WO2023197272A1 - 认证方法及装置 - Google Patents

认证方法及装置 Download PDF

Info

Publication number
WO2023197272A1
WO2023197272A1 PCT/CN2022/086928 CN2022086928W WO2023197272A1 WO 2023197272 A1 WO2023197272 A1 WO 2023197272A1 CN 2022086928 W CN2022086928 W CN 2022086928W WO 2023197272 A1 WO2023197272 A1 WO 2023197272A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
network element
network
authentication process
amf
Prior art date
Application number
PCT/CN2022/086928
Other languages
English (en)
French (fr)
Inventor
商正仪
陆伟
Original Assignee
北京小米移动软件有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 北京小米移动软件有限公司 filed Critical 北京小米移动软件有限公司
Priority to CN202280001201.6A priority Critical patent/CN117546500A/zh
Priority to PCT/CN2022/086928 priority patent/WO2023197272A1/zh
Publication of WO2023197272A1 publication Critical patent/WO2023197272A1/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Definitions

  • the present disclosure proposes an authentication method and device, and provides a mechanism for triggering the network authentication process on the UE from the network side, thereby greatly improving the continuity and security of network services.
  • the embodiment of the third aspect of the present disclosure provides an authentication method, which is executed by an AMF network element, including: receiving an authentication notification message from a UDM network element, wherein the authentication notification message includes the identity of the UE, and the authentication notification message Used to notify the AMF network element to perform a network authentication process on the UE; send an authentication request to the UE through the non-access (Non Access Stratum, NAS) connection between the AMF network element and the UE. , wherein the authentication request is used to request the UE to perform the network authentication process; and to receive an authentication response fed back by the UE, wherein the authentication response includes information required to perform the network authentication process.
  • NAS Non Access Stratum
  • the sixth aspect embodiment of the present disclosure provides an authentication device for an AUSF network element, including: a transceiver module for sending a network authentication process triggering instruction to a unified data management UDM network element, wherein the network authentication process triggers
  • the indication includes the identity of the user equipment UE corresponding to the AUSF network element, and the network authentication process triggering indication is used to instruct the UDM network element to trigger the network authentication process regarding the UE.
  • a seventh embodiment of the present disclosure provides an authentication device for an AMF network element, including: a transceiver module configured to receive an authentication notification message from a UDM network element, where the authentication notification message includes an identification of the UE, And the authentication notification message is used to notify the AMF network element to perform a network authentication process on the UE; through the non-access (Non Access Stratum, NAS) connection between the AMF network element and the UE, to The UE sends an authentication request, wherein the authentication request is used to request the UE to perform the network authentication process; and receives an authentication response fed back by the UE, wherein the authentication response includes the steps required to perform the network authentication process. Need information.
  • NAS Non Access Stratum
  • Figure 1 is a schematic flowchart of an authentication method according to an embodiment of the present disclosure
  • Figure 5 is a schematic flow chart of an authentication method according to an embodiment of the present disclosure.
  • FIG. 6 is a schematic flowchart of an authentication method according to an embodiment of the present disclosure.
  • Figure 7 is a schematic flow chart of an authentication method according to an embodiment of the present disclosure.
  • Figure 8 is a schematic flow chart of an authentication method according to an embodiment of the present disclosure.
  • Figure 9 is a schematic flow chart of an authentication method according to an embodiment of the present disclosure.
  • Figure 14 is a schematic flowchart of an authentication method according to an embodiment of the present disclosure.
  • FIG. 15 is a block diagram of an authentication device according to an embodiment of the present disclosure.
  • the AMF network element can confirm that the initiated network authentication process is for both 3GPP access and non-3GPP access. 3GPP access is in progress.
  • the network authentication process triggering indication and the authentication notification message may also include the authentication reason requested by the AUSF network element to trigger the network authentication process.
  • the authentication reason includes at least one of the following: roaming manipulation count reaches the upper limit; and UE parameters The update count has reached the upper limit.
  • the authentication notification message sent by the UDM network element to the AMF network element may also include a confirmation request indication, which is used to request from the AMF network element an authentication notification confirmation message indicating that the AMF network element has requested the UE to perform a network authentication process, thereby After receiving the authentication notification confirmation message, the UDM network element can confirm that the AMF network element has requested the UE to perform the network authentication process, that is, the UDM network element can understand whether this triggering of the UE's network authentication process has been implemented.
  • FIG 3 shows a schematic flowchart of an authentication method according to an embodiment of the present disclosure.
  • the method can be executed by the AUSF network element.
  • the authentication method can include the following steps.
  • step S301 For the description and specific details of the above step S301, please refer to the relevant description and details of the above step S201.
  • the method further includes sending a paging message to the UE to create the NAS connection.
  • the method further includes: updating the locally stored NAS security context after the network authentication process is completed.
  • the authentication request and the authentication notification message also include access type information.
  • the access type information is used to indicate the access type applicable to the initiated network authentication process.
  • the access type Including 3GPP access and/or non-3GPP access.
  • the authentication notification message also includes the authentication reason for the UDM network element to send the authentication notification message.
  • the authentication reason includes at least one of the following: roaming manipulation count reaches the upper limit; and UE parameters The update count has reached the upper limit.
  • S402 Send an authentication request to the UE through the NAS connection between the AMF network element and the UE.
  • the authentication request is used to request the UE to perform a network authentication process.
  • the AMF network element can send an authentication request to the UE through the NAS connection between the AMF network element and the UE to request the UE to perform a network authentication process.
  • the authentication response includes information required for the network authentication process.
  • the authentication notification message received from the UDM network element and the authentication request sent to the UE may also include access type information.
  • the access type information is used to indicate the access to which the initiated network authentication process is applicable.
  • Type the access type includes 3rd Generation Partnership Project (3GPP) access and/or non-3GPP access.
  • the AMF network element can confirm that the initiated network authentication process is only for non-3GPP access, and the AMF network element The access type information is carried in the authentication request sent to the UE, so that the UE can confirm that the network authentication process is only performed for non-3GPP access.
  • the AMF network element can confirm that the initiated network authentication process is for both 3GPP access and non-3GPP access.
  • 3GPP access is performed, and the authentication request sent by the AMF network element to the UE carries the access type information, so that the UE can confirm that the network authentication process is performed for both 3GPP access and non-3GPP access.
  • Figure 5 shows a schematic flowchart of an authentication method according to an embodiment of the present disclosure.
  • the method can be executed by the AMF network element, based on the embodiment shown in Figure 4, as shown in Figure 5, and the method can include the following steps.
  • the AMF network element After the AMF network element receives the authentication communication message carrying the UE's identity, if it is found that there is no NAS connection between the UE and the AMF network element, the 5G core network will page the UE. If the UE is in the registered (RM) -REGISTERED) and CM-IDLE state, the AMF can send a paging message to the UE via the 5G Radio Access Network (NG-RAN) node to create a NAS connection with the UE. If the UE is in the CM-CONNECTED state, it indicates that the NAS connection between the UE and the AMF network element already exists, and this step S502 can be omitted.
  • RM registered
  • NG-RAN 5G Radio Access Network
  • S503 Send an authentication request to the UE through the NAS connection between the AMF network element and the UE.
  • the authentication request is used to request the UE to perform a network authentication process.
  • the AMF network element can receive the authentication notification message from the UDM network element, send the authentication request to the UE and obtain the authentication response including the information required for the network authentication process from the UE, so as to trigger the network about the UE.
  • the authentication process enables the network side to trigger the network authentication process for the UE, which can greatly improve the continuity and security of network services.
  • the authentication notification message received from the UDM network element may also include the authentication reason for the UDM network element to send the authentication notification message.
  • the authentication reason includes at least one of the following: roaming manipulation count reaches the upper limit; and UE parameter update The count reaches the upper limit value.
  • the authentication notification message received from the UDM network element and the authentication request sent to the UE may also include access type information.
  • the access type information is used to indicate the access to which the initiated network authentication process is applicable.
  • Type the access type includes 3GPP access and/or non-3GPP access.
  • the authentication notification message includes the identity of the UE, and the authentication notification message is used to notify the AMF network element to perform a network authentication process on the UE.
  • S602 Send an authentication request to the UE through the NAS connection between the AMF network element and the UE.
  • the authentication request is used to request the UE to perform a network authentication process.
  • the authentication notification confirmation message is used to indicate that the AMF network element has requested the UE to perform a network authentication process.
  • S604 Receive the authentication response fed back by the UE.
  • step S604 For the description and specific details of the above step S604, please refer to the relevant description and details of the above step S403.
  • the authentication notification message received from the UDM network element and the authentication request sent to the UE may also include access type information.
  • the access type information is used to indicate the access to which the initiated network authentication process is applicable.
  • Type the access type includes 3GPP access and/or non-3GPP access.
  • step S701 For the description and specific details of the above step S701, please refer to the relevant description and details of the above step S401.
  • the AMF network element can send an authentication request to the UE through the NAS connection between the AMF network element and the UE to request the UE to perform a network authentication process.
  • the authentication response includes information required for the network authentication process.
  • S802 Security protect the authentication request according to the locally stored NAS security context.
  • S803 Send a security-protected authentication request to the UE through the NAS connection between the AMF network element and the UE.
  • the AMF network element can receive the authentication notification message from the UDM network element, send the authentication request to the UE and obtain the authentication response including the information required for the network authentication process from the UE, so as to trigger the network about the UE.
  • the authentication process enables the network side to trigger the network authentication process for the UE, which can greatly improve the continuity and security of network services.
  • the authentication notification message received from the UDM network element and the authentication request sent to the UE may also include access type information.
  • the access type information is used to indicate the access to which the initiated network authentication process is applicable.
  • Type the access type includes 3GPP access and/or non-3GPP access.
  • the method further includes: security protecting the authentication response according to a locally stored NAS security context.
  • the authentication request includes access type information
  • the access type information is used to indicate the access type to which the initiated network authentication process is applicable
  • the access type includes 3GPP access and/or Non-3GPP access.
  • the UE may receive an authentication request from the AMF network element for requesting the UE to perform a network authentication process.
  • the AMF network element may send an authentication request to the UE after receiving an authentication notification message from the AUSF network element for notifying the AMF network element to perform a network authentication process on the UE.
  • the UE can confirm that the network authentication process is performed for both 3GPP access and non-3GPP access.
  • the authentication response includes information required for the network authentication process.
  • step S1103 For the description and specific details of the above step S1103, please refer to the relevant description and details of the above step S902.
  • the AUSF network element sends a network authentication process triggering instruction to the UDM network element, and the UDM network element responds to the network authentication process triggering instruction and sends an authentication notification message to the AMF network element to notify the AMF network element to proceed with the UE.
  • the AMF network element sends an authentication request to the UE after receiving the authentication notification message from the AUSF network element and obtains an authentication response from the UE including the information required for the network authentication process to trigger the network authentication process on the UE, thereby Implementing a mechanism for triggering the network authentication process on the UE from the network side can greatly improve the continuity and security of network services.
  • the AUSF network element sends a network authentication process triggering instruction to the UDM network element.
  • the network authentication process triggering instruction may be Nausf_SoRProtection Response and/or Nasuf_UPUPtrotection Response.
  • the Nausf_SoRProtection Response can indicate that the Counter SoR related to K AUSF has reached the upper limit
  • the Nasuf_UPUPtrotection Response can indicate that the Counter UPU related to K AUSF has reached the upper limit.
  • the processing module 2002 is also configured to update the locally stored NAS security context after the network authentication process is completed.
  • the communication device 2200 may also include one or more memories 2202, on which a computer program 2204 may be stored.
  • the processor 2201 executes the computer program 2204, so that the communication device 2200 performs the steps described in the above method embodiments. method.
  • the memory 2202 may also store data.
  • the communication device 2200 and the memory 2202 can be provided separately or integrated together.
  • the processor 2201 may include a transceiver for implementing receiving and transmitting functions.
  • the transceiver may be a transceiver circuit, an interface, or an interface circuit.
  • the transceiver circuits, interfaces or interface circuits used to implement the receiving and transmitting functions can be separate or integrated together.
  • the above-mentioned transceiver circuit, interface or interface circuit can be used for reading and writing codes/data, or the above-mentioned transceiver circuit, interface or interface circuit can be used for signal transmission or transfer.
  • This application also provides a readable storage medium on which instructions are stored. When the instructions are executed by a computer, the functions of any of the above method embodiments are implemented.
  • This application also provides a computer program product, which, when executed by a computer, implements the functions of any of the above method embodiments.
  • the above embodiments it may be implemented in whole or in part by software, hardware, firmware, or any combination thereof.
  • software it may be implemented in whole or in part in the form of a computer program product.
  • the computer program product includes one or more computer programs.
  • the computer program When the computer program is loaded and executed on a computer, the processes or functions described in the embodiments of the present application are generated in whole or in part.
  • the computer may be a general-purpose computer, a special-purpose computer, a computer network, or other programmable device.
  • the systems and techniques described herein may be implemented in a computing system that includes back-end components (e.g., as a data server), or a computing system that includes middleware components (e.g., an application server), or a computing system that includes front-end components (e.g., A user's computer having a graphical user interface or web browser through which the user can interact with implementations of the systems and technologies described herein), or including such backend components, middleware components, or any combination of front-end components in a computing system.
  • the components of the system may be interconnected by any form or medium of digital data communication (eg, a communications network). Examples of communication networks include: local area network (LAN), wide area network (WAN), and the Internet.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本公开提出了一种认证方法及装置,涉及通信领域,本申请的技术方案主要是UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。

Description

认证方法及装置 技术领域
本公开涉及移动通信技术领域,特别涉及一种认证方法及装置。
背景技术
在移动网络通信系统中,用户设备(User Equipment,UE)能够发起网络认证过程以实现UE侧与网络侧之间的双向认证并提供后续安全过程所需信息,诸如鉴权服务器功能(Authentication Sever Function,AUSF)网元密钥。然而,在当前移动网络通信系统中,网络侧不具有触发关于UE的网络认证过程的机制,因此,在安全过程所需信息需要进行更新的情况下,有可能会由于UE未能及时发起网络认证过程而导致网络服务的中断。
发明内容
本公开提出了一种认证方法及装置,提供了一种由网络侧触发关于UE的网络认证过程的机制,从而能够极大改善网络服务的连续性和安全性。
本公开的第一方面实施例提供了一种认证方法,由UDM网元执行,所述方法包括:从鉴权服务器功能(Authentication Sever Function,AUSF)网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
可选地,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
可选地,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
可选地,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
本公开第二方面实施例提供了一种认证方法,所述方法由AUSF网元执行,所述方法包括:向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
可选地,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
可选地,所述方法还包括在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
本公开第三方面实施例提供了一种认证方法,由AMF网元执行,包括:从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
可选地,所述方法还包括:向所述UE发送寻呼消息以创建所述NAS连接。
可选地,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
可选地,所述方法还包括:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
可选地,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
本公开的第四方面实施例提供了一种认证方法,所述方法包括:AUSF网元向UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元响应于所述认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及所述AMF网元接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
可选地,所述认证通知消息包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:所述AMF网元向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
可选地,所述方法还包括:在所述网络认证过程完成之后,所述AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
可选地,所述认证通知消息和所述认证请求中还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
可选地,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
本公开的第五方面实施例提供了一种认证装置,用于UDM网元,包括:收发模块,用于从鉴权服务器功能(Authentication Sever Function,AUSF)网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
本公开的第六方面实施例提供了一种认证装置,用于AUSF网元,包括:收发模块,用于向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
本公开的第七方面实施例提供了一种认证装置,用于AMF网元,包括:收发模块,用于从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
本公开的第八方面实施例提供了一种认证系统,包括:AUSF网元、UDM网元、AMF网元,其中所述AUSF网元用于向所述UDM网元发送认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;所述UDM网元用于接收从所述AUSF网元发送的所述网络认证过程触发指示,并响应于所述网络认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;所述AMF网元向所述UE发送认证请求并从UE接收认证响应,其中,所述认证请求用于请求所述UE进行所述网络认证过程以及所述认证响应包括进行所述网络认证过程所需信息。
本公开的第九方面实施例提供了一种通信设备,包括:收发器;存储器;处理器,分别与所述收发器及所述存储器连接,配置为通过执行所述存储器上的计算机可执行指令,控制所述收发器的无线信号收发,并能够实现上述第一方面实施例或第二方面实施例或第三方面实施例的认证方法。
本公开第十方面实施例提出了一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现上述第一方面实施例或第二方面实施例或第三方面实施例的认证方法。
本公开实施例提供了一种认证方法及装置,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
本公开附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本公开的实践了解到。
附图说明
本公开上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为根据本公开实施例的一种认证方法的流程示意图;
图2为根据本公开实施例的一种认证方法的流程示意图;
图3为根据本公开实施例的一种认证方法的流程示意图;
图4为根据本公开实施例的一种认证方法的流程示意图;
图5为根据本公开实施例的一种认证方法的流程示意图;
图6为根据本公开实施例的一种认证方法的流程示意图;
图7为根据本公开实施例的一种认证方法的流程示意图;
图8为根据本公开实施例的一种认证方法的流程示意图;
图9为根据本公开实施例的一种认证方法的流程示意图;
图10为根据本公开实施例的一种认证方法的流程示意图;
图11为根据本公开实施例的一种认证方法的流程示意图;
图12为根据本公开实施例的一种认证方法的流程示意图;
图13为根据本公开实施例的一种认证方法的流程示意图;
图14为根据本公开实施例的一种认证方法的流程示意图;
图15为根据本公开实施例的一种认证装置的框图;
图16为根据本公开实施例的一种认证装置的框图;
图17为根据本公开实施例的一种认证装置的框图;
图18为根据本公开实施例的一种认证装置的框图;
图19为根据本公开实施例的一种认证装置的框图;
图20为根据本公开实施例的一种认证装置的框图;
图21为根据本公开实施例的一种认证装置的框图;
图22为本公开实施例提供的一种通信装置的结构示意图;
图23为本公开实施例提供的一种芯片的结构示意图。
具体实施方式
下面详细描述本公开的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
为了保护漫游操纵(Steering of Roaming,SoR)/UE参数更新(UE Parameter Update,UPU)服务,鉴权服务器功能(Authentication Sever Function)AUSF网元和UE需要在AUSF网元密钥K AUSF的使用期限内维护漫游操纵计数Counter SoR/UE参数更新计数Counter UPU。当新生成的K AUSF被存储时,Counter SoR被设置为0x00 0x01,Counter UPU被设置为0x00 0x01,并且将随着每次AUSF网元侧SoR消息的哈希值SoR-MAC-I AUSF/UPU消息的哈希值UPU-MAC-I AUSF的计算而单增。一旦与K AUSF关联的Counter SoR/Counter UPU达到上限值,AUSF网元将无法提供对于UE的SoR/UPU保护服务。仅在为UE重新生成新的K AUSF时,Counter SoR/Counter UPU被重置,且AUSF网元可恢复对于UE的SoR/UPU保护服务。因此,在K AUSF变得无效之前,及时地刷新K AUSF是非常必要的。
网络认证过程可以实现UE侧与网络侧之间的双向认证并提供后续安全过程所需信息。在成功完成网络认证过程之后,可以生成新的K AUSF。在当前移动通信网络中,网络侧不具有触发关于UE的网络认证过程的机制,UE可以长时间使用同一K AUSF附接至网络而不刷新K AUSF,但这将导致SoR/UPU保护服务甚至网络服务的中断。为了安全起见,亟待需要能够使得网络侧来触发关于UE的网络认证过程的机制,以解决引入的安全威胁。网络侧触发关于UE的网络认证过程能极大地改善网络服务的连续性和安全性。
当Counter SoR/Counter UPU达到上限值时,部分核心网侧的网络功能(Network Function,NF)(如,AUSF网络、UDM网元、AMF网元等)可以检测K AUSF的不可用并通知UE来运行网络认证过程而无需挂起对于UE的SoR/UPU保护服务。然而,在当前移动网络通信系统中,主要由UE通过向接入和移动性管理功能(Access and Mobility Mangement Function,AMF)网元发送注册请求来发起网络认证 过程。核心网侧的NF不具有触发关于UE的网络认证过程的机制,因此有可能引入额外的安全威胁并降低服务质量。
为此,本公开提出了一种认证方法及装置,提供了一种由网络侧触发关于UE的网络认证过程的机制,从而能够极大改善网络服务的连续性和安全性。
下面结合附图对本申请所提供的认证方法及装置进行详细地介绍。
图1示出了根据本公开实施例的一种认证方法的流程示意图。如图1所示,该方法可由UDM网元执行,且包括以下步骤。
S101,从AUSF网元接收网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
S102,向AMF网元发送认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
在本实施例中,UDM网元可以从AUSF网元接收到携带AUSF网元对应的UE的标识的网络认证过程触发指示,UDM网元在接收到网络认证过程触发指示之后,可以响应于该网络认证过程触发指示向该AMF网元发送认证通知消息,以通知AMF网元进行关于UE的网络认证过程。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K AUSF的情况下,诸如,当前K AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
其中,UE的标识可以为通用公共用户标识(Generic Public Subscription Identifier,GPSI)或用户永久标识(Subscription Permanent Identifier,SUPI)。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,UDM网元向AMF网元发送的认证通知消息还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行。
在一些实施例中,网络认证过程触发指示以及认证通知消息还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
AUSF网元可以由于K AUSF无效而请求UDM网元触发网络认证过程,K AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,AUSF网元请求UDM网元触发网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。AUSF网元向UDM网元发送的网络认证过程触发指示中可以携带指示该原因的认证原因。UDM网元在接收到携带有认证原因的网络认证过程触发指示后,可以向AMF网元发送携带该认证原因的认证通知消息。
在一些实施例中,UDM网元向AMF网元发送的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
UDM网元向AMF网元发送的认证通知消息还可以包括确认请求指示,该确认请求指示用于向AMF网元请求用于指示AMF网元已请求UE进行网络认证过程的认证通知确认消息,从而UDM网元在收到该认证通知确认消息之后能够确认AMF网元已请求UE进行网络认证过程,即UDM网元能够了解关于UE的网络认证过程的此次触发是否实施。
例如,若认证通知消息中包括确认请求指示,而UDM网元在发送认证通知消息后的预设时间段内为接收到AMF网元发送的认证通知确认消息,则UDM网元可以确认关于UE的网络认证过程的此次触发未能实施。
图2示出了根据本公开实施例的一种认证方法的流程示意图。如图2所示,该方法可由AUSF网元执行,且该认证方法可以包括以下步骤。
S201,向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为GPSI或SUPI。
在本实施中,AUSF网元可以向UDM网元发送网络认证过程触发指示,而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,以实现由网络侧触发关于UE的网络认证过程的机制。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K AUSF的情况下,诸如,当前K AUSF无效的情况下,AUSF网元可以向UDM网元发送其中携带AUSF网元对应的UE的标识的网络认证过程触发指示。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,而而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,AUSF网元向UDM网元发送的网络认证过程触发指示还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
AUSF网元可以由于K AUSF无效而请求UDM网元触发网络认证过程,K AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,AUSF网元请求UDM网元触发网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。AUSF网元向UDM网元发送的网络认证过程触发指示中可以携带指示该原因的认证原因。
图3示出了根据本公开实施例的一种认证方法的流程示意图,该方法可由AUSF网元执行,基于图2所示的实施例,如图3所示,该认证方法可以包括以下步骤。
S301,向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
关于上述步骤S301的描述和具体细节,可以参考上述步骤S201的相关描述与细节。
S302,在确认网络认证过程完成之后,生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
AUSF网元在确认网络认证过程完成之后,可以生成新的AUSF网元密钥K AUSF,并对漫游操纵计数和UE参数更新计数进行重置,即将Counter SoR设置为0x00 0x01,将Counter UPU设置为0x00 0x01。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,而而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,在网络认证过程完成之后可以生成新的AUSF网元密钥并对漫游操纵计数和UE参数更新计数进行重置,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,AUSF网元向UDM网元发送的网络认证过程触发指示还可以包括AUSF网元请求触发网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
本发明还提供了一种认证方法,由AMF网元执行,包括:从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的非接入(Non Access Stratum,NAS)连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
在一些实施例中,所述方法还包括:向所述UE发送寻呼消息以创建所述NAS连接。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
在一些实施例中,所述方法还包括:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
在一些实施例中,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求和所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述认证通知消息还包括所述UDM网元发出所述认证通知消息的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
图4示出了根据本公开实施例的一种认证方法的流程示意图,如图4所示,该方法可由AMF网元执行,且可以包括以下步骤。
S401,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
在本实施例中,AMF网元可以从UDM网元接收其中携带UE的标识的认证通知消息,以便由UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为GPSI或SUPI。
S402,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的NAS连接向UE发送认证请求,以请求UE进行网络认证过程。
S403,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
网络认证过程所涉及的网络设备,诸如AMF网元、AUSF网元、UDM网元之间可以通过交互以便所涉及的网络设备均能够获取到进行网络认证过程所需信息,从而能够进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
UDM网元可以响应于从AUSF网元接收到的网络认证过程触发指示向AMF网元发送认证通知消息。当AUSF网元确定需要重新生成AUSF网元密钥K AUSF的情况下,诸如,当前K AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
K AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,UDM网元发出认证通知消息以触发关于UE的网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
图5示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图5所示,且该方法可以包括以下步骤。
S501,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
关于上述步骤S501的描述和具体细节,可以参考上述步骤S401的相关描述与细节。
S502,向UE发送寻呼消息以创建NAS连接。
AMF网元在接收到携带有UE的标识的认证通信消息后,若发现该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在,则该步骤S502可省略。
S503,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S504,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S503-S504的描述和具体细节,可以参考上述步骤S402-S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图6示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图6所示,且该方法可以包括以下步骤。
S601,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
S602,通过AMF网元与UE之间的NAS连接,向UE发送认证请求。
其中,认证请求用于请求UE进行网络认证过程。
关于上述步骤S601-S602的描述和具体细节,可以参考上述步骤S401-S402的相关描述与细节。
S603,向UDM网元发送认证通知确认消息。
其中,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
从UDM网元接收的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示。若认证通知消息中包括确认请求指示,则AMF网元在向UE发送认证请求后可以向UDM网元发送认证通知确认消息以通知UDM网元已触发关于UE的网络认证过程。若AMF网元未能向UE发送认证请求,则不会向UDM网元发送认证通知确认消息,而UDM网元在预设时间段内未能收到该认证通知确认消息,便可以确认关于UE的网络认证过程的此次触发未能实施。
S604,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S604的描述和具体细节,可以参考上述步骤S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图6所示实施例仅仅在图4所示实施例的基础上进行描述,类似地,该图6所示实施例也可基于图5所示实施例,例如,图6的步骤S603也可以与图5的步骤S501-S504进行结合,在此不再进行赘述。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图7示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图4所示实施例,如图7所示,且该方法可以包括以下步骤。
S701,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
关于上述步骤S701的描述和具体细节,可以参考上述步骤S401的相关描述与细节。
S702,根据本地存储的NAS安全上下文对认证请求进行安全保护。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的NAS连接向UE发送认证请求,以请求UE进行网络认证过程。
为了安全起见,AMF网元可以根据本地存储的NAS安全上下文对该认证请求进行安全保护,例如,进行加密,再将经安全保护的认证请求发送给UE。UE接收到经安全保护的认证请求后,可以根据UE本地存储的NAS安全上下文对经安全保护的认证请求进行解析以获取到认证请求的内容。
S703,通过AMF网元与UE之间的NAS连接,向UE发送经安全保护的认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S704,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S703-S704的描述和具体细节,可以参考上述步骤S402-S403的相关描述与细节。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图7所示实施例仅仅在图4所示实施例的基础上进行描述,类似地,该图7所示实施例也可基于图5和图6所示实施例,例如,图7的步骤S702也可以与图5的步骤S501-S504、图6的步骤S601-S604进行结合,在此不再进行赘述。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图8示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由AMF网元执行,基于图7所示实施例,如图8所示,且该方法可以包括以下步骤。
S801,从UDM网元接收认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
S802,根据本地存储的NAS安全上下文对认证请求进行安全保护。
S803,通过AMF网元与UE之间的NAS连接,向UE发送经安全保护的认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S804,接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S801-S804的描述和具体细节,可以参考上述步骤S701-S704的相关描述与细节。
S805,在网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
AMF网元在确认网络认证过程完成之后,可以对本地存储的NAS安全上下文进行更新,从而在完成NAS安全模型命令流程以激活更新后的NAS安全上下文后可以使用更新后的NAS安全上下文对指定消息进行安全保护。
根据本公开实施例的认证方法,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从UDM网元接收的认证通知消息还可以包括UDM网元发出认证通知消息的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,从UDM网元接收的认证通知消息以及向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
本公开实施例提供了一种认证方法,所述方法由UE执行,所述方法包括:从AMF网元接收认证请求,其中,所述认证请求用于请求所述UE进行网络认证过程;以及向所述AMF网元反馈认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
在一些实施例中,所述方法还包括:从所述AMF网元接收寻呼消息以创建与所述AMF网元之间的NAS连接。
在一些实施例中,所述方法还包括:根据本地存储的NAS安全上下文对所述认证响应进行安全保护。
在一些实施例中,所述方法还包括:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
图9示出了根据本公开实施例的一种认证方法的流程示意图。如图9所示,该方法可由UE执行,且可以包括以下步骤。
S901,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
在本实施例中,UE可以从AMF网元接收用于请求UE进行网络认证过程的认证请求。
例如,AMF网元可以在从AUSF网元接收到用于通知AMF网元进行关于UE的网络认证过程的认证通知消息后,向UE发送认证请求。
S902,向AMF网元反馈认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
网络认证过程所涉及的网络设备,诸如AMF网元、AUSF网元、UDM网元之间可以通过交互以便所涉及的网络设备均能够获取到进行网络认证过程所需信息,从而能够进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
例如,如果UE所接收到的认证请求中的接入类型信息指示3GPP接入,则UE可以确认该网络认证过程仅针对3GPP接入进行。
又如,如果UE所接收到的认证请求中的接入类型信息指示非3GPP接入,则UE可以确认该网络认证过程仅针对非3GPP接入进行。
又如,如果UE所接收到的认证请求中的接入类型信息指示3GPP接入和非3GPP接入,则UE可以确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
图10示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图10所示,该方法可以包括以下步骤。
S1001,从AMF网元接收寻呼消息以创建与AMF网元之间的NAS连接。
AMF网元可以通过NAS连接与UE进行信息交互,若该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在,则该步骤S1001可省略。
S1002,通过NAS连接从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S1003,向AMF网元反馈认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1002-S1003的描述和具体细节,可以参考上述步骤S901-S902的相关描述与细节。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图11示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图11所示,该方法可以包括以下步骤。
S1101,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
关于上述步骤S1101的描述和具体细节,可以参考上述步骤S901的相关描述与细节。
S1102,根据本地存储的NAS安全上下文对认证响应进行安全保护。
UE在接收到认证请求后,可以通过AMF网元与UE之间的NAS连接向AMF网元发送认证响应,以提供进行网络认证过程所需信息。
为了安全起见,UE可以根据本地存储的NAS安全上下文对该认证响应进行安全保护,例如,进行加密,再将经安全保护的认证响应发送给AMF网元。AMF网元接收到经安全保护的认证响应后,可以根据AMF网元本地存储的NAS安全上下文对经安全保护的认证响应进行解析以获取到认证响应的内容。
S1103,向AMF网元反馈经安全保护的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1103的描述和具体细节,可以参考上述步骤S902的相关描述与细节。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
应当注意的是,虽然图11所示实施例仅仅在图9所示实施例的基础上进行描述,类似地,该图11所示实施例也可基于图10所示实施例,例如,图11的步骤S1102也可以与图10的步骤S1001-S1003进行结合,在此不再进行赘述。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图12示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE执行,基于图9所示的实施例,如图12所示,该方法可以包括以下步骤。
S1201,从AMF网元接收认证请求。
其中,认证请求用于请求UE进行网络认证过程。
S1202,根据本地存储的NAS安全上下文对认证响应进行安全保护。
S1203,向AMF网元反馈经安全保护的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
关于上述步骤S1201-S1203的描述和具体细节,可以参考上述步骤S1101-S1103的相关描述与细节。
S1204,在网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
UE在确认网络认证过程完成之后,可以对本地存储的NAS安全上下文进行更新,从而在完成NAS安全模型命令流程以激活更新后的NAS安全上下文后可以使用更新后的NAS安全上下文对指定消息进行安全保护。
根据本公开实施例的认证方法,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,从AMF网元接收的认证请求中可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括3GPP接入和/或非3GPP接入。
图13示出了根据本公开实施例的一种认证方法的流程示意图。该方法可由UE、AMF网元、AUSF网元、UDM网元交互来执行,如图13所示,且该方法可以包括以下步骤。
S1301,AUSF网元向UDM网元发送网络认证过程触发指示。
其中,网络认证过程触发指示包括与AUSF网元对应的用户设备UE的标识,以及网络认证过程触发指示用于指示UDM网元触发关于UE的网络认证过程。
其中,UE的标识可以为通用公共用户标识(Generic Public Subscription Identifier,GPSI)或用户永久标识(Subscription Permanent Identifier,SUPI)。
例如,当AUSF网元确定需要重新生成AUSF网元密钥K AUSF的情况下,诸如,当前K AUSF无效的情况下,AUSF网元可以向UDM网元发送其中携带AUSF网元对应的UE的标识的网络认证过程触发指示。
S1302,UDM网元向AMF网元发送认证通知消息。
其中,认证通知消息中包括UE的标识,以及认证通知消息用于通知AMF网元进行关于UE的网络认证过程。
UDM网元在接收到网络认证过程触发指示之后,可以响应于该网络认证过程触发指示向该AMF网元发送认证通知消息,以通知AMF网元进行关于UE的网络认证过程。
其中,关于UE的网络认证过程的具体实现可以参考现有技术中的网络认证过程。例如,本申请中所示的网络认证过程的具体实现类似于UE通过向AMF网元发送注册请求所发起网络认证过程的实现,在此不再赘述。
S1303,AMF网元向UE发送认证请求。
其中,所述认证请求用于请求所述UE进行所述网络认证过程。
AMF网元在接收到认证通知消息后,可以通过AMF网元与UE之间的非接入(Non Access Stratum,NAS)连接向UE发送认证请求,以请求UE进行网络认证过程。
MF网元在接收到携带有UE的标识的认证通信消息后,若发现该UE与AMF网元之间不存在NAS连接,则5G核心网对该UE进行寻呼,如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则表明UE与AMF网元之间的NAS连接已存在。AMF网元通过该NAS连接与UE进行通信。
S1304,AMF网元接收UE反馈的认证响应。
其中,认证响应包括进行网络认证过程所需信息。
UE在从AMF网元接收到认证请求后,可以向AMF网元反馈认证响应,以向AMF网元提供用于进行网络认证过程所需信息。
根据本公开实施例的认证方法,AUSF网元向UDM网元发送网络认证过程触发指示,UDM网元响应于该网络认证过程触发指示向AMF网元发送认证通知消息以通知AMF网元进行关于UE的网络认证过程,AMF网元在从AUSF网元接收到认证通知消息后向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,网络认证过程触发指示和认证通知消息还可以包括AUSF网元请求触发所述网络认证过程的认证原因,认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
当AUSF网元确定需要重新生成AUSF网元密钥K AUSF的情况下,诸如,当前K AUSF无效的情况下,AUSF网元可以向UDM网元发送该网络认证过程触发指示。
K AUSF无效可能是由于漫游操纵计数达到上限值和/或UE参数更新计数达到上限值所导致,因此,UDM网元发出认证通知消息以触发关于UE的网络认证过程的原因可以是漫游操纵计数达到上限值和/或UE参数更新计数达到上限值。
在一些实施例中,UDM网元发送的认证通知消息以及AMF网元向UE发送的认证请求中还可以包括接入类型信息,该接入类型信息用于指示所发起的网络认证过程可应用的接入类型,接入类型包括第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)接入和/或非3GPP接入。
例如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示非3GPP接入,则AMF网元可确认所发起的网络认证过程仅针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程仅针对非3GPP接入进行。
又如,如果AMF网元所接收到的认证通知消息中的接入类型信息指示3GPP接入和非3GPP接入,则AMF网元可确认所发起的网络认证过程既针对3GPP接入又针对非3GPP接入进行,并且AMF网元向UE发送的认证请求中携带该接入类型信息,以便UE能够确认该网络认证过程既针对3GPP接入又针对非3GPP接入进行。
在一些实施例中,认证通知消息包括用于向AMF网元请求认证通知确认消息的确认请求指示,该认证方法还可以包括AMF网元向UDM网元发送认证通知确认消息,其中,认证通知确认消息用于指示AMF网元已请求UE进行网络认证过程。
UDM网元发送的认证通知消息还可以包括用于向AMF网元请求认证通知确认消息的确认请求指示。若认证通知消息中包括确认请求指示,则AMF网元在向UE发送认证请求后可以向UDM网元发送认证通知确认消息以通知UDM网元已触发关于UE的网络认证过程。若AMF网元未能向UE发送认证请求,则不会向UDM网元发送认证通知确认消息,而UDM网元在预设时间段内未能收到该认证通知确认消息,便可以确认关于UE的网络认证过程的此次触发未能实施。
在一些实施例中,该认证方法还可以包括在网络认证过程完成之后,AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
AUSF网元在确认网络认证过程完成之后,可以生成新的AUSF网元密钥K AUSF,并对漫游操纵计数和UE参数更新计数进行重置,即将Counter SoR设置为0x00 0x01,将Counter UPU设置为0x00 0x01。
图14示出了根据本公开实施例的一种认证方法的流程示意图。该方法可通过UE、AMF网元、AUSF网元、UDM网元交互来实现,如图14所示,该方法可以包括以下步骤。
S1401,AUSF网元向UDM网元发送网络认证过程触发指示,该网络认证过程触发指示可以为Nausf_SoRProtection Response和/或Nasuf_UPUPtrotection Response。其中,Nausf_SoRProtection Response可以指示与K AUSF相关的Counter SoR达到上限、Nasuf_UPUPtrotection Response可以指示与K AUSF相关的Counter UPU达到上限。
S1402,UDM网元向AMF网元发送认证通知消息Authentication Notification(例如,可以为Nausf_UECM_AuthenticationNotification),该认证通知消息中可以包括SUPI,接入类型、认证原因等。其中认证原因可以是Counter SoR达到上限和/或Counter UPU达到上限。接入类型可以指示该认证过程所应用的是3GPP接入、非3GPP接入还是二者均可。
S1403,考虑到UE可能与AMF网元之间不存在NAS连接,5G核心网可以寻呼该UE。如果UE处于已注册(RM-REGISTERED)和CM空闲(CM-IDLE)状态,即经由3GPP接入可达,则AMF可以经由5G无线接入网(NG-RAN)节点向该UE发送寻呼消息,以创建与该UE之间的NAS连接。若UE处于CM连接(CM-CONNECTED)状态,则该步骤可省略。
S1404,一旦UE与AMF网元之间的NAS连接已建立,AMF网元可以向UE发送认证请求HN-triggered Authentication Request,该请求可以包括接入类型,且该请求可以经由NAS安全上下文安全保护。
S1405,如果UDM网元已向AMF网元请求认证通知确认,则AMF网元向UDM网元发送认证通知确认消息Authentication Notification ACK。
S1406,UE向AMF网元反馈认证响应HN-triggered Authentication Response,该响应可以包括用于进行网络认证过程所需信息,诸如UE自身能力信息。
S1407,安全锚功能(Security Anchor Function,SEAF)网元通过向AUSF网元发送认证请求消息Nausf_UEAuthentication_Authenticate Request以触发认证服务,该消息中可以包括SUCI或SUPI、服务网名称等信息。
S1408,AUSF网元向UDM网元发送认证获取请求消息Nudm_UEAuthentication_Get Request,该消息可以包括SUPI、服务网名称等信息,UDM网元基于SUPI可以选择认证方式。
S1409,基于UDM网元所选认证方式,进行改进的可扩展认证协议-密钥协商(Improved Extensible Authentication Protocol-Authentication and Key Agreement,EAP-AKA’)或5G-AKA过程。
S1410,AUSF网元生成并存储新的K AUSF,使用认证结果确认请求Nudm_UEAuthentication_ResultConfirmation Request向UDM网元通知网络认证过程的结果和时间。此外,AUSF网元对Counter SoR和Counter UPU进行重置。
S1411,UDM网元存储UE的认证状态信息,包括SUPI、指示认证成果或失败的认证结果、指示执行网络认证过程的时间的时间戳以及服务网名称等。
S1412,UDM网元向AUSF网元反馈认证结果确认响应Nudm_UEAuthentication_ResultConfirmation Response,以指示已经收到认证结果确认请求。
上述本申请提供的实施例中,分别从网络设备、用户设备的角度对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,网络设备和用户设备可以包括硬件结构、软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。
与上述几种实施例提供的认证方法相对应,本公开还提供一种认证装置,由于本公开实施例提供的认证装置与上述几种实施例提供的认证方法相对应,因此认证方法的实施方式也适用于本实施例提供的认证装置,在本实施例中不再详细描述。
图15为本公开实施例提供的一种认证装置1500的结构示意图,该装置可以用于UDM网元。
如图15所示,该装置1500可以包括收发模块1501。
收发模块1501用于从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
根据本公开实施例的认证装置,UDM网元从AUSF网元接收网络认证过程触发指示,并响应于该网络认证过程触发指示向AMF网元发送认证通知消息,从而实现了由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
图16为本公开实施例提供的一种认证装置1600的结构示意图,该装置可以用于AUSF网元。
如图16所示,该装置1600可以包括收发模块1601。
收发模块1601用于向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
根据本公开实施例的认证装置,AUSF网元向UDM网元发送网络认证过程触发指示,而UDM网元可以响应于该网络认证触发指示向AMF网元发送认证通知消息,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
在一些实施例中,如图17所示,所述装置1600还包括处理模块1602,所述处理模块用于在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
图18为本公开实施例提供的一种认证装置1800的结构示意图。该认证装置1800可用于AMF网元。
如图18所示,该装置1800可以包括收发模块1801。
收发模块1801用于从UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息
根据本公开实施例的认证装置,AMF网元可以从UDM网元接收到认证通知消息,向UE发送认证请求并从UE获取包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述收发模块1801还用于:向所述UE发送寻呼消息以创建所述NAS连接。
在一些实施例中,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述收发模块1801还用于:向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
在一些实施例中,如图19所示,所述装置1800还包括处理模块1802,所述处理模块1802用于:根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
在一些实施例中,所述处理模块1802还用于:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求和所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
在一些实施例中,所述认证通知消息还包括所述UDM网元发出所述认证通知消息的认证原因,所述认证原因包括以下中至少一种:漫游操纵计数达到上限值;以及UE参数更新计数达到上限值。
图20为本公开实施例提供的一种认证装置2000的结构示意图。该认证装置2000可用于UE。
如图20所示,该装置2000可以包括收发模块2001。
所述收发模块2001用于从AMF网元接收认证请求,其中,所述认证请求用于请求所述UE进行网络认证过程;以及向所述AMF网元反馈认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
根据本公开实施例的认证装置,UE可以从AMF网元接收到认证请求,并向AMF网元反馈包括进行网络认证过程所需信息的认证响应,以触发关于UE的网络认证过程,由此能够实现由网络侧触发关于UE的网络认证过程的机制,能够极大改善网络服务的连续性和安全性。
在一些实施例中,所述收发模块2001还用于:从所述AMF网元接收寻呼消息以创建与所述AMF网元之间的NAS连接。
在一些实施例中,如图21所示,所述装置2000还包括处理模块2002,所述处理模块2002用于:根据本地存储的NAS安全上下文对所述认证响应进行安全保护。
在一些实施例中,所述处理模块2002还用于:在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
在一些实施例中,所述认证请求包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括3GPP接入和/或非3GPP接入。
本申请实施例还提供一种认证系统,该系统包括前述图15实施例所述的UDM网元、图16-17实施例所述的AUSF网元、图18-19实施例所述的AMF网元。
请参见图22,图22是本申请实施例提供的一种通信装置2200的结构示意图。通信装置2200可以是网络设备,也可以是用户设备,也可以是支持网络设备实现上述方法的芯片、芯片系统、或处理器等,还可以是支持用户设备实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法,具体可以参见上述方法实施例中的说明。
通信装置2200可以包括一个或多个处理器2201。处理器2201可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对通信装置(如,基站、基带芯片,终端设备、终端设备芯片,DU或CU等)进行控制,执行计算机程序,处理计算机程序的数据。
可选的,通信装置2200中还可以包括一个或多个存储器2202,其上可以存有计算机程序2204,处理器2201执行所述计算机程序2204,以使得通信装置2200执行上述方法实施例中描述的方法。可选的,所述存储器2202中还可以存储有数据。通信装置2200和存储器2202可以单独设置,也可以集成在一起。
可选的,通信装置2200还可以包括收发器2205、天线2206。收发器2205可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器2205可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。
可选的,通信装置2200中还可以包括一个或多个接口电路2207。接口电路2207用于接收代码指令并传输至处理器2201。处理器2201运行所述代码指令以使通信装置2200执行上述方法实施例中描述的方法。
在一种实现方式中,处理器2201中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在一种实现方式中,处理器2201可以存有计算机程序2203,计算机程序2203在处理器2201上运行,可使得通信装置2200执行上述方法实施例中描述的方法。计算机程序2203可能固化在处理器2201中,该种情况下,处理器2201可能由硬件实现。
在一种实现方式中,通信装置2200可以包括电路,所述电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit,IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit,ASIC)、印刷电路板(printed circuit board,PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造,例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channel metal oxide semiconductor,PMOS)、双极结型晶体管(bipolar junction transistor,BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
以上实施例描述中的通信装置可以是网络设备或者用户设备,但本申请中描述的通信装置的范围并不限于此,而且通信装置的结构可以不受图22的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如所述通信装置可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据,计算机程序的存储部件;
(3)ASIC,例如调制解调器(Modem);
(4)可嵌入在其他设备内的模块;
(5)接收机、终端设备、智能终端设备、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等;
(6)其他等等。
对于通信装置可以是芯片或芯片系统的情况,可参见图23所示的芯片的结构示意图。图23所示的芯片包括处理器2301和接口2302。其中,处理器2301的数量可以是一个或多个,接口2302的数量可以是多个。
可选的,芯片还包括存储器2303,存储器2303用于存储必要的计算机程序和数据。
本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请还提供一种可读存储介质,其上存储有指令,该指令被计算机执行时实现上述任一方法实施例的功能。
本申请还提供一种计算机程序产品,该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解:本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围,也表示先后顺序。
本申请中的至少一个还可以描述为一个或多个,多个可以是两个、三个、四个或者更多个,本申请不做限制。在本申请实施例中,对于一种技术特征,通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征,该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。
如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
此外,应该理解,本申请所述的各种实施例可以单独实施,也可以在方案允许的情况下与其他实施例组合实施。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (23)

  1. 一种认证方法,其特征在于,所述方法由统一数据管理UDM网元执行,所述方法包括:
    从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及
    向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
  2. 如权利要求1所述的方法,其特征在于,所述认证通知消息还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
  3. 如权利要求1或2所述的方法,其特征在于,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:
    漫游操纵计数达到上限值;以及
    UE参数更新计数达到上限值。
  4. 如权利要求1-3中任一项所述的方法,其特征在于,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
  5. 一种认证方法,其特征在于,所述方法由鉴权服务器功能AUSF网元执行,所述方法包括:
    向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
  6. 如权利要求5所述的方法,其特征在于,所述网络认证过程触发指示还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:
    漫游操纵计数达到上限值;以及
    UE参数更新计数达到上限值。
  7. 如权利要求5或6所述的方法,其特征在于,还包括:
    在确认所述网络认证过程完成之后,生成新的AUSF网元密钥,并重置漫游操纵计数和UE参数更新计数的值。
  8. 一种认证方法,其特征在于,所述方法由接入和移动性管理功能AMF网元执行,所述方法包括:
    从统一数据管理UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;
    通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及
    接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
  9. 如权利要求8所述的方法,其特征在于,还包括:
    向所述UE发送寻呼消息以创建所述NAS连接。
  10. 如权利要求8或9所述的方法,其特征在于,所述认证通知消息还包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:
    向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
  11. 如权利要求8-10中任一项所述的方法,其特征在于,还包括:
    根据本地存储的NAS安全上下文对所述认证请求进行安全保护。
  12. 如权利要求11所述的方法,其特征在于,还包括:
    在所述网络认证过程完成之后,对本地存储的NAS安全上下文进行更新。
  13. 一种认证方法,其特征在于,包括:
    鉴权服务器功能AUSF网元向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;
    所述UDM网元响应于所述认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;
    所述AMF网元向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及
    所述AMF网元接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
  14. 如权利要求13所述的方法,其特征在于,所述认证通知消息包括用于向所述AMF网元请求认证通知确认消息的确认请求指示,所述方法还包括:
    所述AMF网元向所述UDM网元发送所述认证通知确认消息,其中,所述认证通知确认消息用于指示所述AMF网元已请求所述UE进行所述网络认证过程。
  15. 如权利要求13或14所述的方法,其特征在于,还包括:
    在所述网络认证过程完成之后,所述AUSF网元生成新的AUSF网元密钥,并对漫游操纵计数和UE参数更新计数进行重置。
  16. 如权利要求13-15中任一项所述的方法,其特征在于,所述认证通知消息和所述认证请求中还包括接入类型信息,所述接入类型信息用于指示所发起的网络认证过程可应用的接入类型,所述接入类型包括第三代合作伙伴计划3GPP接入和/或非3GPP接入。
  17. 如权利要求13-16中任一项所述的方法,其特征在于,所述网络认证过程触发指示和所述认证通知消息还包括所述AUSF网元请求触发所述网络认证过程的认证原因,所述认证原因包括以下中至少一种:
    漫游操纵计数达到上限值;以及
    UE参数更新计数达到上限值。
  18. 一种认证装置,其特征在于,用于统一数据管理UDM网元,包括收发模块,所述收发模块用于:
    从鉴权服务器功能AUSF网元接收网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;以及
    向接入和移动性管理功能AMF网元发送认证通知消息,其中,所述认证通知消息中包括所述UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程。
  19. 一种认证装置,其特征在于,用于网络认证服务器功能AUSF网元,包括收发模块,所述收发模块用于:
    向统一数据管理UDM网元发送网络认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程。
  20. 一种认证装置,其特征在于,用于接入和移动性管理功能AMF网元,包括收发模块,所述收发模块用于:
    从统一数据管理UDM网元接收认证通知消息,其中,所述认证通知消息中包括UE的标识,以及所述认证通知消息用于通知所述AMF网元进行关于所述UE的网络认证过程;
    通过所述AMF网元与所述UE之间的NAS连接,向所述UE发送认证请求,其中,所述认证请求用于请求所述UE进行所述网络认证过程;以及
    接收所述UE反馈的认证响应,其中,所述认证响应包括进行所述网络认证过程所需信息。
  21. 一种认证系统,包括鉴权服务器功能AUSF网元、统一数据管理UDM网元、接入和移动性管理功能AMF网元,其中,
    所述AUSF网元用于向所述UDM网元发送认证过程触发指示,其中,所述网络认证过程触发指示包括与所述AUSF网元对应的用户设备UE的标识,以及所述网络认证过程触发指示用于指示所述UDM网元触发关于所述UE的网络认证过程;
    所述UDM网元用于接收从所述AUSF网元发送的所述网络认证过程触发指示,并响应于所述网络认证过程触发指示向所述AMF网元发送认证通知消息,其中,所述认证通知消息包括所述UE的标识并用于通知所述AMF网元进行关于所述UE的网络认证过程;
    所述AMF网元向所述UE发送认证请求并从UE接收认证响应,其中,所述认证请求用于请求所述UE进行所述网络认证过程以及所述认证响应包括进行所述网络认证过程所需信息。
  22. 一种通信设备,其中,包括:收发器;存储器;处理器,分别与所述收发器及所述存储器连接,配置为通过执行所述存储器上的计算机可执行指令,控制所述收发器的无线信号收发,并能够实现权利要求1-17任一项所述的方法。
  23. 一种计算机存储介质,其中,所述计算机存储介质存储有计算机可执行指令;所述计算机可执行指令被处理器执行后,能够实现权利要求1-17任一项所述的方法。
PCT/CN2022/086928 2022-04-14 2022-04-14 认证方法及装置 WO2023197272A1 (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202280001201.6A CN117546500A (zh) 2022-04-14 2022-04-14 认证方法及装置
PCT/CN2022/086928 WO2023197272A1 (zh) 2022-04-14 2022-04-14 认证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2022/086928 WO2023197272A1 (zh) 2022-04-14 2022-04-14 认证方法及装置

Publications (1)

Publication Number Publication Date
WO2023197272A1 true WO2023197272A1 (zh) 2023-10-19

Family

ID=88328545

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2022/086928 WO2023197272A1 (zh) 2022-04-14 2022-04-14 认证方法及装置

Country Status (2)

Country Link
CN (1) CN117546500A (zh)
WO (1) WO2023197272A1 (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021094109A1 (en) * 2019-11-11 2021-05-20 Telefonaktiebolaget Lm Ericsson (Publ) Home network initiated primary authentication/reauthentication
US20210400482A1 (en) * 2019-03-01 2021-12-23 Huawei Technologies Co., Ltd. Authentication Result Update Method and Communications Apparatus
CN114143806A (zh) * 2020-08-12 2022-03-04 苹果公司 更新用户装备参数

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210400482A1 (en) * 2019-03-01 2021-12-23 Huawei Technologies Co., Ltd. Authentication Result Update Method and Communications Apparatus
WO2021094109A1 (en) * 2019-11-11 2021-05-20 Telefonaktiebolaget Lm Ericsson (Publ) Home network initiated primary authentication/reauthentication
CN114143806A (zh) * 2020-08-12 2022-03-04 苹果公司 更新用户装备参数

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"3 Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for 5G System (Release 15)", 3GPP TS 33.501, no. V0.5.0, 4 January 2018 (2018-01-04), pages 1 - 79, XP051392348 *

Also Published As

Publication number Publication date
CN117546500A (zh) 2024-02-09

Similar Documents

Publication Publication Date Title
USRE49729E1 (en) Session information management method and apparatus
WO2018082490A1 (zh) 用户终端位置区域更新方法、接入网实体、用户终端及核心网实体
CN113039825A (zh) 接入被拒绝的网络资源
US11032872B2 (en) Apparatus and method for deleting session context
EP3592008A1 (en) Method and device for using ladn in wireless communication system
EP3758424A1 (en) Method for determining clock source and device
EP3691306A1 (en) Charging method, device and system
WO2019174582A1 (zh) 一种消息传输方法和装置
WO2018166338A1 (zh) 一种秘钥更新方法及装置
WO2014023175A1 (zh) 一种终端多外部标识共存下的消息处理方法、网络侧设备
WO2018214762A1 (zh) 一种获取寻呼参数的方法及装置
WO2023197272A1 (zh) 认证方法及装置
WO2023197273A1 (zh) 认证方法及装置
WO2024031279A1 (zh) 一种网络设备管理方法及装置
EP4210368A1 (en) Authentication method and apparatus thereof
WO2019161538A1 (zh) 一种安全算法的确定方法及装置、计算机存储介质
WO2024060025A1 (zh) 通信管理方法及装置
WO2023212961A1 (zh) 切换方法及装置
WO2019095379A1 (zh) 一种业务激活及去激活的方法、装置、计算机存储介质
WO2023221000A1 (zh) 一种核心网中ai功能的认证授权方法及其装置
WO2023245387A1 (zh) 用户设备ue漫游条件下的应用认证与密钥管理akma应用程序密钥请求方法及装置
WO2022082667A1 (zh) 一种数据安全传输的方法及装置
WO2023245388A1 (zh) 安全通信方法及装置
JP2021514566A (ja) サービス伝送方法および装置、コンピュータ記憶媒体
EP4231751A1 (en) Wireless communication method, device, and system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22936920

Country of ref document: EP

Kind code of ref document: A1