WO2022027674A1 - 一种通用引导架构中的方法及相关装置 - Google Patents

一种通用引导架构中的方法及相关装置 Download PDF

Info

Publication number
WO2022027674A1
WO2022027674A1 PCT/CN2020/107992 CN2020107992W WO2022027674A1 WO 2022027674 A1 WO2022027674 A1 WO 2022027674A1 CN 2020107992 W CN2020107992 W CN 2020107992W WO 2022027674 A1 WO2022027674 A1 WO 2022027674A1
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
terminal device
identification
network element
request message
Prior art date
Application number
PCT/CN2020/107992
Other languages
English (en)
French (fr)
Inventor
邓娟
何承东
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to PCT/CN2020/107992 priority Critical patent/WO2022027674A1/zh
Priority to CN202080104200.5A priority patent/CN116097690A/zh
Publication of WO2022027674A1 publication Critical patent/WO2022027674A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Definitions

  • the present application relates to the field of communication technologies, and in particular, to a method and related apparatus in a universal bootstrap architecture.
  • the 3rd Generation Partnership Project (3GPP) provides a security mechanism for mutual authentication and key generation between the terminal device and the bootstrapping server function (BSF) in the network, so that the Secure communication.
  • GBA Generic bootstrapping architecture
  • GAA is a general mechanism for mutual authentication and key agreement established by terminal equipment and BSF in the network defined by 3GPP.
  • the method further includes: the guidance server function network element according to the first response message
  • the second identification, or the fifth identification of the terminal device is generated according to the second identification and the character used to identify 5G.
  • the bootstrap server function network element may receive a second bootstrap request message from the terminal device when the terminal device initiates the bootstrap request process again, where the second bootstrap request message includes the fifth identifier, and correspondingly, the bootstrap server function network
  • the element can determine the second identifier according to the fifth identifier.
  • the terminal device can be quickly determined to be a 5G terminal device, or the GBA authentication negotiation mechanism can be quickly determined, thereby saving time.
  • the method further includes: generating, by the guidance server function network element, first guidance transaction identification information according to characters used to identify 5G, where the first guidance transaction identification information is used to identify the A bootstrap transaction between the terminal device and the bootstrap server function network element.
  • the method further includes: the guidance server function network element to the terminal device Sending the first bootstrap transaction identification information.
  • a second aspect of the embodiments of the present application discloses a method in a general bootstrap architecture, including:
  • the home subscriber server network element receives the first request message from the guidance server function network element, where the first request message includes the first identification or the second identification of the terminal device, when the first request message includes the first identification At the same time, it can ensure that the privacy of the terminal device is not leaked, and the security of communication is improved.
  • a third aspect of the embodiments of the present application discloses a method in a general bootstrap architecture, including:
  • the terminal device acquires first bootstrap transaction identification information and/or the fifth ID of the terminal device, where the first bootstrap transaction identification information is used to identify a bootstrap transaction performed by the terminal device and the bootstrap server function network element , the fifth identification is an identification generated according to the second identification, or according to the second identification and a character used to identify 5G.
  • a fifth aspect of the embodiments of the present application discloses a device in a general guidance architecture, including:
  • the processing unit is configured to obtain first guidance transaction identification information and/or the fifth identification of the device, where the first guidance transaction identification information is used to identify the guidance performed by the device and the guidance server function network element Transaction, the fifth identification is an identification generated according to the second identification, or according to the second identification and the characters used to identify 5G.
  • a first bootstrap request message from a terminal device is received by the transceiver, where the first bootstrap request message includes a first identifier of the terminal device, and the first identifier is based on the second identifier and the identifier of the terminal device
  • the protection key IPK is generated;
  • An eighth aspect of the embodiments of the present application discloses an apparatus in a universal boot architecture, including at least one processor and a transceiver, wherein the at least one processor is configured to communicate with other devices through the transceiver, and the memory uses For storing a computer program, the processor is used to call the computer program to perform the following operations:
  • the first bootstrap request message includes a first identification of the device, and the first identification is generated according to the second identification of the device and an identification protection key IPK;
  • the first guidance transaction identification information is used to identify the guidance transaction performed by the device and the guidance server function network element
  • the fifth identification It is an identification generated according to the second identification, or according to the second identification and the characters used to identify 5G.
  • the second identifier includes a subscription permanent identifier SUPI of the terminal device, a One of the connection protocol multimedia private identifier IMPI, the international mobile subscriber identity code IMSI of the terminal device, and the general public subscription identifier GPSI of the terminal device.
  • FIG. 6 is a schematic flowchart of a method in another general bootstrap architecture provided by an embodiment of the present application.
  • FIG. 8 is a schematic flowchart of a method in another general bootstrap architecture provided by an embodiment of the present application.
  • FIG. 9 is a schematic flowchart of a method in another general bootstrap architecture provided by an embodiment of the present application.
  • FIG. 10 is a schematic flowchart of a method in yet another general bootstrap architecture provided by an embodiment of the present application.
  • FIG. 16 is a schematic structural diagram of an apparatus in a general guidance architecture provided by an embodiment of the present application.
  • Subscriber location function which can be called a subscriber location function network element, is used to query the user's HSS, and is not a necessary functional unit.
  • BSF obtains MAC* according to the message authentication code MAC in the received authentication vector AV, Where Trunc represents the interception operation, SHA-1 is the secure hash algorithm 1, and AUTN* is determined according to MAC*, where The BSF then sends random numbers RAND and AUTN* to the terminal equipment.
  • Computing MAC* may also use other secure hashing methods.
  • IMPI Internet Protocol Multimedia Private Identity
  • IMSI Internet Protocol Multimedia Private Identity
  • the terminal device when the terminal device performs the bootstrap request process for the first time, it sends the IMPI to the BSF, and the IMPI is derived from the IMSI of the terminal device. If the BSF does not find the corresponding IMPI in the local database when receiving the bootstrap request message carrying the TMPI sent by the terminal device, it will also require the terminal device to resend the bootstrap request message carrying the IMPI.
  • the IMSI of the terminal device belongs to private information, that is to say, the IMPI includes private information, and the privacy of the terminal device will be leaked through the above method. Therefore, in order to solve the above problems, the present application proposes the following solutions.
  • Step S501 The terminal device generates the first guidance request message or the second guidance request information.
  • the first bootstrap request message includes the third identifier of the terminal device, or the third identifier of the terminal device and the first indication information.
  • the third identifier of the terminal device may be referred to as the third identifier.
  • the third identifier is the GPSI of the terminal device or the GPSI whose type is the External Identifier type; when the third identifier is the GPSI of the terminal device, the first identifier is called GPSI*.
  • Step S503 The BSF receives the first bootstrap request message or the second bootstrap request message from the terminal device.
  • the BSF acquires the second identifier according to the received first identifier and the IPK, and includes the second identifier in the first request message.
  • the BSF acquires the second identifier according to the received first identifier and the IPK, which may be to decrypt the first identifier for the BSF to acquire the second identifier. For example, assuming that the first identifier is IMPI*, the BSF determines that the second identifier is IMPI according to the first identifier and the IPK.
  • the HSS acquires the second identifier according to the received first identifier and the IPK, and then the HSS sends a second request message to the UDM, where the second request message includes the acquired second identifier, so that the The UDM generates the first authentication vector of the terminal device according to the second identifier.
  • the UDM calls the contract identifier de-hiding function (single network slice selection assistance information, SIDF) to de-hide the SUCI to obtain SUPI, and the UDM generates the first authentication vector of the terminal device according to the SUPI.
  • the first identifier is IMPI*
  • the UDM obtains IMPI according to IMPI* and IPK.
  • the UDM also obtains the SUPI according to the IMPI, and generates the first authentication vector of the terminal device according to the SUPI.
  • the first identifier is IMSI*
  • the UDM obtains the IMSI according to IMSI* and IPK.
  • Step S509 The UDM sends a second response message to the HSS.
  • the second response message includes the first authentication vector, or, the first authentication vector and the second identifier.
  • Step S510 The HSS receives the second response message from the UDM.
  • the first response message includes the first authentication vector, or, the first authentication vector and the second identifier.
  • the first response message includes first indication information, where the first indication information is used to instruct the BSF to generate a fifth identifier (TMPI*) of the terminal device, or to instruct the terminal device to support 5g GBA, or to instruct the terminal device to be 5G , or instruct the authentication and key negotiation of 5G GBA.
  • TMPI* fifth identifier
  • Step S515 The terminal device sends the authentication response information generated based on the RES to the BSF.
  • Step S516 The BSF verifies the authentication response information, and sends the result of verifying the authentication response information to the terminal device.
  • the BSF before the BSF sends the result of verifying the authentication response information to the terminal device, the BSF generates the first bootstrap transaction identification information (B-TID*).
  • the first bootstrap transaction identification information (B-TID*) is used to identify a bootstrap transaction between the terminal device and the BSF.
  • the parameters used to generate the B-TID* include one or more of the random number RAND, the 5G GBA key, the second identifier, the BSF identifier, and the characters used to identify 5G.
  • Step S517 The terminal device acquires the first bootstrap transaction identification information (B-TID*) and/or the fifth identification (TMPI*).
  • the terminal device generates the first bootstrap transaction identification information (B-TID*) and/or the fifth identification (TMPI*) of the terminal device.
  • the parameters used for generating the first bootstrap transaction identifier information (B-TID*) and the fifth identifier (TMPI*) are as described above, and will not be repeated here.
  • Step S610 The UDM receives the fourth request message, and generates a first authentication vector according to the first identifier or the second identifier or the third identifier.
  • the BSF if the BSF receives the first identifier, the BSF includes the received first identifier in the sixth request message; in a possible implementation, if the BSF receives the third identifier, Then the BSF includes the received third identifier in the sixth request message;
  • the BSF after the BSF receives the first identifier, if the BSF cannot decrypt the first identifier to obtain the second identifier, the BSF sends an error message to the terminal device, where the error message is used to instruct the terminal device to resend the The first bootstrap request message that carries the first identifier, or is used to indicate that the terminal device cannot decrypt the first identifier to obtain the second identifier.
  • the terminal device after receiving the error message, the terminal device resends the first bootstrap request message carrying the first identifier.
  • Step S808 The UDM receives the seventh request message, and generates a first authentication vector according to the first identifier or the second identifier or the third identifier.
  • Step S809 The UDM sends the seventh response message to the AUSF.
  • the sixth response message includes the first authentication vector of the terminal device, or the first authentication vector and the second identifier.
  • the BSF after the BSF receives the sixth response message from the AUSF, the BSF generates a fifth identifier, or the BSF generates a fifth identifier (TMPI*) according to the first indication information. For the content included in the fifth identification, see step S512 for details, and details are not repeated here.
  • the BSF stores the correspondence between the fifth identifier and the second identifier. The correspondence is used for, when the BSF receives the second guidance request message including the fifth identifier, the BSF determines the second identifier corresponding to the fifth identifier according to the correspondence.
  • the BSF after the BSF generates the fifth identifier (TMPI*), the BSF sends the fifth identifier to the terminal device.
  • the BSF after the BSF receives the sixth response message from the AUSF, the BSF generates the first bootstrap transaction identification information (B-TID*). Specifically, the first bootstrap transaction identification information (B-TID*) is used to identify a bootstrap transaction between the terminal device and the BSF. See the description in step S512 for the parameters used to generate the B-TID*.
  • the eighth request message includes the first identifier or the third identifier received by the BSF.
  • the eighth request message is used to obtain the first authentication vector of the terminal device, or used to invoke the first authentication service of the HSS to obtain the first authentication vector of the terminal device.
  • the BSF after the BSF receives the first identifier, if the BSF cannot decrypt the first identifier to obtain the second identifier, the BSF sends an error message to the terminal device, where the error message is used to instruct the terminal device to resend the The first bootstrap request message that carries the first identifier, or is used to indicate that the terminal device cannot decrypt the first identifier to obtain the second identifier.
  • the terminal device after receiving the error message, the terminal device resends the first bootstrap request message carrying the first identifier.
  • Step S905 The BSF sends an eighth request message to the HSS.
  • Step S906 The HSS receives the eighth request message from the BSF.
  • the eighth request message includes the first identifier or the third identifier received by the BSF.
  • Step S907 The HSS sends a ninth request message to the UDM.
  • the UDM after receiving the first identifier or the third identifier, the UDM obtains the second identifier. In a possible implementation manner, if the UDM receives the third identifier, the UDM finds the SUPI corresponding to the third identifier. In a possible implementation manner, if the UDM receives the first identifier, the UDM obtains the second identifier according to the IPK and the first identifier, for example, the UDM uses the IPK to decrypt the first identifier to obtain the second identifier.
  • the ninth response message includes the second identifier, and the second identifier is used by the HSS to generate the first authentication vector.
  • step S508 The specific possible implementation manner of the first authentication vector is as described in step S508, which is not repeated here.
  • Steps S911 to S919 may refer to steps S511 to S519, which will not be repeated here.
  • the communication between the HSS and the UDM may pass through the AUSF, which will not be repeated here.
  • FIG. 10 is another method in a general bootstrap architecture provided by an embodiment of the present application. The method includes but is not limited to the following steps:
  • Steps S1001-step S1003 may refer to steps S501-step S503, which will not be repeated here.
  • Step S1004 If the BSF receives the first identifier or the third identifier, the BSF generates a tenth request message.
  • the tenth request message includes the first identifier or the third identifier, and the tenth request message is used to request to acquire the second identifier of the terminal device.
  • Step S1005 The BSF sends a tenth request message to the UDM.
  • the tenth request message includes the first identifier or the third identifier.
  • Step S1006 The UDM receives the tenth request message from the BSF.
  • the tenth request message includes the first identifier or the third identifier.
  • the UDM After receiving the first identifier or the third identifier, the UDM acquires the second identifier. For details, see the description in S908 that the UDM acquires the second identifier according to the first identifier or the third identifier.
  • the tenth response message includes the second identifier.
  • Step S1008 The BSF receives the tenth response message from the UDM.
  • the tenth response message includes the second identifier.
  • Step S1010 The HSS receives the eleventh request message from the BSF, and generates a first authentication vector according to the second identifier.
  • step S508 For a possible implementation manner of the first authentication vector, see the description in step S508, and details are not repeated here.
  • Step S1012 The BSF receives the eleventh response message from the HSS.
  • a processing unit 1102 configured to generate a first request message, where the first request message includes the first identifier or the second identifier;
  • the processing unit is further configured to decrypt the first identifier to obtain the second identifier.
  • the first response message includes the second identifier.
  • the processing unit 1102 is further configured to, after receiving the first response message from the home subscriber server network element, according to the second identifier or according to the second identifier and the characters used to identify 5G to generate the fifth identification of the terminal device.
  • the processing unit is configured to determine the second identifier corresponding to the fifth identifier.
  • the receiving unit 1101 is further configured to receive a first response message from the home subscriber server network element, where the first response message includes first indication information; or
  • each unit may also correspond to the corresponding description with reference to the method embodiment shown in FIG. 5 .
  • the receiving unit 1201 is configured to receive a first request message from the network element of the guidance server function, where the first request message includes a first identification of the terminal device or a second identification of the terminal device, and the first identification is based on the The second identification of the terminal device and the identification protection key IPK are generated;
  • a receiving unit 1303, configured to receive a bootstrap response message from the bootstrap server function network element for requesting the device to perform authentication
  • a processing unit 1301 configured to obtain first bootstrap transaction identification information and/or a fifth ID of the device, where the first bootstrap transaction identification information is used to identify bootstrap transactions performed by the device and the bootstrap server function network element , the fifth identification is an identification generated according to the second identification, or according to the second identification and a character used to identify 5G.
  • the sending unit 1302 is further configured to send an application request message to a network application function network element after acquiring the first bootstrap transaction identification information, where the application request message includes the first bootstrap Transaction identification information.
  • FIG. 14 is an apparatus 1400 in a general bootstrap architecture provided by an embodiment of the present invention, where the apparatus 1400 includes at least one processor 1401 and a transceiver 1403 .
  • the apparatus 1400 includes at least one processor 1401 and a transceiver 1403 .
  • a memory 1402 is also included, and the processor 1401 , the memory 1402 and the transceiver 1403 are connected to each other through a bus 1404 .
  • the processor 1401 in the device 1400 is configured to read the computer program stored in the memory 1402, and perform the following operations:
  • the first request message includes the second identifier
  • the processor 1401 is further configured to decrypt the first identifier to obtain the second identifier before generating the first request message .
  • the processor 1401 is further configured to, after receiving the first response message from the home subscriber server network element through the transceiver 1403, according to the second identifier or according to The second identifier and the character used to identify 5G generate a fifth identifier of the terminal device.
  • the processor 1401 is further configured to send the first guiding transaction identification information to the terminal device through the transceiver 1403 after generating the first guiding transaction identification information according to the characters used to identify 5G 1. Guide transaction identification information.
  • the memory 1502 includes, but is not limited to, random access memory (RAM), read-only memory (ROM), erasable programmable read only memory (EPROM), or A portable read-only memory (compact disc read-only memory, CD-ROM), the memory 1502 is used for related instructions and data.
  • the transceiver 1503 is used to receive and transmit data.
  • the processor 1501 is configured to send a second request message to the unified data management network element through the transceiver 1503, where the second request message includes the first identifier or the the second identifier, so that the unified data management network element generates a first authentication vector of the terminal device according to the first identifier or the second identifier; and receives a second response message from the unified data management network element , the second response message includes the first authentication vector.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例提供一种通用引导架构中的方法及相关装置,该方法包括:引导服务器功能网元接收来自终端设备的第一引导请求消息,第一引导请求消息包括终端设备的第一标识,第一标识为根据终端设备的第二标识和标识保护密钥IPK生成的;引导服务器功能网元生成第一请求消息,第一请求消息包括第一标识或第二标识;引导服务器功能网元向归属签约用户服务器网元发送第一请求消息;引导服务器功能网元接收来自归属签约用户服务器网元的第一响应消息,第一响应消息包括终端设备的第一认证向量,采用本申请实施例在终端设备和网络中的BSF采用GBA进行认证与密钥协商时,保护终端设备的隐私信息,提高通信的安全性。

Description

一种通用引导架构中的方法及相关装置 技术领域
本申请涉及通信技术领域,尤其涉及一种通用引导架构中的方法及相关装置。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)中提供了一种安全机制,用于终端设备与网络中的引导服务器功能(bootstrapping server function,BSF)进行相互认证以及生成密钥,从而进行安全通信。通用引导架构(generic bootstrapping architecture,GBA)是3GPP定义的一种终端设备和网络中的BSF建立的相互认证和密钥协商的通用机制。
终端设备和网络中的BSF采用GBA进行认证与密钥协商时,会泄露终端设备的隐私,因此如何在终端设备和网络中的BSF采用GBA进行认证与密钥协商时,保护终端设备的隐私信息,提高通信的安全性是本领域人员正在解决的技术问题。
发明内容
本申请实施例公开了一种通用引导架构中的方法及相关装置,能够保护终端设备的隐私信息。
本申请实施例第一方面公开了一种通用引导架构中的方法,包括:
引导服务器功能网元接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
所述引导服务器功能网元生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
所述引导服务器功能网元向归属签约用户服务器网元发送所述第一请求消息;
所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
在上述方法中,引导服务器功能网元接收来自终端设备的第一引导请求消息,该第一引导请求消息包括第一标识,第一标识不涉及终端设备的隐私,与现有技术相比,引导服务器功能网元接收来自终端设备的第一引导请求消息,第一引导请求消息包括终端设备的明文标识信息,会造成终端设备的隐私信息的泄露,因此,与现有技术相比,本申请方案能够在保证终端设备隐私信息的情况下,终端设备和网络中的BSF采用GBA进行认证与密钥协商,提高了通信的安全性。
在一种可能的实现方式中,所述第一请求消息包括所述第二标识,所述引导服务器功能网元生成第一请求消息之前,所述方法还包括:所述引导服务器功能网元解密所述第一标识,获取所述第二标识。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识。
在一种可能的实现方式中,所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息之后,所述方法还包括:所述引导服务器功能网元根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符,生成所述终端设备的第五标识。
在上述方法中,引导服务器功能网元生成第五标识,然后通过将第五标识发送给终端设备,相应的,终端设备再次发起引导请求流程时,可以通过携带第五标识的方式避免终端设备的隐私泄露,保证了通信的安全性。
在一种可能的实现方式中,所述方法还包括:所述引导服务器功能网元向所述终端设备发送所述第五标识;和/或所述引导服务器功能网元接收来自所述终端设备的第二引导请求消息,所述第二引导请求消息包括所述第五标识;所述引导服务器功能网元确定与所述第五标识对应的所述第二标识。
在上述方法中,引导服务器功能网元可以在终端设备再次发起引导请求流程时,接收来自终端设备的第二引导请求消息,该第二引导请求消息包括第五标识,相应的,引导服务器功能网元可以根据第五标识确定第二标识,通过这样的方式,可以快速的确定该终端设备为5G的终端设备、或者可以快速的确定采用GBA认证协商机制,从而节省了时间。
在一种可能的实现方式中,所述方法还包括:所述引导服务器功能网元接收第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述第五标识;所述引导服务器功能网元接收第一指示信息,包括:所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括第一指示信息;或者所述引导服务器功能网元接收来自所述终端设备的第一引导请求消息,所述第一引导请求消息包括所述第一指示信息。
在上述方法中,通过在第一响应消息或者第一引导请求消息中携带用于指示引导服务器功能网元生成第五标识的第一指示信息的方式,能够更加合理的利用资源。
在一种可能的实现方式中,所述方法还包括:所述引导服务器功能网元根据用于标识5G的字符生成第一引导交易标识信息,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易。
在一种可能的实现方式中,所述引导服务器功能网元根据用于标识5G的字符生成第一引导交易标识信息之后,所述方法还包括:所述引导服务器功能网元向所述终端设备发送所述第一引导交易标识信息。
本申请实施例第二方面公开了一种通用引导架构中的方法,包括:
归属签约用户服务器网元接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量;
所述归属签约用户服务器网元向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
在上述方法中,归属签约用户服务器网元接收来自引导服务器功能网元的第一请求消 息,该第一请求消息包括终端设备的第一标识或者第二标识,当第一请求消息包括第一标识时,能够保证终端设备的隐私不被泄露,提高了通信的安全性。
在一种可能的实现方式中,所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量,包括:所述归属签约用户服务器网元向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第一标识或所述第二标识,以使所述统一数据管理网元根据所述第一标识或所述第二标识生成所述终端设备的第一认证向量;所述归属签约用户服务器网元接收来自所述统一数据管理网元的第二响应消息,所述第二响应消息包括所述第一认证向量。
在一种可能的实现方式中,所述第二响应消息包括所述第二标识。
在一种可能的实现方式中,所述第一请求消息包括所述第二标识,所述归属签约用户服务器网元根据所述第二标识获取所述终端设备的第一认证向量,包括:所述归属签约用户服务器网元根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一请求消息包括所述第一标识,所述归属签约用户服务器网元根据所述第一标识获取所述终端设备的第一认证向量,包括:所述归属签约用户服务器网元解密所述第一标识,获取所述第二标识;所述归属签约用户服务器网元根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量,包括:所述归属签约用户服务器网元解密所述第一标识,获取所述第二标识;所述归属签约用户服务器网元向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第二标识,以使所述统一数据管理网元根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识;和/或所述第一响应消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
在上述方法中,通过在第一响应消息中携带用于指示引导服务器功能网元生成第五标识的第一指示信息的方式,能够更加合理的利用资源。
本申请实施例第三方面公开了一种通用引导架构中的方法,包括:
终端设备生成第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
所述终端设备向引导服务器功能网元发送所述第一引导请求消息;
所述终端设备接收来自引导服务器功能网元的用于请求终端设备进行认证的引导响应消息;
所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
在上述方法中,终端设备向引导服务器功能网元发送第一引导请求消息,第一请求消息包括第一标识,其中,第一标识不涉及终端设备的隐私,终端设备向引导服务器功能网元发送第一引导请求消息,第一引导请求消息包括终端设备的明文标识信息,会造成终端设备的隐私信息的泄露,因此,与现有技术相比,本申请方案能够在保证终端设备隐私信息的情况下,和网络中的BSF采用GBA进行认证与密钥协商,提高了通信的安全性。
在一种可能的实现方式中,所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,包括:所述终端设备接收来自所述引导服务器功能网元的所述第一引导交易标识信息和/或所述终端设备的第五标识。
在一种可能的实现方式中,所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,包括:所述终端设备根据用于标识5G的字符生成所述第一引导交易标识信息和/或所述终端设备的第五标识。
在上述方法中,通过终端设备生成第五标识的方式,当终端设备再次发起引导请求流程时,相比携带明文的终端设备的标识信息,可以通过携带第五标识避免终端设备的隐私泄露,保证了通信的安全性。
在一种可能的实现方式中,所述终端设备获取所述终端设备的第五标识之后,所述方法还包括:所述终端设备向所述引导服务器功能网元发送第二引导请求消息,所述第二引导请求消息包括所述第五标识。
在一种可能的实现方式中,所述第一引导请求消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识。
在上述方法中,通过在第一引导请求消息中携带用于指示引导服务器功能网元生成第五标识的第一指示信息的方式,能够更加合理的利用资源。
在一种可能的实现方式中,所述终端设备获取第一引导交易标识信息之后,所述方法还包括:所述终端设备向网络应用功能网元发起应用请求消息,所述应用请求消息包括所述第一引导交易标识信息。
本申请实施例第四方面公开了一种通用引导架构中的装置,包括:
接收单元,用于接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
处理单元,用于生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
发送单元,用于向归属签约用户服务器网元发送所述第一请求消息;
所述接收单元,还用于接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
所述接收单元和发送单元执行上述第一方面中的接收、发送的操作,处理单元执行其他操作。
本申请实施例第五方面公开了一种通用引导架构中的装置,包括:
接收单元,用于接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
处理单元,用于根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量。
发送单元,用于向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
所述接收单元和发送单元执行上述第二方面中的接收、发送的操作,处理单元执行其他操作。
本申请实施例第六方面公开了一种通用引导架构中的装置,包括:
处理单元,用于生成第一引导请求消息,所述第一引导请求消息包括所述装置的第一标识,所述第一标识为根据所述装置的第二标识和标识保护密钥IPK生成的;
发送单元,用于向引导服务器功能网元发送所述第一引导请求消息;
接收单元,用于接收来自引导服务器功能网元的用于请求装置进行认证的引导响应消息;
所述处理单元,用于获取第一引导交易标识信息和/或所述装置的第五标识,所述第一引导交易标识信息用于标识所述设备和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
所述接收单元和发送单元执行上述第三方面中的接收、发送的操作,处理单元执行其他操作。
本申请实施例第七方面公开了一种通用引导架构中的装置,包括至少一个处理器和收发器,其中,所述至少一个处理器用于通过所述收发器与其它装置通信,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,执行以下操作:
通过所述收发器接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
通过所述收发器向归属签约用户服务器网元发送所述第一请求消息;
通过所述收发器接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
所述收发器执行上述第一方面中的接收、发送的操作,所述处理器执行其他操作。
本申请实施例第八方面公开了一种通用引导架构中的装置,包括至少一个处理器和收发器,其中,所述至少一个处理器用于通过所述收发器与其它设备通信,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,执行以下操作:
通过所述收发器接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的 第二标识和标识保护密钥IPK生成的;
根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量。
通过所述收发器向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
收发器执行上述第二方面中的接收、发送的操作,处理器执行其他操作。
本申请实施例第九方面公开了一种通用引导架构中的装置,包括至少一个处理器和收发器,其中,所述至少一个处理器用于通过所述收发器与其它设备通信,所述存储器用于存储计算机程序,所述处理器用于调用所述计算机程序,执行以下操作:
生成第一引导请求消息,所述第一引导请求消息包括所述装置的第一标识,所述第一标识为根据所述装置的第二标识和标识保护密钥IPK生成的;
通过所述收发器向引导服务器功能网元发送所述第一引导请求消息;
通过所述收发器接收来自引导服务器功能网元的用于请求装置进行认证的引导响应消息;
获取第一引导交易标识信息和/或所述装置的第五标识,所述第一引导交易标识信息用于标识所述装置和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
收发器执行上述第三方面中的接收、发送的操作,处理器执行其他操作。
结合上述任意一个方面或者任意一个方面的任意一种可能的实现方式,在一种可能的实现方式中,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
本申请实施例第十方面公开了一种芯片,所述芯片包括至少一个处理器和接口电路,可选的,所述芯片还包括存储器,所述存储器、所述接口电路和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有计算机程序;所述计算机程序被所述处理器执行时实现任意一方面或者任意一方面的可选的方案所描述的方法。
本申请实施例第十一方面公开了一种计算机可读存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序当被处理器执行时实现任意一方面或者任意一方面的可选的方案所描述的方法。
本申请实施例第十二方面公开了一种计算机产品,当所述计算机程序产品在处理器上运行时,实现任意一方面或者任意一方面的可选的方案所描述的方法。
附图说明
图1是本申请实施例提供的一种GBA示意图;
图2是本申请实施例提供的一种引导请求流程示意图;
图3是本申请实施例提供的一种认证向量生成的示意图;
图4是本申请实施例提供的一种执行业务访问流程示意图;
图5是本申请实施例提供的一种通用引导架构中的方法的流程示意图;
图6是本申请实施例提供的又一种通用引导架构中的方法的流程示意图;
图7是本申请实施例提供的又一种通用引导架构中的方法的流程示意图;
图8是本申请实施例提供的又一种通用引导架构中的方法的流程示意图;
图9是本申请实施例提供的又一种通用引导架构中的方法的流程示意图;
图10是本申请实施例提供的又一种通用引导架构中的方法的流程示意图;
图11是本申请实施例提供的一种通用引导架构中的装置的结构示意图;
图12是本申请实施例提供的一种通用引导架构中的装置的结构示意图;
图13是本申请实施例提供的一种通用引导架构中的装置的结构示意图;
图14是本申请实施例提供的一种通用引导架构中的装置的结构示意图;
图15是本申请实施例提供的一种通用引导架构中的装置的结构示意图;
图16是本申请实施例提供的一种通用引导架构中的装置的结构示意图。
具体实施方式
下面结合本申请实施例中的附图对本申请实施例进行描述。
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)中提供了一种安全机制,用于终端设备与网络中的引导服务器功能(bootstrapping server function,BSF)进行相互认证以及生成密钥,从而进行安全通信。通用引导架构(generic bootstrapping architecture,GBA)是3GPP定义的一种终端设备和网络中的BSF建立的相互认证和密钥协商的通用机制。如图1所示,图1表示一种GBA示意图。GBA架构中的各逻辑实体的具体功能如下:
(1)引导服务器功能(bootstrapping server function,BSF):可以称为引导服务器功能网元,BSF作为引导服务功能,处于用户的归属网络。BSF从归属用户服务器(home subscriber server,HSS)获得GBA的用户安全设置和认证向量,并完成对终端设备的认证,建立共享密钥(Ks)。BSF根据Ks生成NAF特定密钥(network application function specific key,NSK),并向网络应用功能(network application function,NAF)提供NSK。
(2)网络应用功能(network application function,NAF):可以称为网络应用功能网元,NAF收到终端设备应用请求后,需要从BSF获取NAF特定密钥NSK。BSF使用NAF特定密钥NSK保护与终端设备之间的通信安全。
(3)HSS:可以称为HSS网元,所有的用户安全设置、用户密钥、用户签约数据等都存储在HSS中,HSS支持返回认证向量给BSF。
(4)终端设备:终端设备需要支持第三代移动通讯网络的认证与密钥协商协议(authentication and key agreement,AKA)和摘要式认证协议(digest authentication),并且能够与引导服务功能进行双向认证,并产生共享密钥Ks,进而根据共享密钥Ks,产生特定密钥NSK。终端设备使用特定密钥NSK保护与BSF之间的通信安全。
(5)用户位置功能(subscriber location function,SLF),可以称为用户位置功能网元,用于查询用户的HSS,不是必须功能单元。
GBA流程一般包括两个步骤:(1)执行引导请求流程。通过AKA协议实现BSF与终 端设备之间进行的双向认证,当认证成功后,终端设备和BSF建立共享密钥Ks。(2)执行业务访问流程。终端设备与NAF之间通过NSK来保护通信安全。下面将具体解释执行引导请求流程,具体如图2所示。当终端设备希望与NAF交互,且终端设备确定需要进行引导流程,则终端设备发起引导请求流程。否则,当终端设备接收到NAF发送给终端设备的引导指示信息、或者终端设备中的密钥生命周期结束时,终端设备才发起引导请求流程。引导请求流程具体如下:
步骤1:终端设备向BSF发送引导请求消息(Bootstrapping Request)。当终端设备中有临时网际互连协议多媒体私有标识(temporary internet protocol multimedia private identity,TMPI),那么引导请求消息承载TMPI;若终端设备中没有TMPI,则引导请求消息承载网际互连协议多媒体私有标识(internet protocol multimedia private identity,IMPI)。
步骤2:BSF接收到来自终端设备的承载TMPI的引导请求消息(Bootstrapping Request)后,从本地数据库中查询TMPI对应的IMPI,如果BSF无法找到对应的IMPI,那么BSF向终端设备发送一个错误消息,相应的,终端设备在接收到该错误消息之后,重新发送引导请求消息(Bootstrapping Request),该引导请求消息承载IMPI。
步骤3:BSF向HSS或者归属位置寄存器(home location register,HLR)发送认证向量请求消息,该认证向量请求消息承载IMPI或IMSI。可选的,该认证向量请求消息承载GBA用户安全设置(user security setting,USS)时间戳。
步骤4:HSS/HLR生成认证向量(authentication vector,AV)。AV包括=RAND||AUTN||XRES||CK||IK,其中RAND为随机数,AUTN为认证令牌(authentication token,AUTN),XRES为预期响应(eXpected response,XRES),CK为中间加密密钥,IK为中间完整性密钥,||表示级联操作。其中AV的生成如图3所示,CK、IK、和预期响应XRES都是基于终端设备的长期密钥K和随机数RAND生成的。
Figure PCTCN2020107992-appb-000001
其中AMF为认证管理域,SQN为序列号,终端设备和HSS均保存有SQN,AK为匿名密钥,MAC为消息认证码,
Figure PCTCN2020107992-appb-000002
表示异或操作,其中,MAC是基于SQN、K和AMF和随机数RAND生成的。HSS/HLR向BSF发送认证向量AV。如果HSS接收到GBA USS时间戳,HSS将该GBA USS时间戳与本地存储的时间戳进行比较,若两个时间戳不同,则HSS向BSF发送GBA USS。
步骤5:BSF向终端设备发送随机数RAND和认证令牌AUTN。
步骤6:终端设备根据接收到的RAND和本地保存的长期密钥、采用与HSS相同的方法,计算CK和IK,并采用与HSS计算XRES相同的方法生成响应RES;终端设备验证AUTN以确定接收的RAND和认证令牌AUTN来自真实的网络。
步骤7:终端设备向BSF发送基于RES生成的摘要AKA响应信息。
步骤8:BSF使用从HSS/HLR接收到的XRES验证摘要AKA响应信息。BSF生成共享密钥Ks=CK||IK。BSF根据随机数RAND和BSF的服务器名称生成引导交易标识(B-TID),如果BSF接收到的终端设备的消息中的用户代理请求头信息(user agent request-header field)中包括产品令牌(product token)"3gpp-gba-tmpi",则BSF生成TMPI。(终端设备在跟BSF通信时,总是在发送给BSF的消息中承载用户代理请求头信息中包括产品令牌"3gpp-gba-tmpi")。
步骤9:BSF向终端设备发送一个200OK消息,该消息承载引导交易标识(B-TID)。200OK消息用于指示BSF认证成功。
步骤10:终端设备可能生成TMPI。如果终端设备接收到的BSF的消息中的用户代理请求头信息中包括产品令牌"3gpp-gba-tmpi",则终端设备生成TMPI。(BSF在跟终端设备通信时,应总是在发送给终端设备的消息中承载用户代理请求头信息中包括产品令牌"3gpp-gba-tmpi")。终端设备和BSF采用相同的参数和方法生成TMPI。步骤11:终端设备本地有TMPI之后,终端设备如果再次发起引导请求流程,向BSF发送第二引导请求消息时,该第二引导请求消息承载TMPI。
GBA包括两种机制:基于通用集成电路卡增强的通用引导架构(GBA_U)和基于移动设备的通用引导架构(GBA_ME),在GBA_ME这种机制下,所有GBA相关的功能都由移动设备(mobile equipment,ME)进行,通用集成电路卡(universal integrated circuit card,UICC)不感知。在GBA_U这种机制下,所有GBA相关的功能有ME和UICC共同承担,上述引导流程同样适用于GBA_U这种机制,但是有如下修改:步骤5中,BSF根据GBA USS决定采用GBA_U机制。BSF根据接收到的认证向量AV中的消息认证码MAC获得MAC*,
Figure PCTCN2020107992-appb-000003
其中Trunc表示截取操作,SHA-1为安全散列算法1,根据MAC*确定AUTN*,其中
Figure PCTCN2020107992-appb-000004
然后BSF向终端设备发送随机数RAND和AUTN*。计算MAC*也可能使用其他的安全散列方法。步骤6中,ME将接收到的随机数RAND和AUTN*发送给UICC,UICC基于接收到的随机数RAND和本地存储的终端设备的长期密钥、采用与网络侧相同的方法计算CK和IK,并采用与HSS生成预期响应XRES相同的方法生成响应RES,UICC生成MAC,验证AUTN*,UICC并将RES发送给ME。
当终端设备希望与NAF进行通信,且终端设备和NAF协商使用GBA机制,则终端设备使用引导请求流程建立的安全关联进行通信,如图4所示,图4表示执行业务访问流程。具体如下:步骤1:终端设备根据引导请求流程中的共享密钥Ks生成NSK。终端设备向NAF发送应用请求(Application Request)消息,该应用请求消息承载引导交易标识(B-TID)。该应用请求消息基于特定密钥NSK进行安全保护。步骤2:NAF根据接收到的引导交易标识(B-TID)向BSF发送认证请求(Authentication Request)消息,该认证请求消息承载引导交易标识(B-TID)、以及NAF的标识(NAF_Id)。步骤3:BSF根据该引导交易标识(B-TID)找到对应的共享密钥Ks生成特定密钥NSK,然后将该特定密钥NSK发送给NAF。步骤4:NAF向终端设备发送应用响应消息,该响应消息使用特定密钥NSK进行安全保护。通过这样的方式NAF和终端设备之间就可以基于特定密钥NSK进行安全通信。
下面对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)国际移动用户识别码(international mobile subscriber identity,IMSI),用于标识终端设备,IMSI由移动国家代码(mobile country code,MCC),移动网络代码MCC(mobile network code,MNC),移动签约用户标识号码(mobile subscription identification number,MSIN)组成。MCC长度为3位,MNC长度由MCC的值决定,可以为2位或者3位,MSIN的值由运营商自行分配。例如,IMSI为310150123456789,其中MCC为310,MNC为150, MSIN为123456789。
(2)网际互连协议多媒体私有标识(internet protocol multimedia private identity,IMPI),用于标识终端设备。IMPI为使用IMSI推衍获得。IMPI的格式为"<IMSI>@ims.mnc<MNC>.mcc<MCC>.3gppnetwork.org"。例如,一个终端设备的IMSI为234150999999999(即MCC=234,MNC=15,MSIN=0999999999),则终端设备的IMPI为234150999999999@ims.mnc015.mcc234.3gppnetwork.org。
(3)临时网际互连协议多媒体私有标识(temporary internet protocol multimedia private identity,TMPI),用于标识终端设备。由终端设备和BSF各自生成。TMPI为TEMP@tmpi.bsf.3gppnetwork.org,其中TEMP生成参数包括:字符“gba-me”,随机数RAND,IMPI,CK||IK。
(4)NAF特定密钥NSK,用于保护终端设备和NAF之间的通信安全。特定密钥NSK生成的参数包括Ks(即CK||IK),字符“gba_me”或“gba_u”,随机数RAND,IMPI,和NAF的标识(NAF-Id)。当使用GBA_U时,则NSK的生成使用字符“gba_u”,否者使用字符“gba_me”。
(5)通用公共签约标识(generic public subscription identifier,GPSI),用于标识终端设备。GPSI包括:GPSI类型和GPSI值。GPSI类型为移动签约用户ISDN号码(MSISDN)类型或者外部标识(External Identifier)类型。当GPSI类型为MSISDN类型时,GPSI的值为MSISDN;当GPSI类型为External Identifier类型时,GPSI的值为External Identifier。MSISDN包括国家码(country code,CC)、国内目的代码(national destination code,NDC)和签约号码(subscriber number,SN)。External Identifier格式为username@realm,其中username为用户面,realm为域。
在上述GBA引导请求流程中,终端设备在首次进行引导请求流程时,向BSF发送IMPI,IMPI由终端设备的IMSI推衍而成。BSF如果在接收到终端设备发送的承载TMPI的引导请求消息时,没有在本地数据库中找到对应的IMPI,也会要求终端设备重新发送承载IMPI的引导请求消息。终端设备的IMSI属于隐私信息,也就是说IMPI包括隐私信息,通过上述的方法,会泄露终端设备的隐私。因此,为了解决上述问题,本申请提出了以下解决方案。
请参见图5,图5是本申请实施例提供的一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S501:终端设备生成第一引导请求消息、或第二引导请求信息。
一种示例中,该第一引导请求消息包括终端设备的第一标识、或、终端设备的第一标识和第一指示信息。在本申请实施例中,终端设备的第一标识也可以称为第一标识,终端设备的第二标识也可以称为第二标识。该第一标识为根据第二标识和标识保护密钥IPK生成的。第一标识不涉及终端设备的隐私,第二标识涉及终端设备的隐私。第二标识包括终端设备的签约永久标识(subscription permanent identifier,SUPI)、终端设备的网际互连协议多媒体私有标识IMPI、终端设备的国际移动用户识别码IMSI、终端设备的GPSI中的一项。
一种示例中,第一标识为根据第二标识和标识保护密钥(identity public key,IPK)生成的,比如第一标识为使用IPK对第二标识进行加密生成的。也就是说第一标识可以是加密后的终端设备的标识,第二标识可以是明文的终端设备的标识。在本申请实施例中,标识保护密钥IPK的一种可能性为网络测的公钥。标识保护密钥配置在HSS、和/或UDM、和/或BSF上。在一种示例中,SUPI*为终端设备的签约隐藏标识(subscription concealed identifier,SUCI)。假设第一标识为SUCI,第二标识为SUPI,第一标识SUCI为使用网络测的公钥对第二标识SUPI进行加密生成的。
在本申请实施例中,当第二标识为终端设备的SUPI时,则称第一标识为SUPI*;当第二标识为终端设备的IMPI时,则称第一标识为IMPI*;当第二标识为终端设备的IMSI时,则称第一标识为IMSI*,当第二标识为终端设备的GPSI时,则称第一标识为GPSI*。
在又一种示例中,该第一引导请求消息包括终端设备的第三标识、或、终端设备的第三标识和第一指示信息。在本申请实施例中,终端设备的第三标识可以称为第三标识。第三标识为终端设备的GPSI、或者为类型为External Identifier类型的GPSI;当第三标识为终端设备的GPSI时,则称第一标识为GPSI*。
在又一种示例中,第一指示信息用于指示BSF生成终端设备的第五标识(TMPI*)、或指示终端设备支持5g GBA、或指示BSF发送第一请求消息、或指示该终端设备为5G的终端设备、或指示进行5G GBA的认证和密钥协商。在本申请实施例中,终端设备的第五标识也可以称为第五标识。
在一种可能的实现中,第一指示信息为第一引导消息中的用户代理请求头信息中的用于标识5G的字符。可能地,用于标识5G的字符为包括“5”或“5g”的字符,比如是"3gpp-5gba-tmpi"或"3gpp-gba-5tmpi"或"3gpp-5g-gba-tmpi"或"3gpp-gba-5gtmpi"。
通过在第一引导请求消息中包括第一指示信息的方式,能够合理的利用资源。
在一种可能的实现方式中,若终端设备本地中有包括第五标识(TMPI*),则终端设备向BSF发送第二引导请求消息,该第二引导请求消息包括第五标识(TMPI*)、或、第五标识和第一指示信息。生成第五标识(TMPI*)所使用的参数包括TEMP*和BSF域名*,比如第五标识为TEMP*@BSF域名*。生成TEMP*使用的参数包括:随机数RAND、5G GBA密钥、终端设备的第二标识、BSF的标识、用于标识5G的字符中的一项或者多项。5G GBA密钥是基于CK、IK生成的,用于标识5G的字符可以为含有“5”和/或“5g”和/或“5g-gba”和/或“5g-gba-me”和/或“5g-gba-u”和/或“gba”和/或“5gba”和/或“5gba-me”和/或“5gba-u”和/或“5gba”的字符。BSF域名*可能包括含有用于标识5G的字符。
在一种可能的实现方式中,终端设备向BSF发送第一引导请求消息之前,终端设备根据第二标识和标识保护密钥(identity public key,IPK)生成第一标识,比如终端设备采用保护密钥IPK对第二标识进行加密生成第一标识。
在一种可能的实现方式中,终端设备向BSF发送第二引导请求消息之前,终端设备生成第五标识。生成第五标识采用的参数如上所述。
通过在第一引导请求消息或第二引导请求消息中包括第一标识的方式,相比在第一引导请求消息中直接携带第二标识,也就是终端设备的明文标识,能够避免终端设备的隐私信息被泄露,提高了通信的安全性。
步骤S502:终端设备向引导服务器功能BSF发送第一引导请求消息或第二引导请求消息。
具体地,第一引导请求消息包括以下中的任一项:第一标识、或第一标识和第一指示信息、或第三标识、或第三标识和第一指示信息。第二引导请求消息中包括第五标识、或第五标识和第一指示信息。
步骤S503:BSF接收来自终端设备的第一引导请求消息或第二引导请求消息。
具体地,该第一引导请求消息包括第一标识或第三标识,该第一标识为根据第二标识生成的。第三标识为终端设备的GPSI、或者为类型为External Identifier类型的GPSI。该第二引导请求消息包括第五标识。可选地,该第一引导请求消息或第二引导请求消息还包括第一指示信息。
步骤S504:BSF生成第一请求消息。
具体地,该第一请求消息包括第一标识或第二标识或第三标识,该第一请求消息用于获取终端设备的第一认证向量、或、用于调用HSS的第一认证服务,以获取终端设备的第一认证向量。
可选地,BSF生成第一请求消息之前,确定要生成第一请求消息或确定向HSS发送第一请求消息。BSF确定要生成第一请求消息或确定向HSS发送第一请求消息,可以是根据接收到的终端设备的第一标识或第三标识或第五标识或第一指示信息确定。
可选地,BSF根据第一标识或第三标识或第五标识或第一指示信息还可以确定生成第五标识(TMPI*)、或确定终端设备支持5g GBA、或确定终端设备为5G的终端设备、或确定进行5G GBA的认证和密钥协商。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF根据接收到的第一标识,以及IPK获取第二标识,并在第一请求消息中包括第二标识。BSF根据接收到的第一标识和IPK获取第二标识,可以是为BSF使用IPK解密第一标识获取第二标识。例如,假设第一标识为IMPI*,BSF根据第一标识以及IPK确定第二标识为IMPI。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF在第一请求消息中包括接收到的第一标识;在一种可能的实现方式中,如果BSF接收到第三标识,则BSF在第一请求消息中包括接收到的第三标识。
在一种可能的实现方式中,BSF在接收到第一标识之后,若BSF无法解密第一标识获取第二标识,则BSF向终端设备发送一个错误消息,该错误消息用于指示终端设备重新发送承载第一标识的第一引导请求消息、或者用于指示终端设备无法解密第一标识获取第二标识。相应的,终端设备在接收到该错误消息后,重新发送承载第一标识的第一引导请求消息。
在一种可能的实现中,如果BSF接收到第五标识,BSF确定与第五标识对应的第二标识,并在第一请求消息中包括第二标识。
步骤S505:BSF向归属签约用户服务器HSS设备发送第一请求消息。
具体地,该第一请求消息包括第一标识或第二标识或第三标识,该第一请求消息用于获取终端设备的第一认证向量、或用于调用HSS的第一认证服务以获取终端设备的第一认证向量。
步骤S506:HSS接收来自BSF的第一请求消息。
具体地,该第一请求消息包括第一标识或第二标识或第三标识。
步骤S507:HSS根据接收到的第一标识、或第二标识、或第三标识获取所述终端设备的第一认证向量。
在一种可能实现方式中,第一请求消息包括第二标识或第三标识,HSS根据第二标识或第三标识生成终端设备的第一认证向量。然后HSS直接进行步骤S511。终端设备的第一认证向量可能的实现方式见S508中的描述。
在又一种可能的实现方式中,第一请求消息包括第一标识,HSS根据第一标识和IPK获取第二标识,HSS根据第二标识生成终端设备的第一认证向量。然后HSS直接执行步骤S511。HSS根据第一标识和IPK获取第二标识,比如可以是HSS使用IPK解密第一标识,获取第二标识。
在一种可能实现方式中,HSS根据接收到的第一标识、或第二标识、或第三标识向统一数据管理(unified data management,UDM)发送第二请求消息。具体地,第二请求消息包括第一标识或第二标识或第三标识,第二请求消息用于请求UDM生成所述终端设备的第一认证向量、或、用于调用UDM的第一认证服务、以获取终端设备的第一认证向量。
在又一种可能的实现方式中,HSS根据接收到的第一标识,以及IPK,获取第二标识,然后HSS向UDM发送第二请求消息,第二请求消息包括获取的第二标识,以使所述UDM根据所述第二标识生成所述终端设备的第一认证向量。
步骤S508:UDM接收第二请求消息,根据第二请求消息中的第一标识或第二标识或第三标识生成第一认证向量。
具体地,UDM根据第一标识或第二标识或第三标识生成第一认证向量,可以为以下任一可能的实现方式。
在一种可能的实现方式中,UDM接收到第一标识,UDM根据第一标识和IPK,获取第二标识,比如UDM使用IPK解密第一标识获取第二标识,然后根据第二标识生成第一认证向量。可能地,UDM根据第一标识和IPK,获取第二标识,第二标识为SUPI,然后UDM根据SUPI生成第一认证向量。例如,假设第一标识为SUCI,UDM调用签约标识去隐藏功能(single network slice selection assistance information,SIDF)对SUCI去隐藏,获得SUPI,UDM根据SUPI生成终端设备的第一认证向量。假设第一标识为IMPI*,UDM根据IMPI*和IPK获取IMPI。进一步地,UDM还根据IMPI获取SUPI,并根据SUPI生成终端设备的第一认证向量。假如第一标识为IMSI*,则UDM根据IMSI*和IPK获取IMSI。进一步地,UDM还根据IMSI生成SUPI,并根据SUPI生成终端设备的第一认证向量。若第一标识为GPSI*,则UDM根据GPSI*和IPK获取GPSI,根据GPSI获取SUPI,并根据SUPI生成终端设备的第一认证向量。
在一种可能的实现方式中,UDM接收到第二标识,UDM根据第二标识生成第一认证向量。可能地,假设第二标识为IMSI,则UDM根据IMSI生成SUPI,并根据SUPI生成终端设备的第一认证向量。假设第二标识为IMPI,则UDM根据IMPI生成SUPI,并根据SUPI生成终端设备的第一认证向量。
在一种可能的实现方式中,UDM接收到第三标识,UDM根据第三标识生成第一认证 向量。可能地,假设第三标识为GPSI,UDM根据GPSI获取对应的SUPI,UDM根据SUPI生成终端设备的第一认证向量。
第一认证向量有以下任一可能的实现方式。一种可能的实现方式中第一认证向量可以为认证向量AV,其中,AV=RAND||AUTN||XRES||CK和||IK,RAND为随机数,AUTN为认证令牌,XRES表示预期响应,CK为中间加密密钥,IK为中间完整性密钥。具体可以如上所述,此处不再赘述。第一认证向量还可以为UDM使用5G认证和密钥管理的改进可扩展认证协议(improved extensible authentication protocol method for 3rd generation authentication and key agreement,EAP-AKA′)的方式生成EAP-AKA′对应的EAP-AKA’认证向量,EAP-AKA′认证向量包括随机数RAND、认证凭证AUTN、XRES、第一中间加密密钥CK′和第一中间完整性密钥IK′,第一中间加密密钥CK′和第一中间完整性密钥IK′的生成参数包括中间加密密钥CK、中间完整性密钥IK、序列号SQN、匿名密钥AK和服务网络名称SN-Name,服务网络名称SN-Name由UDM生成的,或者由HSS发送的。服务网络名称SN-Name包括服务代码service code和服务网络标识SN-Id,服务网络标识SN-Id包括移动国家代码MCC和移动网络代码MNC,其中,在一种示例中,MCC=000,MNC=00,MNC=000;在又一种示例中MCC=999,MNC=99或者MNC=999。服务代码service code为包括“5g”和/或“gba”字符串。
步骤S509:UDM向HSS发送第二响应消息。
具体地,第二响应消息包括第一认证向量、或、第一认证向量和第二标识。
步骤S510:HSS接收来自UDM的第二响应消息。
具体地,第二响应信息包括第一认证向量、或、第一认证向量和第二标识。
步骤S511:HSS向BSF发送第一响应消息。
具体地,该第一响应消息包括第一认证向量、或、第一认证向量和第二标识。可选的,该第一响应消息包括第一指示信息,第一指示信息用于指示BSF生成终端设备的第五标识(TMPI*)、或指示终端设备支持5g GBA、或指示该终端设备为5G的终端设备、或指示进行5G GBA的认证和密钥协商。
步骤S512:BSF接收来自HSS的第一响应消息。
步骤S513:BSF向终端设备发送接收到的随机数RAND和认证令牌AUTN、或者、接收到到的随机数RAND和根据接收到的认证令牌AUTN生成的AUTN*。
具体地,若BSF决定采用GBA_U机制,则BSF向终端设备发送随机数RAND和认证令牌AUTN*。
步骤S514:终端设备接收来自BSF的随机数RAND和认证令牌AUTN,或者随机函数RAND和认证令牌AUTN*。终端设备验证AUTN或者AUTN*确定此消息来自授权的网络。
步骤S515:终端设备向BSF发送基于RES生成的认证响应信息。
步骤S516:BSF验证认证响应信息,并向终端设备发送验证认证响应信息的结果。
在一种可能的实现方式中,BSF向终端设备发送验证认证响应信息的结果之前,BSF生成第五标识;或者BSF根据第一响应消息中的第一指示信息或第一引导请求消息中的第一指示信息,生成第五标识(TMPI*)。第五标识包括的内容的描述见步骤S501中的描述, 此处不再赘述。BSF保存第五标识和第二标识的对应关系。该对应关系用于,当BSF接收到包括第五标识的第二引导请求消息时,BSF根据该对应关系,确定第五标识对应的第二标识。
在一种可能的实现方式中,BSF生成第五标识之后,BSF向终端设备发送该第五标识。
在又一种可能的实现方式中,BSF向终端设备发送验证认证响应信息的结果之前,BSF生成第一引导交易标识信息(B-TID*)。具体地,该第一引导交易标识信息(B-TID*)用于标识所述终端设备和所述BSF进行的引导交易。生成B-TID*所使用的参数包括:随机数RAND、5G GBA密钥、第二标识、BSF的标识、用于标识5G的字符中的一项或者多项。5G GBA密钥是基于CK、IK生成的,用于标识5G的字符可以为含有“5”和/或“5g”和/或“5g-gba”和/或“5g-gba-me”和/或“5g-gba-u”和/或“gba”和/或“5gba”和/或“5gba-me”和/或“5gba-u”和/或“5gba”的字符。
在又一种可能的实现方式中,BSF根据用于标识5G的字符生成第一引导交易标识信息(B-TID*)之后,BSF向终端设备发送第一引导交易标识信息(B-TID*)。
步骤S517:终端设备获取第一引导交易标识信息(B-TID*)和/或第五标识(TMPI*)。
具体地,第一引导交易标识信息(B-TID*)和第五标识(TMPI*)的如上所述,此处不再赘述。
在一种可能的实现方式中,终端设备接收来自BSF的第一引导交易标识信息(B-TID*)和/或第五标识(TMPI*)。
在又一种可能的实现方式中,终端设备生成第一引导交易标识信息(B-TID*)和/或终端设备的第五标识(TMPI*)。第一引导交易标识信息(B-TID*)和第五标识(TMPI*)生成所采用的参数如上所述,此处不再赘述。
步骤S518:可选地,终端设备向网络应用功能NAF发送应用请求消息。
具体地,该应用请求消息包括第一引导交易标识信息(B-TID*)。
步骤S519:NAF接收来自终端设备的应用请求消息。
具体地,NAF接收来自终端设备的应用请求消息之后,NAF可以根据第一引导交易标识信息(B-TID*)中承载的BSF域名*,确定与终端设备进行引导请求流程的BSF,并从该BSF获取用于和终端设备进行安全通信的密钥。
请参见图6,图6是本申请实施例提供的又一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S601—步骤S606可以参考步骤S501—步骤S506,此处不再赘述。
步骤S607:HSS向认证服务器功能(authentication server function,AUSF)发送第三请求消息。
具体地,第三请求消息包括第一标识或第二标识或第三标识。第三请求消息用于请求终端设备的第一认证向量、或用于调用AUSF的第一认证服务以获取终端设备的第一认证向量、或用于所述AUSF向UDM发送第四请求消息以使UDM生成所述终端设备的第一认证向量。
步骤S608:AUSF接收来自HSS的第三请求消息。
步骤S609:AUSF向UDM发送第四请求消息。
具体地,第四请求消息包括第一标识或第二标识或第三标识,第四请求消息用于UDM生成终端设备的第一认证向量、或用于调用UDM的第一认证服务以生成终端设备的第一认证向量。
步骤S610:UDM接收第四请求消息,根据第一标识或第二标识或第三标识生成第一认证向量。
具体地,UDM根据第一标识或第二标识或第三标识生成第一认证向量,具体可以参考步骤S508中描述的UDM根据第一标识或第二标识或第三标识生成第一认证向量的描述,此处不再赘述。其中,UDM生成第一认证向量所需的服务网络名称SN-Name可以由UDM生成的,或者由HSS通过AUSF发送给UDM的。如果服务网络名称SN-name由HSS通过AUSF发送给UDM,则HSS在第三请求消息中还有携带服务网络名称SN-name。AUSF在第四请求消息中携带该服务网络名称SN-name。
步骤S611:UDM向AUSF发送第四响应信息。
具体地,第四响应信息包括第一认证向量、或第一认证向量和第二标识。
步骤S612:AUSF接收来自UDM的第四响应消息。
步骤S613:AUSF向HSS发送第三响应消息。
具体地,第三响应消息包括第一认证向量、或第一认证向量和第二标识。
步骤S614:HSS接收来自AUSF的第三响应消息。
具体地,第三响应消息包括第一认证向量、或、第一认证向量和第二标识。
步骤S615—步骤S623可以参考步骤S511—步骤S519,此处不再赘述。
请参见图7,图7是本申请实施例提供的又一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S701—步骤S703可以参考步骤S501—步骤S503,此处不再赘述。
步骤S704:BSF生成第五请求消息。
具体地,第五请求消息包括第一标识或第二标识或第三标识。第五请求消息用于获取终端设备的第一认证向量、或用于调用UDM的第一认证服务以获取终端设备的第一认证向量。
可选地,BSF在生成第五请求消息之前,确定要生成第五请求消息或确定向UDM发送第五请求消息。BSF确定要生成第五请求消息或确定向UDM发送第五请求消息,可以是根据接收到的第一标识或第三标识或第五标识或第一指示信息确定。
可选地,BSF根据第一标识或第三标识或第五标识或第一指示信息还可以确定生成第五标识(TMPI*)、或确定终端设备支持5g GBA、或确定终端设备为5G的终端设备、或确定进行5G GBA的认证和密钥协商。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF根据接收到的第一标识,以及IPK获取第二标识,并在第五请求消息中包括第二标识。BSF根据接收到的第一标识和IPK获取第二标识,可以是为BSF使用IPK解密第一标识获取第二标识。例如,假设第一标识为IMPI*,BSF根据第一标识以及IPK确定第二标识为IMPI。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF在第五请求消息中包括接收到的第一标识;在一种可能的实现方式中,如果BSF接收到第三标识,则BSF在第五请求消息中包括接收到的第三标识;
在一种可能的实现方式中,BSF在接收到第一标识之后,若BSF无法解密第一标识获取第二标识,则BSF向终端设备发送一个错误消息,该错误消息用于指示终端设备重新发送承载第一标识的第一引导请求消息、或者用于指示终端设备无法解密第一标识获取第二标识。相应的,终端设备在接收到该错误消息后,重新发送承载第一标识的第一引导请求消息。
在一种可能的实现中,如果BSF接收到第五标识,BSF确定与第五标识对应的第二标识,并在第五请求消息中包括第二标识。
步骤S705:BSF向UDM发送第五请求消息。
具体地,第五请求消息包括第一标识或第二标识或第三标识。
步骤S706:UDM接收第五请求消息,根据第一标识或第二标识或第三标识生成第一认证向量。
具体地,UDM根据第一标识或第二标识或第三标识生成第一认证向量,具体可以参考步骤S508中描述的UDM根据第一标识或第二标识或第三标识生成第一认证向量的描述,此处不再赘述。其中SN-name还可以是BSF生成并发送给UDM的、或者由UDM生成的,当BSF向UDM发送SN-name,SN-name可以是携带在第五请求消息中。SN-name所包括的内容具体见步骤S508。
步骤S707:UDM向BSF发送第五响应消息。
具体地,第五响应消息包括第一认证向量、或第一认证向量和第二标识。
步骤S708:BSF接收来自UDM的第五响应消息。
具体地,第五响应消息包括第一认证向量、或第一认证向量和第二标识。
在一种可能的实现方式中,BSF接收来自UDM的第五响应消息之后,BSF生成第五标识(TMPI*)、或者BSF根据第一指示信息生成第五标识(TMPI*)。第五标识所包括的内容具体见步骤S512,此处不再赘述。BSF保存第五标识和第二标识的对应关系。该对应关系用于,当BSF接收到包括第五标识的第二引导请求消息时,BSF根据该对应关系,确定第五标识对应的第二标识。
在一种可能的实现方式中,BSF生成终端设备的第五标识(TMPI*)之后,BSF向终端设备发送该第五标识。
在又一种可能的实现方式中,BSF接收来自UDM的第五响应消息之后,BSF生成第一引导交易标识信息(B-TID*)。具体地,该第一引导交易标识信息(B-TID*)用于标识所述终端设备和所述BSF进行的引导交易。生成B-TID*所使用的参数见步骤S512中的描述。
在又一种可能的实现方式中,BSF生成第一引导交易标识信息(B-TID*)之后,BSF向终端设备发送第一引导交易标识信息(B-TID*)。
步骤S709—步骤S715可以参考步骤S513—步骤S519,此处不再赘述。
请参见图8,图8是本申请实施例提供的又一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S801—步骤S803可以参考步骤S501—步骤S503。
步骤S804:BSF生成第六请求消息。
步骤S805:BSF向AUSF发送第六请求消息。
具体地,第六请求消息包括第一标识或第二标识或第三标识,该第六请求消息用于请求终端设备的第一认证向量、或用于调用AUSF的第一认证服务以获取终端设备的第一认证向量、或用于ASUF向BSF发送第七请求消息以使UDM生成终端设备的第一认证向量。
可选地,BSF在向AUSF发送第六请求消息之前,确定向AUSF发送第六请求消息。BSF确定向AUSF发送第六请求消息,可以是根据接收到的第一标识或第三标识或第五标识或第一指示信息确定。
可选地,BSF根据第一标识或第三标识或第五标识或第一指示信息还可以确定生成第五标识(TMPI*)、或确定终端设备支持5g GBA、或确定终端设备为5G的终端设备、或确定进行5G GBA的认证和密钥协商。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF根据接收到的第一标识,以及IPK获取第二标识,并在第六请求消息中包括第二标识。BSF根据接收到的第一标识和IPK获取第二标识,可以是为BSF使用IPK解密第一标识获取第二标识。例如,假设第一标识为IMPI*,BSF根据第一标识以及IPK确定第二标识为IMPI。
在一种可能的实现方式中,如果BSF接收到第一标识,则BSF在第六请求消息中包括接收到的第一标识;在一种可能的实现方式中,如果BSF接收到第三标识,则BSF在第六请求消息中包括接收到的第三标识;
在一种可能的实现方式中,BSF在接收到第一标识之后,若BSF无法解密第一标识获取第二标识,则BSF向终端设备发送一个错误消息,该错误消息用于指示终端设备重新发送承载第一标识的第一引导请求消息、或者用于指示终端设备无法解密第一标识获取第二标识。相应的,终端设备在接收到该错误消息后,重新发送承载第一标识的第一引导请求消息。
在一种可能的实现中,如果BSF接收到第五标识,BSF确定与第五标识对应的第二标识,并在第六请求消息中包括第二标识。
步骤S806:AUSF接收BSF的第六请求消息。
步骤S807:AUSF向UDM发送第七请求消息。
具体地,第七请求消息包括第一标识或第二标识或第三标识,第七请求消息用于请求终端设备的第一认证向量、或用于调用UDM的第一认证服务以生成终端设备的第一认证向量。
步骤S808:UDM接收第七请求消息,根据第一标识或第二标识或第三标识生成第一认证向量。
UDM根据第一标识或第二标识或第三标识生成第一认证向量具体可以参考步骤S508中的,对UDM根据第一标识或第二标识或第三标识生成第一认证向量的描述,此处不再赘述。其中,UDM生成第一认证向量所需的业务节点名称SN-Name可以由UDM生成的、 或者由AUSF生成并发送给UDM的、或者由BSF生成并通过AUSF发送给UDM的。SN-name所包括的内容具体见步骤S508。BSF根据第一标识或第三标识或第五标识或第一指示信息,确定生成SN-name。BSF向AUSF发送SN-name,SN-name可以是携带在第六请求消息中。AUSF向UDM发送SN-name,SN-name可以是携带在第七请求消息中。
步骤S809:UDM向AUSF发送第七响应消息。
具体地,第七响应消息包括终端设备的第一认证向量、或第一认证向量和第二标识。
步骤S810:AUSF接收来自UDM的第七响应消息。
步骤S811:AUSF向BSF发送第六响应消息。
具体地,第六响应消息包括终端设备的第一认证向量、或第一认证向量和第二标识。
步骤S812:BSF接收来自AUSF的第六响应消息。
在一种可能的实现方式中,BSF接收来自AUSF的第六响应消息之后,BSF生成第五标识、或者BSF根据第一指示信息生成第五标识(TMPI*)。第五标识所包括的内容具体见步骤S512,此处不再赘述。BSF保存第五标识和第二标识的对应关系。该对应关系用于,当BSF接收到包括第五标识的第二引导请求消息时,BSF根据该对应关系,确定第五标识对应的第二标识。
在一种可能的实现方式中,BSF生成第五标识(TMPI*)之后,BSF向终端设备发送该第五标识。
在又一种可能的实现方式中,BSF接收来自AUSF的第六响应消息之后,BSF生成第一引导交易标识信息(B-TID*)。具体地,该第一引导交易标识信息(B-TID*)用于标识所述终端设备和所述BSF进行的引导交易。生成B-TID*所使用的参数见步骤S512中的描述。
在又一种可能的实现方式中,BSF生成第一引导交易标识信息(B-TID*)之后,BSF向终端设备发送第一引导交易标识信息(B-TID*)。
步骤S813—步骤S819可以参考步骤S513—步骤S519,此处不再赘述。
请参见图9,图9是本申请实施例提供的又一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S901—步骤S903参考步骤S501—步骤S503,此处不再赘述。
步骤S904:BSF生成第八请求消息。
具体地,第八请求消息包括BSF接收到的第一标识或第三标识。第八请求消息用于获取终端设备的第一认证向量、或、用于调用HSS的第一认证服务,以获取终端设备的第一认证向量。
可选地,BSF生成第八请求消息之前,确定要生成第八请求消息或确定向HSS发送第八请求消息。BSF确定要生成第八请求消息或确定向HSS发送第八请求消息,可以是根据接收到的终端设备的第一标识或第三标识或第五标识或第一指示信息确定。
可选地,BSF根据第一标识或第三标识或第五标识或第一指示信息还可以确定生成第五标识(TMPI*)、或确定终端设备支持5g GBA、或确定终端设备为5G的终端设备、或确定进行5G GBA的认证和密钥协商。
在一种可能的实现方式中,BSF在接收到第一标识之后,若BSF无法解密第一标识获取第二标识,则BSF向终端设备发送一个错误消息,该错误消息用于指示终端设备重新发送承载第一标识的第一引导请求消息、或者用于指示终端设备无法解密第一标识获取第二标识。相应的,终端设备在接收到该错误消息后,重新发送承载第一标识的第一引导请求消息。
步骤S905:BSF向HSS发送第八请求消息。
具体地,第八请求消息包括第一标识或第三标识。
步骤S906:HSS接收来自BSF的第八请求消息。
具体地,第八请求消息包括BSF接收到的第一标识或第三标识。
步骤S907:HSS向UDM发送第九请求消息。
具体地,第九请求消息包括接收到的第一标识或第三标识。第九请求消息用于请求获取第二标识。
步骤S908:UDM接收来自HSS的第九请求消息。
具体地,第九消息包括第一标识或第三标识。
具体地,UDM接收第一标识或第三标识之后,获取第二标识。在一种可能的实现方式中,如果UDM接收到第三标识,UDM找到第三标识对应的SUPI。在有一种可能的实现方式中,如果UDM接收到第一标识,则UDM根据IPK和第一标识,获取第二标识,比如UDM使用IPK解密第一标识获取第二标识。
步骤S909:UDM向HSS发送第九响应消息。
具体地,第九响应消息包括第二标识,第二标识用于HSS生成第一认证向量。
步骤S910:HSS接收第九响应消息,根据接收到的第二标识生成第一认证向量。
具体第一认证向量的可能的实现方式如步骤S508所述,此处不再赘述。
步骤S911—步骤S919可以参考步骤S511—步骤S519,此处不再赘述。
在该实施例中,HSS和UDM之间的通信可以通过AUSF,此处不再赘述。
请参见图10,图10是本申请实施例提供的又一种通用引导架构中的方法,该方法包括但不限于如下步骤:
步骤S1001—步骤S1003可以参考步骤S501—步骤S503,此处不再赘述。
步骤S1004:如果BSF接收到第一标识或第三标识,BSF生成第十请求消息。
具体地,第十请求消息包括第一标识或第三标识,该第十请求消息用于请求获取终端设备的第二标识。
步骤S1005:BSF向UDM发送第十请求消息。
具体地,第十请求消息包括第一标识或第三标识。
步骤S1006:UDM接收来自BSF的第十请求消息。
具体地,第十请求消息包括第一标识或第三标识。UDM接收到第一标识或第三标识之后,获取第二标识,具体见S908中UDM根据第一标识或第三标识获取第二标识的描述。
步骤S1007:UDM向BSF发送第十响应消息。
具体地,第十响应消息包括第二标识。
步骤S1008:BSF接收来自UDM的第十响应消息。
具体地,第十响应消息包括第二标识。
步骤S1009:BSF向HSS发送第十一请求消息。
具体地,第十一请求消息包括第二标识,该第十一请求消息用于请求获取终端设备的第一认证向量、或用于调用HSS的第一认证服务以获取终端设备的第一认证向量,该第十一请求消息包括第二标识。
步骤S1010:HSS接收来自BSF的第十一请求消息,根据第二标识生成第一认证向量。
具体地,第一认证向量的可能的实现方式,见步骤S508中的描述,此处不再赘述。
步骤S1011:HSS向BSF发送第十一响应消息。
具体地,该第十一响应消息包括第一认证向量、或第一认证向量和第二标识。
步骤S1012:BSF接收来自HSS的第十一响应消息。
一种可能的实现方式中,BSF接收来自HSS的第十一响应消息之后,BSF生成第五标识、或者BSF根据第一指示信息生成第五标识(TMPI*)。第五标识的相关内容具体见步骤S512,此处不再赘述。BSF保存第五标识和第二标识的对应关系。该对应关系用于,当BSF接收到包括第五标识的第二引导请求消息时,BSF根据该对应关系,确定第五标识对应的第二标识。在一种可能的实现方式中,BSF生成第五标识(TMPI*)之后,BSF向终端设备发送该第五标识。
在又一种可能的实现方式中,BSF接收来自HSS的第十一响应消息之后,BSF生成第一引导交易标识信息(B-TID*)。具体地,该第一引导交易标识信息(B-TID*)用于标识所述终端设备和所述BSF进行的引导交易。生成B-TID*所使用的参数见步骤S512,此处不再赘述。
步骤S1013—步骤S1019可以参考步骤S513—步骤S519,此处不再赘述。
在该实施例中,BSF和UDM之间的通信可以通过AUSF,此处不再赘述。
上述详细阐述了本申请实施例的方法,下面提供了本申请实施例的装置。
请参见图11,图11是本申请实施例提供的一种通用引导架构中的装置1100的结构示意图,该通用引导架构中的装置1100可以包括接收单元1101、处理单元1102和发送单元1103,其中,各个单元的详细描述如下。
接收单元1101,用于接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
处理单元1102,用于生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
发送单元1103,用于向归属签约用户服务器网元发送所述第一请求消息;
所述接收单元1101,还用于接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
在一种可能的实现方式中,所述处理单元,还用于解密所述第一标识,获取所述第二标识。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识。
在一种可能的实现方式中,所述处理单元1102,还用于在接收来自所述归属签约用户服务器网元的第一响应消息之后,根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符,生成所述终端设备的第五标识。
在一种可能的实现方式中,所述发送单元1103,还用于向所述终端设备发送所述第五标识;和/或
所述接收单元1101,还用于接收来自所述终端设备的第二引导请求消息,所述第二引导请求消息包括所述第五标识;
所述处理单元,用于确定与所述第五标识对应的所述第二标识。
在一种可能的实现方式中,所述接收单元1101,还用于接收第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述第五标识;
所述接收单元1101,还用于接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括第一指示信息;或者
所述接收单元1101,还用于接收来自所述终端设备的第一引导请求消息,所述第一引导请求消息包括所述第一指示信息。
在一种可能的实现方式中,所述处理单元1102,还用于根据用于标识5G的字符生成第一引导交易标识信息,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易。
在一种可能的实现方式中,所述发送单元1103,还用于在根据用于标识5G的字符生成第一引导交易标识信息之后,向所述终端设备发送所述第一引导交易标识信息。
关于第四方面或各种可选的实现方式所带来的技术效果,可参考对于第一方面或相应的实施方式的技术效果的介绍。
需要说明的是,各个单元的实现及有益效果还可以对应参照图5所示的方法实施例的相应描述。
请参见图12,图12是本申请实施例提供的一种通用引导架构中的装置1200的结构示意图,该装置1200可以包括接收单元1201、处理单元1202和发送单元1203,其中,各个单元的详细描述如下。
接收单元1201,用于接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
处理单元1202,用于根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量。
发送单元1203,用于向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
在一种可能的实现方式中,所述发送单元1203,还用于向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第一标识或所述第二标识,以使所述统一数据管理网元根据所述第一标识或所述第二标识生成所述终端设备的第一认证向量;所述接收单元 1201,还用于接收来自所述统一数据管理网元的第二响应消息,所述第二响应消息包括所述第一认证向量。
在一种可能的实现方式中,所述第二响应消息包括所述第二标识。
在一种可能的实现方式中,所述第一请求消息包括所述第二标识,所述处理单元1202,还用于根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一请求消息包括所述第一标识,所述处理单元1202,还用于解密所述第一标识,获取所述第二标识;根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述处理单元1202,还用于解密所述第一标识,获取所述第二标识;所述发送单元1203,还用于向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第二标识,以使所述统一数据管理网元根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识;和/或所述第一响应消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
需要说明的是,各个单元的实现及有益效果还可以对应参照图5所示的方法实施例的相应描述。
请参见图13,图13是本申请实施例提供的一种通用引导架构中的装置1300的结构示意图,该装置1300可以包括处理单元1301、发送单元1302和接收单元1303,其中,各个单元的详细描述如下。
处理单元1301,用于生成第一引导请求消息,所述第一引导请求消息包括所述装置的第一标识,所述第一标识为根据所述装置的第二标识和标识保护密钥IPK生成的;
发送单元1302,用于向引导服务器功能网元发送所述第一引导请求消息;
接收单元1303,用于接收来自引导服务器功能网元的用于请求装置进行认证的引导响应消息;
处理单元1301,用于获取第一引导交易标识信息和/或所述装置的第五标识,所述第一引导交易标识信息用于标识所述设备和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
在一种可能的实现方式中,所述接收单元1303,还用于接收来自所述引导服务器功能网元的所述第一引导交易标识信息和/或所述设备的第五标识。
在一种可能的实现方式中,所述生成单元1301,还用于根据用于标识5G的字符生成所述第一引导交易标识信息和/或所述装置的第五标识。
在一种可能的实现方式中,所述发送单元1302,还用于在获取所述设备的第五标识之后,向所述引导服务器功能网元发送第二引导请求消息,所述第二引导请求消息包括所述第五标识。
在一种可能的实现方式中,所述第一引导请求消息包括第一指示信息,所述第一指示 信息用于指示所述引导服务器功能网元生成所述装置的第五标识。
在一种可能的实现方式中,所述发送单元1302,还用于在获取第一引导交易标识信息之后,向网络应用功能网元发起应用请求消息,所述应用请求消息包括所述第一引导交易标识信息。
需要说明的是,各个单元的实现及有益效果还可以对应参照图5所示的方法实施例的相应描述。
请参见图14,图14是本发明实施例提供的一种通用引导架构中的装置1400,该装置1400包括至少一个处理器1401和收发器1403。可选的,还包括存储器1402,所述处理器1401、存储器1402和收发器1403通过总线1404相互连接。
存储器1402包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器1402用于相关指令及数据。收发器1403用于接收和发送数据。
处理器1401可以是一个或多个中央处理器(central processing unit,CPU),在处理器401是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该装置1400中的处理器1401用于读取所述存储器1402中存储的计算机程序,执行以下操作:
通过所述收发器1403接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
通过所述收发器1403向归属签约用户服务器网元发送所述第一请求消息;
通过所述收发器1403接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
在一种可能的实现方式中,第一请求消息包括所述第二标识,所述处理器1401,还用于在生成第一请求消息之前,解密所述第一标识,获取所述第二标识。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识。
在一种可能的实现方式中,所述处理器1401,还用于通过所述收发器1403接收来自所述归属签约用户服务器网元的第一响应消息之后,根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符,生成所述终端设备的第五标识。
在一种可能的实现方式中,所述处理器1401,还用于通过所述收发器1403向所述终端设备发送所述第五标识;和/或通过所述收发器1403接收来自所述终端设备的第二引导请求消息,所述第二引导请求消息包括所述第五标识;确定与所述第五标识对应的所述第二标识。
在一种可能的实现方式中,所述处理器1401,还用于通过所述收发器1403接收第一指示信息,所述第一指示信息用于指示所述设备生成所述第五标识;
所述处理器1401,还用于通过所述收发器1403接收来自所述归属签约用户服务器网 元的第一响应消息,所述第一响应消息包括第一指示信息;或者
所述处理器1401,还用于通过所述收发器1403接收来自所述终端设备的第一引导请求消息,所述第一引导请求消息包括所述第一指示信息。
在一种可能的实现方式中,所述处理器1401,还用于根据用于标识5G的字符生成第一引导交易标识信息,所述第一引导交易标识信息用于标识所述终端设备和所述设备进行的引导交易。
在一种可能的实现方式中,所述处理器1401,还用于在根据用于标识5G的字符生成第一引导交易标识信息之后,通过所述收发器1403向所述终端设备发送所述第一引导交易标识信息。
需要说明的是,各个操作的实现及有益效果可以对应参照图5所示的方法实施例的相应描述。
请参见图15,图15是本发明实施例提供的一种通用引导架构中的装置1500,该装置1500包括至少一个处理器1501和收发器1503。可选的,还包括存储器1502,所述处理器1501、存储器1502和收发器1503通过总线1504相互连接。
存储器1502包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器1502用于相关指令及数据。收发器1503用于接收和发送数据。
处理器1501可以是一个或多个中央处理器(central processing unit,CPU),在处理器401是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该装置1500中的处理器1501用于读取所述存储器1502中存储的计算机程序,执行以下操作:
通过所述收发器1503接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量。
通过所述收发器1503向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
在一种可能的实现方式中,所述处理器1501,用于通过所述收发器1503向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第一标识或所述第二标识,以使所述统一数据管理网元根据所述第一标识或所述第二标识生成所述终端设备的第一认证向量;接收来自所述统一数据管理网元的第二响应消息,所述第二响应消息包括所述第一认证向量。
在一种可能的实现方式中,所述第二响应消息包括所述第二标识。
在一种可能的实现方式中,所述第一请求消息包括所述第二标识,所述处理器1501,用于根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一请求消息包括所述第一标识,所述处理器1501, 用于解密所述第一标识,获取所述第二标识;根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述处理器1501,用于解密所述第一标识,获取所述第二标识;通过所述收发器1503向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第二标识,以使所述统一数据管理网元根据所述第二标识生成所述终端设备的第一认证向量。
在一种可能的实现方式中,所述第一响应消息包括所述第二标识;和/或所述第一响应消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
需要说明的是,各个操作的实现及有益效果还可以对应参照图5所示的方法实施例的相应描述。
请参见图16,图16是本发明实施例提供的一种通用引导架构中的装置1600,该装置1600包括至少一个处理器1601和收发器1603。可选的,还包括存储器1602,所述处理器1601、存储器1602和收发器1603通过总线1604相互连接。
存储器1602包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM),该存储器1602用于相关指令及数据。收发器1603用于接收和发送数据。
处理器1601可以是一个或多个中央处理器(central processing unit,CPU),在处理器401是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该装置1600中的处理器1601用于读取所述存储器1602中存储的计算机程序,执行以下操作:
生成第一引导请求消息,所述第一引导请求消息包括所述装置的第一标识,所述第一标识为根据所述装置的第二标识和标识保护密钥IPK生成的;
通过所述收发器1603向引导服务器功能网元发送所述第一引导请求消息;
通过所述收发器1603接收来自引导服务器功能网元的用于请求装置进行认证的引导响应消息;
获取第一引导交易标识信息和/或所述装置的第五标识,所述第一引导交易标识信息用于标识所述装置和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
在一种可能的实现方式中,所述处理器1601,用于通过所述收发器1603接收来自所述引导服务器功能网元的所述第一引导交易标识信息和/或所述装置的第五标识。
在一种可能的实现方式中,所述处理器1601,用于根据用于标识5G的字符生成所述第一引导交易标识信息和/或所述装置的第五标识。
在一种可能的实现方式中,所述处理器1601,还用于在获取所述装置的第五标识之后,通过所述收发器1603向所述引导服务器功能网元发送第二引导请求消息,所述第二引导请 求消息包括所述第五标识。
在一种可能的实现方式中,所述第一引导请求消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述装置的第五标识。
在一种可能的实现方式中,所述处理器1601,还用于在获取第一引导交易标识信息之后,通过收发器1603向网络应用功能装置发起应用请求消息,所述应用请求消息包括所述第一引导交易标识信息。
需要说明的是,各个操作的实现及有益效果还可以对应参照图5所示的方法实施例的相应描述。
结合上述任意一个方面或者任意一个方面的任意一种可能的实现方式,在一种可能的实现方式中,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
本申请实施例还提供一种芯片系统,所述芯片系统包括至少一个处理器,存储器和接口电路,所述存储器、所述收发器和所述至少一个处理器通过线路互联,所述至少一个存储器中存储有指令;所述指令被所述处理器执行时,图5所示的方法流程得以实现。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在引导服务器功能网元/归属签约用户服务器网元/终端设备上运行时,图5所示的方法流程得以实现。
本申请实施例还提供一种计算机程序产品,当所述计算机程序产品在引导服务器功能网元/归属签约用户服务器网元/终端设备上运行时,图5所示的方法流程得以实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。

Claims (49)

  1. 一种通用引导架构中的方法,其特征在于,包括:
    引导服务器功能网元接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
    所述引导服务器功能网元生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
    所述引导服务器功能网元向归属签约用户服务器网元发送所述第一请求消息;
    所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
  2. 根据权利要求1所述的方法,其特征在于,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的任一项。
  3. 根据权利要求1或2所述的方法,其特征在于,所述第一请求消息包括所述第二标识,所述引导服务器功能网元生成第一请求消息之前,所述方法还包括:
    所述引导服务器功能网元解密所述第一标识,获取所述第二标识。
  4. 根据权利要求1-3任一项所述的方法,其特征在于,
    所述第一响应消息包括所述第二标识。
  5. 根据权利要求1-4任一项所述的方法,其特征在于,所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息之后,所述方法还包括:
    所述引导服务器功能网元根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符,生成所述终端设备的第五标识。
  6. 根据权利要求5所述的方法,其特征在于,所述方法还包括:
    所述引导服务器功能网元向所述终端设备发送所述第五标识;和/或
    所述引导服务器功能网元接收来自所述终端设备的第二引导请求消息,所述第二引导请求消息包括所述第五标识;
    所述引导服务器功能网元确定与所述第五标识对应的所述第二标识。
  7. 根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
    所述引导服务器功能网元接收第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述第五标识;
    所述引导服务器功能网元接收第一指示信息,包括:
    所述引导服务器功能网元接收来自所述归属签约用户服务器网元的第一响应消息,所 述第一响应消息包括第一指示信息;或者
    所述引导服务器功能网元接收来自所述终端设备的第一引导请求消息,所述第一引导请求消息包括所述第一指示信息。
  8. 根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
    所述引导服务器功能网元根据用于标识5G的字符生成第一引导交易标识信息,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易。
  9. 根据权利要求8所述的方法,其特征在于,所述引导服务器功能网元根据用于标识5G的字符生成第一引导交易标识信息之后,所述方法还包括:
    所述引导服务器功能网元向所述终端设备发送所述第一引导交易标识信息。
  10. 一种通用引导架构中的方法,其特征在于,包括:
    归属签约用户服务器网元接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
    所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量;
    所述归属签约用户服务器网元向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包括所述第一认证向量。
  11. 根据权利要求10所述的方法,其特征在于,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
  12. 根据权利要求10或11所述的方法,其特征在于,所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量,包括:
    所述归属签约用户服务器网元向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第一标识或所述第二标识,以使所述统一数据管理网元根据所述第一标识或所述第二标识生成所述终端设备的第一认证向量;
    所述归属签约用户服务器网元接收来自所述统一数据管理网元的第二响应消息,所述第二响应消息包括所述第一认证向量。
  13. 根据权利要求12所述的方法,其特征在于,
    所述第二响应消息包括所述第二标识。
  14. 根据权利要求10或11所述的方法,其特征在于,所述第一请求消息包括所述第二标识,
    所述归属签约用户服务器网元根据所述第二标识获取所述终端设备的第一认证向量,包括:
    所述归属签约用户服务器网元根据所述第二标识生成所述终端设备的第一认证向量。
  15. 根据权利要求10或11所述的方法,其特征在于,所述第一请求消息包括所述第一标识,所述归属签约用户服务器网元根据所述第一标识获取所述终端设备的第一认证向量,包括:
    所述归属签约用户服务器网元解密所述第一标识,获取所述第二标识;
    所述归属签约用户服务器网元根据所述第二标识生成所述终端设备的第一认证向量。
  16. 根据权利要求10或11所述的方法,其特征在于,所述归属签约用户服务器网元根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量,包括:
    所述归属签约用户服务器网元解密所述第一标识,获取所述第二标识;
    所述归属签约用户服务器网元向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第二标识,以使所述统一数据管理网元根据所述第二标识生成所述终端设备的第一认证向量。
  17. 根据权利要求10-16任一项所述的方法,其特征在于,
    所述第一响应消息包括所述第二标识;和/或
    所述第一响应消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
  18. 一种通用引导架构中的方法,其特征在于,包括:
    终端设备生成第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
    所述终端设备向引导服务器功能网元发送所述第一引导请求消息;
    所述终端设备接收来自引导服务器功能网元的用于请求终端设备进行认证的引导响应消息;
    所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
  19. 根据权利要求18所述的方法,其特征在于,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
  20. 根据权利要求18或19所述的方法,其特征在于,所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,包括:
    所述终端设备接收来自所述引导服务器功能网元的所述第一引导交易标识信息和/或所述终端设备的第五标识。
  21. 根据权利要求18或19所述的方法,其特征在于,所述终端设备获取第一引导交易标识信息和/或所述终端设备的第五标识,包括:
    所述终端设备根据用于标识5G的字符生成所述第一引导交易标识信息和/或所述终端设备的第五标识。
  22. 根据权利要求20或21所述的方法,其特征在于,所述终端设备获取所述终端设备的第五标识之后,所述方法还包括:
    所述终端设备向所述引导服务器功能网元发送第二引导请求消息,所述第二引导请求消息包括所述第五标识。
  23. 根据权利要求18-22任一项所述的方法,其特征在于,
    所述第一引导请求消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识。
  24. 根据权利要求18-23任一项所述的方法,其特征在于,所述终端设备获取第一引导交易标识信息之后,所述方法还包括:
    所述终端设备向网络应用功能设备发起应用请求消息,所述应用请求消息包括所述第一引导交易标识信息。
  25. 一种通用引导架构中的装置,其特征在于,包括:
    接收单元,用于接收来自终端设备的第一引导请求消息,所述第一引导请求消息包括所述终端设备的第一标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
    处理单元,用于生成第一请求消息,所述第一请求消息包括所述第一标识或所述第二标识;
    发送单元,用于向归属签约用户服务器网元发送所述第一请求消息;
    所述接收单元,还用于接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括所述终端设备的第一认证向量。
  26. 根据权利要求25所述的装置,其特征在于,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
  27. 根据权利要求25或26所述的装置,其特征在于,
    所述处理单元,还用于解密所述第一标识,获取所述第二标识。
  28. 根据权利要求25-27任一项所述的装置,其特征在于,所述第一响应消息包括所述第二标识。
  29. 根据权利要求25-28任一项所述的装置,其特征在于,
    所述处理单元,还用于根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符,生成所述终端设备的第五标识。
  30. 根据权利要求25-29任一项所述的装置,其特征在于,所述发送单元,还用于向所述终端设备发送所述第五标识;和/或
    所述接收单元,还用于接收来自所述终端设备的第二引导请求消息,所述第二引导请求消息包括所述第五标识;
    所述处理单元,还用于确定与所述第五标识对应的所述第二标识。
  31. 根据权利要求30所述的装置,其特征在于,所述接收单元,还用于接收第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述第五标识;
    所述接收单元,还用于接收来自所述归属签约用户服务器网元的第一响应消息,所述第一响应消息包括第一指示信息;或者
    所述接收单元,还用于接收来自所述终端设备的第一引导请求消息,所述第一引导请求消息包括所述第一指示信息。
  32. 根据权利要求25-31任一项所述的装置,其特征在于,
    所述处理单元,还用于根据用于标识5G的字符生成第一引导交易标识信息,所述第一引导交易标识信息用于标识所述终端设备和所述引导服务器功能网元进行的引导交易。
  33. 根据权利要求32所述的装置,其特征在于,
    所述发送单元,还用于在根据用于标识5G的字符生成第一引导交易标识信息之后,向所述终端设备发送所述第一引导交易标识信息。
  34. 一种通用引导架构中的装置,其特征在于,包括:
    接收单元,用于接收来自引导服务器功能网元的第一请求消息,所述第一请求消息包括终端设备的第一标识或所述终端设备的第二标识,所述第一标识为根据所述终端设备的第二标识和标识保护密钥IPK生成的;
    处理单元,用于根据所述第一标识或所述第二标识获取所述终端设备的第一认证向量;
    发送单元,用于向所述引导服务器功能网元发送第一响应消息,所述第一响应消息包 括所述第一认证向量。
  35. 根据权利要求34所述的装置,其特征在于,所述第二标识包括所述终端设备的签约永久标识SUPI、所述终端设备的网际互连协议多媒体私有标识IMPI、所述终端设备的国际移动用户识别码IMSI、所述终端设备的通用公共签约标识GPSI中的一项。
  36. 根据权利要求34或35所述的装置,其特征在于,
    所述发送单元,还用于向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第一标识或所述第二标识,以使所述统一数据管理网元根据所述第一标识或所述第二标识生成所述终端设备的第一认证向量;
    所述接收单元,还用于接收来自所述统一数据管理网元的第二响应消息,所述第二响应消息包括所述第一认证向量。
  37. 根据权利要求36所述的装置,其特征在于,
    所述第二响应消息包括所述第二标识。
  38. 根据权利要求34或35所述的装置,其特征在于,所述第一请求消息包括所述第二标识,
    所述处理单元,还用于根据所述第二标识生成所述终端设备的第一认证向量。
  39. 根据权利要求34或35所述的装置,其特征在于,所述第一请求消息包括所述第一标识,
    所述获取单元,还用于解密所述第一标识,获取所述第二标识;根据所述第二标识生成所述终端设备的第一认证向量。
  40. 根据权利要求34或35所述的装置,其特征在于,
    所述获取单元,还用于解密所述第一标识,获取所述第二标识;
    所述发送单元,还用于向统一数据管理网元发送第二请求消息,所述第二请求消息包括所述第二标识,以使所述统一数据管理网元根据所述第二标识生成所述终端设备的第一认证向量。
  41. 根据权利要求34-40任一项所述的装置,其特征在于,
    所述第一响应消息包括所述第二标识;和/或
    所述第一响应消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述终端设备的第五标识,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
  42. 一种通用引导架构中的装置,其特征在于,包括:
    处理单元,用于生成第一引导请求消息,所述第一引导请求消息包括所述装置的第一标识,所述第一标识为根据所述装置的第二标识和标识保护密钥IPK生成的;
    发送单元,用于向引导服务器功能网元发送所述第一引导请求消息;
    接收单元,用于接收来自引导服务器功能网元的用于请求终端设备进行认证的引导响应消息;
    所述处理单元,还用于获取第一引导交易标识信息和/或所述装置的第五标识,所述第一引导交易标识信息用于标识所述装置和所述引导服务器功能网元进行的引导交易,所述第五标识为根据所述第二标识、或者根据所述第二标识以及用于标识5G的字符生成的标识。
  43. 根据权利要求42所述的装置,其特征在于,包括:
    所述第二标识包括所述装置的签约永久标识SUPI、所述装置的网际互连协议多媒体私有标识IMPI、所述装置的国际移动用户识别码IMSI、所述装置的通用公共签约标识GPSI中的一项。
  44. 根据权利要求42或43所述的装置,其特征在于,
    所述接收单元,还用于接收来自所述引导服务器功能网元的所述第一引导交易标识信息和/或所述装置的第五标识。
  45. 根据权利要求42或43所述的装置,其特征在于,
    所述处理单元,还用于根据用于标识5G的字符生成所述第一引导交易标识信息和/或所述装置的第五标识。
  46. 根据权利要求44或45所述的装置,其特征在于,
    所述发送单元,还用于在获取所述装置的第五标识之后,向所述引导服务器功能网元发送第二引导请求消息,所述第二引导请求消息包括所述第五标识。
  47. 根据权利要求42-46任一项所述的装置,其特征在于,
    所述第一引导请求消息包括第一指示信息,所述第一指示信息用于指示所述引导服务器功能网元生成所述装置的第五标识。
  48. 根据权利要求42-47任一项所述的装置,其特征在于,
    所述发送单元,还用于在获取第一引导交易标识信息之后,向网络应用功能网元发起应用请求消息,所述应用请求消息包括所述第一引导交易标识信息。
  49. 一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被运行时,实现如权利要求1至24中任一项所述的方法。
PCT/CN2020/107992 2020-08-07 2020-08-07 一种通用引导架构中的方法及相关装置 WO2022027674A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
PCT/CN2020/107992 WO2022027674A1 (zh) 2020-08-07 2020-08-07 一种通用引导架构中的方法及相关装置
CN202080104200.5A CN116097690A (zh) 2020-08-07 2020-08-07 一种通用引导架构中的方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2020/107992 WO2022027674A1 (zh) 2020-08-07 2020-08-07 一种通用引导架构中的方法及相关装置

Publications (1)

Publication Number Publication Date
WO2022027674A1 true WO2022027674A1 (zh) 2022-02-10

Family

ID=80118604

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2020/107992 WO2022027674A1 (zh) 2020-08-07 2020-08-07 一种通用引导架构中的方法及相关装置

Country Status (2)

Country Link
CN (1) CN116097690A (zh)
WO (1) WO2022027674A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116472731A (zh) * 2023-02-19 2023-07-21 北京小米移动软件有限公司 一种消息验证方法及其装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039181A (zh) * 2006-03-14 2007-09-19 华为技术有限公司 防止通用鉴权框架中服务功能实体受攻击的方法
US20110289315A1 (en) * 2010-05-18 2011-11-24 Nokia Corporation Generic Bootstrapping Architecture Usage With WEB Applications And WEB Pages
WO2019141924A1 (fr) * 2018-01-19 2019-07-25 Orange Technique de détermination d'une clé destinée à sécuriser une communication entre un équipement utilisateur et un serveur applicatif
CN110831002A (zh) * 2018-08-10 2020-02-21 华为技术有限公司 扩展的通用引导架构认证方法、装置及存储介质
CN111147421A (zh) * 2018-11-02 2020-05-12 中兴通讯股份有限公司 一种基于通用引导架构gba的认证方法及相关设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101039181A (zh) * 2006-03-14 2007-09-19 华为技术有限公司 防止通用鉴权框架中服务功能实体受攻击的方法
US20110289315A1 (en) * 2010-05-18 2011-11-24 Nokia Corporation Generic Bootstrapping Architecture Usage With WEB Applications And WEB Pages
WO2019141924A1 (fr) * 2018-01-19 2019-07-25 Orange Technique de détermination d'une clé destinée à sécuriser une communication entre un équipement utilisateur et un serveur applicatif
CN110831002A (zh) * 2018-08-10 2020-02-21 华为技术有限公司 扩展的通用引导架构认证方法、装置及存储介质
CN111147421A (zh) * 2018-11-02 2020-05-12 中兴通讯股份有限公司 一种基于通用引导架构gba的认证方法及相关设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHINA MOBILE: "Add abbreviations and editorial changes to TR 33.835", 3GPP DRAFT; S3-194210, 3RD GENERATION PARTNERSHIP PROJECT (3GPP), MOBILE COMPETENCE CENTRE ; 650, ROUTE DES LUCIOLES ; F-06921 SOPHIA-ANTIPOLIS CEDEX ; FRANCE, vol. SA WG3, no. Reno,US,; 20191118 - 20191122, 11 November 2019 (2019-11-11), Mobile Competence Centre ; 650, route des Lucioles ; F-06921 Sophia-Antipolis Cedex ; France , XP051824524 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116472731A (zh) * 2023-02-19 2023-07-21 北京小米移动软件有限公司 一种消息验证方法及其装置
CN116472731B (zh) * 2023-02-19 2024-08-02 北京小米移动软件有限公司 一种消息验证方法及其装置
WO2024168935A1 (zh) * 2023-02-19 2024-08-22 北京小米移动软件有限公司 一种消息验证方法及其装置

Also Published As

Publication number Publication date
CN116097690A (zh) 2023-05-09

Similar Documents

Publication Publication Date Title
EP2037621B1 (en) Method and device for deriving local interface key
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
US11496320B2 (en) Registration method and apparatus based on service-based architecture
JP5579872B2 (ja) 安全な複数uim認証および鍵交換
EP1897268B1 (en) Method for refreshing a pairwise master key
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
RU2374778C2 (ru) Защищенная самонастройка для беспроводной связи
CN111147231B (zh) 一种密钥协商的方法、相关装置及系统
TR201819540T4 (tr) Kullanıcı Ekipmanı Kimlik Bilgisi Sistemi
JP7301852B2 (ja) ユーザ装置とアプリケーションサーバとの間の通信を安全にするためのキーを判断する方法
US9608971B2 (en) Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers
KR20070122490A (ko) 키 재료 생성 방법
CN113518348B (zh) 业务处理方法、装置、系统及存储介质
CN112311543B (zh) Gba的密钥生成方法、终端和naf网元
WO2007034299A1 (en) Re-keying in a generic bootstrapping architecture following handover of a mobile terminal
WO2020029735A1 (zh) 扩展的通用引导架构认证方法、装置及存储介质
WO2022027674A1 (zh) 一种通用引导架构中的方法及相关装置
WO2021088593A1 (zh) 验证方法、装置、设备及计算机可读存储介质
CN111836260A (zh) 一种认证信息处理方法、终端和网络设备
CN112751664B (zh) 一种物联网组网方法、装置和计算机可读存储介质
WO2022027673A1 (zh) 一种通用引导架构中算法协商方法及相关装置
US20240340164A1 (en) Establishment of forward secrecy during digest authentication
JP2012138729A (ja) データ処理装置、プログラム、およびデータ処理システム
WO2022109940A1 (zh) 应用于WiFi的安全认证的方法和装置
CN113556736A (zh) 接入方法、服务端、待接入端、电子设备及存储介质

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20948889

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 20948889

Country of ref document: EP

Kind code of ref document: A1