CN117256168A - 信息处理方法及装置、通信设备及存储介质 - Google Patents
信息处理方法及装置、通信设备及存储介质 Download PDFInfo
- Publication number
- CN117256168A CN117256168A CN202280001185.0A CN202280001185A CN117256168A CN 117256168 A CN117256168 A CN 117256168A CN 202280001185 A CN202280001185 A CN 202280001185A CN 117256168 A CN117256168 A CN 117256168A
- Authority
- CN
- China
- Prior art keywords
- operator
- credential
- pine
- request
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 68
- 238000004891 communication Methods 0.000 title claims abstract description 61
- 238000003672 processing method Methods 0.000 title claims abstract description 33
- 235000008331 Pinus X rigitaeda Nutrition 0.000 claims abstract description 351
- 235000011613 Pinus brutia Nutrition 0.000 claims abstract description 351
- 241000018646 Pinus brutia Species 0.000 claims abstract description 351
- 230000004044 response Effects 0.000 claims abstract description 226
- 238000012790 confirmation Methods 0.000 claims description 122
- 238000000034 method Methods 0.000 claims description 112
- 238000012795 verification Methods 0.000 claims description 101
- 238000012545 processing Methods 0.000 claims description 68
- 230000015654 memory Effects 0.000 claims description 23
- 238000010200 validation analysis Methods 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000005516 engineering process Methods 0.000 description 12
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 8
- 238000007726 management method Methods 0.000 description 8
- 238000010295 mobile communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000003491 array Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000001133 acceleration Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 241000218680 Pinus banksiana Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开实施例提供一种信息处理方法及装置、通信设备及存储介质。由个人物联网单元PINE执行的信息处理方法可包括:基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;接收基于第一请求返回的第一响应;基于运营商公钥获取第一响应携带的运营商凭证。
Description
本公开涉及无线通信技术领域但不限于无线通信技术领域,尤其涉及一种信息处理方法及装置、通信设备及存储介质。
物联网设备(Internet of Things,IoT)设备有很多种,以满足不同的应用需求。
基于物联网设备数量的大幅增加,用户主要在家中、办公室、工厂和/或身体周围利用所有这些物联网设备创建(例如,规划、更改拓扑)网络。个人物联网(Personal IoT Network,PIN),可由用户经常使用的各种设备组成。
PIN单元(Personal IoT Network Element,PINE)不可以直接接入到第五代移动通信系统(5
th Generation System,5GS),与此同时,5GS需要进一步验证PINE以实现对PINE的加强管理。为了满足该需求,5GS需要向PINE提供运营商凭证。然而,在相关技术中,对PIN场景来说,目前仍缺乏运营商凭证安全配置技术。
发明内容
本公开实施例提供一种信息处理方法及装置、通信设备及存储介质。
本公开实施例第一方面提供一种信息处理方法,其中,由PINE执行,所述方法包括:
基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;
接收基于所述第一请求返回的第一响应;
基于所述运营商公钥获取所述第一响应携带的运营商凭证。
本公开实施例第二方面提供一种信息处理方法,其中,由具有网关功能的设备(PIN Element with Gateway Capability,PEGC)执行,所述方法包括:
接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;
根据所述第一请求,向第一网元发送第二请求;
接收所述第一网元基于第二请求返回的第二响应;
将所述第二响应,向所述PINE发送第一响应。
本公开实施例第三方面提供一种信息处理方法,其中,由第一网元执行,所述方法包括:
接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE 基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;
根据所述第二请求,向第二网元发送第三请求;
接收基于第三请求返回的第三响应;
根据所述第三响应,向所述PEGC发送第二响应。
本公开实施例第四方面提供一种信息处理方法,其中,由第二网元执行,所述方法包括:
接收第三请求;
基于使用运营商私钥处理所述第三请求的结果,确定是否给PINE配置运营商凭证;
当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;
接收第四请求返回的运营商凭证;
使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;
将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
本公开实施例第五方面提供一种信息处理方法,其中,由第三网元执行,所述方法还包括:
接收第二网元的第四请求;
根据所述第四请求为PINE配置运营商凭证,其中,所述PINE是未配置缺省凭证且预先配置有运营商公钥的设备;
将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
本公开实施例第六方面提供一种信息处理装置,其中,所述装置包括:
第一发送模块,被配置为基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;
第一接收模块,被配置为接收基于所述第一请求返回的第一响应;
第一获取模块,被配置为基于所述运营商公钥获取所述第一响应携带的运营商凭证。
本公开实施例第七方面提供一种信息处理装置,其中,由PEGC执行,所述装置包括:
第二接收模块,被配置为接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;
第二发送模块,被配置为根据所述第一请求,向第一网元发送第二请求;
所述第二发送模块,还被配置为接收所述第一网元基于第二请求返回的第二响应;
所述第二发送模块,还被配置为将所述第二响应,向所述PINE发送第一响应。
本公开实施例第八方面提供一种信息处理装置,其中,所述装置包括:
第三接收模块,被配置为接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;
第三发送模块,被配置为根据所述第二请求,向第二网元发送第三请求;
所述第三接收模块,被配置为接收基于第三请求返回的第三响应;
所述第三发送模块,被配置为根据所述第三响应,向所述PEGC发送第二响应。
本公开实施例第九方面提供一种信息处理方法,其中,所述装置包括:第四接收模块、第四发送模块、第二确定模块以及第二获取模块;
所述第四接收模块,被配置为接收第三请求;
所述第二确定模块,被配置为基于使用运营商私钥处理所述第三请求的结果,确定是否给PINE配置运营商凭证;
所述第四发送模块,被配置为当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;
所述第四接收模块,还被配置为接收第四请求返回的运营商凭证;
所述第二获取模块,被配置为使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;
所述第四发送模块,还被配置为将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
本公开实施例第十方面提供一种信息处理装置,其中,所述装置还包括:
第五接收模块,被配置为接收第二网元的第四请求;
配置模块,被配置为根据所述第四请求为PINE配置运营商凭证,其中,所述PINE是未配置缺省凭证且预先配置有运营商公钥的设备;
第五发送模块,被配置为将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
本公开实施例第十一方面提供一种通信设备,包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如前述第一方面至第五方面任意一方面提供的信息处理方法。
本公开实施例第十二方面提供一种计算机存储介质,所述计算机存储介质存储有可执行程序;所述可执行程序被处理器执行后,能够实现前述的第一方面至第五方面任意一方面提供的信息处理方法。
本公开实施例提供的技术方案,通过运营商公钥预先配置在PINE内,可以实现PINE通过PEGC连接向3GPP网络安全的申请运营商凭证,相对于通过第三方的缺省凭证验证之后再运营商凭证配置,缩短了运营商凭证流程,提升了运营商凭证的配置速率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开实施例。
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明实施例,并与说明书一起用于解释本发明实施例的原理。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图;
图2是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图3是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图4是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图5是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图6是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图7是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图8是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图9是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图10是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图11是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图12是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图13是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图14是根据一示例性实施例示出的一种信息处理方法的流程示意图;
图15是根据一示例性实施例示出的一种信息处理装置的结构示意图;
图16是根据一示例性实施例示出的一种信息处理装置的结构示意图;
图17是根据一示例性实施例示出的一种信息处理装置的结构示意图;
图18是根据一示例性实施例示出的一种信息处理装置的结构示意图;
图19是根据一示例性实施例示出的一种信息处理装置的结构示意图;
图20是根据一示例性实施例示出的一种PINE的结构示意图;
图21是根据一示例性实施例示出的一种网元的结构示意图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反,它们仅是本发明实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开所使用的单数形式的“一种”、“所述”和“该”也旨在包括复数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于 确定”。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于蜂窝移动通信技术的通信系统,该无线通信系统可以包括:若干个UE 11以及若干个接入设备12。
其中,UE 11可以是指向用户提供语音和/或数据连通性的设备。UE 11可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网进行通信,UE 11可以是物联网UE,如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网UE的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程UE(remote terminal)、接入UE(access terminal)、用户终端(user terminal)、用户代理(user agent)、用户设备(user device)、或用户UE(user equipment,UE)。或者,UE 11也可以是无人飞行器的设备。或者,UE 11也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线通信设备。或者,UE 11也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
接入设备12可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口(new radio,NR)系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network,新一代无线接入网)。或者,MTC系统。
其中,接入设备12可以是4G系统中采用的演进型接入设备(eNB)。或者,接入设备12也可以是5G系统中采用集中分布式架构的接入设备(gNB)。当接入设备12采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体访问控制(Media Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对接入设备12的具体实现方式不加以限定。
接入设备12和UE 11之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
PIN中存在三种类型的个人物联网单元(Personal IoT Network Element,PINE):具有网关功能的设备(PIN Element with Gateway Capability,PEGC)、具有管理功能的设备(PIN Element with Management Capability,PEMC),以及不具有网关和管理功能的普通PINE。
PEGC和PEMC也是可以直接接入5G网络的UE。PEMC还可以通过PEGC访问5G网络。
构成PINE的物联网设备包括但不限于:可穿戴设备、智能家居设备和/或智能办公设备。
可穿戴设备包括不限于:耳机、智能手表和/或健康监控传感器。
智能家居设备包括但不限于:智能灯、相机、恒温器、门禁设备、语音助手设备、扬声器、冰箱、洗衣机、割草机和/或机器人。
智能办公设备可应用于在小型企业的办公室或工厂,典型的智能办公设备包括但不限于:打印机、仪表和/或传感器。
一些物联网设备在尺寸方面有非常具体的要求(例如耳机),一些物联网设备在重量方面有非常具体的要求(例如眼镜)。
一些物联网设备在多个领域(即尺寸、重量和功耗)有非常具体的要求。
PINE无法直接访问5G网络,而5G网络需要识别PINE以增强管理。为了满足需求,5G网络需要为PINE提供运营商凭证。利用运营商凭证,第五代移动通信系统(5
th Generation System,5GS)可以验证和识别PEGC连接的PINE。在向PINE提供5GS颁发的运营商凭证之前,需要对PINE的缺省凭证进行身份验证。然而,缺乏通过5GC对第三方的验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器提供的默认凭证进行身份验证的机制,这会延迟5GC对PINE的通信控制,从而导致通信延时。
如图2所示,本公开实施例提供一种信息处理方法,由PINE执行,所述方法包括:
S1110:基于预先配置的运营商公钥,向PEGC发送申请运营商凭证的第一请求;
S1120:接收基于所述第一请求返回的第一响应;
S1130:基于所述运营商公钥获取所述第一响应携带的运营商凭证。
该PINE可为各种IoT设备,例如,该IoT设备包括:可供用户佩戴的可穿戴式设备、可用户随身携带的设备、智能家居设备、智能办公设备和/或应用于娱乐场所的智能娱乐设备。
该运营商公钥可为通信运营商预先配置的公钥。示例性地,通信运营商在PINE上市前传递到消费者手里之前写入的公钥。
该通信运营商可为3GPP网络的通信运营商。
该PEGC可为各种能够接入到3GPP网络的设备,例如,用户的手机、平板电脑或者家庭网关。
示例性地,PEGC可以通过用户识别模块(SIM)接入到3GPP网络。该SIM可为实体卡或者内置在终端内的电子SIM卡。
由于PINE预先配置有运营商公钥,此时PINE可以不用预先写入第三方的默认凭证,该第三方默认凭证包括但不限于:验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器提供的凭证。
为了方便后续PINE通过PEGC快速接入到网络,因此PINE与PEGC建立非3GPP连接之后,就可以通过PEGC向运营商网络申请运营商凭证。
示例性地,PINE与PEGC之间建立了安全的非3GPP连接之后,向PEGC发送第一请求,以向3GPP网络的网元申请运营商凭证。该安全的非3GPP连接包括但不限于:蓝牙连接和/或WiFi连接。
在本公开实施例中,为了实现运营商凭证的安全发放,PINE会使用预先配置的运营商公钥对第 一请求进行安全处理,这里的安全处理包括但不限于:加密处理和/或签名验证处理。
在一个实施例中,第一请求可至少包括:所述PINE的标识,如此,方便3GPP网络的网元知晓申请运营商凭证的PINE。示例性地,所述第一请求还可包括:凭证配置指示符,该凭证配置指示符,用于指示PINE请求配置运营商凭证。
在另一个实施例中,所述第一请求还可包括运营商公钥的公钥标识,如此,方便网元到第一请求之后,根据该明文的公钥标识所标识运营商公钥对应运营商私钥,解密和/或签名验证所述第一请求中的至少部分内容。
若PINE被3GPP的网元认定有权获取运营商凭证。此时,PINE接收到的第一响应就会携带有配置给PINE的运营商凭证。PINE接收到第一响应之后,会使用运营商公钥处理所述第一响应,从而获得第一响应携带的运营商凭证。
故在本公开实施例中,通过运营商公钥预先配置在PINE内,可以实现PINE通过PEGC连接到网络之后安全获取所述PEGC。
在一些实施例中,所述第一请求可为相关技术中提出的请求消息,被复用用于供PINE进行运营商凭证的配置。通过运营商公钥预先配置在PINE内,可以实现PINE通过PEGC连接向3GPP网络安全的申请运营商凭证,相对于通过第三方的缺省凭证验证之后再运营商凭证配置,缩短了运营商凭证流程,提升了运营商凭证的配置速率。
在另一些实施例中,所述第一请求可为专用于PINE的运营商凭证的请求,此时第一请求可不用携带凭证配置指示符。
如图3所示,本公开实施例提供一种信息处理方法,由PINE执行,所述方法包括:
S1210:使用预先配置的运营商公钥加密第一随机数和第一时间戳得到加密信息;
S1220:根据所述加密信息、所述运营商公钥的公钥标识和所述PINE的标识,向所述PEGC发送第一请求;
S1230:接收基于所述第一请求返回的第一响应;
S1240:基于所述运营商公钥获取所述第一响应携带的运营商凭证。
首先,PINE利用随机算法生成一个所述第一随机数。该第一随机数的长度可为预先约定的,例如,协议约定的。示例性地,该第一随机数的长度可为512比特、256比特和128比特等长度。
在一个实施例中,所述第一随机数的长度不小于运营商凭证的长度。
所述第一时间戳可为:第一随机数的生成时间戳,和/或所述运营商公钥加密所述第一随机数的时间戳,或者检测到第一请求的发送需求的时间戳。总之,所述第一时间戳代表的时间有多种,可为PINE为申请运营商凭证的任意一个操作的时间戳,不局限于上述举例。
然后,利用预先配置的运营商公钥加密第一随机数和第一时间戳就会得到加密信息。该加密信息可以携带加到加密单元,加密单元为一种信息单元(Information Element,IE)。在本公开实施例中,所述第一请求至少包含加密信息。
最后,将加密信息、公钥标识和PINE的标识一同携带在第一请求中发送给PEGC。公钥标识和 PINE的标识是明文携带在第一请求中。故第一请求中包括密文部分和明文部分,密文部分至少包括加密信息。明文部分至少包括公钥标识和PINE的标识。
值得注意的是:为了进一步提升安全性,可以再次使用第二网元和PINE均知晓的签名密钥对加密信息、公钥标识和/或PINE的标识的部分或者全部进行完整保护得到一个消息验证码,后续可供3GPP网元进行签名验证,如此减少信息在传输过程中篡改。
由于第一随机数产生数值本身的随机性,以及不同PINE产生第一随机数的时间随机性,因此第一随机数和第一时间戳可以用于供网络侧的网元对第一请求进行重放攻击验证,从而减少非发送合并拦截旧的请求再次向3GPP网络的网元重复请求运营商凭证的现象。
在一些实施例中,所述PINE还会产生第二随机数。在加密所述第一随机数时,还会加密所述第二随机数。因此,加密信息中不仅包含所述第一随机数、第一时间戳还可包括所述第二随机数。
所述加密信息还包括:使用所述运营商公钥加密的第二随机数;
所述基于预先配置的运营商公钥,向网元发送申请运营商凭证的第一请求,包括:
使用所述第二随机数对所述加密信息、所述运营商公钥的公钥标识、完整性保护算法标识和所述PINE的标识完整性保护,生成消息验证码;根据所述加密信息、所述运营商公钥的公钥标识、所述PINE的标识和所述消息验证码,向所述PEGC发送第一请求。
所述第一请求携带的第二随机数是加密的,但是消息验证码是被第一请求明文携带的。另外,所述完整性保护算法标识指示的是消息验证码生成使用的完整性保护算法,该完整性保护算法标识也是可以明文携带在第一请求中的。
在本公开实施例中,为了加强所述第一请求的安全性,会对第一请求进行数字签名,从而实现完整性保护。
在本公开实施例中,利用PINE生成的第二随机数进行完整性保护。使用预设长度的字符串进行完整性保护的消息验证码的计算。该预设长度可为任意PINE和网元均知晓的长度。该字符串可以是基于第二随机数确定的。
示例性地,假设预设长度为128比特,则PINE可以执行如下操作之一:
若PINE生成的第二随机数超过128比特,则使用低128比特或者高128比特对所述加密信息、完整性保护算法标识、公钥标识以及PINE的标识进行完整性保护,会得到消息验证码。该消息验证码也会携带在第一请求中发送给网络侧网元。
若PINE生成的随机数等于128比特,则使用整个第二随机数对所述加密信息、公钥标识、完整性保护算法标识、以及PINE的标识进行数字签名,会得到消息验证码。
若PINE生成的第二随机数小于128比特,则使用2个或2个以上的第二随机数拼接得到128比特的字符串,然后使用拼接的字符串对所述加密信息、、完整性保护算法标识、公钥标识以及PINE的标识进行完整性保护,会得到消息验证码。
如此,网络侧的网元(例如,第二网元)接收到加密信息、公钥标识、PINE的标识、完整性保护算法标识以及消息验证码之后,会利用私钥解密加密信息得到明文的第一随机数、第二随机数和 第一时间戳,然后利用第二随机数对加密信息、完整性保护算法标识、公钥标识、PINE的标识进行完整性保护,生成一个消息验证码。然后将生成的消息验证码和从PINE接收的消息验证码比对,若两者一致则认为第一请求通过完整性保护验证,确定第一请求在传输过程中未被篡改,再次提升了第一请求的安全性。
在一些实施例中,若所述PINE预先配置有网络侧的网元支持的完整性保护算法,则可以使用所述第二随机数对所述密文信息、完整性保护算法标识、PINE的标识和公钥标识进行完整性保护,得到所述消息验证码。此时,所述第一请求携带有所述消息验证码。
若所述PINE未预先配置网络侧网元支持的完整性保护算法,则可以不使用所述第二随机数对所述密文信息、PINE的标识和公钥标识进行完整性保护。此时,所述第一请求不携带所述消息验证码。
在一些实施例中,使用所述第二随机数对所述加密信息、完整性保护算法标识、所述运营商公钥的公钥标识和所述PINE的标识进行完整性保护,得到消息验证码,可包括:
使用第二随机数、传输方向值、承载标识以及计数器值,对所述加密信息、所述运营商公钥的公钥标识、完整性保护算法标识、和所述PINE的标识构成的消息进行完整性保护的计算,得到所述消息验证码。
所述第二随机数作为完整性保护算法的完整性保护密钥。
所述传输方向值和所述承载标识都可以为预设值。所述传输方向值和所述承载标识对应的预设值可以相同或者不同。
在一个实施例中,所述计数器值也可以设置为特定值,该特定值可为PINE和AUSF等第二网元都知晓的值。
在另一个实施例中,所述计数器中可为一个32比特或者64比特长度的计数器的值,该计数器值可为PINE和第二网元都维护的用户参数更新计数器的值。
当然以上仅仅是基于完整性算法计算消息验证码的一种举例说明,具体实现时不局限于该举例。
在一些实施例中,如图4所示,该第一响应包括:数字签名。该数字签名可为第二网元生成的。
所述基于所述运营商公钥获取所述第一响应携带的运营商凭证,包括:
S1310:基于所述运营商公钥对所述第一响应进行签名验证;
S1320:在所述第一响应通过签名验证之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证,其中,携带有加密凭证的所述第一响应,是在所述加密信息被成功解密且根据所述第一随机数和所述第一时间戳验证所述加密信息未受到重放攻击之后返回的。
在一些实施例中,所述第一响应包含的是使用运营商私钥对加密凭证和第二时间戳进行的数字签名。所述基于所述运营商公钥对所述第一响应进行签名验证,可包括:
使用运营商公钥验证所述数字签名成功之后,实现了加密凭证和第二时间戳是否被篡改的验证,即验证加密凭证和第二时间戳在传输过程中是否有被保护完整。
具体地,利用运营商公钥对加密凭证和第二时间戳进行数字签名,得到本地生成的数字签名; 比对接收的数字签名和本地生成的数字签名,若接收的数字签名和本地生成得到数字签名相同,则认为第一响应通过签名验证。
在第一响应的签名验证通过之后,会继续解密所述第一响应中携带的加密凭证,从而得到明文的运营商凭证。
在一个实施例中,若网络侧的网元是使用运营商私钥对应的运营商公钥加密运营商凭证得到的加密凭证,则此时PINE使用运营商私钥解密该加密凭证得到明文的运营商凭证。
在另一个实施例中,若网络侧的网元是使用第一请求发送的随机数加密运营商凭证,则PINE可以使用自身产生的第一随机数解密加密凭证,从而得到明文的运营商凭证。若使用PINE产生的第一随机数加密或者解密运营商凭证,则第一响应的完整性保护和机密性保护是使用了不同的密钥,从而再次提升的第一响应的安全性。
在一些实施例中所述第一响应还包括:第二时间戳。
该第二时间戳可是:为PINE配置运营商凭证的时间戳,或者加密运营商得到加密凭证的时间戳等。该第一响应包含的第二时间戳可用于PINE验证所述第一响应是否有受到重放攻击。
在一些实施例中,如图5所示,所述基于所述运营商公钥获取所述第一响应携带的运营商凭证,包括:
S1410:基于所述运营商公钥对所述第一响应进行签名验证;
S1420:根据所述第二时间戳,确定所述第一响应是否受到重放攻击。
S1430:在所述第一响应通过签名验证且确定未收到重放攻击之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证。
由于第二时间戳可是明文携带在第一响应中,因此重放攻击验证、完整性验证之间没有一定的先后顺序。
例如,在一个实施例中,使用运营商公钥完成对加密凭证和第二时间戳的完整性保护验证之后,根据第二时间戳确定第一响应是否受到重放攻击。
再例如,在另一个实施例中,在对第一响应进行签名验证之前或进行签名验证时,根据第一响应携带的第二时间戳进行重放攻击验证。
在确定加密凭证是否有受到重放攻击时,可包括以下至少之一:
若PINE接收到的第二时间戳指示的时间早于所述第一时间戳指示的时间,可认为第一响应受到了重放攻击;
将第二时间戳指示的时间和第一时间偏移值之和得到第一计算时刻;若第一计算时刻早于当前时刻可认为第一响应受到了重放攻击;
将第二时间戳指示的时间和第二时间偏移值之和得到第二计算时刻;若第二计算时刻早于当前时刻可认为第一响应受到了重放攻击。
第二时间偏移值大于所述第一时间偏移值。
总之,根据第二时间戳验证第一响应是否受到重放攻击的方式有多种,在此就不一一举例。
在本公开实施例中,当所述第一响应通过所述签名验证且确定所述第一响应未受到重放攻击时,使用所述第一随机数解密所述加密凭证,得到所述PINE的运营商凭证。
若第一响应未通过完整性保护验证或者确定第一响应受到重放攻击,则停止所述第一响应的解密。
进一步地,所述方法还包括:在第一响应未通过完整性保护验证或者确定第一响应受到重放攻击,通过PEGC向网络发送攻击告警提示;和/或,在第一响应未通过完整性保护验证或者确定第一响应受到重放攻击,重新基于运营商公钥发送申请运营商凭证的第一请求。
在一些实施例中,所述方法还包括:
当所述第一响应包含凭证确认指示符且正确接收所述运营商凭证时,使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值;
将所述第一接收确认值发送给所述PEGC。
在一些实施例中,所述第一响应可包括凭证确认指示符,则PINE正确接收到所述运营商凭证,则需要向网络发送第一接收确认值。否则PINE不向网络发送第一接收确认值,或者发送凭证失败提示等。
在一些实施例中,若PINE向网络发送第一接收确认值,则还随所述第一接收确认值向网络发送凭证确认指示符,此时该凭证确认指示符,用于告知网络当前PINE发送的第一接收确认值。
在向网络发送所述第一接收确认值之前,PINE先将根据运营商公钥生成所述第一接收确认值。
示例性地,以所述运营商公钥和所述运营商凭证为输入参数,生成所述第一接收确认值。
又示例性地,以所述运营商公钥、运营商公钥的长度、所述PINE的标识以及PINE的标识的长度为输入参数,生成第一接收确认值。
总之,生成所述第一接收确认值的方式有多种,具体实现不局限于上述任意一种。但是若生成第一接收确认值的输入参数为网络侧网元知晓的参数,则方便网络侧的网元不再进一步获取输入参数的情况下,实现对所述第一接收确认值进行验证。
在本公开实施例中,所述运营商凭证的确收,不再是简单的接收指示符,而是具有唯一性的第一接收确认值,从而减少了仿冒的运营商凭证的确收。
在一些实施例中,所述使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值,包括:
根据所述运营商公钥、所述运营商凭证以及PINE的标识生成第一接收确认值。
例如,利用所述运营商公钥加密所述加密凭证和所述PINE的标识,得到所述第一接收确认值。
又例如,利用所述运营商公钥加密所述加密凭证、所述第一随机数以及所述PINE的标识,得到所述第一接收确认值。
在一个实施例中,所述将所述第一接收确认值发送给所述PEGC,包括:将所述第一接收确认值和凭证确认指示符发送给所述PEGC。
示例性地,所述凭证确认指示符的长度为:二进制的凭证指示符的长度。所述PINE的标识的 长度为:二进制的PINE的标识的长度。上述长度可为比特个数。
在一个实施例中,凭证确认指示符可用于指示运营商凭证正确接收,而所述第一接收确认值可供网元验证运营商凭证是否被PINE正确接收。
在另一个实施例中,该凭证确认指示符仅用于指示携带该凭证确认指示符的消息,携带有第一接收确认值。
以上仅仅是对第一接收确认值的生成举例,具体实现方式不局限于上述举例。
如图6所示,本公开实施例提供一种信息处理方法,其中,由PEGC执行,所述方法包括:
S2110:接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;
S2120:根据所述第一请求,向第一网元发送第二请求;
S2130:接收所述第一网元基于第二请求返回的第二响应;
S2140:将所述第二响应,向所述PINE发送第一响应。
该PEGC可为先PINE获取到运营商凭证并且已注册到3GPP网络的设备。
PEGC与PINE之间建立有安全地非3GPP连接。
若有未配置运营商凭证的PINE连接到PEGC,则会收到PINE第一请求。该第一请求中的部分信息是由PINE预先配置的运营商实现安全保护的。
PEGC接收第一请求之后,会将第一请求携带的内容封装到第二请求发送给第一网元。
若网络侧的网元会为PINE配置运营商凭证,则PEGC会接收到第二响应,且该第二响应中会携带有运营商凭证。
在S2140中会将第二响应作为容器(Container)或者IE携带在第一响应中发送给PINE。如此,PINE就可以接收到网元为其配置运营商凭证,或者知晓网元是否有为其配置运营商凭证。
在一些实施例中,所述第二请求包括所述第一请求的内容,且还包括以下至少之一:
凭证配置指示符,指示申请运营商凭证;
所述PEGC的标识,其中,所述PEGC的标识,用于验证所述PEGC是否合法。
在一个实施例中,第二请求可为专用于为PINE配置运营商凭证的请求,此时第二请求可携带或者不携带凭证配置指示符。
在另一个实施例中,该第二请求可为已有用于其他信息传递的请求,用于复用为PINE申请运营商凭证,则此时第二请求可携带凭证配置指示符,以明确指示当前第二请求用于为PINE申请运营商凭证。
在一个实施例中,该第二请求携带有PEGC的标识。该PEGC的设备标识(或者简称PEGC的标识或者PEGC标识)可包括但不限于:PEGC的用户隐藏标识符(Subscription Concealed Identifier,SUCI)和/或用户隐藏标识(Subscription Permanent Identifier,SUPI)。
若PEGC验证合法,网元会确认申请运营商凭证的各种信息是可信的,否则是不可信的,可以停止为PINE配置运营商凭证。
如图6所示,本公开实施例提供一种信息处理方法,其中,由PEGC执行,所述方法包括:
S2210:接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;
S2220:根据所述第一请求,向第一网元发送第二请求;
S2230:接收所述第一网元基于第二请求返回的第二响应;
S2240:将所述第二响应,向所述PINE发送第一响应。
S2250:接收第一接收确认值;其中,所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证以及所述PINE的标识生成的;
S2260:将所述第一接收确认值发送给所述第一网元。
该加密凭证是:配置给PINE的运营商凭证被加密之后生成的。示例性地,利用PINE提供的随机数加密配置给PINE的运营商凭证,得到所述加密凭证。
在一个实施例中,所述PEGC接收到第一接收确认值之后发送给第一网元。
在另一个实施例中,PEGC接收到第一接收确认值之后附加上凭证确认指示符之后,发送给第一网元。
在还有一个实施例中,PEGC从PINE接收第一接收确认值和凭证确认指示符,将第一接收确认值和凭证确认指示符一同发送给第一网元。
如图8所示,本公开实施例提供一种信息处理方法,由第一网元执行,其中,所述方法包括:
S3110:接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;
S3120:根据所述第二请求,向第二网元发送第三请求;
S3130:接收基于第三请求返回的第三响应;
S3140:根据所述第三响应,向所述PEGC发送第二响应。
该第一网元包括但不限于各种核心网的网元,示例性地,该第一网元可为AMF。
第一网元可作为PEGC与配置运营商凭证的网元,可以作为PGEC与其他网元通信的中间网元。
第一网元接收到PEGC之后,会根据第二请求向第二网元发送第三请求,该第三请求包含所述第二请求。示例性地,将第二请求添加到第三请求中的容器(Container)或者IE中,发送给第二网元。
后续第一网元会接收到第二网元针对第三请求返回的第三响应。第一网元接收到第三响应之后,向PEGC返回所述第二响应。示例性地,将第三响应添加到第二响应的容器或者IE中。
如图9所示,本公开实施例提供一种信息处理方法,由第一网元执行,其中,所述方法包括:
S3210:接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;
S3220:根据所述第二请求,向第二网元发送第三请求;
S3230:接收基于第三请求返回的第三响应;
S3240:根据所述第三响应,向所述PEGC发送第二响应;
S3250:接收所述PEGC发送的第一接收确认值;所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证和所述PINE的标识生成的;
S3260:将所述第一接收确认值发送给所述第二网元。
若PINE正确接收到运营商凭证且第三响应携带有凭证确认指示符,则PINE会生成第一接收确认值,此时第一网元会将第一接收确认值发送给第二网元。
在另一些实施例中,随所述第一接收确认值发送的还包括:PEGC或者PINE提供的凭证响应指示符。此时,第一网元会将第一接收确认值和所述凭证响应指示符一同发送给第二网元。
如图10所示,本公开实施例提供一种信息处理方法,其中,由第二网元执行,所述方法包括:
S4110:接收第三请求;
S4120:基于使用运营商私钥处理第三请求的结果,确定是否给PINE配置运营商凭证;
S4130:当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;
S4140:接收第四请求返回的运营商凭证;
S4150:使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;
S4160:将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
该第二网元同样可为核心网的网元,示例性地,该第二网元包括但不限于鉴权服务器功能(Authentication Server Function,AUSF)。
该第三请求来自第一网元。从第一网元接收到第三请求之后,会与前述运营商公钥对应的运营商私钥处理第三请求,从而得到处理结果。根据该处理结果,确定是否给PINE配置运营商凭证。
若确定给PINE配置运营商凭证,则会向第三网元发送第四请求,第四请求用于请求第三网元为PINE配置运营商凭证。若确定不给PINE配置运营商凭证,则会停止配置流程。
接收第三网元基于第四请求返回的第四响应。该第四响应包含:第三网元为第PINE配置的运营商凭证,此时该运营商凭证是明文的。
接收到运营商凭证之后,为了确保向PINE安全发放运营商凭证,则会使用运营商私钥处理该明文的运营商凭证,得到安全处理后的运营商凭证。
在一些实施例中,可以使用运营商私钥解密由运营商公钥加密的运营商凭证,或者对运营商凭证进行完整性保护等。
安全处理后的运营商凭证可以直接由第二网元返回给第一网元,或者,可以将安全处理后的运营商凭证返回给第三网元,由第三网元再次通过第二网元、第一网元以及PEGC返回给PINE。
总之,安全处理后的运营商凭证会返回给第一网元。
在一些实施例中,如图11所示,S4120可包括:
S4121:根据所述第三请求携带的运营商公钥的公钥标识确定所述运营商私钥;
S4122:使用所述运营商私钥解密所述第三请求携带的加密信息,得到第一随机数和第一时间戳;
S4123:根据所述第一随机数和第一时间戳,确定加密信息是否有受到重放攻击;
S4124:当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证。
PINE预先配置的运营商公钥和第二网元存储的运营商私钥为非对称加密的密钥对。
在第三请求携带有运营商公钥的公钥标识查询密钥对的信息,将得到运营商私钥。
利用运营商私钥解密第三请求携带的加密信息,该加密信息可至少包括:PINE的随机数和第一时间戳。加密信息被解密之后将得到PINE提供的随机数和第一时间戳。
在一些实施例中,在第二网元解密加密信息得到第一随机数和第一时间戳之后,根据第一随机数和第一时间戳的组合,确定是否第二网元曾经接收过的加密信息,若第二网元曾经接收过该加密信息,可认为加密信息有受到重放攻击。
在另一些实施例中,第二网元还可以根据第一时间戳指示的第一随机数产生时刻与接收到第三请求的接收时刻之间的时间差,确定所述加密信息是否受到重放攻击。例如,时间差过大或过小,则加密信息都有可能受到了重放攻击。
以上仅仅是对加密信息是否受到重放攻击的举例,具体实现不局限于上述举例。
在一些实施例中,所述加密信息还包括:第二随机数;所述第三请求还包括消息验证码,所述方法还包括:
根据所述消息验证码以及所述第二随机数对所述加密信息、所述公钥标识、完整性保护算法标识以及所述PINE的标识的消息进行完整性保护验证;
所述当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证,包括:
当所述加密信息未收到重放攻击且所述完整性保护验证通过时,确定给所述PINE配置运营商凭证。
在一些实施例中,所述加密信息、完整性保护算法标识、公钥标识和所述PINE的标识可能被完整性保护了,若被完整性保护了,则该加密信息还包括加密的第二随机数,且该第三请求还会包括PINE生成的消息验证码,则第二网元还会从第三请求中获取到消息验证码。若成功从第三请求中获取到消息验证码,第二网元会使用解密得到的第二随机数对加密信息、公钥标识、完整性保护算法标识和所述PINE的标识进行完整性保护验证,将得到本地生成的消息验证码。比对接收的消息验证码和本地生成的消息验证码,若两者一致,则认为第一请求的完整性保护验证通过,第一请求的完整性得到保护,否则可认为第一请求在传输过程中被篡改了。
在本公开实施例中,利用PINE生成的第二随机数进行完整性保护验证。使用预设长度的字符串进行数字签名。该预设长度可为任意PINE和网元均知晓的长度。该字符串可以是基于第二随机数确定的。
示例性地,假设预设长度为128比特,则PINE可以执行如下操作之一:
若PINE生成的第二随机数超过128比特,则使用低128比特或者高128比特对所述加密信息、完整性保护算法标识、公钥标识以及PINE的标识进行完整性保护验证,会得到本地生成的消息验证码。
若PINE生成的第二随机数等于128比特,则使用整个随机数对所述加密信息、公钥标识、完 整性保护算法标识、以及PINE的标识进行完整性保护验证,会得到本地生成的消息验证码。
若PINE生成的第二随机数小于128比特,则使用2个或2个以上的第二随机数拼接得到128比特的字符串,然后使用拼接的字符串对所述加密信息、完整性保护算法标识、公钥标识以及PINE的标识进行完整性保护验证,会得到本地生成的消息验证码。
故在一些实施例中,所述加密信息还包括:第二随机数;所述第三请求还包括消息验证码,所述方法还包括:
根据所述消息验证码以及所述第二随机数对所述加密信息、所述公钥标识、完整性保护算法标识以及所述PINE的标识的消息进行完整性保护验证;
所述当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证,包括:
当所述加密信息未收到重放攻击且所述完整性保护验证通过时,确定给所述PINE配置运营商凭证。
通过完整性保护验证,可以进一步提升运营商凭证的配置安全性。
示例性地,当第二网元从第三请求中获取消息验证码失败,则认为PINE没有预先配置完整性保护算法,则不进行完整性保护验证,可以在确定加密信息未收到重放攻击时,就确定给所述PINE配置运营商凭证。
在一些实施例中,所述S4150可包括:
根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证;
使用所述运营商私钥对所述加密凭证以及所述加密凭证产生的第二时间戳进行签名,得到数字签名。
从第三网元接收到明文的运营商凭证。将第一随机数作为加密密钥,按照约定的机密性算法加密所述运营商凭证以得到加密凭证。所述机密性算法可由协议约定。
在本公开实施例中,PINE提供的随机数,一方面可以用于验证加密信息是否有受到重放攻击,另一方面可以充当密钥加密运营商凭证,从而实现了一个信息的双重用途。
进一步地,使用运营商私钥对加密凭证以及所述加密凭证的第二时间戳进行数字签名。具体可为,使用运营商私钥、所述加密凭证自身以及第二时间戳作为输入参数,生成进行签名验证的数字签名。
在第二网元仅有一个运营商私钥的情况下,同时对运营商凭证进行了机密性保护和完整性保护。
在一些实施例中,所述根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证,包括:
将所述第一随机数与所述运营商凭证进行按位异或,得到所述加密凭证。
在一种情况下,当第一随机数的二进制比特位数和运营商凭证的二进制比特位数长度相等,则直接进行按位异或。
在另一种情况下,第一随机数的二进制位数比运营商凭证的二进制位数多,则将第一随机数的 二进制字符串的高S位或者低S位与运营商凭证按位异或。其中,S为运营商凭证的二进制位数。
在还有一种情况下,第一随机数的二进制位数比运营商凭证的二进制位数少,则可以重复拼接随机数的二进制位数,直至得到长度等于或大于S位的拼接二进制字符串。若拼接二进制字符串大于S,则可以取高S位或者低S位与运营商凭证按位异或。
在本公开实施例中,使用第一随机数与运营商凭证的按位异或,实现对运营商凭证的加密。在具体的实现过程中,不局限于上述举例。
在一些实施例中,所述方法还包括:
当所述加密信息受到重放攻击时,停止所述PINE的运营商凭证配置;
和/或,
当未通过完整性保护验证时,停止所述PINE的运营商凭证配置。
在本公开实施例中,若来自PINE的加密信息等未通过重放攻击验证和/或完整性报验验证通过,都确定不进行运营商凭证的配置,从而提升了运营商凭证的配置安全性。
在一些实施例中,所述方法还包括:
将所述安全处理后的运营商凭证发送给所述第三网元;
所述将处理后的运营商凭证携带在所述第四响应发送给所述第二网元,包括:
接收所述第三网元基于所述安全处理后的运营商凭证提供的配置结果;
将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
所述将所述安全处理后的运营商凭证发送给所述第三网元,可包括:
将使用运营商私钥签名加密凭证、第二时间戳得到的数字签名,并将数字签名、加密凭证以及第二时间戳发送给第三网元。
在数字签名、加密凭证以及第二时间戳被发送给第三网元之后,会接收第三网元返回的配置结果。第二网元将该配置结果包含在第三响应中返回给第一网元。
在一些实施例中,该配置结果可包括:数字签名、加密凭证、第二时间戳、PEGC的标识和PINE的标识。
在另一些实施例中,该配置结果可包括:数字签名、加密凭证、第二时间戳、PEGC的标识、PINE标识以及凭证响应指示符等。该凭证响应指示符可用于指示PINE在正确接收到运营商凭证之后返回第一接收确认值。
在另一个实施例中,第二网元生成所述数字签名之后,不会向第三网元返回数字签名、加密凭证以及第二时间戳的情况下,直接将所述数字签名、加密凭证以及第二时间戳携带在的第三响应返回给第一网元。若需要PINE在正确接收到运营商凭证的第一接收确认值,则第二网元向第一网元发送数字签名的同时,还会向第一网元发送凭证响应指示符。在一些实施例中,该凭证响应指示符又可以称之为:凭证接收指示符。
在一些实施例中,将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元在一些实施例中,所述方法还包括:
生成第二接收确认值;
接收所述第一网元发送的第一接收确认值;
当所述第二接收确认值与所述第一接收确认值相同时,确定所述PINE正确接收所述运营商凭证;
向所述第三网元发送所述运营商凭证被正确接收的通知。
在一些实施例中,所述第二网元不仅会生成数字签名、加密凭证以及第二时间戳,还会生成第二接收确认值,如此从PINE接收到第一接收确认值之后,会将两者比较以确定PINE是否正确接收到运营商凭证,若确定PINE正确接收到运营商凭证则会向第三网元发送对应的通知,该通知指示运营商凭证的配置结果。否则不向第三网元发送指示所述运营商凭证被正确接收的通知,或者,发送指示运营商凭证未被正确接收的通知。
在该实施例中,第二接收确认值不用传输到第三网元,而第二接收确认值和第一接收确认值的比对是由第二网元执行的,从而缩短了PINE的运营商凭证的配置流程,提升了配置效率。
值得注意的是:该由第二网元进行第一接收确认值和第二接收确认值进行比对的方案,第二网元生成数字签名、加密凭证以及第二时间戳之后,在不将数字签名、加密凭证以及第二时间戳返回给第三网元的情况下,直接将数字签名包含在第三响应中返回给第一网元。
在另一个实施例中,所述方法还包括:
生成第二接收确认值,并将所述第二接收值随所述安全处理后的运营商凭证提供给所述第三网元;
接收第一网元发送的第一接收确认值;
将所述第一接收确认值发送给所述第三网元,其中,所述第一接收确认值,用于供所述第三网元与所述第二接收确认值确定所述PINE是否正确接收所述运营商凭证。
不同于前一个实施例,在该实施例中第二网元会将自身生成的第二接收确认值返回给第三网元,而PINE提供的第一接收确认值也将传递给第三网元,由第三网元进行第一接收确认值和第二接收确认值的比对,以确定所述PINE是否正确接收到运营商凭证。
在一些实施例中,第二网元在接收所述第一接收确认值时,还会接收到凭证确认指示符,该凭证确认指示符。
在一些实施例中,所述生成第二接收确认值,包括:
根据所述运营商公钥、所述运营商凭证以及所述PINE的标识,生成所述第二接收确认值。
第一接收确认值和第二接收确认值的生成方式有很多种,以上是一种具体的举例,具体实现不局限于上述举例,其他方式可以参见前述实施例对应部分,此处就不再重复了。
如图12所示,本公开实施例提供一种信息处理方法,其中,由第三网元执行,所述方法还包括:
S5110:接收第二网元的第四请求;
S5120:根据所述第四请求为PINE配置运营商凭证;
S5130:将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于 与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
该第三网元同样可为核心网的网元,包括但不限于UDM。
所述PINE可至少预先配置有运营商公钥的设备;或者,该PINE可是是未配置缺省凭证且预先配置有运营商公钥的设备。
从第二网元接收第四请求,接收到第四请求之后为PINE配置运营商凭证。该运营商凭证配置完成之后,会返回给第二网元,由第二网元进行安全处理。
该安全处理包括但不限于:加密性保护和/或完整性保护和/或重复攻击保护处理。
如此,发放给PINE的运营商凭证至少是使用了运营商私有进行安全性保护的,实现了运营商凭证的安全发放。
在一些实施例中,所述方法还包括:
接收所述第二网元返回的安全处理后的运营商凭证;
生成包括所述安全处理后的运营商凭证的配置结果;
将所述配置结果发送给所述第三网元。
所述接收所述第二网元返回的安全处理后的运营商凭证,包括:接收第二网元返回的加密凭证;或接收第二网元发送的加密凭证、数字签名以及第二时间戳。
在一些实施例中,第三网元想要PINE返回指示正确接收到运营商凭证的第一接收确认值,则会将凭证响应指示符添加到数字签名、加密凭证以及第二时间戳,组成所述配置结果。然后再将配置结果返回给第二网元,供第二网元发放给PINE。
若安全处理后的运营商凭证不返回给第三网元,且第三网元需要PINE返回指示正确接收到运营商凭证的第一接收确认值,则第三网元会将凭证响应指示符和明文的运营商凭证一同提供给第二网元,如此,后续第二网元在生成加密凭证、第二时间戳以及数字签名之后,会将凭证响应指示符、加密凭证、第二时间戳以及数字签名一同携带在第三响应中返回给第一网元,最终发放给PINE。
在一些实施例中,所述方法还包括:
接收所述第二网元生成的第二接收确认值;
接收所述PINE生成的第一接收确认值;
当所述第一接收确认值和所述第二接收确认值相同时,确定所述PINE正确接收所述运营商凭证。
若PINE返回第一接收确认值,且由第三网元进行接收验证,则第三网元会在第二网元生成第二接收确认值之后,先从第二网元接收第二接收确认值,且在PINE返回第一接收确认值时,将本地存储第二接收确认值与第一接收确认值进行比较,确定PINE是否有正确接收到运营商凭证。
在另一个实施例中,若第一接收确认值和第二接收确认值的比较是由第二网元执行的,则第三网元执行的信息处理方法还包括:接收所述第二网元发送的运营商凭证正确接收通知。
此时,第三网元接收到通知,则认为定PINE正确接收了第三网元配置的运营商凭证,否则认为PINE没有正确接收到运营商凭证。
在一些实施例中,所述方法还包括:
在为所述PINE配置运营商凭证之前,验证所述PINE连接的PEGC是否合法;
所述根据所述第四请求为PINE配置运营商凭证,包括:
当所述PEGC合法时,根据所述第四请求为PINE配置运营商凭证。
所述第四请求至少携带有PEGC的标识,该第三网元可根据该PEGC的标识确定PINE连接的PEGC是否合法,若合法继续为该PINE配置运营商凭证,否则不为该PINE配置运营商凭证。
假设PINE与PEGC建立了一个安全的非3GPP连接。
假设PINE预先配置了运营商的公钥,而不是由第三方AAA服务器提供的默认凭证。该运营商的公钥即为前述运营商公钥,由运营商配置的公钥。
PEGC已经注册到5G核心网(5GC)。PEGC和AMF之间的连接受到非接入层(NAS)安全性的保护。参考图13所示,本公开实施例提供一种信息处理方法,可包括:
0.PINE通过非3GPP连接安全地连接到PEGC。
1.PINE向PEGC发送凭证配置请求,该请求携带有PINE的标识、加密的随机数和第一时间戳和公钥标识。例如,PINE将申请运营商凭证的请求发送给PEGC。具体来说,PINE首先生成一个预定长度(例如256位)的随机数。然后PINE使用预先配置的运营商公钥加密的随机数和第一时间戳(timestamp p1)。该请求包括加密单元、PINE的标识符和运营商公钥的公钥标识。该第一时间戳可为PINE的加密时间戳和/随机数的生成时间戳。该加密单元可至少包括:使用运营商公钥加密后的随机数和第一时间戳。该PINE的设备标识包括但不限于:PINE的国际移动设备标识(IMEI)和/或MAC地址。
2.在收到该请求后,PEGC将该请求通过NAS消息发送给AMF。该NAS消息可包括:凭证配置指示符、PINE的标识、加密的随机数和第一时间戳、公钥标识以及PEGC的标识。该凭证配置指示符,用于指示PINE申请配置运营商凭证。PEGC的标识包括但不限于PEGC的SUCI和/或SUPI。
3.AMF通过凭证配置请求服务操作,向AUSF发送凭证配置指示符、PINE设备标识、加密的随机数、加密的第一时间戳(timestamp p1)、运营商公钥的公钥标识、PEGC的SUCI。凭证发放服务操作可以是新定义的操作,也可以重用现有的Nausf_UEAU_Authenticate服务操作。
4.AUSF向UDM发送申请运营商凭证的请求。在向UDM发送请求之前,AUSF根据运营商公钥的公钥标识检索对应的操作员运营商私钥。然后,AUSF解密申请运营商凭证的请求中的加密单元。如果AUSF基于timestamp P1和随机数检测到重放攻击,它将终止证书发放过程。证书配置请求包括凭证配置指示符(凭证配置请求指示符)、PINE的标识、随机数和PEGC的SUCI。凭证发放服务操作可以是新定义的操作,也可以重用现有的Nudm_UEAU_Get响应操作。
5.UDM的凭证配置鉴权,具体地如,UDM根据PEGC的SUCI验证PEGC是否是一个合法的网关。UDM根据PEGC的签约信息,确定PEGC是否是被授权请求运营商凭证的合法网关。如果PEGC是被授权的合法网关,则UDM启动PINE生成运营商凭证的生成,否则UDM终止PINE的运营商凭证的配置。
6.UDM的凭证配置,具体地如,UDM为PINE生成运营商凭证。UDM存储运营商凭证、PEGC的SUCI和PINE的设备标识。
7.UDM向AUSF发送凭证提供响应消息,该消息可包括:凭证保护指示符、凭证确认指示符、PINE的标识、随机数以及PEGC的SUCI。凭证保护请求包括凭证保护指示符,如此AUSF接收到UDM提供的运营商凭证,对运营商凭证进行安全保护。
凭证保护请求可以通过新定义的服务操作或重用现有的Nudm_UEAU_Get服务操作来传递。凭证保护请求可指示请求AUSF进行运营商凭证的安全保护。凭证确认指示符一方面指示AUSF生成与PINE的第一接收确认值比对的第二接收确认值,另一方面该凭证确认指示符发送给PINE,用于指示PINE在正确接收到运营商凭证时返回第一接收确认值。
8.向UDM提供Nudm-UEAU-Get请求,包括:凭证保护响应指示符、PINE的标识、【凭证验证消息,即第二接收确认值】、数字签名(该数字签名为前述数字签名)、加密凭证和第二时间戳以及PEGC的SUCI。凭证保护响应指示符,可指示AUSF对运营商凭证提供了安全保护。
具体地,当凭证确认指示符指示UDM需要PINE的凭证确认时,AUSF使用运营商公钥对加密凭证和PINE的标识进行加密,构造凭证验证消息(即前述第二接收确认值)。
将等于运营商凭证长度的随机数的部分或者全部,与运营商凭证进行异或,得到加密凭证。例如,随机数的长度大于运营商凭证的长度时,将随机数的低len(运营上凭证)位与运营商凭证异或。len(运营上凭证)代表运营商凭证的长度。
AUSF利用运营商私钥为加密凭证和timestamp2生成数字签名。AUSF将凭证保护响应发送给UDM。凭证保护响应包括新生成的数字签名、凭证保护响应指示符、PINE的设备标识、timestamp p2、加密的凭证和PEGC的SUPI。凭证保护响应指示符,指示AUSF已经对运营商凭证进行了安全处理。
如果UDM需要来自PINE的凭证确认信息(即第一接收确认值),则凭证保护响应还包括凭证验证消息。凭证保护响应可以通过新定义的服务操作或重用现有的Nudm_UEAU_Get服务操作来传递。
9.UDM将凭证提供响应发送给AUSF。凭证提供响应包括凭证提供响应指示符、凭证确认指示符、PINE的设备标识、加密凭证、第二时间戳(timestamp p2)、数字签名和PEGC的SUCI。凭证发放响应可以通过新定义的服务操作或现有的Nudm_UEAU_Get服务操作来传递。
供应响应指示符,指示有为PINE配置运营商凭证,要求PINE正确接收到运营商凭证之后返回接收确认值。
10.AUSF将凭证配置响应发送给AMF。凭证配置响应包括:凭证配置响应指示符、凭证确认指示符、PINE的设备标识、加密凭证、第二时间戳(timestamp p2)、数字签名。凭证配置响应可以通过新定义的服务操作或现有的Nudm_UEAU_Get服务操作来传递。凭证配置响应指示符,用于指示该消息是响应申请运营商凭证的请求。
11.AMF将凭证配置响应发送给PEGC。
12.PEGC将凭证配置响应发送到PINE。
13.在PINE收到凭证配置响应后,PINE验证该响应。具体如,PINE先使用运营商公钥验证数字签名。若根据数字签名的验证结果,确定该凭证配置响应被篡改,则终止该运营商凭证的配置流程,否则PINE将根据第二时间戳验证该凭证配置响应是否受到了重放攻击。如果该凭证配置响应没有受到重放攻击,则PINE通过将随机数与加密凭证的异或得到明文的运营商凭证。若受到重放攻击则终止流程。
14.凭证确认指示符指示需要PINE向UEM返回凭证接收正确的第一接收确认值(或称凭证验证消息),则PINE会根据PINE的标识和明文的运营商凭证生成所述第一接收确认值。
15.PEGC发送凭证去人指示符、PINE的标识以及第一接收确认值给AMF。
16.AMF供PEGC的标识(例如,SUCI)、凭证确认指示符、PINE的标识以及第一接收确认值(即凭证确认信息)给对应UDM。凭证确认信息可以使用新定义的操作或者已有的Nudm_SDM_Info服务操作。
17.凭证确认消息验证,UDM一旦接收到凭证确认信息,则UDM会比较本地存储的第二接收确认值和第一接收确认值,验证运营商凭证是否被正确接收到。如果两者一致,则确定运营商凭证配置成功,否则配置失败。
假设PINE与PEGC建立了一个安全的非3GPP连接。假设PINE预先配置了运营商公钥,而不是由第三方AAA服务器生成的默认凭证。PEGC已经注册到5GC。PEGC和AMF之间的连接受到NAS安全性的保护。
如图14所示,本公开实施例提供一种信息处理方法可包括:
0.PINE通过非3GPP连接安全地连接到PEGC。
1.PINE将申请运营商凭证的请求发送给PEGC。具体来说,PINE首先生成一个预定长度(256位)的随机数。然后PINE使用预先配置的运营商公钥构造加密的随机数和加密的第一时间戳(timestamp p1)。该请求包括:加密单元、PINE的设备标识和运营商公钥的公钥标识。
2.在收到该请求后,PEGC将该请求通过NAS消息发送给AMF。
3.AMF通过凭证配置请求服务操作,向AUSF发送凭证配置指示符、PINE设备标识、加密的随机数、加密的第一事件戳(timestamp p1)、运营商公钥的公钥标识、PEGC的SUCI。凭证配置请求服务操作可以是新定义的操作,也可以重用现有的Nausf_UEAU_Authenticate服务操作。
4.AUSF向UDM发送申请运营商凭证的请求。在向UDM发送请求之前,AUSF根据运营商公钥的公钥标识检索对应的运营商私钥。然后,AUSF使用该运营商私钥解密申请运营商凭证的请求中的加密单元。如果AUSF基于该请求携带的第一时间戳(timestamp)和随机数,进行重放攻击检测。若检测到该请求受到了重放攻击,则AUSF终止凭证发放过程。该请求包括:凭证配置指示符、PINE的设备标识、随机数和PEGC的SUCI。AUSF执行该请求涉及凭证发放服务操作可以是新定义的操作,也可以重用现有的Nudm_UEAU_Get服务操作。
5.根据PEGC的SUCI,UDM首先验证PEGC是否是一个合法的网关。例如,根据PEGC的 签约信息,验证所述PEGC是否有权限申请运营商凭证的网关。如果PEGC被授权作为申请运营商凭证的网关,则PEGC通过合法性验证,UDM就启动PINE的运营商凭证配置,否则,UDM将终止凭证配置过程。
6.UDM为PINE生成运营商凭证。UDM存储运营商凭证、PEGC的SUCI和PINE的设备标识。
7.UDM向AUSF发送凭证提供响应消息。凭证提供响应消息包含凭证保护请求。凭证保护请求包括:凭证保护指示符、凭证确认指示符、PINE的设备标识、运营商凭证、PEGC的SUPI。凭证保护请求可以通过新定义的服务操作或重用现有的Nudm_UEAU_Get服务操作来传递。
8.当凭证确认指示符指示UDM需要PINE运营商接收确认时,
AUSF使用运营商公钥对加密凭证和PINE的标识进行加密,构造凭证验证消息(即前述第二接收确认值)。
将等于运营商凭证长度的随机数的部分或者全部,与运营商凭证进行异或,得到加密凭证。例如,随机数的长度大于运营商凭证的长度时,将随机数的低len(运营上凭证)位与运营商凭证异或。len(运营上凭证)代表运营商凭证的长度。
AUSF利用运营商私钥为加密凭证和timestamp2生成数字签名。AUSF将凭证保护响应发送给UDM。凭证保护响应包括新生成的数字签名、凭证保护响应指示符、PINE的设备标识、timestamp p2、加密的凭证和PEGC的SUPI。凭证保护响应指示符,指示AUSF已经对运营商凭证进行了安全处理。
如果UDM需要来自PINE的凭证确认信息(即第一接收确认值),则凭证保护响应还包括凭证验证消息。凭证保护响应可以通过新定义的服务操作或重用现有的Nudm_UEAU_Get服务操作来传递。
9.AMF通过NAS消息将凭证提供响应发送给PEGC。
10.PEGC将凭证提供响应发送到PINE。
11.在收到凭证提供响应后,PINE验证该凭证提供响应。
具体来说,PINE首先利用运营商公钥来验证响应的签名,实现完整性保护验证。在完整性保护验证时,发现该凭证提供响应被篡改,PINE将终止凭证配置过程。否则,PINE检查根据第二时间戳确定该凭证提供响应是否受到重放攻击。如果凭证提供响应没有受到重放攻击,PINE使用本地随机数对加密的凭证进行异或处理,从而实现加密凭证的解密得到明文的运营商凭证,否则,PINE终止程序。
12.如果凭证发放响应指示符指示UDM需要PINE的凭证确认消息,PINE将凭证确认消息、凭证确认指示符、PINE的设备标识发送给PEGC。凭证确认消息包括:由运营商公钥加密的明文的运营商凭证和设备标识符得到。
13.PEGC向AMF发送凭证确认消息、凭证确认指示符以及PINE的设备标识。
14.AMF将PEGC提供的凭证确认消息转发给AUSF,AMF发送的该凭证确认消息包括:PEGC 的SUCI、凭证确认消息、凭证确认指示符、PINE的设备标识发送到相应的AUSF。该消息可以通过新定义的服务操作来传递,消息可以通过新定义的服务操作或Nausf_UEAU_Authenticate服务操作传递。
15.在接收到凭证确认消息后,AUSF将本地存储的凭证确认消息与凭证确认消息进行比较。如果两者不相同,AUSF认为PINE的运营商凭证配置错误,否则,AUSF认为PINE的运营商凭证配置正确。
16.AUSF通知UDM凭证配置结果。
如图14所示,本公开实施例提供一种信息处理装置,其中,所述装置包括:
第一发送模块110,被配置为基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;
第二接收模块120,被配置为接收基于所述第一请求返回的第一响应;
第一获取模块130,被配置为基于所述运营商公钥获取所述第一响应携带的运营商凭证。
该信息处理装置可包含在PINE中。
在一些实施例中,第一发送模块110、第二接收模块120以及第一获取模块130可为程序模块;所述程序模块被处理器执行之后,能够实现前述任意操作。
在另一些实施例中,第一发送模块110、第二接收模块120以及第一获取模块130可为软硬结合模块;该软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,第一发送模块110、第二接收模块120以及第一获取模块130可为纯硬件模块;所述纯硬件模块包括但不限于专用集成电路。
在一些实施例中,所述第一发送模块110,被配置为使用预先配置的运营商公钥加密第一随机数和第一时间戳得到加密信息;根据所述加密信息、所述运营商公钥的公钥标识和所述PINE的标识,向所述PEGC发送第一请求。
在一些实施例中,所述加密信息还包括:使用所述运营商公钥加密的第二随机数;
所述第一获取模块130,具体可配置为使用所述第二随机数对所述加密信息、所述运营商公钥的公钥标识、完整性保护算法标识和所述PINE的标识完整性保护,生成消息验证码;根据所述加密信息、所述运营商公钥的公钥标识、所述PINE的标识和所述消息验证码,向所述PEGC发送第一请求。
所述第一获取模块130,被配置为基于所述运营商公钥对所述第一响应进行签名验证;在所述第一响应通过签名验证之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证,其中,携带有加密凭证的所述第一响应,是在所述加密信息被成功解密且根据所述第一随机数和所述第一时间戳验证所述加密信息未受到重放攻击之后返回的。
在一些实施例中,所述第一响应还包括:第二时间戳;所述方法还包括:
第一确定模块,被配置为根据所述第二时间戳,确定所述第一响应是否受到重放攻击;
所述第一获取模块130,被配置为当所述第一响应通过所述签名验证且确定所述第一响应未受到重放攻击时,使用所述第一随机数解密所述加密凭证,得到所述PINE的运营商凭证。
在一些实施例中,所述装置还包括:
第一生成模块,被配置为当所述第一响应包含凭证确认指示符且正确接收所述运营商凭证时,使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值;
所述第一发送模块110,被配置为将所述第一接收确认值发送给所述PEGC。
在一些实施例中,所述第一生成模块,被配置为根据所述运营商公钥、所述运营商凭证以及PINE的标识生成第一接收确认值。
在一些实施例中,所述第一发送模块110,被配置为将所述第一接收确认值和凭证确认指示符发送给所述PEGC。
在一些实施例中,所述第一请求包括:
所述运营商公钥的公钥标识;
所述PINE的标识。
如图16所示,本公开实施例提供一种信息处理装置,其中,由PEGC执行,所述装置包括:
第二接收模块210,被配置为接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;
第二发送模块220,被配置为根据所述第一请求,向第一网元发送第二请求;
所述第二发送模块220,还被配置为接收所述第一网元基于第二请求返回的第二响应;
所述第二发送模块220,还被配置为将所述第二响应,向所述PINE发送第一响应。
该信息处理装置可包含在PEGC中。
在一些实施例中,第二接收模块210以及第二发送模块220可为程序模块;所述程序模块被处理器执行之后,能够实现前述任意操作。
在另一些实施例中,第二接收模块210以及第二发送模块220可为软硬结合模块;该软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,第二接收模块210以及第二发送模块220可为纯硬件模块;所述纯硬件模块包括但不限于专用集成电路。
在一些实施例中,所述第二请求包括所述第一请求的内容,且还包括以下至少之一:
凭证配置指示符,指示申请运营商凭证;
所述PEGC的标识,其中,所述PEGC的标识,用于验证所述PEGC是否合法。
在一些实施例中,所述第二接收模块210,还被配置为接收第一接收确认值;其中,所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证以及所述PINE的标识生成的;
所述第二接收模块210,还被配置为将所述第一接收确认值发送给所述第一网元。
如图17所示,本公开实施例提供一种信息处理装置,其中,所述装置包括:
第三接收模块310,被配置为接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;
第三发送模块320,被配置为根据所述第二请求,向第二网元发送第三请求;
所述第三接收模块310,被配置为接收基于第三请求返回的第三响应;
所述第三发送模块320,被配置为根据所述第三响应,向所述PEGC发送第二响应。
该信息处理装置可包括在第一网元,该第一网元包括但不限于AMF。
在一些实施例中,第三接收模块310以及第三发送模块320可为程序模块;所述程序模块被处理器执行之后,能够实现前述任意操作。
在另一些实施例中,第三接收模块310以及第三发送模块320可为软硬结合模块;该软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,第三接收模块310以及第三发送模块320可为纯硬件模块;所述纯硬件模块包括但不限于专用集成电路。
在一些实施例中,所述第三接收模块310,被配置为接收所述PEGC发送的第一接收确认值;所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证和PINE的标识生成的;
所述第三发送模块320,被配置为将所述第一接收确认值发送给所述第三网元。
如图18所示,本公开实施例提供一种信息处理方法,其中,所述装置包括:第四接收模块410、第四发送模块420、第二确定模块430以及第二获取模块440;
所述第四接收模块410,被配置为接收第三请求;
所述第二确定模块430,被配置为基于使用运营商私钥处理所述第三请求的结果,确定是否给PINE配置运营商凭证;
所述第四发送模块420,被配置为当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;
所述第四接收模块410,还被配置为接收第四请求返回的运营商凭证;
所述第二获取模块440,被配置为使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;
所述第四发送模块420,还被配置为将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
该信息处理装置可包括在第二网元,该第一网元包括但不限于AUSF。
在一些实施例中,第四接收模块410、第四发送模块420、第二确定模块430以及第二获取模块440可为程序模块;所述程序模块被处理器执行之后,能够实现前述任意操作。
在另一些实施例中,第四接收模块410、第四发送模块420、第二确定模块430以及第二获取模 块440可为软硬结合模块;该软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,第四接收模块410、第四发送模块420、第二确定模块430以及第二获取模块440可为纯硬件模块;所述纯硬件模块包括但不限于专用集成电路。
在一些实施例中,所述第二确定模块430,被配置为根据所述第三请求携带的所述运营商公钥的公钥标识确定所述运营商私钥;
使用所述运营商私钥解密所述第三请求携带的加密信息;
根据所述加密信息携带的第一随机数和第一时间戳,确定所述加密信息是否有受到重放攻击;
当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证。
在一些实施例中,所述加密信息还包括:第二随机数;所述第三请求还包括消息验证码,所述装置还包括:
验证模块,被配置为根据所述消息验证码以及所述第二随机数对所述加密信息、所述公钥标识、完整性保护算法标识以及所述PINE的标识的消息进行完整性保护验证;
所述第二确定模块420,被配置为当所述加密信息未收到重放攻击且所述完整性保护验证通过时,确定给所述PINE配置运营商凭证。
在一些实施例中,所述第二获取模块440,被配置为根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证;
使用所述运营商私钥对所述加密凭证以及所述加密凭证产生的第二时间戳进行签名,得到数字签名。
在一些实施例中,所述第二获取模块440,被配置为将所述第一随机数与所述运营商凭证进行按位异或,得到所述加密凭证。
在一些实施例中,所述装置还包括:
停止模块,被配置为当所述加密信息受到重放攻击时,停止所述PINE的运营商凭证配置;和/或,当未通过完整性保护验证时,停止所述PINE的运营商凭证配置。
在一些实施例中,所述第四发送模块420,被配置为将所述安全处理后的运营商凭证发送给所述第三网元;
所述第四接收模块410,还被配置为接收所述第三网元基于所述安全处理后的运营商凭证提供的配置结果;
所述第四发送模块420,还被配置为向所述第一网元发送包含所述配置结果的第三响应。
在一些实施例中,所述第四发送模块420,被配置为在生成所述安全处理后的运营商凭证之后,向所述第一网元发送包含所述安全处理后的运营商凭证的第三响应。
在一些实施例中,所述装置还包括:
第二生成模块,被配置为生成第二接收确认值;
所述第四接收模块410,被配置为接收所述第一网元发送的第一接收确认值;
所述装置还包括:
第三确认模块,被配置为当所述第二接收确认值与所述第一接收确认值相同时,确定所述PINE正确接收所述运营商凭证;
所述第四发送模块420,被配置为向所述第三网元发送所述运营商凭证被正确接收的通知。
在一些实施例中,所述装置还包括:
第二生成模块,被配置为生成第二接收确认值;
所述第四发送模块420,还被配置为将所述第二接收值随所述安全处理后的运营商凭证提供给所述第三网元;
所述第四接收模块410,被配置为接收第一网元发送的第一接收确认值;
所述第四发送模块420,被配置为将所述第一接收确认值发送给所述第三网元,其中,所述第一接收确认值,用于供所述第三网元与所述第二接收确认值确定所述PINE是否正确接收所述运营商凭证。
在一些实施例中,所述第二生成模块,被配置为根据所述运营商公钥、所述运营商凭证以及所述PINE的标识,生成所述第二接收确认值。
如图19所示,本公开实施例提供一种信息处理装置,其中,所述装置还包括:
第五接收模块510,被配置为接收第二网元的第四请求;
配置模块520,被配置为根据所述第四请求为PINE配置运营商凭证,其中,所述PINE是未配置缺省凭证且预先配置有运营商公钥的设备;
第五发送模块530,被配置为将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
该信息处理装置可包括在第三网元,该第三网元包括但不限于UDM。
在一些实施例中,第五接收模块510、配置模块520、第二确定模块以及第五发送模块530可为程序模块;所述程序模块被处理器执行之后,能够实现前述任意操作。
在另一些实施例中,第五接收模块510、配置模块520、第二确定模块以及第五发送模块530可为软硬结合模块;该软硬结合模块包括但不限于各种可编程阵列;所述可编程阵列包括但不限于:现场可编程阵列和/或复杂可编程阵列。
在还有一些实施例中,第五接收模块510、配置模块520、第二确定模块以及第五发送模块530可为纯硬件模块;所述纯硬件模块包括但不限于专用集成电路。
在一些实施例中,所述第五接收模块510,比配置为接收所述第二网元返回的安全处理后的运营商凭证;
所述装置还包括:
第三生成模块,被配置为生成包括所述安全处理后的运营商凭证的配置结果;
所述第五发送模块530,被配置为将所述配置结果发送给所述第二网元。
在一些实施例中,所述第五接收模块510,被配置为接收所述第二网元生成的第二接收确认值;
第五接收模块510,被配置为接收所述PINE生成的第一接收确认值;
所述装置,还包括:
第四确定模块,被配置为当所述第一接收确认值和所述第二接收确认值相同时,确定所述PINE正确接收所述运营商凭证。
在一些实施例中,所述第五接收模块510,被配置为接收所述第二网元发送的运营商凭证正确接收通知。
在一些实施例中,所述装置还包括:
验证模块,被配置为在为所述PINE配置运营商凭证之前,验证所述PINE连接的PEGC是否合法;
所述配置模块520,还被配置为当所述PEGC合法时,根据所述第四请求为PINE配置运营商凭证。
本公开实施例提供一种通信设备,包括:
用于存储处理器可执行指令的存储器;
处理器,分别存储器连接;
其中,处理器被配置为执行前述任意技术方案提供的信息处理方法。
处理器可包括各种类型的存储介质,该存储介质为非临时性计算机存储介质,在通信设备掉电之后能够继续记忆存储其上的信息。
这里,所述通信设备包括:PINE或者网元,该网元可为前述第一网元至第三网元中的任意一个。
所述处理器可以通过总线等与存储器连接,用于读取存储器上存储的可执行程序,例如,如图2至图14所示的方法的至少其中之一。
图20是根据一示例性实施例示出的一种通信设备800的框图。例如,通信设备800可以是前述PINE和/或PEGC,具体可为移动电话,计算机,数字广播用户设备,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图20,通信设备800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制通信设备800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以生成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在通信设备800的操作。这些数据的示例包括用于在通信设备800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随 机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为通信设备800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为通信设备800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述通信设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当通信设备800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当通信设备800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为通信设备800提供各个方面的状态评估。例如,传感器组件814可以检测到设备800的打开/关闭状态,组件的相对定位,例如所述组件为通信设备800的显示器和小键盘,传感器组件814还可以检测通信设备800或通信设备800一个组件的位置改变,用户与通信设备800接触的存在或不存在,通信设备800方位或加速/减速和通信设备800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于通信设备800和其他设备之间有线或无线方式的通信。通信设备800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,通信设备800可以被一个或多个应用专用集成电路(ASIC)、数字信号处 理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器804,上述指令可由通信设备800的处理器820执行以生成上述方法。例如,所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
如图21所示,本公开一实施例示出一种网元的结构。例如,网元900可以被提供为一网络侧设备。该网元可为前述第一网元、第二网元或第三网元。
参照图21,网元900包括处理组件922,其进一步包括一个或多个处理器,以及由存储器932所代表的存储器资源,用于存储可由处理组件922的执行的指令,例如应用程序。存储器932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件922被配置为执行指令,以执行上述方法前述应用在所述接入设备的任意方法,例如,如图2至图14任意一个所示方法。
网元900还可以包括一个电源组件926被配置为执行网元900的电源管理,一个有线或无线网络接口950被配置为将网元900连接到网络,和一个输入输出(I/O)接口958。网元900可以操作基于存储在存储器932的操作系统,例如Windows Server TM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本公开旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (60)
- 一种信息处理方法,其中,由个人物联网单元PINE执行,所述方法包括:基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;接收基于所述第一请求返回的第一响应;基于所述运营商公钥获取所述第一响应携带的运营商凭证。
- 根据权利要求1所述的方法,其中,所述基于预先配置的运营商公钥,向网元发送申请运营商凭证的第一请求,包括:使用预先配置的运营商公钥加密第一随机数和第一时间戳得到加密信息;根据所述加密信息、所述运营商公钥的公钥标识和所述PINE的标识,向所述PEGC发送第一请求。
- 根据权利要求2所述的方法,其中,所述加密信息还包括:使用所述运营商公钥加密的第二随机数;所述基于预先配置的运营商公钥,向网元发送申请运营商凭证的第一请求,包括:使用所述第二随机数对所述加密信息、所述运营商公钥的公钥标识、完整性保护算法标识和所述PINE的标识完整性保护,生成消息验证码;根据所述加密信息、所述运营商公钥的公钥标识、所述PINE的标识和所述消息验证码,向所述PEGC发送第一请求。
- 根据权利要求2或3所述的方法,其中,所述第一响应携带有数字签名;所述基于所述运营商公钥获取所述第一响应携带的运营商凭证,包括:基于所述运营商公钥以及所述数字签名,对所述第一响应进行签名验证;在所述第一响应通过签名验证之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证。
- 根据权利要求4所述的方法,其中,所述第一响应还包括:第二时间戳;所述方法还包括:根据所述第二时间戳,确定所述第一响应是否受到重放攻击;所述在所述第一响应通过签名验证之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证,包括:当所述第一响应通过所述签名验证且确定所述第一响应未受到重放攻击时,使用所述第一随机数解密所述加密凭证,得到所述PINE的运营商凭证。
- 根据权利要求1至5任一项所述的方法,其中,所述方法还包括:当所述第一响应包含凭证确认指示符且正确接收所述运营商凭证时,使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值;将所述第一接收确认值发送给所述PEGC。
- 根据权利要求5所述的方法,其中,所述使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值,包括:根据所述运营商公钥、所述运营商凭证以及PINE的标识生成第一接收确认值。
- 根据权利要求6或7所述的方法,其中,所述将所述第一接收确认值发送给所述PEGC,包括:将所述第一接收确认值和凭证确认指示符发送给所述PEGC。
- 一种信息处理方法,其中,由PEGC执行,所述方法包括:接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述第一请求,用于申请运营商凭证;根据所述第一请求,向第一网元发送第二请求;接收所述第一网元基于第二请求返回的第二响应;将所述第二响应,向所述PINE发送第一响应。
- 根据权利要求9所述的方法,其中,所述第二请求包括所述第一请求的内容,且还包括以下至少之一:凭证配置指示符,指示申请运营商凭证;所述PEGC的标识,其中,所述PEGC的标识,用于验证所述PEGC是否合法。
- 根据权利要求8或9所述的方法,其中,所述方法还包括:接收第一接收确认值;其中,所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证以及所述PINE的标识生成的;将所述第一接收确认值发送给所述第一网元。
- 一种信息处理方法,其中,由第一网元执行,所述方法包括:接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;根据所述第二请求,向第二网元发送第三请求;接收基于第三请求返回的第三响应;根据所述第三响应,向所述PEGC发送第二响应。
- 根据权利要求12所述的方法,其中,所述方法还包括:接收所述PEGC发送的第一接收确认值;所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证和PINE的标识生成的;将所述第一接收确认值发送给所述第二网元。
- 一种信息处理方法,其中,由第二网元执行,所述方法包括:接收第三请求;基于使用运营商私钥处理所述第三请求的结果,确定是否给PINE配置运营商凭证;当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;接收第四请求返回的运营商凭证;使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
- 根据权利要求14所述的方法,其中,所述基于使用运营商私钥处理第三请求的结果,确定是否给PINE配置运营商凭证,包括:根据所述第三请求携带的所述运营商公钥的公钥标识确定所述运营商私钥;使用所述运营商私钥解密所述第三请求携带的加密信息得到第一随机数和第一时间戳;根据所述第一随机数和第一时间戳,确定所述加密信息是否有受到重放攻击;当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证。
- 根据权利要求15所述的方法,其中,所述加密信息还包括:第二随机数;所述第三请求还包括消息验证码,所述方法还包括:根据所述消息验证码以及所述第二随机数对所述加密信息、所述公钥标识、完整性保护算法标识以及所述PINE的标识的消息进行完整性保护验证;所述当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证,包括:当所述加密信息未收到重放攻击且所述完整性保护验证通过时,确定给所述PINE配置运营商凭证。
- 根据权利要求14至16任一项所述的方法,其中,所述使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证,包括:根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证;使用所述运营商私钥对所述加密凭证以及所述加密凭证产生的第二时间戳进行签名,得到数字签名。
- 根据权利要求17所述的方法,其中,所述根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证,包括:将所述第一随机数与所述运营商凭证进行按位异或,得到所述加密凭证。
- 根据权利要求16所述的方法,其中,所述方法还包括:当所述加密信息受到重放攻击时,停止所述PINE的运营商凭证配置;和/或,当未通过完整性保护验证时,停止所述PINE的运营商凭证配置。
- 根据权利要求14至19任一项所述的方法,其中,所述方法还包括:将所述安全处理后的运营商凭证发送给所述第三网元;所述将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元,包括:接收所述第三网元基于所述安全处理后的运营商凭证提供的配置结果;向所述第一网元发送包含所述配置结果的第三响应。
- 根据权利要求14至19任一项所述的方法,其中,所述将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元,包括:在生成所述安全处理后的运营商凭证之后,向所述第一网元发送包含所述安全处理后的运营商 凭证的第三响应。
- 根据权利要求14至21任一项所述的方法,其中,所述方法还包括:生成第二接收确认值;接收所述第一网元发送的第一接收确认值;当所述第二接收确认值与所述第一接收确认值相同时,确定所述PINE正确接收所述运营商凭证;向所述第三网元发送所述运营商凭证被正确接收的通知。
- 根据权利要求14至21任一项所述的方法,其中,所述方法还包括:生成第二接收确认值,并将所述第二接收值随所述安全处理后的运营商凭证提供给所述第三网元;接收第一网元发送的第一接收确认值;将所述第一接收确认值发送给所述第三网元,其中,所述第一接收确认值,用于供所述第三网元与所述第二接收确认值确定所述PINE是否正确接收所述运营商凭证。
- 根据权利要求22或23所述的方法,其中,所述生成第二接收确认值,包括:根据所述运营商公钥、所述运营商凭证以及所述PINE的标识,生成所述第二接收确认值。
- 一种信息处理方法,其中,由第三网元执行,所述方法还包括:接收第二网元的第四请求;根据所述第四请求为PINE配置运营商凭证,其中,所述PINE是未配置缺省凭证且预先配置有运营商公钥的设备;将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
- 根据权利要求25所述的方法,其中,所述方法还包括:接收所述第二网元返回的安全处理后的运营商凭证;生成包括所述安全处理后的运营商凭证的配置结果;将所述配置结果发送给所述第二网元。
- 根据权利要求25或26所述的方法,其中,所述方法还包括:接收所述第二网元生成的第二接收确认值;接收所述PINE生成的第一接收确认值;当所述第一接收确认值和所述第二接收确认值相同时,确定所述PINE正确接收所述运营商凭证。
- 根据权利要求25或26所述的方法,其中,所述方法还包括:接收所述第二网元发送的运营商凭证正确接收通知。
- 根据权利要求25至28任一项所述的方法,其中,所述方法还包括:在为所述PINE配置运营商凭证之前,验证所述PINE连接的PEGC是否合法;所述根据所述第四请求为PINE配置运营商凭证,包括:当所述PEGC合法时,根据所述第四请求为PINE配置运营商凭证。
- 一种信息处理装置,其中,所述装置包括:第一发送模块,被配置为基于预先配置的运营商公钥,向个人物联网网关PEGC发送申请运营商凭证的第一请求;第一接收模块,被配置为接收基于所述第一请求返回的第一响应;第一获取模块,被配置为基于所述运营商公钥获取所述第一响应携带的运营商凭证。
- 根据权利要求30所述的装置,其中,所述第一发送模块,被配置为使用预先配置的运营商公钥加密第一随机数和第一时间戳得到加密信息;根据所述加密信息、所述运营商公钥的公钥标识和所述PINE的标识,向所述PEGC发送第一请求。
- 根据权利要求31所述的装置,其中,所述第一获取模块,还被配置为使用所述第二随机数对所述加密信息、所述运营商公钥的公钥标识、完整性保护算法标识和所述PINE的标识完整性保护,生成消息验证码;根据所述加密信息、所述运营商公钥的公钥标识、所述PINE的标识和所述消息验证码,向所述PEGC发送第一请求。
- 根据权利要求31或32所述的装置,其中,所述第一响应携带有数字签名;所述第一获取模块,被配置为基于所述运营商公钥对所述第一响应进行签名验证;在所述第一响应通过签名验证之后,使用所述第一随机数解密所述第一响应携带的加密凭证得到所述运营商凭证,其中,携带有加密凭证的所述第一响应,是在所述加密信息被成功解密且根据所述第一随机数和所述第一时间戳验证所述加密信息未受到重放攻击之后返回的。
- 根据权利要求32或33所述的装置,其中,所述第一响应还包括:第二时间戳;所述方法还包括:第一确定模块,被配置为根据所述第二时间戳,确定所述第一响应是否受到重放攻击;所述第一获取模块,被配置为当所述第一响应通过所述签名验证且确定所述第一响应未受到重放攻击时,使用所述第一随机数解密所述加密凭证,得到所述PINE的运营商凭证。
- 根据权利要求30至34任一项所述的装置,其中,所述装置还包括:第一生成模块,被配置为当所述第一响应包含凭证确认指示符且正确接收所述运营商凭证时,使用所述运营商公钥生成指示所述运营商凭证被正确接收的第一接收确认值;所述第一发送模块,被配置为将所述第一接收确认值发送给所述PEGC。
- 根据权利要求35所述的装置,其中,所述第一生成模块,被配置为根据所述运营商公钥、所述运营商凭证以及PINE的标识生成第一接收确认值。
- 根据权利要求35或36所述的装置,其中,所述第一发送模块,被配置为将所述第一接收确认值和凭证确认指示符发送给所述PEGC。
- 一种信息处理装置,其中,所述装置包括:第二接收模块,被配置为接收PINE基于预先配置的运营商公钥发送的第一请求;其中,所述 第一请求,用于申请运营商凭证;第二发送模块,被配置为根据所述第一请求,向第一网元发送第二请求;所述第二发送模块,还被配置为接收所述第一网元基于第二请求返回的第二响应;所述第二发送模块,还被配置为将所述第二响应,向所述PINE发送第一响应。
- 根据权利要求38所述的装置,其中,所述第二请求包括所述第一请求的内容,且还包括以下至少之一:凭证配置指示符,指示申请运营商凭证;所述PEGC的标识,其中,所述PEGC的标识,用于验证所述PEGC是否合法。
- 根据权利要求38或39所述的装置,其中,所述第二接收模块,还被配置为接收第一接收确认值;其中,所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证以及所述PINE的标识生成的;所述第二接收模块,还被配置为将所述第一接收确认值发送给所述第一网元。
- 一种信息处理装置,其中,所述装置包括:第三接收模块,被配置为接收PEGC发送的第二请求,其中,所述第二请求是基于第一请求发送的;所述第一请求是PINE基于预先配置的运营商公钥发送且用于申请运营商凭证的请求;第三发送模块,被配置为根据所述第二请求,向第二网元发送第三请求;所述第三接收模块,被配置为接收基于第三请求返回的第三响应;所述第三发送模块,被配置为根据所述第三响应,向所述PEGC发送第二响应。
- 根据权利要求41所述的方法,其中,所述第三接收模块,被配置为接收所述PEGC发送的第一接收确认值;所述第一接收确认值是所述PINE正确接收到运营商凭证之后基于运营商公钥、加密凭证和PINE的标识生成的;所述第三发送模块,被配置为将所述第一接收确认值发送给所述第二网元。
- 一种信息处理方法,其中,所述装置包括:第四接收模块、第四发送模块、第二确定模块以及第二获取模块;所述第四接收模块,被配置为接收第三请求;所述第二确定模块,被配置为基于使用运营商私钥处理所述第三请求的结果,确定是否给PINE配置运营商凭证;所述第四发送模块,被配置为当确定给所述PINE配置运营商凭证时,向第三网元发送第四请求;所述第四接收模块,还被配置为接收第四请求返回的运营商凭证;所述第二获取模块,被配置为使用所述运营商私钥对所述运营商凭证进行安全处理,得到安全处理后的运营商凭证;所述第四发送模块,还被配置为将所述安全处理后的运营商凭证携带在所述第三响应发送给所述第一网元。
- 根据权利要求43所述的装置,其中,所述第二确定模块,被配置为根据所述第三请求携带的所述运营商公钥的公钥标识确定所述运营商私钥;使用所述运营商私钥解密所述第三请求携带的加密信息;根据所述加密信息携带的第一随机数和第一时间戳,确定所述加密信息是否有受到重放攻击;当所述加密信息未受到重放攻击时,确定给所述PINE配置运营商凭证。
- 根据权利要求14所述的装置,其中,所述加密信息还包括:第二随机数;所述第三请求还包括消息验证码,所述装置还包括:验证模块,被配置为根据所述消息验证码以及所述第二随机数对所述加密信息、所述公钥标识、完整性保护算法标识以及所述PINE的标识的消息进行完整性保护验证;所述第二确定模块,被配置为当所述加密信息未收到重放攻击且所述完整性保护验证通过时,确定给所述PINE配置运营商凭证。。
- 根据权利要求43至45任一项所述的方法,其中,所述第二获取模块,被配置为根据所述加密信息中包含的第一随机数加密所述运营商凭证,得到加密凭证;使用所述运营商私钥对所述加密凭证以及所述加密凭证产生的第二时间戳进行签名,得到数字签名。
- 根据权利要求46所述的装置,其中,所述第二获取模块,被配置为将所述第一随机数与所述运营商凭证进行按位异或,得到所述加密凭证。
- 根据权利要求44至47任一项所述的装置,其中,所述装置还包括:停止模块,被配置为当所述加密信息受到重放攻击时,停止所述PINE的运营商凭证配置;和/或,当未通过完整性保护验证时,停止所述PINE的运营商凭证配置。
- 根据权利要求43至48任一项所述的装置,其中,所述第四发送模块,被配置为将所述安全处理后的运营商凭证发送给所述第三网元;所述第四接收模块,还被配置为接收所述第三网元基于所述安全处理后的运营商凭证提供的配置结果;所述第四发送模块,还被配置为向所述第一网元发送包含所述配置结果的第三响应。
- 根据权利要求43至48任一项所述的装置,其中,所述第四发送模块,被配置为在生成所述安全处理后的运营商凭证之后,向所述第一网元发送包含所述安全处理后的运营商凭证的第三响应。
- 根据权利要求43至49任一项所述的装置,其中,所述装置还包括:第二生成模块,被配置为生成第二接收确认值;所述第四接收模块,被配置为接收所述第一网元发送的第一接收确认值;所述装置还包括:第三确认模块,被配置为当所述第二接收确认值与所述第一接收确认值相同时,确定所述PINE正确接收所述运营商凭证;所述第四发送模块,被配置为向所述第三网元发送所述运营商凭证被正确接收的通知。
- 根据权利要求43至49任一项所述的装置,其中,所述装置还包括:第二生成模块,被配置为生成第二接收确认值;所述第四发送模块,还被配置为将所述第二接收值随所述安全处理后的运营商凭证提供给所述第三网元;所述第四接收模块,被配置为接收第一网元发送的第一接收确认值;所述第四发送模块,被配置为将所述第一接收确认值发送给所述第三网元,其中,所述第一接收确认值,用于供所述第三网元与所述第二接收确认值确定所述PINE是否正确接收所述运营商凭证。
- 根据权利要求51或52所述的装置,其中,所述第二生成模块,被配置为根据所述运营商公钥、所述运营商凭证以及所述PINE的标识,生成所述第二接收确认值。
- 一种信息处理装置,其中,所述装置还包括:第五接收模块,被配置为接收第二网元的第四请求;配置模块,被配置为根据所述第四请求为PINE配置运营商凭证,其中,所述PINE是未配置缺省凭证且预先配置有运营商公钥的设备;第五发送模块,被配置为将所述运营商凭证携带在第四响应发送给所述第二网元,其中,所述运营商凭证,用于与所述运营商公钥对应的运营商私钥进行安全处理之后发放给所述PINE。
- 根据权利要求54所述的装置,其中,所述第五接收模块,比配置为接收所述第二网元返回的安全处理后的运营商凭证;所述装置还包括:第三生成模块,被配置为生成包括所述安全处理后的运营商凭证的配置结果;所述第五发送模块,被配置为将所述配置结果发送给所述第二网元。
- 根据权利要求54或55所述的装置,其中,所述第五接收模块,被配置为接收所述第二网元生成的第二接收确认值;第五接收模块,被配置为接收所述PINE生成的第一接收确认值;所述装置,还包括:第四确定模块,被配置为当所述第一接收确认值和所述第二接收确认值相同时,确定所述PINE正确接收所述运营商凭证。
- 根据权利要求54或55所述的装置,其中,所述第五接收模块,被配置为接收所述第二网元发送的运营商凭证正确接收通知。
- 根据权利要求55至57任一项所述的装置,其中,所述装置还包括:验证模块,被配置为在为所述PINE配置运营商凭证之前,验证所述PINE连接的PEGC是否合法;所述配置模块,还被配置为当所述PEGC合法时,根据所述第四请求为PINE配置运营商凭证。
- 一种通信设备,包括处理器、收发器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如权利要求1至8、9至11、12至13、14至24或25至29任一项提供的方法。
- 一种计算机存储介质,所述计算机存储介质存储有可执行程序;所述可执行程序被处理器执行后,能够实现如权利要求1至8、9至11、12至13、14至24或25至29任一项提供的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2022/087778 WO2023201550A1 (zh) | 2022-04-19 | 2022-04-19 | 信息处理方法及装置、通信设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117256168A true CN117256168A (zh) | 2023-12-19 |
Family
ID=88418902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280001185.0A Pending CN117256168A (zh) | 2022-04-19 | 2022-04-19 | 信息处理方法及装置、通信设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117256168A (zh) |
| WO (1) | WO2023201550A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090239503A1 (en) * | 2008-03-20 | 2009-09-24 | Bernard Smeets | System and Method for Securely Issuing Subscription Credentials to Communication Devices |
| CN104704789B (zh) * | 2012-10-15 | 2018-06-22 | 诺基亚通信公司 | 网络认证 |
| CN106899568A (zh) * | 2016-10-10 | 2017-06-27 | 中国移动通信有限公司研究院 | 一种物联网设备的认证凭证更新的方法及设备 |
| US20210368341A1 (en) * | 2020-08-10 | 2021-11-25 | Ching-Yu LIAO | Secure access for 5g iot devices and services |
-
2022
- 2022-04-19 CN CN202280001185.0A patent/CN117256168A/zh active Pending
- 2022-04-19 WO PCT/CN2022/087778 patent/WO2023201550A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023201550A1 (zh) | 2023-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177354B (zh) | 一种车辆的无线控制方法及系统 | |
| CA2956590C (en) | Apparatus and method for sharing a hardware security module interface in a collaborative network | |
| WO2016155497A1 (zh) | 认证用户的方法及装置、注册可穿戴设备的方法及装置 | |
| US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
| US11297176B2 (en) | Remotely controlling devices using short message service | |
| CN104244245A (zh) | 一种无线接入认证方法、无线路由设备和无线终端 | |
| WO2020151581A1 (zh) | 生成密钥的方法和装置 | |
| US9443069B1 (en) | Verification platform having interface adapted for communication with verification agent | |
| CN112533202A (zh) | 身份鉴别方法及装置 | |
| CN104852800B (zh) | 数据传输方法及装置 | |
| EP4037250A1 (en) | Message transmitting system with hardware security module | |
| US9917694B1 (en) | Key provisioning method and apparatus for authentication tokens | |
| CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| US20130337773A1 (en) | Method and device for transmitting a verification request to an identification module | |
| WO2016003310A1 (en) | Bootstrapping a device to a wireless network | |
| WO2023201550A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| Cha et al. | Is there a tradeoff between privacy and security in BLE-based IoT applications: Using a smart vehicle of a major Taiwanese brand as example | |
| WO2023193157A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| CN114391134A (zh) | 刷机处理方法及相关装置 | |
| CN106888451B (zh) | 可信执行环境tee初始化方法及设备 | |
| WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| CN113285805B (zh) | 一种通信方法及装置 | |
| CN116349268A (zh) | 信息处理方法及装置、通信设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |