CN109314693B - 验证密钥请求方的方法和设备 - Google Patents

验证密钥请求方的方法和设备 Download PDF

Info

Publication number
CN109314693B
CN109314693B CN201680086517.4A CN201680086517A CN109314693B CN 109314693 B CN109314693 B CN 109314693B CN 201680086517 A CN201680086517 A CN 201680086517A CN 109314693 B CN109314693 B CN 109314693B
Authority
CN
China
Prior art keywords
entity
umf
key
network element
core network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201680086517.4A
Other languages
English (en)
Other versions
CN109314693A (zh
Inventor
李�赫
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN109314693A publication Critical patent/CN109314693A/zh
Application granted granted Critical
Publication of CN109314693B publication Critical patent/CN109314693B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种验证密钥请求方的方法和设备,用以在初始入网过程中实现验证密钥请求方是否为能够得到密钥的实体的功能。方法为:安全功能实体接收用户管理功能UMF实体发送的请求消息;采用所述安全功能实体的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。

Description

验证密钥请求方的方法和设备
技术领域
本申请涉及通信技术领域,尤其涉及一种验证密钥请求方的方法和设备。
背景技术
长期演进(Long Term Evolution,LTE)系统架构如图1所示,其中,移动管理实体(Mobility management entity,MME)是核心网侧负责安全、移动性管理和会话管理的网元。安全,即终端(User Equipment,UE)在初始入网时需要和网络进行相互认证。在相互认证后,UE和核心网会生成密钥。生成密钥后,UE和MME会进行算法协商,也就是安全能力协商。移动性管理是记录UE的位置信息,根据UE的位置信息为UE选择合适的用户面网元设备。会话管理负责建立UE的用户面链路。归属签约用户服务器(Home subscriber server,HSS)用于存储用户的签约信息。演进UMTS陆地无线接入网(Evolved UMTS Terrestrial RadioAccess Network,E-UTRAN;UMTS,Universal Mobile Telecommunications System,通用移动通信系统)是LTE中的空口接入部分,通常叫做演进型基站(eNodeB)。
如图2所示的5G架构中,将MME拆分为鉴权(NG Auth.Function,AUF)、用户管理功能(UE Management Function,UMF)、会话管理(Session Management Function,SMF)3个功能。在5G中,增加了切片(slice)的概念,一个切片可以理解为某一种特殊用户做特定服务的功能的集合。比如,slice A专门针对物联网设备。每个slice都有各自的控制面网元(Control Plane Network Function,CP NF),主要是SM。每一个slice内的用户面网元(User Plane Network Function,UP NF)为分组数据网网关(Packet Data NetworkGateway,P-GW),用于将UE的数据转发到合适的服务中。公共CP NF(Common CP NF)是几个slice共用的控制面功能,包含有UMF和AUF。切片选择功能(Slice select function,SSF)用于帮助UE选择slice。
鉴权信任状存储处理功能实体(Authentication Credential Repository andProcessing Function,ARPF)在统一数据管理实体(Unified Data Management,UDM)中,用于存储用户的签约数据。其中,AUF作为一个安全功能,可以独立部署,也可以与具有UMF功能的实体共同部署。AUF可以进一步分为安全锚点(Security Anchor Function,SEAF)、安全上下文管理功能(Security Context Management Function,SCMF)和安全策略管理功能等实体,其中,SEAF实体用于与UE和鉴权服务器交互,在鉴权流程后接收中间密钥,SCMF实体用于从SEAF实体获得密钥并进一步衍生出其它密钥。这些功能实体也可能不会详细划分,但相应的功能都在AUF中体现。
可以看出,5G到4G最大的演进就是把MME拆分开,拆分后的一部分作为公共功能,一部分放到特定的slice内,为特定的slice服务。
LTE中,UE入网发起附着(attach)流程,其中包含有安全流程,安全流程包括:双向认证、密钥生成和安全能力协商三个过程。双向认证是指UE和核心网互相认证。认证结束后可以达到的效果是:UE认为核心网是真实的,核心网认为UE是真实的。认证后或认证过程中,会生成保护NAS消息的密钥。密钥生成后,会开始UE和MME之间的安全能力协商。安全能力,即后续使用的加密算法和完整性保护算法。
现有5G安全流程如图3所示,具体地:
步骤1,UE发起附着请求(Attach Request);
步骤2,UE和SEAF实体之间完成互相鉴权;
步骤3,UMF实体向SEAF实体请求安全上下文;
步骤4,UE和UMF实体发起NAS MM SMC流程,是MM算法协商流程;
步骤5,SSF实体转发Attach Request给UMF实体;
UE和UMF实体完成剩下的附着流程;
步骤6,UMF实体转发会话管理请求给SMF实体;
步骤7,SMF实体获得安全策略;
步骤8,SMF实体从SEAF实体处获得UE的用户面安全上下文,尚未定义用户面安全上下文的内容;
步骤9,SMF实体发起用户面NAS UP SMC流程;
步骤10,开始其它安全流程。
根据5G安全流程,可以看出,因为MME的拆分,UMF实体是处理NAS信令安全的实体,但是UMF实体没有安全功能。生成密钥的SEAF实体与UMF实体是独立,因此UMF实体需要向SEAF实体请求密钥。
可见,在5G安全流程中,在UE初始入网并鉴权成功后,附着消息会转发给UMF实体,UMF实体需要向SEAF实体请求后续需要使用的安全密钥,但是,由于网络中只有一个SEAF实体,但是有多个UMF实体。因此在初始入网过程中,SEAF实体需要确定请求密钥的UMF实体是否就是UE附着到的UMF实体。
发明内容
本申请实施例提供一种验证密钥请求方的方法和设备,用以在初始入网过程中实现验证密钥请求方是否为能够得到密钥的实体的功能。
本申请实施例提供的具体技术方案如下:
第一方面,本申请实施提供了一种验证密钥请求方的方法,包括:安全功能实体接收用户管理功能UMF实体发送的请求消息;所述安全功能实体采用所述安全功能实体的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;所述安全功能实体若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
该方法中,安全功能实体通过采用安全功能实体的私钥对UMF实体发送的请求消息进行解密,以及采用UMF实体的证书中的公钥对解密后的信息进行签名认证通过后,根据验证请求消息中携带的第一验证参数、UMF实体的标识以及终端附着的UMF实体的标识,确定请求密钥的UMF实体是否为能够得到密钥的UMF实体。
可能的实施方式中,所述方法还包括:所述安全功能实体生成新鲜性参数(fresh);所述安全功能实体通过核心网网元将所述新鲜性参数通知给所述UE附着的UMF实体,由所述UE附着的UMF实体将所述新鲜性参数作为所述第一验证参数携带在所述请求消息中。该实现方式中,安全功能实体将新鲜性参数通过核心网网元通知给UE附着的UMF实体,由该UMF实体将该第一新鲜性参数作为第一验证参数携带在请求消息中,从而使得安全功能实体能够验证请求密钥的UMF实体是否为能够得到密钥的UMF实体。
可能的实施方式中,所述安全功能实体确定所述请求消息中携带的第一验证参数合法,包括:所述安全功能实体确定所述第一验证参数与所述新鲜性参数相同,或,确定所述新鲜性参数在设定范围内,则确定所述安全上下文请求中携带的第一验证参数合法。该实现方式中,配置了采用新鲜性参数验证第一验证参数合法的实施方式。
可能的实施方式中,所述请求消息中还携带第二验证参数,所述第二验证参数由所述UMF实体生成;所述方法还包括:所述安全功能实体向所述UMF实体返回响应消息,其中,所述响应消息中至少携带为所述UMF实体生成的所述密钥以及所述第二验证参数,且所述响应消息中携带的信息采用所述UMF实体的公钥进行加密,由所述UMF实体采用所述UMF实体的私钥对所述响应消息进行解密后,若确定所述响应消息中携带的所述第二验证参数合法,则确定所述响应消息中携带的所述密钥为所述安全功能实体为所述UMF实体生成的密钥。该实现方式中,UMF实体通过验证安全功能实体返回的响应消息中的第二验证参数合法,进一步确定该响应消息中携带的密钥为该UMF实体的密钥,进一步提高安全性。
第二方面,本申请实施例提供了一种验证密钥请求方的方法,包括:安全功能实体接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;所述安全功能实体若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
该方法中,安全功能实体在验证第一核心网网元的请求消息中携带的第一令牌是否合法,达到验证请求密钥的UMF实体是否为能够得到密钥的UMF实体的效果。
可能的实施方式中,所述安全功能实体接收第一核心网网元发送的请求消息之前,所述方法还包括:所述安全功能实体生成第一新鲜性参数;所述安全功能实体将所述第一新鲜性参数发送给第二核心网网元,由所述第二核心网网元根据所述UE附着的第一核心网网元的标识、所述UE的身份信息、所述第一新鲜性参数以及所述共享密钥生成所述第一令牌。该实现方式中,核心网网元结合共享密钥以及第一新鲜性参数生成第一令牌,使得安全功能实体能够根据本地保存的核心网网元相关的参数验证第一令牌是否合法。
可能的实施方式中,所述共享密钥由所述安全功能实体生成后发送给所述第二核心网网元;或者,所述共享密钥由所述安全功能实体和所述第二核心网网元各自生成。
可能的实施方式中,所述安全功能实体根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,包括:所述安全功能实体根据所述第一核心网网元的标识、所述UE的身份信息、所述第一核心网网元对应的第一新鲜性参数、以及所述共享密钥生成第二令牌,若确定所述第一令牌与所述第二令牌相同,则确定所述第一令牌合法。该实现方式中,通过配置安全功能实体生成令牌的方式,使得安全功能实体能够采用自身生成的令牌验证核心网网元发送的令牌是否合法。
可能的实施方式中,所述第一令牌由第二核心网网元采用所述第二核心网网元的私钥、所述UE附着的第一核心网网元的标识、所述UE的身份信息以及第二新鲜性参数生成。
可能的实施方式中,所述安全功能实体根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,包括:所述安全功能实体将所述UE的身份信息、所述第一令牌以及所述第一核心网网元的标识发送给第二核心网网元;所述安全功能实体接收所述第二核心网网元返回响应消息,所述响应消息用于指示所述第一令牌合法,其中,所述响应消息由所述第二核心网网元根据所述安全功能实体提供的所述UE的身份信息、所述第一核心网网元的标识、所述UE的身份信息对应的第二新鲜性参数、以及所述第二核心网网元的私钥生成第二令牌,并确定所述第一令牌与所述第二令牌相同后返回。
第三方面,本申请实施例提供了一种验证密钥请求方的方法,包括:安全功能实体获取终端UE附着的用户管理功能UMF实体的标识;所述安全功能实体为所述UMF实体生成所述UE的密钥以及验证参数;所述安全功能实体向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;所述安全功能实体接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;所述安全功能实体确定所述验证信息合法后,确定所述密钥下发成功。
该方法中,安全功能实体主动将为UMF实体生成的密钥以及验证参数下发给请求UMF实体,并接收UMF实体返回的验证信息,在验证UMF实体返回的验证信息合法后,确定密钥下发成功,从而达到了验证请求密钥的UMF实体是否为能够得到密钥的UMF实体的效果,且简化了密钥的配置流程。
第四方面,本申请实施例提供了一种验证密钥请求方的设备,该设备具有实现上述第一方面、第二方面或第三方面的方法实现中的安全功能实体的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现,所述硬件或软件包括一个或多个与上述功能相对应的模块。
第五方面,本申请实施例提供了一种验证密钥请求方的设备,包括处理器、存储器和通信接口,其中,存储器中保存有预设的程序,处理器读取存储器中的程序,按照该程序执行上述第一方面、第二方面或第三方面的方法。
第六方面,本申请实施例提供了一种验证密钥请求方的系统,包括:用户管理功能UMF实体,用于向安全功能实体发送请求消息;安全功能实体,用于接收所述UMF实体发送的请求消息,采用所述安全功能实体的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息,若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
第七方面,本申请实施例提供了一种验证密钥请求方的系统,包括:第一核心网网元,用于向安全功能实体发送请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;
安全功能实体,用于接收第一第一核心网网元发送的请求消息,根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
第八方面,本申请实施例提供了一种验证密钥请求方的系统,包括:安全功能实体,用于获取终端UE附着的用户管理功能UMF实体的标识,为所述UMF实体生成所述UE的密钥以及验证参数,向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
所述UMF实体,用于接收所述安全功能实体发送的配置信息,采用配置信息中携带的所述密钥对所述验证参数加密后得到验证信息,将所述验证信息发送给所述安全功能实体;
所述安全功能实体,用于接收所述UMF实体返回的验证信息后,确定所述密钥下发成功。
附图说明
图1为LTE系统架构示意图;
图2为5G架构示意图;
图3为现有的5G安全流程示意图;
图4为本申请实施例中系统架构示意图;
图5为本申请第一实施例中验证密钥请求方的流程示意图;
图6为本申请具体实施例一中验证密钥请求方的流程示意图;
图7为本申请具体实施例二中验证密钥请求方的流程示意图;
图8为本申请第二实施例中验证密钥请求方的流程示意图;
图9为本申请具体实施例三中验证密钥请求方的流程示意图;
图10为本申请具体实施例四中验证密钥请求方的流程示意图;
图11为本申请第三实施例中验证密钥请求方的流程示意图;
图12为本申请具体实施例五中验证密钥请求方的流程示意图;
图13为本申请第四实施例中验证密钥请求方的设备结构示意图;
图14为本申请第五实施例中验证密钥请求方的设备结构示意图;
图15为本申请第六实施例中验证密钥请求方的设备结构示意图;
图16为本申请第七实施例中验证密钥请求方的设备结构示意图;
图17为本申请第八实施例中验证密钥请求方的设备结构示意图;
图18为本申请第九实施例中验证密钥请求方的设备结构示意图。
具体实施方式
在5G网络的初始入网过程中,实现验证密钥请求方是否为能够得到密钥的实体的功能,本申请实施例提供了一种验证密钥请求方的方法及设备。
以下结合附图对本申请的实施方式进行详细说明。
以下各实施例所基于的5G系统架构如图4所示,控制面包括AUF、UMF、会话管理功能(Session Management,SMF)、策略控制功能(Policy Control Function,PCF)、SSF、UDM、网络展出功能(Network Exposure Function,NEF)以及NF存储功能(NF RepositoryFunction,NRF)等。AUF可以进一步分为安全锚点(Security Anchor Function,SEAF)、安全上下文管理功能和安全策略管理功能(Security Policy Control Function,SPCF)、鉴权服务器功能(Authentication Server Function,AUSF)等实体,其中,SEAF实体用于与UE和鉴权服务器交互。ARPF是UDM的一部分。
该系统架构中所描述的各实体可以是分别独立设置在不同的设备上,也可以是至少两个实体集成在同一个设备上,其它实体设置在其它设备上,该至少两个实体可以是该系统架构所描述的部分实体,也可以是全部实体。以下各实施例中所描述的至少两个实体如果集成在同一个设备上,则该至少两个实体之间的信息交互应当理解为该设备的内容交互。
其中,以AUF作为安全能力协商的中心,由AUF,更具体的是SEAF实体或SCMF实体或AUSF实体,验证请求密钥的核心网网元(如UMF实体)是否为能够得到密钥的实体。
以下各实施例中,安全功能实体可以为5G网络中的AUF实体,具体地,可以为AUF实体中的SCMF实体或SEAF实体或AUSF实体,也可能为独立的SEAF实体,还可以为UMF中的SEAF实体,还可能是独立的AUSF功能实体。以下各实施例中为了简便,只画出SSF逻辑功能,其可以为独立的SSF实体,也可以为具有SSF功能的实体,如UMF实体。UMF实体,是管理UE移动性的实体,类似于LTE中的MME,在5G设计初期被称为MM实体,后期称作AMF实体。
以下各实施例中,UE附着的UMF实体,是指UE最终附着到的UMF实体,不是UE初始附着的时候接入的默认UMF实体。
本申请第一实施例中,如图5所示,验证密钥请求方的详细方法流程如下:
步骤501:安全功能实体接收UMF实体发送的请求消息。
步骤502:安全功能实体采用所述安全功能实体的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息。
步骤503:安全功能实体若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
本申请第一实施例中,根据请求消息中携带的第一验证参数的获得方式的不同,至少有以下两种具体实施方式:
第一,安全功能实体获取核心网网元提供的所述UE附着的UMF实体的标识;其中,UE附着的UMF实体是指UE最终附着到的UMF实体,不是初始附着的时候接入的默认UMF实体。所述安全功能实体生成所述UE附着的UMF实体的标识所对应的第一新鲜性参数;所述安全功能实体通过所述核心网网元将所述第一新鲜性参数通知给所述UE附着的UMF实体,可选的,安全功能实体将所述安全功能实体的证书也通知给所述UE附着的UMF实体,UMF实体也可以通过其他方式获得安全功能实体的证书。由UE附着的UMF实体将所述第一新鲜性参数作为所述第一验证参数携带在所述请求消息中。例如,第一新鲜性参数可以为随机数、计数器值、当时的时间或该时间的衍生值等,需要说明的是,此处并不限制第一新鲜性参数的具体形式。
该具体实施方式中,安全功能实体确定所述第一验证参数与所述第一新鲜性参数相同或相近,则确定所述安全上下文请求中携带的第一验证参数合法。
具体地,该核心网网元可以为AMF实体,或具有SSF功能的实体。
第二,所述安全功能实体接收用户管理功能UMF实体发送的请求消息之前,所述安全功能实体生成第二新鲜性参数;所述安全功能实体通过核心网网元将所述第二新鲜性参数发送给所述UE附着的UMF实体,可选的,安全功能实体将所述安全功能实体的证书也通知给所述UE附着的UMF实体,UMF实体也可以通过其他方式获得安全功能实体的证书。由所述UE附着的UMF实体将所述第二新鲜性参数作为所述第一验证参数携带在所述请求消息中。
需要说明的是,此处不限制第二新鲜性参数的具体形式。例如,第二新鲜性参数可以为随机数、时间戳或时间戳的衍生值、计数器等。
一个具体实现中,若第二新鲜性参数在设定范围内有效,则所述安全功能实体若确定所述第二新鲜性参数在设定范围内,则确定所述请求消息中携带的第一验证参数合法。例如,第二新鲜性参数为时间戳,则安全功能实体若确定时间戳在设定的时间范围内,即该时间戳未过期,则确定所述请求消息中携带的第一验证参数合法。
一个具体实施方式中,所述请求消息中还携带第二验证参数,所述第二验证参数由所述UMF实体生成。
需要说明的是,若第一验证参数和第二验证参数属于同一类参数,例如都为随机数,则应保证第一验证参数和第二验证参数的值不相同。
该具体实施方式中,所述安全功能实体向所述UMF实体返回响应消息,其中,所述响应消息中至少携带为所述UMF实体生成的所述密钥以及所述第二验证参数,且所述响应消息中携带的信息采用所述UMF实体的公钥进行加密,由所述UMF实体采用所述UMF实体的私钥对所述响应消息进行解密后,若确定所述响应消息中携带的所述第二验证参数合法,则确定所述响应消息中携带的所述密钥为所述安全功能实体为所述UMF实体生成的密钥。
以下通过两个具体实施例对本申请第一实施例所提供的验证密钥请求方的过程进行详细说明。
具体实施例一,验证密钥请求方的具体过程如图6所示,具体描述如下:
步骤601:UE通过基站中转向SSF实体发送初始附着请求,该初始附着请求中至少携带UE的IMSI;
步骤602:SSF实体向安全功能实体发起鉴权请求;
步骤603:安全功能实体发起对UE的鉴权过程,完全对UE的鉴权;
步骤604:安全功能实体向SSF实体发送鉴权成功消息;
步骤605:SSF实体根据UE的信息为该UE选择合适的UMF实体,并获取该UMF实体的标识信息,其中,SSF可以查看UE的签约信息,为其找一个合适的UMF实体;
步骤606:SSF实体将为该UE选择的UMF实体的标识发送给安全功能实体,UMF实体的标识可以是运营商分配给每个UMF的身份信息,可以是UMF的地址信息,总之是可以唯一标识UMF的标识,其范围可以是某个运营商内,也可以是国际唯一的标识;
步骤607:安全功能实体生成第一随机数;
步骤608:安全功能实体向SSF实体返回确认消息,该确认消息中至少携带第一随机数和UE的身份标识,可选的,该确认消息中还携带安全功能实体的证书;
步骤609:SSF实体转发初始附着请求给UMF实体,该初始附着请求中增加了第一随机数,可选的,该初始附着请求中还携带安全功能实体的证书;
步骤610:UMF实体生成第二随机数;
步骤611:UMF实体生成安全上下文请求,该安全上下文请求中携带、UMF实体的标识、UE的身份标识、第一随机数、第二随机数,该安全上下文请求采用UMF实体的私钥进行签名后,可选的,该安全上下文请求中还携带UMF实体的证书,采用安全功能实体的公钥进行加密,将该安全上下文请求发送给安全功能实体;
步骤612:安全功能实体接收UMF实体发送的安全上下文请求,并采用该安全功能实体的私钥对安全上下文请求进行解密,以及验证该安全上下文请求的签名是否正确,以及验证安全上下文请求中携带的UMF的标识与SSF实体所提供的UMF实体的标识是否相同;
步骤613:安全功能实体确定采用该安全功能实体的私钥对安全上下文请求解密成功,验证该安全上下文请求的签名正确,以及验证安全上下文请求中携带的UMF的标识与SSF实体所提供的UMF实体的标识相同的情况下,生成UMF实体的密钥(Kmm);
步骤614:安全功能实体向UMF实体发送安全上下文响应(Security ContextResponse),该安全上下文响应中携带采用UMF的公钥加密后的密钥以及第二随机数,由UMF实体根据第二随机数验证该安全上下文响应中携带的密钥是否为分配给自己的密钥。
该具体实施例一中,实现了安全功能实体验证请求密钥的UMF实体是否为SSF实体转发消息的UMF实体,并且在向UMF实体发送密钥时,使用了UMF实体的公钥进行加密保护,使得能够在不依赖于底层网元之间的安全连接的情况下,验证密钥请求方是否为能够得到密钥的实体的功能。
具体实施例二,验证密钥请求方的具体过程如图7所示,具体描述如下:
该具体实施例中步骤701至步骤703所描述的鉴权的过程与具体实施例一中的鉴权过程相同,可参见具体实施例一中步骤601至步骤603的描述,此处不再重复,以下仅描述鉴权之后的过程。
步骤704:安全功能实体生成时间戳;
步骤705:安全功能实体发送鉴权成功消息给SSF实体,该鉴权成功消息中包含生成的时间戳,可选的,该鉴权成功消息中还携带安全功能实体的证书;
步骤706:SSF实体根据UE的信息,为该UE选择合适的UMF实体,并获取所选择的UMF实体的标识;
步骤707:SSF实体转发附着请求给UMF实体,该附着请求中包含该时间戳,可选的,该附着请求中还包含安全功能实体的证书,该安全功能实体的证书中包含公钥;
步骤708:UMF实体生成随机数;
步骤709:UMF实体向安全功能实体发送安全上下文请求,该安全上下文请求采用安全功能实体的公钥加密,该安全上下文请求中携带有UMF实体的标识、时间戳以及随机数,可选的,该安全上下文请求中还携带UMF实体的证书,且该安全上下文请求采用UMF实体的私钥签名;
步骤710:安全功能实体验证所述安全上下文请求的签名正确后,采用所述安全功能实体的私钥对所述安全上下文请求进行解密成功后,验证时间戳是否过期,如果过期,则不处理该安全上下文请求,并告知SSF实体,该时间戳过期;
步骤711:安全功能实体如果确定时间戳未过期,则向SSF实体发送对UMF实体标识的请求消息(UMF ID Request),该请求消息中携带UE的身份标识;
步骤712:SSF实体将UMF实体的标识发送给安全功能实体;
步骤713:安全功能实体验证进行安全上下文请求的UMF实体的标识,与SSF实体提供的UMF实体的标识是否相同;
步骤714:安全功能实体如果确定进行安全上下文请求的UMF实体的标识,与SSF实体提供的UMF实体的标识相同,则生成该UMF实体的安全上下文;
步骤715:安全功能实体向UMF实体回复安全上下文响应消息(Security ContextResponse),该安全上下文响应消息用UMF实体的公钥加密,该安全上下文响应消息中携带有安全上下文以及随机数。
该具体实施例二中,通过时间戳使得安全功能实体可以控制开启外部接收的时间。该具体实施例中,虽然时间戳的窗口期对多个UMF实体开放,大事,安全功能实体能够知道是对哪个UE开放的窗口,通过该限制也实现验证密钥请求方是否为能够得到密钥的实体的功能。
本申请第二实施例中,如图8所示,验证密钥请求方的过程具体如下:
步骤801:安全功能实体接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌。
步骤802:所述安全功能实体若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
本申请第二实施例的一个具体实现中:所述安全功能实体接收第一核心网网元发送的请求消息之前,所述安全功能实体生成第一新鲜性参数;所述安全功能实体将所述第一新鲜性参数发送给第二核心网网元,由第二核心网网元根据所述UE附着的第一核心网网元的标识、所述UE的身份信息、所述第一新鲜性参数以及共享密钥生成所述第一令牌。
其中,共享密钥由安全功能实体生成后发送给第二核心网网元,或者,共享密钥由安全功能实体和第二核心网网元各自生成。
具体实施中,所述安全功能实体根据所述第一核心网网元的标识、所述UE的身份信息、所述第一核心网网元对应的第一新鲜性参数、以及共享密钥生成第二令牌,若确定所述第一令牌与所述第二令牌相同,则确定所述第一令牌合法。
本申请第二实施例的另一个具体实现中,所述第一令牌由第二核心网网元采用所述第二核心网网元的私钥、所述UE附着的第一核心网网元的标识、所述UE的身份信息以及第二新鲜性参数生成。
具体实施中,所述安全功能实体将所述UE的身份信息、所述第一令牌以及所述第一核心网网元的标识发送给第二核心网网元;所述安全功能实体接收所述第二核心网网元返回响应消息,所述响应消息用于指示所述第一令牌合法,其中,所述响应消息由所述第二核心网网元根据所述安全功能实体提供的所述UE的身份信息、所述第一核心网网元的标识、所述UE的身份信息对应的第二新鲜性参数、以及所述第二核心网网元的私钥生成第二令牌,并确定所述第一令牌与所述第二令牌相同后返回。
本申请第二实施例中,第一核心网网元为UMF实体;第二核心网网元为AMF实体或具有SSF功能的实体。
以下通过两个具体实施例对本申请第二实施例所提供的验证密钥请求方的过程进行详细说明。
具体实施例三,验证密钥请求方的具体过程如图9所示,具体描述如下:
该具体实施例中步骤901至步骤903所描述的鉴权的过程与具体实施例一中的鉴权过程相同,可参见步骤601至步骤603的描述,此处不再重复,以下仅描述鉴权之后的过程。
步骤904:安全功能实体生成该安全功能实体与SSF实体之间的共享密钥,表示为Kssf;
步骤905:安全功能实体生成时间戳;
步骤906:安全功能实体发送鉴权成功消息给SSF实体,该鉴权成功消息中携带有时间戳,可选的,该鉴权成功消息中还携带SSF实体的共享密钥Kssf,该共享密钥由安全功能实体生成,SSF实体的共享密钥Kssf也可以由SSF实体或具有SSF功能的实体自己生成;
步骤907:SSF实体选择合适的UMF实体,并获得该UMF实体的标识;
步骤908:SSF实体生成令牌(token),生成token的参数包括UE的身份信息、UMF的标识、时间戳以及共享密钥;
步骤909:SSF实体转发附着消息给UMF实体,该附着消息中携带有UE的身份信息和该令牌;
步骤910:UMF实体向安全功能实体发送安全上下文请求(Security ContextRequest),该安全上下文请求中携带UMF实体的标识、UE的身份信息和该令牌;
步骤911:安全功能实体根据安全上下文请求中携带的信息,计算得到新的令牌,将该新的令牌与从UMF实体收到的令牌进行比较;
步骤912:若该新的令牌与从UMF实体收到的令牌相同,则生成密钥Kmm;
步骤913:安全功能实体向UMF实体发送安全上下文响应,该安全上下文响应中携带安全上下文,即密钥Kmm以及KSI。
该具体实施例三中,分别由SSF实体和安全功能实体生成令牌,安全功能实体通过验证这两个令牌是否相同,判决密钥请求方是否为能够得到密钥的实体。该具体实施例需要依赖于底层网元的安全保护,但是与其他具体实施例相比,减少了安全功能实体与SSF实体交互获得UMF标识的过程。
具体实施例四,验证密钥请求方的具体过程如图10所示,具体描述如下:
该具体实施例中步骤1001至步骤1004所描述的鉴权的过程,与具体实施例一中的鉴权过程相同,此处不再重复,以下仅描述鉴权之后的过程。
步骤1005:SSF实体选择合适的UMF实体,并获得该UMF实体的标识,以及生成随机数;
步骤1006:SSF实体采用该SSF实体的私钥、UMF实体的标识、UE的身份信息以及随机数生成令牌;
步骤1007:SSF实体转发附着请求给UMF实体,该附着消息中携带生成的该令牌;
步骤1008:UMF实体向安全功能实体发送安全上下文请求,该安全上下文请求中携带UMF的标识、令牌和UE的身份信息;
步骤1009:安全功能实体向SSF实体发送对UMF标识的请求消息,该请求消息中携带UE的身份信息、令牌以及UMF实体的标识;
步骤1010:SSF实体验证生成的令牌与从安全功能实体获得的令牌是否相同;
步骤1011:SSF实体若确定相同,则向安全功能实体回复响应消息,该响应消息中携带令牌相同的指示信息;
步骤1012:安全功能实体生成UMF实体相关的上下文,如密钥Kmm;
步骤1013:安全功能实体向UMF实体回复安全上下文响应消息,该安全上下文响应消息中携带该UMF实体相关的上下文。
该具体实施例四中,采用SSF实体的私钥生成令牌,并且由SSF实体验证生成的令牌与从安全功能实体获得的令牌是否相同,这样安全功能实体无条件相信SSF实体反馈的信息是正确的。该具体实施例需要依赖于网元之间底层的安全保护。
本申请第三实施例中,如图11所示,验证密钥请求方的过程具体如下:
步骤1101:安全功能实体获取终端UE附着的UMF实体的标识;
步骤1102:所述安全功能实体为所述UMF实体生成所述UE的密钥以及验证参数;
步骤1103:所述安全功能实体向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
步骤1104:所述安全功能实体接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;
步骤1105:所述安全功能实体确定所述验证信息合法后,确定所述密钥下发成功。
以下通过一个具体实施例对本申请第三实施例所提供的验证密钥请求方的过程进行详细说明。
具体实施例五,验证密钥请求方的具体过程如图12所示,具体描述如下:
步骤1201:UE通过基站中转向SSF实体发送初始附着请求,该初始附着请求中至少携带UE的IMSI;
步骤1202:SSF实体转发该初始附着请求给安全功能实体,以发起鉴权请求;
步骤1203:安全功能实体发起对UE的鉴权过程,完全对UE的鉴权;
步骤1204:安全功能实体向SSF实体发送鉴权成功消息;
步骤1205:SSF实体根据UE的信息为该UE选择合适的UMF实体,并获取该UMF实体的标识信息;
步骤1206:SSF实体向安全功能实体发送UMF标识提供消息,该UMF标识提供消息中携带所选择的UMF实体的标识信息以及该UMF实体的证书;
步骤1207:安全功能实体生成UMF实体相关的密钥,如Kmm;
步骤1208:安全功能实体生成一个随机数;
步骤1209:安全功能实体根据UMF实体的标识获取该UMF实体的公钥,向该UMF实体发送安全上下文提供消息,该安全上下文提供消息采用UMF实体的公钥加密,并用安全功能实体的私钥进行签名,该安全上下文提供消息中携带该UMF实体的安全上下文(包括UMF实体相关的密钥)、UE的身份信息以及随机数;
步骤1210:UMF实体采用从安全功能实体收到的密钥对随机数进行加密,并向安全功能实体返回安全上下文提供确认消息,该消息中携带加密后得到的数据;
步骤1211:安全功能实体采用该UMF实体的密钥对收到的数据进行机密后,验证解密后得到的数据与所生成的随机数是否相同,若相同,则向SSF实体返回UMF标识提供确认消息,以通知SSF实体密钥下发成功。
基于同一构思,本申请第四实施例中提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第一实施例的描述,重复之处不再赘述,如图13所示,该设备主要包括:
第一处理模块1301,用于接收用户管理功能UMF实体发送的请求消息;
第二处理模块1302,用于采用所述设备的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;
第三处理模块1303,用于若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
基于同一构思,本申请第五实施例中提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第二实施例的描述,重复之处不再赘述,如图14所示,该设备主要包括:
接收模块1401,用于接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;
处理模块1402,用于若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
基于同一构思,本申请第五实施例中提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第三实施例的描述,重复之处不再赘述,如图15所示,该设备主要包括:
获取模块1501,用于获取终端UE附着的用户管理功能UMF实体的标识;
第一处理模块1502,用于为所述UMF实体生成所述UE的密钥以及验证参数;
发送模块1503,用于向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
接收模块1504,用于接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;
第二处理模块1505,用于确定所述验证信息合法后,确定所述密钥下发成功。
基于同一构思,本申请第七实施例中,提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第一实施例的相关描述,重复之处不再赘述,如图16所示,该设备主要包括处理器1601、存储器1602和通信接口1603,其中,存储器1602中保存有预设的程序,处理器1601读取存储器1602中的程序,按照该程序执行以下过程:
通过通信接口接收用户管理功能UMF实体发送的请求消息;
采用所述设备的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;
若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
具体地,处理器用于执行第四实施例中第一处理模块、第二处理模块以及第三处理模块的功能,通信接口用于在处理器的控制下完成第四实施例中各处理模块处理过程中所涉及的通信功能。
基于同一构思,本申请第八实施例中,提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第二实施例的相关描述,重复之处不再赘述,如图17所示,该设备主要包括处理器1701、存储器1702和通信接口1703,其中,存储器1702中保存有预设的程序,处理器1701读取存储器1702中的程序,按照该程序执行以下过程:
通过通信接口接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;
若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
具体地,处理器用于执行第五实施例中处理模块的功能,通信接口用于在处理器的控制下完成第五实施例中接收模块的功能。
基于同一构思,本申请第九实施例中,提供了一种验证密钥请求方的设备,该设备的具体实施可参见本申请第二实施例的相关描述,重复之处不再赘述,如图18所示,该设备主要包括处理器1801、存储器1802和通信接口1803,其中,存储器1802中保存有预设的程序,处理器1801读取存储器1802中的程序,按照该程序执行以下过程:
获取终端UE附着的用户管理功能UMF实体的标识;
为所述UMF实体生成所述UE的密钥以及验证参数;
通过通信接口向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
通过通信接口接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;
确定所述验证信息合法后,确定所述密钥下发成功。
其中,图16至图18中,处理器、存储器和通信接口之间通过总线连接,总线架构可以包括任意数量的互联的总线和桥,具体由处理器代表的一个或多个处理器和存储器代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。通信接口可以是多个元件,即包括发送接口和收发接口,提供用于在传输介质上与各种其他装置通信的单元。处理器负责管理总线架构和通常的处理,存储器可以存储处理器在执行操作时所使用的数据。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图,应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (20)

1.一种验证密钥请求方的方法,其特征在于,包括:
安全功能实体接收用户管理功能UMF实体发送的请求消息;
所述安全功能实体采用所述安全功能实体的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;
所述安全功能实体若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述安全功能实体生成新鲜性参数;
所述安全功能实体通过核心网网元将所述新鲜性参数通知给所述UE附着的UMF实体,由所述UE附着的UMF实体将所述新鲜性参数作为所述第一验证参数携带在所述请求消息中。
3.如权利要求2所述的方法,其特征在于,所述安全功能实体确定所述请求消息中携带的第一验证参数合法,包括:
所述安全功能实体确定所述第一验证参数与所述新鲜性参数相同,或,确定所述新鲜性参数在设定范围内,则确定所述请求消息中携带的第一验证参数合法。
4.如权利要求2或3所述的方法,其特征在于,所述请求消息中还携带第二验证参数,所述第二验证参数由所述UMF实体生成;
所述方法还包括:
所述安全功能实体向所述UMF实体返回响应消息,其中,所述响应消息中至少携带为所述UMF实体生成的所述密钥以及所述第二验证参数,且所述响应消息中携带的信息采用所述UMF实体的公钥进行加密,由所述UMF实体采用所述UMF实体的私钥对所述响应消息进行解密后,若确定所述响应消息中携带的所述第二验证参数合法,则确定所述响应消息中携带的所述密钥为所述安全功能实体为所述UMF实体生成的密钥。
5.一种验证密钥请求方的方法,其特征在于,包括:
安全功能实体接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;所述第一令牌是由第二核心网网元根据所述UE附着的第一核心网网元的标识、所述UE的身份信息、第一新鲜性参数以及共享密钥生成,或者,是由第二核心网网元采用所述第二核心网网元的私钥、所述UE附着的第一核心网网元的标识、所述UE的身份信息以及第二新鲜性参数生成;
所述安全功能实体若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
6.如权利要求5所述的方法,其特征在于,所述安全功能实体接收第一核心网网元发送的请求消息之前,所述方法还包括:
所述安全功能实体生成第一新鲜性参数;
所述安全功能实体将所述第一新鲜性参数发送给第二核心网网元。
7.如权利要求6所述的方法,其特征在于,所述共享密钥由所述安全功能实体生成后发送给所述第二核心网网元;或者,所述共享密钥由所述安全功能实体和所述第二核心网网元各自生成。
8.如权利要求5、6或7所述的方法,其特征在于,所述安全功能实体根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,包括:
所述安全功能实体根据所述第一核心网网元的标识、所述UE的身份信息、所述第一核心网网元对应的第一新鲜性参数、以及共享密钥生成第二令牌,若确定所述第一令牌与所述第二令牌相同,则确定所述第一令牌合法。
9.如权利要求5所述的方法,其特征在于,所述安全功能实体根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,包括:
所述安全功能实体将所述UE的身份信息、所述第一令牌以及所述第一核心网网元的标识发送给第二核心网网元;
所述安全功能实体接收所述第二核心网网元返回响应消息,所述响应消息用于指示所述第一令牌合法,其中,所述响应消息由所述第二核心网网元根据所述安全功能实体提供的所述UE的身份信息、所述第一核心网网元的标识、所述UE的身份信息对应的第二新鲜性参数、以及所述第二核心网网元的私钥生成第二令牌,并确定所述第一令牌与所述第二令牌相同后返回。
10.一种验证密钥请求方的方法,其特征在于,包括:
安全功能实体获取终端UE附着的用户管理功能UMF实体的标识;
所述安全功能实体为所述UMF实体生成所述UE的密钥以及验证参数;
所述安全功能实体向所述UMF实体发送配置信息,所述配置信息采用所述安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
所述安全功能实体接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;
所述安全功能实体确定所述验证信息合法后,确定所述密钥下发成功。
11.一种验证密钥请求方的设备,其特征在于,包括:
第一处理模块,用于接收用户管理功能UMF实体发送的请求消息;
第二处理模块,用于采用所述设备的私钥对所述请求消息中的信息进行解密,以及采用所述UMF实体的证书中的公钥对解密后的信息进行签名验证通过后,获取所述请求消息中携带的信息;
第三处理模块,用于若确定所述请求消息中携带的第一验证参数合法,且确定所述请求消息中携带的所述UMF实体的标识与终端UE附着的UMF实体的标识相同,则确定为所述UMF实体提供所述UE的密钥。
12.如权利要求11所述的设备,其特征在于,所述第一处理模块还用于:
生成新鲜性参数;
通过核心网网元将所述新鲜性参数通知给所述UE附着的UMF实体,由所述UE附着的UMF实体将所述新鲜性参数作为所述第一验证参数携带在所述请求消息中。
13.如权利要求12所述的设备,其特征在于,所述第三处理模块具体用于:
确定所述第一验证参数与所述新鲜性参数相同,或,确定所述新鲜性参数在设定范围内,则确定所述请求消息中携带的第一验证参数合法。
14.如权利要求12或13所述的设备,其特征在于,所述请求消息中还携带第二验证参数,所述第二验证参数由所述UMF实体生成;
所述第三处理模块还用于:向所述UMF实体返回响应消息,其中,所述响应消息中至少携带为所述UMF实体生成的所述密钥以及所述第二验证参数,且所述响应消息中携带的信息采用所述UMF实体的公钥进行加密,由所述UMF实体采用所述UMF实体的私钥对所述响应消息进行解密后,若确定所述响应消息中携带的所述第二验证参数合法,则确定所述响应消息中携带的所述密钥为所述设备为所述UMF实体生成的密钥。
15.一种验证密钥请求方的设备,其特征在于,包括:
接收模块,用于接收第一核心网网元发送的请求消息,所述请求消息中携带所述第一核心网网元的标识、终端UE的身份信息以及第一令牌;所述第一令牌是由第二核心网网元根据所述UE附着的第一核心网网元的标识、所述UE的身份信息、第一新鲜性参数以及共享密钥生成,或者,是由第二核心网网元采用所述第二核心网网元的私钥、所述UE附着的第一核心网网元的标识、所述UE的身份信息以及第二新鲜性参数生成;处理模块,用于若根据所述第一核心网网元的标识以及所述UE的身份信息确定所述第一令牌合法,则确定为所述第一核心网网元提供所述密钥。
16.如权利要求15所述的设备,其特征在于,所述处理模块还用于:
在所述接收模块接收核心网网元发送的请求消息之前,生成第一新鲜性参数;
还包括发送模块,用于:将所述第一新鲜性参数发送给第二核心网网元。
17.如权利要求16所述的设备,其特征在于,所述共享密钥由安全功能实体生成后发送给所述第二核心网网元;或者,所述共享密钥由所述安全功能实体和所述第二核心网网元各自生成。
18.如权利要求15、16或17所述的设备,其特征在于,所述处理模块具体用于:
根据所述第一核心网网元的标识、所述UE的身份信息、所述第一核心网网元对应的第一新鲜性参数、以及共享密钥生成第二令牌,若确定所述第一令牌与所述第二令牌相同,则确定所述第一令牌合法。
19.如权利要求15所述的设备,其特征在于,发送模块具体用于:
将所述UE的身份信息、所述第一令牌以及所述第一核心网网元的标识发送给第二核心网网元;
所述接收模块具体用于:
接收所述第二核心网网元返回响应消息,所述响应消息用于指示所述第一令牌合法,其中,所述响应消息由所述第二核心网网元根据所述设备提供的所述UE的身份信息、所述第一核心网网元的标识、所述UE的身份信息对应的第二新鲜性参数、以及所述第二核心网网元的私钥生成第二令牌,并确定所述第一令牌与所述第二令牌相同后返回。
20.一种验证密钥请求方的设备,其特征在于,包括:
获取模块,用于获取终端UE附着的用户管理功能UMF实体的标识;
第一处理模块,用于为所述UMF实体生成所述UE的密钥以及验证参数;
发送模块,用于向所述UMF实体发送配置信息,所述配置信息采用安全功能实体的私钥签名后采用所述UMF实体的公钥加密,所述配置信息包括所述密钥、所述UE的身份信息以及所述验证参数;
接收模块,用于接收所述UMF实体返回的验证信息,所述验证信息由所述UMF实体采用所述密钥对所述验证参数加密后得到;
第二处理模块,用于确定所述验证信息合法后,确定所述密钥下发成功。
CN201680086517.4A 2016-12-30 2016-12-30 验证密钥请求方的方法和设备 Active CN109314693B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2016/113941 WO2018120217A1 (zh) 2016-12-30 2016-12-30 验证密钥请求方的方法和设备

Publications (2)

Publication Number Publication Date
CN109314693A CN109314693A (zh) 2019-02-05
CN109314693B true CN109314693B (zh) 2020-08-25

Family

ID=62706714

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680086517.4A Active CN109314693B (zh) 2016-12-30 2016-12-30 验证密钥请求方的方法和设备

Country Status (4)

Country Link
US (1) US11445370B2 (zh)
EP (1) EP3550780B1 (zh)
CN (1) CN109314693B (zh)
WO (1) WO2018120217A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018120217A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 验证密钥请求方的方法和设备
US11163910B2 (en) * 2017-06-29 2021-11-02 Salesforce.Com, Inc. Methods and systems for data migration
US10749689B1 (en) * 2017-06-29 2020-08-18 Salesforce.Com, Inc. Language-agnostic secure application development
EP3895464A4 (en) * 2019-01-29 2022-08-03 Schneider Electric USA, Inc. SECURITY CONTEXT DISTRIBUTION SERVICE
US11652646B2 (en) * 2020-12-11 2023-05-16 Huawei Technologies Co., Ltd. System and a method for securing and distributing keys in a 3GPP system
CN113472792B (zh) * 2021-07-01 2023-05-05 北京玩蟹科技有限公司 一种长连接网络通信加密方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272616A (zh) * 2008-05-07 2008-09-24 广州杰赛科技股份有限公司 一种无线城域网的安全接入方法
CN101951603A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
CN105577626A (zh) * 2014-10-28 2016-05-11 祝永康 一种用户名注册和使用方法、系统及装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
CA2358083A1 (en) * 2001-09-28 2003-03-28 Bridgewater Systems Corporation A method for session accounting in a wireless data networks using authentication, authorization and accounting (aaa) protocols (such as ietf radius or diameter) where there is no session handoff communication between the network elements
US20070198837A1 (en) * 2005-04-29 2007-08-23 Nokia Corporation Establishment of a secure communication
US9807819B1 (en) * 2009-09-04 2017-10-31 Sprint Communications Company L.P. Cross-technology session continuity
KR101700448B1 (ko) * 2009-10-27 2017-01-26 삼성전자주식회사 이동 통신 시스템에서 보안 관리 시스템 및 방법
CN102474500B (zh) * 2009-12-22 2015-06-17 上海贝尔股份有限公司 一种向移动用户设备提供网络服务方法及其装置
US8923863B2 (en) * 2011-12-19 2014-12-30 Cisco Technology, Inc. Maintaining signaling reduction mode in communication networks
US9240881B2 (en) * 2012-04-30 2016-01-19 Alcatel Lucent Secure communications for computing devices utilizing proximity services
KR102142576B1 (ko) * 2013-05-16 2020-08-10 삼성전자주식회사 단말간 통신을 위한 탐색 방법 및 장치
US10306520B2 (en) * 2014-09-17 2019-05-28 Lg Electronics Inc. Handover method between heterogeneous wireless communication techniques and device for same
CN105577627B (zh) * 2014-11-11 2020-08-28 腾讯数码(天津)有限公司 通信方法、装置、网络设备、终端设备和通信系统
CN106162574B (zh) * 2015-04-02 2020-08-04 成都鼎桥通信技术有限公司 集群系统中应用统一鉴权方法、服务器与终端
ES2786261T3 (es) * 2015-06-09 2020-10-09 Deutsche Telekom Ag Método para una instalación mejorada de una aplicación de servicio relacionada con un elemento seguro en un elemento seguro que se encuentra en un dispositivo de comunicación, sistema y red de telecomunicaciones para una instalación mejorada de una aplicación de servicio relacionada con un elemento seguro en un elemento seguro que se encuentra en un dispositivo de comunicación, programa que incluye un código de programa legible por ordenador y producto de programa informático
US10285060B2 (en) * 2015-10-30 2019-05-07 Alcatel-Lucent Usa Inc. Preventing attacks from false base stations
US11234126B2 (en) * 2015-11-17 2022-01-25 Qualcomm Incorporated Methods and apparatus for wireless communication using a security model to support multiple connectivity and service contexts
WO2018120217A1 (zh) * 2016-12-30 2018-07-05 华为技术有限公司 验证密钥请求方的方法和设备
WO2018182759A1 (en) * 2017-03-30 2018-10-04 Intel IP Corporation Security for paging messages

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272616A (zh) * 2008-05-07 2008-09-24 广州杰赛科技股份有限公司 一种无线城域网的安全接入方法
CN101951603A (zh) * 2010-10-14 2011-01-19 中国电子科技集团公司第三十研究所 一种无线局域网接入控制方法及系统
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
CN105577626A (zh) * 2014-10-28 2016-05-11 祝永康 一种用户名注册和使用方法、系统及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
23799-121:Study on Architecture for Next Generation System(Release 14);3GPP;《3GPP STANDARD;vol.SA WG2;no.V1.2.1》;20161201;1-25页,392-398页 *
S2-166170:Solution:Consolidated architecture option X;HUAWEI等;《SA WG2 Meeting #117》;20161021;全文 *

Also Published As

Publication number Publication date
EP3550780B1 (en) 2021-04-14
US20190320320A1 (en) 2019-10-17
EP3550780A1 (en) 2019-10-09
EP3550780A4 (en) 2019-12-11
WO2018120217A1 (zh) 2018-07-05
US11445370B2 (en) 2022-09-13
CN109314693A (zh) 2019-02-05

Similar Documents

Publication Publication Date Title
CN109314693B (zh) 验证密钥请求方的方法和设备
US11824981B2 (en) Discovery method and apparatus based on service-based architecture
KR102018971B1 (ko) 네트워크 액세스 디바이스가 무선 네트워크 액세스 포인트를 액세스하게 하기 위한 방법, 네트워크 액세스 디바이스, 애플리케이션 서버 및 비휘발성 컴퓨터 판독가능 저장 매체
US20200344063A1 (en) Authentication method, authentication apparatus, and authentication system
US11496320B2 (en) Registration method and apparatus based on service-based architecture
US11178584B2 (en) Access method, device and system for user equipment (UE)
CN110049492B (zh) 通信方法、核心网网元、终端设备及存储介质
US20200162913A1 (en) Terminal authenticating method, apparatus, and system
KR20060134774A (ko) 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법
AU2020200523A1 (en) Methods and arrangements for authenticating a communication device
CN113228721A (zh) 通信方法和相关产品
US20240089728A1 (en) Communication method and apparatus
WO2018076298A1 (zh) 一种安全能力协商方法及相关设备
CN110831002B (zh) 一种密钥推演的方法、装置及计算存储介质
US12008108B2 (en) Extended authentication method and apparatus for generic bootstrapping architecture, and storage medium
CN114173334A (zh) 一种接入ap的方法、ap和存储介质
CN114338065A (zh) 安全通讯方法、装置、服务器及存储介质
CN116232620A (zh) 认证方法、装置、通信设备及可读存储介质
KR20150135715A (ko) 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant