CN117768889A - 一种通信方法及装置 - Google Patents

一种通信方法及装置 Download PDF

Info

Publication number
CN117768889A
CN117768889A CN202211174577.5A CN202211174577A CN117768889A CN 117768889 A CN117768889 A CN 117768889A CN 202211174577 A CN202211174577 A CN 202211174577A CN 117768889 A CN117768889 A CN 117768889A
Authority
CN
China
Prior art keywords
terminal
authentication
random number
information
core network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211174577.5A
Other languages
English (en)
Inventor
徐艺珊
郭龙华
黄康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202211174577.5A priority Critical patent/CN117768889A/zh
Priority to PCT/CN2023/118059 priority patent/WO2024067046A1/zh
Publication of CN117768889A publication Critical patent/CN117768889A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请涉及通信技术领域,提供一种通信方法及装置,用以提高通信安全。核心网设备接收来自请求方的第一信息,所述第一信息用于指示第一终端;核心网设备获取所述第一终端对应的认证方式;并执行与所述认证方式对应的流程。核心网设备获取第一终端对应的认证方式,并执行对应的流程,可以提高安全性。

Description

一种通信方法及装置
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
无源物联网终端(例如标签)功能简单,可以广泛应用于工业、企业、农业、畜牧业、林业等。物联技术可以结合无线通信系统技术,使物联网具有更大规模的应用部署前景。在物联网中,如何提高通信安全,是需要解决的技术问题。
发明内容
本申请实施例提供一种通信方法及装置,用以提高通信安全。
第一方面,提供了一种通信方法,该方法的执行主体可以是核心网设备,也可以是应用于核心网设备中的部件,例如芯片、处理器等。下面以执行主体是核心网设备为例进行描述。首先,接收来自请求方的第一信息,所述第一信息用于指示第一终端。然后,获取所述第一终端对应的认证方式。接下来,执行与所述认证方式对应的流程。
核心网设备获取第一终端对应的认证方式,并执行对应的流程,可以提高安全性。
在一种可能的实现中,核心网设备在接收来自请求方的第一信息之后,还可以获取所述第一终端的标识,并向所述请求方发送所述第一终端的标识。
在一种可能的实现中,所述认证方式包括以下任一项:双向认证方式、单向认证方式。
在一种可能的实现中,所述双向认证方式包括以下任一项:所述第一终端与所述请求方的双向认证、所述第一终端与所述核心网设备对应的第一网络的双向认证。
在一种可能的实现中,所述单向认证方式包括以下任一项:所述请求方对所述第一终端执行的单向认证、所述核心网设备对应的第一网络对所述第一终端执行的单向认证、所述第一终端对所述请求方执行的单向认证、所述第一终端对所述核心网设备对应的第一网络执行的单向认证。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端对所述请求方执行的单向认证时,接收来自所述第一终端的随机数,向所述请求方发送所述随机数;接收来自所述请求方的校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述请求方对所述第一终端执行的单向认证时,接收来自所述请求方的随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向所述请求方发送所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述请求方对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向所述请求方发送所述随机数、以及向请求方发送所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端与所述请求方的双向认证时,接收来自所述第一终端的随机数,向所述请求方发送所述随机数;接收来自所述请求方的第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息;接收来自所述第一终端的第二校验值或第二密文信息,向所述请求方发送所述第二校验值或所述第二密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,接收来自所述第一终端的第一随机数;获取第二随机数;并基于所述第一随机和所述第二随机数获取校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,接收来自所述第一终端的第一随机数;并基于所述第一随机获取校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,并基于所述随机数校验所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向其它核心网设备发送所述随机数、以及其它核心网设备发送所述校验值或所述密文信息,以使所述其它核心网设备基于所述随机数校验所述校验值或所述密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,接收来自所述第一终端的第一随机数;获取第二随机数;并基于所述第一随机数和所述第二随机数获取第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息;接收来自所述第一终端的第二校验值或第二密文信息,并基于所述第二随机数校验所述第二校验值或所述第二密文信息。
在一种可能的实现中,执行与所述认证方式对应的流程,包括:当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,接收来自所述第一终端的第一随机数;并基于所述第一随机数获取第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息,以及向第一终端发送第二随机数;接收来自所述第一终端的第二校验值或第二密文信息,并基于所述第二随机数校验所述第二校验值或所述第二密文信息。
在一种可能的实现中,所述第一信息还用于指示所述第一终端对应的所述认证方式;核心网设备获取所述第一终端对应的认证方式,包括:根据所述第一信息,获取所述第一终端对应的认证方式。请求方指示认证方式,可以按需或动态地向核心网设备指示第一终端对应的认证方式,针对同一终端,AF在不同时间指示的认证方式可以是相同或不同的。通过第一信息指示认证方式,可以节省信令交互。
在一种可能的实现中,核心网设备获取所述第一终端对应的认证方式,包括:核心网设备获取所述第一终端的第一上下文信息、或第一策略信息、或第一业务配置、或第一签约数据;其中,所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据包括所述第一终端的认证方式;核心网设备基于所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据,获取所述第一终端对应的认证方式。
在一种可能的实现中,核心网设备获取所述第一终端对应的认证方式,包括:核心网设备获取所述请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据;其中,所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据包括所述请求方管理的一个或多个终端各自对应的认证方式,所述请求方管理的一个或多个终端包括所述第一终端;核心网设备基于所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据,获取所述第一终端对应的认证方式。
在一种可能的实现中,核心网设备获取所述第一终端对应的认证方式之后,还可以向所述第一终端发送所述认证方式的信息。该方式可以适用于第一终端中未配置认证方式的场景,第一终端知道其认证方式后,可以执行与认证方式对应的流程。
第二方面,提供了一种通信方法,该方法的执行主体可以是核心网设备,也可以是应用于核心网设备中的部件,例如芯片、处理器等。下面以执行主体是核心网设备为例进行描述。首先,接收来自请求方的第一信息,所述第一信息用于指示第一终端。然后,获取所述第一终端对应的认证方式,其中,所述第一终端对应的认证方式为不执行认证。接下来,确定所述第一终端的位置属于预设位置范围内;允许所述请求方或所述核心网设备对应的第一网络跳过所述第一终端的认证流程。
核心网设备获取第一终端对应的认证方式为不执行认证时,通过终端的位置进行进一步决策最终的认证方式,可以提高安全性。
核心网设备获取所述第一终端对应的认证方式的实现,可以参考第一方面的多种可能的实现,不再重复赘述。
在一种可能的实现中,核心网设备接收来自请求方的第一信息之后,核心网设备还获取所述第一终端的标识,向所述请求方发送所述第一终端的标识。
在一种可能的实现中,核心网设备确定所述第一终端的位置在预设位置范围外;执行与配置的认证方式对应的流程,所述配置的认证方式用于认证接入所述核心网设备所在的网络的终端。核心网设备获取第一终端对应的认证方式为不执行认证时,通过终端的位置进行进一步决策最终的认证方式,可以提高安全性。
在一种可能的实现中,所述第一终端的位置包括以下的一项或多项:第一终端的地理位置、对所述第一终端执行随机接入的第二终端的地理位置;其中,所述预设位置范围为预设地理位置范围。
在一种可能的实现中,所述第一终端的位置由第一标识表征,所述预设位置范围为预设标识范围;其中,第一标识包括以下的一项或多项:第一终端接入的接入网设备的标识、第一终端所在的小区的标识、第一终端所在的跟踪区的标识、第一终端接入的网络的标识、第一终端接入的切片的标识、第一终端接入的封闭接入组的标识、第二终端接入的接入网设备的标识、第二终端所在的小区的标识、第二终端所在的跟踪区的标识、第二终端接入的网络的标识、第二终端接入的切片的标识、第二终端接入的封闭接入组的标识,其中,所述第二终端为对所述第一终端执行随机接入的终端。
在一种可能的实现中,核心网设备向所述请求方发送所述第一终端的标识之前,还向所述第一终端发送所述第一终端接入成功的指示信息。可以使第一终端快速接入核心网,可以减少信令交互和时延开销,提高第一终端的盘存效率、减少第一终端的功耗开销。
第三方面,提供了一种通信装置,所述装置具有实现上述任一方面及任一方面的任一可能的实现中的功能。这些功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的功能模块。
第四方面,提供了一种通信装置,包括处理器,可选的,还包括存储器;所述处理器和所述存储器耦合;所述存储器,用于存储计算机程序或指令;所述处理器,用于执行所述存储器中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现上述任一方面及任一方面的任一可能的实现的方法中的功能。
在一种可能的实现中,所述装置还可以包括收发器,所述收发器,用于发送所述处理器处理后的信号,或者接收输入给所述处理器的信号。所述收发器可以执行任一方面及任一方面的任一可能的实现中的发送动作或接收动作。
第五方面,本申请提供了一种芯片系统,该芯片系统包括一个或多个处理器(也可以称为处理电路),所述处理器与存储器(也可以称为存储介质)之间电耦合;所述存储器可以位于所述芯片系统中,也可以不位于所述芯片系统中;所述存储器,用于存储计算机程序或指令;所述处理器,用于执行所述存储器中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现上述任一方面及任一方面的任一可能的实现的方法中的功能。
在一种可能的实现中,所述芯片系统还可以包括输入输出接口(也可以称为通信接口),所述输入输出接口,用于输出所述处理器处理后的信号,或者接收输入给所述处理器的信号。所述输入输出接口可以执行任一方面及任一方面的任一可能的实现中的发送动作或接收动作。具体的,输出接口执行发送动作,输入接口执行接收动作。
在一种可能的实现中,该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第六方面,提供了一种计算机可读存储介质,用于存储计算机程序,所述计算机程序包括用于实现任一方面及任一方面的任一可能的实现中的功能的指令。
或者,一种计算机可读存储介质,用于存储计算机程序,所述计算机程序被计算机执行时,可以使得所述计算机执行上述任一方面及任一方面的任一可能的实现的方法。
第七方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行上述任一方面及任一方面的任一可能的实现中的方法。
第八方面,提供了一种通信系统,所述通信系统包括:执行上述第一方面及任一可能的实现的核心网设备,及与所述核心网设备进行交互的第一终端。或者,所述通信系统包括:执行上述第二方面及任一可能的实现的核心网设备,及与所述核心网设备进行交互的第一终端。
例如,所述第一终端,用于向核心网设备发送所述第一终端的标识。
例如,所述第一终端,用于执行所述第一终端与所述请求方的双向认证、或所述第一终端与所述核心网设备对应的第一网络的双向认证、或所述请求方对所述第一终端执行的单向认证、或所述核心网设备对应的第一网络对所述第一终端执行的单向认证、或所述第一终端对所述请求方执行的单向认证、或所述第一终端对所述核心网设备对应的第一网络执行的单向认证。
例如,所述第一终端,用于向核心网设备发送随机数、第一随机数、第二随机数、校验值、密文信息、第一校验值、第一密文信息、第二校验值、第二密文信息中的一项或多项。
例如,所述第一终端,用于接收来自核心网设备的随机数、第一随机数、第二随机数、校验值、密文信息、第一校验值、第一密文信息、第二校验值、第二密文信息中的一项或多项。
例如,所述第一终端,用于接收来自核心网设备的认证方式的信息。
在一种可能的示例中,所述通信系统还包括与所述核心网设备进行交互的请求方。
例如,所述请求方,用于向核心网设备发送第一信息,所述第一信息用于指示第一终端。
例如,所述请求方,用于接收来自核心网设备的第一终端的标识。
例如,所述请求方,用于执行所述第一终端与所述请求方的双向认证、或所述请求方对所述第一终端执行的单向认证、或所述第一终端对所述请求方执行的单向认证。
例如,所述请求方,用于向核心网设备发送随机数、第一随机数、第二随机数、校验值、密文信息、第一校验值、第一密文信息、第二校验值、第二密文信息中的一项或多项。
例如,所述请求方,用于接收来自核心网设备的随机数、第一随机数、第二随机数、校验值、密文信息、第一校验值、第一密文信息、第二校验值、第二密文信息中的一项或多项。
上述第三方面至第八方面的技术效果可以参照第一方面至第二方面中的描述,重复之处不再赘述。
附图说明
图1为本申请实施例中提供的一种通信系统结构示意图;
图2为本申请实施例中提供的一种通信流程示意图;
图3a为本申请实施例中提供的第一终端对请求方执行单向认证的流程示意图;
图3b为本申请实施例中提供的请求方对第一终端执行单向认证的流程示意图;
图3c为本申请实施例中提供的第一终端与请求方进行双向认证的流程示意图;
图3d为本申请实施例中提供的第一终端对核心网设备对应的第一网络执行单向认证的流程示意图;
图3e为本申请实施例中提供的核心网设备对应的第一网络对第一终端执行单向认证的流程示意图;
图3f为本申请实施例中提供的第一终端与核心网设备对应的第一网络执行双向认证的流程示意图;
图4为本申请实施例中提供的一种第一终端与请求方之间的认证流程示意图;
图5为本申请实施例中提供的一种第一终端与第一网络之间的认证流程示意图;
图6为本申请实施例中提供的一种请求方或第一网络对第一网络执行单向认证的流程示意图;
图7为本申请实施例中提供的一种通信装置结构图;
图8为本申请实施例中提供的一种通信装置结构图。
具体实施方式
以下对本申请实施例中的部分用语进行解释说明,以便于本领域技术人员理解。
1)盘点操作:盘点操作也可以称为盘存操作,该操作可以获取终端(例如电子标签、标签等不同类型的终端形态,以下以终端为标签为例阐述,但不限于标签)的标识信息,例如,可以通过查询(query)、确认(ack)等命令用来获取终端的标识信息。终端的标识信息例如电子产品编码(electronic product code,EPC)、标签标识(tag identifier,TID)。
2)读(Read)操作:读操作可以读取终端的存储区中的数据。示例性的,存储区中的数据可以包括标识信息(例如电子产品编码(electronic product code,EPC)、标签标识(tag identifier,TID))、保留区中存储的内容或用户存储区中存储的内容等。
3)写(Write)操作:写操作可以对终端的存储区进行写入操作。示例性的,可以对存储区中的标识信息(例如EPC、TID)进行写入或改写。或者,可以对保留区或用户存储区中的数据进行写入或者改写操作。
4)灭活(Kill)操作:灭活操作可以让终端失效。示例性的,失效后的终端无法工作。
5)锁(Lock)操作:锁操作可以锁住终端的信息,可以防止对该标签进行读操作或写操作。或者,锁操作也可以锁住存储区域(memory banks),可以防止或允许对该存储区域进行读操作或写操作。
6)块写操作:可以让读写器以单命令对终端的存储区(例如保留区、EPC存储区、TID存储区或用户存储区)进行多字的写操作。
7)块擦操作:可以让读写器对终端的存储区(例如保留区、EPC存储区、TID存储区或用户存储区)进行多字的擦除操作。
8)访问操作:让具有非零值访问密码(access password)的终端从开(open)状态转变为安全(secured)状态。
本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
以及,除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的大小、内容、顺序、时序、优先级或者重要程度等。例如,第一消息和第二消息,只是为了区分不同的消息,而并不是表示这两个消息的内容、优先级或者重要程度等的不同。
本申请提供的通信方法可以应用于各类通信系统中,例如,可以是物联网(internet of things,IoT)、无源物联网(passive IoT,P-IoT;或者ambient IoT,A-IoT)、半无源物联网(semi-passive IoT)、半有源物联网(semi-active IoT)、有源物联网(active IoT)、窄带物联网(narrow band internet of things,NB-IoT)、长期演进(longterm evolution,LTE),也可以是第五代(5th generation,5G)通信系统,还可以是LTE与5G混合架构,也可以是6G或者未来通信发展中出现的新的通信系统等。通信系统还可以是机器到机器(machine to machine,M2M)网络、机器类通信(machine type communication,MTC)或者其他网络。
图1为适用于本申请实施例的一种可能的通信系统示意图,包括:终端设备、接入网设备、核心网设备、请求方。
请求方可以对终端设备(例如标签)执行操作,操作包括但不限于获取终端设备的信息、盘点操作(或者称为盘存操作)、读操作、写操作、失效操作、灭活操作等。请求方通过核心网设备发送操作指令。一种可能的实现中,核心网设备指示接入网设备向终端设备发起随机接入。当终端设备随机接入成功后,接入网设备向终端设备发送或者转发需要执行的操作的信息。另一种可能的实现方式中,核心网设备指示第二终端设备向第一终端设备发起随机接入。当第一终端设备随机接入成功后,第二终端设备向第一终端设备发送或者转发需要执行的操作的信息。
终端设备根据接收到的操作的信息,获取相应信息或发送相应信息。例如,当操作为盘点操作时,终端设备发送终端设备的标识信息;当操作为读操作时,终端设备发送存储在终端设备的存储区中的数据信息;当操作为写操作时,终端设备将需要写入的数据信息存储至终端设备的存储区中。
接入网设备向核心网设备发送来自终端设备的信息;核心网设备向请求方发送这些信息。
终端设备可以是物联技术中的终端设备,包括但不限于无源终端设备、半无源终端设备、半有源终端设备、有源终端设备、低功耗终端设备、零功耗终端设备、被动(passive)终端设备、主动(active)终端设备等。
终端设备可以称用户设备(user equipment,UE)、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。终端设备可以广泛应用于各种场景,例如,物联网(internet of things,IOT)、设备到设备(device-to-device,D2D)、车物(vehicle to everything,V2X)通信、机器类通信(machine-type communication,MTC)、物联网(internet of things,IOT)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端设备可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备、未来演进的公用陆地移动通信网络(public land mobile network,PLMN)中或者非陆地网络(non-terrestrial networks,NTN)的终端设备等。终端设备还可以是端设备、逻辑实体、智能设备等,如手机、智能终端等终端设备,或者服务器、网关、基站、控制器等通信设备,或者标签(例如无源标签、有源标签、半有源标签、半无源标签)、传感器、电表、水表等物联网(internet of things,IoT)设备。终端设备还可以是具有通信功能的无人机(unmannedaerial vehicle或uncrewed aerial vehicle,UAV)。当终端设备为无源终端、或半无源终端、或半有源终端、或有源终端、或标签时,可以通过获取能量以接收或者发送数据。获取能量的方式包括但不限于无线电、太阳能、光能、风能、水能、热能、动能等。本申请对于无源终端、半无源终端、半有源终端、有源终端、或标签获取能量的方式不做限定。另外,本申请中涉及到的标签可以是标签形态,或者,也可以是任意终端形态。
接入网设备用于将终端设备接入到无线网络。所述接入网设备可以是基站(basestation)、杆站、室内基站(例如Lampsite)、家庭基站(例如home NB)、微型基站、接入回传一体化(integrated access and backhaul,IAB)节点、移动基站、无线接入网、无线接入网设备、LTE系统或演进的LTE系统(LTE-Advanced,LTE-A)中的演进型基站(evolved NodeB,eNodeB)、5G通信系统中的下一代基站(next generation NodeB,gNB)、发送接收点(transmission reception point,TRP)、基带单元(base band unit,BBU)、WiFi接入点(access point,AP)、未来移动通信系统中的基站或WiFi系统中的接入节点等。接入网设备也可以是完成基站部分功能的模块或单元,例如,可以是集中式单元(central unit,CU),或者分布式单元(distributed unit,DU)。本申请实施例对接入网设备所采用的具体技术和具体设备形态不作限定。例如,在一种网络结构中,接入网设备可以为CU节点、或DU节点、或为包括CU节点和DU节点的接入网设备。具体的,CU节点用于支持无线资源控制(radioresource control,RRC)、分组数据汇聚协议(packet data convergence protocol,PDCP)、业务数据适配协议(service data adaptation protocol,SDAP)等协议;DU节点用于支持无线链路控制(radio link control,RLC)层协议、媒体接入控制(medium accesscontrol,MAC)层协议和物理层协议。接入网设备还可以是具有阅读器(reader)功能的设备。
请求方,可以理解为发送操作指令的设备,例如,第三方设备、服务器(server)、P-IoT server、应用服务器(application server,AS)、应用功能(application function,AF)、无源物联网应用功能(P-IoT AF)、物联应用功能(IoT AF)或者其他发送操作指令的设备。请求方可以对应某类用户,该类用户可以包括企业、租户、第三方或者公司,不予限制。其中,请求方对应某类用户可以理解为请求方属于该类用户,由该类用户管理。
核心网设备可包括以下网元中的一个或多个:
接入管理网元(也可以称为接入管理网元、移动性管理网元、接入与移动性管理网元),是由运营商网络提供的控制面网元,负责终端设备接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和用户等功能。在5G通信系统中,该接入管理网元可以是接入与移动性管理功能(access and mobility managementfunction,AMF)网元。在未来通信系统中,接入管理网元仍可以是AMF网元,或者,还可以有其它的名称,本申请不做限定。
会话管理网元,主要负责移动网络中的会话管理,如会话建立、修改、释放。具体功能如为用户分配IP地址、选择提供报文转发功能的用户面网元等。在5G通信系统中,该会话管理网元可以是会话管理功能(session management function,SMF)网元。在未来通信系统中,会话管理网元仍可以是SMF网元,或者,还可以有其它的名称,本申请不做限定。
用户面网元,负责终端设备中用户数据的转发和接收。可以从数据网络接收用户数据,通过接入网设备传输给终端设备;用户面网元还可以通过接入网设备从终端设备接收用户数据,转发到数据网络。用户面网元中为终端设备提供服务的传输资源和调度功能由SMF网元管理控制的。在5G通信系统中,该用户面网元可以是用户面功能(user planefunction,UPF)网元。在未来通信系统中,用户面网元仍可以是UPF网元,或者,还可以有其它的名称,本申请不做限定。
数据管理网元,用于生成认证信任状,用户标识处理(如存储和管理用户永久身份等),接入控制和签约数据管理等。在5G通信系统中,该数据管理网元可以是统一数据管理(unified data management,UDM)网元。在未来通信系统中,统一数据管理仍可以是UDM网元,或者,还可以有其它的名称,本申请不做限定。
策略控制网元,主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。在4G通信系统中,该策略控制网元可以是策略和计费规则功能(policy and charging rules function,PCRF)网元。在5G通信系统中,该策略控制网元可以是策略控制功能(policy control function,PCF)网元。在未来通信系统中,策略控制网元仍可以是PCF网元,或者,还可以有其它的名称,本申请不做限定。
网络存储网元,可用于提供网元发现功能,基于其他网元的请求,提供网元类型对应的网元信息。NRF还提供网元管理服务,如网元注册、更新、去注册以及网元状态订阅和推送等。在5G通信系统中,该网络存储网元可以是网络注册功能(network repositoryfunction,NRF)网元。在未来通信系统中,网络存储网元仍可以是NRF网元,或者,还可以有其它的名称,本申请不做限定。
网络开放网元,是由运营商提供控制面网元,网络开放网元以安全的方式对第三方开放运营商网络的对外接口,可用于提供用于安全地向外部开放由第三代合作伙伴计划(3rd generation partnership project,3GPP)网络功能设备提供的业务和能力等。例如,在会话管理网元需要与第三方的网元通信时,网络开放网元可作为会话管理网元与第三方的网元通信的中继。网络开放网元作为中继时,可作为签约用户的标识信息的翻译,以及第三方的网元的标识信息的翻译。比如,网络开放网元将签约用户的SUPI从运营商网络发送到第三方时,可以将SUPI翻译成其对应的外部身份标识(identity,ID)。反之,网络开放网元将外部ID(第三方的网元ID)发送到运营商网络时,可将其翻译成SUPI。在5G通信系统中,网络开放功能网元可以是网络开放功能(network exposure function,NEF)网元。在未来通信系统中,网络开放功能网元仍可以是NEF网元,或者,还可以有其它的名称,本申请不做限定。
网络切片选择网元,可用于为终端的业务选择合适的网络切片。在5G通信系统中,网络切片选择网元可以是网络切片选择功能(network slice selection function,NSSF)网元。在未来通信系统中,网络开放功能网元仍可以是NSSF网元,或者,还可以有其它的名称,本申请不做限定。
网络数据分析网元,可以从各个网络功能(network function,NF),例如策略控制网元、会话管理网元、用户面网元、接入管理网元、应用功能网元(通过网络能力开放功能网元)收集数据,并进行分析和预测。在5G通信系统中,网络数据分析网元可以是网络数据分析功能(network data analytics function,NWDAF)。在未来通信系统中,网络开放功能网元仍可以是NWDAF网元,或者,还可以有其它的名称,本申请不做限定。
统一数据存储网元,负责存储结构化的数据信息,其中包括签约信息,策略信息,以及有标准格式定义的网络数据或业务数据。在5G通信系统中,统一数据存储网元可以是统一数据存储(unified data repository,UDR)。在未来通信系统中,网络开放功能网元仍可以是UDR网元,或者,还可以有其它的名称,本申请不做限定。
鉴权服务功能(authentication server function,AUSF),网络认证UE的功能实体,用于网络验证UE是否是真实的,可支持3GPP框架定义的接入服务鉴权,同时也可以支持非3GPP接入网的鉴权。
网络切片和独立非公共网络特定的鉴权和授权功能(network slice-specificand SNPN authentication and authorization function,NSSAAF),主要作用是与外部AAA服务器连接,做一个服务化接口(service based interface,SBI)接口与AAA接口转换的作用,是一个连接3GPP网络内部网元与外部AAA服务器的中间网元。比如,NSAAF预配置有AAA服务器的地址信息与域信息的对应关系,当NSSAAF收到域信息后,NSAAF可以根据AAA服务器的地址信息确定AAA服务器,然后将收到的消息发送给AAA服务器。再比如,NSSAAF可以根据域信息向网域名称服务器(domain name server,DNS)服务器请求AAA服务器的地址信息,并从DNS服务器获得AAA服务器地址信息,然后将收到的消息发送给AAA服务器。NSSAAF还可以用于支持来自使用AAA服务器的凭证持有者(credentials holder,CH)的凭证(credentials)接入独立非公共网络,或者,用于支持来自使用AAA服务器的默认凭证服务器(default credentials server,DCS)的凭证(credentials)接入独立非公共网络。如果凭证持有者或者默认凭证服务器来自第三方,NSSAAF可以通过AAA代理(AAA proxy)与AAA服务器通信。
标签管理功能(tag management function,TMF),也可以称为物联管理功能(IoTmanagement function,IMF)、或物联终端管理功能(IoT device management function,IDMF),其可以实现以下功能中的一项或多项:1)识别请求方发送的指令、根据请求发送的指令向物联终端执行操作;2)指示接入网设备或者终端设备执行物联终端的随机接入流程;3)获取物联终端的数据;可以对物联终端发送的数据执行过滤或者收集;4)向请求方发送来自物联终端的数据;5)对接一个或多个请求方,执行数据路由;6)执行物联终端的安全认证流程;可以根据请求方或者物联终端对应的上下文信息、策略信息或者签约数据,执行安全流程。TMF可以是一个独立的网元或者设备,独立部署;也可以为已有网元或者设备的一部分功能,与已有的网元或者设备共同部署,例如TMF与AMF、NEF或UPF共同部署。
可以理解的是,网元也可以称为“设备”、“实体”等。上述网元或者功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。上述网元或者功能可划分出一个或多个服务,进一步,还可能会出现独立于网络功能存在的服务。在本申请中,上述功能的实例、或上述功能中包括的服务的实例、或独立于网络功能存在的服务实例均可称为服务实例。
应当理解,图1仅为适用的网络架构的一种示例,实际应用的网络架构可以包括比图1更多或更少的网元。本申请实施例上述所使用的各个网元的名称,在未来通信系统中,可能保持功能相同,但名称会改变。
本申请实施例提出了多种安全认证的方案,以提高通信安全。例如,请求方对终端设备的单向认证,以确保终端设备为请求方的终端设备;例如,终端设备对请求方的单向认证,以确保请求方是可信的;再例如,终端设备与请求方之间的双向认证;例如,运营商对终端设备的单向认证;例如,终端设备对运营商的单向认证;例如,运营商和终端设备之间的双向认证。在一些物理环境相对安全的场景下,例如终端设备处于园区环境内,为了提高效率,可以免去认证(因为执行认证流程会增加终端设备与请求方的交互流程,耗时增加)。
本申请实施例提供的方法可以应用于工业、企业、农业、畜牧业、林业等。一种举例说明中,可以应用于工业中对产品的管理,例如,通过在产品上嵌入或贴上无源或半无源物联网标签,可以实现自动对产品进行扫描、统计等管理。例如,在仓库、运输、物资等方面,存放在仓库、商场等货品在物流过程中,货品相关信息被阅读器自动采集,管理人员就可以在系统迅速查询货品信息,降低丢弃或者被盗的风险,可以提高货品交接速度,提高准确率,并且防止窜货和防伪。另一种举例说明中,可以应用于资产管理,例如图书馆、艺术馆及博物馆等资产庞大或者物品贵重的一些场所,需要有完整的管理程序或者严谨的保护措施,在书籍或者贵重物品上嵌入或贴上无源或半无源物联网标签,当书籍或者贵重物品的存放信息有异常变动,可以及时提醒管理员,从而处理相关情况。另一种举例说明中,可以应用于工业对设备(如叉车、拖车、自动导引运输车(automated guided vehicle,AGV)等)的管理,例如,通过在设备上装有标签,可以实现对设备的生命周期、利用率、位置等的管理。再一种举例说明中,可以应用于畜牧业中对养殖品(如猪、牛、羊、鸡等)进行管理,例如,通过在养殖品上固定标签,可以实现对养殖品的统计等的管理。再一种举例说明中,可以应用于林业中对树木进行管理,例如,通过在树木上固定标签,可以实现对树木的统计等的管理。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
如图2所示,提供了一种通信流程示意图;该通信流程可以适用于以下多种场景:
场景1:第一终端中预先配置有认证方式,第一终端与请求方之间进行认证。其中,第一终端与请求方之间进行认证可以包括:第一终端与请求方的双向认证,请求方对第一终端的单向认证,第一终端对请求方的单向认证。
场景2:第一终端中未配置认证方式,第一终端与请求方之间进行认证。
场景3:第一终端中预先配置有认证方式,第一终端与核心网设备对应的第一网络(核心网设备对应的第一网络可以称为运营商网络)之间进行认证。其中,第一终端与核心网设备对应的第一网络之间进行认证可以包括:第一终端与核心网设备对应的第一网络的双向认证,核心网设备对应的第一网络对第一终端的单向认证,第一终端对核心网设备对应的第一网络的单向认证。
场景4:第一终端中未配置认证方式,第一终端与核心网设备对应的第一网络(核心网设备对应的第一网络可以称为运营商网络)之间进行认证。
其中,第一终端与核心网设备对应的第一网络之间进行认证可以理解为第一终端与第一网络中的鉴权设备进行认证。
图2所示的通信流程可以应用于图1所示的通信系统中。其中,请求方可以是图1中的请求方,例如第三方设备、服务器(server)、P-IoT server、应用服务器AS、应用功能AF、无源物联网应用功能(P-IoT AF)、物联网应用功能(IoT AF)等;核心网设备可以是图1中的核心网设备,例如AMF、UDM、TMF、AUSF、NSSAAF、SMF、UPF、PCF、NEF、UDR等,核心网设备与请求方直接可以直接通信,也可以通过其它核心网设备进行通信;第一终端可以是图1中的终端设备。
图2介绍的流程示意图至少包括以下步骤:
步骤201:请求方向核心网设备发送第一信息,所述第一信息用于指示第一终端。
相应的,核心网设备接收来自请求方的第一信息。
可以理解的是,第一信息除了指示第一终端外,还可以指示其它终端。
第一信息指示第一终端时,可以采用如下一种或多种方式:
例如,第一信息包括终端标识范围,终端标识范围包括第一终端的标识。
例如,第一信息包括一个或多个终端的标识,所述一个或多个终端的标识包括第一终端的标识。
例如,第一信息包括终端的类型,第一终端属于所述类型。
例如,第一信息包括请求方的信息。请求方的信息可以指示请求方对应的(或者管理的)终端标识范围或一个或多个终端的标识。请求方对应的(或者管理的)终端标识范围或一个或多个终端的标识包括第一终端的标识。
请求方对应的(或者管理的)终端标识范围或一个或多个终端的标识,可以保存或配置在核心网设备上,也可以保存或配置在其它核心网设备上。核心网设备可以向其它核心网设备发送请求方的信息,其它核心网设备根据请求方的信息获取请求方对应的(或者管理的)终端标识范围或一个或多个终端的标识,并发送给核心网设备。示例性的,其他核心网设备可以包括UDM、UDR、AUSF、NEF、PCF、SMF、TMF、NSSAAF、AMF等核心网设备。
请求方的信息可以包括以下的一项或多项:AF标识符(AF identifier或AFidentity,AF ID)、业务标识(service identifier或service identity,service ID)、应用标识(application identifier或application identity,APP ID)、AF的地址信息、AF的端口信息、应用服务器AS的地址信息、应用服务器AS的端口信息。其中,AF或AS的地址例如为互联网协议地址(internet protocol address,IP)、介质访问控制(media accesscontrol,MAC)地址、IPv6prefix等;其中,AF或AS的端口例如为传输控制协议(transmission control protocol,TCP)端口、用户数据报协议(user datagramprotocol,UDP)端口。
在一种可能的实现方式中,第一信息可以用于指示对第一终端执行第一操作。第一操作可以是获取第一终端的标识的操作(也可称为盘点操作、盘存操作、Inventory)、读操作、写操作、删除操作、加密操作、访问操作、块写操作、块擦操作或灭活操作等。例如,第一信息包括第一操作的信息,通过第一操作的信息来指示第一操作。进一步可选的,第一信息还包括第一操作对应的操作参数。第一操作的信息可以称为指令类型,或者第一操作的信息和第一操作对应的操作参数一起称为指令类型。举例说明,读操作对应的操作参数可以包括读取的存储区,读取存储区的起始字地址以及字数目等。写操作对应的操作参数可以包括写入的存储区,读取存储区的起始字以及写入的数据。另外,获取第一终端的标识的操作(也可称为盘点操作、盘存操作、Inventory)可以无需携带在第一信息中,例如,当第一信息不包括第一操作时,可以表示第一信息用于获取第一终端的标识。
在一种可能的场景中,请求方需要周期性地对第一终端执行第一操作。在该场景中,一种可能的实现方式为,请求方在周期到达时,向核心网设备请求对第一终端执行第一操作。另一种可能的实现方式为,请求方向核心网设备发送周期信息,相应的,核心网设备可以接收来自请求方的周期信息,并保存。进而,核心网设备周期性地触发对第一终端执行第一操作,而无需请求方周期性地向核心网设备请求对第一终端执行第一操作,可以节省信令交互。
步骤202:核心网设备获取第一终端对应的认证方式。
核心网设备获取第一终端对应的认证方式的方式有多种,包括但不限于以下的方式。
一种方式中,请求方向核心网设备指示第一终端对应的认证方式。示例性的,请求方通过第一信息向核心网设备指示第一终端对应的认证方式。具体的,所述第一信息可以用于指示所述第一终端对应的认证方式;核心网设备可以根据所述第一信息,获取所述第一终端对应的所述认证方式。当然,请求方也可以通过不同于第一信息的其它信息向核心网设备指示第一终端对应的认证方式。在该方式中,如果第一终端预配置有认证方式,通常情况下,请求方向核心网设备指示的认证方式与第一终端中预配置的认证方式需相同,当然,不排除请求方向核心网设备指示的认证方式与第一终端中预配置的认证方式不同的情况。当第一终端预配置的认证方式与请求方向核心网设备指示的认证方式不同时,一种可能的实现方式中,第一终端可以按照请求方指示的认证方式执行认证流程。示例性的,请求方指示的认证方式优先级高于第一终端预配置的认证方式。请求方向核心网设备指示的认证方式可以是按需触发或者动态指示的。示例性的,针对同一终端,请求方在不同时间指示的认证方式可以是相同或不同的。
一种方式中,所述第一终端的第一上下文信息、或第一策略信息、或第一业务配置(例如service profile)、或第一签约数据中包括所述第一终端对应的认证方式(终端对应的认证方式可以为终端支持的认证方式)。核心网设备获取所述第一终端的第一上下文信息、或第一策略信息、或第一业务配置、或第一签约数据,核心网设备基于所述第一上下文信息、或第一策略信息、或第一业务配置、或所述第一签约数据,获取所述第一终端对应的认证方式。第一终端的第一上下文信息、或第一策略信息、或第一业务配置、或第一签约数据保存在以下一个或多个设备中:接入管理设备(例如AMF)、策略控制设备(例如PCF)、鉴权设备(例如AUSF)、统一数据管理设备(例如UDM)、用户数据库(例如UDR)、会话管理设备(例如SMF)、标签管理功能(例如TMF)。
一种方式中,请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据中包括所述请求方管理的一个或多个终端对应的认证方式(终端对应的认证方式可以为终端支持的认证方式),所述请求方管理的一个或多个终端包括所述第一终端。核心网设备获取所述请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据,核心网设备基于所述第二上下文信息、第二策略信息、第二业务配置、或所述第二签约数据,获取所述第一终端对应的认证方式。请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据可以保存在UDM、UDR、AUSF、NSSAAF、AMF、TMF、PCF等控制面功能。
第一终端对应的认证方式可以是双向认证方式,或者单向认证方式,或者不执行认证。
当认证方式为双向认证方式时,认证方式具体可以是以下任一项:所述第一终端与所述请求方的双向认证、所述第一终端与所述核心网设备对应的第一网络的双向认证。
当认证方式为单向认证方式时,认证方式具体可以是以下任一项:所述请求方对所述第一终端执行的单向认证、所述核心网设备对应的第一网络对所述第一终端执行的单向认证、所述第一终端对所述请求方执行的单向认证、所述第一终端对所述核心网设备对应的第一网络执行的单向认证。
步骤203:核心网设备执行(执行可以理解为发起、或触发、或参与)与步骤202中获取到的认证方式对应的流程。
核心网设备获取第一终端对应的认证方式,并执行对应的流程,可以提高安全性。
以下结合图3a至图3f,对各个认证方式对应的流程进行详细介绍。其中,随机数(RAND)可以是比特串(例如128比特长度的比特串),也可以是字符串或者数字,本申请对于随机数的构造或者长度不限制。校验值可以是消息身份验证码(message authenticationcode,MAC),校验值可以是比特串(例如32比特长度的比特串),也可以是字符串或者数字,本申请对于校验值的构造或者长度不限制。密文信息可以是比特串(例如32比特长度的比特串)、字符串或者数字,本申请对于密文信息的构造或者长度不限制。明文信息可以是比特串(例如128比特长度的比特串)、字符串或者数字,本申请对于明文信息的构造或者长度不限制。
如图3a所示,介绍了多种可能的第一终端对请求方执行单向认证的流程示意图。
步骤31a:第一终端向核心网设备发送随机数,相应的,核心网设备接收来自第一终端的随机数。
该随机数可以是第一终端中预先配置的,也可以是第一终端随机生成的。在一种可能的实现中,随机数携带在第一终端向核心网设备(例如AMF或TMF)发送的请求(例如注册请求Registration Request)消息中。
步骤32a:核心网设备向请求方发送所述随机数,相应的,请求方接收来自核心网设备的随机数。
步骤33a:请求方基于所述随机数获取校验值或者密文信息。
例如,获取校验值或者密文信息的过程包括:请求方基于所述随机数和预配置的密钥,获取校验值或者密文信息。
一种可能的实现方式中,请求方基于所述随机数与预配置的安全密钥进行运算,获取校验值。
另一种可能的实现方式中,请求方采用预配置的安全密钥对所述随机数进行加密,获取密文信息。
步骤34a:请求方向核心网设备发送所述校验值或密文信息,相应的,核心网设备接收来自请求方的校验值或密文信息。
步骤35a:核心网设备向第一终端发送所述校验值或密文信息,相应的,第一终端接收校验值或密文信息。
在一种可能的实现中,校验值或密文信息携带在核心网设备(例如AMF或TMF)向第一终端发送的响应(例如注册响应Registration Accept)消息中。
步骤36a:第一终端基于所述随机数校验所述校验值或密文信息。
例如,校验所述校验值或者密文信息的过程包括:基于所述随机数和预配置的密钥,校验所述校验值或者密文信息。
一种可能的实现方式中,校验密文信息的过程包括:解密所述密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与随机数(步骤31a中第一终端向核心网设备发送的随机数)进行比对。当两者相同时校验通过,则第一终端对请求方的单向认证通过。当两者不同时校验不通过,则第一终端对请求方的单向认证不通过。
另一种可能的实现方式中,校验该校验值的过程包括:将步骤31a中第一终端发送的随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤35a中第一终端接收的校验值进行比对。当两者相同时校验通过,则第一终端对请求方的单向认证通过。当两者不同时校验不通过,则第一终端对请求方的单向认证不通过。
如图3b所示,介绍了多种可能的请求方对第一终端执行单向认证的流程示意图。
一种可能的实现方式中,请求方对第一终端执行单向认证的流程包括:
步骤31b1:请求方向核心网设备发送随机数,相应的,核心网设备接收来自请求方的随机数。
示例性的,该随机数可以是针对第一终端的。针对不同的终端,请求方向核心网设备发送的随机数可以不同,以提高认证流程的安全性。
步骤32b1:核心网设备向第一终端发送所述随机数,相应的,第一终端接收随机数。
在一种可能的实现中,随机数携带在核心网设备(例如AMF或TMF)向第一终端发送的请求(例如鉴权请求(Authentication Request)或者认证请求(AuthorizationRequest))消息中。
步骤33b1:第一终端基于所述随机数获取校验值或密文信息。
例如,获取校验值或密文信息的过程包括:第一终端基于所述随机数和预配置的密钥,获取校验值或密文信息。
一种可能的实现方式中,第一终端将所述随机数和预配置的密钥进行运算,获取校验值。
另一种可能的实现方式中,第一终端采用预配置的安全密钥将所述随机数进行加密,获取密文信息。
步骤34b1:第一终端向核心网设备发送所述校验值或密文信息,相应的,核心网设备接收来自所述第一终端的校验值或密文信息。
在一种可能的实现中,校验值或密文信息携带在第一终端向核心网设备(例如AMF或TMF)发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
步骤35b1:核心网设备向请求方发送所述校验值或密文信息,相应的,请求方接收校验值或密文信息。
步骤36b1:请求方基于所述随机数校验所述校验值或密文信息。
例如,校验所述校验值或者密文信息的过程包括:基于所述随机数和预配置的密钥,校验所述校验值或者密文信息。
一种可能的实现方式中,校验密文信息的过程包括:解密所述密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与随机数(步骤31b1中请求方向核心网设备发送的随机数)进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
另一种可能的实现方式中,校验该校验值的过程包括:将步骤31b1中请求方发送的随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤35b1中请求方接收的校验值进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
另一种可能的实现方式中,请求方对第一终端执行单向认证的流程包括:
步骤31b2:核心网设备获取随机数。
例如,获取随机数的过程包括:核心网设备生成随机数,或从其它核心网设备处获取随机数。一种可能的实现中,核心网设备为AMF,其它核心网设备为UDM、UDR、NSSAAF、AUSF、TMF或用于对终端执行管理的功能设备。
步骤32b2(与步骤32b1相同):核心网设备向第一终端发送所述随机数,相应的,第一终端接收来自核心网设备的随机数。
在一种可能的实现中,随机数携带在核心网设备(例如AMF)向第一终端发送的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
步骤33b2(与步骤33b1相同):第一终端基于所述随机数获取校验值或密文信息。
例如,获取校验值或密文信息的过程包括:第一终端基于所述随机数和预配置的密钥,获取校验值或密文信息。
一种可能的实现方式中,第一终端可以将所述随机数和预配置的密钥进行运算,获取校验值。
另一种可能的实现方式中,第一终端采用预配置的密钥将所述随机数进行加密,获取密文信息。
步骤34b2:第一终端向核心网设备发送所述校验值或密文信息,相应的,核心网设备接收来自所述第一终端的校验值或密文信息。
在一种可能的实现中,校验值或密文信息携带在第一终端向核心网设备(例如AMF)发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
进一步可选的,第一终端在向核心网设备发送校验值或密文信息时,也可以将随机数(步骤32b2中核心网设备向第一终端发送的随机数)发送给核心网设备。当第一终端不向核心网设备发送随机数时,可以防止窃听者通过空口监听第一终端的随机数,可以提高安全性、可靠性。
步骤35b2:核心网设备向所述请求方发送所述随机数(核心网设备在步骤31b2中获取到的随机数或步骤34b2中来自第一终端的随机数)和所述校验值(或密文信息),相应的,请求方接收来自核心网设备的随机数和校验值(或密文信息)。
示例性的,当第一终端没有向核心网设备发送随机数时,核心网设备可以向请求方发送步骤31b2中获取的随机数。
在一种具体的示例中,核心网设备为AMF或者TMF,AMF与请求方之间通过NEF进行通信。AMF可以先向NEF发送随机数和校验值(或密文信息),NEF再将随机数和校验值(或密文信息)发送给请求方。
一种可能的实现中,随机数和校验值(或密文信息)可以携带在AMF发送给NEF的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
步骤36b2:请求方基于所述随机数对校验所述校验值或密文信息。
例如,校验所述校验值或者密文信息的过程包括:基于所述随机数和预配置的密钥,校验所述校验值或者密文信息。
一种可能的实现方式中,校验密文信息的过程包括:解密所述密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与随机数(步骤35b2中从核心网设备接收到的随机数)进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
另一种可能的实现方式中,校验该校验值的过程包括:将步骤35b2中请求方接收的随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤35b2中请求方接收的校验值进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
如图3c所示,介绍了多种可能的第一终端与请求方进行双向认证的流程示意图。
步骤31c:第一终端向核心网设备发送第一随机数,相应的,核心网设备接收来自第一终端的第一随机数。
第一随机数可以是第一终端中预先配置的,也可以是第一终端随机生成的。在一种可能的实现中,随机数携带在第一终端向核心网设备(例如AMF或TMF)发送的请求(例如注册请求(Registration Request))消息中。
步骤32c:核心网设备向所述请求方发送所述第一随机数,相应的,请求方接收第一随机数。
步骤33c:请求方基于所述第一随机数获取第一校验值或第一密文信息。
该过程可以包括以下多种方式:
方式1:请求方基于第一随机数和预配置的密钥,获取第一密文信息。一种可能的实现方式中,请求方可以采用预配置的安全密钥将第一随机数进行加密,获取第一密文信息。
方式2:请求方基于第一随机数和预配置的密钥,获取第一校验值。一种可能的实现方式中,请求方可以将第一随机数和预配置的密钥进行运算,获取第一校验值。
方式3:请求方基于第一随机数和第二随机数,获取第一密文信息。示例性的,该过程包括:请求方基于第一随机数、第二随机数和预配置的密钥,获取第一密文信息。一种可能的实现方式中,请求方采用预配置的密钥将第一随机数、第二随机数进行加密,获取第一密文信息。第二随机数可以是请求方生成的或请求方中预配置的。
方式4:请求方基于第一随机数和第二随机数,获取第一校验值。示例性的,该过程包括:请求方基于第一随机数、第二随机数和预配置的密钥,获取第一校验值。一种可能的实现方式中,请求方可以将第一随机数、第二随机数和预配置的密钥进行运算,获取第一校验值。第二随机数可以是请求方生成的或请求方中预配置的。
步骤34c:请求方向核心网设备发送所述第一校验值或第一密文信息,相应的,核心网设备接收来自请求方的第一校验值或第一密文信息。
在步骤33c中,请求方基于方式1、或方式2、或方式4获取第一校验值或第一密文信息时,可选的,请求方还可以将第二随机数发送给核心网设备。
步骤35c:核心网设备向第一终端发送所述第一校验值或第一密文信息,相应的,第一终端接收第一校验值或第一密文信息。
在一种可能的实现中,第一校验值或第一密文信息携带在核心网设备(例如AMF或TMF)向第一终端发送的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
可选的,在步骤34c接收到第二随机数的场景下,核心网设备还可以向第一终端发送第二随机数。
步骤36c:第一终端基于所述第一随机数校验所述第一校验值或第一密文信息。
例如,校验所述第一校验值或者密文信息的过程包括:基于所述第一随机数和预配置的密钥,校验所述第一校验值或者密文信息。
与步骤33c的方式1相对应的校验过程包括:解密所述第一密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与第一随机数(步骤31c中第一终端发送的第一随机数)进行比对。当两者相同时校验通过,则第一终端对请求方的单向认证通过。当两者不同时校验不通过,则第一终端对请求方的单向认证不通过。
与步骤33c的方式2相对应的校验过程包括:将步骤31c中第一终端发送的第一随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤35c中第一终端接收的第一校验值进行比对。当两者相同时校验通过,则第一终端对请求方的单向认证通过。当两者不同时校验不通过,则第一终端对请求方的单向认证不通过。
与步骤33c的方式3相对应的校验过程包括:解密第一密文信息,得到两个数值(数值可以称为明文信息),将解密得到的两个数值与第一随机数(步骤31c中第一终端发送的第一随机数)进行比对。当某一个数值(可以限制其解密出来的顺序为第一个数值,或第二个数值,也可以不限制其解密出来的顺序)与第一随机数相同时,第一终端对请求方的单向认证通过。当任一数值与第一随机数不同时,第一终端对请求方的单向认证不通过。
与步骤33c的方式4相对应的校验过程包括:将步骤31c中第一终端发送的第一随机数、步骤35c中接收到的第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤35c中第一终端接收的第一校验值进行比对。当两者相同时校验通过,则第一终端对请求方的单向认证通过。当两者不同时校验不通过,则第一终端对请求方的单向认证不通过。
步骤37c:在第一终端对请求方的单向认证通过的基础上,第一终端生成第二校验值或者第二密文信息。
在步骤35c中,若第一终端接收到第二随机数(即对应方式1、方式2或方式4),第一终端生成第二校验值或第二密文信息的过程包括:第一终端基于所述第二随机数和预配置的密钥,获取第二校验值或第二密文信息。一种可能的实现方式中,第一终端将所述第二随机数和预配置的密钥进行运算,获取第二校验值。另一种可能的实现方式中,第一终端采用预配置的密钥将所述第二随机数进行加密,获取第二密文信息。
在步骤35c中,若第一终端未接收到第二随机数(即对应方式3),第一终端生成第二校验值或第二密文信息的过程包括:第一终端基于第三随机数和解密出的除第一随机数之外的数值(在第一终端对请求方的单向认证通过的情况下,解密出的除第一随机数之外的数值是与第二随机数相同的数值),生成第二校验值或者第二密文信息。第三随机数可以是第一终端中预先配置的,也可以是第一终端随机生成的。例如,第一终端基于第三随机数、解密出的除第一随机数之外的数值和预配置的密钥,生成第二校验值或者第二密文信息。一种可能的实现方式中,第一终端采用预配置的密钥将第三随机数和解密出的除第一随机数之外的数值进行加密,获取第二密文信息。一种可能的实现方式中,第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值。
步骤38c:第一终端向核心网设备发送所述第二校验值或者第二密文信息,相应的,核心网设备接收来自所述第一终端的第二校验值或者第二密文信息。
可选的,第一终端向核心网设备发送所述第三随机数。例如,步骤37c中,当第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值时,第一终端向核心网设备发送第三随机数。
在一种可能的实现中,第二校验值(可选的,还包括第三随机数)携带在第一终端向核心网设备(例如AMF或TMF)发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
步骤39c:核心网设备向所述请求方发送所述第二校验值或者第二密文信息,相应的,请求方接收第二校验值或者第二密文信息。
可选的,在步骤38c中接收到第三随机数时,核心网设备还可以向请求方发送第三随机数。
步骤30c:请求方基于第二随机数校验所述第二校验值或者第二密文信息。
例如,校验所述第二校验值或者第二密文信息的过程包括:基于所述第二随机数和预配置的密钥,校验所述第二校验值或者第二密文信息。
一种可能的实现方式中,若步骤37c中,第一终端采用预配置的密钥将所述第二随机数进行加密,获取第二密文信息。则请求方校验第二密文信息的过程包括:解密第二密文信息,得到一数值(数值可以称为明文信息),将解密得到的数值与第二随机数(步骤34c中请求方发送第二随机数)进行比对。当两者相同时校验通过,请求方对第一终端的单向认证通过。当两者不同时校验不通过,请求方对第一终端的单向认证不通过。
一种可能的实现方式中,若步骤37c中,第一终端将所述第二随机数和预配置的密钥进行运算,获取第二校验值。则请求方校验第二校验值的过程包括:将步骤34c中请求方发送第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤39c中请求方接收的第二校验值进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
一种可能的实现方式中,若步骤37c中,第一终端采用预配置的密钥将第三随机数和解密出的除第一随机数之外的数值进行加密,获取第二密文信息。则请求方校验第二密文信息的过程包括:解密第二密文信息,得到两个数值(数值可以称为明文信息),将解密得到的两个数值与第二随机数(步骤33c的方式3中的第二随机数)进行比对。当某一个数值(可以限制其解密出来的顺序为第一个数值,或第二个数值,也可以不限制其解密出来的顺序)与第二随机数相同时,请求方对第一终端的单向认证通过。当任一数值与第二随机数不同时,请求方对第一终端的单向认证不通过。
另一种可能的实现方式中,若步骤37c中,第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值。则请求方校验第二校验值的过程包括:将请求方在步骤39c中接收的第三随机数、请求方生成的第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤39c中请求方接收的第二校验值进行比对。当两者相同时校验通过,则请求方对第一终端的单向认证通过。当两者不同时校验不通过,则请求方对第一终端的单向认证不通过。
第一终端对请求方的单向认证通过,且请求方对第一终端的单向认证通过,即请求方与第一终端的双向认证通过。
如图3d所示,介绍了多种可能的第一终端对核心网设备对应的第一网络执行单向认证的流程示意图。
步骤31d:第一终端向核心网设备发送第一随机数,相应的,核心网设备接收来自第一终端的第一随机数。
第一随机数可以是第一终端中预先配置的,或者第一终端随机生成的。在一种可能的实现中,随机数携带在第一终端向核心网设备(例如AMF或TMF)发送的请求(例如注册请求(Registration Request))消息中。
步骤32d:核心网设备获取第二随机数。
该步骤32d为可选的步骤,可以不执行。
核心网设备获取第二随机数的一种方式为核心网设备生成第二随机数,另一种方式为核心网设备从其它核心网设备处获取第二随机数。一种可能的实现中,核心网设备为AMF,其它核心网设备为UDM、AUSF、UDR、NSSAAF、NEF、PCF、TMF或用于对终端管理或者标签管理的功能设备。
步骤33d:核心网设备基于所述第一随机数,获取校验值或者密文信息。
该过程可以包括以下多种方式:
方式1:核心网设备基于第一随机数和预配置的密钥,获取密文信息。一种可能的实现方式中,核心网设备可以采用预配置的安全密钥将第一随机数进行加密,获取密文信息。
方式2:核心网设备基于第一随机数和预配置的密钥,获取校验值。一种可能的实现方式中,核心网设备可以将第一随机数和预配置的密钥进行运算,获取校验值。
方式3:核心网设备基于第一随机数和第二随机数,获取密文信息。示例性的,该过程包括:核心网设备基于第一随机数、第二随机数和预配置的密钥,获取密文信息。一种可能的实现方式中,核心网设备采用预配置的密钥将第一随机数、第二随机数进行加密,获取密文信息。
方式4:核心网设备基于第一随机数和第二随机数,获取校验值。示例性的,该过程包括:核心网设备基于第一随机数、第二随机数和预配置的密钥,获取校验值。一种可能的实现方式中,核心网设备将第一随机数、第二随机数和预配置的密钥进行运算,获取校验值。
步骤34d:核心网设备向第一终端发送所述校验值或者密文信息,相应的,第一终端接收来自核心网设备的校验值或密文信息。
在步骤33d中,核心网设备基于方式1、或方式2、或方式4获取校验值或密文信息时,可选的,核心网设备还可以将第二随机数发送给第一终端。
在一种可能的实现中,校验值或密文信息携带在核心网设备(例如AMF或TMF)向第一终端发送的注册接受(Registration Accept)消息中。
步骤35d:第一终端基于第一随机数校验所述校验值或密文信息。
与步骤33d的方式1相对应的校验过程包括:解密所述第一密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与第一随机数(步骤31d中第一终端发送的第一随机数)进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
与步骤33d的方式2相对应的校验过程包括:将步骤31d中第一终端发送的第一随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤34d中第一终端接收的校验值进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
与步骤33d的方式3相对应的校验过程包括:解密所述密文信息,得到两个数值(数值可以称为明文信息),将解密得到的两个数值与第一随机数(步骤31c中第一终端发送的第一随机数)进行比对。当某一个数值(可以限制其解密出来的顺序为第一个数值,或第二个数值,也可以不限制其解密出来的顺序)与第一随机数相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当任一数值与第一随机数不同时校验不通过,则第一终端对核心网设备对应的第一网络执行单向认证不通过。
与步骤33d的方式4相对应的校验过程包括:将步骤31d中第一终端发送的第一随机数、步骤34d中接收到的第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤34d中第一终端接收的校验值进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
如图3e所示,介绍了多种可能的核心网设备对应的第一网络对第一终端执行单向认证的流程示意图。
步骤31e:核心网设备获取随机数。
核心网设备获取随机数的一种方式为核心网设备生成随机数,另一种方式为核心网设备从其它核心网设备处获取随机数。
一种可能的实现中,核心网设备为AMF,其它核心网设备为UDM、AUSF、UDR、NSSAAF、NEF、PCF、TMF或用于对终端管理或者标签管理的功能设备。核心网设备针对每个终端生成不同的随机数,可以避免多个终端共用相同的随机数,可以提高认证流程的安全性提高安全。核心网设备在执行认证的流程中生成随机数,可以保证随机数的新鲜,进一步提高认证流程的安全性可靠性。
步骤32e:核心网设备向所述第一终端发送所述随机数,相应的,第一终端接收来自核心网设备的随机数。
在一种可能的实现中,随机数携带在核心网设备(例如AMF)向第一终端发送的鉴权请求(Authentication Request)消息或者认证请求(Authorization Request)消息中。
步骤33e:第一终端基于随机数获取校验值或密文信息。
例如,获取校验值或密文信息的过程包括:第一终端基于所述随机数和预配置的密钥,获取校验值或密文信息。
一种可能的实现方式中,第一终端可以将所述随机数和预配置的密钥进行运算,获取校验值。
另一种可能的实现方式中,第一终端采用预配置的密钥将所述随机数进行加密,获取密文信息。
步骤34e:第一终端向核心网设备发送校验值或密文信息,相应的,核心网设备接收来自所述第一终端的校验值或密文信息。
在一种可能的实现中,校验值或密文信息携带在第一终端向核心网设备(例如AMF或TMF)发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
进一步可选的,第一终端在向核心网设备发送校验值或密文信息时,也可以将随机数发送给核心网设备。当第一终端不向核心网设备发送随机数时,可以防止窃听者通过空口监听第一终端的随机数,可以提高安全性、可靠性。
步骤35e:核心网设备基于随机数(步骤32e中核心网设备发送的随机数或步骤34e中核心网设备接收的随机数)对所述校验值或密文信息进行校验。
例如,校验所述校验值或者密文信息的过程包括:基于所述随机数和预配置的密钥,校验所述校验值或者密文信息。
一种可能的实现方式中,校验密文信息的过程包括:解密密文信息,得到一数值(数值可以称为明文信息),将解密得到的数值与随机数(步骤32e中核心网设备发送的随机数或步骤34e中核心网设备接收的随机数)进行比对。当两者相同时校验通过,则核心网设备对应的第一网络对第一终端执行的单向认证通过。当两者不同时校验不通过,则核心网设备对应的第一网络对所述第一终端执行的单向认证不通过。
另一种可能的实现方式中,校验该校验值的过程包括:将随机数(步骤32e中核心网设备发送的随机数或步骤34e中核心网设备接收的随机数)与预配置的密钥进行运算,获取校验值,将该校验值与步骤34e中核心网设备接收的校验值进行比对。当两者相同时校验通过,则核心网设备对应的第一网络对第一终端的单向认证通过。当两者不同时校验不通过,则核心网设备对应的第一网络对第一终端的单向认证不通过。
步骤35e与步骤36e为两种并列的方式。
步骤36e:核心网设备将校验值或密文信息(可选的,还可以包括随机数)发送给其它核心网设备。
一种可能的实现方式中,当核心网设备在步骤31e生成随机数,而非从其它核心网设备获取随机数,核心网设备可以向其他核心网设备发送该随机数。
步骤37e:其它核心网设备基于随机数(步骤31e中核心网设备从其它核心网设备处获取的随机数,或步骤36e中从核心网设备接收到的随机数)对所述校验值或密文信息进行校验。
步骤37e的校验过程与步骤35e的校验过程类似,可以相互参考,不再重复赘述。
在校验通过后,其它核心网设备向核心网设备发送校验通过/认证成功的信息。在一种可能的实现中,校验值或密文信息(可选的,还可以包括随机数)可以携带在核心网设备向其它核心网设备发送的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。校验通过/认证成功的信息可以携带在其它核心网设备向核心网设备发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。在目前的技术中,终端设备的随机数通常由认证方生成并发送给终端设备,而在该方式中,认证方为其它核心网设备,由核心网设备自身生成针对第一终端的随机数并发送给终端设备,无需其它核心网设备向核心网设备发送针对第一终端的随机数,可以节省信令开销。
如图3f所示,介绍了多种可能的第一终端与核心网设备对应的第一网络的双向认证的流程示意图。
步骤31f:第一终端向核心网设备发送第一随机数,相应的,核心网设备接收来自所述第一终端的第一随机数。
第一随机数可以是第一终端中预先配置的,也可以是第一终端随机生成的。在一种可能的实现中,随机数携带在第一终端向核心网设备(例如AMF)发送的请求(例如注册请求(Registration Request))消息中。
步骤32f:核心网设备获取第二随机数。
步骤32f为可选的步骤,可以不执行。
核心网设备获取第二随机数的一种方式为核心网设备生成第二随机数,另一种方式为核心网设备从其它核心网设备处获取随机数。
一种可能的实现中,核心网设备为AMF,其它核心网设备为UDM、AUSF、UDR、NEF、NSSAAF、PCF或用于对终端管理或者标签管理的功能设备。核心网设备针对每个终端生成不同的随机数,可以避免多个终端共用相同的随机数,可以提高认证流程的安全性提高安全。核心网设备在执行认证的流程中生成随机数,可以保证随机数的新鲜,进一步提高认证流程的安全性可靠性。
步骤33f(与步骤33c类似):核心网设备基于所述第一随机数获取第一校验值或第一密文信息。
该过程可以包括以下多种方式:
方式1:核心网设备基于第一随机数和预配置的密钥,获取第一密文信息。一种可能的实现方式中,核心网设备可以采用预配置的安全密钥将第一随机数进行加密,获取第一密文信息。
方式2:核心网设备基于第一随机数和预配置的密钥,获取第一校验值。一种可能的实现方式中,核心网设备可以将第一随机数和预配置的密钥进行运算,获取第一校验值。
方式3:核心网设备基于第一随机数和第二随机数,获取第一密文信息。示例性的,该过程包括:核心网设备基于第一随机数、第二随机数和预配置的密钥,获取第一密文信息。一种可能的实现方式中,核心网设备采用预配置的密钥将第一随机数、第二随机数进行加密,获取第一密文信息。
方式4:核心网设备基于第一随机数和第二随机数,获取第一校验值。示例性的,该过程包括:核心网设备基于第一随机数、第二随机数和预配置的密钥,获取第一校验值。一种可能的实现方式中,核心网设备可以将第一随机数、第二随机数和预配置的密钥进行运算,获取第一校验值。
步骤34f:核心网设备向所述第一终端发送所述第一校验值或第一密文信息,相应的,第一终端接收来自核心网设备的第一校验值或第一密文信息。
在步骤33f中,核心网设备基于方式1、或方式2、或方式4获取第一校验值或第一密文信息时,可选的,核心网设备还可以将第二随机数发送给第一终端。
在一种可能的实现中,第一校验值或第一密文信息(可选的,还包括第二随机数)携带在核心网设备(例如AMF或TMF)向第一终端发送的注册接受(Registration Accept)消息中。
步骤35f(与步骤36c类似):第一终端基于所述第一随机数校验所述第一校验值或第一密文信息。
例如,校验所述第一校验值或者密文信息的过程包括:基于所述第一随机数和预配置的密钥,校验所述第一校验值或者密文信息。
与步骤33f的方式1相对应的校验过程包括:解密所述第一密文信息,得到一数值(该数值可以称为明文信息),将解密得到的数值与第一随机数(步骤31f中第一终端发送的第一随机数)进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
与步骤33f的方式2相对应的校验过程包括:将步骤31f中第一终端发送的第一随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤34f中第一终端接收的第一校验值进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
与步骤33f的方式3相对应的校验过程包括:解密第一密文信息,得到两个数值(数值可以称为明文信息),将解密得到的两个数值与第一随机数(步骤31f中第一终端发送的第一随机数)进行比对。当某一个数值(可以限制其解密出来的顺序为第一个数值,或第二个数值,也可以不限制其解密出来的顺序)与第一随机数相同时,第一终端对核心网设备对应的第一网络的单向认证通过。当任一数值与第一随机数不同时,第一终端对核心网设备对应的第一网络的单向认证不通过。
与步骤33f的方式4相对应的校验过程包括:将步骤31f中第一终端发送的第一随机数、步骤34f中接收到的第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤34f中第一终端接收的第一校验值进行比对。当两者相同时校验通过,则第一终端对核心网设备对应的第一网络的单向认证通过。当两者不同时校验不通过,则第一终端对核心网设备对应的第一网络的单向认证不通过。
步骤36f(与步骤37c类似):在第一终端对第一网络的单向认证通过的基础上,第一终端生成第二校验值或第二密文信息。
在步骤34f中,若第一终端接收到第二随机数(即对应方式1、方式2或方式4),第一终端生成第二校验值或第二密文信息的过程包括:第一终端基于所述第二随机数和预配置的密钥,获取第二校验值或第二密文信息。一种可能的实现方式中,第一终端将所述第二随机数和预配置的密钥进行运算,获取第二校验值。另一种可能的实现方式中,第一终端采用预配置的密钥将所述第二随机数进行加密,获取第二密文信息。
在步骤34f中,若第一终端未接收到第二随机数(即对应方式3),第一终端生成第二校验值或第二密文信息的过程包括:第一终端基于第三随机数和解密出的除第一随机数之外的数值(在第一终端对请求方的单向认证通过的情况下,解密出的除第一随机数之外的数值是与第二随机数相同的数值),生成第二校验值或者第二密文信息。第三随机数可以是第一终端中预先配置的,也可以是第一终端随机生成的。例如,第一终端基于第三随机数、解密出的除第一随机数之外的数值和预配置的密钥,生成第二校验值或者第二密文信息。一种可能的实现方式中,第一终端采用预配置的密钥将第三随机数和解密出的除第一随机数之外的数值进行加密,获取第二密文信息。一种可能的实现方式中,第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值。
步骤37f:第一终端向核心网设备发送所述第二校验值或第二密文信息,相应的,核心网设备接收来自所述第一终端的第二校验值或第二密文信息。
可选的,第一终端向核心网设备发送所述第三随机数。例如,在步骤36f中,当第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值时,第一终端向核心网设备发送第三随机数。
在一种可能的实现中,第二校验值或第二密文信息携带在第一终端向核心网设备(例如AMF或TMF)发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
进一步可选的,第一终端在向核心网设备发送第二校验值或第二密文信息时,也可以将步骤34f中接收到的第二随机数发送给核心网设备。当第一终端不向核心网设备发送第二随机数时,可以防止恶意监听。
步骤38f(与步骤30c类似):核心网设备基于所述第二随机数对所述第二校验值或第二密文信息进行校验。
例如,校验所述第二校验值或者第二密文信息的过程包括:基于所述第二随机数和预配置的密钥,校验所述第二校验值或者第二密文信息。
一种可能的实现方式中,若步骤36f中,第一终端采用预配置的密钥将所述第二随机数进行加密,获取第二密文信息。则核心网设备校验第二密文信息的过程包括:解密第二密文信息,得到一数值(数值可以称为明文信息),将解密得到的数值与第二随机数(步骤34c中请求方发送第二随机数)进行比对。当两者相同时校验通过,核心网设备对应的第一网络对第一终端的单向认证通过。当两者不同时校验不通过,核心网设备对应的第一网络对第一终端的单向认证不通过。
一种可能的实现方式中,若步骤36f中,第一终端将所述第二随机数和预配置的密钥进行运算,获取第二校验值。则核心网设备校验第二校验值的过程包括:将步骤34f中核心网设备发送第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤37f中核心网设备接收的第二校验值进行比对。当两者相同时校验通过,则核心网设备对应的第一网络对第一终端的单向认证通过。当两者不同时校验不通过,则核心网设备对应的第一网络对第一终端的单向认证不通过。
一种可能的实现方式中,若步骤36f中,第一终端采用预配置的密钥将第三随机数和解密出的除第一随机数之外的数值进行加密,获取第二密文信息。则核心网设备校验第二密文信息的过程包括:解密第二密文信息,得到两个数值(数值可以称为明文信息),将解密得到的两个数值与第二随机数(步骤33f的方式3中的第二随机数)进行比对。当某一个数值(可以限制其解密出来的顺序为第一个数值,或第二个数值,也可以不限制其解密出来的顺序)与第二随机数相同时,核心网设备对应的第一网络对第一终端的单向认证通过。当任一数值与第二随机数不同时,核心网设备对应的第一网络对第一终端的单向认证不通过。
另一种可能的实现方式中,若步骤36f中,第一终端将第三随机数、解密出的除第一随机数之外的数值和预配置的密钥进行运算,获取第二校验值。则核心网设备校验第二校验值的过程包括:将在步骤37f中接收的第三随机数、步骤32f中获取的第二随机数与预配置的密钥进行运算,获取校验值,将该校验值与步骤37f中核心网设备接收的第二校验值进行比对。当两者相同时校验通过,则核心网设备对应的第一网络对第一终端的单向认证通过。当两者不同时校验不通过,则核心网设备对应的第一网络对第一终端的单向认证不通过。
第一终端对第一网络的单向认证通过,且第一网络对第一终端的单向认证通过,即第一网络与第一终端的双向认证通过。
在上述各个认证方式对应的流程中,第一终端向核心网设备发送的用于执行认证的参数(例如随机数、或第一随机数、或校验值、或密文信息、或第二校验值、第二密文信息),可以携带在第一消息中,第一消息可以是注册请求消息、或接入请求消息、或用于接入网设备的请求消息、或用于注册网络的请求消息,本申请对于第一消息的名称不做限定。第一消息可以是非接入层(non-access stratum,NAS)消息或非NAS消息。
针对核心网设备获取到的第一终端的认证方式为不执行认证的场景:
一种可能的实现中,核心网设备无需执行认证流程,或者核心网设备跳过第一终端的认证流程。
另一种可能的实现中,核心网设备还可以基于第一终端的位置做进一步决策,来确定最终的第一终端的认证方式。
例如,核心网设备确定第一终端的位置属于预设位置范围内时,核心网设备允许所述请求方或所述核心网设备对应的第一网络不执行所述第一终端的认证流程,或者允许所述请求方或所述核心网设备对应的第一网络跳过所述第一终端的认证流程。可以理解为核心网设备确定第一终端的位置属于预设位置范围内时,第一终端对应的认证方式最终确定为不执行认证。
例如,核心网设备确定第一终端的位置在预设位置范围外或者第一终端的位置不属于预设范围内时,核心网设备执行配置的认证方式对应的流程,所述配置的认证方式用于认证接入所述核心网设备所在的网络的终端。进一步地,所述配置的认证方式用于认证接入所述核心网设备所在的网络的第一类型终端。第一类型终端可以包括物联终端、无源物联终端、半无源物联终端、半有源物联终端或者有源物联终端等。可以理解为核心网设备确定第一终端的位置在预设位置范围外时,第一终端对应的认证方式最终确定为配置的认证方式。其中,配置的认证方式可以配置于该核心网设备,或者可以配置于其他核心网设备,该核心网设备可以从其他核心网设备获取该配置的认证方式。
配置的认证方式可以是第一终端对请求方的单向认证、或请求方对第一终端的单向认证、或第一终端与请求方的双方认证、或第一终端对核心网设备对应的第一网络的单向认证、或核心网设备对应的第一网络对第一终端的单向认证、或第一终端与核心网设备对应的第一网络的双向认证,或者其他认证方式。
一种可选的示例中,第一终端的位置可以通过地理位置来表示。例如,地理位置为经纬度,或坐标值。第一终端的位置包括但不限于以下的一项或多项:第一终端所在的地理位置,对第一终端执行随机接入的第二终端所在的地理位置。
预设位置范围可以是预设地理位置范围,预设地理位置范围可以是一个或多个地理位置的集合。
确定所述第一终端的位置属于预设位置范围内具体可以是,确定表示第一终端的位置的地理位置属于预设地理位置范围内。确定第一终端的位置在预设位置范围外具体可以是,确定表示第一终端的位置的地理位置在预设地理位置范围外。
一种可选的示例中,第一终端的位置可以由第一标识表征(可以理解为通过第一标识来表示),例如,第一标识包括但不限于以下的一项或多项:第一终端接入的接入网设备的标识、第一终端所在的小区(cell)的标识(cell ID)、第一终端所在的跟踪区(tracking area,TA)的标识(TAI)、第一终端接入的网络的标识、第一终端接入的切片的标识、第一终端接入的封闭接入组(closed access group,CAG)的标识(CAG ID)、第二终端接入的接入网设备的标识、第二终端所在的小区的标识、第二终端所在的跟踪区的标识、第二终端接入的网络的标识、第一终端接入的切片的标识、第二终端接入的封闭接入组的标识,其中,所述第二终端为对所述第一终端执行随机接入的终端。
其中,接入网的标识可以是ID(例如无线接入网全球编号RAN Global ID或者gNodeB ID等)、地址信息、端口信息、域名信息。接入的网络的标识可以是公共陆地移动网络(public land mobile network,PLMN)标识,也可以是非公共网络标识,如PLMN ID和网络标识符(network identifier,NID)的组合。示例性的,公共陆地移动网络(public landmobile network,PLMN)标识可以是移动国家码(mobile country code,MCC)和移动网络码(mobile network code,MNC)的组合。
预设位置范围可以是预设标识范围,预设标识范围可以是一个或多个标识的集合。
确定所述第一终端的位置属于预设位置范围内具体可以是,确定表示第一终端的位置的第一标识属于预标识范围内。确定所述第一终端的位置在预设位置范围外具体可以是,确定表示第一终端的位置的第一标识在不属于预设标识范围或者属于预设标识范围外。
一种可选的示例中,第一终端的位置可以通过地理位置和第一标识来表示。具体细节可以参考上文描述,不再重复赘述。
在一种可能的实现中,在上述示例的基础上,核心网设备在接收到来自请求方的第一信息之后,核心网设备还可以获取第一终端的标识,并向请求方发送获取到的第一终端的标识。例如,核心网设备获取第一终端的标识包括:核心网设备接收来自第一终端发送的第一终端的标识。
示例性的,核心网设备在接收到第一信息后,指示接入网设备执行第一终端的随机接入过程。接入网设备执行第一终端的随机接入过程后,第一终端通过接入网设备向核心网设备发送第一终端的标识。第一终端的标识可以携带在第二消息中,第二消息可以是注册请求消息、或接入消息、或接入请求消息、或用于接入网络的请求消息、或用于注册网络的请求消息,本申请对于第二消息的名称不做限定。第二消息可以是NAS消息或非NAS消息。第一消息与第二消息可以相同,也可以不同。在目前的技术中,终端设备的标识可以携带在注册请求消息中,在本申请实施例中,对于携带终端设备的标识的消息进行扩展,不再受限于注册请求消息。另外,当第一消息与第二消息相同时,第一终端可以无需通过独立的消息向核心网设备发送用于执行认证的参数(例如随机数、或第一随机数、或校验值、或第二校验值),可以节省信令交互。
步骤202和步骤203,与核心网设备获取第一终端的标识的先后顺序不进行限制。若在执行认证流程且确定认证通过后,核心网设备获取第一终端的标识并向请求方发送第一终端的标识,可以提高安全性。
以下对各个认证流程中的信息交互,与核心网设备获取第一终端的标识并向请求方发送获取到的第一终端的标识的先后顺序进行示例性说明。
在第一终端对应的认证方式为第一终端对请求方的单向认证(参考图3a)时,第一终端向核心网设备发送的第一终端的标识和随机数可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。若在第一终端对请求方的单向认证通过(即第一终端基于随机数校验所述校验值或密文信息通过)后,第一终端再将第一终端的标识发送给核心网设备,可以进一步提高安全性。另外,核心网设备向请求方发送的第一终端的标识和随机数可以在一条消息中发送给请求方,也可以在不同消息中发送给请求方。
在第一终端对应的认证方式为请求方对第一终端的单向认证(参考图3b)时,第一终端向核心网设备发送的第一终端的标识和校验值(或密文信息)可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。另外,核心网设备向请求方发送的第一终端的标识和校验值(或密文信息)可以在一条消息中发送给请求方,也可以在不同消息中发送给请求方。若在请求方对第一终端的单向认证通过(即请求方基于随机数校验所述校验值(或密文信息)通过)后,第一终端再将第一终端的标识发送给核心网设备,可以进一步提高安全性。另外,向第一终端发送随机数时,可以是在接入网设备执行第一终端的随机接入过程中,接入网设备将随机数发送给第一终端;也可以是接入网设备确定第一终端随机接入成功后,将随机数发送给第一终端。
在第一终端对应的认证方式为第一终端与请求方的双向认证(参考图3c)时,第一终端向核心网设备发送的第一终端的标识和第一随机数可以在一条消息中发送给核心网设备,也可以在不同的消息中发送给核心网设备。另外,第一终端向核心网设备发送的第一终端的标识和第二校验值(或第二密文信息)可以在一条消息中发送给核心网设备,也可以在不同的消息中发送给核心网设备。第一终端在基于第一随机数校验所述第一校验值(或第二密文信息)通过之后,再向核心网设备发送第一终端的标识,可以进一步提高安全性。另外,核心网设备向请求方发送的第一终端的标识和第一随机数可以在一条消息中发送给请求方,也可以在不同消息中发送给请求方。另外,核心网设备向请求方发送的第一终端的标识和第二校验值(或第二密文信息)可以在一条消息中发送给请求方,也可以在不同消息中发送给请求方。
在第一终端对应的认证方式为第一终端对核心网设备对应的第一网络的单向认证(参考图3d)时,第一终端向核心网设备发送的第一终端的标识和第一随机数可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。在第一终端对核心网设备对应的第一网络的单向认证通过(即第一终端基于第一随机数校验所述校验值密文信息通过)后,第一终端再向核心网设备发送第一终端的标识,可以进一步提高安全性。
在第一终端对应的认证方式为核心网设备对应的第一网络对第一终端的单向认证(参考图3e)时,第一终端向核心网设备发送的校验值(或密文信息)和第一终端的标识可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。在核心网设备对应的第一网络对第一终端的单向认证(即核心网设备基于随机数对所述校验值或密文信息校验通过)后,第一终端再将第一终端的标识发送给核心网设备,可以进一步提高安全性。另外,向第一终端发送随机数,可以是在接入网设备执行第一终端的随机接入过程中,接入网设备将随机数发送给第一终端;也可以是接入网设备确定第一终端随机接入成功后,将随机数发送给第一终端。
在第一终端对应的认证方式为第一终端与核心网设备对应的第一网络的双向认证(参考图3f)时,第一终端向核心网设备发送的第一随机数和第一终端的标识可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。另外,第一终端向核心网设备发送的第二校验值(或第二密文信息)和第一终端的标识可以在一条消息中发送给核心网设备,也可以在不同消息中发送给核心网设备。第一终端在基于第一随机数对第一校验值或第一密文信息通过后,再向核心网设备发送第一终端的标识,可以进一步提高安全性。
在一种可能的实现中,当第一操作为读操作、写操作、删除操作、加密操作、访问操作、块写操作、块擦操作或灭活操作等一项或多项时,核心网设备在获取到第一终端的标识,执行第一终端对应的认证方式对应的流程且确定认证通过后,核心网设备还可以对第一终端执行第一操作。
对于第一终端来说,第一终端中可以预先配置有认证方式,也可以未配置认证方式。当第一终端未配置认证方式时,可以由核心网设备获取到第一终端对应的认证方式后,核心网设备向所述第一终端发送所述认证方式的信息,所述认证方式的信息用于指示所述第一终端对应的认证方式。当然,当第一终端预配置认证方式时,核心网设备也可以向第一终端发送所述认证方式的信息。第一终端知道自身对应的认证方式后,进而可以执行与认证方式对应的认证流程。
在一种可能的实现方式中,认证方式的信息可以显示指示第一终端对应的认证方式。例如,通过比特位的取值来指示第一终端对应的认证方式。例如,通过3个比特甚至更多比特的取值来指示第一终端对应的认证方式。例如,3bit的取值为000时,表示不执行认证;3bit的取值为001时,表示第一终端与请求方的双向认证;3bit的取值为010时,表示第一终端与核心网设备对应的第一网络的双向认证;3bit的取值为011时,表示请求方对第一终端的单向认证;3bit的取值为100时,表示第一终端对请求方的单向认证;3bit的取值为101时,表示核心网设备对应的第一网络对第一终端的单向认证;3bit的取值为110时,表示第一终端对核心网设备对应的第一网络执行的单向认证。以上比特的取值所表示的含义仅是一种示例,不应造成对方案的限定。
在一种可能的实现方式中,当第一终端未配置认证方式,核心网设备未向所述第一终端发送所述认证方式的信息,则可以表示不执行认证。
在一种可能的实现方式中,认证方式的信息可以是随机数,表示认证方式为请求方对第一终端的单向认证或核心网设备对应的第一网络对第一终端的单向认证。在认证过程中,第一终端基于随机数获取校验值或密文信息,并向核心网设备发送校验值或密文信息。
例如,核心网设备向所述第一终端发送所述认证方式的信息的过程包括:核心网设备先向接入网设备发送第一终端对应认证方式的信息,接入网设备对第一终端执行随机接入的过程中或第一终端随机接入成功后,接入网设备向第一终端发送认证方式的信息。一种可能的实现方式中,接入网设备可以广播该认证方式的信息。
以下结合具体的场景,介绍具体的通信流程。
如图4所示,介绍了一种具体的通信流程示意图。该通信流程适用于第一终端中预先配置有认证方式,第一终端与请求方之间进行认证的场景。在该示例中,以接入网设备为RAN、核心网设备为AMF、请求方为AF为例进行介绍。AMF与AF可以直接通信,也可以通过其它核心网设备(例如NEF、SMF、UPF等)进行通信。
步骤400:对第一终端进行初始化。
初始化过程可以理解为企业或者用户(请求方)对第一终端进行打印(预配置或者写入初始数据)。
初始化过程包括:在第一终端中配置(或者写入)第一终端的标识、第一终端对应的认证方式。
第一终端对应的认证方式可以为第一终端与AF的双向认证,或者,AF对第一终端的单向认证,或者,第一终端对AF的单向认证,或者,不执行认证。一种可能的实现方式,认证方式通过在第一终端中设置标识位来实现,例如设置两个比特甚至更多比特的标志位,例如,00表示不执行认证,01表示第一终端对AF的单向认证;10表示AF对第一终端的单向认证;11表示第一终端与AF的双向认证。比特位的取值所代表的含义仅是一种示例,不应造成对方案的限定。一种可能的实现方式中,当企业或者用户部署了鉴权服务器(例如AAA服务器)来执行认证时,第一终端与AF的双向认证可以理解为第一终端与AAA服务器的双向认证;AF对第一终端的单向认证可以理解为AAA服务器对第一终端的单向认证;第一终端对AF的单向认证可以理解为第一终端对AAA服务器的单向认证。AF可以用于转发AAA服务器与其它网元/设备交互的消息或者作为AAA服务器的代理。本申请对于AF如何与AAA服务器交互不限制。
初始化过程进一步还可以包括:在第一终端中配置(或者写入)以下的一项或多项:安全密钥、随机数、安全算法、NAS安全策略、AS安全策略。第一终端对应的认证方式、安全密钥、随机数、安全算法、NAS安全策略、AS安全策略等可以看作是安全参数。NAS安全策略可以包括加密保护和/或完整性保护;AS安全策略可以包括加密保护和/或完整性保护。随机数可以作为用于执行认证的参数在认证流程中被使用,例如,在第一终端对AF的单向认证中、或第一终端与AF的双向认证中,第一终端发送随机数。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数),NAS安全策略可以用于确定是否需要执行NAS层的加密和/或完整性保护,AS安全策略可以用于确定是否需要执行AS层的加密和/或完整性保护。
另外,需要注意的是,第一终端可以更新预先配置信息,例如,更新预先配置的认证方式。
步骤401:AF向AMF发送第一信息,第一信息用于指示第一终端。
相应的,AMF接收来自AF的第一信息。
第一信息指示第一终端时,可以采用一种或多种方式,具体可以参考步骤201的介绍,不再重复赘述。
在一种可能的实现方式中,第一信息可以用于指示对第一终端执行第一操作。例如,第一信息包括第一操作的信息,通过第一操作的信息来指示第一操作。进一步可选的,第一信息还包括第一操作对应的操作参数。具体细节可以参考步骤201中的介绍,不再重复赘述。
在一种可能的实现中,AF向AMF指示第一终端对应的认证方式。示例性的,AF通过第一信息向AMF指示第一终端对应的认证方式。具体的,所述第一信息还用于指示所述第一终端对应的认证方式。当然,AF也可以通过不同于第一信息的其它信息向AMF指示第一终端对应的认证方式。在该示例中,AF向AMF指示的第一终端对应的认证方式与步骤400初始化过程中在第一终端中预先配置的认证方式相同。第一终端对应的认证方式为第一终端与AF的双向认证,或AF对第一终端的单向认证,或第一终端对AF的单向认证,或不执行认证。
在一种可能的实现中,AF还可以向AMF发送随机数,该随机数作为用于执行认证的参数在认证流程中被使用,例如,在AF对第一终端的单向认证中,AF通过AMF向第一终端发送随机数。示例性的,第一信息包括所述随机数。
在一种具体的示例中,AF向AMF发送的第一终端的安全策略,第一终端的安全策略包括第一终端对应的认证方式和/或随机数包含在。其中,安全策略可以包含在第一信息中,或其它不同于第一信息的其它信息中。
步骤402:AMF指示RAN执行第一终端的随机接入过程。
AMF与RAN之间可以通过N2消息进行交互。
步骤403:RAN根据AMF的指示执行第一终端的随机接入过程。
例如,RAN向第一终端发起随机接入信令,第一终端执行随机接入。
步骤404:在第一终端随机接入成功后,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息。
例如,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息的过程包括:第一终端根据预先配置的认证方式,确定是否向AMF发送随机数。例如,当认证方式为第一终端对AF的单向认证或第一终端与AF的双向认证时,第一终端需要向AMF发送随机数。例如,当认证方式为AF对第一终端的单向认证或不执行认证时,第一终端无需向AMF发送随机数。第一终端向AMF发送的随机数可以是第一终端随机生成的,也可以是预先配置在第一终端中的。
步骤405:第一终端随机接入成功后,第一终端通过RAN向AMF发送注册请求消息,注册请求消息包括所述第一终端的标识。
相应的,AMF接收来自第一终端的注册请求消息。
如果第一终端需要向AMF发送随机数,在一种可能的实现中,注册请求消息还包括随机数。
可以理解的是,注册请求消息可以替换为接入消息、接入请求消息、或用于接入网络的请求消息、或用于注册网络的请求消息,本申请对于消息的名称不做限定。
另外,可以理解的是,第一终端的标识和随机数也可以在不同的消息中发送给AMF,此处仅是以第一终端的标识和随机数在同一条注册请求消息中发送给AMF为例进行介绍。
步骤406:AMF获取第一终端对应的认证方式。
AMF获取第一终端对应的认证方式的过程可以参考步骤202中介绍的核心网设备获取第一终端对应的认证方式的过程,不再重复赘述。
针对AMF获取到的第一终端的认证方式为不执行认证的场景,一种可能的实现中,AMF无需执行与认证方式对应的流程;另一种可能的实现中,AMF还可以基于第一终端的位置进行进一步判断,来确定最终的第一终端的认证方式。其中,AMF基于第一终端的位置进行进一步判断,来确定最终的第一终端的认证方式的过程,可以参考前文介绍的核心网设备基于第一终端的位置做进一步决策,来确定最终的第一终端的认证方式的过程,不再重复赘述。
步骤405与步骤406的先后顺序不进行限制。
步骤407:在需要认证的情况下,AMF执行第一终端对应的认证方式对应的流程。
AF与第一终端之间的交互消息可以通过RAN和/或核心网设备传输。
示例性的,第一终端对AF的单向认证的流程可以参考图3a的介绍,AF对第一终端的单向认证的流程可以参考图3b的介绍,第一终端与AF的双向认证的流程可以参考图3c的介绍。
步骤405与步骤407的先后顺序不进行限制。
步骤408:AMF向AF发送第一终端的信息。
在第一终端对应的认证方式为不执行认证时,第一终端的信息包括第一终端的标识。
在第一终端对应的认证方式为第一终端对AF的单向认证(可以参考图3a介绍的认证流程)时,第一终端的信息包括第一终端的标识和/或随机数。
在第一终端对应的认证方式为AF对第一终端的单向认证(可以参考图3b介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、随机数、校验值(或密文信息)。
在第一终端对应的认证方式为第一终端与AF的双向认证(可以参考图3c介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、第一随机数、第二校验值(或第二密文信息)。
步骤408与步骤406、步骤407的先后顺序不进行限制。
步骤409:AF向AMF发送认证成功的信息和/或接收成功的信息。
相应的,AMF接收来自AF的认证成功的信息或接收成功的信息。
其中,接收成功是指第一终端的信息接收成功。
在第一终端对应的认证方式为不执行认证时,第一终端的信息包括第一终端的标识。即AF在接收到第一终端的标识后,向AMF反馈接收成功的信息。
在第一终端对应的认证方式为第一终端对AF的单向认证(可以参考图3a介绍的认证流程)时,第一终端的信息包括第一终端的标识和/或随机数。AF在接收到第一终端的标识后,可以向AMF发送接收成功的信息。或者,AF在接收到第一终端的标识和随机数后,向AMF发送接收成功的信息,可选的,接收成功的信息中包括AF基于随机数获取的校验值(或密文信息)。
在第一终端对应的认证方式为AF对第一终端的单向认证(可以参考图3b介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、随机数、校验值(或密文信息)。AF在接收到第一终端的信息后,向AMF发送接收成功的信息;或者,AF在基于随机数校验所述校验值(或密文信息)通过后,向AMF发送认证成功的信息。接收成功的信息和认证成功的信息可以在一条消息中发送给AMF,也可以在不同消息中发送给AMF。
在第一终端对应的认证方式为第一终端与AF的双向认证(可以参考图3c介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、第一随机数、第二校验值(或密文信息)。AF在接收到第一终端的信息后,向AMF发送接收成功的信息;或者,AF在校验第二校验值(或第二密文信息)通过后,向AMF发送认证成功的信息。接收成功的信息和认证成功的信息可以在一条消息中发送给AMF,也可以在不同消息中发送给AMF。
步骤410:AMF向第一终端发送注册接受消息。
相应的,第一终端接收来自AMF的所述第一终端的注册接受消息。
可以理解的是,注册接受消息所代表的含义是第一终端接入成功,注册接受消息可以替换为第一终端接入成功的指示信息、接入成功消息、或用于接入网络成功的响应消息、或用于注册网络成功的响应消息,本申请对于该消息的名称不做限定。
在一种可能的实现中,AMF在接收来自第一终端的认证成功的信息后,向第一终端发送注册接受消息。该方式可以适用于第一终端对请求方的单向认证当认证方式的场景。
在一种可能的实现中,AMF在接收到来自AF的接收成功的信息后,向第一终端发送注册接受消息。该方式可以适用于第一终端对请求方的单向认证的场景。
在一种可能的实现中,AMF在接收到来自AF的认证成功的信息后,向第一终端发送注册接受消息。该方式可以适用于请求方对第一终端的单向认证,或第一终端与请求方的双向认证的场景。
在一种可能的实现中,当第一终端对应的认证方式为不执行认证时,AMF在接收到第一终端发送的注册请求消息(参考步骤405)后,可以跳过上述的步骤407、步骤408、步骤409,直接执行步骤410。AMF在确定无需执行认证流程时,AMF接收到注册请求消息后立刻向第一终端反馈注册接受消息,可以使第一终端快速接入核心网,可以减少信令交互和时延开销,提高第一终端的盘存效率、减少第一终端的功耗开销。
在一种可能的实现中,当第一终端对应的认证方式为不执行认证时,AMF在接收到第一终端发送的注册请求消息(参考步骤405)后,可以跳过上述的步骤407、步骤408、步骤409和步骤410。AMF在确定无需执行认证流程时,AMF接收到注册请求消息后无需向第一终端发送消息。接入网设备可以在向AMF转发步骤405的消息后,继续执行下一终端的随机接入流程。或者AMF可以在接收到注册请求消息后指示接入网设备执行下一终端的随机接入流程,且无需向第一终端发送消息。
在第一终端中未配置认证方式,第一终端与请求方之间进行认证的场景中,具体的通信流程与图4介绍的通信流程有很多相同之处,与图4介绍的通信流程的不同之处包括:
在初始化过程(参考步骤400的介绍)中不包括在第一终端中配置认证方式。
AF向AMF指示的第一终端对应的认证方式,无需与初始化过程中在第一终端中预先配置的认证方式相同。AF可以按需或者动态地向AMF指示第一终端对应的认证方式,针对同一终端,AF在不同时间指示的认证方式可以是相同或不同的。
在第一终端随机接入成功后(参考步骤404),第一终端不能根据认证方式,确定是否向AMF发送随机数。一种可替换的方式为,第一终端中预先配置有随机数,则第一终端确定向AMF发送随机数,若未配置随机数,则不向AMF发送随机数。另一种可替换的方式为,AMF或RAN向第一终端指示,是否需要发送随机数。例如AMF或RAN向第一终端发送第一终端对应的认证方式的信息,第一终端可以通过第一终端的认证方式的信息确定自身对应的认证方式,从而决定是否发送随机数。例如当认证方式为第一终端对AF的单向认证或第一终端与AF的双向认证时,第一终端需要发送随机数。例如,当认证方式为AF对第一终端的单向认证或不执行认证时,第一终端无需发送随机数。第一终端发送的随机数可以是第一终端随机生成的,也可以是预先配置在第一终端中的。
其它过程可以参考图4的介绍,不再重复赘述。
如图5所示,介绍了一种具体的通信流程示意图。该通信流程适用于第一终端中预先配置有认证方式,第一终端与核心网设备对应的第一网络之间进行认证的场景。在该示例中,以接入网设备为RAN、核心网设备为AMF、请求方为AF为例进行介绍。AMF与AF可以直接通信,也可以通过其它核心网设备(例如NEF、SMF、UPF等)进行通信,AMF与UDM可以直接通信,也可以通过其它核心网设备(例如NEF、SMF、UPF等)进行通信。
步骤500a:对第一终端进行初始化。
初始化过程可以理解为企业或者用户(请求方)对第一终端进行打印(预配置或者写入初始数据)。
初始化过程包括:在第一终端中配置(或者写入)第一终端的标识、第一终端对应的认证方式。
第一终端对应的认证方式可以为第一终端与第一网络的双向认证,或者,第一网络对第一终端的单向认证,或者,第一终端对第一网络的单向认证,或者,不执行认证。一种可能的实现方式,认证方式通过在第一终端中设置标识位来实现,例如设置两个比特甚至更多比特的标志位,例如,00表示不执行认证,01表示第一终端对第一网络的单向认证;10表示第一网络对第一终端的单向认证;11表示第一终端与第一网络的双向认证。比特位的取值所代表的含义仅是一种示例,不应造成对方案的限定。
初始化过程进一步还可以包括:在第一终端中配置(或者写入)以下的一项或多项:安全密钥、随机数、安全算法、NAS安全策略、AS安全策略。第一终端对应的认证方式、安全密钥、随机数、安全算法、NAS安全策略、AS安全策略等可以看作是安全参数。NAS安全策略可以包括加密保护和/或完整性保护;AS安全策略可以包括加密保护和/或完整性保护。随机数可以作为用于执行认证的参数在认证流程中被使用在执行第一终端对应的认证方式中使用,例如,在第一终端对第一网络的单向认证中、或第一终端与第一网络的双向认证中,第一终端向AMF发送随机数。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数),NAS安全策略可以用于确定是否需要执行NAS层的加密和/或完整性保护,AS安全策略可以用于确定是否需要执行AS层的加密和/或完整性保护。
另外,需要注意的是,第一终端可以更新预先配置信息,例如,更新预先配置的认证方式。
步骤500b:AF向UDM指示第一终端对应的认证方式。
AF向UDM指示的第一终端对应的认证方式可以与第一终端中预先配置的认证方式相同。例如,第一终端与第一网络的双向认证,或者,第一网络对第一终端的单向认证,或者,第一终端对第一网络的单向认证,或者,不执行认证。
一种可能的实现方式中,AF向UDM指示第一终端对应的认证方式,包括:AF向UDM发送第一终端的标识和第一终端对应的认证方式。
另一种可能的实现方式中,AF向UDM指示第一终端对应的认证方式,包括:AF向UDM发送终端的标识范围和终端的标识范围对应的认证方式;其中,终端的标识范围包括第一终端的标识。示例性的,终端的标识范围对应的认证方式可以理解为对于标识属于该终端的标识范围中的任意一个终端,其对应的认证方式即为该终端的标识范围对应的认证方式。
另一种可能的实现方式中,AF向UDM指示第一终端对应的认证方式,包括:AF向UDM发送AF的信息和认证方式;其中AF的信息可以用于指示AF对应的(或者管理的)或终端标识范围或一个或多个终端的标识。AF对应的(或者管理的)或终端标识范围或一个或多个终端的标识包括第一终端的标识。AF的信息可以参考前文介绍,不再重复赘述。
AF向UDM指示第一终端对应的认证方式时,可以通过两个比特甚至更多比特的取值来指示,例如,00表示不执行认证,01表示第一终端对第一网络的单向认证;10表示第一网络对第一终端的单向认证;11表示第一终端与第一网络的双向认证。比特位的取值所代表的含义仅是一种示例,不应造成对方案的限定。在一种可能的实现中,当AF未向UDM指示第一终端对应的认证方式时,可以理解为第一终端对应的认证方式为不执行认证。
进一步可选的,AF还向UDM发送以下的一项或多项:随机数、安全密钥。随机数可以作为用于执行认证的参数在认证流程中被使用,例如,第一网络对第一终端的单向认证中,核心网设备需要向第一终端发送随机数。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数)。
在一种可能的实现中,第一终端对应的认证方式和随机数可以包含在第一终端对应的安全策略信息中,即AF向UDM发送第一终端对应的安全策略信息,安全策略信息中包括第一终端对应的认证方式和/或随机数。
第一终端对应的认证方式、随机数、安全密钥等可以保存在第一终端的上下文信息、第一终端的策略信息、第一终端的业务配置、或第一终端的签约数据中。
如果请求方在核心网设备中配置第一终端对应的安全策略信息,在第一终端的接入过程中,核心网设备可以无需与请求方进行交互,可以进一步节省信令开销,提高第一终端的接入、注册或者通信效率,降低第一终端的功耗开销。
可以理解的是,AF与UDM可以直接通信,也可以通过NEF或其它网元进行通信。
步骤500b为可选的步骤,也可以不执行步骤500b。
步骤501:AF向AMF发送第一信息,第一信息用于指示第一终端。
相应的,AMF接收来自AF的第一信息。
第一信息指示第一终端时,可以采用一种或多种方式,具体可以参考步骤201的介绍,不再重复赘述。
在一种可能的实现方式中,第一信息可以用于指示对第一终端执行第一操作。例如,第一信息包括第一操作的信息,通过第一操作的信息来指示第一操作。进一步可选的,第一信息还包括第一操作对应的操作参数。具体细节可以参考步骤201中的介绍,不再重复赘述。
在一种可能的实现中,AF向AMF指示第一终端对应的认证方式,该方式可以适用于未执行步骤500b的情景。示例性的,AF通过第一信息向AMF指示第一终端对应的认证方式。具体的,所述第一信息还用于指示所述第一终端对应的认证方式。当然,AF也可以通过不同于第一信息的其它信息向AMF指示第一终端对应的认证方式。在该示例中,AF向AMF指示的第一终端对应的认证方式与步骤500a的初始化过程中在第一终端中预先配置的认证方式相同。第一终端对应的认证方可以为第一终端与第一网络的双向认证,或第一网络对第一终端的单向认证,或第一终端对第一网络的单向认证,或不执行认证。
在一种可能的实现中,AF还可以向AMF发送随机数,该随机数作为用于执行认证的参数在认证流程中被使用。例如,在第一网络对第一终端的单向认证中,AF通过AMF向第一终端发送随机数。示例性的,第一信息包括所述随机数。
在一种具体的示例中,第一终端对应的认证方式和/或随机数包含在第一终端对应的安全策略中。其中,安全策略可以包含在第一信息中,或其它不同于第一信息的其它信息中。
在一种可能的实现中,AF还可以向AMF发送安全密钥。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数)。其中,安全密钥可以包含在第一信息中,或其它不同于第一信息的其它信息中。
可以理解的是,AF与AMF可以直接通信,也可以通过NEF或其它网元进行通信。
步骤502:AMF指示RAN执行第一终端的随机接入过程。
AMF与RAN之间可以通过N2消息进行交互。
步骤503:RAN根据AMF的指示执行第一终端的随机接入过程。
例如,RAN向第一终端发起随机接入信令,第一终端执行随机接入。
步骤504:在第一终端随机接入成功后,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息。
例如,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息的过程包括:第一终端根据预先配置的认证方式,确定是否向AMF发送随机数。例如,当认证方式为第一终端对第一网络的单向认证或第一终端与第一网络的双向认证时,第一终端需要向AMF发送随机数。例如,当认证方式为第一网络对第一终端的单向认证或不执行认证时,第一终端无需向AMF发送随机数。第一终端向AMF发送的随机数可以是第一终端随机生成的,也可以是预先配置在第一终端中的。
步骤505:第一终端随机接入成功后,第一终端通过RAN向AMF发送注册请求消息,注册请求消息包括所述第一终端的标识。
相应的,AMF接收来自第一终端的注册请求消息。
如果第一终端需要向AMF发送随机数,在一种可能的实现中,注册请求消息还包括随机数。
可以理解的是,注册请求消息可以替换为接入消息、接入请求消息、或用于接入网络的请求消息、或用于注册网络的请求消息,本申请对于消息的名称不做限定。
另外,可以理解的是,第一终端的标识和随机数也可以在不同的消息中发送给AMF,此处仅是以第一终端的标识和随机数在同一条注册请求消息中发送给AMF为例进行介绍。
步骤506:AMF获取第一终端对应的认证方式。
AMF获取第一终端对应的认证方式的过程可以参考步骤202中介绍的核心网设备获取第一终端对应的认证方式的过程。
一种具体的示例中,如果执行了步骤500b,AF向UDM指示第一终端对应的认证方式,则AMF可以基于第一终端的标识或者AF标识信息,从UDM处获取第一终端的上下文信息、第一终端的策略信息、第一终端的业务配置或第一终端的签约数据,从第一终端的上下文信息或第一终端的签约数据中获取第一终端对应的认证方式。或者,当AF未向UDM指示第一终端对应的认证方式时,可以理解为第一终端对应的认证方式为不执行认证。
另一种具体的示例中,如果未执行步骤500b,AMF可以基于AF的指示来获取第一终端对应的认证方式,例如第一信息中包括第一终端对应的认证方式,AMF基于第一信息,获取第一终端对应的认证方式。具体的,AMF可以从第一信息中包括的第一终端对应的安全策略信息中获取第一终端对应的认证方式。
针对AMF获取到的第一终端的认证方式为不执行认证的场景,一种可能的实现中,AMF无需执行与认证方式对应的流程;另一种可能的实现中,AMF可以基于第一终端的位置进行进一步判断,来确定最终的第一终端的认证方式。其中,AMF基于第一终端的位置进行进一步判断,来确定最终的第一终端的认证方式的过程,可以参考前文介绍的核心网设备基于第一终端的位置做进一步决策,来确定最终的第一终端的认证方式的过程,不再重复赘述。
步骤505与步骤506的先后顺序不进行限制。
步骤507:在需要认证的情况下,AMF执行第一终端对应的认证方式对应的流程。
AF与第一终端之间的交互消息可以通过RAN和/或核心网设备传输。
示例性的,第一终端对第一网络的单向认证的流程可以参考图3d的介绍,第一网络对第一终端的单向认证的流程可以参考图3e的介绍,第一终端与第一网络的双向认证的流程可以参考图3f的介绍。
步骤505与步骤507的先后顺序不进行限制。
步骤508:AMF向AF发送第一终端的信息。
步骤508与步骤506、步骤507的先后顺序不进行限制。
在第一终端对应的认证方式为不执行认证时,第一终端的信息包括第一终端的标识。
在第一终端对应的认证方式为第一终端对第一网络的单向认证(可以参考图3d介绍的认证流程)时,第一终端的信息包括第一终端的标识和/或第一随机数。
在第一终端对应的认证方式为第一网络对第一终端的单向认证(可以参考图3e介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、随机数、校验值(或密文信息)。
在第一终端对应的认证方式为第一终端与第一网络的双向认证(可以参考图3f介绍的认证流程)时,第一终端的信息包括以下的一项或多项:第一终端的标识、第一随机数、第二校验值(或第二密文信息)。
步骤509:AF向AMF发送接收成功的信息。
相应的,AMF接收来自AF的接收成功的信息。
其中,接收成功是指第一终端的信息接收成功。
步骤510:AMF向第一终端发送注册接受消息。
相应的,第一终端接收来自AMF的所述第一终端的注册接受消息。
可以理解的是,注册接受消息所代表的含义是第一终端接入成功,注册接受消息可以替换为第一终端接入成功的指示信息、或接入成功消息、或用于接入网络成功的响应消息、或用于注册网络成功的响应消,本申请对于该消息的名称不做限定。
在一种可能的实现中,AMF在接收来自第一终端的认证成功的信息后,向第一终端发送注册接受消息。该方式可以适用于第一终端对第一网络的单向认证当认证方式的场景。
在一种可能的实现中,AMF在基于随机数生成校验值(或密文信息)后,向第一终端发送注册接受消息,其中包括校验值(或密文信息)。该方式可以适用于第一终端对第一网络的单向认证的场景。
在一种可能的实现中,AMF在确定认证通过后,向第一终端发送注册接受消息。该方式可以适用于第一终端对第一终端的单向认证,或第一终端与第一终端的双向认证的场景。
在一种可选的示例中,当第一终端对应的认证方式为不执行认证时,AMF在接收到第一终端发送的注册请求消息(参考步骤505)后,可以跳过上述的步骤507、步骤508、步骤509,直接执行步骤510。AMF在确定无需执行认证流程时,AMF接收到注册请求消息后立刻向第一终端反馈注册接受消息,可以使第一终端快速接入核心网,可以减少信令交互和时延开销,提高第一终端的盘存效率、减少第一终端的功耗开销。
在一种可选的示例中,当第一终端对应的认证方式为不执行认证时,AMF在接收到第一终端发送的注册请求消息(参考步骤505)后,可以跳过上述的步骤507、步骤508、步骤509和步骤510。AMF在确定无需执行认证流程时,AMF接收到注册请求消息后无需向第一终端发送消息。接入网设备可以在向AMF转发步骤405的消息后,继续执行下一终端的随机接入流程。或者AMF可以在接收到注册请求消息后指示接入网设备执行下一终端的随机接入流程,且无需向第一终端发送消息。
在第一终端中未配置认证方式,第一终端与第一网络之间进行认证的场景中,具体的通信流程与图5介绍的通信流程有很多相同之处,与图5介绍的通信流程的不同之处包括:
在初始化过程(参考步骤500的介绍)中不包括在第一终端中配置认证方式。
AF向AMF指示的第一终端对应的认证方式,无需与初始化过程中在第一终端中预先配置的认证方式相同。AF可以按需或者动态地向AMF指示第一终端对应的认证方式,针对同一终端,AF在不同时间指示的认证方式可以是相同或不同的。
在第一终端随机接入成功后(参考步骤504),第一终端不能根据认证方式,确定是否向AMF发送随机数。一种可替换的方式为,第一终端中预先配置有随机数,则第一终端确定向AMF发送随机数,若未配置随机数,则不发送随机数。另一种可替换的方式为,AMF或RAN向第一终端指示,是否需要送随机数。例如AMF或RAN向第一终端发送第一终端对应的认证方式的信息,第一终端可以通过第一终端的认证方式的信息确定自身对应的认证方式,从而决定是否发送随机数。例如当认证方式为第一终端对第一网络的单向认证或第一终端与第一网络的双向认证时,第一终端需要发送随机数。例如,当认证方式为第一网络对第一终端的单向认证或不执行认证时,第一终端无需发送随机数。第一终端发送的随机数可以是第一终端随机生成的,也可以是预先配置在第一终端中的。
其它过程可以参考图5的介绍,不再重复赘述。
如图6所示,介绍了一种具体的通信流程示意图。该通信流程可以适用于请求方对第一终端的单向认证或第一网络对第一终端的单向认证,第一终端中可以预先配置认证方式,也可以未配置认证方式。在该示例中,以接入网设备为RAN、核心网设备为AMF、请求方为AF为例进行介绍。AMF与AF可以直接通信,也可以通过其它核心网设备(例如NEF、SMF、UPF等)进行通信,AMF与UDM可以直接通信,也可以通过其它核心网设备(例如NEF、SMF、UPF等)进行通信。
步骤600a:对第一终端进行初始化。
初始化过程可以理解为企业或者用户(请求方)对第一终端进行打印(预配置或者写入初始数据)。
初始化过程包括:在第一终端中配置(或写入)第一终端的标识。
初始化过程进一步还可以包括:在第一终端中配置或写入以下的一项或多项安全参数:第一终端对应的认证方式、安全密钥、随机数、安全算法、NAS安全策略、AS安全策略。
第一终端对应的认证方式可以为AF对第一终端的单向认证,或第一网络对第一终端的单向认证。
NAS安全策略可以包括加密保护和/或完整性保护;AS安全策略可以包括加密保护和/或完整性保护。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数),NAS安全策略可以用于确定是否需要执行NAS层的加密和/或完整性保护,AS安全策略可以用于确定是否需要执行AS层的加密和/或完整性保护。
另外,需要注意的是,第一终端可以更新预先配置信息,例如,更新预先配置的认证方式。
步骤600b:AF向UDM指示第一终端对应的认证方式。
若第一终端中预先配置有认证方式,AF向UDM指示的第一终端对应的认证方式与第一终端中预先配置的认证方式相同。
AF向UDM指示第一终端对应的认证方式的过程可以参考步骤500b中的介绍,不同之处包括,该示例中,第一终端对应的认证方式为第一网络或请求方对第一终端的单向认证,其余细节均可以参考步骤500b。
步骤600b为可选的步骤,也可以不执行步骤600b。
步骤601:AF向AMF发送第一信息,第一信息用于指示第一终端。
相应的,AMF接收来自AF的第一信息。
第一信息指示第一终端时,可以采用一种或多种方式,具体可以参考步骤201的介绍,不再重复赘述。
在一种可能的实现方式中,第一信息可以用于指示对第一终端执行第一操作。例如,第一信息包括第一操作的信息,通过第一操作的信息来指示第一操作。进一步可选的,第一信息还包括第一操作对应的操作参数。具体细节可以参考步骤201中的介绍,不再重复赘述。
在一种可能的实现中,AF向AMF指示第一终端对应的认证方式,该方式可以适用于未执行步骤600b的情景。示例性的,AF通过第一信息向AMF指示第一终端对应的认证方式。具体的,所述第一信息还用于指示所述第一终端对应的认证方式。当然,AF也可以通过不同于第一信息的其它信息向AMF指示第一终端对应的认证方式。如果在步骤600a的初始化过程中在第一终端中配置认证方式,则AF向AMF指示的第一终端对应的认证方式与步骤600a的初始化过程中在第一终端中预先配置的认证方式相同。第一终端对应的认证方式为请求方对第一终端的单向认证,或第一网络对第一终端的单向认证。
在一种可能的实现中,AF还可以向AMF发送随机数,该随机数作为用于执行认证的参数在认证流程中被使用。例如,在第一网络或请求方对第一终端的单向认证中,需要向第一终端发送随机数。示例性的,第一信息包括所述随机数。
在一种具体的示例中,第一终端对应的认证方式和/或随机数包含在第一终端对应的安全策略中。其中,安全策略可以包含在第一信息中,或其它不同于第一信息的其它信息中。
在一种可能的实现中,AF还可以向AMF发送安全密钥。安全密钥可以用于执行安全认证对应的流程中获取校验值或密文信息,或者采用安全密钥将校验值或密文信息解密来获取明文信息(例如随机数)。其中,安全密钥可以包含在第一信息中,或其它不同于第一信息的其它信息中。
可以理解的是,AF与AMF可以直接通信,也可以通过NEF或其它网元进行通信。
步骤602:AMF指示RAN执行第一终端的随机接入过程。
AMF与RAN之间可以通过N2消息进行交互。
步骤603:RAN根据AMF的指示执行第一终端的随机接入过程。
例如,RAN向第一终端发起随机接入信令,第一终端执行随机接入。
步骤604:在第一终端随机接入成功后,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息。
例如,第一终端根据初始化过程中的配置信息,确定向AMF发送的参数信息的过程包括以下多种:
第一终端根据预先配置的认证方式,确定是否向AMF发送随机数。例如,当认证方式为第一网络或请求方对第一终端的单向认证时,第一终端无需向AMF发送随机数。
或者,第一终端中预先配置有随机数,则第一终端确定向AMF发送随机数,若未配置随机数,则不向AMF发送随机数。
另一种可替换的方式为,AMF或RAN向第一终端指示,是否需要向AMF发送随机数。
步骤605:第一终端随机接入成功后,第一终端通过RAN向AMF发送注册请求消息,注册请求消息包括所述第一终端的标识。
相应的,AMF接收来自第一终端的注册请求消息。
可以理解的是,注册请求消息可以替换为接入消息、接入请求消息、或用于接入网络的请求消息、或用于注册网络的请求消息,本申请对于消息的名称不做限定。
步骤606:AMF获取第一终端对应的认证方式,即第一网络对第一终端的单向认证或请求方对第一终端的单向认证。
AMF获取第一终端对应的认证方式的过程可以参考步骤202中介绍的核心网设备获取第一终端对应的认证方式的过程。
一种具体的示例中,如果执行了步骤600b,AF向UDM指示第一终端对应的认证方式,则AMF可以基于第一终端的标识或者AF标识信息,从UDM处获取第一终端的上下文信息、第一终端的策略信息、第一终端的业务配置或第一终端的签约数据,从第一终端的上下文信息或第一终端的签约数据中获取第一终端对应的认证方式。或者,当AF未向UDM指示第一终端对应的认证方式时,可以理解为第一终端对应的认证方式为不执行认证。
另一种具体的示例中,如果未执行步骤600b,AMF可以基于AF的指示来获取第一终端对应的认证方式,例如第一信息中包括第一终端对应的认证方式,AMF基于第一信息,获取第一终端对应的认证方式。具体的,AMF可以从第一信息中包括的第一终端对应的安全策略信息中获取第一终端对应的认证方式。
步骤605与步骤606的先后顺序不进行限制。
步骤607:在需要认证的情况下,AMF执行第一终端对应的认证方式对应的流程。
AF与第一终端之间的交互消息可以通过RAN和/或核心网设备传输。
AF对第一终端的单向认证流程可以参考图3b的介绍,第一网络对第一终端的单向认证的流程可以参考图3e的介绍。
步骤605与步骤607的先后顺序不进行限制。
在一种具体的实现中,步骤607包括以下步骤:
步骤6071:AMF获取第一终端对应的随机数。
AMF获取随机数的方式包括以下几种:
方式1:接收AF发送的随机数。
方式2:从第一终端对应的第一上下文信息、或第一策略信息、或第一业务配置或者第一签约数据中获取随机数。第一终端对应的第一上下文信息、或第一策略信息、或第一业务配置或者第一签约数据通常保存在UDM、AUSF、NSSAAF、NEF、PCF、TMF、UDR中。
方式3:AMF自身生成随机数。例如,当AF向AMF发送的消息中未包括随机数时,AMF生成随机数。例如,当第一终端对应的第一上下文信息、或第一策略信息、或第一业务配置或者第一签约数据中未包括随机数时,AMF生成随机数。例如,AMF可以根据配置信息确定生成随机数。
步骤6072(与步骤32b1、步骤32b2、步骤32e相同):AMF向第一终端发送所述随机数,相应的,第一终端接收来自AMF的随机数。
在一种可能的实现中,随机数携带在AMF向第一终端发送的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
步骤6073(与步骤33b1、步骤33b2、步骤33e相同):第一终端基于所述随机数获取校验值或者密文信息。
例如,获取校验值或密文信息的过程包括:第一终端基于所述随机数和预配置的密钥,获取校验值或密文信息。一种可能的实现方式中,第一终端可以将所述随机数和预配置的密钥进行运算,获取校验值。另一种可能的实现方式中,第一终端采用预配置的密钥将所述随机数进行加密,获取密文信息。
步骤6074(与步骤34b1、步骤34b2、步骤34e类似):第一终端向AMF发送所述校验值或者密文信息。
相应的,AMF接收来自所述第一终端的校验值或者密文信息。
在一种可能的实现中,校验值或者密文信息携带在第一终端向AMF发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。进一步可选的,第一终端在向AMF发送校验值或密文信息时,也可以将随机数发送给AMF。当第一终端不向AMF发送随机数时,可以防止窃听者通过空口监听第一终端的随机数,可以提高安全性、可靠性。
步骤6075:若在步骤6074中第一终端未发送随机数,则AMF获取步骤6071中获取到的第一终端对应的随机数。
若第一终端对应的认证方式为请求方对第一终端的单向认证,可以执行步骤6076至步骤6078(可以参考图3b中的介绍)。
步骤6076(与步骤35b1、步骤35b2类似):AMF向AF发送所述校验值或密文信息。
相应的,AF接收来自AMF的校验值或密文信息。
可选的,AMF还可以向AF发送随机数,例如AMF在步骤6071中获取到的第一终端对应的随机数或步骤6074中来自第一终端的随机数。
在一种具体的示例中,AMF与AF之间通过NEF进行通信。AMF可以先向NEF发送随机数和校验值(或者密文信息),NEF再将随机数(可选的)和校验值(或者密文信息)发送给AF。一种可能的实现中,随机数(可选的)和校验值(或者密文信息)可以携带在AMF发送给NEF的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
步骤6077:AF基于所述随机数对所述校验值或者密文信息进行校验。
步骤6077的具体过程可以参考步骤36b1、步骤36b2,不再重复赘述。
步骤6078:AF向AMF发送认证成功或校验通过的信息。
相应的,AMF接收来自AF发送的认证成功或校验通过的信息。
在一种具体的示例中,AMF与AF之间通过NEF进行通信。AF可以先向NEF发送认证成功或校验通过的信息,NEF再将认证成功或校验通过的信息发送给AF。
一种可能的实现中,认证成功或校验通过的信息可以携带在NEF发送给AMF的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。
在目前的技术中,终端设备的随机数通常由认证方生成并发送给终端设备,而在该方式中,认证方为AF,由AMF自身生成针对第一终端的随机数并发送给终端设备,无需AF向AMF发送针对第一终端的随机数,可以节省信令开销。
若第一终端对应的认证方式为核心网设备对应的网络对第一终端的单向认证,可以执行步骤6079至步骤6081(可以参考图3e中的介绍)。步骤6079至步骤6081以UDM执行认证为例进行阐述,本申请不限制执行认证的核心网设备,可以是AUSF、NSSAAF、NEF、AAAserver等具有鉴权功能的设备。
步骤6079(与步骤36e相同):AMF向UDM发送校验值或密文信息(可选的,还包括随机数)。
相应的,UDM接收来自AMF的校验值或密文信息(可选的,还包括随机数)。
在一种可能的实现中,校验值或密文信息(可选的,还可以包括随机数)可以携带在AMF向UDM发送的请求(例如鉴权请求(Authentication Request)或者认证请求(Authorization Request))消息中。
步骤6080(与步骤37e相同):UDM基于随机数对校验值或密文信息进行校验。
步骤6080的具体过程可以参考步骤37e,不再重复赘述。
步骤6081:UDM向AMF发送认证成功或校验通过的信息。
相应的,AMF接收来自UDM发送的认证成功或校验通过的信息。
在一种可能的实现中,校验通过/认证成功的信息可以携带在UDM向AMF发送的响应(例如鉴权响应(Authentication Response)或者认证响应(Authorization Response))消息中。在目前的技术中,终端设备的随机数通常由认证方生成并发送给终端设备,而在该方式中,认证方为UDM,由AMF自身生成针对第一终端的随机数并发送给终端设备,无需UDM向AMF发送针对第一终端的随机数,可以节省信令开销。
步骤608:AMF向AF发送第一终端的信息。
步骤608与步骤606、步骤607的先后顺序不进行限制。
步骤609:AMF向第一终端发送注册接受消息。
相应的,第一终端接收来自AMF的注册接受消息。
步骤609与步骤608的先后顺序不进行限制。
可以理解的是,注册接受消息所代表的含义是第一终端接入成功,注册接受消息可以替换为第一终端接入成功的指示信息、或接入成功消息、或用于接入网络成功的响应消息、或用于注册网络成功的响应消,本申请对于该消息的名称不做限定。
前文介绍了本申请实施例的方法,下文中将介绍本申请实施例中的装置。方法、装置是基于同一技术构思的,由于方法、装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
本申请实施例可以根据上述方法示例,对装置进行功能模块的划分,例如,可以对应各个功能划分为各个功能模块,也可以将两个或两个以上的功能集成在一个模块中。这些模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,具体实现时可以有另外的划分方式。
基于与上述方法的同一技术构思,参见图7,提供了一种通信装置700结构示意图,该通信装置700可以包括以下的一项或多项:处理模块710、接收模块720a、发送模块720b、存储模块730。处理模块710可以分别与存储模块730和接收模块720a和发送模块720b相连,所述存储模块730也可以与接收模块720a和发送模块720b相连。
在一种示例中,上述的接收模块720a和发送模块720b也可以集成在一起,定义为收发模块。
在一种示例中,该通信装置700可以为核心网设备,也可以为应用于核心网设备中的芯片或功能单元。该通信装置700具有上述方法中核心网设备的任意功能,例如,该通信装置700能够执行上述图2、图3a、图3b、图3c、图3d、图3e、图3f、图4、图5、图6的方法中由核心网设备执行的各个步骤。
所述接收模块720a,可以执行上述方法实施例中核心网设备执行的接收动作。
所述发送模块720b,可以执行上述方法实施例中核心网设备执行的发送动作。
所述处理模块710,可以执行上述方法实施例中核心网设备执行的动作中,除发送动作和接收动作外的其它动作。
在一种示例中,所述接收模块720a,用于接收来自请求方的第一信息,所述第一信息用于指示第一终端;所述处理模块710,用于获取所述第一终端对应的认证方式,并执行与所述认证方式对应的流程。
在一种示例中,所述处理模块710,还用于获取所述第一终端的标识;所述发送模块720b,用于向所述请求方发送所述第一终端的标识。
在一种示例中,所述认证方式包括以下任一项:双向认证方式、单向认证方式。
在一种示例中,所述双向认证方式包括以下任一项:所述第一终端与所述请求方的双向认证、所述第一终端与所述核心网设备对应的第一网络的双向认证。
在一种示例中,所述单向认证方式包括以下任一项:所述请求方对所述第一终端执行的单向认证、所述核心网设备对应的第一网络对所述第一终端执行的单向认证、所述第一终端对所述请求方执行的单向认证、所述第一终端对所述核心网设备对应的第一网络执行的单向认证。
在一种示例中,当所述认证方式为所述第一终端对所述请求方执行的单向认证时,所述接收模块720a,还用于接收来自所述第一终端的随机数;所述发送模块720b,还用于向所述请求方发送所述随机数;所述接收模块720a,还用于接收来自所述请求方的校验值或密文信息;所述发送模块720b,还用于向所述第一终端发送所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述请求方对所述第一终端执行的单向认证时,所述接收模块720a,还用于接收来自所述请求方的随机数;所述发送模块720b,还用于向所述第一终端发送所述随机数;所述接收模块720a,还用于接收来自所述第一终端的校验值或密文信息;所述发送模块720b,还用于向所述请求方发送所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述请求方对所述第一终端执行的单向认证时,所述处理模块710,还用于获取随机数;所述发送模块720b,还用于向所述第一终端发送所述随机数;所述接收模块720a,还用于接收来自所述第一终端的校验值或密文信息;所述发送模块720b,还用于向所述请求方发送所述随机数、以及向请求方发送所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述第一终端与所述请求方的双向认证时,所述接收模块720a,还用于接收来自所述第一终端的随机数;所述发送模块720b,向所述请求方发送所述随机数;所述接收模块720a,还用于接收来自所述请求方的第一校验值或第一密文信息;所述发送模块720b,还用于向所述第一终端发送所述第一校验值或所述第一密文信息;所述接收模块720a,还用于接收来自所述第一终端的第二校验值或第二密文信息;所述发送模块720b,还用于向所述请求方发送所述第二校验值或所述第二密文信息。
在一种示例中,当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,所述接收模块720a,还用于接收来自所述第一终端的第一随机数;所述处理模块710,还用于获取第二随机数,并基于所述第一随机和所述第二随机数获取校验值或密文信息;所述发送模块720b,还用于向所述第一终端发送所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,所述接收模块720a,还用于接收来自所述第一终端的第一随机数;所述处理模块710,还用于基于所述第一随机获取校验值或密文信息;所述发送模块720b,还用于向所述第一终端发送所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,所述处理模块710,还用于获取随机数;所述发送模块720b,还用于向所述第一终端发送所述随机数;所述接收模块720a,还用于接收来自所述第一终端的校验值或密文信息;所述处理模块710,还用于基于所述随机数校验所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,所述处理模块710,还用于获取随机数;所述发送模块720b,还用于向所述第一终端发送所述随机数;所述接收模块720a,还用于接收来自所述第一终端的校验值或密文信息;所述发送模块720b,还用于向其它核心网设备发送所述随机数、以及其它核心网设备发送所述校验值或所述密文信息,以使所述其它核心网设备基于所述随机数校验所述校验值或所述密文信息。
在一种示例中,当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,所述接收模块720a,还用于接收来自所述第一终端的第一随机数;所述处理模块710,还用于获取第二随机数,并基于所述第一随机数和所述第二随机数获取第一校验值或第一密文信息;所述发送模块720b,还用于向所述第一终端发送所述第一校验值或所述第一密文信息;所述接收模块720a,还用于接收来自所述第一终端的第二校验值或第二密文信息;所述处理模块710,还用于基于所述第二随机数校验所述第二校验值或所述第二密文信息。
在一种示例中,当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,所述接收模块720a,还用于接收来自所述第一终端的第一随机数;所述处理模块710,还用于基于所述第一随机数获取第一校验值或第一密文信息;所述发送模块720b,还用于向所述第一终端发送所述第一校验值或所述第一密文信息,以及向第一终端发送第二随机数;所述接收模块720a,还用于接收来自所述第一终端的第二校验值或第二密文信息;所述处理模块710,还用于基于所述第二随机数校验所述第二校验值或所述第二密文信息。
在一种示例中,所述第一信息还用于指示所述第一终端对应的所述认证方式;所述处理模块710,具体用于根据所述第一信息,获取所述第一终端对应的认证方式。
在一种示例中,所述处理模块710,具体用于获取所述第一终端的第一上下文信息、或第一策略信息、或第一业务配置、或第一签约数据;其中,所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据包括所述第一终端的认证方式;基于所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据,获取所述第一终端对应的认证方式。
在一种示例中,所述处理模块710,具体用于获取所述请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据;其中,所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据包括所述请求方管理的一个或多个终端各自对应的认证方式,所述请求方管理的一个或多个终端包括所述第一终端;基于所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据,获取所述第一终端对应的认证方式。
在一种示例中,所述发送模块720b,还用于向所述第一终端发送所述认证方式的信息。
在一种示例中,所述接收模块720a,用于接收来自请求方的第一信息,所述第一信息用于指示第一终端;所述处理模块710,用于获取所述第一终端对应的认证方式,其中,所述第一终端对应的认证方式为不执行认证;确定所述第一终端的位置属于预设位置范围内;允许所述请求方或所述核心网设备对应的第一网络跳过所述第一终端的认证流程。
在一种示例中,所述处理模块710,还用于确定所述第一终端的位置在预设位置范围外;执行与配置的认证方式对应的流程,所述配置的认证方式用于认证接入所述核心网设备所在的网络的终端。
在一种示例中,所述第一终端的位置包括以下的一项或多项:第一终端的地理位置、对所述第一终端执行随机接入的第二终端的地理位置;所述预设位置范围为预设地理位置范围。
在一种示例中,所述第一终端的位置由第一标识表征,所述预设位置范围为预设标识范围;其中,第一标识包括以下的一项或多项:第一终端接入的接入网设备的标识、第一终端所在的小区的标识、第一终端所在的跟踪区的标识、第一终端接入的网络的标识、第一终端接入的切片的标识、第一终端接入的封闭接入组的标识、第二终端接入的接入网设备的标识、第二终端所在的小区的标识、第二终端所在的跟踪区的标识、第二终端接入的网络的标识、第二终端接入的切片的标识、第二终端接入的封闭接入组的标识,其中,所述第二终端为对所述第一终端执行随机接入的终端。
在一种示例中,所述发送模块720b,还用于向所述第一终端发送所述第一终端接入成功的指示信息。
在一种示例中,所述存储模块730,可以存储核心网设备执行的方法的计算机执行指令,以使处理模块710和接收模块720a和发送模块720b执行上述示例中核心网设备执行的方法。
示例的,存储模块可以包括一个或者多个存储器,存储器可以是一个或者多个设备、电路中用于存储程序或者数据的器件。存储模块可以是寄存器、缓存或者RAM等,存储模块可以和处理模块集成在一起。存储模块可以是ROM或者可存储静态信息和指令的其他类型的静态存储设备,存储模块可以与处理模块相独立。
所述收发模块可以是输入或者输出接口、管脚或者电路等。
作为一种可能的产品形态,装置可以由一般性的总线体系结构来实现。
如图8所示,提供了一种通信装置800的示意性框图。
该通信装置800可以包括以下的一项或多项:处理器810、收发器820、存储器830。该收发器820,可以用于接收程序或指令并传输至所述处理器810,或者,该收发器820可以用于该通信装置800与其他通信设备进行通信交互,比如交互控制信令和/或业务数据等。该收发器820可以为代码和/或数据读写收发器,或者,该收发器820可以为处理器与收发机之间的信号传输收发器。所述处理器810和所述存储器830之间电耦合。
一种示例中,该通信装置800可以为核心网设备,也可以为应用于核心网设备中的芯片。应理解,该装置具有上述方法中核心网设备的任意功能,例如,所述通信装置800能够执行上述图2、图3a、图3b、图3c、图3d、图3e、图3f、图4、图5、图6的方法中由核心网设备执行的各个步骤。示例的,所述存储器830,用于存储计算机程序;所述处理器810,可以用于调用所述存储器830中存储的计算机程序或指令,执行上述示例中核心网设备执行的方法,或者通过所述收发器820执行上述示例中核心网设备执行的方法。
图7中的处理模块710可以通过所述处理器810来实现。
图7中的接收模块720a和发送模块720b可以通过所述收发器820来实现。或者,收发器820分为接收器和发送器,接收器执行接收模块的功能,发送器执行发送模块的功能。
图7中的存储模块730可以通过所述存储器830来实现。
作为一种可能的产品形态,装置可以由通用处理器(通用处理器也可以称为芯片或芯片系统)来实现。
一种可能的实现方式中,实现应用于核心网设备的装置的通用处理器包括:处理电路(处理电路也可以称为处理器);可选的,还包括:与所述处理电路内部连接通信的输入输出接口、存储介质(存储介质也可以称为存储器),所述存储介质用于存储处理电路执行的指令,以执行上述示例中核心网设备执行的方法。
图7中的处理模块710可以通过处理电路来实现。
图7中的接收模块720a和发送模块720b可以通过输入输出接口来实现。或者,输入输出接口分为输入接口和输出接口,输入接口执行接收模块的功能,输出接口执行发送模块的功能。
图7中的存储模块730可以通过存储介质来实现。
作为一种可能的产品形态,本申请实施例的装置,还可以使用下述来实现:一个或多个FPGA(现场可编程门阵列)、PLD(可编程逻辑器件)、控制器、状态机、门逻辑、分立硬件部件、任何其它适合的电路、或者能够执行本申请通篇所描述的各种功能的电路的任意组合。
本申请实施例还提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被计算机执行时,可以使得所述计算机用于执行上述通信的方法。或者说:所述计算机程序包括用于实现上述通信的方法的指令。
本申请实施例还提供了一种计算机程序产品,包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机可以执行上述提供的通信的方法。
本申请实施例还提供了一种通信的系统,所述通信系统包括以下至少两项:执行上述通信的方法的核心网设备、第一终端、其他核心网设备、请求方。
另外,本申请实施例中提及的处理器可以是中央处理器(central processingunit,CPU),基带处理器,基带处理器和CPU可以集成在一起,或者分开,还可以是网络处理器(network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片或其他通用处理器。上述硬件芯片可以是专用集成电路(application-specific integratedcircuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)及其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等或其任意组合。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-OnlyMemory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DR RAM)。应注意,本申请描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例中提及的收发器中可以包括单独的发送器,和/或,单独的接收器,也可以是发送器和接收器集成一体。收发器可以在相应的处理器的指示下工作。可选的,发送器可以对应物理设备中发射机,接收器可以对应物理设备中的接收机。
本领域普通技术人员可以意识到,结合本文中所公开的实施例中描述的各方法步骤和单元,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各实施例的步骤及组成。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。

Claims (21)

1.一种通信方法,其特征在于,应用于核心网设备,包括:
接收来自请求方的第一信息,所述第一信息用于指示第一终端;
获取所述第一终端对应的认证方式;
执行与所述认证方式对应的流程。
2.如权利要求1所述的方法,其特征在于,在接收来自请求方的第一信息之后,还包括:
获取所述第一终端的标识,向所述请求方发送所述第一终端的标识。
3.如权利要求1或2所述的方法,其特征在于,所述认证方式包括以下任一项:
双向认证方式、单向认证方式。
4.如权利要求3所述的方法,其特征在于,所述双向认证方式包括以下任一项:
所述第一终端与所述请求方的双向认证、所述第一终端与所述核心网设备对应的第一网络的双向认证;或者,
所述单向认证方式包括以下任一项:
所述请求方对所述第一终端执行的单向认证、所述核心网设备对应的第一网络对所述第一终端执行的单向认证、所述第一终端对所述请求方执行的单向认证、所述第一终端对所述核心网设备对应的第一网络执行的单向认证。
5.如权利要求4所述的方法,其特征在于,执行与所述认证方式对应的流程,包括:
当所述认证方式为所述第一终端对所述请求方执行的单向认证时,接收来自所述第一终端的随机数,向所述请求方发送所述随机数;接收来自所述请求方的校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息;或者,
当所述认证方式为所述请求方对所述第一终端执行的单向认证时,接收来自所述请求方的随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向所述请求方发送所述校验值或所述密文信息;或者,
当所述认证方式为所述请求方对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向所述请求方发送所述随机数、以及向请求方发送所述校验值或所述密文信息;或者,
当所述认证方式为所述第一终端与所述请求方的双向认证时,接收来自所述第一终端的随机数,向所述请求方发送所述随机数;接收来自所述请求方的第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息;接收来自所述第一终端的第二校验值或第二密文信息,向所述请求方发送所述第二校验值或所述第二密文信息;或者,
当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,接收来自所述第一终端的第一随机数;获取第二随机数;并基于所述第一随机和所述第二随机数获取校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息;或者,
当所述认证方式为所述第一终端对所述核心网设备对应的第一网络执行的单向认证时,接收来自所述第一终端的第一随机数;并基于所述第一随机获取校验值或密文信息,向所述第一终端发送所述校验值或所述密文信息;或者,
当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,并基于所述随机数校验所述校验值或所述密文信息;或者,
当所述认证方式为所述核心网设备对应的第一网络对所述第一终端执行的单向认证时,获取随机数,向所述第一终端发送所述随机数;接收来自所述第一终端的校验值或密文信息,向其它核心网设备发送所述随机数、以及其它核心网设备发送所述校验值或所述密文信息,以使所述其它核心网设备基于所述随机数校验所述校验值或所述密文信息;或者,
当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,接收来自所述第一终端的第一随机数;获取第二随机数;并基于所述第一随机数和所述第二随机数获取第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息;接收来自所述第一终端的第二校验值或第二密文信息,并基于所述第二随机数校验所述第二校验值或所述第二密文信息;或者,
当所述认证方式为所述第一终端与所述核心网设备对应的第一网络的双向认证时,接收来自所述第一终端的第一随机数;并基于所述第一随机数获取第一校验值或第一密文信息,向所述第一终端发送所述第一校验值或所述第一密文信息,以及向第一终端发送第二随机数;接收来自所述第一终端的第二校验值或第二密文信息,并基于所述第二随机数校验所述第二校验值或所述第二密文信息。
6.如权利要求1-5任一项所述的方法,其特征在于,所述第一信息还用于指示所述第一终端对应的所述认证方式;所述获取所述第一终端对应的认证方式,包括:
根据所述第一信息,获取所述第一终端对应的认证方式。
7.如权利要求1-5任一项所述的方法,其特征在于,所述获取所述第一终端对应的认证方式,包括:
获取所述第一终端的第一上下文信息、或第一策略信息、或第一业务配置、或第一签约数据;其中,所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据包括所述第一终端的认证方式;
基于所述第一上下文信息、或所述第一策略信息、或所述第一业务配置、或所述第一签约数据,获取所述第一终端对应的认证方式。
8.如权利要求1-5任一项所述的方法,其特征在于,所述获取所述第一终端对应的认证方式,包括:
获取所述请求方的第二上下文信息、或第二策略信息、或第二业务配置、或第二签约数据;其中,所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据包括所述请求方管理的一个或多个终端各自对应的认证方式,所述请求方管理的一个或多个终端包括所述第一终端;
基于所述第二上下文信息、或所述第二策略信息、或所述第二业务配置、或所述第二签约数据,获取所述第一终端对应的认证方式。
9.如权利要求1-8任一项所述的方法,其特征在于,获取所述第一终端对应的认证方式之后,还包括:
向所述第一终端发送所述认证方式的信息。
10.一种通信方法,其特征在于,应用于核心网设备,包括:
接收来自请求方的第一信息,所述第一信息用于指示第一终端;
获取所述第一终端对应的认证方式,其中,所述第一终端对应的认证方式为不执行认证;
确定所述第一终端的位置属于预设位置范围内;
允许所述请求方或所述核心网设备对应的第一网络跳过所述第一终端的认证流程。
11.如权利要求10所述的方法,其特征在于,接收来自请求方的第一信息之后,还包括:
获取所述第一终端的标识,向所述请求方发送所述第一终端的标识。
12.如权利要求10或11所述的方法,其特征在于,还包括:
确定所述第一终端的位置在预设位置范围外;
执行与配置的认证方式对应的流程,所述配置的认证方式用于认证接入所述核心网设备所在的网络的终端。
13.如权利要求10-12任一项所述的方法,其特征在于,所述第一终端的位置包括以下的一项或多项:
第一终端的地理位置、对所述第一终端执行随机接入的第二终端的地理位置;
所述预设位置范围为预设地理位置范围。
14.如权利要求10-12任一项所述的方法,其特征在于,所述第一终端的位置由第一标识表征,所述预设位置范围为预设标识范围;其中,
第一标识包括以下的一项或多项:
第一终端接入的接入网设备的标识、第一终端所在的小区的标识、第一终端所在的跟踪区的标识、第一终端接入的网络的标识、第一终端接入的切片的标识、第一终端接入的封闭接入组的标识、第二终端接入的接入网设备的标识、第二终端所在的小区的标识、第二终端所在的跟踪区的标识、第二终端接入的网络的标识、第二终端接入的切片的标识、第二终端接入的封闭接入组的标识,其中,所述第二终端为对所述第一终端执行随机接入的终端。
15.如权利要求11-14任一项所述的方法,其特征在于,向所述请求方发送所述第一终端的标识之前,还包括:
向所述第一终端发送所述第一终端接入成功的指示信息。
16.一种通信装置,其特征在于,包括:实现如权利要求1-15任一项所述的方法的功能模块。
17.一种通信装置,其特征在于,包括处理器,所述处理器与存储器耦合;
所述存储器,用于存储计算机程序或指令;
所述处理器,用于执行所述存储器中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现如权利要求1-15任一项所述的方法。
18.一种通信装置,其特征在于,包括处理器和存储器;
所述存储器,用于存储计算机程序或指令;
所述处理器,用于执行所述存储器中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现如权利要求1-15任一项所述的方法。
19.一种芯片系统,其特征在于,所述芯片系统包括:处理电路;所述处理电路与存储介质耦合;
所述处理电路,用于执行所述存储介质中的部分或者全部计算机程序或指令,当所述部分或者全部计算机程序或指令被执行时,用于实现如权利要求1-15任一项所述的方法。
20.一种计算机可读存储介质,其特征在于,用于存储计算机程序,所述计算机程序包括用于实现权利要求1-15任一项所述的方法的指令。
21.一种计算机程序产品,其特征在于,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机执行如权利要求1-15任一项所述的方法。
CN202211174577.5A 2022-09-26 2022-09-26 一种通信方法及装置 Pending CN117768889A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211174577.5A CN117768889A (zh) 2022-09-26 2022-09-26 一种通信方法及装置
PCT/CN2023/118059 WO2024067046A1 (zh) 2022-09-26 2023-09-11 一种通信方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211174577.5A CN117768889A (zh) 2022-09-26 2022-09-26 一种通信方法及装置

Publications (1)

Publication Number Publication Date
CN117768889A true CN117768889A (zh) 2024-03-26

Family

ID=90317071

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211174577.5A Pending CN117768889A (zh) 2022-09-26 2022-09-26 一种通信方法及装置

Country Status (2)

Country Link
CN (1) CN117768889A (zh)
WO (1) WO2024067046A1 (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9832019B2 (en) * 2009-11-17 2017-11-28 Unho Choi Authentication in ubiquitous environment
KR102483832B1 (ko) * 2016-02-19 2023-01-03 삼성전자주식회사 생체 정보 기반 인증을 이용한 전자 장치들 간 연결 방법 및 장치
CN111865569B (zh) * 2019-04-28 2022-08-26 华为技术有限公司 一种密钥协商方法及装置
CN113269624A (zh) * 2021-05-08 2021-08-17 深圳微众信用科技股份有限公司 一种认证授权方法及装置

Also Published As

Publication number Publication date
WO2024067046A1 (zh) 2024-04-04

Similar Documents

Publication Publication Date Title
US11829774B2 (en) Machine-to-machine bootstrapping
US10243954B2 (en) Access network assisted bootstrapping
CN102215474B (zh) 对通信设备进行认证的方法和装置
US10219152B2 (en) Security architecture and solution for handling internet of things devices in a fifth generation system
CN113785532B (zh) 用于管理和验证证书的方法和装置
US20200382959A1 (en) User authentication in wireless access network
US20230421663A1 (en) Efficient resource representation exchange between service layers
US11991780B2 (en) Method, apparatus, and system for authorizing remote profile management
CN115004635A (zh) 签约信息获取方法及装置
WO2023143244A1 (zh) 终端管理方法和核心网设备
WO2024067046A1 (zh) 一种通信方法及装置
KR101643334B1 (ko) 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템
WO2024067047A1 (zh) 一种通信方法及装置
WO2023142569A1 (zh) 一种通信方法、装置、可读存储介质和芯片系统
WO2024092624A1 (en) Encryption key transfer method and device for roaming users in communication networks
WO2024119498A1 (zh) 电子标签信息的传输方法、装置、设备及存储介质
WO2022174399A1 (en) User equipment authentication and authorization procedure for edge data network
Salkintzis et al. 5G Network Enhancements to Support Ambient IoT Devices
CN117528476A (zh) 一种通信方法及装置
WO2023113660A1 (en) Methods, network node, user equipment, computer programs and carriers for handling a connection procedure
CN117793851A (zh) 一种通信方法及通信装置
CN116321083A (zh) 一种终端管理方法及装置
WO2017102249A1 (en) Authentication in wireless system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination