一种认证方法及网元
阅读:1发布:2020-08-15
专利汇可以提供一种认证方法及网元专利检索,专利查询,专利分析的服务。并且本 申请 公开了一种认证方法及网元,包括:第一网元接收来自SEAF网元的携带有第一指示信息的 请求 ;其中,第一指示信息用于指示第二网元具备执行快速认证的能 力 ;第一网元根据第一指示信息与第二网元执行快速认证。从本 发明 实施例 可见,由于当第一网元需要对第二网元进行快速认证时,第一网元根据第一指示信息直接与第二网元执行快速认证,因此保证了快速认证的灵活性。,下面是一种认证方法及网元专利的具体信息内容。
1.一种认证方法,包括:
第一网元接收来自安全锚点功能SEAF网元的携带有第一指示信息的请求;其中,所述第一指示信息用于指示第二网元具备执行快速认证的能力;
所述第一网元根据所述第一指示信息与所述第二网元执行快速认证。
2.根据权利要求1所述的认证方法,其特征在于,所述第一网元为认证服务功能AUSF网元,所述第二网元为用户终端UE;
或者;
所述第一网元为所述UE,所述第二网元为所述AUSF网元。
3.根据权利要求2所述的认证方法,其特征在于,当所述第一网元为所述UE,且所述第二网元为所述AUSF网元时,所述第一网元根据第一指示信息与第二网元执行快速认证,包括:
所述UE向所述SEAF网元发送携带有第二指示信息的注册请求;其中,所述第二指示信息用于指示所述AUSF网元进行快速认证;
所述UE接收所述AUSF网元通过所述SEAF网元发送的派生参数;其中,所述派生参数由所述AUSF网元生成。
4.根据权利要求2所述的认证方法,其特征在于,当所述第一网元为所述AUSF网元,且所述第二网元为所述UE时,所述第一网元根据第一指示信息与第二网元执行快速认证,包括:
所述AUSF网元通过所述SEAF网元向所述UE发送派生参数;其中,所述派生参数由所述AUSF网元生成。
5.根据权利要求1所述的认证方法,其特征在于,所述第一指示信息还包括:所述第一网元能够使用的快速认证方法的信息。
6.根据权利要求3或4所述的认证方法,其特征在于,还包括:
所述AUSF网元根据所述第一指示信息确定发送所述派生参数的消息。
7.根据权利要求3或4所述的认证方法,其特征在于,还包括:
所述AUSF网元向所述SEAF网元发送网络哈希和期望哈希;其中,所述网络哈希至少基于所述派生参数和所述AUSF网元中存储的归属密钥生成;所述期望哈希至少基于所述派生参数和期望响应生成;所述期望响应至少基于所述派生参数和所述归属密钥生成。
8.根据权利要求4所述的认证方法,其特征在于,还包括:
所述AUSF网元通过所述SEAF网元向所述UE发送第二指示信息;其中,所述第二指示信息用于指示所述UE进行快速认证。
9.一种认证方法,包括:
UE向SEAF网元发送携带有第一指示信息的注册请求;或者,所述UE接收所述SEAF网元发送的携带有第一指示信息的消息;其中,所述第一指示信息用于指示发送方具备执行快速认证的能力;
所述UE接收来自所述SEAF网元的派生参数,向所述SEAF网元发送认证响应;其中,所述认证响应至少基于所述派生参数和存储的归属密钥生成。
10.根据权利要求9所述的认证方法,其特征在于,所述第一指示信息还包括:所述发送方能够使用的快速认证方法的信息。
11.根据权利要求9所述的认证方法,其特征在于,所述向SEAF网元发送认证响应前,还包括:
所述UE接收来自所述SEAF网元的第二指示信息;其中,所述第二指示信息用于指示所述UE进行快速认证。
12.根据权利要求11所述的认证方法,其特征在于,还包括:
所述UE接收来自所述SEAF网元的网络哈希;
所述UE至少基于所述派生参数和存储的归属密钥生成期望网络哈希;
当所述期望网络哈希与所述网络哈希相同时,所述UE发送所述所述认证响应。
13.一种第一网元,其特征在于,包括:
第一接收模块,用于接收来自SEAF网元的携带有第一指示信息和永久用户标识的认证请求;其中,所述第一指示信息用于标识与所述永久用户标识对应的UE具备执行快速认证的能力;
第一处理模块,用于根据所述第一指示信息与所述第二网元执行快速认证。
14.根据权利要求13所述的第一网元,其特征在于,所述第一网元为AUSF网元,所述第二网元为UE;
或着;
所述第一网元为所述UE,所述第二网元为所述AUSF网元。
15.根据权利要求14所述的第一网元,其特征在于,当所述第一网元为所述UE,且所述第二网元为所述AUSF网元时,所述第一处理模块具体用于:
向所述SEAF网元发送携带有第二指示信息的注册请求;其中,所述第二指示信息用于指示所述AUSF网元进行快速认证;
所述UE接收所述AUSF网元通过所述SEAF网元发送的派生参数;其中,所述派生参数由所述AUSF网元生成。
16.根据权利要求14所述的第一网元,其特征在于,当所述第一网元为所述AUSF网元,且所述第二网元为所述UE时,所述第一处理模块具体用于:
通过所述SEAF网元向所述UE发送派生参数;其中,所述派生参数由所述AUSF网元生成。
17.根据权利要求13所述的第一网元,其特征在于,所述第一指示信息还包括:所述第一网元能够使用的快速认证方法的信息。
18.根据权利要求15或16所述的第一网元,其特征在于,
所述第一处理模块,还用于根据所述第一指示信息确定发送所述派生参数的消息。
19.根据权利要求15或16所述的第一网元,其特征在于,
所述第一处理模块,还用于向所述SEAF网元发送网络哈希和期望哈希;其中,所述网络哈希至少基于所述派生参数和所述AUSF网元中存储的归属密钥生成;所述期望哈希至少基于所述派生参数和期望响应生成;所述期望响应至少基于所述派生参数和所述归属密钥生成。
20.根据权利要求16所述的第一网元,其特征在于,
所述第一处理模块,还用于通过所述SEAF网元向所述UE发送第二指示信息;其中,所述第二指示信息用于指示所述UE进行快速认证。
21.一种UE,其特征在于,包括:
第二处理模块,用于向SEAF网元发送携带有第一指示信息的注册请求,或者,接收所述SEAF网元发送的携带有第一指示信息的消息;其中,所述第一指示信息用于指示所述UE具备执行快速认证的能力;
第二接收模块,用于接收来自所述SEAF网元的派生参数,向所述SEAF网元发送认证响应;其中,所述认证响应至少基于所述派生参数和存储的归属密钥生成。
22.根据权利要求21所述的UE,其特征在于,所述第一指示信息还包括:所述发送方能够使用的快速认证方法的信息。
23.根据权利要求21所述的UE,其特征在于,
所述第二接收模块,还用于接收来自所述SEAF网元的第二指示信息;其中,所述第二指示信息用于指示所述UE进行快速认证。
24.根据权利要求23所述的UE,其特征在于,
所述第二接收模块,还用于接收来自所述SEAF网元的网络哈希;
所述第二处理模块,还用于至少基于所述派生参数和存储的归属密钥生成期望网络哈希;
还包括:发送模块,用于当所述期望网络哈希与所述网络哈希相同时,发送所述所述认证响应。
一种认证方法及网元
技术领域
背景技术
[0002] 第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)提出了一种第五代移动通信技术(the 5th-Generationmobile communication technology,5G)架构下的认证框架,如图1所示,该框架包括需要接入网络的UE(UserEquipment,UE),安全锚点功能(Security Anchor Function,SEAF)网元,认证服务功能(AuthenticationSeverice Function,AUSF)网元,以及认证签约存储功能(Authentication Repository Function,ARPF)网元。其中SEAF网元负责对UE进行拜访地认证,并保持认证过程中的访问密钥,UE在认证过程中也会产生访问密钥,通过相同的访问密钥,UE可以访问拜访地网络提供的服务;AUSF网元负责对UE进行归属地认证,以确认拜访地的认证是否成功,认证过程产生的归属密钥被UE和AUSF网元分别存储在本地;ARPF网元负责存储签约信息,并依据签约信息生成认证向量,认证向量用于认证过程中UE确认网络的合法性,以及网络确认UE的合法性。
发明内容
[0005] 为了解决上述技术问题,本发明实施例提供了一种认证方法及网元,能够灵活地进行快速认证。
[0006] 为了达到本发明目的,本发明实施例提供了一种认证方法,包括:
[0007] 第一网元接收来自安全锚点功能SEAF网元的携带有第一指示信息的请求;其中,所述第一指示信息用于指示第二网元具备执行快速认证的能力;
[0008] 所述第一网元根据所述第一指示信息与所述第二网元执行快速认证。
[0009] 本发明实施例还提供了一种认证方法,包括:
[0010] UE向SEAF网元发送携带有第一指示信息的注册请求;或者,所述UE接收所述SEAF网元发送的携带有第一指示信息的消息;其中,所述第一指示信息用于指示发送方具备执行快速认证的能力;
[0011] 所述UE接收来自所述SEAF网元的派生参数,向所述SEAF网元发送认证响应;其中,所述认证响应至少基于所述派生参数和存储的归属密钥生成。本发明实施例还提供了一种AUSF网元,包括:
[0012] 第一接收模块,用于接收来自SEAF网元的携带有第一指示信息和永久用户标识的认证请求;其中,所述第一指示信息用于标识与所述永久用户标识对应的UE具备执行快速认证的能力;
[0013] 第一处理模块,用于根据所述第一指示信息与所述第二网元执行快速认证。
[0014] 本发明实施例还提供了一种UE,包括:
[0015] 第二处理模块,用于向SEAF网元发送携带有第一指示信息的注册请求,或者,接收所述SEAF网元发送的携带有第一指示信息的消息;其中,所述第一指示信息用于指示所述UE具备执行快速认证的能力;
[0016] 第二接收模块,用于接收来自所述SEAF网元的派生参数,向所述SEAF网元发送认证响应;其中,所述认证响应至少基于所述派生参数和存储的归属密钥生成。
[0017] 与现有技术相比,由于第一网元根据获得的第一指示信息确定了第二网元具备执行快速认证的能力,当第一网元需要对第二网元进行快速认证时,第一网元根据第一指示信息直接与第二网元执行快速认证,因此保证了快速认证的灵活性。
[0018] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0019] 附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0020] 图1为本发明实施例提供的一种认证方法的流程示意图;
[0021] 图2为本发明实施例提供的另一种认证方法的流程示意图;
[0022] 图3为本发明实施例提供的又一种认证方法的流程示意图;
[0023] 图4为本发明实施例提供的又一种认证方法的流程示意图;
[0024] 图5为本发明实施例提供的又一种认证方法的流程示意图;
[0025] 图6为本发明实施例提供的一种第一网元的结构示意图;
[0026] 图7为本发明实施例提供的一种UE的结构示意图。
具体实施方式
[0027] 为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
[0029] 本发明实施例提供一种认证方法,如图1所示,该方法包括:
[0030] 步骤101、第一网元接收来自SEAF网元的携带有第一指示信息的请求。
[0031] 其中,第一指示信息用于指示第二网元具备执行快速认证的能力。
[0032] 步骤102、第一网元根据第一指示信息与第二网元执行快速认证。
[0033] 需要说明的是,在5G之前的移动通信技术中需要对UE进行快速认证时,认证服务器会为UE分配一个快速认证标识,以使得UE在下一次认证时进行快速认证然而,5G之前的移动通信技术与5G的架构不同,在5G之前的移动通信技术中,认证服务器和被认证端之间的网元都只是作为管道传递两者之间可交互的信息,而在5G中,AUSF网元和UE之间的SEAF网元不是一个纯粹的管道,因此需要使用标识来路由AUSF网元和UE之间的信息,而现有技术中认证服务器分配的快速认证标识无法被SEAF网元用来路由AUSF网元和UE之间的消息,因此现有技术中的快速认证方法在5G中无法使用,5G中缺乏可行的能够实现快速认证的认证方法。
[0034] 本发明实施例提供的认证方法,由于第一网元根据获得的第一指示信息确定了第二网元具备执行快速认证的能力,当第一网元需要对第二网元进行快速认证时,第一网元根据第一指示信息直接与第二网元执行快速认证,因此保证了快速认证的灵活性。
[0035] 可选地,第一网元为认证服务功能AUSF网元,第二网元为用户终端UE。
[0036] 或者;
[0037] 第一网元为UE,第二网元为AUSF网元。
[0038] 可选地,当第一网元为UE,且第二网元为AUSF网元时,第一网元根据第一指示信息与第二网元执行快速认证,包括:
[0039] UE向SEAF网元发送携带有第二指示信息的注册请求;其中,第二指示信息用于指示AUSF网元进行快速认证。
[0040] UE接收AUSF网元通过SEAF网元发送的派生参数;其中,派生参数由AUSF网元生成。
[0041] 需要说明的是,由于AUSF网元根据获得的第一指示信息确定了UE具备执行快速认证的能力,当AUSF网元需要对UE进行快速认证时,通过SEAF单元直接向UE发送派生参数以进行快速认证,因此保证了快速认证的时效性和灵活性。
[0042] 可选地,当第一网元为AUSF网元,且第二网元为UE时,第一网元根据第一指示信息与第二网元执行快速认证,包括:
[0043] AUSF网元通过SEAF网元向UE发送派生参数;其中,派生参数由AUSF网元生成。
[0044] 可选地,第一指示信息还包括:第一网元能够使用的快速认证方法的信息。
[0045] 可选地,还包括:
[0046] AUSF网元根据第一指示信息确定发送派生参数的消息。
[0047] 可选地,还包括:
[0048] AUSF网元向SEAF网元发送网络哈希和期望哈希;其中,网络哈希至少基于派生参数和AUSF网元中存储的归属密钥生成;期望哈希至少基于派生参数和期望响应生成;期望响应至少基于派生参数和归属密钥生成。
[0049] 具体的,假设派生参数是参数A,网络哈希是根据参数A和归属密钥生成的,那么期望哈希可能是根据参数A、参数B和归属密钥生成的;假设派生参数是参数A,网络哈希是根据参数A、参数C和归属密钥生成的,那么期望哈希可能是根据参数A和归属密钥生成的,也可能是根据参数A、参数D和归属密钥生成的。
[0050] 可选地,还包括:
[0051] AUSF网元通过SEAF网元向UE发送第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0052] 本发明实施例还提供一种认证方法,如图2所示,该方法包括:
[0053] 步骤201、UE向SEAF网元发送携带有第一指示信息和的注册请求;或者,UE接收SEAF网元发送的携带有第一指示信息的消息。
[0054] 其中,第一指示信息用于指示发送方具备执行快速认证的能力。
[0055] 步骤202、UE接收来自SEAF网元的派生参数,向SEAF网元发送认证响应。
[0056] 其中,认证响应至少基于派生参数和存储的归属密钥生成。
[0057] 本发明实施例提供的认证方法,由于UE向SEAF单元发送了携带有用于指示UE具备执行快速认证的能力的第一指示信息的注册请求,使得SEAF网元向AUSF网元可以发送第一指示信息,因此使得AUSF网元需要对UE进行快速认证时,通过SEAF单元直接向UE发送派生参数以进行快速认证,因此保证了快速认证的时效性和灵活性。
[0058] 可选地,第一指示信息还包括:发送方能够使用的快速认证方法的信息。
[0059] 可选地,向SEAF网元发送认证响应前,还包括:
[0060] UE接收来自SEAF网元的第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0061] 可选地,还包括:
[0062] UE接收来自SEAF网元的网络哈希。
[0063] UE至少基于派生参数和存储的归属密钥生成期望网络哈希。
[0064] 当期望网络哈希与网络哈希相同时,UE发送认证响应。
[0065] 本发明实施例还提供一种认证方法,该方法是根据增强的认证协议-认证与密钥协商协议(Enhanced AuthenticationProtocal-Authentication and Key Agreemen,EAP-AKA’)进行的快速认证,如图3所示,该方法包括:
[0066] 步骤301:UE注册网络,注册过程中,SEAF网元通知AUSF网元执行认证过程,AUSF网元向ARPF网元请求认证向量,ARPF网元选择认证方法并将认证向量与认证方法通知AUSF网元,AUSF网元使用认证方法与认证向量通过SEAF网元认证UE。
[0067] 如果SEAF网元之前参与过认证过UE,则SEAF网元中会保存UE的永久标识,如果SEAF网元之前没认证过UE,ARPF网元会将UE的永久标识也通知给AUSF网元,AUSF网元会把UE的永久标识发送给SEAF网元。认证完成后,SEAF网元会为UE分配一个临时标识,并将临时标识发送给UE。认证过程中AUSF网元和UE会分别使用相同方法派生归属密钥并存储,AUSF网元会生成访问密钥并向SEAF网元发送访问密钥,用于保护UE和网络的通讯,UE会使用相同方法产生访问密钥。
[0068] 步骤302:经过一段时间后,UE再次向网络发起注册请求,比如发送Register Request消息,携带网络分配的临时用户标识和指示信息,该指示信息表示UE有能力执行快速认证,该指示信息可以包含UE能够使用的认证方法,比如EAP-AKA’和/或5G AKA。
[0069] 步骤303:SEAF网元收到注册请求,向AUSF网元发送认证请求消息,比如发送5G-AIR消息,SEAF网元通过临时用户表示找到匹配的永久用户标识,在认证请求中携带永久用户标识以及指示信息。
[0070] 步骤304:AUSF网元判断认证请求中有指示信息,可以根据之前认证UE时使用的认证方法,或根据指示信息中包含的认证方法信息选择认证方法,比如,如果AUSF网元之前使用EAP-AKA’认证UE,则可以选择EAP-AKA’或5G AKA,如果AUSF网元之前使用5G AKA认证UE,则可以选择5G AKA。AUSF网元选择使用EAP-AKA’,于是向SEAF发送AKA重认证请求,比如发送EAP-Request/AKA-Reauthentication消息,消息携带派生参数,比如NONCE和COUNTER,派生参数由AUSF生成,消息还携带消息验证码1(MAC1),该消息验证码1基于上次认证过程中产生的完保密钥以及该消息的内容产生,比如使用哈希消息认证码-安全散列算法-256(Hash-based Message Authentication Code-Secure Hash Algorithm-256,HMAC-SHA-256)算法。
[0071] 步骤305:SEAF网元转发AKA重认证请求给UE。
[0072] 步骤306:UE基于密钥派生参数和存储的归属密钥派生新的归属密钥,然后向SEAF网元发送AKA重认证响应,携带消息验证码2(MAC2),该消息验证码2基于上次认证过程中产生的完保密钥以及该消息的内容产生,比如使用HMAC-SHA-256算法。
[0073] 步骤307:SEAF网元向AUSF网元转发密钥协商协议(Authentication and Key Agreemen,AKA)重认证响应,AUSF网元校验MAC2。
[0074] 步骤308:AUSF网元校验MAC2成功,则认证成功,AUSF网元基于存储的归属密钥和派生参数生成新的归属密钥,比如使用HMAC-SHA-256算法,AUSF网元基于新的归属密钥派生新的访问密钥。
[0075] 步骤309:AUSF网元向SEAF网元发送认证成功消息,比如发送EAP-Success消息,消息携带新的访问密钥。
[0076] 步骤310:SEAF网元保存新的访问密钥,并向UE发送注册成功消息,比如发送Register Accept消息。
[0077] 本发明实施例还提供一种认证方法,该方法是根据第五代移动通信技术认证与密钥协商协议(the 5th-Generationmobile communication technologyAuthentication and Key Agreemen,5G AKA)进行的快速认证,如图4所示,该方法包括:
[0078] 步骤401:UE注册网络,注册过程中,SEAF网元通知AUSF网元执行认证过程,AUSF网元向ARPF网元请求认证向量,ARPF网元选择认证方法并将认证向量与认证方法通知AUSF网元,AUSF网元使用认证方法与认证向量通过SEAF网元认证UE。
[0079] 如果SEAF网元之前认证过UE,则SEAF网元中会保存UE的永久标识,如果SEAF网元之前没认证过UE,ARPF网元会将UE的永久标识也通知给AUSF网元,AUSF网元会把UE的永久标识发送给SEAF网元。认证完成后,SEAF网元会为UE分配一个临时标识,并将临时标识发送给UE。认证过程中AUSF网元和UE会分别使用相同方法派生归属密钥并存储,AUSF网元会生成访问密钥并向SEAF网元发送访问密钥,用于保护UE和网络的通讯,UE会使用相同方法产生访问密钥。
[0080] 步骤402:经过一段时间后,UE再次向网络发起注册请求,比如发送Register Request消息,携带网络分配的临时用户标识和指示信息1,该指示信息1表示UE有能力执行快速认证,该指示信息可以包含UE能够使用的认证方法,比如EAP-AKA’和/或5G AKA。
[0081] 步骤403:SEAF网元收到注册请求,向AUSF网元发送认证请求消息,比如发送5-AIR消息,SEAF网元通过临时用户表示找到匹配的永久用户标识,在认证请求中携带永久用户标识以及指示信息。
[0082] 步骤404:AUSF网元判断认证请求中有指示信息,可以根据之前认证UE时使用的认证方法,或根据指示信息中包含的认证方法信息选择认证方法,比如,如果AUSF网元之前使用EAP-AKA’认证UE,则可以选择EAP-AKA’或5G AKA,如果AUSF网元之前使用5G AKA认证UE,则可以选择5G AKA。AUSF网元选择使用5G AKA,于是生成派生参数,比如NONCE,基于派生参数和存储的归属密钥生成网络哈希Hash,比如使用HMAC-SHA-256算法,基于派生参数和存储的归属密钥生成期望响应Hash,比如使用HMAC-SHA-256算法,基于派生参数和期望响应生成期望Hash,比如使用安全散列算法-256(Secure Hash Algorithm-256,SHA-256)算法,基于派生参数和存储的归属密钥生成新的归属密钥,比如使用HMAC-SHA-256算法,基于新的归属密钥生成新的访问密钥。
[0083] 步骤405:AUSF网元向SEAF网元发送认证响应,比如发送5G-AIA消息,消息携带认证向量,认证向量包含派生参数,网络Hash,期望Hash和新的访问密钥,消息还携带指示信息2,用于指示UE使用快速认证。
[0084] 步骤406:SEAF网元向UE发送用户认证请求,比如发送User Authentication Request消息,消息携带认证向量中的派生参数和网络Hash,还携带指示信息2。
[0085] 步骤407:UE收到携带指示信息2的用户认证请求,使用快速认证,UE校验网络Hash,比如基于派生参数和存储的归属密钥生成期望网络Hash,比较网络Hash和期望网络Hash是否相同,相同则校验成功,否则校验失败;校验成功后,UE基于派生参数和存储的归属密钥生成认证响应RES,比如使用HMAC-SHA-256算法,基于派生参数和存储的归属密钥生成新的归属密钥,比如使用HMAC-SHA-256算法,基于新的归属密钥生成新的访问密钥派生新的归属密钥,然后向SEAF网元发送用户认证响应,比如发送User Authentication Response消息,携带认证响应RES。
[0086] 步骤408:SEAF网元基于认证响应RES校验期望Hash,比如基于派生参数和认证响应RES生成校验Hash,比如使用SHA-256算法,比较校验Hash和期望Hash,相同则校验成功,否则校验失败。
[0087] 步骤409:SEAF网元校验期望hash成功后,向AUSF网元发送认证确认,比如发送5G-AC消息,携带认证响应RES。
[0088] 步骤410:AUSF网元校验认证响应,比如比较期望响应和认证响应,相同则校验成功,否则校验失败;校验成功后,AUSF网元向SEAF网元发送认证成功消息,比如发送5G-ACA消息。
[0089] 步骤411:SEAF网元保存新的访问密钥,并向UE发送注册成功消息,比如发送Register Accept消息。
[0090] 本发明实施例还提供一种认证方法,该方法是根据5G AKA进行的快速认证,如图5所示,该方法包括:
[0091] 步骤501:UE注册网络,注册过程中,SEAF网元通知AUSF网元执行认证过程,AUSF网元向ARPF网元请求认证向量,ARPF网元选择认证方法并将认证向量与认证方法通知AUSF网元,AUSF网元使用认证方法与认证向量通过SEAF网元认证UE。
[0092] 如果SEAF网元之前认证过UE,则SEAF网元中会保存UE的永久标识,如果SEAF网元之前没认证过UE,ARPF网元会将UE的永久标识也通知给AUSF网元,AUSF网元会把UE的永久标识发送给SEAF网元。认证完成后,SEAF网元会为UE分配一个临时标识,并将临时标识发送给UE。认证过程中AUSF网元和UE会分别使用相同方法派生归属密钥并存储,AUSF网元会生成访问密钥并向SEAF网元发送访问密钥,用于保护UE和网络的通讯,UE会使用相同方法产生访问密钥。
[0093] 步骤502:AUSF可以根据之前认证UE时使用的认证方法选择可以用于快速认证的认证方法,比如,如果AUSF网元之前使用EAP-AKA’认证UE,则可以选择EAP-AKA’或5G AKA,如果AUSF网元之前使用5G AKA认证UE,则可以选择5G AKA。AUSF向SEAF发送消息,比如发送Insert Subscribe Data消息,携带指示信息1,该指示信息1表示AUSF有能力执行快速认证,该指示信息可以包含AUSF能够使用的认证方法,比如EAP-AKA’和/或5G AKA。
[0094] 步骤503:SEAF转发指示信息1给UE。
[0095] 上述步骤502~503可以是在步骤501完成后由AUSF发起,也可以是步骤501的过程中触发的某个AUSF下发消息。
[0096] 步骤504:经过一段时间后,UE再次向网络发起注册请求,比如发送Register Request消息,携带网络分配的临时用户标识指示信息2,用于指示AUSF使用快速认证。
[0097] 步骤505:SEAF网元收到注册请求,向AUSF网元发送认证请求消息,比如发送5-AIR消息,SEAF网元通过临时用户表示找到匹配的永久用户标识,在认证请求中携带永久用户标识以及指示信息2。
[0098] 步骤506:AUSF网元判断认证请求中有指示信息2,可以根据之前发送给UE的指示信息1选择认证方法。本实施例AUSF网元选择使用5G AKA,于是生成派生参数,比如NONCE,基于派生参数和存储的归属密钥生成网络哈希Hash,比如使用HMAC-SHA-256算法,基于派生参数和存储的归属密钥生成期望响应Hash,比如使用HMAC-SHA-256算法,基于派生参数和期望响应生成期望Hash,比如使用安全散列算法-256(Secure Hash Algorithm-256,SHA-256)算法,基于派生参数和存储的归属密钥生成新的归属密钥,比如使用HMAC-SHA-256算法,基于新的归属密钥生成新的访问密钥。
[0099] 步骤507:AUSF网元向SEAF网元发送认证响应,比如发送5G-AIA消息,消息携带认证向量,认证向量包含派生参数,网络Hash,期望Hash和新的访问密钥。
[0100] 步骤508:SEAF网元向UE发送用户认证请求,比如发送User Authentication Request消息,消息携带认证向量中的派生参数和网络Hash。
[0101] 步骤509:UE使用快速认证,UE校验网络Hash,比如基于派生参数和存储的归属密钥生成期望网络Hash,比较网络Hash和期望网络Hash是否相同,相同则校验成功,否则校验失败;校验成功后,UE基于派生参数和存储的归属密钥生成认证响应RES,比如使用HMAC-SHA-256算法,基于派生参数和存储的归属密钥生成新的归属密钥,比如使用HMAC-SHA-256算法,基于新的归属密钥生成新的访问密钥派生新的归属密钥,然后向SEAF网元发送用户认证响应,比如发送User Authentication Response消息,携带认证响应RES。
[0102] 步骤510:SEAF网元基于认证响应RES校验期望Hash,比如基于派生参数和认证响应RES生成校验Hash,比如使用SHA-256算法,比较校验Hash和期望Hash,相同则校验成功,否则校验失败。
[0103] 步骤511:SEAF网元校验期望hash成功后,向AUSF网元发送认证确认,比如发送5G-AC消息,携带认证响应RES。
[0104] 步骤512:AUSF网元校验认证响应,比如比较期望响应和认证响应,相同则校验成功,否则校验失败;校验成功后,AUSF网元向SEAF网元发送认证成功消息,比如发送5G-ACA消息。
[0105] 步骤513:SEAF网元保存新的访问密钥,并向UE发送注册成功消息,比如发送Register Accept消息。
[0106] 需要说明的是,以上过程也可以用于EAP-AKA’的快速认证过程。
[0107] 本发明实施例还提供一种计算机可读存储介质,存储有计算机可执行指令,计算机可执行指令用于执行上述任一项认证方法。
[0108] 本发明实施例提供一种第一网元,如图6所示,该第一网元6包括:
[0109] 第一接收模块601,用于接收来自SEAF网元的携带有第一指示信息和永久用户标识的认证请求;其中,第一指示信息用于标识与永久用户标识对应的UE具备执行快速认证的能力。
[0110] 第一处理模块602,用于根据第一指示信息与第二网元执行快速认证。
[0111] 可选地,第一网元为AUSF网元,第二网元为UE。
[0112] 或着;
[0113] 第一网元为UE,第二网元为AUSF网元。
[0114] 可选地,当第一网元为UE,且第二网元为AUSF网元时,第一处理模块602具体用于:
[0115] 接收AUSF网元通过SEAF网元发送的派生参数;其中,派生参数由AUSF网元生成。
[0116] 通过SEAF网元向UE发送派生参数;其中,派生参数由AUSF网元生成。
[0117] 可选地,当第一网元为AUSF网元,且第二网元为UE时,第一处理模块602具体用于:
[0118] 通过SEAF网元向UE发送派生参数;其中,派生参数由AUSF网元生成。
[0119] 可选地,第一指示信息还包括:第一网元能够使用的快速认证方法的信息。
[0120] 可选地,第一处理模块602,还用于根据第一指示信息确定发送派生参数的消息。
[0121] 可选地,第一处理模块602,还用于向SEAF网元发送网络哈希和期望哈希;其中,网络哈希至少基于派生参数和AUSF网元中存储的归属密钥生成;期望哈希至少基于派生参数和期望响应生成;期望响应至少基于派生参数和归属密钥生成。
[0122] 可选地,第一处理模块602,还用于通过SEAF网元向UE发送第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0123] 本发明实施例提供的第一网元,由于根据获得的第一指示信息确定了第二网元具备执行快速认证的能力,当第一网元需要对第二网元进行快速认证时,第一网元根据第一指示信息直接与第二网元执行快速认证,因此保证了快速认证的灵活性。
[0124] 在实际应用中,第一接收模块601和第一处理模块602均可由位于第一网元中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)或现场可编程门阵列(Field Programmable Gate Array,FPGA)等实现。
[0125] 本发明实施例还提供一种UE,如图7所示,该UE 7包括:
[0126] 第二处理模块701,用于向SEAF网元发送携带有第一指示信息的注册请求,或者,接收SEAF网元发送的携带有第一指示信息的消息;其中,第一指示信息用于指示UE具备执行快速认证的能力。
[0127] 第二接收模块702,用于接收来自SEAF网元的派生参数,向SEAF网元发送认证响应;其中,认证响应至少基于派生参数和存储的归属密钥生成.
[0128] 可选地,第一指示信息还包括:发送方能够使用的快速认证方法的信息。
[0129] 可选地,第二接收模块702,还用于接收来自SEAF网元的第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0130] 可选地,第二接收模块702,还用于接收来自SEAF网元的网络哈希。
[0131] 第二处理模块701,用于至少基于派生参数和存储的归属密钥生成期望网络哈希。
[0132] 还包括:发送模块703,用于当期望网络哈希与网络哈希相同时,发送认证响应。
[0133] 本发明实施例提供的UE,由于向SEAF单元发送了携带有用于指示UE具备执行快速认证的能力的第一指示信息的注册请求,使得SEAF网元向AUSF网元可以发送第一指示信息,因此使得AUSF网元需要对UE进行快速认证时,通过SEAF单元直接向UE发送派生参数以进行快速认证,因此保证了快速认证的时效性和灵活性。
[0134] 在实际应用中,第二处理模块701、第二接收模块702和发送模块703均可由位于UE中的CPU、MPU、DSP或FPGA等实现。
[0135] 本发明实施例还提供一种第一网元,包括第一存储器和第一处理器,其中,第一存储器中存储有以下可被第一处理器执行的指令:
[0136] 接收来自SEAF网元的携带有第一指示信息的请求;其中,第一指示信息用于指示第二网元具备执行快速认证的能力。
[0137] 根据第一指示信息与第二网元执行快速认证。
[0138] 可选地,第一网元为认证服务功能AUSF网元,第二网元为用户终端UE。
[0139] 或者;
[0140] 第一网元为UE,第二网元为AUSF网元。
[0141] 可选地,当第一网元为UE,且第二网元为AUSF网元时,第一存储器中具体存储有以下可被第一处理器执行的指令:
[0142] 向SEAF网元发送携带有第二指示信息的注册请求;其中,第二指示信息用于指示AUSF网元进行快速认证。
[0143] 接收AUSF网元通过SEAF网元发送的派生参数;其中,派生参数由AUSF网元生成。
[0144] 可选地,当第一网元为AUSF网元,且第二网元为UE时,第一存储器中具体存储有以下可被第一处理器执行的指令:
[0145] 通过SEAF网元向UE发送派生参数;其中,派生参数由AUSF网元生成。
[0146] 可选地,第一指示信息还包括:第一网元能够使用的快速认证方法的信息。
[0147] 可选地,第一存储器中还存储有以下可被第一处理器执行的指令:
[0148] 根据第一指示信息确定发送派生参数的消息。
[0149] 可选地,第一存储器中还存储有以下可被第一处理器执行的指令:
[0150] 向SEAF网元发送网络哈希和期望哈希;其中,网络哈希至少基于派生参数和AUSF网元中存储的归属密钥生成;期望哈希至少基于派生参数和期望响应生成;期望响应至少基于派生参数和归属密钥生成。
[0151] 可选地,第一存储器中还存储有以下可被第一处理器执行的指令:
[0152] 通过SEAF网元向UE发送第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0153] 本发明实施例还提供一种UE,包括第二存储器和第二处理器,其中,第二存储器中存储有以下可被第二处理器执行的指令:
[0154] 向SEAF网元发送携带有第一指示信息的注册请求;或者,UE接收SEAF网元发送的携带有第一指示信息的消息;其中,第一指示信息用于指示发送方具备执行快速认证的能力。
[0155] 接收来自SEAF网元的派生参数,向SEAF网元发送认证响应;其中,认证响应至少基于派生参数和存储的归属密钥生成。
[0156] 可选地,第一指示信息还包括:发送方能够使用的快速认证方法的信息。
[0157] 可选地,第二存储器中还存储有以下可被第二处理器执行的指令:
[0158] 接收来自SEAF网元的第二指示信息;其中,第二指示信息用于指示UE进行快速认证。
[0159] 可选地,第二存储器中还存储有以下可被第二处理器执行的指令:
[0160] 接收来自SEAF网元的网络哈希。
[0161] 至少基于派生参数和存储的归属密钥生成期望网络哈希。
[0162] 当期望网络哈希与网络哈希相同时,发送认证响应。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种加强装配式楼板整体性的连接节点 | 2020-08-17 | 1 |
| 一种基于外接圆检测的船舶常见锚泊区边界自动提取方法 | 2020-12-20 | 0 |
| 一种超高土石坝内部三维变形实测装置及方法 | 2023-08-24 | 0 |
| 一种认证方法及网元 | 2020-08-15 | 1 |
| 一种高填方预制现浇组合式桩板墙防护结构的施工方法 | 2023-10-27 | 0 |
| 一种适用性广的吊杆张拉装置 | 2020-05-14 | 0 |
| 一种内置保温现浇混凝土复合剪力墙及其施工方法 | 2020-10-11 | 2 |
| 一种桥梁挂篮悬臂施工的预压系统 | 2021-06-30 | 1 |
| 型钢混凝土梁柱节点结构 | 2023-03-21 | 1 |
| 一种大直径硬质合金铣刀片 | 2021-09-17 | 1 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