CN110798833B - 一种鉴权过程中验证用户设备标识的方法及装置 - Google Patents
一种鉴权过程中验证用户设备标识的方法及装置 Download PDFInfo
- Publication number
- CN110798833B CN110798833B CN201810877868.8A CN201810877868A CN110798833B CN 110798833 B CN110798833 B CN 110798833B CN 201810877868 A CN201810877868 A CN 201810877868A CN 110798833 B CN110798833 B CN 110798833B
- Authority
- CN
- China
- Prior art keywords
- identifier
- user equipment
- user
- network element
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000008569 process Effects 0.000 title abstract description 26
- 238000013523 data management Methods 0.000 claims abstract description 51
- 238000012795 verification Methods 0.000 claims abstract description 23
- 230000004044 response Effects 0.000 claims description 36
- 230000015654 memory Effects 0.000 claims description 33
- 238000007726 management method Methods 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 16
- 230000011664 signaling Effects 0.000 abstract description 8
- 230000003993 interaction Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 44
- 238000012545 processing Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 238000012790 confirmation Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 101000979909 Homo sapiens NMDA receptor synaptonuclear signaling and neuronal migration factor Proteins 0.000 description 1
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 1
- 102100024546 NMDA receptor synaptonuclear signaling and neuronal migration factor Human genes 0.000 description 1
- 102100023843 Selenoprotein P Human genes 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 229940119265 sepp Drugs 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本申请提供一种鉴权过程中验证用户设备标识的方法和装置,该方法包括:在用户设备进行网络注册的过程,通过注册请求消息向统一数据管理网元发送用户标识和用户设备标识;其中,该用户设备标识是被归属网络的公钥加密的;统一数据管理网元获取与所述用户标识匹配的目标用户设备标识;并判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。通过本发明提供的技术方案,可以在用户设备注册网络的过程,验证用户标识和用户设备标识的绑定关系,从而以最少信令交互的方式完成了用户标识与用户设备标识的绑定关系的验证。
Description
技术领域
本申请涉及通信领域,更具体地,涉及鉴权过程中验证用户设备标识的方法及装置。
背景技术
在一些应用场景下,用户和用户设备是存在绑定关系的(用户标识与用户设备标识的绑定关系存储在统一数据管理网元中),当此类用户设备进行注册时,网络侧会验证用户的卡和用户设备的绑定关系(即用户标识和用户设备标识之间的绑定关系)。
具体的,根据5G中消息注册的流程可知(参考TS23.502),AMF(Access andMobility Management,接入和移动性管理功能)完成UE(user equipment,用户设备)的鉴权之后,AMF和UE会共享一套安全上下文,该安全上下文中包括通信密钥。UE会利用该通信密钥对用户设备标识进行加密,并向基站发送加密后的用户设备标识,基站对接收到的用户设备标识进行解密,并将解密后的用户设备标识发送给UDM(Unified Data Management,统一数据管理网元),UDM收到解密后的用户设备标识之后,会验证用户标识与该用户设备标识之间的绑定关系,如果验证失败,则拒绝该用户设备的注册。
需要指出的是,上述验证用户设备与用户的绑定关系的流程较为烦琐,如果后续验证失败,则前面诸多流程就会变成无用功,从而浪费了信令资源。
发明内容
本申请提供一种鉴权过程中验证用户设备标识的方法和设备,在用户设备进行网络注册的过程,通过注册请求消息向统一数据管理网元发送用户标识和用户设备标识;其中,该用户设备标识是根据归属网络的公钥加密得到的;统一数据管理网元获取与所述用户标识匹配的目标用户设备标识;并判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。通过本发明提供的技术方案,可以在用户设备注册网络的过程,验证用户标识和用户设备标识的绑定关系,从而以最少信令交互的方式完成了用户标识与用户设备标识的绑定关系的验证。
第一方面,本申请提供了一种鉴权过程中验证用户设备标识的方法,该方法包括:统一数据管理网元接收认证服务器发送的获取鉴权向量消息,所述用户设备认证请求消息中包括用户标识和用户设备标识;所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识;所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
需要指出的是,上述获取鉴权向量消息也可替换为鉴权结果确认消息。
举例来说,其中,需要指出的是,该注册请求消息中包括用户标识和用户设备标识;举例来说,所述用户标识可以是SUCI(subscription concealed identifier,用户隐藏标识)或5G-GUTI(5G-global unique temporary identity,5G全球唯一临时标识),所述用户设备标识为PEI(permanent equipment identifier,永久设备标识)或IMEI(international mobile equipment identity,国际移动设备标识)或IMEISV(international mobile station equipment identity and software version,国际移动台设备标识和软件版本)。
其中,需要指出的是,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识之前,所述方法还包括:所述统一数据管理网元UDM根据用户签约数据确定是否需要检查所述用户标识与所述用户设备标识的绑定关系,其中,所述用户签约数据是根据所述用户标识获取的;可以理解的是,当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识。
进一步需要指出的是,该用户设备认证请求消息中的用户标识和用户设备标识都是经过加密的。具体的,用户设备会对上述两个参数进行加密,比如利用归属网络的公钥对上述两个参数分别进行加密,然后在注册请求消息中携带上述两个参数。接入和移动管理网元AMF接收到用户设备的注册请求消息后,会将里面的上个参数发送给认证服务器AUSF,接着,AUSF会将上述两个参数发送给UDM。
由于所述认证请求消息中的用户设备标识处于加密状态;所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配之前,所述方法还包括:所述统一数据管理网元利用预设的归属网络公钥对所述用户设备标识进行解密;所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识包括:所述统一数据管理网元判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配。
可以理解的是,所述统一数据管理网元判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配之后,会根据匹配的结果进行反馈。具体的,若解密得到的用户设备标识和获取到的目标用户设备标识匹配,所述统一数据管理网元向所述认证服务器发送第一认证结果响应消息;若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,所述统一数据管理网元向所述认证服务器发送第二认证结果响应消息,所述第二结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。
另外,需要指出的是,如果所述用户设备认证请求消息中包括用户标识而没有包括用户设备标识,那么UDM需要根据用户标识判断是否需要验证所述用户标识和用户设备标识的绑定关系,如果需要验证所述用户标识和用户设备标识的绑定关系,所述UDM向AUSF发送用户设备标识获取请求,AUSF会向AMF反馈该请求,AMF会根据该请求指示用户设备上传用户设备标识,AMF收到该用户设备标识后,会通过AUSF向UDM发送该用户设备标识。UDM接收到AUSF发送的用户设备标识之后,会验证用户标识和用户设备标识的绑定关系。当然,如果用户设备标识处于加密状态的话,需要先进行解密,然后验证所述绑定关系。
另外,需要指出的是,如果所述用户设备认证请求消息中包括用户标识而没有包括用户设备标识,那么UDM需要根据用户标识判断是否需要验证所述用户标识和用户设备标识的绑定关系,如果需要验证所述用户标识和用户设备标识的绑定关系,所述UDM向AUSF发送用户设备标识获取请求,其中,需要指出的是该用户设备标识获取请求中除了指示标识外,还包括目标用户设备标识。其中,该指示标识用于指示AUSF获取所述用户设备标识,该目标用户设备标识是UDM根据用户标识获取。AUSF根据该用户设备标识获取请求获取到用户设备UE上传的用户设备标识之后,该AUSF会比较UE上传的用户设备标识和所述目标用户设备标识是否匹配。需要指出的是,比较UE上传的用户设备标识和所述目标用户设备标识是否匹配的过程就是验证所述用户标识和用户设备标识的绑定关系的过程。另外,AUSF获取用户设备上传的用户设备标识的过程在前面已经描述过,在此不再赘述。
本发明第二方面公开了一种鉴权过程中验证用户设备标识的方法,所述方法包括:用户设备对用户标识和用户设备标识进行加密;所述用户设备向接入与移动管理网元发送的注册请求消息,所述注册请求消息中包括加密过的用户标识和加密过的用户设备标识。
所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
其中,需要指出的是,所述用户设备使用预设的归属网络公钥对所述用户设备标识进行加密。另外,所述用户设备还可以使用预设的归属网络公钥对所述用户标识进行加密。可以理解的是,所述预设的归属网络的公钥是预存在用户设备上的。
其中,需要指出的是,用户设备UE向接入与移动管理网元AMF发送用户标识和用户设备标识之后,AMF会向AUSF发送上述两个参数,接着AUSF会向UDM发送上述两个参数;UDM接收到上述两个参数后,会根据上述两个参数验证所述用户标识和所述用户设备标识的绑定关系。然后,UDM会根据验证的结果向用户设备发送指示消息。具体的,所述用户设备接收所述移动与管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户设备标识与所述用户设备标识的绑定关系验证失败。
另外,可选的,上述方法可替换为:用户设备对用户标识进行加密;所述用户设备向接入与移动管理网元AMF发送的注册请求消息,所述注册请求消息中包括加密过的用户标识;所述用户设备接收所述AMF发送的身份验证请求消息或用户设备标识获取消息;所述用户设备向所述AMF发送加密的用户设备标识。
本发明第三方面公开了一种装置或网元(该装置为统一数据网元UDM),该装置或网元可用于执行第一方面所述的方法。具体的,所述装置包括:
接收单元,用于接收认证服务器发送的用户设备认证请求消息,所述用户设备认证请求消息中包括用户标识和用户设备标识;
获取单元,用于获取与所述用户标识匹配的目标用户设备标识;
判断单元,用于判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
其中,需要指出的是,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
其中,该用户设备请求消息可以是获取鉴权向量消息或鉴权结果确认消息。
可选的,所述统一数据管理网元还包括确定单元;
所述确定单元,用于根据用户签约数据确定是否需要检查所述用户标识与所述用户设备标识的绑定关系,其中,所述用户签约数据是根据所述用户标识获取的;
所述获取单元,用于当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识。
可选的,所述认证请求消息中的用户设备标识处于加密状态;所述网元还包括解密单元;
所述解密单元,用于利用预设的归属网络公钥对所述用户设备标识进行解密;
所述判断单元,用于判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配。
可选的,所述网元还包括第一发送单元;
所述第一发送单元,用于若解密得到的用户设备标识和获取到的目标用户设备标识匹配,向所述认证服务器发送第一认证结果响应消息。
可选的,所述网元还包括第二发送单元;
所述第二发送单元,用于若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,向所述认证服务器发送第二认证结果响应消息,所述第二结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。
本发明第四方面公开了一种装置(该装置为用户设备UE),该装置可用于执行第二方面所描述的方法。具体的,所述装置包括:加密单元,用于对用户标识和用户设备标识进行加密;发送单元,用于向接入与移动管理网元发送的注册请求消息,所述注册请求消息中包括加密过的用户标识和加密过的用户设备标识。
可选的,所述用户设备还包括接收单元;所述接收单元,用于接收所述移动与管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户设备标识与所述用户设备标识的绑定关系验证失败。
另外,具体的,所述加密单元,用于使用预设的归属网络公钥对所述用户设备标识进行加密。
进一步需要指出的是,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
第五方面,本申请提供了一种网元,该网元包括存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序,当存储器中的计算机程序被执行时,该收发器和处理器执行上述第一方面或第一方面的任意可能的实现方式中的方法。
第六方面,本申请提供了一种用户设备,该网元包括存储器、处理器、收发器及存储在该存储器上并可在该处理器上运行的计算机程序,当存储器中的计算机程序被执行时,该收发器和处理器执行上述第二方面或第二方面的任意可能的实现方式中的方法。
第七方面,本申请提供了一种计算机可读介质,用于存储计算机程序,该计算机程序包括用于执行第一方面或第一方面的任意可能的实现方式中的方法的指令。
第八方面,本申请提供了一种计算机可读介质,用于存储计算机程序,该计算机程序包括用于执行第二方面或第二方面的任意可能的实现方式中的方法的指令。
第九方面,本申请提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第一方面的任意可能的实现方式中的方法。
第十方面,本申请提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面或第二方面的任意可能的实现方式中的方法。
第十一方面,本申请提供了一种芯片,包括:输入接口、输出接口、至少一个处理器、存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述第一方面或第一方面的任意可能的实现方式中的方法。
第十二方面,本申请提供了一种芯片,包括:输入接口、输出接口、至少一个处理器、存储器,所述输入接口、输出接口、所述处理器以及所述存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行上述第二方面或第二方面的任意可能的实现方式中的方法。
从上可知,通过本发明实施例提供的技术方案,UE在发送注册请求消息时携带用户标识和用户设备标识,其中,该用户设备标识是被归属网络的公钥加密的;统一数据管理网元获取与所述用户标识匹配的目标用户设备标识;并判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。通过本发明提供的技术方案,可以在用户设备注册网络的过程,验证用户标识和用户设备标识的绑定关系,从而以最少信令交互的方式完成了用户标识与用户设备标识的绑定关系的验证。
附图说明
图1是本申请实施例提供的一种5G漫游架构图;
图2是本申请实施例提供的一种鉴权过程中验证用户设备标识的方法的示意性流程图;
图2a是本申请实施例提供的另一种鉴权过程中验证用户设备标识的方法的示意性流程图;
图3是本申请实施例提供的另一种鉴权过程中验证用户设备标识的方法的示意性流程图;
图3a是本申请实施例提供的另一种鉴权过程中验证用户设备标识的方法的示意性流程图;
图3b是本申请实施例提供的另一种鉴权过程中验证用户设备标识的方法的示意性流程图;
图4是本申请实施例提供的一种统一数据管理的网元的逻辑结构图;
图5是本申请实施例提供的一种用户设备的网元的逻辑结构图;
图6是本申请实施例的一种装置的物理结构图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
图1示出了本申请实施例提供的5G架构的示意性框图。该网络架构以服务为基础,得到多种不同类型的网络功能模块,网络功能模块之间通过服务化接口以网络功能服务调用的方式进行交互。
应理解,本申请实施例中的网络功能模块具有特定功能和网络接口,可以是专用硬件上的网元,也可以是专用硬件上运行的软件实例,还可以是相关平台(如云基础设施上)上的虚拟功能实例,本申请实施例对此不作限定。
下面将结合图1对该基于服务的网络架构中的各个模块进行介绍:
无线接入网络(radio access network,RAN):负责用户设备(user equipment,UE)的接入。可以理解的是,在实际表述过程中,RAN也可以简写为AN。
可选地,本申请实施例中的UE可以是移动的或固定的,该UE可以指接入终端、终端设备、移动终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、未来的第五代(5th generation,5G)系统或新无线(new radio,NR)系统中的用户设备。
访问与移动性管理功能(access and mobility management function,AMF)模块:负责与现有的移动管理实体(mobile management entity,MME)中的移动性管理类似的功能,用于控制UE对网络资源的访问和对UE的移动进行管理。AMF模块与RAN模块互相通信,以对接入网控制面进行处理,其中,N2不是服务化接口。
鉴权服务功能(authentication server function,AUSF)模块:负责密钥的生成,以及与UE之间的双向鉴权。
会话管理功能(session management function,SMF)模块:负责管理UE的会话,包括会话的建立、修改和释放。
网络开放功能(network exposure function,NEF)模块:负责将核心网内的网络功能服务安全地提供给外部网络实体服务,以及内外网信息转换等。
网络功能(network fuction)模块:是指一个能够提供网络服务的网元,比如AUSF、AMF或UDM。
网络功能数据库功能(Network repository function,NRF)模块:负责服务发现等功能。当然,网络功能数据库的英文全称还可以是NF repository function.
策略管控功能(policy control function,PCF)模块:负责管理网络行为的统一策略框架;提供策略规则给控制平面执行等功能。
统一数据管理(unified data management,UDM)模块:包括前端(front end,FE)和用户数据库(user data repository,UDR)。其中,FE负责信用评级处理、位置管理、订阅管理等功能,并可以访问存储在UDR中的用户订阅数据,UDR是一个用户订阅数据存储服务器,负责向前端提供用户订阅数据。
应用功能(application function,AF)模块:提供应用服务。
用户面功能(User Plane Function,UPF)模块:可提供数据包检测、转发、流量使用报告等功能。
安全边缘保护代理(Security Edge Protection Proxy,SEPP)模块,用于保护运营商网络边界安全。
其中,上述各个模块也可以解释为各个网元或功能网元。比如UDM可以理解为UDM网元或UDM功能网元,NRF可以理解为NRF网元或NRF功能网元。
如图1中所示,AMF模块具有服务化接口NAMF、SMF模块具有服务化接口NSMF、AUSF模块具有服务化接口NAUSF、NEF模块具有服务化接口NNEF、NRF模块具有服务化接口NNRF、PCF模块具有服务化接口NPCF、UDM模块具有服务化接口NUDM、AF模块具有服务化接口NAF。
应理解,本申请实施例中的各个网络功能模块的服务化接口的还可以为其它名称,本申请实施例对此不作限定。
针对背景技术中提出针对可能浪费信令资源的情况,本发明提供了一种解决方案,在对用户设备进行身份认证的同时,对用户标识和用户标设备标识的绑定关系也进行验证,从而避免了现有技术中对用户标识和用户标设备标识的绑定关系验证时可能出现的浪费信令资源的情况。当然,为了保证用户设备标识的安全,用户会设备会对用户设备标识进行加密,并通过注册请求消息发送所述加密的用户设备标识。
图2示出了本申请实施例提供的鉴权过程中验证用户设备标识的方法的示意性流程图,该方法可以应用于如图1中所示的网络架构。所述方法包括:
S101、用户设备向AMF发送注册请求(Registration Request)消息;
其中,需要指出的是,该注册请求消息中包括用户标识和用户设备标识;举例来说,所述用户标识可以是SUCI(subscription concealed identifier,用户隐藏标识)或5G-GUTI(5G-global unique temporary identity,5G全球唯一临时标识),所述用户设备标识为PEI(permanent equipment identifier,永久设备标识)或IMEI(internationalmobile equipment identity,国际移动设备标识)或IMEISV(international mobilestation equipment identity and software version,国际移动台设备标识和软件版本)。
另外,可选的,在发送注册请求消息之前,用户设备根据预先配置或需要接入特定的切片的情况决定是否上报用户设备标识。如果决定需要上报用户设备标识,则对用户设备标识进行加密,并在注册请求消息中携带加密后的用户设备标识。举例来说,用户设备可利用预设的归属网络公钥对所述用户设备标识进行加密。
另外,可以理解的是该注册请求消息中的用户标识也处于加密状态,比如,用户设备利用预设的归属网络公钥对所述用户标识进行加密。
另外,需要指出的是,该注册请求消息会触发网络侧对该用户设备的身份认证。
具体的,如图2a所示,图2a的流程中,将用户标识实例化为SUCI或SUPI,将用户设备标识实例化为PEI。
S102、AMF向AUSF发送第一认证请求消息;
其中,可以理解的是,AMF接收到用户设备发送的注册请求消息后,为了响应于所述注册请求消息,AMF会向AUSF发送第一认证请求消息,该认证请求消息中携带所述用户标识和所述用户设备标识。
具体实现过程中,如图2a所示,AMF可以调用AUSF的Nausf_UEAuthentication_Authenticate Request服务,通过该服务向AUSF发送所述用户标识和所述用户设备标识;
S103、所述AUSF向UDM发送第二认证请求消息;
其中,可以理解的是,AUSF接收到AMF发送的认证请求消息后,为了响应于所述第一认证请求消息,AUSF会向UDM发送第二认证请求消息,该认证请求消息中携带所述用户标识和所述用户设备标识。
举例来说,该第二认证请求消息可以是获取鉴权向量消息或鉴权结果确认消息。
具体实现过程中,如图2a所示,AUSF调用UDM的Nudm_UEAuthentication_GetRequest服务,通过该服务传递所述用户标识和所述用户设备标识。
S104、UDM获取与所述用户标识匹配的目标用户设备标识;
需要指出的是,响应于所述AUSF发送的认证请求消息,UDM会针对该第二认证请求消息中的参数进行处理。
可选的,UDM对该第二认证请求消息解析后,如果存在用户设备标识,那么UDM就会获取与所述用户标识匹配的目标用户设备标识。
可选的,UDM对该认证请求消息解析后,如果存在用户标识和用户设备标识,那么UDM就会获取与所述用户标识匹配的目标用户设备标识。
可选的,UDM对该认证请求消息解析后,会根据用户标识获取该用户的签约信息,并根据该用户的签约信息确定是否需要检查所述用户标识与所述用户设备标识的绑定关系。当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述UDM获取与所述用户标识匹配的目标用户设备标识。举例来说,如果AUSF发送过来的认证请求消息中携带的是SUCI,那么UDM会根据预存的私钥对所述SUCI进行解密以获取SUPI,在根据SUPI获取用户的签约信息。
S105、判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
其中,需要指出的是,接收到的用户设备标识是处于加密状态的,在判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配之前,UDM会利用预存的私钥对接收到的用户设备标识进行解密以获取解密后的用户设备标识。之后,UDM判断解密后的用户设备标识与获取到的用户设备标识是否匹配。
另外,可选的,若解密得到的用户设备标识和获取到的目标用户设备标识匹配,所述UDM向所述AUSF发送第一认证结果响应消息。
可选的,若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,所述UDM向所述AUSF发送第二认证结果响应消息,所述第二结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。在一种具体的实现方式中,如果比较失败,UDM向AUSF返回具体的原因值(该原因值用于指示绑定关系验证失败或者用户设备标识不匹配),该AUSF给AMF返回所述原因值,AMF接收到该AUSF返回的原因值后,向用户设备返回注册拒绝消息,并携带具体的原因值。相应的,所述用户设备会接收到所述移动与管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户设备标识与所述用户设备标识的绑定关系验证失败。
具体的,如图2a所示,若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,所述UDM通过Nudm_UEAuthentication_Get的响应消息向AUSF反馈结果;AUSF通过Nausf_UEAuthentication_Authenticate的响应消息向AMF反馈结果,AMF通过Registration Reject消息向UE反馈结果。
从而可知,通过本发明实施例提供的技术方案,UE在发送注册请求消息时携带用户标识和用户设备标识,以使得网络侧在对UE进行身份认证的同时,会对UE的用户标识和用户设备标识的绑定关系进行验证,从而避免了后续对UE的用户标识和用户设备标识的绑定关系进行验证的过程中可能出现信令浪费的情况。
另外,针对图2所示的实施例,步骤S105可被替换为如下步骤S106-S107;
S106、UDM向AUSF发送获取到的目标用户设备标识;
其中,在一种可能的实现方式中,UDM通过Nudm_UEAuthentication_Get Response消息向AUSF发送目标用户设备标识。
S107、AUSF比较接收到的用户设备标识和目标用户设备标识是否匹配。
相应的,当AUSF检测到Nudm_UEAuthentication_Get Response消息中携带目标用户设备标识时,就会触发S107。
需要指出的是,AUSF接收到的用户设备标识是指AMF发送给AUSF的用户设备标识,在比较接收到的用户设备标识和目标用户设备标识是否匹配之前,AUSF需要对AMF发送的用户设备标识进行解密。然后将解密后的用户设备标识与目标用户设备标识进行匹配。
如图3所示,图3示出了本申请实施例提供的鉴权过程中验证用户设备标识的方法的示意性流程图,该方法可以应用于如图1中所示的网络架构。所述方法包括:
S201、用户设备向AMF发送注册请求消息;
在本发明的一种可能的实现方式中,如图3a所示,用户设备UE向AMF发起Registration Request消息,消息中携带用户标识,其中,该用户标识可以是SUCI或者5G-GUTI。
可选的,用户设备可以根据预先配置或和需要接入切片的情况(如车联网对于的切片),决定是否上报用户设备标识,如果决定需要上报用户设备标识,则对所述用户设备标识进行加密,并将加密的用户设备标识包含在所述注册请求消息中。可以理解的是,如果注册请求消息中包含了用户设备标识,则UDM后续就不需要在发送用户设备标识获取请求了,UDM可以直接根据AUSF透传过来的用户标识和用户设备标识验证所述用户标识和所述用户设备表示的绑定关系。
S202、AMF向AUSF发送第一认证请求消息;
在本发明的一种可能的实现方式中,如图3a所示,响应于所述用户设备发送的注册请求消息,AMF会调用AUSF的Nausf_UEAuthentication_Authenticate Request服务,通过该服务向AUSF传递用户标识。可以理解的是,AMF也通过该服务消息向AUSF传递运营商网络名称。
另外,可选的,如果UE携带的是5G-GUTI,则AMF根据自己保存的5G-GUTI和SUPI的对应关系,获取与5G-GUTI对应的SUPI,并向AUSF发送SUPI。
S203、AUSF向UDM发送第二认证请求消息;
其中,该第二认证请求消息可以是获取鉴权向量消息或鉴权结果确认消息。
在本发明的一种可能的实现方式中,如图3a所示,响应于所述AMF发送的认证请求消息,所述AUSF调用UDM的Nudm_UEAuthentication_Get Request服务,以通过该服务向UDM传递用户标识;
另外,可选的,如果AUSF携带的是SUCI,则UDM根据预制的私钥对所述SUCI进行解密以得到SUPI。UDM根据SUPI确定该用户的用户签约信息;并根据用户的签约信息确定是否要检查用户设备标识与用户标识的对应关系,如果确定要检查用户设备标识与用户标识的对应关系而所述AUSF发来的认证请求消息中没有携带用户设备标识,则UDM需要指示UE上传用户设备标识。
S204、所述UDM向所述AUSF发送用户设备标识获取请求消息;
其中,可以理解的是,UDM可以单独发送该请求消息,也可以将获取请求的标识(比如是指示标识)放在其他消息中。
在本发明一种可能的实现方式中,UDM向AUSF返回Nudm_UEAuthentication_GetResponse消息。在该消息中会携带指示标识,该指示标识用于指示UE上传用户设备标识。
在本发明的另一种可能的实现方式中,如图3a所示,UDM向AUSF返回Nudm_UEAuthentication_Get Response消息;该Nudm_UEAuthentication_Get Response消息中包括指示标识PEI-ind,该标识用于指示UE上传用户设备标识。可以理解的是,该Nudm_UEAuthentication_Get Response消息中还会包括鉴权向量AV,该鉴权向量用于对用户设备进行认证。
可选的,在本发明的另一种可能的实现方式中,UDM向AUSF返回Nudm_UEAuthentication_Get Response消息;该Nudm_UEAuthentication_Get Response消息中包括鉴权向量。具体的,UDM会在鉴权向量中增加一个指示标识,该指示标识用于指示用户设备上传用户设备标识。可选的,UDM可以使用认证令牌(AUTN,authentication token)中AMF(authentication management field鉴权管理域)的一个比特位来请求用户设备标识,其中,该AMF包含在所述认证向量中。如果UE通过网络认证且确定所述AMF的所述比特位比被设置为预设值,则向AMF发送用户设备标识。
S205、AUSF向AMF发送用户设备标识获取请求消息;
其中,需要指出的是,在一种可能的实现方式中,如图3a所示,AUSF在返回的
Nausf_UEAuthentication_
Authenticate Response消息中,透传这个指示标识,该指示标识用于请求用户设备标识。
另外,需要指出的是,如果AMF上以前得到的该用户设备标识,则直接向AUSF发送该用户设备标识,然后,AUSF向UDM转发所述用户设备标识;如果AMF上没有以前得到的该用户设备标识,则AMF根据用户设备标识请求消息,向用户设备发起身份请求(IdentityRequest)消息。
S206、用户设备向UDM发送所述用户设备标识,以及UDM验证用户标识和所述用户设备标识的绑定关系。
其中,需要指出的是,UE会通过AMF以及AUSF向UDM发送所述用户设备标识。
具体的,响应于所述身份请求消息,用户设备会向AMF发送身份响应(IdentityResponse)消息。其中,该身份响应消息中会携带用户设备标识。另外,需要指出的是,为了防止用户设备标识泄露,UE会对用户设备标识进行加密。比如利用归属网络的公钥对该用户设备标识进行加密,当然,还可以用其他机制对该用户设备标识进行加密,在此不做限制。
接着,AMF向AUSF发送所述用户设备标识;其中,需要指出的是,如图3a所示,AMF可以调用AUSF的Nausf_UEAuthentication_Authenticate Request服务,通过该服务向AUSF发送用户设备标识。
进而,AUSF向UDM发送所述用户设备标识;其中,在本发明的一种可能的实现方式中,如图3a所示AUSF调用UDM的Nudm_UEAuthentication_ResultConfirmation服务,通过该服务消息向UDM发送用户设备标识。
其中,需要指出的是,UDM接收AUSF发送过来的用户设备标识是处于加密状态的,因此需要对用户设备标识进行解密以获取解密后的用户设备标识;再者,UDM获取与用户标识对应的目标用户设备标识,如果解密的用户设备标识与所述目标用户设备标识匹配,则说明验证成功。验证成功之后的步骤可参考图2所述的实施例。
结合上述实施例可知,通过该实施例提供的技术方案,UE在发送注册请求消息时携带用户标识,网络侧根据用户标识获取用户签约信息,如果根据签约确定要验证用户标识和用户设备标识的对应关系,则向UE发送用户设备标识获取请求,在获得用户设备标识之后,会对UE的用户标识和用户设备标识的绑定关系进行验证,从而避免了后续对UE的用户标识和用户设备标识的绑定关系进行验证的过程中可能出现信令浪费的情况。
另外,针对图3所示的实施例,可产生一种衍生的实施例,如图3b所示。具体的,UDM可以指示AUSF来验证用户标识和用户设备标识的绑定关系。举例来说,UDM可以在用户设备标识请求消息中携带所述目标用户设备标识;以使得AUSF接收到用户发送的用户设备标识之后,验证所述用户标识和所述用户设备标识的绑定关系;其中,验证过程可参考S209。
从上可知,图2详细描述了本申请实施例提供的鉴权过程中验证用户设备标识的方法,下面将结合图4和图5描述本申请实施例提供的鉴权过程中验证用户设备标识的装置,图4至图5所示的装置可执行上述方法实施例所描述的方法。其中,图4所示的为统一数据管理网元(已在上述实施例中进行了举例说明),图5为用户设备。
具体的,如图4所示,该装置(统一数据管理网元UDM)300包括:
接收单元301,用于接收认证服务器发送的用户设备认证请求消息,所述用户设备认证请求消息中包括用户标识和用户设备标识;
其中,该用户设备认证请求消息可以是获取鉴权向量消息或鉴权结果确认消息。
获取单元302,用于获取与所述用户标识匹配的目标用户设备标识;
判断单元303,用于判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
其中,需要指出的是,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
可选的,所述统一数据管理网元300还包括确定单元304;
确定单元304,用于根据用户签约数据确定是否需要检查所述用户标识与所述用户设备标识的绑定关系,其中,所述用户签约数据是根据所述用户标识获取的;
获取单元302,用于当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识。
可选的,所述认证请求消息中的用户设备标识处于加密状态;UDM300还包括解密单元305;
解密单元305,用于利用预设的归属网络公钥对所述用户设备标识进行解密;
判断单元303,用于判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配。
可选的,所述UDM300还包括第一发送单元306;
第一发送单元306,用于若解密得到的用户设备标识和获取到的目标用户设备标识匹配,向所述认证服务器发送第一认证结果响应消息。
可选的,所述UDM300还包括第二发送单元307;
第二发送单元307,用于若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,向所述认证服务器发送第二认证结果响应消息,所述第二结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。
具体的,如图5所示,该用户设备400包括:
加密单元401,用于对用户标识和用户设备标识进行加密;
发送单元402,用于向接入与移动管理网元发送的注册请求消息,所述注册请求消息中包括加密过的用户标识和加密过的用户设备标识。
可选的,用户设备400还包括接收单元403;
接收单元403,用于接收所述移动与管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户设备标识与所述用户设备标识的绑定关系验证失败。
可选的,加密单元401,用于使用预设的归属网络公钥对所述用户设备标识进行加密。
可选的,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
应理解,这里的装置300以及400以功能单元的形式体现。这里的术语“单元”可以指应用特有集成电路(application specific integrated circuit,ASIC)、电子电路、用于执行一个或多个软件或固件程序的处理器(例如共享处理器、专有处理器或组处理器等)和存储器、合并逻辑电路和/或其它支持所描述的功能的合适组件。在一个可选例子中,本领域技术人员可以理解,装置300可以具体为上述图2所示的UDM,装置300可以用于执行上述图2中UDM为主体所执行流程和/或步骤,为避免重复,在此不再赘述。在一个可选例子中,本领域技术人员可以理解,装置400可以具体为上述图2所示的用户设备UE,装置400可以用于执行上述图2中UE为主体所执行流程和/或步骤,为避免重复,在此不再赘述
另外,需要指出的是,图4至5所示的逻辑单元均可依据图6所示的硬件架构来实现。该图6所示的硬件装置可以包括处理器610、收发器620和存储器630,该处理器610、收发器620和存储器630通过内部连接通路互相通信。
具体的,图4中的处理单元、获取单元、判断单元所实现的相关功能可以由处理器610来实现,接收单元和发送单元所实现的相关功能可以由处理器610控制收发器620来实现。
具体的,图5中的处理单元、获取单元所实现的相关功能可以由处理器610来实现,接收单元和发送单元所实现的相关功能可以由处理器610控制收发器620来实现。
该处理器610可以包括是一个或多个处理器,例如包括一个或多个中央处理单元(central processing unit,CPU),在处理器是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该收发器620用于发送和接收数据和/或信号,以及接收数据和/或信号。该收发器可以包括发射器和接收器,发射器用于发送数据和/或信号,接收器用于接收数据和/或信号。
该存储器630包括但不限于是随机存取存储器(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程存储器(erasable programmable readonly memory,EPROM)、只读光盘(compact disc read-only memory,CD-ROM),该存储器630用于存储相关指令及数据。
存储器630用于存储授权模块的程序代码和数据,可以为单独的器件或集成在处理器610中。
在一种可能的设计中,装置600可以为芯片,该芯片可以为实现相关功能的现场可编程门阵列,专用集成芯片,系统芯片,中央处理器,网络处理器,数字信号处理电路,微控制器,还可以采用可编程控制器或其他集成芯片。该芯片中,可选的可以包括一个或多个存储器,用于存储程序代码,当所述代码被执行时,使得处理器实现相应的功能。
另外,需要指出的是,图4至图5所涉及的装置,其构造均可如图6所示,包括处理器,收发器,存储器等部件,存储器中存储有程序代码,当所述程序代码被执行时,各个网元执行如图2所示的功能。
另外,需要指出的是,图2或图3中所涉及到用户设备、移动与管理接入网元、认证服务器以及统一数据管理网元的物理架构均可参考图6所示的架构。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriberline,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,数字通用光盘(digital versatiledisc,DVD))、或者半导体介质(例如SSD)等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或RAM、磁碟或者光盘等各种可存储程序代码的介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种鉴权过程中的设备标识的检查方法,其特征在于,所述方法包括:
统一数据管理网元接收认证服务器发送的获取鉴权向量消息,所述获取鉴权向量消息中包括用户标识和用户设备标识;
所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识;
所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
2.根据权利要求1所述的方法,其特征在于,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识之前,所述方法还包括:
所述统一数据管理网元根据用户签约数据确定是否需要检查所述用户标识与所述用户设备标识的绑定关系,其中,所述用户签约数据是根据所述用户标识获取的;
所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识,包括:
当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识。
3.根据权利要求2所述的方法,其特征在于,所述获取鉴权向量消息中的用户设备标识处于加密状态;
所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配之前,所述方法还包括:
所述统一数据管理网元利用预设的归属网络公钥对所述用户设备标识进行解密;
所述统一数据管理网元判断接收到的用户设备标识和获取到的目标用户设备标识包括:
所述统一数据管理网元判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若解密得到的用户设备标识和获取到的目标用户设备标识匹配,所述统一数据管理网元向所述认证服务器发送第一认证结果响应消息。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,所述统一数据管理网元向所述认证服务器发送第二认证结果响应消息,所述第二认证结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。
6.根据权利要求1至4任一所述的方法,其特征在于,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
7.一种鉴权的方法,其特征在于,所述方法包括:
用户设备对用户标识和用户设备标识进行加密;
所述用户设备向接入与移动管理网元发送注册请求消息,所述注册请求消息中包括加密过的用户标识和加密过的用户设备标识,以使所述接入与移动管理网元向统一数据管理网元发送所述用户标识和所述用户设备标识,以使所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识,并判断所述用户设备标识和获取到的所述目标用户设备标识是否匹配。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
所述用户设备接收所述接入与移动管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户标识与所述用户设备标识的绑定关系验证失败。
9.根据权利要求7或8所述的方法,其特征在于,所述用户设备对用户设备标识进行加密包括:
所述用户设备使用预设的归属网络公钥对所述用户设备标识进行加密。
10.根据权利要求7或8所述的方法,其特征在于,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
11.一种统一数据管理网元,其特征在于,所述网元包括:
接收单元,用于接收认证服务器发送的获取鉴权向量消息,所述获取鉴权向量消息中包括用户标识和用户设备标识;
获取单元,用于获取与所述用户标识匹配的目标用户设备标识;
判断单元,用于判断接收到的用户设备标识和获取到的目标用户设备标识是否匹配。
12.根据权利要求11所述的网元,其特征在于,所述统一数据管理网元还包括确定单元;
所述确定单元,用于根据用户签约数据确定是否需要检查所述用户标识与所述用户设备标识的绑定关系,其中,所述用户签约数据是根据所述用户标识获取的;
所述获取单元,用于当确定需要检查所述用户标识与所述用户设备标识的绑定关系时,所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识。
13.根据权利要求12所述的网元,其特征在于,所述获取鉴权向量消息中的用户设备标识处于加密状态;所述网元还包括解密单元;
所述解密单元,用于利用预设的归属网络公钥对所述用户设备标识进行解密;
所述判断单元,用于判断解密得到的用户设备标识和获取到的目标用户设备标识是否匹配。
14.根据权利要求13所述的网元,其特征在于,所述网元还包括第一发送单元;
所述第一发送单元,用于若解密得到的用户设备标识和获取到的目标用户设备标识匹配,向所述认证服务器发送第一认证结果响应消息。
15.根据权利要求13或14所述的网元,其特征在于,所述网元还包括第二发送单元;
所述第二发送单元,用于若解密得到的用户设备标识和获取到的目标用户设备标识不匹配,向所述认证服务器发送第二认证结果响应消息,所述第二认证结果响应消息用于指示所述用户设备标识与用户标识的绑定关系验证失败。
16.根据权利要求11至14任一所述的网元,其特征在于,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
17.一种用户设备,其特征在于,所述用户设备包括:
加密单元,用于对用户标识和用户设备标识进行加密;
发送单元,用于向接入与移动管理网元发送注册请求消息,所述注册请求消息中包括加密过的用户标识和加密过的用户设备标识,以使所述接入与移动管理网元向统一数据管理网元发送所述用户标识和所述用户设备标识,以使所述统一数据管理网元获取与所述用户标识匹配的目标用户设备标识,并判断所述用户设备标识和获取到的所述目标用户设备标识是否匹配。
18.根据权利要求17所述的用户设备,其特征在于,所述用户设备还包括接收单元;
所述接收单元,用于接收所述接入与移动管理网元发送的注册拒绝消息,所述注册拒绝消息用于指示所述用户标识与所述用户设备标识的绑定关系验证失败。
19.根据权利要求17或18所述的用户设备,其特征在于,
所述加密单元,用于使用预设的归属网络公钥对所述用户设备标识进行加密。
20.根据权利要求17或18所述的用户设备,其特征在于,所述用户标识为用户隐藏标识SUCI或5G全球唯一临时标识5G-GUTI,所述用户设备标识为永久设备标识PEI或者国际移动设备标识IMEI或者国际移动台设备标识和软件版本IMEISV。
21.一种网元,其特征在于,所述网元包括存储器、处理器、收发器及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述存储器中的所述计算机程序被执行时,所述收发器和所述处理器执行如权利要求1-6任一所述的方法。
22.一种用户设备,其特征在于,所述用户设备包括存储器、处理器、收发器及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述存储器中的所述计算机程序被执行时,所述收发器和所述处理器执行如权利要求7-10任一所述的方法。
23.一种计算机可读介质,其特征在于,所述计算机可读介质用于存储计算机程序,所述计算机程序包括用于执行如权利要求1-6任一所述的方法的指令,或者,所述计算机程序包括用于执行如权利要求7-10任一所述的方法的指令。
24.一种芯片,其特征在于,所述芯片包括输入接口、输出接口、至少一个处理器、存储器,所述输入接口、所述输出接口、所述处理器以及所述存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,所述处理器用于执行如权利要求1-6任一所述的方法,或者执行如权利要求7-10任一所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810877868.8A CN110798833B (zh) | 2018-08-03 | 2018-08-03 | 一种鉴权过程中验证用户设备标识的方法及装置 |
PCT/CN2019/094727 WO2020024764A1 (zh) | 2018-08-03 | 2019-07-04 | 一种鉴权过程中验证用户设备标识的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810877868.8A CN110798833B (zh) | 2018-08-03 | 2018-08-03 | 一种鉴权过程中验证用户设备标识的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110798833A CN110798833A (zh) | 2020-02-14 |
CN110798833B true CN110798833B (zh) | 2023-10-24 |
Family
ID=69230573
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810877868.8A Active CN110798833B (zh) | 2018-08-03 | 2018-08-03 | 一种鉴权过程中验证用户设备标识的方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN110798833B (zh) |
WO (1) | WO2020024764A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021168829A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种用户标识的验证方法及相关设备 |
CN113411284B (zh) * | 2020-03-16 | 2023-10-10 | 腾讯科技(深圳)有限公司 | 账号绑定方法、装置、计算机设备和存储介质 |
CN113556743B (zh) * | 2020-04-26 | 2022-09-16 | 中国电信股份有限公司 | 用户授权管理方法和系统、统一数据管理装置和用户终端 |
CN111638997A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 数据恢复方法、装置及网络设备 |
CN111741467B (zh) * | 2020-06-19 | 2023-04-18 | 中国联合网络通信集团有限公司 | 一种鉴权方法及装置 |
CN114205072B (zh) * | 2020-08-27 | 2023-04-28 | 华为技术有限公司 | 认证方法、装置及系统 |
CN114640992A (zh) * | 2020-11-30 | 2022-06-17 | 华为技术有限公司 | 更新用户身份标识的方法和装置 |
CN112866979B (zh) * | 2020-12-31 | 2022-09-09 | 恒安嘉新(北京)科技股份公司 | 基于5g服务化接口的用户信息关联方法、装置、设备和介质 |
CN114727285A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
CN117178573A (zh) * | 2021-04-19 | 2023-12-05 | 华为技术有限公司 | 服务访问方法及装置 |
CN114630312A (zh) * | 2021-04-23 | 2022-06-14 | 亚信科技(中国)有限公司 | 用户组信息确定方法、装置及电子设备 |
CN113449286B (zh) * | 2021-07-08 | 2024-03-26 | 深圳职业技术学院 | 安全校验ue发送的s-nssai的方法及系统、设备 |
CN114189929B (zh) * | 2021-12-15 | 2023-07-18 | Tcl通讯科技(成都)有限公司 | 网络注册方法、装置、设备及计算机可读存储介质 |
CN114374942A (zh) * | 2021-12-29 | 2022-04-19 | 天翼物联科技有限公司 | 基于机卡绑定的业务处理方法、系统、装置和存储介质 |
CN114339755A (zh) * | 2021-12-31 | 2022-04-12 | 中国电信股份有限公司 | 注册验证方法及装置、电子设备和计算机可读存储介质 |
CN114553592B (zh) * | 2022-03-23 | 2024-03-22 | 深圳市美科星通信技术有限公司 | 一种设备身份验证的方法、设备及存储介质 |
CN117320002A (zh) * | 2022-06-25 | 2023-12-29 | 华为技术有限公司 | 通信方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104468464A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
EP2896154A1 (en) * | 2012-09-13 | 2015-07-22 | Nokia Technologies Oy | Discovery and secure transfer of user interest data |
CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
WO2018032984A1 (zh) * | 2016-08-16 | 2018-02-22 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
CN108243416A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团公司 | 用户设备鉴权方法、移动管理实体及用户设备 |
WO2018137866A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security anchor function in 5g systems |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685739B (zh) * | 2011-12-08 | 2015-03-25 | 北京高森明晨信息科技有限公司 | 安卓企业应用的鉴权方法及系统 |
CN102638797B (zh) * | 2012-04-24 | 2016-08-03 | 华为技术有限公司 | 接入无线网络的方法、终端、接入网节点和鉴权服务器 |
CN102984689B (zh) * | 2012-11-21 | 2017-02-15 | 东莞宇龙通信科技有限公司 | 移动终端的验证系统和方法 |
CN107666498B (zh) * | 2016-07-27 | 2021-05-14 | 比亚迪股份有限公司 | 车载模块的更新方法、装置、云端服务器、系统和车辆 |
US10531420B2 (en) * | 2017-01-05 | 2020-01-07 | Huawei Technologies Co., Ltd. | Systems and methods for application-friendly protocol data unit (PDU) session management |
EP3796618A1 (en) * | 2017-06-19 | 2021-03-24 | Huawei Technologies Co., Ltd. | Registration method, session establishment method, terminal, and amf entity |
-
2018
- 2018-08-03 CN CN201810877868.8A patent/CN110798833B/zh active Active
-
2019
- 2019-07-04 WO PCT/CN2019/094727 patent/WO2020024764A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2896154A1 (en) * | 2012-09-13 | 2015-07-22 | Nokia Technologies Oy | Discovery and secure transfer of user interest data |
CN104468464A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机系统有限公司 | 验证方法、装置和系统 |
WO2018032984A1 (zh) * | 2016-08-16 | 2018-02-22 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
CN108243416A (zh) * | 2016-12-27 | 2018-07-03 | 中国移动通信集团公司 | 用户设备鉴权方法、移动管理实体及用户设备 |
WO2018137866A1 (en) * | 2017-01-30 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Security anchor function in 5g systems |
CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
Non-Patent Citations (4)
Title |
---|
apos ; s Note on authentication vectors".3GPP tsg_sa\WG3_Security.2018,(TSGS3_91_Belgrade),全文. * |
CATT.C1-183437 "Discussion on routing registration requrest using SUCI".3GPP tsg_ct\WG1_mm-cc-sm_ex-CN1.2018,(TSGC1_111_Osaka),全文. * |
Huawei, HiSilicon.S2-186480 "UE Configured NSSAI update".3GPP tsg_sa\wg2_arch.2018,(tsgs2_128_vilnius),全文. * |
KPN N.V..S3-181165 "Resolution of Editor amp * |
Also Published As
Publication number | Publication date |
---|---|
CN110798833A (zh) | 2020-02-14 |
WO2020024764A1 (zh) | 2020-02-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
US20220385445A1 (en) | EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT | |
US8046583B2 (en) | Wireless terminal | |
JP5579938B2 (ja) | ローミングネットワークにおけるアクセス端末識別情報の認証 | |
JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
CN109587680B (zh) | 参数的保护方法、设备和系统 | |
CN102934470A (zh) | 用于在通信系统中将订户认证与设备认证绑定的方法和装置 | |
CN110519760B (zh) | 网络接入方法、装置、设备及存储介质 | |
CN102318386A (zh) | 向网络的基于服务的认证 | |
CN110351725B (zh) | 通信方法和装置 | |
CN114268943A (zh) | 授权方法及装置 | |
WO2018076377A1 (zh) | 一种数据传输方法、终端、节点设备以及系统 | |
US11917416B2 (en) | Non-3GPP device access to core network | |
US20230328524A1 (en) | Non-3gpp device access to core network | |
CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
KR20220159455A (ko) | 단말 파라미터 업데이트를 보호하는 방법 및 통신 장치 | |
CN110896683A (zh) | 数据保护方法、装置以及系统 | |
CN115706997A (zh) | 授权验证的方法及装置 | |
KR20190050949A (ko) | eUICC를 이용하기 위한 보안 기반 환경 구축 방법 및 장치 | |
WO2024049335A1 (en) | Two factor authentication | |
WO2020254205A1 (en) | Amf reallocation handling using security context | |
CN117082504A (zh) | 一种密钥生成方法及装置、网络设备 | |
CN117641358A (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |