CN111866858A - 一种注册方法及通信装置 - Google Patents
一种注册方法及通信装置 Download PDFInfo
- Publication number
- CN111866858A CN111866858A CN201910353248.9A CN201910353248A CN111866858A CN 111866858 A CN111866858 A CN 111866858A CN 201910353248 A CN201910353248 A CN 201910353248A CN 111866858 A CN111866858 A CN 111866858A
- Authority
- CN
- China
- Prior art keywords
- information
- identity
- access
- access device
- core network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
一种注册方法及通信装置,提供一种不具备NAS能力的接入设备注册核心网的方式。方法包括:安全接入网关接收接入设备发送的接入设备的原始身份信息,接入设备不具备非接入层NAS能力,安全接入网关具备NAS能力;安全接入网关根据接入设备的身份信息为接入设备生成隐藏身份标识,接入设备的身份信息仅包括原始身份信息,或者接入设备的身份信息包括原始身份信息和设备相关信息,设备相关信息包括接入设备的运营商信息、接入设备的接入时间信息和接入设备的位置信息中一项或者多项;安全接入网关向核心网的第一核心网网元发送第二请求消息,第二请求消息用于请求将接入设备注册到核心网,第二请求消息携带隐藏身份标识。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种注册方法及通信装置。
背景技术
对于不具备非接入层(non-access stratum,NAS)能力的接入设备来说,如何接入移动网的核心网侧,目前没有标准化的注册方式。
发明内容
本申请实施例提供一种注册方法及装置,提供一种不具备NAS能力的接入设备注册到核心网的方式。
本申请实施例提供的具体技术方案如下:
第一方面,本申请实施例提供一种注册方法,包括:安全接入网关接收接入设备发送的第一请求消息,所述安全接入网关在接收到所述第一请求消后,向核心网发起对所述接入设备的注册流程,所述第一请求消息携带所述接入设备的原始身份信息,所述接入设备不具备非接入层NAS能力,所述安全接入网关具备NAS能力;所述安全接入网关根据所述接入设备的身份信息为所述接入设备生成隐藏身份标识,所述接入设备的身份信息仅包括所述原始身份信息,或者所述接入设备的身份信息包括所述原始身份信息和设备相关信息,所述设备相关信息包括所述接入设备的运营商信息、接入设备的接入时间信息和接入设备的位置信息中一项或者多项;所述安全接入网关向核心网的第一核心网网元发送第二请求消息,所述第二请求消息用于请求将所述接入设备注册到核心网,所述第二请求消息携带所述隐藏身份标识。
该方法,由安全接入网关代替不具备NAS能力的接入设备触发注册流程,代替接入设备为接入设备生成隐藏身份标识,进而基于隐藏身份标识向核心网发起对接入设备的注册流程。
在一种可能的设计中,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定。
示例性地,第一部分信息可以是home network identifier,第二部分信息可以是scheme out。
由接入设备的原始身份信息,或者原始身份信息加上设备相关信息构成接入设备的身份信息,将身份信息拆成至少两部分,第一部分和第二部分用来构成home networkidentifier和scheme out。
在一种可能的设计中,所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定,包括:
所述第一部分信息为所述接入设备的身份信息中的第一部分,所述第二部分信息为所述接入设备的身份信息中的第二部分,且第一部分和第二部分在所述接入设备的身份信息中不重叠,或者,
所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息包括所述接入设备的身份信息中的所述第二部分格式转换后的信息,或者,
所述第一部分信息包括所述接入设备的身份信息中的所述第一部分,所述第二部分信息为根据所述接入设备的身份信息中的所述第二部分信息加密得到的,或者,
所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息是对所述接入设备的身份信息中的所述第二部分格式转换后的信息再加密得到的。
在一种可能的设计中,所述接入设备的身份信息中的第一部分为:所述接入设备的身份信息中所述设备相关信息或者所述设备相关信息的一部分。
上述设计,由将设备相关信息或者设备相关信息的一部分作为home networkidentifier,不需要进行加密直接发到UDM。运算相对简单,节省资源,提高效率。
在一种可能的设计中,所述隐藏身份标识还包括所述永久身份标识的类型信息,所述永久身份标识的类型信息指示所述永久身份标识为接入设备的身份标识。
本申请实施例中提及的SUPI type,能够与UE注册流程中的SUPI type区分开,复用UE的SUCI,能够更改现有标准中SUCI结构的前提下,实现对接入设备的注册。
在一种可能的设计中,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;
所述第一部分信息为所述永久身份标识的类型,所述第二部分信息基于所述接入设备的身份信息确定。
在一种可能的设计中,所述隐藏身份标识中还包括路由指示符,所述路由指示符用于确定解密所述隐藏身份标识的核心网网元。
复用UE流程中SUCI结构中的路由指示符,无需更改现有SUCI的结构,相对简单有效。
在一种可能的设计中,所述路由指示符为根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
在安全接入网关配置路由指示符,为确定用于解密所述隐藏身份标识的核心网网元提供便利,简单有效。
在一种可能的设计中,所述隐藏身份标识还包括公钥标识符,所述公钥标识符所标识的公钥用于对所述接入设备的身份信息中的部分或者全部信息进行加密;所述公钥标识符是根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
在一种可能的设计中,所述第二请求消息中还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示所述安全接入网关确定所述接入设备为合法的接入设备。
将指示所述安全接入网关对所述接入设备进行鉴权成功的第一鉴权成功指示发到核心网,以便于核心网确定该接入设备为一个安全设备后,为进一步指示核心网网元减少鉴权流程做准备。
第二方面,本申请实施例提供一种注册方法,包括:第二核心网网元接收第三核心网网元发送的服务请求消息,所述服务请求消息包括来自安全接入网关的隐藏身份标识,所述隐藏身份标识指示接入设备的身份信息,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;所述第二核心网网元根据所述隐藏身份标识生成所述接入设备的永久身份标识;所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,向所述第三核心网网元发送服务响应消息,所述服务响应消息包括用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息。
上述方法,第二核心网网元在确定对接入设备鉴权成功时,指示其它核心网网元跳过鉴权流程,能够节省资源,提高效率。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息和所述第二部分信息是由所述接入设备的身份信息确定的;所述第二核心网网元根据所述隐藏身份标识生成所述接入设备的永久身份标识,包括:所述第二核心网网元根据所述隐藏身份标识的所述第一部分信息和所述第二部分信息生成所述接入设备的永久身份标识。
在一种可能的设计中,所述永久身份标识包括所述第一部分信息和第二部分信息组合后的信息;或者,
所述永久身份标识包括对所述第一部分信息和所述第二部分信息进行格式转换并组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码并将解密后的第二部分信息与所述第一部分信息组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码后进行格式转换,以及对所述第一部分信息进行格式转换,将格式转换后的第一部分信息和第二部分信息组合后的信息。
上述设计提供几种简单有效的从SUCI中获取SUPI的方式。
在一种可能的设计中,所述隐藏身份标识还包括所述永久身份标识的类型,则所述永久身份标识还包括所述永久身份标识的类型。
在一种可能的设计中,所述第一部分信息用于指示所述接入设备所注册的运营商的信息,所述第二部分信息用于指示所述接入设备的身份。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息为所述永久身份标识的类型,所述第二部分信息是由所述接入设备的身份信息确定的;
所述第二核心网网元根据所述隐藏身份标识指示的所述接入设备的身份信息生成所述接入设备的永久身份标识,包括:
所述第二核心网网元将所述第一部分信息以及从所述第二部分信息解析得到的信息组合得到所述接入设备的永久身份标识。
在一种可能的设计中,所述服务请求消息中还包括第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入网关确定所述接入设备为合法的接入设备;
在向所述第三核心网网元发送服务响应消息之前,还包括:
所述第二核心网网元根据所述第一鉴权成功指示确定所述安全接入网关已确定所述接入设备为合法的接入设备。
上述设计,通过第一鉴权成功指示来确定接入设备在固网已经合法时,再向核心网其它网元指示跳过鉴权流程,提高网络安全性。
在一种可能的设计中,所述服务响应消息中包括所述接入设备的永久身份标识,所述永久身份标识包括所述指示信息,所述指示信息为所述永久身份标识的类型。
上述设计中永久身份标识的类型(比如,SUPI type)区别与现有协议中的SUPItype,当接收到SUPI后,则确定接入设备安全,即跳过接入设备的鉴权流程,无需增加其他信息,节省资源。
在一种可能的设计中,所述指示信息为第二鉴权成功指示,所述第二鉴权成功指示用于指示所述接入设备在核心网为合法的接入设备。
上述设计,通过生成一个第二鉴权成功指示来指示接入设备在核心网鉴权成功,从而进一步跳过接入设备的鉴权流程,直接有效。
在一种可能的设计中,所述服务响应中还包括鉴权向量,所述鉴权向量为设定值。
上述设计,通过设置特殊值的鉴权向量,从而能够复用UE的注册流程。无需更改框架,节省资源。
在一种可能的设计中,所述设定值的鉴权向量作为所述指示信息用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
通过设定值的鉴权向量来指示跳过接入设备的鉴权流程,简单有效,并且无需增加其他信息,进一步节省资源。
在一种可能的设计中,所述方法还包括:
所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,生成鉴权向量,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为设定值;
其中,所述Kausf是根据所述接入设备的身份信息的部分或者全部信息确定的;或者,
所述Kausf是根据所述长久身份标识确定的;或者,
所述Kausf是根据第一加密秘钥CK、第一完整性秘钥IK确定的,所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的。
上述设计提供一种生成鉴权向量的有效方式来复用现有的注册流程。
在一种可能的设计中,还包括:
所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,所述第二核心网网元根据长期密钥K生成鉴权向量,所述长期密钥K是根据所述接入设备的长久身份标识确定的,或者所述长期密钥K是根据所述接入设备的身份信息的部分或者全部信息确定的。
上述设计提供一种生成鉴权向量的有效方式来复用现有的注册流程。
在一种可能的设计中,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第二加密秘钥CK’、第二完整性秘钥IK’和随机数RAND;
所述第二加密秘钥CK’和第二完整性秘钥IK’是根据第一加密秘钥CK和第一完整性秘钥IK确定的;
所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的,所述第二期望响应XRES和第二认证令牌AUTN均为设定值。
上述设计提供一种生成鉴权向量的有效方式来复用现有的注册流程。
第三方面,本申请实施例提供一种注册方法,包括:
在安全接入设备向核心网触发对接入设备的注册流程时,第一核心网网元向第三核心网网元发送服务请求消息,所述服务请求消息携带所述接入设备的隐藏身份标识,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;所述第一核心网网元接收所述第三核心网网元发送的服务请求响应,所述服务响应消息携带所述接入设备的隐藏身份标识所对应的永久身份标识,所述服务响应消息包括用于指示所述第一核心网网元跳过对所述接入设备的鉴权流程的指示信息;所述第一核心网网元根据所述永久身份标识为所述接入设备分配全球唯一临时标识GUTI。
在一种可能的设计中,所述服务响应消息携带的永久身份标识包括所述指示信息,所述指示信息为永久身份标识的类型,用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息的消息类型指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务请求消息还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入设备确定所述接入设备为合法的接入设备;
所述第一鉴权成功指示与所述永久身份标识的类型共同指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息还携带第二鉴权成功指示,所述第二鉴权指示用于指示所述接入设备在所述核心网为合法的接入设备。
第四方面,本申请实施例提供一种注册方法,包括:
在安全接入设备向核心网触发对接入设备的注册流程时,第三核心网网元向第二核心网网元发送服务请求消息,所述服务请求消息携带所述接入设备的隐藏身份标识,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;所述第三核心网网元接收所述第二核心网网元发送的服务请求响应,所述服务响应消息携带所述接入设备的隐藏身份标识所对应的永久身份标识,所述服务响应消息包括用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息。所述第三核心网网网元根据所述指示信息确定跳过对所述接入设备的鉴权流程,从而直接跳过鉴权流程,节省资源,提高效率。
在一种可能的设计中,所述服务响应消息携带的永久身份标识包括所述指示信息,所述指示信息为永久身份标识的类型,用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息的消息类型指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务请求消息还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入设备确定所述接入设备为合法的接入设备;
所述第一鉴权成功指示与所述永久身份标识的类型共同指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息还携带第二鉴权成功指示,所述第二鉴权指示用于指示所述接入设备在所述核心网为合法的接入设备鉴权成功。
第五方面,本申请实施例还提供了一种通信装置,所述通信装置应用于安全接入网关,有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中安全接入网关的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第六方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第二核心网网元,有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第七方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第一核心网网元,有益效果可以参见第三方面的描述此处不再赘述。该装置具有实现上述第三方面的方法实例中第一核心网网元的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第三方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第八方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第三核心网网元,有益效果可以参见第四方面的描述此处不再赘述。该装置具有实现上述第四方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、处理单元和发送单元,这些单元可以执行上述第四方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第九方面,本申请实施例还提供了一种通信装置,所述通信装置应用于安全接入网关,有益效果可以参见第一方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述安全接入网关执行上述第一方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第二核心网网元,有益效果可以参见第二方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述第二核心网网元执行上述第二方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括收发机,用于与其他设备进行通信。
第十一方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第一核心网网元,有益效果可以参见第三方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述第一核心网网元执行上述第三方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十二方面,本申请实施例还提供了一种通信装置,所述通信装置应用于第三核心网网元,有益效果可以参见第四方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述第一核心网网元执行上述第四方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括收发机,用于与其他设备进行通信。
第十三方面,本申请实施例提供一种通信系统,有益效果可以参见第一方面和第二方面、第三方面和第四方面的描述此处不再赘述,包括安全接入网关、第一核心网网元、第二核心网网元以及第三核心网网元;
安全接入网关,用于接收接入设备发送的第一请求消息,在接收到所述第一请求消后,向核心网发起对所述接入设备的注册流程,根据所述接入设备的身份信息为所述接入设备生成隐藏身份标识,并向核心网的第一核心网网元发送第二请求消息;
其中,所述第一请求消息携带所述接入设备的原始身份信息,所述接入设备不具备非接入层NAS能力,所述安全接入网关具备NAS能力;所述接入设备的身份信息仅包括所述原始身份信息,或者所述接入设备的身份信息包括所述原始身份信息和设备相关信息,所述设备相关信息包括所述接入设备的运营商信息、接入设备的接入时间信息和接入设备的位置信息中一项或者多项;所述第二请求消息携带所述隐藏身份标识;
所述第一核心网网元,用于在接收到所述第二请求消息后,向所述第三核心网网元发送第一服务请求消息,所述第一服务请求消息携带所述隐藏身份标识;
所述第三核心网网元,用于在接收到所述第一服务请求消息后,向所述第二核心网网元发送第二服务请求消息,所述第二服务请求消息中携带所述隐藏身份标识;
所述第二核心网网元,用于在接收到所述第二服务请求消息后,根据所述隐藏身份标识指示的所述接入设备的身份信息生成所述接入设备的永久身份标识,在根据所述永久身份标识确定所述接入设备为合法的接入设备时,向第三核心网网元发送第二服务响应消息,所述第二服务响应消息包括指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息;
所述第三核心网网元,还用于在接收所述第二服务响应消息后,向所述第一核心网网元发送第一服务响应消息,所述第一服务响应消息包括所述指示信息;
所述第一核心网网元,还用于在接收到所述第一服务响应消息后,根据所述永久身份标识为所述接入设备分配全球唯一临时标识GUTI。
在一种可能的设计中,关于隐藏身份标识的相关描述参见第一方面中描述,此处不再赘述。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息和所述第二部分信息是由所述接入设备的身份信息确定的;所述第二核心网网元在根据所述隐藏身份标识生成所述接入设备的永久身份标识时,具体用于根据所述隐藏身份标识的所述第一部分信息和所述第二部分信息生成所述接入设备的永久身份标识。
在一种可能的设计中,所述永久身份标识包括所述第一部分信息和第二部分信息组合后的信息;或者,
所述永久身份标识包括对所述第一部分信息和所述第二部分信息进行格式转换并组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码并将解密后的第二部分信息与所述第一部分信息组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码后进行格式转换,以及对所述第一部分信息进行格式转换,将格式转换后的第一部分信息和第二部分信息组合后的信息。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息为所述永久身份标识的类型,所述第二部分信息是由所述接入设备的身份信息确定的;
所述第二核心网网元在根据所述隐藏身份标识生成所述接入设备的永久身份标识时,具体用于:将所述第一部分信息以及从所述第二部分信息解析得到的信息组合得到所述接入设备的永久身份标识。
在一种可能的设计中,所述第一服务请求消息和第二服务请求消息中还包括第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入网关确定所述接入设备为合法的接入设备;
所述第二核心网网元在向所述第三核心网网元发送第二服务响应消息之前,还用于根据所述第一鉴权成功指示确定所述安全接入网关已确定所述接入设备为合法的接入设备。
在一种可能的设计中,所述第一服务响应消息和第二服务响应消息中包括所述接入设备的永久身份标识,所述永久身份标识包括所述指示信息,所述指示信息为所述永久身份标识的类型。
在一种可能的设计中,所述指示信息为第二鉴权成功指示,所述第二鉴权成功指示用于指示所述接入设备在核心网为合法的接入设备。
在一种可能的设计中,所述第二服务响应消息中还包括鉴权向量,所述鉴权向量为设定值。
在一种可能的设计中,所述设定值的鉴权向量作为所述指示信息用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,还用于生成鉴权向量,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为设定值;其中,所述Kausf是根据所述接入设备的身份信息的部分或者全部信息确定的;或者,所述Kausf是根据所述长久身份标识确定的;或者,所述Kausf是根据第一加密秘钥CK、第一完整性秘钥IK确定的,所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的。
在一种可能的设计中,所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,所述第二核心网网元根据长期密钥K生成鉴权向量,所述长期密钥K是根据所述接入设备的长久身份标识确定的,或者所述长期密钥K是根据所述接入设备的身份信息的部分或者全部信息确定的。
在一种可能的设计中,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第二加密秘钥CK’、第二完整性秘钥IK’和随机数RAND;所述第二加密秘钥CK’和第二完整性秘钥IK’是根据第一加密秘钥CK和第一完整性秘钥IK确定的;所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的,所述第二期望响应XRES和第二认证令牌AUTN均为设定值。
第十四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十五方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十六方面,本申请还提供一种计算机芯片,所述芯片与存储器相连,所述芯片用于读取并执行所述存储器中存储的软件程序,执行上述各方面所述的方法。
附图说明
图1为本申请实施例中5G网络系统架构示意图;
图2A为本申请实施例中UE注册流程示意图;
图2B为本申请实施例中一种SUCI结构示意图;
图2C为本申请实施例中另一种SUCI示意图;
图3为本申请实施例中一种鉴权方法流程示意图;
图4为本申请实施例中一种AV生成方法示意图;
图5为本申请实施例中另一种鉴权方法流程示意图;
图6为本申请实施例中NAS SMC流程示意图;
图7为本申请实施例中一种通信系统结构示意图;
图8为本申请实施例中另一种通信系统结构示意图;
图9为本申请实施例中一种注册方法流程示意图;
图10为本申请实施例中另一种注册方法流程示意图;
图11-图15为本申请实施例中通信装置示意图。
具体实施方式
应理解,说明书通篇中提到的“一个实施例”、“一个实现方式”、“一个实施方式”或“一示例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”、“一个实现方式”、“一个实施方式”或“在一示例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。本申请涉及的术语“至少一个”,是指一个,或一个以上,即包括一个、两个、三个及以上;“多个”,是指两个,或两个以上,即包括两个、三个及以上。另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。应理解,在本申请实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。此外,本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如,包括了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,还可以包括没有列出的步骤或模块。
在介绍本申请实施例提供的注册方案之前,先对具有生成NAS信令能力的设备,比如用户设备(user equipment,UE)注册到核心网的流程进行说明,以UE注册到第五代(5G)核心网为例。
参见图1所示,为目前的第五代(5G)的网络架构示意图。UE,也可以称为终端,可以是移动设备,比如手机,平板电脑(pad)、带无线收发功能的电脑等。
网络架构还包括无线接入网(radio access network,RAN)、接入和移动性控制功能(access and mobility function,AMF)、统一数据管理(unified data management,UDM)、认证服务功能(authentication server function,AUSF)、安全锚功能(securityanchor function,SEAF)等。
所述RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。
所述AMF网元负责UE的接入管理和移动性管理,如注册管理,连接管理,移动管理,可达性管理等;在实际应用中,其包括了LTE中网络框架中移动性管理实体(mobilitymanagement entity,MME)里的移动性管理功能,并加入了接入管理功能。
所述SEAF网元用于完成对UE的认证,在5G中,SEAF的功能可以合并到AMF中。
所述AUSF网元具有鉴权服务功能,用于终结所述SEAF网元请求的认证功能,在认证过程中,接收UDM发送的鉴权向量并对鉴权向量进行处理,将处理后的鉴权向量发送给SEAF。
所述UDM网元可存储用户的签约信息,生成认证参数等。
所述ARPF网元具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G中,所述ARPF网元的功能可以合并到UDM网元中。
如图2A所示为基于如图1所示的网络架构中,UE进行安全入网注册的方法示意图。
S201,UE向SEAF发送N1消息。N1消息里携带有隐藏身份信息(subscriberconcealed identifier,SUCI)或5G-全球唯一临时UE标识(globally unique temporaryUE Identity,GUTI)。
其中,N1消息可以是注册请求消息(Registration Request),也可以是服务请求消息(Service Request)消息。
若UE曾经入网过,有安全上下文,那么UE在N1消息中携带5G-GUTI。如果UE是首次入网,没有安全上下文,那么UE在N1消息中携带的是SUCI。SUCI是由UE生成的。
示例性地,参见图2B和2C所示,为UE生成的SUCI的格式示意图。SUCI中包括如下1)-7)的信息。
1)SUPI Type可以有7个值,用于标识SUCI中加密的SUPI的7种类型。目前,SUPItype有2个值,当SUPI type的值为0时表示SUPI为国际移动用户识别码(internationalmobile subscriber identification number,IMSI),当SUPI type的值为1时,表示SUPI为网络特定指示符(network specific identifier)。当SUPI type的值为2到7,目前未做明确规定,留在将来使用。
2)家乡网络指示符(Home network Identifier)。
当SUPI type表示SUPI为IMSI时,Home network Identifier可以由2部分组成,分别是MCC(Mobile Country Code,移动国家代码)和MNC(Mobile Network Code,移动网络代码)。MCC用于唯一地标识移动客户属于的国家,可以由三位十进制数组成(000-999),例如我国的MCC为460。MNC用于标识UE属于哪个运营商。MCC和MNC相结合用于唯一地表示UE的网络运营商。后续再描述时,以SUPI为IMSI为例进行说明。示例性地,SUPI type表示SUPI为IMSI时,SUCI的格式参见图2B所示。
IMSI是区别移动用户的标志,可以在UE的全球用户身份模块(universalsubscriber identity module,USIM)卡中配置。IMSI由三部分构成,分别是MCC、MNC和移动用户识别号码(mobile subscriber identification number,MSIN)。MSIN用于识别某一移动通信网中的移动用户。
当SUPI type表示SUPI为网络特殊标识符(Network Specific Identifier,NSI)时,Home Network Identifier可以是一个特定字符串。NSI可以使用网络接入指示符(Network Access Identifier,NAI)的格式。示例性地,NAI格式可以为用户名称@域名(username@realm),则realm可以确定为Home Network Identifier,或者releam部分包含Home Network Identifier。比如,一个NSI格式的SUPI为user17@example.com。示例性地,SUPI type表示SUPI为NSI时,SUCI的格式参见图2C所示。
3)路由指示符(Routing Indicator)由1到4个十进制数组组成。RoutingIndicator与Home Network Identifier一起作用来指示为这个UE服务的AUSF和UDM。Routing Indicator可以配置在UE的全球用户身份模块(universal subscriber identitymodule,USIM)卡中配置。如果USIM卡中未配置该值,则Routing Indicator为默认值0。
4)保护方式指示符(Protection Scheme Identifier)用于指示采用的安全保护机制,其值可以有如下3种:0x0、0x1和0x2。Protection Scheme Identifier值为0x0时,表示NULL-SCHEME。NULL-SCHEME的运算输出结果与运算输入的值相同,也就是不进行任何加密运算,比如,如果运算输入的值为SUPI,那么NULL-SCHEME输出也为SUPI。ProtectionScheme Identifier值为0x1时,表示使用Profile<A>安全保护机制。Protection SchemeIdentifier值为0x2时,表示使用Profile<B>安全保护机制。如果UE中配置有Profile<A>和Profile<B>,UE可以选择其中一种方式,将SUPI加密转换为SUCI。如果UE中未配置Profile<A>和Profile<B>,UE可以选择NULL-SCHEME,也就是不对SUPI进行加密运算。
5)家乡网络公钥指示符(Home Network Public Key Identifier),其表示UE使用的公钥。UE要使用公钥和Profile<A>或Profile<B>对SUPI进行加密转换为SUCI。UE中可能预配置有多个公钥,则UE可以在配置的多个公钥中选择一个公钥,然后将该公钥的标识(比如ID)作为Home Network Public Key Identifier的值。如果使用了NULL-SCHEME,则HomeNetwork Public Key Identifier的值为0。
6)Scheme Output,用于表示安全保护机制的输出结果,其可以由一个字符串表示。Scheme Output可以是通过由Home Network Public Key Identifier确定的公钥和Protection Scheme Identifier确定的安全保护机制,对安全保护机制的输入(Protection Scheme的输入)进行加密得到输出结果。对于Protection Scheme的输入(Scheme Input),在SUPI为IMSI的情况下,可以是移动用户识别号码(mobile subscriberidentification number,MSIN)。MSIN标识运营商下的用户。
从上可以看出,在SUPI为IMSI时,生成的SUCI用于隐藏UE的MSIN,仅暴漏用户属于哪个国家以及哪个运营商,并没有暴漏最终的用户个体。由于表示最终用户个体的MSIN被公钥和保护机制进行了加密保护。
对于SUPI为NSI时,SUCI构成方式可以遵照NAI格式。即参见图2C所示,SUCI可以由SUPI type、routing indicator、protection scheme ID、homenetwork public key ID、scheme output 和releam构成。其中,username可以作为scheme output的输入,Releam部分可以认为是Home Network Identifier。因此SUCI的NSI格式为SUPI type,routingindicator,protection scheme ID,homenetwork public key ID,scheme output@releam。例如,如果NSI为user17@example.com,the Routing Indicator为678,and a HomeNetwork Public Key Identifier为27,并且使用profileA,则NAI格式的SUCI为:type1.rid678.schid1.hnkey27.ecckey<ECC ephemeral public key>.cip<encryption ofuser17>.mac<MAC tag value>@example.com。如果选择了NULL-Scheme,则SUCI为:type1.rid678.schid0.useriduser17@example.com。
S202,SEAF在接收到N1消息后,SEAF向AUSF发送服务请求消息1。服务请求消息1可以是Nausf_UEAuthentication_Authenticate Request,服务请求消息1携带有SUCI或者携带SUPI。
示例性地,若S201中N1消息中携带SUCI,则服务请求消息1携带SUCI。若N1消息携带的是5G-GUTI,则服务请求消息1携带SUPI。
S203,AUSF向UDM发送服务请求消息2,服务请求消息2可以是Nudm_UEAuthentication_Get Request。服务请求消息2中携带有SUCI和服务网络名称(servingnetwork name,SN-name),或者携带SUPI。
示例性地,若S202中服务请求消息1中携带SUCI,则服务请求消息2携带SUCI。若服务请求消息1携带的是5G-GUTI,则服务请求消息2携带SUPI。
S204a,若服务请求消息2携带的是SUCI,UDM要从SUCI获得SUPI。
UDM获得SUPI的具体流程可以包括A1-A4:
A1,UDM会根据SUCI中的Protection Scheme Identifier确定UE使用的是哪种安全保护机制。
A2,UDM会根据SUCI中的Home Network Public Key Identifier确定UE使用的是哪一对公私钥。
A3,UDM根据确定的安全保护机制和私钥对Scheme Output进行解密和完整性保护验证。如果完整性保护验证成功,则解密后的结果就是恢复出UE的身份信息。UE的身份信息,在SUPI为IMSI的情况下,从Scheme Output解析的结果为MSIN。
A4,UDM再根据SUPI type,获取最终的SUPI。比如,UDM根据SUPI type确定获得的SUPI的类型。如果SUPI type是IMSI,则可以确定解密Scheme Output的输出结果代表MSIN。然后UDM再根据Home network Identifier中的MCC和MMC,与MSIN一起组成IMSI。
S204b,UDM根据恢复出的SUPI查找用户的签约数据,再根据签约数据中的数据选择一个鉴权方法对SUPI进行鉴权。鉴权方法可以是5G认证和秘钥协商(5G-authenticationand key agreement,5G AKA)的方式或者是扩展认证协议认证和秘钥协商(extensibleauthentication protocol-authentication and key agreement,EAP-AKA’)的方式。
参见图3所示,为EAP-AKA’的方式的鉴权流程示意图。
S301,UDM接收到服务请求消息2后,生成鉴权向量(authentication vector,AV)。
示例性地,UDM生成的过程如图4所示。
鉴权向量生成需要使用的输入参数是K,序列号(sequence number,SQN),随机数(random number,RAND)和鉴权管理域(authentication management field,AMF)。其中,f1,f2,f3,f4,f5表示5种加密算法,K表示长期密钥,是与UE一一对应的。K可以预先配置在UE的USIM中和UDM中。SQN由UDM维护,每UE发起鉴权一次SQN加1。RAND是UDM生成的随机数。UDM可以将鉴权管理域中的分离比特位(separation bit)设置为1。
根据图4所示,在输入参数和5种加密算法的作用下,分别得到消息认证码(message authentication code,MAC),RAND,期望的回复(eXpected RESponse,XRES),加密密钥(Cipher Key,CK),完整性密钥(Integrity protection key,IK),匿名秘钥(anonymity key,AK)。
生成AK后,AK与SQN进一步做异或操作,异或操作效果是将SQN加密。避免SQN在空口暴漏。在EAP-AKA’鉴权方法中,CK和IK会进一步变成CK’和IK’。
S302,UDM发送服务响应消息2给AUSF。服务响应消息2中携带有EAP-AKA’AV和SUPI。服务响应消息2可以是Nudm_UEAuthentication_Get Response。
S303,AUSF从AV中获得CK’,IK’和XRES并保存下来,将RAND,AUTN通过服务响应消息1发送给SEAF。服务响应消息1可以是Nausf_UEAuthentication_AuthenticateResponse。示例性地,Nausf_UEAuthentication_Authenticate Response包括EAP请求(EAP-Request)/AKA'挑战(AKA'-Challenge)。EAP请求(EAP-Request)/AKA'挑战(AKA'-Challenge)中包括RAND,AUTN。
S304,SEAF发送认证请求消息(比如Authentication Request)给UE。其中,认证请求消息中可以携带透传的EAP-Request/AKA'-Challenge消息。认证请求消息中还可以包括5G密钥集标识符(Key Set Identifier in 5G,ngKSI)和架构间防降级(Anti-Biddingdown Between Architectures,ABBA)参数。SEAF需要生成5G密钥集标识符(Key SetIdentifier in 5G,ngKSI)。SEAF需要根据自己的部署方式确定ABBA参数。ngKSI参数用于标识UE和SEAF之间使用的密钥。ABBA是密钥Kamf的生成参数。SEAF自己的部署方式包括SEAF与AMF合设的部署方式,即SEAF与AMF的功能由一个网元实现,或者分开部署方式,即SEAF和AMF为两个独立的网元。
S305,UE执行认证操作。具体的,UE根据所述UE中的USIM中存储的密钥K与从所述SEAF网元接收的RAND生成XMAC,这里所述UE生成XMAC所采用的运算方式与所述UDM网元生成MAC所采用的运算方式相同。
所述UE对XMAC和AUTN中携带的MAC的比对实现所述UE对所述家乡网络的认证。若XMAC和AUTN中的MAC一致,则认证成功,否则认证失败。
在认证成功后,所述UE根据RAND和K生成RES,这里所述UE生成RES所采用的运算方式与所述UDM网元生成XRES所采用的运算方式相同。
S306,所述UE将RES包含在认证响应消息(比如Authentication Response)中,发送给所述SEAF。认证响应消息可以包括EAP-Response/AKA'-Challenge消息。
S307,SEAF透传EAP-Response/AKA'-Challenge消息。示例性地,SEAF可以将EAP-Response/AKA'-Challenge消息放到服务请求消息3(比如Nausf_UEAuthentication_Authenticate Request)中发送给AUSF。
S308,AUSF执行认证操作。AUSF用从UE收到的RES与自己保存的XRES进行对比。如果RES与自己保存的XRES相同,则认证成功,即AUSF认为UE是真实的,否则认证失败。
示例性地,AUSF和UE可以进一步交互EAP-Request/AKA'-Notification and EAP-Response/AKA'-Notification消息。
S309,AUSF使用保存的CK’和IK’生成Kausf。Kausf=CK’||IK’。Kausf是所述UE和所述AUSF网元之间同步的派生密钥,用于派生锚点密钥Kseaf,即AUSF进一步基于Kausf派生出Kseaf。之后,AUSF发送服务响应消息3(比如Nausf_UEAuthentication_AuthenticateResponse)给SEAF。服务响应消息3中可以携带有Kseaf和SUPI。服务响应消息3中还可以携带鉴权成功的指示信息,比如可以通过EAP Success消息作为鉴权成功的指示信息。
S310,SEAF将EAP Success消息透传给UE。SEAF需要再次发送ngKSI和ABBA参数给UE。这里的ngKSI和ABBA参数与S304发送的相同。其中,SEAF再次发送ngKSI和ABBA参数的目的用于保证透传EAP Success消息采用的消息格式与S304的消息格式相同。
参见图5所示,为5G AKA的方式的鉴权流程示意图。
S501,UDM生成5G AV。5G AV的生成过程,可以参考图3中EAP-AKA’AV的生成描述,但是与其区别在于:UDM采用CK和IK生成Kausf。UDM将XRES进一步生成XRES*。因此5G AV的构成为RAND,AUTN,XRES*,和Kausf。Kausf=CK||IK。Kausf是所述UE和所述AUSF网元之间同步的派生密钥,用于派生锚点密钥Kseaf。5G AV=RAND||XRES*||CK||IK||AUTN=RAND||XRES*||Kausf||AUTN。
S502,UDM发送服务响应消息2给AUSF,服务响应消息2中携带有5G AV和SUPI。
S503,AUSF从5G AV中获得Kausf和XRES*并保存下来。
S504,所述AUSF对所述鉴权向量进行进一步处理,例如对XRES*进行哈希运算,生成HXRES*,根据KAUSF进行推演生成KSEAF,处理后的鉴权向量包括RAND、MAC、HXRES*,其中,MAC可以携带在AUTN,也就是说,所述处理后的鉴权向量包括RAND、携带有MAC的AUTN。
S505,所述AUSF向所述SEAF发送服务响应消息1。服务响应消息1可以是Nausf_UEAuthentication_Authenticate Response。示例性地,Nausf_UEAuthentication_Authenticate Response包括Kseaf和处理后的5G AV。
S506,所述SEAF向所述UE发送认证请求消息,其中,所述认证请求消息中携带处理后的鉴权向量中的部分参数,该部分参数包括RAND、MAC,其中,MAC可以携带在AUTN中。认证请求消息中还可以包括ngKSI和ABBA参数。SEAF将处理后的5G AV中的HXRES*和Kseaf保存。
S507,所述UE根据所述UE中的USIM中存储的密钥K与从所述SEAF网元接收的RAND生成XMAC,这里所述UE生成XMAC所采用的运算方式与所述UDM网元生成MAC所采用的运算方式相同。
所述UE对XMAC和AUTN中携带的MAC的比对实现所述UE对所述家乡网络的认证。若XMAC和AUTN中的MAC一致,则认证成功,否则认证失败。
在认证成功后,所述UE根据RAND和K生成RES*,这里所述UE生成RES*所采用的运算方式与所述UDM网元生成XRES*所采用的运算方式相同。
S508,所述UE将RES*包含在认证响应消息中,发送给所述SEAF网元。
S509,所述SEAF网元对所述认证响应消息中包括的RES*进行哈希运算,生成HRES*,将HRES*与所述AUSF网元发送的鉴权向量中的HXRES*进行比对,通过HRES*与的HXRES*的比对完成所述服务网络对所述UE的认证,若HRES*与的HXRES*一致,则所述服务网络对所述UE认证成功,否则认证失败。
S510,在所述服务网络对所述UE认证成功之后,所述SEAF将所述UE返回的RES*转发给所述AUSF网元,由所述AUSF网元进行下一步的认证。示例性地,SEAF可以通过服务请求消息3(比如Nausf_UEAuthentication_Authenticate Request)将RES*发送给AUSF。
S511,所述AUSF网元接收到RES*后,将RES*与所述鉴权向量中的XRES*进行比对,结果若一致,则完成所述家乡网络对所述UE的认证。
S512,所述AUSF网元在认证成功之后,会将SUPI和Kseaf发送给所述SEAF。示例性地,可以通过服务响应消息3(比如Nausf_UEAuthentication_Authenticate Response)将SUPI和Kseaf发送给SEAF。服务响应消息3还可以携带鉴权成功的指示信息。
SEAF在接收到服务响应消息3后,接下来执行NAS安全激活流程,参见图6所示为NAS安全激活流程示意图。
SEAF在接收到服务响应消息后,AMF会根据SEAF接收到的Ksea f生成Kamf,将Kamf传递给AMF。AMF会进一步使用Kamf生成NAS加密密钥Knasenc和NAS完整性保护密钥Knasint。
S601,AMF开启NAS完整性保护。
S602,AMF向UE发送NAS安全模式信令(NAS Security Mode Command,NAS SMC)消息。AMF使用NAS完整性保护密钥Knasint对NAS SMC消息进行完整性保护。
S603,AMF在发送NAS SMC消息之后,开启上行解密。以便于对NAS安全模式完成(security mode complete,SMP)消息做解密。在收到NAS SMP后,开启下行加密。
S604,UE同样生成Kamf和NAS加密密钥Knasenc和NAS完整性保护密钥Knasint。UE使用NAS完整性保护密钥对NSA SMC消息进行完整性保护验证,如果验证成功,则开启上行加密,下行解密和完整性保护。
S605,UE回复NAS SMP消息给AMF。NAS SMP消息被加密保护和完整性保护。
UE是具备生成NAS信令的设备,并且与AMF之间存在N1接口,而对于无法生成NAS信令的设备无法通过上述提供的方式注册到核心网。基于此,本申请实施例提供无法生成NAS信令的设备注册到核心网的注册方式。无法生成NAS信令的设备在本申请实施例中可以称为不具备NAS能力的接入设备。无法生成NAS信令的设备,可以通过具有NAS信令的设备代替不具备NAS能力的接入设备与核心网之间交互用于注册的信令。具有NAS信令的设备且能够代替不具备NAS能力的接入设备与核心网交互信令的设备,在本申请实施例中可以称为安全接入网关。
参见图7所示为本申请实施例提供的通信系统架构示意图。通信系统架构中包括不具备NAS能力的接入设备、安全接入网关、第一核心网网元、第二核心网网元以及第三核心网网元。安全接入网关与第一核心网网元可以通过特有接口通信,如N1接口和N2接口。第一核心网网元可以完成对入网设备的认证。第二核心网网元可存储用户的签约信息,生成认证参数等。第三核心网网元具有鉴权服务功能。
安全接入网关,是一种具备NAS能力的网元,可以用于处理不具有NAS能力的接入设备的相关消息的网关。该安全接入网关可以属于接入网的一部分,或者属于核心网的一部分。
第一核心网网元、第二核心网网元和第三核心网网元可以是用于处理不具备NAS能力的接入设备接入的网元,它们可以是传统的AMF、AUSF、UDM网元,也可以是专门处理用于处理不具备NAS能力的接入设备接入的一些特殊功能实体。这些功能实体可以有一个或者多个,并且可以统一合并到AMF、AUSF、UDM中,或者分布存储在AMF、AUSF、UDM中。
示例性地,第一核心网网元可以是接入和移动性控制功能(access and mobilityfunction,AMF)或者是SEAF。第二核心网网元可以是UDM、或者ARPF、或者解密签约标识功能实体(subscription identifier de-concealing function,SIDF)。第三核心网网元可以是AUSF。
示例性地,本申请实施例可以但不仅限于固网移动融合场景。在固网移动融合场景中,不具备NAS能力的接入设备,比如可以是固网接入网关(fixed network residentialgateway,FN-RG)。具备生成NAS信令的网元可以是有线接入网关(wireline accessgateway function,W-AGF)。W-AGF为FN-FG提供接入第五代(5G)核心网的能力,换句话说,FN-RG通过W-AGF与核心网建立连接。
本申请实施例中,以FN-RG为例,对不具有NAS能力的接入设备注册到核心网进行详说明,应理解的是,在应用的其它不具有NAS能力的接入设备时,本申请实施例提及的FN-RG的相关信息,可以替换成不具备NAS能力的接入设备的相关信息,比如FN-RG的身份信息可以替换为不具备NAS能力的接入设备,再比如,FN-RG的设备相关信息可以替换为不具备NAS能力的接入设备的设备相关信息,等等,不再一一例举。
示例性地,参见图8所示为本申请实施例提供的固网移动融合系统架构示意图。系统架构中可以包括FN-RG、W-AGF、AMF、UPF、UDM、AUSF、SEAF、ARPF等。参见图8所示,W-AGF与AMF之间通过N1接口和N2接口实现互联,W-AGF与UPF之间通过N3接口实现互联,UPF与SMF之间通过N4接口实现互联,UPF与DN之间通过N6接口实现互联,AMF与UDM之间通过N8接口实现互联,UDM与SMF之间通过N10接口实现互联,SMF与AMF之间通过N11接口实现互联,AMF与AUSF之间通过N12接口实现互联,AUSF与UDM之间通过N13接口实现互联。
图8中,W-AGF与AMF之间可以通过N1接口和N2接口相连。N1接口可以在FN-RG接入5G核心网的时候使用。由于FN-RG没有能力接入5G核心网,也就是FN-RG上不具有与AMF相连的接口,从而没有能力发N1接口消息,W-AGF可以代替FN-RG向AMF发送N1接口消息。
所述FN-RG是固网的接入设备,用于对连接到FN-RG的终端设备提供接入管理。
所述W-AGF负责将FN-RG接入到5G核心网。在FN-RG接入的时候,W-AGF会替代FN-RG生成NAS消息。
所述AMF网元负责UE的接入管理和移动性管理,如注册管理,连接管理,移动管理,可达性管理等;在实际应用中,其包括了LTE中网络框架中移动性管理实体(mobilitymanagement entity,MME)里的移动性管理功能,并加入了接入管理功能。
所述SMF用于为用户面分配会话资源。UPF用于提供用户面数据出口,连接外部网络。
所述SEAF网元用于完成对入网设备(比如FN-RG)的认证,在5G中,SEAF的功能可以合并到AMF中。
所述AUSF网元具有鉴权服务功能,用于终结所述SEAF网元请求的认证功能,在认证过程中,接收UDM发送的鉴权向量并对鉴权向量进行处理,将处理后的鉴权向量发送给SEAF。
所述UDM网元可存储用户的签约信息,生成认证参数等。
所述ARPF网元具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G中,所述ARPF网元的功能可以合并到UDM网元中。
所述SIDF网元负责解密SUCI中获得SUPI。所述SIDF网元的功能可以合并到UDM网元中。
后续描述时,以第一核心网网元为SEAF、第二核心网网元为UDM、第三核心网网元为AUSF为例进行说明。
请参阅图9,为本申请实施例提供的一种注册方法的流程示意图。
S901,FN-RG向W-AGF发送第一请求消息。该第一请求消息中包括FN-RG的原始身份信息。所述W-AGF在接收到所述第一请求消后,向核心网发起对所述接入设备的注册流程。
作为一种示例,该第一请求消息可以是FN-RG与W-AGF之间完成在固网的注册流程中交互的一个消息。例如,FN-RG通过层2(Layer 2)连接接入W-AGF,从而W-AGF与FN-RG完成固网鉴权流程。Layer 2连接是指固网的连接。比如,FN-RG通过层2(Layer 2)连接连接W-AGF发送的消息作为该第一请求消息,一种可能的方式,第一请求消息中包括指示字段,该指示字段用于触发W-AGF向移动网的核心网发起注册流程,从而W-AGF对所述FN-RG完成鉴权后,执行S902。
另一种可能的方式为,W-AGF根据其它信息判断是否需要执行S902。比如,W-AGF可以根据预配置的信息、网络流量状态信息等信息来判断是否需要执行S902。比如,W-AGF同时接入固网和5G核心网时,W-AGF可以根据预配置信息,在收到FN-RG入网请求后,自动为其接入5G核心网,进而建立与5G核心网的数据传输链路。再比如,W-AGF根据其他信息(比如固网的状态信息)判断固网线路拥挤繁忙,则在下一次FN-RG使用固网链路的时候,主动为其接入5G核心网,进而为固网链路分流,减少其拥挤程度(此时FN-RG向W-AGF发起的可以不是注册流程,可以是数据传输流程中的一部分,或者其他固网信令流程)。再比如,W-AGF可以根据网管配置指示信息,决定是要对所有FN-RG还是部分FN-RG进行接入5G核心网的操作,例如:网管配置有一个列表,列表明确了哪些FN-RG可以接入5G核心网,哪些不可以接入核心网。这个列表可以包括FN-RG的身份信息和用于指示是否可以接入5G核心网的指示的对应关系。而FN-RG是否可以接入5G核心网与FN-RG的使用者是否购买这项服务有关。
示例性地,FN-RG的原始身份信息可以是Line ID(线路ID),或者可以是综合数字服务宽带接入网技术标识符(Hybrid Fiber Coaxialz identifier,HFC identifier)。
其中,Line ID不同运营商的采用的格式可能不同也可能相同,比如,line ID可以采用的格式可以是动态主机设置协议(dynamic host configuration protocol,DHCP)v4option 82交互使用(exchange),或者是以太网上的点对点协议(point-to-pointprotocol over ethernet,PPPoE)电路和远程ID,具体内容可以参考3GPP TS23.316版本020。其中,HFC identifier可以是一个十进制字符串,其包含媒体访问控制地址(mediaaccess control address,MAC)地址或者HFC账户标识符,具体内容可以参考3GPPTS23.316版本020。
S902,W-AGF根据所述FN-RG的身份信息生成隐藏身份信息(subscriberconcealed identifier,SUCI)。
其中,所述FN-RG的身份信息可以仅包括RN-RG的原始身份信息,还可以在包括FN-RG的原始身份信息的基础上还包括其他信息。
一种可能的方式,W-AGF可以直接使用FN-RG的原始身份信息生成隐藏身份信息。一种情况下,W-AGF可以只用FN-RG的原始身份信息生成隐藏身份信息,在该情况下,FN-RG的身份信息仅包括FN-RG的原始身份信息;另一种情况下,也可以获取一些用于进一步表明FN-RG的身份的其他信息,为了描述方便,将用于进一步表明FN-RG的身份的其他信息称为FN-RG的设备相关信息,对用于进一步表明FN-RG的身份的其他信息的称呼本申请不作具体限定。W-AGF将获取的设备相关信息与FN-RG原始身份信息一起使用,生成隐藏身份信息。设备相关信息可以包括FN-RG的位置信息、接入的时间信息、FN-RG的运营商信息等中的一项或者多项,从而可以使FN-RG的身份信息在运营商内部是唯一的或者在全球网络中是唯一的。在该情况下,RN-RG的身份信息中不仅仅包括FN-RG的原始身份信息,还包括设备相关信息。
设备相关信息可以包括FN-RG的位置信息、接入的时间信息、FN-RG的运营商信息等中的一项或者多项,可以理解为:设备相关信息可以仅包括其中一项,比如仅包括FN-RG的运营商信息、或者仅包括FN-RG的位置信息、或者仅包括FN-RG接入的时间信息;或者设备相关信息可以包括其中两项,比如包括FN-RG的运营商信息和FN-RG的位置信息;或者设备相关信息包括三项,比如包括FN-RG的运营商信息和FN-RG的位置信息和接入的时间信息。
FN-RG的运营商的信息可以是FN-RG所归属的运营商信息,或者FN-RG的合作运营商信息。其中,所述FN-RG所属的运营商的信息或者FN-RG的合作运营商信息由W-AGF确定的。比如,所述FN-RG所属的运营商的信息是根据所述FN-RG的身份信息从所述W-AGF的配置信息中获得的。此时,FN-RG的运营商的信息无法直接从FN-RG的原始身份信息中全部获得。再比如,W-AGF可以根据FN-RG的固网层二消息中直接获取到或者推断得到FN-RG的所注册的运营商的信息。FN-RG的合作运营商信息是指当前FN-RG所述的服务提供商没有部署5G网络,但是其服务提供商与部署了5G网络的运营商有签约合作,使这个服务提供商的FN-RG可以接入部署了5G网络的运营商的网络。甚至还可以接入与该运营商有签约的其他运营商的网络。例如,W-AGF中配置有FN-RG的身份信息与FN-RG所属的运营商的信息的对应关系,或者FN-RG的身份信息与FN-RG合作的运营商的信息的对应关系,从而W-AGF可以根据对应关系来确定FN-RG的身份信息所对应的FN-RN所属的运营商的信息或者合作的运营商信息。
作为一种示例,FN-RG的原始身份信息中可能直接携带有FN-RG所属的运营商信息,那么W-AGF直接使用即可,在该请况下,FN-RG的身份信息可以仅包括原始身份信息,或者FN-RG的身份信息包括原始身份信息和设备相关信息,但设备相关信息中不再包括FN-RG的运营商信息。
可以理解的是,FN-RG的原始身份信息可以是运营商内部是唯一的或者在全球网络中是唯一的,当然也可能只是局部唯一。对局部唯一的情况,可能因为FN-RG是固网设备,在现有网络中位置相对固定,因此可能造成北京的一个设备的身份信息与上海的一个设备的身份信息相同。但因为其不具备移动性,因此上海的设备不可能去北京入网使用,因此在固网身份信息分配上就可能造成重复。再比如,当FN-RG的原始身份信息采用Line ID时,当Line ID采用DHCP标识的时候,因为DHCP分配的IP地址是有有效期的,并且这个IP地址可以被不同设备重复使用。此时就造成FN-RG的身份信息并没有唯一的标识一个设备,而是可以被不同的设备重复使用。
但是5G网络的用户身份信息是不可以重复的,因此需要一种手段将可能重复的固网身份信息扩展成为在5G网络中不会重复的。因此,原始身份信息结合设备相关信息是可行的一种方法。FN-RG的原始身份信息与设备相关信息结合的方法可以是FN-RG的原始身份信息在前,其他信息在后;也可以是其他信息在前,FN-RG的原始身份信息在后;还可以规定FN-RG的原始身份信息填充到前面固定的比特位,其他信息填到后面固定比特位。对于没有填充上的比特位则填充为0;还可以将FN-RG的原始身份信息与其他信息之间使用特殊的连接符合进行串联,比如冒号“:”,双竖线“||”等。
另一种可能的方式,W-AGF可以仅先根据FN-RG的原始身份信息生成SUPI,再根据SUPI生成隐藏身份标识(SUCI)。或者,W-AGF可以先将FN-RG的原始身份信息与设备相关信息相结合生成SUPI,再根据SUPI生成隐藏身份标识;设备相关信息的内容可以参考前一段的描述。SUPI type的内容请参考后面的描述。
一种示例中,SUCI包括用于确定FN-RG的SUPI的至少两部分信息,分别为第一部分信息和第二部分信息。第一部分信息和第二部分信息均可以由FN-RG的身份信息来确定。
这里所说的FN-RG的身份信息可以仅包括原始身份信息,也可以包括原始身份信息和设备相关信息。
在所述第一部分信息和所述第二部分信息由所述FN-RG的身份信息确定时,可以包括多种方式,如下示例性的描述几种方式。
第一种方式:所述第一部分信息为所述FN-RG的身份信息中的第一部分,所述第二部分信息为所述FN-RG的身份信息中的第二部分。其中,第一部分和第二部分在所述FN-RG的身份信息中可以不重叠,比如FN-RG的身份信息包括15比特(bit),第一部分包括15bit中的5bit信息,第二部分包括除5bit信息以外的其它10bit中的6bit信息。示例性地,第一部分和第二部分包括的信息构成了所述FN-RG的身份信息,比如所述第一部分包括所述FN-RG的身份信息中的一部分信息,所述第二部分信息包括所述FN-RG的身份信息中的另一部分信息。
作为第一种方式的一个示例,FN-RG的身份信息包括原始身份信息和设备相关信息,可以将设备相关信息作为第一部分信息,而原始身份信息作为第二部分信息;或者可以将设备相关信息的一部分与原始身份信息相结合作为第二部分信息,将设备相关信息的另一部分作为第一部分信息。
比如,第一部分信息为home Network Identifier或者Releam部分承载的信息,第二部分信息可以为Scheme Out承载的信息,可以将原始身份信息作为Scheme Out的输入,将设备相关信息确定为home Network Identifier。
示例性地,FN-RG的身份信息中第一部分可以直接被用作构成SUPI的一部分,比如设备相关信息或者设备相关信息的一部分,第二部分可以作为SUPI的另一部分,该另一部分可以直接用作scheme input用于获得SUCI中的scheme output,第二部分为FN-RG的原始身份信息或者原始身份信息的一部分。比如,通过该两部分构成SUPI时,可以直接将该两部分组合在添加SUPI type得到SUPI,另外,还可以将这两部分信息进行格式转换再添加SUPItype得到SUPI。格式转换意味着转换成5G核心网能够识别的格式,可以参见第二种方式中的相关描述,此处不再赘述。其中,SUPI type可以是SUCI中的第三部分信息。
另外,需要说明的是,如果FN-RG的身份信息中的第一部分中包括用于指示SUPItype的信息,这里在构成SUPI type时,可以直接基于第一部分和第二部分构成SUPI,无需再添加SUPI type。
第二种方式:所述第一部分信息是所述FN-RG的身份信息中的第一部分格式转换后的信息,所述第二部分信息包括所述FN-RG的身份信息中的第二部分格式转换后的信息。
另外需要理解的是,本申请实施例中所述的FN-RG的身份信息中的第一部分和FN-RG的身份信息的第二部分是指FN-RG的身份信息的两部分,这两部分组合可以是FN-RG的身份信息的全部信息也可以是FN-RG身份信息的部分信息。
示例性地,以FN-RG的身份信息包括原始身份信息和设备相关信息为例,第二部分可以是将FN-RG的原始身份信息结合设备相关信息的一部分构成的部分信息,第一部分信息可以延伸身份信息的一部分。第二部分也可以是FN-RG原始身份信息的一部分信息,或者是FN-RG的原始身份信息;第一部分可以是设备相关信息的一部分信息,或者设备相关信息。
本申请实施例中的格式转换,意味着W-AGF将FN-RG的身份信息转换成5G核心网能够识别的格式。比如,前文提到的FN-RG的原始身份信息或者原始身份信息与设备相关信息的结合可能还不是5G核心网能够识别的格式。因此,W-AGF可以将FN-RG的身份信息进一步做格式转换,使其变成5G核心网能够识别的格式。其中包括直接将FN-RG身份的比特位直接复用的方法,或者是采用设定规则计算后得出的结果。比如FN-RG的身份信息的前5bit为第一部分信息,但是在SUPI构成中,第一部分信息却需要6bit,那么就需要定义一个转换规则,可以直接将5bit的信息转换成SUPI构成中的第一部分信息。转换规则可以是一种对应关系列表,也可以是一种可逆的变换方法。可逆的意思是UDM可以做逆向操作,得到原始的FN-RG的身份信息的前5bit。
示例性地,W-AGF可以将FN-RG的身份信息的第一部分格式转换后作为Homenetwork Identifier或Releam部分,第二部分格式转换后得到类似于MSIN或username的信息作为Scheme Output的输入,最终获得Scheme Output,也就是说第二种方式提及的获得SUCI的方法可以认为是:对将FN-RG的身份信息进行格式转换后,并采用NULL Scheme得到的。
示例性地,在该第二种方式下,构成SUPI时,可以将第一部分信息和第二部分信息组合再添加SUPI type得到SUPI。
另外,需要说明的是,如果FN-RG的身份信息中的第一部分进行格式转换后中包括用于指示SUPI type的信息,这里在构成SUPI type时,可以直接基于第一部分和第二部分构成SUPI,无需再添加SUPI type。
第三种方式:所述第一部分信息包括所述FN-RG的身份信息中的第一部分,所述第二部分信息为根据所述FN-RG的身份信息中的第二部分加密得到的。
针对所述FN-RG的身份信息的第一部分和第二部分的说明参见第二种方式中的描述,此处不再赘述。
示例性地,FN-RG的身份信息中第一部分可以直接被用作构成SUPI的一部分,比如设备相关信息或者设备相关信息的一部分,第二部分可以作为SUPI的另一部分,该另一部分可以直接用作scheme input用于获得SUCI中的scheme output,第二部分为FN-RG的原始身份信息或者原始身份信息的一部分。通过该两部分构成SUPI时,比如,可以直接将该两部分组合再添加SUPI type得到SUPI,或者直接将该两部分进行格式转换再添加SUPI type得到SUPI。
示例性地,在该第三种方式下,UDM在基于SUCI生成SUPI时,一种方式是,可以将第一部分信息和解密后的第二部分信息(例如scheme input)组合再添加SUPI type得到SUPI。另一种方式是,可以分别对SUCI中的第一部分信息和解密后第二部分信息进行格式转换再组合添加SUPI type得到SUPI。
其中,第一种方式可以类比于SUCI是采用NULL Scheme生成的,则第三种方式,可以相当于选择了一个安全保护机制(profile)后,将FN-RG的身份信息或者身份信息的一部分通过加密得到。再比如,W-AGF将FN-RG的身份信息的一部分信息格式转换后作为Homenetwork Identifier或Releam,另一部分信息作为scheme input进行加密,最终得到scheme output。
第四种方式:所述第一部分信息是所述FN-RG的身份信息中的第一部分格式转换后的信息,所述第二部分信息是对所述FN-RG的身份信息中的第二部分格式转换后的信息再加密得到的。此方式与第二种方式对应,表示的是FN-RG的身份信息无法直接被5G核心网使用,全部都需要做相应的格式转换。格式转换的描述可以参考第二种方式。第一部分和第二部分的描述可以参见第二种方式,此处不再赘述。比如,W-AGF将FN-RG的身份信息的第一部分格式转换后确定为Home network Identifier或Releam,第二部分格式转换后为类似于MSIN的信息或username的信息,确定为Scheme Input。
示例性地,FN-RG的身份信息中第一部分进行格式转换后可以直接被用作构成SUPI的一部分,比如设备相关信息或者设备相关信息的一部分,第二部分进行转换后可以作为SUPI的另一部分,该另一部分可以直接用作scheme input用于获得SUCI中的schemeoutput,第二部分可以为FN-RG的原始身份信息或者原始身份信息的一部分。
示例性地,在该第四种方式下,UDM在基于SUCI生成SUPI时,可以将第一部分信息和解密后的第二部分信息(例如scheme input)组合再添加SUPI type得到SUPI。
下面以设备相关信息包括所述FN-RG的运营商信息(比如,FN-RG所属的运营商的信息,或者FN-RG的合作运营商信息)作为示例对上述第一种方式-第四种方式进行详细说明。
在该情况下,第一部分信息可以基于所述FN-RG的身份信息中的设备相关信息或者设备相关信息的一部分来确定,比如将FN-RG的运营商信息的全部或者部分直接作为第一部信息。
分信息,或者将FN-RG的运营商信息的全部或者部分进行格式转换后作为第一部分信息。
第二部分信息可以基于所述FN-RG的原始身份信息来确定。比如,将所述FN-RG的原始身份信息中的部分或者全部信息作为第二部分信息,或者,将对所述FN-RG的原始身份信息中的部分或者全部信息加密得到的信息作为SUCI中用于确定SUPI的第二部分信息,或者将所述FN-RG的原始身份信息中的部分或者全部信息进行格式转换后再加密得到的信息作为用于确定SUPI的第二部分信息。
以图2B或图2C所示的SUCI的结构为例,第一部分信息可以作为Home networkIdentifier或者releam部分,第二部分信息作为Scheme Output。从所述W-AGF的配置信息获得FN-RG的运营商的信息可以与IMSI中MCC+MNC的格式相同,或与NSI格式的releam部分相同,则可以将获得的FN-RG的运营商的信息添加在SUCI的Home network Identi fier或releam部分。从所述W-AGF的配置信息获得FN-RG所注册的运营商的信息也可以与IMSI中MCC+MNC的格式不同,则可以将获得的FN-RG所注册的运营商的信息转换为MCC+MNC的格式,或NSI格式的releam部分后,再将转换格式后的FN-RG所注册的运营商的信息添加在SUCI的Home network Identifier或releam部分。
另外,需要说明的是,W-AGF所支持接入的运营商可能仅包括一个,则从配置信息中获取FN-RG所属的运营商的信息时,无需根据FN-RG的身份信息来确定FN-RG所属的运营商的信息,可以直接根据W-AGF所支持接入的运营商确定FN-RG所属的运营商的信息,并将确定的FN-RG的运营商的信息或者FN-RG的运营商的信息进行格式转换后的信息添加在SUCI的Home network Identifier或者releam部分。比如,W-AGF为中国移动的安全网关,在S901接收到FN-RG的身份信息后,无需解析FN-RG的身份信息中的具体内容,W-AGF直接确定中国移动对应的MCC+MNC的值并作为Home network Identifier或者releam部分。
作为一种示例,针对上述第一种方式-第五种方式,SUCI在包括上述第一部分信息和第二部分信息以外,还可以包括用于构成SUPI的SUPI的类型信息,所述SUPI的类型信息指示所述永久身份标识为FN-RG的身份标识。比如,图2B或者图2C所示的SUCI结构中SUPItype。SUPI type的值不同于IMSI和Network Specific Identifier对应的SUPI type值,比如SUPI type值可以为2,用于指示SUPI为FN-RG的身份标识。
第五种方式,第一部分信息可以是确定的SUPI的类型,比如SUPI type。示例性地,可以根据FN-RG的身份信息确定SUPI type,或者根据层二消息类型,判断是FN-RG接入,则W-AGF判断是FN-RG接入,进而确定SUPI type。确定的SUPI Type,可以重用现有的NSI对应的类型,也可以新定义一个类型。比如,新定义的类型代表不具备NAS能力的接入设备接入,比如固网设备(例如FN-RG)接入。第二部分信息可以是FN-RG的身份信息的全部或者部分信息,也可以是FN-RG的身份信息的全部或者部分信息的格式转换后的信息,还可以是FN-RG的身份信息的全部或者部分信息加密后的信息,还可以是FN-RG的身份信息的全部或者部分信息格式转换后再加密后的信息。其中关于格式转换,以及加密如前述,此处不再赘述。
示例性地,SUCI中可以包括SUPI type,SUPI type可以是第一部分信息和第二部分信息以外的部分,比如上述第一种方式-第五种方式,还可以是作为第一部分信息,比如第六种方式。
作为一种示例,SUCI中还可以包括路由指示符(Routing indicator),路由指示符用于AMF查找和确定可以为FN-RG服务的AUSF和AUSF查找和确定可以为FN-RG服务的UDM。
所述路由指示符可以是从所述W-AGF的配置信息中获得的。应理解的是,第一种情况:运营商可以规定只有某一个、或某几个AUSF、UDM/ARPF/SIDF用于处理FN-RG的接入,不同的运营商规定的能够处理FN-RG的接入的AUSF、UDM/ARPF/SIDF可能相同也可以不同。第二种情况是,运营商不做任何规定,也就是说所有的AUSF、UDM/ARPF/SIDF都可以处理FN-RG的接入。不同的方式下,Routing Indicator的确定方法不同。
在第一种情况下,W-AGF中的配置信息可以包括用于处理FN-RG的接入的AUSF、UDM/ARPF/SIDF对应的Routing Indicator。因此,在这种情况下W-AGF中配置的Routingindicator可以有一个、或多个。若有多个,W-AGF可以根据在配置信息包括的多个Routingindicator中随机选择一个即可或者根据运营商的划分规则根据FN-RG的身份信息选择合适的那个。此时Routing Indicator用于指示可以为固网服务的AUSF、UDM/ARPF/SIDF。可选地,在该情况下,Routing Indicator也可以设置为固定的值,比如设置为最大值9999。
示例性的,当W-AGF所支持接入的运营商包括多个时,W-AGF的配置信息中还包括不同的运营商的信息所对应的Routing Indicator。即配置信息包括不同的运营商信息、Routing Indicator的对应关系,从而在为FN-RG生成SUCI的过程中,可以根据所述FN-RG所属的运营商的信息或合作运营商信息从所述固网安全网关的配置信息中获取。可选地,配置信息还可以为更细粒度的,比如配置中的对应关系还加入FN-RG的身份信息中的部分信息,比如配置信息中包括运营商信息或合作运营商信息、Routing Indicator和身份信息中的路由字段部分的对应关系。
当所有的AUSF、UDM/ARPF/SIDF都可以处理FN-RG的接入的第二种情况下,Routingindicator可以为默认值,比如为0。
在又一种示例中,SUCI中还可以包括公钥标识符,所述公钥标识符所标识的公钥用于对所述永久身份标识中的第二部分信息进行加密。所述公钥标识符从W-AGF的配置信息中获得的。W-AGF的配置信息中包括公钥标识符与公钥的对应关系。
一种情况中:W-AGF支持接入1个运营商时,采用的公钥不作限制,即不同的FN-RG可以采用相同或者不同的公钥。则W-AGF在确定公钥标识符,可以从配置的1个或多个公钥标识符中选择一个。
另一种情况中,在W-AGF支持接入多个运营商的情况下,不同的运营商所采用的公钥可以不同,则W-AGF的配置信息中还可以包括的运营商的信息与公钥标识符(或者公钥)的对应关系,从而W-AGF可以根据所述FN-RG所属的运营商的信息,或者合作运营商信息从所述W-AGF的配置信息中获得的公钥标识符。
示例性地,公钥标识符,可以是图2B或者图2C所示的SUCI结构中的Home NetworkPublic Key Id,是对Scheme output的输入进行加密所采用的密钥。
在又一种情况下,如果W-AGF没有被配置公钥,则W-AGF选择NULL Scheme方式。
SUCI中还可以包括安全保护机制标识符。安全保护机制标识符可以用于指示对Scheme output的输入所采用的安全保护机制。例如,安全保护机制标识符可以是图2B或者图2C所示的SUCI结构中的Protection scheme Id。Home Network Public Key Id具体的确定方式可以参见图2B或者图2C所示的Protection scheme Id的确定方式。
需要说明的是,W-AGF可以仅配置一种安全保护机制,SUCI中可以不包括安全保护机制标识符,即采用配置的该安全保护机制对Scheme output的输入进行加密。示例性地,如果W-AGF没有被配置安全保护机制,则W-AGF只能选择NULL Scheme。
可选地,即使W-AGF中配置了公钥,运营商也可以通过配置使W-AGF选择NULLScheme。当然若W-AGF无法找到FN-RG的标识信息或者W-AGF确定的运营商的信息对应的公钥,W-AGF也选择NULL Scheme。在选择NULL Scheme的情况下,Home Network Public KeyId可以添加0。
S903,所述W-AGF向移动网的AMF发送第二请求消息,所述第二请求消息用于请求将所述FN-RG注册到核心网,所述第二请求消息中可以携带所述SUCI。第二请求消息中还可以携带第一鉴权成功指示,所述第一鉴权成功指示用于指示所述W-AGF确定所述FN-RG为合法的接入设备。
示例性地,通信系统中可能不是所有的AMF都可以处理FN-RG的接入,在该情况下,一种方式是,W-AGF中可以配置有用于处理FN-RG的接入的一个或者多个AMF的标识信息,从而W-AGF可以从配置信息中选择一个AMF的标识信息,将该第二请求消息发送给选择的AMF的标识信息对应的AMF。另一种方式是W-AGF中可以配置好用于选择能够处理FN-RG的接入的AMF的选择策略,从而W-AGF根据选择策略选择能够处理FN-RG的接入的AMF,并将该第二请求消息发送给选择的AMF。
S904,AMF向AUSF发送第一服务请求消息。第一服务请求消息中包括SUCI。若第二请求消息携带第一鉴权成功指示,则第一服务请求消息中携带第一鉴权成功指示。示例性地,该第一服务请求消息可以是Nausf_UEAuthentication_Authenticate Request,也可以是其他类型的服务请求消息,比如,第一服务请求消息可以是一条专门为FN-RG提供服务的服务请求消息,比如Nausf_FN-RGAuthentication_Authenticate Request。
示例性地,SUCI中包括Routing Indicator,AMF可以根据SUCI中的RoutingIndicator和/或Homenetwork identifier(或Releam部分)确定AUSF,并向选择的AUSF发送第一服务请求消息。
进一步地,若SUCI中的Routing Indicator为0,那么AMF可以根据第一鉴权成功指示确定所述第二请求消息属于FN-RG注册流程,根据预配置的信息选择可以为这个FN-RG服务的AUSF。比如,预配置的信息可以是预先配置的能够处理FN-RG的接入的AUSF的标识信息,或者是用于选择能够处理FN-RG的接入的AUSF的选择策略。也就是说,SUCI中的RoutingIndicator为0时,确定AUSF和UDM/ARPF/SIDF的是AMF,不再是根据SUCI中携带的RoutingIndicator。示例性地,AMF可以进一步将SUCI中的Routing Indicator替换成可以找到AUSF和UDM/ARPF/SIDF的相应值。另一种理解是,如果Routing Indicator为0,那么AMF可以任意选择AUSF。
S905,AUSF向UDM发送第二服务请求消息。第二服务请求消息中包括SUCI。若第一服务请求消息携带第一鉴权成功指示,则第二服务请求消息中携带第一鉴权成功指示。示例性地,该第二服务请求消息可以是Nudm_UEAuthentication_Get Request,也可以是其他类型的服务请求消息,比如,第一服务请求消息可以是一条专门为FN-RG提供服务的服务请求消息,比如Nudm_FN-RGAuthentication_Get Request。
示例性地,SUCI中包括Routing Indicator,AUSF可以根据SUCI中的RoutingIndicator和/或Home network identifier(或Releam部分)确定UDM,并向选择的UDM发送所述第二服务请求消息。
进一步地,若SUCI中的Routing Indicator为0,那么AUSF可以将第二服务请求消息发送给任意一个UDM。比如,AUSF可以根据第一鉴权成功指示确定所述第一服务请求消息属于FN-RG注册流程,根据预配置的信息或者其他网元反馈的信息选择可以为这个FN-RG服务的UDM。比如,预配置的信息可以是预先配置的能够处理FN-RG的接入的DUM的标识信息,或者是用于选择能够处理FN-RG的接入的UDM的选择策略。也就是说,SUCI中的RoutingIndicator为0时,确定UDM/ARPF/SIDF的是AUSF,不再是根据SUCI中携带的RoutingIndicator。示例性地,AMF可以进一步将SUCI中的Routing Indicator替换成可以找到UDM/ARPF/SIDF的相应值。比如,通过网络存储功能(network repository function,NRF)网元反馈的UDM信息。
S906,UDM根据所述第二服务请求消息中的SUCI获得FN-RG的SUPI。
一种方式是,UDM从SUCI中直接获得SUPI。另一种方式是,UDM从SUCI获得FN-RG的身份信息或者FN-RG身份信息的一部分,然后在根据获得的FN-RG的身份信息或者FN-RG身份信息的一部分获取SUPI。示例性地,如果FN-RG要使用FN-RG的身份信息或者FN-RG的身份信息的一部分生成SUPI,那么UDM就需要通过SUCI获取FN-RG的身份信息或者FN-RG的身份信息的一部分,然后再根据FN-RG的身份信息或者FN-RG的身份信息的一部分生成SUPI。
示例性的,W-AGF在生成SUCI时,SUCI中包括用于确定SUPI的两部分信息,分别为第一部分信息和第二部分信息,则UDM可以通过SUCI中的这两部分信息得到FN-RG的身份信息或者FN-RG身份信息的一部分,或通过这两部分信息直接获得FN-RG的SUPI或者FN-RG的SUPI的一部分。
需要说明的是,本申请实施例中,SUCI和SUPI的采用的格式可以相同也可以不同,比如,两者均采用NAI格式,再比如,两者均采用用于针对不具有NAS能力的接入设备所采用的格式,比如称为无NAS接入指示符(Non-NAS access identifier,NNAI),当然采用其它的称呼,本申请实施例对此不作具体限定。示例性地,在应用到固网时,两者可以均采用针对固网设备定义的格式,比如可以称为固网接入指示符(fix access identifier,FAI)或者称为,当然还可以是其它的称呼,本申请对此不作具体限定。后续描述时以NNAI为例。再比如两者采用的格式不同,一个采用NAI,另一种采用NNAI。NNAI格式可以为指示固网接入的SUPI Type和身份信息2部分构成。身份信息采用NAI格式。NAI格式的身份信息部分可以是直接将固网身份信息使用在5G核心网中,即5G核心网可以认识、处理原始的固网身份信息。比如,固网身份信息直接为Line ID,或者HFC Identifier;也可以是Line ID,或HFCIdentifier等类型的固网身份信息结合其他信息后的具有5G核心网内唯一性的身份信息。NAI格式的域名部分可以是NSI格式的SUPI的域名,还可以是结合了其他信息具的域名。进一步地,NNAI可以与SUPI Type绑定。比如,若SUPI Type采用了一个新定义的值,那么这个值对应的固网身份信息的格式就是NNAI格式。NNAI在5G核心网中可以是固定长度的,比如32bit。如果FN-RG的身份信息大于32bit,则可以选择直接使用一部分FN-RG的身份信息写入NNAI中。写入方法会提前规定好。如果FN-RG的身份信息小于等于32bit,那么可以直接把FN-RG的身份信息写入NNAI中。既可以从高位往低位写,又可以从低位往高位写。没有写满的部位自动填充特殊值,比如为0。
如下示例性的描述根据SUCI获得SUPI的方式:
方式一,UDM可以将SUCI中的用于确定SUPI的两部分信息组合得到FN-RG的身份信息或者FN-RG身份信息的一部分,FN-RG的身份信息或者FN-RG身份信息的一部分可以直接作为SUPI或者SUPI的一部分。
方式一可以适用于SUCI与SUPI采用的格式相同的情况。
比如,SUCI和SUPI均可以采用NAI格式,则在使用NULL scheme的时候,假设NAI格式的SUCI可以为type2.rid678.schid0.useriduser17@example.com。那么第一部分信息可以为user17,第二部分信息为@example.com。因此可以将user17和@example.com合并再添加SUCI中包括的SUPI type(type2)获得SUPI。再比如,第一部分信息为type2,第二部分信息为user17@example.com,因此可以将type2和user17@example.com组合获得SUPI。其中的user17就是FN-RG的原始身份信息LineID或FN-RG的身份信息。
再比如,SUCI和SUPI均可以采用固网设备新定义的格式NNAI。假设SUCI占用32bit,从32bit中截取其中用于确定SUPI的两部分信息得到SUPI。比如,第一部分信息为SUPI type,第二部分信息可以是FN-RG的身份信息(或者身份信息的一部分)或者身份信息(或者身份信息的一部分)经过格式转换后的信息。FN-RG的身份信息可以采用与SUCI相同的格式,则第二部分信息可以是FN-RG的身份信息(或者身份信息的一部分),FN-RG的身份信息也可以采用与SUCI不同的格式,则第二部分信息可以是身份信息(或者身份信息的一部分)经过格式转换后的信息。
示例性的,SUCI中用于确定SUPI的第一部分信息和第二部分信息可以是采用S902中的第一种方式或者第二种方式或者第五种方式获得的。
方式二,将SUCI中用于确定SUPI的第二部分信息解密,并将解密后的第二部分信息与第一部分信息组合得到FN-RG的身份信息或者FN-RG身份信息的一部分,或者获得FN-RG的身份信息对应的SUPI或者FN-RG身份信息对应的SUPI的一部分。
示例性地,SUCI中用于确定SUPI的第一部分信息和第二部分信息可以是采用S902中的第三种方式或者第四种方式或者第五种方式获得的。
方式二与方式一类似,可以适用于SUCI与SUPI采用的格式相同的情况。方式一类比于SUCI是采用NULL Scheme生成的,获取SUPI时无需解密操作,则方式三,在解析SUPI时,可以相当于选择了一个安全保护机制(profile),采用该安全保护机制解密得到。
方式三,将SUCI的用于确定SUPI的第一部分信息和第二部分信息进行格式转换并组合得到FN-RG的身份信息或者FN-RG身份信息的一部分,或者得到FN-RG的SUPI或者SUPI的一部分。
方式三可以适用SUCI与SUPI采用的格式不同的情况下。SUCI的格式可以FN-RG身份信息的格式相同也可以不同。如果SUCI的格式与FN-RG身份信息的格式相同,则从第一部分信息和第二部分信息可以直接获得FN-RG的身份信息或者身份信息的一部分。然后对FN-RG的身份信息或者身份信息的一部分进行格式转换得到FN-RG的SUPI或者SUPI的一部分。示例性地,对于格式转换得到SUPI的一部分的情况,在SUCI中可以包括其它部分信息用于构成SUPI,从而从SUCI的其它部分信息获取SUPI的另一部分用来构成SUPI。
如果SUCI的格式与FN-RG身份信息的格式不同,SUPI的格式可以与FN-RG的格式相同,则对第一部分信息和第二部分信息进行格式转换可以获得FN-RG的身份信息或者身份信息的一部分。一种示例中,FN-RG的身份信息或者身份信息的一部分即作为SUPI,另一种示例中,FN-RG的身份信息或者身份信息的一部分可以是构成SUPI的一部分,或者从而FN-RG的身份信息或者身份信息的一部分中截取部分信息作为SUPI。
作为一种示例,SUCI的第一部分信息和第二部分信息可以是采用S902中的第一种方式或者第二种方式或者第五种方式获得的,即可以是直接使用FN-RG的身份信息(或者身份信息的一部分)作为SUCI的第一部分信息和第二部分信息,也可以是FN-RG的身份信息(或者身份信息的一部分)进行格式转换的作为SUCI的第一部分信息和第二部分信息。
方式四,将SUCI的第二部分信息解密并进行格式转换,并将格式转换后的第二部分信息与格式转换后的第一部分信息组合得到FN-RG的身份信息或者FN-RG身份信息的一部分,或获得FN-RG的身份信息对应的SUPI或者FN-RG身份信息对应的SUPI的一部分。
方式一可以适用于SUCI与SUPI采用的格式不同的情况。其中,SUCI的格式可以FN-RG身份信息的格式相同也可以不同。
方式四与方式三类似,可以适用于SUCI与SUPI采用的格式不同的情况。方式三类比于SUCI是采用NULL Scheme生成的,获取SUPI时无需解密操作,则方式四,在解析SUPI时,可以相当于选择了一个安全保护机制(profile),采用该安全保护机制解密得到。
UDM在获得SUPI后,可以从签约数据库查询FN-RG的SUPI,来确定FN-RG是否为合法的固网设备。比如,通过查询,确定签约数据库中存在这个FN-RG的SUPI,则确定FN-RG为合法的固网设备。示例性地,UDM确定当前服务于固网设备时,可以确定通过特定的方式生成AV或者不生成AV。
UDM可以根据第二服务请求消息确定第二服务请求消息是否属于FN-RG注册流程(或者说根据第二服务请求消息确定是否UDM当前服务于固网设备,比如FN-RG)。比如,根据SUCI中的SUPI type确定第二服务请求消息属于FN-RG注册流程,或者根据固网鉴权结果指示确定第二服务请求消息属于FN-RG注册流程,或者根据第二服务请求消息的类型确定第二服务请求消息属于FN-RG注册流程。一种示例中,可以采用UE的注册核心网的方式,即UDM可以生成一个鉴权向量AV,该鉴权向量可以是设定值,还可以根据FN-RG的SUPI或者FN-RG的身份信息或者身份信息的一部分生成鉴权向量。具体生成方式,以及后续的注册流程参见图10对应的实施例的描述。
另一种示例中,UDM无需生成鉴权向量,本图9所示的实施例中以该方式为例来描述后续注册流程。
S907,UDM发送第二服务响应消息给AUSF。其中,第二服务响应消息的具体形式与第S905的第二服务请求消息相对应。比如,S905中第二服务请求消息为Nudm_UEAuthentication_Get Request消息,则S907中的第二服务响应消息为Nudm_UEAuthentication_Get Response消息。若S907的第二服务请求消息为固网相关的服务化请求消息,则S907的第二服务响应消息为相应的服务化响应消息,比如第二服务请求消息为Nudm_FN-RGAuthentication_Get Request,第二服务响应消息可以为Nudm_FN-RGAuthentication_Get Response。
第二服务响应消息中包括S906中生成的SUPI。
可选地,第二服务响应消息中还携带第二鉴权成功指示。第二鉴权成功指示用于指示UDM进一步确定了FN-RG鉴权成功(或者说进一步确定FN-RG为合法的接入设备),可以理解为UDM同意FN-RG接入5G核心网。
该第二鉴权成功指示可以与W-AGF上传的第一鉴权成功指示相同,也可以由UDM重新生成。因此,UDM的确定方法可以直接信任W-AGF上传的指示信息,也可以进一步查找签约数据库,确定FN-RG是否合法。比如可以接入5G核心网的FN-RG的签约信息存储在UDM的数据库中,从而UDM可以根据SUPI查找数据库,确定当前FN-RG是可以接入5G核心网的。UDM再结合其固网鉴权成功的指示(第一鉴权成功指示),因此UDM确定允许该FN-RG接入5G核心网,换句话说,FN-RG在5G核心网鉴权成功(或者说FN-RG在5G核心网是合法的接入设备)。
需要说明的是,本申请实施例中以接入设备接入到5G核心网为例进行说明,当然还可以应用于未来的核心网系统,比如6G核心网。
AUSF在接收到第二服务响应消息后,根据第二服务响应消息确定不再发起鉴权流程,直接执行S908。具体的,AUSF根据SUPI type确定不发起鉴权流程(也就是跳过对FN-RG的鉴权流程),换句话说,第二服务响应消息中的SUPI type指示所述AUSF跳过鉴权流程。或者AUSF根据第二鉴权成功指示确定不发起鉴权流程(换句话说,第二服务响应消息中的第二鉴权成功指示用于指示所述AUSF跳过鉴权流程,或者用于指示FN-RG在5G核心网为合法的接入设备,从而所述AUSF认为无需再执行鉴权操作),或者AUSF根据SUPI type和第一鉴权成功指示,确定不发起鉴权流程,换句话说,第二服务响应消息中的SUPI type和第一鉴权成功指示共同指示所述AUSF跳过鉴权流程。或者,当第二服务响应消息为固网相关的服务化响应消息时,AUSF可以根据第二服务响应消息的消息类型确定不发起鉴权流程,换句话说,第二服务响应消息的消息类型指示所述AUSF跳过鉴权流程。
S908,AUSF向AMF发送第一服务响应消息。其中,第一服务响应消息的具体形式与第S904的第一服务请求消息相对应。比如,S904中第一服务请求消息为Nausf_UEAuthentication_Authenticate Request消息,则S908中的第一服务响应消息为Nausf_UEAuthentication_Authenticate Response消息。若S904的第一服务请求消息为固网相关的服务化请求消息,则S908的第一服务响应消息为相应的服务化响应消息,比如第一服务请求消息为Nausf_FN-RGAuthentication_Authenticate Request,第一服务响应消息可以为Nausf_FN-RGAuthentication_Authenticate Response。
第一服务响应消息中携带SUPI,还可以携带第二鉴权成功指示。
S909,AMF将SUPI存储下来。
AMF判断不进行鉴权流程和/或是否需要进行安全激活流程。安全激活流程就是NASSMC流程。AMF的判断方法可以参考步骤S908AUSF判断方法。AUSF判断不需要进行鉴权流程,则对应的AMF判断不需要进行鉴权流程和/或是否需要进行安全激活流程。
S910,AMF进行其余的注册流程,与现有类似,此处不再赘述。
S911,AMF为W-AGF分配5G-GUTI。并发送第二完成消息给W-AGF。第二完成消息中含有5G-GUTI。
在S902中W-AGF生成SUCI时,直接根据FN-RG的身份信息生成SUCI。若采用这种方式,则W-AGF在收到第二完成消息后,需要采用与UDM生成SUPI同样的方式生成SUPI。在S902中W-AGF生成SUCI可以先根据FN-RG的身份信息生成SUPI,再根据SUPI生成SUCI。若采用这种方式,则W-AGF在收到第二完成消息后,无需再生成SUPI,直接执行S912。
S912,W-AGF保存5G-GUTI,并向FN-RG发送第一完成消息。可选地,若5G核心网无法直接使用或识别FN-RG的身份信息的情况下,并且若W-AGF之前没有生成SUPI,则在此步生成SUPI。若5G核心网可以直接使用或识别FN-RG的身份信息的情况下,则W-AGF可以不需要生成SUPI。但是如果为了与UE的注册方式兼容,则可以生成SUPI。
可选地,第一完成消息中包括5G-GUTI。
参见图10所示,为本申请实施例提供的另一种注册方法流程示意图。
S1001-S1006,参见S901-S906。
S1007,所述UDM生成鉴权向量。
一种示例中,鉴权向量为设定值,比如鉴权向量可以是全0或全1的鉴权向量AV。
可选地,UDM确定FN-RG在固网鉴权成功后,再生成设定值的鉴权向量AV。
另一种示例中,由于UDM/ARPF/SIDF的配置信息中并没有固网设备的长期密钥K,因此无法从UDM/ARPF/SIDF中获取长期密钥K再通过EAP-AKA’或者5G AKA的方式生成鉴权向量。本申请提供另一种方式,基于FN-RG的身份信息或者FN-RG的SUPI来生成鉴权向量。如下示例性的描述几种基于FN-RG的身份信息或者FN-RG的SUPI来生成鉴权向量的方式:
第一方式:对FN-RG的身份信息的全部信息或者身份信息的部分信息或者FN-RG的SUPI进行演变处理,演变处理后的值作为长期密钥K,基于长期密钥K生成鉴权向量。示例性地,基于确定的长期密钥K采用EAP-AKA’或者5G AKA的鉴权方式生成鉴权向量。
第二方式:对FN-RG的身份信息的全部信息或者身份信息的部分信息或者FN-RG的SUPI进行演变处理,演变处理后的值作为Kausf,再基于Kausf生成鉴权向量。
以基于Kausf采用5G AKA的鉴权方式为例,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为预设值,比如均为0。
以基于Kausf采用EAP-AKA’的鉴权方式为例,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第二期望响应XRES和第二认证令牌AUTN均为预设值,比如均为0。
第三方式:对FN-RG的身份信息的全部信息或者身份信息的部分信息或者FN-RG的SUPI进行演变处理,演变处理后的值作为CK和IK,在基于CK和IK生成鉴权向量。
以基于Kausf采用5G AKA的鉴权方式为例,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、CK、IK和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为预设值,比如均为0。
以基于Kausf采用EAP-AKA’的鉴权方式为例,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、CK’、IK’和随机数RAND,所述第二期望响应XRES和第二认证令牌AUTN均为预设值,比如均为0。CK’、IK’基于CK和IK推演得到。
S1008,UDM发送第二服务响应消息给AUSF。其中,第二服务响应消息的具体形式与第S1005的第二服务请求消息相对应。第二服务响应消息中包括S1006中生成的SUPI和鉴权向量。第二服务响应消息中还可以携带第二鉴权成功指示。第二鉴权成功指示用于指示UDM对FN-RG鉴权成功(或者说确定FN-RG为合法的接入设备)。该第二鉴权成功指示可以与W-AGF上传的第一鉴权成功指示相同,也可以由UDM重新生成。
AUSF在接收到第二服务响应消息后,根据第二服务响应消息确定不再发起鉴权流程,直接执行S1009和S1010。具体的,AUSF根据SUPI type确定第二服务响应消息属于FN-RG注册流程,则不发起鉴权流程。或者AUSF根据第二鉴权成功指示确定第二服务响应消息属于FN-RG注册流程,不发起鉴权流程。或者,当第二服务响应消息为固网相关的服务化响应消息时,AUSF可以根据第二服务响应消息的消息类型确定第二服务响应消息属于FN-RG注册流程,则不发起鉴权流程。或者,在鉴权向量为设定值时,AUSF可以根据设定值的鉴权向量来确定第二服务响应消息属于FN-RG注册流程。
S1009,AUSF从鉴权向量中获取Kausf,再根据Kausf推演出Kseaf。
示例性地,AUSF将鉴权向量中的固定一段作为Kausf,比如采用EAP-AKA’鉴权方式,可以将鉴权向量中的CK’和IK’确定为Kausf;再比如采用5G AKA鉴权方式,可以将鉴权向量中的CK和IK确定为Kausf。
当鉴权向量为设定值时,比如全0或全1,则Kausf的全部比特为也是全0或者全1,此时,Kseaf的全部比特也为全0或者全1。
S1010,AUSF向SEAF发送第一服务响应消息。针对第一服务响应消息的消息类型描述参见S908,此处不再赘述。第一服务响应消息中包括Kseaf和SUPI。第一服务响应消息中还可以包括第二鉴权成功指示。
S1011,SEAF根据Kseaf生成Kamf。
当鉴权向量为设定值时,比如全0或全1,Kamf的全部比特位可以与Kseaf相同。当SEAF与AMF为不同的设备时,SEAF将Kamf传递给AMF。可选地,SEAF在判断FN-RG鉴权成功后,将Kamf发送给AMF。SEAF可以根据第二鉴权成功指示判断FN-RG是否为合法的接入设备,或根据Kseaf特殊值判断是否FN-RG为合法的接入设备。
另外,SEAF在S1004接收到第一鉴权成功指示后,保存第一鉴权成功指示,则SEAF根据Kseaf生成Kamf,在根据保存的第一鉴权成功指示判断鉴权成功后,将Kamf传递给AMF。
一种示例中,AMF判断跳过NAS SMC激活流程的方法可以参考步骤S909,此外,AMF还可以根据设定值的Kseaf(比如,全部比特位为0或者全部比特位为1)或设定值的鉴权向量判断跳过NAS SMC激活流程。执行S1012-S1014。
另一种示例中,采用基于FN-RG的身份信息或者FN-RG的SUPI来生成鉴权向量的方式的情况下,AMF可以按照UE的鉴权流程执行,即AMF不跳过NAS SMC激活流程。AMF会进一步使用Kamf生成NAS加密密钥Knasenc和NAS完整性保护密钥Knasint。具体的NAS SMC激活流程可以参见S601-S605,此处不再赘述。再执行S1012-S1014。
S1012-S1014,参见S910-S012,此处不再赘述。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图9~图10所示的方法实施例中所述安全接入网关(比如W-AGF)执行的方法,相关特征可参见上述方法实施例,此处不再赘述。作为一种示例,如图11所示,所述装置包括接收单元1101和处理单元1102和发送单元1103。
接收单元1101,用于接收接入设备发送的第一请求消息,所述第一请求消息携带所述接入设备的原始身份信息,所述接入设备不具备非接入层NAS能力,所述安全接入网关具备NAS能力;
所述处理单元1102,用于在接收到所述第一请求消后,向核心网发起对所述接入设备的注册流程,根据所述接入设备的身份信息为所述接入设备生成隐藏身份标识,所述接入设备的身份信息仅包括所述原始身份信息,或者所述接入设备的身份信息包括所述原始身份信息和设备相关信息,所述设备相关信息包括所述接入设备的运营商信息、接入设备的接入时间信息和接入设备的位置信息中一项或者多项;
所述发送单元1103,用于向核心网的第一核心网网元发送第二请求消息,所述第二请求消息用于请求将所述接入设备注册到核心网,所述第二请求消息携带所述隐藏身份标识。
在一种可能的设计中,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定。
示例性地,第一部分信息可以是home network identifier,第二部分信息可以是scheme out。
在一种可能的设计中,所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定,包括:
所述第一部分信息为所述接入设备的身份信息中的第一部分,所述第二部分信息为所述接入设备的身份信息中的第二部分,且第一部分和第二部分在所述接入设备的身份信息中不重叠,或者,所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息包括所述接入设备的身份信息中的所述第二部分格式转换后的信息,或者,所述第一部分信息包括所述接入设备的身份信息中的所述第一部分,所述第二部分信息为根据所述接入设备的身份信息中的所述第二部分信息加密得到的,或者,所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息是对所述接入设备的身份信息中的所述第二部分格式转换后的信息再加密得到的。
在一种可能的设计中,所述接入设备的身份信息中的第一部分为:所述接入设备的身份信息中所述设备相关信息或者所述设备相关信息的一部分。
在一种可能的设计中,所述隐藏身份标识还包括所述永久身份标识的类型信息,所述永久身份标识的类型信息指示所述永久身份标识为接入设备的身份标识。
在一种可能的设计中,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;
所述第一部分信息为所述永久身份标识的类型,所述第二部分信息基于所述接入设备的身份信息确定。
在一种可能的设计中,所述隐藏身份标识中还包括路由指示符,所述路由指示符用于确定解密所述隐藏身份标识的核心网网元。
在一种可能的设计中,所述路由指示符为根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
在一种可能的设计中,所述隐藏身份标识还包括公钥标识符,所述公钥标识符所标识的公钥用于对所述接入设备的身份信息中的部分或者全部信息进行加密;所述公钥标识符是根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
在一种可能的设计中,所述第二请求消息中还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示所述安全接入网关确定所述接入设备为合法的接入设备。
具体的关于隐藏身份信息的相关描述可以参见图9所示的实施例,此处不再赘述。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,应用于第二核心网网元,用于执行上述如图9~图10所示的方法实施例中所述第二核心网网元(UDM/ARPF/SIDF)执行的方法,相关特征可参见上述方法实施例,此处不再赘述。作为一种示例,如图12所示,所述装置包括接收单元1201和处理单元1202和发送单元1303。
接收单元1201,用于接收第三核心网网元发送的服务请求消息,所述服务请求消息包括来自安全接入网关的隐藏身份标识,所述隐藏身份标识指示接入设备的身份信息,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力。
处理单元1202,用于根据所述隐藏身份标识生成所述接入设备的永久身份标识;所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,向所述第三核心网网元发送服务响应消息,所述服务响应消息包括用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息和所述第二部分信息是由所述接入设备的身份信息确定的;所述处理单元1202,在根据所述隐藏身份标识生成所述接入设备的永久身份标识时,具体用于根据所述隐藏身份标识的所述第一部分信息和所述第二部分信息生成所述接入设备的永久身份标识。
在一种可能的设计中,所述永久身份标识包括所述第一部分信息和第二部分信息组合后的信息;或者,
所述永久身份标识包括对所述第一部分信息和所述第二部分信息进行格式转换并组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码并将解密后的第二部分信息与所述第一部分信息组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码后进行格式转换,以及对所述第一部分信息进行格式转换,将格式转换后的第一部分信息和第二部分信息组合后的信息。
在一种可能的设计中,所述隐藏身份标识还包括所述永久身份标识的类型,则所述永久身份标识还包括所述永久身份标识的类型。
在一种可能的设计中,所述第一部分信息用于指示所述接入设备所注册的运营商的信息,所述第二部分信息用于指示所述接入设备的身份。
在一种可能的设计中,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息为所述永久身份标识的类型,所述第二部分信息是由所述接入设备的身份信息确定的;
所述处理单元1202,在根据所述隐藏身份标识指示的所述接入设备的身份信息生成所述接入设备的永久身份标识时,具体用于:
所述第二核心网网元将所述第一部分信息以及从所述第二部分信息解析得到的信息组合得到所述接入设备的永久身份标识。
在一种可能的设计中,所述服务请求消息中还包括第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入网关确定所述接入设备为合法的接入设备;
所述处理单元1202,还用于在所述发送单元1203向所述第三核心网网元发送服务响应消息之前,根据所述第一鉴权成功指示确定所述安全接入网关已确定所述接入设备为合法的接入设备。
在一种可能的设计中,所述服务响应消息中包括所述接入设备的永久身份标识,所述永久身份标识包括所述指示信息,所述指示信息为所述永久身份标识的类型。
在一种可能的设计中,所述指示信息为第二鉴权成功指示,所述第二鉴权成功指示用于指示所述接入设备在核心网为合法的接入设备。
在一种可能的设计中,所述服务响应中还包括鉴权向量,所述鉴权向量为设定值。
在一种可能的设计中,所述设定值的鉴权向量作为所述指示信息用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述处理单元1202在根据所述永久身份标识确定所述接入设备为合法的接入设备时,生成鉴权向量,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为设定值;其中,所述Kausf是根据所述接入设备的身份信息的部分或者全部信息确定的;或者,所述Kausf是根据所述长久身份标识确定的;或者,所述Kausf是根据第一加密秘钥CK、第一完整性秘钥IK确定的,所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的。
在一种可能的设计中,处理单元1202在根据所述永久身份标识确定所述接入设备为合法的接入设备时,具体用于根据长期密钥K生成鉴权向量,所述长期密钥K是根据所述接入设备的长久身份标识确定的,或者所述长期密钥K是根据所述接入设备的身份信息的部分或者全部信息确定的。
在一种可能的设计中,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第二加密秘钥CK’、第二完整性秘钥IK’和随机数RAND;
所述第二加密秘钥CK’和第二完整性秘钥IK’是根据第一加密秘钥CK和第一完整性秘钥IK确定的;
所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的,所述第二期望响应XRES和第二认证令牌AUTN均为设定值。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,应用于第一核心网网元,用于执行上述如图9~图10所示的方法实施例中所述第一核心网网元(AMF/SEAF)执行的方法,相关特征可参见上述方法实施例,此处不再赘述。作为一种示例,如图13所示,所述装置包括接收单元1301和处理单元1302和发送单元1303。
在安全接入设备向核心网触发对接入设备的注册流程时,发送单元1303向第三核心网网元发送服务请求消息,所述服务请求消息携带所述接入设备的隐藏身份标识,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;所述接收单元1301接收所述第三核心网网元发送的服务请求响应,所述服务响应消息携带所述接入设备的隐藏身份标识所对应的永久身份标识,所述服务响应消息包括用于指示所述第一核心网网元跳过对所述接入设备的鉴权流程的指示信息;所述处理单元1302根据所述永久身份标识为所述接入设备分配全球唯一临时标识GUTI。
在一种可能的设计中,所述服务响应消息携带的永久身份标识包括所述指示信息,所述指示信息为永久身份标识的类型,用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息的消息类型指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务请求消息还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入设备确定所述接入设备为合法的接入设备;
所述第一鉴权成功指示与所述永久身份标识的类型共同指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息还携带第二鉴权成功指示,所述第二鉴权指示用于指示所述接入设备在所述核心网为合法的接入设备。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,应用于第三核心网网元,用于执行上述如图9~图10所示的方法实施例中所述第三核心网网元(AUSF)执行的方法,相关特征可参见上述方法实施例,此处不再赘述。作为一种示例,如图14所示,所述装置包括接收单元1401和处理单元1402和发送单元1403。
在安全接入设备向核心网触发对接入设备的注册流程时,发送单元1403向第二核心网网元发送服务请求消息,所述服务请求消息携带所述接入设备的隐藏身份标识,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;所述接收单元1401接收所述第二核心网网元发送的服务请求响应,所述服务响应消息携带所述接入设备的隐藏身份标识所对应的永久身份标识,所述服务响应消息包括用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息。所述处理单元1402根据所述指示信息确定跳过对所述接入设备的鉴权流程,从而直接跳过鉴权流程,节省资源,提高效率。
在一种可能的设计中,所述服务响应消息携带的永久身份标识包括所述指示信息,所述指示信息为永久身份标识的类型,用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息的消息类型指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务请求消息还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入设备确定所述接入设备为合法的接入设备;
所述第一鉴权成功指示与所述永久身份标识的类型共同指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
在一种可能的设计中,所述服务响应消息还携带第二鉴权成功指示,所述第二鉴权指示用于指示所述接入设备在所述核心网为合法的接入设备鉴权成功。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,所述安全接入网元和第一核心网网元、第二核心网网元和第三核心网网元均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,如图15所示的通信装置1500,包括至少一个处理器1501、存储器1502,可选的,还可以包括通信接口1503。
存储器1502可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1502可以是上述存储器的组合。
本申请实施例中不限定上述处理器1501以及存储器1502之间的具体连接介质。本申请实施例在图中以存储器1502和处理器1501之间通过总线1504连接,总线1504在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1504可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1501可以具有数据收发功能,能够与其他设备进行通信,在如图15装置中,也可以设置独立的数据收发模块,例如通信接口1503,用于收发数据;处理器1501在与其他设备进行通信时,可以通过通信接口1503进行数据传输。
一种示例中,当所述安全接入网关采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述安全接入网关可以执行上述任一方法实施例中的所述W-AGF执行的方法。
具体的,图11的发送单元、接收单元和处理单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图11中的处理单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图11的发送单元和接收单元的功能/实现过程可以通过图15中的通信接口1503来实现。
另一种示例中,当所述第二核心网网元采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述第二核心网网元可以执行上述任一方法实施例中的所述UDM或者ARPF或者SIDF执行的方法。
具体的,图12的发送单元、接收单元和处理单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图12中的处理单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图12的发送单元和接收单元的功能/实现过程可以通过图15中的通信接口1503来实现。
又一种示例中,当所述第一核心网网元采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述第一核心网网元可以执行上述任一方法实施例中的所述AMF或者SEAF执行的方法。
具体的,图13的发送单元、接收单元和处理单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图13中的处理单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图13的发送单元和接收单元的功能/实现过程可以通过图15中的通信接口1503来实现。
再一种示例中,当所述第三核心网网元采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述第三核心网网元可以执行上述任一方法实施例中的所述AMF或者SEAF执行的方法。
具体的,图14的发送单元、接收单元和处理单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图14中的处理单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图14的发送单元和接收单元的功能/实现过程可以通过图15中的通信接口1503来实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (27)
1.一种注册方法,其特征在于,包括:
安全接入网关接收接入设备发送的第一请求消息,所述安全接入网关在接收到所述第一请求消后,向核心网发起对所述接入设备的注册流程,所述第一请求消息携带所述接入设备的原始身份信息,所述接入设备不具备非接入层NAS能力,所述安全接入网关具备NAS能力;
所述安全接入网关根据所述接入设备的身份信息为所述接入设备生成隐藏身份标识,所述接入设备的身份信息仅包括所述原始身份信息,或者所述接入设备的身份信息包括所述原始身份信息和设备相关信息,所述设备相关信息包括所述接入设备的运营商信息、接入设备的接入时间信息和接入设备的位置信息中一项或者多项;
所述安全接入网关向核心网的第一核心网网元发送第二请求消息,所述第二请求消息用于请求将所述接入设备注册到核心网,所述第二请求消息携带所述隐藏身份标识。
2.如权利要求1所述的方法,其特征在于,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;
所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定。
3.如权利要求2所述的方法,其特征在于,所述第一部分信息和所述第二部分信息由所述接入设备的身份信息确定,包括:
所述第一部分信息为所述接入设备的身份信息中的第一部分,所述第二部分信息为所述接入设备的身份信息中的第二部分,且第一部分和第二部分在所述接入设备的身份信息中不重叠,或者,
所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息包括所述接入设备的身份信息中的所述第二部分格式转换后的信息,或者,
所述第一部分信息包括所述接入设备的身份信息中的所述第一部分,所述第二部分信息为根据所述接入设备的身份信息中的所述第二部分信息加密得到的,或者,
所述第一部分信息是所述接入设备的身份信息中的所述第一部分格式转换后的信息,所述第二部分信息是对所述接入设备的身份信息中的所述第二部分格式转换后的信息再加密得到的。
4.如权利要求3所述的方法,其特征在于,所述接入设备的身份信息中的第一部分为:所述接入设备的身份信息中所述设备相关信息或者所述设备相关信息的一部分。
5.如权利要求2-4任一项所述的方法,其特征在于,所述隐藏身份标识还包括所述永久身份标识的类型信息,所述永久身份标识的类型信息指示所述永久身份标识为接入设备的身份标识。
6.如权利要求1所述的方法,其特征在于,所述隐藏身份标识至少包括用于确定所述接入设备的永久身份标识的第一部分信息和第二部分信息;
所述第一部分信息为所述永久身份标识的类型,所述第二部分信息基于所述接入设备的身份信息确定。
7.如权利要求2-6所述的方法,其特征在于,所述隐藏身份标识中还包括路由指示符,所述路由指示符用于确定解密所述隐藏身份标识的核心网网元。
8.如权利要求7所述的方法,其特征在于,所述路由指示符为根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
9.如权利要求1-8任一项所述的方法,其特征在于,所述隐藏身份标识还包括公钥标识符,所述公钥标识符所标识的公钥用于对所述接入设备的身份信息中的部分或者全部信息进行加密;
所述公钥标识符是根据所述接入设备所注册的运营商的信息从所述安全接入网关的配置信息中获得的。
10.如权利要求1-9任一项所述的方法,其特征在于,所述第二请求消息中还携带第一鉴权成功指示,所述第一鉴权成功指示用于指示所述安全接入网关确定所述接入设备为合法的接入设备。
11.一种注册方法,其特征在于,包括:
第二核心网网元接收第三核心网网元发送的服务请求消息,所述服务请求消息包括来自安全接入网关的隐藏身份标识,所述隐藏身份标识指示接入设备的身份信息,所述接入设备不具备NAS能力,所述安全接入网关具备NAS能力;
所述第二核心网网元根据所述隐藏身份标识生成所述接入设备的永久身份标识;
所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,向所述第三核心网网元发送服务响应消息,所述服务响应消息包括用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程的指示信息。
12.如权利要求11所述的方法,其特征在于,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息和所述第二部分信息是由所述接入设备的身份信息确定的;
所述第二核心网网元根据所述隐藏身份标识生成所述接入设备的永久身份标识,包括:
所述第二核心网网元根据所述隐藏身份标识的所述第一部分信息和所述第二部分信息生成所述接入设备的永久身份标识。
13.如权利要求12所述的方法,其特征在于,所述永久身份标识包括所述第一部分信息和第二部分信息组合后的信息;或者,
所述永久身份标识包括对所述第一部分信息和所述第二部分信息进行格式转换并组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码并将解密后的第二部分信息与所述第一部分信息组合后的信息;或者,
所述永久身份标识包括对所述第二部分信息进行解码后进行格式转换,以及对所述第一部分信息进行格式转换,将格式转换后的第一部分信息和第二部分信息组合后的信息。
14.如权利要求13所述的方法,其特征在于,所述隐藏身份标识还包括所述永久身份标识的类型,则所述永久身份标识还包括所述永久身份标识的类型。
15.如权利要求12-14任一项所述的方法,其特征在于,所述第一部分信息用于指示所述接入设备所注册的运营商的信息,所述第二部分信息用于指示所述接入设备的身份。
16.如权利要求11所述的方法,其特征在于,所述隐藏身份标识至少包括用于生成所述接入设备的永久身份标识的第一部分信息和第二部分信息,所述第一部分信息为所述永久身份标识的类型,所述第二部分信息是由所述接入设备的身份信息确定的;
所述第二核心网网元根据所述隐藏身份标识生成所述接入设备的永久身份标识,包括:
所述第二核心网网元将所述第一部分信息以及从所述第二部分信息解析得到的信息组合得到所述接入设备的永久身份标识。
17.如权利要求11-16任一项所述的方法,其特征在于,所述服务请求消息中还包括第一鉴权成功指示,所述第一鉴权成功指示用于指示安全接入网关确定所述接入设备为合法的接入设备;
在向所述第三核心网网元发送服务响应消息之前,还包括:
所述第二核心网网元根据所述第一鉴权成功指示确定在安全接入网关上所述接入设备为合法的接入设备。
18.如权利要求11-17任一项所述的方法,其特征在于,所述服务响应消息中包括所述接入设备的永久身份标识,所述永久身份标识包括所述指示信息,所述指示信息为所述永久身份标识的类型。
19.如权利要求11-18任一项所述的方法,其特征在于,所述指示信息为第二鉴权成功指示,所述第二鉴权成功指示用于指示所述接入设备在核心网为合法的接入设备。
20.如权利要求11-19任一项所述的方法,其特征在于,所述服务响应中还包括鉴权向量,所述鉴权向量为设定值。
21.如权利要求20所述的方法,其特征在于,所述设定值的鉴权向量作为所述指示信息用于指示所述第三核心网网元跳过对所述接入设备的鉴权流程。
22.如权利要求11-19任一项所述的方法,其特征在于,还包括:
所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,生成鉴权向量,所述鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND,所述第一期望响应XRES*和第一认证令牌AUTN均为设定值;
其中,所述Kausf是根据所述接入设备的身份信息的部分或者全部信息确定的;或者,
所述Kausf是根据所述长久身份标识确定的;或者,
所述Kausf是根据第一加密秘钥CK、第一完整性秘钥IK确定的,所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的。
23.如权利要求11-19任一项所述的方法,其特征在于,还包括:
所述第二核心网网元在根据所述永久身份标识确定所述接入设备为合法的接入设备时,所述第二核心网网元根据长期密钥K生成鉴权向量,所述长期密钥K是根据所述接入设备的长久身份标识确定的,或者所述长期密钥K是根据所述接入设备的身份信息的部分或者全部信息确定的。
24.如权利要求11-19任一项所述的方法,其特征在于,所述鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第二加密秘钥CK’、第二完整性秘钥IK’和随机数RAND;
所述第二加密秘钥CK’和第二完整性秘钥IK’是根据第一加密秘钥CK和第一完整性秘钥IK确定的;
所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的身份信息的部分或者全部信息确定的,或者所述第一加密秘钥CK和所述第一完整性秘钥IK均是根据所述接入设备的长久身份标识确定的,所述第二期望响应XRES和第二认证令牌AUTN均为设定值。
25.一种通信装置,其特征在于,包括通信接口、处理器和存储器;
所述存储器用于存储计算机执行指令;
所述处理器用于执行所述存储器所存储的计算机执行指令,以使所述通信装置通过所述通信接口收发消息,并实现如权利要求1至24任一项所述的方法中如下设备的功能:所述安全接入设备,或者,所述第二核心网网元。
26.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,当所述计算机指令被通信装置执行时,使得所述通信装置执行如权利要求1至24中任一项所述的方法。
27.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机指令,当所述计算机指令被通信装置执行时,使得所述通信装置执行如权利要求1至24中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910353248.9A CN111866858A (zh) | 2019-04-29 | 2019-04-29 | 一种注册方法及通信装置 |
PCT/CN2020/087914 WO2020221324A1 (zh) | 2019-04-29 | 2020-04-29 | 一种注册方法及通信装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910353248.9A CN111866858A (zh) | 2019-04-29 | 2019-04-29 | 一种注册方法及通信装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111866858A true CN111866858A (zh) | 2020-10-30 |
Family
ID=72966144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910353248.9A Pending CN111866858A (zh) | 2019-04-29 | 2019-04-29 | 一种注册方法及通信装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111866858A (zh) |
WO (1) | WO2020221324A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200413253A1 (en) * | 2019-06-26 | 2020-12-31 | Qualcomm Incorporated | Method and apparatus for enabling 5g services with pre-5g universal integrated circuit card (uicc) |
CN112491829A (zh) * | 2020-11-13 | 2021-03-12 | 中移雄安信息通信科技有限公司 | 基于5g核心网和区块链的mec平台身份认证方法及装置 |
CN114554474A (zh) * | 2020-11-18 | 2022-05-27 | 中国电信股份有限公司 | Nsa用户漫游到sa的接入方法、系统和网络互通功能实体 |
WO2022222745A1 (zh) * | 2021-04-21 | 2022-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
WO2023011401A1 (zh) * | 2021-08-05 | 2023-02-09 | 华为技术有限公司 | 一种通信方法以及相关装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11956628B2 (en) | 2020-11-23 | 2024-04-09 | Cisco Technology, Inc. | Openroaming for private communication systems |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683510A (zh) * | 2018-05-18 | 2018-10-19 | 兴唐通信科技有限公司 | 一种加密传输的用户身份更新方法 |
CN108934022A (zh) * | 2017-05-25 | 2018-12-04 | 华为技术有限公司 | 一种注册方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3468130A1 (en) * | 2017-10-06 | 2019-04-10 | Gemalto Sa | A method for transmitting to a physical or virtual element of a telecommunications network an encrypted subscription identifier stored in a security element, corresponding security element, physical or virtual element and terminal cooperating with this security element |
-
2019
- 2019-04-29 CN CN201910353248.9A patent/CN111866858A/zh active Pending
-
2020
- 2020-04-29 WO PCT/CN2020/087914 patent/WO2020221324A1/zh active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108934022A (zh) * | 2017-05-25 | 2018-12-04 | 华为技术有限公司 | 一种注册方法及装置 |
CN108683510A (zh) * | 2018-05-18 | 2018-10-19 | 兴唐通信科技有限公司 | 一种加密传输的用户身份更新方法 |
Non-Patent Citations (4)
Title |
---|
NOKIA等: "Update to Solution #28 (Line Id Transfer to and usage within 5GC)", 《SA WG2 MEETING #129B S2-1811687》 * |
QUALCOMM INCORPORATED: "Clarifications to SUPI and SUCI", 《3GPP TSG-SA WG3 MEETING #93 S3-183628》 * |
TELSTRA: "5WWC: Update of solution #23", 《SA WG2 MEETING #129BIS S2-1812615》 * |
TELSTRA: "5WWC: Update of solution #23", 《SA WG2 MEETING #129BIS,S2-1812497》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200413253A1 (en) * | 2019-06-26 | 2020-12-31 | Qualcomm Incorporated | Method and apparatus for enabling 5g services with pre-5g universal integrated circuit card (uicc) |
CN112491829A (zh) * | 2020-11-13 | 2021-03-12 | 中移雄安信息通信科技有限公司 | 基于5g核心网和区块链的mec平台身份认证方法及装置 |
CN114554474A (zh) * | 2020-11-18 | 2022-05-27 | 中国电信股份有限公司 | Nsa用户漫游到sa的接入方法、系统和网络互通功能实体 |
WO2022222745A1 (zh) * | 2021-04-21 | 2022-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
WO2023011401A1 (zh) * | 2021-08-05 | 2023-02-09 | 华为技术有限公司 | 一种通信方法以及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2020221324A1 (zh) | 2020-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111669276B (zh) | 一种网络验证方法、装置及系统 | |
RU2722508C1 (ru) | Скрытый идентификатор подписки абонента | |
JP6641029B2 (ja) | キー配信および認証方法およびシステム、ならびに装置 | |
CN111866858A (zh) | 一种注册方法及通信装置 | |
US10454686B2 (en) | Method, apparatus, and system for providing encryption or integrity protection in a wireless network | |
US11751049B2 (en) | Distributed EAP-TLS authentication for wireless networks with concealed user identities | |
CN106936570B (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
CN109874139B (zh) | 锚密钥生成方法、设备以及系统 | |
CN111327583B (zh) | 一种身份认证方法、智能设备及认证服务器 | |
TW201703556A (zh) | 網路安全架構 | |
JP2018532325A (ja) | ユーザ機器ueのアクセス方法、アクセスデバイス、およびアクセスシステム | |
CN111865603A (zh) | 认证方法、认证装置和认证系统 | |
US11909869B2 (en) | Communication method and related product based on key agreement and authentication | |
CN112218287B (zh) | 一种通信方法及装置 | |
US20200275268A1 (en) | Communication method and communications apparatus | |
CN103581901A (zh) | 一种Wi-Fi无线网络接入配置信息的处理方法和设备 | |
US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
US20240113878A1 (en) | Subscription Concealed Identifier (SUCI) Supporting Post-Quantum Cryptography | |
CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
JP2022529837A (ja) | パラメータ送信方法及び装置 | |
US20190149326A1 (en) | Key obtaining method and apparatus | |
CN106550362B (zh) | 智能设备安全接入无线局域网络的方法和系统 | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
CN116108458A (zh) | 密钥生成方法、装置、终端设备及服务器 | |
WO2022237561A1 (zh) | 一种通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20201030 |