CN117597962A - 认证方法、装置、通信设备和存储介质 - Google Patents
认证方法、装置、通信设备和存储介质 Download PDFInfo
- Publication number
- CN117597962A CN117597962A CN202280002221.5A CN202280002221A CN117597962A CN 117597962 A CN117597962 A CN 117597962A CN 202280002221 A CN202280002221 A CN 202280002221A CN 117597962 A CN117597962 A CN 117597962A
- Authority
- CN
- China
- Prior art keywords
- authentication
- pine
- pegc
- eap
- pin
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 170
- 238000004891 communication Methods 0.000 title claims abstract description 59
- 230000004044 response Effects 0.000 claims description 347
- 238000004364 calculation method Methods 0.000 claims description 99
- 230000006870 function Effects 0.000 claims description 64
- 230000008569 process Effects 0.000 claims description 42
- 238000012545 processing Methods 0.000 claims description 38
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 31
- 238000012795 verification Methods 0.000 claims description 27
- 238000006731 degradation reaction Methods 0.000 claims description 15
- 238000013523 data management Methods 0.000 claims description 6
- 235000008331 Pinus X rigitaeda Nutrition 0.000 claims 77
- 235000011613 Pinus brutia Nutrition 0.000 claims 77
- 241000018646 Pinus brutia Species 0.000 claims 77
- 238000004846 x-ray emission Methods 0.000 description 79
- 238000010295 mobile communication Methods 0.000 description 42
- 230000001413 cellular effect Effects 0.000 description 38
- 238000007726 management method Methods 0.000 description 26
- 230000005540 biological transmission Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 12
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000000926 separation method Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开实施例是关于认证方法、装置、通信设备和存储介质,核心网设备对私有物联网单元(PINE)进行可扩展身份认证协议‑认证与密钥协商(EAP‑AKA’)身份认证,其中,所述PINE通过私有物联网网关(PEGC)接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接(201)。
Description
本申请涉及无线通信技术领域但不限于无线通信技术领域,尤其涉及认证方法、装置、通信设备和存储介质。
个人物联网(Personal IoT Networks,PIN)指围绕个人和家庭场景的物联网。PIN中包含三种设备(A.K.A PIN Element):具有网关能力的设备,如私有物联网网关(A.K.A PIN Element with Gateway Capability,PEGC)、具有管理能力的设备(A.K.A PIN Element with Management Capability,PEMC)和没有网关和管理功能的设备,如私有物联网单元(PIN Element,PINE)。PEGC和PEMC是可以直接接入第五代蜂窝移动通信系统(5
th Generation System,5GS)的用户设备(User Equipment,UE)。PEMC还能够通过PEGC访问5GS。而PINE无法直接访问5GS。
发明内容
有鉴于此,本公开实施例提供了一种认证方法、装置、通信设备和存储介质。
根据本公开实施例的第一方面,提供一种认证方法,其中,由第一类网络的核心网设备执行,包括:
对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商(ExtensibleAuthenticationProtocol-AuthenticationandKeyAgreement’-EAP-AKA’)身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述对私有物联网单元PINE进行EAP-AKA’身份认证,包括:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
至少基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述至少基于所述期望认证参数,对所述PINE进行EAP-AKA’身份认证,包括:
通过第一类网络经由基站向所述PEGC发送EAP请求,其中,所述EAP请求至少包括所述计 算参数,其中,所述计算参数由所述EAP请求通过第二类网络发送给所述PINE;
接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,其中,所述EAP响应至少包括:认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数和确定,并携带于所述EAP响应通过所述第二类网络发送给所述PEGC的;
至少基于所述认证参数和所述期望认证参数的对比结果,对所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述通过第一类网络经由基站向所述PEGC发送EAP请求,包括以下至少之一项:
所述核心网设备中的统一数据管理(Unified Data Management,UDM)向所述核心网设备中的认证服务功能(Authentication Server Function,AUSF)发送携带有所述EAP请求的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能(Security Anchor Function,SEAF)发送携带有所述EAP请求的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述EAP请求的认证请求,其中,所述EAP请求由PEGC携带于PINE认证请求中发送给所述PINE。
在一个实施例中,所述接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,包括以下至少之一项:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述EAP响应的认证响应,其中,所述EAP响应是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述EAP响应的AUSF认证请求。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行EAP-AKA’身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述方法还包括:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个实施例中,所述方法还包括:
至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个实施例中,所述EAP请求还包括:用于确定所述第一服务网络标识(Service Network Name,SN-Name)的第一指示信息。
在一个实施例中,所述方法还包括:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第二方面,提供一种认证方法,其中,由私有物联网网关PEGC执行,包括:
在第一类网络的核心网设备对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定确定期望认证参数,其中,所述 期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求,包括:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述EAP请求的认证请求;
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求,包括:
通过所述第二类网络,向所述PINE发送携带有所述EAP请求的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,包括:
接收所述PINE通过所述第二类网络发送的携带有所述EAP响应的PINE认证响应;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,包括:
通过所述第一类网络经由所述基站向所述SEAF发送携带有所述EAP响应的认证响应。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
指示所述PINE的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述方法还包括:
向所述PINE发送指示第二服务网络标识的第二指示信息。
根据本公开实施例的第三方面,提供一种认证方法,其中,由私有物联网单元PINE执行,包括:
在第一类网络的核心网设备对所述PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述在第一类网络的核心网设备对所述PINE进行EAP-AKA’身份认证过程中传输认证信息,包括:
通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,其中,所述EAP请求,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述方法还包括:至少基于第二凭证和所述计算参数和确定认证参数;
所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,所述EAP响应,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,包括:
通过所述第二类网络,接收所述PEGC发送的携带有所述EAP请求的PINE认证请求;
所述通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,包括:
通过所述第二类网络向所述PEGC发送的携带有所述EAP响应的PINE认证响应。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,其中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述方法还包括:
至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
在一个实施例中,所述方法还包括:
响应于验证所述EAP请求失败,向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述方法还包括:
接收所述PEGC发送的指示第二服务网络标识的第二指示信息;
响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
根据本公开实施例的第四方面,提供一种认证装置,其中,包括:
处理模块,配置为对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述处理模块,具体配置为:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
至少基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述装置还包括:
收发模块,配置为通过第一类网络经由基站向所述PEGC发送EAP请求,其中,所述EAP请求至少包括所述计算参数,其中,所述计算参数由所述EAP请求通过第二类网络发送给所述PINE;
所述收发模块,还配置为接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,其中,所述EAP响应至少包括:认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数和确定,并携带于所述EAP响应通过所述第二类网络发送给所述PEGC的;
所述处理模块,具体配置为至少基于所述认证参数和所述期望认证参数的对比结果,对所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述收发模块,具体配置为以下至少之一项:
所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述EAP请求的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述EAP请求的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述EAP请求的认证请求,其中,所述EAP请求由PEGC携带于PINE认证请求中发送给所述PINE。
在一个实施例中,所述收发模块,具体配置为以下至少之一项:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述EAP响应的认证响应,其中,所述EAP响应是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述EAP响应的AUSF认证请求。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行EAP-AKA’身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述处理模块,还配置为:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个实施例中,所述处理模块,还配置为:
至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述处理模块,还配置为:基于判断信息确定所述PEGC是否为所述PEGC 接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
根据本公开实施例的第五方面,提供一种认证装置,其中,包括:
收发模块,配置为在第一类网络的核心网设备对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块,具体配置为:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述收发模块,具体配置为:
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块,具体配置为以下至少之一项:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述EAP请求的认证请求;
通过所述第二类网络,向所述PINE发送携带有所述EAP请求的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有所述EAP响应的PINE认证响应;
通过所述第一类网络经由所述基站向所述SEAF发送携带有所述EAP响应的认证响应。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中 的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
指示所述PINE的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述收发模块,还配置为:
向所述PINE发送指示第二服务网络标识的第二指示信息。
根据本公开实施例的第六方面,提供一种认证装置,其中,包括:
收发模块,配置为在第一类网络的核心网设备对所述PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块,具体配置为:
通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,其中,所述EAP请求,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述装置还包括:
处理模块,配置为至少基于第二凭证和所述计算参数和确定认证参数;
所述收发模块,具体配置为:
通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,所述EAP响应,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块,具体配置为以下至少之一项:
通过所述第二类网络,接收所述PEGC发送的携带有所述EAP请求的PINE认证请求;
通过所述第二类网络向所述PEGC发送的携带有所述EAP响应的PINE认证响应。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,其中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述装置还包括处理模块,配置为:
至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
在一个实施例中,所述处理模块,还配置为:
响应于验证所述EAP请求失败,向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述收发模块,还配置为接收所述PEGC发送的指示第二服务网络标识的第二指示信息;
所述处理模块,还配置为:响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
根据本公开实施例的第七方面,提供一种通信设备装置,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如第一方面或第二方面或第三方面所述认证方法的步骤。
根据本公开实施例的第八方面,提供一种存储介质,其上存储由可执行程序,其中,所述可执行程序被处理器执行时实现如第一方面或第二方面或第三方面所述认证方法的步骤。
本公开实施例提供的认证方法、装置、通信设备和存储介质。核心网设备对私有物联网单元(PINE)进行EAP-AKA’身份认证,其中,所述PINE通过PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。如此如此,由核心网设备对PINE进行EAP-AKA’身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开 实施例。
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明实施例,并与说明书一起用于解释本发明实施例的原理。
图1是根据一示例性实施例示出的一种无线通信系统的结构示意图;
图2是根据一示例性实施例示出的一种认证方法的流程示意图;
图3是根据一示例性实施例示出的一种触发核心网设备进行认证的方法的流程示意图;
图4是根据一示例性实施例示出的一种认证方法的流程示意图;
图5是根据一示例性实施例示出的一种认证方法的流程示意图;
图6是根据一示例性实施例示出的一种认证方法的流程示意图;
图7是根据一示例性实施例示出的一种认证方法的流程示意图;
图8是根据一示例性实施例示出的一种认证方法的流程示意图;
图9是根据一示例性实施例示出的一种认证方法的流程示意图;
图10是根据一示例性实施例示出的一种认证方法的流程示意图;
图11是根据一示例性实施例示出的一种认证方法的流程示意图;
图12是根据一示例性实施例示出的一种认证方法的流程示意图;
图13是根据一示例性实施例示出的一种认证交互示意图;
图14是根据一示例性实施例示出的一种认证装置的框图;
图15是根据一示例性实施例示出的一种认证装置的框图;
图16是根据一示例性实施例示出的一种认证装置的框图;
图17是根据一示例性实施例示出的一种用于认证的装置的框图。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明实施例的一些方面相一致的装置和方法的例子。
在本公开实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开实施例。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信 息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参考图1,其示出了本公开实施例提供的一种无线通信系统的结构示意图。如图1所示,无线通信系统是基于蜂窝移动通信技术的通信系统,该无线通信系统可以包括:若干个终端11以及若干个基站12。
其中,终端11可以是指向用户提供语音和/或数据连通性的设备。终端11可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网设备进行通信,终端11可以是物联网终端,如传感器设备、移动电话(或称为“蜂窝”电话)和具有物联网终端的计算机,例如,可以是固定式、便携式、袖珍式、手持式、计算机内置的或者车载的装置。例如,站(Station,STA)、订户单元(subscriber unit)、订户站(subscriber station)、移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点、远程终端(remote terminal)、接入终端(access terminal)、用户装置(user terminal)、用户代理(user agent)、用户设备(user device)、或用户终端(user equipment,UE)。或者,终端11也可以是无人飞行器的设备。或者,终端11也可以是车载设备,比如,可以是具有无线通信功能的行车电脑,或者是外接行车电脑的无线通信设备。或者,终端11也可以是路边设备,比如,可以是具有无线通信功能的路灯、信号灯或者其它路边设备等。
基站12可以是无线通信系统中的网络侧设备。其中,该无线通信系统可以是第四代移动通信技术(the 4th generation mobile communication,4G)系统,又称长期演进(Long Term Evolution,LTE)系统;或者,该无线通信系统也可以是5G系统,又称新空口(new radio,NR)系统或5G NR系统。或者,该无线通信系统也可以是5G系统的再下一代系统。其中,5G系统中的接入网可以称为NG-RAN(New Generation-Radio Access Network,新一代无线接入网)。或者,MTC系统。
其中,基站12可以是4G系统中采用的演进型基站(eNB)。或者,基站12也可以是5G系统中采用集中分布式架构的基站(gNB)。当基站12采用集中分布式架构时,通常包括集中单元(central unit,CU)和至少两个分布单元(distributed unit,DU)。集中单元中设置有分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层、无线链路层控制协议(Radio Link Control,RLC)层、媒体访问控制(Media Access Control,MAC)层的协议栈;分布单元中设置有物理(Physical,PHY)层协议栈,本公开实施例对基站12的具体实现方式不加以限定。
基站12和终端11之间可以通过无线空口建立无线连接。在不同的实施方式中,该无线空口是基于第四代移动通信网络技术(4G)标准的无线空口;或者,该无线空口是基于第五代移动通信网络技术(5G)标准的无线空口,比如该无线空口是新空口;或者,该无线空口也可以是基于5G的更下一代移动通信网络技术标准的无线空口。
在一些实施例中,终端11之间还可以建立E2E(End to End,端到端)连接。比如车联网通信(vehicle to everything,V2X)中的V2V(vehicle to vehicle,车对车)通信、V2I(vehicle to Infrastructure,车对路边设备)通信和V2P(vehicle to pedestrian,车对人)通信等场景。
在一些实施例中,上述无线通信系统还可以包含网络管理设备13。
若干个基站12分别与网络管理设备13相连。其中,网络管理设备13可以是无线通信系统中的核心网设备,比如,该网络管理设备13可以是演进的数据分组核心网设备(Evolved Packet Core,EPC)中的移动性管理实体(Mobility Management Entity,MME)。或者,该网络管理设备也可以是其它的核心网设备,比如服务网关(Serving GateWay,SGW)、公用数据网网关(Public Data Network GateWay,PGW)、策略与计费规则功能单元(Policy and Charging Rules Function,PCRF)或者归属签约用户服务器(Home Subscriber Server,HSS)等。对于网络管理设备13的实现形态,本公开实施例不做限定。
PINE无法直接访问蜂窝移动通信网络,如5GS网络。如何使得PINE可以直接访问蜂窝移动通信网络是亟待解决的问题。
如图2所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的核心网设备执行,包括:
步骤201:对PINE进行EAP-AKA’身份认证,其中,所述PINE通过PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量(Quality of Service,QoS)等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行EAP-AKA’身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
EAP-AKA’可以用于核心网设备与PINE之间的双向认证。
核心网设备对PINE进行EAP-AKA’身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行EAP-AKA’身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个可能的实施方式中,蜂窝移动通信网络需要为PINE提供凭证。使用凭证,蜂窝移动通信网络可以验证和识别与PEGC连接的PINE。
在一个可能的实现方式中,可以由PINE、PEGC和/或核心网设备触发对PINE进行身份认证。触发对PINE进行EAP-AKA’身份认证,如图3所示,PINE触发核心网设备触发对PINE进行身份认证可以包括:
步骤301:PINE通过非3GPP连接(第二类网络)将其PINE标识(即PINE的设备标识符)发送给PEGC,并且同时发送认证方法以及PINE认证指示符。PINE和PEGC之间建立的非3GPP连接(第二类网络)可以是安全连接。如何建立非3GPP的安全链路在此不做限定。
步骤302:PEGC通过NAS消息向核心网设备中的AMF/SEAF网元发送PINE认证指示符、PINE标识、认证方法、PEGC的SUCI或5G-GUTI。
步骤303:每当AMF希望启动PINE时,AMF可以通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_AuthenticateRequest消息可以包含PINE认证指示符、PINE标识、认证方法、以及服务网络标识(Service Network Name,SN-Name)。
步骤304:AUSF在收到Nausf_UEAuthentication_AuthenticateRequest消息后,AUSF可以通过将服务网络标识(SN-Name)与预期的服务网络标识(SN-Name)进行比较,检查服务网络中的请求AMF是否有权使用Nausf_UEAuthentication_Authenticate Request中的服务网络标识。AUSF将临时存储接收到的服务网络标识。如果服务网络未被授权使用服务网络标识,则AUSF应在Nausf_UEAuthentication_AuthenticateResponse中以“服务网络未授权”进行响应。如果服务网络被授权使用服务网络标识,AUSF向UDM发送Nudm_UEAuthentication_GetRequest消息,Nudm_UEAuthentication_GetRequest消息可以包括:PINE认证指示符、PINE标识、PEGC的SUPI或SUCI、认证方法、服务网络标识。
步骤305:UDM在接收到Nudm_UEAuthentication_Get Request后,如果接收到SUCI,UDM将调用订阅标识符去隐藏功能(Subscription identifier de-concealing function,SIDF)将SUCI解密得到SUPI。
步骤306:UDM/ARPF根据PEGC的SUPI和设备标识符,根据PEGC的订阅验证允许PEGC执行PINE的认证过程,然后基于PINE标识和PINE发送的认证方法选择用于PINE的认证方法。
上述方法中,PINE可以在本地存储由PEGC的归属网络(home network),即第二类网络提供的凭证。并且PINE的PINE标识可以与PEGC的订阅信息相关联。PEGC可以是已经注册到5GC 中的网关,PEGC与AMF之间的连接受NAS安全性保护。AMF与SEAF并置。
在一个实施例中,所述对私有物联网单元PINE进行EAP-AKA’身份认证,包括:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
至少基于所述期望认证参数,对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES表示,认证参数可以采用RES表示
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备中的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE进行EAP-AKA’身份认证的根密钥(Root Key)。
在一个可能的实现方式中,PINE凭证可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。
在一个实施例中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEGC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES。
计算参数可以是计算XRES过程中所采用的至少一个参数。这里,核心网设备确定XRES所采用的计算方式,可以与PINE确定RES所采用的计算方式相同。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES的随机数。
核心网设备可以将计算参数发送给PINE,由PINE结合存储的第二凭证确定RES。PINE可以基于上述相似的方法确定RES,在此不再赘述。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEGC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES,进而启动对PINE的身份认证。
XRES可以用于与PINE计算的RES进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES。UDM/ARPF可以创建一个AV’,AV’可以包括:RAND、鉴权令牌(AuthenticationToken,AUTN)、XRES。
在一个可能的实现方式中,AV’还可以包括:完整性密钥CK’和加密密钥IK’。CK’和IK’同样可以基于第一凭证和计算参数确定。CK’和IK’可以同计算参数一起发送给PINE。
如图4所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的核心网设备执行,包括:
步骤401:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
步骤401可以单独实施,也可以结合步骤201一起实施。
在UDM确定XRES之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述至少基于所述期望认证参数,对所述PINE进行EAP-AKA’身份认证,包括:
通过第一类网络经由基站向所述PEGC发送EAP请求,其中,所述EAP请求至少包括所述计算参数,其中,所述计算参数由所述EAP请求通过第二类网络发送给所述PINE;
接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,其中,所述EAP响应至少包括:认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数和确定, 并携带于所述EAP响应通过所述第二类网络发送给所述PEGC的;
至少基于所述认证参数和所述期望认证参数的对比结果,对所述PINE进行EAP-AKA’身份认证。
核心网设备在确定XRES后,可以通过第二类网络向PINE的PEGC发送EAP请求。EAP请求中可以包括计算参数。这里EAP请求可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES。第二凭证可以是第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
在一个可能的实现方式中,EAP请求还可以包括:CK’和IK’等用于EAP AKA’身份认证的信息。再此不再赘述。
EAP请求可以是EAP-Request/AKA'-Challenge(EAP-请求/AKA'-挑战)。
核心网设备可以至少基于RES和XRES的对比结果确定PINE的EAP AKA’身份认证是否成功。
核心网确定XRES所采用的计算方法,和PINE确定RES所采用的计算方法可以相同。计算方法相同的情况下,如果在计算过程中采用的计算参数等均相同,那么XRES和RES相同。如果在计算过程中采用的计算参数等不同,那么XRES和RES也不同。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES和ERES也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES和ERES也不同同,则PINE身份认证失败。
在一个实施例中,所述通过第一类网络经由基站向所述PEGC发送EAP请求,包括以下至少之一项:
所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述EAP请求的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述EAP请求的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述EAP请求的认证请求,其中,所述EAP请求由PEGC携带于PINE认证请求中发送给所述PINE。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将AV’返回给AUSF。AV’可以包括:RAND、AUTN和XRES。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的EAP AKA’身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES、PINE标识和SUPI。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回 EAP请求(可以包含:RAND,AUTN)、PINE认证指示符、PEGC的SUPI、PINE标识。。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、EAP请求(包含RAND、AUTN)、PINE标识。认证请求可以是Authentication Request。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的EAP请求(包含RAND、AUTN)和PINE认证指示符转发给PINE。PEGC还可以在PINE认证请求中SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN。PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES。
在一个实施例中,所述接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,包括以下至少之一项:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述EAP响应的认证响应,其中,所述EAP响应是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述EAP响应的AUSF认证请求。
PINE确定RES后,可以将RES发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。EAP响应中携带有PINE确定的RES。
EAP响应可以是EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送EAP响应、PINE标识、PINE认证指示符和PEGI的SUPI。
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
AUSF接收到包括EAP响应(包含RES)的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证保持的XRES是否已过期。如果XRES已过期,则AUSF可以会认为PINE身份认证不成功。AUSF可以将接收到的RES与存储的XRES进行比较。如果RES和XRES相等,则AUSF应从归属网络的角度认为认证成功。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,响应于AUSF确定认证成功,AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF发送EAP成功(Success)消息,SEAF可以将将EAP成功透明地转发给PEGC。如果AUSF在发起认证时从SEAF接收到SUCI(参见本文 档的6.1.2子条款),则AUSF还可以在Nausf_UEAuthentication_Authenticate Response消息中包含SUPI。Nausf_UEAuthentication_Authenticate Response消息应包含PINE身份验证指示符和解密的PINE标识。
对于合法拦截,AUSF向SEAF发送SUPI是必要的,但还不够。通过将SUPI作为输入参数包含在从KSEAF导出KAMF的密钥中,服务网络可以从归属网络和UE侧实现对SUPI正确性的额外保证。
在一个可能的实现方式中,响应于SEAF接收到EAP成功消息,SEAF可以通过N1消息向PEGC发送EAP成功消息。该消息还应包括PINE认证指示符和解密的PINE标识。
在一个可能的实现方式中,响应于PEGC接收到EAP成功消息,PEGC通过安全的非3GPP连接向PINE发送EAP成功消息和PINE认证指示符。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个可能的实现方式中,RES和XRES可以具有单独用于分别指示对应PINE的PINE标识,和/或指示对应PEGC的PEGC标识。核心网设备在存储RES和/或XRES时,可以采用PINE标识和/或PEGC标识进行标识。例如,AUSF在存储RES和/或XRES可以采用PINE标识。
在一个可能的实现方式中,在RES和XRES传输过程中,可以采用传输消息所携带的PINE标识和/或PEGC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行EAP-AKA’身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
这里,PINE认证指示符可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
这里,PINE标识可以向核心网设备、PEGC指示进行身份认证的PINE。
在一个可能的实现方式中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保护的所述PINE标识。
如图5所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的核心网设备执行,包括:
步骤501:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
步骤501可以单独实施,也可以结合步骤201和/或步骤401一起实施。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF 可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也不再传输从而减轻核心网设备负载。
在一个实施例中,所述方法还包括:至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个可能的实现方式中,AUSF可以基于第一凭证和第一服务网络标识,确定EAP请求的第一完整性保护密钥CK’和第一机密性保护密钥IK’。第一完整性保护密钥可以用于EAP请求的完整性保护,第一机密性保护密钥可以用于EAP请求的机密性性保护。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
用于确定第一服务网络标识(Serving Network name,SN-name)的第一指示信息可以携带在EAP请求中,发送给UE。
第一指示信息可以用于指示第一服务网络标识、或者、第一指示信息可以是至少通过第一服务网络标识采用预定算法计算得到的。通过第一指示信息UE可以还原出第一服务网络标识。
例如,第一指示信息可以包括鉴权令牌AUTN中的消息完验证码(Message Authentication Code,MAC)。
在一个可能的实现方式中,PINE至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
PINE采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
PINE根据第一指示信息,确定所述PINE对应的第一服务网络标识;
在一个可能的实现方式中,PINE可以至少基于第一服务网络标识以及第二凭证推导第二完整性保护密钥和所述第二机密性保护密钥。
PINE可以基于第二完整性保护密钥和所述第二机密性保护密钥对EAP请求进行验证。如进行完整性验证和机密性验证。
在一个可能的实现方式中,响应于验证所述EAP请求失败,PINE向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
如果验证成功,则继续EAP-AKA’身份认证流程。否则,向核心网设备发送验证失败信息,停止进行PINE的EAP-AKA’身份认证。PINE可以舍弃该EAP请求。
在一个可能的实现方式中,PINE接收所述PEGC发送的指示第二服务网络标识的第二指示信息;
响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
PINE根据从所述PEGC接收的第二指示信息,确定所述PINE对应的第二服务网络标识;
在一个可能的实现方式中,第二指示信息携带于PEGC方式给PINE的认证请求中。
第二服务网络标识(Serving Network name,SN-name)用于指示PINE的服务网络。
采用第二完整性保护密钥和所述第二机密性保护密钥验证EAP请求成功后,PINE还可以验证第一服务网络标识和第二服务网络标识的一致性。如果第一服务网络标识和第二服务网络标识则继续EAP-AKA’身份认证流程。否则,停止EAP-AKA’身份认证流程。
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可以产生本地告警信息,继续向核心网发送EAP响应
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可以向核心网发送错误信息,终止认证流程。
如图6所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的私有物联网网关PEGC执行,包括:
步骤601:在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量(Quality of Service,QoS)等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行EAP-AKA’身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
EAP-AKA’可以用于核心网设备与PINE之间的双向认证。
核心网设备对PINE进行EAP-AKA’身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行EAP-AKA’身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个可能的实施方式中,蜂窝移动通信网络需要为PINE提供凭证。使用凭证,蜂窝移动通信网络可以验证和识别与PEGC连接的PINE。
在一个可能的实现方式中,可以由PINE、PEGC和/或核心网设备触发对PINE进行身份认证。触发对PINE进行EAP-AKA’身份认证,如图3所示,PINE触发核心网设备触发对PINE进行身份认证可以包括:
步骤301:PINE通过非3GPP连接(第二类网络)将其PINE标识(即PINE的设备标识符)发送给PEGC,并且同时发送认证方法以及PINE认证指示符。PINE和PEGC之间建立的非3GPP连接(第二类网络)可以是安全连接。如何建立非3GPP的安全链路在此不做限定。
步骤302:PEGC通过NAS消息向核心网设备中的AMF/SEAF网元发送PINE认证指示符、PINE标识、认证方法、PEGC的SUCI或5G-GUTI。
步骤303:每当AMF希望启动PINE时,AMF可以通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_AuthenticateRequest消息可以包含PINE认证指示符、PINE标识、认证方法、以及服务网络标识(Service Network Name,SN-Name)。
步骤304:AUSF在收到Nausf_UEAuthentication_AuthenticateRequest消息后,AUSF可以通过将服务网络标识(SN-Name)与预期的服务网络标识(SN-Name)进行比较,检查服务网络中的请求AMF是否有权使用Nausf_UEAuthentication_Authenticate Request中的服务网络标识。AUSF将临时存储接收到的服务网络标识。如果服务网络未被授权使用服务网络标识,则AUSF应在Nausf_UEAuthentication_AuthenticateResponse中以“服务网络未授权”进行响应。如果服务网络被授权使用服务网络标识,AUSF向UDM发送Nudm_UEAuthentication_GetRequest消息,Nudm_UEAuthentication_GetRequest消息可以包括:PINE认证指示符、PINE标识、PEGC的SUPI或SUCI、认证方法、服务网络标识。
步骤305:UDM在接收到Nudm_UEAuthentication_Get Request后,如果接收到SUCI,UDM将调用订阅标识符去隐藏功能(Subscription identifier de-concealing function,SIDF)将SUCI解密得到SUPI。
步骤306:UDM/ARPF根据PEGC的SUPI和设备标识符,根据PEGC的订阅验证允许PEGC执行PINE的认证过程,然后基于PINE标识和PINE发送的认证方法选择用于PINE的认证方法。
上述方法中,PINE可以在本地存储由PEGC的归属网络(home network),即第二类网络提供 的凭证。并且PINE的PINE标识可以与PEGC的订阅信息相关联。PEGC可以是已经注册到5GC中的网关,PEGC与AMF之间的连接受NAS安全性保护。AMF与SEAF并置。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES表示,认证参数可以采用RES表示
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备中的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE进行EAP-AKA’身份认证的根密钥(Root Key)。
在一个可能的实现方式中,PINE凭证可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEGC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES。
计算参数可以是计算XRES过程中所采用的至少一个参数。这里,核心网设备确定XRES所采用的计算方式,可以与PINE确定RES所采用的计算方式相同。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES的随机数。
核心网设备可以将计算参数发送给PINE,由PINE结合存储的第二凭证确定RES。PINE可以基于上述相似的方法确定RES,在此不再赘述。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEGC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES,进而启动对PINE的身份认证。
XRES可以用于与PINE计算的RES进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES。UDM/ARPF可以创建一个AV’,AV’可以包括:RAND、鉴权令牌AUTN、XRES。
在一个可能的实现方式中,AV’还可以包括:完整性密钥CK’和加密密钥IK’。CK’和IK’同样可以基于第一凭证和计算参数确定。CK’和IK’可以同计算参数一起发送给PINE。
在一个可能的实现方式中,UDM等核心网设备基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
核心网设备确定所述PEGC为所述合法网关;基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在UDM确定XRES之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
核心网设备在确定XRES后,可以通过第二类网络向PINE的PEGC发送EAP请求。EAP请求中可以包括计算参数。这里EAP请求可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES。第二凭证可以是第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
在一个可能的实现方式中,EAP请求还可以包括:CK’和IK’等用于EAP AKA’身份认证的信息。再此不再赘述。
EAP请求可以是EAP-Request/AKA'-Challenge(EAP-请求/AKA'-挑战)。
核心网设备可以至少基于RES和XRES的对比结果确定PINE的EAP AKA’身份认证是否成功。
核心网确定XRES所采用的计算方法,和PINE确定RES所采用的计算方法可以相同。计算方法相同的情况下,如果在计算过程中采用的计算参数等均相同,那么XRES和RES相同。如果在计算过程中采用的计算参数等不同,那么XRES和RES也不同。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES和ERES也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES和ERES也不同同,则PINE身份认证失败。
在一个实施例中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求,包括:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述EAP请求的认证请求;
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求,包括:
通过所述第二类网络,向所述PINE发送携带有所述EAP请求的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,包括:
接收所述PINE通过所述第二类网络发送的携带有所述EAP响应的PINE认证响应;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,包括:
通过所述第一类网络经由所述基站向所述SEAF发送携带有所述EAP响应的认证响应。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将AV’返回给AUSF。AV’可以包括:RAND、AUTN和XRES。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的EAP AKA’身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES、PINE标识和SUPI。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回EAP请求(可以包含:RAND,AUTN)、PINE认证指示符、PEGC的SUPI、PINE标识。。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、EAP请求(包含RAND、AUTN)、PINE标识。认证请求可以是Authentication Request。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的EAP请求(包含RAND、AUTN)和PINE认证指示符转发给PINE。PEGC还可以在PINE认证请求中SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN。PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES。
PINE确定RES后,可以将RES发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。EAP响应中携带有PINE确定的RES。
EAP响应可以是EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送EAP响应、PINE标识、PINE认证指示符和PEGI的SUPI。
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
AUSF接收到包括EAP响应(包含RES)的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证保持的XRES是否已过期。如果XRES已过期,则AUSF可以会认为PINE身份认证不成功。AUSF可以将接收到的RES与存储的XRES进行比较。如果RES和XRES相等,则AUSF应从归属网络的角度认为认证成功。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,响应于AUSF确定认证成功,AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF发送EAP成功(Success)消息,SEAF可以将将EAP成功透明地转发给PEGC。如果AUSF在发起认证时从SEAF接收到SUCI(参见本文档的6.1.2子条款),则AUSF还可以在Nausf_UEAuthentication_Authenticate Response消息中包含SUPI。Nausf_UEAuthentication_Authenticate Response消息应包含PINE身份验证指示符和解密的PINE标识。
对于合法拦截,AUSF向SEAF发送SUPI是必要的,但还不够。通过将SUPI作为输入参数包含在从KSEAF导出KAMF的密钥中,服务网络可以从归属网络和UE侧实现对SUPI正确性的额外 保证。
在一个可能的实现方式中,响应于SEAF接收到EAP成功消息,SEAF可以通过N1消息向PEGC发送EAP成功消息。该消息还应包括PINE认证指示符和解密的PINE标识。
在一个可能的实现方式中,响应于PEGC接收到EAP成功消息,PEGC通过安全的非3GPP连接向PINE发送EAP成功消息和PINE认证指示符。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个可能的实现方式中,RES和XRES可以具有单独用于分别指示对应PINE的PINE标识,和/或指示对应PEGC的PEGC标识。核心网设备在存储RES和/或XRES时,可以采用PINE标识和/或PEGC标识进行标识。例如,AUSF在存储RES和/或XRES可以采用PINE标识。
在一个可能的实现方式中,在RES和XRES传输过程中,可以采用传输消息所携带的PINE标识和/或PEGC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
指示所述PINE的PINE标识。
这里,PINE认证指示符可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
这里,PINE标识可以向核心网设备、PEGC指示进行身份认证的PINE。
在一个可能的实现方式中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保护的所述PINE标识。
在一个可能的实现方式中,核心网设备网元(如UDM)响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也不再传输从而减轻核心网设备负载。
在一个实施例中,所述方法还包括:核心网设备至少基于所述PINE的第一凭证和第一服务网 络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个可能的实现方式中,AUSF可以基于第一凭证和第一服务网络标识,确定EAP请求的第一完整性保护密钥CK’和第一机密性保护密钥IK’。第一完整性保护密钥可以用于EAP请求的完整性保护,第一机密性保护密钥可以用于EAP请求的机密性性保护。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
用于确定第一服务网络标识(Serving Network name,SN-name)的第一指示信息可以携带在EAP请求中,发送给UE。
第一指示信息可以用于指示第一服务网络标识、或者、第一指示信息可以是至少通过第一服务网络标识采用预定算法计算得到的。通过第一指示信息UE可以还原出第一服务网络标识。
例如,第一指示信息可以包括鉴权令牌AUTN中的消息完验证码(Message Authentication Code,MAC)。
在一个可能的实现方式中,PINE至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
PINE采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
PINE根据第一指示信息,确定所述PINE对应的第一服务网络标识;
在一个可能的实现方式中,PINE可以至少基于第一服务网络标识以及第二凭证推导第二完整性保护密钥和所述第二机密性保护密钥。
PINE可以基于第二完整性保护密钥和所述第二机密性保护密钥对EAP请求进行验证。如进行完整性验证和机密性验证。
在一个可能的实现方式中,响应于验证所述EAP请求失败,PINE向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
如果验证成功,则继续EAP-AKA’身份认证流程。否则,向核心网设备发送验证失败信息,停止进行PINE的EAP-AKA’身份认证。PINE可以舍弃该EAP请求。
如图7所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的私有物联网网关PEGC执行,包括:
步骤701:向所述PINE发送指示第二服务网络标识的第二指示信息。
步骤701可以单独实施也可以结合步骤601一起实施。
PINE根据从所述PEGC接收的第二指示信息,确定所述PINE对应的第二服务网络标识;
在一个可能的实现方式中,第二指示信息携带于PEGC方式给PINE的认证请求中。
第二服务网络标识(Serving Network name,SN-name)用于指示PINE的服务网络。
采用第二完整性保护密钥和所述第二机密性保护密钥验证EAP请求成功后,PINE还可以验证第一服务网络标识和第二服务网络标识的一致性。如果第一服务网络标识和第二服务网络标识则继续EAP-AKA’身份认证流程。否则,停止EAP-AKA’身份认证流程。
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可以产生本地告警信息,继续向核心网发送EAP响应
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可以向核心网发送错误信息,终止认证流程。
如图8所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的PINE执行,包括:
步骤801:在第一类网络的核心网设备对所述PINE进行EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
这里,第一类网络可以是符合3GPP标准的蜂窝移动通信网络,如5GS网络等。第二类网络可以是非3GPP标准的网络,第二类网络包括但不限于至少以下之一:Wi-Fi网络、蓝牙网络、ZigBee等。
这里,PINE可以物联网中不能直接接入第一类网络(如5GS等蜂窝移动通信网络)的通信设备,例如,PINE可以是可穿戴设备、智能家电、智能办公设备等。PEGC可以是能够直接接入第一类网络(如蜂窝移动通信网络)的通信设备。PEGC可以同时具有第一类网络和第二类网络的接入能力。PEGC能够为不能直接接入第一类网络的通信设备(如PINE),提供接入第一类网络(如蜂窝移动通信网络)的网关服务。PEGC与不能直接接入第一类网络的通信设备可以通过第二类网络连接。
在一个实施例中,所述PEGC包括用户设备UE。
PEGC可以是同时具有第一类网络和第二类网络接入能力的UE。例如,PEGC可以是手机等终端设备。
PINE可以通过PEGC访问5GS,而5GS需要识别PINE以增强管理。例如,5GS需要针对不同PINE确定服务质量(Quality of Service,QoS)等。因此,可以由核心网设备对PINE进行身份认证。
这里,可以由核心网设备对PINE进行EAP-AKA’身份认证。PINE和核心网设备可以通过PEGC相互传输在认证过程中需要传输的认证信息。这里认证信息可以包括:PINE标识、根密钥(Root Key)等。
EAP-AKA’可以用于核心网设备与PINE之间的双向认证。
核心网设备对PINE进行EAP-AKA’身份认证后,可以针对PINE实现符合3GPP要求的管理。例如,可以针对PINE的数据传输采用对应的QoS、安全策略等。
如此,由核心网设备对PINE进行EAP-AKA’身份认证,可以使得PINE可以直接访问蜂窝移动通信网络,PINE在第一类网络内的通信可以由核心网设备进行管理,满足核心网设备对接入第一类网络的设备的管理需求。满足PINE的数据传输需求、提高数据传输可靠性。
在一个可能的实施方式中,蜂窝移动通信网络需要为PINE提供凭证。使用凭证,蜂窝移动通信网络可以验证和识别与PEGC连接的PINE。
在一个可能的实现方式中,可以由PINE、PEGC和/或核心网设备触发对PINE进行身份认证。触发对PINE进行EAP-AKA’身份认证,如图3所示,PINE触发核心网设备触发对PINE进行身份认证可以包括:
步骤301:PINE通过非3GPP连接(第二类网络)将其PINE标识(即PINE的设备标识符)发送给PEGC,并且同时发送认证方法以及PINE认证指示符。PINE和PEGC之间建立的非3GPP连接(第二类网络)可以是安全连接。如何建立非3GPP的安全链路在此不做限定。
步骤302:PEGC通过NAS消息向核心网设备中的AMF/SEAF网元发送PINE认证指示符、PINE标识、认证方法、PEGC的SUCI或5G-GUTI。
步骤303:每当AMF希望启动PINE时,AMF可以通过向AUSF发送Nausf_UEAuthentication_Authenticate Request消息来调用Nausf_UEAuthentication服务。Nausf_UEAuthentication_AuthenticateRequest消息可以包含PINE认证指示符、PINE标识、认证方法、以及服务网络标识(Service Network Name,SN-Name)。
步骤304:AUSF在收到Nausf_UEAuthentication_AuthenticateRequest消息后,AUSF可以通过将服务网络标识(SN-Name)与预期的服务网络标识(SN-Name)进行比较,检查服务网络中的请求AMF是否有权使用Nausf_UEAuthentication_Authenticate Request中的服务网络标识。AUSF将临时存储接收到的服务网络标识。如果服务网络未被授权使用服务网络标识,则AUSF应在Nausf_UEAuthentication_AuthenticateResponse中以“服务网络未授权”进行响应。如果服务网络被授权使用服务网络标识,AUSF向UDM发送Nudm_UEAuthentication_GetRequest消息,Nudm_UEAuthentication_GetRequest消息可以包括:PINE认证指示符、PINE标识、PEGC的SUPI或SUCI、认证方法、服务网络标识。
步骤305:UDM在接收到Nudm_UEAuthentication_Get Request后,如果接收到SUCI,UDM将调用订阅标识符去隐藏功能(Subscription identifier de-concealing function,SIDF)将SUCI解密得到SUPI。
步骤306:UDM/ARPF根据PEGC的SUPI和设备标识符,根据PEGC的订阅验证允许PEGC执行PINE的认证过程,然后基于PINE标识和PINE发送的认证方法选择用于PINE的认证方法。
上述方法中,PINE可以在本地存储由PEGC的归属网络(home network),即第二类网络提供的凭证。并且PINE的PINE标识可以与PEGC的订阅信息相关联。PEGC可以是已经注册到5GC中的网关,PEGC与AMF之间的连接受NAS安全性保护。AMF与SEAF并置。
在一个实施例中,所述在第一类网络的核心网设备对所述PINE进行EAP-AKA’身份认证过程中传输认证信息,包括:
通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,其中,所述EAP请求,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述 核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
本实施例中,期望认证参数可以采用XRES表示,认证参数可以采用RES表示
第一网络为PINE配置的PINE凭证可以包括:存储在核心网设备中的第一凭证和存储在PINE内的第二凭证。对于同一PINE,第一凭证等于第二凭证相同。PINE凭证可以作为PINE进行EAP-AKA’身份认证的根密钥(Root Key)。
在一个可能的实现方式中,PINE凭证可以是由第一网络为PINE配置的。不同PINE凭证可以对应于不同的PINE。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个可能的实现方式中,第一凭证存储于UDM中。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识。这里,PINE标识可以包括受保护的PINE标识,或者明文的PINE标识。受保护的PINE标识可以包括以下之一:匿名化的PINE标识;加密的PINE标识。
在一个可能的实现方式中,第一凭证可以对应于PINE的PINE标识和/或PINE的PEGC的PEGC标识。其中,PINE标识可以唯一标识PINE。PEGC标识可以唯一标识PEGC。
核心网设备可以基于PINE的PINE标识和/或PEGC标识确定PINE对应的第一凭证。这里,PINE标识可以是由触发核心网设备进行PINE认证的触发信息携带。例如,触发信息可以是Nudm_UEAuthentication_Get Request等。
核心网设备可以至少基于第一凭证和计算参数,确定XRES。
计算参数可以是计算XRES过程中所采用的至少一个参数。这里,核心网设备确定XRES所采用的计算方式,可以与PINE确定RES所采用的计算方式相同。
在一个实施例中,所述计算参数至少包括随机数RAND。
计算参数可以是用于计算XRES的随机数。
核心网设备可以将计算参数发送给PINE,由PINE结合存储的第二凭证确定RES。PINE可以基于上述相似的方法确定RES,在此不再赘述。
如图9所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的PINE执行,包括:
步骤901:至少基于第二凭证和所述计算参数和确定认证参数;
所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:
通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,所述EAP响应,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
核心网设备在确定XRES后,可以通过第二类网络向PINE的PEGC发送EAP请求。EAP请求中可以包括计算参数。这里EAP请求可以由PEGC发送给PINE,由PINE基于第二凭证和计算参数等确定RES。第二凭证可以是第一网络确定的,例如可以是第一网络的核心网设备确定的。可以由第一网络通过PEGC发送给PINE。
在一个可能的实现方式中,EAP请求还可以包括:CK’和IK’等用于EAP AKA’身份认证的信息。再此不再赘述。
EAP请求可以是EAP-Request/AKA'-Challenge(EAP-请求/AKA'-挑战)。
核心网设备可以至少基于RES和XRES的对比结果确定PINE的EAP AKA’身份认证是否成功。
核心网确定XRES所采用的计算方法,和PINE确定RES所采用的计算方法可以相同。计算方法相同的情况下,如果在计算过程中采用的计算参数等均相同,那么XRES和RES相同。如果在计算过程中采用的计算参数等不同,那么XRES和RES也不同。
如果第一凭证与第二凭证相同,那么基于同一计算参数确定的RES和ERES也相同,则PINE身份认证成功。
如果第一凭证与第二凭证不同同,那么基于同一计算参数确定的RES和ERES也不同同,则PINE身份认证失败。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
触发对PINE进行身份认证的触发信息可以发送给UDM。UDM可基于PINE标识和/或所述PEGC的PEGC标识确定PINE的第一凭证。
第一凭证可以存储于UDM中,可以由UDM确定XRES,进而启动对PINE的身份认证。
XRES可以用于与PINE计算的RES进行对比,进而确认PINE的第二凭证等是否与UDM中的第一凭证等相同,进而确定PINE的身份,完成第PINE的身份认证。UDM可以包括身份验证凭证存储和处理功能(ARPF)。
示例性的,对于每个图3所示的Nudm_Authenticate_Get Request,UDM/ARPF应根据本地存储的PINE凭证,即第一凭证,为PINE创建一个5G HE AV。UDM/ARPF通过生成认证管理字段(AMF)分隔位设置为“1”的AV来实现这一点。然后UDM/ARPF可以计算XRES。UDM/ARPF可以创建一个AV’,AV’可以包括:RAND、鉴权令牌AUTN、XRES。
在一个可能的实现方式中,AV’还可以包括:完整性密钥CK’和加密密钥IK’。CK’和IK’同样可以基于第一凭证和计算参数确定。CK’和IK’可以同计算参数一起发送给PINE。
在一个可能的实现方式中,UDM等核心网设备基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
核心网设备确定所述PEGC为所述合法网关;基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在UDM确定XRES之前,UDM还可以确定PEGC是否为PINE的合法网关:首先UDM可以基于判断信息判断PEGC是否是第一类网络中的合法网关。例如,UDM可以基于PEGC标识进行判断。然后UDM可以判断PEGC是否为PINE的合法网关,例如,可以判断PEGC是否被允许将PINE接入到第一类网络中。UDM可以基于PEGC的标识、PINE的所述PINE标识和PEGC的订阅信息进行判断。例如,当PEGC的标识所标识的PEGC的订阅信息中具有PINE的PINE标识,则确定PEGC为PINE的合法网关。
PEGC标识可以包括:用户隐藏标识(Subscriptionconcealed identifier,SUCI)和/或用户永久标识(Subscription Permanent Identifier,SUPI)。
在一个实施例中,所述通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,包括:
通过所述第二类网络,接收所述PEGC发送的携带有所述EAP请求的PINE认证请求;
所述通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,包括:
通过所述第二类网络向所述PEGC发送的携带有所述EAP响应的PINE认证响应。
UDM可以将计算参数(如RAND)携带在UDM响应中发送给AUSF。UDM响应可以是Nudm_UEAuthentication_Get Respons。例如,UDM可以在Nudm_UEAuthentication_Get Response中将AV’返回给AUSF。AV’可以包括:RAND、AUTN和XRES。UDM响应中可以携带指示对所述PINE进行身份认证的PINE认证指示符。AUSF可以基于PINE认证指示符确定UDM响应用于对PINE的EAP AKA’身份认证
如果PINE标识和PEGI的SUCI包含在Nudm_UEAuthentication_Get Request中,UDM将在SIDF对SUCI去隐蔽后,将PINE标识和PEGI的SUPI包含在Nudm_UEAuthentication_Get Response中。
AUSF可以存储XRES、PINE标识和SUPI。
AUSF可以在AUSF响应(如Nausf_UEAuthentication_Authenticate Response)中向SEAF返回EAP请求(可以包含:RAND,AUTN)、PINE认证指示符、PEGC的SUPI、PINE标识。。
SEAF可以在认证请求(如NAS消息)中向PEGC发送PINE认证指示符、EAP请求(包含RAND、AUTN)、PINE标识。认证请求可以是Authentication Request。
PEGC可以通过安全的非3GPP的第二网络将认证请求中收到的EAP请求(包含RAND、AUTN)和PINE认证指示符转发给PINE。PEGC还可以在PINE认证请求中SN-Name。
PINE在接收到在收到PINE认证请求中携带的RAND、AUTN。PINE可以通过检查AUTN确定是否可以接受PINE认证请求。例如,PINE可以验证接收的AUTN新鲜度。如果PINE确定PINE认证请求可以接受,那么,PINE可以计算RES。例如,PINE可以先计算RES、CK、IK。然后PINE ME可以从RES计算得到RES。
PINE确定RES后,可以将RES发送给核心网设备。
PINE可以通过安全的非3GPP第二类网络向PEGC返回PINE认证响应,PINE认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。PINE认证响应可以是PINE Authentication Response。EAP响应中携带有PINE确定的RES。
EAP响应可以是EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)。
PEGC可以通在NAS消息中向SEAF发送认证响应,其中,认证响应可以包括:EAP响应、PINE标识和PINE认证指示符。认证响应可以是:Authentication Response。
SEAF可以在AUSF认证请求(Nausf_UEAuthentication_Authenticate Request)中向AUSF发送EAP响应、PINE标识、PINE认证指示符和PEGI的SUPI。
所述AUSF基于所述认证参数和所述期望认证参数对所述PINE进行身份认证。
AUSF接收到包括EAP响应(包含RES)的AUSF认证请求(Nausf_UEAuthentication_Authenticate Request消息)作为身份认证确认时,它可以验证保持的XRES是否已过期。如果XRES已过期,则AUSF可以会认为PINE身份认证不成功。AUSF可以将接收到的RES与存储的XRES进行比较。如果RES和XRES相等,则AUSF应从归属网络的角度认为认证成功。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个可能的实现方式中,响应于AUSF确定认证成功,AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF发送EAP成功(Success)消息,SEAF可以将将EAP成功透明地转发给PEGC。如果AUSF在发起认证时从SEAF接收到SUCI(参见本文档的6.1.2子条款),则AUSF还可以在Nausf_UEAuthentication_Authenticate Response消息中包含SUPI。Nausf_UEAuthentication_Authenticate Response消息应包含PINE身份验证指示符和解密的PINE标识。
对于合法拦截,AUSF向SEAF发送SUPI是必要的,但还不够。通过将SUPI作为输入参数包含在从KSEAF导出KAMF的密钥中,服务网络可以从归属网络和UE侧实现对SUPI正确性的额外保证。
在一个可能的实现方式中,响应于SEAF接收到EAP成功消息,SEAF可以通过N1消息向PEGC发送EAP成功消息。该消息还应包括PINE认证指示符和解密的PINE标识。
在一个可能的实现方式中,响应于PEGC接收到EAP成功消息,PEGC通过安全的非3GPP连接向PINE发送EAP成功消息和PINE认证指示符。
AUSF可以在AUSF认证响应(Nausf_UEAuthentication_Authenticate Response)中向SEAF指示从归属网络角度PINE身份认证是否成功。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个可能的实现方式中,RES和XRES可以具有单独用于分别指示对应PINE的PINE标识, 和/或指示对应PEGC的PEGC标识。核心网设备在存储RES和/或XRES时,可以采用PINE标识和/或PEGC标识进行标识。例如,AUSF在存储RES和/或XRES可以采用PINE标识。
在一个可能的实现方式中,在RES和XRES传输过程中,可以采用传输消息所携带的PINE标识和/或PEGC标识进行标识。传输消息可以包括至少以下之一:UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应、所述AUSF认证请求。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
这里,PINE认证指示符可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示接收到的消息用于对PINE进行身份认证。
SUPI可以向核心网设备(如UDM、AUSF、SEAF)、PEGC、PINE指示进行身份认证的PINE所连接的PEGC。核心网设备和/或PINE可以将对应信息发送给SUPI指示的PEGC。
这里,PINE标识可以向核心网设备、PEGC指示进行身份认证的PINE。
在一个可能的实现方式中,所述PINE标识为受安全保护的PINE标识。
受安全保护的PINE标识可以包括加密的PINE标识、匿名的PINE标识等。
在一个可能的实现方式中,所述UDM响应、所述AUSF响应、所述认证请求、所述PINE认证请求、所述PINE认证响应、所述认证响应和所述AUSF认证请求中的至少之一,携带有受安全保护的所述PINE标识。
在一个可能的实现方式中,核心网设备网元(如UDM)响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当核心网设备网元(如UDM)收到的PINE标识为受保护的PINE标识,其需要将受保护的PINE标识通过去匿名化、解密等手段将受保护的PINE标识转变为明文状态的PINE标识。
核心网设备在核心网设备内部进行传输时,可以使用明文状态的PINE标识。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
当PINE标识在核心网设备外部进行传输时,可以采用受保护的PINE标识。即在在SEAF-PEGC-PINE这三者通信之间,使用受保护的PINE标识例如,所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识
在一个可能的实现方式中,若UDM收到的PINE标识为未受保护信息(即明文状态的PINE标识)。在SEAF-PEGC-PINE这三者通信之间,使用未受保护的信息(明文状态的PINE标识)。例如,在所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有明文状态的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
相关技术中,UDM需要在身份认证过程中确定Kausf,这里,在PINE身份认证过程中,UDM可以不确定Kausf,也不再传输Kausf,从而减轻核心网设备负载。鉴权服务功能密钥KAUSF生成安全锚点功能密钥KSEAF
相关技术中,AUSF需要在身份认证过程中确定Kseaf,这里,在PINE身份认证过程中,AUSF可以不确定Kseaf,也不再传输Kseaf,从而减轻核心网设备负载。密钥集标识ngKSI为第一类网络中UE所使用的密钥集的标识,用于指示第一类网络与该UE使用同样的密钥集。ABBA参数用于AMF网元生成KAMF。密钥集标识(ngKSI,key setidentifier in 5G)可以是用于认证成功后创建本地安全上下文,架构间反投标下降(ABBA,anti-bidding downbetweenarchitectures)参数防止混淆的区分版本安全特性指示参数。
由于PINE通过PEGC接入第一类网络。因此,SEAF可以不再确定ngKSI和ABBA参数,也不再传输从而减轻核心网设备负载。
在一个可能的实现方式中,所述方法还包括:核心网设备至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个可能的实现方式中,AUSF可以基于第一凭证和第一服务网络标识,确定EAP请求的第一完整性保护密钥CK’和第一机密性保护密钥IK’。第一完整性保护密钥可以用于EAP请求的完整性保护,第一机密性保护密钥可以用于EAP请求的机密性性保护。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
用于确定第一服务网络标识(Serving Network name,SN-name)的第一指示信息可以携带在EAP请求中,发送给UE。
第一指示信息可以用于指示第一服务网络标识、或者、第一指示信息可以是至少通过第一服务网络标识采用预定算法计算得到的。通过第一指示信息UE可以还原出第一服务网络标识。
例如,第一指示信息可以包括鉴权令牌AUTN中的消息完验证码(Message Authentication Code,MAC)。
如图10所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的PINE执行,包括:
步骤1001:至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
步骤1002:采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
步骤1001和/或步骤1002可以单独实施,也可以结合步骤801和/或步骤901一起实施。
PINE根据第一指示信息,确定所述PINE对应的第一服务网络标识;
在一个可能的实现方式中,PINE可以至少基于第一服务网络标识以及第二凭证推导第二完整性保护密钥和所述第二机密性保护密钥。
PINE可以基于第二完整性保护密钥和所述第二机密性保护密钥对EAP请求进行验证。如进行完整性验证和机密性验证。
如图11所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的PINE执行,包括:
步骤1101:响应于验证所述EAP请求失败,向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
步骤1101可以单独实施,也可以结合步骤801、步骤901、步骤1001和/或步骤1002一起实施。
如果验证成功,则继续EAP-AKA’身份认证流程。否则,向核心网设备发送验证失败信息,停止进行PINE的EAP-AKA’身份认证。PINE可以舍弃该EAP请求。
如图12所示,本示例性实施例提供一种认证方法,可以被蜂窝移动通信系统的PINE执行,包括:
步骤1201:接收所述PEGC发送的指示第二服务网络标识的第二指示信息;
步骤1202:响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
步骤1201和/或步骤1202可以单独实施,也可以结合步骤801、步骤901、步骤1001、步骤1002和/或步骤1101一起实施。
PINE根据从所述PEGC接收的第二指示信息,确定所述PINE对应的第二服务网络标识;
在一个可能的实现方式中,第二指示信息携带于PEGC方式给PINE的认证请求中。
第二服务网络标识(Serving Network name,SN-name)用于指示PINE的服务网络。
采用第二完整性保护密钥和所述第二机密性保护密钥验证EAP请求成功后,PINE还可以验证第一服务网络标识和第二服务网络标识的一致性。如果第一服务网络标识和第二服务网络标识则继续EAP-AKA’身份认证流程。否则,停止EAP-AKA’身份认证流程。
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可以产生本地告警信息,继续向核心网发送EAP响应
在一个可能的实现方式中,响应于确定第一服务网络标识和第二服务网络标识不一致,PINE可 以向核心网发送错误信息,终止认证流程。
以下结合上述任意实施例提供一个具体示例:
PINE认证如图13所示。这里,PEGC可以是UE。假设PINE标识是加密的。UDM可以调用一个函数来解密加密的PINE标识。
假设在PINE请求身份认证时,SEAF,AUSF,UDM接收到PINE标识和PEGC的SUCI。
还假设PINE通过安全的非3GPP访问连接到PEGC。
PINE身份认证具体包括:
步骤1301:UDM/ARPF可以首先生成一个认证向量(Authentication Vector,AV),其中认证管理字段(AMF)分隔位=1,如TS33.102[X]中所定义。然后,UDM/ARPF可以计算CK'和IK',并将CK和IK替换为CK'和IK'。示例性的,可以根据TS33.501[1]的规范性附件A计算CK'和IK'。
步骤1302:UDM应随后将转换后的认证向量AV'(包含RAND、AUTN、XRES、CK'、IK')发送到AUSF,UDM从该AUSF接收到Nudm_UEAuthentication_Get Request以及一个指示,指示采用Nudm_UEAuthentication_Get Response中的AV'用于EAP-AKA。
Nudm_UEAuthentication_Get Response消息中还包含PINE认证指示符和解密的PINE标识(明文状态的PINE标识),解密的PINE标识表示该消息(Nudm_UEAuthentication_Get Response)用于认证由解密的PINE标识所标识的PINE。假设UDM可以基于PINE标识/解密的PINE标识来识别PINE的凭证。将PINE的凭证作为推导望认证参数(XRES)的根密钥K。
示例性的:AUSF和UDM/ARPF之间的Nudm_UEAuthentication_Get Request和Nudm_UEAuthentication_Get Response的交换与TS33.402[X]子条款6.2,步骤10,中描述的使用EAP-AKA'的可信访问相同,除了密钥推导的输入参数,它是<network name>的值。“网络名称”是来自RFC5448[X]的概念;它在EAP-AKA'中的AT_KDF_INPUT属性中携带。<network name>参数的值没有在RFC5448[X]中定义,而是在3GPP规范中定义。对于EPS,它在TS24.302[X]中定义为“接入网络标识”,对于5G,它在本文档的6.1.1.4子条款中定义为“服务网络名称(SNN)”。
如果PEGC的SUCI包含在Nudm_UEAuthentication_Get步骤10,中,UDM可以在Nudm_UEAuthentication_Get Response中携带PEGC的SUPI。
步骤1303:AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF发送EAP-Request/AKA'-Challenge(EAP-请求/AKA'-挑战)消息。Nausf_UEAuthentication_AuthenticateRespon se还包括:PEGC的SUPI、PINE认证指示符和解密的PINE标识。AUSF可以将AV'映射到PEGC的SUPI和PINE标识/解密的PINE标识。。
步骤1304:SEAF应在NAS消息认证请求(Authentication Request)消息中透明地将EAP-Req uest/AKA'-Challenge(EAP-请求/AKA'-挑战)消息转发给PEGC(UE)。NAS消息Authentication Req uest消息还包括PINE标识。
SEAF需要基于Nausf_UEAuthentication_Authenticate Response消息,评估身份认证的类型来确定所使用的身份认证方法是EAP方法。
在一个可能的实现方式中,PEGC与SEAF之间传输的消息可以采用统一形式的PINE标识。例如,PEGC与SEAF之间传输的消息可以采用加密的PINE标识,也可以采用明文状态的PINE标识。
步骤1305:PEGC将EAP-Request/AKA'-Challenge(EAP-请求/AKA'-挑战)消息和服务网络标识(SNN)称通过PIN element authentication消息(如:PINE认证请求)透明转发给PINE。其中PINE由PINE标识所标识。
步骤1306:在收到RAND和AUTN时,PINE的USIM应通过检查AUTN是否可以接受来验证AV'的新鲜度。例如,可以采用TS33.102[X]中所述的方法。如果是,则PINE的USIM计算认证参数(RES)。PINE的USIM将RES、CK、IK返回给PINE的ME。如果PINE的USIM使用TS33.102[X]中描述的转换函数c3从CK和IK计算出Kc(即GPRS Kc),并将其发送给PINE的ME,则PINE的ME将忽略此类GPRS Kc并且不将GPRS Kc存储在USIM或ME中。PINE的ME应根据附录A.3推导出CK'和IK'。具体而言,用于导出CK'和IK'的服务网络标识(SNN)由PEGC提供。
如果AUTN验证在PINE的USIM上失败,则PINE的USIM和PINE的ME应按照6.1.3中的描述进行。
步骤1307:PINE可以通过安全的非3GPP连接向PEGC发送PINE认证指示符、EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)消息、PINE标识。
步骤1308:PEGC(如UE)可以在NAS消息认证响应(Auth-Resp.)消息中向SEAF发送PINE认证指示符、EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)消息、PINE标识。
步骤1309:SEAF可以在Nausf_UEAuthentication_Authenticate Response向AUSF发送PINE认证指示符、EAP-Response/AKA'-Challenge(EAP-响应/AKA'-挑战)消息、PINE标识。
步骤1010:AUSF可以通过比较XRES和RES来验证消息,如果AUSF成功验证了此消息,则应继续执行以下步骤,否则应向SEAF返回错误。具体来说,AUSF可以根据接收到的解密后的PINE标识符来识别对应的XRES。AUSF可以将认证结果通知UDM。如果EAP-Response/AKA'-Challenge消息验证不成功,则根据归属网络的策略确定后续的AUSF行为
步骤1311:AUSF和PINE可以通过SEAF交换EAP-Request/AKA'-Notification和EAP-Response/AKA'-Notification消息。PEGC和SEAF可以透传这些些消息。
步骤1312:AUSF可以在Nausf_UEAuthentication_Authenticate Response中向SEAF发送EAP成功(Success)消息,SEAF可以将将EAP成功透明地转发给PEGC。如果AUSF在发起认证时从SEAF接收到SUCI(参见本文档的6.1.2子条款),则AUSF还可以在Nausf_UEAuthentication_Authenticate Response消息中包含SUPI。Nausf_UEAuthentication_Authenticate响应消息应包含PINE身份验证指示符和解密的PINE标识。
对于合法拦截,AUSF向SEAF发送SUPI是必要的,但还不够。通过将SUPI作为输入参数包含在从KSEAF导出KAMF的密钥中,服务网络可以从归属网络和UE侧实现对SUPI正确性的额外保证。
步骤1313:SEAF可以N1消息中向PEGC发送EAP成功消息。该消息还应包括PINE认证指 示符和解密的PINE标识。步骤1313可以是NAS安全模式命令或认证结果。
步骤1314:PEGC通过安全的非3GPP连接向PINE发送EAP成功消息和PINE认证指示符。
在一个可能的实现方式中,PEGC与PINE之间传输的消息可以采用统一形式的PINE标识。例如,PEGC与PINE之间传输的消息可以采用明文状态的PINE标识。
如图14所示,本示例性实施例提供一种认证装置100,可以应用于蜂窝移动通信系统的核心网设备,包括:
处理模块110,配置为对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述处理模块110,具体配置为:
至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;
至少基于所述期望认证参数,对所述PINE进行身份认证。
在一个实施例中,所述第一凭证存储于所述核心网设备中。
在一个实施例中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述装置还包括:
收发模块120,配置为通过第一类网络经由基站向所述PEGC发送EAP请求,其中,所述EAP请求至少包括所述计算参数,其中,所述计算参数由所述EAP请求通过第二类网络发送给所述PINE;
所述收发模块120,还配置为接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,其中,所述EAP响应至少包括:认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数和确定,并携带于所述EAP响应通过所述第二类网络发送给所述PEGC的;
所述处理模块110,具体配置为至少基于所述认证参数和所述期望认证参数的对比结果,对所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述收发模块120,具体配置为以下至少之一项:
所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述EAP请求的UDM响应;
所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述EAP请求的AUSF响应;
所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述EAP请求的认证请求,其中,所述EAP请求由PEGC携带于PINE认证请求中发送给所述PINE。
在一个实施例中,所述收发模块120,具体配置为以下至少之一项:
所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述EAP响应的认证响应,其中,所述EAP响应是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;
所述AUSF接收所述SEAF发送的携带有所述EAP响应的AUSF认证请求。
在一个实施例中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行EAP-AKA’身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述处理模块110,还配置为:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;
所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;
所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:
所述PINE的PINE标识;
所述PEGC的PEGC标识。
在一个实施例中,所述处理模块110,还配置为:
至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;
其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述处理模块110,还配置为:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:
所述PEGC的PEGC标识;
所述PINE的所述PINE标识;
所述PEGC的订阅信息;
所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:
确定所述PEGC为所述合法网关;
基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
在一个实施例中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述第一类网络,包括:第三代合作计划3GPP标准网络;
所述第二类网络,包括:非3GPP标准网络。
如图15所示,本示例性实施例提供一种认证装置200,可以应用于PEGC,包括:
收发模块210,配置为在第一类网络的核心网设备对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块210,具体配置为:
接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述收发模块210,具体配置为:
通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求;
接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;
通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块210,具体配置为以下至少之一项:
接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述EAP请求的认证请求;
通过所述第二类网络,向所述PINE发送携带有所述EAP请求的PINE认证请求;
接收所述PINE通过所述第二类网络发送的携带有所述EAP响应的PINE认证响应;
通过所述第一类网络经由所述基站向所述SEAF发送携带有所述EAP响应的认证响应。
在一个实施例中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
指示所述PINE的PINE标识。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述收发模块210,还配置为:
向所述PINE发送指示第二服务网络标识的第二指示信息。
如图16所示,本示例性实施例提供一种认证装置300,可以应用于PINE,包括:
收发模块310,配置为在第一类网络的核心网设备对所述PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
在一个实施例中,所述收发模块310,具体配置为:
通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,其中,所述EAP请求,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
在一个实施例中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
在一个实施例中,所述装置300还包括:
处理模块320,配置为至少基于第二凭证和所述计算参数和确定认证参数;
所述收发模块310,具体配置为:
通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,所述EAP响应,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
在一个实施例中,所述收发模块310,具体配置为以下至少之一项:
通过所述第二类网络,接收所述PEGC发送的携带有所述EAP请求的PINE认证请求;
通过所述第二类网络向所述PEGC发送的携带有所述EAP响应的PINE认证响应。
在一个实施例中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:
PINE认证指示符,用于指示对所述PINE进行身份认证;
PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;
PINE标识,用于指示所述PINE。
在一个实施例中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:
生成鉴权服务功能密钥Kausf;
生成安全锚点功能密钥Kseaf;
向所述PEGC发送密钥集标识ngKSI;
向所述PEGC发送架构间防降级攻ABBA参数。
在一个实施例中,其中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
在一个实施例中,所述装置还包括处理模块320,配置为:
至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和第二机密性保护密钥;
采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
在一个实施例中,所述处理模块320,还配置为:
响应于验证所述EAP请求失败,向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
在一个实施例中,所述收发模块310,还配置为接收所述PEGC发送的指示第二服务网络标识的第二指示信息;
所述处理模块320,还配置为:响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
在示例性实施例中,处理模块110、收发模块120、收发模块210、收发模块310和处理模块320等可以被一个或多个中央处理器(CPU,Central Processing Unit)、图形处理器(GPU,Graphics Processing Unit)、基带处理器(BP,Baseband Processor)、应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
图17是根据一示例性实施例示出的一种用于认证的装置3000的框图。例如,装置3000可以是移动电话、计算机、数字广播终端、消息收发设备、游戏控制台、平板设备、医疗设备、健身设备、个人数字助理等。
参照图17,装置3000可以包括以下一个或多个组件:处理组件3002、存储器3004、电源组件3006、多媒体组件3008、音频组件3010、输入/输出(I/O)接口3012、传感器组件3014、以及通信组件3016。
处理组件3002通常控制装置3000的整体操作,诸如与显示、电话呼叫、数据通信、相机操作和记录操作相关联的操作。处理组件3002可以包括一个或多个处理器3020来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件3002可以包括一个或多个模块,便于处理组件3002和其他组件之间的交互。例如,处理组件3002可以包括多媒体模块,以方便多媒体组件3008和处理组件3002之间的交互。
存储器3004被配置为存储各种类型的数据以支持在装置3000的操作。这些数据的示例包括用 于在装置3000上操作的任何应用程序或方法的指令、联系人数据、电话簿数据、消息、图片、视频等。存储器3004可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM)、电可擦除可编程只读存储器(EEPROM)、可擦除可编程只读存储器(EPROM)、可编程只读存储器(PROM)、只读存储器(ROM)、磁存储器、快闪存储器、磁盘或光盘。
电源组件3006为装置3000的各种组件提供电力。电源组件3006可以包括电源管理系统、一个或多个电源、及其他与为装置3000生成、管理和分配电力相关联的组件。
多媒体组件3008包括在装置3000和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件3008包括一个前置摄像头和/或后置摄像头。当装置3000处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件3010被配置为输出和/或输入音频信号。例如,音频组件3010包括一个麦克风(MIC),当装置3000处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器3004或经由通信组件3016发送。在一些实施例中,音频组件3010还包括一个扬声器,用于输出音频信号。
I/O接口3012为处理组件3002和外围接口模块之间提供接口,上述外围接口模块可以是键盘、点击轮、按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件3014包括一个或多个传感器,用于为装置3000提供各个方面的状态评估。例如,传感器组件3014可以检测到装置3000的打开/关闭状态、组件的相对定位,例如组件为装置3000的显示器和小键盘,传感器组件3014还可以检测装置3000或装置3000一个组件的位置改变、用户与装置3000接触的存在或不存在、装置3000方位或加速/减速和装置3000的温度变化。传感器组件3014可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件3014还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件3014还可以包括加速度传感器、陀螺仪传感器、磁传感器、压力传感器或温度传感器。
通信组件3016被配置为便于装置3000和其他设备之间有线或无线方式的通信。装置3000可以接入基于通信标准的无线网络,如Wi-Fi、2G或3G,或它们的组合。在一个示例性实施例中,通信组件3016经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件3016还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置3000可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器3004,上述指令可由装置3000的处理器3020执行以完成上述方法。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明实施例的其它实施方案。本申请旨在涵盖本发明实施例的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明实施例的一般性原理并包括本公开实施例未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明实施例的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明实施例并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明实施例的范围仅由所附的权利要求来限制。
Claims (41)
- 一种认证方法,其中,由第一类网络的核心网设备执行,包括:对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求1所述的方法,其中,所述对私有物联网单元PINE进行EAP-AKA’身份认证,包括:至少基于所述PINE的第一凭证和计算参数,确定期望认证参数;至少基于所述期望认证参数,对所述PINE进行身份认证。
- 根据权利要求2所述的方法,其中,所述第一凭证存储于所述核心网设备中。
- 根据权利要求3所述的方法,其中,所述第一凭证,是所述核心网设备根据PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
- 根据权利要求2所述的方法,其中,所述至少基于所述期望认证参数,对所述PINE进行EAP-AKA’身份认证,包括:通过第一类网络经由基站向所述PEGC发送EAP请求,其中,所述EAP请求至少包括所述计算参数,其中,所述计算参数由所述EAP请求通过第二类网络发送给所述PINE;接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,其中,所述EAP响应至少包括:认证参数,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数和确定,并携带于所述EAP响应通过所述第二类网络发送给所述PEGC的;至少基于所述认证参数和所述期望认证参数的对比结果,对所述PINE进行EAP-AKA’身份认证。
- 根据权利要求5所述的方法,其中,所述通过第一类网络经由基站向所述PEGC发送EAP请求,包括以下至少之一项:所述核心网设备中的统一数据管理UDM向所述核心网设备中的认证服务功能AUSF发送携带有所述EAP请求的UDM响应;所述AUSF向所述核心网设备中的安全锚点功能SEAF发送携带有所述EAP请求的AUSF响应;所述SEAF通过第一类网络经由所述基站向所述PEGC发送携带有所述EAP请求的认证请求,其中,所述EAP请求由PEGC携带于PINE认证请求中发送给所述PINE。
- 根据权利要求6所述的方法,其中,所述接收所述PEGC通过所述第一类网络经由所述基站发送的EAP响应,包括以下至少之一项:所述SEAF接收所述PEGC通过所述第一类网络经由所述基站发送的携带有所述EAP响应的认证响应,其中,所述EAP响应是由所述PINE携带于PINE认证响应中通过所述第二类网络发送给所述PEGC的;所述AUSF接收所述SEAF发送的携带有所述EAP响应的AUSF认证请求。
- 根据权利要求7所述的方法,其中,所述UDM响应、所述AUSF响应、所述认证请求、所述认证响应、所述PINE认证请求、所述PINE认证响应和所述AUSF认证请求中的至少之一,携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行EAP-AKA’身份认证;PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;PINE标识,用于指示所述PINE。
- 根据权利要求8所述的方法,其中,所述方法还包括:响应于所述PINE标识为受安全保护的PINE标识,将所述受安全保护的PINE标识恢复为明文状态的PINE标识;所述UDM响应、所述AUSF响应和所述AUSF认证请求中的至少之一,携带有所述明文状态的PINE标识;所述认证请求、所述PINE认证请求、所述PINE认证响应和所述认证响应中的至少之一,携带有所述受安全保护的PINE标识。
- 根据权利要求8所述的方法,其中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:生成鉴权服务功能密钥Kausf;生成安全锚点功能密钥Kseaf;向所述PEGC发送密钥集标识ngKSI;向所述PEGC发送架构间防降级攻ABBA参数。
- 根据权利要求5所述的方法,其中,所述认证参数和所述期望认证参数是采用以下至少之一标识的:所述PINE的PINE标识;所述PEGC的PEGC标识。
- 根据权利要求5所述的方法,其中,所述方法还包括:至少基于所述PINE的第一凭证和第一服务网络标识,确定第一完整性保护密钥和第一机密性保护密钥;其中,所述EAP请求由所述第一完整性保护密钥和所述第一机密性保护密钥进行保护。
- 根据权利要求12所述的方法,其中,所述EAP请求还包括:用于确定所述第一服务网络标识的第一指示信息。
- 根据权利要求2所述的方法,其中,所述方法还包括:基于判断信息确定所述PEGC是否为所述PEGC接入所述第一类网络的合法网关,其中,所述判断信息包括以下至少之一:所述PEGC的PEGC标识;所述PINE的所述PINE标识;所述PEGC的订阅信息;所述至少基于所述PINE的第一凭证和计算参数,确定期望认证参数,包括:确定所述PEGC为所述合法网关;基于所述PINE的所述第一凭证和所述计算参数确定所述期望认证参数。
- 根据权利要求2至14任一项所述的方法,其中,所述第一凭证,是所述核心网设备中的UDM根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
- 根据权利要求1至14任一项所述的方法,其中,所述第一类网络,包括:第三代合作计划3GPP标准网络;所述第二类网络,包括:非3GPP标准网络。
- 一种认证方法,其中,由私有物联网网关PEGC执行,包括:在第一类网络的核心网设备对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求17所述的方法,其中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求;其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
- 根据权利要求18所述的方法,其中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
- 根据权利要求18所述的方法,其中,所述在第一类网络的核心网设备对PINE进行EAP-AKA’身份认证过程中传输信息,包括:通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求;接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,其中,所述认证参数是由所述PINE至少基于第二凭证和所述计算参数确定的;通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,其中,所述认证参数,用于供所述核心网设备至少基于所述期望认证参数进行所述PINE的身份认证。
- 根据权利要求20所述的方法,其中,所述接收核心网设备通过第一类网络经由基站向所述PEGC发送的携带有计算参数的EAP请求,包括:接收所述核心网设备中的SEAF通过所第一类网络经由所述基站发送的携带有所述EAP请求的认证请求;通过第二类网络向所述PINE发送携带有所述计算参数的EAP请求,包括:通过所述第二类网络,向所述PINE发送携带有所述EAP请求的PINE认证请求;接收所述PINE通过所述第二类网络发送的携带有认证参数的EAP响应,包括:接收所述PINE通过所述第二类网络发送的携带有所述EAP响应的PINE认证响应;通过所述第一类网络经由所述基站向所述核心网设备发送携带有所述认证参数的EAP响应,包括:通过所述第一类网络经由所述基站向所述SEAF发送携带有所述EAP响应的认证响应。
- 根据权利要求21所述的方法,其中,所述认证请求、所述认证响应、所述PINE认证请求和所述PINE认证响应中的至少之一,携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行身份认证;PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;指示所述PINE的PINE标识。
- 根据权利要求22所述的方法,其中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:生成鉴权服务功能密钥Kausf;生成安全锚点功能密钥Kseaf;向所述PEGC发送密钥集标识ngKSI;向所述PEGC发送架构间防降级攻ABBA参数。
- 根据权利要求18所述的方法,其中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
- 根据权利要求18所述的方法,其中,所述方法还包括:向所述PINE发送指示第二服务网络标识的第二指示信息。
- 一种认证方法,其中,由私有物联网单元PINE执行,包括:在第一类网络的核心网设备对所述PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 根据权利要求26所述的方法,其中,所述在第一类网络的核心网设备对所述PINE进行EAP-AKA’身份认证过程中传输认证信息,包括:通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,其中,所述EAP请求,是由核心网设备通过第一类网络经由基站发送给所述PEGC的,其中,所述计算参数,用于由所述核心网设备至少结合第一凭证确定期望认证参数,其中,所述期望认证参数用于供所述核心网设备对所述PINE进行身份认证。
- 根据权利要求27所述的方法,其中,所述第一凭证,是所述核心网设备根据所述PINE的PINE标识和/或所述PEGC的PEGC标识确定的。
- 根据权利要求27所述的方法,其中,所述方法还包括:至少基于第二凭证和所述计算参数和确定认证参数;所述在第一类网络的核心网设备对所述PINE进行身份认证过程中传输认证信息,包括:通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,所述EAP响应,用于由所述PEGC通过所述第一类网络经由所述基站发送给所述核心网设备,由所述核心网设备至少基于所述认证参数和所述期望认证参数进行所述PINE的身份认证。
- 根据权利要求29所述的方法,其中,所述通过第二类网络接收所述PEGC发送的携带有计算参数的EAP请求,包括:通过所述第二类网络,接收所述PEGC发送的携带有所述EAP请求的PINE认证请求;所述通过所述第二类网络向所述PEGC发送携带有所述认证参数的EAP响应,包括:通过所述第二类网络向所述PEGC发送的携带有所述EAP响应的PINE认证响应。
- 根据权利要求30所述的方法,其中,所述PINE认证请求和/或所述PINE认证响应中携带有至少以下之一项:PINE认证指示符,用于指示对所述PINE进行身份认证;PEGC标识,用于指示所述PEGC,其中,所述PEGC标识包括以下至少之一项:永久标识符SUPI,订阅用户隐藏标识符SUCI;PINE标识,用于指示所述PINE。
- 根据权利要求31所述的方法,其中,所述PINE认证指示符,用于指示所述核心网设备和所述PINE不进行至少以下之一项:生成鉴权服务功能密钥Kausf;生成安全锚点功能密钥Kseaf;向所述PEGC发送密钥集标识ngKSI;向所述PEGC发送架构间防降级攻ABBA参数。
- 根据权利要求27所述的方法,其中,所述EAP请求还包括:用于确定第一服务网络标识的第一指示信息。
- 根据权利要求33所述的方法,其中,所述方法还包括:至少基于所述第一服务网络标识和第二凭证,确定第二完整性保护密钥和二机密性保护密钥;采用所述第二完整性保护密钥和所述第二机密性保护密钥,验证所述EAP请求。
- 根据权利要求34所述的方法,其中,所述方法还包括:响应于验证所述EAP请求失败,向核心网设备发送验证失败信息,停止所述PINE进行EAP-AKA’身份认证。
- 根据权利要求34所述的方法,其中,所述方法还包括:接收所述PEGC发送的指示第二服务网络标识的第二指示信息;响应于验证所述EAP请求成功,验证所述第一服务网络标识和所述第二服务网络标识的一致性。
- 一种认证装置,其中,由第一类网络的核心网设备执行,包括:处理模块,配置为对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’ 身份认证,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种认证装置,其中,由私有物联网网关PEGC执行,包括:收发模块,配置为在第一类网络的核心网设备对私有物联网单元PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过所述PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种认证装置,其中,由私有物联网单元PINE执行,包括:收发模块,配置为在第一类网络的核心网设备对所述PINE进行可扩展身份认证协议-认证与密钥协商EAP-AKA’身份认证过程中传输认证信息,其中,所述PINE通过私有物联网网关PEGC接入所述第一类网络,其中,所述PINE与所述PEGC通过第二类网络连接。
- 一种通信设备装置,包括处理器、存储器及存储在存储器上并能够由所述处理器运行的可执行程序,其中,所述处理器运行所述可执行程序时执行如权利要求1至16、或17至25、或26至36任一项所述认证方法的步骤。
- 一种存储介质,其上存储由可执行程序,其中,所述可执行程序被处理器执行时实现如权利要求1至16、或17至25、或26至36任一项所述认证方法的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2022/099634 WO2023240659A1 (zh) | 2022-06-17 | 2022-06-17 | 认证方法、装置、通信设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117597962A true CN117597962A (zh) | 2024-02-23 |
Family
ID=89192946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280002221.5A Pending CN117597962A (zh) | 2022-06-17 | 2022-06-17 | 认证方法、装置、通信设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117597962A (zh) |
| WO (1) | WO2023240659A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101867928A (zh) * | 2010-05-21 | 2010-10-20 | 西安电子科技大学 | 移动用户通过家庭基站接入核心网的认证方法 |
| EP3523997A1 (en) * | 2016-10-05 | 2019-08-14 | Motorola Mobility LLC | Core network attachment through standalone non-3gpp access networks |
| US11290951B2 (en) * | 2019-02-12 | 2022-03-29 | Cisco Technology, Inc. | Providing optimal packet data network gateway selection for 5G network environments upon initial user equipment attachment via a WiFi evolved packet data gateway |
| CN113852959A (zh) * | 2021-08-30 | 2021-12-28 | 浪潮软件科技有限公司 | 一种5GC对Wi-Fi设备的鉴权方法及装置 |
-
2022
- 2022-06-17 WO PCT/CN2022/099634 patent/WO2023240659A1/zh active Application Filing
- 2022-06-17 CN CN202280002221.5A patent/CN117597962A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023240659A1 (zh) | 2023-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018077232A1 (zh) | 一种网络认证方法、相关设备及系统 | |
| US9668139B2 (en) | Secure negotiation of authentication capabilities | |
| CN102318386B (zh) | 向网络的基于服务的认证 | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| CN107205208B (zh) | 鉴权的方法、终端和服务器 | |
| WO2023240659A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| WO2023230924A1 (zh) | 认证方法、装置、通信设备和存储介质 | |
| CN115396126A (zh) | Nswo业务的认证方法、设备和存储介质 | |
| CN116391376A (zh) | 通信方法及装置 | |
| CN108282775B (zh) | 面向移动专用网络的动态附加认证方法及系统 | |
| WO2023240657A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023240661A1 (zh) | 认证与授权方法、装置、通信设备及存储介质 | |
| WO2023142090A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| WO2023142089A1 (zh) | 信息传输方法、装置、通信设备和存储介质 | |
| WO2023231018A1 (zh) | 个人物联网pin基元凭证配置方法、装置、通信设备及存储介质 | |
| WO2023000139A1 (zh) | 传输凭证的方法、装置、通信设备及存储介质 | |
| WO2024092735A1 (zh) | 通信控制方法、系统及装置、通信设备及存储介质 | |
| WO2023193157A1 (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| WO2024061207A1 (zh) | 用户级数据的管理方法、装置、通信设备及可读存储介质 | |
| US20240022908A1 (en) | Authentication using a digital identifier for ue access | |
| CN117795905A (zh) | Api调用者认证方法以及装置、通信设备及存储介质 | |
| CN116889002A (zh) | 信息处理方法、装置、通信设备及存储介质 | |
| CN117795915A (zh) | 应用程序接口api认证方法、装置、通信设备及存储介质 | |
| CN117256166A (zh) | 信息处理方法及装置、通信设备及存储介质 | |
| CN117597957A (zh) | 信息处理方法及装置、通信设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |