CN117499920A

CN117499920A - 一种认证方法、装置及系统

Info

Publication number: CN117499920A
Application number: CN202311489824.5A
Authority: CN
Inventors: 郭俊言; 郑直; 常力元; 宋悦; 郝逸航; 郭惟
Original assignee: Tianyi Safety Technology Co Ltd
Current assignee: Tianyi Safety Technology Co Ltd
Priority date: 2023-11-09
Filing date: 2023-11-09
Publication date: 2024-02-02

Abstract

本申请提供一种认证方法、装置及系统，属于5G通信技术领域。其中系统包括：基站，接收来自网关设备的第一消息，根据第一消息确定出第三鉴权值和第四鉴权值，如果第三鉴权值等于第二鉴权值，则确定对网关设备认证成功；如果第四鉴权值等于第一鉴权值，则确定对物联网设备认证成功；网关设备，接收来自所述基站的第二消息，根据第二消息确定第七鉴权值，如果第七鉴权值等于第五鉴权值，则确定对基站与物联网设备认证成功；物联网设备，接收来自网关设备的第三消息，根据第三消息确定第九鉴权值，如果第九鉴权值等于第八鉴权值，则确定对基站与所述网关设备认证成功，并结束认证。

Description

一种认证方法、装置及系统

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种认证方法、装置及系统。

背景技术

目前，工业5G网能够实现5G网络在工业制造、港口码头、能源矿山等工业环境的应用延伸，为工业场景内的物联网设备获取5G服务奠定了通信基础。

在工业5G网场景下，工业物联网设备获取5G网络服务需通过5G工业网关接入5G网络，并由5G归属网对其身份进行验证并构建会话密钥，以保护5G网络服务在无线开放信道中向工业物联网设备提供服务的可信性与传输安全性。但在接入过程中，如何防止非可信、非授权甚至被劫持的工业网关假冒工业物联网设备访问5G服务网络，甚至实施监听、篡改、伪造等攻击破坏认证过程以及后续数据安全传输，是一个亟待解决的问题。

发明内容

本发明实施例提供了一种认证方法、装置及系统，用以提高网络安全。

第一方面，本发明实施例提供一种认证系统，包括：基站，接收来自网关设备的第一消息，所述第一消息用于请求对所述网络设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值；如果所述第三鉴权值等于所述第二鉴权值ver_j，则确定对所述网关设备认证成功；根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值；如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功，向所述网关设备发送第二消息；

网关设备，接收来自所述基站的第二消息，所述第二消息用于请求对所述基站以及所述物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功，向所述物联网设备发送第三消息；

物联网设备，接收来自所述网关设备的第三消息，所述第三消息用于请求对所述网关设备以及所述基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值；如果所述第九鉴权值等于所述第八鉴权值ver_j-i，则确定对所述基站与所述网关设备认证成功，完成认证。

通过上述方案，实现了物联网设备、网关设备以及基站间的三方两两互相认证，确保工业物联网设备在接入过程的安全性，同时，提升了跨节点通信的可信性。

一种可能的实施方式中，根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值，包括：根据所述第二订阅隐匿标识符SUCI_j确定第一共享认证密钥K_j；根据所述第二序列号dsqn_j、所述第二订阅隐匿标识符SUCI_j、所述第一共享认证密钥K_j、所述第一鉴权值ver_i、所述第二时间戳确定第五序列号SQN_j′；根据所述第二随机数dr_j、所述第五序列号SQN_j′、所述第二订阅隐匿标识符SUCI_j、所述第一共享认证密钥K_j、所述第二时间戳确定第四随机数rand_j′；根据所述第二订阅隐匿标识符SUCI_j、所述第五序列号SQN_j′、所述第四随机数rand_j′、所述第一鉴权值ver_i、所述第一时间戳以及所述第二时间戳确定所述第三鉴权值。

通过上述方案，基站通过获取网关设备发送的第一消息，并根据第一消息解析并计算出相应的鉴权值，与网关设备的鉴权值进行比较，能够做到在网关设备和基站的传输过程中及时发现数据是否被篡改，若被篡改则停止认证过程，提高了数据的安全性和可信度。

一种可能的实施方式中，根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值，包括：根据所述第一订阅隐匿标识符SUCI_i，确定第二共享认证密钥K_i；根据所述第一序列号dsqn_i、所述第一订阅隐匿标识符SUCI_i、所述第二共享认证密钥K_i、所述第一临时公钥pk_i、所述第一时间戳确定第六序列号SQN_i′；根据所述第一随机数dr_i、所述第六序列号SQN_i′、所述第一订阅隐匿标识符SUCI_i、所述第二共享认证密钥K_i、所述第一时间戳确定第五随机数rand_i′；根据所述第一订阅隐匿标识符SUCI_i、所述第一临时公钥pk_i、所述第六序列号SQN_i′、所述第五随机数rand_i′、所述第一时间戳确定所述第四鉴权值。

通过上述方案，基站通过获取网关设备发送的第一消息，并根据第一消息解析并计算出相应的鉴权值，与物联网设备的鉴权值进行比较，能够做到在网关设备和基站的传输过程中及时发现数据是否被篡改，若被篡改则停止认证过程，提高了数据的安全性和可信度。

一种可能的实施方式中，根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值，包括：根据第三随机数xr_hn与第二随机数dr_j计算出第四随机数rand_j′；根据所述第二全局唯一临时标识符dguti_j，确定第三全局唯一临时标识符GUTI_j′；根据所述第四序列号rsqn_j确定出第七序列号根据所述第三全局唯一临时标识符GUTI_j′、所述第一全局唯一临时标识符dguti_i、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第七序列号/>所述第五鉴权值ver_hn-i、所述第一共享认证密钥K_j、所述第五随机数rand_i′、所述第三时间戳确定所述第七鉴权值。

通过上述方案，网关设备通过获取基站发送的第二消息，并根据第二消息解析并计算出相应的鉴权值，与基站和物联网设备的鉴权值进行比较，能够做到在基站的传输过程中及时发现数据是否被篡改，若被篡改则停止认证过程，提高了数据的安全性和可信度。

一种可能的实施方式中，根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值，包括：根据所述第一订阅隐匿标识符SUCI_i、所述第二订阅隐匿标识符SUCI_j、第六随机数rand_i、所述第三临时公钥pk_hn、所述第一时间戳和所述第三时间戳，确定出第一会话密钥Key_i-hn；根据所述第三序列号rsqn_i确定出所述第八序列号根据所述第一全局唯一临时标识符dguti_i，确定第四全局唯一临时标识符GUTI_i′；根据所述第一订阅隐匿标识符SUCI_i、所述第二订阅隐匿标识符SUCI_j、所述第四全局唯一临时标识符GUTI_i′、所述第一临时公钥pk_i、第五序列号SQN_i、所述第二共享认证密钥K_i、所述第六随机数rand_i及所述第三时间戳，确定出所述第五鉴权值ver_hn-i；根据所述第五鉴权值ver_hn-i、所述第一订阅隐匿标识符SUCI_i、所述第一全局唯一临时标识符dguti_i、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第六随机数rand_i以及所述第三时间戳、所述第四时间戳确定所述第九鉴权值。

通过上述方案，物联网设备通过获取网关设备发送的第三消息，并根据第三消息解析并计算出相应的鉴权值，与基站和网关设备的鉴权值进行比较，能够做到在基站的传输过程中及时发现数据是否被篡改，若被篡改则停止认证过程，提高了数据的安全性和可信度。

一种可能的实施方式中，所述认证系统包括：所述基站获取所述物联网设备的第一会话序列号所述基站获取所述网关设备的第二会话序列号/>获取所述第五序列号SQN_j′，计算所述第五序列号SQN_j′与所述第二会话序列号/>的第一差值；获取所述第六序列号SQN_i′，计算所述第六序列号SQN_i′与所述第一会话序列号/>的第二差值；若所述第一差值大于第一阈值，所述第二差值也大于所述第一阈值，则所述基站终止认证过程；若所述第一差值与所述第二差值均为零，则所述第六序列号SQN_i′与所述第五序列号SQN_i′均为正确序列号，所述基站不需要为所述物联网设备及所述网关设备发送所述第三序列号rsqn_i、所述第四序列号rsqn_j；若所述第一差值为零，所述第二差值不为零且小于所述第一阈值，则所述第五序列号SQN_j′为正确序列号，所述基站不需要为所述物联网设备及所述网关设备发送所述第四序列号rsqn_j；所述第六序列号SQN_i′为错误序列号，所述基站需要为所述物联网设备及所述网关设备发送所述第五序列号rsqn_i；若所述第一差值不为零且小于所述第一阈值，所述第二差值为零，则所述第五序列号SQN_j′为错误序列号，所述基站需要为所述物联网设备及所述网关设备发送所述第五序列号rsqn_j；所述第六序列号SQN_i′为错误序列号，所述基站不需要为所述物联网设备及所述网关设备发送所述第四序列号rsqn_i；若所述第一差值与所述第二差值均不为零且小于所述第一阈值，则所述第五序列号SQN_j′为错误序列号，所述第六序列号SQN_i′也为错误序列号，所述基站需要为所述物联网设备及所述网关设备发送所述第五序列号rsqn_j及所述第四序列号rsqn_i。

通过上述方案，针对物联网设备与基站端会话序列号可能存在不一致的问题，物联网设备和网关设备能够同时与基站同步正确的会话序列号，并且会话序列号作为设备隐私信息不会在开放信道中泄露且被其他设备窃取。

一种可能的实施方式中，所述系统包括：所述基站在接收来自所述网关设备的第一消息时，计算所述第一时间戳与当前时间的差值是否大于第二阈值，若所述差值大于第二阈值，则停止认证；所述基站在接收来自所述网关设备的第一消息时，计算所述第二时间戳与当前时间的差值是否大于第二阈值；若所述差值大于第二阈值，则停止认证；所述网关设备在接收来自所述基站的第二消息时，计算所述第三时间戳与当前时间的差值是否大于所述第二阈值，若所述差值大于所述第二阈值，则停止认证；所述物联网设备在接收来自所述网关设备的第三消息时，计算所述第四时间戳与当前时间的差值是否大于所述第二阈值，若所述差值大于所述第二阈值，则停止认证。

通过上述方案，对接收的认证消息进行了时效性、完整性、身份合法性及有效性验证，有效地避免了在接收认证响应过程中获得历史数据或不符合要求的时间段的数据的问题，提高了认证结果的可靠性和工业网络传输的可靠性。

第二方面，本发明实施例提供了一种认证方法，包括：基站，接收来自网关设备的第一消息，所述第一消息用于请求对所述网关设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值；如果所述第三鉴权值等于所述第二鉴权值ver_j，则确定对所述网关设备认证成功；根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值；如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功，向所述网关设备发送第二消息；网关设备，接收来自所述基站的第二消息，所述第二消息用于请求对所述基站以及所述物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功，向所述物联网设备发送第三消息；物联网设备，接收来自所述网关设备的第三消息，所述第三消息用于请求对所述网关设备以及所述基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值；如果所述第九鉴权值等于所述第八鉴权值ver_j-i，则确定对所述基站与所述网关设备认证成功，完成认证。

第三方面，提供一种认证方法，该方法可以由基站执行，还可以用于基站中的模块。包括：接收来自网关设备的第一消息，所述第一消息用于请求对所述网络设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功，向所述网关设备发送第二消息；根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值；如果所述第三鉴权值等于所述第二鉴权值ver_j，则确定对所述网关设备认证成功；根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值。

第四方面，提供一种认证方法，该方法可以由网关设备执行，还可以用于网关设备中的模块。包括：接收来自所述基站的第二消息，所述第二消息用于请求对所述基站以及所述物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功，向所述物联网设备发送第三消息；根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功。

第五方面，提供一种认证方法，该方法可以由物联网设备执行，还可以用于物联网设备中的模块。包括：接收来自所述网关设备的第三消息，所述第三消息用于请求对所述网关设备以及所述基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值；如果所述第九鉴权值等于所述第八鉴权值ver_j-i，则确定对所述基站与所述网关设备认证成功。

第六方面，提供一种装置，包括处理器和接口电路，所述处理器用于通过接口电路与其它装置通信，并执行上述第三方面至第五方面中任一方面所描述的方法。该处理器包括一个或多个。

第七方面，提供一种装置，包括与存储器耦合的处理器，该处理器用于执行所述存储器中存储的程序，以执行上述第三方面至第五方面中任一方面描述的方法。该存储器可以位于该装置之内，也可以位于该装置之外。且该处理器可以是一个或多个。

第八方面，提供一种装置，包括处理器和存储器；该存储器用于存储计算机指令，当该装置运行时，该处理器执行该存储器存储的计算机指令，以使该装置执行上述第三方面至第五方面中任一方面描述的方法。

第九方面，提供一种芯片系统，包括：处理器或电路，用于执行上述第三方面至第五方面中任一方面描述的方法。

第十方面，提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在通信装置上运行时，使得上述第三方面至第五方面中任一方面描述的方法被执行。

第十一方面，提供一种计算机程序产品，该计算机程序产品包括计算机程序或指令，当计算机程序或指令被装置运行时，使得上述第三方面至第五方面中任一方面描述的方法被执行。

附图说明

图1为本发明实施例提供的一种认证方法结构图；

图2为本发明实施例提供的一种认证方法的流程示意图；

图3为本发明实施例提供的一种认证方法的流程示意图；

图4为本发明实施例提供的认证装置示意图；

图5为本发明实施例提供的认证装置示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例的一种系统架构图，如图1所示，本发明实施例提供的系统中包括基站101，网关设备102和物联网设备103；举例来说，基站101位于归属网络(HomeNetwork，HN)中，HN中还可以包含服务器等设备；网关设备102可以表示网关(Gateway，GW)设备，可以包括路由器、交换机等设备；物联网设备103可以表示工业物联网(IndustrialInternet of Things，IIoT)中的设备，例如可以包括工业制造中的设备、能源采取中的设备等；需要注意的是，上述设备仅是一种示例，本发明实施例对此不做限定；通过基站101、网络设备102、物联网设备103之间两两互相认证，可以有效提高工业物联网接入5G归属网络的可靠性和安全性，同时验证是否被篡改。

在一种实施方式中，基站101可以用于为物联网设备和网关设备发放订阅永久标识符(Subscription Permanent Identifier，SUPI)，密钥(Key，K)，公钥(public key，pk)，全局唯一临时标识符(Globally Unique Temporary Identifier,GUTI)；网关设备102及物联网设备103可以用于生成订阅隐匿标识符(Subscription Concealed Identifier，SUCI),获取序列号(Sequence number，SQN)以及生成随机数(random number，rand)；需要注意的是，上述参数仅是一种示例，本发明实施例对此不做限定。

本申请中，基站也可以称为接入网设备，接入网设备可以是指将终端设备接入到无线网络的无线接入网(radio access network，RAN)节点(或设备)，例如基站。一些RAN节点的举例可以为：继续演进的节点B(gNB)、传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(basetransceiver station，BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(accesspoint，AP)等。

另外，在一种网络结构中，接入网设备可以包括集中单元(centralized unit，CU)节点、或分布单元(distributed unit，DU)节点、或包括CU节点和DU节点。其中包括CU节点和DU节点的RAN设备将NR系统中gNB的协议层拆分开，部分协议层的功能放在CU集中控制，剩下部分或全部协议层的功能分布在DU中，由CU集中控制DU。更进一步，CU还可以划分为控制面(CU-CP)和用户面(CU-UP)。其中CU-CP负责控制面功能，主要包含无线资源控制(radioresource control，RRC)和控制面对应的包数据汇聚协议(packet data convergenceprotocol，PDCP)(即PDCP-C)。PDCP-C主要负责控制面数据的加解密，完整性保护，数据传输等。CU-UP负责用户面功能，主要包含服务数据适配协议(service data adaptationprotocol,SDAP)和用户面对应的PDCP(即PDCP-U)。其中SDAP主要负责将核心网的数据进行处理并将流(flow)映射到承载。PDCP-U主要负责数据面的加解密，完整性保护，头压缩，序列号维护，数据传输等。其中CU-CP和CU-UP通过E1接口连接。CU-CP代表gNB通过NG接口和核心网连接，通过F1接口控制面(即F1-C)和DU连接。CU-UP通过F1接口用户面(即F1-U)和DU连接。当然还有一种可能的实现是PDCP-C也在CU-UP。

可以理解，在不同系统中，CU(包括CU-CP或CU-UP)、或DU也可以有不同的名称，但是本领域的技术人员可以理解其含义。例如，在开放式无线接入网(open radio accessnetwork，O-RAN)系统中，CU也可以称为O-CU(开放式CU)，DU也可以称为O-DU，CU-CP也可以称为O-CU-CP，CU-UP也可以称为O-CU-UP。为描述方便，本申请中以CU，CU-CP，CU-UP和DU为例进行描述。

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

基于图1所示用户设备结构图，图2示例性的示出了本发明实施例提供的一种系统示意图。

如图2所示，该系统包括：

基站201，用于生成系统公开参数，向网关设备和物联网设备分配订阅永久标识符SUPI和长期认证密钥，还用于对物联网设备和网关设备进行认证。

基站201对物联网设备和网关设备进行认证步骤如下：

步骤2011，接收来自网关设备的第一消息。

举例来说，第一消息包括以下至少一种：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；其中，第一消息可以表示5G中继认证响应。

具体的，基站通过将第二随机数dr_j与对应的哈希函数进行异或，获得第四随机数rand_j′；将第二序列号dsqn_j与第二订阅隐匿标识符SUCI_j、第一共享认证密钥K_j、第一鉴权值ver_i、第二时间戳的哈希值进行异或，确定出第五序列号SQN_j′；将第二随机数dr_j与第五序列号SQN_j′、第二订阅隐匿标识符SUCI_j、第一共享认证密钥K_j、第二时间戳的哈希函数值进行异或，得到第四随机数rand_j′；

在一种实施方式中，基站根据所述第一订阅隐匿标识符SUCI_i，获得SUPI_i′,并根据SUPI_i′确定第二共享认证密钥K_i；将第一序列号dsqn_i与第一订阅隐匿标识符SUCI_i、第二共享认证密钥K_i、第一临时公钥pk_i、第一时间戳的哈希值进行异或，确定第六序列号SQN_i′；根据所述第一随机数dr_i、所述第六序列号SQN_i′、所述第一订阅隐匿标识符SUCI_i、所述第二共享认证密钥K_i、所述第一时间戳确定第五随机数rand_i′。

步骤2012，根据第一消息确定出基站和网关设备的第三鉴权值、基站和物联网设备的第四鉴权值。

具体的，通过计算第二订阅隐匿标识符SUCI_j、第五序列号SQN_j′、第四随机数rand_j′、第一鉴权值ver_i、第一时间戳以及第二时间戳的哈希函数值，确定第三鉴权值。

通过计算第一订阅隐匿标识符SUCI_i、第一临时公钥pk_i、第六序列号SQN_i′、第五随机数rand_i′、第一时间戳的哈希函数值确定所述第四鉴权值。

步骤2013，基站认证网关设备和物联网设备；如果第三鉴权值和第一消息中的第一鉴权值相等，且第四鉴权值和第一消息中的第二鉴权值相等，则确定对网关设备和物联网设备认证成功，发送第二消息。

其中，第二消息发送至网关设备202，第二消息可以表示5G中继认证响应。

通过上述步骤，基站完成对物联网设备和网关设备的身份的合法性的验证，确认了5G中继认证请求的完整性和有效性。

网关设备202，用于协助物联网设备接入归属网络基站，为基站发送第一消息，还用于对基站和物联网设备进行认证。网关设备202对物联网设备和基站进行认证步骤如下：

步骤2021，接收来自基站的第二消息。

举例来说，第二消息包括以下至少一项：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；其中，第二消息可以表示5G中继认证响应。

具体的，网关设备通过将第二随机数dr_j与第三随机数xr_hn进行异或，获得第五随机数rand_i′；根据第二全局唯一临时标识符dguti_j和相对应的哈希函数，确定第三全局唯一临时标识符GUTI_j′；根据第四序列号rsqn_j和相对应的哈希函数确定出第七序列号

步骤2022，根据第二消息确定出网关设备与基站和物联网设备的第七鉴权值。

具体的，根据第三全局唯一临时标识符GUTI_j′、第一全局唯一临时标识符dguti_i、第三临时公钥pk_hn、第三序列号rsqn_i、第七序列号第五鉴权值ver_hn-i、第一共享认证密钥K_j、第五随机数rand_i′、第三时间戳的哈希函数值确定第七鉴权值。

步骤2023，网关设备认证基站和物联网设备；如果第七鉴权值和第二消息中的第五鉴权值相等，则确定对基站和物联网设备认证成功，发送第三消息；其中，第三消息发送至物联网设备203，第三消息可以表示5G中继认证响应。

通过上述步骤，网关设备完成对物联网设备和基站的身份的合法性的验证，确认了5G中继认证请求的完整性和有效性。

物联网设备203，用于和基站完成连接，还用于对基站和网关设备进行认证。物联网设备203对网关设备和基站进行认证步骤如下：

步骤2031，接收来自网关设备的第三消息。

举例来说，第三消息包括以下至少一项：第二订阅隐匿标识符SUCI_j、第一全局唯一临时标识符dguti_i、第三序列号rsqn_i、第三临时公钥pk_hn、第八鉴权值ver_j-i、第三时间戳和第四时间戳；其中，第三消息可以表示5G中继认证响应。

具体的，根据第一订阅隐匿标识符SUCI_i、第二订阅隐匿标识符SUCI_j、第六随机数rand_i、第三临时公钥pk_hn、第一时间戳和第三时间戳，确定出第一会话密钥Key_i-hn；根据第三序列号rsqn_i确定出第八序列号根据第一全局唯一临时标识符dguti_i，确定第四全局唯一临时标识符GUTI_i′；

根据第一订阅隐匿标识符SUCI_i、第二订阅隐匿标识符SUCI_j、第四全局唯一临时标识符GUTI_i′、第一临时公钥pk_i、第五序列号SQN_i、第二共享认证密钥K_i、第六随机数rand_i及所述第三时间戳，确定出所述第五鉴权值ver_hn-i。

步骤2032，根据第三消息确定出物联网设备和基站、网关设备的第八鉴权值。

具体的，根据第五鉴权值ver_hn-i、第一订阅隐匿标识符SUCI_i、第一全局唯一临时标识符dguti_i、第三临时公钥pk_hn、第三序列号rsqn_i、第六随机数rand_i以及第三时间戳、第四时间戳确定第九鉴权值。

步骤2033，物联网设备认证网关设备和基站；如果第八鉴权值和第三消息中的第六鉴权值相等，则确定对基站和网关设备认证成功。

其中，第三消息发送至物联网设备203，第三消息可以表示5G中继认证响应。

通过上述步骤，物联网设备完成了对网关设备和基站的身份的合法性的验证，确认了5G中继认证请求的完整性和有效性，基站、物联网设备和网关设备的三方两两互相认证。

在一种实施方式中，基站还会根据SUPI分别获取物联网设备的第一会话序列号以及网关设备的第二会话序列号/>其中，第一会话序列号/>及第二会话序列号/>分别代表物联网设备及网关设备各自在当前会话中的正确会话序列号；

网关设备计算真实的第五序列号SQN_j′，将第五序列号SQN_j′与第二会话序列号相减；若差值为0则网关设备的第五序列号SQN_j′为正确的会话序列号，不需要再次进行更新；若差值不为0且小于第一阈值，则第五序列号SQN_j′不是正确的序列号，但还在合理阈值范围内，因此网关设备根据从基站获取的正确序列号对第五序列号SQN_j′进行更新；若差值大于第一阈值，则第五序列号SQN_j′不在合理阈值范围内，停止认证。

物联网设备计算真实的第六序列号SQN′_i，将第六序列号SQN′_i与第一会话序列号相减；若差值为0则网关设备的第六序列号SQN′_i为正确的会话序列号，不需要再次进行更新；若差值不为0且小于第一阈值，则第六序列号SQN′_i不是正确的序列号，但还在合理阈值范围内，因此网关设备根据从基站获取的正确序列号对第六序列号SQN′_i进行更新；若差值大于第一阈值，则第六序列号SQN′_i不在合理阈值范围内，停止认证。

通过上述方式，基站不仅验证了网关设备和物联网设备的序列号准确性，还在传输正确的序列号的同时，避免了对序列号正确的数据进行二次传输的重复工作。

在一种实施方式中，基站在接收来自所述网关设备的第一消息时，计算所述第一时间戳与当前时间的差值是否大于第二阈值，若所述差值大于第二阈值，则停止认证；

基站在接收来自所述网关设备的第一消息时，计算第二时间戳与当前时间的差值是否大于第二阈值；若差值大于第二阈值，则停止认证；

网关设备在接收来自基站的第二消息时，计算第三时间戳与当前时间的差值是否大于第二阈值，若差值大于所述第二阈值，则停止认证；

所述物联网设备在接收来自所述网关设备的第三消息时，计算第四时间戳与当前时间的差值是否大于第二阈值，若差值大于第二阈值，则停止认证。

在一种实施方式中，可按照如图3所示的流程进行认证，如图3所示的流程是基于图2所示的系统示意图的一个具体实施例。需要注意的是，所述流程仅作为一种示例，在具体实施过程中还可以采用其他方法来实现，本发明实施例对此不做限定。如图3所示的具体实施流程，包括以下步骤：

步骤301，基站初始化生成系统公开参数。

基站选择一个安全单向哈希函数(Hash function，h)、密钥派生函数(KeyDerivation Function，KDF)、有限域F_P上定义的非奇异椭圆曲线E_p(a.b):y²＝x³+ax+b和基点P，其中a,b∈F_P、4a³+27b²modp≠0、P∈E_p(a,b)；定义椭圆曲线E的标量乘法计算公式为n·P＝P+P+P+…+P(n次，n∈F_p)；基站随机选择主私钥S_hn∈F_p，计算主公钥PK_hn＝S_hn·P。

步骤302，物联网设备和网关设备分别在基站上进行注册。

在一种实施方式中，基站首先向物联网设备分配SUPI_i，然后选择一个基站与物联网设备共享的长期认证密钥K_i；最后，基站存储{SUPI_i,K_i}，物联网设备存储{SUPI_i,K_i,E_p(a,b),P,PK_hn,h(·),KDF(·)}；

在一种实施方式中，基站向网关设备分配订阅永久标识符SUPI_j，然后选择一个基站与网关设备共享的长期认证密钥K_j；最后，基站存储{SUPI_j,K_j}，网关设备存储{SUPI_j,K_j,E_p(a,b),P,PK_hn,h(·),KDF(·)}。

步骤303，物联网设备向网关设备发送接入认证请求信息{SUCI_i，pk_i，dsqn_i，drand_i，ver_i，t₁}。

在一种实施方式中，物联网设备选择会话密钥协商私钥s_i∈F_p和随机数rand_i，计算临时公钥pk_i＝s_i·P；物联网设备对SUPI_i使用E加密算法获得用哈希函数和异或算法对SQN_i进行异或获得dsqn_i，用哈希函数和异或算法对rand_i进行异或获得drand_i，计算ver_i＝h(SUCI_i,pk_i,SQN_i,rand_i,t₁)，并将{SUCI_i，pk_i，dsqn_i，drand_i，ver_i，t₁}发送至网关设备。

步骤304，网关设备向基站发送中继认证请求信息{SUCI_i，SUCI_j，pk_i，pk_j，dsqn_i，dsqn_j，drand_i，drand_j，ver_i，ver_j，t₁，t₂}。

在一种实施方式中，网关设备接收来自物联网设备的接入认证请求信息，并验证t₁的新鲜性；网关设备选择临时私钥s_j∈F_p和随机数rand_j，计算临时公钥pk_j＝s_j·P；网关设备对SUPI_j使用E加密算法获得用哈希函数和异或算法对SQN_j进行异或获得dsqn_j，用哈希函数和异或算法对rand_j进行异或获得drand_j，计算ver_i＝h(SUCI_i,pk_i,SQN_i,rand_i,t₁)，并将中继认证请求{SUCI_i，SUCI_j，pk_i,pk_j，dsqn_i，dsqn_j，drand_i，drand_j，ver_i，ver_j，t₁，t₂}发送至网关设备。

步骤305，基站接收网关设备发送的中继认证请求信息，并认证网关设备的可靠性。

在一种实施方式中，基站接收来自网关设备的接入认证请求信息，并验证t₁和t₂的新鲜性；对SUCI_j使用D解密算法，获得然后根据SUPI_j′获得与网关设备的共享认证密钥K_j和当前会话序列号/>接下来，基站用哈希函数和异或算法对dsqn_j进行异或获得/>用哈希函数和异或算法对drand_j进行异或获得/>验证等式ver_j＝h(SUCI_j,SQN'_j,rand'_j,ver_i,t₁,t₂)是否成立，如果等式成立，则基站确认网关设备是可信的系统授权节点，且中继认证请求中{SUCI_j,pk_j,dsqn_j,drand_j,ver_i,ver_j,t₁,t₂}是完整且未被篡改的，否则基站拒绝中继认证请求并终止认证进程。

步骤306，基站接收网关设备发送的中继认证请求信息，并认证物联网设备的可靠性。

在一种实施方式中，基站对SUCI_i使用D解密算法，获得然后根据SUPI_i′获得与物联网设备的共享认证密钥K_i和当前会话序列号/>接下来，基站用哈希函数和异或算法对dsqn_i进行异或获得/>用哈希函数和异或算法对drand_i进行异或获得/>验证等式ver_i＝h(SUCI_i,pk_i,SQN′_i,rand′_i,t₁)是否成立，如果等式成立，则基站确认物联网设备是可信的系统授权节点，且中继认证请求中{SUCI_i,pk_i,dsqn_i,drand_i}是完整且未被篡改的，否则基站拒绝中继认证请求并终止认证进程；

在一种实施方式中，基站获得当前会话序列号与当前会话序列号/>并计算/>和SQN_i′、/>和SQN_j′的差值，判断会话序列号是否在有效序列号误差阈值内；将SQN′_j与/>相减；若差值为0则SQN′_j为正确的会话序列号，不需要再次进行更新；若差值不为0且小于第一阈值，则SQN′_j不是正确的序列号，但还在有效的阈值范围内，因此基站对网关设备的SQN′_j进行更新；若差值大于第一阈值，则SQN′_j不在合理阈值范围内，基站停止对网关设备的认证。

在一种实施方式中，物联网设备计算真实的SQN′_i，将SQN′_i与相减；若差值为0则网关设备的SQN′_i为正确的会话序列号，不需要再次进行更新；若差值不为0且小于第一阈值，则SQN′_i不是正确的序列号，但还在合理阈值范围内，因此基站对网关设备的SQN′_i进行更新；若差值大于第一阈值，则SQN′_i不在合理阈值范围内，基站停止对物联网设备的认证，或者认为认证失败。

步骤307，基站向网关设备发动中继认证响应，{xrand_hn,pk_hn,rsqn_i r,sqn_j dg,uti_i dguti,_j ver_hn-i,ver_hn-j t₃,。

在一种实施方式中，基站使用密钥派生函数获取与物联网设备关联的会话密钥Key_hn-i＝KDF(SUCI_i,SUCI_j,rand′_i,s_hn·pk_i,t₁,t₂)，使用异或算法获得其中Key_hn-i为HN与IIoT_i基于临时公私钥和随机挑战值共同协商的会话密钥；使用/>异或相应的哈希函数，计算/>基站用哈希函数和异或算法计算网关设备的临时标识符更新参数/> 计算物联网设备的临时标识符更新参数计算物联网设备的认证鉴权值计算面向网关设备的认证鉴权值

在一种实施方式中，基站将获取的参数作为中继认证相应发送至网关设备中。

步骤308，网关设备接收基站发送的中继认证请求信息，并认证基站和物联网设备的可靠性。

在一种实施方式中，网关设备接收来自基站的中继认证请求信息，并验证t₃的新鲜性；根据xrand_hn、rand_j，使用异或算法计算接下来，网关设备用哈希函数和异或算法对rsqn_j进行异或获得/> 用哈希函数和异或算法对dguti_j进行异或计算/>验证等式ver_hn-j＝h(GUTI'_j,dguti_i,pk_hn,ver_hn-i,SQN_j,K_j,rand_i',t₃)是否成立，如果等式成立，则网关设备确认基站和物联网设备是可信的系统授权节点，且中继认证请求{xrand_hn,pk_hn,rsqn_i,dguti_i,dguti_j,ver_hn-i,ver_hn-j,t₃}是完整且未被篡改的，否则网关设备拒绝中继认证请求并终止认证进程。

步骤309，网关设备向物联网设备发送认证应答响应

步骤310，物联网设备接收网关设备发送的认证应答响应信息，并认证基站和网关设备的可靠性。

在一种实施方式中，物联网设备接收来自网关设备的认证应答响应信息，并验证t₃和t₄的新鲜性；对SUCI_i、SUCI_j、rand_i、s_i·pk_hn以及t₁、t₃使用密钥派生函数，获得Key_i-hn；物联网设备用哈希函数和异或算法对dguti_i进行异或计算获得用哈希函数和异或算法对rsqn_i进行异或获得/>物联网设备计算ver′_hn-i＝h(SUCI_i,SUCI_j,GUTI′_i,pk_i,SQN_i,K_i,rand_i,t₃)，并验证等式ver_j-i＝h(SUCI_i,dguti_i,rsqn_i,pk_hn,ver′_hn-i,rand_i,t₃,t₄)是否成立，如果等式成立，则物联网设备确认基站和网关设备是可信的系统授权节点，且Key_i-hn＝Key_hn-i，否则物联网设备拒绝认证应答响应并终止接入。

步骤311，基站对物联网设备认证成功。

通过上述步骤，物联网设备确认了基站和网关设备的合法性，获得了基站颁发的全局唯一临时标识符GUTI′_i，并且对认证应答响应的完整性和有效性进行了验证，同时计算得到与基站共享的会话密钥Key_i-hn＝Key_hn-i；

至此，通过上述流程，场景下的物联网设备、网关设备以及基站之间建立了三方两两互相信任的关系，并且物联网设备与基站两方基于椭圆曲线密码体制和随机挑战值共同协商了一个构建数据安全传输的会话密钥Key_i-hn＝Key_hn-i＝h(SUCI_i,SUCI_j,rand_i,s_i*s_hn*P,t₁,t₃)，其中长期认证密钥{k_i,k_j}和当前会话密钥泄露不会影响会话密钥Key_i-hn的前/后向安全性。针对会话序列号同步和临时标识符更新问题，本方法的流程给出了相应的同步机制，以确保物联网设备在工业5G场景下的可信和匿名通信，其中物联网设备和网关设备在后续接入认证中使用更新后的全局唯一标识符替换订阅隐藏标识符，以确保物联网设备和网关设备的匿名性。

基于相同的技术构思，本申请实施例中提供一种通信装置，该通信装置可以是基站或者物联网设备或者网关设备，该通信装置可以执行本申请实施例中的部分或全部步骤，这些步骤或操作仅是示例，本申请实施例还可以执行其它操作或者各种操作的变形。此外，各个步骤可以按照本申请实施例呈现的不同的顺序来执行，并且有可能并非要执行本申请实施例中的全部操作。

可以理解的是，为了实现上述实施例中功能，基站或物联网设备或网关设备包括了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本申请中所公开的实施例描述的各示例的单元及方法步骤，本申请能够以硬件或硬件和计算机软件相结合的形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用场景和设计约束条件。

图4和图5为本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以用于实现上述方法实施例中基站或物联网设备或网关设备的功能，因此也能实现上述方法实施例所具备的有益效果。在本申请的实施例中，该通信装置可以是基站或物联网设备或网关设备，还可以是应用于基站或物联网设备或网关设备的模块(如芯片)。

当通信装置400用于实现上述实施例中基站的功能时：

通信单元401，用于接收来自网关设备的第一消息，所述第一消息用于请求对所述网络设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功，向所述网关设备发送第二消息；

处理单元402，用于根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值；如果所述第三鉴权值等于所述第二鉴权值ver_j，则确定对所述网关设备认证成功；根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值；如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功。

当通信装置400用于实现上述实施例中网关设备的功能时：

通信单元401，用于接收来自所述基站的第二消息，所述第二消息用于请求对所述基站以及所述物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功，向所述物联网设备发送第三消息；

处理单元402，用于根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值；如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功。

当通信装置400用于实现上述实施例中物联网设备功能时：

通信单元401，用于接收来自所述网关设备的第三消息，所述第三消息用于请求对所述网关设备以及所述基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；

处理单元402，用于根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值；如果所述第九鉴权值等于所述第八鉴权值ver_j-i，则确定对所述基站与所述网关设备认证成功。

图5所示的通信装置500包括处理器501，接口502和存储器503；本发明实施例中不限定上述处理器501、接口502、存储器503之间的具体连接介质。本申请实施例在图5中以处理器501、接口502、存储器503之间通过总线连接，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。存储器503，用于存储处理器501执行的指令或存储处理器501运行指令所需要的输入数据或存储处理器501运行指令后产生的数据。

存储器503，可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器503也可以是非易失性存储器(non-volatilememory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器503是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质，但不限于此。存储器503可以是上述存储器的组合。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令被执行时，实现本申请提供的任一项所述的方法。

在一些可能的实施方式中，本发明提供的产品业务组件确定方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使所述电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的表项更新方法中的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种认证系统，其特征在于，包括：

基站，接收来自网关设备的第一消息，所述第一消息用于请求对所述网络设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；

根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值；

如果所述第三鉴权值等于所述第二鉴权值ver_j，则确定对所述网关设备认证成功；

根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值；

如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功，向所述网关设备发送第二消息；

网关设备，接收来自所述基站的第二消息，所述第二消息用于请求对所述基站以及所述物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；

根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值；

如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功，向所述物联网设备发送第三消息；

物联网设备，接收来自所述网关设备的第三消息，所述第三消息用于请求对所述网关设备以及所述基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；

根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值；

如果所述第九鉴权值等于所述第八鉴权值ver_j-i，则确定对所述基站与所述网关设备认证成功。

2.如权利要求1所述的系统，其特征在于，所述根据所述第二订阅隐匿标识符SUCI_j、所述第二序列号dsqn_j、所述第二随机数dr_j、所述第一鉴权值ver_i、所述第一时间戳、所述第二时间戳确定第三鉴权值，包括：

根据所述第二订阅隐匿标识符SUCI_j确定第一共享认证密钥K_j；

根据所述第二序列号dsqn_j、所述第二订阅隐匿标识符SUCI_j、所述第一共享认证密钥K_j、所述第一鉴权值ver_i、所述第二时间戳确定第五序列号SQN_j ^′；

根据所述第二随机数dr_j、所述第五序列号SQN_j ^′、所述第二订阅隐匿标识符SUCI_j、所述第一共享认证密钥K_j、所述第二时间戳确定第四随机数rand_j ^′；

根据所述第二订阅隐匿标识符SUCI_j、所述第五序列号SQN_j ^′、所述第四随机数rand_j ^′、所述第一鉴权值ver_i、所述第一时间戳以及所述第二时间戳确定所述第三鉴权值。

3.如权利要求1所述的系统，其特征在于，所述根据所述第一订阅隐匿标识符SUCI_i、所述第一序列号dsqn_i、所述第一临时公钥pk_i、第一随机数dr_j、所述第一时间戳、所述第二时间戳确定第四鉴权值，包括：

根据所述第一订阅隐匿标识符SUCI_i，确定第二共享认证密钥K_i；

根据所述第一序列号dsqn_i、所述第一订阅隐匿标识符SUCI_i、所述第二共享认证密钥K_i、所述第一临时公钥pk_i、所述第一时间戳确定第六序列号SQN_i ^′；

根据所述第一随机数dr_i、所述第六序列号SQN_i ^′、所述第一订阅隐匿标识符SUCI_i、所述第二共享认证密钥K_i、所述第一时间戳确定第五随机数rand_i ^′；

根据所述第一订阅隐匿标识符SUCI_i、所述第一临时公钥pk_i、所述第六序列号SQN_i ^′、所述第五随机数rand_i ^′、所述第一时间戳确定所述第四鉴权值。

4.如权利要求1所述的系统，其特征在于，所述根据所述第一全局唯一临时标识符dguti_i、所述第二全局唯一临时标识符dguti_j、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第三随机数xr_hn、所述第五鉴权值ver_hn-i、所述第三时间戳确定第七鉴权值，包括：

根据第三随机数xr_hn与第二随机数dr_j计算出第四随机数rand_j ^′；

根据所述第二全局唯一临时标识符dguti_j，确定第三全局唯一临时标识符GUTI_j ^′；

根据所述第四序列号rsqn_j确定出第七序列号

根据所述第三全局唯一临时标识符GUTI_j ^′、所述第一全局唯一临时标识符dguti_i、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第七序列号所述第五鉴权值ver_hn-i、所述第一共享认证密钥K_j、所述第五随机数rand_i ^′、所述第三时间戳确定所述第七鉴权值。

5.如权利要求1所述的系统，其特征在于，所述根据所述第一订阅隐匿标识符SUCI_i、所述第二全局唯一临时标识符dguti_j、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第五鉴权值ver_hn-i、第一随机数dr_i、所述第三时间戳及所述第四时间戳确定第九鉴权值，包括：

根据所述第一订阅隐匿标识符SUCI_i、所述第二订阅隐匿标识符SUCI_j、第六随机数rand_i、所述第三临时公钥pk_hn、所述第一时间戳和所述第三时间戳，确定出第一会话密钥Key_i-hn；

根据所述第三序列号rsqn_i确定出所述第八序列号

根据所述第一全局唯一临时标识符dguti_i，确定第四全局唯一临时标识符GUTI_i ^′；

根据所述第一订阅隐匿标识符SUCI_i、所述第二订阅隐匿标识符SUCI_j、所述第四全局唯一临时标识符GUTI_i ^′、所述第一临时公钥pk_i、第五序列号SQN_i、所述第二共享认证密钥K_i、所述第六随机数rand_i及所述第三时间戳，确定出所述第五鉴权值ver_hn-i；

根据所述第五鉴权值ver_hn-i、所述第一订阅隐匿标识符SUCI_i、所述第一全局唯一临时标识符dguti_i、所述第三临时公钥pk_hn、所述第三序列号rsqn_i、所述第六随机数rand_i以及所述第三时间戳、所述第四时间戳确定所述第九鉴权值。

6.一种认证方法，其特征在于，包括：

接收来自网关设备的第一消息，所述第一消息用于请求对所述网络设备以及物联网设备进行认证，所述第一消息包括：第一订阅隐匿标识符SUCI_i，第二订阅隐匿标识符SUCI_j，第一临时公钥pk_i，第二临时公钥pk_j，第一序列号dsqn_i，第二序列号dsqn_j，第一随机数dr_i，第二随机数dr_j，第一鉴权值ver_i、第二鉴权值ver_j，第一时间戳，第二时间戳；

如果所述第四鉴权值等于所述第一鉴权值ver_i，则确定对物联网设备认证成功。

7.一种认证方法，其特征在于，包括：

接收来自基站的第二消息，所述第二消息用于请求对所述基站以及物联网设备进行认证，所述第二消息包括：第一全局唯一临时标识符dguti_i、第二全局唯一临时标识符dguti_j、第三序列号rsqn_i、第四序列号rsqn_j、第三临时公钥pk_hn、第三随机数xr_hn、第五鉴权值ver_hn-i、第六鉴权值ver_hn-j、第三时间戳；

如果所述第七鉴权值等于所述第五鉴权值ver_hn-i，则确定对所述基站与所述物联网设备认证成功。

8.一种认证方法，其特征在于，包括：

接收来自网关设备的第三消息，所述第三消息用于请求对所述网关设备以及基站进行认证，所述第三消息包括：所述第二订阅隐匿标识符SUCI_j、所述第一全局唯一临时标识符dguti_i、所述第三序列号rsqn_i、所述第三临时公钥pk_hn、所述第八鉴权值ver_j-i、所述第三时间戳和第四时间戳；

9.一种通信装置，其特征在于，包括处理器和存储器；

所述存储器，用于存储计算机指令；

所述处理器，与所述存储器连接，用于执行所述存储器中的所述计算机指令，用于实现如权利要求6至8中任一项所述的方法。

10.一种存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序或指令，当所述计算机程序或指令被通信装置执行时，实现如权利要求6至8中任一项所述的方法。