CN111769944A - 一种数据处理方法、拜访网络网元和终端设备 - Google Patents
一种数据处理方法、拜访网络网元和终端设备 Download PDFInfo
- Publication number
- CN111769944A CN111769944A CN201910263991.5A CN201910263991A CN111769944A CN 111769944 A CN111769944 A CN 111769944A CN 201910263991 A CN201910263991 A CN 201910263991A CN 111769944 A CN111769944 A CN 111769944A
- Authority
- CN
- China
- Prior art keywords
- parameter
- identity information
- network element
- authentication
- hash algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例公开了一种数据处理方法、拜访网络网元和终端设备,通过使用本发明实施例提供的技术方案,拜访网络侧可以识别归属网络侧下发的第二身份信息是否错误。所述方法包括:拜访网络网元接收到终端设备发送的第一参数;所述拜访网络网元接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。
Description
技术领域
本申请涉及通信系统,尤其涉及一种数据处理方法、拜访网络网元和终端设备。
背景技术
为了应对爆炸性的移动数据流量增长、海量的设备连接、不断涌现的各类新业务和应用场景,第五代移动通信系统(5th-generation,5G)应运而生。5G认证和密钥协商(5G-Authentication and Key Agreement,5G-AKA)是一种用于实时验证通信实体身份真实性的密码学协议。
在5G-AKA中,当归属网络侧的鉴权服务器功能(authentication serverfunction,AUSF)通过对比判断出终端设备发送的响应值RES*和统一数据管理网元(uniteddata management,UDM)下发的期望响应XRES*相同,从而完成归属网络侧的鉴权,之后AUSF会发送携带有终端设备的用户永久标识(SUbscription permanent identifier,SUPI)的鉴权响应到拜访网络侧的安全锚点功能(security anchor function,SEAF)模块,SEAF模块会根据收到的SUPI生成相应的密钥,SEAF可以通过该密钥给UE提供正常的网络服务。
然而,在一些场景中,归属网络侧可能向拜访网络侧下发错误的SUPI,例如在进行第一终端设备的鉴权时,归属网络侧的AUSF将第二终端设备的SUPI通过鉴权响应发送到拜访网络侧的SEAF,拜访网络侧的SEAF根据第二终端设备的SUPI生成相应的密钥,从而使得拜访网络侧的SEAF无法通过该密钥给提供UE正常的网络服务,因此,亟需一种使得拜访网络侧可以识别归属网络侧下发的SUPI是否错误的方法。
发明内容
本申请提供了一种数据处理方法、拜访网络网元和终端设备,使得拜访网络侧可以识别归属网络侧下发的第二身份信息是否错误。
第一方面,本申请提供了一种数据处理方法,包括:拜访网络网元接收到终端设备发送的第一参数;在5G-AKA和EAP-AKA’的鉴权场景中,拜访网络网元通过NAS消息认证请求Authentication Request向终端设备发起鉴权流程之后,终端设备可以利用哈希算法对第一身份信息进行计算得到第一参数,并向拜访网络网元下发第一参数,其中,第一身份信息可以为SUPI,也可以为为国际移动用户识别码(international mobile subscriberidentification number,IMSI),永久签约身份(subscription permanent identifier),或者可以是其他具有全球唯一标识终端作用的身份信息,该第一身份信息可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriberidentification module,SIM),全球用户识别卡(universal subscriber identitymodule,USIM),通用集成电路卡(universal integrated circuit card,UICC),嵌入式通用集成电路卡(embedded universal integrated circuit card,eUICC),5G通用集成电路卡(5G-universal integrated circuit card,5G-UICC)。所述拜访网络网元接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备,归属网络网元在完成归属网络侧的认证之后,可以通过用户认证请求响应UE Authentication AuthenticateResponse将第二身份信息发送到拜访网络网元。其中,第一身份信息和第二身份信息应标识同一个终端设备,且第一身份信息和第二身份信息应为同一类身份信息,即,若第一身份信息为SUPI时,第二身份信息也为SUPI,若第一身份信息为IMSI时,第二身份信息也为IMSI。所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,拜访网络网元在接收到归属网络网元发送的第二身份信息之后,为了验证第二身份信息是否正确,可以利用哈希算法对所述第二身份信息进行计算以获取第二参数。其中拜访网络网元使用的哈希算法应该与终端设备生成第一参数使用的哈希算法一致。若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。拜访网络网元在获取到第二参数后,可以将该第二参数与第一参数进行比对,若第一参数和所述第二参数不相等,则,第一身份信息和第二身份信息不相同,由于第一身份信息为终端设备通过自身的身份信息生成的,则拜访网络网元可以确定第二身份信息错误。
本申请实施例中,拜访网络网元接收到终端设备发送的第一参数;所述拜访网络网元接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。拜访网络侧在接收到归属网络侧下发的第二身份信息后,通过利用哈希运算对该第二身份信息进行计算获得的第二参数与终端设备发送的对正确的第一身份信息进行计算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
在第一方面的一种可能实现中,所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,包括:所述拜访网络网元利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在第一方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。在5G-AKA的鉴权场景中,第三参数可以包括HXRES*、RES*、KSEAF或接入或移动性管理功能密钥KAMF中的至少一种。示例性的,UE利用所述哈希算法和RAND对所述第二身份信息进行计算以获取第二参数,或,UE利用所述哈希算法和AUTN对所述第二身份信息进行计算以获取第二参数,或,UE利用所述哈希算法和KSEAF对所述第二身份信息进行计算以获取第二参数,或,UE利用所述哈希算法和KAMF对所述第二身份信息进行计算以获取第二参数,或,UE利用所述哈希算法、RAND和AUTN对所述第二身份信息进行计算以获取第二参数,或,UE利用所述哈希算法、RAND和KSEAF对所述第二身份信息进行计算以获取第二参数。
在第一方面的一种可能实现中,所述至少一个第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。在EAP-AKA’的鉴权场景中,和在5G-AKA的鉴权场景中不同的是,由于终端设备并不生成HXRES*和RES*,因此UE接收SEAF发送的认证请求Authentication Request之后生成的第三参数可以包括RAND、AUTN、KSEAF或KAMF中的至少一种。
在第一方面的一种可能实现中,所述第二身份信息为IMSI或SUPI。
第二方面,本申请提供了一种数据处理方法,包括:终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备,可以利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备。其中,该第一身份信息可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identity module,USIM),通用集成电路卡(universal integrated circuit card,UICC),嵌入式通用集成电路卡(embeddeduniversal integrated circuit card,eUICC),5G通用集成电路卡(5G-universalintegrated circuit card,5G-UICC)等。本申请实施例中,哈希算法可以包括但不限于基于HMAC的一次性密码算法(an HMAC-based one-time password algorithm,HOTP)、安全散列演算法-1(secure hash algorithm-1,SHAI)、安全散列演算法-3(secure hashalgorithm-3,SHA3)或者伪随机函数(pseudo-random function,PRF)等。终端设备向拜访网络网元发送第一参数,UE生成第一参数之后,可以向SEAF发送认证响应AuthenticationResponse,其中,认证响应Authentication Response可以携带有第一参数和RES*。
在第二方面的一种可能实现中,所述终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,包括:终端设备利用哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在第二方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第二方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第二方面的一种可能实现中,所述第一身份信息为IMSI或SUPI。
本实施例中,终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备;终端设备向拜访网络网元发送第一参数。拜访网络侧在接收到归属网络侧下发的第二身份信息后,通过利用哈希运算对该第二身份信息进行计算获得的第二参数与终端设备发送的对正确的第一身份信息进行计算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
第三方面,本申请提供了一种拜访网络网元,包括:
接收模块,用于接收到终端设备发送的第一参数;接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;
处理模块,用于利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则确定所述第二身份信息错误。
本实施例中,接收模块接收到终端设备发送的第一参数;接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;处理模块利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则确定所述第二身份信息错误。拜访网络侧在接收到归属网络侧下发的第二身份信息后,通过利用哈希运算对该第二身份信息进行计算获得的第二参数与终端设备发送的对正确的第一身份信息进行计算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
在第三方面的一种可能实现中,所述处理模块,具体用于利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在第三方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第三方面的一种可能实现中,所述至少一个第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第三方面的一种可能实现中,所述第二身份信息为IMSI或SUPI。
第四方面,本申请提供了一种终端设备,包括:
处理模块,用于利用哈希算法对第一身份信息进行计算以获取第一参数;其中,所述第一身份信息用于指示所述终端设备;
发送模块,用于向拜访网络网元发送第一参数。
在第四方面的一种可能实现中,所述处理模块,具体用于利用哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在第四方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第四方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在第四方面的一种可能实现中,所述第一身份信息为IMSI或SUPI。
第五方面,本申请提供了一种数据处理方法,包括:
终端设备接收到拜访网络网元发送的第二参数;本申请实施例中,拜访网络网元可以为AMF,AMF可以基于第二身份信息通过哈希算法生成第二参数,第二身份信息可以为SUPI或IMSI,之后拜访网络网元向终端设备发送所述第二参数,相应的,终端设备接收到拜访网络网元发送的第二参数,拜访网络网元利用哈希算法对第二身份信息进行计算获取第二参数之后,可以在下发NAS SMC时,同时向终端设备下发第二参数。所述终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备,该第一身份信息可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identity module,USIM),通用集成电路卡(universalintegrated circuit card,UICC),嵌入式通用集成电路卡(embedded universalintegrated circuit card,eUICC),5G通用集成电路卡(5G-universal integratedcircuit card,5G-UICC)等,UE生成第二参数使用的哈希算法应与AMF生成第二参数时使用的哈希算法相同。若所述第一参数和所述第二参数不相等,则所述终端设备确定所述第二身份信息错误。
本申请实施例中,拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;拜访网络网元向终端设备发送所述第二参数,相应的,终端设备接收到拜访网络网元发送的第二参数;终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备;若所述第一参数和所述第二参数不相等,则所述终端设备确定所述第二身份信息错误。通过上述方式,拜访网络网元在下发NAS SMC时,会同时下发一个拜访网络网元利用哈希算法对第二身份信息进行计算获取到的第二参数,UE会利用哈希算法对第一身份信息进行计算获得第一参数,并将第一参数和第二参数进行比对,若第一参数和第二参数不同,则UE可以确定是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败。
在第五方面的一种可能实现中,所述终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,包括:所述终端设备利用所述哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在第五方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。在一种实施例中,在完成了5G-AKA的鉴权步骤之后,所述第三参数可以包括如下参数中的至少一个:归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。示例性的,AMF可以利用所述哈希算法和HXRES*对所述第二身份信息进行计算以获取第二参数,或,AMF可以利用所述哈希算法和RES*对所述第二身份信息进行计算以获取第二参数,或,AMF可以利用所述哈希算法、HXRES*和RES*对所述第二身份信息进行计算以获取第二参数,此处并不限定。
在第五方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:鉴权结果值RES或安全锚点功能密钥KSEAF。在完成了EAP-AKA’的鉴权步骤之后,所述第三参数可以包括如下参数中的至少一个:鉴权结果值RES或安全锚点功能密钥KSEAF。
在第五方面的一种可能实现中,所述第一身份信息为IMSI或SUPI。
第六方面,本申请提供了一种数据处理方法,包括:拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;所述拜访网络网元向所述终端设备发送所述第二参数。
本实施例中,拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;所述拜访网络网元向所述终端设备发送所述第二参数。通过上述方式,拜访网络网元在下发NAS SMC时,会同时下发一个拜访网络网元利用哈希算法对第二身份信息进行计算获取到的第二参数,UE会利用哈希算法对第一身份信息进行计算获得第一参数,并将第一参数和第二参数进行比对,若第一参数和第二参数不同,则UE可以确定是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败。
在第六方面的一种可能实现中,所述利用哈希算法对所述第二身份信息进行计算以获取第二参数,包括:拜访网络网元利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在第六方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
在第六方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:鉴权结果值RES或安全锚点功能密钥KSEAF。
在第六方面的一种可能实现中,所述第二身份信息为IMSI或SUPI。
第七方面,本申请提供了一种终端设备,包括:
接收模块,用于接收到拜访网络网元发送的第二参数;
处理模块,用于利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备;
若所述第一参数和所述第二参数不相等,则确定所述第二身份信息错误。
在第七方面的一种可能实现中,所述处理模块,具体用于利用所述哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在第七方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:
归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
在第七方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:
鉴权结果值RES或安全锚点功能密钥KSEAF。
在第七方面的一种可能实现中,所述第一身份信息为IMSI或SUPI。
第八方面,本申请提供了一种拜访网络网元,包括:
处理模块,用于利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;
发送模块,用于向所述终端设备发送所述第二参数。
在第八方面的一种可能实现中,所述处理模块,具体用于利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在第八方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:
归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
在第八方面的一种可能实现中,所述第三参数包括如下参数中的至少一个:
鉴权结果值RES或安全锚点功能密钥KSEAF。
在第八方面的一种可能实现中,所述第二身份信息为IMSI或SUPI。
第九方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
第十方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第二方面所述的方法。
第十一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第五方面所述的方法。
第十二方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第六方面所述的方法。
第十三方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
第十四方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面所述的方法。
第十五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第五方面所述的方法。
第十六方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第六方面所述的方法。
第十七方面,本申请实施例提供一种通信装置,该通信装置可以包括网络设备或者芯片等实体,所述通信装置包括:处理器、存储器;所述存储器用于存储指令;所述处理器用于执行所述存储器中的所述指令,使得所述通信装置执行如前述第一方面所述的方法。
第十八方面,本申请实施例提供一种通信装置,该通信装置可以包括终端设备或者芯片等实体,所述通信装置包括:处理器、存储器;所述存储器用于存储指令;所述处理器用于执行所述存储器中的所述指令,使得所述通信装置执行如前述第二方面所述的方法。
第十九方面,本申请实施例提供一种通信装置,该通信装置可以包括终端设备或者芯片等实体,所述通信装置包括:处理器、存储器;所述存储器用于存储指令;所述处理器用于执行所述存储器中的所述指令,使得所述通信装置执行如前述第五方面所述的方法。
第二十方面,本申请实施例提供一种通信装置,该通信装置可以包括网络设备或者芯片等实体,所述通信装置包括:处理器、存储器;所述存储器用于存储指令;所述处理器用于执行所述存储器中的所述指令,使得所述通信装置执行如前述第六方面所述的方法。
第二十一方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持网络设备实现上述第一方面中所涉及的功能,例如,发送或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存终端设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第二十二方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持网络设备实现上述第二方面中所涉及的功能,例如,发送或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存网络设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第二十三方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持终端设备实现上述第五方面中所涉及的功能,例如,发送或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存终端设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第二十四方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于支持终端设备实现上述第六方面中所涉及的功能,例如,发送或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存网络设备必要的程序指令和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
从以上技术方案可以看出,本申请具有以下优点:
拜访网络网元接收到终端设备发送的第一参数;所述拜访网络网元接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。通过上述方式,拜访网络侧在接收到归属网络侧下发的第二身份信息后,通过利用哈希运算对该第二身份信息进行计算获得的第二参数与终端设备发送的对正确的第一身份信息进行计算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
附图说明
图1为本申请实施例的一种应用场景示意图;
图2为本申请实施例提供的一种数据处理方法的一个流程示意图;
图3为本申请实施例提供的一种数据处理方法的另一个流程示意图;
图4为本申请实施例提供的一种数据处理方法的另一个流程示意图;
图5为本申请实施例提供的一种数据处理方法的流另一个程示意图;
图6为本申请实施例提供的一种拜访网络网元的一个结构示意图;
图7为本申请实施例提供的一种终端设备的一个结构示意图;
图8为本申请实施例提供的一种终端设备的另一个结构示意图;
图9为本申请实施例提供的一种拜访网络网元的另一个结构示意图;
图10为本申请实施例提供的一种终端设备的另一个结构示意图;
图11为本申请实施例提供的一种拜访网络网元的另一个结构示意图。
具体实施方式
本申请提供了一种数据处理方法、拜访网络网元和终端设备,使得拜访网络侧可以识别归属网络侧下发的第二身份信息是否错误。
下面结合附图,对本申请的实施例进行描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
本申请实施例的技术方案可以应用于各种数据处理的通信系统,例如:例如码分多址(code division multiple access,CDMA)、时分多址(time division multipleaccess,TDMA)、频分多址(frequency division multiple access,FDMA)、正交频分多址(orthogonal frequency-division multiple access,OFDMA)、单载波频分多址(singlecarrier FDMA,SC-FDMA)和其它系统等。术语“系统”可以和“网络”相互替换。CDMA系统可以实现例如通用无线陆地接入(universal terrestrial radio access,UTRA),CDMA2000等无线技术。UTRA可以包括宽带CDMA(wideband CDMA,WCDMA)技术和其它CDMA变形的技术。CDMA2000可以覆盖过渡标准(interim standard,IS)2000(IS-2000),IS-95和IS-856标准。TDMA系统可以实现例如全球移动通信系统(global system for mobile communication,GSM)等无线技术。OFDMA系统可以实现诸如演进通用无线陆地接入(evolved UTRA,E-UTRA)、超级移动宽带(ultra mobile broadband,UMB)、IEEE 802.11(Wi-Fi),IEEE 802.16(WiMAX),IEEE 802.20,Flash OFDMA等无线技术。UTRA和E-UTRA是UMTS以及UMTS演进版本。3GPP在长期演进(long term evolution,LTE)和基于LTE演进的各种版本是使用E-UTRA的UMTS的新版本。第五代(5Generation,简称:“5G”)通信系统、新空口(New Radio,简称“NR”)是正在研究当中的下一代通信系统。此外,所述通信系统还可以适用于面向未来的通信技术,都适用本申请实施例提供的技术方案。本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例提供的数据处理方法可以应用于任何有进行终端鉴权需求的通信系统,例如,可以应用于图1所示的5G系统。
如图1所示,该5G系统可以包括终端、接入网(access network,AN)/无线接入网(radio access network,RAN)、数据网络(data network,DN)以及下述多个网络功能(network functions,NF):鉴权服务器功能(authentication server function,AUSF)、统一数据管理网元(united data management,UDM)、接入和移动管理功能(access andmobility management function,AMF)、会话管理功能(session management function,SMF)、PCF、应用功能(application function,AF)、用户面功能(user plane function,UPF)。可理解的是,图1仅为示例性架构图,除图1所示功能实体之外,该5G系统还可以包括其他功能实体,本申请实施例对此不进行限定。
在图1所示的5G系统中,各功能实体之间可以通过下一代网络(next generation,NG)接口建立连接实现通信,如:终端可以通过N接口1(简称N1)与AMF建立控制面信令连接,AN/RAN可以通过N接口3(简称N3)与UPF建立用户面数据连接,AN/RAN可以通过N接口2(简称N2)与AMF建立控制面信令连接,UPF可以通过N接口4(简称N4)与SMF建立控制面信令连接,UPF可以通过N接口6(简称N6)与DN交互用户面数据,AMF可以通过N接口8(简称N8)与UDM建立控制面信令连接,AMF可以通过N接口12(简称N12)与AUSF建立控制面信令连接,AMF可以通过N接口11(简称N11)与SMF建立控制面信令连接,SMF可以通过N接口7(简称N7)与PCF建立控制面信令连接,PCF可以通过N接口5(简称N5)与AF建立控制面信令连接,AUSF可以通过N接口13(简称N13)与UDM建立控制面信令连接,UDM可以通过N接口10(简称N10)与SMF建立控制面信令连接。
其中,图1中的终端可以为UE,还可以为蜂窝电话、无绳电话、会话发起协议(session initiation protocol,SBP20190110)电话、智能电话、无线本地环路(wirelesslocal loop,WLL)站、个人数字助理(personal digital assistant,PDA)、膝上型计算机、手持式通信设备、手持式计算设备、卫星无线设备、无线调制解调器卡和/或用于在无线系统上进行通信的其它设备。AN/RAN为由多个5G-AN/5G-RAN组成的网络,用于实现无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理功能,5G-AN/5G-RAN可以为:接入点、下一代基站、N3IWF、收发点(transmission receive point,TRP)、传输点(transmission point,TP)或某种其它接入网设备。ARPF、AUSF、PCF、AMF、SMF、UPF可统称为NF,其中,NF中的AMF、PCF可称为控制面(control plane,CP),UPF可以称为用户面功能(user plane function,UPF)。NF中除UPF之外的可以独立工作,也可以组合在一起实现某些控制功能,如:这些组合在一起后可以完成终端的接入鉴权、安全加密、位置注册等接入控制和移动性管理功能,以及用户面传输路径的建立、释放和更改等会话管理功能,以及分析一些切片(slice)相关的数据(如拥塞)、终端相关的数据的功能。UPF主要完成用户面数据的路由转发等功能,如:负责对终端的数据报文过滤、数据传输/转发、速率控制、生成计费信息等。
具体的,AMF主要负责接入控制和移动性管理,也是非接入层(non-accessstratum,NAS)信令的转发和处理节点。当前,AMF还集成有安全锚点功能(security anchorfunction,SEAF)模块,该SEAF模块主要负责向AUSF发起鉴权请求,在演进分组系统鉴权过程中完成网络侧对终端的验证。AUSF的主要功能是接收SEAF模块发送的鉴权请求,选择鉴权方法。当采用可扩展鉴权协议的鉴权方法的时候,AUSF主要负责完成网络侧对终端的鉴权;并且,AUSF可以向ARPF请求鉴权向量,并且回复鉴权响应给SEAF模块。ARPF的主要功能是存储长期密钥,接收AUSF发送的鉴权向量请求,使用存储的长期密钥计算鉴权向量,并将鉴权向量发送至AUSF。当然,SEAF也可以不部署在AMF中,而是SEAF与AMF两者单独部署。
具体的,AUSF负责密钥的生成、管理和协商,可能是5G-AKA也可能是EAP-AKA’的认证节点,或者其他认证协议的节点。
具体的,UDM主要包括两部分,一部分为业务或者应用的前端,一部分为用户数据库。具体来说,包括信任状的处理、位置管理、签约数据管理、策略控制等,同时也包括这些相关处理的信息存储。当前,UDM还可以集成有鉴权存储和处理功能(authenticationrepository and processing function,ARPF),ARPF存储安全信任状并使用安全信任状执行安全相关的操作,比如生成密钥,存储安全的文件。ARPF应该部署在一个物理安全的位置,同时可以与AUSF交互。当然,ARPF也可以不部署在UDM中,而是ARPF与UDM两者单独部署。
需要说明的是,图1中体现的是各个网元之间的逻辑关系,在实际中,有些网元可以单独部署,也可以两两或多个网元集成部署在一个实体中。
在对本申请实施例涉及的应用场景和系统架构进行解释说明之后,接下来对本申请实施例的方案进行详细说明。
在5G-AKA的现有方案中,当AUSF通过对比判断出终端设备发送的响应值RES*和UDM下发的期望响应XRES*相同,从而完成归属网络侧的鉴权,之后AUSF会发送携带有终端设备的SUPI的鉴权响应到拜访网络侧的SEAF模块,SEAF模块会根据收到的SUPI生成相应的密钥,SEAF可以通过该密钥给UE提供正常的网络服务。
然而,在一些场景中,归属网络侧可能向拜访网络侧下发错误的SUPI,例如在进行第一终端设备的鉴权时,归属网络侧的AUSF将第二终端设备的SUPI通过鉴权响应发送到拜访网络侧的SEAF,拜访网络侧的SEAF根据第二终端设备的SUPI生成相应的密钥,从而使得拜访网络侧的SEAF无法通过该密钥给提供UE正常的网络服务,因此,亟需一种使得拜访网络侧可以识别归属网络侧下发的SUPI是否错误的方法。
有鉴于此,本申请实施例提供一种数据处理方法,该方法可以但不限于用在5G-AKA以及EAP-AKA’的鉴权场景中,参照图2,图2为本申请实施例提供的一种数据处理方法,该数据处理方法包括:
201、终端设备UE向拜访网络网元发送第一参数,相应的,拜访网络网元接收到终端设备发送的第一参数。
本申请实施例中,当AMF中同时集成有SEAF时,该拜访网络网元可以为AMF,也可以为AMF中的SEAF。当AMF和SEAF不是一个功能实体时,该拜访网络网元可以为AMF或其他具有接入和移动性管理功能的实体。
以拜访网络网元为SEAF为例,在5G-AKA和EAP-AKA’的鉴权场景中,SEAF可以通过NAS消息认证请求Authentication Request向UE发起鉴权流程之后,UE可以利用哈希算法对第一身份信息进行计算得到第一参数,其中,第一身份信息可以为SUPI,也可以为为国际移动用户识别码(international mobile subscriber identification number,IMSI),永久签约身份(subscription permanent identifier),或者可以是其他具有全球唯一标识终端作用的身份信息。该第一身份信息SUPI可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identity module,USIM),通用集成电路卡(universal integrated circuit card,UICC),嵌入式通用集成电路卡(embeddeduniversal integrated circuit card,eUICC),5G通用集成电路卡(5G-universalintegrated circuit card,5G-UICC)等,此处并不限定。
本申请实施例中,UE可以通过认证响应Authentication Response将第一参数发送到SEAF。
202、归属网络网元向拜访网络网元发送第二身份信息,相应的,拜访网络网元接收到归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备。
本申请实施例中,归属网络网元可以是AUSF。
以归属网络网元为AUSF为例,在5G-AKA和EAP-AKA’的鉴权场景中,AUSF在完成归属网络侧的认证之后,可以通过用户认证请求响应UE Authentication AuthenticateResponse将第二身份信息发送到SEAF。其中,第一身份信息和第二身份信息应标识同一个终端设备,且第一身份信息和第二身份信息应为同一类身份信息,即,若第一身份信息为SUPI时,第二身份信息也为SUPI,若第一身份信息为IMSI时,第二身份信息也为IMSI。
203、所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数。
本申请实施例中,SEAF在接收到AUSF发送的第二身份信息之后,为了验证第二身份信息是否正确,可以利用哈希算法对所述第二身份信息进行计算以获取第二参数。其中SEAF使用的哈希算法应该与步骤201中UE生成第一参数使用的哈希算法一致。
204、若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。
本申请实施例中,SEAF在获取到第二参数后,可以将该第二参数与步骤201接收到的第一参数进行比对,若第一参数和所述第二参数不相等,则,第一身份信息和第二身份信息不相同,由于第一身份信息为终端设备通过自身的身份信息生成的,则SEAF可以确定第二身份信息错误。
通过本申请实施例提供的方案,拜访网络侧在接收到归属网络侧下发的第二身份信息后,通过利用哈希运算对该第二身份信息进行计算获得的第二参数与终端设备发送的对正确的第一身份信息进行计算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
为便于更好的理解和实施本申请实施例的上述方案,下面举例相应的应用场景来进行具体说明。
图3是本申请实施例提供的一种数据处理方法的通信示意图,该方法可以但不限于用在5G-AKA以及EAP-AKA’的鉴权场景中,参见图3,该方法包括以下步骤:
301、UDM/ARPF生成鉴权向量。
本申请实施例中,在UDM/ARPF生成鉴权向量之前,拜访网络侧网元SEAF可以接受到终端设备UE发送的用户隐藏标识(subscriber concealed identity,SUCI),具体的,可以按照第三代合作伙伴计划(3rd generation partnership project,3GPP)标准流程,SEAF接收到UE发送的SUCI。之后,SEAF发起认证鉴权请求,并向归属网络侧网元AUSF发送SUCI,AUSF将SUCI发送给UDM/ARPF,UDM/ARPF根据接收到的SUCI,解密SUCI得到SUPI。
本申请实施例中,UDM/ARPF生成鉴权向量(authentication vector,AV)。
在5G-AKA的鉴权场景中,鉴权向量AV可以为AV(RAND、AUTN、XRES*、KAUSF),其中,RAND为随机数,AUTN为认证令牌,XRES*为期望响应,KAUSF为鉴权服务器功能密钥。
在一种实施例中,AUTN可以通过如下公式生成:
其中,SQN为序列码(sequence number,SQN);AK为匿名密钥(anonymity key,AK),用于将SQN匿名化,防止SQN泄露,AK=f5(RAND);AMF为认证管理域(authenticationmanagement field,AMF),AMF共16bit,0位用来指示接入方式是通过3GPP技术接入网络,还是通过非3GPP技术接入网络,1-7位可以用于未来标准的用途,8-15位用来指示序列号间隔限制,密钥使用周期等私有用途;MAC=f1(SQN||RAND||AMF),用于AUTN的校验;||的含义为级联,表示将符号两边的字符串连起来;的含义为异或运算,f1、f5为生成算法。
在一种实施例中,XRES*可以通过如下方式生成:
XRES*是以CK||IK为密钥,以SN||RAND||XRES为输入参数,通过密钥生成算法算出来的,其中,XRES=f2K(RAND),CK为保密性密钥,IK为完整性密钥,CK=f3(RAND),IK=f4(RAND),f2,f3以及f4均为生成算法,密钥生成算法可以但不限于是密钥推衍函数(keyderivation function,KDF),KDF包括但不限于以下密码推衍函数:HMAC(如HMAC-SHA256,HMAC-SHA1),NMAC,CMAC,OMAC,CBC-MAC,PMAC,UMAC和VMAC以及HASH算法等等。在实际应用中,密钥生成算法还可以是其它的算法,比如trunc算法:取低位的截图算法;其他的HASH算法等,本申请不作具体限定。密钥生成算法可以分别根据需求的XRES*的长度进行设定,例如:可以选择安全散列算法(secure hash algorithm,SHA)中输出长度为224比特的SHA-3作为密钥生成算法,并在SHA-3输出的224比特的哈希值中按照预设的方法截取128比特作为XRES*,例如可以截取起始部分的128比特,当然了也可以是截取中间部分的128比特,选择输出长度为256比特的SHA-256作为第一设定哈希函数。而且,密钥生成算法的自变量也可以包括其他的参数,例如,包括网络切片选择辅助信息(network slice selectionassistance information,NSSAI)、随机数(random number)、随机数值(number usedonce,nonce)、序列码、注册类型(registration type)、接入层消息数量(NAS count)、安全算法标识、安全标识的长度以及生成密钥所用的参数对应的长度等等,在实际应用中,可以根据需要从中选择中的一个或者多个参数作为所述密钥生成算法的自变量。
在一种实施例中,RAND和SQN可以是网络架构中的其它通讯设备生成并发送给UDM/ARPF,也可以是UDM/ARPF自己生成的,此处不作具体限定。
在一种实施例中,CK、IK以及AK也可以是网络架构中的其它通讯设备生成并发送给UDM/ARPF,CK、IK以及AK可以是所述UDM/ARPF己生成的,此处不作具体限定。
在EAP-AKA’的鉴权场景中,鉴权向量AV可以为AV(AUTN、RAND、XRES、CK’、IK’)。
302、UDM/ARPF向归属网络侧网元AUSF发送用户认证请求服务响应UEAuthentication Get Response,相应的,AUSF接收UDM/ARPF发送的用户认证请求服务响应UE Authentication Get Response。
本申请实施例中,在5G-AKA的鉴权场景中,UDM/ARPF生成AV(RAND、AUTN、XRES*、KAUSF)之后,可以向AUSF发送用户认证请求服务响应UE Authentication Get Response,其中,用户认证请求服务响应UE Authentication Get Response携带有步骤301生成的AV(RAND、AUTN、XRES*、KAUSF)、以及UDM/ARPF通过解密SUCI得到的SUPI。
本申请实施例中,在EAP-AKA’的鉴权场景中,UDM/ARPF生成AV(AUTN、RAND、XRES、CK’、IK’)之后,可以向AUSF发送用户认证请求服务响应UE Authentication GetResponse,其中,用户认证请求服务响应UE Authentication Get Response携带有步骤301生成的AV(AUTN、RAND、XRES、CK’、IK’)、以及UDM/ARPF通过解密SUCI得到的SUPI。
303、归属网络网元AUSF向拜访网络网元SEAF发送用户认证请求响应UEAuthentication Authenticate Response,相应的,SEAF接收到AUSF发送的用户认证请求响应UE Authentication Authenticate Response。
本申请实施例中,在5G-AKA的鉴权场景中,AUSF接收到UDM/ARPF发送的用户认证请求服务响应UE Authentication Get Response之后,可以获取用户认证请求服务响应UEAuthentication Get Response中携带的AV(RAND、AUTN、XRES*、KAUSF)和SUPI。
本申请实施例中,AUSF可以根据AV(RAND、AUTN、XRES*、KAUSF)创建AV(RAND、AUTN、HXRES*、KSEAF);
其中,HXRES*为归属域期望响应,KAUSF为安全锚点功能密钥,AUSF可以根据RAND和XRES*推导出HXRES*,AUSF可以根据KAUSF推导出KSEAF,并用推导出来的HXRES*和KSEAF替换掉5G HE AV(RAND、AUTN、XRES*、KAUSF)的XRES*、KAUSF后就得到了AV(RAND、AUTN、HXRES*、KSEAF)。
AUSF在生成AV(RAND、AUTN、XRES*、KAUSF)之后,可以向SEAF发送用户认证请求响应UE Authentication Authenticate Response,用户认证请求响应UE AuthenticationAuthenticate Response携带有AV(RAND、AUTN、HXRES*、KSEAF)。
本申请实施例中,在EAP-AKA’的鉴权场景中,AUSF接收到UDM/ARPF发送的用户认证请求服务响应UE Authentication Get Response之后,可以获取用户认证请求服务响应UE Authentication Get Response中携带的AV(AUTN、RAND、XRES、CK’、IK’),并进行EAP安全参数的派生和计算,派生出SEAF安全密钥KSEAF,生成符合EAP协议的用户认证请求响应UE Authentication Authenticate Response,其中,用户认证请求响应UEAuthentication Authenticate Response可以携带有RAND、AUTN和KSEAF。
在一种实施例中,AUSF可以通过用户认证请求响应UE AuthenticationAuthenticate Response同时将第二身份消息SUPI发送给SEAF。示例性的,在5G-AKA的鉴权场景中,AUSF可以将AV(RAND、AUTN、HXRES*、KSEAF)和第二身份信息SUPI以固定格式进行发送。比如,将第二身份信息SUPI放到用户认证请求响应UE Authentication AuthenticateResponse的前几个比特,在存放第二身份信息SUPI的比特位后面存放AV(RAND、AUTN、HXRES*、KSEAF)。或者将鉴权向量AV(RAND、AUTN、HXRES*、KSEAF)放到前固定比特位中,再将第二身份信息SUPI放至用户认证请求响应UE Authentication Authenticate Response的最后几个比特位中。示例性的,在EAP-AKA’的鉴权场景中,AUSF可以将RAND、AUTN、KSEAF和第二身份信息SUPI以固定格式进行发送。
在另一种实施例中,AUSF可以不通过用户认证请求响应UE AuthenticationAuthenticate Response将第二身份消息SUPI发送给SEAF,而是在鉴权通过之后将SUPI发送给SEAF,关于AUSF如何在鉴权通过之后将SUPI发送给SEAF会在之后的实施例描述,这里不再赘述。
304、SEAF向终端设备UE发送认证请求Authentication Request,相应的,UE接收SEAF发送的认证请求Authentication Request。
本申请实施例中,SEAF接收到AUSF发送的用户认证请求响应UE AuthenticationAuthenticate Response之后,可以通过NAS消息认证请求Authentication Request向UE发起鉴权流程,其中,认证请求Authentication Request可以携带RAND和AUTN。
需要说明的是,在本申请的另一种实施例中,当SEAF和AMF合并部署时,当SEAF和AMF接收到AV(RAND、AUTN、HXRES*、KSEAF)之后,SEAF和AMF可以将该AV(RAND、AUTN、HXRES*、KSEAF)中的HXRES*和KSEAF存储,然后将该AV(RAND、AUTN、HXRES*、KSEAF)中剩余的参数(RAND和AUTN)发送至UE。
在本申请的另一种实施例中,当SEAF和AMF分开部署时,当SEAF接收到AV(RAND、AUTN、HXRES*、KSEAF)之后,可以将该AV(RAND、AUTN、HXRES*、KSEAF)中的HXRES*和KSEAF存储,然后将该AV(RAND、AUTN、HXRES*、KSEAF)中剩余的参数(RAND和AUTN)发送至AMF,再由AMF将RAND和AUTN发送给UE。
305、UE生成第一参数。
本申请实施例中,UE接收SEAF发送的认证请求Authentication Request之后,可以利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备。其中,该第一身份信息可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universal subscriber identity module,USIM),通用集成电路卡(universal integrated circuit card,UICC),嵌入式通用集成电路卡(embeddeduniversal integrated circuit card,eUICC),5G通用集成电路卡(5G-universalintegrated circuit card,5G-UICC)等,此处并不限定。
本申请实施例中,哈希算法可以包括但不限于基于HMAC的一次性密码算法(anHMAC-based one-time password algorithm,HOTP)、安全散列演算法-1(secure hashalgorithm-1,SHAI)、安全散列演算法-3(secure hash algorithm-3,SHA3)或者伪随机函数(pseudo-random function,PRF)等。需要说明的是,只要可以实现从明文到密文的不可逆的映射,以及只有加密过程,没有解密过程的哈希算法,均可以落入本实施例的保护范围。
本申请的另一种实施例中,在5G-AKA的鉴权场景中,UE的通用用户身份识别模块(universal subscriber identity module,USIM)接收SEAF发送的认证请求Authentication Request之后,可以首先生成第三参数,其中,第三参数可以包括HXRES*、RES*、KSEAF或接入或移动性管理功能密钥KAMF中的至少一种。
具体的,UE的USIM接收SEAF发送的认证请求Authentication Request之后,可以获取认证请求Authentication Request中携带的RAND和AUTN,并根据RAND和根密钥K计算得到AK,需要说明的是,USIM是运营商颁发的智能卡,与归属网络侧共享一个永久性对称根密钥K,这个K是在制造USIM时一次性写入的,并且受到USIM的安全机制保护,无法被读出。之后,USIM可以根据AK以及AUTN中的SQN与AK进行异或运算得到的值计算得到SQN,接着根据RAND、SQN、AUTN中的AMF和根密钥K共同计算出一个XMAC,并将XMAC和MAC做比较,如果相同,则接着校验收到的SQN是否等于本地保存的SQN,以防止重放攻击。如果是,则该UE成功地认证了网络。认证通过后,USIM可以计算出响应值RES,USIM将响应值RES、CK、IK发送到移动设备(mobile equipment,ME),ME根据RES推导出RES*,并生成HXRES*、RES*、KSEAF和接入和移动性管理功能密钥KAMF,其中,KAMF是根据KSEAF推导出来的,具体的过程可以和现有标准中定义的生成过程一致,这里不再赘述。
本申请实施例中,在EAP-AKA’的鉴权场景中,和在5G-AKA的鉴权场景中不同的是,由于UE并不生成HXRES*和RES*,因此UE接收SEAF发送的认证请求Authentication Request之后生成的第三参数可以包括RAND、AUTN、KSEAF或KAMF中的至少一种。
本申请实施例中,UE在生成第三参数之后,可以利用哈希算法将所述第一身份信息SUPI和第三参数进行计算来获取第一参数。
示例性的,在5G-AKA的鉴权场景中,UE基于自身的所述第一身份信息SUPI和RAND通过哈希算法生成第一参数,或,UE基于自身的所述第一身份信息SUPI和AUTN通过哈希算法生成第一参数,或,UE基于自身的所述第一身份信息SUPI和KSEAF通过哈希算法生成第一参数,或,UE基于自身的所述第一身份信息SUPI和KAMF通过哈希算法生成第一参数,或,UE基于自身的所述第一身份信息SUPI、RAND和AUTN通过哈希算法生成第一参数,或,UE基于自身的所述第一身份信息SUPI、RAND和KSEAF通过哈希算法生成第一参数。
需要说明的是,UE可以选择上述实施例提及的第三参数,也可以选择其他预设的参数,只要是UE和SEAF共同保存有的参数都可以作为第三参数,这里并不限定。
306、UE向SEAF发送认证响应Authentication Response,相应的,SEAF接收UE发送的认证响应Authentication Response。
本申请实施例中,在5G-AKA的鉴权场景中,UE生成第一参数之后,可以向SEAF发送认证响应Authentication Response,其中,认证响应Authentication Response可以携带有第一参数和RES*。
本申请实施例中,在EAP-AKA’的鉴权场景中,UE生成第一参数之后,可以向SEAF发送认证响应Authentication Response,其中,认证响应Authentication Response可以携带有第一参数和RES。
307、SEAF向AUSF发送用户认证请求UE Authentication Authenticate Request,相应的,AUSF接收SEAF发送的用户认证请求UE Authentication Authenticate Request。
本申请实施例中,SEAF接收UE发送的认证响应Authentication Response之后,可以保存认证响应Authentication Response中携带的第一参数,并向AUSF发送用户认证请求UE Authentication Authenticate Request。需要说明的是,步骤307中SEAF向AUSF发送的用户认证请求UE Authentication Authenticate Request可以携带RES*,但并不携带第一参数。
308、AUSF进行认证。
本申请实施例中,AUSF接收SEAF发送的用户认证请求UE AuthenticationAuthenticate Request之后,需要进行鉴权认证,例如,在5G-AKA的鉴权场景中,AUSF接收SEAF发送的用户认证请求UE Authentication Authenticate Request之后,AUSF对用户认证请求UE Authentication Authenticate Request中携带的RES*和XRES*进行比较,如果相等,在归属网络的角度来说认为认证成功了。
309、若认证成功,则AUSF向SEAF发送用户认证请求响应UE AuthenticationAuthenticate Response,相应的,SEAF接收到AUSF发送的用户认证请求响应UEAuthentication Authenticate Response。
本申请实施例中,若AUSF认证成功,则向SEAF发送用户认证请求响应UEAuthentication Authenticate Response,其中用户认证请求响应UE AuthenticationAuthenticate Response可以携带第二身份信息,其中第二身份信息可以等于也可以不等于第一身份信息。
需要说明的是,在一种实施例中,AUSF可以在步骤303中将第二身份消息发送给SEAF,也可以在鉴权通过之后在步骤309中将发送给SEAF,相比于在步骤303中将第二身份消息发送给SEAF,若AUSF是在鉴权通过之后,将第二身份信息发送至SEAF,则可以更好的保护UE的身份信息不被泄露。
310、SEAF生成第二参数,并将第一参数和第二参数进行比对,若所述第一参数和所述第二参数不相等,则SEAF确定所述第二身份信息错误。
本申请实施例中,SEAF接收到AUSF发送的用户认证请求响应UE AuthenticationAuthenticate Response,SEAF可以获取用户认证请求响应UE AuthenticationAuthenticate Response中携带的第二身份信息,并基于第二身份信息通过哈希算法生成第二参数。需要说明的是,步骤310中SEAF使用的哈希算法,与步骤305中,UE生成第一参数时使用的哈希算法相同。
本申请实施例中,若步骤305中,UE利用哈希算法对第一身份信息和第三参数进行计算获取第一参数,则SEAF利用哈希算法对第二身份信息和第三参数进行计算获取第二参数,需要说明的是,SEAF选择的哈希算法以及第三参数应该与步骤305中UE选择的哈希算法以及第三参数一致。
在5G-AKA的鉴权场景中,第三参数包括如下参数中的至少一个:RAND、AUTN、HXRES*、RES*、KSEAF或KAMF。
在EAP-AKA’的鉴权场景中,第三参数包括如下参数中的至少一个:RAND、AUTN、KSEAF或KAMF。
需要说明的是,需要说明的是,SEAF可以选择上述实施例提及的第三参数,也可以选择其他预设的参数,只要是UE和SEAF共同保存有的参数都可以作为第三参数,这里并不限定。
本申请实施例中,SEAF生成第二参数之后,可以将第一参数和第二参数进行比对,若所述第一参数和所述第二参数不相等,则SEAF确定所述第二身份信息错误,若所述第一参数和所述第二参数相等,则SEAF确定所述第二身份信息正确。
本申请实施例中,UDM/ARPF生成鉴权向量;UDM/ARPF向归属网络侧网元AUSF发送用户认证请求服务响应UE Authentication Get Response,相应的,AUSF接收UDM/ARPF发送的用户认证请求服务响应UE Authentication Get Response;归属网络网元AUSF向拜访网络网元SEAF发送用户认证请求响应UE Authentication Authenticate Response,相应的,SEAF接收到AUSF发送的用户认证请求响应UE Authentication AuthenticateResponse;SEAF向终端设备UE发送认证请求Authentication Request,相应的,UE接收SEAF发送的认证请求Authentication Request;UE生成第一参数;UE向SEAF发送认证响应Authentication Response,相应的,SEAF接收UE发送的认证响应AuthenticationResponse;SEAF向AUSF发送用户认证请求UE Authentication Authenticate Request,相应的,AUSF接收SEAF发送的用户认证请求UE Authentication Authenticate Request;AUSF进行认证;若认证成功,则AUSF向SEAF发送用户认证请求响应UE AuthenticationAuthenticate Response,相应的,SEAF接收到AUSF发送的用户认证请求响应UEAuthentication Authenticate Response;若认证成功,则AUSF向SEAF发送用户认证请求响应UE Authentication Authenticate Response,相应的,SEAF接收到AUSF发送的用户认证请求响应UE Authentication Authenticate Response。通过上述方式,SEAF在接收到AUSF下发的第二身份信息后,通过将该第二身份信息通过哈希运算得到的第二参数与UE发送的基于正确的第一身份信息通过哈希运算得到的第一参数进行比对,若第一参数和所述第二参数不相等,则拜访网络侧网元可以识别出归属网络侧网元下发的第二身份信息错误。
前述实施例介绍了本申请实施例提供的一种数据处理方法,针对于5G-AKA和EAP-AKA’的鉴权场景,另一方面,在拜访网络侧和归属网络侧完成了鉴权之后,对于UE的安全模式指令验证(security mode command,SMC)的流程来说,在现有技术中,AMF通过自己生成的KAMF对NAS SMC进行完整性保护,并将进行完整性保护的NAS SMC下发到UE,UE通过自己生成的KAMF对NAS SMC进行完整性校验,若UE对NAS SMC完整性校验成功,则向AMF发送NAS安全模式完成消息。在现有的标准中,KAMF可以通过如下方式生成:KAMF=KDF(KSEAF,ABBA||SUPI),即,SUPI作为KAMF计算的输入参数,AMF在计算KAMF时,选择的是从归属网络侧下发的SUPI,而UE在计算KAMF时,选择的是自身携带的SUPI,当归属网络侧下发的SUPI错误时,AMF生成的KAMF和UE生成的KAMF不同,则UE会出现完整性校验失败的情况,然而,如果NAS SMC本身的数据存在错误的情况,UE也会完整性校验失败,此时,UE并不能确认是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败,还是NAS SMC本身的数据存在错误而导致的完整性校验失败。本申请实施例中,拜访网络网元在下发NAS SMC时,会同时下发一个拜访网络网元利用哈希算法对第二身份信息进行计算获取到的第二参数,UE会利用哈希算法对第一身份信息进行计算获得第一参数,并将第一参数和第二参数进行比对,若第一参数和第二参数不同,则UE可以确定是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败。接下来请参阅图4所示,为本申请实施例提供的拜访网络网元和终端设备之间的一种交互流程示意图。本申请实施例提供的数据处理方法,主要包括如下步骤:
401、拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备。
本申请实施例中,拜访网络网元可以为AMF。
以拜访网络网元为AMF为例,AMF可以基于第二身份信息通过哈希算法生成第二参数,第二身份信息可以为SUPI或IMSI。
本申请实施例中,哈希算法可以包括但不限于基于HMAC的一次性密码算法(anHMAC-based one-time password algorithm,HOTP)、安全散列演算法-1(secure hashalgorithm-1,SHAI)、安全散列演算法-3(secure hash algorithm-3,SHA3)或者伪随机函数(pseudo-random function,PRF)等。需要说明的是,只要可以实现从明文到密文的不可逆的映射,以及只有加密过程,没有解密过程的哈希算法,均可以落入本实施例的保护范围。
在一种实施例中,AMF可以利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在一种实施例中,在完成了5G-AKA的鉴权步骤之后,所述第三参数可以包括如下参数中的至少一个:归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
示例性的,AMF可以利用所述哈希算法和HXRES*对所述第二身份信息进行计算以获取第二参数,或,AMF可以利用所述哈希算法和RES*对所述第二身份信息进行计算以获取第二参数,或,AMF可以利用所述哈希算法、HXRES*和RES*对所述第二身份信息进行计算以获取第二参数,此处并不限定。
在另一种实施例中,在完成了EAP-AKA’的鉴权步骤之后,所述第三参数可以包括如下参数中的至少一个:鉴权结果值RES或安全锚点功能密钥KSEAF。
402、拜访网络网元向终端设备发送所述第二参数,相应的,终端设备接收到拜访网络网元发送的第二参数。
本申请实施例中,拜访网络网元基于第二身份信息通过哈希算法生成第二参数之后,可以在下发NAS SMC时,同时下发第二参数。
403、终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备。
本申请实施例中,UE接收AMF发送的第二参数之后,可以利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备。其中,该第一身份信息可以是存储在UE中,也可以存储在该终端中的用于存储长期密钥的卡中,例如用户识别卡(subscriber identification module,SIM),全球用户识别卡(universalsubscriber identity module,USIM),通用集成电路卡(universal integrated circuitcard,UICC),嵌入式通用集成电路卡(embedded universal integrated circuit card,eUICC),5G通用集成电路卡(5G-universal integrated circuit card,5G-UICC)等,此处并不限定。
需要说明的是,步骤403中UE生成第二参数使用的哈希算法,与步骤401中,AMF生成第二参数时使用的哈希算法相同。
404、若所述第一参数和所述第二参数不相等,则所述终端设备确定所述第二身份信息错误。
本申请实施例中,若步骤401中,AMF利用哈希算法对第二身份信息和第三参数进行计算获取第二参数,则UE利用哈希算法对第一身份信息和第三参数进行计算获取第二参数,需要说明的是,UE选择的哈希算法以及第三参数应该与步骤401中AMF选择的哈希算法以及第三参数一致。
需要说明的是,需要说明的是,UE可以选择上述实施例提及的第三参数,也可以选择其他预设的参数,只要是UE和AMF共同保存有的参数都可以作为第三参数,这里并不限定。
本申请实施例中,UE生成第一参数之后,可以将第一参数和第二参数进行比对,若所述第一参数和所述第二参数不相等,则UE可以确定完整性校验失败的原因在于归属网络侧向AMF下发的第二身份信息错误。
本申请实施例中,拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;拜访网络网元向终端设备发送所述第二参数,相应的,终端设备接收到拜访网络网元发送的第二参数;终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备;若所述第一参数和所述第二参数不相等,则所述终端设备确定所述第二身份信息错误。通过上述方式,拜访网络网元在下发NAS SMC时,会同时下发一个拜访网络网元利用哈希算法对第二身份信息进行计算获取到的第二参数,UE会利用哈希算法对第一身份信息进行计算获得第一参数,并将第一参数和第二参数进行比对,若第一参数和第二参数不同,则UE可以确定是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败。
为便于更好的理解和实施本申请实施例的上述方案,下面举例相应的应用场景来进行具体说明。
图5是本申请实施例提供的一种数据处理方法的通信示意图,参见图5,该方法包括以下步骤:
501、AMF利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备。
步骤501的具体描述,可参照步骤401的描述,这里不再赘述。
502、AMF向UE发送安全模式指令security mode command,相应的,UE接收到AMF发送的安全模式指令security mode command。
本申请实施例中,AMF可以向UE发送安全模式指令security mode command,其中安全模式指令security mode command通过KAMF进行完整性保护,AMF向UE发送安全模式指令security mode command的同时,AMF可以向UE下发步骤501生成的第二参数。
503、UE利用哈希算法对第一身份信息进行计算以获取第一参数。
步骤503的具体描述,可参照步骤403的描述,这里不再赘述。
504、若所述第一参数和所述第二参数不相等,则UE确定第二身份信息错误。
步骤504的具体描述,可参照步骤404的描述,这里不再赘述。
本申请实施例中,AMF利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;AMF向UE发送安全模式指令security modecommand,相应的,UE接收到AMF发送的安全模式指令security mode command;UE利用哈希算法对第一身份信息进行计算以获取第一参数;若所述第一参数和所述第二参数不相等,则UE确定第二身份信息错误。通过上述方式,拜访网络网元在下发NAS SMC时,会同时下发一个拜访网络网元利用哈希算法对第二身份信息进行计算获取到的第二参数,UE会利用哈希算法对第一身份信息进行计算获得第一参数,并将第一参数和第二参数进行比对,若第一参数和第二参数不同,则UE可以确定是由于归属网络侧下发的SUPI存在错误导致的完整性校验失败。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
为便于更好的实施本申请实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅如图6所示,为本申请实施例中拜访网络网元的结构示意图,所述拜访网络网元600,包括:
接收模块601,用于接收到终端设备发送的第一参数;接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;
处理模块602,用于利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。
在本申请的一些实施例中,所述处理模块602,具体用于利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在本申请的一些实施例中,所述至少一个第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在本申请的一些实施例中,所述第二身份信息为IMSI或SUPI。
请参阅如图7所示,为本申请实施例中终端设备的结构示意图,本申请实施例提供的一种终端设备700,包括:
处理模块701,用于利用哈希算法对第一身份信息进行计算以获取第一参数;其中,所述第一身份信息用于指示所述终端设备;
发送模块702,用于向拜访网络网元发送第一参数。
在本申请的一些实施例中,所述处理模块701,具体用于利用哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
在本申请的一些实施例中,所述第一身份信息为IMSI或SUPI。
请参阅如图8所示,为本申请实施例中终端设备的结构示意图,本申请实施例提供的一种终端设备800,包括:
接收模块801,用于接收到拜访网络网元发送的第二参数;
处理模块802,用于利用哈希算法对第一身份信息进行计算以获取第一参数,所述第一身份信息用于指示所述终端设备;
若所述第一参数和所述第二参数不相等,则确定所述第二身份信息错误。
在本申请的一些实施例中,所述处理模块802,具体用于利用所述哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:
归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:
鉴权结果值RES或安全锚点功能密钥KSEAF。
在本申请的一些实施例中,所述第一身份信息为IMSI或SUPI。
请参阅如图9所示,为本申请实施例中拜访网络网元的结构示意图,所述拜访网络网元900,包括:
处理模块901,用于利用哈希算法对所述第二身份信息进行计算以获取第二参数,所述第二身份信息用于标识终端设备;
发送模块902,用于向所述终端设备发送所述第二参数。
在本申请的一些实施例中,所述处理模块901,具体用于利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:
归属域期望响应HXRES*、鉴权结果值RES*或安全锚点功能密钥KSEAF。
在本申请的一些实施例中,所述第三参数包括如下参数中的至少一个:
鉴权结果值RES或安全锚点功能密钥KSEAF。
在本申请的一些实施例中,所述第二身份信息为IMSI或SUPI。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储有程序,该程序执行包括上述方法实施例中记载的部分或全部步骤。
接下来介绍本申请实施例提供的另一种终端设备,请参阅图10所示,终端设备1000包括:
接收器1001、发射器1002、处理器1003和存储器1004(其中终端设备1000中的处理器1003的数量可以一个或多个,图10中以一个处理器为例)。在本申请的一些实施例中,接收器1001、发射器1002、处理器1003和存储器1004可通过总线或其它方式连接,其中,图10中以通过总线连接为例。
存储器1004可以包括只读存储器和随机存取存储器,并向处理器1003提供指令和数据。存储器1004的一部分还可以包括非易失性随机存取存储器(non-volatile randomaccess memory,NVRAM)。存储器1004存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器1003控制终端设备的操作,处理器1003还可以称为中央处理单元(centralprocessing unit,CPU)。具体的应用中,终端设备的各个组件通过总线系统耦合在一起,其中总线系统除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都称为总线系统。
上述本申请实施例揭示的方法可以应用于处理器1003中,或者由处理器1003实现。处理器1003可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1003中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1003可以是通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1004,处理器1003读取存储器1004中的信息,结合其硬件完成上述方法的步骤。
接收器1001可用于接收输入的数字或字符信息,以及产生与终端设备的相关设置以及功能控制有关的信号输入,发射器1002可包括显示屏等显示设备,发射器1002可用于通过外接接口输出数字或字符信息。
本申请实施例中,处理器1003,用于执行前述的终端设备执行的数据处理方法。
接下来介绍本申请实施例提供的另一种拜访网络网元,请参阅图11所示,拜访网络网元1100包括:
接收器1101、发射器1102、处理器1103和存储器1104(其中拜访网络网元1100中的处理器1103的数量可以一个或多个,图11中以一个处理器为例)。在本申请的一些实施例中,接收器1101、发射器1102、处理器1103和存储器1104可通过总线或其它方式连接,其中,图11中以通过总线连接为例。
存储器1104可以包括只读存储器和随机存取存储器,并向处理器1103提供指令和数据。存储器1104的一部分还可以包括NVRAM。存储器1104存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器1103控制网络设备的操作,处理器1103还可以称为CPU。具体的应用中,网络设备的各个组件通过总线系统耦合在一起,其中总线系统除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都称为总线系统。
上述本申请实施例揭示的方法可以应用于处理器1103中,或者由处理器1103实现。处理器1103可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1103中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1103可以是通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1104,处理器1103读取存储器1104中的信息,结合其硬件完成上述方法的步骤。
本申请实施例中,处理器1103,用于执行前述由网络设备执行的数据处理方法。
在另一种可能的设计中,芯片包括:处理单元和通信单元,所述处理单元例如可以是处理器,所述通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令,以使该终端内的芯片执行上述第一方面任意一项的无线通信方法。可选地,所述存储单元为所述芯片内的存储单元,如寄存器、缓存等,所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(randomaccess memory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用中央处理器,微处理器,ASIC,或一个或多个用于控制上述第一方面方法的程序执行的集成电路。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
Claims (20)
1.一种数据处理方法,其特征在于,包括:
拜访网络网元接收到终端设备发送的第一参数;
所述拜访网络网元接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;
所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数;
若所述第一参数和所述第二参数不相等,则所述拜访网络网元确定所述第二身份信息错误。
2.根据权利要求1所述的方法,其特征在于,
所述拜访网络网元利用哈希算法对所述第二身份信息进行计算以获取第二参数,包括:
所述拜访网络网元利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
3.根据权利要求2所述的方法,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
4.根据权利要求2所述的方法,其特征在于,所述至少一个第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
5.根据权利要求1至4任一所述的方法,其特征在于,所述第二身份信息为IMSI或SUPI。
6.一种数据处理方法,其特征在于,包括:
终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,其中,所述第一身份信息用于指示所述终端设备;
终端设备向拜访网络网元发送第一参数。
7.根据权利要求6所述的方法,其特征在于,所述终端设备利用哈希算法对第一身份信息进行计算以获取第一参数,包括:
终端设备利用哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
8.根据权利要求7所述的方法,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
9.根据权利要求7所述的方法,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
10.根据权利要求6至9任一所述的方法,其特征在于,所述第一身份信息为IMSI或SUPI。
11.一种拜访网络网元,其特征在于,包括:
接收模块,用于接收到终端设备发送的第一参数;接收归属网络网元发送的第二身份信息,所述第二身份信息用于标识所述终端设备;
处理模块,用于利用哈希算法对所述第二身份信息进行计算以获取第二参数;若所述第一参数和所述第二参数不相等,则确定所述第二身份信息错误。
12.根据权利要求11所述的拜访网络网元,其特征在于,所述处理模块,具体用于利用所述哈希算法和第三参数对所述第二身份信息进行计算以获取第二参数。
13.根据权利要求12所述的拜访网络网元,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
14.根据权利要求12所述的拜访网络网元,其特征在于,所述至少一个第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
15.根据权利要求11至14任一所述的拜访网络网元,其特征在于,所述第二身份信息为IMSI或SUPI。
16.一种终端设备,其特征在于,包括:
处理模块,用于利用哈希算法对第一身份信息进行计算以获取第一参数;其中,所述第一身份信息用于指示所述终端设备;
发送模块,用于向拜访网络网元发送第一参数。
17.根据权利要求16所述的终端设备,其特征在于,所述处理模块,具体用于利用哈希算法和第三参数对所述第一身份信息进行计算以获取第一参数。
18.根据权利要求17所述的终端设备,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、归属域期望响应HXRES*、鉴权结果值RES*、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
19.根据权利要求17所述的终端设备,其特征在于,所述第三参数包括如下参数中的至少一个:
随机数RAND、认证令牌AUTN、鉴权结果值RES、安全锚点功能密钥KSEAF或接入和移动性管理功能密钥KAMF。
20.根据权利要求16至19任一所述的终端设备,其特征在于,所述第一身份信息为IMSI或SUPI。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910263991.5A CN111769944B (zh) | 2019-04-02 | 2019-04-02 | 一种数据处理方法、拜访网络网元和终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910263991.5A CN111769944B (zh) | 2019-04-02 | 2019-04-02 | 一种数据处理方法、拜访网络网元和终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111769944A true CN111769944A (zh) | 2020-10-13 |
CN111769944B CN111769944B (zh) | 2022-04-12 |
Family
ID=72718539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910263991.5A Active CN111769944B (zh) | 2019-04-02 | 2019-04-02 | 一种数据处理方法、拜访网络网元和终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111769944B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112822674A (zh) * | 2020-12-29 | 2021-05-18 | 联想未来通信科技(重庆)有限公司 | 一种nas消息的解密方法和装置 |
CN114302503A (zh) * | 2021-12-31 | 2022-04-08 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
US20180013568A1 (en) * | 2016-03-10 | 2018-01-11 | Futurewei Technologies, Inc. | Authentication Mechanism for 5G Technologies |
CN108737381A (zh) * | 2018-04-23 | 2018-11-02 | 厦门盛华电子科技有限公司 | 一种物联网系统的扩展认证方法 |
CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
-
2019
- 2019-04-02 CN CN201910263991.5A patent/CN111769944B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103906051A (zh) * | 2012-12-25 | 2014-07-02 | 中国移动通信集团北京有限公司 | 一种接入lte网络的方法、系统和装置 |
US20180013568A1 (en) * | 2016-03-10 | 2018-01-11 | Futurewei Technologies, Inc. | Authentication Mechanism for 5G Technologies |
CN108737381A (zh) * | 2018-04-23 | 2018-11-02 | 厦门盛华电子科技有限公司 | 一种物联网系统的扩展认证方法 |
CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
Non-Patent Citations (1)
Title |
---|
NOKIA: "LI conformity by combining verification hash method with key binding of UE info into the key hierarchy-integrated in 5G AKA", 《3GPP TSG SA WG3 (SECURITY) MEETING #90BIS S3-180963》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112822674A (zh) * | 2020-12-29 | 2021-05-18 | 联想未来通信科技(重庆)有限公司 | 一种nas消息的解密方法和装置 |
CN114302503A (zh) * | 2021-12-31 | 2022-04-08 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
CN114302503B (zh) * | 2021-12-31 | 2023-06-06 | 广州爱浦路网络技术有限公司 | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 |
Also Published As
Publication number | Publication date |
---|---|
CN111769944B (zh) | 2022-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6492115B2 (ja) | 暗号鍵の生成 | |
CN106922216B (zh) | 用于无线通信的装置、方法和存储介质 | |
CN111757311B (zh) | 一种鉴权方法及通信装置 | |
CN112514436B (zh) | 发起器和响应器之间的安全的、被认证的通信 | |
CN109788480B (zh) | 一种通信方法及装置 | |
EP3952241A1 (en) | Parameter sending method and apparatus | |
CN111769944B (zh) | 一种数据处理方法、拜访网络网元和终端设备 | |
US20190149326A1 (en) | Key obtaining method and apparatus | |
CN111835691B (zh) | 一种认证信息处理方法、终端和网络设备 | |
CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
CN113950051B (zh) | 一种鉴权推演方法及装置 | |
CN102026184B (zh) | 一种鉴权方法及鉴权系统以及相关设备 | |
CN113285805A (zh) | 一种通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |