CN109803261B - 鉴权方法、设备及系统 - Google Patents
鉴权方法、设备及系统 Download PDFInfo
- Publication number
- CN109803261B CN109803261B CN201711148923.1A CN201711148923A CN109803261B CN 109803261 B CN109803261 B CN 109803261B CN 201711148923 A CN201711148923 A CN 201711148923A CN 109803261 B CN109803261 B CN 109803261B
- Authority
- CN
- China
- Prior art keywords
- authentication
- entity
- confirmation
- authentication confirmation
- anchor point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供鉴权方法、设备及系统,以至少解决如何处理剩下未使用的n‑1个AV而可能产生的性能和内存资源浪费的问题。方法包括:鉴权实体接收来自统一数据管理实体的n个第一鉴权矢量,n为正整数;该鉴权实体根据该n个第一鉴权矢量,生成n个第二鉴权矢量;该鉴权实体向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量;该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;在鉴权确认成功的情况下,该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n‑1个第二鉴权矢量。
Description
技术领域
本申请涉及通信技术领域,尤其涉及鉴权方法、设备及系统。
背景技术
在第三代合作伙伴计划(3rd generation partnership project,3GPP)技术标准(technical standard,TS)33.501 v0.40所描述的用户注册过程的鉴权流程中,若归属网络中的统一数据管理(unified data management,UDM)实体选择的鉴权算法为第五代认证和密钥协商(5rd generation-authentication and key agreement,5G-AKA),则UDM实体可能一次产生n个鉴权矢量(authentication vector,AV),n为正整数。进而,归属网络中的鉴权服务器功能(authentication server function,AUSF)实体可以接收来自UDM实体的n个AV。但对于某些信任类别较低的拜访网络中的安全锚点功能(security anchorfunction,SEAF)实体,AUSF实体可能仅向SEAF实体发送一个AV,当n>1时,现有技术并没有明确说明剩下未使用的n-1个AV如何处理。若剩下未使用的n-1个AV都保存在AUSF实体,可能产生如下问题:
第一,可能对AUSF实体和UDM实体的处理性能产生一定影响。
第二,剩下未使用的n-1个AV保存在AUSF实体上将会占用AUSF实体的内存,比如若n=10,由于AV包括随机数(random number,RAND)、鉴权令牌(authentication token,AUTN)、期望的响应值(expected response,XRES*)和密钥Kasme*,而AUTN和RAND分别占用16个字节,XRES*占用16个字节,Kasme*占用32个字节,则对于一个用户来说,n-1个AV保存在AUSF实体上将会占用9*(16+16+16+32)=800个字节;对于1000万用户来说,n-1个AV保存在AUSF实体上将会占用1000万*800=7.5GB内存。
因此,如何处理剩下未使用的n-1个AV而可能产生的性能和内存资源浪费的问题,是目前亟待解决的技术问题。
发明内容
本申请实施例提供鉴权方法、设备及系统,以至少解决如何处理剩下未使用的n-1个AV而可能产生的性能和内存资源浪费的问题。
为达到上述目的,本申请实施例提供如下技术方案:
第一方面,提供一种鉴权方法,该方法包括:鉴权实体接收来自统一数据管理实体的n个第一鉴权矢量,n为正整数;该鉴权实体根据该n个第一鉴权矢量,生成n个第二鉴权矢量;该鉴权实体向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量;该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;在鉴权确认成功的情况下,该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。基于该方案,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
在一种可能的设计中,该方法还包括:该鉴权实体向该安全锚点功能实体发送鉴权确认标识,其中,该鉴权确认标识用于指示需要鉴权确认。这样后续SEAF实体对终端鉴权成功后,可以根据该鉴权确认标识向AUSF实体发送鉴权确认请求,由AUSF实体进一步对终端进行鉴权确认。
在一种可能的设计中,该方法还包括:该鉴权实体确定需要鉴权确认。
可选的,该鉴权实体确定需要鉴权确认,包括:该鉴权实体接收来自该统一数据管理实体的鉴权确认标识,其中,该鉴权确认标识用于指示需要鉴权确认。也就是说,可以由统一数据管理实体确定是否需要鉴权确认,从而可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
可选的,该鉴权实体确定需要鉴权确认,包括:该鉴权实体根据本地配置的安全策略,确定需要鉴权确认。
在一种可能的设计中,该鉴权确认请求携带响应值RES*和对应的随机数RAND;该鉴权实体根据该鉴权确认请求对该终端进行鉴权确认,包括:该鉴权实体根据该RAND查找对应的XRES*,并通过比较该RES*和该XRES*对该终端进行鉴权确认。通过该方式,在鉴权实体接收来自安全锚点功能实体的鉴权确认请求之后,由于可以快速查找到与RES*对应的XRES*,因此可以解决现有技术中在进行鉴权确认时,在鉴权实体之前从统一数据管理实体中接收多个第一鉴权矢量的情况下,鉴权实体不知道使用哪个鉴权矢量中的XRES*和接收到的RES*进行比较,从而影响AUSF实体的处理性能的问题,可以实现对终端的快速鉴权确认。
第二方面,提供一种鉴权方法,该方法包括:统一数据管理实体生成n个第一鉴权矢量,n为正整数;该统一数据管理实体向鉴权实体发送该n个第一鉴权矢量;该鉴权实体接收来自该统一数据管理实体的n个第一鉴权矢量,并根据该n个第一鉴权矢量,生成n个第二鉴权矢量;该鉴权实体向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量;该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;在鉴权确认成功的情况下,该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。其中,第二方面所带来的技术效果可参见第一方面所带来的技术效果,此处不再赘述。
在一种可能的设计中,该统一数据管理实体生成n个第一鉴权矢量,包括:该统一数据管理实体根据本地配置的缺省鉴权矢量数目n,生成n个第一鉴权矢量。本申请实施例中,由于统一数据管理实体可以根据鉴权算法,生成相应数量的第一鉴权矢量,而不是像现有技术一样,在鉴权实体发送给统一数据实体的鉴权信息请求中携带鉴权矢量的个数,因此可以避免现有技术中存在的鉴权实体请求的第一鉴权矢量的数量与统一数据实体生成的第一鉴权矢量的数量不一致的问题。比如,若鉴权实体请求的第一鉴权矢量的数量为多个,而统一数据管理实体选择的鉴权算法一次仅生成一个第一鉴权矢量,则无法满足鉴权实体请求的第一鉴权矢量的数量要求。
在一种可能的设计中,该方法还包括:该统一数据管理实体根据本地配置的安全策略,确定需要鉴权确认;该统一数据管理实体向该鉴权实体发送鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认;该鉴权实体接收来自该统一数据管理实体的该鉴权确认标识,并向该安全锚点功能实体发送该鉴权确认标识。
在一种可能的设计中,该统一数据管理实体根据本地配置的安全策略,确定需要鉴权确认,包括:该统一数据管理实体根据该安全锚点功能实体所在的服务网络的标识,以及该本地配置的安全策略中该服务网络的安全策略,确定需要鉴权确认。也就是说,可以由统一数据管理实体确定是否需要鉴权确认,从而可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
第三方面,提供一种鉴权方法,该方法包括:统一数据管理实体根据本地配置的安全策略,确定需要鉴权确认;该统一数据管理实体向鉴权实体发送鉴权信息应答,该鉴权信息应答携带鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认;该鉴权实体接收来自该统一数据实体的该鉴权信息应答;该鉴权实体向安全锚点功能实体发送鉴权初始应答,该鉴权初始应答携带该鉴权确认标识;该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认。基于该方案,可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
在一种可能的设计中,该方法还包括:该统一数据管理实体生成n个第一鉴权矢量;相应的,该鉴权信息应答还携带n个第一鉴权矢量;该方法还包括:该鉴权实体根据该n个第一鉴权矢量,生成n个第二鉴权矢量;相应的,该鉴权初始应答还携带该n个第二鉴权矢量中的其中一个第二鉴权矢量;在该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求之后,该方法还包括:在鉴权确认成功的情况下,该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。基于该方案,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
在一种可能的设计中,该方法还包括:该统一数据管理实体生成n个第一鉴权矢量;相应的,该鉴权信息应答还携带n个第一鉴权矢量;该方法还包括:该鉴权实体根据该n个第一鉴权矢量,生成n个第二鉴权矢量;相应的,该鉴权初始应答还携带该n个第二鉴权矢量。基于该方案,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
结合上述第一方面至第三方面,在一种可能的设计中,在鉴权实体根据鉴权确认请求对终端进行鉴权确认之后,还包括:在鉴权确认失败的情况下,鉴权实体向安全锚点功能实体发送鉴权确认失败指示,该鉴权确认失败指示用于指示鉴权确认失败。这样可以使得安全锚点功能实体及时获知鉴权确认的结果。
结合上述第一方面至第三方面,在一种可能的设计中,在鉴权实体根据鉴权确认请求对终端进行鉴权确认之后,还包括:在鉴权确认成功的情况下,鉴权实体向安全锚点功能实体发送鉴权确认成功指示,该鉴权确认成功指示用于指示鉴权确认成功。这样可以使得安全锚点功能实体及时获知鉴权确认的结果。
结合上述第一方面至第三方面,在一种可能的设计中,在鉴权实体根据鉴权确认请求对终端进行鉴权确认之后,还包括:在鉴权确认成功的情况下,鉴权实体向安全锚点功能实体发送鉴权确认标识,其中,该鉴权确认标识用于指示需要鉴权确认。
第四方面,提供一种鉴权方法,该鉴权方法包括:统一数据管理实体根据本地配置的安全策略,生成n个第一鉴权矢量,n为正整数;统一数据管理实体向鉴权实体发送n个第一鉴权矢量;鉴权实体接收来自该统一数据实体的n个第一鉴权矢量,并根据n个第一鉴权矢量,生成n个第二鉴权矢量;鉴权实体向该安全锚点功能实体发送该n个第二鉴权矢量。基于该方法,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性;同时,还可以避免现有技术中存在的鉴权实体请求的第一鉴权矢量的数量与统一数据管理实体实际生成的第一鉴权矢量的数量不一致的问题。相关技术效果的分析可参考下述方法实施例部分,在此不再赘述。
在一种可能的设计中,该方法还包括:鉴权实体接收来自安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;在鉴权确认失败的情况下,该鉴权实体向该安全锚点功能实体发送鉴权确认失败指示,该鉴权确认失败指示用于指示鉴权确认失败。这样可以使得安全锚点功能实体及时获知鉴权确认的结果。
在一种可能的设计中,该方法还包括:鉴权实体接收来自安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;在鉴权确认成功的情况下,该鉴权实体向该安全锚点功能实体发送鉴权确认成功指示,该鉴权确认成功指示用于指示鉴权确认成功。
在一种可能的设计中,统一数据管理实体根据本地配置的安全策略,生成n个第一鉴权矢量,包括:统一数据管理实体根据该安全锚点功能实体所在的服务网络的标识,以及该本地配置的安全策略中该服务网络的安全策略,生成n个第一鉴权矢量。
第五方面,提供了一种鉴权实体,该鉴权实体具有实现上述第一方面所述的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第六方面,提供了一种鉴权实体,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该鉴权实体运行时,该处理器执行该存储器存储的该计算机执行指令,以使该鉴权实体执行如上述第一方面中任一所述的鉴权方法。
第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第一方面中任意一项所述的鉴权方法。
第八方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第一方面中任意一项所述的鉴权方法。
第九方面,提供了一种芯片系统,该芯片系统包括处理器,用于支持鉴权实体实现上述方面中所涉及的功能,例如根据n个第一鉴权矢量,生成n个第二鉴权矢量。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存鉴权实体必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第五方面至第九方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
第十方面,提供一种鉴权系统,该鉴权系统包括统一数据管理实体和鉴权实体;该统一数据管理实体,用于生成n个第一鉴权矢量,n为正整数;该统一数据管理实体,还用于向鉴权实体发送该n个第一鉴权矢量;该鉴权实体,用于接收来自该统一数据管理实体的n个第一鉴权矢量,并根据该n个第一鉴权矢量,生成n个第二鉴权矢量;该鉴权实体,还用于向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量;该鉴权实体,还用于接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认;该鉴权实体,还用于在鉴权确认成功的情况下,向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。其中,第十方面所带来的技术效果可参见第二方面所带来的技术效果,此处不再赘述。
第十一方面,提供一种鉴权系统,该鉴权系统包括:统一数据管理实体和鉴权实体;该统一数据管理实体,用于根据本地配置的安全策略,确定需要鉴权确认;该统一数据管理实体,还用于向鉴权实体发送鉴权信息应答,该鉴权信息应答携带鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认;该鉴权实体,用于接收来自该统一数据实体的该鉴权信息应答;该鉴权实体,还用于向安全锚点功能实体发送鉴权初始应答,该鉴权初始应答携带该鉴权确认标识;该鉴权实体,还用于接收来自该安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对该终端进行鉴权确认。其中,第十一方面所带来的技术效果可参见第三方面所带来的技术效果,此处不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的鉴权系统的架构示意图;
图2为本申请实施例提供的5G网络架构的示意图;
图3为本申请实施例提供的通信设备的硬件结构示意图;
图4为本申请实施例提供的鉴权方法的流程示意图一;
图5为本申请实施例提供的鉴权方法的流程示意图二;
图6为本申请实施例提供的鉴权实体的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同,本申请实施例对此不作具体限定。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图1所示,为本申请实施例提供的一种鉴权系统10,该鉴权系统10包括统一数据管理实体101和鉴权实体102。其中,统一数据管理实体101和鉴权实体102之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。
一种可能的实现方式中,统一数据管理实体101,用于生成n个第一鉴权矢量,并向鉴权实体102发送n个第一鉴权矢量,n为正整数。
鉴权实体102,用于接收来自统一数据实体101的n个第一鉴权矢量,并根据n个第一鉴权矢量,生成n个第二鉴权矢量。
鉴权实体102,还用于向安全锚点功能实体发送n个第二鉴权矢量中的其中一个第二鉴权矢量。
鉴权实体102,还用于接收来自安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对终端进行鉴权确认;在鉴权确认成功的情况下,向安全锚点功能实体发送n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。
其中,本申请实施例中的第一鉴权矢量可以包括RAND、AUTN、XRES*和Kasme*。与该第一鉴权矢量对应的第二鉴权矢量可以包括RAND、AUTN、哈希(Hash)XRES*(HXRES*)和Kasme*,在此统一说明,以下不再赘述。其中,HXRES*是根据RAND和XRES*确定的,具体可参考现有的实现方式,本申请实施例对此不予赘述。
本申请实施例提供的鉴权系统中,鉴权实体在根据接收到的n个第一鉴权矢量生成n个第二鉴权矢量之后,向安全锚点功能实体发送n个第二鉴权矢量中的其中一个第二鉴权矢量,并在接收来自安全锚点功能实体的鉴权确认请求,且根据鉴权确认请求对终端进行鉴权确认成功之后,向安全锚点功能实体发送n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。这样,一方面,不仅可以避免每次服务网络的安全锚点功能实体重新对终端鉴权时,均需要向归属网络的鉴权实体请求第一鉴权矢量,从而对鉴权实体的处理性能产生的影响;也可以避免归属网络中的鉴权实体并不知道拜访网络中的安全锚点功能实体何时会再次发起鉴权,比如终端已经离开了安全锚点功能实体所在的拜访网络,或者,比如距离下次安全锚点功能实体会再次发起鉴权的时间还很长。此时若采用老化删除机制,则安全锚点功能实体向鉴权实体再次请求第一鉴权矢量时,由于第一鉴权矢量已经老化被删除,统一数据管理实体还得重新生成需要的第一鉴权矢量,从而对统一数据管理实体的处理性能产生的影响;同时可以避免安全锚点功能实体向鉴权实体再次请求第一鉴权矢量时,由于安全锚点功能实体和鉴权实体之间因为链路不通而导致获取不到第一鉴权矢量,从而对终端鉴权失败的问题。另一方面,可以解决现有技术中存在的剩下未使用的n-1个第一鉴权矢量可能产生的鉴权实体的内存资源浪费的问题。也就是说,基于该方案,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。
另一种可能的实现方式中,统一数据管理实体101,用于根据本地配置的安全策略,生成n个第一鉴权矢量,并向鉴权实体102发送n个第一鉴权矢量n为正整数。
鉴权实体102,用于接收来自统一数据实体101的n个第一鉴权矢量,并根据n个第一鉴权矢量,生成n个第二鉴权矢量后,向安全锚点功能实体发送n个第二鉴权矢量。
可选的,本申请实施例中,本地配置的安全策略可以包括不同服务网络的安全策略列表,该安全策略列表中可以包括当前为终端服务的安全锚点功能实体所在的服务网络的安全策略,本申请实施例对此不作具体限定。
其中,本申请实施例中,服务网络的安全策略具体可以包括服务网络的信任等级,该服务网络的信任等级例如可以包括信任等级高或信任等级低。信任等级高表示信任该服务网络;信任等级低表示不信任该服务网络。在此统一说明,以下不再赘述。
其中,本申请实施例中的服务网络可以是归属网络,比如可以是终端非漫游场景下的归属地公共陆地移动网络(home public land mobile network,HPLMN);或者,该服务网络也可以是拜访网络,比如可以是终端漫游场景下的访问地公共陆地移动网络(visitedpublic land mobile network,VPLMN),本申请实施例对此不作具体限定。在此统一说明,以下不再赘述。
示例性的,本地配置的安全策略可以如表一所示。
表一
| 服务网络 | 安全策略 |
| PLMN1 | 信任等级高 |
| PLMN2 | 信任等级高 |
| PLMN3 | 信任等级低 |
| PLMN4 | 信任等级高 |
| …… | …… |
需要说明的是,表一仅是示例性的给出了一种本地配置的安全策略的列表形式,当然,本地配置的安全策略还可能是其他的形式,比如文本形式等,本申请实施例对此不作具体限定。
本申请实施例提供的鉴权系统中,鉴权实体根据本地配置的安全策略,生成n个第一鉴权矢量,并向鉴权实体发送n个第一鉴权矢量,由鉴权实体根据n个第一鉴权矢量,生成n个第二鉴权矢量之后,向安全锚点功能实体发送n个第二鉴权矢量。比如,本地配置的安全策略中该安全锚点功能实体所在的服务网络的安全策略为信任等级高,可以生成多个第一鉴权矢量,这样鉴权实体可以得到多个第二鉴权矢量后,向安全锚点功能实体发送多个第二鉴权矢量;或者,本地配置的安全策略中该安全锚点功能实体所在的服务网络的安全策略为信任等级低,可以生成一个第一鉴权矢量,这样鉴权实体可以得到一个第二鉴权矢量后,向安全锚点功能实体发送一个第二鉴权矢量。这样,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。同时,由于统一数据管理实体是根据本地配置的安全策略,生成n个第一鉴权矢量,而不是像现有技术一样,在鉴权实体发送给统一数据管理实体的鉴权信息请求(authentication informationrequest)中携带鉴权矢量的个数,因此不仅使得后续过程中鉴权实体可以向安全锚点功能实体发送n个第二鉴权矢量,而且可以避免现有技术中存在的鉴权实体请求的第一鉴权矢量的数量与统一数据管理实体实际生成的第一鉴权矢量的数量不一致的问题。比如,若鉴权实体请求的第一鉴权矢量的数量为多个,而统一数据管理实体选择的鉴权算法为增强的基于认证和密钥协商的可扩展认证协议(extensible authentication protocol-authentication and key agreement,EAP-AKA')算法,则统一数据管理实体一次仅生成一个第一鉴权矢量,从而无法满足鉴权实体请求的第一鉴权矢量的数量要求。
再一种可能的实现方式中,统一数据管理实体101,用于根据本地配置的安全策略,确定需要鉴权确认后,向鉴权实体102发送鉴权信息应答,该鉴权信息应答携带鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认。其中,本地配置的安全策略的描述可参考上述实施例中的相关描述,在此不再赘述。
鉴权实体102,用于接收来自统一数据实体的鉴权信息应答,并向安全锚点功能实体发送鉴权初始应答,该鉴权初始应答携带鉴权确认标识。
鉴权实体102,还用于接收来自安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对终端进行鉴权确认。
本申请实施例提供的鉴权系统中,统一数据管理实体可以根据本地配置的安全策略,确定需要鉴权确认后,通过鉴权实体向安全锚点功能实体发送鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认;进而,鉴权实体可以接收来自安全锚点功能实体的鉴权确认请求,并根据该鉴权确认请求对终端进行鉴权确认。这样,后续安全锚点功能实体向统一数据管理实体请求注册和获取用户签约数据的过程中,即使统一数据管理实体未获取到鉴权确认结果,由于统一数据管理实体可以获知网络的安全状况,因此统一数据管理实体可以根据网络的安全情况选择拒绝请求或者接受请求。而不像现有技术中一样,在后续安全锚点功能实体向统一数据管理实体请求注册和获取用户签约数据的过程中,在统一数据管理实体未获取到鉴权确认结果的情况下,由于不知道网络是否安全,可能直接拒绝,也可能直接接受,从而对网络安全造成的影响。比如,若统一数据管理实体直接接受,则恶意的安全锚点功能实体就可以利用这一点,比如,即使安全锚点功能实体上对终端鉴权失败,或者安全锚点功能实体和终端之间从来没有进行过鉴权流程,安全锚点功能实体也可以随时向统一数据管理实体请求注册和获取用户签约数据,从而骗取统一数据管理实体的信任,从而将可能导致拜访网络和归属网络之间的计费纠纷。或者,若统一数据管理实体直接拒绝,那么即使终端在安全锚点功能实体所在的服务网络鉴权已经成功,则终端也可能永远无法在安全锚点功能实体所在的服务网络注册成功,从而无法访问安全锚点功能实体所在的服务网络,其效果类似于拒绝服务攻击(deny of service)。也就是说,基于该方案,可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。
可选的,图1所示的鉴权系统10可以应用于5G网络以及未来其它的网络,本发明实施例对此不作具体限定。
其中,若图1所示的鉴权系统10应用于5G网络,则如图2所示,则鉴权实体可以为5G网络中的AUSF实体;统一数据管理实体可以为5G网络中的UDM实体,安全锚点功能实体可以为5G网络中的SEAF实体。
此外,如图2所示,该5G网络还可以包括接入设备与接入和移动性管理(coreaccess and mobility management function,AMF)实体等,本申请实施例对此不作具体限定。
虽然未示出,该5G网络还可以包括策略控制功能(policy control function,PCF)实体、用户面功能(user plane function,UPF)实体和会话管理功能(sessionmanagement function,SMF)实体等,本申请实施例对此不作具体限定。
需要说明的是,本申请实施例中,SEAF实体和AMF实体可能合一部署,也可能分开部署,本申请实施例对此不作具体限定。其中,本申请实施例均以SEAF实体和AMF实体分开部署为例进行说明;当然,若SEAF实体和AMF实体合一部署,则本申请实施例的SEAF实体需要替换为AMF实体,在此统一说明,以下不再赘述。
其中,如图2所示,终端通过下一代网络(next generation,N)接口1(简称N1)与AMF实体通信,接入设备通过N接口2(简称N2)与AMF实体通信,AMF实体通过N接口8(简称N8)与UDM实体通信,AUSF实体通过N接口13(简称N13)与UDM实体通信,SEAF实体可以分别与AUSF实体和AMF实体通信。
需要说明的是,图2中的各个网元之间的接口名字只是一个示例,具体实现中接口名字可能为其他名字,本申请实施例对此不作具体限定。
需要说明的是,图2的接入设备、SEAF实体、AMF实体、AUSF实体或UDM实体等仅是一个名字,名字对设备本身不构成限定。在5G网络以及未来其它的网络中,接入设备、SEAF实体、AMF实体、AUSF实体或UDM实体所对应的网元或实体也可以是其他的名字,本申请实施例对此不作具体限定。例如,该UDM实体还有可能被替换为用户归属服务器(home subscriberserver,HSS)或者用户签约数据库(user subscription database,USD)或者数据库实体或者用户数据管理实体,等等,在此进行统一说明,以下不再赘述。
可选的,本申请实施例中所涉及到的终端(terminal)可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备;还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant,PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptopcomputer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop,WLL)台、机器类型通信(machine type communication,MTC)终端、用户设备(user equipment,UE),移动台(mobile station,MS),终端设备(terminal device)等。为方便描述,本申请中,上面提到的设备统称为终端。
可选的,本申请实施例中所涉及到的接入设备指的是接入核心网的设备,例如可以是基站,宽带网络业务网关(broadband network gateway,BNG),汇聚交换机,非第三代合作伙伴计划(3rd generation partnership project,3GPP)接入设备等。基站可以包括各种形式的基站,例如:宏基站,微基站(也称为小站),中继站,接入点等。
可选的,图1中的统一数据管理实体101或鉴权实体102可以由一个实体设备实现,也可以由多个实体设备共同实现,还可以是一个实体设备内的一个逻辑功能模块,本申请实施例对此不作具体限定。
例如,图1中的统一数据管理实体101或鉴权实体102可以通过图3中的通信设备来实现。图3所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备300包括至少一个处理器301,通信线路302,存储器303以及至少一个通信接口304。
处理器301可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路302可包括一通路,在上述组件之间传送信息。
通信接口304,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器303可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路302与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器303用于存储执行本申请方案的计算机执行指令,并由处理器301来控制执行。处理器301用于执行存储器303中存储的计算机执行指令,从而实现本申请下述实施例提供的鉴权方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器301可以包括一个或多个CPU,例如图3中的CPU0和CPU1。
在具体实现中,作为一种实施例,通信设备300可以包括多个处理器,例如图3中的处理器301和处理器308。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,通信设备300还可以包括输出设备305和输入设备306。输出设备305和处理器301通信,可以以多种方式来显示信息。例如,输出设备305可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备306和处理器301通信,可以以多种方式接收用户的输入。例如,输入设备306可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的通信设备300可以是一个通用设备或者是一个专用设备。在具体实现中,通信设备300可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digitalassistant,PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图3中类似结构的设备。本申请实施例不限定通信设备300的类型。
下面将结合图1至图3,对本申请实施例提供的鉴权方法进行具体阐述。
需要说明的是,本申请下述实施例中的参数名字或者各个网元之间的消息名字只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
需要说明的是,本申请下述实施例中各个网元之间交互的消息中除了携带所描述的参数外,还可能携带其他参数,本申请实施例对此不作具体限定。
以图1所示的鉴权系统应用于如图2所示的5G网络为例,如图4所示,为本申请实施例提供的一种鉴权方法,该鉴权方法包括如下步骤:
S401、终端向SEAF实体发送注册请求(registration request),以使得SEAF实体接收来自终端的注册请求。其中,该注册请求中携带用户的签约标识。
可选的,本申请实施例中,用户的签约标识例如可以是国际移动用户标识(international mobile subscriber identity,IMSI)或者其他,本申请实施例对此不作具体限定。
S402、SEAF实体向AUSF实体发送鉴权初始请求(authentication initiationrequest),以使得AUSF实体接收来自SEAF实体的鉴权初始请求。其中,该鉴权初始请求中携带用户的签约标识以及SEAF实体所在的服务网络的标识。
S403、AUSF实体向UDM实体发送鉴权信息请求,以使得UDM实体接收来自AUSF实体的鉴权信息请求。其中,该鉴权信息请求中携带用户的签约标识以及SEAF实体所在的服务网络的标识。
S404、UDM实体生成n个第一鉴权矢量,n为正整数。
可选的,本申请实施例中,UDM实体在接收来自AUSF实体的鉴权信息请求之后,可以根据配置选择鉴权算法,进而可以根据鉴权算法,生成相应数量的第一鉴权矢量。比如,若UDM实体选择的鉴权算法为5G-AKA算法,则UDM实体可以根据本地配置的缺省鉴权矢量数目n,生成n个第一鉴权矢量;或者,若UDM实体选择的鉴权算法为EAP-AKA'算法,则UDM实体可以仅生成一个第一鉴权矢量。
其中,UDM实体根据配置选择鉴权算法的相关实现可参考现有的方式,在此不予赘述。
需要说明的是,本申请实施例中,对应不同的鉴权算法,UDM实体本地配置的缺省鉴权矢量数目n可能相同,也可能不同,本申请实施例对此不作具体限定。
本申请实施例中,由于UDM实体可以根据鉴权算法,生成相应数量的第一鉴权矢量,而不是像现有技术一样,在AUSF实体发送给UDM实体的鉴权信息请求中携带鉴权矢量的个数,因此可以避免现有技术中存在的AUSF实体请求的第一鉴权矢量的数量与UDM实体生成的第一鉴权矢量的数量不一致的问题。比如,若AUSF实体请求的第一鉴权矢量的数量为多个,而UDM实体选择的鉴权算法为EAP-AKA'算法,则UDM实体一次仅生成一个第一鉴权矢量,从而无法满足鉴权实体请求的第一鉴权矢量的数量要求。
S405、UDM实体向AUSF实体发送鉴权信息应答(authentication informationanswer),以使得AUSF实体接收来自UDM实体的鉴权信息应答。其中,该鉴权信息应答中携带n个第一鉴权矢量。
可选的,本申请实施例中,UDM实体可以根据本地配置的安全策略确定需要鉴权确认。比如,UDM实体可以根据步骤S403中携带的SEAF实体所在的服务网络的标识,以及本地配置的安全策略中该SEAF实体所在的服务网络的安全策略,确定是否需要鉴权确认。若确定需要鉴权确认,可以在鉴权信息应答中携带鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认,这样后续SEAF实体对终端鉴权成功后,可以根据该鉴权确认标识向AUSF实体发送鉴权确认请求,由AUSF实体进一步对终端进行鉴权确认。若确认不需要鉴权确认,由于UDM实体可以获知网络的安全情况,即使获取不到鉴权确认结果,也可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。
示例性的,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为服务网络的信任等级低,则UDM实体可以确定需要进行鉴权确认,进而在鉴权信息应答中携带鉴权确认标识;或者,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为服务网络的信任等级高,则UDM实体可以确定需要不进行鉴权确认,进而不需要在鉴权信息应答中携带鉴权确认标识。
S406、AUSF实体根据n个第一鉴权矢量,生成n个第二鉴权矢量。
其中,步骤S406的具体实现可参考现有的实现方式,在此不予赘述。
S407、AUSF实体向SEAF实体发送鉴权初始应答(authentication initiationanswer),以使得SEAF实体接收来自AUSF实体的鉴权初始应答。其中,该鉴权初始应答中携带n个第二鉴权矢量中的其中一个第二鉴权矢量。
可选的,本申请实施例中,若步骤S405中的鉴权信息应答中携带鉴权确认标识,则步骤S407中的鉴权初始应答中还携带该鉴权确认标识,这样后续SEAF实体对终端鉴权成功后,可以根据该鉴权确认标识向AUSF实体发送鉴权确认请求,由AUSF实体进一步对终端进行鉴权确认。
可选的,本申请实施例中,若步骤S405中的鉴权信息应答中未携带鉴权确认标识,则AUSF实体接收来自UDM实体的鉴权信息应答之后,可以根据本地配置的安全策略,确定是否需要鉴权确认。比如,AUSF实体可以根据步骤S402中携带的SEAF实体所在的服务网络的标识,以及本地配置的安全策略中该SEAF实体所在的服务网络的安全策略,确定是否需要鉴权确认。若确定需要鉴权确认,可以在步骤S407中的鉴权初始应答中还携带该鉴权确认标识,这样后续SEAF实体对终端鉴权成功后,可以根据该鉴权确认标识向AUSF实体发送鉴权确认请求,由AUSF实体进一步对终端进行鉴权确认。
示例性的,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为服务网络的信任等级低,则AUSF实体可以确定需要进行鉴权确认,进而在鉴权初始应答中携带鉴权确认标识;或者,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为服务网络的信任等级高,则UDM实体可以确定需要不进行鉴权确认,进而不需要在鉴权初始应答中携带鉴权确认标识。
可选的,本申请实施例中,若SEAF实体根据本地配置的安全策略确定不需要进行鉴权确认,则可能说明服务网络的信任等级高,进而AUSF实体可以向SEAF实体发送鉴权初始应答,该鉴权初始应答中携带n个第二鉴权矢量,本申请实施例对此不作具体限定。这样不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于SEAF实体和AUSF实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。
可选的,本申请实施例中,假设鉴权初始应答中携带的第二鉴权矢量为(RAND1、AUTN1、HXRES1*和Kasme1*),对应的第一鉴权矢量为(RAND1、AUTN1、XRES1*和Kasme1*),则AUSF实体还可能保存RAND1和XRES1*的对应关系,以便后续步骤S414中使用,本申请实施例对此不作具体限定。
S408、SEAF实体向终端发送鉴权请求(authentication request),以使得终端接收来自SEAF实体的鉴权请求。其中,该鉴权请求中携带RAND1和AUTN1。
S409、SEAF实体存储鉴权初始应答中携带的第二鉴权矢量中的HXRES1*,以便后续步骤S412中使用,在此不再赘述。
需要说明的是,本申请实施例中,步骤S408和步骤S409之间没有必然的先后顺序,可以是先执行步骤S408,再执行步骤S409;或者,可以先执行步骤S409,再执行步骤S408;或者,可以同时执行步骤S408和步骤S409,本申请实施例对此不作具体限定。
S410、终端根据AUTN1对SEAF实体所在的服务网络进行鉴权,并根据RAND1计算RES*。
其中,步骤S410的具体实现可参考现有的实现方式,在此不予赘述。
S411、终端向SEAF实体发送鉴权响应(authentication response),以使得SEAF实体接收来自终端的鉴权响应,其中,该鉴权响应中携带RES*。
可选的,该鉴权响应中还可以携带鉴权初始应答中携带的第二鉴权矢量中的RAND1,以便后续步骤S414中使用,在此不再赘述。
S412、SEAF实体对终端进行鉴权。
可选的,本申请实施例中,SEAF实体可以根据RES*以及3GPP 33.501规范中定义的算法,计算出HRES*,通过比较HRES*和步骤S409中存储的HXRES1*,完成对终端的鉴权。比如,若HRES*和步骤S409中存储的HXRES1*相等,则可以确定对终端鉴权成功;或者,若HRES*和步骤S409中存储的HXRES1*不相等,则可以确定对终端鉴权失败。
在对终端鉴权成功之后,SEAF实体可以根据步骤S407中的鉴权初始应答中携带的鉴权确认标识,执行下述步骤S413;或者,在对终端鉴权成功之后,SEAF实体可以直接执行下述步骤S413,本申请实施例对此不作具体限定。
当然,若对终端鉴权失败,SEAF实体可以向终端发送注册拒绝消息,本申请实施例对此不作具体限定。
S413、SEAF实体向AUSF实体发送鉴权确认请求(authentication confirmationrequest),以使得AUSF实体接收来自SEAF实体的鉴权确认请求。其中,该鉴权确认请求中携带RES*。
可选的,若步骤S411中的鉴权响应中还携带RAND1,则步骤S413中的鉴权确认请求中还携带RAND1;或者,若步骤S411中的鉴权响应中未携带RAND1,则步骤S413中的鉴权确认请求中还可以携带步骤S407中的RAND1,本申请实施例对此不作具体限定。
S414、AUSF实体对终端进行鉴权确认。
可选的,本申请实施例中,若步骤S413中的鉴权确认请求中还携带RAND1,则AUSF实体可以根据该RAND1,以及预先存储的RAND1和XRES1*的对应关系,查找到该XRES1*,进而通过比较XRES1*和RES*,完成对终端的鉴权确认。比如,若XRES1*和RES*相等,则可以确定对终端鉴权确认成功;或者,若XRES1*和RES*不相等,则可以确定对终端鉴权确认失败。通过该方式,在AUSF实体接收来自SEAF实体的鉴权确认请求之后,由于可以快速查找到与RES*对应的XRES1*,因此可以解决现有技术中在进行鉴权确认时,在AUSF实体之前从UDM实体中接收多个第一鉴权矢量的情况下,AUSF实体不知道使用哪个鉴权矢量中的XRES*和接收到的RES*进行比较,从而影响AUSF实体的处理性能的问题,可以实现对终端的快速鉴权确认。
S415、AUSF实体向SEAF实体发送鉴权确认应答(authentication confirmationanswer),以使得SEAF实体接收来自AUSF实体的鉴权确认应答。
其中,在鉴权确认成功的情况下,该鉴权确认应答中携带n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。可选的,该鉴权确认应答中还可以携带上述的鉴权确认标识。这样,后续若SEAF实体需要重新对终端鉴权时,可以直接使用n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。比如,在SEAF实体接收来自终端的周期性注册请求或者跟踪区域更新请求之后,可以直接使用n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量,采用上述步骤S408-S412的方式对终端鉴权;或者采用上述步骤S408-S415的方式对终端鉴权后再对终端进行鉴权确认,本申请实施例在此不再赘述。
可选的,本申请实施例中,在鉴权确认成功的情况下,该鉴权确认应答中还可以携带n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量中的部分第二鉴权矢量。这样,后续若SEAF实体需要重新对终端鉴权时,可以直接按照上述方式使用鉴权确认应答中携带的部分第二鉴权矢量,本申请实施例对此不作具体限定。
可选的,在鉴权确认成功的情况下,该鉴权确认应答中可以携带鉴权确认成功指示,该鉴权确认成功指示用于指示鉴权确认成功,以便SEAF实体可以及时获知鉴权确认的结果。其中,该鉴权确认成功指示例如可以是鉴权确认响应中的一个成功码,本申请实施例对此不作具体限定。
其中,在鉴权确认失败的情况下,该鉴权确认应答中可以携带鉴权确认失败指示,该鉴权确认失败指示用于指示鉴权确认失败,以便SEAF实体可以及时获知鉴权确认的结果。其中,该鉴权确认失败指示例如可以是鉴权确认响应中的一个失败码,本申请实施例对此不作具体限定。
可选的,在鉴权确认失败的情况下,还可以不通过鉴权确认应答携带鉴权确认失败指示,而是通过一个专用的消息携带该鉴权确认失败指示,本申请实施例对此不作具体限定。
基于该方案,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于SEAF实体和AUSF实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性。
其中,上述步骤S401至S415中AUSF实体和UDM实体的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行,本申请实施例对此不作任何限制。
可选的,以图1所示的鉴权系统应用于如图2所示的5G网络为例,如图5所示,为本申请实施例提供的另一种鉴权方法,该鉴权方法包括如下步骤:
S501-S503、同步骤S401-S403,具体可参考图4所示的实施例,在此不再赘述。
S504、UDM实体根据本地配置的安全策略,生成n个第一鉴权矢量,n为正整数。
可选的,本申请实施例中,UDM实体可以根据步骤S403中携带的SEAF实体所在的服务网络的标识,以及本地配置的安全策略中该SEAF实体所在的服务网络的安全策略,生成n个第一鉴权矢量。
示例性的,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为信任等级高,则UDM实体可以根据本地配置的缺省鉴权矢量数目n,生成n个第一鉴权矢量;或者,若本地配置的安全策略中SEAF实体所在的服务网络的安全策略为信任等级低,则UDM实体可以生成一个第一鉴权矢量。
可选的,本申请实施例中,UDM实体在确定待生成的第一鉴权矢量的数量时,也可以结合选择的鉴权算法。比如,若选择的鉴权算法为5G-AKA算法,则UDM实体再根据步骤S503中携带的SEAF实体所在的服务网络的标识,以及本地配置的安全策略,生成n个第一鉴权矢量,n为正整数;若选择的鉴权算法为EAP-AKA'算法,则UDM实体可以仅生成一个第一鉴权矢量,本申请实施例对此不作具体限定。
S505-S506、同步骤S405-S406,具体可参考图4所示的实施例,在此不再赘述。
S507、与步骤S407类似,区别仅在于,图4所示的实施例中,鉴权初始应答中携带n个第二鉴权矢量中的其中一个第二鉴权矢量;而本申请实施例中,由于n个第一鉴权矢量是UDM实体根据本地配置的安全策略生成的,因此鉴权初始应答中可以携带n个第二鉴权矢量,相关描述可参考图4所示的实施例,在此不再赘述。
假设后续使用的第二鉴权矢量为(RAND1、AUTN1、HXRES1*和Kasme1*),则本申请实施例提供的鉴权方法还包括如下步骤:
S508-S512、同步骤S408-S412,具体可参考图4所示的实施例,在此不再赘述。
可选的,本申请实施例还可以包括如下步骤:
S513-S514、同步骤S413-S414,具体可参考图4所示的实施例,在此不再赘述。
S515、与步骤S415类似,区别仅在于,图4所示的实施例中,在鉴权确认成功的情况下,该鉴权确认应答中携带n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量;而本申请实施例中,由于步骤S407中已经将n个第二鉴权矢量发送给SEAF实体,因此不需要再鉴权确认应答中携带n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量,相关描述可参考图4所示的实施例,在此不再赘述。
基于本申请实施例提供的鉴权方法,不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题,从而提高了第一鉴权矢量的使用效率;而且可以减少由于SEAF实体和AUSF实体之间因为链路不通而导致的对终端鉴权失败的问题,从而提高了鉴权结果的可靠性;同时,还可以避免现有技术中存在的AUSF请求的第一鉴权矢量的数量与UDM实体生成的第一鉴权矢量的数量不一致的问题。
其中,上述步骤S501至S515中AUSF实体和UDM实体的动作可以由图3所示的通信设备300中的处理器301调用存储器303中存储的应用程序代码来执行,本申请实施例对此不作任何限制。
可选的,以图1所示的鉴权系统应用于如图2所示的5G网络为例,本申请实施例还提供的一种鉴权方法,该鉴权方法中,UDM实体接收来自AUSF实体的鉴权信息后,根据本地配置的安全策略,确定需要鉴权确认,进而向AUSF实体发送鉴权信息应答,该鉴权信息应答携带鉴权确认标识,该鉴权确认标识用于指示需要鉴权确认。AUSF实体接收来自UDM实体的鉴权信息应答后,向SEAF实体发送鉴权初始应答,该鉴权初始应答携带鉴权确认标识。这样,后续SEAF实体对终端鉴权成功后,可以向AUSF实体发送鉴权确认请求,以使得AUSF实体接收来自SEAF实体的鉴权确认请求后,根据该鉴权确认请求对终端进行鉴权确认。在该鉴权方法中,可以采用图4所示的实施例的方式生成n个第一鉴权矢量,以及发送n个第二鉴权矢量;也可以采用图5所示的实施例的方式生成n个第一鉴权矢量,以及发送n个第二鉴权矢量,本申请实施例对此不作具体限定。相关描述可参考图4或图5所示的实施例,在此不再赘述。
基于本申请实施例提供的鉴权方法,可以避免现有技术中可能存在的拜访网络和归属网络之间的计费纠纷或者拒绝服务攻击,提升网络的安全性。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,上述鉴权实体为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对鉴权实体进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,以采用集成的方式划分各个功能模块的情况下,图6示出了一种鉴权实体60的结构示意图。该鉴权实体60包括:收发模块601和处理模块602。收发模块601,用于接收来自统一数据管理实体的n个第一鉴权矢量,n为正整数。处理模块602,用于根据n个第一鉴权矢量,生成n个第二鉴权矢量。收发模块601,还用于向安全锚点功能实体发送n个第二鉴权矢量中的其中一个第二鉴权矢量。收发模块601,还用于接收来自安全锚点功能实体的鉴权确认请求,并根据鉴权确认请求对终端进行鉴权确认;收发模块601,还用于在鉴权确认成功的情况下,向安全锚点功能实体发送n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。
可选的,收发模块601,还用于向安全锚点功能实体发送鉴权确认标识,其中,该鉴权确认标识用于指示需要鉴权确认。
可选的,处理模块602,还用于确定需要鉴权确认。
在一种可能的实现方式中,处理模块602用于确定需要鉴权确认,包括:用于接收来自统一数据管理实体的鉴权确认标识,其中,鉴权确认标识用于指示需要鉴权确认。
在一种可能的实现方式中,处理模块602用于确定需要鉴权确认,包括:用于根据本地配置的安全策略,确定需要鉴权确认。
可选的,鉴权确认请求携带RES*和对应的RAND;处理模块602用于根据鉴权确认请求对终端进行鉴权确认,包括:用于根据RAND查找对应的XRES*,并通过比较RES*和XRES*对终端进行鉴权确认。
可选的,收发模块601,还用于在鉴权确认失败的情况下,向安全锚点功能实体发送鉴权确认失败指示,鉴权确认失败指示用于指示鉴权确认失败。
可选的,收发模块601,还用于在鉴权确认成功的情况下,向安全锚点功能实体发送鉴权确认成功指示,鉴权确认成功指示用于指示鉴权确认成功。
可选的,收发模块601,还用于在鉴权确认成功的情况下,向安全锚点功能实体发送鉴权确认标识,其中,鉴权确认标识用于指示需要鉴权确认。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该鉴权实体60以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(application-specific integratedcircuit,ASIC),电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到鉴权实体60可以采用图3所示的形式。
比如,图3中的处理器301可以通过调用存储器303中存储的计算机执行指令,使得鉴权实体60执行上述方法实施例中的鉴权方法。
具体的,图6中的收发模块601和处理模块602的功能/实现过程可以通过图3中的处理器301调用存储器303中存储的计算机执行指令来实现。或者,图6中的处理模块602的功能/实现过程可以通过图3中的处理器301调用存储器303中存储的计算机执行指令来实现,图6中的收发模块601的功能/实现过程可以通过图3中的通信接口304来实现。
由于本申请实施例提供的鉴权实体可用于执行上述鉴权方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
上述实施例中,鉴权实体60以采用集成的方式划分各个功能模块的形式来呈现。当然,本申请实施例也可以对应各个功能划分鉴权实体的各个功能模块,本申请实施例对此不作具体限定。
可选的,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,用于支持鉴权实体实现上述的鉴权方法,例如根据n个第一鉴权矢量,生成n个第二鉴权矢量。在一种可能的设计中,该芯片系统还包括存储器。该存储器,用于保存鉴权实体必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (22)
1.一种鉴权方法,其特征在于,所述方法包括:
归属网络中的鉴权实体接收来自统一数据管理实体的第一鉴权矢量;
所述鉴权实体根据所述第一鉴权矢量,生成第二鉴权矢量;
所述鉴权实体向拜访网络中的安全锚点功能实体发送所述第二鉴权矢量;
所述鉴权实体接收来自所述安全锚点功能实体的响应于所述第二鉴权矢量的鉴权确认请求;
所述鉴权实体根据所述鉴权确认请求对终端进行鉴权确认;
在鉴权确认成功的情况下,所述鉴权实体向所述安全锚点功能实体发送鉴权确认成功指示,所述鉴权确认成功指示用于指示鉴权确认成功;或,在鉴权确认失败的情况下,所述鉴权实体向所述安全锚点功能实体发送鉴权确认失败指示,所述鉴权确认失败指示用于指示鉴权确认失败;
所述鉴权实体为鉴权服务功能AUSF实体,所述统一数据管理实体为统一数据管理UDM实体,所述安全锚点功能实体为安全锚点功能SEAF实体。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述鉴权实体向所述安全锚点功能实体发送鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
3.根据权利要求1所述方法,其特征在于,所述方法还包括:
所述鉴权实体确定需要鉴权确认。
4.根据权利要求3所述的方法,其特征在于,所述鉴权实体确定需要鉴权确认,包括:
所述鉴权实体接收来自所述统一数据管理实体的鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
5.根据权利要求3所述的方法,其特征在于,所述鉴权实体确定需要鉴权确认,包括:
所述鉴权实体根据本地配置的安全策略,确定需要鉴权确认。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述第一鉴权矢量是用增强的基于认证和密钥协商的可扩展认证协议生成的。
7.根据权利要求6所述的方法,其特征在于,所述鉴权确认请求携带响应值RES*和对应的随机数RAND;
所述鉴权实体根据所述鉴权确认请求对所述终端进行鉴权确认,包括:
所述鉴权实体根据所述RAND查找对应的XRES*,并通过比较所述RES*和所述XRES*对所述终端进行鉴权确认。
8.根据权利要求7所述的方法,其特征在于,在所述鉴权实体根据所述鉴权确认请求对所述终端进行鉴权确认之后,还包括:
在鉴权确认成功的情况下,所述鉴权实体向所述安全锚点功能实体发送鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
9.一种鉴权方法,该鉴权方法包括:
统一数据管理实体生成第一鉴权矢量;
所述统一数据管理实体向归属网络中的鉴权实体发送所述第一鉴权矢量;
所述鉴权实体接收来自所述统一数据管理实体的所述第一鉴权矢量,并根据所述第一鉴权矢量,生成第二鉴权矢量;
所述鉴权实体向拜访网络中的安全锚点功能实体发送所述第二鉴权矢量;
所述鉴权实体接收来自所述安全锚点功能实体的响应于所述第二鉴权矢量的鉴权确认请求;
所述鉴权实体根据所述鉴权确认请求对终端进行鉴权确认;
在鉴权确认成功的情况下,所述鉴权实体向所述安全锚点功能实体发送鉴权确认成功指示,所述鉴权确认成功指示用于指示鉴权确认成功;或,在鉴权确认失败的情况下,所述鉴权实体向所述安全锚点功能实体发送鉴权确认失败指示,所述鉴权确认失败指示用于指示鉴权确认失败;
所述鉴权实体为鉴权服务功能AUSF实体,所述统一数据管理实体为统一数据管理UDM实体,所述安全锚点功能实体为安全锚点功能SEAF实体。
10.根据权利要求9所述的方法,其特征在于,所述统一数据管理实体生成第一鉴权矢量具体包括:所述统一数据管理实体根据本地配置的安全策略生成第一鉴权矢量。
11.根据权利要求10所述的方法,其特征在于,所述统一数据管理实体根据本地配置的安全策略,生成第一鉴权矢量,包括:所述统一数据管理实体根据所述安全锚点功能实体所在的服务网络的标识,以及所述本地配置的安全策略中所述服务网络的安全策略,生成所述第一鉴权矢量。
12.根据权利要求9-11任一项所述的方法,所述统一数据管理实体采用增强的基于认证和密钥协商的可扩展认证协议生成所述第一鉴权矢量。
13.一种鉴权实体,其特征在于,所述鉴权实体包括:收发模块和处理模块;
所述收发模块,用于接收来自统一数据管理实体的第一鉴权矢量;
所述处理模块,用于根据所述第一鉴权矢量,生成第二鉴权矢量;
所述收发模块,还用于向拜访网络中的安全锚点功能实体发送所述第二鉴权矢量;接收来自所述安全锚点功能实体的响应于所述第二鉴权矢量的鉴权确认请求,根据所述鉴权确认请求对终端进行鉴权确认;在鉴权确认成功的情况下,向所述安全锚点功能实体发送鉴权确认成功指示,所述鉴权确认成功指示用于指示鉴权确认成功;或,在鉴权确认失败的情况下,向所述安全锚点功能实体发送鉴权确认失败指示,所述鉴权确认失败指示用于指示鉴权确认失败;
所述鉴权实体为鉴权服务功能AUSF实体,所述统一数据管理实体为统一数据管理UDM实体,所述安全锚点功能实体为安全锚点功能SEAF实体。
14.根据权利要求13所述的鉴权实体,其特征在于,所述收发模块,还用于向所述安全锚点功能实体发送鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
15.根据权利要求13所述的鉴权实体,其特征在于,所述鉴权实体处理模块,还用于确定需要鉴权确认。
16.根据权利要求15所述的鉴权实体,其特征在于,所述处理模块用于确定需要鉴权确认,包括:
用于接收来自所述统一数据管理实体的鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
17.根据权利要求15所述的鉴权实体,其特征在于,所述处理模块用于确定需要鉴权确认,包括:
用于根据本地配置的安全策略,确定需要鉴权确认。
18.根据权利要求13-17任一项所述的鉴权实体,其特征在于,所述鉴权确认请求携带响应值RES*和对应的随机数RAND;
所述处理模块用于根据所述鉴权确认请求对所述终端进行鉴权确认,包括:
用于根据所述RAND查找对应的XRES*,并通过比较所述RES*和所述XRES*对所述终端进行鉴权确认。
19.根据权利要求18所述的鉴权实体,其特征在于,所述收发模块,还用于在鉴权确认成功的情况下,向所述安全锚点功能实体发送鉴权确认标识,其中,所述鉴权确认标识用于指示需要鉴权确认。
20.一种鉴权系统,其特征在于,所述鉴权系统包括:统一数据管理实体和归属网络中的鉴权实体;
所述统一数据管理实体,用于生成第一鉴权矢量;
所述统一数据管理实体,还用于向鉴权实体发送所述第一鉴权矢量;
所述鉴权实体,用于接收来自所述统一数据管理实体的所述第一鉴权矢量,并根据所述第一鉴权矢量,生成第二鉴权矢量;
所述鉴权实体,还用于向拜访网络中的安全锚点功能实体发送所述第二鉴权矢量;
所述鉴权实体,还用于接收来自所述安全锚点功能实体的响应于所述第二鉴权矢量的鉴权确认请求,所述鉴权实体根据所述鉴权确认请求对终端进行鉴权确认;
所述鉴权实体,还用于在鉴权确认成功的情况下,向所述安全锚点功能实体发送鉴权确认成功指示,所述鉴权确认成功指示用于指示鉴权确认成功;或,在鉴权确认失败的情况下,向所述安全锚点功能实体发送鉴权确认失败指示,所述鉴权确认失败指示用于指示鉴权确认失败;
所述鉴权实体为鉴权服务功能AUSF实体,所述统一数据管理实体为统一数据管理UDM实体,所述安全锚点功能实体为安全锚点功能SEAF实体。
21.根据权利要求20所述的鉴权系统,其特征在于,所述统一数据管理实体用于生成第一鉴权矢量,具体包括:所述统一数据管理实体根据本地配置的安全策略生成第一鉴权矢量。
22.根据权利要求21所述的鉴权系统,其特征在于,所述统一数据管理实体用于根据本地配置的安全策略生成第一鉴权矢量,包括:
所述统一数据管理实体根据所述安全锚点功能实体所在的服务网络的标识,以及所述本地配置的安全策略中所述服务网络的安全策略生成第一鉴权矢量。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711148923.1A CN109803261B (zh) | 2017-11-17 | 2017-11-17 | 鉴权方法、设备及系统 |
| EP18878331.0A EP3668004A4 (en) | 2017-11-17 | 2018-11-08 | AUTHENTICATION PROCESS, DEVICE, AND SYSTEM |
| PCT/CN2018/114461 WO2019096051A1 (zh) | 2017-11-17 | 2018-11-08 | 鉴权方法、设备及系统 |
| US16/834,185 US11595817B2 (en) | 2017-11-17 | 2020-03-30 | Authentication method, device, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711148923.1A CN109803261B (zh) | 2017-11-17 | 2017-11-17 | 鉴权方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109803261A CN109803261A (zh) | 2019-05-24 |
| CN109803261B true CN109803261B (zh) | 2021-06-22 |
Family
ID=66539341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711148923.1A Active CN109803261B (zh) | 2017-11-17 | 2017-11-17 | 鉴权方法、设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11595817B2 (zh) |
| EP (1) | EP3668004A4 (zh) |
| CN (1) | CN109803261B (zh) |
| WO (1) | WO2019096051A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852553A (zh) * | 2005-05-31 | 2006-10-25 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络系统 |
| WO2017092813A1 (en) * | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-rat access stratum security |
| CN106921965A (zh) * | 2017-01-19 | 2017-07-04 | 厦门盛华电子科技有限公司 | 一种wlan网络中实现eap认证的方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0004178D0 (en) | 2000-02-22 | 2000-04-12 | Nokia Networks Oy | Integrity check in a communication system |
| CN100563156C (zh) * | 2005-02-05 | 2009-11-25 | 华为技术有限公司 | 实现用户信息同步及对用户终端鉴权的方法 |
| WO2008036961A2 (en) * | 2006-09-22 | 2008-03-27 | Kineto Wireless, Inc. | Method and apparatus for resource management |
| CN101772020B (zh) * | 2009-01-05 | 2011-12-28 | 华为技术有限公司 | 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备 |
| JP5378606B2 (ja) * | 2009-11-26 | 2013-12-25 | 中国移▲動▼通信集▲団▼公司 | 認証システム、方法および設備 |
| CN102215474B (zh) * | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| WO2016086355A1 (zh) * | 2014-12-02 | 2016-06-09 | 华为技术有限公司 | 一种无线通信网络中的鉴权方法、相关装置及系统 |
| EP3304856A1 (en) * | 2015-06-05 | 2018-04-11 | Convida Wireless, LLC | Unified authentication for integrated small cell and wi-fi networks |
| US10716002B2 (en) * | 2016-07-05 | 2020-07-14 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
-
2017
- 2017-11-17 CN CN201711148923.1A patent/CN109803261B/zh active Active
-
2018
- 2018-11-08 EP EP18878331.0A patent/EP3668004A4/en active Pending
- 2018-11-08 WO PCT/CN2018/114461 patent/WO2019096051A1/zh unknown
-
2020
- 2020-03-30 US US16/834,185 patent/US11595817B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852553A (zh) * | 2005-05-31 | 2006-10-25 | 华为技术有限公司 | 一种对终端用户标识模块进行ip多媒体域鉴权的方法 |
| CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络系统 |
| WO2017092813A1 (en) * | 2015-12-03 | 2017-06-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-rat access stratum security |
| CN106921965A (zh) * | 2017-01-19 | 2017-07-04 | 厦门盛华电子科技有限公司 | 一种wlan网络中实现eap认证的方法 |
Non-Patent Citations (1)
| Title |
|---|
| KPN.Rewriting Clause 6.1.2 and 6.1.3 in normative language and adding Annex A.《3GPP TSG SA WG3 (Security) Meeting #88Bis Adhoc S3-172569》.2017,正文第6.1.3、6.1.3.1、6.1.3.2节,图6.1.3.1-1、6.1.3.2-1. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3668004A1 (en) | 2020-06-17 |
| US11595817B2 (en) | 2023-02-28 |
| EP3668004A4 (en) | 2020-11-25 |
| CN109803261A (zh) | 2019-05-24 |
| US20200228982A1 (en) | 2020-07-16 |
| WO2019096051A1 (zh) | 2019-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11451950B2 (en) | Indirect registration method and apparatus | |
| US11825307B2 (en) | Systems and methods of supporting device triggered re-authentication of slice-specific secondary authentication and authorization | |
| CN109413646B (zh) | 安全接入方法、设备及系统 | |
| CN109996346B (zh) | 会话建立方法、设备及系统 | |
| CN108934052B (zh) | 接入网类型选择方法、设备及系统 | |
| CN109327849B (zh) | 通信方法、设备及系统 | |
| CN111465018B (zh) | 一种增强跨网络访问安全的方法、设备及系统 | |
| CN109391937B (zh) | 公钥的获取方法、设备及系统 | |
| EP3956792B1 (en) | Cryptographic key generation for mobile communications device | |
| CN109548010B (zh) | 获取终端设备的身份标识的方法及装置 | |
| CN113709736B (zh) | 网络认证方法及装置、系统 | |
| CN108738015B (zh) | 网络安全保护方法、设备及系统 | |
| US20230035970A1 (en) | Method for Protecting Terminal Parameter Update and Communication Apparatus | |
| CN109803261B (zh) | 鉴权方法、设备及系统 | |
| CN109792612B (zh) | 终端监控信息的同步方法、设备及系统 | |
| CN110138815B (zh) | 会话管理方法、设备及系统 | |
| CN109842903B (zh) | 一种链路信息的确定方法、装置及系统 | |
| US9917693B2 (en) | Providing security assurance information | |
| EP3925256B1 (en) | Systems and methods of supporting device triggered re-authentication of slice-specific secondary authentication and authorization | |
| US20230112506A1 (en) | Systems and methods for providing access to a wireless communication network based on radio frequency response information and context information | |
| WO2021089903A1 (en) | Tethering service provision |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |