本申请提供了一种管理安全上下文的方法和装置,该方法可以包括:终端设备向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的标识;该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;根据该水平推演指示信息,该终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf
【技术实现步骤摘要】
管理安全上下文的方法和装置
[0001]本申请涉及通信
,尤其涉及一种管理安全上下文的方法和装置。
技术介绍
[0002]在第五代(the 5th generation)通信系统中,接入和移动管理功能(access and mobility management function,AMF)主要用于UE的注册、连接、移动性管理、签约信息鉴权等。当用户设备UE从一个AMF(记为源AMF)的区域移动到另一个AMF(记为目标AMF)的区域时(这里指UE在空闲态下发生位置变化),该UE需要通过网络注册流程注册到该目标AMF上。然而,按照现有技术规范,如果此时因为某些原因导致UE的网络注册流程失败,则可能会导致UE和网络侧源AMF上的安全上下文不一致。这种情况下,UE的注册请求无法通过NAS的完整性保护检查,从而导致UE之前通过源AMF建立的会话的会话信息也无法迁移到目标AMF中,进而可能会导致之前建立的PDU会话将被释放。
[0003]因此,在移动注册场景下,如何避免UE与网络侧的安全上下文不一致导致的问题。
技术实现思路
[0004]本申请提供了一种管理完全上下文的方法和装置,可以避免出现UE与网络侧安全上下文不一致的问题。
[0005]第一方面,提供了一种管理安全上下文的方法,该方法包括:终端设备向目标移动管理网元发送注册请求消息,该注册请求消息包括该终端设备的标识;该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息,该NAS安全模式命令消息包括水平推演指示信息;根据该水平推演指示信息,该终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf
’
;其中,该第一安全上下文为该终端设备当前的安全上下文;在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文。
[0006]基于上述方案,在终端设备的注册流程中,如果终端设备进行了水平密钥推演,即利用第一安全上下文中的密钥Kamf进行水平推演得到了新的密钥Kamf
’
,若注册流程没有成功完成(或者说注册流程失败),终端设备使用第一安全上下文作为当前安全上下文,从而可以避免终端设备和网络侧安全上下文不一致的问题。因此在这种情况下,当注册流程没有成功完成,终端设备可以利用第一安全上下文再次发起注册流程。
[0007]结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备在生成该新的密钥Kamf
’
之后,维护该第一安全上下文和第二安全上下文;其中,该第二安全上下文包括该Kamf
’
和NAS密钥,该NAS密钥根据该Kamf
’
生成。
[0008]基于上述方案,终端设备进行了水平密钥推演之后,可以同时维护第一安全上下文和第二安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文,以避免终端侧的安全上下文和网络侧的安全上下文不一致。
[0009]结合第一方面,在第一方面的某些实现方式中,该维护该第一安全上下文和第二安全上下文,包括:该终端设备继续将该第一安全上下文作为当前安全上下文,且保存该第
二安全上下文。
[0010]基于上述方案,终端设备在进行水平密钥推演之后,可以维护第一安全上下文为当前安全上下文,并保存第二安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文。例如,如果注册成功,终端设备可以将第二安全上下文设置成当前安全上下文;如果注册失败,终端设备可以删除第二安全上下文,而使用第一安全上下文进行后续可能的注册流程从而可以避免终端侧的安全上下文和网络侧的安全上下文不一致。
[0011]结合第一方面,在第一方面的某些实现方式中,该在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文,包括:该终端设备继续将该第一安全上下文作为当前安全上下文,以及删除该第二安全上下文。
[0012]基于上述方案,终端设备在进行水平密钥推演之后,当终端设备维护第一安全上下文为当前安全上下文,并保存第二安全上下文时,在这种情况下,如果注册失败,终端设备可以继续使用第一安全上下文作为当前安全上下文,因此在UE注册失败的情况下,也可以避免终端侧和网络侧的安全上下文不一致。
[0013]结合第一方面,在第一方面的某些实现方式中,该维护该第一安全上下文和第二安全上下文,包括:该终端设备保存该第一安全上下文,并将该第二安全上下文作为当前安全上下文。
[0014]基于上述方案,终端设备在进行水平密钥推演之后,可以保存第一安全上下文,并设置第二安全上下文为当前安全上下文,在这种情况下,无论注册成功,还是注册失败,终端都可以选择合适的安全上下文。例如,如果注册成功,终端设备可以维护第二安全上下文为当前安全上下文,并删除第一安全上下文;如果注册失败,终端设备可以设置第一安全上下文为当前安全上下文,从而可以使用第一安全上下文进行后续可能的注册流程,可以避免终端侧的安全上下文和网络侧的安全上下文不一致。
[0015]结合第一方面,在第一方面的某些实现方式中,该在注册流程没有成功完成的情况下,该终端设备使用该第一安全上下文为当前安全上下文,包括:该终端设备将该第一安全上下文设置为当前安全上下文,以及删除该第二安全上下文。
[0016]基于上述方案,终端设备在进行水平密钥推演之后,当终端设备设置第二安全上下文为当前安全上下文,并保存第一安全上下文时,在这种情况下,如果注册失败,终端设备可以将保存的第一安全上下文设置为当前安全上下文,因此在UE注册失败的情况下,也可以避免终端侧和网络侧的安全上下文不一致。
[0017]结合第一方面,在第一方面的某些实现方式中,该方法还包括:该终端设备确定该注册流程没有成功完成。
[0018]基于上述方案,终端设备可以确定或判断注册流程是否失败,如果注册流程没有成功完成(或者说注册流程失败)的话,终端设备便设置或维护第一安全上下文为当前安全上下文,从而可以利用第一安全上下文进行后续可能的注册流程,避免在后续注册流程中因终端侧或网络侧的安全上下文不一致导致的注册流程失败的情况。
[0019]结合第一方面,在第一方面的某些实现方式中,该终端设备确定该注册流程没有成功完成,包括:该终端设备在接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;或者,该终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的链接释
放;该终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。
[0020]基于上述技术方案,在接收到注册接受消息之前,终端设备可以根据是否成功发送了NAS安全模式完成消息,或者是否链路异常释放、或者RRC连接是否被挂起或者释放等,来确定注册流程是否失败。如果注册流程没有成功完成的话,终端设备便设置或维护第一安全上下文为当前安全上下文,从而可以利用第一安全上下文进行后续可能的注册流程,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种管理安全上下文的方法,其特征在于,包括:终端设备向目标移动管理网元发送注册请求消息,所述注册请求消息包括所述终端设备的标识;所述终端设备接收来自所述目标移动管理网元的非接入层NAS安全模式命令消息,所述NAS安全模式命令消息包括水平推演指示信息;根据所述水平推演指示信息,所述终端设备根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf
’
;其中,所述第一安全上下文为所述终端设备当前的安全上下文;在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述终端设备在生成所述新的密钥Kamf
’
之后,维护所述第一安全上下文和第二安全上下文;其中,所述第二安全上下文包括所述Kamf
’
和NAS密钥,所述NAS密钥根据所述Kamf
’
生成。3.根据权利要求2所述的方法,其特征在于,所述维护所述第一安全上下文和第二安全上下文,包括:所述终端设备继续将所述第一安全上下文作为当前安全上下文,且保存所述第二安全上下文。4.根据权利要求3所述的方法,其特征在于,所述在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文,包括:所述终端设备继续将所述第一安全上下文作为当前安全上下文,以及删除所述第二安全上下文。5.根据权利要求2所述的方法,其特征在于,所述维护所述第一安全上下文和第二安全上下文,包括:所述终端设备保存所述第一安全上下文,并将所述第二安全上下文作为当前安全上下文。6.根据权利要求5所述的方法,其特征在于,所述在注册流程没有成功完成的情况下,所述终端设备使用所述第一安全上下文为当前安全上下文,包括:所述终端设备将所述第一安全上下文设置为当前安全上下文,以及删除所述第二安全上下文。7.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:所述终端设备确定所述注册流程没有成功完成。8.根据权利要求7所述的方法,其特征在于,所述终端设备确定所述注册流程没有成功完成,包括:在预设时间内,所述终端设备没有接收到注册接受消息,所述终端设备确定所述注册流程没有成功完成;或者,所述终端设备接收到注册拒绝消息,所述终端设备根据所述注册确定消息确定所述注册流程没有成功完成,所述注册拒绝消息用于拒绝所述终端设备接入到网络;或者,所述终端设备在接收到注册接受消息之前,确定需要重新发起注册流程;或者,所述终端设备接收到底层失败的指示信息;或者,
所述终端设备在接收到注册接受消息之前,确定NAS安全模式完成消息发送失败;或者,所述终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的链接释放;或者,所述终端设备在接收到注册接受消息之前,确定自身与接入网设备之间的RRC连接被挂起或者释放。9.一种管理安全上下文的方法,其特征在于,包括:源移动管理网元接收来自目标移动管理网元的上下文请求消息,所述上下文请求消息用于请求获取终端设备的上下文;在需要进行水平密钥推演的情况下,所述源移动管理网元根据第一安全上下文中的密钥Kamf,生成新的密钥Kamf
’
;其中,所述第一安全上下文为所述源移动管理网元与所述终端设备之间当前的安全上下...
【专利技术属性】
技术研发人员:杨林平,胡文,强鹂,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。