WO2018014630A1 - 一种网络认证方法、相关设备及系统 - Google Patents
一种网络认证方法、相关设备及系统 Download PDFInfo
- Publication number
- WO2018014630A1 WO2018014630A1 PCT/CN2017/083360 CN2017083360W WO2018014630A1 WO 2018014630 A1 WO2018014630 A1 WO 2018014630A1 CN 2017083360 W CN2017083360 W CN 2017083360W WO 2018014630 A1 WO2018014630 A1 WO 2018014630A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- shared key
- authentication
- service
- network
- target
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Definitions
- the embodiments of the present invention relate to the field of computer technologies, and in particular, to a network authentication method, related device, and system.
- the Internet of Things (English: Internet of Things, referred to as IoT) is an important application scenario of the fifth-generation mobile communication technology (English: 5th-Generation, 5G for short).
- the user equipment in the IoT needs to perform network authentication when accessing the 5G network. , thereby generating a shared key for secure transmission of network data.
- network authentication When a user equipment accesses a certain service through the network, it also needs to perform service authentication, thereby generating a shared key for protecting the secure transmission of service data.
- the principle of securely transmitting data based on shared keys is as follows:
- User 1 (User 1) and User 2 (User 2) share a symmetric key K in advance, also referred to as a shared key.
- the encryption technology based on the shared key K may be an Advanced Encryption Standard (English: Advanced Encryption Standard, AES), Triple Data Encryption Algorithm (3DES), Blowfish, Serpent, Snow 3G, ZUC, HC-256, Grain and other algorithms.
- the technology for generating the message authentication code based on the shared key K may be an Hash-based Message Authentication Code (HMAC), an OMAC, a CBC-MAC, a PMAC, a UMAC, and a VMAC.
- HMAC Hash-based Message Authentication Code
- the embodiment of the invention discloses a network authentication method, related device and system, which can improve the efficiency of network authentication and improve the security of network authentication.
- an embodiment of the present invention provides a network authentication system, where the system includes a user equipment, a network authentication device, and a service authentication device, where:
- the service authentication device is configured to acquire reference information and generate a second shared key in combination with the reference information and the first shared key, where the first shared key is in advance between the user equipment and the service authentication device.
- a shared key where the reference information includes at least one pre-associated information of the user equipment, the network authentication device, and the service authentication device;
- the user equipment is configured to acquire the reference information and generate the second shared key in combination with the reference information and the first shared key;
- the service authentication device is configured to send the second shared key to the network authentication device
- the network authentication device is configured to receive the second shared key, where the second shared key is used by the user equipment and the network authentication device to generate a target shared key, where the target shared key or the The shared key derived by the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the network authentication device and the user equipment are used to generate according to the second shared key or according to the second shared key
- the shared key performs network authentication to generate the target shared key.
- the network authentication device and the user equipment are configured to perform network authentication to generate a third shared key.
- the network authentication device and the user equipment are configured to generate the target shared key according to the second shared key or according to the shared key based on the second shared key, specifically:
- the network authentication device and the user equipment are configured to perform network authentication according to the second shared key to generate a fourth shared key
- the network authentication device and the user equipment are both configured to generate the target shared key according to the third shared key and the fourth shared key.
- the combining the reference information and the first shared key to generate a second shared key specifically:
- the service authentication device and the user equipment perform service authentication according to the reference information and the first shared key to generate a second shared key
- the network authentication device and the user equipment are configured to use the second shared key or a shared key derived based on the second shared key as the target shared key.
- the fourth possible implementation in the first aspect In conjunction with the first possible implementation of the first aspect, or the second possible implementation of the first aspect, or the third possible implementation of the first aspect, the fourth possible implementation in the first aspect In the way:
- the network authentication device is further configured to send the target shared key to the service authentication device;
- the service authentication device is configured to receive the target shared key
- the service authentication device and the user equipment are configured to use the target shared key or the shared key derived based on the target shared key as a secure transmission of protection data negotiated by the service authentication device and the user equipment. Shared key.
- the network authentication device and the user equipment are configured to perform network authentication to generate a third shared key.
- the combining the reference information and the first shared key to generate a second shared key specifically:
- the service authentication device and the user equipment perform service authentication by combining the reference information and the first shared key. Generating a second shared key;
- the network authentication device and the user equipment are both configured to generate the target shared key according to the second shared key and the third shared key; or the second shared key and the first The three shared keys are respectively used as the target shared key for protecting different types of data.
- the network authentication device and the user equipment are both configured to generate the target shared key according to the second shared key and the fifth shared key; or the second shared key and the fifth based
- the shared key-derived key is used as the target shared key for protecting different types of data
- the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the reference information includes a network parameter of a cellular network where the network authentication device is located, and the reference information and the first shared key are generated
- the second shared key is specifically:
- the service authentication device is further configured to use the second shared key as the target shared key.
- the service authentication device is configured to acquire a pre-configured fifth shared key between the user equipment and the network authentication device;
- the combining the reference information and the first shared key to generate a second shared key specifically:
- the network authentication device is configured to use the second shared key as the target shared key.
- the network authentication device is configured to acquire the first shared key from the service authentication device
- the network authentication device is configured to generate network side information according to the first shared key and the fifth shared key, where the fifth shared key is a pre-configured sharing between the user equipment and the network authentication device. Key
- the network authentication device is configured to send the network side information to the service authentication device;
- the service authentication device is configured to receive and forward the network side information to the user equipment
- the combining the reference information and the first shared key to generate a second shared key specifically:
- the network authentication device is configured to use the second shared key as the target shared key.
- the reference information includes a cellular network where the network authentication device is located At least one of a network parameter and a business parameter of a target service.
- the service parameter includes at least a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- the network parameter includes at least one of an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- the embodiment of the present invention provides a network authentication system, where the system includes a user equipment, a network authentication device, and a service authentication device, where:
- the service authentication device is configured to send the pre-stored service parameter of the target service to the network authentication device and the user device;
- the network authentication device and the user equipment are configured to receive the service parameter
- the network authentication device and the user equipment are both configured to generate a target shared key in combination with the service parameter and the original shared key, where the target shared key or the shared key derived based on the target shared key is And a shared key for securely transmitting the data that is negotiated between the network authentication device and the user equipment, where the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter shared by the user device in advance. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the network authentication device and the user equipment are used to generate a target shared key in combination with the service parameter and the original shared key, specifically :
- the network authentication device and the user equipment are both configured to generate a target shared key according to the service parameter and the original shared key;
- the network authentication device and the user equipment are both configured to generate an authentication shared key according to the service parameter and the original shared key, and perform network authentication according to the authentication shared key to generate a target shared key.
- the service parameter includes a service serial number of the target service, and a key management center At least one of an identifier, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- an embodiment of the present invention provides a network authentication system, where the system includes a user equipment, a network authentication device, and a service authentication device, where:
- the service authentication device is configured to acquire an identity identifier of the user equipment
- the service authentication device is configured to generate an identity key by combining the service public key, the service private key, and the identity identifier, and send the identity key and the service public key to the network authentication device;
- the network authentication device is configured to receive the identity key and the service public key, and generate an authentication root key according to the identity key, the service public key, and network parameters of a cellular network where the network authentication device is located. ;
- the network authentication device is configured to write the authentication root key to the user equipment
- the network authentication device and the user equipment are configured to perform network authentication generation target according to the authentication root key a shared key, the shared key derived based on the target shared key or a shared key for secure transmission of data protected by the network authentication device and the user equipment.
- the service authentication device sends the service public key and the identity key to the network authentication device, and the network authentication device generates the authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, and a bearer identifier. , at least one of a quality of service identifier and a stream identifier.
- a fourth aspect of the present invention provides a network authentication system, where the system includes a user equipment, a network authentication device, and a service authentication device, where:
- the service authentication device and the user equipment are configured to perform service authentication to generate a reference shared key, or the service authentication device and the user equipment are used to pre-configure a reference shared key;
- the service authentication device is configured to send the reference shared key to the network authentication device
- the network authentication device is configured to receive the reference shared key
- the network authentication device and the user equipment are configured to generate a target shared key in combination with the reference shared key, where the target shared key or a shared key derived based on the target shared key is the network authentication device A shared key that secures data transmission for negotiation with the user equipment.
- the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- a network parameter of the authentication device; the network authentication device and the user device generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network authentication device is configured to send network parameters of a cellular network where the network authentication device is located to the user equipment; And generating, by the user equipment, the target shared key by using the reference shared key, specifically:
- the network authentication device and the user equipment are both configured to generate an authentication shared key according to the network parameter and the reference shared key;
- the network authentication device and the user equipment are configured to perform network authentication according to the authentication shared key to generate a target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, and a local area network At least one of a network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the network authentication device is further configured to send the target shared key to the service authentication device;
- the service authentication device is configured to receive the target shared key
- the service authentication device and the user equipment are used to share the target shared key or the shared key derived based on the target shared key as a secure transmission of protection data negotiated by the service authentication device and the user equipment. Key.
- a fifth aspect of the present invention provides a service authentication device, where the service authentication device includes:
- a first acquiring unit configured to acquire reference information and generate a second shared key in combination with the reference information and the first shared key, where the first shared key is pre-configured between the user equipment and the service authentication device a shared key, the user equipment is configured to acquire the reference information, and generate the second shared key by using the reference information and the first shared key, where the reference information includes the user equipment, network authentication At least one pre-associated information between the device and the service authentication device;
- a sending unit configured to send the second shared key to the network authentication device, where the second shared key is used by the user equipment and the network authentication device to generate a target shared key, where the target is shared
- the key or the shared key derived based on the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the first acquiring unit in combination with the reference information and the first shared key, generates a second shared key, specifically:
- the method further includes:
- a first receiving unit configured to receive the target shared key sent by the network authentication device
- a generating unit configured to use the target shared key or the shared key derived based on the target shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the method further includes:
- a generating unit configured to use the second shared key or the shared key derived based on the second shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the method further includes:
- a second acquiring unit configured to acquire a pre-configured fifth shared key between the user equipment and the network authentication device
- the first acquiring unit generates a second shared key by combining the reference information and the first shared key, specifically:
- the method further includes:
- a second receiving unit configured to receive network side information generated by the network authentication device according to a network parameter of the cellular network where the network authentication device is located, and forward the network side information to the user equipment;
- the first acquiring unit generates a second shared key by combining the reference information and the first shared key, specifically:
- the reference information includes a network parameter of a cellular network where the network authentication device is located. And at least one of the business parameters of the target business.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, and a session identifier. At least one of a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier; the network parameter includes an operator identifier, an access network identifier, a service network identifier, and a network type. At least one of an identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- an embodiment of the present invention provides a user equipment, where the user equipment includes:
- An acquiring unit configured to acquire reference information and generate a second shared key in combination with the reference information and the first shared key;
- the first shared key is a pre-configured shared secret between the user equipment and the service authentication device a key
- the service authentication device is configured to acquire the reference information, and generate the second shared key by using the reference information and the first shared key, where the service authentication device is further configured to use the second
- the shared key is sent to the network authentication device;
- a generating unit configured to generate a target shared key according to the second shared key, where the target shared key or the shared key derived based on the target shared key negotiates with the user equipment for the network authentication device A shared key that securely transfers data.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the acquiring unit generates a target shared key according to the second shared key, specifically:
- the second shared key or a shared key derived based on the second shared key is used as the target shared key.
- the acquiring unit generates a target shared key according to the second shared key, specifically:
- the network authentication device is derived according to the second shared key or according to the second shared key
- the shared key is used for network authentication to generate a target shared key.
- the user equipment further includes:
- An authentication unit configured to perform network authentication with the network authentication device to generate a third shared key
- the acquiring unit and the network authentication device generate a target shared key according to the second shared key or according to the shared key derived based on the second shared key, specifically:
- the network authentication device performs network authentication according to the second shared key to generate a fourth shared key
- the generating unit generates a target shared key according to the second shared key, specifically:
- the generating unit generates a target shared key according to the second shared key, specifically:
- the target shared key of the data, and the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the acquiring unit in combination with the reference information and the first shared key, generates a second shared key, specifically:
- the fifth shared key is the user equipment and the network authentication A shared key pre-configured between the devices, where the service authentication device is configured to acquire the fifth shared key.
- the acquiring unit is configured to generate the reference information and the first shared key
- the second shared key is specifically:
- the service authentication device combines the reference information and the first shared key to perform service authentication to generate a second shared key.
- a first receiving unit configured to receive, by the service authentication device, network side information from the network authentication device, where the network side information is the network authentication device according to the fifth shared key and the first obtained a shared key generation, where the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device;
- the acquiring unit generates a second shared key by combining the reference information and the first shared key, specifically:
- the reference information includes at least one of a network parameter of a cellular network where the network authentication device is located and a service parameter of a target service.
- the method when the reference information includes the service parameter, the method further includes:
- a second receiving unit configured to receive the service parameter from the service authentication device that is forwarded by the network authentication device.
- the service parameter includes the target service At least one of a service serial number, a key management center identifier, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier;
- the network parameters include operations At least one of a quotient identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- the seventh aspect of the present invention provides a network authentication device, where the network authentication device includes:
- a receiving unit configured to receive a second shared key sent by the service authentication device, where the service authentication device and the user equipment are used to generate the second shared key by combining the first shared key and the reference information, where the first shared secret is
- the key is a pre-configured shared key between the user equipment and the service authentication device, and the reference information includes at least one pre-associated information of the user equipment, the network authentication device, and the service authentication device.
- a first generating unit configured to generate a target shared key according to the second shared key, where the target shared key or a shared key derived based on the target shared key is the network authentication device and the user The shared key negotiated by the device to securely transfer data.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the first generating unit generates a target shared key according to the second shared key, specifically:
- the method further includes:
- An authentication unit configured to perform network authentication with the user equipment to generate a third shared key
- the authentication unit and the user equipment according to the second shared key or according to the second shared secret performs network authentication to generate the target shared key, specifically:
- the user equipment generates the target shared key according to the third shared key and the fourth shared key.
- the first generating unit generates a target shared key according to the second shared key, specifically:
- the user equipment uses the second shared key or a shared key derived based on the second shared key as a target shared key.
- the first generating unit generates a target shared key according to the second shared key, specifically:
- the first generating unit generates a target shared key according to the second shared key, specifically:
- the target shared key is a pre-configured shared key between the user equipment and the network authentication device.
- An obtaining unit configured to acquire the first shared key from the service authentication device
- a second generating unit configured to generate network side information according to the first shared key and the fifth shared key, where the fifth shared key is a pre-configured sharing between the user equipment and the network authentication device Key
- the network authentication device sends the network side information to the service authentication device, so that the service authentication device forwards the network side information to the user equipment, where the network parameter belongs to the reference information.
- a sending unit configured to send the target shared key to the service authentication device, where the target shared key or a shared key derived based on the target shared key is used as the service authentication device and the user
- the shared key negotiated by the device to securely transfer data.
- the reference information includes at least one of a network parameter of a cellular network where the network authentication device is located and a service parameter of a target service.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, and a session identifier. At least one of a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier; the network parameter includes an operator identifier, an access network identifier, a service network identifier, and a network type. At least one of an identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the eighth aspect of the present invention provides a service authentication device, where the service authentication device includes:
- a sending unit configured to send the pre-stored service parameter of the target service to the network authentication device and the user equipment, so that the network authentication device and the user equipment generate a target shared key by combining the service parameter and the original shared key, And the shared key derived from the target shared key or the shared key based on the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment, where the original shared key is A pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, At least one of a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- a ninth aspect, the embodiment of the present invention provides a user equipment, where the user equipment includes:
- a receiving unit configured to receive a service parameter of a pre-stored target service sent by the service authentication device, where the service authentication device is further configured to send the service parameter to the network authentication device;
- a generating unit configured to generate, with the network authentication device, the target shared key by combining the service parameter and the original shared key, where the target shared key or the shared key derived based on the target shared key is the network And a shared key that is used by the authentication device to secure data transmission, and the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the generating unit and the network authentication device generate a target shared key by using the service parameter and the original shared key, specifically:
- the network authentication device performs network authentication according to the service parameter and the original shared key to generate a target shared key
- the service parameter includes a service serial number of the target service, and a key management center At least one of an identifier, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- the tenth aspect of the present invention provides a network authentication device, where the network authentication device includes:
- a receiving unit configured to receive a service parameter of a pre-stored target service sent by the service authentication device, where the service authentication device is further configured to send the service parameter to the user equipment;
- a generating unit configured to generate, with the user equipment, the target shared key by combining the service parameter and the original shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication
- a shared key for securely transmitting data that is negotiated by the device with the user equipment, where the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the generating unit and the user equipment generate a target shared key by using the service parameter and the original shared key, specifically:
- the user equipment performs network authentication according to the service parameter and the original shared key to generate a target shared key
- the service parameter includes a service serial number of the target service, and a key management center At least one of an identifier, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- an embodiment of the present invention provides a service authentication device, where the service authentication device includes
- An obtaining unit configured to acquire an identity of the user equipment
- a generating unit configured to generate an identity key by combining the service public key, the service private key, and the identity identifier, and send the identity key and the service public key to the network authentication device, where the identity is And the service public key is used by the network authentication device to generate a target shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and the user equipment A shared key that is negotiated to protect the secure transmission of data.
- the service authentication device sends the service public key and the identity key to the network authentication device by running the foregoing unit, and the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. and also That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the embodiment of the present invention provides a user equipment, where the user equipment includes:
- a generating unit configured to generate a target shared key by performing network authentication with the network authentication device according to the authentication root key, where the authentication root key is a service publicity of the network authentication device according to the identity key and the target service managed by the service authentication device a key generated by the key and the network parameter of the cellular network where the network authentication device is located and written into the user equipment, where the identity key is used by the service authentication device according to the service public key and the target service Generated by the service private key and the acquired identity of the user equipment, the service authentication device is configured to send the service public key and the identity private key to the network authentication device; the target shared key Or the shared key derived from the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the service authentication device sends the service public key and the identity key to the network authentication device by running the foregoing unit, and the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, At least one of a bearer identifier, a quality of service identifier, and a stream identifier.
- the embodiment of the present invention provides a network authentication device, where the network authentication device includes:
- a receiving unit configured to receive an identity key and a service public key of a target service managed by the service authentication device, where the identity key is a service private key, the service public key, and the service authentication device according to the target service The key generated by the identity of the user device;
- a generating unit configured to generate an authentication root key by combining the identity key, the service public key, and a network parameter of a cellular network where the network authentication device is located;
- a writing unit configured to write the authentication root key to the user equipment
- An authentication unit configured to generate a target shared key with the user equipment according to the authentication root key, where the target shared key or the shared key derived based on the target shared key is the network authentication A shared key for secure transmission of data protection negotiated by the device with the user equipment.
- the service authentication device sends the service public key and the identity key to the network authentication device by running the foregoing unit, and the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, At least one of a bearer identifier, a quality of service identifier, and a stream identifier.
- the embodiment of the present invention provides a service authentication device, where the service authentication device includes:
- An authentication unit configured to perform service authentication with the user equipment to generate a reference shared key, or the service authentication device and the user equipment pre-configure the reference shared key;
- a sending unit configured to send the reference shared key to the network authentication device, so that the network authentication device and the user equipment generate a target shared key in combination with the reference shared key, where the target shared key or The shared key derived based on the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the service authentication device After running the foregoing unit, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the method further includes:
- a receiving unit configured to receive the target shared key sent by the network authentication device
- a determining unit configured to use the target shared key, or the shared key derived based on the target shared key, as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the embodiment of the present invention provides a user equipment, where the user equipment includes:
- a configuration unit configured to perform service authentication with the service authentication device to generate a reference shared key, or the service authentication device and the user equipment pre-configure the reference shared key, where the service authentication device is configured to share the reference
- the key is sent to the network authentication device
- a generating unit configured to generate, with the network authentication device, the reference shared key to generate a target shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and A shared key for secure transmission of data protected by the user equipment.
- the service authentication device After running the foregoing unit, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the method further includes:
- a receiving unit configured to receive a network parameter of a cellular network where the network authentication device is sent by the network authentication device
- the generating unit and the network authentication device generate a target shared key by using the reference shared key, specifically:
- the network authentication device performs network authentication according to the authentication shared key to generate a target shared key.
- the network parameter includes at least one of an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- the embodiment of the present invention provides a network authentication device, where the network authentication device includes:
- a receiving unit configured to receive a reference shared key sent by the service authentication device, where the reference shared key is generated by the service authentication device and the user equipment, or pre-configured;
- a generating unit configured to generate, with the user equipment, the target shared key by using the reference shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and the A shared key for secure transmission of data protected by the user equipment.
- the service authentication device After running the foregoing unit, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network authentication device further includes:
- a first sending unit configured to send network parameters of a cellular network where the network authentication device is located to the user equipment
- the generating unit and the user equipment generate a target shared key in combination with the reference shared key, specifically:
- the user equipment performs network authentication according to the authentication shared key to generate a target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, and a network type identifier. At least one of a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the network authentication device also includes:
- a second sending unit configured to send the target shared key to the service authentication device, so that the service authentication device uses the target shared key or a shared key derived based on the target shared key as A shared key for securely transmitting data protected by the service authentication device and the user equipment.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the service authentication device obtains the reference information and generates a second shared key in combination with the reference information and the first shared key, where the first shared key is a pre-configured shared key between the user equipment and the service authentication device.
- the user equipment is configured to acquire the reference information, and generate the second shared key by using the reference information and the first shared key, where the reference information includes the user equipment, a network authentication device, and the At least one pre-associated information in the service authentication device;
- the service authentication device sends the second shared key to the network authentication device, where the second shared key is used by the user equipment and the network authentication device to generate a target shared key, where the target is shared.
- the key or the shared key derived based on the target shared key is used to protect data security negotiated by the network authentication device and the user equipment The shared key of the transfer.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the generating the second shared key by combining the reference information and the first shared key includes:
- the service authentication device and the user equipment perform service authentication in combination with the reference information and the first shared key to generate a second shared key.
- the service authentication device sends the second shared key to After the network authentication device, the method further includes:
- the service authentication device uses the target shared key or the shared key derived based on the target shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the service authentication device obtains reference information and combines the reference information and After the first shared key generates the second shared key, the method further includes:
- the service authentication device uses the second shared key or the shared key derived based on the second shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the method before the generating the second shared key by using the reference information and the first shared key, the method further includes:
- the service authentication device acquires a pre-configured fifth shared key between the user equipment and the network authentication device;
- the generating the second shared key by combining the reference information and the first shared key includes:
- the method before the generating the second shared key by using the reference information and the first shared key, the method further includes:
- the service authentication device receives the network side information generated by the network authentication device according to the network parameter of the cellular network where the network authentication device is located, and forwards the network side information to the user equipment;
- the generating the second shared key by combining the reference information and the first shared key includes:
- the reference information includes at least one of a network parameter of a cellular network where the network authentication device is located and a service parameter of a target service.
- the service parameter includes a service serial number of the target service, an identifier of a key management center, At least one of a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier;
- the network parameter includes an operator identifier, an access network identifier, and a service network identifier, At least one of a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- an embodiment of the present invention provides a network authentication method, where the method includes:
- the user equipment acquires reference information and generates a second shared key in combination with the reference information and the first shared key;
- the first shared key is a pre-configured shared key between the user equipment and the service authentication device.
- the service authentication device is configured to acquire the reference information and generate the second shared key in combination with the reference information and the first shared key, where the service authentication device is further configured to use the second shared key Send to the network authentication device;
- a shared key that securely transfers data.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the user equipment in conjunction with the eighteenth aspect, in a first possible implementation of the eighteenth aspect, the user equipment generates a target shared key according to the second shared key, including:
- the user equipment uses the second shared key or a shared key derived based on the second shared key as the target shared key.
- the user equipment In conjunction with the eighteenth aspect, in a second possible implementation of the eighteenth aspect, the user equipment generates a target shared key according to the second shared key, including:
- the user equipment and the network authentication device generate a target shared key according to the second shared key or according to a shared key derived based on the second shared key.
- the user equipment and the network authentication device are based on the second shared key or Before the second shared key-derived shared key is used for network authentication to generate a target shared key, the method further includes:
- the user equipment and the network authentication device perform network authentication to generate a third shared key
- the user equipment and the network authentication device generate a target shared key according to the second shared key or according to the shared key based on the second shared key, including:
- the user equipment and the network authentication device perform network authentication according to the second shared key to generate a fourth shared key.
- the user equipment generates the target shared key according to the third shared key and the fourth shared key.
- the user equipment in conjunction with the eighteenth aspect, in a fourth possible implementation of the eighteenth aspect, the user equipment generates a target shared key according to the second shared key, including:
- the user equipment and the network authentication device perform network authentication to generate a third shared key
- the user equipment In conjunction with the eighteenth aspect, in a fifth possible implementation of the eighteenth aspect, the user equipment generates a target shared key according to the second shared key, including:
- the target shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the generating the second shared key by combining the reference information and the first shared key includes:
- the fifth shared key is the user equipment and the network authentication A shared key pre-configured between the devices, where the service authentication device is configured to acquire the fifth shared key.
- the generating the second shared key by combining the reference information and the first shared key includes:
- the user equipment and the service authentication device perform service authentication in combination with the reference information and the first shared key to generate a second shared key.
- the eighth possible aspect of the eighteenth aspect The method further includes: before the generating the second shared key by combining the reference information and the first shared key, the method further includes:
- the network side information is the first shared key that is obtained by the network authentication device according to the fifth shared key Generating, the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device;
- the generating the second shared key by combining the reference information and the first shared key includes:
- the reference information includes at least one of a network parameter of the cellular network in which the network authentication device is located and a service parameter of the target service.
- the method when the reference information includes the service parameter, the combining the reference information and the Before the shared key generates the second shared key, the method further includes:
- the user equipment receives the service parameter from the service authentication device forwarded by the network authentication device.
- the service parameter includes At least one of a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier;
- the network parameter includes at least one of an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the network authentication device receives the second shared key that is sent by the service authentication device, and the service authentication device and the user equipment are used to generate the second shared key by combining the first shared key and the reference information, where the first shared key is a pre-configured shared key between the user equipment and the service authentication device, where the reference information includes at least one pre-associated information of the user equipment, the network authentication device, and the service authentication device;
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the network authentication device generates a target shared key according to the second shared key, including:
- the network authentication device and the user equipment generate the target shared key according to the second shared key or according to a network generated based on the shared key derived by the second shared key.
- the network authentication device and the user equipment are based on the second shared key or Before the second shared key-derived shared key is used for network authentication to generate the target shared key, the method further includes:
- the network authentication device and the user equipment perform network authentication to generate a third shared key
- the network authentication device and the user equipment generate the target shared key according to the second shared key or the network authentication based on the shared key based on the second shared key, including:
- the network authentication device and the user equipment perform network authentication according to the second shared key to generate a fourth total Achievement the key;
- the network authentication device and the user equipment both generate the target shared key according to the third shared key and the fourth shared key.
- the network authentication device generates a target shared key according to the second shared key, including:
- the network authentication device and the user equipment use the second shared key or a shared key derived based on the second shared key as a target shared key.
- the network authentication device generates a target shared key according to the second shared key, including:
- the network authentication device and the user equipment perform network authentication to generate a third shared key
- the network authentication device and the user equipment generate the target shared key according to the second shared key and the third shared key; or the second shared key and the third shared secret
- the keys are respectively used as the target shared key for protecting different types of data.
- the network authentication device generates a target shared key according to the second shared key, including:
- the network authentication device and the user equipment generate the target shared key according to the second shared key and the fifth shared key; or the second shared key and the fifth shared key
- the derived key is used as the target shared key for protecting different types of data
- the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the method further includes:
- the network authentication device acquires the first shared key from the service authentication device
- the network authentication device generates network side information according to the first shared key and the fifth shared key, where the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device. ;
- the network authentication device sends the network side information to the service authentication device, so that the service authentication device forwards the network side information to the user equipment, where the network parameter belongs to the reference information.
- the method further includes:
- the reference information includes the network authentication At least one of a network parameter of the cellular network in which the device is located and a service parameter of the target service.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, At least one of a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier;
- the network parameter includes an operator identifier, an access network identifier, and a service network identifier, At least one of a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the service authentication device sends the pre-stored service parameter of the target service to the network authentication device and the user device, so that the network authentication device and the user device generate a target shared key by combining the service parameter and the original shared key, a shared key, or a shared key derived from the target shared key, is a shared key for secure transmission of data protected by the network authentication device and the user equipment, where the original shared key is the user equipment A pre-configured shared key with the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that are shared by the user device in advance. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, and an application. At least one of an identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- an embodiment of the present invention provides a network authentication method, where the method includes:
- the user equipment receives the service parameter of the pre-stored target service sent by the service authentication device, where the service authentication device is further configured to send the service parameter to the network authentication device;
- the user equipment and the network authentication device generate a target shared key in combination with the service parameter and the original shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication.
- a shared key for securely transmitting data that is negotiated by the device with the user equipment, where the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that are shared by the user device in advance. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the user equipment and the network authentication device generate a target shared key by using the service parameter and the original shared key, including :
- the user equipment and the network authentication device perform network authentication according to the service parameter and the original shared key to generate a target shared key;
- the user equipment and the network authentication device generate an authentication shared key according to the service parameter and the original shared key, and perform network authentication according to the authentication shared key to generate a target shared key.
- the service parameter includes a service sequence of the target service At least one of the number, the identity of the key management center, the session identifier, the link identifier, the application identifier, the service identifier, the service level, the service data rate, the delay, and the service server identifier.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the network authentication device receives the service parameter of the pre-stored target service sent by the service authentication device, and the service authentication device is further configured to send the service parameter to the user equipment;
- the network authentication device and the user equipment generate a target shared key in combination with the service parameter and the original shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication.
- a shared key for securely transmitting data that is negotiated by the device with the user equipment, where the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that are shared by the user device in advance. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the network authentication device and the user equipment generate a target shared key by using the service parameter and the original shared key, including :
- the network authentication device and the user equipment perform network authentication according to the service parameter and the original shared key to generate a target shared key;
- the network authentication device and the user equipment generate an authentication shared key according to the service parameter and the original shared key, and perform network authentication according to the authentication shared key to generate a target shared key.
- the service parameter includes a service sequence of the target service At least one of the number, the identity of the key management center, the session identifier, the link identifier, the application identifier, the service identifier, the service level, the service data rate, the delay, and the service server identifier.
- an embodiment of the present invention provides a network authentication method, where the method includes:
- the service authentication device acquires the identity of the user equipment
- the service authentication device generates an identity key by combining the service public key, the service private key, and the identity identifier, and sends the identity key and the service public key to the network authentication device, where the identity is dense.
- the service public key is used by the network authentication device to generate a target shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and the user equipment A shared key that is negotiated to protect the secure transmission of data.
- the service authentication device sends the service public key and the identity key to the network authentication device by performing the foregoing steps.
- the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key, and the network authentication device further performs network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the user equipment and the network authentication device perform network authentication according to the authentication root key to generate a target shared key, where the authentication root key is a service public key and a service of the target authentication service managed by the network authentication device according to the identity key and the service authentication device.
- the service authentication device is configured to send the service public key and the identity private key to the network authentication device; the target shared key or based on the
- the shared key derived by the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the service authentication device sends the service public key and the identity key to the network authentication device, and the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, and a slice At least one of an identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- an embodiment of the present invention provides a network authentication method, where the method includes:
- the network authentication device receives the identity key and the service public key of the target service managed by the service authentication device, where the identity key is the service private key of the service authentication device according to the target service, the service public key, and the acquired user.
- the key generated by the identity of the device is the identity key and the service public key of the target service managed by the service authentication device, where the identity key is the service private key of the service authentication device according to the target service, the service public key, and the acquired user.
- the network authentication device generates an authentication root key by combining the identity key, the service public key, and a network parameter of a cellular network where the network authentication device is located;
- the network authentication device and the user equipment perform network authentication according to the authentication root key to generate a target shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication.
- the service authentication device sends the service public key and the identity key to the network authentication device, and the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key.
- the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes At least one of an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- the embodiment of the present invention provides a network authentication method, including:
- the service authentication device and the user equipment perform service authentication to generate a reference shared key, or the service authentication device and the user equipment pre-configure the reference shared key;
- the service authentication device After performing the foregoing steps, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the method further includes:
- the service authentication device uses the target shared key or the shared key derived based on the target shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the user equipment and the service authentication device perform service authentication to generate a reference shared key, or the service authentication device and the user equipment pre-configure the reference shared key, where the service authentication device is configured to send the reference shared key Give the network authentication equipment;
- the user equipment and the network authentication device generate a target shared key in combination with the reference shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication device and the A shared key for secure transmission of data protected by the user equipment.
- the service authentication device After performing the foregoing steps, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the method before the user equipment and the network authentication device generate a target shared key in combination with the reference shared key, also includes:
- the user equipment and the network authentication device generate a target shared key in combination with the reference shared key, including:
- the user equipment and the network authentication device generate an authentication shared key according to the network parameter and the reference shared key
- the user equipment and the network authentication device perform network authentication according to the authentication shared key to generate a target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, and a network At least one of a type identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the embodiment of the present invention provides a network authentication method, where the method includes:
- the network authentication device receives the reference shared key sent by the service authentication device, and the reference shared key is generated or pre-configured by the service authentication device and the user device for service authentication;
- the network authentication device and the user equipment generate a target shared key in combination with the reference shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication device and the A shared key for secure transmission of data protected by the user equipment.
- the service authentication device After performing the foregoing steps, the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the network authentication device to the user equipment.
- the network authentication device and the user equipment generate an authentication shared key according to the reference shared key and the network parameter, and perform network authentication to generate a target shared key based on the authentication shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the method before the network authentication device and the user device generate a target shared key in combination with the reference shared key, the method also includes:
- the network authentication device sends the network parameter of the cellular network where the network authentication device is located to the user equipment;
- the network authentication device and the user equipment generate a target shared key in combination with the reference shared key, including:
- the network authentication device and the user equipment perform network authentication according to the authentication shared key to generate a target shared key.
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, and a network At least one of a type identifier, a local area network identifier, a slice identifier, a bearer identifier, a quality of service identifier, and a stream identifier.
- the method further includes:
- the target shared key Sending, by the network authentication device, the target shared key to the service authentication device, so that the service authentication device uses the target shared key or a shared key derived based on the target shared key as the A shared key for secure transmission of data protection negotiated by the service authentication device and the user equipment.
- the embodiment of the present invention provides a service authentication device, where the service authentication device includes a processor And a memory for storing programs and data; the processor invoking a program in the memory for performing a functional unit of all or part of the steps of the seventeenth or seventeenth aspect.
- an embodiment of the present invention provides a user equipment, where the user equipment includes a processor and a memory, where the memory is used to store a program and data, and the processor invokes a program in the memory to execute the first A functional unit of all or part of the steps of any of the eighteenth or eighteenth aspects.
- an embodiment of the present invention provides a network authentication device, where the network authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor invokes a program in the memory.
- a functional unit that performs all or part of the steps in any of the nineteenth or nineteenth aspects.
- an embodiment of the present invention provides a service authentication device, where the service authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory.
- a functional unit that performs all or part of the steps of any of the twentieth or twentieth aspects.
- an embodiment of the present invention provides a user equipment, where the user equipment includes a processor and a memory, where the memory is used to store a program and data; and the processor invokes a program in the memory for executing A twenty-first aspect or a functional unit of all or part of any of the implementations of the twenty-first aspect.
- an embodiment of the present invention provides a network authentication device, where the network authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor invokes a program in the memory.
- a functional unit that performs all or part of the steps of any one of the twenty-second aspect or the twenty-second aspect.
- an embodiment of the present invention provides a service authentication device, where the service authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory.
- a functional unit that performs all or part of the steps of any of the twenty-third aspect or the twenty-third aspect.
- an embodiment of the present invention provides a user equipment, where the user equipment includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory for execution.
- the user equipment includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory for execution.
- an embodiment of the present invention provides a network authentication device, where the network authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory.
- a functional unit that performs all or part of the steps of any of the twenty-fifth or twenty-fifth aspects.
- an embodiment of the present invention provides a service authentication device, where the service authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor calls a program in the memory.
- a functional unit that performs all or part of the steps of any of the twenty-sixth or twenty-sixth aspects.
- an embodiment of the present invention provides a user equipment, where the user equipment includes a processor and a memory, where the memory is used to store programs and data, and the processor invokes a program in the memory for execution.
- the user equipment includes a processor and a memory, where the memory is used to store programs and data, and the processor invokes a program in the memory for execution.
- an embodiment of the present invention provides a network authentication device, where the network authentication device includes a processor and a memory, where the memory is used to store programs and data, and the processor invokes a program in the memory for A functional unit that performs all or part of the steps of the twenty-eighth aspect or any of the twenty-eighth aspects.
- the network authentication device includes an authentication function unit CP-AU, and the network authentication device and the user equipment are used according to the second shared key or according to the second Generating a key-derived shared key for network authentication to generate the target shared key, the network authentication device and the user setting
- the device is configured to generate the target shared key by performing network authentication according to the second shared key, specifically:
- the UE sends a message requesting access to the network to the CP-AU, where the message requesting access to the network includes the identity identifier of the UE and the service identifier of the target service, where the target service is a service currently performed by the UE;
- the CP-AU Receiving, by the CP-AU, the message requesting access to the network, acquiring a second shared key according to the identity identifier and the service identifier, and requesting, from the subscription server, an authentication vector generated based on the preset key, the pre- The key is a key shared by the UE in advance with the subscription server;
- the CP-AU receives the authentication vector sent by the subscription server, where the authentication vector includes a message authentication code and an expected response, and the message authentication code included in the authentication vector is a network side initial message authentication code, The expected response contained in the authentication vector is the initial expected response;
- the CP-AU calculates the second reference key and the network side initial message authentication code by using a preset message authentication code algorithm to obtain a service reference message authentication code, and sends an authentication request message to the UE.
- the authentication request message includes the service reference message authentication code;
- the UE generates a message authentication code and a response according to the preset key by using an authentication and key agreement protocol AKA, and the generated message authentication code is a user-side initial message authentication code and the generated response is an initial response, and And calculating, by using the preset message authentication code algorithm, the second shared key and the user-side initial message authentication code to obtain a user-side reference message authentication code, where the second shared key used by the UE is the The UE obtains according to the identity identifier of the UE and the service identifier, or the UE stores the second shared key in advance;
- the UE processes the second shared key and the initial response by using a preset response algorithm to obtain a reference response;
- the CP-AU receives the reference response
- the CP-AU and the UE process the preset base key and the second shared key using the same key generation algorithm to obtain a target shared key.
- the base key is a key generated based on the preset key and network parameters.
- the network authentication device includes a CP-AU, and the user equipment UE performs the network authentication device according to the second shared key or according to the second shared key.
- the network authentication device In the operation of generating a target shared key by using the generated shared key, the network authentication device generates a target shared key according to the second shared key, specifically:
- the message requesting access to the network includes an identity identifier of the UE and a service identifier of the target service, where the target service is a service currently performed by the UE;
- the AU is configured to receive the message requesting access to the network, acquire a second shared key according to the identity identifier and the service identifier, and request an authentication vector generated by the preset key from the subscription server, where the preset The key is the UE and the contracted service a pre-shared key;
- the CP-AU is further configured to receive the authentication vector sent by the subscription server, where the authentication vector includes a message authentication code and an expected response, and the message vector includes the message authentication
- the code is a network side initial message authentication code, and the expected response included in the authentication vector is an initial expected response;
- the CP-AU is further configured to use the preset message authentication code algorithm to the second shared key and the The network side initial message authentication code is calculated to obtain a service reference message authentication code, and sends an authentication request
- the generated message authentication code is a user-side initial message authentication code
- the generated response is an initial response
- the The preset message authentication code algorithm calculates the second shared key and the user-side initial message authentication code to obtain a user-side reference message authentication code
- the second shared key used by the UE is the UE according to the UE.
- the identity identifier and the service identifier are obtained, or the UE pre-stores the second shared key;
- the CP-AU is configured to receive the reference response and determine whether the reference expected response is the same as the reference response;
- the same key generation algorithm is used to process the preset base key and the second shared key with the CP-AU to obtain a target shared key.
- the network authentication device includes a CP-AU
- the user equipment is based on the second shared key or according to a shared key derived based on the second shared key.
- the UE Receiving, by the UE, a message requesting access to the network, acquiring a second shared key according to the identity identifier and the service identifier, and requesting, from the subscription server, an authentication vector generated based on the preset key, where the preset key is a key that is shared by the UE in advance with the subscription server; the message requesting access to the network includes the identity identifier of the UE and the service identifier of the target service, where the target service is a service currently performed by the UE ;
- the authentication vector includes a message authentication code and an expected response
- the message authentication code included in the authentication vector is a network side initial message authentication code
- the authentication vector includes an expectation The response is an initial expected response
- the second shared key and the network side initial message authentication code are calculated by using a preset message authentication code algorithm to obtain a service reference message authentication code, and an authentication request message is sent to the UE, where the authentication request message is sent.
- the service reference message authentication code the UE is configured to receive the authentication request message and generate a message authentication code and a response according to the preset key by using an authentication and key agreement protocol AKA, and the generated message authentication code
- the user side initial message authentication code and the generated response are initial responses, and the second shared key and the user side initial message authentication code are calculated by the preset message authentication code algorithm to obtain a user side.
- the UE makes The used second shared key is obtained by the UE according to its own identity and the service identifier, or the UE pre-stores the second shared key;
- the UE is further configured to determine whether the user side reference message authentication code is the same as the service reference message authentication code; and the UE is configured to use the preset response algorithm to the second shared secret when determining the same Processing the key and the initial response to obtain a reference response; the UE is further configured to send the reference response to the CP-AU;
- the UE uses the same key generation algorithm to process the preset base key and the second shared key to obtain a target shared key.
- the base key is a key generated based on the preset key and network parameters.
- the network authentication device includes an authentication function unit CP-AU, and the network authentication device and the user equipment UE are used according to the second shared key or according to the foregoing
- the second shared key-derived shared key is used for network authentication to generate the target shared key, and the network authentication device and the user equipment are configured to perform network authentication according to the second shared key to generate the target shared secret.
- Key specifically:
- the UE sends a message to the CP-AU to access the network, where the message of the access network includes the identity identifier of the UE and the service identifier of the target service, where the target service is a service currently performed by the UE;
- the CP-AU Receiving, by the CP-AU, the message of the access network, acquiring a second shared key according to the identity identifier and the service identifier, and requesting, from the subscription server, an authentication vector generated based on the preset key, the preset
- the key is a key shared by the UE in advance with the subscription server;
- the CP-AU receives the authentication vector sent by the subscription server, where the authentication vector includes a message authentication code and an expected response, and the message authentication code included in the authentication vector is a network side initial message authentication code, The expected response contained in the authentication vector is the initial expected response;
- the CP-AU calculates the second shared key by using a preset first message authentication code algorithm to obtain a network side additional message authentication code, and sends an authentication request message to the UE, where the authentication request message includes the a network side additional message authentication code and the network side initial message authentication code;
- the UE generates a message authentication code and a response according to the preset key by using an authentication and key agreement protocol AKA, and the generated message authentication code is a user-side initial message authentication code and the generated response is an initial response, and Calculating the second shared key by using the preset first message authentication code algorithm to obtain a user-side additional message authentication code, where the second shared key used by the UE is the identity identifier of the UE according to its identity Obtaining the service identifier, or the UE pre-stores the second shared key;
- the UE processes the second shared key by using a preset second message authentication code algorithm to obtain a user side response message authentication code.
- the CP-AU receives the reference response and the user side response message authentication code
- the CP-AU processes the second shared key by using the preset second message authentication code algorithm to obtain a network side response message authentication code
- the CP-AU and the UE process the preset base key and the second shared key using the same key generation algorithm to obtain a target shared key.
- the network authentication device includes a CP-AU, and the user equipment UE performs the network authentication device according to the second shared key or according to the second shared key.
- the network authentication device In the operation of generating a target shared key by using the generated shared key, the network authentication device generates a target shared key according to the second shared key, specifically:
- the CP-AU Transmitting a message of the access network to the CP-AU, where the message of the access network includes an identity identifier of the UE and a service identifier of the target service, where the target service is a service currently performed by the UE; the CP-AU And receiving the message of the access network, acquiring a second shared key according to the identity identifier and the service identifier, and requesting, from the subscription server, an authentication vector generated based on the preset key, where the preset key is a key shared by the UE in advance with the subscription server; the CP-AU is further configured to receive the authentication vector sent by the subscription server, where the authentication vector includes a message authentication code and an expected response, the authentication vector The message authentication code included is a network side initial message authentication code, and the expected response included in the authentication vector is an initial expected response; the CP-AU is further configured to use the preset first message authentication code algorithm to The second shared key is calculated to obtain a network side additional message authentication code, and sends an authentication request message to
- the generated message authentication code is a user-side initial message authentication code
- the generated response is an initial response
- the The preset first message authentication code algorithm calculates the second shared key to obtain a user-side additional message authentication code
- the second shared key used by the UE is the identity identifier and the service of the UE according to the identity Identifying the acquisition, or the UE pre-stores the second shared key
- processing the second shared key by using a preset second message authentication code algorithm to obtain a user side response message authentication code;
- the CP-AU Transmitting the reference response and the user side response message authentication code to the CP-AU; the CP-AU is configured to receive the reference response and the user side response message authentication code; the CP-AU further And the method for processing the second shared key by using the preset second message authentication code algorithm to obtain a network side response message authentication code; the CP-AU is further configured to determine the initial expected response. Whether it is the same as the initial response, and whether the network side response message authentication code is the same as the user side response message authentication code;
- the same key generation algorithm is used to process the preset base key and the second shared key with the CP-AU to obtain a target shared key.
- the network authentication device includes a CP-AU
- the user equipment is based on the second shared key or according to a shared key derived based on the second shared key.
- the message of the access network includes the identity identifier of the UE and the service identifier of the target service, where the target service is a service currently performed by the UE;
- the authentication vector includes a message authentication code and an expected response
- the message authentication code included in the authentication vector is a network side initial message authentication code
- the authentication vector includes an expectation The response is an initial expected response
- the UE is configured to determine whether the user side additional message authentication code is the same as the network side additional message authentication code, and determine whether the user side initial message authentication code is The network side initial message authentication code is the same; if all are the same, the UE is configured to process the second shared key by using a preset second message authentication code algorithm to obtain a user side response message authentication code; The UE is further configured to send the reference response and the user side response message authentication code to the CP-AU;
- the UE uses the same key generation algorithm to process the preset base key and the second shared key to obtain a target shared key.
- the embodiment of the present invention provides a network authentication system, where the system includes a user equipment UE, an access and mobility management network element AMF, and a session management network element SMF, where the UE is configured to send to the AMF.
- the AMF is configured to receive the PDU session establishment request, determine a session management network element SMF according to the PDU session establishment request, and send the PDU session establishment request to the determined SMF;
- the SMF is used for Receiving the PDU session establishment request, and sending an authentication notification message to the UE in response to the PDU session establishment request, the authentication notification message including information indicating whether to perform target authentication, information for defining an authentication protocol of the target authentication, and Defining at least one of the information of the key algorithm of the target authentication, the target authentication includes two-way authentication or one-way authentication; the UE is configured to receive the authentication notification message.
- the UE when the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the system further includes a service authentication server, where the service authentication server is configured to verify whether the UE has the right to invoke the preset service, The UE is configured to perform target authentication with the service authentication server according to the authentication notification message.
- the SMF is configured to send the UE to use the scalable authentication a protocol EAP identity request; the UE is configured to receive an EAP identity request sent by the SMF using an extensible authentication protocol, and send an EAP identity response to the SMF according to the EAP identity request; the SMF is configured to receive the EAP sent by the UE for the EAP EAP identity response for identity request.
- the SMF is used to determine an authentication protocol of the target authentication and/or Key algorithm.
- the SMF is used to determine an authentication protocol of the target authentication and/or
- the key algorithm is specifically: the SMF is configured to send a security policy request for the UE to the security policy control network element SPCF, and receive a security policy that is obtained by the SPCF according to the security policy and has a preset matching relationship with the UE.
- the security policy is used by the SPCF to determine an authentication method and/or a key algorithm required for UE target authentication; according to the security policy, an authentication protocol and/or a key algorithm of the target authentication is generated.
- the SMF is used to determine the UE needs and services according to the security policy.
- the authentication server performs target authentication, and the service authentication server is used to verify whether the UE has the right to invoke the preset service.
- the SMF is used to send, to the service authentication server, the UE The identity of the EAP identity is responsive.
- the SMF is configured to send, to the service authentication server, the UE
- the EAP identity response of the identity is specifically: the SMF is used to select a user plane gateway UPF; and the selected UPF establishes a session for forwarding information of the interaction between the SMF and the service authentication server during target authentication;
- the service authentication server sends an EAP identity response indicating the identity of the UE.
- the system includes a security policy control network element SPCF, where: the SMF And sending, to the SPCF, a security policy request for the UE; the SPCF is configured to receive the security policy request for the user equipment UE, where And sending, according to the security policy, a security policy to the SMF that has a preset matching relationship with the UE, where the security policy is used by the SPCF to determine an authentication method and/or a key algorithm required for UE target authentication; the SMF is configured to receive the A security policy that has a preset matching relationship with the UE.
- SPCF security policy control network element
- the request is sent to the SMF according to the security policy request
- the security policy of the preset matching relationship is specifically: sending a subscription data request to the service server according to the security policy request to request a security policy that has a preset matching relationship with the UE, where the service server is used to provide a service access service; The security policy sent by the service server; the security policy is sent to the SMF.
- the request is sent to the SMF to be sent to the UE according to the security policy request
- the security policy of the preset matching relationship is specifically: searching for a security policy that has a preset matching relationship with the UE from the pre-cached information according to the security policy request; and sending the security policy to the SMF.
- the embodiment of the present invention provides a user equipment UE, where the UE includes a first sending unit and a first receiving unit, where the first sending unit is configured to send to the access and mobility management network element AMF.
- the first sending unit is configured to send to the access and mobility management network element AMF.
- a protocol data unit PDU session establishment request so that the AMF determines a session management network element SMF according to the PDU session establishment request and sends the PDU session establishment request to the SMF
- the first receiving unit is configured to receive the SMF to respond to the PDU session establishment.
- the authentication notification message sent by the request including at least one of information for indicating whether to perform target authentication, information for defining an authentication protocol of the target authentication, and information for defining a key algorithm for the target authentication
- the target authentication includes two-way authentication or one-way authentication.
- the UE When the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the UE further includes an authentication unit, configured to receive, at the first receiving unit, the authentication sent by the SMF in response to the PDU session establishment request After the notification message, the service authentication server performs target authentication according to the authentication notification message, and the service authentication server is configured to verify whether the UE has the right to invoke the preset service.
- the UE further includes a second receiving unit and a second sending unit,
- the second receiving unit is configured to: after the first receiving unit receives the authentication notification message sent by the SMF in response to the PDU session establishment request, receive an Extensible Authentication Protocol EAP identity request sent by the SMF;
- a sending unit configured to send an EAP identity response to the SMF according to the EAP identity request.
- the embodiment of the present invention provides a session management network element SMF, where the SMF includes a third receiving unit and a third sending unit, where the third receiving unit is configured to receive the access and mobility management network element.
- the third sending unit is configured to send an authentication notification message to the user equipment UE in response to the PDU session establishment request, where the authentication notification message includes information for indicating whether to perform target authentication, and is used for Defining at least one of information of an authentication protocol of the target authentication and information of a key algorithm for defining the target authentication,
- the target authentication includes two-way authentication or one-way authentication.
- the UE When the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the authentication notification message is used by the UE to perform target authentication with a service authentication server, where the service authentication server is configured to verify whether the UE has The permission to call the default business.
- the SMF further includes a determining unit, in the third After receiving the protocol data unit PDU session establishment request sent by the mobility management network element AMF, the receiving unit determines the target authentication before the third sending unit sends the authentication notification message to the user equipment UE in response to the PDU session establishment request. Authentication protocol and/or key algorithm.
- the determining unit determines the authentication protocol of the target authentication and/or Or a key algorithm, specifically: sending a security policy request for the UE to the security policy control network element SPCF; receiving a security policy that is obtained by the SPCF according to the security policy and having a preset matching relationship with the UE, where the security policy is used by the security policy.
- the SPCF determines an authentication method and/or a key algorithm required for UE target authentication; and generates an authentication protocol and/or a key algorithm of the target authentication according to the security policy.
- the determining unit is further configured to determine the The UE needs to perform target authentication with the service authentication server, and the service authentication server is used to verify whether the UE has the right to invoke the preset service.
- the SMF further includes: a fourth sending unit, configured to After the third sending unit sends the authentication notification message to the user equipment UE in response to the PDU session establishment request, the UE sends an extensible authentication protocol EAP identity request to the UE, and the fourth receiving unit is configured to receive the EAP identity response for EAP identity request.
- a fourth sending unit configured to After the third sending unit sends the authentication notification message to the user equipment UE in response to the PDU session establishment request, the UE sends an extensible authentication protocol EAP identity request to the UE, and the fourth receiving unit is configured to receive the EAP identity response for EAP identity request.
- the SMF further includes: a fifth sending unit, configured to After transmitting the authentication notification message to the user equipment UE in response to the PDU session establishment request, the fourth sending unit sends an EAP identity response indicating the identity of the UE to the service authentication server.
- the fifth sending unit is specifically configured to: select a user plane a gateway UPF; establishing a session with the selected UPF for forwarding information of the interaction between the SMF and the service authentication server; and transmitting, by the session, an EAP identity response indicating the identity of the UE to the service authentication server.
- the embodiment of the present invention provides a security policy control network element SPCF, where the SPCF includes a fifth receiving unit and a sixth sending unit, where the fifth receiving unit is configured to receive the session management network element SMF.
- the sixth sending unit configured to send, according to the security policy, a security policy that is preset to a matching relationship with the UE, where the security policy is used by the SPCF to determine the UE target authentication Authentication method and/or key algorithm.
- the SMF When the SMF needs to determine the authentication protocol, the key algorithm, and the like required for the UE target authentication, the SMF sends a security policy request to the SPCF, and the SPCF requests the SMF to feed back the security policy matching the UE according to the security policy request.
- the SMF can determine the authentication protocol, the key algorithm and the like required for the target authentication of the UE according to the security policy, and ensure the smooth progress of the target authentication between the UE and other network elements.
- the sixth sending unit is configured to: send a subscription data request to the service server according to the security policy request, to request the UE There is a security policy of a preset matching relationship, and the service server is configured to provide an access service of the service; receive the security policy sent by the service server; and send the security policy to the SMF.
- the sixth sending unit is specifically configured to: according to the security policy The request is to search for a security policy that has a preset matching relationship with the UE from the pre-cached information; and send the security policy to the SMF.
- the embodiment of the present invention provides a network authentication method, the method includes: the user equipment UE sends a protocol data unit PDU session establishment request to the access and mobility management network element AMF, so that the AMF is based on the PDU.
- the session establishment request determines a session management network element SMF and sends the PDU session establishment request to the SMF; the UE receives an authentication notification message sent by the SMF in response to the PDU session establishment request, where the authentication notification message includes a target for indicating whether to perform the target At least one of authentication information, information for defining an authentication protocol for the target authentication, and information for defining a key algorithm for the target authentication, the target authentication including two-way authentication or one-way authentication.
- the UE when the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the method further includes: the UE and the The service authentication server performs target authentication according to the authentication notification message, and the service authentication server is configured to verify whether the UE has the right to invoke the preset service.
- the UE receives the SMF and sends the response to the PDU session establishment request After the authentication notification message, the method further includes: the UE receiving the use of the extensible authentication protocol EAP identity request sent by the SMF; the UE sending an EAP identity response to the SMF according to the EAP identity request.
- the embodiment of the present invention provides a network authentication method, where the network authentication method includes: a session management network element SMF receiving a protocol data unit PDU session establishment request sent by the mobility management network element AMF; the SMF Sending an authentication notification message to the user equipment UE in response to the PDU session establishment request, the authentication notification message including information indicating whether to perform target authentication, information for defining an authentication protocol of the target authentication, and defining the item At least one of the information of the key algorithm of the authentication, the target authentication includes two-way authentication or one-way authentication.
- the UE when the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the authentication notification message is used by the UE to perform target authentication with a service authentication server, where the service authentication server is configured to verify whether the UE has The permission to call the default business.
- the session management network element SMF receives access and mobility management After the protocol data unit PDU session establishment request sent by the network element AMF, before the SMF sends the authentication notification message to the user equipment UE in response to the PDU session establishment request, the method further includes: the SMF determining the authentication protocol and/or the secret of the target authentication. Key algorithm.
- the SMF determines an authentication protocol and/or a secret of the target authentication
- the key algorithm includes: the SMF sends a security policy request for the UE to the security policy control network element SPCF; the SMF receives a security policy that is obtained by the SPCF according to the security policy and has a preset matching relationship with the UE, and the security policy An authentication method and/or a key algorithm required for the SPCF to determine UE target authentication; the SMF generates an authentication protocol and/or a key algorithm of the target authentication according to the security policy.
- the method further includes: determining, by the SMF, the The UE needs to perform target authentication with the service authentication server, and the service authentication server is used to verify whether the UE has the right to invoke the preset service.
- the SMF sends the PDU session establishment request to the user equipment UE After authenticating the notification message, the method further includes: the SMF transmitting an EAP identity request using the extensible authentication protocol to the UE; the SMF receiving an EAP identity response sent by the UE for the EAP identity request.
- the SMF in the sixth possible implementation manner of the forty-sixth aspect, sends the PDU session establishment request to the user equipment UE After authenticating the notification message, the method further includes: the SMF transmitting an EAP identity response indicating the identity of the UE to the service authentication server.
- the SMF sends, to the service authentication server, the UE that is used to indicate the UE
- the EAP identity response of the identity comprising: the SMF selecting a user plane gateway UPF; the SMF establishing a session with the selected UPF for forwarding information of the interaction between the SMF and the service authentication server; and the SMF
- the service authentication server sends an EAP identity response indicating the identity of the UE.
- the embodiment of the present invention provides a network authentication method, including: a security policy control network element SPCF Receiving a security policy request for the user equipment UE sent by the session management network element SMF; the SPCF sends a security policy to the SMF that has a preset matching relationship with the UE according to the security policy request, where the security policy is used by the SPCF to determine the UE target The authentication method and/or key algorithm required for authentication.
- the SMF When performing the foregoing operations, the SMF needs to determine the authentication protocol, the key algorithm, and the like required for the target authentication of the UE, and sends a security policy request to the SPCF, and the SPCF requests the SMF to feed back the security policy matching the UE according to the security policy request.
- the SMF can determine the authentication protocol, the key algorithm and the like required for the target authentication of the UE according to the security policy, and ensure the smooth progress of the target authentication between the UE and other network elements.
- the SPCF sends a security policy to the SMF that has a preset matching relationship with the UE, including: the SPCF is configured according to The security policy requests to send a subscription data request to the service server to request a security policy that has a preset matching relationship with the UE, where the service server is used to provide an access service for the service; and the SPCF receives the security policy sent by the service server; The SPCF sends the security policy to the SMF.
- the security policy of the preset matching relationship includes: the SPCF searches for the security policy that has a preset matching relationship with the UE from the pre-cached information according to the security policy request; the SPCF sends the security policy to the SMF.
- an embodiment of the present invention provides a user equipment UE, where the UE includes a processor, a memory, and a transceiver, where the memory is used to store programs and data, and the processor calls a program in the memory for execution.
- the SMF Giving the SMF; receiving, by the transceiver, an authentication notification message sent by the SMF in response to the PDU session establishment request, the authentication notification message including information indicating whether to perform target authentication, information for defining an authentication protocol of the target authentication And at least one of information for defining a key algorithm for the target authentication, the target authentication including two-way authentication or one-way authentication.
- the UE when the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the processor after the processor receives the authentication notification message sent by the SMF in response to the PDU session establishment request, the processor is further configured to The service authentication server performs target authentication according to the authentication notification message, and the service authentication server is configured to verify whether the UE has the right to invoke the preset service.
- the processor receives the SMF response to the PDU through the transceiver After the session establishment request sends the authentication notification message, the processor is further configured to receive, by the transceiver, the use of the extensible authentication protocol EAP identity request sent by the SMF; the processor requests, by the transceiver, according to the EAP identity request The SMF sends an EAP identity response.
- an embodiment of the present invention provides a session management network element SMF, where the SMF includes a processor, a memory, and a transceiver, where the memory is used to store programs and data, and the processor calls a program in the memory, And performing the following operations: receiving, by the transceiver, a protocol data unit PDU session establishment request sent by the mobility management network element AMF; sending an authentication notification message to the user equipment UE by using the transceiver in response to the PDU session establishment request, the authentication notification The message includes at least one of information indicating whether to perform target authentication, information for defining an authentication protocol of the target authentication, and information for defining a key algorithm for the target authentication, the target authentication including two-way authentication or single To certification.
- the UE when the UE needs to perform target authentication with other network elements, the UE sends a PDU session establishment request to the carrier network, and after receiving the PDU session establishment request, the SMF in the carrier network sends the PDU session establishment request to the UE.
- the authentication notification message specifies information such as an authentication protocol and a key algorithm used for the target authentication of the UE, so that the target authentication between the UE and other network elements can be smoothly performed.
- the authentication notification message is used by the UE to perform target authentication with a service authentication server, where the service authentication server is configured to verify whether the UE has The permission to call the default business.
- the processor receives access and mobility through the transceiver After the protocol data unit PDU session establishment request sent by the management network element AMF, the processor sends the authentication notification message to the user equipment UE through the transceiver in response to the PDU session establishment request, and the processor is further configured to: determine the authentication of the target authentication. Protocol and / or key algorithm.
- the processor determines the authentication protocol of the target authentication and/or
- the key algorithm is specifically: sending, by the transceiver, a security policy request for the UE to the security policy control network element SPCF; and receiving, by the transceiver, the security that is acquired by the SPCF according to the security policy and having a preset matching relationship with the UE.
- a policy for the SPCF to determine an authentication method and/or a key algorithm required for UE target authentication; generating an authentication protocol and/or a key algorithm for the target authentication according to the security policy.
- the processor is further configured to: determine, according to the security policy The UE needs to perform target authentication with the service authentication server, and the service authentication server is used to verify whether the UE has the right to invoke the preset service.
- the processor is responsive to the PDU session establishment request through the transceiver After transmitting the authentication notification message to the user equipment UE, the processor is further configured to: send, by using the transceiver, an extensible authentication protocol EAP identity request to the UE; and receive, by the transceiver, the EAP sent by the UE for the EAP identity request. Identity response.
- the processor responds to the PDU session establishment request by using a transceiver After the user equipment UE sends the authentication notification message, the processor is further configured to: send, by the transceiver, an EAP identity response indicating the identity of the UE to the service authentication server.
- the processor is configured to send, by using a transceiver, a service authentication server An EAP identity response indicating the identity of the UE, specifically: selecting a user plane gateway UPF; establishing a session with the selected UPF for forwarding information of the interaction between the SMF and the service authentication server; and transmitting the The session sends an EAP identity response to the service authentication server indicating the identity of the UE.
- an embodiment of the present invention provides a security policy control network element SPCF, where the SPCF includes a processor, a memory, and a transceiver, where the memory is used to store programs and data, and the processor calls a program in the memory for
- the security policy request for the user equipment UE sent by the session management network element SMF is received by the transceiver, and the security policy of the preset matching relationship with the UE is sent to the SMF through the transceiver according to the security policy request, the security policy is performed.
- the policy is used by the SPCF to determine the authentication method and/or key algorithm required for UE target authentication.
- the SMF When performing the foregoing operations, the SMF needs to determine the authentication protocol, the key algorithm, and the like required for the target authentication of the UE, and sends a security policy request to the SPCF, and the SPCF requests the SMF to feed back the security policy matching the UE according to the security policy request.
- the SMF can determine the authentication protocol, the key algorithm and the like required for the target authentication of the UE according to the security policy, and ensure the smooth progress of the target authentication between the UE and other network elements.
- the processor sends, by using a transceiver, a security policy that is preset to a matching relationship with the UE by using a transceiver, where Transmitting, by the transceiver, a subscription data request to the service server according to the security policy, to request a security policy that has a preset matching relationship with the UE, where the service server is used to provide an access service of the service; and the transceiver is received by the service server.
- the security policy the security policy is sent to the SMF through the transceiver.
- the processor sends, by the transceiver, the SMF to the SMF according to the security policy request
- the security policy of the UE having the preset matching relationship is specifically: searching for the security policy that has a preset matching relationship with the UE from the pre-cached information according to the security policy request; and sending the security policy to the SMF by using the transceiver.
- an embodiment of the present invention provides a storage medium for storing an instruction, when the instruction is executed on a computer, causing the computer to perform any of the forty-fifth aspect or the forty-fifth aspect. The method described by the way.
- an embodiment of the present invention provides a storage medium for storing an instruction, when the instruction is run on a computer, causing the computer to perform any of the forty-sixth or forty-sixth aspects. The method described by the way.
- an embodiment of the present invention provides a storage medium for storing an instruction, when the instruction is run on a computer, causing the computer to perform any of the forty-seventh or forty-seventh aspects. The method described by the way.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the network.
- the device is authenticated such that the network authentication device obtains the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the relevant information of the service and the related information of the network, and improves the target shared key. Security Level.
- FIG. 1 is a schematic structural diagram of a network authentication system according to an embodiment of the present invention.
- FIG. 2 is a schematic structural diagram of still another network authentication system according to an embodiment of the present invention.
- 3A is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- FIG. 3B is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 3C is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 3D is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 3E is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 3F is a schematic flowchart of still another network authentication method according to an embodiment of the present disclosure.
- 3G is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 3H is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 3I is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 3 is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 3K is a schematic flowchart of still another network authentication method according to an embodiment of the present disclosure.
- FIG. 3L is a schematic flowchart of still another network authentication method according to an embodiment of the present disclosure.
- FIG. 4A is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 5A is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 5B is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 6 is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 6B is a schematic flowchart diagram of still another network authentication method according to an embodiment of the present invention.
- 6C is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 6D is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 6E is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 6F is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 6G is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- 6H is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 6 is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 7 is a schematic structural diagram of a service authentication device according to an embodiment of the present disclosure.
- FIG. 8 is a schematic structural diagram of a user equipment according to an embodiment of the present disclosure.
- FIG. 9 is a schematic structural diagram of a network authentication device according to an embodiment of the present disclosure.
- FIG. 10 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 11 is a schematic structural diagram of still another user equipment according to an embodiment of the present invention.
- FIG. 12 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 13 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 14 is a schematic structural diagram of still another user equipment according to an embodiment of the present invention.
- FIG. 15 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 16 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 17 is a schematic structural diagram of still another user equipment according to an embodiment of the present disclosure.
- FIG. 18 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 19 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 20 is a schematic structural diagram of still another user equipment according to an embodiment of the present disclosure.
- FIG. 21 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 22 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 23 is a schematic structural diagram of still another user equipment according to an embodiment of the present disclosure.
- FIG. 24 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 25 is a schematic structural diagram of still another service authentication device according to an embodiment of the present disclosure.
- FIG. 26 is a schematic structural diagram of still another user equipment according to an embodiment of the present disclosure.
- FIG. 27 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 29 is a schematic structural diagram of still another user equipment according to an embodiment of the present disclosure.
- FIG. 30 is a schematic structural diagram of still another network authentication device according to an embodiment of the present disclosure.
- FIG. 31 is a schematic structural diagram of a network authentication system according to an embodiment of the present disclosure.
- FIG. 34 is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- FIG. 34B is a schematic flowchart of still another network authentication method according to an embodiment of the present disclosure.
- 35 is a schematic structural diagram of still another communication system according to an embodiment of the present invention.
- FIG. 36 is a schematic structural diagram of still another user equipment UE according to an embodiment of the present disclosure.
- FIG. 37 is a schematic structural diagram of still another session management network element SMF according to an embodiment of the present invention.
- FIG. 38 is a schematic structural diagram of still another policy control network element SPCF according to an embodiment of the present disclosure.
- FIG. 39 is a schematic structural diagram of still another user equipment UE according to an embodiment of the present disclosure.
- FIG. 40 is a schematic structural diagram of still another session management network element SMF according to an embodiment of the present invention.
- FIG. 41 is a schematic structural diagram of still another policy control network element SPCF according to an embodiment of the present invention.
- FIG. 1 is a schematic structural diagram of a network authentication system 10 according to an embodiment of the present invention.
- the network authentication system 10 includes a user equipment 101, a service authentication device 103, and a network authentication device 102 that provides network access by an operator.
- the service authentication device 103 is an operator-controllable device, that is, the network authentication device 102 of the operator may directly invoke data in the service authentication device 103.
- the service authentication device 103 is the device.
- the device that is not controllable by the operator that is, the network authentication device 102 of the operator, cannot directly call the data in the service authentication device 103.
- the network authentication device 102 may be at least one network side device involved when the user equipment 101 needs to access the cellular network, and the user equipment 101 needs to perform network authentication with the network authentication device 102 before accessing the cellular network.
- the shared key, the shared key derived from the target shared key or the shared key derived from the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device with the user equipment.
- the user equipment 101 may be a mobile phone, a tablet computer, a notebook computer, a palmtop computer, a mobile internet device (English: mobile internet device, abbreviation: MID), a wearable device (such as a smart watch (such as iWatch, etc.), and a smart device.
- a wristband, pedometer, etc. or a terminal device that can be connected to a carrier network.
- the network authentication device 102 includes an access network (English: Access Network, referred to as AN), mobility management (English: Mobility Management, MM for short), and session management (English: Session Management, SM for short).
- Equipment slice selection device SSF (English: Slice Selection Function), authentication function unit (English: Control Plane-Authentication Unit, CP-AU), new configuration and network authentication related functional devices (for convenience of description, follow-up
- the network authentication device including the network authentication server, the CP-AU, and the AN as an example for convenience of understanding.
- the operations performed by the network authentication device 102 described later are all performed by the one device; when the network authentication device 102 includes multiple devices, the network authentication device described subsequently
- the operations performed by the multiple devices are performed by the multiple devices, that is, different devices of the multiple devices perform some operations, and data and parameters generated by the operations may be transmitted between the multiple devices as needed.
- 2 is an optional refinement structure diagram of the network authentication system.
- the service authentication device 103 has at least the following two situations:
- the service authentication device 103 is a device for managing service authentication.
- the service authentication device 103 includes at least one service-related device.
- When the user device 101 uses a service it needs to perform a service authentication device 103 that manages the service.
- the service authentication generates a target shared key, and the shared key derived from the target shared key or the shared key derived from the target shared key is a shared key for secure transmission of the protected data negotiated by the service authentication device and the user equipment.
- the service authentication device 103 may generate a certificate or an identity-based private key for the user, and finally send it to the user device 101.
- the certificate is generated, the user equipment 101 and the network authentication device 102 can be mutually authenticated to use a certificate-based method.
- the identity-based private key is generated, the user equipment 101, the network mutual authentication, or the user equipment 101 and the service authentication device 103 can mutually A method of using an identity-based cryptographic mechanism when authenticating.
- a device for providing specific data of a service (which may be referred to as a service server for convenience of description) and a device for managing service authentication of the service (for convenience of description, may be referred to as service authentication)
- the server is the same device, that is, the service authentication device 103; in still another alternative, the service authentication device 103 includes a service authentication server, but does not include a service management server; in yet another alternative The service authentication device 103 includes a service authentication server and a service server.
- the service authentication device 103 includes a service server and a service authentication server, the operation performed by the service authentication device 103 described later may be performed by the service authentication server and the service server.
- the data and parameters generated by the service authentication server and the service server during the operation may be mutually transmitted as needed.
- the above services may include instant messaging services, news information services, water meter services, electricity meter services, logistics services, factory automation, and the like.
- the service authentication device 103 is not a device for providing specific data of the service, nor is it a device for managing service authentication of the service, but a device for providing authentication, which may be the network authentication device 102 and the service.
- the authentication device 103 shares the device of the authentication process. In the IoT scenario, a large number of user equipments 101 need to perform network authentication with the network authentication device 102, resulting in a high load on the network authentication device 102. Therefore, the present invention is implemented.
- the service authentication device 103 is provided to share part or all of the process of the network authentication device 102.
- FIG. 3A is a schematic flowchart of a network authentication method according to an embodiment of the present invention. The method may be implemented based on the network authentication system shown in FIG. 1, and the method includes but is not limited to the following steps.
- Step S301 The service authentication device acquires reference information and generates a second shared key in combination with the reference information and the first shared key.
- the reference information includes at least one pre-associated information of the user equipment, the network authentication device, and the service authentication device.
- the user device pre-associated information may be an identity identifier (UEID) of the user equipment, for example, an International Device ID (IMEI), a mobile device subscription identifier (English: International Mobile Subscriber Identity) , referred to as: IMSI) Media Access Control (English: Media Access Control, MAC address for short), Internet Protocol (English: Internet Protocol, IP address), etc. can be used to distinguish between other devices. .
- UEID identity identifier
- IMEI International Device ID
- IMSI International Mobile Subscriber Identity
- Media Access Control English: Media Access Control, MAC address for short
- Internet Protocol English: Internet Protocol, IP address
- the information pre-associated by the network authentication device may be a network parameter of a cellular network where the network authentication device is located, such as a public land mobile network identifier (PLMN ID), an operator identifier (Operator ID), and an access network identifier (Access Network ID). , Serving Network ID, Network Type ID, LAN network identifier, slice identifier, bearer ID, quality of service (English: Quality of Service, QoS for short), and flow (flow) ID, etc.
- PLMN ID public land mobile network identifier
- OFDM operator identifier
- Access Network ID Access Network ID
- Serving Network ID Network Type ID
- LAN network identifier identifier
- slice identifier slice identifier
- bearer ID quality of service (English: Quality of Service, QoS for short)
- quality of service English: Quality of Service, QoS for short
- flow (flow) ID etc.
- the service parameter includes at least a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server identifier.
- the pre-associated information of the service authentication device may be the identity of the service authentication device and the information related to the service feature.
- the information associated with the service authentication device may also include The service parameters of the target service, for example, the service sequence number SN, the identity of the key management center, the session ID, the link identifier, the application identifier (app ID), the slice identifier, the service identifier (service ID), and the service identifier.
- the target service is not restricted here.
- the target service is the service that the user equipment needs to access.
- the service parameter of the target service may be pre-stored in the service authentication device.
- the service authentication device is a device for managing a service authentication process of the target service
- the service parameter of the target service may be stored in the Business authentication equipment.
- the service parameter of the target service may also be sent to the service authentication device immediately after the corresponding trigger operation is obtained.
- the service authentication device is used to perform service authentication on the user equipment, and the network authentication device triggers the service.
- the server sends the service parameter of the target service to the service authentication device.
- a direct or indirect connection relationship can be established between the user equipment, the network authentication device, and the service authentication device, so that the required reference information can be obtained from each other.
- the reference information may also be pre-configured in the user equipment, the network authentication device, and the service authentication device.
- the first shared key is a pre-configured shared key between the user equipment and the service authentication device, and the user equipment and the service authentication device are obtained according to a certificate, a username and a password, and an identity and password mechanism. Shared key.
- the service authentication device generates the second shared key in combination with the reference information and the first shared key, so as to indicate that the parameter used to calculate the second shared key includes the reference information and the first shared key, and does not exclude Use other information.
- Step S302 The user equipment acquires the reference information and generates the second shared key in combination with the reference information and the first shared key.
- the second shared key is used by the user equipment and the network authentication device to generate a target shared key
- the target shared key or the shared key derived based on the target shared key is the network authentication device and the user.
- the shared key negotiated by the device to securely transfer data.
- the method may further include: the service authentication device sends the second shared key to the network authentication device; the network authentication device receives the second shared key; the network authentication device and The user equipment generates the target shared key according to the second shared key or network authentication according to the shared key derived based on the second shared key.
- the service authentication device sends the second shared key to the network authentication device; the network authentication device receives the second shared key; the network authentication device and The user equipment generates the target shared key according to the second shared key or network authentication according to the shared key derived based on the second shared key.
- FIG. 3B is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the user equipment and the service authentication device share a first share in advance. Key, the method includes steps S401 to S410, and the detailed description of each step is as follows:
- Step S401 The user equipment sends a first request message to the network authentication server.
- Step S402 The network authentication server receives the first request message, and after searching for the corresponding service authentication server according to the first request message, sends a second authentication request to the service authentication server.
- the first request message may include some identification information to indicate what service the user equipment wants to request; the network authentication server authenticates the service after the user equipment knows which service the user equipment wants to request according to the first request message.
- the server sends a second request message, which may include an identity (UEID) of the user equipment.
- UEID identity
- Step S403 The service authentication server receives the second request message, and obtains a service parameter according to the second authentication message, where the service parameter belongs to the reference information; optionally, the service parameter is stored in a storage space of the service authentication server. The service authentication server obtains the service parameter by reading the storage space. Optionally, the service parameter is stored on the service server, and the service authentication server may request the service parameter from the service server.
- Step S404 The service authentication server sends the service parameter to the network authentication server.
- Step S405 The network authentication server is configured to receive and forward the service parameter to the user equipment.
- Step S406 The service authentication server generates a second shared key according to the first shared key, the UEID of the user equipment, the network parameter, the service parameter, and the like.
- Step S407 The user equipment generates a second shared key according to the first shared key, the UEID of the user equipment, and the service parameter.
- Step S408 The service authentication server sends the second shared key to the network authentication server.
- Step S409 The network authentication server receives and forwards the second shared key to the CP-AU.
- the service authentication server may directly send the second shared key to the CP-AU, and correspondingly, the CP-AU receives the second shared key sent by the service authentication server.
- Step S410 The CP-AU receives the second shared key and performs network authentication with the user equipment to generate a target shared key based on the second shared key, and the network authentication may pass an authentication and a key agreement protocol (English: Authentication) And Key Agreement, abbreviation: AKA) and other authentication technologies to achieve.
- a key agreement protocol English: Authentication
- AKA Key Agreement
- the network authentication device when the network authentication device includes multiple devices, receiving the first request message, authenticating the user device, searching for the service authentication server, sending the second request message to the service authentication server, and receiving the second shared key may be performed.
- Completed by any one of the multiple devices or related functional devices are cooperatively completed, for example, by SM, MM,
- One of the plurality of network elements, such as the SSF and the CP-AU, is separately configured, or at least two of the plurality of network elements are cooperatively completed.
- the network authentication server sends a network parameter to the user equipment, where the user equipment receives the network parameter accordingly; the network authentication server and the user equipment generate a new share based on the second shared key and the network parameter.
- the key the network authentication server further sends the new shared key to the CP-AU; the CP-AU and the user equipment perform network authentication based on the new shared key to generate a target shared key.
- the user equipment performs a process of generating a target shared key every time the first request message is sent, ensuring security and randomness.
- the network authentication device negotiates with the service authentication device to obtain a service parameter.
- the network authentication device sends the service parameter to the user equipment, so that the user equipment and the service authentication device can Generated based on this business parameter.
- the user equipment acquires relevant parameters in advance (if the service parameter is obtained or written in advance), and derives a second shared key according to the service parameter, and after the network authentication server acquires the second shared key, the UE and the UE The network authentication server may further generate the target shared key based on the network parameters and the second shared key.
- the UE further includes a root key shared by the network authentication device, and after the network authentication device acquires the second shared key, the UE and the network authentication device are based on the root key and the second shared key shared by the network authentication device. Mutual authentication generates the target root key.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the second shared key.
- the network authentication device causes the network authentication device to perform network authentication based on the second shared key to generate a target shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- FIG. 3C is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may be a third party with an authentication function, for example, having authentication, authorization, and accounting (English: Authentication) Authorization Accounting (AAA) is a function of the AAA server.
- AAA Authorization Accounting
- the following embodiment uses the service authentication device as an AAA server as an example.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes the step S501. S507, the detailed description of each step is as follows:
- Step S501 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and may also have a service identifier of the target service, an AAA server identifier (such as an AAA ID), and the like.
- the first request message may carry the identity identifier UEID of the user equipment, and may also have a service identifier of the target service, an AAA server identifier (such as an AAA ID), and the like.
- Step S502 The AN receives the first request message, and searches for a corresponding AAA server according to the first request message, and sends a second request message to the found AAA server, where the second request message carries the identity identifier UEID of the user equipment.
- the identity identifier UEID of the user equipment.
- Step S503 The AAA server receives the second request message, and generates a second shared key based on the UEID and the first shared key.
- the generating the second shared key may also consider other information, for example, the other information may include At least one of a network parameter, a service parameter, and a UEID, the other information belongs to the reference information.
- Step S504 The AAA server sends the second shared key to the network authentication server.
- Step S505 The network authentication server receives and sends the second shared key to the CP-AU; optionally, the AAA The server may also directly send the second shared key to the CP-AU, and accordingly, the CP-AU receives the second shared key sent by the AAA server.
- Step S506 The user equipment generates the second shared key based on the UEID and the first shared key. When other information is needed to generate the second shared key, the user equipment may also obtain the other information from other devices. .
- Step S507 The user equipment and the CP-AU perform network authentication based on the second shared key to generate a target shared key.
- the network authentication server After receiving the second shared key, the network authentication server generates a new shared key by combining the second shared key and related information (for example, network parameters), and the new shared key is generated.
- step S507 is adjusted to perform network authentication by using the new shared key.
- the action of receiving the first request message, authenticating the user device, finding the AAA server, sending the second request message to the AAA server, and receiving the second shared key may be Any one of the plurality of devices may be completed by one of the plurality of network elements, such as SM, MM, SSF, CP-AU, or the like, or at least two of the plurality of network elements.
- the network elements are coordinated.
- the network authentication device may pre-store the correspondence between the AAA server identifier, the service parameter, and the like, and the AAA server, so that the AAA server may be searched for based on the AAA server identifier and the service parameter.
- the UE further includes a root key shared by the network authentication device. After the network authentication device acquires the second shared key, the UE and the network authentication device mutually authenticate each other based on the root key and the second shared key shared by the network. Generate the target root key.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key to the second shared key.
- the network authentication device causes the network authentication device to perform network authentication based on the second shared key to generate a target shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the combining the reference information and the first shared key to generate a second shared key where the service authentication device and the user equipment combine the reference information and the A shared key performs service authentication to generate a second shared key.
- the method may further include: the service authentication device is configured to send the second shared key to the network authentication device; the network authentication device is configured to receive the second shared key; and the network authentication device And the user equipment is configured to use the second shared key or a shared key derived based on the second shared key as the target shared key.
- FIG. 3D is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may be a third party having an authentication function, for example, an AAA server with an AAA function.
- the service authentication device is an AAA server.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes steps S601 to S607. The detailed description of each step is as follows:
- Step S601 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and may also have a service identifier, an AAA server identifier (such as an AAA ID), and the like.
- the first request message may carry the identity identifier UEID of the user equipment, and may also have a service identifier, an AAA server identifier (such as an AAA ID), and the like.
- Step S602 The AN receives the first request message and searches for a corresponding AAA service according to the first request message.
- the information of the device for example, IP address information, MAC address information, etc., is then sent to the user equipment.
- Step S603 The user equipment receives the information of the AAA server.
- Step S604 The user equipment performs service authentication with the AAA server to generate a second shared key according to the information of the AAA server, and the process of the service authentication uses the first shared key and reference information, and the reference information may include the user equipment.
- the identity identifies the UEID, the network parameters sent by the network authentication device to the user equipment, the service parameters obtained by the service authentication device, and the like.
- Step S605 The AAA server sends the second shared key to the network authentication server.
- Step S606 The network authentication server receives and forwards the second shared key to the CP-AU.
- Step S607 The CP-AU receives the second shared key and uses the second shared key as a target shared key, and the target shared key or the shared key derived based on the target shared key is the CP-AU.
- the network element such as the SM, the MM, the SSF, and the AN may also be shared by the second shared key.
- the network authentication device when the network authentication device includes multiple devices, receiving the first request message, authenticating the user device, searching for information of the AAA server, sending the information of the AAA server to the user equipment, and receiving the second shared key may be performed.
- Completed by any one of the multiple devices or related functional devices for example, may be performed by one of a plurality of network elements, such as SM, MM, SSF, CP-AU, or the like, or in the plurality of network elements. At least two network elements are coordinated to complete.
- the network authentication server after receiving the second shared key, the network authentication server generates a new shared key by combining the UEID of the user equipment, the network parameter, and the like; the user equipment correspondingly receives the network sent by the network authentication device. And generating a new shared key based on the second shared key, the UEID, the network parameter, and the like; the network authentication server sends the new shared key to the CP-AU, the CP-AU and the user The device can use the new shared key as the target shared key.
- the network authentication device and the user equipment may perform network authentication based on the second shared key (or the new shared key) to generate the target shared key.
- the UE further includes a root key shared by the network authentication device. After the network authentication device acquires the second shared key, the UE and the network authentication device mutually authenticate each other based on the root key and the second shared key shared by the network. Generate the target root key.
- the network authentication device may send the network parameter to the user equipment, and then generate the network based on the second shared key and the network parameter.
- Target shared key may be used to generate the network based on the second shared key and the network parameter.
- the user equipment and the service authentication device perform mutual authentication according to the obtained reference parameter and the first shared key shared in advance to generate a second shared key, and then the service authentication device uses the second shared secret.
- the key is sent to the network authentication device such that the network authentication device and the user device use the second shared key as the target shared key. That is to say, the service authentication device and the second shared key generated by the user device directly serve as the target shared key of the network authentication device, and the second shared key can also be used as the target sharing of the service authentication device itself.
- the key is equivalent to performing the above process to complete the two authentications of network authentication and service authentication, which improves the efficiency of authentication.
- the method may further include: the network authentication device and the user equipment performing network authentication to generate a third shared key; the network authentication device and the user equipment according to the second shared key or according to the second shared secret
- the key-derived shared key is used for network authentication to generate the target shared key.
- the network authentication device and the user equipment combine the second shared key to perform network authentication to generate a fourth shared key, according to the third shared secret.
- the key and the fourth shared key generate the target shared key.
- FIG. 3E is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may be a third party having an authentication function, for example, an AAA server with an AAA function.
- the service authentication device is an AAA server.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes steps S701 to S709. The detailed description of each step is as follows:
- Step S701 The CP-AU performs network authentication with the user equipment to generate a third shared key.
- Step S702 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and may also include a service identifier, AAA server information, and the like.
- Step S703 The AN receives the first request message, and searches for a corresponding AAA server according to the first request message, and sends a second request message to the found AAA server, where the second request message carries the identity identifier UEID of the user equipment.
- Step S704 The AAA server receives the second request message, and generates a second shared key based on the first shared key.
- the generating the second shared key may also consider other information, such as UEID, network parameters, and service parameters. At least one of the other information belongs to the reference information.
- Step S705 The AAA server sends the second shared key to the network authentication server.
- Step S706 The network authentication server receives and forwards the second shared key to the CP-AU.
- Step S707 The user equipment generates the second shared key based on the UEID and the first shared key. When other information is needed to generate the second shared key, the user equipment may also obtain the other information from other devices. .
- Step S708 The user equipment and the CP-AU perform network authentication based on the second shared key or the shared key derived based on the second shared key to generate a fourth shared key.
- Step S709 The user equipment and the CP-AU both generate a target shared key according to the third shared key and the fourth shared key, and the target shared key or the shared key derived based on the target shared key is The CP-AU negotiates a shared key for secure transmission of data with the user equipment.
- the network authentication device when the network authentication device includes multiple devices, receiving the first request message, authenticating the user device, searching for information of the AAA server, sending the second request message to the AAA server, and receiving the second shared key may be performed.
- Completed by any one of the multiple devices or related functional devices for example, may be performed by one of a plurality of network elements, such as SM, MM, SSF, CP-AU, or the like, or in the plurality of network elements. At least two network elements are coordinated to complete.
- the user equipment and the CP-AU may not perform authentication based on the second shared key, but generate the target shared key according to the second shared key and the third shared key.
- the third shared key or the shared key derived based on the third shared key is used to protect secure transmission of public data
- the second shared key or shared key derived based on the second shared key is used to protect Secure transmission of specific business data.
- the user equipment and the CP-AU may further perform the third shared key and the second shared key.
- Mutual authentication or mutual authentication based on the third shared key and the shared key derived from the second shared key.
- the UE further includes a root key shared by the network authentication device. After the network authentication device acquires the second shared key, the UE and the network authentication device mutually authenticate each other based on the root key and the second shared key shared by the network. Generate the target shared secret.
- the UE further includes a root key shared by the network authentication device, and the network authentication between the user equipment and the CP-AU may be completed based on the shared root key to generate a third shared key.
- the method may further include: the network authentication device is further configured to send the target shared key to the service authentication device; the service authentication device is configured to receive the target shared key; the service authentication device and the user device
- the shared key used for the target shared key or based on the target shared key is used as a shared key for secure transmission of the protected data negotiated by the service authentication device with the user equipment.
- the network authentication device performs network authentication with the user equipment to generate a third shared key, and the user equipment and the service authentication device generate a second according to the obtained reference parameter and the first shared key shared in advance. Sharing the key, and then the service authentication device sends the second shared key to the network authentication device, where the network authentication device performs network authentication with the user equipment to generate a fourth shared key; the user equipment and the network authentication device are both Generating a target shared key according to the third shared key generated by the first authentication and the fourth shared key generated by the second authentication, that is, generating the target shared key takes into account related information of the service and the network Information about the security level of the target shared key.
- FIG. 3F is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the service authentication server may be an AAA server with AAA function.
- the following embodiment uses the service authentication server as an AAA server as an example.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes steps S711 to S719. The detailed description of each step is as follows:
- Step S711 The CP-AU performs network authentication with the user equipment to generate a third shared key.
- Step S712 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and possibly a service identifier.
- Step S713 The AN receives the first request message and searches for a corresponding AAA server according to the first request message, and sends a second request message to the found AAA server, where the second request message carries the identity identifier UEID of the user equipment.
- Step S714 The AAA server receives the second request message, requests the service server to obtain the service parameter, the service server returns the service parameter, and the AAA server generates the second shared key based on the first shared key to generate the second shared secret.
- the key may also take into account other information, such as at least one of a UEID, a network parameter, and a service parameter, the other information belonging to the reference information.
- Step S715 The AAA server sends the second shared key to the network authentication server.
- Step S716 The network authentication server receives and forwards the second shared key to the CP-AU.
- Step S717 The user equipment generates the second shared key based on the first shared key.
- the generating the second shared key may also consider the other information.
- the second shared key is generated, other information is needed.
- the user equipment can also obtain the other information from other devices.
- Step S718 The user equipment and the CP-AU perform network authentication based on the second shared key to generate a fourth shared key.
- Step S719 The user equipment and the CP-AU both generate a target shared key according to the third shared key and the fourth shared key, and the target shared key or the shared key derived based on the target shared key is The CP-AU negotiates a shared key for secure transmission of data with the user equipment.
- the user equipment and the CP-AU may not perform authentication based on the second shared key, but generate the target shared key according to the second shared key and the third shared key.
- the third shared key or the shared key derived based on the third shared key is used to protect secure transmission of public data, and the second shared key or shared secret derived based on the second shared key
- the key is used to securely transfer specific business data. That is, the second shared key or the shared key derived based on the second shared key is used as a type of target shared key, and the third shared key is based on the third shared key.
- the derived shared key acts as another shared key.
- the user equipment and the CP-AU may further perform mutual authentication based on the third shared key and the second shared key to generate a target shared key, or based on the third shared key and the second share.
- the key-derived shared key is mutually authenticated to generate a target shared key.
- the UE further includes a root key shared by the network authentication device. After the network authentication device acquires the second shared key, the UE and the network authentication device mutually authenticate each other based on the root key and the second shared key shared by the network. Generate the target root key.
- the UE further includes a root key shared by the network authentication device, and the user equipment and the network authentication device mutually authenticate the third shared key based on the root key.
- the action of receiving the first request message, finding the AAA server, sending the second request message to the AAA server, and mutually authenticating with the user equipment may be performed by any one of the multiple devices.
- the device is completed or the related functional devices are cooperatively completed.
- the network element may be separately implemented by one of the plurality of network elements, such as the SM, the MM, the SSF, the CP-AU, and the network authentication server, or at least two of the plurality of network elements.
- the network elements are coordinated.
- the method may further include: the network authentication device is further configured to send the target shared key to the service authentication device; the service authentication device is configured to receive the target shared key; the service authentication device and the user device
- the shared key used for the target shared key or based on the target shared key is used as a shared key for secure transmission of the protected data negotiated by the service authentication device with the user equipment.
- the network authentication device performs network authentication with the user equipment to generate a third shared key, and the user equipment and the service authentication device generate a second according to the obtained reference parameter and the first shared key shared in advance. Sharing the key, and then the service authentication device sends the second shared key to the network authentication device, where the network authentication device performs network authentication with the user equipment to generate a fourth shared key; the user equipment and the network authentication device are both Generating a target shared key according to the third shared key generated by the first authentication and the fourth shared key generated by the second authentication, that is, generating the target shared key takes into account related information of the service and the network Information about the security level of the target shared key.
- the method may further include: performing, by the network authentication device, the network authentication by the user equipment to generate a third shared key; and combining the reference information and the first shared key to generate a second Shared key, specific The service authentication device and the user equipment perform service authentication in combination with the reference information and the first shared key to generate a second shared key.
- the service authentication device sends the second shared key to the network authentication device; the network authentication device receives the second shared key; the network authentication device and the user device are both based on the second shared key and the third Generating the target shared key by the shared key; or using the second shared key and the third shared key as the target shared key for protecting different types of data, for example, the third shared key or based on the first
- the shared key derived by the shared key is used to protect the secure transmission of public data
- the second shared key or the shared key derived based on the second shared key is used to protect the secure transmission of specific service data.
- FIG. 3G is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may be a third party having an authentication function, for example, an AAA server with an AAA function.
- the service authentication device is an AAA server.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes steps S801 to S808. The detailed description of each step is as follows:
- Step S801 The CP-AU performs network authentication with the user equipment to generate a third shared key.
- Step S802 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and possibly a service identifier.
- Step S803 The AN receives the first request message and searches for information of the corresponding AAA server according to the first request message, for example, IP address information, MAC address information, etc., and then sends the information of the AAA server to the user equipment.
- information of the corresponding AAA server for example, IP address information, MAC address information, etc.
- Step S804 The user equipment generates a second shared key by performing service authentication with the AAA server according to the information of the AAA server, and the service authentication process uses the first shared key and reference information, and the reference information may include the user equipment.
- the identity identifies the UEID, the network parameters sent by the CP-AU to the user equipment, service parameters, and the like.
- Step S805 The AAA server sends the second shared key to the network authentication server.
- Step S806 The network authentication server is configured to receive and forward the second shared key to the CP-AU.
- Step S807 The CP-AU receives the second shared key.
- Step S808 The user equipment and the CP-AU both generate a target shared key according to the second shared key and the third shared key, and the target shared key or the shared key derived based on the target shared key is The CP-AU negotiates a shared key for secure transmission of data with the user equipment.
- the network authentication between the user equipment and the CP-AU may be completed based on the shared root key to generate a third shared secret. key.
- the AN does not need to return the AAA server information to the user equipment.
- the network authentication device when the network authentication device includes multiple devices, receiving the first request message, authenticating the user device, searching for information of the AAA server, sending the information of the AAA server to the user equipment, and receiving the second shared key may be performed.
- Completed by any one of the multiple devices or related functional devices for example, may be performed by one of a plurality of network elements, such as SM, MM, SSF, CP-AU, or the like, or in the plurality of network elements. At least two network elements are coordinated to complete.
- the third shared key or the shared key derived based on the third shared key is used to protect secure transmission of public data, and the second shared key or shared secret derived based on the second shared key The key is used to securely transfer specific business data. That is, the second shared key or the shared key derived based on the second shared key As a type of target shared key, the third shared key or the shared key derived based on the third shared key is used as another type of target shared key.
- the network authentication device performs network authentication with the user equipment to generate a third shared key, and the user equipment and the service authentication device perform network authentication according to the obtained reference parameters and the first shared key shared in advance.
- the shared key that is, the generation of the target shared key takes into account the relevant information of the service and the related information of the network, and improves the security level of the target shared key.
- FIG. 3H is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the service authentication server may be an AAA server with AAA function.
- the following embodiment uses the service authentication server as an AAA server as an example.
- the user equipment and the service authentication device share the first shared key in advance.
- the method includes steps S811 to S818. The detailed description of each step is as follows:
- Step S811 The CP-AU performs network authentication with the user equipment to generate a third shared key.
- Step S812 The user equipment sends a first request message to the AN, where the first request message may carry the identity identifier UEID of the user equipment, and may also have a service identifier.
- Step S813 The AN receives the first request message and searches for information of the corresponding AAA server according to the first request message, for example, IP address information, MAC address information, etc., and then sends the information of the AAA server to the user equipment.
- information of the corresponding AAA server for example, IP address information, MAC address information, etc.
- Step S814 The user equipment generates a second shared key by performing service authentication with the AAA server according to the information of the AAA server, and the service authentication process uses the first shared key and reference information, and the reference information may include the user equipment.
- the identity identifies the UEID, the network parameters sent by the CP-AU to the user equipment, service parameters, and the like.
- Step S815 The AAA server sends the second shared key to the network authentication server.
- Step S816 The network authentication server is configured to receive and forward the second shared key to the CP-AU.
- Step S817 The CP-AU receives the second shared key.
- Step S818 The user equipment and the CP-AU both generate a target shared key according to the second shared key and the third shared key, and the target shared key or the shared key derived based on the target shared key is The CP-AU negotiates a shared key for secure transmission of data with the user equipment.
- the third shared key or the shared key derived based on the third shared key is used to protect secure transmission of public data, and the second shared key or shared secret derived based on the second shared key
- the key is used to securely transfer specific business data. That is, the second shared key or the shared key derived based on the second shared key is used as a type of target shared key, and the third shared key or the third shared key is derived based on the third shared key.
- the shared key acts as another type of target shared key.
- the network authentication device when the network authentication device includes multiple devices, receiving the first request message, authenticating the user device, searching for information of the AAA server, sending the information of the AAA server to the user equipment, and receiving the second shared key may be performed.
- Completed by any one of the multiple devices or related functional devices for example, may be performed by one of a plurality of network elements, such as SM, MM, SSF, CP-AU, or the like, or in the plurality of network elements. At least two network elements cooperate carry out.
- the UE further includes a root key shared by the network authentication device, and the user equipment and the network authentication device mutually authenticate the third shared key based on the root key.
- the network authentication device performs network authentication with the user equipment to generate a third shared key, and the user equipment and the service authentication device perform network authentication according to the obtained reference parameters and the first shared key shared in advance.
- the shared key that is, the generation of the target shared key takes into account the relevant information of the service and the related information of the network, and improves the security level of the target shared key.
- the method may further include: the reference information is a network parameter of a cellular network where the network authentication device is located; and the second shared key is generated by combining the reference information with the first shared key, where The service authentication device and the user equipment perform service authentication according to the reference information and the first shared key to generate a second shared key.
- the service authentication device sends the second shared key to the network authentication device; the network authentication device receives the second shared key and uses the second shared key as the target shared key.
- FIG. 3I is a schematic flowchart of a network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server, where the service server is used to provide service access, and the service authentication process is performed. If a service parameter needs to be used, the service parameter may be stored in the service authentication server or in the service server.
- the user equipment and the service authentication device share the first shared key in advance.
- the method may include steps SA901 to S907. The detailed description of each step is as follows.
- Step S901 The user equipment sends a first request message to the network authentication server, where the first request message may include the identity identifier UEID of the user equipment, and may also include information related to the target service.
- Step S902 The network authentication server receives the first request message, and sends a second request message to the service authentication server according to the first request message.
- the first request message may include some identification information to indicate what service the user equipment wants to request; and the network authentication device authenticates the service after the user equipment knows which service the user equipment wants to request according to the first request message.
- the device sends a second request message, where the second request message may include an identifier (UEID) of the user equipment, and the second request message may further include a network parameter of the cellular network where the network authentication server is located.
- UEID identifier
- Step S903 The service authentication server receives the second request message.
- the service authentication server may also obtain a service parameter of the target service, where the service parameter may be stored in the service authentication server, or may be stored in the service server, when the storage is performed.
- the service authentication server sends a request message requesting the service parameter to the service server, and the service server returns the service parameter to the service authentication server accordingly.
- Step S904 The service authentication server and the user equipment perform service authentication based on the first shared key to generate a second shared key, and the service parameter, the network parameter, the UEID, and the like may also be used in the service authentication process.
- the information of the first shared key may belong to the reference information, and the service parameters and network parameters used by the user equipment may be sent by the network authentication server.
- Step S905 The service authentication server sends the second shared key to the network authentication server.
- Step S906 The network authentication server receives and forwards the second shared key to the CP-AU.
- Step S907 The CP-AU receives the second shared key, and the user equipment and the CP-AU both have the second shared key, so the second shared key can be directly determined as the target shared key.
- the target shared key or the shared key derived based on the target shared key is a shared key for secure transmission of the protected data negotiated by the CP-AU with the user equipment, and the user equipment may be omitted from the CP-AU.
- the process of network authentication is a shared key for secure transmission of the protected data negotiated by the CP-AU with the user equipment, and the user equipment may be omitted from the CP-AU.
- receiving the first request message, sending the second request message to the service authentication server, and receiving the second shared key may be performed by any one of the multiple devices.
- the related functional devices are cooperatively completed.
- one of the plurality of network elements, such as the SM, the MM, the SSF, and the CP-AU may be separately implemented, or at least two of the plurality of network elements may be cooperatively completed.
- the service authentication server and the user equipment may generate a new shared key according to the first shared key and some other information (for example, network parameters, service parameters, UEID, and the like).
- some other information for example, network parameters, service parameters, UEID, and the like.
- the service authentication server and the user equipment specifically perform the network authentication to generate the second shared key in combination with the new shared key.
- the information of the interaction may be forwarded by the network authentication device, or may not be forwarded by the network authentication device, for example, directly through a wired network.
- the user equipment and the service authentication device perform service authentication according to the obtained reference parameter and the first shared key shared in advance to generate a second shared key, and then the service authentication device uses the second shared secret.
- the key is sent to the network authentication device such that the network authentication device uses the second shared key as the target shared key. That is to say, the service authentication device and the second shared key generated by the user device directly serve as the target shared key of the network, and the second shared key can also serve as the target shared key of the service itself, which is equivalent.
- FIG. 3J is a schematic flowchart of a network authentication method according to an embodiment of the present invention
- the service authentication device may include a service authentication service and a service server, where the service server is used to provide service access, and the service authentication process If a service parameter needs to be used, the service parameter may be stored in the service authentication server or in the service server.
- the user equipment and the service authentication device share the first shared key in advance, and the method may include steps S1001 to S1007, and detailed descriptions of the respective steps are as follows.
- Step S1001 The user equipment sends a first request message to the service server.
- Step S1002 The service server receives the first request message, and sends a second request message to the CP-AU according to the first request message, where the second request message is used to request the CP-AU to feed back the network where the CP-AU is located.
- the network parameters are given to the service authentication server.
- Step S1003 The CP-AU sends the network parameter to the service authentication server.
- Step S1004 The service authentication server receives the network parameter, and sends the network parameter and the service parameter of the target service to the user equipment.
- Step S1005 The user equipment receives the network parameter and the service parameter.
- Step S1006 The service authentication server and the user equipment perform service authentication according to the first shared key, the network parameter, and the service parameter to generate a second shared key, and generate information used by the second shared key, except The first shared key may belong to the reference information.
- Step S1007 The service authentication server sends the second shared key to the CP-AU, and the CP-AU may The second shared key is also sent to the network authentication server for storage backup. Since the CP-AU and the user equipment both have the second shared key, the second shared key is used as a target shared key, and the target shared key or a shared key derived based on the target shared key. For the shared key of the CP-AU to negotiate the secure transmission of the data with the user equipment, the user equipment may be omitted from performing network authentication with the CP-AU.
- the device that receives and sends the first request message and the second request message may be the service server, or the service authentication server, or other devices included in the service authentication device.
- the device for receiving the second request message in the network authentication device may be the CP-AU, or may be other devices in the network authentication device, such as a network authentication server, a CP-AU, an MM, or a SM. , AN, etc.
- the service parameter used by the user equipment may be preset in the user equipment, in addition to being sent by the service authentication server.
- the CP-AU and the user equipment may further generate a new shared key based on the second shared key, and then generate the target shared key based on the new shared key, network parameters, and service parameters. .
- the CP-AU and the user equipment may further perform network authentication based on the second shared key to generate the target shared key.
- the service authentication device does not send the second shared key to the network authentication device, and the network authentication device only needs to know that the user device is successfully authenticated.
- the user equipment and the service authentication device perform service authentication according to the obtained reference parameter and the first shared key shared in advance to generate a second shared key, and then the service authentication device uses the second shared secret.
- the key is sent to the network authentication device such that the network authentication device uses the second shared key as the target shared key. That is to say, the service authentication device and the second shared key generated by the user device directly serve as the target shared key of the network authentication device, and the second shared key can also be used as the target sharing of the service authentication device itself.
- the key is equivalent to performing the above process to complete the two authentications of network authentication and service authentication, which improves the efficiency of authentication.
- the method may further include: the service authentication device acquiring a pre-configured fifth shared key between the user equipment and the network authentication device; combining the reference information with the first shared secret The key generates a second shared key, specifically: performing service authentication in combination with the reference information, the first shared key, and the fifth shared key to generate a second shared key.
- the service authentication device sends the second shared key to the network authentication device; the network authentication device receives the second shared key and uses the second shared key as the target shared key.
- FIG. 3K is a schematic flowchart of a network authentication method according to an embodiment of the present invention
- the service authentication device may include a service authentication server and a service server.
- the user equipment and the service authentication device share the first shared key in advance, and the user equipment and the network authentication device share the fifth shared key in advance; the method may include steps S1101 to S1106, and the detailed description of each step is as follows.
- Step S1101 The user equipment sends a first request message to the service authentication server.
- Step S1102 The service authentication server receives the first request message, and sends a second request message to the CP-AU according to the first request message, where the second request message is used to request the CP-AU to send to the service authentication server.
- the fifth shared key The fifth shared key.
- Step S1103 The CP-AU receives the second request message, and sends the fifth share to the service authentication server.
- the key (or the key derived from the fifth shared key).
- Step S1104 The service authentication server receives the fifth shared key, and may also receive the network parameter sent by the CP-AU.
- Step S1105 The service authentication server and the user equipment perform service authentication according to the first shared key and the fifth shared key to generate a second shared key, or according to the first shared key and based on the fifth shared secret
- the key-derived key is used for service authentication to generate a second shared key; the second shared key or the shared key derived based on the second shared key is used for secure transmission of the protection data negotiated by the service authentication server and the user equipment. Shared key.
- Step S1106 The service authentication server sends the second shared key to the CP-AU, and the CP-AU may also send the second shared key to the network authentication server for storage. Since the CP-AU and the user equipment both have the second shared key, the network authentication device and the user equipment use the second shared key as a target shared key, and the target shared key is shared based on the target.
- the key-derived shared key is a shared key for securely transmitting the protected data negotiated by the CP-AU with the user equipment, and the process of performing network authentication with the CP-AU by the user equipment may be omitted.
- the device for receiving the second request message in the network authentication device may be the CP-AU, or may be another device, such as a network authentication server, an MM, an SM, an AN, or the like.
- the service parameter used by the user equipment may be preset in the user equipment, in addition to being sent by the service authentication server.
- the CP-AU and the user equipment may further generate a new shared key based on the second shared key, and then generate the target shared key based on the new shared key, network parameters, and service parameters. .
- the CP-AU and the user equipment may further perform network authentication based on the second shared key to generate the target shared key.
- the service authentication device does not send the second shared key to the network authentication device, and the network authentication device only needs to know that the user device is successfully authenticated.
- the method further includes: the service authentication device sending the second shared key to the network authentication device; and the network authentication device receiving the second shared key;
- the network authentication device and the user equipment both generate the target shared key according to the second shared key and the fifth shared key; or the second shared key and the fifth shared key
- the shared key is used as a target for protecting different types of data
- the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the user equipment and the service authentication device perform service authentication according to the first shared key and the fifth shared key to generate a second shared key, and then the service authentication device sends the second shared key.
- the device is authenticated to the network such that the network authentication device uses the second shared key as the target shared key. That is to say, the service authentication device and the second shared key generated by the user device directly serve as the target shared key of the network authentication device, and the second shared key can also be used as the target sharing of the service authentication device itself.
- the key is equivalent to performing the above process to complete the two authentications of network authentication and service authentication, which improves the efficiency of authentication.
- the method may further include: the network authentication device generates network side information according to the network parameter of the cellular network in which the network authentication device is located; and the network authentication device sends the network side information to the service authentication device; Receiving, by the service authentication device, the network side information to the user equipment; combining the reference information with the first shared key Generating a second shared key, specifically: performing service authentication in combination with the network parameter and the first shared key to generate a second shared key, where the network parameter includes the network side information.
- the service authentication device sends the second shared key to the network authentication device; the network authentication device is configured to receive the second shared key and use the second shared key as the target shared key.
- FIG. 3L is a schematic flowchart of a network authentication method according to an embodiment of the present invention
- the service authentication device may include a service authentication server and a service server.
- the user equipment and the service authentication device share the first shared key in advance, and the user equipment and the network authentication device share the fifth shared key in advance;
- the method may include steps S1201 to S1207, and the detailed description of each step is as follows.
- Step S1201 The user equipment sends a first request message to the service authentication server.
- Step S1202 The service authentication server receives the first request message, and sends a second request message to the CP-AU according to the first request message, where the second request message includes the first shared key and a service parameter of the target service. .
- Step S1203 The CP-AU receives the second request message, and sends the network parameter to the service authentication server, and the network side generated based on the network parameter, the service parameter, the first shared key, and the fifth shared key. information.
- Step S1204 The service authentication server receives the network side information and the network parameter, and sends the network parameter and the service parameter to the user equipment.
- Step S1205 The user equipment receives the network parameter and the service parameter, and generates the network side information (eg, Kcombination) based on the first shared key, the fifth shared key, the network parameter, and the service parameter, where the network The side information belongs to the reference information.
- the network side information eg, Kcombination
- Step S1206 The service authentication server and the user equipment perform service authentication according to the network side information to generate a second shared key.
- Step S1207 The service authentication server sends the second shared key to the CP-AU, and the CP-AU may also send the second shared key to the network authentication server for storage. Since the CP-AU and the user equipment both have the second shared key, the CP-AU and the user equipment use the second shared key as a target shared key, and the target shared key is shared based on the target.
- the key-derived shared key is a shared key for securely transmitting the protected data negotiated by the CP-AU with the user equipment, and the user equipment may be omitted to perform network authentication with the CP-AU.
- the device for receiving the second request message in the network authentication device may be the CP-AU, or may be another device, such as a network authentication server, an MM, an SM, an AN, or the like.
- the service parameter used by the user equipment may be preset in the user equipment, in addition to being sent by the service authentication server.
- the CP-AU and the user equipment may further generate a new shared key based on the second shared key, and then generate the target shared key based on the new shared key, network parameters, and service parameters. .
- the CP-AU and the user equipment may further perform network authentication based on the second shared key to generate the target shared key.
- the service authentication device does not send the second shared key to the network authentication device, and the network authentication device only needs to know that the user device is successfully authenticated.
- the user equipment and the service authentication device perform service authentication according to the acquired network side information and the pre-shared first shared key to generate a second shared key, and then the service authentication device uses the second shared key.
- the key is sent to the network authentication device such that the network authentication device uses the second shared key as the target shared key. That is It is said that the service authentication device and the second shared key generated by the user device directly serve as a target shared key of the network authentication device, and the second shared key can also serve as a target shared key of the service authentication device itself. It is equivalent to performing the above process to complete the two certifications of network authentication and service authentication, which improves the efficiency of authentication.
- FIG. 4A is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- the method may be implemented based on the network authentication system shown in FIG. 1, and the method includes but is not limited to the following steps.
- Step S1401 The service authentication device sends the pre-stored service parameter of the target service to the network authentication device and the user equipment.
- the service authentication device pre-stores the service parameter of the target service, and the specific situation of the target service and its service parameter may be described in the method embodiment shown in FIG. 3A, and details are not described herein.
- the user equipment is not connected to the service authentication device by using a network other than the cellular network; the service authentication device may receive the first one sent by the user equipment and forwarded by the network authentication device. After the request message is sent, the service parameter is sent, and the first request message is sent by the user equipment to the service authentication device by using the network authentication device, so the service parameter can be sent to the network authentication device by using a reverse path, and then The network authentication device forwards to the user equipment.
- the first request message carries the identity of the user equipment
- the network authentication device when sent to the network authentication device, the network authentication device adds information about the cellular network where the network authentication device is located (for example, the network
- the service authentication device can send the service parameter to the network authentication device and the user device in sequence based on the identity of the user device and related information of the cellular network.
- the user equipment is not connected to the service authentication device by using a network other than the cellular network, and the service authentication device may send the service after receiving the second request message by the network authentication device.
- the service authentication device receives the second request message sent by the network authentication device, and feeds back the service parameter to the network authentication device. After receiving the service parameter, the network authentication device sends the service parameter to the user device.
- the user equipment establishes a communication connection with the service authentication device by using a network other than the cellular network, and the service authentication device may receive the second request message sent by the network authentication device.
- the second request message may carry related information (such as a network identifier) of the network authentication device, so that the service authentication device may send the service parameter to the network authentication device according to the related information. And returning the service parameter to the user equipment according to the path of receiving the first request message.
- Step S1402 The network authentication device and the user equipment receive the service parameter.
- Step S1403 The network authentication device and the user equipment perform network authentication to generate a target shared key by combining the service parameter and the original shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication.
- the shared key that the device negotiates with the user device to securely transfer data is equivalent to the fifth shared key described above, that is, the original shared key is a shared key shared by the network authentication device and the user equipment in advance.
- the method further includes: the network authentication device and the user equipment, in combination with the service parameter and the original shared key, perform network authentication to generate a target shared key, specifically: a network authentication device and the user equipment.
- the authentication shared key is generated in combination with the service parameter and the original shared key.
- the network authentication device and the user equipment perform network authentication according to the authentication shared key to generate a target shared key.
- the service authentication device sends a service parameter to the network authentication device, where the network
- the authentication device generates a target shared key according to the original shared key that it has previously shared with the user device and the service parameter. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- FIG. 5A is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- the method may be implemented based on the network authentication system shown in FIG. 1, and the method includes but is not limited to the following steps.
- Step S1701 The service authentication device acquires an identity identifier of the user equipment.
- Step S1702 The service authentication device generates an identity key by combining the service public key, the service private key, and the identity identifier, and sends the identity key and the service public key to the network authentication device.
- Step S1703 The network authentication device receives the identity key, and generates an authentication root key according to the identity key, the service public key, and the network parameter, where the network parameter is a parameter related to a cellular network where the network authentication device is located.
- the above description of the network parameters is not described here.
- the authentication root key is generated by combining the identity key, the service public key, and the network parameter, and specifically, the information needed to generate the authentication root key includes but is not limited to the identity key, the service public key, and network parameters.
- Step S1704 The network authentication device writes the authentication and the key to the user equipment.
- the network authentication device can write the authentication root key to the global subscriber identity card (English: Universal Subscriber Identity Module, USIM for short: USIM) And the USIM card is used to configure to the user equipment, so it can be seen that the network authentication device writes the authentication root key to the user equipment.
- the network authentication device writes the authentication root key to the user equipment, including the network authentication device directly writing the user equipment, and the network authentication device writes the user equipment through other devices, and includes other devices.
- the authentication root key in the network authentication device is invoked and written to the user equipment.
- Step S1705 The network authentication device and the user equipment are configured to perform network authentication by using the authentication root key to generate a target shared key, and the target shared key or the shared key derived based on the target shared key is the network authentication device.
- a shared key that secures data transmissions negotiated with the user equipment For ease of understanding, the following description is made in conjunction with a specific scenario according to FIG. 5B.
- FIG. 5B is a schematic flowchart of another network authentication method according to an embodiment of the present invention
- the service authentication device may include a service authentication server and a service server.
- the user equipment and the network authentication device share the first shared key in advance; the method may include steps S1801 to S1806, and detailed descriptions of the respective steps are as follows.
- Step S1801 The user equipment sends a first request message to the service authentication server, where the first request message includes the identity of the user equipment.
- the foregoing embodiment has a description of the identity of the user equipment, and details are not described herein again.
- the business public key can be understood as an IBS-based global public key; the business private key can be understood as an IBS-based global private key.
- Step S1802 The service authentication server receives the first request message, and according to its own service private key (English: Secret Key, abbreviated as: SK), a service public key (English: public key, PK for short), and the user equipment The identity generates an identity key.
- service private key English: Secret Key, abbreviated as: SK
- service public key English: public key, PK for short
- Step S1803 The service authentication server sends the identity key, the service public key, and the identity of the user equipment to the CP-AU.
- Step S1804 The CP-AU receives the identity key, the service public key, and the identity of the user equipment, and generates an authentication root key in combination with the identity key, the service public key, and the identity of the user equipment.
- Step S1805 The CP-AU writes the authentication root key to the user equipment. Optional, you can change the identity The key and the service public key are written to the user equipment. If the identity key and the service public key are written, the subsequent user equipment and the network authentication device can mutually authenticate based on the identity key and the service public key based on the IBS.
- Step S1806 The CP-AU and the user equipment perform network authentication based on the authentication root key to generate a target shared key.
- the CP-AU sends the generated target shared key to the service authentication server, so that the service authentication server and the user equipment share the key or the shared key derived based on the target shared key.
- the CP-AU may obtain an authentication vector from the network authentication server to perform network authentication with the user equipment.
- the service authentication device sends a service public key and an identity key to the network authentication device, and the network authentication device generates an authentication according to the information of the network where the network is located, the identity key, and the service public key.
- the root key, the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- FIG. 6A is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- the method may be implemented based on the network authentication system shown in FIG. 1, and the method includes but is not limited to the following steps.
- Step S1901 The service authentication device performs service authentication with the user equipment to generate a reference shared key.
- the user equipment establishes a communication connection with the service authentication device through a network other than the cellular network, and the user equipment and the service authentication device may be based on a certificate, a username and password, an identity-based password mechanism, and a preset shared key. Conduct business certification.
- the authentication shared key may be generated based on information such as the identity identifier of the user equipment, the service parameter of the target service managed by the service authentication device, and the like. Taking the UEID as an example, the user equipment may send a request message to the service authentication device, where the request message carries the UEID.
- Step S1902 The service authentication device sends the reference shared key to the network authentication device.
- the information sent by the service authentication device may further include related information of the user equipment, for example, a UEID, an IP address, a MAC address, and the like.
- the service authentication device can know which user equipment needs to generate a target shared key based on the reference shared key.
- Step S1903 The network authentication device receives the reference shared key.
- Step S1904 The network authentication device and the user equipment generate a target shared key in combination with the reference shared key, and the target shared key or the shared key derived based on the target shared key negotiates with the user equipment for the network authentication device.
- the information that the user equipment and the network authentication device need to refer to to generate the target shared key includes at least the reference shared key.
- the method may further include: the network authentication device sends the network parameter of the cellular network where the network authentication device is located to the user equipment; the network authentication device and the user equipment combine the reference shared key Generating a target shared key, where the network authentication device and the user equipment generate an authentication shared key according to the network parameter and the reference shared key; the network authentication device and the user equipment perform network according to the authentication shared key Authentication generates a target shared secret.
- the network authentication device sends the network parameter of the cellular network where the network authentication device is located to the user equipment; the network authentication device and the user equipment combine the reference shared key Generating a target shared key, where the network authentication device and the user equipment generate an authentication shared key according to the network parameter and the reference shared key; the network authentication device and the user equipment perform network according to the authentication shared key Authentication generates a target shared secret.
- FIG. 6B is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2001-S2009, A detailed description of each step is as follows.
- Step S2001 The user equipment and the service authentication server perform service authentication to generate a reference shared key, or the service authentication device and the user equipment directly pre-configure a reference shared key, where the reference shared key is the user equipment and the service.
- Step S2002 The service authentication server sends the reference shared key to the network authentication server.
- Step S2003 The network authentication server receives the reference shared key and sends the network parameter to the service authentication server.
- Step S2004 The service authentication server receives the network parameter and forwards the network parameter to the user equipment.
- the network authentication server may directly send the network parameter to the user equipment.
- Step S2005 The network authentication server generates an authentication shared key according to the reference shared key and the network parameter.
- Step S2006 The network authentication server sends the authentication shared key to the CP-AU.
- Step S2007 The CP-AU receives the authentication shared key.
- Step S2008 The user equipment generates the authentication shared key according to the reference shared key and the network parameter.
- Step S2009 The CP-AU and the user equipment are configured to perform network authentication according to the authentication shared key to generate a target shared key.
- the fifth shared key may be shared between the network authentication device and the user equipment, so that the network authentication device and the user equipment may be based on the fifth shared key and the reference shared secret.
- the mutual authentication of the key generates the target root key.
- the method may further include: the network authentication device transmitting the target shared key to the service authentication device; the service authentication device receiving the target shared key; the service authentication device and the The user equipment uses the target shared key or the shared key derived based on the target shared key as a shared key for secure transmission of the protected data negotiated by the service authentication device and the user equipment. That is, after the network authentication device performs network authentication with the user equipment, the network authentication device sends the result of the network authentication to the service authentication device, and the service authentication device can directly use the result of the network authentication instead of It is necessary to perform service authentication with the user equipment to generate a shared key for encrypting the transmitted data.
- the service authentication device performs service authentication with the user equipment to generate a reference shared key, and then the network authentication device sends the reference shared key to the network authentication device and forwards the And determining, by the network authentication device, the network authentication device and the user device, according to the reference shared key and the network parameter, an authentication shared key, and performing network authentication based on the authentication shared key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- FIG. 6C is a schematic flowchart of still another network authentication method according to an embodiment of the present invention.
- the method may be implemented based on the network authentication system shown in FIG. 1, and the method includes but is not limited to the following steps.
- Step S2101 The network authentication device generates an access token that is encrypted by the initial shared key, where the initial shared key is a key shared by the network authentication device and the service authentication device in advance;
- Step S2102 The network authentication device sends the access token to the user equipment.
- Step S2103 The user equipment receives the access token and sends the access token to the service authentication. device;
- Step S2104 The service authentication device receives the access token and verifies the correctness of the access token by using the initial shared key.
- Step S2105 The service authentication device sends an authentication success message to the user equipment when it is verified that the access token is correct, to notify that the service authentication is successfully completed with the user equipment.
- the access token includes a target shared key
- the user equipment and the service authentication device are used to successfully complete service authentication between the user equipment and the service authentication device. And sharing the target shared key in the access token or the shared key based on the target shared key as a shared secret for secure transmission of protection data negotiated by the service authentication device and the user equipment. key.
- the target shared key is a shared key obtained by the network authentication device and the user equipment for network authentication.
- the access token includes at least one of a network parameter, a service parameter, an identity of the user equipment, and a fresh parameter nonce.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, a delay, and a service server.
- the network parameter includes at least one of an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier .
- the access token may further include a message authentication code generated by the initial shared key for at least one of a network parameter, a service parameter, an identity of the user equipment, and a fresh parameter nonce.
- the message authentication code When the message authentication code is included, the correctness of the message authentication code needs to be verified based on the initial shared key in step S2104, and the service authentication device in step S2105 verifies that the access token is correct.
- the user equipment sends a verification success message, where the service authentication device sends an authentication success message to the user equipment when verifying that the access token is correct and verifying that the message authentication code is correct.
- FIG. 6D is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2201 to S2207, and the detailed description of each step is as follows.
- Step S2201 The user equipment UE performs network authentication with the network authentication device, and the shared key generated by the network authentication is the network shared key K1; the UE may send the service to the network authentication device before or after the network authentication or during the network authentication process.
- the information about the device is authenticated to indicate that the UE needs to be authenticated with the service authentication device.
- Step S2202 The network authentication device determines, according to the related information of the service authentication device, an initial shared key K0 shared by the network authentication device with the service authentication device in advance; based on network parameters, service parameters, identity identifiers of the user equipment, and fresh parameters. At least one of the nonce to generate an access token token.
- token Enc_K0_(K2, basic information, MAC), that is, the access token token is an encryption of the K2, the basic information and the MAC by using the initial shared key K0; wherein K2 is the network
- the shared key determined by the authentication device may be used as a shared key for protecting data transmission between the user equipment and the service authentication device, and the basic information includes at least one of a network parameter, a service parameter, an identity of the user equipment, and a new parameter nonce.
- MAC MAC_K0_ (fresh parameter and/or basic information), that is, the MAC is the message authentication code of the basic information, or the message authentication code of the fresh parameter (the fresh parameter here may be the same as the fresh parameter in the basic information) Different), or the basic information and the message authentication of the fresh parameter
- the code; the message authentication code MAC is generated using the initial shared key K0.
- the network authentication device needs to send the used fresh parameter to the UE, and the UE sends the parameter to the service authentication device, and the service authentication device can pass the service authentication device.
- Fresh parameters verify the freshness of the token.
- KDF K1, basis
- the related information of the service authentication device is information that can distinguish the service authentication device from other devices within a certain range, for example, an IP address of the service authentication device, or a service ID.
- Step S2203 The network authentication device sends the K2 and the token to the UE, and may also send related information of the network authentication device, where the related information of the network authentication device may include network parameters.
- Step S2204 The UE receives the K2 and the token and sends the token and related information of the network authentication device to the service authentication device.
- the UE may generate related information of the network authentication device by itself, or may receive information about the network authentication device sent by the network authentication device when the network authentication device performs network authentication with the network authentication device, preferably, the UE.
- the information about the network authentication device sent by the network authentication device is received in step S2203.
- Step S2205 The service authentication device receives the token and related information of the network authentication device, determines an initial shared key K0 shared with the network authentication device in advance according to the related information of the network authentication device, and obtains the share by using K0 decryption token.
- Key K2 the basic information and the message authentication code MAC; then verifying the correctness of the MAC according to K0, and verifying that the MAC is successful indicates that the service authentication device successfully authenticates the token. Therefore, the service authentication device uses the K2 as a shared key with the UE for protecting data transmission.
- Step S2206 The service authentication device sends a message to the UE to notify that the authentication token is successful, and accordingly, the UE receives the message.
- Step S2207 The service authentication device and the UE use the shared key K2 as a shared key for secure transmission of user protection data between the UE and the service authentication device.
- both the UE and the service authentication device may be based on the shared key K3 derived from the K1.
- the shared key of the encrypted token is K1 instead of K0.
- the service authentication device forwards the token and the related information of the UE to the network authentication device according to the related information of the network authentication device; the network authentication device is configured according to the The related information of the UE determines the shared key K1 generated by the UE authentication, and then decrypts the token according to K1, and verifies the correctness of the MAC in the token. If the verification succeeds, the UE and the service authentication device are successfully authenticated, so K2 is sent to the service authentication device, so that the UE and the service authentication device use the K2 as a shared key for secure transmission of data.
- the related information of the UE may be sent by the UE to the service authentication device, and then sent by the service authentication device to the network authentication device, where the related information of the UE may be an identity of the UE.
- FIG. 6E is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the authentication device may include a service authentication server and a service server.
- the method may include steps S2301 to S2305, and the detailed description of each step is as follows.
- Step S2301 The user equipment UE performs network authentication with the network authentication device, and the shared key generated by the network authentication is the network shared key K1; the UE may send the service to the network authentication device before or after the network authentication or during the network authentication process.
- the information about the device is authenticated to indicate that the UE needs to be authenticated with the service authentication device.
- Step S2302 The network authentication device determines, according to the related information of the service authentication device, an initial shared key K0 shared by the network authentication device with the service authentication device in advance; based on network parameters, service parameters, identity identifiers of the user equipment, and fresh parameters. At least one of the nonce generates an access token token and encrypts the access token token by the initial shared key K0.
- the network authentication device needs to send the used fresh parameter to the UE, and the UE sends the parameter to the service authentication device, and the service authentication device can pass the service authentication device.
- Fresh parameters verify the freshness of the token.
- Step S2303 The network authentication device sends a token to the UE, and may also send related information of the network authentication device, where related information of the network authentication device may include the network parameter.
- Step S2304 The UE receives the token and sends the token and related information of the network authentication device to the service authentication device.
- Step S2305 The service authentication device receives the token and related information of the network authentication device, determines an initial shared key K0 shared with the network authentication device in advance according to the related information of the network authentication device, and then verifies the correctness of the MAC according to K0. After the MAC address is successfully verified, the service authentication device verifies that the token is successful. So far, the UE successfully completes the authentication with the service authentication device.
- the shared key for generating the token is K1 instead of K0
- the service authentication device forwards the token and the related information of the UE to the network authentication device according to the information about the network authentication device after receiving the token; the network authentication device is configured according to the The related information of the UE determines the shared key K1 generated by the UE authentication, and then verifies the correctness of the MAC in the token. If the verification succeeds, the UE and the service authentication device are successfully authenticated, so the UE and the service authentication device are considered. A notification message is sent to notify the UE that the authentication is successful with the service authentication device.
- FIG. 6F is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2401 to S2408, and the detailed description of each step is as follows.
- Step S2401 The user equipment UE performs network authentication with the network authentication device.
- Step S2402 The network authentication device generates an authentication token token and an expiration information of the token after the network authentication is passed, and the expiration information is used to indicate when the token expires; and the range information may be generated, where the range information is used to represent the token. Which service authentication device is used by; or the range information is used to characterize which user devices the token can be used by.
- Step S2403 The network authentication device sends the token to the UE.
- the network authentication device may also send information related to the network authentication device, where the information related to the network authentication device is used to indicate that the token is from the network authentication device.
- Step S2404 The user equipment sends the token and related information of the network authentication device to the service authentication device.
- Step S2405 The service authentication device receives the token and the related information of the network authentication device, and sends the token to the network authentication device according to the related information of the network authentication device; the sent message may further include the UE ID and the service authentication device. At least one of the related information.
- Step S2406 The network authentication device receives the token, determines whether the token is a token generated by itself, and if the token is a token generated by itself, further determines whether the token expires according to the expired information, and if not expired, the token is successfully verified. .
- the network authentication device when the network authentication device generates the range information, the network authentication device further needs to determine, according to the range information, whether the service authentication device that sends the token is a service authentication device allowed in the range information, if the service is allowed. If the device is authenticated and the token has not expired, it indicates that the token is successful.
- the range information is used to indicate that the user equipment is used by the user equipment
- the network authentication device further needs to determine, according to the range information, whether the user equipment is a user equipment allowed in the range information, if the user equipment is The user equipment is allowed and the service authentication device is an allowed service authentication device, and the token is not expired, indicating that the authentication token is successful.
- the information about the service authentication device is not included in step S2405, and the network authentication device may also determine related information of the service authentication device according to the source of the received token.
- the user equipment may send the related information of the user equipment to the service authentication device, and then The service authentication device is sent to the network authentication device together in step S2405.
- Step S2407 If the verification token is successful, the network authentication device sends a message to the service authentication device to notify that the token verification is successful.
- Step S2408 The service authentication device sends a message to the UE to notify that the token verification is successful. Both the service authentication device and the UE are aware that the token verification succeeds, that is, the authentication between the service authentication device and the UE is successful.
- FIG. 6G is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2501 to S2508, and the detailed description of each step is as follows.
- Step S2501 The user equipment UE performs network authentication with the network authentication device, and the shared key generated by the network authentication is the network shared key K1.
- Step S2502 The UE generates an access token token based on at least one of a network parameter, a service parameter, an identity of the user equipment, and a fresh parameter nonce, and encrypts the access token token by the network shared key K1.
- token Enc_K1_(K2, basic information, MAC), that is, the access token token is generated by using K1 to K2, basic information and MAC encryption; wherein K2 is a subsequent possibility determined by the UE.
- MAC MAC_K1_ (fresh parameters and/or basic information), That is, the MAC is the message authentication code of the basic information, or the message authentication code of the fresh parameter (the fresh parameter here may be the same as the fresh parameter in the basic information), or the basic information and the message of the fresh parameter Authentication code; the message authentication code MAC is generated by the network shared key K1.
- the UE also needs to send the used fresh parameter to the service authentication device, and the service authentication device forwards the fresh parameter to the network authentication device, and subsequently The network authentication device can verify the freshness of the token through the fresh parameter.
- KDF K1, basis
- Step S2503 The UE sends the token to the service authentication device.
- Step S2504 The service authentication device receives the token sent by the UE and forwards the token to the network authentication device, and the service authentication device may further send related information (including but not limited to the UE ID) of the UE to the network authentication device.
- the related information may be sent by the UE to the service authentication device, and the related information may distinguish the UE from other devices within a certain range.
- Step S2505 The network authentication device receives the token and the related information of the UE; finds the network shared key K1 generated by the UE network authentication according to the related information of the UE, and obtains the shared key K2 by using K1 decryption token.
- the basic information and the message authentication code MAC then verifying the correctness of the MAC according to K1, and if the MAC is correct, the verification token is successful.
- Step S2506 If the verification token is successful, the network authentication device sends a message to the service authentication device to notify the token that the verification is successful, and the notification message further includes the shared key K2 obtained from the token;
- Step S2507 The service authentication device sends a message to the UE to notify that the token verification is successful. Both the service authentication device and the UE are aware that the token verification succeeds, that is, the authentication between the service authentication device and the UE is successful.
- Step S2508 The UE and the service authentication device use the K2 as a shared key between the UE and the service authentication device for protecting data security transmission.
- FIG. 6H is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2601 to S2607, and the detailed description of each step is as follows.
- Step S2601 The user equipment UE performs network authentication with the network authentication device, and the shared key generated by the network authentication is the network shared key K1.
- Step S2602 The UE generates an access token token based on at least one of a network parameter, a service parameter, an identity of the user equipment, and a new parameter nonce.
- the UE also needs to send the used fresh parameter to the service authentication device, and the service authentication device sends the fresh parameter to the network authentication device, and subsequently The network authentication device can verify the freshness of the token through the fresh parameter.
- Step S2603 The UE sends the token to the service authentication device.
- Step S2604 The service authentication device receives the token sent by the UE, and forwards the token to the network authentication device, where the service authentication device may further send related information of the UE to the network authentication device, where the related information may be sent by the UE.
- the related information may distinguish the UE from other devices within a certain range.
- the related information of the user device may be an identity (UEID) of the user device.
- Step S2605 The network authentication device receives the token and the related information of the UE; finds the network shared key K1 generated by the UE network authentication according to the related information of the UE, and verifies the correctness of the MAC according to K1, if the MAC is verified. Correct means that the verification token is successful.
- Step S2606 If the verification token is successful, the network authentication device sends a message to the service authentication device to notify that the token verification is successful.
- Step S2607 The service authentication device sends a message to the UE to notify that the token verification is successful. Both the service authentication device and the UE are aware that the token verification succeeds, that is, the authentication between the service authentication device and the UE is successful.
- the UE first establishes two-way authentication with the service authentication device, and the UE or the service authentication device generates a token; afterwards, the UE sends a token to the network authentication device, and the network authentication device can If you verify the correctness of the token yourself, you may also send the token to the service authentication device.
- the service authentication device verifies the correctness of the token and sends the verification result to the network authentication device. It is equivalent to replacing the service authentication device involved in the 6C-6H with the network authentication device.
- case one token Enc_K0_ (K2, basic information, MAC_K0_ (basic information and/or nonce)
- FIG. 6I is a schematic flowchart of another network authentication method according to an embodiment of the present invention.
- the service authentication device may include a service authentication server and a service server.
- the method may include steps S2708 to S2707, and the detailed description of each step is as follows.
- Step S2701 The user equipment UE performs service authentication with the service authentication device, and the generated shared key is the service sharing key K1.
- the UE may send the network authentication device to the service authentication device before or after the service authentication or during the service authentication process. Relevant information to indicate that the UE needs to be authenticated with the network authentication device.
- Step S2702 The service authentication device determines, according to the related information of the network authentication device, an initial shared key K0 shared by the network authentication device with the service authentication device in advance; based on network parameters, service parameters, identity identifiers of the user equipment, and fresh parameters. At least one of the nonce to generate an access token token.
- token Enc_K0_(K2, basic information, MAC), that is, the access token token is an encryption of the K2, the basic information and the MAC by using the initial shared key K0; wherein K2 is the service
- the shared key determined by the authentication device may be used as a shared key for protecting data transmission between the user equipment and the network authentication device, and the basic information includes at least one of a network parameter, a service parameter, an identity of the user equipment, and a new parameter nonce.
- MAC MAC_K0_ (fresh parameters and/or basic information), That is, the MAC is the message authentication code of the basic information, or the message authentication code of the fresh parameter (the fresh parameter here may be the same as the fresh parameter in the basic information), or the basic information and the message of the fresh parameter Authentication code; the message authentication code MAC is generated using the initial shared key K0.
- the service authentication device needs to send the used fresh parameter to the UE, and the UE sends the signal to the network authentication device, and the network authentication device can pass the network authentication device.
- Fresh parameters verify the freshness of the token.
- KDF K1, basis Information
- the related information of the network authentication device is information that can distinguish the network authentication device from other devices within a certain range, for example, may be an IP address of the network authentication device.
- Step S2703 The service authentication device sends the K2 and the token to the UE, and may also send related information of the service authentication device, where the related information of the service authentication device may include the service parameter.
- Step S2704 The UE receives the K2 and the token and sends the token and related information of the service authentication device to the network authentication device.
- the UE may generate the related information of the service authentication device by itself, or may receive the related information of the service authentication device sent by the service authentication device at the time of the service authentication with the service authentication device, or preferably,
- the E receives the related information of the service authentication device sent by the service authentication device.
- Step S2705 The network authentication device receives the token and related information of the service authentication device, determines an initial shared key K0 shared with the service authentication device in advance according to the related information of the service authentication device, and obtains the share by using K0 decryption token.
- Key K2 the basic information and the message authentication code MAC; then verifying the correctness of the MAC according to K0, and verifying that the MAC succeeds indicates that the network authentication device successfully authenticates the token. Therefore, the network authentication device uses the K2 as a shared key with the UE for protecting data transmission.
- Step S2706 The network authentication device sends a message to the UE to notify that the authentication token is successful, and accordingly, the UE receives the message.
- Step S2707 The network authentication device and the UE use the shared key K2 as a shared key for secure transmission of user protection data between the UE and the network authentication device.
- the shared key of the encrypted token is K1 instead of K0, and the network authentication device forwards the token and related information of the UE to the service authentication device according to the information about the service authentication device after receiving the token; the service authentication device is configured according to the The related information of the UE determines the shared key K1 generated by the UE authentication, and then decrypts the token according to K1, and verifies the correctness of the MAC in the token. If the verification succeeds, the UE and the network authentication device are successfully authenticated, so K2 is sent to the network authentication device, so that the UE and the network authentication device use the K2 as a shared key for secure transmission of data.
- the related information of the UE may be sent by the UE to the service authentication device, and related information of the UE may be an identity of the UE.
- FIG. 6C to FIG. 6I may be further expanded, and the following ideas are expanded:
- K1 is the shared key between the UE and the network authentication device, including but not limited to Kasme, encryption key (English: At least one of cihper key (abbreviation: CK) and integrity protection key (English: integrity key, IK for short).
- the PK_ service represents the public key parameter of the service provided by the service authentication device
- the SK_network represents the private key parameter of the carrier network where the network authentication device is located.
- the service authentication device can decrypt the token according to its own private key SK_service decryption; and verify the correctness of the signature in the token by using the public key PK_network of the operator network where the network authentication device is located.
- the encryption and signature algorithm here may be an asymmetric cryptography technology based on a public key infrastructure (PKI) or an identity-based cryptography.
- PKI public key infrastructure
- FIG. 7 is a schematic structural diagram of a service authentication device 70 according to an embodiment of the present invention.
- the service authentication device 70 may include a first obtaining unit 701 and a sending unit 702, where detailed descriptions of the respective units are as follows.
- the first acquiring unit 701 is configured to acquire reference information and generate a second shared key in combination with the reference information and the first shared key, where the first shared key is pre-configured between the user equipment and the service authentication device.
- a shared key the user equipment is configured to acquire the reference information, and generate the second shared key by using the reference information and the first shared key, where the reference information includes the user equipment, network authentication At least one pre-associated information between the device and the service authentication device;
- the sending unit 702 is configured to send the second shared key to the network authentication device, where the second shared key is used by the user equipment and the network authentication device to generate a target shared key, where the target is shared.
- the key or the shared key derived based on the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the first acquiring unit 701 generates a second shared key by using the reference information and the first shared key, specifically:
- the method further includes:
- a first receiving unit configured to receive the target shared key sent by the network authentication device
- a generating unit configured to use the target shared key or a shared key derived based on the target shared key as A shared key for securely transmitting data protected by the service authentication device and the user equipment.
- the method further includes:
- a generating unit configured to use the second shared key or the shared key derived based on the second shared key as a shared key for secure transmission of protection data negotiated by the service authentication device and the user equipment.
- the method further includes:
- a second acquiring unit configured to acquire a pre-configured fifth shared key between the user equipment and the network authentication device
- the first acquiring unit 701 generates a second shared key by combining the reference information and the first shared key, specifically:
- the method further includes:
- a second receiving unit configured to receive network side information generated by the network authentication device according to a network parameter of the cellular network where the network authentication device is located, and forward the network side information to the user equipment;
- the first acquiring unit 701 generates a second shared key by combining the reference information and the first shared key, specifically:
- the reference information includes at least one of a network parameter of a cellular network in which the network authentication device is located and a service parameter of a target service.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, and a service data rate. At least one of a delay, and a service server identifier;
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow At least one of the identifiers.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device uses the second shared key. Sending to the network authentication device, so that the network authentication device obtains the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- FIG. 8 is a schematic structural diagram of a user equipment 80 according to an embodiment of the present invention.
- the user equipment 80 may include an obtaining unit 801 and a generating unit 802, where detailed descriptions of the respective units are as follows.
- the obtaining unit 801 is configured to acquire reference information and generate a second shared key in combination with the reference information and the first shared key;
- the first shared key is a pre-configured shared secret between the user equipment and the service authentication device.
- the service authentication device is configured to acquire the reference information, and generate the second shared key by using the reference information and the first shared key, where the service authentication device is further configured to use the second
- the shared key is sent to the network authentication device;
- the generating unit 802 is configured to generate a target shared key according to the second shared key, where the target shared key or the shared key derived based on the target shared key negotiates with the user equipment for the network authentication device Protection number According to the shared key of secure transmission.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the acquiring unit generates a target shared key according to the second shared key, specifically:
- the second shared key or a shared key derived based on the second shared key is used as the target shared key.
- the acquiring unit generates a target shared key according to the second shared key, specifically:
- the method further includes:
- An authentication unit configured to perform network authentication with the network authentication device to generate a third shared key
- the acquiring unit and the network authentication device generate a target shared key according to the second shared key or according to the shared key derived based on the second shared key, specifically:
- the network authentication device performs network authentication according to the second shared key to generate a fourth shared key
- the generating unit 802 generates a target shared key according to the second shared key, specifically:
- the generating unit 802 generates a target shared key according to the second shared key, specifically:
- the target shared key of the data, and the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the acquiring unit generates a second shared key by using the reference information and the first shared key, specifically:
- the fifth shared key is the user equipment and the network authentication A shared key pre-configured between the devices, where the service authentication device is configured to acquire the fifth shared key.
- the acquiring unit generates a second shared key by using the reference information and the first shared key, specifically:
- the service authentication device combines the reference information and the first shared key to perform service authentication to generate a second shared key.
- the method further includes:
- a first receiving unit configured to receive, by the service authentication device, network side information from the network authentication device, where the network side information is the network authentication device according to the fifth shared key and the first obtained a shared key generation, where the fifth shared key is a pre-configured shared key between the user equipment and the network authentication device;
- the acquiring unit generates a second shared key by combining the reference information and the first shared key, specifically:
- the reference information includes at least one of a network parameter of a cellular network in which the network authentication device is located and a service parameter of a target service.
- the method when the reference information includes the service parameter, the method further includes:
- a second receiving unit configured to receive the service parameter from the service authentication device that is forwarded by the network authentication device.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, and a service data rate. At least one of a delay, and a service server identifier;
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow At least one of the identifiers.
- each unit may also correspond to the corresponding description of the method embodiment.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device sends the second shared key.
- the device is authenticated to the network such that the network authentication device obtains the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- FIG. 9 is a schematic structural diagram of a network authentication device 90 according to an embodiment of the present invention.
- the network authentication device 90 may include a receiving unit 901 and a first generating unit 902, where detailed descriptions of the respective units are as follows.
- the receiving unit 901 is configured to receive a second shared key that is sent by the service authentication device, where the service authentication device and the user equipment are used to generate the second shared key by combining the first shared key and the reference information, where the first shared secret is
- the key is a pre-configured shared key between the user equipment and the service authentication device, and the reference information includes at least one pre-associated information of the user equipment, the network authentication device, and the service authentication device. ;
- the first generating unit 902 is configured to generate a target shared key according to the second shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and the user The shared key negotiated by the device to securely transfer data.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the pre-shared first shared key, and then the service authentication device sends the second shared key to the network authentication device. And causing the network authentication device to obtain the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- the first generating unit 902 generates a target shared key according to the second shared key, specifically:
- the method further includes:
- An authentication unit configured to perform network authentication with the user equipment to generate a third shared key
- the authentication unit and the user equipment generate the target shared key according to the second shared key or the network authentication based on the shared key based on the second shared key, specifically:
- the user equipment generates the target shared key according to the third shared key and the fourth shared key.
- the first generating unit 902 generates a target shared key according to the second shared key, specifically:
- the user equipment uses the second shared key or a shared key derived based on the second shared key as a target shared key.
- the first generating unit 902 generates a target shared key according to the second shared key, specifically:
- the first generating unit 902 generates a target shared key according to the second shared key, specifically:
- the target shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the method further includes:
- An obtaining unit configured to acquire the first shared key from the service authentication device
- a second generating unit configured to generate network side information according to the first shared key and the fifth shared key, where the fifth shared key is a pre-configured sharing between the user equipment and the network authentication device Key
- the network authentication device sends the network side information to the service authentication device, so that the service authentication device forwards the network side information to the user equipment, where the network parameter belongs to the reference information.
- the method further includes:
- a sending unit configured to send the target shared key to the service authentication device, where the target shared key or a shared key derived based on the target shared key is used as the service authentication device and the user
- the shared key negotiated by the device to securely transfer data.
- the reference information includes network parameters of a cellular network where the network authentication device is located And at least one of the business parameters of the target business.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, and a service data rate. At least one of a delay, and a service server identifier;
- the network parameter includes an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow At least one of the identifiers.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the user equipment and the service authentication device generate a second shared key according to the obtained reference parameter and the first shared key shared in advance, and then the service authentication device uses the second shared key. Sending to the network authentication device, so that the network authentication device obtains the target shared key based on the second shared key. That is to say, generating the target shared key takes into account the related information of the service and the related information of the network, and improves the security level of the target shared key.
- FIG. 10 is a schematic structural diagram of a service authentication device 100 according to an embodiment of the present invention.
- the service authentication device 100 may include a sending unit 1001.
- the sending unit 1001 is configured to send the pre-stored service parameters of the target service to the network authentication device and the user equipment, so that the network authentication device and the user equipment generate the target shared key by combining the service parameter and the original shared key.
- the shared key derived from the target shared key or the shared key based on the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment, where the original shared key is A pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, a service data rate, At least one of the delay and the business server ID.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the service authentication device 100 shown in FIG. 10 the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target share according to the original shared key shared by the user device in advance and the service parameter. Key. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- FIG. 11 is a schematic structural diagram of a user equipment 110 according to an embodiment of the present invention.
- the user equipment 110 may include a receiving unit 1101 and a generating unit 1102. The detailed description of each unit is as follows.
- the receiving unit 1101 is configured to receive a service parameter of the pre-stored target service that is sent by the service authentication device, where the service authentication device is further configured to send the service parameter to the network authentication device;
- the generating unit 1102 is configured to combine the service parameter and the original shared key generation target with the network authentication device. a shared key, the shared key derived based on the target shared key or a shared key for secure transmission of protection data negotiated by the network authentication device and the user equipment, the original shared secret
- the key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the generating unit 1102 and the network authentication device generate a target shared key by combining the service parameter and the original shared key, specifically:
- the network authentication device performs network authentication according to the service parameter and the original shared key to generate a target shared key
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, and a service data rate. At least one of the delay, the business server ID.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared secret according to the original shared key shared by the user device and the service parameter. key. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- FIG. 12 is a schematic structural diagram of a network authentication device 120 according to an embodiment of the present invention.
- the network authentication device 120 may include a receiving unit 1201 and a generating unit 1202, where detailed descriptions of the respective units are as follows.
- the receiving unit 1201 is configured to receive a service parameter of the pre-stored target service that is sent by the service authentication device, where the service authentication device is further configured to send the service parameter to the user equipment;
- the generating unit 1202 is configured to generate a target shared key by combining the service parameter and the original shared key with the user equipment, where the target shared key or the shared key derived based on the target shared key is the network authentication A shared key for securely transmitting data that is negotiated by the device with the user equipment, where the original shared key is a pre-configured shared key between the user equipment and the network authentication device.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared key according to the original shared key and the service parameter that the user has previously shared with the user device. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- the generating unit 1202 and the user equipment generate a target shared key by combining the service parameter and the original shared key, specifically:
- the user equipment performs network authentication according to the service parameter and the original shared key to generate a target shared key
- the service parameter includes a service sequence number of the target service, an identifier of a key management center, a session identifier, a link identifier, an application identifier, a service identifier, a service level, and a service data rate. At least one of the delay, the business server ID.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the service authentication device sends the service parameter to the network authentication device, and the network authentication device generates a target shared secret according to the original shared key shared by the user device in advance and the service parameter. key. That is to say, generating the target shared key involves service related information, information related to the user equipment, and network related information, which improves the security level of the target shared key.
- FIG. 13 is a schematic structural diagram of a service authentication device 130 according to an embodiment of the present invention.
- the service authentication device 130 may include an obtaining unit 1301 and a generating unit 1302, where detailed descriptions of the respective units are as follows.
- the obtaining unit 1301 is configured to acquire an identity of the user equipment.
- the generating unit 1302 is configured to generate an identity key by combining the service public key, the service private key, and the identity identifier, and send the identity key and the service public key to the network authentication device, where the identity is secret And the service public key is used by the network authentication device to generate a target shared key, where the target shared key or the shared key derived based on the target shared key is the network authentication device and the user equipment A shared key that is negotiated to protect the secure transmission of data.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the service authentication device sends a service public key and an identity key to the network authentication device, and the network authentication device according to the information of the network where the network is located, the identity key, and the service public key.
- An authentication root key is generated, and the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- FIG. 14 is a schematic structural diagram of a user equipment 140 according to an embodiment of the present invention.
- the user equipment 140 may include a generating unit 1401.
- the generating unit 1401 is configured to generate a target shared key by performing network authentication with the network authentication device according to the authentication root key, where the authentication root key is a service publicity of the target authentication service managed by the network authentication device according to the identity key and the service authentication device. a key generated by the key and the network parameter of the cellular network where the network authentication device is located and written into the user equipment, where the identity key is used by the service authentication device according to the service public key and the target service Generated by the service private key and the acquired identity of the user equipment, the service authentication device is configured to send the service public key and the identity private key to the network authentication device; the target shared key Or the shared key derived from the target shared key is a shared key for secure transmission of the protected data negotiated by the network authentication device and the user equipment.
- the service authentication device sends the service public key and the identity key to the network authentication device by running the foregoing unit.
- the network authentication device generates an authentication root key according to the information of the network where the network is located, the identity key, and the service public key, and the network authentication device further performs network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- the network parameter includes at least an operator identifier, an access network identifier, a service network identifier, a network type identifier, a local area network identifier, a slice identifier, a bearer identifier, a service quality identifier, and a flow identifier.
- each unit may also refer to the corresponding description of the foregoing method embodiments.
- the service authentication device sends a service public key and an identity key to the network authentication device, and the network authentication device generates, according to the information of the network where the network is located, the identity key, and the service public key. And authenticating the root key, the network authentication device and the user equipment further perform network authentication based on the authentication root key to generate a target shared key. That is to say, generating the target shared key involves information related to the service, information related to the user equipment, and information related to the network, which improves the security level of the target shared key.
- FIG. 15 is a schematic structural diagram of a network authentication device 150 according to an embodiment of the present invention.
- the network authentication device 150 may include a receiving unit 1501, a generating unit 1502, a writing unit 1503, and an authentication unit 1504. A detailed description of the unit is as follows.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明实施例公开了一种网络认证方法、相关设备及系统,该系统包括用户设备、网络认证设备和业务认证设备,业务认证设备用于获取参考信息并结合参考信息和第一共享密钥生成第二共享密钥,第一共享密钥为用户设备与业务认证设备之间预先配置的共享密钥;用户设备用于获取参考信息并结合参考信息和第一共享密钥生成第二共享密钥;业务认证设备用于将第二共享密钥发送给网络认证设备;网络认证设备用于接收第二共享密钥,第二共享密钥用于用户设备和网络认证设备生成目标共享密钥,目标共享密钥或者基于目标共享密钥衍生的共享密钥为网络认证设备与用户设备协商的保护数据安全传输的共享密钥。采用本发明,能够提高目标共享密钥的安全级别。
Description
本发明实施例涉及计算机技术领域,尤其涉及一种网络认证方法、相关设备及系统。
物联网(英文:Internet of Things,简称:IoT)是第五代移动通信技术(英文:5th-Generation,简称:5G)的重要应用场景,IoT中的用户设备接入到5G网络需要进行网络认证,从而生成用于保护网络数据安全传输的共享密钥。用户设备通过网络访问的某项业务时也需要进行业务认证,从而生成用于保护业务数据安全传输的共享密钥。基于共享密钥来保证数据安全传输的原理如下:
用户1(User1)和用户2(User2)提前共享对称密钥K,也称作共享密钥。
方式一:User1使用共享密钥K对消息m进行加密,例如,可表示为ciphtext=En_K_(m);然后User1并将加密后的消息发送给USER2。USER2接收该User1发送的消息并利用K和ciphertext恢复出消息m,例如,可表示为m=decrypt(K,ciphtext),该过程保证了消息m传输的安全性。基于该共享密钥K的加密技术可以为高级加密标准(英文:Advanced Encryption Standard,缩写:AES),三重数据加密算法(英文:Triple Data Encryption Algorithm,简称:3DES),Blowfish,Serpent,Snow 3G,ZUC,HC-256,Grain等算法。
方式二:User1利用共享密钥K计算消息m的消息认证码(英文:message Authentication code,简称:MAC),例如,可表示为MAC1=MAC_K_(m),即利用共享密钥K计算出消息m对应的消息认证码MAC1。然后User1将消息m和消息认证码MAC1发送给该USER2。该USER2接收该消息m和该消息认证码MAC1,并利用K和m验证MAC1的正确性,若验证正确则表明消息m未被篡改,该过程保证了消息m传输的安全性。基于该共享密钥K生成消息认证码的技术可以为哈希消息认证码(英文:Hash-based Message Authentication Code,简称:HMAC),OMAC,CBC-MAC,PMAC,UMAC和VMAC等算法。
如何在海量IoT的场景下提高网络认证的效率以及提高网络认证的安全性,是本领域的技术人员正在探讨的问题。
发明内容
本发明实施例公开了一种网络认证方法、相关设备及系统,能够提高网络认证的效率以及提高网络认证的安全性。
第一方面,本发明实施例提供了一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥;
所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述第二共享密钥,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述系统中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第一方面,在第一方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第一方面,在第一方面的第三种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第一方面,在第一方面的第五种可能的实现方式中:
所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证
生成第二共享密钥;
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第一方面,在第一方面的第六种可能的实现方式中:
所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第一方面,在第一方面的第七种可能的实现方式中:所述参考信息包括所述网络认证设备所在蜂窝网的网络参数;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
根据所述参考信息和所述第一共享密钥进行业务认证生成第二共享密钥;
所述业务认证设备还用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,在第一方面的第八种可能的实现方式中:
所述业务认证设备用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行业务认证生成第二共享密钥;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,在第一方面的第九种可能的实现方式中:
所述网络认证设备用于向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备用于将所述网络侧信息发送给所述业务认证设备;
所述业务认证设备用于接收并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息;
所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
结合第一方面,或者第一方面的第一种可能的实现方式,或者第一方面的第二种可能的实现方式,或者第一方面的第三种可能的实现方式,或者第一方面的第四种可能的实现方式,或者第一方面的第五种可能的实现方式,或者第一方面的第六种可能的实现方式,或者第一方面的第七种可能的实现方式,或者第一方面的第八种可能的实现方式,或者第一方面的第九种可能的实现方式,在第一方面的第十种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第一方面的第十种可能的实现方式,在第一方面的第十一种可能的实现方式中,
所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二方面,本发明实施例提供一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于将预存的目标业务的业务参数发送给所述网络认证设备和所述用户设备;
所述网络认证设备和所述用户设备用于接收所述业务参数;
所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在上述系统中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二方面,在第二方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二方面,或者第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第三方面,本发明实施例提供一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备用于获取所述用户设备的身份标识;
所述业务认证设备用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备;
所述网络认证设备用于接收所述身份密钥和所述业务公钥,并结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备用于将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备用于根据所述认证根密钥进行网络认证生成目标
共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述系统中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第三方面,在第三方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第四方面,本发明实施例提供一种网络认证系统,所述系统包括用户设备、网络认证设备和业务认证设备,其中:
所述业务认证设备和所述用户设备用于进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备用于预先配置参考共享密钥;
所述业务认证设备用于将所述参考共享密钥发送给所述网络认证设备;
所述网络认证设备用于接收所述参考共享密钥;
所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在上述网络认证系统中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第四方面,在第四方面的第一种可能的实现方式中,所述网络认证设备用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;所述网络认证设备和所述用户设备用于结合所述参考共享密钥生成目标共享密钥,具体为:
所述网络认证设备和所述用户设备均用于根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备用于根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第四方面,或者第四方面的第一种可能的实现方式,或者第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中:
所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;
所述业务认证设备用于接收所述目标共享密钥;
所述业务认证设备和所述用户设备用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第五方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
第一获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
发送单元,用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第五方面,在第五方面的第一种可能的实现方式中,所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第五方面,或者第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,还包括:
第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第五方面,或者第五方面的第一种可能的实现方式,在第五方面的第三种可能的实现方式中,还包括:
生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第五方面,在第五方面的第四种可能的实现方式中,还包括:
第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密
钥。
结合第五方面,在第五方面的第五种可能的实现方式中,还包括:
第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第五方面,或者第五方面的第一种可能的实现方式,或者第五方面的第二种可能的实现方式,或者第五方面的第三种可能的实现方式,或者第五方面的第四种可能的实现方式,或者第五方面的第五种可能的实现方式,在第五方面的第六种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第五方面的第六种可能的实现方式,在第五方面的第七种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第六方面,本发明实施例提供一种用户设备,该用户设备包括:
获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第六方面,在第六方面的第一种可能的实现方式中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第六方面,在第六方面的第二种可能的实现方式中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的
共享密钥进行网络认证生成目标共享密钥。
结合第六方面的第二种可能的实现方式,在第六方面的第三种可能的实现方式中,该用户设备还包括:
认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;
所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第六方面,在第六方面的第四种可能的实现方式中,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第六方面,在第六方面的第五种可能的实现方式中,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第六方面,在第六方面的第六种可能的实现方式中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,在第六方面的第七种可能的实现方式中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,在第六方面的第八种可能的实现方式中,还包括:
第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第六方面,或者第六方面的第一种可能的实现方式,或者第六方面的第二种可能的实现方式,或者第六方面的第三种可能的实现方式,或者第六方面的第四种可能的实现方式,或者第六方面的第五种可能的实现方式,或者第六方面的第六种可能的实现方式,或者第六方面的第七种可能的实现方式,或者第六方面的第八种可能的实现方式,在第六方面的第九种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第六方面的第九种可能的实现方式,在第六方面的第十种可能的实现方式中,当所述参考信息包含所述业务参数时,还包括:
第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
结合第六方面的第九种可能的实现方式,或者第六方面的第十种可能的实现方式,在第六方面的第十一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第七方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
第一生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第七方面,在第七方面的第一种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第七方面的第一种可能的实现方式,在第七方面的第二种可能的实现方式中,还包括:
认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;
所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密
钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第七方面,在第七方面的第三种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
结合第七方面,在第七方面的第四种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第七方面,在第七方面的第五种可能的实现方式中,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现方式,或者第七方面的第五种可能的实现方式,在第七方面的第六种可能的实现方式中,还包括:
获取单元,用于向所述业务认证设备获取所述第一共享密钥;
第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现方式,或者第七方面的第五种可能的实现方式,在第七方面的第七种可能的实现方式中,还包括:
发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第七方面,或者第七方面的第一种可能的实现方式,或者第七方面的第二种可能的实现方式,或者第七方面的第三种可能的实现方式,或者第七方面的第四种可能的实现
方式,或者第七方面的第五种可能的实现方式,或者第七方面的第六种可能的实现方式,或者第七方面的第七种可能的实现方式,在第七方面的第八种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第七方面的第八种可能的实现方式,在第七方面的第九种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第八方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
发送单元,用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第八方面,在第八方面的第一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第九方面,本发明实施例提供一种用户设备,该用户设备包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第九方面,在第九方面的第一种可能的实现方式中,所述生成单元和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第九方面,或者第九方面的第一种可能的实现方式,在第九方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第十方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
生成单元,用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十方面,在第十方面的第一种可能的实现方式中,所述生成单元和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十方面,或者第十方面的第一种可能的实现方式,在第十方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第十一方面,本发明实施例提供一种业务认证设备,该业务认证设备包括
获取单元,用于获取用户设备的身份标识;
生成单元,用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也
即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
第十二方面,本发明实施例提供一种用户设备,该用户设备包括:
生成单元,用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十二方面,在第十二方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十三方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
生成单元,用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
写入单元,用于将所述认证根密钥写入所述用户设备;
认证单元,用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十三方面,在第十三方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十四方面,本发明实施例提供一种业务认证设备,该业务认证设备包括:
认证单元,用于和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
发送单元,用于将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十四方面,在第十四方面的第一种可能的实现方式中,还包括:
接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
确定单元,用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第十五方面,本发明实施例提供一种用户设备,该用户设备包括:
配置单元,用于和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
生成单元,用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十五方面,在第十五方面的第一种可能的实现方式中,还包括:
接收单元,用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十五方面的第一种可能的实现方式,在第十五方面的第二种可能的实现方式中,
所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十六方面,本发明实施例提供一种网络认证设备,该网络认证设备包括:
接收单元,用于接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
生成单元,用于和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第十六方面,在第十六方面的第一种可能的实现方式中,该网络认证设备还包括:
第一发送单元,用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第十六方面的第一种可能的实现方式,在第十六方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第十六方面,或者第十六方面的第一种可能的实现方式中,或者第十六方面的第二种可能的实现方面,在第十六方面的第三种可能的实现方式中,该网络认证设备还包括:
第二发送单元,用于将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第十七方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述业务认证设备将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全
传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十七方面,在第十七方面的第一种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第十七方面,或者第十七方面的第一种可能的实现方式,在第十七方面的第二种可能的实现方式中,所述业务认证设备将所述第二共享密钥发送给所述网络认证设备之后,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十七方面,或者第十七方面的第一种可能的实现方式,在第十七方面的第三种可能的实现方式中,所述业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,所述方法还包括:
所述业务认证设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十七方面,在第十七方面的第四种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
结合第十七方面,在第十七方面的第五种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述业务认证设备接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第十七方面,或者第十七方面的第一种可能的实现方式,或者第十七方面的第一种可能的实现方式,或者第十七方面的第二种可能的实现方式,或者第十七方面的第三种可能的实现方式,或者第十七方面的第四种可能的实现方式,或者第十七方面的第五种可
能的实现方式,在第十七方面的第六种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十七方面的第六种可能的实现方式,在第十七方面的第七种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十八方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
所述用户设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十八方面,在第十八方面的第一种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
结合第十八方面,在第十八方面的第二种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
结合第十八方面的第二种可能的实现方式,在第十八方面的第三种可能的实现方式中,所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,所述方法还包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
所述用户设备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第十八方面,在第十八方面的第四种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;
所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第十八方面,在第十八方面的第五种可能的实现方式中,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:
所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第十八方面,在第十八方面的第六种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可能的实现方式,在第十八方面的第七种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
用户设备和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可能的实现方式,在第十八方面的第八种可能的实现方式中,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
结合第十八方面,或者第十八方面的第一种可能的实现方式,或者第十八方面的第二种可能的实现方式,或者第十八方面的第三种可能的实现方式,或者第十八方面的第四种可能的实现方式,或者第十八方面的第五种可能的实现方式,或者第十八方面的第六种可
能的实现方式,或者第十八方面的第七种可能的实现方式,或者第十八方面的第八种可能的实现方式,在第十八方面的第九种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十八方面的第九种可能的实现方式,在第十八方面的第十种可能的实现方式中,当所述参考信息包含所述业务参数时,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
结合第十八方面的第九种可能的实现方式,或者结合第十八方面的第十种可能的实现方式,在第十八方面的第十一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第十九方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
所述网络认证设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
结合第十九方面,在第十九方面的第一种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
结合第十九方面的第一种可能的实现方式,在第十九方面的第二种可能的实现方式中,所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,所述方法还包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成第四共
享密钥;
所述网络认证设备和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
结合第十九方面,在第十九方面的第三种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
结合第十九方面,在第十九方面的第四种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;
所述网络认证设备和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
结合第十九方面,在第十九方面的第五种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,在第十九方面的第六种可能的实现方式中,所述方法还包括:
所述网络认证设备向所述业务认证设备获取所述第一共享密钥;
所述网络认证设备根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,在第十九方面的第七种可能的实现方式中,所述网络认证设备根据所述第二共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
结合第十九方面,或者第十九方面的第一种可能的实现方式,或者第十九方面的第二
种可能的实现方式,或者第十九方面的第三种可能的实现方式,或者第十九方面的第四种可能的实现方式,或者第十九方面的第五种可能的实现方式,或者第十九方面的第六种可能的实现方式,或者第十九方面的第七种可能的实现方式,在第十九方面的第八种可能的实现方式中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
结合第十九方面的第八种可能的实现方式,在第十九方面的第九种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十方面,在第二十方面的第一种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十一方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十一方面,在第二十一方面的第一种可能的实现方式中,所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十一方面,或者第二十一方面的第一种可能的实现方式,在第二十一方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十二方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述步骤,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十二方面,在第二十二方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十二方面,或者第二十二方面的第一种可能的实现方式,在第二十二方面的第二种可能的实现方式中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
第二十三方面,本发明实施例提供一种网络认证方法,该方法包括:
业务认证设备获取用户设备的身份标识;
所述业务认证设备结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,
该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
第二十四方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十四方面,在第二十四方面的第一种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十五方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
所述网络认证设备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
所述网络认证设备将所述认证根密钥写入所述用户设备;
所述网络认证设备和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十五方面,在第二十五方面的第一种可能的实现方式中,所述网络参数包括
运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十六方面,本发明实施例提供一种网络认证方法,包括:
业务认证设备和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
所述业务认证设备将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十六方面,在第二十六方面的第一种可能的实现方式中,所述方法还包括:
所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;
所述业务认证设备将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第二十七方面,本发明实施例提供一种网络认证方法,该方法包括:
用户设备和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十七方面,在第二十七方面的第一种可能的实现方式中,所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述用户设备接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述用户设备和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,包括:
所述用户设备和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述用户设备和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十七方面的第一种可能的实现方式,在第二十七方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
第二十八方面,本发明实施例提供一种网络认证方法,该方法包括:
网络认证设备接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述步骤,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
结合第二十八方面,在第二十八方面的第一种可能的实现方式中,所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥之前,所述方法还包括:
所述网络认证设备将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,包括:
所述网络认证设备和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
所述网络认证设备和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
结合第二十八方面的第一种可能的实现方式,在第二十八方面的第二种可能的实现方式中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
结合第二十八方面,或者第二十八方面的第一种可能的实现方式,或者第二十八方面的第二种可能的实现方式,在第二十八方面的第三种可能的实现方式中,所述方法还包括:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
第二十九方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器
和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十七方面或者第十七方面的任意实现方式中的全部或部分步骤的功能单元。
第三十方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十八方面或者第十八方面的任意实现方式中的全部或部分步骤的功能单元。
第三十一方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第十九方面或者第十九方面的任意实现方式中的全部或部分步骤的功能单元。
第三十二方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十方面或者第二十方面的任意实现方式中的全部或部分步骤的功能单元。
第三十三方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十一方面或者第二十一方面的任意实现方式中的全部或部分步骤的功能单元。
第三十四方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十二方面或者第二十二方面的任意实现方式中的全部或部分步骤的功能单元。
第三十五方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十三方面或者第二十三方面的任意实现方式中的全部或部分步骤的功能单元。
第三十六方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十四方面或者第二十四方面的任意实现方式中的全部或部分步骤的功能单元。
第三十七方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十五方面或者第二十五方面的任意实现方式中的全部或部分步骤的功能单元。
第三十八方面,本发明实施例提供一种业务认证设备,所述业务认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十六方面或者第二十六方面的任意实现方式中的全部或部分步骤的功能单元。
第三十九方面,本发明实施例提供一种用户设备,所述用户设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十七方面或者第二十七方面的任意实现方式中的全部或部分步骤的功能单元。
第四十方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第二十八方面或者第二十八方面的任意实现方式中的全部或部分步骤的功能单元。
在上面的一些可能的实现方式中,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,所述网络认证设备和所述用户设
备用于根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
UE向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
所述CP-AU接收所述请求接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;
所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
所述CP-AU将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述业务参考消息认证码;
所述CP-AU将通过预设的响应算法对所述第二共享密钥和所述初始期待响应进行计算得到的参考期待响应;
所述UE接收所述CP-AU发送的所述认证请求消息;
所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;
所述UE判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;
若相同,则所述UE通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;
所述UE将所述参考响应发送给所述CP-AU;
所述CP-AU接收所述参考响应;
所述CP-AU判断所述参考期待响应与所述参考响应是否相同;
若相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。可选的,所述基础密钥为基于所述预置密钥和网络参数生成的密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;用户设备UE执行所述和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥的操作中,和所述网络认证设备根据所述第二共享密钥进行网络认证生成目标共享密钥,具体为:
向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述请求接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服
务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包括所述业务参考消息;所述CP-AU还用于通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;
接收所述认证请求消息;
通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;
判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;
若相同,则通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;
将所述参考响应发送给所述CP-AU,所述CP-AU用于接收所述参考响应并判断所述参考期待响应与所述参考响应是否相同;
在所述CP-AU的判断结果为是时,与所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;所述和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
接收所述UE发送的请求接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述请求接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;
接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述业务参考消息认证码;所述UE用于接收所述认证请求消息并通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使
用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;
所述UE还用于判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;所述UE用于在判断出相同时,通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;所述UE还用于将所述参考响应发送给所述CP-AU;
通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;
接收所述参考响应;
判断所述参考期待响应与所述参考响应是否相同;
若相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。可选的,所述基础密钥为基于所述预置密钥和网络参数生成的密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备UE用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
UE向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;
所述CP-AU接收所述接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;
所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
所述CP-AU将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向UE发送认证请求消息,所述认证请求消息包括所述网络侧附加消息认证码和所述网络侧初始消息认证码;
所述UE接收所述CP-AU发送的所述认证请求消息;
所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;
所述UE判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;
若均相同,则所述UE通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;
所述UE将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;
所述CP-AU接收所述参考响应和所述用户侧响应消息认证码;
所述CP-AU通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;
所述CP-AU判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
若均相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;用户设备UE执行所述和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥的操作中,和所述网络认证设备根据所述第二共享密钥进行网络认证生成目标共享密钥,具体为:
向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述网络侧附加消息认证码和所述网络侧初始消息认证码;
接收所述CP-AU发送的所述认证请求消息;
通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;
判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;
若均相同,则通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;
将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;所述CP-AU用于接收所述参考响应和所述用户侧响应消息认证码;所述CP-AU还用于通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;所述CP-AU还用于判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
在所述CP-AU的判断结果为均相同时,和所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
在上面的一些可能的实现方式中,所述网络认证设备包括CP-AU;所述和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥中,和所述用户设备UE根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
接收UE发送的接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;
接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;
将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向UE发送认证请求消息,所述认证请求消息包括所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;所述UE用于接收所述认证请求消息;所述UE用于通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE用于判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且判断所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则所述UE用于通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;所述UE还用于将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;
接收所述参考响应和所述用户侧响应消息认证码;
通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;
判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;
若均相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
第四十一方面,本发明实施例提供一种网络认证系统,该系统包括用户设备UE、接入与移动性管理网元AMF和会话管理网元SMF,其中:该UE用于向该AMF发送协议数据单元PDU会话建立请求;该AMF用于接收该PDU会话建立请求,根据该PDU会话建立请求确定会话管理网元SMF,向确定的该SMF发送该PDU会话建立请求;该SMF用于
接收该PDU会话建立请求,响应该PDU会话建立请求向该UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证;该UE用于接收该认证通知消息。
通过执行上述操作,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第四十一方面,在第四十一方面的第一种可能的实现方式中,该系统还包括业务认证服务器,该业务认证服务器用于验证该UE是否具有调用预设业务的权限,该UE用于与业务认证服务器根据该认证通知消息进行目标认证。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第二种可能的实现方式中,该SMF用于向该UE发送使用可扩展的身份验证协议EAP身份请求;该UE用于接收该SMF发送的使用可扩展的身份验证协议EAP身份请求,根据该EAP身份请求向该SMF发送EAP身份响应;该SMF用于接收该UE发送的针对该EAP身份请求的EAP身份响应。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第三种可能的实现方式中,该SMF用于确定该目标认证的认证协议和/或密钥算法。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第四种可能的实现方式中,该SMF用于确定该目标认证的认证协议和/或密钥算法,具体为:该SMF用于向安全策略控制网元SPCF发送针对该UE的安全策略请求;接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第五种可能的实现方式中,该SMF用于根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第六种可能的实现方式中,该SMF用于向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第七种可能的实现方式中,该SMF用于向业务认证服务器发送用于指示该UE的身份的EAP身份响应,具体为:该SMF用于选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第八种可能的实现方式中,该系统包括安全策略控制网元SPCF,其中:该SMF用于向该SPCF发送针该UE的安全策略请求;该SPCF用于接收该针对用户设备UE的安全策略请求,根
据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;该SMF用于接收该与该UE存在预设匹配关系的安全策略。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第九种可能的实现方式中,该根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;接收该业务服务器发送的该安全策略;将该安全策略发送给该SMF。
结合第四十一方面或者第四十一方面的任一可能的实现方式,在第四十一方面的第十种可能的实现方式中,该根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;将该安全策略发送给该SMF。
第四十二方面,本发明实施例提供一种用户设备UE,该UE包括第一发送单元和第一接收单元,其中,第一发送单元,用于向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使该AMF根据该PDU会话建立请求确定会话管理网元SMF并将该PDU会话建立请求发送给该SMF;第一接收单元,用于接收SMF响应该PDU会话建立请求而发送的认证通知消息,认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过运行上述单元,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第四十二方面,在第四十二方面的第一种可能的实现方式中,UE还包括认证单元,用于在该第一接收单元接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,与业务认证服务器根据该认证通知消息进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十二方面或第四十二方面的上述任一可能的实现方式,在第四十二方面的第二种可能的实现方式中,UE还包括第二接收单元和第二发送单元,其中,第二接收单元,用于在该第一接收单元接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,接收该SMF发送的使用可扩展的身份验证协议EAP身份请求;第二发送单元,用于根据该EAP身份请求向该SMF发送EAP身份响应。
第四十三方面,本发明实施例提供一种会话管理网元SMF,该SMF包括第三接收单元和第三发送单元,其中,第三接收单元,用于接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;第三发送单元,用于响应该PDU会话建立请求向用户设备UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,
所述目标认证包括双向认证或者单向认证。
通过运行上述单元,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第第四十三方面,在第四十三方面的第一种可能的实现方式,该认证通知消息用于该UE与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第二种可能的实现方式,SMF还包括确定单元,用于在该第三接收单元接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,在该第三发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之前,确定该目标认证的认证协议和/或密钥算法。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第三种可能的实现方式,该确定单元确定该目标认证的认证协议和/或密钥算法,具体为:向安全策略控制网元SPCF发送针对该UE的安全策略请求;接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第四种可能的实现方式,该确定单元还用于根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第五种可能的实现方式,SMF还包括:第四发送单元,用于在该第三发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,向该UE发送使用可扩展的身份验证协议EAP身份请求;第四接收单元,用于接收该UE发送的针对该EAP身份请求的EAP身份响应。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第六种可能的实现方式,SMF还包括:第五发送单元,用于在该第四发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
结合第第四十三方面或第四十三方面的上述任一种可能的实现方式,在第四十三方面的第七种可能的实现方式,该第五发送单元具体用于:选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
第四十四方面,本发明实施例提供一种安全策略控制网元SPCF,该SPCF包括第五接收单元和第六发送单元,其中,第五接收单元,用于接收会话管理网元SMF发送的针对用
户设备UE的安全策略请求;第六发送单元,用于根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法。
通过运行上述单元,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
结合第四十四方面,在第四十四方面的第一种可能的实现方式中,该第六发送单元具体用于:根据该安全策略请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;接收该业务服务器发送的该安全策略;将该安全策略发送给该SMF。
结合第四十四方面或者第四十四方面的上述任一可能的实现方式,在第四十四方面的第二种可能的实现方式中,该第六发送单元具体用于:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;将该安全策略发送给该SMF。
第四十五方面,本发明实施例提供一种网络认证方法,该方法包括:用户设备UE向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使该AMF根据该PDU会话建立请求确定会话管理网元SMF并将该PDU会话建立请求发送给该SMF;该UE接收该SMF响应该PDU会话建立请求而发送的认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过执行上述步骤,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第第十五方面,在第四十五方面的第一种可能的实现方式中,该UE接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该方法还包括:该UE与业务认证服务器根据该认证通知消息进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第第十五方面或者第四十五方面的上述任一可能的实现方式,在第四十五方面的第二种可能的实现方式中,该UE接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该方法还包括:该UE接收该SMF发送的使用可扩展的身份验证协议EAP身份请求;该UE根据该EAP身份请求向该SMF发送EAP身份响应。
第四十六方面,本发明实施例提供一种网络认证方法,该网络认证方法包括:会话管理网元SMF接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;该SMF响应该PDU会话建立请求向用户设备UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目
标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过执行上述步骤,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第四十六方面,在第四十六方面的第一种可能的实现方式中,该认证通知消息用于该UE与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第二种可能的实现方式中,该会话管理网元SMF接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,该SMF响应该PDU会话建立请求向用户设备UE发送认证通知消息之前,该方法还包括:该SMF确定该目标认证的认证协议和/或密钥算法。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第三种可能的实现方式中,该SMF确定该目标认证的认证协议和/或密钥算法,包括:该SMF向安全策略控制网元SPCF发送针对该UE的安全策略请求;该SMF接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;该SMF根据该安全策略生成该目标认证的认证协议和/或密钥算法。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第四种可能的实现方式中,该方法还包括:该SMF根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第五种可能的实现方式中,该SMF响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,该方法还包括:该SMF向该UE发送使用可扩展的身份验证协议EAP身份请求;该SMF接收该UE发送的针对该EAP身份请求的EAP身份响应。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第六种可能的实现方式中,该SMF响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,该方法还包括:该SMF向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
结合第四十六方面或者第四十六方面的上述任一可能的实现方式,在第四十六方面的第七种可能的实现方式中,该SMF向业务认证服务器发送用于指示该UE的身份的EAP身份响应,包括:该SMF选择用户面网关UPF;该SMF与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;该SMF通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
第四十七方面,本发明实施例提供一种网络认证方法,包括:安全策略控制网元SPCF
接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;该SPCF根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法。
通过执行上述操作,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
结合第四十七方面,在第十七方面的第一种可能的实现方式中,该SPCF根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,包括:该SPCF根据该安全策略请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;该SPCF接收该业务服务器发送的该安全策略;该SPCF将该安全策略发送给该SMF。
结合第四十七方面或者第四十七方面的上述任一可能的实现方式,在第十七方面的第二种可能的实现方式中,该SPCF根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,包括:该SPCF根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;该SPCF将该安全策略发送给该SMF。
第四十八方面,本发明实施例提供一种用户设备UE,该UE包括处理器、存储器和收发器,其中,存储器用于存储程序和数据,处理器调用该存储器中的程序,用于执行如下操作:通过该收发器向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使该AMF根据该PDU会话建立请求确定会话管理网元SMF并将该PDU会话建立请求发送给该SMF;通过该收发器接收该SMF响应该PDU会话建立请求而发送的认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过执行上述操作,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第第十五方面,在第四十八方面的第一种可能的实现方式中,处理器通过接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该处理器还用于与业务认证服务器根据该认证通知消息进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第第十五方面或者第四十八方面的上述任一可能的实现方式,在第四十八方面的第二种可能的实现方式中,该处理器通过该收发器接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该处理器还用于通过该收发器接收该SMF发送的使用可扩展的身份验证协议EAP身份请求;该处理器根据该EAP身份请求通过该收发器向该SMF发送EAP身份响应。
第四十九方面,本发明实施例提供一种会话管理网元SMF,该SMF包括处理器、存储器和收发器,其中,存储器用于存储程序和数据,处理器调用该存储器中的程序,用于执行如下操作:通过收发器接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;响应该PDU会话建立请求通过该收发器向用户设备UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过执行上述操作,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
结合第四十九方面,在第四十九方面的第一种可能的实现方式中,该认证通知消息用于该UE与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第二种可能的实现方式中,该处理器通过该收发器接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,该处理器响应该PDU会话建立请求通过收发器向用户设备UE发送认证通知消息之前,该处理器还用于:确定该目标认证的认证协议和/或密钥算法。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第三种可能的实现方式中,该处理器确定该目标认证的认证协议和/或密钥算法,具体为:通过该收发器向安全策略控制网元SPCF发送针对该UE的安全策略请求;通过收发器接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第四种可能的实现方式中,该处理器还用于:根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第五种可能的实现方式中,该处理器响应该PDU会话建立请求通过该收发器向用户设备UE发送认证通知消息之后,该处理器还用于:通过收发器向该UE发送使用可扩展的身份验证协议EAP身份请求;通过收发器接收该UE发送的针对该EAP身份请求的EAP身份响应。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第六种可能的实现方式中,该处理器响应该PDU会话建立请求通过收发器向用户设备UE发送认证通知消息之后,该处理器还用于:通过收发器向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
结合第四十九方面或者第四十九方面的上述任一可能的实现方式,在第四十九方面的第七种可能的实现方式中,该处理器通过收发器向业务认证服务器发送用于指示该UE的身份的EAP身份响应,具体为:选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过收发器通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
第五十方面,本发明实施例提供一种安全策略控制网元SPCF,该SPCF包括处理器、存储器和收发器,其中,存储器用于存储程序和数据,处理器调用存储器中的程序,用于执行如下操作:通过收发器接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;根据该安全策略请求通过收发器向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法。
通过执行上述操作,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
结合第五十方面,在第五十方面的第一种可能的实现方式中,该处理器根据该安全策略请求通过收发器向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略通过收发器请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;通过收发器接收该业务服务器发送的该安全策略;通过收发器将该安全策略发送给该SMF。
结合第五十方面或者第五十方面的上述任一可能的实现方式,在第十方面的第二种可能的实现方式中,该处理器根据该安全策略请求通过收发器向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;通过收发器将该安全策略发送给该SMF。
第五十一方面,本发明实施例提供一种存储介质,该存储介质用于存储指令,该指令在计算机上运行时使得该计算机执行第四十五方面或者第四十五方面任一可能实现方式所描述的方法。
第五十二方面,本发明实施例提供一种存储介质,该存储介质用于存储指令,该指令在计算机上运行时使得该计算机执行第四十六方面或者第四十六方面任一可能实现方式所描述的方法。
第五十三方面,本发明实施例提供一种存储介质,该存储介质用于存储指令,该指令在计算机上运行时使得该计算机执行第四十七方面或者第四十七方面任一可能实现方式所描述的方法。
通过实施本发明实施例,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的
安全级别。
图1是本发明实施例提供的一种网络认证系统的结构示意图;
图2是本发明实施例提供的又一种网络认证系统的结构示意图;
图3A是本发明实施例提供的一种网络认证方法的流程示意图;
图3B是本发明实施例提供的又一种网络认证方法的流程示意图;
图3C是本发明实施例提供的又一种网络认证方法的流程示意图;
图3D是本发明实施例提供的又一种网络认证方法的流程示意图;
图3E是本发明实施例提供的又一种网络认证方法的流程示意图;
图3F是本发明实施例提供的又一种网络认证方法的流程示意图;
图3G是本发明实施例提供的又一种网络认证方法的流程示意图;
图3H是本发明实施例提供的又一种网络认证方法的流程示意图;
图3I是本发明实施例提供的又一种网络认证方法的流程示意图;
图3J是本发明实施例提供的又一种网络认证方法的流程示意图;
图3K是本发明实施例提供的又一种网络认证方法的流程示意图;
图3L是本发明实施例提供的又一种网络认证方法的流程示意图;
图4A是本发明实施例提供的又一种网络认证方法的流程示意图;
图5A是本发明实施例提供的又一种网络认证方法的流程示意图;
图5B是本发明实施例提供的又一种网络认证方法的流程示意图;
图6A是本发明实施例提供的又一种网络认证方法的流程示意图;
图6B是本发明实施例提供的又一种网络认证方法的流程示意图;
图6C是本发明实施例提供的又一种网络认证方法的流程示意图;
图6D是本发明实施例提供的又一种网络认证方法的流程示意图;
图6E是本发明实施例提供的又一种网络认证方法的流程示意图;
图6F是本发明实施例提供的又一种网络认证方法的流程示意图;
图6G是本发明实施例提供的又一种网络认证方法的流程示意图;
图6H是本发明实施例提供的又一种网络认证方法的流程示意图;
图6I是本发明实施例提供的又一种网络认证方法的流程示意图;
图7是本发明实施例提供的一种业务认证设备的结构示意图;
图8是本发明实施例提供的一种用户设备的结构示意图;
图9是本发明实施例提供的一种网络认证设备的结构示意图;
图10是本发明实施例提供的又一种业务认证设备的结构示意图;
图11是本发明实施例提供的又一种用户设备的结构示意图;
图12是本发明实施例提供的又一种网络认证设备的结构示意图;
图13是本发明实施例提供的又一种业务认证设备的结构示意图;
图14是本发明实施例提供的又一种用户设备的结构示意图;
图15是本发明实施例提供的又一种网络认证设备的结构示意图;
图16是本发明实施例提供的又一种业务认证设备的结构示意图;
图17是本发明实施例提供的又一种用户设备的结构示意图;
图18是本发明实施例提供的又一种网络认证设备的结构示意图;
图19是本发明实施例提供的又一种业务认证设备的结构示意图;
图20是本发明实施例提供的又一种用户设备的结构示意图;
图21是本发明实施例提供的又一种网络认证设备的结构示意图;
图22是本发明实施例提供的又一种业务认证设备的结构示意图;
图23是本发明实施例提供的又一种用户设备的结构示意图;
图24是本发明实施例提供的又一种网络认证设备的结构示意图;
图25是本发明实施例提供的又一种业务认证设备的结构示意图;
图26是本发明实施例提供的又一种用户设备的结构示意图;
图27是本发明实施例提供的又一种网络认证设备的结构示意图;
图28是本发明实施例提供的又一种业务认证设备的结构示意图;
图29是本发明实施例提供的又一种用户设备的结构示意图;
图30是本发明实施例提供的又一种网络认证设备的结构示意图;
图31是本发明实施例提供的一种网络认证系统的结构示意图;
图32是本发明实施例提供的又一种网络认证方法的流程示意图;
图33是本发明实施例提供的又一种网络认证方法的流程示意图;
图34A是本发明实施例提供的又一种网络认证方法的流程示意图;
图34B是本发明实施例提供的又一种网络认证方法的流程示意图;
图35是本发明实施例提供的又一种通信系统的结构示意图;
图36是本发明实施例提供的又一种用户设备UE的结构示意图;
图37是本发明实施例提供的又一种会话管理网元SMF的结构示意图;
图38是本发明实施例提供的又一种策略控制网元SPCF的结构示意图;
图39是本发明实施例提供的又一种用户设备UE的结构示意图;
图40是本发明实施例提供的又一种会话管理网元SMF的结构示意图;
图41是本发明实施例提供的又一种策略控制网元SPCF的结构示意图。
下面将结合本发明实施例中的附图对本发明实施例中的技术方案进行描述。
请参见图1,图1是本发明实施例提供的一种网络认证系统10的架构示意图;该网络认证系统10包括用户设备101、业务认证设备103和运营商提供网络接入的网络认证设备102。可选的,该业务认证设备103均为运营商可控的设备,即该运营商的网络认证设备102可以直接调用该业务认证设备103中的数据;可选的,该业务认证设备103为该运营商不可控的设备,即该运营商的网络认证设备102不可以直接调用该业务认证设备103中的数据。
该网络认证设备102可以为用户设备101需要接入蜂窝网时涉及到的至少一个网络侧设备,用户设备101在接入该蜂窝网时需要先与该网络认证设备102进行网络认证目标共
享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该用户设备101可以是手机、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(英文:mobile internet device,简称:MID)、可穿戴设备(例如智能手表(如iWatch等)、智能手环、计步器等)或其可接入运营商网络的终端设备。
可选的,该网络认证设备102包括接入网(英文:Access Network,简称:AN)、移动性管理(英文:Mobility Management,简称:MM)设备、会话管理(英文:Session Management,简称:SM)设备、切片选择设备SSF(英文:Slice Selection Function)、认证功能单元(英文:Control Plane-Authentication Unit,简称:CP-AU)、新配置与网络认证相关的功能设备(为了方便描述后续可称为网络认证服务器)等中的至少一项,以下以该网络认证设备包括网络认证服务器、CP-AU和AN为例来进行描述以方便理解。当该网络认证设备102只包括一个设备时,后续描述到的网络认证设备102所执行的操作均由该一个设备完成;当该网络认证设备102包括多个设备时,后续描述到的网络认证设备102所执行的操作由该多个设备协作完成,即该多个设备中不同设备各执行一些操作,执行操作所产生的数据、参数均可以根据需要在该多个设备之间传输。图2为该网络认证系统的一种可选的细化结构示意图。
该业务认证设备103至少存在如下两种情况:
一、该业务认证设备103是用来管理业务认证的设备,该业务认证设备103包括至少一个与业务相关的设备,用户设备101要使用某业务时需要与管理该某业务的业务认证设备103进行业务认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
可选的,业务认证设备103可以为用户生成证书或者基于身份的私钥,最终发送给用户设备101。生成证书时可使用户设备101与网络认证设备102相互认证时使用基于证书的方法;生成基于身份的私钥时,可以使得用户设备101、网络相互认证时或者用户设备101、业务认证设备103相互认证时可以使用基于身份的密码机制的方法。
在一种可选的方案中,用来提供业务的具体数据的设备(为了方便描述后续可称为业务服务器)和用来管理该业务的业务认证的设备(为了方便描述后续可称为业务认证服务器)为同一个设备,即该业务认证设备103;在又一种可选的方案中,该业务认证设备103包括业务认证服务器,但是不包括业务管理服务器;在又一种可选的方案中,该业务认证设备103包括业务认证服务器和业务服务器,当该业务认证设备103包括业务服务器和业务认证服务器时,后续描述到的业务认证设备103所执行的操作可能由该业务认证服务器和业务服务器协作完成,该业务认证服务器和该业务服务器在操作过程中产生的数据、参数均可以根据需要进行相互传输。可选的,以上业务可以包括即时通讯业务、新闻资讯业务、水表业务、电表业务、物流业务、工厂自动化等业务。
二、该业务认证设备103不是用来提供业务的具体数据的设备,也不是用来管理业务的业务认证的设备,而是一个单纯的提供认证的设备,可以为该网络认证设备102和该业务认证设备103分担认证流程的设备。在IoT场景中,会有海量的用户设备101需要与该网络认证设备102进行网络认证,导致该网络认证设备102的负载较高,因此本发明实施
例提供该业务认证设备103来分担该网络认证设备102的部分或全部流程。
请参见图3A,图3A是本发明实施例提供的一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S301:该业务认证设备获取参考信息并结合该参考信息和第一共享密钥生成第二共享密钥。
具体地,该参考信息包括该用户设备、该网络认证设备和该业务认证设备中至少一项预先关联的信息。
该用户设备预先关联的信息可以为该用户设备的身份标识(UEID),例如,移动设备国际识别码(英文:International Mobile Equipment Identity,简称:IMEI)、移动设备签约标识(英文:International Mobile Subscriber Identity,简称:IMSI)媒体访问控制(英文:Media Access Control,简称:MAC)地址、互联网协议(英文:Internet Protocol,简称:IP)地址等能够在一定范围内用来与其他终端设备进行区分的信息。
该网络认证设备预先关联的信息可以为该网络认证设备所处蜂窝网的网络参数,例如公共陆地移动网络标识(PLMN ID),运营商标识(Operator ID),接入网络标识(Access Network ID),服务网络标识(Serving Network ID),网络类型标识(Network Type ID),局域网网络标识,切片标识,承载(bearer)ID,服务质量(英文:Quality of Service,简称:QoS)和流(flow)ID等。所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
该业务认证设备预先关联的信息可以为该业务认证设备的身份标识、该业务特征相关的等信息,当该业务认证设备为管理目标业务的设备时,该业务认证设备预先关联的信息还可以包括目标业务的业务参数,例如,业务序列号SN、密钥管理中心的标识、会话标识(session ID)、链路标识、应用标识(app ID)、切片标识、服务标识(service ID)、业务标识、业务等级、业务数据速率、时延和所在服务器的服务器标识等,该目标业务具体为什么业务此处暂不做限制,可选的,该目标业务为该用户设备当前需要访问的业务。该目标业务的业务参数可能预先存储在了该业务认证设备中,例如,该业务认证设备是用于管理该目标业务的业务认证流程的设备,那么可以预先将该目标业务的业务参数存储到该业务认证设备。该目标业务的业务参数也可能为其他设备在获得相应的触发操作后即时发送给该业务认证设备的,例如,该业务认证设备用来对用户设备进行业务认证,那么该网络认证设备会触发业务服务器将该目标业务的业务参数发送给该业务认证设备。
可以理解的是,该用户设备、网络认证设备和业务认证设备之间可以预先建立直接或者间接的连接关系,因此相互之间可获取所需要的参考信息。该参考信息也可能是预先配置在该用户设备、网络认证设备和业务认证设备中。
该第一共享密钥为该用户设备与该业务认证设备之间预先配置的共享密钥,包括该用户设备与该业务认证设备基于证书(certificate)、用户名与密码、身份密码机制等方式得到的共享密钥。该业务认证设备结合参考信息和第一共享密钥生成第二共享密钥旨在表明,计算该第二共享密钥用到的参数包含该参考信息和该第一共享密钥,不排除还要用到其他信息。
步骤S302:该用户设备获取该参考信息并结合该参考信息和该第一共享密钥生成该第二共享密钥。
具体地,该第二共享密钥用于该用户设备和该网络认证设备生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,该方法还可以包括:该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥;该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥。为了方便理解,以下通过图3B和3C结合不同的几个场景进行具体描述。
请参见图3B,图3B是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器;该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S401~S410,各个步骤的详细描述如下:
步骤S401:用户设备向网络认证服务器发送第一请求消息。
步骤S402:该网络认证服务器接收该第一请求消息,并根据该第一请求消息查找相应的业务认证服务器后,向该业务认证服务器发送第二认证请求。
具体地,该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务;该网络认证服务器根据该第一请求消息获知该用户设备想要请求哪种业务后,向该业务认证服务器发送第二请求消息,该第二请求消息可以包含该用户设备的身份标识(UEID)。
步骤S403:该业务认证服务器接收该第二请求消息,并根据该第二认证消息获取业务参数,该业务参数即属于上述参考信息;可选的,该业务参数存储在该业务认证服务器的存储空间中,该业务认证服务器通过读取该存储空间来获取该业务参数。可选的,该业务参数存储在该业务服务器上,该业务认证服务器可以向该业务服务器请求该业务参数。
步骤S404:该业务认证服务器将该业务参数发送给该网络认证服务器;
步骤S405:该网络认证服务器用于接收并向该用户设备转发该业务参数;
步骤S406:该业务认证服务器根据第一共享密钥、该用户设备的UEID、网络参数、业务参数等信息来生成第二共享密钥。
步骤S407:该用户设备根据第一共享密钥、该用户设备的UEID和该业务参数来生成第二共享密钥。
步骤S408:该业务认证服务器将该第二共享密钥发送给该网络认证服务器。
步骤S409:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。可选的,该业务认证服务器还可能直接将该第二共享密钥发送给该CP-AU,相应地,该CP-AU接收该业务认证服务器发送的该第二共享密钥。
步骤S410:该CP-AU接收该第二共享密钥并基于该第二共享密钥与该用户设备进行网络认证生成目标共享密钥,该网络认证可以通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)等认证技术来实现。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找业务认证服务器、给该业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、
SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证服务器向该用户设备发送网络参数,该用户设备相应地接收该网络参数;该网络认证服务器和该用户设备均基于该第二共享密钥和该网络参数生成新的共享密钥,该网络认证服务器还将该新的共享密钥发送给该CP-AU;该CP-AU与该用户设备基于该新的共享密钥进行网络认证生成目标共享密钥。
可选的,该用户设备每次发送该第一请求消息便执行一次生成目标共享密钥的流程,保证了安全性和随机性。
可选的,网络认证设备与业务认证设备提前协商以获得业务参数,当用户设备发送该第一请求消息时,网络认证设备才发送业务参数给该用户设备以使用户设备和该业务认证设备可以基于该业务参数生成。
可选的,该用户设备提前获取相关参数(如果业务参数提前获取或写入),根据该业务参数对应推衍出第二共享密钥,网络认证服务器获取该第二共享密钥后,UE和网络认证服务器可以进一步基于网络参数和第二共享密钥生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络认证设备共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
在图3B所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3C,图3C是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备认证、授权和计费(英文:Authentication Authorization Accounting,简称:AAA)功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S501~S507,各个步骤的详细描述如下:
步骤S501:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有目标业务的业务标识,AAA服务器标识(如AAA ID)等。
步骤S502:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有运营商标识、业务标识、业务参数、AAA服务器标识等信息。
步骤S503:该AAA服务器接收该第二请求消息,基于UEID和第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,该其他信息可以包括网络参数、业务参数和UEID中至少一项,该其他信息属于该参考信息。
步骤S504:AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S505:该网络认证服务器接收并向CP-AU发送该第二共享密钥;可选的,该AAA
服务器还可能直接将该第二共享密钥发送给该CP-AU,相应地,该CP-AU接收该AAA服务器发送的该第二共享密钥。
步骤S506:该用户设备基于该UEID和该第一共享密钥生成该第二共享密钥;当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S507:该用户设备与CP-AU基于该第二共享密钥进行网络认证生成目标共享密钥。
可选的,该网络认证服务器在接收到该第二共享密钥后,结合该第二共享密钥和相关信息(例如,网络参数)生成新的共享密钥,并将该新的共享密钥发送给该CP-AU;该用户设备相应地从该网络认证设备获取该相关信息,并结合该第二共享密钥和该相关信息生成新的共享密钥。相应地,步骤S507就调整为通该过新的共享密钥进行网络认证。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器、给AAA服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证设备中可以预存AAA服务器标识、业务参数等信息与该AAA服务器的对应关系,因此可以基于AAA服务器标识、业务参数等信息查找对应的AAA服务器。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
在图3C所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该方法还可以包括:所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;所述网络认证设备用于接收所述第二共享密钥;所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。为了方便理解,以下根据图3D结合具体场景进行描述。
请参见图3D,图3D是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S601~S607,各个步骤的详细描述如下:
步骤S601:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识,AAA服务器标识(如AAA ID)等。
步骤S602:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务
器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S603:该用户设备接收该AAA服务器的信息。
步骤S604:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该网络认证设备发送给该用户设备的网络参数、业务认证设备获取的业务参数等。
步骤S605:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S606:该网络认证服务器接收并向CP-AU转发该第二共享密钥。
步骤S607:该CP-AU接收该第二共享密钥并将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥;也即是说,该用户设备与该CP-AU之间可以不再进行网络认证来生成保护数据安全传输的共享密钥;可选的,该SM、MM、SSF、AN等网元也可以被共享该第二共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该网络认证服务器接收到该第二共享密钥后,结合该用户设备的UEID、该网络参数等信息生成新的共享密钥;该用户设备相应的接收该网络认证设备发送的网络参数,然后基于该第二共享密钥、UEID、网络参数等信息生成该新的共享密钥;该网络认证服务器将该新的共享密钥发送给该CP-AU,该CP-AU和该用户设备可以将该新的共享密钥作为该目标共享密钥。可选的,该网络认证设备与该用户设备可以基于该第二共享密钥(或该新的共享密钥)进行网络认证生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
可选的,该网络认证设备和该用户设备均有了第二共享密钥时,该网络认证设备可以将网络参数发送给该用户设备,然后基于该第二共享密钥和该网络参数生成该目标共享密钥。
在图3D所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行相互认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备和该用户设备将该第二共享密钥作为该目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
进一步地,该方法还可以包括:该网络认证设备和该用户设备进行网络认证生成第三共享密钥;该网络认证设备和该用户设备根据该第二共享密钥或者根据基于该第二共享密钥衍生的共享密钥进行网络认证生成该目标共享密钥,具体为:该网络认证设备和该用户设备结合该第二共享密钥进行网络认证生成第四共享密钥,根据该第三共享密钥和该第四共享密钥生成该目标共享密钥。为了方便理解,以下通过图3E和3F结合具体场景进行描述。
请参见图3E,图3E是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S701~S709,各个步骤的详细描述如下:
步骤S701:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S702:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识,AAA服务器信息等。
步骤S703:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有业务参数、网络参数等信息。
步骤S704:该AAA服务器接收该第二请求消息,基于第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,UEID、网络参数和业务参数中至少一项,该其他信息均属于该参考信息。
步骤S705:该AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S706:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。
步骤S707:该用户设备基于该UEID和该第一共享密钥生成该第二共享密钥;当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S708:该用户设备与该CP-AU基于该第二共享密钥或者基于该第二共享密钥衍生的共享密钥进行网络认证生成第四共享密钥。
步骤S709:该用户设备与该CP-AU均根据该第三共享密钥和该第四共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向该AAA服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该用户设备与该CP-AU还可以不基于该第二共享密钥进行认证,而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。
可选的,该用户设备与该CP-AU还可以基于该第三共享密钥和该第二共享密钥进行
相互认证,或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备和该CP-AU之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。
进一步地,该方法还可以包括:该网络认证设备还用于将该目标共享密钥发送给该业务认证设备;该业务认证设备用于接收该目标共享密钥;该业务认证设备和该用户设备用于将该目标共享密钥或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在图3E所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,该网络认证设备与该用户设备进行网络认证生成第四共享密钥;该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3F,图3F是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以包括业务认证服务器和业务服务器,例如,该业务认证服务器可以为具备AAA功能的AAA服务器,下面实施例以业务认证服务器为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S711~S719,各个步骤的详细描述如下:
步骤S711:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S712:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S713:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器,并向查找到的AAA服务器发送第二请求消息,该第二请求消息携带该用户设备的身份标识UEID,可能还有业务参数、网络参数等信息。
步骤S714:该AAA服务器接收该第二请求消息,向业务服务器申请获取业务参数,业务服务器返回业务参数,该AAA服务器基于第一共享密钥来生成第二共享密钥,生成该第二共享密钥还可能考虑了其他信息,例如,UEID,网络参数和业务参数中至少一项,该其他信息属于该参考信息。
步骤S715:该AAA服务器将该第二共享密钥发送给网络认证服务器。
步骤S716:该网络认证服务器接收并向该CP-AU转发该第二共享密钥。
步骤S717:该用户设备基于该第一共享密钥生成该第二共享密钥;生成该第二共享密钥还可能考虑了该其他信息,当生成该第二共享密钥还需要其他信息时,该用户设备还可以向其他设备获取该其他信息。
步骤S718:该用户设备与该CP-AU基于该第二共享密钥进行网络认证生成第四共享密钥。
步骤S719:该用户设备与该CP-AU均根据该第三共享密钥和该第四共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该用户设备与该CP-AU还可以不基于该第二共享密钥进行认证,而是各自根据该第二共享密钥和该第三共享密钥生成该目标共享密钥。
可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将该第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥,将该第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种共享密钥。
可选的,该用户设备与该CP-AU还可以基于该第三共享密钥和该第二共享密钥进行相互认证生成目标共享密钥,或者基于该第三共享密钥和该第二共享密钥衍生的共享密钥进行相互认证生成目标共享密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,网络认证设备获取第二共享密钥后,UE与网络认证设备基于与网络共享的根密钥和第二共享密钥相互认证生成该目标根密钥。
可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备与网络认证设备基于该根密钥相互认证获取第三共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、查找AAA服务器、给AAA服务器发送第二请求消息和与用户设备相互认证的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU、网络认证服务器等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
进一步地,该方法还可以包括:该网络认证设备还用于将该目标共享密钥发送给该业务认证设备;该业务认证设备用于接收该目标共享密钥;该业务认证设备和该用户设备用于将该目标共享密钥或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与该用户设备协商的保护数据安全传输的共享密钥。
在图3F所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,该网络认证设备与该用户设备进行网络认证生成第四共享密钥;该用户设备和该网络认证设备均根据第一次认证生成的该第三共享密钥和第二次认证生成的第四共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,该方法还可以包括:该网络认证设备与该用户设备进行网络认证生成第三共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体
为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥;该网络认证设备和该用户设备均根据该第二共享密钥和该第三共享密钥生成该目标共享密钥;或者将该第二共享密钥和该第三共享密钥分别作为保护不同类型数据的该目标共享密钥,例如,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。为了方便理解,以下根据图3G和3H结合具体场景进行描述。
请参见图3G,图3G是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以为单纯具备认证功能的第三方,例如,具备AAA功能的AAA服务器,下面实施例以业务认证设备为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S801~S808,各个步骤的详细描述如下:
步骤S801:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S802:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S803:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S804:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该CP-AU发送给该用户设备的网络参数、业务参数等。
步骤S805:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S806:该网络认证服务器用于接收并向该CP-AU转发该第二共享密钥。
步骤S807:该CP-AU接收该第二共享密钥。
步骤S808:该用户设备和该CP-AU均根据该第二共享密钥和该第三共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该用户设备和该网络认证服务器还有预先配置的共享根密钥时,该用户设备和该CP-AU之间的网络认证可以基于该共享根密钥完成以生成第三共享密钥。
可选的,该用户设备含有该AAA服务器的信息时,该AN无须再将AAA服务器信息返回给该用户设备。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将第二共享密钥或者基于该第二共享密钥衍生的共享密钥
作为一种类型的目标共享密钥,将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。
在图3G所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备;该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图3H,图3H是本发明实施例提供的一种网络认证方法的流程示意图,该业务认证设备可以包括业务认证服务器和业务服务器,例如,该业务认证服务器可以为具备AAA功能的AAA服务器,下面实施例以业务认证服务器为AAA服务器为例来描述,该用户设备与该业务认证设备预先共享了第一共享密钥,该方法包括步骤S811~S818,各个步骤的详细描述如下:
步骤S811:该CP-AU与该用户设备进行网络认证生成第三共享密钥。
步骤S812:用户设备向AN发送第一请求消息,该第一请求消息可以携带该用户设备的身份标识UEID,可能还有业务标识等。
步骤S813:该AN接收该第一请求消息并根据该第一请求消息查找对应的AAA服务器的信息,例如,IP地址信息、MAC地址信息等,然后将该AAA服务器的信息发送给该用户设备。
步骤S814:该用户设备根据该AAA服务器的信息与该AAA服务器进行业务认证生成第二共享密钥,业务认证的过程使用到了该第一共享密钥和参考信息,该参考信息可以包括该用户设备的身份标识UEID、该CP-AU发送给该用户设备的网络参数、业务参数等。
步骤S815:该AAA服务器将该第二共享密钥发送给该网络认证服务器。
步骤S816:该网络认证服务器用于接收并向该CP-AU转发该第二共享密钥。
步骤S817:该CP-AU接收该第二共享密钥。
步骤S818:该用户设备和该CP-AU均根据该第二共享密钥和该第三共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥。
可选的,该第三共享密钥或者基于该第三共享密钥衍生的共享密钥用来保护公共数据的安全传输,该第二共享密钥或者基于该第二共享密钥衍生的共享密钥用来保护特定业务数据的安全传输。也即是说,将第二共享密钥或者基于该第二共享密钥衍生的共享密钥作为一种类型的目标共享密钥,将第三共享密钥或者基于该第三共享密钥衍生的共享密钥作为另一种类型的目标共享密钥。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、认证用户设备、查找AAA服务器的信息、向用户设备发送该AAA服务器的信息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同
完成。可选的,该UE还含有与网络认证设备共享的根密钥,该用户设备与网络认证设备基于该根密钥相互认证获取第三共享密钥。
在图3H所示的方法中,该网络认证设备与该用户设备进行网络认证生成第三共享密钥,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行网络认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备;该用户设备和该网络认证设备均根据该第三共享密钥和第二共享密钥生成目标共享密钥,也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在又一种可选的方案中,该方法还可以包括:该参考信息为该网络认证设备所在蜂窝网的网络参数;该结合该参考信息和第一共享密钥生成第二共享密钥,具体为:该业务认证设备与该用户设备根据该参考信息和该第一共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3I结合具体场景进行描述。
请参照图3I,图3I为本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器,该业务服务器用于提供业务的访问,业务认证过程中如果需要使用业务参数,那么该业务参数可能存储在该业务认证服务器中,也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥,该方法可以包括步骤SA901~S907,各个步骤的详细描述如下。
步骤S901:用户设备向网络认证服务器发送第一请求消息,该第一请求消息可以包含该用户设备的身份标识UEID,还可能包含与目标业务相关的信息。
步骤S902:该网络认证服务器接收该第一请求消息,并根据该第一请求消息向该业务认证服务器发送第二请求消息。
具体地,该第一请求消息可以包含一些标识信息来表明该用户设备想要请求什么业务;该网络认证设备根据该第一请求消息获知该用户设备想要请求哪种业务后,向该业务认证设备发送第二请求消息,该第二请求消息可以包含该用户设备的身份标识(UEID),该第二请求消息还可能包含该网络认证服务器所在蜂窝网的网络参数。
步骤S903:该业务认证服务器接收该第二请求消息;该业务认证服务器还可以获取目标业务的业务参数,该业务参数可能存储在该业务认证服务器中,也可能存储在该业务服务器中,当存储在该业务服务器中时该业务认证服务器向该业务服务器发送请求该业务参数的请求消息,该业务服务器相应地返回该业务参数给该业务认证服务器。
步骤S904:该业务认证服务器与该用户设备基于该第一共享密钥进行业务认证生成第二共享密钥,该业务认证过程中还可能用到了业务参数、网络参数、UEID等信息,用到的除该第一共享密钥的信息均可属于该参考信息,用户设备用到的业务参数和网络参数可以由该网络认证服务器发送。
步骤S905:该业务认证服务器将该第二共享密钥发送给该网络认证服务器。
步骤S906:该网络认证服务器接收并转发该第二共享密钥给该CP-AU。
步骤S907:该CP-AU接收该第二共享密钥,此时该用户设备与该CP-AU均具有该第二共享密钥,因此可以将该第二共享密钥直接确定为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证的过程。
可选的,当该网络认证设备包含多个设备时,接收第一请求消息、向业务认证服务器发送第二请求消息和接收第二共享密钥的动作可能由该多个设备中任一个设备完成或者相关功能设备协同完成,例如,可以由SM、MM、SSF、CP-AU等多个网元中的一个网元单独完成,或者该多个网元中的至少两个网元协同完成。
可选的,该业务认证服务器和该用户设备均可以根据该第一共享密钥,再结合一些其他信息(例如,网络参数,业务参数、UEID等)来生成新的共享密钥。这样一来,在步骤S904中,该业务认证服务器与该用户设备具体结合该新的共享密钥进行网络认证生成第二共享密钥。
可选的,用户设备与该业务服务器在进行业务认证的过程时,交互的信息可以由该网络认证设备转发,也可以不经过该网络认证设备转发,例如,通过有线网络直接发送。
在图3I所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络的目标共享密钥,同时该第二共享密钥还可以作为该业务自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
请参照图3J,图3J为本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务和业务服务器,该业务服务器用于提供业务的访问,业务认证过程中如果需要使用业务参数,那么该业务参数可能存储在该业务认证服务器中,也可能存在该业务服务器中。该用户设备与该业务认证设备预先共享了第一共享密钥,该方法可以包括步骤S1001~S1007,各个步骤的详细描述如下。
步骤S1001:该用户设备向该业务服务器发送第一请求消息。
步骤S1002:该业务服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息用于请求该CP-AU反馈该CP-AU所在网络的网络参数给该业务认证服务器。
步骤S1003:该CP-AU向该业务认证服务器发送该网络参数。
步骤S1004:该业务认证服务器接收该网络参数,并将该网络参数和目标业务的业务参数发送给该用户设备。
步骤S1005:该用户设备接收该网络参数和该业务参数。
步骤S1006:该业务认证服务器与该用户设备根据该第一共享密钥、该网络参数和该业务参数进行业务认证生成第二共享密钥,生成该第二共享密钥用到的信息中,除该第一共享密钥外均可以属于该参考信息。
步骤S1007:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能
还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证。
可选的,接收和发送该第一请求消息、第二请求消息的设备可以为该业务服务器,也可以为该业务认证服务器,或者该业务认证设备包括的其他设备;
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为该网络认证设备中的其他设备,如,网络认证服务器、CP-AU、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在图3J所示的方法中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
在又一种可选的方案中,该方法还可以包括:该业务认证设备获取该用户设备与该网络认证设备之间预先配置的第五共享密钥;该结合该参考信息和第一共享密钥生成第二共享密钥,具体为:结合该参考信息、第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3K结合具体场景进行描述。
请参见图3K,图3K是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥,该用户设备与该网络认证设备预先共享了第五共享密钥;该方法可以包括步骤S1101~S1106,各个步骤的详细描述如下。
步骤S1101:该用户设备向该业务认证服务器发送第一请求消息。
步骤S1102:该业务认证服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息用于请求该CP-AU向该业务认证服务器发送该第五共享密钥。
步骤S1103:该CP-AU接收该第二请求消息,并向该业务认证服务器发送该第五共享
密钥(或者由该第五共享密钥衍生的密钥)。
步骤S1104:该业务认证服务器接收该第五共享密钥,还可能接收了该CP-AU发送的网络参数。
步骤S1105:该业务认证服务器与该用户设备根据该第一共享密钥和该第五共享密钥进行业务认证生成第二共享密钥,或者根据该第一共享密钥和基于该第五共享密钥衍生的密钥进行业务认证生成第二共享密钥;该第二共享密钥或者基于该第二共享密钥衍生的共享密钥为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。
步骤S1106:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该网络认证设备和该用户设备将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证的流程。
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为其他设备,如,网络认证服务器、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在又一种可选的方案中,该方法还包括:所述业务认证设备将所述第二共享密钥发送给所述网络认证设备;所述网络认证设备接收所述第二共享密钥;所述网络认证设备和所述用户设备均根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第五共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在图3K所示的方法中,用户设备与业务认证设备根据第一共享密钥和第五共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
在又一种可选的方案中,该方法还可以包括:该网络认证设备根据自身所在的蜂窝网的网络参数生成网络侧信息;该网络认证设备将该网络侧信息发送给该业务认证设备;该业务认证设备接收并向该用户设备转发该网络侧信息;该结合该参考信息和第一共享密钥
生成第二共享密钥,具体为:结合该网络参数和第一共享密钥进行业务认证生成第二共享密钥,该网络参数包括该网络侧信息。该业务认证设备将该第二共享密钥发送给该网络认证设备;该网络认证设备用于接收该第二共享密钥并将该第二共享密钥作为该目标共享密钥。为了方便理解,以下根据图3L结合具体场景进行描述。
请参见图3L,图3L是本发明实施例提供的一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该业务认证设备预先共享了第一共享密钥,用户设备与该网络认证设备预先共享了第五共享密钥;该方法可以包括步骤S1201~S1207,各个步骤的详细描述如下。
步骤S1201:该用户设备向该业务认证服务器发送第一请求消息。
步骤S1202:该业务认证服务器接收该第一请求消息,并根据该第一请求消息向该CP-AU发送第二请求消息,该第二请求消息包含该第一共享密钥和目标业务的业务参数。
步骤S1203:该CP-AU接收该第二请求消息,并向该业务认证服务器发送该网络参数,以及基于网络参数、业务参数、该第一共享密钥、该第五共享密钥生成的网络侧信息。
步骤S1204:该业务认证服务器接收该网络侧信息和网络参数,并向该用户设备发送该网络参数和该业务参数。
步骤S1205:该用户设备接收该网络参数和该业务参数,并基于该第一共享密钥、第五共享密钥、该网络参数和该业务参数生成该网络侧信息(如,Kcombination),该网络侧信息属于该参考信息。
步骤S1206:该业务认证服务器与该用户设备根据该网络侧信息进行业务认证生成第二共享密钥。
步骤S1207:该业务认证服务器将该第二共享密钥发送给该CP-AU,该CP-AU可能还要将该第二共享密钥发送给该网络认证服务器存储备用。由于该CP-AU和该用户设备均具有该第二共享密钥,因此该CP-AU和该用户设备将该第二共享密钥作为目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该CP-AU与该用户设备协商的保护数据安全传输的共享密钥,可以省去该用户设备再与该CP-AU进行网络认证。
可选的,网络认证设备中用于接收该第二请求消息的设备可以为该CP-AU,也可以为其他设备,如,网络认证服务器、MM、SM、AN等。
可选的,该用户设备用到的业务参数除了由该业务认证服务器发送外,还可以是预置在该用户设备中的。
可选的,该CP-AU和该用户设备还可以基于该第二共享密钥进一步生成新的共享密钥,然后基于该新的共享密钥、网络参数、业务参数来生成该目标共享密钥。
可选的,该CP-AU与该用户设备还可以进一步基于该第二共享密钥进行网络认证生成该目标共享密钥。
可选的,该业务认证设备不发送第二共享密钥给网络认证设备,该网络认证设备只需要知道该用户设备认证成功即可。
在图3L所示的方法中,用户设备与业务认证设备根据获取的网络侧信息和预先共享的第一共享密钥进行业务认证生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备将该第二共享密钥作为目标共享密钥。也即
是说,该业务认证设备和该用户设备生成的第二共享密钥直接作为该网络认证设备的目标共享密钥,同时该第二共享密钥还可以作为该业务认证设备自身的目标共享密钥,相当于执行上述流程完成了网络认证和业务认证这两次认证,提高了认证的效率。
请参见图4A,图4A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1401:该业务认证设备将预存的目标业务的业务参数发送给该网络认证设备和该用户设备。
具体地,该业务认证设备中预存了该目标业务的业务参数,该目标业务及其业务参数的具体情况可以参照图3A所示的方法实施例的描述,此处不赘述。
在一种可选的方案中,该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接;该业务认证设备可以在接收到该用户设备发送的并经过该网络认证设备转发的第一请求消息后再发送该业务参数,由于该第一请求消息由该用户设备经该网络认证设备转发给该业务认证设备,因此可通过相反路径将该业务参数发送给该网络认证设备,进而由该网络认证设备转发给该用户设备。可选的,该第一请求消息中携带了该用户设备的身份标识,并在发送到该网络认证设备时进过该网络认证设备添加了该网络认证设备所在蜂窝网的相关信息(如,网络标识),因此该业务认证设备可以基于该用户设备的身份标识以及该蜂窝网的相关信息将该业务参数依次发送给该网络认证设备和该用户设备。
在又一种可选的方案中,该用户设备未通过除蜂窝网以外的网络与该业务认证设备连接,该业务认证设备可以在接收到该网络认证设备发送第二请求消息后再发送该业务参数,该业务认证设备接收到该网络认证设备发送的第二请求消息即向该网络认证设备反馈该业务参数,该网络认证设备接收到该业务参数后在将该业务参数发送给该用户设备。
在又一种可选的方案中,该用户设备通过除蜂窝网以外的网络与该业务认证设备建立了通信连接,该业务认证设备可以在接收到该网络认证设备发送的第二请求消息后再发送该业务参数,该第二请求消息中可以携带该网络认证设备的相关信息(如,网络标识),这样一来,该业务认证设备就可以根据该相关信息向该网络认证设备发送该业务参数,并根据接收该第一请求消息的路径向该用户设备返回该业务参数。
步骤S1402:该网络认证设备和该用户设备接收该业务参数。
步骤S1403:该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。需要说明的是,此处的原始目标共享密钥相当于上面描述的第五共享密钥,即该原始共享密钥为该网络认证设备与该用户设备预先共享的共享密钥。
在一种可选的方案中,该方法还包括:该网络认证设备和该用户设备结合该业务参数和原始共享密钥进行网络认证生成目标共享密钥,具体为:网络认证设备和该用户设备结合该业务参数和原始共享密钥生成认证共享密钥。该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。
在图4A所示的方法中,该业务认证设备将业务参数发送给该网络认证设备,该网络
认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图5A,图5A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1701:该业务认证设备获取该用户设备的身份标识。
步骤S1702:该业务认证设备结合自身的业务公钥、业务私钥和该身份标识生成身份密钥,并将该身份密钥、该业务公钥发送给该网络认证设备。
步骤S1703:该网络认证设备接收该身份密钥,并结合该身份密钥、该业务公钥和网络参数生成认证根密钥,该网络参数为与该网络认证设备所处蜂窝网相关的参数,以上有对该网络参数的描述,此处不赘述。结合该身份密钥、该业务公钥和网络参数生成认证根密钥,具体指:生成该认证根密钥需要用到的信息包括但不限于该身份密钥、该业务公钥和网络参数。
步骤S1704:该网络认证设备将该认证跟密钥写入该用户设备;例如,该网络认证设备可以将该认证根密钥写入到全球用户识别卡(英文:Universal Subscriber Identity Module,简称:USIM),而该USIM卡是用来配置到用户设备的,因此可以看做该网络认证设备将该认证根密钥写入到该用户设备。另外,该网络认证设备将该认证根密钥写入到该用户设备包括该网络认证设备直接写入该用户设备,也包括该网络认证设备通过其他设备写入该用户设备,还包括其他设备通过调用该网络认证设备中的认证根密钥并写入该用户设备。
步骤S1705:该网络认证设备与该用户设备用于通过该认证根密钥进行网络认证生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。为了便于理解,以下根据图5B结合具体场景进行描述。
请参见图5B,图5B是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该用户设备与该网络认证设备预先共享了第一共享密钥;该方法可以包括步骤S1801~S1806,各个步骤的详细描述如下。
步骤S1801:用户设备向业务认证服务器发送第一请求消息,该第一请求消息包含该用户设备的身份标识,上面实施例有对该用户设备的身份标识的描述,此处不再赘述。业务公钥可理解为基于IBS的全局公钥;业务私钥可理解为基于IBS的全局私钥。
步骤S1802:该业务认证服务器接收该第一请求消息,并根据自身的业务私钥(英文:Secret Key,简称:SK)、业务公钥(英文:public key,简称:PK)和该用户设备的身份标识生成身份密钥。
步骤S1803:该业务认证服务器将身份密钥、该业务公钥和该用户设备的身份标识发送给该CP-AU。
步骤S1804:该CP-AU接收该身份密钥、该业务公钥和该用户设备的身份标识,并结合该身份密钥、该业务公钥和该用户设备的身份标识生成认证根密钥。
步骤S1805:该CP-AU将该认证根密钥写入到该用户设备中。可选的,可以将身份密
钥和业务公钥写入该用户设备,如果是写入的是身份密钥和业务公钥,则后续跟用户设备与网络认证设备可以基于IBS根据该身份密钥和业务公钥相互认证。
步骤S1806:该CP-AU和该用户设备基于该认证根密钥进行网络认证生成目标共享密钥。
可选的,该CP-AU将生成的目标共享密钥发送给该业务认证服务器,以便该业务认证服务器和该用户设备将该目标共享密钥,或者基于该目标共享密钥衍生的共享密钥作为该业务认证服务器与该用户设备协商的保护数据安全传输的共享密钥。
可选的,CP-AU可以向网络认证服务器获取认证向量来与该用户设备进行网络认证。
在图5B所示的方法中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图6A,图6A是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S1901:该业务认证设备与该用户设备进行业务认证生成参考共享密钥。可选的,该用户设备通过蜂窝网以外的网络与该业务认证设备建立了通信连接,该用户设备与该业务认证设备可以基于证书、用户名密码、基于身份密码机制以及预置共享密钥来进行业务认证。该认证共享密钥可以具体基于该用户设备的身份标识UEID、该业务认证设备管理的目标业务的业务参数等信息来生成。以UEID为例,该用户设备可以向该业务认证设备发送请求消息来,该请求消息中携带了该UEID。
步骤S1902:该业务认证设备将该参考共享密钥发送给该网络认证设备;该业务认证设备发送的信息还可以包括该用户设备的相关信息,例如,UEID、IP地址、MAC地址等,这样一来该业务认证设备就可以知道后续需要与哪个用户设备基于该参考共享密钥生成目标共享密钥。
步骤S1903:该网络认证设备接收该参考共享密钥。
步骤S1904:该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥,该目标共享密钥或者基于该目标共享密钥衍生的共享密钥为该网络认证设备与该用户设备协商的保护数据安全传输的共享密钥。该用户设备与该网络认证设备生成目标共享密钥需要参考的信息至少包括该参考共享密钥。
在一种可选的方案中,该方法还可以包括:该网络认证设备将该网络认证设备所在蜂窝网的网络参数发送给该用户设备;该网络认证设备和该用户设备结合该参考共享密钥生成目标共享密钥,具体为:该网络认证设备和该用户设备均根据该网络参数和该参考共享密钥生成认证共享密钥;该网络认证设备和该用户设备根据该认证共享密钥进行网络认证生成目标共享密钥。为了方便理解,以下根据图6B结合具体场景进行描述。
请参见图6B,图6B是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2001~S2009,
各个步骤的详细描述如下。
步骤S2001:该用户设备与该业务认证服务器进行业务认证生成参考共享密钥,或者该业务认证设备和该用户设备直接预先配置参考共享密钥,该参考共享密钥即为该用户设备与该业务认证设备之间的预先共享的根密钥。
步骤S2002:该业务认证服务器将该参考共享密钥发送给该网络认证服务器。
步骤S2003:该网络认证服务器接收该参考共享密钥并向该业务认证服务器发送网络参数。
步骤S2004:该业务认证服务器接收该网络参数并将该网络参数转发给该用户设备;可选的,该网络认证服务器还可以直接将该网络参数发送给该用户设备。
步骤S2005:该网络认证服务器根据该参考共享密钥和该网络参数生成认证共享密钥。
步骤S2006:该网络认证服务器将该认证共享密钥发送给该CP-AU。
步骤S2007:该CP-AU接收该认证共享密钥。
步骤S2008:该用户设备根据该参考共享密钥和该网络参数生成该认证共享密钥。
步骤S2009:该CP-AU和该用户设备用于根据该认证共享密钥进行网络认证生成目标共享密钥。
可选的,该网络认证设备和该用户设备之间还可以预先共享第五共享密钥,这样一来,该网络认证设备和该用户设备就可以基于该第五共享密钥和该参考共享密钥相互认证生成该目标根密钥。
在又一种可选的方案中,该方法还可以包括:该网络认证设备将该目标共享密钥发送给该业务认证设备;该业务认证设备接收该目标共享密钥;该业务认证设备和该用户设备将该目标共享密钥,或者基于该目标共享密钥衍生的共享密钥作为该业务认证设备与用户设备协商的保护数据安全传输的共享密钥。也即是说,该网络认证设备与该用户设备进行网络认证之后,该网络认证设备将该网络认证的结果发送给该业务认证设备,该业务认证设备可以直接使用该网络认证的结果,而不需要再与该用户设备进行业务认证来生成加密传输数据的共享密钥。
在图6B所示的方法中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图6C,图6C是本发明实施例提供的又一种网络认证方法的流程示意图,该方法可以基于图1所示的网络认证系统来实现,该方法包括但不限于如下步骤。
步骤S2101:网络认证设备生成经过初始共享密钥加密的访问令牌,所述初始共享密钥为所述网络认证设备与业务认证设备预先共享的密钥;
步骤S2102:所述网络认证设备将所述访问令牌发送给所述用户设备;
步骤S2103:所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证
设备;
步骤S2104:所述业务认证设备接收所述访问令牌并通过所述初始共享密钥验证所述访问令牌的正确性;
步骤S2105:所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,以通知与所述用户设备之间成功完成业务认证。
在一种可选的方案中,所述访问令牌中包含目标共享密钥,所述用户设备和所述业务认证设备用于在所述用户设备与所述业务认证设备之间成功完成业务认证时,将所述访问令牌中的所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥,作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。可选的,该目标共享密钥为该网络认证设备与该用户设备进行网络认证得到的共享密钥。
在又一种可选的方案中,所述访问令牌包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项。可选的,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
进一步地,该访问令牌还可以包括通过初始共享密钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时,在步骤S2104中还需要基于该初始共享密钥验证该消息认证码的正确性,步骤S2105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,具体为:所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。
为了方便理解,以下分别结合图6D和图6E的具体场景进行描述。
请参见图6D,图6D是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2201~S2207,各个步骤的详细描述如下。
步骤S2201:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1;该UE可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息,以表明该UE需要与该业务认证设备认证。
步骤S2202:网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享密钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,基础信息,MAC),也即是说,该访问令牌token为采用初始共享密钥K0对K2、基础信息和MAC进行的加密;其中,K2为该网络认证设备确定的,可能用作用户设备与业务认证设备之间保护数据传输的共享密钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证
码;该消息认证码MAC的生成采用初始共享密钥K0。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则网络认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至业务认证设备,后续该业务认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享密钥K2可以为配置的随机的参数,也可以为网络共享密钥K1,还可以为基于网络共享密钥K1推衍出来的共享密钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享密钥K1和基础信息进行计算来得到该共享密钥K2。
进一步地,业务认证设备的相关信息为能够在一定范围内区分该业务认证设备与其他设备的信息,例如,可以为该业务认证设备的IP地址,或者业务ID。步骤S2203:该网络认证设备向UE发送K2和token,还可能发送网络认证设备的相关信息,该网络认证设备的相关信息可以包括网络参数。
步骤S2204:UE接收K2和token并向业务认证设备发送该token和该网络认证设备的相关信息。UE可以自己生成该网络认证设备的相关信息,也可以在与该网络认证设备进行网络认证之时,或者之前,或者之后接收该网络认证设备发送的该网络认证设备的相关信息,优选的,UE在步骤S2203中接收该网络认证设备发送的网络认证设备的相关信息。
步骤S2205:业务认证设备接收该token和该网络认证设备的相关信息,根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享密钥K0,并使用K0解密token得到该共享密钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该业务认证设备验证token成功。因此,该业务认证设备将该K2作为与该UE之间用于保护数据传输的共享密钥。
步骤S2206:该业务认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。
步骤S2207:该业务认证设备和该UE将该共享密钥K2作为该UE与该业务认证设备之间用户保护数据安全传输的共享密钥。
可选的,UE与业务认证设备根据K2进一步推衍出共享密钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
可选的,当该共享密钥K2为网络共享密钥K1时,该UE和该业务认证设备均可以基于该K1衍生出的共享密钥K3。
可选的,加密token的共享密钥为K1而不是K0,业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该UE的相关信息;该网络认证设备根据该UE的相关信息确定与该UE认证生成的共享密钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该业务认证设备认证成功,因此将K2发送给该业务认证设备,以便该UE和该业务认证设备将该K2作为保护数据安全传输的共享密钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,再由该业务认证设备发送给该网络认证设备,该UE的相关信息可以为该UE的身份标识。
请参见图6E,图6E是本发明实施例提供的又一种网络认证方法的流程示意图;该业
务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2301~S2305,各个步骤的详细描述如下。
步骤S2301:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1;该UE可以在网络认证之前或者之后或者网络认证的过程中向该网络认证设备发送业务认证设备的相关信息,以表明该UE需要与该业务认证设备认证。
步骤S2302:网络认证设备根据该业务认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享密钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该初始共享密钥K0加密该访问令牌token。可选的,token可以为消息认证码,消息认证码MAC=MAC_K_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项;该消息认证码MAC还经过了该初始共享密钥K0加密。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则网络认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至业务认证设备,后续该业务认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S2303:该网络认证设备向UE发送token,还可能发送该网络认证设备的相关信息,所述网络认证设备的相关信息可以包括该网络参数。
步骤S2304:UE接收token并向业务认证设备发送该token和该网络认证设备的相关信息。
步骤S2305:业务认证设备接收该token和该网络认证设备的相关信息,根据该网络认证设备的相关信息来确定预先与该网络认证设备共享的初始共享密钥K0,然后根据K0验证MAC的正确性,验证MAC成功后则表明该业务认证设备验证token成功。至此,该UE与该业务认证设备之间成功完成了认证。
可选的,生成token的共享密钥为K1而不是K0,业务认证设备接收到token后根据网络认证设备的相关信息向该网络认证设备转发该token和该UE的相关信息;该网络认证设备根据该UE的相关信息确定与该UE认证生成的共享密钥K1,然后验证该token中MAC的正确性,验证成功即表明该UE与该业务认证设备认证成功,因此想该UE和该业务认证设备发送通知消息以通知该UE与该业务认证设备之间认证成功。
请参见图6F,图6F是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2401~S2408,各个步骤的详细描述如下。
步骤S2401:用户设备UE与网络认证设备进行网络认证。
步骤S2402:网络认证设备在网络认证通过后生成认证令牌token和该token的过期信息,该过期信息用于表征该token什么时候过期;还可以生成范围信息,该范围信息用于表征该token可以被哪些业务认证设备使用;或者该范围信息用于表征该token可以被哪些用户设备使用。
步骤S2403:网络认证设备向该UE发送该token;还可以发送该网络认证设备相关的信息,该网络认证设备相关的信息用于表明该token来自于该网络认证设备。
步骤S2404:该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息;
步骤S2405:该业务认证设备接收该token和该网络认证设备的相关信息,并根据该网络认证设备的相关信息向该网络认证设备发送该token;发送的消息可能还包括UE ID和业务认证设备的相关信息中的至少一项。
步骤S2406:该网络认证设备接收该token,判断该token是否为自身生成的token,如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期,若没过期则表明验证token成功。可选的,当该网络认证设备生成了范围信息时,该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备,若为允许的业务认证设备且该token未过期则表明验证token成功。可选的,该范围信息用于表征该token可以被哪个用户设备使用时,该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备,若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备,并且该token未过期则表明验证token成功。
可选的,步骤S2405中不包含业务认证设备的相关信息,该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。
可选的,判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息,可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备,再由业务认证设备在步骤S2405中一同发送至该网络认证设备。
步骤S2407:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;
步骤S2408:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
请参见图6G,图6G是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2501~S2508,各个步骤的详细描述如下。
步骤S2501:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1。
步骤S2502:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该网络共享密钥K1加密该访问令牌token。可选的,token=Enc_K1_(K2,基础信息,MAC),也即是说,该访问令牌token为采用K1对K2、基础信息和MAC加密生成;其中,K2为该UE确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享密钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,可选的,该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息;MAC=MAC_K1_(新鲜参数和/或基础信息),
即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享密钥K1生成。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数转发给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享密钥K2可以为配置的随机的参数,也可以为网络共享密钥K1,还可以为基于网络共享密钥K1推衍出来的共享密钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享密钥K1和基础信息进行计算来得到该共享密钥K2。
步骤S2503:UE向业务认证设备发送该token。
步骤S2504:业务认证设备接收该UE发送的该token并将该token转发该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息(包括但不限于UE ID),该相关信息可能由该UE发送至该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备。
步骤S2505:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享密钥K1,并使用K1解密token得到该共享密钥K2、该基础信息和消息认证码MAC;然后根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。
步骤S2506:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功,该通知消息中还包括从token中获得的共享密钥K2;
步骤S2507:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
步骤S2508:该UE和该业务认证设备将该K2作为该UE与该业务认证设备之间用于保护数据安全传输的共享密钥。
可选的,UE与业务认证设备根据K2进一步推衍出共享密钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
请参见图6H,图6H是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2601~S2607,各个步骤的详细描述如下。
步骤S2601:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1。
步骤S2602:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,可选的,该token为消息认证码MAC,MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享密钥K1生成。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数发送给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S2603:UE向业务认证设备发送该token。
步骤S2604:业务认证设备接收该UE发送的该token并将该token转发该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息,该相关信息可能由该UE发送该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备,例如,该用户设备的相关信息可以为该用户设备的身份标识(UEID)。
步骤S2605:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享密钥K1,并根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。
步骤S2606:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;
步骤S2607:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。
需要说明的是,还可以基于上述方案显而易见地推导出以下方案,即UE首先与业务认证设备建立双向认证,由UE或者业务认证设备生成token;之后UE发送token至网络认证设备,网络认证设备可以自己验证token的正确性,也可能将token发送至业务认证设备,由业务认证设备验证token的正确性,并将验证结果发送至网络认证设备。相当于将6C-6H中涉及到的业务认证设备与网络认证设备进行了调换。另外,token包含但不限于如下两种情况:情况一token=Enc_K0_(K2,基础信息,MAC_K0_(基础信息和/或nonce)),情况二:token=MAC_K0_(基础信息和/或nonce)。这两种情况的理解可以参照以上描述,此处不再赘述。
为了便于理解,以下以token由业务认证设备生成为例来进行描述,token由UE生成的情况可以参照图6D~6I的描述。
请参见图6I,图6I是本发明实施例提供的又一种网络认证方法的流程示意图;该业务认证设备可以包括业务认证服务器和业务服务器。该方法可以包括步骤S2708~S2707,各个步骤的详细描述如下。
步骤S2701:用户设备UE与业务认证设备进行业务认证,生成的共享密钥为业务共享密钥K1;该UE可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息,以表明该UE需要与该网络认证设备认证。
步骤S2702:业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享密钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,基础信息,MAC),也即是说,该访问令牌token为采用初始共享密钥K0对K2、基础信息和MAC进行的加密;其中,K2为该业务认证设备确定的,可能用作用户设备与网络认证设备之间保护数据传输的共享密钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),
即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC的生成采用初始共享密钥K0。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则业务认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享密钥K2可以为配置的随机的参数,也可以为业务共享密钥K1,还可以为基于业务共享密钥K1推衍出来的共享密钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该业务共享密钥K1和基础信息进行计算来得到该共享密钥K2。
进一步地,网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息,例如,可以为该网络认证设备的IP地址。
步骤S2703:该业务认证设备向UE发送K2和token,还可能发送业务认证设备的相关信息,所述业务认证设备的相关信息可以包括业务参数。
步骤S2704:UE接收K2和token并向网络认证设备发送该token和该业务认证设备的相关信息。UE可以自己生成该业务认证设备的相关信息,也可以在与该业务认证设备进行业务认证之时,或者之前,或者之后接收该业务认证设备发送的该业务认证设备的相关信息,优选的,在E在步骤S2703中接收该业务认证设备发送的业务认证设备的相关信息。
步骤S2705:网络认证设备接收该token和该业务认证设备的相关信息,根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享密钥K0,并使用K0解密token得到该共享密钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该网络认证设备验证token成功。因此,该网络认证设备将该K2作为与该UE之间用于保护数据传输的共享密钥。
步骤S2706:该网络认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。
步骤S2707:该网络认证设备和该UE将该共享密钥K2作为该UE与该网络认证设备之间用户保护数据安全传输的共享密钥。
可选的,UE与网络认证设备根据K2进一步推衍出共享密钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该网络认证设备之间保护数据的安全传输。
可选的,加密token的共享密钥为K1而不是K0,网络认证设备接收到token后根据业务认证设备的相关信息向该业务认证设备转发该token和该UE的相关信息;该业务认证设备根据该UE的相关信息确定与该UE认证生成的共享密钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该网络认证设备认证成功,因此将K2发送给该网络认证设备,以便该UE和该网络认证设备将该K2作为保护数据安全传输的共享密钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,该UE的相关信息可以为该UE的身份标识。
需要说明的是,还可以对图6C~6I所示实施例进行相应拓展,拓展的思路如下:
K1为UE与网络认证设备之间的共享密钥,包括但不限于Kasme,加密密钥(英文:
cihper key,简称:CK)和完整性保护密钥(英文:integrity key,简称:IK)中的的至少一项。
另外,也可能采用非对称密码的形式计算token,例如token=Enc_PK_业务_(K2,(nonce1,基本信息),signature=MAC_SK_网络_(nonce2,基本信息))。PK_业务表示该业务认证设备提供的业务的公钥参数,SK_网络表示该网络认证设备所在的运营商网络的私钥参数。此时业务认证设备可以根据自己的私钥SK_业务解密打开token;并且利用网络认证设备所在运营商网络的公钥PK_网络,验证token中签名的正确性。此时token的验证更加灵活,不需要与网络认证设备进行网络认证交互即可完成验证。另外,此处加密和签名的算法可以为基于公钥基础设施(英文:Public key infrastructure,简称:PKI)等非对称密码技术,也可以为基于身份的密码技术。
需要说明的是,以上各个实施例中列出的步骤的先后顺序此处不做限制,有些步骤先执行还是后执行对实施例的实施不会产生实质的影响,因此在以上列出的步骤的先后顺序的基础上,对步骤执行的先后顺序进行调整所形成的方案依然落入本发明的保护范围。
上述详细阐述了本发明实施例的方法,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的装置。
请参见图7,图7是本发明实施例提供的一种业务认证设备70的结构示意图,该业务认证设备70可以包括第一获取单元701和发送单元702,其中,各个单元的详细描述如下。
第一获取单元701用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
发送单元702用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为
所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,还包括:
生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,还包括:
第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述第一获取单元701结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图7所示的业务认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图8,图8是本发明实施例提供的一种用户设备80的结构示意图,用户设备80可以包括获取单元801和生成单元802,其中,各个单元的详细描述如下。
获取单元801用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
生成单元802用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数
据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
在又一种可选的方案中,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,还包括:
认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;
所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述生成单元802根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述生成单元802根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
在又一种可选的方案中,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,还包括:
第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,当所述参考信息包含所述业务参数时,还包括:
第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照方法实施例的相应描述。
在图8所示的用户设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图9,图9是本发明实施例提供的一种网络认证设备90的结构示意图,网络认证设备90可以包括接收单元901和第一生成单元902,其中,各个单元的详细描述如下。
接收单元901用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
第一生成单元902用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
在又一种可选的实现方案中,还包括:
认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;
所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述第一生成单元902根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,还包括:
获取单元,用于向所述业务认证设备获取所述第一共享密钥;
第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
在又一种可选的方案中,还包括:
发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数
和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图9所示的网络认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图10,图10是本发明实施例提供的一种业务认证设备100的结构示意图,业务认证设备100可以包括发送单元1001。
发送单元1001用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图10所示的业务认证设备100中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图11,图11是本发明实施例提供的一种用户设备110的结构示意图,用户设备110可以包括接收单元1101和生成单元1102,其中,各个单元的详细描述如下。
接收单元1101用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
生成单元1102用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标
共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述生成单元1102和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图11所示的用户设备110中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图12,图12是本发明实施例提供的一种网络认证设备120的结构示意图,网络认证设备120可以包括接收单元1201和生成单元1202,其中,各个单元的详细描述如下。
接收单元1201用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
生成单元1202用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过运行上述单元,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述生成单元1202和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;
或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图12所示的网络认证设备中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图13,图13是本发明实施例提供的一种业务认证设备130的结构示意图,业务认证设备130可以包括获取单元1301和生成单元1302,其中,各个单元的详细描述如下。
获取单元1301用于获取用户设备的身份标识;
生成单元1302用于结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图13所示的业务认证设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图14,图14是本发明实施例提供的一种用户设备140的结构示意图,用户设备140可以包括生成单元1401。
生成单元1401用于和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,
该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图14所示的用户设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图15,图15是本发明实施例提供的一种网络认证设备150的结构示意图,网络认证设备150可以包括接收单元1501、生成单元1502、写入单元1503和认证单元1504,其中,各个单元的详细描述如下。
接收单元1501用于接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
生成单元1502用于结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
写入单元1503用于将所述认证根密钥写入所述用户设备;
认证单元1504用于和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图15所示的网络认证设备中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标
共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图16,图16是本发明实施例提供的一种业务认证设备160的结构示意图,业务认证设备160可以包括认证单元1601和发送单元1602,其中,各个单元的详细描述如下。
认证单元1601用于和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
发送单元1602用于将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;
确定单元,用于将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图16所示的业务认证设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图17,图17是本发明实施例提供的一种用户设备170的结构示意图,用户设备170可以包括配置单元1701和生成单元1702,其中,各个单元的详细描述如下。
配置单元1701用于和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
生成单元1702用于和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
接收单元,用于接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
所述生成单元和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图17所示的用户设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图18,图18是本发明实施例提供的一种网络认证设备180的结构示意图,网络认证设备180可以包括接收单元1801和生成单元1802,其中,各个单元的详细描述如下。
接收单元1801用于接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
生成单元1802用于和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过运行上述单元,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,还包括:
第一发送单元,用于将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
所述生成单元和所述用户设备结合所述参考共享密钥生成目标共享密钥,具体为:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在又一种可选的方案中,还包括:
第二发送单元,用于将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,各个单元的具体实现还可以对应参照上述方法实施例的相应描述。
在图18所示的网络认证设备中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图19,图19是本发明实施例提供的一种业务认证设备190,该业务认证设备190包括处理器1901和存储器1902,所述处理器1901和存储器1902通过总线相互连接。
存储器1902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器1902用于相关指令及数据。
处理器1901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器1901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述业务认证设备190中的处理器1901读取所述存储器1902中存储的程序代码,用于执行以下操作:
获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;
将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目
标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,所述处理器1901将所述第二共享密钥发送给所述网络认证设备之后,还用于:
接收所述网络认证设备发送的所述目标共享密钥;
将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述处理器1901获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,还用于:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前,还包括:
所获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;
所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
在又一种可选的方案中,所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥之前,还包括:
接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;
所述处理器1901结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,业务认证设备的具体实现还可以对应参照上述方法实施例的相应描述,此处不再赘述。
在图19所示的业务认证设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送
给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图20,图20是本发明实施例提供的一种用户设备200,该用户设备200包括处理器2001和存储器2002,所述处理器2001和存储器2002通过总线相互连接。
存储器2002包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2002用于相关指令及数据。
处理器2001可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2001是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述用户设备200中的处理器2001读取所述存储器2002中存储的程序代码,用于执行以下操作:
获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;
根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述处理器2001和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,还用于:
和所述网络认证设备进行网络认证生成第三共享密钥;
和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的
共享密钥进行网络认证生成目标共享密钥,包括:
和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
和所述网络认证设备进行网络认证生成第三共享密钥;
根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述处理器2001根据所述第二共享密钥生成目标共享密钥,具体为:
根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
在又一种可选的方案中,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前,还用于:
接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:
结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,当所述参考信息包含所述业务参数时,所述处理器2001结合所述参考信息和第一共享密钥生成第二共享密钥之前,还用于:
接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识
中的至少一项。
在本发明实施例中,用户设备的具体实现可以对应参照上述方法实施例的相应描述。
在图20所示的用户设备中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图21,图21是本发明实施例提供的一种网络认证设备210,该网络认证设备210包括处理器2101和存储器2102,所述处理器2101和存储器2102通过总线相互连接。
存储器2102包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2102用于相关指令及数据。
处理器2101可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述网络认证设备210中的处理器2101读取所述存储器2102中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;
根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
通过执行上述操作,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2101和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,还用于:
和所述用户设备进行网络认证生成第三共享密钥;
备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共
享密钥进行网络认证生成所述目标共享密钥,包括:
和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;
和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备进行网络认证生成第三共享密钥;
和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
在又一种可选的方案中,所述处理器2101还用于:
向所述业务认证设备获取所述第一共享密钥;
根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;
将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
在又一种可选的方案中,所述处理器2101根据所述第二共享密钥生成目标共享密钥之前,还用于:
将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在又一种可选的方案中,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,网络认证设备210的具体实现还可以参照上述方法实施例的相应描述。
在图21所述的网络认证设备210中,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
请参见图22,图22是本发明实施例提供的一种业务认证设备220,该业务认证设备220包括处理器2201和存储器2202,所述处理器2201和存储器2202通过总线相互连接。
存储器2202包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2202用于相关指令及数据。
处理器2201可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2201是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述业务认证设备220中的处理器2201读取所述存储器2202中存储的程序代码,用于执行以下操作:
将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,业务认证设备220的具体实现还可以对应参照上述方法实施例的相应描述。
在图22所示的业务认证设备220中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图23,图23是本发明实施例提供的一种用户设备230,该用户设备230包括处理器2301和存储器2302,所述处理器2301和存储器2302通过总线相互连接。
存储器2302包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2302用于相关指令及数据。
处理器2301可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2301是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
所述用户设备230中的处理器2301读取所述存储器2302中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;
和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2301和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,用户设备230的具体实现还可以参照上述方法实施例的相应描述。
在图23所示的用户设备230中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图24,图24是本发明实施例提供的一种网络认证设备240,该网络认证设备240包括处理器2401和存储器2402,所述处理器2401和存储器2402通过总线相互连接。
存储器2402包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2402用于相关指令及数据。
处理器2401可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),
在处理器2401是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备240中的处理器2401读取所述存储器2402中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;
和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
通过执行上述操作,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
在一种可选的方案中,所述处理器2401和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:
和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,
和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
在本发明实施例中,网络认证设备240的具体实现还可以参照上述方法实施例的相应描述。
在图24所示的网络认证设备240中,该业务认证设备将业务参数发送给该网络认证设备,该网络认证设备根据自身预先与该用户设备共享的原始共享密钥和该业务参数生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图25,图25是本发明实施例提供的一种业务认证设备250,该业务认证设备250包括处理器2501和存储器2502,所述处理器2501和存储器2502通过总线相互连接。
存储器2502包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2502用于相关指令及数据。
处理器2501可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2501是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
业务认证设备250中的处理器2501读取所述存储器2502中存储的程序代码,用于执行以下操作:
获取用户设备的身份标识;
结合自身的业务公钥、业务私钥和所述身份标识生成身份密钥,并将所述身份密钥、所述业务公钥发送给所述网络认证设备,所述身份密钥和所述业务公钥用于所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,业务认证设备250的具体实现还可以参照上述方法实施例的相应描述。
在图25所示的业务认证设备250中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图26,图26是本发明实施例提供的一种用户设备260,该用户设备260包括处理器2601和存储器2602,所述处理器2601和存储器2602通过总线相互连接。
存储器2602包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2602用于相关指令及数据。
处理器2601可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2601是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
用户设备260中的处理器2601读取所述存储器2602中存储的程序代码,用于执行以下操作:
和网络认证设备根据认证根密钥进行网络认证生成目标共享密钥,所述认证根密钥为所述网络认证设备根据身份密钥、业务认证设备管理的目标业务的业务公钥和所述网络认证设备所在蜂窝网的网络参数生成的并写入到所述用户设备中的密钥,所述身份密钥由所述业务认证设备根据所述业务公钥、所述目标业务的业务私钥和获取的所述用户设备的身份标识生成的,所述业务认证设备用于将所述业务公钥和所述身份私钥发送给所述网络认证设备;所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,用户设备260的具体实现还可以参照上述方法实施例的相应描述。
在图26所示的用户设备260中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图27,图27是本发明实施例提供的一种网络认证设备270,该网络认证设备270包括处理器2701和存储器2702,所述处理器2701和存储器2702通过总线相互连接。
存储器2702包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2702用于相关指令及数据。
处理器2701可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2701是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备270中的处理器2701读取所述存储器2702中存储的程序代码,用于执行以下操作:
接收身份密钥和业务认证设备管理的目标业务的业务公钥,所述身份密钥为所述业务认证设备根据所述目标业务的业务私钥、所述业务公钥和获取的用户设备的身份标识生成的密钥;
备结合所述身份密钥、所述业务公钥和所述网络认证设备所在蜂窝网的网络参数生成认证根密钥;
将所述认证根密钥写入所述用户设备;
和所述用户设备根据所述认证根密钥进行网络认证生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,网络认证设备270的具体实现还可以参照上述方法实施例的相应描述。
在图27所示的网络认证设备270中,该业务认证设备将业务公钥、身份密钥发送给该网络认证设备,该网络认证设备根据自身所在网络的信息、该身份密钥和该业务公钥生成认证根密钥,该网络认证设备与该用户设备进一步基于该认证根密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图28,图28是本发明实施例提供的一种业务认证设备280,该业务认证设备280包括处理器2801和存储器2802,所述处理器2801和存储器2802通过总线相互连接。
存储器2802包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2802用于相关指令及数据。
处理器2801可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2801是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
业务认证设备280中的处理器2801读取所述存储器2802中存储的程序代码,用于执
行以下操作:
和用户设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥;
将所述参考共享密钥发送给网络认证设备,以使所述网络认证设备和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器2801还用于:
接收所述网络认证设备发送的所述目标共享密钥;
将所述目标共享密钥,或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,业务认证设备280的具体实现还可以参照上述方法实施例的相应描述。
在图28所示的业务认证设备280中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图29,图29是本发明实施例提供的一种用户设备290,该用户设备290包括处理器2901和存储器2902,所述处理器2901和存储器2902通过总线相互连接。
存储器2902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器2902用于相关指令及数据。
处理器2901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器2901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
用户设备290中的处理器2901读取所述存储器2902中存储的程序代码,用于执行以下操作:
和业务认证设备进行业务认证生成参考共享密钥,或者所述业务认证设备和所述用户设备预先配置所述参考共享密钥,所述业务认证设备用于将所述参考共享密钥发送给网络认证设备;
和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器2901和所述网络认证设备结合所述参考共享密钥生成目标共享密钥之前,还用于:
接收所述网络认证设备发送的所述网络认证设备所在蜂窝网的网络参数;
和所述网络认证设备结合所述参考共享密钥生成目标共享密钥,包括:
和所述网络认证设备根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述网络认证设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在本发明实施例中,用户设备290的具体实现还可以参照上述方法实施例的相应描述。
在图29所示的用户设备290中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
请参见图30,图30是本发明实施例提供的一种网络认证设备300,该网络认证设备300包括处理器3001和存储器3002,所述处理器3001和存储器3002通过总线相互连接。
存储器3002包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器3002用于相关指令及数据。
处理器3001可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器3001是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
网络认证设备300中的处理器3001读取所述存储器3002中存储的程序代码,用于执行以下操作:
接收业务认证设备发送的参考共享密钥,所述参考共享密钥由所述业务认证设备和用户设备进行业务认证生成的或者预先配置的;
和所述用户设备结合所述参考共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
在一种可选的方案中,所述处理器3001和所述用户设备结合所述参考共享密钥生成目标共享密钥之前,还用于:
将所述网络认证设备所在蜂窝网的网络参数发送给所述用户设备;
和所述用户设备结合所述参考共享密钥生成目标共享密钥,包括:
和所述用户设备均根据所述网络参数和所述参考共享密钥生成认证共享密钥;
和所述用户设备根据所述认证共享密钥进行网络认证生成目标共享密钥。
在又一种可选的方案中,所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
在又一种可选的方案中,所述处理器3001还用于:
所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,以使所述业务认证
设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与用户设备协商的保护数据安全传输的共享密钥。
在本发明实施例中,网络认证设备300的具体实现还可以参照上述方法实施例的相应描述。
在图30所示的网络认证设备300中,该业务认证设备与该用户设备进行业务认证生成参考共享密钥,然后该网络认证设备将该参考共享密钥发送给该网络认证设备以及向该用户设备转发来自该网络认证设备的网络参数;该网络认证设备和该用户设备均根据该参考共享密钥和该网络参数生成认证共享密钥,并基于该认证共享密钥进行网络认证生成目标共享密钥。也即是说,生成该目标共享密钥涉及到了与业务相关的信息、与该用户设备相关的信息以及与网络相关的信息,提升了该目标共享密钥的安全级别。
上述详细阐述了本发明实施例的方法和装置,为了便于更好地实施本发明实施例的上述方案,相应地,下面提供了本发明实施例的相关系统。
请参见图31,图31是本发明实施例提供的一种业务认证系统310的结构示意图,该系统包括业务认证设备3101、用户设备3102和网络认证设备3103。
在一种可选的方案中,该业务认证设备3101为图7所示的业务认证设备70或者图19所示的业务认证设备190;该用户设备3102为图8所示的用户设备80或者图20所示的用户设备200;该网络认证设备3103为图9所示的网络认证设备90或者图21所示的网络认证设备210。
在又一种可选的方案中,该业务认证设备3101为图10所示的业务认证设备100或者图22所示的业务认证设备220;该用户设备3102为图11所示的用户设备110或者图23所示的用户设备230;该网络认证设备3103为图12所示的网络认证设备120或者图24所示的网络认证设备240。
在又一种可选的方案中,该业务认证设备3101为图13所示的业务认证设备130或者图25所示的业务认证设备250;该用户设备3102为图14所示的用户设备140或者图26所示的用户设备260;该网络认证设备3103为图15所示的网络认证设备150或者图27所示的网络认证设备270。
在又一种可选的方案中,该业务认证设备3101为图16所示的业务认证设备160或者图28所示的业务认证设备280;该用户设备3102为图17所示的用户设备170或者图29所示的用户设备290;该网络认证设备3103为图18所示的网络认证设备180或者图30所示的网络认证设备300。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3101:网络认证设备生成经过初始共享密钥加密的访问令牌,所述初始共享密钥为所述网络认证设备与业务认证设备预先共享的密钥;该网络认证设备包括生成单元,该网络认证设备具体通过该生成单元来执行步骤S3101,该生成单元可以基于该网络认证设备的处理器来实现步骤S3101。
步骤S3102:所述网络认证设备将所述访问令牌发送给所述用户设备;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3102,该发送单元可以基于该网络认证设备的收发器来实现步骤S3102。
步骤S3103:所述用户设备接收所述访问令牌并将所述访问令牌发送给所述业务认证设备;该用户设备包括收发单元,该用户设备具体通过该收发单元来执行步骤S3103,该收发单元可以基于该用户设备的收发器来实现步骤S3103。
步骤S3104:所述业务认证设备接收所述访问令牌并通过所述初始共享密钥验证所述访问令牌的正确性;该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3104,该接收单元可以基于该业务认证设备的收发器来实现步骤S3104。
步骤S3105:所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,以通知与所述用户设备之间成功完成业务认证。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3105,该发送单元可以基于该业务认证设备的收发器来实现步骤S3105。
在一种可选的方案中,所述访问令牌中包含目标共享密钥,所述用户设备和所述业务认证设备用于在所述用户设备与所述业务认证设备之间成功完成业务认证时,将所述访问令牌中的所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥,作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。可选的,该目标共享密钥为该网络认证设备与该用户设备进行网络认证得到的共享密钥。
在又一种可选的方案中,所述访问令牌包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项。可选的,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
进一步地,该访问令牌还可以包括通过初始共享密钥生成的针对网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项的消息认证码。当包含该消息认证码时,在步骤S3104中还需要基于该初始共享密钥验证该消息认证码的正确性,步骤S3105中所述业务认证设备在验证出所述访问令牌正确时向所述用户设备发送验证成功消息,具体为:所述业务认证设备在验证出所述访问令牌正确以及验证出所述消息认证码正确时时向所述用户设备发送验证成功消息。此处描述的网络认证系统还可以参照图6D和图6E所对应实施例的相应描述。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3201:用户设备UE与网络认证设备进行网络认证。该用户设备和该网络认证设备均包括认证单元,该用户设备和该网络认证设备具体通过该认证单元来执行步骤S3201,该认证单元可以基于该用户设备和该网络认证设备的处理器来实现步骤S3201。
步骤S3202:网络认证设备在网络认证通过后生成认证令牌token和该token的过期信
息,该过期信息用于表征该token什么时候过期;还可以生成范围信息,该范围信息用于表征该token可以被哪些业务认证设备使用;或者该范围信息用于表征该token可以被哪些用户设备使用。该网络认证设备包括生成单元,该网络认证设备具体通过该生成单元来执行步骤S3202,该生成单元可以基于该网络认证设备的处理器来实现步骤S3202。
步骤S3203:网络认证设备向该UE发送该token;还可以发送该网络认证设备相关的信息,该网络认证设备相关的信息用于表明该token来自于该网络认证设备。该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3203,该发送单元可以基于该网络认证设备的收发器来实现步骤S3203。
步骤S3204:该用户设备向该业务认证设备发送该token和该网络认证设备的相关信息;该用户设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3204,该发送单元可以基于该用户设备的收发器来实现步骤S3204。
步骤S3205:该业务认证设备接收该token和该网络认证设备的相关信息,并根据该网络认证设备的相关信息向该网络认证设备发送该token;发送的消息可能还包括UE ID和业务认证设备的相关信息中的至少一项。该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3205,该接收单元可以基于该业务认证设备的收发器来实现步骤S3205。
步骤S3206:该网络认证设备接收该token,判断该token是否为自身生成的token,如果该token为自身生成的token则进一步他根据该过期信息判断该token是否过期,若没过期则表明验证token成功。可选的,当该网络认证设备生成了范围信息时,该网络认证设备还需要根据该范围信息判断发送该token的业务认证设备是否为该范围信息中允许的业务认证设备,若为允许的业务认证设备且该token未过期则表明验证token成功。可选的,该范围信息用于表征该token可以被哪个用户设备使用时,该网络认证设备还需要根据该范围信息判断该用户设备是否为该范围信息中允许的用户设备,若该用户设备为允许的用户设备且该业务认证设备为允许的业务认证设备,并且该token未过期则表明验证token成功。该网络认证设备包括判断单元,该网络认证设备具体通过该判断单元来执行步骤S3206,该判断单元可以基于该网络认证设备的处理器来实现步骤S3206。
可选的,步骤S3205中不包含业务认证设备的相关信息,该网络认证设备也可以根据接收的token的来源确定业务认证设备的相关信息。
可选的,判断该用户设备是否为该范围信息中允许的用户设备时用到的该用户设备的相关信息,可以为该用户设备将该用户设备自身的相关信息发送至业务认证设备,再由业务认证设备在步骤S3205中一同发送至该网络认证设备。
步骤S3207:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3207,该发送单元可以基于该网络认证设备的收发器来实现步骤S3207。
步骤S3208:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3208,该发送单元可以基于该业务认证设备的收发器来实现步骤S3208。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3301:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1。该用户设备和该网络认证设备均包括认证单元,该用户设备和该网络认证设备具体通过该认证单元来执行步骤S3301,该认证单元可以基于该网络认证设备和该用户设备的处理器来实现步骤S3301。
步骤S3302:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,并通过该网络共享密钥K1加密该访问令牌token。可选的,token=Enc_K1_(K2,基础信息,MAC),也即是说,该访问令牌token为采用K1对K2、基础信息和MAC加密生成;其中,K2为该UE确定的后续可能用作用户设备与业务认证设备之间保护数据传输的共享密钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,可选的,该用户设备可以预先向该网络认证设备和该业务认证设备获取需要用到的信息;MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享密钥K1生成。该用户设备包括生成单元,该用户设备具体通过该生成单元来执行步骤S3302,该生成单元可以基于该用户设备的处理器来实现步骤S3302。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数转发给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享密钥K2可以为配置的随机的参数,也可以为网络共享密钥K1,还可以为基于网络共享密钥K1推衍出来的共享密钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该网络共享密钥K1和基础信息进行计算来得到该共享密钥K2。
步骤S3303:UE向业务认证设备发送该token。该用户设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3303,该发送单元可以基于该用户设备的收发器来实现步骤S3303。
步骤S3304:业务认证设备接收该UE发送的该token并将该token转发该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息(包括但不限于UE ID),该相关信息可能由该UE发送至该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备。该业务认证设备包括接收单元,该业务认证设备具体通过该接收单元来执行步骤S3304,该接收单元可以基于该业务认证设备的收发器来实现步骤S3304。
步骤S3305:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享密钥K1,并使用K1解密token得到该共享密钥K2、该基础信息和消息认证码MAC;然后根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3305,该接收单元可以基于该网络认证设备的收发器来实现步骤
S3305。
步骤S3306:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功,该通知消息中还包括从token中获得的共享密钥K2;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3306,该发送单元可以基于该网络认证设备的收发器来实现步骤S3306。
步骤S3307:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3307,该发送单元可以基于该业务认证设备的收发器来实现步骤S3307。
步骤S3308:该UE和该业务认证设备将该K2作为该UE与该业务认证设备之间用于保护数据安全传输的共享密钥。该用户设备和该业务认证设备均包括共享单元,该用户设备和该业务认证设备具体通过该共享单元来执行步骤S3308,该共享单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤S3308。
可选的,UE与业务认证设备根据K2进一步推衍出共享密钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该业务认证设备之间保护数据的安全传输。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3401:用户设备UE与网络认证设备进行网络认证,网络认证生成的共享密钥为网络共享密钥K1。该网络认证设备和该用户设备均包括认证单元,该网络认证设备和该用户设备具体通过该认证单元来执行步骤S3401,该认证单元可以基于该网络认证设备的处理器和该用户设备的处理器来实现步骤S3401。
步骤S3402:UE基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token,可选的,该token为消息认证码MAC,MAC=MAC_K1_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC由该网络共享密钥K1生成。该用户设备包括生成单元,该用户设备具体通过该生成单元来执行步骤S3402,该生成单元可以基于该用户设备的处理器来实现步骤S3402。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则UE还需要将用到的新鲜参数发送至业务认证设备,由该业务认证设备将该新鲜参数发送给该网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
步骤S3403:UE向业务认证设备发送该token。该用户设备包括发送单元,该用户设备具体通过该发送单元来执行步骤S3403,该发送单元可以基于该用户设备的收发器来实现步骤S3403。
步骤S3404:业务认证设备接收该UE发送的该token并将该token转发该网络认证设备,该业务认证设备还可能向该网络认证设备发送该UE的相关信息,该相关信息可能由
该UE发送该业务认证设备的,该相关信息可以在一定范围内区分该UE与其他设备,例如,该用户设备的相关信息可以为该用户设备的身份标识(UEID)。该业务认证设备包括收发单元,该业务认证设备具体通过该收发单元来执行步骤S3404,该收发单元可以基于该业务认证设备的收发器来实现步骤S3404。
步骤S3405:该网络认证设备接收该token和该UE的相关信息;根据该UE的相关信息并找到与该UE网络认证生成的网络共享密钥K1,并根据K1验证MAC的正确性,若验证MAC正确则表明验证token成功。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3405,该接收单元可以基于该网络认证设备的收发器来实现步骤S3405。
步骤S3406:若验证token成功,则该网络认证设备向该业务认证设备发送消息通知token验证成功;该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3406,该发送单元可以基于该网络认证设备的收发器来实现步骤S3405。
步骤S3407:该业务认证设备向该UE发送消息通知token验证成功。业务认证设备和UE双方都获知了token验证成功,即表明该业务认证设备与该UE之间认证成功。该业务认证设备包括收发单元,该业务认证设备具体通过该收发单元来执行步骤S3407,该收发单元可以基于该业务认证设备的收发器来实现步骤S3407。
需要说明的是,还可以基于上述方案显而易见地推导出以下方案,即UE首先与业务认证设备建立双向认证,由UE或者业务认证设备生成token;之后UE发送token至网络认证设备,网络认证设备可以自己验证token的正确性,也可能将token发送至业务认证设备,由业务认证设备验证token的正确性,并将验证结果发送至网络认证设备。相当于将6C-6H中涉及到的业务认证设备与网络认证设备进行了调换。另外,token包含但不限于如下两种情况:情况一token=Enc_K0_(K2,基础信息,MAC_K0_(基础信息和/或nonce)),情况二:token=MAC_K0_(基础信息和/或nonce)。这两种情况的理解可以参照以上描述,此处不再赘述。
为了便于理解,以下以token由业务认证设备生成为例来进行描述,token由UE生成的情况可以类比。
图1所示的网络认证系统中包括网络认证设备、业务认证设备和用户设备,在一种可选的方案中,各个设备相互协作来执行如下步骤。
步骤S3501:用户设备UE与业务认证设备进行业务认证,生成的共享密钥为业务共享密钥K1;该UE可以在业务认证之前或者之后或者业务认证的过程中向该业务认证设备发送网络认证设备的相关信息,以表明该UE需要与该网络认证设备认证。该用户设备和该业务认证设备均包括认证单元,该用户设备和该业务认证设备具体通过该认证单元来执行步骤S3501,该认证单元可以基于该用户设备的处理器和该业务认证设备的处理器来实现步骤S3501。
步骤S3502:业务认证设备根据该网络认证设备的相关信息确定该网络认证设备预先与该业务认证设备共享的初始共享密钥K0;基于网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项来生成访问令牌token。可选的,token=Enc_K0_(K2,
基础信息,MAC),也即是说,该访问令牌token为采用初始共享密钥K0对K2、基础信息和MAC进行的加密;其中,K2为该业务认证设备确定的,可能用作用户设备与网络认证设备之间保护数据传输的共享密钥,基础信息包括网络参数、业务参数、所述用户设备的身份标识和新鲜参数nonce中的至少一项,MAC=MAC_K0_(新鲜参数和/或基础信息),即MAC为该基础信息的消息认证码,或者该新鲜参数的消息认证码(此处的新鲜参数可以与该基础信息中的新鲜参数相同也可以不同),或者该基础信息和该新鲜参数的消息认证码;该消息认证码MAC的生成采用初始共享密钥K0。该业务认证设备包括确定单元,该业务认证设备具体通过该确定单元来执行步骤S3502,该确定单元可以基于该业务认证设备的处理器来实现步骤S3502。
需要说明的是,若上述推衍公式中用到新鲜参数nonce,则业务认证设备还需要将用到的新鲜参数发送至UE,并由UE发送至网络认证设备,后续该网络认证设备可以通过该新鲜参数验证token的新鲜性。
进一步地,共享密钥K2可以为配置的随机的参数,也可以为业务共享密钥K1,还可以为基于业务共享密钥K1推衍出来的共享密钥,例如,K2=KDF(K1,基础信息),即通过预设的算法对该业务共享密钥K1和基础信息进行计算来得到该共享密钥K2。
进一步地,网络认证设备的相关信息为能够在一定范围内区分该网络认证设备与其他设备的信息,例如,可以为该网络认证设备的IP地址。
步骤S3503:该业务认证设备向UE发送K2和token,还可能发送业务认证设备的相关信息,所述业务认证设备的相关信息可以包括业务参数。该业务认证设备包括发送单元,该业务认证设备具体通过该发送单元来执行步骤S3503,该发送单元可以基于该业务认证设备的收发器来实现步骤S3503。
步骤S3504:UE接收K2和token并向网络认证设备发送该token和该业务认证设备的相关信息。UE可以自己生成该业务认证设备的相关信息,也可以在与该业务认证设备进行业务认证之时,或者之前,或者之后接收该业务认证设备发送的该业务认证设备的相关信息,优选的,在E在步骤S3503中接收该业务认证设备发送的业务认证设备的相关信息。该用户设备包括收发单元,该用户设备具体通过该收发单元来执行步骤S3504,该收发器单元可以基于该用户设备的收发器来实现步骤S3504。
步骤S3505:网络认证设备接收该token和该业务认证设备的相关信息,根据该业务认证设备的相关信息来确定预先与该业务认证设备共享的初始共享密钥K0,并使用K0解密token得到该共享密钥K2、该基础信息和消息认证码MAC;然后根据K0验证MAC的正确性,验证MAC成功后则表明该网络认证设备验证token成功。因此,该网络认证设备将该K2作为与该UE之间用于保护数据传输的共享密钥。该网络认证设备包括接收单元,该网络认证设备具体通过该接收单元来执行步骤S3505,该接收单元可以基于该网络认证设备的收发器来实现步骤S3505。
步骤S3506:该网络认证设备向该UE发送消息以通知验证token成功,相应地,该UE接收消息。该网络认证设备包括发送单元,该网络认证设备具体通过该发送单元来执行步骤S3506,该发送单元可以基于该网络认证设备的收发器来实现步骤S3506。
步骤S3507:该网络认证设备和该UE将该共享密钥K2作为该UE与该网络认证设备
之间用户保护数据安全传输的共享密钥。该网络认证设备和该用户设备均包括共享单元,该网络认证设备和该用户设备具体通过该共享单元来执行步骤S3507,该共享单元可以基于该网络认证设备的处理器和该用户设备的的处理器来实现步骤S3507。
可选的,UE与网络认证设备根据K2进一步推衍出共享密钥K3,例如,K3=KDF(K2,基础信息),即通过预设算法对该K2和基础信息进行计算得到K3,K3用于该UE与该网络认证设备之间保护数据的安全传输。
可选的,加密token的共享密钥为K1而不是K0,网络认证设备接收到token后根据业务认证设备的相关信息向该业务认证设备转发该token和该UE的相关信息;该业务认证设备根据该UE的相关信息确定与该UE认证生成的共享密钥K1,再根据K1来解密token,并验证该token中MAC的正确性,验证成功即表明该UE与该网络认证设备认证成功,因此将K2发送给该网络认证设备,以便该UE和该网络认证设备将该K2作为保护数据安全传输的共享密钥。可选的,该UE的相关信息可以由该UE发送给业务认证设备,该UE的相关信息可以为该UE的身份标识。
需要说明的是,还可以对以上网络认证系统进行相应拓展得到新的网络认证系统,拓展的思路如下:
K1为UE与网络认证设备之间的共享密钥,包括但不限于Kasme,加密密钥(英文:cihper key,简称:CK)和完整性保护密钥(英文:integrity key,简称:IK)中的的至少一项。
另外,也可能采用非对称密码的形式计算token,例如token=Enc_PK_业务_(K2,(nonce1,基本信息),signature=MAC_SK_网络_(nonce2,基本信息))。PK_业务表示该业务认证设备提供的业务的公钥参数,SK_网络表示该网络认证设备所在的运营商网络的私钥参数。此时业务认证设备可以根据自己的私钥SK_业务解密打开token;并且利用网络认证设备所在运营商网络的公钥PK_网络,验证token中签名的正确性。此时token的验证更加灵活,不需要与网络认证设备进行网络认证交互即可完成验证。另外,此处加密和签名的算法可以为基于公钥基础设施(英文:Public key infrastructure,简称:PKI)等非对称密码技术,也可以为基于身份的密码技术。
在本发明实施例中,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥的方式有多种。
在一种可选的方案中,该网络认证设备可以包括的CP-AU,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
步骤S4201:UE向CP-AU发送请求接入网络的消息,该请求接入网络的消息包含该UE的身份标识UEID和该UE与目标业务相关的业务标识,该请求接入网络的消息可以触发网络认证流程,该目标业务为该UE当前执行的业务。
步骤S4202:该CP-AU接收该请求接入网络的消息并通过预设的规则或者算法对该UEID和该业务标识进行处理或者与其他网元进行协商交互得到第二共享密钥Kser,以及向签约服务器(Subscriber Repository)发送请求签约数据的消息,该签约服务器中存储了该UE的签约信息,例如,存储了该UE的SIM卡号码。
步骤S4203:该签约服务器接收该请求签约数据的消息并根据该UEID确定与该UE预先共享的预置密钥K(可选的,该K为该SIM卡号码),然后根据该预置密钥K计算认证向量AV,该认证向量包括随机数RAND、网络侧认证令牌(英文:Authentication Token,简称:AUTN),期待响应(英文:Expected Response,简称:XRES)和基础密钥K_NG(例如,该K_NG接入安全管理密钥(英文:Key Acess Security Management Entity,简称:KASME))等信息,该K_NG是基于预置密钥K和相关的网络参数来生成的;为了便于区分可以称该AV中的期待响应为初始期待响应,该网络侧认证令牌中包含消息认证码,可以称该消息认证码为网络侧初始消息认证码MAC。
步骤S4204:该签约服务器将该认证向量发送给该CP-AU。
步骤S4205:该CP-AU接收该签约服务器发送的该认证向量,并通过预设的消息认证码算法对该第二共享密钥Kser和该网络侧初始消息认证码MAC进行计算得到业务参考消息认证码MAC’,例如,该业务参考消息认证码MAC’=MAC(Kser,MAC,(nonce1,RAND,SQN,NAS COUNT,UE ID的至少一项)),即生成该MAC’需要考虑Kser和MAC这两个因素,除此之外还可以考虑新鲜参数nonce1、RAND、序列号(英文:Sequence Number,简称:SQN)、NAS COUNT、UEID等参数,若MAC’的生成包括CP-AU选择的新鲜参数nonce1,则nonce1可以由CP-AU发送给UE。该消息认证码算法可为HMACsha-256等。
步骤S4206:该CP-AU向该UE发送认证请求消息,该认证请求消息包括该随机数RAND、K_NG的密钥索引KSING、新的网络侧认证令牌AUTN’,此处的AUTN’=SQN xor(异或)AK||AMF||MAC’,而上面AUTN=SQN xor(异或)AK||AMF||MAC,也即是说,该CP-AU将签约服务器发送的AUTN中的MAC替换为了业务参考消息认证码MAC’,然后就替换后形成的新的网络侧认证令牌AUTN’发送给了UE。该CP-AU还要通过该预设的响应算法对该XRES和Kser进行计算得到参考期待响应XRES’,该CP-AU计算该参考期待响应XRES’的时机此处不做限定,例如,可以在步骤S4206之后以及步骤S4207之前;再如,在步骤S4210之后以及步骤S4211之前;还可以存在其他可能性,此处不再一一举例。
步骤S4207:该UE接收该认证请求消息(也可以称“用户认证请求”),然后通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)的密钥推演算法对该认证请求消息中的信息进行计算,得到用户侧认证令牌AUTNUE和响应(英文:Response,简称:RES)等信息,该用户侧认证令牌中的消息认证码可以称为用户侧初始消息认证码,该用户侧的响应可以称为初始响应。
步骤S4208:该UE通过上述预设的消息认证码算法对该第二共享密钥Kser和该用户侧初始消息认证码MAC进行计算得到用户侧参考消息认证码MAC”,然后判断业务参考消息认证码MAC’与该用户侧参考消息认证MAC”是否相同,若相同,则该UE已对该CP-AU的认证通过,由于认证的过程中使用到的信息与业务相关且与网络相关,因此可以看作该UE对该网络和该目标业务的认证通过。需要说明的是,该UE预先基于自身已有的UEID和业务标识计算出了该第二共享密钥Kser,或者该UE预先存储了该第二共享密钥Kser。
步骤S4209:若该UE对该CP-AU的认证通过,则该UE通过预设的响应算法对该RES
和该Kser进行计算得到参考响应RES’,例如,RES’=MAC(Kser,RES,(nonce1,nonce2,RAND,SQN,NAS COUNT,UE ID的至少一项)),即计算该RES’需要考虑Kser和RES,除此之外还可能考虑nonce1、nonce2、RAND、SQN、NAS COUNT、UE ID等信息;然后,该UE将该RES’发送给该CP-AU。若RES’的生成包括UE选择的新鲜参数nonce2,则nonce2可以由该UE发送给该CP-AU。
步骤S4210:该CP-AU接收该RES’。
步骤S4211:该CP-AU判断自身计算出参考期待响应XRES’与该UE发送的参考响应RES’是否相同,若相同,则该CP-AU对该UE的认证通过,即网络和业务对UE的认证通过,可选的,若不相同,则该CP-AU对UE的业务认证未通过,这时,该CP-AU可能向该UE发送认证拒绝消息,该认证拒绝消息表明业务认证未通过。
步骤S4212:当该UE对该CP-AU的认证通过,以及该CP-AU对该UE的认证通过后,该UE和该CP-AU通过相同的密钥生成算法对该K_NG和Kser进行计算生成密钥,生成的密钥即为该UE与该CP-AU之间双向认证生成的目标共享密钥。该UE和CP-AU使用的哪种密钥生成算法此处暂不作限定。可以理解的是,该UE可以通过K_NG的索引KSI_NG获取到该K_NG。另外,UE可以在通过了对CP-AU的认证后就生成该目标共享密钥,而CP-AU可以在通过该UE的认证后再生成该目标共享密钥。
请参见图32,图32是本发明实施例提供的又一种网络认证方法的流程示意图,该流程是步骤S4201~S4212的一种可能的表现形式,在该可能的表现形式中,UE与CP-AU的之间的交互的信息可以经过无线接入网(英文:Radio Access Network,简称:RAN),该CP-AU可以进一步划分为更小的多个网元,由以上描述可知,该CP-AU承担的功能包括向签约服务器获取认证向量、根据签约服务器反馈的认证向量生成MAC’和XRES’、向UE反馈认证请求消息、验证RES’和XRES’等操作,这些操作可以由该CP-AU中划分的多个网元来分别承担,例如,该CP-AU可以划分为安全锚点(英文:Security Anchor Function,简称:SEAF)、(英文:Authentication Server Function,简称:AUSF)等,其中,向签约服务器获取认证向量、根据签约服务器反馈的认证向量生成MAC’和XRES’由AUSF承担,向UE反馈认证请求消息、验证RES’和XRES’由SEAF承担,SEAF和AUSF在承担各自的操作的过程中,SEAF和AUSF之间还可能需要进行一些协商;另外,该签约服务器可以为认证信任状存储和处理单元(英文:Authentication Credential Repository and Processing Function,简称:ARPF)。
在又一种可选的方案中,该网络认证设备可以包括的CP-AU,所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成所述目标共享密钥,具体为:
步骤S4301:UE向CP-AU发送请求接入网络的消息,该请求接入网络的消息包含该UE的身份标识UEID和目标业务的业务标识,该目标业务为该UE当前执行的业务。
步骤S4302:该CP-AU接收请求接入网络的消息并根据对该UEID和该业务标识获取第二共享密钥Kser,以及向签约服务器(Subscriber Repository)发送请求签约数据的消息,该签约服务器中存储了该UE的签约信息,例如,存储了该UE的SIM卡号码。
步骤S4303:该签约服务器接收该请求签约数据的消息并根据该UEID确定与该UE预先共享的预置密钥K(可选的,该K为该SIM卡号码),然后根据该预置密钥K计算认
证向量AV,该认证向量包括随机数RAND、网络侧认证令牌(英文:Authentication Token,简称:AUTN),期待响应(英文:Expected Response,简称:XRES)和基础密钥K_NG(例如,接入安全管理密钥(英文:Key Acess Security Management Entity,简称:KASME))等信息,该K_NG是基于预置密钥K和相关的网络参数来生成的;为了便于区分可以称该AV中的期待响应为初始期待响应,该网络侧认证令牌中包含消息认证码,可以称该消息认证码为网络侧初始消息认证码MAC。
步骤S4304:该签约服务器将该认证向量发送给该CP-AU。
步骤S4305:该CP-AU接收该签约服务器发送的该认证向量,并通过预设的第一消息认证码算法对RAND、该第二共享密钥Kser等信息进行计算得到网络侧附加消息认证码MAC1,例如,该网络侧附加消息认证码MAC1=MAC(Kser,RAND,(nonce1,该MACSQN,NAS COUNT,UE ID的至少一项)),即生成该MAC1需要考虑Kser和RAND,除此之外还可以考虑该网络侧初始消息认证码新鲜参数nonce1、MAC、序列号(英文:Sequence Number,简称:SQN)、NAS COUNT、UEID等参数,若MAC1的生成包括CP-AU选择的新鲜参数nonce1,则nonce1可以由CP-AU发送给UE。该消息认证码算法可为HMACsha-256等。
步骤S4306:该CP-AU向该UE发送认证请求消息(或者称为“用户认证请求”),该认证请求消息包括该随机数RAND、K_NG的密钥索引KSI_NG、网络侧初始消息认证码MAC、网络侧附加消息认证码MAC1等信息,该MAC和该MAC1可以存在于网络侧认证令牌AUTN中,该MAC和该MAC1存在于网络侧认证令牌AUTN中时,AUTN=SQN xor(异或)AK||AMF||MAC||MAC1。该MAC1也可能不存储在该AUTN中。
步骤S4307:该UE接收该认证请求消息,然后通过认证与密钥协商协议(英文:Authentication and Key Agreement,简称:AKA)的密钥推演算法对该认证请求消息中的信息进行计算,得到用户侧认证令牌AUTNUE和响应(英文:Response,简称:RES)等信息,该用户侧认证令牌中的消息认证码可以称为用户侧初始消息认证码,该用户侧认证令牌中的响应可以称为初始响应。
步骤S4308:该UE同样通过上述预设的第一消息认证码算法对该RAND、该第二共享密钥Kser和MAC进行计算得到用户侧附加消息认证码MAC1’,然后判断网络侧附加消息认证码MAC1是否与该用户侧附加消息认证MAC1’相同,以及用户侧初始消息认证码与网络侧初始消息认证码是否相同;若均相同则该UE对该CP-AU的认证通过。需要说明的是,该UE预先基于自身已有的UEID和业务标识计算出了该第二共享密钥Kser。由于认证的过程中使用到的信息与业务相关且与网络相关,因此可以看作该UE对该网络和该目标业务的认证通过。可以理解的是,当生成该网络侧附加消息认证时用到了该网络侧初始消息认证码时,该UE需要先判断该网络侧初始消息认证码与该用户侧初始消息认证码是否相同,若相同再判断该网络侧附加消息认证码与该用户侧附加消息认证码是否相同。
步骤S4309:若该UE对该CP-AU的认证通过,则该UE通过预设的第二消息认证码算法对该Kser和RAND进行计算得到用户侧响应消息认证码MAC2,例如,MAC2=MAC(Kser,(RES,(nonce1,nonce2,SQN,NAS COUNT,UE ID的至少一项)),即计算该MAC2需要考虑Kser和RAND,除此之外还可能考虑RES、nonce1、nonce2、SQN、NAS COUNT、UE ID等参数;然后,该UE将该初始响应RES和该用户侧响应消息认证
码MAC2发送给该CP-AU。若MAC2的生成包括UE选择的新鲜参数nonce2,则nonce2可以由该UE发送给该CP-AU。
步骤S4310:该CP-AU接收该RES和该MAC2,然后同样通过该预设的第二消息认证码算法对该Kser进行计算得到网络侧响应消息认证码MAC2’。
步骤S4311:该CP-AU判断初始期待响应XRES是否与该UE发送的初始响应RES相同,且该网络侧响应消息认证码MAC2’是否与该用户侧响应消息认证码MAC2相同;若均相同则该CP-AU对该UE的认证通过,即该网络对该UE的认证通过,可选的,若至少有一项不同,则该CP-AU对UE的认证未通过,这时,该CP-AU可以向该UE发送认证拒绝消息,该认证拒绝消息用于对应的表明网络或者业务对UE的认证不成功。可以理解的是,当计算该用户侧响应消息认证码用到了初始响应RES时,该CP-AU需要先判断该初始响应RES与该初始期待响应是否相同,若相同再判断该网络侧响应消息认证码与该用户侧响应消息认证码是否相同。
步骤S4312:当该UE对该CP-AU的认证通过,以及该CP-AU对该UE的认证通过后,该UE和该CP-AU通过相同的密钥生成算法对该KASME和Kser进行计算生成密钥,生成的密钥即为该UE与该CP-AU之间双向认证生成的目标共享密钥。该UE和CP-AU使用的哪种密钥生成算法此处暂不作限定。可以理解的是,该UE可以通过K_NG的索引KSI_NG获取到该K_NG。另外,UE可以在通过了对CP-AU的认证后就生成该目标共享密钥,而CP-AU可以在通过该UE的认证后再生成该目标共享密钥。
请参见图33,图33是本发明实施例提供的又一种网络认证方法的流程示意图,该流程是步骤S4301~S4312的一种可能的表现形式,在该可能的表现形式中,UE与CP-AU的之间的交互的信息可以经过RAN,该CP-AU可以进一步划分为更小的多个网元,由以上描述可知,该CP-AU承担的功能包括向签约服务器获取认证向量、根据签约服务器反馈的认证向量生成MAC1、向UE反馈认证请求消息、生成MAC2’、验证MAC2和MAC2’等操作,这些操作可以由该CP-AU中划分的多个网元来分别承担,例如,该CP-AU可以划分为SEAF、AUSF等,其中,向签约服务器获取认证向量、根据签约服务器反馈的认证向量生成MAC1由AUSF承担,向UE反馈认证请求消息、生成MAC2’、验证MAC2’和MAC2由SEAF承担,SEAF和AUSF在承担各自的操作的过程中,SEAF和AUSF之间还可能需要进行一些协商;另外,该签约服务器可以为ARPF。
需要说明的是,在第二代移动通信技术(The 2nd Generation,2G)、第三代移动通信技术(3rd-Generation,3G)、第四代移动通信技术(4th-Generation,4G)、长期演进(Long Term Evolution,LTE)、第五代移动通信技术(5th-Generation,5G)以及后续可能的通信技术中,都存在UE与其他网元之间进行认证的情况,例如,上述图3A-3L所示实施例中涉及了UE与其他网元之间的认证,为了便于区分可以称该认证为“目标认证”,该目标认证可以为双向认证也可以为单向认证,下面将以双向认证为例进行描述,将下面方案中“双向认证”的字样改为“单向认证”即得到该目标认证为单向认证的方案。
以5G为例,5G中提出的二次认证(secondary authentication)包括UE与运营商网络以外的提供业务服务的第三方网元(例如,前述实施例中的“业务认证服务器”、“业务服
务器”等)之间的双向认证,以下实施例重点讲述运营商网络如何获取UE与其他网元之间双向认证所需要的信息,例如,双向认证所需要的认证协议、密钥算法(也称“密码算法”)等信息。在一些场景中,UE可能会先后执行发送协议数据单元(Protocol Data Unit,PDU)会话建立请求、进行双向认证等操作,当该PDU会话建立请求(上述实施例中描述的“第一请求消息”可以为PDU会话建立请求)经过运营商网络中的网元时,可以触发运营商网络中的网元获取该UE后续进行双向认证所需要的信息,然后该运营商网络中的网元将该UE后续进行双向认证所需要的信息发送给该UE。另外,在本发明实施例中,当提到一个网元向另一个网元发送消息时,可能这两个网元之间还存在其他网元进行消息中转,也即是说,该第一个网元向该另一个网元发送消息可能是直接发送也可能是间接发送的。
请参见图34A,图34A是本发明实例提供的又一种网络认证方法的流程示意图,该方法包括但不限于如下步骤:
步骤S4401:UE向接入与移动性管理网元AMF发送PDU会话建立请求。
具体地,该PDU会话建立请求可以携带用户设备UE的身份标识、第三方标识、PDU会话参数、UE的安全能力信息,其中,UE的身份标识包括第三方网元为该UE分配的标识UE_DN_ID、IP地址、IMSI、IMEI、全球唯一临时标识(Globally Unique Temporary Identifier,GUTI)、移动订阅用户ISDN号码(Mobile Subscriber ISDN Number,MSISDN)、临时移动客户识别码(Temporary Mobile Subscriber Identity,TMSI)等,第三方标识可以为与业务相关的业务参数,例如,接入点名称(Access Point Name,APN)、业务服务器IP地址、业务认证服务器IP地址、业务服务器统一资源标志符(Uniform Resource Identifier,URI)、业务认证服务器URI、切片标识、数据网络名等,PDU会话参数可以包括PDU会话ID、PDU类型、会话和服务连续性(session and service continuity,SSC)模式、用户位置信息、接入技术类型、外部数据网络对PDU会话授权信息、协议配置选项等,UE的安全能力信息描述了UE支持的认证协议、密钥算法等与密钥生成相关的信息。
该UE向接入与移动性管理网元(Access and Mobility Management Function,AMF)发送PDU会话建立请求后,该AMF接收该PDU会话建立请求,该AMF可以依据该PDU会话建立请求中携带的信息选择一个会话管理网元(Session Management Function,SMF),例如,根据PDU会话建立请求中的第三方标识选择一个SMF,也可能该AMF根据自身已有的信息来选择SMF,例如,根据自身获取的各个SMF的负载信息从该各个SMF中选择一个SMF,也可能根据UE的订阅数据来选择一个SMF,该订阅数据可以包含为UE服务的各个SMF的SMF标识等信息,也可能采用其他选取策略来选择一个SMF;然后,该AMF向选择的SMF转发该PDU会话建立请求。
步骤S4402:SMF接收AMF发送的PDU会话建立请求。
步骤S4403:SMF响应所述PDU会话建立请求向用户设备UE发送认证通知消息。
具体地,该SMF接收到该PDU会话建立请求后,就可以获知运营商网络需要为该UE建立PDU会话以支持该UE与某个网元之间建立PDU连接,而在为该UE建立PDU会话之前,该UE往往需要先与该某个网元进行双向认证,在本发明实施例中,该SMF向UE发送认证通知消息以为UE与该某个网元之间的双向认证提供一些信息,例如,所述认证通知消息可以包括用于指示是否进行双向认证的信息、用于定义所述双向认证的认证协议
的信息和用于定义所述双向认证的密钥算法的信息等。
需要说明的是,该SMF预先存储了该认证通知消息所包含的信息或者该SMF会根据预先配置的策略生成该认证通知消息所包含的信息,以所述SMF确定所述双向认证的认证协议和/或密钥算法为例,所述SMF确定所述双向认证的认证协议和/或密钥算法,包括:所述SMF向安全策略控制网元(英文:Security Policy Control Function,SPCF)发送针对所述UE的安全策略请求,该SPCF可能为策略控制网元(Policy Control Function,PCF)上的一个负责与安全相关的策略的管理的功能模块,也可能为类似PCF的一种进行策略管理的网元;然后,所述SMF接收所述SPCF根据所述安全策略请求获取的与所述UE存在预设匹配关系的安全策略,所述安全策略可以包括用来判断是否要进行双向认证(例如,5G中的双向认证)的信息、用来确定双向认证所需要的认证协议的信息、用来确定双向认证需要用到的密钥算法的信息、用来确定双向认证的启动时间或所需频率的信息、用来确定是否需要根据二次认证生成、获取共享密钥或是否使用二次认证生成的共享密钥的信息等;所述SMF根据所述安全策略生成所述双向认证的认证协议和/或密钥算法。可选的,所述SMF还会根据所述安全策略确定所述UE是否需要与业务认证服务器进行双向认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。可选的,所述SMF还会根据所述安全策略获得、使用共享密钥,或者把共享密钥发给UPF。
由以上描述可知该SPCF存在与所述UE存在预设匹配关系的安全策略,现介绍该SPCF可以通过哪些方式获得与所述UE存在预设匹配关系的安全策略。首先,安全策略控制网元SPCF接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;然后,所述SPCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述SPCF确定UE双向认证所需的认证方法和/或密钥算法和/或是否在双向认证后生成、获取或使用密钥。可选的,该业务服务器可以在与所述UE存在预设匹配关系的安全策略更新后,主动将最新的与所述UE存在预设匹配关系的安全策略发送给该SPCF,以便该SPCF可以将其发送给SMF。可选的,所述SPCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,可以为:所述SPCF根据所述安全策略请求向业务服务器发送订阅数据请求,以请求与所述UE存在预设匹配关系的安全策略,所述业务服务器用于提供业务的访问服务;相应地,该业务服务器接收该订阅数据请求,然后响应该订阅数据请求来向SPCF发送与所述UE存在预设匹配关系的安全策略;相应地,所述SPCF接收所述业务服务器发送的所述安全策略;所述SPCF再将所述安全策略发送给所述SMF。可选的,所述SPCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,还可以为:所述SPCF根据所述安全策略请求从预先缓存的信息中查找与所述UE存在预设匹配关系的安全策略;然后,所述SPCF将所述安全策略发送给所述SMF。可选的,SMF可以给UPF发送双向认证得到到的共享密钥。
步骤S4404:UE接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息。
具体地,该UE会解析出该认证通知消息中包含的信息,例如,该认证通知消息中包含用于指示是否进行双向认证的信息,那么,该UE就可以解析出用于指示是否进行双向认证的信息,然后根据该信息确定后续是否进行双向认证,若确定出需要进行双向认证则进行双向认证,若确定出不需要进行双向认证则不进行双向认证。再如,该认证通知消息
中包含用于定义所述双向认证的认证协议的信息,那么,该UE就可以解析出用于定义所述双向认证的认证协议的信息,该UE后续进行双向认证时就根据该用于定义所述双向认证的认证协议的信息所定义的认证协议进行认证。再如,该认证通知消息包含用于定义所述双向认证的密钥算法的信息,那么,该UE可以解析出用于定义所述双向认证的密钥算法的信息,该UE后续进行双向认证时就可以根据该用于定义所述双向认证的密钥算法的信息所定义的密钥算法来生成密钥。当该认证通知消息包含其他信息时,UE对其他信息的解析和使用方式可以参照上面三个例子的描述,此处不再赘述。
在执行S4404之后,还可能执行步骤S4405-S4407,步骤S4405-S4407的描述如下:
步骤S4405:SMF向所述UE发送使用可扩展的身份验证协议EAP身份请求。
具体地,该使用可扩展的身份验证协议(Extensible Authentication Protocol,EAP)身份请求用于请求表明该UE的身份的信息,例如,UE的UE_DN_ID、MSISDN等信息。
步骤S4406:所述UE接收该身份验证协议EAP身份请求并向所述SMF发送针对所述EAP身份请求的EAP身份响应。该EAP身份响应包含表明该UE的身份的信息。
步骤S4407:所述SMF接收所述EAP身份响应。
在执行S4404之后,还可能执行步骤S4408,步骤S4408的描述如下:
步骤S4408:SMF向业务认证服务器发送用于指示UE的身份的EAP身份响应。
具体地,该步骤是在UE与业务认证服务器进行双向认证之前进行的,该SMF向该业务认证服务器发送EAP身份响应以将该UE的身份告知给该业务认证服务器。需要说明的是,SMF可能是在执行完步骤S4405-S4407才具有该EAP身份响应,也可能不需要执行步骤S4405-S4407该SMF就已经通过其他方式获取了能够表明该UE的身份的信息,并且可以根据该表明UE的身份的信息生成该EAP身份响应。可选的,SMF向业务认证服务器发送用于指示所述UE的身份的EAP身份响应,可以具体为:所述SMF选择用户面网关UPF,SMF可以根据如下参数中的一项或多项或者其他参数选择用户面网关(User Plan Function,UPF):UPF是否具有识别和转发认证消息的能力、UPF安全能力(支持的密码算法和密钥长度)、第三方标识、UPF动态负载、UPF位置信息、UPF容量、PDU会话参数、用户签约数据、本地运营策略;然后,所述SMF与选择的所述UPF建立会话(例如,N4会话)以用于转发所述AMF与业务认证服务器之间双向认证时交互的信息,所述SMF通过所述会话向所述UPF发送EAP身份响应,相应地,该UPF向该业务认证服务器转发该EAP身份响应。
需要说明的是,该SMF与该UPF之间的会话建立后以及向该UPF发送与双向认证相关的消息之前,该SMF可以先向该UPF发送分组过滤和转发规则,该UPF可以根据分组过滤和转发规则识别双向认证中的认证消息并将该认证消息转发到SMF或业务认证服务器。SMF可以根据自身已有的信息生成分组过滤和转发规则,也可能根据从其他网元中获取的信息生成分组过滤和转发规则,例如,根据从UE、应用功能(Application Function,AF)、策略控制网元PCF(Policy Control Function)中获取的信息生成分组过滤和转发规则。
在执行步骤S4404之后,还可能执行步骤S4409,步骤S4409的描述如下:
步骤S409:所述UE与业务认证服务器根据所述认证通知消息进行双向认证。
具体地,该业务认证服务器属于运营商网络以外的第三方网元,该第三方网元可以看
做一种网元类别,它可以包含多个更具体的网元,该第三方网元中的各个网元相互协作来使像UE这样的用户可以访问到所需要的服务,那么,第三方网元中的一部分网元可能用来提供业务访问服务,这部分网元提供的业务可以称为预设业务,第三方网元中的又一部分网元可能用来验证用户(例如,UE)是否具有调用该预设业务的权限,本发明实施例中称用于验证所述UE是否具有调用预设业务的权限的网元为业务认证服务器,称提供预设业务的访问服务的网元为业务服务器。
该UE获得了上述认证通知消息后可以与该业务认证服务器进行双向认证,双向认证使用的相关信息(例如,认证协议、密钥算法等)可以为从该认证通知消息中获得的,从该认证通知消息中获得的认证协议可以为用于第三代认证和密钥协商的可扩展认证协议方法EAP-AKA、改进的用于第三代认证和密钥协商的可扩展认证协议方法EAP-AKA’、用于传输层安全的可扩展认证协议方法EAP-TLS、用于全球移动通信系统用户识别模块的可扩展协议认证方法EAP-SIM等协议。在认证过程中,UE和业务认证服务器可以根据共享的预置对称密钥或非对称密钥协商用户面保护密钥。在5G中,该UE与业务认证服务器之间的认证可以称为“二次认证”。另外,该业务认证服务器还可以将认证结果通知给该SMF,例如,该业务认证服务器将该认证结果先发送给用户面网关UPF,该UPF再将该认证结果转发给该SMF,其中,该认证结果可以包括UE与业务认证服务器双向认证所得到的密钥。
需要说明的是,上述步骤S4401-S4404的流程、步骤S4405-S4407的流程、步骤SS4408的流程和步骤S4409的流程这四段流程可以进行组合得到几种不同的方案,例如,一种方案是执行步骤S4401-S4404的流程,又一种方案是依次执行步骤S4401-S4404的流程、步骤S4405-S4407的流程、步骤SS4408的流程和步骤S4409的流程,又一种方案是依次执行步骤S4401-S4404的流程、步骤SS4408的流程和步骤S4409的流程,又一种方案是依次执行步骤S4401-S4404的流程、步骤S4405-S4407的流程和步骤S4409的流程,又一种方案是依次执行步骤S4401-S4404的流程和步骤S4409的流程。
请参见图34B,图34B为本发明实施例提供的又一种网络认证方法的流程示意图,图34B所示的网络认证方法为图34A所示的网络认证方法的一种更具体的实现方案,图34B所示的网络认证方法中可以包括UE、AMF、SMF、UPF、UDM、SPCF、业务认证设备和业务认证服务器这些网元,其中,可以将AMF、SMF、UPF、UDM、SPCF这些属于运营商网络的网元归类为网络认证设备;可以将业务认证服务器和业务服务器这些运营商网络以外的与第三方业务相关的设备归类为业务认证设备。该网络认证方法包括但不限于如下步骤:
步骤S4501:该UE向AMF发送PDU会话建立请求。
步骤S4502:该AMF接收该PDU会话建立请求并选择SMF。
步骤S4503:该AMF向该SMF转发该PDU会话建立请求。
步骤S4504:该SMF接收该PDU会话建立请求,并向统一数据管理网元(Unified Data Management,UDM)获取用户订阅数据,该用户订阅数据可以包含针对UE的会话控制信息、为UE提供业务服务的第三方网元的信息等。
步骤S4505:该SMF向SPCF发送安全策略请求。
步骤S4506:该SPCF接收该安全策略请求并向业务服务器发送订阅数据请求。
步骤S4507:该业务服务器接收该订阅数据请求并响应该订阅数据请求来向SPCF发送与所述UE存在预设匹配关系的安全策略。
步骤S4508:该SPCF接收该安全策略并将该安全策略发送给SMF。
步骤S4509:该SMF接收该安全策略并根据该安全策略确定该UE是否满足预设的进行双向认证(例如,二次认证)的条件。
步骤S4510:该SMF根据该安全策略确定UE双向认证所需要的认证协议、密钥算法、是否确定双向认证后获取、使用共享密钥等信息。
步骤S4511:该SMF向该UE发送认证通知消息,该认证通知消息可以包含用于指示是否进行双向认证的信息、用于定义所述双向认证的认证协议的信息和用于定义所述双向认证的密钥算法的信息、用于指示是否在双向认证后生成、使用共享密钥的信息等。
步骤S4512:该SMF向该UE发送EAP身份请求。
步骤S4513:该UE接收该EAP身份请求并向该SMF反馈EAP身份响应。
步骤S4514:该SMF选择UPF。
步骤S4515:该SMF与选择的UPF建立会话(例如,N4会话)。
步骤S4516:该SMF向该UPF发送分组过滤和转发规则,相应地,该UPF接收该分组过滤和转发规则,后续依据该分组过滤和转发规则进行数据的过滤和转发。
步骤S4517:该SMF向该UPF发送用于指示该UE身份的EAP身份响应,相应地,该UPF接收该EAP身份响应并根据该分组过滤和转发规则将该EAP身份响应转发该业务认证服务器。
步骤S4518:该UE与该业务认证服务器根据认证通知消息进行双向认证。可选的,认证过程中的消息的传输路径可以为UE—AMF—SMF—UPF—业务认证服务器。
在图34B所示的实施例中,步骤S4512和S4513可以存在也可以不存在;当SMF已经存储了用户订阅数据时,步骤S4504可以不存在。另外,图34B所示的方案可以适用于漫游场景和非漫游场景,在非漫游场景中,上述AMF、SMF、UPF、UDM和SPCF均属于该UE的归属网络中的网元;在漫游场景中,上述AMF属于拜访网络中的网元,上述SMF、UPF、UDM和SPCF均属于该UE的归属网络中的网元,该拜访网络中的网元AFM向该归属网络中的SMF发送PDU会话建立请求时,该PDU会话建立请求先经过该拜访网络中的SMF(图34B中未画出),再由该拜访网络中的SMF转发给归属网络中的SMF。并且,上述AMF选择SMF是指选择拜访网络中的SMF。后续双向认证过程中消息的传输路径可以为UE—AMF—V-SMF—H-SMF—UPF—业务认证服务器,其中,V-SMF拜访网络中的SMF,H-SMF为归属网络中的SMF,进一步地,后续的认证结果除了发送给H-SMF外还可以发送给V-SMF。
在图34A和34B所示的方法中,当该UE需要与其他网元进行双向认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE双向认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的双向认证能够顺利进行。
请参见图35,图35是本发明实施例提供的一种通信系统350的结构示意图,该通信
系统350包括用户设备UE3501、接入与移动性管理网元AMF302和会话管理网元SMF3503,各个网元的描述如下:UE用于向该AMF发送协议数据单元PDU会话建立请求;该AMF用于接收该PDU会话建立请求,根据该PDU会话建立请求确定会话管理网元SMF,向确定的该SMF发送该PDU会话建立请求;该SMF用于接收该PDU会话建立请求,响应该PDU会话建立请求向该UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证;该UE用于接收该认证通知消息。
通过运行上述系统,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
在一种可选的方案中,该系统还包括业务认证服务器,该业务认证服务器用于验证该UE是否具有调用预设业务的权限,该UE用于与业务认证服务器根据该认证通知消息进行目标认证。
在又一种可选的方案中,该SMF用于向该UE发送使用可扩展的身份验证协议EAP身份请求;该UE用于接收该SMF发送的使用可扩展的身份验证协议EAP身份请求,根据该EAP身份请求向该SMF发送EAP身份响应;该SMF用于接收该UE发送的针对该EAP身份请求的EAP身份响应。
在又一种可选的方案中,该SMF用于确定该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该SMF用于确定该目标认证的认证协议和/或密钥算法,具体为:该SMF用于向安全策略控制网元SPCF发送针对该UE的安全策略请求;接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该SMF用于根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,该SMF用于向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
在又一种可选的方案中,该SMF用于向业务认证服务器发送用于指示该UE的身份的EAP身份响应,具体为:该SMF用于选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
在又一种可选的方案中,该系统包括安全策略控制网元SPCF,其中:该SMF用于向该SPCF发送针该UE的安全策略请求;该SPCF用于接收该针对用户设备UE的安全策略请求,根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;该SMF用于接收该与该UE存在预设匹配关系的安全策略。
在又一种可选的方案中,该根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;接收该业务服务器发送的该安全策略;将该安全策略发送给该SMF。
在又一种可选的方案中,该根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;将该安全策略发送给该SMF。
图35所示的通信系统350中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图35所示的通信系统中,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
请参见图36,图36是本发明实施例提供的一种用户设备UE360的结构示意图,该UE包括第一发送单元3601和第一接收单元3602,其中,第一发送单元3601用于向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使该AMF根据该PDU会话建立请求确定会话管理网元SMF并将该PDU会话建立请求发送给该SMF;第一接收单元3602用于接收该SMF响应该PDU会话建立请求而发送的认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过运行上述单元,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
在一种可选的方案中,UE还包括认证单元,用于在该第一接收单元接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,与业务认证服务器根据该认证通知消息进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,UE还包括第二接收单元和第二发送单元,其中,第二接收单元,用于在该第一接收单元接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,接收该SMF发送的使用可扩展的身份验证协议EAP身份请求;第二发送单元,用于根据该EAP身份请求向该SMF发送EAP身份响应。
图36所示的UE360中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图36所示的UE中,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
请参见图37,图37是本发明实施例提供的一种会话管理网元SMF370的结构示意图,该SMF包括第三接收单元3701和第三发送单元3702,其中,第三接收单元3701用于接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;第三发送单元3702用于响应该PDU会话建立请求向用户设备UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过运行上述单元,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
在一种可选的方案中,该认证通知消息用于该UE与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,SMF还包括确定单元,用于在该第三接收单元接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,在该第三发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之前,确定该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该确定单元确定该目标认证的认证协议和/或密钥算法,具体为:向安全策略控制网元SPCF发送针对该UE的安全策略请求;接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该确定单元还用于根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,SMF还包括:第四发送单元,用于在该第三发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,向该UE发送使用可扩展的身份验证协议EAP身份请求;第四接收单元,用于接收该UE发送的针对该EAP身份请求的EAP身份响应。
在又一种可选的方案中,SMF还包括:第五发送单元,用于在该第四发送单元响应该PDU会话建立请求向用户设备UE发送认证通知消息之后,向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
在又一种可选的方案中,该第五发送单元具体用于:选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
图37所示的AMF370中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图37所示的AMF中,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向
该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
请参见图38、图38是本发明实施例提供的一种安全策略控制网元SPCF380,该SPCF包括第五接收单元3801和第六发送单元3802,其中,第五接收单元3801用于接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;第六发送单元3802用于根据该安全策略请求向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法。
通过运行上述单元,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
在一种可选的方案中,该第六发送单元具体用于:根据该安全策略请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;接收该业务服务器发送的该安全策略;将该安全策略发送给该SMF。
在又一种可选的方案中,该第六发送单元具体用于:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;将该安全策略发送给该SMF。
图38所示的SPCF380中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图38所示的SPCF中,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
请参见图39,图39是本发明实施例提供的一种UE390,UE390包括处理器3901、存储器3902和收发器3903,该处理器3901、存储器3902和收发器3903通过总线相互连接。
该收发器3903可以为无线或者有线的接收或发送模块,例如,射频模块。
存储器3902包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器3002用于相关指令及数据。
处理器3901可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器3901是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
UE中的处理器3901读取该存储器3902中存储的程序代码,用于执行以下操作:
通过该收发器3903向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使该AMF根据该PDU会话建立请求确定会话管理网元SMF并将该PDU会话建立请求发送给该SMF;通过该收发器3903接收该SMF响应该PDU会话建立请求而发送的认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认
证包括双向认证或者单向认证。
通过执行上述操作,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
在一种可选的方案中,处理器3901通过接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该处理器3901还用于与业务认证服务器根据该认证通知消息进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,该处理器3901通过该收发器3903接收该SMF响应该PDU会话建立请求而发送的认证通知消息之后,该处理器3901还用于通过该收发器3903接收该SMF发送的使用可扩展的身份验证协议EAP身份请求;该处理器3901根据该EAP身份请求通过该收发器3903向该SMF发送EAP身份响应。
图39所示的UE390中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图39所示的UE中,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
请参见图40,图40是本发明实施例提供的一种SMF400,SMF包括处理器4001、存储器4002和收发器4003,该处理器4001、存储器4002和收发器4003通过总线相互连接。
该收发器4003可以为无线或者有线的接收或发送模块,例如,射频模块。
存储器4002包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器3002用于相关指令及数据。
处理器4001可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),在处理器4001是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
SMF中的处理器4001读取该存储器4002中存储的程序代码,用于执行以下操作:
通过收发器4003接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;响应该PDU会话建立请求通过该收发器4003向用户设备UE发送认证通知消息,该认证通知消息包括用于指示是否进行目标认证的信息、用于定义该目标认证的认证协议的信息和用于定义该目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
通过执行上述操作,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
在一种可选的方案中,该认证通知消息用于该UE与业务认证服务器进行目标认证,
该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,该处理器4001通过该收发器4003接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,该处理器4001响应该PDU会话建立请求通过收发器4003向用户设备UE发送认证通知消息之前,该处理器4001还用于:确定该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该处理器4001确定该目标认证的认证协议和/或密钥算法,具体为:通过该收发器4003向安全策略控制网元SPCF发送针对该UE的安全策略请求;通过收发器4003接收该SPCF根据该安全策略请求获取的与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法;根据该安全策略生成该目标认证的认证协议和/或密钥算法。
在又一种可选的方案中,该处理器4001还用于:根据该安全策略确定该UE需要与业务认证服务器进行目标认证,该业务认证服务器用于验证该UE是否具有调用预设业务的权限。
在又一种可选的方案中,该处理器4001响应该PDU会话建立请求通过该收发器4003向用户设备UE发送认证通知消息之后,该处理器4001还用于:通过收发器4003向该UE发送使用可扩展的身份验证协议EAP身份请求;通过收发器4003接收该UE发送的针对该EAP身份请求的EAP身份响应。
在又一种可选的方案中,该处理器4001响应该PDU会话建立请求通过收发器4003向用户设备UE发送认证通知消息之后,该处理器4001还用于:通过收发器4003向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
在又一种可选的方案中,该处理器4001通过收发器4003向业务认证服务器发送用于指示该UE的身份的EAP身份响应,具体为:选择用户面网关UPF;与选择的该UPF建立会话以用于转发该SMF与业务认证服务器之间目标认证时交互的信息;通过收发器4003通过该会话向业务认证服务器发送用于指示该UE的身份的EAP身份响应。
图40所示的SMF40中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图40所示的SMF中,当该UE需要与其他网元进行目标认证时,该UE向运营商网络发送PDU会话建立请求,该运营商网络中的SMF接收到该PDU会话建立请求后,向该UE发送认证通知消息以规定该UE目标认证时所采用的认证协议、密钥算法等信息,使得该UE与其他网元之间的目标认证能够顺利进行。
请参见图41,图41是本发明实施例提供的一种SPCF410,SPCF包括处理器4101、存储器4102和收发器4103,该处理器4101、存储器4102和收发器4103通过总线相互连接。
该收发器4103可以为无线或者有线的接收或发送模块,例如,射频模块。
存储器4102包括但不限于是随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或者快闪存储器)、或便携式只读存储器(CD-ROM),该存储器3002用于相关指令及数据。
处理器4101可以是一个或多个中央处理器(英文:Central Processing Unit,简称:CPU),
在处理器4101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
SPCF中的处理器4101读取该存储器4102中存储的程序代码,用于执行以下操作:
通过收发器4103接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;根据该安全策略请求通过收发器4103向该SMF发送与该UE存在预设匹配关系的安全策略,该安全策略用于该SPCF确定UE目标认证所需的认证方法和/或密钥算法。
通过执行上述操作,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
在一种可选的方案中,该处理器4101根据该安全策略请求通过收发器4103向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略通过收发器4103请求向业务服务器发送订阅数据请求,以请求与该UE存在预设匹配关系的安全策略,该业务服务器用于提供业务的访问服务;通过收发器4103接收该业务服务器发送的该安全策略;通过收发器4103将该安全策略发送给该SMF。
在又一种可选的方案中,该处理器4101根据该安全策略请求通过收发器4103向该SMF发送与该UE存在预设匹配关系的安全策略,具体为:根据该安全策略请求从预先缓存的信息中查找与该UE存在预设匹配关系的安全策略;通过收发器4103将该安全策略发送给该SMF。
图41所示的SPCF41中各个网元的具体实现可以对应参照图34A和34B所示方法实施例的相应描述,此处不再赘述。
在图41所示的SPCF中,SMF需要确定UE目标认证所需的认证协议、密钥算法等信息时,向SPCF发送安全策略请求,该SPCF根据该安全策略请求向该SMF反馈与该UE相匹配的安全策略,使得该SMF可以根据该安全策略确定出该UE目标认证所需的认证协议、密钥算法等信息,保证了该UE与其他网元之间的目标认证的顺利进行。
需要说明的是,以上各个实施例中列出的步骤的先后顺序此处不做限制,有些步骤先执行还是后执行对实施例的实施不会产生实质的影响,因此在以上列出的步骤的先后顺序的基础上,对步骤执行的先后顺序进行调整所形成的方案依然落入本发明的保护范围。
综上所述,通过实施本发明实施例,用户设备与业务认证设备根据获取的参考参数以及预先共享的第一共享密钥生成第二共享密钥,然后该业务认证设备将该第二共享密钥发送给该网络认证设备,使得该网络认证设备基于该第二共享密钥得到目标共享密钥。也即是说,生成该目标共享密钥考虑到了业务的相关信息以及网络的相关信息,提升了该目标共享密钥的安全级别。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可通过计算机程序来指令相关的硬件来完成,该的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可存储程序代码的介质。
Claims (143)
- 一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:所述业务认证设备用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥;所述业务认证设备用于将所述第二共享密钥发送给所述网络认证设备;所述网络认证设备用于接收所述第二共享密钥,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求1所述的系统,其特征在于:所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
- 根据权利要求2所述的系统,其特征在于:所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;所述网络认证设备和所述用户设备用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:所述网络认证设备和所述用户设备用于根据所述第二共享密钥进行网络认证生成第四共享密钥;所述网络认证设备和所述用户设备均用于根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
- 根据权利要求1所述的系统,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;所述网络认证设备和所述用户设备用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
- 根据权利要求2~4任一项所述的系统,其特征在于:所述网络认证设备还用于将所述目标共享密钥发送给所述业务认证设备;所述业务认证设备用于接收所述目标共享密钥;所述业务认证设备和所述用户设备用于将所述目标共享密钥或者基于所述目标共享密 钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求1所述的系统,其特征在于:所述网络认证设备和所述用户设备用于进行网络认证生成第三共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥;所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
- 根据权利要求1所述系统,其特征在于:所述网络认证设备和所述用户设备均用于根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求1所述的系统,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:根据所述参考信息和所述第一共享密钥进行业务认证生成第二共享密钥;所述业务认证设备还用于将所述第二共享密钥作为所述目标共享密钥。
- 根据权利要求1所述的系统,其特征在于,所述业务认证设备用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述参考信息、第一共享密钥和所述第五共享密钥进行业务认证生成第二共享密钥;所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
- 根据权利要求1所述的系统,其特征在于:所述网络认证设备用于向所述业务认证设备获取所述第一共享密钥;所述网络认证设备用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述网络认证设备用于将所述网络侧信息发送给所述业务认证设备;所述业务认证设备用于接收并向所述用户设备转发所述网络侧信息;所述结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包 括所述网络侧信息;所述网络认证设备用于将所述第二共享密钥作为所述目标共享密钥。
- 根据权利要求1~10任一项所述的系统,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求11所述的系统,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 根据权利要求2所述的系统,其特征在于,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备UE用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:UE向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU接收所述请求接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述业务参考消息认证码;所述CP-AU将通过预设的响应算法对所述第二共享密钥和所述初始期待响应进行计算得到的参考期待响应;所述UE接收所述CP-AU发送的所述认证请求消息;所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;若相同,则所述UE通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;所述UE将所述参考响应发送给所述CP-AU;所述CP-AU接收所述参考响应;所述CP-AU判断所述参考期待响应与所述参考响应是否相同;若相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 根据权利要求2所述的系统,其特征在于,所述网络认证设备包括认证功能单元CP-AU,所述网络认证设备和所述用户设备UE用于根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:UE向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU接收所述接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向UE发送认证请求消息,所述认证请求消息包括所述网络侧附加消息认证码和所述网络侧初始消息认证码;所述UE接收所述CP-AU发送的所述认证请求消息;所述UE通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则所述UE通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;所述UE将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;所述CP-AU接收所述参考响应和所述用户侧响应消息认证码;所述CP-AU通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;所述CP-AU判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;若均相同,则所述CP-AU和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 一种网络认证系统,其特征在于,所述系统包括用户设备、网络认证设备和业务认证设备,其中:所述业务认证设备用于将预存的目标业务的业务参数发送给所述网络认证设备和所述用户设备;所述网络认证设备和所述用户设备用于接收所述业务参数;所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求15所述的系统,其特征在于,所述网络认证设备和所述用户设备均用于结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,所述网络认证设备和所述用户设备均用于根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求15或16所述的系统,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种网络认证设备,其特征在于,包括:接收单元,用于接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;第一生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求18所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
- 根据权利要求19所述的网络认证设备,其特征在于,还包括:认证单元,用于和所述用户设备进行网络认证生成第三共享密钥;所述认证单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
- 根据权利要求18所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
- 根据权利要求18所述的网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述用户设备进行网络认证生成第三共享密钥;和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
- 根据权利要求18所述网络认证设备,其特征在于,所述第一生成单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求18~23任一项所述的网络认证设备,其特征在于,还包括:获取单元,用于向所述业务认证设备获取所述第一共享密钥;第二生成单元,用于根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
- 根据权利要求18~23任一项所述的网络认证设备,其特征在于,还包括:发送单元,用于将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求18~25任一项所述的网络认证设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求26所述的网络认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 根据权利要求19所述的网络认证设备,其特征在于,所述网络认证设备包括CP-AU;所述第一生成单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:接收所述UE发送的请求接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述请求接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述业务参考消息认证码;所述UE用于接收所述认证请求消息并通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE还用于判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;所述UE用于在判断出相同时,通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;所述UE还用于将所述参考响应发送给所述CP-AU;通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;接收所述参考响应;判断所述参考期待响应与所述参考响应是否相同;若相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 根据权利要求19所述的网络认证设备,其特征在于,所述网络认证设备包括CP-AU;所述第一生成单元和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,具体为:接收UE发送的接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向UE发送认证请求消息,所述认证请求消息包括所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;所述UE用于接收所述认证请求消息;所述UE用于通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE用于判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且判断所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则所述UE用于通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;所述UE还用于将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;接收所述参考响应和所述用户侧响应消息认证码;通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;若均相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 一种用户设备,其特征在于,包括:获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;生成单元,用于根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求30所述用户设备,其特征在于,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
- 根据权利要求30所述的用户设备,其特征在于,所述获取单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求32所述的用户设备,其特征在于,还包括:认证单元,用于和所述网络认证设备进行网络认证生成第三共享密钥;所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
- 根据权利要求30所述的用户设备,其特征在于,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:和所述网络认证设备进行网络认证生成第三共享密钥;根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
- 根据权利要求30所述的用户设备,其特征在于,所述生成单元根据所述第二共享密钥生成目标共享密钥,具体为:根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求30所述的用户设备,其特征在于,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
- 根据权利要求30~36任一项所述的用户设备,其特征在于,所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
- 根据权利要求30~36任一项所述的用户设备,其特征在于,还包括:第一接收单元,用于接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
- 根据权利要求30~38任一项所述的用户设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求39所述的用户设备,其特征在于,当所述参考信息包含所述业务参数时,还包括:第二接收单元,用于接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
- 根据权利要求39或40所述的用户设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 根据权利要求32所述的用户设备,其特征在于,所述网络认证设备包括CP-AU;所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述请求接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包括所述业务参考消息;所述CP-AU还用于通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;接收所述认证请求消息;通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的 消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;若相同,则通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;将所述参考响应发送给所述CP-AU,所述CP-AU用于接收所述参考响应并判断所述参考期待响应与所述参考响应是否相同;在所述CP-AU的判断结果为是时,与所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 根据权利要求32所述的用户设备,其特征在于,所述网络认证设备包括CP-AU;所述获取单元和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,具体为:向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述网络侧附加消息认证码和所述网络侧初始消息认证码;接收所述CP-AU发送的所述认证请求消息;通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;所述CP-AU用于接收所述参考响应和所述用户侧响应消息认证码;所述CP-AU还用于通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;所述CP-AU还用于判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息 认证码是否与所述用户侧响应消息认证码相同;在所述CP-AU的判断结果为均相同时,和所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 一种业务认证设备,其特征在于,包括:第一获取单元,用于获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;发送单元,用于将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求44所述的业务认证设备,其特征在于,所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
- 根据权利要求44或45所述的业务认证设备,其特征在于,还包括:第一接收单元,用于接收所述网络认证设备发送的所述目标共享密钥;生成单元,用于将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求44或45所述的业务认证设备,其特征在于,还包括:生成单元,用于将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求44所述的业务认证设备,其特征在于,还包括:第二获取单元,用于获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
- 根据权利要求44所述的业务认证设备,其特征在于,还包括:第二接收单元,用于接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;所述第一获取单元结合所述参考信息和第一共享密钥生成第二共享密钥,具体为:结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
- 根据权利要求44~49任一项所述的业务认证设备,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求50所述的业务认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 一种网络认证设备,其特征在于,包括:接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;生成单元,用于和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求52所述的网络认证设备,其特征在于,所述生成单元和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求52或53所述的网络认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种用户设备,其特征在于,包括:接收单元,用于接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;生成单元,用于和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备 与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要55所述的用户设备,其特征在于,所述生成单元和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,具体为:和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求55或56所述的用户设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种业务认证设备,其特征在于,包括:发送单元,用于将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求58所述的业务认证设备,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种网络认证方法,其特征在于,包括:网络认证设备接收业务认证设备发送的第二共享密钥,业务认证设备和用户设备均用于结合第一共享密钥和参考信息生成所述第二共享密钥,所述第一共享密钥为所述用户设备与所述业务认证设备之间预先配置的共享密钥,所述参考信息包括所述用户设备、所述网络认证设备和所述业务认证设备中至少一项预先关联的信息;所述网络认证设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求60所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥。
- 根据权利要求61所述的方法,其特征在于,所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥之前,所述方法还包括:所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:所述网络认证设备和所述用户设备根据所述第二共享密钥进行网络认证生成第四共享密钥;所述网络认证设备和所述用户设备均根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
- 根据权利要求60所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:所述网络认证设备和所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为目标共享密钥。
- 根据权利要求60所述的方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:所述网络认证设备和所述用户设备进行网络认证生成第三共享密钥;所述网络认证设备和所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
- 根据权利要求60所述方法,其特征在于,所述网络认证设备根据所述第二共享密钥生成目标共享密钥,包括:所述网络认证设备和所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求60~65任一项所述的方法,其特征在于,所述方法还包括:所述网络认证设备向所述业务认证设备获取所述第一共享密钥;所述网络认证设备根据所述第一共享密钥和第五共享密钥生成网络侧信息,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述网络认证设备将所述网络侧信息发送给所述业务认证设备,以使所述业务认证设备向所述用户设备转发所述网络侧信息,所述网络参数属于所述参考信息。
- 根据权利要求60~65任一项所述的方法,其特征在于,所述网络认证设备根据所 述第二共享密钥生成目标共享密钥之前,所述方法还包括:所述网络认证设备将所述目标共享密钥发送给所述业务认证设备,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥用作所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求60~67任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求68所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 根据权利要求61所述的网络认证方法,其特征在于,所述网络认证设备包括CP-AU;所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:接收所述UE发送的请求接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述请求接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述业务参考消息认证码;所述UE用于接收所述认证请求消息并通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE还用于判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;所述UE用于在判断出相同时,通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;所述UE还用于将所述参考响应发送给所述CP-AU;通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;接收所述参考响应;判断所述参考期待响应与所述参考响应是否相同;若相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 根据权利要求61所述的网络认证方法,其特征在于,所述网络认证设备包括CP-AU;所述网络认证设备和所述用户设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成所述目标共享密钥,包括:接收UE发送的接入网络的消息并根据身份标识和业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述接入网络的消息包含所述UE的所述身份标识和目标业务的所述业务标识,所述目标业务为所述UE当前执行的业务;接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向UE发送认证请求消息,所述认证请求消息包括所述网络侧附加消息认证码和所述网络侧初始消息认证码发送给所述UE;所述UE用于接收所述认证请求消息;所述UE用于通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;所述UE用于判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且判断所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则所述UE用于通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;所述UE还用于将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;接收所述参考响应和所述用户侧响应消息认证码;通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;若均相同,则和所述UE使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 一种网络认证方法,其特征在于,包括:用户设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥;所述第一共享密钥为所述用户设备与业务认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥, 所述业务认证设备还用于将所述第二共享密钥发送给网络认证设备;所述用户设备根据所述第二共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求72所述方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:所述用户设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述目标共享密钥。
- 根据权利要求72所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求74所述的方法,其特征在于,所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥之前,所述方法还包括:所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:所述用户设备和所述网络认证设备根据所述第二共享密钥进行网络认证生成第四共享密钥;所述用户设备根据所述第三共享密钥和所述第四共享密钥生成所述目标共享密钥。
- 根据权利要求72所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:所述用户设备和所述网络认证设备进行网络认证生成第三共享密钥;所述用户设备根据所述第二共享密钥和所述第三共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和所述第三共享密钥分别作为保护不同类型数据的所述目标共享密钥。
- 根据权利要求72所述的方法,其特征在于,所述用户设备根据所述第二共享密钥生成目标共享密钥,包括:所述用户设备根据所述第二共享密钥和第五共享密钥生成所述目标共享密钥;或者将所述第二共享密钥和基于所述第五共享密钥衍生的共享密钥分别作为保护不同类型数据的所述目标共享密钥,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求72所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:结合所述参考信息、第一共享密钥和第五共享密钥与所述业务认证设备进行业务认证生成第二共享密钥;所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥,所述业务认证设备用于获取所述第五共享密钥。
- 根据权利要求72~78任一项所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:用户设备和业务认证设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
- 根据权利要求72~78任一项所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:所述用户设备接收所述业务认证设备转发的来自所述网络认证设备的网络侧信息,所述网络侧信息为所述网络认证设备根据第五共享密钥和获取的所述第一共享密钥生成,所述第五共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:结合所述网络参数和第一共享密钥与所述业务认证设备进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
- 根据权利要求72~80任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求81所述的方法,其特征在于,当所述参考信息包含所述业务参数时,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:所述用户设备接收所述网络认证设备转发的来自所述业务认证设备的所述业务参数。
- 根据权利要求81或82所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 根据权利要求74所述的网络认证方法,其特征在于,所述网络认证设备包括CP-AU;所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:向CP-AU发送请求接入网络的消息,所述请求接入网络的消息包含所述UE的身份标 识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述请求接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的消息认证码算法对所述第二共享密钥和所述网络侧初始消息认证码进行计算得到业务参考消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包括所述业务参考消息;所述CP-AU还用于通过所述预设的响应算法对所述第二共享密钥和所述初始期待响应进行处理得到参考期待响应;接收所述认证请求消息;通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的消息认证码算法对所述第二共享密钥和所述用户侧初始消息认证码进行计算得到用户侧参考消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;判断所述用户侧参考消息认证码与所述业务参考消息认证码是否相同;若相同,则通过预设的响应算法对所述第二共享密钥和所述初始响应进行处理得到参考响应;将所述参考响应发送给所述CP-AU,所述CP-AU用于接收所述参考响应并判断所述参考期待响应与所述参考响应是否相同;在所述CP-AU的判断结果为是时,与所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 根据权利要求74所述的网络认证方法,其特征在于,所述网络认证设备包括CP-AU;所述用户设备和所述网络认证设备根据所述第二共享密钥或者根据基于所述第二共享密钥衍生的共享密钥进行网络认证生成目标共享密钥,包括:向CP-AU发送接入网络的消息,所述接入网络的消息包含所述UE的身份标识和目标业务的业务标识,所述目标业务为所述UE当前执行的业务;所述CP-AU用于接收所述接入网络的消息并根据所述身份标识和所述业务标识获取第二共享密钥,以及向签约服务器请求基于预置密钥生成的认证向量,所述预置密钥为所述UE与所述签约服务器预先共享的密钥;所述CP-AU还用于接收所述签约服务器发送的所述认证向量,所述认证向量包含消息认证码和期待响应,所述认证向量包含的所述消息认证码为网络侧初始消息认证码,所述认证向量包含的期待响应为初始期待响应;所述CP-AU还用于将通过预设的第一消息认证码算法对所述第二共享密钥进行计算得到网络侧附加消息认证码,并向所述UE发送认证请求消息,所述认证请求消息包含所述网络侧附加消息认证码和所述网络侧初始消息认证码;接收所述CP-AU发送的所述认证请求消息;通过认证与密钥协商协议AKA根据所述预置密钥生成消息认证码和响应,生成的所述消息认证码为用户侧初始消息认证码以及生成的所述响应为初始响应,并通过所述预设的第一消息认证码算法对所述第二共享密钥进行计算得到用户侧附加消息认证码,所述UE使用的第二共享密钥为所述UE根据自身的身份标识和所述业务标识获取,或者所述UE预先存储了所述第二共享密钥;判断所述用户侧附加消息认证码是否与所述网络侧附加消息认证码相同,且所述用户侧初始消息认证码是否与所述网络侧初始消息认证码相同;若均相同,则通过预设的第二消息认证码算法对自身的所述第二共享密钥进行处理得到用户侧响应消息认证码;将所述参考响应和所述用户侧响应消息认证码发送给所述CP-AU;所述CP-AU用于接收所述参考响应和所述用户侧响应消息认证码;所述CP-AU还用于通过所述预设的所述第二消息认证码算法对自身的所述第二共享密钥进行处理得到网络侧响应消息认证码;所述CP-AU还用于判断所述初始期待响应是否与所述初始响应相同,且所述网络侧响应消息认证码是否与所述用户侧响应消息认证码相同;在所述CP-AU的判断结果为均相同时,和所述CP-AU使用相同的密钥生成算法对预设的基础密钥和所述第二共享密钥进行处理得到目标共享密钥。
- 一种网络认证方法,其特征在于,包括:业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥,所述第一共享密钥为用户设备与所述业务认证设备之间预先配置的共享密钥,所述用户设备用于获取所述参考信息并结合所述参考信息和所述第一共享密钥生成所述第二共享密钥,所述参考信息包括所述用户设备、网络认证设备和所述业务认证设备中至少一项预先关联的信息;所述业务认证设备将所述第二共享密钥发送给所述网络认证设备,所述第二共享密钥用于所述用户设备和所述网络认证设备生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求86所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:所述业务认证设备和所述用户设备结合所述参考信息和第一共享密钥进行业务认证生成第二共享密钥。
- 根据权利要求86或87所述的方法,其特征在于,所述业务认证设备将所述第二共享密钥发送给所述网络认证设备之后,所述方法还包括:所述业务认证设备接收所述网络认证设备发送的所述目标共享密钥;所述业务认证设备将所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求86或87所述的方法,其特征在于,所述业务认证设备获取参考信息并结合所述参考信息和第一共享密钥生成第二共享密钥之后,所述方法还包括:所述业务认证设备将所述第二共享密钥或者基于所述第二共享密钥衍生的共享密钥作为所述业务认证设备与所述用户设备协商的保护数据安全传输的共享密钥。
- 根据权利要求86所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:所述业务认证设备获取所述用户设备与所述网络认证设备之间预先配置的第五共享密钥;所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:结合所述参考信息、第一共享密钥和所述第五共享密钥进行网络认证生成第二共享密钥。
- 根据权利要求86所述的方法,其特征在于,所述结合所述参考信息和第一共享密钥生成第二共享密钥之前,所述方法还包括:所述业务认证设备接收所述网络认证设备根据所述网络认证设备所在蜂窝网的网络参数生成的网络侧信息,并向所述用户设备转发所述网络侧信息;所述结合所述参考信息和第一共享密钥生成第二共享密钥,包括:结合所述网络参数和第一共享密钥进行业务认证生成第二共享密钥,所述网络参数包括所述网络侧信息。
- 根据权利要求86~91任一项所述的方法,其特征在于,所述参考信息包括所述网络认证设备所在蜂窝网的网络参数和目标业务的业务参数中至少一项。
- 根据权利要求92所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项;所述网络参数包括运营商标识,接入网络标识,服务网络标识,网络类型标识,局域网网络标识,切片标识,承载标识,服务质量标识和流标识中的至少一项。
- 一种网络认证方法,其特征在于,包括:网络认证设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给用户设备;所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求94所述的方法,其特征在于,所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,所述网络认证设备和所述用户设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求94或95所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种网络认证方法,其特征在于,包括:用户设备接收业务认证设备发送的预存的目标业务的业务参数,所述业务认证设备还用于将所述业务参数发送给网络认证设备;所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要97所述的方法,其特征在于,所述用户设备和所述网络认证设备结合所述业务参数和原始共享密钥生成目标共享密钥,包括:所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥进行网络认证生成目标共享密钥;或者,所述用户设备和所述网络认证设备根据所述业务参数和原始共享密钥生成认证共享密钥,并根据所述认证共享密钥进行网络认证生成目标共享密钥。
- 根据权利要求97或98所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种网络认证方法,其特征在于,包括:业务认证设备将预存的目标业务的业务参数发送给网络认证设备和用户设备;以使所述网络认证设备和所述用户设备结合所述业务参数和原始共享密钥生成目标共享密钥,所述目标共享密钥或者基于所述目标共享密钥衍生的共享密钥为所述网络认证设备与所述用户设备协商的保护数据安全传输的共享密钥,所述原始共享密钥为所述用户设备与所述网络认证设备之间预先配置的共享密钥。
- 根据权利要求100所述的方法,其特征在于,所述业务参数包括所述目标业务的业务序列号、密钥管理中心的标识、会话标识、链路标识、应用标识、业务标识、业务等级、业务数据速率、时延和业务服务器标识中的至少一项。
- 一种网络认证系统,其特征在于,所述系统包括用户设备UE、接入与移动性管理网元AMF和会话管理网元SMF,其中:所述UE用于向所述AMF发送协议数据单元PDU会话建立请求;所述AMF用于接收所述PDU会话建立请求,根据所述PDU会话建立请求确定会话管理网元SMF,向确定的所述SMF发送所述PDU会话建立请求;所述SMF用于接收所述PDU会话建立请求,响应所述PDU会话建立请求向所述UE发送认证通知消息,所述认证通知消息包括用于指示是否进行目标认证的信息、用于定义所述目标认证的认证协议的信息和用于定义所述目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证;所述UE用于接收所述认证通知消息。
- 根据权利要求102所述的系统,其特征在于,所述系统还包括业务认证服务器,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限,所述UE用于与业务认证服务器根据所述认证通知消息进行目标认证。
- 根据权利要求102或103所述的系统,其特征在于:所述SMF用于向所述UE发送使用可扩展的身份验证协议EAP身份请求;所述UE用于接收所述SMF发送的使用可扩展的身份验证协议EAP身份请求,根据所述EAP身份请求向所述SMF发送EAP身份响应;所述SMF用于接收所述UE发送的针对所述EAP身份请求的EAP身份响应。
- 根据权利要求102-104任一项所述的系统,其特征在于,所述SMF用于确定所述目标认证的认证协议和/或密钥算法。
- 根据权利要求105所述的系统,其特征在于,所述SMF用于确定所述目标认证的认证协议和/或密钥算法,具体为:所述SMF用于向策略控制网元PCF发送针对所述UE的安全策略请求;接收所述PCF根据所述安全策略请求获取的与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法;根据所述安全策略生成所述目标认证的认证协议和/或密钥算法。
- 根据权利要求106所述的系统,其特征在于,所述SMF用于根据所述安全策略确定所述UE需要与业务认证服务器进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求102-107任一项所述的系统,其特征在于,所述SMF用于向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 根据权利要求108所述系统,其特征在于,所述SMF用于向业务认证服务器发送用于指示所述UE的身份的EAP身份响应,具体为:所述SMF用于选择用户面网关UPF;与选择的所述UPF建立会话以用于转发所述SMF与业务认证服务器之间目标认证时交互的信息;通过所述会话向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 根据权利要求102-109任一项所述的系统,其特征在于,所述系统包括策略控制网元PCF,其中:所述SMF用于向所述PCF发送针所述UE的安全策略请求;所述PCF用于接收所述针对用户设备UE的安全策略请求,根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法;所述SMF用于接收所述与所述UE存在预设匹配关系的安全策略。
- 根据权利要求110所述的系统,其特征在于,所述根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,具体为:根据所述安全策略请求向业务服务器发送订阅数据请求,以请求与所述UE存在预设匹配关系的安全策略,所述业务服务器用于提供业务的访问服务;接收所述业务服务器发送的所述安全策略;将所述安全策略发送给所述SMF。
- 根据权利要求124所述的系统,其特征在于,所述根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,具体为:根据所述安全策略请求从预先缓存的信息中查找与所述UE存在预设匹配关系的安全策略;将所述安全策略发送给所述SMF。
- 一种用户设备UE,其特征在于,包括:第一发送单元,用于向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使所述AMF根据所述PDU会话建立请求确定会话管理网元SMF并将所述PDU会话建立请求发送给所述SMF;第一接收单元,用于接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息,所述认证通知消息包括用于指示是否进行目标认证的信息、用于定义所述目标认证的认证协议的信息和用于定义所述目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
- 根据权利要求113所述的UE,其特征在于,还包括:认证单元,用于在所述第一接收单元接收所述SMF响应所述PDU会话建立请求而发 送的认证通知消息之后,与业务认证服务器根据所述认证通知消息进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求113或114所述的UE,其特征在于,还包括:第二接收单元,用于在所述第一接收单元接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息之后,接收所述SMF发送的使用可扩展的身份验证协议EAP身份请求;第二发送单元,用于根据所述EAP身份请求向所述SMF发送EAP身份响应。
- 一种会话管理网元SMF,其特征在于,包括:第三接收单元,用于接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;第三发送单元,用于响应所述PDU会话建立请求向用户设备UE发送认证通知消息,所述认证通知消息包括用于指示是否进行目标认证的信息、用于定义所述目标认证的认证协议的信息和用于定义所述目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
- 根据权利要求116所述的SMF,其特征在于,所述认证通知消息用于所述UE与业务认证服务器进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求116或117所述的SMF,其特征在于,还包括:确定单元,用于在所述第三接收单元接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,在所述第三发送单元响应所述PDU会话建立请求向用户设备UE发送认证通知消息之前,确定所述目标认证的认证协议和/或密钥算法。
- 根据权利要求118所述的SMF,其特征在于,所述确定单元确定所述目标认证的认证协议和/或密钥算法,具体为:向策略控制网元PCF发送针对所述UE的安全策略请求;接收所述PCF根据所述安全策略请求获取的与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法;根据所述安全策略生成所述目标认证的认证协议和/或密钥算法。
- 根据权利要求119所述的SMF,其特征在于,所述确定单元还用于根据所述安全策略确定所述UE需要与业务认证服务器进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求116-120任一项所述的SMF,其特征在于,还包括:第四发送单元,用于在所述第三发送单元响应所述PDU会话建立请求向用户设备UE发送认证通知消息之后,向所述UE发送使用可扩展的身份验证协议EAP身份请求;第四接收单元,用于接收所述UE发送的针对所述EAP身份请求的EAP身份响应。
- 根据权利要求116-121任一项所述的SMF,其特征在于,还包括:第五发送单元,用于在所述第四发送单元响应所述PDU会话建立请求向用户设备UE发送认证通知消息之后,向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 根据权利要求122所述的SMF,其特征在于,所述第五发送单元具体用于:选择用户面网关UPF;与选择的所述UPF建立会话以用于转发所述SMF与业务认证服务器之间目标认证时交互的信息;通过所述会话向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 一种策略控制网元PCF,其特征在于,包括:第五接收单元,用于接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;第六发送单元,用于根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法。
- 根据权利要求124所述的PCF,其特征在于,所述第六发送单元具体用于:根据所述安全策略请求向业务服务器发送订阅数据请求,以请求与所述UE存在预设匹配关系的安全策略,所述业务服务器用于提供业务的访问服务;接收所述业务服务器发送的所述安全策略;将所述安全策略发送给所述SMF。
- 根据权利要求124所述的PCF,其特征在于,所述第六发送单元具体用于:根据所述安全策略请求从预先缓存的信息中查找与所述UE存在预设匹配关系的安全策略;将所述安全策略发送给所述SMF。
- 一种网络认证方法,其特征在于,包括:用户设备UE向接入与移动性管理网元AMF发送协议数据单元PDU会话建立请求,以使所述AMF根据所述PDU会话建立请求确定会话管理网元SMF并将所述PDU会话建立请求发送给所述SMF;所述UE接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息,所述认证通知消息包括用于指示是否进行目标认证的信息、用于定义所述目标认证的认证协议的信息和用于定义所述目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证 或者单向认证。
- 根据权利要求127所述的方法,其特征在于,所述UE接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息之后,所述方法还包括:所述UE与业务认证服务器根据所述认证通知消息进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求127或128所述的方法,其特征在于,所述UE接收所述SMF响应所述PDU会话建立请求而发送的认证通知消息之后,所述方法还包括:所述UE接收所述SMF发送的使用可扩展的身份验证协议EAP身份请求;所述UE根据所述EAP身份请求向所述SMF发送EAP身份响应。
- 一种网络认证方法,其特征在于,包括:会话管理网元SMF接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求;所述SMF响应所述PDU会话建立请求向用户设备UE发送认证通知消息,所述认证通知消息包括用于指示是否进行目标认证的信息、用于定义所述目标认证的认证协议的信息和用于定义所述目标认证的密钥算法的信息中至少一项,所述目标认证包括双向认证或者单向认证。
- 根据权利要求130所述的方法,其特征在于,所述认证通知消息用于所述UE与业务认证服务器进行目标认证,所述业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求130或131所述的方法,其特征在于,所述会话管理网元SMF接收接入与移动性管理网元AMF发送的协议数据单元PDU会话建立请求之后,所述SMF响应所述PDU会话建立请求向用户设备UE发送认证通知消息之前,所述方法还包括:所述SMF确定所述目标认证的认证协议和/或密钥算法。
- 根据权利要求132所述的方法,其特征在于,所述SMF确定所述目标认证的认证协议和/或密钥算法,包括:所述SMF向策略控制网元PCF发送针对所述UE的安全策略请求;所述SMF接收所述PCF根据所述安全策略请求获取的与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法;所述SMF根据所述安全策略生成所述目标认证的认证协议和/或密钥算法。
- 根据权利要求133所述的方法,其特征在于,所述方法还包括:所述SMF根据所述安全策略确定所述UE需要与业务认证服务器进行目标认证,所述 业务认证服务器用于验证所述UE是否具有调用预设业务的权限。
- 根据权利要求130-134任一项所述的方法,其特征在于,所述SMF响应所述PDU会话建立请求向用户设备UE发送认证通知消息之后,所述方法还包括:所述SMF向所述UE发送使用可扩展的身份验证协议EAP身份请求;所述SMF接收所述UE发送的针对所述EAP身份请求的EAP身份响应。
- 根据权利要求130-135任一项所述的方法,其特征在于,所述SMF响应所述PDU会话建立请求向用户设备UE发送认证通知消息之后,所述方法还包括:所述SMF向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 根据权利要求136所述的方法,其特征在于,所述SMF向业务认证服务器发送用于指示所述UE的身份的EAP身份响应,包括:所述SMF选择用户面网关UPF;所述SMF与选择的所述UPF建立会话以用于转发所述SMF与业务认证服务器之间目标认证时交互的信息;所述SMF通过所述会话向业务认证服务器发送用于指示所述UE的身份的EAP身份响应。
- 一种网络认证方法,其特征在于,包括:策略控制网元PCF接收会话管理网元SMF发送的针对用户设备UE的安全策略请求;所述PCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,所述安全策略用于所述PCF确定UE目标认证所需的认证方法和/或密钥算法。
- 根据权利要求138所述的方法,其特征在于,所述PCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,包括:所述PCF根据所述安全策略请求向业务服务器发送订阅数据请求,以请求与所述UE存在预设匹配关系的安全策略,所述业务服务器用于提供业务的访问服务;所述PCF接收所述业务服务器发送的所述安全策略;所述PCF将所述安全策略发送给所述SMF。
- 根据权利要求138所述的方法,其特征在于,所述PCF根据所述安全策略请求向所述SMF发送与所述UE存在预设匹配关系的安全策略,包括:所述PCF根据所述安全策略请求从预先缓存的信息中查找与所述UE存在预设匹配关系的安全策略;所述PCF将所述安全策略发送给所述SMF。
- 一种存储介质,其特征在于,所述存储介质用于存储指令,该指令在计算机上运 行时使得所述计算机执行权利要求127-129任一项所述的方法。
- 一种存储介质,其特征在于,所述存储介质用于存储指令,该指令在计算机上运行时使得所述计算机执行权利要求130-137任一项所述的方法。
- 一种存储介质,其特征在于,所述存储介质用于存储指令,该指令在计算机上运行时使得所述计算机执行权利要求138-140任一项所述的方法。
Applications Claiming Priority (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610563016.2 | 2016-07-16 | ||
CN201610563016 | 2016-07-16 | ||
CN201610633776.6A CN107623668A (zh) | 2016-07-16 | 2016-08-04 | 一种网络认证方法、相关设备及系统 |
CN201610633776.6 | 2016-08-04 | ||
CN201610819335.5 | 2016-09-09 | ||
CN201610819335.5A CN107623670B (zh) | 2016-07-16 | 2016-09-09 | 一种网络认证方法、相关设备及系统 |
CNPCT/CN2017/072253 | 2017-01-23 | ||
PCT/CN2017/072253 WO2018014535A1 (zh) | 2016-07-16 | 2017-01-23 | 一种网络认证方法、相关设备及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2018014630A1 true WO2018014630A1 (zh) | 2018-01-25 |
Family
ID=60991718
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2017/072253 WO2018014535A1 (zh) | 2016-07-16 | 2017-01-23 | 一种网络认证方法、相关设备及系统 |
PCT/CN2017/083360 WO2018014630A1 (zh) | 2016-07-16 | 2017-05-05 | 一种网络认证方法、相关设备及系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/CN2017/072253 WO2018014535A1 (zh) | 2016-07-16 | 2017-01-23 | 一种网络认证方法、相关设备及系统 |
Country Status (1)
Country | Link |
---|---|
WO (2) | WO2018014535A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020242700A1 (en) * | 2019-05-24 | 2020-12-03 | JOURNEY. Al | Providing access control and identity verification for communications |
US20220237629A1 (en) * | 2021-01-28 | 2022-07-28 | Capital One Services, Llc | System, method, and computer-accessible medium for determining the veracity of a bank fraud call |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114172923B (zh) * | 2021-12-08 | 2023-07-07 | 中国联合网络通信集团有限公司 | 数据传输方法、通信系统及通信装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN103023856A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
CN103051598A (zh) * | 2011-10-17 | 2013-04-17 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859097B (zh) * | 2006-01-19 | 2010-08-04 | 华为技术有限公司 | 一种基于通用鉴权框架的认证方法及系统 |
CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
-
2017
- 2017-01-23 WO PCT/CN2017/072253 patent/WO2018014535A1/zh active Application Filing
- 2017-05-05 WO PCT/CN2017/083360 patent/WO2018014630A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN103023856A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
CN103051598A (zh) * | 2011-10-17 | 2013-04-17 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020242700A1 (en) * | 2019-05-24 | 2020-12-03 | JOURNEY. Al | Providing access control and identity verification for communications |
US20220237629A1 (en) * | 2021-01-28 | 2022-07-28 | Capital One Services, Llc | System, method, and computer-accessible medium for determining the veracity of a bank fraud call |
Also Published As
Publication number | Publication date |
---|---|
WO2018014535A1 (zh) | 2018-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107623670B (zh) | 一种网络认证方法、相关设备及系统 | |
CN108293223B (zh) | 一种数据传输方法、用户设备和网络侧设备 | |
CN106922216B (zh) | 用于无线通信的装置、方法和存储介质 | |
JP7010215B2 (ja) | 通信方法、認証サーバ及び認証サーバのための方法 | |
US10687213B2 (en) | Secure establishment method, system and device of wireless local area network | |
US11432139B2 (en) | System and method for combined network-side and off-air monitoring of wireless networks | |
CN101610241B (zh) | 一种绑定认证的方法、系统和装置 | |
TW201347594A (zh) | 裝置間通訊的認證系統及認證方法 | |
WO2018076564A1 (zh) | 车辆通信中的隐私保护方法及隐私保护装置 | |
WO2018079692A1 (ja) | 通信システム、基地局、制御方法、及びコンピュータ可読媒体 | |
CN111787533A (zh) | 加密方法、切片管理方法、终端及接入和移动性管理实体 | |
WO2018014630A1 (zh) | 一种网络认证方法、相关设备及系统 | |
US8776197B2 (en) | Secure enterprise service delivery | |
US20120254615A1 (en) | Using a dynamically-generated symmetric key to establish internet protocol security for communications between a mobile subscriber and a supporting wireless communications network | |
US9220053B2 (en) | Affiliation of mobile stations and protected access points | |
EP3713186B1 (en) | Techniques for enabling unique utilization of identities within a communication network | |
CN113316146B (zh) | 提供网络接入服务的方法、接入点、终端 | |
Khumalo et al. | Services and applications security in IoT enabled networks | |
US20100304713A1 (en) | Technique for restricting access to a wireless communication service | |
CN113347628A (zh) | 提供网络接入服务的方法、接入点、终端 | |
KR101434750B1 (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 | |
Huang et al. | A secure and efficient multi-device and multi-service authentication protocol (semmap) for 3gpp-lte networks | |
CN118160338A (zh) | 通信网络中服务应用的安全信息推送 | |
Aggarwal et al. | Mobile Assisted Bit Sequence Authentication and Authorization (MABSAA) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 17830268 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 17830268 Country of ref document: EP Kind code of ref document: A1 |