定，终端设备在收到可扩展认证协议成功消息(EAP
‑
Success)后，保存与该EAP
‑
Success消息对应的Kausf。在网络设备侧，鉴权管理功能(authentication server function，AUSF)中，与终端设备类似，AUSF也需要保存Kausf。
[0005]申请人在研究中发现，按照现有标准，当终端设备同时接入两个或两个以上的公共陆地移动网(public land mobile network，PLMN)时，可能会出现网络设备侧中存储的Kausf与终端设备中存储的Kausf不一致的问题，也称为密钥失步。

技术实现思路

[0006]第一方面，本申请实施例提出一种通信方法，包括：统一数据管理接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息，所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量；所述统一数据管理按序处理所述多个鉴权向量获取请求消息。
[0007]本申请实施例中，统一数据管理(unified data management，UDM)按照接收的多个鉴权向量获取请求消息的顺序，处理多个鉴权向量获取请求消息。通过按序处理多个鉴权向量获取请消息，从而可以避免后续UE因为接收到多个接收时序不可控的鉴权请求而导致UE与网络设备侧存储的中间密钥Kausf失步的问题。上述方法可以保证UE存储的中间密钥(Kausf
‑
2)与网络设备侧存储的中间密钥(Kausf
‑
2)一致，避免发生密钥失步。
[0008]结合第一方面，在第一方面的一种可能的实现方式中，所述统一数据管理按序处理所述多个鉴权向量获取请求消息，包括：所述统一数据管理响应于第一鉴权向量获取请求消息，向第一鉴权管理功能发送第一鉴权向量；在所述统一数据管理收到针对所述第一
鉴权向量的第一鉴权结果确认请求消息之前，所述统一数据管理暂停处理第二鉴权向量获取请求消息，所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识，其中，所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。
[0009]本申请实施例中，在UDM同时收到多个鉴权向量请求的情况下，UDM按照接收的多个鉴权向量获取请求消息的顺序，处理多个鉴权向量获取请求消息。UDM在收到第一鉴权向量对应的第一鉴权结果确认请求消息之前，会暂停处理第二鉴权向量获取请求消息。通过在UDM上对针对UE的多个鉴权向量获取请求进行控制，保证与第一鉴权向量获取请求消息关联的第一通信网络的鉴权流程先执行，在UE与所述第一通信网络的鉴权流程中，UE和网络设备侧都会存储与第一通信网络相关的第一中间密钥Kausf
‑
1。当UE收到针对第一鉴权向量的第一鉴权结果确认请求消息后，恢复处理第二鉴权向量获取请求消息，即恢复执行第二通信网络的鉴权流程，在鉴权流程完成之后，UE和网络设备侧最后存储的中间密钥都是与第二通信网络关联的第二中间密钥Kausf
‑
2。上述方法可以保证UE存储的中间密钥与网络设备侧存储的中间密钥总是保持一致，避免发生密钥失步。
[0010]结合第一方面，在第一方面的一种可能的实现方式中，所述统一数据管理接收所述第一鉴权结果确认请求消息；所述统一数据管理响应于所述第一鉴权结果确认请求消息，存储所述第一鉴权管理功能的标识。
[0011]具体的，第一AUSF向UDM发送针对第一鉴权向量的第一鉴权结果确认请求消息。该第一鉴权结果确认请求消息还可以携带以下一个或者多个信息：签约用户的永久身份标识(subscriber permanent identifier，SUPI)、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第一AUSF的标识。可选的，该鉴权类型信息中指示鉴权方法为5G AKA。示例性的，该第一鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
[0012]结合第一方面，在第一方面的一种可能的实现方式中，所述统一数据管理响应于所述第二鉴权向量获取请求消息，向第二鉴权管理功能发送第二鉴权向量；所述统一数据管理接收针对所述第二鉴权向量的第二鉴权结果确认请求消息，所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识；所述统一数据管理响应于所述第二鉴权结果确认请求消息，存储所述第二鉴权管理功能的标识。
[0013]具体的，第二AUSF向UDM发送第二鉴权向量对应的第二鉴权结果确认请求消息。该第二鉴权结果确认请求消息中携带以下一个或者多个信息：SUPI、时间戳、鉴权结果、鉴权类型(authentication type)、服务网络名称和所述第二AUSF的标识。可选的，该鉴权类型信息中指示鉴权方法为5G AKA。示例性的，该第二鉴权结果确认请求消息可以是“Nudm_UEAuthentication_ResultConfirmation Request”消息。
[0014]结合第一方面，在第一方面的一种可能的实现方式中，所述统一数据管理响应于所述第二鉴权结果确认请求消息，存储所述第二鉴权管理功能的标识，具体为：所述统一数据管理使用所述第本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种通信方法，其特征在于，包括：统一数据管理接收来自一个或多个鉴权管理功能针对同一个终端设备的多个鉴权向量获取请求消息，所述多个鉴权向量获取请求消息用于获取所述终端设备对应的鉴权向量；所述统一数据管理按序处理所述多个鉴权向量获取请求消息。2.根据权利要求1所述的方法，其特征在于，所述统一数据管理按序处理所述多个鉴权向量获取请求消息，包括：所述统一数据管理响应于第一鉴权向量获取请求消息，向第一鉴权管理功能发送第一鉴权向量；在所述统一数据管理收到针对所述第一鉴权向量的第一鉴权结果确认请求消息之前，所述统一数据管理暂停处理第二鉴权向量获取请求消息，所述第一鉴权结果确认请求消息包括所述第一鉴权管理功能的标识，其中，所述统一数据管理接收所述第一鉴权向量获取请求消息的时间早于所述第二鉴权向量获取请求消息。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：所述统一数据管理接收所述第一鉴权结果确认请求消息；所述统一数据管理响应于所述第一鉴权结果确认请求消息，存储所述第一鉴权管理功能的标识。4.根据权利要求2
‑
3中任一项所述的方法，其特征在于，所述方法还包括：所述统一数据管理响应于所述第二鉴权向量获取请求消息，向第二鉴权管理功能发送第二鉴权向量；所述统一数据管理接收针对所述第二鉴权向量的第二鉴权结果确认请求消息，所述第二鉴权结果确认请求消息包括所述第二鉴权管理功能的标识；所述统一数据管理响应于所述第二鉴权结果确认请求消息，存储所述第二鉴权管理功能的标识。5.根据权利要求4所述的方法，其特征在于，所述统一数据管理响应于所述第二鉴权结果确认请求消息，存储所述第二鉴权管理功能的标识，具体为：所述统一数据管理使用所述第二鉴权管理功能的标识代替所述第一鉴权管理功能的标识。6.根据权利要求1
‑
5中任一项所述的方法，其特征在于，所述统一数据管理按序处理所述多个鉴权向量获取请求消息，具体为：响应于所述终端设备的鉴权方法为5G AKA，所述统一数据管理按序处理所述多个鉴权向量获取请求消息。7.根据权利要求6所述的方法，其特征在于，所述统一数据管理按序处理所述多个鉴权向量获取请求消息之前，所述方法还包括：所述统一数据管理根据所述终端设备的签约信息，确定所述终端设备对应的鉴权方法为5G AKA。8.一种通信方法，其特征在于，包括：终端设备接收来自第一通信网络中第一接入和移动性管理功能实体的第一鉴权请求消息和来自第二通信网络中第二接入和移动性管理功能实体的第二鉴权请求消息；
所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息。9.根据权利要求8所述的方法，其特征在于，所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息，包括：所述终端设备响应于所述第一鉴权请求消息，对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf
‑
1；当所述终端设备鉴权校验成功，则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息；所述终端设备接收来自所述第一接入和移动性管理功能的第一非接入层安全模式命令NAS SMC消息，所述第一NAS SMC消息与所述第一鉴权请求消息关联；所述终端设备响应于所述第一NAS SMC消息，存储所述第一中间密钥Kausf
‑
1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf
‑
2；所述终端设备接收来自所述第二接入和移动性管理功能的第二非接入层安全模式命令NAS SMC消息，所述第二NAS SMC消息与所述第二鉴权请求消息关联；所述终端设备响应于所述第二NAS SMC消息，使用所述第二中间密钥Kausf
‑
2替换存储的所述第一中间密钥Kausf
‑
1。10.根据权利要求9所述的方法，其特征在于，所述终端设备响应于所述第一NAS SMC消息，存储所述第一中间密钥Kausf
‑
1，包括：所述终端设备接收所述第一NAS SMC消息后，判断所述第一NAS SMC消息是否与所述第一鉴权请求消息关联；当所述第一NAS SMC消息与所述第一鉴权请求消息关联，则所述终端设备将所述第一中间密钥Kausf
‑
1从第一存储空间存储至第二存储空间。11.根据权利要求8
‑
10中任一项所述的方法，其特征在于，在所述终端设备接收到所述第一NAS SMC消息之前，所述方法还包括：所述终端设备暂停处理所述第二鉴权请求消息。12.根据权利要求11所述的方法，其特征在于，在所述终端设备暂停处理所述第二鉴权请求消息之前，所述方法还包括：所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为5G认证和密钥协商5G AKA。13.根据权利要求8所述的方法，其特征在于，所述终端设备按序处理所述第一鉴权请求消息和所述第二鉴权请求消息，包括：所述终端设备响应于所述第一鉴权请求消息，对所述第一通信网络进行鉴权校验并生成第一中间密钥Kausf
‑
1；当所述终端设备鉴权校验成功，则所述终端设备向所述第一接入和移动性管理功能实体发送用于指示鉴权校验成功的第一鉴权响应消息；所述终端设备接收来自所述第一接入和移动性管理功能的第一可扩展认证协议成功EAP
‑
success消息，所述第一EAP
‑
success消息与所述第一鉴权请求消息关联；所述终端设备响应于所述第一EAP
‑
success消息，存储所述第一中间密钥Kausf
‑
1以及根据所述第二鉴权请求消息对所述第二通信网络进行鉴权校验并生成第二中间密钥Kausf
‑
2；所述终端设备接收来自所述第二接入和移动性管理功能的第二可扩展认证协议成功
EAP
‑
success消息，所述第二EAP
‑
success消息与所述第二鉴权请求消息关联；所述终端设备响应于所述第二EAP
‑
success消息，使用所述第二中间密钥Kausf
‑
2替换存储的所述第一中间密钥Kausf
‑
1。14.根据权利要求13所述的方法，其特征在于，所述终端设备响应于所述第一EAP
‑
success消息，存储所述第一中间密钥Kausf
‑
1，包括：所述终端设备接收所述第一EAP
‑
success消息后，判断所述第一EAP
‑
success消息是否与所述第一鉴权请求消息关联；当所述第一EAP
‑
success消息与所述第一鉴权请求消息关联，则所述终端设备将所述第一中间密钥Kausf
‑
1从第一存储空间存储至第二存储空间。15.根据权利要求13
‑
14中任一项所述的方法，其特征在于，在所述终端设备接收到所述第一EAP
‑
success消息之前，所述方法还包括：所述终端设备暂停处理所述第二鉴权请求消息。16.根据权利要求15所述的方法，其特征在于，在所述终端设备暂停处理所述第二鉴权请求消息之前，所述方法还包括：所述终端设备确定所述终端设备对所述第一通信网络/第二通信网络进行鉴权校验的鉴权方法为第三代认证和密钥协商的改进扩展认证协议方式EAP
‑
AKA'。17.根据权利要求8
‑
16中任一项所述的方法，其特征在于，所述终端设备通过第一接入技术接入所述第一通信系统，所述终端设备通过第二接入技术接入所述第二通信网络；其中，所述第一接入技术为3GPP接入技术，所述第二接入技术为非3GPP接入技术，或者所述...

【专利技术属性】
技术研发人员：李赫，吴荣，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：