CN111641949B - 一种认证结果更新的方法和通信装置 - Google Patents

一种认证结果更新的方法和通信装置 Download PDF

Info

Publication number
CN111641949B
CN111641949B CN201910354210.3A CN201910354210A CN111641949B CN 111641949 B CN111641949 B CN 111641949B CN 201910354210 A CN201910354210 A CN 201910354210A CN 111641949 B CN111641949 B CN 111641949B
Authority
CN
China
Prior art keywords
authentication result
service
authentication
identification information
amf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910354210.3A
Other languages
English (en)
Other versions
CN111641949A (zh
Inventor
赵绪文
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210592611.4A priority Critical patent/CN114928842A/zh
Priority to PCT/CN2020/074250 priority patent/WO2020177502A1/zh
Priority to EP20765946.7A priority patent/EP3934298B1/en
Priority to EP23166837.7A priority patent/EP4304229A3/en
Publication of CN111641949A publication Critical patent/CN111641949A/zh
Priority to US17/464,104 priority patent/US20210400482A1/en
Application granted granted Critical
Publication of CN111641949B publication Critical patent/CN111641949B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/141Denial of service attacks against endpoints in a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/125Protection against power exhaustion attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供了一种认证结果更新的方法和通信装置。该认证结果更新的方法包括:确定需要更新终端设备在第一服务网络的认证结果;向认证服务器发送第一服务调用请求,该第一服务调用请求用于请求更新统一数据管理设备中保存的认证结果。通过本申请实施例的认证结果更新的方法,可以在认证完成后,防止拜访网络欺诈,提高网络安全性。

Description

一种认证结果更新的方法和通信装置
技术领域
本申请涉及通信技术领域,并且更具体地,涉及一种认证结果更新的方法和通信装置。
背景技术
5G的认证流程中引入了较强的归属域控制特性,网络设备对终端设备的认证最终由归属网络鉴权服务器功能设备(authentication server function,AUSF)确定,AUSF在认证完成后将认证结果和服务网络名称(serving network name)发送至统一数据管理设备(unified data management,UDM),UDM保存服务网络名称和相应的认证结果。认证流程之后拜访网络向归属网络的UDM调用服务时,UDM可以根据保存的服务网络名称和相应的认证结果对拜访网络发起的服务调用进行授权,来防止拜访网络欺骗归属网络。
但目前AUSF仅在认证流程完成后向UDM通知认证结果,认证完成之后的一些流程中,例如,去注册流程、非接入层安全模式控制(non-access stratum security modecommand,NAS SMC)拒绝流程等,不再涉及与AUSF的交互,也不再更新UDM中保存的认证结果。
如果认证之后的异常情况下没有及时清除UDM上保存的认证结果,拜访网络可以在终端设备已经去注册之后随时向归属网络调用服务,而归属网络按照之前的认证结果正常处理,可能会造成拜访网络对用户的恶意计费。
因此,如何在认证完成后,防止拜访网络欺诈,提高网络安全性成为亟待解决的问题。
发明内容
有鉴于此,本申请提供了一种认证结果更新的方法和通信装置,能够防止拜访网络欺诈,提高网络安全性。
第一方面,提供了一种认证结果更新的方法,第一方面提供的方法可以由核心接入与移动管理功能设备执行,也可以由配置于核心接入与移动管理功能设备中的芯片执行,本申请对此不做限定。
具体地,该方法包括:核心接入与移动管理功能设备确定需要更新终端设备在第一服务网络的认证结果;核心接入与移动管理功能设备向认证服务器发送第一服务调用请求,该第一服务调用请求用于请求更新统一数据管理设备中保存的认证结果。
上述技术方案中,在核心接入与移动管理功能设备确定需要更新终端设备在第一服务网络的认证结果后,核心接入与移动管理功能设备向认证服务器发送第一服务调用请求,该第一服务调用请求用于请求更新统一数据管理设备中保存的认证结果。从而实现在终端设备认证流程结束后,对服务网络认证结果的及时清除或更新,防止拜访网络欺诈,提高网络安全。
可选的,所述确定需要更新终端设备在第一服务网络的认证结果,包括:
当接收到来自所述终端设备的去注册请求消息时,判断所述终端设备在所述第一服务网络是否只有一个激活的非接入层NAS连接;
若所述终端设备在所述第一服务网络只有一个激活的NAS连接,则确定需要更新所述终端设备在所述第一服务网络的认证结果。
可选地,该第一服务网络可以为某一个公共陆地移动网络,本申请实施例对此不作限定。
结合第一方面,在第一方面的某些可能的实现方式中,该确定需要更新终端设备在第一服务网络的认证结果,包括:当接收到来自该终端设备的安全模式拒绝消息时,确定需要更新终端设备在第一服务网络的认证结果。
终端设备在验证NAS SMC消息失败后,向核心接入与移动管理功能设备发送第一消息,其中,第一消息为NAS安全模式拒绝消息,确定需要更新终端设备在第一服务网络的认证结果。
结合第一方面,在第一方面的某些可能的实现方式中,该安全模式拒绝消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新终端设备在第一服务网络的认证结果。
可选地,终端设备在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则终端设备在该NAS安全模式拒绝消息中携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前终端设备与网络没有信令交互和业务数据传输,因此,终端设备可以在发送给核心接入与移动管理功能设备的第一消息中直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,核心接入与移动管理功能设备根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
结合第一方面,在第一方面的某些可能的实现方式中,该确定需要更新终端设备在第一服务网络的认证结果,包括:当接收到来自该终端设备的去注册请求消息时,确定需要更新终端设备在第一服务网络的认证结果。
在终端设备发起去注册流程后,终端设备向核心接入与移动管理功能设备发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
结合第一方面,在第一方面的某些可能的实现方式中,该确定需要更新终端设备在第一服务网络的认证结果之前,该方法还包括:向该终端设备发送去注册请求消息;该去注册请求消息中包括认证结果更新指示信息;该确定需要更新终端设备在第一服务网络的认证结果包括:根据该认证结果更新指示信息确定需要更新终端设备在第一服务网络的认证结果。
当核心接入与移动管理功能设备发起显示去注册时,向终端设备发送去注册请求消息,例如,De-registration Request。
结合第一方面,在第一方面的某些可能的实现方式中,该第一服务调用请求包括服务网络的标识信息和用户的标识信息。
该第一服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,统一数据管理设备中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,核心接入与移动管理功能设备需要将相应服务网络的标识信息以及用户标识信息发送至鉴权服务器功能设备,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务调用请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,统一数据管理设备中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,核心接入与移动管理功能设备需要将相应服务网络的Serving PLMNID、SUPI发送至鉴权服务器功能设备,可以根据Serving PLMN ID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
可选地,该第一服务调用请求中还可以包括认证结果更新标识信息,例如False或者其它标识信息。
上述技术方案中,在NAS SMC拒绝场景或去注册场景下,通过核心接入与移动管理功能设备调用鉴权服务器功能设备的服务,以及鉴权服务器功能设备调用统一数据管理设备的服务的方式,通知统一数据管理设备清除或者更新某一服务网络对应的认证结果。实现了对服务网络认证结果的及时清除或更新,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
第二方面,提供了一种认证结果更新的方法,第二方面提供的方法可以由统一数据管理设备执行,也可以由配置于统一数据管理设备中的芯片执行,本申请对此不做限定。
该方法包括:接收第二服务调用请求,该第二服务调用请求用于请求更新统一数据管理设备中保存的认证结果;根据该第二服务调用请求更新该统一数据管理设备中保存的认证结果。
上述技术方案在认证完成后的流程中,通过调用统一数据管理设备服务,通知统一数据管理设备清除或者更新认证结果,从而实现了对服务网络认证结果的及时清除或更新,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
结合第二方面,在第二方面的某些可能的实现方式中,该第二服务调用请求包括服务网络的标识信息、用户的标识信息和认证失败标识信息。
可选的,该第二服务调用请求包括服务网络的标识信息和用户的标识信息。
结合第二方面,在第二方面的某些可能的实现方式中,该根据该第二服务调用请求更新该统一数据管理设备中保存的认证结果,包括:根据服务网络的标识信息和用户的标识信息清除相应的认证结果;或根据认证失败标识信息将统一数据管理设备中保存的认证结果更新为认证失败。
可选的,所述根据所述第二服务调用请求更新所述统一数据管理设备中保存的认证结果,包括:
清除与所述服务网络的标识信息和用户的标识信息对应的认证结果;或者
将与所述服务网络的标识信息和用户的标识信息对应的认证结果标记为失败;或者
将与所述服务网络的标识信息和用户的标识信息对应的认证结果标记为无效。
可选的,所述第二服务调用请求包括接入类型;
所述根据所述第二服务调用请求更新所述统一数据管理设备中保存的认证结果之前,所述方法还包括:
判断所述接入类型对应的用户上下文是否为目标安全上下文,其中,所述目标安全上下文是与所述服务网络的标识信息和用户的标识信息对应的最后一个用户上下文;
所述根据所述第二服务调用请求更新所述统一数据管理设备中保存的认证结果,包括:
若所述接入类型对应的用户上下文是所述目标安全上下文,则所述根据所述第二服务调用请求更新所述统一数据管理设备中保存的认证结果。
第三方面,提供了一种认证结果更新的方法,第三方面提供的方法可以由鉴权服务器功能设备执行,也可以由配置于鉴权服务器功能设备中的芯片执行,本申请对此不做限定。
该方法包括:接收核心接入与移动管理功能设备发送的第一服务调用请求,该第一服务调用请求用于请求鉴权服务器功能设备发起认证结果更新;向统一数据管理设备发送第二服务调用请求,该第二服务调用消息用于请求更新统一数据管理设备中保存的认证结果。
上述技术方案在认证完成后的流程中,核心接入与移动管理功能设备向鉴权服务器功能设备发送第一服务服务,鉴权服务器功能设备向统一数据管理设备发送第二服务调用请求,通知统一数据管理设备清除或者更新认证结果,从而实现了对服务网络认证结果的及时清除或更新,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
结合第三方面,在第三方面的某些可能的实现方式中,该第一服务调用请求包括服务网络的标识信息和用户的标识信息。
结合第三方面,在第三方面的某些可能的实现方式中,该第二服务调用请求包括服务网络的标识信息、用户的标识信息和认证失败标识信息。
第四方面,提供了一种认证结果更新的方法,第四方面提供的方法可以由终端设备执行,也可以由配置于终端设备中的芯片执行,本申请对此不做限定。
该方法包括:确定需要更新终端设备在第一服务网络的认证结果;向该第一服务网络中的核心接入与移动管理功能设备发送第一消息,该第一消息用于指示更新统一数据管理设备中保存的认证结果。
可选地,该第一服务网络可以为某一个公共陆地移动网络,本申请实施例对此不作限定。
上述技术方案中,在认证流程完成后的某些场景中(例如,去注册场景或者NASSMC拒绝场景),终端设备在确定需要更新终端设备在某一公共陆地移动网络PLMN的认证结果后,向核心接入与移动管理功能设备发送第一消息,该第一消息用于指示指示更新UDM中保存的认证结果,从而实现有效防止拜访网络欺诈和拒绝服务(denial of service,DoS)攻击,提高网络安全性。
结合第四方面,在第四方面的某些可能的实现方式中,该向核心接入与移动管理功能设备发送第一消息,包括:向该核心接入与移动管理功能设备发送安全模式拒绝消息。
结合第四方面,在第四方面的某些可能的实现方式中,该安全模式拒绝消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
终端设备在验证NAS SMC消息失败后,向核心接入与移动管理功能设备发送第一消息,其中,第一消息为NAS安全模式拒绝消息。
可选地,安全模式拒绝消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
可选地,终端设备在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则终端设备在该NAS安全模式拒绝消息中携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在当前第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前终端设备与网络没有信令交互和业务数据传输,因此,终端设备可以在发送给核心接入与移动管理功能设备的第一消息中直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,核心接入与移动管理功能设备根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
结合第四方面,在第四方面的某些可能的实现方式中,该向核心接入与移动管理功能设备发送第一消息,包括:向该核心接入与移动管理功能设备发送去注册请求消息。
在终端设备发起去注册流程后,终端设备向核心接入与移动管理功能设备发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
结合第四方面,在第四方面的某些可能的实现方式中,该方法还包括:接收该核心接入与移动管理功能设备发送的去注册请求消息。
当核心接入与移动管理功能设备发起显示去注册时,该收发单元1910还用于接收核心接入与移动管理功能设备发送的去注册请求消息。
结合第四方面,在第四方面的某些可能的实现方式中,该方法还包括:向该核心接入与移动管理功能设备发送去注册请求消息,该去注册请求消息中包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
可选地,终端设备在发起去注册流程时,还可以判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。若当前请求去注册的NAS连接为最后一个激活的NAS连接,则在S505中,终端设备发送给核心接入与移动管理功能设备的去注册请求消息中携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前终端设备与网络没有信令交互和业务数据传输,因此,终端设备可以在发送给核心接入与移动管理功能设备的第一消息中直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,核心接入与移动管理功能设备根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
第五方面,提供了一种通信装置。该通信装置可以用来执行第一方面及第一方面的任意可能的实现方式中的核心接入与移动管理功能设备的操作。具体地,通信装置包括用于执行上述第一方面所描述的步骤或功能相对应的部件(means)。该步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第六方面,提供了一种通信装置。该通信装置可以用来执行第二方面及第二方面的任意可能的实现方式中的统一数据管理设备的操作。具体地,通信装置包括用于执行上述第二方面所描述的步骤或功能相对应的部件(means)。该步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第七方面,提供了一种通信装置。该通信装置可以用来执行第三方面及第三方面的任意可能的实现方式中的鉴权服务器功能设备的操作。具体地,通信装置包括用于执行上述第三方面所描述的步骤或功能相对应的部件(means)。该步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第八方面,提供了一种通信装置。该通信装置可以用来执行第四方面及第四方面的任意可能的实现方式中的终端设备的操作。具体地,通信装置包括用于执行上述第四方面所描述的步骤或功能相对应的部件(means)。该步骤或功能可以通过软件实现,或硬件实现,或者通过硬件和软件结合来实现。
第九方面,提供了一种计算机程序产品,该计算机程序产品包括:计算机程序(也可以称为代码,或指令),当该计算机程序被运行时,使得计算机执行上述第一方面至第四方面中任一种可能实现方式中的认证结果更新的方法。
第十方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有程序,该程序使得计算机中的服务器执行上述第一方面至第四方面及其各种实现方式中的任一种认证结果更新的方法。
或者说,该计算机可读存储介质用于储存为上述服务器所用的计算机软件指令,其包含用于执行上述第一方面至第四方面中任一种可能实现方式中任一种认证结果更新的方法所设计的程序。
第十一方面,提供了一种芯片系统,该芯片系统包括处理器,用于支持计算机中的服务器实现上述第一方面至第四方面及其各种实现方式中所涉及的功能。
附图说明
图1示出了使用本申请的一种认证结果更新的方法的通信系统的示意图;
图2是本申请一个实施例提供的认证结果更新的方法的示意性流程图;
图3是本申请一个实施例提供的认证结果更新的方法的示意性流程图;
图4是本申请一个实施例提供的认证结果更新的方法的示意性流程图;
图5是本申请另一个实施例提供的认证结果更新的方法的示意性流程图;
图6是本申请另一个实施例提供的认证结果更新的方法的示意性流程图;
图7是本申请又一个实施例提供的认证结果更新的方法的示意性流程图;
图8是本申请又一个实施例提供的认证结果更新的方法的示意性流程图;
图9是本申请再一个实施例提供的认证结果更新的方法的示意性流程图;
图10是本申请再一个实施例提供的认证结果更新的方法的示意性流程图;
图11是本申请再一个实施例提供的认证结果更新的方法的示意性流程图;
图12是本申请一个实施例提供的通信装置的结构示意图;
图13是本申请一个实施例提供的核心接入与移动管理功能设备的结构示意图;
图14是本申请另一个实施例提供的通信装置的结构示意图;
图15是本申请另一个实施例提供的统一数据管理设备的结构示意图;
图16是本申请又一个实施例提供的通信装置的结构示意图;
图17是本申请又一个实施例提供的鉴权服务器功能设备的结构示意图;
图18是本申请再一个实施例提供的通信装置的结构示意图;
图19是本申请再一个实施例提供的终端设备的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
应理解,本申请各个实施例的技术方案,按照接入制式来划分可以应用于各种通信系统,例如:全球移动通信系统(global system of mobile communication,GSM),码分多址(code division multiple access,CDMA)系统,宽带码分多址(wideband codedivision multiple access wireless,WCDMA),通用分组无线业务(general packetradio service,GPRS),长期演进(long term evolution,LTE),LTE频分双工(frequencydivision duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobile telecommunication system,UMTS)、无线蜂窝网络系统、5G系统以及未来的通信系统等。
图1示出了使用本申请的一种无线通信的方法的通信系统100的示意图。如图1所示,该通信系统100主要包括AMF 101、会话管理功能设备(session management function,SMF)102、无线接入网设备(radio access network,RAN)103、鉴权服务器功能设备(authentication server function,AUSF)104、统一数据管理设备(unified datamanagement,UDM)105、策略控制功能设备(policy control function,PCF)106、数据网络(data network,DN)107、用户面功能设备(user plane function,UPF)108、终端设备109。其中,终端设备109通过N1接口与AMF 101连接,UE 109通过无线资源控制(radio resourcecontrol,RRC)协议与RAN 103连接;RAN 103通过N2接口与AMF 101连接,RAN 103通过N3接口与UPF 108连接;多个UPF 108之间通过N9接口连接,UPF 108通过N6接口与DN 107连接,同时,UPF 108通过N4接口与SMF 102连接;SMF 102通过N7接口与PCF 106连接,SMF 102通过N10接口与UDM 105连接,同时,SMF 102通过N11接口与AMF 101连接;多个AMF 101之间通过N14接口连接,AMF 101通过N8接口与UDM 105连接,AMF 101通过N12接口与AUSF 104连接,同时,AMF 101通过N15接口与PCF 106连接;AUSF 104通过N13接口与UDM 105连接。AMF101和SMF 102分别通过N8和N10接口从UDM 105获取用户签约数据,通过N15和N7接口从PCF106获取策略数据。SMF102通过N4接口控制UPF 108。
终端设备109,也可称之为用户设备(user equipment,UE)、终端(terminal)、移动台(mobile station,MS)、移动终端(mobile terminal)等,该终端设备可以经无线接入网(radio access network,RAN)与一个或多个核心网进行通信。终端设备还可称为接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算机设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备以及未来5G网络中的终端设备等。
无线接入网RAN 103中可以包括与终端设备109进行通信的设备,例如,基站或基站控制器等。应理解,该RAN 103可以与类似于终端设备109的任意数目终端设备通信。每个RAN可以为特定的地理区域提供通信覆盖,并且可以与位于该覆盖区域(小区)内的终端设备进行通信,RAN 103可以支持不同制式的通信协议,或者可以支持不同的通信模式。可选地,该RAN 103可以是演进型基站(evolved node B,eNodeB),或者是无线保真接入点(wireless fidelity access point,WiFi AP)、或者是全球微波接入互操作性基站(worldwide interoperability for microwave access base station,WiMAX BS),或者是云无线接入网络(cloud radio access network,CRAN)中的无线控制器,或者为5G网络中的接入网设备或者未来演进的公共陆地移动网络(public land mobile network,PLMN)中的接入网设备等。
可选地,一个AMF 101可以同时服务于多个终端设备109。
可选地,一个SMF 102可以同时服务于多个终端设备109。
可选地,AMF 101可以为终端设备109重新选择服务AMF。
应理解,在终端设备109进入空闲态时,可以释放针对该终端设备109的RRC连接和N2接口。
本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括,但不限于:磁存储器件(例如,硬盘、软盘或磁带等),光盘(例如,压缩盘(compact disc,CD)、数字通用盘(digital versatile disc,DVD)等),智能卡和闪存器件(例如,可擦写可编程只读存储器(erasable programmable read-only memory,EPROM)、卡、棒或钥匙驱动器等)。另外,本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可包括但不限于,能够存储、包含和/或承载指令和/或数据的各种介质。
为了避免拜访网络欺诈,提高网络安全性,本申请实施例通过在认证完成后,终端设备发送指示信息或者AMF根据拒绝消息判定等条件指示AMF发起认证结果更新,并通过AMF调用AUSF的服务,以及AUSF调用UDM的服务,通知UDM清除或者更新某一服务网络对应的认证结果,从而有效防止拜访网络的欺诈,提高网络安全性。
图2示出了本申请一个实施例提供的认证结果更新的方法200的示意性流程图。该方法200包括步骤S201至S212,下面详细介绍这些步骤。
S201,AUSF向AMF发送认证响应。
在对终端设备的认证流程完成之后,AUSF向AMF发送认证响应,其中,该认证响应中包括认证结果。
例如,AUSF通过终端设备认证响应(Nausf_UEAuthentication_AuthenticationResponse)消息向AMF发送认证响应。
S202,AUSF向UDM发送认证结果确认请求。
例如,在对终端设备的认证流程完成之后,AUSF通过终端设备认证确认请求(Nudm_UEAuthentication_Result Confirmation Request)将服务网络的标识信息、用户的标识信息以及认证结果等信息发送给UDM。
例如,AUSF将服务公共陆地移动网络标识(public land mobile networkidentify,PLMN ID)、用户永久标识(subscription permanent identifier,SUPI)以及认证结果等信息发送给UDM。
应说明,AUSF发送给UDM的服务网络的标识信息以及用户标识信息并不仅限于Serving PLMN ID以及SUPI,只要能够唯一标识服务网络和用户即可,本申请实施例对此并不作限定。为了便于阐述,本文以Serving PLMN ID和SUPI为例进行说明。
S203,UDM向AUSF发送认证结果确认响应。
步骤S203和步骤S202对应,在AUSF向UDM发送认证结果确认请求后,UDM向AUSF发送认证结果确认响应,表示UDM保存认证结果的情况。
例如,UDM通过终端设备的认证结果确定响应(Nudm_UEAuthentication_ResultConfirmation Response)消息将UDM保存认证结果的情况发送至AUSF。
上述步骤S201至步骤S203,在认证流程完成之后,将Serving Network Name、SUPI以及认证结果等信息发送至UDM,并将该认证结果保存至UDM中。当拜访网络向归属网络的UDM调用服务时,UDM可以根据保存的认证结果对拜访网络发起的服务调用进行授权,可以防止拜访网络欺骗归属网络。
S204,AMF向UE发送NAS安全模式命令消息。
AMF发起NAS SMC流程,向UE发送NAS SMC消息。该消息包括UE安全能力、选择的NAS安全算法等。
S205,UE验证NAS安全模式命令消息。
UE接收到AMF发送的NAS SMC消息后,先验证该消息的完整性。若验证成功,则UE开始NAS完整性保护并开始加解密,并发送NAS安全模式完成消息给AMF。NAS安全模式完成消息利用NAS SMC消息中选择的加密和完整性保护算法进行加密和完整性保护。AMF利用NASSMC消息中选择的加密和完整性保护算法对收到的NAS安全模式完成消息进行解密和完整性检查。若验证失败,则UE向AMF发送NAS安全模式拒绝(security mode reject,SMR)消息,并携带NAS SMC拒绝的原因值Cause。
例如,该Cause值为#23时,表示该NAS SMC拒绝的原因为UE安全参数匹配错误;该Cause值为#24时,表示安全模式被拒绝的原因未指明。
S206,UE向AMF发送第一消息。
UE在验证NAS SMC消息失败后,向AMF发送第一消息,其中,第一消息为NAS安全模式拒绝消息。
可选地,UE在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则UE在该NAS安全模式拒绝消息中可选地携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
由于终端设备可以同时维持至少两个NAS连接,当NAS SMC拒绝消息拒绝的NAS连接为最后一个激活的NAS连接,则表示当前终端设备维持的所有NAS连接全部断开,则该NAS安全模式拒绝消息中可选地携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。若该NAS SMC拒绝消息拒绝的NAS连接不是最后一个激活的NAS连接,即当前终端设备至少一个NAS连接正常连接,若直接请求认证结果更新,可能会对正常工作的业务造成影响,所以在发起认证结果更新时,需要判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S207,可选地,AMF判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到该NAS安全模式拒绝消息后,可选地判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
可选地,若S206中,UE在验证NAS SMC消息失败后,判断了当前拒绝的NAS连接不为最后一个激活的NAS连接,则S207可以不执行。
在一些可能的实现方式中,S206和S207中都可以进行当前拒绝的NAS连接是否为最后一个激活的NAS连接的判断,本申请实施例对此不作限定。
另外,在步骤S206中,若第一消息中可选地直接包括认证结果更新指示信息时,步骤S207可以不执行。
AMF在接收到该NAS安全模式拒绝消息后,也可以直接调用AUSF的服务通知发起认证结果更新。
S208,AMF向AUSF发送第一服务调用请求。
在AMF确定需要更新终端设备在当前PLMN的认证结果时(例如,S207中判断当前拒绝的NAS连接为最后一个激活的NAS连接,或者AMF接收到UE发送的第一消息中携带认证结果更新指示信息,或者受到UE发送的第一消息例如NAS SMC拒绝消息),则AMF向AUSF发送第一服务调用请求,调用AUSF的服务通知AUSF发起认证结果更新,该第一服务调用请求用于请求更新统一数据管理设备UDM中保存的认证结果。
可选地,若S207中未判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,则AMF根据该NAS安全模式拒绝消息可选携带的认证结果更新指示信息调用AUSF的服务,或者根据该NAS安全模式拒绝消息,发起认证结果更新。
例如,AMF通过终端设备认证结果更新请求(Nausf_UEAuthentication_Result_Update Request)通知AUSF发起认证结果更新。其中,该服务是用来通知AUSF清除或者标识为无效或者更新UDM中认证结果的服务,本申请实施例对服务名称不作限定。
该第一服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的标识信息以及用户标识信息发送至AUSF,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,UDM中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的Serving PLMN ID、SUPI发送至AUSF,可以根据Serving PLMNID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
可选地,该第一服务调用请求中还可以包括认证结果更新标识信息,例如False或无效invalid或者其它标识信息。
可选地,该第一服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放(防止重放攻击)2、UDM可以timestamp用来记录认证结果更新的时间。
S209,AUSF向UDM发送第二服务调用请求。
AUSF接收到AMF发送的认证结果更新请求后,向UDM发送第二服务调用请求,调用UDM服务,该第二服务调用请求是用来通知UDM清除或者标识为无效或者更新保存认证结果的服务,本申请实施例对服务名称并不做限定。
举例来说,所述第二服务调用请求包括服务网络的标识信息和用户的标识信息。
该第二服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识。UDM根据该第二服务调用请求中包括的Serving PLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并将认证结果更新为不成功或者标识为无效invalid或者清除认证结果数据。
可选地,该第二服务调用请求也可以是现有的通过UDM接口发送的终端设备的认证结果确认(Nudm_UEAuthentuication_Result Conformation)服务,该认证结果更新标识可以为False或者无效invalid或者其他表示不成功的值,本申请实施例对此并不作限定。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S210,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息。
例如,UDM根据AUSF发送的服务请求中的Serving PLMN ID和SUPI清除相应的服务网络的认证结果,或者将认证结果更新为表示不成功的其他任意值,或者将相应的服务网络的认证结果标识为无效invalid。本申请实施例对此不作限定。
可选地,UDM根据AUSF发送的服务请求中的认证结果更新标识执行清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid。例如,根据False执行清除或者更新认证结果。
可选地,UDM还可以直接根据服务名称确定需要清除或者更新认证结果的服务网络,或者将相应的服务网络的认证结果标识为无效invalid。
举例来说,S210可以替换为:清除与所述服务网络的标识信息和用户的标识信息对应的认证结果;或者,将与所述服务网络的标识信息和用户的标识信息对应的认证结果标记为失败;或者,将与所述服务网络的标识信息和用户的标识信息对应的认证结果标记为无效。可选地,如果该第二服务调用请求中还包括时间戳timestamp信息,UDM可以保存timestamp用来记录认证结果更新的时间。
S211,UDM向AUSF发送认证结果确认响应。
UDM在清除或者更新完认证结果或者将相应的服务网络的认证结果标识为无效invalid后,将向AUSF回复服务调用响应,表示认证结果更新情况。
例如,UDM向AUSF发送终端设备认证结果确认响应(Nudm_UEAuthentication_Result Confirmation Response),向AUSF回复UDM中认证结果更新情况。
S212,AUSF向AMF发送认证结果更新响应。
AUSF在接收到UDM回复的服务调用响应后,向AMF发送认证结果更新响应,表示认证结果更新情况。
例如,AUSF向AMF发送终端设备认证结果更新响应(Nausf_UEAuthentication_Result Update Response),向AMF回复UDM中认证结果更新情况。
上述技术方案中,在注册流程中的NAS SMC拒绝场景下,UE发送指示信息或者AMF根据拒绝消息判定等条件指示AMF发起认证结果更新,通过AMF调用AUSF的服务,以及AUSF调用UDM的服务的方式,通知UDM清除或者更新某一服务网络对应的认证结果或者将相应的服务网络的认证结果标识为无效invalid。实现了在NAS SMC拒绝场景下对服务网络认证结果的及时清除或更新或者将相应的服务网络的认证结果标识为无效invalid,有效防止拜访网络欺诈和拒绝服务(denial of service,DoS)攻击,提高网络安全性。
图3示出了本申请另一个实施例提供的认证结果更新的方法400的示意性流程图。该方法400包括步骤S401至S410,下面详细介绍这些步骤。
S401,AUSF向AMF发送认证响应。
例如,AUSF通过Nausf_UEAuthentication_Authentication Response向AMF发送认证响应。
S402,AUSF向UDM发送认证结果确认请求。
例如,在认证流程完成之后,AUSF通过Nudm_UEAuthentication_ResultConfirmation Request将Serving PLMN ID、SUPI以及认证结果等信息发送给UDM。
S403,UDM向AUSF发送认证结果确认响应。
步骤S403和步骤S402对应,在AUSF向UDM发送认证结果确认请求后,UDM向AUSF发送认证结果确认响应,表示UDM保存认证结果的情况。
例如,UDM通过Nudm_UEAuthentication_Result Confirmation Response将UDM保存认证结果的情况发送至AUSF。
上述步骤S401至步骤S403和步骤S201至步骤S203相同,在认证流程完成之后,将Serving PLMN ID、SUPI以及认证结果等信息发送至UDM,并将该认证结果保存至UDM中。当拜访网络向归属网络的UDM调用服务时,UDM可以根据保存的认证结果对拜访网络发起的服务调用进行授权,可以防止拜访网络欺骗归属网络。
S404,AMF向UE发送NAS安全模式命令消息。
AMF发起NAS SMC流程,向UE发送NAS SMC消息。该消息包括UE安全能力、息、选择的NAS安全算法等。
S405,UE验证NAS安全模式命令消息。
UE接收到AMF发送的NAS SMC消息后,先验证该消息的完整性。具体的过程可参考S205,此处不再赘述。
S406,UE向AMF发送第一消息。
UE在验证NAS SMC消息失败后,向AMF发送第一消息,其中,第一消息为NAS安全模式拒绝消息。可选地,UE在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则UE在该NAS安全模式拒绝消息中可选地携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S407,可选地,AMF判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到该NAS安全模式拒绝消息后,可选地判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
AMF在接收到该NAS安全模式拒绝消息后,也可以直接调用AUSF的服务通知发起认证结果更新。
可选地,若S406中,UE在验证NAS SMC消息失败后,进行了当前拒绝的NAS连接不为最后一个NAS的判断,则S407可以不执行。
在一些可能的实现方式中,S406和S407中都可以进行当前拒绝的NAS连接是否为最后一个激活的NAS连接的判断,本申请实施例对此不作限定。
另外,在步骤S406中,若第一消息中可选地直接包括认证结果更新指示信息时,步骤S207可以不执行。
AMF在接收到该NAS安全模式拒绝消息后,也可以直接调用AUSF的服务通知发起认证结果更新。
S408,AMF向UDM发送第二服务调用请求。
在AMF确定需要更新终端设备在当前PLMN的认证结果时(例如,S207中判断当前拒绝的NAS连接为最后一个激活的NAS连接,或者AMF接收到UE发送的第一消息中携带认证结果更新指示信息,或者AMF接收到UE发送的第一消息NAS SMC拒绝消息),则AMF调用UDM的服务通知UDM发起认证结果更新,该第二服务调用请求用于请求更新统一数据管理设备UDM中保存的认证结果。
可选地,若S407中未判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,则AMF根据该NAS安全模式拒绝消息或者可选根据NAS安全模式拒绝消息携带的认证结果更新指示信息调用UDM的服务,发起认证结果更新。
例如,AMF通过终端设备认证结果更新请求(Nudm_UEAuthentication_Result_Update Request)服务或者去注册服务通知UDM发起认证结果更新。其中,该第二服务调用请求是用来通知UDM清除或者更新保存认证结果或者将相应的服务网络的认证结果标识为无效invalid的服务,本申请实施例对服务名称并不做限定。
该第二服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识以及可选地包括接入类型(例如3GPP接入和/或非3GPP接入)。UDM根据该第二服务调用请求中包括的Serving PLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并将认证结果更新为不成功或者将相应的服务网络的认证结果标识为无效invalid或者清除认证结果。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S409,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
UDM根据AMF发送的服务请求中的Serving PLMN ID和SUPI清除相应的服务网络的认证结果,或者将认证结果更新为表示不成功的其他任意值,或者将相应的服务网络的认证结果标识为无效invalid。本申请实施例对此不作限定。
可选地,UDM根据AMF发送的服务请求中的认证结果更新标识执行清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid。例如,根据False执行清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid。
可选地,UDM还可以直接根据服务名称(例如去注册服务)确定需要清除或者更新认证结果的服务网络或者将相应的服务网络的认证结果标识为无效invalid。本申请实施例不对具体的服务名称进行限定。
可选的,所述第二服务调用请求包括接入类型;所述UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid之前,所述方法还包括:
判断所述接入类型对应的用户上下文是否为目标安全上下文,其中,所述目标安全上下文是与所述服务网络的标识信息和用户的标识信息对应的最后一个用户上下文;
所述UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid,包括:
若所述接入类型对应的用户上下文是所述目标安全上下文,则UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
可选地,UDM判断第二服务调用请求中的接入类型对应的用户上下文,是否为该用户SUPI在相应服务网络Serving PLMN ID的最后一个用户上下文。
例如,UDM在接收到第二服务调用请求后,根据其中的Serving PLMN ID和/或SUPI查找对应的用户上下文,例如得到(SUPI,Serving PLMN ID,3GPP接入,用户上下文)和/或(SUPI,Serving PLMN ID,非3GPP接入,用户上下文),再根据接入类型参数判断找到的用户上下文是否为最后一个用户上下文;若是最后一个用户上下文,则UDM确定需要清除或者更新认证结果的服务网络或者将相应的服务网络的认证结果标识为无效invalid。
可选地,如果该第二服务调用请求中还包括时间戳timestamp信息,UDM可以保存timestamp用来记录认证结果更新的时间。
S410,UDM向AMF发送认证结果确认响应。
UDM在清除或者更新完认证结果后,将向AUSF回复服务调用响应,表示认证结果更新情况。例如,UDM向AMF发送终端设备认证结果确认响应(Nudm_UEAuthentication_ResultUpdate Response),向AMF回复UDM中认证结果更新情况。
上述技术方案中,在注册流程中的NAS SMC拒绝场景下,UE发送指示信息或者AMF根据拒绝消息判定等条件指示AMF发起认证结果更新,通过AMF直接调用UDM的服务,通知UDM清除或者更新某一服务网络对应的认证结果。在有效防止拜访网络欺诈和DoS攻击的同时使得在NAS SMC拒绝场景下对服务网络认证结果的及时清除或更新的流程更加精简。
如果SMC发生在注册流程中,AMF收到NAS安全模式拒绝消息后就结束当前注册流程;如果SMC发生在注册流程之后,AMF接收到该NAS安全模式拒绝消息后就结束当前SMC流程,继续使用之前的安全上下文。
当UE发起去注册流程时,若UE与网络间没有建立协议数据单元(protocol dataunit,PDU)会话,则AMF可以直接向UE回复去注册接受(De-registration Accept)消息,而此时AMF没有通知AUSF或UDM更新认证结果;若UE与网络间已建立PDU会话,则AMF通知会话管理功能(session management function,SMF)释放PDU会话,SMF到UDM去注册,而此时UDM仅删除相关会话和SMF注册状态,并未对认证结果进行更新。
图4是本申请又一个申请实施例提供的认证结果更新的方法500的示意性流程图。该方法500包括步骤S501至S512,下面详细介绍这些步骤。
S501,AUSF向AMF发送认证响应。
S502,AUSF向UDM发送认证结果确认请求。
S503,UDM向AUSF发送认证结果确认响应。
步骤S501至S503与步骤S201至S203相同,具体可参见S201至S203的说明,此处不再赘述。
S504,UE发起去注册流程。
在注册流程完成之后,UE发起该去注册流程。
S505,UE向AMF发送第一消息。
在UE发起去注册流程后,UE向AMF发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
可选地,在S504中,UE在发起去注册流程时,还可以判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。若当前请求去注册的NAS连接为最后一个激活的NAS连接,则在S505中,UE发送给AMF的去注册请求消息中可选地携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S506,可选地,AMF判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到UE发送的去注册请求消息后,判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
可选地,若S504中,UE在发起去注册流程后,判断了当前请求去注册的NAS连接不为最后一个NAS,则S506可以不执行。
在一些可能的实现方式中,S504和S506中都可以进行当前NAS连接是否为最后一个激活的NAS连接的判断,本申请实施例对此不作限定。
另外,在步骤S505中,若第一消息中可选地直接包括认证结果更新指示信息时,步骤S506可以不执行。
S507,AMF向AUSF发送第一服务调用请求。
S508,AUSF向UDM发送第二服务调用请求。
S509,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S510,UDM向AUSF发送认证结果确认响应。
S511,UDM向AUSF发送认证结果更新响应。
步骤S507至步骤S511可参考步骤S208至步骤S212,此处不再赘述。
S512,AMF向UE发送去注册响应消息。
AMF在接收到AUSF发送的认证结果更新响应后,向UE发送去注册响应消息,表示去注册结果。例如,AMF向UE发送De-registration Response。
上述技术方案中,在UE发起去注册流程的场景下,UE向AMF发送去注册请求,通过AMF调用AUSF的服务,以及AUSF调用UDM的服务的方式,通知UDM清除或者更新某一服务网络对应的认证结果或者将相应的服务网络的认证结果标识为无效invalid。实现了在去注册流程中对服务网络认证结果的及时清除或更新或者将相应的服务网络的认证结果标识为无效invalid,有效防止拜访网络欺诈和DoS攻击。
图5示出了本申请又一个实施例提供的认证结果更新的方法600的示意性流程图。该方法600包括步骤S601至S610,下面详细介绍这些步骤。
S601,AUSF向AMF发送认证响应。
S602,AUSF向UDM发送认证结果确认请求。
S603,UDM向AUSF发送认证结果确认响应。
步骤S601至S603与步骤S201至S203相同,具体可参见S201至S203的说明,此处不再赘述。
S604,UE发起去注册流程。
在注册流程完成之后,UE发起该去注册流程。
S605,UE向AMF发送第一消息。
在UE发起去注册流程后,UE向AMF发送UE向AMF发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
可选地,在S604中,UE在发起去注册流程时,还可以判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。若当前请求去注册的NAS连接为最后一个激活的NAS连接,则在S605中,UE发送给AMF的去注册请求消息中可选地携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S606,可选地,AMF判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到UE发送的去注册请求消息后,判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
可选地,若S604中,UE在发起去注册流程后,判断了当前请求去注册的NAS连接是否为最后一个NAS,则S606可以不执行。
在一些可能的实现方式中,S604和S606中都可以进行当前请求去注册的NAS连接是否为最后一个激活的NAS连接的判断,本申请实施例对此不作限定。
另外,在步骤S605中,若第一消息中直接包括认证结果更新指示信息时,步骤S606可以不执行。
S607,AMF向UDM发送第二服务调用请求。
S608,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S609,UDM向AMF发送认证结果确认响应。
步骤S607至S609与步骤S408至S410相同,具体说明可参见S408至S410,此处不再赘述。
S610,AMF向UE发送去注册响应消息。
AMF在接收到UDM发送的认证结果更新响应后,向UE发送去注册响应消息,表示去注册结果。例如,AMF向UE发送De-registration Response。
上述技术方案中,在UE发起去注册流程的场景下,UE向AMF发送去注册请求,通过AMF直接调用UDM的服务,通知UDM清除或者更新某一服务网络对应的认证结果或者将相应的服务网络的认证结果标识为无效invalid。在有效防止拜访网络欺诈和DoS攻击的同时使得在去注册流程的场景下对服务网络认证结果的及时清除或更新或者将相应的服务网络的认证结果标识为无效invalid的流程更加精简。
图6是本申请又一个申请实施例提供的认证结果更新的方法700的示意性流程图。该方法700包括步骤S701至S711,下面详细介绍这些步骤。
S701,AUSF向AMF发送认证响应。
S702,AUSF向UDM发送认证结果确认请求。
S703,UDM向AUSF发送认证结果确认响应。
步骤S701至S703与步骤S201至S203相同,具体可参见S201至S203的说明,此处不再赘述。
S704,AMF向UE发送去注册请求消息。
在本申请实施例中,AMF发起去注册流程,当AMF发起显示的去注册时,此时AMF和UE之间需要有NAS消息交互,例如,AMF向UE发送去注册请求De-registration Request消息。
可选地,当AMF发起隐式的去注册时,此时AMF和UE之间不需要有NAS消息交互,此时S704可以不执行。
S705,可选地,AMF判断当前请求去注册的NAS是否为最后一个激活的NAS连接。
可选地,AMF在发起去注册流程后,判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,在AMF发起去注册流程后,不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF通过调用AUSF服务更新终端设备在当前PLMN的认证结果。
S706,AMF向AUSF发送第一服务调用请求。
S707,AUSF向UDM发送第二服务调用请求。
S708,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S709,UDM向AUSF发送认证结果确认响应。
S710,UDM向AUSF发送认证结果更新响应。
步骤S706至步骤S710可参考步骤S208至步骤S212,此处不再赘述。
S711,UE向AMF发送去注册响应消息。
S711和S704相对应,当认证结果更新后,UE向AMF发送De-registrationResponse。
应说明,当AMF在发起的是隐式的去注册,则S704和S711可以不执行。
上述技术方案中,在AMF发起去注册流程的场景下,通过AMF调用AUSF的服务,以及AUSF调用UDM的服务的方式,通知UDM清除或者更新某一服务网络对应的认证结果或者将相应的服务网络的认证结果标识为无效invalid。实现了在去注册流程中对服务网络认证结果的清除或更新或者标记无效,有效防止拜访网络欺诈和DoS攻击。
图7示出了本申请又一个实施例提供的认证结果更新的方法800的示意性流程图。该方法800包括步骤S801至S809,下面详细介绍这些步骤。
S801,AUSF向AMF发送认证响应。
S802,AUSF向UDM发送认证结果确认请求。
S803,UDM向AUSF发送认证结果确认响应。
步骤S801至S803与步骤S201至S203相同,具体可参见S201至S203的说明,此处不再赘述。
S804,AMF向UE发送第一消息。
在本申请实施例中,AMF发起去注册流程,当AMF发起显示的去注册时,此时AMF和UE之间需要有NAS消息交互,例如,AMF向UE发送第一消息,其中,该第一消息为去注册请求De-registration Request消息。
可选地,当AMF发起隐式的去注册时,此时S804可以不执行。
S805,可选地,AMF判断当前请求去注册NAS是否为最后一个激活的NAS连接。
可选地,AMF在发起去注册流程后,判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知发起认证结果更新。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,在AMF发起去注册流程后,不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF通过调用UDM服务更新终端设备在当前PLMN的认证结果。
S806,AMF向UDM发送第二服务调用请求。
S807,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S808,UDM向AMF发送认证结果确认响应。
步骤S806至S808与步骤S408至S410相同,具体说明可参见S408至S410,此处不再赘述。
S809,UE向AMF发送去注册响应消息。
S809和S804相对应,当认证结果更新后,UE向AMF发送De-registrationResponse。
应说明,当AMF发起的是隐式的去注册时,则S804和S809可以不执行。
上述技术方案中,在AMF发起去注册流程的场景下,通过AMF直接调用UDM的服务,通知UDM清除或者更新某一服务网络对应的认证结果或者将相应的服务网络的认证结果标识为无效invalid。在有效防止拜访网络欺诈和DoS攻击的同时使得在去注册流程的场景下对服务网络认证结果的清除或更新或者标识为无效的流程更加精简。
在UE回复NAS SMC拒绝、UE发起去注册和UE发起PDU会话释放等流程中,拜访网络可能恶意的篡改或不向归属网络发送UE上报的信息,以达到欺骗归属网络的目的,造成对UE的恶意计费。本申请实施例通过对UE上报异常信息进行加密,归属网络接收到加密信息后,即可解密相关信息并向UE回复相关指示信息,UE根据归属网络下发的指示信息判定之前上报的异常信息是否被拜访网络篡改,以此判断拜访网络是否存在恶意行为。
图8是本申请又一个申请实施例提供的认证结果更新的方法900的示意性流程图。该方法900包括步骤S901至S915,下面详细介绍这些步骤。
S901,AUSF根据策略或配置,计算并保存共享密钥。
在认证流程完成之后,为了避免拜访网络恶意篡改认证信息更新的流程,AUSF根据运营商的策略或者本地设置,按照式(1)计算共享密钥Kcause,该共享密钥用来保护UE与AUSF之间的参数。
Kcause=KDF(Kausf,RAND) 式(1)
S902,AUSF向AMF发送认证结果更新指示信息。
在一些可能的实现方式中,归属网络AUSF通过调用服务将UE在某些情况下需要发起认证结果更新的策略或者指示信息发送给AMF。
可选地,该AUSF调用的服务可以是现有Nausf_UEAuthentication_AuthenticateResponse等服务,也可以是任何其他新定义的AUSF和AMF之间的服务,本申请实施例对此不作限定。
S903,AMF向UE发送NAS安全模式命令消息。
AMF发起NAS SMC流程,向UE发送NAS Security Mode Command消息,该消息中包括UE在某些情况下需要发起认证结果更新的策略或者指示信息。
可选地,该认证结果更新的策略或者指示信息可以为加密后的策略或指示信息,本申请实施例对此不作限定。
S904,UE验证安全模式命令消息。
UE接收到该AMF发送的NAS Security Mode Command消息,验证该NAS SecurityMode Command消息。若验证失败,则UE根据从AMF接收到的策略或指示信息,采用与AUSF相同的方式计算共享密钥Kcause,并根据Kcause对NAS SMC拒绝的原因值Cause和拜访网络的Serving PLMN ID进行加密,并根据式(2)生成第一加密信息Secret:
Secret=HMAC(Kcause,Cause,Serving PLMN ID) 式(2)
应说明,本申请实施例中的共享密钥生成函数可以不限定于式(1)中的方法,只要步骤S901与步骤S904中共享密钥的生成函数相同即可,本申请实施例对此不作限定。
应说明,本申请实施例中的Secret生成函数可以不限定于式(2)中的方法,只要使用共享秘钥对Cause和Serving PLMN ID进行保护即可,本申请实施例对此不作限定。
可选地,若认证结果更新的策略或者指示信息已加密,UE需要先解密,再根据策略或者指示信息执行以上S904。
可选地,该策略或者指示信息可以配置在全球用户标识模块(UniversalSubscriber Identity Module,USIM)卡上,本申请实施例对此不作限定。
可选地,终端设备在验证NAS SMC失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则在NAS安全模式拒绝消息中携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S905,UE向AMF发送NAS第一消息。
UE在验证终端设备的NAS SMC消息失败后,向AMF发送第一消息,其中,该第一消息为NAS安全模式拒绝消息,该消息中包括Secret。
可选地,该第一消息中携带第一指示信息,用于指示AMF需要对Cause进行解密,还用于指示是否需要将Secret发送该AUSF或UDM进行解密。
可选地,该NAS安全模式拒绝消息中可以携带一个用于指示需要对Cause解密的指示信息。例如,该指示信息可以是新定义的5G移动性管理原因(5G mobility managementcause,5GMM Cause),其本身就表示Cause需要解密。
在一些可能的实现方式中,该指示信息还可以为新定义的指示信息信元(information element,IE),或者为现有的IE中扩展加入该第一指示信息。
S906,可选地,AMF判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到该NAS安全模式拒绝消息后,可选地判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知,发起认证结果更新。
AMF在接收到该NAS安全模式拒绝消息后,也可以直接调用AUSF的服务通知发起认证结果更新。
可选地,若S904中,UE在验证NAS SMC消息失败后,判断了当前拒绝的NAS连接是否为最后一个激活的NAS连接,则S906可以不执行。
应说明,当S904中判断当前拒绝的NAS连接为最后一个激活的NAS连接,则AMF根据NAS安全模式拒绝消息中的认证结果更新指示信息调用AUSF的服务通知,发起认证结果更新。
在一些可能的实现方式中,S904和S906中都可以进行当前拒绝的NAS连接是否为最后一个激活的NAS连接的判断,本申请实施例对此不作限定。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选的直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S907,AMF向AUSF发送第一服务调用请求。
若S906中判断当前拒绝的NAS连接为最后一个激活的NAS连接,则AMF向AUSF发送第一服务调用请求,调用AUSF的服务通知AUSF发起认证结果更新。
若S904中未判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,则AMF根据该NAS安全模式拒绝消息携带的认证结果更新指示信息调用AUSF的服务,发起认证结果更新。
例如,AMF通过Nausf_UEAuthentication Result Update Request通知AUSF发起认证结果更新。其中,该服务是用来通知AUSF清除或者更新UDM中认证结果或者将相应的服务网络的认证结果标识为无效invalid的服务,本申请实施例对服务名称不作限定。
该第一服务调用请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的标识信息以及用户标识信息发送至AUSF,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务调用请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,UDM中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的Serving PLMN ID、SUPI发送至AUSF,可以根据Serving PLMNID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
可选地,该第一服务调用请求中还可以包括认证结果更新标识信息,例如False或者无效invalid或者其它标识信息。
可选地,该服务请求中包括Secret。
可选地,该第一服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S908,AUSF使用共享密钥解密第一加密信息。
AUSF接收AMF发送的认证结果更新请求,获取到该请求中包括的Secret。根据保存的共享密钥Kcause解密Secret,获取到拒绝原因值Cause和服务网络的标识信息(例如Serving PLMN ID)。
S909,AUSF向UDM发送第二服务调用请求。
S910,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S911,UDM向AUSF发送认证结果确认响应。
步骤S909至S911与步骤S209至S211相同,具体可参见S209至S211的说明,此处不再赘述。
S912,AUSF计算指示信息。
AUSF接收到UDM发送的认证结果确认响应后,使用共享密钥Kcause根据式(3)计算一个指示信息Indication:
Indication=HMAC(Kcause,AuthEvent Updateresult) 式(3)
其中,该指示信息Indication用于通知UE在UDM上认证结果更新的结果。
应说明,本申请实施例中的Indication生成函数可以不限定于式(3)中的方法,只要使用共享秘钥对AuthEvent Update result进行保护即可,本申请实施例对此不作限定。
S913,AUSF向AMF发送认证结果更新响应。
AUSF在接收到UDM回复的服务调用响应后,根据式(3)计算指示信息Indication,并向AMF发送认证结果更新响应,表示认证结果更新情况。其中,该认证结果更新响应消息中包括指示信息Indication。
例如,AUSF向AMF发送Nausf_UEAuthentication Result Update Response,向AMF回复UDM中认证结果更新情况。
S914,AMF向UE发送指示信息。
AMF通过下行NAS消息将指示信息Indication发送至UE。
S915,UE判断拜访网络是否异常。
UE在接收到下行NAS消息后,若该下行NAS消息中包括指示信息Indication,且该UE可以使用共享密钥Kcause解密Indication,则表示该拜访网络不存在异常。
可选地,当该下行NAS消息中不包括指示信息Indication,则表示该拜访网络存在异常,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
还有,当UE在接收到下行NAS消息后,且该下行NAS消息中包括指示信息Indication,但该UE使用共享密钥Kcause不能解密Indication,这种情况也表示拜访网络存在异常,此时,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
上述技术方案中,在NAS SMC拒绝场景下,AUSF和UE分别基于Kausf计算共享密钥Kcause,UE对Cause等参数加密,发送到归属网络,由AUSF解密并通知UDM清除或更新认证结果。UDM认证结果更新的情况反馈给AUSF之后,AUSF再对认证事件更新结果加密生成一个指示信息Indication并通过AMF的下行NAS消息发送给UE,UE在收到AMF发送的下行NAS消息,若消息中包含Indication,且UE可以使用Kcause解密指示信息Indication,则继续后续流程;否则UE判断拜访网络存在欺诈等恶意行为,中止当前流程、向归属网络上报异常、UE本地记录异常情况或者向用户发起告警等。本实施的方法可以保证UE主动发起的某些流程中,相关的原因值可以不被拜访网络解析和篡改,同时UE根据归属网络下发的指示信息判断拜访网络是否存在恶意行为,提高网络安全。
图9是本申请再一个申请实施例提供的认证结果更新的方法1000的示意图。该方法1000包括步骤S1001至S1014,下面详细介绍这些步骤。
S1001,UDM根据策略或配置,计算并保存共享密钥。
在认证流程完成之后,为了避免拜访网络恶意篡改认证信息更新的流程,UDM根据运营商的策略或者本地设置,按照式(1)计算共享密钥Kcause,该共享密钥用来保护UE与UDM之间的参数。
S1002,UDM向AUSF发送认证结果更新指示信息。
UDM通过调用服务将UE在某些情况下需要发起认证结果更新的策略或者指示信息发送给AUSF,通知AUSF在什么情况下需要发起认证结果更新。
例如,UDM通过Nausf_UEAuthentication_Authenticate Get Response服务将通知UE在某些情况下需要认证结果更新的策略或指示信息发送给AUSF。
应说明,该服务可以为任何其他新定义的AUSF和UDM之间的服务,本申请实施例对此不作限定。
S1003,AUSF向AMF发送认证结果更新指示信息。
AUSF接收到UDM发送的认证结果更新指示信息后,通过调用服务向AMF发送该认证结果更新指示信息。
例如,AUSF通过Nausf_UEAuthentication_Authenticate Response服务将通知UE在某些情况下需要认证结果更新的策略或指示信息发送给AMF。
应说明,该服务可以为任何其他新定义的AUSF和AMF之间的服务,本申请实施例对此不作限定。
S1004,AMF向UE发送NAS安全模式命令消息。
S1005,UE验证安全模式命令消息。
S1006,UE向AMF发送第一消息。
S1007,可选地,AMF判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。
步骤S1004至S1007与步骤S903至S906相同,具体说明可参见S903至S906,此处不再赘述。
S1008,AMF向UDM发送第二服务调用请求。
若S1007中判断当前拒绝的NAS连接为最后一个激活的NAS连接,则AMF向AUSF发送第二服务调用请求,调用UDM的服务,通知UDM发起认证结果更新。
若S1005中判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,则AMF根据该NAS安全模式拒绝消息携带的认证结果更新指示信息调用UDM的服务,发起认证结果更新。
该第二服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识以及可选地包括接入类型(例如3GPP接入和/或非3GPP接入)参数。UDM根据该第二服务调用请求中包括的Serving PLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并认证结果更新为不成功或者将相应的服务网络的认证结果标识为无效invalid或者清除认证结果。
例如,AMF通过Nudm_UEAuthentication Result Update Request或者去注册服务通知UDM发起认证结果更新。其中,该服务是用来通知UDM清除或者更新UDM中认证结果的服务或者将相应的服务网络的认证结果标识为无效invalid,本申请实施例对服务名称不作限定。
可选地,该服务请求中包括Secret。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S1009,用共享密钥解密第一加密信息。
UDM接收AMF发送的认证结果更新请求,获取到该请求中包括的第一加密信息Secret。根据保存的共享密钥Kcause解密Secret,获取到拒绝原因值Cause和服务网络的标识信息(例如Serving PLMN ID)。
S1010,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
例如,UDM根据AMF发送的服务请求中的Serving PLMN ID和SUPI清除相应的服务网络的认证结果,或者将认证结果更新为表示不成功的其他任意值,或者将相应的服务网络的认证结果标识为无效invalid。本申请实施例对此不作限定。
可选地,UDM根据AMF发送的服务请求中的认证结果更新标识执行清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid。例如,根据False执行清除或者更新认证结果。
可选地,UDM还可以直接根据服务名称确定需要清除或者更新认证结果的服务网络或者将相应的服务网络的认证结果标识为无效invalid。
可选的,所述第二服务调用请求包括接入类型;
所述UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid之前,所述方法还包括:
判断所述接入类型对应的用户上下文是否为目标安全上下文,其中,所述目标安全上下文是与所述服务网络的标识信息和用户的标识信息对应的最后一个用户上下文;
所述UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid,包括:
若所述接入类型对应的用户上下文是所述目标安全上下文,则UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
可选地,UDM判断第二服务调用请求中的接入类型对应的用户上下文,是否为该用户SUPI在相应服务网络Serving PLMN ID的最后一个用户上下文。
例如,UDM在接收到第二服务调用请求后,根据其中的Serving PLMN ID、SUPI,查找对应的用户上下文,例如得到(SUPI,Serving PLMN ID,3GPP接入,用户上下文)和/或(SUPI,Serving PLMN ID,非3GPP接入,用户上下文),再根据接入类型参数判断找到的用户上下文是否为最后一个用户上下文;若是最后一个用户上下文,则UDM确定需要清除或者更新认证结果的服务网络或者将相应的服务网络的认证结果标识为无效invalid。
可选地,如果该第二服务调用请求中还包括时间戳timestamp信息,UDM可以保存timestamp用来记录认证结果更新的时间。
S1011,UDM计算指示信息。
UDM使用共享密钥Kcause根据式(3)计算一个指示信息Indication,其中,该指示信息Indication用于通知UE在UDM上认证结果更新的结果。
应说明,本申请实施例中的Indication生成函数可以不限定于式(3)中的方法,只要使用共享秘钥对AuthEvent Update result进行保护即可,本申请实施例对此不作限定。
S1012,UDM向AMF发送认证结果更新响应。
UDM更新完保存的认证结果后,向AMF发送认证结果更新响应,表示认证结果更新情况。其中,该认证结果更新响应消息中包括指示信息Indication。
例如,UDM向AMF发送Nudm_UEAuthentication_Result Update Response,向AMF回复UDM中认证结果更新情况。
S1013,AMF向UE发送指示信息。
AMF通过下行NAS消息将指示信息Indication发送至UE。
S1014,UE判断拜访网络是否异常。
UE在接收到下行NAS消息后,若该下行NAS消息中包括指示信息Indication,且该UE可以使用共享密钥Kcause解密Indication,则表示该拜访网络不存在异常。
可选地,当该下行NAS消息中不包括指示信息Indication,则表示该拜访网络存在异常,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
还有,当UE在接收到下行NAS消息后,且该下行NAS消息中包括指示信息Indication,但该UE使用共享密钥Kcause不能解密Indication,这种情况也表示拜访网络存在异常,此时,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
上述技术方案中,在NAS SMC拒绝场景下,共享密钥的生成以及Cause的解密、指示信息Indication的生成都由UDM完成,在提高网络安全的同时使得在NAS SMC拒绝场景下对服务网络认证结果的及时清除或更新或者标识为无效的流程更加精简。
图10示出了本申请又一个实施例提供的认证结果更新的方法1100的示意性流程图。该方法1100包括步骤S1101至S1116,下面详细介绍这些步骤。
S1101,AUSF根据策略或配置,计算并保存共享密钥。
S1102,AUSF向AMF发送认证结果更新指示信息。
S1103,AMF向UE发送NAS安全模式命令消息。
步骤S1101至S1103与步骤S901至S903相同,具体说明可参见S901至S903,此处不再赘述。
S1104,UE向AMF发送NAS安全模式完成消息。
UE在接收到AMF发送的NAS安全模式命令后,向AMF发送安全模式完成消息NASSecurity Mode Complete消息,作为NAS Security Mode Command消息的响应,表示安全流程的完成。
S1105,UE发起去注册流程。
UE根据从AMF接收到的策略或指示信息,采用与AUSF相同的方式计算共享密钥Kcause,并根据Kcause对NAS SMC拒绝的原因值Cause和拜访网络的标识信息(例如,ServingPLMN ID)进行加密,并根据式(2)生成Secret。
应说明,本申请实施例中的Secret生成函数可以不限定于式(2)中的方法,只要使用共享秘钥对Cause和Serving PLMN ID进行保护即可,本申请实施例对此不作限定。
可选地,若认证结果更新的策略或者指示信息已加密,UE需要先解密,再根据策略或者指示信息执行以上S1105。
S1106,UE向AMF发送第一消息。
UE在发起去注册流程后,向AMF发送第一消息,其中,该第一消息为去注册请求消息,该消息中包括Secret。
例如,UE向AMF发送De-registration Request消息,可选地,该第一消息中携带第一指示信息,用于指示AMF需要对Cause进行解密,还用于指示是否需要将Secret发送该AUSF或UDM进行解密。
可选地,该请求去注册消息中可以携带一个用于指示需要对Cause解密的指示信息。例如,该指示信息可以是新定义的5G移动性管理原因(5G mobility managementcause,5GMM Cause),其本身就表示Cause需要解密。
在一些可能的实现方式中,该指示信息还可以为新定义的指示信息信元(information element,IE),或者为现有的IE中扩展加入该第一指示信息。
S1107,可选地,AMF判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到UE发送的去注册请求消息后,可以判断当前请求去注册的的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知,发起认证结果更新请求。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S1108,AMF向AUSF发送第一服务调用请求。
若S1107中判断当前请求去注册的NAS连接为最后一个激活的NAS连接,则AMF调用AUSF的服务通知AUSF发起认证结果更新请求。
或者,AMF直接根据去注册请求消息中的新原因值New Cause调用AUSF的服务通知,发起认证结果更新请求,同时将Secret发送给AUSF。
该第一服务调用请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的标识信息以及用户标识信息发送至AUSF,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务调用请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,UDM中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的Serving PLMN ID、SUPI发送至AUSF,可以根据Serving PLMNID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
可选地,该第一服务调用请求中还可以包括认证结果更新标识信息,例如False或者invalid或其它标识信息。
例如,AMF通过Nausf_UEAuthentication Result Update Request通知AUSF发起认证结果更新。其中,该服务是用来通知AUSF清除或者更新UDM中认证结果的服务或者将相应的服务网络的认证结果标识为无效invalid,本申请实施例对服务名称不作限定。
可选地,该第一服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S1109,AUSF用共享密钥解密第一加密信息。
AUSF接收AMF发送的认证结果更新请求,获取到该请求中包括的第一加密信息Secret。根据保存的共享密钥Kcause解密Secret,获取到拒绝原因值Cause和服务网络的标识信息(例如Serving PLMN ID)。
S1110,AUSF向UDM发送第二服务调用请求。
S1111,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
S1112,UDM向AUSF发送认证结果确认响应。
步骤S1110至S1112与步骤S209至S211相同,具体可参见S209至S211的说明,此处不再赘述。
S1113,AUSF计算指示信息。
AUSF接收到UDM发送的认证结果确认响应后,使用共享密钥Kcause根据式(3)计算一个指示信息Indication,其中,该指示信息Indication用于通知UE在UDM上认证结果更新的结果。
应说明,本申请实施例中的Indication生成函数可以不限定于式(3)中的方法,只要使用共享秘钥对AuthEvent Update result进行保护即可,本申请实施例对此不作限定。
S1114,AUSF向AMF发送认证结果更新响应。
AUSF在接收到UDM回复的服务调用响应后,根据式(3)计算指示信息Indication,并向AMF发送认证结果更新响应,表示认证结果更新情况。其中,该认证结果更新响应消息中包括指示信息Indication。
例如,AUSF向AMF发送Nausf_UEAuthentication Result Update Response,向AMF回复UDM中认证结果更新情况。
S1115,AMF向UE发送指示消息。
例如,AMF通过De-registration Response将指示信息Indication发送至UE。
S1116,UE判断拜访网络是否异常。
UE在接收到去注册响应消息后,若该去注册响应消息中包括指示信息Indication,且该UE可以使用共享密钥Kcause解密Indication,则表示该拜访网络不存在异常。
可选地,当该下行NAS消息中不包括指示信息Indication,则表示该拜访网络存在异常,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
还有,当UE在接收到下行NAS消息后,且该下行NAS消息中包括指示信息Indication,但该UE使用共享密钥Kcause不能解密Indication,这种情况也表示拜访网络存在异常,此时,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
本实施的方法可以保证UE主动发起的去注册流程中,相关的原因值可以不被拜访网络解析和篡改,同时UE根据归属网络下发的指示信息判断拜访网络是否存在恶意行为,比如,UE发起去注册流程,如果最终没有从网络侧接收到Indication,则判断拜访网络可能没有向归属网络上报相关原因值,归属网络没有更新认证结果;如果最终UE从网络侧接收到Indication无法解密,则判断拜访网络可能对indication进行了篡改,从而提高了网络安全。
图11示出了本申请又一个实施例提供的认证结果更新的方法1200的示意性流程图。该方法1200包括步骤S1201至S1215,下面详细介绍这些步骤。
S1201,UDM根据策略或配置,计算并保存共享密钥。
在认证流程完成之后,为了避免拜访网络恶意篡改认证信息更新的流程,UDM根据运营商的策略或者本地设置,按照式(1)计算共享密钥Kcause,该共享密钥用来保护UE与AUSF之间的参数。
S1202,UDM向AUSF发送认证结果更新指示信息。
UDM通过调用服务将UE在某些情况下需要发起认证结果更新的策略或者指示信息发送给AUSF,通知AUSF在什么情况下需要发起认证结果更新。
例如,UDM通过Nausf_UEAuthentication_Authenticate Get Response服务将通知UE在某些情况下需要认证结果更新的策略或指示信息发送给AUSF。
应说明,该服务可以为任何其他新定义的AUSF和UDM之间的服务,本申请实施例对此不作限定。
S1203,AUSF向AMF发送认证结果更新指示信息。
AUSF接收到UDM发送的认证结果更新指示信息后,通过调用服务向AMF发送该认证结果更新指示信息。
例如,AUSF通过Nausf_UEAuthentication_Authenticate Response服务将通知UE在某些情况下需要认证结果更新的策略或指示信息发送给AMF。
应说明,该服务可以为任何其他新定义的AUSF和AMF之间的服务,本申请实施例对此不作限定。
S1204,AMF向UE发送NAS安全模式命令消息。
S1205,UE向AMF发送NAS安全模式完成消息。
UE在接收到AMF发送的NAS安全模式命令后,向AMF发送安全模式完成消息NASSecurity Mode Complete消息,作为NAS Security Mode Command消息的响应,表示安全流程的完成。
S1206,UE发起去注册流程。
UE根据从AMF接收到的策略或指示信息,采用与UDM相同的方式计算共享密钥Kcause,并根据Kcause对NAS SMC拒绝的原因值Cause和拜访网络的标识信息(例如,ServingPLMN ID)进行加密,并根据式(2)生成Secret。
S1207,UE向AMF发送第一消息。
其中,该第一消息为去注册请求消息。例如,UE向AMF发送De-registrationRequest消息,该消息中包括Secret以及指示AMF需要将Secret发送给UDM的指示信息NewCause。
S1208,可选地,AMF判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。
AMF在接收到UE发送的去注册请求消息后,可以判断当前请求去注册的的NAS连接是否为最后一个激活的NAS连接,若是最后一个激活的NAS连接,则AMF调用AUSF的服务通知,发起认证结果更新请求。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
S1209,AMF向UDM发送第二服务调用请求。
若S1208中判断当前请求去注册的NAS连接为最后一个激活的NAS连接,则AMF调用UDM的服务通知UDM发起认证结果更新请求。
或者,AMF直接根据去注册请求消息中的New Cause调用UDM的服务通知,发起认证结果更新请求,同时将Secret发送给UDM。
该第二服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识以及可选的包括接入类型参数(例如3GPP接入和/或非3GPP接入)。UDM根据该第二服务调用请求中包括的Serving PLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并将认证结果更新为不成功或者将相应的服务网络的认证结果标识为无效invalid或者清除认证结果。
例如,AMF通过Nudm_UEAuthentication Result Update Request服务或者去注册服务通知UDM发起认证结果更新。其中,该服务是用来通知UDM清除或者更新UDM中认证结果的服务或者将相应的服务网络的认证结果标识为无效invalid,本申请实施例对服务名称不作限定。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
S1210,UDM用共享密钥解密第一加密信息。
UDM接收AMF发送的认证结果更新请求,获取到该请求中包括的第一加密信息Secret。根据保存的共享密钥Kcause解密Secret,获取到拒绝原因值Cause和服务网络的标识信息(例如Serving PLMN ID)。
S1211,UDM清除保存的认证结果,或者更新保存的认证结果为不成功的标识信息或者将相应的服务网络的认证结果标识为无效invalid。
例如,UDM根据AMF发送的服务请求中的Serving PLMN ID和SUPI清除相应的服务网络的认证结果,或者将相应的服务网络的认证结果标识为无效invalid,或者将认证结果更新为表示不成功的其他任意值,本申请实施例对此不作限定。
可选地,UDM根据AMF发送的服务请求中的认证结果更新标识执行清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid。例如,根据False执行清除或者更新认证结果。
可选地,UDM还可以直接根据服务名称确定需要清除或者更新认证结果的服务网络。
可选地,UDM判断第二服务调用请求中的接入类型对应的用户上下文,是否为该用户SUPI在相应服务网络Serving PLMN ID的最后一个用户上下文。
例如,UDM在接收到第二服务调用请求后,根据其中的Serving PLMN ID、SUPI,查找对应的用户上下文,例如得到(SUPI,Serving PLMN ID,3GPP接入,用户上下文)和/或(SUPI,Serving PLMN ID,非3GPP接入,用户上下文),再根据接入类型参数判断找到的用户上下文是否为最后一个用户上下文;若是最后一个用户上下文,则UDM确定需要清除或者更新认证结果的服务网络或者将相应的服务网络的认证结果标识为无效invalid。
可选地,如果该第二服务调用请求中还包括时间戳timestamp信息,UDM可以保存timestamp用来记录认证结果更新的时间。
S1212,UDM计算指示信息。
UDM使用共享密钥Kcause根据式(3)计算一个指示信息Indication,其中,该指示信息Indication用于通知UE在UDM上认证结果更新的结果。
应说明,本申请实施例中的Indication生成函数可以不限定于式(3)中的方法,只要使用共享秘钥对AuthEvent Update result进行保护即可,本申请实施例对此不作限定。
S1213,UDM向AMF发送认证结果更新响应。
UDM更新完保存的认证结果后,向AMF发送认证结果更新响应,表示认证结果更新情况。其中,该认证结果更新响应消息中包括指示信息Indication。
例如,UDM向AMF发送Nudm_UEAuthentication_Result Update Response,向AMF回复UDM中认证结果更新情况。
S1214,AMF向UE发送指示信息。
例如,AMF通过De-registration Response将指示信息Indication发送至UE。
S1215,UE判断拜访网络是否异常。
UE在接收到去注册响应消息后,若该去注册响应消息中包括指示信息Indication,且该UE可以使用共享密钥Kcause解密Indication,则表示该拜访网络不存在异常。
可选地,当该下行NAS消息中不包括指示信息Indication,则表示该拜访网络存在异常,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
还有,当UE在接收到下行NAS消息后,且该下行NAS消息中包括指示信息Indication,但该UE使用共享密钥Kcause不能解密Indication,这种情况也表示拜访网络存在异常,此时,UE立即中断当前的流程,并向归属网络上报异常、UE本地记录异常情况或向用户发起警告等,但本申请实施例对相关处理不作限定。
上述技术方案在UE主动发起去注册流程的场景下,共享密钥的生成以及Cause的解密、指示信息Indication的生成都由UDM完成,在提高网络安全的同时使得在去注册场景下对服务网络认证结果的及时清除或更新的流程更加精简。
还应理解,上述只是为了帮助本领域技术人员更好地理解本申请实施例,而非要限制本申请实施例的范围。本领域技术人员根据所给出的上述示例,显然可以进行各种等价的修改或变化。或者上述任意两种或者任意多种实施例的组合。这样的修改、变化或者组合后的方案也落入本申请实施例的范围内。
还应理解,上文对本申请实施例的描述着重于强调各个实施例之间的不同之处,未提到的相同或相似之处可以互相参考,为了简洁,这里不再赘述。
还应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
还应理解,在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
上文详细介绍了本申请提供的数据传输的方法示例。可以理解的是,通信装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
下面将介绍本申请提供的通信装置。
图12是本申请一个实施例提供的通信装置1300的示意图。应理解,图12示出的通信装置1300仅是示例,本申请实施例的通信装置1300还可以包括其他模块或单元,或者包括与图12中的各个模块的功能相似的模块,或者并非要包括图12中所有模块。如图12所示,通信装置1300包括收发单元1310、处理单元1320。
在一些可能的实现方式中,该通信装置1300可以是AMF。
处理单元1320,用于确定需要更新终端设备在第一服务网络的认证结果。
收发单元1310,用于向认证服务器发送第一服务调用请求,该第一服务调用请求用于请求更新统一数据管理设备中保存的认证结果
本申请实施例的核心接入与移动管理功能设备在确定需要更新终端设备的认证结果后,向认证服务器发送第一服务调用请求,该第一服务调用请求用于请求更新统一数据管理设备中保存的认证结果。实现了对服务网络认证结果的及时清除或更新或者标识为无效,有效防止拜访网络欺诈和DoS攻击,从而提高网络安全性。
可选地,该处理单元1320还用于当接收到来自该终端设备的安全模式拒绝消息时,确定需要更新该终端设备在该第一服务网络的认证结果。
UE在验证NAS SMC消息失败后,向AMF发送第一消息,其中,第一消息为NAS安全模式拒绝消息。
可选地,该安全模式拒绝消息包括认证结果更新指示信息,该安全模式拒绝消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
可选地,UE在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则UE在该NAS安全模式拒绝消息中携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
可选地,该处理单元1320还用于当接收到来自该终端设备的去注册请求消息时,确定需要更新该终端设备在该第一服务网络的认证结果。
在UE发起去注册流程后,UE向AMF发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
可选地,当AMF发起显示去注册时,该收发单元1310还用于向终端设备发送去注册请求消息。
可选地,该收发单元1310还用于接收来自终端设备的去注册请求消息,其中该去注册请求消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新所述终端设备在第一服务网络的认证结果。
例如,UE在发起去注册流程时,还可以判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。若当前请求去注册的NAS连接为最后一个激活的NAS连接,则在S505中,UE发送给AMF的去注册请求消息中携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
可选地,该第一服务调用请求消息包括服务网络的标识信息和用户的标识信息。
该第一服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的标识信息以及用户标识信息发送至AUSF,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,UDM中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的Serving PLMN ID、SUPI发送至AUSF,可以根据Serving PLMNID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
上述技术方案中,在NAS SMC拒绝场景或去注册场景下,通过AMF调用AUSF的服务,以及AUSF调用UDM的服务的方式,通知UDM清除或者更新某一服务网络对应的认证结果。实现了对服务网络认证结果的及时清除或更新或者标识为无效,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
或者,AMF直接向UDM发送第二服务调用请求,在有效防止拜访网络欺诈和DoS攻击的同时使得对服务网络认证结果的及时清除或更新或者标识为无效的流程更加精简。
如图13所示为本申请一个实施例提供的通信装置1400,用于实现上述方法中AMF的功能。其中,该通信装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。通信装置1400包括处理器1420,用于实现本申请实施例提供的方法中AMF的功能。
通信装置1400还可以包括存储器1430,用于存储程序指令和/或数据。存储器1430和处理器1420耦合。处理器1420可能和存储器1430协同操作。处理器1420可能执行存储器1430中存储的程序指令。
通信装置1400还可以包括收发器1410(可以替换为接收器和发射器,由接收器实现接收的功能),用于通过传输介质和其它设备进行通信,从而用于通信装置1400中的装置可以和其它设备进行通信。处理器1420利用收发器1410收发信令,并用于实现本申请方法实施例中AMF所执行的方法。
本申请实施例中不限定上述收发器1410、处理器1420以及存储器1430之间的具体连接介质。本申请实施例在图13中以存储器1430、处理器1420以及收发器1410之间通过总线1440连接,总线在图13中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图13中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图14是本申请另一个实施例提供的通信装置1500的示意性框图。应理解,图14示出的通信装置1500仅是示例,本申请实施例的通信装置1500还可以包括其他模块或单元,或者包括与图14中的各个模块的功能相似的模块,或者并非要包括图14中所有模块。如图14所示,该通信装置1500包收发单元1510、处理单元1520。
在一些可能的实现方式中,该通信装置1500可以是UDM。
收发单元1510,用于接收第二服务调用请求,其中,该第二服务调用请求用于更新统一数据管理设备中保存的认证结果。
处理单元1520,用于根据该第二服务调用请求更新该统一数据管理设备中保存的认证结果。
上述技术方案在认证完成后的流程中,通过调用UDM服务,通知UDM清除或者更新认证结果或者将相应的服务网络的认证结果标识为无效invalid,从而实现了对服务网络认证结果的及时清除或更新,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
可选地,该第二服务调用请求包括服务网络的标识信息、用户的标识信息和可选地包括认证失败标识信息以及可选的包括接入类型参数。
由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识以及可选的包括接入类型参数。UDM根据该第二服务调用请求中包括的ServingPLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并将认证结果更新为不成功或者将相应的服务网络的认证结果标识为无效invalid或者清除认证结果。
可选地,该第二服务调用请求也可以是现有的通过UDM接口发送的终端设备的认证结果确认(Nudm_UEAuthentuication_Result Conformation)服务或者去注册服务,该认证结果更新标识可以为False或者invalid或其他表示不成功的值,本申请实施例对此并不作限定。
可选地,收发单元1510还用于接收AMF发送的第二服务调用请求消息。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
AMF直接向UDM发送第二服务调用请求,在有效防止拜访网络欺诈和DoS攻击的同时使得对服务网络认证结果的及时清除或更新的流程更加精简。
可选地,处理单元1520还用于根据服务网络的标识信息和用户的标识信息清除相应的认证结果;或根据认证失败标识信息将统一数据管理设备中保存的认证结果更新为认证失败,或者将相应的服务网络的认证结果标识为无效invalid。
如图15所示为本申请一个实施例提供的通信装置1600,用于实现上述方法中UDM的功能。其中,该通信装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。通信装置1600包括处理器1620,用于实现本申请实施例提供的方法中核心网用户面设备的功能。
通信装置1600还可以包括存储器1630,用于存储程序指令和/或数据。存储器1630和处理器1620耦合。处理器1620可能和存储器1630协同操作。处理器1620可能执行存储器1630中存储的程序指令。
通信装置1600还可以包括收发器1610(可以替换为接收器和发射器,由接收器实现接收的功能),用于通过传输介质和其它设备进行通信,从而用于通信装置1600中的装置可以和其它设备进行通信。处理器1620利用收发器1610收发信令,并用于实现本申请方法实施例中核心网用户面设备所执行的方法。
本申请实施例中不限定上述收发器1610、处理器1620以及存储器1630之间的具体连接介质。本申请实施例在图15中以存储器1630、处理器1620以及收发器1610之间通过总线1640连接,总线在图15中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图16是本申请另一个实施例提供的通信装置1700的示意性框图。应理解,图16示出的通信装置1700仅是示例,本申请实施例的通信装置1700还可以包括其他模块或单元,或者包括与图16中的各个模块的功能相似的模块,或者并非要包括图16中所有模块。如图16所示,该通信装置1700包收发单元1710。
在一些可能的实现方式中,该通信装置1700可以是AUSF。
收发单元1710,用于接收核心接入与移动管理功能设备发送的第一服务调用请求,该第一服务调用请求用于请求鉴权服务器功能设备AUSF发起认证结果更新。
收发单元1710还用于向统一数据管理设备发送第二服务调用请求,该第二服务调用请求用于请求更新统一数据管理设备中保存的认证结果。
上述技术方案在认证完成后的流程中,AMF向AUSF发送第一服务服务,AUSF向UDM发送第二服务调用请求,通知UDM清除或者更新认证结果或者将认证结果标识为无效,从而实现了对服务网络认证结果的及时清除或更新,有效防止拜访网络欺诈和DoS攻击,提高网络安全性。
可选地,第一服务调用请求包括服务网络的标识信息和用户的标识信息。
该第一服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的标识信息以及用户标识信息发送至AUSF,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第一服务请求中包括Serving PLMN ID和SUPI。由于认证流程完成之后,UDM中保存了Serving PLMN ID、SUPI以及认证结果等信息,在需要对认证结果进行更新时,AMF需要将相应服务网络的Serving PLMN ID、SUPI发送至AUSF,可以根据Serving PLMNID、SUPI确定需要更新认证结果的服务网络。
应理解,本申请实施例中,服务网络的标识信息以及用户标识信息并不仅仅限制于Serving PLMN ID与SUPI,只要能够唯一标识服务网络以及用户即可。
可选地,该第一服务调用请求中还可以包括认证结果更新标识信息,例如False或者其它标识信息。
可选地,该第一服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
可选地,第二服务调用请求包括服务网络的标识信息、用户的标识信息和可选的包括认证失败标识信息。
AUSF接收到AMF发送的认证结果更新请求后,向UDM发送第二服务调用请求,调用UDM服务,该第二服务调用请求是用来通知UDM清除或者更新保存认证结果的服务或者将相应的服务网络的认证结果标识为无效invalid,本申请实施例对服务名称并不做限定。
该第二服务请求中包括服务网络的标识信息和用户标识信息。由于认证流程完成之后,UDM中保存了服务网络的标识信息、用户标识信息以及认证结果等信息,在需要对认证结果进行更新时,AMF或AUSF需要将相应服务网络的标识信息以及用户标识信息发送至UDM,可以根据服务网络的标识信息、用户标识信息确定需要更新认证结果的服务网络和用户。
例如,该第二服务调用请求中包括Serving PLMN ID、SUPI以及可选地包括认证结果更新标识。UDM根据该第二服务调用请求中包括的Serving PLMN ID、SUPI在保存的认证结果中查找需要更新认证结果的相应服务网络和用户,并将认证结果更新为不成功或者将相应的服务网络的认证结果标识为无效invalid或者清除认证结果。
可选地,该第二服务调用请求也可以是现有的通过UDM接口发送的终端设备的认证结果确认(Nudm_UEAuthentuication_Result Conformation)服务,该认证结果更新标识可以为False或者其他表示不成功的值,本申请实施例对此并不作限定。
可选地,该第二服务调用请求中还可以包括时间戳timestamp信息,该信息用来1、防重放2、UDM可以用timestamp来记录认证结果更新的时间。
如图17所示为本申请一个实施例提供的通信装置1800,用于实现上述方法中AUSF的功能。其中,该通信装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
通信装置1800还可以包括存储器1830,用于存储程序指令和/或数据。
通信装置1800还可以包括收发器1810(可以替换为接收器和发射器,由接收器实现接收的功能),用于通过传输介质和其它设备进行通信,从而用于通信装置1800中的装置可以和其它设备进行通信。
本申请实施例中不限定上述收发器1810以及存储器1830之间的具体连接介质。本申请实施例在图17中以存储器1830以及收发器1810之间通过总线1840连接,总线在图17中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图17中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图18是本申请另一个实施例提供的通信装置1900的示意性框图。应理解,图18示出的通信装置1900仅是示例,本申请实施例的通信装置1900还可以包括其他模块或单元,或者包括与图18中的各个模块的功能相似的模块,或者并非要包括图18中所有模块。如图18所示,该通信装置1900包收发单元1910和处理单元1920。
在一些可能的实现方式中,该通信装置1900可以是UE。
处理单元1920,用于确定需要更新终端设备在第一服务网络的认证结果。
收发单元1910,用于向第一服务网络中的核心接入与移动管理功能设备发送第一消息,该第一消息用于指示更新统一数据管理设备中保存的认证结果。
上述技术方案中,在认证流程完成后的某些场景中(例如,去注册场景或者NASSMC拒绝场景),终端设备在确定需要更新终端设备在某一公共陆地移动网络PLMN的认证结果后,向AMF发送第一消息,该第一消息用于指示指示更新UDM中保存的认证结果,从而实现有效防止拜访网络欺诈和拒绝服务(denial of service,DoS)攻击,提高网络安全性。
可选地,收发单元1910还用于向AMF发送安全模式拒绝消息。
UE在验证NAS SMC消息失败后,向AMF发送第一消息,其中,第一消息为NAS安全模式拒绝消息。
可选地,安全模式拒绝消息包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
可选地,UE在验证NAS SMC消息失败后,还可以判断当前拒绝的NAS连接是否为最后一个激活的NAS连接。若当前拒绝的NAS连接为最后一个激活的NAS连接,则UE在该NAS安全模式拒绝消息中携带一个认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前拒绝的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
可选地,收发单元1910还用于向AMF发送去注册请求消息。
在UE发起去注册流程后,UE向AMF发送第一消息,其中,该第一消息为去注册请求消息,例如,De-registration Request。
可选地,收发单元1910还用于接收AMF发送的去注册请求消息。
当AMF发起显示去注册时,该收发单元1910还用于接收AMF发送的去注册请求消息。
可选地,收发单元1910还用于向AMF发送去注册请求消息,该去注册请求消息可选地包括认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
可选地,UE在发起去注册流程时,还可以判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接。若当前请求去注册的NAS连接为最后一个激活的NAS连接,则在S505中,UE发送给AMF的去注册请求消息中携带认证结果更新指示信息,该认证结果更新指示信息用于指示需要更新该终端设备在第一服务网络的认证结果。
或者,在一些特殊场景中(例如,终端设备关机),在这些场景中,已经表示当前UE与网络没有信令交互和业务数据传输,因此,UE可以在发送给AMF的第一消息中可选地直接携带认证结果更新指示信息,而不需要再判断当前请求去注册的NAS连接是否为最后一个激活的NAS连接,AMF根据该认证结果更新指示信息更新终端设备在第一服务网络的认证结果。
如图19所示为本申请一个实施例提供的通信装置2000,用于实现上述方法中终端设备的功能。其中,该通信装置可以为芯片系统。本申请实施例中,芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。通信装置2000包括处理器2020,用于实现本申请实施例提供的方法中终端设备的功能。
通信装置2000还可以包括存储器2030,用于存储程序指令和/或数据。存储器2030和处理器2020耦合。处理器2020可能和存储器2030协同操作。处理器2020可能执行存储器2030中存储的程序指令。
通信装置2000还可以包括收发器2010(可以替换为接收器和发射器,由接收器实现接收的功能),用于通过传输介质和其它设备进行通信,从而用于通信装置2000中的装置可以和其它设备进行通信。处理器2020利用收发器2010收发信令,并用于实现本申请方法实施例中核心网用户面设备所执行的方法。
本申请实施例中不限定上述收发器2010、处理器2020以及存储器2030之间的具体连接介质。本申请实施例在图19中以存储器2030、处理器2020以及收发器2010之间通过总线2040连接,总线在图19中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图19中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例还提供了一种通信系统,其包括前述的网络设备和一个或多个终端设备。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图2至图11所示的方法中AMF执行的各个步骤。
本申请还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得计算机执行上述如图2至图11所示的方法中UDM执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图2至图11所示的方法中AUSF执行的各个步骤。
本申请还提供了一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行如图2至图11所示的方法中UE执行的各个步骤。
本申请还提供了一种芯片,包括处理器。该处理器用于读取并运行存储器中存储的计算机程序,以执行本申请提供的通信方法中由AMF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供了一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的通信方法中由UDM执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供了一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的通信方法中由AUSF执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
本申请还提供了一种芯片,包括处理器。该处理器用于调用并运行存储器中存储的计算机程序,以执行本申请提供的通信方法中由UE执行的相应操作和/或流程。可选地,该芯片还包括存储器,该存储器与该处理器通过电路或电线与存储器连接,处理器用于读取并执行该存储器中的计算机程序。进一步可选地,该芯片还包括通信接口,处理器与该通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从该通信接口获取该数据和/或信息,并对该数据和/或信息进行处理。该通信接口可以是输入输出接口。
以上各实施例中,处理器可以为中央处理器(central processing unit,CPU)、微处理器、特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请技术方案程序执行的集成电路等。例如,处理器可以是数字信号处理器设备、微处理器设备、模数转换器、数模转换器等。处理器可以根据这些设备各自的功能而在这些设备之间分配终端设备或网络设备的控制和信号处理的功能。此外,处理器可以具有操作一个或多个软件程序的功能,软件程序可以存储在存储器中。处理器的所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
存储器可以是只读存储器(read-only memory,ROM)、可存储静态信息和指令的其它类型的静态存储设备、随机存取存储器(random access memory,RAM)或可存储信息和指令的其它类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备,或者还可以是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质等。
可选的,上述实施例中涉及的存储器与存储器可以是物理上相互独立的单元,或者,存储器也可以和处理器集成在一起。
本申请实施例中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达,是指的这些项中的任意组合,包括单项或复数项的任意组合。例如,a,b和c中的至少一项可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
本领域普通技术人员可以意识到,本文中公开的实施例中描述的各单元及算法步骤,能够以电子硬件、计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元也可以不是物理上分开的,作为单元显示的部件也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请技术方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。本申请的保护范围应以所述权利要求的保护范围为准。

Claims (20)

1.一种认证结果更新的方法,其特征在于,包括:
在对终端设备的认证流程完成之后,在非接入层安全模式控制NAS SMC拒绝场景或所述终端设备去注册场景下,确定需要清除认证结果,所述认证结果对应于所述终端设备和所述终端设备所在的第一服务网络;
向鉴权服务功能设备发送第一服务调用请求,所述第一服务调用请求用于请求清除统一数据管理设备中保存的所述认证结果。
2.根据权利要求1所述的方法,其特征在于,在非接入层安全模式控制NAS SMC拒绝场景下,所述确定需要清除认证结果,包括:
当接收到来自所述终端设备的安全模式拒绝消息时,确定需要清除所述认证结果。
3.根据权利要求2所述的方法,其特征在于,所述安全模式拒绝消息包括认证结果清除指示信息,所述认证结果清除指示信息用于指示需要清除所述认证结果。
4.根据权利要求1所述的方法,其特征在于,在终端设备去注册场景下,所述确定需要清除认证结果,包括:
当接收到来自所述终端设备的去注册请求消息或接入与移动管理功能设备发起去注册流程时,确定需要清除所述认证结果。
5.根据权利要求4所述的方法,其特征在于,所述确定需要清除认证结果,包括:
当接收到来自所述终端设备的去注册请求消息时,判断所述终端设备在所述第一服务网络是否只有一个激活的非接入层NAS连接;
若所述终端设备在所述第一服务网络只有一个激活的NAS连接,则确定需要清除所述认证结果。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一服务调用请求包括服务网络的标识信息和用户的标识信息。
7.根据权利要求1至5中任一项所述的方法,其特征在于,所述方法的执行主体为接入与移动管理功能设备。
8.一种认证结果更新的方法,其特征在于,包括:
接收来自鉴权服务功能设备的认证结果确认请求,所述认证结果确认请求包括服务网络的标识信息、用户的标识信息以及认证结果;
接收来自所述鉴权服务功能设备的第二服务调用请求,所述第二服务调用请求用于请求清除统一数据管理设备中保存的认证结果,所述第二服务调用请求包括所述服务网络的标识信息和所述用户的标识信息;
根据所述第二服务调用请求清除与所述服务网络的标识信息和所述用户的标识信息对应的认证结果。
9.根据权利要求8所述的方法,其特征在于,所述第二服务调用请求包括接入类型;
所述根据所述第二服务调用请求清除所述统一数据管理设备中保存的认证结果之前,所述方法还包括:
判断所述接入类型对应的用户上下文是否为目标安全上下文,其中,所述目标安全上下文是与所述服务网络的标识信息和用户的标识信息对应的最后一个用户上下文;
所述根据所述第二服务调用请求清除所述统一数据管理设备中保存的认证结果,包括:
若所述接入类型对应的用户上下文是所述目标安全上下文,则所述根据所述第二服务调用请求清除所述统一数据管理设备中保存的认证结果。
10.根据权利要求8或9所述的方法,其特征在于,所述方法的执行主体为所述统一数据管理设备。
11.根据权利要求8或9任一项所述的方法,其特征在于,接收来自鉴权服务功能设备的第二服务调用请求之前,所述方法还包括:
接收来自所述鉴权服务功能设备的认证结果确认请求;
向所述鉴权服务功能设备发送认证结果确认响应,所述认证结果确认响应表示所述统一数据管理设备保存认证结果的情况。
12.一种认证结果更新的方法,其特征在于,包括:
向统一数据管理设备发送认证结果确认请求,所述认证结果确认请求包括服务网络的标识信息、用户的标识信息以及认证结果;
接收来自接入与移动管理功能设备的第一服务调用请求,所述第一服务调用请求用于请求鉴权服务功能设备发起认证结果清除;
向所述统一数据管理设备发送第二服务调用请求,所述第二服务调用请求用于请求清除所述统一数据管理设备中保存的与所述服务网络的标识信息和所述用户的标识信息对应的认证结果,所述第二服务调用请求包括服务网络的标识信息和用户的标识信息。
13.根据权利要求12所述的方法,其特征在于,所述第一服务调用请求包括服务网络的标识信息和用户的标识信息。
14.根据权利要求12或13所述的方法,其特征在于,所述方法的执行主体为鉴权服务功能设备。
15.根据权利要求12或13任一项所述的方法,其特征在于,接收接入与移动管理功能设备发送的第一服务调用请求之前,所述方法还包括:
接收来自所述统一数据管理设备的认证结果确认响应,所述认证结果确认响应表示所述统一数据管理设备保存认证结果的情况。
16.一种通信装置,其特征在于,包括处理器和存储器;所述处理器,用于执行所述存储器中存储的程序指令,使得所述通信装置实现如权利要求1至7中任一项所述的方法。
17.一种通信装置,其特征在于,包括处理器和存储器;所述处理器,用于执行所述存储器中存储的程序指令,使得所述通信装置实现如权利要求8至11中任一项所述的方法。
18.一种通信装置,其特征在于,包括收发器和存储器;所述存储器,用于存储程序指令;所述收发器与所述存储器连接,用于通过传输介质和其它设备进行通信,使得所述通信装置实现如权利要求12至15中任一项所述的方法。
19.一种通信系统,其特征在于,包括执行如权利要求1至7中任一项所述的方法的装置、执行如权利要求8至11中任一项所述的方法的装置或执行如权利要求12至15中任一项所述的方法的装置中的多个。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机指令,当所述计算机指令被计算机执行时,使得所述计算机执行权利要求1-15中任一项所述的方法。
CN201910354210.3A 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置 Active CN111641949B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202210592611.4A CN114928842A (zh) 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置
PCT/CN2020/074250 WO2020177502A1 (zh) 2019-03-01 2020-02-04 一种认证结果更新的方法和通信装置
EP20765946.7A EP3934298B1 (en) 2019-03-01 2020-02-04 Method for updating authentication result and communication apparatus
EP23166837.7A EP4304229A3 (en) 2019-03-01 2020-02-04 Method for updating authentication result and communication apparatus
US17/464,104 US20210400482A1 (en) 2019-03-01 2021-09-01 Authentication Result Update Method and Communications Apparatus

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201910157246 2019-03-01
CN2019101572462 2019-03-01

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202210592611.4A Division CN114928842A (zh) 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置

Publications (2)

Publication Number Publication Date
CN111641949A CN111641949A (zh) 2020-09-08
CN111641949B true CN111641949B (zh) 2022-05-31

Family

ID=72330605

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201910354210.3A Active CN111641949B (zh) 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置
CN202210592611.4A Pending CN114928842A (zh) 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202210592611.4A Pending CN114928842A (zh) 2019-03-01 2019-04-29 一种认证结果更新的方法和通信装置

Country Status (4)

Country Link
US (1) US20210400482A1 (zh)
EP (2) EP4304229A3 (zh)
CN (2) CN111641949B (zh)
WO (1) WO2020177502A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113784351B (zh) * 2020-06-10 2024-03-01 华为技术有限公司 切片服务验证方法、实体及设备
CN116235462A (zh) * 2020-09-30 2023-06-06 中兴通讯股份有限公司 用于防止加密的用户身份受到重放攻击的方法
CN115699672A (zh) * 2020-09-30 2023-02-03 中兴通讯股份有限公司 防止加密用户身份受到重放攻击的方法
CN114338777B (zh) * 2021-12-22 2024-04-09 迈普通信技术股份有限公司 一种逃生控制方法及装置
WO2023197272A1 (zh) * 2022-04-14 2023-10-19 北京小米移动软件有限公司 认证方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018199668A1 (ko) * 2017-04-27 2018-11-01 엘지전자 주식회사 무선 통신 시스템에서 udm이 amf의 등록에 관련된 절차를 수행하는 방법 및 이를 위한 장치

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1801706B (zh) * 2005-01-07 2010-04-28 华为技术有限公司 一种ip多媒体子系统网络鉴权系统及方法
CN101998408B (zh) * 2009-08-27 2014-12-31 中兴通讯股份有限公司 一种防止复制卡盗用业务功能的方法及系统
JP5523208B2 (ja) * 2010-06-07 2014-06-18 キヤノン株式会社 サーバ装置、その制御方法、及びプログラム
CN102111272B (zh) * 2010-12-24 2014-04-09 武汉天喻信息产业股份有限公司 移动终端对外部设备进行认证的方法
JP6460760B2 (ja) * 2014-12-03 2019-01-30 キヤノン株式会社 情報処理システム、情報処理装置、情報処理装置の制御方法及びプログラム
KR101675728B1 (ko) * 2015-01-05 2016-11-14 주식회사 슈프리마 정보처리기기를 이용한 사용자 인증 처리 방법 및 장치
WO2018202284A1 (en) * 2017-05-03 2018-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Authorizing access to user data
CN107040928B (zh) * 2017-06-12 2019-08-09 迈普通信技术股份有限公司 非法wifi检测方法、终端、aaa服务器和系统
WO2019011751A1 (en) * 2017-07-14 2019-01-17 Telefonaktiebolaget Lm Ericsson (Publ) AUTHENTICATION CONTROL IN A HOME NETWORK
JP7035163B2 (ja) * 2017-07-20 2022-03-14 ホアウェイ インターナショナル ピーティーイー. リミテッド ネットワークセキュリティ管理方法および装置
CN109041057B (zh) * 2018-08-08 2021-06-08 兴唐通信科技有限公司 一种基于5g aka的核心网网元间鉴权流程安全性增强方法
CN108683690B (zh) * 2018-08-27 2021-11-02 创新维度科技(北京)有限公司 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质
KR20200038808A (ko) * 2018-10-04 2020-04-14 삼성전자주식회사 무선 통신 시스템에서 그룹 통신을 제공하는 방법 및 장치
WO2020160178A1 (en) * 2019-01-29 2020-08-06 Apple Inc. V2x ue with different pc5 rat capability in 5gs

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018199668A1 (ko) * 2017-04-27 2018-11-01 엘지전자 주식회사 무선 통신 시스템에서 udm이 amf의 등록에 관련된 절차를 수행하는 방법 및 이를 위한 장치

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"S3-180815-AVs".《3GPP tsg_sa\WG3_Security》.2018, *
S2-188530 "Storing FQDN for S5/S8 interface of the PGW-C+SMF in UDM";Ericsson等;《3GPP tsg_sa\wg2_arch》;20180823;第2-3页 *

Also Published As

Publication number Publication date
EP3934298B1 (en) 2023-05-03
WO2020177502A1 (zh) 2020-09-10
US20210400482A1 (en) 2021-12-23
EP3934298A4 (en) 2022-04-20
EP3934298A1 (en) 2022-01-05
EP4304229A3 (en) 2024-03-27
EP4304229A2 (en) 2024-01-10
CN111641949A (zh) 2020-09-08
CN114928842A (zh) 2022-08-19

Similar Documents

Publication Publication Date Title
CN111641949B (zh) 一种认证结果更新的方法和通信装置
EP3659315B1 (en) Privacy key and message authentication code
CN110881184B (zh) 通信方法和装置
EP2293515B1 (en) Method, network element, and mobile station for negotiating encryption algorithms
CN101772021B (zh) 无线通讯系统处理保密设定的方法及其相关通讯装置
CN109922474B (zh) 触发网络鉴权的方法及相关设备
CN109716810A (zh) 授权验证方法和装置
JP7139420B2 (ja) 電気通信ネットワークの物理的要素又は仮想要素にセキュリティエレメントに格納されている暗号化されたサブスクリプション識別子を送信する方法、対応するセキュリティエレメント、物理的要素又は仮想要素及びこのセキュリティエレメントと協働する端末
CN111264071B (zh) 安全性建立方法、终端装置及网络装置
CN112218287B (zh) 一种通信方法及装置
CN113596831B (zh) 一种切片认证中标识用户设备的通信方法和通信设备
WO2017143521A1 (zh) 一种安全通信方法及核心网节点
CN102970678A (zh) 加密算法协商方法、网元及移动台
CN111866870B (zh) 密钥的管理方法和装置
TW201027961A (en) Method of handling inter-system handover security and related communication device
CN112788598A (zh) 一种保护认证流程中参数的方法及装置
CN116567590A (zh) 授权方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant