CN110495198B - 网络认证方法、网络设备、终端设备及存储介质 - Google Patents
网络认证方法、网络设备、终端设备及存储介质 Download PDFInfo
- Publication number
- CN110495198B CN110495198B CN201880021182.7A CN201880021182A CN110495198B CN 110495198 B CN110495198 B CN 110495198B CN 201880021182 A CN201880021182 A CN 201880021182A CN 110495198 B CN110495198 B CN 110495198B
- Authority
- CN
- China
- Prior art keywords
- network
- authentication
- equipment
- terminal
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W56/00—Synchronisation arrangements
- H04W56/001—Synchronization between nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W56/00—Synchronisation arrangements
- H04W56/001—Synchronization between nodes
- H04W56/0015—Synchronization between nodes one node acting as a reference for the others
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供一种网络认证方法、网络设备、终端设备及存储介质。一方面,本申请中网络设备自己生成对称密钥,并通过第一序列号实时生成终端设备正确的序列号。也就是说,本申请中网络设备无需存储对称密钥以及终端设备正确的序列号,而是实时生成对称密钥,以及确定实时生成终端设备正确的序列号。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。另一方面,本申请中第一网络设备获取终端设备的标识,并据此确定网络侧设备和终端设备之间将要采用的目标网络认证方式,其后向第二网络设备发送指示信息用于指示所述目标网络认证方式。从而,本申请还解决了通知网络设备具体采用哪种网络认证方式的问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络认证方法、网络设备、终端设备及存储介质。
背景技术
物联网(Internet of Things,IoT)是第五代移动通信技术(5th-Generation,5G)的重要应用场景,IoT中的终端设备接入到5G网络需要进行网络认证,图1为现有技术中终端设备进行网络认证的交互示意图,认证过程如下:
步骤S101:终端设备向移动性管理实体(Mobility Management Entity,MME)发送入网请求。步骤S102:该MME向归属签约服务器(Home Subscriber Server,HSS)发送入网数据请求。步骤S103:该HSS接收该入网数据请求并确定该终端设备对应的对称密钥K;其中该对称密钥存储在HSS中,然后根据该对称密钥K计算认证向量,该认证向量包括认证令牌(Authentication Token,AUTNHSS),期待响应(Expected Response,XRES)和接入安全管理密钥(Key Access Security Management Entity,KASME)。步骤S104:该HSS将该认证向量发送给MME。步骤S105:该MME接收并保存该认证向量。步骤S106:该MME向终端设备发起用户认证请求,该用户认证请求包括随机数RAND、AUTNHSS和KASME。步骤S107:该终端设备接收该RAND和AUTNHSS,并利用演进分组系统(Evolved Packet System,EPS)第三代移动通讯网络的认证与密钥协商协议(Authentication and Key Agreement,AKA)密钥推演算法进行运算,运算的输入参数包括终端设备的对称密钥K,RAND,服务网络(Serving Network,SN)标识,终端设备的序列号(Sequence Number,SQN),运算的输出参数包括用户侧认证令牌AUTNUE,响应(Response,RES)和KASME。步骤S108:该终端设备在确认AUTNUE和AUTNHSS相同时根据KASME生成该终端设备与网络侧的会话密钥。步骤S109:该终端设备向MME发送运算得到的RES。步骤S110:该MME接收该RES,并在确认接收到的RES和该认证向量中的XRES相同时根据KASME生成网络侧与该终端设备之间的会话密钥。
现有技术的缺陷在于,IoT中存在海量的终端设备需要与HSS之间进行网络认证,因此HSS中需要存储每个终端设备对应的对称密钥以及SQN。一方面,这种集中式存储给HSS造成了严重的负载压力;另一方面,该网络认证过程需要终端设备、MME和HSS三者之间的交互才能实现,造成网络认证链条较长,从而导致网络认证效率的问题。
发明内容
本申请提供一种网络认证方法、网络设备、终端设备及存储介质。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
第一方面,本申请提供一种网络认证方法,包括:网络设备获取终端设备的身份标识;网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;网络设备为终端设备生成第一序列号;网络设备根据第一序列号确定终端设备的正确的序列号;网络设备根据网络设备侧的对称密钥、正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成第一认证令牌;其中,认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;网络设备向终端设备发送第一随机数和第一认证令牌;以使终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;其中,第二认证令牌是终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成的;网络设备接收终端设备发送的认证响应消息;其中,认证响应消息包括第一认证参数;第一认证参数根据第一随机数和终端设备侧的对称密钥生成;网络设备根据网络设备侧的对称密钥和第一随机数生成第二认证参数;网络设备根据第一认证参数和第二认证参数认证终端设备。
本申请有益效果是:一方面网络设备自己生成对称密钥,另一方面通过第一序列号实时生成终端设备正确的序列号。也就是说,本申请中网络设备无需存储对称密钥以及终端设备正确的序列号,而是实时生成对称密钥,以及确定实时生成终端设备正确的序列号。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
即通过这两种第一密钥可以有效生成或者推演出网络设备侧的对称密钥。从而无需存储对称密钥,从而可以降低HSS的存储负载。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;相应的,网络设备根据第一序列号确定终端设备的正确的序列号,包括:网络设备根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成第三认证令牌;网络设备向终端设备发送第二随机数和第三认证令牌,以使终端设备根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;网络设备接收终端设备发送的重同步消息;重同步消息包括重同步参数和第三随机数;网络设备根据重同步参数和第三随机数确定正确的序列号。
即通过这两种方式可以有效确定终端设备的正确的序列号,从而无需存储终端设备的正确的序列号,进而可以降低HSS的存储负载。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
即本申请利用网络设备的身份标识代替第二随机数;或者将网络设备的身份标识携带在认证管理域参数中,通过这两种方式可传输网络设备的身份标识。从而可以降低网络开销。
可选地,该方法还包括:当网络设备为接入网设备时,网络设备发送广播消息;其中,广播消息包括网络设备的身份标识,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
下面对终端设备执行的网络认证方法进行介绍,其实现原理和技术效果与上述原理和技术效果类似,此处不再赘述。
第二方面,本申请提供一种网络认证方法,包括:终端设备向网络设备发送终端设备的身份标识;以使网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;终端设备接收网络设备发送的第一随机数和第一认证令牌;其中,第一认证令牌是网络设备根据网络设备侧的对称密钥、终端设备的正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成的;认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;终端设备根据第一认证令牌、终端设备侧的对称密钥、第一随机数和认证管理域参数确定正确的序列号;终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成第二认证令牌;终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;终端设备根据第一随机数和终端设备侧的对称密钥生成第一认证参数;终端设备向网络设备发送认证响应消息;其中,认证响应消息包括第一认证参数;其中,第一认证参数用于网络设备对终端设备进行认证。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,正确的序列号是网络设备通过第一序列号确定的。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;该方法还包括:终端设备接收网络设备发送的第二随机数和第三认证令牌;其中,第三认证令牌是网络设备根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成的;终端设备根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;终端设备根据正确的序列号、第三随机数、认证管理域参数和终端设备侧的对称密钥生成重同步参数;终端设备向网络设备发送重同步消息;其中,重同步消息包括重同步参数和第三随机数,以使网络设备根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中;该方法还包括:终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,该方法还包括:当网络设备为接入网设备时,终端设备接收网络设备发送的广播消息;其中,广播消息包括网络设备的身份标识;终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
下面将介绍网络设备,该网络设备可以用于执行第一方面及第一方面对应的可选方式,其实现原理和技术效果类似,此处不再赘述。
第三方面,本申请提供一种网络设备,包括:处理器、接收器、发送器和存储器;其中,存储器中存储有代码,当该代码被处理器运行时,该终端设备会执行第一方面或第一方面任一所述的方法。具体地,处理器用于获取终端设备的身份标识;根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;为终端设备生成第一序列号;根据第一序列号确定终端设备的正确的序列号;根据网络设备侧的对称密钥、正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成第一认证令牌;其中,认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;发送器,用于向终端设备发送第一随机数和第一认证令牌;以使终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;其中,第二认证令牌是终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成的;接收器,用于接收终端设备发送的认证响应消息;其中,认证响应消息包括第一认证参数;第一认证参数根据第一随机数和终端设备侧的对称密钥生成;处理器还用于根据网络设备侧的对称密钥和第一随机数生成第二认证参数;根据第一认证参数和第二认证参数认证终端设备。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;相应的,处理器,具体用于根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成第三认证令牌;发送器,还用于发送第二随机数和第三认证令牌,以使终端设备根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;接收器,还用于接收终端设备发送的重同步消息;重同步消息包括重同步参数和第三随机数;处理器,具体用于根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,发送器还用于发送广播消息;其中,广播消息包括网络设备的身份标识,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
下面将介绍终端设备,该终端设备可以用于执行第二方面及第二方面对应的可选方式,其实现原理和技术效果类似,此处不再赘述。
第四方面,本申请提供一种终端设备,包括:发送器、接收器、存储器和处理器;其中,存储器中存储有代码,当该代码被处理器运行时,该终端设备会执行第二方面或第二方面任一所述的方法。具体的,发送器,用于向网络设备发送终端设备的身份标识;以使网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;接收器,用于接收网络设备发送的第一随机数和第一认证令牌;其中,第一认证令牌是网络设备根据网络设备侧的对称密钥、终端设备的正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成的;认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;处理器用于:根据第一认证令牌、终端设备侧的对称密钥、第一随机数和认证管理域参数确定正确的序列号;根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成第二认证令牌;根据第一认证令牌和第二认证令牌对网络设备进行认证;根据第一随机数和终端设备侧的对称密钥生成第一认证参数;发送器,还用于向网络设备发送认证响应消息;其中,认证响应消息包括第一认证参数;其中,第一认证参数用于网络设备对终端设备进行认证。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,正确的序列号是网络设备通过第一序列号确定的。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;接收器,还用于接收网络设备发送的第二随机数和第三认证令牌;其中,第三认证令牌是网络设备根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成的;处理器还用于:根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;根据正确的序列号、第三随机数、认证管理域参数和终端设备侧的对称密钥生成重同步参数;发送器,还用于向网络设备发送重同步消息;其中,重同步消息包括重同步参数和第三随机数,以使网络设备根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中;处理器,还用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,接收器还用于接收网络设备发送的广播消息;其中,广播消息包括网络设备的身份标识;处理器,还用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
第五方面,本申请提供一种计算机存储介质,用于储存为上述网络设备所用的计算机软件指令,其包含用于执行上述第一方面所设计的程序。
第六方面,本申请实施例提供一种计算机存储介质,用于储存为上述终端设备所用的计算机软件指令,其包含用于执行上述第二方面所设计的程序。
第七方面,本申请提供一种计算机程序产品,其包含指令,当所述计算机程序被计算机所执行时,该指令使得计算机执行上述第一方面及可选方法中网络设备所执行的功能。
第八方面,本申请提供一种计算机程序产品,其包含指令,当所述计算机程序被计算机所执行时,该指令使得计算机执行上述第二方面及可选方法中终端设备所执行的功能。
第九方面,本申请提供一种网络认证方法,包括:
第一网络设备获取终端设备的标识;
所述第一网络设备根据所述终端设备的标识,确定网络侧设备和所述终端设备之间将要采用的目标网络认证方式;
所述第一网络设备向第二网络设备发送指示信息,所述指示信息用于指示所述目标网络认证方式。
第十方面,本申请提供一种网络认证方法,包括:
第二网络设备接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间将要采用的目标网络认证方式;
所述第二网络设备根据所述目标网络认证方式发送消息。
第十一方面,本申请提供一种网络认证方法,包括:
第一网络设备获取终端设备的标识;
所述第一网络设备根据所述终端设备的标识,判断所述网络侧设备和所述终端设备之间是否将要采用目标网络认证方式;
第一网络设备向第二网络设备发送指示信息,所述指示信息用于指示所述网络侧设备和所述终端设备之间是否将要采用目标网络认证方式。
第十二方面,本申请提供一种网络认证方法,包括:
第二网络设备接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间是否将要采用目标网络认证方式;
所述第二网络设备根据所述指示信息发送消息。
第十三方面,本申请提供一种网络设备,所述网络设备为第一网络设备,包括:
获取模块,用于获取终端设备的标识;
确定模块,用于根据所述终端设备的标识,确定网络侧设备和所述终端设备之间将要采用的目标网络认证方式;
发送模块,用于向第二网络设备发送指示信息,所述指示信息用于指示所述目标网络认证方式。
第十四方面,本申请提供一种网络设备,所述网络设备为第二网络设备,包括:
接收模块,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间将要采用的目标网络认证方式;
发送模块,用于根据所述目标网络认证方式发送消息。
第十五方面,本申请提供一种网络设备,所述网络设备为第一网络设备,包括:
获取模块,用于获取终端设备的标识;
判断模块,用于根据所述终端设备的标识,判断网络侧设备和所述终端设备之间是否将要采用目标网络认证方式;
发送模块,用于向第二网络设备发送指示信息,所述指示信息用于指示所述网络侧设备和所述终端设备之间是否将要采用所述目标网络认证方式。
第十六方面,本申请提供一种网络设备,其特征在于,所述网络设备为第二网络设备,包括:
接收模块,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间是否将要采用目标网络认证方式;
发送模块,用于根据所述指示信息发送消息。
第十七方面,本申请提供一种网络设备,包括:处理器、发送器和存储器;
所述存储器用于存储代码,当所述代码被所述处理器运行时,以使所述处理器用于:
获取终端设备的标识;
根据所述终端设备的标识,确定网络侧设备和所述终端设备之间将要采用的目标网络认证方式;
所述发送器,用于向第二网络设备发送指示信息,所述指示信息用于指示所述目标网络认证方式。
第十八方面,本申请提供一种网络设备,包括:
接收器,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间将要采用的目标网络认证方式;
发送器,用于根据所述目标网络认证方式发送消息。
第十九方面,本申请提供一种网络设备,包括:
处理器、发送器和存储器;
所述存储器用于存储代码,当所述代码被所述处理器运行时,以使所述处理器用于:
获取终端设备的标识;
根据所述终端设备的标识,判断网络侧设备和所述终端设备之间是否将要采用目标网络认证方式;
所述发送器,用于向第二网络设备发送指示信息,所述指示信息用于指示所述网络侧设备和所述终端设备之间是否将要采用所述目标网络认证方式。
第二十方面,本申请提供一种网络设备,包括:
接收器,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间是否将要采用目标网络认证方式;
发送器,用于根据所述指示信息发送消息。
第九方面至第二十方面的任一项的可选方式,所述指示信息携带在所述第一网络设备向所述第二网络设备发送的认证向量中。
第二十一方面,本申请实施例提供一种计算机存储介质,用于储存指令,以实现如第九方面或第九方面的可选方式所涉及的方法。
第二十二方面,本申请实施例提供一种计算机程序产品,包括指令,以实现如第九方面或第九方面的可选方式所涉及的方法。
第二十三方面,本申请实施例提供一种计算机存储介质,用于储存指令,以实现如第十方面或第十方面的可选方式所涉及的方法。
第二十四方面,本申请实施例提供一种计算机程序产品,包括指令,以实现如第十方面或第十方面的可选方式所涉及的方法。
第二十五方面,本申请实施例提供一种计算机存储介质,用于储存指令,以实现如第十一方面或第十一方面的可选方式所涉及的方法。
第二十六方面,本申请实施例提供一种计算机程序产品,包括指令,以实现如第十一方面或第十一方面的可选方式所涉及的方法。
第二十七方面,本申请实施例提供一种计算机存储介质,用于储存指令,以实现如第十二方面或第十二方面的可选方式所涉及的方法。
第二十八方面,本申请实施例提供一种计算机程序产品,包括指令,以实现如第十二方面或第十二方面的可选方式所涉及的方法。
本申请提供一种网络认证方法、网络设备、终端设备及存储介质,该方法包括:网络设备获取终端设备的身份标识;网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;网络设备为终端设备生成第一序列号;网络设备根据第一序列号确定终端设备的正确的序列号;网络设备根据网络设备侧的对称密钥、正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成第一认证令牌;其中,认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;网络设备向终端设备发送第一随机数和第一认证令牌;以使终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;其中,第二认证令牌是终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成的;网络设备接收终端设备发送的认证响应消息;其中,认证响应消息包括第一认证参数;第一认证参数根据第一随机数和终端设备侧的对称密钥生成;网络设备根据网络设备侧的对称密钥和第一随机数生成第二认证参数;网络设备根据第一认证参数和第二认证参数认证终端设备。一方面网络设备自己生成对称密钥,另一方面通过第一序列号实时生成终端设备正确的序列号。也就是说,本申请中网络设备无需存储对称密钥以及终端设备正确的序列号,而是实时生成对称密钥,以及确定实时生成终端设备正确的序列号。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
附图说明
图1为现有技术中终端设备进行网络认证的交互示意图;
图2为未来的移动通信的网络架构的示意图;
图3为本申请一实施例提供的一种网络认证方法的交互流程图;
图4为本申请另一实施例提供的一种网络认证方法的交互流程图;
图5为本申请再一实施例提供的一种网络认证方法的交互流程图;
图6为本申请又一实施例提供的一种网络认证方法的交互流程图;
图7为本申请再一实施例提供的一种网络认证方法的交互流程图;
图8为本申请再一实施例提供的一种网络认证方法的交互流程图;
图9为本申请一实施例提供的一种网络认证装置的结构示意图;
图10为本申请另一实施例提供的一种网络认证装置的结构示意图;
图11为本申请一实施例提供的一种网络设备的结构示意图;
图12为本申请另一实施例提供的一种终端设备的结构示意图;
图13为本申请一实施例提供的EAP AKA’的认证流程图;
图14为本申请一实施例提供的5G AKA的认证流程图;
图15为本申请一实施例提供的EAP-TLS的认证流程图;
图16为本申请一实施例提供的网络认证方法的流程图;
图17为本申请一实施例提供的网络认证方法的交互流程图;
图18为本申请另一实施例提供的网络认证方法的流程图;
图19为本申请一实施例提供的网络认证方法的交互流程图;
图20为本申请一实施例提供的一种网络设备的结构示意图;
图21为本申请另一实施例提供的一种网络设备的结构示意图;
图22为本申请再一实施例提供的一种网络设备的结构示意图;
图23为本申请又一实施例提供的一种网络设备的结构示意图。
具体实施方式
本申请涉及到的终端设备可以被称为物联网(Internet of thing,IoT)设备,该终端设备可以为电脑、手机、打印机、冰箱、机器人、传感器、电表、水表等等可以接入到IoT中的终端设备。
本申请涉及到的网络设备是可以与终端设备进行网络认证的设备。该网络设备可以是接入网设备,例如可以是全球移动通讯(Global System of Mobile communication,简称GSM)或码分多址(Code Division Multiple Access,简称CDMA)中的基站(BaseTransceiver Station,简称BTS)中,也可以是宽带码分多址(Wideband Code DivisionMultiple Access,简称WCDMA)中的基站(NodeB,简称NB),还可以是长期演进(Long TermEvolution,LTE)网络中的演进型基站(evolved NodeB,简称eNB)、接入点(Access Point,AP)或者中继站,也可以是5G网络或者新一代无线接入技术(New Radio AccessTechnology,NR)中的基站等,在此不作限定。该网络设备还可以是核心网设备,例如:可以是MME或者是认证安全单元(Authentication Security Function,AUSF)等。
需要说明的是,该网络设备可以是任何具有认证单元(Authentication Unit,或Authentication Function,AU或AF)的设备。下面以本申请应用于未来的移动通信的网络架构为例,对网络设备所在位置进行详细说明:
图2为未来的移动通信的网络架构的示意图。其中:
终端设备通过接入网(Access Network,AN)接入运营商网络。AN中包括基站。
运营商网络中包括:
移动性管理(Mobility Management,MM)网元。
会话管理网元(Session Management,SM),用于执行会话、切片、流flow或者承载bearer的建立和管理。
认证单元AU或AF,用于与终端设备之间执行双向网络认证。AU可以作为一个独立的逻辑功能实体单独部署,也可以部署在MM或者SM的内部,即MM或者SM扮演AU的角色。当然,还可以部署在AN中的基站上,本申请对此不做限制。当AU部署在MM中时,MM即为上述的网络设备。当AU部署在SM中时,SM即为上述的网络设备。当AU部署在基站中时,基站即为上述的网络设备。
运营商的服务器节点,或者归属用户服务器,包括运营商的AAA服务器(Authentication、Authorization、Accounting server,验证、授权和记账服务器),或者归属用户服务器(Home Subscriber Server,HSS)、或者认证中心(Authentication Centre,AuC)服务器、或者用户注册信息中心(subscriber repository)。
策略控制(Policy control)网元,用于策略的协商。
密钥管理中心(Key Management System,KMS),负责密钥的生成、管理和协商,支持合法监听。KMS可以作为一个独立的逻辑功能实体单独部署,也可以部署在AU、MM或者SM的内部,即AU、MM或者SM扮演KMS的角色。
网关,又称为用户面网关(User Plane-Gateway,UP-GW),用于连接运营商网络和数据网络(Data Network,DN)。AN也可通过GW与DN相连。
DN服务器,包括应用服务器或者业务服务器等。可部署在运营商网络内部,也可部署在运营商网络外部。
需要说明的是,图2中体现的是各个网元之间的逻辑关系,在实际中,MM、AU以及SM可以单独部署,也可以至少两两集成部署在一个实体中。例如,SM和MM部署在一个实体中,AU单独部署;或者SM与AU部署在一个实体中,MM单独部署。
值得一提的是,本申请不限于上述未来网络架构中的网络认证,它还可以应用于2G、3G、4G、5G、NR以及无线保真(Wireless Fidelity,Wi-Fi)网络中的任何具有网络认证的应用场景。
为了解决现有技术存在的如下问题:集中式存储给HSS造成了严重的负载压力,另一方面,该网络认证过程需要终端设备、MME和HSS三者之间的交互才能实现,造成网络认证链条较长,从而导致网络认证效率的问题。本申请提供一种网络认证方法、网络设备、终端设备及存储介质。
具体地,图3为本申请一实施例提供的一种网络认证方法的交互流程图,如图3所示,该方法包括:
步骤S301:网络设备获取终端设备的身份标识(Identity,ID)。
终端设备的ID可以是媒体访问控制(Media Access Control,MAC)地址、网络协议(Internet Protocol,IP)地址、手机号码、国际移动设备标识(International MobileEquipment Identity,IMEI)、国际移动用户识别码(International Mobile SubscriberIdentity,IMSI)、IP多媒体私有标识(IP Multimedia Private Identity,IMPI)、临时移动用户标识符(Temporary Mobile Subscriber Identity,TMSI)、IP多媒体公共标识(IPMultimedia Public Identity,IMPU)、全球唯一临时UE标识(Globally Unique TemporaryUE Identity,GUTI)等等。只要是可以唯一标识终端设备的标识都可以作为终端设备的ID。本申请对此不做限制。
步骤S302:网络设备根据终端设备的ID和网络设备的第一密钥生成网络设备侧的对称密钥K。
其中,网络设备侧的对称密钥K为网络设备和终端设备之间的对称密钥。
本申请存在两种生成网络侧设备的对称密钥的可选方式:
一种可选方式:第一密钥为网络设备的私钥。其中网络设备基于身份的密码机制(Identity-Based Cryptography,IBC)生成网络侧设备的对称密钥K。
具体地,基于IBC包括基于身份的签名技术(Identity Based Signature,IBS)和基于身份的加密技术(Identity Based Encryption,IBE)。终端设备和网络设备都拥有自己的公私钥对,其中公钥为有意义的字符串(身份),例如Email地址、电话号码等;私钥由私钥生成中心(PrivateKeyGenerator,PKG)根据设备的ID和PKG的主私钥生成。而网络侧设备的对称密钥K通过自己的私钥和终端设备的ID生成的。同样的,终端设备的对称密钥K通过自己的私钥和网络设备的ID生成的。而如何根据自己的私钥和对方的ID生成对称密钥K可以采用现有技术基于配对,或者使用基于RFC 6507的IBS密码技术及其在椭圆曲线群上进行静态的Diffie-Helleman等算法。本申请对此不做限制。
另一种可选方式:第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。网络设备可以根据该公共密钥以及该终端设备的ID推演出所述网络设备侧的对称密钥K。需要强调的是,网络设备可以与多个终端设备建立有网络认证关系。而针对每个终端设备,网络设备侧都具有唯一对应的对称密钥K。因此,网络设备根据公共密钥和终端设备A的ID推演出的是终端设备A和网络设备之间,网络设备侧的对称密钥K。而如何根据公共密钥和对方的ID生成对称密钥K可以采用现有技术的相关算法。本申请对此不做限制。
步骤S303:网络设备为终端设备生成第一序列号(Sequence Number,SQN)。
步骤S304:网络设备根据第一SQN确定终端设备的正确的SQN。
结合步骤S303和步骤S304进行说明:
在步骤S303中存在两种生成第一SQN的可选方式:
一种可选方式:第一SQN为网络设备根据当前的时间信息生成的SQN。其中,网络设备和终端设置之间时间同步。由于时间信息具有唯一性,因此该第一SQN与步骤S204中所述正确的SQN一定相同。
另一种可选方式:第一SQN为终端设备的伪SQN。其中该伪SQN可以是一个固定的一串数字,也可以是随机产生的一串数字,要求是符合EPS-AKA中的序列号格式和长度要求。
相应的,步骤S304包括:首先,网络设备根据网络设备侧的对称密钥K、伪SQN、第二随机数RAND和认证管理域(Authentication Management Field,AMF)参数生成第三认证令牌AUTN。其中,AMF用于限定终端设备在网络认证过程中涉及的参数。例如:AMF用于限定SQN的容错范围。该SQN的容错范围是指第一SQN和正确的SQN之间的容错范围。当第一SQN与SQN之间的误差在该容错范围内,可以认为该第一SQN是正确的SQN。否则,该第一SQN不是正确的SQN。该AMF还可以限定加密密钥和完保密钥的生命周期。
其次,网络设备向终端设备发送第二RAND和第三AUTN,以使终端设备根据终端设备侧的对称密钥K、第三AUTN、第二RAND和AMF确定伪SQN。网络设备接收终端设备发送的重同步消息;网络设备根据重同步消息确定终端设备的正确的SQN。
具体地,网络设备可以根据现有技术提供的AKA算法通过网络设备侧的对称密钥K、伪SQN、第二RAND和AMF生成第三AUTN。本申请对此不做限制。本申请中的AKA算法是指ESP-AKA协议所涉及到的算法。终端设备可以根据现有技术提供的AKA算法通过终端设备侧的对称密钥K、第三AUTN、第二RAND和AMF确定伪SQN,即通过现有技术的提供算法可以确定出来用于计算第三AUTN的伪SQN。该伪SQN与正确的SQN之间的误差不在SQN容错范围之内,这种情况下,然后利用正确的SQN,第三RAND,AMF和终端设备侧的对称密钥K生成重同步参数。该重同步参数用于终端设备和网络设备之间的同步,以及用于网络设备确定正确的SQN。终端设备向网络设备发送重同步消息,该重同步消息包括第三RAND和重同步参数AUTS。网络设备根据该第三RAND和重同步参数AUTS可以采用现有技术的AKA算法确定正确的SQN。本申请对该现有技术的算法不做限制。
综上,实际上这种可选方式的主旨是:网络设备通过向终端设备发送第三AUTN,其中该第三AUTN是通过伪SQN计算得到,从而触发终端设备向网络设备发送正确的SQN。
步骤S305:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
网络设备可以根据现有技术提供的AKA算法通过网络设备侧的对称密钥正确的SQN、第一RAND和AMF生成第一AUTN。其中生成第一AUTN和上述生成第三AUTN所采用的方法相同,在此本申请对该现有技术算法不做限制。
需要强调的是,步骤S305与现有技术EPS-AKA协议不同之处在于,现有技术中正确的SQN存储在HSS中。而本申请为了降低HSS的存储负荷,本申请中网络设备都是要实时获取正确的SQN。然后采用与现有技术相同的算法计算第一AUTN。
步骤S306:网络设备向终端设备发送第一RAND和第一AUTN;
步骤S307:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN;
步骤S308:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
结合步骤S306至步骤S308进行说明:其中终端设备可以采用现有技术提供的AKA算法根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN。终端设备根据第一AUTN和第二AUTN对网络设备进行认证,包括:当终端设备确定第一AUTN和第二AUTN相同时,表示网络设备被认证通过。否则,表示网络设备未被认证通过。或者,当终端设备确定第一AUTN和第二AUTN之间的误差值小于预设阈值时,表示网络设备被认证通过。否则,表示网络设备未被认证通过。本申请对此不做限制。
步骤S309:网络设备接收终端设备发送的认证响应消息。
其中,所述认证响应消息包括第一认证参数(第一认证参数即为现有技术中的响应(Response,RES);所述RES根据所述第一RAND和所述终端设备侧的对称密钥K生成;其中,所述终端设备侧的对称密钥为所述网络设备和所述终端设备之间的对称密钥。其中如何生成RES可以采用现有技术提供的AKA算法,本申请对此不做限制。
步骤S310:网络设备根据网络设备侧的对称密钥和第一随机数生成第二认证参数。
该第二认证参数即为现有技术中的期待响应(Expected Response,XRES)。其中如何生成XRES可以采用现有技术提供的AKA算法,本申请对此不做限制。
步骤S311:网络设备根据RES和XRES认证终端设备。
当RES和XRES相同时,表示终端设备被认证通过,否则,表示终端设备未被认证通过。
需要说明的是,步骤S310和步骤S305可以合并为一个步骤执行。
本申请提供一种网络认证方法,与现有EPS-AKA协议中的网络认证过程不同的是:本申请中,一方面网络设备自己生成对称密钥K,另一方面通过第一SQN实时生成终端设备正确的SQN。也就是说,本申请中网络设备无需存储对称密钥K以及终端设备正确的SQN,而是实时生成对称密钥K,以及确定实时生成终端设备正确的SQN。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
进一步地,针对终端设备如何确定终端设备侧的对称密钥K,本申请提供如下可选方式:
终端设备获取网络设备的ID,然后基于IBC机制,根据网络设备的ID以及终端设备的私钥生成对称密钥K。其中终端设备的私钥由PKG根据终端设别的ID和PKG的主私钥生成。在本申请实施例中,网络设备的ID可以该网络设备的MAC地址、IP地址、统一资源定位符(Uniform Resource Locator,URL)地址、公开的电邮地址、邮政地址、注册的实体名字等等。
当终端设备一直处于同一个网络设备的认证范围内时。终端设备可以存储该对称密钥K,后续终端设备需要使用使用对称密钥K时,可以直接从存储空间中取出使用即可。
可选地,终端设备获取网络设备的ID方式包括:网络设备的ID为所述第二随机数;或者网络设备的身份标识携带在AMF参数中。或者,网络设备向终端设备发送消息,该消息中包括网络设备的ID。例如:当所述网络设备为接入网设备时,所述网络设备发送广播消息;其中,所述广播消息包括所述网络设备的ID,以使所述终端设备根据所述网络设备的ID和所述终端设备的私钥生成所述终端设备侧的对称密钥。
具体地,结合上述可选方式对网络认证过程进行举例说明:
假设进行网络认证的网络设备为接入网AN中的基站或者接入点AP或者为AN中其他的设备。终端设备根据网络设备的ID和终端设备的私钥生成终端设备侧的对称密钥。网络设备根据终端设备的ID和网络设备的私钥生成网络设备侧的对称密钥。网络设备根据伪SQN确定终端设备正确的SQN。具体地,图4为本申请另一实施例提供的一种网络认证方法的交互流程图,如图4所示,该方法包括:
步骤S401:网络设备发送广播消息。该广播消息包括网络设备的ID。
步骤S402:终端设备根据网络设备的ID和终端设备的私钥生成终端设备侧的对称密钥。
步骤S403:终端设备向网络设备发送接入请求消息,该消息包括:终端设备的ID、终端设备的网络能力以及密钥KSIASME。
其中终端设备的网络能力和密钥KSIASME都是现有EPS-AKA认证协议中的参数,其含义与EPS-AKA认证协议中的含义相同。在此不再赘述。需要说明的是,密钥KSIASME是根据对称密钥K生成的,它用于生成之后的会话密钥。
步骤S404:网络设备根据网络设备的私钥和终端设备的ID生成网络设备侧的对称密钥K。
步骤S405:网络设备生成伪SQN。
其中该伪SQN可以是一个固定的一串数字,也可以是随机产生的一串数字,要求是符合EPS-AKA中的序列号格式和长度要求。
步骤S406:网络设备根据网络设备侧的对称密钥K、伪SQN、第二RAND和AMF参数生成第三AUTN。
步骤S407:网络设备向终端设备发送认证请求;该认证请求包括:第二RAND、第三AUTN和密钥KSIASME。
步骤S408:终端设备根据终端设备侧的对称密钥K、第三AUTN、第二RAND和AMF确定伪SQN。
步骤S409:终端设备根据正确的SQN、第三RAND、AMF和终端设备侧的对称密钥K生成重同步参数AUTS。
步骤S410:终端设备向网络设备发送重同步消息,该重同步消息包括第三RAND和重同步参数AUTS。
步骤S411:网络设备根据该第三RAND和重同步参数AUTS确定正确的SQN。
步骤S412:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
步骤S413:网络设备再次向终端设备发送认证请求,该认证请求包括第一RAND、第一AUTN和密钥KSIASME。
步骤S414:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN;
步骤S415:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
步骤S416:网络设备接收终端设备发送的认证响应消息,认证响应消息包括RES。
步骤S417:网络设备根据网络设备侧的对称密钥和第一随机数生成XRES。
步骤S418:网络设备根据RES和XRES认证终端设备。
其中图4对应实施例与图3对应实施例中相同的步骤,在此不再赘述解释。
需要说明的是,步骤S417和步骤S412可以合并为一个步骤执行。
本申请提供一种网络认证方法,一方面网络设备根据终端设备的ID和网络设备的私钥生成对称密钥K,另一方面通过伪SQN实时生成终端设备正确的SQN。也就是说,本申请中网络设备无需存储对称密钥K以及终端设备正确的SQN,而是实时生成对称密钥K,以及确定实时生成终端设备正确的SQN。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
假设进行网络认证的网络设备为核心网设备,例如:可以是MME或者AUSF等。终端设备根据网络设备的ID和终端设备的私钥生成终端设备侧的对称密钥。其中网络设备的ID为第二随机数。网络设备根据终端设备的ID和网络设备的私钥生成网络设备侧的对称密钥。网络设备根据伪SQN确定终端设备正确的SQN。具体地,图5为本申请再一实施例提供的一种网络认证方法的交互流程图,如图5所示,该方法包括:
步骤S501:终端设备向网络设备发送接入请求消息,该消息格式包括:终端设备的ID、终端设备的网络能力以及密钥KSIASME。
其中终端设备的网络能力和密钥KSIASME都是现有EPS-AKA认证协议中的参数,其含义与EPS-AKA认证协议中的含义相同。在此不再赘述。需要说明的是,密钥KSIASME是根据对称密钥K生成的,它用于生成之后的会话密钥。
步骤S502:网络设备根据网络设备的私钥和终端设备的ID生成网络设备侧的对称密钥K。
步骤S503:网络设备生成伪SQN。
其中该伪SQN可以是一个固定的一串数字,也可以是随机产生的一串数字,要求是符合EPS-AKA中的序列号格式和长度要求。
步骤S504:网络设备根据网络设备侧的对称密钥K、伪SQN、网络设备的ID和AMF参数生成第三AUTN。
其中,这里网络设备的ID代替了第二随机数。即通过该方式可以将网络设备的ID发送给终端设备。
步骤S505:网络设备向终端设备发送认证请求;该认证请求包括:网络设备的ID、第三AUTN和密钥KSIASME。
步骤S506:终端设备根据网络设备的ID和终端设备的私钥生成对称密钥K。
步骤S507:终端设备根据终端设备侧的对称密钥K、第三AUTN、网络设备的ID和AMF确定伪SQN。
步骤S508:终端设备根据正确的SQN、第三RAND、AMF和终端设备侧的对称密钥K生成重同步参数AUTS。
步骤S509:终端设备向网络设备发送重同步消息,该重同步消息包括第三RAND和重同步参数AUTS。
步骤S510:网络设备根据该第三RAND和重同步参数AUTS确定正确的SQN。
步骤S511:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
步骤S512:网络设备再次向终端设备发送认证请求,该认证请求包括第一RAND、第一AUTN和密钥KSIASME。
步骤S513:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN;
步骤S514:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
步骤S515:网络设备接收终端设备发送的认证响应消息,认证响应消息包括RES。
步骤S516:网络设备根据网络设备侧的对称密钥和第一随机数生成XRES。
步骤S517:网络设备根据RES和XRES认证终端设备。
其中图5对应实施例与图3对应实施例中相同的步骤,在此不再赘述解释。
需要说明的是,步骤S516和步骤S511可以合并为一个步骤执行。
本申请实施例与图5对应实施例不同之处在于,本申请利用网络设备的ID代替第二随机数,通过该方法传输网络设备的ID。从而可以降低网络开销。
假设终端设备一直处于同一个网络设备的认证范围内,且该终端设备已经存储了终端设备侧的对称密钥K,且网络设备根据包括该终端设备的多个终端设备对应的公共密钥和终端设备的ID推演出网络设备侧的对称密钥K。具体地,图6为本申请又一实施例提供的一种网络认证方法的交互流程图,如图6所示,该方法包括:
步骤S601:终端设备向网络设备发送接入请求消息,该消息格式包括:终端设备的ID、终端设备的网络能力以及密钥KSIASME。
其中终端设备的网络能力和密钥KSIASME都是现有EPS-AKA认证协议中的参数,其含义与EPS-AKA认证协议中的含义相同。在此不再赘述。需要说明的是,密钥KSIASME是根据对称密钥K生成的,它用于生成之后的会话密钥。
步骤S602:网络设备根据所述公共密钥和终端设备的ID生成网络设备侧的对称密钥K。
步骤S603:网络设备生成伪SQN。
其中该伪SQN可以是一个固定的一串数字,也可以是随机产生的一串数字,要求是符合EPS-AKA中的序列号格式和长度要求。
步骤S604:网络设备根据网络设备侧的对称密钥K、伪SQN、第二随机数和AMF参数生成第三AUTN。
步骤S605:网络设备向终端设备发送认证请求;该认证请求包括:第二随机数、第三AUTN和密钥KSIASME。
步骤S606:终端设备根据网络设备的ID和终端设备的私钥生成对称密钥K。
步骤S607:终端设备根据终端设备侧的对称密钥K、第三AUTN、网络设备的ID和AMF确定伪SQN。
步骤S608:终端设备根据正确的SQN、第三RAND、AMF和终端设备侧的对称密钥K生成重同步参数AUTS。
步骤S609:终端设备向网络设备发送重同步消息,该重同步消息包括第三RAND和重同步参数AUTS。
步骤S610:网络设备根据该第三RAND和重同步参数AUTS确定正确的SQN。
步骤S611:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
步骤S612:网络设备再次向终端设备发送认证请求,该认证请求包括第一RAND、第一AUTN和密钥KSIASME。
步骤S613:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN;
步骤S614:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
步骤S615:网络设备接收终端设备发送的认证响应消息,认证响应消息包括RES。
步骤S616:网络设备根据网络设备侧的对称密钥和第一随机数生成XRES。
步骤S617:网络设备根据RES和XRES认证终端设备。
其中图6对应实施例与图3对应实施例中相同的步骤,在此不再赘述解释。
需要说明的是,步骤S616和步骤S611可以合并为一个步骤执行。
本申请实施例与上述实施例不同之处在于,本申请网络设备可以通过公共密钥和终端设备的ID生成网络设备侧的对称密钥,也就是说,本申请中网络设备无需存储对称密钥K以及终端设备正确的SQN,而是实时生成对称密钥K,从而可以降低现有技术中HSS的存储负载。
假设进行网络认证的网络设备为接入网AN中的基站或者接入点AP或者为AN中其他的设备。终端设备根据网络设备的ID和终端设备的私钥生成终端设备侧的对称密钥。网络设备根据终端设备的ID和网络设备的私钥生成网络设备侧的对称密钥。网络设备生成第一SQN,该第一SQN是根据当前的时间信息生成的SQN,即该SQN为终端设备正确的SQN。具体地,图7为本申请再一实施例提供的一种网络认证方法的交互流程图,如图7所示,该方法包括:
步骤S701:网络设备发送广播消息。该广播消息包括网络设备的ID。
步骤S702:终端设备根据网络设备的ID和终端设备的私钥生成终端设备侧的对称密钥。
步骤S703:终端设备向网络设备发送接入请求消息,该消息格式包括:终端设备的ID、终端设备的网络能力以及密钥KSIASME。
其中终端设备的网络能力和密钥KSIASME都是现有EPS-AKA认证协议中的参数,其含义与EPS-AKA认证协议中的含义相同。在此不再赘述。需要说明的是,密钥KSIASME是根据对称密钥K生成的,它用于生成之后的会话密钥。
步骤S704:网络设备根据网络设备的私钥和终端设备的ID生成网络设备侧的对称密钥K。
步骤S705:网络设备根据当前的时间信息生成第一SQN。其中该第一SQN为正确的SQN。
步骤S706:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
步骤S707:网络设备再次向终端设备发送认证请求,该认证请求包括第一RAND、第一AUTN和密钥KSIASME。
步骤S708:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN。
步骤S709:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
步骤S710:网络设备接收终端设备发送的认证响应消息,认证响应消息包括RES。
步骤S711:网络设备根据网络设备侧的对称密钥和第一随机数生成XRES。
步骤S712:网络设备根据RES和XRES认证终端设备。
其中图7对应实施例与图3对应实施例中相同的步骤,在此不再赘述解释。
需要说明的是,步骤S711和步骤S706可以合并为一个步骤执行。
本申请提供一种网络认证方法,一方面网络设备根据终端设备的ID和网络设备的私钥生成对称密钥K,另一方面基于当前的时间信息生成第一SQN,该第一SQN即为终端设备正确的SQN。也就是说,本申请中网络设备无需存储对称密钥K以及终端设备正确的SQN,而是实时生成对称密钥K,以及确定实时生成终端设备正确的SQN。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
假设终端设备一直处于同一个网络设备的认证范围内,且该终端设备已经存储了终端设备侧的对称密钥K,且网络设备根据包括该终端设备的多个终端设备对应的公共密钥和终端设备的ID推演出网络设备侧的对称密钥K。并且网络设备生成第一SQN,该第一SQN是根据当前的时间信息生成的SQN,即该SQN为终端设备正确的SQN。具体地,图8为本申请再一实施例提供的一种网络认证方法的交互流程图,如图8所示,该方法包括:
步骤S801:终端设备向网络设备发送接入请求消息,该消息格式包括:终端设备的ID、终端设备的网络能力以及密钥KSIASME。
其中终端设备的网络能力和密钥KSIASME都是现有EPS-AKA认证协议中的参数,其含义与EPS-AKA认证协议中的含义相同。在此不再赘述。需要说明的是,密钥KSIASME是根据对称密钥K生成的,它用于生成之后的会话密钥。
步骤S802:网络设备根据所述公共密钥和终端设备的ID生成网络设备侧的对称密钥K。
步骤S803:网络设备根据当前的时间信息生成第一SQN。其中该第一SQN为正确的SQN。
步骤S804:网络设备根据网络设备侧的对称密钥K、正确的SQN、第一RAND和AMF参数生成第一AUTN。
步骤S805:网络设备向终端设备发送认证请求,该认证请求包括第一RAND、第一AUTN和密钥KSIASME。
步骤S806:终端设备根据终端设备侧的对称密钥K、第一RAND、正确的SQN生成第二AUTN;
步骤S807:终端设备根据第一AUTN和第二AUTN对网络设备进行认证。
步骤S808:网络设备接收终端设备发送的认证响应消息,认证响应消息包括RES。
步骤S809:网络设备根据网络设备侧的对称密钥和第一随机数生成XRES。
步骤S810:网络设备根据RES和XRES认证终端设备。
其中图8对应实施例与图3对应实施例中相同的步骤,在此不再赘述解释。
需要说明的是,步骤S809和步骤S804可以合并为一个步骤执行。
本申请提供一种网络认证方法,一方面网络设备根据公共密钥和网络设备的私钥生成对称密钥K,另一方面基于当前的时间信息生成第一SQN,该第一SQN即为终端设备正确的SQN。也就是说,本申请中网络设备无需存储对称密钥K以及终端设备正确的SQN,而是实时生成对称密钥K,以及确定实时生成终端设备正确的SQN。从而可以降低现有技术中HSS的存储负载,并且由于本申请中终端设备和网络设备之间无需MME等设备进行网络认证,从而可以缩短网络认证链条,进而提高网络认证效率。
图9为本申请一实施例提供的一种网络认证装置的结构示意图,如图9所示,该装置包括:获取模块901、第一生成模块902、第二生成模块903、确定模块904、第三生成模块905、发送模块906、接收模块907和第四生成模块908。
其中获取模块901,用于获取终端设备的身份标识。第一生成模块902,用于根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;第二生成模块903,用于为终端设备生成第一序列号;确定模块904,用于根据第一序列号确定终端设备的正确的序列号;第三生成模块905,用于根据网络设备侧的对称密钥、正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成第一认证令牌;其中,认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;发送模块906,用于向终端设备发送第一随机数和第一认证令牌;以使终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;其中,第二认证令牌是终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成的;接收模块907,用于接收终端设备发送的认证响应消息;其中,认证响应消息包括第一认证参数;第一认证参数根据第一随机数和终端设备侧的对称密钥生成;第四生成模块908,用于根据网络设备侧的对称密钥和第一随机数生成第二认证参数;根据第一认证参数和第二认证参数认证终端设备。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;相应的,确定模块904,具体用于根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成第三认证令牌;发送模块906,还用于发送第二随机数和第三认证令牌,以使终端设备根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;接收模块907,还用于接收终端设备发送的重同步消息;重同步消息包括重同步参数和第三随机数;确定模块904,具体用于根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,发送模块906还用于发送广播消息;其中,广播消息包括网络设备的身份标识,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
本申请提供一种网络认证装置,该网络认证装置可以用于执行上述网络设备执行的方法步骤,其实现原理和技术效果类似,此处不再赘述。
图10为本申请另一实施例提供的一种网络认证装置的结构示意图,如图10所示,该装置包括:发送模块1001、接收模块1002、第一确定模块1003、第一生成模块1004、认证模块1005、第二生成模块1006、第二确定模块1007、第三生成模块1008和第四生成模块1009。
其中,发送模块1001,用于向网络设备发送终端设备的身份标识;以使网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;接收模块1002,用于接收网络设备发送的第一随机数和第一认证令牌;其中,第一认证令牌是网络设备根据网络设备侧的对称密钥、终端设备的正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成的;认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;第一确定模块1003,用于根据第一认证令牌、终端设备侧的对称密钥、第一随机数和认证管理域参数确定正确的序列号;第一生成模块1004,用于根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成第二认证令牌;认证模块1005,用于根据第一认证令牌和第二认证令牌对网络设备进行认证;第二生成模块1006,用于根据第一随机数和终端设备侧的对称密钥生成第一认证参数;发送模块1001,还用于向网络设备发送认证响应消息;其中,认证响应消息包括第一认证参数;其中,第一认证参数用于网络设备对终端设备进行认证。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,正确的序列号是网络设备通过第一序列号确定的。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;接收模块1002,还用于接收网络设备发送的第二随机数和第三认证令牌;其中,第三认证令牌是网络设备根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成的;第二确定模块1007,用于根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;第三生成模块1008,用于根据正确的序列号、第三随机数、认证管理域参数和终端设备侧的对称密钥生成重同步参数;发送模块1001,还用于向网络设备发送重同步消息;其中,重同步消息包括重同步参数和第三随机数,以使网络设备根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中;第四生成模块1009,用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,接收模块1002还用于接收网络设备发送的广播消息;其中,广播消息包括网络设备的身份标识;第四生成模块1009,用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
本申请提供一种网络认证装置,该网络认证装置可以用于执行上述终端设备执行的方法步骤,其实现原理和技术效果类似,此处不再赘述。
图11为本申请一实施例提供的一种网络设备的结构示意图,如图11所示,该网络设备包括:处理器1101、接收器1102、发送器1103和存储器1104;其中存储器1104用于存储代码,当代码被处理器1101运行时,以实现上述网络设备执行的方法实施例。具体地,处理器1101用于获取终端设备的身份标识;根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;为终端设备生成第一序列号;根据第一序列号确定终端设备的正确的序列号;根据网络设备侧的对称密钥、正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成第一认证令牌;其中,认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;发送器1103,用于向终端设备发送第一随机数和第一认证令牌;以使终端设备根据第一认证令牌和第二认证令牌对网络设备进行认证;其中,第二认证令牌是终端设备根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成的;接收器1102,用于接收终端设备发送的认证响应消息;其中,认证响应消息包括第一认证参数;第一认证参数根据第一随机数和终端设备侧的对称密钥生成;处理器1101还用于根据网络设备侧的对称密钥和第一随机数生成第二认证参数;根据第一认证参数和第二认证参数认证终端设备。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;相应的,处理器1101,具体用于根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成第三认证令牌;发送器1103,还用于发送第二随机数和第三认证令牌,以使终端设备根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;接收器1102,还用于接收终端设备发送的重同步消息;重同步消息包括重同步参数和第三随机数;处理器1101,具体用于根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,发送器1103还用于发送广播消息;其中,广播消息包括网络设备的身份标识,以使终端设备根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
本申请提供一种网络设备,该网络设备可以用于执行上述网络设备执行的方法步骤,其实现原理和技术效果类似,此处不再赘述。
图12为本申请另一实施例提供的一种终端设备的结构示意图,如图12所示,终端设备,包括:发送器1201、接收器1202和处理器1203和存储器1204;其中存储器1204用于存储代码,当代码被处理器1203运行时,以实现上述终端设备执行的方法实施例。具体地,发送器1201,用于向网络设备发送终端设备的身份标识;以使网络设备根据终端设备的身份标识和网络设备的第一密钥生成网络设备侧的对称密钥;接收器1202,用于接收网络设备发送的第一随机数和第一认证令牌;其中,第一认证令牌是网络设备根据网络设备侧的对称密钥、终端设备的正确的序列号、第一随机数和网络设备为终端设备配置的认证管理域参数生成的;认证管理域参数用于限定终端设备在网络认证过程中涉及的参数;处理器1203用于:根据第一认证令牌、终端设备侧的对称密钥、第一随机数和认证管理域参数确定正确的序列号;根据终端设备侧的对称密钥、第一随机数、正确的序列号和认证管理域参数生成第二认证令牌;根据第一认证令牌和第二认证令牌对网络设备进行认证;根据第一随机数和终端设备侧的对称密钥生成第一认证参数;发送器1201,还用于向网络设备发送认证响应消息;其中,认证响应消息包括第一认证参数;其中,第一认证参数用于网络设备对终端设备进行认证。
可选地,第一密钥为网络设备的私钥;或者,第一密钥为包括终端设备的多个终端设备对应的公共密钥。
可选地,正确的序列号是网络设备通过第一序列号确定的。
可选地,第一序列号为网络设备根据当前的时间信息生成的序列号;其中,第一序列号与正确的序列号相同。
可选地,第一序列号为终端设备的伪序列号;接收器1202,还用于接收网络设备发送的第二随机数和第三认证令牌;其中,第三认证令牌是网络设备根据网络设备侧的对称密钥、伪序列号、第二随机数和认证管理域参数生成的;处理器1203还用于:根据终端设备侧的对称密钥、第三认证令牌、第二随机数和认证管理域参数确定伪序列号;根据正确的序列号、第三随机数、认证管理域参数和终端设备侧的对称密钥生成重同步参数;发送器1201,还用于向网络设备发送重同步消息;其中,重同步消息包括重同步参数和第三随机数,以使网络设备根据重同步参数和第三随机数确定正确的序列号。
可选地,网络设备的身份标识为第二随机数;或者网络设备的身份标识携带在认证管理域参数中;处理器1203,还用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
可选地,当网络设备为接入网设备时,接收器1202还用于接收网络设备发送的广播消息;其中,广播消息包括网络设备的身份标识;处理器1203,还用于根据网络设备的身份标识和终端设备的私钥生成终端设备侧的对称密钥。
本申请提供一种终端设备,该终端设备可以用于执行上述终端设备执行的方法步骤,其实现原理和技术效果类似,此处不再赘述。
目前在5G技术中存在3种网络认证方式,分别为基于扩展认证协议的认证和密钥协商方法(Extensible Authentication Protocol Authentication and KeyAgreement’,EAP AKA’),5G认证和密钥协商方法(5th generation wireless systems,5GAKA)以及基于扩展认证协议的传输层安全协定(Extensible Authentication Protocol-Transport Layer Security,EAP-TLS)。
具体地,图13为本申请一实施例提供的EAP AKA’的认证流程图,如图13所示,EAPAKA’的认证流程包括:
步骤S1301:认证服务器(Authentication Server Function,AUSF)向统一的数据管理(Unified Data Management,UDM)或认证信任状存储和操作功能网元(Authentication Credential Repository and Processing Function,ARPF)网元发送认证请求(Auth-info Req)。
步骤S1302:UDM或ARPF生成认证向量。
步骤S1303:UDM或ARPF向AUSF发送认证响应(Auth-info Resp)。
步骤S1304:AUSF向安全锚点(Security Anchor Function,SEAF)发送5G认证初始响应(5G Authentication Initiation Answer,5G-AIA)。
该5G-AIA为EAP请求(EAP Request),该EAP请求包括AKA’挑战(AKA’-Challenge)信息。
步骤S1305:SEAF向终端设备发送认证请求(Auth-Req)。
该认证请求为EAP请求(EAP Request),该EAP请求包括AKA’挑战(AKA’-Challenge)信息。
步骤S1306:终端设备计算认证响应(Auth-Resp)。
步骤S1307:终端设备向SEAF发送认证响应(Auth-Resp)。
该认证响应为EAP响应(EAP Response),该EAP响应包括AKA’挑战(AKA’-Challenge)信息。
步骤S1308:SEAF向AUSF发送认证响应(Auth-Resp)。
该认证响应为EAP响应(EAP Response),该EAP响应包括AKA’挑战(AKA’-Challenge)信息。
步骤S1309:AUSF验证认证响应(Auth-Resp)。
步骤S1310:终端设备和AUSF之间可选地交互其他EAP消息(Optional exchangeof further EAP messages)。
步骤S1311:AUSF向SEAF发送EAP成功消息(EAP Success)。
步骤S1312:SEAF向终端设备发送EAP成功消息(EAP Success)。
可选地,在步骤S1301之前,终端设备还向SEAF发送终端设备的标识(Identity,ID),SEAF将终端设备的ID转发给AUSF;AUSF将终端设备的ID转发给ARPF。其中终端设备的ID可以为终端设备的IMSI,也可以为用户永久标识(Subscription PermanentIdentifier,SUPI),或者是用户被封装标识(Subscription Concealed Identifier,SUCI)等。若终端设备的ID为SUCI,则ARPF需要对该SUCI进行解密,具体解密方式为现有技术,本申请对此不做限制。
上述EAP AKA’认证方式为现有认证方式,可参考对应标准协议,本申请对此不做详细说明。
图14为本申请一实施例提供的5G AKA的认证流程图,如图14所示,5G AKA的认证流程包括:
步骤S1401:AUSF向UDM或ARPF发送认证请求(Auth-info Req)。
步骤S1402:UDM或ARPF生成认证向量。
步骤S1403:UDM或ARPF向AUSF发送认证响应(Auth-info Resp)。
步骤S1404:AUSF存储期待响应(Expected Response,XRES),并计算被哈希的期待响应(Hashed Expected Response,HXRES)。
步骤S1405:AUSF向SEAF发送5G-AIA
步骤S1406:SEAF校验认证向量的有效期。
步骤S1407:SEAF向终端设备发送认证请求(Auth-Req)。
步骤S1408:终端设备计算认证响应(Auth-Resp)。
步骤S1409:终端设备向SEAF发送认证响应(Auth-Resp)
步骤S1410:SEAF根据XRES计算HXRES*,并比较HXRES*和HXRES。
步骤S1411:SEAF向AUSF发送5G认证确认消息(5G AuthenticationConfirmation,5G-AC)。
步骤S1412:AUSF进行认证。
步骤S1413:AUSF向SEAF发送5G认证确认响应消息(5G AuthenticationConfirmation Answer,5G-ACA)。
可选地,在步骤S1401之前,终端设备还向SEAF发送终端设备ID,SEAF将终端设备的ID转发给AUSF;AUSF将终端设备ID转发给ARPF。其中终端设备的ID可以为终端设备的IMSI,也可以为SUPI,或者是SUCI等。若终端设备的ID为SUCI,则ARPF需要对该SUCI进行解密,具体解密方式为现有技术,本申请对此不做限制。
上述5G AKA认证方式为现有认证方式,可参考对应标准协议,本申请对此不做详细说明。
图15为本申请一实施例提供的EAP-TLS的认证流程图,如图15所示,EAP-TLS的认证流程包括:
步骤S1501:终端设备向接入网设备发送注册请求(Registration Request)。
步骤S1502:接入网设备进行AMF选择(AMF Selection)。
步骤S1503:接入网设备向AMF或SEAF发送注册请求(Registration Request)。
步骤S1504:AMF或SEAF进行AUSF选择(AUSF Selection)。
步骤S1505:AMF或SEAF向AUSF发送认证初始请求消息(AuthenticationInitiation Request)。
步骤S1506:AUSF向AMF或SEAF发送EAP请求。
该EAP请求为TLS发起消息(TLS start)。
步骤S1507:AMF或SEAF向终端设备发送EAP请求。
步骤S1508:终端设备向AMF或SEAF发送EAP响应。
该EAP响应为TLS客户端问候消息(TLS client_hello)。
步骤S1509:AMF或SEAF向AUSF发送EAP响应。
步骤S1510:AUSF向AMF或SEAF发送EAP请求。
该EAP请求包括:TLS服务端问候消息(TLS server_hello),TLS证书(TLSCertificate),TLS服务端密钥交换参数(TLS server_key_exchange),TLS证书请求消息(TLS Certificate_request),TLS服务端问候结束消息(TLSserver_hello_done)。
步骤S1511:AMF或SEAF向终端设备发送EAP请求。
该EAP请求包括:TLS服务端问候消息(TLS server_hello),TLS证书(TLSCertificate),TLS服务端密钥协商消息(TLS server_key_exchange),TLS证书请求消息(TLS Certificate_request),TLS服务端问候结束消息(TLS server_hello_done)。
步骤S1512:终端设备对网络侧设备进行认证(UE authenticate network)
步骤S1513:终端设备向AMF或SEAF发送EAP响应(EAP Response)。
该EAP响应包括TLS证书(TLS Certificate),TLS客户端密钥交换参数(TLSclient_key_exchange),TLS证书验证(TLS Certificate_verify),TLS加密参数更改(TLSchange_cipher_spec),TLS结束消息(TLS finished)。
步骤S1514:AMF或SEAF向AUSF发送EAP响应(EAP Response)。
该EAP响应包括TLS证书(TLS Certificate),TLS客户端密钥交换参数(TLSclient_key_exchange),TLS证书验证(TLS Certificate_verify),TLS加密参数更改(TLSchange_cipher_spec),TLS结束消息(TLS finished)。
步骤S1515:AUSF对终端设备进行认证(Network authenticate UE)。
步骤S1516:AUSF向AMF或SEAF发送EAP请求。
该EAP请求包括TLS加密参数更改(TLS change_cipher_spec),TLS结束消息(TLSfinished)。
步骤S1517:AMF或SEAF向终端设备发送EAP请求。
该EAP请求包括TLS加密参数更改(TLS change_cipher_spec),TLS结束消息(TLSfinished)。
步骤S1518:终端设备向AMF或SEAF发送EAP响应(EAP Response)。
步骤S1519:AMF或SEAF向AUSF发送EAP响应(EAP Response)。
步骤S1520:AUSF向AMF或SEAF发送EAP成功消息(EAP Success)。
步骤S1521:AMF或SEAF向终端设备发送EAP成功消息(EAP Success)。
可选地,在步骤S1501中,注册请求中可以携带终端设备的ID,其中终端设备的ID可以为终端设备的IMSI,也可以为SUPI,或者是SUCI等。若终端设备的ID为SUCI,则ARPF需要对该SUCI进行解密,具体解密方式为现有技术,本申请对此不做限制。
进一步地,在S1510、S1511等步骤中还会使用到终端设备的证书(TLSCertificate)。对证书的保护可以采用现有技术。
一种可选方式:执行两轮TLS,第一轮TLS用于建立安全管道,第二轮TLS用于认证。即在第一轮的TLS中,终端设备通过传一个空证书用于建立安全管道,在第二轮中传真实的证书用于认证。上述步骤S1508-步骤S1515,或者,步骤S1508-步骤1519,或者,步骤S1508-步骤1521,或者,步骤S1510-步骤S1515,或者,步骤S1510-步骤1519,或者,步骤S1510-步骤1521是第二轮TLS的过程,可选地,在步骤S1508或步骤S1510之前还包括,执行空证书的传输工程,具体方式就是TLS交换中不传输证书,仅执行密钥协商。
另一种可选方式:终端设备和网络侧设备先进行密钥协商,终端设备和网络侧设备在进行证书传输时,可以采用协商好的密钥对证书进行加密传输。
上述EAP-TLS认证方式为现有认证方式,可参考对应标准协议,本申请对此不做详细说明。
若5G网络认证技术中仅具有EAP AKA‘和5G AKA两种认证方法,则AUSF可以通过两种方式确定采用哪一种网络认证方式,即根据ARPF响应的消息确定采用哪一种认证方式:
方法1:基于AMF中separationbit是否为1,确实是EAP AKA‘认证,还是5G AKA的认证。
方法2:基于认证向量的格式来确定,EAP AKA’中认证向量有5个参数;而5G AKA中认证向量有4个参数。
然而,目前存在上述3种网络认证方式,甚至更多,对于ARPF或UDM来讲,如何通知AUSF具体采用哪种网络认证方式是本申请实施例亟待解决的技术问题。
具体地,图16为本申请一实施例提供的网络认证方法的流程图,如图16所示,该方法包括如下步骤:
步骤S1601:第一网络设备获取终端设备的ID。
第一网络设备可以为ARPF或者为UDM,或者是与ARPF或UDM具有类似功能的网元,本申请对此不做限制。
其中,第一网络设备可以获取终端设备的注册消息,该注册消息包括终端设备的ID,该终端设备的ID可以为终端设备的IMSI,也可以为SUPI,或者是SUCI等。若终端设备的ID为SUCI,则ARPF需要对该SUCI进行解密,具体解密方式为现有技术,本申请对此不做限制。
步骤S1602:第一网络设备根据所述终端设备的ID,确定网络侧设备和终端设备之间将要采用的目标网络认证方式。
其中,第一网络设备中可以存储各终端设备的ID与网络认证方式的映射关系,该映射关系可以以表格形式存储,基于此,第一网络设备可通过查表的方式确定终端设备的ID对应的目标网络认证方式。本申请对第一网络设备如何确定目标网络认证方式不做限制。
所述网络侧设备包括第一网络设备和第二网络设备。
所述目标网络认证方式为EAP AKA’,5G AKA,以及EAP-TLS中的任一项,当然,该目标网络认证方式还可以是上述图3至图9对应实施例所述的网络认证方法,本申请对目标网络认证方式不做限制。
步骤S1603:第一网络设备向第二网络设备发送指示信息,指示信息用于指示网络侧设备和终端设备之间将要采用的目标网络认证方式。
第二网络设备可以为AUSF,或者是与AUSF具有类似功能的网元,本申请对此不做限制。
所述指示信息可以携带在第一网络设备向第二网络设备发送的认证向量中,或者,该第一网络设备可以向第二网络设备独立发送指示信息。若现有3种网络认证方式,如EAP AKA’,5G AKA,以及EAP-TLS,则指示信息长度为2比特,例如若指示信息携带在认证向量中,该2比特分别为separation bit和EAP-TLS指示比特位一起来指示是否采用EAP-TLS。具体地,若separation bit为0,则指示采用5G AKA。若separation bit为1,而EAP-TLS指示比特位为0,则指示采用EAP AKA’。若separation bit为1,而EAP-TLS指示比特位为1,则指示采用EAP-TLS。
步骤S1604:第二网络设备根据目标网络认证方式发送消息。
当目标网络认证方式为EAP AKA’时,则第二网络设备发送的消息为认证请求(Auth-info Req)。例如:步骤S1601可以在步骤S1301之前执行,步骤S1301相当于步骤S1604。
当目标网络认证方式为5G AKA时,则第二网络设备发送的消息为认证请求(Auth-info Req)。例如:步骤S1601可以在步骤S1401之前执行,步骤S1401相当于步骤S1604。
当目标网络认证方式为EAP-TLS时,则第二网络设备发送的消息为EAPRequest。例如:图17为本申请一实施例提供的网络认证方法的交互流程图,在图15的基础之上,步骤S1506之前还包括:步骤a:AUSF向APRF发送注册请求(Registration Request);步骤b:ARPF向AUSF发送指示信息,如上所述,ARPF可以独立向AUSF发送该指示信息,或者将该指示信息携带在ARPF向AUSF发送的认证向量中。当AUSF根据指示信息确定目标网络认证方式为EAP-TLS时,步骤S1506相当于步骤S1604。
本申请提供一种网络认证方法,通过指示信息可以指示网络侧设备和终端设备之间将要采用的目标网络认证方式。以使网络侧设备和终端设备采用所述目标网络认证方式进行网络认证。
对于ARPF或UDM来讲,如何通知AUSF是否使用目标网络认证方式,如EAP-TLS是本申请实施例亟待解决的另一技术问题。
具体地,图18为本申请另一实施例提供的网络认证方法的流程图,如图18所示,该方法包括如下步骤:
步骤S1801:第一网络设备获取终端设备的ID。
第一网络设备可以为ARPF或者为UDM,或者是与ARPF或UDM具有类似功能的网元,本申请对此不做限制。
其中,第一网络设备可以获取终端设备的注册消息,该注册消息包括终端设备的ID,该终端设备的ID可以为终端设备的IMSI,也可以为SUPI,或者是SUCI等。若终端设备的ID为SUCI,则ARPF需要对该SUCI进行解密,具体解密方式为现有技术,本申请对此不做限制。
步骤S1802:第一网络设备根据终端设备的ID,判断网络侧设备和终端设备之间是否将要采用目标网络认证方式。
其中,第一网络设备中可以存储各终端设备的ID与网络认证方式的映射关系,该映射关系可以以表格形式存储,基于此,第一网络设备可通过查表的方式判断网络侧设备和终端设备之间是否将要采用目标网络认证方式。本申请对第一网络设备如何判断网络侧设备和终端设备之间是否将要采用目标网络认证方式不做限制。
所述网络侧设备包括第一网络设备和第二网络设备。
所述目标网络认证方式为EAP AKA’,5G AKA,以及EAP-TLS中的任一项,当然,该目标网络认证方式还可以是上述图3至图9对应实施例所述的网络认证方法,本申请对目标网络认证方式不做限制。
步骤S1803:第一网络设备向第二网络设备发送指示信息,指示信息用于指示网络侧设备和终端设备之间是否将要采用目标网络认证方式。
第二网络设备可以为AUSF,或者是与AUSF具有类似功能的网元,本申请对此不做限制。
所述指示信息可以携带在第一网络设备向第二网络设备发送的认证向量中,或者,该第一网络设备可以向第二网络设备独立发送指示信息。若该指示信息携带在认证向量中,该指示信息的长度可以为1比特,该1比特为EAP-TLS指示比特位。具体地,若EAP-TLS指示比特位为0,则指示采用不采用EAP-TLS。若EAP-TLS指示比特位为1,则指示采用EAP-TLS。
步骤S1804:第二网络设备根据指示信息发送消息。
当目标网络认证方式为EAP AKA’时,则第二网络设备发送的消息为认证请求(Auth-info Req)。例如:步骤S1801可以在步骤S1301之前执行,步骤S1301相当于步骤S1804。
当目标网络认证方式为5G AKA时,则第二网络设备发送的消息为认证请求(Auth-info Req)。例如:步骤S1801可以在步骤S1401之前执行,步骤S1401相当于步骤S1804。
当目标网络认证方式为EAP-TLS时,则第二网络设备发送的消息为EAPRequest。例如:图19为本申请一实施例提供的网络认证方法的交互流程图,在图15的基础之上,步骤S1506之前还包括:步骤c:AUSF向APRF发送注册请求(Registration Request);步骤d:ARPF向AUSF发送指示信息,如上所述,ARPF可以独立向AUSF发送该指示信息,或者将该指示信息携带在ARPF向AUSF发送的认证向量中。当AUSF根据指示信息确定目标网络认证方式为EAP-TLS时,步骤S1506相当于步骤S1804。
本申请提供一种网络认证方法,通过指示信息指示网络侧设备和终端设备之间是否将要采用目标网络认证方式。以使网络侧设备和终端设备采用所述目标网络认证方式进行网络认证。
图20为本申请一实施例提供的一种网络设备的结构示意图,如图20所示,该网络设备包括:处理器2001、发送器2002和存储器2003。
存储器2003用于存储代码,当所述代码被处理器2001运行时,以使处理器2001用于:获取终端设备的标识;根据所述终端设备的标识,确定网络侧设备和所述终端设备之间将要采用的目标网络认证方式。
发送器2002,用于向第二网络设备发送指示信息,所述指示信息用于指示所述目标网络认证方式。
本申请提供的网络设备,可用于执行图16对应实施例中第一网络设备对应的方法,本申请对其内容和效果不再赘述。
图21为本申请另一实施例提供的一种网络设备的结构示意图,如图21所示,该网络设备包括:
接收器2101,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间将要采用的目标网络认证方式;
发送器2102,用于根据所述目标网络认证方式发送消息。
本申请提供的网络设备,可用于执行图16对应实施例中第二网络设备对应的方法,本申请对其内容和效果不再赘述。
图22为本申请再一实施例提供的一种网络设备的结构示意图,如图22所示,该网络设备包括:处理器2201、发送器2202和存储器2203。
存储器2203用于存储代码,当所述代码被处理器2201运行时,以使处理器2201用于:获取终端设备的标识;根据所述终端设备的标识,判断网络侧设备和所述终端设备之间是否将要采用目标网络认证方式。
发送器2202,用于向第二网络设备发送指示信息,所述指示信息用于指示所述网络侧设备和所述终端设备之间是否将要采用所述目标网络认证方式。
本申请提供的网络设备,可用于执行图18对应实施例中第一网络设备对应的方法,本申请对其内容和效果不再赘述。
图23为本申请又一实施例提供的一种网络设备的结构示意图,如图23所示,该网络设备包括:
接收器2301,用于接收指示信息,所述指示信息用于指示网络侧设备和终端设备之间是否将要采用目标网络认证方式;
发送器2302,用于根据所述指示信息发送消息。
本申请提供的网络设备,可用于执行图18对应实施例中第二网络设备对应的方法,本申请对其内容和效果不再赘述。
Claims (22)
1.一种网络认证方法,其特征在于,包括:
网络设备获取终端设备的身份标识;
所述网络设备根据所述终端设备的身份标识和所述网络设备的第一密钥生成所述网络设备侧的对称密钥;
所述网络设备为所述终端设备生成第一序列号,所述第一序列号为所述终端设备的伪序列号;
所述网络设备接收所述终端设备发送的重同步消息;所述重同步消息包括重同步参数和第三随机数;
所述网络设备根据所述重同步参数和所述第三随机数确定正确的序列号;
所述网络设备根据所述网络设备侧的对称密钥、所述正确的序列号、第一随机数和所述网络设备为所述终端设备配置的认证管理域参数生成第一认证令牌;其中,所述认证管理域参数用于限定所述终端设备在所述网络认证过程中涉及的参数;
所述网络设备向所述终端设备发送所述第一随机数和所述第一认证令牌;以使所述终端设备根据所述第一认证令牌和第二认证令牌对所述网络设备进行认证;其中,所述第二认证令牌是所述终端设备根据所述终端设备侧的对称密钥、所述第一随机数、所述正确的序列号和所述认证管理域参数生成的;
所述网络设备接收所述终端设备发送的认证响应消息;其中,所述认证响应消息包括第一认证参数;所述第一认证参数根据所述第一随机数和所述终端设备侧的对称密钥生成;
所述网络设备根据所述网络设备侧的对称密钥和所述第一随机数生成第二认证参数;
所述网络设备根据所述第一认证参数和所述第二认证参数认证所述终端设备。
2.根据权利要求1所述的方法,其特征在于,所述第一密钥为所述网络设备的私钥;或者,所述第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述网络设备根据所述网络设备侧的对称密钥、所述伪序列号、第二随机数和所述认证管理域参数生成第三认证令牌;
所述网络设备向所述终端设备发送所述第二随机数和所述第三认证令牌,以使所述终端设备根据所述终端设备侧的对称密钥、所述第三认证令牌、所述第二随机数和所述认证管理域参数确定所述伪序列号。
4.根据权利要求3所述的方法,其特征在于,所述网络设备的身份标识为所述第二随机数;或者所述网络设备的身份标识携带在所述认证管理域参数中,以使所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
5.根据权利要求1或2所述的方法,其特征在于,还包括:
当所述网络设备为接入网设备时,所述网络设备发送广播消息;其中,所述广播消息包括所述网络设备的身份标识,以使所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
6.一种网络认证方法,其特征在于,包括:
终端设备向网络设备发送所述终端设备的身份标识;以使所述网络设备根据所述终端设备的身份标识和所述网络设备的第一密钥生成所述网络设备侧的对称密钥;
所述终端设备向所述网络设备发送重同步消息;其中,所述重同步消息包括重同步参数和第三随机数,以使所述网络设备根据所述重同步参数和所述第三随机数确定正确的序列号;
所述终端设备接收所述网络设备发送的第一随机数和第一认证令牌;其中,所述第一认证令牌是所述网络设备根据所述网络设备侧的对称密钥、所述终端设备的正确的序列号、所述第一随机数和所述网络设备为所述终端设备配置的认证管理域参数生成的;所述认证管理域参数用于限定所述终端设备在所述网络认证过程中涉及的参数;
所述终端设备根据所述第一认证令牌、所述终端设备侧的对称密钥、所述第一随机数和所述认证管理域参数确定所述正确的序列号;
所述终端设备根据所述终端设备侧的对称密钥、所述第一随机数、所述正确的序列号和所述认证管理域参数生成第二认证令牌;
所述终端设备根据所述第一认证令牌和所述第二认证令牌对所述网络设备进行认证;
所述终端设备根据所述第一随机数和所述终端设备侧的对称密钥生成第一认证参数;
所述终端设备向所述网络设备发送认证响应消息;其中,所述认证响应消息包括所述第一认证参数;其中,所述第一认证参数用于所述网络设备对所述终端设备进行认证。
7.根据权利要求6所述的方法,其特征在于,所述第一密钥为所述网络设备的私钥;或者,所述第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
所述终端设备接收所述网络设备发送的第二随机数和第三认证令牌;其中,所述第三认证令牌是所述网络设备根据所述网络设备侧的对称密钥、所述终端设备的伪序列号、所述第二随机数和所述认证管理域参数生成的;
所述终端设备根据所述终端设备侧的对称密钥、所述第三认证令牌、所述第二随机数和所述认证管理域参数确定所述伪序列号;
所述终端设备根据所述正确的序列号、第三随机数、所述认证管理域参数和所述终端设备侧的对称密钥生成重同步参数。
9.根据权利要求8所述的方法,其特征在于,所述网络设备的身份标识为所述第二随机数;或者所述网络设备的身份标识携带在所述认证管理域参数中;
所述方法还包括:所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
10.根据权利要求6或7所述的方法,其特征在于,还包括:
当所述网络设备为接入网设备时,所述终端设备接收所述网络设备发送的广播消息;其中,所述广播消息包括所述网络设备的身份标识;
所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
11.一种网络设备,其特征在于,包括:处理器、接收器、发送器和存储器;
所述存储器用于存储代码,当所述代码被所述处理器运行时,以使所述处理器用于:
获取终端设备的身份标识;
根据所述终端设备的身份标识和所述网络设备的第一密钥生成所述网络设备侧的对称密钥;
为所述终端设备生成第一序列号,所述第一序列号为所述终端设备的伪序列号;
所述接收器,用于接收所述终端设备发送的重同步消息;所述重同步消息包括重同步参数和第三随机数;
所述处理器,还用于根据所述重同步参数和所述第三随机数确定正确的序列号;
根据所述网络设备侧的对称密钥、所述正确的序列号、第一随机数和所述网络设备为所述终端设备配置的认证管理域参数生成第一认证令牌;其中,所述认证管理域参数用于限定所述终端设备在网络认证过程中涉及的参数;
所述发送器,用于向所述终端设备发送所述第一随机数和所述第一认证令牌;以使所述终端设备根据所述第一认证令牌和第二认证令牌对所述网络设备进行认证;其中,所述第二认证令牌是所述终端设备根据所述终端设备侧的对称密钥、所述第一随机数、所述正确的序列号和所述认证管理域参数生成的;
所述接收器,还用于接收所述终端设备发送的认证响应消息;其中,所述认证响应消息包括第一认证参数;所述第一认证参数根据所述第一随机数和所述终端设备侧的对称密钥生成;
所述处理器还用于:
根据所述网络设备侧的对称密钥和所述第一随机数生成第二认证参数;
根据所述第一认证参数和所述第二认证参数认证所述终端设备。
12.根据权利要求11所述的网络设备,其特征在于,所述第一密钥为所述网络设备的私钥;或者,所述第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。
13.根据权利要求11或12所述的网络设备,其特征在于,
相应的,所述处理器,具体用于根据所述网络设备侧的对称密钥、所述伪序列号、第二随机数和所述认证管理域参数生成第三认证令牌;
所述发送器,还用于发送所述第二随机数和所述第三认证令牌,以使所述终端设备根据所述终端设备侧的对称密钥、所述第三认证令牌、所述第二随机数和所述认证管理域参数确定所述伪序列号。
14.根据权利要求13所述的网络设备,其特征在于,所述网络设备的身份标识为所述第二随机数;或者所述网络设备的身份标识携带在所述认证管理域参数中,以使所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
15.根据权利要求11或12所述的网络设备,其特征在于,
当所述网络设备为接入网设备时,所述发送器还用于发送广播消息;其中,所述广播消息包括所述网络设备的身份标识,以使所述终端设备根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
16.一种终端设备,其特征在于,包括:发送器、接收器、处理器和存储器;
所述发送器,用于向网络设备发送所述终端设备的身份标识;以使所述网络设备根据所述终端设备的身份标识和所述网络设备的第一密钥生成所述网络设备侧的对称密钥;
所述发送器,还用于向所述网络设备发送重同步消息;其中,所述重同步消息包括重同步参数和第三随机数,以使所述网络设备根据所述重同步参数和所述第三随机数确定正确的序列号;
所述接收器,用于接收所述网络设备发送的第一随机数和第一认证令牌;其中,所述第一认证令牌是所述网络设备根据所述网络设备侧的对称密钥、所述终端设备的正确的序列号、所述第一随机数和所述网络设备为所述终端设备配置的认证管理域参数生成的;所述认证管理域参数用于限定所述终端设备在网络认证过程中涉及的参数;
所述存储器用于存储代码,当所述代码被所述处理器运行时,以使所述处理器用于:
根据所述第一认证令牌、所述终端设备侧的对称密钥、所述第一随机数和所述认证管理域参数确定所述正确的序列号;
根据所述终端设备侧的对称密钥、所述第一随机数、所述正确的序列号和所述认证管理域参数生成第二认证令牌;
根据所述第一认证令牌和所述第二认证令牌对所述网络设备进行认证;
根据所述第一随机数和所述终端设备侧的对称密钥生成第一认证参数;
所述发送器,还用于向所述网络设备发送认证响应消息;其中,所述认证响应消息包括所述第一认证参数;其中,所述第一认证参数用于所述网络设备对所述终端设备进行认证。
17.根据权利要求16所述的终端设备,其特征在于,所述第一密钥为所述网络设备的私钥;或者,所述第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。
18.根据权利要求16或17所述的终端设备,其特征在于,
所述接收器,还用于接收所述网络设备发送的第二随机数和第三认证令牌;其中,所述第三认证令牌是所述网络设备根据所述网络设备侧的对称密钥、所述终端设备的伪序列号、所述第二随机数和所述认证管理域参数生成的;
所述处理器还用于:
根据所述终端设备侧的对称密钥、所述第三认证令牌、所述第二随机数和所述认证管理域参数确定所述伪序列号;
根据所述正确的序列号、第三随机数、所述认证管理域参数和所述终端设备侧的对称密钥生成重同步参数。
19.根据权利要求18所述的终端设备,其特征在于,所述网络设备的身份标识为所述第二随机数;或者所述网络设备的身份标识携带在所述认证管理域参数中;
所述处理器,还用于根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
20.根据权利要求16或17所述的终端设备,其特征在于,
当所述网络设备为接入网设备时,所述接收器还用于接收所述网络设备发送的广播消息;其中,所述广播消息包括所述网络设备的身份标识;
所述处理器,还用于根据所述网络设备的身份标识和所述终端设备的私钥生成所述终端设备侧的对称密钥。
21.一种计算机存储介质,其特征在于,用于储存指令,以实现如权利要求1-5任一项所述的方法。
22.一种计算机存储介质,其特征在于,用于储存指令,以实现如权利要求6-10任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SGPCT/SG2017/050242 | 2017-05-09 | ||
| PCT/SG2017/050242 WO2018208221A1 (zh) | 2017-05-09 | 2017-05-09 | 网络认证方法、网络设备及终端设备 |
| PCT/SG2018/050069 WO2018208228A2 (zh) | 2017-05-09 | 2018-02-14 | 网络认证方法、网络设备、终端设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110495198A CN110495198A (zh) | 2019-11-22 |
| CN110495198B true CN110495198B (zh) | 2022-04-22 |
Family
ID=64104876
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880021182.7A Active CN110495198B (zh) | 2017-05-09 | 2018-02-14 | 网络认证方法、网络设备、终端设备及存储介质 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10694376B2 (zh) |
| EP (1) | EP3589002B1 (zh) |
| CN (1) | CN110495198B (zh) |
| WO (2) | WO2018208221A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10880291B2 (en) * | 2018-02-09 | 2020-12-29 | Cisco Technology, Inc. | Mobile identity for single sign-on (SSO) in enterprise networks |
| US10887051B2 (en) * | 2019-01-03 | 2021-01-05 | Qualcomm Incorporated | Real time MIC recovery |
| EP3949262A4 (en) * | 2019-03-29 | 2022-03-09 | Telefonaktiebolaget LM Ericsson (publ) | METHOD AND DEVICE FOR AUTHENTICATION OF A WIRELESS DEVICE |
| CN110012467B (zh) * | 2019-04-18 | 2022-04-15 | 苏州博联科技有限公司 | 窄带物联网的分组认证方法 |
| US11751049B2 (en) | 2019-05-01 | 2023-09-05 | John A. Nix | Distributed EAP-TLS authentication for wireless networks with concealed user identities |
| US11659387B2 (en) * | 2020-07-30 | 2023-05-23 | Nokia Technologies Oy | User equipment authentication preventing sequence number leakage |
| CN114189343A (zh) * | 2020-09-14 | 2022-03-15 | 华为技术有限公司 | 互相认证的方法和装置 |
| CN112566106B (zh) * | 2020-12-11 | 2022-05-27 | 杭州叙简科技股份有限公司 | 一种基于5g多网多链设备认证方法 |
| CN114980076A (zh) * | 2021-02-20 | 2022-08-30 | 华为技术有限公司 | 保护身份标识隐私的方法与通信装置 |
| CN116668203B (zh) * | 2023-08-02 | 2023-10-20 | 浙江大华技术股份有限公司 | 设备认证方法、物联网设备、认证平台以及可读存储介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0018950D0 (en) * | 2000-08-02 | 2000-09-20 | Vodafone Ltd | Telecommunications systems and methods |
| US20050271209A1 (en) * | 2004-06-07 | 2005-12-08 | Meghana Sahasrabudhe | AKA sequence number for replay protection in EAP-AKA authentication |
| CN1767430B (zh) * | 2004-10-27 | 2010-04-21 | 华为技术有限公司 | 鉴权方法 |
| CN100488280C (zh) * | 2005-06-04 | 2009-05-13 | 华为技术有限公司 | 一种鉴权方法及相应的信息传递方法 |
| CN101026863A (zh) * | 2006-02-21 | 2007-08-29 | 上海宇梦通信科技有限公司 | 基于服务网络标志的umts认证向量生成方法 |
| CN101272240B (zh) * | 2007-03-21 | 2013-01-23 | 华为技术有限公司 | 一种会话密钥的生成方法、系统和通信设备 |
| CN102638794B (zh) * | 2007-03-22 | 2016-03-30 | 华为技术有限公司 | 鉴权和密钥协商方法、认证方法、系统及设备 |
| US8379854B2 (en) * | 2007-10-09 | 2013-02-19 | Alcatel Lucent | Secure wireless communication |
| CN101729513B (zh) * | 2008-10-27 | 2014-02-19 | 华为数字技术(成都)有限公司 | 网络认证方法和装置 |
| EP2614613B1 (en) * | 2010-09-10 | 2018-04-11 | LG Electronics Inc. | Method and apparatus of cipher communication for management frame using quality of service mechanism in wireless local area network system |
| WO2013007865A1 (en) * | 2011-07-08 | 2013-01-17 | Nokia Corporation | Method and apparatus for authenticating subscribers to long term evolution telecommunication networks or universal mobile telecommunications system |
| US8971851B2 (en) * | 2012-06-28 | 2015-03-03 | Certicom Corp. | Key agreement for wireless communication |
| CN102724211B (zh) * | 2012-06-29 | 2014-12-10 | 飞天诚信科技股份有限公司 | 一种密钥协商方法 |
| CN104468099A (zh) * | 2013-09-12 | 2015-03-25 | 全联斯泰克科技有限公司 | 基于cpk的动态口令生成和验证方法及装置 |
| CN106358184A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 一种点对点身份认证方法 |
-
2017
- 2017-05-09 WO PCT/SG2017/050242 patent/WO2018208221A1/zh active Application Filing
-
2018
- 2018-02-14 WO PCT/SG2018/050069 patent/WO2018208228A2/zh unknown
- 2018-02-14 CN CN201880021182.7A patent/CN110495198B/zh active Active
- 2018-02-14 EP EP18798631.0A patent/EP3589002B1/en active Active
-
2019
- 2019-11-04 US US16/673,467 patent/US10694376B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3589002B1 (en) | 2021-07-28 |
| EP3589002A2 (en) | 2020-01-01 |
| CN110495198A (zh) | 2019-11-22 |
| WO2018208228A3 (zh) | 2018-12-27 |
| WO2018208228A2 (zh) | 2018-11-15 |
| US10694376B2 (en) | 2020-06-23 |
| WO2018208221A1 (zh) | 2018-11-15 |
| EP3589002A4 (en) | 2020-03-18 |
| US20200068397A1 (en) | 2020-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110495198B (zh) | 网络认证方法、网络设备、终端设备及存储介质 | |
| KR102144303B1 (ko) | 키 구성 방법, 보안 정책 결정 방법 및 장치 | |
| US20200084631A1 (en) | Key Configuration Method, Apparatus, and System | |
| WO2020029938A1 (zh) | 安全会话方法和装置 | |
| CN106936570B (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
| CN107615825B (zh) | 在不可信wlan接入上的多个pdn连接 | |
| US11109206B2 (en) | Security method and system for supporting discovery and communication between proximity based service terminals in mobile communication system environment | |
| CN113016202A (zh) | 5g系统中的初始非接入层协议消息的保护 | |
| WO2020248624A1 (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| KR20200003108A (ko) | 키 생성 방법, 사용자 장비, 장치, 컴퓨터 판독가능 저장 매체, 및 통신 시스템 | |
| US20160295409A1 (en) | Wireless network fast authentication / association using re-association object | |
| WO2020088026A1 (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
| WO2013181847A1 (zh) | 一种无线局域网接入鉴权方法、设备及系统 | |
| WO2018000867A1 (zh) | 密钥配置及安全策略确定方法、装置 | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| WO2017197596A1 (zh) | 通信方法、网络侧设备和用户设备 | |
| EP4030801A1 (en) | Communication authentication method and related device | |
| US20200169885A1 (en) | Method and system for supporting security and information for proximity based service in mobile communication system environment | |
| KR20150084628A (ko) | 이동 통신에서 ProSe그룹 통신 또는 공공 안전을 지원하기 위한 보안 방안 및 시스템 | |
| KR20230172603A (ko) | 온 디맨드 네트워크에서의 프로비저닝, 인증, 인가, 그리고 사용자 장비(ue) 키 생성 및 분배를 위한 방법 및 장치 | |
| CN115412909A (zh) | 一种通信方法及装置 | |
| CN113784351A (zh) | 切片服务验证方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |