CN114727285B - 一种鉴权方法、鉴权网元及安全锚点实体 - Google Patents
一种鉴权方法、鉴权网元及安全锚点实体 Download PDFInfo
- Publication number
- CN114727285B CN114727285B CN202110001475.2A CN202110001475A CN114727285B CN 114727285 B CN114727285 B CN 114727285B CN 202110001475 A CN202110001475 A CN 202110001475A CN 114727285 B CN114727285 B CN 114727285B
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- response
- request
- response information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 93
- 230000004044 response Effects 0.000 claims abstract description 294
- 239000013598 vector Substances 0.000 claims abstract description 130
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 17
- 238000007726 management method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000004846 x-ray emission Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000006243 chemical reaction Methods 0.000 description 5
- 230000032683 aging Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种鉴权方法、鉴权网元及安全锚点实体,涉及通信技术领域,该方法包括:接收安全锚点实体发送的第一鉴权请求,第一鉴权请求包括SUCI,安全锚点实体置于园区网络中;响应于第一鉴权请求,向安全锚点实体发送第一响应信息,第一响应信息包括SUPI以及访问网络的第一鉴权向量;接收安全锚点实体基于第一响应信息发送的第二鉴权请求,第二鉴权请求包括第一鉴权响应值;基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。由于执行上述方法的鉴权网元和安全锚实体均设置在园区网络,通过鉴权网元接收安全锚实体的第一鉴权请求和第二鉴权请求,基于所述第一鉴权响应值以及第一鉴权预期值,即可实现归属网络的鉴权,提高鉴权安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种鉴权方法、鉴权网元及安全锚点实体。
背景技术
第五代移动通信技术(5-Generation,简称5G)鉴权和密钥协商(Authenticationand Key Agreement,简称AKA)通过为归属网络提供从访问网络成功认证终端设备(UserEquipment,简称UE)的证据来增强EPS(Evolved Packet System,演进的分组系统)AKA。EPS的AKA流程是归属网络鉴权中心给访问网络的MME(Mobility Management Entity,移动性管理实体或移动性管理网元)提供一组鉴权向量和XRES(预期响应),由访问网络对UE进行鉴权,归属网络并不验证UE的鉴权结果。而5G AKA流程归属网络鉴权中心传递一组5G鉴权向量和对应的归属网络计算的(鉴权结果响应值的哈希变换)给访问网络的安全锚点实体(SEcurity Anchor Function,SEAF),SEAF一般与AMF(Access and Mobility ManagementFunction,接入和移动管理功能)合设,访问网络对UE鉴权后,还需要将UE的鉴权响应发给归属网络鉴权中心做进一步的鉴权认证,归属网络将最终的鉴权结果发给访问网络,5G归属网络会参与鉴权做出最后的鉴权认证。其中,是由UDM(Unified Data Management,统一数据管理实体)负责存储用户的根密钥以及认证的相关签约数据,并生成5G鉴权向量,由AUSF(Authentication Server Function,认证服务器功能)实体根据UDM生成的5G归属网络的鉴权向量计算访问网络的鉴权向量,并发送锚点密钥(Kseaf)至SEAF,完成归属域认证。
然而,目前的鉴权流程中,鉴权向量的生成以及SUCI(Subscription ConcealedIdentifier,用户隐藏标识)到SUPI(Subscription Permanent Identifier,用户永久标识)的转换均由UDM实现,可解决公共用户的统一鉴权需求,根据运营商部署策略,UDM通常部署在运营商的机房,由运营商统一维护管理,如此,容易导致鉴权的安全性较低。
发明内容
本发明实施例提供一种鉴权方法、鉴权网元及安全锚点实体,以解决现有鉴权安全性较低的问题。
为解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种鉴权方法,用于置于园区网络中的鉴权网元,所述鉴权方法包括:
接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体置于所述园区网络中;
响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第二方面,本发明实施例提供另一种鉴权方法,用于安全锚点实体,所述鉴权方法包括:
向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;
接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第三方面,本发明实施例提供一种鉴权网元,包括:
第一接收模块,用于接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体置于所述园区网络中;
第一发送模块,用于响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
第二接收模块,用于接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
确定模块,用于基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第四方面,本发明实施例提供一种安全锚点实体,包括:
第三发送模块,用于向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;
第三接收模块,用于接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
第四发送模块,用于基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第五方面,本发明实施例提供一种鉴权网元,包括收发机和处理器,
所述收发机,用于接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体和所述鉴权网元均置于园区网络中;以及
用于响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
所述处理器,用于基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第六方面,本发明实施例提供一种安全锚点实体,包括收发机,
所述收发机,用于向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;以及
用于接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
第七方面,本发明实施例提供一种鉴权网元,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第一方面所述的鉴权方法的步骤。
第八方面,本发明实施例提供一种安全锚点实体,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现上述第二方面所述的鉴权方法的步骤。
第九方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的鉴权方法的步骤;或者所述计算机程序被处理器执行时实现上述第二方面所述的鉴权方法的步骤。
在本申请实施例的鉴权方法中,是由处于园区网络中的鉴权网元响应于第一鉴权请求,向安全锚点实体发送包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息,并通过鉴权网元接收安全锚点实体基于所述第一响应信息发送包括第一鉴权响应值的第二鉴权请求,基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果,即完成归属网络的鉴权。也即是本实施例的鉴权方法,由于鉴权网元和安全锚实体均设置在园区网络,通过在园区网络中的鉴权网元接收安全锚实体的第一鉴权请求和第二鉴权请求,基于所述第一鉴权响应值以及第一鉴权预期值,即可实现归属网络的鉴权,如此,可提高鉴权过程的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种鉴权方法的流程图之一;
图2是本发明实施例提供的另一种鉴权方法的流程图之二;
图3是本发明实施例提供的一种鉴权方法的交互图;
图4是本发明实施例提供基于增强型鉴权加密系统鉴权的原理图;
图5是本发明实施例提供的一种鉴权网元的结构示意图;
图6是本发明实施例提供的一种安全锚点实体的结构示意图;
图7是本发明实施例提供的一种鉴权网元的结构示意图;
图8是本发明实施例提供的一种安全锚点实体的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,提出了一种鉴权方法、重复传输控制方法及相关设备,以解决现有重复传输方案中发送端无法区分目标接收端正确解调物理信道的次数,从而难以合理地调整后续物理信道的重复传输次数,进而易造成物理资源的浪费的的问题。
参见图1,图1是本发明实施例提供的一种鉴权方法的流程图,应用于置于园区网络中的鉴权网元,如图1所示,方法包括以下步骤:
步骤101:接收安全锚点实体发送的第一鉴权请求,第一鉴权请求包括用户隐藏标识SUCI,安全锚点实体置于园区网络中。
SUCI即Subscription Concealed Identifier,可称为用户隐藏标识或签约加密标识。安全锚点实体(SEcurity Anchor Function,SEAF)和鉴权网元(AuthenticationServer Function,AUSF)均置于园区网络中,鉴权网元即即鉴权实体,也称为鉴权服务器功能实体,安全锚点实体向与其同处一个园区网络的鉴权网元发送携带SUCI的第一鉴权请求。
步骤102:响应于第一鉴权请求,向安全锚点实体发送第一响应信息。
其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成。
鉴权网元接收第一鉴权请求后,响应于该第一鉴权请求,可生成SUPI以及访问网络的第一鉴权向量,向安全锚点实体发送包括SUPI以及访问网络的第一鉴权向量的第一响应信息,访问网络可以理解为服务网络。SUPI即Subscription Permanent Identifier,可称为用户永久标识或签约永久标识。鉴权向量中可包括多个鉴权参数,例如,第一鉴权向量中可包括随机数、鉴权令牌以及第二鉴权预期值等,第二鉴权向量中可包括随机数、鉴权令牌和第一鉴权预期值,第一鉴权向量与第二鉴权向量中预期值不同。作为一个示例,第一响应信息还可以包括第一鉴权向量。
步骤103:接收安全锚点实体基于第一响应信息发送的第二鉴权请求,第二鉴权请求包括第一鉴权响应值。
第一响应信息可以理解为第一鉴权响应信息,安全锚点实体接收到包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息后,后续可向鉴权网元发送包括第一鉴权响应值的第二鉴权请求。
步骤104:基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
鉴权网元接收到包括第一鉴权响应值的第二鉴权请求后,即可根据该第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。归属网络的鉴权结果包括归属网络鉴权成功或归属网络鉴权失败。该第一鉴权预期值可以理解为鉴权网元自身生成的鉴权预期值,即第一鉴权响应预期值。
在本申请实施例的鉴权方法中,是由处于园区网络中的鉴权网元响应于第一鉴权请求,向安全锚点实体发送包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息,并通过鉴权网元接收安全锚点实体基于所述第一响应信息发送包括第一鉴权响应值的第二鉴权请求,基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果,即完成归属网络的鉴权。也即是本实施例的鉴权方法,由于鉴权网元和安全锚实体均设置在园区网络,通过在园区网络中的鉴权网元接收安全锚实体的第一鉴权请求和第二鉴权请求,基于所述第一鉴权响应值以及第一鉴权预期值,即可实现归属网络的鉴权,如此,可提高鉴权过程的安全性。
在一个实施例中,基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果之后,包括:向安全锚点实体发送第三响应信息,第三响应信息包括归属网络的鉴权结果。
第三响应信息可以理解为第三鉴权响应信息,在鉴权网元确定归属网络的鉴权结果后,可将其传递至安全锚点实体,安全锚点实体接收归属网络的鉴权结果,即可明确归属网络鉴权是否成功。若归属网络的鉴权结果为归属网络鉴权成功,终端设备方可进行后续的过程,例如,终端设备后续与UDM之间交互完成注册的过程等。
在一个实施例中,基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果,包括:在第一鉴权响应值与第一鉴权预期值一致的情况下,确定归属网络鉴权成功;或者,在第一鉴权响应值与第一鉴权预期值不一致的情况下,确定归属网络鉴权失败。
即通过判断第一鉴权响应值与第一鉴权预期值是否一致,来确定归属网络鉴权是否成功,以确保鉴权的准确性。
在一个实施例中,第一鉴权请求还包括访问网络信息。
在本实施例中,响应于第一鉴权请求,向安全锚点实体发送第一响应信息,包括:
响应于第一鉴权请求,在访问网络具有访问网络信息的使用权限的情况下,将SUPI转换为SUCI以及生成第二鉴权向量;
基于第二鉴权向量生成第一鉴权向量;
向安全锚点实体发送第一响应信息。
访问网络信息即,可以理解为服务网络信息,可包括访问网络名称等信息。在本实施例中,鉴权网元接收第一鉴权请求后,首先检测访问网络是否具有权限使用该访问网络信息,若具有权限,可将SUPI转换为SUCI,并生成归属网络的第二鉴权向量,然后将归属网络的第二鉴权向量转换为访问网络的第一鉴权向量,将包括第一鉴权向量和SUCI的第一响应信息发送给安全锚点实体即可。
如图2所示,本申请一个实施例还提供一种鉴权方法,应用于安全锚点实体,鉴权方法包括:
步骤201:向鉴权网元发送第一鉴权请求,鉴权网元与安全锚点实体均置于园区网络中,第一鉴权请求包括用户隐藏标识SUCI。
步骤202:接收鉴权网元响应于第一鉴权请求发送的第一响应信息。
其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成。
鉴权网元接收第一鉴权请求后,响应于该第一鉴权请求,可生成SUPI以及访问网络的第一鉴权向量,向安全锚点实体发送包括SUPI以及访问网络的第一鉴权向量的第一响应信息。安全锚点实体接收到鉴权网元发送的包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息。
步骤203:基于第一响应信息向鉴权网元发送第二鉴权请求,第二鉴权请求包括第一鉴权响应值。
其中,第二鉴权请求用于鉴权网元基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
安全锚点实体接收到鉴权网元发送的包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息后,后续可向鉴权网元发送包括第一鉴权响应值的第二鉴权请求。鉴权网元接收到包括第一鉴权响应值的第二鉴权请求后,即可根据该第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。归属网络的鉴权结果包括归属网络鉴权成功或归属网络鉴权失败。
在本实施例的鉴权方法中,通过安全锚点实体向与其处于同一园区网络的鉴权网元发送第一鉴权请求,并接收鉴权网元响应于第一鉴权请求发送的包括用户永久标识SUPI以及访问网络的第一鉴权向量的第一响应信息,通过安全锚点实体基于所述第一响应信息向鉴权网元发送包括第一鉴权响应值的第二鉴权请求,如此,鉴权网元可基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。也即是本实施例的鉴权方法,由于鉴权网元和安全锚实体均设置在园区网络,通过在园区网络中安全锚实体向鉴权网元发送第一鉴权请求和第二鉴权请求,通过第二鉴权请求可使鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值确定归属网络的鉴权结果,即可实现归属网络的鉴权,如此,可提高鉴权过程的安全性。
在一个实施例中,基于第一响应信息向鉴权网元发送第二鉴权请求,包括:
基于第一响应信息,向终端设备发送第三鉴权请求;
接收终端设备基于第三鉴权请求发送的第二响应信息;
基于第二响应信息中的第一鉴权响应值确定第二鉴权响应值;
在第二鉴权响应值与第二鉴权预期值一致的情况下向鉴权网元发送第二鉴权请求;
其中,第三鉴权请求包括5G密钥集标识符以及第一鉴权向量中的第一鉴权参数,第一鉴权参数包括随机数和鉴权令牌的至少一项。
第二响应信息可以理解为第二鉴权响应信息,安全锚点实体接收第一响应信息后,可向终端设备发送第三鉴权请求,终端设备接收第三鉴权请求后,可计算第一鉴权响应值,并向安全锚点实体发送包括第一鉴权响应值的第二响应信息,如此,安全锚点实体可获得强响应值,可基于强响应值确定第二鉴权响应值,通过第二鉴权响应值与第二鉴权预期值的比对,是在第二鉴权响应值与第二鉴权预期值一致的情况下向鉴权网元发送第二鉴权请求,以确保鉴权的安全性。需要说明的是,第二鉴权预期值可以是鉴权网元发送的,可以理解,第二鉴权预期值可以是鉴权网元生成的第一鉴权向量中的一个鉴权参数,安全锚点实体接收的鉴权网元发送的第一响应信息中可包括第一鉴权向量,从而可获得第二鉴权预期值。作为一个示例,上述第二鉴权响应值可以为哈希鉴权响应值(Hash RESponse),第二鉴权预期值即为第二鉴权响应预期值,可以为哈希鉴权预期值(Hash eXpectedRESponse)。
作为一个示例,上述方法还可包括:比较所述第二鉴权响应值与第二鉴权预期值,在第二鉴权响应值与第二鉴权预期值一致的情况下,确定访问网络鉴权成功。可以理解,是在访问网络鉴权成功的情况下,向所述鉴权网元发送所述第二鉴权请求。
在一个实施例中,接收终端设备基于第三鉴权请求发送的第二响应信息,包括:
接收终端设备在第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效未到期的情况下发送的第二响应信息。
每个鉴权向量有对应的有效期,终端设备接收第三鉴权请求后,需要验证访问网络的第一鉴权向量的新鲜度,即验证其是否到期,具体地,终端设备通过验证第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效是否到期,实现验证访问网络的第一鉴权向量是否到期,在第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效未到期的情况下,表示访问网络的第一鉴权向量未到期,则终端设备可向安全锚点实体发送包括第一鉴权响应值的第二响应信息。
即在本实施例中,终端设备需要验证第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效是否到期,是在5G密钥集标识符以及第一鉴权参数的时效未到期的情况下发送的第二响应信息,安全锚点实体接收第二响应信息后,基于所述第二响应信息中的所述第一鉴权响应值确定第二鉴权响应值,并在所述第二鉴权响应值与第二鉴权预期值一致的情况下向所述鉴权网元发送所述第二鉴权请求。如此,可提高鉴权的安全性。
