CN111654861B - 一种认证方法、装置、设备及计算机可读存储介质 - Google Patents

一种认证方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN111654861B
CN111654861B CN201910161106.2A CN201910161106A CN111654861B CN 111654861 B CN111654861 B CN 111654861B CN 201910161106 A CN201910161106 A CN 201910161106A CN 111654861 B CN111654861 B CN 111654861B
Authority
CN
China
Prior art keywords
authentication
terminal
key
akma
sent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910161106.2A
Other languages
English (en)
Other versions
CN111654861A (zh
Inventor
黄晓婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN201910161106.2A priority Critical patent/CN111654861B/zh
Publication of CN111654861A publication Critical patent/CN111654861A/zh
Application granted granted Critical
Publication of CN111654861B publication Critical patent/CN111654861B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明公开了一种认证方法、装置、设备及计算机可读存储介质,涉及通信技术领域,以解决现有的认证流程复杂而造成的信令资源浪费的问题。该方法包括:在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果。本发明实施例可节约信令资源。

Description

一种认证方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种认证方法、装置、设备及计算机可读存储介质。
背景技术
5G网络的一大特点是能力开放,即利用运营商网络的优势及能力为垂直行业提供开放的服务供其调用,由NEF(Network Exposure Function,网络开放功能)以开放的API(Application Programming Interface,应用编程接口)方式提供给垂直行业应用开发者,应用开发者可在业务逻辑中按需调用。
网络对用户的认证,是运营商网络提供的基础能力,能够将认证结果和进一步的会话密钥开放给第三方应用。其中,3GPP(3rd Generation Partnership Project,第三代合作伙伴计划)定义的GBA(Generic Bootstrapping Architecture,通用引导架构)即可实现实现运营商网络开放认证能力给上层应用。GBA利用AKA(Authentication and KeyAgreement,认证与秘钥协商)的认证结果,为应用层提供身份认证及应用所需的会话密钥。
但是,现有的GBA中认证流程较为复杂,从而造成了信令资源的浪费。
发明内容
本发明实施例提供一种认证方法、装置、设备及计算机可读存储介质,以解决现有的认证流程复杂而造成的信令资源浪费的问题。
第一方面,本发明实施例提供了一种认证方法,应用于AAuF(AKMA(Authentication and Key Management for Applications,应用层认证和密钥管理)Authentication Function,AKMA认证功能),其特征在于,包括:
在接收到AMF(Access and Mobility Management Function,接入和移动管理功能)发送的第一认证请求的情况下,从AUSF(Authentication Server Function,鉴权服务功能)获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
其中,所述从鉴权服务功能AUSF获取终端的认证结果,包括:
向所述AUSF发送第二认证请求;
接收所述AUSF发送的第二认证响应。
其中,在所述接收所述AUSF发送的第二认证响应之后,所述方法还包括:
在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;
生成临时业务标识,并确定所述会话密钥的密钥周期;
向所述AMF发送所述临时业务标识和所述密钥周期。
其中,在所述向所述AMF发送所述临时业务标识和所述密钥周期之后,所述方法还包括:
向AApF(AKMA Application Function,AKMA应用功能)发送所述会话密钥和所述密钥周期。
其中,所述向AKMA应用功能AApF发送所述会话密钥和所述密钥周期,包括:
接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;
根据所述临时业务标识,向所述AApF发送所述目标临时业务标识对应的会话密钥和密钥周期。
第二方面,本发明实施例提供了一种认证方法,应用于AApF,包括:
在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
其中,所述方法还包括:
从AAuF获取所述终端对应的会话密钥和密钥周期。
其中,所述从AAuF获取所述终端对应的会话密钥和密钥周期,包括:
向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;
接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
第三方面,本发明实施例提供了一种认证方法,应用于终端,包括:
在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;
接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
其中,所述认证请求通过NAS(Non Access Stratum,非接入层)上行信令发送,所述认证响应通过NAS下行信令发送。
其中,在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;所述方法还包括:
推衍会话密钥;
向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
第四方面,本发明实施例提供了一种认证方法,应用于AMF,包括:
接收终端发送的AKMA认证请求;
根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;
接收所述AAuF发送的第一认证响应;
根据所述第一认证响应,向所述终端发送AKMA认证响应。
其中,所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
其中,所述接收终端发送的AKMA认证请求,包括:
接收所述终端通过NAS上行信令发送的AKMA认证请求;
所述向所述终端发送AKMA认证响应,包括:
通过NAS下行信令,向所述终端发送AKMA认证响应。
第五方面,本发明实施例提供了一种认证方法,应用于AUSF,包括:
接收AAuF发送的第二认证请求;
根据所述第二认证请求,对终端进行认证;
向所述AAuF发送第二认证响应。
其中,所述根据所述第二认证请求,对终端进行认证,包括:
在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
其中,所述根据所述第二认证请求,对终端进行认证,包括:
在不具有所述终端的初始认证结果的情况下,从UDM(Unified Data Management,统一数据管理)获取认证向量,并基于所述认证向量对所述终端进行认证。
其中,所述方法还包括:
在对所述终端的认证通过的情况,基于所述初始认证结果中所述终端的安全密钥,生成中间密钥;
向所述AAuF发送所述中间密钥。
第六方面,本发明实施例提供了一种认证装置,应用于AAuF,包括:处理器和收发器;
所述处理器,用于在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
其中,所述收发器用于,向所述AUSF发送第二认证请求;接收所述AUSF发送的第二认证响应。
其中,所述处理器还用于,在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期;
所述收发器还用于,向所述AMF发送所述临时业务标识和所述密钥周期。
其中,所述收发器还用于,向AKMA应用功能AApF发送所述会话密钥和所述密钥周期。
其中,所述收发器还用于,接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;根据所述临时业务标识,向所述AApF发送所述目标临时业务标识对应的会话密钥和密钥周期。
第七方面,本发明实施例提供了一种认证装置,应用于AApF,包括:处理器和收发器;
所述处理器,用于在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
其中,所述收发器用于,从AAuF获取所述终端对应的会话密钥和密钥周期。
其中,所述收发器还用于,向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
第八方面,本发明实施例提供了一种认证装置,应用于终端,包括:处理器和收发器;
所述收发器,用于在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
其中,所述认证请求通过NAS上行信令发送,所述认证响应通过NAS下行信令发送。
其中,在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;
所述处理器还用于,推衍会话密钥;
所述收发器还用于,向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
第九方面,本发明实施例提供了一种认证装置,应用于AMF,包括:处理器和收发器;所述收发器,用于:
接收终端发送的AKMA认证请求;
根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;
接收所述AAuF发送的第一认证响应;
根据所述第一认证响应,向所述终端发送AKMA认证响应。
其中,所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
其中,所述收发器还用于,接收所述终端通过NAS上行信令发送的AKMA认证请求;通过NAS下行信令,向所述终端发送AKMA认证响应。
第十方面,本发明实施例提供了一种认证装置,应用于AUSF,包括:处理器和收发器;
所述收发器,用于接收AAuF发送的第二认证请求;
所述处理器,用于根据所述第二认证请求,对终端进行认证;
所述收发器,还用于向所述AAuF发送第二认证响应。
其中,所述处理器还用于,在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
其中,所述处理器还用于,在不具有所述终端的初始认证结果的情况下,从UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
其中,所述处理器还用于,在对所述终端的认证通过的情况,基于所述初始认证结果中所述终端的安全密钥,生成中间密钥;
所述收发器还用于,向所述AAuF发送所述中间密钥。
第十一方面,本发明实施例提供了一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;
所述处理器,用于读取存储器中的程序实现如第一方面所述的方法中的步骤;或者实现如第二方面所述的方法中的步骤;或者实现如第三方面所述的方法中的步骤;或者实现如第四方面所述的方法中的步骤;或者实现如第五方面所述的方法中的步骤。
第十二方面,本发明实施例提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法中的步骤;或者实现如第二方面所述的方法中的步骤;或者实现如第三方面所述的方法中的步骤;或者实现如第四方面所述的方法中的步骤;或者实现如第五方面所述的方法中的步骤。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的认证方法的流程图之一;
图2是本发明实施例提供的认证方法的流程图之二;
图3是本发明实施例提供的认证方法的流程图之三;
图4是本发明实施例提供的认证方法的流程图之四;
图5是本发明实施例提供的认证方法的流程图之五;
图6是本发明实施例提供的网络架构示意图之一;
图7是本发明实施例提供的认证和密钥开放方法的流程图之一;
图8是本发明实施例提供的认证和密钥开放方法的流程图之二;
图9是本发明实施例提供的认证装置的结构图之一;
图10是本发明实施例提供的认证装置的结构图之二;
图11是本发明实施例提供的认证装置的结构图之三;
图12是本发明实施例提供的认证装置的结构图之四;
图13是本发明实施例提供的认证装置的结构图之五;
图14是本发明实施例提供的通信设备的结构图之一;
图15是本发明实施例提供的通信设备的结构图之二;
图16是本发明实施例提供的通信设备的结构图之三;
图17是本发明实施例提供的通信设备的结构图之四;
图18是本发明实施例提供的终端的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明实施例提供的认证方法的流程图,应用于AAuF,如图1所示,包括以下步骤:
步骤101、在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果。其中,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
在所述第一认证请求中可包括终端用户的标识,如SUCI(SubscriptionConcealed Identifier,签约加密标识)等。
在此步骤中,具体的,AAuF可向所述AUSF发送第二认证请求,然后,接收所述AUSF发送的第二认证响应。在所述第二认证请求中可包括终端用户的标识,如SUPI(Subscription Permanent Identifier,签约永久标识)等。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
为保证终端和第三方应用之间的后续业务的进行,在上述实施例的基础上,所述方法还可包括:在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥。然后,生成临时业务标识,并确定所述会话密钥的密钥周期。之后,再向所述AMF发送所述临时业务标识和所述密钥周期。所述密钥周期可以理解为会话密钥有效的时间信息。
之后,在上述实施例的基础上,若终端和第三方应用进行业务,所述所述还可包括:向AApF发送所述会话密钥和所述密钥周期。具体的,AAuF接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识。之后,AAuF根据所述目标临时业务标识,向所述AApF发送所述临时业务标识对应的会话密钥和密钥周期。
参见图2,图2是本发明实施例提供的认证方法的流程图,应用于AApF,如图2所示,包括以下步骤:
步骤201、在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
具体的,终端在接入第三方应用服务时,向AApF发起接入请求,携带应用层业务标识appID。AApF向终端回复应用层响应,指示终端基于运营商AKMA服务进行接入认证和会话密钥协商。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
那么,为保证业务的正常开展,所述方法还可包括:AApF从AAuF获取所述终端对应的会话密钥和密钥周期。具体的,AApF向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识,之后,接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
参见图3,图3是本发明实施例提供的认证方法的流程图,应用于终端,如图3所示,包括以下步骤:
步骤301、在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求。
具体的,终端在接入第三方应用服务时,向AApF发起接入请求,携带应用层业务标识appID。AApF向终端回复应用层响应,指示终端基于运营商AKMA服务进行接入认证和会话密钥协商。
之后,终端向AMF发送AKMA认证请求。该认证请求中可携带终端用户的标识,如SUCI等。
步骤302、接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
所述认证请求通过NAS上行信令发送,所述认证响应通过NAS下行信令发送。
针对物联网场景,物联网设备多样的应用层协议,适配起来也不能完全覆盖所有物联网终端。因此,在本发明实施例中,将AKMA服务的流程通过NAS信令承载,将用户面的问题通过控制面的信令优化,可以解决协议适配的问题。
为保证业务的正常开展,在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。所述方法还可包括:推衍会话密钥。当业务开展时,终端向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
具体的,终端可根据存储的、和AUSF协商好的安全密钥,推衍会话密钥。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图4,图4是本发明实施例提供的认证方法的流程图,应用于AMF,如图4所示,包括以下步骤:
步骤401、接收终端发送的AKMA认证请求。
其中,该认证请求中可包括终端用户的标识,如SUCI等。所述AKMA认证请求可通过NAS上行信令发送。那么,相应的,此步骤具体为:接收所述终端通过NAS上行信令发送的AKMA认证请求。
步骤402、根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的。
步骤403、接收所述AAuF发送的第一认证响应。
步骤404、根据所述第一认证响应,向所述终端发送AKMA认证响应。
具体的,在此步骤中,通过NAS下行信令,向所述终端发送AKMA认证响应。
其中,所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图5,图5是本发明实施例提供的认证方法的流程图,应用于AUSF,如图5所示,包括以下步骤:
步骤501、接收AAuF发送的第二认证请求。
步骤502、根据所述第二认证请求,对终端进行认证。
在此步骤中,在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
GBA在现网中没有得到广泛使用,很重要的原因之一是因其交互流程复杂,且GBA步骤中需要独立于用户接入认证的认证AKA流程以完成UE和BSF(Bootstrapping ServiceFunction,引导服务功能)的认证。那么,这种情况下,基于5G认证体系架构,以初始认证的结果作为基础,避免了重复的认证AKA流程。
在此步骤中,在不具有所述终端的初始认证结果的情况下,从UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
步骤503、向所述AAuF发送第二认证响应。
在上述实施例的基础上,AUSF可根据存储的、和终端协商好的安全密钥Kausf,生成中间密钥,之后,向所述AAuF发送所述中间密钥。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
基于对现有技术的研究,发明人发现,GBA目前可用于2/3/4G网络,而对于5G网络来说,由于网络架构的演进,在现有标准中,5G网络架构中目前还没有对应的BSF、NAF(Network Access Function,网络接入功能)网元来实现原有GBA流程。此外,由于5G网络采用了SBA(Service Based Architecture,基于服务架构)即服务化架构,网元之间的接口和协议也与原有2/3/4G不同。也就是说,在5G网络中,基于现有的GBA流程,只简单的进行网元的映射,还无法实现完整的GBA流程演进,需要对相应的网元和接口进行设计。
GBA的认证流程中,需要独立于用户接入认证的认证AKA流程以完成UE和BSF的认证。此外,针对物联网场景,GBA的现有协议(HTTP)不适用于许多轻量级的物联网设备。而物联网设备多样的应用层协议,适配起来也不能完全覆盖所有物联网终端。
基于以上问题,本发明实施例提供了一种网络架构,以及一种基于5G网络的运营商提供的应用层认证和会话密钥开放的机制。并且,在本发明实施例中,基于5G认证体系架构,以初始认证的结果作为基础,避免了重复的认证AKA流程。此外,本发明实施例将AKMA服务的流程通过NAS信令承载,将用户面的问题通过控制面的信令优化,以解决协议适配的问题。以下,结合不同的实施例详细描述一下本发明实施例的实现过程。
参见图6,是本发明实施例的网络结构示意图。在该图中,在5G网络的基础上,新增的网元为:
AAuF,作为AKMA服务的锚点,主要完成对UE的认证,并基于运营商密钥进一步生成会话密钥,并开放给第三方应用。
AApF,实现第三方应用与UE交互,AApF向AAuF获取会话密钥,从而实现第三方应用与UE间的通道加密。
其中,AAuF可以和AUSF设置在一起,也即为一个网元;或者,AAuF和AUSF也可分开设置,是两个独立的网元(如图6所示)。
本发明实施例基于3GPP凭证的应用层认证和密钥管理能力,目的是运营商基于自身的能力为第三方应用提供认证能力及会话密钥,帮助建立用户与第三方应用之间的安全通道。
在图7中,AAuF和AUSF分开设置。参见图7,是本发明实施例的认证和密钥开放方法,包括如下步骤:
步骤701、UE在接入第三方应用服务时,向第三方应用服务器AApF发起接入请求(Request),携带应用层业务标识appID。
步骤702、AApF向UE回复应用层响应(Response),指示UE基于运营商AKMA服务进行接入认证和会话密钥协商。
步骤703、UE接到来自应用服务器的指示后,向运营商网络(图中为AMF)发起认证请求(Authentication Request),携带终端用户的标识SUCI。该请求通过NAS上行信令消息(NAS UL Message)向AMF发起。
其中,该认证请求不同于UE接入运营商网络的初始认证请求,为AKMA认证请求。
步骤704、AMF将UE的认证请求消息(Authentication Request)发送给AAuF,携带终端用户的标识SUPI。
步骤705、AAuF向AUSF发起认证请求(Authentication Request),携带用户标识SUPI。
步骤706、AUSF对UE进行认证,并向AAuF发送认证响应(AuthenticationResponse)。
如果AUSF存储有终端的初始认证产生的初始认证结果,那么,AUSF根据存储的初始认证结果完成对UE的认证。如AUSF中未存储用户的认证状态,或存储的用户初始认证结果过期,则由AUSF向UDM发起请求,向UDM获取认证向量。之后,基于该认证向量完成对UE的认证。
同时,在此步骤中,若认证通过,AUSF基于所述初始认证结果中所述终端的安全密钥Kausf推衍中间密钥Kakma,并将中间密钥Kakma通过认证响应发送给AAuF。
步骤707、AAuF基于中间密钥Kakma推衍出会话密钥Kaapf,并生成临时业务标识。同时,确定会话密码的密钥周期(Key lifetime)。该临时业务标识TID用于AApF与UE之间的交互。
AAuF将该临时业务标识和密钥周期通过认证响应(Authentication Response)发送给AMF。
步骤708、AMF将临时业务标识和密钥周期通过NAS下行信令消息(NAS DLMessage)发送给UE。
步骤709、UE接收该消息后,根据存储的、与AUSF协商好的安全密钥Kausf推衍会话密钥Kaapf。
步骤710、UE向AApF发起业务请求(Request),在该请求携带临时业务标识TID。
步骤711、AApF向AAuF发起应用请求(Application Request),携带临时业务标识TID。
步骤712、AAuF根据临时业务标识,向AApF发送应用响应(Application Request),在该响应中携带对应的会话密钥Kaapf和密钥周期。
步骤713、AApF获取了会话密钥后,向终端发送响应(Response),指示终端AKMA流程结束。
在图8中,AAuF和AUSF和设为一个网元。参见图8,是本发明实施例的认证和密钥开放方法,包括如下步骤:
步骤801、UE在接入第三方应用服务时,向第三方应用服务器AApF发起接入请求(Request),携带应用层业务标识appID。
步骤802、AApF向UE回复应用层响应(Response),指示UE基于运营商AKMA服务进行接入认证和会话密钥协商。
步骤803、UE接到来自应用服务器的指示后,向运营商网络(图中为AMF)发起认证请求(Authentication Request),携带终端用户的标识SUCI。该请求通过NAS上行信令消息(NAS UL Message)向AMF发起。
其中,该认证请求不同于UE接入运营商网络的初始认证请求,为AKMA认证请求。
步骤804、AMF将UE的认证请求消息(Authentication Request)发送给AUSF,携带终端用户的标识SUPI。
步骤805、AUSF对UE进行认证,并向AMF发送认证响应(AuthenticationResponse)。
如果AUSF存储有终端的初始认证产生的初始认证结果,那么,AUSF根据存储的初始认证结果完成对UE的认证。如AUSF中未存储用户的认证状态,或存储的用户初始认证结果过期,则由AUSF向UDM发起请求,向UDM获取认证向量。之后,基于该认证向量完成对UE的认证。
同时,在此步骤中,若认证通过,AUSF基于所述初始认证结果中所述终端的安全密钥Kausf推衍中间密钥Kakma,并基于中间密钥Kakma推衍出会话密钥Kaapf。同时,AUSF生成临时业务标识,并确定会话密码的密钥周期(Key lifetime)。该临时业务标识TID用于AApF与UE之间的交互。
AUSF将该临时业务标识和密钥周期通过认证响应发送给AMF。
步骤806、AMF将临时业务标识和密钥周期通过NAS下行信令消息(NAS DLMessage)发送给UE。
步骤807、UE接收该消息后,根据存储的、与AUSF协商好的安全密钥Kausf推衍会话密钥Kaapf。
步骤808、UE向AApF发起业务请求(Request),在该请求携带临时业务标识TID。
步骤809、AApF向AUSF发起应用请求(Application Request),携带临时业务标识TID。
步骤810、AUSF根据临时业务标识,向AApF发送应用响应(Application Request),在该响应中携带对应的会话密钥Kaapf和密钥周期。
步骤811、AApF获取了会话密钥后,向终端发送响应(Response),指示终端AKMA流程结束。
通过以上实施例可以看出,在本发明实施例中提出了一种适配5G网元和接口的新架构。同时,本发明实施例基于5G认证体系架构,以初始认证的结果作为基础,避免了重复的认证AKA流程,简化了认证流程。因UE和AUSF之间可以维持密钥Kausf,即可以保持认证关系,因此,当AUSF存储有UE的初始认证结果的时候,AAuF可以直接向AUSF请求完成认证,不需要从UDM获取鉴权向量再执行AKA流程。此外,本发明实施例中,将AKMA服务的流程通过NAS信令承载,将用户面的问题通过控制面的信令优化,从而解决了协议适配的问题。
参见图9,图9是本发明实施例提供的认证装置的结构图,应用于AAuF,如图9所示,包括:处理器901和收发器902。
所述处理器901,用于在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
可选的,所述收发器902用于,向所述AUSF发送第二认证请求;接收所述AUSF发送的第二认证响应。
可选的,所述处理器901还用于,在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期;所述收发器902还用于,向所述AMF发送所述临时业务标识和所述密钥周期。
可选的,所述收发器902还用于,向AKMA应用功能AApF发送所述会话密钥和所述密钥周期。
可选的,所述收发器902还用于,接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;根据所述临时业务标识,向所述AApF发送所述临时业务标识对应的会话密钥和密钥周期。
本发明实施例装置的工作原理可参照前述方法实施例的描述。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图10,图10是本发明实施例提供的认证装置的结构图,应用于AApF,如图10所示,包括:处理器1001和收发器1002。
所述处理器1001,用于在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
可选的,所述收发器1002用于,从AAuF获取所述终端对应的会话密钥和密钥周期。
可选的,所述收发器1002还用于,向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
本发明实施例装置的工作原理可参照前述方法实施例的描述。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图11,图11是本发明实施例提供的认证装置的结构图,应用于终端,如图11所示,包括:处理器1101和收发器1102。
所述收发器1102,用于在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
可选的,所述认证请求通过NAS上行信令发送,所述认证响应通过NAS下行信令发送。
可选的,在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;所述处理器1101还用于,推衍会话密钥;所述收发器1102还用于,向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
本发明实施例装置的工作原理可参照前述方法实施例的描述。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图12,图12是本发明实施例提供的认证装置的结构图,应用于AMF,如图12所示,包括:处理器1201和收发器1202。
所述收发器1202,用于:接收终端发送的AKMA认证请求;根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;接收所述AAuF发送的第一认证响应;根据所述第一认证响应,向所述终端发送AKMA认证响应。
可选的,所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
可选的,所述收发器1202还用于,接收所述终端通过NAS上行信令发送的AKMA认证请求;通过NAS下行信令,向所述终端发送AKMA认证响应。
本发明实施例装置的工作原理可参照前述方法实施例的描述。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
参见图13,图13是本发明实施例提供的认证装置的结构图,应用于AUSF,如图13所示,包括:处理器1301和收发器1302。
所述收发器1302,用于接收AAuF发送的第二认证请求;
所述处理器1301,用于根据所述第二认证请求,对终端进行认证;
所述收发器1302,还用于向所述AAuF发送第二认证响应。
可选的,所述处理器1301还用于,在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
可选的,所述处理器1301还用于,在不具有所述终端的初始认证结果的情况下,从UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
可选的,所述处理器1301还用于,在对所述终端的认证通过的情况,基于所述初始认证结果中所述终端的安全密钥,生成中间密钥;所述收发器1302还用于,向所述AAuF发送所述中间密钥。
本发明实施例装置的工作原理可参照前述方法实施例的描述。
在本发明实施例中,当终端和AApF需要进行基于AKMA认证的情况下,由AUSF对终端进行认证,从而避免了现有技术中需要独立于终端接入认证的AKA认证流程而所需的对终端的认证流程,因此,利用本发明实施例的方案可节约信令资源。
如图14所示,本发明实施例的通信设备,包括:处理器1400,用于读取存储器1420中的程序,执行下列过程:
在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
收发机1410,用于在处理器1400的控制下接收和发送数据。
其中,在图14中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1400代表的一个或多个处理器和存储器1420代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1410可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1400负责管理总线架构和通常的处理,存储器1420可以存储处理器1400在执行操作时所使用的数据。
处理器1400负责管理总线架构和通常的处理,存储器1420可以存储处理器1400在执行操作时所使用的数据。
处理器1400还用于读取所述计算机程序,执行如下步骤:
向所述AUSF发送第二认证请求;
接收所述AUSF发送的第二认证响应。
处理器1400还用于读取所述计算机程序,执行如下步骤:
在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;
生成临时业务标识,并确定所述会话密钥的密钥周期;
向所述AMF发送所述临时业务标识和所述密钥周期。
处理器1400还用于读取所述计算机程序,执行如下步骤:
向AApF发送所述会话密钥和所述密钥周期。
处理器1400还用于读取所述计算机程序,执行如下步骤:
接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;
根据所述目标临时业务标识,向所述AApF发送所述临时业务标识对应的会话密钥和密钥周期。
如图15所示,本发明实施例的通信设备,包括:处理器1500,用于读取存储器1520中的程序,执行下列过程:
在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
收发机1510,用于在处理器1500的控制下接收和发送数据。
其中,在图15中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1500代表的一个或多个处理器和存储器1520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1510可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1500负责管理总线架构和通常的处理,存储器1520可以存储处理器1500在执行操作时所使用的数据。
处理器1500负责管理总线架构和通常的处理,存储器1520可以存储处理器1500在执行操作时所使用的数据。
处理器1500还用于读取所述计算机程序,执行如下步骤:
从AAuF获取所述终端对应的会话密钥和密钥周期。
处理器1500还用于读取所述计算机程序,执行如下步骤:
向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;
接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
如图16所示,本发明实施例的通信设备,包括:处理器1600,用于读取存储器1620中的程序,执行下列过程:
在需要与AApF进行基于AKMA认证的情况下,通过收发机1610接收终端发送的AKMA认证请求;根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;接收所述AAuF发送的第一认证响应;根据所述第一认证响应,向所述终端发送AKMA认证响应。
收发机1610,用于在处理器1600的控制下接收和发送数据。
其中,在图16中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1600代表的一个或多个处理器和存储器1620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1610可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1600负责管理总线架构和通常的处理,存储器1620可以存储处理器1600在执行操作时所使用的数据。
处理器1600负责管理总线架构和通常的处理,存储器1620可以存储处理器1600在执行操作时所使用的数据。
所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
处理器1600还用于读取所述计算机程序,执行如下步骤:
接收所述终端通过NAS上行信令发送的AKMA认证请求;
通过NAS下行信令,向所述终端发送AKMA认证响应。
如图17所示,本发明实施例的通信设备,包括:处理器1700,用于读取存储器1720中的程序,执行下列过程:
在需要与AApF进行基于AKMA认证的情况下,通过收发机1710接收AAuF发送的第二认证请求;根据所述第二认证请求,对终端进行认证;向所述AAuF发送第二认证响应。
收发机1710,用于在处理器1700的控制下接收和发送数据。
其中,在图17中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1700代表的一个或多个处理器和存储器1720代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1710可以是多个元件,即包括发送机和收发机,提供用于在传输介质上与各种其他装置通信的单元。处理器1700负责管理总线架构和通常的处理,存储器1720可以存储处理器1700在执行操作时所使用的数据。
处理器1700负责管理总线架构和通常的处理,存储器1720可以存储处理器1700在执行操作时所使用的数据。
处理器1700还用于读取所述计算机程序,执行如下步骤:
在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
处理器1700还用于读取所述计算机程序,执行如下步骤:
在不具有所述终端的初始认证结果的情况下,从统一数据管理实体UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
处理器1700还用于读取所述计算机程序,执行如下步骤:
在对所述终端的认证通过的情况,基于所述初始认证结果中所述终端的安全密钥,生成中间密钥;
向所述AAuF发送所述中间密钥。
如图18所示,本发明实施例的终端,包括:
处理器1800,用于读取存储器1820中的程序,执行下列过程:
在需要与AApF进行基于AKMA认证的情况下,通过收发机1810向AMF发送AKMA认证请求;接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
收发机1810,用于在处理器1800的控制下接收和发送数据。
其中,在图18中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1800代表的一个或多个处理器和存储器1820代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1810可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1830还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1800负责管理总线架构和通常的处理,存储器1820可以存储处理器1800在执行操作时所使用的数据。
所述认证请求通过非接入层NAS上行信令发送,所述认证响应通过NAS下行信令发送。
在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;处理器1800还用于读取所述计算机程序,执行如下步骤:
推衍会话密钥;
向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
在接收到接入和移动管理功能AMF发送的第一认证请求的情况下,从鉴权服务功能AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的。
其中,所述从鉴权服务功能AUSF获取终端的认证结果,包括:
向所述AUSF发送第二认证请求;
接收所述AUSF发送的第二认证响应。
其中,在所述接收所述AUSF发送的第二认证响应之后,所述方法还包括:
在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;
生成临时业务标识,并确定所述会话密钥的密钥周期;
向所述AMF发送所述临时业务标识和所述密钥周期。
其中,在所述向所述AMF发送所述临时业务标识和所述密钥周期之后,所述方法还包括:
向AKMA应用功能AApF发送所述会话密钥和所述密钥周期。
其中,所述向AKMA应用功能AApF发送所述会话密钥和所述密钥周期,包括:
接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;
根据所述目标临时业务标识,向所述AApF发送所述临时业务标识对应的会话密钥和密钥周期。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证。
其中,所述方法还包括:
从AAuF获取所述终端对应的会话密钥和密钥周期。
其中,所述从AAuF获取所述终端对应的会话密钥和密钥周期,包括:
向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;
接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;
接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的。
其中,所述认证请求通过非接入层NAS上行信令发送,所述认证响应通过NAS下行信令发送。
其中,在所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;所述方法还包括:
推衍会话密钥;
向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
接收终端发送的AKMA认证请求;
根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;
接收所述AAuF发送的第一认证响应;
根据所述第一认证响应,向所述终端发送AKMA认证响应。
其中,所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期。
其中,所述接收终端发送的AKMA认证请求,包括:
接收所述终端通过NAS上行信令发送的AKMA认证请求;
所述向所述终端发送AKMA认证响应,包括:
通过NAS下行信令,向所述终端发送AKMA认证响应。
此外,本发明实施例的计算机可读存储介质,用于存储计算机程序,所述计算机程序可被处理器执行实现以下步骤:
接收AAuF发送的第二认证请求;
根据所述第二认证请求,对终端进行认证;
向所述AAuF发送第二认证响应。
其中,所述根据所述第二认证请求,对终端进行认证,包括:
在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
其中,所述根据所述第二认证请求,对终端进行认证,包括:
在不具有所述终端的初始认证结果的情况下,从统一数据管理实体UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
其中,所述方法还包括:
在对所述终端的认证通过的情况,基于所述初始认证结果中所述终端的安全密钥,生成中间密钥;
向所述AAuF发送所述中间密钥。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (28)

1.一种认证方法,应用于应用层认证和密钥管理AKMA认证功能AAuF,其特征在于,包括:
在接收到接入和移动管理功能AMF发送的第一认证请求的情况下,从鉴权服务功能AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的;
在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;
生成临时业务标识,并确定所述会话密钥的密钥周期;
向所述AMF发送所述临时业务标识和所述密钥周期。
2.根据权利要求1所述的方法,其特征在于,所述从鉴权服务功能AUSF获取终端的认证结果,包括:
向所述AUSF发送第二认证请求;
接收所述AUSF发送的第二认证响应。
3.根据权利要求1所述的方法,其特征在于,在所述向所述AMF发送所述临时业务标识和所述密钥周期之后,所述方法还包括:
向AKMA应用功能AApF发送所述会话密钥和所述密钥周期。
4.根据权利要求3所述的方法,其特征在于,所述向AKMA应用功能AApF发送所述会话密钥和所述密钥周期,包括:
接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;
根据所述目标临时业务标识,向所述AApF发送所述目标临时业务标识对应的会话密钥和密钥周期。
5.一种认证方法,应用于AApF,其特征在于,包括:
在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证;
从AAuF获取所述终端对应的会话密钥和密钥周期;
所述从AAuF获取所述终端对应的会话密钥和密钥周期,包括:
向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;
接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期;其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
6.一种认证方法,应用于终端,其特征在于,包括:
在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;
接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的;
在所述AKMA认证响应中还包括所述终端的临时业务标识和密钥周期;
其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
7.根据权利要求6所述的方法,其特征在于,所述认证请求通过非接入层NAS上行信令发送,所述认证响应通过NAS下行信令发送。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
推衍会话密钥;
向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
9.一种认证方法,应用于AMF,其特征在于,包括:
接收终端发送的AKMA认证请求;
根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;
接收所述AAuF发送的第一认证响应;
根据所述第一认证响应,向所述终端发送AKMA认证响应;
所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;
其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
10.根据权利要求9所述的方法,其特征在于,
所述接收终端发送的AKMA认证请求,包括:
接收所述终端通过NAS上行信令发送的AKMA认证请求;
所述向所述终端发送AKMA认证响应,包括:
通过NAS下行信令,向所述终端发送AKMA认证响应。
11.一种认证方法,应用于AUSF,其特征在于,包括:
接收AAuF发送的第二认证请求;
根据所述第二认证请求,对终端进行认证;
向所述AAuF发送第二认证响应;
在对所述终端的认证通过的情况,基于初始认证结果中所述终端的安全密钥,生成中间密钥;
向所述AAuF发送所述中间密钥;
其中,所述AAuF根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
12.根据权利要求11所述的方法,其特征在于,所述根据所述第二认证请求,对终端进行认证,包括:
在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
13.根据权利要求11所述的方法,其特征在于,所述根据所述第二认证请求,对终端进行认证,包括:
在不具有所述终端的初始认证结果的情况下,从统一数据管理实体UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
14.一种认证装置,应用于AAuF,其特征在于,包括:处理器和收发器;
所述处理器,用于在接收到AMF发送的第一认证请求的情况下,从AUSF获取终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;所述第一认证请求是所述AMF根据所述终端的AKMA认证请求发送的;
所述处理器还用于,在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期;
所述收发器还用于,向所述AMF发送所述临时业务标识和所述密钥周期。
15.根据权利要求14所述的装置,其特征在于,所述收发器用于,向所述AUSF发送第二认证请求;接收所述AUSF发送的第二认证响应。
16.根据权利要求14所述的装置,其特征在于,所述收发器还用于,向AKMA应用功能AApF发送所述会话密钥和所述密钥周期。
17.根据权利要求16所述的装置,其特征在于,所述收发器还用于,接收所述AApF发送的请求消息,在所述请求消息中包括目标临时业务标识;根据所述临时业务标识,向所述AApF发送所述目标临时业务标识对应的会话密钥和密钥周期。
18.一种认证装置,应用于AApF,其特征在于,包括:处理器和收发器;
所述处理器,用于在接收到终端的接入请求的情况下,指示所述终端进行AKMA接入认证;在所述AKMA接入认证的过程中,由AUSF对所述终端进行认证;
所述收发器用于,从AAuF获取所述终端对应的会话密钥和密钥周期;
所述收发器还用于,向所述AAuF发送请求消息,在所述请求消息中包括所述终端的临时业务标识;接收所述AAuF根据所述临时业务标识发送的会话密钥和密钥周期;其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
19.一种认证装置,应用于终端,其特征在于,包括:处理器和收发器;
所述收发器,用于在需要与AApF进行基于AKMA认证的情况下,向AMF发送AKMA认证请求;接收所述AMF发送的AKMA认证响应;其中,在所述认证响应中包括AUSF对所述终端的认证结果,所述认证结果是AAuF从所述AUSF获取后并发送给所述AMF的;
在所述AKMA认证响应中还包括所述终端的临时业务标识和密钥周期;
其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
20.根据权利要求19所述的装置,其特征在于,所述认证请求通过NAS上行信令发送,所述认证响应通过NAS下行信令发送。
21.根据权利要求19所述的装置,其特征在于,
所述处理器还用于,推衍会话密钥;
所述收发器还用于,向AApF发送业务请求,在所述业务请求中包括所述临时业务标识。
22.一种认证装置,应用于AMF,其特征在于,包括:处理器和收发器;所述收发器,用于:
接收终端发送的AKMA认证请求;
根据所述AKMA认证请求,向AAuF发送第一认证请求,所述AAuF根据所述第一认证请求从AUSF获取所述终端的认证结果,所述认证结果是由所述AUSF对所述终端进行认证获得的;
接收所述AAuF发送的第一认证响应;
根据所述第一认证响应,向所述终端发送AKMA认证响应;
所述第一认证响应和所述AKMA认证响应中包括所述终端的临时业务标识和密钥周期;其中,所述AAuF在所述认证结果表示对所述终端的认证通过的情况下,接收所述AUSF发送的中间密钥,并根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
23.根据权利要求22所述的装置,其特征在于,所述收发器还用于,接收所述终端通过NAS上行信令发送的AKMA认证请求;通过NAS下行信令,向所述终端发送AKMA认证响应。
24.一种认证装置,应用于AUSF,其特征在于,包括:处理器和收发器;
所述收发器,用于接收AAuF发送的第二认证请求;
所述处理器,用于根据所述第二认证请求,对终端进行认证;
所述收发器,还用于向所述AAuF发送第二认证响应;
所述处理器还用于,在对所述终端的认证通过的情况,基于初始认证结果中所述终端的安全密钥,生成中间密钥;
所述收发器还用于,向所述AAuF发送所述中间密钥;其中,所述AAuF根据所述中间密钥推衍会话密钥;生成临时业务标识,并确定所述会话密钥的密钥周期。
25.根据权利要求24所述的装置,其特征在于,所述处理器还用于,在具有所述终端的初始认证结果的情况下,根据存储的所述终端的初始认证结果,并利用所述初始认证结果对所述终端进行认证。
26.根据权利要求24所述的装置,其特征在于,所述处理器还用于,
在不具有所述终端的初始认证结果的情况下,从UDM获取认证向量,并基于所述认证向量对所述终端进行认证。
27.一种通信设备,包括:收发机、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;其特征在于,
所述处理器,用于读取存储器中的程序实现如权利要求1至4中任一项所述的方法中的步骤;或者实现如权利要求5所述的方法中的步骤;或者实现如权利要求6至8中任一项所述的方法中的步骤;或者实现如权利要求9至10中任一项所述的方法中的步骤;或者实现如权利要求11至13中任一项所述的方法中的步骤。
28.一种计算机可读存储介质,用于存储计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的方法中的步骤;或者实现如权利要求5中任一项所述的方法中的步骤;或者实现如权利要求6至8中任一项所述的方法中的步骤;或者实现如权利要求9至10中任一项所述的方法中的步骤;或者实现如权利要求11至13中任一项所述的方法中的步骤。
CN201910161106.2A 2019-03-04 2019-03-04 一种认证方法、装置、设备及计算机可读存储介质 Active CN111654861B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910161106.2A CN111654861B (zh) 2019-03-04 2019-03-04 一种认证方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910161106.2A CN111654861B (zh) 2019-03-04 2019-03-04 一种认证方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN111654861A CN111654861A (zh) 2020-09-11
CN111654861B true CN111654861B (zh) 2023-05-09

Family

ID=72350701

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910161106.2A Active CN111654861B (zh) 2019-03-04 2019-03-04 一种认证方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111654861B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114449515A (zh) * 2020-10-20 2022-05-06 中国电信股份有限公司 验证方法、系统和应用平台、终端
CN113316138B (zh) * 2021-04-27 2023-04-07 中盈优创资讯科技有限公司 一种应用层加密实现方法及其实现装置
CN115884177A (zh) * 2021-09-26 2023-03-31 华为技术有限公司 一种通信方法、装置及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102332075B1 (ko) * 2016-07-05 2021-11-29 삼성전자 주식회사 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
CN109309566B (zh) * 2017-07-28 2021-06-08 中国移动通信有限公司研究院 一种认证方法、装置、系统、设备及存储介质
CN109391937B (zh) * 2017-08-04 2021-10-19 华为技术有限公司 公钥的获取方法、设备及系统

Also Published As

Publication number Publication date
CN111654861A (zh) 2020-09-11

Similar Documents

Publication Publication Date Title
US11272365B2 (en) Network authentication method, and related device and system
US11296877B2 (en) Discovery method and apparatus based on service-based architecture
US20220385446A1 (en) EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT
CN109428717B (zh) 管理具有多个证书颁发者的嵌入式通用集成电路卡调配
EP3668042B1 (en) Registration method and apparatus based on service-oriented architecture
RU2414086C2 (ru) Аутентификация приложения
KR101438243B1 (ko) Sim 기반 인증방법
EP2912815B1 (en) Method and apparatus for securing a connection in a communications network
US20110130119A1 (en) Staging a mobile device to an enterprise network securely using voice channel of a wireless wide area network (wwan)
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
CN111654861B (zh) 一种认证方法、装置、设备及计算机可读存储介质
CN113518348B (zh) 业务处理方法、装置、系统及存储介质
US20230328524A1 (en) Non-3gpp device access to core network
CN110366175B (zh) 安全协商方法、终端设备和网络设备
CN111787532B (zh) 一种协商5g移动通信网络安全能力的方法
WO2016082401A1 (zh) 通话方法、装置、用户终端及计算机存储介质
CN113163399A (zh) 一种终端与服务器的通信方法和装置
CN112788598B (zh) 一种保护认证流程中参数的方法及装置
CN111404669B (zh) 一种密钥生成方法、终端设备及网络设备
WO2016176902A1 (zh) 一种终端认证方法、管理终端及申请终端
US8868057B2 (en) Staging a mobile device to an enterprise network securely using voice channel of a wireless wide area network (WWAN)
US10797889B2 (en) Digital letter of approval (DLOA) for device compliance
WO2023221502A1 (zh) 数据传输方法和系统及信令安全管理网关
US20220159457A1 (en) Providing ue capability information to an authentication server
CN117479155A (zh) 生成应用层密钥的方法及基于应用层密钥的通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant