CN112105021A - 一种认证方法、装置及系统 - Google Patents
一种认证方法、装置及系统 Download PDFInfo
- Publication number
- CN112105021A CN112105021A CN201910523207.XA CN201910523207A CN112105021A CN 112105021 A CN112105021 A CN 112105021A CN 201910523207 A CN201910523207 A CN 201910523207A CN 112105021 A CN112105021 A CN 112105021A
- Authority
- CN
- China
- Prior art keywords
- authentication
- server
- network element
- authentication algorithm
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种认证方法、装置及系统,用以解决终端设备侧与网络侧双向认证的效率较低的问题。本申请中,终端设备发起注册流程后,若与安全锚功能网元首次双向认证失败后,可以与安全锚功能网元再次进行双向认证,且不需要重新发起注册流程,可以较好的减少信号交互,且在终端设备与安全锚功能网元再次进行双向认证时,统一数据管理网元可以选择终端设备支持的一次认证算法,也可以保证终端设备与安全锚功能网元双向认证的成功率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种认证方法、装置及系统。
背景技术
在移动通信系统中,认证是实现终端设备侧与网络侧、以及终端设备侧与数据网络侧安全交互的重要步骤;终端设备与核心网、数据网络交互之前均需要先进行认证,以保证信息安全。在现有认证中,分为两种认证,分别为一次认证和二次认证,一次认证实现是的终端设备与核心网之间的双向认证,是在终端设备发起注册流程之后进行的。二次认证在协议数据单元(protocol data unit,PDU)会话建立流程中进行的,实现终端设备与数据网络中服务器之间的双向认证。
但是随着认证技术的发展,终端设备、核心网和数据网络支持的认证方式的数量会增多,形成了多种不同的认证方式。但终端设备与核心网支持的认证方式的种类、终端设备与数据网络支持的认证方式的种类会不同,可能存在认证方式不一致的情况。
而终端设备在与核心网或数据网络认证过程中,若采用当前的认证方式认证失败,则会采用其他认证方式重新进行认证,这种情况下,需要重复之前的认证过程中的一些信令交互流程,造成了额外的信令开销,效率较低。
发明内容
本申请提供一种认证方法、装置及系统,用以解决终端设备侧与网络侧双向认证的效率较低的问题。
第一方面,本申请实施例提供了一种认证方法,该方法可由终端设备或终端设备的芯片执行,所述方法包括:
终端设备发起注册流程,向安全锚功能网元发送注册请求后,基于第一认证算法,与统一数据管理网元进行双向认证;若终端设备基于第一认证算法与统一数据管理网元双向认证失败,终端设备与安全锚功能网元可以再次进行双向认证,示例性的,终端设备基于第二认证算法,与统一数据管理网元进行双向认证;在与统一数据管理网元双向认证后,可以接收来自安全锚功能网元的注册响应。
通过上述方法,终端设备发起注册流程后,若与安全锚功能网元首次双向认证失败后,可以与安全锚功能网元再次进行双向认证,且不需要重新发起注册流程,可以有效减少额外的信令交互,进而能够提高终端设备与安全锚功能网元双向认证的效率,由于进行了两次双向认证,也可以提高终端设备与安全锚功能网元双向认证的成功率。
在一种可能的设计中,终端在发起注册请求时,注册请求中可以携带终端设备的一次认证能力信息。其中,终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证以及终端设备支持的一次认证算与终端设备支持的认证凭证的映射关系,终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
通过上述方法,注册请求中携带有终端设备的一次认证能力信息,可以使得安全锚功能网元预先获知终端设备的一次认证能力信息,在选择一次认证算法时,可以基于终端设备的一次认证能力信息选择终端设备支持的一次认证算法(如第一认证算法或第二认证算法),可以较好的保证终端设备与安全锚功能网元双向认证的成功率。
在一种可能的设计中,若注册响应指示终端设备注册成功,终端设备之后可以与服务器进行双向认证(终端设备与服务器的双向认证称为二次认证)。
终端设备在向会话管理网元发送PDU会话建立请求后,可以先基于第三认证算法,与服务器进行双向认证;若终端设备基于第三认证算法与服务器双向认证失败,终端设备可以基于二次认证失败原因,确定服务器是否与终端设备需触发新的双向认证流程;在确定服务器是否与终端设备需触发新的双向认证流程的情况下,终端设备可以基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法;为了通过服务器终端设备所选择的第四认证算法,终端设备可以通过会话管理网元向服务器发送第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证。之后,基于第四认证算法,与服务器进行双向认证;在双向认证之后,接收来自会话管理网元发送PDU会话建立响应。
通过上述方法,终端设备发起PDU会话建立流程后,若与服务器首次双向认证失败后,可以与服务器网元再次进行双向认证,且不需要重新发起PDU会话建立流程,可以有效减少额外的信令交互,进而能够提高终端设备与服务器双向认证的效率,由于与服务器再次双向认证采用的算法可以是终端设备选择的终端设备与服务器均支持的二次认证算法,可以提高终端设备与服务器双向认证的成功率。
在一种可能的设计中,终端设备在发送第一认证请求之后,可以先通过会话管理网元接收来自服务器的身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;终端设备在向服务器反馈终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与服务器进行双向认证。
通过上述方法,终端设备在与服务器双向认证之前,可以先将终端设备与二次认证算法对应的身份信息发送给服务器,以便服务器确定终端设备的身份。
在一种可能的设计中,终端设备基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,可以先获取服务器的二次认证能力信息;终端设备获取服务器的二次认证能力信息的方式有许多种,示例性的,终端设备可以从会话管理网元获取服务器的二次认证能力信息,其中,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
通过上述方法,终端设备可以先获取服务器的二次认证能力信息便于后续选择与服务器再次进行双向认证所采用的二次认证算法,且可以选择终端设备与服务器均支持的二次认证算法,如第四认证算法,确保终端设备可以与服务器成功双向认证。
在一种可能的设计中,若注册响应指示终端设备注册成功,终端设备之后可以与服务器进行双向认证(终端设备与服务器的双向认证称为二次认证)。
终端设备在向会话管理网元发送PDU会话建立请求后,可以基于第三认证算法,与服务器进行双向认证;若终端设备与服务器双向认证失败,服务器可以触发与终端设备新的双向认证流程。示例性的,终端设备通过会话管理网元接收来自服务器的身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;终端设备在向服务器反馈终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与服务器进行双向认证;在基于第四认证算法,与服务器双向认证之后,接收来自会话管理网元发送PDU会话建立响应。
通过上述方法,终端设备发起PDU会话建立流程后,若与服务器首次双向认证失败后,可以与服务器再次进行双向认证,且不需要重新发起PDU会话建立流程,可以有效避免额外的信令交互,进而能够提高终端设备与安全锚功能网元双向认证的效率,由于与服务器再次双向认证采用的算法可以是服务器选择的终端设备与服务器均支持的二次认证算法,可以提高终端设备与服务器双向认证的成功率。
在一种可能的设计中,服务器可以提前获取终端设备的二次认证能力信息,示例性的,终端设备可以在PDU会话建立请求中携带终端设备的二次认证能力信息,其中,终端设备的二次认证能力信息包括终端设备支持的二次认证算法以及二次认证算法的认证凭证,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。会话管理网元可以将终端设备的二次认证能力信息发送给服务器。
通过上述方法,服务器可以先获取终端设备的二次认证能力信息便于后续选择与终端设备再次进行双向认证所采用的二次认证算法,且可以选择终端设备与服务器均支持的二次认证算法,如第四认证算法,确保终端设备可以与服务器成功双向认证。
在一种可能的设计中,终端设备也可以在注册请求中携带终端设备的二次认证能力信息。其中,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。安全锚功能网元在接收到注册请求后,可以将终端设备二次认证能力信息保存在统一数据管理网元中,之后会话管理网元可以从统一数据管理网元获取终端设备的二次认证能力信息,将终端设备的二次认证能力信息发送给服务器。
通过上述方法,服务器可以先获取终端设备的二次认证能力信息便于后续选择与终端设备再次进行双向认证所采用的二次认证算法,且可以选择终端设备与服务器均支持的二次认证算法,如第四认证算法,确保终端设备可以与服务器成功双向认证。
第二方面,本申请实施例提供了一种认证方法,该方法可由统一数据管理网元或统一数据管理网元的芯片执行,所述方法包括:统一数据管理网元在终端设备发起注册请求后,可以基于第一认证算法,与终端设备进行双向认证;若统一数据管理网元基于第一认证算法与终端设备双向认证失败,统一数据管理网元可以基于一次认证失败原因,确定与终端设备需触发新的双向认证流程,可以从终端设备支持的一次认证算法中选择认证凭证与第一认证算法不同的第二认证算法;之后,统一数据管理网元基于第二认证算法,与终端设备进行双向认证;在双向认证之后,统一数据管理网元通过安全锚功能网元向终端设备发送注册响应。
通过上述方法,终端设备发起注册流程后,若与安全锚功能网元首次双向认证失败后,可以与安全锚功能网元再次进行双向认证,且不需要重新发起注册流程,能够避免额外的信令交互,进而能够提高终端设备与安全锚功能网元双向认证的效率,由于统一数据管理网元可以选择终端设备支持的一次认证算法,也可以保证终端设备与安全锚功能网元双向认证的成功率。
在一种可能的设计中,统一数据管理网元从终端设备支持的一次认证算法中选择认证凭证与第一认证算法不同的第二认证算法之前,可以提前获取终端设备的一次认证能力信息。统一数据管理网元获取终端设备的一次认证能力信息的方式有许多种,下面列举其中两种:方式一,统一数据管理网元可以从安全锚功能网元获取终端设备的一次认证能力信息,其中,终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证以及一次认证算法与认证凭证的映射关系,终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
方式二,统一数据管理网元获取本地保存的终端设备支持的一次认证算法。
通过上述方法,安全锚功能网元预先获知终端设备的一次认证能力信息,在选择一次认证算法时,可以基于终端设备的一次认证能力信息选择终端设备支持的一次认证算法(如第一认证算法或第二认证算法),可以较好的保证终端设备与安全锚功能网元双向认证的成功率。
在一种可能的设计中,统一数据管理网元基于第二认证算法,与终端设备进行双向认证之前,统一数据管理网元还可以向认证服务功能网元发送指示消息,指示消息用于指示统一数据管理网元基于第二认证算法与终端设备进行双向认证。
通过上述方法,通过发送指示消息,可以使得认证服务功能网元在统一数据管理网元与终端设备进行双向认证时,可以执行相应的操作,进而,可以提高统一数据管理网元与终端设备的认证效率。
第三方面,本申请实施例提供了一种认证方法,该方法可由服务器或服务器的芯片执行,所述方法包括:
服务器在终端设备发起PDU会话注册流程后,可以基于第三认证算法,与终端设备双向认证,在与终端设备双向认证失败后,可以基于二次认证失败原因,确定需要与终端设备触发新的双向认证流程;之后,服务器从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法;服务器通过会话管理网元可以向终端设备发送身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;当服务器在接收到终端设备反馈的终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与终端设备进行双向认证。
通过上述方法,终端设备发起PDU会话建立流程后,服务器在与终端设备首次双向认证失败后,可以与终端设备再次进行双向认证,且不需要重新发起PDU会话建立流程,可以有效避免额外的信令交互,进而能够提高终端设备与安全锚功能网元双向认证的效率,由于服务器与终端设备再次双向认证采用的算法可以是服务器选择的终端设备与服务器均支持的二次认证算法,可以使得服务器与终端设备成功进行双向认证。
在一种可能的设计中,服务器从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,服务器可以预先获取终端设备的二次认证能力信息,示例性,服务器可以从会话管理网元获取终端设备的二次认证能力信息,其中,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
通过上述方法,服务器可以提前获取终端设备的二次认证能力信息便于后续选择与终端设备再次进行双向认证所采用的二次认证算法,且可以选择终端设备与服务器均支持的二次认证算法,如第四认证算法,确保终端设备可以与服务器成功进行双向认证。
第四方面,本申请实施例提供了一种认证方法,该方法可由服务器或服务器的芯片执行,该方法包括:服务器在终端设备发送PDU会话建立请求后,可以基于第三认证算法,与终端设备双向认证;若服务器基于第三认证算法,与终端设备双向认证失败,服务器可以接收来自终端设备的第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证;服务器可以基于第四认证算法,与终端设备进行双向认证。
通过上述方法,终端设备发起PDU会话建立流程后,若与服务器首次双向认证失败后,可以与服务器网元再次进行双向认证,且不需要重新发起PDU会话建立流程,可以有效减少额外的信令交互,进而能够提高终端设备与服务器双向认证的效率,由于与服务器再次双向认证采用的算法可以是终端设备选择的终端设备与服务器均支持的二次认证算法,可以提高终端设备与服务器双向认证的成功率。
在一种可能的设计中,服务器在接收到第一认证请求之后,服务器可以通过会话管理网元向终端设备发送身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;服务器在接收到终端设备反馈的终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与终端设备进行双向认证。
通过上述方法,终端设备在与服务器双向认证之前,可以先将终端设备与二次认证算法对应的身份信息发送给服务器,以便服务器确定终端设备的身份。
在一种可能的设计中,服务器接收来自终端设备的第一认证请求之前,可以提前告知终端设备的服务器的二次认证能力信息。示例性的,服务器可以通过会话管理网元向终端设备发送服务器的二次认证能力信息,其中,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
通过上述方法,终端设备可以先获取服务器的二次认证能力信息便于后续选择与服务器再次进行双向认证所采用的二次认证算法,且可以选择终端设备与服务器均支持的二次认证算法,如第四认证算法,确保终端设备可以与服务器成功双向认证。
第五方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第一方面的描述此处不再赘述。该装置具有实现上述第一方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、认证单元和发送单元,这些单元可以执行上述第一方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第六方面,本申请实施例还提供了一种通信装置,所述通信装置应用于统一数据管理网元,有益效果可以参见第二方面的描述此处不再赘述。该装置具有实现上述第二方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、认证单元和发送单元,这些单元可以执行上述第二方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第七方面,本申请实施例还提供了一种通信装置,所述通信装置应用于服务器,有益效果可以参见第三方面的描述此处不再赘述。该装置具有实现上述第三方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、认证单元和发送单元,这些单元可以执行上述第三面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第八方面,本申请实施例还提供了一种通信装置,所述通信装置应用于服务器,有益效果可以参见第四方面的描述此处不再赘述。该装置具有实现上述第四方面的方法实例中行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中,所述装置的结构中包括接收单元、接收单元和认证单元,这些单元可以执行上述第四方面方法示例中的相应功能,具体参见方法示例中的详细描述,此处不做赘述。
第九方面,本申请实施例还提供了一种通信装置,所述通信装置应用于终端设备,有益效果可以参见第一方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第一方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括收发器,用于与其他设备进行通信。
第十方面,本申请实施例还提供了一种通信装置,所述通信装置应用于统一数据管理网元,有益效果可以参见第二方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第二方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十一方面,本申请实施例还提供了一种通信装置,所述通信装置应用于服务器,有益效果可以参见第三方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第三方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十二方面,本申请实施例还提供了一种通信装置,所述通信装置应用于服务器,有益效果可以参见第四方面的描述此处不再赘述。所述通信装置的结构中包括处理器和存储器,所述处理器被配置为支持所述基站执行上述第四方面方法中相应的功能。所述存储器与所述处理器耦合,其保存所述通信装置必要的程序指令和数据。所述通信装置的结构中还包括通信接口,用于与其他设备进行通信。
第十三方面,本申请实施例还提供了一种通信系统,有益效果可以参见第一方面、第二方面、第三方面以及第四方面的描述此处不再赘述。所述系统包括终端设备和统一数据管理网元。
终端设备,用于向安全锚功能网元发送注册请求后,基于第一认证算法,与统一数据管理网元进行双向认证。
统一数据管理网元,用于在基于第一认证算法,与终端设备进行双向认证失败后,基于一次认证失败原因,从终端设备支持的一次认证算法中选择认证凭证与第一认证算法不同的第二认证算法;基于第二认证算法,与终端设备进行双向认证,通过安全锚功能网元向终端设备发送注册响应。
终端设备还可以在基于第二认证算法,与服务器进行双向认证后,通过安全锚功能网元接收来自统一数据管理网元的注册响应。
在一种可能的设计中,注册请求中包括终端设备的一次认证能力信息,终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证以及终端设备支持的一次认证算与终端设备支持的认证凭证的映射关系,终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
在一种可能的设计中,注册响应指示终端设备注册成功,通信系统还包括服务器,终端设备在与统一数据管理网元双向认证成功后,可以与服务器进行双向认证。示例性的,终端设备在接收来自安全锚功能网元的注册响应之后,可以在向会话管理网元发送PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;若终端设备基于第三认证算法与服务器双向认证失败,终端设备可以基于二次认证失败原因,确定服务器与终端设备需触发新的双向认证流程;之后基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法;并通过会话管理网元向服务器发送第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证;基于第四认证算法,与服务器进行双向认证。服务器在基于第三认证算法,与终端设备双向认证失败后,可以接收第一认证请求,并基于第四认证算法,与终端设备进行双向认证;终端设备在基于第四认证算法,与服务器进行双向认证后,接收来自会话管理网元发送PDU会话建立响应。
在一种可能的设计中,终端设备在发送第一认证请求后,还用于接收身份请求,该身份请求用于请求所述终端设备的与第四认证算法对应的身份信息;之后,终端设备可以向服务器反馈终端设备的与第四认证算法对应的身份信息,服务器在接收到终端设备反馈的终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与终端设备进行双向认证。
在一种可能的设计中,终端设备基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,可以从会话管理网元获取服务器的二次认证能力信息,其中,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
在一种可能的设计中,服务器在接收来自终端设备的第一认证请求之前,还可以通过会话管理网元向终端设备发送服务器的二次认证能力信息,其中,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
在一种可能的设计中,若注册响应指示终端设备注册成功,通信系统还包括服务器,终端设备在与统一数据管理网元双向认证成功后,可以与服务器进行双向认证。示例性的,终端设备可以在向会话管理网元发送PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;服务器在基于第三认证算法,与终端设备双向认证失败后,可以基于二次认证失败原因,确定需要与终端设备触发新的双向认证流程;并从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法;之后,通过会话管理网元向终端设备发送身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;终端设备在接收身份请求后,可以向服务器反馈终端设备的与第四认证算法对应的身份信息;服务器在接收终端设备反馈的终端设备的与第四认证算法对应的身份信息后,可以基于第四认证算法,与终端设备进行双向认证。终端设备在基于第四认证算法,与服务器进行双向认证后,可以接收来自会话管理网元发送PDU会话建立响应。
在一种可能的设计中,PDU会话建立请求中包括终端设备的二次认证能力信息,终端设备的二次认证能力信息包括终端设备支持的二次认证算法以及二次认证算法的认证凭证,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
在一种可能的设计中,服务器在从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,还可以从会话管理网元获取终端设备的二次认证能力信息,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
第十四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十五方面,本申请还提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
第十六方面,本申请还提供一种计算机芯片,所述芯片与存储器相连,所述芯片用于读取并执行所述存储器中存储的软件程序,执行上述各方面所述的方法。
附图说明
图1为本申请提供的一种网络系统架构示意图;
图2为一种UE与UDM网元双向认证的方法示意图;
图3为一种UE与DN-AAA双向认证的方法示意图;
图4为本申请提供的一种认证方法的示意图;
图5为本申请提供的一种认证方法的示意图;
图6为本申请提供的一种认证方法的示意图;
图7为本申请提供的一种认证方法的示意图;
图8为本申请提供的一种认证方法的示意图;
图9为本申请提供的一种认证方法的示意图;
图10~图15为本申请提供的一种通信装置的结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
参阅图1所示,为本申请适用的一种可能的网络架构示意图。该网络架构为5G网络架构。该5G架构中的网元包括用户设备,图1中以终端设备为UE为例。网络架构还包括无线接入网(radio access network,RAN)、接入和移动性控制功能(access and mobilityfunction,AMF)、会话管理功能(session management function,SMF)、数据网络认证、授权和计费功能(data network-authentication,authorization and accounting,DN-AAA)服务器、统一数据管理(unified data management,UDM)、认证服务功能(authenticationserver function,AUSF)、安全锚功能(security anchor function,SEAF)等。
RAN的主要功能是控制用户通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。
AMF网元负责终端的接入管理和移动性管理,如注册管理,连接管理,移动管理,可达性管理等;在实际应用中,其包括了LTE中网络框架中移动性管理实体(mobilitymanagement entity,MME)里的移动性管理功能,并加入了接入管理功能。
SMF网元负责会话管理、用户面选择和控制等功能;可以发起PDU会话释放/修改流程,并负责PDU会话初次建立过程中的权限控制。
DN-AAA服务器用于对终端配置认证、授权和计费功能。认证是指对用户的身份与可使用的网络服务进行确认;授权是指依据认证结果开放网络服务给用户;计费是指记录用户对各种网络服务的用量并提供给计费系统。在本申请实施例中,DN-AAA服务器可以在与UE双向认证失败之后,确定是否再次进行双向认证。
SEAF网元用于完成对UE的认证,在5G中,SEAF的功能可以合并到AMF中。
AUSF网元具有鉴权服务功能,用于终结SEAF网元请求的认证功能,在认证过程中,接收UDM发送的认证向量并对认证向量进行处理,将处理后的认证向量发送给SEAF。在本申请实施例中AUSF网元可以在UDM网元以及UE双向认证失败后,确定是否再次进行双向认证,并告知UDM网元,以便UDM网元可以发起认证流程;可选的,AUSF网元也可以通知UDM网元在与UE双向认证失败时所采用的认证算法。
UDM网元可存储用户的签约信息,生成认证参数等。在本申请实施例中,UDM网元可以在与UE双向认证失败之后,确定是否再次与UE进行双向认证。
ARPF网元具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G中,ARPF网元的功能可以合并到UDM网元中。
本申请中的终端设备,也可以称为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备可以是手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。在本申请实施例中,UE在与DN-AAA服务器双向认证失败后,可以确定是否再次与DN-AAA服务器进行双向认证。
在本申请实施例中,SEAF网元和AUSF网元可以位于相同的网络中,也可以位于不同的网络中,例如,SEAF网元位于服务网络(serving network)中,在漫游场景下,SEAF网元位于拜访公共陆地移动网(visited public land mobile network,VPLMN)中,AUSF网元位于归属网络(home network)中。
终端设备在移动通信系统中的认证,可以分为两种:分别为一次认证和二次认证,一次认证是指终端设备在发起注册流程之后,与核心网(如UDM网元)进行的双向认证。二次认证是指在中终端设备建立协议数据单元(protocol data unit,PDU)会话建立或在接入切片的过程中,与数据网络中的服务器进行的双向认证。下面分别对这两种认证方式进行介绍:
一、一次认证:
如图2所示为基于如图1所示的系统框架中,第五代移动通信技术认证和密钥协商(5th-Generation authentication and key agreement,5G-AKA)认证的方法示意图。
步骤201:UE将加密后的用户标识携带在注册请求中发送给服务网络中的SEAF网元。
示例性的,UE可以对签约固定标识(subscription permanent identifier,SUPI)进行加密生成签约隐藏标识(subscription concealed identifier,SUCI),UE将SUCI携带在注册请求中发送给SEAF网元。
步骤202:SEAF网元将加密后的用户标识携带在认证鉴定请求中,发送家乡网络中的AUSF网元。
步骤203:AUSF网元将加密后的用户标识携带在UE认证获取请求中,发送给家乡网络中的UDM网元。
步骤204:UDM网元对加密后的用户标识进行解密获取用户标识,UDM网元根据用户标识查询该用户标识对应的UE的签约信息。
步骤205:UDM网元选择一次认证算法,根据UE的签约信息生成认证向量,其中认证向量包括多个参数,其中包括认证令牌(authentication token,AUTN),RAND,期望的挑战回复(eXpected RESponse,XRES*)、KAUSF,其中认证令牌中携带有消息认证码(messageauthentication code,MAC)以及顺序值(sequence number,SQN)。
示例性的,UDM网元可以根据本地配置的策略,如各个认证算法的优先级,选择认证算法。
步骤206:UDM网元向AUSF网元发送认证获取响应,认证获取响应中包括认证向量和用户标识。
步骤207:AUSF网元向SEAF网元发送认证鉴定响应,认证鉴定响应中携带认证向量。
可选的,AUSF网元在接收到来自UDM网元的认证获取响应,可以对认证向量进行处理,例如对XRES*进行哈希运算,生成HXRES*,根据KAUSF进行推演生成KSEAF,处理后的认证向量包括RAND、AUTN、HXRES*以及KSEAF;认证鉴定响应中携带处理后的认证向量。
步骤208:SEAF网元向UE发送认证请求,其中,认证请求中携带认证向量中的部分参数,该部分参数包括RAND、AUTN中。
步骤209:UE根据AUTN对UDM网元进行验证。
UE在接收到AUTN之后,会获得AUTN中携带的SQN和MAC,分别对SQN和MAC进行验证。
若MAC验证不通过(MAC验证对应完整性校验),UE可以向SEAF网元发送认证失败消息,认证失败消息中携带失败原因值用于指示一次认证失败原因为MAC验证失败;SEAF网元将该认证失败消息转发给AUSF网元,之后,AUSF网元再将认证失败消息转发给UDM网元;UDM网元在接收到认证失败消息后,可以采用相同的认证算法再次进行认证。
若SQN验证不通过(SQN验证对应参数同步校验),UE可以向SEAF网元发送认证失败消息,认证失败消息中携带失败原因值用于指示一次认证失败原因为SQN验证失败,认证失败消息中携带有UE侧保存的SQN;SEAF网元将该认证失败消息转发给AUSF网元,之后,AUSF网元再将认证失败消息转发给UDM网元;UDM网元从该认证失败消息中获取UE侧保存的SQN,进行同步(也就是更新本地保存的SQN为UE侧保存的SQN),之后利用同步后的SQN采用相同的认证算法再次发起认证。
若网络原因导致UE无法对UDM网元进行验证,UE可以向SEAF网元发送认证失败消息,认证失败消息中携带失败原因值用于指示一次认证失败原因为网络原因(networkfailure),认证失败消息中携带有UE侧保存的SQN;SEAF网元将该认证失败消息转发给AUSF网元,之后,AUSF网元再将认证失败消息转发给UDM网元;UDM网元在接收到熬该认证失败消息后,可以结束认证流程。
也就是说,在一次认证失败的原因不同,认证失败消息中携带的失败原因值也不同,示例性的,5G AKA认证方式中,失败原因值可以是MAC验证失败(mac failure)和SQN验证失败(SQN failure),可扩展认证协议传输层安全性协议(extensible authenticationprotocol transport layer security,EAP-TLS)可以是网络原因(network failure)和认证失败(authentication failure);其中,network failure可以是网络拥塞,网络制式与认证向量不匹配等原因。
若验证成功,则执行步骤211。
步骤210:在验证通过后,UE采用与UDM网元生成XRES*相同的方式生成RES*,向SEAF网元发送携带有RES*的认证响应。
步骤211:SEAF网元将UE返回的RES*转发给AUSF网元,由AUSF网元进行下一步的认证。
步骤212:AUSF网元接收到RES*后,将RES*与认证向量中的XRES*进行比对,结果若一致,则完成对UE的认证。
如果AUSF网元对UE认证不通过,AUSF网元可以向UDM网元发送认证失败消息,UDM网元可以选择结束认证流程,其中,认证失败消息中可以携带失败原因值。失败原因值若指示认证失败(authentication failure)或网络原因(network failure)。
步骤213:AUSF网元在认证成功之后,会将用户标识和KSEAF发送给SEAF网元。
由上述内容可以才看出,无论是UE侧对UDM网元认证失败,还是UDM网元对UE认证失败,当认证失败后,若需要重新进行认证,还需要步骤201~步骤203,造成额外的信令开销。
若一次认证成功之后,终端设备需要与数据网络中的服务器进行二次认证,下面对二次认证进行说明:
如图3所示为基于如图1所示的系统框架中,UE建立PDU会话的过程中,UE与DN-AAA二次认证的方法示意图。
步骤301:UE向服务网络中的SMF网元发送PDU会话建立请求,PDU会话建立请求中包括PDU会话ID以及数据网络名称(data network name,DNN),DNN用于指示UE需连接的网络。
步骤302:服务网络中的SMF网元向归属网络中的SMF网元发送PDU会话建立请求,其中携带UE的用户标识。
步骤303:归属网络中的SMF网元在接收到PDU会话建立请求后,选择UPF网元,并与UPF网元建立N4会话,通过UPF网元向DN-AAA发送PDU会话建立请求。
示例性的,SMF网元和UPF网元之间建立N4会话后,向UPF网元发送PDU会话建立请求;UPF根据PDU会话建立请求中的DNN,向DN-AAA发送会话建立请求,该会话建立请求区别于UE发送的PDU会话建立请求,其中可以不携带DNN。
步骤304:DN-AAA根据自己支持的二次认证算法优先级列表,选择优先级最高的认证算法,发起EAP认证流程。
步骤305:DN-AAA通过归属网络中的SMF网元向UE身份请求,用于请求认证算法对应的UE的身份信息。
示例性的,DN-AAA向归属网络中的SMF网元发送身份请求,归属网络中的SMF网元向UE发送给身份请求。
需要说明的是,认证算法与UE身份信息是一一对应,不同的认证算法对应的UE的身份信息可以是不同的,认证算法对应的UE的身份信息指符合认证算法要求的UE用户名信息,示例性的,可以是UE的SUPI,这里的认证算法为二次认证算法。
步骤306:UE通过归属网络中的SMF网元向DN-AAA发送认证算法对应的UE的身份信息。
示例性的,UE向归属网络中的SMF网元发送身份响应,身份响应中包括认证算法对应的UE的身份信息。归属网络中的SMF网元通过N4会话将认证算法对应的UE的身份信息发送给UPF网元,UPF网元将认证算法对应的UE的身份信息发送给DN-AAA。
步骤307:DN-AAA在接收到认证算法对应的UE的身份信息后,基于该认证算法,与UE进行双向认证。
步骤308:DN-AAA在对UE认证成功后,DN-AAA向归属网络中的SMF网元发送认证成功消息。若DN-AAA与UE认证失败后,DN-AAA向归属网络中的SMF网元发送认证失败消息。
示例性的,DN-AAA向UPF网元发送认证成功消息,UPF网元接收到认证成功消息后,向SMF网元发送认证成功消息。
以EAP-TLS认证方法为例,对DN-AAA与UE的双向认证的过程为例进行说明,DN-AAA在获得UE的身份信息后,DN-AAA可以向UE发送DN-AAA的参数,如TLS证书,并向UE请求获取UE的证书。UE在接收到DN-AAA的TLS证书后,对TLS证书进行校验,示例性的,UE可以校验TLS证书是否被修改、也可以校验证书是否由合法机构颁发。
如果校验失败,UE向DN-AAA发送TLS-Alert消息,该TLS-Alert消息指示DN-AAA未通过UE的验证。如果校验成功,UE向DN-AAA发送UE的证书,DN-AAA对UE的证书进行校验,示例性的,DN-AAA可以校验UE的证书是否被修改,还可以校验UE的证书是否由合法机构颁发,也可以验证UE的证书对应的身份信息指示的是否为该UE。若校验成功,DN-AAA向归属网络中的SMF网元发送认证成功消息;若校验失败,服务器会向UE发送TLS-Alert消息,该TLS-Alert消息指示UE未通过DN-AAA的验证。
DN-AAA与UE双向认证的交互的信息均会通过归属网络中的SMF网元,归属网络中的SMF网元用于实现信息转发,不做处理。
步骤309:归属网络中的SMF网元接收到认证成功消息后,会为UE建立PDU会话。在建立完成PDU会话后,通过服务网络中的SMF网元向UE发送PDU会话建立成功响应,PDU会话建立成功响应还可以指示DN-AAA与UE认证成功。
若归属网络中的SMF网元接收到认证失败消息,归属网络中的SMF网元通过服务网络中的SMF网元向UE发送PDU会话建立失败响应。
从上述过程中,可知UE和DN-AAA并不能获知彼此可支持的认证算法,DN-AAA也仅是基于DN-AAA支持的二次认证算法发起认证流程;若DN-AAA选择的二次认证算法UE并不支持则会导致二次认证失败。当二次认证失败后,归属网络中的SMF网元终止PDU会话建立流程后,若UE仍需建立PDU会话,则还需要再次发起二次认证过程,需要重复步骤301-303,同样会导致PDU会话建立流程时长增加,造成额外的信令开销。
在上述图2和图3的说明中,是以漫游场景下的一次认证和二次认证方式为例,UE与归属网络的双向认证的具体认证方式,本申请实施例并不限定,可以是第五代移动通信技术认证和密钥协商(5th-Generation authentication and key agreement,5G-AKA),也可以采用可扩展认证协议(extensible authentication protocol,EAP)认证方式。另外需要说明的是,在非漫游场景下,UE处于归属网络内,同样需要分别与UDM网元和DN-AAA进行双向认证,认证方式与漫游场景下的认证方式相似,与图2所示的实施例区别在于SEAF网元、AUSF网元以及UDM网元均为归属网络中的网元,与图3所示的实施例相比,区别在于只存在归属网络中的SMF网元,图3所示的实施例服务网络中SMF网元执行的操作由归属网络中的SMF网元执行,且不存在归属网络中的SMF网元与服务网络中的SMF网元之间的交互。本申请实施例提供的认证方式可适用于漫游场景下,也适用于非漫游场景下。
为了避免一次认证和二次认证的过程中,认证失败之后,还需重新发起认证,造成多余的信令交互,本申请实施例提出了一种认证方法:
对于一次认证,终端设备可以预先将终端设备的一次认证能力信息通知给统一数据管理网元(如将终端设备的一次认证能力信息中的部分或全部信息携带在注册请求中,或者预先配置将终端设备的一次认证能力信息中的部分或全部信息配置在统一数据管理网元中),统一数据管理网元可以基于终端设备的一次认证能力信息选择终端设备支持的一次认证算法。
由于统一数据管理网元在一次认证之前,可以预先获知终端设备支持的一次认证算法,在一次认证时,可以选择终端设备和统一数据管理网元均支持的一次认证算法,可以提高一次认证的成功率,减少由于一次认证算法不支持的而导致的认证失败;为方便说明,终端设备与统一数据管理网元进行的第一次认证过程称为一次认证中的首次认证,之后,终端设备与统一数据管理网元进行的认证称为一次认证中的重认证。当一次认证中的首次认证失败,统一数据管理网元可以进行重认证,在重认证时选择与首次认证不同的一次认证算法(如选择认证凭证不同的认证算法),进一步,保证一次认证的成功率。
对于二次认证,为终端设备与服务器之间的双向认证,本申请实施例中,可以分为两种方式提高二次认证的成功率,减少多余的信令交互。
方式一、终端设备可以预先将终端设备的二次认证能力信息通知给服务器,服务器可以基于终端设备的二次认证能力信息选择终端设备和服务器均支持的二次认证算法,进行双向认证。
由于服务器在二次认证之前,可以预先获知终端设备支持的二次认证算法,在二次认证时,可以选择终端设备和服务器均支持的二次认证算法,可以提高二次认证的成功率,减少由于二次认证算法不支持而导致的认证失败;为方便说明,终端设备与服务器进行的第一次认证过程称为二次认证中的首次认证,之后,终端设备与服务器进行的认证称为二次认证中的重认证。若二次认证中的首次认证失败,服务器可以确定与终端设备再次进行认证,也就是进行重认证,在重认证时选择与首次认证不同的认证算法,进一步,保证二次认证的成功率。
方式二、服务器可以预先将服务器的二次认证能力信息通知给终端设备,终端设备在二次认证中的首次认证失败之后,基于服务器的二次认证能力信息选择服务器和终端设备均支持的二次认证算法,并将选择的二次认证算法通知给服务器,与服务器进行重认证。
由于终端设备可以预先获知服务器支持的二次认证算法,在二次认证中的首次认证失败的情况下,终端设备可以选择进行二次认证中的重认证,在重认证时选择与首次认证不同的认证算法,可以保证二次认证的成功率,且不需要进行多余的信令交互,可以保证二次认证的效率。
下面结合附图,对本申请实施例提供的认证方法进行说明,为了方便说明,下面分别对本申请实施例中涉及的一次认证、以及二次认证中的两种认证方式进行说明。
一、一次认证。
如图4所示,为本申请实施例提供的一种认证方法,该方法包括:
步骤401:终端设备发起注册流程,向安全锚功能网元发送注册请求。
终端设备发起注册流程,向安全锚功能网元发送注册请求,安全锚功能网元在接收到注册请求后,可以通过认证服务功能网元向统一数据管理网元发送第一认证获取请求,第一认证获取请求用于请求所述统一数据管理网元触发与终端设备的双向认证流程。
步骤402:统一数据管理网元基于第一认证算法,与终端设备进行双向认证;此为一次认证中的首认证。
步骤403:在与终端设备双向认证失败后,统一数据管理网元从终端设备支持的一次认证算法中选择认证凭证与所述第一认证算法不同的第二认证算法。
步骤404:统一数据管理网元基于第二认证算法,与终端设备进行双向认证;此为一次认证中的重认证。
步骤405:统一数据管理网元通过安全锚功能网元向终端设备发送注册响应。
若统一数据管理网元基于第二认证算法,与终端设备双向认证成功,则该注册响应可以指示终端设备注册成功;若统一数据管理网元基于第二认证算法,与终端设备双向认证失败,则该注册响应可以指示终端设备注册失败。
步骤402中,统一数据管理网元与终端设备双向认证所选择的第一认证算法,可以是统一数据管理网元从自身支持的一次认证算法选择的,也可以是统一数据管理网元从终端设备支持的一次认证算法选择的,本申请实施例并不限定第一认证算法的选择方式。
无论是在一次认证中的首认证中统一数据管理网元从终端设备支持的一次认证算法选择第一认证算法,还是一次认证中的重认证中统一数据管理网元选择第二认证算法。
统一数据管理网元需要先确定终端设备支持的一次认证算法,统一数据管理网元可以通过两种方式确定终端设备支持的一次认证算法:
方式一、统一数据管理网元从安全锚功能网元获取终端设备支持的一次认证算法。
终端设备可以将终端设备的一次认证能力信息携带在注册请求中,安全锚功能网元在接收到该注册请求后,获取终端设备的一次认证能力信息,将终端设备的一次认证能力信息携带在第一认证获取请求中。第一认证获取请求中还可以包括终端设备的标识信息,用于统一数据管理网元确定需要与哪一个终端设备进行双向认证,以及标识携带的第一认证能力信息为哪一个终端设备的。
终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证、终端设备支持的一次认证算法与终端设备支持的认证凭证的映射关系。
在这种方式中,终端设备的一次认证能力信息中需要包括终端设备支持的一次认证算法。若终端设备的一次认证能力信息中不包括终端设备支持的一次认证算法,可以通过方式二确定终端设备支持的一次认证算法。
一次认证算法定义了终端设备与统一数据管理网元交互的信息内容、终端设备对统一数据管理网元的认证方式、以及统一数据管理网元对终端设备的认证方式。一次认证算法有许多种,例如,5G AKA,EAP-AKA’,EAP-TLS,EAP-AKA。
认证凭证是在一次认证过程中统一数据管理网元生成认证参数的重要参数。认证凭证有许多种,例如,根密钥(long term key)、证书、账号密码等。其中认证参数包括但不限于认证令牌,认证向量以及证书。
认证凭证和一次认证算法可以是一对一的,也可以是一对多的关系。示例性的,5GAKA,EAP-AKA’的认证凭证可以是根密钥,EAP-TLS的认证凭证可以是证书。
方式二、统一数据管理网元获取本地保存的终端设备支持的一次认证算法。
统一数据管理网元可以预先保存终端设备支持的一次认证算法;可选的,统一数据管理网元中还可以预先保存终端设备支持的认证凭证和/或终端设备支持的一次认证算法与终端设备支持的认证凭证的映射关系。
示例性的,终端设备在与统一数据管理网元签约时,可以将终端设备支持的一次认证算法、终端设备支持的认证凭证和/或终端设备支持的一次认证算法与终端设备支持的认证凭证的映射关系中的部分或全部作为终端设备的签约信息保存在统一数据管理网元中。
在这种方式中,终端设备发送的注册请求中可以不携带终端设备的一次认证能力信息,也就是说,终端设备支持的一次认证算法、终端设备支持的认证凭证、终端设备支持的一次认证算法与终端设备支持的认证凭证的映射关系均已保存在统一数据管理网元中。
应需理解的是,终端设备支持的一次认证算法、终端设备支持的认证凭证以及终端设备支持的一次认证算法与终端设备支持的认证凭证的映射关系中的任一信息,可以携带在第一认证获取请求中,也可以保存在统一数据管理网元本地。例如,终端设备的一次认证能力信息可以包括终端设备支持的一次认证算法和终端设备支持的认证凭证,终端设备支持的一次认证算与终端设备支持的认证凭证的映射关系则可以预先保存在统一数据管理网元中。这种情况下,统一数据管理网元中可以配置多个一次认证算法与认证凭证的映射关系,多个一次认证算法中包括终端设备支持的一次认证算法,还可以包括其他终端设备的一次认证算法。也就是说,统一数据管理网元只需获知终端设备支持的一次认证算法可以通过本地存储的多个一次认证算法与认证凭证的映射关系确定终端设备支持的一次认证算与终端设备支持的认证凭证的映射关系。
统一数据管理网元选择了第一认证算法后,可以基于第一认证算法,与终端设备进行双向认证。若与终端设备双向认证成功后,可以继续之后的操作,例如发起PDU会话建立流程,与服务器进行双向认证。
若与终端设备双向认证失败,统一数据管理网元可以确定是否需要与终端设备再次进行双向认证。
统一数据管理网元确定不与终端设备再次进行双向认证的情况有许多,下列列举其中几种:
第一种、终端设备不支持其他认证算法。
这种情况下,选取任意认证算法都会认证失败。
第二种、终端设备与统一数据管理网元无其他共同支持认证算法。
第三种、终端设备与统一数据管理网元共同支持的其他认证算法,该其他认证算法与第一认证算法对应的认证凭证相同。
第三种、统一数据管理网元可以根据一次认证失败原因,确定与终端设备不进行双向认证。
一次认证失败原因可以是终端设备反馈的,示例性的,统一数据管理网元可以根据终端设备反馈的失败原因值确定一次认证失败原因;一次认证失败原因也可以是统一数据管理网元自己确定的。失败原因值的说明可以参见如图2所示的实施例的相关说明。
当一次认证失败的原因为网络失败,统一数据管理网元可以结束认证流程。
上述列举的几种情况仅是举例说明,本申请实施例并不限定,在其他情况下,统一数据管理网元认为不能再次进行双向认证。
统一数据管理网元确定不与终端设备再次进行双向认证后,可以向终端设备发送认证失败消息,并指示结束认证。
统一数据管理网元确定需要与终端设备再次进行双向认证的情况有许多,下面列举其中几种:
情况一、一认证的首次认证的过程中,统一数据管理网元通过失败原因值确定一次认证失败的原因为MAC验证未通过,统一数据管理网元可以再次采用第一认证算法与终端数设备进行重认证,若终端设备还支持其他认证算法,统一数据管理网元可以从终端设备支持的二次认证算法选取其他一次认证算法,本申请实施例以第二认证算法为例,且第二认证算法对应的认证凭证与第一认证算法对应的认证凭证不同,统一数据管理网元可以采用第二认证算法与终端数设备进行重认证。
情况二、一认证的首次认证的过程中,统一数据管理网元通过失败原因值确定认证失败的原因为SQN验证未通过,统一数据管理网元可以进行SQN同步,在同步SQN之后,基于第一认证算法或第二认证算法,利用同步后的SQN与终端设备进行双向认证。
情况三、一认证的首次认证的过程中,统一数据管理网元通过失败原因值确定一次认证失败的原因为认证失败,统一数据管理网元可以从终端设备支持的二次认证算法选取第二认证算法,统一数据管理网元可以采用第二认证算法与终端数设备进行重认证。
情况四、统一数据管理网元接收来自认证服务功能网元的第二认证获取请求,第二认证获取请求用于请求统一数据管理网元触发新的双向认证流程。
统一数据管理网元在与终端设备进行双向认证的过程中,统一数据管理网元与终端设备交互的信息可以通过认证服务功能网元进行传递。认证服务功能网元可以将来自终端设备的信息发送给统一数据管理网元;认证服务功能网元也可以将来自统一数据管理网元的信息直接发送给终端设备(如EAP认证方式),认证服务功能网元也可以对来自统一数据管理网元的信息进行处理,将处理后的信息发送给终端设备(如5G-AKA认证方式)。
也就是说,统一数据管理网元和终端设备之间发送的消息,认证服务功能网元都是可以获知的。如果认证服务功能网元上保存统一数据管理网元和终端设备支持的一次认证能力信息,则可以根据失败原因值判断是否更换认证算法(确定的方式可以参见前述内容中统一数据管理网元确定的方式),并在确定需要更换认证算法的情况下,向统一数据管理网元发送第二认证获取请求。
上述列举的几种情况仅是举例说明,本申请实施例并不限定,在其他情况下,统一数据管理网元认为可以再次进行双向认证。
作为一种可能的实施方式,统一数据管理网元在基于第一认证算法,与终端设备双向认证的过程中,可以不记录双向认证采用的认证算法;也就是说,统一数据管理网元在与终端数设备双向认证时,只能确定认证的结果是失败或成功,并不能确定认证失败时采用的认证算法;为了使得统一数据管理网元在之后选择再次认证所采用的认证算法避免选择第一认证算法,认证服务功能网元发送的第二认证获取请求可以指示统一数据管理网元基于第一认证算法与终端设备双向认证失败。当然,统一数据管理网元也可以记录双向认证采用的认证算法,这样,在后续选择再次认证所采用的认证算法时,可以基于记录的信息,选择与第一认证算法不同的认证算法。
由前述内容可知,统一数据管理网元与终端设备交互的信息可以通过认证服务功能网元进传递,且在不同的认证算法中,认证服务功能网元执行的操作可能会不同,统一数据管理网元可以通知认证服务功能网元会与终端设备再次进行双向认证,还可以将认证过程中的认证参数(如认证向量)发送给认证服务功能网元,以便认证服务功能网元可以在统一数据管理网元与终端设备的再次认证过程中,执行相应的操作。
示例性的,统一数据管理网元基于所述第二认证算法,与终端设备进行双向认证之前,统一数据管理网元可以向认证服务功能网元发送指示消息,指示消息可以指示统一数据管理网元与终端设备再次进行双向认证,该指示消息中还可以携带第二认证算法的认证参数。
在终端设备与统一数据管理网元双向认证成功之后,可以进行二次认证,也就是终端设备与服务器之间的双向认证。本申请实施例针对二次认证提供了两种实现方式,下面分别进行说明。
二、二次认证中的方式一。
如图5所示,为本申请实施例提供的一种认证方法,该方法包括:
步骤501:终端设备向会话管理网元发送PDU会话建立请求。
步骤502:终端设备基于第三认证算法,与服务器进行双向认证。
当终端设备与统一数据管理网元双向认证成功后,终端设备可以向会话管理网元发送PDU会话建立请求,之后,会话管理网元通过用户面网元向服务器发送会话建立请求,服务器在接收到会话建立请求后,可以与终端设备,基于第三认证算法,进行双向认证。
步骤502:终端设备基于第三认证算法,与服务器双向认证失败后,基于二次认证失败原因,确定服务器与终端设备需触发新的双向认证流程。
步骤503:终端设备从服务器支持的二次认证算法和终端设备支持的二次认证算法中,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法。
步骤504:终端设备通过会话管理网元向服务器发送第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证。
步骤505:服务器通过会话管理网元向所述终端设备发送身份请求,所述身份请求用于请求第四认证算法对应的终端设备的身份信息。
步骤506:终端设备向服务器反馈的第四认证算法对应的终端设备的身份信息。
步骤507:服务器基于第四认证算法,与终端设备进行双向认证。
步骤508:服务器可以告知会话管理网元基于第四认证算法与终端设备的认证结果,会话管理网元根据该认证结果向终端设备发送PDU会话建立响应。
本申请实施例并不限定终端设备与服务器进行双次认证所采用的第三认证算法的确定方式,例如,可以采用如图3所示的实施例中步骤304的方式,服务器从服务器支持的二次认证算法选择的。也可以采用其他方式,下面列举其中两种:
1)、会话管理网元从终端设备支持的二次认证算法中选择的。
会话管理网元可以获取终端设备的二次认证能力信息,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
之后,会话管理网元可以从终端设备支持的二次认证算法中选择第三认证算法,为了使得服务器可以获知与终端设备进行双向认证的认证算法,会话管理网元可以向服务器发送第二认证请求,第二认证请求用于通知服务器基于第三认证算法,与终端设备进行双向认证。
第二认证请求可以独立发送给服务器,也可以携带在其他需要发送给服务器的消息中发送给服务器;示例性的,第二认证请求可以携带在N4消息和UPF与服务器之间的交互消息中。
其中,二次认证算法定义了终端设备与服务器交互的信息内容、终端设备对服务器的认证方式、以及服务器对终端设备的认证方式。二次认证算法有许多种,例如,5G AKA,EAP-AKA’,EAP-TLS,EAP-AKA,还请举例说明下。
认证凭证具体可参见第一认证能力信息中认证凭证的相关描述,此处不再赘述。
认证凭证和二次认证算法可以是一对一的,也可以是一对多的关系。示例性的,5GAKA,EAP-AKA’的认证凭证可以是根密钥,EAP-TLS的认证凭证可以是证书。
会话管理网元可以获取终端设备的二次认证能力信息的方式有许多种,本申请实施例并不限定,下面列举其中两种:
第一、终端设备可以将终端设备的二次认证能力信息携带在发送给会话管理网元的信息中。示例性的,可以携带在PDU会话建立请求中,会话管理网元可以从来自终端设备的PDU会话建立请求获取终端设备的二次认证能力信息。
会话管理网元可以在接收到PDU会话建立请求后,从PDU会话建立请求中获取终端设备支持的二次认证算法。
第二、统一数据管理网元可以存储终端设备的二次认证能力信息,会话管理网元可以从统一数据管理网元获取终端设备的二次认证能力信息。
统一数据管理网元可以在与终端设备签约时,将终端设备的二次认证能力信息作为终端设备的签约信息保存在本地,会话管理网元在需要选取二次认证的认证算法时,从统一数据管理网元获取终端设备支持的二次认证算法,从终端设备支持的二次认证算法选取第三认证算法。
作为一种可能的实施方式,终端设备在发起注册流程时,可以将终端设备的二次认证能力信息携带在注册请求中;安全锚功能网元在接收到该注册请求后,可以从注册请求中获取中的终端设备的二次认证能力信息,将终端设备的二次认证能力信息携带在第一认证获取请求中,通过认证服务功能网元向统一数据管理网元发送第一认证获取请求;统一数据管理网元接收到第一认证获取请求后,可以保存终端设备的二次认证能力信息。
应需理解的是,终端设备支持的二次认证算法、终端设备支持的认证凭证以及终端设备支持的二次认证算法与终端设备支持的认证凭证的映射关系中的任一信息,可以携带在PDU会话建立请求中,也可以保存在统一数据管理网元本地。例如,终端设备的二次认证能力信息可以包括终端设备支持的二次认证算法、终端设备支持的认证凭证;终端设备支持的二次认证算与终端设备支持的认证凭证的映射关系则可以预先保存在统一数据管理网元中。会话管理网元可以仅获取终端设备支持的二次认证算法,可选的,可以获取终端设备支持的认证凭证和/或终端设备支持的二次认证算法与终端设备支持的认证凭证的映射关系。
上述两种方式仅是举例说明,本申请实施例并不限定,也可以采用其他方式,例如终端设备的二次认证能力信息或终端设备支持的二次认证算法也可以保存在会话管理网元本地。
需要说明的是,会话管理网元获取终端设备的二次认证能力信息或终端设备支持的二次认证算法后,可以结合从服务器获取的服务器支持的二次认证算法,选择终端设备与服务器支持均支持的二次认证算法。
2)、服务器从终端设备支持的二次认证算法中选择的。
会话管理网元获取终端设备的二次认证能力信息后,可以向服务器发送第一认证能力通知消息,第一认证能力通知消息中包括终端设备的二次认证能力信息。
服务器接收到第一认证能力通知消息,获取终端设备的二次认证能力信息,服务器从终端设备支持的二次认证算法选择第三认证算法,基于第三认证算法,与终端设备进行双向认证。
选择了第三认证算法之后,终端设备与服务器可以基于第三认证算法,进行双向认证。
若终端设备与服务器可以基于第三认证算法,双向认证成功,可以继续之后的流程,如会话管理网元可以为终端设备建立PDU会话。
若终端设备与服务器可以基于第三认证算法,双向认证失败,终端设备可以确定是否需要与服务器再次进行双向认证。
终端设备可以从会话管理网元获取服务器的二次认证能力信息,当二次认证中的首认证失败后,可以根据二次认证失败原因,确定是否与服务器再次进行双向认证。
会话管理网元可以预先从服务器获取服务器的二次认证能力信息,并将获取的服务器的二次认证能力信息发送给终端设备。本申请实施例并不限定会话管理网元向终端设备发送服务器的二次认证能力信息的方式,可以通过单独的信息,将服务器的二次认证能力信息发送给终端设备。
会话管理网元获取服务器的二次认证能力信息的方式有许多种,下面列举其中两种:
(1)、服务器可以向会话管理网元发送携带有服务器的二次认证能力信息的第二认证能力通知消息,会话管理网元接收到该第二认证能力通知消息后,获取服务器的二次认证能力信息,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系的相关说明与终端设备支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系类似,可参见前述描述,此处不再赘述。
(2)、会话管理网元从统一数据管理网元获取服务器的二次认证能力信息。
服务器的二次认证能力信息也可以预先存储在统一数据管理网元中。
终端设备确定不与服务器再次进行双向认证的情况有许多,下面列举其中几种:
第一种、终端设备不支持其他二次认证算法,或者还支持其他认证算法,但是其他认证算法对应的认证凭证与第三认证算法对应的认证凭证相同。
这种情况下,选取任意认证算法都会认证失败。
示例性的,认证失败的原因可以是终端设备侧认证参数(如服务器的证书)校验失败,也可以是参数不同步,还可以是服务器侧认证参数(如终端设备的证书)校验失败,也可以是终端设备侧或服务器侧完整性校验失败。
第二种、服务器不支持其他二次认证算法,或者还支持其他认证算法,但是其他认证算法对应的认证凭证与第三认证算法对应的认证凭证相同。
第三种、二次认证失败原因为网络原因,这种情况下,选取任意认证算法进行双向认证,都会因为网络而认证失败。
上述列举的几种情况仅是举例说明,本申请实施例并不限定,在其他情况下,终端设备认为不能再次进行双向认证。
终端设备确定不与服务器再次进行双向认证后,可以向会话管理网元发送用于指示不再与服务器进行双向认证的消息,可选的,该消息中还可以携带不与服务器进行双向认证的原因,具体原因可以参见上述三种情况,终端设备与会话管理网元可以对上述三种情况进行标识,每种情况对应一种标识,该消息中可以携带相应的标识。
终端设备确定可以与服务器再次进行双向认证的情况有许多,下面列举其中一种:
情况一、终端设备和服务器还支持其他二次认证算法,本申请实施例以第四认证算法为例,且第四认证算法对应的认证凭证与第三认证算法对应的认证凭证不同。
在这种情况下,终端设备可以从终端设备和服务器支持的二次认证算法中选择认证凭证与第三认证算法不同的第四认证算法。
终端设备确定可以与服务器再次进行双向认证,且选择了认证凭证与第三认证算法的认证凭证不同的第四认证算法后,可以通过会话管理网元向服务器发送第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证。
由于不同的认证算法对应的终端设备的身份信息不同,服务器接收到第一认证请求后,可以向终端设备请求第四认证算法对应的终端设备的身份信息,在接收到第四认证算法对应的终端设备的身份信息后,可以基于第四认证算法,与终端设备进行双向认证。
服务器基于第四认证算法,与终端设备进行双向认证后,若认证成功,服务器可以通过认证成功消息告知会话管理网元基于第四认证算法与终端设备认证成功,会话管理网元在接收到认证成功消息后,可以为终端设备建立PDU会话,建立成功后,会话管理网元可以向终端设备发送建立成功的PDU会话建立响应。若认证失败,服务器可以通过认证失败消息告知会话管理网元基于第四认证算法与终端设备认证失败,会话管理网元在接收到认证失败消息后,不需要终端设备建立PDU会话,会话管理网元可以向终端设备发送拒绝建立会话的PDU会话建立响应。
在如5所示的实施例中,以会话管理网元参与终端设备和服务器之间进行双向认证时的信息交互为例进行说明的。在一种可能的实现方式中,会话管理网元在如图5所示的实施例中所执行的操作,也可以由移动接入管理网元执行,区别在于终端向移动接入管理网元发送的是切片建立请求(而非PDU会话建立请求),该切片建立请求用于终端设备请求接入切片;在终端设备和服务器之间双向认证成功(如二次认证时首次认证成功,或二次认证时重认证成功)时,移动接入管理网元可以将终端设备接入切片,并向终端设备发送切片建立成功响应;若在终端设备和服务器之间双向认证的重认证失败时,移动接入管理网元可以拒绝终端设备接入切片,并向终端设备发送切片建立失败响应。
三、二次认证中的方式二
如图6所示,为本申请实施例提供的一种认证方法,该方法包括:
步骤601:同步骤501,可参见步骤501的相关说明,此处不再赘述。
本申请实施例并不限定终端设备与服务器进行双次认证所采用的第三认证算法的确定方式,例如,可以采用如图3所示的实施例中步骤304的方式,服务器从服务器支持的二次认证算法选择的,也可以采用其他方式,具体可以参见图5所示的实施例的相关说明,此处不再赘述。
步骤602:服务器基于第三认证算法,与终端设备双向认证失败后,基于二认证失败原因,确定需要与终端设备触发新的双向认证流程。
步骤603:服务器从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法。
步骤604:同步骤505,可参见步骤505的相关说明,此处不再赘述。
步骤605:同步骤506,可参见步骤506的相关说明,此处不再赘述。
步骤606:同步骤507,可参见步骤507的相关说明,此处不再赘述。
步骤607:同步骤508,可参见步骤508的相关说明,此处不再赘述。
选择了第三认证算法之后,终端设备与服务器可以基于第三认证算法,进行双向认证。
若终端设备与服务器基于第三认证算法,双向认证成功,可以继续之后的流程,如会话管理网元可以继续为终端设备建立会话。
若终端设备与服务器基于第三认证算法,双向认证失败,服务器可以确定是否需要与终端设备再次进行双向认证。
服务器确定不与终端设备再次进行双向认证的情况有许多,下列列举其中几种:
第一种、终端设备不支持其他二次认证算法,或者还支持其他认证算法,但是其他认证算法对应的认证凭证与第三认证算法对应的认证凭证相同。
这种情况下,选取任意认证算法都会认证失败。
服务器获取终端设备的二次认证能力信息的方式可以参见前述说明此处不再赘述,服务器在获取终端设备的二次认证能力信息后,可以确定终端设备是否支持其他二次认证算法,或者支持的其他二次认证算法对应的认证凭证与第三认证算法对应的认证凭证是否相同。
第二种、服务器不支持其他二次认证算法,或者还支持其他认证算法,但是其他认证算法对应的认证凭证与第三认证算法对应的认证凭证相同。
这种情况下,选取任意认证算法都会认证失败。
第三种、服务器通过失败原因值确定二次认证失败的原因为网络原因,说明采用其他二次认证算法,终端设备与服务器双向认证也会失败。
服务器确定不与终端设备再次进行双向认证后,可以向会话管理网元发送用于指示不再与终端设备进行双向认证的消息,可选的,该消息中还可以携带不与终端设备进行双向认证的原因,具体原因可以参见上述三种情况,服务器与会话管理网元可以对上述三种情况进行标识,每种情况对应一种标识,该消息中可以携带相应的标识。
上述列举的几种情况仅是举例说明,本申请实施例并不限定,在其他情况下,服务器认为不能再次进行双向认证。
服务器确定可以与终端设备再次进行双向认证的情况有许多,下列列举其中一种:
情况一、服务器确定通过认证原因值确定二次认证失败的原因并非网络原因,且终端设备或服务器还支持其他二次认证算法,本申请实施例以第四认证算法为例,且第四认证算法对应的认证凭证与第三认证算法对应的认证凭证不同。示例性的,服务器可以选择终端设备和服务器均支持其他二次认证算法。
示例性的,二次认证失败的原因可以是终端设备侧认证参数(如服务器的证书)校验失败,也可以是参数不同步,还可以是服务器侧认证参数(如终端设备的证书)校验失败,也可以是终端设备侧或服务器侧完整性校验失败。
需要说明的是,在二次认证中也可以在终端设备与服务器设置防重放的参数,与一次认证中的SQN类似,需要保证UE与服务器参数同步,在二次认证过程中需要对该参数进行校验,确定参数是否同步。
在如6所示的实施例中,以会话管理网元参与终端设备和服务器之间进行双向认证时的信息交互为例进行说明的。在一种可能的实现方式中,会话管理网元在如图6所示的实施例中所执行的操作,也可以由移动接入管理网元执行,区别在于终端设备向移动接入管理网元发送的是切片建立请求(而非PDU会话建立请求),该切片建立请求用于终端设备请求接入切片;在终端设备和服务器之间双向认证成功(如二次认证时首次认证成功,或二次认证时重认证成功)时,移动接入管理网元可以将终端设备接入切片,并向终端设备发送切片建立成功响应;若在终端设备和服务器之间双向认证的重认证失败时,移动接入管理网元可以拒绝终端设备接入切片,并向终端设备发送切片建立失败响应。
将如图4所示的实施例应用于具体场景中,对本申请实施例提供的一种认证方法进行说明,如图7所示,该方法包括:
步骤701:UE向SEAF网元发送注册请求,注册请求中包括用户隐藏标识(subscription concealed identifier,SUCI),可选的,还可以包括UE的第一认证能力信息。
步骤702:SEAF网元通过AUSF网元向UDM网元发送第一认证获取请求,所述第一认证获取请求中包括SUCI以及UE的一次认证能力信息。
步骤703:UDM网元对SUCI进行解密,得到终端的永久标识(subscriptionpermanent identifier,SUPI)。
步骤704:UDM网元根据UE的一次认证能力信息和UDM网元支持的一次认证算法,选择UE与UDM网元均支持的第一认证算法。
可选的,UDM网元本地还保存有一次认证算法的优先级,UDM网元可以选择UE与UDM网元均支持的、且优先级最高的第一认证算法。
步骤705:UDM网元基于第一认证算法,与UE进行双向认证(对应一次认证中的首次认证),UDM网元与UE进行双向认证的方式可以参见如图2所示的实施例中步骤205~步骤212。
步骤706:UDM网元根据一次认证的失败原因,确定需要是否与UE再次进行双向认证。
示例性的,若一次认证的失败原因为网络原因,则UDM网元直接结束认证流程。
若首次认证的失败原因为UE侧认证参数(如认证向量)校验失败,则UDM网元可以更换一次认证算法,如选择第二认证算法。
若首次认证的失败原因为参数(如SQN)不同步,UDM网元在进行参数同步后,可以再尝试基于第一认证算法与UE进行双向认证,也可以更换一次认证算法。
若首次认证的失败原因为UE侧完整性校验失败(MAC失败),UDM网元可以再尝试基于第一认证算法与UE进行双向认证。
若首次认证的失败原因为网络侧(如AUSF网元)认证参数校验失败,如RES值不相同,UDM网元可以更换一次认证算法,如选择第二认证算法。
步骤707:若UDM网元需要更换一次认证算法,UDM网元可以选择UE和UDM网元的认证算法选择双方均支持的第二次认证算法。
可选的,UDM网元可以选择UE和UDM网元的认证算法选择双方均支持优先级最高的第二认证算法,第二认证算法与第一认证算法所使用的认证凭证不同。
步骤708:UDM网元可以向AUSF网元发送指示消息,该指示消息可以指示UDM网元与UE再次进行双向认证,可选的,该指示消息中还可以携带第二认证算法的认证参数。
若UDM网元确定不需要再次进行双向认证,该指示消息用于指示认证结束。
步骤709:UDM网元发起新的认证流程,UDM网元基于第二认证算法,与UE进行双向认证(对应一次认证中的重认证);UDM网元与UE进行双向认证的方式可以参见如图2所示的实施例中步骤205~步骤213。
步骤710:UDM网元与UE在认证之后,SEAF网元可以向UE发送注册响应。
示例性的,若UDM网元告知SEAF网元一次认证的重认证中与UE认证成功,则该注册响应指示UE注册成功;若UDM网元告知SEAF网元一次认证的重认证中与UE认证失败,则该注册响应指示UE注册失败。
将如图5所示的实施例应用于具体场景中,对本申请实施例提供的一种认证方法进行说明,如图8所示,该方法包括:
步骤801,UE向服务网络中SMF网元(简称V-SMF网元)发送PDU会话建立请求,PDU会话建立请求携带PDU会话ID、DNN;可选的,还可以包括UE的二次认证能力信息。
步骤802,V-SMF网元向归属网络中SMF网元(简称H-SMF网元)发送PDU会话建立请求。
步骤803,H-SMF网元发起认证流程。H-SMF网元选择UPF网元,并与UPF网元建立N4会话,通过UPF网元向DN-AAA发送会话建立请求,会话建立请求中携带UE的二次认证能力信息。
步骤804,DN-AAA根据UE的二次认证能力信息和DN-AAA支持的二次认证算法,选择UE与DN-AAA均支持的二认证算法,以选择的认证算法第三认证算法为例。
可选的,DN-AAA本地还保存有二次认证算法的优先级,DN-AAA可以选择UE与DN-AAA均支持的、且优先级最高的二次认证算法。
步骤805,DN-AAA通过H-SMF网元向UE发送第一身份请求,该第一身份请求用于请求获取第三认证算法对应的UE的身份信息,该第一身份请求中还可以携带DN-AAA的一次认证能力信息。
步骤806,UE向DN-AAA反馈第三认证算法对应的UE的身份信息。
步骤807,DN-AAA在接收到第三认证算法对应的UE的身份信息后,并基于第三认证算法,与UE进行双向认证。
步骤808,DN-AAA与UE进行双向认证失败,UE根据二次认证失败原因,确定需要是否与DN-AAA再次进行双向认证。
若二次认证失败原因为网络原因,则UE可以直接结束认证流程。
若二次认证失败原因为UE侧认证参数(如DN-AAA的证书)校验失败,则UE可以更换二次认证算法,如选择第四认证算法。
若二次认证失败原因为参数不同步(如二次认证中也可以使用SQN或类似的参数进行防重放,DN-AAA与UE需要保持参数同步),DN-AAA在进行参数同步后,UE可以再尝试基于第三认证算法与DN-AAA进行双向认证,也可以更换二次认证算法。
若二次认证失败原因为UE侧或网络侧(如DN-AAA)完整性校验失败,UE可以再尝试基于第三认证算法与DN-AAA进行双向认证,也可以更换二次认证算法与DN-AAA进行双向认证。
若二次认证失败原因为网络侧(如DN-AAA)认证参数(如UE的证书)校验失败,UE可以更换二次认证算法,如选择第四认证算法。
步骤809,UE确定需要与DN-AAA进行双向认证,且需要更换二次认证算法,UE可以根据UE和DN-AAA支持的二次认证算法选择双方均支持的第四次认证算法。
步骤810,UE通过H-SMF网元向DN-AAA发送第一认证请求,第一认证请求用于指示DN-AAA基于第四认证算法,与UE进行双向认证。
若UE确定需要不再与DN-AAA进行双向认证,第一认证请求用于指示终止认证流程。
可选的,DN-AAA可以通过H-SMF网元通知UE二次认证的首认证失败,示例性的,DN-AAA向H-SMF网元发送第一认证失败消息。第一认证失败消息用于指示DN-AAA基于第三认证算法,与UE进行双向认证失败。
步骤811,DN-AAA通过H-SMF网元向UE发送第二身份请求,该第二身份请求用于请求获取第四认证算法对应的身份信息。
步骤812,UE向DN-AAA反馈第四认证算法对应的UE的身份信息。
步骤813,DN-AAA在接收到第四认证算法对应的UE的身份信息后,DN-AAA基于第四认证算法,与UE进行双向认证。
步骤814,DN-AAA告知H-SMF网元二次认证的重认证的认证结果,H-SMF网元向UE发送PDU会话建立响应。
示例性的,若DN-AAA基于第四认证算法,与UE双向认证成功,DN-AAA可向H-SMF网元发送认证成功消息,H-SMF网元在接收到认证成功消息后,可以为UE建立PDU会话。在建立完成PDU会话后,通过V-SMF网元向UE发送用于指示PDU会话建立成功的PDU会话建立响应,该PDU会话建立响应还可以指示DN-AAA与UE认证成功。
若DN-AAA基于第四认证算法,与UE双向认证失败,DN-AAA可向H-SMF网元发送认证失败消息,H-SMF网元在接收到认证失败消息后,H-SMF网元通过V-SMF网元向UE发送用于指示PDU会话建立失败的PDU会话建立响应。
在如8所示的实施例中,以UE在建立PDU会话的过程中,UE和DN-AAA通过SMF网元(如H-SMF网元和V-SMF网元)进行双向认证为例进行说明的。在一种可能的实现方式中,以UE在接入切片的过程中,UE和DN-AAA之间可以采用类似的方式进行双向认证,UE和DN-AAA双向认证时交互的信息需通过AMF网元传递,AMF网元用于执行上述过程中H-SMF网元执行的操作,区别在于在步骤801中UE向AMF网元发送切片建立请求,用于请求接入切片(且不存在步骤802)。在步骤814中向UE反馈的是切片建立响应,若UE与DN-AAA双向认证的重认证成功,AMF网元将UE接入切片,向UE反馈切片建立成功响应,若UE与DN-AAA双向认证的重认证失败,AMF网元拒绝UE接入切片,向UE反馈切片建立失败。
将如图6所示的实施例应用于具体场景中,对本申请实施例提供的一种认证方法进行说明,如图9所示,该方法包括:
步骤901,同步骤801,可参见步骤801的相关说明,此处不再赘述。
步骤902,同步骤802,可参见步骤802的相关说明,此处不再赘述。
步骤903,同步骤803,可参见步骤803的相关说明,此处不再赘述。
步骤904,同步骤804,可参见步骤804的相关说明,此处不再赘述。
步骤905,同步骤805,可参见步骤805的相关说明,此处不再赘述。
步骤906,同步骤806,可参见步骤806的相关说明,此处不再赘述。
步骤907,同步骤807,可参见步骤807的相关说明,此处不再赘述。
步骤908,DN-AAA与UE进行双向认证失败,DN-AAA根据二次认证失败原因,确定需要是否与UE再次进行双向认证。
若二次认证失败原因为网络原因,则DN-AAA可以直接结束认证流程。
若二次认证失败原因为UE侧认证参数(如UE对DN-AAA的证书进行校验)校验失败,则DN-AAA可以更换二次认证算法,如选择第四认证算法。
若二次认证失败原因为参数不同步,DN-AAA在进行参数同步后,可以再尝试基于第三认证算法与UE进行双向认证,也可以更换二次认证算法。
若二次认证失败原因为UE侧或网络侧完整性校验失败,DN-AAA可以再尝试基于第三认证算法与DN-AAA进行双向认证。
若二次认证失败原因为网络侧(如DN-AAA对UE的证书进行校验)认证参数校验失败,DN-AAA可以更换二次认证算法,如选择第四认证算法。
步骤909,DN-AAA确定需要与UE进行双向认证,且需要更换二次认证算法,DN-AAA可以根据UE和DN-AAA支持的二次认证算法选择双方均支持的第四次认证算法。
可选的,DN-AAA可以通过H-SMF通知UE二次认证的首认证失败,示例性的,DN-AAA向H-SMF发送第一认证失败消息。第一认证失败消息用于指示DN-AAA基于第三认证算法,与UE进行双向认证。
步骤910,同步骤811,可参见步骤811的相关说明,此处不再赘述。
步骤911,同步骤812,可参见步骤812的相关说明,此处不再赘述。
步骤912,同步骤813,可参见步骤813的相关说明,此处不再赘述。
步骤913,同步骤814,可参见步骤814的相关说明,此处不再赘述。
在如9所示的实施例中,以UE在建立PDU会话的过程中,UE和DN-AAA通过SMF网元(如H-SMF网元和V-SMF网元)进行双向认证为例进行说明的。在一种可能的实现方式中,以UE在接入切片的过程中,UE和DN-AAA之间可以采用类似的方式进行双向认证,UE和DN-AAA双向认证时交互的信息需通过AMF网元传递,AMF网元用于执行上述过程中H-SMF网元执行的操作,区别在于在步骤901中UE向AMF网元发送切片建立请求,用于请求接入切片(且不存在步骤902)。在步骤914中向UE反馈的是切片建立响应,若UE与DN-AAA双向认证的重认证成功,AMF网元将UE接入切片,向UE反馈切片建立成功响应,若UE与DN-AAA双向认证的重认证失败,AMF网元拒绝UE接入切片,向UE反馈切片建立失败。
基于与方法实施例同一发明构思,本申请实施例还提供了一种终端设备,用于执行上述方法实施例中终端设备执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图10所示,该装置包括发送单元1001、认证单元1002以及认证单元1003:
发送单元1001,用于向安全锚功能网元发送注册请求。
认证单元1002,用于在发送单元1001发送注册请求后,基于第一认证算法,与统一数据管理网元进行双向认证;以及在基于第一认证算法,与统一数据管理网元双向认证失败之后,基于第二认证算法,与统一数据管理网元进行双向认证。
接收单元1003,用于通过安全锚功能网元接收来自统一数据管理网元的注册响应。
可选的,注册请求中包括终端设备的一次认证能力信息,终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证以及终端设备支持的一次认证算与终端设备支持的认证凭证的映射关系,终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
在一种可能的实施方式中,若注册响应指示终端设备注册成功,接收单元1003接收来自安全锚功能网元的注册响应之后,发送单元1001可以在向会话管理网元发送协议数据单元PDU会话建立请求;认证单元1002可以基于第三认证算法,与服务器进行双向认证;还可以在基于第三认证算法,与服务器双向认证失败后,基于二次认证失败原因,确定服务器与终端设备需触发新的双向认证流程;并基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法。
发送单元1001通过会话管理网元向服务器发送第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证。之后,认证单元1002可以基于第四认证算法,与服务器进行双向认证;在基于第四认证算法,与服务器双向认证后,接收来自会话管理网元发送PDU会话建立响应。
在一种可能的实施方式中,认证单元1002基于终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,接收单元1003可以从会话管理网元获取服务器的二次认证能力信息,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
在一种可能的实施方式中,若注册响应指示终端设备注册成功,接收单元1003在接收来自安全锚功能网元的注册响应之后,发送单元1001可以向会话管理网元发送PDU会话建立请求,认证单元1002可以基于第三认证算法,与服务器进行双向认证;在与服务器双向认证失败后,接收单元1003可以通过会话管理网元接收来自服务器的身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息;发送单元1001可以向服务器反馈终端设备的与第四认证算法对应的身份信息,之后,认证单元1002可以基于第四认证算法,与服务器进行双向认证;接收单元1003在服务器与终端设备基于第四认证算法,双向认证之后,可以接收来自会话管理网元发送PDU会话建立响应。
在一种可能的实施方式中,PDU会话建立请求中包括终端设备的二次认证能力信息,终端设备的二次认证能力信息包括终端设备支持的二次认证算法以及二次认证算法的认证凭证,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
在一种可能的实施方式中,注册请求中还包括终端设备的二次认证能力信息,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述方法实施例中UDM网元执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图11所示,装置包括认证单元1101以及发送单元1102。
认证单元1101,用于在终端设备发起注册请求后,基于第一认证算法,与终端设备进行双向认证;以及在与终端设备双向认证失败后,基于一次认证失败原因,确定与终端设备需触发新的双向认证流程,从终端设备支持的一次认证算法中选择认证凭证与第一认证算法不同的第二认证算法;以及基于第二认证算法,与终端设备进行双向认证。
发送单元1102,用于通过安全锚功能网元向终端设备发送注册响应。
在一种可能的实施方式中,该通信装置还包括接收单元11031103,接收单元1103在认证单元1101从终端设备支持的一次认证算法中选择认证凭证与第一认证算法不同的第二认证算法之前,可以从安全锚功能网元获取终端设备的一次认证能力信息,终端设备的一次认证能力信息包括下列的部分或全部:终端设备支持的一次认证算法、终端设备支持的认证凭证以及一次认证算法与认证凭证的映射关系,终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
在一种可能的实施方式中,认证单元1101也可以获取本地保存的终端设备支持的一次认证算法。
在一种可能的实施方式中,发送单元1102在认证单元1101基于第二认证算法,与终端设备进行双向认证之前,可以向认证服务功能网元发送指示消息,指示消息用于指示统一数据管理网元基于第二认证算法与终端设备进行双向认证。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图6、9所示的方法实施例中服务器或DN-AAA执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图12所示,装置包括认证单元1201、发送单元1202以及接收单元1203。
认证单元1201,用于在终端设备发送PDU会话建立请求后,基于第三认证算法,与终端设备双向认证失败后,基于二次认证失败原因,确定需要与终端设备触发新的双向认证流程;以及从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法。
发送单元1202,用于通过会话管理网元向终端设备发送身份请求,身份请求用于请求终端设备的与第四认证算法对应的身份信息。
接收单元1203,用于接收到终端设备反馈的终端设备的与第四认证算法对应的身份信息。
认证单元1201,还用于在接收单元1203接收到终端设备反馈的终端设备的与第四认证算法对应的身份信息后,基于第四认证算法,与终端设备进行双向认证。
可选的,接收单元1203在认证单元1201从终端设备支持的二次认证算法和服务器支持的二次认证算法,选择认证凭证与第三认证算法的认证凭证不同的第四认证算法之前,可以从会话管理网元获取终端设备的二次认证能力信息,终端设备的二次认证能力信息包括下列的部分或全部:终端设备支持的二次认证算法、终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,终端设备支持的二次认证算法包括第三认证算法和第四认证算法。
基于与方法实施例同一发明构思,本申请实施例还提供了一种通信装置,用于执行上述如图5、8所示的方法实施例中服务器或DN-AAA执行的方法,相关特征可参见上述方法实施例,此处不再赘述,如图13所示,装置包括认证单元1301、接收单元1302以及发送单元1303。
认证单元1301,用于在终端设备发送PDU会话建立请求后,基于第三认证算法,与终端设备双向认证;以及在基于第三认证算法,与终端设备进行双向认证。
接收单元1302,用于认证单元1301与终端设备双向认证失败后,接收来自终端设备的第一认证请求,第一认证请求用于指示服务器与终端设备基于第四认证算法进行双向认证。
认证单元1301,还用于基于第四认证算法,与终端设备进行双向认证。
可选的,发送单元1303在接收单元1302接收来自终端设备的第一认证请求之前,通过会话管理网元向终端设备发送服务器的二次认证能力信息,服务器的二次认证能力信息包括下列的部分或全部:服务器支持的二次认证算法、服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,服务器支持的二次认证算法包括第三认证算法和第四认证算法。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-onlymemory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例中,所述统一数据管理网元和所述终端设备均可以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。
在一个简单的实施例中,本领域的技术人员可以想到统一数据管理网元、服务器可采用图14所示的形式。
如图14所示的通信装置1400,包括至少一个处理器1401、存储器1402,可选的,还可以包括通信接口1403。
存储器1402可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1402是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1402可以是上述存储器的组合。
本申请实施例中不限定上述处理器1401以及存储器1402之间的具体连接介质。本申请实施例在图中以存储器1402和处理器1401之间通过总线1404连接,总线1404在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1404可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
如图14装置中,可以设置独立的数据收发模块,例如通信接口1403,用于收发数据;处理器1401在与其他设备进行通信时,可以通过通信接口1403进行数据传输。
当统一数据管理网元采用图14所示的形式时,图14中的处理器1401可以通过调用存储器1402中存储的计算机执行指令,使得所述统一数据管理网元可以执行上述任一方法实施例中的所述统一数据管理网元或UDM网元执行的方法。
具体的,图11的发送单元、接收单元和认证单元的功能/实现过程均可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现。或者,图11中的认证单元的功能/实现过程可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现,图12的发送单元和接收单元的功能/实现过程可以通过图14中的通信接口1403来实现。
当服务器采用图14所示的形式时,图14中的处理器1401可以通过调用存储器1402中存储的计算机执行指令,使得所述服务器可以执行上述任一方法实施例中的所述服务器或DN-AAA执行的方法。
具体的,图12的发送单元、接收单元和认证单元的功能/实现过程均可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现。或者,图12中的认证单元的功能/实现过程可以通过图14中的处理器1401调用存储器1402中存储的计算机执行指令来实现,图12的发送单元和接收单元的功能/实现过程可以通过图14中的通信接口1403来实现。
具体的,图13的发送单元、接收单元和认证单元的功能/实现过程均可以通过图13中的处理器1401调用存储器1402中存储的计算机执行指令来实现。或者,图11中的认证单元的功能/实现过程可以通过图13中的处理器1401调用存储器1402中存储的计算机执行指令来实现,图13的发送单元和接收单元的功能/实现过程可以通过图14中的通信接口1403来实现。
在一个简单的实施例中,本领域的技术人员可以想到所述终端设备可采用图15所示的形式。
如图15所示的通信装置1500,包括至少一个处理器1501、存储器1502,可选的,还可以包括收发器1503。
存储器1502可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器1502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1502可以是上述存储器的组合。
本申请实施例中不限定上述处理器1501以及存储器1502之间的具体连接介质。本申请实施例在图中以存储器1502和处理器1501之间通过总线1504连接,总线1504在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1504可以分为地址总线、数据总线、控制总线等。为便于表示,图15中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在如图15装置中,可以设置独立的数据收发模块,例如收发器1503,用于收发数据;处理器1501在与其他设备进行通信时,可以通过收发器1503进行数据传输。
当终端设备采用图15所示的形式时,图15中的处理器1501可以通过调用存储器1502中存储的计算机执行指令,使得所述终端设备可以执行上述任一方法实施例中的终端设备执行的方法。
具体的,图10中的接收单元、发送单元以及认证单元的功能/实现过程均可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现。或者,图10中的认证单元的功能/实现过程可以通过图15中的处理器1501调用存储器1502中存储的计算机执行指令来实现,图10中的发送单元、接收单元的功能/实现过程可以通过图15中的收发器1503来实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (30)
1.一种认证方法,其特征在于,所述方法包括:
向安全锚功能网元发送注册请求后,基于第一认证算法,与统一数据管理网元进行双向认证;
在基于所述第一认证算法,与所述统一数据管理网元双向认证失败之后,所述终端设备基于所述第二认证算法,与所述统一数据管理网元进行双向认证;
通过所述安全锚功能网元接收来自所述统一数据管理网元的注册响应。
2.如权利要求1所述的方法,其特征在于,所述注册请求中包括所述终端设备的一次认证能力信息,所述终端设备的一次认证能力信息包括下列的部分或全部:所述终端设备支持的一次认证算法、所述终端设备支持的认证凭证以及所述终端设备支持的一次认证算与所述终端设备支持的认证凭证的映射关系,所述终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
3.如权利要求1或2所述的方法,其特征在于,若所述注册响应指示所述终端设备注册成功,所述终端设备接收来自所述安全锚功能网元的注册响应之后,还包括:
在向会话管理网元发送协议数据单元PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;
基于第三认证算法,与服务器双向认证失败后,基于二次认证失败原因,确定所述服务器与所述终端设备需触发新的双向认证流程;
基于所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法;
通过会话管理网元向所述服务器发送第一认证请求,所述第一认证请求用于指示所述服务器与所述终端设备基于第四认证算法进行双向认证;
基于所述第四认证算法,与所述服务器进行双向认证;
在基于所述第四认证算法,与所述服务器双向认证后,接收来自所述会话管理网元发送PDU会话建立响应。
4.如权利要求3所述的方法,其特征在于,所述终端设备基于所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法之前,还包括:
从所述会话管理网元获取所述服务器的二次认证能力信息,所述服务器的二次认证能力信息包括下列的部分或全部:所述服务器支持的二次认证算法、所述服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,所述服务器支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
5.如权利要求1或3所述的方法,其特征在于,若所述注册响应指示所述终端设备注册成功,所述终端设备接收来自所述安全锚功能网元的注册响应之后,还包括:
在向会话管理网元发送PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;
与服务器双向认证失败后,所述终端设备通过所述会话管理网元接收来自所述服务器的身份请求,所述身份请求用于请求所述终端设备的与第四认证算法对应的身份信息;
在向所述服务器反馈所述终端设备的与第四认证算法对应的身份信息后,基于所述第四认证算法,与所述服务器进行双向认证;
接收来自所述会话管理网元发送PDU会话建立响应。
6.如权利要求3或5所述的方法,其特征在于,所述PDU会话建立请求中包括所述终端设备的二次认证能力信息,所述终端设备的二次认证能力信息包括所述终端设备支持的二次认证算法以及二次认证算法的认证凭证,所述终端设备支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
7.如权利要求1所述的方法,其特征在于,所述注册请求中还包括所述终端设备的二次认证能力信息,所述终端设备的二次认证能力信息包括下列的部分或全部:所述终端设备支持的二次认证算法、所述终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,所述终端设备支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
8.一种认证方法,其特征在于,所述方法包括:
统一数据管理网元在终端设备发起注册请求后,基于第一认证算法,与终端设备进行双向认证;
在与所述终端设备双向认证失败后,所述统一数据管理网元基于一次认证失败原因,确定与所述终端设备需触发新的双向认证流程,从所述终端设备支持的一次认证算法中选择认证凭证与所述第一认证算法不同的第二认证算法;
所述统一数据管理网元基于所述第二认证算法,与所述终端设备进行双向认证;
所述统一数据管理网元通过安全锚功能网元向所述终端设备发送注册响应。
9.如权利要求8所述的方法,其特征在于,所述统一数据管理网元从所述终端设备支持的一次认证算法中选择认证凭证与所述第一认证算法不同的第二认证算法之前,还包括:
所述统一数据管理网元从所述安全锚功能网元获取所述终端设备的一次认证能力信息,所述终端设备的一次认证能力信息包括下列的部分或全部:所述终端设备支持的一次认证算法、所述终端设备支持的认证凭证以及一次认证算法与认证凭证的映射关系,所述终端设备支持的一次认证算法包括第一认证算法和第二认证算法;或
所述统一数据管理网元获取本地保存的所述终端设备支持的一次认证算法。
10.如权利要求8或9所述的方法,其特征在于,所述统一数据管理网元基于所述第二认证算法,与所述终端设备进行双向认证之前,还包括:
所述统一数据管理网元向所述认证服务功能网元发送指示消息,所述指示消息用于指示所述统一数据管理网元基于所述第二认证算法与所述终端设备进行双向认证。
11.一种认证方法,其特征在于,所述方法包括:
服务器在终端设备发送协议数据单元PDU会话建立请求后,基于第三认证算法,与终端设备双向认证失败后,基于二次认证失败原因,确定需要与所述终端设备触发新的双向认证流程;
所述服务器从所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法;
所述服务器通过会话管理网元向所述终端设备发送身份请求,所述身份请求用于请求所述终端设备的与第四认证算法对应的身份信息;
所述服务器在接收到所述终端设备反馈的所述终端设备的与第四认证算法对应的身份信息后,基于所述第四认证算法,与所述终端设备进行双向认证。
12.如权利要求11所述的方法,其特征在于,所述服务器从所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法之前,还包括:
所述服务器从所述会话管理网元获取所述终端设备的二次认证能力信息,所述终端设备的二次认证能力信息包括下列的部分或全部:所述终端设备支持的二次认证算法、所述终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,所述终端设备支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
13.一种认证方法,其特征在于,所述方法包括:
服务器在终端设备发送协议数据单元PDU会话建立请求后,基于第三认证算法,与终端设备双向认证;
所述服务器在基于第三认证算法,与终端设备双向认证失败后,接收来自终端设备的第一认证请求,所述第一认证请求用于指示所述服务器与所述终端设备基于第四认证算法进行双向认证;
所述服务器基于所述第四认证算法,与所述终端设备进行双向认证。
14.如权利要求13所述的方法,其特征在于,所述服务器接收来自终端设备的第一认证请求之前,还包括:
所述服务器通过所述会话管理网元向所述终端设备发送所述服务器的二次认证能力信息,所述服务器的二次认证能力信息包括下列的部分或全部:所述服务器支持的二次认证算法、所述服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,所述服务器支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
15.一种通信装置,其特征在于,用于实现如权利要求1至7任一项所述的方法。
16.一种通信装置,其特征在于,用于实现如权利要求8至10任一项所述的方法。
17.一种通信装置,其特征在于,用于实现如权利要求11至12任一项所述的方法。
18.一种通信装置,其特征在于,用于实现如权利要求13至14任一项所述的方法。
19.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有指令,所述处理器执行所述指令时,使得所述装置执行权利要求1至7任一项所述的方法。
20.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有指令,所述处理器执行所述指令时,使得所述装置执行权利要求8至10任一项所述的方法。
21.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有指令,所述处理器执行所述指令时,使得所述装置执行权利要求11至12任一项所述的方法。
22.一种通信装置,其特征在于,包括处理器和存储器,所述存储器中存储有指令,所述处理器执行所述指令时,使得所述装置执行权利要求13至14任一项所述的方法。
23.一种通信系统,其特征在于,所述通信系统包括终端设备和统一数据管理网元,
所述终端设备,用于向安全锚功能网元发送注册请求后,基于第一认证算法,与统一数据管理网元进行双向认证;
所述统一数据管理网元,用于在基于第一认证算法,与终端设备进行双向认证失败后,基于一次认证失败原因,确定与所述终端设备需触发新的双向认证流程,从所述终端设备支持的一次认证算法中选择认证凭证与所述第一认证算法不同的第二认证算法;基于所述第二认证算法,与所述终端设备进行双向认证,通过所述安全锚功能网元向所述终端设备发送注册响应;
所述终端设备,用于在基于第二认证算法,与所述服务器进行双向认证后,接收来自所述安全锚功能网元的注册响应。
24.如权利要求23所述的通信系统,其特征在于,所述注册请求中包括所述终端设备的一次认证能力信息,所述终端设备的一次认证能力信息包括下列的部分或全部:所述终端设备支持的一次认证算法、所述终端设备支持的认证凭证以及所述终端设备支持的一次认证算与所述终端设备支持的认证凭证的映射关系,所述终端设备支持的一次认证算法包括第一认证算法和第二认证算法。
25.如权利要求23或24所述的通信系统,其特征在于,若所述注册响应指示所述终端设备注册成功,所述通信系统还包括服务器,
所述终端设备在接收来自所述安全锚功能网元的注册响应之后,还用于:在向会话管理网元发送协议数据单元PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;基于第三认证算法,与服务器双向认证失败后,基于二次认证失败原因,确定所述服务器与所述终端设备需触发新的双向认证流程;基于所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法;以及通过会话管理网元向所述服务器发送第一认证请求,所述第一认证请求用于指示所述服务器与所述终端设备基于第四认证算法进行双向认证;基于所述第四认证算法,与所述服务器进行双向认证;
所述服务器,用于在基于第三认证算法,与终端设备双向认证失败后,接收来所述第一认证请求,基于所述第四认证算法,与所述终端设备进行双向认证;
所述终端设备,还用于在基于所述第四认证算法,与所述服务器进行双向认证后,接收来自所述会话管理网元发送PDU会话建立响应。
26.如权利要求25所述的通信系统,其特征在于,所述终端设备基于所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法之前,还用于:
从所述会话管理网元获取所述服务器的二次认证能力信息,所述服务器的二次认证能力信息包括下列的部分或全部:所述服务器支持的二次认证算法、所述服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,所述服务器支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
27.如权利要求25所述的通信系统,其特征在于,所述服务器在接收来自终端设备的第一认证请求之前,还用于:
通过所述会话管理网元向所述终端设备发送所述服务器的二次认证能力信息,所述服务器的二次认证能力信息包括下列的部分或全部:所述服务器支持的二次认证算法、所述服务器支持的认证凭证以及二次认证算与认证凭证的映射关系,所述服务器支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
28.如权利要求23或24所述的通信系统,其特征在于,若所述注册响应指示所述终端设备注册成功,所述通信系统还包括服务器,
所述终端设备,还用于在向会话管理网元发送协议数据单元PDU会话建立请求后,基于第三认证算法,与服务器进行双向认证;
所述服务器,用于在基于第三认证算法,与终端设备双向认证失败后,基于二次认证失败原因,确定需要与所述终端设备触发新的双向认证流程;从所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法;通过会话管理网元向所述终端设备发送身份请求,所述身份请求用于请求所述终端设备的与第四认证算法对应的身份信息;
所述终端设备,还用于接收所述身份请求,向所述服务器反馈所述终端设备的与第四认证算法对应的身份信息;
所述服务器,还用于接收所述终端设备的与第四认证算法对应的身份信息,基于所述第四认证算法,与所述终端设备进行双向认证;
所述终端设备,还用于基于所述第四认证算法,与所述服务器进行双向认证,以及接收来自所述会话管理网元发送PDU会话建立响应。
29.如权利要求25或28所述的通信系统,其特征在于,所述PDU会话建立请求中包括所述终端设备的二次认证能力信息,所述终端设备的二次认证能力信息包括所述终端设备支持的二次认证算法以及二次认证算法的认证凭证,所述终端设备支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
30.如权利要求28所述的通信系统,其特征在于,所述服务器在从所述终端设备支持的二次认证算法和所述服务器支持的二次认证算法,选择认证凭证与所述第三认证算法的认证凭证不同的第四认证算法之前,还用于:
从所述会话管理网元获取所述终端设备的二次认证能力信息,所述终端设备的二次认证能力信息包括下列的部分或全部:所述终端设备支持的二次认证算法、所述终端设备支持的认证凭证以及二次认证算与认证凭证的映射关系,所述终端设备支持的二次认证算法包括所述第三认证算法和所述第四认证算法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910523207.XA CN112105021B (zh) | 2019-06-17 | 2019-06-17 | 一种认证方法、装置及系统 |
PCT/CN2020/096618 WO2020253736A1 (zh) | 2019-06-17 | 2020-06-17 | 一种认证方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910523207.XA CN112105021B (zh) | 2019-06-17 | 2019-06-17 | 一种认证方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112105021A true CN112105021A (zh) | 2020-12-18 |
CN112105021B CN112105021B (zh) | 2022-05-10 |
Family
ID=73749039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910523207.XA Active CN112105021B (zh) | 2019-06-17 | 2019-06-17 | 一种认证方法、装置及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN112105021B (zh) |
WO (1) | WO2020253736A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095928A (zh) * | 2021-11-08 | 2022-02-25 | 光宝科技股份有限公司 | 认证系统和方法 |
CN114390525A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种网络接入方法、装置及电子设备 |
WO2022222745A1 (zh) * | 2021-04-21 | 2022-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
WO2023184548A1 (zh) * | 2022-04-02 | 2023-10-05 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
WO2023240411A1 (en) * | 2022-06-13 | 2023-12-21 | Zte Corporation | Home triggered primary authentication for inter-working networks |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4118925B1 (en) | 2020-12-29 | 2024-03-27 | Ofinno, LLC | Support for tunneling |
CN114697963B (zh) * | 2022-03-29 | 2024-08-30 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101237443A (zh) * | 2007-02-01 | 2008-08-06 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
CN101416543A (zh) * | 2006-03-15 | 2009-04-22 | Posdata株式会社 | 在便携式互联网系统中检测便携式用户站的复制的设备和方法 |
CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
CN108901018A (zh) * | 2018-07-27 | 2018-11-27 | 中国电子科技集团公司第三十研究所 | 一种终端发起的移动通信系统用户身份隐匿方法 |
CN109474927A (zh) * | 2017-09-08 | 2019-03-15 | 中国电信股份有限公司 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
WO2019086129A1 (en) * | 2017-11-06 | 2019-05-09 | Nokia Technologies Oy | Providing subscriber data from unified data manager in transparent containers |
CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10681072B2 (en) * | 2017-08-31 | 2020-06-09 | Blackberry Limited | Method and system for user plane traffic characteristics and network security |
-
2019
- 2019-06-17 CN CN201910523207.XA patent/CN112105021B/zh active Active
-
2020
- 2020-06-17 WO PCT/CN2020/096618 patent/WO2020253736A1/zh active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101416543A (zh) * | 2006-03-15 | 2009-04-22 | Posdata株式会社 | 在便携式互联网系统中检测便携式用户站的复制的设备和方法 |
CN101237443A (zh) * | 2007-02-01 | 2008-08-06 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
CN109474927A (zh) * | 2017-09-08 | 2019-03-15 | 中国电信股份有限公司 | 信息交互方法、归属网络、用户终端以及信息交互系统 |
CN107580324A (zh) * | 2017-09-22 | 2018-01-12 | 中国电子科技集团公司第三十研究所 | 一种用于移动通信系统imsi隐私保护的方法 |
WO2019086129A1 (en) * | 2017-11-06 | 2019-05-09 | Nokia Technologies Oy | Providing subscriber data from unified data manager in transparent containers |
CN109788480A (zh) * | 2017-11-14 | 2019-05-21 | 华为技术有限公司 | 一种通信方法及装置 |
CN108901018A (zh) * | 2018-07-27 | 2018-11-27 | 中国电子科技集团公司第三十研究所 | 一种终端发起的移动通信系统用户身份隐匿方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022222745A1 (zh) * | 2021-04-21 | 2022-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
CN114095928A (zh) * | 2021-11-08 | 2022-02-25 | 光宝科技股份有限公司 | 认证系统和方法 |
CN114390525A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种网络接入方法、装置及电子设备 |
WO2023184548A1 (zh) * | 2022-04-02 | 2023-10-05 | 北京小米移动软件有限公司 | 信息处理方法及装置、通信设备及存储介质 |
WO2023240411A1 (en) * | 2022-06-13 | 2023-12-21 | Zte Corporation | Home triggered primary authentication for inter-working networks |
Also Published As
Publication number | Publication date |
---|---|
WO2020253736A1 (zh) | 2020-12-24 |
CN112105021B (zh) | 2022-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112105021B (zh) | 一种认证方法、装置及系统 | |
CN111669276B (zh) | 一种网络验证方法、装置及系统 | |
CN110474875B (zh) | 基于服务化架构的发现方法及装置 | |
US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
JP6732095B2 (ja) | 異種ネットワークのための統一認証 | |
CN113438196B (zh) | 一种服务授权方法、装置及系统 | |
US9654284B2 (en) | Group based bootstrapping in machine type communication | |
CN114268943B (zh) | 授权方法及装置 | |
US10462671B2 (en) | Methods and arrangements for authenticating a communication device | |
US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
US20220182822A1 (en) | Methods and apparatus relating to authentication of a wireless device | |
CN113498057A (zh) | 通信系统、方法及装置 | |
WO2019056971A1 (zh) | 一种鉴权方法及设备 | |
CN111865870A (zh) | 一种参数发送方法及装置 | |
CN113543121A (zh) | 一种终端参数更新的保护方法和通信装置 | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
JP7505022B2 (ja) | 通信方法、装置およびシステム | |
CN115942305A (zh) | 一种会话建立方法和相关装置 | |
CN114978556A (zh) | 切片认证方法、装置及系统 | |
CN116847350A (zh) | 一种d2d通信方法、终端及介质 | |
CN118400734A (zh) | 切片服务验证方法及其装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |