CN117597961A - 认证方法、装置、通信设备和存储介质 - Google Patents
认证方法、装置、通信设备和存储介质 Download PDFInfo
- Publication number
- CN117597961A CN117597961A CN202280001898.7A CN202280001898A CN117597961A CN 117597961 A CN117597961 A CN 117597961A CN 202280001898 A CN202280001898 A CN 202280001898A CN 117597961 A CN117597961 A CN 117597961A
- Authority
- CN
- China
- Prior art keywords
- authentication
- pine
- pegc
- pin
- parameters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 128
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 235000008331 Pinus X rigitaeda Nutrition 0.000 claims description 526
- 235000011613 Pinus brutia Nutrition 0.000 claims description 526
- 241000018646 Pinus brutia Species 0.000 claims description 526
- 230000004044 response Effects 0.000 claims description 232
- 238000004364 calculation method Methods 0.000 claims description 144
- 230000008569 process Effects 0.000 claims description 40
- 230000006870 function Effects 0.000 claims description 38
- 238000012545 processing Methods 0.000 claims description 36
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 28
- 238000013523 data management Methods 0.000 claims description 5
- 238000004846 x-ray emission Methods 0.000 description 89
- 238000010295 mobile communication Methods 0.000 description 31
- 230000001413 cellular effect Effects 0.000 description 27
- 238000007726 management method Methods 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 12
- 238000006731 degradation reaction Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 102100027069 Odontogenic ameloblast-associated protein Human genes 0.000 description 1
- 101710091533 Odontogenic ameloblast-associated protein Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开实施例是关于认证方法、装置、通信设备和存储介质,核心网设备对私有物联网单元(PINE)进行身份认证,其中,所述PINE通过私有物联网网关(PEGC)接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
Description
本申请涉及无线通信技术领域但不限于无线通信技术领域,尤其涉及认证方法、装置、通信设备和存储介质。
个人物联网(Personal IoT Networks,PIN)指围绕个人和家庭场景的物联网。PIN中包含三种设备(A.K.A PIN Element):具有网关能力的设备,如私有物联网网关(A.K.A PIN Element with Gateway Capability,PEGC)、具有管理能力的设备(A.K.A PIN Element with Management Capability,PEMC)和没有网关和管理功能的设备,如私有物联网单元(PIN Element,PINE)。PEGC和PEMC是可以直接接入第五代蜂窝移动通信系统(5
th Generation System,5GS)的用户设备(User Equipment,UE)。PEMC还能够通过PEGC访问5GS。而PINE无法直接访问5GS。
发明内容
有鉴于此,本公开实施例提供了一种认证方法、装置、通信设备和存储介质。
根据本公开实施例的第一方面,提供一种认证方法,其中,由第一类网络的核心网设备执行,包括:
对私有物联网单元PINE进行身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述对PINE进行身份认证,包括:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述基于所述期望认证参数,对所述PINE进行所述身份认证,包括:
通过第一类网络经由基站向所述PEGC发送所述计算参数,其中,所述计算参数由所述PEGC通过第二类网络发送给所述PINE;
接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定,并通过所述第二类网络发送给所述PEGC的;
基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述通过第一类网络经由基站向所述PEGC发送所述计算参数,包括:
所述核心网设备中的统一数据管理(Unified Data Management,UDM)向所述核心网设备中的认证服务功能(Authentication Server Function,AUSF)发送携带有所述计算参数的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能(Security Anchor Function,SEAF)发送携带有所述计算参数的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述计算参数的认证请求。
在一个实施例中,所述接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,包括以下至少之一:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述认证参数的认证响应,其中,所述认证参数是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述认证参数的AUSF认证请求。
在一个实施例中,所述基于所述认证参数和所述期望认证参数对所述PINE进行身份认证,包括以下至少之一:
所述SEAF根据所述认证参数确定哈希认证参数,基于所述哈希认证参数和哈希期望认证参数对所述PINE进行身份认证,其中,所述哈希期望认证参数是由所述AUSF基于期望认证参数确定并发送给SEAF的;
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有指示所述PINE的所 述PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述方法还包括:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述方法还包括:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
至少基于所述第一凭证、所述计算参数和服务网络标识(Service Network Name,SN-Name),确定所述期望认证参数;
所述认证参数,是由所述PINE至少基于第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述计算参数和/或所述服务网络标识是由所述PEGC通过所述第二类网络发送给所述PINE的。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第二方面,提供一种认证方法,其中,由私有物联网网关PEGC执行,包括:
在第一类网络的核心网设备对PINE进行身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数;其中,所述计算参数, 用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:
通过第二类网络向所述PINE发送所述计算参数;
接收所述PINE通过所述第二类网络发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数,包括:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述计算参数的认证请求;
所述通过第二类网络向所述PINE发送所述计算参数,包括:
通过所述第二类网络,向所述PINE发送携带有所述计算参数的PINE认证请求;
所述接收所述PINE通过所述第二类网络发送的认证参数,包括:
接收所述PINE通过所述第二类网络发送的携带有所述认证参数的PINE认证响应;
所述通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,包括:
所述通过所述第一类网络经由所述基站向所述SEAF发送携带有所述认证参数的认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数,是由所述核心网设备至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述认证参数,是由所述PINE至少基于所述第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述PEGC包括用户设备UE。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第三方面,提供一种认证方法,其中,由PINE执行,包括:
在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过第二类网络接收所述PEGC发送的计算参数,其中,所述计算参数,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述方法还包括:至少基于第二凭证和所述计算参数确定认证参数;
所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过所述第二类网络向所述PEGC发送所述认证参数,所述认证参数,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述通过第二类网络接收所述PEGC发送的所述计算参数,包括:
通过所述第二类网络,接收所述PEGC发送的携带有所述计算参数的PINE认证请求;
所述通过所述第二类网络向所述PEGC发送所述认证参数,包括:
通过所述第二类网络向所述PEGC发送的携带有所述认证参数的PINE认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数是至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述至少基于第二凭证和所述计算参数确定认证参数,包括:
至少基于所述第二凭证、所述计算参数和服务网络标识确定所述认证参数。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第四方面,提供一种认证装置,其中,应用于第一类网络的核心网设备包括:
处理模块,配置为对PINE进行身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述处理模块,具体配置为:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述装置,还包括:
收发模块,配置为通过第一类网络经由基站向所述PEGC发送所述计算参数,其中,所述计算参数由所述PEGC通过第二类网络发送给所述PINE;
所述收发模块,还配置为接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定,并通过所述第二类网络发送给所述PEGC的;
所述处理模块,具体配置为:基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述收发模块,具体配置为:
所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述计算参数的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述计算参数的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述计算参数的认证请求。
在一个实施例中,所述收发模块,具体配置为以下至少之一:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述认证参数的认证响应,其中,所述认证参数是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所 述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述认证参数的AUSF认证请求。
在一个实施例中,所述处理模块,具体配置为以下至少之一:
所述SEAF根据所述认证参数确定哈希认证参数,基于所述哈希认证参数和哈希期望认证参数对所述PINE进行身份认证,其中,所述哈希期望认证参数是由所述AUSF基于期望认证参数确定并发送给SEAF的;
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有指示所述PINE的所述PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述处理模块,还配置为响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述处理模块,还配置为:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述处理模块,具体配置为:至少基于所述第一凭证、所述计算参数和服务网络标识,确定所述期望认证参数;
所述认证参数,是由所述PINE至少基于第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述计算参数和/或所述服务网络标识是由所述PEGC通过所述第二类网络发送给所述PINE的。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第五方面,提供一种认证装置,其中,应用于私有物联网网关PEG,包括:
收发模块,配置为在第一类网络的核心网设备对PINE进行身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块,具体配置为:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述收发模块,具体配置为:
通过第二类网络向所述PINE发送所述计算参数;
接收所述PINE通过所述第二类网络发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块,具体配置为至少以下之一:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述计算参数的认证请求;
通过所述第二类网络,向所述PINE发送携带有所述计算参数的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有所述认证参数的PINE认证响应;
所述通过所述第一类网络经由所述基站向所述SEAF发送携带有所述认证参数的认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数,是由所述核心网设备至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述认证参数,是由所述PINE至少基于所述第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述PEGC包括用户设备UE。
根据本公开实施例的第六方面,提供一种认证装置,其中,应用于PINE,包括:
收发模块,配置为在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块,具体配置为:
通过第二类网络接收所述PEGC发送的计算参数,其中,所述计算参数,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述装置还包括:处理模块,配置为至少基于第二凭证和所述计算参数确定认证参数;
所述收发模块,具体配置为:通过所述第二类网络向所述PEGC发送所述认证参数,所述认证参数,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块,具体配置为至少以下之一:
通过所述第二类网络,接收所述PEGC发送的携带有所述计算参数的PINE认证请求;
通过所述第二类网络向所述PEGC发送的携带有所述认证参数的PINE认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数是至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述处理模块,具体配置为:
至少基于所述第二凭证、所述计算参数和服务网络标识确定所述认证参数。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第七方面,提供一种通信设备装置,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如第一方面或第二方面或第三方面所述认证方法的步骤。
根据本公开实施例的第八方面,提供一种存储介质,其上存储由可执行程序,其中,所述可执行程序被处理器执行时实现如第一方面或第二方面或第三方面所述认证方法的步骤。
本公开实施例提供的认证方法、装置、通信设备和存储介质。核心网设备对PINE进行身份认证,其中,所述PINE通过PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。如此,由核心网设备对PINE进行身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开实施例。
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明实施例,并与说明书 一起用于解释本发明实施例的原理。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图;
图2是根据一示例性实施例示出的一种认证方法的流程示意图;
图3是根据一示例性实施例示出的一种触发核心网设备进行认证的方法的流程示意图;
图4是根据一示例性实施例示出的一种认证方法的流程示意图;
图5是根据一示例性实施例示出的一种认证方法的流程示意图;
图6是根据一示例性实施例示出的一种认证方法的流程示意图;
图7是根据一示例性实施例示出的一种认证方法的流程示意图;
图8是根据一示例性实施例示出的一种认证方法的流程示意图;
图9是根据一示例性实施例示出的一种认证方法的流程示意图;
图10是根据一示例性实施例示出的一种认证交互示意图;
图11是根据一示例性实施例示出的一种认证装置的框图;
图12是根据一示例性实施例示出的一种认证装置的框图;
图13是根据一示例性实施例示出的一种认证装置的框图;
图14是根据一示例性实施例示出的一种用于认证的装置的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于蜂窝移动通信技术的通信系统,该无线通信系统可以包括:若干个终端11以及若干个基站12。
其中,终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网设备进行通信,终端11可以是物联网终端, 如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户终端(user equipment,UE)。或者,终端11也可以是无人飞行器的设备。或者,终端11也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线通信设备。或者,终端11也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
基站12可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口(new radio,NR)系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network,新一代无线接入网)。或者,MTC系统。
其中,基站12可以是4G系统中采用的演进型基站(eNB)。或者,基站12也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站12采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体访问控制(Media Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对基站12的具体实现方式不加以限定。
基站12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
在一些实施例中,终端11之间还可以建立E2E(End to End,端到端)连接。比如车联网通信(vehicle to everything,V2X)中的V2V(vehicle to vehicle,车对车)通信、V2I(vehicle to Infrastructure,车对路边设备)通信和V2P(vehicle to pedestrian,车对人)通信等场景。
在一些实施例中,上述无线通信系统还可以包含网络管理设备13。
若干个基站12分别与网络管理设备13相连。其中,网络管理设备13可以是无线通信系统中的核心网设备,比如,该网络管理设备13可以是演进的数据分组核心网设备(Evolved Packet Core,EPC)中的移动性管理实体(Mobility Management Entity,MME)。或者,该网络管理设备也可以是其它的核心网设备,比如服务网关(Serving GateWay,SGW)、公用数据网网关(Public Data Network GateWay,PGW)、策略与计费规则功能单元(Policy and Charging Rules Function,PCRF)或者归属签约用户服务器(Home Subscriber Server,HSS)等。对于网络管理设备13的实现形态,本公开实施例不做限定。
PINE无法直接访问蜂窝移动通信网络,如5GS网络。如何使得PINE可以直接访问蜂窝移动通信网络是亟待解决的问题。
如图2所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的核心网设备执行,包括:
步骤201:对PINE进行身份认证,其中,所述PINE通过PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量(Quality of Service,QoS)等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
核心网设备对PINE进行身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个可能的实施方式中,蜂窝移动通信网络需要为PINE提供凭证。使用凭证,蜂窝移动通信网络可以验证和识别与PEGC连接的PINE。
在一个可能的实现方式中,可以由PINE、PRGC和/或核心网设备触发对PINE进行身份认证。触发对PINE进行身份认证方法,如图3所示,可以包括:
步骤301:PINE通过非3GPP连接(第二类网络)将其PINE标识(即PINE的设备标识符)发 送给PEGC,并且同时发送认证方法以及PINE认证指示符。PINE和PEGC之间建立的非3GPP连接(第二类网络)可以是安全连接。如何建立非3GPP的安全链路在此不做限定。
步骤302:PEGC通过NAS消息向核心网设备中的AMF/SEAF网元发送PINE认证指示符、PINE标识、认证方法、PEGC的SUCI或5G-GUTI。
步骤303:每当AMF希望启动PINE时,AMF可以通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_AuthenticateRequest消息可以包含PINE认证指示符、PINE标识、认证方法、以及服务网络标识(Service Network Name,SN-Name)。
步骤304:AUSF在收到Nausf_UEAuthentication_AuthenticateRequest消息后,AUSF可以通过将服务网络标识(SN-Name)与预期的服务网络标识(SN-Name)进行比较,检查服务网络中的请求AMF是否有权使用Nausf_UEAuthentication_Authenticate Request中的服务网络标识。AUSF将临时存储接收到的服务网络标识。如果服务网络未被授权使用服务网络标识,则AUSF应在Nausf_UEAuthentication_AuthenticateResponse中以“服务网络未授权”进行响应。如果服务网络被授权使用服务网络标识,AUSF向UDM发送Nudm_UEAuthentication_GetRequest消息,Nudm_UEAuthentication_GetRequest消息可以包括:PINE认证指示符、PINE标识、PEGC的SUPI或SUCI、认证方法、服务网络标识。
步骤305:UDM在接收到Nudm_UEAuthentication_Get Request后,如果接收到SUCI,UDM将调用订阅标识符去隐藏功能(Subscription identifier de-concealing function,SIDF)将SUCI解密得到SUPI。
步骤306:UDM/ARPF根据PEGC的SUPI和设备标识符,根据PEGC的订阅验证允许PEGC执行PINE的认证过程,然后基于PINE标识和PINE发送的认证方法选择用于PINE的认证方法。
上述方法中,PINE可以在本地存储由PEGC的归属网络(home network),即第二类网络提供的凭证。并且PINE的PINE标识可以与PEGC的订阅信息相关联。PEGC可以是已经注册到5GC中的网关,PEGC与AMF之间的连接受NAS安全性保护。AMF与SEAF并置。
在一个实施例中,所述对PINE进行身份认证,包括:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
基于所述期望认证参数,对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES*表示,认证参数可以采用RES*表示,哈希期望认证参数可以采用HXRES*表示,哈希认证参数可以采用HRES*表示。
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备中的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE身份认证的根密钥(Root Key)。
在一个可能的实现方式中,可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEFC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES*。
计算参数可以是计算XRES*过程中所采用的至少一个参数。这里,核心网设备确定XRES*所采用的计算方式,可以与PINE确定RES*所采用的计算方式相同。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES*的随机数。
在一个实施例中,所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
至少基于所述第一凭证、所述计算参数和服务网络标识,确定所述期望认证参数;
所述RES*,是由所述PINE至少基于第二凭证、所述计算参数和所述服务网络标识确定的。
示例性的,核心网设备可以基于预定的计算方式,以及以下至少之一项确定XRES*:
- FC=0x6B。
- P0=SN-Name服务网络标识。
- L0=服务网络标识的长度。
- P1=计算参数,即RAND,
- L1=RAND的长度(如:0x00、0x10)。
- P2=XRES。
- L2=XRES的长度(如以下可以变长度:0x00 0x04和0x00 0x10)。
核心网设备可以将计算参数和/或SN-Name发送给PINE,由PINE结合存储的第二凭证确定RES*。PINE可以基于上述相似的方法确定RES*,在此不再赘述。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEFC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES*,进而启动对PINE的身份认证。
XRES*可以用于与PINE计算的RES*进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES*。UDM/ARPF可以创建一个5G HE AV,5G HE AV可以包括:RAND、鉴权令牌AUTN、XRES*。
在一个实施例中,所述方法还包括:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在UDM确定XRES*之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述基于所述期望认证参数,对所述PINE进行所述身份认证,如图4所示,可以包括:
步骤401:通过第一类网络经由基站向所述PEGC发送所述计算参数,其中,所述计算参数由所述PEGC通过第二类网络发送给所述PINE;
步骤402:接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定,并通过所述第二类网络发送给所述PEGC的;
步骤403:基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
核心网设备在确定XRES*后,可以通过第二类网络向PINE的PEGC发送计算参数。这里计算参数可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES*。第二凭证可以是 第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
核心网设备可以基于RES*和XRES*的对比结果确定PINE身份认证是否成功。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES*和ERES*也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES*和ERES*也不同同,则PINE身份认证失败。
在一个可能的实现方式中,基于所述RES*和所述期望认证参数对所述PINE进行身份认证,还可以包括:
基于根据RES*确定的HRES*和根据期望认证参数确定的HRES*对所述PINE进行身份认证。
在一个实施例中,步骤401,如图5所示,可以包括:
步骤501:所述核心网设备中的UDM向所述核心网设备中的AUSF发送携带有所述计算参数的UDM响应;
步骤502:所述AUSF向所述核心网设备中的SEAF发送携带有所述计算参数的AUSF响应;
步骤503:所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述计算参数的认证请求。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将5G HE AV返回给AUSF。5G HE AV可以包括:RAND、AUTN和XRES*。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES*、PINE标识和SUPI。然后,AUSF可以通过从XRES*计算HXRES*。AUSF可以根据从UDM/ARPF接收的5G HE AV生成5G AV,并将XRES*替换为HXRES*。5G HE AV可以包括:RAND、AUTN、HXRES*。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回5G SE AV(RAND,AUTN,HXRES*)、PINE认证指示符、PEGC的SUPI、PINE标识。SEAF可以存储接收到的HXRES*。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、RAND、AUTN、PINE标识。认证请求可以是Authentication Request。
在一个实施例中,所述计算参数和/或所述服务网络标识是由所述PEGC通过所述第二类网络发送给所述PINE的。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的SN-name、RAND、AUTN和 PINE认证指示符转发给PINE。PEGC可以在PINE认证请求中携带计算参数和/或所述SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN和SN-Name,PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES*。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES*。
在一个实施例中,步骤402,如图6所示,可以包括:
步骤601:所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述认证参数的认证响应,其中,所述认证参数是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
步骤602:所述AUSF接收所述SEAF发送的携带有所述认证参数的AUSF认证请求。
PINE确定RES*后,可以将RES*发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:RES*、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:RES*、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送RES*、PINE标识、PINE认证指示符和PEGI的SUPI。
在一个实施例中,所述基于所述认证参数和所述期望认证参数对所述PINE进行身份认证,包括以下至少之一:
所述SEAF根据所述认证参数确定哈希认证参数,基于所述哈希认证参数和哈希期望认证参数对所述PINE进行身份认证,其中,所述哈希期望认证参数是由所述AUSF基于期望认证参数确定并发送给SEAF的;
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
SEAF可以通过RES*计算HRES*,SEAF可以比较比较HRES*和HXRES*。例如,SEAF可以根据PINE标识和/或PEGC的SUPI定位PINE的HXRES*。如果它们一致,SEAF将从服务网络的角度认为认证成功。如果不是,SEAF可以确定认证未成功。如果SEAF从未收到RES*,则SEAF应将认证视为失败,并向AUSF指示PINE身份认证失败。
AUSF接收到包括RES*的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证5G AV是否已过期。如果5G AV已过期,则AUSF可以会认为PINE身份认证不成功。AUSF应将接收到的RES*与存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF应从归属网络的角度认为认证成功。AUSF应将认证结果通知UDM。
在一个可能的实现方式中,AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,可以由SEAF根据RES*确定HRES*,以及由AUSF根据XRES*确 定HXRES*。SEAF和AUSF可以采用SHA-256散列算法分别确定HRES*和HXRES*。SHA-256散列算法使用的参数包括但不限于:
-P0=计算参数(如RAND);
-P1=RES*或XRES*,
输入S应等于P0和P1的串联:P0||P1。HRES*和HXRES*由SHA-256函数输出的128个最低有效位标识。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个可能的实现方式中,RES*、XRES*、HRES*和HXRES*可以具有单独用于分别指示对应PINE的PINE标识,和/或指示对应PEGC的PEGC标识。核心网设备在存储RES*、XRES*、HRES*和/或述HXRES*时,可以采用PINE标识和/或PEFC标识进行标识。例如,SEAD在存储XRES*和HXRES*可以采用PINE标识。
在一个可能的实现方式中,在RES*、XRES*、HRES*和/或HXRES*传输过程中,可以采用传输消息所携带的PINE标识和/或PEFC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
这里,PINE认证指示符可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有指示所述PINE的所述PINE标识。
这里,PINE认证指示符可以向核心网设备中、PEGC指示进行身份认证的PINE。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保 护的所述PINE标识。
在一个实施例中,所述方法还包括:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也 不再传输从而减轻核心网设备负载。
如图7所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的私有物联网网关PEGC执行,包括:
步骤701:在第一类网络的核心网设备对PINE进行身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
核心网设备对PINE进行身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES*表示,认证参数可以采用RES*表示,哈希期望认 证参数可以采用HXRES*表示,哈希认证参数可以采用HRES*表示。
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE身份认证的根密钥(Root Key)。
在一个可能的实现方式中,可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEFC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES*。
计算参数可以是计算XRES*过程中所采用的至少一个参数。这里,核心网设备确定XRES*所采用的计算方式,可以与PINE确定RES*所采用的计算方式相同。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEFC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES*,进而启动对PINE的身份认证。
XRES*可以用于与PINE计算的RES*进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES*。UDM/ARPF可以创建一个5G HE AV,5G HE AV可以包括:RAND、鉴权令牌AUTN、XRES*。
在UDM确定XRES*之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判 断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
判断信息包括以下至少之一:所述PEGC的PEGC标识;所述PINE的所述PINE标识;所述PEGC的订阅信息。PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES*的随机数。
在一个实施例中,如图8所示,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:
步骤801:通过第二类网络向所述PINE发送所述计算参数;
步骤802:接收所述PINE通过所述第二类网络发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
步骤803:通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
核心网设备在确定XRES*后,可以通过第二类网络向PINE的PEGC发送计算参数。这里计算参数可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES*。第二凭证可以是第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
核心网设备可以基于RES*和XRES*的对比结果确定PINE身份认证是否成功。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES*和ERES*也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES*和ERES*也不同同,则PINE身份认证失败。
在一个可能的实现方式中,基于所述RES*和所述XRES*对所述PINE进行身份认证,还可以包括:
基于根据RES*确定的HRES*和根据XRES*确定的HRES*对所述PINE进行身份认证。
在一个实施例中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数,包括:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述计算参数的认证请求;
所述通过第二类网络向所述PINE发送所述计算参数,包括:
通过所述第二类网络,向所述PINE发送携带有所述计算参数的PINE认证请求;
所述接收所述PINE通过所述第二类网络发送的认证参数,包括:
接收所述PINE通过所述第二类网络发送的携带有所述认证参数的PINE认证响应;
所述通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,包括:
所述通过所述第一类网络经由所述基站向所述SEAF发送携带有所述认证参数的认证响应。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将5G HE AV返回给AUSF。5G HE AV可以包括:RAND、AUTN和XRES*。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES*、PINE标识和SUPI。然后,AUSF可以通过从XRES*计算HXRES*。AUSF可以根据从UDM/ARPF接收的5G HE AV生成5G AV,并将XRES*替换为HXRES*。5G HE AV可以包括:RAND、AUTN、HXRES*。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回5G SE AV(RAND,AUTN,HXRES*)、PINE认证指示符、PEGC的SUPI、PINE标识。SEAF可以存储接收到的HXRES*。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、RAND、AUTN、PINE标识。认证请求可以是Authentication Request。
在一个实施例中,PINE认证请求还携带有服务网络标识服务网络标识。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的SN-name、RAND、AUTN和PINE认证指示符转发给PINE。PEGC可以在PINE认证请求中携带计算参数和/或所述SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN和SN-Name,PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES*。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES*。
PINE确定RES*后,可以将RES*发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:RES*、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:RES*、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送RES*、PINE标识、PINE认证指示符和PEGI的SUPI。
在一个实施例中,所述所述期望认证参数,是由所述核心网设备至少基于所述第一凭证、所述 计算参数和服务网络标识确定的;
所述认证参数,是由所述PINE至少基于所述第二凭证、所述计算参数和所述服务网络标识确定的。
示例性的,核心网设备可以基于预定的计算方式,以及以下至少之一项确定XRES*:
- FC=0x6B。
- P0=SN-Name服务网络标识。
- L0=服务网络标识的长度。
- P1=计算参数,即RAND,
- L1=RAND的长度(如:0x00、0x10)。
- P2=XRES。
- L2=XRES的长度(如以下可以变长度:0x00 0x04和0x00 0x10)。
核心网设备可以将计算参数和/或SN-Name发送给PINE,由PINE结合存储的第二凭证确定RES*。PINE可以基于上述相似的方法确定RES*,在此不再赘述。
SEAF可以通过RES*计算HRES*,SEAF可以比较比较HRES*和HXRES*。例如,SEAF可以根据PINE标识和/或PEGC的SUPI定位PINE的HXRES*。如果它们一致,SEAF将从服务网络的角度认为认证成功。如果不是,SEAF可以确定认证未成功。如果SEAF从未收到RES*,则SEAF应将认证视为失败,并向AUSF指示PINE身份认证失败。
AUSF接收到包括RES*的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证5G AV是否已过期。如果5G AV已过期,则AUSF可以会认为PINE身份认证不成功。AUSF应将接收到的RES*与存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF应从归属网络的角度认为认证成功。AUSF应将认证结果通知UDM。
在一个可能的实现方式中,AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,可以由SEAF根据RES*确定HRES*,以及由AUSF根据XRES*确定HXRES*。SEAF和AUSF可以采用SHA-256散列算法分别确定HRES*和HXRES*。SHA-256散列算法使用的参数包括但不限于:
-P0=计算参数(如RAND);
-P1=RES*或XRES*,
输入S应等于P0和P1的串联:P0||P1。HRES*和HXRES*由SHA-256函数输出的128个最低有效位标识。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个可能的实现方式中,RES*、XRES*、HRES*和HXRES*可以具有单独用于分别指示对应PINE的PINE标识,和/或指示对应PEGC的PEGC标识。核心网设备在存储RES*、XRES*、HRES*和/或述HXRES*时,可以采用PINE标识和/或PEFC标识进行标识。例如,SEAD在存储XRES*和HXRES*可以采用PINE标识。
在一个可能的实现方式中,在RES*、XRES*、HRES*和/或HXRES*传输过程中,可以采用传输消息所携带的PINE标识和/或PEFC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
这里,PINE认证指示符可以向核心网设备中(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
在一个实施例中,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有指示所述PINE的PINE标识。
这里,PINE认证指示符可以向核心网设备中、PEGC指示进行身份认证的PINE。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保护的所述PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标 识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也不再传输从而减轻核心网设备负载。
如图9所示,本示例性实施例提供一种认证方法,可以被PINE执行,包括:
步骤901:在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
核心网设备对PINE进行身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个实施例中,所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过第二类网络接收所述PEGC发送的计算参数,其中,所述计算参数,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES*表示,认证参数可以采用RES*表示,哈希期望认证参数可以采用HXRES*表示,哈希认证参数可以采用HRES*表示。
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE身份认证的根密钥(Root Key)。
在一个可能的实现方式中,可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEFC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES*。
计算参数可以是计算XRES*过程中所采用的至少一个参数。这里,核心网设备确定XRES*所采 用的计算方式,可以与PINE确定RES*所采用的计算方式相同。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEFC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES*,进而启动对PINE的身份认证。
XRES*可以用于与PINE计算的RES*进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES*。UDM/ARPF可以创建一个5G HE AV,5G HE AV可以包括:RAND、鉴权令牌AUTN、XRES*。
在UDM确定XRES*之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
判断信息包括以下至少之一:所述PEGC的PEGC标识;所述PINE的所述PINE标识;所述PEGC的订阅信息。PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES*的随机数。
在一个实施例中,所述方法还包括:至少基于第二凭证和所述计算参数确定认证参数;
所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过所述第二类网络向所述PEGC发送所述RES*,所述RES*,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述RES*和所述期望认证参数进行所述PINE的身份认证。
核心网设备在确定XRES*后,可以通过第二类网络向PINE的PEGC发送计算参数。这里计算参数可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES*。第二凭证可以是第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
核心网设备可以基于RES*和XRES*的对比结果确定PINE身份认证是否成功。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES*和ERES*也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES*和ERES*也不同同,则PINE身份认证失败。
在一个可能的实现方式中,基于所述RES*和所述XRES*对所述PINE进行身份认证,还可以包括:
基于根据RES*确定的HRES*和根据XRES*确定的HRES*对所述PINE进行身份认证。
在一个实施例中,所述通过第二类网络接收所述PEGC发送的所述计算参数,包括:
通过所述第二类网络,接收所述PEGC发送的携带有所述计算参数的PINE认证请求;
所述通过所述第二类网络向所述PEGC发送所述认证参数,包括:
通过所述第二类网络向所述PEGC发送的携带有所述认证参数的PINE认证响应。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将5G HE AV返回给AUSF。5G HE AV可以包括:RAND、AUTN和XRES*。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES*、PINE标识和SUPI。然后,AUSF可以通过从XRES*计算HXRES*。AUSF可以根据从UDM/ARPF接收的5G HE AV生成5G AV,并将XRES*替换为HXRES*。5G HE AV可以包括:RAND、AUTN、HXRES*。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回5G SE AV(RAND,AUTN,HXRES*)、PINE认证指示符、PEGC的SUPI、PINE标识。SEAF可以存储接收到的HXRES*。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、RAND、AUTN、PINE标识。认证请求可以是Authentication Request。
在一个实施例中,PINE认证请求还携带有服务网络标识服务网络标识。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的SN-name、RAND、AUTN和PINE认证指示符转发给PINE。PEGC可以在PINE认证请求中携带计算参数和/或所述SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN和SN-Name,PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES*。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES*。
PINE确定RES*后,可以将RES*发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:RES*、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:RES*、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送RES*、PINE标识、PINE认证指示符和PEGI的SUPI。
在一个实施例中,所述所述期望认证参数是至少基于所述第一凭证、所述计算参数和服务网络标识确定的;
所述至少基于第二凭证和所述计算参数确定认证参数,包括:
至少基于所述第二凭证、所述计算参数和服务网络标识确定所述认证参数。
示例性的,核心网设备可以基于预定的计算方式,以及以下至少之一项确定XRES*:
- FC=0x6B。
- P0=SN-Name服务网络标识。
- L0=服务网络标识的长度。
- P1=计算参数,即RAND,
- L1=RAND的长度(如:0x00、0x10)。
- P2=XRES。
- L2=XRES的长度(如以下可以变长度:0x00 0x04和0x00 0x10)。
核心网设备可以将计算参数和/或SN-Name发送给PINE,由PINE结合存储的第二凭证确定RES*。PINE可以基于上述相似的方法确定RES*,在此不再赘述。
SEAF可以通过RES*计算HRES*,SEAF可以比较比较HRES*和HXRES*。例如,SEAF可以根据PINE标识和/或PEGC的SUPI定位PINE的HXRES*。如果它们一致,SEAF将从服务网络的角度认为认证成功。如果不是,SEAF可以确定认证未成功。如果SEAF从未收到RES*,则SEAF应将认证视为失败,并向AUSF指示PINE身份认证失败。
AUSF接收到包括RES*的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证5G AV是否已过期。如果5G AV已过期,则AUSF可以会认为PINE身份认证不成功。AUSF应将接收到的RES*与存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF应从归属网络的角度认为认证成功。AUSF应将认证结果通知UDM。
在一个可能的实现方式中,AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,可以由SEAF根据RES*确定HRES*,以及由AUSF根据XRES*确定HXRES*。SEAF和AUSF可以采用SHA-256散列算法分别确定HRES*和HXRES*。SHA-256散列算法使用的参数包括但不限于:
-P0=计算参数(如RAND);
-P1=RES*或XRES*,
输入S应等于P0和P1的串联:P0||P1。HRES*和HXRES*由SHA-256函数输出的128个最低有效位标识。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个可能的实现方式中,RES*、XRES*、HRES*和HXRES*可以具有单独用于分别指示对应PINE的PINE标识,和/或指示对应PEGC的PEGC标识。核心网设备在存储RES*、XRES*、HRES*和/或述HXRES*时,可以采用PINE标识和/或PEFC标识进行标识。例如,SEAD在存储XRES*和HXRES*可以采用PINE标识。
在一个可能的实现方式中,在RES*、XRES*、HRES*和/或HXRES*传输过程中,可以采用传输消息所携带的PINE标识和/或PEFC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
这里,PINE认证指示符可以向核心网设备中(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有指示所述PINE的PINE标识。
这里,PINE认证指示符可以向核心网设备中、PEGC指示进行身份认证的PINE。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保护的所述PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认 证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也不再传输从而减轻核心网设备负载。
以下结合上述任意实施例提供一个具体示例:
PINE认证如图10所示。这里,假设PINE标识是加密的。UDM可以调用一个函数来解密加密的PINE标识。
假设UDM可以根据加密的PINE设备标识符或PINE设备标识符识别PINE的凭证。还假设PINE通过安全的非3GPP访问连接到PEGC。
PINE身份认证具体包括
步骤1001:生成5G HE AV。假设UDM可以根据解密的PINE标识或PINE标识识别PINE凭证。还假设PINE通过安全的非3GPP访问连接到PEGC。对于每个图3所示的Nudm_Authenticate_Get request,UDM/ARPF可以根据本地存储的PINE凭证创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点,如TS 33.102[9]中所定义。然后UDM/ARPF可以计算XRES*(根据附件A.4)。最后,UDM/ARPF可以从RAND、AUTN和XRES*创建一个5G HE AV。如果PINE标识为受保护的PINE标识(如匿名PINE标识,或加密的PINE标识),对受保护的PINE标识去隐藏和/或解密步骤1002:UDM可以在Nudm_UEAuthentication_Get response中将 5G HE AV和PINE认证指示符连同5G HE AV将用于5G AKA的指示一起返回给AUSF。
如果PINE标识和PEGC的SUCI包含在Nudm_UEAuthentication_Get request中,UDM将在SIDF对SUCI去隐蔽后将PINE标识和PEGC的SUPI包含在Nudm_UEAuthentication_Get response中。
步骤1003:AUSF可以将XRES*与接收到的PINE标识和PEGC的SUPI一起临时存储。
步骤1004:AUSF可以通过从XRES*计算HXRES*(根据33.501[1]的附件A.5)从UDM/ARPF接收的5G HE AV生成5G AV,并将XRES*替换为HXRES*。
步骤1005:AUSF可以在Nausf_UEAuthentication_Authenticate response中向SEAF返回5G SE AV(RAND,AUTN,HXRES*)、PINE认证指示符、PEGC的SUPI、PINE标识。
步骤1006:SEAF可以在NAS消息Authentication Request中向PEGC发送PINE认证指示符、RAND、AUTN、PINE标识。若PEGC发送给SEAF的PEGC标识为受保护的PINE标识,此时SEAF应向PEGC发送受保护的PINE标识。
步骤1007:PEGC可以通过安全的非3GPP连接将NAS消息Authentication Request中收到的SN-Name、RAND、AUTN和PINE认证指示符通过PINE Authentication Request转发给PINE。
步骤1008:在收到RAND、AUTN和SN-Name时,PINE可以通过检查AUTN是否可以接受,如TS 33.102[9]中所述来验证接收值的新鲜度。如果是,PINE计算RES。PINE可以计算RES、CK、IK。然后PINE可以根据33.501的附件A.4从RES计算认证响应RES*。
步骤1009:PINE可以通过安全的非3GPP访问向PEGC返回RES*、PINE标识和PINE认证指示符。
步骤1010:PEGC可以在NAS消息Authentication Response中向SEAF发送RES*、PINE标识、PEGC标识和PINE认证指示符。
步骤1011:然后SEAF可以根据33.501的附录A.5从RES*计算HRES*,并且SEAF可以比较HRES*和HXRES*。具体来说,SEAF可以能够根据PINE标识和PEGC的SUPI定位特定PINE的HXRES*。如果它们一致,SEAF将从服务网络的角度认为认证成功。如果不是,SEAF按照33.501的6.1.3.2.2子条款进行。如果未达到PINE,并且SEAF从未收到RES*,则SEAF可以将认证视为失败,并向AUSF指示失败。
步骤1012:SEAF可以在Nausf_UEAuthentication_Authenticate Request消息中向AUSF发送RES*、PEGC的SUPI、PINE标识和PINE认证指示符。
步骤1013:当AUSF接收到包括RES*的Nausf_UEAuthentication_Authenticate Request消息作为认证确认时,它可以验证5G AV是否已过期。如果5G AV已过期,则从归属网络的角度来看,AUSF可能会认为身份验证不成功。AUSF可以将接收到的RES*与存储的XRES*进行比较。如果RES*和XRES*相等,则AUSF可以从归属网络的角度认为认证成功。AUSF可以将认证结果通知UDM。
步骤1014:AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF指示从归属网络角度验证是否成功。
如图11所示,本示例性实施例提供一种认证装置100,可以被蜂窝移动通信系统的核心网设备 执行,包括:
处理模块110,配置为对PINE进行身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述处理模块110,具体配置为:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,其中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述装置100,还包括:
收发模块120,配置为通过第一类网络经由基站向所述PEGC发送所述计算参数,其中,所述计算参数由所述PEGC通过第二类网络发送给所述PINE;
所述收发模块120,还配置为接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定,并通过所述第二类网络发送给所述PEGC的;
所述处理模块110,具体配置为:基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述收发模块120,具体配置为:
所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述计算参数的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述计算参数的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述计算参数的认证请求。
在一个实施例中,所述收发模块120,具体配置为以下至少之一:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述认证参数的认证响应,其中,所述认证参数是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述认证参数的AUSF认证请求。
在一个实施例中,所述处理模块110,具体配置为以下至少之一:
所述SEAF根据所述认证参数确定哈希认证参数,基于所述哈希认证参数和哈希期望认证参数对所述PINE进行身份认证,其中,所述哈希期望认证参数是由所述AUSF基于期望认证参数确定并发送给SEAF的;
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
在一个实施例中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:
所述所述PINE的PINE标识;
所述PEGC的PEFC标识。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有指示所述PINE的所述PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述处理模块110,还配置为响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述处理模块110,还配置为:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述处理模块110,具体配置为:至少基于所述第一凭证、所述计算参数和服务网络标识,确定所述期望认证参数;
所述认证参数,是由所述PINE至少基于第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述计算参数和/或所述服务网络标识是由所述PEGC通过所述第二类网络发送给所述PINE的。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,
所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
如图12所示,本示例性实施例提供一种认证装置200,可以被蜂窝移动通信系统的私有物联网网关PEGC执行,包括:
收发模块210,配置为在第一类网络的核心网设备对PINE进行身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块210,具体配置为:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述收发模块210,具体配置为:
通过第二类网络向所述PINE发送所述计算参数;
接收所述PINE通过所述第二类网络发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块210,具体配置为至少以下之一:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述计算参数的认证请求;
通过所述第二类网络,向所述PINE发送携带有所述计算参数的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有所述认证参数的PINE认证响应;
所述通过所述第一类网络经由所述基站向所述SEAF发送携带有所述认证参数的认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数,是由所述核心网设备至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述认证参数,是由所述PINE至少基于所述第二凭证、所述计算参数和所述服务网络标识确定的。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述PEGC包括用户设备UE。
在一个实施例中,
所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
如图13所示,本示例性实施例提供一种认证装置,可以被PINE执行,包括:
收发模块310,配置为在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块310,具体配置为:
通过第二类网络接收所述PEGC发送的计算参数,其中,所述计算参数,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,所述装置还包括:处理模块320,配置为至少基于第二凭证和所述计算参数确定认证参数;
所述收发模块310,具体配置为:通过所述第二类网络向所述PEGC发送所述认证参数,所述认证参数,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块310,具体配置为至少以下之一:
通过所述第二类网络,接收所述PEGC发送的携带有所述计算参数的PINE认证请求;
通过所述第二类网络向所述PEGC发送的携带有所述认证参数的PINE认证响应。
在一个实施例中,PINE认证请求还携带有服务网络标识。
在一个实施例中,所述所述期望认证参数是至少基于所述第一凭证、所述计算参数和服务网络标识确定的
所述处理模块,具体配置为:
至少基于所述第二凭证、所述计算参数和服务网络标识确定所述认证参数。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
用户永久标识符SUPI,用于指示所述PEGC。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有指示所述PINE的PINE标识。
在一个实施例中,所述PINE标识为受安全保护的PINE标识。
在一个实施例中,所述计算参数至少包括随机数RAND。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
在一个实施例中,
所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
在示例性实施例中,处理模块110、收发模块120、收发模块210、收发模块310和处理模块320等可以被一个或多个中央处理器(CPU,Central Processing Unit)、图形处理器(GPU,Graphics Processing Unit)、基带处理器(BP,Baseband Processor)、应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
图14是根据一示例性实施例示出的一种用于认证的装置3000的框图。例如,装置3000可以是移动电话、计算机、数字广播终端、消息收发设备、游戏控制台、平板设备、医疗设备、健身设备、个人数字助理等。
参照图14,装置3000可以包括以下一个或多个组件:处理组件3002、存储器3004、电源组件3006、多媒体组件3008、音频组件3010、输入/输出(I/O)接口3012、传感器组件3014、以及通信组件3016。
处理组件3002通常控制装置3000的整体操作,诸如与显示、电话呼叫、数据通信、相机操作和记录操作相关联的操作。处理组件3002可以包括一个或多个处理器3020来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件3002可以包括一个或多个模块,便于处理组件3002和其他组件之间的交互。例如,处理组件3002可以包括多媒体模块,以方便多媒体组件3008和处理组件3002之间的交互。
存储器3004被配置为存储各种类型的数据以支持在装置3000的操作。这些数据的示例包括用于在装置3000上操作的任何应用程序或方法的指令、联系人数据、电话簿数据、消息、图片、视频等。存储器3004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器、磁盘或光盘。
电源组件3006为装置3000的各种组件提供电力。电源组件3006可以包括电源管理系统、一个或多个电源、及其他与为装置3000生成、管理和分配电力相关联的组件。
多媒体组件3008包括在装置3000和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件3008包括一个前置摄像头和/或后置摄像头。当装置3000处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件3010被配置为输出和/或输入音频信号。例如,音频组件3010包括一个麦克风(MIC),当装置3000处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器3004或经由通信组件3016发送。在一些实施例中,音频组件3010还包括一个扬声器,用于输出音频信号。
I/O接口3012为处理组件3002和外围接口模块之间提供接口,上述外围接口模块可以是键盘、点击轮、按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件3014包括一个或多个传感器,用于为装置3000提供各个方面的状态评估。例如,传感器组件3014可以检测到装置3000的打开/关闭状态、组件的相对定位,例如组件为装置3000的显示器和小键盘,传感器组件3014还可以检测装置3000或装置3000一个组件的位置改变、用户与装置3000接触的存在或不存在、装置3000方位或加速/减速和装置3000的温度变化。传感器组件3014可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件3014还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件3014还可以包括加速度传感器、陀螺仪传感器、磁传感器、压力传感器或温度传感器。
通信组件3016被配置为便于装置3000和其他设备之间有线或无线方式的通信。装置3000可以接入基于通信标准的无线网络,如Wi-Fi、2G或3G,或它们的组合。在一个示例性实施例中,通信组件3016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件3016还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术和 其他技术来实现。
在示例性实施例中,装置3000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器3004,上述指令可由装置3000的处理器3020执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明实施例的其它实施方案。本申请旨在涵盖本发明实施例的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本公开实施例未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明实施例的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明实施例并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求来限制。
Claims (40)
- 一种认证方法,其中,由第一类网络的核心网设备执行,包括:对私有物联网单元PINE进行身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求1所述的方法,其中,所述对私有物联网单元PINE进行身份认证,包括:至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;基于所述期望认证参数,对所述PINE进行身份认证。
- 根据权利要求2所述的方法,其中,所述第一凭证存储于所述核心网设备中。
- 根据权利要求3所述的方法,其中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
- 根据权利要求2所述的方法,其中,所述基于所述期望认证参数,对所述PINE进行所述身份认证,包括:通过第一类网络经由基站向所述PEGC发送所述计算参数,其中,所述计算参数由所述PEGC通过第二类网络发送给所述PINE;接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定,并通过所述第二类网络发送给所述PEGC的;基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
- 根据权利要求5所述的方法,其中,所述通过第一类网络经由基站向所述PEGC发送所述计算参数,包括:所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述计算参数的UDM响应;所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述计算参数的AUSF响应;所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述计算参数的认证请求。
- 根据权利要求6所述的方法,其中,所述接收所述PEGC通过所述第一类网络经由所述基站发送的认证参数,包括以下至少之一:所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述认证参数的认证响应,其中,所述认证参数是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;所述AUSF接收所述SEAF发送的携带有所述认证参数的AUSF认证请求。
- 根据权利要求7所述的方法,其中,所述基于所述认证参数和所述期望认证参数对所述PINE进行身份认证,包括以下至少之一:所述SEAF根据所述认证参数确定哈希认证参数,基于所述哈希认证参数和哈希期望认证参数对所述PINE进行身份认证,其中,所述哈希期望认证参数是由所述AUSF基于期望认证参数确定 并发送给SEAF的;所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
- 根据权利要求8所述的方法,其中,所述认证参数、所述期望认证参数、所述哈希认证参数和所述哈希期望认证参数是采用以下至少之一标识的:所述所述PINE的PINE标识;所述PEGC的PEFC标识。
- 根据权利要求7所述的方法,其中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行身份认证;用户永久标识符SUPI,用于指示所述PEGC。
- 根据权利要求7所述的方法,其中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有指示所述PINE的所述PINE标识。
- 根据权利要求11所述的方法,其中,所述方法还包括:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
- 根据权利要求2所述的方法,其中,所述方法还包括:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:所述PEGC的PEGC标识;所述PINE的所述PINE标识;所述PEGC的订阅信息;所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:确定所述PEGC为所述合法网关;基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
- 根据权利要求2所述的方法,其中,所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:基于所述第一凭证、所述计算参数和服务网络标识,确定所述期望认证参数;所述认证参数,是由所述PINE至少基于第二凭证、所述计算参数和所述服务网络标识确定的。
- 根据权利要求14所述的方法,其中,所述计算参数和/或所述服务网络标识是由所述PEGC通过所述第二类网络发送给所述PINE的。
- 根据权利要求2至15任一项所述的方法,其中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
- 根据权利要求1至15任一项所述的方法,其中,所述第一类网络,包括:第三代合作计划3GPP标准网络;所述第二类网络,包括:非3GPP标准网络。
- 一种认证方法,其中,由私有物联网网关PEGC执行,包括:在第一类网络的核心网设备对私有物联网单元PINE进行身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求18所述的方法,其中,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
- 根据权利要求19所述的方法,其中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
- 根据权利要求19所述的方法,其中,所述在第一类网络的核心网设备对PINE进行身份认证过程中传输信息,包括:通过第二类网络向所述PINE发送所述计算参数;接收所述PINE通过所述第二类网络发送的认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
- 根据权利要求21所述的方法,其中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的计算参数,包括:接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述计算参数的认证请求;所述通过第二类网络向所述PINE发送所述计算参数,包括:通过所述第二类网络,向所述PINE发送携带有所述计算参数的PINE认证请求;所述接收所述PINE通过所述第二类网络发送的认证参数,包括:接收所述PINE通过所述第二类网络发送的携带有所述认证参数的PINE认证响应;所述通过所述第一类网络经由所述基站向所述核心网设备发送所述认证参数,包括:所述通过所述第一类网络经由所述基站向所述SEAF发送携带有所述认证参数的认证响应。
- 根据权利要求22所述的方法,其中,PINE认证请求还携带有服务网络标识。
- 根据权利要求21所述的方法,其中,所述所述期望认证参数,是由所述核心网设备至少基于所述第一凭证、所述计算参数和服务网络标识确定的所述认证参数,是由所述PINE至少基于所述第二凭证、所述计算参数和所述服务网络标识确定的。
- 根据权利要求21所述的方法,其中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行身份认证;用户永久标识符SUPI,用于指示所述PEGC。
- 根据权利要求21所述的方法,其中,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有指示所述PINE的PINE标识。
- 一种认证方法,其中,由私有物联网单元PINE执行,包括:在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求27所述的方法,其中,所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:通过第二类网络接收所述PEGC发送的计算参数,其中,所述计算参数,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
- 根据权利要求28所述的方法,其中,其中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEFC标识确定的。
- 根据权利要求28所述的方法,其中,所述方法还包括:至少基于第二凭证和所述计算参数确定认证参数;所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:通过所述第二类网络向所述PEGC发送所述认证参数,所述认证参数,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
- 根据权利要求30所述的方法,其中,所述通过第二类网络接收所述PEGC发送的所述计算参数,包括:通过所述第二类网络,接收所述PEGC发送的携带有所述计算参数的PINE认证请求;所述通过所述第二类网络向所述PEGC发送所述认证参数,包括:通过所述第二类网络向所述PEGC发送的携带有所述认证参数的PINE认证响应。
- 根据权利要求30所述的方法,其中,PINE认证请求还携带有服务网络标识。
- 根据权利要求30所述的方法,其中,所述所述期望认证参数是至少基于所述第一凭证、所述计算参数和服务网络标识确定的所述至少基于第二凭证和所述计算参数确定认证参数,包括:至少基于所述第二凭证、所述计算参数和服务网络标识确定所述认证参数。
- 根据权利要求30所述的方法,其中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行身份认证;用户永久标识符SUPI,用于指示所述PEGC。
- 根据权利要求30所述的方法,其中,所述PINE认证请求和/或所述PINE认证响应中携带有指示所述PINE的PINE标识。
- 一种认证装置,其中,包括:处理模块,配置为对私有物联网单元PINE进行身份认证,其中,所述PINE通过私有物联网网关PEGC接入第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种认证装置,其中,包括:收发模块,配置为在第一类网络的核心网设备对私有物联网单元PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种认证装置,其中,包括:收发模块,配置为在第一类网络的核心网设备对私有物联网单元PINE进行身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种通信设备装置,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如权利要求1至17、或18至26、或27至35任一项所述认证方法的步骤。
- 一种存储介质,其上存储由可执行程序,其中,所述可执行程序被处理器执行时实现如权利要求1至17、或18至26、或27至35任一项所述认证方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2022/096480 WO2023230924A1 (zh) | 2022-05-31 | 2022-05-31 | 认证方法、装置、通信设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117597961A true CN117597961A (zh) | 2024-02-23 |
Family
ID=89026717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280001898.7A Pending CN117597961A (zh) | 2022-05-31 | 2022-05-31 | 认证方法、装置、通信设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117597961A (zh) |
| WO (1) | WO2023230924A1 (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104469765B (zh) * | 2014-07-28 | 2020-10-23 | 北京佰才邦技术有限公司 | 用于移动通信系统中的终端认证方法和装置 |
| US20210368341A1 (en) * | 2020-08-10 | 2021-11-25 | Ching-Yu LIAO | Secure access for 5g iot devices and services |
-
2022
- 2022-05-31 CN CN202280001898.7A patent/CN117597961A/zh active Pending
- 2022-05-31 WO PCT/CN2022/096480 patent/WO2023230924A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023230924A1 (zh) | 2023-12-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN117795915A (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
| WO2023230924A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| WO2023240659A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| CN115581125A (zh) | 通信设备检测方法、装置、通信设备和存储介质 | |
| WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023226051A1 (zh) | 为个人物联网设备选择认证机制的方法及装置、ue、网络功能及存储介质 | |
| WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
| EP4436306A1 (en) | Connection recovery method and apparatus, and communication device and storage medium | |
| WO2023142090A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| WO2024092735A1 (zh) | 通信控制方法、系统及装置、通信设备及存储介质 | |
| WO2024164337A1 (zh) | 定位服务的授权方法、装置、通信设备及存储介质 | |
| WO2023070560A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| WO2023000139A1 (zh) | 传输凭证的方法、装置、通信设备及存储介质 | |
| WO2024092801A1 (zh) | 认证方法、装置、通信设备及存储介质 | |
| WO2023142089A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| WO2024031523A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| WO2024192638A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| EP4429298A1 (en) | Relay communication method and apparatus, communication device, and storage medium | |
| WO2024000115A1 (zh) | Ims会话方法、装置、通信设备及存储介质 | |
| CN117597957A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| CN117204001A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| CN116889002A (zh) | 信息处理方法、装置、通信设备及存储介质 | |
| CN117652123A (zh) | Ims会话方法、装置、通信设备及存储介质 | |
| CN117795905A (zh) | Api调用者认证方法以及装置、通信设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |