本发明涉及通信技术领域,尤其涉及一种信息处理方法及装置。
背景技术:
随着4g网络的发展和部署商用,5g研究已经成为研究的热点,以3gpp为代表的国际国内标准化组织正在进行5g标准的制定。
在5g网络架构中,下一代网络的控制面(ng-cp)是基于服务的设计,所有核心网的控制面网元可以通过服务化的api(applicationprogramminginterface,应用程序接口)实现相互之间的直接的通信。该架构体现了对5g网络架构的接入无关性的要求的支持,即ue不管通过何种方式(3gpp接入或者non-3gpp接入(如wifi))接入到5g核心网,ue和核心网之间的nas(non-accessstratum,非接入层)消息都终结在amf(accessmanagementfunction,接入网络功能),即对ue来说与核心网之间的nas消息都是ng1接口上的消息;核心网和接入网之间的接口都是ng2接口。由于nas消息终结在amf,所以nas安全也会终结在nas终结点即amf上。
3gppsa3正在制定5g安全标准,目前为了支持多种接入技术和多种认证机制,满足统一认证框架的需求,基本认可eap(extensiveauthenticationprotocol,可扩展认证协议)作为5g网络的统一认证框架。为了支持eap框架,sa3定义了如下四种跟认证相关的实体:
arpf(authenticationcredentialrepositoryandprocessingfunction,认证凭证存储和处理功能):该功能存储用于认证的长期安全证书(credentials),并使用长期安全credentials作为输入执行密码运算。另外,还存储subscriberprofile。arpf位于运营商或者第三方系统的安全环境中,不会暴露给非授权的物理访问。arpf和ausf之间进行交互。
ausf(authenticationserverfunction,认证服务器功能):与arpf交互的认证功能,并终止来自seaf的请求。ausf位于运营商或第三方系统的安全环境中,不会暴露给未授权的物理接入。
seaf(securityanchorfunction,安全锚点功能):核心网中与ausf以及ng-ue交互的认证功能,并且从ausf接受ng-ue认证过程中产生的中间密钥(intermediatekey)。seaf还会与mm功能以及scmf进行交互。它位于运营商网络的安全环境中,不会暴露给非授权的访问。漫游场景中,seaf位于拜访网络。
scmf(securitycontextmanagementfunction,安全上下文管理功能):scmf从seaf接受密钥并衍生其他密钥。它位于运营商网络的安全环境中,不暴露给非授权的访问。在漫游场景,scmf位于拜访网络中。
当ue使用一种接入技术接入到网络的时候,ue和网络之间会进行相互认证,在网路侧由ausf实现对ue的认证。相互认证成功后,ausf会生成主密钥(即msk)并发送给seaf,seaf发送给scmf进行nas层、as层以及用户面根密钥的推衍。最后,由seaf将nas层、as层以及用户面根密钥分别发给amf、接入网实体(如5g新基站gnb)以及smf(sessionmanagementfunction会话管理功能)进行会话密钥的推衍。此时,seaf会存储主密钥、nas层、as层以及用户面根密钥等,amf处会存储ue的nas层完整性密钥、机密性密钥、相关算法以及ue的imsi等,这些密钥、算法以及ue的身份一起构成ue本次接入的安全上下文内容。
sa3的5g安全研究报告提出由于在下一代网络中使用统一认证框架,所以不同接入技术接入网络的安全上下文可以位于ue和网络侧的相同实体上,从而不同接入技术之间的安全上下文共享是可以实现。例如,当ue使用accesstechnology2接入网络时,ue和网络之间的认证可以直接重用ue使用accesstechnolohy1成功接入网络后生成的安全上下文。
如果accesstechnology1技术使用的接入认证机制具有低安全级别,并且是符合ue使用accesstechnology1接入网络的业务需求的,当ue使用accesstechnology2技术接入网络进行高安全级别业务时,需要使用高安全级别接入认证机制来满足业务的需求,此时重用accesstechnology1技术使用的接入认证机制生成的安全上下文,显然是不符合用户业务的安全需求的。
技术实现要素:
有鉴于此,本发明提供一种信息处理方法及装置,用以保证业务的安全性。
为解决上述技术问题,第一方面,本发明提供一种信息处理方法,包括:
获取认证机制指示信息;
根据所述认证机制指示信息确定是否采用安全机制。
其中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述扩展的ng-ksi包括:一数值、类型字段,所述类型字段用于存储安全上下文的类型以及认证机制的类型;或者,所述扩展的ng-ksi包括:一数值、安全上下文类型字段、认证机制类型字段,所述认证机制类型字段或者所述认证机制类型字段的预设字节,用于存储认证机制的类型;
或者,所述认证机制指示信息通过单独的认证机制标识进行指示,所述认证机制标识包括一数值、类型字段,所述类型字段用于存储认证机制的类型;
或者,所述认证机制指示信息通过签约身份标识进行指示。
其中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述方法应用于用户设备ue,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
在ue附着到网络,或者,网络接入方式由第一接入方式切换到第二接入方式,或者,ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取与所述扩展的ng-ksi的类型字段或者安全上下文类型字段对应的安全上下文;
根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述认证机制指示信息通过单独的认证机制标识进行指示;所述方法应用于ue,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取存储的安全上下文;
读取与所述安全上下文对应的认证机制标识的类型字段;
根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述认证机制指示信息通过签约身份标识进行指示;所述方法应用于ue,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取安全上下文;
获取与所述安全上下文对应的签约身份标识中的认证机制指示字段;
根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述方法应用于ue,通信对端为网络侧;所述若确定所述安全上下文不适用于当前业务,确定采取安全机制,包括:
在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,向所述网络侧发送接入认证请求,在所述接入认证请求中包括身份标识、业务类型;
接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,所述方法应用于ue,通信对端为网络侧;所述若确定所述安全上下文不适用于当前业务,确定采取安全机制,包括:
在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,在所述接入认证请求中包括期待使用的认证机制的标识、业务类型;
接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,所述方法应用于ue,通信对端为网络侧;所述若确定所述安全上下文不适用于当前业务,确定采取安全机制,包括:
在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,向所述网络侧发送接入认证请求,在所述接入认证请求中包括签约身份标识、业务类型;
接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,在所述接入认证请求中还包括接入类型标识。
其中,所述方法应用于网络侧,所述获取认证机制指示信息,包括:
当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识、扩展的ng-ksi;
获取所述附着请求中的扩展的ng-ksi;
根据所述扩展的ng-ksi获取认证机制指示信息。
其中,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
根据所述扩展的ng-ksi确定是否存储有与所述扩展的ng-ksi对应的安全上下文;
若存储有与所述扩展的ng-ksi对应的安全上下文,获取安全上下文,并对所述附着请求进行完整性认证;
在完整性认证通过后,根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型、所述业务类型标识,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述方法应用于网络侧,所述获取认证机制指示信息,包括:
当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识、ng-ksi;
根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
获取存储的与所述安全上下文对应的认证机制标识。
其中,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
读取所述认证机制标识中的类型字段;
根据读取到的所述类型字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述方法应用于网络侧,所述获取认证机制指示信息,包括:
当ue附着到网络,或者当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识和ng-ksi;
根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
获取存储的与所述安全上下文对应的签约身份标识。
其中,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
读取所述签约身份标识中的认证机制指示字段;
根据读取到的所述签约身份标识中的认证机制指示字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述方法应用于网络侧,所述获取认证机制指示信息,包括:
当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识;
根据所述附着请求获取存储的扩展的ng-ksi;
根据所述扩展的ng-ksi获取认证机制指示信息。
其中,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
读取所述扩展的ng-ksi的类型字段;
根据读取到的所述扩展的ng-ksi的类型字段中的安全上下文的类型的信息,获取安全上下文;
根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述方法应用于网络侧,所述获取认证机制指示信息,包括:
当ue的网络接入方式由第一接入方式切换到第二接入方式或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识、ng-ksi;
根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
获取存储的与所述安全上下文对应的认证机制标识。
其中,所述根据所述认证机制指示信息确定是否采用安全机制,包括:
读取所述认证机制标识中的类型字段;
根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,在所述附着请求中还包括接入类型标识。
其中,所述方法应用于网络侧,通信对端为ue;所述若确定所述安全上下文不适用于当前业务,确定采取安全机制,包括:
在用户设备ue附着到网络时,向ue发送认证请求;
生成用于当前业务的安全上下文。
其中,所述方法应用于网络侧,通信对端为ue;所述若确定所述安全上下文不适用于当前业务,确定采取安全机制,包括:
当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,重用安全上下文接入到网络后,向ue发送认证请求;
生成用于当前业务的安全上下文。
其中,所述方法还包括:
更新所述扩展的ng-ksi;或者
存储当前业务所使用的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
第二方面,本发明提供一种信息处理装置,包括:
获取模块,用于获取认证机制指示信息;
确定模块,用于根据所述认证机制指示信息确定是否采用安全机制。
其中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述扩展的ng-ksi包括:一数值、类型字段,所述类型字段用于存储安全上下文的类型以及认证机制的类型;或者,所述扩展的ng-ksi包括:一数值、安全上下文类型字段、认证机制类型字段,所述认证机制类型字段或者所述认证机制类型字段的预设字节,用于存储认证机制的类型;
或者,所述认证机制指示信息通过单独的认证机制标识进行指示,所述认证机制标识包括一数值、类型字段,所述类型字段用于存储认证机制的类型;
或者,所述认证机制指示信息通过签约身份标识进行指示。
其中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述确定模块包括:
获取子模块,用于在ue附着到网络,或者,网络接入方式由第一接入方式切换到第二接入方式,或者,ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取与所述扩展的ng-ksi的类型字段或者安全上下文类型字段对应的安全上下文;
第一确定子模块,用于根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述认证机制指示信息通过单独的认证机制标识进行指示;所述确定模块包括:
第一获取子模块,用于在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取存储的安全上下文;
第二获取子模块,用于读取与所述安全上下文对应的认证机制标识的类型字段;
第一确定子模块,用于根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述认证机制指示信息通过签约身份标识进行指示;所述确定模块包括:
第一获取子模块,用于在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取安全上下文;
第二获取子模块,用于获取与所述安全上下文对应的签约身份标识中的认证机制指示字段;
第一确定子模块,用于根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述第二确定子模块包括:
发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,在所述接入认证请求中包括身份标识、业务类型;
生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,所述第二确定子模块包括:
发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,在所述接入认证请求中包括期待使用的认证机制的标识、业务类型;
生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,所述第二确定子模块包括:
发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,向所述网络侧发送接入认证请求,在所述接入认证请求中包括签约身份标识、业务类型;
生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,在所述接入认证请求中还包括接入类型标识。
其中,所述获取模块包括:
接收子模块,用于当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识和扩展的ng-ksi;
第一获取子模块,用于获取所述附着请求中的扩展的ng-ksi;
第二获取子模块,用于根据所述扩展的ng-ksi获取认证机制指示信息。
其中,所述确定模块包括:
第一确定子模块,用于根据所述扩展的ng-ksi确定是否存储有与所述扩展的ng-ksi对应的安全上下文;
第一获取子模块,用于若存储有与所述扩展的ng-ksi对应的安全上下文,获取安全上下文,并对所述附着请求进行完整性认证;
第二确定子模块,用于在完整性认证通过后,根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型、所述业务类型标识,确定所述安全上下文是否适用于当前业务;
第三确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块包括:
接收子模块,用于当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识和ng-ksi;
第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
第二获取子模块,用于获取存储的与所述安全上下文对应的认证机制标识。
其中,所述确定模块包括:
第一获取子模块,用于读取所述认证机制标识中的类型字段;
第一确定子模块,用于根据读取到的所述类型字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块包括:
接收子模块,用于当ue附着到网络,或者当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识和ng-ksi;
第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
第二获取子模块,用于获取存储的与所述安全上下文对应的签约身份标识。
其中,所述确定模块包括:
第一获取子模块,用于读取所述签约身份标识中的认证机制指示字段;
第一确定子模块,用于根据读取到的所述签约身份标识中的认证机制指示字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块包括:
接收子模块,用于当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识;
第一获取子模块,用于根据所述附着请求获取存储的扩展的ng-ksi;
第二获取子模块,用于根据所述扩展的ng-ksi获取认证机制指示信息。
其中,所述确定模块包括:
第一获取子模块,用于读取所述扩展的ng-ksi的类型字段;
第二获取子模块,用于根据读取到的所述扩展的ng-ksi的类型字段中的安全上下文的类型的信息,获取安全上下文;
第一确定子模块,用于根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块包括:
接收子模块,用于当ue的网络接入方式由第一接入方式切换到第二接入方式或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识、ng-ksi;
第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;
第二获取子模块,用于获取存储的与所述安全上下文对应的认证机制标识。
其中,所述确定模块包括:
第一获取子模块,用于读取所述认证机制标识中的类型字段;
第一确定子模块,用于根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;
第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,在所述附着请求中还包括接入类型标识。
其中,所述第二确定子模块包括:
发送单元,用于在用户设备ue附着到网络时,向ue发送认证请求;
生成单元,用于生成用于当前业务的安全上下文。
其中,所述第二确定子模块包括:
发送单元,用于当网络接入方式由第一接入方式切换到第二接入方式或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,重用安全上下文接入到网络后,向ue发送认证请求;
生成单元,用于生成用于当前业务的安全上下文。
其中,所述装置还包括:
更新模块,用于更新所述扩展的ng-ksi;或者存储当前业务所使用的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
本发明的上述技术方案的有益效果如下:
在本发明实施例中,利用获取的认证机制指示信息判断是否采用安全机制,保证了使用低安全级别认证机制生成的安全下文不会用于高安全级别的业务,从而更好的保证了高安全级别的业务的安全。
附图说明
图1为本发明实施例一的信息处理方法的流程图;
图2为现有技术中ng-ksi的示意图;
图3为本发明实施例中ng-ksi的示意图;
图4(a)为本发明实施例中ng-ksi的示意图;
图4(b)为本发明实施例中ng-ksi的示意图;
图5为本发明实施例二的信息处理方法的流程图;
图6为本发明实施例三的信息处理方法的流程图;
图7为本发明实施例五的信息处理方法的流程图;
图8为本发明实施例六的信息处理方法的流程图;
图9为本发明实施例八的信息处理方法的流程图;
图10为本发明实施例九的信息处理方法的流程图;
图11为本发明实施例十一的信息处理方法的流程图;
图12为本发明实施例十二的信息处理方法的流程图;
图13为本发明实施例十四的信息处理装置的示意图;
图14为本发明实施例十四的信息处理装置的结构图;
图15为本发明实施例十五的信息处理装置的示意图;
图16为本发明实施例十五的信息处理装置的结构图。
具体实施方式
下面将结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例一
如图1所示,本发明实施例一的信息处理方法,包括:
步骤101、获取认证机制指示信息。
在本发明实施例中,所述认证机制指示信息用于表示当前存储的安全上下文是通信双方采用何种认证机制相互认证成功后生成的。其中通信双方指的是的ue和网络侧(如ausf)。
在本发明实施例中,认证机制指示信息可以采用以下几种形式进行指示:
第一种形式,对现有的ng-ksi进行扩展,获取扩展的ng-ksi。
目前在5g网络中,提出使用ng-ksi来标识密钥和安全上下文。现有的ng-ksi由一个值(value)和安全上下文类型(type)组成。该安全上下文类型用来指示,nextgen(下一代网络)的安全上下文是从nextgen认证产生的nativenextgen(本地下一代网络)安全上下文,还是从lte认证衍生的mappednextgen(映射下一代网络)安全上下文。ue和网络之间认证成功后,seaf会分配一个ng-ksi来标识安全上下文的类型,并将ng-ksi(nextgeneration-keysetidentifier下一代系统的密钥指示标示符)传送给ue。seaf和ue会分别存储ng-ksi。现有技术中的ng-ksi的结构示意图如图2所示。
如图3所示,在本发明实施例中,所述扩展的ng-ksi包括:一数值(value)、类型字段(type1),所述类型字段用于存储安全上下文的类型(type)以及认证机制的类型(type’)。
如图4(a)和4(b)所示,在本发明实施例中,所述扩展的ng-ksi包括:一数值(value)、安全上下文类型字段(type)、认证机制类型字段(type’),所述认证机制类型字段或者所述认证机制类型字段的预设字节(任意设置,图中x-y对应的字节),用于存储认证机制的类型。
第二种形式,在本发明实施例中,还可利用一个新的认证机制标识来表示认证机制类型。比如,该认证机制标识可以由一数值(value)和类型字段(type)组成。该type指示认证机制的类型。例如,type=1代表认证机制是eps-aks;type=2代表认证机制是eap-tls等。该认证机制标识需要分别在ue和网络侧与安全上下文绑定存储。
第三种形式,所述认证机制指示信息通过签约身份标识进行指示。如可在签约身份标识中设置认证机制的指示字段,用来指示认证机制。
当然,在具体应用中,认证机制指示信息还可不局限于采用以上描述的几种形式。
步骤102、根据所述认证机制指示信息确定是否采用安全机制。
其中,所述安全机制例如可以是与通信对端进行重新认证,确定用于当前业务的安全上下文等。
通过以上描述可以看出,在本发明实施例中,利用获取的认证机制指示信息判断是否采用安全机制,保证了使用低安全级别认证机制生成的安全下文不会用于高安全级别的业务,从而更好的保证了高安全级别的业务的安全。
在本发明实施例中,通信的双方为ue和网络侧。以下几个实施例中,分别从ue和网络侧的角度出发,描述一下ue和网络侧是如何确定是否重用已有的安全上下文的。安全上下文的重用有多种场景,包括ue附着网络、ue同时使用多接入技术连接网络、ue从4g切换到5g等。
实施例二
在实施例二中,以附着网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用扩展的ng-ksi作为认证机制标识。
如图5所示,本发明实施例二的信息处理方法包括:
步骤201、当处于去附着状态的ue需要附着网络时,ue获取安全上下文。
当处于去附着状态的ue需要附着网络时,会检查本地是否有存储安全上下文。由于ue本身存储有扩展的ng-ksi,那么在此,ue可根据存储的扩展的ng-ksi中的类型字段或者安全上下文类型字段中的信息,获取对应的安全上下文。如果获取到安全上下文,则继续执行步骤202,否则与网络侧进行重新认证的过程。
步骤202、ue根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型,确定所述安全上下文是否适用于当前业务。
不同的业务对认证机制的要求不同,由于所述认证机制标识用于表示当前存储的安全上下文是通信双方采用何种认证机制相互认证成功后生成的,因此,根据该认证机制标识中的信息即可确定安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤203;否则执行步骤204。
步骤203、ue向网络侧发送接入认证请求。
其中,在接入认证请求中包含扩展的ng-ksi,ue的临时身份标识等,来指示网络ue本地存有安全上下文并且可以重用该安全上下文。
步骤204、ue向所述网络侧发送接入认证请求,在所述接入认证请求中包括身份标识、业务类型。进一步的在该接入认证请求中还可包括接入类型标识等。
网络侧接收到该接入认证请求后,与ue进行相互认证。
步骤205、ue接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
步骤206、根据重新确认的认证机制,更新所述扩展的ng-ksi。
当然,在网络侧也可更新扩展的ng-ksi。
实施例三
在实施例三中,以附着网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用上述第二种形式中新分配的标识作为认证机制标识。
如图6所示,本发明实施例三的信息处理方法包括:
步骤301、当处于去附着状态的ue需要附着网络时,ue获取安全上下文。
当处于去附着状态的ue需要附着网络时,会检查本地是否有存储安全上下文。由于ue本身存储有ng-ksi,那么在此,ue可根据存储的ng-ksi中的安全上下文类型的信息,获取对应的安全上下文。如果获取到安全上下文,则继续执行步骤302,否则与网络侧进行重新认证的过程。
步骤302、ue读取与所述安全上下文对应的认证机制标识的类型字段,根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务。
在本发明实施例中,每个安全上下文都绑定有认证机制标识。根据读取到的安全上下文,即可获取到对应的认证机制标识,并可读取其中的类型字段。根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤303;否则执行步骤304。
步骤303、ue向网络侧发送接入认证请求。
其中,在接入认证请求中包含ng-ksi,ue的临时身份标识等,来指示网络ue本地存有安全上下文并且可以重用该安全上下文。
步骤304、ue向所述网络侧发送接入认证请求,在所述接入认证请求中包括期待使用的认证机制的标识,业务类型。进一步的在该接入认证请求中还可包括接入类型标识等。
网络侧接收到该接入认证请求后,与ue进行相互认证。
步骤305、ue接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
步骤306、存储重新确认的认证机制的标识与所述用于当前业务的安全上下文的对应关系。当然,在网络侧也可更新存储该对应关系。
在本发明实施例四中,以附着网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用签约身份标识指示认证机制标识。其中,在实施例四中,与实施例三不同的是,在步骤302中,ue获取与所述安全上下文对应的签约身份标识中的认证机制指示字段,并根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务。在步骤304ue发送给网络侧的接入认证请求中,包括的时签约身份标识、业务类型。进一步的在该接入认证请求中还可包括接入类型标识等。
实施例五
在实施例五中,以ue同时使用多接入技术连接网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用扩展的ng-ksi作为认证机制标识。
ue已经使用一种接入技术(如接入技术1)成功接入网络。由于业务的需求,ue需要使用另一种接入技术(如接入技术2)接入网络,开展业务。根据sa2的5g架构,目前nas终结点是amf,所以nas安全也是终结在amf上。即不管使用哪种接入技术接入网络,nas安全都是ue和amf之间的nas信令的安全。从网络接入的时延的考虑,可以重用ue使用接入技术1成功接入网络后生成的安全上下文。但当接入技术1对应的安全机制的安全级别低于接入技术2对应的安全机制的安全级别,并且使用接入技术1对应的安全机制不满足ue想新开展的业务需求时,需要由ue在重用安全上下文接入网络后,触发重认证流程。
如图7所示,本发明实施例五的信息处理方法包括:
步骤401、ue和网络之间使用接入技术1和认证机制1成功执行相互认证,并建立安全上下文。
步骤402、网络接入方式由第一接入方式切换到第二接入方式时,ue获取安全上下文。
由于业务需求,ue需使用接入技术2接入网络。ue查看扩展的ng-ksi中指示的安全上下文是否满足即将开展的业务的需求。
ue会检查本地是否有存储安全上下文。由于ue本身存储有扩展的ng-ksi,那么在此,ue可根据存储的扩展的ng-ksi中的类型字段或者安全上下文类型字段中的信息,获取对应的安全上下文。如果获取到安全上下文,则继续执行步骤403,否则与网络侧进行重新认证的过程。
步骤403、ue根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤404;否则执行步骤405。
步骤404、ue向网络侧请求为接入技术2创建安全上下文以保护通过接入技术2接入网络后的业务数据传输的安全。
即ue和网络之间从当前的nas安全上下文推衍出接入技术2接入后的as(accessstratum,接入层)层和/或up(userplane,用户层面)层的相关密钥。
步骤405、ue重用所述安全上下文接入网络后,向所述网络侧发送接入认证请求,在所述接入认证请求中包括身份标识、业务类型。进一步的在该接入认证请求中还可包括接入类型标识等。
网络侧接收到该接入认证请求后,可使用接入技术2的认证机制与ue进行相互认证。
步骤406、ue接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
步骤407、利用重新确认的认证机制的标识,更新所述扩展的ng-ksi。
实施例六
在实施例六中,以ue同时使用多接入技术连接网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用上述第二种形式中新分配的标识作为认证机制标识。
ue已经使用一种接入技术(如接入技术1)成功接入网络。由于业务的需求,ue需要使用另一种接入技术(如接入技术2)接入网络,开展业务。根据sa2的5g架构,目前nas终结点是amf,所以nas安全也是终结在amf上。即不管使用哪种接入技术接入网络,nas安全都是ue和amf之间的nas信令的安全。从网络接入的时延的考虑,可以重用ue使用接入技术1成功接入网络后生成的安全上下文。但当接入技术1对应的安全机制的安全级别低于接入技术2对应的安全机制的安全级别,并且使用接入技术1对应的安全机制不满足ue想新开展的业务需求时,需要由ue在重用安全上下文接入网络后,触发重认证流程。
如图8所示,本发明实施例六的信息处理方法包括:
步骤501、ue和网络之间使用接入技术1和认证机制1成功执行相互认证,并建立安全上下文。
步骤502、网络接入方式由第一接入方式切换到第二接入方式时,ue获取安全上下文。
由于业务需求,ue需使用接入技术2接入网络。ue查看ng-ksi中指示的安全上下文是否满足即将开展的业务的需求。
ue会检查本地是否有存储安全上下文。由于ue本身存储有ng-ksi,那么在此,ue可根据存储的ng-ksi中的类型字段中的信息,获取对应的安全上下文。如果获取到安全上下文,则继续执行步骤503,否则与网络侧进行重新认证的过程。
步骤503、ue读取与所述安全上下文对应的认证机制标识的类型字段,根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务。
在本发明实施例中,每个安全上下文都绑定有认证机制标识。根据读取到的安全上下文,即可获取到对应的认证机制标识,并可读取其中的类型字段。根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤504;否则执行步骤505。
步骤504、ue向网络侧请求为接入技术2创建安全上下文以保护通过接入技术2接入网络后的业务数据传输的安全。
即ue和网络之间从当前的nas安全上下文推衍出接入技术2接入后的as层和/或up层的相关密钥。
步骤505、ue重用所述安全上下文接入网络后,向所述网络侧发送接入认证请求,在所述接入认证请求中包括期待使用的认证机制的标识,业务类型。进一步的在该接入认证请求中还可包括接入类型标识等。
网络侧接收到该接入认证请求后,使用接入技术2的认证机制与ue进行相互认证。
步骤506、ue接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
步骤507、存储重新确认的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
在本发明实施例七中,以ue同时使用多接入技术连接网络时,由ue决定是否重用安全上下文为例进行描述。在此,采用签约身份标识指示认证机制标识。其中,在实施例七中,与实施例六不同的是,在步骤504中,ue获取与所述安全上下文对应的签约身份标识中的认证机制指示字段,并根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务。在步骤505ue发送给网络侧的接入认证请求中,携带的是签约身份标识、业务类型;进一步的在该接入认证请求中还可包括接入类型标识等。
其中,上述实施例五、六、七同时适用于ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络的场景。
实施例八
在实施例八中,以附着网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用扩展的ng-ksi作为认证机制标识。
如图9所示,本发明实施例八的信息处理方法包括:
步骤601、当ue附着到网络时,ue检查本身是否存储有安全上下文。如有,则执行步骤602,否则与网络侧进行重认证。
步骤602、ue向网络侧发送附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识、和扩展的ng-ksi。进一步的在该附着请求中还可包括接入类型标识等。
在本发明实施例中,ue本身存储有扩展的ng-ksi。同时,ue使用存储的nas安全上下文中的完整性保护密钥和算法对该附着消息进行完整性保护。
步骤603、网络侧获取所述附着请求中的扩展的ng-ksi。
当然,如果ue不在附着请求中携带扩展的ng-ksi,网络侧也可根据附着请求中携带的身份标识等信息获取本身存储的扩展的ng-ksi。
步骤604、网络侧根据所述扩展的ng-ksi确定是否存储有与所述扩展的ng-ksi对应的安全上下文。如果有,则执行步骤605;否则与ue进行重认证。
步骤605、对所述附着请求进行完整性认证。
步骤606、在完整性认证通过后,根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型、所述业务类型标识,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤607;否则执行步骤608。
步骤607、网络侧决定重用该安全上下文。
在此,可向ue发送指示,指示重用该安全上下文。
步骤608、向ue发送认证请求,在所述认证请求中包括接入类型标识,生成用于当前业务的安全上下文。
步骤609、利用重新确认的认证机制的标识,更新所述扩展的ng-ksi。
当然,ue也可更新扩展的ng-ksi。
实施例九
在实施例九中,以附着网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用上述第二种形式中新分配的标识作为认证机制标识。
如图10所示,本发明实施例九的信息处理方法包括:
步骤701、当ue附着到网络时,ue检查本身是否存储有安全上下文。如有,则执行步骤702,否则与网络侧进行重认证。
步骤702、ue向网络侧发送附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识和ng-ksi。进一步的在该附着请求中还可包括接入类型标识等。
同时,ue使用存储的nas安全上下文中的完整性保护密钥和算法对该附着消息进行完整性保护。
步骤703、网络侧根据所述ng-ksi获取与所述ng-ksi对应的安全上下文。
当然,如果ue不在附着请求中携带ng-ksi,网络侧也可根据附着请求中携带的身份标识等信息获取本身存储的ng-ksi。如果网络侧有对应的安全上下文,则执行步骤704,否则重新与ue进行认证。
步骤704、对所述附着请求进行完整性认证。
步骤705、在完整性认证通过后,网络侧获取存储的与所述安全上下文对应的认证机制标识。
步骤706、读取所述认证机制标识中的类型字段,根据读取到的所述类型字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤707;否则执行步骤708。
步骤707、网络侧决定重用该安全上下文。
步骤708、向ue发送认证请求,在所述认证请求中包括接入类型标识,生成用于当前业务的安全上下文。
步骤709、存储重新确认的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
在本发明实施例十中,以附着网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用签约身份标识指示认证机制标识。其中,在实施例十中,与实施例九不同的是,在步骤705和706中,ue获取与所述安全上下文对应的签约身份标识中的认证机制指示字段,并根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务。
实施例十一
在实施例十一中,以ue同时使用多接入技术连接网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用扩展的ng-ksi作为认证机制标识。
如图11所示,本发明实施例十一的信息处理方法包括:
步骤801、ue和网络之间使用接入技术1和认证机制1成功执行相互认证,并建立安全上下文。
步骤802、网络接入方式由第一接入方式切换到第二接入方式时,ue向网络侧发送附着请求,在所述附着请求中包括ue的身份标识,业务类型标识,进一步的在该附着请求中还可包括接入类型标识(例如,接入方式2的标识)。
步骤803、网络侧读取本地存储的扩展的ng-ksi的类型字段。
步骤804、根据读取到的所述扩展的ng-ksi的类型字段中的安全上下文的类型的信息,获取安全上下文,根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤805;否则执行步骤806。
步骤805、网络侧决定重用该安全上下文,为ue生成接入技术2对应的业务数据的安全上下文,即保护业务数据安全的密钥。
步骤806、向ue发送认证请求,在所述认证请求中包括接入类型标识。
步骤807、利用重新确认的认证机制的标识,更新所述扩展的ng-ksi。
实施例十二
在实施例十二中,以ue同时使用多接入技术连接网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用上述第二种形式中新分配的标识作为认证机制标识。
如图12所示,本发明实施例十二的信息处理方法包括:
步骤901、ue和网络之间使用接入技术1和认证机制1成功执行相互认证,并建立安全上下文。
步骤902、网络接入方式由第一接入方式切换到第二接入方式时,ue向网络侧发送附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识,ng-ksi;进一步的,在该附着请求中还可携带接入类型标识(例如接入方式2的标识)。
步骤903、网络侧根据所述ng-ksi获取与所述ng-ksi对应的安全上下文,获取存储的与所述安全上下文对应的认证机制标识。
步骤904、读取所述认证机制标识中的类型字段。根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务。
如果适用于当前业务,执行步骤905;否则执行步骤906。
步骤905、网络侧决定重用该安全上下文,为ue生成接入技术2对应的业务数据的安全上下文,即保护业务数据安全的密钥。
步骤906、向ue发送认证请求,在所述认证请求中包括接入类型标识,生成用于当前业务的安全上下文。
步骤907、存储重新确认的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
在本发明实施例十三中,以ue同时使用多接入技术连接网络时,由网络侧决定是否重用安全上下文为例进行描述。在此,采用签约身份标识指示认证机制标识。其中,在实施例十三中,与实施例十二不同的是,在步骤903和904中,ue获取与所述安全上下文对应的签约身份标识中的认证机制指示字段,并根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务。
其中,上述实施例十一、十二、十三同时适用于ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络的场景。
通过实施例二-实施例十三可以看出,利用本发明实施例的方案,可以更好地满足业务的需求,不仅可以实现用户快速接入网络,还能保证使用低安全级别认证机制生成的安全下文不会用于高安全级别的业务,从而更好的保证了高安全级别的业务的安全。
实施例十四
如图13所示,本发明实施例十四的信息处理装置,包括:
获取模块1301,用于获取认证机制指示信息;确定模块1302,用于根据所述认证机制指示信息确定是否采用安全机制。
在本发明实施例中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述扩展的ng-ksi包括:一数值,类型字段,所述类型字段用于存储安全上下文的类型以及认证机制的类型;或者,所述扩展的ng-ksi包括:一数值,安全上下文类型字段,认证机制类型字段,所述认证机制类型字段或者所述认证机制类型字段的预设字节,用于存储认证机制的类型;
或者,所述认证机制指示信息通过单独的认证机制标识进行指示,所述认证机制标识包括一数值,类型字段,所述类型字段用于存储认证机制的类型;
或者,所述认证机制指示信息通过签约身份标识进行指示。
例如,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述确定模块1302包括:
获取子模块,用于在ue附着到网络,或者,网络接入方式由第一接入方式切换到第二接入方式,或者,ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取与所述扩展的ng-ksi的类型字段或者安全上下文类型字段对应的安全上下文;第一确定子模块,用于根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
例如,所述认证机制指示信息通过单独的认证机制标识进行指示;所述确定模块1302包括:第一获取子模块,用于在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取存储的安全上下文;第二获取子模块,用于读取与所述安全上下文对应的认证机制标识的类型字段;第一确定子模块,用于根据读取到的所述类型字段的信息,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
例如,所述认证机制指示信息通过签约身份标识进行指示;所述确定模块1302包括:第一获取子模块,用于在ue附着到网络,或者网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,获取安全上下文;第二获取子模块,用于获取与所述安全上下文对应的签约身份标识中的认证机制指示字段;第一确定子模块,用于根据所述签约身份标识中的认证机制指示字段的信息,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
在上述三种情况下,所述第二确定子模块包括:
发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,在所述接入认证请求中包括身份标识、业务类型;生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
或者,所述第二确定子模块包括:
发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,在所述接入认证请求中包括期待使用的认证机制的标识、业务类型;生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
或者,所述第二确定子模块包括:发送单元,用于在ue附着到网络时,或者当网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,向所述网络侧发送接入认证请求,向所述网络侧发送接入认证请求,在所述接入认证请求中包括签约身份标识、业务类型;生成单元,用于接收所述网络侧的接入认证响应,并生成用于当前业务的安全上下文。
其中,在本发明实施例中,在所述接入认证请求中还包括接入类型标识。
如图14所示,所述装置还包括:更新模块1303,用于更新所述扩展的ng-ksi;或者存储当前业务所使用的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
本发明所述装置的工作原理可参照前述方法实施例的描述,且所述装置可位于ue中。
通过以上描述可以看出,在本发明实施例中,利用获取的认证机制标识判断存储的安全上下文是否适用于当前业务,保证了使用低安全级别认证机制生成的安全下文不会用于高安全级别的业务,从而更好的保证了高安全级别的业务的安全。
实施例十五
如图15所示,本发明实施例十五的信息处理装置,包括:
获取模块1401,用于获取认证机制指示信息;确定模块1402,用于根据所述认证机制指示信息确定是否采用安全机制。
其中,所述认证机制指示信息通过扩展的ng-ksi进行指示;所述扩展的ng-ksi包括:一数值,类型字段,所述类型字段用于存储安全上下文的类型以及认证机制的类型;或者,所述扩展的ng-ksi包括:一数值,安全上下文类型字段,认证机制类型字段,所述认证机制类型字段或者所述认证机制类型字段的预设字节,用于存储认证机制的类型;
或者,所述认证机制指示信息通过单独的认证机制标识进行指示,所述认证机制标识包括一数值,类型字段,所述类型字段用于存储认证机制的类型;
或者,所述认证机制指示信息通过签约身份标识进行指示。
其中,所述获取模块1401包括:
接收子模块,用于当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识和扩展的ng-ksi;第一获取子模块,用于获取所述附着请求中的扩展的ng-ksi;第二获取子模块,用于根据所述扩展的ng-ksi获取认证机制指示信息。
此时,所述确定模块1402包括:第一确定子模块,用于根据所述扩展的ng-ksi确定是否存储有与所述扩展的ng-ksi对应的安全上下文;第一获取子模块,用于若存储有与所述扩展的ng-ksi对应的安全上下文,获取安全上下文,并对所述附着请求进行完整性认证;第二确定子模块,用于在完整性认证通过后,根据所述扩展的ng-ksi的类型字段或者安全上下文类型字段中的认证机制的类型、所述业务类型标识,确定所述安全上下文是否适用于当前业务;第三确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块1401包括:接收子模块,用于当ue附着到网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识和ng-ksi;第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;第二获取子模块,用于获取存储的与所述安全上下文对应的认证机制标识。
此时,所述确定模块1402包括:第一获取子模块,用于读取所述认证机制标识中的类型字段;第一确定子模块,用于根据读取到的所述类型字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块1401包括:
接收子模块,用于当ue附着到网络,或者当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识、业务类型标识和ng-ksi;第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;第二获取子模块,用于获取存储的与所述安全上下文对应的签约身份标识。
此时,所述确定模块1402包括:第一获取子模块,用于读取所述签约身份标识中的认证机制指示字段;第一确定子模块,用于根据读取到的所述签约身份标识中的认证机制指示字段中的信息和所述业务类型标识,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块1401包括:
接收子模块,用于当ue的网络接入方式由第一接入方式切换到第二接入方式,或者ue使用第一接入方式接入网络,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识;第一获取子模块,用于根据所述附着请求获取存储的扩展的ng-ksi;第二获取子模块,用于根据所述扩展的ng-ksi获取认证机制指示信息。
其中,所述确定模块1402包括:第一获取子模块,用于读取所述扩展的ng-ksi的类型字段;第二获取子模块,用于根据读取到的所述扩展的ng-ksi的类型字段中的安全上下文的类型的信息,获取安全上下文;第一确定子模块,用于根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
其中,所述获取模块1401包括:
接收子模块,用于当ue的网络接入方式由第一接入方式切换到第二接入方式或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,接收所述ue的附着请求,在所述附着请求中包括所述ue的身份标识,业务类型标识,ng-ksi;第一获取子模块,用于根据所述ng-ksi获取与所述ng-ksi对应的安全上下文;第二获取子模块,用于获取存储的与所述安全上下文对应的认证机制标识。
此时,所述确定模块1402包括:第一获取子模块,用于读取所述认证机制标识中的类型字段;第一确定子模块,用于根据读取到的所述类型字段中的认证机制的类型和所述业务类型标识,确定所述安全上下文是否适用于当前业务;第二确定子模块,用于若确定所述安全上下文不适用于当前业务,确定采取安全机制。
在上述实施例中,还可在所述接入认证请求中包括接入类型标识。
在上述几种情形中,所述第二确定子模块包括:
发送单元,用于在用户设备ue附着到网络时,向ue发送认证请求;生成单元,用于生成用于当前业务的安全上下文。
或者,所述第二确定子模块包括:发送单元,用于当网络接入方式由第一接入方式切换到第二接入方式或者ue使用第一接入方式接入网络后,再使用第二接入方式同时接入网络时,重用安全上下文接入到网络后,向ue发送认证请求;生成单元,用于生成用于当前业务的安全上下文。
如图16所示,所述装置还包括:
更新模块1403,用于更新所述扩展的ng-ksi;或者存储当前业务所使用的认证机制的标识与所述用于当前业务的安全上下文的对应关系。
本发明所述装置的工作原理可参照前述方法实施例的描述,且所述装置可位于网络侧。
通过以上描述可以看出,在本发明实施例中,利用获取的认证机制标识判断存储的安全上下文是否适用于当前业务,保证了使用低安全级别认证机制生成的安全下文不会用于高安全级别的业务,从而更好的保证了高安全级别的业务的安全。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,简称rom)、随机存取存储器(randomaccessmemory,简称ram)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。