CN109922474A - 触发网络鉴权的方法及相关设备 - Google Patents
触发网络鉴权的方法及相关设备 Download PDFInfo
- Publication number
- CN109922474A CN109922474A CN201910164844.2A CN201910164844A CN109922474A CN 109922474 A CN109922474 A CN 109922474A CN 201910164844 A CN201910164844 A CN 201910164844A CN 109922474 A CN109922474 A CN 109922474A
- Authority
- CN
- China
- Prior art keywords
- identity information
- terminal
- message
- information
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 212
- 238000004891 communication Methods 0.000 claims abstract description 68
- 230000006870 function Effects 0.000 claims description 369
- 238000012545 processing Methods 0.000 claims description 39
- 238000007726 management method Methods 0.000 claims description 16
- 238000013523 data management Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 abstract description 29
- 230000001960 triggered effect Effects 0.000 abstract description 16
- 230000005540 biological transmission Effects 0.000 abstract description 13
- 230000008569 process Effects 0.000 description 69
- 238000013461 design Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 27
- 230000004044 response Effects 0.000 description 24
- 238000012790 confirmation Methods 0.000 description 17
- 230000011664 signaling Effects 0.000 description 12
- 230000007774 longterm Effects 0.000 description 10
- 230000003993 interaction Effects 0.000 description 5
- 238000004846 x-ray emission Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种触发网络鉴权的方法及装置,属于通信技术领域。该方法包括:第一网络设备接收来自终端的第一消息,第一消息携带第一身份信息和标识信息,其中,第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到,标识信息用于标识第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式;第一网络设备基于第一身份信息,向第一安全功能实体发送第二消息,第二消息用于触发对终端的鉴权,其中,第二消息携带标识信息。本申请给出了对身份信息进行加密时触发鉴权流程的方案,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种触发网络鉴权的方法及相关设备。
背景技术
当前,终端可以通过3GPP技术接入网络,也可以通过非3GPP技术接入网络。其中,当终端接入5G网络且为首次注册时,无论是通过3GPP技术接入还是通过非3GPP技术接入,终端均需要向核心网的设备发送携带有永久身份信息的附着消息,以便核心网的设备根据该附着消息触发鉴权流程,从而对该终端进行鉴权。
相关技术中,当终端接入5G网络,且终端是首次注册时,终端可以通过下一代基站(next generation node basestaion,gNB)或非3GPP合作功能(non-3GPPinterworkingfunction,N3IWF)实体向核心网接入和移动管理(core access and mobility managementfunction,AMF)实体发送该终端的永久身份信息。当AMF实体接收到终端的永久身份信息时,触发鉴权流程,之后,AMF实体可以根据该终端的永久身份信息选择鉴权服务功能(authentication server function,AUSF)实体,从而发起对终端的鉴权认证。
在上述相关技术中,当终端通过gNB或N3IWF向AMF实体发送永久身份信息以触发鉴权流程时,该永久身份信息未经过任何加密处理。这种情况下,该永久身份信息在传输的过程中将很容易被窃取或篡改,这样,终端的安全性将受到威胁。
发明内容
为了解决现有技术的在触发鉴权流程时,终端向AMF实体提供永久身份不进行加密所造成的终端安全性受到威胁的问题,本申请提供了一种触发网络鉴权的方法及装置。所述技术方案如下:
第一方面,提供了一种触发网络鉴权的方法,该方法包括:第一网络设备接收来自终端的第一消息,该第一消息携带第一身份信息和标识信息,第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到,标识信息用于标识第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式;第一网络设备基于第一身份信息,向第一安全功能实体发送第二消息,第二消息用于触发对终端的鉴权。
本申请实施例的方案中,第一网络设备可以根据第一身份信息,向第一安全功能实体发送第二消息,以触发对终端的鉴权,由此可见,本申请实施例给出了对身份信息进行加密时触发鉴权流程的方案,而由于终端发给第一网络设备的身份信息是加密的,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。
进一步的,在本申请实施中,第一消息中携带标识信息,以此来标识第一身份信息是否为加密信息和/或第一身份信息的加密方式,使得用于解密该第一身份信息的功能实体可以更加方便快捷的对该第一身份信息进行解密。
在一种可能的设计中,上述公钥存储在终端中,或者存储在终端中的用于存储长期密钥的卡中。
在一种可能的设计中,标识信息为第一标识符,第一标识符用于标识第一身份信息是否为加密的身份信息;
或者,标识信息为第二标识符,第二标识符用于标识第一身份信息的加密方式;
或者,标识信息为第三标识符,第三标识符用于标识第一身份信息是否为加密的身份信息以及第一身份信息的加密方式;
或者,标识信息包括第一标识符和第二标识符,其中,第一标识符用于标识第一身份信息是否为加密的身份信息,第二标识符用于标识第一身份信息的加密方式。
在一种可能的设计中,第一网络设备向第一安全功能实体发送永久身份请求消息,永久身份请求消息携带第一身份信息;第一网络设备接收来自第一安全功能实体的永久身份回复消息,永久身份回复消息携带第二身份信息,第二身份信息是对第一身份信息进行解密得到;第一网络设备向第一安全功能实体发送第二消息,第二消息中携带第二身份信息。
在一种可能的设计中,第一网络设备还可以向第二网络设备发送永久身份请求消息,永久身份请求消息携带第一身份信息;第一网络设备接收来自第二网络设备的永久身份回复消息,永久身份回复消息携带第二身份信息,第二身份信息是对第一身份信息进行解密得到;第一网络设备向第一安全功能实体发送第二消息,第二消息中携带第二身份信息。
在一种可能的设计中,第二身份信息是由第二网络设备通过存储的私钥对第一身份信息进行解密得到;或者,第二身份信息是由第二网络设备将第一身份信息转发至第三网络设备,并由第三网络设备对第一身份信息进行解密得到。
在一种可能的设计中,第一网络设备向第一安全功能实体发送第二消息,该第二消息携带第一身份信息;之后,第一网络设备接收来自第一安全功能实体的第二身份信息,第二身份信息是对第一身份信息进行解密得到;
其中,第一网络设备接收来自第一安全功能实体的第二身份信息,包括如下情形之一:
第一网络设备接收来自第一安全功能实体的第三消息;其中,第三消息携带鉴权响应消息,鉴权响应消息携带第二身份信息和鉴权向量,鉴权向量用于对终端进行鉴权;或者,第三消息携带第二身份信息和鉴权响应消息,鉴权响应消息携带鉴权向量,鉴权向量用于对终端进行鉴权;或者,第三消息携带鉴权成功消息,鉴权成功消息携带第二身份信息;或者,第三消息携带第二身份信息和鉴权成功消息;
或者,第一网络设备接收来自第一安全功能实体发送的第四消息,第四消息携带鉴权向量和第二身份信息,鉴权向量用于对终端进行鉴权。
在一种可能的设计中,第一网络设备在接收来自第一安全功能实体的第二身份信息之前,接收来自所述第一安全功能实体发送的鉴权向量,并通过所述鉴权向量对所述终端进行鉴权;在所述终端的鉴权通过之后,向所述第一安全功能实体发送鉴权确认消息。
在一种可能的设计中,第一网络设备在接收到来自第一安全功能实体的第二身份信息之后,可以存储第二身份信息。
在一种可能的设计中,所述第二网络设备为鉴权存储和处理功能实体、统一的数据管理实体、密钥管理服务器或认证中心中的任一个。
第二方面,提供了一种触发网络鉴权的方法,该方法包括:第一安全功能实体接收来自第一网络设备的第二消息,第二消息是第一网络设备基于终端的第一消息携带的第一身份信息发送的,且第二消息用于触发对终端的鉴权过程,其中,第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到,第二消息携带标识信息,标识信息用于标识第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式。本申请实施例的方案中,第一安全功能实体在接收到第二消息之后,可以触发对终端的鉴权,并且,由于该第二消息中携带有标识信息,因此,第一安全功能实体可以基于该标识信息确定第二消息中是否携带有加密身份信息,从而确定是否进行解密。
在一种可能的设计中,上述公钥存储在终端中,或者存储在终端中的用于存储长期密钥的卡中。
在一种可能的设计中,标识信息为第一标识符,第一标识符用于标识第一身份信息是否为加密的身份信息;或者,标识信息为第二标识符,第二标识符用于标识第一身份信息的加密方式;或者,标识信息为第三标识符,第三标识符用于标识第一身份信息是否为加密的身份信息以及第一身份信息的加密方式;或者,标识信息包括第一标识符和第二标识符,其中,第一标识符用于标识第一身份信息是否为加密的身份信息,第二标识符用于标识第一身份信息的加密方式。
在一种可能的设计中,上述第二消息携带第二身份信息,第二身份信息是对所述第一身份信息进行解密得到。
相应地,第一安全功能实体接收来自第一网络设备的第二消息之前,接收来自第一网络设备的永久身份请求消息,永久身份请求消息携带第一身份信息;第一安全功能实体基于第一身份信息获取第二身份信息;第一安全功能实体向第一网络设备发送永久身份回复消息,永久身份回复消息携带第二身份信息。
在一种可能的设计中,第二消息携带第一身份信息;第一安全功能实体接收来自第一网络设备的第二消息之后,向所述第一网络设备发送第二身份信息,第二身份信息是对第一身份信息进行解密得到。
其中,第一安全功能实体向第一网络设备发送第二身份信息,包括如下情形之一:
第一安全功能实体基于第二身份信息获取鉴权向量,鉴权向量用于对终端进行鉴权;第一安全功能实体向第一网络设备发送第三消息,其中,第三消息携带鉴权响应消息,鉴权响应消息携带鉴权向量和第二身份信息,或者,第三消息携带鉴权响应消息和第二身份信息,鉴权响应消息携带鉴权向量;
或者,第一安全功能实体基于第二身份信息获取鉴权向量,鉴权向量用于对终端进行鉴权;第一安全功能实体基于鉴权向量对终端进行鉴权,并对终端鉴权通过之后,向第一网络设备发送第三消息,其中,第三消息携带鉴权成功消息,鉴权成功消息携带第二身份信息,或者,第三消息携带鉴权成功消息和第二身份信息;
或者,第一安全功能实体基于第二身份信息获取鉴权向量,鉴权向量用于对终端进行鉴权;第一安全功能实体向第一网络设备发送第四消息,第四消息携带鉴权向量和第二身份信息;
或者,第一安全功能实体基于第二身份信息获取鉴权向量,鉴权向量用于对终端进行鉴权;第一安全功能实体向第一网络设备发送鉴权向量;当第一安全功能实体接收到第一网络设备发送的鉴权确认消息时,向第一网络设备发送第二身份信息。
在一种可能的设计中,上述第一安全功能实体基于第二身份信息获取鉴权向量的过程可以为:第一安全功能实体向第二安全功能实体发送第二身份信息;第一安全功能实体接收来自第二安全功能实体的鉴权向量。
在一种可能的设计中,第一安全功能实体向第一网络设备发送第二身份信息之前,还可以基于第一身份信息获取第二身份信息。
在一种可能的设计中,第一安全功能实体基于第一身份信息获取第二身份信息的过程可以为:第一安全功能实体基于私钥对第一身份信息进行解密,得到第二身份信息;
或者,
第一安全功能实体向第二网络设备发送第一身份信息,接收第二网络设备发送的第二身份信息;其中,第二身份信息由第二网络设备基于存储的私钥对第一身份信息进行解密得到,或者,第二身份信息为第二网络设备将第一身份信息转发至第三网络设备,由第三网络设备对第一身份信息进行解密得到。
在一种可能的设计中,第二网络设备为鉴权存储和处理功能实体、统一的数据管理实体、密钥管理服务器或认证中心中的任一个。
第三方面,提供了一种触发网络鉴权的方法,该方法包括:第一安全功能实体接收来自第一网络设备的第一身份信息,第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到;第一安全功能实体向第二安全功能实体发送第一身份信息;第一安全功能实体接收来自第二安全功能实体的鉴权向量和第二身份信息,并触发对终端的鉴权过程,其中,第二身份信息是对第一身份信息进行解密得到的,鉴权向量由第二安全功能实体基于第二身份信息获取得到。本申请实施例的方案给出了对身份信息进行加密时触发鉴权流程的具体实现过程,并且,在本申请实施例的方案中,由第一安全功能实体触发对终端的鉴权,由于采用3GPP技术接入网络时,对终端的鉴权流程即是由第一安全功能实体触发的,因此,通过本实施例的方案,将终端鉴权过程中3GPP和非3GPP技术的处理进行了统一,减少了网络设备的处理复杂度。
在一种可能的设计中,第二身份信息是由第二安全功能实体基于存储的私钥对第一身份信息进行解密得到;或者,第二身份信息是由第二安全功能实体将第一身份信息转发至第二网络设备,并由第二网络设备对第一身份信息进行解密得到;或者,第二身份信息是由第二安全功能实体将第一身份信息转发至第二网络设备,再由第二网络设备将第一身份信息转发至第三网络设备,并由第三网络设备对第一身份信息进行解密得到。
在一种可能的设计中,触发对终端的鉴权过程之后,第一安全功能实体可以向第一网络设备发送鉴权向量,接收来自第一网络设备的鉴权确认消息,并向第一网络设备发送第二身份信息。
第四方面,本申请实施例提供一种第一网络设备,该第一网络设备具有实现上述方法设计中第一网络设备行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,第一网络设备包括处理器,所述处理器被配置为支持第一网络设备执行上述方法中相应的功能。进一步的,第一网络设备还可以包括通信接口,所述通信接口用于支持第一网络设备与第一安全功能实体、终端或其他网络设备之间的通信。进一步的,第一网络设备还可以包括存储器,所述存储器用于与处理器耦合,其保存第一网络设备必要的程序指令和数据。
第五方面,本申请实施例提供一种第一安全功能实体,该第一安全功能实体具有实现上述方法设计中第一安全功能实体行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,第一安全功能实体包括处理器,所述处理器被配置为支持第一安全功能实体执行上述方法中相应的功能。进一步的,第一安全功能实体还可以包括通信接口,所述通信接口用于支持第一安全功能实体与第一网络设备、第二安全功能实体或其他网络设备之间的通信。进一步的,第一安全功能实体还可以包括存储器,所述存储器用于与处理器耦合,其保存第一安全功能实体必要的程序指令和数据。
第六方面,本申请实施例提供一种第二安全功能实体,该第二安全功能实体具有实现上述方法设计中第二安全功能实体行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,第二安全功能实体包括处理器,所述处理器被配置为支持第二安全功能实体执行上述方法中相应的功能。进一步的,第二安全功能实体还可以包括通信接口,所述通信接口用于支持第二安全功能实体与第一安全功能实体或其他网络设备之间的通信。进一步的,第二安全功能实体还可以包括存储器,所述存储器用于与处理器耦合,其保存第二安全功能实体必要的程序指令和数据。
第七方面,本申请实施例提供一种终端,该终端具有实现上述方法设计中终端行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,终端包括处理器,所述处理器被配置为支持终端执行上述方法中相应的功能。进一步的,终端还可以包括通信接口,所述通信接口用于支持终端与第一网络设备或其他网络设备之间的通信。进一步的,终端还可以包括存储器,所述存储器用于与处理器耦合,其保存终端必要的程序指令和数据。
第八方面,本申请实施例提供一种通信系统,该系统包括上述方面所述的终端、第一网络设备和第一安全功能实体。
再一方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
再一方面,本申请实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
相较于现有技术,本申请实施例的方案中给出了对身份信息进行加密时触发鉴权流程的方案,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。
附图说明
图1是本申请实施例提供的一种可能的网络架构的示意图;
图2是本申请实施例提供的一种触发网络设备的方法的通信示意图;
图3是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图4是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图5是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图6a是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图6b是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图6c是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图6d是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图7a是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图7b是本申请实施例提供的一种触发网络鉴权的方法的通信示意图;
图8a是本申请实施例提供的一种第一网络设备的示意性框图;
图8b是本申请实施例提供的一种第一网络设备的结构示意图;
图9a是本申请实施例提供的一种第一安全功能实体的示意性框图;
图9b是本申请实施例提供的一种第一安全功能实体的结构示意图;
图10a是本申请实施例提供的一种第二安全功能实体的示意性框图;
图10b是本申请实施例提供的一种第二安全功能实体的结构示意图。
具体实施方式
下面将结合附图对本申请实施方式作进一步地详细描述。
在对本申请实施例进行详细的解释说明之前,先对本申请实施例涉及的应用场景予以介绍。当前,终端可以通过3GPP技术接入网络,也可以通过非3GPP技术接入网络。其中,3GPP技术是指通过3GPP标准制定的空口技术,如我们常用的3G、4G和5G网络的空口接入技术即为3GPP技术。而非3GPP技术是指非3GPP标准制定的空口接入技术,例如,以无线保真接入(wireless fidelity access point,WIFI AP)为代表的空口技术。当终端接入5G网络时,无论通过3GPP技术接入还是通过非3GPP技术接入,终端均需要向核心网的设备发送携带永久身份信息的附着消息,以便核心网的设备可以根据该附着消息和永久身份信息触发鉴权流程,从而对该终端进行鉴权。本申请实施例提供的触发网络鉴权的方法即可以用于上述场景中,以触发对终端的鉴权流程,从而实现对终端的鉴权。
本申请实施例提供的获取终端的身份标识的方法可以应用于任何有获取终端身份标识需求的通信系统,例如,可以应用于图1所示的5G系统。
如图1所示,该5G系统可以包括终端、接入网(access network,AN)/无线接入网(radio access network,RAN)、数据网络(data network,DN)以及下述多个网络功能(network functions,NF):鉴权服务器功能(authentication server function,AUSF)、鉴权存储和处理功能(authentication repository and processing function,ARPF)、接入和移动管理功能(access and mobility management function,AMF)、会话管理功能(session management function,SMF)、PCF、应用功能(application function,AF)、用户面功能(user plane function,UPF)。可理解的是,图1仅为示例性架构图,除图1所示功能实体之外,该5G系统还可以包括其他功能实体,本申请实施例对此不进行限定。
在图1所示的5G系统中,各功能实体之间可以通过下一代网络(next generation,NG)接口建立连接实现通信,如:终端可以通过N接口1(简称N1)与AMF建立控制面信令连接,AN/RAN可以通过N接口3(简称N3)与UPF建立用户面数据连接,AN/RAN可以通过N接口2(简称N2)与AMF建立控制面信令连接,UPF可以通过N接口4(简称N4)与SMF建立控制面信令连接,UPF可以通过N接口6(简称N6)与DN交互用户面数据,AMF可以通过N接口8(简称N8)与ARPF建立控制面信令连接,AMF可以通过N接口12(简称N12)与AUSF建立控制面信令连接,AMF可以通过N接口11(简称N11)与SMF建立控制面信令连接,SMF可以通过N接口7(简称N7)与PCF建立控制面信令连接,PCF可以通过N接口5(简称N5)与AF建立控制面信令连接,AUSF可以通过N接口13(简称N13)与ARPF建立控制面信令连接。
其中,图1中的终端可以为UE,还可以为蜂窝电话、无绳电话、会话发起协议(session initiation protocol,SIP)电话、智能电话、无线本地环路(wireless localloop,WLL)站、个人数字助理(personal digital assistant,PDA)、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡和/或用于在无线系统上进行通信的其它设备。AN/RAN为由多个5G-AN/5G-RAN组成的网络,用于实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理功能,5G-AN/5G-RAN可以为:接入点、下一代基站、N3IWF、收发点(transmission receive point,TRP)、传输点(transmission point,TP)或某种其它接入网设备。ARPF、AUSF、PCF、AMF、SMF、UPF可统称为NF,其中,NF中的AMF、PCF可称为控制面(control plane,CP),UPF可以称为用户面功能(user plane function,UPF)。NF中除UPF之外的可以独立工作,也可以组合在一起实现某些控制功能,如:这些组合在一起后可以完成终端的接入鉴权、安全加密、位置注册等接入控制和移动性管理功能,以及用户面传输路径的建立、释放和更改等会话管理功能,以及分析一些切片(slice)相关的数据(如拥塞)、终端相关的数据的功能。UPF主要完成用户面数据的路由转发等功能,如:负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。
具体的,AMF主要负责移动性管理,当前,AMF还集成有安全锚点功能(securityanchor function,SEAF)模块,该SEAF模块主要负责向AUSF发起鉴权请求,在演进分组系统鉴权过程中完成网络侧对终端的验证。AUSF的主要功能是接收SEAF模块发送的鉴权请求,选择鉴权方法。当采用可扩展鉴权协议的鉴权方法的时候,AUSF主要负责完成网络侧对终端的鉴权;并且,AUSF可以向ARPF请求鉴权向量,并且回复鉴权响应给SEAF模块。ARPF的主要功能是存储长期密钥,接收AUSF发送的鉴权向量请求,使用存储的长期密钥计算鉴权向量,并将鉴权向量发送至AUSF。
在对本申请实施例涉及的应用场景和系统架构进行解释说明之后,接下来对本申请实施例的方案进行详细说明。
现有方案中,当终端通过gNB或N3IWF向AMF发送永久身份信息以触发鉴权流程时,该永久身份信息未经过任何加密处理。这种情况下,该永久身份信息在传输的过程中将很容易被窃取或篡改,这样,终端的安全性将受到威胁。
有鉴于此,本申请实施例提供一种触发网络鉴权的方法,和基于这个方法的第一网络设备、第一安全功能实体和系统。该方法包括:第一网络设备接收来自终端的第一消息,第一消息携带第一身份信息,第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到;第一网络设备基于第一身份信息,向第一安全功能实体发送第二消息,所述第二消息用于触发对终端的鉴权。例如,该方法可以如图2所示。通过本申请实施例提供的方案,第一网络设备可以在接收到终端发送的第一身份信息之后,根据该第一身份信息向第一安全功能实体发送第二消息,以触发对终端的鉴权。由于第一身份信息是对永久身份中的身份信息进行加密得到的,也就是说,本申请实施例给出了对身份信息进行加密时触发鉴权流程的方案,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。
在一种可能的实施方式中,第一消息还可以携带标识信息和路由信息之一或全部,下面对标识信息和路由信息进行介绍。
标识信息用于标识所述第一身份信息是否为加密的身份信息和/或所述第一身份信息的加密方式。例如,标识信息可以为第一标识符,该第一标识符用于标识所述第一身份信息是否为加密的身份信息;或者,标识信息可以为第二标识符,该第二标识符用于标识所述第一身份信息的加密方式;或者,标识信息为第三标识符,该第三标识符用于标识所述第一身份信息是否为加密的身份信息以及所述第一身份信息的加密方式;或者,标识信息可以包括第一标识符和第二标识符,其中,该第一标识符用于标识所述第一身份信息是否为加密的身份信息,该第二标识符用于标识所述第一身份信息的加密方式。
上述路由信息可以是第一路由信息,该第一路由信息可以用于第一网络设备确定该终端的归属网络,从而第一网络设备可以选择该终端的归属网络下的第一安全功能实体。或者,上述路由信息可以是第二路由信息,该第二路由信息用于确定解密第一身份信息的功能实体。
在这种实施方式中,当第一消息携带上述标识信息时,第二消息携带该标识信息。
在本申请实施例中,第一网络设备可以在获取到第一身份信息对应的第二身份信息之后,再触发对终端的鉴权流程,也可以在触发鉴权流程之后再获取第二身份信息。其中,第二身份信息是是对所述第一身份信息进行解密得到的。接下来,将结合图3-5对第一种情况进行说明。
图3是本申请实施例提供的另一种触发网络鉴权的方法的通信示意图,参见图3,该方法包括以下步骤:
步骤301:终端通过基站向第一网络设备发送第一消息,该第一消息中携带第一身份信息和标识信息,该第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到,该标识信息用于标识第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式。
其中,终端可以是图1所示的5G网络架构中的终端,该基站功能实体可以是3GPP的基站功能实体,也可以是非3GPP的基站功能实体。具体的,当终端通过3GPP技术接入该5G网络,该基站功能实体可以为gNB功能实体,或eNB功能实体,或NB功能实体,当终端通过非3GPP技术接入网络,如通过wifi接入,该基站功能实体可以包含N3IWF功能实体。当AMF功能实体中同时集成有SEAF模块时,该第一网络设备可以为AMF功能实体,也可以为AMF功能实体中的SEAF模块。当AMF和SEAF不是一个功能实体时,该第一网络设备可以为AMF功能实体,或MME功能实体,或其他具有接入和移动性管理功能的实体。
当终端接入网络或者进行鉴权时,终端可以通过基站向第一网络设备发送第一消息,其中,该第一消息携带第一身份信息,该第一身份信息是终端通过公钥对永久身份中的身份信息进行加密得到的,如SUCI(subscription concealed identifier,加密的永久身份标识)。该加密公钥可以是存储在终端中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identitymodule,USIM),通用集成电路卡(universalintegrated circuit card,UICC),嵌入式通用集成电路卡(embedded universalintegrated circuit card,eUICC),5G通用集成电路卡(5G-universal integratedcircuit card,5G-UICC)等。其中,永久身份可以为国际移动用户识别码(internationalmobile subscriber identification number,IMSI),永久签约身份(subscriptionpermanent identifier)。或者可以是其他具有全球唯一标识终端作用的身份信息。具体的,当永久身份为IMSI时,IMSI包括移动用户识别号码(mobile subscriberidentification number,MSIN)和路由信息,因此,终端可以通过公钥将IMSI中的MSIN进行加密,得到第一身份信息。当永久身份不是基于IMSI结构时,该第一身份信息可以是通过对该永久身份进行整体加密得到的身份信息,也可以是对该永久身份中用于唯一标识终端的部分进行加密得到的信息。
另外,第一消息中可以携带有第一路由信息,该第一路由信息可以用于第一网络设备确定该终端的归属网络,从而选择该终端的归属网络下的第一安全功能实体。
可选的,第一消息中还可以携带第二路由信息,该第二路由信息用于确定解密第一身份信息的功能实体。
可选地,第一消息中可以携带标识信息,具体的,该标识信息可以为第一标识符,该第一标识符用于标识第一消息中携带的第一身份信息是否为加密的身份信息。
在一种可选的实施方法中,当终端携带的身份信息不为第一身份信息,而是为临时身份信息时,可以将该临时身份信息作为第一标识符。终端的临时身份信息是由移动管理功能实体在认证终端后下发给终端的,这样可以减少永久身份信息的泄露机会,进而增强隐私保护。终端的临时身份信息,可以是5G临时身份信息,可以是LTE的临时身份信息,如第五代全球唯一用户设备标识(5th-generation globally unique temporary userequipment identity,5G-GUTI),全球唯一用户设备标识(globally unique temporaryuser equipment identity,GUTI),系统架构演进临时移动用户标识(systemarchitecture evolution-temporary mobile subscriber identity,S-TMSI),临时移动用户标识(temporary mobile subscriber identity,TMSI)。
另一种可选的实施方法,第一标识符可以是比特位信息。比如,0代表没有加密,1代表加密。
可选地,该第一消息中携带的标识信息还可以为第二标识符,该第二标识符用于标识第一身份信息的加密方式。比如,该加密方式可以为椭圆曲线加密方式。或者,该加密方式可以为提前预定义在UE和归属网络侧的其他加密方式。可选的,可以配置多种加密方式,并且每一个加密方式可以对应一个第二标识符,用于解密该第一身份信息的功能实体可以根据第一消息中携带的第二标识符确定得到该第一身份信息的加密方式,从而进一步确定针对该第一身份信息的解密方式。
可选地,该第一消息中携带的标识信息还可以为第三标识符,该第三标识符用于标识第一身份信息是否为加密的身份信息以及第一身份信息的加密方式。例如,该第三标识符可以为8个比特位信息,其中,前4个比特位信息用于标识第一身份信息是否为加密的身份信息,后四个比特位信息用于标识第一身份信息的加密方式。当该第一身份信息不为加密身份信息时,后四个比特位信息可以全部为0。
可选地,该第一消息中携带的标识信息还可以同时包括第一标识符和第二标识符。该统一的标识符第一消息中的携带的身份信息是否为加密的身份信息,并且,当该第一消息中携带的身份信息为加密的身份信息时,该统一的标识符还可以指示得到该加密的身份信息时所采用的加密方式。
还需要说明的是,第一消息可以是注册请求消息,附着请求消息,位置区更新消息,服务请求消息,以及身份响应消息中的任一种。
步骤302:当第一网络设备接收到第一消息时,向第一安全功能实体发送永久身份请求消息,该永久身份请求消息携带第一身份信息。
其中,第一安全功能实体可以为图1所示的5G网络架构中的AUSF功能实体。另外,如果AMF和SEAF属于两个功能实体,那么,该第一安全功能实体也可以为SEAF。
当第一网络设备接收到第一消息之后,可以获取该第一消息中携带的第一身份信息。由于第一身份信息是加密的,因此,第一网络设备可以向第一安全功能实体发送携带有该第一身份信息的永久身份请求消息,以获取解密后的第二身份信息。第一身份请求消息,可以是SUPI请求消息,可以是位置更新请求消息。
可选地,当第一消息中携带第一路由信息时,第一网络设备可以根据该第一路由信息确定终端的归属网络,从而确定该归属网络下的第一安全功能实体。具体的,第一网络设备可以将预配置的解密功能实体确定为第一安全功能实体,从而向该第一安全功能实体发送永久身份请求消息。
可选地,当第一消息中携带第二路由信息时,第一网络设备可以根据该第二路由信息确定用于解密第一身份信息的功能实体。或者,第一网络设备可以将该第二路由信息携带在永久身份请求消息中发送至第一安全功能实体。
可选地,当第一消息中携带的标识信息为第一标识符,且该第一标识符不为临时身份信息时,第一网络设备可以向第一安全功能实体发送用于请求对终端进行鉴权的鉴权请求消息,该鉴权请求消息中携带第一身份信息。如果第一消息中携带有第一标识符,第一标识符是临时身份信息,且第一网络设备可以根据该临时身份信息获取到终端的上下文信息,那么,第一网络设备不触发鉴权。如果第一网络设备无法根据该临时身份信息获取到终端的上下文,那么,第一网络设备可以向终端发送身份请求消息(identity request),以此来请求终端的永久身份,之后,终端可以根据该身份请求消息向第一网络设备发送第一身份信息,第一网络设备可以根据该第一身份信息触发对终端的鉴权。
可选地,当该第一标识符为比特位信息时,第一网络设备在接收到第一消息时可以不解析该第一标识符,而是转发该第一标识符给第一安全功能实体。或者,该第一网络设备可以解析该第一标识符,并通过该第一标识符确定第一身份信息为加密身份信息之后,向第一安全功能实体发送永久身份请求消息。
可选地,当该第一消息携带的标识信息为第二标识符时,第一网络设备可以在向第一安全功能实体发送的永久身份请求消息中携带该第二标识符。
可选地,当该第一消息携带的标识信息为第三标识符时,第一网络设备可以对该第三标识符进行解析。当第一网络设备通过该第三标识符确定该第一身份信息为加密的身份信息时,可以向第一安全功能实体发送携带有第一身份信息和第三标识符的永久身份请求消息。
可选地,当该第一消息携带的标识信息为第一标识符和第二标识符时,第一网络设备可以通过第一标识符确定第一身份信息为加密身份信息之后,向第一安全功能实体发送携带有第二标识符和第一身份信息的永久身份请求消息。
步骤303:第一安全功能实体发送永久身份回复消息,该永久身份回复消息携带第二身份信息。
第一安全功能实体在接收到永久身份请求消息之后,可以获取第二身份信息,并将该第二身份信息发回给第一网络设备。永久身份回复消息,可以是SUPI响应消息,可以是位置更新响应消息。
其中,第一安全功能实体获取第二身份信息的方法可以有以下几种:
(1)第一安全功能实体通过存储的私钥对第一身份信息进行解密,得到第二身份信息;
(2)第一安全功能实体可以将接收到的第一身份信息转发至第二网络设备,由第二网络设备对该第一身份信息进行解密,从而得到第二身份信息,之后,再由该第二网络设备将得到的第二身份信息返回至第一安全功能实体。其中,该第二网络设备中存储有私钥,且该第二网络设备可以为鉴权存储和处理功能(authentication repository andprocessing function,ARPF)实体、统一的数据管理(unified data management,UDM)实体、身份解密功能(identity decrypt function,IDF)实体、密钥管理服务器(keymanagement server,KMS)、鉴权中心(authentication center,AuC)或存储有密钥和解密的功能实体中的任一个。
可选地,当该身份请求消息中携带第一路由信息时,第一安全功能实体可以将第一身份信息和第一路由信息一起转发给第二网络设备,当该第二网络设备为存储有不同运营商网络的解密私钥的网络设备时,第二网络设备可以根据该第一路由信息获取该终端所属的归属网络的私钥,并根据获取的私钥解密第一身份信息。
在另一种可能的实现方式中,第一安全功能实体可以将接收到的身份请求消息直接转发至第二网络设备,以对第二网络设备请求第二身份信息。
(3)第一安全功能实体可以将接收到的第一身份信息转发至第二网络设备,当第二网络设备未找到私钥时,该第二网络设备可以再去请求第三网络设备,由第三网络设备对该第一身份信息进行解密,得到第二身份信息,之后,第三网络设备再将该第二身份信息经由第二网络设备传输至第一安全功能实体,其中,该第三网络设备存储有私钥。
(4)第一安全功能实体可以根据路由信息获取解密私钥,并通过获取的解密私钥对第一身份信息进行解密,从而得到第二身份信息。其中,路由信息是第一安全功能实体接收到的身份请求消息中携带的路由信息,且该路由信息可以为第一路由信息和/或第二路由信息。
比如,第一安全功能实体为SEAF实体,第二网络设备为AUSF实体,第三网络设备为ARPF实体,那么私钥存储在ARPF上,第一身份信息在ARPF实体上解密,得到第二身份信息。之后,ARPF实体将第二身份信息发回给SEAF。再比如,第一安全功能实体是AUSF实体,第二网络设备是UDM实体,第三网络设备为UDM实体中的AuC实体或者存储私钥并有解密功能的实体,那么第一身份信息在AUC或存储私钥并有解密功能的实体中进行解密,得到第二身份信息。之后,UDM实体将该第二身份信息发回给AUSF实体。其中,AuC和存储秘钥并有解密功能的实体可能是内部交互。
可选地,当接收到的永久身份请求消息中还携带第二路由信息时,第一安全功能实体可以根据该第二路由信息确定用于解密第一身份信息的功能实体。例如,该第二路由信息可以为第一安全功能实体,此时,则由第一安全功能实体来对第一身份信息进行解密。或者,该第二路由信息可以指向某个ARPF实体,那么,第一安全功能实体则可以将该第一身份信息发送至该ARPF实体,由该ARPF实体对该第一身份信息进行解密。
可选地,当永久身份请求消息中还携带有标识信息时,第一安全功能实体可以对该标识信息进行解析。具体的,当该永久身份请求消息中携带的标识信息为第一标识符时,第一安全功能实体可以根据该第一标识符确定第一身份信息是否为加密的身份信息。当该第一身份信息为加密的身份信息时,第一安全功能实体可以根据该第一身份信息,通过前述方法获取第二身份信息。
当该永久身份请求消息中携带的标识信息为第二标识符时,第一安全功能实体可以根据该第二标识符确定第一身份信息的加密方式,从而根据该加密方式通过存储的私钥对该第一身份信息进行解密。或者,第一安全功能实体可以将第一身份信息和该第二标识符发送至第二网络设备,由第二网络设备根据第二标识符确定第一身份信息的加密方式,并根据该加密方式通过存储的私钥对第一身份信息进行解密。或者,第一安全功能实体可以将该第一身份信息和第二标识符通过第二网络设备发送至第三网络设备,由该第三网络设备根据该第二标识符确定第一身份信息的加密方式,并根据该加密方式对第一身份信息进行解密。
当该永久身份请求消息中携带的标识信息为第三标识符时,第一安全功能实体可以参考前述对第一标识符和第二标识符的处理方式,对该第三标识符进行处理,本申请实施例不再赘述。
步骤304:当第一网络设备接收到永久身份回复消息时,向第一安全功能实体发送第二消息,该第二消息用于触发对该终端的鉴权,且该第二消息中携带第二身份信息。
当第一网络设备接收到第一安全功能实体发送的永久身份回复消息之后,可以存储该第二身份信息,以便后续终端再次进行注册或者是请求服务时使用。与此同时,第一网络设备可以向第一安全功能实体发送第二消息,触发对该终端的鉴权流程。该第二消息中携带第二身份信息,以便第一安全功能实体根据该第二身份信息请求鉴权向量对该终端进行鉴权。另外,该第二消息可以为鉴权初始请求消息,也可以为可扩展鉴权协议身份请求(extensible authentication protocol/identity-request,EAP-AKA’/identity-request)消息。
在本申请实施例中,终端在接入网络时,可以向第一网络设备发送第一消息,并在该第一消息中携带加密的身份信息,也即第一身份信息,当第一网络设备接收到来自终端的第一身份信息时,可以首先通过第一安全功能实体获取该第一身份信息的解密身份信息,也即第二身份信息。当获取到第二身份信息之后,第一网络设备可以向第一安全功能实体发送用于触发鉴权流程的第二消息。也即是,本申请实施例给出了对身份信息进行加密时触发鉴权流程的具体实现过程,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。另外,在本申请实施中,终端可以在第一消息中携带标识信息,以此来标识第一身份信息是否为加密信息和/或第一身份信息的加密方式,使得终端可以更加灵活的对该永久身份中的身份信息进行加密,并且,当该标识信息为第二标识符或第三标识符时,用于解密该第一身份信息的功能实体可以更加方便快捷的对该第一身份信息进行解密。
上述实施例介绍了第一网络设备向第一安全功能实体发送永久身份请求消息,以请求第二身份信息,并在接收到第二身份信息之后再向第一安全功能实体发送第二消息,以触发鉴权流程的过程,接下来,将介绍另一种第一网络设备获取到第一身份信息对应的第二身份信息之后,触发对终端的鉴权流程的方法。
图4是本申请实施例提供的又一种触发网络鉴权的方法的通信示意图,如图4所示,该方法包括以下步骤:
步骤401:终端通过基站向第一网络设备发送第一消息,该第一消息中携带第一身份信息和标识信息,该第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到。
本步骤的实现过程可以参考步骤301,本申请实施例不再赘述。
步骤402:当第一网络设备接收到第一消息时,向第二网络设备发送永久身份请求消息,该永久身份请求消息携带第一身份信息,该标识信息用于标识第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式。
当第一网络设备接收到第一消息之后,可以根据该第一消息中携带的第一身份信息,向第二网络设备请求第二身份信息,其中,该第二身份信息是指对第一身份信息进行解密后得到的身份信息。
其中,该第二网络设备可以为ARPF实体、UDM实体、IDF实体或AuC中的任一个。
步骤403:第二网络设备向第一网络设备发送永久身份回复消息,该永久身份回复消息携带第二身份信息。
第二网络设备在接收到永久身份请求消息之后,可以获取第二身份信息,并将该第二身份信息发送回第一网络设备。
其中,第二网络设备获取第二身份信息的方式可以有以下两种:
(1)当第二网络设备中存储有私钥时,第二网络设备基于存储的私钥对永久身份请求消息中携带的第一身份信息进行解密,得到第二身份信息。
可选地,该身份请求消息中可以携带第一路由信息,当第二网络设备为存储有不同运营商网络的私钥的网络设备时,第二网络设备可以根据该第一路由信息获取该终端所属的归属网络的私钥,并通过获取的私钥对该第一身份信息进行解密。
(2)当第二网络设备中未存储有私钥时,第二网络设备将该第一身份信息转发至第三网络设备,由第三网络设备对该第一身份信息进行解密,得到第二身份信息,并将该第二身份信息发送至第二网络设备。
步骤404:当第一网络设备接收到永久身份回复消息时,向第一安全功能实体发送第二消息,该第二消息用于触发对终端的鉴权流程,且该第二消息中携带第二身份信息。
本步骤可以参考前述实施例中的步骤305,本申请实施例不再赘述。
在本申请实施例中,终端在接入网络时,可以向第一网络设备发送第一消息,并在该第一消息中携带加密的身份信息,也即第一身份信息,当第一网络设备接收到来自终端的第一身份信息时,可以首先通过第二网络设备获取该第一身份信息的解密身份信息,也即第二身份信息。当获取到第二身份信息之后,第一网络设备再向第一安全功能实体发送用于触发鉴权流程的第二消息。也即是,本申请实施例给出了对身份信息进行加密时触发鉴权流程的具体实现过程,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。另外,在本申请实施例中,第一网络设备可以直接向第二网络设备请求第二身份信息,这样,相较于第一网络设备向第一安全功能实体请求第二身份信息,第一安全功能实体由于未存储解密私钥再向第二网络设备请求第二身份信息的情况,减少了信令交互。
上述实施例介绍了第一网络设备向第二网络设备发送永久身份请求消息,以请求第二身份信息,并在接收到第二身份信息之后再向第一安全功能实体发送第二消息,以触发鉴权流程的过程。接下来,将介绍另一种第一网络设备获取到第一身份信息对应的第二身份信息之后,触发对终端的鉴权流程的方法。
图5是本申请实施例提供的又一种触发网络鉴权的方法的通信示意图,如图5所示,该方法包括以下步骤:
步骤501:终端通过基站向第一网络设备发送第一消息,该第一消息中携带第一身份信息和标识信息,该第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到,该标识信息用于标识该第一身份信息是否为加密的身份信息和/或第一身份信息的加密方式。
本步骤的实现过程可以参考步骤301,本申请实施例不再赘述。
步骤502:当第一网络设备接收到第一消息时,向第二网络设备发送身份请求消息,该身份请求消息中携带第一身份信息和第一路由信息。
其中,第一路由信息可以用于第一网络设备确定该终端的归属网络。
第一网络设备在接收到第一消息之后,可以根据该第一路由信息,确定终端的归属网络,并向预配置的第二网络设备发送携带有第一路由信息和第一身份消息的身份请求消息。其中,该第二网络设备可以为该终端的归属网络下的网络设备,也可以为同时存储有不同运营商网络的私钥的网络设备。
其中,该第二网络设备可以为ARPF实体、UDM实体、KMS或AuC中的任一个。
可选地,该身份请求消息中可以携带标识信息,具体的处理方法可以参考步骤302中的相关解释说明。
步骤503:第二网络设备根据接收到的身份请求消息中携带的路由信息获取私钥,并通过获取的私钥解密第一身份信息,得到第二身份信息。
当第二网络设备为该终端的归属网络下的网络设备,且存储有该归属网络的私钥时,第二网络设备可以获取该私钥,并通过获取的私钥解密第一身份信息,从而得到第二身份信息。
当第二网络设备为存储有不同运营商网络的私钥的网络设备时,第二网络设备可以根据身份请求消息中携带的第一路由信息获取该终端的归属网络的私钥,并通过获取到的私钥对第一身份信息进行解密,从而得到第二身份信息。
可选地,当第二网络设备未存储有私钥时,该第二网络设备还可以根据第一路由信息确定第三网络设备,并向第三网络设备发送私钥获取请求,该私钥获取请求中可以携带第一路由信息。之后,第三网络设备可以基于该第一路由信息获取私钥,并将获取的私钥传回给第二网络设备,由第二网络设备通过该私钥解密第一身份信息。在这种情况下,第二网络设备还可以存储该私钥,以便后续再次接收到该归属网络下的终端发送的身份请求消息时,可以通过该私钥对该终端的第一身份信息进行解密。
比如,第二网络设备为AUSF实体,第三网络设备为ARPF实体或AuC或IDF实体。或者第二网络设备为ARPF实体,第三网络设备为ARPF内的功能实体,比如AuC或IDF实体。
可选地,当该身份请求消息中还携带标识信息中,第二网络设备可以参考前述实施例步骤303中第一安全功能实体对该标识信息进行处理的相关方法,本申请实施例不再赘述。
步骤504:第二网络设备向第一网络设备发送第二身份信息。
步骤505:第一网络设备向第一安全功能实体发送第二消息,该第二消息用于触发对终端的鉴权,且该第二消息中携带第二身份信息。
本步骤的实现过程可以参考前述实施例中的步骤301,本申请实施例不再赘述。
在本申请实施例中,终端在接入网络时,可以向第一网络设备发送第一消息,并在该第一消息中携带加密的身份信息,也即第一身份信息,当第一网络设备接收到来自终端的第一身份信息时,可以首先直接从第二网络设备获取解密私钥,并通过获取的解密私钥对该第一身份信息进行解密,得到第二身份信息。当得到第二身份信息之后,第一网络设备再向第一安全功能实体发送用于触发鉴权流程的第二消息。也即是,本申请实施例给出了对身份信息进行加密时触发鉴权流程的具体实现过程,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。另外,在本申请实施例中,第一网络设备可以存储获取到的解密私钥,这样,当第一网络设备再次接收到与当前终端属于同一运营商网络的终端的加密的身份信息时,即可以直接通过该解密私钥对其进行解密,简化了操作流程。
通过前述实施例介绍了第一网络设备在获取到第一身份信息对应的第二身份信息之后,再触发对终端的鉴权流程的实现过程,接下来,将结合附图6a-6d介绍第一网络设备在触发鉴权流程之后再获取第二身份信息的实现过程。
本申请实施例提供了一种触发网络鉴权的方法的通信示意图,该方法包括以下步骤:
步骤601:终端通过基站向第一网络设备发送第一消息,该第一消息中携带第一身份信息,该第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到。
本步骤的实现过程可以参考步骤301,本申请实施例不再赘述。
步骤602:当第一网络设备接收到第一消息时,向第一安全功能实体发送第二消息,该第二消息用于触发对终端的鉴权,且该第二消息中携带第一身份信息。
第一网络设备可以在收到第一身份信息,但未得到第二身份信息时,即向第一安全功能实体发送第二消息,以触发对终端的鉴权流程。
步骤603:当第一安全功能实体接收到第二消息时,基于第一身份信息获取第二身份信息。
在本实施例中,如果第一安全功能实体是AUSF实体,第一网络设备为AMF和SEAF合并的功能实体,那么,不区分是AMF发送第一消息,还是SEAF发送第一消息。如果SEAF是独立的功能实体,那么第一网络设备是SEAF实体。SEAF实体在发出第二消息前,要接收AMF实体发送的第一消息中的第一身份信息和标识信息。如果第一安全功能实体是独立的SEAF实体,那么该SEAF实体是终端的归属网络部署的。
其中,第一安全功能实体在接收到第一身份信息之后,可以通过以下三种方式中的任一种获取第二身份信息。
(1)第一安全功能实体通过存储的私钥对第一身份信息进行解密,得到第二身份信息;
(2)第一安全功能实体可以将接收到的第一身份信息转发至第二网络设备,由第二网络设备对该第一身份信息进行解密,从而得到第二身份信息,之后,再由该第二网络设备将得到的第二身份信息返回至第一安全功能实体。其中,该第二网络设备中存储有私钥或该第二网络设备可以根据路由信息从第三网络设备获取私钥。具体的,该第二网络设备可以为ARPF实体、UDM实体、KMS或AuC中的任一个。
(3)第一安全功能实体可以将接收到的第一身份信息转发至第二网络设备,当第二网络设备未找到私钥时,该第二网络设备可以再去请求第三网络设备,由第三网络设备对该第一身份信息进行解密,得到第二身份信息,之后,第三网络设备再将该第二身份信息经由第二网络设备传输至第一安全功能实体,其中,该第三网络设备存储有私钥。
第一安全功能实体在获取到第二身份信息之后,可以确定鉴权方法。其中,鉴权方法包括基于可扩展鉴权协议(extensible authentication protocol,EAP)鉴权方法和升级的演进分组系统(evolved packet system,EPS)鉴权方法。
步骤604:第一安全功能实体向第二安全功能实体发送第二身份信息。
可选地,如果步骤603中,第一安全功能实体是将第一身份信息发送至第二安全功能实体,由第二安全功能实体基于存储的私钥对第一身份信息进行解密,得到的第二身份信息,那么,本步骤则可以不执行,直接执行步骤605。
步骤605:第二安全功能实体基于第二身份信息获取鉴权向量。
步骤606:第二安全功能实体将鉴权向量发送至第一安全功能实体。
当第一安全功能实体接收到鉴权向量之后,根据在步骤603中选择的鉴权方法的不同,执行不同的操作。其中,当第一安全功能实体采用EAP鉴权方法进行鉴权时,第一安全功能实体向第一网络设备发送第二身份信息的方法可以有两种,如图6a和6b所示。当第一安全功能实体采用EPS鉴权方法时,第一安全功能实体向第一网络设备发送第二身份信息的方法也可以有两种,如图6c和6d所示。
其中,如图6a所示,第一安全功能实体可以在鉴权的过程中向第一网络设备发送第二身份信息,具体过程参见步骤607。
步骤607:当第一安全功能实体接收到该鉴权向量时,向第一网络设备发送第三消息,该第三消息中携带第二身份消息。
其中,当第一安全功能实体接收到该鉴权向量时,即可以开始对终端进行鉴权。其中,该第三消息可以携带鉴权响应消息和第二身份信息,该鉴权响应消息携带鉴权向量或部分鉴权向量。或者,该第三消息携带鉴权响应消息,该鉴权响应消息中携带第二身份消息,且该鉴权响应消息携带鉴权向量或部分鉴权向量。
可选地,鉴权响应消息为user authentication request消息,或者EAP-request(AKA’-challenge)消息,或者5G-AIA(authentication initiation answer)消息。
需要说明的是,当通过步骤601-607所述的方式触发鉴权流程时,第一安全功能实体可以在向第一网络设备发送鉴权响应消息的同时,发送第二身份信息,这样,第一网络设备可以在鉴权流程中获取到第二身份信息,相较于第一网络设备先获取第二身份信息,再触发鉴权流程,减少了信令交互。
如图6b所示,第一安全功能实体也可以确定对终端的鉴权通过之后,向第一网络设备发送第二身份信息,具体过程参见步骤608-609。
步骤608:当第一安全功能实体接收到该鉴权向量时,基于该鉴权向量对终端进行鉴权。
具体的,第一安全功能实体可以通过该鉴权向量与终端进行交互,以实现对终端的鉴权。
步骤609:当第一安全功能实体对终端的鉴权通过之后,向第一网络设备发送第三消息,该第三消息携带第二身份信息。
具体的,第一安全功能实体对终端的鉴权通过的标志可以是第一安全功能实体发送或者收到EAP-success消息,或者认证终端成功,或者收到5G-AC(authenticationconfirmation)消息。
其中,当第一安全功能实体确定对终端的鉴权通过之后,可以向第一网络设备发送第三消息,该第三消息中携带鉴权成功消息,用于通知第一网络设备对该终端的鉴权通过。其中,第二身份信息由该鉴权成功消息携带。
当然,该第二身份信息也可以不携带在鉴权成功消息中。也即是,第三消息可以携带鉴权成功消息和第二身份信息。
具体的,鉴权成功消息可以为EAP-success消息,或者为5G-AK(authenticationacknowledge)消息。5G-AK消息为回复5G-AC消息的响应消息。
需要说明的是,当通过步骤601-606和步骤608-609中介绍的方法触发鉴权流程时,第一网络设备在接收到第一身份信息时,可以直接触发鉴权流程,第一安全功能实体可以在鉴权成功之后,再向第一网络设备发送鉴权成功消息的同时,发送第二身份信息,这样,一方面,第一网络设备获取第二身份信息的过程是和鉴权一起完成的,减少了信令交互,另一方面,由于第一安全功能实体是在鉴权通过之后,将第二身份信息和鉴权成功消息一起发送至第一网络设备的,因此,可以更好的保护终端的身份信息不被泄露,提高了终端的安全性。
上面结合图6a和图6b介绍了当第一安全功能实体采用EAP的鉴权方法进行鉴权时,第一安全功能实体向第一网络设备发送第二身份信息的两种方法,接下来介绍当第一安全功能实体采用EPS鉴权方法时,第一安全功能实体向第一网络设备发送第二身份信息的两种方法。其中,当采用EPS鉴权方法时,第一安全功能实体需要将鉴权向量发送至第一网络设备,由第一网络设备对终端进行鉴权。
如图6c所示,第一安全功能实体可以将鉴权向量和第二身份信息一起发给第一网络设备,具体过程参见步骤610。
步骤610:当第一安全功能实体接收到该鉴权向量时,向第一网络设备发送鉴权向量和第二身份信息。
可选地,第一安全功能实体可以将鉴权向量和第二身份信息以固定格式进行发送。比如,将第二身份信息放到第三消息的前几个比特,比特位个数要大于等于第二身份信息的长度。在存放第二身份信息的比特位后面存放鉴权向量。或者鉴权向量放到前固定比特位中,再将第二身份信息放至最后几个比特位中。
步骤611:当第一网络设备接收到鉴权向量和第二身份信息时,存储第二身份信息,并基于鉴权向量对终端进行鉴权。
其中,第一网络设备可以识别第二身份信息,直接将该第二身份信息进行存储。或者,当第一安全功能实体是以固定格式发送鉴权向量和第二身份信息时,第一网络设备可以根据该固定格式中的固定比特位,该固定比特位的信息即为第二身份信息。
另外,鉴权向量一般包括期望回复(expected response,XRES)、消息鉴权码(message authentication code,MAC)等参数。当第一网络设备为SEAF和AMF合并的功能实体时,当第一网络设备接收到鉴权向量之后,可以将该鉴权向量中的XRES或者是MAC存储,然后将该鉴权向量中剩余的参数发送至终端,以此与终端进行交互,以实现对终端的鉴权。当第一网络设备为独立的SEAF时,当第一网络设备接收到鉴权向量之后,可以将该鉴权向量中的XRES或者是MAC存储,然后将该鉴权向量中剩余的参数发送至AMF实体,再由AMF实体发送给终端。
需要说明的是,当通过步骤601-606、步骤610-611中介绍的方法触发鉴权流程时,第一网络设备在接收到第一身份信息时,可以直接向第一安全功能实体发送携带有第一身份信息的第二消息,以触发鉴权流程。之后,第一安全功能实体可以在获取到鉴权向量之后,将第二身份信息和鉴权向量一起发送至第一网络设备。这样,第一网络设备在对终端进行鉴权之前就可以获取到终端的永久身份信息,相较于第一网络设备先获取第二身份信息,再触发鉴权流程,减少了信令交互。
如图6d所示,第一安全功能实体也可以在确认对终端鉴权成功之后,再向第一网络设备发送第二身份消息,提高了安全性。具体过程参见步骤611-614。需要知道的是,步骤611-614中,第一安全功能实体可以是AUSF实体,在这种情况下,对应的第一网络设备可以为合并的AMF和SEAF;或者,第一安全功能实体可以是独立的SEAF,此时,对应的第一网络设备为AMF。
步骤612:当第一安全功能实体接收到该鉴权向量或部分鉴权向量时,向第一网络设备发送鉴权向量或部分鉴权向量,以触发对终端的鉴权。
比如,第一安全功能实体可以向第一网络设备发送EAP-request/AKA’-challenge消息,该EAP-Request/AKA’-challenge消息中携带鉴权向量或部分鉴权向量。或者,第一安全功能实体发送5G-AIA消息,该5G-AIA消息中携带鉴权向量或部分鉴权向量。
步骤613:当第一网络设备接收到鉴权向量或部分鉴权向量时,基于该鉴权向量对终端进行鉴权。
其中,当第一网络设备接收到鉴权向量或部分鉴权向量时,可以向终端发送该鉴权向量或部分鉴权向量,之后,终端和第一网络设备可以通过该鉴权向量或部分鉴权向量完成鉴权。
具体的,第一网络设备可以将鉴权向量或部分鉴权向量携带在EAP-Request/AKA’-challenge消息中发送给终端,或者可以将鉴权向量或部分鉴权向量携带在鉴权请求(authentication request)消息中发送给终端。
步骤614:当第一网络设备对终端的鉴权通过之后,第一网络设备可以向第一安全功能实体发送鉴权确认消息。
其中,该鉴权确认消息用于通知第一安全功能实体对终端的鉴权通过。具体地,该鉴权确认消息可以是5G-AC。
在另一种可能的实现方式中,第一网络设备可以向第一安全功能实体发送携带有鉴权回复(authentication response)消息的鉴权确认消息,该鉴权回复消息是鉴权请求消息的响应消息。第一安全功能实体在接收到鉴权回复消息之后,可以根据该鉴权回复消息确认终端鉴权通过。
其中,该鉴权确认消息可以是EAP-response/AKA’-challenge消息。
步骤615:当第一安全功能实体接收到第一网络设备发送的鉴权确认消息时,向第一网络设备发送第二身份信息。
当第一安全功能实体接收到第一网络设备发送的鉴权确认消息时,即可以确定第一网络设备已经对终端的鉴权通过,此时,第一安全功能实体可以向第一网络设备发送第二身份信息,提高了安全性。
可选地,当第一安全功能实体接收到第一网络设备发送的鉴权确认消息时,可以确定第一网络设备对终端的鉴权通过,此时,该第一安全功能实体可以生成鉴权成功消息,并将该鉴权成功消息和第二身份信息一起发送至第一网络设备。当然,该第一安全功能实体也可以将该第二身份信息携带在鉴权成功消息中发送至第一网络设备。其中,该鉴权成功消息可以为永久身份回复消息。
需要说明的是,当通过步骤601-606和步骤612-615中介绍的方法触发鉴权流程时,第一网络设备在接收到第一身份信息时,可以直接向第一安全功能实体发送携带有第一身份信息的第二消息,以触发鉴权流程。之后,第一安全功能实体在获取到第二身份信息和鉴权向量之后,只向第一网络设备发送鉴权向量,而不发送第二身份信息。当第一网络设备基于鉴权向量对终端的鉴权通过之后,可以向第一安全功能实体发送鉴权确认消息,第一安全功能实体在接收到鉴权确认消息后,确定第一网络设备对终端的鉴权已通过,才会向第一网络设备发送第二身份信息,这样可以更好的保护终端的身份信息不被泄露,提高了终端的安全性。
前述实施例中介绍了由第一网络设备触发对终端的鉴权流程,并根据第一身份信息获取第二身份信息的具体实现过程。除此之外,对终端的鉴权流程还可以由第一安全功能实体来触发。
在第一安全功能实体来触发对终端的鉴权流程的场景下,本申请实施例还提供一种触发网络鉴权的方法,和基于该方法的第一网络设备、第一安全功能实体、第二安全功能实体和系统。该方法包括:第一安全功能实体接收来自第一网络设备的第一身份信息,第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到;第一安全功能实体向第二安全功能实体发送该第一身份信息;第一安全功能实体接收来自第二安全功能实体的鉴权向量和第二身份信息,并触发对终端的鉴权过程,其中,所述第二身份信息是对该第一身份信息进行解密得到的,该鉴权向量由第二安全功能实体基于该第二身份信息获取。例如该方法可以如图7a所示。本申请实施例的方案给出了对身份信息进行加密时触发鉴权流程的方案,并且,在本申请实施例的方案中,由第一安全功能实体触发对终端的鉴权,由于采用3GPP技术接入网络时,对终端的鉴权流程也是由第一安全功能实体触发的,因此,通过本实施例的方案,将终端鉴权过程中3GPP和非3GPP技术的处理进行了统一,减少了网络设备的处理复杂度。
接下来将结合图7b对由第一安全功能实体触发鉴权流程的方案做详细介绍。
图7b是本申请实施例提供的又一种触发网络鉴权的方法的通信示意图,如图7b所示,该方法包括以下步骤:
步骤701:终端通过基站和第一网络设备向第一安全功能实体发送第一身份信息,该第一身份信息是由终端基于公钥对终端的永久身份中的身份信息进行加密得到。
当终端接入网络时,可以向基站发送第一身份信息,之后再由基站将该第一身份信息发送至第一网络设备。第一网络设备在接收到该第一身份信息时,再将该第一身份信息转发至第一安全功能实体。需要说明的是,第一网络设备可以向第一安全功能实体发送永久身份请求消息,并在该永久身份请求消息中携带该第一身份信息。
其中,公钥可以存储在终端中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identity module,USIM),通用集成电路卡(universalintegrated circuit card,UICC),嵌入式通用集成电路卡(embedded universalintegrated circuit card,eUICC),5G通用集成电路卡(5G-universal integratedcircuit card,5G-UICC)等。其中,永久身份可以为国际移动用户识别码(internationalmobile subscriber identification number,IMSI)。当永久身份为IMSI时,IMSI包括移动用户识别号码(mobile subscriber identification number,MSIN)和路由信息,因此,终端可以通过公钥将IMSI中的MSIN进行加密,得到第一身份信息。
另外,第一消息中还携带有路由信息,该路由信息用于第一网络设备确定该终端的归属网络,从而确定该终端的归属网络下的第一安全功能实体。
步骤702:第一安全功能实体接收到第一身份信息,向第二安全功能实体发送第一身份信息。
可选地,第一安全功能实体可以为AUSF实体。
步骤703:第二安全功能实体接收到第一身份信息,获取第二身份信息,并基于第二身份信息获取鉴权向量。
当第二安全功能实体接收到第一身份信息时,可以基于存储的私钥对该第一身份信息进行解密,得到第二身份信息。或者,第二安全功能实体可以将该第一身份信息发送至第二网络设备,由第二网络设备对该第一身份信息进行解密,得到第二身份信息,并将该第二身份信息发回至第二安全功能实体。或者,第二安全功能实体可以向第二网络设备请求私钥。第二网络设备根据路由信息确定私钥,将私钥发回给第二安全功能实体。
可选地,第二安全功能实体可以为ARPF实体。第二网络设备可以为AuC,KMS或IDF。
当第二安全功能实体获取到第二身份信息之后,可以根据该第二身份信息确定终端的长期密钥,根据该长期密钥获取鉴权向量。该鉴权向量为第一网络设备对终端进行鉴权的参数。该长期密钥与终端上保存的长期密钥相同。
步骤704:第二安全功能实体向第一安全功能实体发送鉴权向量和第二身份信息。
步骤705:第一安全功能实体接收鉴权向量和第二身份信息,触发鉴权流程。
步骤706:第一安全功能实体向第一网络设备发送鉴权向量。
可选地,第一安全功能实体可以在向第一网络设备发送鉴权向量的同时,发送第二身份信息,也即是,第一安全功能实体可以将第二身份信息和鉴权向量同时发送给第一网络设备,在这种情况下,接下来可以执行步骤707,而不必再执行步骤708和709。
步骤707:第一网络设备基于鉴权向量对终端进行鉴权。
鉴权向量一般包括期望回复(expected response,XRES)、消息鉴权码(messageauthentication code,MAC)等参数。当第一网络设备接收到鉴权向量之后,可以将该鉴权向量中的XRES或者是MAC存储,然后将该鉴权向量中剩余的参数发送至终端,以此与终端进行交互,以实现对终端的鉴权。
需要说明的是,当第一网络设备在接收到鉴权向量的同时,还接收到第二身份信息时,第一网络设备可以基于该鉴权向量对终端进行鉴权,并将接收到第二身份信息进行存储。在这种情况下,接下来可以不再执行步骤708和709。
步骤708:当第一网络设备对终端的鉴权通过之后,向第一安全功能实体发送鉴权确认消息。
其中,该鉴权确认消息用于通知AUSF对终端的鉴权通过。
步骤709:当第一安全功能实体接收到鉴权确认消息时,向第一网络设备发送第二身份信息。
由于第一安全功能实体接收到鉴权确认消息时,即可以确定对终端的鉴权通过,此时再向第一网络设备发送第二身份信息,可以更好的保护终端的永久身份不被泄露,保证了安全性。
在本申请实施例中,终端在接入网络时,可以通过基站、第一网络设备向第一安全功能实体发送第一身份信息,当第一安全功能实体接收到来自终端的第一身份信息时,可以向第二安全功能实体发送该第一身份信息,第二安全功能实体可以根据该第一身份信息获取第二身份信息,并根据第二身份信息获取鉴权向量,之后,将该鉴权向量和第二身份信息发送至第一安全功能实体,当第一安全功能实体接收到该鉴权向量和第二身份信息时,即触发鉴权流程,也即是,本申请实施例给出了对身份信息进行加密时触发鉴权流程的具体实现过程,而由于终端发给第一网络设备的身份信息是加密的身份信息,避免了该身份信息在传输的过程中遭到窃取或者篡改,保证了终端的安全性。另外,在本申请实施例中,鉴权流程是由第一安全功能实体在接收到鉴权向量时触发的。在相关技术中,当终端通过3GPP技术接入网络时,对终端的鉴权流程即是由第一安全功能实体触发的,而本申请实施例提供的方法不仅可以用于3GPP技术,还可以用于非3GPP技术,也即是,本申请实施例中当采用非3GPP技术接入网络时,对终端的鉴权流程也是由第一安全功能实体触发,也就是说,本申请实施例将3GPP和非3GPP的处理进行了统一,这样,可以减少网络设备的处理复杂度。
上述主要从不同网络设备之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,第一网络设备、第一安全功能实体为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。结合本申请中所公开的实施例描述的各示例的单元及算法步骤,本申请实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的技术方案的范围。
本申请实施例可以根据上述方法示例对第一网络设备和第一安全功能实体进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用集成的模块的情况下,图8a示出了本申请实施例中所涉及的第一网络设备的一种可能的示意性框图。第一网络设备800包括:处理模块802和通信模块803。处理模块802用于对第一网络设备的动作进行控制管理,例如,处理模块802用于支持第一网络设备执行图2中的过程201和202,图3中的过程302和304,图4中的过程402和404,图5中的过程502和505,图6a-6d中的过程602、611、613和614,图7a中的过程711-714,图7b中的过程707和708,和/或用于本文所描述的技术的其它过程。通信模块803用于支持第一网络设备与第一安全功能实体或其他网络设备的通信。第一网络设备还可以包括存储模块801,用于存储第一网络设备的程序代码和数据。
其中,处理模块802可以是处理器或控制器,例如可以是中央处理器(CentralProcessing Unit,CPU),通用处理器,数字信号处理器(Digital Signal Processor,DSP),专用集成电路(Application-Specific Integrated Circuit,ASIC),现场可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块803可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:第一网络设备和第一安全功能实体或第二网络设备之间的接口和/或其他接口。存储模块801可以是存储器。
当处理模块802为处理器,通信模块803为通信接口,存储模块801为存储器时,本申请实施例所涉及的第一网络设备可以为图8b所示的第一网络设备。
参阅图8b所示,该第一网络设备810包括:处理器812、通信接口813、存储器811。可选的,第一网络设备810还可以包括总线814。其中,通信接口813、处理器812以及存储器811可以通过总线814相互连接;总线814可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。所述总线814可以分为地址总线、数据总线和控制总线等。为便于表示,图8b中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述图8a和图8b所示的第一网络设备可以是图1系统架构中的AMF实体,也可以为AMF功能实体中的SEAF模块。当AMF和SEAF不是一个功能实体时,该第一网络设备可以为AMF功能实体,或MME功能实体,或其他具有接入和移动性管理功能的实体。
在采用集成的模块的情况下,图9a示出了本申请实施例中所涉及的第一安全功能实体的一种可能的示意性框图。第一安全功能实体900包括:处理模块902和通信模块903。处理模块902用于对第一安全功能实体的动作进行控制管理,例如,处理模块902用于支持第一安全功能实体执行图2中的过程202,图3中的过程303,图4中的过程404,图5中的过程505,图6a-6d中的过程603、604、607、608、609、610、612和615,图7a中的过程712和713,图7b中的过程702、705、706和709,和/或用于本文所描述的技术的其它过程。通信模块903用于支持第一安全功能实体与第一网络设备或第二安全功能实体或其他网络设备的通信。第一安全功能实体还可以包括存储模块901,用于存储第一安全功能实体的程序代码和数据。
其中,处理模块902可以是处理器或控制器,例如可以是CPU,通用处理器,DSP,ASIC,FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块903可以是通信接口、收发器或收发电路等,其中,该通信接口是统称,在具体实现中,该通信接口可以包括多个接口,例如可以包括:第一安全功能实体和第一安全功能实体或第二网络设备之间的接口和/或其他接口。存储模块901可以是存储器。
当处理模块902为处理器,通信模块903为通信接口,存储模块901为存储器时,本申请实施例所涉及的第一安全功能实体可以为图9b所示的第一安全功能实体。
参阅图9b所示,该第一安全功能实体910包括:处理器912、通信接口913、存储器911。可选的,第一安全功能实体910还可以包括总线914。其中,通信接口913、处理器912以及存储器911可以通过总线914相互连接;总线914可以是PCI总线或EISA总线等。所述总线914可以分为地址总线、数据总线和控制总线等。为便于表示,图9b中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
上述图9a和图9b所示的第一安全功能实体可以是图1系统架构中的AUSF实体;或者,当图1中的AMF中不包括SEAF时,该第一安全功能实体也可以为SEAF。
本申请实施例还提供一种第二安全功能实体,该第二安全功能实体的结构示意图类似于上述第一安全功能实体的结构示意图,如图10a和图10b所示。该第二安全功能实体包括的模块或器件可以对应执行上述方法中所涉及的第二安全功能实体所完成的动作,此处不作赘述。图10a或图10b所示的第二安全功能实体可以是图1中的ARPF实体。
结合本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(Random Access Memory,RAM)、闪存、只读存储器(Read Only Memory,ROM)、可擦除可编程只读存储器(Erasable Programmable ROM,EPROM)、电可擦可编程只读存储器(Electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于第一网络设备或第一安全功能实体中。当然,处理器和存储介质也可以作为分立组件存在于第一网络设备或第一安全功能实体中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DigitalSubscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(DigitalVideo Disc,DVD))、或者半导体介质(例如,固态硬盘(Solid State Disk,SSD))等。
以上所述的具体实施方式,对本申请实施例的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本申请实施例的具体实施方式而已,并不用于限定本申请实施例的保护范围,凡在本申请实施例的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本申请实施例的保护范围之内。
Claims (50)
1.一种触发网络鉴权的方法,其特征在于,所述方法包括:
第一网络设备接收来自终端的第一消息,所述第一消息携带第一身份信息和标识信息,其中,所述第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到,所述标识信息用于标识所述第一身份信息的加密方式;
所述第一网络设备向第一安全功能实体发送第二消息,所述第二消息用于触发对所述终端进行鉴权,其中,所述第二消息包括所述第一身份信息和所述标识信息。
2.如权利要求1所述的方法,其特征在于,在所述第一网络设备向第一安全功能实体发送第二消息之后,所述方法还包括:
所述第一网络设备接收来自所述第一安全功能实体的第二身份信息,所述第二身份信息是对所述第一身份信息进行解密得到。
3.如权利要求2所述的方法,其特征在于,所述第一网络设备接收来自所述第一安全功能实体的第二身份信息,包括:
所述第一网络设备接收来自所述第一安全功能实体的第三消息;其中,所述第三消息携带所述第二身份信息和鉴权成功消息。
4.如权利要求3所述的方法,其特征在于,所述第一网络设备接收来自所述第一安全功能实体的第二身份信息之前,还包括:
所述第一网络设备接收来自所述第一安全功能实体的鉴权向量,并通过所述鉴权向量对所述终端进行鉴权。
5.如权利要求1-4任一所述的方法,其特征在于,所述第一消息中还包括第一路由信息,所述第一路由信息用于确定所述终端的归属网络;在所述第一网络设备向第一安全功能实体发送第二消息之前,所述方法还包括:
所述第一网络设备根据所述第一路由信息,确定所述终端的归属网络下的所述第一安全功能实体。
6.如权利要求1-5任一所述的方法,其特征在于,所述第一消息中还包括第二路由信息,所述第二路由信息用于确定解密所述第一身份信息的功能实体。
7.如权利要求6所述的方法,其特征在于,所述第二消息中还包括所述第二路由信息。
8.如权利要求1-7任一所述的方法,其特征在于,所述终端的永久身份为国际移动用户识别码IMSI,所述IMSI包括移动用户识别号码MSIN和路由信息;其中,所述述终端的永久身份中的身份信息为所述MSIN,所述路由信息包括用于确定所述终端的归属网络的第一路由信息。
9.一种触发网络鉴权的方法,其特征在于,所述方法包括:
第一安全功能实体接收第一网络设备发送的第二消息,所述第二消息包括第一身份信息和标识信息,所述第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到,所述标识信息用于标识所述第一身份信息的加密方式;
所述第一安全功能实体向第二网络设备发送所述第一身份信息和所述标识信息;
所述第一安全功能实体接收所述第二网络设备发送的第二身份信息和鉴权向量;其中,所述第二身份信息是对所述第一身份信息进行解密得到,所述鉴权向量是基于所述第二身份信息获取的。
10.如权利要求9所述的方法,其特征在于,所述第二消息中还包括第二路由信息;所述方法还包括:
所述第一安全功能实体根据所述第二路由信息,确定所述第二网络设备为解密所述第一身份信息的功能实体。
11.如权利要求9或10所述的方法,其特征在于,所述方法还包括:
所述第一安全功能实体向所述第一网络设备发送所述鉴权向量。
12.如权利要求9-11任一所述的方法,其特征在于,所述方法还包括:
所述第一安全功能实体在确定对所述终端的鉴权通过后,向所述第一网络设备发送所述第二身份信息。
13.如权利要求9-12任一所述的方法,其特征在于,所述第一安全功能实体为鉴权服务功能实体AUSF,所述第一网络设备为安全锚点功能SEAF实体或者集成有所述SEAF实体的接入和移动管理AMF实体;所述第二网络设备为统一的数据管理UDM实体。
14.一种触发网络鉴权的方法,其特征在于,所述方法包括:
终端基于公钥对终端的永久身份中的身份信息进行加密得到第一身份信息;
所述终端向第一网络设备发送第一消息,该第一消息中携带所述第一身份信息和标识信息,所述标识信息用于标识所述第一身份信息的加密方式。
15.如权利要求14所述的方法,其特征在于,所述第一消息中还包括第一路由信息,所述第一路由信息用于确定所述终端的归属网络。
16.如权利要求14或15所述的方法,其特征在于,所述第一消息中还包括第二路由信息,所述第二路由信息用于确定所解密所述第一身份信息的功能实体。
17.如权利要求14-16任一所述的方法,其特征在于,所述终端的永久身份为国际移动用户识别码IMSI,所述IMSI包括移动用户识别号码MSIN和路由信息;其中,所述述终端的永久身份中的身份信息为所述MSIN,所述路由信息包括用于确定所述终端的归属网络的第一路由信息。
18.如权利要求14-17任一所述的方法,其特征在于,所述公钥存储在所述终端的全球用户识别卡USIM中。
19.一种触发网络鉴权的装置,其特征在于,包括处理模块和通信模块,所述处理模块用于通过所述通信模块接收来自终端的第一消息,所述第一消息携带第一身份信息和标识信息,其中,所述第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到,所述标识信息用于标识所述第一身份信息的加密方式;以及通过所述通信模块向第一安全功能实体发送第二消息,所述第二消息用于触发对所述终端的鉴权,其中,所述第二消息携带所述标识信息。
20.如权利要求19所述的装置,其特征在于,所述处理模块,还用于在向第一安全功能实体发送第二消息之后,通过所述通信模块接收来自所述第一安全功能实体的第二身份信息,所述第二身份信息是对所述第一身份信息进行解密得到。
21.如权利要求20所述的装置,其特征在于,所述处理模块,还用于在向第一安全功能实体发送第二消息之后,通过所述通信模块接收来自所述第一安全功能实体的第二身份信息,具体为:
通过所述通信模块接收来自所述第一安全功能实体的第三消息;其中,所述第三消息携带所述第二身份信息和鉴权成功消息。
22.如权利要求21所述的装置,其特征在于,所述处理模块,还用于在通过所述通信模块接收来自所述第一安全功能实体的第二身份信息之前,通过所述通信模块接收来自所述第一安全功能实体的鉴权向量,并通过所述鉴权向量对所述终端进行鉴权。
23.如权利要求19-22任一所述的装置,其特征在于,所述第一消息中还包括第一路由信息,所述第一路由信息用于确定所述终端的归属网络;所述处理模块,还用于在通过所述通信模块向所述第一安全功能实体发送第二消息之前,根据所述第一路由信息,确定所述终端的归属网络下的所述第一安全功能实体。
24.如权利要求19-23任一所述的装置,其特征在于,所述第一消息中还包括第二路由信息,所述第二路由信息用于确定解密所述第一身份信息的功能实体。
25.如权利要求24所述的装置,其特征在于,所述第二消息中还包括所述第二路由信息。
26.如权利要求19-25任一所述的装置,其特征在于,所述终端的永久身份为国际移动用户识别码IMSI,所述IMSI包括移动用户识别号码MSIN和路由信息;其中,所述述终端的永久身份中的身份信息为所述MSIN,所述路由信息包括用于确定所述终端的归属网络的第一路由信息。
27.一种触发网络鉴权的装置,其特征在于,包括处理模块和通信模块,所述处理模块,用于通过所述通信模块接收第一网络设备发送的第二消息,所述第二消息包括第一身份信息和标识信息,所述第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到,所述标识信息用于标识所述第一身份信息的加密方式;用于通过所述通信模块向第二网络设备发送所述第一身份信息和所述标识信息;以及用于通过所述通信模块接收所述第二网络设备发送的第二身份信息和鉴权向量;其中,所述第二身份信息是对所述第一身份信息进行解密得到,所述鉴权向量是基于所述第二身份信息获取的。
28.如权利要求27所述的装置,其特征在于,所述第二消息中还包括第二路由信息;所述处理模块,还用于根据所述第二路由信息,确定所述第二网络设备为解密所述第一身份信息的功能实体。
29.如权利要求27或28所述的装置,其特征在于,所述处理模块,还用于通过所述通信模块向所述第一网络设备发送所述鉴权向量。
30.如权利要求29所述的装置,其特征在于,所述处理模块,还用于在确定对所述终端的鉴权通过后,通过所述通信模块向所述第一网络设备发送所述第二身份信息。
31.如权利要求27-30任一所述的装置,其特征在于,所述装置为鉴权服务功能实体AUSF,所述第一网络设备为安全锚点功能SEAF实体或者集成有所述SEAF实体的接入和移动管理AMF实体;所述第二网络设备为统一的数据管理UDM实体。
32.一种触发网络鉴权的装置,其特征在于,包括处理模块和通信模块,所述处理模块,用于基于公钥对终端的永久身份中的身份信息进行加密得到第一身份信息;以及通过所述通信模块向第一网络设备发送第一消息,该第一消息中携带所述第一身份信息和标识信息,所述标识信息用于标识所述第一身份信息的加密方式。
33.如权利要求32所述的装置,其特征在于,所述第一消息中还包括第一路由信息,所述第一路由信息用于确定所述终端的归属网络。
34.如权利要求32或33所述的装置,其特征在于,所述第一消息中还包括第二路由信息,所述第二路由信息用于确定所解密所述第一身份信息的功能实体。
35.如权利要求32-34任一所述的装置,其特征在于,所述终端的永久身份为国际移动用户识别码IMSI,所述IMSI包括移动用户识别号码MSIN和路由信息;其中,所述述终端的永久身份中的身份信息为所述MSIN,所述路由信息包括用于确定所述终端的归属网络的第一路由信息。
36.如权利要求32-35任一所述的装置,所述公钥存储在所述终端的全球用户识别卡USIM中。
37.一种装置,其特征在于,包括:
存储器以及与存储器耦合的处理器,所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述装置运行时,所述处理器运行程序,使得所述装置执行上述权利要求1-8任一所述的方法。
38.一种装置,其特征在于,包括:
存储器以及与存储器耦合的处理器,所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述装置运行时,所述处理器运行程序,使得所述装置执行上述权利要求9-13任一所述的方法。
39.一种装置,其特征在于,包括:
存储器以及与存储器耦合的处理器,所述存储器用于存放程序,所述处理器用于执行所述存储器存储的程序;当所述装置运行时,所述处理器运行程序,使得所述装置执行上述权利要求14-18任一所述的方法。
40.根据权利要求40所述的装置,其特征在于,所述装置为用户设备UE或者安装在UE内的芯片。
41.一种触发网络鉴权的系统,其特征在于,包括:第一网络设备和第一安全功能实体;
所述第一网络设备,用于接收来自终端的第一消息,所述第一消息携带第一身份信息和标识信息,其中,所述第一身份信息是由所述终端基于公钥对所述终端的永久身份中的身份信息进行加密得到,所述标识信息用于标识所述第一身份信息的加密方式;向所述第一安全功能实体发送第二消息,所述第二消息用于触发对所述终端进行鉴权,其中,所述第二消息包括所述第一身份信息和所述标识信息;
所述第一安全功能实体,用于接收所述第一网络设备发送的所述第二消息。
42.如权利要求41所述的系统,其特征在于,所述第一安全功能实体,还用于向第二网络设备发送所述第一身份信息和所述标识信息;接收所述第二网络设备发送的所述第二身份信息和鉴权向量;其中,所述第二身份信息是对所述第一身份信息进行解密得到,所述鉴权向量是基于所述第二身份信息获取的。
43.如权利要求42所述的系统,其特征在于,所述系统还包括所述第二网络设备,用于接收来自所述第一安全功能实体的所述第一身份信息和所述标识信息;基于存储的私钥和所述标识信息对所述第一身份信息进行解密,得到所述第二身份信息,并基于所述第二身份信息获取所述鉴权向量;向所述第一安全功能实体发送所述第二身份信息和所述鉴权向量。
44.如权利要求41-43任一所述的系统,其特征在于,所述第一消息中还包括第一路由信息,所述第一路由信息用于确定所述终端的归属网络;所述第一网络设备,还用于在所述第一网络设备向第一安全功能实体发送第二消息之前,根据所述第一路由信息,确定所述终端的归属网络下的所述第一安全功能实体。
45.如权利要求41-44任一所述的系统,其特征在于,所述第一消息和所述第二消息中还包括第二路由信息,所述第一安全功能实体,还用于根据所述第二路由信息确定所述第二网络设备为解密所述第一身份信息的功能实体。
46.如权利要求41-45任一所述的系统,其特征在于,所述第一安全功能实体,还用于向所述第一网络设备发送所述鉴权向量;所述第一网络设备,还用于接收所述第一安全功能实体发送的所述鉴权向量。
47.如权利要求41-46任一所述的系统,其特征在于,所述第一安全功能实体,还用于在确定对所述终端的鉴权通过后,向所述第一网络设备发送所述第二身份信息;所述第一网络设备,还用于接收所述第一安全功能实体发送的所述第二身份信息。
48.一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-8任一所述的方法。
49.一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求9-13任一所述的方法。
50.一种计算机存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求14-18任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910164844.2A CN109922474B (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910164844.2A CN109922474B (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
| CN201710667037.3A CN109391942A (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710667037.3A Division CN109391942A (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109922474A true CN109922474A (zh) | 2019-06-21 |
| CN109922474B CN109922474B (zh) | 2020-03-20 |
Family
ID=65272731
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910164844.2A Active CN109922474B (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
| CN201710667037.3A Withdrawn CN109391942A (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710667037.3A Withdrawn CN109391942A (zh) | 2017-08-07 | 2017-08-07 | 触发网络鉴权的方法及相关设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10798082B2 (zh) |
| CN (2) | CN109922474B (zh) |
| BR (1) | BR112020002515A2 (zh) |
| WO (1) | WO2019029531A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741467A (zh) * | 2020-06-19 | 2020-10-02 | 中国联合网络通信集团有限公司 | 一种鉴权方法及装置 |
| CN112825498A (zh) * | 2019-11-01 | 2021-05-21 | 中国移动通信有限公司研究院 | 一种认证向量的生成方法、获取方法及设备 |
| CN114079921A (zh) * | 2020-08-04 | 2022-02-22 | 中国电信股份有限公司 | 会话密钥的生成方法、锚点功能网元以及系统 |
| WO2023051619A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 一种主鉴权方法及装置 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| US12101630B2 (en) * | 2019-08-18 | 2024-09-24 | Apple Inc. | Mobile device authentication without electronic subscriber identity module (eSIM) credentials |
| CN113574917A (zh) * | 2019-09-23 | 2021-10-29 | Oppo广东移动通信有限公司 | 无线通信的方法和设备 |
| CN112788374B (zh) * | 2019-11-05 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、装置、设备及存储介质 |
| CN114554489A (zh) * | 2020-11-26 | 2022-05-27 | 上海华为技术有限公司 | 一种鉴权方法以及相关设备 |
| CN115175183B (zh) * | 2022-05-09 | 2023-09-19 | 中移互联网有限公司 | 基于5g消息的鉴权方法及鉴权装置 |
| CN115801448A (zh) * | 2023-01-09 | 2023-03-14 | 北京中科网威信息技术有限公司 | 数据通信方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102131188A (zh) * | 2010-09-01 | 2011-07-20 | 华为技术有限公司 | 用户身份信息传输的方法、用户设备、网络侧设备及系统 |
| US20120263298A1 (en) * | 2009-12-31 | 2012-10-18 | Samsung Electronics Co. Ltd. | Method and system for supporting security in a mobile communication system |
| CN104270737A (zh) * | 2014-10-17 | 2015-01-07 | 中国联合网络通信集团有限公司 | Imsi的保护方法及装置 |
| CN104754581A (zh) * | 2015-03-24 | 2015-07-01 | 河海大学 | 一种基于公钥密码体制的lte无线网络的安全认证方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100589381C (zh) * | 2004-12-14 | 2010-02-10 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
| US20100313024A1 (en) * | 2007-05-16 | 2010-12-09 | Panasonic Corporation | Methods in Mixed Network and Host-Based Mobility Management |
| EP2200251A1 (en) * | 2008-12-19 | 2010-06-23 | BRITISH TELECOMMUNICATIONS public limited company | System for web-site verification |
| CN102026178B (zh) * | 2010-12-31 | 2013-06-12 | 成都三零瑞通移动通信有限公司 | 一种基于公钥机制的用户身份保护方法 |
| CN105848136A (zh) * | 2016-04-22 | 2016-08-10 | 努比亚技术有限公司 | 一种信息获取方法和装置 |
| CN106685906B (zh) * | 2016-06-29 | 2018-10-30 | 腾讯科技(深圳)有限公司 | 鉴权处理方法、节点及系统 |
| BR112019014670A2 (pt) * | 2017-01-27 | 2020-05-26 | Ericsson Telefon Ab L M | autenticação secundária de um equipamento de usuário |
| KR102026950B1 (ko) * | 2017-04-19 | 2019-09-30 | 엘지전자 주식회사 | Pdu 세션 수립 절차를 처리하는 방법 및 amf 노드 |
| US10986519B2 (en) * | 2017-06-16 | 2021-04-20 | Motorola Mobility Llc | Reporting monitored parameter information |
| AU2018305843B2 (en) * | 2017-07-25 | 2020-07-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscription concealed identifier |
| US10574462B2 (en) * | 2017-07-29 | 2020-02-25 | Nokia Technologies Oy | Interfaces for privacy management as service or function |
| EP4240043A3 (en) * | 2017-11-16 | 2023-11-15 | Nokia Technologies Oy | Privacy managing entity selection in communication system |
| US11284310B2 (en) * | 2018-02-12 | 2022-03-22 | Apple Inc. | Single radio voice call continuity handover |
-
2017
- 2017-08-07 CN CN201910164844.2A patent/CN109922474B/zh active Active
- 2017-08-07 CN CN201710667037.3A patent/CN109391942A/zh not_active Withdrawn
-
2018
- 2018-08-07 WO PCT/CN2018/099197 patent/WO2019029531A1/zh active Application Filing
- 2018-08-07 BR BR112020002515-1A patent/BR112020002515A2/pt not_active Application Discontinuation
-
2019
- 2019-04-18 US US16/388,326 patent/US10798082B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120263298A1 (en) * | 2009-12-31 | 2012-10-18 | Samsung Electronics Co. Ltd. | Method and system for supporting security in a mobile communication system |
| CN102131188A (zh) * | 2010-09-01 | 2011-07-20 | 华为技术有限公司 | 用户身份信息传输的方法、用户设备、网络侧设备及系统 |
| CN104270737A (zh) * | 2014-10-17 | 2015-01-07 | 中国联合网络通信集团有限公司 | Imsi的保护方法及装置 |
| CN104754581A (zh) * | 2015-03-24 | 2015-07-01 | 河海大学 | 一种基于公钥密码体制的lte无线网络的安全认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| HUAWEI ETC: "《3GPP TSG SA WG3(Security) Meeting #88,S3-171967》", 31 July 2017 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112825498A (zh) * | 2019-11-01 | 2021-05-21 | 中国移动通信有限公司研究院 | 一种认证向量的生成方法、获取方法及设备 |
| CN112825498B (zh) * | 2019-11-01 | 2022-08-12 | 中国移动通信有限公司研究院 | 一种认证向量的生成方法、获取方法及设备 |
| CN111741467A (zh) * | 2020-06-19 | 2020-10-02 | 中国联合网络通信集团有限公司 | 一种鉴权方法及装置 |
| CN111741467B (zh) * | 2020-06-19 | 2023-04-18 | 中国联合网络通信集团有限公司 | 一种鉴权方法及装置 |
| CN114079921A (zh) * | 2020-08-04 | 2022-02-22 | 中国电信股份有限公司 | 会话密钥的生成方法、锚点功能网元以及系统 |
| CN114079921B (zh) * | 2020-08-04 | 2023-10-03 | 中国电信股份有限公司 | 会话密钥的生成方法、锚点功能网元以及系统 |
| WO2023051619A1 (zh) * | 2021-09-30 | 2023-04-06 | 华为技术有限公司 | 一种主鉴权方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109391942A (zh) | 2019-02-26 |
| CN109922474B (zh) | 2020-03-20 |
| BR112020002515A2 (pt) | 2020-08-04 |
| US10798082B2 (en) | 2020-10-06 |
| WO2019029531A1 (zh) | 2019-02-14 |
| US20190253403A1 (en) | 2019-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
| EP3041164B1 (en) | Subscriber profile transfer method, subscriber profile transfer system, and user equipment | |
| CN106922216B (zh) | 用于无线通信的装置、方法和存储介质 | |
| CN107018676B (zh) | 用户设备与演进分组核心之间的相互认证 | |
| CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
| EP3657835B1 (en) | Access method of user equipment, user equipment and computer-readable storage medium | |
| WO2019019736A1 (zh) | 安全实现方法、相关装置以及系统 | |
| CN111264071B (zh) | 安全性建立方法、终端装置及网络装置 | |
| CN109361655B (zh) | 一种安全保护的方法及装置 | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| WO2016134536A1 (zh) | 密钥生成方法、设备及系统 | |
| JP2014116961A (ja) | セキュリティ設定の同期を支援する方法および装置 | |
| WO2011029388A1 (zh) | 加密算法协商方法、网元及移动台 | |
| CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
| CN109788480B (zh) | 一种通信方法及装置 | |
| US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
| CN111866870B (zh) | 密钥的管理方法和装置 | |
| KR102209289B1 (ko) | 이동 통신 시스템 환경에서 프록시미티 기반 서비스를 위한 보안 및 정보 지원 방법 및 시스템 | |
| CN114223231A (zh) | 通信方法及装置 | |
| CN115250469A (zh) | 一种通信方法以及相关装置 | |
| CN115412909A (zh) | 一种通信方法及装置 | |
| JP2017103761A (ja) | 移転認証方法、ユーザ装置及び移転確認方法 | |
| KR20150135715A (ko) | 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |