【技术实现步骤摘要】
本申请涉及通信领域,并且更具体地,涉及一种通信方法和通信装置。
技术介绍
1、在通信系统,例如第五代(5th generation,5g)中,为了保障网络安全,需要对接入网络的终端设备进行主认证(primary authentication)流程,即对终端设备进行身份认证和授权。终端设备只有在认证通过后,才可以接入非第三代合作伙伴项目(3rdgeneration partnership project,3gpp)网络,并进一步请求建立协议数据单元(protocol data unit,pdu)会话来访问数据网络(data network,dn)上的各种业务。
2、示例性的,在非3gpp接入技术中,用户设备(user equipment,ue)可以根据既有规则选择一个非3gpp网络设备入网,针对非3gpp网络设备的重分配问题,可能存在接入与移动性管理功能(access and mobility management function,amf)将同一密钥分发给多个不同的非3gpp网络设备,违背安全原则,使得终端设备和非3gpp网络设备将面对更多的潜在安全风险。例如,被黑客攻击、敏感信息遭到泄露、运行状态被恶意监控或篡改等。因此,如何保证网络通信安全是亟待解决的问题。
技术实现思路
1、本申请提供一种通信方法和通信装置,能够保障网络通信安全,提升用户体验。
2、第一方面,提供了一种通信方法,该方法可以由amf执行,或者,也可以由用于amf的芯片或电路执行,本申请对
3、该方法包括:移动性管理功能网元amf接收终端设备通过第一非3gpp网络设备发送的第一注册请求消息,第一注册请求消息包括终端设备的第一标识信息,第一注册请求消息用于请求接入网络;在确定终端设备需要重新安置到第二非3gpp网络设备的情况下,amf向终端设备发送第一nas消息,第一nas消息包括第二非3gpp网络设备的标识信息,第一nas消息用于指示终端设备通过第二非3gpp网络设备重新接入网络;amf接收来自终端设备的第二nas消息,第二nas消息用于终端设备请求接入网络,第二nas消息包括第一密钥生成参数的;amf根据第一密钥生成参数生成第一密钥,第一密钥用于建立第二非3gpp网络设备与终端设备之间的安全连接。
4、根据本申请提供的方案,amf接收ue通过第一非3gpp网络设备发送的第一注册请求消息,并在确定ue需要重新安置到第二非3gpp网络设备的情况下,向ue发送第一nas消息;进一步地,amf接收来自ue的第二nas消息,并基于该第二nas消息携带的第一密钥生成参数生成第一密钥,用于建立第二非3gpp网络设备与终端设备之间的安全连接,该第一密钥与ue在第一注册请求过程中使用的密钥是不同的,即保证ue在接入第一非3gpp网络设备和第二非3gpp网络设备时所使用的密钥不同,达到密钥隔离的目的,进而提升网络通信的安全性。
5、结合第一方面,在第一方面的某些实现方式中,amf根据第一密钥生成参数生成第一密钥,包括:amf根据所述第一密钥生成参数,获取上行nas count值;amf将根密钥和上行nas count值作为输入参数,计算得到第一密钥,该根密钥是用于生成amf与ue之间的nas安全上下文的密钥。
6、示例性的,amf根据第一密钥生成参数(例如,第二nas消息中携带的nas sqn),获取用于生成第二密钥的nas count值,再将根密钥kamf和nas count值作为输入参数,计算得到第一密钥。
7、结合第一方面,在第一方面的某些实现方式中,在amf向终端设备发送第一nas消息之前,amf确定是否将终端设备重新安置到第二非3gpp网络设备。
8、结合第一方面,在第一方面的某些实现方式中,第一注册请求消息中还包括终端设备请求的接入的切片信息,amf确定是否将终端设备重新安置到第二非3gpp网络设备,包括:amf根据终端设备请求的接入的切片信息,确定是否将终端设备重新安置到第二非3gpp网络设备;或者,amf根据第一非3gpp网络设备的位置信息,确定是否将终端设备重新安置到第二非3gpp网络设备;或者,amf根据本地预配置信息,确定是否将终端设备重新安置到第二非3gpp网络设备。
9、基于上述方案,amf可以根据终端设备在注册时所请求接入切片的信息,第一非3gpp网络设备的位置信息,或者本地预配置信息等,通过多重考虑可以有针对性地确定是否将终端设备重新安置到第二非3gpp网络设备,保证终端设备重新安置的必要性和有效性,提升用户体验。
10、结合第一方面,在第一方面的某些实现方式中,第二非3gpp网络设备的标识信息,包括:第二非3gpp网络设备的互联网协议(internet protocol address,ip)地址信息,或者,第二非3gpp网络设备的全限定域名(fully qualified domain name,fqdn)信息。
11、结合第一方面,在第一方面的某些实现方式中,第一nas消息还包括第一原因值,第一原因值用于指示终端设备通过第二非3gpp网络设备重新接入网络。
12、基于上述方案,终端设备可以根据第二非3gpp网络设备的标识信息,确定第二非3gpp网络设备,和/或终端设备第一原因值,确定需要重新安置到第二非3gpp网络设备,进而发送第二nas消息,使得amf基于第二nas消息生成第一密钥,即ue在需要通过第二非3gpp网络设备接入网络的情况下,能够实现密钥隔离,保障网络通信安全。
13、结合第一方面,在第一方面的某些实现方式中,第一nas消息为以下消息中的任意一项:重新安置请求消息;nas下行传输消息;配置更新命令消息;注册拒绝消息;或者,注册完成消息。
14、基于上述方案,amf与ue之间的信令交互是nas消息,即利用nas消息得到的nascount值生成密钥,使得根据不同nas消息生成的密钥不同,达到密钥隔离的目的,保证网络通信的安全原则。
15、结合第一方面,在第一方面的某些实现方式中,在amf根据第一密钥生成参数生成第一密钥之前,amf判断第二nas消息是否是通过第二非3gpp网络设备发送的。
16、示例性的,amf根据发送第二nas消息的非3gpp网络设备的信息,是否与amf本地存储的第二非3gpp网络设备的信息相同,确定第二nas消息是否是通过第二非3gpp网络设备发送的。
17、结合第一方面,在第一方面的某些实现方式中,在确定第二nas消息是通过第二非3gpp网络设备接收到的情况下,amf根据第一密钥生成参数生成第一密钥。
18、基于上述方案,amf在确定第二nas消息是通过第二非3gpp网络设备接收到的情况下,才生成第一密钥,能够有效保证ue重新安置到第二非3gpp网络设备,进而保障对后续第一密钥的安全性。
19、结合第一方面,在本文档来自技高网...
【技术保护点】
1.一种通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述AMF根据所述第一密钥生成参数生成第一密钥,包括:
3.根据权利要求1或2所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述第一注册请求消息包括所述终端设备请求的切片信息,所述AMF确定是否需要将所述终端设备重新安置到所述第二非3GPP网络设备,包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第二非3GPP网络设备的标识信息,包括:所述第二非3GPP网络设备的互联网协议IP地址信息,或者,所述第二非3GPP网络设备的全限定域名FQDN信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一NAS消息还包括第一原因值;
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一NAS消息为以下消息中的任意一项:
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述AMF根据所述第一密钥生
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述AMF根据所述第一密钥生成参数生成第一密钥,包括:
10.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
11.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
13.根据权利要求11所述的方法,其特征在于,所述AMF向所述终端设备发送第一NAS消息,包括:
14.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一NAS消息之前,所述方法还包括:
15.根据权利要求12至14中任一项所述的方法,其特征在于,在所述AMF向所述终端设备发送第一注册拒绝消息之后,所述方法还包括:
16.根据权利要求1至10中任一项所述的方法,其特征在于,在所述AMF接收来自所述终端设备的第二NAS消息之前,所述方法还包括:
17.一种通信方法,其特征在于,包括:
18.根据权利要求17所述的方法,其特征在于,所述终端设备根据所述第一密钥生成参数生成第一密钥,包括:
19.根据权利要求17或18所述的方法,其特征在于,所述第二非3GPP网络设备的标识信息,包括:所述第二非3GPP网络设备的互联网协议IP地址信息,或者,所述第二非3GPP网络设备的全限定域名FQDN信息。
20.根据权利要求17至19中任一项所述的方法,其特征在于,在所述终端设备向所述AMF发送第二NAS消息之前,所述方法还包括:
21.根据权利要求20所述的方法,其特征在于,所述终端设备根据所述第一NAS消息,确定所述终端设备需要使用所述第二非3GPP网络设备重新接入所述网络,包括:
22.根据权利要求17至21中任一项所述的方法,其特征在于,在所述终端设备向所述AMF发送第二NAS消息之前,所述方法还包括:
23.根据权利要求20至22中任一项所述的方法,其特征在于,所述第一NAS消息还包括第一原因值,所述第一原因值用于指示所述终端设备需要重新接入所述第二非3GPP网络设备;
24.根据权利要求17至23中任一项所述的方法,其特征在于,所述第一NAS消息为以下消息中的任意一项:
25.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一NAS消息之前,所述方法还包括:
26.根据权利要求25所述的方法,其特征在于,所述方法还包括:
27.根据权利要求25所述的方法,其特征在于,所述终端设备接收来自所述AMF的第一NAS消息,包括:
28.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一NAS消息之前,所述方法还包括:
29.根据权利要求26至28中任一项所述的方法,其特征在于,在所述终端设备接收来自所述AMF的第一注册拒绝消息之后,所述方法还包括:
30.根据权利要求17至24中任一项所述的方法,其特征在于,在所述终端设备通过所述第二非3GPP网络设备向所述AMF发送第二NAS消息之前,所述方法还包括:
31.一种通信装置,其特征在于,包括:处理器,所述处理器与存...
【技术特征摘要】
1.一种通信方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述amf根据所述第一密钥生成参数生成第一密钥,包括:
3.根据权利要求1或2所述的方法,其特征在于,在所述amf向所述终端设备发送第一nas消息之前,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述第一注册请求消息包括所述终端设备请求的切片信息,所述amf确定是否需要将所述终端设备重新安置到所述第二非3gpp网络设备,包括:
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第二非3gpp网络设备的标识信息,包括:所述第二非3gpp网络设备的互联网协议ip地址信息,或者,所述第二非3gpp网络设备的全限定域名fqdn信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一nas消息还包括第一原因值;
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一nas消息为以下消息中的任意一项:
8.根据权利要求1至7中任一项所述的方法,其特征在于,在所述amf根据所述第一密钥生成参数生成第一密钥之前,所述方法还包括:
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述amf根据所述第一密钥生成参数生成第一密钥,包括:
10.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
11.根据权利要求1至10中任一项所述的方法,其特征在于,在所述amf向所述终端设备发送第一nas消息之前,所述方法还包括:
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
13.根据权利要求11所述的方法,其特征在于,所述amf向所述终端设备发送第一nas消息,包括:
14.根据权利要求1至10中任一项所述的方法,其特征在于,在所述amf向所述终端设备发送第一nas消息之前,所述方法还包括:
15.根据权利要求12至14中任一项所述的方法,其特征在于,在所述amf向所述终端设备发送第一注册拒绝消息之后,所述方法还包括:
16.根据权利要求1至10中任一项所述的方法,其特征在于,在所述amf接收来自所述终端设备的第二nas消息之前,所述方法还包括:
17.一种通信方法,其特征在于,包括:
18.根据权利要求17所述的方法,其特征在于,所述终端设备根据所述第一密钥生成参数生成第一密钥,包括:
19.根据权利要求17或18所述的方法,其特征在于,所述第二非3gpp网络设备的标识信息,包括:所述第二非3gpp网络设...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。