CN112929876B - 一种基于5g核心网的数据处理方法及装置 - Google Patents
一种基于5g核心网的数据处理方法及装置 Download PDFInfo
- Publication number
- CN112929876B CN112929876B CN201911236137.6A CN201911236137A CN112929876B CN 112929876 B CN112929876 B CN 112929876B CN 201911236137 A CN201911236137 A CN 201911236137A CN 112929876 B CN112929876 B CN 112929876B
- Authority
- CN
- China
- Prior art keywords
- instruction
- dsef
- signaling
- security parameter
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种基于5G核心网的数据处理方法及装置,包括:DSEF接收处理指令;当处理指令为安全参数获取指令时,DSEF生成安全参数,5G核心网基于安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;当处理指令为安全参数比对指令时,DSEF生成安全参数比对结果,5G核心网基于该安全参数比对结果执行鉴权操作;当处理指令为信令处理指令时,DSEF生成处理后的信令,5G核心网基于该处理后的信令与终端通信;当处理指令为完整性保护指令时,DSEF生成MAC校验码,5G核心网基于MAC校验码执行与终端间通信的完整性保护,本申请实施例实现了由专用安全设备生成安全参数、比对鉴权参数以及MAC校验码,对NAS信令进行加密、解密的服务。
Description
技术领域
本申请涉及通信领域,特别是涉及一种基于5G(5th generation mobilenetworks,第五代移动通信技术)核心网的数据处理方法及装置。
背景技术
5G核心网通过网络功能实现终端UE(User Experience,用户体验)与网络的双向鉴权,用户面数据加密、完整性保护,信令加密、完整性保护。
在实际应用中,对于一些有特殊需求的终端UE,需要基于运营商网络基础设施提供安全等级更高的服务,而现有3GPP(3rd Generation Partnership Project,第三代合作计划)R15(Release 15,第15版)标准下5G核心网仅采用网络功能进行安全验证的方式,无法在鉴权认证以及其它安全过程中使用更高的安全等级服务。
发明内容
本申请实施例提供一种基于5G核心网的数据处理方法及装置,以提供安全等级更高的鉴权认证以及其它安全过程服务。
一种基于5G核心网的数据处理方法,所述5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
所述方法包括:
所述DSEF通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信;
当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并将所述MAC校验码发送至所述5G核心网,所述5G核心网基于所述MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护。
优选地,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,所述方法还包括:
所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
若所述处理指令为所述安全参数获取指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
若所述处理指令为所述安全参数比对指令,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
若所述处理指令为所述信令处理指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
若所述处理指令为所述完整性保护指令,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并通过所述业务对象接口,将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述完整性保护指令对应的业务对象。
优选地,所述5G核心网中的业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,所述DSEF与所述UDM的接口为第一接口E1,所述DSEF与所述AUSF的接口为第二接口E2,所述DSEF与所述AMF的接口为第三接口E3。
优选地,所述安全参数包括第一类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
优选地,所述安全参数包括第二类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
优选地,所述安全参数包括第三类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
优选地,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类随机参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
优选地,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
优选地,所述安全参数比对结果包括第二类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;
获取所述安全参数比对指令的指令信息;
当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权参数;
所述DSEF比对所述网络第一鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
优选地,所述安全参数比对结果包括第三类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权结果参数由用户终端计算;
获取所述安全参数比对指令的指令信息;
当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数生成网络第二鉴权参数;
所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权结果参数,并生成第三类安全参数比对结果。
优选地,所述处理后的信令包括NAS加密信令,所述第三类派生密钥包括信令加密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
获取所述信令处理指令的指令信息;
当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
优选地,所述处理后的信令包括NAS解密信令,所述第三类派生密钥包括信令解密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
获取所述信令处理指令的指令信息;
当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
优选地,所述第三类派生密钥包括完整性处理密钥,所述DSEF基于完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
所述DSEF基于所述完整性处理密钥生成MAC(Message Authentication Code,消息认证码)校验码。
优选地,所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接,所述方法还包括:
所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;其中,所述网络切片选择标识包括用户终端在初始注册时,注册信息中携带的用户端特殊网络切片标识;
若一致,则所述用户终端与所述5G核心网匹配成功;
若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。
一种基于5G核心网的数据处理装置,所述5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
所述装置包括:
指令接收模块,用于所述DSEF分别通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
安全参数模块,当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
安全参数比对结果模块,用于当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
信令处理模块,用于当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信;
完整性保护模块,用于当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述5G核心网,所述5G核心网基于所述MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护。
优选地,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,所述装置还包括:
业务对象接收模块,用于所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
安全参数接收模块,用于若所述处理指令为所述安全参数获取指令,则所述DSEF通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
安全参数比对结果接收模块,用于若所述处理指令为所述安全参数比对指令,则所述DSEF通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
信令接收模块,用于若所述处理指令为所述信令处理指令,则所述DSEF通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
校验码接收模块,用于若所述处理指令为所述完整性保护指令,则所述DSEF通过所述业务对象接口,将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述完整性保护指令对应的业务对象。
优选地,所述5G核心网中的业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,所述DSEF与所述UDM的接口为第一接口E1,所述DSEF与所述AUSF的接口为第二接口E2,所述DSEF与所述AMF的接口为第三接口E3。
优选地,所述安全参数包括第一类派生密钥,所述安全参数模块包括:
第一指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第一指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
优选地,所述安全参数包括第二类派生密钥,所述安全参数模块包括:
第二指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第二指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
优选地,所述安全参数包括第三类派生密钥,所述安全参数模块包括:
第三指令获取模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
第三指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第三密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
优选地,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述安全参数模块包括:
第四指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第四指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类随机参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
优选地,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述安全参数模块包括:
第五指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第五指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
优选地,所述安全参数比对结果包括第二类安全参数比对结果,所述安全参数比对结果模块包括:
第二比对指令接收模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;
第二比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第二安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权参数;
第二比对结果生成模块,用于所述DSEF比对所述网络第一鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
优选地,所述安全参数比对结果包括第三类安全参数比对结果,所述安全参数比对结果模块包括:
第三比对指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权结果参数由用户终端计算;
第三比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第三安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数以及第二过程相关密钥生成第二网络第二鉴权安全参数;
第三比对结果生成模块,用于所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权结果参数,并生成第三类安全参数比对结果。
优选地,所述处理后的信令包括NAS加密信令,所述第三类派生密钥包括信令加密密钥,所述信令处理模块包括:
第一信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
第一信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第一信令生成模块,用于当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
优选地,所述处理后的信令包括NAS解密信令,所述第三类派生密钥包括信令解密密钥,所述信令处理模块包括:
第二信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
第二信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第二信令生成模块,用于当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
优选地,所述完整性保护模块包括:
完整性保护指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
完整性处理密钥生成模块,用于所述DSEF基于所述完整性处理密钥生成MAC(Message Authentication Code,消息认证码)校验码。
优选地,所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接,所述装置还包括:
切片标识接收模块,用于所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
切片标识判断模块,用于所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;其中,所述网络切片选择标识包括用户终端在初始注册时,注册信息中携带的用户端特殊网络切片标识;
匹配成功模块,用于若一致,则所述用户终端与所述5G核心网匹配成功;
匹配失败模块,用于若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。
本申请具有以下优点:
在本申请实施例中,DSEF分别通过业务对象接口,接收5G核心网发送的处理指令;当处理指令为安全参数获取指令时,DSEF生成安全参数,并发送至5G核心网执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;当处理指令为安全参数比对指令时,DSEF生成安全参数比对结果,并发送至5G核心网执行鉴权操作;当处理指令为信令处理指令时,DSEF生成处理后的信令,并发送至5G核心网,5G核心网基于处理后的信令与终端通信;当处理指令为完整性保护指令时,DSEF生成MAC(Message Authentication Code,消息认证码)校验码,并发送至5G核心网,5G核心网基于MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护,实现了由专用安全设备生成安全参数、比对鉴权参数、对NAS信令进行加密、解密,生成MAC(Message Authentication Code,消息认证码)校验码,进而对特定终端更高密级服务。
附图说明
为了更清楚地说明本申请的技术方案,下面将对本申请的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是5G核心网的网络架构示意图;
图2是5G网络密钥派生架构示意图;
图3是UE初始注册AMF重定向的网络切片的选择流程示意图;
图4是本申请一实施例提供的一种5G系统的架构图;
图5是本申请一实施例提供的基于5G核心网的数据处理方法实施例1的步骤流程图;
图6是本申请另一实施例提供的基于5G核心网的数据处理方法实施例2的步骤流程图;
图7是本申请一实施例提供的5G核心网网络切片的选择部署方案示意图;
图8是本申请一实施例提供的5G核心网网络切片的选择步骤流程图;
图9是本申请一实施例提供的基于5G核心网的数据处理装置的装置结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参照图1,示出了5G核心网的网络架构示意图,5G核心网拆分为多个网络功能,主要有AMF(Access and Mobility Management Function,接入与移动性管理功能)、SMF(Session Management Function,会话管理功能)、AUSF(Authentication ServerFunction:鉴权服务器功能)、UDM(Unified Data Management,统一数据管理)、PCF(PolicyControl Function,策略控制功能)、NSSF(Network Slice Selection Function,网络切片选择功能)、UPF(User Plane Function,用户面功能)、NEF(Network Exposure Function,网络开放功能)、NRF(NF Repository Function,NF存储功能)、AF(Application Function,应用功能)、UE(User Equipment,用户设备)、(R)AN((Radio)Access Network,(无线)接入网)以及DN(Data Network,数据网络)。
AMF负责接入和移动性管理,主要功能包括NAS(Non-Access Stratum,非接入层)加密和完整性保护,注册管理,连接管理,可达性管理,移动管理,SM(Session Management,会话管理)消息的传输,接入鉴权。
SMF负责会话管理,主要功能有会话管理会话建立,修改和释放,包括UPF和AN(Access Network,接入网)节点之间的隧道维护,UE IP地址(Internet ProtocolAddress,IP地址)分配和管理,UP(User Plane,用户面)功能的选择和控制,配置UPF的流量转向,将流量路由到正确的目的地。
UDM负责统一用户数据管理功能,主要功能有生成3GPP AKA(Authentication andKey Agreement,认证与密钥协商)身份验证凭据,用户标识处理,用户隐私标识SUCI(Subscription Concealed Identifier)去隐藏,依据签约数据的接入授权,UE服务NF(Network Function,网络功能)的注册管理,签约数据管理,业务连续性管理,SMS(ShortMessage Service,短消息服务)管理。
PCF负责策略控制功能,主要功能有接入与移动性管理策略,会话管理策略,QOS(Quality of Service,服务质量)策略,计费策略。
AUSF负责鉴权管理功能,主要功能有鉴权向量的生成,以及鉴权结果比对。
NSSF负责网络切片选择功能,主要功能有选择为UE服务的网络片实例集;确定允许的NSSAI(Network Slice Selection Assistance Information,网络切片选择辅助信息),并在必要时确定到订阅的S-NSSAI(Single Network Slice Selection AssistanceInformation,单网络切片选择辅助信息)的映射;确定已配置的NSSAI,并在需要时确定到已订阅的S-NSSAI的映射;确定用于服务UE的AMF集,或者,基于配置,通过查询NRF来确定候选AMF的列表。
UPF负责用户报文的转发,主要功能有数据报文路由和转发、数据报文的QoS(Quality of Service,服务质量)处理、数据报文的检测和QoS策略执行、流量统计和上报。
PCF负责支持统一的策略框架来管理网络行为、为控制平面功能提供策略规则以强制执行它们、访问与统一数据存储库中的策略决策相关的用户信息。
NEF负责能力和事件的开放、从外部应用流程到3GPP网络的安全信息提供、内部和外部信息的翻译、网络开放功能从其他网络功能接收信息。
NRF负责服务发现功能、维护可用NF实例及其支持服务的NF配置文件。
AF负责应用流程对流量路由的影响、访问网络开放功能、与控制策略策略框架互动。
如图1所示,AMF、SMF、AUSF、UDM、PCF、NSSF、NEF、NRF、AF之间通过总线连接,AMF通过Namf接口接入连接总线、SMF通过Nsmf接口接入连接总线、AUSF通过Nausf接口接入连接总线、UDM通过Nudm接口接入连接总线、PCF通过Npcf接口接入连接总线、NSSF通过Nnssf接口接入连接总线、NEF通过Nnef接口接入连接总线、NRF通过Nnrf接口接入连接总线、AF通过Naf接口接入连接总线,AMF与UE之间通过N1信令进行通信连接,AMF与(R)AN之间通过N2接口(CP接口)进行连接,(R)AN与UPF之间通过N3接口进行连接,UPF与SMF之间通过N4接口连接,UPF通过N9接口与自身连接,UPF与DN之间通过N6接口连接。
参照图2,示出了5G网络密钥派生架构示意图.
步骤201,UDM/ARPF根据存储的原始秘钥K按照一定的算法生成派生密钥CK,派生密钥IK。如果是5G-AKA(Authentication and Key Agreement,认证和密匙协商机制)鉴权,UDM/ARPF按照一定的算法生成派生密钥Kausf,发送给AUSF。如果是EAP(ExtensibleAuthentication Protocol,可扩展的身份验证协议)-AKA′鉴权,UDM/ARPF按照一定的算法生成派生密钥CK′和派生密钥IK′,发送给AUSF。
步骤202,如果是5G AKA鉴权,AUSF根据派生密钥Kausf按照一定的算法生成派生密钥Kseaf,发送给SEAF;如果是EAP-AKA′鉴权,AUSF根据派生密钥CK′和IK′按照一定的算法生成派生密钥Kausf,再根据派生密钥Kausf按照一定的算法生成派生密钥Kseaf,发送给SEAF
步骤203,SEAF根据密钥Kseaf按照一定的算法生成Kamf,发送给AMF;
步骤204,AMF根据派生密钥Kamf按照一定的算法生成派生密钥Knasint,派生密钥Knasenc,派生密钥Kn3iwf,(派生密钥Kgnb,nh)。AMF采用派生密钥Knasint,派生密钥Knasenc进行NAS信令加密与完整性保护。AMF将派生密钥Kn3iwf发送给N3IWF(Non-3GPPInterWorking Function,非3GPP互通功能)进行WIFI(Wireless Fidelity,无线上网)加密的密钥。AMF将派生密钥(Kgnb,nh)发送给gNB(next Generation NodeB,5G基站),gNB生成派生密钥Krrcint,派生密钥Krrcenc,派生密钥Kupint,派生密钥Kupenc分别进行RRC(Radio Resource Control,无线资源控制)信令的加密、完整性保护,用户面数据的加密、完整性保护。
参照图3,示出了UE初始注册AMF重定向的网络切片的选择流程示意图。
步骤301、AN向初始AMF发送初始UE消息。
步骤302、可选的,执行TS23.502协议的4.2.2.2.2-1流程中的4-9步骤,其中第9步骤为对UE的鉴权,以及NAS安全模式控制。
步骤303、初始AMF选择UDM。
步骤304、初始AMF向UDM获取UE切片签约数据,UDM向AMF返回UE的切片签约数据,包括签约的S-NSSAIs(S-NSSAI:Single Network Slice Selection AssistanceInformation,单网络切片选择辅助信息)。
步骤305、初始AMF向NSSF(Network Slice Selection Function,网络切片选择)发送切片选择消息,NSSF返回初始AMF允许的网络切片选择辅助信息NSSAI,允许的网络切片选择辅助信息NSSAI与目标AMF列表,或候选的AMF列表,以及用于选择网络切片中NF实例的NRF地址等参数。
步骤306、初始AMF决定将NAS消息重定向到另一个AMF,向老的AMF发送初始注册消息不能在初始AMF中完成的拒绝指示。
步骤307、如果初始AMF没有目标AMF的地址,则AMF向NRF发送服务发现消息,请求目标AMF的地址,NRF返回目标AMF的列表,或者如果NRF未返回目标AMF列表,则初始AMF通过AN将NAS消息重定向到目标AMF,携带允许的网络切片选择辅助信息NSSAI和AMF Set。
步骤308、如果初始AMF从NRF获取目标AMF的地址,则初始AMF直接将UE初始注册重定向到目标AMF。
步骤309、如果初始AMF未从NRF获取目标AMF地址,则初始AMF通过AN将NAS消息重定向到目标AMF。
步骤310、目标AMF执行TS23.502协议的4.2.2.2.2-1流程中的4-22或8-22步骤。
参照图4,示出了本申请一实施例提供的一种5G系统的架构图,包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF、网络切片选择对象NSSF、会话管理对象SMF、策略控制对象PCF、应用功能对象AF、用户报文转发对象UPF以及用户终端UE、5G基站(R)AN和数据网络DN。
上述网络对象之间通过不同的接口连接,包括第一接口E1,第二接口E2以及第三接口E3,还包括多个内部业务接口N1-N15以及N22。
其中,DSEF与UDM的接口为第一接口E1,DSEF与AUSF的接口为第二接口E2,DSEF与AMF的接口为第三接口E3。
AMF和UE之间的接口为内部接口N1,AMF与(R)AN之间的接口为内部接口N2,AMF与UPF之间的接口为内部接口N3,SMF与UPF之间的接口为内部接口N4,PCF与AF之间的接口为内部接口N5,UPF与DN之间的接口为内部接口N6,SMF与PCF之间的接口为内部接口N7,AMF与UDM之间的接口为内部接口N8,UPF设有与自身相连的内部接口N9,UDM与SMF之间的接口为内部接口N10,AMF与SMF之间的接口为内部接口N11,AMF与AUSF之间的接口为内部接口N12,AUSF与UDM之间的接口为内部接口N13,AMF设有与自身相连的内部接口N14,AMF与PCF之间的接口为内部接口N15,AMF与NSSF之间的接口为内部接口N22。
参照图5,示出了本申请一实施例提供的基于5G核心网的数据处理方法实施例1的步骤流程图,5G核心网中设置有专用安全增强功能对象DSEF(Dedicated SecurityEnhancement Function,专用安全增强功能),该DSEF与5G核心网通过接口连接;
其中,安全增强功能对象DSEF可以是一个专用的安全设备,内部包括专用的安全算法,该安全增强功能对象DSEF可以使用专用的安全算法提供安全参数推演服务。
例如,在终端UE与网络进行双向鉴权的过程中,由安全增强功能对象DSEF生成安全参数,并由5G核心网获取该安全参数,进而基于该安全参数进行网络鉴权。
该安全增强功能对象DSEF与5G核心网之间可以通过接口连接,具体的,安全增强功能对象DSEF以及5G核心网上可以分别设置用于通信的专用接口,例如,标准串口(RS232)(EIA RS-232)、GPIB(General-Purpose Interface Bus,通用接口总线)、USB(UniversalSerial Bus,通用串行总线)以及多机同步接口,本申请实施例不做过多限制,可以通过通信线缆的两端分别接上该DSEF与该5G核心网上设置的接口完成连接。
具体可以包括如下步骤:
步骤501,所述DSEF通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
其中,处理指令可以为二进制指令,也可以为十六进制指令,具体可以依据用户预先设置决定。
安全参数获取指令可以为获取安全参数的指令,在本申请实施例中,该安全参数可以由DSEF生成,并通过该安全参数获取指令获取至5G核心网中。
安全参数比对指令可以为进行安全参数比对的指令,在本申请实施例中,该安全参数比对过程可以由DSEF完成,5G核心网可以通过该安全参数比对指令从DSEF处获得安全参数比对后的结果。
信令处理指令可以为针对通信信令进行处理的指令,具体的,可以是用于NAS信令加密、解密的指令,其中,NAS信令是用户与核心网之间进行通信的通信信令,在本申请实施例中,该通信信令的处理过程可以由DSEF完成,5G核心网可以通过该信令处理指令从DSEF处获得处理后的通信信令。
完整性保护指令可以为针对核心网与终端间通信进行完整性保护的指令,在本申请实施例中,该完整性保护的处理过程可以由DSEF完成,5G核心网可以通过该完整性保护指令从DSEF处获得用于完整性保护的校验信息。
在5G核心网进行数据处理时,5G核心网可以先向DSEF发送用于数据处理的处理指令,DSEF通过接口接收该处理指令,并执行该处理指令,具体的,处理指令可以为安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令。
步骤502,当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
其中,安全参数为5G核心网用于进行终端鉴权、通信加解密、通信完整性保护的参数。
在5G核心网需要获取安全参数时,5G核心网可以向DSEF发送安全参数获取指令。
在DSEF接收到的处理指令后,DSEF可以先对该处理指令进行解析,进而判断该处理指令的具体指令信息,当确定该处理指令的指令信息为安全参数获取指令时,DSEF基于该安全参数获取指令生成安全参数,然后通过接口将该安全参数发送至5G核心网。
在5G核心网接收到DSEF发送的安全参数后,5G核心网可以基于该安全参数进行执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作。
步骤503,当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
其中,安全参数比对结果为5G核心网用于进行终端鉴权判断的结果参数。
在5G核心网需要获取安全参数比对结果时,5G核心网可以向DSEF发送安全参数比对结果获取指令。
在DSEF接收到的处理指令后,DSEF可以先对该处理指令进行解析,进而判断该处理指令的具体指令信息,当确定该处理指令的指令信息为安全参数比对指令时,DSEF基于该安全参数比对指令生成安全参数比对结果,然后通过接口将该安全参数比对结果发送至5G核心网。
在5G核心网接收到DSEF发送的安全参数比对结果后,5G核心网可以基于该安全参数比对结果进行执行鉴权操作,例如,进行终端鉴权判断。
步骤504,当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信;
其中,处理后的信令为5G核心网用于与终端进行通信的信令,5G核心网与终端进行通信前需要对通信用的信令进行处理。
在5G核心网需要获取处理后的信令时,5G核心网可以向DSEF发送信令处理指令。
在DSEF接收到的处理指令后,DSEF可以先对该处理指令进行解析,进而判断该处理指令的具体指令信息,当确定该处理指令的指令信息为信令处理指令时,DSEF基于该信令处理指令对通信用的信令进行处理,生成处理后的信令,然后通过接口将该处理后的信令发送至5G核心网。
在5G核心网接收到DSEF发送的处理后的信令后,5G核心网可以基于该处理后的信令与终端进行保密通信。
步骤505,当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并将所述MAC(MessageAuthentication Code,消息认证码)校验码发送至所述5G核心网,所述5G核心网基于所述MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护。
其中,MAC(Message Authentication Code,消息认证码)校验码为用于判断5G核心网与终端之间通信的完整性的校验码。
在5G核心网需要获取处理后的信令时,5G核心网可以向DSEF发送完整性保护指令。
在DSEF接收到的处理指令后,DSEF可以先对该处理指令进行解析,进而判断该处理指令的具体指令信息,当确定该处理指令的指令信息为完整性保护指令时,DSEF基于该完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,然后通过接口将该MAC(Message Authentication Code,消息认证码)校验码发送至5G核心网。
在5G核心网接收到DSEF发送的MAC(Message Authentication Code,消息认证码)校验码后,5G核心网可以基于该MAC(Message Authentication Code,消息认证码)校验码进行通信的完整性保护或完整性校验。
在本申请实施例中,DSEF分别通过业务对象接口,接收5G核心网发送的处理指令;当处理指令为安全参数获取指令时,DSEF生成安全参数,并发送至5G核心网执行鉴权操作;当处理指令为安全参数比对指令时,DSEF生成安全参数比对结果,并发送至5G核心网执行鉴权操作;当处理指令为信令处理指令时,DSEF生成处理后的信令,并发送至5G核心网,5G核心网基于处理后的信令与终端通信;当处理指令为完整性保护指令时,DSEF生成MAC(Message Authentication Code,消息认证码)校验码,并发送至5G核心网,5G核心网基于MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护,
参照图6,示出了本申请另一实施例提供的基于5G核心网的数据处理方法实施例2的步骤流程图,5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
作为一种具体实现的示例,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,
其中,5G核心网中包含多个业务对象,具体的,可以是5G核心网中的多个网络功能模块,例如,AMF、SMF、AUSF、UDM、PCF、NSSF、UPF等。
其中,数据管理对象UDM负责统一用户数据管理功能,主要功能有生成3GPP AKA身份验证凭据,用户标识处理,用户隐私标识SUCI去隐藏,依据签约数据的接入授权,UE服务NF的注册管理,签约数据管理,业务连续性管理,SMS管理等。
鉴权管理对象AUSF负责鉴权管理功能,主要功能有鉴权向量的生成,以及鉴权结果比对等。
移动性管理对象AMF负责接入和移动性管理,主要功能包括NAS加密和完整性保护,注册管理,连接管理,可达性管理,移动管理,SM消息的传输,接入鉴权等。
在具体实现中,业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,业务对象还可以包括网络切片选择对象NSSF以及用户报文转发对象等多个业务对象,本实施例不作限制。
DSEF可以与5G核心网中的多个业务对象通过对应的业务对象接口连接,具体的,DSEF上可以设有一个通信接口,DSEF可以通过该接口与和DSEF连接的一个或多个多个业务对象进行连接进而实现通信,DSEF上还可以设有多个通信接口,每个通信接口对应有一个业务对象,每个接口对应的业务对象互不相同,DSEF通过接口与对应的业务对象连接并通信。
本申请实施例具体可以包括如下步骤:
步骤601,所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
在5G核心网进行数据处理时,可以由5G核心网中的至少一个业务对象通过对应接口向DSEF发送处理指令,DSEF可以通过该对应接口接收业务对象发送的处理指令。
例如,若UDM通过第一接口E1向DSEF发送处理指令,则DSEF可以通过第一接口E1接收该处理指令。
步骤602,若所述处理指令为所述安全参数获取指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
在接收到处理指令后,DSEF可以先识别该处理指令的具体指令信息,若判断处理指令的指令信息为安全参数获取指令,则DSEF基于该安全参数获取指令生成安全参数,并将该安全参数通过业务对象接口发送至该安全参数获取指令对应的业务对象。
例如,若UDM通过第一接口E1向DSEF发送安全参数获取指令,则DSEF生成安全参数后,可以通过第一接口E1将该安全参数发送至UDM。
作为一种具体实现的示例,所述安全参数包括第一类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数还包括如下子步骤:
其中,第一类派生密钥可以为5G核心网用于进行鉴权的密钥。
子步骤S11,所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
在具体实现中,DSEF可以通过E1接口接收UDM发送的安全参数获取指令。
子步骤S12,获取所述安全参数获取指令的指令信息;
在获取该安全参数获取指令后,DSEF可以先对该安全参数获取指令进行解析,进而获取指令的指令信息。
子步骤S13,当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
第一类派生密钥为5G核心网用于进行鉴权的密钥,第一类派生密钥可以基于原始密钥生成,具体的,第一类派生密钥可以为CK,IK,Kausf,CK′和IK′。
当安全参数获取指令的指令信息为获取第一类派生密钥时,DSEF生成所述第一类派生密钥。
例如,DSEF基于原始密钥生成CK,IK,如果鉴权方式是5G AKA鉴权,则AUSF根据密钥Kausf按照一定的算法生成KSEAF,如果鉴权方式是EAP-AKA′鉴权,则AUSF根据密钥CK′和IK′按照一定的算法生成Kausf。
其中,原始密钥可以是用于5G标准定义的鉴权、加密、完整性保护的安全算法输入的最原始参数,该参数可来源于配置,具体的,原始秘钥可以存储于UDM中,当解析到安全参数获取指令的指令信息为获取第一类派生密钥时,DSEF可以通过E1获取UDM发送的原始秘钥,在具体实现中,原始秘钥还可以直接存储于DSEF中。
在本申请实施例中,通过DSEF生成第一类派生密钥,并基于第一类派生密钥为5G核心网用于进行鉴权、实现了由专用安全设备生成安全参数,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述安全参数还包括第二类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数还包括如下子步骤:
其中,第二类派生密钥为5G核心网用于进行鉴权保护的密钥,第二类派生密钥可以基于第一类派生密钥生成,具体的,第二派生密钥可以为Kseaf,Kausf。
子步骤S21,所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
子步骤S22,获取所述安全参数获取指令的指令信息;
在获取该安全参数获取指令后,DSEF可以先对该安全参数获取指令进行解析,进而获取指令的指令信息。
子步骤S23,当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
在解析到安全参数获取指令的指令信息为生成第二类派生密钥时,DSEF基于所述第一类派生密钥生成第二类派生密钥。
在本申请实施例中,通过DSEF生成第二类派生密钥,并基于第二派生密钥为5G核心网用于进行鉴权,实现了由专用安全设备生成安全参数,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述安全参数还包括第三类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数还包括如下子步骤:
其中,第三类派生密钥为5G核心网用于进行鉴权、加密、完整性保护的密钥,第三派生密钥可以基于第二类派生密钥生成,具体的,第三类派生密钥可以为Kamf,Knasint,Knasenc,Kn3iwf,(Kgnb,nh)。
子步骤S31,所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
子步骤S32,获取所述安全参数获取指令的指令信息;
在获取该安全参数获取指令后,DSEF可以先对该安全参数获取指令进行解析,进而获取指令的指令信息。
子步骤S33,当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
在解析到安全参数获取指令的指令信息为生成第三类派生密钥时,通过DSEF生成第三类派生密钥,并基于第三类派生密钥为5G核心网用于进行鉴权、加密、完整性保护,实现了由专用安全设备生成安全参数,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
其中,第一鉴权向量为5G核心网发送至终端,进行鉴权的向量,具体的,第一鉴权向量可以为5G HE AV(RAND、AUTN、XRES*、Kausf)。
子步骤S41,所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
在具体实现中,DSEF可以通过E1接口接收UDM发送的安全参数获取指令。
子步骤S42,获取所述安全参数获取指令的指令信息;
在获取该安全参数获取指令后,DSEF可以先对该安全参数获取指令进行解析,进而获取指令的指令信息。
子步骤S43,当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类鉴权参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
其中,第一类随机参数可以是DSEF生成的随机参数,具体可以包括RAND。
在解析到安全参数获取指令的指令信息为获取第一类鉴权向量时,DSEF将第一类随机参数,以及生成的AUTN、XRES*与第一派生密钥Kausf结合,进而得到第一类鉴权向量。
在本申请实施例中,通过DSEF生成第一鉴权向量,并基于第一鉴权向量为终端用于进行鉴权,实现了由专用安全设备生成安全参数,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
其中,第二鉴权向量为5G核心网发送至终端,用于进行鉴权的向量,具体的,第二鉴权向量可以为5G AV(RAND、AUTN、HXRES*、Kseaf)。
子步骤S51,所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
子步骤S52,获取所述安全参数获取指令的指令信息;
在获取该安全参数获取指令后,DSEF可以先对该安全参数获取指令进行解析,进而获取指令的指令信息。
子步骤S53,当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
在解析到安全参数获取指令的指令信息为获取第二鉴权向量时,DSEF将第二类随机参数与第二派生密钥Kausf结合,进而得到第二鉴权向量。
在本申请实施例中,通过DSEF生成第二鉴权向量,并基于第二鉴权向量为终端用于进行鉴权,实现了由专用安全设备生成安全参数,进而对特定终端实现更高密级服务。
步骤603,若所述处理指令为所述安全参数比对指令,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
若判断处理指令的指令信息为安全参数比对指令,则DSEF基于该安全参数比对指令生成安全参数比对结果,并将该安全参数比对结果通过业务对象接口发送至该安全参数比对指令对应的业务对象。
例如,若AUSF通过第二接口E2向DSEF发送安全参数比对指令,则DSEF生成安全参数比对结果后,可以通过第二接口E2将该安全参数发送至AUSF。
作为一种具体实现的示例,所述安全参数比对结果包括第二类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
子步骤S61,所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;;
子步骤S62,获取所述安全参数比对指令的指令信息;
在获取该安全参数比对指令后,DSEF可以先对该安全参数比对指令进行解析,进而获取指令的指令信息。
子步骤S63,当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权安全参数;
在解析到安全参数比对指令的指令信息为获取第二类安全参数比对结果时,DSEF可以先生成第三类随机参数,并基于第三类随机参数以及相关密钥生成网络第一鉴权安全参数例如,XRES*。
子步骤S64,所述DSEF比对所述网络第一安全鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
例如,将XRES*和RES*进行比对得到第二安全参数比对结果。
在本申请实施例中,通过DSEF生成第一安全参数比对结果,并基于第一安全参数比对结果为5G核心网用于进行鉴权,实现了由专用安全设备生成安全参数比对结果,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述安全参数比对结果包括第三类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
子步骤S71,所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权结果参数由用户终端计算;
子步骤S72,获取所述安全参数比对指令的指令信息;
子步骤S73,当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数生成网络第二鉴权参数;
子步骤S74,所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权结果参数,并生成第三类安全参数比对结果。
在解析到安全参数比对指令的指令信息为获取第二安全参数比对结果时,DSEF将HXRES*与HRES*进行比较,得到第二安全参数比对结果。
在本申请实施例中,通过DSEF生成第二安全参数比对结果,并基于第二安全参数比对结果为5G核心网用于进行鉴权,实现了由专用安全设备生成安全参数比对结果,进而对特定终端实现更高密级服务。
步骤604,若所述处理指令为所述信令处理指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
若判断处理指令的指令信息为信令处理指令,则DSEF基于该信令处理指令对信令进行处理,进而生成处理后的信令,并将处理后的信令通过业务对象接口发送至该信令处理指令对应的业务对象。
例如,若AMF通过第三接口E3向DSEF发送安全参数获取指令,则DSEF生成处理后的NAS信令后,可以通过第三接口E3将该处理后的NAS信令发送至AMF。
在本申请实施例中,通过DSEF生成处理后的NAS信令,并处理后的NAS信令为5G核心网用于与终端进行通信,实现了由专用安全设备生成处理后的NAS信令,进而对特定终端实现更高密级服务。
作为一种具体实现的示例,所述处理后的信令包括NAS加密信令,所述第三派生密钥包括信令加密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
子步骤S81,所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
子步骤S82,获取所述信令处理指令的指令信息;
在获取该信令处理指令后,DSEF可以先对该信令处理指令进行解析,进而获取指令的指令信息。
子步骤S83,当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
其中,NAS信令为核心网与用户设备之间的功能层的信令;
加密后的NAS信令为实际发送给用户设备的信令,由原始NAS信令经过加密生成。
在解析到信令处理指令的指令信息为加密NAS信令时,DSEF通过接收AMF发送的原始NAS信令,并基于第三派生密钥对NAS信令进行加密,并得到加密后的NAS信令,然后将加密后的NAS信令发送给用户设备。
作为一种具体实现的示例,所述处理后的信令包括NAS解密信令,所述第三派生密钥包括信令解密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
子步骤S91,所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
子步骤S92,获取所述信令处理指令的指令信息;
子步骤S93,当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
在解析到信令处理指令的指令信息为解密NAS信令时,DSEF基于信令解密密钥,例如Knasint,对用户NAS信令进行解密,并得到解密后的NAS信令。
步骤605,若所述处理指令为所述完整性保护指令,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并通过所述业务对象接口,将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述完整性保护指令对应的业务对象。
若判断处理指令的指令信息为完整性保护指令,则DSEF基于该信令处理指令生成MAC(Message Authentication Code,消息认证码)校验码,并将MAC(MessageAuthentication Code,消息认证码)校验码通过业务对象接口发送至该完整性保护指令对应的业务对象。
例如,若AMF通过第三接口E3向DSEF发送完整性保护指令,则DSEF生成处理后的MAC(Message Authentication Code,消息认证码)校验码后,可以通过第三接口E3将该MAC(Message Authentication Code,消息认证码)校验码发送至AMF。
作为一种具体实现的示例,所述第三派生密钥包括完整性处理密钥,所述DSEF基于完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码的步骤包括:
子步骤S101,所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
子步骤S102,所述DSEF基于所述完整性处理密钥生成MAC(MessageAuthentication Code,消息认证码)校验码。
其中,MAC(Message Authentication Code,消息认证码)校验码为5G核心网用于进行完整性保护的校验码。
在本申请实施例中,通过DSEF生成MAC(Message Authentication Code,消息认证码)校验码,并基于MAC(Message Authentication Code,消息认证码)校验码为5G核心网与终端之间的通信进行完整性保护,实现了由专用安全设备生成MAC(MessageAuthentication Code,消息认证码)校验码,进而对特定终端实现更高密级服务。
参照图7,示出了本申请一实施例提供的5G核心网网络切片的选择部署方案示意图,
公众网络切片中的UE1与安全增强网络切片的UE2分别在不同切片中的UDM管理。安全增强网络切片的UE2的用户数据存储在Slice B的UDM中,公众网络切片的UE1的用户数据存储在Slice A的UDM中,所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接。
参照图8示出了本申请一实施例提供的5G核心网网络切片的选择步骤流程图,所述方法还包括如下步骤。
其中,特殊网络切片标识DSE-S-NSSAI(Dedicated Security Ehancement SingleNetwork Slice Selection Assistance Information,专用安全增强网络切片选择辅助信息)用于安全增强网络切片选择,其中下表前3项为3GPP标准为eMBB(Enhanced MobileBroadband,增强移动宽带)、URLLC(ultra-reliable low-latency communications,超高可靠超低时延通信)、MIoT(Massive Internet of things,海量物联网)切片类型定义的SST(Shear Stress Transfer,剪切应力传输模型)值,下表的第4项为本申请为安全网络切片类型DSE定义的SST值。
步骤801,所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
在具体实现中,在5G核心网的AMF向5G基站返回NG(NewNgapi,NG接口)SETUPRESPONSE时,将特殊的网络切片标识DSE-S-NSSAI发送给5G基站。
步骤802,所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否相同;其中,所述网络切片选择标识包括用户终端在注册时,注册信息中携带的用户端特殊网络切片标识;
特殊网络切片的,在5G基站接收用户终端发送的网络切片选择标识时,会对网络切片选择标识进行识别,并且在接收到核心网(特殊网络切片的核心网)发送的特殊网络切片标识会对特殊网络切片标识进行识别,判断特殊网络切片标识与用户发送的网络切片标识的切片类型值SST是否一致。
在本申请一示例中,可以通过终端UE的设置界面或软件烧写界面将特殊的网络切片标识DSE-S-NSSAI设置到终端UE(如UE2)中。
终端UE(如UE2)在初始注册时,将特殊的网络切片标识DSE-S-NSSAI在RRC消息中携带给5G基站,5G基站通过网络切片选择,选择出安全增强网络切片的AMF,直接将UE初始注册消息发送到安全增强网络切片。
步骤803,若一致,则所述用户终端与所述5G核心网匹配成功;
若一致,则用户终端与全增强网络切片的5G核心网匹配成功,则将UE的消息发送至安全增强网络切片的AMF,将用户终端接入到安全增强网络切片的5G核心网。
例如,在图7中,特殊网络切片标识DSE-S-NSSAI辅助UE2接入到网络切片B,UE1可携带3GPP定义的网络切片标识接入到网络切片A。
步骤804,若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。
在本申请实施例中,通过特殊网络切片标识DSE-S-NSSAI辅助UE接入到安全增强网络切片的5G核心网,无线网络中的基站(R)AN为至少个核心网切片所共享,无需为安全增强的核心网网络切片Slice B建设专用的5G基站,有利于降低安全增强网络切片的建设成本。
参照图9,示出了本申请一实施例提供的基于5G核心网的数据处理装置的装置结构框图,所述5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
所述装置包括:
指令接收模块901,用于所述DSEF分别通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
安全参数模块902,当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
安全参数比对结果模块903,用于当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
信令处理模块904,用于当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信;
完整性保护模块905,用于当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC(Message Authentication Code,消息认证码)校验码,并将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述5G核心网,所述5G核心网基于所述MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护。
在本申请一实施例中,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,所述装置还包括:
业务对象接收模块,用于所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
安全参数接收模块,用于若所述处理指令为所述安全参数获取指令,则所述DSEF通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
安全参数比对结果接收模块,用于若所述处理指令为所述安全参数比对指令,则所述DSEF通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
信令接收模块,用于若所述处理指令为所述信令处理指令,则所述DSEF通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
校验码接收模块,用于若所述处理指令为所述完整性保护指令,则所述DSEF通过所述业务对象接口,将所述MAC(Message Authentication Code,消息认证码)校验码发送至所述完整性保护指令对应的业务对象。
在本申请一实施例中,所述5G核心网中的业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,所述DSEF与所述UDM的接口为第一接口E1,所述DSEF与所述AUSF的接口为第二接口E2,所述DSEF与所述AMF的接口为第三接口E3。
在本申请一实施例中,所述安全参数包括第一类派生密钥,所述安全参数模块包括:
第一指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第一指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
在本申请一实施例中,所述安全参数包括第二类派生密钥,所述安全参数模块包括:
第二指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第二指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
在本申请一实施例中,所述安全参数包括第三类派生密钥,所述安全参数模块包括:
第三指令获取模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
第三指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第三密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
在本申请一实施例中,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述安全参数模块包括:
第四指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第四指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类鉴权参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
在本申请一实施例中,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述安全参数模块包括:
第五指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第五指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
在本申请一实施例中,所述安全参数比对结果包括第二类安全参数比对结果,所述安全参数比对结果模块包括:
第二比对指令接收模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;
第二比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第二安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权参数;
第二比对结果生成模块,用于所述DSEF比对所述网络第一鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
在本申请一实施例中,所述安全参数比对结果包括第三类安全参数比对结果,所述安全参数比对结果模块包括:
第三比对指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权参数由用户终端计算;
第三比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第三安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数生成网络第二鉴权参数
第三比对结果生成模块,用于所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权参数,并生成第三类安全参数比对结果。
在本申请一实施例中,所述处理后的信令包括NAS加密信令,所述第三派生密钥包括信令加密密钥,所述信令处理模块包括:
第一信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
第一信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第一信令生成模块,用于当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
在本申请一实施例中,所述处理后的信令包括NAS解密信令,所述第三派生密钥包括信令解密密钥,所述信令处理模块包括:
第二信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
第二信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第二信令生成模块,用于当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
在本申请一实施例中,所述完整性保护模块包括:
完整性保护指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
完整性处理密钥生成模块,用于所述DSEF基于所述完整性处理密钥生成MAC(Message Authentication Code,消息认证码)校验码。
在本申请一实施例中,所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接,所述装置还包括:
切片标识接收模块,用于所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
切片标识判断模块,用于所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;其中,所述网络切片选择标识包括用户终端在注册时,注册信息中携带的用户端特殊网络切片标识;
匹配成功模块,用于若一致,则所述用户终端与所述5G核心网匹配成功;
匹配失败模块,用于若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。在本申请实施例中,DSEF分别通过业务对象接口,接收5G核心网发送的处理指令;当处理指令为安全参数获取指令时,DSEF生成安全参数,并发送至5G核心网执行鉴权操作;当处理指令为安全参数比对指令时,DSEF生成安全参数比对结果,并发送至5G核心网执行鉴权操作;当处理指令为信令处理指令时,DSEF生成处理后的信令,并发送至5G核心网,5G核心网基于处理后的信令与终端通信;当处理指令为完整性保护指令时,DSEF生成MAC(Message Authentication Code,消息认证码)校验码,并发送至5G核心网,5G核心网基于MAC(Message Authentication Code,消息认证码)校验码执行与终端间通信的完整性保护,实现了由专用安全设备生成安全参数、处理后的信令以及MAC(MessageAuthentication Code,消息认证码)校验码,进而对特定终端更高密级服务。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种连接模式的配置方法及装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (26)
1.一种基于5G核心网的数据处理方法,其特征在于,所述5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
所述方法包括:
所述DSEF通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信,所述信令处理指令为针对用户与5G核心网之间进行通信的通信信令进行加密处理的指令;
当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC校验码,并将所述MAC校验码发送至所述5G核心网,所述5G核心网基于所述MAC校验码执行与终端间通信的完整性保护;
所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接,所述方法还包括:
所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;其中,所述网络切片选择标识包括用户终端在初始注册时,注册信息中携带的用户端特殊网络切片标识;基于切片类型值SST判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;
若一致,则所述用户终端与所述5G核心网匹配成功;
若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。
2.根据权利要求1所述的方法,其特征在于,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,所述方法还包括:
所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
若所述处理指令为所述安全参数获取指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
若所述处理指令为所述安全参数比对指令,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
若所述处理指令为所述信令处理指令,所述DSEF基于所述信令处理指令生成处理后的信令,并通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
若所述处理指令为所述完整性保护指令,所述DSEF基于所述完整性保护指令生成MAC校验码,并通过所述业务对象接口,将所述MAC校验码发送至所述完整性保护指令对应的业务对象。
3.根据权利要求2所述的方法,其特征在于,所述5G核心网中的业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,所述DSEF与所述UDM的接口为第一接口E1,所述DSEF与所述AUSF的接口为第二接口E2,所述DSEF与所述AMF的接口为第三接口E3。
4.根据权利要求3所述的方法,其特征在于,所述安全参数包括第一类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
5.根据权利要求4所述的方法,其特征在于,所述安全参数包括第二类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
6.根据权利要求5所述的方法,其特征在于,所述安全参数包括第三类派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
7.根据权利要求4所述的方法,其特征在于,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类随机参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
8.根据权利要求5所述的方法,其特征在于,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述DSEF基于所述安全参数获取指令生成安全参数的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
获取所述安全参数获取指令的指令信息;
当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
9.根据权利要求5所述的方法,其特征在于,所述安全参数比对结果包括第二类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;
获取所述安全参数比对指令的指令信息;
当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权参数;
所述DSEF比对所述网络第一鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
10.根据权利要求6所述的方法,其特征在于,所述安全参数比对结果包括第三类安全参数比对结果,所述DSEF基于所述安全参数比对指令生成安全参数比对结果的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权结果参数由用户终端计算;
获取所述安全参数比对指令的指令信息;
当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数生成网络第二鉴权参数;
所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权结果参数,并生成第三类安全参数比对结果。
11.根据权利要求6所述的方法,其特征在于,所述处理后的信令包括NAS加密信令,所述第三类派生密钥包括信令加密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
获取所述信令处理指令的指令信息;
当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
12.根据权利要求6所述的方法,其特征在于,所述处理后的信令包括NAS解密信令,所述第三类派生密钥包括信令解密密钥,所述DSEF基于所述信令处理指令进行信令处理,并得到处理后的信令的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
获取所述信令处理指令的指令信息;
当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
13.根据权利要求6所述的方法,其特征在于,所述第三类派生密钥包括完整性处理密钥,所述DSEF基于完整性保护指令生成MAC校验码的步骤包括:
所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
所述DSEF基于所述完整性处理密钥生成MAC校验码。
14.一种基于5G核心网的数据处理装置,其特征在于,所述5G核心网中设置有专用安全增强功能对象DSEF,所述DSEF与所述5G核心网通过接口连接;
所述装置包括:
指令接收模块,用于所述DSEF分别通过所述接口,接收所述5G核心网发送的处理指令;其中,所述处理指令包括安全参数获取指令、安全参数比对指令、信令处理指令、完整性保护指令;
安全参数模块,当所述处理指令为安全参数获取指令时,所述DSEF基于所述安全参数获取指令生成安全参数,并将所述安全参数发送至所述5G核心网,所述5G核心网基于所述安全参数执行鉴权操作、信令的加密操作、信令的解密操作、信令的完整性保护操作;
安全参数比对结果模块,用于当所述处理指令为安全参数比对指令时,所述DSEF基于所述安全参数比对指令生成安全参数比对结果,并将所述安全参数比对结果发送至所述5G核心网,所述5G核心网基于所述安全参数比对结果执行鉴权操作;
信令处理模块,用于当所述处理指令为信令处理指令时,所述DSEF基于所述信令处理指令生成处理后的信令,并将所述处理后的信令发送至所述5G核心网,所述5G核心网基于所述处理后的信令与终端通信,所述信令处理指令为针对用户与5G核心网之间进行通信的通信信令进行加密处理的指令;
完整性保护模块,用于当所述处理指令为完整性保护指令时,所述DSEF基于所述完整性保护指令生成MAC校验码,并将所述MAC校验码发送至所述5G核心网,所述5G核心网基于所述MAC校验码执行与终端间通信的完整性保护;
所述5G核心网中存储有特殊网络切片标识,所述5G核心网与5G基站连接,所述装置还包括:
切片标识接收模块,用于所述5G基站接收所述5G核心网发送的所述特殊网络切片标识;
切片标识判断模块,用于所述5G基站接收用户终端发送的网络切片选择标识,并判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;其中,所述网络切片选择标识包括用户终端在初始注册时,注册信息中携带的用户端特殊网络切片标识;基于切片类型值SST判断所述网络切片选择标识与所述特殊网络切片标识是否完全一致;
匹配成功模块,用于若一致,则所述用户终端与所述5G核心网匹配成功;
匹配失败模块,用于若不一致,则将所述网络切片选择标识与存储的其他网络切片标识进行匹配。
15.根据权利要求14所述的装置,其特征在于,所述5G核心网中包含多个业务对象,所述DSEF与所述5G核心网中的多个业务对象通过对应的业务对象接口连接,所述装置还包括:
业务对象接收模块,用于所述DSEF通过业务对象接口接收至少一个业务对象发送的处理指令;
安全参数接收模块,用于若所述处理指令为所述安全参数获取指令,则所述DSEF通过所述业务对象接口,将所述安全参数发送至所述安全参数获取指令对应的业务对象;
安全参数比对结果接收模块,用于若所述处理指令为所述安全参数比对指令,则所述DSEF通过所述业务对象接口,将所述安全参数比对结果发送至所述安全参数比对指令对应的业务对象;
信令接收模块,用于若所述处理指令为所述信令处理指令,则所述DSEF通过所述业务对象接口,将所述处理后的信令发送至所述信令处理指令对应的业务对象;
校验码接收模块,用于若所述处理指令为所述完整性保护指令,则所述DSEF通过所述业务对象接口,将所述MAC校验码发送至所述完整性保护指令对应的业务对象。
16.根据权利要求15所述的装置,其特征在于,所述5G核心网中的业务对象包括数据管理对象UDM、鉴权管理对象AUSF以及移动性管理对象AMF,所述DSEF与所述UDM的接口为第一接口E1,所述DSEF与所述AUSF的接口为第二接口E2,所述DSEF与所述AMF的接口为第三接口E3。
17.根据权利要求16所述的装置,其特征在于,所述安全参数包括第一类派生密钥,所述安全参数模块包括:
第一指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第一指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第一类派生密钥时,所述DSEF生成所述第一类派生密钥。
18.根据权利要求17所述的装置,其特征在于,所述安全参数包括第二类派生密钥,所述安全参数模块包括:
第二指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第二指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第二类派生密钥时,所述DSEF生成所述第二类派生密钥。
19.根据权利要求18所述的装置,其特征在于,所述安全参数包括第三类派生密钥,所述安全参数模块包括:
第三指令获取模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数获取指令;
第三指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第三密钥生成模块,用于当所述安全参数获取指令的指令信息为获取第三类派生密钥时,所述DSEF生成所述第三类派生密钥。
20.根据权利要求17所述的装置,其特征在于,所述安全参数包括第一类鉴权向量,所述第一类派生密钥包括第一鉴权派生密钥,所述安全参数模块包括:
第四指令获取模块,用于所述DSEF通过所述E1,接收所述UDM发送的安全参数获取指令;
第四指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第一鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第一类鉴权向量时,所述DSEF生成第一类随机参数,并基于所述第一类随机参数以及所述第一鉴权派生密钥生成所述第一类鉴权向量。
21.根据权利要求18所述的装置,其特征在于,所述安全参数包括第二类鉴权向量,所述第二类派生密钥包括第二鉴权派生密钥,所述安全参数模块包括:
第五指令获取模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数获取指令;
第五指令信息获取模块,用于获取所述安全参数获取指令的指令信息;
第二鉴权向量生成模块,用于当所述安全参数获取指令的指令信息为获取第二类鉴权向量时,所述DSEF生成第二类随机参数,并基于所述第二类随机参数以及所述第二鉴权派生密钥生成所述第二类鉴权向量。
22.根据权利要求18所述的装置,其特征在于,所述安全参数比对结果包括第二类安全参数比对结果,所述安全参数比对结果模块包括:
第二比对指令接收模块,用于所述DSEF通过所述E2,接收所述AUSF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第一鉴权结果参数;其中,所述第一鉴权结果参数由用户终端计算;
第二比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第二安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第二类安全参数比对结果时,所述DSEF生成第三类随机参数,并基于所述第三类随机参数生成网络第一鉴权参数;
第二比对结果生成模块,用于所述DSEF比对所述网络第一鉴权参数以及所述第一鉴权结果参数,并生成第二类安全参数比对结果。
23.根据权利要求19所述的装置,其特征在于,所述安全参数比对结果包括第三类安全参数比对结果,所述安全参数比对结果模块包括:
第三比对指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的安全参数比对指令,并接收与所述安全参数比对指令同时携带的第二鉴权结果参数;其中,所述第二鉴权结果参数由用户终端计算;
第三比对信息获取模块,用于获取所述安全参数比对指令的指令信息;
第三安全参数生成模块,用于当所述安全参数比对指令的指令信息为获取第三类安全参数比对结果时,所述DSEF生成第四类随机参数,并基于所述第四类随机参数以及第二过程相关密钥生成第二网络第二鉴权安全参数;
第三比对结果生成模块,用于所述DSEF比对所述网络第二鉴权参数以及所述第二鉴权结果参数,并生成第三类安全参数比对结果。
24.根据权利要求19所述的装置,其特征在于,所述处理后的信令包括NAS加密信令,所述第三类派生密钥包括信令加密密钥,所述信令处理模块包括:
第一信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的原始NAS信令;
第一信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第一信令生成模块,用于当所述信令处理指令的指令信息为加密NAS信令时,所述DSEF基于所述信令加密密钥对所述原始NAS信令进行加密,并生成NAS加密信令。
25.根据权利要求19所述的装置,其特征在于,所述处理后的信令包括NAS解密信令,所述第三类派生密钥包括信令解密密钥,所述信令处理模块包括:
第二信令处理指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的信令处理指令,并接收与所述信令处理指令同时发送的用户NAS信令;
第二信令指令信息获取模块,用于获取所述信令处理指令的指令信息;
第二信令生成模块,用于当所述信令处理指令的指令信息为解密NAS信令时,所述DSEF基于所述信令解密密钥对所述用户NAS信令进行解密,并生成NAS解密信令。
26.根据权利要求19所述的装置,其特征在于,所述完整性保护模块包括:
完整性保护指令接收模块,用于所述DSEF通过所述E3,接收所述AMF发送的完整性保护指令;
完整性处理密钥生成模块,用于所述DSEF基于所述完整性处理密钥生成MAC校验码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911236137.6A CN112929876B (zh) | 2019-12-05 | 2019-12-05 | 一种基于5g核心网的数据处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911236137.6A CN112929876B (zh) | 2019-12-05 | 2019-12-05 | 一种基于5g核心网的数据处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112929876A CN112929876A (zh) | 2021-06-08 |
CN112929876B true CN112929876B (zh) | 2022-05-17 |
Family
ID=76161891
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911236137.6A Active CN112929876B (zh) | 2019-12-05 | 2019-12-05 | 一种基于5g核心网的数据处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112929876B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114339959A (zh) * | 2021-12-31 | 2022-04-12 | 赛特斯信息科技股份有限公司 | 一种5g基站切片匹配方法 |
CN114189864B (zh) * | 2022-02-16 | 2022-05-31 | 中国电子科技集团公司第三十研究所 | 移动通信系统非蜂窝接入装置及接入方法 |
CN116112910A (zh) * | 2023-01-12 | 2023-05-12 | 中国联合网络通信集团有限公司 | 数据处理方法、装置及存储介质 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102332075B1 (ko) * | 2016-07-05 | 2021-11-29 | 삼성전자 주식회사 | 모바일 무선 네트워크 시스템에서의 액세스 인증 방법 및 시스템 |
WO2018201506A1 (zh) * | 2017-05-05 | 2018-11-08 | 华为技术有限公司 | 一种通信方法及相关装置 |
WO2019159788A1 (en) * | 2018-02-16 | 2019-08-22 | Nec Corporation | Integrity protection for user plane data in 5g network |
CN109104727B (zh) * | 2018-08-08 | 2021-05-04 | 兴唐通信科技有限公司 | 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法 |
CN109041057B (zh) * | 2018-08-08 | 2021-06-08 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
CN109474580A (zh) * | 2018-10-25 | 2019-03-15 | 国网浙江省电力有限公司嘉兴供电公司 | 一种lte电力专网安全防护系统 |
-
2019
- 2019-12-05 CN CN201911236137.6A patent/CN112929876B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112929876A (zh) | 2021-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11272365B2 (en) | Network authentication method, and related device and system | |
US10742418B2 (en) | Authentication method, authentication apparatus, and authentication system | |
US20210195399A1 (en) | Indirect Registration Method and Apparatus | |
EP3657894B1 (en) | Network security management method and apparatus | |
US11553381B2 (en) | Method and apparatus for multiple registrations | |
EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
EP3338472B1 (en) | Method and apparatus for direct communication key establishment | |
WO2019104124A1 (en) | Secure authentication of devices for internet of things | |
CN112929876B (zh) | 一种基于5g核心网的数据处理方法及装置 | |
KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
KR20070120176A (ko) | 키 머티리얼의 교환 | |
US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
CN101627644A (zh) | 用于漫游环境的基于令牌的动态密钥分配方法 | |
US11381973B2 (en) | Data transmission method, related device, and related system | |
US20150381611A1 (en) | Method and network node for obtaining a permanent identity of an authenticating wireless device | |
CN109391937B (zh) | 公钥的获取方法、设备及系统 | |
EP4030801A1 (en) | Communication authentication method and related device | |
US11316670B2 (en) | Secure communications using network access identity | |
Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
CN105592433A (zh) | 设备到设备限制发现业务广播、监听方法、装置及系统 | |
JP2023509806A (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
KR20140030518A (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
US20220030431A1 (en) | Credentials management | |
CN106302376A (zh) | 重认证识别方法、演进分组数据网关及系统 | |
US20230231708A1 (en) | Method and apparatus for multiple registrations |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |