CN114223231B - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN114223231B CN114223231B CN201980099291.5A CN201980099291A CN114223231B CN 114223231 B CN114223231 B CN 114223231B CN 201980099291 A CN201980099291 A CN 201980099291A CN 114223231 B CN114223231 B CN 114223231B
- Authority
- CN
- China
- Prior art keywords
- authentication
- equipment
- communication
- network element
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 994
- 238000000034 method Methods 0.000 title claims abstract description 257
- 230000008569 process Effects 0.000 claims abstract description 54
- 230000011664 signaling Effects 0.000 claims description 67
- 238000011144 upstream manufacturing Methods 0.000 claims description 22
- 238000012790 confirmation Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 8
- 238000013461 design Methods 0.000 description 113
- 238000007726 management method Methods 0.000 description 97
- 230000006870 function Effects 0.000 description 54
- 238000012545 processing Methods 0.000 description 46
- 230000004044 response Effects 0.000 description 46
- 238000010586 diagram Methods 0.000 description 14
- 238000013523 data management Methods 0.000 description 12
- 238000012423 maintenance Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 7
- 230000003993 interaction Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 6
- 238000010295 mobile communication Methods 0.000 description 5
- DJGAAPFSPWAYTJ-UHFFFAOYSA-M metamizole sodium Chemical compound [Na+].O=C1C(N(CS([O-])(=O)=O)C)=C(C)N(C)N1C1=CC=CC=C1 DJGAAPFSPWAYTJ-UHFFFAOYSA-M 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000013256 coordination polymer Substances 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 101150119040 Nsmf gene Proteins 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005265 energy consumption Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000037361 pathway Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/183—Processing at user equipment or user record carrier
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本申请实施例提供一种通信方法及装置,涉及通信技术领域,用于降低通信设备被拔出SIM卡这一事件所带来的安全风险,提高通信网络的安全性。该通信方法包括:第二网元在移动用户的注册流程中确定移动用户使用的通信设备需要进行设备认证,设备认证用于判断所述通信设备是否与移动用户对应的SIM卡相匹配;其中,通信设备安装有SIM卡,该SIM卡包括该移动用户的身份信息。第二网元向第一网元发送设备认证指示,设备认证指示用于指示通信设备需要进行设备认证。本申请适用于通信设备接入网络的流程中。
Description
技术领域
本申请涉及通信技术领域,尤其涉及通信方法及装置。
背景技术
在移动通信***中,用户识别模块(subscriber identification module,SIM)卡可以作为移动用户的网络身份的标识。SIM卡主要用于存储用户数据和完成用户身份鉴权。当前,通信设备的SIM卡被拔出这一事件可能会对通信网络带来安全风险。举例来说,假设攻击者将设备1的SIM卡从设备1中拔出,并***设备2中,则设备2可以通过使用设备1的SIM卡接入通信网络,并且网络侧会将设备2误认为设备1,从而设备2可以执行多种中间人攻击,导致通信网络存在较大的安全隐患。针对这一问题,业界亟待解决方案。
发明内容
本申请提供一种通信方法及装置,用于降低通信设备被拔出SIM卡这一事件所带来的安全风险,提高通信网络的安全性。
第一部分
第一方面,提供一种通信***,包括通信设备和网络设备;其中,通信设备安装有用户识别模块SIM卡。通信设备,用于确定SIM卡被拔出;向网络设备发送告警信息,告警信息用于指示通信设备中的SIM卡已被拨出,告警信息根据通信设备存储的安全上下文进行安全保护;删除安全上下文。网络设备,用于接收告警信息;存储告警信息。
基于上述技术方案,通信设备在确定SIM卡被拔出后,通信设备向网络侧发送告警信息。该告警信息是根据安全上下文进行安全保护的,以使网络侧信任该告警信息。这样一来,网络侧能够根据该告警信息,获知通信设备被拔出SIM卡,进而网络侧能够采用针对性的措施,以预防SIM卡被拔出所带来的安全隐患。
一种可能的设计中,通信设备,用于确定SIM卡被拔出,包括:确定与SIM卡的连接中断;或者,确定无法从SIM卡读取信息。
一种可能的设计中,网络设备为移动管理网元。通信设备,用于向网络设备发送告警信息,包括:向移动管理网元发送根据安全上下文进行非接入层(non-access stratum,NAS)安全保护的NAS信令,NAS信令包括告警信息。网络设备,用于接收告警信息,包括:接收NAS信令。
一种可能的设计中,通信设备,用于删除安全上下文,包括:接收移动管理网元发送的被安全保护的NAS确认消息;使用安全上下文解安全保护NAS确认消息之后,删除安全上下文。
一种可能的设计中,网络设备为接入网设备。通信设备,用于向网络设备发送告警信息,包括:向接入网设备发送根据安全上下文进行接入层(access stratum,AS)安全保护的AS信令,AS信令包括告警信息。网络设备,用于接收告警信息,包括:接收AS信令。
一种可能的设计中,通信设备,用于删除安全上下文,包括:接收接入网设备发送的被安全保护的AS确认消息;使用安全上下文解安全保护AS确认消息之后,删除安全上下文。
一种可能的设计中,通信设备,用于删除安全上下文,包括:在配置的定时器超时之后,删除安全上下文;定时器在通信设备发送告警信息之后开始计时,或者,定时器在通信设备确定SIM卡被拨出之后开始计时。
第二方面,提供一种通信方法,该方法应用于通信设备,通信设备安装有SIM卡。该通信方法包括:通信设备确定SIM卡被拔出;通信设备向网络设备发送告警信息,告警信息用于指示通信设备中的SIM卡已被拨出,告警信息根据通信设备存储的安全上下文进行安全保护;通信设备删除安全上下文。
基于上述技术方案,通信设备在确定SIM卡被拔出后,通信设备发送告警信息。该告警信息是根据安全上下文进行安全保护的,以使网络侧信任该告警信息。这样一来,网络侧能够根据该告警信息,获知通信设备被拔出SIM卡,进而网络侧能够采用针对性的措施,以预防SIM卡被拔出所带来的安全隐患。
一种可能的设计中,通信设备确定SIM卡被拔出,包括:通信设备确定与SIM卡的连接中断;或者,通信设备确定无法从SIM卡读取信息。
一种可能的设计中,在网络设备为移动管理网元的情况下,通信设备向网络设备发送告警信息,包括:通信设备向移动管理网元发送根据安全上下文进行NAS安全保护的NAS信令,NAS信令包括告警信息。
一种可能的设计中,通信设备删除安全上下文,包括:通信设备接收到移动管理网元发送的被安全保护的NAS确认消息;通信设备在使用安全上下文解安全保护NAS确认消息之后,删除安全上下文。
一种可能的设计中,在网络设备为接入网设备的情况下,则通信设备向网络设备发送告警信息,包括:通信设向接入网设备发送根据安全上下文进行AS安全保护的AS信令,AS信令包括告警信息。
一种可能的设计中,通信设备删除安全上下文,包括:通信设备接收接入网设备发送的被安全保护的AS确认消息;通信设备在使用安全上下文解安全保护AS确认消息之后,删除安全上下文。
一种可能的设计中,通信设备删除安全上下,包括:通信设备在配置的定时器超时之后,删除安全上下文;定时器在通信设备发送告警信息之后开始计时,或者,定时器在通信设备确定SIM卡被拨出之后开始计时。
第三方面,提供一种通信装置,通信装置安装有SIM卡,通信装置包括通信模块和处理模块。处理模块,用于确定SIM卡被拔出;通信模块,用于向网络设备发送告警信息,告警信息用于指示通信装置中的SIM卡已被拨出,告警信息根据通信装置存储的安全上下文进行安全保护;处理模块,还用于删除安全上下文。
一种可能的设计中,处理模块,用于确定SIM卡被拔出,包括:确定与SIM卡的连接中断;或者,确定无法从SIM卡读取信息。
一种可能的设计中,通信模块,用于向网络设备发送告警信息,包括:向移动管理网元发送根据安全上下文进行NAS安全保护的NAS信令,NAS信令包括告警信息。
一种可能的设计中,通信模块,还用于接收到移动管理网元发送的被安全保护的NAS确认消息;处理模块,具体用于在使用安全上下文解安全保护NAS确认消息之后,删除安全上下文。
一种可能的设计中,通信模块,用于向网络设备发送告警信息,包括:向接入网设备发送根据安全上下文进行AS安全保护的AS信令,AS信令包括告警信息。
一种可能的设计中,通信模块,还用于接收接入网设备发送的被安全保护的AS确认消息;处理模块,具体用于在使用安全上下文解安全保护AS确认消息之后,删除安全上下文。
一种可能的设计中,处理模块,具体用于在配置的定时器超时之后,删除安全上下文;定时器在通信装置发送告警信息之后开始计时,或者,定时器在通信装置确定SIM卡被拨出之后开始计时。
第四方面,提供一种装置,包括处理器,处理器和存储器耦合,存储器存储有指令。当处理器执行该指令时,使得装置实现上述第二方面中任一种设计所涉及的通信方法。可选的,该装置还包括通信接口,该通信接口用于该装置与其他设备进行通信。
第五方面,提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机可以执行上述第二方面中任一种设计所涉及的通信方法。
第六方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机可以执行上述第二方面中任一种设计所涉及的通信方法。
第七方面,提供一种芯片,该芯片包括处理器,当该处理器执行指令时,处理器用于执行上述第二方面中任一种设计所涉及的通信方法。该指令可以来自芯片内部的存储器,也可以来自芯片外部的存储器。可选的,该芯片还包括可以作为通信接口的输入输出电路。
第二部分
第八方面,提供一种通信***包括第一网元和第二网元;第二网元,用于接收针对移动用户的认证请求,认证请求包括移动用户的用户标识;确定移动用户所使用的通信设备需要进行认证;向第一网元发送设备认证指示,设备认证指示用于指示通信设备需要进行设备认证,设备认证用于判断通信设备与移动用户对应的SIM卡是否匹配;第一网元,用于接收设备认证指示;对通信设备进行设备认证。
基于上述技术方案,在通信设备发起SIM卡对应的移动用户的注册流程之后,第二网元根据接收到的针对移动用户的认证请求,判断移动用户所使用的通信设备是否需要进行设备认证。并且,在通信设备需要进行设备认证的情况下,第二网元向第一网元发送设备认证指示,以使得第一网元对通信设备进行设备认证,从而验证通信设备与其***的SIM是否匹配,以防范非法设备利用合法设备的SIM卡以接入通信网络的情况发生。
一种可能的设计中,移动用户所使用的通信设备需要进行认证,包括以下情形之一:移动用户的签约数据中存在告警信息,告警信息用于指示移动用户对应的SIM卡已被拔出;移动用户绑定第一类型设备,第一类型设备为与SIM卡具有绑定关系的通信设备;SIM卡为物理卡片;移动用户对应的互联网安全协议(internet protocol security,IPsec)配置信息用于指示IPsec功能未开启,或者,未存储IPsec认证凭证。
一种可能的设计中,第二网元,还用于根据移动用户的用户标识获取对应的设备认证信息,并向第一网元发送设备认证信息;设备认证信息为设备认证凭证,或者,设备认证信息为根据设备认证凭证生成的认证参数;第一网元,还用于接收设备认证信息。
一种可能的设计中,第一网元,还用于向第二网元发送设备认证成功信息,设备认证成功信息用于指示通信设备通过设备认证;第二网元,还用于接收设备认证成功信息;将移动用户的签约数据中的告警信息删除。
一种可能的设计中,第一网元,用于对通信设备进行设备认证,包括:在注册流程中对通信设备进行设备认证;或者,在注册流程结束之后对通信设备进行设备认证。
一种可能的设计中,第一网元为移动管理网元;第一网元,用于对通信设备进行设备认证,包括:向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息;验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
一种可能的设计中,第一网元为移动管理网元;第一网元,用于对通信设备进行设备认证,包括:向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息;将通信设备存储的设备认证信息发送给认证服务器;接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行NAS消息根据安全上下文进行安全保护,上行NAS消息根据安全上下文进行安全保护。
一种可能的设计中,下行NAS消息为NAS安全模式命令(security mode command,SMC)消息,上行NAS消息为NAS安全模式完成(security mode complete,SMP)消息。
一种可能的设计中,第一网元,还用于在设备认证失败的情况下,向通信设备发送注册失败消息,注册失败消息包括设备认证失败的原因值。
一种可能的设计中,第一网元,还用于在设备认证失败的情况下,向通信设备发送去注册请求消息,去注册请求消息包括设备认证失败的原因值。
一种可能的设计中,第一网元为接入网设备;第一网元,用于对通信设备进行设备认证,包括:向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息;验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
一种可能的设计中,第一网元为接入网设备;第一网元,用于对通信设备进行设备认证,包括:向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息;将通信设备存储的设备认证信息发送给认证服务器;接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行AS消息根据安全上下文进行安全保护,上行AS消息根据安全上下文进行安全保护。
一种可能的设计中,下行AS消息为AS SMC消息,上行AS消息为AS SMP消息。
一种可能的设计中,第一网元,还用于在设备认证失败的情况下,向移动管理网元发送设备认证失败消息,设备认证失败消息用于指示移动管理网元拒绝通信设备接入网络。
一种可能的设计中,设备认证包括IPsec认证。
第九方面,提供通信方法,该方法应用于通信设备,通信设备安装有SIM卡;该方法包括:通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,设备认证用于判断通信设备与SIM卡是否匹配;在通信设备与SIM卡不匹配的情况下,通信设备断开与网络的连接。
基于上述技术方案,在通信设备***SIM卡之后,通信设备发起SIM卡对应的移动用户的注册流程。之后,通信设备与第一网元之间执行设备认证,以验证通信设备是否与其***的SIM卡匹配。在通信设备与其***的SIM卡匹配的情况下,通信设备可以接入通信网络;在通信设备与其***的SIM卡不匹配的情况下,通信设备被第一网元禁止接入通信网络。从而,本申请实施例的技术方案能够阻止非法设备利用合法设备的SIM卡接入通信网络,保证通信网络的安全性。
一种可能的设计中,通信设备与第一网元之间执行设备认证,包括:通信设备在注册流程中与第一网元进行设备认证;或者,通信设备在注册流程结束之后与第一网元进行设备认证。
一种可能的设计中,第一网元为移动管理网元;通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,包括:通信设备接收移动管理网元发送的下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;通信设备向移动管理网元发送上行NAS消息,上行NAS包括通信设备存储的设备认证信息。
一种可能的设计中,下行NAS消息根据安全上下文进行安全保护,上行NAS消息根据安全上下文进行安全保护。
一种可能的设计中,下行NAS消息为NAS SMC消息,上行NAS消息为NAS SMP消息。
一种可能的设计中,第一网元为接入网设备;通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,包括:通信设备接收接入网设备发送的下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;通信设备向接入网设备发送上行AS消息,上行AS包括通信设备存储的设备认证信息。
一种可能的设计中,下行AS消息根据安全上下文进行安全保护,上行AS消息根据安全上下文进行安全保护。
一种可能的设计中,设备认证为互联网安全协议IPsec认证。
一种可能的设计中,IPsec认证使用通信设备预先存储的认证凭证。
一种可能的设计中,下行AS消息为AS SMC消息,上行AS消息为AS SMP消息。
一种可能的设计中,在通信设备断开与网络的连接之前,该方法还包括:通信设备接收到注册失败消息,注册失败消息包括设备认证失败的原因值;或者,通信设备接收到去注册请求消息,去注册请求消息包括设备认证失败的原因值。
一种可能的设计中,通信设备断开与网络的连接,包括:通信设备删除与SIM卡对应的安全上下文。
第十方面,提供一种通信方法,包括:第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,设备认证用于判断通信设备与移动用户对应的SIM卡是否匹配;其中,通信设备安装有SIM卡,SIM卡包括移动用户的身份信息;第一网元在设备认证失败的情况下,拒绝通信设备接入网络。
基于上述技术方案,在通信设备***SIM卡之后,通信设备发起SIM卡对应的移动用户的注册流程。之后,通信设备与第一网元之间执行设备认证,以验证通信设备是否与其***的SIM卡匹配。在通信设备与其***的SIM卡匹配的情况下,通信设备可以接入通信网络;在通信设备与其***的SIM卡不匹配的情况下,通信设备被第一网元禁止接入通信网络。从而,本申请实施例的技术方案能够阻止非法设备利用合法设备的SIM卡接入通信网络,保证通信网络的安全性。
一种可能的设计中,第一网元对移动用户使用的通信设备进行设备认证,包括:第一网元接收到第二网元发送的设备认证指示,设备认证指示用于指示通信设备需要进行设备认证;第一网元根据设备认证指示,对通信设备进行设备认证。
一种可能的设计中,第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,包括:第一网元在注册流程中对通信设备进行设备认证;或者,第一网元在注册流程结束之后对通信设备进行设备认证。
一种可能的设计中,第一网元为移动管理网元;第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,包括:第一网元向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;第一网元接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息;第一网元验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,第一网元确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,第一网元确定设备认证成功。
一种可能的设计中,第一网元为接入网设备;第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,包括:第一网元向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;第一网元接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息;第一网元将通信设备存储的设备认证信息发送给认证服务器;接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行NAS消息根据安全上下文进行安全保护,上行NAS消息根据安全上下文进行安全保护。
一种可能的设计中,下行NAS消息为NAS SMC消息,上行NAS消息为NAS SMP消息。
一种可能的设计中,第一网元在设备认证失败的情况下,拒绝通信设备接入网络,包括:第一网元向通信设备发送注册失败消息,注册失败消息包括设备认证失败的原因值。
一种可能的设计中,第一网元在设备认证失败的情况下,拒绝通信设备接入网络,包括:第一网元向通信设备发送去注册请求消息,去注册请求消息包括设备认证失败的原因值。
一种可能的设计中,第一网元为接入网设备;第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,包括:第一网元向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;第一网元接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息;第一网元验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,第一网元确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,第一网元确定设备认证成功。
一种可能的设计中,第一网元为接入网设备;第一网元在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,包括:第一网元向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;第一网元接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息;第一网元将通信设备存储的设备认证信息发送给认证服务器;第一网元接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行AS消息根据安全上下文进行安全保护,上行AS消息根据安全上下文进行安全保护。
一种可能的设计中,第一网元在设备认证失败的情况下,拒绝通信设备接入网络,包括:第一网元向移动管理网元发送设备认证失败消息,设备认证失败消息用于指示移动管理网元拒绝通信设备接入网络。
一种可能的设计中,设备认证包括互联网安全协议IPsec认证。
第十一方面,提供一种通信方法,包括:第二网元在移动用户的注册流程中确定移动用户使用的通信设备需要进行设备认证,设备认证用于判断通信设备是否与移动用户对应的SIM卡相匹配;其中,通信设备安装有SIM卡,SIM卡包括移动用户的身份信息;第二网元向第一网元发送设备认证指示,设备认证指示用于指示通信设备需要进行设备认证。
基于上述技术方案,在通信设备发起SIM卡对应的移动用户的注册流程之后,第二网元根据接收到的针对移动用户的认证请求,判断移动用户所使用的通信设备是否需要进行设备认证。并且,在通信设备需要进行设备认证的情况下,第二网元向第一网元发送设备认证指示,以使得第一网元对通信设备进行设备认证,从而验证通信设备与其***的SIM是否匹配,以防范非法设备利用合法设备的SIM卡以接入通信网络的情况发生。
一种可能的设计中,该方法还包括:第二网元获取移动用户对应的设备认证信息;设备认证信息为移动用户绑定的设备认证凭证,或者,设备认证信息为根据设备认证凭证生成的认证参数;第二网元向第一网元发送设备认证信息。
一种可能的设计中,第二网元确定通信设备需要进行设备认证,包括:若移动用户的签约数据中存在告警信息,则第二网元确定通信设备需要进行设备认证,告警信息用于指示移动用户对应的SIM卡已被拔出。
一种可能的设计中,第二网元确定通信设备需要进行设备认证,包括:若移动用户绑定第一类型设备,则第二网元确定通信设备需要进行设备认证,第一类型设备为与SIM卡具有绑定关系的通信设备。
一种可能的设计中,第二网元确定通信设备需要进行设备认证,包括:若移动用户对应的SIM卡为物理卡片,则第二网元确定通信设备需要进行设备认证。
一种可能的设计中,第二网元确定通信设备需要进行设备认证,包括:若移动用户对应的互联网安全协议IPsec配置信息用于指示IPsec功能未开启,或者,未存储IPsec认证凭证,则第二网元确定通信设备需要进行设备认证。
一种可能的设计中,该方法还包括:第二网元接收第一网元发送的设备认证失败信息,设备认证失败信息用于指示通信设备未通过设备认证;第二网元将移动用户的签约数据中的告警信息删除。
第十二方面,提供一种通信装置,通信装置安装有SIM卡,通信装置包括处理模块和通信模块;处理模块,用于在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,设备认证用于判断通信设备与SIM卡是否匹配;通信模块,用于在通信设备与SIM卡不匹配的情况下,断开与网络的连接。
一种可能的设计中,处理模块,用于与第一网元之间执行设备认证,包括:在注册流程中与第一网元进行设备认证;或者,在注册流程结束之后与第一网元进行设备认证。
一种可能的设计中,通信模块,用于接收移动管理网元发送的下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;以及,向移动管理网元发送上行NAS消息,上行NAS包括通信设备存储的设备认证信息。
一种可能的设计中,下行NAS消息根据安全上下文进行安全保护,上行NAS消息根据安全上下文进行安全保护。
一种可能的设计中,下行NAS消息为NAS SMC消息,上行NAS消息为NAS SMP消息。
一种可能的设计中,通信模块,用于接收接入网设备发送的下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;以及,向接入网设备发送上行AS消息,上行AS包括通信设备存储的设备认证信息。
一种可能的设计中,下行AS消息根据安全上下文进行安全保护,上行AS消息根据安全上下文进行安全保护。
一种可能的设计中,设备认证为IPsec认证。
一种可能的设计中,IPsec认证使用通信装置预先存储的认证凭证。
一种可能的设计中,下行AS消息为AS SMC消息,上行AS消息为AS SMP消息。
一种可能的设计中,通信模块,还用于接收到注册失败消息,注册失败消息包括设备认证失败的原因值;或者,接收到去注册请求消息,去注册请求消息包括设备认证失败的原因值。
一种可能的设计中,处理模块,用于删除与SIM卡对应的安全上下文。
第十三方面,提供一种通信装置,包括:处理模块,用于在移动用户的注册流程中对移动用户完成主鉴权之后,对移动用户使用的通信设备进行设备认证,设备认证用于判断通信设备与移动用户对应的SIM卡是否匹配;其中,通信设备安装有SIM卡,SIM卡包括移动用户的身份信息;通信模块,用于在设备认证失败的情况下,拒绝通信设备接入网络。
一种可能的设计中,通信模块,还用于接收到第二网元发送的设备认证指示,设备认证指示用于指示通信设备需要进行设备认证;处理模块,还用于根据设备认证指示,对通信设备进行设备认证。
一种可能的设计中,处理模块,用于在注册流程中对通信设备进行设备认证;或者,在注册流程结束之后对通信设备进行设备认证。
一种可能的设计中,通信模块,还用于向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;以及,接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息。处理模块,还用于验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
一种可能的设计中,通信模块,还用于向通信设备发送下行NAS消息,下行NAS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;以及,接收来自于通信设备的上行NAS消息,上行NAS包括通信设备存储的设备认证信息;将通信设备存储的设备认证信息发送给认证服务器;接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行NAS消息根据安全上下文进行安全保护,上行NAS消息根据安全上下文进行安全保护。
一种可能的设计中,下行NAS消息为NAS SMC消息,上行NAS消息为NAS SMP消息。
一种可能的设计中,通信模块,还用于在设备认证失败的情况下,向通信设备发送注册失败消息,注册失败消息包括设备认证失败的原因值。
一种可能的设计中,通信模块,还用于在设备认证失败的情况下,向通信设备发送去注册请求消息,去注册请求消息包括设备认证失败的原因值。
一种可能的设计中,通信模块,还用于向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;以及,接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息。处理模块,还用于验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
一种可能的设计中,通信模块,还用于向通信设备发送下行AS消息,下行AS消息包括设备认证请求消息,设备认证请求消息用于请求通信设备进行设备认证;接收来自于通信设备的上行AS消息,上行AS包括通信设备存储的设备认证信息;将通信设备存储的设备认证信息发送给认证服务器;接收认证服务器发送的设备认证成功信息或者设备认证失败信息。
一种可能的设计中,下行AS消息根据安全上下文进行安全保护,上行AS消息根据安全上下文进行安全保护。
一种可能的设计中,通信模块,还用于在设备认证失败的情况下,向移动管理网元发送设备认证失败消息,设备认证失败消息用于指示移动管理网元拒绝通信设备接入网络。
一种可能的设计中,设备认证包括IPsec认证。
第十四方面,提供一种通信装置,包括:处理模块,用于在移动用户的注册流程中确定移动用户使用的通信设备需要进行设备认证,设备认证用于判断通信设备是否与移动用户对应的SIM卡相匹配;其中,通信设备安装有SIM卡,SIM卡包括移动用户的身份信息。通信模块,用于向第一网元发送设备认证指示,设备认证指示用于指示通信设备需要进行设备认证。
一种可能的设计中,处理模块,还用于获取移动用户对应的设备认证信息;设备认证信息为移动用户绑定的设备认证凭证,或者,设备认证信息为根据设备认证凭证生成的认证参数。通信模块,还用于向第一网元发送设备认证信息。
一种可能的设计中,处理模块,用于若移动用户的签约数据中存在告警信息,则确定通信设备需要进行设备认证,告警信息用于指示移动用户对应的SIM卡已被拔出。
一种可能的设计中,处理模块,用于若移动用户绑定第一类型设备,则确定通信设备需要进行设备认证,第一类型设备为与SIM卡具有绑定关系的通信设备。
一种可能的设计中,处理模块,用于若移动用户对应的SIM卡为物理卡片,则确定通信设备需要进行设备认证。
一种可能的设计中,处理模块,用于若移动用户对应的互联网安全协议IPsec配置信息用于指示IPsec功能未开启,或者,未存储IPsec认证凭证,则确定通信设备需要进行设备认证。
一种可能的设计中,通信模块,还用于接收第一网元发送的设备认证失败信息,设备认证失败信息用于指示通信设备未通过设备认证。处理模块,还用于将移动用户的签约数据中的告警信息删除。
第十五方面,提供一种装置,包括处理器,处理器和存储器耦合,存储器存储有指令。当处理器执行该指令时,使得装置实现上述第九方面至第十一方面中任一种设计所涉及的通信方法。可选的,该装置还包括通信接口,该通信接口用于该装置与其他设备进行通信。
第十六方面,提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机可以执行上述第九方面至第十一方面中任一种设计所涉及的通信方法。
第十七方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机可以执行上述第九方面至第十一方面中任一种设计所涉及的通信方法。
第十八方面,提供一种芯片,该芯片包括处理器,当该处理器执行指令时,处理器用于执行上述第九方面至第十一方面中任一种设计所涉及的通信方法。该指令可以来自芯片内部的存储器,也可以来自芯片外部的存储器。可选的,该芯片还包括可以作为通信接口的输入输出电路。
附图说明
图1为一种通信设备的结构示意图;
图2为注册流程的示意图;
图3为本申请实施例提供的一种5G网络的架构示意图;
图4为本申请实施例提供的一种IAB的架构示意图;
图5为本申请实施例提供的另一种IAB的架构示意图;
图6为本申请实施例提供的一种装置的结构示意图;
图7为本申请实施例提供的一种通信方法的流程图;
图8为本申请实施例提供的另一种通信方法的流程图;
图9为本申请实施例提供的另一种通信方法的流程图;
图10为本申请实施例提供的另一种通信方法的流程图;
图11为本申请实施例提供的另一种通信方法的流程图;
图12为本申请实施例提供的另一种通信方法的流程图;
图13为本申请实施例提供的另一种通信方法的流程图;
图14为本申请实施例提供的另一种通信方法的流程图;
图15为本申请实施例提供的另一种通信方法的流程图;
图16为本申请实施例提供的另一种通信方法的流程图;
图17为本申请实施例提供的另一种通信方法的流程图;
图18为本申请实施例提供的另一种通信方法的流程图;
图19为本申请实施例提供的另一种通信方法的流程图;
图20为本申请实施例提供的另一种通信方法的流程图;
图21为本申请实施例提供的另一种通信方法的流程图;
图22为本申请实施例提供的一种通信设备的结构示意图;
图23为本申请实施例提供的一种第一网元的结构示意图;
图24为本申请实施例提供的一种第二网元的结构示意图。
具体实施方式
在本申请的描述中,除非另有说明,“/”表示“或”的意思,例如,A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,“至少一个”是指一个或多个,“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。
需要说明的是,本申请中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
在本申请的描述中,“指示”可以包括直接指示和间接指示,也可以包括显式指示和隐式指示。将某一信息(如下文所述的第一指示信息)所指示的信息称为待指示信息,则具体实现过程中,对所述待指示信息进行指示的方式有很多种。例如,可以直接指示所述待指示信息,其中所述待指示信息本身或者所述待指示信息的索引等。又例如,也可以通过指示其他信息来间接指示所述待指示信息,其中该其他信息与所述待指示信息之间存在关联关系。又例如,还可以仅仅指示所述待指示信息的一部分,而所述待指示信息的其他部分则是已知的或者提前约定的。另外,还可以借助预先约定(例如协议规定)的各个信息的排列顺序来实现对特定信息的指示,从而在一定程度上降低指示开销。
为了便于理解本申请的技术方案,下面先对本申请所涉及的术语进行简单介绍。
1、安全上下文
安全上下文是指可以用于实现数据的安全保护(例如,加密/解密,和/或完整性保护/校验)的信息。
其中,加密/解密:保护数据在传输过程中的机密性(因此又可以被称作机密性保护),机密性是指无法被直接看出真实内容。加密保护一般可以使用密钥和加密算法对数据进行加密来实现。加密保护的具体方法可以参考3GPP TS 33.401f50中8.2节或33.501f50中6.4.4节标准相关描述,这里不再赘述。
完整性保护/校验:完整性保护/校验用于判断消息在传递过程中,其内容是否被更改,也可以用于作为身份验证,以确认消息的来源。完整性校验和保护需要使用消息认证码(message authentication code,MAC)。完整性校验和保护的具体方法可以参考第三代合作伙伴计划(3rd generation partnership project,3GPP)TS 33.401f50中8.1节或33.501f50中6.4.3节标准相关描述,这里不再赘述。
安全上下文可以包括以下一项或者多项:根密钥、加密密钥、完整性保护密钥、特定参数(比如NAS Count)、密钥集标识(key set identifier,KSI)、安全算法、安全指示(例如,是否开启加密的指示,是否开启完整性保护的指示、密钥使用期限的指示,密钥长度)等。
其中,加密密钥为发送端根据加密算法对明文进行加密以生成密文时输入的参数。若使用对称加密的方法,加密密钥和解密密钥是相同的。接收端可以根据相同的加密算法和加密密钥对密文进行解密。换句话说,发送端和接收端可以基于同一个密钥去加密和解密。
完整性保护密钥为发送端根据完整性保护算法对明文或密文进行完整性保护时输入的参数。接收端可以根据相同的完整性保护算法和完整性保护密钥对进行了完整性保护的数据进行完整性验证。
特定参数(比如NAS Count)为发送端根据防重放保护算法对明文或密文进行防重放保护时输入的参数。接收端可以根据相同的防重放保护算法对进行了防重放保护的数据进行防重放验证。
安全算法即对数据进行安全保护时使用的算法。例如,加密算法、解密算法、完整性保护算法等。
在本申请实施例中,安全上下文可以包括NAS安全上下文和AS安全上下文。
2、用户标识
在4G网络中,用户标识可以为:国际移动用户识别码(international mobilesubscriber identification number,IMSI)。
在5G网络中,用户标识可以为:签约永久标识(subscription permanentidentifier)、签约隐藏标识(subscription concealed identifier,SUCI)、或者5G全球唯一临时身份(5Gglobally unique temporary identity,5G-GUTI)。
需要说明的是,SUPI用于表征用户的真实身份,功能类似于LTE中的IMSI。
SUCI是SUPI以公钥进行加密后生成的。网络设备与终端之间传输SUCI,可以避免明文传输的SUPI被攻击者窃取的问题。可以理解的是,SUCI可以利用与公钥成对的私钥进行解密,以得到SUCI。
3、通信设备
如图1所示,为本申请实施例提供的一种通信设备的结构示意图。通信设备至少包括通用集成电路卡(universal integrated circuit card,UICC)和移动设备(mobileequipment,ME)。
UICC主要用于存储和计算用户信息、鉴权密钥、付费方式等消息。UICC中的一个重要逻辑模块即为SIM卡。
ME为完成消息收发、处理的设备。ME可以用于存储安全上下文中除了长期密钥之外的其他信息。需要说明的是,若通信设备为接入回传一体化(integrated accessbackhaul,IAB)节点(node),通信设备的ME即为IAB node的MT。
可以理解的是,对于通信设备来说,在ME***SIM卡后,ME可以通过读取SIM卡中的用户信息,以接入移动通信网络,与网络侧建立起安全上下文。
4、SIM卡
在移动通信***中,SIM卡可以作为移动用户的网络身份的标识。SIM卡用于存储用户数据和完成用户身份鉴权。一张SIM卡对应一个移动用户。需要说明的是,SIM卡可以存储用户标识。例如,用户标识可以为:IMSI或者SUPI。
在本申请实施例中,SIM卡可以分为第一类型的SIM卡和第二类型的SIM卡。
第一类型的SIM卡通过物理卡片的形式实现的,包括但不限于:标准SIM卡、Mini-SIM卡、Micro SIM卡、以及Nano SIM卡。示例性的,第一类型的SIM卡可以为全球用户识别(universal subscriber identity module,USIM)卡。
第二类型的SIM卡可以以芯片的形式实现,例如嵌入式用户识别模块(embedded-SIM,eSIM)卡。或者,第二类型的SIM卡也可以以软件的形式实现。
在本申请实施例中,若未作出特别说明,SIM卡均指第一类型的SIM卡。
5、通信设备的类型
在本申请实施例中,通信设备的类型包括:第一类型设备和第二类型设备。
第一类型设备是指与SIM卡具有绑定关系的设备。该第一类型的设备只能***预设的具有绑定关系的SIM卡,当第一类型设备使用非绑定关系的SIM卡时,将无法接入网络。示例性的,第一类型设备可以是IAB node,或者是物联网设备,例如智能水表等。可以理解的是,对于第一类型设备来说,该第一类型设备不应使用非绑定关系的SIM卡,该第一类型设备绑定的SIM卡也不应该给其他设备使用。因此,对于第一类型设备所绑定的SIM卡来说,若网络侧发现该SIM卡与***该SIM卡的通信设备不匹配,说明该通信设备不是该SIM卡的绑定设备,从而说明该通信设备是非法设备;若网络侧发现该SIM卡与***该SIM卡的通信设备匹配,则说明该通信设备是该SIM卡的绑定设备,从而说明该通信设备是合法设备。第一类型设备多数处于无人值守状态,比如,IAB node可能部署在空旷的室外。***第一类型设备中的SIM可能会被非法人员拔下来,并***一个非法设备中,从而导致计费纠纷或者其他安全方面的问题。
第二类型设备是与SIM卡不具有绑定关系的设备。示例性的,第二类型设备可以是手机等普通终端。需要说明的是,第二类型设备的SIM卡可以更换,不会给通信网络带来安全风险。
示例性的,通信设备在出厂时已配置该通信设备的类型。或者,通信设备在第一次接入通信网络时被网络侧配置该通信设备的类型。
6、注册流程
注册流程用于建立通信设备与网络侧之间的连接,以使得通信设备能够接入到网络中。可以理解的是,通信设备在新***一张SIM卡之后,通信设备可以发起注册流程,以接入到网络中。
示例性的,如图2所示,注册流程可以包括以下步骤:
S1、通信设备向接入网设备发送注册请求。
S2、接入网设备执行接入与移动管理功能(access and mobility managementfunction,AMF)选择流程。
S3、接入网设备向第一AMF发送注册请求。
S4、第一AMF根据注册请求,确定第二AMF,并向第二AMF发送上下文传输请求。
其中,第一AMF是当前为通信设备提供服务的AMF。第二AMF是之前为通信设备提供服务的AMF。
S5、第二AMF向第一AMF发送上下文传输请求的响应消息。
S6、第一AMF向通信设备发送标识请求(例如Identity Request)。
S7、通信设备向第一AMF发送标识请求的响应消息(Identity Response)。
S8、第一AMF执行鉴权功能(authentication server function,AUSF)选择流程。
S9、通信设备和网络侧之间执行认证和安全流程。
在步骤S9中,通信设备与网络侧之间会执行主鉴权流程,并且在主鉴权流程结束之后,通信设备会与网络侧建立/激活安全上下文。
S10、第一AMF向第二AMF发送注册完成通知。
S11、第一AMF向UE发起标识获取流程。
S12、第一AMF与设备标识寄存器(equipment identity register,EIR)执行设备标识检查。
S13、第一AMF执行统一数据管理(unified data management,UDM)选择流程。
S14、第一AMF与UDM执行注册、订阅获取流程。
S15、若第一AMF确定第二AMF提供的策略控制功能(policy control function,PCF)信息不可用,第一AMF执行PCF选择流程。
S16、若第一AMF确定第二AMF提供的PCF信息可用,且PCF信息指示的PCF是第二AMF使用的PCF时,第一AMF向该PCF发送控制策略获取请求。
S17、第一AMF向SMF发送事件开放通知消息。
S18、第一AMF向非3GPP互通功能(non-3GPP interworking function,N3IWF)发送N2请求。
S19、N3IWF向第一AMF返回N2请求的响应消息。
S20、第一AMF向通信设备发送注册接收消息(例如Registration Accept)。
其中,注册接收消息用于指示网络侧接受通信设备的注册。
S21、通信设备向第一AMF发送注册完成消息(例如Registration complete)。
可以理解的是,注册完成消息用于指示完成注册流程。
以上是对注册流程中的各个步骤的一些介绍,注册流程还可以包括其他步骤,本申请实施例不限于此。
注册流程的具体描述可以3GPP TS 23.502中的相关描述,在此不予赘述。
7、设备认证
设备认证用于验证通信设备的身份。设备认证也可以称为设备鉴权,本申请实例不限于此。
设备认证流程主要涉及通信设备、认证点设备、认证服务器。其中,认证点设备用于负责设备认证流程中的信令交互。认证服务器一般负责为通信设备提供认证服务,验证通信设备是否是可信的。
需要说明的是,设备认证流程可以由通信设备发起,也可以由认证点设备发起。
可以理解的是,认证服务器可以集成于认证点设备上;或者,认证服务器也可以不集成于认证点设备上,也即认证服务器是一个独立的设备。
以上是对本申请实施例所涉及的术语的介绍,下文中不再赘述。
本申请实施例提供的技术方案可以应用于各种通信***,例如,采用5G通信***,未来演进***或者多种通信融合***等等。本申请提供的技术方案可以应用于多种应用场景,例如,机器对机器(machine to machine,M2M)、宏微通信、增强型移动互联网(enhancedmobile broadband,eMBB)、超高可靠超低时延通信(ultra-reliable&low latencycommunication,uRLLC)以及海量物联网通信(massive machine type communication,mMTC)等场景。这些场景可以包括但不限于:通信设备与通信设备之间的通信场景,网络设备与网络设备之间的通信场景,网络设备与通信设备之间的通信场景等。下文中均是以应用于网络设备和终端之间的通信场景中为例进行说明的。
此外,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
如图3所示,为本申请实施例提供的技术方案所适用的5G网络的架构。5G网络可以包括:终端、无线接入通信网络(radio access network,RAN)或者接入通信网络(accessnetwork,AN)(下文中将RAN和AN统称为(R)AN)、核心网(core network,CN)、以及数据网(data network,DN)。
其中,终端可以是一种具有无线收发功能的设备。所述终端可以有不同的名称,例如用户设备(user equipment,UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。终端可以被部署在陆地上,包括室内或室外、手持或车载;也可以被部署在水面上(如轮船等);还可以被部署在空中(例如飞机、气球和卫星上等)。终端包括具有无线通信功能的手持式设备、车载设备、可穿戴设备或计算设备。示例性地,终端可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑。终端设备还可以是虚拟现实(virtual reality,VR)终端设备、增强现实(augmentedreality,AR)终端设备、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smarthome)中的无线终端等等。本申请实施例中,用于实现终端的功能的装置可以是终端,也可以是能够支持终端实现该功能的装置,例如芯片***。本申请实施例中,芯片***可以由芯片构成,也可以包括芯片和其他分立器件。本申请实施例中,以用于实现终端的功能的装置是终端为例,描述本申请实施例提供的技术方案。
接入网设备也可以称为基站。基站可以包括各种形式的基站,例如:宏基站,微基站(也称为小站),中继站,接入点等。具体可以为:是无线局域网(Wireless Local AreaNetwork,WLAN)中的接入点(access point,AP),全球移动通信***(Global System forMobile Communications,GSM)或码分多址接入(Code Division Multiple Access,CDMA)中的基站(Base Transceiver Station,BTS),也可以是宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)中的基站(NodeB,NB),还可以是LTE中的演进型基站(Evolved Node B,eNB或eNodeB),或者中继站或接入点,或者车载设备、可穿戴设备以及未来5G网络中的下一代节点B(The Next Generation Node B,gNB)或者未来演进的公用陆地移动网(Public Land Mobile Network,PLMN)网络中的基站等。
基站,通常包括基带单元(baseband unit,BBU)、射频拉远单元(remote radiounit,RRU)、天线、以及用于连接RRU和天线的馈线。其中,BBU用于负责信号调制。RRU用于负责射频处理。天线用于负责线缆上导行波和空气中空间波之间的转换。一方面,分布式基站大大缩短了RRU和天线之间馈线的长度,可以减少信号损耗,也可以降低馈线的成本。另一方面,RRU加天线比较小,可以随地安装,让网络规划更加灵活。除了RRU拉远之外,还可以把BBU全部都集中起来放置在中心机房(central office,CO),通过这种集中化的方式,可以极大减少基站机房数量,减少配套设备,特别是空调的能耗,可以减少大量的碳排放。此外,分散的BBU集中起来变成BBU基带池之后,可以统一管理和调度,资源调配更加灵活。这种模式下,所有的实体基站演变成了虚拟基站。所有的虚拟基站在BBU基带池中共享用户的数据收发、信道质量等信息,相互协作,使得联合调度得以实现。
在一些部署中,基站可以包括集中式单元(centralized unit,CU)和分布式单元(distributed unit,DU)。基站还可以包括有源天线单元(active antenna unit,AAU)。CU实现基站的部分功能,DU实现基站的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resource control,RRC),分组数据汇聚层协议(packet dataconvergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,简称RLC)、媒体接入控制(media access control,MAC)和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令或PDCP层信令,也可以认为是由DU发送的,或者,由DU+AAU发送的。可以理解的是,在本申请实施例中,接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。此外,CU可以划分为RAN中的网络设备,也可以将CU划分为核心网(core network,CN)中的网络设备,在此不做限制。
一种可能的设计中,对于基站来说,还可以将CU的控制面(control plane,CP)和用户面(user plane,UP)分离,以不同实体来实现。也即,CU可以分为CU-CP和CU-UP。
核心网包括多个核心网网元(或者称为网络功能网元),例如:AMF网元、会话管理功能(session management function,SMF)网元、PCF网元、用户面功能(user planefunction,UPF)网元、应用层功能(application function)网元、AUSF网元、以及UDM网元。
此外,核心网还可以包括一些图3中未示出的网元,例如:安全锚功能(securityanchor function,SEAF)网元、认证凭证库以及处理功能(authentication credentialrepository and processing function,ARPF),本申请实施例在此不予赘述。
其中,UDM网元用于存储用户的签约信息,生成认证参数等。统一数据管理,支持3GPP认证、用户身份操作、权限授予、注册和移动性管理等功能。
ARPF网元具有认证凭证存储和处理功能,用于存储用户的长期认证凭证,如永久密钥K等。在5G网络中,ARPF网元的功能可以集成到UDM网元中。
SEAF网元用于完成对UE的认证。在5G网络中,SEAF的功能可以集成到AMF中。
AUSF网元具有鉴权服务功能,用于终结SEAF网元请求的认证功能。具体的,在认证过程中,AUSF接收UDM发送的认证向量并对认证向量进行处理,将处理后的认证向量发送给SEAF。
AMF网元主要负责移动性管理处理部分,例如:接入控制、移动性管理、附着与去附着以及SMF选择等功能。AMF网元为终端中的会话提供服务的情况下,会为该会话提供控制面的存储资源,以存储会话标识、与会话标识关联的SMF标识等。
需要说明的是,上述核心网网元可以有其他的名称,本申请实施例不限于此。例如,AMF网元也可以简称为AMF或者AMF实体,UPF网元也可以简称为UPF或者UPF实体,等。
其中,终端通过下一代网络(Next generation,N)1接口(简称N1)与AMF通信,RAN设备通过N2接口(简称N2)与AMF通信,RAN设备通过N3接口(简称N3)与UPF通信,UPF通过N6接口(简称N6)与DN通信。
AMF、SMF、UDM、AUSF、或者PCF等控制面也可以采用服务化接口进行交互。比如,如图3所示,AMF对外提供的服务化接口可以为Namf;SMF对外提供的服务化接口可以为Nsmf;UDM对外提供的服务化接口可以为Nudm;PCF对外提供的服务化接口可以为Npcf,AUSF对外提供的服务化接口可以为Nausf;在此不再一一描述。
为了减轻有线传输网络的建设负担,提供灵活和密集的NR部署,5G NR提出了IAB技术。如图4所示,为本申请实施例提供的一种IAB的架构示意图。如图4所示,采用IAB技术的接入网可以包括:IAB node和IAB宿主基站(donor)。
其中,IAB-donor的功能和作用于传统的gNB相似,用于提供核心网的接口。但是,IAB-donor还支持IAB node的无线回传(wireless backhaul)功能。IAB-donor包括CU和DU。CU又可以分为CU-UP、CU-CP、以及其他功能模块。
IAB node集成了无线接入链路(wireless access link)和无线回传链路(wireless backhaul link)。从而,IAB node能够支持终端的无线接入和数据的无线回传。IAB node可以包括移动终端(mobile terminal,MT)以及DU。MT用于支持IAB node的移动终端功能,辅助IAB node进行入网鉴权和建立通信安全。
如图5所示,IAB node与IAB-donor-CU之间可以通过F1接口进行通信。IAB node与IAB-donor-DU之间可以通过Uu接口进行通信。不同的两个IAB node之间可以通过Uu接口进行通信。IAB-donor-CU可以通过NG接口连接核心网。IAB-donor-CU可以通过Xn-c接口连接gNB。
需要说明的是,在5G网络或者未来其他的网络中,上述各种接口,例如F1接口、Uu接口等,均可以由其他名称,本申请实施例对此不作限定。
可选的,本申请实施例所提及的设备,例如IAB node、IAB donor、终端、核心网网元等,均可以由图6所示的通信装置来实现。
如图6所示,该装置100包括至少一个处理器101,通信线路102,存储器103以及至少一个通信接口104。
处理器101可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路102可包括一通路,在上述组件之间传送信息。
通信接口104,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器103可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路102与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器103用于存储执行本申请方案的计算机执行指令,并由处理器101来控制执行。处理器101用于执行存储器103中存储的计算机执行指令,从而实现本申请下述实施例提供的报文传输方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器101可以包括一个或多个CPU,例如图6中的CPU0和CPU1。
在具体实现中,作为一种实施例,装置100可以包括多个处理器,例如图6中的处理器101和处理器107。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,装置100还可以包括输出设备105和输入设备106。输出设备105和处理器101通信,可以以多种方式来显示信息。例如,输出设备105可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备106和处理器101通信,可以以多种方式接收用户的输入。例如,输入设备106可以是鼠标、键盘、触摸屏设备或传感设备等。
下面结合说明书附图,对本申请实施例所提供的技术方案进行具体阐述。
实施例一
当前,在通信设备的SIM卡被拔出后,通信设备会直接删除安全上下文,并断开网络。网络侧并不能获知通信设备是由于SIM卡被拔出而断开网络,从而带来一定的安全隐患。
为了解决上述技术问题,本申请实施例提供一种通信方法,以使得网络侧能够获知通信设备的SIM卡是否被拔出。如图7所示,该通信方法包括以下步骤:
S101、通信设备确定SIM卡被拔出。
其中,通信设备安装有SIM卡,该SIM卡与通信设备是绑定的。
可以理解的是,SIM卡被拨出这一事件产生的原因包括:SIM卡损坏、SIM卡被人为拨出、SIM卡与通信设备的ME接触不良等。
作为一种实现方式,在通信设备处于开机状态,且通信设备已接入通信网络的情况下,通信设备监控SIM卡是否被拔出。通信设备确定与SIM卡的连接中断,或者通信设备确定无法从SIM卡读取信息,则通信设备确定SIM卡被拔出。
S102、通信设备向网络设备发送告警信息,以使得网络设备接收到告警信息。
其中,告警信息用于指示SIM卡已被拔出。
可选的,告警信息可以包括以下参数中的一个或多个:
(1)用户标识。可以理解的是,告警信息所携带的用户标识可以是SIM卡所存储的用户标识,也可以是从SIM卡存储的用户标识推导出来的。示例性的,在5G网络中,用户标识可以为:SUPI、SUCI和/或5G-GUTI。
在告警信息携带用户标识的情况下,网络侧可以根据该告警信息,获知被拔出SIM卡所对应的移动用户,从而网络侧可以针对该移动用户采取针对性的措施,例如禁止该移动用户接入通信网络。
(2)设备标识。示例性的,设备标识可以是MAC地址、设备名称等。
在告警信息携带设备标识的情况下,网络侧可以根据告警信息,定位被拔出SIM卡的通信设备,从而网络侧可以针对该通信设备采取针对性的措施,例如派出运维人员实地检查该通信设备的SIM卡安装状况。
(3)告警原因。告警原因用于指示告警信息的触发事件。在本申请实施例中,触发事件即为ME中的SIM卡被拔出这一事件。
(4)告警时间。告警时间用于指示触发事件的发生时间。
当然,告警信息也可以包括其他参数,本申请实施例不限于此。
可以理解的是,通信设备***SIM卡后,在通信设备接入通信网络并完成安全激活之后,通信设备存储有安全上下文。因此,通信设备可以根据存储的安全上下文,对告警信息进行安全保护,以保证告警信息在传输过程中的安全性。安全保护可以包括以下至少一项:加密保护和完整性保护。
示例性的,上述网络设备可以为接入网设备或移动管理网元等。其中,在4G网络中,移动管理网元可以为移动管理实体(mobility management entity,MME);在5G网络中,移动管理网元可以为AMF;在未来的演进***中,移动管理网元可以为类似MME/AMF的NAS安全终结点。
可选的,网络设备在接收到告警信息之后,可以存储该告警信息。
可选的,网络设备在接收到告警信息之后,网络设备可以向其他网络设备发送该告警信息。
示例性的,其他网络设备可以为数据管理网元、认证服务网元或网管***等。其中,在5G网络中,数据管理网元可以为UDM,认证服务网元可以为AUSF,在此统一说明,以下不再赘述。网管***可以为操作维护管理(operation administration and maintenance,OAM)***。
可选的,其他网络设备在接收到告警信息之后,其他网络设备同样可以存储该告警信息。例如,UDM在接收到该告警信息之后,UDM将告警信息存储在SIM卡对应的签约数据中。又例如AMF在接收到告警信息之后,AMF将该告警信息存储在SIM卡对应的上下文中。
S103、通信设备删除存储的安全上下文。
作为一种实现方式,通信设备在发送告警信息之后,直接删除存储的安全上下文。
作为另一种实现方式,通信设备在预设条件下,删除存储的安全上下文。
可选的,预设条件包括以下至少一项:
条件1、通信设备接收到告警信息的响应信息。
条件2、通信设备配置的定时器超时。其中,该定时器可以在通信设备发送告警信息之后开始计时;或者,该定时器可以在通信设备确定SIM卡被拔出之后开始计时。
可以理解的是,条件1、条件2仅是预设条件的示例,不对预设条件构成限定。
可选的,在预设条件为条件1的情况下,若通信设备在预设时间内未接收到告警信息的响应信息,通信设备可以重新发送告警信息,以保证网络侧能够接收到该告警信息。
需要说明的是,在通信设备删除存储的安全上下文后,通信设备会断开与通信网络的连接。
图7中通信设备所执行的操作,可以由通信设备的ME执行。
基于图7所示的技术方案,通信设备在确定SIM卡被拔出后,通信设备发送告警信息。该告警信息是根据安全上下文进行安全保护的,以使网络侧信任该告警信息。这样一来,网络侧能够根据该告警信息,获知通信设备被拔出SIM卡,进而网络侧能够采用针对性的措施,以预防SIM卡被拔出所带来的安全隐患。
以UDM接收到告警信息为例,UDM会将告警信息存储在SIM卡对应的移动用户的签约数据中。这样一来,在UDM下一次接收到该SIM卡对应的移动用户的认证请求时,UDM可以直接拒绝该认证请求,以使得该SIM卡对应的移动用户不能接入通信网络,从而防止非法设备利用被拔出的SIM卡接入通信网络;或者,UDM可以指示相关网元(例如AUSF)对当前***该SIM卡的通信设备进行设备认证,以确定当前***该SIM卡的通信设备与SIM卡是否匹配,以避免非法设备利用被拔出的SIM卡接入通信网络。
以OAM***接收到告警信息为例,OAM***可以根据该告警信息生成相应的工单,并将工单派发给运维人员,以使得运维人员去查看通信设备的SIM卡是否有松动或者被拔出。若运维人员发现通信设备中的SIM卡不可用或者被拔出,则运维人员为通信设备更新新的SIM卡,并且运维人员可以通过OAM***通知UDM将旧的SIM卡(也即被拔出的SIM卡)所存储的用户标识列入黑名单中,以禁止攻击者使用旧的SIM卡接入通信网络。如果运维人员发现通信设备的SIM卡松动,则运维人员可以重新将SIM卡***通信设备的ME中,并且运维人员可以通过OAM***通知UDM删除告警信息。
以OAM***接收到告警信息为例,OAM***可以根据该告警信息生成相应的工单,并将工单派发给运维人员,以使得运维人员检查和/或修改被拔出的SIM卡所对应的移动用户的签约数据和/或配置信息。
下面将结合图8说明通信设备通过信令面发送告警信息的实现方式。
以网络设备为移动管理网元为例,如图8所示,步骤S102可以具体实现为S102a。
S102a、通信设备向移动管理网元发送根据安全上下文进行NAS安全保护的NAS信令,该NAS信令包括告警信息。
示例性的,该NAS信令可以为上行NAS传输(UL NAS Transport)消息,本申请实施例不限于此。
可以理解的是,移动管理网元通过对该NAS信令进行解安全保护,以获得告警信息。
可选的,基于步骤S102a,如图8所示,步骤S103可以具体实现为步骤S1031a-S1032a。
S1031a、移动管理网元向通信设备发送被安全保护的NAS确认消息,以使得通信设备接收来自于移动管理网元的NAS确认消息。
其中,NAS确认消息根据安全上下文进行NAS安全保护。
示例性的,NAS确认消息可以为DL NAS Transport ACK,本申请实施例不限于此。
可以理解的是,NAS确认消息,即相当于上文提到的告警信息的响应信息。
S1032a、通信设备在以安全上下文解安全保护NAS确认消息之后,删除存储的安全上下文。
其中,解安全保护包括解密和/或完整性校验。
可选的,如图8所示,该通信方法在步骤S102a之后,还可以包括步骤S104。
S104、移动管理网元向数据管理网元发送告警信息,以使得数据管理网元接收来自移动管理网元的告警信息。
可选的,该告警信息可以承载于Nudm接口信息中,例如Nudm_SDM_info。
示例性的,数据管理网元可以根据告警信息所携带的用户标识,确定该用户标识对应的签约数据。之后,数据管理网元将该告警信息存储于该用户标识对应的签约数据中。
可选的,如图8所示,该通信方法在步骤S104之后,还可以包括步骤S105。
S105、数据管理网元向网管***发送告警信息,以使得网管***接收到来自数据管理网元的告警信息。
需要说明的是,网管***可以订阅UDM的事件。这样一来,UDM可以在接收到告警信息之后,主动向网管***发送该告警信息。
下面将结合图9说明通信设备通过用户面发送告警信息的实现方式。
以网络设备为接入网设备为例,如图9所示,步骤S102可以具体实现为步骤S102b。
S102b、通信设备向接入网设备发送根据安全上下文进行AS安全保护的AS信令,该AS信令包括告警信息。
示例性的,该AS信令可以为UL AS Transport,本申请实施例不限于此。
一种可能的设计中,在通信设备为IAB node的情况下,该接入网设备可以为IABdonor。
可以理解的是,接入网设备通过对该AS信令进行解安全保护,以获得告警信息。
可选的,基于步骤S102b,如图9所示,步骤S103可以具体实现为步骤S1031b-S1032b。
S1031b、接入网设备向通信设备发送被安全保护的AS确认消息,以使得通信设备接收来自于接入网设备的AS确认消息。
其中,AS确认消息根据安全上下文进行AS安全保护。
示例性的,AS确认消息可以为DL AS Transport ACK,本申请实施例不限于此。
可以理解的是,AS确认消息,即相当于上文提到的告警信息的响应信息。
S1032b、通信设备在使用安全上下文解安全保护AS确认消息之后,删除存储的安全上下文。
可选的,如图9所示,该通信方法在步骤S102a之后,还可以包步骤S106。
S106、接入网设备向网管***发送告警信息,以使得网管***接收到告警信息。
或者,如图9所示,步骤S106可以替换为步骤S107-S108。
S107、接入网设备向用户面网元发送告警信息,以使得用户面网元接收来自接入网设备的告警信息。
示例性的,在5G网络中,用户面网元可以为UPF。在未来的演进***中,用户面网元可以为负责用户面数据传输的功能实体,本申请实施例不限于此。
可选的,告警信息可以承载于N3接口消息中。
S108、用户面网元向网管***发送告警信息,以使得网管***接收到用户面网元发送的告警信息。
作为一种实现方式,用户面网元以用户面数据传输机制将告警信息发送给网管******。
需要说明的是,图7-图9所示的通信方法可以仅适用于第一类型设备。也即,第一类型设备在SIM卡被拔出的情况下,第一类型设备会向网络侧发送告警信息;第二类型设备在SIM卡被拔出的情况下,第二类型设备不会向网络侧发送告警信息。
或者,图7-图9所示的通信方法可以同时适用于第一类型设备和第二类型设备。也即,无论通信设备是第一类型设备还是第二类型设备,在通信设备被拔出SIM卡的情况下,通信设备会向网络侧发送告警信息。
实施例二
当前,若设备1的SIM卡被攻击者拔出,并且攻击者将该SIM卡安装到设备2,则设备2可以通过使用SIM卡中的用户信息,顶替设备1接入通信网络。这样一来,网络侧会误以为设备2为设备1,从而设备2可以执行多种中间人攻击,导致通信网络存在较大的安全隐患。
以IAB网络场景为例,若IAB node的SIM卡被拔出,并且该SIM卡被***伪基站中,则普通用户的手机等设备会将该伪基站视为合法的基站进行网络接入,从而伪基站会捕获到普通用户的各种隐私信息,影响通信网络的安全性。另外,IAB node一般部署在公共场合,因此IAB node容易被攻击者拨出SIM卡,导致通信网络存在较大的安全隐患。
为了解决上述技术问题,本申请实施例提供一种通信方法,其技术原理在于:预先绑定通信设备与SIM卡。从而,在通信设备利用SIM卡接入网络时,网络侧会对通信设备进行设备认证,以确定通信设备与其***的SIM卡是否匹配。在通信设备与其***的SIM卡不匹配时,网络侧禁止通信设备接入网络;在通信设备与其***的SIM卡匹配时,网络侧允许通信设备接入网络。这样一来,一张SIM卡仅能应用于与其绑定的通信设备中,而不能应用于未绑定的通信设备中。从而,本申请的技术方案可以避免合法设备的SIM卡被应用到非法设备中。
例如,SIM卡1与设备1绑定,SIM卡1不与设备2绑定。若设备1***SIM卡1,则设备1可以使用SIM卡1接入通信网络。若设备2***SIM卡1,则设备2不能使用SIM卡2接入通信网络。
在本申请实施例中,通信设备与SIM卡的绑定关系,可以具体实现为:设备认证凭证与SIM卡对应的用户标识之间的绑定关系。可以理解的是,绑定关系也可以称为为匹配关系、对应关系等。
在本申请实施例中,设备认证凭证可以包括:数字证书、密钥、和/或设备信息。其中,设备信息包括但不限于:国际移动设备标识(international mobile equipmentidentity,IMEI)、设备序列号(serial number,SN)、设备名称、设备类型、设备的出厂批次。
可以理解的是,在通信设备与SIM卡绑定的情况下,通信设备存储有设备认证凭证,通信设备所存储的设备认证凭证对应SIM卡存储的用户标识。
可以理解的是,网络侧也会存储设备认证凭证与SIM卡存储的用户标识之间的绑定关系。也即,对于一个用户标识,网络侧可以存储一个或多个对应的设备认证凭证。
可以理解的是,对于一个用户标识,若网络侧存储了多个对应的设备认证凭证,说明该用户标识对应的移动用户绑定多个通信设备,或者,说明存储该用户标识的SIM卡绑定多个通信设备。
下面结合具体实施例,对本申请实施例所提供的技术方案进行说明。
如图10所示,为本申请实施例提供的一种通信方法,该通信方法包括以下步骤:
S201、通信设备发起SIM卡对应的移动用户的注册流程。
作为一种实现方式,在通信设备***SIM卡之后,通信设备通过读取SIM卡存储的用户标识,向接入网设备发起注册请求,以发起注册流程。
其中,注册请求包括用户标识。可以理解的是,注册请求所包括的用户标识可以是通信设备***的SIM卡中存储的用户标识,也可以是从SIM卡存储的用户标识推导出来的。示例性的,在5G网络中,用户标识可以为:SUPI、SUCI和/或5G-GUTI。
S202、通信设备与第一网元之间执行设备认证。
其中,设备认证用于验证通信设备的身份。
具体的,设备认证用于判断通信设备是否与该通信设备***的SIM卡是匹配的。或者说,设备认证用于判断通信设备是否存储有与该通信设备所***的SIM卡相匹配的设备认证凭证。或者说,设备认证用于判断通信设备存储的设备认证凭证是否与通信设备所***的SIM卡存储的用户标识匹配。
可以理解的是,若通信设备未存储与该通信设备***的SIM相匹配的设备认证凭证,则说明该通信设备与其***的SIM卡不匹配,也即该通信设备是非法设备,该通信设备不可以接入通信网络。若通信设备已存储与该通信设备***的SIM相匹配的设备认证凭证,则说明该通信设备与其***的SIM卡匹配,也即该通信设备是合法设备,该通信设备可以接入通信网络。
在本申请实施例中,执行设备认证的第一网元相当于认证点。第一网元用于负责设备认证过程中与通信设备之间的信息交互。示例性的,执行设备认证的第一网元可以为:IAB donor、移动管理网元、认证服务网元等,本申请实施例不限于此。
一种可能的设计中,第一网元可以根据第二网元的指令,确定通信设备是否需要执行设备认证。该设计可以参考下文中的相关描述,在此不予赘述。
另一种可能的设计中,第一网元可以根据的策略,确定通信设备是否需要执行设备认证。
例如,第一网元接收到来自通信设备的设备类型指示信息,该设备类型指示信息用于指示该通信设备为第一类型设备,或者该设备类型指示信息用于指示通信设备为IABnode。这种情况下,第一网元确定通信设备需要执行设备认证。
在本申请实施例中,第一网元存在两种情况:(1)第一网元集成了认证服务器,或者说,第一网元存储用户标识所绑定的设备认证凭证(2)第一网元未集成认证服务器,或者说,第一网元不具有用户标识所绑定的设备认证凭证。
基于上述情况(1),第一网元可以负责验证通信设备的设备认证凭证与SIM卡绑定的设备认证凭证是否相同,以确定通信设备与其***的SIM卡是否是绑定的。
基于上述情况(2),第一网元需要将通信设备的设备认证凭证发送给认证服务器,认证服务器负责验证通信设备的设备认证凭证与SIM卡绑定的设备认证凭证是否相同;并且,第一网元还可以从认证服务器获取到设备认证的结果。可以理解的是,设备认证的结果为:设备认证成功或者设备认证失败。
在第一网元未集成认证服务器的情况下,上述认证服务器可以是第二网元或者其他设备。例如,以第一网元为AMF为例,认证服务器可以为UDM或者验证授权记账(authentication、authorization、accounting,AAA)服务器。
可选的,设备认证的实现方式包括但不限于可扩展的认证协议(extensibleauthentication protocol,EAP)认证等,本申请实施例不限于此。
可以理解的是,第一网元与通信设备之间采用的设备认证方式可以是预先配置的,也可以是第一网元与通信设备之间协商确定的,本申请实施例不限于此。
一种可能的设计中,通信设备与第一网元之间在注册流程中执行设备认证。例如,通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证;或者,通信设备在通过注册流程进行主鉴权之前与第一网元进行设备认证。又例如,通信设备在通过注册流程成功完成NAS SMC流程之后与第一网元进行设备认证;或者,通信设备在通过注册流程进行NAS SMC流程之前与第一网元进行设备认证。
可以理解的是,若通信设备在通过注册流程进行主鉴权之前与第一网元进行设备认证,则在设备认证失败的情况下,网络侧无需再对通信设备进行主鉴权,从而可以节约信令开销。
可以理解的是,若通信设备在通过注册流程成功完成NAS SMC流程之后与第一网元进行设备认证,则设备认证流程中的信令可以以安全上下文进行安全保护,从而避免设备认证流程中的信令被攻击者篡改,保证设备认证流程的信令的安全性。
另一种可能的设计中,通信设备与第一网元之间在注册流程结束之后执行设备认证。例如,通信设备在完成AS SMC流程之后与第一网元进行设备认证;或者,通信设备在进行AS SMC流程之前与第一网元进行设备认证。
S203、在设备认证失败的情况下,第一网元拒绝通信设备接入通信网络。
其中,设备认证失败,也可以表述为:通信设备未通过设备认证。
设备认证失败,可以理解为:通信设备未存储与该通信设备***的SIM相匹配的设备认证凭证;或者,通信设备存储的设备认证凭证与SIM卡存储的签约用户的标识不匹配;或者,通信设备与其***的SIM卡不匹配。
在本申请实施例中,第一网元拒绝通信设备接入通信网络,以使得通信设备断开与通信网络的连接。
若设备认证流程是在注册流程中执行的,则第一网元拒绝止通信设备接入通信网络,可以具体实现为:第一网元中断注册流程的执行。例如,第一网元为移动管理网元,则移动管理网元可以向通信设备发送注册失败消息。又例如,第一网元为认证服务网元,则认证服务网元向移动管理网元发送设备认证失败信息,以触发移动管理网元向通信设备发送注册失败消息。
若设备认证流程是在注册流程结束之后执行的,则第一网元拒绝通信设备接入通信网络,可以具体实现为:第一网元触发去注册流程。例如,第一网元为移动管理网元,移动管理网元向通信设备发送去注册请求消息。又例如,第一网元为认证服务网元,则认为服务网元向移动管理网元发送设备认证失败信息,以触发移动管理网元向通信设备发送去注册请求消息。
可选的,注册失败消息可以携带设备认证失败的原因值。设备认证失败的原因值用于说明设备认证失败的原因。
可选的,去注册请求消息可以携带设备认证失败的原因值。
上述注册失败消息和去注册请求消息可以统称为拒绝消息,拒绝消息用于断开通信设备的网络连接。
这样一来,上述注册失败消息和去注册请求消息,相当于设备认证失败信息,以使得通信设备获知设备认证失败。
S204、在设备认证成功的情况下,第一网元允许通信设备接入通信网络。
其中,设备认证成功,也可以表述为:通信设备通过设备认证。
设备认证成功,可以理解为:通信设备已存储与该通信设备所***的SIM卡相匹配的设备认证凭证;或者,通信设备存储的设备认证凭证与SIM卡存储的用户标识匹配;或者,通信设备与其***的SIM卡匹配。
在本申请实施例中,第一网元允许通信设备接入通信网络,以使得通信设备可以接入通信网络。
若设备认证流程是在注册流程中执行的,则第一网元允许通信设备接入通信网络,可以具体实现为:第一网元不中断注册流程的执行。也即,第一网元不需要做额外的操作,以使得通信设备可以继续执行注册流程。
若通信设备是在注册流程之后执行的,则第一网元允许通信设备接入通信网络,可以具体实现为:第一网元不触发去注册流程。也即,第一网元不需要做额外的操作,以使得通信设备可以保持网络连接。
可以理解的是,第一网元允许通信设备接入通信网络,不代表通信设备一定能接入通信网络。也即,虽然第一网元允许通信设备接入通信网络,但是通信设备是否能够接入通信网络,还得考虑其他流程(例如注册流程)是否能够顺利执行。
可选的,在设备认证成功的情况下,第一网元可以向通信设备发送设备认证成功信息。
基于图10所示的技术方案,在通信设备***SIM卡之后,通信设备发起SIM卡对应的移动用户的注册流程。之后,通信设备与第一网元之间执行设备认证,以验证通信设备是否与其***的SIM卡匹配。在通信设备与其***的SIM卡匹配的情况下,通信设备可以接入通信网络;在通信设备与其***的SIM卡不匹配的情况下,通信设备被第一网元禁止接入通信网络。从而,本申请实施例的技术方案能够阻止非法设备利用合法设备的SIM卡接入通信网络,保证通信网络的安全性。
下面结合具体应用场景对图10中的设备认证流程进行具体阐述。
(1)以第一网元为移动管理网元为例,假设移动管理网元集成认证服务器的功能,则如图11所示,设备认证流程可以包括以下步骤:
S301、移动管理网元向通信设备发送下行NAS消息,以使得通信设备接收到来自移动管理网元的下行NAS消息。
在本申请实施例中,该下行NAS消息根据安全上下文进行安全保护。
可选的,该下行NAS消息可以为NAS SMC消息。这样一来,设备认证流程中的信令复用了NAS SMC流程的信令,有利于节省信令开销。
其中,下行NAS消息包括设备认证请求消息。设备认证请求消息用于请求通信设备进行设备认证。
示例性的,以设备认证为EAP-TLS为例,设备认证请求消息可以为EAP-Request/Identity。
S302、通信设备向移动管理网元发送上行NAS消息,以使得移动管理网元接收到来自通信设备的上行NAS消息。
在本申请实施例中,该上行NAS消息根据安全上下文进行安全保护。
可选的,该上行NAS消息可以为NAS SMP消息。这样一来,设备认证流程中的信令复用了NAS SMC流程的信令,有利于节省信令开销。
其中,上行NAS消息包括设备认证响应消息。
在本申请实施例中,设备认证响应消息包括设备认证信息。其中,设备认证信息可以为通信设备存储的设备认证凭证;或者,设备认证信息可以是根据通信设备存储的设备认证凭证生成的认证参数。
示例性的,以设备认证为EAP-TLS为例,设备认证响应消息可以为EAP-Response/Identity(MyID)。
可以理解的是,除了上行NAS消息和下行NAS消息之外,在设备认证流程中,移动管理网元与通信设备还可以传输其他的NAS信令,以完成设备认证相关信息的交互,本申请实施例不限于此。
S303、移动管理网元根据设备认证响应消息,验证通信设备是否与其***的SIM卡相匹配。
作为一种可能的实现方式,移动管理网元从设备认证响应消息中获取通信设备存储的设备认证信息。之后,移动管理网元验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致。在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,移动管理网元确定设备认证失败。在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,移动管理网元确定设备认证成功。
可选的,如图11所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S304。
S304、移动管理网元向通信设备发送拒绝消息,以使得通信设备接收到来自移动管理网元的拒绝消息。
可以理解的是,若设备认证流程是在注册流程中执行,该拒绝消息即为注册失败消息。若设备认证流程是在注册流程结束之后执行,该拒绝消息即为去注册请求消息。
在本申请实施例中,拒绝消息可以根据安全上下文进行安全保护。
基于图11所示的技术方案,设备认证流程的相关信令在移动管理网元和通信设备之间传输时可以在NAS层上具有安全保护,从而保证通信安全。
在注册流程中执行设备认证流程,若通信设备不匹配其***的SIM卡的情况下,通信设备的注册流程可以提前被中止,从而有利于进一步地减少信令开销。
(2)以第一网元为移动管理网元为例,若移动管理网元未集成认证服务器,则如图12所示,设备认证流程可以包括以下步骤:
S401-S402、与步骤S301-S302相同,具体描述可以参考图11所示的示例,在此不再赘述。
S403、移动管理网元向认证服务器发送通信设备存储的设备认证信息。
S404、认证服务器验证通信设备是否与该通信设备***的SIM卡相匹配。
作为一种可能的实现方式,认证服务器验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致。在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,认证服务器确定设备认证失败。在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,认证服务器确定设备认证成功。
S405、认证服务器向移动管理网元发送设备认证结果。
其中,设备认证结果为:设备认证成功信息或者设备认证失败信息。
可选的,如图12所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S406。
S406、与步骤S304相同,具体描述可以参考图11所示的示例,在此不再赘述。
(3)以第一网元为认证服务网元为例,若认证服务网元集成了认证服务器的功能,则如图13所示,设备认证流程可以包括以下步骤:
S501、认证服务网元向移动管理网元发送设备认证请求消息,以使得移动管理网元接收到设备认证请求消息。
示例性的,设备认证请求消息可以承载于Namf接口信息中。
设备认证请求消息的具体描述可以参考上文,在此不再赘述。
S502-S503、与步骤S301-S302相同,具体描述可以参考图11所示的示例,在此不再赘述。
S504、移动管理网元向认证服务网元发送设备认证响应消息,以使得认证服务网元接收到移动管理网元发送的设备认证响应消息。
示例性的,设备认证响应消息可以承载于Namf接口信息中。
设备认证响应消息的具体描述可以参考上文,在此不再赘述。
S505、认证服务网元根据设备认证响应消息,验证通信设备是否与该通信设备***的SIM卡相匹配。
作为一种实现方式,认证服务网元从设备认证响应消息中获取通信设备存储的设备认证信息。之后,认证服务网元验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致。在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,认证服务网元确定设备认证失败。在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,认证服务网元确定设备认证成功。
可选的,如图13所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S506-S507。
S506、认证服务网元向移动管理网元发送设备认证失败信息,以使得移动管理网元接收来自认证服务网元的设备认证失败信息。
在本申请实施例中,若设备认证在注册流程中执行,则该设备认证失败信息用于触发移动管理网元发送注册失败消息。若设备认证在注册流程结束之后执行,则设备认证失败信息用于触发移动管理网元发起去注册流程。或者说,设备认证失败信息用于触发移动管理网元发送去注册消息。
示例性的,设备认证失败信息可以承载于Namf接口信息中。
S507、与步骤S304相同,具体描述可以参考图11所示的示例,在此不再赘述。
(4)以第一网元为认证服务网元为例,假设认证服务网元未集成认证服务器,则如图14所示,该设备认证流程可以包括以下步骤:
S601-S604、与步骤S501-S504相同,其具体描述可以参考图13所示的实施例,在此不再赘述。
S605、认证服务网元向认证服务器发送通信设备存储的设备认证信息。
S606、与步骤S404相同,其具体描述可以参考图12所示的实施例,在此不再赘述。
S607、认证服务器向认证服务网元发送设备认证结果。
可选的,如图14所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S608-S609。
S608-S609、与步骤S506-S507相同,具体描述可以参考图13所示的实施例,在此不再赘述。
(5)以通信设备为IAB node,第一网元为IAB donor为例,假设IAB donor集成了认证服务器,则如图15所示,设备认证流程包括以下步骤:
S701、IAB donor向IAB node发送下行AS消息,以使得IAB node接收来自IABdonor的下行AS消息。
在本申请实施例中,下行AS消息根据安全上下文进行安全保护。
可选的,下行AS消息为AS SMC消息。这样一来,设备认证流程中的信令复用了ASSMC流程中的信令,有利于节省信令开销。
其中,AS SMC消息包括设备认证请求消息。设备认证请求消息的具体描述可以参见上文,在此不再赘述。
需要说明的是,AS SMC消息由IAB node的MT接收。
S702、IAB node向IAB donor发送上行AS消息,以使得IAB donor接收来自IABnode的上行AS消息。
在本申请实施例中,上行AS消息根据安全上下文进行安全保护。
可选的,上行AS消息为AS SMP消息。这样一来,设备认证流程中的信令复用了ASSMC流程中的信令,有利于节省信令开销。
其中,AS SMP消息包括设备认证响应消息。设备认证响应消息的具体描述可以参见上文,在此不再赘述。
需要说明的是,AS SMP消息由IAB node的MT接收。
可以理解的是,除了上行AS消息和下行AS消息之外,在设备认证流程中,IAB node与IAB donor之间还可以传输其他的AS信令,以完成设备认证相关信息的交互,本申请实施例不限于此。
S703、IAB donor根据设备认证响应消息,验证通信设备是否与该通信设备***的SIM卡相匹配。
作为一种可能的实现方式,IAB donor验证通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致。在通信设备存储的设备认证信息与用户标识对应的设备认证信息不一致的情况下,IAB donor确定设备认证失败。在通信设备存储的设备认证信息与用户标识对应的设备认证信息一致的情况下,IAB donor确定设备认证成功。
可选的,如图15所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S704-S705。
S704、IAB donor向移动管理网元发送设备认证失败信息,以使得移动管理网元接收到来自IAB donor的设备认证失败信息。
可选的,设备认证失败信息承载于N2消息中。
在本申请实施例中,若设备认证在注册流程中执行,则该设备认证失败信息用于触发移动管理网元发送注册失败消息。若设备认证在注册流程结束之后执行,则设备认证失败信息用于触发移动管理网元发起去注册流程。或者说,设备认证失败信息用于触发移动管理网元发送去注册消息。
S705、与步骤S304相同,具体描述可以参考图11所示的示例,在此不再赘述。
(6)以通信设备为IAB node,第一网元为IAB donor为例,假设IAB donor未集成认证服务器,则如图16所示,设备认证流程包括以下步骤:
S801-S802、与步骤S701-S702相同,具体描述可以参考图16所示的实施例,在此不再赘述。
S803、IAB donor向认证服务器发送通信设备存储设备认证信息。
S804、与步骤S404相同,具体描述可以参考图12所示的实施例。
S805、认证服务器向IAB donor发送设备认证结果。
可选的,如图16所示,在设备认证失败的情况下,设备认证流程还可以包括步骤S806-S807。
S806-S807、与步骤S704-S705相同,具体描述可以参考图15所示的实施例,在此不再赘述。
需要说明的是,若通信设备为IAB node,第一网元为IAB donor,则在IAB node配置了IPsec认证凭证,并且IAB node开启IPsec功能的情况下,IAB donor可以选择IPsec认证方式对IAB node进行设备认证。这种情况下,IPsec认证凭证即相当于设备认证凭证。IPsec认证流程可以参考现有技术,在此不再赘述。需要说明的是,IAB node以DU来执行IPsec认证流程。
在以IPsec认证实现设备认证的情况下,IAB donor与IAB node之间无需再进行其他方式的设备认证。这样一来,复用现有的IPsec认证流程实现设备认证流程,有利于减少信令开销。
下面对第二网元指示第一网元对通信设备进行设备认证的具体实现方式进行介绍。
如图17所示,为本申请实施例提供一种通信方法,该通信方法包括以下步骤:
S901、第二网元接收到针对移动用户的认证请求。
示例性的,第二网元可以为UDM、或者ARPF,本申请实施例不限于此。
其中,针对移动用户的认证请求包括移动用户的用户标识。示例性的,用户标识可以为SUCI或者SUPI。
作为一种实现方式,在通信设备发起SIM卡对应的移动用户的注册流程之后,网络侧需要对SIM卡所对应的移动用户进行认证。基于此,在移动用户的认证流程中,第二网元可以接收到认证请求。
S902、第二网元判断移动用户所使用的通信设备是否需要进行设备认证。
在本申请实施例中,移动用户所使用的通信设备,即为***该移动用户所对应的SIM卡的通信设备。
需要说明的是,步骤S902可以在主鉴权流程中执行,也可以在主鉴权流程结束之后执行。
可选的,步骤S902可以采用以下实现方式中的一种或者多种:
(1)对于任意一个通信设备,第二网元均确定通信设备需要进行设备认证。
(2)第二网元判断移动用户对应的SIM卡是否绑定第一类型设备。在移动用户对应的SIM卡绑定第一类型设备的情况下,第二网元确定该移动用户所使用的通信设备需要进行设备认证。在移动用户对应的SIM未绑定第一类型设备的情况下,第二网元可以确定该移动用户所使用的通信设备部需要进行设备认证。
可选的,第二网元判断移动用户对应的SIM卡是否绑定第一类型设备,可以实现为:第二网元判断移动用户的用户标识是否在预设名单中。若移动用户的用户标识在预设名单中,则说明移动用户对应的SIM卡绑定第一类型设备;反之,移动用户的用户标识不在预设名单中,则说明该移动用户对应的SIM卡未绑定第一类型设备。
举例来说,第二网元判断移动用户的用户标识是否在IAB列表中。如果移动用户的用户标识在IAB列表中,说明该移动用户所对应的SIM卡绑定IAB node,换而言之,***该SIM卡的通信设备应为IAB node;如果移动用户的用户标识不在IAB列表中,说明该移动用户所对应的SIM卡不绑定IAB,换而言之,***该SIM卡的通信设备不应为IAB node。
需要说明的是,由于第一类型设备应使用与其绑定的SIM卡,因此网络侧有必要保证第一类型设备与其***的SIM卡是匹配的,从而在移动用户对应的SIM卡与第一类型设备绑定时,网络侧有必要对当前***该SIM卡的通信设备进行设备认证。
(3)第二网元判断移动用户所对应的SIM卡是否是第一类型的SIM卡。在移动用户所对应的SIM卡是第一类型的SIM卡的情况下,第二网元确定通信设备需要进行设备认证。在移动用户所对应的SIM卡是第二类型的SIM卡的情况下,第二网元确定通信设备不需要进行设备认证。
作为一种可能的具体实现,第二网元根据移动用户的用户标识,获取移动用户的签约数据。若移动用户的签约数据包括第一指示信息,则第二网元确定通信设备需要进行设备认证;若移动用户的签约数据不包括第一指示信息,则第二网元确定通信设备不需要进行设备认证。其中,第一指示信息用于指示移动用户对应的SIM卡是第一类型的SIM卡。
可以理解的是,在移动用户所对应的SIM卡是第一类型的SIM卡的情况下,则说明移动用户所对应的SIM卡存在被攻击者从通信设备中拔出的风险。因此,网络侧需要对当前***该SIM卡的通信设备进行设备验证,以确保通信设备与其***的SIM卡是匹配的。
(4)第二网元判断通信设备是否以存储的IPsec认证凭证进行IPsec认证。若通信设备以存储的IPsec认证凭证进行IPsec认证,则第二网元确定通信设备不需要进行设备认证。若通信设备不进行IPsec认证,或者通信设备未存储IPsec认证凭证,则第二网元确定通信设备不需要进行设备认证。
作为一种可能的实现方式,第二网元根据移动用户的用户标识,获取IPsec配置信息。若IPsec配置信息用于指示通信设备已开启IPsec功能且通信设备预先存储IPsec认证凭证,则第二网元可以确定通信设备需要进行设备认证。若IPsec配置信息用于指示通信设备未开启IPsec功能,或者IPsec配置信息用于指示通信设备未预先存储IPsec认证凭证,则第二网元可以确定通信设备需要进行设备认证。
可以理解的是,在通信设备以存储的IPsec认证凭证进行IPsec认证的情况下,若通信设备通过IPsec认证,则说明通信设备是可信的。因此,网络侧无需再次对通信设备进行设备认证。从而,第二网元可以确定通信设备不需要进行设备认证。
需要说明的是,实现方式(4)适用于通信设备为IAB node的场景下。
以上实现方式(1)至实现方式(4)仅是示例,本申请实施例不限于此。
在本申请实施例中,在第二网元确定通信设备需要进行设备认证的情况下,第二网元执行下述步骤S903。
S903、第二网元向第一网元发送设备认证指示,以使得第一网元接收到设备认证指示。
其中,设备认证指示用于指示通信设备需要进行设备认证。
基于图17所示的技术方案,在通信设备发起SIM卡对应的移动用户的注册流程之后,第二网元根据接收到的针对移动用户的认证请求,判断移动用户所使用的通信设备是否需要进行设备认证。并且,在通信设备需要进行设备认证的情况下,第二网元向第一网元发送设备认证指示,以使得第一网元对通信设备进行设备认证,从而验证通信设备与其***的SIM是否匹配,以防范非法设备利用合法设备的SIM卡以接入通信网络的情况发生。
可选的,如图17所示,在第二网元预先存储了设备认证凭证的情况下,该通信方法还可以包括步骤S904-S905。
S904、第二网元获取移动用户对应的设备认证信息。
作为一种可能的实现方式,第二网元根据用户标识、以及预先存储的用户标识与设备认证凭证的绑定关系,确定与该用户标识绑定的设备认证凭证。进而,第二网元可以根据该设备认证凭证,确定移动用户对应的设备认证信息。
其中,设备认证信息可以为设备认证凭证;或者,设备认证信息可以是根据设备认证凭证生成的认证参数。
示例性的,用户标识与设备认证凭证的绑定关系可以参见表1。结合表1进行举例说明,若用户标识为SUIP#1,则第二网元可以确定相应的设备认证凭证为设备认证凭证#1。
表1
| 用户标识 | 设备认证凭证 |
| SUIP#1 | 设备认证凭证#1 |
| SUIP#2 | 设备认证凭证#2 |
| SUIP#3 | 设备认证凭证#3 |
| …… | …… |
S905、第二网元根据设备认证凭证,向第一网元发送设备认证信息。
可以理解的是,设备认证信息可以与设备认证指示承载于相同的信令中;或者,设备认证信息可以与设备认证指示承载于不同的信令中,本申请实施例不限于此。
基于上述步骤S904-S905,第一网元可以获取设备认证信息,以便于第一网元与通信设备进行设备认证。
可以理解的是,若第二网元未存储设备认证凭证,则第二网元可以不执行上述步骤S904-S905。
一种可能的设计中,在第一网元对通信设备进行设备认证之后,若通信设备通过设备认证,如图18所示,为本申请实施例提供的一种通信方法,该通信方法包括以下步骤S11001-S1002。
S1001、第一网元向第二网元发送设备认证成功信息,以使得第二网元接收到来自第一网元的设备认证成功信息。
以第一网元为AMF或者AUSF,第二网元为UDM为例,设备认证成功信息可以承载于Nudm服务接口消息中,本申请实施例不限于此。
S1002、第二网元从移动用户的签约数据中删除告警信息。
可以理解的是,步骤S1002是可选的。例如,在移动用户的签约数据不包括告警信息的情况下,第二网元可以不执行步骤S1002。
基于步骤S1001-S1002,在通信设备通过设备认证的情况下,第二网元从移动用户的签约数据中删除告警信息,以避免在通信设备下一次接入通信网络时,通信设备还需要再次执行设备认证,简化通信设备的接入流程,减少信令开销。
一种可能的设计中,在第一网元对通信设备进行设备认证之后,若通信设备未通过设备认证,如图19所示,为本申请实施例提供的一种通信方法,该通信方法包括以下步骤S1101-S1102。其中,步骤S1102是可选的。
S1101、第一网元向第二网元发送设备认证失败信息,以使得第二网元接收设备认证失败信息。
以第一网元为AMF或者AUSF,第二网元为UDM为例,设备认证失败信息可以承载于Nudm服务接口消息中,本申请实施例不限于此。
S1102、第二网元将移动用户的用户标识加入黑名单。
其中,黑名单用于记录至少一个禁止接入通信网络的移动用户的用户标识。
基于步骤S1101-S1102,若通信设备未通过设备认证,则说明通信设备与其***的SIM卡之间是不匹配的,从而说明该通信设备可能是非法设备,并且该SIM卡落入攻击者手中。基于此,第一网元将SIM卡对应的用户标识加入黑名单中,以禁止该SIM卡的使用,从而阻止非法设备利用该SIM卡接入通信网络,保证通信网络的安全性。
下面结合主鉴权流程对图17所示的通信方法进行展开说明。
以第二网元为UDM为例,UDM可以在主鉴权流程中判断通信设备是否需要进行设备认证;并且,在UDM确定通信设备需要进行设备认证的情况下,UDM复用主鉴权流程中的信令向第一网元发送设备认证指示。
如图20所示,为本申请实施例提供的一种通信方法,该通信方法包括以下步骤:
S1201、通信设备向AMF发送N1消息,以使得AMF接收来自通信设备的N1消息。
其中,N1消息包括用户标识。示例性的,N1消息包括SUCI或者5G-GUTI。
S1202、AMF向AUSF发送第一认证请求消息,以使得AUSF接收来自AMF的第一认证请求消息。
其中,第一认证请求消息包括:SUCI/SUPI、以及服务网络名称(server networkname,SN name)。
示例性的,第一认证请求消息可以为Nausf_UEAuthentication_AuthenticateRequest。
作为一种实现方式,AMF根据5G-GUTI中的SN name或者SUCI中的路由标识,确定AUSF和UDM;之后,AMF向AUSF发送第一认证请求消息。
S1203、AUSF向UDM发送第二认证请求消息,以使得UDM接收来自ASUF的第二认证请求消息。
其中,第二认证请求消息包括:SUCI/SUPI、以及SN name。
示例性的,第一认证请求消息可以为Nudm_UEAuthentication_Get Request。
在本申请实施例中,第二认证请求消息即相当于图17中所提到的针对移动用户的认证请求。
S1204、UDM判断通信设备是否需要进行设备认证。
其中,步骤S1204的具体描述可以参考图17所示的实施例,在此不再赘述。
S1205、UDM向AUSF发送第二认证请求响应信息,以使得AUSF接收到第二认证响应消息。
其中,第二认证响应消息用于响应第二认证请求消息。第二认证响应消息包括:认证向量、以及SUPI。
示例性的,在主鉴权采用EAP-AKA'方案的情况下,认证向量可以为EAP-AKA'AV。在主鉴权采用5G AKA方案的情况下,认证向量可以为5G HE AV。
示例性的,第二认证响应消息可以为Nudm_UEAuthentication_Get Response。
在本申请实施例中,在UDM确定通信设备需要设备认证的情况下,第二认证响应消息还包括设备认证指示。在UDM确定通信设备不需要设备认证的情况下,第二认证响应消息不包括设备认证指示。
S1206、AUSF向AMF发送第一认证响应消息,以使得AMF接收来自于AUSF的第一认证响应消息。
其中,第一认证响应消息用于响应第一认证请求消息。
在第二设备第一认证响应消息可以包括设备认证指示。
示例性的,在主鉴权采用EAP-AKA'方案的情况下,第一认证响应消息还包括:EAPRequest/-AKA'-Challenge。在主鉴权采用5G AKA方案的情况下,第一认证响应消息可以包括:5G SE AV。
示例性的,第一认证响应消息为Nausf_UEAuthentication_AuthenticateResponse。
在本申请实施例中,若第一网元为ASUF,则无论通信设备是否需要设备认证,第一认证响应消息均不包括设备认证指示。
在本申请实施例中,若第一网元为AMF,则在第二认证响应消息包括设备认证指示的情况下,第一认证响应消息同样包括设备认证指示;在第二认证响应消息不包括设备认证指示的情况下,第一认证响应消息不包括设备认证指示。
基于图20所示的技术方案,UDM可以在主鉴权流程中,复用主鉴权流程的信令向AMF/AUSF发送设备认证指示,有利于减少信令开销。
需要说明的是,图20仅介绍了主鉴权流程中的部分步骤,主鉴权流程还存在其他步骤,本申请实施例在此不一一介绍。
下面结合一个具体实施例来结合说明图10所示的技术方案和图17所示的技术方案。
如图21所示,为本申请实施例提供的一种通信方法,该通信方法包括以下步骤:
S1301、IAB node的MT向AMF发送注册请求消息。
S1302、IAB node的MT与网络侧之间执行主鉴权流程。
S1303、在主鉴权流程结束之后,UDM判断IAB node是否需要进行设备认证。
其中,步骤S1303可以参考图17所示的实施例,在此不再赘述。
S1304、在确定IAB node需要进行设备认证的情况下,UDM向AMF发送设备认证指示。
其中,该设备认证指示可以承载于Nudm接口消息中,例如Nudm_SDM_info。
S1305、在确定IAB node需要进行设备认证的情况下,UDM向AAA服务器发送设备标识。
其中,该设备标识与MT所***的SIM卡存储的用户标识之间是绑定的。
需要说明的是,在主鉴权流程之中,UDM可以获取到MT所***的SIM卡存储的用户标识。并且,UDM存储了用户标识与设备标识之间的绑定关系,从而UDM可以根据MT所***的SIM卡存储的用户标识,确定相应的设备标识。
AAA服务器在接收到该设备标识之后,可以根据该设备标识,确定对应的设备认证凭证,以便于接下来的设备认证流程中使用。
可选的,AAA服务器可以集成在核心网网元上。
S1306、AMF向IAB node的MT发送标识请求消息(例如ID request)。
其中,标识请求消息用于请求MT的设备认证信息。
S1307、IAB node的MT向AMF发送标识响应消息(例如ID response)。
其中,标识响应消息包括MT的设备认证信息。
S1308、AMF向AAA服务器发送设备鉴权请求消息。
其中,设备鉴权请求消息包括设备认证信息。
示例性的,设备鉴权请求消息可以为Device authentication request。
S1309、AAA服务器与IAB node的MT之间执行设备认证流程中的信令交互过程。
可以理解的是,步骤S1309是可选的。该信令交互过程所涉及到的信令可以参考现有技术,在此不予赘述。
在本申请实施例中,AAA服务器根据设备认证信息,确定MT存储的设备认证凭证;之后,AAA服务器检验设备标识对应的设备认证凭证与MT存储的设备认证凭证是否一致,以确定设备认证的结果。
在设备认证成功的情况下,AAA服务器执行下述步骤S1310。在设备认证失败的情况下,AAA服务器执行下述步骤S1311。
S1310、AAA服务器向AMF发送设备认证成功信息。
可以理解的是,AMF在接收到设备认证成功信息之后,AMF继续执行注册流程中的其他步骤。
S1311、AAA服务器向AMF设备发送设备认证失败信息。
可以理解的是,AMF在接收到设备认证失败信息之后,AMF向IAB node的MT发送注册失败消息,以阻止IAB node接入通信网络。
上述主要从每一个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,每一个网元,例如通信设备、数据管理网元、以及认证网元,为了实现上述功能,其包含了执行每一个功能相应的硬件结构或软件模块,或两者结合。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对网络设备和终端进行功能模块的划分,例如,可以对应每一个功能划分每一个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。下面以采用对应每一个功能划分每一个功能模块为例进行说明:
如图22所示,为本申请实施例提供的一种通信设备的结构示意图。该通信设备包括:处理模块201和通信模块202。其中,处理模块201用于执行图7中的步骤S101和S103,图10中的步骤S202,等。通信模块202用于执行图7中的步骤S102,图8中的步骤S102a和S1031a,图9中的步骤S102b和S1031b,图10的步骤S201,图11中的步骤S301、S302和S304,图12中的步骤S401、S402和S406,图13中的步骤S502、S503和S507,图14中的步骤S602、S603和S609,图15中的步骤S701、S702和S705,图16中的步骤S801、S802和S807,等。
作为一个示例,结合图6所示的通信装置,图22中的处理模块201可以由图6中的处理器101来实现,图22中的通信模块202可以由图6中的通信接口104来实现,本申请实施例对此不作任何限制。
如图23所示,为本申请实施例提供的一种第一网元的结构示意图。该第一网元包括:处理模块301和通信模块302。处理模块301用于执行图10中的步骤S202,图11中的步骤S303,图13中的步骤S505,图15中的步骤S703等。通信模块302用于执行图10中的步骤S203或S204,图11中的步骤S301、S302、S304,图12中的步骤S401、S402、S403、S405和S406,图13中的步骤S501、S504和S506,图14中的步骤S601、S604、S605、S607和S608,图15中的步骤S701、S702和S704,图16中的步骤S801、S802、S803、S805和S806,图17中的步骤S903和S904,图18中的步骤S1001,图19中的步骤S1101等。
作为一个示例,结合图6所示的通信装置,图23中的处理模块301可以由图6中的处理器101来实现,图23中的通信模块302可以由图6中的通信接口104来实现,本申请实施例对此不作任何限制。
如图24所示,为本申请实施例提供的一种第二网元的结构示意图。该第二网元包括:处理模块401和通信模块402。其中,处理模块401用于执行图17中的步骤S902和S904,图18中的步骤S1002,图19中的步骤S1102,等。通信模块402用于执行图17中的步骤S903和S904,图18中的步骤S1001,图19中的步骤S1101,等。
作为一个示例,结合图6所示的通信装置,图24中的处理模块401可以由图6中的处理器101来实现,图24中的通信模块402可以由图6中的通信接口104来实现,本申请实施例对此不作任何限制。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机指令;当所述计算机可读存储介质在计算机上运行时,使得该计算机执行本申请实施例所提供的方法。
本申请实施例还提供了一种包含计算机指令的计算机程序产品,当其在计算机上运行时,使得计算机可以执行本申请实施例提供的方法。
本申请实施例提供一种芯片,该芯片包括处理器,该处理器执行指令时,使得该芯片可以执行本申请实施例提供的方法。
应理解,所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质、或者半导体介质(例如固态硬盘)等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
应该理解到,在本申请所提供的几个实施例中所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (54)
1.一种通信***,其特征在于,包括通信设备和网络设备;其中,通信设备安装有用户识别模块SIM卡;
所述通信设备,用于确定所述SIM卡被拔出;向网络设备发送告警信息,所述告警信息用于指示所述通信设备中的SIM卡已被拨出,所述告警信息根据所述通信设备存储的安全上下文进行安全保护;删除所述安全上下文;
所述网络设备,用于接收所述告警信息;存储所述告警信息。
2.根据权利要求1所述的通信***,其特征在于,
所述通信设备,用于确定所述SIM卡被拔出,包括:确定与所述SIM卡的连接中断;或者,确定无法从所述SIM卡读取信息。
3.根据权利要求1或2所述的通信***,其特征在于,所述网络设备为移动管理网元;
所述通信设备,用于向网络设备发送告警信息,包括:向所述移动管理网元发送根据所述安全上下文进行非接入层NAS安全保护的NAS信令,所述NAS信令包括所述告警信息;
所述网络设备,用于接收所述告警信息,包括:接收所述NAS信令。
4.根据权利要求3所述的通信***,其特征在于,
所述通信设备,用于删除所述安全上下文,包括:接收所述移动管理网元发送的被安全保护的NAS确认消息;使用所述安全上下文解安全保护所述NAS确认消息之后,删除所述安全上下文。
5.根据权利要求1或2所述的通信***,其特征在于,所述网络设备为接入网设备;
所述通信设备,用于向网络设备发送告警信息,包括:向所述接入网设备发送根据所述安全上下文进行接入层AS安全保护的AS信令,所述AS信令包括所述告警信息;
所述网络设备,用于接收所述告警信息,包括:接收所述AS信令。
6.根据权利要求5所述的通信***,其特征在于,
所述通信设备,用于删除所述安全上下文,包括:接收所述接入网设备发送的被安全保护的AS确认消息;使用所述安全上下文解安全保护所述AS确认消息之后,删除所述安全上下文。
7.根据权利要求1所述的通信***,其特征在于,
所述通信设备,用于删除所述安全上下文,包括:在配置的定时器超时之后,删除所述安全上下文;所述定时器在所述通信设备发送所述告警信息之后开始计时,或者,所述定时器在所述通信设备确定所述SIM卡被拨出之后开始计时。
8.一种通信方法,其特征在于,所述方法应用于通信设备,所述通信设备安装有用户识别模块SIM卡;
所述通信设备确定所述SIM卡被拔出;
所述通信设备向网络设备发送告警信息,所述告警信息用于指示所述通信设备中的SIM卡已被拨出,所述告警信息根据所述通信设备存储的安全上下文进行安全保护;
所述通信设备删除所述安全上下文。
9.根据权利要求8所述的通信方法,其特征在于,所述通信设备确定所述SIM卡被拔出,包括:
所述通信设备确定与所述SIM卡的连接中断;或者,
所述通信设备确定无法从所述SIM卡读取信息。
10.根据权利要求8或9所述的通信方法,其特征在于,在所述网络设备为移动管理网元的情况下,所述通信设备向网络设备发送告警信息,包括:
所述通信设备向所述移动管理网元发送根据所述安全上下文进行非接入层NAS安全保护的NAS信令,所述NAS信令包括所述告警信息。
11.根据权利要求10所述的通信方法,其特征在于,所述通信设备删除所述安全上下文,包括:
所述通信设备接收到所述移动管理网元发送的被安全保护的NAS确认消息;
所述通信设备在使用所述安全上下文解安全保护所述NAS确认消息之后,删除所述安全上下文。
12.根据权利要求8或9所述的通信方法,其特征在于,在所述网络设备为接入网设备的情况下,则所述通信设备向网络设备发送告警信息,包括:
所述通信设备向所述接入网设备发送根据所述安全上下文进行接入层AS安全保护的AS信令,所述AS信令包括所述告警信息。
13.根据权利要求12所述的通信方法,其特征在于,所述通信设备删除所述安全上下文,包括:
所述通信设备接收所述接入网设备发送的被安全保护的AS确认消息;
所述通信设备在使用所述安全上下文解安全保护所述AS确认消息之后,删除所述安全上下文。
14.根据权利要求8所述的通信方法,其特征在于,所述通信设备删除所述安全上下,包括:
所述通信设备在配置的定时器超时之后,删除所述安全上下文;所述定时器在所述通信设备发送所述告警信息之后开始计时,或者,所述定时器在所述通信设备确定所述SIM卡被拨出之后开始计时。
15.一种通信装置,其特征在于,包括处理器和通信接口,所述处理器用于执行计算机程序指令,使得所述通信装置实现权利要求8至14任一项所述的通信方法。
16.一种通信***,其特征在于,包括第一网元和第二网元;
所述第二网元,用于接收针对移动用户的认证请求,所述认证请求包括所述移动用户的用户标识;确定所述移动用户所使用的通信设备需要进行认证;向所述第一网元发送设备认证指示,所述设备认证指示用于指示所述通信设备需要进行设备认证,所述设备认证用于判断所述通信设备与所述移动用户对应的用户识别模块SIM卡是否匹配;
所述第一网元,用于接收设备认证指示;对所述通信设备进行设备认证;
所述移动用户所使用的通信设备需要进行认证,包括以下情形之一:
所述移动用户的签约数据中存在告警信息,所述告警信息用于指示所述移动用户对应的SIM卡已被拔出;
所述移动用户绑定第一类型设备,所述第一类型设备为与SIM卡具有绑定关系的通信设备;
所述SIM卡为物理卡片;
所述移动用户对应的互联网安全协议IPsec配置信息用于指示IPsec功能未开启,或者,未存储IPsec认证凭证。
17.根据权利要求16所述的通信***,其特征在于,
所述第二网元,还用于根据所述移动用户的用户标识获取对应的设备认证信息,并向所述第一网元发送所述设备认证信息;所述设备认证信息为设备认证凭证,或者,所述设备认证信息是根据所述设备认证凭证生成的认证参数;
所述第一网元,还用于接收设备认证信息。
18.根据权利要求16至17任一项所述的通信***,其特征在于,
所述第一网元,还用于向所述第二网元发送设备认证成功信息,所述设备认证成功信息用于指示所述通信设备通过设备认证;
所述第二网元,还用于接收设备认证成功信息;将所述移动用户的签约数据中的告警信息删除。
19.根据权利要求16所述的通信***,其特征在于,
所述第一网元,用于对所述通信设备进行设备认证,包括:在注册流程中对所述通信设备进行设备认证;或者,在注册流程结束之后对所述通信设备进行设备认证。
20.根据权利要求19所述的通信***,其特征在于,所述第一网元为移动管理网元;
所述第一网元,用于对所述通信设备进行设备认证,包括:向通信设备发送下行非接入层NAS消息,所述下行NAS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;接收来自于所述通信设备的上行NAS消息,所述上行NAS包括所述通信设备存储的设备认证信息;验证所述通信设备存储的设备认证信息是否与所述用户标识对应的设备认证信息一致;在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
21.根据权利要求19所述的通信***,其特征在于,所述第一网元为移动管理网元;
所述第一网元,用于对所述通信设备进行设备认证,包括:向所述通信设备发送下行非接入层NAS消息,所述下行NAS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;接收来自于所述通信设备的上行NAS消息,所述上行NAS包括所述通信设备存储的设备认证信息;将所述通信设备存储的设备认证信息发送给认证服务器;接收所述认证服务器发送的设备认证成功信息或者设备认证失败信息。
22.根据权利要求20或21所述的通信***,其特征在于,所述下行NAS消息为NAS安全模式命令SMC消息,所述上行NAS消息为NAS安全模式完成SMP消息。
23.根据权利要求19至21任一项所述的通信***,其特征在于,
所述第一网元,还用于在设备认证失败的情况下,向所述通信设备发送注册失败消息,所述注册失败消息包括设备认证失败的原因值。
24.根据权利要求22所述的通信***,其特征在于,
所述第一网元,还用于在设备认证失败的情况下,向所述通信设备发送注册失败消息,所述注册失败消息包括设备认证失败的原因值。
25.根据权利要求19至21任一项所述的通信***,其特征在于,
所述第一网元,还用于在设备认证失败的情况下,向所述通信设备发送去注册请求消息,所述去注册请求消息包括设备认证失败的原因值。
26.根据权利要求19所述的通信***,其特征在于,所述第一网元为接入网设备;
所述第一网元,用于对所述通信设备进行设备认证,包括:向通信设备发送下行接入层AS消息,所述下行AS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;接收来自于所述通信设备的上行AS消息,所述上行AS包括所述通信设备存储的设备认证信息;验证所述通信设备存储的设备认证信息是否与所述用户标识对应的设备认证信息一致;在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息不一致的情况下,确定设备认证失败;在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息一致的情况下,确定设备认证成功。
27.根据权利要求19所述的通信***,其特征在于,所述第一网元为接入网设备;
所述第一网元,用于对所述通信设备进行设备认证,包括:向所述通信设备发送下行接入层AS消息,所述下行AS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;接收来自于所述通信设备的上行AS消息,所述上行AS包括所述通信设备存储的设备认证信息;将所述通信设备存储的设备认证信息发送给认证服务器;接收所述认证服务器发送的设备认证成功信息或者设备认证失败信息。
28.根据权利要求26至27任一项所述的通信***,其特征在于,所述下行AS消息为AS安全模式命令SMC消息,所述上行AS消息为AS安全模式完成SMP消息。
29.根据权利要求26至27任一项所述的通信***,其特征在于,
所述第一网元,还用于在设备认证失败的情况下,向移动管理网元发送设备认证失败消息,所述设备认证失败消息用于指示所述移动管理网元拒绝所述通信设备接入网络。
30.一种通信方法,其特征在于,所述方法应用于通信设备,所述通信设备安装有用户识别模块SIM卡;所述方法包括:
第一网元从第二网元接收告警信息,所述告警信息用于指示SIM卡已从移动用户中被拔出;所述SIM卡与所述移动用户绑定;
通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,所述设备认证用于判断所述通信设备与所述SIM卡是否匹配;
在所述通信设备与所述SIM卡不匹配的情况下,所述通信设备断开与网络的连接。
31.根据权利要求30所述的通信方法,其特征在于,所述通信设备与第一网元之间执行设备认证,包括:
所述通信设备在注册流程中与所述第一网元进行设备认证;或者,
所述通信设备在所述注册流程结束之后与所述第一网元进行设备认证。
32.根据权利要求31所述的通信方法,其特征在于,所述第一网元为移动管理网元;
所述通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,包括:
所述通信设备接收所述移动管理网元发送的下行非接入层NAS消息,所述下行NAS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述通信设备向所述移动管理网元发送上行NAS消息,所述上行NAS包括所述通信设备存储的设备认证信息。
33.根据权利要求32所述的通信方法,其特征在于,所述下行NAS消息为NAS安全模式命令SMC消息,所述上行NAS消息为NAS安全模式完成SMP消息。
34.根据权利要求31所述的通信方法,其特征在于,所述第一网元为接入网设备;
所述通信设备在通过注册流程成功完成主鉴权之后与第一网元进行设备认证,包括:
所述通信设备接收所述接入网设备发送的下行接入层AS消息,所述下行AS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述通信设备向所述接入网设备发送上行AS消息,所述上行AS包括所述通信设备存储的设备认证信息。
35.根据权利要求30至34任一项所述的通信方法,其特征在于,在所述通信设备断开与网络的连接之前,所述方法还包括:
所述通信设备接收到注册失败消息,所述注册失败消息包括设备认证失败的原因值;或者,
所述通信设备接收到去注册请求消息,所述去注册请求消息包括设备认证失败的原因值。
36.根据权利要求30所述的通信方法,其特征在于,所述通信设备断开与网络的连接,包括:
所述通信设备删除与所述SIM卡对应的安全上下文。
37.一种通信方法,其特征在于,所述方法包括:
第一网元从第二网元接收告警信息,所述告警信息用于指示移动用户对应的SIM卡已被拔出;
第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,所述设备认证用于判断所述通信设备与所述移动用户对应的用户识别模块SIM卡是否匹配;其中,所述通信设备安装有所述SIM卡,所述SIM卡包括所述移动用户的身份信息;
所述第一网元在设备认证失败的情况下,拒绝所述通信设备接入网络。
38.根据权利要求37所述的通信方法,其特征在于,所述第一网元对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元接收到第二网元发送的设备认证指示,所述设备认证指示用于指示所述通信设备需要进行设备认证;
所述第一网元根据所述设备认证指示,对所述通信设备进行设备认证。
39.根据权利要求37或38所述的通信方法,其特征在于,所述第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元在注册流程中对所述通信设备进行设备认证;或者,
所述第一网元在所述注册流程结束之后对所述通信设备进行设备认证。
40.根据权利要求39所述的通信方法,其特征在于,所述第一网元为移动管理网元;
所述第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元向通信设备发送下行非接入层NAS消息,所述下行NAS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述第一网元接收来自于所述通信设备的上行NAS消息,所述上行NAS包括所述通信设备存储的设备认证信息;
所述第一网元验证所述通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;
在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息不一致的情况下,所述第一网元确定设备认证失败;
在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息一致的情况下,所述第一网元确定设备认证成功。
41.根据权利要求39所述的通信方法,其特征在于,所述第一网元为接入网设备;
所述第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元向所述通信设备发送下行非接入层NAS消息,所述下行NAS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述第一网元接收来自于所述通信设备的上行NAS消息,所述上行NAS包括所述通信设备存储的设备认证信息;
所述第一网元将所述通信设备存储的设备认证信息发送给认证服务器;接收所述认证服务器发送的设备认证成功信息或者设备认证失败信息。
42.根据权利要求40或41所述的通信方法,其特征在于,所述第一网元在设备认证失败的情况下,拒绝所述通信设备接入网络,包括:
所述第一网元向所述通信设备发送注册失败消息,所述注册失败消息包括设备认证失败的原因值。
43.根据权利要求40或41所述的通信方法,其特征在于,所述第一网元在设备认证失败的情况下,拒绝所述通信设备接入网络,包括:
所述第一网元向所述通信设备发送去注册请求消息,所述去注册请求消息包括设备认证失败的原因值。
44.根据权利要求39所述的通信方法,其特征在于,所述第一网元为接入网设备;
所述第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元向通信设备发送下行接入层AS消息,所述下行AS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述第一网元接收来自于所述通信设备的上行AS消息,所述上行AS包括所述通信设备存储的设备认证信息;
所述第一网元验证所述通信设备存储的设备认证信息是否与用户标识对应的设备认证信息一致;
在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息不一致的情况下,所述第一网元确定设备认证失败;
在所述通信设备存储的设备认证信息与所述用户标识对应的设备认证信息一致的情况下,所述第一网元确定设备认证成功。
45.根据权利要求39所述的通信方法,其特征在于,所述第一网元为接入网设备;
所述第一网元在移动用户的注册流程中对所述移动用户完成主鉴权之后,对所述移动用户使用的通信设备进行设备认证,包括:
所述第一网元向所述通信设备发送下行接入层AS消息,所述下行AS消息包括设备认证请求消息,所述设备认证请求消息用于请求所述通信设备进行设备认证;
所述第一网元接收来自于所述通信设备的上行AS消息,所述上行AS包括所述通信设备存储的设备认证信息;
所述第一网元将所述通信设备存储的设备认证信息发送给认证服务器;
所述第一网元接收所述认证服务器发送的设备认证成功信息或者设备认证失败信息。
46.一种通信方法,其特征在于,所述方法包括:
第二网元在移动用户的注册流程中确定所述移动用户使用的通信设备需要进行设备认证,所述设备认证用于判断所述通信设备是否与所述移动用户对应的用户识别模块SIM卡相匹配;其中,所述通信设备安装有所述SIM卡,所述SIM卡包括所述移动用户的身份信息;
所述第二网元向第一网元发送设备认证指示,所述设备认证指示用于指示所述通信设备需要进行设备认证;
所述第二网元确定所述通信设备需要进行设备认证,包括:
若所述移动用户的签约数据中存在告警信息,则第二网元确定所述通信设备需要进行设备认证,所述告警信息用于指示所述移动用户对应的SIM卡已被拔出。
47.根据权利要求46所述的通信方法,其特征在于,所述方法还包括:
所述第二网元获取所述移动用户对应的设备认证信息;所述设备认证信息为所述移动用户绑定的设备认证凭证,或者,所述设备认证信息为根据所述设备认证凭证生成的认证参数;
所述第二网元向所述第一网元发送所述设备认证信息。
48.根据权利要求46或47所述的通信方法,其特征在于,所述第二网元确定所述通信设备需要进行设备认证,包括:
若所述移动用户绑定第一类型设备,则第二网元确定所述通信设备需要进行设备认证,所述第一类型设备为与SIM卡具有绑定关系的通信设备。
49.根据权利要求46或47所述的通信方法,其特征在于,所述第二网元确定所述通信设备需要进行设备认证,包括:
若所述移动用户对应的SIM卡为物理卡片,则第二网元确定所述通信设备需要进行设备认证。
50.根据权利要求46或47所述的通信方法,其特征在于,所述第二网元确定所述通信设备需要进行设备认证,包括:
若所述移动用户对应的互联网安全协议IPsec配置信息用于指示IPsec功能未开启,或者,未存储IPsec认证凭证,则第二网元确定所述通信设备需要进行设备认证。
51.根据权利要求46所述的通信方法,其特征在于,所述方法还包括:
所述第二网元接收所述第一网元发送的设备认证失败信息,所述设备认证失败信息用于指示所述通信设备未通过设备认证;
所述第二网元将所述移动用户的签约数据中的告警信息删除。
52.一种通信装置,其特征在于,包括处理器和通信接口,所述处理器用于执行计算机程序指令,使得所述通信装置实现权利要求30至36任一项所述的通信方法。
53.一种通信装置,其特征在于,包括处理器和通信接口,所述处理器用于执行计算机程序指令,使得所述通信装置实现权利要求37至45任一项所述的通信方法。
54.一种通信装置,其特征在于,包括处理器和通信接口,所述处理器用于执行计算机程序指令,使得所述通信装置实现权利要求46至51任一项所述的通信方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2019/101249 WO2021031054A1 (zh) | 2019-08-18 | 2019-08-18 | 通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114223231A CN114223231A (zh) | 2022-03-22 |
| CN114223231B true CN114223231B (zh) | 2023-11-10 |
Family
ID=74659574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980099291.5A Active CN114223231B (zh) | 2019-08-18 | 2019-08-18 | 通信方法及装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220174497A1 (zh) |
| EP (1) | EP4013091A4 (zh) |
| CN (1) | CN114223231B (zh) |
| BR (1) | BR112022003179A2 (zh) |
| WO (1) | WO2021031054A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11861048B2 (en) * | 2022-03-31 | 2024-01-02 | Motorola Solutions, Inc. | Operation mode selection and synchronization for converged devices |
| CN114553601B (zh) * | 2022-04-25 | 2022-08-23 | 龙旗电子(惠州)有限公司 | 信息校验方法、装置、设备和介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101521886A (zh) * | 2009-01-21 | 2009-09-02 | 北京握奇数据***有限公司 | 一种对终端和电信智能卡进行认证的方法和设备 |
| CN101527909A (zh) * | 2009-04-08 | 2009-09-09 | 中兴通讯股份有限公司 | 一种实现接入认证的方法、装置及一种移动终端 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | ***通信集团公司 | 无线终端机卡互锁的方法、***和管理平台 |
| CN102711108A (zh) * | 2012-06-07 | 2012-10-03 | 北京慧眼智行科技有限公司 | 用于对移动终端的鉴权信息进行管理的方法和*** |
| CN103108327A (zh) * | 2011-11-15 | 2013-05-15 | ***通信集团公司 | 验证终端设备和用户卡安全关联的方法、装置及*** |
| CN103338431A (zh) * | 2013-05-28 | 2013-10-02 | 中国联合网络通信集团有限公司 | 防盗方法、装置与防盗终端 |
| CN104244227A (zh) * | 2013-06-09 | 2014-12-24 | ***通信集团公司 | 一种物联网***中终端接入认证的方法及装置 |
| CN105101194A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 终端安全认证方法、装置及*** |
| CN109104720A (zh) * | 2018-10-22 | 2018-12-28 | 重庆邮电大学 | 一种基于SIM卡用户授权的eSIM卡写入方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100800792B1 (ko) * | 2006-08-07 | 2008-02-04 | 삼성전자주식회사 | 휴대단말기의 통화기능 수행방법 |
| CN101330387B (zh) * | 2008-07-24 | 2010-12-08 | 华为终端有限公司 | 一种机卡认证的方法、通讯设备和认证*** |
| JP2012242949A (ja) * | 2011-05-17 | 2012-12-10 | Sony Corp | 情報処理装置および方法、記録媒体、並びにプログラム |
| CN103037310A (zh) * | 2012-12-14 | 2013-04-10 | 北京网秦天下科技有限公司 | 移动终端智能防盗方法和移动终端 |
| US10477400B2 (en) * | 2017-08-10 | 2019-11-12 | Qualcomm Incorporated | Forbidden network list management |
| CN107979692A (zh) * | 2017-11-17 | 2018-05-01 | 珠海市魅族科技有限公司 | 终端防盗方法及装置、计算机装置和计算机可读存储介质 |
-
2019
- 2019-08-18 CN CN201980099291.5A patent/CN114223231B/zh active Active
- 2019-08-18 WO PCT/CN2019/101249 patent/WO2021031054A1/zh unknown
- 2019-08-18 EP EP19942412.8A patent/EP4013091A4/en active Pending
- 2019-08-18 BR BR112022003179A patent/BR112022003179A2/pt unknown
-
2022
- 2022-02-18 US US17/675,784 patent/US20220174497A1/en active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101686572A (zh) * | 2008-09-26 | 2010-03-31 | ***通信集团公司 | 无线终端机卡互锁的方法、***和管理平台 |
| CN101521886A (zh) * | 2009-01-21 | 2009-09-02 | 北京握奇数据***有限公司 | 一种对终端和电信智能卡进行认证的方法和设备 |
| CN101527909A (zh) * | 2009-04-08 | 2009-09-09 | 中兴通讯股份有限公司 | 一种实现接入认证的方法、装置及一种移动终端 |
| CN101600205A (zh) * | 2009-07-10 | 2009-12-09 | 华为技术有限公司 | Sim卡用户设备接入演进网络的方法和相关设备 |
| CN103108327A (zh) * | 2011-11-15 | 2013-05-15 | ***通信集团公司 | 验证终端设备和用户卡安全关联的方法、装置及*** |
| CN102711108A (zh) * | 2012-06-07 | 2012-10-03 | 北京慧眼智行科技有限公司 | 用于对移动终端的鉴权信息进行管理的方法和*** |
| CN103338431A (zh) * | 2013-05-28 | 2013-10-02 | 中国联合网络通信集团有限公司 | 防盗方法、装置与防盗终端 |
| CN104244227A (zh) * | 2013-06-09 | 2014-12-24 | ***通信集团公司 | 一种物联网***中终端接入认证的方法及装置 |
| CN105101194A (zh) * | 2014-04-28 | 2015-11-25 | 华为技术有限公司 | 终端安全认证方法、装置及*** |
| CN109104720A (zh) * | 2018-10-22 | 2018-12-28 | 重庆邮电大学 | 一种基于SIM卡用户授权的eSIM卡写入方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114223231A (zh) | 2022-03-22 |
| EP4013091A4 (en) | 2022-08-31 |
| US20220174497A1 (en) | 2022-06-02 |
| EP4013091A1 (en) | 2022-06-15 |
| BR112022003179A2 (pt) | 2022-05-17 |
| WO2021031054A1 (zh) | 2021-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10798082B2 (en) | Network authentication triggering method and related device | |
| EP2421292A1 (en) | Method and device for establishing security mechanism of air interface link | |
| CN110786034A (zh) | 网络切片选择的隐私考虑 | |
| EP3944649A1 (en) | Verification method, apparatus, and device | |
| WO2009008627A2 (en) | A method of establishing fast security association for handover between heterogeneous radio access networks | |
| US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
| EP3955615A1 (en) | Information acquisition method and device | |
| US20220174761A1 (en) | Communications method and apparatus | |
| US20220174497A1 (en) | Communication Method And Apparatus | |
| US20200374139A1 (en) | Communications method and apparatus | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN113841443B (zh) | 数据传输方法及装置 | |
| CN114600487B (zh) | 身份认证方法及通信装置 | |
| EP4120787A1 (en) | Terminal device verification method and apparatus | |
| EP3111611A1 (en) | A node and a method for enabling network access authorization | |
| CN112087751B (zh) | 安全校验方法及装置 | |
| CN113395697A (zh) | 传输寻呼信息的方法和通信装置 | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| CN114208240B (zh) | 数据传输方法、装置及*** | |
| WO2024067619A1 (zh) | 通信方法和通信装置 | |
| EP4369759A1 (en) | Data transmission protection method, device and system | |
| EP4274310A1 (en) | Network intercommunication method and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |