CN111147421B - 一种基于通用引导架构gba的认证方法及相关设备 - Google Patents
一种基于通用引导架构gba的认证方法及相关设备 Download PDFInfo
- Publication number
- CN111147421B CN111147421B CN201811302478.4A CN201811302478A CN111147421B CN 111147421 B CN111147421 B CN 111147421B CN 201811302478 A CN201811302478 A CN 201811302478A CN 111147421 B CN111147421 B CN 111147421B
- Authority
- CN
- China
- Prior art keywords
- identifier
- suci
- bsf
- arpf
- udm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
本发明实施例公开了一种基于通用引导架构GBA的认证方法,包括:自举服务功能BSF接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;所述BSF根据所述第一标识获取所述UE的认证向量AV;所述BSF根据获取的所述认证向量AV完成与所述UE的GBA认证。如此,为UE保护了SUPI的隐私,使用SUCI或由SUCI转化的标识来进行GBA的自举过程,提高了GBA认证过程的安全性。
Description
技术领域
本发明实施例涉及但不限于通用引导架构GBA,更具体的涉及一种基于通用引导架构GBA的认证方法及相关设备。
背景技术
3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)目前正在进行5G(5th Generation)系统的研究,根据3GPP标准工作组的定义,5G系统包括无线子系统5G RAN(5G Radio Access Network,5G无线接入系统)、5G核心网子系统5GC(5G Core,5G核心网)。
在移动网络中,终端通常需要与网络中的业务点建立安全连接。通用引导架构(General Bootstrapping Architecture,简称为GBA)是3GPP定义的一种在UE(UserEquipment,用户设备)和应用服务器之间建立的相互鉴权和密钥协商的通用机制。
但是目前在5G技术中,并没有提供一种基于通用引导架构GBA的相关认证机制,从而在5G网络中保证UE与网络业务节点(Network Application Function,NAF)之间的通信安全。
发明内容
有鉴于此,本发明实施例提供了一种基于通用引导架构GBA的认证方法,包括:
自举服务功能BSF接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;
所述BSF根据所述第一标识获取所述UE的认证向量AV;
所述BSF根据获取的所述认证向量AV完成与所述UE的GBA认证。
本发明实施例还提供了一种基于通用引导架构GBA的认证系统,包括:
自举服务功能BSF,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;根据所述第一标识获取所述UE的认证向量AV;根据获取的所述认证向量AV完成与所述UE的GBA认证。
本发明实施例还提供了一种自举服务功能BSF,包括:
接收单元,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;
获取单元,用于根据所述第一标识获取所述UE的认证向量AV;
认证单元,用于根据获取的所述认证向量AV完成与所述UE的GBA认证。
本发明实施例还提供了一种认证服务功能AUSF,包括:
第一接收单元,用于接收BSF发送的认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
确定单元,用于根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
第一发送单元,用于向所述对应的UDM/ARPF转发所述认证向量AV请求消息;
第二接收单元,接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
第二发明单元,向所述BSF转发所述AV请求响应消息。
本发明实施例还提供了一种认证服务功能AUSF,包括:
第一接收单元,用于接收BSF发送的认证向量AV请求消息,所述AV请求消息携带所述UE的用户永久标识SUPI或MSISDN或业务标识;
确定单元,用于根据所述UE的SUPI或MSISDN或业务标识确定对应的UDM/ARPF;
第一发送单元,用于向所述对应的UDM/ARPF转发所述AV请求消息;
第二接收单元,用于接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
第二发送单元,用于向所述BSF转发所述AV请求响应消息。
本发明实施例还提供了一种统一数据管理功能UDM/认证凭证存储和处理功能ARPF,包括:
接收单元,用于从BSF或AUSF接收认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
获取单元,用于根据所述UE的SUCI或由SUCI转化的标识获取所述UE的用户永久标识SUPI以及所述UE的SUPI对应的用户签约信息;
发送单元,用于根据所述签约信息得到所述UE的认证向量AV并向所述BSF或AUSF发送认证向量AV请求响应消息,所述AV请求响应消息携带所述UE的认证向量AV。
本发明实施例还提供了一种统一数据管理功能UDM/认证凭证存储和处理功能ARPF,包括:
接收单元,用于从BSF或AUSF接收认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;
获取单元,用于根据所述UE的所述UE的SUPI或MSISDN或业务标识直接获取所述UE的用户签约信息;
发送单元,用于根据所述签约信息得到所述UE的认证向量AV并向所述BSF或AUSF发送认证向量AV请求响应消息,所述AV请求响应消息携带所述UE的认证向量AV。
本发明实施例还提供了一种用户设备UE,包括:
发送单元,用于向自举服务功能BSF发送初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI。
本发明实施例还提供了一种自举服务功能BSF,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述认证方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述认证方法的步骤。
与相关技术相比,本发明实施例提供了一种基于通用引导架构GBA的认证方法及相关设备,其中方法包括:自举服务功能BSF接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;所述BSF根据所述第一标识获取所述UE的认证向量AV;所述BSF根据获取的所述认证向量AV完成与所述UE的GBA认证。如此,为UE保护了SUPI的隐私,使用SUCI或由SUCI转化的标识来进行GBA的自举过程,提高了GBA认证过程的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为5G系统的架构示意图;
图2为SUCI组成部分的示意图;
图3为相关技术中GBA认证系统的结构示意图
图4为相关技术中GBA认证过程的流程示意图;
图5为本发明实施例一提供的基于通用引导架构GBA的认证方法的流程示意图;
图6为本发明实施例二提供的基于通用引导架构GBA的认证系统的结构示意图;
图7是本发明实施例三提供的基于通用引导架构GBA的认证系统的架构示意图;
图8为本发明实施例四提供的基于通用引导架构GBA的认证方法的流程示意图;
图9为本发明实施例五提供的基于通用引导架构GBA的认证方法的流程示意图;
图10为本发明实施例六提供的一种自举服务功能BSF的结构示意图;
图11为本发明实施例七提供的一种认证服务功能AUSF的结构示意图;
图12为本发明实施例七提供的另一种认证服务功能AUSF的结构示意图;
图13为本发明实施例八提供的一种UDM/ARPF的结构示意图;
图14为本发明实施例八提供的另一种UDM/ARPF的结构示意图;
图15为本发明实施例九提供的一种用户设备UE的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是5G系统的架构示意图,由若干的NF(Network Function,网络功能)构成。其中,5G无线子系统部分,主要包括NR(New Radio,新一代无线基站),5G核心网子系统部分,主要包含UDM(Unified Data Management,统一数据管理功能)、AMF(Access ManagementFunction,接入管理功能)、SMF(Session Management Function,会话管理功能)、UPF(UserPlane Function,用户面功能)、PCF(Policy Control Function,策略控制功能)、SEAF(Security Anchor Function,安全锚点功能)、AUSF(Authentication Server Function、认证服务器功能)和ARPF(Authentication Credential Repository and ProcessingFunction,认证凭证存储和处理功能)等,其中:
UDM(Unified Data Management)/ARPF(Authentication CredentialRepository and Processing Function):统一数据管理功能,是用户签约数据的永久存放地点,位于用户签约的归属网,而ARPF(Authentication Credential Repository andProcessing Function)存储用于认证的长期安全凭证,并使用长期安全凭证作为输入执行密码运算。UDM/ARPF位于运营商或者第三方系统的安全环境中,不会暴露给非授权的物理访问,ARPF和AUSF之间进行交互。
AMF(Access Management Function)/SEAF(Security Anchor Function):接入管理功能/安全锚点功能,对用户接入到网络的需求进行管理,负责终端到网络的NAS层(Non-Access Stratum,非接入层)信令管理、用户移动性管理等功能,AMF具有安全锚点功能(SEAF),与AUSF以及UE交互,接收为UE认证过程而建立的中间密钥,对基于USIM的认证方式,AMF从AUSF获取安全相关数据;
AUSF(Authentication Server Function):与ARPF交互的认证功能,并终止来自SEAF的请求。AUSF位于运营商或第三方系统的安全环境中,不会暴露给未授权的物理接入。
SMF(Session Management Function):会话管理功能,管理用户的PDU(PacketData Unit,分组数据单元)会话、QoS(Quality of Service,服务质量)流,为UPF制定包检测和转发规则等;
UPF(User Plane Function):用户面功能,负责IP数据、非IP数据的路由和转发、用量上报等功能。
PCF(Policy Control Function):策略控制功能,负责为AMF、SMF提供各级别策略规则。
DN(Data Network)数据网络,比如运营商服务,网络接入,第三方服务。
AF(Application Function)应用功能,对AF会话进行管理。
通用引导架构(GeneralBootstrapping Architecture,GBA)是3GPP提供的一种保证建立UE与网络业务节点安全连接的认证机制。图3是相关通信网络中通用引导架构GBA的架构示意图,如图3所示,自举服务功能BSF(Bootstrappingserver function)处于用户的归属网络中。BSF可以从HSS(Home Subscriber Server,归属签约用户服务器)获得GBA的用户安全向量;和UE利用认证和密钥协商(Authentication and Key Agreement,简称为AKA)协议进行相互认证,并且建立会话密钥,这个密钥将应用在UE和网络应用功能(Networkapplication function,NAF)之间;BSF可以将该密钥和用户安全设置传递给NAF。NAF在自举结束以后,UE和NAF可以运行一些应用相关协议,在这些协议里面,消息的认证都是基于在UE和BSF相互认证过程中所产生的会话密钥。在自举过程前,UE和NAF之间以前没有安全关联。NAF从BSF获取UE和BSF达成的共享密钥,NAF应该能够定位并且能够与用户归属网络的BSF进行安全的通信。并且,NAF能够根据本地策略设置共享密钥的本地有效情况、检测共享密钥的生存期、以及与UE采取措施来保证GBA中密钥的刷新。HSS保存用户的安全变量。用户位置功能(Subscriber Locator Function,简称SLF)用于查询用户的HSS,不是必须功能单元。UE必须支持GBA的认证功能。图4为相关技术中GBA认证过程的流程示意图,如图4所示,该认证过程包括:
其中,步骤401-406为自举AKA认证过程,步骤407-410为业务认证过程:
步骤401,UE发送初始化请求消息给BSF;
其中,所述初始化请求消息可以携带所述UE的用户标识IMSI,或由IMSI转化的IMPI,或临时标识TMPI;
例如当IMSI为234150999999999,即MCC=234,MNC=15和MSISN=0999999999时,IMPI可以表示为234150999999999@ims.mnc015.mcc234.3gppnetwork.org。所述初始化请求消息中也可以携带用户标识关联的临时标识TMPI(Temporary IP Multimedia PrivateIdentity)(优先使用);其中,第三代合作伙伴计划(3GPP)标准规定,IP多媒体私有标识IMPI(IP Multimedia Private Identity)可以从用户终端的国际移动用户标识(IMSI,International Mobile Subscriber Identification Number)导出。
步骤402-403,BSF向HSS发送获取鉴权向量和用户信息请求消息,HSS向BSF发送获取鉴权向量和用户信息请求响应消息;
其中,当所述初始化请求消息携带TMPI时,BSF如果通过TMPI找到所述UE的用户安全上下文,则BSF从所述安全上下文中获取用户的安全配置信息和一个认证向量AV;如果没有找到用户安全上下文,BSF将从UE中获取用户标识,所述用户标识为步骤101中的所述IMSI或者IMPI,然后从HSS取回用户的安全配置信息和一个认证向量AV;当所述初始化请求消息携带所述IMSI或者IMPI时,BSF直接从HSS取回用户的安全配置信息和一个认证向量AV
其中,AV=RAND||AUTN||XRES||CK||IK,RAND为随机数,AUTN为认证令牌(Authentication Token,简称AUTN),XRES表示用户域的应答信息和服务网的应答信息,加密密钥CK,完整性保护密钥IK。
其中,在多HSS环境下,BSF通过询问SLF来得到存储用户信息的HSS地址。
步骤404,BSF通过401消息发送RAND和AUTN给UE,保存(CK、IK、XRES),要求UE对BSF进行认证;
步骤405,UE向BSF发送授权请求消息,所述消息携带授权结果参数RES;
其中,UE通过鉴权算法验证AUTN,确认此消息来自授权的网络,同时UE计算CK,IK,RES(授权结果参数),然后向BSF发送授权请求消息;这使得在BSF和UE中都有会话密钥IK和CK。
步骤406,BSF发送包含B-TID的200OK(成功消息)消息给UE表示认证成功,同时在200OK消息中,BSF提供了Ks的生命期,同时消息中还携带为UE重新分配的TMPI;
其中,BSF通过保存的(CK、IK、XRES)验证授权结果参数RES的正确性;若正确则计算根密钥Ks=CK||IK,同时产生B-TID的值,然后向UE发送包含B-TID的200OK(成功消息)。
UE接收到200OK消息后,同样也计算得到Ks=CK||IK,Ks即GBA根密钥,用于推导于应用平台NAF的业务密钥。
自此UE的自举过程完成。
步骤407,UE向NAF发送认证请求,该认证请求中携带B-TID、NAF_ID;
其中,UE使用Ks来推导业务密钥Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID);
其中,KDF是密钥产生算法,NAF_ID是业务平台NAF的ID,UE发送B-TID给NAF,要求与NAF协商密钥;所述消息还包含业务消息内容,所述消息使用业务密钥使用加密算法进行加密。
步骤408,NAF发送B-TID、NAF_ID给BSF请求获得用户的业务密钥;
步骤409,BSF使用与UE相同的方法从Ks推导得到Ks_NAF,通过安全通道将Ks_NAF发送给NAF,同时包括它的Ks_NAF的密钥生命期等信息;
其中,NAF可以通过得到的Ks_NAF使用与UE相同的算法解密业务消息中的内容。
步骤410,NAF保存Ks_NAF和有效期信息后,返回200OK应答给UE。
这样UE和NAF之间共享了密钥Ks_NAF,可以用于认证、消息加密等操作。
与此前的2G、3G、4G以及LTE(Long Term Evolution,长期演进)等一样,安全性对于5G通信网络和服务至关重要。因此,5G协议引入了用户永久标识符(SubscriberPermanent Identifier,SUPI)和用户隐藏标识符(Subscriber Concealed Identifier,SUCI)的概念。其中,SUPI可以是由国际移动用户识别码(International MobileSubscriber Identification Number,IMSI),或者是网络接入标识(Network AccessIdentifier,NAI)转化生成的,而SUCI是5G永久用户标识SUPI的隐藏版本,从而防止暴露SUPI。根据3GPP标准的规定,SUCI由SUPI转化生成。如图2所示,SUCI由六部分组成:
1)、SUPI类型(SUPI Type),取值0-7,其中0为国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI),1为网络接入标识(Network Access Identifier,NAI),其他待用。
2)、归属网络标识(Home Network Identifier),标识归属网络用户,当SUPI为IMSI时,有移动国家码(Mobile Country Code,MCC)和移动网络码(Mobile Network Code,MNC)组成,当SUPI为NAI时,NAI有标准IETF RFC 7542中的2.2章节定义。
3)、路由指示(Routing Indicator,RID),由归属网络运营商分配,配置在手机卡(USIM)中,和归属网络标识共同指示网络信令到服务用户的AUSF和UDM。
4)、保护体系标识(Protection Scheme Identifier),表示无保护(null-scheme)或者有保护(non-null-scheme)两种之一,
5)、归属网络密钥标识(Home Network Public Key Identifier),表示一个归属网络提供的为保护SUPI的公钥的标识,当无保护情况下,值为0。
6)、保护体系输出(Scheme Output),当无保护时为IMSI的移动用户识别号码(Mobile Subscriber Identification Number,MSIN)部分或者NAI,当保护时即为使用椭圆曲线加密MSIN和NAI的值。
例如:当IMSI为234150999999999,即MCC=234,MNC=15和MSISDN=0999999999,路由指示为678,归属网络密钥标识为27时,无保护的SUCI为0,234,15,678,0,0和0999999999,有保护的SUCI为0,234,15,678,1,27,<椭圆曲线公钥值(EEC ephemeralpublic key value)>,<加密0999999999>和<MAC值(MAC tag value)>。
由上述GBA认证过程可知,UE发送给的初始化认证消息中如果直接携带UE的用户标识IMSI,或由IMSI转化的IMPI,很容易被国际移动用户标识符(IMSI)捕获器Stingrays等工具捕获,从而导致用户标识泄露,无法保证通信安全。
为此,本发明实施例提供了一种新的基于通用引导架构GBA的认证方法,为UE保护IMSI、IMPI、SUPI的隐私,使用SUCI或由SUCI转化的标识来进行GBA的自举过程,避免了用户标识的泄露,保证了通信安全。
下面通过几个实施例相信阐述本发明实施例提供的基于通用引导架构GBA的认证方案。
实施例一
图5为本发明实施例一提供的基于通用引导架构GBA的认证方法的流程示意图,如图5所示,该方法包括:
步骤501,自举服务功能BSF接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;
步骤502,所述BSF根据所述第一标识获取所述UE的认证向量AV;
步骤503,所述BSF根据获取的所述认证向量AV完成与所述UE的GBA认证。
其中,所述SUCI转化的标识的组成包括:所述SUCI和路由信息,所述路由信息包括:所述UE的移动网络码MNC和移动国家码MCC、所述SUCI中的路由指示RID。
其中,所述SUCI转化的标识为:SUCI@ims.移动网络码.移动国家码.路由指示.3gppnetwork.org。
其中,所述BSF根据所述第一标识获取所述UE的认证向量AV,包括:
所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV;
或者,通过认证服务功能AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,通过AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
所述AUSF根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
所述AUSF向所述对应的UDM/ARPF转发所述认证向量AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述AUSF向所述BSF转发所述AV请求响应消息。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF根据所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF;
所述BSF向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;
所述BSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,通过AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识;
所述AUSF根据所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
所述AUSF向所述BSF转发所述AV请求响应消息。
其中,所述BSF根据所述第一标识获取所述UE的认证向量AV,包括
当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文且所述UE的安全上下文的时间周期有效时,所述BSF直接根据所述安全上下文获取所述UE的认证向量AV。
其中,当所述第一标识包括SUCI或由SUCI转化的标识时,所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
所述BSF向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
所述BSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括SUCI或由SUCI转化的标识时,通过AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
所述AUSF根据所述UE的SUCI或由SUCI转化的标识路由信息确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述AUSF向所述BSF转发所述AV请求响应消息。
其中,所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,包括:
所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识获取所述UE的用户永久标识SUPI以及所述UE的SUPI对应的用户签约信息;
根据所述签约信息得到所述UE的认证向量AV。
其中,所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到所述UE的认证向量AV,包括:
所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识直接获取所述UE的签约信息;
根据所述签约信息得到所述UE的认证向量AV。
实施例二
图6为本发明实施例二提供的基于通用引导架构GBA的认证系统的结构示意图,如图6所示,该系统包括:
自举服务功能BSF,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;根据所述第一标识获取所述UE的认证向量AV;根据获取的所述认证向量AV完成与所述UE的GBA认证。
其中,所述系统还包括:UDM/ARPF,所述BSF与所述UDM/ARPF通过G5接口连接;
所述BSF,具体用于根据所述第一标识确定对应的UDM/ARPF,直接向所述对应的UDM/ARPF获取所述UE的认证向量AV;
或者,所述系统还包括:AUSF和UDM/ARPF;所述BSF与所述AUSF和UDM/ARPF分别通过G5接口连接;
所述BSF具体用于通过AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,
所述BSF,具体用于获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述BSF发送AV请求响应消息。
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,
所述BSF,具体用于获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;接收所述AUSF转发的所述AV请求响应消息;
所述AUSF,具体用于根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;向所述对应的UDM/ARPF转发所述认证向量AV请求消息;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;向所述BSF转发所述AV请求响应消息;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述AUSF发送AV请求响应消息。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,
所述BSF,具体用于根据所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF;向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述BSF发送AV请求响应消息。
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,
所述BSF,具体用于向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识;接收所述AUSF转发的所述AV请求响应消息;
所述AUSF,具体用于根据所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;向所述BSF转发所述AV请求响应消息;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述AUSF发送AV请求响应消息。
其中,所述BSF根据所述第一标识获取所述UE的认证向量AV,包括
当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文且所述UE的安全上下文的时间周期有效时,
所述BSF,具体用于直接根据所述安全上下文获取所述UE的认证向量AV。
其中,当所述第一标识包括SUCI或由SUCI转化的标识时,
所述BSF,具体用于根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述BSF发送AV请求响应消息。
或者,当所述第一标识包括SUCI或由SUCI转化的标识时,
所述BSF,具体用于向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;接收所述AUSF转发的AV请求响应消息;
所述AUSF,具体用于根据所述UE的SUCI或由SUCI转化的标识路由信息确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;向所述BSF转发所述AV请求响应消息;
所述UDM/ARPF,具体用于根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,并向所述AUSF发送AV请求响应消息。
其中,所述UDM/ARPF,具体用于所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识获取所述UE的用户永久标识SUPI以及所述UE的SUPI对应的用户签约信息;根据所述签约信息得到所述UE的认证向量AV。
其中,所述UDM/ARPF,具体用于根据所述UE的SUPI或MSISDN或业务标识直接获取所述UE的签约信息;根据所述签约信息得到所述UE的认证向量AV。
下面通过具体的实施例详细阐述上述实施例一、二提供的技术方案。
实施例三
图7是本发明实施例三提供的基于通用引导架构GBA的认证系统的架构示意图。如图7所示,该系统在图1基础上增加了BSF、NAF,下面结合GBA认证,分别描述BSF,AUSF和UDM/ARPF的功能,其他功能请参见上面对图1的描述。
如7所示,该系统中,BSF可以独立设置,也可以与AUSF合设。
当BSF和AUSF分设时,即BSF作为独立网元和AUSF存在G5接口,AUSF起着路由代理作用,BSF通过AUSF寻找准确的UDM/ARPF和向BSF传递用户的安全上下文和用户标识或者业务标识。
当BSF与AUSF合设时,BSF直接与UDM/ARPF通过G5接口连接;用于路由准确的UDM/ARPF和传递安全上下文和用户标识或者业务标识。
本发明实施例提出一种新的标识,该新的标识由SUCI转化而来。
本发明实施例中可以将该新的标识称之为由SUCI转化的标识。该由SUCI转化的标识的组成包括:所述SUCI和路由信息,所述路由信息包括:所述UE的移动网络码MNC和移动国家码MCC、所述SUCI中的路由指示RID。
其中,BSF或者AUSF能够根据SUCI或者由SUCI转化的标识中的MCC、MNC以及RID路由到对应的UDM/ARPF,对应的UDM/ARPF能够根据公钥解密出用户永久标识SUPI,获得用户的安全上下文,以及用户标识(可以是SUPI,或者MSISDN)或者对应的业务标识,UDM/ARPF将安全上下文和用户标识或者业务标识发送给BSF。
具体而言,本发明实施例可以借鉴3GPP中规定的由IMSI转化为IMPI的转化技术,在SUCI的基础上转化得到由SUCI转化的标识,由SUCI转化的标识的组成为SUCI@ims.移动网络码.移动国家码.路由指示.3gppnetwork.org。
例如,UE具有使用椭圆曲线加密技术获得SUCI,例如:当IMSI为234150999999999,即MCC=234,MNC=15和MSISN=0999999999,路由指示为678,归属网络密钥标识为27时,无保护的SUCI为0,234,15,678,0,0和0999999999,有保护的SUCI为0,234,15,678,1,27,<椭圆曲线公钥值(EEC ephemeral public key value)>,<加密0999999999>和<MAC值(MACtag value)>。由SUCI转化的标识可以表示为SUCI@ims.mnc015.mcc234.RID678.3gppnetwork.org。
其中,由SUCI转化的标识也可以采取其他组成形式,只要包含了SUCI和路由信息即可。
实施例四
基于实施例三提供的系统架构,本发明实施例四提供了一种基于通用引导架构GBA的认证方法。本实施例四中,BSF和AUSF分设,BSF和AUSF存在G5接口,AUSF起着路由代理作用,BSF通过AUSF与UDM/ARPF通信。
图8为本发明实施例四提供的基于通用引导架构GBA的认证方法的流程示意图。如图8所述,该方法包括:
步骤801,UE发送初始化请求消息给BSF;
其中,所述初始化请求消息携带所述UE的用户隐藏标识SUCI,或者由SUCI转化的标识。或者用户标识关联的临时标识TMPI。
例如,当IMSI为234150999999999,即MCC=234,MNC=15和MSISN=0999999999,路由指示为678,归属网络密钥标识为27时,无保护的SUCI为0,234,15,678,0,0和0999999999,有保护的SUCI为0,234,15,678,1,27,<椭圆曲线公钥值(EEC ephemeralpublic key value)>,<加密0999999999>和<MAC值(MAC tag value)>,由SUCI转化的标识为SUCI@ims.mnc015.mcc234.RID678.3gppnetwork.org。
其中,可以优先使用TMPI,在没有TMPI时使用SUCI或由SUCI转化的标识。当所述初始化请求消息携带TMPI时,如果通过TMPI找到所述UE的用户安全上下文且安全上下文的时间周期有效,BSF可以从所述安全上下文中获取所述UE的认证向量,再直接跳到步骤806;如果通过TMPI找到用户安全上下文但是安全上下文的时间周期无效,则执行步骤802-a;如果通过TMPI没有找到用户安全上下文,则BSF将从UE中重新获取用户标识,该用户标识为步骤801中的所述SUCI或者由SUCI转化的标识,然后则执行步骤802-b;当所述初始化请求消息携带所述SUCI或者由SUCI转化的标识时,直接直接802-b;
步骤802-a,BSF向AUSF发送认证向量AV请求消息;
其中,所述AV请求消息携带所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识。
其中,所述业务标识为UDM/ARPF为用户配置的业务标识,包含在用户签约数据中。
其中,所述AV请求消息也可以承载于BSF向AUSF发送的鉴权向量和用户消息请求消息中。
步骤802-b,BSF向AUSF发送认证向量AV请求消息;
其中,所述AV请求消息携带所述UE的用户隐藏标识SUCI或者由SUCI转化的标识。
其中,所述AV请求消息也可以承载于BSF向AUSF发送的鉴权向量和用户消息请求消息中。
步骤803,AUSF根据收到的AV请求消息确定对应的UDM/ARPF,并将所述AV请求消息转发给所述对应的UDM/ARPF;
其中,当收到的AV请求消息中携带所述UE的用户永久标识SUPI或MSISDN或业务标识时,则AUSF根据所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF;当收到的AV请求消息中携带所述UE的SUCI或者由SUCI转化的标识时,则AUSF根据所述UE的SUCI或者由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
步骤804,所述对应的UDM/ARPF根据收到的所述AV请求消息获取所述UE的用户签约信息,得到所述UE的认证向量AV,并向AUSF发送AV请求响应消息;
其中,所述AV请求响应消息中携带所述UE的认证向量AV。
其中,当收到的AV请求消息中携带所述UE的用户永久标识SUPI或MSISDN或业务标识时,所述对应的UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识直接获取用户签约信息;当收到的AV请求消息中携带所述UE的SUCI或者由SUCI转化的标识时,根据所述SUCI或者由SUCI转化的标识获取对应SUPI,再根据SUPI获取对应的用户签约信息。
其中,所述AV请求响应消息也可以承载于UDM/ARPF向AUSF发送的鉴权向量和用户消息请求响应消息中。该鉴权向量和用户消息请求响应消息还可以携带用户其他的安全配置信息、用户标识(SUPI,或者MSISDN),或者业务标识等。
步骤805,AUSF向BSF转发所述AV请求响应消息;
其中,所述AV请求响应消息也可以承载于AUSF向BSF转发的鉴权向量和用户消息请求响应消息中。
后续,BSF根据获取的所述认证向量AV完成与所述UE的GBA认证,具体说明如下:
步骤806,BSF通过401消息发送RAND和AUTN给UE,保存(CK、IK、XRES),并且保存用户标识或者业务标识,要求UE对BSF进行认证;
其中,UE通过鉴权算法验证AUTN,确认此消息来自授权的网络,同时UE计算加密密钥CK(Cipher Key),完整性密钥IK(Integrity Key),RES(授权结果参数),这使得在BSF和UE中都有会话密钥IK和CK;
步骤807,UE向BSF发送授权请求消息,所述消息携带授权结果参数RES;
其中,BSF通过保存的(CK、IK、XRES)验证授权结果参数RES的正确性;若正确则计算根密钥Ks=CK||IK,同时产生B-TID(Bootstrapping Transaction Identifier引导事务标识)的值;
步骤808,BSF发送包含B-TID的200OK(授权成功消息)消息给UE表示认证成功;
其中,同时在200OK消息中,BSF提供了Ks的生命期,同时消息中还携带为UE重新分配的TMPI;
其中,UE接收到200OK消息后,同样也计算得到Ks=CK||IK,Ks即GBA根密钥,用于推导于应用平台NAF的业务密钥。
自此UE的自举过程完成。
步骤809,UE发送携带了B-TID的业务请求给NAF,要求与NAF协商密钥;
其中,UE使用Ks来推导业务密钥Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID);KDF是密钥产生算法,NAF_ID是业务平台NAF的ID;
其中,发送B-TID的消息还可以包含业务消息内容,所述消息使用业务密钥使用加密算法进行加密。
步骤810,NAF发送携带B-TID、NAF_ID的认证请求给BSF请求获得用户的业务密钥;
步骤811,BSF使用与UE相同的方法从Ks推导得到Ks_NAF,通过安全通道将携带了Ks_NAF的认证响应发送给NAF,同时包括它的Ks_NAF的密钥生命期等信息;
其中,NAF可以通过得到的Ks_NAF使用与UE相同的算法解密业务消息中的内容
步骤812,NAF保存Ks_NAF和有效期信息后,返回包含200OK应答的业务响应给UE,这样UE和NAF之间共享了密钥Ks_NAF,可以用于认证、消息加密等操作。
实施例五
基于实施例三提供的系统架构,本发明实施例五提供了一种基于通用引导架构GBA的认证方法。本实施例五中,BSF和AUSF合设,BSF直接和UDM/ARPF存在G5接口。
图9为本发明实施例五提供的基于通用引导架构GBA的认证方法的流程示意图。如图9所述,该方法包括:
步骤901,UE发送初始化请求消息给BSF;
其中,所述初始化请求消息携带所述UE的用户隐藏标识SUCI,或者由SUCI转化的标识。或者用户标识关联的临时标识TMPI。
例如,当IMSI为234150999999999,即MCC=234,MNC=15和MSISN=0999999999,路由指示为678,归属网络密钥标识为27时,无保护的SUCI为0,234,15,678,0,0和0999999999,有保护的SUCI为0,234,15,678,1,27,<椭圆曲线公钥值(EEC ephemeralpublic key value)>,<加密0999999999>和<MAC值(MAC tag value)>,由SUCI转化的标识为SUCI@ims.mnc015.mcc234.RID678.3gppnetwork.org。
其中,可以优先使用TMPI,在没有TMPI时使用SUCI或由SUCI转化的标识。当所述初始化请求消息携带TMPI时,如果通过TMPI找到所述UE的用户安全上下文且安全上下文的时间周期有效,BSF可以从所述安全上下文中获取所述UE的认证向量,再直接跳到步骤904;如果通过TMPI找到用户安全上下文但是安全上下文的时间周期无效,则执行步骤902-a;如果通过TMPI没有找到用户安全上下文,则BSF将从UE中重新获取用户标识,该用户标识为步骤901中的所述SUCI或者由SUCI转化的标识,然后则执行步骤902-b;当所述初始化请求消息携带所述SUCI或者由SUCI转化的标识时,直接直接902-b;
步骤902-a,BSF确定对应的UDM/ARPF,并向对应的UDM/ARPF发送认证向量AV请求消息;
其中,所述AV请求消息携带所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识。
其中,所述业务标识为UDM/ARPF为用户配置的业务标识,包含在用户签约数据中。
其中,所述AV请求消息也可以承载于BSF向AUSF发送的鉴权向量和用户消息请求消息中。
其中,BSF可以根据所述UE的安全上下文中的SUPI或MSISDN或业务标识确定对应的UDM/ARPF。
步骤902-b,BSF确定对应的UDM/ARPF,并向对应的UDM/ARPF发送认证向量AV请求消息;
其中,所述AV请求消息携带所述UE的用户隐藏标识SUCI或者由SUCI转化的标识。
其中,所述AV请求消息也可以承载于BSF向AUSF发送的鉴权向量和用户消息请求消息中。
其中,BSF可以根据所述UE的SUCI或者由SUCI转化的标识中的路由信息确定对应的UDM/ARPF。
步骤903,所述对应的UDM/ARPF根据收到的所述AV请求消息获取所述UE的用户签约信息,得到所述UE的认证向量AV,并向BSF发送AV请求响应消息;
其中,所述AV请求响应消息中携带所述UE的认证向量AV。
其中,当收到的AV请求消息中携带所述UE的用户永久标识SUPI或MSISDN或业务标识时,所述对应的UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识直接获取用户签约信息;当收到的AV请求消息中携带所述UE的SUCI或者由SUCI转化的标识时,根据所述SUCI或者由SUCI转化的标识获取对应SUPI,再根据SUPI获取对应的用户签约信息。
其中,所述AV请求响应消息也可以承载于UDM/ARPF向AUSF发送的鉴权向量和用户消息请求响应消息中。该鉴权向量和用户消息请求响应消息还可以携带用户其他的安全配置信息、用户标识(SUPI,或者MSISDN),或者业务标识等。
其中,所述AV请求响应消息也可以承载于AUSF向BSF转发的鉴权向量和用户消息请求响应消息中。
后续,BSF根据获取的所述认证向量AV完成与所述UE的GBA认证,具体说明如下:
步骤904,BSF通过401消息发送RAND和AUTN给UE,保存(CK、IK、XRES),并且保存用户标识或者业务标识,要求UE对BSF进行认证;
其中,UE通过鉴权算法验证AUTN,确认此消息来自授权的网络,同时UE计算加密密钥CK(Cipher Key),完整性密钥IK(Integrity Key),RES(授权结果参数),这使得在BSF和UE中都有会话密钥IK和CK;
步骤905,UE向BSF发送授权请求消息,所述消息携带授权结果参数RES;
其中,BSF通过保存的(CK、IK、XRES)验证授权结果参数RES的正确性;若正确则计算根密钥Ks=CK||IK,同时产生B-TID(Bootstrapping Transaction Identifier引导事务标识)的值;
步骤906,BSF发送包含B-TID的200OK(授权成功消息)消息给UE表示认证成功;
其中,同时在200OK消息中,BSF提供了Ks的生命期,同时消息中还携带为UE重新分配的TMPI;
其中,UE接收到200OK消息后,同样也计算得到Ks=CK||IK,Ks即GBA根密钥,用于推导于应用平台NAF的业务密钥。
自此UE的自举过程完成。
步骤907,UE发送携带了B-TID的业务请求给NAF,要求与NAF协商密钥;
其中,UE使用Ks来推导业务密钥Ks_NAF=KDF(Ks,”gba-me”,RAND,IMPI,NAF_ID);KDF是密钥产生算法,NAF_ID是业务平台NAF的ID;
其中,发送B-TID的消息还可以包含业务消息内容,所述消息使用业务密钥使用加密算法进行加密。
步骤908,NAF发送携带B-TID、NAF_ID的认证请求给BSF请求获得用户的业务密钥;
步骤909,BSF使用与UE相同的方法从Ks推导得到Ks_NAF,通过安全通道将携带了Ks_NAF的认证响应发送给NAF,同时包括它的Ks_NAF的密钥生命期等信息;
其中,NAF可以通过得到的Ks_NAF使用与UE相同的算法解密业务消息中的内容
步骤910,NAF保存Ks_NAF和有效期信息后,返回包含200OK应答的业务响应给UE,这样UE和NAF之间共享了密钥Ks_NAF,可以用于认证、消息加密等操作。
上述实施例三、四、五提供的技术方案,使用SUCI或由SUCI转化的标识进行GBA的自举过程,进一步地BSF通过SUCI或由SUCI转化的标识中的路由指示RID找到对应的UDM/ARPF,获取用户安全配置信息(例如AV等),为UE保护了SUPI的隐私,提高了GBA认证的安全性。
实施例六
图10为本发明实施例六提供的一种自举服务功能BSF的结构示意图,如图10所述,该BSF包括:
接收单元,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI;
获取单元,用于根据所述第一标识获取所述UE的认证向量AV;
认证单元,用于根据获取的所述认证向量AV完成与所述UE的GBA认证。
其中,还包括:
获取单元,还用于当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识。
其中,所述SUCI转化的标识的组成包括:所述SUCI和路由信息,所述路由信息包括:所述UE的移动网络码MNC和移动国家码MCC、所述SUCI中的路由指示RID。
其中,所述SUCI转化的标识为:SUCI@ims.移动网络码.移动国家码.路由指示.3gppnetwork.org。
其中,所述获取单元,具体用于根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV;
或者,通过认证服务功能AUSF根据所述第一标识确定对应的UDM/ARPF并向对应的UDM/ARPF获取所述UE的认证向量AV。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,所述获取单元,具体用于
获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,所述获取单元,具体用于
获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
所述AUSF根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
所述AUSF向所述对应的UDM/ARPF转发所述认证向量AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述AUSF向所述获取单元转发所述AV请求响应消息。
其中,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,所述获取单元,具体用于
根据所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF;
向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;
接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,所述获取单元,具体用于
向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识;
所述AUSF根据所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
所述AUSF向所述获取单元转发所述AV请求响应消息。
其中,所述获取单元,还用于当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文且所述UE的安全上下文的时间周期有效时,所述BSF直接根据所述安全上下文获取所述UE的认证向量AV。
其中,当所述第一标识包括SUCI或由SUCI转化的标识时,所述BSF根据所述第一标识确定对应的UDM/ARPF,所述获取单元,还用于
根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
或者,当所述第一标识包括SUCI或由SUCI转化的标识时,所述获取单元,还用于
向AUSF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
所述AUSF根据所述UE的SUCI或由SUCI转化的标识路由信息确定对应的UDM/ARPF,并向所述对应的UDM/ARPF转发所述AV请求消息;
所述AUSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
所述AUSF向所述获取单元转发所述AV请求响应消息。
实施例七
图11为本发明实施例七提供的一种认证服务功能AUSF的结构示意图,如图11所述,该AUSF包括:
第一接收单元,用于接收BSF发送的认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
确定单元,用于根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
第一发送单元,用于向所述对应的UDM/ARPF转发所述认证向量AV请求消息;
第二接收单元,接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV;
第二发送单元,向所述BSF转发所述AV请求响应消息。
图12为本发明实施例七提供的另一种认证服务功能AUSF的结构示意图,如图12所述,该AUSF包括:
第一接收单元,用于接收BSF发送的认证向量AV请求消息,所述AV请求消息携带所述UE的用户永久标识SUPI或MSISDN或业务标识;
确定单元,用于根据所述UE的SUPI或MSISDN或业务标识确定对应的UDM/ARPF;
第一发送单元,用于向所述对应的UDM/ARPF转发所述AV请求消息;
第二接收单元,用于接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV;
第二发送单元,用于向所述BSF转发所述AV请求响应消息。
实施例八
图13为本发明实施例八提供的一种统一数据管理功能UDM/认证凭证存储和处理功能ARPF的结构示意图,如图13所述,该UDM/ARPF包括:
接收单元,用于从BSF或AUSF接收认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
获取单元,用于根据所述UE的SUCI或由SUCI转化的标识获取所述UE的用户永久标识SUPI以及所述UE的SUPI对应的用户签约信息;
发送单元,用于根据所述签约信息得到所述UE的认证向量AV并向所述BSF或AUSF发送认证向量AV请求响应消息,所述AV请求响应消息携带所述UE的认证向量AV。
图14为本发明实施例八提供的另一种统一数据管理功能UDM/认证凭证存储和处理功能ARPF的结构示意图,如图14所述,该UDM/ARPF包括:
接收单元,用于从BSF或AUSF接收认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;
获取单元,用于根据所述UE的所述UE的SUPI或MSISDN或业务标识直接获取所述UE的用户签约信息;
发送单元,用于根据所述签约信息得到所述UE的认证向量AV并向所述BSF或AUSF发送认证向量AV请求响应消息,所述AV请求响应消息携带所述UE的认证向量AV。
实施例九
图15为本发明实施例九提供的一种用户设备UE的结构示意图,如图15所述,该UE包括:
发送单元,用于向自举服务功能BSF发送初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识、用户标识关联的临时标识TMPI。
其中,所述发送单元,还用于当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,向所述BSF发送所述UE的用户隐藏标识SUCI或由SUCI转化的标识。
本发明实施例还提供了一种自举服务功能BSF,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任一项所述的认证方法。
本发明实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现上述任一项所述的认证方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (14)
1.一种基于通用引导架构GBA的认证方法,包括:
自举服务功能BSF接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括用户标识关联的临时标识TMPI,还包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识;
所述BSF根据所述第一标识获取所述UE的认证向量AV;
所述BSF根据获取的所述认证向量AV完成与所述UE的GBA认证;
所述BSF根据所述第一标识获取所述UE的认证向量AV,包括:
当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,所述BSF根据所述第一标识确定对应的统一数据管理功能UDM/认证凭证存储和处理功能ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV;
其中,所述BSF根据所述第一标识确定对应的统一数据管理功能UDM/认证凭证存储和处理功能ARPF,包括:
所述BSF获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF。
2.根据权利要求1所述的认证方法,其特征在于,所述SUCI转化的标识的组成包括:所述SUCI和路由信息,所述路由信息包括:所述UE的移动网络码MNC和移动国家码MCC、所述SUCI中的路由指示RID。
3.根据权利要求1所述的认证方法,其特征在于,所述SUCI转化的标识为:SUCI@ims.移动网络码.移动国家码.路由指示.3gppnetwork.org。
4.根据权利要求1所述的认证方法,其特征在于,
所述BSF直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的用户隐藏标识SUCI或由SUCI转化的标识;
接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV。
5.根据权利要求1所述的认证方法,其特征在于,
当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文但是所述UE的安全上下文的时间周期无效时,所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF根据所述安全上下文中包含的所述UE的用户永久标识SUPI或MSISDN或业务标识确定对应的UDM/ARPF;
所述BSF向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUPI或MSISDN或业务标识;
所述BSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到的所述UE的认证向量AV。
6.根据权利要求1所述的认证方法,其特征在于,所述BSF根据所述第一标识获取所述UE的认证向量AV,包括
当所述第一标识包括TMPI且所述BSF根据所述TMPI找到所述UE的安全上下文且所述UE的安全上下文的时间周期有效时,所述BSF直接根据所述安全上下文获取所述UE的认证向量AV。
7.根据权利要求1所述的认证方法,其特征在于,
当所述第一标识包括SUCI或由SUCI转化的标识时,所述BSF根据所述第一标识确定对应的UDM/ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV,包括:
所述BSF根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF;
所述BSF向所述对应的UDM/ARPF发送认证向量AV请求消息,所述AV请求消息携带所述UE的SUCI或由SUCI转化的标识;
所述BSF接收所述UDM/ARPF发送的AV请求响应消息,所述AV请求响应消息携带所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到的所述UE的认证向量AV。
8.根据权利要求4或7所述的认证方法,其特征在于,所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识得到所述UE的认证向量AV,包括:
所述UDM/ARPF根据所述UE的SUCI或由SUCI转化的标识获取所述UE的用户永久标识SUPI以及所述UE的SUPI对应的用户签约信息;
根据所述签约信息得到所述UE的认证向量AV。
9.根据权利要求5所述的认证方法,其特征在于,所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识得到所述UE的认证向量AV,包括:
所述UDM/ARPF根据所述UE的SUPI或MSISDN或业务标识直接获取所述UE的签约信息;
根据所述签约信息得到所述UE的认证向量AV。
10.一种基于通用引导架构GBA的认证系统,其特征在于,包括:
自举服务功能BSF,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括用户标识关联的临时标识TMPI,还包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识;根据所述第一标识获取所述UE的认证向量AV;根据获取的所述认证向量AV完成与所述UE的GBA认证;
所述系统还包括:统一数据管理功能UDM/认证凭证存储和处理功能ARPF,所述BSF,具体用于当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,根据所述第一标识确定对应的UDM/ARPF,直接向所述对应的UDM/ARPF获取所述UE的认证向量AV;其中,所述BSF获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识,并根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF。
11.一种自举服务功能BSF,其特征在于,包括:
接收单元,用于接收UE发送的初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括用户标识关联的临时标识TMPI,还包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识;
获取单元,用于根据所述第一标识获取所述UE的认证向量AV;
认证单元,用于根据获取的所述认证向量AV完成与所述UE的GBA认证;
获取单元,还用于当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,根据所述第一标识确定对应的统一数据管理功能UDM/认证凭证存储和处理功能ARPF,直接向对应的UDM/ARPF获取所述UE的认证向量AV;其中,获取所述UE的用户隐藏标识SUCI或由SUCI转化的标识,并根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF。
12.一种用户设备UE,其特征在于,包括:
发送单元,用于向自举服务功能BSF发送初始化请求消息,所述初始化请求消息携带所述UE的第一标识,所述第一标识包括用户标识关联的临时标识TMPI,还包括以下至少之一:用户隐藏标识SUCI、由SUCI转化的标识;
所述发送单元,还用于当所述第一标识包括TMPI且所述BSF根据所述TMPI无法找到所述UE的安全上下文时,向所述BSF发送所述UE的用户隐藏标识SUCI或由SUCI转化的标识,以供所述BSF根据所述UE的SUCI或由SUCI转化的标识中的路由信息确定对应的UDM/ARPF,并直接向对应的UDM/ARPF获取所述UE的认证向量AV。
13.一种自举服务功能BSF,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至9中任一项所述的认证方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有信息处理程序,所述信息处理程序被处理器执行时实现如权利要求1至9中任一项所述的认证方法的步骤。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811302478.4A CN111147421B (zh) | 2018-11-02 | 2018-11-02 | 一种基于通用引导架构gba的认证方法及相关设备 |
EP19878688.1A EP3876493A4 (en) | 2018-11-02 | 2019-08-07 | AUTHENTICATION METHOD WITH GENERAL BOOTSTRAP ARCHITECTURE (GBA) AND RELATED DEVICE |
PCT/CN2019/099635 WO2020088026A1 (zh) | 2018-11-02 | 2019-08-07 | 一种基于通用引导架构gba的认证方法及相关设备 |
US17/289,968 US11751051B2 (en) | 2018-11-02 | 2019-08-07 | Authentication method based on GBA, and device thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811302478.4A CN111147421B (zh) | 2018-11-02 | 2018-11-02 | 一种基于通用引导架构gba的认证方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111147421A CN111147421A (zh) | 2020-05-12 |
CN111147421B true CN111147421B (zh) | 2023-06-16 |
Family
ID=70464565
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811302478.4A Active CN111147421B (zh) | 2018-11-02 | 2018-11-02 | 一种基于通用引导架构gba的认证方法及相关设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11751051B2 (zh) |
EP (1) | EP3876493A4 (zh) |
CN (1) | CN111147421B (zh) |
WO (1) | WO2020088026A1 (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020095617A1 (en) * | 2018-11-08 | 2020-05-14 | Nec Corporation | Procedure to update the parameters related to unified access control |
US20220240085A1 (en) * | 2019-04-26 | 2022-07-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for service discovery |
CN113873492B (zh) * | 2020-06-15 | 2022-12-30 | 华为技术有限公司 | 一种通信方法以及相关装置 |
CN113840283A (zh) * | 2020-06-23 | 2021-12-24 | 中兴通讯股份有限公司 | 引导认证方法、系统、电子设备和可读存储介质 |
WO2022027674A1 (zh) * | 2020-08-07 | 2022-02-10 | 华为技术有限公司 | 一种通用引导架构中的方法及相关装置 |
AU2021417277A1 (en) * | 2021-01-08 | 2023-07-27 | Huawei Technologies Co., Ltd. | Key identifier generation method, and related apparatus |
CN112969176A (zh) * | 2021-01-28 | 2021-06-15 | 中兴通讯股份有限公司 | 注册、认证、路由指示确定方法、装置、实体及终端 |
CN116419218A (zh) * | 2022-01-05 | 2023-07-11 | 大唐移动通信设备有限公司 | 认证与安全方法、装置及存储介质 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8661257B2 (en) | 2010-05-18 | 2014-02-25 | Nokia Corporation | Generic bootstrapping architecture usage with Web applications and Web pages |
US8627422B2 (en) * | 2010-11-06 | 2014-01-07 | Qualcomm Incorporated | Authentication in secure user plane location (SUPL) systems |
US8522334B2 (en) * | 2010-12-16 | 2013-08-27 | Verizon Patent And Licensing Inc. | Mobile middleware for generic bootstrapping architecture |
US8346287B2 (en) * | 2011-03-31 | 2013-01-01 | Verizon Patent And Licensing Inc. | Provisioning mobile terminals with a trusted key for generic bootstrap architecture |
US20120284785A1 (en) * | 2011-05-05 | 2012-11-08 | Motorola Mobility, Inc. | Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system |
TW201306610A (zh) * | 2011-06-28 | 2013-02-01 | Interdigital Patent Holdings | 驗證協定之自動協商及選擇 |
CN103067345A (zh) * | 2011-10-24 | 2013-04-24 | 中兴通讯股份有限公司 | 一种变异gba的引导方法及系统 |
GB2518254B (en) * | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
GB2540354A (en) * | 2015-07-13 | 2017-01-18 | Vodafone Ip Licensing Ltd | Generci bootstrapping architecture protocol |
US10397892B2 (en) * | 2017-02-06 | 2019-08-27 | Huawei Technologies Co., Ltd. | Network registration and network slice selection system and method |
CN108683510B (zh) * | 2018-05-18 | 2021-03-23 | 兴唐通信科技有限公司 | 一种加密传输的用户身份更新方法 |
WO2020007461A1 (en) * | 2018-07-04 | 2020-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication and key agreement between a network and a user equipment |
CN110831002B (zh) * | 2018-08-10 | 2021-12-03 | 华为技术有限公司 | 一种密钥推演的方法、装置及计算存储介质 |
-
2018
- 2018-11-02 CN CN201811302478.4A patent/CN111147421B/zh active Active
-
2019
- 2019-08-07 WO PCT/CN2019/099635 patent/WO2020088026A1/zh unknown
- 2019-08-07 EP EP19878688.1A patent/EP3876493A4/en active Pending
- 2019-08-07 US US17/289,968 patent/US11751051B2/en active Active
Non-Patent Citations (1)
Title |
---|
TS 33.501 V15.2.0 Security architecture and procedures for 5G system;SA WG3;《3GPP tsg_sa\TSG_SA》;20180930;第6节 * |
Also Published As
Publication number | Publication date |
---|---|
EP3876493A1 (en) | 2021-09-08 |
CN111147421A (zh) | 2020-05-12 |
WO2020088026A1 (zh) | 2020-05-07 |
US11751051B2 (en) | 2023-09-05 |
US20210306855A1 (en) | 2021-09-30 |
EP3876493A4 (en) | 2022-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111147421B (zh) | 一种基于通用引导架构gba的认证方法及相关设备 | |
RU2722508C1 (ru) | Скрытый идентификатор подписки абонента | |
CN111050314B (zh) | 客户端注册方法、装置及系统 | |
US9253178B2 (en) | Method and apparatus for authenticating a communication device | |
US7933591B2 (en) | Security in a mobile communications system | |
US8559633B2 (en) | Method and device for generating local interface key | |
US8261078B2 (en) | Access to services in a telecommunications network | |
US10880291B2 (en) | Mobile identity for single sign-on (SSO) in enterprise networks | |
US20120263298A1 (en) | Method and system for supporting security in a mobile communication system | |
US20080016230A1 (en) | User equipment credential system | |
KR102307106B1 (ko) | 통신 시스템의 통합 가입 식별자 관리 | |
AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
KR102456280B1 (ko) | 원격 통신 네트워크의 단말 내에서 모바일 장비와 협력하는 보안 엘리먼트를 인증하기 위한 방법 | |
CN101983517A (zh) | 演进分组系统的非3gpp接入的安全性 | |
CN112219415A (zh) | 在第一网络中使用用于第二旧网络的订户标识模块的用户认证 | |
US8782743B2 (en) | Methods and apparatus for use in a generic bootstrapping architecture | |
CN116546491A (zh) | 在通信网络中用于与服务应用的加密通信的锚密钥生成和管理的方法、设备和系统 | |
CN117041955A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
US11956627B2 (en) | Securing user equipment identifier for use external to communication network | |
JP2024517897A (ja) | Nswoサービスの認証のための方法、デバイス、および記憶媒体 | |
CN116546493A (zh) | 一种基于云辅助的车联网认证密钥协商方法 | |
CN117880806A (zh) | 证书分发方法、装置、设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |