CN112512045B - 一种通信系统、方法及装置 - Google Patents

一种通信系统、方法及装置 Download PDF

Info

Publication number
CN112512045B
CN112512045B CN202010256020.0A CN202010256020A CN112512045B CN 112512045 B CN112512045 B CN 112512045B CN 202010256020 A CN202010256020 A CN 202010256020A CN 112512045 B CN112512045 B CN 112512045B
Authority
CN
China
Prior art keywords
network element
user
amf
supi
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010256020.0A
Other languages
English (en)
Other versions
CN112512045A (zh
Inventor
李飞
张博
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to PCT/CN2020/104598 priority Critical patent/WO2021036627A1/zh
Publication of CN112512045A publication Critical patent/CN112512045A/zh
Application granted granted Critical
Publication of CN112512045B publication Critical patent/CN112512045B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/11Allocation or use of connection identifiers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

一种通信系统、方法及装置,涉及通信技术领域。其中,该通信系统包括移动管理网元、认证服务网元和数据管理网元;终端设备用于向移动管理网元发送接入请求;接入请求包括第一用户标识;移动管理网元用于响应于接入请求,向认证服务网元发送第一用户认证请求;第一用户认证请求包括第一用户标识;认证服务网元用于响应于第一用户认证请求,向数据管理网元发送第二用户认证请求,第二用户认证请求包括第一用户标识;数据管理网元用于响应于第二用户认证请求,向认证服务网元返回第二用户认证响应,第二用户认证响应包括第二用户标识;第二用户标识为终端设备的匿名化身份标识。这种技术方案通过引入第二用户标识,有助于提高通信的安全性和可靠性。

Description

一种通信系统、方法及装置
本申请中要求在2019年08月27日提交中国专利局、申请号为201910795258.8、申请名称为“一种通信系统、方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,特别涉及一种通信系统、方法及装置。
背景技术
第五代(5th generation,5G)通信中,通常用户永久标识符(subscriptionpermanent identifier,SUPI)应用于密钥KAMF的计算,因此SUPI属于敏感信息。而核心网中的各网元之间通信是采用用户永久标识符(subscription permanent identifier,SUPI)标识终端设备的,如果核心网中网元被攻击或网元中的数据被盗取,容易导致SUPI泄露,影响用户通信隐私性。
发明内容
本申请实施例提供一种通信系统、方法及装置,有助于提高通信的安全性和可靠性。
第一方面,本申请实施例提供的一种通信系统,包括移动管理网元、认证服务网元和数据管理网元;
终端设备用于向所述移动管理网元发送接入请求;所述接入请求包括第一用户标识,所述第一用户标识是对SUPI加密得到的,所述SUPI为所述终端设备的身份标识;
所述移动管理网元用于响应于所述接入请求,向所述认证服务网元发送第一用户认证请求;所述第一用户认证请求包括所述第一用户标识;
所述认证服务网元用于响应于所述第一用户认证请求,向所述数据管理网元发送第二用户认证请求,所述第二用户认证请求包括所述第一用户标识;
所述数据管理网元用于响应于所述第二用户认证请求,向所述认证服务网元返回第二用户认证响应,所述第二用户认证响应包括第二用户标识;所述第二用户标识为所述终端设备的匿名化身份标识;
所述认证服务网元还用于响应于所述第二用户认证响应,向所述移动管理网元返回第一用户认证响应。
本申请实施例通过引入第二用户标识,使得核心网中各网元可以通过第二用户标识标识终端设备,而第二用户标识为终端设备的匿名化身份标识,与现有技术中核心网中各网元通过SUPI标识终端设备相比,有助于提高通信的安全性和可靠性。
在一种可能的设计中,所述第一用户认证响应还包括所述第二用户标识。有助于简化移动管理网元获取第二用户标识的方式。
在一种可能的设计中,所述移动管理网元还用于响应于所述第一用户认证响应,从所述认证服务网元获取所述第二用户标识。便于移动管理网元获取第二用户标识。
在一种可能的设计中,所述第一用户认证请求还包括第一指示信息,则所述认证服务网元响应于所述第一用户认证请求,向所述数据管理网元发送的所述第二用户认证请求还包括所述第一指示信息;所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。有助于数据管理网元确定服务网络支持用户匿名化处理,从而返回第二用户标识。
需要说明的是,所述移动管理网元支持用户身份匿名化处理,还可以理解为:所述移动管理网元所在的网络支持用户身份匿名化处理,其中,所述移动管理网络所在的网络为终端设备请求接入的网络,用于为终端设备提供服务。其中该网络可以称之为服务网络。
在一种可能的设计中,所述第二用户认证响应还包括第二指示信息,则所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回的所述第一用户认证响应还包括所述第二指示信息;所述第二指示信息用于指示所述数据管理网元支持用户身份匿名化处理。有助于移动管理网元确定归属网络支持用户身份匿名化处理,从而获取第二用户标识。
需要说明的是,所述数据管理网元支持用户身份匿名化处理,还可以理解为:所述数据管理网元所在的网络支持用户身份匿名化处理,其中,所述数据管理网络所在的网络为用于提供终端设备注册相关信息(例如注册状态等)的网络。其中该网络可以称之为归属网络。
在一种可能的设计中,所述通信系统还包括第一网元;
所述数据管理网元还用于:向所述第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述第一用户标识,以及接收所述第一网元返回的所述第二用户标识;所述第一网元用于响应于所述匿名化用户标识获取请求,对所述第一用户标识解密,以得到所述SUPI;根据所述SUPI,获取所述第二用户标识,以及向所述数据管理网元返回所述第二用户标识。有助于简化实现方式。
在一种可能的设计中,所述通信系统还包括第一网元;
所述数据管理网元还用于:对所述第一用户标识解密,以得到所述SUPI,并向所述第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述SUPI,以及接收所述第一网元返回的所述第二用户标识;所述第一网元用于响应于所述匿名化用户标识获取请求,根据所述SUPI,获取所述第二用户标识,以及向所述数据管理网元返回所述第二用户标识。有助于简化实现方式。
在一种可能的设计中,所述认证服务网元还用于:向所述第一网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;并接收所述第一网元返回的密钥KAMF,以及向所述移动管理网元发送所述密钥KAMF;所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥;所述第一网元用于响应于所述密钥获取请求,根据所述第二用户标识,生成所述密钥KAMF,并向所述认证服务网元返回所述密钥KAMF;所述移动管理网元还用于:接收所述认证服务网元发送的所述密钥KAMF。以便于移动管理网元能够通过密钥KAMF实现与终端设备之间的安全通信。
在一种可能的设计中,所述第一网元用于根据所述第二用户标识获取所述SUPI,并根据所述SUPI生成所述密钥KAMF。以便于移动管理网元能够通过密钥KAMF实现与终端设备之间的安全通信。
在一种可能的设计中,所述移动管理网元,还用于向所述认证服务器发送第一参数;所述认证服务网元,还用于向所述第一网元发送所述第一参数;所述第一网元用于根据所述SUPI和所述第一参数生成所述密钥KAMF。有助于简化密钥KAMF的生成方式。
在一种可能的设计中,所述数据管理网元还用于对所述第一用户标识解密,以得到所述SUPI;根据所述SUPI,获取所述第二用户标识。有助于简化实现方式。
在一种可能的设计中,所述移动管理网元还用于:根据所述第二用户标识,生成密钥KAMF;所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。有助于简化实现方式。
在一种可能的设计中,所述认证服务网元还用于向所述数据管理网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;并接收所述数据管理网元返回的密钥KAMF,以及向所述移动管理网元发送所述密钥KAMF;所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥;所述数据管理网元,还用于响应于所述密钥获取请求,根据所述第二用户标识,生成所述密钥KAMF,并向所述认证服务网元返回所述密钥KAMF;所述移动管理网元还用于接收所述认证服务网元发送的所述密钥KAMF。有助于简化实现方式。
第二方面,本申请实施例提供的一种通信方法,所述方法包括:
移动管理网元接收到终端设备发送的接入请求,所述接入请求包括第一用户标识,所述第一用户标识是对SUPI加密得到的,所述SUPI为所述终端设备的身份标识;所述移动管理网元响应于所述接入请求,向所述认证服务网元发送第一用户认证请求,所述第一用户认证请求包括所述第一用户标识;所述移动管理网元接收认证服务网元响应于所述第一用户认证请求,返回的第一用户认证响应;
其中,所述第一用户认证响应包括第二用户标识,所述第二用户标识为所述终端设备的匿名化身份标识;或者,所述移动管理网元响应于所述第一用户认证响应,从所述认证服务网元获取所述第二用户标识。
在一种可能的设计中,所述第一用户认证请求还包括第一指示信息,所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。
在一种可能的设计中,第一用户认证响应还包括第二指示信息,所述第二指示信息用于指示所述数据管理网元支持用户身份匿名化处理。
在一种可能的设计中,所述移动管理网元根据所述第二用户标识,生成密钥KAMF;或者,所述移动管理网元接收所述认证服务网元返回的密钥KAMF
所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
在一种可能的设计中,所述移动管理网元还向所述认证服务网元发送第一参数;所述第一参数用于生成所述密钥KAMF
第三方面,本申请实施例提供的另一种通信方法,所述方法包括:
认证服务网元接收到移动管理网元发送的第一用户认证请求;所述第一用户认证请求包括第一用户标识,所述第一用户标识是对SUPI加密得到的,所述SUPI为终端设备的身份标识;所述认证服务网元响应于所述第一用户认证请求,向数据管理网元发送第二用户认证请求,所述第二用户认证请求包括所述第一用户标识;所述认证服务网元接收到所述数据管理网元响应于所述第二用户认证请求,返回的第二用户认证响应,所述第二用户认证响应包括第二用户标识,所述第二用户标识为所述终端设备的匿名化身份标识;所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回第一用户认证响应。
在一种可能的设计中,所述第一用户认证响应包括所述第二用户标识。
在一种可能的设计中,所述第一用户认证请求还包括第一指示信息,则所述认证服务网元响应于所述第一用户认证请求,向所述数据管理网元发送的所述第二用户认证请求还包括所述第一指示信息;所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。
在一种可能的设计中,所述第二用户认证响应还包括第二指示信息,则所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回的所述第一用户认证响应还包括所述第二指示信息;所述第二指示信息用于指示所述数据管理网元支持用户身份匿名化处理。
在一种可能的设计中,所述认证服务网元向第一网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;所述认证服务网元接收所述第一网元响应于所述密钥获取请求,返回的密钥KAMF,所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥KAMF;所述认证服务网元向所述移动管理网元发送的所述密钥KAMF
在一种可能的设计中,所述认证服务网元接收所述移动管理网元发送的第一参数,并将所述第一参数发送给所述第一网元,所述第一参数用于生成所述密钥KAMF
在一种可能的设计中,所述认证服务网元向所述数据管理网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;并接收所述数据管理网元响应于所述密钥获取请求返回的密钥KAMF,向所述移动管理网元发送的所述密钥KAMF,所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥KAMF
第四方面,本申请实施例提供的另一种通信方法,所述方法包括:
数据管理网元接收到认证服务网元发送的第二用户认证请求,所述第二用户认证请求包括第一用户标识,所述第一用户标识是对SUPI加密得到的,所述SUPI为终端设备的身份标识;所述数据管理网元响应于所述第二用户认证请求,向所述认证服务网元返回第二用户认证响应,所述第二用户认证响应包括第二用户标识,所述第二用户标识为所述终端设备的匿名化身份标识。
在一种可能的设计中,所述数据管理网元向第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述第一用户标识;所述数据管理网元接收所述第一网元响应于所述匿名化用户标识获取请求返回的所述第二用户标识。
在一种可能的设计中,所述数据管理网元对所述第一用户标识解密,以得到所述SUPI,并向第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述SUPI;所述数据管理网元接收所述第一网元响应于所述匿名化用户标识获取请求返回的所述第二用户标识。
在一种可能的设计中,所述数据管理网元对所述第一用户标识解密,以得到所述SUPI;并根据所述SUPI,获取所述第二用户标识。
在一种可能的设计中,所述数据管理网元接收到所述认证服务网元发送的密钥获取请求,所述密钥获取请求包括第二用户标识;所述数据管理网元响应于所述密钥获取请求,向所述认证服务网元返回密钥KAMF;所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥。
第五方面,本申请提供的另一种通信方法,所述方法包括:
第一网元接收到数据管理网元发送的匿名化用户标识获取请求,所述匿名化用户标识获取请求包括第一用户标识或者SUPI;所述第一用户标识是对所述SUPI加密得到的,所述SUPI为终端设备的身份标识;所述第一网元响应于所述匿名化用户标识获取请求向数据管理网元返回所述第二用户标识,所述第二用户标识为所述终端设备的匿名化身份标识。
在一种可能的设计中,所述第一网元根据所述SUPI,获取所述第二用户标识,所述SUPI是从所述匿名化用户标识获取请求中得到的,或者对所述第一用户标识解密得到的。
在一种可能的设计中,所述第一网元接收到认证服务网元发送的密钥获取请求,所述密钥获取请求包括所述第二用户标识;所述第一网元响应于所述密钥获取请求,根据所述第二用户标识,生成密钥KAMF,并向所述认证服务网元返回所述密钥KAMF;所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
在一种可能的设计中,所述第一网元接收认证服务网元发送的第一参数;所述第一参数是移动管理网元发送给所述认证服务网元的;所述第一参数用于生成所述密钥KAMF
第五方面,本申请提供的另一种通信系统,包括移动管理网元、认证服务网元和数据管理网元;
所述终端设备用于向所述移动管理网元发送接入请求;所述接入请求包括第一用户标识,所述第一用户标识是对SUPI加密得到的,所述SUPI为所述终端设备的身份标识;
所述移动管理网元用于响应于所述接入请求,向所述认证服务网元发送第一用户认证请求;所述第一用户认证请求包括所述第一用户标识;
所述认证服务网元用于响应于所述第一用户认证请求,向所述数据管理网元发送第二用户认证请求,所述第二用户认证请求包括所述第一用户标识;
所述数据管理网元用于响应于所述第二用户认证请求,向所述认证服务网元返回第二用户认证响应,所述第二用户认证响应中包括第二用户标识;
所述认证服务网元还用于接收到所述第二用户认证响应,向所述移动管理网元返回第一用户认证响应;示例的,第一用户认证响应包括第二用户标识。
所述移动管理网元还用于响应于所述第一用户认证响应,向所述终端设备发送第三用户认证请求,所述第三用户认证请求包括所述第一用户标识;
所述终端设备还用于响应于所述第三用户认证请求,根据SUPI得到所述第二用户标识,并根据所述第二用户标识,生成密钥KAMF;然后向所述移动管理网元返回第三用户认证响应;所述密钥KAMF为所述终端设备与移动管理网元之间的密钥;
所述移动管理网元还用于响应于所述第三用户认证响应,向所述认证服务网元发送第四用户认证请求;
所述认证服务网元响应于第四用户认证请求,向所述移动管理网元返回第四用户认证响应,所述第四用户认证响应包括所述第二用户标识;
所述移动管理网元响应于第四用户认证响应,根据所述第二用户标识,生成所述密钥KAMF
第六方面,本申请实施例的通信装置,该装置可以是平台上实例化的虚拟化功能,也可以是硬件设备或硬件设备中的网络元件等。该装置具有实现上述各方面以及各方面可能设计的技术方案的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的设计中,该装置包括处理单元和通信单元,处理单元例如可以是处理器,通信单元例如可以是收发器,收发器可以包括射频电路。例如,处理单元用于响应于接入请求,触发通信单元向认证服务单元发送第一用户认证请求;再例如处理单元用于响应于第一用户认证请求,触发通信单元向数据管理单元发送第二用户认证请求等。
在另一种可能的设计中,该装置包括处理器和存储器,其中存储器用于存储程序,处理器用于调用存储器中存储的程序,以实现各方面以及各方面任意一项可能的设计中消息保护的方法。需要说明的是,处理器可以通过输入/输出接口、管脚或电路等发送或者接收数据。存储器可以为芯片内的寄存器、缓存等。此外,存储器还可以是终端设备内的位于芯片外部的存储单元,如只读存储器(read-only memory,ROM)、可存储静态信息和指令的其他类型的静态存储设备、随机存取存储器(random access memory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用的中央处理器(centralprocessing unit,CPU),微处理器,特定应用集成电路(application-specificintegrated circuit,ASIC),或一个或多个用于控制执行上述各方面或者各方面任意一项可能设计的消息保护的方法的程序的集成电路。
第七方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序,当该程序在计算机上运行时,使得计算机执行上述各方面所述的方法。
第八方面,本申请还提供一种包含程序的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
另外,第二方面至第九方面中任一种可能设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果,此处不再赘述。
附图说明
图1为本申请实施例的一种通信系统的架构示意图;
图2为本申请实施例的另一通信系统的架构示意图;
图3为本申请实施例的一种通信方法的流程示意图;
图4为本申请实施例的另一通信方法的流程示意图;
图5为本申请实施例的另一通信方法的流程示意图;
图6为本申请实施例的一种通信方法的流程示意图;
图7为本申请实施例的另一通信方法的流程示意图;
图8为本申请实施例的另一通信方法的流程示意图;
图9为本申请实施例的另一通信方法的流程示意图;
图10为本申请实施例的一通信装置的结构示意图;
图11为本申请实施例的另一通信装置的结构示意图;
图12为本申请实施例的另一通信方法的流程示意图;
图13为本申请实施例的另一通信方法的流程示意图;
图14为本申请实施例的另一通信方法的流程示意图;
图15为本申请实施例的另一通信方法的流程示意图。
具体实施方式
本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一(项)个”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b或c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或a、b和c,其中a、b、c中的每一个本身可以是元素,也可以是包含一个或多个元素的集合。
在本申请中,“示例的”“在一些实施例中”“在另一些实施例中”等用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
本申请中“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。本申请实施例中通信、传输有时可以混用,应当指出的是,在不强调区别是,其所表达的含义是一致的。例如传输可以包括发送和/或接收,可以为名词,也可以是动词。
需要指出的是,本申请实施例中涉及的“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
为解决背景技术提到的问题,本申请提供一种通信系统,如图1所示,该通信系统包括移动管理网元、认证服务网元、数据管理网元。此外,在一些实施例中该通信系统还包括第一网元。其中第一网元又可以命名为用户标识匿名化网元等,对第一网元的名称不作限定。
其中,移动管理网元、认证服务网元和数据管理网元为核心网中的网元。此外,对于终端设备来说,移动管理网元为服务网络中的网元,认证服务网元、数据管理网元、第一网元为归属网络中的网元。
示例地,移动管理网元用于在终端设备发起接入时,向认证服务网元发送第一用户认证请求,第一用户认证请求包括第一用户标识,该第一用户标识是对SUPI加密得到的,SUPI为终端设备的身份标识;
认证服务网元用于响应于第一用户认证请求,向数据管理网元发送第二用户认证请求,第二用户认证请求包括第一用户标识;
数据管理网元用于响应于第二用户认证请求,向认证服务网元返回第二用户认证响应,第二用户认证响应包括第二用户标识,第二用户标识为终端设备的匿名化身份标识;
认证服务网元响应于第二用户认证响应,向移动管理网元返回第一用户认证响应。在一些实施例中,第一用户认证响应包括第二用户标识。或者,移动管理网元在接收到第一用户认证响应后,向认证服务网元获取第二用户标识。
在一些实施例中,第二用户标识可以是第一网元生成的,也可以是数据管理网元生成的。示例的,第二用户标识是第一网元生成的,数据管理网元用于响应于第一用户认证请求,向第一网元发送匿名化用户标识获取请求,第一网元用于响应于匿名化用户标识获取请求,向数据管理网元返回第二用户标识。数据管理网元在接收到第一网元返回的第二用户标识后,再向认证服务网元发送第二用户认证请求。例如,第一网元可以向数据管理网元返回匿名化用户标识获取响应,该匿名化用户标识获取响应中包括第二用户标识。
例如,匿名化用户标识获取请求包括第一用户标识,第一网元可以对第一用户标识解密,以得到SUPI,并根据SUPI,得到第二用户标识。再例如,匿名化用户标识获取请求包括SUPI,第一网元可以根据SUPI,得到第二用户标识。
示例的,第二用户标识是数据管理网元生成的,所述数据管理网元响应于第一用户认证请求,根据第一用户标识,得到第二用户标识,然后向认证服务网元返回第二用户认证响应。例如,数据管理网元可以对第一用户标识解密,以得到SUPI,然后根据SUPI,得到第二用户标识。
本申请实施例通过引入第二用户标识,使得核心网中的各网元之间通信时可以通过第二用户标识标识终端设备,与现有技术中通过SUPI标识终端设备相比,有助于降低通信中用户隐私泄露的风险。
在一些实施例中,移动管理网元还可以用于通过认证服务网元向数据管理网元指示移动管理网元支持用户身份匿名化处理。示例的,移动管理网元向认证服务网元发送第一用户认证请求,第一用户认证请求包括第一用户标识和第一指示信息,第一指示信息用于指示移动管理网元支持用户身份匿名化处理。需要说明的是,移动管理网元支持用户身份匿名化处理,还可以理解为:移动管理网元所在的网络支持用户身份匿名化处理,其中,所述移动管理网络所在的网络为终端设备请求接入的网络,用于为终端设备提供服务。其中该网络可以称之为服务网络。认证服务网元接收到第一用户认证请求后,响应于第一用户认证请求,向数据管理网元发送第二用户认证请求,第二用户认证请求包括第一用户标识和第一指示信息,从而达到移动管理网元向数据管理网元指示终端设备的服务网络支持用户身份匿名化处理的目的。
在又一些实施例中,数据管理网元还可以用于通过认证服务网元向移动管理网元指示数据管理网元支持用户身份匿名化处理。示例的,数据管理网元用于响应于第二用户认证请求,向认证服务网元返回第二用户认证响应,第二用户认证响应包括第二用户标识和第二指示信息,第二指示信息用于指示数据管理网元支持用户身份匿名化处理。需要说明的是,数据管理网元支持用户身份匿名化处理,还可以理解为:数据管理网元所在的网络支持用户身份匿名化处理,其中,数据管理网络所在的网络为用于提供终端设备注册相关信息(例如注册状态等)的网络。其中该网络可以称之为归属网络。认证服务网元接收到第二用户认证响应,响应于该第二用户认证响应,向移动管理网元发送第一用户认证响应,第一用户认证响应包括第二指示信息,从而到达指示移动管理网元终端设备的归属网络支持用户身份匿名化处理的目的。
基于本申请实施例提供的通信系统,在不改变终端设备中生成密钥KAMF的方式的情况下,为了避免移动管理网元根据第二用户标识从数据管理网元或第一网元获取SUPI,来得到终端设备与移动管理网元之间的密钥KAMF,在一些实施例中,移动管理网元还可以用于根据第二用户标识,生成密钥KAMF,其中,移动管理网元根据第二用户标识,生成密钥KAMF所使用的算法使得移动管理网元生成的密钥KAMF与终端设备根据SUPI生成的密钥KAMF相同。或者,在另一些实施例中,认证服务网元用于向第一网元发送密钥获取请求,密钥获取请求包括第二用户标识,第一网元用于响应于密钥获取请求,根据第二用户标识得到SUPI,并根据SUPI得到密钥KAMF,然后将密钥KAMF返回给认证服务网元,再由认证服务网元将密钥KAMF发送给移动管理网元。或者,在又一些实施例中,认证服务网元用于向数据管理网元发送密钥获取请求,密钥获取请求包括第二用户标识,数据管理网元用于响应于密钥获取请求,根据第二用户标识得到SUPI,并根据SUPI得到密钥KAMF,然后将密钥KAMF返回给认证服务网元,再由认证服务网元将密钥KAMF发送给移动管理网元。
示例的,第一网元可以根据第二用户标识和第一参数(例如ABBA参数等),得到密钥KAMF,例如,第一参数是由移动管理网元通过认证服务网元发送给第一网元的。例如移动管理网元可以通过将第一参数携带在第一用户认证请求中发送给认证服务网元,再由认证服务网元将第一参数携带在第二用户认证请求中发送给数据管理网元。然后,由数据管理网元将第一参数携带在密钥获取请求中,发送给第一网元。
应理解,本申请实施例中的终端设备(terminal device),也可以称为用户设备(user equipment,UE),是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。所述终端设备可以是手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。以下将终端设备称之为UE进行介绍。
具体的,本申请实施例可以应用于5G通信系统中,也可以应用于其它通信系统中,比如第六代(6th generation,6G)通信系统等未来通信系统中。
示例的,如图2所示,为本申请实施例一种5G通信系统的网络架构的示意图。该5G通信系统的网络架构可以包括接入与移动性管理功能(access and mobility managementfunction,AMF)网元、鉴权服务功能(authentication server function,AUSF)网元、统一数据管理(unified data management,UDM)网元、会话管理功能(session managementfunction,SMF)网元、(无线)接入网((radio)access network,(R)AN)以及用户面功能(user plane function,UPF)网元等。此外,5G通信系统的网络架构中还包括数据网络(data network,DN)、认证凭证存储和处理功能(Authentication Credential Repositoryand Processing Function,ARPF)网元、安全锚点功能(security anchor function,SEAF)网元、第一网元等。
RAN的主要功能是控制UE通过无线接入到移动通信网络。RAN是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。RAN设备包括但不限于:5G中的(gnodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio networkcontroller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved nodeB,或homenode B,HNB)、基带单元(base band unit,BBU)、传输点(transmitting and receivingpoint,TRP)、发射点(transmitting point,TP)、移动交换中心等,此外,还可以包括无线保真(wireless fidelity,wifi)接入点(access point,AP)等。
AMF网元负责UE的接入管理和移动性管理,在实际应用中,其包括了4G通信系统架构中移动管理实体(mobility management entity,MME)的移动性管理功能,并加入了接入管理功能。
AUSF网元具有鉴权服务功能,用于终结SEAF请求的认证功能。
UDM网元为控制面网元,负责存储签约用户的用户永久标识符(subscriberpermanent identifier,SUPI)、信任状(credential)、安全上下文(security context)、用户签约数据等信息。UDM网元所存储的这些信息可用于UE接入5G网络的认证和授权。其中,上述签约用户具体可为使用5G网络提供的业务的用户。上述签约用户的SUPI可为该手机芯卡的号码等。
SMF网元负责会话管理,如用户的会话建立等。
UPF网元是用户面的功能网元,主要负责连接外部网络,其包括了4G通信系统的网络架构中服务网关(serving gateway,S-GW)、分组数据网络网关(packet data networkgateway,PDN gateway,P-GW)的相关功能。
DN负责为UE提供服务的网络,如一些DN为终端设备提供上网功能,另一些DN为终端设备提供短信功能等等。
SEAF网元于完成对UE的认证过程,在5G通信中,SEAF的功能可以合并到AMF网元中。
ARPF网元具有认证凭证存储和处理功能,用于存储UE的长期认证凭证,如永久密钥K等。在5G通信中,ARPF网元的功能可以合并到UDM网元中。
可以理解的是,上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。可选的,上述网元或者功能可以由一个设备实现,也可以由多个设备共同实现,还可以是一个设备内的一个功能模块,本申请实施例对此不作具体限定。
在本申请实施例中,图1中所示的移动管理网元可以为图2中所示的AMF网元,也可以为图2中未示出的SEAF网元,图1中所示的认证服务网元可以为图2中所示的AUSF网元,图1中所示的数据管理网元可以为图2中所示的UDM网元,也可以为图2中未示出的ARPF网元等。
为方便说明,以图1所示的5G通信系统的网络架构为例,对本申请实施例的通信方法进行详细说明。
示例的,如图3所示,为本申请实施例的一种通信方法的流程示意图,具体包括以下步骤。
301、UE向AMF网元发送接入请求;接入请求包括第一用户标识,第一用户标识是对SUPI加密得到的,SUPI为UE的身份标识。
在一些实施例中,第一用户标识可以用户隐藏标识(subscriber permanentidentifier,SUCI),也可以对SUPI加密得到的不同于SUCI的用户标识,对此不作限定。
302、AMF网元响应于接入请求,向AUSF网元发送第一用户认证请求;其中,该第一用户认证请求包括第一用户标识。
在一些实施例中,第一用户认证请求还包括第一指示信息,第一指示信息用于指示AMF网元支持用户身份匿名化处理。以达到通知UDM网元支持用户身份匿名或处理的目的,有助于简化实现方式。此外,AMF网元还可以通过其它方式向UDM网元通知AMF网元支持用户身份匿名化处理,例如,AMF网元可以将第一指示信息携带在自定义的消息中发送给AUSF网元,通过AUSF网元通知给UDM网元。其中,AMF网元可以在发送第一用户认证请求之前或之后发送携带第一指示信息的自定义的消息,也可以同时发送第一用户认证请求、和携带第一指示信息的自定义的消息,对此不作限定。
303、AUSF网元响应于第一用户认证请求,向UDM网元发送第二用户认证请求,第二用户认证请求包括第一用户标识。
在一些实施例中,第二用户认证请求还包括第一指示信息。例如,AUSF网元在第一用户认证请求还包括第一指示信息时,则向UDM网元发送的第二用户认证请求还可以包括第一指示信息,以指示UDM网元AMF网元支持用户身份匿名化处理。或者,AUSF网元接收到其它包括第一指示信息的消息后,也可以在响应于第一用户认证请求,向UDM网元发送的第二用户认证请求中包括第一指示信息。第一指示信息的相关实现方式可以参见上述相关介绍,在此不再赘述。
304、UDM网元响应于第二用户认证请求,向AUSF网元返回第二用户认证响应,第二用户认证响应中包括第二用户标识。第二用户标识为UE的匿名化身份标识。
其中,第二用户标识不同于SUPI,可以与第一用户标识相同,也可以与第一用户标识不同,对此不作限定。
具体的,第二用户标识可以是由UDM网元得到的,也可以是由第一网元得到的。
在一些实施例中,UDM网元响应于第二用户认证请求,根据第一用户标识,得到第二用户标识,然后向AUSF返回第二用户认证响应。例如,UDM网元可以对第一用户标识解密,以得到SUPI,然后根据SUPI,得到第二用户标识。比如,UDM网元根据对第一用户标识解密得到的SUPI,从预先配置的SUPI和匿名化用户标识的对应关系中,查找第二用户标识。SUPI和匿名化用户标识的对应关系可以通过协议预先定义,也可以通过其它方式预先配置在UDM中。再比如,UDM网元还可以根据SUPI,基于第一算法,得到第二用户标识,然后记录SUPI与第二用户标识的对应关系。第一算法可以是通过协议预定义的,也可以通过其它方式预配置的,如第二用户标识=f1(SUPI)。再例如,根据第一用户标识,基于预设算法,得到第二用户标识,如第二用户标识=f0(第一用户标识)。
在另一些实施例中,UDM网元响应于第二用户认证请求,向第一网元发送匿名化用户标识获取请求,匿名化用户标识获取请求包括第一用户标识。第一网元响应于匿名化用户标识获取请求,向UDM网元返回第二用户标识,UDM网元接收到第一网元返回的第二用户标识,再向AUSF网元返回第二用户认证响应。示例的,第一网元响应于匿名化用户标识获取请求,向UDM返回匿名化用户标识获取响应,匿名化用户标识获取响应包括第二用户标识。
需要说明的是,第一网元得到第二用户标识的具体实现方式可以参见UDM网元得到第二用户标识的方式,在此不再赘述。
在又另一些实施例中,UDM网元响应于第二用户认证请求,对第一用户标识解密,得到SUPI,并向第一网元发送匿名化用户标识获取请求,匿名化用户标识获取请求包括SUPI。第一网元响应于匿名化用户标识获取请求,向UDM网元返回第二用户标识,UDM网元接收到第一网元返回的第二用户标识,再向AUSF网元返回第二用户认证响应。需要说明的是,第一网元根据SUPI得到第二用户标识的具体实现方式可以参见UDM网元根据SUPI得到第二用户标识的方式,在此不再赘述。
在一些实施例中,第二用户认证响应还包括第二指示信息,第二指示信息用于指示UDM网元支持用户身份匿名化处理。以达到指示AMF网元UDM网元支持用户身份匿名化处理的目的。
305、AUSF网元响应于第二用户认证响应,向AMF网元返回第一用户认证响应。示例的,第一用户认证响应包括第二用户标识。
在一些实施例中,AUSF网元响应于的第二用户响应包括第二指示信息,则向AMF网元返回的第一用户认证响应也可以包括第二指示信息。
306、AMF网元响应于第一用户认证响应,向UE发送第三用户认证请求。示例的,第三用户认证请求用于向UE发起对网络的验证,例如,第三用户认证请求包括从UDM网元获取的网络的相关信息。
307、UE响应于第三用户认证请求,向AMF网元返回第三用户认证响应。例如,UE在对网络验证通过后,向AMF网元返回第三用户认证响应。再例如,UE在对网络验证未通过时,不向AMF网元返回用户认证响应,也可以向AMF网元返回网络验证失败响应。
示例的,第三用户认证响应可以包括用于验证UE的相关信息,例如RES、或RES*。
308、AMF网元响应于第三用户认证响应,向AUSF网元发送第四用户认证请求。示例的,第四用户认证请求用于发起对UE的验证。
309、AUSF网元响应于第四用户认证请求,向AMF网元返回第四用户认证响应。示例的,第四用户认证响应包括第二用户标识。例如,AUSF网元对UE验证通过后,向AMF网元返回第四用户认证响应。再例如,AUSF网元对UE验证未通过时,可以不向AMF网元发送用户认证响应,也可以向AMF网元返回UE验证失败响应。
需要说明的是,第一用户认证响应包括第二用户标识时,第四用户认证响应可以不包括第二用户标识。或者,第四用户认证响应包括第二用户标识时,第一用户认证响应可以不包括第二用户标识。或者,第一用户认证响应和第四用户认证响应也可以均包括第二用户标识。
进一步的,在另一些实施例中,AUSF网元响应于第四用户认证请求,向第一网元发送密钥获取请求,密钥获取请求包括第二用户标识。第一网元响应于密钥获取请求,向AUSF网元返回密钥KAMF。AUSF网元接收到第一网元返回密钥KAMF,再向AMF网元返回第四用户认证响应。示例的,第四用户认证响应还包括密钥KAMF。从而使得AMF网元获取到密钥KAMF。示例的,第一网元可以根据第二用户标识,从预先配置的SUPI和匿名化用户标识对应关系,查找与第二用户标识对应的SUPI,然后根据SUPI,得到密钥KAMF。在一些实施例中,第一网元根据SUPI和第一参数,得到KAMF。其中,第一参数可以为ABBA参数,可以是AMF网元通过AUSF网元发送给第一网元的。例如,AMF网元将第一参数携带在第四用户认证请求中发送给AUSF网元,AUSF网元将第一参数携带在密钥获取请求中发送给第一网元。
示例的,根据SUPI,得到密钥KAMF的具体实现方式可以参见现有的得到密钥KAMF的实现方式。
或者,AUSF网元响应于第四用户认证请求,向UDM网元发送密钥获取请求,密钥获取请求包括第二用户标识。UDM网元响应于密钥获取请求,向AUSF网元返回密钥KAMF。AUSF网元接收到UDM网元返回密钥KAMF,再向AMF网元返回第四用户认证响应。示例的,第四用户认证响应还包括密钥KAMF。从而使得AMF网元获取到密钥KAMF
需要说明的是,UDM网元生成密钥KAMF的具体实现方式,可以参见第一网元生成密钥KAMF的具体实现方式,在此不再赘述。
或者,AMF网元接收到第四用户认证响应后,根据第二用户标识,基于第二算法,得到密钥KAMF
需要说明的是,上述实施例中AMF网元与AUSF网元之间用户认证请求又可以称之为Nausf_UE Authentication_Authenticate Request,例如,第一用户认证请求和第四用户认证请求又可以称之为Nausf_UE Authentication_Authenticate Request;AMF网元与AUSF网元之间的用户认证响应又可以称之为Nausf_UE Authentication_AuthenticateResponse,例如,第一用户认证响应和第四用户认证响应。上述实施例中AUSF网元与UDM网元之间的用户认证请求又可以称之为Nudm_UE Authentication_Get Request,例如第二用户认证请求;AUSF网元与UDM网元之间的用户认证响应又可以称之为Nudm_UEAuthentication_Get Response,例如第二用户认证响应。上述实施例中AMF网元与UE之间的用户认证请求又可以称之为Authentication-Request,例如第三用户认证请求;AUSF网元与UDM/ARPF网元之间的用户认证响应又可以称之为Authentication-Response,例如第三用户认证响应。本申请实施例对用户认证请求和用户认证响应的名称不作限定。
可以理解的是,图3所示的通信方法中还可以由SEAF网元执行AMF网元执行的步骤,和/或,由ARPF网元执行UDM网元执行的步骤。
以第二用户标识和密钥KAMF是由第一网元得到的为例,示例的,本申请实施例的通信方法可以如图4所示,具体包括以下步骤。
401、UE向AMF网元发送接入请求;接入请求包括SUCI。
402、AMF网元接收到接入请求,向AUSF网元发送Nausf_UE Authentication_Authenticate Request1;Nausf_UE Authentication_Authenticate Request1包括SUCI和指示信息1,指示信息1用于指示AMF网元支持用户身份匿名化处理。
403、AUSF网元接收到Nausf_UE Authentication_Authenticate Request1,向UDM网元发送Nudm_UE Authentication_Get Request,Nudm_UE Authentication_Get Request包括SUCI、和指示信息1。
404、UDM网元接收到Nudm_UE Authentication_Get Request,在UDM网元支持用户身份匿名化处理时,向第一网元发送匿名化用户标识获取请求,该匿名化用户标识获取请求包括SUCI。
405、第一网元接收到匿名化用户标识获取请求,对SUCI进行解密,得到SUPI。然后根据SUPI,从预先配置的SUPI与SUPI*的对应关系中,得到与该SUPI对应的SUPI*,并向UDM网元返回匿名化用户标识获取响应,该匿名化用户标识获取响应包括与SUPI对应的SUPI*。
406、UDM网元接收到匿名化用户标识获取响应,根据SUPI*,从预先配置的SUPI*与用户签约数据的对应关系中,确定UE的用户签约数据,并根据用户签约数据,得到XRES*,向AUSF网元返回Nudm_UE Authentication_Get Response,该Nudm_UE Authentication_GetResponse包括指示信息2、SUPI*和XRES*。指示信息2用于指示UDM网元支持用户身份匿名化处理。
407、AUSF网元接收到Nudm_UE Authentication_Get Response,向AMF网元返回Nausf_UE Authentication_Authenticate Response1,Nausf_UE Authentication_Authenticate Response1包括指示信息2和XRES*。
408、AMF网元接收到Nausf_UE Authentication_Authenticate Response1,向UE发送Authentication-Request。
409、UE接收到Authentication-Request,生成RES*,并向AMF网元返回Authentication-Response,Authentication-Response包括RES*。
410、AMF网元接收到Authentication-Response,判断RES*和XRES*相同,向AUSF网元发送Nausf_UE Authentication_Authenticate Request2,Nausf_UE Authentication_Authenticate Request2包括RES*。
411、AUSF网元接收到Nausf_UE Authentication_Authenticate Request2,根据RES*,生成第一HXRES*,判断第一HXRES*与第二HXRES*相同,向第一网元发送密钥获取请求,密钥获取请求包括SUPI*和ABBA参数。示例的,密钥获取请求还可以包括Kseaf等。
示例的,ABBA参数可以是AMF网元发送给AUSF网元的,例如,AMF网元将ABBA参数携带在Nausf_UE Authentication_Authenticate Request2中发送给AUSF网元的,即Nausf_UE Authentication_Authenticate Request2还包括ABBA参数。
412、第一网元接收到密钥获取请求,根据SUPI*,从预先配置的SUPI*与SUPI的对应关系中,确定UE的SUPI,并根据SUPI和ABBA参数,基于预设算法得到密钥KAMF,然后向AUSF网元返回密钥获取响应,该密钥获取响应包括SUPI*和密钥KAMF
413、AUSF网元接收到密钥获取响应,向AMF网元返回Nausf_UE Authentication_Authenticate Response2,Nausf_UE Authentication_Authenticate Response2包括SUPI*和密钥KAMF
由于UE中也是根据SUPI、ABBA参数,基于预设算法,得到密钥KAMF的,因此本申请实施例中可以基于密钥KAMF实现AMF网元与UE的安全通信。
需要说明的是,第二用户标识和/或密钥KAMF还可以由UDM网元得到。例如,第二用户标识由UDM网元得到,在这种情况下,将步骤404~406可以替换为:404A,UDM网元接收到Nudm_UE Authentication_Get Request,在UDM网元支持用户身份匿名化处理时,对SUCI解密,得到SUPI,根据SUPI,从预先配置的SUPI与SUPI*的对应关系中,得到与该SUPI对应的SUPI*,以及根据SUPI,从预先配置的SUPI与用户签约数据的对应关系中,确定UE的用户签约数据,并根据用户签约数据,得到XRES*,向AUSF网元返回Nudm_UE Authentication_GetResponse,该Nudm_UE Authentication_Get Response包括指示信息2、SUPI*和XRES*。
再例如,密钥KAMF由UDM网元得到,在这种情况下,可以将步骤411、步骤412中的第一网元替换为UDM网元。
再例如,第二用户标识和密钥KAMF均是由UDM网元得到时,在这种情况下,将步骤404~406替换为:404B,UDM网元接收到Nudm_UE Authentication_Get Request,在UDM网元支持用户身份匿名化处理时,对SUCI解密,得到SUPI;根据SUPI,从预先配置的SUPI与SUPI*的对应关系中,得到与该SUPI对应的SUPI*,以及根据SUPI,从预先配置的SUPI与用户签约数据的对应关系中,确定UE的用户签约数据,并根据用户签约数据,得到XRES*;根据SUPI,基于预设算法得到密钥KAMF,向AUSF网元返回Nudm_UE Authentication_Get Response,该Nudm_UE Authentication_Get Response包括指示信息2、SUPI*、XRES*和密钥KAMF。将步骤411~413可以替换为:411A、AUSF网元接收到Nausf_UE Authentication_AuthenticateRequest2,根据RES*,生成第一HXRES*,判断第一HXRES*与第二HXRES*相同,向AMF网元返回Nausf_UE Authentication_Authenticate Response2,Nausf_UE Authentication_Authenticate Response2包括SUPI*和密钥KAMF
以第二用户标识和密钥KAMF是由UDM网元得到的为例,示例的,本申请实施例的通信方法可以如图5所示,具体包括以下步骤。
501、UE向AMF网元发送接入请求;接入请求包括SUCI。
502、AMF网元接收到接入请求,向AUSF网元发送Nausf_UE Authentication_Authenticate Request1;Nausf_UE Authentication_Authenticate Request1包括SUCI、和指示信息1,指示信息1携带ABBA参数,且用于指示AMF网元支持用户身份匿名化处理。
503、AUSF网元接收到Nausf_UE Authentication_Authenticate Request1,向UDM网元发送Nudm_UE Authentication_Get Request,Nudm_UE Authentication_Get Request包括SUCI、和指示信息1。
504、UDM网元接收到Nudm_UE Authentication_Get Request,在UDM网元支持用户身份匿名化处理时,对SUCI进行解密,得到SUPI,根据SUPI、ABBA参数,基于第一算法,得到SUPI*,并记录SUPI与SUPI*的对应关系,以及根据SUPI,从预先配置的SUPI与用户签约数据的对应关系中查找该UE的用户签约数据,根据该UE的用户签约数据生成XRES*,以及向AUSF返回Nudm_UE Authentication_Get Response,该Nudm_UE Authentication_Get Response包括指示信息2、SUPI*和XRES*。指示信息2用于指示UDM网元支持用户身份匿名化处理。
505、AUSF网元接收到Nudm_UE Authentication_Get Response,向AMF网元返回Nausf_UE Authentication_Authenticate Response1,Nausf_UE Authentication_Authenticate Response1包括指示信息2和XRES*。
506、AMF网元接收到Nausf_UE Authentication_Authenticate Response1,向UE发送Authentication-Request。
507、UE接收到Authentication-Request,生成RES*,并向AMF网元返回Authentication-Response,Authentication-Response包括RES*。
508、AMF网元接收到Authentication-Response,判断RES*和XRES*相同,向AUSF网元发送Nausf_UE Authentication_Authenticate Request2,Nausf_UE Authentication_Authenticate Request2包括RES*。
509、AUSF网元接收到Nausf_UE Authentication_Authenticate Request2,根据RES*,生成第一HXRES*,判断第一HXRES*与第二HXRES*相同,向AMF网元返回Nausf_UEAuthentication_Authenticate Response2,Nausf_UE Authentication_AuthenticateResponse2包括SUPI*。
510、AMF网元接收到Nausf_UE Authentication_Authenticate Response2,根据SUPI*、ABBA参数,基于第二算法,得到密钥KAMF
其中,根据SUPI*、ABBA参数基于第二算法得到的密钥KAMF,与UE根据SUPI、ABBA参数得到的密钥KAMF相同,从而有助于基于密钥KAMF实现AMF网元与UE的安全通信。
需要说明的是,图4、图5所示的通信方法仅为示例性说明,并不构成对本申请的限定。
本申请实施例中由于在用户认证过程中可以得到第二用户标识,因此核心网中的网元通信时可以通过第二用户标识标识UE。
示例的,如图6所示,为会话连接建立场景中使用第二用户标识标识UE的方法的流程示意图,具体包括以下步骤。
601、AMF网元向SMF网元发送会话连接建立请求,会话连接建立请求中包括第二用户标识。
602、SMF网元接收到会话连接建立请求,根据第二用户标识寻址对应的UDM网元,并向该UDM网元发送用户签约数据查询请求,该用户签约数据查询请求包括第二用户标识。
603、UDM网元接收到用户签约数据查询请求,根据第二用户标识,查询UE的用户签约数据。
示例的,UDM网元可以根据第二用户标识,从预先配置的匿名化用户标识和用户签约数据的对应关系中,查询UE的用户签约数据。或者,UDM网元可以对第二用户标识解密,得到SUPI,根据SUPI,从预先配置的SUPI与用户签约数据的对应关系中,查询UE的用户签约数据。
由于上述过程中AMF网元、SMF网元和UDM网元在会话连接建立过程中查询用户签约数据时,是通过第二用户标识标识UE的,因而大大降低了通信过程中隐私泄露的风险。
示例的,如图7所示,为注册状态查询的场景中使用第二用户标识标识UE的方法的流程示意图,具体包括以下步骤。
701、AMF网元根据第二用户标识寻址到对应的UDM网元,并向该UDM网元发送注册状态查询请求,注册状态查询请求包括第二用户标识。
702、UDM网元接收到注册状态查询请求,记录第二用户标识标识的UE的注册状态。
示例的,UE的注册状态包括去注册、注册等状态。
需要说明的是,第二用户标识还可以应用于其它场景中核心网的各网元通信时用于标识UE,例如AMF网元和PCF网元、SMF网元和PCF网元等通信时,可以采用第二用户标识标识UE。
在一些实施例中,AMF网元还可以记录全球唯一临时UE标识(globally uniquetemporary UE identity,GUTI)与第二用户标识的对应关系,以便于AMF网元在接收到GUTI时,便于查找第二用户标识。
此外,在一些实施例中,还可以通过改变UE计算密钥KAMF时使用的参数,以UE计算密钥KAMF时使用的参数为第二用户标识为例,示例的,本申请实施例提供的另一种通信方法,如图8所示,具体包括以下步骤。
801、UE向AMF网元发送接入请求;接入请求包括第一用户标识。第一用户标识是对SUPI加密得到的,SUPI为UE的身份标识。
示例的,第一用户标识为SUCI。
在一些实施例中,接入请求还包括第一指示信息,第一指示信息用于指示UE支持用户身份匿名化处理。
802、AMF网元响应于接入请求,向AUSF网元发送第一用户认证请求;第一用户认证请求包括第一用户标识。
示例的,接入请求包括第一指示信息时,第一用户认证请求也可以包括第一指示信息。
803、AUSF网元响应于第一用户认证请求,向UDM网元发送第二用户认证请求,第二用户认证请求包括第一用户标识。
示例的,第一用户认证请求包括第一指示信息时,第二用户认证请求也可以包括第一指示信息。
804、UDM网元响应于第二用户认证请求,向AUSF网元返回第二用户认证响应,第二用户认证响应中包括第二用户标识符;第二用户标识为UE的匿名化身份标识。例如,第二用户标识可以为SUPI*。
进一步的,在一些实施例中,第二用户认证响应还可以包括第二指示信息,第二指示信息用于指示UDM网元支持用户身份匿名化处理。
其中,第二用户标识可以是UDM网元得到的,也可以是第一网元得到的,具体实现方式可以参见上述相关介绍,在此不再赘述。
805、AUSF网元响应于第二用户认证响应,向AMF网元返回第一用户认证响应。示例的,第一用户认证响应包括第二指示信息。或者,第一用户认证响应也可以包括第二用户标识。
806、AMF网元响应于第一用户认证响应,向UE发送第三用户认证请求。示例的,第三用户认证请求还包括第二指示信息。例如,第三用户认证请求用于向UE发起对网络的验证。
807、UE响应于第三用户认证请求,根据SUPI得到第二用户标识,并根据第二用户标识生成密钥KAMF;以及向AMF网元返回第三用户认证响应;
需要说明的是,根据SUPI得到第二用户标识、根据第二用户标识生成密钥KAMF的具体实现方式可以参见上述各实施例中的相关介绍。
808、AMF网元响应于第三用户认证响应,向AUSF网元发送第四用户认证请求。例如,第四用户认证请求可以用于发起对UE的验证。
809、AUSF网元响应于第四用户认证请求,向AMF网元返回第四用户认证响应,第四用户认证响应中包括第二用户标识。
810、AMF网元响应于第四用户认证响应,根据第二用户标识,生成密钥KAMF。从而使得AMF网元生成的密钥KAMF与UE生成的密钥KAMF相同,有助于实现安全通信。
在一些实施例中,第一用户认证响应包括第二用户标识时,AMF网元可以响应于第一用户认证响应,根据第二用户标识,生成密钥KAMF,当接收到第四用户认证响应后,无需根据第二用户标识,生成密钥KAMF
示例的,如图9所示,为本申请实施例还提供又一种通信方法,具体包括以下步骤。
901、配置在网元1上的第一用户标识转换模块接收到来自网元2的第一业务请求,第一业务请求包括用户标识1,用户标识1为终端设备A的身份标识。例如,用户标识1可以为SUPI,也可以为SUCI、或者临时用户身份标识等。
902、第一用户标识转换模块对将第一业务请求中的用户标识1替换为用户标识2,用户标识2为终端设备A的匿名化身份标识。例如,用户标识2可以为上述实施例中的第二用户标识。
例如,第一用户标识转化模块可以根据预先设置的用户标识1与用户标识2的对应关系,将第一业务请求中的用户标识1替换为对应的用户标识2。再例如,第一用户标识转换模块还可以基于第一算法,对第一业务请求中的用户标识1进行相应的运算,得到用户标识2,并将第一业务请求中的用户标识1替换为得到的用户标识2。
903、第一用户标识转换模块将用户标识1替换为用户标识2的第一业务请求发送给网元1。
904、网元1响应于第一业务请求,向配置在网元1上的第二用户标识转换模块发送第一业务响应,第一业务响应包括用户标识2,用户标识2为终端设备A的匿名化身份标识。
905、第二用户标识转换模块将第一业务响应中的用户标识2替换为用户标识1,用户标识1为终端设备A的身份标识。
第二用户标识转换模块将第一业务响应中的用户标识2替换为用户标识1,可以看做是将消息中的用户标识1替换为用户标识2的逆过程,例如,第一用户标识转换模块根据预先设置的用户标识1与用户标识2的对应关系,将第一业务请求中的用户标识1替换为对应的用户标识2,则第二用户标识转换模块也可以根据预先设置的用户标识1与用户标识2的对应关系,将第一业务响应中的用户标识2替换为对应的用户标识1。再例如,第一用户标识转换模块还可以基于第一算法和密钥1,对第一业务请求中的用户标识1进行相应的运算,得到用户标识2,并将第一业务请求中的用户标识1替换为得到的用户标识2。则第二用户标识转换模块可以基于第二算法和密钥2,对第一业务响应中的用户标识2进行相应的运算,得到用户标识1,并将第一业务响应中的用户标识2替换为得到的用户标识1。第二算法可以为第一算法的逆运算。需要说明的是,密钥1和密钥2可以相同,也可以不同。此外,第一算法、和密钥1可以预配置在第一用户标识转换模块,也可以是第一用户标识转换模块从其它网元(例如UDM网元、第一网元等)获取的,对此不作限定。第二算法和密钥2可以预配置在第二用户标识转换模块,也可以是第二用户标识转换模块从其它网元(例如UDM网元、第一网元等)获取的,对此不作限定。
另外,还需要说明的是,上述仅为用户标识1和用户标识2具体转换方法的示例性说明,本申请实施例对用户标识1和用户标识2转换的方式不作限定。
906、第二用户标识转换模块将用户标识2替换为用户标识1的第一业务响应返回给网元2。
需要说明的是,上述网元1可以为AMF网元、AUSF网元、SMF网元等核心网中的网元,对此不作限定。网元2可以为终端设备,也可以核心网中的网元,例如AMF网元、AUSF网元、SMF网元等。
需要说明的是,第一用户标识转换模块和第二用户标识转换模块可以为两个独立的模块,分别配置在网元1上,也可以为一个模块,配置在网元1上,例如,第一用户标识转换模块和第二用户标识转换模块对于网元1来说是可拆卸的。需要说明的是,第一用户标识转换模块和第二用户标识转换模块的生产商与网元1的生产商可以不同。
通过该技术方案,使得网元无法获取终端设备的身份标识,有助于提高通信的安全性。
以上各个实施例可以独立使用,也可以相互结合使用,以实现不同的技术效果。
上述主要从各个网元之间交互的角度对本申请提供的方案进行了介绍。可以理解的是,上述实现各网元为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
如图10所示,为本申请所涉及的装置的一种可能的示例性框图,该装置1000可以以软件或硬件的形式存在。装置1000可以包括:处理单元1002和通信单元1001。作为一种实现方式,该通信单元1001可以包括接收单元和发送单元。处理单元1002用于对装置1000的动作进行控制管理。通信单元1001用于支持装置1000与其他网络实体的通信。
其中,处理单元1002可以是处理器或控制器,例如可以是通用中央处理器(central processing unit,CPU),通用处理器,数字信号处理(digital signalprocessing,DSP),专用集成电路(application specific integrated circuits,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包括一个或多个微处理器组合,DSP和微处理器的组合等等。通信单元1001是一种该装置的接口电路,用于从其它装置接收信号。例如,当该装置以芯片的方式实现时,该通信单元1001是该芯片用于从其它芯片或装置接收信号的接口电路,或者,是该芯片用于向其它芯片或装置发送信号的接口电路。
该装置1000可以为上述实施例中的移动管理网元、认证服务网元、数据管理网元或第一网元,还可以为用于移动管理网元、认证服务网元、数据管理网元或第一网元的芯片。例如,当装置1000为移动管理网元、认证服务网元、数据管理网元或第一网元时,该处理单元1002例如可以是处理器,该通信单元1001例如可以是收发器。可选的,该收发器可以包括射频电路,该存储单元例如可以是存储器。例如,当装置1000为用于移动管理网元、认证服务网元、数据管理网元或第一网元的芯片时,该处理单元1002例如可以是处理器,该通信单元1001例如可以是输入/输出接口、管脚或电路等。该处理单元1002可执行存储单元存储的计算机执行指令,示例的,该存储单元为该芯片内的存储单元,如寄存器、缓存等,该存储单元还可以是该移动管理网元、认证服务网元、数据管理网元或第一网元内的位于该芯片外部的存储单元,如只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)等。
在一实施例中,该装置1000为上述实施例中的移动管理网元。处理单元1002,用于在通信单元1001接收到终端设备发送的接入请求时,响应于接入请求,触发通信单元1001向认证服务网元发送第一用户认证请求。通信单元1001还有于接收认证服务单元响应于第一用户认证请求,返回的第一用户认证响应。第一用户认证响应包括第二用户标识;或者,处理单元1002响应于第一用户认证响应,通过通信单元1001从认证服务单元获取第二用户标识。
在另一实施例中,该装置1000为上述实施例中的认证服务网元。处理单元1002,用于在通信单元1001接收到移动管理网元发送的第一用户认证请求时,响应于第一用户认证请求,向数据管理网元发送第二用户认证请求。第一用户认证请求包括第一用户标识,通信单元1001还用于接收数据管理网元响应于第二用户认证请求,返回的第二用户认证响应,第二用户认证响应包括第二用户标识。处理单元1002还用于响应于第二用户认证响应,向移动管理网元返回第一用户认证响应。
在另一实施例中,该装置1000为上述实施例中的数据管理网元。处理单元1002,用于在通信单元1001接收到认证服务网元发送的第二用户认证请求时,响应于第二用户认证请求,触发通信单元1001向认证服务王艳返回第二用户认证响应,第二用户认证响应包括第二用户标识。
在另一实施例中,该装置1000为上述实施例中的会话管理网元。处理单元1002,用于在通信单元1001接收到数据管理网元发送的匿名化用户标识获取请求,响应于匿名化用户标识获取请求,触发通信单元1001向数据管理网元返回第二用户标识。其中,匿名化用户标识获取请求包括第一用户标识或SUPI。
可以理解的是,该装置1000执行本申请实施例通信方法的具体过程以及相应的有益效果,可以参考前述方法实施例中的相关描述,这里不再赘述。
若该装置是移动性管理网元、认证服务网元、数据管理网元或第一网元,则移动管理网元认证服务网元、数据管理网元或第一网元以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该移动管理网元、认证服务网元、数据管理网元或第一网元可以采用图11所示的形式。
比如,图11中的处理器1102可以通过调用存储器1101中存储的程序指令,使得移动性管理网元、认证服务网元、数据管理网元或第一网元执行上述方法实施例中的方法。
具体的,图10中的通信单元1001、处理单元1002的功能/实现过程可以通过图11中的处理器1102调用存储器1101中存储的计算机执行指令来实现。或者,图10中的处理单元1002的功能/实现过程可以通过图11中的处理器1102调用存储器1101中存储的计算机执行指令来实现,图10中的通信单元1001的功能/实现过程可以通过图11中的通信接口1103来实现。
可选的,当该装置1000是芯片或电路时,则通信单元1001的功能/实现过程还可以通过管脚或电路等来实现。
如图11所示,为本申请提供的又一种装置示意图,该装置可以是上述实施例中的移动管理网元、认证服务网元、数据管理网元或第一网元。该装置1100包括:处理器1102和通信接口1103,可选的,装置1100还可以包括存储器1101。可选的,装置1100还可以包括通信线路1104。其中,通信接口1103、处理器1102以及存储器1101可以通过通信线路1104相互连接;通信线路1104可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。所述通信线路1104可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器1102可以是一个CPU,微处理器,ASIC,或一个或多个用于控制本申请方案程序执行的集成电路。
通信接口1103,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN),有线接入网等。
存储器1101可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路1104与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器1101用于存储执行本申请方案的计算机执行指令,并由处理器1102来控制执行。处理器1102用于执行存储器1101中存储的计算机执行指令,从而实现本申请上述实施例提供的会话管理网元的选择方法。
可选的,本申请实施例中的程序指令也可以称之为应用程序代码、计算机程序、计算机指令等,本申请实施例对此不作具体限定。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本申请实施例中所描述的各种说明性的逻辑单元和电路可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列(FPGA)或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本申请实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件单元、或者这两者的结合。软件单元可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
此外,在一些实施例中,还需要考虑UE是否支持匿名化处理,可以通过UE与网络交换指示的方式来确定是否进行匿名化处理,示例的,本申请实施例提供的另一种通信方法,如图12所示,具体包括以下步骤。
1201、UE向AMF网元发送接入请求;接入请求包括第一用户标识。第一用户标识是对SUPI加密得到的,SUPI为UE的身份标识。
示例的,第一用户标识为SUCI。
在一些实施例中,接入请求还包括指示信息1,指示信息1用于指示UE支持用户身份匿名化处理。
1202、AMF网元响应于接入请求,向AUSF网元发送第一用户认证请求;第一用户认证请求包括第一用户标识和服务网络名称。
示例的,服务网络名称包含PLMN ID和/或网络标识(network identifier,NID)。其中,PLMN ID和NID联合用于标识非公共网络(例如,独立组网的非公共网络(standalonenon-public network,SNPN))。
在一些实施例中,AMF网元或AMF网元所在的网络支持用户身份匿名化处理时,第一用户认证请求也可以包括指示信息2,指示信息2用于指示AMF网元或AMF网元所在网络和/或UE支持用户身份匿名化处理。例如,在指示信息2用于指示UE支持用户身份匿名化处理的情况下,可以隐含向UDM网元指示AMF网元或AMF网元所在的网络也支持用户身份匿名化处理。
在一些实施例中,接入请求包括指示信息1时,第一用户认证请求也可以包括指示信息1。
在一些实施例中,接入请求包括指示信息1、且AMF网元或AMF网元所在网络支持用户身份匿名化处理时,第一用户认证请求也可以包括指示信息1和/或指示信息2,指示信息2用于指示AMF网元或AMF网元所在网络和/或UE支持用户身份匿名化处理。
1203、AUSF网元响应于第一用户认证请求,向UDM网元发送第二用户认证请求,第二用户认证请求包括第一用户标识和服务网络名称。
在一些实施例中,第一用户认证请求包括指示信息1时,用户认证请求也可以包括指示信息1。
在一些实施例中,第一用户认证请求中包括指示信息2时,第二用户认证请求也可以包括指示信息2。
1204、UDM网元响应于第二用户认证请求,向AUSF网元返回第二用户认证响应,第二用户认证响应中包括第二用户标识;
示例的,第二用户标识为UE的SUPI。又示例的,第二用户标识为UE的匿名化身份标识。例如第二用户标识为SUPI*。此外,UDM网元还记录SUPI与SUPI*的对应关系。
例如,UDM网元在第二用户认证请求包括指示信息1和/或指示信息2的情况下,第二用户标识为UE的匿名化身份标识。以UE的匿名化身份标识为SUPI*为例,UDM网元还记录SUPI与SPUI*的对应关系。
又例如,UDM网元在第二用户认证请求包括指示信息1和/或服务网络名称包括NID的情况下,第二用户标识为UE的匿名化身份标识。以UE的匿名化身份标识为SUPI*为例,UDM网元还记录SUPI与SPUI*的对应关系。
又例如,UDM网元在UE签约能力指示UE支持用户身份匿名化处理和/或第二用户认证请求包括指示信息2的情况下,第二用户标识为UE的匿名化身份标识。以UE的匿名化身份标识为SUPI*为例,UDM网元还记录SUPI与SUPI*的对应关系。
又例如,UDM网元在UE签约能力指示UE支持用户身份匿名化处理和/或第二用户认证请求包括的服务网络名称包含NID的情况下,第二用户标识为UE的匿名化身份标识。以UE的匿名化身份标识为SUPI*为例,UDM网元还记录SUPI与SPUI*的对应关系。
在一些实施例中,UE的匿名化身份标识(例如SUPI*)是由UDM网元根据以下参数中一种或者多种,基于某一算法或策略生成的:
新鲜性参数,包括但不限于:随机数(RAND)、序列号(sequence number,SQN)、计数(count);其中,计数指的是UE和网络侧维护的计数器所计的数值,例如NAS计数器所计的值。
UE的标识,包括但不限于:SUPI、5G全球唯一临时标识符(5G globally uniquetemporary identifier,5G-GUTI)、SUCI、通用公共订阅标识符(generic publicsubscription identifier,GPSI)等;
UE和网络侧之间的共享密钥,包括但不限于:KAUSF、加密密钥CK、完整性密钥IK、匿名密钥AK、长期密钥K、以及由KAUSF、KAKMA、CK、IK、AK和K中的任意一项或多项生成的密钥,比如SEAF密钥KSEAF等。具体的,KSEAF由KAUSF生成。
公私钥,包括但不限于:UE的公钥、UE的私钥、UE的归属网络的公钥、UE的归属网络的私钥等;
网络标识,包括但不限于:服务网络标识、服务网络名称、归属网络名称、路由参数routing indicator等;
其中UDM网元生成UE的匿名化身份标识所使用的算法或策略包括:推演,和/或拼接等,本申请实施例不作限定。
在一些实施例中,第二用户认证响应还可以包括指示信息3,指示信息3用于指示UDM网元支持用户身份匿名化处理,其中,UDM网元支持用户身份匿名化处理又可以表述为UDM网元进行了用户身份匿名化处理,和/或,UDM网元所在归属网络支持用户身份匿名化处理。
在一些实施例中,第二用户认证响应还可以包括指示信息4,指示信息4用于指示UE支持用户身份匿名化处理。
1205、AUSF网元响应于第二用户认证响应,向AMF网元返回第一用户认证响应。示例的,第一用户认证响应包括指示信息3和/或第三用户标识。
在一些实施例中,AUSF网元根据指示信息1和/或指示信息4和/或指示信息2和/或服务网络名称包含NID,生成第三用户标识,第三用户标识为UE的匿名化身份标识。例如第三用户标识为SUPI*。
其中,第三用户标识可以是第二用户标识,也可以AUSF网元根据第二用户标识计算得到的。具体计算包含的参数与UDM网元生成SUPI*的方式一致,这里不再赘述。
1206、AMF网元响应于第一用户认证响应,向UE发送第三用户认证请求,第三用户认证请求用于向UE发起认证。示例的,第三用户认证请求还可以包括指示信息3。
在一些实施例中,指示信息3可以携带在认证令牌AUTN中。
1207、UE响应于第三用户认证请求,向AMF网元返回第三用户认证响应,以及根据SUPI和/或指示信息3生成第二用户标识,并根据第二用户标识生成密钥KAMF。
需要说明的是,UE根据SUPI生成第二用户标识与上述UDM生成SUPI*的方式一致。UE根据第二用户标识生成密钥KAMF的具体实现方式可以参见上述各实施例中的相关介绍。
UE可以在向AMF返回第三用户认证响应之后,生成第二用户标识和密钥KAMF,也可以在返回第三用户认证响应之前生成第二用户标识和密钥KAMF,对此不作限定。此外,UE生成第二用户标识和密钥KAMF的方式可参见上述相关介绍,在此不再赘述。
在一些实施例中,生成密钥KAMF时只用SUPI*除去PLMN ID和/或路由信息的部分。
1208、AMF网元响应于第三用户认证响应,向AUSF网元发送第四用户认证请求。例如,第四用户认证请求可以用于发起对UE的验证。
1209、AUSF网元响应于第四用户认证请求,向AMF网元返回第四用户认证响应,第四用户认证响应中也可以包括第三用户标识。
在一些实施例中,AUSF网元根据指示信息1和/或指示信息4和/或指示信息2和/或服务网络名称包含NID生成第三用户标识,第三用户标识为UE的匿名化身份标识。例如第三用户标识为SUPI*。
其中,第三用户标识可以是第二用户标识,也可以AUSF根据第二用户标识计算得到的。具体计算包含的参数与UDM网元生成SUPI*的方式一致,这里不再赘述。
在一些实施例中,AUSF网元在认证UE成功后,向UDM网元返回用户认证结果,其中用户认证结果包括第三用户标识和/或SUPI。
1210、AMF网元响应于第四用户认证响应,根据第三用户标识,生成密钥KAMF。从而使得AMF网元生成的密钥KAMF与UE生成的密钥KAMF相同,有助于实现安全通信。
进一步的,在一些实施例中,在UE接入网络后,还可以由AMF网元主动发起用户认证,更新UE与网络之间通信交互所使用的UE的匿名化身份标识,例如SUPI*。
示例的,AMF网元可以在UE接入网络后周期性触发发起用户认证,也可以通过事件(例如小区切换、NAS COUNT wrap around等)触发发起用户认证。
例如,以UE的匿名化用户标识为SUPI*1为例,如图13所示,为AMF网络主动发起用户认证时的通信方法,具体包括以下步骤。
1301、AMF网元向AUSF网元发送第一用户认证请求;第一用户认证请求包括SUPI*1和服务网络名称。
示例的,服务网络名称包含PLMN ID和/或NID。
在一些实施例中,AMF网元或AMF网元所在的网络支持用户身份匿名化处理时,第一用户认证请求也可以包括指示信息2,指示信息2用于指示AMF网元或AMF网元所在网络和/或UE支持用户身份匿名化处理。
在一些实施例中,当UE支持用户身份匿名化处理时,AMF网元存储指示信息1,指示信息1用于指示UE支持用户身份匿名化处理,在这种情况下,第一用户认证请求还可以包括指示信息1。
1302、AUSF网元响应于第一用户认证请求,向UDM网元发送第二用户认证请求,第二用户认证请求包括SUPI*1和服务网络名称。
在一些实施例中,第一用户认证请求包括指示信息2时,用户认证请求也可以包括指示信息2。
1303、UDM网元响应于第二用户认证请求,向AUSF网元返回第二用户认证响应,第二用户认证响应中包括SUPI*1和SUPI*2;
在一些实施例中,第二用户认证响应包括指示信息2、和/或UDM网元支持用户身份匿名化处理时,UDM网元若根据SUPI*1,从记录的SUPI与SUPI*的对应关系中查找到与SUPI*1对应的SUPI,则判断UE支持用户身份匿名化处理,生成SUPI*2,以及记录SUPI与SUPI*2的对应关系。具体的,生成SUPI*2的方式可以参见上述步骤1204中生成第二用户标识的相关介绍,在此不再赘述。
进一步,示例的,在UDM网元判定判断UE支持用户身份匿名化处理的情况下,第二用户认证响应还可以包括指示信息1,用于指示UE支持用户身份匿名化处理。以便于显示向AMF网元指示UE支持用户身份匿名化处理。
在另一些实施例中,UDM网元若根据SUPI*1,从记录的SUPI与SUPI*的对应关系中未查找到与SUPI*1对应的SUPI,则将SUPI*1作为SUPI处理。
在另一些实施例中,当AMF网元不支持用户身份匿名化处理时,UDM网元响应于第二用户认证请求,向AUSF网元返回第二用户认证响应包括SUPI,不包括指示信息3,指示信息3用于指示UDM网元支持用户身份匿名化处理。
在一些实施例中,第二用户认证响应包括指示信息2、和/或UDM网元支持用户身份匿名化处理时,第二用户认证响应还可以包括指示信息3,其中,UDM网元支持用户身份匿名化处理又可以表述为UDM网元进行了用户身份匿名化处理,和/或,UDM网元所在归属网络支持用户身份匿名化处理。
1304、AUSF网元响应于第二用户认证响应,向AMF网元返回第一用户认证响应。示例的,第一用户认证响应包括指示信息3。
1305、AMF网元响应于第一用户认证响应,向UE发送第三用户认证请求,第三用户认证请求用于向UE发起认证。示例的,第三用户认证请求还可以包括指示信息3。
在一些实施例中,指示信息3可以携带在认证令牌AUTN中。
1306、UE响应于第三用户认证请求,向AMF网元返回第三用户认证响应,以及根据SUPI和/或指示信息3生成SUPI*2,并根据SUPI*2生成密钥KAMF。
需要说明的是,UE根据SUPI生成SUPI*2与上述UDM生成SUPI*的方式一致。UE根据SUPI*2生成密钥KAMF的具体实现方式可以参见上述各实施例中的相关介绍。
UE可以在向AMF返回第三用户认证响应之后,生成SUPI*2和密钥KAMF,也可以在返回第三用户认证响应之前生成SUPI*2和密钥KAMF,对此不作限定。此外,UE生成SUPI*2和密钥KAMF的方式可参见上述相关介绍,在此不再赘述。
1307、AMF网元响应于第三用户认证响应,向AUSF网元发送第四用户认证请求。例如,第四用户认证请求可以用于发起对UE的验证。
1308、AUSF网元响应于第四用户认证请求,向AMF网元返回第四用户认证响应,第四用户认证响应中可以包括第三用户标识、SUPI*2。在一些实施例中,第四用户认证响应中也可以包括SUPI*1。
第三用户标识的相关介绍可以参见步骤1209中的描述,这里不再赘述。
1309、AMF网元响应于第四用户认证响应,当SUPI*2与SUPI*1不同时,将SUPI*1替换为SUPI*2,并记录SUPI*1与SUPI*2的对应关系,并根据SUPI*2,生成密钥KAMF。从而实现用户匿名身份标识的更新,有助于实现安全通信。
进一步的,AMF网元还可以通过比较SUPI*2与SUPI*1,当SUPI*2与SUPI*1不同时,判定UE支持用户身份匿名化处理。从而实现隐式判定UE支持用户身份匿名化处理。
又进一步的,在一些实施例中,如图14所示,AMF网元在将SUPI*1替换为SUPI*2后,还包括:
1401、AMF网元向SMF网元发送会话连接建立请求,该会话连接建立请求包括SUPI*1和SUPI*2。
1402、SMF网元在接收到会话建立连接请求后,将SUPI*1替换为SUPI*2,以便于后续SMF网元通过SUPI*2标识UE。
示例的,会话连接建立请求可以为Nsmf_PDUSession_CreateSMContext Request。
上述是以SMF网元为例进行介绍的,也就是说,AMF网元在针对某一UE更新用户身份匿名化标识后,可以通过与核心网中其它网元之间的业务消息中携带更新后的UE的用户身份匿名化标识,从而有助于节省资源开销。
此外,对于核心网中的除AMF网元以外的其它网元还可以在每次获取到UE的用户身份匿名化标识后,通过向AMF网元订阅,以使得AMF网元在再次更新UE的用户身份匿名化标识后,向其它网元发送更新后的UE的用户身份匿名化标识。
以NF网元1已获取到UE的用户身份匿名化标识为SUPI*1为例,本申请实施例订阅用户匿名化身份标识更新的方法可以如图15所示,具体包括以下步骤:
1501、NF网元1向AMF网元发送订阅用户匿名化身份标识更新请求,其中订阅用户匿名化身份标识更新请求包括SUPI*1。
例如,订阅用户匿名化身份标识更新请求为一个新定义的消息,例如AMF_UEIdentifier_UpdateSubscribe。再例如,订阅用户匿名化身份标识更新请求可以为已有的业务消息。
1502、AMF网元接收到订阅用户匿名化身份标识更新请求后,若将SUPI*1替换为SUPI*2,则向NF网元1发送订阅用户匿名化身份标识更新响应,订阅用户匿名化身份标识更新响应中包括SUPI*1和SUPI*2。
例如,订阅用户匿名化身份标识更新响应可以为一个新定义的消息,例如AMF_UEIdentifier_UpdateNotification。再例如,订阅用户匿名化身份标识更新响应可以为已有的业务消息。
1503、NF网元1接收到订阅用户匿名化身份标识更新响应后,将SUPI*1替换为SUPI*2。
进一步的,为避免后续AMF网元再次更新SUPI*2,NF网元1将SUPI*1替换为SUPI*2后,再次向AMF网元发送订阅用户匿名化身份标识更新请求,或者,AMF网元再将SUPI*1替换为SUPI*2后,将对SUPI*1的订阅替换为对SUPI*2的订阅。
此外,需要说明的是,本申请各实施例中涉及的接入请求可以理解为注册请求,即本申请实施例中涉及的接入请求可以替换为注册请求。

Claims (30)

1.一种通信系统,其特征在于,包括移动管理网元、认证服务网元、数据管理网元和第一网元;
所述移动管理网元用于接收终端设备发送的接入请求;所述接入请求包括第一用户标识,所述第一用户标识是对用户标识SUPI加密得到的,所述SUPI为所述终端设备的身份标识;
所述移动管理网元用于响应于所述接入请求,向所述认证服务网元发送第一用户认证请求;所述第一用户认证请求包括所述第一用户标识;
所述认证服务网元用于响应于所述第一用户认证请求,向所述数据管理网元发送第二用户认证请求,所述第二用户认证请求包括所述第一用户标识;
所述数据管理网元用于响应于所述第二用户认证请求,向所述认证服务网元返回第二用户认证响应,所述第二用户认证响应包括第二用户标识;所述第二用户标识为根据预先配置的所述SUPI和匿名化用户标识的对应关系中确定的匿名化身份标识;
所述认证服务网元还用于响应于所述第二用户认证响应,向所述移动管理网元返回第一用户认证响应;
所述认证服务网元还用于向所述第一网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;并接收所述第一网元返回的密钥KAMF,以及向所述移动管理网元发送所述密钥KAMF;所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥;所述第一网元用于响应于所述密钥获取请求,根据所述第二用户标识,生成所述密钥KAMF,并向所述认证服务网元返回所述密钥KAMF;所述移动管理网元还用于:接收所述认证服务网元发送的所述密钥KAMF;或者,所述数据管理网元,还用于:对所述第一用户标识解密,以得到所述SUPI;根据所述SUPI,获取所述第二用户标识;所述认证服务网元还用于:向所述数据管理网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;并接收所述数据管理网元返回的密钥KAMF,以及向所述移动管理网元发送所述密钥KAMF;所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥;所述数据管理网元,还用于:响应于所述密钥获取请求,根据所述第二用户标识,生成所述密钥KAMF,并向所述认证服务网元返回所述密钥KAMF;所述移动管理网元还用于:接收所述认证服务网元发送的所述密钥KAMF
2.如权利要求1所述的通信系统,其特征在于,所述第一用户认证响应还包括所述第二用户标识。
3.如权利要求1或2所述的通信系统,其特征在于,所述移动管理网元还用于:
响应于所述第一用户认证响应,从所述认证服务网元获取所述第二用户标识。
4.如权利要求1或2所述的通信系统,其特征在于,所述第一用户认证请求还包括第一指示信息,则所述认证服务网元响应于所述第一用户认证请求,向所述数据管理网元发送的所述第二用户认证请求还包括所述第一指示信息;所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。
5.如权利要求1或2所述的通信系统,其特征在于,所述第二用户认证响应还包括第二指示信息,则所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回的所述第一用户认证响应还包括所述第二指示信息;所述第二指示信息用于指示所述数据管理网元支持用户身份匿名化处理。
6.如权利要求1或2所述的通信系统,其特征在于,所述数据管理网元还用于:
向所述第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述第一用户标识,以及接收所述第一网元返回的所述第二用户标识;
所述第一网元用于响应于所述匿名化用户标识获取请求,对所述第一用户标识解密,以得到所述SUPI;根据所述SUPI,获取所述第二用户标识,以及向所述数据管理网元返回所述第二用户标识。
7.如权利要求1或2所述的通信系统,其特征在于,所述数据管理网元还用于:
对所述第一用户标识解密,以得到所述SUPI,并向所述第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述SUPI,以及接收所述第一网元返回的所述第二用户标识;
所述第一网元用于响应于所述匿名化用户标识获取请求,根据所述SUPI,获取所述第二用户标识,以及向所述数据管理网元返回所述第二用户标识。
8.如权利要求1或2所述的通信系统,其特征在于,
所述移动管理网元,还用于向所述认证服务网元发送第一参数;
所述认证服务网元,还用于向所述第一网元发送所述第一参数;
所述第一网元用于根据所述SUPI和所述第一参数生成所述密钥KAMF
9.如权利要求1所述的通信系统,其特征在于,所述移动管理网元还用于:
根据所述第二用户标识,生成密钥KAMF;所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
10.一种通信方法,其特征在于,所述方法包括:
移动管理网元接收到终端设备发送的接入请求,所述接入请求包括第一用户标识,所述第一用户标识是对用户标识SUPI加密得到的,所述SUPI为所述终端设备的身份标识;
所述移动管理网元响应于所述接入请求,向认证服务网元发送第一用户认证请求,所述第一用户认证请求包括所述第一用户标识;
所述移动管理网元接收认证服务网元响应于所述第一用户认证请求,返回的第一用户认证响应;
其中,所述第一用户认证响应包括第二用户标识,或者,所述移动管理网元响应于所述第一用户认证响应,从所述认证服务网元获取第二用户标识;
其中,所述第二用户标识为根据预先配置的所述SUPI和匿名化用户标识的对应关系中确定的匿名化身份标识;
所述移动管理网元根据所述第二用户标识,生成密钥KAMF;或者,所述移动管理网元接收所述认证服务网元返回的密钥KAMF;所述密钥KAMF是根据所述第二用户标识生成的;所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
11.如权利要求10所述的方法,其特征在于,所述第一用户认证请求还包括第一指示信息,所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。
12.如权利要求10或11所述的方法,其特征在于,第一用户认证响应还包括第二指示信息,所述第二指示信息用于指示数据管理网元支持用户身份匿名化处理。
13.如权利要求10所述的方法,其特征在于,所述方法还包括:
所述移动管理网元还向所述认证服务网元发送第一参数;所述第一参数用于生成所述密钥KAMF
14.一种通信方法,其特征在于,所述方法包括:
认证服务网元接收到移动管理网元发送的第一用户认证请求;所述第一用户认证请求包括第一用户标识,所述第一用户标识是对用户标识SUPI加密得到的,所述SUPI为终端设备的身份标识;
所述认证服务网元响应于所述第一用户认证请求,向数据管理网元发送第二用户认证请求,所述第二用户认证请求包括所述第一用户标识;
所述认证服务网元接收到所述数据管理网元响应于所述第二用户认证请求,返回的第二用户认证响应,所述第二用户认证响应包括第二用户标识,所述第二用户标识为根据预先配置的所述SUPI和匿名化用户标识的对应关系中确定的匿名化身份标识;
所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回第一用户认证响应;
所述认证服务网元向第一网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;所述认证服务网元接收所述第一网元响应于所述密钥获取请求返回的密钥KAMF,所述密钥KAMF是根据所述第二用户标识生成的,所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥KAMF;所述认证服务网元向所述移动管理网元发送的所述密钥KAMF;或者,所述认证服务网元向所述数据管理网元发送密钥获取请求,所述密钥获取请求包括所述第二用户标识;所述认证服务网元接收所述数据管理网元响应于所述密钥获取请求返回的密钥KAMF,所述密钥KAMF是根据所述第二用户标识生成的,所述密钥KAMF为所述终端设备与所述移动管理网元之间的密钥KAMF;所述认证服务网元向所述移动管理网元发送的所述密钥KAMF
15.如权利要求14所述的方法,其特征在于,所述第一用户认证响应包括所述第二用户标识。
16.如权利要求14或15所述的方法,其特征在于,所述第一用户认证请求还包括第一指示信息,则所述认证服务网元响应于所述第一用户认证请求,向所述数据管理网元发送的所述第二用户认证请求还包括所述第一指示信息;所述第一指示信息用于指示所述移动管理网元支持用户身份匿名化处理。
17.如权利要求14或15所述的方法,其特征在于,所述第二用户认证响应还包括第二指示信息,则所述认证服务网元响应于所述第二用户认证响应,向所述移动管理网元返回的所述第一用户认证响应还包括所述第二指示信息;所述第二指示信息用于指示所述数据管理网元支持用户身份匿名化处理。
18.如权利要求14所述的方法,其特征在于,所述方法还包括:
所述认证服务网元接收所述移动管理网元发送的第一参数,并将所述第一参数发送给所述第一网元,所述第一参数用于生成所述密钥KAMF
19.一种通信方法,其特征在于,所述方法包括:
数据管理网元接收到认证服务网元发送的第二用户认证请求,所述第二用户认证请求包括第一用户标识,所述第一用户标识是对用户标识SUPI加密得到的,所述SUPI为终端设备的身份标识;
所述数据管理网元响应于所述第二用户认证请求,向所述认证服务网元返回第二用户认证响应,所述第二用户认证响应包括第二用户标识,所述第二用户标识为根据预先配置的所述SUPI和匿名化用户标识的对应关系中确定的匿名化身份标识;
所述数据管理网元接收到所述认证服务网元发送的密钥获取请求,所述密钥获取请求包括第二用户标识;
所述数据管理网元响应于所述密钥获取请求,向所述认证服务网元返回密钥KAMF;所述密钥KAMF是根据所述第二用户标识生成的,所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
20.如权利要求19所述的方法,其特征在于,所述方法还包括:
所述数据管理网元向第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述第一用户标识;
所述数据管理网元接收所述第一网元响应于所述匿名化用户标识获取请求返回的所述第二用户标识。
21.如权利要求19所述的方法,其特征在于,所述方法还包括:
所述数据管理网元向第一网元发送匿名化用户标识获取请求,所述匿名化用户标识获取请求包括所述SUPI;
所述数据管理网元接收所述第一网元响应于所述匿名化用户标识获取请求返回的所述第二用户标识。
22.如权利要求19所述的方法,其特征在于,所述方法还包括:
所述数据管理网元根据所述SUPI,获取所述第二用户标识。
23.一种通信方法,其特征在于,所述方法包括:
第一网元接收到数据管理网元发送的匿名化用户标识获取请求,所述匿名化用户标识获取请求包括第一用户标识或者用户标识SUPI;所述第一用户标识是对所述SUPI加密得到的,所述SUPI为终端设备的身份标识;
所述第一网元响应于所述匿名化用户标识获取请求向数据管理网元返回第二用户标识,所述第二用户标识为根据预先配置的所述SUPI和匿名化用户标识的对应关系中确定的匿名化身份标识;
所述第一网元接收到认证服务网元发送的密钥获取请求,所述密钥获取请求包括所述第二用户标识;
所述第一网元响应于所述密钥获取请求,向所述认证服务网元返回所述密钥KAMF;所述密钥KAMF是根据所述第二用户标识确定的,所述密钥KAMF为所述终端设备与移动管理网元之间的密钥。
24.如权利要求23所述的方法,其特征在于,所述方法还包括:
所述第一网元根据所述SUPI,获取所述第二用户标识,所述SUPI是从所述匿名化用户标识获取请求中得到的,或者对所述第一用户标识解密得到的。
25.如权利要求23所述的方法,其特征在于,所述方法还包括:
所述第一网元接收所述认证服务网元发送的第一参数;所述第一参数是移动管理网元发送给所述认证服务网元的;所述第一参数用于生成所述密钥KAMF
26.一种通信装置,其特征在于,包括处理器和存储器,其中:
所述存储器存储有程序指令;
所述处理器用于调用所述存储器中存储的程序指令,执行如权利要求10至13任一所述的方法。
27.一种通信装置,其特征在于,包括处理器和存储器,其中:
所述存储器存储有程序指令;
所述处理器用于调用所述存储器中存储的程序指令,执行如权利要求14至18任一所述的方法。
28.一种通信装置,其特征在于,包括处理器和存储器,其中:
所述存储器存储有程序指令;
所述处理器用于调用所述存储器中存储的程序指令,执行如权利要求19至22任一所述的方法。
29.一种通信装置,其特征在于,包括处理器和存储器,其中:
所述存储器存储有程序指令;
所述处理器用于调用所述存储器中存储的程序指令,执行如权利要求23至25任一所述的方法。
30.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,所述程序在计算机上运行时,使得所述计算机执行如权利要求10至25任一所述的方法。
CN202010256020.0A 2019-08-27 2020-04-02 一种通信系统、方法及装置 Active CN112512045B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/104598 WO2021036627A1 (zh) 2019-08-27 2020-07-24 一种通信系统、方法及装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2019107952588 2019-08-27
CN201910795258 2019-08-27

Publications (2)

Publication Number Publication Date
CN112512045A CN112512045A (zh) 2021-03-16
CN112512045B true CN112512045B (zh) 2023-04-18

Family

ID=74953242

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010256020.0A Active CN112512045B (zh) 2019-08-27 2020-04-02 一种通信系统、方法及装置

Country Status (1)

Country Link
CN (1) CN112512045B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114040514B (zh) * 2021-12-08 2024-01-12 中国联合网络通信集团有限公司 一种通信方法及设备
CN116419223A (zh) * 2022-01-05 2023-07-11 华为技术有限公司 集成可信度量的通信方法和装置
WO2023141973A1 (en) * 2022-01-28 2023-08-03 Apple Inc. Negotiation mechanism for authentication procedures in edge computing
CN117098117A (zh) * 2022-05-12 2023-11-21 华为技术有限公司 通信方法及装置
CN117880808A (zh) * 2022-10-10 2024-04-12 华为技术有限公司 认证授权的方法与通信装置
CN118139044A (zh) * 2022-12-02 2024-06-04 中国移动通信有限公司研究院 终端认证验证方法及终端认证验证装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
WO2019095990A1 (zh) * 2017-11-14 2019-05-23 华为技术有限公司 一种通信方法及装置
CN110062381A (zh) * 2018-01-18 2019-07-26 华为技术有限公司 一种获得用户标识的方法及装置
CN110087239A (zh) * 2019-05-20 2019-08-02 北京航空航天大学 基于5g网络中的匿名接入认证与密钥协商方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019095990A1 (zh) * 2017-11-14 2019-05-23 华为技术有限公司 一种通信方法及装置
CN110062381A (zh) * 2018-01-18 2019-07-26 华为技术有限公司 一种获得用户标识的方法及装置
CN108848502A (zh) * 2018-05-18 2018-11-20 兴唐通信科技有限公司 一种利用5g-aka对supi进行保护的方法
CN110087239A (zh) * 2019-05-20 2019-08-02 北京航空航天大学 基于5g网络中的匿名接入认证与密钥协商方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"5G安全架构简介";大木叉叉;《https://baijiahao.baidu.com/s?id=1637381608773290788&wfr=spider&for=pc》;20190626;全文 *
"Security architecture and procedures for 5G system(Release 15)";3GPP Organizational Partners;《3GPP TS 33.501 V15.4.0》;20190328;全文第32至40页,全文第157页A.7 *

Also Published As

Publication number Publication date
CN112512045A (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN112512045B (zh) 一种通信系统、方法及装置
US11451950B2 (en) Indirect registration method and apparatus
US11218314B2 (en) Network function service invocation method, apparatus, and system
EP3668042B1 (en) Registration method and apparatus based on service-oriented architecture
US11974132B2 (en) Routing method, apparatus, and system
US9432349B2 (en) Service access authentication method and system
KR102024653B1 (ko) 사용자 장비(ue)를 위한 액세스 방법, 디바이스 및 시스템
WO2018202284A1 (en) Authorizing access to user data
CN108012266B (zh) 一种数据传输方法及相关设备
US11956626B2 (en) Cryptographic key generation for mobile communications device
US9363090B1 (en) Authorization of communication links between end user devices using intermediary nodes
CN112514436A (zh) 发起器和响应器之间的安全的、被认证的通信
US20150381611A1 (en) Method and network node for obtaining a permanent identity of an authenticating wireless device
US20240073685A1 (en) Method for authentication for nswo service, device, and storage medium
JP7231010B2 (ja) 制御装置、無線通信システム、制御方法及びプログラム
US20220174490A1 (en) System, method, storage medium and equipment for mobile network access
US11924634B2 (en) Methods providing authentication using a request commit message and related user equipment and network nodes
CN114978556A (zh) 切片认证方法、装置及系统
WO2021036627A1 (zh) 一种通信系统、方法及装置
CN117692902B (zh) 一种基于嵌入式家庭网关的智能家居的交互方法及系统
WO2017118269A1 (zh) 一种空口标识的保护方法及装置
US20240121111A1 (en) Enhanced security in communication networks
WO2023223118A1 (en) Subscription identification in networks
CN115843447A (zh) 用户装备对边缘数据网络的接入的网络认证
CN116868609A (zh) 用于边缘数据网络的用户装备认证和授权规程

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant