CN113840283A - 引导认证方法、***、电子设备和可读存储介质 - Google Patents

引导认证方法、***、电子设备和可读存储介质 Download PDF

Info

Publication number
CN113840283A
CN113840283A CN202010580221.6A CN202010580221A CN113840283A CN 113840283 A CN113840283 A CN 113840283A CN 202010580221 A CN202010580221 A CN 202010580221A CN 113840283 A CN113840283 A CN 113840283A
Authority
CN
China
Prior art keywords
network element
authentication
naf
identifier
tid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010580221.6A
Other languages
English (en)
Inventor
刘小军
***
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202010580221.6A priority Critical patent/CN113840283A/zh
Priority to PCT/CN2021/094396 priority patent/WO2021258922A1/zh
Publication of CN113840283A publication Critical patent/CN113840283A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例涉及通讯技术领域,公开了一种引导认证方法、***、电子设备和可读存储介质。本发明中,上述引导认证方法包括:接收网络应用功能/认证代理NAF/AP网元发送的响应信息;若从所述响应信息中识别出预设的第一标识,且确定UE本地存储有引导事务标识B‑TID,根据所述B‑TID与所述NAF/AP网元进行双向认证;其中;所述第一标识为所述NAF/AP网元确定要执行业务挑战时,在所述响应信息中携带的标识。有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。

Description

引导认证方法、***、电子设备和可读存储介质
技术领域
本发明涉及通讯技术领域,特别涉及一种引导认证方法、***、电子设备和可读存储介质。
背景技术
通用引导架构(Generic Bootstrapping Architecture,简称:GBA)是第三代合作伙伴计划(The Third Generation Partnership Project,简称:3GPP)定义的一种通用引导架构。随着众多通信业务的开展,运营商和用户都需要可靠的认证机制来保证业务的合法使用。尤其是在3G/4G业务中,很多应用都需要用户设备(User Equipment,简称:UE)和应用服务器(Application Server,简称:AS)之间进行交互,如业务激活、业务设置、业务访问等。为了保证业务应用的安全性,就要求在UE和AS之间进行双向认证。如果UE和AS直接交互,存在两个严重问题:UE和每个AS之间都要进行独立的认证,包括认证机制的协商、密钥的管理;UE每次登陆不同的AS,都需要输入密钥,用户体验差。因此3GPP标准组织提出了通用认证架构的概念,其中GBA就是一种基于共享密钥的通用认证架构。GBA使用第三代移动通讯网络的认证与密钥协商协议(Authentication and Key Agreement,简称:AKA)为UE和网络之间提供一种密钥共享、相互认证和业务保护的机制,具有较高的安全性和通用性。
目前,GBA典型业务流程中,网络应用功能/认证代理(Network ApplicationFunction/Authentication Proxy,简称:NAF/AP)网元发起挑战响应和发起重引导响应,在协议中是同一个响应消息(401响应),因此UE只要收到401响应,都会立即发起四步引导流程,即引导服务功能(Bootstrapping Server Function,简称:BSF)与UE之间的引导认证流程。在多NAF/AP应用场景下可能发生频繁重引导,导致信令骤增,容易引起网络风暴,GBA网络的可靠性较低。
发明内容
本发明实施例的主要目的在于提出一种引导认证方法、***、电子设备和可读存储介质,可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。
为实现上述目的,本发明实施例提供了一种引导认证方法,应用于用户设备UE,包括:接收网络应用功能/认证代理NAF/AP网元发送的响应信息;若从所述响应信息中识别出预设的第一标识,且确定UE本地存储有引导事务标识B-TID,根据所述B-TID与所述NAF/AP网元进行双向认证;其中;所述第一标识为所述NAF/AP网元确定要执行业务挑战时,在所述响应信息中携带的标识。
为实现上述目的,本发明实施例提供了一种引导认证方法,应用于网络应用功能/认证代理NAF/AP网元,包括:若确定要执行业务挑战,向用户设备UE发送携带预设的第一标识的响应信息,以供所述UE在识别出所述第一标识且确定所述UE本地存储有引导事务标识B-TID时,根据所述B-TID与所述NAF/AP网元进行双向认证。
为实现上述目的,本发明实施例提供了一种引导认证***,包括:网络应用功能/认证代理NAF/AP网元和用户设备UE;所述NAF/AP网元,用于若确定要执行业务挑战,向用户设备UE发送携带预设的第一标识的响应信息;所述UE,用于接收所述NAF/AP网元发送的响应信息,若从所述响应信息中识别出所述第一标识,且确定UE本地存储有引导事务标识B-TID,根据所述B-TID与所述NAF/AP网元进行双向认证。
为实现上述目的,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,当所述电子设备为网络应用功能/认证代理网元,所述至少一个处理器能够执行如上述的应用于NAF/AP网元的引导认证方法;当所述电子设备为用户设备,所述至少一个处理器能够执行如上述的应用于UE的引导认证方法。
为实现上述目的,本发明实施例提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述的应用于NAF/AP网元的引导认证方法,或者实现上述的应用于UE的引导认证方法。
本发明实施例相对于现有技术而言,UE根据第一标识,可以方便的识别出响应信息为NAF/AP网元在确定要执行业务挑战时发出的响应信息。如果UE从响应信息中识别出第一标识,UE可以确定接收到的响应信息为业务挑战响应,如果此时确定本地已存储B-TID,UE可以直接利用该B-TID与NAF/AP进行双向认证,而无需再执行UE与BSF网元之间的引导认证流程,有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。
附图说明
图1是本发明第一实施例提到的GBA架构的示意图;
图2是本发明第一实施例提到的现有技术中,GBA典型业务流程图;
图3是本发明第一实施例提到的现有技术中,GBA重引导业务流程;
图4是本发明第一实施例提到的现有技术中,多NAF/AP网元的应用场景下可能发生频繁重引导,引起网络风暴的业务流程图;
图5是本发明第一实施例提到的引导认证方法的流程图;
图6是本发明第一实施例提到的UE收到携带第一标识的响应信息的业务流程图;
图7是本发明第一实施例提到的UE收到携带第二标识的响应信息的业务流程图;
图8是本发明第二实施例提到的UE根据B-TID与NAF/AP网元进行双向认证的过程的示意图;
图9是本发明第二实施例提到的UE访问多个NAF/AP网元的流程图;
图10是本发明第三实施例提到的引导认证方法的流程图;
图11是本发明第四实施例提到的现有技术中针对容灾场景,设计的GBA组网示意图;
图12是本发明第四实施例提到的现有技术中的容灾流程图;
图13是本发明第四实施例提到的备份容灾数据的流程图;
图14是本发明第四实施例提到的刷新引导认证的流程图;
图15是本发明第四实施例提到的从检测到BSF网元故障到通过可接管BSF网元下载容灾数据的业务流程图;
图16是本发明第五实施例提到的引导认证***的示意图;
图17是本发明第六实施例提到的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
本发明的第一实施例涉及一种引导认证方法,应用于用户设备UE,UE分布在GBA架构中。为便于理解,下面首先对GBA架构进行简单说明:
在一个例子中,GBA架构的示意图可以参考图1,GBA架构中的逻辑实体可以包括:引导服务功能(Bootstrapping Server Function,简称:BSF)网元、网络应用功能(NetworkApplication Function,简称:NAF)/认证代理(Authentication Proxy,简称:NAF/AP)网元、用户归属网络服务器(Home Subscribe Server,简称:HSS)、用户设备(UserEquipment,简称:UE)等。各逻辑实体的功能可以如下:
BSF网元,处于用户的归属网络,BSF网元通过Zh接口从HSS获得GBA的用户安全设置和AKA认证向量,并完成对UE的认证,建立共享密钥Ks。
NAF网元,相当于应用服务器AS,NAF网元收到UE的业务请求后,可以通过Zn接口从BSF网元获取UE和BSF网元引导认证过程中协商的密钥信息,并完成对UE的认证。
AP网元,一般部署在UE和AS之间。AP网元可以代理AS完成对UE的认证,然后AP网元可以将UE的业务请求转发至AS,由AS处理业务请求。
HSS,用户安全设置、私有用户标识、认证向量都存储在HSS中,HSS支持通过Zh接口,给BSF网元返回认证向量。
UE,UE支持AKA协议/超文本传输摘要式协议(Hyper Text Transfer Protocol,简称:HTTP)Digest协议,并且能够与BSF网元双向认证产生Ks,进而根据Ks,产生衍生密钥Ks_NAF,该衍生密钥可以用于UE和NAF/AP之间所进行的双向认证。
本申请发明人通过对现有技术中GBA典型业务流程进行分析,发现GBA典型业务流程中NAF/AP发起业务挑战(图2的步骤1-2)和NAF/AP发起重引导(图3的步骤3-4)在协议中是同一个响应消息(401Unauthorized),信令一模一样,无法进行区分。因此UE只要收到401响应,无法区分是挑战还是重引导,都需要立即发起四步引导流程。在多NAF/AP应用场景下(图4)可能发生频繁重引导,引起网络风暴。下面对本段所提到的图2、图3、图4进行简单说明:
图2为现有技术中,GBA典型业务流程图,包括:
步骤1-1~1-2,UE发送初次业务请求(HTTP GET,无B-TID)到NAF/AP网元,NAF/AP网元向UE发起业务挑战。
步骤1-3~1-9,UE收到NAF/AP网元发起的业务挑战后执行四步引导流程(即引导发起、引导挑战、引导挑战响应、引导成功)。步骤1-3~1-9具体如下:
步骤1-3,UE向BSF网元发送HTTP请求,表示引导发起。该HTTP请求中可以携带用户的私有用户标识(IMPI)。
步骤1-4,BSF网元向HSS发送用户鉴权请求(Multimedia AuthenticationRequest,简称:MAR),MAR中可以携带IMPI。
步骤1-5,HSS发送用户鉴权响应(Multimedia Authentication Answer,简称:MAA)给BSF网元。
其中,HSS收到MAR消息之后,运行AKA算法,为该用户计算认证向量,MAA中携带认证向量,如AKA鉴权的五元组向量:随机数RAND、网络认证令牌AUTN、期望的认证应答XRES、保密性密钥CK、完整性密钥IK。
步骤1-6,BSF网元向UE发送引导挑战。
其中,BSF网元可以根据MAA中携带认证向量构造401Unauthorized发送给UE,即表示BSF网元向UE发送引导挑战。401Unauthorized中可以包含RAND和AUTN,不携带IK、CK、XRES。
步骤1-7,UE向BSF网元回复引导挑战响应。
其中,UE通过检查AUTN来认证网络,包括检查是否失序,UE根据自身密钥信息计算出CK、IK和RES,从而BSF和UE各自拥有共享密钥Ks=CK||IK。UE发送HTTPGET到BSF,其中包含着UE计算的AKA响应值(RES)即UE向BSF网元回复引导挑战响应(HTTP GET)。
步骤1-8,BSF网元认证UE,并生成共享密钥Ks和B-TID。
其中,BSF可以通过自身密钥信息,计算RES完成对UE的认证。
步骤1-9,BSF网元向UE发送引导成功(200OK)消息。
其中,BSF网元对UE认证成功后生成,BSF网元发送200OK消息到UE通知认证成功,该消息中包含B-TID。在具体实现中,200OK消息中还可以包含共享密钥Ks的生存期。
至此,上述步骤1-3~1-9通过AKA协议实现BSF与UE之间进行的引导认证,当认证成功后,UE和BSF拥有B-TID和Ks。
步骤1-10,UE引导成功之后,发送携带B-TID的业务挑战响应至NAF/AP网元。
步骤1-11,NAF/AP网元去BSF网元查找用户鉴权数据。
步骤1-12,BSF网元返回用户鉴权数据至NAF/AP网元。
步骤1-13,业务鉴权并保存(B-TID,Ks_NAF)
其中,NAF/AP网元与UE之间通过Ks衍生的衍生密钥Ks_NAF来完成双向认证。
步骤1-14~1-16,NAF/AP网元转发业务请求至AS,接收AS回复的业务响应,并返回至UE。
步骤1-17~1-19,UE再次发起业务请求,NAF/AP网元基于上次保存的B-TID和Ks_NAF对UE进行认证,鉴权通过后转发业务请求至AS,从而快速完成业务访问流程。
图3为现有技术中,GBA重引导业务流程,包括:
步骤3-1~3-2,UE发送初次业务请求到NAF/AP网元,NAF/AP网元向UE发起业务挑战。
步骤3-3,UE收到挑战后执行四步引导流程。通过AKA协议实现BSF与UE之间进行的引导认证,当认证成功后,UE和BSF拥有B-TID1、Ks以及IMPI。可参考对图2中四步引导流程的相关描述,这里不再赘述。
步骤3-4~3-7,UE引导成功之后,发送携带B-TID1业务挑战响应。NAF/AP网元根据挑战响应中的B-TID1到BSF查询用户鉴权数据,但BSF返回失败响应(BSF发送重启等异常场景,用户签约数据丢失)。NAF/AP网元查询失败,向UE回复401响应,指示UE发起重引导流程。
步骤3-8,UE收到重引导响应后执行四步引导流程。通过AKA协议实现BSF与UE之间进行的双向认证,当认证成功后,UE和BSF拥有B-TID2、Ks以及IMPI。
步骤3-9~3-15,重引导成功之后,UE执行业务访问流程。UE与NAF/AP之间通过Ks所产生的Ks_NAF来完成双向认证。
图4为现有技术中,多NAF/AP网元的应用场景下可能发生频繁重引导,引起网络风暴的业务流程图,包括:
步骤4-1~4-6,UE发起到NAF1/AP1网元的业务请求,UE经过四步引导后和BSF网元得到B-TID1、Ks。NAF1/AP1网元执行业务鉴权后,本地存储的B-TID1和Ks_NAF1,转发业务请求至AS。
步骤4-7~4-13,UE发起到NAF2/AP2网元的业务请求,UE再次四步引导后和BSF网元得到新的B-TID2、Ks。NAF2/AP2网元执行业务鉴权后,本地存储的B-TID2和Ks_NAF2,转发业务请求至AS。
步骤4-14~4-16,UE再访问NAF1/AP1网元时,因为访问NAF2/AP2网元时执行了重引导流程,携带的是B-TID2,NAF1/AP1网元检查本地没有B-TID2,回401指示UE重引导。
步骤4-17,UE再次发起到BSF网元的重引导,生成B-TID3。
接下来,NAF1/AP1网元从BSF网元查询B-TID3和Ks_NAF对UE进行认证。NAF1/AP1网元本地保存B-TID3和Ks_NAF数据。同时NAF1/AP1网元本地还有未超期的B-TID1和Ks_NAF垃圾数据。
以此类推,UE再访问NAF2/AP2网元,又会发起四步引导流程,生成B-TID4,则原来存储的B-TID1、B-TID2、B-TID3都变为垃圾数据。
这种场景会导致NAF/AP网元存储大量垃圾数据,到NAF/AP网元、BSF网元的信令骤增并可能引起网络风暴,降低GBA的网络可靠性。
本申请第一实施例中提出的引导认证方法,可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。下面对本实施例的引导认证方法的实现细节进行说明,以下内容仅为方便理解而提供的实现细节,并非实施本方案的必须。
本实施例中的引导认证方法的流程图可以参考图5,包括:
步骤501:接收网络应用功能/认证代理NAF/AP网元发送的响应信息。
具体的说,UE可以接收NAF/AP网元发送的响应信息,该响应信息可以为401响应。
在一个例子中,如果NAF/AP网元确定要执行业务挑战,可以向UE发送携带预设的第一标识的响应信息,从而UE可以接收到该携带有第一标识的响应信息。其中,NAF/AP网元在以下情况下可以确定要执行业务挑战:NAF/AP网元接收到UE发送的业务请求(HTTPGET),该业务请求中未携带B-TID,此时NAF/AP网元可以确定要执行业务挑战。
在另一个例子中,如果NAF/AP网元确定要执行重引导,可以向UE发送携带预设的第二标识的响应信息,从而UE可以接收到该携带有第二标识的响应信息。其中,NAF/AP网元在以下情况下可以确定要执行重引导:NAF/AP网元接收到UE发送的业务请求(HTTPGET),该业务请求中携带B-TID,但NAF/AP网元检测到本地并未存储该B-TID,且在BSF网元中也未查找到该B-TID,说明NAF/AP网元接收到的业务请求中携带的B-TID过期或非法,此时NAF/AP网元可以确定要执行重引导。或者,NAF/AP网元检测到BSF网元故障时,可以确定要执行重引导。
在一个例子中,第一标识和第二标识为Reason-Phrase参数的不同参数值。其中,Reason-Phrase参数的参数值可以自定义,比如,第一标识为unauthorized,第二标识为renegotiation,则携带第一标识的响应信息可以表示为401unauthorized,即挑战响应;携带第二标识的响应信息可以表示为401renegotiation,即重引导响应。其中,unauthorized和renegotiation均可以理解为对Reason-Phrase参数自定义的参数值。需要说明的是,本实施方式中,只是以上述两种自定义的参数值为例,在具体实现中并不以此为限,本领域技术人员可以根据实际需要自定义Reason-Phrase参数的参数值以区分第一标识和第二标识。通过对Reason-Phrase参数定义不同的参数值,方便了区分接收到的响应信息为业务挑战响应(NAF/AP网元确定要执行业务挑战时,发出的响应信息)还是重引导响应(NAF/AP网元确定要执行重引导,发出的响应信息)。
在具体实现中,第一标识和第二标识可以为互不相同的数字、字母、符号等,然而,本实施方式对第一标识和第二标识的具体表现形式不做具体限定。
在一个例子中,第一标识和第二标识位于响应信息的头部。位于响应信息的头部,方便UE在接收到响应信息后可以快速识别出该响应信息携带的是哪个标识。
在一个例子中,如果NAF/AP网元确定要执行业务挑战,可以向UE发送携带预设的第一标识的响应信息。如果NAF/AP网元确定要执行重引导,可以向UE发送不增加标识的响应信息。如此设置,UE在接收到响应信息后,如果从响应信息中识别出第一标识,则可以确定接收的响应信息实际为业务挑战响应,如果从响应信息中没有识别任何预设标识,则可以确定接收的响应信息实际为重引导响应,即UE也可以区分出业务挑战响应和重引导响应。本实施方式中旨在使得UE可以区分出业务挑战响应和重引导响应,对区分的方式不做具体限定。
步骤502:确定是否从响应信息中识别出第一标识;如果是,则执行步骤503,否则执行步骤504。
也就是说,UE可以判断是否从响应信息中识别出第一标识,如果识别出第一标识可以执行步骤503,如果未识别出第一标识,可以执行步骤504。
步骤503:若确定UE本地存储有引导事务标识B-TID,根据B-TID与NAF/AP网元进行双向认证。
具体的说,如果UE从响应信息中识别出预设的第一标识,可以确定NAF/AP网元发送的响应信息实际为业务挑战响应。此时,UE可以判断本地是否存储有引导事务标识B-TID,如果UE确定本地存储有B-TID,即表明本地存储的B-TID有效,则UE可以根据B-TID与NAF/AP网元进行双向认证。
在一个例子中,UE根据B-TID与NAF/AP网元进行双向认证的过程可以如下:
UE向NAF/AP网元发送携带B-TID的业务挑战响应,NAF/AP网元在接收到业务挑战响应后,到BSF网元查询UE的鉴权数据,NAF/AP本地保存B-TID和衍生密钥Ks_NAF等数据,NAF/AP与UE之间通过衍生密钥进行双向认证,认证通过后转发业务请求到AS,由AS处理业务请求。由于,NAF/AP与UE之间如何通过衍生密钥进行双向认证属于现有技术的范畴,本实施例对如何通过衍生密钥进行双向认证的实现方式不再展开描述。
在一个例子中,如果UE从响应信息中识别出预设的第一标识,但确定本地未存储有B-TID,则UE可以发起与BSF网元之间的引导认证流程。其中,UE发起与BSF网元之间的引导认证流程的过程可以参考图2中所示的四步引导流程,为避免重复在此不再赘述。识别出第一标识,且确定UE本地未存储有B-TID,说明UE与BSF网元之间还未进行过引导认证,或者UE与BSF网元进行引导认证后得到的B-TID已经失效,此时再发起与BSF网元之间的引导认证流程,有利于确保在必要时引导认证流程的正常进行。
步骤504:发起与引导服务功能BSF网元之间的引导认证流程。
在一个例子中,若UE从响应信息中未识别出第一标识,但识别出预设的第二标识,可以确定NAF/AP网元发送的响应信息实际为重引导响应。此时,UE可以直接发起与BSF网元之间的引导认证流程,其中,UE发起与BSF网元之间的引导认证流程的实现过程可以参考图2中所示的四步引导流程,为避免重复在此不再赘述。
在另一个例子中,若NAF/AP网元在确定要执行重引导,向UE发送了不增加标识的响应信息,则UE在未识别出第一标识后,可以直接发起与引导服务功能BSF网元之间的引导认证流程。
为便于对本实施方式的理解,下面对UE收到携带第一标识的响应信息的业务流程进行简单说明,可以参考图6,包括:
步骤6-1,UE发起到BSF网元的四步引导认证流程,从BSF网元获取B-TID和Ks。其中,四步引导认证流程的具体实现方式可以参考图2,在此不再赘述。
步骤6-2,UE发起业务请求(HTTP GET)给NAF/AP网元。
步骤6-3,NAF/AP网元确定接收的是初次业务请求,执行业务挑战。
步骤6-4,NAF/AP网元向UE发送携带第一标识的响应信息。
步骤6-5,UE识别出第一标识,且本地已有B-TID,不发起重引导流程。其中,UE识别出第一标识时可以确定接收到的响应信息为业务挑战响应。
步骤6-6,UE向NAF/AP网元发送业务挑战响应。其中,UE根据上次引导的B-TID和Ks导出衍生秘钥,根据衍生秘钥计算响应值response,UE将该响应值response携带在给NAF/AP网元回复的业务挑战响应中。
步骤6-7~6-10,NAF/AP网元到BSF网元查询UE鉴权数据即用户鉴权数据,本地保存B-TID和Ks_NAF等数据,并对UE认证,认证通过后转发业务请求到AS(图6中未示出)。
为便于对本实施方式的理解,下面对UE收到携带第二标识的响应信息的业务流程进行简单说明,可以参考图7,包括:
步骤7-1,UE发起四步引导认证流程,从BSF网元获取B-TID和Ks。其中,四步引导认证流程的具体实现方式可以参考图2,在此不再赘述。
步骤7-2,UE发起初次业务请求给NAF/AP网元;其中,初次业务请求中可以不携带B-TID。
步骤7-3,NAF/AP网元确定接收的是初次业务请求,执行业务挑战。
步骤7-4,NAF/AP网元向UE发送携带第一标识的响应信息,如业务挑战(401unauthorized)。
步骤7-5,UE根据B-TID1和Ks导出衍生秘钥,计算响应值response,给NAF/AP网元回挑战响应,挑战响应中携带B-TID1和response等。
步骤7-6,NAF/AP网元获取B-TID1失败或者检测到BSF容灾,确定执行重引导。其中,在NAF/AP网元未在本地或者BSF网元检测到B-TID1的情况下,可以认为NAF/AP网元获取B-TID1失败。
步骤7-7,NAF/AP网元向UE发送携带第二标识的响应信息,如401renegotiation。
步骤7-8,UE收到重引导响应,重新发起到BSF网元的四步引导流程,获取新的Ks和B-TID2。
步骤7-9,UE向NAF/AP网元回业务挑战响应。其中,UE根据B-TID2和Ks导出衍生秘钥,计算响应值response,给NAF/AP网元回携带响应值response的业务挑战响应,业务挑战响应中还携带有B-TID2。
步骤7-10~7-13,NAF/AP网元到BSF网元查询UE鉴权数据即用户鉴权数据,本地保存B-TID2和Ks_NAF等数据,并对UE认证,认证通过转发业务请求到AS(图7中未示出)。
需要说明的是,本实施方式中的上述各示例均为为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
本实施相对现有技术而言,UE根据第一标识,可以方便的识别出响应信息为NAF/AP网元在确定要执行业务挑战时发出的响应信息。如果UE从响应信息中识别出第一标识,UE可以确定接收到的响应信息为业务挑战响应,如果此时确定本地已存储B-TID,UE可以直接利用该B-TID与NAF/AP进行双向认证,而无需再执行UE与BSF网元之间的引导认证流程,有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。另外,UE根据第二标识,可以方便的识别出响应信息为NAF/AP网元再确定要执行重引导时发出的响应信息。如果UE从响应信息中识别出第二标识,UE可以确定接收到的响应信息为重引导响应,则UE可以发起与BSF网元之间的引导认证流程。而且,由于GBA典型业务流程中NAF/AP网元发起重引导信息的概率较小,因此,UE因为接收到重引导响应,而发起与BSF网元之间的引导认证流程的概率也就较小。UE通过第一标识和第二标识可以明显的区分接收到的响应信息是业务挑战响应还是重引导响应,有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。
本发明第二实施例涉及一种引导认证方法,本实施方式中UE执行与BSF网元的引导流程之后,可以利用一次认证成功后得到的B-TID和共享密钥,同时访问多个NAF/AP,有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。下面对本实施例的引导认证方法的实现细节进行说明,以下内容仅为方便理解而提供的实现细节,并非实施本方案的必须。
本实施例中在接收NAF/AP网元发送的响应信息之前,还包括:UE发起与BSF网元之间的引导认证流程,并在引导认证成功后获取B-TID和与B-TID对应的共享密钥。
在一个例子中,UE根据B-TID与NAF/AP网元进行双向认证的过程可以参考图8,包括:
步骤801:确定发送响应信息的NAF/AP网元对应的加密信息。
其中,不同的NAF/AP网元对应不同的加密信息。加密信息可以包括:随机数RAND、NAF_Id等,NAF_Id可以由AS的主机名和安全标识Ua组成。
步骤802:根据与B-TID对应的共享密钥以及NAF/AP网元对应的加密信息,生成衍生密钥。
在一个例子中,UE与NAF/AP之间的认证功能集成在手机中,衍生密钥可以表示为Ks_NAF,Ks_NAF的获取方式可以为:Ks_NAF=KDF(Ks,gba-me,RAND,IMPI,NAF_Id),其中,gba-me中me指mobile equipment,对应手机,gba-me可以理解为手机的标识信息。
在另一个例子中,UE与NAF/AP之间的认证功能集成在手机卡中,衍生密钥可以表示为Ks_int_NAF,Ks_int_NAF的获取方式可以为:Ks_int_NAF=KDF(Ks,gba-u,RAND,IMPI,NAF_Id),其中,gba-u中的u指Universal Integrated Circuit Card,简称uicc,对应手机卡,gba-u可以理解为手机卡的标识信息。
可以理解的是,对不不同的NAF/AP网元,由于加密信息不同,最终生成的衍生密钥也不相同。
步骤803:根据衍生密钥与NAF/AP网元进行双向认证。
为便于对本实施方式的理解,下面对UE访问多个NAF/AP网元的流程进行简单说明,可以参考图9,包括:
步骤9-1,UE发起四步引导认证流程,从BSF网元获取B-TID和Ks。
步骤9-2,UE发起业务请求给NAF1/AP1网元。
步骤9-3,NAF1/AP1网元向UE发送携带第一标识的响应信息,如业务挑战(401unauthorized)。
步骤9-4,UE向NAF1/AP1网元回业务挑战响应。其中,UE识别出第一标识,且确认本地已有B-TID,则不发起重引导流程。UE根据上次引导的B-TID和Ks以及NAF1/AP1网元对应的加密信息,生成衍生秘钥Ks_int_NAF1。UE使用衍生秘钥Ks_int_NAF1,计算响应值response,给NAF1/AP1回业务挑战响应。
步骤9-5~9-7,NAF1/AP1到BSF查询UE鉴权数据,即用户鉴权数据后,本地保存B-TID和Ks_NAF1等数据,并对UE认证,认证通过转发业务请求到AS(图9中未示出)。
步骤9-8,UE发起业务请求给NAF2/AP2网元。
步骤9-9,NAF2/AP2网元向UE发送携带第一标识的响应信息,如业务挑战(401unauthorized)。
步骤9-10,UE向NAF2/AP2网元回业务挑战响应。其中,UE识别出第一标识,且确认本地已有B-TID,则不发起重引导流程。UE根据上次引导的B-TID和Ks以及NAF2/AP2网元对应的加密信息,生成衍生秘钥Ks_int_NAF2。UE使用衍生秘钥Ks_int_NAF2,计算响应值response,给NAF2/AP2回业务挑战响应。
步骤9-11~9-13,NAF2/AP2网元到BSF网元查询UE鉴权数据,即用户鉴权数据后,本地保存B-TID和Ks_NAF2等数据,并对UE认证,认证通过转发业务请求到AS。
步骤9-14~9-16,UE发起业务请求给NAF1/AP1网元。NAF1/AP1网元执行业务挑战向UE发送业务挑战(401unauthorized)。UE和NAF1/AP1网元仍然基于上次的衍生秘钥Ks_NAF进行双向认证。
通过图9可以看出,UE同时访问多个NAF/AP网元,比如上述的NAF1/AP1网元、NAF2/AP2网元,当UE收到的是业务挑战响应(比如,401unauthorized)时,UE可以检查本地存储的B-TID是否有效(未超时),如果本地存储的B-TID有效,则UE可以根据已经引导的B-TID、Ks生成衍生秘钥,直接使用其认证,不再重引导,从而实现一个B-TID同时访问多个AS。其中,UE可以检查本地存储的B-TID是否有效,可以理解为:UE检查本地是否存储有B-TID,如果B-TID失效UE检查将删除该B-TID,不会保存。
需要说明的是,本实施方式中的上述各示例均为为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施例中,对于不同的NAF/AP均可以根据已引导认证成功后的B-TID、共享密钥以及NAF/AP网元对应的加密信息生成衍生密钥,从而使得NAF/AP网元可以与UE基于该衍生密钥完成双向认证。即UE执行与BSF网元的引导流程之后,可以利用一次认证成功后得到的B-TID和共享密钥,同时访问多个NAF/AP,有利于减少UE发起与BSF网元之间的引导认证流程的次数,从而可以有效的减少UE与BSF网元之间的信令交互,降低引起网络风暴的风险,提高GBA网络的可靠性。
本发明的第三实施例涉及一种引导认证方法,应用于NAF/AP网元,下面对本实施例的引导认证方法的实现细节进行说明,以下内容仅为方便理解而提供的实现细节,并非实施本方案的必须。
本实施例中引导认证方法的流程图可以参考图10,包括:
步骤1001:确定是否要执行业务挑战;如果是,则执行步骤1002,否则执行步骤1003。
也就是说,NAF/AP网元可以确定是否要执行业务挑战。在一个例子中,NAF/AP网元在以下情况下可以确定要执行业务挑战:NAF/AP网元接收到UE发送的业务请求(HTTPGET),该业务请求中未携带B-TID,此时NAF/AP网元可以确定要执行业务挑战。
步骤1002:向UE发送携带预设的第一标识的响应信息,以供UE在识别出第一标识且确定UE本地存储有B-TID时,根据B-TID与NAF/AP网元进行双向认证。
步骤1003:若确定要执行重引导,向UE发送携带预设的第二标识的响应信息,以供UE在识别出第二标识时,发起与BSF网元之间的引导认证流程。
由于本实施方式的引导认证方法应用于NAF/AP网元,第一、二实施方式中的引导认证方法应用于UE,本实施方式与第一、二实施方式相互对应,因此本实施方式可与第一、第二实施方式互相配合实施。第一、二实施方式中提到的相关技术细节在本实施方式中依然有效,在第一、二实施方式中所能达到的技术效果在本实施方式中也同样可以实现,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一、二实施方式中。
本发明的第四实施例涉及一种引导认证方法,下面对本实施例的引导认证方法的实现细节进行说明,以下内容仅为方便理解而提供的实现细节,并非实施本方案的必须。
本实施例中主要考虑到容灾场景下的引导认证,容灾场景也可能导致信令骤增,降低GBA的网络可靠性。容灾也称为异地容灾或地理容灾,指位于不同地理位置的2个站点,当其中一个站点因自然灾害、战争、电力故障等不可控因素无法提供服务时,另一个站点可以接管其业务。现有技术中,针对容灾场景,设计的GBA组网如图11所示,采用的是负荷分担容灾组网。多个BSF网元进行业务的分担,但不共享容灾数据,也不进行容灾数据同步,当一个设备故障失效时,剩余的BSF设备可以快速接管。但对于某个用户来说,BSF设备故障后,需要重新执行引导认证流程才能恢复业务。现有技术中的容灾流程可以如图12所示,包括:
步骤12-1~12-4,UE发起到NAF/AP网元的业务请求,UE经过四步引导后和BSF1网元得到B-TID1和Ks。UE根据B-TID1发送业务挑战响应。
步骤12-5~12-7,NAF/AP网元检测到BSF1故障,执行容灾流程。NAF/AP网元回401Unauthorized指示UE重引导。UE再执行四步重引导流程,从BSF2网元得到B-TID2和Ks。
步骤12-8~12-12,UE根据B-TID2回挑战响应,NAF/AP网元到BSF2网元查询用户鉴权数据,对UE进行认证,并再本地保存B-TID2和Ks_NAF,认证通过转发业务请求到AS。
上述容灾流程,在一定程度上会导致增加BSF2的引导流程并可能引起网络风暴,降低GBA的网络可靠性。
本实施例中考虑到现有的容灾流程存在能引起网络风暴的风险,提出如下解决方案:当UE与BSF网元引导认证成功后,BSF网元将容灾数据备份到预设的备份网元,通过备份网元备份和共享容灾数据。使得当一个BSF网元故障失效时,剩余的BSF网元可以快速接管,并从备份网元下载容灾数据,不需要重引导就可以处理业务,即不需要再次执行UE与BSF网元之间的引导认证流程。其中,备份网元可以根据实际需要设置为HSS或是新部署的中央数据节点CDB,本实施方式对此不做具体限定。
其中,容灾数据可以为BSF网元与UE在引导认证成功后备份的数据,比如BSF网元将容灾数据上传至备份网元。
在一个例子中,UE与BSF网元完成初始引导认证后,BSF网元可以将容灾数据备份至备份网元。当UE与BSF网元之间刷新引导认证后,BSF网元刷新备份至备份网元上的容灾数据。当容灾数据的存续时长超过其预设的生命周期后,BSF网元删除在备份网元上备份的容灾数据。
在一个例子中,容灾数据可以包括:B-TID和与B-TID对应的共享密钥。B-TID在BSF网元与UE初始引导认证成功后生成,刷新引导认证时更新。共享密钥为BSF网元与UE在引导认证过程中协商的密钥,在其生命周期内有效,刷新引导认证时更新。在具体实现中,容灾数据还可以包括:临时用户标识TMPI、BSF网元名、用户签约的安全设置等信息。
为进一步便于对本实施例的理解,下面对备份容灾数据的流程进行简单说明,可以参考图13,包括:
步骤13-1,UE发起初始引导认证流程,发送初始引导请求给BSF网元。
其中,初始引导请求表明UE当前未在GBA网络认证,发起业务前需要先执行初始引导认证流程。
步骤13-2,BSF网元发送用户鉴权请求给HSS。其中,BSF网元发送用户鉴权请求给HSS,即BSF网元去HSS查询用户鉴权数据。
步骤13-3,HSS返回用户鉴权响应,携带认证向量。其中,鉴权响应可以理解为HSS返回的用户鉴权数据。
步骤13-4,BSF网元根据认证向量,构造挑战请求401Unauthorized,发送给UE。
步骤13-5,UE向BSF网元回复引导挑战响应。
步骤13-6,BSF网元向UE发送初始引导成功响应(200OK)。其中,BSF网元收到UE发送的挑战响应后,通过本地保存的认证向量对UE进行认证。认证通过后生成用户引导认证标识B-TID、计算共享密钥Ks的生命周期,BSF网元将B-TID和Ks的生命周期携带在200OK中返回给UE。
步骤13-7,BSF网元备份容灾数据至备份网元。其中,容灾数据包括临时用户标识TMPI、用户引导认证标识B-TID、共享密钥Ks、Ks的生命周期、BSF网元名等信息。
步骤13-8,备份网元返回备份应答。其中,备份网元存储好容灾数据后,可以向BSF网元返回备份应答。
为进一步便于对本实施例的理解,下面对刷新引导认证的流程进行简单说明,可以参考图14,包括:
步骤14-1,UE发起刷新引导认证流程,发送刷新引导请求给BSF网元。比如,UE之前已经在GBA网络认证成功,在生命周期超期前发起刷新引导认证流程。
步骤14-2,BSF网元发送用户鉴权请求给HSS
步骤14-3,HSS返回用户鉴权响应,携带认证向量。
步骤14-4,BSF网元根据认证向量,构造挑战请求401Unauthorized,发送给UE。
步骤14-5,UE向BSF网元回复引导挑战响应。
步骤14-6,BSF网元向UE发送刷新引导成功响应(200OK)。其中,BSF网元收到UE发送的挑战响应后,通过本地保存的认证向量对UE进行认证。认证通过后生成新的B-TID、计算新的共享密钥Ks的生命周期,BSF网元将新的B-TID和新的Ks的生命周期携带在200OK中返回给UE。
步骤14-7,BSF网元刷新备份的容灾数据。
步骤14-8,备份网元返回刷新应答。其中,备份网元刷新完备份的容灾数据后,可以向BSF网元返回刷新应答。
在一个例子中,在共享密钥Ks生命周期超时前UE未发起刷新引导认证流程,BSF网元则删除本地保存的该UE相关数据。BSF网元删除本地UE相关数据时,通知备份网元删除该UE对应的容灾数据。
本实施例中,NAF/AP网元在与UE进行双向认证的过程中,当NAF/AP网元确定需从BSF网元获取衍生密钥,且检测到该BSF网元故障,则NAF/AP网元从预设的可接管BSF网元获取基于备份的容灾数据生成的衍生密钥;NAF/AP网元根据从可接管BSF网元获取的衍生密钥,与UE进行双向认证。比如,可接管BSF网元可以从备份网元上下载容灾数据,基于下载的容灾数据生成衍生密钥。比如,从检测到BSF网元故障到通过可接管BSF网元下载容灾数据的业务流程图可以参考图15,包括:
步骤15-1,UE发起四步引导认证流程,从BSF1网元获取B-TID和Ks。
步骤15-2,BSF1网元将容灾数据(B-TID,Ks)备份至备份网元。
步骤15-3,UE发起业务请求给NAF/AP网元。
步骤15-4,NAF/AP网元向UE回业务挑战(401unauthorized)。
步骤15-5,UE向NAF1/AP网元回业务挑战响应,该业务挑战响应携带B-TID。
步骤15-6,NAF/AP网元根据B-TID确定引导UE的BSF1网元故障,容灾到其他可接管网元,比如BSF2网元。在具体实现中,NAF/AP网元可以从UE发的业务挑战响应中导出BSF网元主机名,再确定该BSF网元主机名对应的BSF网元是否故障。
步骤15-7,NAF/AP网元向BSF2网元发送用户鉴权请求,该鉴权请求携带B-TID。
步骤15-8,BSF2网元向备份网元发送查询容灾数据请求,该查询容灾数据请求携带B-TID。
步骤15-9,备份网元返回容灾数据。其中,备份网元接收到容灾数据请求后,根据其携带的B-TID查询与B-TID对应的容灾数据,比如共享密钥。即可以理解为,BSF2网元从备份网元下载得到容灾数据。
步骤15-10,BSF2网元返回鉴权响应至NAF/AP网元。其中,BSF2网元可以根据容灾数据,生成衍生密钥,将衍生密钥携带在鉴权响应中返回给NAF/AP。
步骤15-11~15-12,NAF/AP网元根据衍生密钥,对UE认证,认证通过转发业务请求到AS。
需要说明的是,本实施方式中的上述各示例均为为方便理解进行的举例说明,并不对本发明的技术方案构成限定。
与现有技术相比,本实施例中,当一个BSF网元故障失效时,剩余的BSF网元可以快速接管,NAF/AP网元可以从预设的可接管BSF网元获取基于备份的容灾数据生成的衍生密钥,不需要可接管BSF网元与UE之间重新进行引导认证,有利于减少重引导的次数,减少信令交互,降低出现网络风暴的风险,提高GBA网络的可靠性。
由于本实施方式的引导认证方法应用于NAF/AP网元,第一、二实施方式中的引导认证方法应用于UE,本实施方式与第一、二实施方式相互对应,因此本实施方式可与第一、第二实施方式互相配合实施。第一、二实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一、二实施方式中。
此外,本领域技术人员可以理解,上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本发明第五实施例涉及一种引导认证***,如图16所示,包括:网络应用功能/认证代理NAF/AP网元1601和用户设备UE1602;NAF/AP网元1601,用于若确定要执行业务挑战,向UE1602发送携带预设的第一标识的响应信息;UE1602,用于接收NAF/AP网元1601发送的响应信息,若从响应信息中识别出第一标识,且确定UE本地存储有引导事务标识B-TID,根据B-TID与NAF/AP网元1601进行双向认证。
需要说明的是,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的网元引入,但这并不表明本实施方式中不存在其它的网元
不难发现,本实施方式为与第一至第四实施方式相对应的***实施例,本实施方式可与第一至第四实施方式互相配合实施。第一至第四实施方式中提到的相关技术细节和技术效果在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一至第四实施方式中。
本发明第六实施例涉及一种电子设备,如图17所示,包括:至少一个处理器1701;以及,与至少一个处理器1701通信连接的存储器1702;其中,存储器1702存储有可被至少一个处理器1701执行的指令,指令被至少一个处理器1701执行,
当电子设备为用户设备,所述至少一个处理器能够执行第一或第二实施方式中的引导认证方法;
当电子设备为网络应用功能/认证代理网元,所述至少一个处理器能够执行第三或第四实施方式中的引导认证方法。
其中,存储器1702和处理器1701采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器1701和存储器1702的各种电路连接在一起。总线还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器1701处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器1701。
处理器1701负责管理总线和通常的处理,还可以提供各种功能,包括定时,***接口,电压调节、电源管理以及其他控制功能。而存储器1702可以被用于存储处理器1701在执行操作时所使用的数据。
本发明第七实施例涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施例是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。

Claims (14)

1.一种引导认证方法,其特征在于,应用于用户设备UE,包括:
接收网络应用功能/认证代理NAF/AP网元发送的响应信息;
若从所述响应信息中识别出预设的第一标识,且确定UE本地存储有引导事务标识B-TID,根据所述B-TID与所述NAF/AP网元进行双向认证;其中;所述第一标识为所述NAF/AP网元确定要执行业务挑战时,在所述响应信息中携带的标识。
2.根据权利要求1所述的引导认证方法,其特征在于,在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之后,还包括:
若从所述响应信息中识别出预设的第二标识,发起与引导服务功能BSF网元之间的引导认证流程;其中,所述第二标识为所述NAF/AP网元确定要执行重引导时,在所述响应信息中携带的标识。
3.根据权利要求2所述的引导认证方法,其特征在于,所述第一标识和所述第二标识为Reason-Phrase参数的不同参数值。
4.根据权利要求2所述的引导认证方法,其特征在于,所述第一标识和所述第二标识位于所述响应信息的头部。
5.根据权利要求1所述的引导认证方法,其特征在于,在所述在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之后,还包括:
若从所述响应信息中识别出所述第一标识,且确定UE本地未存储有所述B-TID,发起与所述BSF网元之间的引导认证流程。
6.根据权利要求1所述的引导认证方法,其特征在于,在所述接收网络应用功能/认证代理NAF/AP网元发送的响应信息之前,还包括:
发起与所述BSF网元之间的引导认证流程,并在引导认证成功后获取所述B-TID和与所述B-TID对应的共享密钥;
所述根据所述B-TID与所述NAF/AP网元进行双向认证,包括:
确定发送所述响应信息的所述NAF/AP网元对应的加密信息;其中,不同的NAF/AP网元对应不同的加密信息;
根据与所述B-TID对应的共享密钥以及所述NAF/AP网元对应的加密信息,生成衍生密钥;
根据所述衍生密钥与所述NAF/AP网元进行双向认证。
7.一种引导认证方法,其特征在于,应用于网络应用功能/认证代理NAF/AP网元,包括:
若确定要执行业务挑战,向用户设备UE发送携带预设的第一标识的响应信息,以供所述UE在识别出所述第一标识且确定所述UE本地存储有引导事务标识B-TID时,根据所述B-TID与所述NAF/AP网元进行双向认证。
8.根据权利要求7所述的引导认证方法,其特征在于,所述方法还包括:
若确定要执行重引导,向所述UE发送携带预设的第二标识的响应信息,以供所述UE在识别出所述第二标识时,发起与引导服务功能BSF网元之间的引导认证流程。
9.根据权利要求7所述的引导认证方法,其特征在于,在所述进行双向认证的过程中,包括:
当确定需从BSF网元获取衍生密钥,且检测到所述BSF网元故障,从预设的可接管BSF网元获取基于备份的容灾数据生成的所述衍生密钥;
根据从所述可接管BSF网元获取的所述衍生密钥,与所述UE进行双向认证。
10.根据权利要求9所述的引导认证方法,其特征在于,所述容灾数据为所述BSF网元与所述UE在引导认证成功后备份的数据。
11.根据权利要求9或10所述的引导认证方法,其特征在于,所述容灾数据至少包括:所述B-TID和与所述B-TID对应的共享密钥。
12.一种引导认证***,其特征在于,包括:网络应用功能/认证代理NAF/AP网元和用户设备UE;
所述NAF/AP网元,用于若确定要执行业务挑战,向用户设备UE发送携带预设的第一标识的响应信息;
所述UE,用于接收所述NAF/AP网元发送的响应信息,若从所述响应信息中识别出所述第一标识,且确定UE本地存储有引导事务标识B-TID,根据所述B-TID与所述NAF/AP网元进行双向认证。
13.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,
当所述电子设备为用户设备,所述至少一个处理器能够执行如权利要求1至6中任一所述的引导认证方法;
当所述电子设备为网络应用功能/认证代理网元,所述至少一个处理器能够执行如权利要求7至11所述的引导认证方法。
14.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的引导认证方法,或者实现权利要求7至11所述的引导认证方法。
CN202010580221.6A 2020-06-23 2020-06-23 引导认证方法、***、电子设备和可读存储介质 Pending CN113840283A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010580221.6A CN113840283A (zh) 2020-06-23 2020-06-23 引导认证方法、***、电子设备和可读存储介质
PCT/CN2021/094396 WO2021258922A1 (zh) 2020-06-23 2021-05-18 引导认证方法、***、电子设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010580221.6A CN113840283A (zh) 2020-06-23 2020-06-23 引导认证方法、***、电子设备和可读存储介质

Publications (1)

Publication Number Publication Date
CN113840283A true CN113840283A (zh) 2021-12-24

Family

ID=78964071

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010580221.6A Pending CN113840283A (zh) 2020-06-23 2020-06-23 引导认证方法、***、电子设备和可读存储介质

Country Status (2)

Country Link
CN (1) CN113840283A (zh)
WO (1) WO2021258922A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023240657A1 (zh) * 2022-06-17 2023-12-21 北京小米移动软件有限公司 认证与授权方法、装置、通信设备及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022651B (zh) * 2006-02-13 2012-05-02 华为技术有限公司 一种组合鉴权架构及其实现方法
CN103067345A (zh) * 2011-10-24 2013-04-24 中兴通讯股份有限公司 一种变异gba的引导方法及***
WO2020007461A1 (en) * 2018-07-04 2020-01-09 Telefonaktiebolaget Lm Ericsson (Publ) Authentication and key agreement between a network and a user equipment
CN111147421B (zh) * 2018-11-02 2023-06-16 中兴通讯股份有限公司 一种基于通用引导架构gba的认证方法及相关设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023240657A1 (zh) * 2022-06-17 2023-12-21 北京小米移动软件有限公司 认证与授权方法、装置、通信设备及存储介质

Also Published As

Publication number Publication date
WO2021258922A1 (zh) 2021-12-30

Similar Documents

Publication Publication Date Title
JP6062828B2 (ja) 加入者プロファイル転送方法、加入者プロファイル転送システム及びユーザ装置
US8438616B2 (en) Method for terminal configuration and management and terminal device
US11496320B2 (en) Registration method and apparatus based on service-based architecture
JP6632713B2 (ja) 直接通信キーの確立のための方法および装置
EP1842319B1 (en) User authentication and authorisation in a communications system
US11778458B2 (en) Network access authentication method and device
US9986431B2 (en) Method and apparatus for direct communication key establishment
RU2421931C2 (ru) Аутентификация в сетях связи
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和***
KR20150111687A (ko) 통신 시스템에서 인증 방법 및 장치
US12041452B2 (en) Non-3GPP device access to core network
CN113676901A (zh) 密钥管理方法、设备及***
WO2021258922A1 (zh) 引导认证方法、***、电子设备和可读存储介质
US11943612B2 (en) Method and network server for authenticating a communication apparatus
WO2019141135A1 (zh) 支持无线网络切换的可信服务管理方法以及装置
CN114024693A (zh) 一种认证方法、装置、会话管理功能实体、服务器及终端
US20160149914A1 (en) User Consent for Generic Bootstrapping Architecture
JP2017103761A (ja) 移転認証方法、ユーザ装置及び移転確認方法
CN111866870B (zh) 密钥的管理方法和装置
WO2006050663A1 (fr) Procede de definition de code de securite
CN102404734B (zh) 一种共享加密数据更新实现方法和***
CN116847350A (zh) 一种d2d通信方法、终端及介质
US20230048689A1 (en) Network access authentication processing method and device
CN118200913A (zh) 认证方法、认证装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination