CN113302895B - 用于认证无线通信设备群组的方法和装置 - Google Patents
用于认证无线通信设备群组的方法和装置 Download PDFInfo
- Publication number
- CN113302895B CN113302895B CN201980089970.4A CN201980089970A CN113302895B CN 113302895 B CN113302895 B CN 113302895B CN 201980089970 A CN201980089970 A CN 201980089970A CN 113302895 B CN113302895 B CN 113302895B
- Authority
- CN
- China
- Prior art keywords
- wireless communication
- authentication
- communication device
- requesting wireless
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/06—Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
- H04W4/08—User group management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Abstract
本发明涉及一种网关中继节点(201),用于对包括位于所述节点(201)附近并且请求接入无线通信网络(130)的多个无线通信设备的群组(200)进行认证,网关中继节点(201)被适配为直接与请求无线通信设备以及与无线通信网络进行通信,网关中继节点(201)进一步被适配为接收(214、215)由认证服务器(203)生成的合成认证向量(300)的全部或部分;针对每个请求无线通信设备(200)生成(216)本地认证命令,本地认证命令由随机数RAND和从合成认证向量中提取的位组成,并且对应于单独的认证向量的与本地认证命令所意图针对的请求无线通信设备(200)相对应的采样版本;将本地认证命令(217a、217b、217c)传送到每个请求无线通信设备(200)。
Description
技术领域
本发明涉及一种用于认证无线通信设备群组的方法和装置。其可适用于无线通信系统和物联网。
背景技术
根据国际电信协会提供的ITU-T Y.2060建议书,物联网(loT)被定义为信息社会全球基础设施,通过基于现有的和不断发展的可共同操作的信息和通信技术互连物理和虚拟事物来使得能够进行高级服务。事物是物理世界(物理事物)或信息世界(虚拟事物)的对象,其能够被标识并且集成到通信网络中。目前,IoT一般应用于诸如安全监控、自动售货机、公共交通系统、车辆监控与管理、工业过程自动化、电机机械、城市信息化之类的领域中。
在下一代无线通信网络中,大规模部署所谓的loT设备是对于电信运营商而言关键的业务驱动因素之一。
在本描述中,loT设备被称为无线通信设备WCD。无线通信设备WCD是具有通信能力和可选地具有数据捕获、感测、数据存储和/或数据处理的能力的一件装备。无线通信设备WCD包括例如也称为机器类型通信(MTC)模块的无线通信模块,其允许将数据从一个无线通信设备WCD设备传送到网络或通过UMTS/HSDPA、CDMA/EVDO、LTE、5G、LoRa或其它网络在机器之间交换数据。
无线通信设备WCD的大规模部署带来的问题之一是认证所需要的无线电资源。单独认证每个无线通信设备WCD一般涉及无线通信网络中的大量带宽消耗。进一步地,用于启用该初始认证的长距离无线通信还涉及大量能量需求,其对设备电池消耗具有很强影响。作为结果,这构成了相对于这样的类型的设备的价值的材料开销。
因此,具有允许注册多个无线通信设备和订户同时最小化所需要的信令消息的改进的方法、系统和装置将是有利的。
属于现有技术的若干技术目的在于解决该问题。
根据第一现有技术,由无线通信设备WCD传送到网络的每个消息被单独地认证。该解决方案是通过SigFox和LoRa低功耗和广域网(LPWAN)实现的。显著的缺点是在每个消息中引入了固有开销,并且另一缺点在于分布密钥以启用该认证方法的方式。
根据第二现有技术,群组认证可以是由能够对其覆盖范围内的无线通信设备WCD进行单独认证的网关设备执行的。在该情况下,无线网络将认证信任委托给该网关设备以用于执行认证以及保持机密安全并将网络资源分布到本地设备。然而,无线网络不能确保网关已经正确执行了设备的认证或者已经对设备密钥保密。
发明内容
本发明涉及一种网关中继节点,其用于对包括位于所述节点附近并且请求接入无线通信网络的多个无线通信设备的群组进行认证,网关中继节点被适配为直接与请求无线通信设备以及与无线通信网络进行通信,网关中继节点进一步适配为:
-接收由认证服务器生成的合成认证向量的全部或部分,合成认证向量是从单独的认证向量的集合得到的,所述集合按属于群组的每个请求无线通信设备包括一个单独的认证向量,单独的认证向量是使用随机数RAND确定的,随机数RAND被生成以用于注册请求无线通信设备的整个群组,合成认证向量是通过使用采样函数SFm对每个单独的认证向量进行采样并且通过连结所述单独的认证向量的采样版本来得到的,采样函数SFm是取决于随机数RAND的值而选择的,随机数RAND也被作为合成认证向量的一部分传送;
-针对每个请求无线通信设备生成本地认证命令,本地认证命令由随机数RAND和从合成认证向量中提取的位组成,并且对应于单独的认证向量的与本地认证命令所意图针对的请求无线通信设备相对应的采样版本;
-将本地认证命令传送到每个请求无线通信设备。
根据示例,网关中继节点被适配为在接收合成认证向量之前:
-接收针对群组中的每个请求无线通信设备的注册请求,注册请求包括关联到与其所关联于的请求无线通信设备的标识符;
-向认证服务器传送接收到的标识符,认证服务器使用所述标识符来检索与群组的请求无线通信设备关联的机密,所述机密被用作为用以确定单独的认证向量的输入。
根据示例,网关中继节点被适配为在传送本地认证命令之后:
-针对群组的每个请求无线通信设备接收认证响应,认证响应包括使用从请求无线通信设备可获得的机密并且根据随机数而确定的结果RES_i;
-通过连结从群组的每个请求无线通信设备接收到的结果RES_i的采样版本来生成合成认证响应RES*。
根据示例,网关中继节点是与请求无线通信设备相同类型的。
根据示例,与请求无线设备关联的标识符是国际移动订户标识符IMSI。
根据示例,在MCC字段和MNC字段对于群组的请求无线通信设备而言相同的情况下,IMSI的列表是通过仅传送MSIN部分。
本发明还涉及一种认证服务器,其被适配为:
-接收包括与无线通信设备群组关联的标识符列表的消息,该群组的请求无线通信设备请求接入无线通信网络,每个请求无线通信设备与列表的标识符关联;
-为整个群组提供针对该接入请求生成的随机数RAND;
-生成单独的认证向量的集合,所述集合按属于群组的每个请求无线通信设备包括一个单独的认证,使用随机数RAND来确定单独的认证向量;
-基于随机数RAND来选择采样函数SFm;
-通过使用采样函数SFm对每个单独的认证向量进行采样并且通过连结所述单独的认证向量的采样版本来生成合成认证向量,随机数RAND也被作为合成认证向量一部分传送;
-向根据权利要求1所述的网关中继节点传送合成认证向量的全部或部分。
根据示例,认证服务器被配置为考虑到随着时间的推移针对群组的每个请求无线通信设备执行的认证次数的增加,来估计针对每个请求无线通信设备的置信水平。
根据示例,为第i个请求无线通信设备提供的单独的认证向量包括用于认证无线通信网络的认证令牌AUTN_i、序列号SQN_i和预期结果XRES_i。
根据示例,通过如下来生成合成认证向量:针对第i个请求无线通信设备提取AUTN_i的至少一位、XRES_i的至少一位和SQN_i的至少一位以用于分别形成AUTN_i**、XRES_i**和SQN_i**,然后对针对群组中的所有请求无线通信设备获得的AUTN_i**、XRES_i**、SQN_i**进行连结,然后计算XRES_i**的散列值并且添加随机数RAND。
根据示例,被从SQN_i提取以形成SQN_i**的至少一位是SQN_i的至少一个接近最低有效位,以用于允许第i个请求无线通信设备在仅接收SQN_i**的同时验证SQN_i,其中假定最高有效位是正确的,虽然没有被接收到。
根据示例,从XRES_i*提取K位,该提取是针对群组中的所有请求无线通信设备进行的并且被连结以便形成名为GRN_ControlCodes(GRN_控制代码)的控制代码。
根据示例,控制代码GRN_ControlCodes被传送到网关中继节点,以使其能够执行对请求无线通信设备的预认证。
根据示例,合成认证向量被完全传送到接入和移动性管理功能AMF,其存储HXRES*并且将合成认证向量的部分转发到网关中继节点,所述部分包括AUTN*、SQN*和RAND。
附图说明
在结合以下附图阅读作为指示性和非限制性的示例给出的本发明的若干实施例的详细描述后,本发明的附加的特征和优点将是更清楚地可理解的:
-图1提供无线电信系统的示例,其实现用以优化无线通信设备群组的认证的机制;
-图2是图示用于优化由5G网络对多个无线通信设备的注册的机制的序列图;
-图3提供允许生成用于多个的N个请求无线通信设备的合成认证向量的机制的示例;
-图4提供示出包括合成认证向量的认证命令可以是如何生成并且由认证服务器传送的示例;
-图5是提供由给定的请求无线通信设备在接收到本地认证命令时执行的处理的示例的流程图;
-图6是提供由网关中继节点GRN执行的处理的示例的流程图;
-图7是提供由接入和移动性管理功能AMF服务器执行的处理的示例的流程图;
-图8是提供由归属(home)认证服务器AUSF执行的处理的示例的流程图。
具体实施方式
本发明涉及一种允许减少由单独的无线通信设备进行的长距离认证次数的概率机制。
图1提供无线电信系统的示例,其实现用以优化无线通信设备群组的认证的机制。
根据该简化示例,三个无线通信设备110-112正在请求接入无线通信网络130。为了简化的目的,无线通信网络在后续中被指明为“网络”。
无线通信设备需要由网络认证。为此目的,被称为网关中继节点GRN 100的本地网关被用于在注册处理期间聚合在无线通信设备110-112和网络130之间交换的信令消息。在本发明的上下文中,用语“注册”指代由网络和无线通信设备执行的相互认证以及可能地指代其它任务,诸如通过正确认证的无线通信设备的网络来维持数据库。
网关中继节点100可以被实现为具有无线通信能力的服务器,其用于与在其附近的无线通信设备110-112以及网络130这两者进行通信。根据另一实施例,网关中继节点100可以是与那些无线通信设备110-112——其请求通过网络、WIFI热点、家庭基站(Home(e)NodeB)(也已知为毫微微小区、小小区、微微小区)进行注册或被嵌入在基站(gNB、eNB)中——相同类型的无线通信设备。
在该示例中,无线通信网络130是如在3GPP技术规范TS 23.501版本15.0.0中描述的5G无线电信系统的简化表示。然而,本领域技术人员将理解,所描述的发明也可以应用于其它类型的无线电信系统,例如现有4G系统或LPWAN的演进。进一步地,本领域技术人员还将领会本发明还可以应用于IoT用例之外的无线通信设备。例如,本发明也可应用于诸如智能电话、平板电脑、或甚至膝上型计算机之类的无线通信设备。
网络130包括5G接入网络132,也就是说,包括连接到5G核心网络的NG-RAN和/或非3GPP接入网络的接入网络。
核心网络131也是无线通信网络130的部分并且被表示为还包括在其处以简化方式表示的核心网络,因为它仅包括接入和移动性管理功能AMF 121和认证服务器功能AUSF122。N2指代(R)AN 132和AMF 121之间的参考点,并且N12指代AMF 121和AUSF122之间的参考点。
根据本发明的一个方面,由认证服务器AUSF 122针对位于本地网关100附近的多个无线通信设备110-112生成认证向量。
这些认证向量被采样,并且然后被聚合成所谓的合成认证向量(SAV),被由认证服务器122通过AMF 121传送到网关中继节点100。
网关中继节点100被配置为使用合成认证向量(SAV)针对每个单独的无线通信设备110-112本地生成认证向量。
请求无线通信设备110-112被适配为检查从网络接收到的认证挑战的有效性,但是仅关于针对它们生成的AUTN令牌的样本。其被进一步适配为向本地网关100发送响应消息。
网关中继节点100还被适配为基于从请求通信设备110-112接收到的本地设备认证响应来生成合成认证响应消息。
认证服务器AUSF 122然后基于从本地网关中继节点100接收到的合成认证响应将请求无线通信设备视为已认证。
认证服务器AUSF 122可以考虑到随着时间的推移针对每个请求无线通信设备执行的认证的数量增加,来估计针对每个请求无线通信设备的置信水平。事实上,随着同一组设备的连续的成功认证,该置信水平增加。
图2是图示用于优化由5G网络对多个无线通信设备的注册的机制的序列图。
所描述的机制基于使用网关中继节点201,其能够集中来自多个请求无线通信设备200的多个注册请求。根据该示例,针对三个请求无线通信设备200a、200b、200c执行注册。
根据本发明的一方面,无线通信设备能够进行本地通信,例如使用诸如WiFi或蓝牙之类的无线技术的设备到设备通信。
附加地,无线通信设备具有注册到长程无线电网络(例如2G、3G、4G或5G网络)的能力。根据示例,它们可以使用例如优选地安全存储在诸如嵌入式eUICC、安全元件或安全飞地之类的防篡改安全环境中的IMSI/Ki对。
这样的无线通信设备中的一个或多个能够与长程无线电网络通信。该无线通信设备充当网关中继节点(GRN)。然而,本发明还应用于被实现为包括无线能力的服务器的网关中继节点(GRN)。
该序列图中的另一参与方是服务AMF 202,其能够代表归属AUSF 203来执行请求无线通信设备200的认证。
归属AUSF 203能够针对N+1个请求无线通信设备200生成一组N+1个的认证向量。
借助该序列图描述的认证过程是对熟知的认证和密钥协定(AKA)协议的改进。在以下描述中使用的标注指代本领域技术人员熟知的符号。针对附加的信息,例如可以参考描述了用于5G的AKA的3GPP规范TS 33.501,可以执行版本15.2.0第6.1.3.2节。
因此,在后续中使用以下标注:
XRES指代预期响应;
HRES指代散列预期响应;
AUTN指代认证令牌;
SQN指代序列号。
首先,请求无线通信设备200发现GRN 201,并且与GRN 201建立单独的(就是说一对一的)本地通信或群组本地通信。
然后,每个请求无线通信设备200向GRN 201发送包括订户标识符的本地注册消息210a、210b、210c。该订户标识符可以是例如国际移动订户标识符(IMSI)。
然后,GRN 201通过无线电接入网络(例如LTE或5G无线电接入网络(RAN))向AMF202进行注册。为此目的,包括IMSI的有序列表的注册消息211被传送到服务AMF202。根据实施例,注册消息211还包括GRN的IMSI。
根据示例,可以压缩IMSI的有序列表。在移动国家代码(MCC)和移动网络代码(MNC)字段对于这些请求无线通信设备200而言相同的情况下,可以例如通过仅传送IMSI的移动订户标识号(MSIN)部分来启用该压缩。本领域技术人员还可以考虑属于现有技术并且允许压缩IMSI的该有序列表的其它方法。进一步地,出于隐私目的,还可以利用家庭网络运营商公钥对IMSI的有序列表进行加密。
AMF 202然后将注册消息内容转发212到归属PLMN的AUSF 203。为此目的,其可以使用包含归属公共陆地移动网络(PLMN)身份和路由信息的注册消息的明文部分。
图3提供允许生成用于多个的N个请求无线通信设备的合成认证向量的机制的示例。
在接收到有序IMSI列表之后,认证服务器AUSF 203生成213合成认证向量,其将用于认证请求无线通信设备的整个集合。
为此目的,认证服务器203:
-解密IMSI的经加密的有序列表;
-解压IMSI的有序列表;
-针对IMSI的有序列表300中的每个IMSI找到Ki密钥301和序列号302;
-生成一个单个的随机挑战(RAND)。
针对分别与N+1个IMSI 310关联的N+1个请求无线通信设备,认证服务器AUSF203针对挑战RAND 320并且针对与IMSI有序列表的每个IMSI关联的Ki密钥和序列号SQN生成预期结果表XRESTAB 311和AUTN密码表AUTNTAB 312。要注意的是,在利用图2图示的示例中,N被认为等于2。要理解这仅用于示例性目的并且N可以被选取为等于大于或等于零的任何整数。
XRESTAB=[XRES_0,XRES_1,...,XRES_N]
AUTNTAB=[AUTN_0,AUTN_1,...,AUTN_N]
使用标明为Authentication-Algo()(认证算法())的熟知算法340(例如在3GPPTS33.501中描述的算法)来确定用于第i个请求无线通信设备的预期结果XRES_i和认证令牌AUTN_i。
这可以表达为如下:
XRES_i,AUTN_i=Authentication-Algo(KI_i,RAND,SQN_i)
然后,可以确定合成认证向量。
图4提供示出包括合成认证向量的认证命令可以是如何生成并且由认证服务器传送的示例。
认证命令的生成213可以是使用步骤400-405实现的。
首先,使用随机数RAND作为输入参数来生成400采样函数SFm。
选取给定的采样函数SFm所遵循的原则是对于每个可能的RAND值而言优选地应当存在独特的函数。给定的SFm函数将针对第i个请求无线通信设备提取组成XRES_i的位样本和组成AUTN_i的位样本。
例如,采样函数SFm可以被使用于401针对所有i分别提取XRESTAB表311的XRES_i的P个位和AUTNTAB表312的AUTN_i的Q个位。
例如,对于给定的RAND值320而言,SFm函数可以选取XRESTAB 311的每个XRES_i的第2位到第6位和AUTNTAB 312的每个AUTN_i的第8位到第10位。
根据示例,AUSF 203服务器进一步提取SQNTAB表313的序列号SQN_i的接近最低有效位的数目S。这可以例如是每个SQN_i的四个接近最低有效位。例如,如果有效性窗口是32并且第1位是最低有效位,则可以选取使用第5位到第8位用于SQN_i,因为较低有效位到第5位将是有效性窗口内的先验,并且将不提供有用的信息。
然后,从针对N+1个请求通信设备提供的XRES_i值、AUTN_i值和SQN_i值获得的样本被分别连结403以形成XRES*、AUTN*和SQN*。
然后可以构建合成认证向量330。该合成认证向量优选地包括RAND、HXRES*、AUTN*和SQN*,而HXRES*是XRES*的散列值。
根据示例,采样步骤321可以进一步从预期结果表的采样位中提取404K个位。这可以是SFm函数的部分或者是在与SFm并行应用的另一函数SFm'中定义的。
这K个位可以是例如已经从AUTN_i和XRES_i提取的位的第3位和第4位以形成每个为四位的N+1个代码,这些代码然后被连结以形成名为GRN_ControlCodes(GRN_控制代码)的控制代码。该控制代码然后可以被GRN使用以执行请求无线通信设备的预认证,如在本描述中稍后详述的那样。
然后,可以构建包括合成认证向量330、GRN IMSI和可能的GRN_ControlCode(GRN_控制代码)的认证命令,并且将其传送214、405到服务AMF 202。
注意,在该示例中,合成认证向量被完全传送到服务AMF 202,并且然后如下面描述那样,将合成认证向量的一部分传送到网关中继节点。实际上,AMF 202存储采样的预期结果HXRES*并且将AUTN*、SQN*和RAND传送到网关中继节点(201)。这是因为在本实施例中,AMF负责将HXRES*与由GRN借助由群组的请求无线通信设备提供的反馈消息生成的RES*的散列值进行比较。然而,本领域技术人员将领会,即使在本说明书中没有详述,也可以在本发明的上下文中考虑其它实施例。例如,合成认证向量可以完全由服务AMF 202传送到GRN201,并且在该情况下GRN 201可以负责将RES*的散列值与HXRES*进行比较。
服务AMF 202然后从归属AUSF 203接收认证命令214。然后,服务AMF 202可以被配置为存储HXRES*和GRN 201的IMSI。服务AMF 202可以被进一步配置为在到GRN201的认证消息215中转发RAND、SQN*、AUTN*和可选地转发GRN_ControlCodes(GRN_控制代码)。
GRN 201在接收到认证命令时可以被配置为存储RAND和GRN_ControlCodes(GRN_控制代码)。其还可以配置为生成216N+1个本地认证命令(LAC)。
根据示例,用于第i个请求无线通信设备的本地认证命令包括:
-随机数RAND,其对于所有N+1个请求无线通信设备200而言是共同的;
-与由AUSF服务器203使用SFm函数在用于第i个无线通信设备的SQN_i上提取的位对应的位,并且被标明为SQN_i**;
-与由AUSF服务器203使用SFm函数在用于第i个无线通信设备的AUTN_i上提取的位对应的位,并且被标明为AUTN_i**。
换言之,SQN_i**和AUTN_i**是的SQN*和AUTHN*的与第i个请求无线通信设备关联的位。
N+1个本地认证命令217a、217b、217c然后由GRN 201传送到请求无线通信设备200a、200b、200c中的每个,给定的本地认证命令与给定的请求无线通信设备的IMSI关联。
图5是提供在接收到本地认证命令时由给定的请求无线通信设备执行的处理的示例的流程图。
在接收到本地认证命令后,每个请求无线通信设备200a、200b、200c被配置为:
-检查500与预期SQN值的接近最低有效位对应的SQN_i**位是在有效性窗口内,如是在AKA现有技术协议中那样,但是第i个请求无线通信设备假定未在SQN_i**中接收到的较高有效位和较低有效位是正确的;
-基于其自己的机密密钥Ki、接收到的RAND和SQN号的重新构建的版本来计算501结果RES_i,该重新构建的版本是通过如下来生成的:将SQN_i**位当作为来自SQN计数器(由第i个请求无线通信设备内部维持或嵌入在安装在所述设备中的认证令牌中)的接近最低有效位和较高有效位并且假定较低有效位被设置为默认值(例如较低有效位为零);
-使用接收到的RAND以与AUSF 203生成其的方式相同的方式生成502采样函数SFm;
-计算503AUTN_i并且应用SFm函数来提取用于验证504AUTN_i**位的一组位;
-如果成功505,则设备将所计算的RES_i值传送506到GRN 201。
图6是提供由网关中继节点执行的处理的示例的流程图。
GRN 202可以针对与其IMSI对应的SQN_i**位和AUTN_i**位执行600相同类型的验证和计算。
然后,在从第i个请求无线通信设备接收到RES_i值时,可以执行以下步骤:
-验证601使用SFm'采样的接收到的RES_i的位是等于GRN_ControlCodes(GRN_控制代码)的对应的位的;
-如果成功602,则GRN假定请求无线通信设备是有效的。在这种情况下,
-GRN服务器存储RES_i;
-基于RAND值来生成603采样函数SFm;
-一旦所有N+1个请求无线通信设备的所有RES_i都被接收和验证,GRN 201就从接收到的RES_i的有序列表(其可以被排序为IMSI的初始有序列表)中提取604出位以使用SFm形成RES*并且将其发送219到服务AMF 202。
如果对于N+1个请求无线通信设备中的至少一个而言所接收的RES_i的采样位的验证602不等于GRN_ControlCodes(GRN_控制代码)的对应位,则检测到不正确的RES_i值。在该情况下,失败的无线通信设备可以被列入黑名单605。然后可以执行新的注册尝试,但是仅对于成功检查的设备。这意味着不含由失败的无线通信设备使用的IMSI的新的有序IMSI被由GRN传送到AMF以用于重新启动针对该新的请求无线通信设备群组的注册处理。
要注意,GRN_ControlCodes(GRN_控制代码)要素是可选的,并且具有允许GRN201在向AMF和AUSF服务器发送认证响应之前本地确定哪些设备将失败于认证过程的优点。这还允许GRN 201仅对成功地进行了本地验证的那些设备来重新发起新的认证过程。
GRN可以对失败的设备执行新的注册尝试以消除潜在的假阴性测试。
图7是提供由接入和移动性管理功能AMF服务器执行的处理的示例的流程图。
一旦AMF 202已经接收到219RES*,就检查700其散列值是等于HXRES*的。如果701成功,则将RES*传送702到归属AUSF 203。
如果AMF检测到失败703,则认为批量认证尝试已经失败。
图8是提供由归属认证服务器AUSF执行的处理的示例的流程图。
在接收到RES*时,AUSF检查800其是等于XRES*的。如果该验证成功,则有序IMSI列表的N+1个请求无线通信设备被认为是正确认证的,并且针对这些设备授权对网络的接入。
如果归属AUSF检测到认证失败,则认为批量认证尝试已经失败803。
要注意的是,群组的设备被称为请求无线通信设备。用语“请求”已经被用于示例性的目的。事实上,无线通信设备的认证可以是由移动网络触发的。
由于可以执行针对相同设备的连续认证,因此无线通信设备的置信水平将有利地随着成功认证的次数而增加。这是因为如下事实:对于给定的无线通信设备的每次认证尝试而言,可能从XRES_i提取不同的位组合,因为不同的RAND值被用于确定采样函数。
合成认证命令的使用允许非操作网络无线电资源的使用并且减少电池消耗,同时启用网络和请求无线通信设备之间的安全的相互认证。
Claims (14)
1.一种网关中继节点(201),用于对包括位于所述节点(201)附近并且请求接入无线通信网络(130)的多个无线通信设备的群组(200)进行认证,所述网关中继节点(201)被适配为直接与请求无线通信设备以及与无线通信网络进行通信,所述网关中继节点(201)进一步被适配为:
-接收(214、215)由认证服务器(203)生成的合成认证向量(300)的全部或部分,合成认证向量(300)从单独的认证向量的集合中得到,所述集合按属于群组(200)的每个请求无线通信设备包括一个单独的认证向量,单独的认证向量是使用随机数RAND确定的,随机数RAND被生成以用于注册请求无线通信设备的整个群组(200),合成认证向量是通过使用采样函数SFm对每个单独的认证向量进行采样并且通过连结所述单独的认证向量的采样版本来得到的,采样函数SFm是取决于随机数RAND的值来选择的,随机数RAND也被作为合成认证向量的部分而传送;
-针对每个请求无线通信设备(200)生成(216)本地认证命令,本地认证命令由随机数RAND和从合成认证向量中提取的位组成,并且对应于单独的认证向量的与本地认证命令所意图针对的请求无线通信设备(200)对应的采样版本;
-将本地认证命令(217a、217b、217c)传送到每个请求无线通信设备(200)。
2.根据权利要求1所述的网关中继节点(201),其中,其被适配为在接收合成认证向量之前:
-接收针对群组中的每个(210)请求无线通信设备的注册请求,注册请求包括关联到与其所关联于的请求无线通信设备的标识符;
-向认证服务器(203)传送(211、212)接收到的标识符,认证服务器使用所述标识符来检索与群组的请求无线通信设备关联的机密(Ki),所述机密(Ki)被用作为用以确定单独的认证向量的输入。
3.根据权利要求1或2所述的网关中继节点(201),其中,其被适配为在已经传送本地认证命令(217a、217b、217c)之后:
-针对群组(200)的每个请求无线通信设备接收认证响应,认证响应包括使用从请求无线通信设备可获得的机密并且根据随机数而确定的结果RES_i;
-通过连结从群组的每个请求无线通信设备接收到的结果RES_i的采样版本来生成合成认证响应RES*。
4.根据权利要求1或2所述的网关中继节点(201),其是与所述请求无线通信设备相同类型的。
5.根据权利要求2所述的网关中继节点(201),其中,与请求无线设备关联的标识符是国际移动订户标识符IMSI。
6.根据权利要求5所述的网关中继节点(201),其中,在MCC字段和MNC字段对于群组的请求无线通信设备而言相同的情况下,IMSI的列表是通过仅传送MSIN部分。
7.一种认证服务器(203),其被适配为:
-接收包括与无线通信设备群组关联的标识符列表的消息(212),该群组(200)的请求无线通信设备请求接入无线通信网络(130),每个请求无线通信设备与列表的标识符关联;
-为整个群组(200)提供针对接入请求而生成的随机数RAND;
-生成单独的认证向量的集合,所述集合按属于群组(200)的每个请求无线通信设备包括一个单独的认证,使用随机数RAND来确定单独的认证向量;
-基于随机数RAND来选择采样函数SFm;
-通过使用采样函数SFm对每个单独的认证向量进行采样并且通过连结所述单独的认证向量的采样版本来生成合成认证向量,随机数RAND也被作为合成认证向量的部分而传送;
-向根据权利要求1所述的网关中继节点传送(214、215)合成认证向量的全部或部分。
8.根据权利要求7所述的认证服务器(203),其被配置为考虑到随着时间的推移针对群组中的每个请求无线通信设备执行的认证次数的增加,来估计针对群组中的每个请求无线通信设备的置信水平。
9.根据权利要求7或8所述的认证服务器(203),其中,为第i个请求无线通信设备提供的单独的认证向量包括用于认证无线通信网络的认证令牌AUTN_i、序列号SQN_i和预期结果XRES_i。
10.根据权利要求9所述的认证服务器(203),其中,通过如下来生成合成认证向量:针对第i个请求无线通信设备提取AUTN_i的至少一位、XRES_i的至少一位和SQN_i的至少一位以用于分别形成AUTN_i**、XRES_i**和SQN_i**、然后将针对群组中的所有请求无线通信设备(200)获得的AUTN_i**、XRES_i**、SQN_i**进行连结,然后计算XRES_i**的散列值并且添加随机数RAND。
11.根据权利要求10所述的认证服务器(203),其中,被从SQN_i提取以形成SQN_i**的至少一位是在SQN_i的最低有效位附近的至少一位,以用于允许第i个请求无线通信设备在仅接收SQN_i**的同时验证SQN_i,其中假定最高有效位是正确的,虽然没有被接收到。
12.根据权利要求10或11所述的认证服务器(203),其中,从XRES_i**提取(404)K位,该提取是针对群组中的所有请求无线通信设备(200)进行的并且被连结以便形成名为GRN_ControlCodes的控制代码。
13.根据权利要求12所述的认证服务器(203),其中,控制代码GRN_ControlCodes被传送到网关中继节点(201),以使其能够执行对请求无线通信设备(200)的预认证。
14.根据权利要求10或11所述的认证服务器(203),其中,合成认证向量被完全传送到接入和移动性管理功能AMF(202),其存储HXRES*并且将合成认证向量的部分转发到网关中继节点(201),所述部分包括对AUTN_i**进行连结而得到的AUTN*、对SQN_i**进行连结而得到的SQN*和RAND。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP18306564.8 | 2018-11-23 | ||
EP18306564.8A EP3657752A1 (en) | 2018-11-23 | 2018-11-23 | A method and apparatuses for authenticating a group of wireless communication devices |
PCT/EP2019/081544 WO2020104336A1 (en) | 2018-11-23 | 2019-11-15 | A method and apparatuses for authenticating a group of wireless communication devices |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113302895A CN113302895A (zh) | 2021-08-24 |
CN113302895B true CN113302895B (zh) | 2023-04-18 |
Family
ID=65228300
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201980089970.4A Active CN113302895B (zh) | 2018-11-23 | 2019-11-15 | 用于认证无线通信设备群组的方法和装置 |
Country Status (3)
Country | Link |
---|---|
EP (2) | EP3657752A1 (zh) |
CN (1) | CN113302895B (zh) |
WO (1) | WO2020104336A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113905379B (zh) * | 2021-10-15 | 2024-05-03 | 绍兴建元电力集团有限公司 | 一种5g基站参与终端安全通信认证局部优化的方法 |
WO2024036001A1 (en) * | 2022-08-10 | 2024-02-15 | Apple Inc. | Authentication enhancements for personal iot networks |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
CN102088668A (zh) * | 2011-03-10 | 2011-06-08 | 西安电子科技大学 | 基于群组的机器类型通信设备的认证方法 |
CN107251520A (zh) * | 2015-04-20 | 2017-10-13 | 华为国际有限公司 | 用于m2m通信中的聚合认证协议的方法 |
CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012097883A1 (en) * | 2011-01-17 | 2012-07-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for authenticating a communication device |
US10887295B2 (en) * | 2016-10-26 | 2021-01-05 | Futurewei Technologies, Inc. | System and method for massive IoT group authentication |
-
2018
- 2018-11-23 EP EP18306564.8A patent/EP3657752A1/en not_active Withdrawn
-
2019
- 2019-11-15 CN CN201980089970.4A patent/CN113302895B/zh active Active
- 2019-11-15 WO PCT/EP2019/081544 patent/WO2020104336A1/en unknown
- 2019-11-15 EP EP19801388.0A patent/EP3884635B1/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101931955A (zh) * | 2010-09-03 | 2010-12-29 | 中兴通讯股份有限公司 | 认证方法、装置及系统 |
CN102088668A (zh) * | 2011-03-10 | 2011-06-08 | 西安电子科技大学 | 基于群组的机器类型通信设备的认证方法 |
CN107251520A (zh) * | 2015-04-20 | 2017-10-13 | 华为国际有限公司 | 用于m2m通信中的聚合认证协议的方法 |
CN108112012A (zh) * | 2016-11-24 | 2018-06-01 | 中国移动通信有限公司研究院 | 一种群组终端的网络认证方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3884635A1 (en) | 2021-09-29 |
EP3657752A1 (en) | 2020-05-27 |
CN113302895A (zh) | 2021-08-24 |
EP3884635B1 (en) | 2023-12-27 |
WO2020104336A1 (en) | 2020-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110798833B (zh) | 一种鉴权过程中验证用户设备标识的方法及装置 | |
KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
US11432139B2 (en) | System and method for combined network-side and off-air monitoring of wireless networks | |
US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
US11778458B2 (en) | Network access authentication method and device | |
EP3846514A1 (en) | Identity privacy in wireless networks | |
CN108683690B (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
US20090240944A1 (en) | Generation method and update method of authorization key for mobile communication | |
CN111212426B (zh) | 终端的接入方法及终端、微基站、接入系统 | |
EP3534668A1 (en) | Communication system, network device, authentication method, communication terminal and security device | |
EP3284232B1 (en) | Wireless communications | |
US20200389788A1 (en) | Session Key Establishment | |
Pratas et al. | Massive machine-type communication (mMTC) access with integrated authentication | |
CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
US20230081990A1 (en) | Cellular network onboarding through wireless local area network | |
CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
CN110073681B (zh) | 用于物联网设备的方法、装置和计算机可读介质 | |
WO2016020012A1 (en) | Authentication procedure in a control node | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
EP3488627B1 (en) | Proof-of-presence indicator | |
CN101742507B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
CN111770496B (zh) | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 | |
EP3512229B1 (en) | Network access authentication processing method and device | |
CN116847350A (zh) | 一种d2d通信方法、终端及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230315 Address after: French Meudon Applicant after: Thales Digital Security France Easy Stock Co. Address before: French Meudon Applicant before: Thales Digital Security France |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |