CN117546500A - 认证方法及装置 - Google Patents
认证方法及装置 Download PDFInfo
- Publication number
- CN117546500A CN117546500A CN202280001201.6A CN202280001201A CN117546500A CN 117546500 A CN117546500 A CN 117546500A CN 202280001201 A CN202280001201 A CN 202280001201A CN 117546500 A CN117546500 A CN 117546500A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network element
- network
- amf
- ausf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 524
- 230000008569 process Effects 0.000 claims abstract description 169
- 230000004044 response Effects 0.000 claims description 87
- 230000006870 function Effects 0.000 claims description 43
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 42
- 238000012790 confirmation Methods 0.000 claims description 40
- 238000004891 communication Methods 0.000 claims description 32
- 230000015654 memory Effects 0.000 claims description 12
- 238000013523 data management Methods 0.000 claims description 11
- 238000007726 management method Methods 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 abstract description 26
- 238000010586 diagram Methods 0.000 description 30
- 238000004590 computer program Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 8
- 239000004065 semiconductor Substances 0.000 description 6
- 229910044991 metal oxide Inorganic materials 0.000 description 5
- 150000004706 metal oxides Chemical class 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 229910000577 Silicon-germanium Inorganic materials 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- JBRZTFJDHDCESZ-UHFFFAOYSA-N AsGa Chemical compound [As]#[Ga] JBRZTFJDHDCESZ-UHFFFAOYSA-N 0.000 description 1
- LEVVHYCKPQWKOP-UHFFFAOYSA-N [Si].[Ge] Chemical compound [Si].[Ge] LEVVHYCKPQWKOP-UHFFFAOYSA-N 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提出了一种认证方法及装置,涉及通信领域,本申请的技术方案主要是UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
Description
本公开涉及移动通信技术领域,特别涉及一种认证方法及装置。
在移动网络通信系统中,用户设备(User Equipment,UE)能够发起网络认证过程以实现UE侧与网络侧之间的双向认证并提供后续安全过程所需信息,诸如鉴权服务器功能(Authentication Sever Function,AUSF)网元密钥。然而,在当前移动网络通信系统中,网络侧不具有触发关于UE的网络认证过程的机制,因此,在安全过程所需信息需要进行更新的情况下,有可能会由于UE未能及时发起网络认证过程而导致网络服务的中断。
发明内容
本公开提出了一种认证方法及装置,提供了一种由网络侧触发关于UE的网络认证过程的机制,从而能够极大改善网络服务的连续性和安全性。
本公开的第一方面实施例提供了一种认证方法,由UDM网元执行,所述方法包括:从鉴权服务器功能(Authentication Sever Function,AUSF)网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
可选地,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
可选地,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
可选地,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
本公开第二方面实施例提供了一种认证方法,所述方法由AUSF网元执行,所述方法包括:向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
可选地,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
可选地,所述方法还包括在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
本公开第三方面实施例提供了一种认证方法,由AMF网元执行,包括:从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
可选地,所述方法还包括:向所述UE发送寻呼消息以创建所述NAS连接。
可选地,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
可选地,所述方法还包括:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
可选地,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
本公开的第四方面实施例提供了一种认证方法,所述方法包括:AUSF网元向UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元响应于所述认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及所述AMF网元接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
可选地,所述认证通知消息包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:所述AMF网元向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
可选地,所述方法还包括:在所述网络认证过程完成之后,所述AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
可选地,所述认证通知消息和所述认证请求中还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
可选地,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
本公开的第五方面实施例提供了一种认证装置,用于UDM网元,包括:收发模块,用于从鉴权服务器功能(Authentication Sever Function,AUSF)网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
本公开的第六方面实施例提供了一种认证装置,用于AUSF网元,包括:收发模块,用于向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
本公开的第七方面实施例提供了一种认证装置,用于AMF网元,包括:收发模块,用于从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
本公开的第八方面实施例提供了一种认证系统,包括:AUSF网元、UDM网元、AMF网元,其中所述AUSF网元用于向所述UDM网元发送认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元用于接收从所述AUSF网元发送的所述网络认证过程触发指示,并响应于所述网络认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求并从UE接收认证响应,其中,所述认证请求用于请求所述UE进行所述网络认证过程以及所述认证响应包括进行所述网络认证过程所需信息。
本公开的第九方面实施例提供了一种通信设备,包括:收发器;存储器;处理器,分别与所述收发器及所述存储器连接,配置为通过执行所述存储器上的计算机可执行指令,控制所述收发器的无线信号收发,并能够实现上述第一方面实施例或第二方面实施例或第三方面实施例的认证方法。
本公开第十方面实施例提出了一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现上述第一方面实施例或第二方面实施例或第三方面实施例的认证方法。
本公开实施例提供了一种认证方法及装置,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
本公开附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。
本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本公开实施例的一种认证方法的流程示意图;
图2为根据本公开实施例的一种认证方法的流程示意图;
图3为根据本公开实施例的一种认证方法的流程示意图;
图4为根据本公开实施例的一种认证方法的流程示意图;
图5为根据本公开实施例的一种认证方法的流程示意图;
图6为根据本公开实施例的一种认证方法的流程示意图;
图7为根据本公开实施例的一种认证方法的流程示意图;
图8为根据本公开实施例的一种认证方法的流程示意图;
图9为根据本公开实施例的一种认证方法的流程示意图;
图10为根据本公开实施例的一种认证方法的流程示意图;
图11为根据本公开实施例的一种认证方法的流程示意图;
图12为根据本公开实施例的一种认证方法的流程示意图;
图13为根据本公开实施例的一种认证方法的流程示意图;
图14为根据本公开实施例的一种认证方法的流程示意图;
图15为根据本公开实施例的一种认证装置的框图;
图16为根据本公开实施例的一种认证装置的框图;
图17为根据本公开实施例的一种认证装置的框图;
图18为根据本公开实施例的一种认证装置的框图;
图19为根据本公开实施例的一种认证装置的框图;
图20为根据本公开实施例的一种认证装置的框图;
图21为根据本公开实施例的一种认证装置的框图;
图22为本公开实施例提供的一种通信装置的结构示意图;
图23为本公开实施例提供的一种芯片的结构示意图。
下面详细描述本公开的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
为了保护漫游操纵(Steering of Roaming,SoR)/UE参数更新(UE Parameter Update,UPU)服务,鉴权服务器功能(Authentication Sever Function)AUSF网元和UE需要在AUSF网元密钥K
AUSF的使用期限内维护漫游操纵计数Counter
SoR/UE参数更新计数Counter
UPU。当新生成的K
AUSF被存储时,Counter
SoR被设置为0x00 0x01,Counter
UPU被设置为0x00 0x01,并且将随着每次AUSF网元侧SoR消息的哈希值SoR-MAC-I
AUSF/UPU消息的哈希值UPU-MAC-I
AUSF的计算而单增。一旦与K
AUSF关联的Counter
SoR/Counter
UPU达到上限值,AUSF网元将无法提供对于UE的SoR/UPU保护服务。仅在为UE重新生成新的K
AUSF时,Counter
SoR/Counter
UPU被重置,且AUSF网元可恢复对于UE的SoR/UPU保护服务。因此,在K
AUSF变得无效之前,及时地刷新K
AUSF是非常必要的。
网络认证过程可以实现UE侧与网络侧之间的双向认证并提供后续安全过程所需信息。在成功完成网络认证过程之后,可以生成新的K
AUSF。在当前移动通信网络中,网络侧不具有触发关于UE的网络认证过程的机制,UE可以长时间使用同一K
AUSF附接至网络而不刷新K
AUSF,但这将导致SoR/UPU保护服务甚至网络服务的中断。为了安全起见,亟待需要能够使得网络侧来触发关于UE的网络认证过程的机制,以解决引入的安全威胁。网络侧触发关于UE的网络认证过程能极大地改善网络服务的连续性和安全性。
当Counter
SoR/Counter
UPU达到上限值时,部分核心网侧的网络功能(Network Function,NF)(如,AUSF网络、UDM网元、AMF网元等)可以检测K
AUSF的不可用并通知UE来运行网络认证过程而无需挂起对于UE的SoR/UPU保护服务。然而,在当前移动网络通信系统中,主要由UE通过向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送注册请求来发起网络认证 过程。核心网侧的NF不具有触发关于UE的网络认证过程的机制,因此有可能引入额外的安全威胁并降低服务质量。
为此,本公开提出了一种认证方法及装置,提供了一种由网络侧触发关于UE的网络认证过程的机制,从而能够极大改善网络服务的连续性和安全性。
下面结合附图对本申请所提供的认证方法及装置进行详细地介绍。
图1示出了根据本公开实施例的一种认证方法的流程示意图。如图1所示,该方法可由UDM网元执行,且包括以下步骤。
S101,从AUSF网元接收网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
S102,向AMF网元发送认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
在本实施例中,UDM网元可以从AUSF网元接收到携带AUSF网元对应的UE的标识的网络认证过程触发指示,UDM网元在接收到网络认证过程触发指示之后,可以响应于该网络认证过程触发指示向该AMF网元发送认证通知消息,以通知AMF网元进行关于UE的网络认证过程。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K
AUSF的情况下,诸如,当前K
AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
其中,UE的标识可以为通用公共用户标识(Generic Public Subscription Identifier,GPSI)或用户永久标识(Subscription Permanent Identifier,SUPI)。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,UDM网元向AMF网元发送的认证通知消息还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行。
在一些实施例中,网络认证过程触发指示以及认证通知消息还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
AUSF网元可以由于K
AUSF无效而请求UDM网元触发网络认证过程,K
AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,AUSF网元请求UDM网元触发网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。AUSF网元向UDM网元发送的网络认证过程触发指示中可以携带指示该原因的认证原因。UDM网元在接收到携带有认证原因的网络认证过程触发指示后,可以向AMF网元发送携带该认证原因的认证通知消息。
在一些实施例中,UDM网元向AMF网元发送的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
UDM网元向AMF网元发送的认证通知消息还可以包括确认请求指示,该确认请求指示用于向AMF网元请求用于指示AMF网元已请求UE进行网络认证过程的认证通知确认消息,从而UDM网元在收到该认证通知确认消息之后能够确认AMF网元已请求UE进行网络认证过程,即UDM网元能够了解关于UE的网络认证过程的此次触发是否实施。
例如,若认证通知消息中包括确认请求指示,而UDM网元在发送认证通知消息后的预设时间段内为接收到AMF网元发送的认证通知确认消息,则UDM网元可以确认关于UE的网络认证过程的此次触发未能实施。
图2示出了根据本公开实施例的一种认证方法的流程示意图。如图2所示,该方法可由AUSF网元执行,且该认证方法可以包括以下步骤。
S201,向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为GPSI或SUPI。
在本实施中,AUSF网元可以向UDM网元发送网络认证过程触发指示,而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,以实现由网络侧触发关于UE的网络认证过程的机制。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K
AUSF的情况下,诸如,当前K
AUSF无效的情况下,AUSF网元可以向UDM网元发送其中携带AUSF网元对应的UE的标识的网络认证过程触发指示。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,而而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,AUSF网元向UDM网元发送的网络认证过程触发指示还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
AUSF网元可以由于K
AUSF无效而请求UDM网元触发网络认证过程,K
AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,AUSF网元请求UDM网元触发网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。AUSF网元向UDM网元发送的网络认证过程触发指示中可以携带指示该原因的认证原因。
图3示出了根据本公开实施例的一种认证方法的流程示意图,该方法可由AUSF网元执行,基于图2所示的实施例,如图3所示,该认证方法可以包括以下步骤。
S301,向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
关于上述步骤S301的描述和具体细节,可以参考上述步骤S201的相关描述与细节。
S302,在确认网络认证过程完成之后,生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
AUSF网元在确认网络认证过程完成之后,可以生成新的AUSF网元密钥K
AUSF,并对漫游操纵计数和UE参数更新计数进行重置,即将Counter
SoR设置为0x00 0x01,将Counter
UPU设置为0x00 0x01。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,而而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,在网络认证过程完成之后可以生成新的AUSF网元密钥并对漫游操纵计数和UE参数更新计数进行重置,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,AUSF网元向UDM网元发送的网络认证过程触发指示还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
本发明还提供了一种认证方法,由AMF网元执行,包括:从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
在一些实施例中,所述方法还包括:向所述UE发送寻呼消息以创建所述NAS连接。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
在一些实施例中,所述方法还包括:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
在一些实施例中,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求和所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述认证通知消息还包括所述UDM网元发出所述认证通知消息的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
图4示出了根据本公开实施例的一种认证方法的流程示意图,如图4所示,该方法可由AMF网元执行,且可以包括以下步骤。
S401,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
在本实施例中,AMF网元可以从UDM网元接收其中携带UE的标识的认证通知消息,以便由UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为GPSI或SUPI。
S402,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的NAS连接向UE发送认证请求,以请求UE进行网络认证过程。
S403,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
网络认证过程所涉及的网络设备,诸如AMF网元、AUSF网元、UDM网元之间可以通过交互以便所涉及的网络设备均能够获取到进行网络认证过程所需信息,从而能够进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
UDM网元可以响应于从AUSF网元接收到的网络认证过程触发指示向AMF网元发送认证通知消息。当AUSF网元确定需要重新生成AUSF网元密钥K
AUSF的情况下,诸如,当前K
AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
K
AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,UDM网元发出认证通知消息以触发关于UE的网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
图5示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图5所示,且该方法可以包括以下步骤。
S501,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
关于上述步骤S501的描述和具体细节,可以参考上述步骤S401的相关描述与细节。
S502,向UE发送寻呼消息以创建NAS连接。
AMF网元在接收到携带有UE的标识的认证通信消息后,若发现该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在,则该步骤S502可省略。
S503,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S504,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S503-S504的描述和具体细节,可以参考上述步骤S402-S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图6示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图6所示,且该方法可以包括以下步骤。
S601,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
S602,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
关于上述步骤S601-S602的描述和具体细节,可以参考上述步骤S401-S402的相关描述与细节。
S603,向UDM网元发送认证通知确认消息。
其中,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
从UDM网元接收的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示。若认证通知消息中包括确认请求指示,则AMF网元在向UE发送认证请求后可以向UDM网元发送认证通知确认消息以通知UDM网元已触发关于UE的网络认证过程。若AMF网元未能向UE发送认证请求,则不会向UDM网元发送认证通知确认消息,而UDM网元在预设时间段内未能收到该认证通知确认消息,便可以确认关于UE的网络认证过程的此次触发未能实施。
S604,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S604的描述和具体细节,可以参考上述步骤S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图6所示实施例仅仅在图4所示实施例的基础上进行描述,类似地,该图6所示实施例也可基于图5所示实施例,例如,图6的步骤S603也可以与图5的步骤S501-S504进行结合,在此不再进行赘述。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图7示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图7所示,且该方法可以包括以下步骤。
S701,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
关于上述步骤S701的描述和具体细节,可以参考上述步骤S401的相关描述与细节。
S702,根据本地存储的NAS安全上下文对认证请求进行安全保护。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的NAS连接向UE发送认证请求,以请求UE进行网络认证过程。
为了安全起见,AMF网元可以根据本地存储的NAS安全上下文对该认证请求进行安全保护,例如,进行加密,再将经安全保护的认证请求发送给UE。UE接收到经安全保护的认证请求后,可以根据UE本地存储的NAS安全上下文对经安全保护的认证请求进行解析以获取到认证请求的内容。
S703,通过AMF网元与UE之间的NAS连接,向UE发送经安全保护的认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S704,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S703-S704的描述和具体细节,可以参考上述步骤S402-S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图7所示实施例仅仅在图4所示实施例的基础上进行描述,类似地,该图7所示实施例也可基于图5和图6所示实施例,例如,图7的步骤S702也可以与图5的步骤S501-S504、图6的步骤S601-S604进行结合,在此不再进行赘述。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图8示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图7所示实施例,如图8所示,且该方法可以包括以下步骤。
S801,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
S802,根据本地存储的NAS安全上下文对认证请求进行安全保护。
S803,通过AMF网元与UE之间的NAS连接,向UE发送经安全保护的认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S804,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S801-S804的描述和具体细节,可以参考上述步骤S701-S704的相关描述与细节。
S805,在网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
AMF网元在确认网络认证过程完成之后,可以对本地存储的NAS安全上下文进行更新,从而在完成NAS安全模型命令流程以激活更新后的NAS安全上下文后可以使用更新后的NAS安全上下文对指定消息进行安全保护。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
本公开实施例提供了一种认证方法,所述方法由UE执行,所述方法包括:从AMF网元接收认证请求,其中,所述认证请求用于请求所述UE进行网络认证过程;以及向所述AMF网元反馈认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
在一些实施例中,所述方法还包括:从所述AMF网元接收寻呼消息以创建与所述AMF网元之间的NAS连接。
在一些实施例中,所述方法还包括:根据本地存储的NAS安全上下文对所述认证响应进行安全保护。
在一些实施例中,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
图9示出了根据本公开实施例的一种认证方法的流程示意图。如图9所示,该方法可由UE执行,且可以包括以下步骤。
S901,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
在本实施例中,UE可以从AMF网元接收用于请求UE进行网络认证过程的认证请求。
例如,AMF网元可以在从AUSF网元接收到用于通知AMF网元进行关于UE的网络认证过程的认证通知消息后,向UE发送认证请求。
S902,向AMF网元反馈认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
网络认证过程所涉及的网络设备,诸如AMF网元、AUSF网元、UDM网元之间可以通过交互以便所涉及的网络设备均能够获取到进行网络认证过程所需信息,从而能够进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
例如,如果UE所接收到的认证请求中的接入类型信息指示3GPP接入,则UE可以确认该网络认证过程仅针对3GPP接入进行。
又如,如果UE所接收到的认证请求中的接入类型信息指示非3GPP接入,则UE可以确认该网络认证过程仅针对非3GPP接入进行。
又如,如果UE所接收到的认证请求中的接入类型信息指示3GPP接入和非3GPP接入,则UE可以确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
图10示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图10所示,该方法可以包括以下步骤。
S1001,从AMF网元接收寻呼消息以创建与AMF网元之间的NAS连接。
AMF网元可以通过NAS连接与UE进行信息交互,若该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在,则该步骤S1001可省略。
S1002,通过NAS连接从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S1003,向AMF网元反馈认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1002-S1003的描述和具体细节,可以参考上述步骤S901-S902的相关描述与细节。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图11示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图11所示,该方法可以包括以下步骤。
S1101,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
关于上述步骤S1101的描述和具体细节,可以参考上述步骤S901的相关描述与细节。
S1102,根据本地存储的NAS安全上下文对认证响应进行安全保护。
UE在接收到认证请求后,可以通过AMF网元与UE之间的NAS连接向AMF网元发送认证响应,以提供进行网络认证过程所需信息。
为了安全起见,UE可以根据本地存储的NAS安全上下文对该认证响应进行安全保护,例如,进行加密,再将经安全保护的认证响应发送给AMF网元。AMF网元接收到经安全保护的认证响应后,可以根据AMF网元本地存储的NAS安全上下文对经安全保护的认证响应进行解析以获取到认证响应的内容。
S1103,向AMF网元反馈经安全保护的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1103的描述和具体细节,可以参考上述步骤S902的相关描述与细节。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图11所示实施例仅仅在图9所示实施例的基础上进行描述,类似地,该图11所示实施例也可基于图10所示实施例,例如,图11的步骤S1102也可以与图10的步骤S1001-S1003进行结合,在此不再进行赘述。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图12示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图12所示,该方法可以包括以下步骤。
S1201,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S1202,根据本地存储的NAS安全上下文对认证响应进行安全保护。
S1203,向AMF网元反馈经安全保护的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1201-S1203的描述和具体细节,可以参考上述步骤S1101-S1103的相关描述与细节。
S1204,在网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
UE在确认网络认证过程完成之后,可以对本地存储的NAS安全上下文进行更新,从而在完成NAS安全模型命令流程以激活更新后的NAS安全上下文后可以使用更新后的NAS安全上下文对指定消息进行安全保护。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图13示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE、AMF网元、AUSF网元、UDM网元交互来执行,如图13所示,且该方法可以包括以下步骤。
S1301,AUSF网元向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为通用公共用户标识(Generic Public Subscription Identifier,GPSI)或用户永久标识(Subscription Permanent Identifier,SUPI)。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K
AUSF的情况下,诸如,当前K
AUSF无效的情况下,AUSF网元可以向UDM网元发送其中携带AUSF网元对应的UE的标识的网络认证过程触发指示。
S1302,UDM网元向AMF网元发送认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
UDM网元在接收到网络认证过程触发指示之后,可以响应于该网络认证过程触发指示向该AMF网元发送认证通知消息,以通知AMF网元进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
S1303,AMF网元向UE发送认证请求。
其中,所述认证请求用于请求所述UE进行所述网络认证过程。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的非接入(Non Access Stratum,NAS)连接向UE发送认证请求,以请求UE进行网络认证过程。
MF网元在接收到携带有UE的标识的认证通信消息后,若发现该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在。AMF网元通过该NAS连接与UE进行通信。
S1304,AMF网元接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,UDM网元响应于该网络认证过程触发指示向AMF网元发送认证通知消息以通知AMF网元进行关于UE的网络认证过程,AMF网元在从AUSF网元接收到认证通知消息后向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,网络认证过程触发指示和认证通知消息还可以包括AUSF网元请求触发所述网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
当AUSF网元确定需要重新生成AUSF网元密钥K
AUSF的情况下,诸如,当前K
AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
K
AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,UDM网元发出认证通知消息以触发关于UE的网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。
在一些实施例中,UDM网元发送的认证通知消息以及AMF网元向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
在一些实施例中,认证通知消息包括用于向AMF网元请求认证通知确认消息的确认请求指示,该认证方法还可以包括AMF网元向UDM网元发送认证通知确认消息,其中,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
UDM网元发送的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示。若认证通知消息中包括确认请求指示,则AMF网元在向UE发送认证请求后可以向UDM网元发送认证通知确认消息以通知UDM网元已触发关于UE的网络认证过程。若AMF网元未能向UE发送认证请求,则不会向UDM网元发送认证通知确认消息,而UDM网元在预设时间段内未能收到该认证通知确认消息,便可以确认关于UE的网络认证过程的此次触发未能实施。
在一些实施例中,该认证方法还可以包括在网络认证过程完成之后,AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
AUSF网元在确认网络认证过程完成之后,可以生成新的AUSF网元密钥K
AUSF,并对漫游操纵计数和UE参数更新计数进行重置,即将Counter
SoR设置为0x00 0x01,将Counter
UPU设置为0x00 0x01。
图14示出了根据本公开实施例的一种认证方法的流程示意图。该方法可通过UE、AMF网元、AUSF网元、UDM网元交互来实现,如图14所示,该方法可以包括以下步骤。
S1401,AUSF网元向UDM网元发送网络认证过程触发指示,该网络认证过程触发指示可以为Nausf_SoRProtection Response和/或Nasuf_UPUPtrotection Response。其中,Nausf_SoRProtection Response可以指示与K
AUSF相关的Counter
SoR达到上限、Nasuf_UPUPtrotection Response可以指示与K
AUSF相关的Counter
UPU达到上限。
S1402,UDM网元向AMF网元发送认证通知消息Authentication Notification(例如,可以为Nausf_UECM_AuthenticationNotification),该认证通知消息中可以包括SUPI,接入类型、认证原因等。其中认证原因可以是Counter
SoR达到上限和/或Counter
UPU达到上限。接入类型可以指示该认证过程所应用的是3GPP接入、非3GPP接入还是二者均可。
S1403,考虑到UE可能与AMF网元之间不存在NAS连接,5G核心网可以寻呼该UE。如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,即经由3GPP接入可达,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则该步骤可省略。
S1404,一旦UE与AMF网元之间的NAS连接已建立,AMF网元可以向UE发送认证请求HN-triggered Authentication Request,该请求可以包括接入类型,且该请求可以经由NAS安全上下文安全保护。
S1405,如果UDM网元已向AMF网元请求认证通知确认,则AMF网元向UDM网元发送认证通知确认消息Authentication Notification ACK。
S1406,UE向AMF网元反馈认证响应HN-triggered Authentication Response,该响应可以包括用于进行网络认证过程所需信息,诸如UE自身能力信息。
S1407,安全锚功能(Security Anchor Function,SEAF)网元通过向AUSF网元发送认证请求消息Nausf_UEAuthentication_Authenticate Request以触发认证服务,该消息中可以包括SUCI或SUPI、服务网名称等信息。
S1408,AUSF网元向UDM网元发送认证获取请求消息Nudm_UEAuthentication_Get Request,该消息可以包括SUPI、服务网名称等信息,UDM网元基于SUPI可以选择认证方式。
S1409,基于UDM网元所选认证方式,进行改进的可扩展认证协议-密钥协商(Improved Extensible Authentication Protocol-Authentication and Key Agreement,EAP-AKA’)或5G-AKA过程。
S1410,AUSF网元生成并存储新的K
AUSF,使用认证结果确认请求Nudm_UEAuthentication_ResultConfirmation Request向UDM网元通知网络认证过程的结果和时间。此外,AUSF网元对Counter
SoR和Counter
UPU进行重置。
S1411,UDM网元存储UE的认证状态信息,包括SUPI、指示认证成果或失败的认证结果、指示执行网络认证过程的时间的时间戳以及服务网名称等。
S1412,UDM网元向AUSF网元反馈认证结果确认响应Nudm_UEAuthentication_ResultConfirmation Response,以指示已经收到认证结果确认请求。
上述本申请提供的实施例中,分别从网络设备、用户设备的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,网络设备和用户设备可以包括硬件结构、软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。
与上述几种实施例提供的认证方法相对应,本公开还提供一种认证装置,由于本公开实施例提供的认证装置与上述几种实施例提供的认证方法相对应,因此认证方法的实施方式也适用于本实施例提供的认证装置,在本实施例中不再详细描述。
图15为本公开实施例提供的一种认证装置1500的结构示意图,该装置可以用于UDM网元。
如图15所示,该装置1500可以包括收发模块1501。
收发模块1501用于从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
根据本公开实施例的认证装置,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
图16为本公开实施例提供的一种认证装置1600的结构示意图,该装置可以用于AUSF网元。
如图16所示,该装置1600可以包括收发模块1601。
收发模块1601用于向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
根据本公开实施例的认证装置,AUSF网元向UDM网元发送网络认证过程触发指示,而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,如图17所示,所述装置1600还包括处理模块1602,所述处理模块用于在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
图18为本公开实施例提供的一种认证装置1800的结构示意图。该认证装置1800可用于AMF网元。
如图18所示,该装置1800可以包括收发模块1801。
收发模块1801用于从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息
根据本公开实施例的认证装置,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述收发模块1801还用于:向所述UE发送寻呼消息以创建所述NAS连接。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述收发模块1801还用于:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
在一些实施例中,如图19所示,所述装置1800还包括处理模块1802,所述处理模块1802用于:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
在一些实施例中,所述处理模块1802还用于:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求和所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述认证通知消息还包括所述UDM网元发出所述认证通知消息的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
图20为本公开实施例提供的一种认证装置2000的结构示意图。该认证装置2000可用于UE。
如图20所示,该装置2000可以包括收发模块2001。
所述收发模块2001用于从AMF网元接收认证请求,其中,所述认证请求用于请求所述UE进行网络认证过程;以及向所述AMF网元反馈认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
根据本公开实施例的认证装置,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述收发模块2001还用于:从所述AMF网元接收寻呼消息以创建与所述AMF网元之间的NAS连接。
在一些实施例中,如图21所示,所述装置2000还包括处理模块2002,所述处理模块2002用于:根据本地存储的NAS安全上下文对所述认证响应进行安全保护。
在一些实施例中,所述处理模块2002还用于:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
本申请实施例还提供一种认证系统,该系统包括前述图15实施例所述的UDM网元、图16-17实施例所述的AUSF网元、图18-19实施例所述的AMF网元。
请参见图22,图22是本申请实施例提供的一种通信装置2200的结构示意图。通信装置2200可以是网络设备,也可以是用户设备,也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等,还可以是支持用户设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法,具体可以参见上述方法实施例中的说明。
通信装置2200可以包括一个或多个处理器2201。处理器2201可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对通信装置(如,基站、基带芯片,终端设备、终端设备芯片,DU或CU等)进行控制,执行计算机程序,处理计算机程序的数据。
可选的,通信装置2200中还可以包括一个或多个存储器2202,其上可以存有计算机程序2204,处理器2201执行所述计算机程序2204,以使得通信装置2200执行上述方法实施例中描述的方法。可选的,所述存储器2202中还可以存储有数据。通信装置2200和存储器2202可以单独设置,也可以集成在一起。
可选的,通信装置2200还可以包括收发器2205、天线2206。收发器2205可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器2205可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。
可选的,通信装置2200中还可以包括一个或多个接口电路2207。接口电路2207用于接收代码指令并传输至处理器2201。处理器2201运行所述代码指令以使通信装置2200执行上述方法实施例中描述的方法。
在一种实现方式中,处理器2201中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在一种实现方式中,处理器2201可以存有计算机程序2203,计算机程序2203在处理器2201上运行,可使得通信装置2200执行上述方法实施例中描述的方法。计算机程序2203可能固化在处理器2201中,该种情况下,处理器2201可能由硬件实现。
在一种实现方式中,通信装置2200可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit,IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit,ASIC)、印刷电路板(printed circuit board,PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造,例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor,PMOS)、双极结型晶体管(bipolar junction transistor,BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
以上实施例描述中的通信装置可以是网络设备或者用户设备,但本申请中描述的通信装置的范围并不限于此,而且通信装置的结构可以不受图22的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据,计算机程序的存储部件;
(3)ASIC,例如调制解调器(Modem);
(4)可嵌入在其他设备内的模块;
(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等;
(6)其他等等。
对于通信装置可以是芯片或芯片系统的情况,可参见图23所示的芯片的结构示意图。图23所示的芯片包括处理器2301和接口2302。其中,处理器2301的数量可以是一个或多个,接口2302的数量可以是多个。
可选的,芯片还包括存储器2303,存储器2303用于存储必要的计算机程序和数据。
本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请还提供一种可读存储介质,其上存储有指令,该指令被计算机执行时实现上述任一方法实施例的功能。
本申请还提供一种计算机程序产品,该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解:本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围,也表示先后顺序。
本申请中的至少一个还可以描述为一个或多个,多个可以是两个、三个、四个或者更多个,本申请不做限制。在本申请实施例中,对于一种技术特征,通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征,该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。
如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
此外,应该理解,本申请所述的各种实施例可以单独实施,也可以在方案允许的情况下与其他实施例组合实施。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (23)
- 一种认证方法,其特征在于,所述方法由统一数据管理UDM网元执行,所述方法包括:从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
- 如权利要求1所述的方法,其特征在于,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
- 如权利要求1或2所述的方法,其特征在于,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
- 如权利要求1-3中任一项所述的方法,其特征在于,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
- 一种认证方法,其特征在于,所述方法由鉴权服务器功能AUSF网元执行,所述方法包括:向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
- 如权利要求5所述的方法,其特征在于,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
- 如权利要求5或6所述的方法,其特征在于,还包括:在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
- 一种认证方法,其特征在于,所述方法由接入和移动性管理功能AMF网元执行,所述方法包括:从统一数据管理UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
- 如权利要求8所述的方法,其特征在于,还包括:向所述UE发送寻呼消息以创建所述NAS连接。
- 如权利要求8或9所述的方法,其特征在于,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
- 如权利要求8-10中任一项所述的方法,其特征在于,还包括:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
- 如权利要求11所述的方法,其特征在于,还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
- 一种认证方法,其特征在于,包括:鉴权服务器功能AUSF网元向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元响应于所述认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及所述AMF网元接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
- 如权利要求13所述的方法,其特征在于,所述认证通知消息包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:所述AMF网元向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
- 如权利要求13或14所述的方法,其特征在于,还包括:在所述网络认证过程完成之后,所述AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
- 如权利要求13-15中任一项所述的方法,其特征在于,所述认证通知消息和所述认证请求中还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
- 如权利要求13-16中任一项所述的方法,其特征在于,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
- 一种认证装置,其特征在于,用于统一数据管理UDM网元,包括收发模块,所述收发模块用于:从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
- 一种认证装置,其特征在于,用于网络认证服务器功能AUSF网元,包括收发模块,所述收发模块用于:向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
- 一种认证装置,其特征在于,用于接入和移动性管理功能AMF网元,包括收发模块,所述收发模块用于:从统一数据管理UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
- 一种认证系统,包括鉴权服务器功能AUSF网元、统一数据管理UDM网元、接入和移动性管理功能AMF网元,其中,所述AUSF网元用于向所述UDM网元发送认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元用于接收从所述AUSF网元发送的所述网络认证过程触发指示,并响应于所述网络认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求并从UE接收认证响应,其中,所述认证请求用于请求所述UE进行所述网络认证过程以及所述认证响应包括进行所述网络认证过程所需信息。
- 一种通信设备,其中,包括:收发器;存储器;处理器,分别与所述收发器及所述存储器连接,配置为通过执行所述存储器上的计算机可执行指令,控制所述收发器的无线信号收发,并能够实现权利要求1-17任一项所述的方法。
- 一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1-17任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2022/086928 WO2023197272A1 (zh) | 2022-04-14 | 2022-04-14 | 认证方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117546500A true CN117546500A (zh) | 2024-02-09 |
Family
ID=88328545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280001201.6A Pending CN117546500A (zh) | 2022-04-14 | 2022-04-14 | 认证方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117546500A (zh) |
WO (1) | WO2023197272A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928842A (zh) * | 2019-03-01 | 2022-08-19 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
US20220408249A1 (en) * | 2019-11-11 | 2022-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Home network initiated primary authentication/reauthentication |
US11889584B2 (en) * | 2020-08-12 | 2024-01-30 | Apple Inc. | Updating user equipment parameters |
-
2022
- 2022-04-14 CN CN202280001201.6A patent/CN117546500A/zh active Pending
- 2022-04-14 WO PCT/CN2022/086928 patent/WO2023197272A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2023197272A1 (zh) | 2023-10-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102606289B1 (ko) | 무선 통신 시스템에서 등록 및 세션 관리를 처리하기 위한 방법 및 시스템 | |
EP3657868A1 (en) | Session information management method and device | |
JP7017586B2 (ja) | 無線通信方法、ネットワーク機器及び端末装置 | |
CN113039825A (zh) | 接入被拒绝的网络资源 | |
US11032872B2 (en) | Apparatus and method for deleting session context | |
CN110447266A (zh) | 对由用户设备使用设置的变化引起的用户设备覆盖增强模式b无线电能力失配的处理 | |
EP3758424B1 (en) | Method for determining clock source and device | |
US11751130B2 (en) | Apparatus, method and computer program | |
CN110475314B (zh) | 通信方法及装置 | |
CN110049578B (zh) | 无线连接修改方法、设备及系统 | |
US20210051098A1 (en) | Method and apparatus for universal integrated circuit card update via dedicated network function | |
CN113748697A (zh) | 用于提供非接入层(nas)消息保护的方法和系统 | |
CN117158007A (zh) | 促进网络中终端定时信息的控制的方法、装置和计算机程序产品 | |
CN108934067B (zh) | 一种获取寻呼参数的方法及装置 | |
US20240080340A1 (en) | Security for Groupcast Message in D2D Communication | |
CN110881183B (zh) | 紧急业务处理方法及其装置 | |
CN117546500A (zh) | 认证方法及装置 | |
WO2023197273A1 (zh) | 认证方法及装置 | |
KR102604240B1 (ko) | 네트워크 오류 또는 시간 경과로 인한 nssaa 실패의 처리 | |
CN112867100B (zh) | 接入控制方法及通信装置 | |
CN112087297B (zh) | 一种获取安全上下文的方法、系统及设备 | |
WO2020034449A1 (en) | Methods and systems for user equipment mobility management and registration | |
JP2021514566A (ja) | サービス伝送方法および装置、コンピュータ記憶媒体 | |
WO2023225878A1 (zh) | 一种ai网络功能的重新认证授权方法/装置/设备及存储介质 | |
US20220393877A1 (en) | Cryptographic Security Mechanism for Groupcast Communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |