CN110431867B - 一种基于非3gpp网络的入网认证方法、相关设备及系统 - Google Patents
一种基于非3gpp网络的入网认证方法、相关设备及系统 Download PDFInfo
- Publication number
- CN110431867B CN110431867B CN201780088621.1A CN201780088621A CN110431867B CN 110431867 B CN110431867 B CN 110431867B CN 201780088621 A CN201780088621 A CN 201780088621A CN 110431867 B CN110431867 B CN 110431867B
- Authority
- CN
- China
- Prior art keywords
- amf
- key
- request message
- security
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 152
- 230000004044 response Effects 0.000 claims abstract description 175
- 238000012795 verification Methods 0.000 claims abstract description 67
- 238000004590 computer program Methods 0.000 claims description 12
- 238000009795 derivation Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 42
- 230000008569 process Effects 0.000 description 42
- 238000010586 diagram Methods 0.000 description 28
- 230000006870 function Effects 0.000 description 26
- 238000012545 processing Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 4
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/20—Manipulation of established connections
- H04W76/25—Maintenance of established connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种基于非3GPP网络的入网认证方法、相关设备及系统,所述方法包括:UE向N3IWF发送第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;接收所述N3IWF基于所述第一请求消息返回的第一响应消息,所述第一响应携带有第二认证码所述第一响应消息用于指示所述N3IWF对所述UE安全认证成功;然后UE对第二认证码进行完整性验证,验证成功后UE和N3IWF即可实现相互安全认证。采用本发明,能够在UE上一次成功入网后,实现UE通过non‑3GPP的快速入网。
Description
技术领域
本发明涉及5G通信技术领域,尤其涉及一种基于非3GPP网络的入网认证方法、相关设备及系统。
背景技术
随着通信技术的不断发展,第三代合作伙伴计划3GPP(3rd GenerationPartnership Project,3GPP)和非3GPP(non-3GPP)已经大规模部署和使用,特别是non-3GPP,如wifi的使用,给用户带来更便利的通信服务和业务体验。同时随着用户设备(Userequipmen,UE),如手机、平板等的大规模增加,给通信注入新的活力,也给运营带了挑战。特别是用户设备UE的入网认证过程中,现有技术中参见图3给出的5G网络框架示意图;UE每次通过non-3GPP接入网络时,都需要通过Untrusted non-3GPP access network andallocated IP address(可信的非3GPP接入网)接入核心网。入网鉴权流程中,信令控制面涉及到UE分别与非3GPP互通网元(non-3GPP Interworking Function,N3IWF)、接入和移动性管理网元(Access and Mobility Management Function,AMF)以及鉴权服务器(Authentication Server Function,AUSF)之间的相互认证鉴权过程。整个入网鉴权过程繁琐,且在鉴权过程中需要消耗比较长的鉴权等待时间。因此,针对UE上一次已经成功入网的情况,UE再次通过3GPP/non-3GPP入网时,均需要再次重复进行UE和3GPP/non-3GPP网络侧之前的入网鉴权流程,消耗的鉴权时间较长,用户体验较差。
发明内容
本发明实施例公开了一种基于非3GPP网络的入网认证方法、相关设备及系统,可利用UE上次入网成功后存储的安全上下文信息来完成当前通过非3GPP的入网认证,减少现有技术中通过非3GPP进行入网认证的流程步骤,实现UE的快速入网。
第一方面,本发明实施例提供了一种基于非3GPP网络的入网认证方法,包括:
用户设备UE获取上一次成功入网后,所述UE的保留信息;
根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥;
根据所述第一安全密钥生成第一认证码;
向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;
接收所述N3IWF基于所述第一请求消息返回的第一响应消息。
本申请方案中用户设备UE获取上一次成功入网后所述UE的保留信息,根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥,然后根据所述第一安全密钥生成第一认证码,并向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥,然后接收所述N3IWF基于所述第一请求消息返回的第一响应消息;这样UE可利用上次入网成功后其内存储的安全上下文信息来完成当前通过非3GPP的再次入网认证,减少现有技术中通过非3GPP进行入网认证的流程步骤,实现UE的快速入网。
在一些可选的方案中,所述第一响应消息携带有第二认证码,所述第二认证码为所述N3IWF根据所述第一安全密钥生成的;所述方法还包括:
根据所述第一安全密钥生成第二验证码;
如果所述第二验证码与所述第二认证码匹配,则所述UE对所述N3IWF安全认证成功。
通过执行上述步骤,用户设备基于第二验证码的完整性验证,来完成UE对所述N3IWF的安全认证;也即是验证N3IWF是否为真的;这样帮助UE通过non-3GPP快速入网。
在一些可选的方案中,所述UE对所述N3IWF安全认证成功之后,还包括:
向所述N3IWF发送第四请求消息,所述第四请求消息承载在因特网安全IPsec协议,所述第四请求消息携带有第三认证码和所述密钥标识信息,所述第三认证码用于所述AMF指示信息所指示的第一AMF对所述UE进行安全认证;
接收所述N3IWF发送的第四响应消息,所述第四响应消息承载在因特网安全IPsec协议,所述第四响应消息用于指示所述UE注册成功。
通过执行上述步骤,用户设备将第四请求消息承载在IPsec协议发送给N3IWF,以实现网络侧第一AMF对UE的安全认证。
在一些可选的方案中,所述第一请求消息还携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证。
在一些可选的方案中,所述方法还包括:
根据所述UE的保留信息,确定NAS完整性密钥;
根据所述NAS完整性密钥生成第三认证码,其中所述密钥标识信息还用于获取所述NAS完整性密钥。
通过执行上述步骤,用户设备从UE的保留信息中获取NAS完整性密钥,然后再利用NAS完整性密钥生成第三认证码,以便第一AMF根据密钥标识信息获取所述NAS完整性密钥,并基于对第三认证码的验证来完成第一AMF对UE的安全认证,进而实现UE的快速安全入网。
第二方面,本发明实施例提供了一种基于非3GPP网络的入网认证方法,包括:
N3IWF接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息;
向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的所述第一安全密钥;
根据所述第一安全密钥生成第一验证码;
如果所述第一认证码和所述第一验证码匹配,则向所述UE发送第一响应消息。
本申请方案中N3IWF接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的所述第一安全密钥,根据所述第一安全密钥生成第一验证码,如果所述第一认证码和所述第一验证码匹配,则向所述UE发送第一响应消息;这样N3IWF基于对第一认证码的完整性验证实现N3IWF对UE的安全认证,能够减少现有技术中通过非3GPP进行入网认证的流程步骤,实现UE的快速入网。
在一些可选的方案中,所述方法还包括:
根据所述第一安全密钥生成第二认证码;
将所述第二认证码发送给所述UE,所述第二认证码用于所述UE对所述N3IWF进行安全认证。
通过执行上述步骤,N3IWF利用接收的第一安全密钥生成第二认证码,并发送给UE,以实现UE对N3IWF的安全认证。
在一些可选的方案中,所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括:根据所述AMF指示信息,查找第一AMF;向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息;所述接收所述密钥标识信息对应的所述第一安全密钥具体包括:接收所述第一AMF发送的所述第一安全密钥。
通过执行上述步骤,N3IWF直接向所述AMF指示信息所指示的第一AMF发送第二请求消息,以获取第一安全密钥,完成第一认证码的验证并生成第二认证码,以实现UE和N3IWF的相互认证。
在一些可选的方案中,所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括:
在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;
所述接收所述密钥标识信息对应的所述第一安全密钥具体包括:
接收所述第二AMF发送的所述第一安全密钥;所述第一安全密钥为所述第一AMF根据所述密钥标识信息确定的,或者所述第一安全密钥为所述第二AMF根据接收所述第一AMF发送的第一安全密钥信息生成的,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数。
通过执行上述步骤,N3IWF无法找到所述AMF指示信息所指示的第一AMF,通过向第二AMF发送第三请求消息,以使第二AMF向第一AMF发送第二请求消息,来获取第一安全密钥,完成第一认证码的验证、以及生成第二认证码,最终实现UE和N3IWF的相互认证。
在一些可选的方案中,所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括:
在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;还包括:
接收所述第一AMF通过所述第二AMF发送的重定向指示信息,所述重定向指示信息携带有所述第一AMF的地址信息,所述重定向指示信息用于指示所述N3IWF重新向所述第一AMF发送第二请求消息;
根据所述重定向指示信息,向所述地址信息对应的第一AMF发送所述第二请求消息;
所述接收所述密钥标识信息对应的所述第一安全密钥具体包括:
接收所述第一AMF发送的所述第一安全密钥。
通过执行上述步骤,N3IWF无法找到所述AMF指示信息所指示的第一AMF,通过向第二AMF发送第三请求消息,以使第二AMF向第一AMF发送第二请求消息。在第一AMF接收到第二请求消息后,通过第二AMF向第一AMF发送重定向指示信息,以便N3IWF与第一AMF直接建立通信连接,从第一AMF中获取第一安全密钥,以实现UE和N3IWF的相互认证。
在一些可选的方案中,所述向所述UE发送第一响应消息之后,还包括:
接收所述UE发送的第四请求消息,该第四请求消息承载在因特网安全IPsec协议,所述第四请求消息携带有第三认证码和所述密钥标识信息,所述第三认证码用于第一AMF对所述UE进行安全认证;
向所述第一AMF发送所述第四请求消息,并接收所述第一AMF基于所述第四请求消息返回的第四响应消息,该第四请求消息和该第四响应消息承载在NG2协议上;
向所述UE发送所述第四响应消息,该第四请求消息承载在因特网安全IPsec协议,所述第四响应消息用于指示所述UE注册成功。
通过执行上述步骤,N3IWF接收UE承载在IPsec协议上的第四请求消息,并从中抽取出第四请求消息,再将第四请求消息承载在NG2协议上发送给第一AMF,以完整第一AMF对UE的安全认证。同理,在第一AMF向UE发送第四响应消息时同样需要先承载在IPsec协议上传给N3IWF,在承载在NG2协议最终发送给UE,以实现第一AMF对UE的安全认证。
在一些可选的方案中,所述第一请求消息携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证,则所述方法还包括:所述N3IWF向第一AMF发送第三认证码。
第三方面,本发明实施例提供了一种基于非3GPP网络的入网认证方法,包括:
第一AMF接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;
根据所述密钥标识信息,确定第一安全密钥;
向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥。
本申请方案中第一AMF接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息,然后根据所述密钥标识信息,确定第一安全密钥,最后向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥;这样第一AMF基于N3IWF发送的密钥标识信息来确定出第一安全密钥,并将其发送给N3IWF,以帮助N3IWF完成对UE的安全认证,实现UE快速入网。
在一些可选的方案中,所述第一AMF接收N3IWF发送的第二请求消息具体包括:
接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;
所述向所述N3IWF发送第二响应消息具体包括:
向所述第二AMF发送的第三响应消息,以使所述第二AMF向所述N3IWF发送第二响应消息,所述第二响应消息和所述第三响应消息分别携带有所述第一安全密钥。
通过执行上述步骤,在N3IWF无法查找到与AMF指示信息对应的第一AMF的情况下,第一AMF接收第二AMF发送的用于获取第一安全密钥的第二请求消息。在确定到第一安全密钥后,同样通过第二AMF将查找的第一安全密钥发送给N3IWF,以帮助N3IWF完成对UE的安全认证,实现UE快速入网。
在一些可选的方案中,所述第一AMF接收N3IWF发送的第二请求消息具体包括:
接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;
向所述N3IWF发送第二响应消息之前,还包括:
通过所述第二AMF向所述N3IWF发送重定向指示信息,所述重定向指示信息用于指示所述N3IWF向所述第一AMF发送所述第二请求消息;
接收所述N3IWF基于所述重定向指示信息发送的所述第二请求消息。
通过执行上述步骤,在N3IWF无法查找到与AMF指示信息对应的第一AMF的情况下,第一AMF接收到第二AMF发送的用于获取第一安全密钥的第二请求消息时,可以通过第二AMF向第一AMF发送重定向指示信息,以建立第一AMF与N3IWF直接通信连接,避免第一AMF与N3IWF再次进行消息传输时,需要经过第二AMF,节省UE入网时间,实现UE的快速入网。
在一些可选的方案中,所述向所述N3IWF发送第二响应消息之后,还包括:
接收所述N3IWF发送的第四请求消息,所述第四请求消息携带有第三认证码和密钥标识信息,所述第三认证码用于所述第一AMF对所述UE进行安全认证;
根据所述密钥标识信息,确定NAS完整性密钥;
根据所述NAS完整性密钥生成第三验证码;
如果所述第三验证码和所述第三认证码匹配,则向所述N3IWF发送第四响应消息,所述第四响应消息用于指示所述UE注册成功。
通过执行上述步骤,第一AMF接收UE经过N3IWF发送来的第四请求消息,第四请求消息携带有第三认证码,基于第三认证码的验证来实现第一AMF对UE的安全认证,实现UE安全快速入网。
在一些可选的方案中,所述第二请求消息还携带有第三认证码;所述根据所述密钥标识信息,确定第一安全密钥之前,还包括:
根据所述密钥标识信息,确定NAS完整性密钥;
根据所述NAS完整性密钥生成第三验证码;
如果所述第三验证码和所述第三认证码匹配,则执行所述根据所述密钥标识信息,确定第一安全密钥的步骤。
通过执行上述步骤,如果第一AMF接收的第二请求消息中携带有第三认证码时,第一AMF会对第三认证码进行验证来实现第一AMF对UE的安全认证,减少入网认证流程的步骤,实现UE的安全快速入网。
第四方面,本发明实施例提供了一种基于非3GPP网络的入网认证方法,包括:
第一AMF接收第二AMF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;
根据所述密钥标识信息,确定用于派生第一安全密钥的派生参数;
向所述第二AMF发送第三响应消息,所述第三响应消息携带有所述用于派生第一安全密钥的派生参数,以使所述第二AMF根据接收的所述派生参数生成所述第一安全密钥。
本申请方案中第一AMF接收第二AMF发送的第二请求消息,所述第二请求消息携带有密钥标识信息,根据所述密钥标识信息,确定用于派生第一安全密钥的派生参数,向所述第二AMF发送第三响应消息,所述第三响应消息携带有所述用于派生第一安全密钥的派生参数,以便第二AMF根据派生参数生成第一安全密钥,帮助UE和N3IWF之间完成相互安全认证,实现UE的安全快速入网。
第五方面,本发明实施例提供了一种基于非3GPP网络的入网认证方法,包括:
第二AMF接收N3IWF发送的第三请求消息,所述第三消息携带有UE临时标识和密钥标识信息,所述密钥标识信息用于获取第一安全密钥;
向所述UE临时标识对应的第一AMF发送第二请求消息,所述第二请求消息携带有所述UE临时标识和所述密钥标识信息;
接收所述第一AMF发送的第三响应消息,所述第三响应消息携带有用于派生第一安全密钥的派生参数;
根据所述派生参数生成第一安全密钥;
向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥,所述第一安全密钥用于所述N3IWF对所述UE进行安全认证。
本申请方案中第二AMF接收到N3IWF发送的第三请求消息后,向所述UE临时标识对应的第一AMF发送第二请求消息,所述第二请求消息和第三请求消息中携带有UE临时标识和密钥标识信息,接收所述第一AMF发送的第三响应消息,所述第三响应消息携带有用于派生第一安全密钥的派生参数,根据所述派生参数生成第一安全密钥,向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥,所述第一安全密钥用于所述N3IWF对所述UE进行安全认证;这样第二AMF根据派生参数生成第一安全密钥,帮助UE和N3IWF之间完成相互安全认证,实现UE的安全快速入网。
在一些可选的方案中,所述第二请求消息和所述第三请求消息还分别携带有第三认证码,所述第三认证码用于所述第一AMF对所述UE进行安全认证。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述第一安全密钥为所述UE的安全上下文信息中的NAS完整性密钥。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述第一安全密钥为根据所述UE的安全上下文信中的安全密钥和第一新鲜保护参数派生的密钥。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF,所述AMF指示信息包括UE临时标识,或者根据UE临时标识生成的网络接入标识NAI信息。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述密钥标识信息包括UE临时标识,和/或,所述UE的安全上下文信息中的密钥标识符。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述第三认证码为根据所述UE的安全上下文信息中的NAS完整性密钥(即是所述NAS完整性密钥)和第二新鲜保护参数生成的。
结合第一方面至第五方面中任一方面所述实施例中,在一些可选的方案中,所述第二新鲜保护参数包括以下中的任一项:计数器的计数值、第二随机数。
第六方面,本发明提供一种用户设备,所述用户设备包括用于执行上述第一方面的方法的功能单元。
第七方面,本发明提供一种非3GPP互通网元,所述非3GPP互通网元包括用于执行上述第二方面的方法的功能单元。
第八方面,本发明提供一种接入和移动性管理网元,所述接入和移动性管理网元包括用于执行上述第三方面至第五方面中任意一方面的方法的功能单元。
第九方面,本发明提供一种用户设备,包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行上述第一方面描述的方法。
第十方面,本发明提供一种非3GPP互通网元,包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行上述第二方面描述的方法。
第十一方面,本发明提供一种接入和移动性管理网元,包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行上述第三方面或第四方面或第五方面描述的方法。
第十二方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储了用于基于非3GPP网络的入网认证的程序代码。所述程序代码包括用于执行上述第一方面描述的方法的指令。
第十三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储了用于基于非3GPP网络的入网认证的程序代码。所述程序代码包括用于执行上述第二方面描述的方法的指令。
第十四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储了用于基于非3GPP网络的入网认证的程序代码。所述程序代码包括用于执行上述第三方面至第五方面中任一方面描述的方法的指令。
第十五方面,提供了一种计算机程序产品,该计算机程序产品包括程序指令,当该计算机程序产品被用户设备执行时,该用户设备执行上述第一方面描述的方法。该计算机程序产品可以为一个软件安装包,在需要使用上述第一方面描述的方法的情况下,可以下载该计算机程序产品并在用户设备上执行该计算机程序产品。
第十六方面,提供了一种计算机程序产品,该计算机程序产品包括程序指令,当该计算机程序产品被非3GPP互通网元N3IWF执行时,该N3IWF执行上述第一方面描述的方法。该计算机程序产品可以为一个软件安装包,在需要使用上述第二方面描述的方法的情况下,可以下载该计算机程序产品并在非3GPP互通网元N3IWF上执行该计算机程序产品。
第十七方面,提供了一种计算机程序产品,该计算机程序产品包括程序指令,当该计算机程序产品被接入和移动性管理网元AMF执行时,该AMF执行上述第三方面至第五方面中任一方面所描述的方法。该计算机程序产品可以为一个软件安装包,在需要使用上述第三方面至第五方面中任一方面所描述的方法的情况下,可以下载该计算机程序产品并在接入和移动性管理网元AMF上执行该计算机程序产品。
通过实施本发明实施例,能够减少现有技术中UE上一次成功入网后当前通过non-3GPP进行入网认证的流程步骤,节省入网认证时间,实现UE的快速入网。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1是本发明实施例提供的一种LTE的3GPP网络框架示意图;
图2是本发明实施例提供的一种LTE的non-3GPP网络框架示意图;
图3是本发明实施例提供的一种5G网络框架示意图;
图4-图9是本发明实施例提供的几种基于非3GPP网络的入网认证方法的流程示意图;
图10-图11是本发明实施例提供的两种第一接入和移动性管理网元(第一AMF)对UE进行安全认证方法的流程示意图;
图12-14是本发明实施例提供的几种用户设备UE的结构示意图;
图15-17是本发明实施例提供的几种非3GPP互通网元N3IWF的结构示意图;
图18-20是本发明实施例提供的几种接入和移动性管理网元AMF的结构示意图;
图21是本发明实施例提供的一种基于非3GPP网络的入网认证系统的结构示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例中的技术方案进行详细描述。
请参见图1,图1是本发明实施例提供的一种LTE的3GPP网络框架示意图。该网络框架示意图包括用户设备UE(User Equipment,UE)、UMTS陆地无线接入网(UMTS TerrestrialRadio Access Network,E-UTRAN)、移动管理实体MME(Mobility Management Entity,MME)、归属签约用户服务器HSS(Home Subscriber Server,HSS)、服务网关SGW(ServingGateway)、分组数据网络网关PDN-GW(Packet Data Network Gateway)、策略控制和计费规则功能PCRF(Policy and Charging Rules Function,PCRF)和运营商提供的IP业务,图示为Operator’s IP Service。
应理解的是,E-UTRAN是LTE中的空口接入部分,通常也称为演进的NodeB(EvolvedNodeB,eNodeB),为用户设备UE的接入提供无线资源。移动管理实体MME处于核心网,负责安全、移动性管理和会话管理,功能包括核心网的承载控制,对服务网关SGW和分组数据网络网关PDN-GW选择,鉴权等。服务网关SGW负责UE用户平面数据的传送、转发和路由切换等。分组数据网络网关PDN-GW主要负责与PDN网络进行连接、为用户分配IP地址等。归属签约用户服务器HSS负责存储用户的签约信息和鉴权数据等。策略控制和计费规则功能PCRF实体负责跟进用户的签约信息、网际协议能力接入网络(IP Capability Access Network,IP-CAN)类型、IP-CAN能力等信息产生用于承载建立的策略和计费规则信息。
基于图1所示的3GPP网络框架示意图,UE通过3GPP连接网络,其入网认证流程为UE->E-UTRAN->MME->HSS。UE会发送附着请求给MME,MME会向HSS请求用户的鉴权向量集,之后UE和MME之间进行基于LTE的鉴权和密钥协商EPS-AKA(Evolved packet system-authentication and key agreement,EPS-AKA)认证,最后完成UE和3GPP网络侧之间的安全认证,实现UE接入3GPP网络。
请参见图2,图2是本发明实施例提供的一种LTE的non-3GPP网络框架示意图。该网络框架示意图包括用户设备UE(User Equipment,UE)、可信的非3GPP IP接入网(Untrustednon-3GPP IP Access)、演进的分组数据网络网关(Evolved PDN Gateway,ePDG)、3GPP认证授权计费(3GPP Authentication Authorization Accounting server,3GPP AAA)服务器、归属签约用户服务器HSS(Home Subscriber Server,HSS)、服务网关SGW(ServingGateway)、分组数据网络网关PDN-GW(Packet Data Network Gateway)。
应理解的是,演进的分组数据网络网关ePDG具有3GPP TS 23.234中定义PDN-GW功能的实体,对PDN-GW功能的具体修改或拓展等功能。可信的非3GPP IP接入网Untrustednon-3GPP IP Access,如无线局域网WLAN(Wireless Local Area Network,WLAN),为UE的接入提供无线资源。3GPP AAA服务器负责对UE进行认证授权。关于归属签约用户服务器HSS、服务网关SGW、分组数据网络网关PDN-GW、策略控制和计费规则功能PCRF的相关说明,具体请参见图1实施例的相关阐述,这里不再赘述。
应理解的是,PDN-GW支持通过S2a或S2b接口实现non-3GPP(非3GPP)的接入。其中S2a允许基于代理移动IP(Proxy Mobile Internet Protocol,PMIP)协议和移动IPV4协议(Mobile IPV4,MIPV4)来通过trusted non-3GPP(可信非3GPP)接入,S2b允许基于代理移动IPv6(Proxy Mobile IPv6,PMIPv6)协议来通过Untrusted non-3GPP(不可信非3GPP)接入。
应理解的是,non-3GPP网络可以包括Wi-Fi(Wireless Fidelity,中文:无线保真)、WiMAX(Worldwide Interoperability for Microwave Access,中文:全球微波互联接入)等不属于3GPP制定规范的网络。
同理,基于图2所示non-3GPP网络框架图,UE通过non-3GPP入网过程中,入网认证流程为:UE->ePDG->3GPPAAA服务器->HSS。UE会和ePDG建立安全隧道,ePDG会主动发起可扩展鉴权协议(Extensible Authentication Protocol,EAP)鉴权,3GPP AAA服务器作为EAP服务器参与EAP鉴权流程,鉴权结束后即可完成UE和3GPP网络侧之间的安全认证,实现UE接入3GPP网络。
基于图1和图2所示的网络框架图可知,UE通过LTE的3GPP和通过LTE的non-3GPP入网,其入网认证流程所使用的信令控制面网元没有完全相同,也没有完全不同;其各自入网流程并没有关联性。也即是,UE无法利用3GPP接入的便利性为非3GPP的接入做准备。
为解决上述LTE的3GPP和LTE的non-3GPP入网没有关联性的问题,请参见图3,图3是本发明实施例提供的一种5G网络框架示意图。该网络框架示意图包括用户设备UE(UserEquipment,UE)、接入网网元(Radio Access network,R-AN),图示为(R)AN、非3GPP接入方式(Non-3GPP)、非3GPP互通网元(non-3GPP Interworking Function,N3IWF)、接入和移动性管理网元(Access and Mobility Management Function,AMF)、会话管理网元(SessionManagement Function,SMF)、用户面功能网元(User Plane Function,UPF)和专用网络网元(Dedicated Network,DN)等网元。
应理解的是,(R)AN是指3GPP网元,例如LTE中的eNB,UMTS中的NB。Non-3GPP接入技术是指3GPP以外的接入技术,如wifi。N3IWF类似于LTE中的ePDG,在5G中用于UE通过非3GPP技术接入的时候,和UE建立IPsec隧道的网元。在未来5G定义中,其名字可能会更改。
接入和移动性管理网元AMF负责UE的接入管理和移动性管理,在实际应用中相当于LTE网络框架中移动管理实体MME里的移动性管理MM,并加入了接入管理。
应理解的是,接入和移动性管理网元AMF中还可能合并有安全锚点功能网元(Security Anchor Function,SEAF)和安全上下文管理功能网元(Security ContextManagement Function,SCMF);也即是AMF也具有SEAF和SCMF的功能。安全锚点功能网元(Security Anchor Function,SEAF)也肯能独立于接入和移动性管理网AMF网元是个独立的网元。认证凭证存储和处理功能网元(Authentication Credential Repository andProcessing Function,ARPF)主要负责存储用户的签约信息,如长期密钥。鉴权服务器(Authentication Server Function,AUSF)与ARPF交互,并且终结来自SEAF的鉴权请求。其中,AUSF和ARPF可以理解为LTE网络框架中HSS拆分出来的功能网元。SEAF与AUSF同UE交互,在入网认证流程中接收中间密钥,其可理解为LTE网络框架中MME拆分出来的功能网元。SCMF从SEAF中获取中间密钥进一步派生出其密钥。可选地,ARPF合并到图示中的用户数据管理网元(User Data Management,UDM)中,作为UDM的一部分。可选地,还可将SEAF、SCMF和AMF独立分开,将其作为一个独立的鉴权功能网元(Authentication function,AUF)。
会话管理网元SMF负责会话管理,如用户的会话建立等,也即是移动管理网元MME里的会话管理功能。用户面功能网元UPF是UE用户面的功能网元,主要负责连接外部网络,相当于LTE中的服务网关SGW和PDN网关(PDN-GW)的合体。专用网络网元DN负责为UE提供服务的网络,如一些DN为UE提供上网功能,另一些DN为UE提供短信功能等等。需要说明的是,图示中的一部分功能网元/实体与本申请方案无关,这里将不再详述。
基于图3所示的5G网络架构示意图,5G的non-3GPP入网认证流程为:UE->non-3GPP->N3IWF->AMF;5G的3GPP入网认证流程为:UE->(R)AN->AMF。可知AMF作为5G下3GPP和non-3GPP在信令控制面的一个汇聚功能实体(汇聚网元),其解决了LTE下通过3GPP和non-3GPP入网无关联性的问题。然而,在实际应用中发现UE上次通过3GPP或non-3GPP入网成功后,再次通过3GPP或non-3GPP进行非首次入网时,UE还是需要重新按照3GPP或non-3GPP的入网认证流程,重新完成UE和网络侧之间的相互认证,认证成功后才能成功接入网络。由于3GPP或non-3GPP的入网认证过程比较繁琐,将会消耗较长的鉴权认证时间,UE不能及时成功入网,影响用户体验。
为解决上述UE上次通过3GPP或non-3GPP入网成功后,再通过non-3GPP入网时入网认证时间较长的问题。结合图3所示的5G网络框架示意图,请参见图4,图4是本发明实施例提供的一种基于非3GPP网络的入网认证方法的流程示意图,该方法包括如下实施步骤。
步骤S101、UE向N3IWF发送IKE_SA_INIT请求消息。相应地,所述N3IWF接收所述UE基于所述IKE_SA_INIT请求消息返回的IKE_SA_INIT响应消息。
本申请方案中,UE上一次不论通过3GPP(如2G/3G/4G/5G)还是non-3GPP(如Wi-Fi)成功接入网络后,网络侧会为UE分配有对应的UE临时标识,同时UE还会自己生成对应的安全上下文信息、或者其他信息。也即是UE上一次成功入网后,UE中会存储有上一次入网成功后的保留信息,所述保留信息可以包括有UE临时标识、安全上下文信息或者其他的一些UE或网络侧生成的信息。
应理解的是,UE临时标识为UE接入网络时核心网为UE分配的身份标识,此UE临时标识可以用于RAN或N3IWF寻找对应的AMF信息,正如LTE中的GUTI(Globally UniqueTemporary UE Identity,中文:全球唯一临时UE标识)等等。安全上下文信息可以包括鉴权过程中生成的密钥和后续会继续使用的非接入层(Non-access stratum,NAS)密钥、无线资源控制(Radio Resource Control,RRC)密钥和用户面保护密钥,如Kamf,Knas-int,Knas-enc,Krrc-int,Krrc-enc,Kup-int,Kup-enc等,或者5G中的锚点密钥Kseaf,AMF密钥Kamf,以及保护NAS层,AS层,用户面的加解密密钥和完整性保护密钥。可选地,安全上下文信息还可以包括加密算法、完整性保护算法,或者上一次UE与网络侧协商和生成的其他密钥和其他算法等,本发明实施例不作限定。
需要说明的是,安全上下文信息,会随着新密钥的生成而不断扩充。密钥标识信息可以由网络侧分配,或者也可以由UE临时标识来代表/标识。如果密钥标识信息是UE临时标识时,则通过密钥标识信息获取密钥的过程为:UE和网络侧通过UE临时标识找到安全上下文信息,从安全上下文中获得密钥。如果这个密钥标识信息标识所有密钥或基于密钥标识信息标识的密钥所派生的密钥,则此密钥标识信息也可标识所有新派生的密钥。比如LTE中,KSIasme就标识Kasme和其相关的密钥;再如5G中可能用KSIseaf标识,或KSIamf标识,或KSIseaf+KSAIamf的形式标识。
在UE上一次成功接入网络后,UE再通过non-3GPP(如Wi-Fi)接入网络时,UE与N3IWF之间交互IKE_SA_INIT消息(Internet key exchange initial association,中文:互联网密钥交换初始关联消息)。也即是,UE向N3IWF发送IKE_SA_INIT请求消息(IKE_SA_INIT1消息),所述IKE_SA_INIT请求消息携带有所述UE支持建立的安全通道参数KEi和发起方UE生成的随机数Randi(Random number)。这里的KEi可以是指UE支持建立的一个或多个安全通道的参数。
相应地,N3IWF接收UE发送的IKE_SA_INIT请求消息(假设记为IKE_SA_INIT1消息),通过解析IKE_SA_INIT1消息得到对应的参数信息,如KEi、Randi等。N3IWF从KEi中选取出UE和网络侧协商所要建立的安全通道参数KEr,同时还会生成Randr。进一步地,N3IWF向UE发送的IKE_SA_INIT响应消息(IKE_SA_INIT2消息),所述IKE_SA_INIT响应消息携带有UE与网络侧所需建立的安全通道参数Ker和响应方N3IWF生成的随机数Randr。
应理解的是,IKE_SA_INIT请求消息还可以携带UE临时标识、或其他参数信息;IKE_SA_INIT响应消息还可以携带N3IWF的标识信息(如N3IWF的ID号、N3IWF的IP地址等)、或者其他参数信息等,本发明实施例不作限定。
实际应用中,IKE_SA_INIT请求消息携带的诸如KEi、Randi、UE临时标识等参数信息可以可以放到消息中的V载荷或N载荷中,即Vendor(厂商)载荷或Notification(通知)载荷。同理,IKE_SA_INIT响应消息携带的诸如Ker、Randr等参数信息同样可放到消息中的V载荷或N载荷中,即Vendor(厂商)载荷或Notification(通知)载荷,以进行传输。
步骤S102、所述UE向所述N3IWF发送第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于所述N3IWF获取验证所述第一认证码的第一安全密钥。相应地,所述N3IWF接收所述UE发送的第一请求消息。
在本发明的一个实施例中,所述UE向N3IWF发送第一请求消息之前,还包括:所述UE根据所述UE对应的第一安全密钥生成第一认证码。
在第一种实现方式中,UE利用其内存储的安全上下文信息中的第一安全密钥Ks生成第一认证码AUTH1。这里的第一安全密钥Ks可以是指UE上一次成功入网后,UE存储的安全上下文信息中的Kseaf密钥、Kamf密钥、NAS层保护密钥、用户面完整性保护密钥(也即是NAS完整性保护密钥,也称为NAS完整性密钥)或者其他密钥等安全密钥。举例来说,AUTH1=prf(prf(Ks,“Key Pad for IKEv2”),<InitiatorSignedOctets>)。其中,prf是使用的算法,如哈希256等。Key Pad for IKEv2是作为互联网密钥交换IKEv2协议密钥的填补参数,通常用字符串表示,这里作为生成第一认证码的一个输入参数。<InitiatorSignedOctets>是根据IKE_SA_INIT1消息中的一些参数信息(如KEi)和一些参数信息的衍生参数计算出来,因为计算<InitiatorSignedOctets>属于现有技术,这里不做相关详述。
在第二种实现方式中,UE利用其内存储的安全上下文信息中的安全密钥和第一新鲜保护参数生成该UE对应的第一安全密钥Ks。进一步地,UE根据第一安全密钥生成第一认证码AUTH1。
应理解的是,这里的安全密钥可以是指UE对应安全上下文信息中的Kseaf密钥、Kamf密钥、或者其他密钥信息。这里的第一新鲜保护参数可以是指以下中的任意一项:计数器的计数值(NAS uplink count)、第一随机数、UE临时标识、N3IWF的标识信息、或者其他新鲜保护参数。N3IWF的标识信息用于标识N3IWF的身份信息,例如N3IWF的IP地址、N3IWF的ID号等。
举例来说,第一安全密钥Ks=KDF(Kamf,N3IWF ID),或者Ks=KDF(Kseaf,N3IWFID);AUTH1=prf(prf(Ks,“Key Pad for IKEv2”),<InitiatorSignedOctets>)。其中,KDF是指使用的算法,如哈希256等。关于生成第一安全密钥Ks和生成第一认证码AUTH1中涉及的其他参数信息的说明请参见上述第一种实现方式的相关具体说明,这里不再赘述。
又如,第一安全密钥Ks=KDF(Kamf,NAS uplink Count)、或Ks=KDF(Kseaf,NASuplink Count)、AUTH1=prf(prf(Ks,“Key Pad for IKEv2”),<InitiatorSignedOctets>)。其中,NAS uplink Count表示计数器统计并记录的当前数据。关于生成第一安全密钥Ks和生成第一认证码AUTH1中涉及的其他参数信息的说明请参见上述第一种实现方式的相关具体说明,这里不再赘述。
应理解的是,这里的第一安全密钥Ks可以由安全上下文信息中的安全密钥、第一新鲜保护参数、可选地还可加入其他参数信息(如注册类型指示信息、完整性保护算法等)生成的,本发明实施例不作限定。
应理解的是,密钥标识信息可以包括以下中的任意一项或多项:密钥标识符、密钥ID号、UE临时标识、或者其他的用于标识密钥身份或用于标识UE的安全上下文信息的标识信息。
本申请方案中,UE向N3IWF发送第一请求消息IKE_AUTH_Req(Internet keyexchange authentication request,中文又称为互联网密钥交换认证请求消息)。其中,IKE_AUTH_Req消息携带有第一认证码AUTH1、AMF指示信息和密钥标识信息;第一认证码用于所述N3IWF对所述UE进行安全认证。
相应地,N3IWF接收UE发送的第一请求IKE_AUTH_Req消息,并对IKE_AUTH_Req消息进行解析,获得IKE_AUTH_Req消息中携带的诸如第一认证码AUTH1、密钥标识信息(如UE临时标识和/或密钥标识符)、AMF指示信息等参数信息。接着,N3IWF判断IKE_AUTH_Req中是否存在有第一认证码AUTH1。在N3IWF判断到N3IWF消息携带有第一认证码AUTH1的情况下,决定不发起可扩展鉴权协议(Extensible Authentication Protocol,EAP)鉴权请求。并且由于N3IWF内部没有存储有用于验证第一认证码AUTH1的第一安全密钥Ks,因此需要等待密钥。此时,N3IWF可以利用IKE_AUTH_Req消息携带的AMF指示信息(如UE临时标识或NAI信息),并结合密钥标识信息从与AMF指示信息所指示的第一AMF处获取到用于验证第一认证码AUTH1的第一安全密钥Ks,继续执行步骤S103。
在N3IWF判断到N3IWF消息没有携带有第一认证码AUTH1的情况下,N3IWF将发起EAP鉴权流程,由于EAP鉴权流程属于现有技术,本发明实施例不作具体阐述。
实际应用中,AMF指示信息用于标识UE上一次入网所接入的AMF,其他网络中的设备(例如eNB,NR,ePDG,N3IWF等等)可以通过AMF指示信息找到该AMF。这里的AMF指示信息可以包括UE对应的UE临时标识,或者包括根据UE临时标识生成的网络接入标识(NetworkAccess Identifier,NAI)信息,或者UE上一次注册时收到的AMF标识信息,或者UE通过其他方法获得的AMF标识信息。其中,所述NAI信息是由UE临时标识中的AMF信息部分和3GPP网络的标识信息按照标准中定义的NAI的格式生成。
应理解的是,NAI信息可以包括用户临时标识和3GPP网络地址,或者AMF标识信息和3GPP网络地址,或者其他的用于标识上次UE成功入网后与网络侧核心网元AMF进行相互认证的AMF身份信息。
应理解的是,AMF指示信息和密钥标识信息可以是同一个信息。一个信息既可以是AMF指示信息,也可以是密钥标识信息。例如:AMF指示信息和密钥标识信息均为UE临时标识的情况下,第一请求消息中携带的UE临时信息用于查找并确定与UE临时标识对应的第一AMF,也可以用来查找UE的安全上下信息(也即是安全上下文信息中的相关密钥)。
应理解的是,第一请求消息IKE_AUTH_Req还可以携带有诸如NAI信息、计数器的计数值NAS uplink Count、第一新鲜保护参数或者其他的用于UE入网认证的参数信息。如果是服务请求流程或者注册周期流程,则IKE_AUTH_Req就携带相应流程的NAI信息,计数器的计数值NAS uplink Count或者其他的用于相应流程的参数。
实际应用中,在第一请求消息IKE_AUTH_Req中可以将第一认证码AUTH1放到该消息的Authentication(鉴权)载荷中,将UE临时标识、AMF指示信息、NAI信息等其中任意一个用于身份标识的参数信息放在消息的IDi(Identity initial,中文:发起者身份标识)载荷中,将密钥标识信息(如密钥标识符)等参数信息放到消息的V载荷中。可选地,还可以将UE临时标识、密钥标识信息等参数信息都可以放在消息的V载荷或N载荷中。
或者,在第一请求消息IKE_AUTH_Req中可以将第一认证码AUTH1放在消息的Authentication payload部分;将UE临时标识、密钥标识信息、或者其他参数信息放在消息中的其他部分,如V载荷或N载荷中,本发明实施例不作限定。
此外,在第一请求消息IKE_AUTH_Req中通常可以将计数器的计数值(NAS uplinkCount)携带在消息的V载荷中进行传输。
步骤S103、所述N3IWF根据所述第一安全密钥生成第一验证码。
本申请实施例中,N3IWF根据获取的第一安全密钥Ks生成第一验证码AUTH1’。举例来说,AUTH1’=prf(prf(Ks,“Key Pad for IKEv2”),<ResponserSignedOctets>)。关于AUTH1’的生成过程以及涉及的参数介绍请具体参见上述步骤S102中的相关具体阐述,这里不再赘述。
步骤S104、所述N3IWF判断所述第一认证码与所述第一验证码是否匹配。
步骤S105、所述N3IWF在判断到所述第一认证码与所述第一验证码匹配的情况下,则向所述UE发送第一响应消息,所述入网响应消息携带有第二认证码,所述第二认证码用于所述UE对所述N3IWF进行安全认证。
本申请方案中,N3IWF判断生成的第一验证码AUTH1’和IKE_AUTH_Req携带的第一认证码AUTH1是否相同,若相同,则表示N3IWF对UE的安全认证成功,继续执行步骤S105向UE发送第一响应消息IKE_AUTH_Response(又称为互联网密钥交换认证响应消息)。其中,所述第一响应消息IKE_AUTH_Response携带有第二认证码AUTH2,所述第二认证码AUTH2用于所述UE对所述N3IWF进行认证。
在N3IWF判断到第一验证码AUTH1’和第一认证码AUTH1不相同(不匹配)的情况下,结束流程,或者执行正常的non-3GPP入网认证流程,由于正常的non-3GPP入网认证流程属于现有技术,本发明实施例不再作具体阐述。
应理解的是,IKE_AUTH_Response还可以携带有诸如密钥标识信息、UE临时标识、N3IWF的标识信息、第一新鲜保护参数等等信息,本发明实施例不作限定。
在本发明的一个实施例中,所述N3IWF向所述UE发送第一响应消息之前,还包括:所述N3IWF根据所述第一安全密钥生成第二认证码。
在N3IWF获取到第一安全密钥Ks后,N3IWF可以根据第一安全密钥和发送的生成第二认证码AUTH2。同理,N3IWF可以根据第一安全密钥、可选地还可以加入一些其他参数信息(如IKE_SA_INIT响应消息携带的一些参数或一些参数的衍生参数等)一起来生成第二认证码AUTH2。举例来说,AUTH2=prf(prf(Ks,“Key Pad for IKEv2”),<ResponserSignedOctets>)。其中,<ResponseSignedOctets>是根据IKE_SA_INIT响应消息(假设记为IKE_SA_INIT2消息)中的一些参数信息(如KEr)和一些参数信息的衍生参数计算出来,因为计算<ResponseSignedOctets>属于现有技术,这里不做相关详述。关于生成第二认证码AUTH2过程中涉及的参数信息请具体参见上述步骤S102中的相关具体阐述,这里不再赘述。
步骤S106、相应地,所述UE接收所述N3IWF基于所述第一请求消息返回的第一响应消息,所述第一响应消息携带有第二认证码,所述第二认证码用于所述UE对所述N3IWF进行安全认证。所述UE根据所述UE对应的第一安全密钥生成第二验证码。
本申请方案中,UE接收N3IWF发送的第一响应消息IKE_AUTH_Response,通过消息解析得到IKE_AUTH_Response消息携带的诸如第二认证码AUTH2等参数信息。UE可以根据上述第一安全密钥Ks生成对应的第二验证码AUTH2’。同理,UE可以根据第一安全密钥、可选地还可以加入一些其他参数信息(如IKE_SA_INIT响应消息携带的一些参数或一些参数的衍生参数等)一起来生成第二认证码AUTH2。举例来说,AUTH2’=prf(prf(Ks,“Key Pad forIKEv2”),<ResponserSignedOctets>)。关于生成第二验证码AUTH2’的过程请具体参见上述步骤S105中的相关描述,这里不再赘述。
步骤S107、所述UE判断所述第二认证码与所述第二验证码是否匹配。
本申请方案中,UE判断第二认证码AUTH2与生成的第二验证码AUTH2’是否相同,如果相同,则UE对N3IWF的安全认证成功;否则,结束流程,UE对N3IWF的安全认证失败。可选地,UE还可以通过正常的non-3GPP入网认证流程再次尝试入网,由于正常的non-3GPP入网认证流程属于现有技术,与本发明实施例无关,这里不再详述。
步骤S108、所述UE对所述N3IWF安全认证成功。
应理解的是,执行到步骤S108,此时UE和N3IWF已完成了相互之间的安全认证,同时,UE和网络侧建立的安全通道(如IPsec隧道)也完成。
在本发明的一个实施例中,结合图4所述实施例,其中步骤S102之后,步骤S103之前,还可以包括如下实施步骤。具体可参见图5,图5是本发明实施例提供的又一种基于非3GPP网络的入网认证方法的流程示意图。
步骤S201、在所述N3IWF查找到所述AMF指示信息所指示的第一AMF的情况下,向所述AMF指示信息所指示的第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息。相应地,所述第一AMF接收所述N3IWF发送的所述第二请求消息。
本申请方案中,所述N3IWF向所述AMF指示信息所指示的第一AMF发送第一安全密钥请求消息之前,还包括步骤S200a:所述N3IWF根据所述第一请求消息中的AMF指示信息,确定与所述AMF指示信息所指示的第一AMF。
应理解的是,AMF指示信息可以包括有UE临时标识或NAI信息、或其他的用于指示确定与UE进行双向安全认证的AMF的信息。所述UE临时标识含有所述UE上次成功入网时使用的AMF的信息。所述NAI信息同样可以指示所述UE上次成功入网时使用的AMF的信息。所述N3IWF通过所述第一请求消息IKE_AUTH_Req中IDi内的AMF指示信息(如UE临时标识或NAI信息),来查找并确定与所述AMF指示信息所指示的第一AMF。
举例来说,在LTE中UE的临时标识为GUTI,GUTI中含有MME的身份信息,eNB可以通过这个身份信息找到对应的MME或者LTE中UE会将NAI作为IDi发送给ePDG,ePDG通过NAI的内容查找MME。5G中类似,N3IWF接收的IKE_AUTH_Req中已携带有UE的临时标识或NAI信息,那么N3IWF可以根据这个临时标识或NAI信息,找到相关的AMF,也即是第一AMF。
应理解的是,第二请求消息还可以携带有第一认证码AUTH1、密钥标识符、第一新鲜保护参数,如N3IWF的标识信息,计数器的计数值(NAS Uplink Count)、注册类型指示信息(又称为入网类型指示信息),也即是UE当前通过non-3GPP为首次入网还是非首次入网、或者其他的参数信息,本发明实施例不作限定。
步骤S202、所述第一AMF根据所述密钥标识信息,确定所述UE对应的第一安全密钥。
本申请方案中,由于第一AMF中可能存储有多个UE(与UE临时标识对应)的多个安全上下文信息,每个UE可能对应有一个或多个安全上下文信息。若所述密钥标识信息不包括UE临时标识,则第二请求消息还需要携带有UE临时标识,在第一AMF接收到第二请求消息后,通过消息解析出第二请求消息携带的UE临时标识,可选地还可有密钥标识符等密钥标识信息、或其他参数信息。接着,第一AMF根据第二请求消息携带的UE临时标识从预存的多个UE的多个安全上下文信息中,查找出与所述UE临时标识对应的一个或多个安全上下文信息。接着,第一AMF根据密钥标识信息(假设为密钥标识符)从所述UE临时标识对应的一个或多个安全上下文信息中查找出与密钥标识信息对应的UE的安全上下文信息。
应理解的是,如果第一AMF中为每个UE存储有对应的一个安全上下文信息时,那么此时第一AMF可以直接根据第二请求消息携带的UE临时标识查找到与UE临时标识对应的UE的安全上下文信息。也即是UE上一次成功入网后,UE中存储的安全上下文信息。
进一步地,第一AMF根据查找的UE的安全上下文信息,并结合第二请求消息携带的诸如第一新鲜保护参数(N3IWF的标识信息或NAS uplink count)等参数信息确定出对应的第一安全密钥信息,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数或者直接包括第一安全密钥。
应理解的是,在第一安全密钥信息包括用于派生第一安全密钥的派生参数的情况下,此场景适用于使用Kamf密钥派生第一安全密钥,或者当AMF和SEAF共同部署在一起的时候(此时AMF和SEAF的内部交互忽略,SEAF看做是AMF的一部分)。如果AMF和SEAF没有共同部署,那么AMF查找到UE后,如果要使用Kseaf作为基础密钥衍生第一安全密钥Ks,那么可能需要继续去SEAF处查找相关UE的密钥信息(也即是查找与UE的安全上下文信息),AMF需要提供UE的身份信息(UE临时标识)和其他密钥输入参数给SEAF,如N3IWF的标识信息,或NASuplink count等第一新鲜保护参数。SEAF依据第一新鲜保护参数和基础密钥Kseaf衍生/派生出第一安全密钥Ks,将第一安全密钥Ks发送给第一AMF。
在第一种实现方式中,第一AMF将查找到的UE的安全上下文信息中的NAS完整性密钥或用户面完整性保护密钥直接作为第一安全密钥Ks。
在第二种实现方式中,第一AMF将查找到的UE的安全上下文信息中的安全密钥和第一新鲜保护参数,可选地还可以加入一些其他参数信息确定为用于派生第一安全密钥的派生参数。进一步地,第一AMF依据该安全上下文信息中的安全密钥和第一新鲜保护参数等派生参数生成第一安全密钥Ks。
应理解的是,第一AMF还可以为第一安全密钥Ks生成对应的第一密钥标识信息。所述第一密钥标识信息用于标识第一安全密钥、或者用于标识与第一安全密钥相同类型的某一类密钥,第一安全密钥标识信息可以是特定的字符串、或者几比特的数字等,其生成和具体实现有关,这里不作相关详述。
需要说明的是,关于第一安全密钥的生成过程具体可参见图4实施例中关于第一安全密钥生成的相关具体阐述,这里不再赘述。同理,关于安全密钥、第一新鲜保护参数的相关描述请具体参见图4所述实施例的相关具体描述,这里不再赘述。
步骤S203、所述第一AMF向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥。相应地,所述N3IWF接收所述第一AMF发送的所述第二响应消息,所述第二响应消息携带有所述第一安全密钥。
应理解的是,第二响应消息可以携带有第一安全密钥Ks、可选的还可以携带有与Ks对应的密钥标识信息KSIks、第一AMF的标识信息、安全上下文信息中的安全密钥、N3IWF的标识信息、计数器的计数值(NAS uplink count)、第一新鲜保护参数或者其他的参数信息等,本发明实施例不作限定。
在本发明的又一个实施例中,结合图4所述实施例,其中步骤S102之后,步骤S103之前,还可以包括如下实施步骤。具体可参见图6,图6是本发明实施例提供的又一种基于非3GPP网络的入网认证方法的流程示意图。
步骤S301、在所述N3IWF查找不到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,所述第三请求消息携带有所述密钥标识信息。
本申请方案中,由于网络配置原因,N3IWF可以通信连接的AMF有数目限制或者范围限制,比如运营商可能配置允许N3IWF查找网络边缘的AMF,不允许N3IWF连接网络深处的AMF,因此可能会出现N3IWF不能查找到与所述AMF指示信息所指示的第一AMF的情况。
在本发明的一个实施例中,请参见图7,图7是本发明实施例提供的又一种基于非3GPP网络的入网认证方法的流程示意图,步骤S102之后还包括步骤S200a和步骤S200b。在所述N3IWF无法查找到所述AMF指示信息所指示的第一AMF的情况下,此时可结束流程,或者N3IWF可以向UE发送第一响应失败消息IKE_AUTH_Response(failure)。可选地,UE在接收到N3IWF返回的IKE_AUTH_Response(failure)消息后,可以按照正常的non-3GPP入网认证流程再次进行入网认证。
在本发明的又一个实施例中,在所述N3IWF查找不到所述AMF指示信息所指示的第一AMF的情况下,所述N3IWF向第二AMF发送第三请求消息,以使所述第二AMF向所述AMF指示信息所指示的第一AMF发送第二请求消息。
实际应用中,N3IWF内部维护有预配置可连接的AMF列表,该AMF列表包括有N3IWF支持连接的一个或多个AMF。N3IWF可以从AMF列表中任意选取一个或多个AMF作为第二AMF。或者,N3IWF可以通过域名(Domain Name System,DNS)服务器查找到对应的第二AMF。接着N3IWF可以向第二AMF发送第三请求消息,该第三请求消息可以携带有UE临时标识、密钥标识信息等参数信息。
步骤S302、相应地,所述第二AMF接收所述N3IWF发送的所述第三请求消息,并根据所述第三消息携带的UE临时标识,查找与所述UE临时标识对应的第一AMF。
相应地,第二AMF接收N3IWF发送的第三请求消息。同理若在所述密钥标识信息不包括UE临时信息的情况下,则第三请求消息还需携带有UE临时标识,并通过消息解析获得第三请求消息携带的UE临时标识、密钥标识信息等参数信息,可选地还有其他参数信息。接着,第二AMF判断UE临时标识对应的AMF是否为第二AMF自身;如果不是,那么第二AMF根据UE临时标识含有的AMF的标识信息,查找出与UE临时标识对应的第一AMF。
需要说明的是,关于第一AMF的查找过程具体可参见图5所述实施例的相关具体阐述,这里不再赘述。
应理解的是,在第二AMF无法查找到与UE临时标识对应的第一AMF的情况下,结束流程或通过N3IWF向UE发送第一响应失败消息IKE_AUTH_Response(failure)。同理,UE在接收到N3IWF返回的IKE_AUTH_Response(failure)消息后,可以再次按照正常的non-3GPP入网认证流程进行入网认证,尝试入网。
步骤S303、所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息。相应地,所述第一AMF接收所述第二AMF发送的所述第二请求消息。
本申请方案中,第二AMF可以利用解析第三请求消息所得的如UE临时标识、密钥标识信息、以及其他参数信息、可选地还可以加入一些其他参数信息(如第二AMF的标识信息等)来生成对应的第二请求消息,并将该第二请求消息发送给UE临时标识对应的第一AMF。相应地,第一AMF接收第二AMF发送过来的第二请求消息,该第二请求消息携带有密钥标识信息、UE临时标识等参数信息。
应理解的是,第二请求消息和第三请求消息还可以携带有诸如第一认证码AUTH1、第一新鲜保护参数、第一随机数、N3IWF的标识信息(N3IWF的IP地址或N3IWF的ID号等)、计数器的计数值(NAS_uplink Count Number)、注册类型指示信息(又称为入网类型指示信息),也即是UE当前通过non-3GPP为首次入网还是非首次入网、或者其他的参数信息,本发明实施例不作限定。
步骤S304、所述第一AMF根据所述密钥标识信息,确定所述UE对应的第一安全密钥信息,所述第一安全密钥信息包括第一安全密钥,或者用于派生第一安全密钥的派生参数。
在第一种实现方式中,步骤S304的具体实现方式为步骤S304a:第一AMF根据所述密钥标识信息,确定所述UE对应的第一安全密钥。关于第一安全密钥Ks的确定过程具体可参见图5所述实施例步骤S202的相关具体阐述,这里不再赘述。
在第二种实现方式中,步骤S304的具体实现方式为步骤S304b:第一AMF根据所述密钥标识信息,确定所述UE对应的第一安全密钥信息,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数。关于第一安全密钥信息的确定过程具体可参见图5所述实施例步骤S202的相关具体阐述,这里不再赘述。
应理解的是,在第二请求消息和第三请求消息分别还携带有第一新鲜保护参数(如N3IWF的标识信息、NAS uplink count等)的情况下,所述派生参数包括有UE的安全上下文信息(如安全密钥)、第一新鲜保护参数、可选地还可以包括一些其他的参数信息(如NAS算法)等,本发明实施例不作限定。
需要说明的是,这里的第一安全密钥信息或派生参数可以包括UE的安全上下文信息(诸如UE临时标识、密钥标识信息、安全密钥、安全算法等)、还可以包括N3IWF的标识信息或计数器的计数值(NAS uplink count)等第一新鲜保护参数、或者其他的参数信息,本发明实施例不作限定。
步骤S305、所述第一AMF向所述第二AMF发送第三响应消息,所述第三响应消息携带有所述第一安全密钥信息。相应地,所述第二AMF接收所述第一AMF发送的所述第三响应消息。
本申请方案中,第一AMF利用上述确定的第一安全密钥信息生成对应的第三响应消息,该第三响应消息携带有第一安全密钥信息。第一AMF可以将第三响应消息发送给第二AMF。相应地,第二AMF接收第一AMF发送过来的第三响应消息。
步骤S306、所述第二AMF向所述N3IWF发送第二响应消息,所述第二响应消息携带有第一安全密钥。相应地,所述N3IWF接收所述第二AMF发送的所述第二响应消息。
实际应用中,结合步骤S304的第一种实现方式步骤S304a,在所述第一安全密钥信息包括第一安全密钥的情况下,第二AMF可以直接将接收的第一AMF发送的第三响应消息,作为第二响应消息转发(发送)给N3IWF。或者,第二AMF可以根据接收的第三响应消息中携带的第一安全密钥Ks,可选地还可以加入一些其他参数信息(如第二AMF的标识信息等)一起来生成第二响应消息,然后将第二响应消息发送给N3IWF。相应地,N3IWF接收第二AMF发送的第二响应消息,该第二响应消息至少携带有第一安全密钥。
实际应用中,结合步骤S304的第二种实现方式步骤S304b,在所述第一安全密钥信息包括用于派生第一安全密钥的派生参数的情况下,所述第二AMF向所述N3IWF发送第二响应消息之前,还包括步骤S306’:所述第二AMF根据所述派生参数生成对应的第一安全密钥Ks。关于第一安全密钥Ks的确定过程具体可参见图5所述实施例步骤S202的相关具体阐述,这里不再赘述。
在第二AMF生成第一安全密钥Ks后,第二AMF可以利用生成的第一安全密钥Ks,可选地还可以加入一些其他参数信息(如安全上下文信息中的参数、第一新鲜保护参数等)一起生成对应的第二响应消息,并将第二响应消息发送给N3IWF。相应地,N3IWF接收第二AMF发送的第二响应消息,该第二响应消息至少携带有第一安全密钥,可选地还可以携带有其他参数信息。具体可参见图8,图8是本发明实施例提供的又一种基于非3GPP网络的入网认证方法的流程示意图。
需要说明的是,关于第二响应消息的相关说明具体可参见图5所述实施例步骤S203的相关具体阐述,这里不再赘述。
在本发明的又一个实施例中,结合图4所述实施例,其中步骤S102之后,步骤S103之前,还可以包括如下实施步骤。具体可参见图9,图9是本发明实施例提供的又一种基于非3GPP网络的入网认证方法的流程示意图。
步骤S401、在所述N3IWF查找不到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,所述第三请求消息携带有所述密钥标识信息。
步骤S402、相应地,所述第二AMF接收所述N3IWF发送的所述第三请求消息,并根据所述第三消息携带的UE临时标识,查找与所述UE临时标识的第一AMF。
步骤S403、所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息。相应地,所述第一AMF接收所述第二AMF发送的所述第二请求消息。
需要说明的是,关于步骤S401-步骤S403的具体实施方式请具体参见图6所述实施例步骤S301-步骤S303的相关具体阐述,这里不再赘述。
步骤S404、所述第一AMF通过所述第二AMF向所述N3IWF发送重定向指示信息,所述重定向指示信息携带有所述第一AMF的地址信息,所述重定向指示信息用于指示所述N3IWF重新向所述第一核心网网元发送第二请求消息。
步骤S405、相应地,所述N3IWF接收所述第二AMF转发所述第一AMF发送的所述重定向指示信息。所述N3IWF根据所述重定向指示信息,向所述第一AMF发送所述第二请求消息,所述第二请求消息携带有所述密钥标识信息。
本申请方案中,在第一AMF接收到第二AMF发送的第二请求消息时,第一AMF可以通过第二AMF向N3IWF发送重定向指示信息Identification Response,该重定向指示信息Identification Response用于指N3IWF重新与第一AMF建立通信连接,以重传第二请求消息。相应地,N3IWF接收第一AMF通过第二AMF转发的重定向指示信息IdentificationResponse,根据Identification Response的指示,重新将第二请求消息发送给第一AMF。
步骤S406、相应地,所述第一AMF接收所述N3IWF发送的所述第二请求消息。所述第一AMF根据所述密钥标识信息,确定所述UE对应的第一安全密钥。
应理解的是,步骤S406中所述第一AMF根据所述UE临时标识和所述密钥标识信息,确定所述UE对应的第一安全密钥还可以在步骤S403之后执行,也可以在步骤S405所述第一AMF接收到所述N3IWF发送的所述第二请求消息之后执行,本发明实施例不作限定。
步骤S407、所述第一AMF向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥。相应地,所述N3IWF接收所述第一AMF发送的所述第二响应消息,所述第二响应消息携带有所述第一安全密钥。
需要说明的是,关于第一安全密钥和第二响应消息的介绍具体可参见图5所述实施例的相关具体阐述,这里不再赘述。
在本发明的又一个实施例中,结合图4-图9所述实施例,其中步骤S108之后,还可以包括如下实施步骤。具体可参见图10,图10是本发明实施例提供的一种第一AMF对UE进行安全认证方法的流程示意图。
步骤S501、所述UE向所述NSIWF发送第四请求消息,该第四请求消息承载在因特网安全IPsec(Internet Protocol Security,IPsec)协议,所述第四请求消息携带有第三认证码和密钥标识信息,所述第三认证码用于所述第一AMF对所述UE进行安全认证。相应地,所述NSIWF接收所述UE发送的第四请求消息。
本申请方案中,UE在安全通道(如IPsec隧道)中向NSIWF发送第四请求消息,以实现所述第一AMF对所述UE的安全认证。这里的第四请求消息属于NAS消息,承载在IPsec协议上进行传输。
应理解的是,这里的第四请求消息可以是注册请求消息Registration request、服务请求Service Request消息、服务区更新(Tracking area update,TAU)请求消息、或者其他流程的请求消息等,本发明实施例不作限定。
示例地如,如果这里的第四请求消息为注册请求消息,那么注册请求消息可以包括有注册参数Registration parameters,该注册参数可以包括诸如UE临时标识、密钥标识信息、注册类型指示信息RT、第二新鲜保护参数或者其他的参数信息,同时该注册请求消息还携带有第三认证码MAC、或其他参数信息,本发明实施例不作限定。实际应用中,注册参数可以放在消息的V载荷或N载荷中。
同理,如果第四请求消息为其他流程,包括但不限于注册请求Registrationrequest流程,其区别仅在于第四请求消息中携带的是其他流程的参数,如ServiceRequest parameters,TAU parameters。
应理解的是,在其他流程的第四请求消息中已经包含有第三认证码和其他流程参数,而在注册请求流程中注册请求消息只包含有注册参数,并不包含第三认证码。因此,在第四请求消息为注册请求消息的情况下,第四请求消息除了包含有注册请求消息的注册参数之外,还需要包含/携带第三认证码。
本发明的一个实施例中,所述UE向所述AMF指示信息所指示的第一AMF发送第四请求消息之前,还包括:所述UE根据所述UE的安全上下文信息中的NAS完整性密钥生成第三认证码。
实际应用中,UE可以利用UE临时标识、密钥标识信息、注册类型指示消息、可选地还可以加入一些其他参数性(如第二新鲜保护参数、UE存储的安全上下文信息等)来生成第四请求消息(如注册请求消息Registration request)。接着UE可以利用安全上下文信息中的第二安全密钥(如NAS完整性密钥、加密密钥等)对第四请求消息(如注册请求消息Registration request)进行保护,生成并计算出第三认证码MAC。也即是,UE可以根据UE上一次成功入网后其内存储的安全上下文信息,如UE临时标识、密钥标识信息、第二安全密钥Kq和安全算法f1等,并结合当前UE通过non-3GPP入网的注册类型指示信息RI(入网类型指示信息,首次入网或非首次入网),可选地还可加入一些其他参数信息(如第二新鲜保护参数等)来生成第三认证码MAC(Message authentication code,又称为消息鉴权码)。举例来说,MAC=EIA1(NAS完整性密钥,第二新鲜性保护参数(如,NAS uplink count),UE和AMF共有的不被第三方知道的参数(如GUTI,或registration type,或者后续被新定义的参数,比如接入方式指示符))。又如,LTE中的生成方法,MAC=EIA1(NAS完整性密钥,Registrationrequest消息(含有第三认证码AMC),计数器的计数值(NAS uplink count),消息方向,承载信息)。再如,MAC=EIA1(NAS完整性保护密钥,注册参数)。其中,EIA是指EPS网络使用的完整性保护算法(EPS Integrity Algorithm),如EIA0,EIA1,EIA2,EIA3等,消息方向是指Registration request消息为上行消息还是下行消息,通常可以用特定字符串表示,如“0”表示下行消息,“1”表示上行消息。承载消息是指消息的传输管道,也即是在哪个管道中传输。注册参数是指在所述第一请求消息中携带在V载荷或N载荷中的注册参数。
应理解的是,这里的安全上下文信息包括第二安全密钥Kq和安全算法,第二安全密钥可以是指安全上下文信息的NAS完整性密钥、加密密钥、NAS密钥等等,安全算法可以是安全上下文信息的完整性保护算法、加密算法、NAS算法,或者其他的算法,本发明实施例不作限定。
应理解的是,这里的第二新鲜保护参数可以包括第二随机数、计数器的计数值(NAS uplink count)等参数信息,上述的第一新鲜保护参数和第二新鲜保护参数可以是指相同的参数,也可以是指不同的参数,本发明实施例不作限定。
步骤S502、所述N3IWF向所述第一AMF发送所述第四请求消息,该第四请求消息承载在NG2协议上。相应地,所述第一AMF接收所述N3IWF发送的所述第四请求消息。
本申请方案中,N3IWF接收到UE承载在IPsec协议上发送过来的第四请求消息(NAS消息)后,N3IWF可以从中抽取出该第四请求消息。进一步地,N3IWF将第四请求消息承载在NG2(Next Generation interface Number 2)协议上,将其发送给第一AMF。相应地,第一AMF接收N3IWF承载在NG2协议上发送过来的第四请求消息。
应理解的是,NG2为一个接口,用于连接N3IWF和AMF,使N3IWF和AMF进行相互通信。
步骤S503、所述第一AMF根据所述密钥标识信息确定所述UE的安全上下文信息中的NAS完整性密钥。
本申请方案中,第一AMF接收N3IWF发送的第四请求消息,通过消息解析获知第四请求消息中携带的诸如第三认证码MAC、UE临时标识、密钥标识信息、注册类型指示信息RT、第二新鲜保护参数等参数信息。第一AMF可以根据UE临时标识和密钥标识信息,查找出所述UE的安全上下文信息。关于安全上下文信息的查找过程可参见上述图5步骤S202实施例中的相关具体阐述,这里不再赘述。
步骤S504、所述第一AMF根据所述UE的安全上下文信息中的NAS完整性密钥生成第三验证码。
本申请方案中,第一AMF根据所述UE临时标识、所述密钥标识信息、所述第二安全密钥Kq(如NAS完整性密钥)、所述安全算法f1、所述注册类型指示信息RT、第二新鲜保护参数、可选地还可加入一些其他参数信息来生成第三验证码MAC’。
实际应用中,第一AMF利用上述解析第四请求消息所得的如UE临时标识、密钥标识信息、注册类型指示信息RT、第二新鲜保护参数等必要参数信息,生成与UE或N3IWF发送来的第四请求消息相同的第四请求消息(如注册请求消息Registration request)。然后,第一AMF利用安全上下文信息中的第二安全密钥(如NAS完整性密钥等)对生成的第四请求消息(如Registration request)进行保护,同样会生成并计算出第三验证码MAC’。举例来说,MAC’=EIA1(NAS完整性密钥,第二新鲜性保护参数(如,NAS uplink count),UE和AMF共有的不被第三方知道的参数(如GUTI,或注册类型指示信息registration type,或者后续被新定义的参数,比如接入方式指示符))。又如,LTE中的生成方法,MAC’=EIA1(NAS完整性密钥,Registration request消息(含有第三认证码AMC),计数器的计数值(NAS uplinkcount),消息方向,承载信息)。关于MAC’生成过程所涉及的参数信息具体可参见步骤S501中的相关具体阐述,这里不再赘述。
步骤S505、所述第一AMF判断所述第三验证码和所述第三认证码是否匹配。
步骤S506、在判断到所述第三验证码和所述第三认证码匹配,则向所述N3IWF发送第四响应消息,该第四响应消息承载在NG2协议上,所述第四响应消息用于指示所述UE注册成功。
步骤S507、相应地,所述N3IWF接收所述第一AMF发送的所述第四响应消息。所述N3IWF向所述UE发送所述第四响应消息,该第四响应消息承载在IPsec协议上,所述第四响应消息用于指示所述UE注册成功。
本申请方案中,第一AMF判断第三认证码MAC与生成的第三验证码MAC’是否相同,如果相同,则在安全通道上向NI3WF发送第四响应消息(如Registration response),所述第四响应消息用于指示UE注册成功,第一AMF对UE的安全认证成功;否则,结束流程或者向UE发送第四响应失败消息(如Registration response failure),所述第四响应失败消息用于指示第一AMF对UE的安全认证失败,UE注册失败。这里的第四响应消息或第四响应失败消息需要承载在NG2协议上,进行传输。
同理,N3IWF接收第一AMF发送的第四响应消息或第四响应失败消息,并将该第四响应消息或第四响应失败消息承载在NG2协议上发送给UE,以告知UE是否注册成功。
通过实施本发明实施例,能够利用UE上次入网成功后存储的安全上下文信息来完成当前UE通过非3GPP的入网认证,减少现有技术中通过非3GPP进行入网认证的流程步骤,实现UE的快速入网。
在本发明的又一个实施例中,结合图4-图9所述实施例,在所述第一请求消息和所述第二请求消息中分别还携带有第三认证码的情况下,步骤S202或S304或S406所述第一AMF根据所述所述密钥标识信息,确定所述UE对应的第一安全密钥或第一安全密钥信息之前,还包括如下实施步骤。具体可参见图11,图11是本发明实施例提供的又一种第一AMF对UE进行安全认证方法的流程示意图。
步骤S601、所述第一AMF根据所述密钥标识信息,确定所述UE的安全上下文信息。
本申请方案中,在所述第一请求消息(IKE_AUTH_Req)和所述第二请求消息中分别还携带有第三认证码(MAC)的情况下,步骤S102所述UE向所述N3IWF发送第一请求消息之前,还包括:所述UE根据所述UE的安全上下文信息中的NAS完整性密钥生成第三认证码。
应理解的是,同理参见图10所述实施例关于第三认证码的生成过程,UE首先可以利用UE临时标识、密钥标识信息,可选地还可加入一些其他参数信息(如UE存储的安全上下文信息、第二新鲜保护参数、注册类型指示消息等)来生成注册请求消息Registrationrequest。然后利用安全上下文信息中的第二安全密钥(如NAS完整性密钥等)对注册请求消息Registration request进行保护,生成并计算出第三认证码MAC。也可以UE不生成具体的Registration request消息,而是用第二请求消息中携带的N3IWF使用的用于生成Registration request的Registration parameter作为生成第三认证码MAC的输入。如果UE发其他流程,如服务请求(Service Request)流程、类似于LTE的服务区更新(Trackingarea update,TAU)流程,则第二消息中携带相应流程的参数,用于N3IWF生成相应的消息。如携带service request parameter,或TAU parameter.如果UE构造了完整的Registration Request消息,再生成MAC。则要求N3IWF要构造出和UE生成的完全相同的Registration Request消息,再发送给第一AMF。这个要求也同样适用于其他流程,如service request或TAU流程。关于第三认证码的生成过程具体可参见图10所述实施例的相关具体阐述,这里不再赘述。
步骤S602、所述第一AMF根据所述UE的安全上下文信息中的NAS完整性密钥生成第三验证码。
步骤S603、所述第一AMF判断所述第三验证码和所述第三认证码是否匹配。
步骤S604、所述第一AMF在判断到所述第三验证码和所述第三认证码匹配的情况下,则所述第一AMF对所述UE安全认证成功。
本申请方案中,在第一AMF确定到第三验证码MAC’和第三认证码MAC匹配的情况下,则表示第一AMF对所述UE安全认证成功,可以对应继续执行上述实施例中步骤S202、或步骤S304、或步骤S406以及之后的相关流程步骤。
应理解的是,N3IWF向第一AMF发送的第二请求消息中携带有第三认证码MAC,可选地还可以携带有UE临时标识、密钥标识符(或密钥标识信息)、注册类型指示信息RT、第二新鲜保护参数或者其他参数信息,本发明实施例不作限定。
应理解的是,结合图10所述实施例,这里的第二请求消息包括注册请求消息Registration request和第三认证码MAC。关于上述步骤S601-步骤S603可参见上述图10所述实施例中步骤S501-步骤S505的相关具体阐述,这里不再赘述。
结合图10所述实施例,本申请实施例中第一请求消息携带有注册参数,该注册参数包括有密钥标识信息、UE的临时标识和第三认证码(MAC)等参数信息,第二请求消息是由注册请求消息Registration request和密钥请求消息构成,所述密钥请求消息用于获取验证第一认证码AUTH1的第一安全密钥,所述注册请求消息是N3IWF用第一请求消息中的注册参数生成的,并且注册请求消息(或注册参数)包含在第一请求消息中。
需要说明的是,本发明实施例中涉及的UE临时标识、密钥标识信息、NAI信息、注册类型指示消息、第二新鲜保护参数、计数器的计数值(NAS uplink Count)等参数信息可以放在对应消息的V载荷或N载荷中,以进行传输;本发明实施例涉及的第一认证码AUTH1、第一验证码AUTH1’、第二认证码AUTH2以及第二验证码AUTH2’等参数信息可以放在对应消息的Authentication鉴权载荷中。
通过实施本发明实施例,能够利用UE上次入网成功后安全上下文信息来完成当前UE通过非3GPP的入网认证,减少现有技术中通过非3GPP进行入网认证的流程步骤,实现UE的快速入网。
基于同一发明构思,请参见图12,图12是本发明实施例提供的一种用户设备的结构示意图。如图12,该用户设备12包括收发器501、存储器502和处理器503(处理器503的数量可以一个或多个,图12中以一个处理器为例),在本发明的一些实施例中,收发器501、存储器502和处理器503可通过总线或者其它方式连接,其中,图12中以通过总线连接为例。所述处理器503调用所述存储器502中的基于非3GPP网络的入网认证程序,用于执行如下操作:
获取上一次成功入网后,所述UE的保留信息;
根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥;
根据所述第一安全密钥生成第一认证码;
通过所述收发器向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;
通过所述收发器接收所述N3IWF基于所述第一请求消息返回的第一响应消息。
在一些可选的方案中,所述第一响应消息携带有第二认证码,所述第二认证码为所述N3IWF根据所述第一安全密钥生成的;所述处理器还用于:根据所述第一安全密钥生成第二验证码;如果所述第二验证码与所述第二认证码匹配,则所述UE对所述N3IWF安全认证成功。
在一些可选的方案中,所述UE的保留信息包括安全上下文信息,所述第一安全密钥为所述安全上下文信息中的NAS完整性密钥。
在一些可选的方案中,所述UE的保留信息包括安全上下文信息,所述第一安全密钥为根据所述安全上下文信中的安全密钥和第一新鲜保护参数派生的密钥。
在一些可选的方案中,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
在一些可选的方案中,所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF,所述AMF指示信息包括UE临时标识,或者根据UE临时标识生成的网络接入标识NAI信息。
在一些可选的方案中,所述密钥标识信息包括UE临时标识,和/或,所述UE的安全上下文信息中的密钥标识符。
在一些可选的方案中,所述UE对所述N3IWF安全认证成功之后,所述处理器还用于:通过所述收发器向所述N3IWF发送第四请求消息,所述第四请求消息承载在因特网安全IPsec协议,所述第四请求消息携带有第三认证码和所述密钥标识信息,所述第三认证码用于所述AMF指示信息所指示的第一AMF对所述UE进行安全认证;通过所述收发器接收所述N3IWF发送的第四响应消息,所述第四响应消息承载在因特网安全IPsec协议,所述第四响应消息用于指示所述UE注册成功。
在一些可选的方案中,所述第一请求消息还携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证。
在一些可选的方案中,所述处理器还用于:根据所述UE的保留信息,确定NAS完整性密钥;根据所述NAS完整性密钥生成第三认证码,其中所述密钥标识信息还用于获取所述NAS完整性密钥。
在采用集成的单元的情况下,图13示出了上述实施例中所涉及的用户设备的一种可能的结构示意图。用户设备12包括:获取单元120、确定单元121、生成单元122、发送单元123和接收单元124。其中上述获取单元120、确定单元121、生成单元122、发送单元123和接收单元124分别用于执行文本所描述的相关步骤,例如所述获取单元120用于获取上一次成功入网后,所述UE的保留信息;所述确定单元121用于根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥;所述生成单元122用于根据所述第一安全密钥生成第一认证码;所述发送单元123用于向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;所述接收单元124用于接收所述N3IWF基于所述第一请求消息返回的第一响应消息等。可选地根据结构本身还可以增加其他功能单元。
请参见图14,图14示出了上述实施例中所涉及的用户设备(UE)的另一种可能的结构示意图。该用户设备12包括通信单元1201,处理单元1202,存储单元1203。该通信单元1201用于支持用户设备与上述实施例中的3GPP网络接入网或non-3GPP网络接入网,WLAN接入点之间收发信息。处理单元1202还执行图4至图11中涉及用户设备的处理过程和/或用于本申请所描述的技术的其他过程。作为示例,处理单元1202用于支持用户设备执行图4中的过程S102、S106-S108,和/或用于本文所描述的技术的其他过程。存储单元1203用于存储用户设备的程序代码和数据。
需要说明的是,本发明实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。本发明实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。例如,上述实施例中,接收单元和发送单元可以是同一个单元,也不同的单元。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
需要说明的是,图12-图14所示的用户设备的具体实现还可以对应参照图4-图11所述方法实施例的相应描述,此处不再赘述。
请参见图15,图15是本发明实施例提供的一种非3GPP互通网元的结构示意图。如图15,该非3GPP互通网元14包括收发器601、存储器602和处理器603(处理器603的数量可以一个或多个,图14中以一个处理器为例),在本发明的一些实施例中,收发器601、存储器602和处理器603可通过总线或者其它方式连接,其中,图15中以通过总线连接为例。所述处理器603调用所述存储器602中的基于非3GPP网络的入网认证程序,用于执行如下操作:
通过所述收发器接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息;
通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的所述第一安全密钥;
根据所述第一安全密钥生成第一验证码;
如果所述第一认证码和所述第一验证码匹配,则通过所述收发器向所述UE发送第一响应消息。
在一些可选的方案中,所述处理器还用于:根据所述第一安全密钥生成第二认证码;通过所述收发器将所述第二认证码发送给所述UE,所述第二认证码用于所述UE对所述N3IWF进行安全认证。
在一些可选的方案中,所述处理器通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体为:根据所述AMF指示信息,查找第一AMF;向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息;所述处理器通过所述收发器接收所述密钥标识信息对应的所述第一安全密钥具体为:通过所述收发器接收所述第一AMF发送的所述第一安全密钥。
在一些可选的方案中,所述处理器通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体为:
在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;所述处理器通过所述收发器接收所述密钥标识信息对应的所述第一安全密钥具体为:通过所述收发器接收所述第二AMF发送的所述第一安全密钥;所述第一安全密钥为所述第一AMF根据所述密钥标识信息确定的,或者所述第一安全密钥为所述第二AMF根据接收所述第一AMF发送的第一安全密钥信息生成的,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数。
在一些可选的方案中,所述处理器通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体为:在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;所述处理器还用于:
通过所述收发器接收所述第一AMF通过所述第二AMF发送的重定向指示信息,所述重定向指示信息携带有所述第一AMF的地址信息,所述重定向指示信息用于指示所述N3IWF重新向所述第一AMF发送第二请求消息;根据所述重定向指示信息,向所述地址信息对应的第一AMF发送所述第二请求消息;所述处理器通过所述收发器接收所述密钥标识信息对应的所述第一安全密钥具体包括:通过所述收发器接收所述第一AMF发送的所述第一安全密钥。
在一些可选的方案中,所述处理器通过所述收发器向所述UE发送第一响应消息之后,所述处理器还用于:通过所述收发器接收所述UE发送的第四请求消息,该第四请求消息承载在因特网安全IPsec协议,所述第四请求消息携带有第三认证码和所述密钥标识信息,所述第三认证码用于第一AMF对所述UE进行安全认证;通过所述收发器向所述第一AMF发送所述第四请求消息,并接收所述第一AMF基于所述第四请求消息返回的第四响应消息,该第四请求消息和该第四响应消息承载在NG2协议上;通过所述收发器向所述UE发送所述第四响应消息,该第四请求消息承载在因特网安全IPsec协议,所述第四响应消息用于指示所述UE注册成功。
在一些可选的方案中,所述第一请求消息还携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证;所述处理器还用于:通过所述收发器向第一AMF发送第三认证码。
在一些可选的方案中,所述密钥标识信息用于标识所述UE的安全上下文信息,所述第一安全密钥为所述安全上下文信息中的NAS完整性密钥。
在一些可选的方案中,所述密钥标识信息用于标识所述UE的安全上下文信息,所述第二请求消息还携带有第一新鲜保护参数;所述第一安全密钥为根据所述安全上下文信息中的安全密钥和第一新鲜保护参数派生的密钥。
在一些可选的方案中,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
在一些可选的方案中,所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF,所述AMF指示信息包括UE临时标识、或者根据UE临时标识生成的NAI信息。
在一些可选的方案中,所述密钥标识信息包括所述UE临时标识和/或所述UE的安全上下文信息中的密钥标识符。
在采用集成的单元的情况下,图16示出了上述实施例中所涉及的非3GPP互通网元的一种可能的结构示意图。非3GPP互通网元14包括:接收单元130、发送单元131、生成单元132。其中上述接收单元130、发送单元131、生成单元132分别用于执行文本所描述的相关步骤,例如所述接收单元130用于接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息;所述发送单元131用于向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的所述第一安全密钥;所述生成单元132用于根据所述第一安全密钥生成第一验证码;所述发送单元131还用于如果所述第一认证码和所述第一验证码匹配,则通过所述收发器向所述UE发送第一响应消息等等,可选地根据结构本身还可以增加其他功能单元。
请参见图17,图17示出了上述实施例中所涉及的非3GPP互通网元(N3IWF)的另一种可能的结构示意图。该非3GPP互通网元14包括通信单元1401,处理单元1402,存储单元1403。该通信单元1401用于支持非3GPP互通网元与上述实施例中的用户设备和non-3GPP网络接入网中核心网网元(如AMF),WLAN接入点之间收发信息。处理单元1402还执行图4至图11中涉及用户设备的处理过程和/或用于本申请所描述的技术的其他过程。作为示例,处理单元1402用于支持非3GPP互通网元执行图4中的过程S103-S105,和/或用于本文所描述的技术的其他过程。存储单元1403用于存储非3GPP互通网元的程序代码和数据。
需要说明的是,本发明实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。本发明实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。例如,上述实施例中,接收单元和发送单元可以是同一个单元,也不同的单元。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
需要说明的是,图16-图17所示的非3GPP互通网元的具体实现还可以对应参照图4-图11所述方法实施例的相应描述,此处不再赘述。
请参见图18,图18是本发明实施例提供的一种接入和移动性管理网元的结构示意图。如图18,该接入和移动性管理网元16包括收发器701、存储器702和处理器703(处理器703的数量可以一个或多个,图16中以一个处理器为例),在本发明的一些实施例中,收发器701、存储器702和处理器703可通过总线或者其它方式连接,其中,图18中以通过总线连接为例。所述处理器703调用所述存储器702中的基于非3GPP网络的入网认证程序,用于执行如下操作:
通过所述收发器接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;
根据所述密钥标识信息,确定第一安全密钥;
通过所述收发器向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥。
在一些可选的方案中,所述处理器通过所述收发器接收N3IWF发送的第二请求消息具体为:通过所述收发器接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;所述处理器通过所述收发器向所述N3IWF发送第二响应消息具体为:向所述第二AMF发送的第三响应消息,以使所述第二AMF向所述N3IWF发送第二响应消息,所述第二响应消息和所述第三响应消息分别携带有所述第一安全密钥。
在一些可选的方案中,所述处理器通过所述收发器接收N3IWF发送的第二请求消息具体为:通过所述收发器接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;所述处理器通过所述收发器向所述N3IWF发送第二响应消息之前,所述处理器还用于:通过所述收发器通过所述第二AMF向所述N3IWF发送重定向指示信息,所述重定向指示信息用于指示所述N3IWF向所述第一AMF发送所述第二请求消息;通过所述收发器接收所述N3IWF基于所述重定向指示信息发送的所述第二请求消息。
在一些可选的方案中,所述密钥标识信息用于标识所述UE的安全上下文信息,所述第一安全密钥为所述安全上下文信息中的NAS完整性密钥。
在一些可选的方案中,所述密钥标识信息用于标识所述UE的安全上下文信息,所述第二请求消息还携带有第一新鲜保护参数;所述第一安全密钥为根据所述安全上下文信息中的安全密钥和第一新鲜保护参数。
在一些可选的方案中,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
在一些可选的方案中,所述处理器通过所述收发器向所述N3IWF发送第二响应消息之后,所述处理器还用于:通过所述收发器接收所述N3IWF发送的第四请求消息,所述第四请求消息携带有第三认证码和密钥标识信息,所述第三认证码用于所述第一AMF对所述UE进行安全认证;根据所述密钥标识信息,确定NAS完整性密钥;根据所述NAS完整性密钥生成第三验证码;
如果所述第三验证码和所述第三认证码匹配,则通过所述收发器向所述N3IWF发送第四响应消息,所述第四响应消息用于指示所述UE注册成功。
在一些可选的方案中,所述第二请求消息还携带有第三认证码;所述根据所述密钥标识信息,确定第一安全密钥之前,所述处理器还用于:根据所述密钥标识信息,确定NAS完整性密钥;根据所述NAS完整性密钥生成第三验证码;如果所述第三验证码和所述第三认证码匹配,则执行所述根据所述密钥标识信息,确定第一安全密钥的步骤。
在采用集成的单元的情况下,图19示出了上述实施例中所涉及的接入和移动性管理网元的一种可能的结构示意图。接入和移动性管理网元16包括:接收单元140、确定单元141和发送单元132。其中上述接收单元140、确定单元141和发送单元132分别用于执行文本所描述的相关步骤,例如接收单元140用于接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;确定单元141用于根据所述密钥标识信息,确定第一安全密钥;发送单元132用于向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥等等。可选地根据结构本身还可以增加其他功能单元。
请参见图20,图20示出了上述实施例中所涉及的接入和移动性管理网元(AMF)的另一种可能的结构示意图。该接入和移动性管理网元16包括通信单元1601,处理单元1602,存储单元1603。该通信单元1601用于支持接入和移动性管理网元与上述实施例中的用户设备,non-3GPP网络接入网中的一些功能网元(如N3IWF)之间收发信息。处理单元1602还执行图4至图11中涉及用户设备的处理过程和/或用于本申请所描述的技术的其他过程。作为示例,处理单元1602用于支持非3GPP互通网元执行图5中的过程S202、S203,和/或用于本文所描述的技术的其他过程。存储单元1603用于存储接入和移动性管理网元的程序代码和数据。
需要说明的是,本发明实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。本发明实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。例如,上述实施例中,接收单元和发送单元可以是同一个单元,也不同的单元。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
需要说明的是,图18-图20所示的接入和移动性管理网元的具体实现还可以对应参照图4-图11所述方法实施例的相应描述,此处不再赘述。
请参见图21,图21是本发明实施例提供的一种基于非3GPP网络的入网认证系统的结构示意图。该系统18包括非3GPP互通网元14和接入和移动性管理网元16;其中,
所述非3GPP互通网元14可以是图15-图17任一实施例中所描述的的非3GPP互通网元,这里不再赘述;
所述接入和移动性管理网元16可以是图18-图20任一实施例中所描述的接入和移动性管理网元,这里不再赘述。
在一些可选的方案中,该系统还包括用户设备12;其中,所述用户设备12可以是图12-图14任一实施例中所描述的用户设备,这里不再赘述。
通过实施本发明实施例,能够减少现有技术中UE上一次成功入网后当前通过non-3GPP进行入网认证的流程步骤,节省入网认证时间,实现UE的快速入网。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (33)
1.一种基于非3GPP网络的入网认证方法,其特征在于,所述方法包括:
用户设备UE获取上一次成功入网后,所述UE的保留信息,所述UE的保留信息包括安全上下文信息;
根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥;
根据所述第一安全密钥生成第一认证码;
向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;
接收所述N3IWF基于所述第一请求消息返回的第一响应消息。
2.根据权利要求1所述的方法,其特征在于,所述第一响应消息携带有第二认证码,所述第二认证码为所述N3IWF根据所述第一安全密钥生成的;所述方法还包括:
根据所述第一安全密钥生成第二验证码;
如果所述第二验证码与所述第二认证码匹配,则所述UE对所述N3IWF安全认证成功。
3.根据权利要求1所述的方法,其特征在于,所述第一安全密钥为根据所述安全上下文信中的安全密钥和第一新鲜保护参数派生的密钥。
4.根据权利要求3所述的方法,其特征在于,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF,所述AMF指示信息包括UE临时标识,或者根据UE临时标识生成的网络接入标识NAI信息。
6.根据权利要求1-4任一项所述的方法,其特征在于,所述密钥标识信息包括UE临时标识,和/或,所述UE的安全上下文信息中的密钥标识符。
7.根据权利要求1-4任一项所述的方法,其特征在于,所述第一请求消息还携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证。
8.一种基于非3GPP网络的入网认证方法,其特征在于,所述方法包括:
N3IWF接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证;
向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的第一安全密钥;所述第一认证码由所述UE根据第一安全密钥生成,所述AMF指示信息根据所述UE的保留信息来确定,其中,所述UE的保留信息为所述UE上一次成功入网后的保留信息,所述UE的保留信息包括安全上下文信息;
根据所述第一安全密钥生成第一验证码;
如果所述第一认证码和所述第一验证码匹配,则向所述UE发送第一响应消息。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
根据所述第一安全密钥生成第二认证码;
将所述第二认证码发送给所述UE,所述第二认证码用于所述UE对所述N3IWF进行安全认证。
10.根据权利要求8所述的方法,其特征在于,所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括:
根据所述AMF指示信息,确定第一AMF;
向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息;
所述接收所述密钥标识信息对应的所述第一安全密钥具体包括:
接收所述第一AMF发送的所述第一安全密钥。
11.根据权利要求8所述的方法,其特征在于,所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括:
在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;
所述接收所述密钥标识信息对应的所述第一安全密钥具体包括:
接收所述第二AMF发送的所述第一安全密钥;所述第一安全密钥为所述第一AMF根据所述密钥标识信息确定的,或者所述第一安全密钥为所述第二AMF根据接收所述第一AMF发送的第一安全密钥信息生成的,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数。
12.根据权利要求8-11任一项所述的方法,其特征在于,所述第一请求消息携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证;则所述方法还包括:向第一AMF发送第三认证码。
13.一种基于非3GPP网络的入网认证方法,其特征在于,所述方法包括:第一AMF接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;
根据所述密钥标识信息,确定第一安全密钥;
向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥,所述N3IWF用于接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证;向所述AMF指示信息所指示的第一AMF发送所述第二请求消息,并接收所述密钥标识信息对应的第一安全密钥;所述第一认证码由所述UE根据第一安全密钥生成,所述AMF指示信息根据所述UE的保留信息来确定,其中,所述UE的保留信息为所述UE上一次成功入网后的保留信息,所述UE的保留信息包括安全上下文信息;根据所述第一安全密钥生成第一验证码;如果所述第一认证码和所述第一验证码匹配,则向所述UE发送第一响应消息。
14.根据权利要求13所述的方法,其特征在于,所述第一AMF接收N3IWF发送的第二请求消息具体包括:
接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;
所述向所述N3IWF发送第二响应消息具体包括:
向所述第二AMF发送的第三响应消息,以使所述第二AMF向所述N3IWF发送第二响应消息,所述第二响应消息和所述第三响应消息分别携带有所述第一安全密钥。
15.根据权利要求13或14所述的方法,其特征在于,所述第二请求消息还携带有第三认证码;所述根据所述密钥标识信息,确定第一安全密钥之前,还包括:
根据所述密钥标识信息,确定NAS完整性密钥;
根据所述NAS完整性密钥生成第三验证码;
如果所述第三验证码和所述第三认证码匹配,则执行所述根据所述密钥标识信息,确定第一安全密钥的步骤。
16.一种用户设备UE,其特征在于,所述UE包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行如下操作:
获取上一次成功入网后,所述UE的保留信息,其中,所述UE的保留信息包括安全上下文信息;
根据所述UE的保留信息,确定接入和移动性管理网元AMF指示信息和第一安全密钥;
根据所述第一安全密钥生成第一认证码;
通过所述收发器向非3GPP互通网元N3IWF发送第一请求消息,所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证,所述密钥标识信息用于获取所述第一安全密钥;
通过所述收发器接收所述N3IWF基于所述第一请求消息返回的第一响应消息。
17.根据权利要求16所述的用户设备,其特征在于,所述第一响应消息携带有第二认证码,所述第二认证码为所述N3IWF根据所述第一安全密钥生成的;所述处理器还用于:
根据所述第一安全密钥生成第二验证码;
如果所述第二验证码与所述第二认证码匹配,则所述UE对所述N3IWF安全认证成功。
18.根据权利要求16所述的用户设备,其特征在于,所述第一安全密钥为根据所述安全上下文信中的安全密钥和第一新鲜保护参数派生的密钥。
19.根据权利要求18所述的用户设备,其特征在于,所述安全密钥包括Kseaf密钥或Kamf密钥,所述第一新鲜保护参数包括以下中的任意一项:计数器的计数值、第一随机数、UE临时标识。
20.根据权利要求16-19任一项所述的用户设备,其特征在于,所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF,所述AMF指示信息包括UE临时标识,或者根据UE临时标识生成的网络接入标识NAI信息。
21.根据权利要求16-19任一项所述的用户设备,其特征在于,所述密钥标识信息包括UE临时标识,和/或,所述UE的安全上下文信息中的密钥标识符。
22.根据权利要求16-19任一项所述的用户设备,其特征在于,所述第一请求消息还携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证。
23.一种非3GPP互通网元N3IWF,其特征在于,所述N3IWF包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行如下操作:
通过所述收发器接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息;其中,所述第一认证码用于所述N3IWF对所述UE进行安全认证;
通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息,并接收所述密钥标识信息对应的第一安全密钥;所述第一认证码由所述UE根据第一安全密钥生成,所述AMF指示信息根据所述UE的保留信息来确定,其中,所述UE的保留信息为所述UE上一次成功入网后的保留信息,所述UE的保留信息包括安全上下文信息;
根据所述第一安全密钥生成第一验证码;
如果所述第一认证码和所述第一验证码匹配,则通过所述收发器向所述UE发送第一响应消息。
24.根据权利要求23所述的N3IWF,其特征在于,所述处理器还用于:
根据所述第一安全密钥生成第二认证码;
通过所述收发器将所述第二认证码发送给所述UE,所述第二认证码用于所述UE对所述N3IWF进行安全认证。
25.根据权利要求23所述的N3IWF,其特征在于,所述处理器通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体为:
根据所述AMF指示信息,确定第一AMF;
向所述第一AMF发送第二请求消息,所述第二请求消息携带有所述密钥标识信息;
所述处理器通过所述收发器接收所述密钥标识信息对应的所述第一安全密钥具体为:
通过所述收发器接收所述第一AMF发送的所述第一安全密钥。
26.根据权利要求23所述的N3IWF,其特征在于,所述处理器通过所述收发器向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体为:
在没有查找到所述AMF指示信息所指示的第一AMF的情况下,向第二AMF发送第三请求消息,以使所述第二AMF向所述第一AMF发送第二请求消息,所述第二请求消息和所述第三请求消息分别携带有所述密钥标识信息,所述第二请求消息用于获取验证所述第一认证码的第一安全密钥;
所述处理器通过所述收发器接收所述密钥标识信息对应的所述第一安全密钥具体为:
通过所述收发器接收所述第二AMF发送的所述第一安全密钥;所述第一安全密钥为所述第一AMF根据所述密钥标识信息确定的,或者所述第一安全密钥为所述第二AMF根据接收所述第一AMF发送的第一安全密钥信息生成的,所述第一安全密钥信息包括用于派生第一安全密钥的派生参数。
27.根据权利要求23-26任一项所述的N3IWF,其特征在于,所述第一请求消息携带有第三认证码,所述第三认证码用于第一AMF对所述UE进行安全认证;所述处理器还用于:
通过所述收发器向第一AMF发送第三认证码。
28.一种接入和移动性管理网元,其特征在于,所述接入和移动性管理网元包括处理器、存储器以及收发器,其中,所述存储器用于存储基于非3GPP网络的入网认证程序代码,所述处理器用于调用所述基于非3GPP网络的入网认证程序代码来执行如下操作:
通过所述收发器接收N3IWF发送的第二请求消息,所述第二请求消息携带有密钥标识信息;
根据所述密钥标识信息,确定第一安全密钥;
通过所述收发器向所述N3IWF发送第二响应消息,所述第二响应消息携带有所述第一安全密钥,其中,所述N3IWF用于接收UE发送的第一请求消息,所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息,所述第一认证码用于所述N3IWF对所述UE进行安全认证;向所述AMF指示信息所指示的第一AMF发送所述第二请求消息,并接收所述密钥标识信息对应的第一安全密钥;所述第一认证码由所述UE根据第一安全密钥生成,所述AMF指示信息根据所述UE的保留信息来确定,其中,所述UE的保留信息为所述UE上一次成功入网后的保留信息,所述UE的保留信息包括安全上下文信息;根据所述第一安全密钥生成第一验证码;如果所述第一认证码和所述第一验证码匹配,则向所述UE发送第一响应消息。
29.根据权利要求28所述的接入和移动性管理网元,其特征在于,所述处理器通过所述收发器接收N3IWF发送的第二请求消息具体为:
通过所述收发器接收第二AMF发送的第二请求消息,所述第二请求消息为所述第二AMF根据接收的所述N3IWF发送的第三请求消息所发出的;
所述处理器通过所述收发器向所述N3IWF发送第二响应消息具体为:
向所述第二AMF发送的第三响应消息,以使所述第二AMF向所述N3IWF发送第二响应消息,所述第二响应消息和所述第三响应消息分别携带有所述第一安全密钥。
30.根据权利要求28或29所述的接入和移动性管理网元,其特征在于,所述第二请求消息还携带有第三认证码;所述根据所述密钥标识信息,确定第一安全密钥之前,所述处理器还用于:
根据所述密钥标识信息,确定NAS完整性密钥;
根据所述NAS完整性密钥生成第三验证码;
如果所述第三验证码和所述第三认证码匹配,则执行所述根据所述密钥标识信息,确定第一安全密钥的步骤。
31.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质存储有计算机程序,所述计算机程序被硬件执行时能够实现权利要求1至7任意一项所述的方法。
32.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质存储有计算机程序,所述计算机程序被硬件执行时能够实现权利要求8至12任意一项所述的方法。
33.一种计算机可读取存储介质,其特征在于,所述计算机可读取存储介质存储有计算机程序,所述计算机程序被硬件执行时能够实现权利要求13至15任意一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2017/077162 WO2018170617A1 (zh) | 2017-03-18 | 2017-03-18 | 一种基于非3gpp网络的入网认证方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110431867A CN110431867A (zh) | 2019-11-08 |
| CN110431867B true CN110431867B (zh) | 2021-08-31 |
Family
ID=63584063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780088621.1A Active CN110431867B (zh) | 2017-03-18 | 2017-03-18 | 一种基于非3gpp网络的入网认证方法、相关设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10911948B2 (zh) |
| EP (1) | EP3582531B1 (zh) |
| CN (1) | CN110431867B (zh) |
| WO (1) | WO2018170617A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073184B (zh) | 2017-10-23 | 2022-01-14 | 华为技术有限公司 | 一种生成密钥的方法、装置及系统 |
| CN116938801A (zh) * | 2018-03-26 | 2023-10-24 | 瑞典爱立信有限公司 | 对用户平面路径上检测和处置故障的改进 |
| CN110351722B (zh) * | 2018-04-08 | 2024-04-16 | 华为技术有限公司 | 一种信息发送方法、密钥生成方法以及装置 |
| CN110831007B (zh) * | 2018-08-10 | 2021-09-17 | 华为技术有限公司 | 用户面完整性保护方法、装置及设备 |
| WO2020181746A1 (en) * | 2019-03-08 | 2020-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for user plane path failure and recovery handling |
| US10750366B1 (en) | 2019-12-19 | 2020-08-18 | Cisco Technology, Inc. | Efficient authentication and secure communications in private communication systems having non-3GPP and 3GPP access |
| CN113163399B (zh) * | 2020-01-07 | 2024-06-11 | 阿里巴巴集团控股有限公司 | 一种终端与服务器的通信方法和装置 |
| CN111314856B (zh) * | 2020-02-13 | 2020-12-15 | 广州爱浦路网络技术有限公司 | 一种5g用户位置信息服务的分级审查与跟踪装置和方法 |
| WO2021225355A1 (en) * | 2020-05-05 | 2021-11-11 | Samsung Electronics Co., Ltd. | Method and system for n3iwf selection in user equipment for network connectivity |
| CN112822674A (zh) * | 2020-12-29 | 2021-05-18 | 联想未来通信科技(重庆)有限公司 | 一种nas消息的解密方法和装置 |
| CN114866991A (zh) * | 2021-02-03 | 2022-08-05 | 维沃移动通信有限公司 | 核心网系统 |
| CN114222298B (zh) * | 2021-12-14 | 2024-10-08 | 中国电信股份有限公司 | 终端接入方法、装置、网络设备、终端和介质 |
| US20230363037A1 (en) * | 2022-05-09 | 2023-11-09 | Hewlett Packard Enterprise Development Lp | Session continuity for a user equipment |
| US20240080666A1 (en) * | 2022-09-01 | 2024-03-07 | T-Mobile Innovations Llc | Wireless communication network authentication for a wireless user device that has a circuitry identifier |
| CN116528234B (zh) * | 2023-06-29 | 2023-09-19 | 内江师范学院 | 一种虚拟机的安全可信验证方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2166798A1 (en) * | 2008-09-23 | 2010-03-24 | Alcatel, Lucent | Handover between non 3GPP and 3GPP network |
| CN102348193A (zh) * | 2010-07-28 | 2012-02-08 | 中兴通讯股份有限公司 | 一种网关标识上报的方法及系统 |
| CN106304038A (zh) * | 2015-05-25 | 2017-01-04 | 徐成琦 | 一种统一网元标识的方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282798A (zh) * | 2014-07-24 | 2016-01-27 | 中兴通讯股份有限公司 | 一种关于流迁移触发的相关实现方法及设备 |
| EP4398676A3 (en) * | 2016-10-05 | 2024-10-16 | Motorola Mobility LLC | Core network attachment through standalone non-3gpp access networks |
| RU2745719C2 (ru) * | 2017-02-07 | 2021-03-31 | АйПиКОМ ГМБХ УНД КО. КГ | Реализация функции межсетевого взаимодействия с использованием недоверенной сети |
-
2017
- 2017-03-18 CN CN201780088621.1A patent/CN110431867B/zh active Active
- 2017-03-18 WO PCT/CN2017/077162 patent/WO2018170617A1/zh unknown
- 2017-03-18 EP EP17901907.0A patent/EP3582531B1/en active Active
-
2019
- 2019-09-18 US US16/574,899 patent/US10911948B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2166798A1 (en) * | 2008-09-23 | 2010-03-24 | Alcatel, Lucent | Handover between non 3GPP and 3GPP network |
| CN102348193A (zh) * | 2010-07-28 | 2012-02-08 | 中兴通讯股份有限公司 | 一种网关标识上报的方法及系统 |
| CN106304038A (zh) * | 2015-05-25 | 2017-01-04 | 徐成琦 | 一种统一网元标识的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《23.502: Mobility management model for non-3GPP accesses: procedures》;Qualcomm Incorporated;《SA WG2 Meeting #S2-119 S2-170739》;20170217;第4.12节,图4.12.2-1 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110431867A (zh) | 2019-11-08 |
| EP3582531A1 (en) | 2019-12-18 |
| EP3582531A4 (en) | 2020-01-22 |
| EP3582531B1 (en) | 2021-02-17 |
| US20200015079A1 (en) | 2020-01-09 |
| WO2018170617A1 (zh) | 2018-09-27 |
| US10911948B2 (en) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110431867B (zh) | 一种基于非3gpp网络的入网认证方法、相关设备及系统 | |
| US11818566B2 (en) | Unified authentication for integrated small cell and Wi-Fi networks | |
| US10454686B2 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
| JP6823047B2 (ja) | セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子 | |
| KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
| US20170171752A1 (en) | Securing signaling interface between radio access network and a service management entity to support service slicing | |
| US20170359719A1 (en) | Key generation method, device, and system | |
| CN108574969A (zh) | 多接入场景中的连接处理方法和装置 | |
| CN108464027B (zh) | 对于未认证用户通过wlan接入3gpp演进分组核心支持紧急服务 | |
| US8645695B2 (en) | System and method for managing security key architecture in multiple security contexts of a network environment | |
| US20170134947A1 (en) | Methods And Arrangements For Identification Of User Equipments For Authentication Purposes | |
| AU2020284886A1 (en) | Security context obtaining method and apparatus, and communications system | |
| US20180084417A1 (en) | Protecting wlcp message exchange between twag and ue | |
| EP2486741B1 (en) | System and method for managing security keys for multiple security contexts of a wireless user device to handover communications in a network | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| CN112654043A (zh) | 注册方法及装置 | |
| US20230231849A1 (en) | Method and Apparatus for Critical Control Message Transfer Across Networks | |
| CN115915126A (zh) | 安全通信的方法和装置 | |
| CN118488437A (zh) | 通信方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |