CN110536293A - 访问闭合访问组的方法、装置和*** - Google Patents
访问闭合访问组的方法、装置和*** Download PDFInfo
- Publication number
- CN110536293A CN110536293A CN201910754388.7A CN201910754388A CN110536293A CN 110536293 A CN110536293 A CN 110536293A CN 201910754388 A CN201910754388 A CN 201910754388A CN 110536293 A CN110536293 A CN 110536293A
- Authority
- CN
- China
- Prior art keywords
- cag
- terminal
- access
- list
- amf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000004044 response Effects 0.000 claims description 38
- 238000012546 transfer Methods 0.000 claims description 18
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012795 verification Methods 0.000 description 36
- 238000010586 diagram Methods 0.000 description 17
- 241000209094 Oryza Species 0.000 description 10
- 235000007164 Oryza sativa Nutrition 0.000 description 10
- 235000021186 dishes Nutrition 0.000 description 10
- 235000009566 rice Nutrition 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出一种访问闭合访问组的方法、装置和***,一种访问闭合访问组的方法,包括:对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;发送注册请求消息,所述注册请求消息中包括所述加密的请求访问的CAG ID和终端的SUCI。
Description
技术领域
本申请涉及无线通信网络,例如涉及一种访问闭合访问组的方法、装置和***。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)制定了各种移动网络的规范,其中,为了通过公共网络支持私有网络,3GPP定义了闭合访问组(ClosedAccess Group,CAG)机制。
一个闭合访问组包括了一组可以访问一个或多个CAG小区的用户。一个闭合访问组有一个闭合访问组标识(Closed Access Group Identity,CAG ID)。使用闭合访问组机制,可以对用终端访问私有网络进行访问控制。
目前对私有网络进行访问控制的方案是在移动终端中配置允许访问的CAG ID,网络在广播的***消息中携带小区支持的CAG ID列表,终端接收到广播消息后,选择出匹配的CAG ID作为请求访问的CAG ID。终端在向网络发送的注册请求消息中携带请求访问的CAG ID,完成注册过程。
但注册请求消息中的CAG ID是明文携带且通过空口发送的,容易被截获而泄露,从而可能对私有网络的安全性产生影响。
发明内容
本申请提供一种访问闭合访问组的方法、装置和***,用于提高闭合访问组的安全性。
本申请实施例提供一种访问闭合访问组的方法,包括:
对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;
发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
本申请实施例提供一种访问闭合访问组的方法,包括:
接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI;
将终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID;
根据终端的SUPI从终端的归属网络获取第一CAG ID列表;
判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本申请实施例提供一种访问闭合访问组的方法,包括:
对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID;
发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI。
本申请实施例提供一种访问闭合访问组的方法,包括:
接收终端发送的注册请求消息,注册请求消息中包括第一加密的请求访问的CAGID和终端的5G-GUTI;
根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF;
若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,则根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAG ID解密为请求访问的CAG ID;
判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本申请实施例提供一种访问闭合访问组的装置,包括:
加密模块,设置为对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;
发送模块,设置为发送注册请求消息,注册请求消息中包括加密的请求访问的CAGID和终端的SUCI。
本申请实施例提供一种访问闭合访问组的装置,包括:
接收模块,设置为接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI;
解密模块,设置为将终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAGID解密为请求访问的CAG ID;
获取模块,设置为根据终端的SUPI从终端的归属网络获取第一CAG ID列表;
判断模块,设置为判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本申请实施例提供一种访问闭合访问组的装置,包括:
加密模块,设置为对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAGID;
发送模块,设置为发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI。
本申请实施例提供一种访问闭合访问组的装置,包括:
接收模块,设置为接收终端发送的注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI;
解密模块,设置为根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF;
获取模块,设置为若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,则根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAG ID解密为请求访问的CAG ID;
判断模块,设置为判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本申请实施例提供一种访问闭合访问组的***,包括终端和网络设备;
终端包括如图11实施例所示的访问闭合访问组的装置;
网络设备包括如图12实施例所示的访问闭合访问组的装置。
本申请实施例提供一种访问闭合访问组的***,包括终端和网络设备;
终端包括如图13实施例所示的访问闭合访问组的装置;
网络设备包括如图14实施例所示的访问闭合访问组的装置。
附图说明
图1为本申请实施例提供的一种私有网络访问控制流程示意图;
图2为一实施例提供的一种访问闭合访问组的方法的流程图;
图3为一实施例提供的另一种访问闭合访问组的方法的流程图;
图4为一实施例提供的另一种访问闭合访问组的方法的流程图;
图5为一实施例提供的另一种访问闭合访问组的方法的流程图;
图6为一实施例提供的另一种访问闭合访问组的方法的流程图;
图7为一实施例提供的另一种访问闭合访问组的方法的流程图;
图8为一实施例提供的另一种访问闭合访问组的方法的流程图;
图9为一实施例提供的一种访问闭合访问组的方法的交互流程图;
图10为一实施例提供的另一种访问闭合访问组的方法的交互流程图;
图11为一实施例提供的一种访问闭合访问组的装置的结构示意图;
图12为一实施例提供的另一种访问闭合访问组的装置的结构示意图;
图13为一实施例提供的另一种访问闭合访问组的装置的结构示意图;
图14为一实施例提供的另一种访问闭合访问组的装置的结构示意图;
图15为一实施例提供的一种终端的结构示意图。
具体实施方式
下文中将结合附图对本申请的实施例进行详细说明。
图1为本申请实施例提供的一种私有网络访问控制流程示意图,如图1所示,传统的私有网络访问,主要由网络中的接入和移动性管理功能(Access and MobilityManagement Function,AMF)、统一数据管理(Unified Data Management,UDM)或订阅标识符隐藏功能(Subscription Identifier De-concealing Function,SIDF)、鉴权服务器功能(AUthentication Server Function,AUSF)完成对移动终端(简称终端)的认证和安全验证。其中AMF、UDM或SIDF、AUSF为网络中实现认证和安全验证的网元,可以为部署于网络中的实体设备,也可以是部署于网络中任一个或多个实体网元中的功能模块。
其中,如图1所示,首先,在步骤S1010中,在终端上配置允许访问的CAG ID列表,允许访问的CAG ID列表表示终端仅能访问该列表中的CAG ID对应的私有网络,例如这里的允许访问的CAG ID列表为{2,3,4,5}。
接着,在步骤S1020中,网络中的基站在广播的***消息中携带小区支持的CAG ID列表,小区支持的CAG ID列表表示允许小区内的终端访问的私有网络。通过该基站接入网络的终端即可接收到该广播的***消息,从而获取到小区支持的CAG ID列表。小区支持的CAG ID列表例如为{1,2,3}。
在步骤S1030中,当终端接收到广播的***消息,将自身配置的允许访问的CAG ID列表和接收到的小区支持的CAG ID列表进行比较,选择出匹配的CAG ID中的一个CAG ID作为请求访问的CAG ID。例如在这里进行比较后,匹配的CAG ID为{2,3},从中选择{2}作为请求访问的CAG ID。
在步骤S1040中,在确定请求访问的CAG ID后,终端即可开始在请求访问的CAG ID对应的私有网络中的接入流程。终端向网络发送注册请求消息,注册请求消息中铭文携带请求访问的CAG ID,注册请求消息中还携带终端的用户隐藏标识(SUbscriptionConcealed Identifier,SUCI)。基站在接收到终端发送的注册请求消息后,将注册请求消息发送给AMF,以实现对终端访问私有网络的认证和安全验证。
在步骤S1050中,网络中实现对终端进行认证和安全验证的各网元AMF、AUSF、UDM或SIDF对终端进行认证和安全验证流程,其中,UDM或SIDF将终端的SUCI解析为终端的用户永久标识(SUbscription Permanent Identifier,SUPI)并将终端的SUPI返回给AMF。
在步骤S1060中,AMF向终端的归属网络发送请求消息,以获取归属网络中允许访问的CAG ID列表,请求消息中包括终端的SUPI。归属网络向AMF返回允许访问的CAG ID列表,在这里例如为{2,3,4,5}。
步骤S1070,AFM判断终端是否允许访问请求访问的CAG,也就是AMF判断注册请求消息中的请求访问的CAG ID是否包括在从归属网络获取的允许访问的CAG ID列表中,若是则可以访问,若否则不可以访问。在这里,请求访问的CAG ID为{2},包括在从归属网络获取的允许访问的CAG ID列表{2,3,4,5}中,因此允许终端访问私有网络。
步骤S1080,AMF向终端反馈注册接受消息,也即允许终端访问私有网络。
若在步骤S1070中,AMF判断终端不允许访问请求访问的CAG,那么在步骤S1090中,AMF向终端发送注册拒绝消息。
从图1所示实施例中可以看出,终端在请求访问私有网络时,将请求访问的CAG ID通过明文携带在注册请求消息中,而注册请求消息又是通过空口发送的,从而可能导致CAGID泄露,进而可能影响私有网络的安全性。
图2为一实施例提供的一种访问闭合访问组的方法的流程图,如图2所示,本实施例提供的方法包括如下步骤。
步骤S2010,对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。
本实施例提供的访问闭合访问组的方法应用于移动通信***中的终端设备,简称终端。当终端需要访问私有网络,即闭合访问组时,需要向网络中的认证和安全验证设备发送请求访问的CAG ID,而由于CAG ID是通过明文发送的,且承载CAG ID的注册请求消息是通过空口发送的,因此CAG ID容易泄露,进而影响闭合访问组的安全。
而为了解决上述问题,在本实施例中,当终端需要访问闭合访问组时,在确定了请求访问的CAG ID后,首先对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。对CAG ID进行加密所使用加密方式可以采用现有的任一种加密方式,且与对终端进行认证和安全验证的网元中的解密方式所对应。对CAG ID进行加密所使用的秘钥也可以为一种或多种可能的方式,且与对终端进行认证和安全验证的网元中的秘钥所对应。
步骤S2020,发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
在得到加密的请求访问的CAG ID后,终端即可发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。终端通过空口发送注册请求消息,终端接入的基站或者终端所处小区的服务基站将接收到该注册请求消息。而接收到注册请求消息的基站会把注册请求消息发送给对终端进行认证和安全验证的网元,包括AMF、AUSF、UDM/SIDF等。上述各网元可以根据终端的SUCI确定终端的归属网络,并将加密的请求访问的CAGID进行解密后,获取终端的CAG ID,然后即可根据图1所示实施例中的步骤S1050-步骤S1090对终端进行认证和安全验证,从而确定终端是否能够访问请求访问的CAG ID所对应的CAG。当允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册接受消息,而不允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册拒绝消息。
本实施例提供的访问闭合访问组的方法,在对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID后,发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI,提供了一种对闭合访问组进行了保护的闭合访问组访问方法,由于对请求访问的CAG ID进行了加密,因此避免了通过空口发送的注册请求消息导致的CAG ID的泄露,提高了访问CAG的安全性。
在一实施例中,对请求访问的CAG ID进行加密的方法可以是使用终端归属网络的公钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。那么当终端发送注册请求消息后,由于注册请求消息中同时包括加密的请求访问的CAG ID和终端的SUCI,因此接收到注册请求消息的对终端进行认证和安全验证的网元,可以根据终端的SUCI获知终端的归属网络,那么对终端进行认证和安全验证的网元即可获取终端的归属网络的公钥,因此可以使用获取到的公钥对加密的请求访问的CAG ID进行解密,获取请求访问的CAG ID。
在一实施例中,对请求访问的CAG ID进行加密的方法可以是使用归属网络的公钥对请求访问的CAG ID和终端的SUCI共同进行加密,得到终端的扩展的SUCI。那么当终端发送注册请求消息后,接收到注册请求消息的对终端进行认证和安全验证的网元,可以根据终端的相关信息获知终端的归属网络,那么对终端进行认证和安全验证的网元即可获取终端的归属网络的公钥,因此可以使用获取到的公钥对扩展的SUCI进行解密,获取请求访问的CAG ID和终端的SUCI。
图3为一实施例提供的另一种访问闭合访问组的方法的流程图,如图3所示,本实施例提供的方法包括如下步骤。
步骤S3010,接收携带有第一CAG ID列表的***广播消息。
在终端需要访问CAG时,首先需要确地允许终端访问的CAG。基站广播携带有第一CAG ID列表的***广播消息,接入基站的终端或者位于基站覆盖范围内的终端将接收到该***广播消息。第一CAG ID列表中包括至少一个允许终端访问的CAG的ID。
步骤S3020,对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配,确定终端请求访问的CAG ID。
在终端上,也配置有一个CAG ID列表,称为第二CAG ID列表,第二CAG ID列表中包括终端允许访问的至少一个CAG的ID。第二CAG ID列表是预先设置于终端上的,可以是在终端中预先配置的,也可以是在终端在网络中注册时由网络设备为终端配置的。终端将第一CAG ID列表和第二CAG ID列表进行匹配,从而确定终端请求访问的CAG ID。
对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配的方法可以是确定第二CAG ID列表和第一CAG ID列表中一个相同的CAG ID为请求访问的CAG ID。第一CAG ID列表和第二CAG ID列表中相同的CAG ID可能为一个或多个,或者第一CAG ID列表和第二CAGID列表中没有相同的CAG ID。若第一CAG ID列表和第二CAG ID列表中没有相同的CAG ID,那么将不允许终端访问CAG,因此终端将无法确定出请求访问的CAG ID,因此终端也就不会进行后续流程。若第一CAG ID列表和第二CAG ID列表只有一个相同的CAG ID,那么即可将这一个相同的CAG ID作为请求访问的CAG ID。若第一CAG ID列表和第二CAG ID列表有两个或两个以上相同的CAG ID,那么可以从两个或两个以上的相同的CAG ID中任选一个作为请求访问的CAG ID,或者根据预设的规则从两个或两个以上的相同的CAG ID中选则一个作为请求访问的CAG ID。
另外,在接收携带有第一CAG ID列表的***广播消息之前,还可以在终端中配置第二CAG ID列表,第二CAG ID列表中包括至少一个允许访问的CAG ID。
步骤S3030,对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。
步骤S3040,发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
步骤S3030和步骤S3040与步骤S2010和步骤S2020类似,此处不再赘述。
图4为一实施例提供的另一种访问闭合访问组的方法的流程图,如图4所示,本实施例提供的方法包括如下步骤。
步骤S4010,接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
本实施例提供的访问闭合访问组的方法应用于移动通信***中的网络设备,这些网络设备是对终端进行认证和安全验证的网元,包括但不限于AMF、AUSF、UDM/SIDF中的一个或多个。当终端需要访问私有网络,即闭合访问组时,需要向网络中的认证和安全验证设备发送请求访问的CAG ID,而由于CAG ID是通过明文发送的,且承载CAG ID的注册请求消息是通过空口发送的,因此CAG ID容易泄露,进而影响闭合访问组的安全。
而为了解决上述问题,在本实施例中,对终端进行认证和安全验证的网元接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。其中,通过终端的SUCI可以解析后获得终端的SUPI,从而获知终端的归属网络,而加密的请求访问的CAG ID可以在解密后获取请求访问的CAG ID,那么对终端进行认证和安全验证的网元就可以通过终端的SUPI和请求访问的CAG ID对终端进行认证和安全验证,判断终端是否能够访问请求访问的CAG ID对应的CAG。其中终端对加密的请求访问的CAG ID所使用加密方式可以采用现有的任一种加密方式,且与对终端进行认证和安全验证的网元中的解密方式所对应。终端对CAG ID进行加密所使用的秘钥也可以为一种或多种可能的方式,且与对终端进行认证和安全验证的网元中的秘钥所对应。
步骤S4020,将终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID。
对终端进行认证和安全验证的网元在接收到终端的SUCI和加密的CAG ID后,即可将加密的请求访问的CAG ID解密为请求访问的CAG ID,并对终端的SUCI进行解析。例如,UDM/SIDF将终端的SUCI解析为终端的SUPI,并且由UDM/SIDF将加密的请求访问的CAG ID解密为请求访问的CAG ID,然后UDM/SIDF将终端的SUPI和请求访问的CAG ID发送给AMF。
在一实施例中,终端对请求访问的CAG ID进行加密的方法可以是使用终端归属网络的公钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。那么接收到注册请求消息的UDM或SIDF将终端的SUCI解析为终端的SUPI,在得到终端的SUPI后可以确定的归属网络,从而可以使用终端归属网络的公钥将加密的请求访问的CAG ID解密为请求访问的CAG ID。
步骤S4030,根据终端的SUPI从终端的归属网络获取第一CAG ID列表。
对终端进行认证和安全验证的网元在得到终端的SUPI后,可以根据终端的SUPI确定终端的归属网络,然后可以根据终端的SUPI从终端的归属网络获取第一CAG ID列表。第一CAG ID列表中包括至少一个允许终端访问的CAG的ID。例如,从UDM/SIDF接收到终端的SUPI和请求访问的CAG ID的AMF根据终端的SUPI从终端的归属网络获取第一CAG ID列表。
在一实施例中,根据终端的SUPI从终端的归属网络获取第一CAG ID列表,包括:向终端的归属网络发送CAG ID列表请求消息,CAG ID列表请求消息中包括SUPI;接收终端的归属网络发送的第一CAG ID列表。
步骤S4040,判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
接着对终端进行认证和安全验证的网元判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则确定终端能够访问请求访问的CAG ID对应的CAG,因此即可向终端发送注册接受消息。例如,AMF判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
在一实施例中,判断请求访问的CAG ID和第一CAG ID列表是否匹配可以是判断请求访问的CAG ID是否与第一CAG ID列表中的任一CAG ID相同,若相同,则确定请求访问的CAG ID和第一CAG ID列表匹配。若请求访问的CAG ID与第一CAG ID列表中的任一CAG ID均不相同,则确定请求访问的CAG ID和第一CAG ID列表不匹配。
在一实施例中,若判断请求访问的CAG ID和第一CAG ID列表不匹配,那么则向终端发送注册拒绝消息。
图5为一实施例提供的另一种访问闭合访问组的方法的流程图,如图5所示,本实施例提供的方法包括如下步骤。
步骤S5010,接收终端发送的注册请求消息,注册请求消息中包括终端的扩展的SUCI,终端的扩展的SUCI是使用终端归属网络的公钥对请求访问的CAG ID和终端的SUCI共同加密得到的。
图4所示实施例中,接收到的终端发送的注册请求消息中包括的是加密的请求访问的CAG ID和终端的SUCI,而在本实施例中,接收到的终端发送的注册请求消息中包括的是终端的扩展的SUCI。终端的扩展的SUCI是使用终端归属网络的公钥对请求访问的CAG ID和终端的SUCI共同加密得到的。
步骤S5020,UDM或SIDF使用终端归属网络的公钥将终端的扩展的SUCI解密为请求访问的CAG ID和终端的SUCI,并将终端的SUCI解析为终端的SUPI。
UDM或SIDF接收到扩展的SUCI后,可以根据终端的相关信息获知终端的归属网络,那么UDM或SIDF即可获取终端的归属网络的公钥,因此UDM或SIDF可以使用获取到的公钥对扩展的SUCI进行解密,获取请求访问的CAG ID和终端的SUCI。然后UDM或SIDF还可以将终端的SUCI解析为终端的SUPI。
步骤S5030,UDM或SIDF将终端的SUPI和请求访问的CAG ID发送给AMF。
步骤S5040,AMF根据终端的SUPI从终端的归属网络获取第一CAG ID列表。
步骤S5050,AMF判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
步骤S5030-步骤S5050与图1所示实施例中的认证和安全验证流程类似,此处不再赘述。
图6为一实施例提供的另一种访问闭合访问组的方法的流程图,如图6所示,本实施例提供的方法包括如下步骤。
步骤S6010,对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID。
本实施例提供的访问闭合访问组的方法应用于移动通信***中的终端设备,简称终端。当终端需要访问私有网络,即闭合访问组时,需要向网络中的认证和安全验证设备发送请求访问的CAG ID,而由于CAG ID是通过明文发送的,且承载CAG ID的注册请求消息是通过空口发送的,因此CAG ID容易泄露,进而影响闭合访问组的安全。
而为了解决上述问题,在本实施例中,当终端需要访问闭合访问组时,在确定了请求访问的CAG ID后,首先对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAGID。对CAG ID进行加密所使用加密方式可以采用现有的任一种加密方式,且与对终端进行认证和安全验证的网元中的解密方式所对应。对CAG ID进行加密所使用的秘钥也可以为一种或多种可能的方式,且与对终端进行认证和安全验证的网元中的秘钥所对应。
步骤S6020,发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAGID和终端的5G-GUTI。
在得到第一加密的请求访问的CAG ID后,终端即可发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G全局唯一临时用户设备标识(5GGlobally Unique Temporary UE Identity,5G-GUTI)。终端通过空口发送注册请求消息,终端接入的基站或者终端所处小区的服务基站将接收到该注册请求消息。而接收到注册请求消息的基站会把注册请求消息发送给对终端进行认证和安全验证的网元,包括AMF、AUSF、UDM/SIDF等。上述各网元可以根据终端的5G-GUTI确定当前各网元是否为曾经为终端服务的网元,若是则由于曾经为终端服务的网元中保存有与终端相关的各种信息,因此各网元可以直接使用与终端相关的各种信息确定终端的归属网络、终端加密第一加密的请求访问的CAG ID的秘钥等相关信息对第一加密的请求访问的CAG ID进行解密获取请求访问的CAG ID,并获取允许终端访问的第一CAG ID列表。然后确定终端是否能够访问请求访问的CAG ID所对应的CAG。当允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册接受消息,而不允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册拒绝消息。
本实施例提供的访问闭合访问组的方法,在对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID后,发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI,提供了一种对闭合访问组进行了保护的闭合访问组访问方法,由于对请求访问的CAG ID进行了加密,因此避免了通过空口发送的注册请求消息导致的CAG ID的泄露,提高了访问CAG的安全性。
在一实施例中,述对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAGID,包括:使用与终端的5G-GUTI对应的安全上下文中的加密秘钥对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID。那么当终端发送注册请求消息后,由于注册请求消息中同时包括第一加密的请求访问的CAG ID和终端的5G-GUTI,因此接收到注册请求消息的对终端进行认证和安全验证的网元,可以根据终端的5G-GUTI获知当前各网元是否为曾经为终端服务的网元,若是则由于曾经为终端服务的网元中保存有与终端相关的各种信息,包括与终端的5G-GUTI对应的安全上下文中的加密秘钥,因此对终端进行认证和安全验证的网元可以直接使用与终端的5G-GUTI对应的安全上下文中的加密秘钥对第一加密的请求访问的CAG ID进行解密获取请求访问的CAG ID。
图7为一实施例提供的另一种访问闭合访问组的方法的流程图,如图7所示,本实施例提供的方法包括如下步骤。
步骤S7010,对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID。
步骤S7020,发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAGID和终端的5G-GUTI。
步骤S7010和步骤S7020与步骤S6010和步骤S6020相同,此处不再赘述。
步骤S7030,接收AMF发送的标识请求消息。
在终端发送了注册请求消息后,若接收到注册请求消息的网元为曾经为终端服务的网元,那么可能保存有与终端相关的信息,因此可以对第一加密的请求访问的CAG ID进行解密。而若接收到注册请求消息的网元未曾为终端服务,或者计时接收到注册请求消息的网元曾为终端服务但并未保存终端的相关信息,那么就无法对第一加密的请求访问的CAG ID进行解密。那么终端将接收到AMF发送的标识请求消息。标识请求消息是由于无法通过终端的5G-GUTI对第一加密的请求访问的CAG ID进行解密后接收的。
步骤S7040,使用归属网络的公钥对请求访问的CAG ID进行加密,得到第二加密的请求访问的CAG ID。
当终端接收到标识请求消息后,即可使用归属网络的公钥对请求访问的CAG ID进行加密,得到第二加密的请求访问的CAG ID。
步骤S7050,向AMF发送标识响应消息,标识响应消息中包括第二加密的请求访问的CAG ID和终端的SUCI。
然后终端向AMF发送标识响应消息,标识响应消息中包括第二加密的请求访问的CAG ID和终端的SUCI。由于标识响应消息中同时包括第二加密的请求访问的CAG ID和终端的SUCI,因此接收到标识响应消息的AMF可以根据终端的SUCI获知终端的归属网络,那么AMF即可获取终端的归属网络的公钥,因此可以使用获取到的公钥对第二加密的请求访问的CAG ID进行解密,获取请求访问的CAG ID。另外AMF还可以根据终端的SUCI获取允许终端访问的第一CAG ID列表。然后确定终端是否能够访问请求访问的CAG ID所对应的CAG。当允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册接受消息,而不允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册拒绝消息。
在一实施例中,终端接收到AMF发送的标识请求消息后,还可以使用归属网络的公钥对请求访问的CAG ID和终端的SUCI共同进行加密,得到终端的扩展的SUCI;然后终端向AMF发送标识响应消息,标识响应消息中包括终端的扩展的SUCI。那么当终端发送标识请求消息后,接收到标识请求消息的AMF可以根据终端的相关信息获知终端的归属网络,那么AMF即可获取终端的归属网络的公钥,因此可以使用获取到的公钥对扩展的SUCI进行解密,获取请求访问的CAG ID和终端的SUCI。另外AMF还可以根据终端的SUCI获取允许终端访问的第一CAG ID列表。然后确定终端是否能够访问请求访问的CAG ID所对应的CAG。当允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册接受消息,而不允许终端访问请求访问的CAG ID所对应的CAG,则终端将接收到注册拒绝消息。
在一实施例中,对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAGID之前,还包括:接收携带有第一CAG ID列表的***广播消息;对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配,确定请求访问的CAG ID。第一CAG ID列表中包括至少一个允许终端访问的CAG的ID。
在一实施例中,对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配,确定请求访问的CAG ID,包括:对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配,确定第二CAG ID列表和第一CAG ID列表中一个相同的CAG ID为请求访问的CAG ID。对自身配置的第二CAG ID列表和第一CAG ID列表进行匹配的方法可以是确定第二CAG ID列表和第一CAG ID列表中一个相同的CAG ID为请求访问的CAG ID。第一CAG ID列表和第二CAG ID列表中相同的CAG ID可能为一个或多个,或者第一CAG ID列表和第二CAG ID列表中没有相同的CAG ID。若第一CAG ID列表和第二CAG ID列表中没有相同的CAG ID,那么将不允许终端访问CAG,因此终端将无法确定出请求访问的CAG ID,因此终端也就不会进行后续流程。若第一CAG ID列表和第二CAG ID列表只有一个相同的CAG ID,那么即可将这一个相同的CAG ID作为请求访问的CAG ID。若第一CAG ID列表和第二CAG ID列表有两个或两个以上相同的CAG ID,那么可以从两个或两个以上的相同的CAG ID中任选一个作为请求访问的CAG ID,或者根据预设的规则从两个或两个以上的相同的CAG ID中选则一个作为请求访问的CAGID。
另外,在接收携带有第一CAG ID列表的***广播消息之前,还可以在终端中配置第二CAG ID列表,第二CAG ID列表中包括至少一个允许访问的CAG ID。
图8为一实施例提供的另一种访问闭合访问组的方法的流程图,如图8所示,本实施例提供的方法包括如下步骤。
步骤S8010,接收终端发送的注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI。
本实施例提供的访问闭合访问组的方法应用于移动通信***中的网络设备,这些网络设备是对终端进行认证和安全验证的网元,包括但不限于AMF、AUSF、UDM/SIDF中的一个或多个。当终端需要访问私有网络,即闭合访问组时,需要向网络中的认证和安全验证设备发送请求访问的CAG ID,而由于CAG ID是通过明文发送的,且承载CAG ID的注册请求消息是通过空口发送的,因此CAG ID容易泄露,进而影响闭合访问组的安全。
而为了解决上述问题,在本实施例中,对终端进行认证和安全验证的网元接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的5G-GUTI。其中,对终端进行认证和安全验证的网元可以根据终端的5G-GUTI确定当前各网元是否为曾经为终端服务的网元。其中终端对第一加密的请求访问的CAG ID所使用加密方式可以采用现有的任一种加密方式,且与对终端进行认证和安全验证的网元中的解密方式所对应。终端对CAG ID进行加密所使用的秘钥也可以为一种或多种可能的方式,且与对终端进行认证和安全验证的网元中的秘钥所对应。
步骤S8020,根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF。
对终端进行认证和安全验证的网元在接收到终端的5G-GUTI和第一加密的CAG ID后,首先根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF。由于曾经为终端服务的历史AMF中会保存有与终端相关的信息,因此可以根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF。
步骤S8030,若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,则根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAG ID解密为请求访问的CAG ID。
若当前AMF为曾经为终端服务的历史AMF,那么当前AMF中可能保存有终端的SUPI,也可能未保存终端的SUPI。若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,那么当前AMF则可以根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAG ID解密为请求访问的CAG ID。当前AMF对第一加密的请求访问的CAG ID进行解密所使用的秘钥和加密方式可以是在终端和AMF中预设的,也可以是当前AMF之前为终端进行服务时保存下来的。例如当前AMF中存储有终端的安全上下文,在安全上下文中包括加密秘钥,那么终端可以使用安全上下文中的加密秘钥对请求访问的CAGID进行加密得到第一加密的请求访问的CAG ID,当前AMF也可以使用存储的终端的安全上下文中的加密秘钥对第一加密的请求访问的CAG ID进行解密得到请求访问的CAG ID。
步骤S8040,判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本步骤与步骤S4040相同,此处不再赘述。
步骤S8050,若当前AMF为曾经为终端服务的历史AMF,且当前AMF中未存储终端的SUPI,则当前AMF向终端发送标识请求消息。
若当前AMF为曾经为终端服务的历史AMF,而当前AMF中未保存有终端的SUPI,那么当前AMF则无法对终端发送的第一加密的请求访问的CAG ID进行解密。因此当前AMF向终端发送标识请求消息,请求终端再次发送请求访问的CAG ID。
步骤S8060,接收终端发送的标识响应消息,标识响应消息中包括终端使用归属网络的公钥进行加密的第二加密的请求访问的CAG ID和终端的SUCI。
终端接收到标识请求消息后,为了保证CAG ID的安全,可以使用终端使用归属网络的公钥对请求访问的CAG ID的进行加密,得到第二加密的请求访问的CAG ID。那么当前AFM将接收到终端发送的标识响应消息,标识响应消息中包括终端使用归属网络的公钥进行加密的第二加密的请求访问的CAG ID和终端的SUCI。
步骤S8070,UDM或SIDF将终端的SUCI解析为终端的SUPI,并使用终端归属网络的公钥将第二加密的请求访问的CAG ID解密为请求访问的CAG ID。
步骤S8080,根据终端的SUPI从终端的归属网络获取第一CAG ID列表。
步骤S8090,判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
步骤S8070-步骤S8090与图4所示实施例中的步骤S5020-步骤S5050类似,此处不再赘述。
在一实施例中,标识响应消息中包括终端使用归属网络的公钥对终端请求访问的CAG ID和终端的SUCI共同进行加密后得到的扩展的SUCI。终端的扩展的SUCI是使用终端归属网络的公钥对请求访问的CAG ID和终端的SUCI共同加密得到的。那么UDM或SIDF使用终端归属网络的公钥将终端的扩展的SUCI解密为请求访问的CAG ID和终端的SUCI,并将终端的SUCI解析为终端的SUPI。UDM或SIDF将终端的SUCI解析为终端的SUPI,并根据终端的SUPI从终端的归属网络获取第一CAG ID列表。判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
步骤S8100,若当前AMF未曾为终端服务,则当前AMF根据终端的5G-GUTI确定曾经为终端服务的历史AMF,并向历史AMF发送终端的上下文传输请求消息,终端的上下文传输请求消息包括终端的5G-GUTI。
若当前AMF为未曾为终端服务,那么当前AMF中将未存储终端的相关信息。那么由于当前AMF还接收到了终端的5G-GUTI,因此当前AMF可以根据终端的5G-GUTI确定曾经为终端服务的历史AMF。然后当前AMF向历史AMF发送终端的上下文传输请求消息,终端的上下文传输请求消息包括终端的5G-GUTI。
步骤S8110,当前AMF接收历史AMF发送的上下文传输响应消息,上下文传输响应消息中包括终端的安全上下文和第一CAG ID列表。
当前AMF在接收到历史AMF发送的上下文传输响应消息后,即可获知终端的安全上下文,并且可以获取第一CAG ID列表。
步骤S8120,当前AMF使用终端的安全上下文中的私钥对第一加密的请求访问的CAG ID解密为请求访问的CAG ID。
步骤S8130,判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
为终端服务的历史AMF中若存储了终端对应的安全上下文,则当前AMF则可以接收到历史AMF发送的终端的安全上下文,那么当前AMF可以直接使用接收到的安全上下文中的秘钥对第一加密的请求访问的CAG ID进行解密。而若为终端服务的历史AMF中也并未存储终端的相关信息,那么当前AMF就需要通过其他方式进行处理。
步骤S8140,若当前AMF未接收到历史AMF发送的终端的上下文传输响应消息,则当前AMF向终端发送标识请求消息。
若当前AMF未接收到历史AMF发送的终端的上下文传输响应消息,那么当前AMF将向终端发送标识请求消息,请求终端重新发送当前AMF能够解密的CAG ID。
步骤S8150,接收终端发送的标识响应消息,标识响应消息中包括终端使用归属网络的公钥进行加密的第二加密的请求访问的CAG ID和终端的SUCI。
步骤S8160,UDM或SIDF将终端的SUCI解析为终端的SUPI,并使用终端归属网络的公钥将第二加密的请求访问的CAG ID解密为请求访问的CAG ID。
步骤S8170,根据终端的SUPI从终端的归属网络获取第一CAG ID列表。
步骤S8180,判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
步骤S8150-步骤S8180与步骤S8060-步骤S8090相同,此处不再赘述。
在一实施例中,标识响应消息中包括终端使用归属网络的公钥对终端请求访问的CAG ID和终端的SUCI共同进行加密后得到的扩展的SUCI。终端的扩展的SUCI是使用终端归属网络的公钥对请求访问的CAG ID和终端的SUCI共同加密得到的。那么UDM或SIDF使用终端归属网络的公钥将终端的扩展的SUCI解密为请求访问的CAG ID和终端的SUCI,并将终端的SUCI解析为终端的SUPI。UDM或SIDF将终端的SUCI解析为终端的SUPI,并根据终端的SUPI从终端的归属网络获取第一CAG ID列表。判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
在一实施例中,判断请求访问的CAG ID和第一CAG ID列表是否匹配,包括:判断请求访问的CAG ID是否与第一CAG ID列表中的任一CAG ID相同,若相同,则确定请求访问的CAG ID和第一CAG ID列表匹配。
在一实施例中,判断请求访问的CAG ID和第一CAG ID列表是否匹配之后,还包括:若不匹配则向终端发送注册拒绝消息。
图9为一实施例提供的一种访问闭合访问组的方法的交互流程图,如图9所示,本实施例提供的方法包括如下步骤。
步骤S9010:在移动终端上配置允许访问的CAG ID列表,例如{2,3,4,5}。
步骤S9020:网络在广播的***消息中携带小区支持的CAG ID列表,例如{1,2,3}。
步骤S9030:终端接收到该消息后,比较两个列表,选择出匹配的CAG ID中的一个CAG ID作为请求访问的CAG ID,例如从{2,3}中选择出2。
步骤S9040:终端用归属网络的公钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;终端也可以用归属网络的公钥对请求访问的CAG ID和SUPI一起加密得到扩展的SUCI;终端向网络发送注册请求消息,其中携带加密的请求访问的CAG ID,请求消息中还携带SUCI;在共同加密时,请求消息中携带扩展的SUCI(2)。
步骤S9050:认证和安全过程,其中UDM/SIDF将SUCI解析为SUPI,UDM/SIDF也将加密的请求访问的CAG ID解析为请求访问的CAG ID;UDM/SIDF将SUPI和请求访问的CAG ID返回给AMF。
步骤S9060:AMF向归属网络获取允许访问的的CAG ID列表,请求消息中携带SUPI参数,例如{2,3,4,5}。
步骤S9070(访问控制):AMF判断终端是否允许访问该CAG,具体地,AMF判断从注册消息中收到的CAG ID是否包括在从归属网络获取的允许访问的CAG ID列表中,如是,则可以访问,如否,则不可以访问,例如2在{2,3,4,5}中,可以访问。
步骤S9080:如可以访问,AMF向终端返回注册接受消息。
步骤S9090:如不可以访问,AMF向终端返回注册拒绝消息。
图10为一实施例提供的另一种访问闭合访问组的方法的交互流程图,如图10所示,本实施例提供的方法包括如下步骤。
步骤S10010:在移动终端上配置允许访问的CAG ID列表,例如{2,3,4,5}。
步骤S10020:网络在广播的***消息中携带小区支持的CAG ID列表,例如{1,2,3}。
步骤S10030:终端接收到该消息后,比较两个列表,选择出匹配的CAG ID中的一个CAG ID作为请求访问的CAG ID,例如从{2,3}中选择出2。
步骤S10040:如果终端有请求注册的拜访网络的临时用户标识5G-GUTI和安全上下文,则终端用该安全上下文中的加密密钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;终端向网络发送注册请求消息,其中携带加密的请求访问的CAG ID,请求消息中还携带5G-GUTI。
步骤S10050:如果接收到注册消息的当前AMF(new AMF)就是上次服务该终端的历史AMF(old AMF),且仍然存有该终端的SUPI和安全上下文,则使用该安全上下文中的加密密钥解密加密的请求访问的CAG ID,得到请求访问的CAG ID;如果new AMF不是上次服务该终端的old AMF,则new AMF向old AMF发送终端上下文传输请求消息,消息中携带5G-GUTI。
步骤S10060:old AMF向new AMF返回该终端的SUPI和安全上下文,new AMF可以使用该安全上下文中的加密密钥解密加密的请求访问的CAG ID,得到请求访问的CAG ID;返回消息中还包括允许访问的的CAG ID列表,例如{2,3,4,5}。
步骤S10070:如果old AMF上没有存储终端的SUPI和上下文,new AMF向终端发送标识请求消息。
步骤S10080:终端用归属网络的公钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;终端也可以用归属网络的公钥对请求访问的CAG ID和SUPI一起加密得到扩展的SUCI;终端向new AMF返回标识响应消息,其中携带加密的请求访问的CAG ID,请求消息中还携带SUCI;在共同加密时,请求消息中携带扩展的SUCI(2)。
步骤S10090:认证和安全过程,如果步骤S10060成功返回了SUPI,则其中无须包括SUCI解析和CAG ID解析;如果步骤S10060不成功,则在本步骤的过程中UDM/SIDF将SUCI解析为SUPI,UDM/SIDF也将加密的请求访问的CAG ID解析为请求访问的CAG ID;UDM/SIDF将SUPI和请求访问的CAG ID返回给AMF。
步骤S10100:如果步骤S10060不成功,则AMF向归属网络获取允许访问的的CAG ID列表,请求消息中携带SUPI参数,例如{2,3,4,5}。
步骤S10110(访问控制):AMF判断终端是否允许访问该CAG,具体地,AMF判断从注册消息中收到的CAG ID是否包括在从归属网络获取的允许访问的CAG ID列表中,如是,则可以访问,如否,则不可以访问,例如2在{2,3,4,5}中,可以访问。
步骤S10120:如可以访问,AMF向终端返回注册接受消息。
步骤S10130:如不可以访问,AMF向终端返回注册拒绝消息。
图11为一实施例提供的一种访问闭合访问组的装置的结构示意图,如图11所示,本实施例提供的访问闭合访问组的装置包括:加密模块111,设置为对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;发送模块112,设置为发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
本实施例提供的访问闭合访问组的装置用于实现图2所示实施例的访问闭合访问组的方法,本实施例提供的访问闭合访问组的装置实现原理和技术效果类似,此处不再赘述。
图12为一实施例提供的另一种访问闭合访问组的装置的结构示意图,如图12所示,本实施例提供的访问闭合访问组的装置包括:接收模块121,设置为接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI;解密模块122,设置为将终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID;获取模块123,设置为根据终端的SUPI从终端的归属网络获取第一CAG ID列表;判断模块124,设置为判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本实施例提供的访问闭合访问组的装置用于实现图4所示实施例的访问闭合访问组的方法,本实施例提供的访问闭合访问组的装置实现原理和技术效果类似,此处不再赘述。
图13为一实施例提供的另一种访问闭合访问组的装置的结构示意图,如图13所示,本实施例提供的访问闭合访问组的装置包括:加密模块131,设置为对请求访问的CAGID进行加密,得到第一加密的请求访问的CAG ID;发送模块132,设置为发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI。
本实施例提供的访问闭合访问组的装置用于实现图6所示实施例的访问闭合访问组的方法,本实施例提供的访问闭合访问组的装置实现原理和技术效果类似,此处不再赘述。
图14为一实施例提供的另一种访问闭合访问组的装置的结构示意图,如图14所示,本实施例提供的访问闭合访问组的装置包括:接收模块141,设置为接收终端发送的注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI;解密模块142,设置为根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF;获取模块143,设置为若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,则根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAGID解密为请求访问的CAG ID;判断模块144,设置为判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本实施例提供的访问闭合访问组的装置用于实现图8所示实施例的访问闭合访问组的方法,本实施例提供的访问闭合访问组的装置实现原理和技术效果类似,此处不再赘述。
本申请实施例还提供一种访问闭合访问组的***,包括终端和网络设备,终端包括如图11实施例所示的访问闭合访问组的装置,网络设备包括如图12实施例所示的访问闭合访问组的装置。
本申请实施例还提供一种访问闭合访问组的***,包括终端和网络设备,终端包括如图13实施例所示的访问闭合访问组的装置,网络设备包括如图14实施例所示的访问闭合访问组的装置。
图15为一实施例提供的一种终端的结构示意图,如图15所示,该终端包括处理器151、存储器152、发送器153和接收器154;终端中处理器151的数量可以是一个或多个,图15中以一个处理器151为例;终端中的处理器151和存储器152、发送器1543和接收器154;可以通过总线或其他方式连接,图15中以通过总线连接为例。
存储器152作为一种计算机可读存储介质,可设置为存储软件程序、计算机可执行程序以及模块,如本申请图2-图3或图6-图7实施例中的访问闭合访问组方法对应的程序指令/模块(例如,访问闭合访问组装置中的加密模块111和发送模块112或者访问闭合访问组装置中的加密模块131和发送模块132)。处理器151通过运行存储在存储器152中的软件程序、指令以及模块,从而终端至少一种功能应用以及数据处理,即实现图2-图3或图6-图7的访问闭合访问组方法。
存储器152可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器152可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。
发送器153为能够将射频信号发射至空间中的模块或器件组合,例如包括射频发射机、天线以及其他器件的组合。接收器154为能够从空间中接收将射频信号的模块或器件组合,例如包括射频接收机、天线以及其他器件的组合。
本申请实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种访问闭合访问组的方法,该方法包括:对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID;发送注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI。
本申请实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种访问闭合访问组的方法,该方法包括:接收终端发送的注册请求消息,注册请求消息中包括加密的请求访问的CAG ID和终端的SUCI;将终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID;根据终端的SUPI从终端的归属网络获取第一CAG ID列表;判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本申请实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种访问闭合访问组的方法,该方法包括:对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID;发送注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI。
本申请实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种访问闭合访问组的方法,该方法包括:接收终端发送的注册请求消息,注册请求消息中包括第一加密的请求访问的CAG ID和终端的5G-GUTI;根据终端的5G-GUTI判断当前AMF是否为曾经为终端服务的历史AMF;若当前AMF为曾经为终端服务的历史AMF,且当前AMF中存储有终端的SUPI,则根据终端的SUPI从终端的归属网络获取第一CAG ID列表,并将第一加密的请求访问的CAG ID解密为请求访问的CAG ID;判断请求访问的CAG ID和第一CAG ID列表是否匹配,若匹配则向终端发送注册接受消息。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本申请不限于此。
本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(InstructionSet Architecture,ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本申请附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(Read-Only Memory,ROM)、随机访问存储器(Random Access Memory,RAM)、光存储器装置和***(数码多功能光碟(Digital Video Disc,DVD)或光盘(Compact Disc,CD))等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑器件(Field-Programmable Gate Array,FGPA)以及基于多核处理器架构的处理器。
Claims (34)
1.一种访问闭合访问组的方法,其特征在于,包括:
对请求访问的闭合访问组标识CAG ID进行加密,得到加密的请求访问的CAG ID;
发送注册请求消息,所述注册请求消息中包括所述加密的请求访问的CAG ID和终端的用户隐藏标识SUCI。
2.根据权利要求1所述的方法,其特征在于,所述对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID,包括:
使用归属网络的公钥对请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID。
3.根据权利要求1所述的方法,其特征在于,所述对所述请求访问的CAG ID进行加密,得到加密的请求访问的CAG ID,包括:
使用归属网络的公钥对所述请求访问的CAG ID和所述终端的SUCI共同进行加密,得到所述终端的扩展的SUCI;
所述发送注册请求消息,所述注册请求消息中包括所述加密的请求访问的CAG ID和所述终端的SUCI,包括:
发送注册请求消息,所述注册请求消息中包括所述终端的扩展的SUCI。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述对终端的请求访问的CAGID进行加密之前,还包括:
接收携带有第一CAG ID列表的***广播消息;
对自身配置的第二CAG ID列表和所述第一CAG ID列表进行匹配,确定所述终端请求访问的CAG ID。
5.根据权利要求4所述的方法,其特征在于,所述对自身配置的第二CAG ID列表和所述第一CAG ID列表进行匹配,确定请求访问的CAG ID,包括:
对自身配置的第二CAG ID列表和所述第一CAG ID列表进行匹配,确定所述第二CAG ID列表和所述第一CAG ID列表中一个相同的CAG ID为所述请求访问的CAG ID。
6.根据权利要求4所述的方法,其特征在于,所述接收携带有第一CAG ID列表的***广播消息之前,还包括:
配置所述第二CAG ID列表,所述第二CAG ID列表中包括至少一个允许访问的CAG ID。
7.一种访问闭合访问组的方法,其特征在于,包括:
接收终端发送的注册请求消息,所述注册请求消息中包括加密的请求访问的闭合访问组标识CAG ID和所述终端的用户隐藏标识符SUCI;
将所述终端的SUCI解析为所述终端的用户永久标识SUPI,并将加密的请求访问的CAGID解密为请求访问的CAG ID;
根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
8.根据权利要求7所述的方法,其特征在于,所述将所述SUCI解析为SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID,包括:
统一数据管理UDM或订阅标识符隐藏功能SIDF将所述终端的SUCI解析为所述终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID;
所述UDM或SIDF将所述终端的SUPI和所述请求访问的CAG ID发送给移动性管理功能AMF;
所述根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表,包括:
所述AMF根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
所述判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息,包括:
所述AMF判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
9.根据权利要求8所述的方法,其特征在于,所述UDM或SIDF将所述终端的SUCI解析为终端的SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID,包括:
所述UDM或SIDF将所述终端的SUCI解析为终端的SUPI,并使用所述终端归属网络的公钥将加密的请求访问的CAG ID解密为请求访问的CAG ID。
10.根据权利要求8所述的方法,其特征在于,所述接收终端发送的注册请求消息,所述注册请求消息中包括加密的请求访问的CAG ID和所述终端的SUCI,包括:
接收终端发送的注册请求消息,所述注册请求消息中包括所述终端的扩展的SUCI,所述终端的扩展的SUCI是使用所述终端归属网络的公钥对所述请求访问的CAG ID和所述终端的SUCI共同加密得到的;
所述UDM或SIDF将所述终端的SUCI解析为所述终端的SUPI,并将加密的请求访问的CAGID解密为请求访问的CAG ID,包括:
所述UDM或SIDF使用所述终端归属网络的公钥将所述终端的扩展的SUCI解密为所述请求访问的CAG ID和所述终端的SUCI,并将所述终端的SUCI解析为所述终端的SUPI。
11.根据权利要求7~10任一项所述的方法,其特征在于,所述判断所述请求访问的CAGID和所述第一CAG ID列表是否匹配,包括:
判断所述请求访问的CAG ID是否与所述第一CAG ID列表中的任一CAG ID相同,若相同,则确定所述请求访问的CAG ID和所述第一CAG ID列表匹配。
12.根据权利要求7~10任一项所述的方法,其特征在于,所述根据所述SUPI从所述终端的归属网络获取第一CAG ID列表,包括:
向所述终端的归属网络发送CAG ID列表请求消息,所述CAG ID列表请求消息中包括所述SUPI;
接收所述终端的归属网络发送的第一CAG ID列表。
13.根据权利要求7~10任一项所述的方法,其特征在于,所述判断所述请求访问的CAGID和所述第一CAG ID列表是否匹配之后,还包括:
若不匹配则向所述终端发送注册拒绝消息。
14.一种访问闭合访问组的方法,其特征在于,包括:对请求访问的闭合访问组标识CAGID进行加密,得到第一加密的请求访问的CAG ID;
发送注册请求消息,所述注册请求消息中包括所述第一加密的请求访问的CAG ID和所述终端的5G全局唯一临时用户设备标识5G-GUTI。
15.根据权利要求14所述的方法,其特征在于,所述对所述请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID,包括:
使用与所述终端的5G-GUTI对应的安全上下文中的加密秘钥对所述请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID。
16.根据权利要求14所述的方法,其特征在于,所述发送注册请求消息之后,还包括:
接收移动性管理功能AMF发送的标识请求消息;
使用归属网络的公钥对所述请求访问的CAG ID进行加密,得到第二加密的请求访问的CAG ID;
向所述AMF发送标识响应消息,所述标识响应消息中包括所述第二加密的请求访问的CAG ID和所述终端的用户隐藏标识SUCI。
17.根据权利要求14所述的方法,其特征在于,所述发送注册请求消息之后,还包括:
接收AMF发送的标识请求消息;
使用归属网络的公钥对所述请求访问的CAG ID和所述终端的SUCI共同进行加密,得到所述终端的扩展的SUCI;
向所述AMF发送标识响应消息,所述标识响应消息中包括所述终端的扩展的SUCI。
18.根据权利要求14~17任一项所述的方法,其特征在于,所述对请求访问的CAG ID进行加密,得到第一加密的请求访问的CAG ID之前,还包括:
接收携带有第一CAG ID列表的***广播消息;
对自身配置的第二CAG ID列表和所述第一CAG ID列表进行匹配,确定请求访问的CAGID。
19.根据权利要求14~17任一项所述的方法,其特征在于,所述对自身配置的第二CAGID列表和所述第一CAG ID列表进行匹配,确定请求访问的CAG ID,包括:
对自身配置的第二CAG ID列表和所述第一CAG ID列表进行匹配,确定所述第二CAG ID列表和所述第一CAG ID列表中一个相同的CAG ID为所述请求访问的CAG ID。
20.根据权利要求14~19任一项所述的方法,其特征在于,所述接收携带有第一CAG ID列表的***广播消息之前,还包括:
配置所述第二CAG ID列表,所述第二CAG ID列表中包括至少一个允许访问的CAG ID。
21.一种访问闭合访问组的方法,其特征在于,包括:
接收终端发送的注册请求消息,所述注册请求消息中包括第一加密的请求访问的闭合访问组标识CAG ID和所述终端的5G全局唯一临时用户设备标识5G-GUTI;
根据所述终端的5G-GUTI判断当前移动性管理功能AMF是否为曾经为所述终端服务的历史AMF;
若当前AMF为曾经为所述终端服务的历史AMF,且所述当前AMF中存储有所述终端的用户永久标识SUPI,则根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表,并将所述第一加密的请求访问的CAG ID解密为请求访问的CAG ID;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
22.根据权利要求21所述的方法,其特征在于,所述根据所述终端的5G-GUTI判断当前AMF是否为曾经为所述终端服务的AMF之后,还包括:
若当前AMF为曾经为所述终端服务的历史AMF,且所述当前AMF中未存储所述终端的SUPI,则当前AMF向所述终端发送标识请求消息;
接收所述终端发送的标识响应消息,所述标识响应消息中包括所述终端使用归属网络的公钥进行加密的第二加密的请求访问的CAG ID和所述终端的用户隐藏标识SUCI;
UDM或SIDF将所述终端的SUCI解析为所述终端的SUPI,并使用所述终端归属网络的公钥将第二加密的请求访问的CAG ID解密为请求访问的CAG ID;
根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
23.根据权利要求21所述的方法,其特征在于,所述根据所述终端的5G-GUTI判断当前AMF是否为曾经为所述终端服务的AMF之后,还包括:
若当前AMF为曾经为所述终端服务的历史AMF,且所述当前AMF中未存储所述终端的SUPI,则当前AMF向所述终端发送标识请求消息;
接收所述终端发送的标识响应消息,所述标识响应消息中包括所述终端使用归属网络的公钥对所述终端请求访问的CAG ID和所述终端的SUCI共同进行加密后得到的扩展的SUCI;
所述UDM或SIDF使用所述终端归属网络的公钥将所述终端的扩展的SUCI解密为请求访问的CAG ID和所述终端的SUCI,并将所述终端的SUCI解析为所述终端的SUPI。
UDM或SIDF将所述终端的SUCI解析为所述终端的SUPI,并根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
24.根据权利要求21所述的方法,其特征在于,所述根据所述终端的5G-GUTI判断当前AMF是否为曾经为所述终端服务的AMF之后,还包括:
若当前AMF未曾为所述终端服务,则当前AMF根据所述终端的5G-GUTI 确定曾经为所述终端服务的历史AMF,并向所述历史AMF发送所述终端的上下文传输请求消息,所述终端的上下文传输请求消息包括所述终端的5G-GUTI;
当前AMF接收所述历史AMF发送的上下文传输响应消息,所述上下文传输响应消息中包括所述所述终端的安全上下文和所述第一CAG ID列表;
当前AMF使用所述终端的安全上下文中的私钥对所述第一加密的请求访问的CAG ID解密为请求访问的CAG ID;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
25.根据权利要求24所述的方法,其特征在于,所述若当前AMF未曾为所述终端服务,则当前AMF根据所述终端的5G-GUTI确定曾经为所述终端服务的历史AMF,并向所述历史AMF发送所述终端的上下文传输请求消息之后,还包括:
若当前AMF未接收到所述历史AMF发送的所述终端的上下文传输响应消息,则当前AMF向所述终端发送标识请求消息;
接收所述终端发送的标识响应消息,所述标识响应消息中包括所述终端使用归属网络的公钥进行加密的第二加密的请求访问的CAG ID和所述终端的SUCI;
UDM或SIDF将所述终端的SUCI解析为所述终端的SUPI,并使用所述终端归属网络的公钥将第二加密的请求访问的CAG ID解密为请求访问的CAG ID;
根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
26.根据权利要求24所述的方法,其特征在于,所述若当前AMF未曾为所述终端服务,则当前AMF根据所述终端的5G-GUTI确定曾经为所述终端服务的历史AMF,并向所述历史AMF发送所述终端的上下文传输请求消息之后,还包括:
若当前AMF未接收到所述历史AMF发送的所述终端的上下文传输响应消息,则当前AMF向所述终端发送标识请求消息;
接收所述终端发送的标识响应消息,所述标识响应消息中包括所述终端使用归属网络的公钥对所述终端请求访问的CAG ID和所述终端的SUCI共同进行加密后得到的扩展的SUCI;
所述UDM或SIDF使用所述终端归属网络的公钥将所述终端的扩展的SUCI解密为请求访问的CAG ID和所述终端的SUCI,并将所述终端的SUCI解析为所述终端的SUPI。
根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
27.根据权利要求21~26任一项所述的方法,其特征在于,所述判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,包括:
判断所述请求访问的CAG ID是否与所述第一CAG ID列表中的任一CAG ID相同,若相同,则确定所述请求访问的CAG ID和所述第一CAG ID列表匹配。
28.根据权利要求21~26任一项所述的方法,其特征在于,所述判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配之后,还包括:
若不匹配则向所述终端发送注册拒绝消息。
29.一种访问闭合访问组的装置,其特征在于,包括:
加密模块,设置为对请求访问的闭合访问组标识CAG ID进行加密,得到加密的请求访问的CAG ID;
发送模块,设置为发送注册请求消息,所述注册请求消息中包括所述加密的请求访问的CAG ID和终端的用户隐藏标识SUCI。
30.一种访问闭合访问组的装置,其特征在于,包括:
接收模块,设置为接收终端发送的注册请求消息,所述注册请求消息中包括加密的请求访问的闭合访问组标识CAG ID和所述终端的用户隐藏标识符SUCI;
解密模块,设置为将所述终端的SUCI解析为所述终端的用户永久标识SUPI,并将加密的请求访问的CAG ID解密为请求访问的CAG ID;
获取模块,设置为根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表;
判断模块,设置为判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
31.一种访问闭合访问组的装置,其特征在于,包括:
加密模块,设置为对请求访问的闭合访问组标识CAG ID进行加密,得到第一加密的请求访问的CAG ID;
发送模块,设置为发送注册请求消息,所述注册请求消息中包括所述第一加密的请求访问的CAG ID和所述终端的5G全局唯一临时用户设备标识5G-GUTI。
32.一种访问闭合访问组的装置,其特征在于,包括:
接收模块,设置为接收终端发送的注册请求消息,所述注册请求消息中包括第一加密的请求访问的闭合访问组标识CAG ID和所述终端的5G全局唯一临时用户设备标识5G-GUTI;
解密模块,设置为根据所述终端的5G-GUTI判断当前移动性管理功能AMF是否为曾经为所述终端服务的历史AMF;
获取模块,设置为若当前AMF为曾经为所述终端服务的历史AMF,且所述当前AMF中存储有所述终端的用户永久标识SUPI,则根据所述终端的SUPI从所述终端的归属网络获取第一CAG ID列表,并将所述第一加密的请求访问的CAG ID解密为请求访问的CAG ID;
判断模块,设置为判断所述请求访问的CAG ID和所述第一CAG ID列表是否匹配,若匹配则向所述终端发送注册接受消息。
33.一种访问闭合访问组的***,其特征在于,包括终端和网络设备;
所述终端包括如权利要求29所述的访问闭合访问组的装置;
所述网络设备包括如权利要求30所述的访问闭合访问组的装置。
34.一种访问闭合访问组的***,其特征在于,包括终端和网络设备;
所述终端包括如权利要求31所述的访问闭合访问组的装置;
所述网络设备包括如权利要求32所述的访问闭合访问组的装置。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910754388.7A CN110536293A (zh) | 2019-08-15 | 2019-08-15 | 访问闭合访问组的方法、装置和*** |
| PCT/CN2020/109116 WO2021027916A1 (zh) | 2019-08-15 | 2020-08-14 | 访问闭合访问组的方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910754388.7A CN110536293A (zh) | 2019-08-15 | 2019-08-15 | 访问闭合访问组的方法、装置和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110536293A true CN110536293A (zh) | 2019-12-03 |
Family
ID=68663523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910754388.7A Pending CN110536293A (zh) | 2019-08-15 | 2019-08-15 | 访问闭合访问组的方法、装置和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110536293A (zh) |
| WO (1) | WO2021027916A1 (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111405557A (zh) * | 2020-03-19 | 2020-07-10 | 中国电子科技集团公司第三十研究所 | 一种使5g网络灵活支撑多种主认证鉴权算法的方法及*** |
| WO2020248624A1 (zh) * | 2019-06-13 | 2020-12-17 | 华为技术有限公司 | 一种通信方法、网络设备、用户设备和接入网设备 |
| WO2021027916A1 (zh) * | 2019-08-15 | 2021-02-18 | 中兴通讯股份有限公司 | 访问闭合访问组的方法、装置和*** |
| WO2021082528A1 (zh) * | 2019-10-30 | 2021-05-06 | 中国电信股份有限公司 | 通信方法、***以及基站、终端 |
| EP3866552A1 (en) * | 2020-02-17 | 2021-08-18 | NTT DoCoMo, Inc. | Communication terminal, method for configuring a communication terminal, access management component and method for access management of a non-public network |
| CN113453311A (zh) * | 2020-03-27 | 2021-09-28 | 华为技术有限公司 | 封闭接入组信息处理方法及装置 |
| CN113498028A (zh) * | 2020-04-08 | 2021-10-12 | 维沃移动通信有限公司 | Cag的处理方法及相关设备 |
| CN113518316A (zh) * | 2020-04-09 | 2021-10-19 | 维沃移动通信有限公司 | Cag信息的处理方法及装置、通信设备 |
| WO2021208592A1 (zh) * | 2020-04-15 | 2021-10-21 | 华为技术有限公司 | 通信方法及装置 |
| CN113543127A (zh) * | 2020-03-31 | 2021-10-22 | 大唐移动通信设备有限公司 | 一种密钥生成方法、装置、设备及计算机可读存储介质 |
| CN113573370A (zh) * | 2020-04-29 | 2021-10-29 | ***通信有限公司研究院 | 一种信息处理方法、网络设备、终端及存储介质 |
| WO2021235875A1 (en) * | 2020-05-21 | 2021-11-25 | Samsung Electronics Co., Ltd. | Method and system for handling ue with cag subscription in wireless network |
| CN113973344A (zh) * | 2020-07-22 | 2022-01-25 | 中国电信股份有限公司 | 非公共网络接入控制方法、基站和通信*** |
| CN114071648A (zh) * | 2020-08-04 | 2022-02-18 | 中移(成都)信息通信科技有限公司 | 信息配置方法、装置、设备及介质 |
| CN115244959A (zh) * | 2020-01-23 | 2022-10-25 | 三星电子株式会社 | 用于在无线通信***中提供安全性的装置和方法 |
| US11968533B2 (en) | 2019-03-29 | 2024-04-23 | Interdigital Patent Holdings, Inc. | Methods and apparatus for secure access control in wireless communications |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140018081A1 (en) * | 2011-01-21 | 2014-01-16 | Ubiquisys Limited | Femtocell network |
| US20160105410A1 (en) * | 2013-04-23 | 2016-04-14 | Zte Corporation | OMA DM Based Terminal Authentication Method, Terminal and Server |
| WO2019088599A1 (ko) * | 2017-10-31 | 2019-05-09 | 엘지전자 주식회사 | 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치 |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018085784A1 (en) * | 2016-11-07 | 2018-05-11 | Intel IP Corporation | Systems, methods, and devices for handling stickiness of ue-specific ran-cn association |
| CN109842880B (zh) * | 2018-08-23 | 2020-04-03 | 华为技术有限公司 | 路由方法、装置及*** |
| CN110536293A (zh) * | 2019-08-15 | 2019-12-03 | 中兴通讯股份有限公司 | 访问闭合访问组的方法、装置和*** |
-
2019
- 2019-08-15 CN CN201910754388.7A patent/CN110536293A/zh active Pending
-
2020
- 2020-08-14 WO PCT/CN2020/109116 patent/WO2021027916A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140018081A1 (en) * | 2011-01-21 | 2014-01-16 | Ubiquisys Limited | Femtocell network |
| US20160105410A1 (en) * | 2013-04-23 | 2016-04-14 | Zte Corporation | OMA DM Based Terminal Authentication Method, Terminal and Server |
| WO2019088599A1 (ko) * | 2017-10-31 | 2019-05-09 | 엘지전자 주식회사 | 무선 통신 시스템에서 홈 네트워크 키로 암호화된 데이터를 보호하기 위한 방법 및 이를 위한 장치 |
| CN110035433A (zh) * | 2018-01-11 | 2019-07-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| ""3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on security for 5GS enhanced support of Vertical and LAN Services; (Release 16)"", 《3GPP 3GPP TR 33.819 V1.1.0 》, 9 July 2019 (2019-07-09), pages 5 * |
| ""rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Study on enhancement of 5G System (5GS) for vertical and Local Area Network (LAN) services (Release 16)"", 《3GPP TR 23.734 V16.2.0》, 11 June 2019 (2019-06-11), pages 6 * |
| ZTE CORPORATION, INTERDIGITAL: "S3-192343 "Security threats and requirements on CAG ID privacy"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 28 June 2019 (2019-06-28) * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11968533B2 (en) | 2019-03-29 | 2024-04-23 | Interdigital Patent Holdings, Inc. | Methods and apparatus for secure access control in wireless communications |
| WO2020248624A1 (zh) * | 2019-06-13 | 2020-12-17 | 华为技术有限公司 | 一种通信方法、网络设备、用户设备和接入网设备 |
| WO2021027916A1 (zh) * | 2019-08-15 | 2021-02-18 | 中兴通讯股份有限公司 | 访问闭合访问组的方法、装置和*** |
| WO2021082528A1 (zh) * | 2019-10-30 | 2021-05-06 | 中国电信股份有限公司 | 通信方法、***以及基站、终端 |
| CN115244959A (zh) * | 2020-01-23 | 2022-10-25 | 三星电子株式会社 | 用于在无线通信***中提供安全性的装置和方法 |
| EP3866552A1 (en) * | 2020-02-17 | 2021-08-18 | NTT DoCoMo, Inc. | Communication terminal, method for configuring a communication terminal, access management component and method for access management of a non-public network |
| WO2021165243A1 (en) * | 2020-02-17 | 2021-08-26 | Ntt Docomo, Inc. | Communication terminal, method for configuring a communication terminal, access management component and method for access management of a non-public network |
| JP7186879B2 (ja) | 2020-02-17 | 2022-12-09 | 株式会社Nttドコモ | 通信端末、通信端末を設定する方法、アクセス管理コンポーネント、及び非公衆ネットワークのアクセス管理のための方法 |
| JP2022524902A (ja) * | 2020-02-17 | 2022-05-11 | 株式会社Nttドコモ | 通信端末、通信端末を設定する方法、アクセス管理コンポーネント、及び非公衆ネットワークのアクセス管理のための方法 |
| CN111405557B (zh) * | 2020-03-19 | 2022-03-15 | 中国电子科技集团公司第三十研究所 | 一种使5g网络灵活支撑多种主认证鉴权算法的方法及*** |
| CN111405557A (zh) * | 2020-03-19 | 2020-07-10 | 中国电子科技集团公司第三十研究所 | 一种使5g网络灵活支撑多种主认证鉴权算法的方法及*** |
| CN113453311A (zh) * | 2020-03-27 | 2021-09-28 | 华为技术有限公司 | 封闭接入组信息处理方法及装置 |
| WO2021190217A1 (zh) * | 2020-03-27 | 2021-09-30 | 华为技术有限公司 | 封闭接入组信息处理方法及装置 |
| CN113453311B (zh) * | 2020-03-27 | 2022-12-13 | 华为技术有限公司 | 封闭接入组信息处理方法及装置 |
| CN113543127B (zh) * | 2020-03-31 | 2023-02-17 | 大唐移动通信设备有限公司 | 一种密钥生成方法、装置、设备及计算机可读存储介质 |
| CN113543127A (zh) * | 2020-03-31 | 2021-10-22 | 大唐移动通信设备有限公司 | 一种密钥生成方法、装置、设备及计算机可读存储介质 |
| CN113498028A (zh) * | 2020-04-08 | 2021-10-12 | 维沃移动通信有限公司 | Cag的处理方法及相关设备 |
| CN113498028B (zh) * | 2020-04-08 | 2022-11-08 | 维沃移动通信有限公司 | Cag的处理方法及相关设备 |
| CN113518316A (zh) * | 2020-04-09 | 2021-10-19 | 维沃移动通信有限公司 | Cag信息的处理方法及装置、通信设备 |
| WO2021208592A1 (zh) * | 2020-04-15 | 2021-10-21 | 华为技术有限公司 | 通信方法及装置 |
| CN113573370B (zh) * | 2020-04-29 | 2022-09-13 | ***通信有限公司研究院 | 一种信息处理方法、网络设备、终端及存储介质 |
| CN113573370A (zh) * | 2020-04-29 | 2021-10-29 | ***通信有限公司研究院 | 一种信息处理方法、网络设备、终端及存储介质 |
| WO2021218831A1 (zh) * | 2020-04-29 | 2021-11-04 | ***通信有限公司研究院 | 一种信息处理方法、网络设备、终端及存储介质 |
| WO2021235875A1 (en) * | 2020-05-21 | 2021-11-25 | Samsung Electronics Co., Ltd. | Method and system for handling ue with cag subscription in wireless network |
| CN113973344A (zh) * | 2020-07-22 | 2022-01-25 | 中国电信股份有限公司 | 非公共网络接入控制方法、基站和通信*** |
| CN114071648A (zh) * | 2020-08-04 | 2022-02-18 | 中移(成都)信息通信科技有限公司 | 信息配置方法、装置、设备及介质 |
| CN114071648B (zh) * | 2020-08-04 | 2023-04-07 | 中移(成都)信息通信科技有限公司 | 信息配置方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021027916A1 (zh) | 2021-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110536293A (zh) | 访问闭合访问组的方法、装置和*** | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| JP5579938B2 (ja) | ローミングネットワークにおけるアクセス端末識別情報の認証 | |
| US8107623B2 (en) | Method for verifying a first identity and a second identity of an entity | |
| US8347090B2 (en) | Encryption of identifiers in a communication system | |
| CN101123811B (zh) | 管理和wpa-psk无线网络连接的站的设备和方法 | |
| US9191814B2 (en) | Communications device authentication | |
| EP3433994B1 (en) | Methods and apparatus for sim-based authentication of non-sim devices | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| US20060236116A1 (en) | Provisioning root keys | |
| US20090253409A1 (en) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device | |
| JP6757845B2 (ja) | 秘密識別子を使用するユーザ機器に関連した動作 | |
| JP5468623B2 (ja) | ネットワークにおけるブートストラップ・メッセージを保護するための装置と方法 | |
| US20110271330A1 (en) | Solutions for identifying legal user equipments in a communication network | |
| JP2013529019A (ja) | 無線ネットワーク認証装置及び方法 | |
| CN102143134A (zh) | 分布式身份认证方法、装置与*** | |
| JP5276593B2 (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
| CN104660567B (zh) | D2d终端接入认证方法、d2d终端及服务器 | |
| EP1810479A1 (en) | Determining a key derivation function | |
| US20230413060A1 (en) | Subscription onboarding using a verified digital identity | |
| JP2021536687A (ja) | コアネットワークへの非3gppデバイスアクセス | |
| CN104486460B (zh) | 应用服务器地址获取方法、设备和*** | |
| EP3547734A1 (en) | Authentication for a communication system | |
| RU2698424C1 (ru) | Способ управления авторизацией | |
| KR20220100886A (ko) | 네트워크 슬라이스 상에서 사용자를 인증하기 위한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |