CN116419218A - 认证与安全方法、装置及存储介质 - Google Patents
认证与安全方法、装置及存储介质 Download PDFInfo
- Publication number
- CN116419218A CN116419218A CN202210006344.8A CN202210006344A CN116419218A CN 116419218 A CN116419218 A CN 116419218A CN 202210006344 A CN202210006344 A CN 202210006344A CN 116419218 A CN116419218 A CN 116419218A
- Authority
- CN
- China
- Prior art keywords
- authentication
- supi
- key
- request message
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 230000006870 function Effects 0.000 claims abstract description 85
- 230000008569 process Effects 0.000 claims abstract description 38
- 238000004891 communication Methods 0.000 claims description 58
- 230000004044 response Effects 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 15
- 238000007726 management method Methods 0.000 claims description 12
- 238000013523 data management Methods 0.000 claims description 9
- 230000009467 reduction Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 16
- 230000005540 biological transmission Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000007774 longterm Effects 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004846 x-ray emission Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种认证与安全方法、装置及存储介质,所述方法包括:根据SUPI确定UE的认证根密钥,并根据根密钥和服务网络名称生成认证向量,并使用唯一标识AuthID标识认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区创建的,所述第一认证实例是为此次UE认证过程创建的,所述第一认证实例中包含所述认证向量。本申请实施例提供的认证与安全方法、装置及存储介质,通过将核心网系统安全功能分离,将5G核心网安全能力集中在有限的计算系统中,需要安全服务的网元通过安全系统的接口调用相关的安全功能,从而大大减少了需要通过安全等级认证的软硬件系统的数量。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种认证与安全方法、装置及存储介质。
背景技术
第五代移动通信(the 5th generation mobile communication,5G)系统不仅可以应用于普通的商业应用,也可以作为专用系统应用于对安全要求很高的专用系统中。在高安全应用领域,对系统软硬件都有专门的安全标准。
现有方案中,密钥管理和密码运算均有各个网元分别进行处理。
5G核心网由许多实现各种功能的网元(服务器)构成,当系统要求具有高安全等级时,核心网中的所有软硬件都需要满足相应的安全标准,采用现有方案会极大地增加系统的复杂度,进而提高系统成本。
发明内容
本申请实施例提供一种认证与安全方法、装置及存储介质,用以解决现有技术中系统复杂度高的技术问题。
第一方面,本申请实施例提供一种认证与安全方法,应用于认证密码系统,包括:
接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
对所述SUCI进行解密,获得用户永久标识SUPI;
向所述UDM网元发送所述SUPI;
接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
在一些实施例中,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区为此次UE认证过程而创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
在一些实施例中,还包括:
在所述目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
在一些实施例中,还包括:
利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区为此次UE认证过程而创建的,所述第三认证实例中包含所述密钥Kamf。
在一些实施例中,还包括:
将密钥Kamf是否生成成功的结果发送给所述SEAF网元。
在一些实施例中,还包括:
为此次UE认证过程生成一个AuthID。
在一些实施例中,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
在一些实施例中,还包括:
接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
在一些实施例中,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
在一些实施例中,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,还包括:
接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
第二方面,本申请实施例提供一种网络设备,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求认证密码系统对所述SUCI进行解密;
对所述SUCI进行解密,获得用户永久标识SUPI;
向所述UDM网元发送所述SUPI;
接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
在一些实施例中,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区为此次UE认证过程而创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
在一些实施例中,还包括:
在所述目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
在一些实施例中,还包括:
利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区为此次UE认证过程而创建的,所述第三认证实例中包含所述密钥Kamf。
在一些实施例中,还包括:
将密钥Kamf是否生成成功的结果发送给所述SEAF网元。
在一些实施例中,还包括:
为此次UE认证过程生成一个AuthID。
在一些实施例中,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
在一些实施例中,还包括:
接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
在一些实施例中,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
在一些实施例中,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,还包括:
接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
第三方面,本申请实施例提供一种通信设备系统,包括认证密码系统和通信密码系统;
所述认证密码系统向所述通信密码系统发送SUPI、密钥KNASenc和密钥KNASint;
所述通信密码系统根据所述SUPI、所述密钥KNASenc和所述密钥KNASint进行NAS安全过程。
第四方面,本申请实施例提供一种认证与安全装置,包括:
第一接收模块,用于接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
解密模块,用于对所述SUCI进行解密,获得用户永久标识SUPI;
第一发送模块,用于向所述UDM网元发送所述SUPI;
第二接收模块,用于接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
确定模块,用于根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
第二发送模块,用于向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
第三接收模块,用于接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
认证模块,用于根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
第五方面,本申请实施例还提供一种处理器可读存储介质,所述处理器可读存储介质存储有计算机程序,所述计算机程序用于使所述处理器执行如上所述第一方面所述的认证与安全方法的步骤。
第六方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行如上所述第一方面所述的认证与安全方法的步骤。
第七方面,本申请实施例还提供一种通信设备可读存储介质,所述通信设备可读存储介质存储有计算机程序,所述计算机程序用于使通信设备执行如上所述第一方面所述的认证与安全方法的步骤。
第八方面,本申请实施例还提供一种芯片产品可读存储介质,所述芯片产品可读存储介质存储有计算机程序,所述计算机程序用于使芯片产品执行如上所述第一方面所述的认证与安全方法的步骤。
本申请实施例提供的认证与安全方法、装置及存储介质,通过将核心网系统安全功能分离,将5G核心网安全能力集中在有限的计算系统中,需要安全服务的网元通过安全系统的接口调用相关的安全功能,从而大大减少了需要通过安全等级认证的软硬件系统的数量。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的核心网高安全系统架构示意图;
图2是本申请实施例提供的认证与安全方法的流程示意图;
图3是本申请实施例提供的UE认证流程的信令交互示意图;
图4是本申请实施例提供的NAS安全流程的信令交互示意图;
图5是本申请实施例提供的一种网络设备的结构示意图;
图6是本申请实施例提供的一种认证与安全装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请实施例提供的核心网高安全系统架构示意图,如图1所示,本申请实施例提供一种通信设备系统(高安全等级密码系统),包括认证密码系统和通信密码系统。
认证密码系统向通信密码系统发送SUPI、密钥KNASenc和密钥KNASint。
通信密码系统根据SUPI、密钥KNASenc和密钥KNASint进行NAS安全过程。
具体地,认证密码系统为高安全等级密码系统中的网元,用于用户认证过程中与密码运算相关的操作。
与密码运算相关的操作具体包括:存储签约用户的认证密钥,执行相关的密码运算,存储认证过程生成的密钥和相关数据,并可将认证过程生成的密钥和相关参数提供给其他密码计算设备。其他密码计算设备包括通信密码系统。
通信密码系统也为高安全等级密码系统中的网元,用于实现数据传输安全,例如,存储用于实现数据通信安全的密钥,执行相关的密码运算以实现数据通信的机密性和完整性保护。
本申请实施例中,认证密码系统和通信密码系统为新加入的网元,这两个新加入的网元为高安全等级网元,用来将与密码运算相关的能力从5G核心网元中与分离出来,从而避免将整个核心网变成高安全等级网络,因此可降低整个系统的复杂度和成本。
认证密码系统由如下功能区构成:
统一数据管理(Unified Data Managemen,UDM)功能区:5G核心网中的UDM网元可通过认证密码系统的接口访问认证密码系统中UDM功能区中的功能和数据,但不能访问其他功能区中的功能和数据。UDM功能区可将终端/用户设备(User Equipment,UE)认证过程中认证服务器功能(Authentication Server Function,AUSF)网元需要的安全信息写入AUSF功能区。
AUSF功能区:5G核心网中的AUSF网元可通过认证密码系统的接口访问认证密码系统中AUSF功能区中的功能和数据,但不能访问其他功能区中的功能和数据。AUSF功能区可将UE认证过程中安全锚功能(SEcurity Anchor Function,SEAF)网元需要的安全信息写入SEAF功能区。
SEAF功能区:5G核心网中的SEAF网元可通过认证密码系统的接口访问认证密码系统中SEAF功能区中的功能和数据,但不能访问其他功能区中的功能和数据。SEAF功能区可将UE认证过程中接入和移动管理功能(Access and Mobility Management Function,AMF)网元需要的安全信息写入AMF功能区。
AMF功能区:5G核心网中的AMF网元可通过认证密码系统的接口访问认证密码系统中AMF功能区中的功能和数据,但不能访问其他功能区中的功能和数据。AMF功能区可将用于实现UE数据通信安全的安全信息提供给通信密码系统。
图2是本申请实施例提供的认证与安全方法的流程示意图,如图2所示,本申请实施例提供一种认证与安全方法,其执行主体可以为认证密码系统,该方法包括:
步骤201、接收UDM网元发送的第一请求消息,该第一请求消息中包含目标UE的用户隐藏标识(Subscription Concealed Identifier,SUCI),该第一请求消息用于请求该认证密码系统对该SUCI进行解密;
步骤202、对该SUCI进行解密,获得用户永久标识(Subscription PermanentIdentifier,SUPI);
步骤203、向该UDM网元发送该SUPI;
步骤204、接收该UDM网元发送的第二请求消息,该第二请求消息中包含该SUPI和服务网络名称(serving network name,SN name),该第二请求消息是在该UDM网元根据该SUPI检查该目标UE的签约信息之后发送的;
步骤205、根据该SUPI确定该目标UE的认证根密钥,并根据该根密钥和该服务网络名称生成认证向量,并使用唯一标识AuthID标识该认证向量、此次UE认证过程以及第一认证实例,该第一认证实例是在认证服务器功能AUSF功能区创建的,该第一认证实例是为此次UE认证过程创建的,该第一认证实例中包含该认证向量;
步骤206、向该UDM网元发送该认证向量中需要提供给该目标UE的部分;
步骤207、接收AUSF网元发送的第三请求消息,该第三请求消息中包含认证响应(RESponse,RES*)和该AuthID;
步骤208、根据该第三请求消息中包含的该RES*和该AuthID对该目标UE进行认证。
在一些实施例中,还包括:
将认证结果发送给该AUSF网元;
在该目标UE认证通过的情况下,接收该AUSF网元发送的发送的第四请求消息,该第四请求消息中包含该SUPI或该AuthID;
利用该SUPI或该AuthID确定该第一认证实例,并利用该认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用该SUPI标识第二认证实例,该第二认证实例是在安全锚功能SEAF功能区创建的,该第二认证实例是为此次UE认证过程创建的,该第二认证实例中包含该密钥Kseaf;
将该密钥Kseaf是否生成成功的结果发送给该AUSF网元。
在一些实施例中,还包括:
在该目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,该第五请求消息中包含该SUPI和抗降维攻击(Anti-Bidding down Between Architectures,ABBA);
利用该SUPI查找到该第二认证实例,并利用该密钥Kseaf、该SUPI和该ABBA计算密钥Kamf。
在一些实施例中,还包括:
利用该SUPI标识第三认证实例,该第三认证实例是在接入和移动管理功能AMF功能区创建的,该第三认证实例是为此次UE认证过程创建的,该第三认证实例中包含该密钥Kamf。
在一些实施例中,还包括:
将密钥Kamf是否生成成功的结果发送给该SEAF网元。
在一些实施例中,还包括:
为此次UE认证过程生成一个AuthID。
在一些实施例中,该第二请求消息中还包含AuthID,该AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
在一些实施例中,还包括:
接收AMF网元发送的第六请求消息,该第六请求消息中包含该SUPI,该第六请求消息用于请求建立安全上下文;
利用该SUPI在该AMF功能区查找该第三认证实例,并利用密钥Kamf建立第一非接入层(Non-Access Stratum,NAS)安全上下文,该第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将该SUPI、该密钥KNASenc和该密钥KNASint发送给通信密码系统。
在一些实施例中,该SUPI、该密钥KNASenc和该密钥KNASint用于供该通信密码系统建立第二NAS安全上下文,该第二NAS安全上下文中包含该SUPI、该密钥KNASenc和该密钥KNASint。
在一些实施例中,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
在一些实施例中,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,还包括:
接收该通信密码系统发送的建立该第二NAS安全上下文的结果;
将建立该第二NAS安全上下文的结果发送给该AMF网元。
具体地,图3是本申请实施例提供的UE认证流程的信令交互示意图,如图3所示,本申请实施例提供的UE认证流程包括如下步骤:
1、UE向SEAF网元发送注册请求,请求中包含有UE的SUCI或5G全球唯一临时UE标识(Globally Unique Temporary UE Identity,GUTI)。
2、SEAF网元向AUSF网元发送UE认证请求,请求中包含有UE的SUCI或SUPI,以及服务网络名称(serving network name,SN name)。
3、AUSF网元向UDM网元发送UE认证请求,请求中包含有UE的SUCI或SUPI,以及serving network name。
4、当请求中包含有UE的SUCI时,UDM网元向认证密码系统发送SUCI解密请求(第一请求),请求中包含有UE的SUCI。
5、认证密码系统解密UE的SUCI,获得UE的SUPI。
6、认证密码系统将UE的SUPI返回给UDM网元。
7、UDM网元利用UE的SUPI检查UE的签约信息。若允许对UE继续进行认证,则UDM网元向认证密码系统发送生成UE认证向量的请求(第二请求),请求中包含有SUPI和servingnetwork name。
可选地,可由UDM网元为此次UE认证过程提供一个唯一标识AuthID(Authentication ID)。
可选地,也可由认证密码系统为此次UE认证过程提供一个唯一标识AuthID。
若由UDM网元提供AuthID,则该请求中还应包含有AuthID。
在UE被实际认证成功之前,UDM网元和AUSF网元使用AuthID与认证密码系统交互,从而使分布在不同实体中的安全能力作为一个整体工作。认证密码系统存储生成的认证向量,该认证向量使用AuthID作为标识。
8、认证密码系统根据UE的SUPI确定UE的认证根密钥。认证密码系统利用UE的根密钥和serving network name等信息生成一个认证UE的认证向量。5G认证向量的格式为:(RAND,AUTN,XRES*,密钥Kausf)。其中,RAND(Random challenge)为随机挑战,AUTN(AUthentication TokeN)为认证令牌,XRES*(eXpected RESponse)为预期响应,密钥Kausf为密钥。
可选地,若由认证密码系统提供AuthID,则认证密码系统生成一个AuthID,否则使用UDM网元提供AuthID。
认证密码系统使用AuthID标识生成的认证向量和此次UE认证过程。
认证密码系统利用UE的SUPI作为标识在AUSF功能区为此次UE认证过程创建一个认证实例(第一认证实例),该认证实例包含有使用AuthID作为标识的UE认证向量。
9、认证密码系统仅将认证向量中需要提供给UE的部分返回给UDM网元,也即(RAND,AUTN)。若AuthID由认证密码系统提供,则还应将AuthID返回给UDM网元。
10、UDM网元将(RAND,AUTN)和AuthID返回给AUSF网元。
当AUSF网元向UDM网元提供的是UE的SUCI的情况下,UDM网元还需要返回SUPI。
11、AUSF网元将(RAND,AUTN)发送给SEAF网元。
12、SEAF网元生成5G密钥集标识(Key Set Identifier in 5G,ngKSI),然后将(RAND,AUTN),ngKSI和ABBA发送给UE。
13、UE验证AUTN,确认该认证向量正确,然后利用UE的根密钥和RAND计算RES*。
14、UE将RES*发送给SEAF网元。
15、SEAF网元将RES*发送给AUSF网元。
16、AUSF网元向认证密码系统发送UE认证请求(第三请求),请求中包含有AuthID和RES*,还可以包含有UE的SUPI。
17、认证密码系统在AUSF功能区利用SUPI和AuthID查找到认证向量,然后验证RES*是否与认证向量中的XRES*相同。
若认证通过,认证密码系统在该UE认证实例中标识该UE已通过认证,并存储密钥Kausf。
18、认证密码系统将认证结果(成功(success)/失败(failure))返回给AUSF网元。
19、若UE通过认证,AUSF网元请求认证密码系统计算密钥Kseaf,该请求(第四请求)中包含有:SUPI或AuthID,该请求中还可以包含有:serving network name。
20、认证密码系统利用SUPI确定UE的认证实例,然后利用密钥Kausf和SN计算密钥Kseaf。
认证密码系统利用UE的SUPI作为标识在SEAF功能区为此次UE认证过程创建一个认证实例(第二认证实例),该认证实例包含有信息:密钥Kseaf。
21、认证密码系统将密钥是否生成成功的结果(success/failure)返回给AUSF网元。
22、AUSF网元将认证结果返回给SEAF网元。
若认证成功,若SEAF网元发送的认证请求中包含有SUCI,则AUSF网元还应将SUPI发送给SEAF网元。
23、若认证成功,SEAF网元请求认证授权系统生成密钥Kamf,该请求(第五请求)中包含有:SUPI和ABBA。
24、认证授权系统在SEAF功能区利用SUPI查找到UE认证实例,然后利用密钥Kseaf及相关参数计算密钥Kamf。
认证密码系统利用UE的SUPI作为标识在AMF功能区为此次UE认证过程创建一个认证实例(第三认证实例),该认证实例包含有信息:密钥Kamf。
25、认证密码系统将密钥是否生成成功的结果(success/failure)返回给SEAF网元。
26、SEAF网元将认证结果返回给AMF网元。
若认证成功,SEAF网元将ngKSI和SUPI提供给AMF网元。
具体地,图4是本申请实施例提供的NAS安全流程的信令交互示意图,如图4所示,本申请实施例提供的NAS安全流程包括如下步骤:
1、当AMF网元尚未建立UE的NAS安全上下文时,AMF网元向认证密码系统发送建立安全上下文请求(第六请求),该请求中包含有:SUPI,该请求中还可以包含有:ngKSI。
2、认证密码系统利用SUPI在AMF功能区查找UE认证安全上下文,然后利用Kamf建立UE NAS安全上下文(第一NAS安全上下文),该NAS安全上下文中有实现NAS安全的密钥:KNASenc和KNASint。
在上述安全上下文请求中还包含有ngKSI的情况下,在UE安全上下文中以ngKSI做为标识利用Kamf建立UE NAS安全上下文,该NAS安全上下文中有实现NAS安全的密钥:KNASenc和KNASint。
3、认证密码系统将用于实现NAS安全的密钥材料通过消息发送给通信密码系统,该消息中包含有:SUPI,密钥KNASenc,密钥KNASint。
在上述安全上下文请求中还包含有ngKSI的情况下,该消息中还可以包含有:ngKSI。
4、通信密码系统利用SUPI做为标识建立UE的NAS安全上下文(第二NAS安全上下文),该NAS安全上下文中包含有:SUPI,密钥KNASenc,密钥KNASint。
在上述安全上下文请求中还包含有ngKSI的情况下,通信密码系统利用SUPI和ngKSI做为标识建立UE的NAS安全上下文,该NAS安全上下文中还可以包含有:ngKSI。
5、通信密码系统将建立UE NAS安全上下文结果(Success/Failure)返回给认证密码系统。
6、认证密码系统将通信密码系统建立NAS安全上下文结果(Success/Failure)返回给AMF网元。
7、当AMF网元需要向UE发送NAS消息时,AMF网元生成NAS明文消息。
8、AMF网元向通信密码系统发送NAS消息密码操作请求,请求中包含有:SUPI,消息明文和安全计算所需要的参数,例如算法标识,COUNT,BEARER,DIRECTION和LENGTH等。
在上述安全上下文请求中还包含有ngKSI的情况下,该NAS消息密码操作请求中还可以包含有ngKSI。
9、通信密码系统利用SUPI获取UE的安全上下文,计算NAS密文,然后将NAS密文返回给AMF网元。
10、AMF网元向UE发送NAS消息。
11、UE向AMF网元发送NAS消息。
12、AMF网元向通信密码系统发送NAS消息密码操作请求,请求中包含有:SUPI,消息密文和安全计算所需要的参数,例如算法标识,COUNT,BEARER,DIRECTION和LENGTH等。
在上述安全上下文请求中还包含有ngKSI的情况下,该NAS消息密码操作请求中还可以包含有ngKSI。
13、通信密码系统解密和验证NAS密文,然后将消息明文返回给AMF网元。
本申请实施例提供的认证与安全方法,通过将核心网系统安全功能分离,将5G核心网安全能力集中在有限的计算系统中,需要安全服务的网元通过安全系统的接口调用相关的安全功能,从而大大减少了需要通过安全等级认证的软硬件系统的数量。
图5是本申请实施例提供的一种网络设备的结构示意图,如图5所示,所述网络设备包括存储器520,收发机500,处理器510,其中:
存储器520,用于存储计算机程序;收发机500,用于在所述处理器510的控制下收发数据;处理器510,用于读取所述存储器520中的计算机程序并执行以下操作:
接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
对所述SUCI进行解密,获得用户永久标识SUPI;
向所述UDM网元发送所述SUPI;
接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区创建的,所述第一认证实例是为此次UE认证过程创建的,所述第一认证实例中包含所述认证向量;
向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
具体地,收发机500,用于在处理器510的控制下接收和发送数据。
其中,在图5中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器510代表的一个或多个处理器和存储器520代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机500可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器510负责管理总线架构和通常的处理,存储器520可以存储处理器510在执行操作时所使用的数据。
处理器510可以是中央处理器(CPU)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),处理器也可以采用多核架构。
在一些实施例中,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区创建的,所述第二认证实例是为此次UE认证过程创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
在一些实施例中,还包括:
在所述目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
在一些实施例中,还包括:
利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区创建的,所述第三认证实例是为此次UE认证过程创建的,所述第三认证实例中包含所述密钥Kamf。
在一些实施例中,还包括:
将密钥Kamf是否生成成功的结果发送给所述SEAF网元。
在一些实施例中,还包括:
为此次UE认证过程生成一个AuthID。
在一些实施例中,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
在一些实施例中,还包括:
接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
在一些实施例中,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
在一些实施例中,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,还包括:
接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
具体地,本申请实施例提供的上述网络设备,能够实现上述执行主体为认证密码系统的方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
图6是本申请实施例提供的一种认证与安全装置的结构示意图,如图6所示,本申请实施例提供一种认证与安全装置,包括
第一接收模块601、解密模块602、第一发送模块603、第二接收模块604、确定模块605、第二发送模块606、第三接收模块607、认证模块608,其中:
第一接收模块601用于接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
解密模块602用于对所述SUCI进行解密,获得用户永久标识SUPI;
第一发送模块603用于向所述UDM网元发送所述SUPI;
第二接收模块604用于接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
确定模块605用于根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区创建的,所述第一认证实例是为此次UE认证过程创建的,所述第一认证实例中包含所述认证向量;
第二发送模块606用于向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
第三接收模块607用于接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
认证模块608用于根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
在一些实施例中,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区创建的,所述第二认证实例是为此次UE认证过程创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
在一些实施例中,还包括第四接收模块和第一查找模块;
在所述目标UE认证通过的情况下,所述第四接收模块用于接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
所述第一查找模块用于利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
在一些实施例中,还包括标识模块;
所述标识模块用于利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区创建的,所述第三认证实例是为此次UE认证过程创建的,所述第三认证实例中包含所述密钥Kamf。
在一些实施例中,还包括第三发送模块;
所述第三发送模块用于将密钥Kamf是否生成成功的结果发送给所述SEAF网元。
在一些实施例中,还包括生成模块;
所述生成模块用于为此次UE认证过程生成一个AuthID。
在一些实施例中,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
在一些实施例中,还包括第五接收模块、第二查找模块和第四发送模块;
所述第五接收模块用于接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
所述第二查找模块用于利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
所述第四发送模块用于将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
在一些实施例中,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
在一些实施例中,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
在一些实施例中,还包括第六接收模块和第五发送模块;
所述第六接收模块用于接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
所述第五发送模块用于将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
具体地,本申请实施例提供的上述认证与安全装置,能够实现上述执行主体为认证密码系统的方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
需要说明的是,本申请上述各实施例中对单元/模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在一些实施例中,还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行上述各方法实施例提供的认证与安全方法的步骤。
具体地,本申请实施例提供的上述计算机可读存储介质,能够实现上述各方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
需要说明的是:所述计算机可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。
另外需要说明的是:本申请实施例中术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”所区别的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。
本申请实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本申请实施例中术语“多个”是指两个或两个以上,其它量词与之类似。
本申请实施例提供的技术方案可以适用于多种系统,尤其是5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication,GSM)系统、码分多址(code division multiple access,CDMA)系统、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)通用分组无线业务(general packet radio service,GPRS)系统、长期演进(long term evolution,LTE)系统、LTE频分双工(frequencydivision duplex,FDD)系统、LTE时分双工(time division duplex,TDD)系统、高级长期演进(long term evolution advanced,LTE-A)系统、通用移动系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分,例如演进的分组系统(EvlovedPacket System,EPS)、5G系统(5GS)等。
本申请实施例涉及的终端设备,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中,终端设备的名称可能也不相同,例如在5G系统中,终端设备可以称为用户设备(User Equipment,UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信,无线终端设备可以是移动终端设备,如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobilestation)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(userterminal)、用户代理(user agent)、用户装置(user device),本申请实施例中并不限定。
本申请实施例涉及的网络设备,可以是基站,该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同,基站又可以称为接入点,或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备,或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol,IP)分组进行相互更换,作为无线终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如,本申请实施例涉及的网络设备可以是全球移动通信系统(Global System for Mobile communications,GSM)或码分多址接入(Code Division Multiple Access,CDMA)中的网络设备(Base Transceiver Station,BTS),也可以是带宽码分多址接入(Wide-band Code Division Multiple Access,WCDMA)中的网络设备(NodeB),还可以是长期演进(long term evolution,LTE)系统中的演进型网络设备(evolutional Node B,eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB),也可以是家庭演进基站(Home evolved Node B,HeNB)、中继节点(relaynode)、家庭基站(femto)、微微基站(pico)等,本申请实施例中并不限定。在一些网络结构中,网络设备可以包括集中单元(centralized unit,CU)节点和分布单元(distributedunit,DU)节点,集中单元和分布单元也可以地理上分开布置。
网络设备与终端设备之间可以各自使用一或多根天线进行多输入多输出(MultiInput Multi Output,MIMO)传输,MIMO传输可以是单用户MIMO(Single User MIMO,SU-MIMO)或多用户MIMO(Multiple User MIMO,MU-MIMO)。根据根天线组合的形态和数量,MIMO传输可以是2D-MIMO、3D-MIMO、FD-MIMO或massive-MIMO,也可以是分集传输或预编码传输或波束赋形传输等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中,使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (26)
1.一种认证与安全方法,其特征在于,应用于认证密码系统,包括:
接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
对所述SUCI进行解密,获得用户永久标识SUPI;
向所述UDM网元发送所述SUPI;
接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
2.根据权利要求1所述的认证与安全方法,其特征在于,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区为此次UE认证过程而创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
3.根据权利要求2所述的认证与安全方法,其特征在于,还包括:
在所述目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
4.根据权利要求3所述的认证与安全方法,其特征在于,还包括:
利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区为此次UE认证过程而创建的,所述第三认证实例中包含所述密钥Kamf。
5.根据权利要求4所述的认证与安全方法,其特征在于,还包括:
将所述密钥Kamf是否生成成功的结果发送给所述SEAF网元。
6.根据权利要求1所述的认证与安全方法,其特征在于,还包括:
为此次UE认证过程生成一个AuthID。
7.根据权利要求1所述的认证与安全方法,其特征在于,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
8.根据权利要求4所述的认证与安全方法,其特征在于,还包括:
接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
9.根据权利要求8所述的认证与安全方法,其特征在于,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
10.根据权利要求9所述的认证与安全方法,其特征在于,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
11.根据权利要求8所述的认证与安全方法,其特征在于,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
12.根据权利要求11所述的认证与安全方法,其特征在于,还包括:
接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
13.一种网络设备,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求认证密码系统对所述SUCI进行解密;
对所述SUCI进行解密,获得用户永久标识SUPI;
向所述UDM网元发送所述SUPI;
接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
14.根据权利要求13所述的网络设备,其特征在于,还包括:
将认证结果发送给所述AUSF网元;
在所述目标UE认证通过的情况下,接收所述AUSF网元发送的发送的第四请求消息,所述第四请求消息中包含所述SUPI或所述AuthID;
利用所述SUPI或所述AuthID确定所述第一认证实例,并利用所述认证向量中的密钥Kausf和服务网络名称计算密钥Kseaf;并利用所述SUPI标识第二认证实例,所述第二认证实例是在安全锚功能SEAF功能区为此次UE认证过程而创建的,所述第二认证实例中包含所述密钥Kseaf;
将所述密钥Kseaf是否生成成功的结果发送给所述AUSF网元。
15.根据权利要求14所述的网络设备,其特征在于,还包括:
在所述目标UE认证通过的情况下,接收SEAF网元发送的第五请求消息,所述第五请求消息中包含所述SUPI和抗降维攻击ABBA;
利用所述SUPI查找到所述第二认证实例,并利用所述密钥Kseaf、所述SUPI和所述ABBA计算密钥Kamf。
16.根据权利要求15所述的网络设备,其特征在于,还包括:
利用所述SUPI标识第三认证实例,所述第三认证实例是在接入和移动管理功能AMF功能区为此次UE认证过程而创建的,所述第三认证实例中包含所述密钥Kamf。
17.根据权利要求16所述的网络设备,其特征在于,还包括:
将密钥Kamf是否生成成功的结果发送给所述SEAF网元。
18.根据权利要求13所述的网络设备,其特征在于,还包括:
为此次UE认证过程生成一个AuthID。
19.根据权利要求13所述的网络设备,其特征在于,所述第二请求消息中还包含AuthID,所述AuthID是UDM网元为此次UE认证过程生成的一个唯一标识。
20.根据权利要求16所述的网络设备,其特征在于,还包括:
接收AMF网元发送的第六请求消息,所述第六请求消息中包含所述SUPI,所述第六请求消息用于请求建立安全上下文;
利用所述SUPI在所述AMF功能区查找所述第三认证实例,并利用密钥Kamf建立第一非接入层NAS安全上下文,所述第一NAS安全上下文中包含密钥KNASenc和密钥KNASint;
将所述SUPI、所述密钥KNASenc和所述密钥KNASint发送给通信密码系统。
21.根据权利要求20所述的网络设备,其特征在于,所述第六请求消息中还包含5G密钥集标识ngKSI;所述ngKSI用于标识所述第一NAS安全上下文。
22.根据权利要求21所述的网络设备,其特征在于,所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述ngKSI、所述密钥KNASenc和所述密钥KNASint。
23.根据权利要求20所述的网络设备,其特征在于,所述SUPI、所述密钥KNASenc和所述密钥KNASint用于供所述通信密码系统建立第二NAS安全上下文,所述第二NAS安全上下文中包含所述SUPI、所述密钥KNASenc和所述密钥KNASint。
24.根据权利要求23所述的网络设备,其特征在于,还包括:
接收所述通信密码系统发送的建立所述第二NAS安全上下文的结果;
将建立所述第二NAS安全上下文的结果发送给所述AMF网元。
25.一种认证与安全装置,其特征在于,包括:
第一接收模块,用于接收统一数据管理UDM网元发送的第一请求消息,所述第一请求消息中包含目标终端UE的用户隐藏标识SUCI,所述第一请求消息用于请求所述认证密码系统对所述SUCI进行解密;
解密模块,用于对所述SUCI进行解密,获得用户永久标识SUPI;
第一发送模块,用于向所述UDM网元发送所述SUPI;
第二接收模块,用于接收所述UDM网元发送的第二请求消息,所述第二请求消息中包含所述SUPI和服务网络名称,所述第二请求消息是在所述UDM网元根据所述SUPI检查所述目标UE的签约信息之后发送的;
确定模块,用于根据所述SUPI确定所述目标UE的认证根密钥,并根据所述根密钥和所述服务网络名称生成认证向量,并使用唯一标识AuthID标识所述认证向量、此次UE认证过程以及第一认证实例,所述第一认证实例是在认证服务器功能AUSF功能区为此次UE认证过程而创建的,所述第一认证实例中包含所述认证向量;
第二发送模块,用于向所述UDM网元发送所述认证向量中需要提供给所述目标UE的部分;
第三接收模块,用于接收AUSF网元发送的第三请求消息,所述第三请求消息中包含认证响应RES*和所述AuthID;
认证模块,用于根据所述第三请求消息中包含的所述RES*和所述AuthID对所述目标UE进行认证。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序用于使计算机执行权利要求1至12中的任一项所述的认证与安全方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210006344.8A CN116419218A (zh) | 2022-01-05 | 2022-01-05 | 认证与安全方法、装置及存储介质 |
| PCT/CN2022/143302 WO2023131044A1 (zh) | 2022-01-05 | 2022-12-29 | 认证与安全方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210006344.8A CN116419218A (zh) | 2022-01-05 | 2022-01-05 | 认证与安全方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116419218A true CN116419218A (zh) | 2023-07-11 |
Family
ID=87050259
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210006344.8A Pending CN116419218A (zh) | 2022-01-05 | 2022-01-05 | 认证与安全方法、装置及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116419218A (zh) |
| WO (1) | WO2023131044A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020007461A1 (en) * | 2018-07-04 | 2020-01-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication and key agreement between a network and a user equipment |
| CN111147421B (zh) * | 2018-11-02 | 2023-06-16 | 中兴通讯股份有限公司 | 一种基于通用引导架构gba的认证方法及相关设备 |
| CN112672345B (zh) * | 2019-09-30 | 2023-02-10 | 华为技术有限公司 | 通信认证方法和相关设备 |
| CN110933027A (zh) * | 2019-10-23 | 2020-03-27 | 南京瑞思其智能科技有限公司 | 一种基于5g网络的照明系统aka认证方法 |
-
2022
- 2022-01-05 CN CN202210006344.8A patent/CN116419218A/zh active Pending
- 2022-12-29 WO PCT/CN2022/143302 patent/WO2023131044A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023131044A1 (zh) | 2023-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11785510B2 (en) | Communication system | |
| US11570617B2 (en) | Communication method and communications apparatus | |
| US12063498B2 (en) | Key derivation method, communication system, communication terminal, and communication device | |
| CN110891271B (zh) | 一种鉴权方法及装置 | |
| US11082843B2 (en) | Communication method and communications apparatus | |
| JP7127689B2 (ja) | コアネットワーク装置、通信端末、及び通信方法 | |
| KR102568230B1 (ko) | 보안 컨텍스트를 취득하기 위한 방법 및 장치와 통신 시스템 | |
| WO2011133884A2 (en) | Reduction in bearer setup time | |
| US11751160B2 (en) | Method and apparatus for mobility registration | |
| US20190149326A1 (en) | Key obtaining method and apparatus | |
| WO2023071836A1 (zh) | 一种通信方法及装置 | |
| WO2022237561A1 (zh) | 一种通信方法及装置 | |
| WO2022048265A1 (zh) | 一种应用层密钥确定的方法、终端、网络侧设备及装置 | |
| CN116419218A (zh) | 认证与安全方法、装置及存储介质 | |
| CN115334504A (zh) | 临时组的密钥传输方法、装置、终端及网络侧设备 | |
| WO2024131598A1 (zh) | 一种信息处理方法、装置及可读存储介质 | |
| CN118233889A (zh) | 安全认证方法、装置及存储介质 | |
| WO2024114205A1 (zh) | 密钥协商方法及装置 | |
| CN118118161A (zh) | 建立安全关联的方法、设备、装置及存储介质 | |
| WO2023093668A1 (zh) | 设备鉴权方法及装置 | |
| CN118233890A (zh) | 认证和管理方法、装置及存储介质 | |
| WO2023241899A1 (en) | Apparatus, method and computer program for privacy protection of subscription identifiers | |
| CN117858028A (zh) | 数据传输方法、装置及设备 | |
| CN117896053A (zh) | 一种信息传输方法、装置及设备 | |
| CN118042457A (zh) | 信息传输方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |