CN117062071A - 鉴权方法、通信装置和计算机可读存储介质 - Google Patents

鉴权方法、通信装置和计算机可读存储介质 Download PDF

Info

Publication number
CN117062071A
CN117062071A CN202210489884.6A CN202210489884A CN117062071A CN 117062071 A CN117062071 A CN 117062071A CN 202210489884 A CN202210489884 A CN 202210489884A CN 117062071 A CN117062071 A CN 117062071A
Authority
CN
China
Prior art keywords
authentication
network element
request message
functional network
ausf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210489884.6A
Other languages
English (en)
Inventor
李�赫
吴�荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210489884.6A priority Critical patent/CN117062071A/zh
Priority to EP23799287.0A priority patent/EP4485988A4/en
Priority to PCT/CN2023/092298 priority patent/WO2023213301A1/zh
Publication of CN117062071A publication Critical patent/CN117062071A/zh
Priority to US18/938,104 priority patent/US20250063357A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/24Reselection being triggered by specific parameters
    • H04W36/32Reselection being triggered by specific parameters by location or mobility data, e.g. speed data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请实施例公开了鉴权方法、通信装置和存储介质,其中,该方法包括归属网络的第一功能网元确定是否需要对终端进行鉴权;在需要对终端进行鉴权的情况下,第一功能网元获取鉴权材料;第一功能网元根据所述鉴权材料,获取第一鉴权向量;第一功能网元向AMF发送第一鉴权请求消息以触发对终端进行鉴权,其中,第一鉴权请求消息包括第一鉴权向量。该方法中通过归属网络的第一功能网元确定触发对终端进行鉴权。

Description

鉴权方法、通信装置和计算机可读存储介质
技术领域
本申请涉及通信领域,并且更具体地,涉及通信领域中的鉴权方法和使用该鉴权方法的通信装置。
背景技术
目前,用户设备(user equipment,UE)接入5G网络,均需经过接入、鉴权的过程。当终端设备鉴权成功并进入连接态,用户设备可以与网络进行通信。
相关技术中,当用户设备接入5G网络,且终端是首次注册时,终端可以通过下一代基站(next generation node basestaion,gNB)或非3GPP合作功能(non-3GPPinterworking function,N3IWF)网元向核心网接入和移动管理(core access andmobility management function,AMF)实体发送该终端的身份信息。当AMF网元接收到终端的身份信息时,AMF网元可以根据该用户设备的身份信息选择鉴权服务功能(authentication server function,AUSF)实体以触发鉴权流程,AUSF向统一数据管理(unified data management,UDM)实体发送鉴权获取请求,UDM根据鉴权获取请求计算鉴权向量,再返回鉴权向量至AUSF网元,AUSF网元通过AMF网元向UE发送鉴权参数,UE校验鉴权参数,校验成功则表明网络侧验证通过,UE向AMF发送响应,AMF向AUSF发送认证校验信息,AUSF校验认证校验信息,校验成功则表明UE鉴权成功,由此完成鉴权流程。
在上述相关技术中,主鉴权流程是由服务网络的AMF网元发起,当前尚未发现由归属网络的功能网元触发主鉴权的方案。
发明内容
本申请提供一种由归属网络的功能网元发起鉴权的鉴权方法和使用该鉴权方法的通信装置。
第一方面,本申请实施例提供了一种鉴权方法,该方法包括:归属网络的第一功能网元确定是否需要对终端进行鉴权;在需要对所述终端进行鉴权的情况下,所述第一功能网元获取鉴权材料;所述第一功能网元根据所述鉴权材料,获取第一鉴权向量;所述第一功能网元向AMF发送第一鉴权请求消息以触发对所述终端进行鉴权,其中,所述第一鉴权请求消息包括所述第一鉴权向量。
在该技术方案中,通过归属网络的第一功能网元确定是否需要对终端进行鉴权,在需要进行鉴权的情况下,第一功能网元获取鉴权材料,根据鉴权材料,获取第一鉴权向量,第一功能网元再向AMF发送第一鉴权请求消息进而触发对终端进行鉴权,这样,鉴权流程的发起点在归属网络的第一功能网元,减少了AMF与第一功能网元之间的信令交互。
在一种实现方式中,第一功能网元为AUSF,第一功能网元获取所述鉴权材料的具体方式可以为:第一功能网元从存储的上下文中获取所述鉴权材料;或者第一功能网元从第四功能网元获取鉴权材料,第四功能网元为存储有鉴权材料的网元。
在一种实现方式中,第一功能网元确定是否需要对所述终端进行鉴权的具体方式可以为:所述第一功能网元接收来自第三功能网元的服务请求,所述服务请求用于向所述第一功能网元请求指定服务;响应于所述第三功能网元的服务请求,所述第一功能网元确定是否需要对所述终端进行鉴权。
在一种实现方式中,第一功能网元根据所述鉴权材料,获取第一鉴权向量的具体方式可以为:AUSF向UDM发送鉴权向量请求消息,其中,鉴权向量请求消息包括所述鉴权材料;所述AUSF接收来自所述UDM的鉴权向量响应消息,所述鉴权向量响应消息包括所述第一鉴权向量。
在一种实现方式中,第一功能网元为UDM,第一功能网元获取所述鉴权材料的具体方式可以为:第一功能网元从存储的上下文中获取所述鉴权材料;或者,第一功能网元从第四功能网元获取所述鉴权材料,所述第四功能网元为存储有所述鉴权材料的网元。
在一种实现方式中,第一功能网元根据所述鉴权材料,获取第一鉴权向量的具体方式可以为:所述第一功能网元根据所述鉴权材料,生成所述第一鉴权向量。
在一种实现方式中,鉴权材料具体包括以下一种或多种:服务网络名称,服务网络标识,网络标识符,移动国家码或移动网号。
第二方面,本申请实施例提供一种通信装置,该通信装置的结构中包括:处理模块,用于确定是否需要对终端进行鉴权;在需要对所述终端进行鉴权的情况下,所述处理模块获取鉴权材料;所述处理模块根据所述鉴权材料,获取第一鉴权向量;收发模块,用于向所述AMF发送第一鉴权请求消息以触发对所述终端进行鉴权,其中,所述第一鉴权请求消息包括所述第一鉴权向量。
在一种实现方式中,处理模块获取所述鉴权材料的具体方式可以为:所述处理模块从存储的上下文中获取所述鉴权材料;或者所述处理模块从第四功能网元获取所述鉴权材料,所述第四功能网元为存储有所述鉴权材料的网元。
在一种实现方式中,处理模块确定是否需要对所述终端进行鉴权的具体方式可以为:处理模块接收来自第三功能网元的服务请求,所述服务请求用于向所述处理模块请求指定服务;响应于所述第三功能网元的服务请求,所述处理模块确定是否需要对所述终端进行鉴权。
在一种实现方式中,处理模块根据所述鉴权材料,获取所述第一鉴权向量的具体方式可以为:所述处理模块向UDM发送鉴权向量请求消息,其中,所述鉴权向量请求消息包括所述鉴权材料;所述处理模块接收来自所述UDM的鉴权向量响应消息,所述鉴权向量响应消息包括所述第一鉴权向量。
在一种实现方式中,处理模块根据所述鉴权材料,获取所述第一鉴权向量的具体方式可以为:所述处理模块根据所述鉴权材料,生成所述第一鉴权向量。
在一种实现方式中,鉴权材料具体包括以下一种或多种:服务网络名称,服务网络标识,网络标识符,移动国家码或移动网号。
第三方面,本申请实施例提供另一种通信装置,该通信装置包括至少一个处理器,至少一个处理器执行用于执行存储在存储器中的指令,使得该通信装置实现上述第一方面所述的方法示例中的操作。
第四方面,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被通信装置执行时使该通信装置执行上述第一方面的方法。
附图说明
图1是5G服务化架构的示意图。
图2是一种鉴权方法的流程示意图。
图3是本申请实施例提供的一种鉴权方法的流程示意图。
图4是本申请实施例提供的又一种鉴权方法的流程示意图。
图5是本申请实施例提供的又一种鉴权方法的流程示意图。
图6是本申请实施例提供的鉴权装置的结构示意图。
图7是本申请实施例提供的鉴权装置的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。其中,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
本申请实施例的技术方案可以应用于各种通信系统,例如:第五代(5thGeneration,5G)移动通信系统中的新无线(New Radio,NR)以及未来的移动通信系统等。
(1)第五代(5th generation,5G)网络架构
如图1所示,为基于服务化架构的第五代(5th generation,5G)网络架构示意图。该架构可包括接入网和核心网,可选的,还可以包括用户设备(user equipment,UE)。
UE是一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持、穿戴或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。UE可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端设备、增强现实(augmented reality,AR)终端设备、工业控制(industrial control)中的无线终端、车载终端设备、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、可穿戴终端设备等等。UE有时也可以称为终端、终端设备、接入终端设备、车载终端、工业控制终端、UE单元、UE站、移动站、移动台、远方站、远程终端设备、移动设备、UE代理或UE装置等。UE也可以是固定的或者移动的。
接入网可以包括接入网络设备,接入网络设备可以是为终端设备提供接入的设备,可以包括无线接入网(radio access network,RAN)设备。RAN设备主要负责空口侧的无线资源管理、服务质量(quality of service,QoS)管理、数据压缩和加密等功能。RAN设备可以包括各种形式的基站,例如宏基站,微基站(也可以称为小站),中继站,接入点,气球站等。在采用不同的无线接入技术的系统中,具备基站功能的设备的名称可能会有所不同,例如,在5G系统中,称为RAN或者下一代基站(next-generation Node basestation,gNB);在长期演进(long term evolution,LTE)系统中,称为演进的节点B(evolved NodeB,eNB或eNodeB)。
核心网负责维护移动网络的签约数据,为UE提供会话管理、移动性管理、策略管理以及安全认证等功能。核心网可以包括如下网元:用户面功能(user plane function,UPF)、认证服务功能(authentication server function,AUSF)、接入和移动性管理功能(access and mobility management function,AMF)、会话管理功能(session managementfunction,SMF)、网络切片选择功能(network slice selection function,NSSF)、网络开放功能(network exposure function,NEF)、网络功能仓储功能(NF repositoryfunction,NRF)、策略控制功能(policy control function,PCF)、统一数据管理(unifieddata management,UDM)和应用功能(application function,AF)、AKMA服务的锚点网元(AKMA anchor function,AAnF)。
SMF网元,主要负责移动网络中的会话管理,例如会话建立、修改和释放。具体功能例如为用户分配互联网协议(internet protocol,IP)地址,选择提供报文转发功能的UPF等。UPF网元,主要负责用户数据的转发和接收,可以从数据网络接收用户数据,通过接入网络设备传输给UE;还可以通过接入网络设备从UE接收用户数据,转发至数据网络。PCF网元,主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略,例如服务质量(quality of service,QoS)策略、切片选择策略等。数据网络(data network,DN)用于为用户提供业务服务,可以是私有网络,例如局域网;也可以是不受运营商管控的外部网络,例如互联网(Internet);还可以是运营商共同部署的专有网络,例如提供IP多媒体子系统(IP multimedia subsystem,IMS)的网络。UE可通过建立的协议数据单元(protocoldata unit,PDU)会话,来访问DN。
AMF网元,主要负责移动网络中的移动性管理,例如用户位置更新、用户注册网络、用户切换等。为描述方便,后文简称AMF。
AUSF网元,用于执行UE的安全认证。AUSF网元接收到UE发起的认证请求之后,可通过UDM网元中存储的认证和/或授权信息对UE进行认证和/或授权,或者通过统一数据管理功能生成签约用户的认证和/或授权信息。为描述方便,后文简称AUSF。
UDM网元,用于存储用户数据,例如签约数据、鉴权/授权数据等。服务网络(serving network,SN),是AMF、AUSF所在的位置。
服务网络(serving network,SN),也称拜访网络,是一个终端使用N1接口连接的AMF所在的网络。服务网络是AMF、SMF所在的位置。
归属网络(Home network,HN),也称家乡网络,是指存储UE的签约数据的网元所在的网络。家乡网络可以被标识符标识。家乡网络标识符包括移动国家码(Mobile CountryCode,MCC)和移动网号(Mobile Network Code,MNC)。归属网络是AUSF、UDM所在的位置。
(2)主鉴权
当前,UE可以通过3GPP技术接入网络。当UE首次接入5G网络时,AMF需要启动UE和网络之间的相互认证,即主鉴权流程。并提供可在后续安全过程中在UE和服务网络之间使用的密钥材料,从而保证UE和核心网之间的安全性。主鉴权和密钥认证生成锚密钥KSEAF,锚密钥由归属网络的AUSF发送给服务网络的AMF。
参考图2所示的一种主鉴权流程图,包括但不限于如下步骤:
步骤201:AMF向AUSF发送第一鉴权请求消息。
当服务网络的AMF确定启动认证时,AMF通过向AUSF发送第一鉴权请求消息(UEAuthentication_Authenticate Request message),用于触发主鉴权流程。
第一鉴权请求消息可以包括如下一个或多个参数:用户身份标识、服务网络名称(serving network name,SN-name)。其中,用户身份标识用于标识用户设备,服务网络名称用于标识对应的服务网络。
可选地,用户身份标识为SUPI或SUCI。SUPI是用户的永久身份,可以全网唯一标识一个用户。SUCI是UE的匿名身份信息,是一种临时身份,用于保护SUPI不被暴露在空口,进而保护用户隐私。SUCI至少包括SUPI中除SUPI类型外的部分做加密后的结果。
步骤202:AUSF接收到第一鉴权请求消息后,依据第一鉴权请求消息携带的服务网络名称确定是否为允许接入的服务网络,当确定为允许接入的服务网络后,AUSF发送第一获取请求消息(UEAuthentication_Get Request)至UDM。
步骤203:UDM接收来自AUSF的第一获取请求消息,根据接收的第一获取请求消息生成第一鉴权向量,再发送响应于该第一获取请求消息的第一获取响应消息至AUSF。
其中,第一获取响应消息包括第一鉴权向量和用户身份标识。
一种实现方式中,用户身份标识为SUCI,UDM解析SUCI以获得用户设备的永久身份标识(SUPI),UDM基于SUPI确定鉴权算法,并生成第一鉴权向量。可选的,鉴权算法为EAP-AKA’鉴权或5G AKA。下面以5G AKA为例介绍。
UDM基于5G AKA算法生成第一鉴权向量,第一鉴权向量包括RAND,AUTN,XRES*和KAUSF。其中,RAND为随机数,KAUSF为归属网络中AUSF生成的中间密钥,XRES*为期望响应,根据秘钥生成函数(keyderivation functions,KDF)计算得到的,是期望的UE鉴权响应参数,用于与UE返回的响应RES*比较以确定鉴权是否成功;AUTN为认证令牌,AUTN为网络提供给UE以用于对归属网络进行鉴权的参数。
步骤204:AUSF接收来自UDM的第一获取响应消息,生成第二鉴权向量,发送第二鉴权响应消息至AMF。其中,第二鉴权响应消息包括第二鉴权向量。
AUSF接收第一获取响应消息后,AUSF临时存储XRES*和用户永久身份标识SUPI,计算第二鉴权向量,再发送第二鉴权响应至AMF。其中,第二鉴权向量包括RAND,AUTN,HXRES*。
具体的,AUSF基于XRES*计算得到HXRES*再使用HXRES*替换XRES*得到第二鉴权向量。
步骤205:AMF接收该第二鉴权响应消息,发送第二鉴权请求消息至UE,其中,第二鉴权请求消息用于在UE侧触发和网络侧的双向鉴权,第二鉴权请求消息携带RAND,AUTN。
步骤206:UE接收来自AMF的第二鉴权请求消息,UE验证网络是否为真实的。当UE确定网络是真实的,UE向AMF发送第二鉴权响应消息,该第二鉴权响应消息中包括鉴权响应RES*。
步骤207:AMF接收到RES*后,向AUSF发送第三鉴权请求消息,该第三鉴权请求消息包括AMF从UE处接收到的RES*。
基于RES*计算HRES*,比较HRES*与存储的HXRES*,若HRES*和HXRES*一致则认为AMF认为UE是真实的。之后,AMF向AUSF发送第三鉴权请求消息用于将从UE处接收到的RES*发送至AMF。
步骤208:AUSF接收到该第三鉴权请求消息后,将RES*与保存的XRES*比较,如果RES*与保存的XRES*一致,则认为UE鉴权成功。AUSF可向AMF发送第三鉴权响应消息,该第三鉴权响应消息中包括AUSF的鉴权结果。
上述鉴权方法,服务网络的AMF可在与UE建立信令连接的任何过程中触发对UE的鉴权。
在一种实现方式中,AMF接收用户设备的注册请求以发起对UE的鉴权。可选地,AMF通过RAN接收来自用户设备的首次注册请求,首次注册请求中携带用户设备标识(例如,SUCI),AMF基于SUCI确定对应的用户设备是否为被服务网络允许接入的用户设备。
在另一种实现方式中,AMF预配置策略触发对UE的鉴权。例如,AMF根据本地策略,在NAS COUNT即将翻转时触发对UE的鉴权。
在另一种实现方式中,例如UE从4G移动到5G,且AMF设有5G原生安全上下文的时候,AMF可触发主鉴权流程。
另一种触发对UE鉴权的方法,由UDM向为UE服务的AMF请求为UE发起鉴权,AMF响应于该请求触发主鉴权流程。示例的,AMF基于UDM的请求,按照上述步骤201至步骤208的方式执行鉴权流程。
另一种触发对UE鉴权的方法,由AUSF向为UE服务的AMF请求为UE发起鉴权,AMF响应于该请求发起主鉴权流程。AMF基于AUSF的请求,按照上述步骤201至步骤208的方式执行鉴权流程。与UDM向AMF请求对UE进行鉴权的不同之处在于,AUSF向AMF请求对UE进行鉴权需要先向UDM获取为UE服务的AMF信息。
上述的鉴权方法,其本质都是由服务网络的AMF向AUSF发送消息以开始鉴权流程。当AUSF或者UDM请求AMF发起对UE进行鉴权时,鉴权流程较为复杂,信令开销较大。
鉴于此,本申请提供一种由归属网络的功能网元发送消息给AMF,并直接开始对UE进行鉴权的方法。可以理解的,鉴权流程的发起点在归属网络的功能网元,而不再是服务网络的AMF。
对UE进行鉴权,是指核心网对UE进行安全认证,确定UE是真实可信的。同时,UE也能认证网络是真实的。若归属网络确定需要对UE进行鉴权,则归属网络发起归属网络鉴权流程。具体地,归属网络鉴权流程是由归属网络功能网元直接开始对UE进行鉴权。具体地,指当归属网络确定需要对UE鉴权时,归属网主动发送鉴权向量给AMF,并通过AMF发送给UE以执行鉴权的过程。
参考图3所示,本实施例提供的一种由归属网络的第一功能网元发起鉴权的方法,在该方法中第一功能网元为AUSF,该方法包括但不限于:
步骤301.AUSF确定是否需要对UE进行鉴权。
AUSF基于本地策略或第三功能网元的请求确定是否需要对UE进行鉴权。其中,第三功能网元为除AUSF以外的核心网网元。
在一种实现方式中,AUSF根据本地策略确定是否需要对UE进行鉴权。
可选地,本地策略可以包括:当AUSF发现漫游指导(Steering of roaming,SoR)计数器值或者通过UDM更新UE参数(UE parameters update via UDM,UPU)计数器值即将翻转时,AUSF确定需要对UE进行鉴权。
可选地,本地策略可以包括:当AUSF发现KAUSF的使用时间超过或即将超过运营商策略所规定的时间,则AUSF确定需要对UE进行鉴权。具体的,通过计时器记录KAUSF的使用时间,该计时器与UE的永久身份SUPI绑定,当该计时器记录的KAUSF的使用时间超过或即将超过预设值时,AUSF确定需要对UE进行鉴权。
可选地,本地策略可以包括:当AUSF发现距离前一次对UE鉴权成功的时间间隔超过或即将超过运营商策略所规定的时间,则AUSF确定需要对UE进行鉴权。具体的,可通过一个计时器记录距离前一次对UE鉴权成功的时间间隔,该计时器与UE的永久身份SUPI绑定。当AUSF确定UE鉴权成功后,计时器开始工作,当该计时器工作时间间隔超过或即将超过预设间隔值时,AUSF确定需要对UE进行鉴权。
在又一种实现方式中,AUSF接收来自第三功能网元的参数请求消息。该参数请求消息用于向AUSF请求参数,或者请求AUSF为UE进行鉴权。
其中,参数请求消息至少包括用户的永久身份SUPI。比如,参数请求消息可以用于请求KAKMA。再比如,参数请求消息用于请求SoR数据保护,或者请求UPU数据保护。
第三功能网元为AUSF以外的核心网功能网元。比如,该第三功能网元为AAnF,UDM,或者AF等功能网元。
可选地,第三功能网元是AAnF,AAnF向AUSF发送KAKMA更新请求消息,该更新请求消息用于请求一个新的KAKMA密钥。比如,该更新请求消息为Nausf_AKMA_AnchorKey_Refresh。AUSF根据该更新请求消息确定是否需要更新KAKMA,若确定需要更新KAKMA则确定需要对UE进行鉴权。
可选地,第三功能网元是UDM,UDM向AUSF发送SoR保护请求消息或者UPU保护请求消息,该请求消息中携带的数据需要使用KAUSF做安全保护。当AUSF发现需要更新KAUSF,或者AUSF本地没有存储KAUSF时,则确定需要对UE进行鉴权。具体的,该请求消息为Nausf_SoRProtection message,或者Nausf_UPUProtection message。
可选地,第三功能网元是UDM,UDM接收到AAnF请求更新KAKMA请求时,UDM向AUSF发送请求消息。此时,该请求消息用于请求更新KAKMA。比如,该请求消息为Nausf_AKMA_KAKMA_Refresh message。AUSF确定是否需要更新KAKMA,若确定需要更新KAKMA则确定需要对UE进行鉴权。此时,可选地,Nausf_AKMA_KAKMA_Refresh消息中还携带有AAnF ID,该AAnF ID用于告知是哪个AAnF请求密钥更新,以便于后续AUSF直接发送更新后的KAKMA给AAnF。
可选地,第三功能网元是UDM,UDM接收到第四功能网元请求更新KAF密钥的请求消息,UDM向AUSF发送KAF更新请求消息,该请求消息用于请求一个新的KAF密钥,AUSF确定需要更新KAF对应的KAKMA时,则确定需要对UE进行鉴权。示例的,第四功能网元为AAnF,或者3GPP内部AF或者3GPP外部AF,当第四功能网元为3GPP外部的AF时,该AF通过NEF请求更新KAF。该更新请求消息为Nausf_AKMA_KAF_Refresh message。
可选地,第三功能网元是3GPP内部AF,或者用于3GPP外部AF使用的NEF,AUSF接收到AF或者NEF请求更新KAF时,3GPP内部AF或者NEF向AUSF发送请求消息。此时,该请求消息用于请求更新KAF。AUSF确定需要更新KAF对应的KAKMA时,则确定需要对UE进行鉴权。该更新请求消息为Nausf_AKMA_KAF_Refresh message。
可选地,第三功能网元是3GPP内部AF,或者用于3GPP外部AF使用的NEF,AUSF接收到来自3GPP内部AF或者NEF的请求消息。此时,该请求消息用于请求对UE进行鉴权,AUSF响应于该请求消息,确定需要对UE进行鉴权。该请求消息为Nausf_UEAuthentication_Authenticate Requestmessage。
可选地,第三功能网元是UDM,UDM接收到来自第四功能网元对UE进行鉴权的请求,则UDM确定需要对UE进行鉴权。示例的,第四功能网元为AAnF,或者3GPP内部AF或者3GPP外部AF,当第四功能网元为3GPP外部的AF时,该AF通过NEF请求对UE进行鉴权。
在第三种实现方式中,AUSF可以根据本地策略和第三功能网元的请求消息综合判断是否需要对UE进行鉴权。
可选地,第三功能网元是AAnF。AAnF向AUSF发送KAKMA更新请求消息。该更新请求消息用于请求一个新的KAKMA密钥。比如,该更新请求消息为Nausf_AKMA_AnchorKey_Refresh消息。AUSF在接收到该更新请求消息后,AUSF根据本地策略进一步判断是否对UE进行鉴权。
进一步地,本地策略为距离前次鉴权成功的时间间隔是否超过或即将超过运营商策略所规定的时间。AUSF可以根据距离前次鉴权成功的时间间隔判断是否需要对UE进行鉴权。距离前次鉴权成功的时间间隔小于预设值,则确定无需对UE进行鉴权;若距离前次鉴权成功的时间间隔超过预设值时,则AUSF确定需要对UE进行鉴权。
进一步地,本地策略为比对本地保存的KAKMA与AAnF发送的KAKMA是否一样来确定是否需要对UE进行鉴权。具体地,AUSF根据AAnF发送的KAKMA与本地保存的KAKMA进行对比,若一样,则确定对UE进行鉴权;若不一样,则确定不对UE进行鉴权。
进一步地,本地策略为比对本地保存的KAKMA密钥标识符与AAnF发送的KAKMA密钥标识符是否一样来确定是否需要对UE进行鉴权。具体的,AUSF比对AAnF发送的KAKMA密钥标识符与本地保存的KAKMA密钥标识符,若一样,则确定对UE进行鉴权;若不一样,则确定不对UE进行鉴权。其中,KAKMA密钥标识符由AUSF生成,用于标识KAKMA,示例的,它可以为3bit长的密钥标识符,也可以是AKMA密钥标识符(AKMA Key Identifier,A-KID)。
可选地,第三功能网元是3GPP内部AF,或者用于3GPP外部AF使用的NEF。AUSF接收到AF或者NEF请求对UE进行鉴权的鉴权请求消息。AUSF根据本地策略查看UE是否刚被鉴权过或者举例上次UE鉴权成功的时间间隔是否在有效期内,如果不在有效期内,则确定需要对UE进行鉴权。示例的,该消息为Nausf_UEAuthentication_Authenticate Requestmessage。
步骤302.在需要对终端进行鉴权的情况下,AUSF获取鉴权材料。
需要说明的是,本实施例中,“获取”可理解为“主动获取”,包括但不限于AUSF主动从本地存储的上下文中获取或主动发起鉴权材料获取请求消息。可以理解的,“获取”亦可理解为AUSF可直接地或间接地从第四功能网元接收鉴权材料,第四功能网元为存储或生成鉴权材料的功能网元。
其中,鉴权材料是直接地或者间接地用于生成鉴权向量的材料。鉴权材料包括但不限于以下的一种或多种:服务网络名称(serving network name,SN name),服务网络标识(serving network identifier,SN ID),网络标识符(Network identifier,NID),MCC或MNC。
示例的,当鉴权材料为SN Name,SN Name可以直接用于生成鉴权向量。其中,SNName是由SN ID生成的。比如,SN Name可以是由SN ID与字符串“5G”使用“:”进行拼接得到:5G:SN ID。SN ID的格式可以是MCC与MNC拼接得到。网络标识符用于标识UE所在的网络。本实施例不限制SN Name的生成方法,也不限制SN ID的具体格式。
示例的,当鉴权材料为MCC和MNC,AUSF可以根据MCC和MNC得到SN Name。该SN Name最终用于获取鉴权向量。具体地,AUSF可以从UE的永久身份SUPI中获取MCC和MNC。
示例的,当鉴权材料为MCC和MNC,AUSF可以使用MCC和MNC先获取SN ID,再使用SNID与“5G”进行拼接,最终得到SN Name。
示例的,当鉴权用于私网场景时,则AUSF可以根据鉴权所在的场景构造出鉴权材料。例如,如果SN Name需要NID组成,那么AUSF可以从本地存储获取SUPI对应的NID。
在一种实现方式中,AUSF从本地存储的上下文中获取对UE进行鉴权所需的鉴权材料。例如,前一次鉴权中AMF发送AUSF的鉴权请求消息包括SN_name,将该SN_name存储在本地的上下文中。
在另一种实现方式中,AUSF从第四功能网元获取鉴权材料。其中,第四功能网元为存储鉴权材料的功能网元。
在一种具体实现方式中,第四功能网元为AMF,AUSF向UDM发送AMF ID请求消息。该AMF ID请求消息用于向UDM请求为UE服务的AMF信息。
该AMF ID请求消息携带需要鉴权的UE的用户的永久身份SUPI。
可选地,该AMF ID请求消息携带指示信息,该指示信息用于指示该请求消息是用于请求为UE服务的AMF ID。
可选地,该AMF ID请求消息本身就可以触发UDM知晓该消息的作用是用于请求为UE服务的AMF ID。比如,该消息为Nudm_UECM Request消息,或者Nudm_UEAuthenticationGet Request消息,或者Nudm_HNAuthentication Get Request消息。其中,HNAuthentication代表家乡网络鉴权服务。该家乡网络鉴权服务在不同实施例中可以是不同网元使用的服务。比如,该家乡网络鉴权服务可以是AMF的服务。再比如,他可以是AUSF的服务。再比如,他可以是UDM的服务。本实施例不做限定。
相应地,UDM接收该AMF ID请求消息,根据SUPI确定AMF ID后,发送AMF ID响应消息给AUSF。其中,该AMF ID响应消息中携带AMF ID。该AMF ID响应消息为Nudm_UECMResponse消息,或者Nudm_UEAuthentication Get Response消息,或者Nudm_HNAuthentication Get Response消息。
AUSF根据AMF ID确定AMF,向该AMF发送SN Name获取请求消息。该SN Name获取请求消息用于获取鉴权材料,例如SN Name。该SN Name获取请求消息中携带所述SUPI。该SNName获取请求消息为Namf_UEAuthentication_Authenticate消息,或者Nausf_UEAuthentication_Authenticate Request消息,或者Nausf_HNAuthentication_Authenticate Request消息,或者Namf_HNAuthentication_Authenticate Request消息,或者Namf_HNAuthentication_Get Request消息。
AMF在收到所述SN Name获取请求消息后,确定为该SUPI服务,则发送SN Name至AUSF。
可选地,AMF可通过响应于该SN Name获取请求消息的响应消息发送SN Name至AUSF。比如,该响应消息为Namf_UEAuthentication_Authenticate Response,或者Nausf_UEAuthentication_Authenticate Response消息,或者Nausf_HNAuthentication_Authenticate Response消息,或者Namf_HNAuthentication_Authenticate Response消息,或者Namf_HNAuthentication_Get Response消息。
可选地,该消息中还携带SUPI。
可选地,AMF也可以通过AUSF鉴权请求消息发送该SN Name,比如,该消息为Nausf_UEAuthentication_Authenticate Request。此时,该消息中还携带SUPI。
上述过程可以理解的,在AUSF确定对终端进行鉴权的情况下,AUSF向第四功能网元发送获取请求消息以获取鉴权材料,第四功能网元响应于该获取请求消息,将存储或生成的鉴权材料发送给AUSF。
步骤303.AUSF根据鉴权材料,获取第一鉴权向量。
AUSF根据鉴权材料从UDM获取第一鉴权向量。具体的,AUSF发送鉴权材料至UDM,UDM根据鉴权材料生成第一鉴权向量再将该第一鉴权向量发送至AUSF。在一种实现方式中,该步骤包括:
步骤303a:AUSF向UDM发送鉴权向量请求消息。该鉴权向量请求消息包括鉴权材料和SUPI。具体的,鉴权材料可以为SN_name。可选地,鉴权向量请求消息还携带有指示信息,指示信息指示获取SUPI的第一鉴权向量。
该鉴权向量请求消息为Nudm_UEAuthentication_Get Request消息,或者Nudm_HNAuthentication Get Request消息,或者Nausf_HNAuthentication_AuthenticateRequest消息。该消息中携带鉴权材料和UE的永久身份。
步骤303b:UDM根据SUPI生成第一鉴权向量。
UDM根据SUPI确定鉴权方法,并根据鉴权材料生成第一鉴权向量。
可选的,鉴权方法为EAP-AKA’鉴权或5G AKA。
若为5G-AKA鉴权方法,则第一鉴权向量包括随机数RAND,第一认证令牌AUTN,第一期望响应XRES*和认证服务密钥KAUSF
若为EAP-AKA’鉴权方法,则第一鉴权向量包括随机数RAND,第二认证令牌AUTN,第二期望响应RES*,加密密钥CK和完整性密钥IK。
可以理解的是,鉴权方法可以有很多种,本实施例只是以EAP-AKA’和5G AKA进行举例。本实施例不对鉴权方法和第一鉴权向量做限定。
步骤303c:AUSF接收来自UDM的鉴权向量响应消息,所述鉴权向量响应消息包括第一鉴权向量。
所述鉴权获取响应消息可以为Nudm_UEAuthentication_Get消息,或者Nudm_HNAuthentication Get Response消息,或者Nausf_HNAuthentication_AuthenticateRequest消息。本实施例不限制具体的消息名称。
可选的,所述鉴权获取请求响应还包括SUPI。
步骤304.AUSF接收来自UDM的鉴权获取响应消息后,向AMF发送第一鉴权请求消息,该第一鉴权请求消息用于触发服务网络对UE进行鉴权。其中,第一鉴权请求消息包括第二鉴权向量。可选地,还携带用户的永久身份标识。
第一鉴权请求消息用于告知AMF执行对UE进行鉴权的流程,是一条服务化请求消息。比如,该消息是NAMF_UEAuthentication_Request消息,或者Nausf_UEAuthenticationAuthenticate Reques消息,或者Nausf_UEAuthentication Authenticate Response消息,Namf_HNAuthentication_Authenticate Request消息,或者Nausf_HNAuthentication_Authenticate Request消息。
当第一鉴权请求消息为Namf_HNAuthentication_Authenticate Request时,表示AUSF使用的是AMF的家乡网络鉴权服务,该第一鉴权请求消息的是家乡网络请求对UE进行鉴权的操作。此时,AMF需要检查该第一鉴权请求消息是否来自于归属网络的功能网元。比如,AMF检查该第一鉴权请求消息是否来自于AUSF或者UDM。如果是,则AMF处理该消息,执行步骤305;如果不是,则丢弃该消息。
当第一鉴权请求消息为Nausf_HNAuthentication_Authenticate Request时,表示AUSF使用的是自己的服务,该第一鉴权请求消息的是家乡网络请求对UE进行鉴权的操作。此时,AMF需要检查该第一鉴权请求消息是否来自于归属网络的功能网元。比如,AMF检查该第一鉴权请求消息是否来自于AUSF或者UDM。如果是,则AMF处理该消息,执行步骤305;如果不是,则丢弃该消息。
当第一鉴权请求消息为NAMF_UEAuthentication_Request时,表示AUSF使用的是AMF的服务,该第一鉴权请求消息的是请求对UE进行鉴权的操作。此时,AMF需要检查该第一鉴权请求消息是否来自于归属网络的功能网元。比如,AMF检查该第一鉴权请求消息是否来自于AUSF或者UDM。如果是,则AMF处理该消息,执行步骤305;如果不是,则丢弃该消息。
当第一鉴权请求消息是Nausf_UEAuthentication Authenticate Request消息时,表明该消息是AUSF的UEAuthentication服务,并且该消息是一条请求消息。因为Nausf_UEAuthentication服务是现有AUSF服务,因此为了兼容现有技术,避免开发复杂度,因此可以重用该服务。但是需要说明的是,在现有技术中,AUSF使用的是该Nausf_UEAuthentication Authenticate服务的响应消息,即Nausf_UEAuthenticationAuthenticate Response消息,将第二鉴权向量发送给AMF。而本实施例使用的是Nausf_UEAuthentication Authenticate服务的请求消息。AMF接收该第一鉴权请求消息并检查该第一鉴权请求消息是否来自于AUSF或者UDM,是则执行步骤305,否则丢弃该第一鉴权请求消息并触发告警信息。
第一鉴权请求消息也可以为Nausf_UEAuthentication Authenticate Response消息,与现有技术的不同之处在于该第一鉴权请求消息不是作为请求消息的响应消息。
其中,所述第一鉴权向量与所述第二鉴权向量可能相同也可能不同。
例如,若步骤303中采用鉴权方法为5G-AKA,第一鉴权向量与第二鉴权向量不同,第二鉴权向量包括RAND,AUTN,HXRES*;HXRES*由XRES*变化得到。
例如,所步骤303中采用鉴权方法为EAP-AKA’,第一鉴权向量和第二鉴权向量相同。第二鉴权向量包括RAND,第二认证令牌AUTN,第二期望响应RES*,加密密钥CK和完整性密钥IK。在此步骤中,通过AUSF向AMF发起第一鉴权请求消息作为触发对UE进行鉴权的起点,执行后续的UE鉴权流程。而前述的鉴权方法中,由AMF作为触发对UE进行鉴权的起点。
AUSF将RES*保存在本地,作为保存的鉴权响应。
步骤305.AMF发送第二鉴权请求消息至UE。
AMF接收第一鉴权请求消息后,向该UE发送第二鉴权请求消息。其中,第二鉴权请求消息包括第二鉴权向量中的全部或部分参数。
具体地,可选地,在发送第二鉴权请求消息前,AMF先确定该AMF仍然在为该UE服务。
在一种实现方式中,第二鉴权请求消息是Authentication Request。
在另一种实现方式中,第二鉴权请求消息为DL(Downlink)NAS Transport NAS消息,用于传递第二鉴权向量。其中,第二鉴权向量携带有指示信息,用于指示UE该消息传递的是用于对UE进行鉴权的参数。该指示信息可以是二进制比特位信息,或者字符串指示信息。比如,当消息携带“authentication”时,则UE知道该DL NAS Transport NAS是为触发双向鉴权。
步骤306.UE根据接收的第二鉴权请求消息中携带的参数验证网络是否为真实的。当UE确定网络是真实的,UE向AMF发送第二鉴权响应消息。其中,第二鉴权响应消息携带鉴权响应RES*。
在一种实现方式中,第二鉴权响应消息是Authentication Response。
在另一种实现方式中,第二鉴权请求消息为UL(Uplink)NAS Transport NAS消息。
步骤307.AMF接收到第二鉴权响应消息后,向AUSF发送响应于第一鉴权请求消息对应的第一鉴权响应消息,第一鉴权响应消息包括所述鉴权响应。
相应地,该第二鉴权响应消息为NAMF_UEAuthentication_Response消息,或者Nausf_UEAuthentication Authenticate Response消息,或者Nausf_UEAuthenticationAuthenticate Request,或者Nausf_HNAuthentication_Authenticate Response消息,或者Namf_HNAuthentication_Authenticate Response消息。NAMF_UEAuthentication服务和Nausf_UEAuthentication参考步骤304中的相关描述。
步骤308.AUSF对UE进行鉴权。具体地,AUSF将该鉴权响应与本地保存的鉴权响应比较,若一致则认为UE鉴权成功。
步骤305-步骤308根据所述第二鉴权向量确定UE鉴权成功的具体方法可以参考3GPP标准TS 33.501章节6.1中的相关描述。在此不再赘述。
步骤301-步骤308中描述的鉴权方法,AUSF响应于本地策略或者第三功能网元请求确定需要对终端进行鉴权的情况下,AUSF主动从本地存储的上下文或者第四功能网元获取鉴权材料,并进一步获取根据鉴权材料生成的鉴权向量后,发送第一鉴权请求消息至AMF以触发对UE的鉴权。不同于前述方法中AMF发起鉴权流程的是,本实施例中鉴权流程的发起点是在归属网络的AUSF,而不是来自AMF的请求。这样,AUSF不再依赖AMF的请求才可以触发对UE进行鉴权,减少了AMF与AUSF的信令交互。
可选地,在步骤301中当AUSF接收第三功能网元的参数请求,根据第三功能网元的参数请求消息确定对UE进行鉴权时,需要返回该参数至该第三功能网元。
如果在该步骤301中,AUSF接收来自第三功能网元的服务参数请求消息,AUSF还需回复参数响应消息至第三功能网元。AUSF还需回复参数响应消息至第三功能网元存在以下三种情况:
第一种情况,AUSF直接发送参数响应消息给第三功能网元。该参数响应消息携带请求的参数或者鉴权结果。
示例的,当第三功能网元是AAnF,并且参数请求消息用于请求一个新的KAKMA密钥时,则AUSF在对UE鉴权成功后,使用该鉴权过程中生成的KAUSF生成新的KAKMA密钥,并将新的KAKMA密钥携带在该参数响应消息。
示例的,当第三功能网元是UDM,并且UDM向AUSF发送的参数请求消息是请求对SoR或者UPU保护。AUSF确定对UE进行鉴权,在鉴权成功后,AUSF利用新生成的KAUSF对SoR数据或者UPU数据做安全保护,之后将安全保护的结果通过该参数响应消息发送给UDM。
示例的,当第三功能网元是UDM时,参数请求消息用于请求新KAKMA时,在AUSF决定对UE进行鉴权。AUSF在对UE鉴权成功后,使用该鉴权过程中生成的KAUSF生成新的KAKMA密钥,之后将新的KAKMA密钥通过返回参数消息发送给UDM。如果UDM是从第四功能网元,比如AAnF收到的请求更新KAKMA时,UDM要进一步地将收到的新的KAKMA密钥发送给该AAnF。
示例的,当第三功能网元是是3GPP内部AF,或者用于3GPP外部AF使用的NEF。参数请求消息用于请求对UE进行鉴权。AUSF决定对UE进行鉴权。在鉴权成功后,AUSF发送返回参数消息发送给UDM。可选地,该消息中携带鉴权结果。
示例的,当第三功能网元是UDM,UDM接收第四功能网元的请求消息用于请求对UE进行鉴权。AUSF确定对UE进行鉴权。在鉴权成功后,AUSF发送返回参数消息发送给UDM。可选地,该返回参数消息中携带鉴权结果。UDM要进一步地将鉴权结果告知第四功能网元。
第二种情况,AUSF发送参数响应消息给第三功能网元,该返回响应消息用于告知第三功能网元参数请求消息收到。AUSF在对UE鉴权成功后,AUSF直接发送参数消息请求的参数,或者鉴权结果发送给第四功能网元,或者与第四功能网元同类型的网元。
第一种示例为,当第三功能网元是UDM时,并且UDM向AUSF发送请求对SoR数据或者UPU数据进行保护的保护消息。AUSF在接收到该保护消息后,因本地存储的KAUSF失效或即将失效,或者本地没有存储KAUSF,则确定对UE进行鉴权。同时,AUSF向UDM发送参数响应消息。该参数响应消息用于告知UDM请求失败。可选地,返回参数消息中携带原因值,原因值用于告知UDM没有密钥KAUSF,或者KAUSF失效或即将失效。UDM可以在后续流程中可以重新发起该请求,比如在之后,UDM确定对UE鉴权成功后。本实施例不限制AUSF决定对UE进行鉴权和AUSF回复失败消息的先后顺序,也不限制UDM如何确定UE鉴权成功。
第二种示例为,当第三功能网元是UDM,请求消息用于请求更新KAKMA时。AUSF可在收到该请求消息后,AUSF确定对UE进行鉴权。同时,AUSF也向UDM发送返回参数消息。该参数响应消息用于告知UDM接收到参数请求消息。AUSF在对UE鉴权成功后,使用该鉴权过程中生成的KAUSF生成新的KAKMA密钥,并将新的KAKMA密钥直接发送给AAnF。该AAnF可以是向该UDM请求密钥KAKMA的AAnF,也可以是其他AAnF。如果UDM在参数请求消息中携带了AAnF ID,则AUSF可以发送KAUSF给该AAnF ID对应的AAnF。本实施例不限制AUSF决定对UE进行鉴权和参数响应消息的先后顺序。
第三种示例为,当第三功能网元是UDM时,UDM接收第四功能网元的请求消息用于请求对UE进行鉴权。AUSF决定对UE进行鉴权。在鉴权成功后,AUSF发送返回参数消息发送给UDM,该返回参数消息用于告知UDM接收到参数请求消息。
参考图4所示,本申请提供另一种由归属网络的功能网元触发鉴权的方法,与图3所示方法的不同之处在于,在本实施中,UDM获取鉴权材料。该方法包括但不限于:
步骤401.AUSF确定是否需要对UE进行鉴权。
该步骤可参考步骤301,在此不再赘述。
步骤402.在确定需要对终端进行鉴权的情况下,AUSF向UDM发送获取请求消息,该获取请求消息用于获取第一鉴权向量。其中,该获取请求消息包括SUPI。
可选地,该获取请求消息还包括指示信息,所述指示信息用于指示UDM需要对UE进行鉴权。指示信息可以是比特位指示信息,也可以是一个预先确定的SN-Name值。比如SN-Name的比特位为全0或者全1。
示例的,该获取请求消息为Nudm_UEAuthentication_Get Reques message,为或者Nudm_HNAuthentication Get Request消息。
步骤403.UDM接收该获取请求消息后,获取鉴权材料。
可选地,在UDM接收该获取请求消息后,获取鉴权材料前,UDM确定该UE需要鉴权。具体地,可以参考后文步骤501的相关描述。
UDM可以直接根据本地存储的信息获得鉴权材料,或者UDM可以从第四功能网元获取鉴权材料。例如,第四功能网元为AMF。
在一种实现方式中,UDM本地存储鉴权材料,UDM从本地存储获取鉴权材料。例如,前一次鉴权中使用的SN_name存储在UDM本地的上下文中。
再比如,UDM根据本地存储的与SUPI对应的上下文确定为UE服务的服务网络信息,比如,AMF ID或者PLMN ID。从该服务网络信息中获取MCC和MNC,根据MCC和MNC生成SNName。
在另一种实现方式中,UDM从第四功能网元获取鉴权材料。其中,第四功能网元为存储鉴权材料的功能网元。
在一种具体实现方式中,第四功能网元为AMF,UDM从SUPI对应的上下文中获取正在为UE服务的AMF信息,比如AMF ID。UDM根据AMF ID确定AMF,向该AMF发送SN Name获取请求消息。该SN Name获取请求消息用于获取鉴权材料,例如SN Name。该SN Name获取请求消息中携带所述SUPI。该SN Name获取请求消息为Namf_UEAuthentication_AuthenticateRequest消息,或者Namf_HNAuthentication_Get Request消息。
AMF在收到所述SN Name获取请求消息后,确定为该SUPI服务,则发送SN Name至AUSF。
可选地,AMF可通过响应于该SN Name获取请求消息的响应消息发送SN Name至AUSF。比如,该响应消息为Namf_UEAuthentication_Authenticate Response,或者Nausf_UEAuthentication_Authenticate Response消息,或者Namf_HNAuthentication_GetResponse消息。可选地,该消息中还携带SUPI。
可选地,AMF也可以通过AUSF鉴权请求消息发送该SN Name,比如,该消息为Nausf_UEAuthentication_Authenticate Request。此时,该消息中还携带SUPI。
上述过程可以理解的,UDM向第四功能网元发送获取请求消息以获取鉴权材料,第四功能网元响应于该获取请求消息,将存储或生成的鉴权材料发送给UDM。
上述过程可以理解的,UDM向第四功能网元发送获取请求消息以获取鉴权材料,第四功能网元响应于该获取请求消息,将存储或生成的鉴权材料发送给UDM。
步骤404.UDM根据获取的鉴权材料生成第一鉴权向量。
UDM根据SUPI确定鉴权方法,并根据鉴权材料生成第一鉴权向量。
步骤405.UDM向AUSF发送获取响应消息,所述获取响应消息包括第一鉴权向量。
该步骤可参考步骤303c,在此不再赘述。
步骤406.AUSF接收来自UDM的鉴权获取响应消息后,向AMF发送第一鉴权请求消息,该消息用于触发对UE进行鉴权。其中,第一鉴权请求消息包括第二鉴权向量。可选地,还携带用户的永久身份标识。
该步骤可参考步骤304,在此不再赘述。
步骤407-步骤409执行后续的鉴权流程,其实现后续鉴权流程的方法与步骤305-308相同,这里不再赘述。
参考图5所示,本申请提供的另一种由归属网络的功能网元触发鉴权的方法,在该方法中第一功能网元为UDM,该方法包括但不限于:
步骤501.UDM确定是否需要对UE进行鉴权。
UDM根据本地策略或第三功能网元的请求确定是否需要对UE进行鉴权。其中,第三功能网元为除UDM以外的核心网网元。
在一种实现方式中,UDM根据本地策略确定是否需要对UE进行鉴权。
可选地,本地策略可以包括:UDM根据本地是否存储有AUSF ID来确定是否需要对UE进行鉴权。当UDM要发送漫游指导(Steering of roaming,SoR)数据或者UPU数据给UE,但是UDM没有存储对应的AUSF ID时,UDM无法找到对应的AUSF为SoR数据或者UPU数据提供安全保护,则UDM确定需要对UE进行鉴权。即,在UDM确定本地没有存储AUSF ID的情况下,UDM决定对UE进行鉴权。
可选地,本地策略可以包括:UDM根据UE是否被5G网络鉴权来确定是否需要对UE进行鉴权。比如,UE首次接入的是4G核心网,后来,在有5G网络覆盖的情况下,UE从4G网络移动到5G网络,并开始使用5G网络。根据现有标准,该过程中,AMF是可以不发起鉴权的。也就是说,UE在接入5G网络后,并没有被5G网络鉴权过。因此,UDM可以根据UE未被5G网络鉴权过,来确定对UE进行鉴权。
可选地,本地策略可以包括:UDM根据距离前一次鉴权成功的时间间隔是否满足预设值,确定是否需要对UE进行鉴权。若UDM发现前一次对UE鉴权成功的时间间隔超过或即将超过运营商策略规定时间,则UDM确定需要对UE进行鉴权。具体的,可通过一个计时器记录距离前一次对UE鉴权成功的时间间隔,该计时器与UE的永久身份SUPI绑定。当AUSF确定UE鉴权成功后,计时器开始计时,当该计时器记录的时间间隔超过或即将超过预设间隔值时,AUSF确定需要对UE进行鉴权。
在又一种实现方式中,UDM接收来自第三功能网元的参数请求消息,该参数请求消息用于向UDM请求参数,或者请求UDM为UE进行鉴权。该参数请求消息至少包括用户的永久身份。
比如,参数请求消息可以用于请求KAKMA。再比如,参数请求消息是请求发送SoR数据或者UPU数据的保护消息的响应消息,该响应消息用于表示请求失败。AUSF在接收参数请求消息后,因为本地存储的KAUSF失效或即将失效,或者本地没有存储KAUSF,则回复响应消息告知UDM请求失败。
第三功能网元为除UDM以外的核心网功能网元。该第三功能网元为AAnF,AUSF,或者AF等功能网元。
示例的,当第三功能网元是AAnF时,AAnF向UDM发送KAKMA更新请求消息。该KAKMA更新请求消息用于请求一个新的KAKMA密钥。AUSF确定需要更新KAKMA则确定需要对UE进行鉴权。具体的,该KAKMA更新请求消息为Nudm_AKMA_AnchorKey_Refresh message。
示例的,当第三功能网元是AUSF时,AUSF向UDM发送SoR数据或者UPU数据保护失败的结果。比如,该消息为Nausf_SoRProtection Response消息,或者Nausf_UPUProtectionResponse message。当UDM收到该消息时,UDM确定需要对UE进行鉴权。可选地,Nausf_SoRProtection Response消息,或者Nausf_UPUProtection Response消息携带失败原因值。比如,失败原因值用于指示没有密钥KAUSF。UDM根据失败原因值确定需要对UE进行鉴权。
示例的,当第三功能网元是AUSF时,AUSF接收来自第四功能网元的请求消息,比如来自AAnF的KAKMA更新请求消息,AUSF向UDM发送参数请求消息。此时,参数请求消息用于请求对UE进行鉴权。UDM根据该参数请求消息确定需要对UE进行鉴权。具体的,参数请求消息为Nudm_UEAuthentication Get Request message。
示例的,当第三功能网元是AUSF时,AUSF接收来自第四功能网元的请求消息,比如来自NEF或者3GPP内部AF请求更新KAF时,AUSF会向UDM发送请求消息,UDM确定需要更新KAF对应的KAKMA时,则确定需要对UE进行鉴权。具体的,该请求消息为Nudm_UEAuthenticationGet Request message。
示例的,当第三功能网元是NEF或者3GPP内部的AF,AF或者NEF向UDM发送请求消息。此时,该请求消息用于请求更新KAF。UDM确定需要更新KAF对应的KAKMA时,则确定需要对UE进行鉴权。比如,该消息为Nudm_UEAuthentication Authenticate Request消息。
示例的,当第三功能网元是AUSF,AUSF接收来自第四功能网元的鉴权请求消息,例如来自NEF或者3GPP内部的AF的鉴权请求消息,具体的,该鉴权请求消息为Nausf_UEAuthentication_Authenticate Request消息。之后,AUSF向UDM发送用于请求对UE进行鉴权的请求消息,UDM根据该请求消息确定需要对UE进行鉴权。具体的,该鉴权请求消息为Nudm_UEAuthentication Get Request消息。
在又一种实现方式中,UMD可以根据本地策略和第三功能网元的请求综合判断是否需要对UE进行鉴权。一个示例为,当第三功能网元是AUSF时,AUSF向UDM发送参数请求消息。此时,参数请求消息用于请求对UE进行鉴权。比如,该参数请求消息为Nausf_UEAuthentication_Authenticate Request。UMD在收到该参数请求消息后,UDM根据本地策略进一步判断是否对UE进行鉴权。比如,本地策略为距离前一次鉴权成功的时间间隔是否超过或即将超过运营商策略所规定的时间来确定是否需要对UE进行鉴权。若距离前一次鉴权成功的时间间隔小于预设值,则确定不对UE进行鉴权;距离前一次鉴权成功的时间间隔超过预设值,则确定对UE进行鉴权。
步骤502.在需要对终端进行鉴权的情况下,UDM获取鉴权材料。
需要说明的是,本实施例中,“获取”可理解为“主动获取”,包括但不限于UDM主动从本地存储或主动发起获取鉴权材料的请求消息。可以理解的,“获取”亦可理解为UDM可直接地或间接地从第四功能网元接收鉴权材料,第四功能网元为存储有或者能生成鉴权材料的功能网元。
鉴权材料的相关描述参考步骤302的相关描述,在此不再赘述。
UDM获取鉴权向量的描述参考步骤403的相关描述,再次不再赘述。
在一种实现方式中,UDM从本地存储的上下文中直接获取对UE进行鉴权所需的鉴权材料。例如,前一次鉴权中存储在UDM本地上下文中的SN_name。
在另一种实现方式中,UDM从本地存储的上下文中间接地获取对UE进行鉴权所需的鉴权材料,即根据本地存储的上下文生成鉴权材料。比如,当鉴权材料是SN Name时,UDM可以根据UE的永久身份SUPI中获取MCC和MNC,使用MCC和MNC生成SN Name。再比如,当鉴权材料是SN Name时,UDM可以使用存储的SUPI对应的PLMN ID中,获取MCC和MNC,再使用MCC和MNC进一步获得SN Name。再比如,当鉴权用于私网景时,则UDM可以根据鉴权所在的场景构造出鉴权材料。例如,如果SN Name需要NID组成,那么UDM可以从本地存储的上下文获取SUPI对应的NID。使用MCC和MNC获得SN Name的方法可以参考步骤302中的项目描述,在此不再赘述。
在另一种实现方式中,UDM直接从第四功能网元获取对UE进行鉴权所需的鉴权材料。其中,第四功能网元为存储鉴权材料的功能网元。
可选地,当第四功能网元为AMF时,UDM从SUPI对应的上下文中获取正在为UE服务的AMF信息,比如AMF ID。UDM根据AMF ID确定AMF,向AMF发送第一请求消息。该第一请求消息携带需要鉴权的UE的用户的永久身份SUPI。
可选地,该第一请求消息为Namf_UEAuthentication_Authenticate消息,或者Nudm_SDM_Get_Response消息,或者Namf_HNAuthentication_Get Request消息。AMF在收到第一请求消息后,回复第一响应消息,第一响应消息携带鉴权材料。示例的,鉴权材料是SNName。具体的,该第一响应消息为Namf_UEAuthentication_Authenticate Responsemessage,或者Nudm_SDM_Info message,或者Namf_HNAuthentication_Get Response消息。
在另一种实现方式中,UDM在确定需要对UE进行鉴权后,UDM向第五功能网元发送第一请求消息,该第一请求消息携带需要鉴权的UE的用户永久身份SUPI。第一请求消息用于请求服务网络对UE进行鉴权。
可选地,UDM可以在本地没有存储AUSF ID的情况下,向第五功能网元发送第一请求消息。
可选地,UDM知晓鉴权材料存储在第五功能网元,UDM向第五功能网元发送第一请求消息,但是UDM从第四功能网元获取对UE进行鉴权所需的鉴权材料。具体地,第五功能网元响应于第一请求消息,向第四功能网元发送第二鉴权请求消息,所述第二鉴权请求消息携带鉴权材料。示例的,第四功能网元是AUSF,第五功能网元是AMF。第一请求消息为Namf_UEAuthentication_Authenticate消息,或者Nudm_SDM_Get_Response消息,或者Namf_HNAuthentication_Get Request消息;AMF在收到Namf_UEAuthentication_Authenticate消息,或者Nudm_SDM_Get_Response消息,或者Namf_HNAuthentication_Get Request消息后,AMF向AUSF发送第二鉴权请求消息,第二鉴权请求消息为Nausf_UEAuthentication_Authenticate Request消息。所述Nausf_UEAuthentication_Authenticate Request消息中携带有SN Name和SUPI。AUSF在收到Nausf_UEAuthentication_Authenticate Request消息后,AUSF向UDM发送Nudm_UEAuthentication Get Request.该Nudm_UEAuthenticationGet Request消息中携带SUPI和SN Name。需要说明的是,该方法可以发生在以下情况中:UDM在确定对UE进行鉴权,但是本地没有存储AUSF ID的情况下。UDM只能根据本地存储的SUPI对应的AMF信息,比如AMF ID,向为UE服务的AMF请求对UE进行鉴权。那么AMF在收到请求消息后,根据SUPI选择一个AUSF,并开始执行步骤201至步骤208所述流程。
可选地,第五功能网元在收到第一请求消息后,回复第一响应消息至UDM。该第一响应消息用于告知UDM收到第一请求消息。该第一响应消息可以不携带任何内容。比如,第一响应消息为Namf_UEAuthentication_Authenticate Response消息,或者Nudm_SDM_Info消息。本实施例不限制第五功能网元发送第一响应消息和第二鉴权请求消息的顺序。
本实施例不限制鉴权材料的获取方法。本实施例不对消息名称做限定。
步骤503.UDM根据鉴权材料生成第一鉴权向量。
参考步骤303,在此不再赘述。
步骤504.UDM生成第一鉴权向量后,向AUSF发送第一消息。相应的,AUSF接收第一消息。其中,第一消息包括第一鉴权向量
可选地,还可能包括用户身永久份标识。
在一种可能的实现方法中,在UDM没有收到AUSF鉴权获取请求消息的情况下,UDM先根据本地存储的AUSF ID确定AUSF,再向所述AUSF发送第一消息。比如,UDM根据本地存储获取鉴权材料或者从AMF直接获得鉴权材料,并且UDM根据本地策略决定UE需要鉴权。第一消息是Nudm_UEAuthentication Get Request或者Nausf_UEAuthentication_Authenticate Request或者Nausf_HNAuthentication_Authenticate Request。
在另一种可能的实现方法中,UDM根据接收的第三功能网元的请求消息确定需要对UE进行鉴权,且该第三功能网元不是AUSF的情况下,第一消息是Nudm_UEAuthenticationGet Request或者Nausf_UEAuthentication_Authenticate Request或者Nausf_HNAuthentication_Authenticate Request。
在另一种可能的实现方法中,UDM根据接收的第三功能网元的请求消息确定需要对UE进行鉴权,且该第三功能网元不是AUSF的情况下,UDM向AMF发送第三鉴权请求消息,第三鉴权请求消息用于告知AMF执行对UE进行鉴权的流程,是一条服务化请求消息。比如,该消息是NAMF_UEAuthentication_Request消息,或者Nudm_UEAuthentication AuthenticateReques消息,或者Nudm_UEAuthentication Authenticate Response消息,或者Namf_HNAuthentication_Authenticate Request消息。
当第三鉴权请求消息为Namf_HNAuthentication_Authenticate Request时,表示UDM使用的是AMF的家乡网络鉴权服务,该第一鉴权请求消息的是家乡网络请求对UE进行鉴权的操作。此时,AMF需要检查该第一鉴权请求消息是否来自于归属网络的功能网元。比如,AMF检查该第一鉴权请求消息是否来自于AUSF或者UDM。如果是,则AMF处理该消息,执行步骤506;如果不是,则丢弃该消息。
当第三鉴权请求消息为NAMF_UEAuthentication_Request时,表示UDM使用的是AMF的服务,该第一鉴权请求消息的是请求对UE进行鉴权的操作。此时,AMF需要检查该第一鉴权请求消息是否来自于归属网络的功能网元。比如,AMF检查该第一鉴权请求消息是否来自于AUSF或者UDM。如果是,则AMF处理该消息,执行步骤506;如果不是,则丢弃该消息。
当第三鉴权请求消息是Nudm_UEAuthentication Authenticate Request消息时,表明该消息是UDM的UEAuthentication服务,并且该消息是一条请求消息。
UDM向UE发送第三鉴权请求消息后,AMF开始执行步骤201,UDM可以在步骤202中收到AUSF的请求消息。该鉴权获取请求消息可以是Nudm_UEAuthentication Get Request消息。所述鉴权获取响应消可以是Nudm_UEAuthentication Get Response消息。
在另一种可能的实现方式中,在UDM接收到AUSF发送的鉴权获取请求消息的情况下,UDM响应于该鉴权获取请求消息,回复第一消息给该AUSF,此时,第一消息为鉴权获取响应消息。
本实施例不对具体的消息名称做限定。
步骤505.AUSF向AMF发送第一鉴权请求消息,第一鉴权请求消息用于触发对UE进行鉴权。第一鉴权请求消息包括第一鉴权向量。可选地,第一鉴权请求消息还携带用户永久身份标识。
参考步骤304相关描述,在此不再赘述。步骤506-步骤508执行后续的鉴权流程,其实现后续鉴权流程的方法与步骤305-308相同,这里不再赘述。
此外,若步骤501中UDM收来自第三功能网元的服务参数请求消息的情况下,所述UDM还需回复参数响应消息给第三功能网元。若第三功能网元是AUSF,则参数响应消息可以是鉴权获取响应消息,或者一条单独的,用于告知收到的消息。若第三功能网元是AAnF或者AF,或者外部AF使用的NEF,并且参数请求消息是用于请求对UE的鉴权,则参数响应消息可以用于告知消息收到,也可以用于传递鉴权结果的指示信息。用于告知第三功能网元鉴权成功还是失败。
需要说明的是,UDM何时向外部网元发送参数请求响应本申请不做具体限制。
对应于上述方法实施例给出的方法,本申请实施例还提供了相应的装置,包括用于执行上述实施例相应的模块。所述模块可以是软件,也可以是硬件,或者是软件和硬件结合。
参见图6,为本申请实施例提供的一种鉴权装置的结构示意图,该鉴权装置600包括:处理模块610和收发模块620。所述收发模块620用于执行上述图2-5实施例中发送和接收消息相关的操作,处理模块610可以用于执行上述图2-5实施例中除了发送和接收消息以外相关的操作。
该通信装置可以作为AUSF网元,用于实现图3所示实施例中的鉴权方法。当该鉴权装置作为AUSF网元,执行图3中所示的方法实施例时,例如,处理模块610用于确定是否需要对终端进行鉴权;在需要对所述终端进行鉴权的情况下,获取鉴权材料;根据所述鉴权材料获取鉴权向量;收发模块620,可以用于向AMF发送第一鉴权请求消息以触发对终端进行鉴权,其中,第一鉴权请求消息包括所述鉴权向量。
当鉴权装置作为UDM,执行图5中所示的方法实施例时,当该鉴权装置作为UDM,执行图5中所示的方法实施例时,例如,处理模块610用于确定是否需要对终端进行鉴权;在需要对所述终端进行鉴权的情况下,获取鉴权材料;根据所述鉴权材料获取鉴权向量;收发模块用于向AMF发送第一鉴权请求消息以触发对终端进行鉴权,其中,第一鉴权请求消息包括所述鉴权向量。
本实施例还提供另一种鉴权装置。如图7所示,该鉴权装置700包括处理器710、存储器720和收发器730。本申请实施例中不限定上述处理器710以及收发器720之间的具体连接介质。图7中以处理器710以及收发器720之间通过总线730连接为例,总线740在图中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线740可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器710可以具有数据收发功能,能够与其他设备进行通信,在如图7所示的装置中,也可以设置独立的数据收发模块,例如收发器730,用于收发数据;处理器710在与其他设备进行通信时,可以通过收发器730进行数据传输。
存储器中720存储指令或程序,处理器710用于执行存储器中存储的指令或程序。存储器中存储的指令或程序被执行时,该处理器710用于执行上述方法实施例中处理模块执行的操作,通信接口用于执行上述实施例中收发模块执行的操作。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各种说明性逻辑块(illustrative logical block)和步骤(step),能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以基于前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,各功能单元的功能可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令(程序)。在计算机上加载和执行所述计算机程序指令(程序)时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (15)

1.一种鉴权方法,其特征在于,所述方法包括:
归属网络的第一功能网元确定是否需要对终端进行鉴权;
在需要对所述终端进行鉴权的情况下,所述第一功能网元获取鉴权材料;
所述第一功能网元根据所述鉴权材料,获取第一鉴权向量;
所述第一功能网元向AMF发送第一鉴权请求消息以触发对所述终端进行鉴权,其中,所述第一鉴权请求消息包括所述第一鉴权向量。
2.根据权利要求1所述的鉴权方法,其特征在于,所述第一功能网元确定是否需要对所述终端进行鉴权,包括:
所述第一功能网元接收来自第三功能网元的服务请求,所述服务请求用于向所述第一功能网元请求指定服务;
响应于所述第三功能网元的服务请求,所述第一功能网元确定是否需要对所述终端进行鉴权。
3.根据权利要求1所述的鉴权方法,其特征在于,所述第一功能网元为AUSF,所述第一功能网元获取所述鉴权材料,包括:
所述第一功能网元从存储的上下文中获取所述鉴权材料;
或者所述第一功能网元从第四功能网元获取所述鉴权材料,所述第四功能网元为存储有所述鉴权材料的网元。
4.根据权利要求3所述的鉴权方法,其特征在于,所述第一功能网元根据所述鉴权材料,获取第一鉴权向量,包括:
所述AUSF向UDM发送鉴权向量请求消息,其中,所述鉴权向量请求消息包括所述鉴权材料;
所述AUSF接收来自所述UDM的鉴权向量响应消息,所述鉴权向量响应消息包括所述第一鉴权向量。
5.根据权利要求1所述的鉴权方法,其特征在于,所述第一功能网元为UDM,所述第一功能网元获取所述鉴权材料,包括:
所述第一功能网元从存储的上下文中获取所述鉴权材料;
或者,所述第一功能网元从第四功能网元获取所述鉴权材料,所述第四功能网元为存储有所述鉴权材料的网元。
6.根据权利要求5所述的鉴权方法,其特征在于,所述第一功能网元根据所述鉴权材料,获取第一鉴权向量,包括:
所述第一功能网元根据所述鉴权材料,生成所述第一鉴权向量。
7.根据权利要求1-6任一项所述的鉴权方法,其特征在于,所述鉴权材料包括以下一种或多种:服务网络名称,服务网络标识,网络标识符,移动国家码或移动网号。
8.一种通信装置,其特征在于,包括:
处理模块,用于确定是否需要对终端进行鉴权;在需要对所述终端进行鉴权的情况下,获取鉴权材料;根据所述鉴权材料,获取第一鉴权向量;
收发模块,用于向所述AMF发送第一鉴权请求消息以触发对所述终端进行鉴权,其中,所述第一鉴权请求消息包括所述第一鉴权向量。
9.根据权利要求8所述的通信装置,其特征在于,所述处理模块,用于确定是否需要对所述终端进行鉴权,具体为:
接收来自第三功能网元的服务请求,所述服务请求用于请求指定服务;
响应于所述服务请求,确定是否需要对所述终端进行鉴权。
10.根据权利要求8所述的通信装置,其特征在于,所述处理模块,用于获取所述鉴权材料,具体为:
从存储的上下文中获取所述鉴权材料;
或者从第四功能网元获取所述鉴权材料,所述第四功能网元为存储有所述鉴权材料的网元。
11.根据权利要求8所述的通信装置,其特征在于,所述处理模块,用于根据所述鉴权材料,获取所述第一鉴权向量,具体为:
向UDM发送鉴权向量请求消息,其中,所述鉴权向量请求消息包括所述鉴权材料;
接收来自所述UDM的鉴权向量响应消息,所述鉴权向量响应消息包括所述第一鉴权向量。
12.根据权利要求8所述的通信装置,其特征在于,所述处理模块,用于根据所述鉴权材料,获取所述第一鉴权向量,具体为:
根据所述鉴权材料,生成所述第一鉴权向量。
13.根据权利要求8-12任一所述的通信装置,其特征在于,所述鉴权材料包括以下一种或多种:服务网络名称,服务网络标识,网络标识符,移动国家码或移动网号。
14.一种通信装置,其特征在于,包括:一个处理器,所述至少一个处理器执行用于执行存储在存储器中的指令,使得所述通信装置进行如权利要求1-7任一项所述的方法的操作。
15.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得所述计算机执行如权利要求1-7任一项所述的方法。
CN202210489884.6A 2022-05-06 2022-05-06 鉴权方法、通信装置和计算机可读存储介质 Pending CN117062071A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202210489884.6A CN117062071A (zh) 2022-05-06 2022-05-06 鉴权方法、通信装置和计算机可读存储介质
EP23799287.0A EP4485988A4 (en) 2022-05-06 2023-05-05 AUTHENTICATION METHOD, COMMUNICATION APPARATUS, AND COMPUTER-READABLE STORAGE MEDIUM
PCT/CN2023/092298 WO2023213301A1 (zh) 2022-05-06 2023-05-05 鉴权方法、通信装置和计算机可读存储介质
US18/938,104 US20250063357A1 (en) 2022-05-06 2024-11-05 Authentication method, communication apparatus, and computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210489884.6A CN117062071A (zh) 2022-05-06 2022-05-06 鉴权方法、通信装置和计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN117062071A true CN117062071A (zh) 2023-11-14

Family

ID=88646300

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210489884.6A Pending CN117062071A (zh) 2022-05-06 2022-05-06 鉴权方法、通信装置和计算机可读存储介质

Country Status (4)

Country Link
US (1) US20250063357A1 (zh)
EP (1) EP4485988A4 (zh)
CN (1) CN117062071A (zh)
WO (1) WO2023213301A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025139415A1 (zh) * 2023-12-28 2025-07-03 中兴通讯股份有限公司 鉴权方法、通信装置以及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117596588B (zh) * 2024-01-18 2024-03-26 中国电子科技集团公司第三十研究所 移动通信网络长期密钥动态更新方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109803261B (zh) * 2017-11-17 2021-06-22 华为技术有限公司 鉴权方法、设备及系统
CN110891271B (zh) * 2018-09-10 2021-06-11 大唐移动通信设备有限公司 一种鉴权方法及装置
US20220408249A1 (en) * 2019-11-11 2022-12-22 Telefonaktiebolaget Lm Ericsson (Publ) Home network initiated primary authentication/reauthentication
CN111404944B (zh) * 2020-03-19 2022-03-18 中国电子科技集团公司第三十研究所 一种实现主认证增强的安全udm/hss设计方法及系统
US20230232221A1 (en) * 2020-03-30 2023-07-20 Samsung Electronics Co., Ltd. Method and apparatus for providing akma service in wireless communication system
CN114339745B (zh) * 2021-12-28 2024-01-26 中国电信股份有限公司 密钥分发方法、系统和相关设备
WO2023187610A1 (en) * 2022-03-28 2023-10-05 Lenovo (Singapore) Pte. Ltd. Network initiated primary authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025139415A1 (zh) * 2023-12-28 2025-07-03 中兴通讯股份有限公司 鉴权方法、通信装置以及存储介质

Also Published As

Publication number Publication date
WO2023213301A1 (zh) 2023-11-09
EP4485988A1 (en) 2025-01-01
US20250063357A1 (en) 2025-02-20
EP4485988A4 (en) 2025-04-16

Similar Documents

Publication Publication Date Title
US20220191813A1 (en) Connection processing method and apparatus in multi-access scenario
US10728757B2 (en) Security implementation method, related apparatus, and system
KR102428262B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
US11871223B2 (en) Authentication method and apparatus and device
CN113498057B (zh) 通信系统、方法及装置
KR102315881B1 (ko) 사용자 단말과 진화된 패킷 코어 간의 상호 인증
CN116193431B (zh) 切片认证方法及装置
EP4557883A2 (en) Secure communication method, apparatus, and system
KR20180120696A (ko) Wwan-wlan 집성 보안
ES2862180T3 (es) Autenticación de usuarios en la red de acceso inalámbrico
US20250063357A1 (en) Authentication method, communication apparatus, and computer-readable storage medium
KR20240064005A (ko) 주 인증 방법 및 장치
US20260025656A1 (en) Method and device for terminal authentication in wireless communication system
US11882445B2 (en) Authentication system
CN113904781A (zh) 切片认证方法及系统
CN117812574A (zh) 通信方法和通信装置
CN117320002A (zh) 通信方法及装置
US20250338116A1 (en) Key management method and apparatus, device, and storage medium
RU2831353C1 (ru) Система связи, способ и устройство
US20250380131A1 (en) Method and apparatus for authentication of user equipment in wireless communication system
US20260101181A1 (en) Security key determining method and apparatus
CN112654043A (zh) 注册方法及装置
CN117793737A (zh) 用户终端策略的配置方法、装置、介质及芯片
CN120075949A (zh) 通信方法和通信装置
CN120835286A (zh) 通信方法、装置、存储介质及计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination