[发明专利]管理安全上下文的方法和装置

说明书

本申请提供了一种管理安全上下文的方法和装置，该方法可以包括：终端设备向目标移动管理网元发送注册请求消息，该注册请求消息包括该终端设备的标识；该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息，该NAS安全模式命令消息包括水平推演指示信息；根据该水平推演指示信息，该终端设备根据第一安全上下文中的密钥Kamf，生成新的密钥Kamf’；其中，该第一安全上下文为该终端设备当前的安全上下文；在注册流程没有成功完成的情况下，该终端设备使用该第一安全上下文为当前安全上下文。通过上述方案，可以避免出现UE和网络侧安全上下文不一致的问题。

技术领域

本申请涉及通信技术领域，尤其涉及一种管理安全上下文的方法和装置。

背景技术

在第五代(the 5th generation)通信系统中，接入和移动管理功能(access andmobility management function，AMF)主要用于UE的注册、连接、移动性管理、签约信息鉴权等。当用户设备UE从一个AMF(记为源AMF)的区域移动到另一个AMF(记为目标AMF)的区域时(这里指UE在空闲态下发生位置变化)，该UE需要通过网络注册流程注册到该目标AMF上。然而，按照现有技术规范，如果此时因为某些原因导致UE的网络注册流程失败，则可能会导致UE和网络侧源AMF上的安全上下文不一致。这种情况下，UE的注册请求无法通过NAS的完整性保护检查，从而导致UE之前通过源AMF建立的会话的会话信息也无法迁移到目标AMF中，进而可能会导致之前建立的PDU会话将被释放。

因此，在移动注册场景下，如何避免UE与网络侧的安全上下文不一致导致的问题。

发明内容

本申请提供了一种管理完全上下文的方法和装置，可以避免出现UE与网络侧安全上下文不一致的问题。

第一方面，提供了一种管理安全上下文的方法，该方法包括：终端设备向目标移动管理网元发送注册请求消息，该注册请求消息包括该终端设备的标识；该终端设备接收来自该目标移动管理网元的非接入层NAS安全模式命令消息，该NAS安全模式命令消息包括水平推演指示信息；根据该水平推演指示信息，该终端设备根据第一安全上下文中的密钥Kamf，生成新的密钥Kamf’；其中，该第一安全上下文为该终端设备当前的安全上下文；在注册流程没有成功完成的情况下，该终端设备使用该第一安全上下文为当前安全上下文。

基于上述方案，在终端设备的注册流程中，如果终端设备进行了水平密钥推演，即利用第一安全上下文中的密钥Kamf进行水平推演得到了新的密钥Kamf’，若注册流程没有成功完成(或者说注册流程失败)，终端设备使用第一安全上下文作为当前安全上下文，从而可以避免终端设备和网络侧安全上下文不一致的问题。因此在这种情况下，当注册流程没有成功完成，终端设备可以利用第一安全上下文再次发起注册流程。

结合第一方面，在第一方面的某些实现方式中，该方法还包括：该终端设备在生成该新的密钥Kamf’之后，维护该第一安全上下文和第二安全上下文；其中，该第二安全上下文包括该Kamf’和NAS密钥，该NAS密钥根据该Kamf’生成。

基于上述方案，终端设备进行了水平密钥推演之后，可以同时维护第一安全上下文和第二安全上下文，在这种情况下，无论注册成功，还是注册失败，终端都可以选择合适的安全上下文，以避免终端侧的安全上下文和网络侧的安全上下文不一致。

结合第一方面，在第一方面的某些实现方式中，该维护该第一安全上下文和第二安全上下文，包括：该终端设备继续将该第一安全上下文作为当前安全上下文，且保存该第二安全上下文。

基于上述方案，终端设备在进行水平密钥推演之后，可以维护第一安全上下文为当前安全上下文，并保存第二安全上下文，在这种情况下，无论注册成功，还是注册失败，终端都可以选择合适的安全上下文。例如，如果注册成功，终端设备可以将第二安全上下文设置成当前安全上下文；如果注册失败，终端设备可以删除第二安全上下文，而使用第一安全上下文进行后续可能的注册流程从而可以避免终端侧的安全上下文和网络侧的安全上下文不一致。