在一个实施例中,基于第一响应信息向鉴权网元发送第二鉴权请求之后,还包括:
接收鉴权网元发送的第三响应信息,第三响应信息包括归属网络的鉴权结果。
在鉴权网元确定归属网络的鉴权结果后,可将其传递至安全锚点实体,安全锚点实体接收归属网络的鉴权结果,即可明确归属网络鉴权是否成功。若归属网络的鉴权结果为归属网络鉴权成功,终端设备方可进行后续的过程,例如,终端设备后续与UDM之间交互完成注册的过程等。
在一个实施例中,在第一鉴权响应值与第一鉴权预期值一致的情况下,归属网络的鉴权结果为鉴权成功;或者,在第一鉴权响应值与第一鉴权预期值不一致的情况下,归属网络的鉴权结果为鉴权失败。
即鉴权网元向安全锚点实体发送的归属网络的鉴权结果可以为归属网络的鉴权成功或归属网络的鉴权失败,而且是在第一鉴权响应值与第一鉴权预期值一致的情况下,归属网络的鉴权结果为鉴权成功,在第一鉴权响应值与第一鉴权预期值不一致的情况下,归属网络的鉴权结果为鉴权失败。即通过第一鉴权响应值与第一鉴权预期值是否一致,来确定归属网络鉴权是否成功,以确保鉴权的准确性。
在一个实施例中,向鉴权网元发送第一鉴权请求,包括:
接收终端设备发送的注册请求;
响应于注册请求,向鉴权网元发送第一鉴权请求。
也即使安全锚点实体是在接收到终端设备发送的注册请求并响应于该注册请求,向鉴权网元发送的第一鉴权请求,即使对注册的鉴权,是在鉴权成功的情况下,方可执行后续的注册过程等,以提高注册的安全性。
下面以一个具体实施例对上述鉴权方法的过程加以详细说明。如图3所示,鉴权流程如下:
1、UE(用户设备,即终端设备)根据SEAF的鉴权策略,向安全锚点实体发起注册请求,该注册请求可携带SUCI或/和5G GUTI(5G Globally Unique Temporary Identifier,5G全球唯一临时标识)等。
2、SEAF向AUSF(增强型鉴权加密系统)发起第一鉴权请求,第一鉴权请求中携带SUCI以及服务网络名称
3、AUSF判断服务网络是否有权限使用该服务网络名称,在有权限使用的情况下,通过SIDF(Subscription Identifier De-concealing Function,签约标识解隐藏功能或签约身份解析功能)将SUCI转换为SUPI,即通过SIDF将SUCI解密得到SUPI。另外,AUSF还可生成归属网络鉴权向量即第二鉴权向量。
4、增强型鉴权加密系统暂存SUPI和生成的第一鉴权预期值XRES*,增强型鉴权加密系统内部需完成归属网络鉴权向量到服务网络鉴权向量的转换,即是通过AUSF根据第二鉴权向量生成服务网络鉴权向量即第一鉴权向量。
5、增强型鉴权加密系统将服务网络鉴权向量及SUPI通过第一响应信息回传给SEAF。
6、SEAF通过NAS(Non-Access Stratum,非接入层)消息给UE发起鉴权流程,即向UE发送第三鉴权请求,携带鉴权参数RAND(随机数)和AUTN(鉴权令牌),还可携带参数ngKSI(5G密钥集标识符),UE和AMF可用这个参数标识一个AMF的密钥和部分安全上下文信息。
7、UE收到RAND和AUTN后,验证第一鉴权向量的新鲜度,在5G密钥集标识符以及所述第一鉴权参数的时效未到期的情况下,计算生成第一鉴权响应值RES*。
8、UE给网络侧的SEAF回复第二响应信息,携带RES*。
9、SEAF根据RES*计算第二鉴权响应值HRES*,与增强型鉴权加密系统发送的第二鉴权预期值HXRES*比较,如比较通过(即一致),可确定服务网络鉴权成功。如不通过(即不一致),可确定服务网络鉴权失败。
10、在服务网络鉴权成功后,SEAF向AUSF发送第二鉴权请求,携带UE过来的第一鉴权响应值RES*。
11、增强型鉴权加密系统比较UE的RES*与自身生成的在第二鉴权向量中的第一鉴权预期值XRES*,如通过(即一致),可确定归属网络鉴权成功,如不通过(即不一致),可确定归属网络鉴权失败。即AUSF根据第鉴权响应值RES*与第一鉴权预期值XRES*,可确定归属网络的鉴权结果,归属网络的鉴权结果包括归属网络鉴权成功或归属网络鉴权失败。
12、AUSF向SEAF发送第三响应信息,携带归属网络的鉴权结果。若归属网络的鉴权结果为归属网络鉴权成功,后续终端设备和UDM/UDR(User Data Records,用户数据记录)实体之间即可进行相关的注册流程等。
如图4所示,本申请实施例的方案中,增强型鉴权加密系统具备独立的存储能力,用于存储密钥、算法及IMSI(International Mobile Subscriber Identification,移动用户身份码)信息。增强型鉴权加密系统可以为企业用户提供专属的密钥和算法,从而生成定制化的鉴权向量。其工作原理如下:
企业用户可通过本地配置的方式,将企业用户专属密钥及算法写入增强型鉴权加密系统;
增强型鉴权加密系统根据其存储的企业专属的密钥和算法,可生成5G归属网络鉴权向量,并将终端设备上行消息中携带的SUCI转换为SUPI。
增强型鉴权加密系统实现专属归属网络认证流程,并完成归属网络鉴权向量与服务网络鉴权向量的内部转换,该过程外部网络功能实体无感知。
需要说明的是,本申请实施例的方案中,因采用企业的专用算法,企业用户的终端设备及SIM卡均需定制,用于与增强型鉴权加密系统保持加密解密的一致性。
在本申请实施例的方案中,增强型鉴权加密系统:鉴权密钥、鉴权算法的存储、鉴权向量的生成功能与终端设备鉴权判定功能集成,形成增强型鉴权加密系统;该系统支持使用企业用户专属密钥及算法完成加密解密,实现定制化的鉴权向量的生成。引入增强型鉴权加密系统的鉴权方法,提出基于增强型鉴权机密系统的鉴权方法,增强型鉴权加密系统收到第一鉴权请求之后,可以根据专属的鉴权算法,及本地配置的鉴权签约数据,生成归属网络鉴权向量;同时可以内部实现归属网络鉴权向量转换成服务网络归属鉴权向量的过程,并将服务网络鉴权向量发送给安全锚点网络功能实体即安全锚点实体;当安全锚点实体将UE响应的RES*发送给增强型鉴权加密系统,增强型鉴权加密系统可判定RES*与XRES*是否一致,从而定义UE在归属网络的鉴权是否成功,并将归属网络鉴权结果返回给服务网络。
本申请实施例的方案中,基于企业用户的高安全及独立鉴权需求,提出的增强型鉴权加密系统,可独立实现鉴权密钥、鉴权向量存储、鉴权向量的生成、SUCI到SUPI的转换以及终端设备是否合法的判定。该系统因不涉及用户业务签约数据的存储,不受运营商常规部署策略的限制,可放置于企业园区。基于该系统的鉴权流程,可实现UDM((部署于运营商机房))不再参与鉴权过程,且归属网络鉴权向量到服务网络鉴权向量的转换的过程由增强型鉴权加密系统内部完成,不被其他网络功能实体感知,不易被获取。增强型鉴权加密系统及基于该系统的鉴权方法,可以满足企业用户对专属鉴权数据的需求,且符合鉴权数据不出园区/厂区的高安全需求。
参见图5,图5是本发明实施例提供的一种鉴权网元的结构示意图,如图5所示,鉴权网元500包括:
第一接收模块501,用于接收安全锚点实体发送的第一鉴权请求,第一鉴权请求包括用户隐藏标识SUCI,安全锚点实体置于园区网络中;
第一发送模块502,用于响应于第一鉴权请求,向安全锚点实体发送第一响应信息,其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成;
第二接收模块503,用于接收安全锚点实体基于第一响应信息发送的第二鉴权请求,第二鉴权请求包括第一鉴权响应值;
确定模块504,用于基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
在一个实施例中,鉴权网元500还包括:
第二发送模块,用于向安全锚点实体发送第三响应信息,第三响应信息包括归属网络的鉴权结果。
在一个实施例中,基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果,包括:
在第一鉴权响应值与第一鉴权预期值一致的情况下,确定归属网络鉴权成功;或者,
在第一鉴权响应值与第一鉴权预期值不一致的情况下,确定归属网络鉴权失败。
在一个实施例中,第一鉴权请求还包括访问网络信息;
第一发送模块,包括:
处理模块,用于响应于第一鉴权请求,在访问网络具有访问网络信息的使用权限的情况下,将SUPI转换为SUCI以及生成第二鉴权向量;
生成模块,用于基于第二鉴权向量生成第一鉴权向量;
第一子发送模块,用于向安全锚点实体发送第一响应信息。
参见图6,图6是本发明实施例提供的一种安全锚点实体的结构示意图,如图6所示,安全锚点实体600包括:
第三发送模块601,用于向鉴权网元发送第一鉴权请求,鉴权网元与安全锚点实体均置于园区网络中,第一鉴权请求包括用户隐藏标识SUCI;
第三接收模块602,用于接收鉴权网元响应于第一鉴权请求发送的第一响应信息,其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成;
第四发送模块603,用于基于第一响应信息向鉴权网元发送第二鉴权请求,第二鉴权请求包括第一鉴权响应值,其中,第二鉴权请求用于鉴权网元基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
在一个实施例中,第四发送模块,包括:
第二子发送模块,用于基于第一响应信息,向终端设备发送第三鉴权请求;
第一子接收模块,用于接收终端设备基于第三鉴权请求发送的第二响应信息;
第一确定子模块,用于基于第二响应信息中的第一鉴权响应值确定第二鉴权响应值;
第三子发送模块,用于在第二鉴权响应值与第二鉴权预期值一致的情况下向鉴权网元发送第二鉴权请求;
其中,第三鉴权请求包括5G密钥集标识符以及第一鉴权向量中的第一鉴权参数,第一鉴权参数包括随机数和鉴权令牌的至少一项。
在一个实施例中,接收终端设备基于第三鉴权请求发送的第二响应信息,包括:
接收终端设备在第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效未到期的情况下发送的第二响应信息。
在一个实施例中,安全锚点实体600,还包括:
第四接收模块,用于接收鉴权网元发送的第三响应信息,第三响应信息包括归属网络的鉴权结果。
在一个实施例中,在第一鉴权响应值与第一鉴权预期值一致的情况下,归属网络的鉴权结果为鉴权成功;或者,
在第一鉴权响应值与第一鉴权预期值不一致的情况下,归属网络的鉴权结果为鉴权失败。
在一个实施例中,第三发送模块,包括:
第二子接收模块,用于接收终端设备发送的注册请求;
第四子发送模块,用于响应于注册请求,向鉴权网元发送第一鉴权请求。
本发明实施例还提供了一种终端设备,包括:处理器、存储器及存储在存储器上并可在处理器上运行的程序,程序被处理器执行时实现上述鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图7,本发明实施例还提供了一种鉴权网元,包括总线701、收发机702、天线703、总线接口704、处理器705和存储器706。
收发机702,用于接收安全锚点实体发送的第一鉴权请求,第一鉴权请求包括用户隐藏标识SUCI,安全锚点实体和鉴权网元均置于园区网络中;以及
用于响应于第一鉴权请求,向安全锚点实体发送第一响应信息,其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于接收安全锚点实体基于第一响应信息发送的第二鉴权请求,第二鉴权请求包括第一鉴权响应值;
处理器,用于基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
在一个实施例中,收发机702,用于向安全锚点实体发送第三响应信息,第三响应信息包括归属网络的鉴权结果。
在一个实施例中,基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果,包括:
在第一鉴权响应值与第一鉴权预期值一致的情况下,确定归属网络鉴权成功;或者,
在第一鉴权响应值与第一鉴权预期值不一致的情况下,确定归属网络鉴权失败。
在一个实施例中,第一鉴权请求还包括访问网络信息;
处理器705,用于响应于第一鉴权请求,在访问网络具有访问网络信息的使用权限的情况下,将SUPI转换为SUCI以及生成第二鉴权向量;以及
用于基于第二鉴权向量生成第一鉴权向量;
收发机702,用于向安全锚点实体发送第一响应信息。
在图7中,总线架构(用总线701来代表),总线701可以包括任意数量的互联的总线和桥,总线701将包括由处理器705代表的一个或多个处理器和存储器706代表的存储器的各种电路链接在一起。总线701还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口704在总线701和收发机702之间提供接口。收发机702可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器705处理的数据通过天线703在无线介质上进行传输,进一步,天线703还接收数据并将数据传送给处理器705。
处理器705负责管理总线701和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器706可以被用于存储处理器705在执行操作时所使用的数据。
可选的,处理器705可以是CPU、ASIC、FPGA或CPLD。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,的计算机可读存储介质,如只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
本发明实施例还提供了一种网路设备,包括:处理器、存储器及存储在存储器上并可在处理器上运行的程序,程序被处理器执行时实现上述鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
具体的,参见图8所示,本发明实施例还提供了一种安全锚点实体,包括总线801、收发机802、天线803、总线接口804、处理器805和存储器806。
收发机802,用于向鉴权网元发送第一鉴权请求,鉴权网元与安全锚点实体均置于园区网络中,第一鉴权请求包括用户隐藏标识SUCI;以及
用于接收鉴权网元响应于第一鉴权请求发送的第一响应信息,其中,第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,SUPI基于SUCI生成,第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于基于第一响应信息向鉴权网元发送第二鉴权请求,第二鉴权请求包括第一鉴权响应值,其中,第二鉴权请求用于鉴权网元基于第一鉴权响应值以及第一鉴权预期值,确定归属网络的鉴权结果。
在一个实施例中,收发机802,用于基于第一响应信息,向终端设备发送第三鉴权请求;以及
用于接收终端设备基于第三鉴权请求发送的第二响应信息;以及
用于在第二鉴权响应值与第二鉴权预期值一致的情况下向鉴权网元发送第二鉴权请求;
所述处理器805,用于基于第二响应信息中的第一鉴权响应值确定第二鉴权响应值;
其中,第三鉴权请求包括5G密钥集标识符以及第一鉴权向量中的第一鉴权参数,第一鉴权参数包括随机数和鉴权令牌的至少一项。
在一个实施例中,接收终端设备基于第三鉴权请求发送的第二响应信息,包括:
接收终端设备在第三鉴权请求中5G密钥集标识符以及第一鉴权参数的时效未到期的情况下发送的第二响应信息。
在一个实施例中,收发机802,用于接收鉴权网元发送的第三响应信息,第三响应信息包括归属网络的鉴权结果。
在一个实施例中,在第一鉴权响应值与第一鉴权预期值一致的情况下,归属网络的鉴权结果为鉴权成功;或者,
在第一鉴权响应值与第一鉴权预期值不一致的情况下,归属网络的鉴权结果为鉴权失败。
在一个实施例中,收发机802用于接收终端设备发送的注册请求;以及用于响应于注册请求,向鉴权网元发送第一鉴权请求。
在图8中,总线架构(用总线801来代表),总线801可以包括任意数量的互联的总线和桥,总线801将包括由处理器805代表的一个或多个处理器和存储器806代表的存储器的各种电路链接在一起。总线801还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口804在总线801和收发机802之间提供接口。收发机802可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器805处理的数据通过天线803在无线介质上进行传输,进一步,天线803还接收数据并将数据传送给处理器805。
处理器805负责管理总线801和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器806可以被用于存储处理器805在执行操作时所使用的数据。
可选的,处理器805可以是CPU、ASIC、FPGA或CPLD。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述重复传输控制方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如ROM、RAM、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (25)
1.一种鉴权方法,其特征在于,应用于置于园区网络中的鉴权网元,所述鉴权方法包括:
接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体置于所述园区网络中;
响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
2.根据权利要求1所述的鉴权方法,其特征在于,所述基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果之后,包括:
向所述安全锚点实体发送第三响应信息,所述第三响应信息包括所述归属网络的鉴权结果。
3.根据权利要求1或2所述的鉴权方法,其特征在于,所述基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果,包括:
在所述第一鉴权响应值与所述第一鉴权预期值一致的情况下,确定所述归属网络鉴权成功;或者,
在所述第一鉴权响应值与所述第一鉴权预期值不一致的情况下,确定所述归属网络鉴权失败。
4.根据权利要求1所述的鉴权方法,其特征在于,所述第一鉴权请求还包括访问网络信息;
所述响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,包括:
响应于所述第一鉴权请求,在所述访问网络具有所述访问网络信息的使用权限的情况下,将所述SUPI转换为所述SUCI以及生成所述第二鉴权向量;
基于所述第二鉴权向量生成所述第一鉴权向量;
向所述安全锚点实体发送第一响应信息。
5.一种鉴权方法,其特征在于,应用于安全锚点实体,所述鉴权方法包括:
向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;
接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
6.根据权利要求5所述的鉴权方法,其特征在于,所述基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,包括:
基于所述第一响应信息,向终端设备发送第三鉴权请求;
接收所述终端设备基于所述第三鉴权请求发送的第二响应信息;
基于所述第二响应信息中的所述第一鉴权响应值确定第二鉴权响应值;
在所述第二鉴权响应值与第二鉴权预期值一致的情况下向所述鉴权网元发送所述第二鉴权请求;
其中,所述第三鉴权请求包括5G密钥集标识符以及所述第一鉴权向量中的第一鉴权参数,所述第一鉴权参数包括随机数和鉴权令牌的至少一项。
7.根据权利要求6所述的鉴权方法,其特征在于,所述接收所述终端设备基于所述第三鉴权请求发送的第二响应信息,包括:
接收所述终端设备在所述第三鉴权请求中所述5G密钥集标识符以及所述第一鉴权参数的时效未到期的情况下发送的第二响应信息。
8.根据权利要求6所述的鉴权方法,其特征在于,所述基于所述第一响应信息向所述鉴权网元发送第二鉴权请求之后,还包括:
接收所述鉴权网元发送的第三响应信息,所述第三响应信息包括所述归属网络的鉴权结果。
9.根据权利要求5或8所述的鉴权方法,其特征在于,在所述第一鉴权响应值与所述第一鉴权预期值一致的情况下,所述归属网络的鉴权结果为鉴权成功;或者,
在所述第一鉴权响应值与所述第一鉴权预期值不一致的情况下,所述归属网络的鉴权结果为鉴权失败。
10.根据权利要求5所述的鉴权方法,其特征在于,所述向鉴权网元发送第一鉴权请求,包括:
接收终端设备发送的注册请求;
响应于所述注册请求,所述向鉴权网元发送第一鉴权请求。
11.一种鉴权网元,其特征在于,置于园区网络中,所述鉴权网元包括:
第一接收模块,用于接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体置于所述园区网络中;
第一发送模块,用于响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
第二接收模块,用于接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
确定模块,用于基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
12.根据权利要求11所述的鉴权网元,其特征在于,还包括:
第二发送模块,用于向所述安全锚点实体发送第三响应信息,所述第三响应信息包括所述归属网络的鉴权结果。
13.根据权利要求11或12所述的鉴权网元,其特征在于,所述基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果,包括:
在所述第一鉴权响应值与所述第一鉴权预期值一致的情况下,确定所述归属网络鉴权成功;或者,
在所述第一鉴权响应值与所述第一鉴权预期值不一致的情况下,确定所述归属网络鉴权失败。
14.根据权利要求11所述的鉴权网元,其特征在于,所述第一鉴权请求还包括访问网络信息;
所述第一发送模块,包括:
处理模块,用于响应于所述第一鉴权请求,在所述访问网络具有所述访问网络信息的使用权限的情况下,将所述SUPI转换为所述SUCI以及生成所述第二鉴权向量;
生成模块,用于基于所述第二鉴权向量生成所述第一鉴权向量;
第一子发送模块,用于向所述安全锚点实体发送第一响应信息。
15.一种安全锚点实体,其特征在于,所述安全锚点实体包括:
第三发送模块,用于向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;
第三接收模块,用于接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;
第四发送模块,用于基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
16.根据权利要求15所述的安全锚点实体,其特征在于,所述第四发送模块,包括:
第二子发送模块,用于基于所述第一响应信息,向终端设备发送第三鉴权请求;
第一子接收模块,用于接收所述终端设备基于所述第三鉴权请求发送的第二响应信息;
第一确定子模块,用于基于所述第二响应信息中的所述第一鉴权响应值确定第二鉴权响应值;
第三子发送模块,用于在所述第二鉴权响应值与第二鉴权预期值一致的情况下向所述鉴权网元发送所述第二鉴权请求;
其中,所述第三鉴权请求包括5G密钥集标识符以及所述第一鉴权向量中的第一鉴权参数,所述第一鉴权参数包括随机数和鉴权令牌的至少一项。
17.根据权利要求16所述的安全锚点实体,其特征在于,所述接收所述终端设备基于所述第三鉴权请求发送的第二响应信息,包括:
接收所述终端设备在所述第三鉴权请求中所述5G密钥集标识符以及所述第一鉴权参数的时效未到期的情况下发送的第二响应信息。
18.根据权利要求16所述的安全锚点实体,其特征在于,还包括:
第四接收模块,用于接收所述鉴权网元发送的第三响应信息,所述第三响应信息包括所述归属网络的鉴权结果。
19.根据权利要求15或18所述的安全锚点实体,其特征在于,在所述第一鉴权响应值与所述第一鉴权预期值一致的情况下,所述归属网络的鉴权结果为鉴权成功;或者,
在所述第一鉴权响应值与所述第一鉴权预期值不一致的情况下,所述归属网络的鉴权结果为鉴权失败。
20.根据权利要求15所述的安全锚点实体,其特征在于,所述第三发送模块,包括:
第二子接收模块,用于接收终端设备发送的注册请求;
第四子发送模块,用于响应于所述注册请求,所述向鉴权网元发送第一鉴权请求。
21.一种鉴权网元,其特征在于,包括收发机和处理器,
所述收发机,用于接收安全锚点实体发送的第一鉴权请求,所述第一鉴权请求包括用户隐藏标识SUCI,所述安全锚点实体和所述鉴权网元均置于园区网络中;以及
用于响应于所述第一鉴权请求,向所述安全锚点实体发送第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于接收所述安全锚点实体基于所述第一响应信息发送的第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值;
所述处理器,用于基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
22.一种安全锚点实体,其特征在于,包括收发机,
所述收发机,用于向鉴权网元发送第一鉴权请求,所述鉴权网元与所述安全锚点实体均置于园区网络中,所述第一鉴权请求包括用户隐藏标识SUCI;以及
用于接收所述鉴权网元响应于所述第一鉴权请求发送的第一响应信息,其中,所述第一响应信息包括用户永久标识SUPI以及访问网络的第一鉴权向量,所述SUPI基于所述SUCI生成,所述第一鉴权向量基于归属网络的第二鉴权向量生成;以及
用于基于所述第一响应信息向所述鉴权网元发送第二鉴权请求,所述第二鉴权请求包括第一鉴权响应值,其中,所述第二鉴权请求用于所述鉴权网元基于所述第一鉴权响应值以及第一鉴权预期值,确定所述归属网络的鉴权结果。
23.一种鉴权网元,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至4中任一项所述的方法的步骤。
24.一种安全锚点实体,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求5至10中任一项所述方法的步骤。
25.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4中任一所述方法的步骤;或者所述计算机程序被处理器执行时实现权利要求5-10中任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110001475.2A CN114727285B (zh) | 2021-01-04 | 2021-01-04 | 一种鉴权方法、鉴权网元及安全锚点实体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110001475.2A CN114727285B (zh) | 2021-01-04 | 2021-01-04 | 一种鉴权方法、鉴权网元及安全锚点实体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114727285A CN114727285A (zh) | 2022-07-08 |
| CN114727285B true CN114727285B (zh) | 2024-05-14 |
Family
ID=82234077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110001475.2A Active CN114727285B (zh) | 2021-01-04 | 2021-01-04 | 一种鉴权方法、鉴权网元及安全锚点实体 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114727285B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110798833A (zh) * | 2018-08-03 | 2020-02-14 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
| CN111770496A (zh) * | 2020-06-30 | 2020-10-13 | 中国联合网络通信集团有限公司 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
| CN111770492A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 通信方法和通信设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| EP3935810A1 (en) * | 2019-03-08 | 2022-01-12 | Lenovo (Singapore) Pte. Ltd. | Security mode integrity verification |
-
2021
- 2021-01-04 CN CN202110001475.2A patent/CN114727285B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110798833A (zh) * | 2018-08-03 | 2020-02-14 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
| CN111770492A (zh) * | 2019-03-30 | 2020-10-13 | 华为技术有限公司 | 通信方法和通信设备 |
| CN111770496A (zh) * | 2020-06-30 | 2020-10-13 | 中国联合网络通信集团有限公司 | 一种5g-aka鉴权的方法、统一数据管理网元及用户设备 |
Non-Patent Citations (2)
| Title |
|---|
| Nokia, Nokia Shanghai Bell.S2-1903668 "Correcting AMF behaviour for Service Request that is not integrity protected".3GPP tsg_sa\wg2_arch.2019,(第tsgs2_132_xian期),全文. * |
| SAMSUNG.S3-180815 "Corrections to multiple authentication vector text references".3GPP tsg_sa\WG3_Security.2018,(第TSGS3_90Bis_SanDiego期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114727285A (zh) | 2022-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11228442B2 (en) | Authentication method, authentication apparatus, and authentication system | |
| US10849191B2 (en) | Unified authentication for heterogeneous networks | |
| US11496320B2 (en) | Registration method and apparatus based on service-based architecture | |
| US8582762B2 (en) | Method for producing key material for use in communication with network | |
| US8559633B2 (en) | Method and device for generating local interface key | |
| CN114268943B (zh) | 授权方法及装置 | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| US11159940B2 (en) | Method for mutual authentication between user equipment and a communication network | |
| US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
| CN108353279B (zh) | 一种认证方法和认证系统 | |
| WO2006079419A1 (en) | User authentication and authorisation in a communications system | |
| CN110536292A (zh) | 发送终端序列号的方法和装置以及认证方法和装置 | |
| CN113543127B (zh) | 一种密钥生成方法、装置、设备及计算机可读存储介质 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| US8407474B2 (en) | Pre-authentication method, authentication system and authentication apparatus | |
| US8726023B2 (en) | Authentication using GAA functionality for unidirectional network connections | |
| CN101888626B (zh) | 一种实现gba密钥的方法及其终端设备 | |
| CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
| CN114727285B (zh) | 一种鉴权方法、鉴权网元及安全锚点实体 | |
| CN111836262B (zh) | 一种鉴权方法及装置 | |
| CN111526008B (zh) | 移动边缘计算架构下认证方法及无线通信系统 | |
| CN116847350A (zh) | 一种d2d通信方法、终端及介质 | |
| CN118303052A (zh) | 通信网络中的安全配置更新 | |
| CN118803744A (zh) | 一种安全模式建立方法、设备及介质 | |
| CN118160338A (zh) | 通信网络中服务应用的安全信息推送 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |