CN111770496A - 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 - Google Patents
一种5g-aka鉴权的方法、统一数据管理网元及用户设备 Download PDFInfo
- Publication number
- CN111770496A CN111770496A CN202010614149.4A CN202010614149A CN111770496A CN 111770496 A CN111770496 A CN 111770496A CN 202010614149 A CN202010614149 A CN 202010614149A CN 111770496 A CN111770496 A CN 111770496A
- Authority
- CN
- China
- Prior art keywords
- authentication
- bit data
- suci
- data
- authentication level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明提供一种5G‑AKA鉴权的方法、统一数据管理网元及用户设备,所述方法包括:接收安全锚函数SEAF发送的第一鉴权请求,所述第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;若X不等于10,对所述未加密的Y位数据进行验证;若验证成功,对所述加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。该方法、统一数据管理网元及用户设备能够实现网络的快速鉴权以及快速响应,解决了现有的工业控制专网、车联网专网等反复解密加密获得鉴权后再进行专网数据分流,大大影响网络响应的时延与效率的问题。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种5G-AKA鉴权的方法、统一数据管理网元及用户设备。
背景技术
现有的5G鉴权引入SUCI(SUbscription Concealed Identifier,用户隐藏标识)和AKA(Authentication and Key Agreement,鉴权和密钥协商)鉴权等安全机制。但是对于Urllc(SUbscription Permanent Identifier,超高可靠与低时延通信)场景,例如工业控制专网、车联网专网等需要网络快速鉴权、快速响应的情况,反复解密加密获得鉴权后再进行专网数据分流,这会影响网络响应的时延与效率。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种5G-AKA鉴权的方法、统一数据管理网元及用户设备,用以解决现有的5G鉴权方法由于反复解密加密获得鉴权后才进行专网数据分流,容易造成网络时延高,传输效率差的问题。
第一方面,本发明实施例提供一种5G-AKA鉴权的方法,应用于统一数据管理网元UDM,所述方法包括:
接收安全锚函数SEAF发送的第一鉴权请求,所述第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
若X不等于10,对所述未加密的Y位数据进行验证;
若验证成功,对所述加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。
优选地,所述方法还包括:
若X等于10,对所述加密的X位数据进行解密之后,根据鉴权等级生成鉴权向量5GHE AV。
优选地,所述对所述未加密的Y位数据进行验证,包括:
验证预存的用户签约数据中是否存在与所述未加密的Y位数据位置和数据相同的目标用户永久标识SUPI;
若存在与所述未加密的Y位数据位置和数据相同的所述目标SUPI,则验证成功。
优选地,所述对所述加密的X位数据进行解密,包括:
采用预存的私钥对所述SUCI中的X位数据进行解密,得到解密后的SUPI;
所述对所述加密的X位数据进行解密的步骤之后,所述方法还包括:
将解密后的SUPI发送给身份验证凭据存储库和处理功能ARPF,所述解密后的SUPI用于触发ARPF根据所述SUPI所对应的用户签约数据对所述鉴权等级进行核对,如果核对一致则UDM继续执行根据鉴权等级生成鉴权向量5G HE AV的步骤,如果核对不一致,则UDM判定为鉴权失败,且终止执行根据鉴权等级生成鉴权向量5G HE AV的步骤。
优选地,所述将解密后的SUPI发送给ARPF的步骤之后,所述方法还包括:
若UDM判定为鉴权失败的次数小于预设阈值,再次接收SEAF发送的第一鉴权请求;
若UDM判定为鉴权失败的次数大于或等于预设阈值,接收SEAF发送的第二鉴权请求,其中,所述第二鉴权请求携带新的鉴权等级和SUCI,其中,所述新的鉴权等级为与所述第一鉴权请求中不同的鉴权等级,所述新的SUCI为根据所述新的鉴权等级生成的SUCI。
优选地,若X不等于10,根据鉴权等级生成鉴权向量5G HE AV,包括:
获取预设关系对应表中由所述未加密的Y位数据和密钥K中的N位数据构成的数据组合所对应的密钥K、序列号SQN和随机数RAND;
分别提取所述SQN和RAND中的X位数据,得到X位序列号SQN和X位随机数RAND;
提取所述密钥K中的X位数据;
采用所述密钥K中的X位数据和所述X位随机数RAND进行运算,生成密钥KAUSF和期望的响应XRES*;
采用所述密钥K中的X位数据和所述X位序列号SQN进行运算,生成认证令牌AUTN;
根据所述KAUSF、XRES*、AUTN和X位随机数RAND得到鉴权向量5G HE AV。
优选地,所述若X等于10,对所述加密的X位数据进行解密之后,根据鉴权等级生成鉴权向量5G HE AV,包括:
若X等于10,采用预存的私钥对SUCI中的X位数据进行解密,得到解密后的SUPI;
获取预设关系对应表中由所述SUPI和K密钥中的N位数据构成的数据组合所对应的密钥K、序列号SQN和随机数RAND;
采用所述密钥K和所述随机数RAND进行运算,生成密钥KAUSF和期望的响应XRES*;
采用所述密钥K和所述序列号SQN进行运算,生成认证令牌AUTN;
根据所述KAUSF、XRES*、AUTN和RAND得到鉴权向量5G HE AV。
第二方面,本发明实施例提供一种5G-AKA鉴权的方法,应用于用户设备UE,包括以下步骤:
确定鉴权等级;
根据所述鉴权等级生成SUCI;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
向AMF发送注册请求,以用于触发所述AMF将其转发给SEAF,所述注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
第三方面,本发明实施例提供一种统一数据管理网元,包括:
第一接收模块,用于接收安全锚函数SEAF发送的第一鉴权请求,所述第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
验证模块,用于若X不等于10,对所述未加密的Y位数据进行验证;
鉴权模块,用于若验证成功,对所述加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。
第四方面,本发明实施例提供一种用户设备,包括:
鉴权等级确定模块,用于确定鉴权等级;
SUCI生成模块,用于根据所述鉴权等级生成SUCI;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
第一发送模块,用于向AMF发送注册请求,以用于触发所述AMF将其转发给SEAF,所述注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
本发明实施例提供的5G-AKA鉴权的方法、统一数据管理网元及用户设备,通过鉴权等级对SUCI加密的位数进行调整,以及根据鉴权等级对SUCI未加密的数据进行验证,若验证失败,则提示鉴权失败,若验证成功,则开始后继AKA鉴权,且同步进行SUCI解密,能够实现网络的快速鉴权以及快速响应,解决了现有的工业控制专网、车联网专网等反复解密加密获得鉴权后再进行专网数据分流,大大影响网络响应的时延与效率的问题。
附图说明
图1:为本发明实施例1的一种5G-AKA鉴权的方法的流程图;
图2:为本发明实施例2的又一种5G-AKA鉴权的方法的流程图;
图3:为本发明实施例3的统一数据管理网元的结构图;
图4:为本发明实施例4的一种用户设备的结构图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
实施例1:
本实施例提供一种5G-AKA鉴权的方法,应用于统一数据管理网元UDM(UnifiedData Manager),如图1所示,该方法包括:
步骤S102:接收安全锚函数SEAF(SEcurity Anchor Function)发送的第一鉴权请求,第一鉴权请求携带鉴权等级、用户隐藏标识SUCI(SUbscription ConcealedIdentifier)以及密钥K中的N位数据;
其中,SUCI包括根据鉴权等级划分的加密的X位数据和未加密的Y位数据。
需要说明的是,当用户购机入网时,位于网络侧的运营商将用户永久标识SUPI(SUbscription Permanent Identifier)和用户鉴权密钥K一起分配给用户,网络侧和用户设备UE(User Equipment)侧事先存储密钥K。UE的真实身份在5G里称为SUPI,包括3位移动国家码MCC(Mobile Country Code)、2位移动网络码MNC(Mobile Network Code)、以及10位的移动用户的识别号码MSIN(Mobile Subscriber Identification Number)。SUPI是5G网络中用户的唯一永久身份标志,通过公钥加密后的密文称为SUCI,其中,SUPI中只有MSIN部分根据注册网络标识进行了隐藏,即现有的SUCI是将SUPI中的10位MSIN数据全部加密,而MCC和MNC未加密,仍以明文传输。SUCI传送给基站后,基站直接上传至核心网,手机用来加密SUPI的公钥放在全球用户识别卡USIM(Universal Subscriber Identity Module)中。
在本实施例中,鉴权等级可以是UE根据当前业务类型确定的,比如,位于网络侧的运营商事先根据不同业务类型对鉴权速度的要求将鉴权等级划分为3级,比如视频业务是归属于III类鉴权等级(普通鉴权),电话业务是归属于II类鉴权等级(中等鉴权),而其他的业务例如车联网业务是归属于I类鉴权等级(快速鉴权),若用户当前用的是视频业务,则确定当前业务的鉴权等级是III类鉴权等级,若当前用户接入的是车联网(导航、自动驾驶),因为要求快速反应确定鉴权等级就是I类鉴权等级,若当前是电话业务,要求鉴权速度不快也不慢,则UE确定鉴权等级就是II类鉴权等级。
其中,UE确定鉴权等级后,根据鉴权等级对SUPI中加密的位数进行调整,具体对SUPI中的MSIN加密的位数进行调整,比如MSIN为10位数据,I类鉴权等级的MSIN加密位数由原始10位降到X1位,II类鉴权等级的MSIN加密位数由原始10位降到X2位,其中X2>X1,而III类鉴权等级加密位数仍为10位。由于现有的鉴权方法需要双方来回加密解密全部MSIN,鉴权速度慢,不适合要求快速鉴权的业务,因此,为了快速鉴权可以对SUCI的加密位数进行按需减少。
其中,UE在网络注册环节启动认证鉴权流程,向接入和移动性管理功能单元AMF(Access and Mobility Management)发送注册请求时,除了包含按鉴权等级加密后的SUCI,同时也新增一个鉴权等级标识位,此外,再新增K密钥中的N位数据,即把USIM卡中储存的K密钥前、后或者中间的N位数据一起发送。消息格式如下:
按鉴权等级加密后的SUCI | 鉴权等级 | K密钥中的N位 |
假设当前鉴权等级是I类鉴权等级,X1等于4,则可以选择前、后或者中间4位加密,比如选择后4位加密,如果SUPI是255822113242541,那么SUCI包括加密的4位数据和未加密的11位数据,此时,按鉴权等级加密后的SUCI即是:25582211324xxxx,N可以是密钥K中的前、中或是后20位数据。
AMF将注册请求发送给SEAF(SEcurity Anchor Function安全锚函数)。SEAF接收到注册请求后,向UMD发送鉴权请求,该鉴权请求携带鉴权等级、SUCI和密钥K中的N位数据
步骤S104:若X不等于10,对未加密的Y位数据进行验证;
可选地,对未加密的Y位数据进行验证,可以包括:
验证预存的用户签约数据中是否存在与未加密的Y位数据位置和数据相同的目标用户永久标识SUPI;
若存在与未加密的Y位数据位置和数据相同的目标SUPI,则验证成功。
在本实施例中,UDM收到鉴权请求后,根据标识位提示的鉴权等级进行验证,对于I类鉴权等级,只验证SUCI的前(15-X1)位,由于(15-X1)位没有加密,因此验证速率将极大提升。假设SUCI是25582211324xxxx,则UDM验证是否存在以25582211324开头的用户,如果有,则验证通过,如果没有,则验证失败,UDM向UE发送鉴权失败的消息。
步骤S106:若验证成功,对加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。
在本实施例中,验证通过的用户可能有多个,因此,不但需要验证未加密的Y位数据,还需要对加密的X位数据进行解密,比如,用户1的SUPI为255822113242541,用户2的SUPI为255822113241111,UDM验证以25582211324开头的用户可以用网络打电话,然后同步对加密的4位数据进行解密,还原出255822113242541,再进行鉴权后,用户1鉴权成功,则用户1可以继续用网络打电话,而用户2则不能继续用网络打电话。
可选地,对加密的X位数据进行解密,可以包括:
采用预存的私钥对SUCI中的X位数据进行解密,得到解密后的SUPI;
对加密的X位数据进行解密的步骤之后,方法还包括:
将解密后的SUPI发送给身份验证凭据存储库和处理功能ARPF(AuthenticationcredentialRepository and Processing Function),解密后的SUPI用于触发ARPF根据SUPI所对应的用户签约数据对鉴权等级进行核对,如果核对一致则UDM继续执行根据鉴权等级生成鉴权向量5G HE AV的步骤,如果核对不一致,则UDM判定为鉴权失败,且终止执行根据鉴权等级生成鉴权向量5G HE AV的步骤。
在本实施例中,一个用户可以对应多个鉴权等级,UDM对加密的X位数据进行解密后,将解密的SUPI发送给ARPF。ARPF根据该SUPI用户所对应的用户签约数据对其选择的鉴权等级进行核对,若该SUPI用户所对应的用户签约数据中包括当前鉴权等级,则核对一致,继续执行UDM网元根据鉴权等级生成鉴权向量5G HE AV的步骤,并向AUSF(AUthenticationServer FunctionAU,身份验证服务器功能)发送解密后的SUPI。如果核对不一致则由UDM判定为鉴权失败,UDM需要向AUSF发送鉴权失败的响应,再由AUSF向服务网络的SEAF发送鉴权失败的响应。在向归属地网络的AUSF以及服务网络SEAF发送该鉴权失败消息时,消息中包括的用户信息以SUCI形式发送,从而保证用户MSIN的保密性,同时依据3GPP的规定SEAF在没有收到SUPI之前也不会向用户提供服务。SEAF收到鉴权失败消息后会将消息转发给UE,用于指示鉴权失败,需要重新申请注册鉴权,UE会再次向归属网络发起注册请求。
可选地,将解密后的SUPI发送给ARPF的步骤之后,方法还包括:
若UDM判定为鉴权失败的次数小于预设阈值,再次接收SEAF发送的第一鉴权请求;
若UDM判定为鉴权失败的次数大于或等于预设阈值,接收SEAF发送的第二鉴权请求,其中,第二鉴权请求携带新的鉴权等级和SUCI,其中,新的鉴权等级为与第一鉴权请求中不同的鉴权等级,新的SUCI为根据新的鉴权等级生成的SUCI。
在本实施例中,若鉴权失败次数大于或等于预设阈值,UE自动调整到其他的鉴权等级,从而保证在某种等级的鉴权失败后还可由其他鉴权等级进行鉴权,例如:申请Urllc的业务进行快速鉴权,即I类鉴权等级,但是由于运营商用户签约数据是III类鉴权等级,那么3次的快速鉴权失败后,将自动调整到III类鉴权等级。
可选地,若X不等于10,根据鉴权等级生成鉴权向量5G HE AV,包括:
获取预设关系对应表中由未加密的Y位数据和密钥K中的N位数据构成的数据组合所对应的密钥K、序列号SQN和随机数RAND;
分别提取SQN和RAND中的X位数据,得到X位序列号SQN和X位随机数RAND;
提取密钥K中的X位数据;
采用密钥K中的X位数据和X位随机数RAND进行运算,生成密钥KAUSF和期望的响应XRES*;
采用密钥K中的X位数据和X位序列号SQN进行运算,生成认证令牌AUTN;
根据KAUSF、XRES*、AUTN和X位随机数RAND得到鉴权向量5G HE AV。
其中,预设关系对应表属于用户签约数据的一部分,事先存储于UDM中,该预设关系对应表包括所有用户在不同鉴权等级下的用户身份标识SUPI与该用户SIM卡中密钥K中的N位构成的数据组合,以及其所对应的密钥K、SQN和RAND;例如I类鉴权等级下SUPI前(15-X1)位,即该鉴权等级下SUCI没有加密的那几位、II类鉴权等级SUPI前(15-X2)位、III类鉴权等级,即未加密位数为0,SUPI全部15位对应的密钥K、SQN和RAND,预设关系对应表结构如下:
其中,用户在USIM开卡签约时,运营商后台可以保证SUPI前(15-X2)位或者SUPI前(15-X1)位以及K密钥中的N位数据的数据组合不会有重叠、完全一致的情况。
在本实施例中,若X等于10,即非普通鉴权等级,UDM依据该数据组合查询到K密钥、序列号SQN和随机数RAND时,缩短该SQN以及RAND的位数至X位,比如I类鉴权等级,缩短至X1位,II类鉴权等级缩短至X2位,并且在与K关密钥做相关运算时,只将K密钥中的X1或X2位与缩短后的SQN或RAND进行运算用来生KAUSF、XRES*和AUTN,密钥K的剩余(128-X1)或(128-X2)位不参与运算,由于不同运营商网络会自定义K密钥与SQN或RAND进行乘、加、或者其他函数关系的运算,因此,此处对具体的运算方式不做限定。现有的鉴权流程是在解密SUCI获得SUPI后,由SUPI查询对应的K密钥,再由K密钥推出KAUSF,并计算XRES*,最后再创建5G HEAV,而本实施例通过X位K密钥、缩短后的X位SQN和RAND来推导5G HE AV,避免因采用长数据串做运算带来的鉴权速度慢的问题,通过加快运算速度,提高了鉴权速率,保证5G车联网、工业控制等业务可以快速完成鉴权,此外,由于K密钥推出KAUSF是5G-AKA鉴权的初始流程、独立步骤,对K密钥、KAUSF的派生流程进行优化并未影响到3GPP规定的其他鉴权流程;SUCI加密、解密以及在5G安全鉴权的体系中也符合3GPP规定的信令流程,因此本实施方式的可实施性极高。
可选地,方法还可以包括:
若X等于10,对加密的X位数据进行解密之后,UDM网元根据鉴权等级生成鉴权向量5G HE AV。
可选地,若X等于10,对加密的X位数据进行解密之后,UDM网元根据鉴权等级生成鉴权向量5G HE AV,包括:
若若X等于10,采用预存的私钥对SUCI中的X位数据进行解密,得到解密后的SUPI;
获取预设关系对应表中由SUPI和K密钥中的N位数据构成的数据组合所对应的K密钥、序列号SQN和随机数RAND;
其中,预设关系对应表包括多个数据组合,多个数据组合不重覆;
采用K密钥和随机数RAND进行运算,生成KAUSF和XRES*;
采用K密钥和序列号SQN进行运算,生成AUTN;
根据KAUSF、XRES*、AUTN和RAND得到鉴权向量5G HE AV。
在本实施例中,若X等于10,即普通鉴权等级,为了兼容现有的鉴权流程,需要将SUCI全部解密得到SUPI,再根据SUPI和K密钥中的N位查找用户对应的K密钥、SQN和RAND,在进行运算时,SQN和RAND的位数无需缩短,K密钥做相关运算的位数也保持128位。
可选地,UDM生成5G HE AV后,向AUSF发送Nudm_UEAuthentication_Get消息,具体格式为:【5G HE AV】:【SUCI】:【鉴权等级】【消息序列1】,即用户信息仍以SUCI的形式发送,直到SUCI解密完成且鉴权等级核对完成,再由UDM发送给AUSF解密后的SUPI,消息格式为:【5G HE AV】:【SUCI】:【SUPI】【鉴权等级标识位】【消息序列2】,AUSF收到消息后可以将SUPI储存并替换SUCI。
在后续鉴权过程中的信令消息也都将携带鉴权等级标识位,实现对不同数据位进行相应的运算。例如:AUSF在向SEAF发送Nausf_UEAuthentication_AuthenticateResponse时,在由XRES*推导HXRES*、KAUSF的过程中,也会根据鉴权等级,比如I类鉴权等级,在相应的第M~(M+X1)位进行长度为X1的相关运算。又如:在向终端发送RAND与AUTN消息时,也需要同时携带鉴权等级标识位,让终端在计算REX*时,对相应的X1位进行长度为X1的运算。
本发明实施例提供的5G-AKA鉴权的方法,通过鉴权等级对SUCI加密的位数进行调整,以及根据鉴权等级对SUCI未加密的数据进行验证,若验证失败,则提示鉴权失败,若验证成功,则开始后继AKA鉴权,且同步进行SUCI解密,能够实现网络的快速鉴权以及快速响应,解决了现有的工业控制专网、车联网专网等反复解密加密获得鉴权后再进行专网数据分流,大大影响网络响应的时延与效率的问题。
实施例2:
如图2所示,本实施例提供一种5G-AKA鉴权的方法,应用于用户设备UE,包括以下步骤:
步骤S202:确定鉴权等级;
步骤S204:根据鉴权等级生成SUCI;
其中,SUCI包括根据鉴权等级划分的加密的X位数据和未加密的Y位数据;
步骤S206:向AMF发送注册请求,以用于触发AMF将其转发给SEAF,注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
实施例3:
如图3所示,本实施例提供一种统一数据管理网元UDM,包括:
第一接收模块302,用于接收安全锚函数SEAF发送的第一鉴权请求,第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;
其中,SUCI包括根据鉴权等级划分的加密的X位数据和未加密的Y位数据;
验证模块304,与第一接收模块302连接,用于若X不等于10,对未加密的Y位数据进行验证;
鉴权模块306,与验证模块304连接,用于若验证成功,对加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。
实施例4:
如图4所示,本实施例提供一种用户设备UE,包括:
鉴权等级确定模块402,用于确定鉴权等级;
SUCI生成模块404,与鉴权等级确定模块402连接,用于根据鉴权等级生成SUCI;
其中,SUCI包括根据鉴权等级划分的加密的X位数据和未加密的Y位数据;
第一发送模块406,与SUCI生成模块404连接,用于向AMF发送注册请求,以用于触发AMF将其转发给SEAF,注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
实施例2至实施例4提供的5G-AKA鉴权的方法、统一数据管理网元及用户设备,通过鉴权等级对SUCI加密的位数进行调整,以及根据鉴权等级对SUCI未加密的数据进行验证,若验证失败,则提示鉴权失败,若验证成功,则开始后继AKA鉴权,且同步进行SUCI解密,能够实现网络的快速鉴权以及快速响应,解决了现有的工业控制专网、车联网专网等反复解密加密获得鉴权后再进行专网数据分流,大大影响网络响应的时延与效率的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种5G-AKA鉴权的方法,应用于统一数据管理网元UDM,其特征在于,包括以下步骤:
接收安全锚函数SEAF发送的第一鉴权请求,所述第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
若X不等于10,对所述未加密的Y位数据进行验证;
若验证成功,对所述加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5GHE AV。
2.根据权利要求1所述的5G-AKA鉴权的方法,其特征在于,所述方法还包括:
若X等于10,对所述加密的X位数据进行解密之后,根据鉴权等级生成鉴权向量5G HEAV。
3.根据权利要求1所述的5G-AKA鉴权的方法,其特征在于,所述对所述未加密的Y位数据进行验证,包括:
验证预存的用户签约数据中是否存在与所述未加密的Y位数据位置和数据相同的目标用户永久标识SUPI;
若存在与所述未加密的Y位数据位置和数据相同的所述目标SUPI,则验证成功。
4.根据权利要求3所述的5G-AKA鉴权的方法,其特征在于,所述对所述加密的X位数据进行解密,包括:
采用预存的私钥对所述SUCI中的X位数据进行解密,得到解密后的SUPI;
所述对所述加密的X位数据进行解密的步骤之后,所述方法还包括:
将解密后的SUPI发送给身份验证凭据存储库和处理功能ARPF,所述解密后的SUPI用于触发ARPF根据所述SUPI所对应的用户签约数据对所述鉴权等级进行核对,如果核对一致则UDM继续执行根据鉴权等级生成鉴权向量5G HE AV的步骤,如果核对不一致,则UDM判定为鉴权失败,且终止执行根据鉴权等级生成鉴权向量5G HE AV的步骤。
5.根据权利要求4所述的5G-AKA鉴权的方法,其特征在于,所述将解密后的SUPI发送给ARPF的步骤之后,所述方法还包括:
若UDM判定为鉴权失败的次数小于预设阈值,再次接收SEAF发送的第一鉴权请求;
若UDM判定为鉴权失败的次数大于或等于预设阈值,接收SEAF发送的第二鉴权请求,其中,所述第二鉴权请求携带新的鉴权等级和SUCI,其中,所述新的鉴权等级为与所述第一鉴权请求中不同的鉴权等级,所述新的SUCI为根据所述新的鉴权等级生成的SUCI。
6.根据权利要求5所述的5G-AKA鉴权的方法,其特征在于,若X不等于10,根据鉴权等级生成鉴权向量5G HE AV,包括:
获取预设关系对应表中由所述未加密的Y位数据和密钥K中的N位数据构成的数据组合所对应的密钥K、序列号SQN和随机数RAND;
分别提取所述SQN和RAND中的X位数据,得到X位序列号SQN和X位随机数RAND;
提取所述密钥K中的X位数据;
采用所述密钥K中的X位数据和所述X位随机数RAND进行运算,生成密钥KAUSF和期望的响应XRES*;
采用所述密钥K中的X位数据和所述X位序列号SQN进行运算,生成认证令牌AUTN;
根据所述KAUSF、XRES*、AUTN和X位随机数RAND得到鉴权向量5G HE AV。
7.根据权利要求2所述的5G-AKA鉴权的方法,其特征在于,所述若X等于10,对所述加密的X位数据进行解密之后,根据鉴权等级生成鉴权向量5G HE AV,包括:
若X等于10,采用预存的私钥对SUCI中的X位数据进行解密,得到解密后的SUPI;
获取预设关系对应表中由所述SUPI和K密钥中的N位数据构成的数据组合所对应的密钥K、序列号SQN和随机数RAND;
采用所述密钥K和所述随机数RAND进行运算,生成密钥KAUSF和期望的响应XRES*;
采用所述密钥K和所述序列号SQN进行运算,生成认证令牌AUTN;
根据所述KAUSF、XRES*、AUTN和RAND得到鉴权向量5G HE AV。
8.一种5G-AKA鉴权的方法,应用于用户设备UE,其特征在于,包括以下步骤:
确定鉴权等级;
根据所述鉴权等级生成SUCI;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
向AMF发送注册请求,以用于触发所述AMF将其转发给SEAF,所述注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
9.一种统一数据管理网元,其特征在于,包括:
第一接收模块,用于接收安全锚函数SEAF发送的第一鉴权请求,所述第一鉴权请求携带鉴权等级、用户隐藏标识SUCI以及密钥K中的N位数据;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
验证模块,用于若X不等于10,对所述未加密的Y位数据进行验证;
鉴权模块,用于若验证成功,对所述加密的X位数据进行解密的同时,根据鉴权等级生成鉴权向量5G HE AV。
10.一种用户设备,其特征在于,包括:
鉴权等级确定模块,用于确定鉴权等级;
SUCI生成模块,用于根据所述鉴权等级生成SUCI;
其中,所述SUCI包括根据所述鉴权等级划分的加密的X位数据和未加密的Y位数据;
第一发送模块,用于向AMF发送注册请求,以用于触发所述AMF将其转发给SEAF,所述注册请求携带鉴权等级、SUCI和密钥K中的N位数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010614149.4A CN111770496B (zh) | 2020-06-30 | 2020-06-30 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010614149.4A CN111770496B (zh) | 2020-06-30 | 2020-06-30 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111770496A true CN111770496A (zh) | 2020-10-13 |
CN111770496B CN111770496B (zh) | 2022-08-02 |
Family
ID=72724204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010614149.4A Active CN111770496B (zh) | 2020-06-30 | 2020-06-30 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111770496B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114727285A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
CN114727285B (zh) * | 2021-01-04 | 2024-05-14 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683510A (zh) * | 2018-05-18 | 2018-10-19 | 兴唐通信科技有限公司 | 一种加密传输的用户身份更新方法 |
CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
US20190098502A1 (en) * | 2017-07-25 | 2019-03-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscription concealed identifier |
WO2019088599A1 (ko) * | 2017-10-31 | 2019-05-09 | 엘지전자 주식회사 | 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치 |
US20190182654A1 (en) * | 2017-12-08 | 2019-06-13 | Nokia Technologies Oy | Preventing covert channel between user equipment and home network in communication system |
CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
CN110475247A (zh) * | 2018-05-11 | 2019-11-19 | 电信科学技术研究院有限公司 | 消息处理方法及装置 |
CN110933670A (zh) * | 2019-11-28 | 2020-03-27 | 楚天龙股份有限公司 | 一种实现主认证增强的安全usim卡及终端的主认证方法 |
-
2020
- 2020-06-30 CN CN202010614149.4A patent/CN111770496B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190098502A1 (en) * | 2017-07-25 | 2019-03-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Subscription concealed identifier |
WO2019088599A1 (ko) * | 2017-10-31 | 2019-05-09 | 엘지전자 주식회사 | 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치 |
US20190182654A1 (en) * | 2017-12-08 | 2019-06-13 | Nokia Technologies Oy | Preventing covert channel between user equipment and home network in communication system |
CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
CN110475247A (zh) * | 2018-05-11 | 2019-11-19 | 电信科学技术研究院有限公司 | 消息处理方法及装置 |
CN108683510A (zh) * | 2018-05-18 | 2018-10-19 | 兴唐通信科技有限公司 | 一种加密传输的用户身份更新方法 |
CN108848502A (zh) * | 2018-05-18 | 2018-11-20 | 兴唐通信科技有限公司 | 一种利用5g-aka对supi进行保护的方法 |
CN110933670A (zh) * | 2019-11-28 | 2020-03-27 | 楚天龙股份有限公司 | 一种实现主认证增强的安全usim卡及终端的主认证方法 |
Non-Patent Citations (1)
Title |
---|
蔡秋艳等: "基于5G用户卡的5G接入认证分析及试验", 《移动通信》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114727285A (zh) * | 2021-01-04 | 2022-07-08 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
CN114727285B (zh) * | 2021-01-04 | 2024-05-14 | 中国移动通信有限公司研究院 | 一种鉴权方法、鉴权网元及安全锚点实体 |
Also Published As
Publication number | Publication date |
---|---|
CN111770496B (zh) | 2022-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
US6839434B1 (en) | Method and apparatus for performing a key update using bidirectional validation | |
US8792641B2 (en) | Secure wireless communication | |
JP4263384B2 (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
EP1001570A2 (en) | Efficient authentication with key update | |
JP2012110009A (ja) | エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成 | |
CA3033619C (en) | Authentication server of a cellular telecommunication network and corresponding uicc | |
CN108353279B (zh) | 一种认证方法和认证系统 | |
CN101163003A (zh) | Sim卡使用umts终端和umts系统时终端认证网络的系统和方法 | |
CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
US20220400006A1 (en) | Touchless key provisioning operation for communication devices | |
KR100330418B1 (ko) | 이동통신 환경에서의 가입자 인증 방법 | |
CN116567633B (zh) | 基于ecdsa签名算法的身份认证方法、系统及设备 | |
EP3836589A1 (en) | Method for authenticating a secure element at the level of an authentication server, corresponding secure element and authentication server | |
KR101033931B1 (ko) | 이동통신시스템에서 통신 방법(인증 및 키설정 방법) 및 상기 이동통신시스템에서 가입자와 방문자 위치 등록기를 구동하는 방법 | |
WO2020048787A1 (en) | Method for updating a secret data in a credential container | |
KR20150135715A (ko) | 이동통신 시스템에서 사용자의 프라이버시를 보호하는 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |