安全通信的方法和装置制造方法及图纸

本申请提供了一种适用于终端设备使用有缝的无线局域网分流NSWO的方式接入网络的场景的安全通信的方法，包括：统一数据管理实体接收来自鉴权服务功能实体的指示信息；该统一数据管理实体根据该指示信息在至少两种鉴权方式中选择可扩展认证协议

【技术实现步骤摘要】
安全通信的方法和装置
[0001]本申请要求于2021年8月6日提交中国国家知识产权局、申请号为202110904250.8、专利技术名称为“安全通信的方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及通信领域，并且更具体地，涉及一种安全通信的方法和装置。

技术介绍

[0003]用户设备(user equipment，UE)可以通过有缝无线局域网分流(non
‑
seamless ireless local area network offload，NSWO)的方式接入网络，实现UE通过非第三代合作伙伴计划(non
‑
3rd generation partnership project，non
‑
3GPP)技术接入网络。目前，该方式仅限于在第四代(4th generation，4G)系统中应用。因此，如何扩展NSWO接入方式的应用范围成为亟待解决的问题。

技术实现思路

[0004]本申请提供一种安全通信的方法和装置，将NSWO场景应用到第五代(5th generation，5G)系统中，扩展了NSWO接入方式的应用范围，并通过指示UDM选择EAP
‑
AKA
’
鉴权方法，能够完善NSWO场景下UE与第五代核心网(5th generation core，5GC)的鉴权流程。
[0005]第一方面，提供了一种适用于终端设备使用有缝的无线局域网分流NSWO的方式接入网络的场景的安全通信的方法，包括：统一数据管理实体接收来自鉴权服务功能实体的指示信息；该统一数据管理实体根据该指示信息在至少两种鉴权方式中选择可扩展认证协议
‑
认证和密钥协商EAP
‑
AKA
’
与终端设备进行鉴权。
[0006]上述方案，将NSWO场景应用到5G系统中，扩展了NSWO接入方式的应用范围，并通过指示UDM选择EAP
‑
AKA
’
鉴权方法，能够完善NSWO场景下UE与5GC的鉴权流程。另外，在NSWO场景下，终端设备可以在通过非3GPP接入技术接入5GC时不经过AMF，减轻了AMF的负担，也节省了部署UE通过非3GPP技术接入到5GC的架构的开销。
[0007]结合第一方面，在第一方面的某些实现方式中，该指示信息是网络接入标识NAI格式的用户隐藏标识SUCI，或者是用户隐藏标识SUCI中的字段。
[0008]结合第一方面，在第一方面的某些实现方式中，该指示信息包括以下任意一个或多个：该鉴权服务功能实体的标识，或该终端设备所在网络的标识，或接入技术类型指示信息，或接入方法指示信息，该接入类型指示信息用于指示接入网络类型，该接入方法指示信息用于指示该终端设备使用的接入技术的特征。
[0009]结合第一方面，在第一方面的某些实现方式中，该方法还包括：该统一数据管理实体存储标识该终端设备通过有缝的无线局域网分流NSWO的方式接入该网络的信息；或者，该统一数据管理实体存储标识该终端设备通过该NSWO的方式接入该网络的信息，以及该鉴权服务功能实体的标识。
[0010]上述方案，UDM在记录鉴权成功状态时可以通过只记录通过NSWO鉴权成功的状态而不记录鉴权服务功能实体的ID，维护简单，需要更改的网元较少，方便快速商用；或者，可以将通过NSWO鉴权成功状态与鉴权服务功能实体的ID绑定，使得UDM记录的条目更为清晰。
[0011]结合第一方面，在第一方面的某些实现方式中，该终端设备通过有缝的无线局域网分流NSWO的方式接入该网络的信息用于可扩展认证协议EAP重鉴权流程。
[0012]第二方面，提供了一种安全通信的方法，包括：终端设备接收来自无线访问接入点的消息；该终端设备根据该消息生成指示信息，该指示信息表示该终端设备处于有缝的无线局域网分流NSWO场景；该终端设备发送该指示信息。
[0013]上述方案，将NSWO场景应用到5G系统中，扩展了NSWO接入方式的应用范围，并通过指示UDM选择EAP
‑
AKA
’
鉴权方法，能够完善NSWO场景下UE与5GC的鉴权流程。另外，在NSWO场景下，终端设备可以在通过非3GPP接入技术接入5GC时不经过AMF，减轻了AMF的负担，也节省了部署UE通过非3GPP技术接入到5GC的架构的开销。
[0014]结合第二方面，在第二方面的某些实现方式中，该方法还包括：该终端设备根据该第一消息01确定使用该NSWO的方式接入网络。
[0015]结合第二方面，在第二方面的某些实现方式中，该第一指示信息01包括用户隐藏标识(subscription concealed identifier，SUCI)，其中，该SUCI是网络接入标识(network access identifier，NAI)格式的字段，或者，该SUCI是由该终端设备根据国际移动用户识别码(International Mobile Subscriber Identity，IMSI)类型的用户永久标识SUPI生成的、NAI格式的字段，或者，该SUCI是该终端设备根据由IMSI类型的SUPI生成的、NAI格式的字段，该SUCI包括第一字段，该第一字段用于指示选择该EAP
‑
AKA
’
与该终端设备进行鉴权。
[0016]结合第二方面，在第二方面的某些实现方式中，该方法还包括：该终端设备生成主会话密钥，该主会话密钥为用于生成该终端设备与网络通信的密钥的根密钥，该网络为该终端设备通过该NSWO的方式接入的网络。
[0017]上述方案，在鉴权成功后生成用于生成该终端设备与该网络通信的密钥的根密钥，以便于后续终端设备在NSWO场景下与网络之间的安全通信，进一步完善了NSWO场景下的鉴权和密钥分发的流程。
[0018]结合第二方面，在第二方面的某些实现方式中，该该终端设备发送该指示信息，包括：
[0019]该终端设备向统一数据管理实体或鉴权服务功能实体或该无线访问接入点发送该指示信息。
[0020]第三方面，提供了一种安全通信的方法，其特征在于，包括：鉴权服务功能实体接收来自无线访问接入点的消息；该鉴权服务功能实体根据该消息生成指示信息，该指示信息用于指示统一数据管理实体选择可扩展认证协议
‑
认证和密钥协商EAP
‑
AKA
’
与终端设备进行鉴权；该鉴权服务功能实体向该统一数据管理实体发送该指示信息。
[0021]上述方案，将NSWO场景应用到5G系统中，扩展了NSWO接入方式的应用范围，并通过指示UDM选择EAP
‑
AKA
’
鉴权方法，能够完善NSWO场景下UE与5GC的鉴权流程。另外，在NSWO场景下，终端设备可以在通过非3GPP接入技术接入5GC时不经过AMF，减轻了AMF的负担，也节省了部署U本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种适用于终端设备使用有缝的无线局域网分流NSWO的方式接入网络的场景的安全通信的方法，其特征在于，包括：统一数据管理实体接收来自鉴权服务功能实体的指示信息；所述统一数据管理实体根据所述指示信息在至少两种鉴权方式中选择可扩展认证协议
‑
认证和密钥协商EAP
‑
AKA
’
与终端设备进行鉴权。2.根据权利要求1所述的方法，其特征在于，所述指示信息是网络接入标识NAI格式的用户隐藏标识SUCI，或者是用户隐藏标识SUCI中的字段。3.根据权利要求1所述的方法，其特征在于，所述指示信息包括以下任意一个或多个：所述鉴权服务功能实体的标识，或所述终端设备所在网络的标识，或接入技术类型指示信息，或接入方法指示信息，所述接入类型指示信息用于指示接入网络类型，所述接入方法指示信息用于指示所述终端设备使用的接入技术的特征。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述方法还包括：所述统一数据管理实体存储标识所述终端设备通过有缝的无线局域网分流NSWO的方式接入所述网络的信息；或者，所述统一数据管理实体存储标识所述终端设备通过所述NSWO的方式接入所述网络的信息，以及所述鉴权服务功能实体的标识。5.根据权利要求4所述的方法，其特征在于，所述终端设备通过有缝的无线局域网分流NSWO的方式接入所述网络的信息用于可扩展认证协议EAP重鉴权流程。6.一种安全通信的方法，其特征在于，包括：终端设备接收来自无线访问接入点的消息；所述终端设备根据所述消息生成指示信息，所述指示信息表示所述终端设备处于有缝的无线局域网分流NSWO场景；所述终端设备发送所述指示信息。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述终端设备根据所述消息确定使用所述NSWO的方式接入网络。8.根据权利要求6或7所述的方法，其特征在于，所述指示信息是网络接入标识NAI格式的用户隐藏标识SUCI，或者是用户隐藏标识SUCI中的字段。9.根据权利要求6至8中任一项所述的方法，其特征在于，所述方法还包括：所述终端设备生成主会话密钥，所述主会话密钥用于生成所述终端设备与网络通信的密钥，所述终端设备通过所述NSWO的方式接入所述网络。10.根据权利要求6至9中任一项所述的方法，其特征在于，所述所述终端设备发送所述指示信息，包括：所述终端设备向统一数据管理实体或鉴权服务功能实体或所述无线访问接入点发送所述指示信息。11.一种适用于终端设备使用有缝的无线局域网分流NSWO的方式接入网络的场景的安全通信的方法，其特征在于，包括：鉴权服务功能实体接收来自无线访问接入点的消息；
所述鉴权服务功能实体根据所述消息生成指示信息，所述指示信息用于指示统一数据管理实体选择可扩展认证协议
‑
认证和密钥协商EAP
‑
AKA
’
与终端设备进行鉴权；所述鉴权服务功能实体向所述统一数据管理实体发送所述指示信息。12.根据权利要求11所述的方法，其特征在于，所述指示信息包括以下任意一个或多个：所述鉴权服务功能实体的标识，或所述终端设备所在网络的标识，或接入技术类型指示信息，或接入方法指示信息，所述接入类型指示信息用于指示接入网络类型，所述接入方法指示信息用于指示所述终端设备使用的接入技术的特征。13.根据权利要求11或12所述的方法，其特征在于，所述方法还包括：所述鉴权服务功能实体根据所述消息确定所述终端设备通过NSWO的方式接入网络。14.根据权利要求11至13中任一项所述的方法，其特征在于，所述方法还包括：所述鉴权服务功能实体生成主会话密钥，所述主会话密钥用于生成所述终端设备与所述网络通信的密钥；所述鉴权服务功能实体向所述无线访问接入点发送所述主会话密钥。15.一种适用于终端设备使用有缝的无线局域网分流NSWO的方式接入网络的场景的安全通信的装置，其特征在于，包括：收发模块，用于接收来自鉴权服务功能实体的指示信息；处理模块，用于根据所述指示信息在至少两种鉴权方式中选择可扩展认证协议
‑
认证和密钥协商EAP
‑
AKA
’
与终端设备进行鉴权。16.根据权利要求15所述的装置，其特征在于，所述指示信息是网络接入标识NAI格式的用户隐藏标识SUCI，或者是用户隐藏标识SUCI中的字段。17.根据权利要求15所述的装置，其特征在于，所述指示信息包括以下任意一个或多个：所述鉴权服务功能实体的标识，或所述终端设备所在网络的标识，或接入技术类型指示信息，或接入方法指示信息，所述接入类型指示信息用于指示接入网络类型，所述接入方法指示信息用于指示所述终端设备使用的接入技术的特征。18.根据权利要求15至17中任一项所述的装置，其特征在于，所述处理模块，还用于存存储标识所述终端设备通过有缝的无线局域网分流NSWO的方式接入所述网络的信息；或者，所述处理模块，还...

【专利技术属性】
技术研发人员：李赫，吴荣，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：