CN114531254B - 一种认证信息获取方法、装置、相关设备和存储介质 - Google Patents

一种认证信息获取方法、装置、相关设备和存储介质 Download PDF

Info

Publication number
CN114531254B
CN114531254B CN202011197396.5A CN202011197396A CN114531254B CN 114531254 B CN114531254 B CN 114531254B CN 202011197396 A CN202011197396 A CN 202011197396A CN 114531254 B CN114531254 B CN 114531254B
Authority
CN
China
Prior art keywords
key
request message
network
authentication
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011197396.5A
Other languages
English (en)
Other versions
CN114531254A (zh
Inventor
黄晓婷
王珂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Communications Ltd Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Communications Ltd Research Institute filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011197396.5A priority Critical patent/CN114531254B/zh
Priority to PCT/CN2021/127435 priority patent/WO2022089583A1/zh
Publication of CN114531254A publication Critical patent/CN114531254A/zh
Application granted granted Critical
Publication of CN114531254B publication Critical patent/CN114531254B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例公开了一种认证信息获取方法、装置、相关设备和存储介质。所述方法包括:网络设备接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;所述网络设备基于所述第一密钥与所述用户设备建立通道,通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。

Description

一种认证信息获取方法、装置、相关设备和存储介质
技术领域
本发明涉及无线通信技术领域,具体涉及一种认证信息获取方法、装置、相关设备和存储介质。
背景技术
非公共网络(NPN,Non-Public Network),区别于公共网络,是可以为特定用户提供服务的网络。非公共网络有两种类型:一是独立组网的NPN,即网络不依赖于公共陆地移动网(PLMN,Public Land Mobile Network);二是与公共网络集成的NPN(PNI-NPN,PublicNetwork Integrated-NPN),网络依赖于PLMN,由传统运营商运营。
在PNI-NPN中,终端在通过初始认证接入PLMN之后,如果要进行二次认证或切片认证,前提是终端需要具备二次认证或切片认证的凭证。而终端可通过以下两种方式获得凭证:一是在终端出厂时将凭证写入终端的芯片或用户卡中;二是由用户通过交互界面输入凭证口令。而上述第一种方式无法保证安全性,容易在生产过程中导致凭证泄露,另外也缺乏灵活性,终端出场后凭证无法修改、更新和替换。上述第二种方式不适用于不具有交互界面的终端,无法进行交互输入操作。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种认证信息获取方法、装置、相关设备和存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供了一种认证信息获取方法,所述方法包括:
网络设备接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
所述网络设备基于所述第一密钥与所述用户设备建立通道,通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
上述方案中,所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,包括:
所述网络设备向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;
所述网络设备接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
上述方案中,所述非公共网络为与公共网络集成的非公共网络(PNI-NPN)。
第二方面,本发明实施例还提供了一种认证信息获取方法,所述方法包括:
用户设备向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述用户设备接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成第一密钥;
所述用户设备根据预先获得的第二密钥生成所述第一密钥,基于所述第一密钥与所述网络设备建立通道,通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
上述方案中,所述用户设备向网络设备发送第一请求消息之前,所述方法还包括:所述用户设备完成网络初始认证后,获得所述第二密钥和所述密钥标识。
上述方案中,所述方法还包括:所述用户设备基于所述认证信息进行非公共网络的二次认证或切片认证。
上述方案中,所述非公共网络为与公共网络集成的非公共网络(PNI-NPN)。
第三方面,本发明实施例还提供了一种认证信息获取方法,所述方法包括:
核心网设备接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
所述核心网设备根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥。
第四方面,本发明实施例还提供了一种认证信息获取装置,所述装置包括:第一接收单元、第一获取单元、第一通道建立单元和第一发送单元;其中,
所述第一接收单元,用于接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述第一获取单元,用于从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
所述第一通道建立单元,用于基于所述第一密钥与所述用户设备建立通道;
所述第一发送单元,用于通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
上述方案中,所述第一获取单元,用于通过所述第一发送单元向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;通过所述第一接收单元接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
上述方案中,所述非公共网络为与公共网络集成的非公共网络(PNI-NPN)。
第五方面,本发明实施例还提供了一种认证信息获取装置,所述装置包括:第二发送单元、第二接收单元、生成单元和第二通道建立单元;其中,
所述第二发送单元,用于向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述第二接收单元,用于接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成第一密钥;
所述生成单元,用于根据预先获得的第二密钥生成所述第一密钥;
所述第二通道建立单元,用于基于所述第一密钥与所述网络设备建立通道;
所述第二接收单元,还用于通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
上述方案中,所述装置还包括第二获取单元,用于完成网络初始认证后,获得所述第二密钥和所述密钥标识。
上述方案中,所述装置还包括认证单元,用于基于所述认证信息进行非公共网络的二次认证或切片认证。
上述方案中,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
第六方面,本发明实施例还提供了一种认证信息获取装置,所述装置包括:第三接收单元和第三发送单元;其中,
所述第三接收单元,用于接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
所述第三发送单元,用于根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥。
第七方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例前述第一方面、第二方面或第三方面所述方法的步骤。
第八方面,本发明实施例还提供了一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例前述第一方面、第二方面或第三方面所述方法的步骤。
本发明实施例提供的认证信息获取方法、装置、相关设备和存储介质,所述方法包括:网络设备接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;所述网络设备基于所述第一密钥与所述用户设备建立通道,通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。采用本发明实施例的方案,通过网络设备与核心网设备之间进行信息交互,获得用于建立通道的第一密钥,并指示用户设备生成该第一密钥,网络设备与用户设备之间基于该第一密钥建立通道,从而保证认证信息的下发,无需在终端内预置认证信息,保证了认证信息的安全性以及提升了认证信息下发的灵活性;也无需通过交互界面手动输入认证信息,适合各种类型的终端。
附图说明
图1为本发明实施例的认证信息获取方法应用的系统架构示意图;
图2为本发明实施例的认证信息获取方法的流程示意图一;
图3为本发明实施例的认证信息获取方法的流程示意图二;
图4为本发明实施例的认证信息获取方法的流程示意图三;
图5为本发明实施例的认证信息获取方法的交互流程示意图;
图6为本发明实施例的认证信息获取装置的组成结构示意图一;
图7为本发明实施例的认证信息获取装置的组成结构示意图二;
图8为本发明实施例的认证信息获取装置的组成结构示意图三;
图9为本发明实施例的通信设备的硬件结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
图1为本发明实施例的认证信息获取方法应用的系统架构示意图;如图1所示,系统可包括:用户设备(UE,User Equipment)、接入网设备和核心网设备;其中,接入网设备在图中以无线接入网(RAN,Radio Access Network)或接入网(AN,Access Network)表示,图中以(R)AN表示接入网设备。
核心网设备在图中以5G核心网(5GC)表示,可包括以下设备的至少之一:用户面功能(UPF,User Plane Function)、接入和移动管理功能(AMF,Access and MobilityManagement Function)、会话管理功能(SMF,Session Management Function)、策略控制功能(PCF,Policy Control function)、统一数据管理功能(UDM,Unified DataManagement)、鉴权服务功能(AUSF,Authentication Server Function)、网络开放功能(NEF,Network Exposure Function)、AKMA锚点网元(AAnF,AKMA Anchor Function)和网络切片特定身份验证和授权功能(NSSAAF,Network Slice-Specific Authentication andAuthorization Function)。
其中,系统还包括PNI-NPN设置服务器(PNI-NPN provisioning server),用于存储和下发非公共网络的二次认证和/或切片认证所用的认证信息(如凭证)。当PNI-NPN设置服务器位于运营商外部时,PNI-NPN设置服务器通过5G核心网中的NEF与AAnF相连接,用于获取基于运营商凭证推导出的密钥,该密钥用于建立PNI-NPN设置服务器与UE之间的安全通道,安全通道可用于PNI-NPN设置服务器向UE发送非公共网络的二次认证和/或切片认证所需的认证信息(如凭证)。
系统还可包括网络切片特定身份验证和授权(NSSAA,Network Slice-SpecificAuthentication and Authorization)AAA服务器和DN-AAA服务器;其中,NSSAA-AAA服务器与NSSAAF相连接,用于执行切片认证,DN-AAA服务器与UPF相连接,用于执行二次认证。
可选地,PNI-NPN设置服务器可与NSSAA AAA服务器或DN-AAA服务器合设。
基于以上系统架构,提出以下各实施例。
本发明实施例提供了一种认证信息获取方法,应用于网络设备中。图2为本发明实施例的认证信息获取方法的流程示意图一;如图2所示,所述方法包括:
步骤101:网络设备接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
步骤102:所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
步骤103:所述网络设备基于所述第一密钥与所述用户设备建立通道,通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
本实施例所述的非公共网络为PNI-NPN。本实施例中的认证信息,也可称为凭证(credential)等,即用于进行非公共网络的二次认证或切片认证的信息均可称为认证信息。
本实施例中,所述网络设备可以是前述图1中所示的PNI-NPN设置服务器(PNI-NPNprovisioning server);所述核心网设备具体可以是前述图1中所示的AKMA锚点网元(AAnF);当然,本实施例中的网络设备不限于是PNI-NPN设置服务器,也可以是用于存储和下发非公共网络的二次认证和/或切片认证所用的认证信息其他服务器或网元,核心网设备也不限于是AAnF,也可以是其他核心网设备,本实施例中对此不做限定。
在本发明的一些可选实施例中,所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,包括:所述网络设备向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;所述网络设备接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
基于前述实施例,本发明实施例还提供了一种认证信息获取方法,应用于用户设备中。图3为本发明实施例的认证信息获取方法的流程示意图二;如图3所示,所述方法包括:
步骤201:用户设备向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
步骤202:所述用户设备接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成第一密钥;
步骤203:所述用户设备根据预先获得的第二密钥生成所述第一密钥,基于所述第一密钥与所述网络设备建立通道,通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
本实施例所述的非公共网络为PNI-NPN。
本实施例中,所述网络设备可以是前述图1中所示的PNI-NPN设置服务器(PNI-NPNprovisioning server);所述核心网设备具体可以是前述图1中所示的AKMA锚点网元(AAnF);当然,本实施例中的网络设备不限于是PNI-NPN设置服务器,也可以是用于存储和下发非公共网络的二次认证和/或切片认证所用的认证信息其他服务器或网元,核心网设备也不限于是AAnF,也可以是其他核心网设备,本实施例中对此不做限定。
在本发明的一些可选实施例中,所述用户设备向网络设备发送第一请求消息之前,所述方法还包括:所述用户设备完成网络初始认证后,获得所述第二密钥和所述密钥标识。
本实施例中,用户设备完成5G网络的初始认证后,可根据订阅(subscription)生成上述第二密钥以及对应的密钥标识。示例性的,所述第二密钥可以是KAKMA,所述密钥标识可以是A-KID。
在一些示例中,所述第二密钥根据用于接入运营商网络的根密钥生成。可选地,可基于根密钥生成中间密钥,再基于中间密钥生成第二密钥;其中,中间密钥的数量可以是至少一个。
在本发明的一些可选实施例中,所述方法还包括:所述用户设备基于所述认证信息进行非公共网络的二次认证或切片认证。
示例性的,参照图1所示,用户设备科基于所述认证信息与NSSAA AAA服务器/DN-AAA服务器进行非公共网络的二次认证或切片认证。
基于上述实施例,本发明实施例还提供了一种认证信息获取方法,应用于核心网设备中。图4为本发明实施例的认证信息获取方法的流程示意图三;如图4所示,所述方法包括:
步骤301:核心网设备接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为所述用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
步骤302:所述核心网设备根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥。
采用本发明实施例的方案,通过网络设备与核心网设备之间进行信息交互,获得用于建立通道的第一密钥,并指示用户设备生成该第一密钥,网络设备与用户设备之间基于该第一密钥建立通道,从而保证认证信息的下发,无需在终端内预置认证信息,保证了认证信息的安全性以及提升了认证信息下发的灵活性;也无需通过交互界面手动输入认证信息,适合各种类型的终端。另外,本发明实施例中,核心网设备是基于第二密钥生成第一密钥的,而第二密钥是运营商管理的密钥,无需与第三方的网络设备互通凭证。
下面结合一个具体的示例对本发明实施例的认证信息获取方法进行说明。在本示例中,以网络设备为PNI-NPN设置服务器、以核心网设备为AAnF为例进行说明。图5为本发明实施例的认证信息获取方法的交互流程示意图;如图5所示,所述方法包括:
步骤400:UE完成5G网络初始认证,并生成密钥KAKMA及对应的A-KID。
本步骤是执行后续步骤的前提条件。其中,密钥KAKMA即为前述实施例中的第二密钥;A-KID即为前述实施例中的密钥标识。KAKMA及对应的A-KID在UE完成5G网络初始认证后生成,并存储在UE和AAnF中。其中,KAKMA可根据用于UE接入运营商网络的根密钥生成。
步骤401:UE需要进行二次认证或切片认证,首先向PNI-NPN设置服务器发起接入请求(Access Request),所述接入请求中携带A-KID。
其中,所述接入请求即为前述实施例中的第一请求消息。
步骤402:PNI-NPN设置服务器接收到来自UE的接入请求后,向AAnF发送密钥请求(Key request),所述密钥请求中携带A-KID和PNI-NPN设置服务器ID。
其中,所述密钥请求即为前述实施例中的第二请求消息。所述密钥请求经NEF到达AAnF,换句话说,AAnF与PNI-NPN设置服务器之间的信息交互需要经过NEF的转发。
步骤403:AAnF接收到PNI-NPN设置服务器发来的密钥请求,根据相关参数生成密钥KPNINPN
其中,所述KPNINPN即为前述实施例中的第一密钥。示例性的,AAnF根据存储的A-KID对应的KAKMA生成KPNINPN
步骤404:AAnF向PNI-NPN设置服务器发送密钥响应(Key Response),所述密钥响应中包括KPNINPN及其密钥周期。
其中,所述密钥响应也即前述实施例中的第二响应消息。所述密钥周期可用于指示KPNINPN的生存时间或有效时长。
步骤405:PNI-NPN设置服务器收到密钥后,向UE返回接入响应(AccessResponse),所述接入响应用于指示UE生成KPNINPN
其中,所述接入响应即为前述实施例中的第一响应消息。
步骤406:UE可基于A-KID对应的KAKMA生成KPNINPN
步骤407:UE与PNI-NPN设置服务器之间根据KPNINPN建立安全通道,该安全通道也即前述实施例中的“通道”,PNI-NPN设置服务器基于所述安全通道向UE下发用于进行非公共网络的二次认证或切片认证的认证信息,该认证信息也可称为凭证(credential)。
步骤408:UE使用接收到的认证信息进行非公共网络的二次认证或切片认证,接入对应的切片或DN。
本发明实施例还提供了一种认证信息获取装置。图6为本发明实施例的认证信息获取装置的组成结构示意图一;如图6所示,所述装置包括:第一接收单元11、第一获取单元12、第一通道建立单元13和第一发送单元14;其中,
所述第一接收单元11,用于接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述第一获取单元12,用于从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
所述第一通道建立单元13,用于基于所述第一密钥与所述用户设备建立通道;
所述第一发送单元14,用于通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
在本发明的一些可选实施例中,所述第一获取单元12,用于通过所述第一发送单元14向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;通过所述第一接收单元11接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
在本发明的一些可选实施例中,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
本发明实施例中,所述装置中的第一通道建立单元13,在实际应用中可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital SignalProcessor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现;所述装置中的第一接收单元11、第一获取单元12和第一发送单元14,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种认证信息获取装置。图7为本发明实施例的认证信息获取装置的组成结构示意图二;如图7所示,所述装置包括:第二发送单元21、第二接收单元22、生成单元23和第二通道建立单元24;其中,
所述第二发送单元21,用于向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述请求消息中包括密钥标识;
所述第二接收单元22,用于接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成第一密钥;
所述生成单元23,用于根据预先获得的第二密钥生成所述第一密钥;
所述第二通道建立单元24,用于基于所述第一密钥与所述网络设备建立通道;
所述第二接收单元22,还用于通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
在本发明的一些可选实施例中,所述装置还包括第二获取单元,用于完成网络初始认证后,获得所述第二密钥和所述密钥标识。
在本发明的一些可选实施例中,所述装置还包括认证单元,用于基于所述认证信息进行非公共网络的二次认证或切片认证。
在本发明的一些可选实施例中,所述非公共网络为PNI-NPN。
本发明实施例中,所述装置中的生成单元23、第二通道建立单元24、第二获取单元和认证单元,在实际应用中可由CPU、DSP、MCU或FPGA实现;所述装置中的第二接收单元22和第二发送单元21,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种认证信息获取装置。图8为本发明实施例的认证信息获取装置的组成结构示意图三;如图8所示,所述装置包括:第三接收单元31和第三发送单元32;其中,
所述第三接收单元31,用于接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
所述第三发送单元32,用于根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥。
本发明实施例中,所述装置中的第三接收单元31和第三发送单元32,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的认证信息获取装置在进行认证信息获取时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的认证信息获取装置与认证信息获取方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种通信设备,所述通信设备具体可以是前述实施例中所述的网络设备、用户设备或核心网设备。图9为本发明实施例的通信设备的硬件结构示意图,如图9所示,所述通信设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例前述应用于网络设备中的认证信息获取方法的步骤;或者,所述处理器执行所述程序时实现本发明实施例前述应用于用户设备中的认证信息获取方法的步骤;或者,所述处理器执行所述程序时实现本发明实施例前述应用于核心网设备中的认证信息获取方法的步骤。
可选地,通信设备中还可包括网络接口43。通信设备中的各个组件通过总线系统44耦合在一起。可理解,总线系统44用于实现这些组件之间的连接通信。总线系统44除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统44。
可以理解,存储器42可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器42旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器41中,或者由处理器41实现。处理器41可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器41中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器41可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器41可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器42,处理器41读取存储器42中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,信息提醒装置40可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器42,上述计算机程序可由认证信息获取装置的处理器41执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、FlashMemory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例前述应用于网络设备中的认证信息获取方法的步骤,或者,该程序被处理器执行时实现本发明实施例前述应用于用户设备中的认证信息获取方法的步骤,或者,该程序被处理器执行时实现本发明实施例前述应用于核心网设备中的认证信息获取方法的步骤。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (18)

1.一种认证信息获取方法,其特征在于,所述方法包括:
网络设备接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
所述网络设备基于所述第一密钥与所述用户设备建立通道,通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
2.根据权利要求1所述的方法,其特征在于,所述网络设备从核心网设备获得与所述密钥标识对应的第一密钥,包括:
所述网络设备向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;
所述网络设备接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
3.根据权利要求1所述的方法,其特征在于,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
4.一种认证信息获取方法,其特征在于,所述方法包括:
用户设备向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述用户设备接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成第一密钥;
所述用户设备根据预先获得的第二密钥生成所述第一密钥,基于所述第一密钥与所述网络设备建立通道,通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
5.根据权利要求4所述的方法,其特征在于,所述用户设备向网络设备发送第一请求消息之前,所述方法还包括:
所述用户设备完成网络初始认证后,获得所述第二密钥和所述密钥标识。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
所述用户设备基于所述认证信息进行非公共网络的二次认证或切片认证。
7.根据权利要求4所述的方法,其特征在于,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
8.一种认证信息获取方法,其特征在于,所述方法包括:
核心网设备接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
所述核心网设备根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥;其中,所述第一密钥用于所述网络设备与所述用户设备建立通道,所述通道用于所述网络设备向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
9.一种认证信息获取装置,其特征在于,所述装置包括:第一接收单元、第一获取单元、第一通道建立单元和第一发送单元;其中,
所述第一接收单元,用于接收到来自用户设备的第一请求消息,所述第一请求消息用于请求接入网络设备;所述第一请求消息中包括密钥标识;
所述第一获取单元,用于从核心网设备获得与所述密钥标识对应的第一密钥,向所述用户设备发送所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示所述用户设备相应生成所述第一密钥;
所述第一通道建立单元,用于基于所述第一密钥与所述用户设备建立通道;
所述第一发送单元,用于通过所述通道向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
10.根据权利要求9所述的装置,其特征在于,所述第一获取单元,用于通过所述第一发送单元向所述核心网设备发送用于请求所述第一密钥的第二请求消息,所述第二请求消息中包括所述密钥标识;通过所述第一接收单元接收所述核心网设备发送的所述第二请求消息对应的第二响应消息;所述第二响应消息中包括所述密钥标识对应的第一密钥。
11.根据权利要求9所述的装置,其特征在于,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
12.一种认证信息获取装置,其特征在于,所述装置包括:第二发送单元、第二接收单元、生成单元和第二通道建立单元;其中,
所述第二发送单元,用于向网络设备发送第一请求消息,所述第一请求消息用于请求接入所述网络设备;所述第一请求消息中包括密钥标识;
所述第二接收单元,用于接收所述网络设备发送的所述第一请求消息对应的第一响应消息,所述第一响应消息用于指示用户设备相应生成第一密钥;
所述生成单元,用于根据预先获得的第二密钥生成所述第一密钥;
所述第二通道建立单元,用于基于所述第一密钥与所述网络设备建立通道;
所述第二接收单元,还用于通过所述通道接收所述网络设备发送的认证信息,所述认证信息用于进行非公共网络的二次认证或切片认证。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括第二获取单元,用于完成网络初始认证后,获得所述第二密钥和所述密钥标识。
14.根据权利要求12所述的装置,其特征在于,所述装置还包括认证单元,用于基于所述认证信息进行非公共网络的二次认证或切片认证。
15.根据权利要求12所述的装置,其特征在于,所述非公共网络为与公共网络集成的非公共网络PNI-NPN。
16.一种认证信息获取装置,其特征在于,所述装置包括:第三接收单元和第三发送单元;其中,
所述第三接收单元,用于接收网络设备发送的第二请求消息,所述第二请求消息中包括密钥标识,所述密钥标识为用户设备向所述网络设备发送的第一请求消息中携带的密钥标识;所述第一请求消息用于所述用户设备请求接入所述网络设备;
所述第三发送单元,用于根据所述密钥标识对应的第二密钥生成第一密钥,向所述网络设备发送第二响应消息,所述第二响应消息中包括所述第一密钥;其中,所述第一密钥用于所述网络设备与所述用户设备建立通道,所述通道用于所述网络设备向所述用户设备发送用于进行非公共网络的二次认证或切片认证的认证信息。
17.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至3任一项所述方法的步骤;或者,该程序被处理器执行时实现权利要求4至7任一项所述方法的步骤;或者,该程序被处理器执行时实现权利要求8所述方法的步骤。
18.一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至3任一项所述方法的步骤;或者,所述处理器执行所述程序时实现权利要求4至7任一项所述方法的步骤;或者,所述处理器执行所述程序时实现权利要求8所述方法的步骤。
CN202011197396.5A 2020-10-30 2020-10-30 一种认证信息获取方法、装置、相关设备和存储介质 Active CN114531254B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011197396.5A CN114531254B (zh) 2020-10-30 2020-10-30 一种认证信息获取方法、装置、相关设备和存储介质
PCT/CN2021/127435 WO2022089583A1 (zh) 2020-10-30 2021-10-29 一种认证信息获取方法、装置、相关设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011197396.5A CN114531254B (zh) 2020-10-30 2020-10-30 一种认证信息获取方法、装置、相关设备和存储介质

Publications (2)

Publication Number Publication Date
CN114531254A CN114531254A (zh) 2022-05-24
CN114531254B true CN114531254B (zh) 2023-03-31

Family

ID=81383571

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011197396.5A Active CN114531254B (zh) 2020-10-30 2020-10-30 一种认证信息获取方法、装置、相关设备和存储介质

Country Status (2)

Country Link
CN (1) CN114531254B (zh)
WO (1) WO2022089583A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023125642A1 (zh) * 2021-12-31 2023-07-06 中国移动通信有限公司研究院 认证和/或密钥管理方法、第一设备、终端及通信设备
CN115243254B (zh) * 2022-08-03 2023-03-21 广州爱浦路网络技术有限公司 一种网络信息的获取方法及系统
CN116095681B (zh) * 2023-04-11 2023-07-11 北京首信科技股份有限公司 一种网络融合认证的方法和设备

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101990201A (zh) * 2009-07-31 2011-03-23 中国移动通信集团公司 生成gba密钥的方法及其系统和设备
CN108243416A (zh) * 2016-12-27 2018-07-03 中国移动通信集团公司 用户设备鉴权方法、移动管理实体及用户设备
CN108702626A (zh) * 2016-03-09 2018-10-23 高通股份有限公司 无线广域网(wwan)无线局域网(wlan)聚合保全
CN110167081A (zh) * 2018-02-13 2019-08-23 中兴通讯股份有限公司 认证方法及装置、消息处理方法及装置、存储介质
CN110708337A (zh) * 2019-10-30 2020-01-17 山东浪潮商用系统有限公司 一种基于身份认证的大数据安全框架系统
CN111447675A (zh) * 2019-01-17 2020-07-24 华为技术有限公司 通信方法和相关产品
CN111586007A (zh) * 2020-04-29 2020-08-25 国家电网公司华中分部 一种数据传输的安全认证系统和方法
WO2020207156A1 (zh) * 2019-04-12 2020-10-15 华为技术有限公司 认证方法、装置及设备
WO2020218843A1 (en) * 2019-04-25 2020-10-29 Samsung Electronics Co., Ltd. Method and system for providing non-access stratum (nas) message protection

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3068854A1 (fr) * 2017-08-11 2019-01-11 Orange Gestion de communication entre un terminal et un serveur reseau
CN110830991B (zh) * 2018-08-10 2023-02-03 华为技术有限公司 安全会话方法和装置
WO2020212643A1 (en) * 2019-04-17 2020-10-22 Nokia Technologies Oy Cryptographic key generation for mobile communications device

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101990201A (zh) * 2009-07-31 2011-03-23 中国移动通信集团公司 生成gba密钥的方法及其系统和设备
CN108702626A (zh) * 2016-03-09 2018-10-23 高通股份有限公司 无线广域网(wwan)无线局域网(wlan)聚合保全
CN108243416A (zh) * 2016-12-27 2018-07-03 中国移动通信集团公司 用户设备鉴权方法、移动管理实体及用户设备
CN110167081A (zh) * 2018-02-13 2019-08-23 中兴通讯股份有限公司 认证方法及装置、消息处理方法及装置、存储介质
CN111447675A (zh) * 2019-01-17 2020-07-24 华为技术有限公司 通信方法和相关产品
WO2020207156A1 (zh) * 2019-04-12 2020-10-15 华为技术有限公司 认证方法、装置及设备
WO2020218843A1 (en) * 2019-04-25 2020-10-29 Samsung Electronics Co., Ltd. Method and system for providing non-access stratum (nas) message protection
CN110708337A (zh) * 2019-10-30 2020-01-17 山东浪潮商用系统有限公司 一种基于身份认证的大数据安全框架系统
CN111586007A (zh) * 2020-04-29 2020-08-25 国家电网公司华中分部 一种数据传输的安全认证系统和方法

Also Published As

Publication number Publication date
WO2022089583A1 (zh) 2022-05-05
CN114531254A (zh) 2022-05-24

Similar Documents

Publication Publication Date Title
US11824981B2 (en) Discovery method and apparatus based on service-based architecture
CN114531254B (zh) 一种认证信息获取方法、装置、相关设备和存储介质
US11956361B2 (en) Network function service invocation method, apparatus, and system
US10348721B2 (en) User authentication
US9319413B2 (en) Method for establishing resource access authorization in M2M communication
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
CN113541925B (zh) 通信系统、方法及装置
CN113518348B (zh) 业务处理方法、装置、系统及存储介质
WO2018045983A1 (zh) 信息处理方法、装置以及网络系统
CN112654100B9 (zh) 一种信息处理方法和相关网络设备
WO2019056971A1 (zh) 一种鉴权方法及设备
CN112311543A (zh) Gba的密钥生成方法、终端和naf网元
CN114285736A (zh) Supi号段配置系统、方法、装置、网络设备和介质
WO2022068474A1 (zh) ProSe通信组的通信方法、装置及存储介质
CN113243097B (zh) 一种设备绑定方法、云端服务器、第一设备
CN115150075A (zh) 基于共享密钥进行数据通信的方法、装置、设备和介质
CN115438353A (zh) 一种用户数据管理方法以及相关设备
CN113206747B (zh) 一种信息处理方法及相关网络设备
CN116506842B (zh) 用户识别卡能力信息上报方法、终端、系统及相关设备
TWI755951B (zh) 通訊系統及通訊方法
US11956627B2 (en) Securing user equipment identifier for use external to communication network
CN114745717A (zh) 一种校验方法、装置、通信设备和计算机存储介质
GB2594930A (en) Authentication of devices to third party services
CN117768893A (zh) 通信网络安全认证方法、设备及存储介质
TW202245442A (zh) 一種通訊方法及裝置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant