CN110933591B - 认证方法、设备及系统 - Google Patents
认证方法、设备及系统 Download PDFInfo
- Publication number
- CN110933591B CN110933591B CN201811090292.7A CN201811090292A CN110933591B CN 110933591 B CN110933591 B CN 110933591B CN 201811090292 A CN201811090292 A CN 201811090292A CN 110933591 B CN110933591 B CN 110933591B
- Authority
- CN
- China
- Prior art keywords
- key
- home gateway
- network
- network element
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/023—Services making use of location information using mutual or relative location information between multiple location based services [LBS] targets or of distance thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供认证方法、设备及系统,以至少用于在固移融合架构中验证NG‑RG的接入位置信息的合法性。方法包括:网络设备接收用于表征家庭网关的接入位置的第一链路信息,以及获取该家庭网关签约的第二链路信息;在第一链路信息与第二链路信息部分或者全部匹配的情况下,或者,在第一链路信息与第二链路信息中的一个链路信息部分或者全部匹配的情况下,网络设备验证该家庭网关接入的位置合法。
Description
技术领域
本申请涉及通信技术领域,尤其涉及认证方法、设备及系统。
背景技术
第三代合作伙伴计划(3rd generation partnership project,3GPP)和固网论坛联合定义的固移融合(即固网和移动网融合)网络架构中,下一代家庭网关(nextgeneration-residential gateway,NG-RG)作为家庭网关,可以通过有线第五代(5thgeneration,5G)接入网(Wireline 5G Access Network,W-5GAN)设备和5G接入网关功能(5G access gateway function,5G-AGF)网元接入到5G移动核心网。其中,在上述NG-RG接入到5G移动核心网的过程中,NG-RG使用基于认证和密钥协商的5G(5G-authenticationand key agreement,5G-AKA)认证算法或者可扩展认证协议(extensible authenticationprotocol,EAP)认证算法(如EAP-AKA认证算法或者增强的EAP-AKA(improved EAP-AKA,EAP-AKA')认证算法)验证全球用户身份模块(universal subscriber identity module,USIM)的合法性。此外,考虑到固网中NG-RG的接入位置一般需要固定,目前需要在验证USIM合法性的过程中,同时验证NG-RG的接入位置信息的合法性。
然而,如何在上述固移融合架构中验证NG-RG的接入位置信息的合法性,目前并未有相关的解决方案。
发明内容
本申请实施例提供认证方法、设备及系统,以至少用于在固移融合架构中验证NG-RG的接入位置信息的合法性。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供了一种认证方法,该方法包括:网络设备接收第一链路信息,该第一链路信息用于表征家庭网关接入的位置;该网络设备获取该家庭网关的签约信息,该签约信息中包括该家庭网关签约的第二链路信息,该第二链路信息用于表征该家庭网关签约的位置;该网络设备根据该第一链路信息和该第二链路信息,验证该家庭网关接入的位置的合法性。本申请实施例提供的认证方法中,由于网络设备可以获取表征家庭网元接入的位置的第一链路信息和家庭网关签约的第二链路信息,并且可以根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性。因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证家庭网关的接入位置的合法性。
在一种可能的设计中,该第二链路信息为多个;该网络设备根据该第一链路信息和该第二链路信息,验证该家庭网关接入的位置的合法性,包括:若该第一链路信息和该第二链路信息中的任意一个匹配,该网络设备确定该家庭网关接入的位置合法。可选的,本申请实施例中,链路信息匹配是指链路信息的全部或部分匹配。比如,第一链路信息与和第二链路信息中的任意一个匹配,是指第一链路信息与和第二链路信息中的任意一个的部分信息或全部信息匹配,本申请实施例对此不作具体限定。
在一种可能的设计中,该签约信息中还包括该家庭网关签约的第二虚拟接口信息,该第二虚拟接口信息用于表征该家庭网关签约的业务类型;该方法还包括:该网络设备接收第一虚拟接口信息,该第一虚拟接口信息用于表征该家庭网关的当前业务类型;该网络设备根据该第一虚拟接口信息和该第二虚拟接口信息,验证该家庭网关的当前业务的合法性。本申请实施例提供的认证方法中,由于网络设备可以获取表征家庭网元的当前业务类型的第一虚拟接口信息和家庭网关签约的第二虚拟接口信息,并且可以根据第一虚拟接口信息和第二虚拟接口信息,验证家庭网关的当前业务的合法性。因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证家庭网关的当前业务的合法性。
在一种可能的设计中,第二虚拟接口信息为多个;网络设备根据该第一虚拟接口信息和该第二虚拟接口信息,验证该家庭网关的当前业务的合法性,包括:若该第一虚拟接口信息和该第二虚拟接口信息中的任意一个匹配,该网络设备确定该家庭网关的当前业务合法。可选的,本申请实施例中,虚拟接口匹配是指虚拟接口信息的全部或部分匹配。比如,第一虚拟接口信息与和第二虚拟接口信息中的任意一个匹配,是指第一虚拟接口信息与和第二虚拟接口信息中的任意一个的部分信息或全部信息匹配,本申请实施例对此不作具体限定。
在一种可能的设计中,该网络设备为移动管理网元;该方法还包括:移动管理网元向家庭网关发送非接入层安全模式命令NAS SMC请求消息,该NAS SMC请求消息包括第一虚拟接口信息,该第一虚拟接口信息用于该家庭网关验证该第一虚拟接口信息是否在空口被修改。由于NAS SMC请求消息有完整性保护,可以防止该NAS SMC请求消息中的信息被篡改,因此基于该方案,可以验证第一虚拟接口信息是否在空口被修改。
在一种可能的设计中,网络设备为统一数据管理网元;在网络设备接收第一链路信息之前,方法还包括:网络设备接收第三链路信息,第三链路信息用于标识家庭网关接入的位置;网络设备根据本地策略,将第三链路信息存储到家庭网关的签约信息中。由于该方案提供了一种链路信息的自动绑定方式,因此可以简化家庭网关的接入位置信息的签约。
在一种可能的设计中,网络设备为统一数据管理网元;在网络设备接收来自家庭网关的第一虚拟接口信息之前,方法还包括:网络设备接收来自家庭网关的第三虚拟接口信息,第三虚拟接口信息用于标识家庭网关的当前业务类型;网络设备根据本地策略,将第三虚拟接口信息存储到家庭网关的签约信息中。由于该方案提供了一种虚拟接口信息的自动绑定方式,因此可以简化家庭网关的业务类型的签约。
第二方面,提供了一种认证方法,该方法包括:移动管理网元获取第一密钥,该第一密钥为该移动管理网元和家庭网关之间的临时密钥;该移动管理网元根据该第一密钥、非第三代合作伙伴计划3GPP网络标识以及该非3GPP网络的分类标识,确定第二密钥;该移动管理网元向该接入网关功能网元发送该第二密钥。由于本申请实施例中,移动管理网元在推衍第二密钥时,考虑了非3GPP网络标识以及该非3GPP网络的分类标识,因此可以隔离非3GPP网络中不同类型的接入方式。
在一种可能的设计中,该移动管理网元根据该第一密钥、非3GPP网络标识以及该非3GPP网络的分类标识,确定第二密钥,包括:移动管理网元根据该第一密钥、该非3GPP网络标识、该非3GPP网络的分类标识以及非接入层NAS消息计数值,确定该第二密钥。
在一种可能的设计中,该非3GPP网络的分类标识用于指示该家庭网关的接入方式为固网接入或Wi-Fi接入。当然,该非3GPP网络的分类标识还可以用于指示其他类型的非3GPP接入,本申请实施例对此不作具体限定。
在一种可能的设计中,该NAS消息计数值为上行或下行NAS消息计数值。
第三方面,提供一种认证方法,该方法包括:家庭网关获取第一密钥,该第一密钥为该家庭网关和移动管理网元之间的临时密钥;该家庭网关根据该第一密钥、非第三代合作伙伴计划3GPP网络标识以及该非3GPP网络的分类标识,确定第二密钥。由于本申请实施例中,家庭网关在推衍第二密钥时,考虑了非3GPP网络标识以及该非3GPP网络的分类标识,因此可以隔离非3GPP网络中不同类型的接入方式。
在一种可能的设计中,该家庭网关根据该第一密钥、非3GPP网络标识以及该非3GPP网络的分类标识,确定第二密钥,包括:该家庭网关根据该第一密钥、该非3GPP网络标识、该非3GPP网络的分类标识以及非接入层NAS消息计数值,确定该第二密钥。
在一种可能的设计中,该非3GPP网络的分类标识用于指示该家庭网关的接入方式为固网接入或Wi-Fi接入。当然,该非3GPP网络的分类标识还可以用于指示其他类型的非3GPP接入,本申请实施例对此不作具体限定。
在一种可能的设计中,该NAS消息计数值为上行或下行NAS消息计数值。
第四方面,提供了一种网络设备,该网络设备具有实现上述第一方面所述的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第五方面,提供了一种网络设备,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该网络设备运行时,该处理器执行该存储器存储的该计算机执行指令,以使该网络设备执行如上述第一方面中任一项所述的认证方法。
第六方面,提供了一种网络设备,包括:处理器;所述处理器用于与存储器耦合,并读取存储器中的指令之后,根据所述指令执行如上述第一方面中任一项所述的认证方法。
第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第一方面中任一项所述的认证方法。
第八方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第一方面中任一项所述的认证方法。
第九方面,提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持网络设备实现上述第一方面中所涉及的功能,例如根据所述第一链路信息和所述第二链路信息,验证所述家庭网关接入的位置的合法性。在一种可能的设计中,该装置还包括存储器,该存储器,用于保存网络设备必要的程序指令和数据。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第四方面至第九方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
第十方面,提供了一种移动管理网元,该移动管理网元具有实现上述第二方面所述的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十一方面,提供了一种移动管理网元,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该移动管理网元运行时,该处理器执行该存储器存储的该计算机执行指令,以使该移动管理网元执行如上述第二方面中任一项所述的认证方法。
第十二方面,提供了一种移动管理网元,包括:处理器;所述处理器用于与存储器耦合,并读取存储器中的指令之后,根据所述指令执行如上述第二方面中任一项所述的认证方法。
第十三方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第二方面中任一项所述的认证方法。
第十四方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第二方面中任一项所述的认证方法。
第十五方面,提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持移动管理网元实现上述第二方面中所涉及的功能,例如根据所述第一链路信息和所述第二链路信息,验证所述家庭网关接入的位置的合法性。在一种可能的设计中,该装置还包括存储器,该存储器,用于保存移动管理网元必要的程序指令和数据。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第十方面至第十五方面中任一种设计方式所带来的技术效果可参见第二方面中不同设计方式所带来的技术效果,此处不再赘述。
第十六方面,提供了一种家庭网关,该家庭网关具有实现上述第三方面所述的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
第十七方面,提供了一种家庭网关,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该家庭网关运行时,该处理器执行该存储器存储的该计算机执行指令,以使该家庭网关执行如上述第三方面中任一项所述的认证方法。
第十八方面,提供了一种家庭网关,包括:处理器;所述处理器用于与存储器耦合,并读取存储器中的指令之后,根据所述指令执行如上述第三方面中任一项所述的认证方法。
第十九方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述第三方面中任一项所述的认证方法。
第二十方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述第三方面中任一项所述的认证方法。
第二十一方面,提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持家庭网关实现上述第三方面中所涉及的功能,例如根据所述第一链路信息和所述第二链路信息,验证所述家庭网关接入的位置的合法性。在一种可能的设计中,该装置还包括存储器,该存储器,用于保存家庭网关必要的程序指令和数据。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
其中,第十六方面至第二十一方面中任一种设计方式所带来的技术效果可参见第三方面中不同设计方式所带来的技术效果,此处不再赘述。
第二十二方面,提供了一种认证系统,该认证系统包括网络设备和有线接入网设备;有线接入网设备,用于发送第一链路信息,该第一链路信息用于表征家庭网关接入的位置;该网络设备,用于接收该第一链路信息;该网络设备,还用于获取该家庭网关的签约信息,该签约信息中包括该家庭网关签约的第二链路信息,该第二链路信息用于表征该家庭网关签约的位置;该网络设备,还用于根据该第一链路信息和第二链路信息,验证该家庭网关接入的位置的合法性。
在一种可能的设计中,该认证系统还包括家庭网关;该签约信息中还包括该家庭网关签约的第二虚拟接口信息,该第二虚拟接口信息用于标识该家庭网关签约的业务类型;该家庭网关,用于发送第一虚拟接口信息,该第一虚拟接口信息用于表征该家庭网关的当前业务类型;该网络设备,用于接收第一虚拟接口信息,并根据该第一虚拟接口信息和第二虚拟接口信息,验证该家庭网关的当前业务的合法性。
在一种可能的设计中,该认证系统还包括接入网关功能网元;该接入网关功能网元,还用于获取第二密钥,并根据第二密钥和该第一虚拟接口信息,确定第三密钥,该第二密钥为该接入网关功能网元和该家庭网关之间的临时密钥,该第三密钥为该接入网关功能网元和该家庭网关之间的会话密钥;该家庭网关,还用于根据该第二密钥和该第一虚拟接口信息,确定该第三密钥。
在一种可能的设计中,该网络设备为移动管理网元;该移动管理网元,还用于获取第一密钥,该第一密钥为所述移动管理网元和家庭网关之间的临时密钥;该移动管理网元,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,并向该接入网关功能网元发送该第二密钥;该接入网关功能网元,还用于获取第二密钥,包括:该接入网关功能网元,还用于接收来自该移动管理网元的该第二密钥。
其中,第二十二方面中任一种可能的实现方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
第二十三方面,提供了一种认证系统,该认证系统包括移动管理网元和接入网关功能网元;该移动管理网元,用于获取第一密钥,该第一密钥为该移动管理网元和家庭网关之间的临时密钥;该移动管理网元,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥;该移动管理网元,还用于向该接入网关功能网元发送该第二密钥。该接入网关功能网元,用于接收来自该移动管理网元的该第二密钥。
在一种可能的设计中,该认证系统还包括家庭网关;家庭网关,用于获取第一密钥,该第一密钥为移动管理网元和家庭网关之间的临时密钥;家庭网关,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。
其中,第二十三方面中任一种可能的实现方式所带来的技术效果可参见第一方面或第二方面中不同设计方式所带来的技术效果,此处不再赘述。
本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
图1为本申请实施例提供的认证系统的架构示意图一;
图2为本申请实施例提供的认证系统的架构示意图二;
图3为本申请实施例提供的认证系统在固移融合网络架构中的应用示意图;
图4为本申请实施例提供的通信设备的硬件结构示意图;
图5为本申请实施例提供的认证方法的流程示意图一;
图6为本申请实施例提供的认证方法的流程示意图二;
图7为本申请实施例提供的认证方法的流程示意图三;
图8为本申请实施例提供的网络设备的结构示意图;
图9为本申请实施例提供的移动管理网元的结构示意图;
图10为本申请实施例提供的家庭网关的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图1所示,为本申请实施例提供的一种认证系统10,该认证系统10包括网络设备101和有线接入网设备102。
其中,有线接入网设备102,用于发送第一链路信息,该第一链路信息用于表征家庭网关接入的位置。
网络设备101,用于接收该第一链路信息,并获取家庭网关的签约信息,该签约信息中包括家庭网关签约的第二链路信息,第二链路信息用于表征家庭网关签约的位置。
网络设备101,还用于根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性。
可选的,本申请实施例中的链路信息(包括第一链路信息或第二链路信息)例如可以是交换机的地址或者端口号等,本申请实施例对此不作具体限定。
可选的,本申请实施例中的网络设备101例如可以是移动管理网元、统一数据管理网元或者认证服务功能网元等,本申请实施例对此不作具体限定。
可选的,本申请实施例中的家庭网关也可以称之为中继用户设备或者终端设备等其它名字,本申请实施例对此不作具体限定。
可选的,本申请实施例中的网络设备101和有线接入网设备102可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。
本申请实施例提供的认证系统中,网络设备可以获取表征家庭网元接入的位置的第一链路信息和家庭网关签约的第二链路信息,并且可以根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性。因此,基于本申请实施例提供的认证系统,可以在固移融合架构中验证家庭网关的接入位置的合法性。
可选的,如图1所示,本申请实施例提供的认证系统10还可以包括家庭网关103。上述网络设备101签约信息中还包括家庭网关103签约的第二虚拟接口信息,该第二虚拟接口信息用于标识家庭网关103签约的业务类型。
其中,家庭网关103,用于发送第一虚拟接口信息,该第一虚拟接口信息用于表征家庭网关的当前业务类型。
网络设备101,还用于接收该第一虚拟接口信息,并根据第一虚拟接口信息和第二虚拟接口信息,验证家庭网关103的当前业务的合法性。
可选的,本申请实施例中的虚拟接口信息(包括第一虚拟接口信息或第二虚拟接口信息)例如可以是虚拟局域网的标识(virtual local area network,VLAN)标识(identifier,ID),或者,例如可以是虚拟通路标识符(virtual path identifier,VPI)和虚拟信道标识符(virtual channel identifier,VCI)中的至少一个,本申请实施例对此不作具体限定。
可选的,本申请实施例中的家庭网关103和网络设备101之间可以直接通信,也可以通过其他设备(比如图1中的有线接入网设备102)的转发进行通信,本申请实施例对此不作具体限定。
基于上述认证系统,由于网络设备可以获取表征家庭网元的当前业务类型的第一虚拟接口信息和家庭网关签约的第二虚拟接口信息,并且可以根据第一虚拟接口信息和第二虚拟接口信息,验证家庭网关的当前业务的合法性。因此,基于本申请实施例提供的认证系统,可以在固移融合架构中验证家庭网关的当前业务的合法性。
可选的,如图2所示,为本申请实施例提供的另一种认证系统20,该认证系统20包括移动管理网元201和接入网关功能网元202。
其中,移动管理网元201,用于获取第一密钥,该第一密钥为移动管理网元201和家庭网关之间的临时密钥。
移动管理网元201,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,并向接入网关功能网元202发送第二密钥。其中,该第二密钥为接入网关功能网元202和家庭网关之间的临时密钥。
接入网关功能网元202,用于接收来自移动管理网元201的第二密钥。
可选的,本申请实施例中,接入网关功能网元202,还可以用于使用第二密钥加密待发送给家庭网关的数据,本申请实施例对此不作具体限定。
可选的,如图2所示,本申请实施例提供的认证系统20还可以包括家庭网关203。
家庭网关203,用于获取第一密钥,该第一密钥为移动管理网元201和家庭网关203之间的临时密钥。
家庭网关203,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。其中,该第二密钥为接入网关功能网元202和家庭网关203之间的临时密钥。
可选的,本申请实施例中,家庭网关203,还可以用于使用第二密钥加密待发送给接入网关功能网元202的数据,本申请实施例对此不作具体限定。
可选的,本申请实施例中,非3GPP网络的分类标识用于指示家庭网关的接入方式为固网接入或无线保真(wireless fidelity,Wi-Fi)接入等,本申请实施例对此不作具体限定。
可选的,本申请实施例中的移动管理网元201和接入网关功能网元202之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。
可选的,本申请实施例中的家庭网关203和接入网关功能网元202之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不作具体限定。
考虑到目前的密钥架构中,家庭网关同时接入多种类型的非3GPP网络,例如通过固网进行上网业务,或者通过Wi-Fi进行基于Wi-Fi的语音业务(voice over Wi-Fi,VoWiFi),均采用相同的密钥推衍方法推衍所需的密钥。即,对于非3GPP网络使用的密钥,采用相同的密钥推衍方法,无法做到非3GPP网络中不同类型的接入方式的隔离。因此,本申请实施例中,家庭网关或者移动管理网元在推衍非3GPP网络所需的密钥时,考虑非3GPP网络的分类标识,根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,从而可以隔离非3GPP网络中不同类型的接入方式。
可选的,图1或图2所示的认证系统可以应用于目前的固移融合网络架构或者未来其它的网络,本申请实施例对此不作具体限定。
示例性的,假设图1或图2所示的认证系统应用于目前的固移融合网络架构,则如图3所示,上述的移动管理网元所对应的网元或者实体可以为该固移融合网络架构中的接入和移动性管理功能(access and mobility management function,AMF)网元;上述的统一数据管理网元所对应的网元或者实体可以为该固移融合网络架构中的统一数据管理(unified data management,UDM)网元;上述的认证服务功能网元所对应的网元或者实体可以为该固移融合网络架构中的认证服务器功能(authentication server function,AUSF)网元;上述的有线接入网设备所对应的网元或者实体可以为该固移融合网络架构中的W-5GAN设备;上述的家庭网关所对应的网元或者实体可以为该固移融合网络架构中的NG-RG;上述的接入网关功能网元所对应的网元或者实体可以为该固移融合网络架构中的5G-AGF网元,该5G-AGF网元也可以称之为固网接入网关功能(fixed access gatewayfunction,FAGF)网元,本申请实施例对此不作具体限定。
此外,如图3所示,该固移融合网络架构中还可以包括下一代无线接入网络(nextgeneration radio access network,NG-RAN)设备、策略控制功能(policy controlfunction,PCF)网元、会话管理功能网元(session management function,SMF)网元、用户面功能(user plane function,UPF)网元或者应用功能(application function,AF)网元等,具体可参考现有的固移融合网络架构,在此不再赘述。
其中,如图3所示,在3GPP侧,NG-RG通过NG-RAN设备接入5G核心网络,此时,NG-RG通过下一代网络(Next generation,N)1接口(简称N1)与AMF网元通信,NG-RG通过空口方式与NG-RAN设备通信,NG-RAN设备通过N2接口(简称N2)与AMF网元通信,NG-RAN设备通过N3接口(简称N3)与UPF网元通信;在非3GPP侧,NG-RG通过W-5GAN设备和5G-AGF网元接入5G核心网络,此时,NG-RG通过N1'接口(简称N1')与AMF网元通信,NG-RG通过有线(wireline)方式与W-5GAN设备通信,5G-AGF网元通过N2'接口(简称N2')与AMF网元通信,5G-AGF网元通过N3'接口(简称N3')与UPF网元通信,此外,AMF网元通过N11接口(简称N11)与SMF网元通信,AMF网元通过N15接口(简称N15)与PCF网元通信,AMF网元通过N8(接口简称N8)与UDM网元通信,AMF网元通过N12接口(简称N12)与AUSF网元通信;SMF网元通过N7接口(简称N7)与PCF网元通信,SMF网元通过N接口4(简称N4)与UPF网元通信,SMF网元通过N10接口(简称N10)与UDM网元通信,PCF网元通过N5接口(简称N5)与AF网元通信。
需要说明的是,图3中的各个网元的名字以及各个网元之间的接口名字只是一个示例,具体实现中接口名字可能为其他名字,本申请实施例对此不作具体限定。
此外,需要说明的是,图3所示的固移融合网络架构中的AMF网元、SMF网元、UDM网元、PCF网元、AUSF网元、或者AF网元等控制面网元也可以采用服务化接口进行交互。比如,AMF网元对外提供的服务化接口可以为Namf;SMF网元对外提供的服务化接口可以为Nsmf;UDM网元对外提供的服务化接口可以为Nudm;PCF网元对外提供的服务化接口可以为Npcf;AUSF网元对外提供的服务化接口可以为Nausf;AF网元对外提供的服务化接口可以为Naf。相关描述可以参考23501标准中的5G系统架构(5G system architecture)图,在此不予赘述。
可选的,本申请实施例图1中的网络设备,或者图2中的移动管理网元或者家庭网关可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作具体限定。可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
例如,本申请实施例图1中的网络设备,或者图2中的移动管理网元或者家庭网关可以通过图4中的通信设备来实现。图4所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备400包括处理器401,通信线路402,存储器403以及至少一个通信接口(图4中仅是示例性的以包括通信接口404为例进行说明)。
处理器401可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路402可包括一通路,在上述组件之间传送信息。
通信接口404,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器403可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路402与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器403用于存储执行本申请方案的计算机执行指令,并由处理器401来控制执行。处理器401用于执行存储器403中存储的计算机执行指令,从而实现本申请下述实施例提供的认证方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器401可以包括一个或多个CPU,例如图4中的CPU0和CPU1。
在具体实现中,作为一种实施例,通信设备400可以包括多个处理器,例如图4中的处理器401和处理器408。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,通信设备400还可以包括输出设备405和输入设备406。输出设备405和处理器401通信,可以以多种方式来显示信息。例如,输出设备405可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备406和处理器401通信,可以以多种方式接收用户的输入。例如,输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的通信设备400可以是一个通用设备或者是一个专用设备。在具体实现中,通信设备400可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digitalassistant,PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图4中类似结构的设备。本申请实施例不限定通信设备400的类型。
下面将结合图1至图4对本申请实施例提供的认证方法进行具体阐述。
需要说明的是,本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
首先,以图1或图2所示的认证系统应用于如图3所示的固移融合网络架构,网络设备为UDM网元为例,如图5所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S501、NG-RG向W-5GAN设备发送注册请求(registration request)消息。
相应的,W-5GAN设备接收来自NG-RG的注册请求消息。
其中,该注册请求消息可以包括NG-RG的标识(identifier),记作RGID,本申请实施例对此不作具体限定。
可选的,该注册请求消息中可以包括第一虚拟接口信息,该第一虚拟接口信息用于表征NG-RG的当前业务类型。其中,第一虚拟接口信息的相关描述可参考上述认证系统部分,在此不再赘述。
S502、W-5GAN设备向5G-AGF网元发送固网接口消息1。
相应的,5G-AGF网元接收来自W-5GAN设备的固网接口消息1。
其中,该固网接口消息1包括上述注册请求消息以及新增加的第一链路信息,该第一链路信息用于表征NG-RG接入的位置。其中,第一链路信息的相关描述可参考上述认证系统部分,在此不再赘述。
S503、5G-AGF网元向AMF网元发送N2'消息1。
相应的,AMF网元接收来自5G-AGF网元的N2'消息1。其中,N2'消息1包括上述注册请求消息以及第一链路信息。
S504、AMF网元向AUSF网元发送鉴权请求消息,以使得AUSF网元接收来自AMF网元的鉴权请求消息。其中,该鉴权请求消息包括上述第一链路信息。
可选的,若上述注册请求消息中包括第一虚拟接口信息,则该鉴权请求消息中还可以包括该第一虚拟接口信息,本申请实施例对此不作具体限定。
作为一种可能的实现方式,在采用服务化接口时,鉴权请求消息可以对应AMF网元调用AUSF网元的Nausf_UEauthentication_authenticate request消息,本申请实施例对此不作具体限定。
S505、AUSF网元向UDM网元发送鉴权向量获取请求消息。
相应的,UDM网元接收来自AUSF网元的鉴权向量获取请求消息。其中,该鉴权向量获取请求消息包括上述第一链路信息。
可选的,若上述鉴权请求消息中包括第一虚拟接口信息,则该鉴权向量获取请求消息中还可以包括该第一虚拟接口信息,本申请实施例对此不作具体限定。
作为一种可能的实现方式,在采用服务化接口时,鉴权向量获取请求消息可以对应AUSF网元调用UDM网元的Nudm_UEauthentication_get request消息,本申请实施例对此不作具体限定。
S506、UDM网元验证NG-RG接入的位置的合法性。
本申请实施例中,UDM网元可以根据第一链路信息以及UDM网元中存储的NG-RG的签约信息中的NG-RG签约的第二链路信息,验证NG-RG接入的位置的合法性,NG-RG签约的第二链路信息用于表征NG-RG签约的位置。其中,第二链路信息的相关描述可参考上述认证系统部分,在此不再赘述。
可选的,本申请实施例中,第二链路信息可以为一个或多个,本申请实施例对此不作具体限定。
可选的,本申请实施例中,若第二链路信息为一个,则UDM网元根据第一链路信息和第二链路信息,验证NG-RG接入的位置的合法性,可以包括:若第一链路信息与该第二链路信息匹配,则UDM网元确定NG-RG接入的位置合法。
或者,可选的,本申请实施例中,若第二链路信息为多个,则UDM网元根据第一链路信息和第二链路信息,验证NG-RG接入的位置的合法性,可以包括:若第一链路信息与第二链路信息中的任意一个匹配,则UDM网元确定NG-RG接入的位置合法。
可选的,本申请实施例中,链路信息匹配是指链路信息的全部或部分匹配。比如,第一链路信息与第二链路信息匹配,是指第一链路信息与第二链路信息中的部分信息或全部信息匹配;或者,第一链路信息与第二链路信息中的任意一个匹配,是指第一链路信息与第二链路信息中的任意一个部分信息或全部信息匹配。
示例性的,假设链路信息包括交换机的地址和端口号,则部分信息匹配可以是第一链路信息与第二链路信息或者第二链路信息中的任意一个的交换机的地址相同,端口号不相同;或者,部分信息匹配可以是第一链路信息与第二链路信息或者第二链路信息中的任意一个的交换机的地址不相同,端口号相同。全部信息匹配可以是第一链路信息与第二链路信息或者第二链路信息中的任意一个的交换机的地址相同,且端口号相同,在此统一说明,以下不再赘述。
可选的,本申请实施例中,UDM网元也可以在根据NG-RG的签约信息或者运营商策略等确定需要验证NG-RG接入的位置的合法性之后,再验证NG-RG接入的位置的合法性,本申请实施例对此不作具体限定。
S507、可选的,若步骤S505中的鉴权向量获取请求消息包括第一虚拟接口信息,则UDM网元验证NG-RG的当前业务的合法性。
本申请实施例中,UDM网元可以根据第一虚拟接口信息以及UDM网元中存储的NG-RG的签约信息中的NG-RG签约的第二虚拟接口信息,验证NG-RG的当前业务的合法性,NG-RG签约的第二虚拟接口信息用于表征NG-RG签约的业务类型。其中,第二虚拟接口信息的相关描述可参考上述认证系统部分,在此不再赘述。
可选的,本申请实施例中,第二虚拟接口信息可以为一个或多个,本申请实施例对此不作具体限定。
可选的,本申请实施例中,若第二虚拟接口信息为一个,则UDM网元根据第一虚拟接口信息和第二虚拟接口信息,验证NG-RG的当前业务的合法性,可以包括:若第一虚拟接口信息与该第二虚拟接口信息匹配,则UDM网元确定NG-RG的当前业务合法。
或者,可选的,本申请实施例中,若第二虚拟接口信息为多个,则UDM网元根据第一虚拟接口信息和第二虚拟接口信息,验证NG-RG的当前业务的合法性,可以包括:若第一虚拟接口信息与第二虚拟接口信息中的任意一个匹配,则UDM网元确定NG-RG的当前业务合法。
可选的,本申请实施例中,虚拟接口信息匹配是指虚拟接口信息的全部或部分匹配。比如,第一虚拟接口信息与第二虚拟接口信息匹配,是指第一虚拟接口信息与第二虚拟接口信息中的部分信息或全部信息匹配;或者,第一虚拟接口信息与第二虚拟接口信息中的任意一个匹配,是指第一虚拟接口信息与第二虚拟接口信息中的任意一个部分信息或全部信息匹配。
示例性的,假设虚拟接口信息包括VPI和VCI,则部分信息匹配可以是第一虚拟接口信息与第二虚拟接口信息或者第二虚拟接口信息中的任意一个的VPI相同,VCI不相同;或者,部分信息匹配可以是第一虚拟接口信息与第二虚拟接口信息或者第二虚拟接口信息中的任意一个的VCI相同,VPI不相同。全部信息匹配可以是第一虚拟接口信息与第二虚拟接口信息或者第二虚拟接口信息中的任意一个的VPI相同,且VCI相同,在此统一说明,以下不再赘述。
可选的,本申请实施例中,UDM网元也可以在根据NG-RG的签约信息或者运营商策略等确定需要验证NG-RG的当前业务的合法性之后,再验证NG-RG的当前业务的合法性,本申请实施例对此不作具体限定。
进一步的,本申请实施例中,若UDM网元验证NG-RG的接入位置合法,则本申请实施例提供的认证方法还可以包括如下步骤:
S508、UDM网元向AUSF网元发送鉴权向量获取响应消息。
相应的,AUSF网元接收来自UDM网元的鉴权向量获取响应消息。
作为一种可能的实现方式,在采用服务化接口时,鉴权向量获取响应消息可以对应AUSF网元调用UDM网元的Nudm_UEauthentication_get reponse消息,本申请实施例对此不作具体限定。
S509、5G-AKA或者EAP-AKA'认证流程。具体可以参见3GPP 33501中6.1.3节鉴权流程(authentication procedures)的描述,在此不再赘述。
S510、AUSF网元向AMF网元发送鉴权响应消息。
相应的,AMF网元接收来自AUSF网元的鉴权响应消息。
可选的,本申请实施例中,若5G-AKA或者EAP-AKA'认证成功,则步骤S510中的鉴权响应消息中可以包括认证成功指示信息,用于指示AKA认证成功以及NG-RG的接入位置认证合法。
示例性的,本申请实施例中,若步骤S509中执行5G-AKA认证流程,则该成功指示信息例如可以是鉴权的结果为成功;或者,若步骤S509中执行EAP-AKA'认证流程,则该成功指示信息例如可以是EAP success消息,本申请实施例对此不作具体限定。
作为一种可能的实现方式,在采用服务化接口时,鉴权请求消息可以对应AMF网元调用AUSF网元的Nausf_UEauthentication_authenticate response消息,本申请实施例对此不作具体限定。
S511、AMF网元向5G-AGF网元发送非接入层(non-access stratum,NAS)安全模式命令(security mode command,SMC)请求消息。
相应的,5G-AGF网元接收来自AMF网元的NAS SMC请求消息。
可选的,本申请实施例中,若AMF网元可以获取第一虚拟接口信息,则该NAS SMC请求消息中可以包括该第一虚拟接口信息,本申请实施例对此不作具体限定。
需要说明的是,本申请实施例中的NAS SMC请求消息有完整性保护,可以防止该NAS SMC请求消息中的信息被篡改,在此统一说明,以下不再赘述。
S512、5G-AGF网元向NG-RG发送NAS SMC请求消息。
相应的,NG-RG接收来自5G-AGF网元的NAS SMC请求消息。
S513、可选的,若步骤S512中的NAS SMC请求消息中包括第一虚拟接口信息,则NG-RG验证第一虚拟接口信息是否在空口被修改。
示例性的,若NAS SMC请求消息中包括第一虚拟接口信息与NG-RG上存储的第一虚拟接口信息相同,则可以确定第一虚拟接口信息在空口未被修改;或者,若NAS SMC请求消息中包括第一虚拟接口信息与NG-RG上存储的第一虚拟接口信息不相同,则可以确定第一虚拟接口信息在空口被修改。
进一步的,若NG-RG验证第一虚拟接口信息在空口未被修改,则本申请实施例提供的认证方法还包括如下步骤:
S514、NG-RG向5G-AGF网元发送NAS SMC完成消息。
相应的,5G-AGF网元接收来自NG-RG的NAS SMC完成消息。
S515、5G-AGF网元向AMF网元发送NAS SMC完成消息。
相应的,AMF网元接收来自5G-AGF网元的NAS SMC完成消息。
S516、AMF网元根据第一密钥,确定第二密钥。
其中,本申请实施例中,第一密钥为AMF网元和NG-RG之间的临时密钥,可以记作Kamf,由安全锚点功能(safe anchor function,SEAF)网元(与AMF网元合设)根据Kseaf推衍得到,具体可参考现有的密钥推衍方式,在此不再赘述;此外,AMF网元根据Kamf可以推衍得到下一级的密钥,如这里的第二密钥,本申请实施例对此不作具体限定。
一种可能的实现方式中,本申请实施例中,AMF网元可以根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,该第二密钥为NG-RG和5G-AGF网元之间的临时密钥,可以记作Kagf。
可选的,AMF网元根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,可以包括:AMF网元根据第一密钥、非3GPP网络标识、非3GPP网络的分类标识以及NAS消息计数值,确定第二密钥。
示例性的,AMF网元根据第一密钥、非3GPP网络标识、非3GPP网络的分类标识以及NAS消息计数值,确定第二密钥。
例如可以是根据如下第一公式确定第二密钥,该第一公式为:
Kagf=KDF(Kamf,P0,P1,P2);其中,Kagf表示第二密钥;Kamf表示第一密钥;PO为NAS消息计数值;P1为非3GPP网络标识,根据现有的密钥架构,3GPP网络标识例如可以是Ox01,非3GPP网络标识例如可以是Ox02;P2为新增参数值,表示非3GPP网络的分类标识。
其中,非3GPP网络的分类标识用于指示NG-RG的接入方式为固网接入或Wi-Fi接入,比如,0表示NG-RG的接入方式为固网接入,1表示NG-RG的接入方式为Wi-Fi接入;或者,1表示NG-RG的接入方式为固网接入,0表示NG-RG的接入方式为Wi-Fi接入。
再比如,1表示NG-RG的接入方式为固网接入,2表示NG-RG的接入方式为Wi-Fi接入;或者,2表示NG-RG的接入方式为固网接入,1表示NG-RG的接入方式为Wi-Fi接入,本申请实施例对此不作具体限定。另外,上述的具体数值可以用二进制或八进制或十六进制来表示。
其中,本申请实施例中的NAS消息计数值例如可以是上行或下行NAS消息计数值,在此统一说明,本申请实施例对此不作具体限定。
另一种可能的实现方式中,本申请实施例中,AMF网元可以根据第一密钥以及非3GPP网络的分类标识,确定上述第二密钥。
可选的,AMF网元根据第一密钥以及非3GPP网络的分类标识,确定第二密钥,可以包括:AMF网元根据第一密钥、非3GPP网络的分类标识以及NAS消息计数值,确定第二密钥。
示例性的,AMF网元根据第一密钥、非3GPP网络的分类标识以及NAS消息计数值,确定第二密钥例如可以是根据如下第二公式确定第二密钥,该第二公式为:
Kagf=KDF(Kamf,P0,P1);其中,Kagf表示第二密钥;Kamf表示第一密钥;PO为NAS消息计数值;P1为扩展参数值,表示非3GPP网络的分类标识。
其中,非3GPP网络的分类标识用于指示NG-RG的接入方式为固网接入或Wi-Fi接入,比如,Ox01表示NG-RG的接入方式为3GPP接入,Ox02表示NG-RG的接入方式为固网接入,Ox03表示NG-RG的接入方式为Wi-Fi接入,等,本申请实施例对此不作具体限定。
S517、AMF网元向5G-AGF网元发送初始上下文建立请求(initial context setuprequest)。
相应的,5G-AGF网元接收来自AMF网元的初始上下文建立请求。
其中,该初始上下文建立请求中包括上述第二密钥。
可选的,本申请实施例中,在5G-AGF网元获取第二密钥之后,可以使用第二密钥或者由第二密钥推衍得到的下层密钥加密待发送给NG-RG的数据,本申请实施例对此不作具体限定。
S518、5G-AGF网元向AMF网元发送初始上下文建立响应(initial context setupresponse)。
相应的,AMF网元接收来自5G-AGF网元的初始上下文建立响应。
S519、AMF网元向5G-AGF网元发送N2'消息2。
相应的,5G-AGF网元接收来自AMF网元的N2'消息2。其中,N2'消息2包括注册接受(registration accept)消息。
可选的,本申请实施例中,其中,若5G-AKA或者EAP-AKA'认证成功,则该注册接受消息中可以包括上述的认证成功指示信息,用于指示AKA认证成功以及NG-RG的接入位置认证合法,本申请实施例对此不作具体限定。
S520、5G-AGF网元向W-5GAN设备发送固网接口消息2。
相应的,W-5GAN设备接收来自5G-AGF网元的固网接口消息2。其中,该固网接口消息2包括上述注册接受消息。
S521、W-5GAN设备向NG-RG发送注册接受消息。
相应的,NG-RG接收来自W-5GAN设备的注册接受消息。
S522、NG-RG获取上述第一密钥。
其中,NG-RG可以根据存储的根密钥推衍得到第一密钥,具体可参考现有的实现方式,在此不再赘述。
S523、NG-RG根据第一密钥,确定第二密钥。
其中,NG-RG根据第一密钥,确定第二密钥的方式可参考步骤S516中AMF网元根据第一密钥,确定第二密钥的方式,在此不再赘述。
可选的,本申请实施例中,在NG-RG确定第二密钥之后,可以使用第二密钥或者由第二密钥推衍得到的下层密钥加密待发送给5G-AGF网元的数据,本申请实施例对此不作具体限定。
可选的,在本申请实施例步骤S506中,若UDM网元验证NG-RG接入的位置合法不合法,或者UDM网元验证NG-RG的当前业务不合法,则UDM网元向AUSF网元发送鉴权失败指示,并可选的返回鉴权失败的原因,如链路信息或者虚拟接口信息匹配不成功,本申请实施例对此不作具体限定。进而,可以不用执行步骤S509中的5G-AKA或者EAP-AKA'认证流程,由AUSF网元通过步骤S510-S512的流程将鉴权失败指示发送给NG-RG,本申请实施例对此不作具体限定。
一方面,由于UDM网元可以获取表征NG-RG接入的位置的第一链路信息和NG-RG签约的第二链路信息,并且可以根据第一链路信息和第二链路信息,验证NG-RG接入的位置的合法性,因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证NG-RG的接入位置的合法性;另一方面,由于UDM网元可以获取表征NG-RG的当前业务类型的第一虚拟接口信息和NG-RG签约的第二虚拟接口信息,并且可以根据第一虚拟接口信息和第二虚拟接口信息,验证NG-RG的当前业务的合法性,因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证NG-RG的当前业务的合法性;再一方面,由于本申请实施例中,NG-RG或者AMF网元在推衍非3GPP网络所需的第二密钥时,考虑非3GPP网络的分类标识,根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,因此可以隔离非3GPP网络中不同类型的接入方式。
其中,上述步骤S501至S523中的NG-RG、UDM网元、AUSF网元或者AMF网元的动作可以由图4所示的通信设备400中的处理器401调用存储器403中存储的应用程序代码来执行,本实施例对此不作任何限制。
可选的,图5所示的实施例中,验证NG-RG的接入位置的合法性的方案与隔离非3GPP网络中不同类型的接入方式的方案没有必然的绑定关系,可以采用本申请实施例提供的隔离非3GPP网络中不同类型的接入方式进行非3GPP网络中不同类型的接入方式的隔离,采用其他的方法验证NG-RG的接入位置的合法性;或者,可以采用本申请实施例提供的验证NG-RG的接入位置信息的合法性的方法验证NG-RG的接入位置的合法性,采用其他的方法隔离非3GPP网络中不同类型的接入方式,本申请实施例对此不作具体限定。
图5所示的实施例以网络设备为UDM网元为例进行说明。可选的,本申请实施例中,网络设备也可以为AUSF网元。此时,UDM网元不执行步骤S506与S507,而是在步骤S508中的鉴权向量获取响应消息中携带第一链路信息,可选的携带第一虚拟接口信息,由AUSF网元获取NG-RG的签约数据之后,采用类似于步骤S506的方式验证NG-RG接入的位置的合法性,或者,可选的采用步骤S507的方式验证NG-RG的当前业务的合法性,相关描述可参考图5所示的实施例,在此不再赘述。
图5所示的实施例以网络设备为UDM网元为例进行说明。可选的,本申请实施例中,网络设备也可以为AMF网元。此时,UDM网元不执行步骤S506与S507,而是在步骤S508中的鉴权向量获取响应消息中携带第一链路信息,可选的携带第一虚拟接口信息。由AUSF网元进一步的通过步骤S508或者步骤S509发送给AMF网元。进而,AMF网元获取NG-RG的签约数据之后,采用类似于步骤S506的方式验证NG-RG接入的位置的合法性,或者,可选的采用步骤S507的方式验证NG-RG的当前业务的合法性,相关描述可参考图5所示的实施例,在此不再赘述。
可选的,以图1或图2所示的认证系统应用于如图3所示的固移融合网络架构,网络设备为UDM网元为例,如图6所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S601、NG-RG向W-5GAN设备发送PDU会话建立请求消息。
相应的,W-5GAN设备接收来自NG-RG的PDU会话建立请求消息。
可选的,该PDU会话建立请求消息中可以包括第一虚拟接口信息,该第一虚拟接口信息用于表征NG-RG的当前业务类型。其中,第一虚拟接口信息的相关描述可参考上述认证系统部分,在此不再赘述。
S602、W-5GAN设备向5G-AGF网元发送固网接口消息1。
相应的,5G-AGF网元接收来自W-5GAN设备的固网接口消息1。
其中,该固网接口消息1包括上述PDU会话建立请求消息以及新增加的第一链路信息,该第一链路信息用于表征NG-RG接入的位置。其中,第一链路信息的相关描述可参考上述认证系统部分,在此不再赘述。
S603、5G-AGF网元向AMF网元发送N2'消息1。
相应的,AMF网元接收来自5G-AGF网元的N2'消息1。其中,N2'消息1包括上述PDU会话建立请求消息以及第一链路信息。
S604、AMF网元向SMF网元发送创建会话管理(session management,SM)上下文请求消息。
相应的,SMF网元接收来自AMF网元的创建SM上下文请求消息。
其中,该创建SM上下文请求消息包括上述第一链路信息。
可选的,若上述PDU会话建立请求消息中包括第一虚拟接口信息,则该创建SM上下文请求消息中还可以包括该第一虚拟接口信息,本申请实施例对此不作具体限定。
S605、SMF网元向UDM网元发送SMF注册请求。
相应的,UDM网元接收来自SMF网元的SMF注册请求。
其中,该注册请求包括上述第一链路信息。
可选的,若上述创建SM上下文请求消息中包括第一虚拟接口信息,则该SMF注册请求中还可以包括该第一虚拟接口信息,本申请实施例对此不作具体限定。
S606-S607、同图5所示的实施例中的步骤S506-S507,相关描述可参考图5所示的实施例,在此不再赘述。
进一步的,本申请实施例中,若UDM网元验证NG-RG的接入位置合法,则本申请实施例提供的认证方法还可以包括如下步骤:
S608、UDM网元向SMF网元发送SMF注册响应。
相应的,SMF网元接收来自UDM网元的SMF注册响应。
S609、SMF网元从UDM网元获取NG-RG的签约信息,相关描述可参考现有的实现方式,在此不再赘述。
S610、SMF网元向AMF网元发送创建SM上下文响应消息。
相应的,AMF网元接收来自SMF网元的创建SM上下文响应消息。
S611、位于步骤S610与下述步骤S612之间的部分会话建立流程,相关实现可参考现有的PDU会话建立流程,在此不再赘述。
S612、AMF网元向5G-AGF网元发送N2'消息2。
相应的,5G-AGF网元接收来自AMF网元的N2'消息2。其中,N2'消息2包括PDU会话建立接受消息。
可选的,本申请实施例中的N2'消息2例如可以是N2'会话请求消息,本申请实施例对此不作具体限定。
S613、5G-AGF网元根据第二密钥,确定第三密钥。
其中,本申请实施例中的第二密钥为NG-RG和5G-AGF网元之间的临时密钥,可以记作Kagf;本申请实施例中的第三密钥为NG-RG和5G-AGF网元之间的会话临时密钥,可以记作Kup-session。
其中,本申请实施例中的第二密钥可以是根据现有的推衍方式推衍得到的,也可以是根据图5所示的实施例中的推衍方式推衍得到的,本申请实施例对此不作具体限定。
可选的,本申请实施例中,5G-AGF网元根据第二密钥,确定第三密钥,可以包括:5G-AGF网元根据第二密钥和第一虚拟接口信息,确定第三密钥。
示例性的,5G-AGF网元根据第二密钥和第一虚拟接口信息,确定第三密钥例如可以是根据如下第三公式确定第三密钥,该第三公式为:
Kup-session=KDF(Kagf,虚拟接口信息);其中,Kup-session表示第三密钥,Kagf表示第二密钥,KDF为密钥导出函数。
或者,示例性的,5G-AGF网元根据第二密钥和第一虚拟接口信息,确定第三密钥例如可以是根据如下第四公式确定第三密钥,该第四公式为:
Kup-session=KDF(Kagf,虚拟接口信息,机密性或完整性算法标识);其中,Kup-session表示第三密钥,Kagf表示第二密钥,KDF为密钥导出函数。
可选的,本申请实施例中,在5G-AGF网元获取第三密钥之后,可以使用第三密钥或者由第三密钥推衍得到的下层密钥加密待发送给NG-RG的会话数据,本申请实施例对此不作具体限定。
S614、NG-RG和5G-AGF网元之间建立用户面资源,相关实现可参考现有技术,在此不再赘述。
S615、5G-AGF网元向W-5GAN设备发送固网接口消息2。
相应的,W-5GAN设备接收来自5G-AGF网元的固网接口消息2。
其中,该固网接口消息2包括PDU会话建立接受消息。
S616、W-5GAN设备向NG-RG发送PDU会话建立接受消息。
相应的,NG-RG接收来自W-5GAN设备的PDU会话建立接受消息。
S617、5G-AGF网元向AMF网元发送N2'消息3。
相应的,AMF网元接收来自5G-AGF网元的N2'消息3。
可选的,本申请实施例中的N2'消息3例如可以是N2'会话响应消息,本申请实施例对此不作具体限定。
S618、NG-RG获取上述第二密钥。
其中,本申请实施例中的第二密钥可以是根据现有的推衍方式推衍得到的,也可以是根据图5所示的实施例中的推衍方式推衍得到的,本申请实施例对此不作具体限定。
S619、NG-RG根据第二密钥,确定第三密钥。
其中,NG-RG根据第二密钥,确定第三密钥的方式可参考步骤S613中5G-AGF网元根据第二密钥,确定第三密钥的方式,在此不再赘述。
可选的,本申请实施例中,在NG-RG确定第三密钥之后,可以使用第三密钥或者由第三密钥推衍得到的下层密钥加密待发送给5G-AGF网元的会话数据,本申请实施例对此不作具体限定。
可选的,在本申请实施例步骤S606中,若UDM网元验证NG-RG接入的位置合法不合法,或者UDM网元验证NG-RG的当前业务不合法,则UDM网元不会执行后续的会话建立流程,而是将向NG-RG发送验证失败指示,并可选的返回验证失败的原因,如链路信息或者虚拟接口信息匹配不成功,本申请实施例对此不作具体限定。
一方面,由于UDM网元可以获取表征NG-RG接入的位置的第一链路信息和NG-RG签约的第二链路信息,并且可以根据第一链路信息和第二链路信息,验证NG-RG接入的位置的合法性,因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证NG-RG的接入位置信息的合法性;另一方面,由于UDM网元可以获取表征NG-RG的当前业务类型的第一虚拟接口信息和NG-RG签约的第二虚拟接口信息,并且可以根据第一虚拟接口信息和第二虚拟接口信息,验证NG-RG的当前业务的合法性,因此,基于本申请实施例提供的认证方法,可以在固移融合架构中验证NG-RG的当前业务的合法性;再一方面,由于本申请实施例中,NG-RG或者5G-AGF网元在推衍上述第三密钥时,根据第二密钥和第一接口虚拟接口信息,确定第三密钥,因此可以隔离非3GPP网络中的不同会话。
其中,上述步骤S601至S619中的NG-RG、UDM网元、SMF网元或者AMF网元的动作可以由图4所示的通信设备400中的处理器401调用存储器403中存储的应用程序代码来执行,本实施例对此不作任何限制。
可选的,图6所示的实施例中,验证NG-RG的接入位置的合法性的方案与隔离非3GPP网络中不同会话的方案没有必然的绑定关系,可以采用本申请实施例提供的隔离非3GPP网络中不同会话的方式进行非3GPP网络中不同会话的隔离,采用其他的方法验证NG-RG的接入位置信息的合法性;或者,可以采用本申请实施例提供的验证NG-RG的接入位置信息的合法性的方法验证NG-RG的接入位置信息的合法性,采用其他的方法隔离非3GPP网络中的不同会话,本申请实施例对此不作具体限定。
图6所示的实施例以网络设备为UDM网元为例进行说明。可选的,本申请实施例中,网络设备也可以为SMF网元。此时,UDM网元不执行步骤S606与S607,而是在步骤S608中的SMF注册响应中携带第一链路信息,可选的携带第一虚拟接口信息,由SMF网元获取NG-RG的签约数据之后,采用类似于步骤S606的方式验证NG-RG接入的位置的合法性,或者,可选的采用步骤S607的方式验证NG-RG的当前业务的合法性,相关描述可参考图6所示的实施例,在此不再赘述。
图6所示的实施例以网络设备为UDM网元为例进行说明。可选的,本申请实施例中,网络设备也可以为AMF网元。此时,UDM网元不执行步骤S606与S607,而是在步骤S608中的SMF注册响应中携带第一链路信息,可选的携带第一虚拟接口信息。由SMF网元进一步的通过步骤S610或者步骤S611发送给AMF网元。进而,AMF网元获取NG-RG的签约数据之后,采用类似于步骤S606的方式验证NG-RG接入的位置的合法性,或者,可选的采用步骤S507的方式验证NG-RG的当前业务的合法性,相关描述可参考图6所示的实施例,在此不再赘述。
可选的,以图1或图2所示的认证系统应用于如图3所示的固移融合网络架构为例,如图7所示,为本申请实施例提供的一种认证方法,该认证方法包括如下步骤:
S701-S705、与图5所示的实施例中的步骤S501-S505类似,区别比如在于:将步骤S501-S505中的第一链路信息替换为本申请实施例中的第三链路信息,将步骤S501-S505中的第一虚拟接口信息替换为本申请实施例中的第三虚拟接口信息,其余相关描述可参考图5所示的实施例,在此不再赘述。
可选的,本申请实施例中的第三链路信息可以和图5所示的实施例中的第一链路信息相同或者不相同;本申请实施例中的第三虚拟接口信息可以和图5所示的实施例中的第一虚拟接口信息相同或者不相同,本申请实施例对此不作具体限定。
S706、UDM网元根据本地策略,将第三链路信息存储至NG-RG的签约信息中。
示例性的,本地策略例如可以是:若UDM网元中未保存链路信息,则自动保存收到的链路信息;或者,若UDM网元中已经保存有链路信息,则覆盖后自动保存收到的链路信息;或者,若UDM网元中已经保存有链路信息,则添加保存收到的链路信息,本申请实施例对此不作具体限定。
S707、可选的,若步骤S705中的鉴权向量获取请求消息包括第三虚拟接口信息,则UDM网元根据本地策略,将第三虚拟接口信息存储至NG-RG的签约信息中。
示例性的,本地策略例如可以是:若UDM网元中未保存虚拟接口信息,则自动保存收到的虚拟接口信息;或者,若UDM网元中已经保存有虚拟接口信息,则覆盖后自动保存收到的虚拟接口信息;或者,若UDM网元中已经保存有虚拟接口信息,则添加保存收到的虚拟接口信息,本申请实施例对此不作具体限定。
S708、UDM网元向AUSF网元发送鉴权向量获取响应消息,以使得AUSF网元接收来自UDM网元的鉴权向量获取响应消息。
作为一种可能的实现方式,在采用服务化接口时,鉴权向量获取响应消息可以对应AUSF网元调用UDM网元的Nudm_UEauthentication_get reponse消息,本申请实施例对此不作具体限定。
S709、5G-AKA或者EAP-AKA'认证流程。具体可以参见3GPP 33501中6.1.3节鉴权流程(authentication procedures)的描述,在此不再赘述。
S710、后续注册流程,具体可参考现有的注册流程或者图5中对应的注册流程部分,在此不再赘述。
基于本申请实施例提供的认证方法,一方面,可以提供一种链路信息的自动绑定方式,从而可以简化NG-RG的接入位置信息的签约。另一方面,可以提供一种虚拟接口信息的自动绑定方式,从而可以简化NG-RG的业务类型的签约。
其中,上述步骤S701至S710中的NG-RG、UDM网元或者AMF网元的动作可以由图4所示的通信设备400中的处理器401调用存储器403中存储的应用程序代码来执行,本实施例对此不作任何限制。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,上述网络设备、移动管理网元或者家庭网关等为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对网络设备、移动管理网元或者家庭网关进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,以采用集成的方式划分各个功能模块的情况下,图8示出了一种网络设备80的结构示意图。该网络设备80包括:收发模块802和处理模块801。收发模块802,用于接收第一链路信息,第一链路信息用于表征家庭网关接入的位置。处理模块801,用于获取家庭网关的签约信息,签约信息中包括家庭网关签约的第二链路信息,第二链路信息用于表征家庭网关签约的位置。处理模块801,还用于根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性。
可选的,第二链路信息为多个;处理模块801,用于根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性,包括:用于若第一链路信息和第二链路信息中的任意一个匹配,确定家庭网关接入的位置合法。
可选的,签约信息中还包括家庭网关签约的第二虚拟接口信息,第二虚拟接口信息用于表征家庭网关签约的业务类型。收发模块802,还用于接收第一虚拟接口信息,第一虚拟接口信息用于表征家庭网关的当前业务类型;处理模块801,还用于根据第一虚拟接口信息和第二虚拟接口信息,验证家庭网关的当前业务的合法性。
可选的,第二虚拟接口信息为多个;处理模块801,用于根据第一虚拟接口信息和第二虚拟接口信息,验证家庭网关的当前业务的合法性,包括:用于若第一虚拟接口信息和第二虚拟接口信息中的任意一个匹配,确定家庭网关的当前业务合法。
可选的,网络设备80为移动管理网元;收发模块802,还用于向家庭网关发送NASSMC请求消息,NAS SMC请求消息包括第一虚拟接口信息,第一虚拟接口信息用于家庭网关验证第一虚拟接口信息是否在空口被修改。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该网络设备80以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该网络设备80可以采用图4所示的形式。
比如,图4中的处理器401可以通过调用存储器403中存储的计算机执行指令,使得网络设备80执行上述方法实施例中的认证方法。
具体的,图8中的收发模块802和处理模块801的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现。或者,图8中的处理模块801的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现,图8中的收发模块802的功能/实现过程可以通过图4中的通信接口404来实现。
由于本实施例提供的网络设备80可执行上述的认证方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
可选的,本申请实施例还提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持网络设备实现上述认证方法,例如根据第一链路信息和第二链路信息,验证家庭网关接入的位置的合法性。在一种可能的设计中,该装置还包括存储器。该存储器,用于保存网络设备必要的程序指令和数据。当然,存储器也可以不在该装置中。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
或者,比如,以采用集成的方式划分各个功能模块的情况下,图9示出了一种移动管理网元90的结构示意图。该移动管理网元90包括:处理模块901和收发模块902。处理模块901,用于获取第一密钥,第一密钥为移动管理网元和家庭网关之间的临时密钥。处理模块901,还用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。收发模块902,还用于向接入网关功能网元发送第二密钥。
具体的,处理模块901:用于根据第一密钥、非3GPP网络标识、非3GPP网络的分类标识以及非接入层NAS消息计数值,确定第二密钥。
可选的,非3GPP网络的分类标识用于指示家庭网关的接入方式为固网接入或Wi-Fi接入。
可选的,NAS消息计数值为上行或下行NAS消息计数值。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该移动管理网元90以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该移动管理网元90可以采用图4所示的形式。
比如,图4中的处理器401可以通过调用存储器403中存储的计算机执行指令,使得移动管理网元90执行上述方法实施例中的认证方法。
具体的,图9中的收发模块902和处理模块901的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现。或者,图9中的处理模块901的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现,图9中的收发模块902的功能/实现过程可以通过图4中的通信接口404来实现。
由于本实施例提供的移动管理网元90可执行上述的认证方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
可选的,本申请实施例还提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持移动管理网元实现上述认证方法,例如根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。在一种可能的设计中,该装置还包括存储器。该存储器,用于保存移动管理网元必要的程序指令和数据。当然,存储器也可以不在该装置中。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
或者,比如,以采用集成的方式划分各个功能模块的情况下,图10示出了一种家庭网关100的结构示意图,该家庭网关100包括:获取模块1001和确定模块1002。获取模块1001,用于获取第一密钥,第一密钥为家庭网关和移动管理网元之间的临时密钥;确定模块1002,用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。
可选的,确定模块1002,用于根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥,包括:用于根据第一密钥、非3GPP网络标识、非3GPP网络的分类标识以及非接入层NAS消息计数值,确定第二密钥。
可选的,非3GPP网络的分类标识用于指示家庭网关的接入方式为固网接入或Wi-Fi接入。
可选的,NAS消息计数值为上行或下行NAS消息计数值。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
在本实施例中,该家庭网关100以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该家庭网关100可以采用图4所示的形式。
比如,图4中的处理器401可以通过调用存储器403中存储的计算机执行指令,使得家庭网关100执行上述方法实施例中的认证方法。
具体的,图10中的获取模块1001和确定模块1002的功能/实现过程可以通过图4中的处理器401调用存储器403中存储的计算机执行指令来实现。
由于本实施例提供的家庭网关100可执行上述的认证方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
可选的,本申请实施例还提供了一种装置(例如,该装置可以是芯片系统),该装置包括处理器,用于支持家庭网关实现上述认证方法,例如根据第一密钥、非3GPP网络标识以及非3GPP网络的分类标识,确定第二密钥。在一种可能的设计中,该装置还包括存储器。该存储器,用于保存家庭网关必要的程序指令和数据。当然,存储器也可以不在该装置中。该装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (16)
1.一种认证方法,其特征在于,所述方法包括:
在网络设备根据第一链路信息和家庭网关的签约信息中包括的所述家庭网关签约的第二链路信息确定所述家庭网关接入的位置合法,并且第一虚拟接口信息未被修改的情况下,移动管理网元获取第一密钥,所述第一密钥为所述移动管理网元和家庭网关之间的临时密钥;
所述移动管理网元根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥;
所述移动管理网元向接入网关功能网元发送所述第二密钥;
其中,所述第一链路信息用于表征家庭网关接入的位置,所述第二链路信息用于表征所述家庭网关签约的位置,所述第一虚拟接口信息用于表征所述家庭网关的当前业务类型。
2.根据权利要求1所述的方法,其特征在于,所述移动管理网元根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥,包括:
所述移动管理网元根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值,确定所述第二密钥。
3.根据权利要求2所述的方法,其特征在于,所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。
4.根据权利要求2或3所述的方法,其特征在于,所述NAS消息计数值为上行或下行NAS消息计数值。
5.一种认证方法,其特征在于,所述方法包括:
在网络设备根据第一链路信息和家庭网关的签约信息中包括的所述家庭网关签约的第二链路信息确定所述家庭网关接入的位置合法,并且第一虚拟接口信息未被修改的情况下,家庭网关获取第一密钥,所述第一密钥为所述家庭网关和移动管理网元之间的临时密钥;
所述家庭网关根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥;
其中,所述第一链路信息用于表征家庭网关接入的位置,所述第二链路信息用于表征所述家庭网关签约的位置,所述第一虚拟接口信息用于表征所述家庭网关的当前业务类型。
6.根据权利要求5所述的方法,其特征在于,所述家庭网关根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥,包括:
所述家庭网关根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值,确定所述第二密钥。
7.根据权利要求6所述的方法,其特征在于,所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。
8.根据权利要求6或7所述的方法,其特征在于,所述NAS消息计数值为上行或下行NAS消息计数值。
9.一种移动管理网元,其特征在于,所述移动管理网元包括:处理模块和收发模块;
在网络设备根据第一链路信息和家庭网关的签约信息中包括的所述家庭网关签约的第二链路信息确定所述家庭网关接入的位置合法,并且第一虚拟接口信息未被修改的情况下,所述处理模块,用于获取第一密钥,所述第一密钥为所述移动管理网元和家庭网关之间的临时密钥;
所述处理模块,还用于根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥;
所述收发模块,还用于向接入网关功能网元发送所述第二密钥;
其中,所述第一链路信息用于表征家庭网关接入的位置,所述第二链路信息用于表征所述家庭网关签约的位置,所述第一虚拟接口信息用于表征所述家庭网关的当前业务类型。
10.根据权利要求9所述的移动管理网元,其特征在于,所述处理模块,用于根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥,包括:
用于根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值,确定所述第二密钥。
11.根据权利要求10所述的移动管理网元,其特征在于,所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。
12.根据权利要求10或11所述的移动管理网元,其特征在于,所述NAS消息计数值为上行或下行NAS消息计数值。
13.一种家庭网关,其特征在于,所述家庭网关包括:获取模块和确定模块;
在网络设备根据第一链路信息和家庭网关的签约信息中包括的所述家庭网关签约的第二链路信息确定所述家庭网关接入的位置合法,并且第一虚拟接口信息未被修改的情况下,所述获取模块,用于获取第一密钥,所述第一密钥为所述家庭网关和移动管理网元之间的临时密钥;
所述确定模块,用于根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥;
其中,所述第一链路信息用于表征家庭网关接入的位置,所述第二链路信息用于表征所述家庭网关签约的位置,所述第一虚拟接口信息用于表征所述家庭网关的当前业务类型。
14.根据权利要求13所述的家庭网关,其特征在于,所述确定模块,用于根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识,确定第二密钥,包括:
用于根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值,确定所述第二密钥。
15.根据权利要求14所述的家庭网关,其特征在于,所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。
16.根据权利要求14或15所述的家庭网关,其特征在于,所述NAS消息计数值为上行或下行NAS消息计数值。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811090292.7A CN110933591B (zh) | 2018-09-18 | 2018-09-18 | 认证方法、设备及系统 |
| EP19863275.4A EP3823320B1 (en) | 2018-09-18 | 2019-08-22 | Authentication method, device, and system |
| PCT/CN2019/101941 WO2020057315A1 (zh) | 2018-09-18 | 2019-08-22 | 认证方法、设备及系统 |
| US17/185,467 US11503467B2 (en) | 2018-09-18 | 2021-02-25 | Authentication method, device, and system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811090292.7A CN110933591B (zh) | 2018-09-18 | 2018-09-18 | 认证方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110933591A CN110933591A (zh) | 2020-03-27 |
| CN110933591B true CN110933591B (zh) | 2021-07-16 |
Family
ID=69855798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811090292.7A Active CN110933591B (zh) | 2018-09-18 | 2018-09-18 | 认证方法、设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11503467B2 (zh) |
| EP (1) | EP3823320B1 (zh) |
| CN (1) | CN110933591B (zh) |
| WO (1) | WO2020057315A1 (zh) |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100438471C (zh) | 2005-12-08 | 2008-11-26 | 华为技术有限公司 | 一种无线局域网的业务接入方法及无线局域网系统 |
| CN101051899B (zh) * | 2006-05-22 | 2011-05-04 | 华为技术有限公司 | 无线通信网络中生成移动ip密钥的方法及系统 |
| WO2008113370A1 (de) * | 2007-03-16 | 2008-09-25 | Gigaset Communications Gmbh | Verfahren, endgerät und adress-server zur konfigurierung eines endgerätes |
| WO2009155818A1 (zh) * | 2008-06-23 | 2009-12-30 | 华为技术有限公司 | 一种接入设备位置验证方法、接入设备、网络设备及系统 |
| CN101686164B (zh) * | 2008-09-24 | 2012-07-04 | 华为技术有限公司 | 无线接入设备的定位方法和位置验证方法及无线接入设备 |
| CN102143136B (zh) * | 2010-08-20 | 2013-12-04 | 华为技术有限公司 | 接入业务批发网络的方法、设备、服务器和系统 |
| CN103095536B (zh) * | 2011-11-03 | 2017-06-30 | 南京中兴新软件有限责任公司 | 一种用户接入方法、接入服务路由器及用户接入系统 |
| WO2014000194A1 (zh) * | 2012-06-27 | 2014-01-03 | 华为技术有限公司 | 一种会话建立方法及装置 |
| CN103582159B (zh) * | 2012-07-20 | 2018-11-30 | 南京中兴新软件有限责任公司 | 一种固定移动网络融合场景下的多连接建立方法及系统 |
| US9736165B2 (en) * | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
| US10356184B2 (en) * | 2016-03-31 | 2019-07-16 | Huawei Technologies Co., Ltd. | Systems and methods for service and session continuity in software defined topology management |
| CN109076435A (zh) * | 2016-05-31 | 2018-12-21 | 华为技术有限公司 | 一种位置验证方法及装置 |
| US10764394B2 (en) * | 2016-11-30 | 2020-09-01 | At&T Intellectual Property I, L.P. | Resource based framework to support service programmability for a 5G or other next generation mobile core network |
| EP3340581B1 (en) * | 2016-12-20 | 2022-02-23 | InterDigital CE Patent Holdings | Method for managing service chaining at a network equipment, corresponding network equipment |
| RU2734873C1 (ru) * | 2017-01-30 | 2020-10-23 | Телефонактиеболагет Лм Эрикссон (Пабл) | Функция привязки безопасности в 5g-системах |
| WO2018158729A1 (en) * | 2017-03-01 | 2018-09-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Access and mobility management entity relocation in core networks |
| US11317287B2 (en) * | 2017-03-27 | 2022-04-26 | Ambeent Inc. | Method and system for authenticating cellular devices and non-SIM devices for accessing a Wi-Fi access point using a cloud platform |
| US10778609B2 (en) * | 2017-08-10 | 2020-09-15 | Futurewei Technologies, Inc. | Interactions between a broadband network gateway and a fifth generation core |
| WO2019064274A1 (en) * | 2017-09-28 | 2019-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | FREQUENCY SELECTION OR RADIO ACCESS TECHNOLOGY (RAT) BASED ON AVAILABILITY OF SLICES |
| US11716558B2 (en) * | 2018-04-16 | 2023-08-01 | Charter Communications Operating, Llc | Apparatus and methods for integrated high-capacity data and wireless network services |
| WO2020260921A2 (en) * | 2018-07-30 | 2020-12-30 | Lenovo (Singapore) Pte. Ltd. | Security protection of user plane traffic |
| EP3850797A1 (en) * | 2018-09-10 | 2021-07-21 | Koninklijke KPN N.V. | Connecting to a home area network via a mobile communication network |
-
2018
- 2018-09-18 CN CN201811090292.7A patent/CN110933591B/zh active Active
-
2019
- 2019-08-22 EP EP19863275.4A patent/EP3823320B1/en active Active
- 2019-08-22 WO PCT/CN2019/101941 patent/WO2020057315A1/zh unknown
-
2021
- 2021-02-25 US US17/185,467 patent/US11503467B2/en active Active
Non-Patent Citations (2)
| Title |
|---|
| Solution of 5GC Capable UE behind 5G-RG connected to 5GC via NG-RAN/W-5GAN;Intel;《SA WG2 Meeting #S2-128 S2-186846》;20180626;全文 * |
| Update of Solution #11: Support 5GC-capable UEs via 5G-RG/FN-RG for wireline access network using N3GPP solutions;Motorola Mobility, Lenovo;《SA WG2 Meeting #128 S2-186437》;20180626;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020057315A1 (zh) | 2020-03-26 |
| CN110933591A (zh) | 2020-03-27 |
| US11503467B2 (en) | 2022-11-15 |
| EP3823320C0 (en) | 2023-08-09 |
| EP3823320B1 (en) | 2023-08-09 |
| EP3823320A4 (en) | 2021-07-14 |
| US20210185527A1 (en) | 2021-06-17 |
| EP3823320A1 (en) | 2021-05-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210058783A1 (en) | Network authentication method, and related device and system | |
| CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
| KR102024653B1 (ko) | 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템 | |
| CN109428874B (zh) | 基于服务化架构的注册方法及装置 | |
| WO2021037175A1 (zh) | 一种网络切片的管理方法及相关装置 | |
| WO2019041802A1 (zh) | 基于服务化架构的发现方法及装置 | |
| US11140545B2 (en) | Method, apparatus, and system for protecting data | |
| CN111818516B (zh) | 认证方法、装置及设备 | |
| EP4142327A1 (en) | Method and apparatus for protecting communication | |
| CN111865872B (zh) | 一种网络切片内终端安全策略实现方法及设备 | |
| CN107567017B (zh) | 无线连接系统、装置及方法 | |
| CN110121196B (zh) | 一种安全标识管理方法及装置 | |
| US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
| US10880744B2 (en) | Security negotiation method, security function entity, core network element, and user equipment | |
| CN110519750B (zh) | 报文处理方法、设备及系统 | |
| CN112822678B (zh) | 一种服务化架构授权的方法 | |
| CN112512045A (zh) | 一种通信系统、方法及装置 | |
| CN111182546A (zh) | 接入无线网络的方法、设备及系统 | |
| JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
| CN112929876B (zh) | 一种基于5g核心网的数据处理方法及装置 | |
| CN108738015B (zh) | 网络安全保护方法、设备及系统 | |
| WO2022142933A1 (zh) | 无线接入点的入网方法、系统、ap及存储介质 | |
| WO2018076298A1 (zh) | 一种安全能力协商方法及相关设备 | |
| WO2021083012A1 (zh) | 一种保护认证流程中参数的方法及装置 | |
| CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |