CN109474927A - 信息交互方法、归属网络、用户终端以及信息交互系统 - Google Patents
信息交互方法、归属网络、用户终端以及信息交互系统 Download PDFInfo
- Publication number
- CN109474927A CN109474927A CN201710804024.6A CN201710804024A CN109474927A CN 109474927 A CN109474927 A CN 109474927A CN 201710804024 A CN201710804024 A CN 201710804024A CN 109474927 A CN109474927 A CN 109474927A
- Authority
- CN
- China
- Prior art keywords
- network element
- network
- information
- home network
- security algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种信息交互方法、归属网络、用户终端以及信息交互系统,涉及信息通信技术领域。其中的信息交互方法包括:归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商;归属网络认证网元向归属网络信息收发网元发送协商的安全算法;归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。本发明能够在不增加通信流程的情况下,实现对归属网络与用户设备之间的信息交互进行安全保护。
Description
技术领域
本发明涉及信息通信技术领域,特别涉及一种信息交互方法、归属网络、用户终端以及信息交互系统。
背景技术
5G网络作为第五代移动通信网络,其最高理论传输速度可达每秒数十Gb,这比4G网络的传输速度快数百倍。5G网络的主要目标是让终端用户始终处于联网状态。5G网络将是4G网络的真正升级版,它的基本要求并不同于今天的无线网络。
当前3GPP设计的5G网络的安全架构,基本上仅继承了4G网络的功能,只支持拜访网络与UE之间的信息和数据的安全保护,并不支持对归属网络与UE之间的信息交互进行安全保护。
发明内容
发明人研究发现,对于5G网络,存在归属网络与UE之间交互信息的需求,并且需要对信息进行安全保护。因此,需要设计一种增强的5G安全架构来实现对归属网络与UE之间的信息交互进行安全保护。
本发明解决的一个技术问题是,如何在不增加通信流程的情况下,实现对归属网络与用户设备之间的信息交互进行安全保护。
根据本发明实施例的一个方面,提供了一种信息交互方法,包括:归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商;归属网络认证网元向归属网络信息收发网元发送协商的安全算法;归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商包括:归属网络认证网元接收拜访网络网元发送的认证信息请求,认证信息请求是拜访网络网元接收到用户设备的非接入层NAS附着请求后发送的,认证信息请求及NAS附着请求携带用户设备支持的安全算法;归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;归属网络认证网元向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,认证信息以及NAS认证请求携带协商的安全算法。
在一个实施例中,归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商包括:归属网络认证网元接收拜访网络网元发送的认证信息请求,认证信息请求是拜访网络网元接收到用户设备的NAS附着请求后发送的;归属网络认证网元向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,认证信息以及NAS认证请求携带归属网络支持的安全算法,用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,用户设备向拜访网络网元发送NAS认证响应,NAS认证响应中携带协商的安全算法;归属网络认证网元接收拜访网络网元发送的认证确认信息,认证确认信息中携带协商的安全算法。
在一个实施例中,归属网络认证网元向归属网络信息收发网元发送协商的安全算法包括:归属网络认证网元接收归属网络信息收发网元发送的协商的安全算法的获取请求,以及获取请求的有效时间;归属网络认证网元向归属网络信息收发网元发送协商的安全算法;若在有效时间内协商的安全算法发生变化,则归属网络认证网元向归属网络信息收发网元发送变化后的协商的安全算法。
在一个实施例中,归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:归属网络认证网元利用协商的安全算法对交互信息进行安全处理;归属网络认证网元生成本次交互信息的随机数,并利用协商的安全算法以及随机数生成第一校验令牌;归属网络认证网元将经过安全处理的交互信息以及随机数发送至用户设备,以便用户设备利用协商的安全算法确认交互信息安全,用户设备利用协商的安全算法以及随机数生成第二校验令牌,并将第二校验令牌发送至归属网络认证网元;归属网络认证网元比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:归属网络认证网元从用户设备接收经过安全处理的交互信息以及随机数,安全处理的交互信息是用户设备利用协商的安全算法对交互信息进行安全处理生成的,随机数是用户设备根据本次交互信息生成的,协商的安全算法以及随机数被用户设备用来生成第一校验令牌;归属网络认证网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;归属网络认证网元将第二校验令牌发送至用户设备,以便用户设备比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被归属网络认证网元安全接收。
根据本发明实施例的另一个方面,提供了一种信息交互方法,包括:用户设备在接入认证流程中与归属网络认证网元进行安全算法协商,以便归属网络认证网元向归属网络信息收发网元发送协商的安全算法;用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,用户设备在接入认证流程中与归属网络认证网元进行安全算法协商包括:用户设备向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,认证信息请求及NAS附着请求携带用户设备支持的安全算法,归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;用户设备从拜访网络网元接收NAS认证请求,NAS认证请求是拜访网络网元接收到归属网络认证网元下发的认证信息后发送的,NAS认证请求及认证信息携带协商的安全算法。
在一个实施例中,用户设备在接入认证流程中与归属网络认证网元进行安全算法协商包括:用户设备向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,归属网络认证网元向拜访网络网元下发认证信息,认证信息携带归属网络支持的安全算法;用户设备接收拜访网络网元发送的NAS认证请求,NAS认证请求携带归属网络支持的安全算法;用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,向拜访网络网元发送NAS认证响应,以便拜访网络网元向归属网络认证网元发送认证确认信息,NAS认证响应以及认证确认信息携带协商的安全算法。
在一个实施例中,用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:用户设备接收归属网络认证网元发送的经过安全处理的交互信息以及随机数,经过安全处理的交互信息是归属网络认证网元利用协商的安全算法对交互信息进行安全处理生成的,随机数是归属网络认证网元根据本次交互信息生成的,协商的安全算法以及随机数被归属网络认证网元用来生成第一校验令牌;用户设备利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;用户设备将第二校验令牌发送至归属网络认证网元,以便归属网络认证网元比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:用户设备利用协商的安全算法对交互信息进行安全处理;用户设备生成本次交互信息的随机数,并利用协商的安全算法以及随机数生成第一校验令牌;用户设备将经过安全处理的交互信息以及随机数发送至归属网络信息收发网元,以便归属网络信息收发网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;用户设备从归属网络信息收发网元接收第二校验令牌,并比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
根据本发明实施例的又一个方面,提供了一种归属网络,包括:
归属网络认证网元,用于在用户设备接入认证流程中与用户设备进行安全算法协商,并用于向归属网络信息收发网元发送协商的安全算法;归属网络信息收发网元,用于与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,归属网络认证网元用于:接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的非接入层NAS附着请求后发送的,所述认证信息请求及所述NAS附着请求携带用户设备支持的安全算法;从用户设备支持的安全算法中确认并保存协商的安全算法;向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带协商的安全算法。
在一个实施例中,归属网络认证网元用于:接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的NAS附着请求后发送的;向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带归属网络支持的安全算法,用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,用户设备向拜访网络网元发送NAS认证响应,所述NAS认证响应中携带协商的安全算法;接收拜访网络网元发送的认证确认信息,所述认证确认信息中携带协商的安全算法。
在一个实施例中,归属网络认证网元用于:接收归属网络信息收发网元发送的协商的安全算法的获取请求,以及所述获取请求的有效时间;向归属网络信息收发网元发送协商的安全算法;
若在所述有效时间内协商的安全算法发生变化,则向归属网络信息收发网元发送变化后的协商的安全算法。
在一个实施例中,归属网络信息收发网元用于:利用协商的安全算法对交互信息进行安全处理;生成本次交互信息的随机数,并利用协商的安全算法以及所述随机数生成第一校验令牌;将经过安全处理的交互信息以及所述随机数发送至用户设备,以便用户设备利用协商的安全算法确认交互信息安全,用户设备利用协商的安全算法以及所述随机数生成第二校验令牌,并将第二校验令牌发送至归属网络认证网元;比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,归属网络信息收发网元用于:从用户设备接收经过安全处理的交互信息以及随机数,所述安全处理的交互信息是用户设备利用协商的安全算法对交互信息进行安全处理生成的,所述随机数是用户设备根据本次交互信息生成的,所述协商的安全算法以及所述随机数被用户设备用来生成第一校验令牌;利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;将第二校验令牌发送至用户设备,以便用户设备比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被归属网络认证网元安全接收。
根据本发明实施例的再一个方面,提供了一种用户设备,包括:安全算法协商模块,用于在接入认证流程中与归属网络认证网元进行安全算法协商,以便归属网络认证网元向归属网络信息收发网元发送协商的安全算法;安全处理模块,用于与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,安全算法协商模块用于:向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,认证信息请求及NAS附着请求携带用户设备支持的安全算法,归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;从拜访网络网元接收NAS认证请求,NAS认证请求是拜访网络网元接收到归属网络认证网元下发的认证信息后发送的,NAS认证请求及认证信息携带协商的安全算法。
在一个实施例中,安全算法协商模块用于:向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,归属网络认证网元向拜访网络网元下发认证信息,认证信息携带归属网络支持的安全算法;接收拜访网络网元发送的NAS认证请求,NAS认证请求携带归属网络支持的安全算法;从归属网络支持的安全算法中确认并保存协商的安全算法后,向拜访网络网元发送NAS认证响应,以便拜访网络网元向归属网络认证网元发送认证确认信息,NAS认证响应以及认证确认信息携带协商的安全算法。
在一个实施例中,安全处理模块用于:接收归属网络认证网元发送的经过安全处理的交互信息以及随机数,经过安全处理的交互信息是归属网络认证网元利用协商的安全算法对交互信息进行安全处理生成的,随机数是归属网络认证网元根据本次交互信息生成的,协商的安全算法以及随机数被归属网络认证网元用来生成第一校验令牌;利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;将第二校验令牌发送至归属网络认证网元,以便归属网络认证网元比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,安全处理模块用于:利用协商的安全算法对交互信息进行安全处理;生成本次交互信息的随机数,并利用协商的安全算法以及随机数生成第一校验令牌;将经过安全处理的交互信息以及随机数发送至归属网络信息收发网元,以便归属网络信息收发网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;从归属网络信息收发网元接收第二校验令牌,并比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
根据本发明实施例的又一个方面,提供了一种信息交互系统,包括前述的归属网络认证网元,以及前述的用户设备。
在一个实施例中,信息交互系统还包括拜访网络网元。
本发明能够在不增加通信流程的情况下,实现对归属网络与用户设备之间的信息交互进行安全保护。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一个实施例的信息交互系统的系统架构示意图。
图2示出了用户设备发起算法协商的一个实施例的流程示意图。
图3示出了归属网络认证网元发起算法协商的一个实施例的流程示意图。
图4示出了归属网络信息收发网元获取安全算法的一个实施例的流程示意图。
图5示出了归属网络信息收发网元与用户设备之间的信息交互的安全保护的一个实施例的流程示意图。
图6示出了归属网络信息收发网元与用户设备之间的信息交互的安全保护的另一个实施例的流程示意图。
图7示出了本发明归属网络的一个实施例的结构示意图。
图8示出了本发明用户设备的一个实施例的结构示意图。
图9示出了本发明信息交互系统的一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明中的信息交互方法主要包括三个部分:(一)UE与归属网络之间的安全算法协商;(二)归属网络信息收发网元获取安全信息;(三)归属网络信息收发网元与UE之间的信息交互的安全保护。
图1示出了本发明一个实施例的信息交互系统的系统架构示意图。如图1所示,该信息交互系统包括位于UE中的SIM卡、UE、5G核心网中的拜访网络网元SEAF或AMF、归属网络信息收发网元Home Entity以及归属网络认证网元AUSF或UDM。这种增强的信息交互系统能够实现5G网络下归属网络与UE之间的信息交互的安全,与拜访网络与UE之间的安全独立,并且不需要升级SIM卡,可以用于归属网络的任何网元与UE之间的信息交互,实现更加灵活的业务控制。
本发明提出了一种实现5G网络下对归属网络与UE之间的信息交互进行安全保护的方法,通过新定义的安全参数、相关的信令流程、对归属网络、UE、拜访网络的新功能要求,实现了对5G安全架构的增强,支持对归属网络与UE之间的信息交互进行安全保护、拓展了未来移动通信中归属网络与UE之间的信息交互的应用前景。
(一)首先介绍UE与归属网络之间的安全算法协商。
本发明将UE与归属网络之间的安全算法协商嵌入到UE与5G网络的认证(EPSAKA*)流程中,在流程中增加安全算法协商功能。安全算法包括加密算法、完整性保护算法、校验算法。这些算法是信息网络中标准的各种算法。其中,可以由UE主动发起与归属网络之间的安全算法协商,UE在附着请求中携带所支持的安全算法集,归属网络认证网元在认证信息下发的时候确认安全算法。还可以由归属网络认证网元发起与UE之间的安全算法协商,通过下发认证信息发起,UE确认安全算法后通过认证确认返回给归属网络认证网元。
下面结合图2描述UE发起安全算法协商的一个实施例。
图2示出了UE发起算法协商的一个实施例的流程示意图。如图2所示,该实施例包括:
步骤S202,UE发起5G网络附着请求。
UE发起安全算法协商,在NAS附着请求消息中携带UE所支持的可用于UE与归属网络之间信息交互进行安全保护的安全算法能力集,包括:加密算法能力集、完整性保护算法能力集、校验算法能力集。这些算法是信息网络中标准的各种算法。
步骤S204,拜访网络网元(SEAF/AMF)基于UE发起的附着请求,发起EPS AKA*流程。首先拜访网络网元(SEAF/AMF)向归属网络请求认证信息。
由于步骤S202中UE携带了所支持的安全算法能力集,拜访网络网元(SEAF/AMF)在请求认证信息消息中也携带这个UE的安全算法能力集。
步骤S206,归属网络认证网元(AUSF/UDM)收到认证信息请求后,根据5G的EPSAKA*流程生成该UE的5G安全向量,在认证信息下发流程中发给拜访网络网元(SEAF/AMF)。
由于认证信息请求里还携带了UE的安全算法能力集,归属网络认证网元(AUSF/UDM)根据归属网络支持的安全算法能力集,确认安全算法(包括加密算法、完整性保护算法、校验算法),该安全算法用于后续UE与归属网络之间的信息交互的安全保护。归属网络认证网元(AUSF/UDM)在认证信息下发流程中携带确认的安全算法,并且存储这个确认的安全算法用于后续的UE与归属网络之间的信息交互的安全保护。
步骤S208,拜访网络网元(SEAF/AMF)收到下发的认证信息,根据5G的EPS AKA*流程向UE发起NAS认证请求。
由于收到下发的认证信息中还携带了确认的安全算法,拜访网络网元(SEAF/AMF)在发给UE的NAS认证请求也携带这个确认的安全算法。
步骤S210,UE根据收到的NAS认证请求,进行根据5G的EPS AKA*流程进行认证处理,向拜访网络网元(SEAF/AMF)返回NAS认证响应。
UE存储NAS认证请求中收到确认的安全算法,用于后续的UE与归属网络之间的信息交互的安全保护。
步骤S212,拜访网络网元(SEAF/AMF)收到NAS认证响应,根据5G的EPS AKA*流程完成对UE的认证。可选的,如果步骤4中归属网络要求拜访网络返回认证结果,拜访网络网元(SEAF/AMF)向归属网络信息收发网元(AUSF/UDM)返回认证确认。
下面结合图3描述归属网络认证网元发起安全算法协商的另一个实施例。
图3示出了归属网络认证网元发起算法协商的一个实施例的流程示意图。如图3所示,该实施例包括:
步骤S302,UE发起5G网络附着请求。在NAS附着请求消息中没有携带安全算法能力集。
步骤S304,拜访网络网元(SEAF/AMF)基于UE发起的附着请求,发起EPS AKA*流程。首先拜访网络网元(SEAF/AMF)向归属网络请求认证信息。由于步骤S302中没有携带安全算法能力集,拜访网络网元(SEAF/AMF)在请求认证信息消息中不携带这个UE的安全算法能力集。
步骤S306,归属网络认证网元(AUSF/UDM)收到认证信息请求后,根据5G的EPSAKA*流程生成该UE的5G安全向量,在认证信息下发流程中发给拜访网络网元(SEAF/AMF)。
由于认证信息请求里没有携带UE的安全算法能力集,归属网络认证网元(AUSF/UDM)发起安全算法协商。在认证信息下发流程中携带归属网络所支持的可用于UE与归属网络之间信息交互进行安全保护的安全算法能力集,包括:加密算法能力集、完整性保护算法能力集、校验算法能力集。由于安全算法能力协商还需要UE后续确认安全算法,归属网络认证网元(AUSF/UDM)在认证信息下发流程中还要求拜访网络返回认证结果,这样拜访网络在返回认证结果的时候就可以携带UE确认的安全算法。
步骤S308,拜访网络网元(SEAF/AMF)收到下发的认证信息,根据5G的EPS AKA*流程向UE发起NAS认证请求。
由于收到下发的认证信息中还携带了归属网络支持的安全算法能力集,拜访网络网元(SEAF/AMF)在发给UE的NAS认证请求也携带这个安全算法能力集。
步骤S310,UE根据收到的NAS认证请求,进行根据5G的EPS AKA*流程进行认证处理,向拜访网络网元返回NAS认证响应。
由于NAS认证请求里还携带了归属网络的安全算法能力集,UE根据自己支持的安全算法能力集,确认安全算法(包括加密算法、完整性保护算法、校验算法),该安全算法用于后续UE与归属网络之间的信息交互的安全保护。UE在NAS认证响应中携带确认的安全算法,并且存储确认的安全算法,用于后续的UE与归属网络之间的信息交互的安全保护。
步骤S312,拜访网络网元(SEAF/AMF)收到NAS认证响应,根据5G的EPS AKA*流程完成对UE的认证。
由于归属网络要求拜访网络返回认证结果,拜访网络网元(SEAF/AMF)向归属网络返回认证确认,并且携带NAS认证响应中收到的确认的安全算法。归属网络信息收发网元(AUSF/UDM)在认证确认收到确认的安全算法,存储这个确认的安全算法用于后续的UE与归属网络之间的信息交互的安全保护。
(二)接下来介绍归属网络信息收发网元获取安全信息。
当归属网络的任一网元需要与UE进行信息交互时,该网元向归属网络认证网元请求获得用于与UE之间安全信息,包括加密密钥CK、完整性保护密钥IK、UE与归属网络之间的协商好的安全算法。为了避免对SIM卡升级,加密密钥CK、完整性保护密钥IK与UE接入5G网络认证所采用的CK,IK相同。
考虑到5G网络认证的CK,IK会不断变化,因此当变化后归属网络信息收发网元存在从归属网络认证网元获得安全信息的更新的需求。归属网络信息收发网元在向归属网络认证网元请求用于与UE之间安全信息时,还可以携带有效时间,当在这个有效时间内如果CK,IK发生了变化,则归属网络认证网元会主动向归属网络信息收发网元更新安全信息。
需要特别说明的是,根据3GPP 5G的相关标准要求,CK和IK在UE侧由SIM卡根据存储的根密钥K生成、CK和IK在归属网络侧由归属网络认证网元根据存储的根密钥K生成。如果需要更高级别的安全,可以不用5G认证的CK,IK作为加密算法、完整性保护算法、校验算法的输入参数,而是基于CK,IK派生出其它的密钥来作为加密算法、完整性保护算法、校验算法的输入参数。
下面结合图4描述归属网络信息收发网元获取安全算法的一个实施例。
图4示出了归属网络信息收发网元获取安全算法的一个实施例的流程示意图。如图4所示,该实施例包括:
步骤S402,信息收发网元(Home Entity)希望进行与UE之间的信息交互的安全保护,向归属网络认证网元(AUSF/UDM)请求安全信息。
步骤S404,归属网络认证网元(AUSF/UDM)将存储的当前用于UE与归属网络之间信息交互安全保护的安全信息下发给归属网络信息收发网元,安全信息包括CK,IK,确认的安全算法(包括加密算法、完整性保护算法、校验算法)。归属网络信息收发网元收到后存储这个安全信息,用于与UE之间信息交互的安全保护。
可选的,考虑到安全信息会动态变化,如果归属网络信息收发网元希望在后续时间也与UE进行信息交互,并且不需要每次都重新向归属网络认证网元请求安全信息以减少安全信息请求的次数,在步骤S402中,归属网络信息收发网元还可以在请求安全信息过程中携带本次请求的有效时间。
步骤S406,由于收到的安全信息带有有效时间,如果在有效时间内归属网络认证网元存储的安全信息发生了变化,则归属网络认证网元(AUSF/UDM)主动通知归属网络信息收发网元新的安全信息。
(三)最后介绍归属网络信息收发网元与UE之间的信息交互的安全保护。
信息发送方(UE或者归属网络信息收发网元)对需要发送的数据进行加密和完整性保护,基于CK,IK以及安全算法。信息发送方针对本次数据产生随机数RAND(此RAND不同于生成CK,IK时用到的RAND)。信息发送方(UE或者归属网络信息收发网元)将经过加密和完整性保护的数据以及对应的RAND通过发送流程发送给信息接收方(归属网络信息收发网元或者UE)。发送流程通过5G网络的核心网网元。同时信息发送方也根据RAND生成校验TOKEN并保存,TOKEN基于CK,IK经过校验算法计算产生。信息接收方对收到的信息基于CK,IK以及安全算法进行解密和完整性检查,确认数据安全后,根据收到的RAND生成校验TOKEN,TOKEN基于CK,IK经过校验算法计算产生。然后信息接收方将TOKEN通过确认流程发回信息发送方,确认过程通过5G网络的核心网网元。信息发送方比对之前存储的TOKEN与从信息接收发收到TOKEN,如果一致,则确认信息已经安全的被信息接收方接收。
下面结合图5描述归属网络信息收发网元获取安全算法的一个实施例。
图5示出了归属网络信息收发网元与用户设备之间的信息交互的安全保护的一个实施例的流程示意图。如图5所示,该实施例包括:
步骤S502,归属网络信息收发网元(Home Entity)决定向UE发送数据。基于CK、IK作为加密密钥、完整性保护密钥,根据从归属网络负责认证的网元处获得的安全算法(加密算法、完整性保护算法)对数据进行加密和完整性保护处理,同时生成针对本次数据的随机数RAND。需要说明的是,这个RAND不同于生成CK,IK时用到的RAND。同时,归属网络网元也根据RAND生成校验令牌TOKEN并保存,TOKEN基于CK,IK经过校验算法计算产生。归属网络网元将经过安全处理过的数据以及对应的RAND通过5G核心网的消息发送给拜访网络。此外,不同的归属网络网元、不同的通信目的发出的5G核心网的消息可能不同。
步骤S504,拜访网络网元(AMF)发现收到的5G核心网消息里携带了发给UE的数据和RAND,将收到的经过安全处理过的数据以及RAND通过NAS信令发给UE。
步骤S506,UE收到经过安全处理过的数据以及RAND,对收到的数据基于CK,IK以及安全算法进行解密和完整性检查,确认数据安全(数据可以解密、并且没有被篡改)后,根据收到的RAND生成校验TOKEN,TOKEN基于CK和IK经过校验算法计算产生。然后UE将TOKEN通过NAS信令发回拜访网络网元(AMF)。
步骤S508,拜访网络网元(AMF)发现NAS信令中含有TOKEN,在5G核心网消息中携带这个TOKEN,发给归属网络网元。
归属网络网元比对之前存储的TOKEN与从UE收到TOKEN,如果一致,则确认信息已经安全的被UE接收。
下面结合图6描述归属网络信息收发网元获取安全算法的另一个实施例。
图6示出了归属网络信息收发网元与用户设备之间的信息交互的安全保护的另一个实施例的流程示意图。如图6所示,该实施例包括:
步骤S602,UE决定向归属网络信息收发网元(Home Entity)发送数据。基于CK,IK作为加密密钥、完整性保护密钥,根据确认的安全算法(加密算法、完整性保护算法)对数据进行加密和完整性保护处理,同时生成针对本次数据的随机数RAND。需要说明的是,这个RAND不同于生成CK,IK时用到的RAND。同时,UE也根据RAND生成校验TOKEN并保存,TOKEN基于CK,IK经过校验算法计算产生。UE将经过安全处理过的数据以及对应的RAND通过NAS消息发送给拜访网络网元(AMF)。
步骤S604,拜访网络网元(AMF)发现收到的NAS消息里携带了发给归属网络网元的经过安全处理的数据和RAND,将数据以及RAND通过5G核心网消息发给对应的归属网络网元。
步骤S606,归属网络网元收到经过安全处理过的数据以及RAND,对收到的数据基于CK,IK以及安全算法进行解密和完整性检查,确认数据安全(数据可以解密、并且没有被篡改)后,根据收到的RAND生成校验TOKEN,TOKEN基于CK和IK经过校验算法计算产生。
然后归属网络网元将TOKEN通过5G核心网消息发回拜访网络网元(AMF)。
步骤S608,拜访网络网元(AMF)发现收到的5G核心网消息中含有TOKEN,将TOKEN通过NAS信令发给UE。
UE比对之前存储的TOKEN与从归属网络网元收到TOKEN,如果一致,则确认信息已经安全的被归属网络网元接收。
通过图2至图6所示实施例,本领域技术人员应理解,本发明在不增加通信流程的情况下,分别实现了UE与归属网络之间的安全算法协商、归属网络信息收发网元获取安全信息以及归属网络信息收发网元与UE之间的信息交互的安全保护,从而实现对归属网络与用户设备之间的信息交互进行安全保护。
下面结合图7描述本发明归属网络的一个实施例。
图7示出了本发明归属网络的一个实施例的结构示意图。如图7所示,该实施例中的归属网络70包括:
归属网络认证网元702,用于在用户设备接入认证流程中与用户设备进行安全算法协商,并用于向归属网络信息收发网元发送协商的安全算法;
归属网络信息收发网元706,用于与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,归属网络认证网元702用于:
接收拜访网络网元发送的认证信息请求,认证信息请求是拜访网络网元接收到用户设备的非接入层NAS附着请求后发送的,认证信息请求及NAS附着请求携带用户设备支持的安全算法;
从用户设备支持的安全算法中确认并保存协商的安全算法;
向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,认证信息以及NAS认证请求携带协商的安全算法。
在一个实施例中,归属网络认证网元702用于:
接收拜访网络网元发送的认证信息请求,认证信息请求是拜访网络网元接收到用户设备的NAS附着请求后发送的;
向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,认证信息以及NAS认证请求携带归属网络支持的安全算法,用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,用户设备向拜访网络网元发送NAS认证响应,NAS认证响应中携带协商的安全算法;
接收拜访网络网元发送的认证确认信息,认证确认信息中携带协商的安全算法。
在一个实施例中,归属网络认证网元702用于:
接收归属网络信息收发网元发送的协商的安全算法的获取请求,以及获取请求的有效时间;
向归属网络信息收发网元发送协商的安全算法;
若在有效时间内协商的安全算法发生变化,则向归属网络信息收发网元发送变化后的协商的安全算法。
在一个实施例中,归属网络信息收发网元704用于:
利用协商的安全算法对交互信息进行安全处理;
生成本次交互信息的随机数,并利用协商的安全算法以及随机数生成第一校验令牌;
将经过安全处理的交互信息以及随机数发送至用户设备,以便用户设备利用协商的安全算法确认交互信息安全,用户设备利用协商的安全算法以及随机数生成第二校验令牌,并将第二校验令牌发送至归属网络认证网元;
比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,归属网络信息收发网元704用于:
从用户设备接收经过安全处理的交互信息以及随机数,安全处理的交互信息是用户设备利用协商的安全算法对交互信息进行安全处理生成的,随机数是用户设备根据本次交互信息生成的,协商的安全算法以及随机数被用户设备用来生成第一校验令牌;
利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;
将第二校验令牌发送至用户设备,以便用户设备比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被归属网络认证网元安全接收。
下面结合图8描述本发明用户设备80的一个实施例。
图8示出了本发明用户设备的一个实施例的结构示意图。如图8所示,该实施例中的用户设备80包括:
安全算法协商模块802,用于在接入认证流程中与归属网络认证网元进行安全算法协商,以便归属网络认证网元向归属网络信息收发网元发送协商的安全算法;
安全处理模块804,用于与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
在一个实施例中,安全算法协商模块802用于:
向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,认证信息请求及NAS附着请求携带用户设备支持的安全算法,归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;
从拜访网络网元接收NAS认证请求,NAS认证请求是拜访网络网元接收到归属网络认证网元下发的认证信息后发送的,NAS认证请求及认证信息携带协商的安全算法。
在一个实施例中,安全算法协商模块802用于:
向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,归属网络认证网元向拜访网络网元下发认证信息,认证信息携带归属网络支持的安全算法;
接收拜访网络网元发送的NAS认证请求,NAS认证请求携带归属网络支持的安全算法;
从归属网络支持的安全算法中确认并保存协商的安全算法后,向拜访网络网元发送NAS认证响应,以便拜访网络网元向归属网络认证网元发送认证确认信息,NAS认证响应以及认证确认信息携带协商的安全算法。
在一个实施例中,安全处理模块804用于:
接收归属网络认证网元发送的经过安全处理的交互信息以及随机数,经过安全处理的交互信息是归属网络认证网元利用协商的安全算法对交互信息进行安全处理生成的,随机数是归属网络认证网元根据本次交互信息生成的,协商的安全算法以及随机数被归属网络认证网元用来生成第一校验令牌;
利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;
将第二校验令牌发送至归属网络认证网元,以便归属网络认证网元比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
在一个实施例中,安全处理模块804用于:
利用协商的安全算法对交互信息进行安全处理;
生成本次交互信息的随机数,并利用协商的安全算法以及随机数生成第一校验令牌;
将经过安全处理的交互信息以及随机数发送至归属网络信息收发网元,以便归属网络信息收发网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及随机数生成第二校验令牌;
从归属网络信息收发网元接收第二校验令牌,并比对第一校验令牌以及第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
下面结合图9描述本发明信息交互系统的一个实施例。
图9示出了本发明信息交互系统的一个实施例的结构示意图。如图9所示,该实施例中的信息交互系统90包括归属网络70以及用户设备80。
可选的,信息交互系统90还包括拜访网络网元902。
上述实施例能够在不增加通信流程的情况下,分别实现UE与归属网络之间的安全算法协商、归属网络信息收发网元获取安全信息以及归属网络信息收发网元与UE之间的信息交互的安全保护,从而实现对归属网络与用户设备之间的信息交互进行安全保护。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (24)
1.一种信息交互方法,其特征在于,包括:
归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商;
归属网络认证网元向归属网络信息收发网元发送协商的安全算法;
归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
2.如权利要求1所述的信息交互方法,其特征在于,所述归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商包括:
归属网络认证网元接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的非接入层NAS附着请求后发送的,所述认证信息请求及所述NAS附着请求携带用户设备支持的安全算法;
归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;
归属网络认证网元向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带协商的安全算法。
3.如权利要求1所述的信息交互方法,其特征在于,所述归属网络认证网元在用户设备接入认证流程中与用户设备进行安全算法协商包括:
归属网络认证网元接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的NAS附着请求后发送的;
归属网络认证网元向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带归属网络支持的安全算法,用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,用户设备向拜访网络网元发送NAS认证响应,所述NAS认证响应中携带协商的安全算法;
归属网络认证网元接收拜访网络网元发送的认证确认信息,所述认证确认信息中携带协商的安全算法。
4.如权利要求1所述的信息交互方法,其特征在于,所述归属网络认证网元向归属网络信息收发网元发送协商的安全算法包括:
归属网络认证网元接收归属网络信息收发网元发送的协商的安全算法的获取请求,以及所述获取请求的有效时间;
归属网络认证网元向归属网络信息收发网元发送协商的安全算法;
若在所述有效时间内协商的安全算法发生变化,则归属网络认证网元向归属网络信息收发网元发送变化后的协商的安全算法。
5.如权利要求1所述的信息交互方法,其特征在于,所述归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:
归属网络认证网元利用协商的安全算法对交互信息进行安全处理;
归属网络认证网元生成本次交互信息的随机数,并利用协商的安全算法以及所述随机数生成第一校验令牌;
归属网络认证网元将经过安全处理的交互信息以及所述随机数发送至用户设备,以便用户设备利用协商的安全算法确认交互信息安全,用户设备利用协商的安全算法以及所述随机数生成第二校验令牌,并将第二校验令牌发送至归属网络认证网元;
归属网络认证网元比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
6.如权利要求1所述的信息交互方法,其特征在于,所述归属网络信息收发网元与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:
归属网络认证网元从用户设备接收经过安全处理的交互信息以及随机数,所述安全处理的交互信息是用户设备利用协商的安全算法对交互信息进行安全处理生成的,所述随机数是用户设备根据本次交互信息生成的,所述协商的安全算法以及所述随机数被用户设备用来生成第一校验令牌;
归属网络认证网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
归属网络认证网元将第二校验令牌发送至用户设备,以便用户设备比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被归属网络认证网元安全接收。
7.一种信息交互方法,其特征在于,包括:
用户设备在接入认证流程中与归属网络认证网元进行安全算法协商,以便归属网络认证网元向归属网络信息收发网元发送协商的安全算法;
用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
8.如权利要求7所述的信息交互方法,其特征在于,所述用户设备在接入认证流程中与归属网络认证网元进行安全算法协商包括:
用户设备向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,所述认证信息请求及所述NAS附着请求携带用户设备支持的安全算法,归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;
用户设备从拜访网络网元接收NAS认证请求,所述NAS认证请求是拜访网络网元接收到归属网络认证网元下发的认证信息后发送的,所述NAS认证请求及所述认证信息携带协商的安全算法。
9.如权利要求7所述的信息交互方法,其特征在于,所述用户设备在接入认证流程中与归属网络认证网元进行安全算法协商包括:
用户设备向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,归属网络认证网元向拜访网络网元下发认证信息,所述认证信息携带归属网络支持的安全算法;
用户设备接收拜访网络网元发送的NAS认证请求,所述NAS认证请求携带归属网络支持的安全算法;
用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,向拜访网络网元发送NAS认证响应,以便拜访网络网元向归属网络认证网元发送认证确认信息,所述NAS认证响应以及所述认证确认信息携带协商的安全算法。
10.如权利要求7所述的信息交互方法,其特征在于,所述用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:
用户设备接收归属网络认证网元发送的经过安全处理的交互信息以及随机数,所述经过安全处理的交互信息是归属网络认证网元利用协商的安全算法对交互信息进行安全处理生成的,所述随机数是归属网络认证网元根据本次交互信息生成的,所述协商的安全算法以及所述随机数被归属网络认证网元用来生成第一校验令牌;
用户设备利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
用户设备将第二校验令牌发送至归属网络认证网元,以便归属网络认证网元比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
11.如权利要求7所述的信息交互方法,其特征在于,所述用户设备与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理包括:
用户设备利用协商的安全算法对交互信息进行安全处理;
用户设备生成本次交互信息的随机数,并利用协商的安全算法以及所述随机数生成第一校验令牌;
用户设备将经过安全处理的交互信息以及所述随机数发送至归属网络信息收发网元,以便归属网络信息收发网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
用户设备从归属网络信息收发网元接收第二校验令牌,并比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
12.一种归属网络,其特征在于,包括:
归属网络认证网元,用于在用户设备接入认证流程中与用户设备进行安全算法协商,并用于向归属网络信息收发网元发送协商的安全算法;
归属网络信息收发网元,用于与用户设备在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
13.如权利要求12所述的归属网络认证网元,其特征在于,所述归属网络认证网元用于:
接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的非接入层NAS附着请求后发送的,所述认证信息请求及所述NAS附着请求携带用户设备支持的安全算法;
从用户设备支持的安全算法中确认并保存协商的安全算法;
向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带协商的安全算法。
14.如权利要求12所述的归属网络认证网元,其特征在于,所述归属网络认证网元用于:
接收拜访网络网元发送的认证信息请求,所述认证信息请求是拜访网络网元接收到用户设备的NAS附着请求后发送的;
向拜访网络网元下发认证信息,以便拜访网络网元向用户设备发送NAS认证请求,所述认证信息以及所述NAS认证请求携带归属网络支持的安全算法,用户设备从归属网络支持的安全算法中确认并保存协商的安全算法后,用户设备向拜访网络网元发送NAS认证响应,所述NAS认证响应中携带协商的安全算法;
接收拜访网络网元发送的认证确认信息,所述认证确认信息中携带协商的安全算法。
15.如权利要求12所述的归属网络认证网元,其特征在于,所述归属网络认证网元用于:
接收归属网络信息收发网元发送的协商的安全算法的获取请求,以及所述获取请求的有效时间;
向归属网络信息收发网元发送协商的安全算法;
若在所述有效时间内协商的安全算法发生变化,则向归属网络信息收发网元发送变化后的协商的安全算法。
16.如权利要求12所述的归属网络认证网元,其特征在于,所述归属网络信息收发网元用于:
利用协商的安全算法对交互信息进行安全处理;
生成本次交互信息的随机数,并利用协商的安全算法以及所述随机数生成第一校验令牌;
将经过安全处理的交互信息以及所述随机数发送至用户设备,以便用户设备利用协商的安全算法确认交互信息安全,用户设备利用协商的安全算法以及所述随机数生成第二校验令牌,并将第二校验令牌发送至归属网络认证网元;
比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
17.如权利要求12所述的归属网络认证网元,其特征在于,所述归属网络信息收发网元用于:
从用户设备接收经过安全处理的交互信息以及随机数,所述安全处理的交互信息是用户设备利用协商的安全算法对交互信息进行安全处理生成的,所述随机数是用户设备根据本次交互信息生成的,所述协商的安全算法以及所述随机数被用户设备用来生成第一校验令牌;
利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
将第二校验令牌发送至用户设备,以便用户设备比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被归属网络认证网元安全接收。
18.一种用户设备,其特征在于,包括:
安全算法协商模块,用于在接入认证流程中与归属网络认证网元进行安全算法协商,以便归属网络认证网元向归属网络信息收发网元发送协商的安全算法;
安全处理模块,用于与归属网络信息收发网元在信息交互过程中,利用协商的安全算法对交互信息进行安全处理。
19.如权利要求18所述的用户设备,其特征在于,所述安全算法协商模块用于:
向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,所述认证信息请求及所述NAS附着请求携带用户设备支持的安全算法,归属网络认证网元从用户设备支持的安全算法中确认并保存协商的安全算法;
从拜访网络网元接收NAS认证请求,所述NAS认证请求是拜访网络网元接收到归属网络认证网元下发的认证信息后发送的,所述NAS认证请求及所述认证信息携带协商的安全算法。
20.如权利要求18所述的用户设备,其特征在于,所述安全算法协商模块用于:
向拜访网络网元发送NAS附着请求,以便拜访网络网元向归属网络认证网元发送认证信息请求,归属网络认证网元向拜访网络网元下发认证信息,所述认证信息携带归属网络支持的安全算法;
接收拜访网络网元发送的NAS认证请求,所述NAS认证请求携带归属网络支持的安全算法;
从归属网络支持的安全算法中确认并保存协商的安全算法后,向拜访网络网元发送NAS认证响应,以便拜访网络网元向归属网络认证网元发送认证确认信息,所述NAS认证响应以及所述认证确认信息携带协商的安全算法。
21.如权利要求18所述的用户设备,其特征在于,所述安全处理模块用于:
接收归属网络认证网元发送的经过安全处理的交互信息以及随机数,所述经过安全处理的交互信息是归属网络认证网元利用协商的安全算法对交互信息进行安全处理生成的,所述随机数是归属网络认证网元根据本次交互信息生成的,所述协商的安全算法以及所述随机数被归属网络认证网元用来生成第一校验令牌;
利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
将第二校验令牌发送至归属网络认证网元,以便归属网络认证网元比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
22.如权利要求18所述的用户设备,其特征在于,所述安全处理模块用于:
利用协商的安全算法对交互信息进行安全处理;
生成本次交互信息的随机数,并利用协商的安全算法以及所述随机数生成第一校验令牌;
将经过安全处理的交互信息以及所述随机数发送至归属网络信息收发网元,以便归属网络信息收发网元利用协商的安全算法确认交互信息安全,并利用协商的安全算法以及所述随机数生成第二校验令牌;
从归属网络信息收发网元接收第二校验令牌,并比对所述第一校验令牌以及所述第二校验令牌,若一致则确认交互信息已经被用户设备安全接收。
23.一种信息交互系统,其特征在于,包括如权利要求12至17中任一项所述的归属网络认证网元,以及如权利要求18至22中任一项所述的用户设备。
24.如权利要求23所述的信息交互系统,其特征在于,所述信息交互系统还包括拜访网络网元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710804024.6A CN109474927B (zh) | 2017-09-08 | 2017-09-08 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710804024.6A CN109474927B (zh) | 2017-09-08 | 2017-09-08 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109474927A true CN109474927A (zh) | 2019-03-15 |
| CN109474927B CN109474927B (zh) | 2022-04-01 |
Family
ID=65657710
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710804024.6A Active CN109474927B (zh) | 2017-09-08 | 2017-09-08 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109474927B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112105021A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 一种认证方法、装置及系统 |
| WO2021063298A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信系统 |
| CN114245376A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、用户设备、相关网络设备和存储介质 |
| CN114245378A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、相关网络设备和存储介质 |
| CN114245377A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 接入认证方法、装置、设备及存储介质 |
| WO2023216934A1 (zh) * | 2022-05-09 | 2023-11-16 | 华为技术有限公司 | 通信方法及装置 |
| WO2024021580A1 (zh) * | 2022-07-29 | 2024-02-01 | 中兴通讯股份有限公司 | 用户终端接入网络的安全认证方法、装置及电子设备 |
| WO2024093613A1 (zh) * | 2022-11-01 | 2024-05-10 | 中国移动通信有限公司研究院 | 数据传输方法、装置、网络实体及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| US20090275309A1 (en) * | 2007-05-08 | 2009-11-05 | He Chengdong | Security capability negotiation method, system, and equipment |
-
2017
- 2017-09-08 CN CN201710804024.6A patent/CN109474927B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
| US20090275309A1 (en) * | 2007-05-08 | 2009-11-05 | He Chengdong | Security capability negotiation method, system, and equipment |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "《3GPP TS 33.501 V0.3.0 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 15) 》", 21 August 2017 * |
| DALI, CHINA: "《3GPP TSG SA WG3 (Security) Meeting #88,pCR Adding Editor’s note to the EPS-AKA* and EAP-AKA",S3-171940》", 11 August 2017 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112105021A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 一种认证方法、装置及系统 |
| WO2020253736A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 一种认证方法、装置及系统 |
| CN112105021B (zh) * | 2019-06-17 | 2022-05-10 | 华为技术有限公司 | 一种认证方法、装置及系统 |
| WO2021063298A1 (zh) * | 2019-09-30 | 2021-04-08 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信系统 |
| CN114245376A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、用户设备、相关网络设备和存储介质 |
| CN114245378A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 一种数据传输方法、相关网络设备和存储介质 |
| CN114245377A (zh) * | 2020-09-07 | 2022-03-25 | 中国移动通信有限公司研究院 | 接入认证方法、装置、设备及存储介质 |
| WO2023216934A1 (zh) * | 2022-05-09 | 2023-11-16 | 华为技术有限公司 | 通信方法及装置 |
| WO2024021580A1 (zh) * | 2022-07-29 | 2024-02-01 | 中兴通讯股份有限公司 | 用户终端接入网络的安全认证方法、装置及电子设备 |
| WO2024093613A1 (zh) * | 2022-11-01 | 2024-05-10 | 中国移动通信有限公司研究院 | 数据传输方法、装置、网络实体及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109474927B (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109474927A (zh) | 信息交互方法、归属网络、用户终端以及信息交互系统 | |
| CN101189827B (zh) | 综合认证和管理服务提供者、终端和用户身份模块的方法以及使用该方法的系统和终端 | |
| CN109479049B (zh) | 用于密钥供应委托的系统、设备和方法 | |
| US20190034936A1 (en) | Approving Transactions from Electronic Wallet Shares | |
| CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
| CN110009346A (zh) | 用于拆分和恢复密钥的方法、程序产品、存储介质和系统 | |
| CN109309565A (zh) | 一种安全认证的方法及装置 | |
| CN110474875A (zh) | 基于服务化架构的发现方法及装置 | |
| CN109428874A (zh) | 基于服务化架构的注册方法及装置 | |
| CN107800539A (zh) | 认证方法、认证装置和认证系统 | |
| CN106059757A (zh) | 视音频监控设备及其数据加解密方法、视音频展示设备 | |
| KR101856682B1 (ko) | 엔티티의 인증 방법 및 장치 | |
| CN110299996A (zh) | 认证方法、设备及系统 | |
| CN107277000B (zh) | 一种电子凭证安全管理方法及系统 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN109639731A (zh) | 多因子通用可组合认证及服务授权方法、通信服务系统 | |
| CN103516524A (zh) | 安全验证方法和系统 | |
| KR101246339B1 (ko) | 큐알 코드 보안인증 시스템 및 그 방법 | |
| CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
| US10305878B2 (en) | Virtual device authorization method and device | |
| CN106980977B (zh) | 基于物联网的支付方法和系统 | |
| CN103916851B (zh) | 一种安全认证的方法、设备及系统 | |
| JP2006252470A (ja) | 電子価値交換システム、及び、電子価値交換方法 | |
| CN114696999A (zh) | 一种身份鉴别方法和装置 | |
| Malina et al. | Privacy-preserving authentication systems using smart devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |