CN120786355A - 一种通信方法及装置 - Google Patents
一种通信方法及装置Info
- Publication number
- CN120786355A CN120786355A CN202410405146.8A CN202410405146A CN120786355A CN 120786355 A CN120786355 A CN 120786355A CN 202410405146 A CN202410405146 A CN 202410405146A CN 120786355 A CN120786355 A CN 120786355A
- Authority
- CN
- China
- Prior art keywords
- terminal device
- parameter
- check value
- value
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种通信方法及装置,涉及通信技术领域,可以提高通信安全性,防止用户隐私信息被泄露。该方法包括:根据终端装置的信息和第一参数生成第一校验值;其中,终端装置的信息包括终端装置的第一标识,和/或终端装置与网络之间的共享安全密钥,第一标识用于在网络内部识别终端装置;在生成第一校验值之后,更新第一参数;向第一装置发送第一校验值或与第一校验值关联的第一授权码,第一校验值和第一授权码用于向网络请求终端装置的第二标识,第二标识用于在网络外部识别终端装置。
Description
技术领域
本申请涉及通信技术领域,尤其一种通信方法及装置。
背景技术
为了向终端装置提供个性化的服务或实现针对特定终端装置的计费,公共陆地移动网(public land mobile network,PLMN)外部的应用功能(application function,AF)可以基于终端装置的公共的网际互连协议(internet protocol,IP)地址,向PLMN的网元请求终端装置的用户身份标识(identity,ID)信息,如请求终端装置的通用公共用户标识(generic public subscription identifier,GPSI)等。
但是,一旦终端装置的公共IP地址被泄露或被篡改,恶意的AF或攻击者就可以使用终端装置的公共IP地址请求终端装置的ID,导致用户隐私信息被泄露,通信安全性降低。
发明内容
本申请提供一种通信方法及装置,可以提高通信安全性,防止用户隐私信息被泄露。
第一方面,提供一种通信方法,该方法可以由终端装置执行,也可以由终端装置的模块(如芯片或电路)执行。该方法包括:根据终端装置的信息和第一参数生成第一校验值;其中,终端装置的信息包括终端装置的第一标识,和/或终端装置与网络之间的共享安全密钥,第一标识用于在网络内部识别终端装置;在生成第一校验值之后,更新第一参数;向第一装置发送第一校验值或与第一校验值关联的第一授权码,第一校验值和第一授权码用于向网络请求终端装置的第二标识,第二标识用于在该网络外部识别终端装置。
上述实施方式中,对于外部应用请求终端装置的标识的场景中,终端装置可以根据动态变化的第一参数和终端装置的信息生成校验值,用于安全校验,由于第一参数是动态更新的,即使校验值泄露,攻击者根据旧的校验值无法通过网络的安全校验,从而可以提高通信安全性,避免泄露用户隐私信息。
在一种实施方式中,在所述更新所述第一参数之后,该方法还包括:根据所述终端装置的信息和更新后的所述第一参数,生成第二校验值;向所述第一装置发送所述第二校验值或与所述第二校验值关联的第二授权码,所述第二校验值和所述第二授权码用于向所述网络请求第二标识。
上述实施方式中,终端装置更新第一参数,对于下一次请求终端装置的标识的场景中,终端装置可以根据更新后的第一参数和终端装置的信息,生成第二校验值,用于网络进行安全校验,从而应用每一次请求终端装置的标识过程中的校验值是根据动态参数生成的,即使泄露第一校验值,攻击者也无法成功通过安全校验,可以提高通信安全性,防止泄露用户隐私信息。
在一种实施方式中,在所述根据所述终端装置的信息和第一参数生成第一校验值之前,所述方法还包括:获取用于请求所述第二标识的消息。也就是说,终端装置可以响应于应用功能请求终端装置的第二标识的消息之后,或者,终端装置上安装的应用程序请求终端装置的第二标识,触发生成第一校验值。
在一种实施方式中,在向所述第一装置发送所述第一授权码的情况下,所述方法还包括:向第二装置发送第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求第二标识;接收来自所述第二装置的所述第一授权码。
在一种实施方式中,向第一装置发送所述第一校验值,包括:向所述第一装置发送第一令牌,所述第一令牌包括所述第一校验值。上述实施方式中,终端装置可以通过向第二装置发送第一消息,请求授权第一装置向网络请求终端装置的第二标识,从而终端装置可以携带第一授权码向第二装置请求终端装置的第二标识,以使得第二装置可以向第一装置兑换令牌,安全校验的灵活性较高,还可以提高通信安全性。
在一种实施方式中,第一参数为预设值、计数值、随机数或随机数生成种子。其中,网络生成第一参数的方式较灵活,可以是预设值或默认值,可以生成计数值或随机数等,不限定动态参数的实现方式。
在一种实施方式中,该方法还包括:在所述终端装置与所述网络建立会话的过程中,从所述网络中的接入和移动性管理网元接收所述第一参数。上述实施方式中,网络可以通过与终端装置建立会话的交互过程中,生成第一参数,并通过接入和移动性管理网元向终端装置发送第一参数。
在一种实施方式中,该方法还包括:接收第二消息,所述第二消息用于指示更新所述第一参数;所述更新所述第一参数,包括:响应于所述第二消息,更新所述第一参数。
在一种实施方式中,第二消息包括更新后的所述第一参数。
上述实施方式中,终端装置可以生成第一校验值之后更新第一参数,或者,终端装置可以响应于接收的第二消息,更新第一参数。可选的,终端装置可以根据第二消息中包括的更新后的第一参数的值,更新第一参数。
在一种实施方式中,根据所述终端装置的信息和第一参数生成第一校验值,包括:根据所述终端装置的信息、所述第一参数和以下信息中的一个或多个信息生成所述第一校验值:所述终端装置的私有的网际互连协议IP地址、所述终端装置的公共的网际互连协议IP地址、所述终端装置的会话标识、或者所述终端装置的私有的IP地址关联的会话的数据网络名称或关联的切片信息。
上述实施方式中,终端装置生成第一校验值的方式较灵活,可以提高通信安全性,防止泄露用户隐私信息。
在一种实施方式中,第一令牌还包括所述第一参数。
在一种实施方式中,终端装置与网络之间的共享安全密钥包括以下至少一种:所述终端装置与鉴权服务功能之间的共享安全密钥KAUSF、所述终端装置与安全锚定功能之间的共享安全密钥KSEAF或所述终端装置与接入和移动性管理功能之间的共享安全密钥KAMF。
上述实施方式中,终端装置可以结合上述终端装置与网络之间共享的安全密钥生成第一校验值,生成校验值的方式较灵活,可以提高通信安全性,防止泄露用户隐私信息。
在一种实施方式中,生成所述第一校验值的所述第一参数的值为第一值,所述更新所述第一参数,包括:将所述第一参数的值从所述第一值更新为所述第一值加上默认数值的结果;或者,将所述第一参数的值从所述第一值更新为第一随机数;或者,根据所述第一值生成第二随机数,将所述第一参数的值从所述第一值更新为所述第二随机数。
第二方面,提供一种通信方法,该方法可以由第三装置执行,也可以由第三装置的模块(如芯片或电路)执行,例如,第三装置可以是绑定支持功能(binding supportfunction,BSF)。该方法包括:接收来自第二装置的第三消息,所述第三消息用于请求终端装置的第一标识,所述第一标识用于在网络内部识别所述终端装置,所述第三消息包括第一校验值;根据第二参数对所述第一校验值进行校验;在对所述第一校验值的校验成功的情况下,向所述第二装置发送所述终端装置的第一标识;更新所述第二参数。
上述实施方式中,对于外部应用请求终端装置的标识的场景中,第三装置可以根据动态参数与接收的校验值进行安全校验,从而确定是否向第二装置发送终端装置的第一标识,根据动态参数执行安全校验的安全性较高,能够避免泄露用户隐私信息。
在一种实施方式中,更新所述第二参数,包括:在对所述第一校验值的校验成功的情况下,更新所述第二参数。其中,第二参数是动态更新的,即使第一校验值泄露,攻击者根据第一校验值无法通过安全校验,从而可以提高通信安全性,避免泄露用户隐私信息。
在一种实施方式中,第三消息还包括所述终端装置的私有的IP地址,所述方法还包括:根据所述终端装置的私有的IP地址获取所述第二参数。
上述实施方式中,第三装置可以保存有终端装置的私有的IP地址与第二参数的关联关系,从而可以根据第三消息中包括的终端装置的私有的IP地址,获取第二参数,以便进行安全校验,提高通信安全性。
在一种实施方式中,该方法包括:向所述第二装置请求所述第二参数。
上述实施方式中,网络中可以由第二装置负责更新第二参数,第三装置可以通过向第二装置请求最新的第二参数,以便根据更新的第二参数进行安全校验,提高通信安全性。
在一种实施方式中,根据第二参数对所述第一校验值进行校验包括:根据所述第二参数生成第三校验值;所述在对所述第一校验值的校验成功的情况下,向所述第二装置发送所述终端装置的第一标识,包括:在所述第三校验值与所述第一校验值相匹配的情况下,向所述第二装置发送所述终端装置的第一标识。
上述实施方式中,第三装置可以根据第二参数生成第三校验值,通过第三校验值与接收的第一校验值进行对比校验,校验通过则向第二装置发送终端装置的第一标识,从而能够提高通信安全性。
第三方面,提供一种通信方法,该方法可以由第二装置执行,也可以由第二装置的模块(如芯片或电路)执行,例如,第二装置可以是网络开放功能(network exposurefunction,NEF)或能够实现相应功能的网元或功能。该方法包括:接收来自第一装置的第四消息,所述第四消息包括第一校验值,所述第四消息用于请求终端装置的第二标识,第二标识用于在网络外部识别所述终端装置;根据第二参数对所述第一校验值进行校验;在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识;更新所述第二参数。
在一种实施方式中,在所述更新所述第二参数之后,所述方法包括:接收来自所述第一装置的第五消息,所述第五消息包括第二校验值,所述第五消息用于请求终端装置的第二标识;根据更新后的所述第二参数对所述第二校验值进行校验;在对所述第二校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,更新所述第二参数,包括:在对所述第一校验值的校验成功的情况下,更新所述第二参数。
在一种实施方式中,第四消息包括第一校验值,包括:所述第四消息包括第一令牌,所述第一令牌包括所述第一校验值。
在一种实施方式中,在所述接收来自第一装置的第四消息之前,所述方法还包括:接收所述第一校验值或与所述第一校验值关联的第一授权码;根据所述第一校验值或所述第一授权码生成所述第一令牌;发送所述第一令牌。
在一种实施方式中,在接收所述第一授权码的情况下,所述方法还包括:接收来自所述终端装置的第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求所述终端装置的第二标识;确定与所述第一校验值关联的所述第一授权码;向所述终端装置发送所述第一授权码。
在一种实施方式中,第一令牌包括以下至少一种信息:生成所述第一令牌的装置标识、请求所述第一令牌的装置标识、提供安全验证服务的装置标识、所述第一令牌允许使用的服务指示、所述第一令牌的过期时间、第一参数或所述终端装置的公共的IP地址;其中,所述第一令牌允许使用的服务包括允许获取所述终端装置的标识的服务。
在一种实施方式中,第一令牌包括第一参数,所述第一参数用于生成所述第一校验值;所述在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识,包括:在对所述第一校验值的校验成功,且所述第一参数与所述第二参数匹配的情况下,向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,根据第二参数对所述第一校验值进行校验,包括:根据所述第二参数生成第三校验值;比较所述第三校验值与所述第一校验值是否匹配;所述在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识,包括:在所述第三校验值与所述第一校验值匹配的情况下,向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,在所述根据所述第二参数生成第三校验值之前,所述方法还包括:向第三装置发送所述终端装置的私有的IP地址;接收来自所述第三装置的所述第二参数。
在一种实施方式中,更新所述第二参数之后,所述方法还包括:向所述第三装置发送更新后的所述第二参数。
在一种实施方式中,根据第二参数对所述第一校验值进行校验,包括:向第三装置发送第三消息,第三消息用于请求终端装置的第一标识,所述第三消息包括第一校验值和所述第二参数;接收来自所述第三装置的响应消息,所述响应消息包括所述终端装置的第一标识,或者,所述响应消息用于指示对所述终端装置的第一标识的请求被拒绝;所述在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识,包括:接收来自第三装置的响应消息包括所述终端装置的第一标识的情况下,向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,更新所述第二参数,包括:在所述响应消息用于指示对所述第一校验值的校验成功的情况下,更新所述第二参数。
在一种实施方式中,对所述第一校验值进行校验的所述第二参数的值为第一值,所述更新所述第二参数,包括:将所述第二参数的值从第一值更新为所述第一值加上默认数值的结果;或者,将所述第二参数的值从所述第一值更新为第一随机数;或者,根据所述第一值生成第二随机数,将所述第二参数的值从所述第一值更新为所述第二随机数。
在一种实施方式中,该方法还包括:向所述终端装置发送第二消息,所述第二消息用于指示更新生成所述第一校验值的第一参数。
在一种实施方式中,第二消息包括更新后的所述第一参数。
第四方面,提供一种通信装置,用于实现上述方法。该通信装置可以为上述第一方面中的终端装置,或者,或者包含上述终端装置的节点或设备,或者为上述终端装置中的模块,如芯片、芯片系统或电路,或者为能实现终端装置的部分或全部功能的逻辑节点、逻辑模块或软件。或者,该通信装置可以为上述第二方面中的第三装置,或第三方面中的第二装置;或者包含上述第三装置或第二装置的节点或设备,或者为上述第三装置或第二装置中的模块,如芯片、芯片系统或电路,或者为能实现上述第三装置或第二装置部分或全部功能的逻辑节点、逻辑模块或软件。
该通信装置包括实现上述方法相应的模块、单元、或手段(means),该模块、单元、或means可以通过硬件实现,软件实现,或者通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或单元。
结合上述第四方面,在一种可能的实现方式中,该通信装置可以包括处理模块和收发模块。该处理模块,可以用于实现上述任一方面及其任意可能的实现方式中的处理功能。该处理模块例如可以为处理器。该收发模块,也可以称为收发单元,用以实现上述任一方面及其任意可能的实现方式中的发送和/或接收功能。该收发模块可以由收发电路,收发机,收发器或者通信接口构成。
结合上述第四方面,在一种可能的实现方式中,收发模块包括发送模块和接收模块,分别用于实现上述任一方面及其任意可能的实现方式中的发送和接收功能。
第五方面,提供一种通信装置,包括:处理器;该处理器用于与存储器耦合,并读取存储器中的指令之后,根据该指令执行如上述任一方面所述的方法。该通信装置可以为上述第一方面中的终端装置,或者,或者包含上述终端装置的节点或设备,或者为上述终端装置中的模块,如芯片、芯片系统或电路,或者为能实现终端装置的部分或全部功能的逻辑节点、逻辑模块或软件。或者,该通信装置可以为上述第二方面中的第三装置,或第三方面中的第二装置;或者包含上述第三装置或第二装置的节点或设备,或者为上述第三装置或第二装置中的模块,如芯片、芯片系统或电路,或者为能实现上述第三装置或第二装置部分或全部功能的逻辑节点、逻辑模块或软件。
结合上述第五方面,在一种可能的实现方式中,该通信装置还包括存储器,该存储器,用于保存必要的程序指令和数据。
结合上述第五方面,在一种可能的实现方式中,该通信装置为芯片或芯片系统。可选的,该通信装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
第六方面,提供了一种通信装置,包括:处理器和接口电路;接口电路,用于接收计算机程序或指令并传输至处理器;处理器用于执行所述计算机程序或指令,以使该通信装置执行如上述任一方面所述的方法。该通信装置可以为上述第一方面中的终端装置,或者,或者包含上述终端装置的节点或设备,或者为上述终端装置中的模块,如芯片、芯片系统或电路,或者为能实现终端装置的部分或全部功能的逻辑节点、逻辑模块或软件。或者,该通信装置可以为上述第二方面中的第三装置,或第三方面中的第二装置;或者包含上述第三装置或第二装置的节点或设备,或者为上述第三装置或第二装置中的模块,如芯片、芯片系统或电路,或者为能实现上述第三装置或第二装置部分或全部功能的逻辑节点、逻辑模块或软件。
结合上述第六方面,在一种可能的实现方式中,该通信装置为芯片或芯片系统。可选的,该通信装置是芯片系统时,可以由芯片构成,也可以包含芯片和其他分立器件。
第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机可以执行上述任一方面所述的方法。
第八方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行上述任一方面所述的方法。
第九方面,提供一种通信系统,该通信系统包括第二方面中的第三装置,和第三方面中的第二装置。
其中,第二方面至第九方面中任一种可能的实现方式所带来的技术效果可参见上述第一方面中不同可能的实现方式所带来的技术效果,此处不再赘述。
可以理解的是,在方案不矛盾的前提下,上述各个方面中的方案均可以结合。
附图说明
图1为本申请实施例提供的一种通信系统的架构示意图;
图2为本申请实施例提供的外部应用获取终端装置的标识的流程示意图;
图3为本申请实施例提供的一种通信装置的架构示意图;
图4为本申请实施例提供的一种通信方法的流程示意图;
图5为本申请实施例提供的另一种通信方法的流程示意图;
图6为本申请实施例提供的另一种通信方法的流程示意图;
图7为本申请实施例提供的另一种通信方法的流程示意图;
图8为本申请实施例提供的另一种通信装置的架构示意图。
具体实施方式
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先,对本申请实施例的实施环境和应用场景进行简单介绍。
本申请实施例提供的通信方法可以应用于图1所示的网络架构。其中,图1以第五代(5th generation,5G)移动通信系统的网络服务架构为例展示了网络功能(networkfunction,NF)和实体之间的交互关系以及对应的接口。其中,5G系统的第三代合作伙伴项目(the 3rd generation partnership project,3GPP)基于服务的网络架构(service-based architecture,SBA)包含的网络功能和实体主要包括:用户设备(user uquipment,UE)、至少一个接入网(access network,AN)或无线接入网(radio access network,RAN)节点、用户面功能(user plane function,UPF)、数据网络(data network,DN)、接入和移动性管理功能(access and mobility management function,AMF)、会话管理功能(sessionmanagement function,SMF)、策略控制功能(policy control function,PCF)、应用功能(application function,AF)、统一数据管理(unified data management,UDM)、网络开放功能(network exposure function,NEF)、统一数据存储库(unified data repository,UDR)、鉴权服务功能(authentication server function,AUSF)、安全锚点功能(securityanchor functionality,SEAF)、绑定支持功能(binding support function,BSF)和网络存储功能(NF repository function,NRF)等。
其中,UE、(R)AN节点、UPF和DN一般被称为用户面网络功能和实体(或者用户面网元),其他的部分则一般被称为控制面网络功能和实体(或者控制面网元)。控制面网元由3GPP定义了在一个网络里的处理功能,控制面网元具有3GPP定义的功能行为和3GPP定义的接口,NF能够作为一个运行在专有硬件上的网络元素,或者运行在专有硬件上的软件实例,或者在一个合适平台上进行实例化的虚拟功能,比如在一个云基础设备被实施。
下面对各个网络功能的主要功能做具体介绍。
其中,通信系统中的用户面网络功能包括:
(R)AN节点:(R)AN可以是AN,也可以是RAN,也可以称为接入网设备,RAN实体或接入节点等,构成通信系统的一部分,用以帮助终端装置实现通信网络的接入。例如,(R)AN可以是各种形式的基站,例如为宏基站、微基站、无线控制器、中继站、接入点,或者车载设备、可穿戴设备或者未来演进的PLMN中的网络设备等。(R)AN主要负责空口侧的无线资源管理、服务质量管理、数据压缩和加密等。
另外,(R)AN节点还可以是开放式接入网(open RAN,O-RAN或ORAN)、云无线接入网络(cloud radio access network,CRAN)、或者无线保真(wireless fidelity,WiFi)系统中的接入节点,还可以是以上两种或两种以上系统融合的通信系统中的接入节点。
在一种可能的场景中,RAN节点可以是基站(base station)、演进型基站(evolvedNodeB,eNodeB)、接入点(access point,AP)、发送接收点(transmission receptionpoint,TRP)、下一代基站(next generation NodeB,gNB)、第六代(6th generation,6G)移动通信系统中的下一代基站、未来移动通信系统中的基站、或WiFi系统中的接入节点等。RAN节点可以是宏基站、微基站或室内站、中继节点或施主节点、或者是CRAN场景下的无线控制器。可选的,RAN节点还可以是服务器,可穿戴设备,车辆或车载设备等。例如,车辆外联(vehicle to everything,V2X)技术中的接入网设备可以为路侧单元(road side unit,RSU)。本申请中的RAN节点的全部或部分功能也可以通过在硬件上运行的软件功能来实现,或者通过平台(例如云平台)上实例化的虚拟化功能来实现。本申请中的RAN节点还可以是能实现全部或部分RAN节点功能的逻辑节点、逻辑模块或软件。
在另一种可能的场景中,由多个RAN节点协作协助终端装置实现无线接入,不同RAN节点分别实现基站的部分功能。例如,RAN节点可以是集中式单元(central unit,CU),分布式单元(distributed unit,DU),CU-控制面(control plane,CP),CU-用户面(userplane,UP),或者无线单元(radio unit,RU)等。CU和DU可以是单独设置,或者也可以包括在同一个网元中,例如基带单元(baseband unit,BBU)中。RU可以包括在射频设备或者射频单元中,例如包括在射频拉远单元(remote radio unit,RRU)、有源天线处理单元(activeantenna unit,AAU)或远程射频头(remote radio head,RRH)中。
在不同系统中,CU(或CU-CP和CU-UP)、DU或RU也可以有不同的名称,但是本领域的技术人员可以理解其含义。例如,在ORAN系统中,CU也可以称为O-CU(开放式CU),DU也可以称为O-DU,CU-CP也可以称为O-CU-CP,CU-UP也可以称为O-CU-UP,RU也可以称为O-RU。为描述方便,本申请中以CU,CU-CP,CU-UP、DU和RU为例进行描述。本申请中的CU(或CU-CP、CU-UP)、DU和RU中的任一单元,可以是通过软件模块、硬件模块、或者软件模块与硬件模块结合来实现。
UE:也可以称为终端、终端装置、终端设备、移动台、移动终端等。终端装置可以广泛应用于各种场景,例如,设备到设备(device-to-device,D2D)、车物(vehicle toeverything,V2X)通信、机器类通信(machine-type communication,MTC)、物联网(internet of things,IOT)、虚拟现实、增强现实、工业控制、自动驾驶、远程医疗、智能电网、智能家具、智能办公、智能穿戴、智能交通、智慧城市等。终端装置可以是手机、平板电脑、带无线收发功能的电脑、可穿戴设备、车辆、无人机、直升机、飞机、轮船、机器人、机械臂、智能家居设备等。本申请的实施例对终端装置的设备形态不做限定。为便于描述,下述本申请的实施例中仅用终端装置作为示例。
UPF:主要负责用户面数据的转发和接收。UPF可以接收来自DN的下行数据,然后通过(R)AN将该下行数据传输给UE。UPF还可以通过(R)AN接收来自UE的收上行数据,然后将该上行数据转发到DN。
DN:例如:DN可以是运营商服务网络、互联网接入或第三方服务网络等。DN可以通过PDU会话与UE进行信息交互。其中,PDU会话可以分为多种类型,如互联网协议版本4(internet protocol version4,IPv4)、IPv6等。
另外,通信系统中的控制面网络功能包括:
AMF:主要负责控制面消息的处理,负责终端装置的移动性管理,包括移动状态管理,分配用户临时身份标识,认证和授权用户。例如,接入控制、移动性管理、注册与去注册以及网元选择等。
SMF:主要用于会话管理,会话建立,UE的(私有)IP地址分配和管理,负责会话的建立、修改和释放,以及服务质量(quality of service,QoS)控制等。
UDM:主要用于鉴权信用处理,负责管理签约数据,用户标识处理,访问授权,注册/移动性管理,订阅管理和短消息管理等。例如,当用户的签约数据修改的时候,UDM负责通知相应的网元。
NEF:主要用于提供相应的安全保障来保证外部应用到通信网络的安全,提供外部应用QoS定制能力开放、移动性状态事件订阅、AF请求分发等功能。
NRF:主要用于提供内部/外部寻址功能等。
AUSF:主要用于鉴权处理功能,实现终端和网络的双向鉴权认证等。
SEAF:主要负责通过服务网络中的AMF提供鉴权功能。
BSF:主要用于会话相关的绑定信息的创建,以及相应的创建、查询或删除操作;还可以实现用户信息的获取。示例性的,BSF可以保存着终端装置的(私有)IP地址和终端装置的标识等相关信息之间的绑定关系。
AF:主要用于向网络侧发送应用影响的数据路由信息,通过网络开放功能网元与策略框架交互进行策略控制等。
其中,图1中包括的其他网元的功能,可以参考常规技术中的相关描述,这里不再赘述。
应注意,图1所示的网络架构仅用于举例,并非用于限制本申请的技术方案。本领域的技术人员应当明白,在具体实现过程中,还可以包括其他网元或装置,同时也可根据具体需要来确定接入网设备、终端装置和/或核心网设备的数量。
可选的,图1中所示的各网元,可以是一个设备,或者设备内的一个功能模块,或者一个逻辑功能单元。可以理解的是,上述功能既可以是硬件设备中的网络元件,例如手机中的通信芯片,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
为了向终端装置提供个性化的服务或实现针对特定终端装置的计费,PLMN的外部AF可以基于终端装置的公共的IP地址,向PLMN的网元请求终端装置的UE ID,如请求GPSI,例如移动台国际用户号码(mobile station international subscriber directorynumber,MSISDN),通常可以称为手机号码(或手机号)。
也就是说,一种场景中,图2所示的PLMN外部的第一装置请求终端装置的标识。例如,对于该应用场景:在高时间敏感的游戏应用场景中,用户希望通过向运营商网络/游戏公司付费,从而能够获得高质量和低延迟的服务,此时游戏服务器(如PLMN外部的应用功能网元AF)可以基于用户的公共的IP地址(IP address)获取UE ID确定付费用户的身份,并为其提供相应高质量服务。
应理解,本申请中的公共的IP地址,也称为公网IP地址或外部IP地址,是由互联网向服务提供商所提供的终端装置的地址,也是指终端装置在公网所使用的IP地址。
相对应的,本申请中的私有的IP地址,也称为私有IP地址,是指由核心网为终端装置分配的IP地址,是终端装置在运营商网络内使用的IP地址。
应理解,终端装置的标识有多种形式,例如,PLMN内可以通过用户永久标识(subscription permanent identifier,SUPI)作为终端装置的标识,但SUPI仅用于PLMN网络内部,不会外发,因此AF没有,也无法获取到终端装置的SUPI信息。AF可以请求终端装置的外部标识,如MSISDN。
为便于表述,本申请中,将用于在3GPP系统内部识别终端装置的标识统称为终端装置的第一标识,如可以为SUPI;将用于在3GPP系统外部识别终端装置的标识统称为第二标识,如MSISDN。下文对此不再赘述。
示例性的,如图2所示,第一装置如AF可以基于终端装置的(公共)IP地址,通过第二装置如NEF获取终端装置的第二标识。
其中,UPF保存有终端装置的公共IP地址和私有IP地址之间的转换关系,因此,第二装置可以先找到UPF,然后,第二装置可以根据终端装置的公共IP地址,向UPF请求终端装置的私有IP地址。获取到终端装置的私有IP地址之后,由于BSF保存有终端装置的私有IP地址和终端装置的第一标识(如SUPI)之间的绑定关系,第二装置如NEF可以通过终端装置的私有IP地址,向BSF请求终端装置的SUPI。UDM保存有SUPI和终端装置的第二标识(如MSISDN)之间的映射关系,第二装置如NEF可以基于SUPI向UDM请求终端装置的第二标识。
现有技术中,终端装置的(私有)IP地址可能被泄露,导致恶意装置可以直接使用泄露的信息请求终端装置的标识UE ID(第二标识)。核心网的外部应用AF可以通过Nnef_UEId_Get服务操作请求某个终端装置的第二标识。而当不受运营商网络信任的AF请求终端装置的第二标识时,可能会使用UE地址请求终端装置的第二标识,导致用户隐私信息泄露。
可以理解的,上述图1或图2的通信系统中设备或网元之间可以直接通信,也可以通过其他设备的转发进行通信,本申请实施例对此不做具体限定。
可以理解的,上述图2仅是示意图,并不构成对本申请提供的技术方案的适用场景的限定。本领域的技术人员应当明白,在具体实现过程中,通信系统可以包括比图2所示更少的设备或网元,或者,通信系统还可以包括其他设备或其他网元,同时也可根据具体需要来确定通信系统中设备或网元的数量。
应注意,图1或图2所示的通信系统仅用于举例,并非用于限制本申请的技术方案。本领域的技术人员应当明白,在具体实现过程中,通信系统还可以包括其他设备或网元,同时也可根据具体需要来确定各个网元的数量。
可选的,本申请实施例图1或图2中的各网元可以是一个设备内的一个功能模块,可以理解的是,上述功能既可以是硬件设备中的网络元件,例如手机中的通信芯片,也可以是在专用硬件上运行的软件功能,或者是平台(例如,云平台)上实例化的虚拟化功能。
例如,图1或图2中的各网元均可以通过图3中的通信装置300来实现。图3所示为可适用于本申请实施例的通信装置的硬件结构示意图。该通信装置300包括至少一个处理器301,通信线路302,存储器303以及至少一个通信接口304。
处理器301可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路302可包括一通路,在上述组件之间传送信息,例如总线。
通信接口304,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网接口,RAN接口,无线局域网(wireless local area networks,WLAN)接口等。
存储器303可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路302与处理器相连接。存储器也可以和处理器集成在一起。本申请实施例提供的存储器通常可以具有非易失性。其中,存储器303用于存储执行本申请方案所涉及的计算机执行指令,并由处理器301来控制执行。处理器301用于执行存储器303中存储的计算机执行指令,从而实现本申请实施例提供的方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器301可以包括一个或多个CPU,例如图3中的CPU0和CPU1。
在具体实现中,作为一种实施例,通信装置300可以包括多个处理器,例如图3中的处理器301和处理器307。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,通信装置300还可以包括输出设备305和输入设备306。输出设备305和处理器301通信,可以以多种方式来显示信息。例如,输出设备305可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备306和处理器301通信,可以以多种方式接收用户的输入。例如,输入设备306可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的通信装置300可以是一个通用设备或者是一个专用设备。在具体实现中,通信装置300可以是便携式电脑、网络服务器、掌上电脑(personal digital assistant,PDA)、移动手机、平板电脑、无线终端装置、嵌入式设备或有图3中类似结构的设备。本申请实施例不限定通信装置300的类型。
下面对本申请实施例提供的通信方法进行具体阐述。
需要说明的是,本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
可以理解的,本申请实施例中的部分或全部步骤仅是示例,本申请实施例还可以执行其它步骤或者各种步骤的变形。此外,各个步骤可以按照本申请实施例呈现的不同的顺序来执行,并且有可能并非要执行本申请实施例中的全部步骤。
为本申请实施例提供的一种通信方法,通过终端装置和网络之间共享动态参数,用于外部应用请求终端装置标识的过程中进行安全校验,每请求一次终端装置标识更新一次动态参数,从而防止被恶意攻击或篡改,提高通信的安全性。其中,示例性的,本申请的下述实施例提供了三种安全验证的方式,包括:方式一、通过动态参数生成的校验值进行安全校验,以第一校验值为例进行介绍;方式二、通过生成与第一校验值关联的授权码,根据授权码请求兑换令牌,以第一授权码为例进行介绍;方式三、通过对根据第一校验值生成的令牌(token)进行安全校验,以第一令牌为例进行介绍。
通过本申请提供的实施方式,在安全校验中通过动态参数提高通信安全性,防止用户隐私信息泄露。
示例性的,以图4中所示的应用于终端装置、第一装置和第二装置为例介绍本申请的实施方式。本申请可以由终端装置、第一装置和第二装置执行,也可以由安装于终端装置、第一装置和第二装置的具有相应功能的模块和/或器件(例如,芯片或集成电路等)执行。
其中,第一装置可以为请求终端装置标识的PLMN外部的网元如AF,第二装置可以是终端装置归属的PLMN通信网络中的鉴权装置,如第二装置可以为NEF。
如图4所示,该方法可以包括如下步骤。
401:终端装置根据终端装置的信息和第一参数生成第一校验值。
其中,终端装置的信息可以包括终端装置的第一标识,和/或终端装置与网络之间的共享安全密钥。其中,终端装置的第一标识具体可以为3GPP内部识别终端装置的标识,如终端装置的第一标识可以为SUPI。
应理解,终端装置的第一标识,用于在3GPP系统中标识该终端装置。终端装置的第二标识,是AF请求的外部UE ID,如UE的MSISDN,即终端装置的手机号,或者GPSI的其他形式。
在一种实施方式中,终端装置与网络之间的共享安全密钥可以包括以下至少一种:终端装置与鉴权服务功能AUSF网元之间的共享安全密钥KAUSF,终端装置与安全锚定功能SEAF网元之间的共享安全密钥KSEAF,或终端装置与接入和移动性管理AMF网元之间的共享安全密钥KAMF。
其中,第一参数是指终端装置侧生成校验值的动态参数,AF每申请一次终端的标识,终端侧和网络侧均对第一参数的取值进行动态更新,或者,网络对请求终端的标识进行校验成功后更新第一参数,且终端装置侧与网络侧保持一致。
应理解,为便于描述,终端装置侧的动态参数为第一参数,对应的网络侧的动态参数可以为第二参数。本申请对该动态参数的命名仅为示例,不限定具体参数名称或取值方式等。
示例性的,第一参数的初始取值可以为一个预设值或默认值,例如可以为0、1或其他取值。其中,通信网络中核心网的网元的第二参数的预设值(或默认值)与终端装置侧的第一参数的预设值(或默认值)相同。或者,第一参数可以为一个计数值,或者,随机数或随机数生成种子。
在一种实施方式中,在终端装置与网络建立会话的过程中,终端装置可以从AMF接收第一参数。下文将结合示例的流程图,介绍终端装置在会话建立过程中,网络生成第一参数并与终端装置共享第一参数的过程,此处不再赘述。
在一种实施方式中,终端装置根据终端装置的信息和第一参数生成第一校验值,具体可以包括:终端装置根据终端装置的信息、第一参数和以下终端装置的相关信息中的一个或多个信息生成第一校验值。也就是说,终端装置生成第一校验值的相关信息还可以包括以下信息中的至少一个:终端装置私有IP地址、终端装置的公共IP地址、终端装置的会话标识、终端装置的私有IP地址关联的会话的数据网络名称(data network name,DNN)或关联的切片信息,如单网络切片选择辅助信息(single network slice selectionassistance information,S-NSSAI)。示例性的,终端装置的会话标识具体可以为协议数据单元(protocol data unit,PDU)会话的标识。
也就是说,终端装置可以根据第一参数和SUPI,以及可选的,还可以结合上述终端装置的相关信息中的至少一个,生成第一校验值。或者,终端装置可以根据第一参数和终端装置与网络之间的上述共享安全密钥中的至少一个,以及可选的,还可以结合上述终端装置的相关信息中的至少一个,生成第一校验值。或者,终端装置可以根据第一参数、SUPI和终端装置与网络之间的上述共享安全密钥中的至少一个,以及可选的,还可以结合上述终端装置的相关信息中的至少一个,生成第一校验值。
其中,本申请对生成校验值的算法不做具体限定。示例性的,终端装置生成第一校验值的算法可以包括但不限于:哈希(Hash)算法(例如SHA-256等),哈希消息认证码(hash-based message authentication code,HMAC)算法,例如HMAC-SHA256等,此时要求密钥为终端装置和网络之间共享的密钥,例如KAUSF、KSEAF或KAMF等。示例性的,终端装置可以根据私有IP地址、第一参数以及SUPI作为校验值的输入,采用SHA-256算法生成第一校验值。
应理解,如果终端装置根据公共IP地址生成第一校验值(如Hash值),那么后续第二装置对第一校验值进行安全校验的过程中,也需要根据公共IP地址生成Hash值对第一校验值进行校验。
在一种实施方式中,在步骤401之前,该方法还可以包括:
400:终端装置获取用于请求终端装置的第二标识的消息。
例如,终端装置可以根据应用程序的触发而生成第一校验值,如终端装置自身生成或获取用于请求终端装置的第二标识的消息。例如,终端装置上可以安装有第一应用,用户可以通过操作终端装置上的第一应用,触发第一装置需要获取该终端装置的第二标识。
或者,在另一种实施方式中,终端装置可以通过应用层或控制面接收到来自第一装置的请求消息,该请求消息用于获取终端装置的第一标识,从而,相对应的,终端装置响应于该请求消息,生成第一校验值。
402:终端装置向第一装置发送第一校验值或第一授权码,用于向网络请求终端装置的第二标识。
其中,第一授权码可以为与第一校验值关联的授权码,可以用于进行安全校验。
示例性的,终端装置可以通过向第一装置发送用于获取终端装置第二标识的请求消息,例如,请求消息可以为Nnef_UEId_Get request消息,其中,该请求消息中包括第一校验值或第一授权码。
也就是说,当终端装置确定第一装置有获取终端装置的第二标识的需求的时候,可以触发向第一装置发送第一校验值或第一授权码,用于第一装置可以根据第一校验值或第一授权码,向第二装置请求终端装置的第二标识。
在一种实施方式中,若步骤402中,在终端装置向第一装置发送的是第一授权码的情况下,该方法还可以包括如下步骤:
402a:终端装置向第二装置发送第一消息,包括第一校验值。
第一消息用于请求授权第一装置向网络请求终端装置的第二标识。
也就是说,若该通信方法所采用的验证方式是前述的方式二,则终端装置可以向第二装置发送第一消息,用于请求对第一装置获取该终端装置的第二标识进行授权,从而后续可以基于授权码请求终端装置的标识。
或者,另一种实施方式中,第一消息可以用于请求第二装置生成第一装置向网络请求终端装置的第二标识的令牌。
402b:第二装置向终端装置发送第一授权码。
例如,第二装置可以根据预配置的授权算法,生成所述第一校验值关联的第一授权码,并向终端装置发送该第一授权码,用于向第一装置授权获取终端装置的第二标识的操作。
或者,另一种实施方式中,第二装置可以根据基于接收到的第一校验值等参数生成第一令牌。
相对应的,第一装置可以接收来自终端装置的第一校验值或第一授权码,从而第一装置可以执行下述的步骤404,根据获取的第一校验值或第一授权码,向网络请求终端装置的第二标识。
403:终端装置更新第一参数。
本申请对终端装置更新第一参数的取值的时机不做具体限定。
在一种实施方式中,终端装置可以在生成第一校验值之后,更新第一参数。从而,当终端装置上的应用程序触发需要获取终端装置的第二标识,获取终端装置接收到来自第一装置的请求消息(获取终端装置的第二标识),终端装置可以根据更新后的第一参数的取值以及上述的终端装置的信息,生成第二校验值。
或者,在另一种实施方式中,终端装置可以在接收到第二消息之后,更新第一参数。
在这种实施方式中,第二消息可以用于指示更新第一参数。示例性的,第二消息可以为安全校验响应消息,用于指示安全校验通过或校验失败。其中,该响应消息中携带了指示更新第一参数的指示信息。
则终端装置更新第一参数,包括:响应于第二消息,更新第一参数。例如,终端装置可以接收到第二消息之后,根据预配置的方式更新第一参数的取值。
可选的,第二消息中还可以包括第一参数更新后的数值。
应理解,本申请不限定第二消息的发送时机,可以在第一装置获取终端装置的第二标识的流程结束之后,网络向终端装置发送第二消息,例如,NEF向终端装置发送第二消息,或者,第二装置(如NEF)在步骤405之后,接收到第一校验值并进行校验之后可以向终端装置发送第二消息,用于指示更新终端装置侧的第一参数的值。本申请对此不做限定。
应理解,根据前述动态参数的设置方式不同,对于动态参数的更新方式也可能不同。示例性的,若第一参数为默认值或预设值,可以通过对原有取值增加一个固定数值或默认数据的方式进行更新。若第一参数为随机数,可以通过生成新的随机数的方式进行更新。若第一参数为随机数生成种子,则可以基于随机数生成种子,生成新的随机数。
在一种实施方式中,示例性的,若终端装置生成第一校验值的第一参数的值为第一值,则终端装置更新第一参数,具体可以包括以下几种方式:将第一参数的值从第一值更新为第一值加上默认数值的结果;或者,将第一参数的值从第一值更新为第一随机数;或者,根据第一值生成第二随机数,将第一参数的值从第一值更新为第二随机数。本申请对动态参数的更新方式不做具体限定,终端装置侧和网络侧对于动态参数的配置方式与更新方式保持一致即可。
可选的,第二消息中还可以包括更新后的第一参数的取值。终端装置可以根据第二消息更新第一参数的取值。示例性的,若第一参数为随机数,终端装置根据第二消息更新第一参数的取值,则第二消息中还可以包括第一参数更新后的数值,从而终端装置可以根据第二消息中的数值,确定第一参数更新后的值。
404:第一装置向第二装置发送第四消息,包括第一校验值。
其中,第四消息用于请求终端装置的第二标识。
示例性的,第四消息可以为UE ID获取请求(Nnef_UEId_Get request)消息,第四消息包括第一装置在步骤402中从终端装置接收到的第一校验值或第一授权码。另外,该第四消息还可以包括终端装置的公共IP地址。
405:第二装置根据第二参数对第一校验值进行安全校验。
相对应的,第二装置接收第四消息,根据第二装置侧获取的动态参数即第二参数的值,对第四消息中的第一校验值进行校验,或者,根据第一授权码为第一装置兑换一个令牌。
在前述的安全校验的方式一中,第四消息中可以包括第一校验值,网络可以通过对第一校验值进行校验,确定是否向第一装置发送该终端装置的第二标识。
示例性的,第二装置可以根据第二参数的值,通过配置的算法生成本地的校验值。
例如,第二装置与终端装置侧可以配置相同的生成校验值的算法为Hash算法,终端装置侧根据第一参数的值以及终端装置的信息等生成第一校验值,如Hash-1,第二装置根据第二参数的值以及终端装置的信息等,通过相同的Hash算法生成Hash-2,从而第二装置对Hash-1和Hash-2进行校验,若匹配则校验成功;如不匹配则校验失败。
或者,在前述的安全校验的方式二中,第四消息中可以包括第一授权码,第二装置可以根据第一授权码为第一装置兑换第一令牌并向第一装置发送该第一令牌,后续,第一装置可以向第二装置请求终端的第二标识,携带该第一令牌,第二装置对第一令牌进行安全校验,以确定是否向第一装置发送该终端装置的第二标识。
或者,在前述的安全校验的方式三中,第四消息中可以包括第一令牌(token),其中,第一令牌包括第一校验值,网络可以通过对第一令牌中包括的信息进行校验,确定是否向第一装置发送该终端装置的第二标识。
在一种实施方式中,第一令牌可以包括以下至少一种信息:生成第一令牌的装置标识、请求第一令牌的装置标识、提供安全验证服务的装置标识、第一令牌允许使用的服务指示、第一令牌的过期时间、第一参数或终端装置的公共IP地址。其中,第一令牌允许使用的服务包括允许获取终端装置的标识的服务。
在一种实施方式中,第二装置对第一校验值进行安全校验,需要向存储有终端装置的标识信息的第三装置(如BSF),请求终端装置的第一标识。该方法还可以包括以下步骤。
405a:第二装置向第三装置发送第三消息,用于请求终端装置的第一标识。
示例性的,第三装置可以为BSF,BSF保存有终端装置的私有IP地址与第一标识的关联关系。
其中,第三消息中包括终端装置的私有IP地址,BSF可以根据终端装置的私有IP地址查询该终端装置的第一标识。
405b:第三装置向第二装置发送终端装置的第一标识。
另外,一种可能的实施方式中,上述步骤405中,第二装置进行安全校验的过程,也可以通过第二装置向第三装置发送第一校验值,请求由第三装置进行安全校验,并接收第三装置的校验结果。
这种实施方式下,该第三消息还可以包括第一校验值,用于请求第三装置进行安全校验。
第三装置对第一校验值进行安全校验,校验成功的情况下,向第二装置发送终端装置的第一标识。
示例性的,第三装置可以根据第二参数的值,以及终端装置的信息,生成第三校验值,若第三校验值与第一校验值相匹配,则第二装置可以向第三装置发送终端装置的第一标识。
在一种实施方式中,若终端生成第一校验值时,根据第一参数与终端装置与网络之间的共享安全密钥生成第一校验值(可选的,还可以包括终端的其他信息),则第二装置或第三装置进行安全校验时,可以向AMF、SEAF或AUSF发送获取相应的共享安全密钥的请求消息,该请求消息可以携带终端装置的第一标识如SUPI。然后接收响应消息,获取相应的共享安全密钥,以进行安全校验。
406:对第一校验值的校验成功的情况下,第二装置向第一装置发送终端装置的第二标识。
第二装置可以根据对第一校验值的校验结果,确定是否可以向第一装置发送终端装置的第二标识。若第二装置对第一校验值的校验成功,则将获取的终端装置的第二标识发送至第一装置;若对第一校验值的校验失败,则第二装置不向第一装置发送终端装置的第二标识,可选的,第二装置可以向第一装置发送响应消息,用于指示第一装置的请求不被执行。
在一种实施方式中,第二装置对第一校验值的校验成功的情况下,可以通过向UDM发送请求,携带终端装置的第一标识,如SUPI,请求终端装置的第二标识。从而,第二装置可以向第一装置发送获取的终端装置的第二标识,如终端装置的手机号。
407:第二装置更新第二参数的取值,或者,第三装置更新第二参数的值。
在一种实施方式中,第二装置可以更新第二参数的取值,并通知第三装置;或者,第三装置更新第二参数的取值,并通知第二装置。
一种实施方式中,第二装置更新第二参数的取值,第二装置用于对第二校验值进行安全校验。此时,第二装置可以根据终端的私有IP地址查询获取第二参数,然后根据第二参数对第二校验值进行安全校验。可选的,第二装置可以将更新后的第二参数保存,或者向第三装置发送更新后的第二参数。
另一种实施方式中,第二装置更新第二参数的取值,第三装置用于对第二校验值进行安全校验。此时,第二装置向可以向第三装置发送更新后的第二参数,从而第三装置接收到更新后的第二参数,然后根据更新后的第二参数对第二校验值进行安全校验。
可选的,第二装置可以安全校验成功之后,更新第二参数;或者,第二装置可以接收到请求安全校验的消息之后,更新第二参数。
另一种实施方式中,第三装置更新第二参数的取值,第三装置用于对第二校验值进行安全校验。此时,第三装置接收到来自第二装置的第二校验值,第三装置可以根据更新的第二参数对第二校验值进行安全校验。
另一种实施方式中,第三装置更新第二参数的取值,第二装置用于对第二校验值进行安全校验。此时,第二装置可以根据终端的私有IP地址,向第三装置请求更新后的第二参数,第三装置向第二装置发送更新后的第二参数,从而第二装置可以根据更新后的第二参数对第二校验值进行安全校验。
可选的,若第三装置可以接收来自第二装置的终端的私有IP地址、第二参数等信息之后,确认有AF获取终端的第二标识,即更新第二参数。或者,第三装置可以接收到来自第二装置的校验成功的响应消息之后,更新第二参数。
在一种实施方式中,第二装置或第三装置对第二参数的取值的更新方式,可以与终端装置侧更新动态参数即第二参数的方法相类似的。示例性的,第二装置可以将第二参数的值从第一值更新为第一值加上默认数值的结果;或者,将第二参数的值从第一值更新为第一随机数;或者,根据第一值生成第二随机数,将第二参数的值从第一值更新为第二随机数。可以参照前述步骤403的相关描述。
上述实施方式中,网络对于外部应用请求终端装置的第二标识的场景中,可以根据动态参数生成安全校验的校验值,即第一参数是动态更新的,终端每一次生成的Hash值是不同的,因此,即使第一参数或Hash值泄露,攻击者无法通过旧的Hash值通过网络侧的安全校验。另外,即使攻击者获取到第一参数,但是无法获取到终端的第一标识如SUPI,因此,无法计算得到Hash值,因此,本申请的实施方式安全性较高,不容易泄露用户隐私信息。
后续,当第一装置再次有获取终端装置的第二标识的需求时,终端装置可以根据终端装置的信息和更新后的第一参数,生成第二校验值;向第一装置发送第二校验值或与第二校验值关联的第二授权码,用于向所述网络请求终端装置的标识。
对于第二装置侧如NEF来说,NEF在更新第二参数之后,可以接收来自第一装置的第四消息,第四消息包括第二校验值,第四消息用于请求终端装置的第二标识。NEF可以根据更新后的第二参数对第二校验值进行校验;在对第二校验值的校验成功的情况下,向第一装置发送终端装置的标识。
需要说明的是,本申请的实施例中,用于进行安全校验的网元为第二装置或第三装置,实施例中以NEF和BSF为例进行介绍,但本申请不限定进行校验的网元,其他能够获得安全校验所需的信息的网元也可以执行前述的校验过程。
另外,本实施例还可以应用于边缘计算场景,此时,上述实施例中的终端装置还可以是边缘使能客户端(edge enabler client,EEC),第一装置可以是边缘使能服务器(edgeenabler server,EES)。
下面以网络生成校验令牌为例,通过示例的实施流程,介绍本申请提供的通信方法。
如图5所示,该方法可以包括如下步骤。
500:生成第一参数。
SMF在PDU会话建立期间生成第一参数,并向终端装置和BSF发送第一参数。
例如,SMF可以通过会话管理策略关联建立流程或会话管理策略关联更新流程向BSF发送第一参数的取值。其中,为了便于描述,BSF侧或NEF侧可以称为第二参数。
另外,SMF可以通过Namf_Communication_N1N2MessageTransfer、N2 PDU会话请求和AN特定资源设置向终端装置发送第一参数的取值。下文将结合图6,介绍网络生成第一参数并与终端装置共享第一参数的具体流程,此处不再赘述。
501:AF向终端装置发送令牌申请请求。
示例性的,当AF需要获取终端装置的第二标识时,可以向终端装置发送申请令牌的请求。
可选的,若终端装置内部的应用程序触发请求终端装置的第二标识,则可以不执行步骤501,直接执行下述步骤502。
502:终端装置生成第一校验值,并更新第一参数的值。
根据前述步骤401的描述,终端装置可以根据第一参数和终端装置的信息,生成第一校验值。
示例性的,终端装置可以根据第一参数、终端装置的SUPI以及终端装置的公共/私有IP地址,通过Hash算法生成第一校验值,如Hash1。
可选的,终端装置生成第一校验值之后,可以将第一参数的取值加1,或者通过前述的其他方式更新第一参数的取值,用于生成下一个校验值。
503:终端装置向NEF发送授权码请求,包括第一校验值与公共IP地址。
504:NEF生成第一授权码并发送给终端装置。
505:终端装置将接收到的第一授权码发送给AF。
506:AF向NEF发送带有第一授权码的令牌请求。
507:NEF生成第一令牌。
在接收到来自AF的第一授权码之后,NEF可以基于在步骤503中接收到的第一校验值和公共IP地址来生成第一令牌。
其中,第一令牌可以包括如下信息。
1.颁发者:即生成第一令牌的装置标识,NEF ID;可选的,可以是NEF中的CAPIF核心功能实体(CAPIF Core Function,CCF)ID。
2.主题:即请求第一令牌的装置标识,AF ID;
3.受众:即提供安全验证服务的装置标识NEF ID;可选的,可以是NEF中的API暴露功能实体(API Exposure Function,AEF)的ID;
4.允许使用的服务指示:如允许使用的服务的名称,可以为Nnef_UEId_Get;
5.有效期:即第一令牌的过期时间;
6.散列:第一校验码;
7.IP地址:终端装置的公共IP地址;
8.第一参数。
508:NEF向AF发送第一令牌。
509:AF向NEF发送获取终端装置标识的请求消息,包括第一令牌。
例如,AF可以向NEF发送Nnef_UEId_Get请求消息,用于获取UE ID,该请求消息包括第一令牌。
510:NEF对第一令牌进行安全校验。
例如,NEF可以校验第一令牌的信息,如第一令牌的颁发者是否为NEF ID、基于AF证书中AF的身份信息校验第一令牌的主题是否为AF ID、第一令牌的受众是否为NEF ID、第一令牌允许使用的服务名称是否为Nnef_UEId_Get,以及验证第一令牌是否过期等来验证。
511:对第一令牌校验成功的情况下,NEF向NRF发送UPF地址的请求消息。
如果对第一令牌验证成功,则NEF可以使用Nnrf_NFDiscovery服务操作,向NRF请求能实现网络地址转换(network address translation,NAT)功能的UPF的地址。该请求消息可以包括UE的(公共)IP地址,可选的,还可以包括与AF ID相关联的DNN和S-NSSAI以及IP域。
512:NRF向NEF发送响应消息。
NRF可以向NEF发送Nnrf_NFDiscovery响应消息,该响应消息包括实现UE(公共)IP地址的NAT功能的UPF地址。
513:NEF向UPF发送终端装置的私有IP地址的请求消息。
NEF可以通过Nupf_GetPrivateUEIP_Get服务操作,向UPF发送请求消息,用于获取UE的(私有)IP地址。该请求消息可以包括UE的(公共)IP地址和端口号,可选的,还可以包括与AF ID相关联的IP域、DNN和S-NSSAI。
514:UPF向NEF发送响应消息。
UPF可以通过Nupf_GetPrivateUEIP_Get响应消息,向NEF发送UE的私有IP地址,可选的,还可以包括IP域。如果UPF已经应用了NAT功能,则UPF返回的UE的IP地址是私有UE IP地址。
515:NEF向BSF发送第一校验值和终端装置的私有IP地址,请求终端装置的标识。
NEF可以向BSF发送Nbsf_Management_Discovery消息,该消息中包括第一校验值,和UE的私有IP地址。
516:BSF根据第一校验值进行安全校验,并更新第一参数的取值。
BSF根据接收的第一校验值进行安全校验。
首先,BSF确定与私有IP地址相关联的SUPI和第一参数的取值。然后,BSF根据SUPI、第一参数的取值和公共/私有IP地址生成Hash1’,然后将生成的Hash1’与接收到的第一校验值Hash1进行比较。
在一种实施方式中,若终端生成第一校验值时,根据第一参数与终端装置与网络之间的共享安全密钥生成第一校验值Hash1(可选的,还可以包括终端的其他信息),则第二装置或第三装置进行安全校验时,可以向AMF、SEAF或AUSF发送获取相应的共享安全密钥的请求消息,该请求消息可以携带终端装置的第一标识如SUPI。然后接收响应消息,获取相应的共享安全密钥,以生成Hash1’进行安全校验。
然后,BSF更新第一参数,可以将第一参数的值加1。
517:对第一校验值校验成功的情况下,BSF向NEF发送终端装置的SUPI。
如果Hash1’等于接收到的Hash1值,则校验成功,BSF向NEF发送终端装置的SUPI。
如果Hash1’不等于接收到的Hash1值,则校验失败,BSF可以向NEF发送请求被拒绝的响应消息。
518:NEF向UDM发送查询请求,包括终端装置的SUPI。
然后,NEF可以通过Nudm_SDM_Get服务操作,向UDM请求终端装置的第二标识,该查询请求中可以包括终端装置的SUPI。可选的,该查询请求中还可以包括应用端口ID、MTC提供商信息或AF标识符中的至少一个。
519:UDM向NEF发送终端装置的第二标识。
UDM根据SUPI查询,确定终端装置的外部标识,即前述的第二标识,如终端装置的手机号。
可选的,UDM通过SUPI、应用端口ID、MTC提供商信息和/或AF标识符,查询相关联的终端装置的第二标识,并向NEF发送第二标识。
520:NEF向AF发送响应消息,包括终端装置的第二标识。
上述本申请的实施方式中,基于终端装置与网络共享的动态参数生成校验值,通过生成令牌或授权码,对于请求终端装置标识进行安全校验,其中,能够防止恶意攻击者使用终端装置被泄露的公共IP地址等静态信息请求终端装置的标识,能够提高通信安全性,防止用户隐私信息泄露。另外,对于网络不可信的外部应用请求终端装置的标识的场景,通过动态参数的安全校验方式,防止不可信的AF基于终端装置的公共IP地址请求终端装置的标识,或AF未经终端装置授权就任意请求终端装置的标识,能够提高通信安全性,防止用户隐私信息泄露。
在一种实施方式中,前述步骤401中,终端装置获取的第一参数,可以是在终端装置与网络的会话建立过程中,由核心网的某个网元生成第一参数,并通过会话建立流程中的信令消息向终端装置发送该第一参数。
在一种可能的实施方式中,以PDU会话建立过程为例,终端装置与网络的PDU会话建立过程中,AMF接收到终端装置的PDU会话建立请求,AMF为终端装置选择SMF的过程中,可以生成第一参数。
或者,在一种可能的实施方式中,终端装置与网络的会话建立过程中,由SMF生成第一参数,通过与终端装置的信令消息可以将第一参数发送至终端装置。另外,SMF还可以通过会话管理策略关联建立流程或会话管理策略关联更新流程,将第一参数与终端装置的其他相关信息发送至BSF进行保存,以便后续AF请求终端装置的标识的情况下,可以查询BSF获取校验相关的信息进行安全校验。
应理解,前述图4所示的实施例中,为便于区分,将终端装置侧的动态参数命名为第一参数,将网络侧的动态传输命名为第二参数。实际第一参数与第二参数的作用与本质是一样的,且终端装置侧与网络侧的第一/第二参数的取值是动态更新且保持一致的。
下面以PDU会话建立过程为例,结合图6所示,介绍生成第一参数的过程。
601:终端装置向AMF发送PDU会话建立请求。
602:AMF选择SMF。
可选的,AMF可以在选择SMF时,生成第一参数。
603:AMF向SMF发送会话建立请求。
例如,AMF可以向SMF发送Nsmf_PDUSession_CreateSMContext请求消息,携带相关参数。
可选的,若步骤602中AMF生成第一参数,则步骤603中的AMF向SMF发送的请求消息可以包括该第一参数。
可选的,SMF还可以向UDM发送消息,获取用户的签约数据,并向PCF获取策略数据。
604:SMF向AMF发送响应。
例如,SMF可以向AMF回复Nsmf_PDUSession_CreateSMContext响应消息。
605:SMF选择PCF。
606:SMF选择UPF。
可选的,SMF可以在选择PCF的时候,生成第一参数,并通过会话管理策略关联建立流程,把第一参数发给BSF。
可选的,SMF可以在选择UPF的时候,生成第一参数,并通过会话管理策略关联更新流程,把第一参数发给BSF。
607:SMF向BSF发送第一参数。
其中,SMF可以通过会话管理策略关联建立或会话管理策略关联更新流程,向BSF发送第一参数。
例如,SMF向PCF发送会话管理策略关联建立(如Npcf_SMPolicyControl_Create)请求消息,或会话管理策略关联更新(如Npcf_SMPolicyControl_Update)请求消息,其中可以包括终端装置的SUPI、IP信息以及第一参数。
然后,PCF可以向BSF发送管理配置(Nbsf_Management_Register)请求消息,或者管理更新请求(Nbsf_Management_Update)消息,其中可以包括终端装置的SUPI、IP信息以及第一参数。可选的,该请求消息还可以包括终端装置的标识与PDU会话标识、DNN以及S-NSSAI的关联关系,发给BSF用于后续的安全校验。
SMF与UPF建立会话,以建立用户面连接,并向基站发起无线资源请求。
后续,基站接到请求后设置相应的无线资源并回复SMF的请求。SMF接到回复后更新UPF以建立UPF到基站的隧道:UE<->AN<->UPF,UE可以通过该隧道到达UPF以连接到目标DN。
608:SMF向AMF发送Namf_Communication_N1N2MessageTransfer消息,包括第一参数。
609:AMF向RAN发送N2 PDU会话请求消息,包括第一参数。
610:RAN向终端装置发送AN特定资源设置消息,包括第一参数。
上述实施方式中,网络生成动态参数,并与终端装置共享该动态参数,BSF保存该动态参数与终端装置的标识等相关信息的关联关系,以便于前述实施例中安全校验过程中,NEF向BSF请求关联的信息,进行安全校验,并且同步更新该第一参数,使得在请求终端装置的标识的验证过程中,即使第一参数被泄露,攻击者无法获取生成校验值的终端装置SUPI或终端装置与网络之间的共享安全密钥等信息,仍无法校验通过,因此可以有效防止泄露终端装置的外部标识。另外,如果终端装置的校验值泄露,由于动态参数实时更新,不可信AF无法根据旧的校验值成功通过安全校验,因此,通信安全性较高。
另外,本申请还提供一种通信方法,可以在请求终端装置的标识的情况下,请求网络生成一个动态参数,类似于前述的第一参数。从而,第一装置向网络请求终端装置的标识前,可以请求终端装置向网络请求生成一个随机数,后续,在NEF或BSF根据校验值进行安全校验时,可以从生成随机数的网元处获取该随机数。
示例性的,如图7所示,该通信方法包括如下步骤。
701:AF向终端装置发送第一参数申请请求。
702:终端装置向AMF请求第一参数。
可选的,AMF根据终端装置的请求,生成随机数作为第一参数,并向终端装置发送该第一参数。
702a:AMF向UDM请求第一参数。
或者,另一种实施方式中,AMF可以向UDM请求第一参数,由UDM生成第一参数,并发送至AMF。此时,UDM可以存储终端装置的相关信息与第一参数的关联关系,以便后续安全校验的过程中,请求查询获取该第一参数的取值。
同前述的步骤503-520。
可选的,步骤516中,BSF根据第一校验值进行安全校验的过程中,BSF可以向生成第一参数的网元请求第一参数的取值,例如,BSF可以向UDM请求第一参数的取值,从而可以根据第一参数对接收的校验值进行安全校验。
上述实施方式中,与前述图5所示的实施方式不同的是,终端装置与网络侧,如网络中的BSF或NEF不需要动态更新第一参数的取值,而是需要每次请求终端装置的标识的情况下,由终端装置向网络请求生成第一参数,如执行步骤702,终端装置向AMF请求第一参数。其中,第一参数可以是随机数,因此,每次获取的第一参数的取值是动态变化的,即使第一参数被泄露,攻击者无法获取生成校验值的终端装置SUPI或终端装置与网络之间的共享安全密钥等信息,仍无法校验通过,因此可以有效防止泄露终端装置的外部标识。另外,如果终端装置的校验值泄露,由于动态参数实时更新,不可信AF无法根据旧的校验值成功通过安全校验,因此,通信安全性较高。
本申请上文中提到的各个实施例之间在方案不矛盾的情况下,均可以进行结合,不作限制。
上述主要从各个网络装置之间交互的角度对本申请提供的方案进行了介绍。相应的,本申请还提供了通信装置,该通信装置可以为上述方法实施例中的终端装置,或者为可用于终端装置的部件如芯片;或者可用于上述实施例中的第二装置,或者为可用于第二装置的部件如芯片;或者,该通信装置可以为上述方法实施例中的第三装置,或者为可用于第三装置的部件如芯片。
可以理解的是,上述通信装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法操作,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
应理解的是,上述仅以终端装置、第一装置、第二装置或第三装置为例描写各个网元之间的交互。实际上,上述终端装置所执行的处理也并不限于仅由单一网元执行,上述第一装置所执行的处理并不限于仅由单一网元执行,上述第二装置所执行的处理也并不限于仅由单一网元执行,上述第三装置所执行的处理也并不限于仅由单一网元执行。
本申请可以根据上述方法示例对通信装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。可以理解的是,本申请中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,以采用集成的方式划分各个功能模块的情况下,图8示出了一种通信装置800的结构示意图。通信装置800包括处理模块801和接口模块802。
在一些实施例中,该通信装置800还可以包括存储模块(图8中未示出),用于存储程序指令和数据。
示例性地,通信装置800可以用于实现上述实施例中终端装置的功能。通信装置800例如为前述图4至图7的各个实施例中所述的终端装置。
其中,处理模块801可以用于根据终端装置的信息和第一参数生成第一校验值;其中,终端装置的信息包括终端装置的第一标识,和/或终端装置与网络之间的共享安全密钥,第一标识用于在网络内部识别终端装置;在生成第一校验值之后,更新第一参数。
接口模块802可以用于向第一装置发送第一校验值或与第一校验值关联的第一授权码,第一校验值和第一授权码用于向网络请求终端装置的第二标识,第二标识用于在该网络外部识别终端装置。
在一种实施方式中,处理模块801还可以用于根据所述终端装置的信息和更新后的所述第一参数,生成第二校验值;向所述第一装置发送所述第二校验值或与所述第二校验值关联的第二授权码,所述第二校验值和所述第二授权码用于向所述网络请求第二标识。
在一种实施方式中,接口模块802还可以用于获取用于请求所述第二标识的消息。
在一种实施方式中,接口模块802还可以用于向第二装置发送第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求第二标识;接收来自所述第二装置的所述第一授权码。
在一种实施方式中,接口模块802还可以用于向所述第一装置发送第一令牌,所述第一令牌包括所述第一校验值。
在一种实施方式中,第一参数为预设值、计数值、随机数或随机数生成种子。
在一种实施方式中,接口模块802还可以用于在所述终端装置与所述网络建立会话的过程中,从所述网络中的接入和移动性管理网元接收所述第一参数。
在一种实施方式中,接口模块802还可以用于接收第二消息,所述第二消息用于指示更新所述第一参数;所述更新所述第一参数,包括:响应于所述第二消息,更新所述第一参数。
在一种实施方式中,第二消息包括更新后的所述第一参数。
在一种实施方式中,处理模块801可以用于根据所述终端装置的信息、所述第一参数和以下信息中的一个或多个信息生成所述第一校验值:所述终端装置的私有的网际互连协议IP地址、所述终端装置的公共的网际互连协议IP地址、所述终端装置的会话标识、或者所述终端装置的私有的IP地址关联的会话的数据网络名称或关联的切片信息。
在一种实施方式中,第一令牌还包括所述第一参数。
在一种实施方式中,终端装置与网络之间的共享安全密钥包括以下至少一种:所述终端装置与鉴权服务网元之间的共享安全密钥KAUSF、所述终端装置与安全锚定网元之间的共享安全密钥KSEAF或所述终端装置与接入和移动性管理网元之间的共享安全密钥KAMF。
在一种实施方式中,处理模块801可以用于将所述第一参数的值从所述第一值更新为所述第一值加上默认数值的结果;或者,将所述第一参数的值从所述第一值更新为第一随机数;或者,根据所述第一值生成第二随机数,将所述第一参数的值从所述第一值更新为所述第二随机数。
另外,通信装置800可以为前述图4-图7所述的各个实施例中的第三装置,如BSF。该通信装置可以包括处理模块801和接口模块802。
接口模块802用于接收来自第二装置的第三消息,所述第三消息用于请求终端装置的第一标识,所述第一标识用于在网络内部识别所述终端装置,所述第三消息包括第一校验值。
处理模块801用于根据第二参数对所述第一校验值进行校验。
在对所述第一校验值的校验成功的情况下,接口模块802用于向所述第二装置发送所述终端装置的第一标识。
处理模块801还可以用于更新所述第二参数。
在一种实施方式中,在对所述第一校验值的校验成功的情况下,处理模块801可以用于更新所述第二参数。
在一种实施方式中,第三消息还包括所述终端装置的私有的IP地址,接口模块802用于根据所述终端装置的私有的IP地址获取所述第二参数。
在一种实施方式中,接口模块802用于向所述第二装置请求所述第二参数。
在一种实施方式中,处理模块801用于根据所述第二参数生成第三校验值;在所述第三校验值与所述第一校验值相匹配的情况下,接口模块802用于向所述第二装置发送所述终端装置的第一标识。
另外,通信装置800可以为前述图4-图7所述的各个实施例中的第二装置,如NEF或能够实现相应功能的网元或功能。
其中,接口模块802用于接收来自第一装置的第四消息,所述第四消息包括第一校验值,所述第四消息用于请求终端装置的第二标识,第二标识用于在网络外部识别所述终端装置。
处理模块801用于根据第二参数对所述第一校验值进行校验;在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识;更新所述第二参数。
在一种实施方式中,接口模块802用于接收来自所述第一装置的第五消息,所述第五消息包括第二校验值,所述第五消息用于请求终端装置的第二标识;处理模块801用于根据更新后的所述第二参数对所述第二校验值进行校验;在对所述第二校验值的校验成功的情况下,接口模块802用于向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,在对所述第一校验值的校验成功的情况下,处理模块801用于更新所述第二参数。
在一种实施方式中,第四消息包括第一校验值,包括:所述第四消息包括第一令牌,所述第一令牌包括所述第一校验值。
在一种实施方式中,在所述接收来自第一装置的第四消息之前,接口模块802用于接收所述第一校验值或与所述第一校验值关联的第一授权码;处理模块801用于根据所述第一校验值或所述第一授权码生成所述第一令牌;接口模块802用于发送所述第一令牌。
在一种实施方式中,在接收所述第一授权码的情况下,接口模块802用于接收来自所述终端装置的第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求所述终端装置的第二标识;处理模块801用于确定与所述第一校验值关联的所述第一授权码;接口模块802用于向所述终端装置发送所述第一授权码。
在一种实施方式中,第一令牌包括以下至少一种信息:生成所述第一令牌的装置标识、请求所述第一令牌的装置标识、提供安全验证服务的装置标识、所述第一令牌允许使用的服务指示、所述第一令牌的过期时间、第一参数或所述终端装置的公共的IP地址;其中,所述第一令牌允许使用的服务包括允许获取所述终端装置的标识的服务。
在一种实施方式中,第一令牌包括第一参数,所述第一参数用于生成所述第一校验值;在对所述第一校验值的校验成功,且所述第一参数与所述第二参数匹配的情况下,接口模块802用于向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,处理模块801用于根据所述第二参数生成第三校验值;比较所述第三校验值与所述第一校验值是否匹配;在所述第三校验值与所述第一校验值匹配的情况下,接口模块802用于向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,接口模块802用于向第三装置发送所述终端装置的私有的IP地址;接收来自所述第三装置的所述第二参数。
在一种实施方式中,接口模块802用于向所述第三装置发送更新后的所述第二参数。
在一种实施方式中,接口模块802用于向第三装置发送第三消息,第三消息用于请求终端装置的第一标识,所述第三消息包括第一校验值和所述第二参数;接收来自所述第三装置的响应消息,所述响应消息包括所述终端装置的第一标识,或者,所述响应消息用于指示对所述终端装置的第一标识的请求被拒绝。处理模块801对所述第一校验值的校验成功的情况下,接收来自第三装置的响应消息包括所述终端装置的第一标识的情况下,接口模块802用于向所述第一装置发送所述终端装置的第二标识。
在一种实施方式中,在所述响应消息用于指示对所述第一校验值的校验成功的情况下,处理模块801用于更新所述第二参数。
在一种实施方式中,处理模块801用于将所述第二参数的值从第一值更新为所述第一值加上默认数值的结果;或者,将所述第二参数的值从所述第一值更新为第一随机数;或者,根据所述第一值生成第二随机数,将所述第二参数的值从所述第一值更新为所述第二随机数。
在一种实施方式中,接口模块802用于向所述终端装置发送第二消息,所述第二消息用于指示更新生成所述第一校验值的第一参数。
在一种实施方式中,第二消息包括更新后的所述第一参数。
综上,当通信装置800用于实现上述实施例中终端装置、第一装置、第二装置或第三装置等执行的功能时,关于通信装置800所能实现的其他功能,可参考前述任一所示的实施例的相关介绍,不多赘述。
在一个简单的实施例中,本领域的技术人员可以想到通信装置800可以采用图3所示的形式。比如,图3中的处理器301可以通过调用存储器303中存储的计算机执行指令,使得通信装置300执行上述方法实施例中所述的方法。
示例性的,图8中的处理模块801的功能/实现过程可以通过图3中的处理器301来实现。
示例性的,图8中的接口模块802的功能/实现过程可以通过图3中的通信接口304来实现。
可以理解的是,以上模块或单元的一个或多个可以软件、硬件或二者结合来实现。当以上任一模块或单元以软件实现的时候,所述软件以计算机程序指令的方式存在,并被存储在存储器中,处理器可以用于执行所述程序指令并实现以上方法流程。该处理器可以内置于SoC(片上系统)或ASIC,也可是一个独立的半导体芯片。该处理器内处理用于执行软件指令以进行运算或处理的核外,还可进一步包括必要的硬件加速器,如现场可编程门阵列(field programmable gate array,FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。
当以上模块或单元以硬件实现的时候,该硬件可以是CPU、微处理器、数字信号处理(digital signal processing,DSP)芯片、微控制单元(microcontroller unit,MCU)、人工智能处理器、ASIC、SoC、FPGA、PLD、专用数字电路、硬件加速器或非集成的分立器件中的任一个或任一组合,其可以运行必要的软件或不依赖于软件以执行以上方法流程。
可选的,本申请还提供了一种芯片系统,包括:至少一个处理器和接口,该至少一个处理器通过接口与存储器耦合,当该至少一个处理器执行存储器中的计算机程序或指令时,使得上述任一方法实施例中的方法被执行。在一种可能的实现方式中,该芯片系统还包括存储器。可选的,该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,本申请对此不作具体限定。
可选的,本申请还提供了一种计算机可读存储介质。上述方法实施例中的全部或者部分流程可以由计算机程序来指令相关的硬件完成,该程序可存储于上述计算机可读存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。计算机可读存储介质可以是前述任一实施例的通信装置的内部存储单元,例如通信装置的硬盘或内存。上述计算机可读存储介质也可以是上述通信装置的外部存储设备,例如上述通信装置上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,上述计算机可读存储介质还可以既包括上述通信装置的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述通信装置所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
可选的,本申请还提供了一种计算机程序产品。上述方法实施例中的全部或者部分流程可以由计算机程序来指令相关的硬件完成,该程序可存储于上述计算机程序产品中,该程序在执行时,可包括如上述各方法实施例的流程。
可选的,本申请还提供了一种计算机指令。上述方法实施例中的全部或者部分流程可以由计算机指令来指令相关的硬件(如计算机、处理器、网络设备或终端装置等)完成。该程序可被存储于上述计算机可读存储介质中或上述计算机程序产品中。
可选的,本申请还提供了一种通信系统,包括:上述实施例中的第三装置和第二装置。
可选的,该通信系统还可以包括上述实施例中的终端装置。
可选的,该通信系统还可以包括上述实施例中的第一装置。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (30)
1.一种通信方法,其特征在于,应用于终端装置,所述方法包括:
根据所述终端装置的信息和第一参数生成第一校验值;其中,所述终端装置的信息包括所述终端装置的第一标识,和/或所述终端装置与网络之间的共享安全密钥,所述第一标识用于所述网络的内部识别所述终端装置;
在生成所述第一校验值之后,更新所述第一参数;
向第一装置发送所述第一校验值或与所述第一校验值关联的第一授权码,所述第一校验值和所述第一授权码用于向所述网络请求所述终端装置的第二标识,所述第二标识用于在所述网络的外部识别所述终端装置。
2.根据权利要求1所述的方法,其特征在于,在所述更新所述第一参数之后,所述方法还包括:
根据所述终端装置的信息和更新后的所述第一参数,生成第二校验值;
向所述第一装置发送所述第二校验值或与所述第二校验值关联的第二授权码,所述第二校验值和所述第二授权码用于向所述网络请求所述第二标识。
3.根据权利要求1或2所述的方法,其特征在于,在所述根据所述终端装置的信息和第一参数生成第一校验值之前,所述方法还包括:
获取用于请求所述第二标识的消息。
4.根据权利要求1-3任一项所述的方法,其特征在于,在向所述第一装置发送所述第一授权码的情况下,所述方法还包括:
向第二装置发送第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求所述第二标识;
接收来自所述第二装置的所述第一授权码。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述向第一装置发送所述第一校验值,包括:向所述第一装置发送第一令牌,所述第一令牌包括所述第一校验值。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述第一参数为预设值、计数值、随机数或随机数生成种子。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
在所述终端装置与所述网络建立会话的过程中,从所述网络中的接入和移动性管理网元接收所述第一参数。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
接收第二消息,所述第二消息用于指示更新所述第一参数;
所述更新所述第一参数,包括:
响应于所述第二消息,更新所述第一参数。
9.根据权利要求8所述的方法,其特征在于,所述第二消息包括更新后的所述第一参数。
10.根据权利要求1-9任一项所述的方法,其特征在于,所述根据所述终端装置的信息和第一参数生成第一校验值,包括:
根据所述终端装置的信息、所述第一参数和以下信息中的一个或多个信息生成所述第一校验值:
所述终端装置的私有的网际互连协议IP地址、所述终端装置的公共的网际互连协议IP地址、所述终端装置的会话标识、或者所述终端装置的私有的IP地址关联的会话的数据网络名称或关联的切片信息。
11.根据权利要求5所述的方法,其特征在于,所述第一令牌还包括所述第一参数。
12.根据权利要求1-11任一项所述的方法,其特征在于,所述终端装置与网络之间的共享安全密钥包括以下至少一种:
所述终端装置与鉴权服务网元之间的共享安全密钥KAUSF、所述终端装置与安全锚定网元之间的共享安全密钥KSEAF或所述终端装置与接入和移动性管理网元之间的共享安全密钥KAMF。
13.根据权利要求8或9所述的方法,其特征在于,生成所述第一校验值的所述第一参数的值为第一值,所述更新所述第一参数,包括:
将所述第一参数的值从所述第一值更新为所述第一值加上默认数值的结果;或者,
将所述第一参数的值从所述第一值更新为第一随机数;或者,
根据所述第一值生成第二随机数,将所述第一参数的值从所述第一值更新为所述第二随机数。
14.一种通信方法,其特征在于,应用于第三装置,所述方法还包括:
接收来自第二装置的第三消息,所述第三消息用于请求终端装置的第一标识,所述第一标识用于在网络的内部识别所述终端装置,所述第三消息包括第一校验值;
根据第二参数对所述第一校验值进行校验;
在对所述第一校验值的校验成功的情况下,向所述第二装置发送所述终端装置的第一标识;
更新所述第二参数。
15.根据权利要求14所述的方法,其特征在于,所述更新所述第二参数,包括:
在对所述第一校验值的校验成功的情况下,更新所述第二参数。
16.根据权利要求14或15所述的方法,其特征在于,所述第三消息还包括所述终端装置的私有的IP地址,所述方法还包括:
根据所述终端装置的私有的IP地址获取所述第二参数。
17.根据权利要求14-16任一项所述的方法,其特征在于,所述方法包括:
向所述第二装置请求所述第二参数。
18.根据权利要求14-17任一项所述的方法,其特征在于,所述根据第二参数对所述第一校验值进行校验包括:
根据所述第二参数生成第三校验值;
所述在对所述第一校验值的校验成功的情况下,向所述第二装置发送所述终端装置的第一标识,包括:
在所述第三校验值与所述第一校验值匹配的情况下,向所述第二装置发送所述第一标识。
19.一种通信方法,其特征在于,应用于第二装置,所述方法包括:
接收来自第一装置的第四消息,所述第四消息包括第一校验值,所述第四消息用于请求终端装置的第二标识,所述第二标识用于在网络外部识别所述终端装置;
根据第二参数对所述第一校验值进行校验;
在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识;
更新所述第二参数。
20.根据权利要求19所述的方法,其特征在于,在所述更新所述第二参数之后,所述方法包括:
接收来自所述第一装置的第五消息,所述第五消息包括第二校验值,所述第五消息用于请求所述终端装置的第二标识;
根据更新后的所述第二参数对所述第二校验值进行校验;
在对所述第二校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识。
21.根据权利要求19或20所述的方法,其特征在于,所述更新所述第二参数,包括:
在对所述第一校验值的校验成功的情况下,更新所述第二参数。
22.根据权利要求19-21任一项所述的方法,其特征在于,所述第四消息包括第一校验值,包括:
所述第四消息包括第一令牌,所述第一令牌包括所述第一校验值。
23.根据权利要求22所述的方法,其特征在于,在所述接收来自第一装置的第四消息之前,所述方法还包括:
接收所述第一校验值或与所述第一校验值关联的第一授权码;
根据所述第一校验值或所述第一授权码生成所述第一令牌;
发送所述第一令牌。
24.根据权利要求23所述的方法,其特征在于,在接收所述第一授权码的情况下,所述方法还包括:
接收来自所述终端装置的第一消息,所述第一消息包括所述第一校验值,所述第一消息用于请求授权所述第一装置向所述网络请求所述终端装置的第二标识;
确定与所述第一校验值关联的所述第一授权码;
向所述终端装置发送所述第一授权码。
25.根据权利要求22-23任一项所述的方法,其特征在于,所述第一令牌包括第一参数,所述第一参数用于生成所述第一校验值;
所述在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识,包括:
在对所述第一校验值的校验成功,且所述第一参数与所述第二参数匹配的情况下,向所述第一装置发送所述终端装置的第二标识。
26.根据权利要求19-25任一项所述的方法,其特征在于,所述根据第二参数对所述第一校验值进行校验,包括:
根据所述第二参数生成第三校验值;
比较所述第三校验值与所述第一校验值是否匹配;
所述在对所述第一校验值的校验成功的情况下,向所述第一装置发送所述终端装置的第二标识,包括:
在所述第三校验值与所述第一校验值匹配的情况下,向所述第一装置发送所述终端装置的第二标识。
27.一种通信装置,其特征在于,所述通信装置用于实现如权利要求1-26中任一项所述的方法。
28.一种通信装置,其特征在于,包括:处理器,所述处理器与存储器耦合,所述存储器用于存储程序或指令,当所述程序或指令被所述处理器执行时,使得如权利要求1-26中任一项所述的方法被执行。
29.一种计算机可读存储介质,其上存储有计算机程序或指令,其特征在于,所述计算机程序或指令被执行时,使得如权利要求1至26中任一项所述的方法被执行。
30.一种计算机程序产品,所述计算机程序产品中包括计算机程序代码,其特征在于,当所述计算机程序代码在计算机上运行时,使得如权利要求1至26中任一项所述的方法被执行。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410405146.8A CN120786355A (zh) | 2024-04-03 | 2024-04-03 | 一种通信方法及装置 |
| PCT/CN2025/085136 WO2025209283A1 (zh) | 2024-04-03 | 2025-03-26 | 一种通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410405146.8A CN120786355A (zh) | 2024-04-03 | 2024-04-03 | 一种通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN120786355A true CN120786355A (zh) | 2025-10-14 |
Family
ID=97266432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410405146.8A Pending CN120786355A (zh) | 2024-04-03 | 2024-04-03 | 一种通信方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN120786355A (zh) |
| WO (1) | WO2025209283A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA3204543A1 (en) * | 2021-01-08 | 2022-07-14 | He Li | Secure communication method and device |
| CN117061135A (zh) * | 2022-05-06 | 2023-11-14 | 华为技术有限公司 | 一种通信方法及装置 |
| CN117118643A (zh) * | 2022-05-17 | 2023-11-24 | 中移(成都)信息通信科技有限公司 | 一种终端设备的信息查询方法、装置和电子设备 |
-
2024
- 2024-04-03 CN CN202410405146.8A patent/CN120786355A/zh active Pending
-
2025
- 2025-03-26 WO PCT/CN2025/085136 patent/WO2025209283A1/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2025209283A1 (zh) | 2025-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11451950B2 (en) | Indirect registration method and apparatus | |
| US20220052992A1 (en) | Identity verification method for network function service and related apparatus | |
| EP3668054B1 (en) | Data transmission method, device and system | |
| US20200296142A1 (en) | User Group Establishment Method and Apparatus | |
| CN110830925B (zh) | 一种用户群组的会话管理方法及装置 | |
| US20230269794A1 (en) | Local network accessing method and apparatus | |
| CN113891430A (zh) | 一种通信的方法、装置及系统 | |
| CN116325843A (zh) | 一种建立安全通信方法及装置 | |
| CN114071649B (zh) | 访问本地网络的方法和装置 | |
| KR20230156685A (ko) | 무선 네트워크에서의 코어 네트워크 디바이스 재할당을 위한 방법, 디바이스 및 시스템 | |
| US20250184743A1 (en) | Communication method and apparatus | |
| CN112492592A (zh) | 一种多个nrf场景下的授权方法 | |
| CN117812590A (zh) | 一种通信方法及装置、计算机可读存储介质和通信系统 | |
| US20250380232A1 (en) | Method for registering terminal device, and apparatus | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
| WO2022027529A1 (zh) | 一种切片认证的方法及装置 | |
| EP4478763A1 (en) | Communication method and apparatus | |
| CN120786355A (zh) | 一种通信方法及装置 | |
| CN116137711B (zh) | 一种用户隐私保护方法、装置及系统 | |
| CN118785136A (zh) | 通信方法、通信装置及通信系统 | |
| CN120238867A (zh) | 一种通信方法及装置 | |
| CN115550887A (zh) | 地址服务实体选择方法、装置、电子设备和可读存储介质 | |
| WO2022116110A1 (zh) | 接入认证方法、装置、设备及存储介质 | |
| CN119997014B (zh) | 一种通信方法和通信装置 | |
| US20240430089A1 (en) | Communication method, terminal device, and communication apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |