CN120050800A - 一种通信方法及装置 - Google Patents
一种通信方法及装置 Download PDFInfo
- Publication number
- CN120050800A CN120050800A CN202311603343.2A CN202311603343A CN120050800A CN 120050800 A CN120050800 A CN 120050800A CN 202311603343 A CN202311603343 A CN 202311603343A CN 120050800 A CN120050800 A CN 120050800A
- Authority
- CN
- China
- Prior art keywords
- mpquic
- terminal device
- key
- user plane
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种通信方法及装置,用于在终端装置和用户面功能建立MPQUIC连接的过程中,实现安全方案。在本申请中,方法包括:在第一终端装置的第一MA PDU会话建立完成之后,第一终端装置与第一用户面功能协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。第一终端装置根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥,第一MPQUIC连接的数据由第一终端装置与第一用户面功能之间的多条路径传输。其中,预配置密钥还用于第一终端装置与第二用户面功能建立第二MPQUIC连接,第一用户面功能和第二用户面功能位于同一个公共陆地移动网络内。
Description
技术领域
本申请实施例涉及无线通信领域,尤其涉及一种通信方法及装置。
背景技术
终端装置在使用访问流量引导、切换、拆分(access traffic steering,switching,splitting,ATSSS)功能时,终端装置与用户面功能(user plane function,UPF)建立多接入协议数据单元(multiple access protocol data unit,MA PDU)会话,此种会话支持多条接入路径(比如,包括通过3GPP接入的路径和通过非3GPP接入的路径),且数据可以在不同的接入路径上进行传输。ATSSS功能进一步支持多路径快速用户数据报协议互联网连接(multipath quick user datagram protocol internet connections,MPQUIC)功能。也即,终端装置支持与用户面功能建立与MA PDU会话相关联的MPQUIC连接。
在终端装置和用户面功能建立MPQUIC连接的过程中,如何实现安全方案是目前亟待解决的问题。
发明内容
本申请提供一种通信方法及装置,用于在终端装置和用户面功能建立MPQUIC连接的过程中,实现安全方案。
第一方面,本申请提供一种通信方法,该通信方法由第一终端装置执行,第一终端装置可以是终端设备或终端设备中的模块(如芯片)。
方法包括:在第一终端装置的第一MA PDU会话建立完成之后,第一终端装置与第一用户面功能协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。第一终端装置根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥,第一MPQUIC连接的数据由第一终端装置与第一用户面功能之间的多条路径传输。其中,预配置密钥还用于第一终端装置与第二用户面功能建立第二MPQUIC连接,第一用户面功能和第二用户面功能位于同一个公共陆地移动网络内。
上述技术方案中,在第一终端装置的第一MA PDU会话建立完成之后,第一终端装置根据预配置密钥建立第一MPQUIC连接,在第一终端装置和第一用户面功能建立第一MPQUIC连接的过程中实现安全。进一步的,预配置密钥不仅用于第一终端装置与第一用户面功能建立第一MPQUIC连接,还用于第一终端装置与第二用户面功能建立第二MPQUIC连接,第一用户面功能和第二用户面功能位于同一个公共陆地移动网络内,也即是,预配置密钥可用于第一终端装置与位于同一个公共陆地移动网络内多个用户面功能建立MPQUIC连接,如此,降低第一终端装置建立MPQUIC连接的复杂度。
在一种可能的实现方式中,第一终端装置与第一用户面功能协商建立第一MPQUIC连接,具体可以是,第一终端装置向第一用户面功能发送预配置密钥的标识。
上述技术方案中,第一终端装置通过向第一用户面功能发送预配置密钥的标识,以与第一用户面功能协商建立第一MPQUIC连接,有助于兼容现有传输层安全(transportlayer security,TLS)协议中客户端与服务端建立连接的方式,此处,客户端相当于第一终端装置,服务端相当于第一用户面功能。
在一种可能的实现方式中,协商中传输的消息是基于3GPP安全保护的。
上述技术方案中,在第一终端装置与第一用户面功能建立MPQUIC连接之前,第一终端装置的第一MA PDU会话已经建立,也即,3GPP安全保护已经建立,第一终端装置与第一用户面功能之间传输的消息可基于3GPP安全保护进行保护。如此,有助于提高消息传输的安全性。
在一种可能的实现方式中,第一终端装置与第一用户面功能协商建立第一MPQUIC连接时使用的预配置密钥,与第二终端装置与第一用户面功能协商建立第三MPQUIC连接时使用的预配置密钥相同。其中,第一终端装置与第二终端装置归属于同一个归属公共陆地移动网络。
上述技术方案中,预配置密钥还可用于第二终端装置与第一用户面功能建立第三MPQUIC连接,也即是,预配置密钥可用于第一用户面功能与位于同一个归属公共陆地移动网络内的多个终端装置建立MPQUIC连接,如此,降低第一用户面功能建立MPQUIC连接的复杂度。
在一种可能的实现方式中,在第一终端装置的第一MA PDU会话建立完成之后,第一终端装置还与第一用户面功能协商建立第四MPQUIC连接,第四MPQUIC连接与第一MA PDU会话关联。第一终端装置根据预配置密钥,推演得到用于保护第四MPQUIC连接的数据的密钥,其中,用于保护第一MPQUIC连接的数据的密钥与用于保护第四MPQUIC连接的数据的密钥不同。
上述技术方案中,第一MA PDU会话可与多个MPQUIC连接关联,第一终端装置可以针对每个MPQUIC连接推演得到用于保护该MPQUIC连接的数据的密钥,有助于提高数据传输的安全性。
在一种可能的实现方式中,在第一终端装置的第二MAPDU会话建立完成之后,第一终端装置还与第二用户面功能协商建立第二MPQUIC连接,第二MPQUIC连接与第二MA PDU会话关联。第一终端装置根据预配置密钥,推演得到用于保护第二MPQUIC连接的数据的密钥。
第二方面,本申请提供一种通信方法,该通信方法由第一用户面功能执行,第一用户面功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,第一用户面功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:在第一终端装置的第一MA PDU会话建立完成之后,第一用户面功能与第一终端装置协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。第一用户面功能根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥,第一MPQUIC连接的数据由第一终端装置与第一用户面功能之间的多条路径传输。其中,预配置密钥还用于第一终端装置与第二用户面功能建立第二MPQUIC连接,第一用户面功能和第二用户面功能位于同一个公共陆地移动网络内。
在一种可能的实现方式中,第一用户面功能与第一终端装置协商建立第一MPQUIC连接,具体可以是,第一用户面功能接收来自第一终端装置的预配置密钥的标识。
在一种可能的实现方式中,协商中传输的消息是基于3GPP安全保护的。
在一种可能的实现方式中,第一用户面功能与第一终端装置协商建立第一MPQUIC连接时使用的预配置密钥,与第一用户面功能与第二终端装置协商建立第三MPQUIC连接时使用的预配置密钥相同。第一终端装置与第二终端装置归属于同一个归属公共陆地移动网络。
在一种可能的实现方式中,在第一终端装置的第一MAPDU会话建立完成之后,第一用户面功能还与第一终端装置协商建立第四MPQUIC连接,第四MPQUIC连接与第一MA PDU会话关联。第一用户面功能根据预配置密钥,推演得到用于保护第四MPQUIC连接的数据的密钥,其中,用于保护第一MPQUIC连接的数据的密钥与用于保护第四MPQUIC连接的数据的密钥不同。
上述第二方面可以达到的技术效果可以参照上述第一方面中有益效果的描述,此处不再重复赘述。
第三方面,本申请提供一种通信方法,该通信方法适用于为终端装置建立MA PDU会话的过程中。该通信方法由会话管理功能执行,会话管理功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,会话管理功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:会话管理功能从第一功能获得共享密钥。会话管理功能向用户面功能发送共享密钥,该共享密钥用于推演得到保护终端装置与用户面功能之间MPQUIC连接中数据的密钥,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
上述技术方案中,会话管理功能向用户面功能发送共享密钥,用户面功能可根据共享密钥,与终端设备建立MPQUIC连接,在终端装置和用户面功能建立MPQUIC连接的过程中实现安全。
在一种可能的实现方式中,会话管理功能还向终端装置发送第一指示,第一指示用于指示采用共享密钥的方式建立MPQUIC连接。示例性的,第一指示用于指示终端装置采用共享密钥的方式,与用户面功能建立MPQUIC连接。上述技术方案中,终端装置可根据第一指示获取到共享密钥,进而终端装置根据共享密钥,与用户面功能建立MPQUIC连接,在终端装置和用户面功能建立MPQUIC连接的过程中实现安全。
在一种可能的实现方式中,会话管理功能从第一功能获得共享密钥之前,还确定使能MPQUIC连接对应的功能。在一种可能的实现方式中,会话管理功能确定使能MPQUIC连接对应的功能,具体可以是,会话管理功能接收来自终端装置的能力信息,根据终端装置的能力信息,确定终端装置支持建立MPQUIC连接;和/或,会话管理功能确定支持MPQUIC连接对应的功能。
上述技术方案中,会话管理功能可先确定使能MPQUIC连接对应的功能,再从第一功能中获得共享密钥,提供会话管理功能确定终端装置和用户面功能之间能够建立MPQUIC连接的判定条件。
在一种可能的实现方式中,会话管理功能从第一功能获得共享密钥,具体可以是,会话管理功能向第一功能发送第二指示,第二指示用于指示推演得到共享密钥,会话管理功能接收来自第一功能的共享密钥。示例性的,第二指示用于指示第一功能推演得到共享密钥。
在一种可能的实现方式中,会话管理功能从第一功能获得共享密钥之后,还向用户面功能发送共享密钥的标识。一个示例中,共享密钥的标识是会话管理功能根据MAPDU会话的标识确定的,相应的,会话管理功能还向第一功能发送共享密钥的标识,和/或,会话管理功能向终端装置发送共享密钥的标识。又一个示例中,共享密钥的标识是第一功能根据MA PDU会话的标识确定的,相应的,会话管理功能向第一功能发送MA PDU会话的标识,会话管理功能还接收来自第一功能的共享密钥的标识。
上述技术方案中,提供会话管理功能获取共享密钥的标识的方式。
在一种可能的实现方式中,共享密钥的标识是MA PDU会话的标识。
上述技术方案中,由于终端装置中记录有MA PDU会话的标识,所以,会话管理功能无需向终端装置发送共享密钥的标识(即MAPDU会话的标识),有助于减少信令交互。
在一种可能的实现方式中,第一功能是接入管理功能、安全锚点功能或鉴权服务器功能。
第四方面,本申请提供一种通信方法,该通信方法适用于为终端装置建立MA PDU会话的过程中。该通信方法由用户面功能执行,用户面功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,用户面功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:用户面功能接收来自会话管理功能的共享密钥。用户面功能根据共享密钥,推演得到用于保护终端装置与用户面功能之间MPQUIC连接中数据的密钥,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
在一种可能的实现方式中,用户面功能还接收来自会话管理功能的共享密钥的标识,共享密钥的标识是会话管理功能或第一功能根据MAPDU会话的标识确定的。用户面功能将共享密钥的标识与共享密钥对应存储。在一种可能的实现方式中,共享密钥的标识是MAPDU会话的标识。示例性的,第一功能是接入管理功能、安全锚点功能或鉴权服务器功能。
上述第四方面可以达到的技术效果可以参照上述第三方面中有益效果的描述,此处不再重复赘述。
第五方面,本申请提供一种通信方法,该通信方法适用于为终端装置建立MA PDU会话的过程中。该通信方法由终端装置执行,终端装置可以是终端设备或终端设备中的模块(如芯片)。
方法包括:终端装置接收来自会话管理功能的第一指示,第一指示用于指示采用共享密钥的方式与用户面功能建立MPQUIC连接,MPQUIC连接与MA PDU会话关联。终端装置根据第一指示,推演得到共享密钥,进一步的,终端装置根据共享密钥,推演得到用于保护MPQUIC连接中数据的密钥,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
在一种可能的实现方式中,终端装置还向会话管理功能发送终端装置的能力信息,终端装置的能力信息用于指示终端装置支持建立MPQUIC连接。
在一种可能的实现方式中,终端装置根据第一指示,推演得到共享密钥,具体可以是,终端装置根据第一指示和如下参数中一项或多项,推演得到共享密钥:终端装置的标识、MA PDU会话的标识、上级密钥。示例性的,上级密钥包括如下中一项或多项:安全锚点功能密钥、无线接入节点(radio access node,RAN)密钥、接入管理功能密钥、鉴权服务器功能密钥。
上述技术方案中,提供终端装置推演共享密钥的方式。
在一种可能的实现方式中,共享密钥的标识是会话管理功能根据MA PDU会话的标识确定的,终端装置还接收来自会话管理功能的共享密钥的标识。
在一种可能的实现方式中,共享密钥的标识是终端装置根据MA PDU会话的标识确定的,也即是,终端装置还根据MA PDU会话的标识确定共享密钥的标识。
在一种可能的实现方式中,终端装置还将共享密钥的标识与共享密钥的对应存储。
在一种可能的实现方式中,共享密钥的标识是MA PDU会话的标识。
上述第五方面可以达到的技术效果可以参照上述第三方面中有益效果的描述,此处不再重复赘述。
第六方面,本申请提供一种通信方法,该通信方法适用于为终端装置建立MA PDU会话的过程中。该通信方法由第一功能执行,第一功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,第一功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:第一功能接收来自会话管理功能的第二指示,第一功能根据第二指示,推演得到共享密钥,第一功能向会话管理功能发送共享密钥,其中,共享密钥用于推演得到用于保护终端装置与用户面功能之间MPQUIC连接中数据的密钥,MPQUIC连接与MAPDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
在一种可能的实现方式中,共享密钥的标识是会话管理功能根据MA PDU会话的标识确定的,第一功能还接收来自会话管理功能的共享密钥的标识。在一种可能的实现方式中,共享密钥的标识是第一功能根据MAPDU会话的标识确定的,也即是,第一功能还接收来自会话管理功能的MA PDU会话的标识,根据MAPDU会话的标识确定共享密钥的标识。
在一种可能的实现方式中,第一功能根据第二指示,推演得到共享密钥,具体可以是,第一功能根据第二指示和如下参数中一项或多项,推演得到共享密钥:终端装置的标识、MA PDU会话的标识、上级密钥。示例性的,当第一功能是接入管理功能时,上级密钥可以包括如下中一项或多项:无线接入节点密钥、接入管理功能密钥;当第一功能是安全锚点功能时,上级密钥可以是安全锚点功能密钥;当第一功能是鉴权服务器功能时,上级密钥可以是鉴权服务器功能密钥。
上述技术方案中,提供第一功能推演共享密钥的方式。
上述第六方面可以达到的技术效果可以参照上述第三方面中有益效果的描述,此处不再重复赘述。
第七方面,本申请提供一种通信方法,该通信方法由会话管理功能执行,会话管理功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,会话管理功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:会话管理功能接收来自终端装置的会话建立请求,会话建立请求用于请求建立终端装置的MA PDU会话。会话管理功能根据会话建立请求,向用户面功能发送证书申请指示,证书申请指示用于指示向证书认证机构请求用户面功能的证书。其中,用户面功能的证书用于:在终端装置与用户面功能之间的MPQUIC连接的建立过程中,终端装置对用户面功能进行认证,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
上述技术方案中,会话管理功能向用户面功能发送证书申请指示,证书申请指示用于指示向证书认证机构请求用户面功能的证书,用户面功能的证书用于:在终端装置与用户面功能之间的MPQUIC连接的建立过程中,终端装置对用户面功能进行认证,如此,在终端装置和用户面功能建立MPQUIC连接的过程中实现安全。
在一种可能的实现方式中,会话管理功能向用户面功能发送证书申请指示之后,还接收来自用户面功能的确认指示,确认指示用于指示用户面功能成功请求到用户面功能的证书。示例性的,会话管理功能根据确认指示,确定用户面功能成功请求到用户面功能的证书。
上述技术方案中,会话管理功能在接收到确认指示之后,继续执行后续的MA PDU会话建立流程,进而终端装置能够在MAPDU会话建立流程结束之后,发起与用户面功能建立MPQUIC连接的流程。如此,避免出现用户面功能尚未请求到用户面功能的证书的情况下,终端装置发起与用户面功能建立MPQUIC连接的流程,导致终端装置与用户面功能建立MPQUIC连接失败的问题。
在一种可能的实现方式中,会话管理功能还向证书认证机构发送第一证书请求,第一证书请求中包括终端装置的公钥,终端装置的公钥用于生成终端装置的证书,示例性的,终端装置的公钥用于证书认证机构生成终端装置的证书。会话管理功能接收来自证书认证机构的终端装置的证书,向终端装置发送终端装置的证书,终端装置的证书用于在MPQUIC连接的建立过程中对终端装置进行认证。上述技术方案提供双向认证方式中的实现方式。
在一种可能的实现方式中,会话管理功能向证书认证机构发送第一证书请求之前,还向终端装置发送双向认证指示,双向认证指示用于指示在MPQUIC连接的建立过程中的认证方式是双向认证的方式。随后,会话管理功能接收终端装置的公钥。示例性的,双向认证指示可以承载于无线资源控制重配置消息中。
上述技术方案中,会话管理功能向终端装置发送双向认证指示,进而接收终端装置的公钥,根据终端装置的公钥向证书认证机构请求终端装置的证书。避免在单向认证方式中,终端装置还向会话管理功能发送终端装置的公钥,存在不必要的数据传输。
在一种可能的实现方式中,会话建立请求中包括终端装置的公钥。示例性的,终端装置的证书可以承载于无线资源控制重配置消息中。
上述技术方案中,终端装置可默认使用双向认证指示,进而在会话建立请求中携带终端装置的公钥,避免会话管理功能再指示终端装置生成终端装置的公钥,有助于提高MPQUIC连接的建立的效率。
在一种可能的实现方式中,第一证书请求中还包括MA PDU会话的标识,MA PDU会话的标识用于确定终端装置的证书的标识,示例性的,MA PDU会话的标识用于证书认证机构确定终端装置的证书的标识。
在一种可能的实现方式中,会话管理功能还向用户面功能发送MA PDU会话的标识,MA PDU会话的标识用于确定用户面功能的证书的标识,示例性的,MA PDU会话的标识用于证书认证机构确定用户面功能的证书的标识。
上述技术方案中,MA PDU会话的标识用于确定证书的标识,实现证书是针对每个MA PDU会话的,有助于提高MPQUIC连接的安全性。
在一种可能的实现方式中,会话管理功能向用户面功能发送证书申请指示前,还确定使能MPQUIC连接对应的功能。示例性的,会话管理功能确定使能MPQUIC连接对应的功能,具体可以是,会话管理功能接收来自终端装置的能力信息,根据终端装置的能力信息,确定终端装置支持建立MPQUIC连接,和/或,会话管理功能确定支持MPQUIC连接对应的功能。
上述技术方案中,会话管理功能可先确定使能MPQUIC连接对应的功能,再向用户面功能发送证书申请指示,提供会话管理功能确定终端装置和用户面功能之间能够建立MPQUIC连接的判定条件。
第八方面,本申请提供一种通信方法,该通信方法由终端装置执行,终端装置可以是终端设备或终端设备中的模块(如芯片)。
方法包括:终端装置向会话管理功能发送会话建立请求,会话建立请求用于请求建立终端装置的MA PDU会话;在MA PDU会话建立完成后,终端装置可以与用户面功能建立MPQUIC连接。进一步的,在终端装置与用户面功能之间的MPQUIC连接的建立过程中,终端装置接收来自用户面功能的用户面功能的证书,根据用户面功能的证书对用户面功能进行认证;其中,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
在一种可能的实现方式中,终端装置还接收来自会话管理功能的终端装置的证书;在终端装置与用户面功能之间的MPQUIC连接的建立过程中,终端装置向用户面功能发送终端装置的证书,终端装置的证书用于用户面功能对终端装置进行认证。
终端装置接收来自会话管理功能的终端装置的证书的方式可以有三种:
方式1,终端装置默认使用双向认证方式,终端装置先生成终端装置的公钥,进而在发送会话建立请求时,在会话建立请求中携带终端装置的公钥,其中,终端装置的公钥用于向证书认证机构请求终端装置的证书。相应的,会话管理功能可从会话建立请求中获取终端装置的公钥,根据终端装置的公钥,向证书认证机构请求终端装置的证书,将终端装置的证书发送给终端装置。示例性的,PDU会话建立流程进一步包括接入网特定资源建立(AN-specific resource setup)流程,在该AN-specific resource setup流程中,终端装置接收终端装置的证书,可选的,终端装置还接收MA PDU会话建立完成的指示信息。例如,终端装置接收无线资源控制重配置消息,无线资源控制重配置消息中包括终端装置的证书,可选的,无线资源控制重配置消息还可携带该指示信息。
方式2,终端装置在会话建立请求中不携带终端装置的公钥,而是在接收到来自会话管理功能的双向认证指示之后,生成终端装置的公钥,也即是,双向认证指示用于指示在MPQUIC连接的建立过程中的认证方式是双向认证的方式。示例性的,PDU会话建立流程进一步包括AN-specific resource setup流程,在该AN-specific resource setup流程中,终端装置接收双向认证指示,可选的,终端装置还接收MA PDU会话建立完成的指示信息,例如,终端装置接收无线资源控制重配置消息,无线资源控制重配置消息中包括双向认证指示,可选的,无线资源控制重配置消息还可携带指示信息。进一步的,终端装置向会话管理功能发送终端装置的公钥,终端装置的公钥用于向证书认证机构请求终端装置的证书。相应的,会话管理功能可根据终端装置的证书,向证书认证机构请求终端装置的证书,将终端装置的证书发送给终端装置。
方式3,终端装置在会话建立请求中不携带终端装置的公钥,而是在接收到来自会话管理功能的双向认证指示之后,生成终端装置的公钥,也即是,双向认证指示用于指示在MPQUIC连接的建立过程中的认证方式是双向认证的方式。示例性的,PDU会话建立流程进一步包括认证方式通知流程,在该流程中,终端装置接收双向认证指示,例如,终端装置接收无线资源控制重配置消息,无线资源控制重配置消息中包括双向认证指示。进一步的,终端装置向会话管理功能发送终端装置的公钥,终端装置的公钥用于向证书认证机构请求终端装置的证书。相应的,会话管理功能可根据终端装置的证书,向证书认证机构请求终端装置的证书,将终端装置的证书发送给终端装置。示例性的,PDU会话建立流程进一步包括AN-specific resource setup流程,在该AN-specific resource setup流程中,终端装置接收终端装置的证书,可选的,终端装置还接收MA PDU会话建立完成的指示信息,例如,终端装置接收无线资源控制重配置消息,无线资源控制重配置消息中包括终端装置的证书,可选的,无线资源控制重配置消息还可携带指示信息。
示例性的,MA PDU会话建立完成的指示信息比如是PDU会话建立接受。
在一种可能的实现方式中,终端装置还生成终端装置的私钥,终端装置的私钥用于在MPQUIC连接的建立过程中对传输的消息进行签名。
在一种可能的实现方式中,终端装置还接收来自用户面功能的用户面功能的证书的标识;用户面功能的证书的标识是根据MA PDU会话的标识确定的。
在一种可能的实现方式中,终端装置还向会话管理功能发送终端装置的能力信息,终端装置的能力信息用于指示终端装置支持建立MPQUIC连接。
上述第八方面可以达到的技术效果可以参照上述第七方面中有益效果的描述,此处不再重复赘述。
第九方面,本申请提供一种通信方法,该通信方法由用户面功能执行,用户面功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,用户面功能可以由一个设备实现,也可以由多个设备共同实现,或者,还可以是一个设备内的一个功能模块。
方法包括:在终端装置的MA PDU会话建立过程中,用户面功能接收来自会话管理功能的证书申请指示,根据证书申请指示,向证书认证机构请求用户面功能的证书。在终端装置与用户面功能之间的MPQUIC连接的建立过程中,用户面功能向终端装置发送用户面功能的证书,用户面功能的证书用于终端装置对用户面功能进行认证,也即是,用户面功能的证书用于在终端装置与用户面功能之间的MPQUIC连接的建立过程中,终端装置对用户面功能进行认证;其中,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由终端装置与用户面功能之间的多条路径传输。
在一种可能的实现方式中,用户面功能向证书认证机构请求用户面功能的证书,具体可以是,用户面功能向证书认证机构发送第二证书请求,第二证书请求用于向证书认证机构请求用户面功能的证书;用户面功能接收来自证书认证机构的用户面功能的证书。
在一种可能的实现方式中,在终端装置与用户面功能之间的MPQUIC连接的建立过程中,用户面功能还接收终端装置的证书,根据终端装置的证书,对终端装置进行认证。
在一种可能的实现方式中,第二证书请求中包括用户面功能的公钥,用户面功能的公钥用于确定用户面功能的证书。进一步地,用户面功能在发送第二证书请求之前,还生成用户面功能的公钥。
在一种可能的实现方式中,用户面功能还生成用户面功能的私钥,用户面功能的私钥用于在MPQUIC连接的建立过程中对传输的消息进行签名。
在一种可能的实现方式中,第二证书请求中还包括MA PDU会话的标识,MA PDU会话的标识用于确定用户面功能的证书的标识。进一步地,用户面功能在发送第二证书请求之前,还接收来自会话管理功能的MA PDU会话的标识。
在一种可能的实现方式中,用户面功能在成功从证书认证机构中获取到用户面功能的证书之后,向会话管理功能发送确认指示,确认指示用于指示用户面功能成功请求到用户面功能的证书。
上述第九方面可以达到的技术效果可以参照上述第七方面中有益效果的描述,此处不再重复赘述。
第十方面,本申请实施例提供一种通信装置,
该装置可以是上述第一方面或第一方面的任一种可能的实现方式中的第一终端装置。
该装置可以是上述第二方面或第二方面的任一种可能的实现方式中的第一用户面功能。
该装置可以是上述第三方面或第三方面的任一种可能的实现方式中的会话管理功能。
该装置可以是上述第四方面或第四方面的任一种可能的实现方式中的用户面功能。
该装置可以是上述第五方面或第五方面的任一种可能的实现方式中的终端装置。
该装置可以是上述第六方面或第六方面的任一种可能的实现方式中的第一功能。
该装置可以是上述第七方面或第七方面的任一种可能的实现方式中的会话管理功能。
该装置可以是上述第八方面或第八方面的任一种可能的实现方式中的终端装置。
该装置可以是上述第九方面或第九方面的任一种可能的实现方式中的用户面功能。
上述通信装置的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,硬件或软件包括一个或多个与上述功能相对应的模块或单元或手段(means)。
在一种可能的实现方式中,该装置的结构中包括处理模块和收发模块,其中,处理模块被配置为支持该装置执行上述第一方面至第九方面中的任一方面的任一种实现方式中方法。收发模块用于支持该装置与其他通信设备之间的通信,例如该装置为第一方面或第一方面的任一种可能的实现方式中的第一终端装置时,可与第一用户面功能的传输数据。该通信装置还可以包括存储模块,存储模块与处理模块耦合,其保存有装置必要的程序指令和数据。作为一种示例,处理模块可以为处理器,通信模块可以为收发器,存储模块可以为存储器,存储器可以和处理器集成在一起,也可以和处理器分离设置。
在另一种可能的实现方式中,该装置的结构中包括处理器,还可以包括存储器。处理器与存储器耦合,可用于执行存储器中存储的计算机程序指令,以使装置执行上述第一方面至第九方面中的任一方面的任一种实现方式中方法。可选地,该装置还包括通信接口,处理器与通信接口耦合。当装置为网络设备或终端设备时,该通信接口可以是收发器或输入/输出接口;当该装置为网络设备中包含的芯片或终端设备中包含的芯片时,该通信接口可以是芯片的输入/输出接口。可选地,收发器可以为收发电路,输入/输出接口可以是输入/输出电路。
第十一方面,本申请实施例提供一种芯片系统,包括:处理器和存储器,处理器与存储器耦合,存储器用于存储程序或指令,当程序或指令被处理器执行时,使得该芯片系统执行上述第一方面至第九方面中的任一方面的任一种实现方式中方法。
可选地,该芯片系统还包括接口电路,该接口电路用于交互代码指令至处理器。
可选地,该芯片系统中的处理器可以为一个或多个,该处理器可以通过硬件实现也可以通过软件实现。当通过硬件实现时,该处理器可以是逻辑电路、集成电路等。当通过软件实现时,该处理器可以是一个通用处理器,通过读取存储器中存储的软件代码来实现。
可选地,该芯片系统中的存储器也可以为一个或多个。该存储器可以与处理器集成在一起,也可以和处理器分离设置。示例性的,存储器可以是非瞬时性处理器,例如只读存储器ROM,其可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上。
第十二方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序或指令,当计算机程序或指令被通信装置执行时,使得该通信装置执行上述第一方面至第九方面中的任一方面的任一种实现方式中功能。
第十三方面,本申请提供一种计算机程序产品,该计算机程序产品包括计算机程序或指令,当该计算机程序或指令被通信装置执行时,执行上述第一方面至第九方面中的任一方面的任一种实现方式中功能。
第十四方面,本申请实施例提供一种通信系统,
该通信系统包括:上述第一方面或第一方面的任一种可能的实现方式中的第一终端装置;和,上述第二方面或第二方面的任一种可能的实现方式中的第一用户面功能。或者,
该通信系统包括:上述第三方面或第三方面的任一种可能的实现方式中的会话管理功能;上述第四方面或第四方面的任一种可能的实现方式中的用户面功能;上述第五方面或第五方面的任一种可能的实现方式中的终端装置;和,上述第六方面或第六方面的任一种可能的实现方式中的第一功能。或者,
该通信系统包括:上述第七方面或第七方面的任一种可能的实现方式中的会话管理功能;上述第八方面或第八方面的任一种可能的实现方式中的终端装置;和,上述第九方面或第九方面的任一种可能的实现方式中的用户面功能。
上述第十方面至第十四方面中任一方面可以达到的技术效果可以参照上述第一方面至第九方面中有益效果的描述,此处不再重复赘述。
附图说明
图1为一种通信系统架构示意图;
图2为第一种ATSSS支持的5G系统架构;
图3为第二种ATSSS支持的5G系统架构;
图4为第三种ATSSS支持的5G系统架构;
图5为一种MPQUIC连接的协议栈架构图;
图6为本申请提供的第一种通信方法的流程示意图;
图7为本申请提供的算法套的示意图;
图8为本申请提供的第一种通信方法的一种具体实现的流程示意图;
图9为本申请提供的第二种通信方法的流程示意图;
图10为本申请提供的密钥推演的方向示意图;
图11为本申请提供的第二种通信方法的第一种具体实现的流程示意图;
图12为本申请提供的第二种通信方法的第二种具体实现的流程示意图;
图13为本申请提供的第三种通信方法的流程示意图;
图14为本申请提供的第三种通信方法的第一种具体实现的流程示意图;
图15为本申请提供的第三种通信方法的第二种具体实现的流程示意图;
图16为本申请提供的第一种通信装置的结构示意图;
图17为本申请提供的第二种通信装置的结构示意图。
具体实施方式
下面先对本申请实施例所涉及的相关技术特征进行解释说明。需要说明的是,这些解释是为了让本申请实施例更容易被理解,而不应该视为对本申请所要求的保护范围的限定。
一、传输层安全(transport layer security,TLS协议)
TLS协议是一种广泛采用的安全协议,旨在保护互联网通信的隐私和数据安全。
TLS协议的主要用途是保护客户端(Client,又可称为是Web应用程序)与服务端(Server)之间的通信,对相关通信的数据进行加密和完整性保护。
TLS协议主要包括握手协议和记录层协议,其中,握手协议主要进行双方的身份认证和密钥协商,记录层协议使用握手协议协商的密钥对应用层数据进行安全保护(包括加密保护和完整性保护)。
在握手协议中,Client和Server主要包括两轮交互:
第一轮交互:双方进行密钥交换。
TLS协议的密钥交换支持2种模式:
(1)预共享密钥交换模式(psk key exchange modes):Client向Server发送ClientHello,ClientHello中携带psk_key_share_modes和预共享密钥(pre_shared_key,PSK)两个扩展选项,其中,psk_key_share_modes用于指示使用预共享密钥交换模式进行密钥协商,pre_shared_key用于指示Client希望使用的预共享密钥;同理的,Server向Client发送ServerHello,ServerHello中同样携带上述两个扩展选项。从而Client和Server可协商出二者在第二轮交互中使用的预共享密钥。
(2)密钥共享模式(key_share modes):Client生成Client的临时私钥和临时公钥,Client向Server发送ClientHello,ClientHello中携带Client的临时公钥;Server生成Server的临时私钥和临时公钥,向Client发送ServerHello,ServerHello中携带Server的临时公钥。进一步的,Server从ClientHello中获取Client的临时公钥,根据Server的临时私钥和Client的临时公钥,生成共享密钥;Client从ServerHello中获取Server的临时公钥,根据Server的临时公钥和Client的临时私钥,生成共享密钥。可以理解,Client生成的共享密钥与Server生成的共享密钥相同,也即,Client和Server协商出二者在后续认证阶段中使用的共享密钥。
第二轮交互:双方进行身份认证。
身份认证目前支持两种方式:
(1)预共享密钥认证:与第一轮交互中的预共享密钥交换模式对应。
Client使用基于预共享密钥推导的握手密钥(handshake key),计算前续交互信息的消息认证码(message authentication code,MAC),形成Finished消息1(可以理解,该Finished消息1中包括Client计算得到的MAC),向Server发送该Finished消息1。相应的,Server根据自己的预共享密钥推导得到的握手密钥,校验Finished消息1中的MAC,若校验通过,则确定Client与自己具有相同的预共享密钥。
同理的,Server使用基于预共享密钥推导的握手密钥,计算前续交互信息的MAC,形成Finished消息2(可以理解,Finished消息2中包括Server计算得到的MAC),向Client发送Finished消息2。相应的,Client根据自己的预共享密钥推导得到的握手密钥,校验Finished消息2中的MAC,若校验通过,则确定Server与自己具有相同的预共享密钥。
(2)证书认证:与第一轮交互中的密钥共享模式对应。证书(Certificate)又可称为是数字证书。
双向认证可包括Server认证Client,以及Client认证Server。
在Server认证Client的过程中:Client使用其证书对应的私钥对前续交互信息签名得到签名信息(certificate verify),以及,使用协商的共享密钥推导的握手密钥计算前续交互信息的MAC以形成Finished消息1。Client向Server发送Client的证书、签名信息和Finished消息1。相应的,Server根据Client的证书和签名信息验证Client的身份,以及,根据Finished消息1中的MAC确定自己推演得到的共享密钥与Client推演得到的共享密钥是同一个。
在Client认证Server的过程中:Server使用其证书对应的私钥对前续交互信息签名得到签名信息,以及,使用共享密钥推导的握手密钥计算前续交互信息的MAC,形成Finished消息2(可以理解,Finished消息2中包括Server计算得到的MAC),Server向Client发送Server的证书、签名信息和Finished消息2。相应的,Client根据Server的证书和签名信息验证Server的身份,以及,根据Finished消息2中的MAC确定自己推演得到的共享密钥与Server推演得到的共享密钥是同一个。
单向认证具体是Client认证Server,不再赘述。
此处,前续交互信息指的是之前Client和Server二者交互过程中传输的信息。比如,Client在使用预共享密钥推导的握手密钥计算前续交互信息的MAC之前,Client已经向Server发送了ClientHello,Server也已经向Client发送了ServerHello,那么前续交互信息包括ClientHello和ServerHello。
两轮交互完成后,双方可以推导共同的保护密钥,用来对后续应用层数据进行保护。
二、快速用户数据报协议互联网连接(quick user datagram protocol internetconnection,QUIC)协议的安全机制
QUIC协议使用了TLS协议的握手协议建立保护密钥,该保护密钥用于后续保护QUIC数据包。TLS协议的握手协议运行的前提是,Client和Server二者预共享一个密钥,Client和Server各自基于预共享密钥对对方的身份进行认证;或者,Client和Server双方预配置各自的证书,Client和Server各自基于对方的证书对对方的身份进行认证;或者,Server单方预配置Server的证书,Client基于Server的证书,对Server的身份进行认证。也即,可以理解,在Server和Client基于QUIC协议传输数据之前,也需要协商预共享密钥,或者双方或单方预配置有证书,以建立相关的安全机制。
三、5G网络架构
图1为一种通信系统架构示意图。图1所示的通信系统架构中可包括三部分,分别是终端设备部分、数据网络(data network,DN)和运营商网络部分。下面对其中的部分网元的功能进行简单介绍说明。
其中,运营商网络可包括以下网元中的一个或多个:
鉴权服务器功能(authentication Server function,AUSF)、网络开放功能(network exposure function,NEF)、策略控制功能(policy control function,PCF)、统一数据管理(unified data management,UDM)、统一数据库(unified data repository,UDR)、网络存储功能(network repository function,NRF)、接入与移动性管理功能(access and mobility management function,AMF)、会话管理功能(session managementfunction,SMF)、用户面功能(user plane function,UPF)、安全锚点功能(securityanchor function,SEAF)、鉴权存储和处理功能(authentication repository andprocessing function,ARPF)、以及接入网等。
上述运营商网络中,除无线接入网部分之外的部分可以称为核心网部分。在一种可能的实现方法中,运营商网络中还包括应用功能(application function,AF)。或者,AF也可能不属于运营商网络,而是属于第三方。AF主要作用就是告诉PCF最新的第三方对于某个应用的业务要求。PCF会根据要求生成相应的服务质量(quality of service,QoS)规则,确保网络提供的服务满足第三方所提出的要求。
终端设备(terminal device),又可称为是用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。终端设备中存储有长期密钥,和相关函数。在进行双向鉴权的时候,终端设备会使用长期密钥和相关函数验证网络的真实性。如下为方便描述,以终端设备是UE为例说明,本申请中可以将UE替换为终端设备。
上述UE可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。UE还可通过运营商网络访问DN,使用DN上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和UE之外的服务方,可为UE提供数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
核心网部分包括用户面功能和控制面功能。
用户面功能即是UPF。UPF作为和数据网络的接口,完成用户面数据(如分组数据包)的转发、QoS控制、基于会话/流级的计费统计,带宽限制等功能。
控制面功能主要进行用户注册认证、移动性管理、向用户面功能下发数据包转发策略、QoS控制策略等。控制面功能可以进一步细化包括除UPF之外的其它网元,如AMF、SMF、SEAF等。
AMF,主要进行用户接入时的注册流程,以及用户移动过程中的位置管理、接入鉴权/授权等功能。此外,还负责在UE与PCF间传递用户策略。
SMF,主要进行用户发起业务时建立相应的会话连接,为用户提供具体服务,如基于SMF与UPF之间的NG4接口向UPF下发数据包转发策略、QoS策略等功能。
SEAF,主要负责向AUSF发起鉴权请求,在认证与密钥协商(authentication andkey agreement,AKA)流程中完成网络侧对UE的认证。可选的,SEAF作为AMF的一部分。
AUSF,主要负责对用户进行鉴权,确定UE的合法性,以确定是否允许UE接入网络。示例性的,AUSF可用于接收SEAF发送的鉴权请求;选择鉴权方法;在使用AKA流程的时候,完成网络侧对UE的鉴权;向ARPF要鉴权向量;回复鉴权响应给SEAF,生成锚点密钥(anchorkey)等。
ARPF,存储长期密钥;接收AUSF的鉴权向量请求;用长期密钥计算鉴权向量;将鉴权向量发给AUSF。
UDM,主要负责存储UE的签约数据、用户接入授权等功能。
UDR,主要负责签约数据、策略数据、应用数据等类型数据的存取功能。
PCF,主要负责向AMF或SMF下发业务相关的策略。
NEF,主要用于支持能力和事件的开放。示例性的,NEF用于与第三方交互,使第三方可以间接与某些3GPP网络内部的网元进行交互。
AF,主要向PCF传递应用侧对网络侧的需求,使得PCF生成对应的策略。AF可以是第三方功能实体,也可以是运营商部署的应用服务,如网络协议(internet protocol,IP)多媒体子系统(IP multimedia subsystem,IMS)语音呼叫业务。
NRF,可用于提供网元发现功能,基于其他网元的请求,提供网元类型对应的网元信息。NRF还提供网元管理服务,如网元注册、更新、去注册以及网元状态订阅和推送等。
DN,是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为UE提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为UE,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为UE,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
图1中Nausf、Nnef、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP协议中定义的含义,在此不做限制。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,上述网元或者功能可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作限定。还可将本申请中的功能称为是功能实体、实体、网元、功能网元等,如,可将会话管理功能称为是会话管理实体、会话管理网元等。本申请实施例中的接入与移动性管理功能(又可称为是接入管理功能)、用户面功能、会话管理功能分别以是图1中的AMF、UPF、SMF为例说明,当然还可以是未来通信如第六代(6thgeneration,6G)网络中具有上述AMF、UPF、SMF的功能的网元,本申请实施例对此不限定。
接入网是运营商网络的子网络,是运营商网络中业务节点与UE之间的实施系统。UE要接入运营商网络,首先是经过接入网,进而可通过接入网与运营商网络的业务节点连接。
接入网可以包括3GPP接入网和/或非3GPP接入网,即UE可以通过3GPP接入网和/或非3GPP接入网接入至核心网中。非3GPP接入网是指3GPP以外的接入网,如无线局域网(wireless local area networks,WLAN)、无线保真(wireless fidelity,Wi-Fi)网络、全球微波互联接入(worldwide interoperability for microwave access,WiMAX)、固定网络等。UE在3GPP接入网中的接入类型可以称为3GPP接入(3GPP access),UE在非3GPP接入网中的接入类型可以称为非3GPP接入(non 3GPP access)。UE通过3GPP接入和非3GPP接入分别接入至核心网中的示意图可参见下述关于ATSSS功能的说明。
3GPP接入网的接入设备可以包括但不限于:5G中的下一代基站(g nodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(basetransceiver station,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseBand unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等。UE和3GPP接入网的接入设备之间传输的消息可以是无线资源控制(radio resource control,RRC)消息、用户面(user plane,UP)消息等。为方便描述,可以将3GPP接入网的接入设备统称为无线接入节点(radio accessnode,RAN)。
非3GPP接入网的接入设备可以包括但不限于:非3GPP转换功能(non 3GPPinterworking function,N3IWF)设备、下一代接入网关(next generation packet datagateway,ngPDG)。N3IWF类似于长期演进(long term evolution,LTE)中的演进的分组数据网关(evolved packet data gateway,ePDG),在5G中用于UE通过非3GPP接入网接入核心网时,和UE建立互联网协议安全性(internet protocol security,IPsec)隧道。例如,N3IWF设备可以包括路由器等。
四、ATSSS
在ATSSS场景中,UE支持一个或多个转向功能(sterring functionality),转向功能比如是多路径传输控制协议(multipath transmission control protocol,MPTCP)功能、多路径快速用户数据报协议互联网连接(multipath quick user datagram protocolinternet connections,MPQUIC)功能、ATSSS低层(ATSSS lower layer,ATSSS-LL)功能等。UE在使用上述某个转向功能时,具体可以是,UE根据网络提供的ATSSS规则,允许跨3GPP接入和非3GPP接入进行业务流量的转向、切换和分流。
UPF可以支持MPTCP代理功能,该功能通过使用MPTCP协议与UE中的MPTCP功能通信。UPF可以支持MPQUIC代理功能,该功能通过使用MPQUIC协议与UE中的MPQUIC功能通信。UPF还可以支持ATSSS-LL功能,此功能类似于为UE定义的ATSSS-LL功能。此外,UPF支持性能测量功能(performance measurement function,PMF),UE可以使用PMF在3GPP接入的用户面和/或在非3GPP接入的用户面测量对应接入上的性能。
ATSSS场景中实现了多接入的协议数据单元(protocol data unit,PDU)连接服务,该服务可以同时使用一个3GPP接入网和一个非3GPP接入网,在UE和DN之间交换PDU。多接入PDU连接服务是通过建立MA PDU会话来实现的,即在两个接入网上建立用户面资源的PDU会话。这假设PDU会话的单个网络切片选择辅助信息(single network sliceselection assistance information,S-NSSAI)同时允许3GPP接入和非3GPP接入。换言之,MA PDU会话是提供多接入的PDU连接服务的PDU会话,可以一次使用一个接入,也可以同时使用一个3GPP接入和一个非3GPP接入。
当UE通过3GPP接入和非3GPP接入进行注册时,或者,当UE仅通过一个接入进行注册时,UE可以请求MA PDU会话。在MA PDU会话建立后,当两个接入网上都有用户面资源时,UE应用网络提供的策略(如ATSSS规则),并考虑本地条件(如网络接口可用性、信号丢失条件、用户偏好等)来决定如何在两个接入网上分配上行流量。类似地,MA PDU会话的UPF锚点应用网络提供的策略(如N4规则)和通过用户面从UE接收的反馈信息(如接入网不可用或可用性),决定如何在两个N3/N9隧道和两个接入网上分配下行流量。当只有一个接入网上有用户面资源时,UE应用ATSSS规则,并考虑触发在另一个接入上建立或激活用户面资源的本地条件。
在UE的同一个MA PDU会话中,可以使用MPTCP功能引导TCP流,使用MPQUIC功能引导用户数据报协议(user datagram protocol,UDP)流,使用ATSSS-LL功能引导所有其他流。对于相同的数据包流,仅应使用一种转向功能。UE中的所有转向功能应使用相同的ATSSS规则集作出ATSSS决策(即决定如何转向、切换和分割流量)。同样,UPF中的所有ATSSS决定都应通过适用支持ATSSS的同一套N4规则来做出。当MA PDU会话建立时,ATSSS规则和支持ATSSS的N4规则分别提供给UE和UPF。如果UE支持多种转向功能,例如MPTCP功能和ATSSS-LL功能,或MPTCP功能、MPQUIC功能和ATSSS-LL功能,它应使用提供的ATSSS规则来决定应用于特定数据包流的转向功能。
结合图1,如图2为在非漫游和使用本地突破架构的漫游(non-roaming androaming with local breakout architecture)情况下,UE通过3GPP接入和非3GPP接入注册到公共陆地移动网络(public land mobile network,PLMN)时ATSSS支持的5G系统架构。
结合图1,如图3为在漫游情况下,UE通过3GPP接入和非3GPP接入注册到同一拜访公共陆地移动网络(visit public land mobile network,V-PLMN)时,ATSSS支持的5G系统架构。在这种情况下,MPTCP代理功能、MPQUIC代理功能、ATSSS-LL代理功能和PMF位于归属UPF(home UPF,H-UPF)中。
结合图1,如图4为当UE通过3GPP接入注册到V-PLMN和通过非3GPP接入注册到归属公共陆地移动网络(home public land mobile network,H-PLMN)(即,UE注册到不同的PLMN)时,在漫游情况下支持ATSSS的5G系统架构。在这种情况下,MPTCP代理功能、MPQUIC代理功能、ATSSS-LL代理功能和PMF位于H-UPF中。
其中各网元的说明可参见图1相关实施例中的描述。
五、MPQUIC连接的协议栈
参见图5示例性示出的一种MPQUIC连接的协议栈架构图,相比于传统5G用户面协议栈,粗线框部分为新增的协议栈。以UE向UPF发送数据(即PDU包)为例,PDU包在经过MPQUIC层时,MPQUIC层对PDU包进行TLS加密,得到TLS加密之后的PDU包。随后,TLS加密之后的PDU包依次经由UDP层和网际互连协议(internet protocol,IP)层封装为IP包。UE将IP包经过空口安全保护传输至RAN。RAN基于空口安全保护进行解密并逐层解封装,得到通用分组无线业务(general packet radio service,GPRS)隧道协议-用户面(GPRS tunnellingprotocol for user plane,GTP-U)层的GTP-U包,随后,GTP-U层对GTP-U包进行IPsec安全保护的加密,并将经IPsec安全保护加密的GTP-U包经过IPsec隧道传输到UPF,UPF对IPsec安全保护加密的GTP-U包进行解加密,得到GTP-U包,再在MPQUIC层根据TLS协议进行解密,获取到真正的PDU包。如此可知,UE与UPF建立MPQUIC连接之后,会经过两层安全保护,其中一层是MPQUIC层基于TLS技术的安全保护(或者称为是,UE和UPF之间的端到端的安全保护),另外一层是3GPP安全保护,3GPP安全保护具体包括空口安全保护和IPsec安全保护。
基于上述对本申请实施例所涉及的相关技术特征的解释,如下详细说明本申请实施例。
UE与UPF可建立MA PDU会话,此种会话支持多条接入路径(比如,包括通过3GPP接入的路径和通过非3GPP接入的路径),且数据可以在不同的接入路径上进行传输。ATSSS功能进一步支持MPQUIC功能。也即,对于支持ATSSS功能的UE,UE可支持与UPF建立与MA PDU会话关联的MPQUIC连接。UE和UPF建立MPQUIC连接的过程中,如何实现安全方案是目前亟待解决的技术问题。
为此,本申请提供三种通信方法,用于在建立UE与UPF之间的MPQUIC连接的过程中,实现安全方案。如下将UE与UPF之间的MPQUIC连接简称为MPQUIC连接。
在第一种通信方法中,UE和UPF各自预配置有相同的密钥(可称为是预配置密钥),UE和UPF可基于该预配置密钥建立MPQUIC连接。
在第二种通信方法中,SMF指示第一功能和UE推演得到相同的密钥(可称为是共享密钥),SMF还将第一功能推演得到的该共享密钥发送给UPF。如此,UE和UPF均存储有该共享密钥,UE和UPF可基于该共享密钥建立MPQUIC连接。第一功能可以是AMF、AUSF或SEAF。本申请中,第一功能又可称为是第一实体、第一网元、第一功能实体、第一功能网元等。
在第三种通信方法中,SMF指示UPF向CA申请UPF的证书,UPF向UE发送UPF的证书,UE可以根据UPF的证书对UPF进行认证。在单向认证中,UE可在确定UPF通过认证之后,根据二者协商的共享密钥与UPF建立MPQUIC连接。在双向认证中,SMF还向CA申请UE的证书,将UE的证书发送给UE,UE再向UPF发送UE的证书,UPF根据UE的证书对UE进行认证。UE在确定UPF通过认证之后,根据二者协商的共享密钥与UPF建立MPQUIC连接;UPF在确定UE通过认证之后,根据该二者协商的共享密钥与UE建立MPQUIC连接。
如下分别对第一种通信方法至第三种通信方法依次说明:
参见图6示例性提供的第一种通信方法的流程示意图:
步骤601,在第一UE的第一MA PDU会话建立完成之后,第一UE与第一UPF协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。
其中,第一UE的第一MA PDU会话的建立流程可参见3GPP TS23.502协议中描述。
第一UE和第一UPF中均存储有相同的预配置密钥。可选的,第一UE和第一UPF中还存储有该预配置密钥的标识。在一个可能方式中,第一UE与第一UPF协商建立第一MPQUIC连接时,具体可以是,第一UE在希望使用预配置密钥与第一UPF进行第一MPQUIC连接的建立时,向第一UPF发送预配置密钥的标识。相应的,第一UPF根据预配置密钥的标识,确定预配置密钥,进而在同意使用预配置密钥与第一UE进行第一MPQUIC连接的建立的情况下,向第一UE发送预配置密钥的标识。如此,二者即对进行第一MPQUIC连接的建立时使用的密钥(即预配置密钥)协商一致。
示例性的,第一UE和第一UPF分别是TLS协议中Client和Server,第一UE在希望使用预配置密钥与第一UPF进行第一MPQUIC连接的建立时,向第一UPF发送第一消息(例如ClientHello),第一消息中携带预配置密钥的标识。相应的,第一UPF接收来自第一UE的第一消息,根据第一消息中的预配置密钥的标识,确定预配置密钥,也即,获知第一UE希望使用预配置密钥与第一UPF进行第一MPQUIC连接的建立,进一步的,第一UPF在同意使用预配置密钥与第一UE进行第一MPQUIC连接的建立的情况下,向第一UE发送第二消息(例如ServerHello),第二消息中携带预配置密钥的标识,可认为,第二消息是第一UPF响应于第一消息发送的。如此,第一UE和第一UPF协商出二者能够使用预配置密钥进行第一MPQUIC连接的建立。该方式有助于更好的兼容现有TLS协议中Client与Server建立连接的方式。
第一MPQUIC连接与第一MA PDU会话关联,具体可以是,MPQUIC连接是第一MA PDU会话中的连接,或,MPQUIC连接用于传输第一MA PDU会话中的数据等。
此外,第一UE和第一UPF还可以协商二者传输数据时使用的算法套(cipher-suit)。示例性的,第一UE向第一UPF发送其支持的一个或多个算法套的标识,第一UPF从该一个或多个算法套中选择自己支持的一个算法套,将该选择出的算法套的标识发送给第一UE。如此,二者即协商出二者都支持的、可用于数据传输时使用的算法套。示例性的,算法套中包括加密算法、加密模式、完整性保护算法和哈希算法中一项或多项。
如图7为本申请示例性提供的多个算法套,以算法套TLS_CHACHA20_POLY1305_SHA256为例说明,其中,CHACHA20是加密算法,POLY1305是完整性保护算法,SHA256是哈希算法,该算法套的标识是{0x13,0x03};再以TLS_AES_128_GCM_SHA256为例说明,其中,AES_128是加密算法,GCM是加密模式,SHA256是哈希算法,该算法套的标识为{0x13,0x01}。例如,第一UE支持的算法套是TLS_CHACHA20_POLY1305_SHA256和TLS_AES_128_GCM_SHA256,那么第一UE可向第一UPF发送该两个算法套的标识,即{0x13,0x03}和{0x13,0x01}。相应的,第一UPF若确定自己支持TLS_CHACHA20_POLY1305_SHA256,则向第一UE发送{0x13,0x03}。如此,二者即协商出二者能够使用算法套TLS_CHACHA20_POLY1305_SHA256来进行数据传输。
示例性的,第一UE向第一UPF发送第一UE支持的算法套的标识时,具体可以是,第一UE向第一UPF发送第一消息,该第一消息中携带第一UE支持的算法套的标识,也即是,第一消息中不仅可以携带预配置密钥的标识,还可携带第一UE支持的算法套的标识。第一UPF向第一UE发送第一UPF选择的算法套的标识时,具体可以是,第一UPF向第一UE发送第二消息,第二消息中携带第一UPF选择的算法套的标识,也即是,第二消息中不仅可以携带预配置密钥的标识,还可携带第一UPF选择的算法套的标识。
本申请中,预配置密钥又可称为是预共享密钥(PSK)。可选的,第一消息中还可包括psk_key_share_modes扩展项,用于指示第一UE使用预共享密钥(即预配置密钥)的方式进行认证。
步骤602,第一UE根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥(记为第一保护密钥),第一MPQUIC连接的数据由第一UE与第一UPF之间的多条路径传输。
其中,第一保护密钥用于第一UE与第一UPF传输第一MPQUIC连接的数据,具体的,第一保护密钥包括上行保护密钥和下行保护密钥。第一保护密钥中的上行保护密钥,可用于第一UE保护第一UE向第一UPF发送的上行数据,此处的保护包括加密保护和/或完整性保护;第一保护密钥中的下行保护密钥,可用于第一UE解密和/或校验第一UE接收的来自第一UPF的下行数据。第一保护密钥比如是1-往返时间(round-trip time,RTT)密钥。
或者理解,位于同一个PLMN中的多个UPF均存储有相同的预配置密钥。如此,预配置密钥不仅可用于第一UE与第一UPF建立第一MPQUIC连接,还可用于第一UE与第二UPF建立第二MPQUIC连接,其中,第一UPF和第二UPF位于同一个PLMN内。可选的,位于同一个PLMN中的多个UPF中还存储有该预配置密钥的标识。
在一个具体示例中,在第一UE的第二MA PDU会话建立完成之后,第一UE与第二UPF协商建立第二MPQUIC连接,第二MPQUIC连接与第二MA PDU会话关联。第一UE根据预配置密钥,推演得到用于保护第二MPQUIC连接的数据的密钥。同理的,第二UPF根据预配置密钥,推演得到用于保护第二MPQUIC连接的数据的密钥。第二MPQUIC连接的数据由第一UE与第二UPF之间的多条路径传输。
在一个具体示例中,在第一UE的第二MA PDU会话建立过程中,第一UE向SMF发送PDU会话建立请求,PDU会话建立请求中包括UE请求的数据网络名称(data network name,DNN),该数据网络名称不同于第一MA PDU会话对应的数据网络名称,SMF根据UE请求的数据网络名称,选择为该数据网络名称提供服务的UPF(即第二UPF),进而为UE建立第二MA PDU会话。
步骤603,第一UPF根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥(记为第二保护密钥)。
第二保护密钥用于第一UPF与第一UE传输第一MPQUIC连接的数据,具体的,第二保护密钥包括上行保护密钥和下行保护密钥。第二保护密钥中的上行保护密钥,可用于第一UPF解密和/或校验第一UPF接收的来自第一UE的上行数据;第一保护密钥中的下行保护密钥,可用于第一UPF保护第一UPF向第一UE发送的下行数据,此处的保护包括加密保护和/或完整性保护。第二保护密钥比如是1-RTT密钥。
或者理解,位于同一个H-PLMN中的多个UE均存储有相同的预配置密钥。如此,预配置密钥不仅可用于第一UPF与第一UE建立第一MPQUIC连接,还可用于第一UPF和第二UE建立第三MPQUIC连接,其中,第一UE和第二UE位于同一个H-PLMN内。可选的,位于同一个H-PLMN中的多个UE中还存储有该预配置密钥的标识。
在一个具体示例中,在第二UE的第三MA PDU会话建立完成之后,第一UPF与第二UE协商建立第三MPQUIC连接,第三MPQUIC连接与第三MA PDU会话关联。第一UPF根据预配置密钥,推演得到用于保护第三MPQUIC连接的数据的密钥。同理的,第二UE根据预配置密钥,推演得到用于保护第三MPQUIC连接的数据的密钥。第三MPQUIC连接的数据由第二UE与第一UPF之间的多条路径传输。
需要指出的是,该预配置密钥还可用于第三UE与第三UPF建立MPQUIC连接,其中,第三UE与第一UE属于同一个H-PLMN,和/或,第三UPF与第一UPF属于同一个PLMN。第三UE与第三UPF建立MPQUIC连接的方式,可参见上述步骤601至步骤603中的描述。
还需要指出的是,本申请不限定步骤602和步骤603的顺序,也即,不限定UE推演得到第一保护密钥,与UPF推演得到第二保护密钥二者的先后顺序,该说明也可适用于下述实施例中,例如下述图11相关实施例中,不限定步骤1107和步骤1108的先后顺序,再例如下述图12相关实施例中,不限定步骤1213和步骤1214的先后顺序等。此外,本申请相互之间没有时序依赖关系的步骤之间也没有严格的执行顺序。
可选的,还包括:
步骤604,第一UE和第一UPF传输第一MPQUIC连接的数据。
第一UE和第一UPF传输第一MPQUIC连接的数据,具体可包括:第一UE使用第一保护密钥中的上行密钥保护向第一UPF发送的上行数据,相应的,第一UPF使用该第二保护密钥中的上行密钥解密和/或校验来自第一UE的上行数据;和/或,第一UPF使用第二保护密钥中的下行密钥保护向第一UE发送下行数据,相应的,第一UE使用该第一保护密钥中的下行密钥解密和/或校验来自第一UPF的下行数据。
进一步的,在第一UE与第一UPF协商算法套时,第一UE和第一UPF还能够使用协商出的算法套进行第一MPQUIC连接的数据的传输。也即是,第一UE能够使用第一保护密钥中的上行密钥和协商出的算法套,保护向第一UPF发送的上行数据,第一UPF使用该第二保护密钥中的上行密钥和协商出的算法套,解密和/或校验来自第一UE的上行数据;和/或,第一UPF使用第二保护密钥中的下行密钥和协商出的算法套,保护向第一UE发送的下行数据,第一UE使用该第一保护密钥中的下行密钥和协商出的算法套,解密和/或校验来自第一UPF的下行数据。
例如,算法套是TLS_CHACHA20_POLY1305_SHA256,当第一UE向第一UPF发送上行数据时,第一UE根据CHACHA20和第一保护密钥中的上行密钥,对上行数据进行加密,以及,根据POLY1305、SHA256和第一保护密钥中的上行密钥对上行数据进行哈希以得到MAC,向第一UPF发送加密后的上行数据和MAC。第一UPF根据CHACHA20和第二保护密钥中的上行密钥,对接收到的上行数据进行解密,以及,根据SHA256、POLY1305和第二保护密钥中的上行密钥对接收到的上行数据进行完整性校验。
进一步的,第一MPQUIC连接可包括多个传输路径,也即是,第一MPQUIC连接可用于第一UE与第一UPF之间通过多条路径传输数据。示例性的,第一UE可同时使用多个传输路径传输数据,也可以从多个传输路径中选择一条传输路径来传输数据。
例如,第一MPQUIC连接包括传输路径1和传输路径2。进一步的,传输路径1是3GPP接入对应的传输路径,传输路径2是非3GPP接入对应的传输路径,其中,传输路径1涉及的设备可包括:第一UE、3GPP接入网的接入设备(如gNB、eNB等)、第一UPF;传输路径2涉及的设备可包括:第一UE、非3GPP接入设备(如N3IWF或ngPDG等)、第一UPF。或者,传输路径1是3GPP接入对应的传输路径,传输路径2也是3GPP接入对应的传输路径,其中,传输路径1涉及的设备可包括:第一UE、3GPP接入网的接入设备1、第一UPF;传输路径2涉及的设备可包括:第一UE、3GPP接入网的接入设备2、第一UPF。进一步的,第一UE与第一UPF可同时通过传输路径1和传输路径2传输数据,如使用传输路径1传输数据1,以及,使用传输路径2传输数据2。或者,第一UE与第一UPF也可以选择传输路径1和传输路径2中的一条传输路径传输数据,如选择传输路径1传输数据3。
需要指出的是,第一MA PDU会话中包括M个QoS流,每个QoS流可以对应于一个MPQUIC连接,M为大于或等于1的整数。一个具体实现中,在第一UE的第一MA PDU会话建立完成之后,第一UE建立M条MPQUIC连接,每条MPQUIC连接用于携带对应QoS流中的UDP流量的数据。比如,第一MA PDU会话中包括QoS流1至QoS流3,在第一UE的第一MA PDU会话建立完成之后,第一UE建立MPQUIC连接1至MPQUIC连接3,该MPQUIC连接1至MPQUIC连接3分别与QoS流1至QoS流3对应,也即是MPQUIC连接1可用于传输QoS流1的UDP流量,MPQUIC连接2可用于传输QoS流2的UDP流量,MPQUIC连接3可用于传输QoS流3的UDP流量。作为一种可选方式,第一UE建立N条MPQUIC连接,N大于M。也可以理解,第一MA PDU会话与M个MPQUIC连接(或N个MPQUIC连接)关联,该M个MPQUIC连接(或N个MPQUIC连接)中包括第一MPQUIC连接和第四MPQUIC连接。随后,第一UE根据预配置密钥,推演得到分别用于保护第一MPQUIC连接和第四MPQUIC连接的数据的密钥,以及,第一UPF根据预配置密钥,推演得到分别用于保护第一MPQUIC连接和第四MPQUIC连接的数据的密钥。进一步的,不同MPQUIC连接对应的保护密钥不同,也即,用于保护第一MPQUIC连接的数据的密钥与用于保护第四MPQUIC连接的数据的密钥不同。
结合图6相关实施例中描述,如图8为本申请示例性提供的第一种通信方法的具体实现。在该具体实现中,第一UE和第一UPF可通过TLS协议中的协商方式进行协商,第一UE和第一UPF分别是TLS协议中Client和Server。可以认为下述步骤801至步骤806是步骤601的一个具体实现方式。在第一UE和第一UPF通过TLS协议中的协商方式进行协商之后,第一UE和第一UPF建立第一MPQUIC连接。
参见图8中流程图:
步骤801,在第一UE的第一MA PDU会话建立完成之后,第一UE向第一UPF发送第一消息,相应的,第一UPF接收来自第一UE的第一消息。
示例性的,第一消息中携带第一UE支持的算法套的标识、预配置密钥的标识、psk_key_share_modes。预配置密钥的标识比如是0x00。第一UE支持的算法套的标识比如是{0x13,0x03}。
其中,第一MA PDU会话、预配置密钥、预配置密钥的标识的说明,可参见上述步骤601中描述。
步骤802,第一UPF向第一UE发送第二消息,相应的,第一UE接收来自第一UPF的第二消息。
在一个具体实现中,第一UPF从第一消息中获取第一UE支持的算法套的标识、预配置密钥的标识和psk_key_share_modes,其中,预配置密钥的标识是0x00,算法套标识是{0x13,0x03}。第一UPF根据psk_key_share_modes和预配置密钥的标识0x00,确定第一UE希望使用预配置密钥的方式与第一UPF建立第一MPQUIC连接,且使用的预配置密钥的标识是0x00。第一UPF还从第一UE支持的算法套的标识中选择第一UPF支持的算法套,比如,选择的算法套标识是{0x13,0x03}。第一UPF向第一UE发送第二消息,该第二消息中即包括预配置密钥的标识0x00和算法套的标识{0x13,0x03}。
在步骤801和步骤802中,第一UE和第一UPF二者协商好在建立第一MPQUIC连接时使用的预配置密钥和算法套,进一步的,第一UE对第一UPF进行认证(见步骤803至步骤804),以确定第一UPF使用的预配置密钥和自己使用的预配置密钥是否一致;以及第一UPF对第一UE进行认证(见步骤805至步骤806),以确定第一UE使用的预配置密钥和自己使用的预配置密钥是否一致。
步骤803,第一UPF向第一UE发送第三消息(例如Finished消息2),相应的,第一UE接收来自第一UPF的第三消息。其中,第三消息中携带第二MAC。
示例性的,第一UPF根据预配置密钥推演得到第二握手密钥,再根据第二前续交互信息和第二握手密钥,确定第二MAC。其中,第二前续交互信息包括第一消息和第二消息,也即是,第二前续交互信息中包括第一UE支持的算法套的标识,预配置密钥的标识、psk_key_share_modes、第一UPF选择的算法套的标识和预配置密钥的标识。
步骤804,第一UE根据第三消息、第二前续交互信息和第一握手密钥,对第一UPF进行认证。本申请中,对第一UPF进行认证,具体可以是,对第一UPF进行身份认证。
一个具体实现中,第一UE根据预配置密钥推演得到第一握手密钥。第一UE从第三消息中获取第二MAC,再根据第二前续交互信息和第一握手密钥对第二MAC进行认证,当第二MAC认证通过时,第一UE确定第一UPF认证通过,即确定第一UPF使用的预配置密钥和自己使用的预配置密钥是一致的,当第二MAC认证不通过时,第一UE确定第一UPF认证不通过,即确定第一UPF使用的预配置密钥和自己使用的预配置密钥是不一致的。
步骤805,第一UE在确定第一UPF认证通过之后,向第一UPF发送第四消息(例如Finished消息1),第四消息中携带第一MAC。相应的,第一UPF接收到来自第一UE的第四消息。
一个具体实现中,第一UE根据第一前续交互信息和第一握手密钥,确定第一MAC,第一前续交互信息包括第二消息和第一消息,也即是,第一前续交互信息中包括第一UE支持的算法套的标识,预配置密钥的标识、psk_key_share_modes、第一UPF选择的算法套的标识和预配置密钥的标识。此外,第一前续交互信息中还可包括第三消息,即第二MAC。
步骤806,第一UPF根据第四消息、第一前续交互信息和第二握手密钥,对第一UE进行认证。本申请中,对第一UE进行认证,具体可以是,对第一UE进行身份认证。
一个具体实现中,第一UPF从第四消息中获取第一MAC,再根据第一前续交互信息和第二握手密钥对第一MAC进行认证,当第一MAC认证通过时,第一UPF确定第一UE认证通过,即确定第一UE使用的预配置密钥和自己使用的预配置密钥是一致的,当第一MAC认证不通过时,第一UPF确定第一UE认证不通过,即确定第一UE使用的预配置密钥和自己使用的预配置密钥是不一致的。
步骤807,第一UE根据预配置密钥,推演得到第一保护密钥。
具体实现可参见上述步骤602中描述。
步骤808,第一UPF根据预配置密钥,推演得到第二保护密钥。
具体实现可参见上述步骤603中描述。
步骤809,第一UE和第一UPF传输第一MPQUIC连接的数据。
具体实现可参见上述步骤604中描述。
可以理解的是,本申请实施例是以第一UE先认证第一UPF,第一UPF再认证第一UE为例说明。当然还可以是,第一UPF先认证第一UE,第一UE再认证第一UPF。示例性的,第一UE根据第一前续交互信息和第一握手密钥确定第一MAC,向第一UPF发送第四消息,第四消息中携带第一MAC。第一UPF从第四消息中获取第一MAC,根据第一前续交互信息和第二握手密钥,对第一MAC进行认证,即对第一UE进行认证。进一步的,第一UPF确定第一UE认证通过之后,根据第二前续交互信息和第二握手密钥确定第二MAC,向第一UE发送第三消息,其中,第三消息中携带第二MAC。相应的,第一UE从第三消息中获取第二MAC,根据第二前续交互信息和第一握手密钥,对第二MAC进行认证,即对第一UPF进行认证。在第一UE确定第一UPF认证通过之后,第一UE和第一UPF建立第一MPQUIC连接。
需要解释的是,在上述步骤602(或步骤807)之后,即可认为是第一UE根据预配置密钥与第一UPF建立了第一MPQUIC连接;在上述步骤603(或步骤808)之后,即可认为是第一UPF根据预配置密钥与第一UE建立了第一MPQUIC连接。又或者,在上述步骤804中第一UE确定第一UPF通过认证,即可认为是第一UE根据预配置密钥与第一UPF建立了第一MPQUIC连接;在上述步骤806中第一UPF确定第一UE通过认证,即可认为是第一UPF根据预配置密钥与第一UE建立了第一MPQUIC连接。该说明还可应用于下述第二种通信方法和第三种通信方法中,区别在于,在第二种通信方法和第三种通信方法中,UE和UPF在建立MPQUIC连接时使用的密钥是共享密钥,而非预配置密钥;且第二种通信方法和第三种通信方法中无需区分第一UE、第二UE和第三UE,以及无需区分第一UPF、第二UPF和第三UPF。
在上述第一种通信方法中,在第一UE的第一MA PDU会话建立完成之后,第一UE和第一UPF根据预配置密钥建立第一MPQUIC连接,在第一UE和第一UPF建立第一MPQUIC连接的过程中实现安全。
进一步的,由于第一MA PDU会话已经建立,如果用户面安全保护开启,那么第一UE和第一UPF在协商过程中传输的消息已经是基于3GPP安全保护的。具体的,在上述步骤601中,第一UE向第一UPF发送的预配置密钥的标识,或者,第一UPF向第一UE发送的预配置密钥的标识,均是基于3GPP安全保护的。或者,在上述步骤801至步骤805中,第一消息、第二消息、第三消息、第四消息均是基于3GPP安全保护的,具体说明可参见图5相关实施例中描述。如此,有助于提高消息传输的安全性。
且由于已经建立了3GPP安全保护,所以,本申请实施例设定第一UE和第一UPF使用预配置密钥进行MPQUIC连接的建立,避免第一UE与第一UPF建立MPQUIC连接过程时不必要的交互和计算。预配置密钥不仅用于第一UE与第一UPF建立第一MPQUIC连接,还用于第一UE与第二UPF建立第二MPQUIC连接,第一UPF和第二UPF位于同一个PLMN内,也即是,预配置密钥可用于UE与位于同一个PLMN内多个UPF建立MPQUIC连接,如此,降低UE建立MPQUIC连接的复杂度。此外,预配置密钥不仅用于第一UPF与第一UE建立第一MPQUIC连接,还用于第一UPF与第二UE建立第三MPQUIC连接,第一UE和第二UE位于同一个H-PLMN内,也即是,预配置密钥可用于UPF与位于同一个H-PLMN内的多个UE建立MPQUIC连接,如此,降低UPF建立MPQUIC连接的复杂度。
参见图9示例性提供的第二种通信方法的流程示意图,该第二种通信方法具体可以适用于为UE建立MA PDU会话的过程中。MA PDU会话的建立流程可参见3GPP TS23.502协议中描述。
步骤901,SMF从第一功能中获得共享密钥。
共享密钥用于推演得到用于保护UE与UPF之间MPQUIC连接中数据的密钥,共享密钥的作用与第一种通信方法中的预配置密钥的作用类似,不再赘述。MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输,MPQUIC连接、MA PDU会话、MPQUIC连接和MA PDU会话之间的关系,可参见第一种通信方法中关于第一MPQUIC连接、第一MA PDU会话、第一MPQUIC连接和第一MA PDU会话之间的关系的描述。
第一功能可以是AMF、SEAF或AUSF。
在一个可能实现方式中,SMF从第一功能获得共享密钥,具体可以是,SMF向第一功能发送第二指示。第一功能接收来自SMF的第二指示,根据第二指示,推演得到共享密钥,向SMF发送共享密钥。相应的,SMF接收来自第一功能的共享密钥。其中,第二指示用于指示第一功能推演得到共享密钥。示例性的,第二指示可以是密钥推演指示、UE到UPF的端到端的密钥推演指示、MPQUIC密钥推演指示、预共享密钥模式(PSK mode)等。示例性的,第二指示包含于密钥推演请求中。
在一个可能实现方式中,SMF向第一功能发送第二指示和第一参数,第一功能根据第二指示确定需要推演得到共享密钥,进而根据第一参数和上级密钥推演得到共享密钥。示例性的,第一参数可包含于密钥推演请求中。第一参数至少包括如下一项或多项:UE的标识、MA PDU会话的标识、共享密钥的标识。
进一步的,当第一功能是AMF时,上级密钥至少包括如下一项或多项:RAN密钥、AMF密钥,也即是,AMF可以从AMF密钥推演得到共享密钥,具体可参见图10中方向一,或者,AMF还可从RAN密钥推演得到共享密钥,具体可参见图10中方向二;当第一功能是SEAF时,上级密钥可以是SEAF密钥,也即是,SEAF可以从SEAF密钥推演得到共享密钥,具体可参见图10中方向三;当第一功能是AUSF时,上级密钥可以是AUSF密钥,也即是,AUSF可以从AUSF密钥推演得到共享密钥,具体可参见图10中方向四。如图10中,KAUSF、KSEAF、KAMF、KgNB、KNASenc、KNASint分别是AUSF密钥、SEAF密钥、AMF密钥、gNB密钥(即RAN密钥)、非接入层(non-access stratum,NAS)加密保护密钥、NAS完整性保护密钥,箭头表示推演方向。
本申请中,SMF不仅可以指示第一功能推演得到共享密钥,还可以指示UE推演得到共享密钥。示例性的,SMF向UE发送第一指示,相应的,UE接收来自SMF的第一指示,UE根据第一指示,推演得到共享密钥。其中,第一指示用于指示UE采用共享密钥的方式与UPF建立MPQUIC连接,或者理解,第一指示用于指示UE推演得到共享密钥,示例性的,第一指示可以是密钥推演指示、UE到UPF的端到端的密钥推演指示、MPQUIC密钥推演指示、预共享密钥模式等。
在一个可能实现方式中,SMF向UE发送第一指示,具体可以是,在UE的MA PDU会话建立过程中,SMF向UE发送第一指示。一个可能示例中,SMF向AMF发送N1N2消息传输(N1N2message transfer),N1N2消息传输中包括第一指示;AMF响应于N1N2消息传输,向RAN发送N2 PDU会话请求(N2 PDU session request),N2 PDU会话请求中包括第一指示;RAN响应于N2 PDU会话请求,向UE发送RRC重配置(RRC reconfiguration)消息,RRC重配置消息中包括第一指示。
在一个可能实现方式中,UE根据第一指示确定需要推演得到共享密钥,进而根据第一参数和上级密钥推演得到共享密钥。其中,第一参数至少包括如下一项或多项:UE的标识、MA PDU会话的标识、共享密钥的标识。此处,由于UE存储有UE的标识和MAPDU会话的标识,当第一参数中包括UE的已存储参数时,SMF可不向UE发送第一参数。上级密钥至少包括如下中一项或多项:SEAF密钥、RAN密钥、AMF密钥。AUSF密钥,具体推演方式可参见上述第一功能推演得到共享密钥的方式。
在一个可能实现方式中,SMF从第一功能中获得共享密钥之前,和/或,SMF向UE发送第一指示之前,SMF可确定使能MPQUIC连接对应的功能。
示例性的,SMF确定使能MPQUIC连接对应的功能时,具体可以是如下三种示例中一个:
示例1,UE向SMF发送UE的能力信息,UE的能力信息用于指示UE支持建立MPQUIC连接。SMF接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接。
其中,UE的能力信息具体可以是UE的ATSSS能力,该ATSSS能力中包括MPQUIC能力。
示例性的,UE向SMF发送会话建立请求,相应的,SMF接收来自UE的会话建立请求,该会话建立请求中携带UE的能力信息。进一步的,UE向SMF发送会话建立请求,具体可以是,UE向AMF发送会话建立请求,AMF选择SMF,AMF向SMF发送会话上下文请求,相应的,SMF接收来自AMF的会话上下文请求,其中,会话上下文请求中携带会话建立请求,也即是,会话上下文请求中携带UE的能力信息。会话建立请求具体是PDU会话建立请求(PDU sessionestablishment request),会话上下文请求具体是PDU会话创建会话管理上下文请求(PDUsession create SM context request),该说明也适用于其他实施例。
示例2,SMF确定支持MPQUIC连接对应的功能。或者理解,SMF使能(enable)MPQUIC连接对应的功能,也即是,SMF的MPQUIC连接对应的功能的状态是“使能”。
示例3,UE向SMF发送UE的能力信息,SMF接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接,且确定支持MPQUIC连接对应的功能。具体可参见示例1和示例2。
步骤902,SMF向UPF发送共享密钥,UPF接收来自SMF的共享密钥。
在一个可能实现方式中,SMF还向UPF发送共享密钥的标识,相应的,UPF接收来自SMF的共享密钥的标识,UPF将共享密钥的标识与共享密钥的对应存储。示例性的,SMF通过一条消息向UPF发送共享密钥和共享密钥的标识,该消息具体可以是N4会话建立(N4session establishment)请求。
其中,共享密钥的标识可以是由MAPDU会话的标识确定,具体可以有如下示例a和示例b。
示例a,共享密钥的标识是由第一功能和UE各自生成。
对于第一功能来说,SMF向第一功能发送MAPDU会话的标识,其中,MAPDU会话的标识可以包含于第一参数中,也可以作为单独的参数发送给第一功能。第一功能在推演得到共享密钥之后,还可根据MA PDU会话的标识生成共享密钥的标识,向SMF发送共享密钥的标识。对于UE来说,UE在推演得到共享密钥之后,还可根据MA PDU会话的标识生成共享密钥的标识,存储共享密钥和共享密钥的标识。
第一功能和UE使用相同的确定方式,确定共享密钥的标识,也即,二者确定的共享密钥的标识相同。示例性的,第一功能和UE确定MA PDU会话的标识作为共享密钥的标识。
示例b,共享密钥的标识是由SMF生成。
SMF根据MA PDU会话的标识,生成共享密钥的标识,分别向第一功能和UE发送共享密钥的标识,其中,共享密钥的标识可以包含于第一参数中,也可以作为单独的参数进行发送。示例性的,SMF确定MA PDU会话的标识作为共享密钥的标识。值得注意的是,在该情况中,SMF仅需要向第一功能发送共享密钥的标识,而无需向UE发送共享密钥的标识,有助于减少信令交互。
如上,UE和UPF均可获取到共享密钥,或者,均可获取到共享密钥和共享密钥的标识,UE和UPF可基于共享密钥,或根据共享密钥和共享密钥的标识,进行协商建立MPQUIC连接,具体说明可参见上述步骤601中的描述,可将“预配置密钥”替换为“共享密钥”来理解。
步骤903,UPF根据共享密钥,推演得到用于保护UE与UPF之间MPQUIC连接中数据的密钥(即第二保护密钥),MPQUIC连接与MAPDU会话关联。具体可参见步骤603中的描述。
可选的,UE还根据共享密钥,推演得到用于保护MPQUIC连接中数据的密钥(即第一保护密钥)。具体可参见步骤602中的描述。
可选的,UE和UPF传输MPQUIC连接的数据,具体可参见步骤604中的描述。
结合图9相关实施例中描述,如图11为本申请示例性提供的第二种通信方法的第一种具体实现。在该第一种具体实现中,提供SMF、UE、第一功能和UPF各设备之间的交互方式。
参见图11中流程图:
步骤1101,SMF向第一功能发送第二指示,相应的,第一功能接收来自SMF的第二指示。
可选的,SMF在确定使能MPQUIC连接对应的功能之后,向第一功能发送第二指示。
步骤1102,第一功能根据第二指示,推演得到共享密钥。
步骤1103,第一功能向SMF发送共享密钥,相应的,SMF接收来自第一功能的共享密钥。
步骤1104,SMF向UPF发送共享密钥,相应的,UPF接收来自SMF的共享密钥。
可选的,SMF还向UPF发送共享密钥的标识,该共享密钥的标识是根据MA PDU会话的标识确定的。可选的,UPF存储共享密钥和共享密钥的标识。
步骤1105,SMF向UE发送第一指示,相应的,UE接收来自SMF的第一指示。
步骤1106,UE根据第一指示,推演得到共享密钥。
步骤1107,UE根据共享密钥,推演得到第一保护密钥。
步骤1108,UPF根据共享密钥,推演得到第二保护密钥。
步骤1109,UE和UPF传输MPQUIC连接的数据。
可以理解的是,图11中未详尽描述的内容,均可参见图9相关实施例中描述。具体的,步骤1101至步骤1103中未详尽描述的内容,可参见步骤901中描述。步骤1104中未详尽描述的内容,可参见步骤902中描述。步骤1105和步骤1106中未详尽描述的内容,可参见步骤901中描述。步骤1107至步骤1109中未详尽描述的内容,可参见步骤903中描述。不限定步骤1107和步骤1108的先后顺序,以及,不限定步骤1101和步骤1105的先后顺序。
结合图9和图11相关实施例中描述,如图12为本申请示例性提供的第二种通信方法的第二种具体实现。在该第二种具体实现中,结合MA PDU会话的建立流程进行解释,第一功能具体是AMF。
步骤1201,UE向AMF发送PDU会话建立请求,相应的,AMF接收来自UE的PDU会话建立请求。
其中,PDU会话建立请求是会话建立请求的一个例子。
PDU会话建立请求中携带PDU会话标识、请求类型和UE的ATSSS能力(UE的能力信息的一个例子)。其中,请求类型是MA PDU请求(MA PDU request),即指示UE请求的PDU会话是MA PDU会话。相应的,该PDU会话标识即是MA PDU会话的标识。UE的ATSSS能力中包括MPQUIC能力,以用于指示UE支持该MPQUIC能力。可选的,UE的ATSSS能力中还包括MPTCP能力、ATSSS-LL能力。
步骤1202,AMF选择SMF。具体的,AMF选择支持ATSSS能力的SMF。
步骤1203,AMF向SMF发送PDU会话创建会话管理上下文请求,PDU会话创建会话管理上下文请求中携带PDU会话建立请求。相应的,SMF接收来自AMF的PDU会话创建会话管理上下文请求。
其中,PDU会话创建会话管理上下文请求是会话上下文请求的一个例子。
步骤1204,SMF根据PDU会话创建会话管理上下文请求,确定使能MPQUIC连接对应的功能。
具体的,SMF从PDU会话创建会话管理上下文请求中获取PDU会话建立请求,进而从PDU会话建立请求中获取请求类型和UE的ATSSS能力,SMF根据请求类型确定UE请求的是MAPDU会话,于是向UDM查询UE对应的订阅信息,根据UE对应的订阅信息确定UE订阅了MA PDU会话。进一步的,SMF还根据UE的ATSSS能力,确定UE支持建立MPQUIC的连接,以及,确定自己使能MPQUIC连接对应的功能。于是,SMF确定使能MPQUIC连接对应的功能。
步骤1205,SMF向AMF发送密钥推演请求,相应的,AMF接收来自SMF的密钥推演请求。其中,密钥推演请求携带第二指示和第一参数,第一参数中包括UE的标识和MA PDU会话的标识,UE的标识和MAPDU会话的标识可用于AMF推演得到共享密钥,MA PDU会话的标识可作为共享密钥的标识。
步骤1206,AMF向SMF发送共享密钥和共享密钥的标识。相应的,SMF接收来自AMF的共享密钥和共享密钥的标识。
其中,AMF向SMF发送共享密钥和共享密钥的标识时,具体可以是,AMF从密钥推演请求中获取第二指示和第一参数,根据第二指示确定需要推演共享密钥,于是从第一参数中获取UE的标识和MA PDU会话的标识,根据UE的标识、MA PDU会话的标识,以及上级密钥,推演得到共享密钥,AMF还将MA PDU会话的标识确定为共享密钥的标识,AMF向SMF发送共享密钥和MA PDU会话的标识。
步骤1207,SMF向UPF发送N4会话建立请求,N4会话建立请求中包括共享密钥和共享密钥的标识。相应的,UPF接收来自SMF的N4会话建立请求。
步骤1208,UPF存储共享密钥和共享密钥的标识。此外,UPF还与SMF建立N4会话。
步骤1209,SMF向AMF发送N1N2消息传输,相应的,AMF接收来自SMF的N1N2消息传输,N1N2消息传输中包括第一指示。
示例性的,N1N2消息传输中还包括ATSSS规则,ATSSS规则具体可以是SMF从PCF中获取的,ATSSS规则可用于UE决定应用于特定数据包流的转向功能(比如在建立MPQUIC连接后使用MPQUIC功能)。
步骤1210,AMF向RAN发送N2 PDU会话请求,相应的,RAN接收来自AMF的N2 PDU会话请求,N2 PDU会话请求中包括第一指示。示例性的,N2 PDU会话请求中还包括ATSSS规则。
步骤1211,RAN向UE发送RRC重配置消息,相应的,UE接收来自RAN的RRC重配置消息,RRC重配置消息中包括第一指示。示例性的,RRC重配置消息中还包括ATSSS规则。
在一个具体示例中,MA PDU会话建立流程进一步包括AN-specific resourcesetup流程,在AN-specific resource setup流程中,RAN向UE发送RRC重配置消息,该RRC重配置消息中还包括MA PDU会话建立完成的指示信息,该指示信息比如是PDU会话建立接受(PDU session establishment accept)。
步骤1212,UE根据RRC重配置消息中的第一指示,确定需要推演共享密钥,于是获取UE的标识和MAPDU会话的标识,根据UE的标识、MA PDU会话的标识,以及上级密钥,推演得到共享密钥。进一步的,UE存储共享密钥和共享密钥的标识。可以理解,UE使用的密钥推演方式,与步骤1206中AMF使用的密钥推演方式是相同的。
步骤1213,UE根据共享密钥,推演得到第一保护密钥。
步骤1214,UPF根据共享密钥,推演得到第二保护密钥。
步骤1215,UE和UPF传输MPQUIC连接的数据。
可以理解的是,图12中未详尽描述的内容,均可参见图9相关实施例中描述。示例性的,步骤1204至步骤1206中未详尽描述的内容,可参见步骤901中描述。步骤1207至步骤1208中未详尽描述的内容,可参见步骤902中描述。步骤1209至步骤1212中未详尽描述的内容,可参见步骤901中描述。步骤1213至步骤1215中未详尽描述的内容,可参见步骤903中描述。
在上述第二种通信方法中,SMF指示第一功能和UE推演得到相同的共享密钥,SMF还将第一功能推演得到的共享密钥发送给UPF。如此,UPF和UE中均存储有相同的共享密钥。UPF和UE二者能够基于该相同的共享密钥,建立MPQUIC连接,从而在UE和UPF建立MPQUIC连接的过程中实现安全。
参见图13示例性提供的第三种通信方法的流程示意图,该第三种通信方法具体可以适用于为UE建立MA PDU会话的过程中。MAPDU会话的建立流程可参见3GPP TS23.502协议中描述。
步骤1301,UE向SMF发送会话建立请求,相应的,SMF接收来自UE的会话建立请求。会话建立请求用于请求建立UE的MA PDU会话。
UE向SMF发送会话建立请求的方式,可参见步骤901中描述。
会话建立请求中包括请求类型,请求类型是MA PDU请求,即指示UE请求的PDU会话是MA PDU会话,或者理解,UE请求建立MA PDU会话。会话建立请求具体是PDU会话建立请求。PDU会话建立请求的说明具体可参见步骤1201中的描述。
步骤1302,SMF根据会话建立请求,向UPF发送证书申请指示。相应的,UPF接收来自SMF的证书申请指示。
证书申请指示用于指示请求UPF的证书。具体地,证书申请指示用于指示向证书认证机构请求UPF的证书。
在一个可能方式中,SMF根据会话建立请求,确定UE请求的PDU会话是MA PDU会话,于是向UPF发送证书申请指示。示例性的,证书申请指示是SMF与UPF建立N4会话的过程中发送给UPF的,示例性的,证书申请指示携带于N4会话建立请求中。示例性的,N4会话建立请求包括一个信元(information element,IE),该IE是证书申请指示,也即是,该IE用于指示请求UPF的证书。
在一个可能方式中,SMF向UPF发送证书申请指示之前,还可以确定使能MPQUIC连接对应的功能。
示例性的,SMF确定使能MPQUIC连接对应的功能时,具体可以是如下三种示例中一个:
示例1,UE向SMF发送UE的能力信息,UE的能力信息用于指示UE支持建立MPQUIC连接。SMF接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接。
示例2,SMF确定支持MPQUIC连接对应的功能。
示例3,UE向SMF发送UE的能力信息,SMF接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接,且确定支持MPQUIC连接对应的功能。
示例1至示例3的详尽描述可参见步骤901中关于示例1至示例3的描述。
此外,UE的能力信息可包含于会话建立请求中。在该情况中,SMF在接收到会话建立请求之后,不仅可确定UE请求的PDU会话是MA PDU会话,还根据UE的能力信息,确定UE支持建立MPQUIC连接(即示例1),于是向UPF发送证书申请指示。或者,SMF在接收到会话建立请求之后,不仅可确定UE请求的PDU会话是MA PDU会话,还根据UE的能力信息,确定UE支持建立MPQUIC连接,且确定支持MPQUIC连接对应的功能(即示例3),于是向UPF发送证书申请指示。
步骤1303,UPF根据证书申请指示,向CA请求UPF的证书。
其中,UPF的证书可用于在UE与UPF之间的MPQUIC连接的建立过程中,UE对UPF进行认证,具体可参见下述步骤1304和步骤1305,可认为,步骤1304和步骤1305发生在UE与UPF之间的MPQUIC连接的建立过程中。
在一个可能示例中,UPF根据证书申请指示,确定需要向CA请求UPF的证书,于是向CA发送第二证书请求,第二证书请求用于请求UPF的证书,相应的,CA接收来自UPF的第二证书请求,根据第二证书请求生成UPF的证书,向UPF发送UPF的证书,UPF接收来自CA的UPF的证书。可选的,CA还确定UPF的证书的标识,向UPF发送UPF的证书的标识,UPF接收来自CA的UPF的证书的标识。或者,CA还可将UPF的证书的标识携带于UPF的证书中。
其中,第二证书请求中包括UPF的公钥(public key,pk)。可选的,第二证书请求中还可包括如下参数中一项或多项:MA PDU会话的标识、第三指示。如下说明各参数:
(1)UPF的公钥:用于CA生成UPF的证书,也即是,UPF在确定需要向CA请求UPF的证书时,先生成UPF的公钥,向CA发送包含有UPF的公钥的第二证书请求。对于CA来说,CA可以根据UPF的公钥,生成UPF的证书。可选的,UPF不仅可生成UPF的公钥,还可生成UPF的私钥(secret key,sk),或者理解,UPF生成UPF的公私钥对(pk,sk),其中,UPF的私钥用于UPF在MPQUIC连接的建立过程中对传输的消息进行签名(可参见下述步骤1305中的描述)。
(2)MA PDU会话的标识:用于CA生成UPF的证书的标识。具体的,CA可以根据MA PDU会话的标识,确定UPF的证书的标识。示例性的,CA可根据MA PDU会话的标识和UPF的类型(type),确定UPF的证书的标识,如将MA PDU会话的标识+UPF类型作为UPF的证书的标识。再示例性的,CA可将MA PDU会话的标识确定为UPF的证书的标识。在该方式中,UPF向CA请求每个MA PDU会话对应的UPF的证书,每个MA PDU会话与一个UPF的证书对应。
需要补充的是,CA也可不根据MAPDU会话的标识确定UPF的证书的标识,而是生成随机字符串,将该随机字符串作为UPF的证书的标识,或者,直接将UPF的标识作为UPF的证书的标识。在该方式中,UPF向CA请求一个UPF的证书,该一个UPF的证书可用于该UPF建立多个MA PDU会话各自关联的MPQUIC连接。如此,UPF无需多次向CA请求UPF的证书,降低流程的复杂性。相应的,第二证书请求中可不包括MA PDU会话的标识。可选的,UPF在接收到来自SMF的第二证书请求之后,先确定是否已经从CA请求到UPF的证书,若是,则无需再向CA请求UPF的证书;否则,向CA请求UPF的证书。
可以理解的是,在将随机字符串作为UPF的证书的标识的方式中,UE可通过与多个UPF建立MPQUIC连接,获取到该多个UPF的证书对应的随机字符串,也即,能够获知核心网中包含的UPF的数量;在将UPF的标识作为UPF的证书的标识的方式中,UE可以通过与多个UPF建立MPQUIC连接,获取到该多个UPF的标识,也即,能够获知核心网中包含的UPF的数量以及UPF的标识,如此,UE能够推理出核心网的网络拓扑,不利于安全保护。而将MAPDU会话的标识作为UPF的证书的标识的方案中,UE无法获知核心网中包含的UPF的数量,也即无法推理出核心网的网络拓扑,有助于实现核心网的安全保护。
(3)第三指示:用于指示第二证书请求所要请求的证书是用于UPF与UE建立MPQUIC连接的,或者,用于指示CA在为某个设备(此处是UPF)生成证书时无需先对该设备进行认证。可以理解的是,第三种通信方法适用于PDU会话建立过程中,而PDU会话建立之前,AKA流程已经完成,也即,CA已经对UPF进行认证,且确定UPF认证通过,所以,UPF向CA发送第二证书请求时,CA无需再对UPF进行认证,避免不必要的认证流程。对于CA来说,CA在从第二证书请求中获取到第三指示之后,可无需对UPF进行认证,而是直接为UPF生成UPF的证书。
在一个可能示例中,UPF从CA中获取到UPF的证书之后,还可向SMF发送确认指示,确认指示用于指示UPF成功请求到UPF的证书。相应的,SMF接收到来自UPF的确认指示之后,确定UPF成功请求到UPF的证书,进而执行后续的MA PDU会话建立流程,UE在确定MA PDU会话建立流程完成之后,发起与UPF建立MPQUIC连接的流程。其中,确认指示比如是肯定应答(acknowledgement,ACK)。示例性的,确认指示携带于N4会话建立响应中。示例性的,N4会话建立响应包括一个IE,该IE是确认指示,也即是,该IE用于指示UPF成功请求到UPF的证书。如此,避免出现UPF尚未请求到UPF的证书的情况下,UE发起与UPF建立MPQUIC连接的流程,导致UE与UPF建立MPQUIC连接失败的问题。
步骤1304,UPF向UE发送UPF的证书,相应的,UE接收UPF的证书。
步骤1305,UE根据UPF的证书对UPF进行认证。
在一个可能示例中,UPF使用UPF的私钥,对前续交互信息进行签名得到UPF的签名信息,向UE发送UPF的签名信息和UPF的证书。相应的,UE接收UPF的签名信息和UPF的证书,根据UPF的签名信息和UPF的证书,对UPF进行认证。此处,前续交互信息中包括UPF向UE发送UPF的签名信息和UPF的证书之前,UPF与UE之间交互的信息。具体可参见TLS协议中关于双方进行密钥交换、双方进行身份认证两轮交互的内容,可将UPF认为是Server,将UE认为是Client。
在一个可能示例中,在UPF的证书的标识是CA根据MA PDU会话的标识确定的情况下,UPF还可向UE发送UPF的证书的标识,相应的,UE还可接收UPF的证书的标识,确定UPF的证书的标识是根据MAPDU会话的标识确定的,也即,确定UPF的证书是用于该MA PDU会话的,避免UPF证书的滥用。
UPF可将UPF的证书的标识、UPF的签名信息和UPF的证书,通过一条校验消息发送给UE。
可选的,还包括:
步骤1306,UE根据共享密钥,推演得到用于保护MPQUIC连接的数据的密钥(即第一保护密钥)。共享密钥是UE根据UE的临时私钥和UPF的临时公钥确定的。
具体参见步骤602中的描述,可将预配置密钥替换为共享密钥来理解。
步骤1307,UPF根据共享密钥,推演得到用于保护MPQUIC连接的数据的密钥(即第二保护密钥)。共享密钥是UPF根据UE的临时公钥和UPF的临时私钥确定的。
具体参见步骤603中的描述,可将预配置密钥替换为共享密钥来理解。
其中,UE的临时公钥是在TLS协议的第一轮交互中UE发送给UPF的,UPF的临时公钥是在TLS协议的第一轮交互中UPF发送给UE的,也即,UE和UPF可以在TLS协议的第一轮交互中互换各自的临时公钥。随后,二者各自可根据自己的临时私钥和对方的临时公钥推演得到共享密钥。
步骤1308,UE与UPF传输MPQUIC连接的数据。
其中,MPQUIC连接与MAPDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输,MPQUIC连接、MA PDU会话、MPQUIC连接和MA PDU会话之间的关系,可参见步骤601中的描述;UE与UPF传输MPQUIC连接的数据的方式,可参见步骤604中的描述。
需要补充的是,图13相关实施例仅是UE根据UPF的证书对UPF进行认证,即单向认证。在该场景中,SMF可确定UE和UPF在建立MPQUIC连接时,使用单向认证,于是指示UPF向CA请求UPF的证书。一个示例中,UE默认使用单向认证的方式,UE可接收到来自UPF的证书之后,根据UPF的证书认证UPF。又一个示例中,SMF还可向UE发送单向认证指示,该单向认证指示用于指示UE和UPF在建立MPQUIC连接时使用单向认证,随后,UE可接收到来自UPF的证书之后,根据UPF的证书认证UPF。
此外,本申请还可支持双向认证。双向认证相对于单向认证,可新增如下步骤a至步骤d。
步骤a至步骤d的时序顺序可参见下述图15相关实施例中的描述。当然,图15相关实施例中的时序也仅仅是本申请的一个例子,并不构成对本申请的限定。示例性的,SMF可以先指示UPF向CA请求UPF的证书,再向CA请求UE的证书,向UE发送UE的证书;或者,SMF先向CA请求UE的证书,向UE发送UE的证书,再指示UPF向CA请求UPF的证书。
步骤a,SMF向CA请求UE的证书。
可选的,SMF确定UE和UPF在建立MPQUIC连接时使用双向认证,于是向CA请求UE的证书。
在SMF向CA请求UE的证书的过程中,具体可以是,UE生成UE的公钥,向SMF发送UE的公钥。SMF向CA发送第一证书请求,第一证书请求中包括UE的公钥。相应的,CA接收来自SMF的第一证书请求,根据第一证书请求中UE的公钥,生成UE的证书,向SMF发送UE的证书。可选的,CA还确定UE的证书的标识,向SMF发送UE的证书的标识,或者,UE的证书的标识可携带于UE的证书中。
示例性的,UE在生成UE的公钥之前,UE可根据UE的能力信息确定UE支持建立MPQUIC连接,和/或,确定使用双向认证。其中,UE的能力信息可参见步骤901中关于UE的能力信息的说明。
示例性的,UE还可生成UE的私钥,示例性的,UE同时生成UE的公钥和私钥(也即UE的公私钥对(pk,sk))。其中,UE的私钥用于UE在MPQUIC连接的建立过程中对传输的消息进行签名,具体可参见下述步骤d。
示例性的,UE向SMF发送UE的公钥,具体可以是,UE向AMF发送PDU会话建立请求,PDU会话建立请求中携带UE的公钥,AMF再向SMF发送PDU会话创建会话管理上下文请求,PDU会话创建会话管理上下文请求中携带PDU会话建立请求,也即是,创建会话管理上下文请求中携带UE的公钥。对于SMF来说,SMF接收创建会话管理上下文请求,从创建会话管理上下文请求获取UE的公钥。
第一证书请求中还可包括如下参数中一项或多项:MA PDU会话的标识、第三指示。如下对MA PDU会话的标识、第三指示分别解释说明:
(1)MA PDU会话的标识:用于CA生成UE的证书的标识。对于CA来说,CA可以根据MAPDU会话的标识,确定UE的证书的标识。示例性的,CA可根据MA PDU会话的标识和UE的类型(type),确定UE的证书的标识,如将MA PDU会话的标识+UE类型作为UE的证书的标识。在该方式中,UE向CA请求每个MA PDU会话对应的UE的证书,每个MA PDU会话与一个UE的证书对应。
值得注意的是,在双向认证中,CA需要分别生成UPF的证书的标识和UE的证书的标识,为区分UPF的证书的标识和UE的证书的标识,CA可以将MA PDU会话的标识+UPF类型作为UPF的证书的标识,以及,将MA PDU会话的标识+UE类型作为UE的证书的标识。
可选的,CA也可以不根据MA PDU会话的标识确定UE的证书的标识,而是生成随机字符串,将该随机字符串作为UE的证书的标识,或者,直接将UE的标识作为UE的证书的标识。在该方式中,SMF向CA请求一个UE的证书,将该一个UE的证书发送给UE,该一个UE的证书可用于UE建立多个MPQUIC连接,且该多个MPQUIC连接可对应于多个MAPDU会话。如此,SMF无需多次向CA请求UE的证书,降低流程的复杂性。相应的,第一证书请求中可不包括MA PDU会话的标识。可选的,SMF接收来自UE的会话建立请求之后,可确定是否从CA中请求到UE的证书,若是,则确定无需再向CA发送第一证书请求,否则,向CA发送第一证书请求。
(2)第三指示:用于指示第一证书请求所要请求的证书是用于UE与UPF建立MPQUIC连接的,或者,用于指示CA在为某个设备(此处是UE)生成证书时无需先对该设备进行认证。可以理解的是,第三种通信方法适用于PDU会话建立过程中,而PDU会话建立之前,AKA流程已经完成,也即,CA已经对UE进行认证,且确定UE认证通过,所以,SMF向CA发送第一证书请求时,CA无需再对UE进行认证,避免不必要的认证流程。对于CA来说,CA在从第一证书请求中获取到第三指示之后,可无需对UE进行认证,而是直接为UE生成UE的证书。
步骤b,SMF向UE发送UE的证书。
示例性的,SMF向AMF发送N1N2消息传输,N1N2消息传输包括UE的证书;AMF向RAN发送N2 PDU会话请求,N2 PDU会话请求包括UE的证书;RAN向UE发送RRC重配置消息,RRC重配置消息包括UE的证书。对于UE来说,UE接收RRC重配置消息,从RRC重配置消息中获取UE的证书。该RRC重配置消息可认为是AN-specific resource setup流程中的RRC重配置消息。
可选的,SMF还向UE发送UE的证书的标识,UE的证书和UE的证书的标识承载于一条消息中。或者,UE的证书的标识携带于UE的证书中。
步骤c,在UE与UPF之间的MPQUIC连接的建立过程中,UE向UPF发送UE的证书。
一个示例中,UE默认使用双向认证的方式,UE可接收到来自SMF的UE的证书之后,向UPF发送UE的证书,以用于UPF对UE进行认证。又一个示例中,SMF还可向UE发送双向认证指示,该双向认证指示用于指示UE和UPF在建立MPQUIC连接时使用双向认证,随后,UE可在接收到来自SMF的UE的证书之后,向UPF发送UE的证书,以用于UPF对UE进行认证。其中,双向认证指示的发送方式可以与上述UE的证书的方式类似,也即是,SMF可将双向认证指示和UE的证书通过一条消息发送给UE,例如,双向认证指示和UE的证书包含于RRC重配置消息中。
此外,还可以是,UE在发送会话建立请求时,会话建立请求中不携带UE的公钥,而是UE在接收到来自SMF的双向认证指示之后,向SMF发送UE的公钥。
一个具体实现中,SMF向UE发送双向认证指示,双向认证指示的发送方式可以与上述UE的证书的方式类似,例如,双向认证指示包含于AN-specific resource setup流程的RRC重配置消息中(此时RRC配置消息中不包含UE的证书)。随后,UE响应于双向认证指示,生成UE的公钥,将UE的公钥发送给SMF,SMF根据UE的公钥,向CA发送第一证书请求,以请求UE的证书,随后SMF将UE的证书发送给UE。示例性的,在UE向SMF发送UE的公钥时,具体可以是,UE向AMF发送第一NAS消息,该第一NAS消息中携带UE的公钥,随后,AMF获取该第一NAS消息中的UE的公钥,将UE的公钥转发给SMF;示例性的,在SMF向UE发送UE的证书时,具体可以是,SMF向AMF发送UE的证书,AMF将该UE的证书携带于第二NAS消息中,将第二NAS消息发送给UE。
再一个具体实现中,在MA PDU会话流程中进一步包括认证方式通知流程,在认证方式通知流程中,SMF向UE发送双向认证指示,例如,双向认证指示包含于认证方式通知流程的RRC重配置消息中。随后,UE响应于双向认证指示,生成UE的公钥,将UE的公钥发送给SMF,SMF根据UE的公钥,向CA发送第一证书请求,以请求UE的证书,随后SMF将UE的证书发送给UE。示例性的,在UE向SMF发送UE的公钥时,具体可以是,UE向AMF发送第一NAS消息,该第一NAS消息中携带UE的公钥,随后,AMF获取该第一NAS消息中的UE的公钥,将UE的公钥转发给SMF;示例性的,在SMF向UE发送UE的证书时,具体可以是,SMF通过N1N2消息向AMF发送UE的证书,AMF通过N2 PDU会话请求向RAN发送UE的证书,RAN通过RRC重配置消息向UE发送RRC重配置消息,也即是,UE的证书包含于AN-specific resource setup流程的RRC重配置消息中。可以理解,认证方式通知流程发生在AN-specific resource setup流程之前,以及UE发送会话建立请求之后。
在一个可能示例中,UE使用UE的私钥对前续交互信息进行签名得到UE的签名信息,向UPF发送UE的签名信息和UE的证书。示例性的,UE的签名信息和UE的证书承载于一条消息中。此处,前续交互信息中包括UE向UPF发送签名信息和证书之前,UE与UPF之间交互的信息。具体可参见TLS协议中关于双方进行密钥交换、双方进行身份认证两轮交互的内容,可将UPF认为是Server,将UE认为是Client。
步骤d,UPF根据UE的证书,对UE进行认证。
在一个可能示例中,UPF根据UE的签名信息和UE的证书,对UE进行认证。
结合图13相关实施例中描述,如图14为本申请示例性提供的第三种通信方法的第一种具体实现。该第一种具体实现针对单向认证说明,且UE默认使用单向认证方式。
步骤1401,UE向AMF发送PDU会话建立请求,相应的,AMF接收来自UE的PDU会话建立请求。
具体说明可参见上述步骤1201中的描述。
步骤1402,AMF选择SMF。具体的,AMF选择支持ATSSS能力的SMF。
步骤1403,AMF向SMF发送PDU会话创建会话管理上下文请求,PDU会话创建会话管理上下文请求中携带PDU会话建立请求。相应的,SMF接收来自AMF的PDU会话创建会话管理上下文请求。
步骤1404,SMF根据PDU会话创建会话管理上下文请求,确定使能MPQUIC连接对应的功能。
具体说明可参见上述步骤1204中的描述。
步骤1405,SMF向UPF发送N4会话建立请求,相应的,UPF接收来自SMF的N4会话建立请求,N4会话建立请求中包括证书申请指示。可选的,N4会话建立请求中还包括N4会话标识、MA PDU会话的标识。SMF在本地存储N4会话标识和MA PDU会话的标识的对应关系。
步骤1406,UPF生成UPF的公钥和私钥。
可选的,UPF还根据N4会话建立请求,与SMF建立N4会话。
步骤1407,UPF向CA发送第二证书请求,相应的,CA接收来自UPF的第二证书请求,其中,第二证书请求中包括UPF的公钥。可选的,第二证书请求中还包括MA PDU会话的标识和/或第三指示。
步骤1408,CA根据UPF的公钥,生成UPF的证书。
当第二证书请求中还包括MA PDU会话的标识时,CA还可根据MA PDU会话的标识确定UPF的证书的标识;当第二证书请求中还包括第三指示时,CA还可根据第三指示确定无需对UPF进行校验。
步骤1409,CA向UPF发送UPF的证书,相应的,UPF接收来自CA的UPF的证书。
步骤1410,UPF向SMF发送ACK(即确认指示的一个例子),相应的,SMF接收来自UPF的ACK。
步骤1411,SMF向AMF发送N1N2消息传输,相应的,AMF接收来自SMF的N1N2消息传输。
其中,N1N2消息传输中包括ATSSS规则,ATSSS规则具体可以是SMF从PCF中获取的,ATSSS规则可用于UE决定应用于特定数据包流的转向功能(比如在建立MPQUIC连接后使用MPQUIC功能)。
步骤1412,AMF向RAN发送N2 PDU会话请求,相应的,RAN接收来自AMF的N2 PDU会话请求,N2 PDU会话请求中包括ATSSS规则。
步骤1413,RAN向UE发送RRC重配置消息,相应的,UE接收来自RAN的RRC重配置消息,RRC重配置消息中包括ATSSS规则。
在一个具体示例中,在AN-specific resource setup流程中,RAN向UE发送RRC重配置消息,该RRC重配置消息中还包括MA PDU会话建立完成的指示信息,该指示信息比如是PDU会话建立接受。
步骤1414,UPF向UE发送UPF的证书,相应的,UE接收UPF的证书。
步骤1415,UE根据UPF的证书对UPF进行认证。
步骤1416,UE根据共享密钥,推演得到第一保护密钥。
步骤1417,UPF根据共享密钥,推演得到第二保护密钥。
步骤1418,UE与UPF传输MPQUIC连接的数据。
可以理解的是,图14中未详尽描述的内容,均可参见图13相关实施例中描述。
示例性的,步骤1401至步骤1404中未详尽描述的内容,可参见步骤1301中描述。步骤1405中未详尽描述的内容,可参见步骤1302中描述。步骤1406至步骤1410中未详尽描述的内容,可参见步骤1303中描述。步骤1414和步骤1415中未详尽描述的内容,可参见步骤1304和步骤1305中描述。步骤1416中未详尽描述的内容,可参见步骤1306中描述。步骤1417中未详尽描述的内容,可参见步骤1307中描述。步骤1418中未详尽描述的内容,可参见步骤1308中描述。
此外,当UE不默认使用单向认证方式时,也即,SMF需要向UE发送单向认证指示时,可以分别在N1N2消息传输、N2 PDU会话请求和RRC重配置消息中,携带单向认证指示。相应的,UE根据单向认证指示,确定在与UPF建立MPQUIC连接时,使用单向认证方式。
结合图13和图14相关实施例中描述,如图15为本申请示例性提供的第三种通信方法的第二种具体实现。该第二种具体实现针对双向认证说明,且UE默认使用双向认证方式。
步骤1501,UE生成UE的公钥和私钥。具体的,UE在根据UE的能力信息确定UE支持建立MPQUIC连接,和/或,确定UE和UPF在建立MPQUIC连接时使用双向认证的情况下,生成UE的公钥和私钥。
步骤1502,UE向AMF发送PDU会话建立请求,相应的,AMF接收来自UE的PDU会话建立请求。
具体说明可参见上述步骤1201中的描述。
步骤1503,AMF选择SMF。具体的,AMF选择支持ATSSS能力的SMF。
步骤1504,AMF向SMF发送PDU会话创建会话管理上下文请求,PDU会话创建会话管理上下文请求中携带PDU会话建立请求。相应的,SMF接收来自AMF的PDU会话创建会话管理上下文请求。
步骤1505,SMF根据PDU会话创建会话管理上下文请求,确定使能MPQUIC连接对应的功能。
具体说明可参见上述步骤1204中的描述。
步骤1506,SMF向UPF发送N4会话建立请求,相应的,UPF接收来自SMF的N4会话建立请求,N4会话建立请求中包括证书申请指示。具体说明可参见上述步骤1405中的描述。
步骤1507,UPF生成UPF的公钥和私钥。具体说明可参见上述步骤1406中的描述。
步骤1508,UPF向CA发送第二证书请求,相应的,CA接收来自UPF的第二证书请求,具体说明可参见上述步骤1407中的描述。
步骤1509,CA根据UPF的公钥,生成UPF的证书。具体说明可参见上述步骤1408中的描述。
步骤1510,CA向UPF发送UPF的证书,相应的,UPF接收来自CA的UPF的证书。
步骤1511,UPF向SMF发送ACK(即确认指示的一个例子),相应的,SMF接收来自UPF的ACK。
步骤1512,SMF向CA发送第一证书请求,相应的,CA接收来自SMF的第一证书请求,其中,第一证书请求中包括UE的公钥。可选的,第一证书请求中还包括MA PDU会话的标识和/或第三指示。
步骤1513,CA根据UE的公钥,生成UE的证书。
当第一证书请求中还包括MA PDU会话的标识时,CA还可根据MA PDU会话的标识确定UE的公钥的标识;当第一证书请求中还包括第三指示时,CA还可根据第三指示确定无需对UE进行校验。
步骤1514,CA向SMF发送UE的证书,相应的,SMF接收来自CA的UE的证书。
步骤1515,SMF向AMF发送N1N2消息传输,相应的,AMF接收来自SMF的N1N2消息传输,N1N2消息传输中包括UE的证书。
N1N2消息传输中还包括ATSSS规则,ATSSS规则具体可以是SMF从PCF中获取的,ATSSS规则可用于UE决定应用于特定数据包流的转向功能(比如在建立MPQUIC连接后使用MPQUIC功能)。
步骤1516,AMF向RAN发送N2 PDU会话请求,相应的,RAN接收来自AMF的N2 PDU会话请求,N2 PDU会话请求中包括UE的证书。N2 PDU会话请求中还包括ATSSS规则。
步骤1517,RAN向UE发送RRC重配置消息,相应的,UE接收来自RAN的RRC重配置消息,RRC重配置消息中包括UE的证书。RRC重配置消息中还包括ATSSS规则。在一个具体示例中,在AN-specific resource setup流程中,RAN向UE发送RRC重配置消息,RRC重配置消息中还包括MA PDU会话建立完成的指示信息,该指示信息比如是PDU会话建立接受。
步骤1518,UE向UPF发送UE的证书,相应的,UPF接收UE的证书。
步骤1519,UPF根据UE的证书对UE进行认证。
步骤1520,UPF向UE发送UPF的证书,相应的,UE接收UPF的证书。
步骤1521,UE根据UPF的证书对UPF进行认证。
步骤1522,UE根据共享密钥,推演得到第一保护密钥。
步骤1523,UPF根据共享密钥,推演得到第二保护密钥。
步骤1524,UE与UPF传输MPQUIC连接的数据。
可以理解的是,图15中未详尽描述的内容,还可参见图13相关实施例中描述。示例性的,步骤1501中未详尽描述的内容,可参见步骤a中描述。步骤1502至步骤1505中未详尽描述的内容,可参见步骤1301中描述。步骤1506中未详尽描述的内容,可参见步骤1302中描述。步骤1507至步骤1511中未详尽描述的内容,可参见步骤1303中描述。步骤1512至步骤1514中未详尽描述的内容,可参见步骤a中描述。步骤1515至步骤1517中未详尽描述的内容,可参见步骤b中描述。步骤1518和步骤1519中未详尽描述的内容,可参见步骤c和步骤d中描述。步骤1520和步骤1521中未详尽描述的内容,可参见步骤1304和步骤1305中描述。步骤1522中未详尽描述的内容,可参见步骤1306中描述。步骤1523中未详尽描述的内容,可参见步骤1307中描述。步骤1524中未详尽描述的内容,可参见步骤1308中描述。
此外,当UE不默认使用双向认证方式时,也即,SMF需要向UE发送双向认证指示时,N1N2消息传输、N2 PDU会话请求和RRC重配置消息中不携带UE的证书,而是携带双向认证指示,相应的,UE根据双向认证指示,确定在与UPF建立MPQUIC连接时,使用双向认证方式。进一步的,步骤1501、步骤1512至步骤1514发生在步骤1517之后、步骤1518之前。
在上述第三种通信方法的单向认证中,SMF向UPF发送证书申请指示,UPF根据证书申请指示向CA请求UPF的证书,在UE与UPF之间的MPQUIC连接的建立过程中,UPF向UE发送UPF的证书,UE能够使用UPF的证书对UPF进行认证。如此,在UE与UPF建立MPQUIC连接的过程中实现安全。
在上述第三种通信方法的双向认证中,SMF向UPF发送证书申请指示,UPF根据证书申请指示向CA请求UPF的证书,在UE与UPF之间的MPQUIC连接的建立过程中,UPF向UE发送UPF的证书,UE能够使用UPF的证书对UPF进行认证;SMF还向CA请求UE的证书,向UE发送UE的证书,在UE与UPF之间的MPQUIC连接的建立过程中,UE向UPF发送UE的证书,UPF能够使用UE的证书对UE进行认证。如此,在UE与UPF建立MPQUIC连接的过程中实现安全。
需要补充的是,第一种通信方法至第三种通信方法所描述的各个流程图的步骤编号仅为执行流程的一种示例,并不构成对步骤执行的先后顺序的限制,本申请实施例中相互之间没有时序依赖关系的步骤之间没有严格的执行顺序。各个流程图中所示意的步骤并非全部是必须执行的步骤,可以根据实际需要在各个流程图的基础上删除部分步骤,或者也可以根据实际需要在各个流程图的基础上增添其它可能的步骤。
上述侧重描述了第一种通信方法至第三种通信方法中不同实施例之间的差异之处,除差异之处的其它内容,第一种通信方法至第三种通信方法之间可以相互参照;此外,同一个通信方法中,不同实现方式或不同示例之间也可以相互参照。
可以理解的是,上述各个方法实施例中,由终端设备(即UE)实现的方法和操作,也可以由终端设备的模块(例如芯片或者电路)实现,可将终端设备和终端设备的模块统称为是终端装置。也即是,可将上述通信方法中的“UE”替换为“终端装置”。在如下的装置实施例中,仍以UE为例说明。
基于上述内容和相同构思,图16和图17为本申请的提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中UE、第一功能(例如AMF)、SMF或UPF的功能,因此也能实现上述方法实施例所具备的有益效果。
如图16中,通信装置1600可包括收发模块1601和处理模块1602。
当通信装置1600用于执行第一种通信方法中第一UE的方法时:
通信装置1600可以是图1至图4中的UE。
处理模块1602用于:在第一UE的第一MA PDU会话建立完成之后,控制收发模块1601与第一UPF协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。
处理模块1602用于:根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥,第一MPQUIC连接的数据由第一UE与第一UPF之间的多条路径传输。其中,预配置密钥还用于第一UE与第二UPF建立第二MPQUIC连接,第一UPF和第二UPF位于同一个PLMN内。
在一种可能的实现方式中,处理模块1602在控制收发模块1601与第一UPF协商建立第一MPQUIC连接时,具体用于:控制收发模块1601向第一UPF发送预配置密钥的标识。
在一种可能的实现方式中,协商中传输的消息是基于3GPP安全保护的。
在一种可能的实现方式中,第一UE与第一UPF协商建立第一MPQUIC连接时使用的预配置密钥,与第二UE与第一UPF协商建立第三MPQUIC连接时使用的预配置密钥相同。其中,第一UE与第二UE归属于同一个H-PLMN。
在一种可能的实现方式中,在第一UE的第一MA PDU会话建立完成之后,处理模块1602还用于:控制收发模块1601与第一UPF协商建立第四MPQUIC连接,第四MPQUIC连接与第一MA PDU会话关联,以及,根据预配置密钥,推演得到用于保护第四MPQUIC连接的数据的密钥,其中,用于保护第一MPQUIC连接的数据的密钥与用于保护第四MPQUIC连接的数据的密钥不同。
在一种可能的实现方式中,在第一UE的第二MA PDU会话建立完成之后,处理模块1602还用于:控制收发模块1601与第二UPF协商建立第二MPQUIC连接,第二MPQUIC连接与第二MA PDU会话关联。处理模块1602还用于:根据预配置密钥,推演得到用于保护第二MPQUIC连接的数据的密钥。
当通信装置1600用于执行第一种通信方法中第一UPF的方法时:
通信装置1600可以是图1或图2中的UPF,或是,图3或图4中的H-UPF。
处理模块1602用于:在第一UE的第一MA PDU会话建立完成之后,控制收发模块1601与第一UE协商建立第一MPQUIC连接,第一MPQUIC连接与第一MA PDU会话关联。
处理模块1602还用于:根据预配置密钥,推演得到用于保护第一MPQUIC连接的数据的密钥,第一MPQUIC连接的数据由第一UE与第一UPF之间的多条路径传输。其中,预配置密钥还用于第一UE与第二UPF建立第二MPQUIC连接,第一UPF和第二UPF位于同一个PLMN内。
在一种可能的实现方式中,处理模块1602控制收发模块1601与第一UE协商建立第一MPQUIC连接时,具体用于:控制收发模块1601接收来自第一UE的预配置密钥的标识。
在一种可能的实现方式中,协商中传输的消息是基于3GPP安全保护的。
在一种可能的实现方式中,第一UPF与第一UE协商建立第一MPQUIC连接时使用的预配置密钥,与第一UPF与第二UE协商建立第三MPQUIC连接时使用的预配置密钥相同。第一UE与第二UE归属于同一个H-PLMN。
在一种可能的实现方式中,在第一UE的第一MA PDU会话建立完成之后,处理模块1602还用于:控制收发模块1601与第一UE协商建立第四MPQUIC连接,第四MPQUIC连接与第一MAPDU会话关联。以及,根据预配置密钥,推演得到用于保护第四MPQUIC连接的数据的密钥,其中,用于保护第一MPQUIC连接的数据的密钥与用于保护第四MPQUIC连接的数据的密钥不同。
当通信装置1600用于执行第二种通信方法中SMF的方法时:
通信装置1600可以是图1或图2中的SMF,或是,图3或图4中的H-SMF。
在为UE建立MA PDU会话的过程中,处理模块1602用于:从第一功能中获得共享密钥,向UPF发送共享密钥,共享密钥用于UPF推演得到用于保护UE与UPF之间MPQUIC连接中数据的密钥,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,处理模块1602还用于:控制收发模块1601向UE发送第一指示,第一指示用于指示UE采用共享密钥的方式与UPF建立MPQUIC连接。
在一种可能的实现方式中,处理模块1602在从第一功能获得共享密钥之前,还用于:确定使能MPQUIC连接对应的功能。在一种可能的实现方式中,处理模块1602确定使能MPQUIC连接对应的功能时,具体用于:控制收发模块1601接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接;和/或,确定支持MPQUIC连接对应的功能。
在一种可能的实现方式中,处理模块1602在从第一功能获得共享密钥时,具体用于,控制收发模块1601向第一功能发送第二指示,第二指示用于指示第一功能推演得到共享密钥;控制收发模块1601接收来自第一功能的共享密钥。
在一种可能的实现方式中,处理模块1602从第一功能获得共享密钥之后,还用于:控制收发模块1601向UPF发送共享密钥的标识。一个示例中,共享密钥的标识是处理模块1602根据MA PDU会话的标识确定的,相应的,处理模块1602还用于控制收发模块1601向第一功能发送共享密钥的标识,和/或,控制收发模块1601向UE发送共享密钥的标识。又一个示例中,共享密钥的标识是第一功能根据MA PDU会话的标识确定的,相应的,处理模块1602还用于控制收发模块1601向第一功能发送MA PDU会话的标识,以及,接收来自第一功能的共享密钥的标识。
在一种可能的实现方式中,共享密钥的标识是MAPDU会话的标识。
当通信装置1600用于执行第二种通信方法中UPF的方法时:
通信装置1600可以是图1或图2中的UPF,或是,图3或图4中的H-UPF。
在为UE建立MA PDU会话的过程中,收发模块1601用于:接收来自SMF的共享密钥;处理模块1602用于:根据共享密钥,推演得到用于保护UE与UPF之间MPQUIC连接中数据的密钥,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,收发模块1601还用于:接收来自SMF的共享密钥的标识,共享密钥的标识是SMF或第一功能根据MA PDU会话的标识确定的;处理模块1602还用于:将共享密钥的标识与共享密钥的对应存储。在一种可能的实现方式中,共享密钥的标识是MA PDU会话的标识。
当通信装置1600用于执行第二种通信方法中UE的方法时:
通信装置1600可以是图1至图4中的UE。
在为UE建立MA PDU会话的过程中,收发模块1601用于:接收来自SMF的第一指示,第一指示用于指示UE采用共享密钥的方式与UPF建立MPQUIC连接,MPQUIC连接与MA PDU会话关联;处理模块1602用于:根据第一指示,推演得到共享密钥,以及,根据共享密钥,推演得到用于保护MPQUIC连接中数据的密钥,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,收发模块1601还用于:向SMF发送UE的能力信息,UE的能力信息用于指示UE支持建立MPQUIC连接。
在一种可能的实现方式中,处理模块1602在根据第一指示,推演得到共享密钥时,具体用于:根据第一指示和如下参数中一项或多项,推演得到共享密钥:UE的标识、MA PDU会话的标识、上级密钥。示例性的,上级密钥包括如下一项或多项:AUSF密钥、SEAF密钥、RAN密钥、AMF密钥。
在一种可能的实现方式中,共享密钥的标识是SMF根据MA PDU会话的标识确定的,收发模块1601还用于:接收来自SMF的共享密钥的标识。
在一种可能的实现方式中,共享密钥的标识是UE根据MA PDU会话的标识确定的,也即是,处理模块1602还用于:根据MA PDU会话的标识确定共享密钥的标识。
在一种可能的实现方式中,处理模块1602还用于:将共享密钥的标识与共享密钥的对应存储。
在一种可能的实现方式中,共享密钥的标识是MA PDU会话的标识。
当通信装置1600用于执行第二种通信方法中第一功能的方法时:
示例性的,通信装置1600是AMF、SEAF或AUSF。示例性的,当通信装置1600是AMF时,该通信装置1600具体可以是图1或图2中的AMF,或是,图3中的V-AMF,或是图4中的H-AMF或V-AMF。在图4的场景中,该通信装置具体可以是3GPP接入对应的AMF。
在为UE建立MA PDU会话的过程中,收发模块1601用于:接收来自SMF的第二指示;处理模块1602用于:根据第二指示,推演得到共享密钥;收发模块1601还用于:向SMF发送共享密钥,其中,共享密钥用于推演得到用于保护UE与UPF之间MPQUIC连接中数据的密钥,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,共享密钥的标识是SMF根据MA PDU会话的标识确定的,收发模块1601还用于:接收来自SMF的共享密钥的标识。在一种可能的实现方式中,共享密钥的标识是AMF根据MA PDU会话的标识确定的,也即是,收发模块1601还用于:接收来自SMF的MA PDU会话的标识,处理模块1602还用于:根据MA PDU会话的标识确定共享密钥的标识。
在一种可能的实现方式中,处理模块1602在根据第二指示,推演得到共享密钥时,具体用于:根据第二指示和如下参数中一项或多项,推演得到共享密钥:UE的标识、MA PDU会话的标识、上级密钥。示例性的,当第一功能是AMF时,上级密钥包括如下中一项或多项:RAN密钥、AMF密钥;当第一功能是SEAF时,上级密钥可以是SEAF密钥;当第一功能是AUSF时,上级密钥可以是AUSF密钥。
当通信装置1600用于执行第三种通信方法中SMF的方法时:
通信装置1600可以是图1或图2中的SMF,或是,图3或图4中的H-SMF。
在为UE建立MA PDU会话的过程中,收发模块1601用于:接收来自UE的会话建立请求,会话建立请求用于请求建立UE的MA PDU会话。处理模块1602用于:根据会话建立请求,控制收发模块1601向UPF发送证书申请指示,证书申请指示用于指示向CA请求UPF的证书。其中,在UE与UPF之间的MPQUIC连接的建立过程中,UPF的证书用于UE对UPF进行认证,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,处理模块1602控制收发模块1601向UPF发送证书申请指示之后,还用于:控制收发模块1601接收来自UPF的确认指示,确认指示用于指示UPF成功请求到UPF的证书。示例性的,处理模块1602还用于:根据确认指示,确定UPF成功请求到UPF的证书。
在一种可能的实现方式中,收发模块1601还用于:向CA发送第一证书请求,第一证书请求中包括UE的公钥,UE的公钥用于CA生成UE的证书。收发模块1601还用于:接收来自CA的UE的证书,向UE发送UE的证书,UE的证书用于在MPQUIC连接的建立过程中UPF对UE进行认证。
在一种可能的实现方式中,收发模块1601向CA发送第一证书请求之前,还用于:向UE发送双向认证指示,双向认证指示用于指示在MPQUIC连接的建立过程中的认证方式是双向认证的方式。收发模块1601还用于:接收UE的公钥。示例性的,双向认证指示可以承载于无线资源控制重配置消息中。
在一种可能的实现方式中,会话建立请求中包括UE的公钥。示例性的,UE的证书可以承载于无线资源控制重配置消息中。
在一种可能的实现方式中,第一证书请求中还包括MA PDU会话的标识,MA PDU会话的标识用于确定UE的证书的标识。在一种可能的实现方式中,收发模块1601还用于:向UPF发送MA PDU会话的标识,MA PDU会话的标识用于确定UPF的证书的标识。
在一种可能的实现方式中,处理模块1602控制收发模块1601向UPF发送证书申请指示前,还用于:确定使能MPQUIC连接对应的功能。示例性的,处理模块1602在确定使能MPQUIC连接对应的功能时,具体用于:控制收发模块1601接收来自UE的能力信息,根据UE的能力信息,确定UE支持建立MPQUIC连接,和/或,确定支持MPQUIC连接对应的功能。
当通信装置1600用于执行第三种通信方法中UE的方法时:
通信装置1600可以是图1至图4中的UE。
在为UE建立MA PDU会话的过程中,收发模块1601用于向SMF发送会话建立请求,会话建立请求用于请求建立UE的MA PDU会话;在UE与UPF之间的MPQUIC连接的建立过程中,收发模块1601用于接收来自UPF的UPF的证书,处理模块1602用于根据UPF的证书对UPF进行认证;其中,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,在UE与UPF之间的MPQUIC连接的建立过程中,收发模块1601还用于接收来自SMF的UE的证书,以及,向UPF发送UE的证书,UE的证书用于UPF对UE进行认证。
在一种可能的实现方式中,会话建立请求中包括UE的公钥,UE的公钥用于SMF向CA请求UE的证书。收发模块1601向SMF发送会话建立请求之前,处理模块1602还用于生成UE的公钥。示例性的,UE的证书承载于RRC重配置消息中。
在一种可能的实现方式中,收发模块1601还用于:接收来自SMF的双向认证指示,双向认证指示用于指示在MPQUIC连接的建立过程中的认证方式是双向认证的方式;处理模块1602还用于:根据双向认证指示,生成UE的公钥;收发模块1601还用于:向SMF发送UE的公钥,UE的公钥用于SMF向CA请求UE的证书。示例性的,双向认证指示承载于RRC重配置消息中。
在一种可能的实现方式中,处理模块1602还用于:生成UE的私钥,UE的私钥用于UE在MPQUIC连接的建立过程中对传输的消息进行签名。
在一种可能的实现方式中,收发模块1601还用于:接收来自UPF的UPF的证书的标识;处理模块1602还用于:确定UPF的证书的标识是根据MA PDU会话的标识确定的。
在一种可能的实现方式中,收发模块1601还用于:向SMF发送UE的能力信息,UE的能力信息用于指示UE支持建立MPQUIC连接。
当通信装置1600用于执行第三种通信方法中UPF的方法时:
通信装置1600可以是图1或图2中的UPF,或是,图3或图4中的H-UPF。
在UE的MA PDU会话建立过程中,收发模块1601用于:接收来自SMF的证书申请指示;处理模块1602还用于:根据证书申请指示,控制收发模块1601向CA请求UPF的证书;在UE与UPF之间的MPQUIC连接的建立过程中,收发模块1601还用于向UE发送UPF的证书,UPF的证书用于UE对UPF进行认证;其中,MPQUIC连接与MA PDU会话关联,MPQUIC连接的数据由UE与UPF之间的多条路径传输。
在一种可能的实现方式中,收发模块1601向CA请求UPF的证书时,具体用于:向CA发送第二证书请求,第二证书请求用于向CA请求UPF的证书;接收来自CA的UPF的证书。
在一种可能的实现方式中,在UE与UPF之间的MPQUIC连接的建立过程中,收发模块1601还用于:接收UE的证书;处理模块1602还用于:根据UE的证书,对UE进行认证。
在一种可能的实现方式中,第二证书请求中包括UPF的公钥,UPF的公钥用于CA确定UPF的证书。也即是,在收发模块1601发送第二证书请求之前,处理模块1602还用于生成UPF的公钥。
在一种可能的实现方式中,处理模块1602还用于生成UPF的私钥,UPF的私钥用于UPF在MPQUIC连接的建立过程中对传输的消息进行签名。
在一种可能的实现方式中,第二证书请求中还包括MA PDU会话的标识,MA PDU会话的标识用于确定UPF的证书的标识。也即是,收发模块1601在发送第二证书请求之前,还用于接收来自SMF的MA PDU会话的标识。
在一种可能的实现方式中,收发模块1601在成功从CA中获取到UPF的证书之后,还用于向SMF发送确认指示,确认指示用于指示UPF成功请求到UPF的证书。
如图17所示为本申请实施例提供的装置1700,图17所示的装置可以为图16所示的装置的一种硬件电路的实现方式。该装置可适用于前面所示出的流程图中,执行上述方法实施例中UE、第一功能(例如AMF)、SMF或UPF的功能。为了便于说明,图17仅示出了该装置的主要部件。
图17所示的装置1700包括通信接口1710、处理器1720和存储器1730,其中存储器1730用于存储程序指令和/或数据。处理器1720可能和存储器1730协同操作。处理器1720可能执行存储器1730中存储的程序指令。存储器1730中存储的指令或程序被执行时,该处理器1720用于执行上述实施例中处理模块1602执行的操作,通信接口1710用于执行上述实施例中收发模块1601执行的操作。
存储器1730和处理器1720耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接,可以是电性,机械或其它的形式,用于装置、单元或模块之间的信息交互。存储器1730中的至少一个可以包括于处理器1720中。
在本申请实施例中,通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。在本申请实施例中,通信接口为收发器时,收发器可以包括独立的接收器、独立的发射器;也可以集成收发功能的收发器、或者是通信接口。
装置1700还可以包括通信线路1740。其中,通信接口1710、处理器1720以及存储器1730可以通过通信线路1740相互连接;通信线路1740可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extendedindustry standard architecture,简称EISA)总线等。通信线路1740可以分为地址总线、数据总线、控制总线等。为便于表示,图17中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其它通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器、闪存、只读存储器、可编程只读存储器、可擦除可编程只读存储器、电可擦除可编程只读存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于基站或终端中。当然,处理器和存储介质也可以作为分立组件存在于基站或终端中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行计算机程序或指令时,全部或部分地执行本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、网络设备、用户设备或者其它可编程装置。计算机程序或指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机程序或指令可以从一个网站站点、计算机、服务器或数据中心通过有线或无线方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,数字视频光盘;还可以是半导体介质,例如,固态硬盘。该计算机可读存储介质可以是易失性或非易失性存储介质,或可包括易失性和非易失性两种类型的存储介质。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系。“包括A,B和C中的至少一个”可以表示:包括A;包括B;包括C;包括A和B;包括A和C;包括B和C;包括A、B和C。可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。
Claims (40)
1.一种通信方法,其特征在于,包括:
在第一终端装置的第一多接入协议数据单元MA PDU会话建立完成之后,所述第一终端装置与第一用户面功能协商建立第一多路径快速用户数据报协议互联网连接MPQUIC连接,所述第一MPQUIC连接与所述第一MA PDU会话关联;
所述第一终端装置根据预配置密钥,推演得到用于保护所述第一MPQUIC连接的数据的密钥,所述第一MPQUIC连接的数据由所述第一终端装置与所述第一用户面功能之间的多条路径传输;
其中,所述预配置密钥还用于所述第一终端装置与第二用户面功能建立第二MPQUIC连接,所述第一用户面功能和所述第二用户面功能位于同一个公共陆地移动网络内。
2.如权利要求1所述的方法,其特征在于,所述第一终端装置与第一用户面功能协商建立第一MPQUIC连接,包括:
所述第一终端装置向第一用户面功能发送所述预配置密钥的标识。
3.如权利要求1或2所述的方法,其特征在于,所述协商中传输的消息是基于3GPP安全保护的。
4.如权利要求1-3中任一项所述的方法,其特征在于,
所述第一终端装置与所述第一用户面功能协商建立所述第一MPQUIC连接时使用的预配置密钥与第二终端装置与所述第一用户面功能协商建立第三MPQUIC连接时使用的预配置密钥相同;
所述第一终端装置与所述第二终端装置归属于同一个归属公共陆地移动网络。
5.如权利要求1-4中任一项所述的方法,其特征在于,在第一终端装置的第一MA PDU会话建立完成之后,还包括:
所述第一终端装置与所述第一用户面功能协商建立第四MPQUIC连接,所述第四MPQUIC连接与所述第一MA PDU会话关联;
所述第一终端装置根据所述预配置密钥,推演得到用于保护所述第四MPQUIC连接的数据的密钥,其中,所述用于保护所述第一MPQUIC连接的数据的密钥与所述用于保护所述第四MPQUIC连接的数据的密钥不同。
6.如权利要求1-5中任一项所述的方法,其特征在于,还包括:
在所述第一终端装置的第二MA PDU会话建立完成之后,所述第一终端装置与所述第二用户面功能协商建立所述第二MPQUIC连接,所述第二MPQUIC连接与所述第二MA PDU会话关联;
所述第一终端装置根据所述预配置密钥,推演得到用于保护所述第二MPQUIC连接的数据的密钥。
7.一种通信方法,其特征在于,包括:
在第一终端装置的第一多接入协议数据单元MA PDU会话建立完成之后,第一用户面功能与所述第一终端装置协商建立第一多路径快速用户数据报协议互联网连接MPQUIC连接,所述第一MPQUIC连接与所述第一MA PDU会话关联;
所述第一用户面功能根据预配置密钥,推演得到用于保护所述第一MPQUIC连接的数据的密钥,所述第一MPQUIC连接的数据由所述第一终端装置与所述第一用户面功能之间的多条路径传输;
其中,所述预配置密钥还用于所述第一终端装置与第二用户面功能建立第二MPQUIC连接,所述第一用户面功能和所述第二用户面功能位于同一个公共陆地移动网络内。
8.如权利要求7所述的方法,其特征在于,所述第一用户面功能与所述第一终端装置协商建立第一MPQUIC连接,包括:
所述第一用户面功能接收来自所述第一终端装置的所述预配置密钥的标识。
9.如权利要求7或8所述的方法,其特征在于,所述协商中传输的消息是基于3GPP安全保护的。
10.如权利要求7-9中任一项所述的方法,其特征在于,
所述第一用户面功能与所述第一终端装置协商建立所述第一MPQUIC连接时使用的预配置密钥,与所述第一用户面功能与第二终端装置协商建立第三MPQUIC连接时使用的预配置密钥相同;
所述第一终端装置与所述第二终端装置归属于同一个归属公共陆地移动网络。
11.如权利要求7-10中任一项所述的方法,其特征在于,在第一终端装置的第一MA PDU会话建立完成之后,还包括:
所述第一用户面功能与所述第一终端装置协商建立第四MPQUIC连接,所述第四MPQUIC连接与所述第一MA PDU会话关联;
所述第一用户面功能根据所述预配置密钥,推演得到用于保护所述第四MPQUIC连接的数据的密钥,其中,所述用于保护所述第一MPQUIC连接的数据的密钥与所述用于保护所述第四MPQUIC连接的数据的密钥不同。
12.一种通信方法,其特征在于,适用于为终端装置建立多接入协议数据单元MA PDU会话的过程中,所述方法包括:
会话管理功能从第一功能中获得共享密钥;
所述会话管理功能向用户面功能发送所述共享密钥,所述共享密钥用于推演得到用于保护所述终端装置与所述用户面功能之间多路径快速用户数据报协议互联网连接MPQUIC连接中数据的密钥,所述MPQUIC连接与所述MA PDU会话关联,所述MPQUIC连接的数据由所述终端装置与所述用户面功能之间的多条路径传输。
13.如权利要求12所述的方法,其特征在于,还包括:
所述会话管理功能向所述终端装置发送第一指示,所述第一指示用于指示所述终端装置采用共享密钥的方式与所述用户面功能建立所述MPQUIC连接。
14.如权利要求12或13所述的方法,其特征在于,所述会话管理功能从第一功能获得共享密钥之前,还包括:
所述会话管理功能确定使能所述MPQUIC连接对应的功能。
15.如权利要求14所述的方法,其特征在于,所述会话管理功能确定使能所述MPQUIC连接对应的功能,包括:
所述会话管理功能接收来自所述终端装置的能力信息,根据所述终端装置的能力信息,确定所述终端装置支持建立所述MPQUIC连接;和/或,
所述会话管理功能支持所述MPQUIC连接对应的功能。
16.如权利要求12-15任一项所述的方法,其特征在于,所述会话管理功能从第一功能获得共享密钥,包括:
所述会话管理功能向所述第一功能发送第二指示,所述第二指示用于指示推演得到所述共享密钥;
所述会话管理功能接收来自所述第一功能的所述共享密钥。
17.如权利要求12-16任一项所述的方法,其特征在于,还包括:
所述会话管理功能向所述用户面功能发送所述共享密钥的标识。
18.如权利要求12-17任一项所述的方法,其特征在于,所述共享密钥的标识是所述会话管理功能根据所述MA PDU会话的标识确定的,所述方法还包括:
所述会话管理功能向所述第一功能发送所述共享密钥的标识;和/或,
所述会话管理功能向所述终端装置发送所述共享密钥的标识。
19.如权利要求12-17任一项所述的方法,其特征在于,所述共享密钥的标识是所述第一功能根据所述MA PDU会话的标识确定的,所述方法还包括:
所述会话管理功能向所述第一功能发送所述MA PDU会话的标识;
所述会话管理功能接收来自所述第一功能的所述共享密钥的标识。
20.如权利要求12-19任一项所述的方法,其特征在于,
所述共享密钥的标识是所述MA PDU会话的标识。
21.如权利要求12-20任一项所述的方法,其特征在于,所述第一功能是接入管理功能、安全锚点功能或鉴权服务器功能。
22.一种通信方法,其特征在于,包括:
会话管理功能接收来自终端装置的会话建立请求,所述会话建立请求用于请求建立所述终端装置的多接入协议数据单元MA PDU会话;
所述会话管理功能根据所述会话建立请求,向所述用户面功能发送证书申请指示,所述证书申请指示用于指示向证书认证机构请求所述用户面功能的证书;其中,所述用户面功能的证书用于:在所述终端装置与所述用户面功能之间的多路径快速用户数据报协议互联网连接MPQUIC连接的建立过程中,所述终端装置对所述用户面功能进行认证;所述MPQUIC连接与所述MA PDU会话关联,所述MPQUIC连接的数据由所述终端装置所述与用户面功能之间的多条路径传输。
23.如权利要求22所述的方法,其特征在于,所述会话管理功能向用户面功能发送证书申请指示之后,还包括:
所述会话管理功能接收来自所述用户面功能的确认指示,所述确认指示用于指示所述用户面功能成功请求到所述用户面功能的证书。
24.如权利要求22或23所述的方法,其特征在于,还包括:
所述会话管理功能向所述证书认证机构发送所述第一证书请求,所述第一证书请求中包括所述终端装置的公钥,所述终端装置的公钥用于生成所述终端装置的证书;
所述会话管理功能接收来自所述证书认证机构的所述终端装置的证书,向所述终端装置发送所述终端装置的证书,所述终端装置的证书用于在所述MPQUIC连接的建立过程中所述用户面功能对所述终端装置进行认证。
25.如权利要求24所述的方法,其特征在于,所述会话管理功能向证书认证机构发送所述第一证书请求之前,还包括:
所述会话管理功能向终端装置发送双向认证指示,所述双向认证指示用于指示在所述MPQUIC连接的建立过程中的认证方式是双向认证的方式;
所述会话管理功能接收来自所述终端装置的所述终端装置的公钥。
26.如权利要求24所述的方法,其特征在于,所述会话建立请求中包括所述终端装置的公钥。
27.如权利要求24-26中任一项所述的方法,其特征在于,所述第一证书请求中还包括所述MA PDU会话的标识,所述MA PDU会话的标识用于确定所述终端装置的证书的标识。
28.如权利要求22-27任一项所述的方法,其特征在于,还包括:
所述会话管理功能向所述用户面功能发送所述MA PDU会话的标识,所述MA PDU会话的标识用于确定所述用户面功能的证书的标识。
29.如权利要求22-28任一项所述的方法,其特征在于,所述会话管理功能向用户面功能发送证书申请指示之前,还包括:
所述会话管理功能确定使能所述MPQUIC连接对应的功能。
30.如权利要求29所述的方法,其特征在于,所述会话管理功能确定使能所述MPQUIC连接对应的功能,包括:
所述会话管理功能接收来自所述终端装置的能力信息,根据所述终端装置的能力信息,确定所述终端装置支持建立所述MPQUIC连接;和/或,
所述会话管理功能支持所述MPQUIC连接对应的功能。
31.一种通信方法,其特征在于,包括:
在终端装置的多接入协议数据单元MA PDU会话建立过程中,用户面功能接收来自会话管理功能的证书申请指示,根据所述证书申请指示,向证书认证机构请求所述用户面功能的证书;
在所述终端装置与所述用户面功能之间的MPQUIC连接的建立过程中,所述用户面功能向终端装置发送所述用户面功能的证书,所述用户面功能的证书用于所述终端装置对所述用户面功能进行认证;
其中,所述MPQUIC连接与所述MA PDU会话关联,所述MPQUIC连接的数据由所述终端装置所述与用户面功能之间的多条路径传输。
32.如权利要求31所述的方法,其特征在于,所述用户面功能向证书认证机构请求所述用户面功能的证书,包括:
所述用户面功能向所述证书认证机构发送第二证书请求,所述第二证书请求用于请求所述用户面功能的证书;
所述用户面功能接收来自所述证书认证机构的所述用户面功能的证书。
33.如权利要求31或32所述的方法,其特征在于,在所述终端装置与所述用户面功能之间的MPQUIC连接的建立过程中,所述方法还包括:
所述用户面功能接收来自所述终端装置的所述终端装置的证书;
所述用户面功能根据所述终端装置的证书,对所述终端装置进行认证。
34.如权利要求31-33中任一项所述的方法,其特征在于,所述第二证书请求中包括所述用户面功能的公钥,所述用户面功能的公钥用于确定所述用户面功能的证书;
所述方法还包括:
所述用户面功能生成所述用户面功能的公钥。
35.如权利要求31-34中任一项所述的方法,其特征在于,所述第二证书请求中还包括所述MA PDU会话的标识,所述MA PDU会话的标识用于确定所述用户面功能的证书的标识;
所述方法还包括:
用户面功能接收来自所述会话管理功能的所述MA PDU会话的标识。
36.如权利要求31-35中任一项所述的方法,其特征在于,还包括:
所述用户面功能向所述会话管理功能发送确认指示,所述确认指示用于指示所述用户面功能成功请求到所述用户面功能的证书。
37.一种通信装置,其特征在于,包括用于执行如权利要求1至36中的任一项所述方法的模块。
38.一种通信装置,其特征在于,包括处理器和接口电路,所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置,所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至36中任一项所述的方法。
39.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如权利要求1至36中任一项所述的方法。
40.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序或指令,当所述计算机程序或指令被通信装置执行时,实现如权利要求1至36中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311603343.2A CN120050800A (zh) | 2023-11-27 | 2023-11-27 | 一种通信方法及装置 |
| PCT/CN2024/134341 WO2025113396A1 (zh) | 2023-11-27 | 2024-11-25 | 一种通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311603343.2A CN120050800A (zh) | 2023-11-27 | 2023-11-27 | 一种通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN120050800A true CN120050800A (zh) | 2025-05-27 |
Family
ID=95752288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311603343.2A Pending CN120050800A (zh) | 2023-11-27 | 2023-11-27 | 一种通信方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN120050800A (zh) |
| WO (1) | WO2025113396A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120786732A (zh) * | 2025-07-29 | 2025-10-14 | 星际数链(北京)科技有限公司 | Quic协议链路建立过程与5g nas流程融合设计 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021163684A1 (en) * | 2020-02-14 | 2021-08-19 | Idac Holdings, Inc. | Methods and apparatuses for enabling multi-host multipath secure transport with quic |
| CN112738855B (zh) * | 2020-09-29 | 2023-04-18 | 网络通信与安全紫金山实验室 | 一种应用在quic的基于多链路的传输方法和装置 |
| EP4262170A1 (en) * | 2022-04-11 | 2023-10-18 | Comcast Cable Communications, LLC | Multipath communication and control |
-
2023
- 2023-11-27 CN CN202311603343.2A patent/CN120050800A/zh active Pending
-
2024
- 2024-11-25 WO PCT/CN2024/134341 patent/WO2025113396A1/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN120786732A (zh) * | 2025-07-29 | 2025-10-14 | 星际数链(北京)科技有限公司 | Quic协议链路建立过程与5g nas流程融合设计 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2025113396A1 (zh) | 2025-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11895229B2 (en) | States secondary authentication of a user equipment | |
| CN111052781B (zh) | 用于协商安全性算法和完整性算法的方法和设备 | |
| JP6093810B2 (ja) | 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定 | |
| CN116746182A (zh) | 安全通信方法及设备 | |
| CN113841366B (zh) | 通信方法及装置 | |
| WO2025113396A1 (zh) | 一种通信方法及装置 | |
| CN104770002A (zh) | 分流方法、基站及用户设备 | |
| CN118400734A (zh) | 切片服务验证方法及其装置 | |
| WO2024145946A1 (en) | Apparatus, method, and computer program | |
| US20250311025A1 (en) | Methods and Apparatus Supporting User Equipment (UE) Access to a Core Network Via a Wireless Local Area Network (WLAN) and Facilitating Transfer of Application Data via the Core Network | |
| US20250106907A1 (en) | Methods and Apparatus for Supporting and Using a QUIC connection between a UE and N3IWF in a Communications System | |
| CN120456001A (zh) | 一种通信方法及装置 | |
| GB2637518A (en) | Partial user plane protection in mobile networks | |
| CN120786731A (zh) | 一种通信方法和装置 | |
| WO2025066797A1 (zh) | 一种通信方法及装置 | |
| WO2025026232A1 (zh) | 会话建立方法及相关装置 | |
| WO2024060626A1 (zh) | 鉴权方法、通信装置及通信系统 | |
| WO2025064948A1 (en) | Methods and apparatus for supporting and using a quic connection between a ue and n3iwf in a communications system | |
| CN119342458A (zh) | 传输协议中应用元数据的保护 | |
| HK40010037B (zh) | 对用户设备的辅认证 | |
| HK40010037A (zh) | 对用户设备的辅认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |