CN111669276B - 一种网络验证方法、装置及系统 - Google Patents
一种网络验证方法、装置及系统 Download PDFInfo
- Publication number
- CN111669276B CN111669276B CN201910170883.3A CN201910170883A CN111669276B CN 111669276 B CN111669276 B CN 111669276B CN 201910170883 A CN201910170883 A CN 201910170883A CN 111669276 B CN111669276 B CN 111669276B
- Authority
- CN
- China
- Prior art keywords
- network
- network element
- random number
- authentication code
- message authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Abstract
一种网络验证方法、装置及系统,用以终端设备在与家乡网络双向认证时,无法对服务网络验证的问题。本申请中,第一网络中的统一数据管理网元根据终端设备的密钥K、第一随机数、以及第二网络的网络标识生成第一消息认证码;并向通过第二网络向终端设备发送第一随机数、第一消息认证码。终端设备接收第一随机数、第一消息认证码之后,通过本地存储的密钥K、第一随机数、以及第二网络的网络标识生成第二消息认证码;在确定第一消息认证码和第二消息认证码一致后,对第二网络验证成功。终端设备在根据第一消息认证码对第一网络进行认证的过程中,同时可以完成对第二网络验证。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络验证方法、装置及系统。
背景技术
在移动通信系统中,当终端设备和第一网络签约后,第一网络即为终端设备的家乡网络,家乡网络中保存有终端设备的签约信息,若终端设备移动到第一网络的服务范围之外,例如当前终端设备处于第二网络的服务范围内,此时第二网络就成为服务网络,需要为终端设备提供网络服务。
在第二网络为终端设备提供网络服务之前,第二网络需要获知终端设备的签约信息,为了获取终端设备的签约信息,终端设备需要先与第一网络通过第二网络作为中介进行双向认证,双向认证通过后,第一网络会将终端设备的签约信息发送给第二网络。
但是在上述验证过程中,终端设备并不会对第二网络进行验证,也就是无法识别出第二网络是否为欺骗网络,在双向验证之后,第二网络会获取终端设备的签约信息,导致终端设备的信息泄露。
发明内容
本申请提供一种网络验证方法、装置及系统,用以解决现有技术中终端设备在与家乡网络双向认证时,无法对服务网络验证的问题。
第一方面,本申请实施例提供了一种网络验证方法,该方法可由统一数据管理网元或统一数据管理网元的芯片执行,所述方法包括:第一网络中的统一数据管理网元根据终端设备的密钥K、第一随机数、以及第二网络的网络标识生成第一消息认证码;然后,所述统一数据管理网元向通过第二网络向所述终端设备发送随机数、第一消息认证码。
通过上述方法,所述统一数据管理网元在生成所述第一消息认证码时,采用所述第二网络的网络标识,可以使得所述终端设备在根据所述第一消息认证码对所述第一网络进行认证的过程中,同时可以完成对所述第二网络验证。
在一种可能的设计中,所述第一消息认证码携带在认证令牌中的。
通过上述方法,将所述第一消息认证码携带在认证令牌中,可以保证所述第一消息认证码的安全性。
在一种可能的设计中,所述统一数据管理网元可以直接根据终端设备的密钥K、第一随机数、以及第二网络的网络标识生成第一消息认证码(第一种方式),示例性的,如可以通过预设的运算,根据所述终端设备的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第一消息认证码;也可以采用其他方式生成第一消息认证码,示例性的,所述统一数据管理网元可以先根据所述第一随机数和所述第二网络的网络标识生成的第二随机数;之后,再根据所述终端设备的密钥K、所述第二随机数生成第一消息认证码(第二种方式)。
通过上述方法,所述统一数据管理网元可以采用不同的方式生成所述第一消息认证码,其中第一种方式较为直接,运算简单,可以较好的节省效率;第二种方式能够在不更改现有标准中消息认证码生成算法的前提下,可以实现终端设备对服务网络的验证。
在一种可能的设计中,在所述根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码之前,统一数据管理网元可以接收来自所述第二网络中的网元的终端认证获取请求,所述终端认证获取请求包括加密后的用户标识;之后,解密所述加密后的用户标识,获得解密后的用户标识;可以根据所述解密后的用户标识,获取所述终端设备的签约数据,其中,所述终端的签约数据中包括所述终端设备的密钥K。
通过上述方法,所述统一数据管理网元可以通过所述终端设备的用户标识查询到所述终端设备的密钥K,使得之后可以成功生成所述第一消息认证码,进一步的,保证可以实现所述终端设备对所述第二网络的验证。
第二方面,本申请实施例提供了一种网络验证方法,该方法可由终端设备或终端设备的芯片执行所述方法包括:终端设备通过第二网络接收来自第一网络中的统一数据管理网元的第一随机数、第一消息认证码;之后,所述终端设备根据本地存储的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第二消息认证码;然后,所述终端设备在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
通过上述方法,所述终端设备在生成所述第二消息认证码时,采用所述第二网络的网络标识,可以使得所述终端设备在根据所述第一消息认证码和所述第二消息认证码对所述第一网络进行认证的过程中,同时可以完成对所述第二网络验证。
在一种可能的设计中,所述第一消息认证码携带在认证令牌中的。
通过上述方法,将所述第一消息认证码携带在认证令牌中,可以保证所述第一消息认证码的安全性。
在一种可能的设计中,所述终端设备可以直接根据本地存储的密钥K、第一随机数、以及第二网络的网络标识生成第二消息认证码(第一种方式),示例性的,如可以通过预设的运算,所述本地存储的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第一消息认证码;也可以采用其他方式生成第一消息认证码,示例性的,所述终端设备可以先根据第一随机数和所述第二网络的网络标识生成的第二随机数;之后,再根据所述本地存储的密钥K、所述第二随机数生成第二消息认证码(第二种方式)。
通过上述方法,所述终端设备可以采用不同的方式生成所述第二消息认证码,其中第一种方式较为直接,运算简单,可以较好的节省效率;第二种方式并不需要更改现有标准中消息认证码生成算法,还保证可以实现终端设备对第二网络的验证。
在一种可能的设计中,所述终端设备通过第二网络接收来自第一网络的随机数、第一消息认证码时,可以从所述第二网络的安全锚功能网元接收携带有所述随机数、第一消息认证码的认证请求,获取所述随机数、第一消息认证码。
通过上述方法,所述终端设备可以方便的获取所述随机数和第一消息认证码,可以保证后续完成对所述第二网络的验证。
第三方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第一网络中的统一数据管理网元,有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第四方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、生成单元和验证单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第五方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第一网络中的统一数据管理网元,有益效果可以参见第一方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第一方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第六方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第二方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第二方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括收发机,用于与其他设备进行通信。
第七方面,本申请实施例还提供了一种通信系统,有益效果可以参见第一方面和第二方面的描述此处不再赘述。所述系统包括第一网络中的统一数据管理网元和第一网络中的认证服务功能网元;
其中,所述认证服务功能网元,用于接收来自第二网络中安全锚功能网元的认证鉴定请求;所述认证鉴定请求中包括来自终端设备的加密后的用户标识;向所述统一数据管理网元发送终端认证获取请求,所述终端认证获取请求包括所述加密后的用户标识;
所述统一数据管理网元,用于接收所述终端认证获取请求;解密所述加密后的用户标识,得到解密后的用户标识;根据所述解密后的用户标识,获取所述终端设备对应的签约数据,其中,所述终端设备对应的签约数据中包括所述终端设备的密钥K;根据所述终端设备的密钥K、第一随机数、以及所述第二网络的网络标识生成第一消息认证码;以及通过所述第二网络向所述终端设备发送所述第一随机数和所述第一消息认证码。
在一种可能的设计中,所述第一消息认证码携带在认证令牌中。
在一种可能的设计中,所述统一数据管理网元在根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码时,可以直接根据所述终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码,也可以采用其他方式生成所述第一消息认证码,示例性的,可以先根据所述第一随机数和所述第二网络的网络标识生成第二随机数;之后根据所述终端设备的密钥K和所述第二随机数生成所述第一消息认证码。
在一种可能的设计中,所述系统还可以包括所述第二网络的安全锚功能网元;所述安全锚功能网元可以从所述终端设备接收注册请求,所述注册请求中包括所述加密的用户标识;还可以向所述认证服务功能网元发送所述认证鉴定请求;还可以通过所述认证服务功能网元接收来自所述统一数据管理网元的所述第一随机数和所述第一消息认证码,以及向所述终端设备发送认证请求,所述认证请求中包括所述第一随机数和所述第一消息认证码。
第八方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第九方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十方面,本申请还提供一种计算机芯片,所述芯片与存储器相连,所述芯片用于读取并执行所述存储器中存储的软件程序,执行上述各方面所述的方法。
附图说明
图1A为本申请提供的一种网络系统架构示意图;
图1B为本申请提供的一种终端设备的结构示意图;
图2为现有技术中UE与家乡网络双向认证的方法示意图;
图3为本申请提供的一种网络验证方法的示意图;
图4为本申请提供的一种网络验证方法的示意图;
图5为本申请提供的一种网络验证方法的示意图;
图6为本申请提供的一种网络验证方法的示意图;
图7~10为本申请提供的一种通信装置的结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
参阅图1A所示,为本申请适用的一种可能的网络架构示意图。该网络架构为5G网络架构。该5G架构中的网元包括用户设备,图1A中以终端设备为UE为例。网络架构还包括无线接入网(radio access network,RAN)、接入和移动性控制功能(access and mobilityfunction,AMF)、统一数据管理(unified data management,UDM)、认证服务功能(authentication server function,AUSF)、安全锚功能(security anchor function,SEAF)等。
所述RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。
所述AMF网元负责终端的接入管理和移动性管理,如注册管理,连接管理,移动管理,可达性管理等;在实际应用中,其包括了LTE中网络框架中移动性管理实体(mobilitymanagement entity,MME)里的移动性管理功能,并加入了接入管理功能。
所述SEAF网元用于完成对UE的认证,在5G中,SEAF的功能可以合并到AMF中。
所述AUSF网元具有鉴权服务功能,用于终结所述SEAF网元请求的认证功能,在认证过程中,接收UDM发送的认证向量并对认证向量进行处理,将处理后的认证向量发送给SEAF。
所述UDM网元可存储用户的签约信息,生成认证参数等。
所述ARPF网元具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G中,所述ARPF网元的功能可以合并到UDM网元中。
本申请中的终端设备,也可以称为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。
如图1B所示,为本申请实施例提供的一种UE的结构示意图,其中,UE包括两种模块,分别为通用用户身份模块(universal subscriber identity module,USIM)和移动设备(mobile equipment,ME)模块。
所述USIM可以是UE中的SIM卡,可以存储一些较为重要的UE的签约信息,如在本申请实施例中所述UE与所述家乡网络签约所约定的密钥K,所述USIM还可以执行一些参数计算,在本申请实施例中可以实现第一消息认证码生成。
所述ME模块可以统指所述UE中除所述USIM外的硬件构成以及软件程序。所述ME模块中通常不会存储安全要求高的UE的签约信息,所述ME模块可以提供一些辅助功能,其中包括:实现所述UISM与网络侧之间的信息转发、利用所述USIM输出的参数生成RES*、生成KAUSF,在本申请实施例中,所述ME还可以实现第二随机数的生成。
其中,图1A的架构中,与本申请有关的网元主要是:所述UE、所述AUSF网元、所述UDM网元以及所述SEAF网元。
在本申请实施例中,所述SEAF网元和所述AUSF网元位于不同的网络中,例如,所述SEAF网元位于服务网络(serving network)中,在漫游场景下,所述SEAF网元位于拜访公共陆地移动网(visited public land mobile network,VPLMN)中,所述AUSF网元位于家乡网络(home network)中,若所述UE在所述家乡网络的覆盖范围之外则无法直接接入所述家乡网络获取服务。
若所述UE在家乡网络的覆盖范围之外,在所述服务网络的覆盖范围之内,所述UE为了能够获取所述服务网络提供的网络服务,则需要接入所述服务网络;由于所述服务网络并未与所述UE签约,所述UE为了可以获取所述服务网络的网络服务,所述服务网络需要对所述UE进行验证,所述家乡网络和所述UE需要进行双向认证。
如图2所示为基于如图1A所示的系统框架中,现有的双向认证的方法示意图。
步骤201:所述UE将加密后的用户标识携带在注册请求中发送给所述SEAF网元。
示例性的,所述UE可以对签约固定标识(subscription permanent identifier,SUPI)进行加密生成签约隐藏标识(subscription concealed identifier,SUCI),所述UE将SUCI携带在注册请求中发送给所述SEAF网元。
一种可能的实现方式中,所述UE使用配置的公钥对用户标识进行加密,得到加密后的用户标识。可选的,当网络存在多个公私钥对时,所述UE在加密用户标识时,可以指示网络自己使用了哪一个公钥对用户标识进行了加密,以便于网络根据所述UE的指示选择对应的私钥进行解密。例如所述UE还将用于解密该加密后的用户标识的密钥标识符和所述加密后的用户标识一起携带在注册请求中发送给所述SEAF网元。
步骤202:为了从家乡网络中获取所述UE的认证向量和用户标识,所述SEAF网元将加密后的用户标识携带在认证鉴定请求中,发送给所述家乡网络中的AUSF网元。
可选的,所述认证鉴定请求中还携带有所述密钥标识符。
步骤203:所述AUSF网元将加密后的用户标识携带在UE认证获取请求中,发送给所述UDM网元。
可选的,所述UE认证获取请求中还携带有所述密钥标识符。
步骤204:所述UDM网元对加密后的用户标识进行解密获取用户标识,所述UDM网元根据用户标识查询该用户标识对应的UE的签约信息。
可选的,当所述UE认证获取请求中携带有密钥标识符时,所述UDM网元根据所述密钥标识符获取解密密钥,并使用所述解密密钥解密所述加密后的用户标识,得到解密后用户标识。
步骤205:所述UDM网元根据所述UE的签约信息生成认证向量,其中所述认证向量包括多个参数,其中包括消息认证码(message authentication code,MAC),RAND,期望的挑战回复(eXpected RESponse,XRES*)、KAUSF。
示例性的,MAC可以携带在认证令牌(authentication token,AUTN),也就是说,所述认证向量可以包括RAND、携带有MAC的AUTN、XRES*、KAUSF;AUTN携带MAC的方式可参见现有AUTN的生成方式。
所述认证向量中的RAND是所述UDM网元随机生成的;对于所述认证向量中的其他参数,所述UDM网元可以根据所述UE签约信息中所述UE的密钥K以及RAND,通过不同运算生成MAC、XRES*以及KAUSF。
也就是说,所述UDM网元在生成MAC、XRES*以及KAUS均需要基于所述UE的密钥K和RAND,但运算方式不同。
例如,所述UDM网元根据所述UE的密钥K、所述RAND以及消息认证码生成算法,确定消息认证码MAC。
MAC用于所述UE对所述家乡网络的认证,XRES*用于家乡网络对UE的认证,KAUSF是所述UE和所述AUSF网元之间同步的派生密钥,用于派生锚点密钥KSEAF。
步骤206:所述UDM网元向所述AUSF网元发送认证获取响应,所述认证获取响应中包括所述认证向量和所述用户标识。
步骤207:所述AUSF网元对所述认证向量进行进一步处理,例如对XRES*进行哈希运算,生成HXRES*,根据KAUSF进行推演生成KSEAF,处理后的认证向量包括RAND、MAC、HXRES*,其中,MAC可以携带在AUTN,也就是说,所述处理后的认证向量包括RAND、携带有MAC的AUTN。
步骤208:所述AUSF网元向所述SEAF网元发送认证鉴定响应,所述认证鉴定响应中携带有所述处理后的认证向量。
步骤209:所述SEAF网元向所述UE发送认证请求,其中,所述认证请求中携带处理后的认证向量中的部分参数,该部分参数包括RAND、MAC,其中,MAC可以携带在AUTN中。
步骤210:所述UE根据所述UE中的USIM中存储的密钥K与从所述SEAF网元接收的RAND生成XMAC,这里所述UE生成XMAC所采用的运算方式与所述UDM网元生成MAC所采用的运算方式相同。
所述UE对XMAC和AUTN中携带的MAC的比对实现所述UE对所述家乡网络的认证。若XMAC和AUTN中的MAC一致,则认证成功,否则认证失败。
在认证成功后,所述UE根据RAND和K生成RES*,这里所述UE生成RES*所采用的运算方式与所述UDM网元生成XRES*所采用的运算方式相同。
步骤211:所述UE将RES*包含在认证响应中,发送给所述SEAF网元。
步骤212:所述SEAF网元对所述认证响应中包括的RES*进行哈希运算,生成HRES*,将HRES*与所述AUSF网元发送的认证向量中的HXRES*进行比对,通过HRES*与的HXRES*的比对完成所述服务网络对所述UE的认证,若HRES*与的HXRES*一致,则所述服务网络对所述UE认证成功,否则认证失败。
步骤213:在所述服务网络对所述UE认证成功之后,所述SEAF网元将所述UE返回的RES*转发给所述AUSF网元,由所述AUSF网元进行下一步的认证。
步骤214:所述AUSF网元接收到RES*后,将RES*与所述认证向量中的XRES*进行比对,结果若一致,则完成所述家乡网络对所述UE的认证。
步骤215:所述AUSF网元在认证成功之后,会将用户标识和KSEAF发送给所述SEAF网元。
由上述内容可以才看出,所述UE在接入所述服务网络后,仅是所述UE与所述家乡网络之间存在双向认证,也即所述UE对所述家乡网络的认证和所述家乡网络对所述UE的认证,而所述UE并不会对服务网络进行验证,也无法识别所述服务网络是否为欺骗网络。
为了在所述UE与所述家乡网络进行双向认证的过程中同时完成对所述服务网络的验证,本申请提出了一种网络验证方法,在本申请实施例中,所述家乡网络中的统一数据管理网元在生成认证向量时,认证向量中的消息认证码(在本申请实施例中对应了第一消息认证码)的生成过程中利用所述统一数据管理网元确定的服务网络的网络标识;所述UE在对所述家乡网络认证时,也需要结合所述服务网络发送给所述UE的网络标识生成消息认证码(在本申请实施例中对应了第二消息认证码),与来自所述家乡网络中的统一数据管理网元的消息认证码进行比对,以完成所述UE对所述家乡网络的验证,也就是说,在所述UE对所述家乡网络认证的过程中,涉及到所述服务网络的网络标识的验证,采用本申请实施例的方式既可以实现对所述家乡网络的验证,同时也可以验证所述服务网络是否为欺骗网络。
具体的,本申请实施例提供的网络验证方法,以可以分为两种方式:
方式一、所述家乡网络中的统一数据管理网元在生成第一消息认证码时直接利用了所述统一数据管理网元确定的服务网络的网络标识,相应的,所述UE在生成第二消息认证码时直接利用了所述UE从所述服务网络接收的服务网络的网络标识。
方式二、所述家乡网络中的统一数据管理网元在生成第一消息认证码时,先基于第一随机数和所述统一数据管理网元确定的服务网络的网络标识生成第二随机数,之后,根据所述第二随机数生成所述第一消息认证码,相应的,所述UE在生成第二消息认证码时,先基于第一随机数和所述UE从服务网络接收的网络标识生成第二随机数,之后,根据所述第二随机数生成所述第二消息认证码。
上述两种实现方式,相比于现有技术,本申请实施例中,所述UDM网元或者所述UE在生成消息认证码MAC时,都引入了服务网络的网络标识这一新的输入参数,使得所述UE在验证家乡网络的时候,也能够同步实现对服务网络的验证。
下面对这两种方式分别进行介绍:
方式一、消息认证码是直接基于服务网络的网络标识生成的。
如图3所示,以第一网络为UE的家乡网络,第二网络是UE当前所连接的服务网络,统一数据管理网元为UDM网元、认证服务功能网元为AUSF网元、安全锚功能网元为SEAF网元为例,对本申请实施例提供的一种网络验证方法中的方式一进行介绍,该方法包括:
步骤301:所述第一网络中的UDM网元根据所述UE的密钥K、第一随机数、以及第二网络的网络标识生成第一消息认证码。
示例性的,所述UDM网元可以基于第一运算,根据所述UE的密钥K、第一随机数、以及第二网络的网络标识生成第一消息认证码。
作为一种可能的实施方式,在步骤301之前,所述UDM网元可以接收来自所述第一网络中的AUSF网元的UE认证获取请求之后,可以生成所述第一随机数。
所述AUSF网元在接收到所述第二网络中的SEAF发送的携带所述UE用户标识的认证鉴定请求后,所述AUSF网元向所述UDM网元发送携带有所述加密后的用户标识的UE认证获取请求,以请求所述UDM网元生成的认证向量;所述UDM网元在接收到所述UE认证获取请求确定后续需要对UE进行认证,采用随机生成的方式生成所述随机数。
需要说明的是,所述UE认证获取请求中可以携带加密后的用户标识,也可以携带不加密后的用户标识(本申请中用所述UE的用户标识表示不加密的用户标识或解密后的用户标识),如在所述UE首次接入所述第二网络的情况下,可以携带加密后的用户标识,在所述UE非首次接入所述第二网络的情况下,可以携带不加密的用户标识,在本申请实施例中以所述UE认证获取请求中携带有加密后的用户标识为例进行说明。对于所述UE认证获取请求中携带所述UE的用户标识的情况,所述UDM网元可以省略解密过程,执行之后的操作。
一种可能的实现方式中,所述UE认证获取请求中包括加密后的用户标识。所述UDM获取默认的私钥对所述加密后的用户标识进行解密,获得解密后的用户标识。
另一种可能的实现方式中,所述UE认证获取请求中包括加密后的用户标识和用于解密所述加密后的用户标识的密钥对应的密钥标识符。所述UDM网元根据所述密钥标识符获取解密密钥,并使用所述解密密钥对所述加密后的用户标识进行解密,获得解密后的用户标识。
所述UDM网元在获取所述UE的用户标识后,可以根据所述UE的用户标识获取所述UE的签约信息,并从所述UE的签约信息中确定与所述UE在签约时约定的密钥K,执行步骤301。
在步骤301中,区别于现有技术,所述UDM网元在生成消息认证码时,会结合所述第二网络的网络标识。
所述UDM网元获取所述第二网络的网络标识的方式本申请实施例并不限定,所述第二网络的网络标识可以是所述第二网络中的核心网网元,如所述SEAF网元发送给所述UDM网元的,也可以是所述AUSF网元在获取了所述第二网络的网络标识之后,发送给所述UDM网元的。
所述AUSF网元可以将所述第二网络的网络标识携带在需要发送给所述UDM网元的信息中,将所述第二网络的网络标识发送给所述UDM网元,所述需要发送给所述UDM网元的信息可以是所述UE认证获取请求,也可以其他信息,本申请实施例并不限定。
需要说明的是,所述AUSF网元获取所述第二网络的网络标识的方式本申请实施例并不限定,所述第二网络的网络标识可以是所述第二网络中的核心网网元,如所述SEAF网元发送给所述AUSF网元,也可以是所述AUSF网元通过与所述第二网络中的核心网网元,如所述SEAF网元通信的信息通道确定所述第二网络,进而确定所述第二网络的网络标识。
所述第二网络的网络标识用于标识所述第二网络,具体的,所述第二网络的网络标识可以是统一分配的序列号,也可以是可路由网络地址,还可以是如域名形式标识的网络名,本申请实施例并不限定所述第二网络的网络标识的形式,凡是可以标识所述第二网络的标识均适用于本申请实施例。
在步骤301中,所述UDM网元生成所述第一消息认证码时,所采用的第一运算可以是将所述UE的密钥K、所述第一随机数、以及所述第二网络的网络标识作为输入参数获取消息验证码的运算方式,该第一运算相比于现有的消息认证码生成算法(如步骤205所述的消息认证码算法),至少多了一个输入参数“第二网络的网络标识”,本申请实施例中并不限定所述第一运算的具体类型,且在基于所述第一运算生成所述第一消息认证码时,还可以结合其他参数,例如可以结合匿名化序列号(sequence number,SQN),认证管理域(authentication management field,AMF)等,本申请实施例并不限定。
在生成了所述第一消息认证码后,可以将所述第一消息认证码携带在认证令牌中,也就是说,所述UDM网元在构造所述认证令牌时,将所述第一消息认证码作为所述认证令牌中的一部分。
步骤302:所述UDM网元通过第二网络向所述UE发送所述第一随机数、第一消息认证码。
所述UDM网元在生成了所述第一消息认证码之后,可以将所述第一随机数和所述第一消息认证码发送给所述UE,示例性的,所述UDM网元可以生成认证向量,所述认证向量中包括所述第一随机数和所述认证令牌,所述认证令牌中携带所述第一消息认证码,所述UDM网元将所述认证向量中的第一随机数和认证令牌通过所述第二网络中的SEAF网元发送给所述UE。
作为一种可能的实施方式,所述UDM网元可以通过所述第二网络的SEAF网元将所述认证向量中的第一随机数和认证令牌发送给所述UE;具体的,所述UDM网元可以先将所述认证向量发送给所述第一网络中的AUSF网元中,之后,再由所述第一网络中的AUSF网元将所述第一随机数和所述第一消息认证码发送给所述第二网络的SEAF网元。
当所述SEAF网元接收到所述认证向量后,可以获取所述认证向量中的第一随机数和认证令牌,将所述第一随机数和所述认证令牌发送给所述UE。
应需理解的是,所述认证向量还可以包括其他参数,如XRES*、KAUSF,所述第一网络中的AUSF网元在接收到所述认证向量后,可以对所述认证向量进一步处理,具体可以参见步骤207中的相关描述,此处不再赘述。
步骤303:所述UE通过第二网络接收所述第一随机数、所述第一消息认证码后,根据本地存储的密钥K、第一随机数、以及所述第二网络的网络标识生成第二消息认证码。
示例性的,所述UE可以采用与所述UDM网元侧相同的方式生成所述第二消息认证码,所述UE基于所述第一运算,通过本地存储的密钥K、第一随机数、以及所述第二网络的网络标识生成第二消息认证码。
所述UE在生成所述第二消息认证码之前,需要先确定所述第二网络的网络标识,所述UE确定所述第二网络的网络标识的方式本申请实施例并不限定,例如可以是基站通过广播消息,将所述第二网络的网络标识发送给所述UE的,又例如所述第二网络的网络标识可以是所述第二网络中的SEAF网元发送给所述UE的。
所述UE与所述第一网络签约时,会约定密钥K,所述密钥K保存在所述UE的签约信息中,同时所述密钥K也会存储在所述UE本地。
所述UE采用与所述UDM网元中生成所述第一消息认证码相同的方式生成所述第二消息认证码,所述UE基于相同的所述第一运算,通过本地存储的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第二消息认证码。
步骤304:所述UE在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
所述UE在生成所述第二消息认证码后,可以与接收到所述第一消息认证码进行比对。
若所述第一消息认证码和所述第二消息认证码一致,则说明所述UDM网元在生成所述第一消息认证码采用的第二网络的网络标识与所述UE在生成所述第二消息认证码采用的第二网络的网络标识相同,所述UE接收到所述第二网络的网络标识为真实的网络标识,所述第二网络不是欺骗网络,对所述第二网络验证成功。
若所述第一消息认证码和所述第二消息认证码不一致,则对所述第一网络或者是说第二网络验证不成功。
方式二、消息认证码是基于由服务网络的网络标识确定的随机数生成的。
如图4所示,以所述第一网络为所述UE的家乡网络,所述第二网络是所述UE当前所连接的服务网络,统一数据管理网元为UDM网元、认证服务功能网元为AUSF网元、安全锚功能网元为SEAF网元为例,对本申请实施例提供的一种网络验证方法中的方式二进行介绍,该方法包括:
步骤401:所述UDM网元根据所述第一随机数和所述第二网络的网络标识生成第二随机数。
示例性的,所述UDM网元可以基于第二运算,根据所述第一随机数、以及第二网络的网络标识生成第一消息认证码。
在如图4所示的实施例中,所述第二运算为将所述第一随机数、以及所述第二网络的网络标识作为输入参数的以获取一个新的随机数的运算方式,本申请实施例中并不限定所述第一运算的具体类型,所述UDM网元确定所述第二网络的网络标识的方式与如图3所示的实施例中所述UDM网元确定所述第二网络的网络标识的方法相同,具体可参见如图3所示的实施例中的相关描述,此处不再赘述。
作为一种可能的实施方式,在步骤401之前,所述UDM网元可以接收来自所述第一网络中的AUSF网元的UE认证获取请求之后,可以生成所述第一随机数。关于所述UE认证获取请求的说明、以及所述UDM网元对所述加密后的用户标识,进行解密,并获取所述UE的密钥K的说明可以参见步骤301中的相关描述,此处不再赘述。
步骤402:所述UDM网元根据所述UE的密钥K、所述第二随机数生成第一消息认证码。
示例性的,所述UDM网元可以基于第三运算,根据所述UE的密钥K、所述第二随机数生成第一消息认证码。
所述UDM网元在生成所述第二随机数后,基于所述第二运算生成所述第一消息认证码,在步骤402中,所述UDM网元生成所述第一消息认证码时,所采用的所述第二运算可以是将所述UE的密钥K、所述第二随机数、以及所述UDM网元确定的所述第二网络的网络标识作为输入参数获取消息认证码的运算方式,该第三运算可以和现有的消息认证码生成算法相同。本申请实施例中并不限定所述第三运算的具体类型,且在基于所述第三运算生成所述第一消息认证码时,还可以结合其他参数,例如可以结合SQN、AMF等,本申请实施例并不限定。在生成了所述第一消息认证码后,可以将所述第一消息认证码携带在认证令牌中,也就是说,所述UDM网元在构造所述认证令牌时,将所述第一消息认证码作为所述认证令牌中的一部分。
步骤403:所述UDM网元通过第二网络向所述UE发送所述第一随机数、所述第一消息认证码。
所述UDM网元通过第二网络向所述UE发送第一随机数、第一消息认证码与如图3所述的实施例中所述UDM网元向通过第二网络向所述UE发送随机数、第一消息认证码的方式相同,此处不再赘述。
步骤404:所述UE通过第二网络接收所述第一随机数、第一消息认证码后,根据所述第一随机数和所述第二网络的网络标识生成第二随机数,示例性的,所述UE可以基于所述第一运算,生成第二随机数。
步骤405:所述UE根据本地存储的密钥K、第二随机数生成第二消息认证码,示例性的,所述UE可以基于所述第三运算,生成第二消息认证码。
所述UE在生成所述第二消息认证码之前,需要先确定所述第二网络的网络标识,所述UE确定所述第二网络的网络标识可参见如图3所示的实施例中的相关描述,此处不再赘述。
所述UE在接收到所述第一随机数后,可以采用与所述第一网络中的UDM网元中生成所述第一消息认证码相同的方式生成所述第二消息认证码,所述UE首先基于相同的所述第一运算,通过所述第一随机数、以及所述UE从所述第二网络接收的所述第二网络的网络标识生成所述第二随机数;之后基于相同的所述第二运算,通过本地存储的密钥K、第二随机数生成第二消息认证码。
所述密钥K的描述可参见如图3所示的实施例中的相关描述,此处不再赘述。
步骤406:所述UE在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
所述UE在生成所述第二消息认证码后,可以与接收到所述第一消息认证码进行比对。
若所述第一消息认证码和所述第二消息认证码一致,则说明所述UDM网元在生成所述第一消息认证码采用的第二随机数与所述UE在生成所述第二消息认证码采用的第二随机数相同,进一步的可以说明,所述UDM网元在生成所述第二随机数采用的第二网络的网络标识与所述UE在生成所述第二随机数采用的第二网络的网络标识相同,所述UE接收到所述第二网络的网络标识为真实的网络标识,所述第二网络不是欺骗网络,对所述第二网络验证成功。
若所述第一消息认证码和所述第二消息认证码不一致,则说明所述UDM网元在生成所述第一消息认证码采用的第二随机数与所述UE在生成所述第二消息认证码采用的第二随机数不同,进一步的可以说明,所述UDM网元在生成所述第二随机数采用的第二网络的网络标识与所述UE在生成所述第二随机数采用的第二网络的网络标识不同,所述UE接收到所述第二网络的网络标识不是真实的网络标识,所述第二网络是欺骗网络,对所述第二网络验证不成功。
相比于图3所示实施例,本申请实施例可以在不更改现有标准中消息认证码生成算法的前提下,实现UE对服务网络的验证;从图2所示的实施例,可以看出现有的消息认证码是根据所述UE的密钥K和RAND生成的,当采用如图4所示的实施例中,可以不更改生成消息认证码(对应图4中的第一消息认证码和第二消息认证码)的生成算法,不需要更改用于生成消息认证码的参数数量,只需将现有的消息认证码生成方式中的RAND更新为第二随机数即可,也就是说,仍可以沿用现有的消息认证码的生成算法,使得生成消息认证码的方式更加方便、高效。
下面将如图3、4所示的实施例应用于具体场景,对本申请实施例提供的网络认证方法,进行进一步介绍:
在本申请实施例中涉及两种服务网络的网络标识(serving network name,SNN),分别为所述家乡网络确定的服务网络的网络标识(如所述家乡网络中的UDM网元确定的服务网络的网络标识)和所述UE从服务网络接收的服务网络的网络标识,为了便于说明,用第一SNN和第二SNN进行区分,其中,所述第一SNN为所述家乡网络确定的服务网络的网络标识,所述第二SNN为所述UE从所述服务网络接收的服务网络的网络标识。
一般来说,第一SNN为所述服务网络的真实的网络标识,而所述服务网络发送给终端设备的第二SNN,并不一定是真实网络标识,所述服务网络有可能通过发送假的网络标识给终端设备,欺骗所述终端设备,获取所述终端设备的相关信息,在本申请实施例中可以通过第一SNN和第二SNN是否一致来验证所述服务网络是否为欺骗网络。
如图5所示,为本申请实施例提供的一种网络认证方法,该方法包括:
步骤501:同步骤201~204,具体可参见如图2所示的步骤201~204的相关说明,此处不再赘述。
需要说明的是,本申请实施例中并不限定所述家乡网络中的UDM网元确定所述第一SNN的方式,例在所述服务网络中的SEAF网元在所述家乡网络中的AUSF网元发送加密后的用户标识时,所述网元可以同时发送所述第一SNN,所述AUSF网元获取所述第一SNN;所述AUSF网元在转发加密后的用户标识时,也会将所述第一SNN发送给所述UDM网元;又例如,所述AUSF网元可以根据与所述SEAF网元交互的通道,确定该通道对应的服务网络,进而确定第一SNN,之后,在向所述UDM网元发送加密后的用户标识时,同时发送所述第一SNN,在本申请实施例中,凡是可以使所述UDM网元接收到所述第一SNN的方式均适用于本申请实施例。
步骤502:所述UDM网元生成第一认证向量,其中所述第一认证向量包括RAND、XRES*、KAUSF、第一消息认证码MAC*,其中MAC携带在AUTN中。
其中,RAND、XRES*、KAUSF可以采用现有的生成方式,此处不再详述。
对于MAC*,所述UDM网元基于所述第一运算,根据所述UE签约信息中的密钥K、RAND、第一SNN生成MAC*。
下面列举一种第一认证向量中各个参数的生成方式:
所述UDM网元生成RAND后,通过如下方式生成MAC*、XRES*、KAUSF:
MAC*=f1(K,RAND,第一SNN),XRES*=f2(K,RAND,第一SNN),KAUSF=f3(K,RAND),其中,f1、f2、f3分别表示一种运算方式。
步骤503:所述UDM网元在生成了所述第一认证向量之后,将所述第一认证向量发送给所述AUSF网元,示例性的,所述UDM网元将携带有所述第一认证向量携带在认证获取响应发送给所述AUSF网元。
步骤504:所述AUSF网元在接收到所述第一认证向量后,对所述第一认证向量进行进一步处理,生成第二认证向量。
其中,所述第二认证向量中包括RAND、HXRES*、MAC*,MAC*携带在AUTN中。
HXRES*的生成方式参见步骤207中的相关描述,此处不再赘述。
可选的,所述AUSF网元还可以根据KAUSF进行推演生成KSEAF,并在本地保存KSEAF以便后续发送给所述SEAF网元。
步骤505:所述AUSF网元向所述服务网络中的SEAF网元发送所述第二认证向量。
所述AUSF可以向所述服务网络中的SEAF网元发送携带有所述第二认证向量的认证鉴定响应。
步骤506:所述SEAF网元在接收到所述第二认证向量后,向所述UE发送非接入层(non-access stratum,NAS)消息(如认证请求),所述NAS消息中包括RAND,MAC*,MAC*可以携带在AUTN中。
步骤507:所述UE接收到所述NAS消息后,基于所述第一运算,通过所述USIM中存储的密钥K、RAND、所述第二SNN生成第二消息认证码XMAC*。
其中,所述第二SNN是所述UE在接入服务网络后,所述服务网络发送给所述UE的服务网络的网络标识,本申请实施例并不限定所述第二SNN发送给UE的方式,凡是可以使所述UE接收到所述第二SNN的方式均适用于本申请实施例。
步骤508:所述UE在确定XMAC*与AUTN中携带的MAC*一致后,向所述SEAF网元发送携带有RES*的认证响应。
其中,RES*的生成方式可以参见步骤210中的相关描述,此处不再赘述。
需要说明的是,所述UE进行XMAC*和MAC*的对比的操作可以是UE中的USIM模块执行的,可以是ME模块本申请实施例并不限定。
若所述UDM网元在生成认证令牌时采用如步骤502中列举的方式,下面对所述UE进行XMAC*和MAC*的对比的方式进行详细介绍:
首先,所述UE采用与所述UDM网元生成MAC*的相同的方式生成XMAC*,也即XMAC*=f1(K,RAND,第二SNN)。
所述UE可以采用与所述UDM网元生成XRES*的相同的方式生成RES*,也即RES*=f2(K,RAND,第二SNN)。
所述UE在生成XMAC*后,对XMAC*和AUTN*中的MAC*进行对比,若一致,则说明在所述UE生成XMAC*时使用的所述第一SNN和所述UDM网元生成MAC*时使用的所述第二SNN相同,所述服务网络不是欺骗网络,所述UE对服务网络验证成功;若不一致,则说明所述服务网络为欺骗网络,所述UE对所述服务网络验证失败。
若所述UE对服务网络验证失败,所述UE可以向SEAF网元发送用于指示验证失败的消息。
步骤509:同步骤212~步骤215,此处不再赘述,实现所述服务网络对UE进行认证,所述家乡网络对UE进行认证。
如图6所示,为本申请实施例提供的另一种网络认证方法,该方法包括:
步骤601:同步骤501。
步骤602:所述UDM网元生成第一认证向量,其中所述第一认证向量包括第一RAND、XRES*、KAUSF、第一消息认证码(MAC*)。
其中,MAC*可以携带在AUTN中,第一RAND是所述UDM网元随机生成的随机数。
所述UDM网元生成MAC*的过程如下:所述UDM网元先基于所述第二运算,根据所述第一RAND和所述第一SNN生成第二RAND,之后,再基于所述第三运算,根据所述UE签约信息中的密钥K与所述第二RAND生成MAC*。
XRES*、KAUSF的生成方式可以与现有的生成方式相同,也即通过对应的运算方式,根据第一RAND和密钥K生成,也可以通过对应的运算方式,根据所述第二RAND和密钥K生成,本申请实施例并不限定。
下面列举一种第一认证向量中各个参数的生成方式:
通过如下方式生成MAC*、XRES*、KAUSF:
第二RAND=H(第一RAND,第一SNN),MAC*=f1(K,第二RAND,),XRES*=f2(K,第二RAND,第一SNN),KAUSF=f3(K,第二RAND),其中,H、f1、f2、f3分别表示一种运算方式。
步骤603:所述UDM网元在生成了所述第一认证向量之后,将所述第一认证向量发送给所述AUSF网元,示例性的,所述UDM网元将携带有所述第一认证向量携带在认证获取响应发送给所述AUSF网元。
步骤604:所述AUSF网元在接收到所述第一认证向量后,对所述第一认证向量进行进一步处理,生成第二认证向量。
其中,所述第二认证向量中包括第一RAND、HXRES*、MAC*,其中,MAC*可以携带在AUTN中。
HXRES*的生成方式参见步骤207中的相关描述,此处不再赘述。
可选的,所述AUSF网元还可以根据KAUSF进行推演生成KSEAF,并在本地保存KSEAF以便后续发送给SEAF网元。
步骤605:所述AUSF网元向所述SEAF网元发送所述第二认证向量。
所述AUSF可以向所述服务网络中的SEAF网元发送携带有所述第二认证向量的认证鉴定响应。
步骤606:所述SEAF网元在接收到所述第二认证向量后,向所述UE发送NAS消息(如认证请求),所述NAS消息中包括第一RAND,MAC*,其中,MAC*可以携带在AUTN中。所述NAS消息还可以包括其他信息,本申请实施例并不限定。
步骤607:所述UE接收到所述NAS消息后,基于所述第二运算,通过所述第一RAND、第二SNN生成第二RAND,之后再基于第三运算,根据第二RAND和USIM中存储的密钥K生成第二消息认证码XMAC*。
需要说明的是,步骤607中的第二RAND与步骤602中的第二RAND不同,步骤607中的第二RAND是所述UE生成的,步骤602中的第二RAND是所述UDM网元生成的,步骤607中的第二RAND与步骤602中的第二RAND的数值是否相同,取决于所述第一SNN和所述第二SNN是否相同,若所述第一SNN和所述第二SNN不同,则步骤607中的第二RAND与步骤602中的第二RAND的数值不同,所述第一SNN和所述第二SNN相同,则步骤607中的第二RAND与步骤602中的第二RAND的数值相同。
步骤608:所述UE在确定XMAC*与认证令牌中的MAC*一致后,向所述SEAF网元发送RES*。
所述UE根据第二RAND和密钥K生成RES*,这里所述UE生成RES*所采用的运算方式与所述UDM网元生成XRES*所采用的运算方式相同。
需要说明的是,所述UE进行XMAC*和MAC*的对比的操作可以是所述UE中的USIM模块执行的,可以是其他模块(如ME模块)本申请实施例并不限定。
若所述UDM网元在生成认证令牌时采用如步骤602中列举的方式,下面对UE进行XMAC*和MAC*的对比的方式进行介绍:
首先,所述UE采用与所述UDM网元生成MAC*的相同的方式生成XMAC*,也即第二RAND=H(第一RAND,第二SNN),XMAC*=f1(K,SQN,第二RAND,第二SNN)。
所述UE可以采用与所述UDM网元生成XRES*的相同的方式生成RES*,也即RES*=f2(K,第二RAND,第二SNN)。
所述UE在生成XMAC*后,对XMAC*和AUTN*中的MAC*进行对比,若一致,则说明在所述UE生成XMAC*时使用的第二RAND和所述UDM网元生成MAC*时使用的第二RAND相同,进一步可以说明所述UE生成第二RAND使用的第二SNN和UDM网元生成第二RAND使用的第一SNN相同,所述服务网络不是欺骗网络,所述UE对所述服务网络验证成功;若不一致,则说明所述服务网络为欺骗网络,所述UE对所述服务网络验证失败。
若所述UE对服务网络验证失败,所述UE向所述SEAF网元发送用于指示验证失败的消息。
步骤609:同步骤509,此处不再赘述。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图3~6所示的方法实施例中所述UDM网元执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图7所示,所述装置包括处理单元701和发送单元702:
所述处理单元701,用于根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码;
所述发送单元702,用于通过所述第二网络向所述终端设备发送所述第一随机数和所述第一消息认证码。
作为一种可能的实施方式,所述第一消息认证码携带在认证令牌中。
作为一种可能的实施方式,所述处理单元701在根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码时,可以直接根据所述终端设备的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第一消息认证码,也可以采用其他方式,示例性的,所述处理单元701可以先根据所述第一随机数和所述第二网络的网络标识生成第二随机数;之后,根据所述终端设备的密钥K和所述第二随机数生成所述第一消息认证码。
作为一种可能的实施方式,所述装置还包括接收单元703,所述接收单元703在所述处理单元701根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码之前,可以接收来自所述第二网络中的认证服务功能网元发送的终端认证获取请求,所述终端认证获取请求包括加密后的用户标识;所述处理单元701则可以解密所述加密后的用户标识,得到解密后的用户标识;以及根据所述解密后的用户标识,获取所述终端设备的签约数据,其中,所述终端的签约数据中包括所述终端设备的密钥K。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图3~6所示的方法实施例中所述终端设备执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图8所示,该装置包括接收单元801、生成单元802以及验证单元803:
所述接收单元801,用于通过第二网络接收来自第一网络的随机数、第一消息认证码;以及从所述第二网络接收所述第二网络的网络标识;
所述生成单元802,用于根据本地存储的密钥K、第一随机数、以及所述第二网络的网络标识生成第二消息认证码;
所述验证单元803,用于在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
作为一种可能的实施方式,所述第一消息认证码携带在认证令牌中。
作为一种可能的实施方式,所述生成单元802在根据本地存储的密钥K、所述第一随机数、以及所述第二网络的网络标识生成第二消息认证码,可以直接根据所述本地存储的密钥K、所述第一随机数、以及所述第二网络的网络标识生成所述第二消息认证码,也可以采用其他方式,示例性的,所述生成单元802可以先根据所述第一随机数和所述第二网络的网络标识生成第二随机数;之后,根据所述本地存储的密钥K和所述第二随机数生成所述第二消息认证码。
作为一种可能的实施方式,所述接收单元801在通过第二网络接收来自第一网络的随机数、第一消息认证码时,所述随机数、第一消息认证码可以携带在一些信令中,示例性的,所述接收单元801可以从所述第二网络的安全锚功能网元接收认证请求,所述认证请求中包括所述第一随机数、第一消息认证码。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,所述统一数据管理网元和所述终端设备均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,本领域的技术人员可以想到所述统一数据管理网元可采用图9所示的形式。
如图9所示的通信装置900,包括至少一个处理器901、存储器902,可选的,还可以包括通信接口903。
存储器902可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器902是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器902可以是上述存储器的组合。
本申请实施例中不限定上述处理器901以及存储器902之间的具体连接介质。本申请实施例在图中以存储器902和处理器901之间通过总线904连接,总线904在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线904可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器901可以具有数据收发功能,能够与其他设备进行通信,在如图9装置中,也可以设置独立的数据收发模块,例如通信接口903,用于收发数据;处理器901在与其他设备进行通信时,可以通过通信接口903进行数据传输。
当所述统一数据管理网元采用图9所示的形式时,图9中的处理器901可以通过调用存储器1402中存储的计算机执行指令,使得所述基站可以执行上述任一方法实施例中的所述基站执行的方法。
具体的,图7的发送单元、接收单元和处理单元的功能/实现过程均可以通过图9中的处理器901调用存储器902中存储的计算机执行指令来实现。或者,图7中的处理单元的功能/实现过程可以通过图9中的处理器901调用存储器902中存储的计算机执行指令来实现,图7的发送单元和接收单元的功能/实现过程可以通过图9中的通信接口903来实现。
在一个简单的实施例中,本领域的技术人员可以想到所述终端设备可采用图10所示的形式。
如图10所示的通信装置1000,包括至少一个处理器1001、存储器1002,可选的,还可以包括收发器1003。
存储器1002可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1002是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1002可以是上述存储器的组合。
本申请实施例中不限定上述处理器1001以及存储器1002之间的具体连接介质。本申请实施例在图中以存储器1002和处理器1001之间通过总线1004连接,总线1004在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1004可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1001可以具有数据收发功能,能够与其他设备进行通信,在如图10装置中,也可以设置独立的数据收发模块,例如收发器1003,用于收发数据;处理器1001在与其他设备进行通信时,可以通过收发器1003进行数据传输。
当终端设备采用图10所示的形式时,图10中的处理器1001可以通过调用存储器1002中存储的计算机执行指令,使得所述终端设备可以执行上述任一方法实施例中的终端设备执行的方法。
具体的,图8中的接收单元、生成单元以及验证单元的功能/实现过程均可以通过图10中的处理器1001调用存储器1002中存储的计算机执行指令来实现。或者,图8中的生成单元以及验证单元的功能/实现过程可以通过图10中的处理器1001调用存储器1002中存储的计算机执行指令来实现,图8中的接收单元的功能/实现过程可以通过图10中的收发器1003来实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (15)
1.一种网络验证方法,其特征在于,所述方法包括:
统一数据管理网元根据第一随机数和第二网络的网络标识生成第二随机数;
所述统一数据管理网元根据终端设备的密钥K和所述第二随机数生成第一消息认证码;
所述统一数据管理网元通过所述第二网络向所述终端设备发送所述第一随机数和所述第一消息认证码。
2.如权利要求1所述的方法,其特征在于,所述第一消息认证码携带在认证令牌中。
3.如权利要求1或2所述的方法,其特征在于,所述统一数据管理网元在所述根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码之前,所述方法还包括:
所述统一数据管理网元接收来自所述第二网络中的认证服务功能网元发送的终端认证获取请求,所述终端认证获取请求包括加密后的用户标识;
所述统一数据管理网元解密所述加密后的用户标识,得到解密后的用户标识;
所述统一数据管理网元根据所述解密后的用户标识,获取所述终端设备对应的签约数据,其中,所述终端设备对应的签约数据中包括所述终端设备的密钥K。
4.一种网络验证方法,其特征在于,所述方法包括:
通过第二网络接收来自第一网络中统一数据管理网元的第一随机数和第一消息认证码;
根据第一随机数和第二网络的网络标识生成第二随机数;
根据本地存储的密钥K和所述第二随机数生成第二消息认证码;
在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
5.如权利要求4所述的方法,其特征在于,所述第一消息认证码携带在认证令牌中。
6.如权利要求4或5所述的方法,其特征在于,所述通过第二网络接收来自第一网络中统一数据管理网元的第一随机数和第一消息认证码,包括:
从所述第二网络的安全锚功能网元接收认证请求,所述认证请求中包括所述第一随机数和所述第一消息认证码。
7.一种通信装置,其特征在于,所述装置包括处理单元和发送单元:
所述处理单元,用于根据第一随机数和第二网络的网络标识生成第二随机数;根据终端设备的密钥K和所述第二随机数生成第一消息认证码;
所述发送单元,用于通过所述第二网络向所述终端设备发送所述第一随机数和所述第一消息认证码。
8.如权利要求7所述的装置,其特征在于,所述第一消息认证码携带在认证令牌中。
9.如权利要求7或8所述的装置,其特征在于,所述装置还包括接收单元,所述接收单元在所述处理单元根据终端设备的密钥K、所述第一随机数、以及第二网络的网络标识生成第一消息认证码之前,用于:
接收来自所述第二网络中的认证服务功能的终端认证获取请求,所述终端认证获取请求包括加密后的用户标识;
所述处理单元,还用于解密所述加密后的用户标识,得到解密后的用户标识;以及根据所述解密后的用户标识,获取所述终端设备的签约数据,其中,所述终端的签约数据中包括所述终端设备的密钥K。
10.一种通信装置,其特征在于,所述装置包括接收单元、生成单元以及验证单元:
所述接收单元,用于通过第二网络接收来自第一网络中统一数据管理网元的第一随机数和第一消息认证码;
所述生成单元,用于根据第一随机数和第二网络的网络标识生成第二随机数;根据本地存储的密钥K和所述第二随机数生成第二消息认证码;
所述验证单元,用于在确定所述第一消息认证码和所述第二消息认证码一致后,确定对所述第二网络验证成功。
11.如权利要求10所述的装置,其特征在于,所述第一消息认证码携带在认证令牌中。
12.如权利要求10或11所述的装置,其特征在于,所述接收单元在通过第二网络接收来自第一网络中统一数据管理网元的第一随机数和第一消息认证码,具体用于:
从所述第二网络的安全锚功能网元接收认证请求,所述认证请求中包括所述第一随机数和所述第一消息认证码。
13.一种通信系统,其特征在于,所述系统包括第一网络中的统一数据管理网元和第一网络中的认证服务功能网元;
所述认证服务功能网元,用于接收来自第二网络中安全锚功能网元的认证鉴定请求;所述认证鉴定请求中包括来自终端设备的加密后的用户标识;向所述统一数据管理网元发送终端认证获取请求,所述终端认证获取请求包括所述加密后的用户标识;
所述统一数据管理网元,用于接收所述终端认证获取请求;解密所述加密后的用户标识,得到解密后的用户标识;根据所述解密后的用户标识,获取所述终端设备对应的签约数据,其中,所述终端设备对应的签约数据中包括所述终端设备的密钥K;根据第一随机数和第二网络的网络标识生成第二随机数;根据所述终端设备的密钥K和所述第二随机数生成第一消息认证码;以及通过所述第二网络向所述终端设备发送所述第一随机数和所述第一消息认证码。
14.如权利要求13所述的系统,其特征在于,所述第一消息认证码携带在认证令牌中。
15.如权利要求13或14所述的系统,其特征在于,所述系统还包括所述第二网络中的安全锚功能网元;
所述安全锚功能网元,用于从所述终端设备接收注册请求,所述注册请求中包括所述加密的用户标识;向所述认证服务功能网元发送所述认证鉴定请求;通过所述认证服务功能网元接收来自所述统一数据管理网元的所述第一随机数和所述第一消息认证码,以及向所述终端设备发送认证请求,所述认证请求中包括所述第一随机数和所述第一消息认证码。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910170883.3A CN111669276B (zh) | 2019-03-07 | 2019-03-07 | 一种网络验证方法、装置及系统 |
PCT/CN2020/078309 WO2020177768A1 (zh) | 2019-03-07 | 2020-03-06 | 一种网络验证方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910170883.3A CN111669276B (zh) | 2019-03-07 | 2019-03-07 | 一种网络验证方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111669276A CN111669276A (zh) | 2020-09-15 |
CN111669276B true CN111669276B (zh) | 2022-04-22 |
Family
ID=72338432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910170883.3A Active CN111669276B (zh) | 2019-03-07 | 2019-03-07 | 一种网络验证方法、装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111669276B (zh) |
WO (1) | WO2020177768A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115174605A (zh) * | 2021-03-17 | 2022-10-11 | 大唐移动通信设备有限公司 | 车联网设备认证方法、装置及处理器可读存储介质 |
CN115396868A (zh) * | 2021-05-08 | 2022-11-25 | 华为技术有限公司 | 一种无线通信方法、通信装置及通信系统 |
CN113572728B (zh) * | 2021-06-09 | 2023-06-02 | 杭州华橙软件技术有限公司 | 认证物联网设备的方法、装置、设备及介质 |
CN113615220B (zh) * | 2021-06-22 | 2023-04-18 | 华为技术有限公司 | 一种安全通信方法和装置 |
CN113660285A (zh) * | 2021-08-31 | 2021-11-16 | 成都卫士通信息产业股份有限公司 | 多媒体会议在网终端管控方法、装置、设备及存储介质 |
CN116074821A (zh) * | 2021-10-29 | 2023-05-05 | 华为技术有限公司 | 一种通信方法及装置 |
CN114205083A (zh) * | 2021-12-22 | 2022-03-18 | 中国电信股份有限公司 | 基于SRv6的安全认证方法、网络节点和认证系统 |
CN116419223A (zh) * | 2022-01-05 | 2023-07-11 | 华为技术有限公司 | 集成可信度量的通信方法和装置 |
WO2023147767A1 (zh) * | 2022-02-07 | 2023-08-10 | 华为技术有限公司 | 网络校验的方法和装置 |
CN117597960A (zh) * | 2022-04-14 | 2024-02-23 | 北京小米移动软件有限公司 | 认证方法及装置 |
CN117062070A (zh) * | 2022-05-06 | 2023-11-14 | 华为技术有限公司 | 一种通信方法及通信装置 |
CN114978698B (zh) * | 2022-05-24 | 2023-07-28 | 中国联合网络通信集团有限公司 | 网络接入方法、目标终端、凭证管理网元及验证网元 |
CN117643087A (zh) * | 2022-06-27 | 2024-03-01 | 北京小米移动软件有限公司 | 验证方法、装置、设备及存储介质 |
CN115801448A (zh) * | 2023-01-09 | 2023-03-14 | 北京中科网威信息技术有限公司 | 数据通信方法及系统 |
CN116208949B (zh) * | 2023-05-05 | 2023-07-25 | 北京智芯微电子科技有限公司 | 通信报文的加密传输方法、系统及发送终端、接收终端 |
CN116528234B (zh) * | 2023-06-29 | 2023-09-19 | 内江师范学院 | 一种虚拟机的安全可信验证方法及装置 |
CN116668203B (zh) * | 2023-08-02 | 2023-10-20 | 浙江大华技术股份有限公司 | 设备认证方法、物联网设备、认证平台以及可读存储介质 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101026863A (zh) * | 2006-02-21 | 2007-08-29 | 上海宇梦通信科技有限公司 | 基于服务网络标志的umts认证向量生成方法 |
EP1871065A1 (en) * | 2006-06-19 | 2007-12-26 | Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO | Methods, arrangement and systems for controlling access to a network |
CN101420695B (zh) * | 2008-12-16 | 2011-09-07 | 天津工业大学 | 一种基于无线局域网的3g用户快速漫游认证方法 |
CN101867923B (zh) * | 2010-06-11 | 2012-12-05 | 西安电子科技大学 | 基于身份自证实的异构无线网络安全接入认证方法 |
US9491618B2 (en) * | 2014-09-26 | 2016-11-08 | Qualcomm Incorporated | Serving network authentication |
US9787661B2 (en) * | 2015-02-27 | 2017-10-10 | Telefonaktiebolaget L M Ericsson (Publ) | Communication between a communication device and a network device |
CN111865603A (zh) * | 2016-09-05 | 2020-10-30 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
CN108880813B (zh) * | 2017-05-08 | 2021-07-16 | 中国移动通信有限公司研究院 | 一种附着流程的实现方法及装置 |
WO2019000171A1 (en) * | 2017-06-26 | 2019-01-03 | Zte Corporation | METHODS AND COMPUTER DEVICE FOR AUTHENTICATING USER EQUIPMENT VIA HOME NETWORK |
CN108848502B (zh) * | 2018-05-18 | 2021-07-23 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
-
2019
- 2019-03-07 CN CN201910170883.3A patent/CN111669276B/zh active Active
-
2020
- 2020-03-06 WO PCT/CN2020/078309 patent/WO2020177768A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN111669276A (zh) | 2020-09-15 |
WO2020177768A1 (zh) | 2020-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111669276B (zh) | 一种网络验证方法、装置及系统 | |
US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
CN109428875B (zh) | 基于服务化架构的发现方法及装置 | |
CN107005927B (zh) | 用户设备ue的接入方法、设备及系统 | |
CN113225176B (zh) | 密钥获取方法及装置 | |
US11778458B2 (en) | Network access authentication method and device | |
CN109922474B (zh) | 触发网络鉴权的方法及相关设备 | |
CN112105021B (zh) | 一种认证方法、装置及系统 | |
CN111865870B (zh) | 一种参数发送方法及装置 | |
US11082843B2 (en) | Communication method and communications apparatus | |
CN111866858A (zh) | 一种注册方法及通信装置 | |
CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
WO2014127751A1 (zh) | 无线终端配置方法及装置和无线终端 | |
CN109496412A (zh) | 使用隐私识别码的验证 | |
US20230308875A1 (en) | Wi-fi security authentication method and communication apparatus | |
CN104602229A (zh) | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 | |
CN110831002B (zh) | 一种密钥推演的方法、装置及计算存储介质 | |
US20240089728A1 (en) | Communication method and apparatus | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
CN115515130A (zh) | 一种会话密钥生成的方法及装置 | |
CN114978556A (zh) | 切片认证方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |