CN115038081B - 通信方法和通信设备 - Google Patents
通信方法和通信设备 Download PDFInfo
- Publication number
- CN115038081B CN115038081B CN202210751786.5A CN202210751786A CN115038081B CN 115038081 B CN115038081 B CN 115038081B CN 202210751786 A CN202210751786 A CN 202210751786A CN 115038081 B CN115038081 B CN 115038081B
- Authority
- CN
- China
- Prior art keywords
- authentication
- request
- aka
- core network
- authentication vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 263
- 238000004891 communication Methods 0.000 title claims abstract description 149
- 230000004044 response Effects 0.000 claims abstract description 396
- 230000006855 networking Effects 0.000 claims abstract description 69
- 230000001419 dependent effect Effects 0.000 claims abstract description 30
- 238000004846 x-ray emission Methods 0.000 claims description 177
- 230000006870 function Effects 0.000 claims description 72
- 230000004048 modification Effects 0.000 claims description 60
- 238000012986 modification Methods 0.000 claims description 60
- 238000013475 authorization Methods 0.000 claims description 12
- 230000003993 interaction Effects 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims 3
- 230000009286 beneficial effect Effects 0.000 abstract description 11
- 238000007726 management method Methods 0.000 description 93
- 238000013507 mapping Methods 0.000 description 68
- 238000012545 processing Methods 0.000 description 66
- 238000004364 calculation method Methods 0.000 description 24
- 238000010586 diagram Methods 0.000 description 21
- 238000004590 computer program Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 15
- 238000009795 derivation Methods 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 8
- 238000005457 optimization Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 208000010486 orofacial cleft 3 Diseases 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 201000006284 orofacial cleft 1 Diseases 0.000 description 1
- 208000010376 orofacial cleft 2 Diseases 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0022—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0055—Transmission or use of information for re-establishing the radio link
- H04W36/0066—Transmission or use of information for re-establishing the radio link of control information between different types of networks in order to establish a new radio link in the target network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了通信方法和通信设备。一种通信方法包括:当用户设备从第一网络漫游到第二网络,第一核心网设备接收第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网。其中,所述第一核心网设备为所述第一网络的核心网设备;所述第一核心网设备根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1;所述第一核心网设备发送第一请求的响应,所述第一请求的响应携带所述鉴权向量五元组的。本申请实施例方案有利于使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
Description
本申请是分案申请,原申请的申请号是201911369774.0,原申请日是2019年12月26日,原申请的全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,尤其涉及通信方法和通信设备。
背景技术
在新建5G(第五代)网络的阶段,不同运营商可能会考虑不同的演进部署方式。例如某些运营商可能会部署5G非独立(NSA,Non Standalone)组网,也就是空口先升级到下一代无线接入网(NG-RAN,Next generation radio access network),但是核心网仍暂时保持3G/4G为用户设备(UE,User Equipment)提供服务;而另某些运营商可能会部署5G独立(SA,Standalone)组网,也就是空口和核心网部分均升级到5G来为UE提供服务。
因此,有可能存在5G NSA组网的运营商(简称:5G NSA运营商)的UE漫游到5G SA组网的运营商(简称:5G SA运营商)的场景。那么,5G SA运营商为5G NSA运营商的UE提供5G服务过程中的认证问题,是一个需要考虑的重要技术问题。
发明内容
本申请实施例提供通信方法和通信设备。
本申请第一方面提供一种通信方法,包括:
当用户设备(UE,User Equipment)从第一网络漫游到第二网络,第一核心网设备接收第一请求(第一请求可能来自第二网络的接入与移动性管理功能(AMF)。或第一请求也可能来自第一网络或第二网络的IWF、AUSF或其他鉴权代理网元)。
其中,所述第一请求例如可为用户认证请求(UE authentication request)或者认证数据请求(UE authentication data request)。所述第二网络为5G独立组网,所述第一网络为5G非独立组网。所述第一核心网设备为所述第一网络的核心网设备。其中,第一核心网设备例如为归属用户服务器(HSS,home subscriber server)或归属位置寄存器(HLR,Home Location Register)或其他具有类似功能的网元。
所述第一请求携带可携带UE的标识。
第一请求可携带鉴权向量请求指示,鉴权向量请求指示可用于请求鉴权向量,鉴权向量请求指示的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1。其中,所述请求节点标识所表示的请求鉴权向量的节点例如为AMF、认证服务器功能(AUSF,Authentication Server Function)、移动性管理实体(MME,Mobility Management Entity)、网间交互功能(IWF,InterWorkingFunction)、验证授权计费服务器(AAA-server,Authentication AuthorizationAccounting server)或服务GPRS(General Packet Radio Service,通用分组无线服务)支持节点(SGSN,Serving GPRS Support Node)或鉴权代理网元中的一个或多个。
所述第一核心网设备根据所述鉴权向量请求指示生成鉴权向量五元组。所述鉴权向量五元组的认证管理域(AMF,Authentication Management Field)的第0bit被置1。所述第一核心网设备发送携带所述鉴权向量五元组的第一请求的响应。
鉴权向量五元组包括:CK、IK、随机数(RAND)、认证令牌(AUTN,authenticationtoken)和期望认证结果(XRES*)。其中,认证管理域位于鉴权向量五元组(RAND,AUTN,CK,IK,XRES)的AUTN中。
可以理解,第一网络为用户设备的归属网络。归属网络有些时候也称家乡网络或归属域或家乡域。第二网络为用户设备的拜访网络,拜访网络有些时候也称拜访域。可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第一网络将接收到携带鉴权向量请求指示的用户认证请求或者认证数据请求,第一核心网设备根据鉴权向量请求指示生成鉴权向量五元组,并通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,这使得拜访网络基于归属网络提供的这个鉴权向量五元组,来得到5G鉴权向量变得有基础,进而可利用这个5G鉴权向量来对漫游的UE进行5G认证。这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
其中,所述第一请求为用户认证请求或认证数据请求。其中,第一请求携带鉴权向量请求指示。其中,鉴权向量请求指示可以用于请求鉴权向量,鉴权向量请求的具体内容可以是多种多样的。
其中,5G认证包括:5G AKA(Authentication and Key Agreement,认证和秘钥协商)认证和5G EAP-AKA’认证(Extensible Authentication Protocol-AKA,可扩展认证协议-认证和秘钥协商)认证等认证方式。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
其中,拜访网络(例如拜访网络的AMF)例如可基于所述第一请求的响应携带的认证方式指示,来确定UE的5G认证方式。例如当认证方式指示表示5G AKA认证,则拜访网络可对UE进行5G AKA认证,而当认证方式指示表示5G EAP-AKA’认证,则拜访网络可对UE进行5GEAP-AKA’认证。
本申请第二方面提供一种第一核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备。
处理单元,用于根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
所述收发单元还用于发送第一请求的响应,其中,所述第一请求的响应携带所述鉴权向量五元组。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
本申请第三方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第一方面提供的任意一种通信方法的部分或全部步骤,例如执行第一方面中由第一核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第四方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第一方面提供的任意一种通信方法的部分或全部步骤。例如实现第一方面中由第一核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第五方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第二核心网设备发送第一请求(例如第二核心网设备向第一核心网设备发送第一请求,第一核心网设备为第一网络的核心网设备),所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备。
所述第二核心网设备接收携带有鉴权向量五元组的第一请求的响应,所述鉴权向量五元组的认证管理域的第0bit被置1;所述第二核心网设备使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量。
其中,第二核心网设备例如第二网络的AMF。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。
在一些可能实施方式之中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量,在所述认证方式指示表示5G EAP-AKA’认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式之中,所述方法还可包括:所述第二核心网设备向所述用户设备发送认证请求。第二核心网设备接收来自所述用户设备的认证响应(认证请求的响应)。在认证方式指示表示5G AKA认证的情况下,所述第二核心网设备对所述用户设备进行所述5G AKA认证。或在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第二核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES(认证结果,response),所述第二核心网设备将所述5G EAP-AKA’鉴权向量中的XRES(期望认证结果,expected RES)与所述认证响应中携带的RES进行比较。在所述5G EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述5G EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况之下,确定所述用户设备认证不通过。
又例如,当所述认证响应携带RES*(认证结果,response*),所述第二核心网设备将所述5G AKA鉴权向量中的XRES*(期望认证结果,expected RES*)与所述认证响应中携带的RES*进行比较,其中,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,上述方法还可包括:所述第二核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
在一些可能的实施方式之中,所述方法还可包括:所述第二核心网设备将所述用户设备进行所述5G AKA或5G EAP-AKA’认证的结果返回给所述第一核心网设备。
可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第二网络将发送携带鉴权向量请求指示的用户认证请求或认证数据请求(第一请求),第一网络可通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,而第二网络(拜访网络)可基于归属网络提供的这个鉴权向量五元组来得到5G鉴权向量,进而可利用这个5G鉴权向量来对漫游的UE进行5G认证,这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
本申请第六方面提供一种第二核心网设备,包括:收发单元和处理单元。
收发单元,当用户设备从第一网络漫游到第二网络,发送第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备。
收发单元还用于,接收携带有鉴权向量五元组的第一请求的响应,所述鉴权向量五元组的认证管理域的第0bit被置1。
处理单元,用于使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量。
在一些可能实施方式中,所述第一请求的响应还可携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5G AKA认证的情况下,生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量;在所述认证方式指示表示对5G EAP-AKA’认证的情况之下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,收发单元还用于向所述用户设备发送认证请求;接收来自所述用户设备的认证响应,
所述处理单元还用于,在所述认证方式指示表示对5G EAP-AKA’认证的情况之下,对所述用户设备进行所述5G EAP-AKA’认证;或者,在所述认证方式指示表示5G AKA认证的情况之下,对所述用户设备进行所述5G AKA认证。
在一些可能实施方式中,所述处理单元还用于,使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
在一些可能的实施方式之中,所述处理单元还用于:将所述用户设备进行所述5GAKA或5G EAP-AKA’认证的结果返回给所述第一核心网设备。本申请第七方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第五方面提供的任意一种通信方法的部分或全部步骤,例如执行第五方面中由第二核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第八方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第五方面提供的任意一种通信方法的部分或全部步骤。例如实现第五方面中由第二核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第九方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第三核心网设备接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求。所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备。所述第二核心网设备为所述第二网络的核心网设备。
所述第三核心网设备向第一核心网设备发送携带有鉴权向量请求指示的第一请求,所述第一核心网设备为所述第一网络的核心网设备。
所述第三核心网设备接收来自所述第一核心网设备的第一请求的响应,所述第一请求的响应携带鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量。所述第三核心网设备向第二核心网设备发送所述第一请求的响应(可携带5G鉴权向量或鉴权向量五元组)。
在一些可能实施方式中,第三核心网设备例如为AUSF或IWF或鉴权代理网元。
其中,第二核心网例如第二网络的AMF等。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识;其中,所述接入网类型标识所表示的接入网类型为5G接入网。其中,所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1。其中,所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,其中,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量。在所述认证方式指示表示5G EAP-AKA’认证的情况之下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述方法还包括:所述第三核心网设备接收来自所述第二核心网设备的认证响应。在所述认证方式指示表示5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证;或者,在所述认证方式指示表示5G EAP-AKA’认证的情况之下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES,所述第三核心网设备将所述5G EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述5G EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述5GEAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况下,确定所述用户设备认证不通过。
又例如,当所述认证响应携带RES*,所述第三核心网设备将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5GAKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,所述方法还包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第二网络将发送用户认证请求或认证数据请求,第三核心网设备将向第一网络的第一核心网设备发送携带鉴权向量请求指示的用户认证请求或认证数据请求,第一网络可通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,第三核心网设备可基于归属网络提供的这个鉴权向量五元组来得到5G鉴权向量,进而利用这个5G鉴权向量来对漫游的UE进行5G认证,这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
本申请第十方面提供一种第三核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
收发单元,还用于向第一核心网设备发送携带有鉴权向量请求指示的第一请求,所述第一核心网设备为所述第一网络的核心网设备。
收发单元,还用于接收来自所述第一核心网设备的第一请求的响应,所述第一请求的响应携带鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
处理单元,用于使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量。
收发单元还用于向所述第二核心网设备发送所述第一请求的响应(可携带所述5G鉴权向量或所述鉴权向量五元组)。
在一些可能实施方式中,所述第一请求的响应还可携带认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5G EAP-AKA’认证的情况之下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量;在所述认证方式指示表示5G AKA认证的情况之下,则生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量。
在一些可能实施方式中,所述收发单元,还可用于接收来自所述第二核心网设备的认证响应(这个认证响应例如是第二核心网设备发送给UE的认证请求的响应)。
处理单元还用于,在所述认证方式指示表示5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证;或者,在所述认证方式指示表示5G EAP-AKA’认证的情况下,对所述用户设备进行所述5G EAP-AKA’认证。
在一些可能实施方式中,处理单元还用于,使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
本申请第十一方面提供一种核心网设备,包括相互耦合的处理器和存储器。处理器调用存储器中存储的程序,以执行第九方面提供的任意一种通信方法的部分或全部步骤,例如执行第九方面中由第三核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第十二方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第九方面提供的任意一种通信方法的部分或全部步骤。例如实现第九方面中由第三核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第十三方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第一核心网设备接收第二请求,所述第二请求为用户认证请求或认证数据请求。其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第一核心网设备为所述第一网络的核心网设备。其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口接收。
所述第一核心网设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,所述第一核心网设备根据接收所述第二请求的接口,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
所述第一核心网设备发送携带有所述确定的4G鉴权向量的第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量例如为5G EAP-AKA’鉴权向量或5G AKA鉴权向量。所述4G鉴权向量例如为4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
第一请求可携带鉴权向量请求指示,鉴权向量请求指示可用于请求鉴权向量,鉴权向量请求指示的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则所述第一核心网设备可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则所述第一核心网设备例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则所述第一核心网设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述第一核心网设备从S6a接口收到所述第二请求,则所述第一核心网设备例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述第一核心网设备从SWx接口收到所述第二请求,则所述第一核心网设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述第一核心网设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示。所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第一网络将接收到用户认证请求或认证数据请求,用户认证请求或者认证数据请求携带鉴权向量请求指示,或者用户认证请求或者认证数据请求通过S6a接口或SWx接口接收。第一核心网设备根据鉴权向量请求指示或接收消息的接口来确定4G鉴权向量,并通过第二请求的响应来反馈确定的4G鉴权向量,这使得拜访网络基于归属网络提供的这个4G鉴权向量,来得到5G鉴权向量变得有基础,进而可利用这个5G鉴权向量来对漫游的UE进行5G认证。或者,拜访网络可直接利用4G鉴权向量来对UE进行4G认证。这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
本申请第十四方面提供一种第一核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收第二请求,所述第二请求为用户认证请求或认证数据请求。其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第一核心网设备为所述第一网络的核心网设备;其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口接收。
处理单元,用于根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4GAKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,根据接收所述第二请求的接口,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
收发单元用于,发送携带有4G鉴权向量的第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量例如为EAP-AKA’鉴权向量或5G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则处理单元可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则处理单元例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则处理单元例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述第一核心网设备从S6a接口收到所述第二请求,则处理单元例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述第一核心网设备从SWx接口收到所述第二请求,则处理单元例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述处理单元根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示。所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
本申请第十五方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第十三方面提供的任意一种通信方法的部分或全部步骤,例如可执行第十三方面中由第一核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第十六方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第十三方面提供的任意一种通信方法的部分或全部步骤。例如实现第十三方面中由第一核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第十七方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第二核心网设备发送第二请求(例如第二核心网设备向第一核心网设备发送第二请求,第一核心网设备为第一网络的核心网设备),所述第二请求为用户认证请求或认证数据请求,其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备;其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口发送。
所述第二核心网设备接收携带有4G鉴权向量的第二请求的响应。
其中,第二核心网例如第二网络的AMF。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示;所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述方法还包括:在所述鉴权向量映射指示表示将4GAKA鉴权向量映射为5G AKA鉴权向量的情况下,所述第二核心网设备将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,所述第二核心网设备将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备向所述用户设备发送认证请求。例如所述认证请求携带所述鉴权向量生成指示和/或所述鉴权向量映射指示。所述第二核心网设备接收来自所述用户设备的认证响应。
在所述第二核心网设备根据本地策略决定对所述用户设备采用5G AKA认证的情况下,所述第二核心网设备对所述用户设备进行所述5G AKA认证。
或者,在所述第二核心网设备根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,所述第二核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
或者,在所述第二核心网设备根据本地策略决定对所述用户设备采用4G AKA认证的情况下,所述第二核心网设备对所述用户设备进行所述4G AKA认证。
或者,在所述第二核心网设备根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,所述第二核心网设备对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥可包括Kseaf和Kausf。
在一些可能的实施方式之中,所述方法还可包括:所述第二核心网设备将所述用户设备进行所述4G AKA或4G EAP-AKA’或5G AKA或5G EAP-AKA’认证的结果返回给所述第一核心网设备。
可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第二网络将可发送携带鉴权向量请求指示的用户认证请求或认证数据请求,或通过S6a接口或SWx接口发送用户认证请求或认证数据请求(第二请求),其中,第一网络可通过第二请求的响应来反馈4G鉴权向量。而第二网络(拜访网络)可基于归属网络提供的这个4G鉴权向量五元组来得到5G鉴权向量,进而可利用这个5G鉴权向量来对漫游的UE进行5G认证,或者,拜访网络可直接利用4G鉴权向量来对UE进行4G认证。这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
本申请第十八方面提供一种第二核心网设备,包括:
发送单元,用于当用户设备从第一网络漫游到第二网络,发送第二请求,所述第二请求为用户认证请求或认证数据请求,其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备;其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口发送;
接收单元,用于接收携带有4G鉴权向量的第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示;所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,第二核心网设备还包括处理单元,用于在所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述处理单元还用于,根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式中,所述发送单元还用于,向所述用户设备发送认证请求。例如所述认证请求携带所述鉴权向量生成指示和/或所述鉴权向量映射指示。
接收单元还用于,接收来自所述用户设备的认证响应。
处理单元还用于,在根据本地策略决定对所述用户设备采用5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证。
或者,在根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,对所述用户设备进行所述5G EAP-AKA’认证。
或者,在根据本地策略决定对所述用户设备采用4G AKA认证的情况下,对所述用户设备进行所述4G AKA认证。
或者,在根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述处理单元还用于,使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥可包括Kseaf和Kausf。
本申请第十九方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第十七方面提供的任意一种通信方法的部分或全部步骤,例如执行第十七方面中由第二核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第二十方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第十七方面提供的任意一种通信方法的部分或全部步骤。例如实现第十七方面中由第二核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第二十一方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第三核心网设备接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
所述第三核心网设备通过S6a接口或SWx接口向第一核心网设备发送第二请求;或者所述第三核心网设备在所述第二请求中携带鉴权向量请求指示;所述第三核心网设备向第一核心网设备发送携带有所述鉴权向量请求指示的第二请求,所述第一核心网设备为所述第一网络的核心网设备。
所述第三核心网设备接收携带4G鉴权向量的第二请求的响应。所述第三核心网设备向所述第二核心网设备发送所述第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示,所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或者所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述方法还包括:在所述鉴权向量映射指示表示将4GAKA鉴权向量映射为5G AKA鉴权向量的情况下,所述第二核心网设备将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,所述第二核心网设备将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述方法还包括:所述第三核心网设备根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式中,所述方法还包括:所述第三核心网设备接收来自所述第二核心网设备的认证响应。在所述第三核心网设备根据本地策略决定对所述用户设备采用5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证。
或者,在所述第三核心网设备根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
或者,在所述第三核心网设备根据本地策略决定对所述用户设备采用4G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述4G AKA认证。
或者,在所述第三核心网设备根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
本申请第二十二方面提供一种第三核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
收发单元还用于,通过S6a接口或SWx接口向第一核心网设备发送第二请求;或者在所述第二请求中携带鉴权向量请求指示;向第一核心网设备发送携带有所述鉴权向量请求指示的第二请求,所述第一核心网设备为所述第一网络的核心网设备。
收发单元还用于,接收携带4G鉴权向量的第二请求的响应,向所述第二核心网设备发送所述第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示,所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或者所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述第三核心网设备还包括:处理单元,用于在所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述处理单元还用于:根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式之中,所述收发单元还用于:接收来自所述第二核心网设备的认证响应。
处理单元还用于:在根据本地策略决定对所述用户设备采用5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证。
或者,在根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,对所述用户设备进行所述5G EAP-AKA’认证。
或者,在根据本地策略决定对所述用户设备采用4G AKA认证的情况下,对所述用户设备进行所述4G AKA认证。
或者,在根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述处理单元还用于:所述第二核心网设备使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
本申请第二十三方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第二十一方面提供的任意一种通信方法的部分或全部步骤,例如执行第二十一方面中由第三核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第二十四方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第二十一方面提供的任意一种通信方法的部分或全部步骤。例如实现第二十一方面中由第三核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第二十五方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,所述用户设备接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量生成指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
在所述认证请求携带的鉴权向量生成指示用于表示所述用户设备生成4G EAP-AKA’鉴权向量的情况下,生成的所述4G鉴权向量为4G EAP-AKA’鉴权向量;在所述鉴权向量生成指示用于表示所述用户设备生成4G AKA鉴权向量的情况下,生成的所述4G鉴权向量为4G AKA鉴权向量。
所述用户设备向所述核心网设备发送携带生成的所述4G EAP-AKA’或4G AKA鉴权向量的认证响应。
本申请第二十六方面提供一种用户设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量生成指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
处理单元,用于在所述认证请求携带的鉴权向量生成指示用于表示所述用户设备生成4G EAP-AKA’鉴权向量的情况下,生成的所述4G鉴权向量为4G EAP-AKA’鉴权向量;在所述鉴权向量生成指示用于表示所述用户设备生成4G AKA鉴权向量的情况下,生成的所述4G鉴权向量为4G AKA鉴权向量。
收发单元还用于,向所述核心网设备发送携带生成的所述4G EAP-AKA’或4G AKA鉴权向量的认证响应。
本申请第二十七方面提供一种用户设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第二十五方面提供的任意一种通信方法的部分或全部步骤,例如可执行第二十五方面中由用户设备执行任意一种通信方法的部分或者全部步骤。
本申请第二十八方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第二十五方面提供的任意一种通信方法的部分或全部步骤。例如实现第二十五方面中由用户设备执行任意一种通信方法的部分或全部步骤。
本申请第二十九方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,所述用户设备接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量映射指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,所述用户设备生成4G EAP-AKA’鉴权向量;所述用户设备将所述生成的4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,所述用户设备生成4G AKA鉴权矢量;所述用户设备将所述生成的4G AKA鉴权向量映射为5G AKA鉴权向量。
所述用户设备向所述第二核心网设备发送认证响应,所述认证响应携带有映射得到的5G AKA鉴权向量或5G EAP-AKA’鉴权向量。
本申请第三十方面提供一种用户设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量映射指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
处理单元,用于在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,生成4G EAP-AKA’鉴权向量;将所述生成的4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量;
处理单元还用于,在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,生成4G AKA鉴权矢量;备将所述生成的4G AKA鉴权向量映射为5G AKA鉴权向量;
所述收发单元还用于,向所述第二核心网设备发送认证响应,所述认证响应携带有映射得到的5G AKA鉴权向量或5G EAP-AKA’鉴权向量。
本申请第三十一方面提供一种用户设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第二十九方面提供的任意一种通信方法的部分或全部步骤,例如执行第二十九方面中由用户设备执行任意一种通信方法的部分或者全部步骤。
本申请第三十二方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第二十九方面提供的任意一种通信方法的部分或全部步骤。例如实现第二十九方面中由用户设备执行任意一种通信方法的部分或全部步骤。
本申请第三十三方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第一核心网设备接收第三请求(第三请求可能来自第二网络的接入与移动性管理功能(AMF)。或第三请求也可能来自第一网络或者第二网络的IWF、AUSF或其他鉴权代理网元)。所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示。其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备。
所述第一核心网设备发送携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为EAP-AKA’鉴权向量或者5G AKA鉴权向量。
可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第一网络将接收到携带鉴权向量请求指示的用户认证请求或者认证数据请求(第三请求),第一核心网设备根据鉴权向量请求指示生成5G鉴权向量,并通过第三请求的响应来反馈5G鉴权向量,这使得拜访网络可利用这个5G鉴权向量来对漫游的UE进行5G认证。这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
本申请第三十四方面提供一种第一核心网设备,包括:
接收单元,用于当用户设备从第一网络漫游到第二网络,接收第三请求,所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备。
发送单元,用于发送携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为EAP-AKA’鉴权向量或者5G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
本申请第三十五方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第三十三方面提供的任意一种通信方法的部分或全部步骤,例如执行第三十三方面中由第一核心网设备执行任意一种通信方法的部分或者全部步骤。
本申请第三十六方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第三十三方面提供的任意一种通信方法的部分或全部步骤。例如实现第三十三方面中由第一核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第三十七方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第二核心网设备发送第三请求,所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备。
所述第二核心网设备接收携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为5G AKA鉴权向量或者5G EAP-AKA’鉴权向量。
可以理解,上述技术方案中,在当UE从第一网络漫游到第二网络,第二网络将发送携带鉴权向量请求指示的用户认证请求或认证数据请求(第三请求),第一网络可通过第三请求的响应来反馈5G鉴权向量,而第二网络(拜访网络)可基于归属网络提供的这个5G鉴权向量来对漫游的UE进行5G认证,这使5G SA运营商为漫游过来的5G NSA运营商的UE提供5G服务奠定基础。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备向所述用户设备发送认证请求;所述第二核心网设备接收来自所述用户设备的认证响应;所述第二核心网设备对所述用户设备进行5G AKA认证或者5G EAP-AKA’认证。
例如,当所述认证响应携带RES,第二核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,第二核心网设备将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述方法还包括:所述第二核心网设备使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
本申请第三十八方面提供一种第二核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,发送第三请求,所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备。
收发单元还用于,接收携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为5G AKA鉴权向量或者5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,收发单元还用于,向所述用户设备发送认证请求;接收来自所述用户设备的认证响应。
第二核心网设备还包括处理单元,用于对所述用户设备进行5G AKA认证或者5GEAP-AKA’认证。
例如,当所述认证响应携带RES,处理单元将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,处理单元将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述处理单元还用于,使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
本申请第三十九方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第三十七方面提供的任意一种通信方法的部分或全部步骤,例如执行第三十七方面中由第二核心网设备执行任意一种通信方法的部分或者全部步骤。
本申请第四十方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第三十七方面提供的任意一种通信方法的部分或全部步骤。例如实现第三十七方面中由第二核心网设备执行任意一种通信方法的部分或全部步骤。
本申请第四十一方面提供一种通信方法,包括:
当用户设备从第一网络漫游到第二网络,第三核心网设备接收来自第二核心网设备的第三请求,所述第三请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
所述第三核心网设备向第一核心网设备发送携带有鉴权向量请求指示的第三请求,所述第一核心网设备为所述第一网络的核心网设备。
所述第三核心网设备接收携带5G鉴权向量的第三请求的响应,所述5G鉴权向量为5G AKA鉴权向量或者5G EAP-AKA’鉴权向量。
所述第三核心网设备向所述第二核心网设备发送所述第三请求的响应(可携带所述5G鉴权向量)。
在一些可能实施方式中,鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识;所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述方法还包括:所述第三核心网设备接收来自所述用户设备的认证响应;第三核心网设备对所述用户设备进行5G AKA认证或者5G EAP-AKA’认证。
例如,当所述认证响应携带RES,第三核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,第三核心网设备将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述第二核心网设备使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
本申请第四十二方面提供一种第三核心网设备,包括:
收发单元,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第三请求,所述第三请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
收发单元还用于,向第一核心网设备发送携带有鉴权向量请求指示的第三请求,所述第一核心网设备为所述第一网络的核心网设备。
收发单元还用于,接收携带5G鉴权向量的第三请求的响应,所述5G鉴权向量为5GAKA鉴权向量或者5G EAP-AKA’鉴权向量。
收发单元还用于,向所述第二核心网设备发送所述第三请求的响应。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识;所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,收发单元还用于,接收来自所述用户设备的认证响应;
第三核心网设备还包括处理单元,用于对所述用户设备进行5G AKA认证或者5GEAP-AKA’认证。
例如,当所述认证响应携带RES,处理单元将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,处理单元将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述处理单元还用于,使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
本申请第四十三方面提供一种核心网设备,包括相互耦合的处理器和存储器。其中,所述处理器调用所述存储器中存储的程序,以执行第四十一方面提供的任意一种通信方法的部分或全部步骤,例如执行第四十一方面中由第三核心网设备执行任意一种通信方法的部分或者全部步骤。
本申请第四十四方面提供一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行,以实现第四十一方面提供的任意一种通信方法的部分或全部步骤。例如实现第四十一方面中由第三核心网设备执行任意一种通信方法的部分或全部步骤。
第四十五方面,本申请实施例还提供一种通信装置,所述通信装置包括耦合的处理器和存储器;其中,所处理器用于调用所述存储器中存储的程序,以完成本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
第四十六方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储的程序,所述程序被处理器执行,以完成本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
第四十七方面,本申请实施例还提供一种指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述计算机设备执行本申请实施例提供的任意一个设备执行的任意一种方法的部分或全部步骤。
附图说明
下面将对本申请实施例涉及的一些附图进行说明。
图1-A是本申请实施例提供的一种通信***的架构示意图。
图1-B至图1-D是本申请实施例提供的另几种通信***的架构示意图。
图1-E至图1-F是本申请实施例提供的另几种通信***的架构示意图。
图2-A是本申请实施例提供的一种通信方法的流程示意图。
图2-B是本申请实施例提供的另一种通信方法的流程示意图。
图2-C是本申请实施例提供的另一种通信方法的流程示意图。
图2-D是本申请实施例提供的另一种通信方法的流程示意图。
图3-A是本申请实施例提供的另一种通信方法的流程示意图。
图3-B是本申请实施例提供的另一种通信方法的流程示意图。
图4-A是本申请实施例提供的另一种通信方法的流程示意图。
图4-B是本申请实施例提供的另一种通信方法的流程示意图。
图5-A是本申请实施例提供的另一种通信方法的流程示意图。
图5-B是本申请实施例提供的另一种通信方法的流程示意图。
图6-A是本申请实施例提供的另一种通信方法的流程示意图。
图6-B是本申请实施例提供的另一种通信方法的流程示意图。
图7-A是本申请实施例提供的另一种通信方法的流程示意图。
图7-B是本申请实施例提供的另一种通信方法的流程示意图。
图8-A是本申请实施例提供的另一种通信方法的流程示意图。
图8-B是本申请实施例提供的另一种通信方法的流程示意图。
图9是本申请实施例提供的一种核心网设备的架构示意图。
图10是本申请实施例提供的另一种核心网设备的架构示意图。
图11是本申请实施例提供的另一种核心网设备的架构示意图。
图12是本申请实施例提供的一种用户设备的架构示意图。
图13是本申请实施例提供的一种第一核心网设备的架构示意图。
图14是本申请实施例提供的一种第二核心网设备的架构示意图。
图15是本申请实施例提供的一种第三核心网设备的架构示意图。
图16是本申请实施例提供的另一种第一核心网设备的架构示意图。
图17是本申请实施例提供的另一种第二核心网设备的架构示意图。
图18是本申请实施例提供的另一种第三核心网设备的架构示意图。
图19是本申请实施例提供的一种用户设备的架构示意图。
图20是本申请实施例提供的另一种用户设备的架构示意图。
图21是本申请实施例提供的另一种第一核心网设备的架构示意图。
图22是本申请实施例提供的另一种第二核心网设备的架构示意图。
图23是本申请实施例提供的另一种第三核心网设备的架构示意图。
图24-A是本申请实施例提供的另一种通信方法的流程示意图。
图24-B是本申请实施例提供的一种局向信息的设置示意图。
图25-A是本申请实施例提供的另一种通信方法的流程示意图。
图25-B是本申请实施例提供的一种IP地址和/或端口号的设置示意图。
具体实施方式
下面结合本申请实施例中的附图对本申请实施例进行描述。
参见图1-A,图1-A是本申请实施例举例的一种5G网络架构的示意图。其中,5G网络对4G网络的某些功能网元(例如移动性管理实体(MME,Mobility Management Entity))进行了一定拆分,并定义了基于服务化架构的架构。在图1-A所示网络架构中,类似4G网络中的MME的功能,被拆分成了会话管理功能(SMF,Session Management Function)和接入与移动性管理功能(AMF,Access and Mobility Management Function)等等。
下面对其他一些相关网元/实体进行介绍。
用户设备(UE,User Equipment)通过接入运营商网络来访问数据网络(DN,DataNetwork)等等,使用DN上的由运营商或第三方提供的业务。
接入与移动性管理功能(AMF)是3GPP网络中的一种控制面网元,主要负责UE接入运营商网络的接入控制和移动性管理。其中,安全锚点功能(SEAF,Security AnchorFunction)可以部署于AMF之中,或SEAF也可能部署于不同于AMF的另一设备中,图1-A中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时,SEAF和AMF可合称AMF。
会话管理功能(SMF)是3GPP网络中的一种控制面网元,其中,SMF主要用于负责管理UE的数据包(PDU,Packet Data Unit)会话。PDU会话是一个用于传输PDU的通道,UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。
数据网络(DN,Data Network)也称为分组数据网络(PDN,Packet Data Network),是位于3GPP网络之外的网络。其中,3GPP网络可接入多个DN,DN上可部署运营商或第三方提供的多种业务。例如,某个DN是一个智能工厂的私有网络,安装在智能工厂车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器。UE与控制服务器通信,UE在获取控制服务器的指令之后,可根据这个指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工所使用的终端则可扮演UE的角色,这个UE可以访问公司内部的信息和其他资源。
其中,统一数据管理网元(UDM,Unified Data Management)也是3GPP网络中的一种控制面网元,UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、信任状(credential)和持久身份标识(SUPI,Subscriber Permanent Identifier)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。
认证服务器功能(AUSF,Authentication Server Function)也是3GPP网络中的一种控制面网元,AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。
其中,网络开放功能(NEF,Network Exposure Function)也是3GPP网络之中的一种控制面网元。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。其中,在SMF等网元需要与第三方网元通信时,可以以NEF为通信的中继。其中,中继时,NEF可以进行内外部标识的翻译。比如将UE的SUPI从3GPP网络发送到第三方时,NEF可将SUPI翻译成其对应的外部身份标识(ID,Identity)。反之,NEF可将外部身份ID在发送到3GPP网络时,将其翻译成对应的SUPI。
其中,网络存储功能(NRF,Network Repository Function)也是3GPP网络中的一种控制面网元,主要负责存储可被访问的网络功能(NF)的配置额服务资料(profile),为其他网元提供网络功能的发现服务。
用户面功能(UPF,User Plane Function)是3GPP网络与DN通信的网关。
策略控制功能(PCF,Policy Control Function)是3GPP网络中的一种控制面功能,用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(QoS,Quality ofService)、授权相关策略等。
接入网(AN,Access Network)是3GPP网络的一个子网络,UE要接入3GPP网络,首先需要经过AN。在无线接入场景下AN也称无线接入网(RAN,Radio Access Network),因此RAN和AN这两个术语经常不做区分的混用。
3GPP网络是指符合3GPP标准的网络。其中,图1-A中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不只局限于3GPP定义的5G网络,还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外,在图1-A所示架构中的N1、N2、N3、N4、N6等分别代表相关网元/网络功能之间的参照点(Reference Point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。
当然,3GPP网络和非3GPP网络可能共存,5G网络的中的一些网元也可能被运用到一些非5G网络中。
由于在新建5G(第五代)网络的阶段,不同运营商可能会考虑不同演进部署方式。因此5G非独立组网(5G NSA组网)和5G独立组网(5G SA组网)可能共存。本申请实施例方案主要针对5G NSA组网和5G SA组网共存的场景来研究。主要探讨当5G NSA运营商的UE漫游到5G SA运营商的情况下,5G SA运营商为5G NSA运营商的UE提供5G服务过程中的相关认证方案。
参见图1-B至图1-D,图1-B至图1-D举例示出了5G NSA组网和5G SA组网共存场景下的一些可能网络架构。5G NSA运营商的UE可能从5G NSA组网漫游到5G SA组网,那么此时5G NSA组网为UE的归属网络,5G SA组网为UE的拜访网络。
其中,本申请实施例中提到的归属网络也可称为归属域或家乡网络或家乡域。
图1-B中的第二核心网设备例如可为AMF等,第一核心网设备例如可为HSS或HLR等。图1-C和图1-D中的第二核心网设备例如可为AMF等,第一核心网设备例如可为HSS或HLR等,第三核心网设备例如为AUSF或IWF或鉴权代理网元等。
另外,有可能存在5G SA组网的运营商不部署UDM,而利用例如HSS/HLR来为用户提供服务的场景。那么在5G SA运营商内部,HSS/HLR如何为用户提供5G服务也是一个需要考虑的重要问题。
参见图1-E和图1-F,图1-E和图1-F举例出了5G SA组网的一些可能网络架构。图1-B中的第二核心网设备例如可为AMF等,第一核心网设备例如可为HSS或HLR等。图1-C和图1-D中的第二核心网设备例如可为AMF等,第一核心网设备例如可为HSS或HLR等,第三核心网设备例如为AUSF或IWF或鉴权代理网元等。
其中,本申请实施例的方案可存在漫游场景和非漫游场景,在漫游场景下,第一网络(NSA组网)和第二网络(SA组网)为不同的网络。而在非漫游场景下,第一网络和第二网络为同一网络(SA组网),即第一网络和第二网络也可均为5G独立组网且属于同一网络,此时用户在同一网络内接受服务,无漫游动作。
本申请实施例的一些方法可基于图1-B至图1-D举例所示网络架构来具体实施。
本申请实施例的另一些方法可基于图1-E至图1-F举例所示网络架构来具体实施。
参见图2-A,图2-A是本申请实施例提供的另一通信方法的流程示意图。图2-A举例所示的通信方法可以基于图1-B所示网络架构来具体实施。如图2-A所示,另一种通信方法可以包括:
101.当UE从第一网络漫游到第二网络,所述UE向所述第二网络中的第二核心网设备发送注册请求(RR,Registration Request)。
102.第二核心网设备接收来自UE的注册请求,第二核心网设备向第一网络中的第一核心网设备发送第一请求。
其中,所述第一请求为用户认证请求或认证数据请求。其中,第一请求携带鉴权向量请求指示。其中,鉴权向量请求指示可以用于请求鉴权向量,鉴权向量请求的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1。所述请求节点标识所表示的请求鉴权向量的节点例如为AMF、认证服务器功能(AUSF)、移动性管理实体(MME)、网间交互功能(IWF)、验证授权计费服务器(AAA-server)、SGSN或鉴权代理网元中的一个或多个。
103.所述第一核心网设备接收来自第二核心网设备的第一请求,根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
104.所述第一核心网设备向第二核心网设备发送第一请求的响应,所述第一请求的响应携带有所述鉴权向量五元组。
105.所述第二核心网设备接收来自第一核心网设备的第一请求的响应,使用第一请求的响应携带的鉴权向量五元组生成所述UE的5G鉴权向量。
其中,第二核心网例如第二网络的AMF。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。
其中,5G认证包括:5G AKA(Authentication and Key Agreement,认证和秘钥协商)认证和5G EAP-AKA’认证(Extensible Authentication Protocol-AKA,可扩展认证协议-认证和秘钥协商)认证等认证方式。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量,在所述认证方式指示表示5G EAP-AKA’认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式之中,所述方法还可包括:所述第二核心网设备向所述用户设备发送认证请求;第二核心网设备接收来自所述用户设备的认证响应(认证请求的响应)。在认证方式指示表示5G AKA认证的情况下,所述第二核心网设备对所述用户设备进行所述5G AKA认证。或在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第二核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES(认证结果,response),所述第二核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况之下,确定所述用户设备认证不通过。
具体例如,当所述认证响应携带RES*(认证结果,response*),所述第二核心网设备将所述5G AKA鉴权向量中的XRES*(期望认证结果,expected RES*)与所述认证响应中携带的RES*进行比较,其中,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,上述方法还可包括:所述第二核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
可以理解,上述技术方案中,在当用户设备从第一网络漫游到第二网络,第二网络将接收到携带鉴权向量请求指示的用户认证请求或认证数据请求(第一请求),第一核心网设备根据鉴权向量请求指示生成鉴权向量五元组,并通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,这使拜访网络基于归属网络提供的这个鉴权向量五元组,来得到5G鉴权向量变得有基础,故而可以利用这个5G鉴权向量来对UE进行5G认证。这为5G SA运营商为5G NSA运营商的用户提供5G服务奠定基础。
参见图2-B,图2-B是本申请实施例提供的另一通信方法的流程示意图。图2-B举例所示的通信方法可以基于图1-C所示网络架构来具体实施。如图2-B所示,另一种通信方法可以包括:
201.当UE从第一网络漫游到第二网络,所述UE向所述第二网络中的第二核心网设备发送注册请求(RR,Registration Request)。
202.第二核心网设备接收来自UE的注册请求,第二核心网设备向第一网络中的第三核心网设备发送第一请求。
其中,所述第一请求为用户认证请求或认证数据请求。
203.所述第三核心网设备接收来自第二核心网设备的第一请求,第三核心网设备向第一网络中的第一核心网设备发送第一请求。其中,第三核心网设备发送的第一请求携带鉴权向量请求指示(例如第三核心网设备可在来自第二核心网设备的第一请求中携带鉴权向量请求指示,而后再向第一网络中的第一核心网设备发送携带鉴权向量请求指示的第一请求)。
其中,鉴权向量请求指示可以用于请求鉴权向量,鉴权向量请求的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1。其中,所述请求节点标识所表示的请求鉴权向量的节点例如为AMF、认证服务器功能(AUSF,Authentication Server Function)、移动性管理实体(MME,Mobility Management Entity)、网间交互功能(IWF,InterWorkingFunction)、验证授权计费服务器(AAA-server,Authentication AuthorizationAccounting server)、SGSN或鉴权代理网元中的一个或多个。
204.所述第一核心网设备接收来自第三核心网设备的第一请求,根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
205.所述第一核心网设备向第三核心网设备发送第一请求的响应,所述第一请求的响应携带有所述鉴权向量五元组。
206.所述第三核心网设备接收来自第一核心网设备的第一请求的响应,使用第一请求的响应携带的鉴权向量五元组生成所述UE的5G鉴权向量。
其中,第二核心网例如第二网络的AMF。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。第三核心网设备例如为AUSF或IWF或鉴权代理网元等。
其中,5G认证包括:5G AKA(Authentication and Key Agreement,认证和秘钥协商)认证和5G EAP-AKA’认证(Extensible Authentication Protocol-AKA,可扩展认证协议-认证和秘钥协商)认证等认证方式。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量,在所述认证方式指示表示5G EAP-AKA’认证的情况下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式之中,所述方法还可包括:所述第二核心网设备向所述用户设备发送认证请求;第二核心网设备接收来自所述用户设备的认证响应(认证请求的响应)。第二核心网设备向第三核心网设备转发来自所述用户设备的认证响应。第三核心网设备接收第三核心网设备转发的来自所述用户设备的认证响应。
其中,在认证方式指示表示5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证。或在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES(认证结果,response),所述第三核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况之下,确定所述用户设备认证不通过。
具体例如,当所述认证响应携带RES*(认证结果,response*),所述第三核心网设备将所述5G AKA鉴权向量中的XRES*(期望认证结果,expected RES*)与所述认证响应中携带的RES*进行比较,其中,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,上述方法还可包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
其中,图2-B中以第三核心网设备位于第二网络为例,当然第三核心网设备也可以位于第一网络,第三核心网设备位于第一网络场景下的实施方式,可以类似第三核心网设备位于第二网络场景下的实施方式,因此此处不再赘述。
可以理解,上述技术方案中,在当用户设备从第一网络漫游到第二网络,第二网络将接收到携带鉴权向量请求指示的用户认证请求或认证数据请求,第一核心网设备根据鉴权向量请求指示生成鉴权向量五元组,并通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,这使得拜访网络基于归属网络提供的这个鉴权向量五元组,来得到5G鉴权向量变得有基础,故而可以利用这个5G鉴权向量来对UE进行5G认证。这为5G SA运营商为5G NSA运营商的用户提供5G服务奠定基础。并且,当第二核心网社保为AMF,那么引入第三核心网设备之后,可以极大减小对AMF的改动,有利于降低方案实施复杂度。
参见图2-C,图2-C是本申请实施例提供的另一通信方法的流程示意图。图2-C举例所示的通信方法可以基于图1-E所示网络架构来具体实施。如图2-C所示,另一种通信方法可以包括:
101b.UE向第二网络中的第二核心网设备发送注册请求(RR,RegistrationRequest)。
102b.第二核心网设备接收来自UE的注册请求,第二核心网设备向第二网络中的第一核心网设备发送第一请求。
其中,所述第一请求为用户认证请求或认证数据请求。其中,第一请求携带鉴权向量请求指示。其中,鉴权向量请求指示可以用于请求鉴权向量,鉴权向量请求的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1。所述请求节点标识所表示的请求鉴权向量的节点例如为AMF、认证服务器功能(AUSF)、移动性管理实体(MME)、网间交互功能(IWF)、验证授权计费服务器(AAA-server)、SGSN或鉴权代理网元中的一个或多个。
103b.所述第一核心网设备接收来自第二核心网设备的第一请求,根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
104b.所述第一核心网设备向第二核心网设备发送第一请求的响应,所述第一请求的响应携带有所述鉴权向量五元组。
105b.所述第二核心网设备接收来自第一核心网设备的第一请求的响应,使用第一请求的响应携带的鉴权向量五元组生成所述UE的5G鉴权向量。
其中,第二核心网例如第二网络的AMF。第一核心网设备例如为第二网络的HSS或HLR或其他类似设备。
其中,5G认证包括:5G AKA认证和5G EAP-AKA’认证等认证方式。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量,在所述认证方式指示表示5G EAP-AKA’认证的情况下,第二核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式之中,所述方法还可包括:所述第二核心网设备向所述用户设备发送认证请求;第二核心网设备接收来自所述用户设备的认证响应(认证请求的响应)。在认证方式指示表示5G AKA认证的情况下,所述第二核心网设备对所述用户设备进行所述5G AKA认证。或在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第二核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES(认证结果,response),所述第二核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况之下,确定所述用户设备认证不通过。
具体例如,当所述认证响应携带RES*(认证结果,response*),所述第二核心网设备将所述5G AKA鉴权向量中的XRES*(期望认证结果,expected RES*)与所述认证响应中携带的RES*进行比较,其中,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,上述方法还可包括:所述第二核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
可以理解,上述技术方案中,在当用户设备向第二网络进行注册的情况下,第二网络将接收到携带鉴权向量请求指示的用户认证请求或认证数据请求(第一请求),第一核心网设备(例如HSS/HLR)根据鉴权向量请求指示生成鉴权向量五元组,并通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,这使第二网络中的第二核心网设备(如AMF)基于归属网络提供的这个鉴权向量五元组,来得到5G鉴权向量变得有基础,故而可以利用这个5G鉴权向量来对UE进行5G认证。这使得5G SA运营商可以利用例如HSS/HLR为自己的用户设备提供5G服务奠定基础。
参见图2-D,图2-D是本申请实施例提供的另一通信方法的流程示意图。图2-D举例所示的通信方法可以基于图1-F所示网络架构来具体实施。如图2-D所示,另一种通信方法可以包括:
201b.UE向第二网络中的第二核心网设备发送注册请求(RR,RegistrationRequest)。
202b.第二核心网设备接收来自UE的注册请求,第二核心网设备向第二网络中的第三核心网设备发送第一请求。
其中,所述第一请求为用户认证请求或认证数据请求。
203b.所述第三核心网设备接收来自第二核心网设备的第一请求,第三核心网设备向第二网络中的第一核心网设备发送第一请求。其中,第三核心网设备发送的第一请求携带鉴权向量请求指示(例如第三核心网设备可在来自第二核心网设备的第一请求中携带鉴权向量请求指示,而后再向第二网络中的第一核心网设备发送携带鉴权向量请求指示的第一请求)。
其中,鉴权向量请求指示可以用于请求鉴权向量,鉴权向量请求的具体内容可以是多种多样的。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1。其中,请求节点标识所表示的请求鉴权向量的节点例如为AMF、认证服务器功能(AUSF)、移动性管理实体(MME)、网间交互功能(IWF)、验证授权计费服务器(AAA-server)、SGSN或鉴权代理网元中的一个或多个。
204b.所述第一核心网设备接收来自第三核心网设备的第一请求,根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
205b.所述第一核心网设备向第三核心网设备发送第一请求的响应,所述第一请求的响应携带有所述鉴权向量五元组。
206b.所述第三核心网设备接收来自第一核心网设备的第一请求的响应,使用第一请求的响应携带的鉴权向量五元组生成所述UE的5G鉴权向量。
其中,第二核心网例如第二网络的AMF。第一核心网设备例如为第一网络的HSS或HLR或其他类似设备。第三核心网设备例如为AUSF或IWF或鉴权代理网元等。
其中,5G认证包括:5G AKA认证和5G EAP-AKA’认证等认证方式。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或5G EAP-AKA’认证。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证。在所述认证方式指示表示5G AKA认证的情况下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量,在所述认证方式指示表示5G EAP-AKA’认证的情况下,第三核心网设备生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式之中,所述方法还可包括:所述第二核心网设备向所述用户设备发送认证请求;第二核心网设备接收来自所述用户设备的认证响应(认证请求的响应)。第二核心网设备向第三核心网设备转发来自所述用户设备的认证响应。第三核心网设备接收第三核心网设备转发的来自所述用户设备的认证响应。
其中,在认证方式指示表示5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证。或在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
具体例如,当所述认证响应携带RES(认证结果,response),所述第三核心网设备将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES不一致的情况之下,确定所述用户设备认证不通过。
具体例如,当所述认证响应携带RES*(认证结果,response*),所述第三核心网设备将所述5G AKA鉴权向量中的XRES*(期望认证结果,expected RES*)与所述认证响应中携带的RES*进行比较,其中,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况之下,则确定所述用户设备的认证通过;在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*不一致的情况之下,则确定所述用户设备的认证不通过。
在一些可能实施方式中,上述方法还可包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥例如包括Kseaf和Kausf。
可以理解,上述技术方案中,在当用户设备请求注册到第二网络,第二网络将接收到携带鉴权向量请求指示的用户认证请求或认证数据请求,第一核心网设备(例如HSS/HLR)根据鉴权向量请求指示生成鉴权向量五元组,并通过第一请求的响应来反馈认证管理域的第0bit被置1的鉴权向量五元组,这使得第三核心网设备(例如IWF)基于第一核心网设备(例如HSS/HLR)提供的这个鉴权向量五元组,来得到5G鉴权向量变得有基础,故而可以利用这个5G鉴权向量来对UE进行5G认证。这为5G SA运营商为自己的用户提供5G服务奠定了良好基础。并且,当第二核心网设备为AMF,那么引入第三核心网设备之后,可以极大减小对AMF的改动,有利于降低方案实施复杂度。
参见图3-A,图3-A是本申请实施例提供的另一种通信方法的流程示意图。图3-A举例所示的通信方法可以基于图1-B所示网络架构来具体实施。另一种通信方法可以包括:
301.UE向拜访网络的AMF发送注册请求,所述注册请求可携带采用null scheme保护的所述UE的用户隐藏标识(SUCI,Subscription Concealed Identifier)。
302.AMF接收来自UE的注册请求,AMF向归属网络HSS/HLR发送携带鉴权向量请求指示的第一请求,鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
303.HSS/HLR接收来自拜访网络的AMF的第一请求,HSS/HLR根据鉴权向量请求指示将鉴权向量五元组中AMF的0bit位置1,并向AMF发送第一请求的响应,第一请求的响应携带鉴权向量五元组。
304.AMF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,AMF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’认证。
或者,第一请求的响应还携带认证方式指示,其中,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。AMF可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则AMF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则AMF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的Kausf=KDF(CK||IK,0x6A||SN name||length of SNname||SQN⊕AK||length of SQN⊕AK)。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用5G EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)。
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
其中,CK’||IK’=KDF(CK||IK,0x20||SN name||length of SN name||SQN⊕AK||length of SQN⊕AK)。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI由AMF从SUCI中获取。
AMF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf也可以在步骤307之后再执行。
305.AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
306、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
307.AMF收到来自UE的认证响应之后,对UE的返回结果(RES*或RES)进行认证,具体是进行5G AKA认证或5G EAP-AKA’认证。
其中,采用本实施例方案,HSS/HLR可根据拜访网络的指示来计算符合5G认证需要的鉴权向量五元组,有利于使得UE几乎无改动,进而降低方案的实施成本。
参见图3-B,图3-B是本申请实施例提供的另一种通信方法的流程示意图。图3-B举例所示的通信方法可以基于图1-E所示网络架构来具体实施。另一种通信方法可以包括:
301b.UE向AMF发送注册请求。所述注册请求可携带所述UE的SUCI。
302b.AMF接收来自UE的注册请求,AMF向HSS/HLR发送携带有鉴权向量请求指示的第一请求,鉴权向量请求指示用于请求鉴权向量。
第一请求还可携带所述UE的SUCI。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
303b.HSS/HLR接收来自AMF的第一请求,HSS/HLR根据鉴权向量请求指示将鉴权向量五元组中AMF的0bit位置1,并向AMF发送第一请求的响应,其中,第一请求的响应携带鉴权向量五元组。
其中,当第一请求携带所述UE的SUCI,HSS/HLR可解密SUCI而得到SUPI。
304b.AMF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,AMF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’认证。
或者,第一请求的响应还携带认证方式指示,其中,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。AMF可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则AMF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则AMF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用5G EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI由AMF或HSS通过解密SUCI而得到。
AMF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf也可以在步骤307b之后再执行。
305b.AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
306b、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
307b.AMF收到来自UE的认证响应后,对UE的返回结果(RES*或RES)进行认证,具体是进行5G AKA认证或5G EAP-AKA’认证。
其中,采用本实施例方案,HSS/HLR可根据AMF的指示来计算符合5G认证需要的鉴权向量五元组,有利于使得UE几乎无改动,进而降低方案的实施成本。
参见图4-A,图4-A是本申请实施例提供的另一种通信方法的流程示意图。图4-A举例所示的通信方法可以基于图1-C或图1-D所示网络架构来具体实施,与图3-A所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF可以部署在拜访网络,也可部署在归属网络。若部署在拜访网络,该IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图4-A举例所示,另一种通信方法可以包括:
401.UE向拜访网络的AMF发送注册请求,所述注册请求可携带采用null scheme保护的所述UE的SUCI。
402.AMF向IWF发送用户认证请求。
403.IWF向归属域HSS/HLR发送携带鉴权向量请求指示的第一请求,鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
404.HSS/HLR接收来IWF的第一请求,HSS/HLR根据鉴权向量请求指示将鉴权向量五元组中AMF的0bit位置1,向IWF发送第一请求的响应,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
405.IWF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,IWF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’进行认证。
可选地,第一请求的响应还携带认证方式指示,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。IWF也可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则IWF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则IWF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)。
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI由IWF从SUCI中获取。
IWF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf的也可以在步骤410之后实施。
406、IWF向AMF发送用户认证响应,所述用户认证响应携带5G鉴权向量。
407、AMF接收来自IWF的用户认证响应,AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
408、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
409.AMF收到来自UE的认证响应之后,向IWF转发来自UE的认证响应。
410.IWF接收AMF转发的来自UE的认证响应,对UE的返回结果(RES*或RES)进行认证,具体是5G AKA认证或5G EAP-AKA’认证。
411.IWF向AMF反馈对UE的认证结果。
此外,可选的,也可由AMF在用户认证请求中携带鉴权向量请求指示,由IWF将这个用户认证请求转发给HSS/HLR。可以由IWF负责由鉴权向量五元组到5G鉴权向量和5G安全秘钥的计算;对于5G AKA认证,AMF仍然可执行HXRES*的认证,IWF完成XRES*的认证。而对于EAP-AKA’,则可由IWF完成XRES的认证。即,图4-A举例流程中,AMF执行的一些功能也可以改为由IWF执行,IWF执行的一些功能也改为由AMF执行。
本实施例方案中,通过引入IWF负责5G鉴权向量的生成和UE的认证,有利于减少对AMF的改动。
参见图4-B,图4-B是本申请实施例提供的另一种通信方法的流程示意图。图4-B举例所示的通信方法可以基于图1-F所示网络架构来具体实施,其中,与图3-B所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证。IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图4-B举例所示,另一种通信方法可以包括:
401b.UE向AMF发送注册请求,所述注册请求可携带所述UE的SUCI。
402b.AMF向IWF发送用户认证请求。
403b.IWF向HSS/HLR发送携带鉴权向量请求指示的第一请求,鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
404b.HSS/HLR接收来IWF的第一请求,HSS/HLR根据鉴权向量请求指示将鉴权向量五元组中AMF的0bit位置1,向IWF发送第一请求的响应,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
405b.IWF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,IWF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’进行认证。
可选地,第一请求的响应还携带认证方式指示,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。IWF也可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则IWF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则IWF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)。
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI可由IWF或HSS通过解密SUCI而得到。
IWF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf的也可以在步骤410b之后实施。
406b、IWF向AMF发送用户认证响应,所述用户认证响应携带5G鉴权向量。
407b、AMF接收来自IWF的用户认证响应,AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
408b、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
409b.AMF收到来自UE的认证响应之后,向IWF转发来自UE的认证响应。
410b.IWF接收AMF转发的来自UE的认证响应,对UE的返回结果(RES*或RES)进行认证,具体是5G AKA认证或5G EAP-AKA’认证。
411b.IWF向AMF反馈对UE的认证结果。
此外,可选的,也可由AMF在用户认证请求中携带鉴权向量请求指示,由IWF将这个用户认证请求转发给HSS/HLR。可以由IWF负责由鉴权向量五元组到5G鉴权向量和5G安全秘钥的计算;对于5G AKA认证,AMF仍然可执行HXRES*的认证,IWF完成XRES*的认证。而对于EAP-AKA’,则可由IWF完成XRES的认证。即,图4-B举例流程中,AMF执行的一些功能也可以改为由IWF执行,IWF执行的一些功能也改为由AMF执行。
本实施例方案中,通过引入IWF负责5G鉴权向量的生成和UE的认证,有利于减少对AMF的改动。
参见图5-A,图5-A是本申请实施例提供的另一种通信方法的流程示意图。图5-A举例所示的通信方法可以基于图1-B所示网络架构来具体实施。另一种通信方法可以包括:
501.UE向拜访网络的AMF发送注册请求,所述注册请求可携带采用例如nullscheme保护的所述UE的SUCI。
502.AMF接收来自UE的注册请求,AMF向归属网络HSS/HLR发送携带鉴权向量请求指示的第二请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。鉴权向量请求指示具体可指示出需要4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或者多个。
此外,可选地,AMF根据本地策略,如果决策需要4G-AKA鉴权向量,则通过S6a接口向HSS/HLR发送第二请求,如果决策需要4G EAP-AKA’向量,则通过SWx接口向HSS/HLR发送第二请求。HSS/HLR则可基于接收消息的接口类型,判断AMF需要哪种4G鉴权向量。
503.HSS/HLR接收来自拜访网络的AMF的第二请求,根据鉴权向量请求指示或第二请求的接收接口生成4G鉴权向量,向AMF发送第二请求的响应,其中,第二请求的响应携带鉴权4G鉴权向量。
HSS可根据鉴权向量请求指示、接收第而请求的接口或本地策略,来确定和下发4G-AKA鉴权向量或EAP-AKA’鉴权向量。
具体例如,HSS/HLR设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,HSS/HLR根据接收第二请求的接口,可确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量。所述5G鉴权向量例如为5G EAP-AKA’鉴权向量或5G AKA鉴权向量。所述4G鉴权向量例如为4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则所述第一核心网设备可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则HSS/HLR设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述HSS/HLR从S6a接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述HSS/HLR从SWx接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述HSS/HLR根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4GAKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
可选地,第二请求的响应还可携带向量映射指示(indicator),这个向量映射指示用来指示将4G鉴权向量映射到5G鉴权向量。
可选地,第二请求的响应还可携带认证方式指示,认证方式指示用来指示5G AKA认证或者5G EAP-AKA’认证。或者如果可进行4G鉴权认证,第二请求的响应还可携带下发认证方法方式指示indicator,用来指示UE进行4G AKA认证或者4G EAP-AKA’认证。
504.AMF获取到4G鉴权向量后,可根据本地策略或HSS下发的认证方式指示,决策采用5G AKA认证或5G EAP-AKA’认证。
例如AMF将4G鉴权向量映射为5G鉴权向量。
A、若采用5G AKA认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK||IK,然后计算XRES*,Kausf和Kseaf。
例如,CK||IK=KDF(Kasme或者CK’||IK’,SN name)。
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后进行XRES*,Kausf,Kseaf的计算,其中,推导XRES*的时候CK||IK也可用Kausf代替。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)。
B、若采用5G EAP-AKA’认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK’||IK’,然后计算Kausf和Kseaf。
推导举例CK’||IK’=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后计算Kseaf。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
其中5G安全秘钥的推导可以在508之后执行。
C、若决策采用4G AKA认证或4G EAP-AKA’认证,则可以存储XRES以及Kasme或者CK’IK’。
505.AMF向UE发送携带4G鉴权向量的认证请求,并可携带向量映射指示,向量映射指示可以来自HSS/HLR,也可以AMF自己生成,向量映射指示用于指示UE进行4G鉴权向量到5G鉴权向量的映射。
可选地,AMF也在通过认证请求下发AUTN和XRES,并携带认证方式指示,认证方式指示可来自HSS/HLR,也可为AMF自己生成,这个认证方式指示用来指示UE进行4G认证(例如4G AKA认证或4G EAP-AKA’认证)。
506.UE按照4G方式计算鉴权向量,得到Kasme或者IK’,CK’,然后按照与AMF相同的方式进行5G鉴权向量和秘钥的推导。
可选地,UE根据指示进行4G鉴权认证或5G鉴权认证。
507.UE向AMF发送携带RES/RES*的认证响应。
508.AMF对UE进行4G鉴权认证或5G鉴权认证,并可按照同样方式进行相关安全秘钥的推导。
例如AMF比较从UE收到的RES与存储的XRES,若认证通过,则继续后续流程,与UE之间用4G秘钥进行保护。
本申请方案实施例方案中,UE和AMF完成认证上下文及秘钥的从4G鉴权向量到5G鉴权向量的映射,有利于尽量不对HSS/HLR改动。
参见图5-B,图5-B是本申请实施例提供的另一种通信方法的流程示意图。图5-B举例所示的通信方法可以基于图1-E所示网络架构来具体实施。另一种通信方法可以包括:
501b.UE向AMF发送注册请求,所述注册请求可携带所述UE的SUCI。
502b.AMF接收来自UE的注册请求,AMF向HSS/HLR发送携带鉴权向量请求指示的第二请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。鉴权向量请求指示具体可指示出需要4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或者多个。
此外,可选地,AMF根据本地策略,如果决策需要4G-AKA鉴权向量,则通过S6a接口向HSS/HLR发送第二请求,如果决策需要4G EAP-AKA’向量,则通过SWx接口向HSS/HLR发送第二请求。HSS/HLR则可基于接收消息的接口类型,判断AMF需要哪种4G鉴权向量。
503b.HSS/HLR接收来自AMF的第二请求,根据鉴权向量请求指示或第二请求的接收接口生成4G鉴权向量,向AMF发送第二请求的响应,其中,第二请求的响应携带鉴权4G鉴权向量。
HSS可根据鉴权向量请求指示、接收第而请求的接口或本地策略,来确定和下发4G-AKA鉴权向量或EAP-AKA’鉴权向量。
具体例如,HSS/HLR设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,HSS/HLR根据接收第二请求的接口,可确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量。所述5G鉴权向量例如为5G EAP-AKA’鉴权向量或5G AKA鉴权向量。所述4G鉴权向量例如为4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则所述第一核心网设备可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则HSS/HLR设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述HSS/HLR从S6a接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述HSS/HLR从SWx接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述HSS/HLR根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4GAKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
可选地,第二请求的响应还可携带向量映射指示(indicator),这个向量映射指示用来指示将4G鉴权向量映射到5G鉴权向量。
可选地,第二请求的响应还可携带认证方式指示,认证方式指示用来指示5G AKA认证或者5G EAP-AKA’认证。或者如果可进行4G鉴权认证,第二请求的响应还可携带下发认证方法方式指示indicator,用来指示UE进行4G AKA认证或者4G EAP-AKA’认证。
504b.AMF获取到4G鉴权向量后,可根据本地策略或HSS下发的认证方式指示,决策采用5G AKA认证或5G EAP-AKA’认证。
例如AMF将4G鉴权向量映射为5G鉴权向量。
A、若采用5G AKA认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK||IK,然后计算XRES*,Kausf和Kseaf。
例如,CK||IK=KDF(Kasme或者CK’||IK’,SN name)。
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后进行XRES*,Kausf,Kseaf的计算,其中,推导XRES*的时候CK||IK也可用Kausf代替。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)。
B、若采用5G EAP-AKA’认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK’||IK’,然后计算Kausf和Kseaf。
推导举例CK’||IK’=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后计算Kseaf。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
其中5G安全秘钥的推导可以在508b之后执行。
C.若决策采用4G AKA认证或4G EAP-AKA’认证,则可以存储XRES以及Kasme或者CK’IK’。
505b.AMF向UE发送携带4G鉴权向量的认证请求,并可携带向量映射指示,向量映射指示可以来自HSS/HLR,也可以AMF自己生成,向量映射指示用于指示UE进行4G鉴权向量到5G鉴权向量的映射。
可选地,AMF也在通过认证请求下发AUTN和XRES,并携带认证方式指示,认证方式指示可来自HSS/HLR,也可为AMF自己生成,这个认证方式指示用来指示UE进行4G认证(例如4G AKA认证或4G EAP-AKA’认证)。
506b.UE按照4G方式计算鉴权向量,得到Kasme或者IK’,CK’,然后按照与AMF相同的方式进行5G鉴权向量和秘钥的推导。
可选地,UE根据指示进行4G鉴权认证或5G鉴权认证。
507b.UE向AMF发送携带RES/RES*的认证响应。
508b.AMF对UE进行4G鉴权认证或5G鉴权认证,并可按照同样方式进行相关安全秘钥的推导。
例如AMF比较从UE收到的RES与存储的XRES,若认证通过,则继续后续流程,与UE之间用4G秘钥进行保护。
本实施例的方案中,UE和AMF完成认证上下文及秘钥的从4G鉴权向量到5G鉴权向量的映射,有利于尽量不对HSS/HLR改动。
参见图6-A,图6-A是本申请实施例提供的另一种通信方法的流程示意图。图6-A举例所示的通信方法可以基于图1-C或图1-D所示网络架构来具体实施,与图5-A所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF可以部署在拜访网络,也可部署在归属网络。若部署在拜访网络,该IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图6-A举例所示,另一种通信方法可以包括:
601.UE向拜访网络发起注册请求,其中,所述注册请求携带采用null scheme保护的所述UE的SUCI。
602.AMF接收来自UE的注册请求,AMF向IWF发送用户认证请求。
603.IWF接收来自AMF的用户认证请求,IWF向归属域HSS/HLR发送携带鉴权向量请求指示的第二请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或者多个。
此外,可选地,IWF根据本地策略,如果决策需要4G-AKA向量,则通过S6a接口发送第二请求,如果决策需要EAP-AKA’向量,则通过SWx接口发送第二请求。
604.HSS/HLR根据鉴权向量请求指示或第二请求的接收接口生成4G鉴权向量,向IWF发送第二请求的响应,第二请求的响应携带鉴权4G鉴权向量。
HSS可根据鉴权向量请求指示、接收第而请求的接口或本地策略,来确定和下发4G-AKA鉴权向量或EAP-AKA’鉴权向量。
具体例如,HSS/HLR设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,HSS/HLR根据接收第二请求的接口,可确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量例如为5G EAP-AKA’鉴权向量或5G AKA鉴权向量。所述4G鉴权向量例如为4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则所述第一核心网设备可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则HSS/HLR设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述HSS/HLR从S6a接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述HSS/HLR从SWx接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述HSS/HLR根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4GAKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
可选地,第二请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA或者5G EAP-AKA’认证。
可选地,第二请求的响应还可携带向量映射指示(indicator),这个向量映射指示用来指示将4G鉴权向量映射到5G鉴权向量。
可选地,如果可进行4G鉴权认证,第二请求的响应还可携带下发认证方法方式指示indicator,用来指示UE进行4G AKA认证或者4G EAP-AKA’认证。
605.IWF获取到4G鉴权向量后,可根据本地策略或HSS的指示,决策采用5G AKA认证或5G EAP-AKA’认证。
例如AMF将4G鉴权向量映射为5G鉴权向量。
A、若采用5G AKA认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK||IK,然后进行XRES*,Kausf,Kseaf的计算。
推导举例CK||IK=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后进行XRES*,Kausf,Kseaf的计算,其中推导XRES*的时候CK||IK用Kausf代替。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
B、若采用EAP-AKA’认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK’||IK’,然后进行Kausf,Kseaf的计算。
推导举例CK’||IK’=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后计算Kseaf。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
其中秘钥推导可以在步骤609再进行。
C.若决策采用4G AKA认证或4G EAP-AKA’认证,则可以存储XRES以及Kasme或者CK’IK’
606.IWF向AMF发送携带5G鉴权向量/4G鉴权向量的用户认证请求。
607.AMF向UE发送携带4G鉴权向量的认证请求,并可携带向量映射指示,该向量映射指示可来自HSS/HLR,也可AMF自己生成。该向量映射指示指示用来指示UE将4G鉴权向量映射到5G鉴权向量。
可选地,AMF也在通过认证请求下发AUTN和XRES,并携带认证方式指示,认证方式指示可来自HSS/HLR,也可为AMF自己生成,这个认证方式指示用来指示UE进行4G认证(例如4G AKA认证或4G EAP-AKA’认证)。
608.UE按照4G方式计算鉴权向量,得到Kasme或者IK’,CK’,然后按照与AMF相同的方式进行5G鉴权向量和秘钥的推导。
可选地,UE根据指示进行4G鉴权认证或5G鉴权认证。
609.UE向AMF发送携带RES/RES*认证响应。
610.AMF向IWF发送携带RES/RES*认证响应。
611.IWF对UE进行4G鉴权认证或5G鉴权认证,并可按照同样方式进行相关安全秘钥的推导。
例如IWF比较从UE收到的RES与存储的XRES,若认证通过,则继续后续流程,与UE之间用4G秘钥进行保护。
612、IWF向AMF发送UE的鉴权认证结果。
本实施例方案,通过引入IWF负责认证上下文和秘钥的映射以及UE的认证,有利于减少AMF的改动。
参见图6-B,图6-B是本申请实施例提供的另一种通信方法的流程示意图。图6-B举例所示的通信方法可以基于图1-F所示网络架构来具体实施,其中,与图5-B所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图6-B举例所示,另一种通信方法可以包括:
601b.UE向AMF发起注册请求,其中,所述注册请求携带所述UE的SUCI。
602b.AMF接收来自UE的注册请求,AMF向IWF发送用户认证请求。
603b.IWF接收来自AMF的用户认证请求,IWF向HSS/HLR发送携带鉴权向量请求指示的第二请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或者多个。
此外,可选地,IWF根据本地策略,如果决策需要4G-AKA向量,则通过S6a接口发送第二请求,如果决策需要EAP-AKA’向量,则通过SWx接口发送第二请求。
604b.HSS/HLR根据鉴权向量请求指示或第二请求的接收接口生成4G鉴权向量,向IWF发送第二请求的响应,第二请求的响应携带鉴权4G鉴权向量。
HSS可根据鉴权向量请求指示、接收第而请求的接口或本地策略,来确定和下发4G-AKA鉴权向量或EAP-AKA’鉴权向量。
具体例如,HSS/HLR设备根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,HSS/HLR根据接收第二请求的接口,可确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量例如为5G EAP-AKA’鉴权向量或5G AKA鉴权向量。所述4G鉴权向量例如为4G EAP-AKA’鉴权向量或4G AKA鉴权向量。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则所述第一核心网设备可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则HSS/HLR设备例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述HSS/HLR从S6a接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述HSS/HLR从SWx接口收到所述第二请求,则HSS/HLR例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述HSS/HLR根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4GAKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
可选地,第二请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA或者5G EAP-AKA’认证。
可选地,第二请求的响应还可携带向量映射指示(indicator),这个向量映射指示用来指示将4G鉴权向量映射到5G鉴权向量。
可选地,如果可进行4G鉴权认证,第二请求的响应还可携带下发认证方法方式指示indicator,用来指示UE进行4G AKA认证或者4G EAP-AKA’认证。
605b.IWF获取到4G鉴权向量后,可根据本地策略或HSS的指示,决策采用5G AKA认证或5G EAP-AKA’认证。
例如AMF将4G鉴权向量映射为5G鉴权向量。
A、若采用5G AKA认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK||IK,然后进行XRES*,Kausf,Kseaf的计算。
推导举例CK||IK=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后进行XRES*,Kausf,Kseaf的计算,其中推导XRES*的时候CK||IK用Kausf代替。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
B、若采用EAP-AKA’认证,则AMF通过Kasme或者CK’||IK’以及其他参数推导出CK’||IK’,然后进行Kausf,Kseaf的计算。
推导举例CK’||IK’=KDF(Kasme或者CK’||IK’,SN name)
可选地,AMF通过Kasme或者CK’||IK’以及其他参数推导出Kausf,然后计算Kseaf。
推导举例Kausf=KDF(Kasme或者CK’||IK’,SN name)
其中秘钥推导可以在步骤609b再进行。
C.若决策采用4G AKA认证或4G EAP-AKA’认证,则可以存储XRES以及Kasme或者CK’IK’
606b.IWF向AMF发送携带5G鉴权向量/4G鉴权向量的用户认证请求。
607b.AMF向UE发送携带4G鉴权向量的认证请求,并可携带向量映射指示,该向量映射指示可来自HSS/HLR,也可AMF自己生成。该向量映射指示指示用来指示UE将4G鉴权向量映射到5G鉴权向量。
可选地,AMF也在通过认证请求下发AUTN和XRES,并携带认证方式指示,认证方式指示可来自HSS/HLR,也可为AMF自己生成,这个认证方式指示用来指示UE进行4G认证(例如4G AKA认证或4G EAP-AKA’认证)。
608b.UE按照4G方式计算鉴权向量,得到Kasme或者IK’,CK’,然后按照与AMF相同的方式进行5G鉴权向量和秘钥的推导。
可选地,UE根据指示进行4G鉴权认证或5G鉴权认证。
609b.UE向AMF发送携带RES/RES*认证响应。
610b.AMF向IWF发送携带RES/RES*认证响应。
611b.IWF对UE进行4G鉴权认证或5G鉴权认证,并可按照同样方式进行相关安全秘钥的推导。
例如IWF比较从UE收到的RES与存储的XRES,若认证通过,则继续后续流程,与UE之间用4G秘钥进行保护。
612b、IWF向AMF发送UE的鉴权认证结果。
本实施例方案,通过引入IWF负责认证上下文和秘钥的映射以及UE的认证,有利于减少AMF的改动。
参见图7-A,图7-A是本申请实施例提供的另一种通信方法的流程示意图。图7-A举例所示的通信方法可以基于图1-B所示网络架构来具体实施。另一种通信方法可以包括:
701.UE向拜访网络发起注册请求,其中,所述注册请求携带采用null scheme保护的所述UE的SUCI。
702.AMF向归属域HSS/HLR发送携带鉴权向量请求指示的第三请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
703.HSS/HLR根据鉴权向量请求指示生成5G鉴权向量,向AMF发送第三请求的响应,第三请求的响应携带5G鉴权向量。
可选地,第三请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA认证或者5G EAP-AKA’认证。
704.AMF获取到5G鉴权向量后,可根据本地策略决策采用5G AKA认证或EAP-AKA’进行认证。
可选地,可根据HSS/HLR下发的指示选取认证方法。
AMF计算秘钥Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,秘钥推导的操作也可以放在706认证之后再进行。
705.AMF向UE发送认证请求。
706.UE按照根据收到的认证请求中携带的AUTN认证网络,若认证方式为5G AKA且认证通过,则计算RES*返回给网络,其中,计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为EAP-AKA’且认证通过,则计算RES并返回给网络,其中计算RES的方式与AMF计算XRES的方式一致。
707.AMF收到UE认证响应之后,对UE的返回结果进行认证。
其中,采用本实施例方案,HSS/HLR可根据指示来计算5G鉴权向量,有利于使得UE完全无改动,降低优化实施成本。
参见图7-B,图7-B是本申请实施例提供的另一种通信方法的流程示意图。图7-B举例所示的通信方法可以基于图1-E所示网络架构来具体实施。另一种通信方法可以包括:
701b.UE向AMF发起注册请求,其中,所述注册请求可携带所述UE的SUCI。
702b.AMF向HSS/HLR发送携带鉴权向量请求指示的第三请求(用户认证请求或认证数据请求),鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
703b.HSS/HLR根据鉴权向量请求指示生成5G鉴权向量,向AMF发送第三请求的响应,第三请求的响应携带5G鉴权向量。
可选地,第三请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA认证或者5G EAP-AKA’认证。
704b.AMF获取到5G鉴权向量后,可根据本地策略决策采用5G AKA认证或EAP-AKA’进行认证。
可选地,可根据HSS/HLR下发的指示选取认证方法。
AMF计算秘钥Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,秘钥推导的操作也可以放在706b认证之后再进行。
705b.AMF向UE发送认证请求。
706b.UE按照根据收到的认证请求中携带的AUTN认证网络,若认证方式为5G AKA且认证通过,则计算RES*返回给网络,其中,计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为EAP-AKA’且认证通过,则计算RES并返回给网络,其中计算RES的方式与AMF计算XRES的方式一致。
707b.AMF收到UE认证响应之后,对UE的返回结果进行认证。
其中,采用本实施例方案,HSS/HLR可根据指示来计算5G鉴权向量,有利于使得UE完全无改动,降低优化实施成本。
参见图8-A,图8-A是本申请实施例提供的另一种通信方法的流程示意图。图8-A举例所示的通信方法可以基于图1-C或图1-D所示网络架构来具体实施,与图7-A所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF可以部署在拜访网络,也可部署在归属网络。若部署在拜访网络,该IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图8-A所示,另一种通信方法可以包括:
801.UE向拜访网络发起注册请求,其中,所述注册请求携带采用null scheme保护的所述UE的SUCI。
802.AMF向IWF发送认证请求。
803、IWF向归属域HSS/HLR发送携带鉴权向量请求指示的第三请求,鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
804.HSS/HLR根据鉴权向量请求指示生成5G鉴权向量,向IWF发送第三请求的响应,第三请求的响应携带5G鉴权向量。
可选地,第三请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA认证或者5G EAP-AKA’认证。
805.IWF获取到5G鉴权向量后,可根据本地策略决策采用5G AKA或EAP-AKA’进行认证。IWF向AMF发送携带5G鉴权向量的用户认证响应。
可选地,可根据HSS/HLR下发的认证方式指示选取认证方式。
IWF计算秘钥Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,秘钥推导步骤也可以放在步骤809之后再进行。
806.AMF向UE发送认证请求。
807.UE按照根据收到的认证请求中携带的AUTN认证网络,若认证方式为5G AKA且认证通过,则计算RES*返回给网络,其中,计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为EAP-AKA’且认证通过,则计算RES并返回给网络,其中计算RES的方式与AMF计算XRES的方式一致。
808.AMF收到UE认证响应之后,向IWF转发认证响应。
809、IWF对UE的返回结果进行认证。
810、IWF向AMF发送对应的鉴权认证结果。
可以看出,采用本实施例方案,HSS/HLR可根据指示来计算5G鉴权向量,有利于使得UE完全无改动,降低优化实施成本。且引入IWF有减少对AMF的改动。
参见图8-B,图8-B是本申请实施例提供的另一种通信方法的流程示意图。图8-B举例所示的通信方法可以基于图1-F所示网络架构来具体实施,与图7-B所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图8-B所示,另一种通信方法可以包括:
801b.UE向AMF发起注册请求,其中,所述注册请求携带所述UE的SUCI。
802b.AMF向IWF发送认证请求。
803b.IWF向HSS/HLR发送携带鉴权向量请求指示的第三请求,鉴权向量请求指示用于请求鉴权向量。
鉴权向量请求指示例如包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识。
所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
804b.HSS/HLR根据鉴权向量请求指示生成5G鉴权向量,向IWF发送第三请求的响应,第三请求的响应携带5G鉴权向量。
可选地,第三请求的响应还携带认证方式指示,其中,认证方式指示用于指示UE进行5G AKA认证或者5G EAP-AKA’认证。
805b.IWF获取到5G鉴权向量后,可根据本地策略决策采用5G AKA或EAP-AKA’进行认证。IWF向AMF发送携带5G鉴权向量的用户认证响应。
可选地,可根据HSS/HLR下发的认证方式指示选取认证方式。
IWF计算秘钥Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,秘钥推导步骤也可以放在步骤809b之后再进行。
806b.AMF向UE发送认证请求。
807b.UE按照根据收到的认证请求中携带的AUTN认证网络,若认证方式为5G AKA且认证通过,则计算RES*返回给网络,其中,计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为EAP-AKA’且认证通过,则计算RES并返回给网络,其中计算RES的方式与AMF计算XRES的方式一致。
808b.AMF收到UE认证响应之后,向IWF转发认证响应。
809b.IWF对UE的返回结果进行认证。
810b.IWF向AMF发送对应的鉴权认证结果。
可以看出,采用本实施例方案,HSS/HLR可根据指示来计算5G鉴权向量,有利于使得UE完全无改动,降低优化实施成本。且引入IWF有减少对AMF的改动。
下面还提供一些产品实施例。
参见图9,本申请实施例的一种核心网设备900,包括:
相互耦合的处理器910和存储器920。其中,所述处理器910调用所述存储器920中存储的程序,以执行本申请实施例中由第一核心网设备(例如HSS/HLR)执行任意一种方法的部分或全部步骤。
参见图10,本申请实施例的一种核心网设备1000,包括:
相互耦合的处理器1010和存储器1020。其中,所述处理器1010调用所述存储器1020中存储的程序,以执行本申请实施例中由第二核心网设备(例如AMF)执行任意一种方法的部分或全部步骤。
参见图11,本申请实施例的一种核心网设备1100,包括:
相互耦合的处理器1110和存储器1120。其中,所述处理器1110调用所述存储器1120中存储的程序,以执行本申请实施例中由第三核心网设备(例如IWF等)执行任意一种方法的部分或全部步骤。
参见图12,本申请实施例的一种用户设备1200,包括:
相互耦合的处理器1210和存储器1220。其中,所述处理器1210调用所述存储器1220中存储的程序,以执行本申请实施例中由用户设备执行任意一种方法的部分或全部步骤。
参见图13,本申请实施例的一种第一核心网设备1300,可包括:
收发单元1310,用于当用户设备从第一网络漫游到第二网络,接收第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备。
处理单元1320,用于根据所述鉴权向量请求指示生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1。
所述收发单元1310还用于,发送第一请求的响应,其中,所述第一请求的响应携带所述鉴权向量五元组。
参见图14,本申请实施例的一种第二核心网设备1400,包括:
收发单元1410,当用户设备从第一网络漫游到第二网络,发送第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备;
收发单元1410还用于接收携带有鉴权向量五元组的第一请求的响应,所述鉴权向量五元组的认证管理域的第0bit被置1;
处理单元1420,用于使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,其中,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5GAKA认证的情况下,生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量;在所述认证方式指示表示对5G EAP-AKA’认证的情况下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,收发单元1410还用于,向所述用户设备发送认证请求;接收来自所述用户设备的认证响应;
所述处理单元1420还用于,在所述认证方式指示表示对5G EAP-AKA’认证的情况之下,对所述用户设备进行所述5G EAP-AKA’认证;或者,在所述认证方式指示表示5G AKA认证的情况之下,对所述用户设备进行所述5G AKA认证。
参见图15,本申请实施例的一种第三核心网设备1500,包括:
收发单元1510,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备;
收发单元1510,还用于向第一核心网设备发送携带有鉴权向量请求指示的第一请求,所述第一核心网设备为所述第一网络的核心网设备;
收发单元1510,还用于接收来自所述第一核心网设备的第一请求的响应,所述第一请求的响应携带鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1;
处理单元1520,用于使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量;
收发单元1510还用于向所述第二核心网设备发送所述第一请求的响应。
在一些可能实施方式中,所述第一请求的响应还携带有认证方式指示,其中,所述认证方式指示用于表示5G AKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5GEAP-AKA’认证的情况下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量;在所述认证方式指示表示5G AKA认证的情况下,生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量。
在一些可能实施方式中,所述收发单元1510,还可用于接收来自所述第二核心网设备的认证响应。
处理单元1520还用于,在所述认证方式指示表示5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证;或者,在所述认证方式指示表示EAP-AKA’认证的情况下,对所述用户设备进行所述EAP-AKA’认证。
在一些可能实施方式中,处理单元1520还用于,使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
参见图16,本申请实施例的一种第一核心网设备1600,包括:
收发单元1610,用于当用户设备从第一网络漫游到第二网络,接收第二请求,所述第二请求为用户认证请求或认证数据请求。其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第一核心网设备为所述第一网络的核心网设备;其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口接收。
处理单元1620,用于根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。或者,根据接收所述第二请求的接口,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量。
收发单元1610用于,发送携带有4G鉴权向量的第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量例如为EAP-AKA’鉴权向量或5G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
具体例如:若所述鉴权向量请求指示表示接入网类型为5G接入网或者请求鉴权向量的节点为AMF、AUSF、IWF或鉴权代理,则处理单元可根据本地策略确定用户设备的4G鉴权向量为4G AKA或4G EAP-AKA’鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为MME,则处理单元例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述鉴权向量请求指示表示请求鉴权向量的节点为AAA-server,则处理单元例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
若所述第一核心网设备从S6a接口收到所述第二请求,则处理单元例如可确定用户设备的4G鉴权向量为4G AKA鉴权向量。
若所述第一核心网设备从SWx接口收到所述第二请求,则处理单元例如可确定用户设备的4G鉴权向量为4G EAP-AKA’鉴权向量。
当然,所述处理单元根据鉴权向量请求指示,确定所述用户设备的4G鉴权向量为4G AKA鉴权向量或者4G EAP-AKA’鉴权向量的方式,并不限于上述举例的方式。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示。所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
参见图17,本申请实施例的一种第二核心网设备1700,包括:
发送单元1720,用于当用户设备从第一网络漫游到第二网络,发送第二请求,所述第二请求为用户认证请求或认证数据请求,其中,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备;其中,所述第二请求携带鉴权向量请求指示,或者所述第二请求通过S6a接口或SWx接口发送;
接收单元1710,用于接收携带有4G鉴权向量的第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示;所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,第二核心网设备还包括处理单元1730,用于在所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述处理单元1730还用于,根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式中,所述发送单元还用于,向所述用户设备发送认证请求。例如所述认证请求携带所述鉴权向量生成指示和/或所述鉴权向量映射指示。
接收单元1710还用于,接收来自所述用户设备的认证响应。
所述处理单元1730还用于,在根据本地策略决定对所述用户设备采用5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证。
或者,在根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,对所述用户设备进行所述5G EAP-AKA’认证。
或者,在根据本地策略决定对所述用户设备采用4G AKA认证的情况下,对所述用户设备进行所述4G AKA认证。
或者,在根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述处理单元1730还用于,使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥可包括Kseaf和Kausf。
参见图18,本申请实施例的一种第三核心网设备1800,包括:
收发单元1810,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
收发单元1810还用于,通过S6a接口或SWx接口向第一核心网设备发送第二请求;或者在所述第二请求中携带鉴权向量请求指示;向第一核心网设备发送携带有所述鉴权向量请求指示的第二请求,所述第一核心网设备为所述第一网络的核心网设备。
收发单元1810还用于,接收携带4G鉴权向量的第二请求的响应,向所述第二核心网设备发送所述第二请求的响应。
其中,所述4G鉴权向量用于生成所述用户设备的5G鉴权向量,其中,所述5G鉴权向量为5G EAP-AKA’鉴权向量或者5G AKA鉴权向量。所述4G鉴权向量为4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括:接入网类型标识或请求节点标识中的一个或多个;其中,所述接入网类型标识所表示的接入网类型为5G接入网。所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、MME、AAA-server、IWF、SGSN、鉴权代理网元中的一个或多个。
在一些可能实施方式中,所述第二请求的响应还携带鉴权向量生成指示,所述鉴权向量生成指示用于指示所述用户设备生成4G EAP-AKA’鉴权向量或者4G AKA鉴权向量。
在一些可能实施方式中,所述第二响应还携带鉴权向量映射指示,所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量,或者所述鉴权向量映射指示表示将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述第三核心网设备还包括:处理单元1820,用于在所述鉴权向量映射指示表示将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为为5G AKA鉴权向量;或在所述鉴权向量映射指示表示将4GEAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,将第二请求的响应携带的4G鉴权向量映射为5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述处理单元1820还用于:根据本地策略决定对所述用户设备采用5G AKA认证或5G EAP-AKA’认证或4G AKA认证或4G EAP-AKA’认证。
在一些可能实施方式之中,所述收发单元1810还用于:接收来自所述第二核心网设备的认证响应。
所述处理单元1820还用于:在根据本地策略决定对所述用户设备采用5G AKA认证的情况下,对所述用户设备进行所述5G AKA认证;
或者,在根据本地策略决定对所述用户设备采用5G EAP-AKA’认证的情况下,对所述用户设备进行所述5G EAP-AKA’认证;
或者,在根据本地策略决定对所述用户设备采用4G AKA认证的情况下,对所述用户设备进行所述4G AKA认证;
或者,在根据本地策略决定对所述用户设备采用4G EAP-AKA’认证的情况下,对所述用户设备进行所述4G EAP-AKA’认证。
在一些可能实施方式中,所述处理单元1820还用于:所述第二核心网设备使用所述4G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
参见图19,本申请实施例提供的一种用户设备1900,包括:
收发单元1910,用于当用户设备从第一网络漫游到第二网络,接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量生成指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
处理单元1920,用于在所述认证请求携带的鉴权向量生成指示用于表示所述用户设备生成4G EAP-AKA’鉴权向量的情况下,生成的所述4G鉴权向量为4G EAP-AKA’鉴权向量;在所述鉴权向量生成指示用于表示所述用户设备生成4G AKA鉴权向量的情况下,生成的所述4G鉴权向量为4G AKA鉴权向量;
收发单元1910还用于,向所述核心网设备发送携带生成的所述4G EAP-AKA’或4GAKA鉴权向量的认证响应。
参见图20,本申请实施例提供的一种用户设备2000,包括:
收发单元2010,用于当用户设备从第一网络漫游到第二网络,接收所述第二核心网设备发送的认证请求,所述认证请求携带有鉴权向量映射指示;所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第二核心网设备为所述第二网络的核心网设备。
处理单元2020,用于在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量的情况下,所述用户设备生成4GEAP-AKA’鉴权向量;所述用户设备将所述生成的4G EAP-AKA’鉴权向量映射为5G EAP-AKA’鉴权向量。
处理单元2020还用于,在所述认证请求携带的鉴权向量映射指示指示出所述用户设备将4G AKA鉴权向量映射为5G AKA鉴权向量的情况下,所述用户设备生成4G AKA鉴权矢量;所述用户设备将所述生成的4G AKA鉴权向量映射为5G AKA鉴权向量。
所述收发单元2010还用于,向所述第二核心网设备发送认证响应,所述认证响应携带有映射得到的5G AKA鉴权向量或5G EAP-AKA’鉴权向量。
参见图21,本申请实施例提供一种第一核心网设备2100,包括:
接收单元2110,用于当用户设备从第一网络漫游到第二网络,接收第三请求,所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备。
发送单元2120,用于发送携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为EAP-AKA’鉴权向量或者5G AKA鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
参见图22,本申请实施例提供一种第二核心网设备2200,包括:
收发单元2210,用于当用户设备从第一网络漫游到第二网络,发送第三请求,所述第三请求为用户认证请求或认证数据请求,所述第三请求携带鉴权向量请求指示,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备。
收发单元2210还用于,接收携带有5G鉴权向量的第三请求的响应,所述5G鉴权向量为5G AKA鉴权向量或者5G EAP-AKA’鉴权向量。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识。
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,收发单元2210还用于,向所述用户设备发送认证请求;接收来自所述用户设备的认证响应。
第二核心网设备还包括处理单元2220,用于对所述用户设备进行5G AKA认证或者5G EAP-AKA’认证。
例如,当所述认证响应携带RES,处理单元2220将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,处理单元2220将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述处理单元还用于,使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
参见图23,本申请实施例提供一种第三核心网设备2300,包括:
收发单元2310,用于当用户设备从第一网络漫游到第二网络,接收来自第二核心网设备的第三请求,所述第三请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备;所述第二核心网设备为所述第二网络的核心网设备。
收发单元2310还用于,向第一核心网设备发送携带有鉴权向量请求指示的第三请求,所述第一核心网设备为所述第一网络的核心网设备。
收发单元2310还用于,接收携带5G鉴权向量的第三请求的响应,所述5G鉴权向量为5G AKA鉴权向量或者5G EAP-AKA’鉴权向量。
收发单元2310还用于,向所述第二核心网设备发送所述第三请求的响应。
在一些可能实施方式中,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识或请求节点标识;所述接入网类型标识所表示的接入网类型为5G接入网;所述请求节点标识所表示的请求鉴权向量的节点为AMF、AUSF、IWF、SGSN或鉴权代理网元中的一个或多个。
在一些可能实施方式中,收发单元2310还用于,接收来自所述用户设备的认证响应;
第三核心网设备还包括处理单元,用于对所述用户设备进行5G AKA认证或者5GEAP-AKA’认证。
例如,当所述认证响应携带RES,处理单元将所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES进行比较,在所述EAP-AKA’鉴权向量中的XRES与所述认证响应中携带的RES一致的情况下,确定所述用户设备认证通过。
或者,当所述认证响应携带RES*,处理单元2320将所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*进行比较,在所述5G AKA鉴权向量中的XRES*与所述认证响应中携带的RES*一致的情况下,则确定所述用户设备的认证通过。
在一些可能实施方式中,所述处理单元2320还用于,使用所述5G鉴权向量生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
在一些可能实施方式中,所述第三核心网设备为AUSF或IWF或鉴权代理网元。
参见图24-A,图24-A是本申请实施例提供的另一种通信方法的流程示意图。图24-A举例所示的通信方法可以基于图1-C或图1-D所示网络架构来具体实施,与图3-A所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF可以部署在拜访网络,也可部署在归属网络。若部署在拜访网络,该IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图24-A举例所示,另一种通信方法可以包括:
2401.UE向拜访网络的AMF发送注册请求。
2402.AMF向IWF发送用户认证请求。
2403.IWF向归属域HSS/HLR发送第一请求。
2404.HSS/HLR接收来IWF的第一请求,HSS/HLR将鉴权向量五元组中AMF的0bit位置1,向IWF发送第一请求的响应,其中,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
可选地,根据HSS/HLR例如根据本地配置将鉴权向量五元组中AMF的0bit位置1:
具体的,假设HSS/HLR为IWF、SGSN和MME设置不同的局向配置。具体例如,可参见图24-B,将IWF的局向设置为OFC1,将SGSN的局向设置为OFC2,MME的局向设置为OFC3。
当请求节点局向信息为OFC3时,HSS/HLR将鉴权向量五元组中AMF的0bit位置1,并向请求节点发送第一请求的响应,其中,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
2405.IWF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,IWF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’进行认证。
可选地,第一请求的响应还携带认证方式指示,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。IWF也可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则IWF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则IWF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)。
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI由IWF从SUCI中获取。
IWF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf的也可以在步骤410之后实施。
2406、IWF向AMF发送用户认证响应,所述用户认证响应携带5G鉴权向量。
2407、AMF接收来自IWF的用户认证响应,AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
2408、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
2409.AMF收到来自UE的认证响应之后,向IWF转发来自UE的认证响应。
2410.IWF接收AMF转发的来自UE的认证响应,对UE的返回结果(RES*或RES)进行认证,具体是5G AKA认证或5G EAP-AKA’认证。
2411.IWF向AMF反馈对UE的认证结果。
此外,可选的,也可由AMF在用户认证请求中携带鉴权向量请求指示,由IWF将这个用户认证请求转发给HSS/HLR。可以由IWF负责由鉴权向量五元组到5G鉴权向量和5G安全秘钥的计算;对于5G AKA认证,AMF仍然可执行HXRES*的认证,IWF完成XRES*的认证。而对于EAP-AKA’,则可由IWF完成XRES的认证。即,图24-A举例流程中,AMF执行的一些功能也可以改为由IWF执行,IWF执行的一些功能也改为由AMF执行。
本实施例方案中,通过引入IWF负责5G鉴权向量的生成和UE的认证,有利于减少对AMF的改动。
参见图25-A,图25-A是本申请实施例提供的另一种通信方法的流程示意图。图25-A举例所示的通信方法可以基于图1-C或图1-D所示网络架构来具体实施,与图3-A所对应实施例不同的是,本实施例引入第三核心网设备(本实施例中以第三核心网设备为IWF为例)进行5G鉴权向量的计算和认证,其中,IWF可以部署在拜访网络,也可部署在归属网络。若部署在拜访网络,该IWF也可替换为AUSF,鉴权代理网元或其他新增网元。
如图25-A举例所示,另一种通信方法可以包括:
2501.UE向拜访网络的AMF发送注册请求。
2502.AMF向IWF发送用户认证请求。
2503.IWF向归属域HSS/HLR发送第一请求。
2504.HSS/HLR接收来IWF的第一请求,HSS/HLR将鉴权向量五元组中AMF的0bit位置1,向IWF发送第一请求的响应,其中,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
可选地,根据HSS/HLR例如根据本地配置将鉴权向量五元组中AMF的0bit位置1:
具体的,例如IWF、SGSN和MME具有不同的IP地址和/或端口号。具体例如,可参见图25-B,其中,IWF的IP地址为IP-001,端口号为PORT001,SGSN的IP地址为IP-002,端口号为PORT002,MME的IP地址为IP-0032,端口号为PORT003。
例如,当请求节点的IP地址为IP-001时,HSS/HLR将鉴权向量五元组中AMF的0bit位置1,并向请求节点发送第一请求的响应,其中,第一请求的响应携带AMF的0bit位被置1的鉴权向量五元组。
2505.IWF接收第一请求的响应,获取第一请求的响应携带的鉴权向量五元组,并基于这个鉴权向量五元组生成所述UE的5G鉴权向量。
其中,IWF可根据本地策略决策采用5G AKA认证或5G EAP-AKA’进行认证。
可选地,第一请求的响应还携带认证方式指示,认证方式指示用于指示5G AKA认证或者5G EAP-AKA’认证。IWF也可基于第一请求的响应携带的认证方式指示来决策采用5GAKA认证或5G EAP-AKA’认证。例如,当认证方式指示表示5G EAP-AKA’认证,则IWF决策对UE采用5G EAP-AKA’认证;当认证方式指示表示5G AKA认证,则IWF决策对UE采用5G AKA认证。
举例来说,若采用5G AKA认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G AKA鉴权向量(RAND,AUTN,Kausf,XRES*)。
其中,5G AKA鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G AKA鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G AKA鉴权向量的XRES*=KDF(CK||IK,0x6B||SN name||length of SNname||RAND||length of RAND||XRES||length of XRES)。
例如KDF=HMAC-SHA-256(Key,S)。
又举例来说,若采用EAP-AKA’认证,则根据鉴权向量五元组(RAND,AUTN,CK,IK,XRES)计算5G EAP-AKA’鉴权向量(RAND,AUTN,CK’,IK’,XRES)。
其中,5G EAP-AKA’鉴权向量的RAND=鉴权向量五元组RAND。
其中,5G EAP-AKA’鉴权向量的AUTN=鉴权向量五元组的AUTN。
其中,5G EAP-AKA’鉴权向量的XRES=鉴权向量五元组的XRES。
例如Kausf为EMSK的高256位,其中,EMSK=MK[1152..1663]。
其中,MK=PRF'(IK'||CK',"EAP-AKA'"||SUPI)。
PRF'(K,S)=T1|T2|T3|T4|...
其中:
T1=HMAC-SHA-256(K,S|0x01)。
T2=HMAC-SHA-256(K,T1|S|0x02)。
T3=HMAC-SHA-256(K,T2|S|0x03)。
T4=HMAC-SHA-256(K,T3|S|0x04)。
其中,SUPI由IWF从SUCI中获取。
IWF还可计算秘钥Kseaf。
例如Kseaf=KDF(Kausf,0x6C||SN name||length of SN name)。
其中,计算秘钥Kseaf的也可以在步骤410之后实施。
2506、IWF向AMF发送用户认证响应,所述用户认证响应携带5G鉴权向量。
2507、AMF接收来自IWF的用户认证响应,AMF向UE发送认证请求,认证请求携带5G鉴权向量中的AUTN/RAND。
2508、UE接收来自AMF的认证请求之后,例如根据收到的AUTN认证网络,若认证方式为5G AKA认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES*,其中,UE计算RES*的方式与AMF计算XRES*的方式一致,若认证方式为5G EAP-AKA’认证且认证通过,则在向AMF发送的认证响应中携带计算出的RES,其中,UE计算RES的方式与AMF计算XRES的方式一致。
2509.AMF收到来自UE的认证响应之后,向IWF转发来自UE的认证响应。
2510.IWF接收AMF转发的来自UE的认证响应,对UE的返回结果(RES*或RES)进行认证,具体是5G AKA认证或5G EAP-AKA’认证。
2511.IWF向AMF反馈对UE的认证结果。
此外,可选的,也可由AMF在用户认证请求中携带鉴权向量请求指示,由IWF将这个用户认证请求转发给HSS/HLR。可以由IWF负责由鉴权向量五元组到5G鉴权向量和5G安全秘钥的计算;对于5G AKA认证,AMF仍然可执行HXRES*的认证,IWF完成XRES*的认证。而对于EAP-AKA’,则可由IWF完成XRES的认证。即,图25-A举例流程中,AMF执行的一些功能也可以改为由IWF执行,IWF执行的一些功能也改为由AMF执行。
本实施例方案中,通过引入IWF负责5G鉴权向量的生成和UE的认证,有利于减少对AMF的改动。
可以理解,本申请产品实施例中这些产品的功能模块的功能,可基于方法实施例的相关方法来实施,具体实施方式可参考上述方法实施例。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被硬件(例如处理器等)执行,以本申请实施例中由任意设备执行的任意一种方法的部分或全部步骤。
本申请实施例还提供了一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行以上各方面的任意一种方法的部分或者全部步骤。
在上述实施例中,可全部或部分地通过软件、硬件、固件、或其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在上述实施例中,对各实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个***,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,或者也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质例如可包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或光盘等各种可存储程序代码的介质。
Claims (56)
1.一种通信方法,其特征在于,包括:
当用户设备从第一网络漫游到第二网络,第一核心网设备接收第一请求,所述第一请求为用户认证请求或认证数据请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第一核心网设备为所述第一网络的核心网设备;
接收所述第一请求之后,所述第一核心网设备生成鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1;
所述第一核心网设备发送第一请求的响应,其中,所述第一请求的响应携带所述鉴权向量五元组,所述鉴权向量五元组用于得到所述用户设备的5G鉴权向量。
2.根据权利要求1所述的方法,其特征在于,所述第一请求携带鉴权向量请求指示,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识;
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将所述鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为接入与移动性管理功能、认证服务器功能、移动性管理实体、验证授权计费服务器、网间交互功能、服务GPRS支持节点或鉴权代理网元中的一个或多个。
3.根据权利要求1或2所述的方法,其特征在于,所述第一请求的响应还携带有认证方式指示,所述认证方式指示用于指示5G EAP-AKA’认证或者5G AKA认证。
4.根据权利要求1或2所述的方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
5.根据权利要求3所述的方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
6.根据权利要求1或2所述的方法,其特征在于,所述第一请求来自网间交互功能,所述第一核心网设备发送第一请求的响应包括:
所述第一核心网设备向所述网间交互功能发送所述第一请求的响应。
7.根据权利要求3所述的方法,其特征在于,所述第一请求来自网间交互功能,所述第一核心网设备发送第一请求的响应包括:
所述第一核心网设备向所述网间交互功能发送所述第一请求的响应。
8.根据权利要求6所述的方法,其特征在于,所述网间交互功能为所述第一网络或者所述第二网络的核心网设备。
9.根据权利要求1所述的方法,其特征在于,所述鉴权向量五元组包括CK、IK、随机数RAND、认证令牌AUTN和期望认证结果XRES,所述认证管理域位于所述AUTN中。
10.根据权利要求9所述的方法,其特征在于,所述AUTN用于所述用户设备认证网络。
11.根据权利要求9或10所述的方法,其特征在于,若认证方式为5G AKA认证,所述5G鉴权向量包括:所述RAND、所述AUTN、Kausf和期望认证结果XRES*。
12.根据权利要求9或10所述的方法,其特征在于,若认证方式为EAP-AKA’认证,所述5G鉴权向量包括:所述RAND、所述AUTN、CK’、IK’和所述XRES。
13.一种通信方法,其特征在于,包括:
当用户设备从第一网络漫游到第二网络,第三核心网设备接收来自第二核心网设备的用户认证请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,所述第三核心网设备为网间交互功能;所述第二核心网设备为所述第二网络的核心网设备;
所述第三核心网设备向第一核心网设备发送第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一核心网设备为所述第一网络的核心网设备;
所述第三核心网设备接收来自所述第一核心网设备的第一请求的响应,所述第一请求的响应携带鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1;
所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量;
所述第三核心网设备向所述第二核心网设备发送用户认证响应,所述用户认证响应携带所述5G鉴权向量。
14.根据权利要求13所述的方法,其特征在于,所述第一请求携带鉴权向量请求指示,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识;
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为接入与移动性管理功能、认证服务器功能、移动性管理实体、验证授权计费服务器、网间交互功能、服务通用分组无线服务支持节点或鉴权代理网元中的一个或多个。
15.根据权利要求13或14所述的方法,其特征在于,
所述第一请求的响应还携带有认证方式指示,其中,所述认证方式指示用于表示5GAKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5G EAP-AKA’认证的情况下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量;在所述认证方式指示表示5G AKA认证的情况下,生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:所述第三核心网设备接收来自所述第二核心网设备的认证响应;
在所述认证方式指示表示5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证;
或者,在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
17.根据权利要求13或14所述方法,其特征在于,所述方法还包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
18.根据权利要求15所述方法,其特征在于,所述方法还包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
19.根据权利要求16所述的方法,其特征在于,所述方法还包括:所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
20.根据权利要求13、14、16、18或19所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
21.根据权利要求15所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
22.根据权利要求17所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
23.根据权利要求13、14、16、18、19、21或22所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
24.根据权利要求15所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
25.根据权利要求17所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
26.根据权利要求20所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
27.根据权利要求13所述的方法,其特征在于,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备。
28.根据权利要求13所述的方法,其特征在于,所述鉴权向量五元组包括CK、IK、随机数RAND、认证令牌AUTN和期望认证结果XRES,所述认证管理域位于所述AUTN中。
29.根据权利要求28所述的方法,其特征在于,所述AUTN用于所述用户设备认证网络。
30.根据权利要求28或29所述的方法,其特征在于,若认证方式为5G AKA认证,所述5G鉴权向量包括:所述RAND、所述AUTN、Kausf和期望认证结果XRES*。
31.根据权利要求28或29所述的方法,其特征在于,若认证方式为EAP-AKA’认证,所述5G鉴权向量包括:所述RAND、所述AUTN、CK’,IK’和所述XRES。
32.一种通信方法,其特征在于,包括:
当用户设备从第一网络漫游到第二网络,第二核心网设备向所述第三核心网设备发送用户认证请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备;
第三核心网设备接收来自所述第二核心网设备的所述用户认证请求,所述第三核心网设备为网间交互功能;
所述第三核心网设备向第一核心网设备发送第一请求,所述第一请求为用户认证请求或认证数据请求,所述第一核心网设备为所述第一网络的核心网设备;
所述第三核心网设备接收来自所述第一核心网设备的第一请求的响应,所述第一请求的响应携带鉴权向量五元组,所述鉴权向量五元组的认证管理域的第0bit被置1;
所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G鉴权向量;
所述第三核心网设备向所述第二核心网设备发送用户认证响应,所述用户认证响应携带所述5G鉴权向量;
所述第二核心网设备接收所述用户认证响应。
33.根据权利要求32所述的方法,其特征在于,所述方法还包括:所述第一核心网设备接收所述第一请求,生成所述鉴权向量五元组;
所述第一核心网设备向所述第三核心网设备发送所述第一请求的响应。
34.根据权利要求33所述的方法,其特征在于,所述第一请求携带鉴权向量请求指示,所述鉴权向量请求指示包括如下标识中的一个或多个:接入网类型标识、请求节点标识或认证管理域修改标识;
其中,所述接入网类型标识所表示的接入网类型为5G接入网;所述认证管理域修改标识所表示的认证管理域修改方式为将鉴权向量五元组中的认证管理域的第0bit置1;所述请求节点标识所表示的请求鉴权向量的节点为接入与移动性管理功能、认证服务器功能、移动性管理实体、验证授权计费服务器、网间交互功能、服务GPRS支持节点或鉴权代理网元中的一个或多个。
35.根据权利要求33或34所述的方法,其特征在于,
所述第一请求的响应还携带有认证方式指示,其中,所述认证方式指示用于表示5GAKA认证或者5G EAP-AKA’认证;在所述认证方式指示表示5G EAP-AKA’认证的情况下,生成的所述用户设备的5G鉴权向量为5G EAP-AKA’鉴权向量;在所述认证方式指示表示5G AKA认证的情况下,生成的所述用户设备的5G鉴权向量为5G AKA鉴权向量。
36.根据权利要求35所述的方法,其特征在于,所述方法还包括:
所述第三核心网设备接收来自所述第二核心网设备的认证响应;
在所述认证方式指示表示5G AKA认证的情况下,所述第三核心网设备对所述用户设备进行所述5G AKA认证;
或者,在所述认证方式指示表示5G EAP-AKA’认证的情况下,所述第三核心网设备对所述用户设备进行所述5G EAP-AKA’认证。
37.根据权利要求32、33、34或36所述方法,其特征在于,所述方法还包括:
所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
38.根据权利要求35所述方法,其特征在于,所述方法还包括:
所述第三核心网设备使用所述鉴权向量五元组生成所述用户设备的5G安全秘钥,所述5G安全秘钥包括Kseaf和Kausf。
39.根据权利要求32、33、34、36或38所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
40.根据权利要求35所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
41.根据权利要求37所述方法,其特征在于,所述第二核心网设备为接入与移动性管理功能。
42.根据权利要求32、33、34、36、38、40或41所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
43.根据权利要求35所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
44.根据权利要求37所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
45.根据权利要求39所述方法,其特征在于,所述第一核心网设备为归属用户服务器或归属位置寄存器。
46.根据权利要求32所述的方法,其特征在于,所述第三核心网设备为所述第一网络或者所述第二网络的核心网设备。
47.根据权利要求32所述的方法,其特征在于,所述鉴权向量五元组包括CK、IK、随机数RAND、认证令牌AUTN和期望认证结果XRES,所述认证管理域位于所述AUTN中。
48.根据权利要求47所述的方法,其特征在于,所述AUTN用于所述用户设备认证网络。
49.根据权利要求47或48所述的方法,其特征在于,若认证方式为5G AKA认证,所述5G鉴权向量包括:所述RAND、所述AUTN、Kausf和期望认证结果XRES*。
50.根据权利要求47或48所述的方法,其特征在于,若认证方式为EAP-AKA’认证,所述5G鉴权向量包括:所述RAND、所述AUTN、CK’、IK’和所述XRES。
51.一种通信装置,其特征在于,包括一个或多个功能单元,所述一个或多个功能单元用于执行如权利要求1至12任一项所述的方法。
52.一种通信装置,其特征在于,包括一个或多个功能单元,所述一个或多个功能单元用于执行如权利要求13至31任一项所述的方法。
53.一种通信设备,其特征在于,包括存储器和处理器;
所述存储器,用于存储指令;
所述处理器,用于执行所述指令,使得如权利要求1至12中任一项所述的方法被执行,或如权利要求13至31任一项所述的方法被执行。
54.一种计算机可读存储介质,其特征在于,用于储存为计算机所用的计算机软件指令,其包括用于执行如权利要求1至12任一项方法所设计的程序,或如权利要求13至31任一项方法所设计的程序。
55.一种通信***,其特征在于,包括:
如权利要求52所述的通信装置以及第二核心网设备;其中,
所述第二核心网设备用于:在用户设备从第一网络漫游到第二网络,向所述通信装置发送用户认证请求,所述第二网络为5G独立组网,所述第一网络为5G非独立组网,其中,所述第二核心网设备为所述第二网络的核心网设备;以及接收所述通信装置发送的用户认证响应,所述用户认证响应携带5G鉴权向量。
56.根据权利要求55所述的通信***,其特征在于,所述***还包括如权利要求51所述的通信装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210751786.5A CN115038081B (zh) | 2019-03-30 | 2019-12-26 | 通信方法和通信设备 |
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910254151 | 2019-03-30 | ||
CN2019102541512 | 2019-03-30 | ||
CN201910277715 | 2019-04-08 | ||
CN2019102777154 | 2019-04-08 | ||
CN201911369774.0A CN111770492B (zh) | 2019-03-30 | 2019-12-26 | 通信方法和通信设备 |
CN202210751786.5A CN115038081B (zh) | 2019-03-30 | 2019-12-26 | 通信方法和通信设备 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911369774.0A Division CN111770492B (zh) | 2019-03-30 | 2019-12-26 | 通信方法和通信设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115038081A CN115038081A (zh) | 2022-09-09 |
CN115038081B true CN115038081B (zh) | 2023-04-28 |
Family
ID=72664563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210751786.5A Active CN115038081B (zh) | 2019-03-30 | 2019-12-26 | 通信方法和通信设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220030428A1 (zh) |
EP (1) | EP3934296A4 (zh) |
CN (1) | CN115038081B (zh) |
WO (1) | WO2020200175A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110191458B (zh) * | 2019-04-19 | 2021-11-09 | 中兴通讯股份有限公司 | 一种网络漫游互通方法、装置和*** |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络*** |
CN104937965A (zh) * | 2013-01-22 | 2015-09-23 | 华为技术有限公司 | 移动通信***的安全认证的方法和网络设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
CN101772020B (zh) * | 2009-01-05 | 2011-12-28 | 华为技术有限公司 | 鉴权处理方法和***、3gpp认证授权计费服务器及用户设备 |
US11153744B2 (en) * | 2016-05-16 | 2021-10-19 | Samsung Electronics Co., Ltd. | Roaming support for next generation slice architecture |
CN108632880B (zh) * | 2017-03-16 | 2021-11-02 | ***通信有限公司研究院 | 一种组网工作模式选择方法、装置及终端 |
US11382057B2 (en) * | 2020-05-01 | 2022-07-05 | Qualcomm Incorporated | UE optimization to move between wireless communication networks based on SUCI support |
-
2019
- 2019-12-26 CN CN202210751786.5A patent/CN115038081B/zh active Active
-
2020
- 2020-03-30 WO PCT/CN2020/082155 patent/WO2020200175A1/zh unknown
- 2020-03-30 EP EP20783428.4A patent/EP3934296A4/en active Pending
-
2021
- 2021-09-30 US US17/490,276 patent/US20220030428A1/en active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101998395A (zh) * | 2009-08-27 | 2011-03-30 | 华为技术有限公司 | 鉴权矢量获取方法、归属服务器和网络*** |
CN104937965A (zh) * | 2013-01-22 | 2015-09-23 | 华为技术有限公司 | 移动通信***的安全认证的方法和网络设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115038081A (zh) | 2022-09-09 |
WO2020200175A1 (zh) | 2020-10-08 |
EP3934296A4 (en) | 2022-04-13 |
EP3934296A1 (en) | 2022-01-05 |
US20220030428A1 (en) | 2022-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057775B2 (en) | Key configuration method, security policy determining method, and apparatus | |
US9648019B2 (en) | Wi-Fi integration for non-SIM devices | |
JP7066746B2 (ja) | 認証要求を制御するためのプライバシインジケータ | |
EP3466134B1 (en) | System and method to provide fast mobility in a residential wi-fi network environment | |
US20170111792A1 (en) | Triggering a usage of a service of a mobile packet core network | |
US20060251257A1 (en) | Utilizing generic authentication architecture for mobile internet protocol key distribution | |
CN111770492B (zh) | 通信方法和通信设备 | |
WO2018000867A1 (zh) | 密钥配置及安全策略确定方法、装置 | |
WO2021063304A1 (zh) | 通信认证方法和相关设备 | |
US20240031807A1 (en) | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network | |
CN115038081B (zh) | 通信方法和通信设备 | |
Othmen et al. | Re-authentication protocol from WLAN to LTE (ReP WLAN-LTE) | |
Samoui et al. | Improved IPSec tunnel establishment for 3GPP–WLAN interworking | |
US20240179525A1 (en) | Secure communication method and apparatus | |
Kwon et al. | Mobility Management for UMTS-WLAN Seamless Handover; Within the Framework of Subscriber Authentication | |
WO2021208857A1 (zh) | 接入控制方法及通信设备 | |
WO2024065843A1 (zh) | 私有物联网单元pine的接入认证方法和装置 | |
WO2021249325A1 (zh) | 切片服务验证方法及其装置 | |
Bhootna et al. | Advanced Identity Management System in 4G Wireless Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |