通信方法和装置转让专利
申请号 : CN201910356343.4
文献号 : CN111866871B
文献日 : 2021-11-26
发明人 : 张博
申请人 : 华为技术有限公司
摘要 :
本申请实施例提供一种通信方法和装置,该方法包括:第一网元从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一网元根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识;所述第一网元从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据所述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。本申请实施例第一认证架构和第二认证架构可以实现互通,提升了通信灵活性。
权利要求 :
1.一种通信方法,其特征在于,包括:第一网元从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识;
所述第一网元根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识;
所述第一网元从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据所述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护;
所述第一网元为第一网络中基于第一认证架构进行第一认证的网元,所述第二网元是第二网络中基于第二认证架构进行第二认证的网元,所述第一认证架构不同于所述第二认证架构。
2.根据权利要求1所述的方法,其特征在于,所述第一网元根据所述第一请求向第二网元发送第二请求之后,还包括:所述第一网元确定所述终端设备的第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据所述终端设备的标识计算得到的,所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身份;
所述第一网元向所述终端设备发送所述第一临时标识。
3.根据权利要求1至2任一项所述的方法,其特征在于,所述第一网元根据所述第一请求向第二网元发送第二请求之后,还包括:所述第一网元确定所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
所述第一网元向所述终端设备发送所述第一共享密钥的有效期。
4.根据权利要求1至2任一项所述的方法,其特征在于,所述第二请求还包括第一网元的第一网元标识;
所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
5.根据权利要求1或2所述的方法,所述第一认证架构为GBA认证架构,所述第二认证架构为AKMA认证架构。
6.一种通信方法,其特征在于,包括:第二网元从第一网元接收第二请求;所述第二请求包括终端设备的标识;
所述第二网元根据所述终端设备的标识确定第二共享密钥;
所述第二网元根据所述第二共享密钥确定第一共享密钥;
所述第二网元向所述第一网元发送所述第一共享密钥;其中,所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护;
所述第一网元为第一网络中基于第一认证架构进行第一认证的网元,所述第二网元是第二网络中基于第二认证架构进行第二认证的网元,所述第一认证架构不同于所述第二认证架构。
7.根据权利要求6所述的方法,其特征在于,所述第二网元从第一网元接收第二请求之后,还包括:
所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元向所述第一网元发送所述第二共享密钥的有效期;
或,
所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元根据所述第二共享密钥的有效期确定所述第一共享密钥的有效期;所述第二网元向所述第一网元发送所述第一共享密钥的有效期。
8.根据权利要求6或7所述的方法,其特征在于,第二网元从第一网元接收第二请求之后,还包括:
所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元向所述第一网元发送所述第二临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份;
或,
所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元根据所述第二临时标识确定第一临时标识;所述第二网元向所述第一网元发送所述第一临时标识;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身份。
9.根据权利要求6或7所述的方法,其特征在于,所述第二请求还包括所述第一网元的第一网元标识;
所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
10.一种通信方法,其特征在于,包括:终端设备向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一请求用于指示所述第一网元从第二网元获取第一共享密钥;
所述终端设备根据第二共享密钥确定所述第一共享密钥;所述第二共享密钥为所述终端设备在所述第二网元中进行第二认证时确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护;
所述第一网元为第一网络中基于第一认证架构进行第一认证的网元,所述第二网元是第二网络中基于第二认证架构进行第二认证的网元,所述第一认证架构不同于所述第二认证架构。
11.根据权利要求10所述的方法,其特征在于,所述终端设备向第一网元发送第一请求之后,还包括:
所述终端设备从所述第一网元接收第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据终端设备的标识计算得到的;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身份;
或,
所述终端设备根据第二临时标识确定第一临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份。
12.根据权利要求10所述的方法,其特征在于,所述终端设备向第一网元发送第一请求之后,还包括:
所述终端设备从所述第一网元接收所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
或,
所述终端设备根据第二共享密钥的有效期确定第一共享密钥的有效期;所述第二共享密钥的有效期为所述终端设备在所述第二网元中进行第二认证时确定的。
13.一种第一网元,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述第一网元执行如权利要求1‑5中任一项所述的方法。
14.一种第二网元,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述第一网元执行如权利要求6‑9中任一项所述的方法。
15.一种终端设备UE,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储的指令,以使所述UE执行如权利要求10‑12中任一项所述的方法。
说明书 :
通信方法和装置
技术领域
[0001] 本申请涉及通信技术领域,尤其涉及一种通信方法和装置。
背景技术
[0002] 随着通信技术的发展,通信过程中对网络业务的可靠性要求越来越高,因此在运营商和用户通常需要通过认证机制来保证网络业务的可靠性。认证机制具体可以是,在用
户终端 (User Equipment,UE)与应用服务器之间通过密钥等实现双向认证。
户终端 (User Equipment,UE)与应用服务器之间通过密钥等实现双向认证。
[0003] 目前在UE与应用服务器之间实现认证的方式有:基于通用引导架构(GenericBootstrapping Architecture,GBA)实现认证的方式,可以适用于第三代移动通信
(3fifth‑generation,3G)和第四代移动通信(4fifth‑generation,4G);随着第五代移动通
信 (5fifth‑generation,5G)的发展,适用于5G系统的认证也处于研究探索阶段,例如,基
于针对应用的认证和密钥管理(Authentication and Key Management for
Applications,AKMA) 架构实现安全认证的方式。
(3fifth‑generation,3G)和第四代移动通信(4fifth‑generation,4G);随着第五代移动通
信 (5fifth‑generation,5G)的发展,适用于5G系统的认证也处于研究探索阶段,例如,基
于针对应用的认证和密钥管理(Authentication and Key Management for
Applications,AKMA) 架构实现安全认证的方式。
[0004] 但是,目前的基于GBA的认证系统与基于AKMA的认证系统之间相互独立,无法互通,导致认证的灵活性较差。
发明内容
[0005] 本申请提供一种通信方法和装置,使得两种认证架构系统之间可以实现互通,从而可以提高认证灵活性。
[0006] 第一方面,本申请提供一种通信方法,包括:
[0007] 第一网元从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识;
[0008] 所述第一网元根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识;
[0009] 所述第一网元从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据所述终端设
备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第
二网络中的安全保护。
备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第
二网络中的安全保护。
[0010] 在上述过程中,第一网元与第二网元可以实现互通,具体来说,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元发送包括终端设备的标识
的第二请求,第二网元可以响应于该第二请求根据第二共享密钥确定第一共享密钥,并向
第一网元发送第一共享密钥,在第一网元中接收到该第一共享密钥后,就可以进一步与终
端设备实现基于该第一共享密钥的第一认证。即第一网元可以基于第二网元中的第二共享
密钥实现对终端设备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互
通,提升了通信灵活性。
的第二请求,第二网元可以响应于该第二请求根据第二共享密钥确定第一共享密钥,并向
第一网元发送第一共享密钥,在第一网元中接收到该第一共享密钥后,就可以进一步与终
端设备实现基于该第一共享密钥的第一认证。即第一网元可以基于第二网元中的第二共享
密钥实现对终端设备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互
通,提升了通信灵活性。
[0011] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0012] 一种示例性的方式中,所述第一网元根据所述第一请求向第二网元发送第二请求之后,还包括:
[0013] 所述第一网元确定所述终端设备的第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据所述终端设备的标识计算得到的,所述第一临时标识用于标识所
述终端设备在所述第一网络中的临时身份;
述终端设备在所述第一网络中的临时身份;
[0014] 所述第一网元向所述终端设备发送所述第一临时标识。
[0015] 一种示例性的方式中,所述第一网元根据所述第一请求向第二网元发送第二请求之后,还包括:
[0016] 所述第一网元确定所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共享
密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0017] 所述第一网元向所述终端设备发送所述第一共享密钥的有效期。
[0018] 一种示例性的方式中,所述第二请求还包括第一网元的第一网元标识;
[0019] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0020] 一种示例性的方式中,所述第二共享密钥为:所述第二网元接收到所述第二请求后,响应于所述第二请求与所述终端设备进行第二认证得到的。
[0021] 第二方面,本申请提供一种通信方法,该方法包括:
[0022] 第二网元从第一网元接收第二请求;所述第二请求包括终端设备的标识;
[0023] 所述第二网元根据所述终端设备的标识确定第二共享密钥;
[0024] 所述第二网元根据所述第二共享密钥确定第一共享密钥;
[0025] 所述第二网元向所述第一网元发送所述第一共享密钥;其中,所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0026] 一种示例性的方式中,所述第二网元根据所述终端设备的标识确定第二共享密钥,包括:
[0027] 所述第二网元根据所述终端设备的标识,以及预先获取的终端标识与所述第二网络中的共享密钥的映射关系,确定所述终端设备的标识对应的第二共享密钥。
[0028] 一种示例性的方式中,所述第二网元根据所述终端设备的标识确定第二共享密钥,包括:
[0029] 所述第二网元响应于所述第二请求,与所述终端设备进行第二认证,得到所述第二共享密钥。
[0030] 一种示例性的方式中,所述第二网元从第一网元接收第二请求之后,还包括:
[0031] 所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元向所述第一网元发送所述第二共享密钥的有效期;
[0032] 或,
[0033] 所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元根据所述第二共享密钥的有效期确定所述第一共享密钥的有效期;所述第二网元向
所述第一网元发送所述第一共享密钥的有效期。
所述第一网元发送所述第一共享密钥的有效期。
[0034] 一种示例性的方式中,第二网元从第一网元接收第二请求之后,还包括:
[0035] 所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元向所述第一网元发送所述第二临时标识;所述第二临时标识用于标识所述终端设
备在所述第二网络中的临时身份;
备在所述第二网络中的临时身份;
[0036] 或,
[0037] 所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元根据所述第二临时标识确定第一临时标识;所述第二网元向所述第一网元发送所
述第一临时标识;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身
份。
述第一临时标识;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身
份。
[0038] 一种示例性的方式中,所述第二请求还包括所述第一网元的第一网元标识;
[0039] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0040] 第三方面,本申请提供一种通信方法,该方法包括:
[0041] 终端设备向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一请求用于指示所述第一网元从第二网元获取第一共享密钥;
[0042] 所述终端设备根据第二共享密钥确定所述第一共享密钥;所述第二共享密钥为所述终端设备在所述第二网元中进行第二认证时确定的;所述第一共享密钥用于第一网络中
安全保护,所述第二共享密钥用于第二网络中的安全保护。
安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0043] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0044] 一种示例性的方式中,所述终端设备根据第二共享密钥确定第一共享密钥之前,还包括:
[0045] 所述终端设备从所述第一网元接收第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据终端设备的标识计算得到的;所述第一临时标识用于标识所述终
端设备在所述第一网络中的临时身份;
端设备在所述第一网络中的临时身份;
[0046] 或,
[0047] 所述终端设备根据第二临时标识确定第一临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份。
[0048] 一种示例性的方式中,所述终端设备向第一网元发送第一请求之后,还包括:
[0049] 所述终端设备从所述第一网元接收所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定
的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0050] 或,
[0051] 所述终端设备根据第二共享密钥的有效期确定第一共享密钥的有效期;所述第二共享密钥的有效期为所述终端设备在所述第二网元中进行第二认证时确定的。
[0052] 第四方面,本申请提供一种通信方法,该方法包括:
[0053] 第三网元从第五网元接收第三请求;其中,所述第三请求为终端设备向所述第五网元发送的;所述第三请求包括所述终端设备的标识;
[0054] 所述第三网元根据所述第三请求向第四网元发送第四请求;其中,所述第四请求包括所述终端设备的标识;
[0055] 所述第三网元从所述第四网元接收第一认证向量;其中,所述第一认证向量为所述第四网元根据第二认证向量确定的,所述第二认证向量为所述第四网元根据所述终端设
备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第
二网络中的安全保护。
备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第
二网络中的安全保护。
[0056] 第五方面,本申请提供一种通信方法,该方法包括:
[0057] 第四网元从第三网元接收第四请求;所述第四请求包括终端设备的标识;
[0058] 所述第四网元根据所述终端设备的标识确定第二认证向量;
[0059] 所述第四网元根据所述第二认证向量确定第一认证向量;
[0060] 所述第四网元向所述第三网元发送所述第一认证向量;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0061] 第六方面,本申请提供一种通信方法,该方法包括:
[0062] 第五网元从终端设备接收第三请求;其中,所述第三请求包括所述终端设备的标识;
[0063] 所述第五网元向第三网元发送第三请求;所述第三请求用于指示所述第三网元从第四网元中获取第一认证向量;所述第一认证向量为所述第四网元根据第二认证向量确定
的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安
全保护;
的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安
全保护;
[0064] 所述第五网元从所述第四网元接收所述第一认证向量。
[0065] 第七方面,本申请提供一种通信方法,该方法包括:
[0066] 终端设备向第五网元发送第三请求;其中,所述第三请求包括所述终端设备的标识;所述第三请求用于指示所述第五网元向第三网元发送所述第三请求,以及指示所述第
三网元从第四网元中获取第一认证向量;
三网元从第四网元中获取第一认证向量;
[0067] 所述终端设备根据第二认证向量确定第一认证向量;所述第二认证向量为所述终端设备在所述第四网元中进行第二认证时确定的;所述第一认证向量用于第一网络中安全
保护,所述第二认证向量用于第二网络中的安全保护。
保护,所述第二认证向量用于第二网络中的安全保护。
[0068] 第八方面,本申请提供一种第一网元,包括:
[0069] 请求接收模块,用于从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识;
[0070] 发送模块,用于根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识;
[0071] 共享密钥接收模块,用于从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据所
述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密
钥用于第二网络中的安全保护。
述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密
钥用于第二网络中的安全保护。
[0072] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0073] 一种示例性的方式中,所述第一网元还包括:
[0074] 临时标识确定模块,用于确定所述终端设备的第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据所述终端设备的标识计算得到的,所述第一临时标识
用于标识所述终端设备在所述第一网络中的临时身份;
用于标识所述终端设备在所述第一网络中的临时身份;
[0075] 临时标识发送模块,用于向所述终端设备发送所述第一临时标识。
[0076] 一种示例性的方式中,所述第一网元还包括:
[0077] 有效期确定模块,用于确定所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第
二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0078] 有效期发送模块,用于向所述终端设备发送所述第一共享密钥的有效期。
[0079] 一种示例性的方式中,所述第二请求还包括第一网元的第一网元标识;
[0080] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0081] 一种示例性的方式中,所述第二共享密钥为:所述第二网元接收到所述第二请求后,响应于所述第二请求与所述终端设备进行第二认证得到的。
[0082] 第九方面,本申请提供一种第二网元,该第二网元包括:
[0083] 请求接收模块,用于从第一网元接收第二请求;所述第二请求包括终端设备的标识;
[0084] 第二共享密钥确定模块,用于根据所述终端设备的标识确定第二共享密钥;
[0085] 第一共享密钥确定模块,用于根据所述第二共享密钥确定第一共享密钥;
[0086] 第一共享密钥发送模块,用于向所述第一网元发送所述第一共享密钥;其中,所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0087] 一种示例性的方式中,所述第二共享密钥确定模块还用于:
[0088] 根据所述终端设备的标识,以及预先获取的终端标识与所述第二网络中的共享密钥的映射关系,确定所述终端设备的标识对应的第二共享密钥。
[0089] 一种示例性的方式中,所述第二共享密钥确定模块还用于:
[0090] 响应于所述第二请求,与所述终端设备进行第二认证,得到所述第二共享密钥。
[0091] 一种示例性的方式中,所述第二网元还包括第二有效期确定模块,用于:
[0092] 根据所述终端设备的标识确定所述第二共享密钥的有效期;向所述第一网元发送所述第二共享密钥的有效期;
[0093] 或,
[0094] 根据所述终端设备的标识确定所述第二共享密钥的有效期;根据所述第二共享密钥的有效期确定所述第一共享密钥的有效期;向所述第一网元发送所述第一共享密钥的有
效期。
效期。
[0095] 一种示例性的方式中,所述第二网元还包括临时标识确定模块,用于:
[0096] 根据所述终端设备的标识确定所述终端设备的第二临时标识;向所述第一网元发送所述第二临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时
身份;
身份;
[0097] 或,
[0098] 根据所述终端设备的标识确定所述终端设备的第二临时标识;根据所述第二临时标识确定第一临时标识;向所述第一网元发送所述第一临时标识;所述第一临时标识用于
标识所述终端设备在所述第一网络中的临时身份。
标识所述终端设备在所述第一网络中的临时身份。
[0099] 一种示例性的方式中,所述第二请求还包括所述第一网元的第一网元标识;
[0100] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0101] 第十方面,本申请提供一种终端设备,该终端设备包括:
[0102] 请求发送模块,用于向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一请求用于指示所述第一网元从第二网元获取第一共享密钥;
[0103] 共享密钥确定模块,用于终端设备根据第二共享密钥确定所述第一共享密钥;所述第二共享密钥为所述终端设备在所述第二网元中进行第二认证时确定的;所述第一共享
密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0104] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0105] 一种示例性的方式中,所述终端设备还包括临时标识确定模块,用于:
[0106] 从所述第一网元接收第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据终端设备的标识计算得到的;所述第一临时标识用于标识所述终端设备在所述
第一网络中的临时身份;
第一网络中的临时身份;
[0107] 或,
[0108] 根据第二临时标识确定第一临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份。
[0109] 一种示例性的方式中,所述终端设备还包括有效期确定模块,用于:
[0110] 从所述第一网元接收所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共
享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0111] 或,
[0112] 根据第二共享密钥的有效期确定第一共享密钥的有效期;所述第二共享密钥的有效期为所述终端设备在所述第二网元中进行第二认证时确定的。
[0113] 第十一方面,本申请提供一种第三网元,该第三网元包括:
[0114] 请求接收模块,用于从第五网元接收第三请求;其中,所述第三请求为终端设备向所述第五网元发送的;所述第三请求包括所述终端设备的标识;
[0115] 请求发送模块,用于根据所述第三请求向第四网元发送第四请求;其中,所述第四请求包括所述终端设备的标识;
[0116] 认证向量接收模块,用于从所述第四网元接收第一认证向量;其中,所述第一认证向量为所述第四网元根据第二认证向量确定的,所述第二认证向量为所述第四网元根据所
述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向
量用于第二网络中的安全保护。
述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向
量用于第二网络中的安全保护。
[0117] 第十二方面,本申请提供一种第四网元,该第四网元包括:
[0118] 请求接收模块,用于第四网元从第三网元接收第四请求;所述第四请求包括终端设备的标识;
[0119] 第二认证向量确定模块,用于根据所述终端设备的标识确定第二认证向量;
[0120] 第一认证向量确定模块,用于根据所述第二认证向量确定第一认证向量;
[0121] 第一认证向量发送模块,用于向所述第三网元发送所述第一认证向量;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0122] 第十三方面,本申请提供一种第五网元,该第五网元包括:
[0123] 请求接收模块,用于从终端设备接收第三请求;其中,所述第三请求包括所述终端设备的标识;
[0124] 请求发送模块,用于向第三网元发送第三请求;所述第三请求用于指示所述第三网元从第四网元中获取第一认证向量;所述第一认证向量为所述第四网元根据第二认证向
量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络
中的安全保护;
量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络
中的安全保护;
[0125] 认证向量接收模块,用于所述第五网元从所述第四网元接收所述第一认证向量。
[0126] 第十四方面,本申请提供一种终端设备,该终端设备包括:
[0127] 请求发送模块,用于向第五网元发送第三请求;其中,所述第三请求包括所述终端设备的标识;所述第三请求用于指示所述第五网元向第三网元发送所述第三请求,以及指
示所述第三网元从第四网元中获取第一认证向量;
示所述第三网元从第四网元中获取第一认证向量;
[0128] 认证向量确定模块,用于所述终端设备根据第二认证向量确定第一认证向量;所述第二认证向量为所述终端设备在所述第四网元中进行第二认证时确定的;所述第一认证
向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0129] 本申请第十五方面提供一种第一网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储
的指令,以使所述第一网元执行如本申请第一方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
的指令,以使所述第一网元执行如本申请第一方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
[0130] 本申请第十六方面提供一种第二网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储
的指令,以使所述第一网元执行如本申请第二方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
的指令,以使所述第一网元执行如本申请第二方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
[0131] 本申请第十七方面提供一种终端设备UE,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述
存储器中存储的指令,以使所述UE执行如本申请第三方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
存储器中存储的指令,以使所述UE执行如本申请第三方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
[0132] 本申请第十八方面提供一种第三网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储
的指令,以使所述第一网元执行如本申请第四方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
的指令,以使所述第一网元执行如本申请第四方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
[0133] 本申请第十九方面提供一种第四网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储
的指令,以使所述第一网元执行如本申请第五方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
的指令,以使所述第一网元执行如本申请第五方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
[0134] 本申请第二十方面提供一种第五网元,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所述存储器中存储
的指令,以使所述第一网元执行如本申请第六方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
的指令,以使所述第一网元执行如本申请第六方面以及各方面的示例性方式所提供的方法
中的任一所述方法。
[0135] 本申请第二十一方面提供一种终端设备UE,其特征在于,包括处理器、存储器和收发器,所述存储器用于存储指令,所述收发器用于和其他设备通信,所述处理器用于执行所
述存储器中存储的指令,以使所述UE执行如本申请第七方面以及各方面的示例性方式所提
供的方法中的任一所述方法。
述存储器中存储的指令,以使所述UE执行如本申请第七方面以及各方面的示例性方式所提
供的方法中的任一所述方法。
[0136] 本申请第二十二方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第一方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0137] 本申请第二十三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第二方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0138] 本申请第二十四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第三方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0139] 本申请第二十五方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第四方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0140] 本申请第二十六方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第五方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0141] 本申请第二十七方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第六方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0142] 本申请第二十八方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有指令,当所述指令被执行时,使得计算机执行如本申请第七方面以及各方面的示例性
方式所提供的方法中的任一所述方法。
方式所提供的方法中的任一所述方法。
[0143] 本申请第二十九方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第一方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0144] 本申请第三十方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第二方面以及各方面的示例性方式所提供的
方法中的任一所述方法。
方法中的任一所述方法。
[0145] 本申请第三十一方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第三方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0146] 本申请第三十二方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第四方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0147] 本申请第三十三方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第五方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0148] 本申请第三十四方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第六方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0149] 本申请第三十五方面提供一种计算机程序产品,所述计算机程序产品包括指令,当所述指令被执行时,使得计算机执行如本申请第七方面以及各方面的示例性方式所提供
的方法中的任一所述方法。
的方法中的任一所述方法。
[0150] 本申请第三十六方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第一网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第一网元可执行如本申请第一方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第一网元可执行如本申请第一方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0151] 本申请第三十七方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第二网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第二网元可执行如本申请第二方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第二网元可执行如本申请第二方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0152] 本申请第三十八方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于终端设备,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述终端设备可执行如本申请第三方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述终端设备可执行如本申请第三方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0153] 本申请第三十九方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第三网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第三网元可执行如本申请第四方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第三网元可执行如本申请第四方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0154] 本申请第四十方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第四网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第四网元可执行如本申请第五方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第四网元可执行如本申请第五方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0155] 本申请第四十一方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于第五网元,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第五网元可执行如本申请第六方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述第五网元可执行如本申请第六方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0156] 本申请第四十二方面提供一种芯片上系统或系统芯片,所述芯片上系统或系统芯片可应用于终端设备,所述芯片上系统或系统芯片包括:至少一个通信接口,至少一个处理
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述终端设备可执行如本申请第七方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
器,至少一个存储器,所述通信接口、存储器和处理器通过总线互联,所述处理器通过执行
所述存储器中存储的指令,使得所述终端设备可执行如本申请第七方面以及各方面的示例
性方式所提供的方法中的任一所述方法。
[0157] 本申请实施例提供的通信方法和装置,第一网元与第二网元可以实现互通,具体来说,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元
发送包括终端设备的标识的第二请求,第二网元可以响应于该第二请求根据第二共享密钥
确定第一共享密钥,并向第一网元发送第一共享密钥,在第一网元中接收到该第一共享密
钥后,就可以进一步与终端设备实现基于该第一共享密钥的第一认证。即第一网元可以基
于第二网元中的第二共享密钥实现对终端设备的第一认证,从而使得第一认证架构和第二
认证架构之间实现了互通,提升了通信灵活性。
发送包括终端设备的标识的第二请求,第二网元可以响应于该第二请求根据第二共享密钥
确定第一共享密钥,并向第一网元发送第一共享密钥,在第一网元中接收到该第一共享密
钥后,就可以进一步与终端设备实现基于该第一共享密钥的第一认证。即第一网元可以基
于第二网元中的第二共享密钥实现对终端设备的第一认证,从而使得第一认证架构和第二
认证架构之间实现了互通,提升了通信灵活性。
附图说明
[0158] 图1为本申请实施例提供的一种通信系统的架构图;
[0159] 图2为本申请实施例提供的GBA架构图;
[0160] 图3为本申请实施例提供的第一种AKMA架构图;
[0161] 图4为本申请实施例提供的第二种AKMA架构图;
[0162] 图5为本申请实施例提供的第三种AKMA架构图;
[0163] 图6为本申请实施例一提供的一种通信方法流程示意图;
[0164] 图7为本申请实施例二提供的一种通信方法具体流程示意图;
[0165] 图8为本申请实施例三提供的一种通信方法另一具体流程示意图;
[0166] 图9为本申请实施例四提供的一种通信方法第一网元侧的流程示意图;
[0167] 图10为本申请实施五例提供的一种通信方法第二网元侧的流程示意图;
[0168] 图11为本申请实施例六提供的一种通信方法终端设备侧的流程示意图;
[0169] 图12为本申请实施例七提供的另一种通信方法流程示意图;
[0170] 图13为本申请实施例八提供的另一种通信方法具体流程示意图;
[0171] 图14为本申请实施例九提供的另一种通信方法另一具体流程示意图;
[0172] 图15为本申请实施例十提供的另一种通信方法第三网元侧的流程示意图;
[0173] 图16为本申请实施例十一提供的另一种通信方法第四网元侧的流程示意图;
[0174] 图17为本申请实施例十二提供的另一种通信方法第五网元侧的流程示意图;
[0175] 图18为本申请实施例十三提供的另一种通信方法终端设备侧的流程示意图;
[0176] 图19为本申请实施例十四提供的一种第一网元的结构示意图;
[0177] 图20为本申请实施例十五提供的一种第二网元的结构示意图;
[0178] 图21为本申请实施例十六提供的一种终端设备的结构示意图;
[0179] 图22为本申请实施例十七提供的一种第三网元的结构示意图;
[0180] 图23为本申请实施例十八提供的一种第四网元的结构示意图;
[0181] 图24为本申请实施例十九提供的一种第五网元的结构示意图;
[0182] 图25为本申请实施例二十提供的一种终端设备的结构示意图;
[0183] 图26为本申请实施例二十一提供的第一网元的结构示意图;
[0184] 图27为本申请实施例二十二提供的第二网元的结构示意图;
[0185] 图28为本申请实施例二十三提供的UE的结构示意图。
具体实施方式
[0186] 首先,对本申请实施例所涉及的通信场景和部分词汇进行解释说明。
[0187] 本申请实施例所示的技术方案可以应用于基于GBA进行认证的系统与基于AKMA进行认证的系统之间的互联互通,例如,可以应用于3G系统与5G系统的互联互通,也可以应用
于4G系统与5G系统的互联互通;还可以应用于其他基于GBA进行认证的系统与基于AKMA 进
行认证的系统之间的互联互通,本申请实施例对此不作限定。
于4G系统与5G系统的互联互通;还可以应用于其他基于GBA进行认证的系统与基于AKMA 进
行认证的系统之间的互联互通,本申请实施例对此不作限定。
[0188] 图1为本申请实施例提供的通信系统的架构图。如图1所示,本申请实施例的通信系统可以包括,终端设备101、第一网络102和第二网络103。当然,该通信系统中还可以包括
多个终端设备101,本申请实施例中对此并不作限制。考虑到每个终端设备101与第一网络
102 和第二网络103之间进行认证的过程类似,本申请实施例中以任一终端设备101与第一
网络 102和第二网络103之间进行认证的过程为例进行说明。
多个终端设备101,本申请实施例中对此并不作限制。考虑到每个终端设备101与第一网络
102 和第二网络103之间进行认证的过程类似,本申请实施例中以任一终端设备101与第一
网络 102和第二网络103之间进行认证的过程为例进行说明。
[0189] 本申请实施例中,执行终端设备侧方法的执行主体可以是终端设备,也可以是终端设备中的装置(需要说明的是,在本申请提供的实施例中以终端设备为例进行描述的)。
示例性地,终端设备中的装置可以是芯片系统、电路或者模块等,本申请不作限制。
示例性地,终端设备中的装置可以是芯片系统、电路或者模块等,本申请不作限制。
[0190] 本申请实施例中,执行第一网络侧方法的执行主体可以是第一网络设备,也可以是第一网络设备中的装置。示例性地,第一网络中的装置可以是芯片系统、电路或者模块
等,本申请不作限制。
等,本申请不作限制。
[0191] 本申请实施例中,执行第二网络侧方法的执行主体可以是第二网络设备,也可以是第二网络设备中的装置。示例性地,第二网络中的装置可以是芯片系统、电路或者模块
等,本申请不作限制。
等,本申请不作限制。
[0192] 本申请实施例中,在第一网络是基于GBA进行认证的情况下,第二网络可以是基于 AKMA进行认证;在第二网络是基于GBA进行认证的情况下,第一网络可以是基于AKMA 进行
认证;使得第一网络与第二网络是基于不同的认证架构实现认证。
认证;使得第一网络与第二网络是基于不同的认证架构实现认证。
[0193] 具体的,参照图2,示出了GBA认证的架构图,其中,终端设备为用户设备(user equipment, UE),引导服务功能(Bootstrapping Server Function,BSF)网元用于与UE交
互,执行UE 与BSF之间的认证;每个应用都可以对应一个网络侧的应用服务器(Network
Application Function,NAF),NAF可以用于为应用运行提供服务,因此BSF和UE可能与一个
或多个 NAF进行交互;订阅服务器定位器函数(Subscriber Locator Function,SLF)网元
中可以存储有UE与归属用户系统(Home Subscriber System,HSS)网元的映射关系,可以理
解,在单个HSS的场景下,可以不设置SLF,在多个HSS场景下,BSF可从SLF处得到UE对应的
HSS名称;HSS可以用于存储UE的订阅信息,以及生成认证向量等;BSF与HSS之间有接口Zh,
使得BSF可以从HSS获得UE认证相关的参数。
互,执行UE 与BSF之间的认证;每个应用都可以对应一个网络侧的应用服务器(Network
Application Function,NAF),NAF可以用于为应用运行提供服务,因此BSF和UE可能与一个
或多个 NAF进行交互;订阅服务器定位器函数(Subscriber Locator Function,SLF)网元
中可以存储有UE与归属用户系统(Home Subscriber System,HSS)网元的映射关系,可以理
解,在单个HSS的场景下,可以不设置SLF,在多个HSS场景下,BSF可从SLF处得到UE对应的
HSS名称;HSS可以用于存储UE的订阅信息,以及生成认证向量等;BSF与HSS之间有接口Zh,
使得BSF可以从HSS获得UE认证相关的参数。
[0194] GBA可以用于实现基于密钥协商协议(Authentication and Key Agreement,AKA)的认证,具体过程可以为:UE向BSF发送超文本传输协议(Hyper Text Transport
Protocol,HTTP)请求,该请求中携带用户标识(UE ID);BSF通过Zh接口从HSS中获得该UE的
用户根密钥和认证向量(authentication vector,AV),其中,AV可以包括随机数RAND、认证
令牌 (Authentication token,AUTN)、加密密钥(Cipher Key,CK)、完整性密钥(Integrity
Key, IK)和期望的用户响应(EXpected user RESponse,XRES);并发送AV给BSF;BSF把RAND
和AUTN发送给UE;UE利用RAND生成新的AUTN,并与BSF发送过来的AUTN进行比对,对比的结
果一致则成功认证网络;UE还利用AKA算法生成CK、IK和用户响应(user RESponse,RES);UE
发送HTTP请求到BSF,该请求包含摘要AKA响应,该响应使用RES 作为验证码;BSF将RES与
XRES进行比对,从而对UE进行鉴权;如果RES与XRES相同则鉴权成功,BSF利用CK和IK生成共
享密钥Ks,并且生成引导交易标识(Bootstrapping Transaction Identifier,B‑TID),其
中,B‑TID能够作为临时标识来标识该次认证事件,使得后续NAF可以根据该B‑TID值向BSF
索取达成的相关密钥Ks_NAF;BSF向UE发送B‑TID,以及Ks的有效期(Key lifetime);在UE中
可以根据CK和IK产生Ks,实现UE与BSF的密钥共享;后续在基于GBA的业务访问阶段,UE和
BSF可以进一步利用Ks生成认证密钥 Ks_NAF,并以Ks_NAF作为UE和NAF之间信息交互的认
证密钥。
Protocol,HTTP)请求,该请求中携带用户标识(UE ID);BSF通过Zh接口从HSS中获得该UE的
用户根密钥和认证向量(authentication vector,AV),其中,AV可以包括随机数RAND、认证
令牌 (Authentication token,AUTN)、加密密钥(Cipher Key,CK)、完整性密钥(Integrity
Key, IK)和期望的用户响应(EXpected user RESponse,XRES);并发送AV给BSF;BSF把RAND
和AUTN发送给UE;UE利用RAND生成新的AUTN,并与BSF发送过来的AUTN进行比对,对比的结
果一致则成功认证网络;UE还利用AKA算法生成CK、IK和用户响应(user RESponse,RES);UE
发送HTTP请求到BSF,该请求包含摘要AKA响应,该响应使用RES 作为验证码;BSF将RES与
XRES进行比对,从而对UE进行鉴权;如果RES与XRES相同则鉴权成功,BSF利用CK和IK生成共
享密钥Ks,并且生成引导交易标识(Bootstrapping Transaction Identifier,B‑TID),其
中,B‑TID能够作为临时标识来标识该次认证事件,使得后续NAF可以根据该B‑TID值向BSF
索取达成的相关密钥Ks_NAF;BSF向UE发送B‑TID,以及Ks的有效期(Key lifetime);在UE中
可以根据CK和IK产生Ks,实现UE与BSF的密钥共享;后续在基于GBA的业务访问阶段,UE和
BSF可以进一步利用Ks生成认证密钥 Ks_NAF,并以Ks_NAF作为UE和NAF之间信息交互的认
证密钥。
[0195] 参照图3,示出了第一种AKMA认证的架构图,其中,AKMA认证功能(AKMAAuthentication Function,AAuF)网元,可能与统一的数据管理功能(Unified Data
Management, UDM)网元、认证服务器功能(Authentication Server Function,AUSF)网元
和安全锚点功能 (Security Anchor Functionality,SEAF)网元都有接口,AAuF可以用于
从UDM/AUSF/SEAF 获得UE认证相关的参数或者认证后的密钥,进而通过与UDM/AUSF/SEAF
的交互完成对于 UE的认证;每个应用都可以对应一个AKMA应用功能(AKMA Application
Function,AApF) 网元,AApF可以用于为应用运行提供服务,因此AAuF和UE可能与一个或多
个AApF进行交互;UDM可以用于用户的数据管理,具体可以包括生成UE的认证向量,注册,订
阅信息管理,群组管理等;AUSF可以用于执行UE的认证流程和密钥推衍功能;SEAF可以用于
执行UE的认证流程和密钥推衍功能。
Management, UDM)网元、认证服务器功能(Authentication Server Function,AUSF)网元
和安全锚点功能 (Security Anchor Functionality,SEAF)网元都有接口,AAuF可以用于
从UDM/AUSF/SEAF 获得UE认证相关的参数或者认证后的密钥,进而通过与UDM/AUSF/SEAF
的交互完成对于 UE的认证;每个应用都可以对应一个AKMA应用功能(AKMA Application
Function,AApF) 网元,AApF可以用于为应用运行提供服务,因此AAuF和UE可能与一个或多
个AApF进行交互;UDM可以用于用户的数据管理,具体可以包括生成UE的认证向量,注册,订
阅信息管理,群组管理等;AUSF可以用于执行UE的认证流程和密钥推衍功能;SEAF可以用于
执行UE的认证流程和密钥推衍功能。
[0196] 具体应用中,在执行AKMA认证时,可以由UE,AAuF,SEAF/AUSF/UDM作为参与方,实现UE与AAuF之间共享密钥Ks的密钥协商,图3示出了AKMA认证中的第一种可能性,在该第一
种可能性中,执行AKMA认证的参与方为:UE,AAuF,AUSF,UDM;图 4示出了AKMA认证中的第二
种可能性,执行AKMA认证的参与方为:UE,AAuF,UDM;图5示出了AKMA认证中的第三种可能
性,执行AKMA认证的参与方为:UE,AAuF,SEAF, AUSF,UDM。
种可能性中,执行AKMA认证的参与方为:UE,AAuF,AUSF,UDM;图 4示出了AKMA认证中的第二
种可能性,执行AKMA认证的参与方为:UE,AAuF,UDM;图5示出了AKMA认证中的第三种可能
性,执行AKMA认证的参与方为:UE,AAuF,SEAF, AUSF,UDM。
[0197] 可以理解,因为5G中的AKMA认证目前正处于探索阶段,在此对上述三种AKMA认证可能性的优劣不做评述,本申请实施例中,以图3对应的第一种可能性的AKMA认证过程为例
说明AKMA认证的过程。
说明AKMA认证的过程。
[0198] 基于第一种可能性的AKMA认证架构进行AKMA认证的过程可以是:UE发送认证请求至AMF/SEAF至AAuF(这里假定UE需要通过AMF/SEAF与AAuF发生交互,可以理解,也存在其他
可能性,例如UE与AAuF直接交互,或者UE通过其他功能模块与AAuF交互); AAuF发送认证请
求至AUSF/UDM,并获得认证向量AV;UE与AAuF执行基于EAP‑AKA’或者5G AKA或者其他新定
义的AKMA AKA的认证;具体的,认证过程可以为UE发送请求至AAuF,其中携带UE ID,AAuF发
送UEID至AUSF,AUSF再发送UE ID至UDM。 AUSF从UDM获得认证向量,其中包括(RAND,AUTN,
XRES,CK’,IK‘)或者(RAND, AUTN,XRES,Kausf),AUSF基于此认证向量,可以通过AAuF完成
与UE之间的双向认证。认证成功后AUSF得到的认证向量包括Kakma,则直接向AAuF发送
Kakma。或者AUSF 基于CK’和IK’,或者Kausf确定Kakma,再发送Kakma至AAuF;之后AAuF通过
AMF/SEAF 发送认证成功消息至UE,其中该消息包括密钥有效期key lifetime,和临时标识
temporary ID。
可能性,例如UE与AAuF直接交互,或者UE通过其他功能模块与AAuF交互); AAuF发送认证请
求至AUSF/UDM,并获得认证向量AV;UE与AAuF执行基于EAP‑AKA’或者5G AKA或者其他新定
义的AKMA AKA的认证;具体的,认证过程可以为UE发送请求至AAuF,其中携带UE ID,AAuF发
送UEID至AUSF,AUSF再发送UE ID至UDM。 AUSF从UDM获得认证向量,其中包括(RAND,AUTN,
XRES,CK’,IK‘)或者(RAND, AUTN,XRES,Kausf),AUSF基于此认证向量,可以通过AAuF完成
与UE之间的双向认证。认证成功后AUSF得到的认证向量包括Kakma,则直接向AAuF发送
Kakma。或者AUSF 基于CK’和IK’,或者Kausf确定Kakma,再发送Kakma至AAuF;之后AAuF通过
AMF/SEAF 发送认证成功消息至UE,其中该消息包括密钥有效期key lifetime,和临时标识
temporary ID。
[0199] 本申请涉及的终端设备,或者可以称为终端。终端可以是无线终端也可以是有线终端,无线终端可以是指向用户提供语音和/或其他业务数据连通性的设备,具有无线连接
功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入
网(radio access network,RAN)与一个或多个核心网进行通信,无线终端可以是移动终
端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍
式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例
如,个人通信业务(personal communication service,PCS)电话、无绳电话、会话发起协议
(session initiation protocol,SIP)话机、无线本地环路(wireless local loop,WLL)
站、个人数字助理(personal digital assistant,PDA)等设备。无线终端也可以称为系统、
订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、
移动台(mobile)、远程站(remote station)、远程终端(remote terminal)、接入终端
(access terminal)、用户终端(user terminal)、用户代理(user agent)、UE,在此不作限
定。
功能的手持式设备、或连接到无线调制解调器的其他处理设备。无线终端可以经无线接入
网(radio access network,RAN)与一个或多个核心网进行通信,无线终端可以是移动终
端,如移动电话(或称为“蜂窝”电话)和具有移动终端的计算机,例如,可以是便携式、袖珍
式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例
如,个人通信业务(personal communication service,PCS)电话、无绳电话、会话发起协议
(session initiation protocol,SIP)话机、无线本地环路(wireless local loop,WLL)
站、个人数字助理(personal digital assistant,PDA)等设备。无线终端也可以称为系统、
订户单元(subscriber unit)、订户站(subscriber station),移动站(mobile station)、
移动台(mobile)、远程站(remote station)、远程终端(remote terminal)、接入终端
(access terminal)、用户终端(user terminal)、用户代理(user agent)、UE,在此不作限
定。
[0200] 本申请所涉及的终端设备可以包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(dentral processing unit,
CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作
系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,
Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该
应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。
CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作
系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,
Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该
应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。
[0201] 本申请涉及的第一网络和第二网络中均可以包括接入网(access network,AN)和核心网。可选的,还可以包括数据网络(Data Network,DN)。其中,接入网装置主要用于实现
无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理等功能;核心网
设备可以包含管理设备和网关设备,管理设备主要用于终端设备的设备注册、安全认证、移
动性管理和位置管理等,网关设备主要用于与终端设备间建立通道,在该通道上转发终端
设备和外部数据网络之间的数据包;数据网络可以包含网络设备(如:服务器、路由器等设
备),数据网络主要用于为终端设备提供多种数据业务服务。
无线物理层功能、资源调度和无线资源管理、无线接入控制以及移动性管理等功能;核心网
设备可以包含管理设备和网关设备,管理设备主要用于终端设备的设备注册、安全认证、移
动性管理和位置管理等,网关设备主要用于与终端设备间建立通道,在该通道上转发终端
设备和外部数据网络之间的数据包;数据网络可以包含网络设备(如:服务器、路由器等设
备),数据网络主要用于为终端设备提供多种数据业务服务。
[0202] 该第一网络可以为LTE网络,第二网络可以为NR网络,或者,第一网络为NR网络,第二网络为LTE网络。即本申请实施例的方法适用于LTE网络和NR网络互通的场景,目前LTE网
络采用GBA认证方式,NR网络采用AKMA认证方式。
络采用GBA认证方式,NR网络采用AKMA认证方式。
[0203] 其中,接入网装置可以为基站、发送接收点(transmission reception point,TRP)。其中,基站:又称为无线接入网(radio access network,RAN)设备,是一种将终端接
入到无线网络的设备,可以是全球移动通讯(global system of mobile communication,
GSM)或码分多址(code division multiple access,CDMA)中的基站(base transceiver
station,BTS),也可以是宽带码分多址(wideband code division multiple access,
WCDMA)中的基站(nodeB,NB),还可以是长期演进(long term evolution,LTE)中的演进型
基站(evolutional node B,eNB或eNodeB),或者中继站或接入点,本申请在此并不限定。
入到无线网络的设备,可以是全球移动通讯(global system of mobile communication,
GSM)或码分多址(code division multiple access,CDMA)中的基站(base transceiver
station,BTS),也可以是宽带码分多址(wideband code division multiple access,
WCDMA)中的基站(nodeB,NB),还可以是长期演进(long term evolution,LTE)中的演进型
基站(evolutional node B,eNB或eNodeB),或者中继站或接入点,本申请在此并不限定。
[0204] 第一网络中可以包括第一网元,第一网元可以为BSF或者AAuF,用于执行第一认证网络的认证,临时身份生成和分发,密钥的生成和密钥生命周期确定的至少一项。
[0205] 第二网络中可以包括第二网元,第二网元可以为BSF或者AAuF,用于执行第二认证网络的认证,临时身份生成和分发,密钥的生成和密钥生命周期确定的至少一项。
[0206] 本申请实施例中涉及的第一共享密钥是终端设备基于第一网络的认证架构进行第一认证所生成,具体应用中,在第一网元和终端设备中共享该第一共享密钥后,终端设备
和第一网络可以基于第一共享密钥进行后续UE与AF之间的密钥分发。具体UE与AF之间的密
钥分发流程,本申请实施例不做具体描述。
和第一网络可以基于第一共享密钥进行后续UE与AF之间的密钥分发。具体UE与AF之间的密
钥分发流程,本申请实施例不做具体描述。
[0207] 本申请实施例中所涉及的第一共享密钥的有效期代表第一共享密钥的生命周期,超出第一密钥有限期后,第一共享密钥将不能继续使用。
[0208] 本申请实施例中涉及的第一临时标识是终端设备基于第一网络的认证架构进行第一认证时可以产生的临时身份,具体应用中,可以基于第一临时标识进行第一共享密钥
检索。
检索。
[0209] 本申请实施例中涉及的第二共享密钥是终端设备基于第二网络的认证架构进行第二认证所生成的,具体应用中,在第二网元和终端设备中共享该第二共享密钥后,终端设
备和第二网络可以基于第二共享密钥进行后续UE与AF之间的密钥分发。具体UE与AF之间的
密钥分发流程,本申请实施例不做具体描述。
备和第二网络可以基于第二共享密钥进行后续UE与AF之间的密钥分发。具体UE与AF之间的
密钥分发流程,本申请实施例不做具体描述。
[0210] 本申请实施例中所涉及的第二共享密钥的有效期代表第二共享密钥的生命周期,超出第二密钥有限期后,第二共享密钥将不能继续使用。
[0211] 本申请实施例中涉及的第二临时标识是终端设备基于第二网络的认证架构进行第二认证时可以产生的临时身份,具体应用中,可以基于第二临时标识进行第二共享密钥
检索。
检索。
[0212] 本申请实施例所涉及的第一网元、第三网元和第五网元可以工作于第一网络中。
[0213] 本申请实施例所涉及的第二网元和第四网元可以工作于第二网络中。
[0214] 下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念
或过程可能在某些实施例中不再赘述。
或过程可能在某些实施例中不再赘述。
[0215] 参照图6,图6为本申请实施例一的一种通信方法的流程示意图;本申请实施例的方法可以包括:
[0216] 步骤S201:终端设备向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识。
[0217] 在本申请实施例中,终端设备的标识可以是终端的用户永久标识(Subscription Permanent Identifier,SUPI),或者终端的国际移动用户识别码(International Mobile
Subscriber Identity, IMSI),或者终端的IP多媒体私有标识(IP Multimedia Private
Identity,IMPI),或者终端的全球唯一临时标识(Globally Unique Temporary
Identifier,GUTI),或者终端的IP多媒体共有标识(IP Multimedia Public Identity,
IMPU),或者终端的临时移动用户标识符(Temporary Mobile Subscriber Identity,TMSI)
(如:系统架构演进临时移动用户标识符(S‑TMSI)或者移动管理功能临时移动用户标识符
(M‑TMSI)或者分组域用户临时标识符(P‑TMSI)),或者终端的国际移动台设备标识
(International Mobile Station Equipment Identity,IMEI),或者终端的用户密封标识
(Subscription Concealed Identifier,SUCI)等,不予限制。SUCI可以是对SUPI的加密封
装。本申请实施例中终端设备的标识也可以为第二临时标识,本申请实施例对终端设备的
标识不作限定。
Subscriber Identity, IMSI),或者终端的IP多媒体私有标识(IP Multimedia Private
Identity,IMPI),或者终端的全球唯一临时标识(Globally Unique Temporary
Identifier,GUTI),或者终端的IP多媒体共有标识(IP Multimedia Public Identity,
IMPU),或者终端的临时移动用户标识符(Temporary Mobile Subscriber Identity,TMSI)
(如:系统架构演进临时移动用户标识符(S‑TMSI)或者移动管理功能临时移动用户标识符
(M‑TMSI)或者分组域用户临时标识符(P‑TMSI)),或者终端的国际移动台设备标识
(International Mobile Station Equipment Identity,IMEI),或者终端的用户密封标识
(Subscription Concealed Identifier,SUCI)等,不予限制。SUCI可以是对SUPI的加密封
装。本申请实施例中终端设备的标识也可以为第二临时标识,本申请实施例对终端设备的
标识不作限定。
[0218] 本申请实施例中,第一网元是第一网络中基于第一认证架构进行第一认证的网元,第一认证架构可以是GBA,第一认证架构也可以是AKMA;第一请求用于指示第一网元从
第二网元获取第一共享密钥;第二网元是第二网络中基于第二认证架构进行第二认证的网
元,第二认证架构可以是GBA,第二认证架构也可以是AKMA;具体应用中,在第一认证架构为
GBA的情况下,第一网元为BSF,第二认证架构为AKMA,第二网元为AAuf;在第一认证架构为
AKMA的情况下,第一网元为AAuf,第二认证架构为GBA,第二网元为BSF;可以在第一网元和
第二网元之间设置接口,通过第一网元和第二网元之间的接口,在第一网元和第二网元之
间实现数据传输。
第二网元获取第一共享密钥;第二网元是第二网络中基于第二认证架构进行第二认证的网
元,第二认证架构可以是GBA,第二认证架构也可以是AKMA;具体应用中,在第一认证架构为
GBA的情况下,第一网元为BSF,第二认证架构为AKMA,第二网元为AAuf;在第一认证架构为
AKMA的情况下,第一网元为AAuf,第二认证架构为GBA,第二网元为BSF;可以在第一网元和
第二网元之间设置接口,通过第一网元和第二网元之间的接口,在第一网元和第二网元之
间实现数据传输。
[0219] 在本申请实施例的一种可选实现方式中,终端设备在第二网元中已有认证,则在终端设备与第二网元中可以共享第二共享密钥、第二临时标识和第二共享密钥的有效期;
终端设备通过向第一网元发送第一请求,表明终端设备希望通过在第二网元中已有的认证
参数,建立与第一网元的参数协商。
终端设备通过向第一网元发送第一请求,表明终端设备希望通过在第二网元中已有的认证
参数,建立与第一网元的参数协商。
[0220] 在本申请实施例的另一种可选实现方式中,终端设备在第二网元中没有认证,则在终端设备与第二网元中没有共享的认证参数;终端设备通过向第一网元发送第一请求,
表明终端设备希望通过第一网元触发第二网元与终端设备进行第二认证,并在第二网元与
终端设备进行第二认证时产生的认证参数,建立与第一网元的参数协商。
表明终端设备希望通过第一网元触发第二网元与终端设备进行第二认证,并在第二网元与
终端设备进行第二认证时产生的认证参数,建立与第一网元的参数协商。
[0221] 可选的,所述第一请求还包括以下至少一种:第一指示信息、完整性保护信息和第一请求的重放标识;所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述
第一网络中的第一共享密钥,所述完整性保护信息用于校验所述终端设备的合法性;所述
第一请求的重放标识用于验证所述第一请求是否为重放消息。
第一网络中的第一共享密钥,所述完整性保护信息用于校验所述终端设备的合法性;所述
第一请求的重放标识用于验证所述第一请求是否为重放消息。
[0222] 本申请实施例中,第一指示信息可以是与第二网络相关的信息,用于指示第一网元从第二网络中获取第一网络的第一共享密钥。示例的,第一指示消息可以是GBA
indicator或 AKMA indicator。
indicator或 AKMA indicator。
[0223] 本申请实施例中,完整性保护信息可以是消息验证码(Message Authentication Code, MAC),MAC可以是基于第二共享密钥(也可以基于第二共享密钥和第一完整性保护信
息输入参数),采用完整性保护算法对整条消息完整性保护计算得到的,第二网元可以根据
消息验证码校验该终端设备是否为合法终端,提升通信的安全系数。具体的,完整性保护算
法可以为哈希运算,本申请实施例不做具体限制。
息输入参数),采用完整性保护算法对整条消息完整性保护计算得到的,第二网元可以根据
消息验证码校验该终端设备是否为合法终端,提升通信的安全系数。具体的,完整性保护算
法可以为哈希运算,本申请实施例不做具体限制。
[0224] 本申请实施例中,第一请求的重放标识可以是第一新鲜参数,具体的可以为计数器、随机数等,将第一新鲜参数用于完整性保护信息的输入,可以防止完整性保护信息的重
放攻击,提升通信的安全系数。
放攻击,提升通信的安全系数。
[0225] 步骤S202:第一网元根据所述第一请求向第二网元发送第二请求,所述第二请求包括所述终端设备的标识。
[0226] 本申请实施例中,第一网元可以根据第一请求向第二网元发送包括终端设备的标识的第二请求。具体应用中,第二网元的标识可以为:从终端设备发送的终端设备的第二临
时身份确定的,或者从终端设备接收到的第一指示信息确定的。
时身份确定的,或者从终端设备接收到的第一指示信息确定的。
[0227] 本申请实施例中,第二请求用于向第二网元请求第一共享密钥。
[0228] 可选的,所述第二请求还包括以下至少一种:第一网元标识、所述完整性保护信息和所述第一完整性保护信息输入参数;其中,所述第一网元标识用于标识所述第一网元的
地址和身份信息。
地址和身份信息。
[0229] 本申请实施例中,第二网元可以根据第一网元标识确定第一网元的地址和身份信息,后续可以根据第一网元标识与第一网元进行数据传输。
[0230] 第一网元可以向第二网元转发终端设备发送的包括完整性保护信息和所述第一完整性保护信息输入参数的第二请求,以提升通信的安全系数,在此不做赘述。
[0231] 步骤S203:第二网元根据所述终端设备的标识确定第二共享密钥,并根据所述第二共享密钥确定第一共享密钥。
[0232] 在本申请实施例的一种可选实现方式中,终端设备在第二网元中已有认证,则第二网元可以在预制存储空间中匹配所述终端设备的标识对应的第二共享密钥;其中,预制
存储空间中存储有终端设备的标识与第二共享密钥的映射关系。
存储空间中存储有终端设备的标识与第二共享密钥的映射关系。
[0233] 在本申请实施例的另一种可选实现方式中,终端设备在第二网元中没有认证,则第二网元可以响应于该第二请求,与终端设备进行第二认证,得到第二共享密钥。
[0234] 具体应用中,响应于第二请求,第二网元与终端设备可以进行基于第二认证架构的第二认证,可以理解,该第二认证可以为GBA的常规认证,也可以为AKMA的常规认证,也可
以为5G AKA或者EAP AKA’等认证方式,本申请实施例对此认证方式不做限制,在此对第二
认证不做赘述。需要说明的是,虽然本申请实施例中,响应于第二请求,第二网元与终端设
备之间采用的是常规的第二认证,但是该第二请求是第一网元发送的,即该第二认证是有
第一网元参与执行参数传递的,使得本申请的终端设备与第二网元的认证过程不同于现有
的认证过程。
以为5G AKA或者EAP AKA’等认证方式,本申请实施例对此认证方式不做限制,在此对第二
认证不做赘述。需要说明的是,虽然本申请实施例中,响应于第二请求,第二网元与终端设
备之间采用的是常规的第二认证,但是该第二请求是第一网元发送的,即该第二认证是有
第一网元参与执行参数传递的,使得本申请的终端设备与第二网元的认证过程不同于现有
的认证过程。
[0235] 具体应用中,第二网元根据第二共享密钥确定第一共享密钥的方式可以是:
[0236] 第二网元根据第二共享密钥采用密钥推衍函数得到第一共享密钥。具体应用中,采用密钥推衍函数推衍第一共享密钥时,依据的参数可以包括以下参数的至少一项:第一
网元的标识,AKMA与GBA的互联互通的指示,第二新鲜参数,终端设备的标识,第二认证架构
的标识。第一网元的标识用于将此密钥与第一网元绑定。AKMA与GBA的互联互通的指示,用
于指示密钥用于互通的场景。第二新鲜参数用于确保密钥的新鲜性,可以为计数器,或者随
机选择的随机数。终端设备的标识可以为接收到的第二临时标识,或者永久标识;或者根据
终端设备的封装标识确定的终端设备的永久标识。第二认证架构标识用于指示密钥与第二
认证架构相关。本申请实施例第一网元的标识可以为第一网元发送给第二网元的,也可以
第二网元根据其与第一网元的接口连接确定的。第二新鲜参数可以通过第一网元发送给终
端设备。
网元的标识,AKMA与GBA的互联互通的指示,第二新鲜参数,终端设备的标识,第二认证架构
的标识。第一网元的标识用于将此密钥与第一网元绑定。AKMA与GBA的互联互通的指示,用
于指示密钥用于互通的场景。第二新鲜参数用于确保密钥的新鲜性,可以为计数器,或者随
机选择的随机数。终端设备的标识可以为接收到的第二临时标识,或者永久标识;或者根据
终端设备的封装标识确定的终端设备的永久标识。第二认证架构标识用于指示密钥与第二
认证架构相关。本申请实施例第一网元的标识可以为第一网元发送给第二网元的,也可以
第二网元根据其与第一网元的接口连接确定的。第二新鲜参数可以通过第一网元发送给终
端设备。
[0237] 需要说明的是,若第二请求还包括所述消息验证码和所述第一新鲜参数,则第二网元可以根据第二共享密钥和第一新鲜参数,通过消息验证码算法校验接收到的消息验证
码是否正确。如果校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息
或拒绝指示至第一网元,以告知第一网元消息校验码校验失败;可选的,第一网元接收到拒
绝响应消息或拒绝指示后,发送拒绝响应消息或拒绝指示至终端设备,以告知终端消息校
验码校验失败。可以理解,如果终端设备与第二网元之间共享有第一新鲜参数,则终端也可
以不发送第一新鲜参数至第一网元,第一网元也不需要发送第一新鲜参数至第二网元。
码是否正确。如果校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息
或拒绝指示至第一网元,以告知第一网元消息校验码校验失败;可选的,第一网元接收到拒
绝响应消息或拒绝指示后,发送拒绝响应消息或拒绝指示至终端设备,以告知终端消息校
验码校验失败。可以理解,如果终端设备与第二网元之间共享有第一新鲜参数,则终端也可
以不发送第一新鲜参数至第一网元,第一网元也不需要发送第一新鲜参数至第二网元。
[0238] 步骤S204:所述第二网元向所述第一网元发送所述第一共享密钥。
[0239] 本申请实施例中,第二网元向第一网元发送第一共享密钥,则终端设备实现了通过在第二网元中已有的认证参数,建立与第一网元的参数协商。
[0240] 可选的,还发送第二新鲜参数。
[0241] 可选的,还发送AKMA与GBA的互联互通的指示,或者第二认证架构的标识的至少一项。
[0242] 步骤S205:第一网元发送第一响应消息至终端设备。
[0243] 本申请实施例中,第一响应消息用于指示第一网元已获取第一共享密钥。
[0244] 可选的,所述第一响应消息包括第二新鲜参数、AKMA与GBA的互联互通的指示和第二认证架构的标识的至少一项。
[0245] 可选的,第一响应消息包括:第一临时标识和/或第一共享密钥的有效期。
[0246] 在本申请实施例一种可选的实现方式中,第一临时标识和/或第一共享密钥的有效期可以由第一网元或第二网元计算得到,然后第一网元将第一临时标识和/或第一共享
密钥的有效期发送给终端设备。
密钥的有效期发送给终端设备。
[0247] 具体的,第一网元确定第一临时标识的具体实现可以是:所述第一网元从所述第二网元接收第二临时标识;所述第一网元根据所述第二临时标识计算得到所述第一临时标
识;其中,所述第二临时标识为所述终端设备在所述第二网元中进行第二认证得到的临时
标识。具体的,第二临时标识通常包括终端设备的临时身份标识和第二网元的第二网元标
识。第一网元可以将第二临时标识中的第二网元标识替换为第一网元标识。可选的第二临
时标识还包括第二认证架构标识,第一网元可以将第二临时标识中的第二认证架构标识替
换为第一认证架构标识或者直接去掉第二认证架构标识。
识;其中,所述第二临时标识为所述终端设备在所述第二网元中进行第二认证得到的临时
标识。具体的,第二临时标识通常包括终端设备的临时身份标识和第二网元的第二网元标
识。第一网元可以将第二临时标识中的第二网元标识替换为第一网元标识。可选的第二临
时标识还包括第二认证架构标识,第一网元可以将第二临时标识中的第二认证架构标识替
换为第一认证架构标识或者直接去掉第二认证架构标识。
[0248] 第一网元确定第一临时标识的具体实现还可以是:所述第一网元从所述第二网元接收第一临时标识;其中,所述第一临时标识为所述第二网元根据所述第二临时标识计算
得到的;具体第二网元确定第一临时标识的方式参加上述描述,然后第二网元将第一临时
标识发送给第一网元。
得到的;具体第二网元确定第一临时标识的方式参加上述描述,然后第二网元将第一临时
标识发送给第一网元。
[0249] 第一网元确定第一共享密钥的有效期的具体实现可以是:所述第一网元从所述第二网元接收所述第二共享密钥的有效期;所述第一网元根据所述第二共享密钥的有效期计
算得到所述第一共享密钥的有效期。具体的,第一网元可以根据第二共享密钥的有效期剩
余的生命周期,确定第一共享密钥的有效期;第一网元也可以同时参考其他本地策略(如第
一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此不作限定。
算得到所述第一共享密钥的有效期。具体的,第一网元可以根据第二共享密钥的有效期剩
余的生命周期,确定第一共享密钥的有效期;第一网元也可以同时参考其他本地策略(如第
一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此不作限定。
[0250] 第一网元确定第一共享密钥的有效期的具体实现还可以是:所述第一网元从所述第二网元接收第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第二网元
根据所述第二共享密钥的有效期计算得到的。具体的,第二网元可以根据第二共享密钥的
有效期剩余的生命周期,确定第一共享密钥的有效期;第二网元也可以同时参考其他本地
策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此
不作限定,然后第二网元将第一临时标识发送给第一网元。
根据所述第二共享密钥的有效期计算得到的。具体的,第二网元可以根据第二共享密钥的
有效期剩余的生命周期,确定第一共享密钥的有效期;第二网元也可以同时参考其他本地
策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此
不作限定,然后第二网元将第一临时标识发送给第一网元。
[0251] 在本申请实施例另一种可选的实现方式中,第一网元或第二网元计算得到第一临时标识和/或第一共享密钥的有效期,终端设备也计算得到第一临时标识和/或第一共享密
钥的有效期,则第一网元不需要向终端设备发送第一临时标识和/或第一共享密钥的有效
期。
钥的有效期,则第一网元不需要向终端设备发送第一临时标识和/或第一共享密钥的有效
期。
[0252] 终端设备确定第一临时标识的具体实现可以参考上述确定方式。
[0253] 终端设备确定第一共享密钥的有效期的具体实现可以是:终端设备可以根据第二共享密钥的有效期剩余的生命周期,确定第一共享密钥的有效期;终端设备也可以同时参
考其他本地策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,
本申请对此不作限定。
考其他本地策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,
本申请对此不作限定。
[0254] 步骤S206:终端设备根据第二共享密钥确定第一共享密钥。
[0255] 具体应用中,终端设备根据第二共享密钥确定第一共享密钥的方式可以采用与第二网元相同的方式推衍得到第一共享密钥,在此不再赘述。
[0256] 可选的,如果终端设备与第二网元共享有第二新鲜参数,第二新鲜参数也可以不在步骤 204和205发送。
[0257] 可选的,若终端设备中缺少任何用于根据第二共享密钥确定第一共享密钥的推衍参数,都可以由第二网元发送给第一网元,第一网元在进一步发送给终端设备。
[0258] 在终端设备和第一网元中共享了第一共享密钥,以及第一临时标识和/或第一共享密钥的有效期之后,终端设备和第一网元就可以基于该第一共享密钥进行后续的安全流
程等操作。
程等操作。
[0259] 具体应用中,终端设备可以在接收到第一响应消息后,执行步骤S206的流程;终端设备也可以在接收到第一响应消息之前,执行步骤S206的流程;本申请实施例对此不作限
定;本申请实施例对终端设备根据第二共享密钥确定第一共享密钥的具体位置也不做限
定。
定;本申请实施例对终端设备根据第二共享密钥确定第一共享密钥的具体位置也不做限
定。
[0260] 具体应用中,本申请实施例的通信方法可以包括两种实现方式:第一种实现方式中,第一网元为BSF,第二网元为AAuF;第二种实现方式中,第一网元为AAuF,第二网元为
BSF。
BSF。
[0261] 参照图7,示出了本申请实施例二的通信方法的第一种实现方式的具体流程示意图。本申请实施例以第一网元为BSF,第二网元为AAuF为例,说明基于AKMA中的第二共享密
钥 kakma获得GBA中的第一共享密钥ks的流程。在图7对应的实施例中,第一临时标识为B‑
TID,第一共享密钥为Ks,第一共享密钥的有效期为key lifetime1,第二临时标识为
Temporary ID,第二共享密钥为Kakma,第二共享密钥的有效期为key lifetime2。在本申请
实施例中,该方法可以包括:
钥 kakma获得GBA中的第一共享密钥ks的流程。在图7对应的实施例中,第一临时标识为B‑
TID,第一共享密钥为Ks,第一共享密钥的有效期为key lifetime1,第二临时标识为
Temporary ID,第二共享密钥为Kakma,第二共享密钥的有效期为key lifetime2。在本申请
实施例中,该方法可以包括:
[0262] 步骤S2011:UE向BSF发送第一请求;其中,所述第一请求包括所述终端设备的标识。
[0263] 本申请实施例中,可以包括两种应用场景,第一种应用场景中,终端设备在5G网络中执行了AKMA认证,则UE与AAuF共享Kakma、Temporary ID和key lifetime2;第二种应用场
景中,终端设备在5G网络中没有执行AKMA认证,则UE与AAuF没有共享Kakma、 temporary ID
和key lifetime2。
景中,终端设备在5G网络中没有执行AKMA认证,则UE与AAuF没有共享Kakma、 temporary ID
和key lifetime2。
[0264] 在第一种应用场景中,终端设备的标识可以为临时标识Temporary ID,Temporary ID中既包含AAuF标识也包含终端设备的标识;第一请求中还可以包括终端设备的永久身份
标识和作为第一指示信息的AAuF标识,使得BSF可以通过该AAuF标识确定第一请求对应的
为 AKMA的请求,具体的AAuF标识可以包括:AAuF地址信息AAuF domain name/address,或
AKMA认证指示AKMA indicator,用于指示第一请求是基于AKMA已有认证的结果;第一请求
中还可以包括终端设备的临时身份标识Temporary ID和AAuF标识;本申请实施例对此不作
具体限定。
标识和作为第一指示信息的AAuF标识,使得BSF可以通过该AAuF标识确定第一请求对应的
为 AKMA的请求,具体的AAuF标识可以包括:AAuF地址信息AAuF domain name/address,或
AKMA认证指示AKMA indicator,用于指示第一请求是基于AKMA已有认证的结果;第一请求
中还可以包括终端设备的临时身份标识Temporary ID和AAuF标识;本申请实施例对此不作
具体限定。
[0265] 在第二种应用场景中,第一请求中可以包括终端设备的永久身份标识和AAuF标识,使得BSF可以通过该AAuF标识确定第一请求对应的为AKMA的请求,具体的AAuF标识可以
包括:AAuF地址信息AAuF domain name/address。第一请求中还可以包括终端设备的永久
身份标识的封装标识和AAuF标识;第一请求中还可以包括终端设备的永久身份标识的封装
标识或终端设备的永久身份标识。
包括:AAuF地址信息AAuF domain name/address。第一请求中还可以包括终端设备的永久
身份标识的封装标识和AAuF标识;第一请求中还可以包括终端设备的永久身份标识的封装
标识或终端设备的永久身份标识。
[0266] 可选的,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括:消息验证码MAC,具体的,MAC可以是基于Kakma对整条消息完整性保护计算的,以使AAuF通过
校验MAC,确定此消息为合法UE发送来。
校验MAC,确定此消息为合法UE发送来。
[0267] 可选的,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括:新鲜参数1,用于MAC计算的输入,防止MAC的重放攻击,新鲜参数1可以为计数器,随机数,
nonce等。
nonce等。
[0268] 可选的,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括第一指示信息:AKMA 指示(AKMA indicator),用于指示所述第一请求是与AKMA相关的。
[0269] 步骤S2021:BSF根据所述第一请求向AAuF发送第二请求,其中所述第二请求包括所述终端设备的标识。
[0270] 在上述的第一种应用场景中,BSF可以通过Temporary ID和/或AAuF domainname/address,确定具体的AAuF;终端设备的标识可以为Temporary ID,也可以为终端设备
的永久身份标识。也可能,BSF通过终端设备的永久身份标识确定具体的AAuF,例如第一身
份标识包括AAuF所在网络的信息。在上述的第二种应用场景中,BSF可以通过AAuF domain
name/address确定具体的AAuF;终端设备的标识可以为终端设备的永久身份标识或终端设
备的永久身份标识的封装标识。也可能,BSF通过终端设备的永久身份标识或终端设备的永
久身份标识的封装标识确定具体的AAuF,例如终端设备的永久身份标识或终端设备的永久
身份标识的封装标识包括AAuF所在网络的信息。
的永久身份标识。也可能,BSF通过终端设备的永久身份标识确定具体的AAuF,例如第一身
份标识包括AAuF所在网络的信息。在上述的第二种应用场景中,BSF可以通过AAuF domain
name/address确定具体的AAuF;终端设备的标识可以为终端设备的永久身份标识或终端设
备的永久身份标识的封装标识。也可能,BSF通过终端设备的永久身份标识或终端设备的永
久身份标识的封装标识确定具体的AAuF,例如终端设备的永久身份标识或终端设备的永久
身份标识的封装标识包括AAuF所在网络的信息。
[0271] 若BSF接收到AKMA indicator,BSF确定此请求与AKMA相关。
[0272] 另外,可选的,BSF也可以通过终端设备的标识,和/或AAuF domain name/address确定此请求与AKMA相关。
[0273] 可选的,第二请求还可包括BSF标识,和/或,消息验证码MAC,和/或,新鲜参数1。
[0274] BSF标识可以是BSF的地址信息BSF domain name等,使得AauF后续能够根据BSF标识与BSF发生交互;MAC可以是基于Kakma对整条消息完整性保护计算的,以使AAuF通过校验
MAC,确定此消息为合法UE发送来;新鲜参数1,用于MAC计算的输入,防止MAC 的重放攻击,
新鲜参数1可以为计数器,随机数,nonce等。
MAC,确定此消息为合法UE发送来;新鲜参数1,用于MAC计算的输入,防止MAC 的重放攻击,
新鲜参数1可以为计数器,随机数,nonce等。
[0275] 步骤S2031:AAuF根据终端设备的标识确定Kakma;根据Kakma生成Ks,还可以根据 key lifetime2确定key lifetime1。
[0276] 在上述的第一种应用场景中,AAuF中存储有Temporary ID、Kakma和key lifetime2的映射关系,AAuF可以根据Temporary ID确定Kakma和key lifetime2;进而,
AAuF根据Kakma 推衍得到Ks,推衍Ks的参数除了Kakma之外,还可能包括以下参数的至少一
项:BSF domainname,AKMA与GBA的互联互通的指示,新鲜参数2,终端设备的标识,第二认证
架构的标识。参照步骤S203的推衍表述,在此不再赘述。这里BSF domain name可以为BSF
发送给AAuF,也可以AAuF根据其与BSF的接口连接确定BSF domain name;AAuF根据 key
lifetime2确定key lifetime1。例如,可以为根据key lifetime2剩余的生命周期,确定key
lifetime1的生命周期;另外也可以同时参考其他本地策略(如key lifetime1不超过1个小
时) 确定key lifetime1的有效期。
AAuF根据Kakma 推衍得到Ks,推衍Ks的参数除了Kakma之外,还可能包括以下参数的至少一
项:BSF domainname,AKMA与GBA的互联互通的指示,新鲜参数2,终端设备的标识,第二认证
架构的标识。参照步骤S203的推衍表述,在此不再赘述。这里BSF domain name可以为BSF
发送给AAuF,也可以AAuF根据其与BSF的接口连接确定BSF domain name;AAuF根据 key
lifetime2确定key lifetime1。例如,可以为根据key lifetime2剩余的生命周期,确定key
lifetime1的生命周期;另外也可以同时参考其他本地策略(如key lifetime1不超过1个小
时) 确定key lifetime1的有效期。
[0277] 需要说明的是,若第二请求还包括所述消息验证码和所述第一新鲜参数,则AAuF可以根据Kakma和第一新鲜参数,通过消息验证码算法校验接收到的消息验证码是否正确。
如果校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息或拒绝指示至
BSF,以告知BSF消息校验码校验失败;可选的,BSF接收到拒绝响应消息或拒绝指示后,发送
拒绝响应消息或拒绝指示至终端设备,以告知终端消息校验码校验失败。可以理解,如果终
端设备与AAuF之间共享有第一新鲜参数,则终端也可以不发送第一新鲜参数至BSF,BSF也
不需要发送第一新鲜参数至AAuF。
如果校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息或拒绝指示至
BSF,以告知BSF消息校验码校验失败;可选的,BSF接收到拒绝响应消息或拒绝指示后,发送
拒绝响应消息或拒绝指示至终端设备,以告知终端消息校验码校验失败。可以理解,如果终
端设备与AAuF之间共享有第一新鲜参数,则终端也可以不发送第一新鲜参数至BSF,BSF也
不需要发送第一新鲜参数至AAuF。
[0278] 在上述的第二种应用场景中,终端设备与AAuF没有进行第二认证,则AAuF可以响应于第二请求,实时与终端设备进行AKMA的双向认证,使得AAuF中与UE共享temporary ID、
Kakma和key lifetime2,具体的,AAuF可以基于上述的AKMA架构,通过AUSF/UDM与终端设备
进行AKMA的双向认证,在此不做赘述;然后AAuF可以执行如第一中应用场景中的确定Ks等
的过程,在此不做赘述。
Kakma和key lifetime2,具体的,AAuF可以基于上述的AKMA架构,通过AUSF/UDM与终端设备
进行AKMA的双向认证,在此不做赘述;然后AAuF可以执行如第一中应用场景中的确定Ks等
的过程,在此不做赘述。
[0279] 需要说明的是,根据key lifetime2确定key lifetime1的过程也可以由BSF实现,则AAuF 可以发送key lifetime2给BSF。
[0280] 步骤S2041:AAuF向BSF发送Ks,还可以发送Temporary ID和/或key lifetime1。
[0281] 在上述第一种应用场景和第二种应用场景中,AAuF都可以向BSF发送Ks,还可以发送 Temporary ID和/或key lifetime1。
[0282] 可选的,AAuF向BSF还可以发送新鲜参数2,用于防止重复攻击,新鲜参数2可以为计数器,随机数,nonce等。可选的,AAuF向BSF还可以发送AKMA与GBA的互联互通的指示,或
者第二认证架构的标识等。
者第二认证架构的标识等。
[0283] 步骤S2051:BSF根据Temporary ID确定B‑TID。
[0284] 本申请实施例中,B‑TID可以为BSF生成的,也可能为BSF根据接收到temporary ID 确定的。示例的,BSF根据Temporary ID确定B‑TID的确定方式可以为将temporary ID后面
的domain name替换为BSF domain name;使得最终B‑TID包括temporary ID中UE的临时身
份,以及BSF domain name。
的domain name替换为BSF domain name;使得最终B‑TID包括temporary ID中UE的临时身
份,以及BSF domain name。
[0285] 需要说明的是,根据Temporary ID确定B‑TID的过程也可以由AAuF实现,则AAuF可以发送B‑TID给BSF。
[0286] 步骤S2061:BSF向UE发送B‑TID和key lifetime1。
[0287] 可选的,BSF还可以向UE发送新鲜参数2、AKMA与GBA的互联互通的指示,和第二认证架构的标识的至少一项。
[0288] 可选的,UE也可以根据UE中存储的Temporary ID、Kakma和key lifetime2确定B‑TID 和key lifetime1,则BSF不需要向UE发送B‑TID和key lifetime1。
[0289] 步骤S2071:UE根据Kakma确定Ks。
[0290] 本申请实施例中,UE根据Kakma确定Ks的方式与AAuF生成Ks的方式相同在此不再赘述。需要说明的是,如果AAuF采用的了新鲜参数2,则UE也会从BSF接收到新鲜参数2。
[0291] 可选的,如果终端设备与AAuF共享有第二新鲜参数,第二新鲜参数也可以不在上述步骤发送。
[0292] 可选的,若终端设备中缺少任何用于根据Kakma确定Ks的推衍参数,都可以由AAuF 发送给BSF,BSF在进一步发送给UE。
[0293] 则UE与BSF完成了Ks、B‑TID和Key lifetime1的共享,后续UE与AF可以基于Ks、 B‑TID和Key lifetime1进行密钥分发等流程,本申请实施例不做具体描述。
[0294] 参照图8,示出了本申请实施例三的通信方法的第二种实现方式的具体流程示意图。本申请实施例以第一网元为AAuF,第二网元为BSF为例,说明基于GBA中的ks获得AKMA
中的Kakma的流程。在图8对应的实施例中,第一临时标识为Temporary ID,第一共享密钥为
Kakma,第一共享密钥的有效期为key lifetime1,第二临时标识为B‑TID,第二共享密钥为
Ks,第二共享密钥的有效期为key lifetime2。在本申请实施例中,该方法可以包括:
中的Kakma的流程。在图8对应的实施例中,第一临时标识为Temporary ID,第一共享密钥为
Kakma,第一共享密钥的有效期为key lifetime1,第二临时标识为B‑TID,第二共享密钥为
Ks,第二共享密钥的有效期为key lifetime2。在本申请实施例中,该方法可以包括:
[0295] 步骤S2012:UE向AAuF发送第一请求;其中,所述第一请求包括终端设备的标识。
[0296] 本申请实施例中,可以包括两种应用场景,第一种应用场景中,终端设备在4G网络中执行了GBA认证,则UE与BSF共享B‑TID、Ks和key lifetime2;第二种应用场景中,终端设
备在4G网络中没有执行GBA认证,则UE与BSF没有共享B‑TID、Ks和key lifetime2。
备在4G网络中没有执行GBA认证,则UE与BSF没有共享B‑TID、Ks和key lifetime2。
[0297] 在第一种应用场景中,终端设备的标识可以为临时标识B‑TID,B‑TID中既包含BSF标识也包含终端设备的标识;第一请求中还可以包括终端设备的永久身份标识和作为第一
指示信息的BSF标识,使得BSF可以通过该BSF标识确定第一请求对应的为GBA的请求,具体
的BSF标识可以包括:BSF地址信息BSF domain name/address,用于指示第一请求是基于
GBA已有认证的结果;第一请求中还可以包括终端设备的临时身份标识Temporary ID和
AAuF标识;本申请实施例对此不作具体限定。
指示信息的BSF标识,使得BSF可以通过该BSF标识确定第一请求对应的为GBA的请求,具体
的BSF标识可以包括:BSF地址信息BSF domain name/address,用于指示第一请求是基于
GBA已有认证的结果;第一请求中还可以包括终端设备的临时身份标识Temporary ID和
AAuF标识;本申请实施例对此不作具体限定。
[0298] 在第二种应用场景中,第一请求中可以包括终端设备的永久身份标识和BSF标识,使得 BSF可以通过该BSF标识确定第一请求对应的为GBA的请求,具体的BSF标识可以包括:
BSF地址信息BSF domain name/address第一请求中还可以包括终端设备的永久身份标识
的封装标识和BSF标识;第一请求中还可以包括终端设备的永久身份标识的封装标识或终
端设备的永久身份标识。
BSF地址信息BSF domain name/address第一请求中还可以包括终端设备的永久身份标识
的封装标识和BSF标识;第一请求中还可以包括终端设备的永久身份标识的封装标识或终
端设备的永久身份标识。
[0299] 可选的,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括:消息验证码MAC,具体的,MAC可以是基于Ks对整条消息完整性保护计算的,以使BSF通过校验
MAC,确定此消息为合法UE发送来。
MAC,确定此消息为合法UE发送来。
[0300] 可选的,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括:新鲜参数1,用于MAC计算的输入,防止MAC的重放攻击,新鲜参数1可以为计数器,随机数,
nonce等。
nonce等。
[0301] 可选的两种场景下,在上述第一种应用场景和第二种应用场景中,第一请求中都可以包括第一指示信息:GBA指示(GBA indicator),用于指示所述第一请求是与AKMA相关
的。
的。
[0302] 步骤S2022:AAuF根据所述BSF标识向BSF发送第二请求,其中所述第二请求包括所述终端设备的标识,第二请求还可包括BSF标识,和/或,消息验证码MAC。
[0303] 在上述的第一种应用场景中,AAuF可以通过B‑TID和/或BSF domain name/address确定具体的BSF;终端设备的标识可以为B‑TID,也可以为终端设备的永久身份标
识。也可能, AAuF通过终端设备的永久身份标识确定具体的BSF,例如第一身份标识包括
BSF所在网络的信息。
识。也可能, AAuF通过终端设备的永久身份标识确定具体的BSF,例如第一身份标识包括
BSF所在网络的信息。
[0304] 在上述的第二种应用场景中,AAuF可以通过BSF domain name/address,或GBA indicator 确定具体的BSF;终端设备的标识可以为终端设备的永久身份标识或终端设备
的永久身份标识的封装标识。也可能,AAuF通过终端设备的永久身份标识或终端设备的永
久身份标识的封装标识确定具体的BSF,例如终端设备的永久身份标识或终端设备的永久
身份标识的封装标识包括BSF所在网络的信息。
的永久身份标识的封装标识。也可能,AAuF通过终端设备的永久身份标识或终端设备的永
久身份标识的封装标识确定具体的BSF,例如终端设备的永久身份标识或终端设备的永久
身份标识的封装标识包括BSF所在网络的信息。
[0305] 若AAuF接收到GBA indicator,AAuF确定此请求与GBA相关。
[0306] 另外,可选的,AAuF也可以通过终端设备的标识,和/或BSF domain name/address确定此请求与GBA相关。
[0307] 可选的,第二请求还可包括AAuF标识,和/或,消息验证码MAC,和/或,新鲜参数1。
[0308] AAuF标识可以是AAuF的地址信息AAuF domain name等,使得BSF后续能够根据AAuF 标识与AAuF发生交互;MAC可以是基于Ks对整条消息完整性保护计算的,以使BSF通过
校验MAC,确定此消息为合法UE发送来;新鲜参数1,用于MAC计算的输入,防止MAC 的重放攻
击,新鲜参数1可以为计数器,随机数,nonce等。
校验MAC,确定此消息为合法UE发送来;新鲜参数1,用于MAC计算的输入,防止MAC 的重放攻
击,新鲜参数1可以为计数器,随机数,nonce等。
[0309] 步骤S2032:BSF根据终端设备的标识确定Ks;根据Ks生成Kakma,还可以根据keylifetime2确定key lifetime1。
[0310] 在上述的第一种应用场景中,BSF中存储有B‑TID、Ks和key lifetime2的映射关系,AAuF 可以根据B‑TID确定Ks和key lifetime2;进而,BSF根据Ks推衍得到Kakma,推衍
Kakma 的参数除了Ks之外,还可能包括以下参数的至少一项:AAuF domainname,AKMA与GBA
的互联互通的指示,新鲜参数2,终端设备的标识,第二认证架构的标识。参照步骤S203的推
衍表述,在此不再赘述。这里AAuF domain name可以为AAuF发送给BSF,也可以BSF 根据其
与AAuF的接口连接确定AAuF domain name;BSF根据key lifetime2确定key lifetime1。例
如,可以为根据key lifetime2剩余的生命周期,确定key lifetime1的生命周期;另外也可
以同时参考其他本地策略(如key lifetime1不超过1个小时)确定key lifetime1的有效
期。
Kakma 的参数除了Ks之外,还可能包括以下参数的至少一项:AAuF domainname,AKMA与GBA
的互联互通的指示,新鲜参数2,终端设备的标识,第二认证架构的标识。参照步骤S203的推
衍表述,在此不再赘述。这里AAuF domain name可以为AAuF发送给BSF,也可以BSF 根据其
与AAuF的接口连接确定AAuF domain name;BSF根据key lifetime2确定key lifetime1。例
如,可以为根据key lifetime2剩余的生命周期,确定key lifetime1的生命周期;另外也可
以同时参考其他本地策略(如key lifetime1不超过1个小时)确定key lifetime1的有效
期。
[0311] 需要说明的是,若第二请求还包括所述消息验证码和所述第一新鲜参数,则BSF可以根据Ks和第一新鲜参数,通过消息验证码算法校验接收到的消息验证码是否正确。如果
校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息或拒绝指示至
AAuF,以告知AAuF消息校验码校验失败;可选的,AAuF接收到拒绝响应消息或拒绝指示后,
发送拒绝响应消息或拒绝指示至终端设备,以告知终端消息校验码校验失败。可以理解,如
果终端设备与BSF之间共享有第一新鲜参数,则终端也可以不发送第一新鲜参数至AAuF,
AAuF 也不需要发送第一新鲜参数至BSF。
校验正确则继续执行,否则拒绝第二请求,并可选的,发送拒绝响应消息或拒绝指示至
AAuF,以告知AAuF消息校验码校验失败;可选的,AAuF接收到拒绝响应消息或拒绝指示后,
发送拒绝响应消息或拒绝指示至终端设备,以告知终端消息校验码校验失败。可以理解,如
果终端设备与BSF之间共享有第一新鲜参数,则终端也可以不发送第一新鲜参数至AAuF,
AAuF 也不需要发送第一新鲜参数至BSF。
[0312] 在上述的第二种应用场景中,终端设备与BSF没有进行第二认证,则BSF可以响应于第二请求,实时与终端设备进行GBA的双向认证,使得BSF中与UE共享B‑TID、Ks和key
lifetime2,具体的,BSF可以基于上述的GBA架构,通过HSS与终端设备进行GBA的双向认证,
在此不做赘述;然后BSF可以执行如第一中应用场景中的确定Kakma等的过程,在此不做赘
述。
lifetime2,具体的,BSF可以基于上述的GBA架构,通过HSS与终端设备进行GBA的双向认证,
在此不做赘述;然后BSF可以执行如第一中应用场景中的确定Kakma等的过程,在此不做赘
述。
[0313] 需要说明的是,根据key lifetime2确定key lifetime1的过程也可以由AAuF实现,则BSF 可以发送key lifetime2给AAuF。
[0314] 步骤S2042:BSF向AAuF发送Kakma,还可以发送B‑TID和key lifetime1。
[0315] 在上述第一种应用场景和第二种应用场景中,BSF都可以向AAuF发送Kakma,还可以发送B‑TID和key lifetime1。
[0316] 可选的,BSF向AAuF还可以发送新鲜参数2,用于防止重复攻击,新鲜参数2可以为计数器,随机数,nonce等。
[0317] 步骤S2052:AAuF根据B‑TID确定Temporary ID。
[0318] 本申请实施例中,Temporary ID可以为AAuF生成的,也可能为AAuF根据接收到B‑TID 确定的。示例的,AAuF根据B‑TID确定Temporary ID的确定方式可以为将B‑TID后面的
domain name替换为AAuF domain name;使得最终Temporary ID包括B‑TID中UE的临时身
份,以及AAuF domain name。可选的,Temporary ID还可以包括一个指示,用于指示此
temporary ID与AKMA相关。
domain name替换为AAuF domain name;使得最终Temporary ID包括B‑TID中UE的临时身
份,以及AAuF domain name。可选的,Temporary ID还可以包括一个指示,用于指示此
temporary ID与AKMA相关。
[0319] 需要说明的是,根据B‑TID确定Temporary ID的过程也可以由BSF实现,则BSF可以发送B‑TID给AAuF。
[0320] 步骤S2062:AAuF向UE发送Temporary ID和key lifetime1。
[0321] 可选的,AAuF还可以向UE发送新鲜参数2、AKMA与GBA的互联互通的指示,和第二认证架构的标识的至少一项。
[0322] 可选的,UE也可以根据UE中存储的B‑TID、Ks和key lifetime2确定Temporary ID和 key lifetime1,则AAuF不需要向UE发送Temporary ID和key lifetime1。
[0323] 步骤S2072:UE根据Ks确定Kakma。
[0324] 本申请实施例中,UE根据Ks确定Kakma的方式与BSF生成Kakma的方式相同在此不再赘述。需要说明的是,如果BSF采用的了新鲜参数2,则UE也会从BSF接收到新鲜参数 2。
[0325] 可选的,如果终端设备与BSF共享有第二新鲜参数,第二新鲜参数也可以不在上述步骤发送。
[0326] 可选的,若终端设备中缺少任何用于根据Ks确定Kakma的推衍参数,都可以由BSF发送给AAuF,AAuF在进一步发送给UE。
[0327] 在一种可选的实施例方式中,AAuF与SEAF/AUSF/UDM有接口。UE与 SEAF/AUSF/UDM之间共享密钥,称之为第三共享密钥,以及第三共享密钥的标识。第三共享密钥的生成方法
为现有技术不做限制,例如AUSF密钥,SEAF密钥,AMF密钥,UDM 密钥;对应标识可以为AUSF
密钥标识,SEAF密钥标识,AMF密钥标识,UDM密钥标识。 SEAF/AUSF/UDM可以基于第三共享
密钥推衍得到第二共享密钥;并发送第二共享密钥和第三共享密钥标识至AAUF。之后流程
与上述实施例相同,不同点在于AAuF需要传递第三共享密钥标识至UE。以使UE根据第三共
享密钥标识确定第三共享密钥,并且根据第三共享密钥确定第二共享密钥。其他UE的流程
与上述实施例相似,在此不做赘述。如果UE根据接收到的第三共享密钥标识不能确定第三
共享密钥(如,本地未保存第三共享密钥标识),则拒绝此流程。可选的UE发送错误指示至
AAuF,指示为找到第三共享密钥标识对应上下文。这里SEAF/AUSF/UDM代表或的关系。
为现有技术不做限制,例如AUSF密钥,SEAF密钥,AMF密钥,UDM 密钥;对应标识可以为AUSF
密钥标识,SEAF密钥标识,AMF密钥标识,UDM密钥标识。 SEAF/AUSF/UDM可以基于第三共享
密钥推衍得到第二共享密钥;并发送第二共享密钥和第三共享密钥标识至AAUF。之后流程
与上述实施例相同,不同点在于AAuF需要传递第三共享密钥标识至UE。以使UE根据第三共
享密钥标识确定第三共享密钥,并且根据第三共享密钥确定第二共享密钥。其他UE的流程
与上述实施例相似,在此不做赘述。如果UE根据接收到的第三共享密钥标识不能确定第三
共享密钥(如,本地未保存第三共享密钥标识),则拒绝此流程。可选的UE发送错误指示至
AAuF,指示为找到第三共享密钥标识对应上下文。这里SEAF/AUSF/UDM代表或的关系。
[0328] 则UE与AAuF完成了Kakma、Temporary ID和Key lifetime1的共享,后续UE与AF可以基于Kakma、Temporary ID和Key lifetime1进行密钥分发等流程,本申请实施例不做具
体描述。
体描述。
[0329] 综上所述,本申请实施例中,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元发送包括终端设备的标识的第二请求,第二网元可以响应
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
[0330] 参照图9,示出了本申请实施例四的第一网元侧的通信流程示意图,该方法具体可以包括:
[0331] 步骤S301:第一网元从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识。
[0332] 步骤S302:所述第一网元根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识。
[0333] 步骤S303:所述第一网元从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据所
述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密
钥用于第二网络中的安全保护。
述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享密
钥用于第二网络中的安全保护。
[0334] 可选的,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0335] 可选的,还包括:
[0336] 所述第一网元确定所述终端设备的第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据所述终端设备的标识计算得到的,所述第一临时标识用于标识所
述终端设备在所述第一网络中的临时身份;
述终端设备在所述第一网络中的临时身份;
[0337] 所述第一网元向所述终端设备发送所述第一临时标识。
[0338] 可选的,还包括:
[0339] 所述第一网元确定所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共享
密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0340] 所述第一网元向所述终端设备发送所述第一共享密钥的有效期。
[0341] 可选的,所述第二请求还包括第一网元的第一网元标识;其中,所述第一网元标识用于标识所述第一网元的身份;
[0342] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0343] 可选的,所述第二共享密钥为:所述第二网元接收到所述第二请求后,响应于所述第二请求与所述终端设备实时进行第二认证得到的。
[0344] 本申请实施例的具体执行过程可以参照图6至图8对应的实施例中第一网元所执行的动作,本申请实施例与图6至图8对应的实施例所不同的是:在其他执行主体向第一网
元发送请求时,第一网元可以相应的接收请求,其执行原理相似,在此对第一网元为执行主
体的方法不再赘述。
元发送请求时,第一网元可以相应的接收请求,其执行原理相似,在此对第一网元为执行主
体的方法不再赘述。
[0345] 综上所述,本申请实施例中,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元发送包括终端设备的标识的第二请求,第二网元可以响应
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
[0346] 参照图10,示出了本申请实施例五的第二网元侧的通信流程示意图,该方法具体可以包括:
[0347] 步骤S401:第二网元从第一网元接收第二请求;所述第二请求包括终端设备的标识。
[0348] 步骤S402:所述第二网元根据所述终端设备的标识确定第二共享密钥。
[0349] 步骤S403:所述第二网元根据所述第二共享密钥确定第一共享密钥。
[0350] 步骤S404:所述第二网元向所述第一网元发送所述第一共享密钥;其中,所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0351] 可选的,所述第二网元根据所述终端设备的标识确定第二共享密钥,包括:
[0352] 所述第二网元根据所述终端设备的标识,以及预先获取的终端标识与所述第二网络中的共享密钥的映射关系,确定所述终端设备的标识对应的第二共享密钥。
[0353] 可选的,所述第二网元根据所述终端设备的标识确定第二共享密钥,包括:
[0354] 所述第二网元响应于所述第二请求,与所述终端设备进行第二认证,得到所述第二共享密钥。
[0355] 可选的,还包括:
[0356] 所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元向所述第一网元发送所述第二共享密钥的有效期;
[0357] 或,
[0358] 所述第二网元根据所述终端设备的标识确定所述第二共享密钥的有效期;所述第二网元根据所述第二共享密钥的有效期确定第一共享密钥的有效期;所述第二网元向所述
第一网元发送所述第一共享密钥的有效期。
第一网元发送所述第一共享密钥的有效期。
[0359] 可选的,还包括:
[0360] 所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元向所述第一网元发送所述第二临时标识;所述第二临时标识用于标识所述终端设
备在所述第二网络中的临时身份;
备在所述第二网络中的临时身份;
[0361] 或,
[0362] 所述第二网元根据所述终端设备的标识确定所述终端设备的第二临时标识;所述第二网元根据所述第二临时标识确定第一临时标识;所述第二网元向所述第一网元发送所
述第一临时标识;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身
份。
述第一临时标识;所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身
份。
[0363] 可选的,所述第二请求还包括所述第一网元的第一网元标识;其中,所述第一网元标识用于标识所述第一网元的身份;
[0364] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0365] 本申请实施例的具体执行过程可以参照图6至图8对应的实施例中第二网元所执行的动作,本申请实施例与图6至图8对应的实施例所不同的是:在其他执行主体向第二网
元发送请求时,第二网元可以相应的接收请求,其执行原理相似,在此对第二网元为执行主
体的方法不再赘述。
元发送请求时,第二网元可以相应的接收请求,其执行原理相似,在此对第二网元为执行主
体的方法不再赘述。
[0366] 综上所述,本申请实施例中,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元发送包括终端设备的标识的第二请求,第二网元可以响应
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
[0367] 参照图11,示出了本申请实施例六的终端设备侧的通信流程示意图,该方法具体可以包括:
[0368] 步骤S501:终端设备向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一请求用于指示所述第一网元从第二网元获取第一共享密钥;
[0369] 步骤S502:所述终端设备根据第二共享密钥确定第一共享密钥;所述第二共享密钥为所述终端设备在所述第二网元中进行第二认证时确定的;所述第一共享密钥用于第一
网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0370] 可选的,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0371] 可选的,所述终端设备根据第二共享密钥确定第一共享密钥之前,还包括:
[0372] 所述终端设备从所述第一网元接收第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据终端设备的标识计算得到的;所述终端设备的标识用于标识所述
终端设备,所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身份;
终端设备,所述第一临时标识用于标识所述终端设备在所述第一网络中的临时身份;
[0373] 或,
[0374] 所述终端设备根据第二临时标识确定第一临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份。
[0375] 可选的,所述终端设备根据第二共享密钥确定第一共享密钥之前,还包括:
[0376] 所述终端设备从所述第一网元接收所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定
的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
的;所述第二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0377] 或,
[0378] 所述终端设备根据第二共享密钥的有效期确定第一共享密钥的有效期;所述第二共享密钥的有效期为所述终端设备在所述第二网元中进行第二认证时确定的。
[0379] 本申请实施例的具体执行过程可以参照图6至图8对应的实施例中终端设备所执行的动作,本申请实施例与图6至图8对应的实施例所不同的是:在其他执行主体向终端设
备发送请求时,终端设备可以相应的接收请求,其执行原理相似,在此对终端设备为执行主
体的方法不再赘述。
备发送请求时,终端设备可以相应的接收请求,其执行原理相似,在此对终端设备为执行主
体的方法不再赘述。
[0380] 综上所述,本申请实施例中,第一网元从终端设备接收包括终端设备的标识的第一请求后,第一网元向第二网元发送包括终端设备的标识的第二请求,第二网元可以响应
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
于该第二请求根据第二共享密钥确定第一共享密钥,并向第一网元发送第一共享密钥,在
第一网元中接收到该第一共享密钥后,就可以进一步与终端设备实现基于该第一共享密钥
的第一认证。即第一网元可以基于第二网元中的第二共享密钥实现对终端设备的第一认
证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活性。
[0381] 需要说明的是,针对本申请上述的实施例,对于生成并分发第一共享密钥至第一网元的特征,以及确定第一临时标识的特征,以及确定第一共享密钥的有效期的特征可以
属于三个独立的特征,三个特征可以为三个独立的步骤,也可以将任意两个组合为一个步
骤,或者三个组合形成一个步骤流程实现;本申请实施例对此不做限制。
属于三个独立的特征,三个特征可以为三个独立的步骤,也可以将任意两个组合为一个步
骤,或者三个组合形成一个步骤流程实现;本申请实施例对此不做限制。
[0382] 参照图12,示出了本申请实施例七的另一种通信方法的流程示意图。本申请实施例的可以包括:
[0383] 步骤S601:终端设备向第五网元发送第三请求;其中,所述第三请求包括所述终端设备的标识。
[0384] 本申请实施例中,终端设备的标识可以为终端设备的永久身份或终端设备的永久身份的封装标识;终端设备的标识也可以为终端设备的第二临时标识,在此不做赘述。
[0385] 本申请实施例中,第三网元是基于第一认证架构进行第一认证的网元,第一认证架构可以是GBA,第一认证架构也可以是AKMA;第四网元标识用于标识第四网元,第四网元
是基于第二认证架构进行第二认证的网元,第二认证架构可以是GBA,第二认证架构也可以
是 AKMA;具体应用中,在第一认证架构为GBA的情况下,第三网元为HSS,第二认证架构为
AKMA,第四网元为SEAF/AUSF/UDM;在第一认证架构为AKMA的情况下,第三网元为SEAF/
AUSF/UDM,第二认证架构为GBA,第四网元为HSS;可以在第三网元和第四网元之间设置接
口,通过第三网元和第四网元之间的接口,在第三网元和第四网元之间实现数据传输。
是基于第二认证架构进行第二认证的网元,第二认证架构可以是GBA,第二认证架构也可以
是 AKMA;具体应用中,在第一认证架构为GBA的情况下,第三网元为HSS,第二认证架构为
AKMA,第四网元为SEAF/AUSF/UDM;在第一认证架构为AKMA的情况下,第三网元为SEAF/
AUSF/UDM,第二认证架构为GBA,第四网元为HSS;可以在第三网元和第四网元之间设置接
口,通过第三网元和第四网元之间的接口,在第三网元和第四网元之间实现数据传输。
[0386] 在本申请实施例的一种可选实现方式中,终端设备在第四网元中已有认证,则在终端设备与第四网元中可以共享第二认证向量,第二认证向量中可以包括第二共享密钥;
终端设备通过向第五网元发送包括第三请求,表明终端设备希望通过在第四网元中已有的
认证参数,建立与第五网元的参数协商。
终端设备通过向第五网元发送包括第三请求,表明终端设备希望通过在第四网元中已有的
认证参数,建立与第五网元的参数协商。
[0387] 步骤S602:第五网元向第三网元发送所述第三请求。
[0388] 本申请实施例中,第五网元需要通过第三网元与第四网元建立通信连接,因此,第五网元发送请求给第五网元,所述请求包括终端设备的标识。
[0389] 可选的所述请求还包括第四网元的标识。
[0390] 步骤S603:第三网元根据所述第三请求向第四网元发送第四请求;其中,所述第四请求包括所述终端设备的标识。
[0391] 第三网元可以根据终端设备的标识确定第四网元的标识。
[0392] 本申请实施例中,第四请求中还可以包括第四网元标识,第三网元可以根据第四网元标识向第四网元发送包括终端设备的标识的第四请求。
[0393] 本申请实施例中,第四请求用于向第四网元请求第一认证向量。
[0394] 可选的,所述第四请求还包括:第三网元标识,使得第四网元可以根据第三网元标识确定第三网元的身份或地址信息,后续可以根据第三网元标识与第三网元进行数据传
输。
输。
[0395] 步骤S604:第四网元根据所述终端设备的标识确定第二认证向量;根据所述第二认证向量确定第一认证向量。
[0396] 在本申请实施例的一种可选实现方式中,第四网元根据终端设备的标识确定第二认证向量,具体的确认方式可以为已有第二网络的第二认证,不做限制。
[0397] 具体应用中,响应于第四请求,第四网元与终端设备可以进行基于第二认证架构的第二认证,可以理解,该第二认证可以为GBA的常规认证,也可以为AKMA的常规认证,也可
以为5G AKA或者EAP AKA’等认证方式,本申请实施例对此认证方式不做限制,在此对第二
认证不做赘述。需要说明的是,虽然本申请实施例中,响应于第四请求,第四网元与终端设
备之间采用的是常规的第二认证,但是该第四请求是第三网元发送的,即该第二认证是有
第三网元参与执行参数传递的,使得本申请的终端设备与第四网元的认证过程不同于现有
的认证过程。
以为5G AKA或者EAP AKA’等认证方式,本申请实施例对此认证方式不做限制,在此对第二
认证不做赘述。需要说明的是,虽然本申请实施例中,响应于第四请求,第四网元与终端设
备之间采用的是常规的第二认证,但是该第四请求是第三网元发送的,即该第二认证是有
第三网元参与执行参数传递的,使得本申请的终端设备与第四网元的认证过程不同于现有
的认证过程。
[0398] 具体应用中,第四网元根据第二认证向量确定第一认证向量的具体实现可以是:第四网元根据第二认证向量,利用密钥推演函数推衍得到第一认证向量。
[0399] 步骤S605:第四网元向第三网元发送所述第一认证向量。
[0400] 步骤S606:第三网元向第五网元发送所述第一认证向量。
[0401] 本申请实施例中,第三网元向第五网元转发第四网元的第一认证向量,则终端设备实现了通过在第四网元中已有的认证参数,建立与第五网元的参数协商。
[0402] 步骤S607:第五网元根据所述第一认证向量与终端设备执行双向认证,并确定第一共享密钥。
[0403] 本申请实施例中,第一认证向量中可以包括第一共享密钥。认证过程中第五网元还可以向终端设备发送认证指示。
[0404] 步骤S608:终端设备根据所述第一认证向量确定第一共享密钥。
[0405] 具体应用中,终端设备可以首先根据第二认证向量确定第一认证向量,然后在第一认证向量中获取第一共享密钥。终端设备根据第二认证向量确定第一认证向量的方式可
以采用与第四网元相同的方式,在此不再赘述。
以采用与第四网元相同的方式,在此不再赘述。
[0406] 在终端设备和第五网元中共享了第一共享密钥之后,终端设备和第五网元就可以基于该第一共享密钥进行后续的安全流程等操作。
[0407] 在上述流程,可选的,终端设备和第五网元还可以共享第一临时标识和第一共享密钥的有效期。
[0408] 在本申请实施例一种可选的实现方式中,第一临时标识和第一共享密钥的有效期可以由第五网元计算得到,然后第五网元将第一临时标识和第一共享密钥的有效期发送给
终端设备。
终端设备。
[0409] 具体的,第五网元确定第一临时标识的具体实现可以是:所述第五网元从所述第三网元接收第二临时标识;所述第五网元根据所述第二临时标识计算得到所述第一临时标
识;其中,所述第二临时标识为所述终端设备在所述第四网元中进行第二认证得到的临时
标识。具体的,第二临时标识通常包括第二认证架构标识,第五网元可以将第二临时标识中
的第二认证架构标识替换为第一认证架构标识。
识;其中,所述第二临时标识为所述终端设备在所述第四网元中进行第二认证得到的临时
标识。具体的,第二临时标识通常包括第二认证架构标识,第五网元可以将第二临时标识中
的第二认证架构标识替换为第一认证架构标识。
[0410] 第五网元确定第一临时标识的具体实现还可以是:所述第五网元从所述第三网元接收第一临时标识;其中,所述第一临时标识为所述第四网元根据所述第二临时标识计算
得到的;所述第二临时标识为所述终端设备在所述第四网元中进行认证得到的临时标识。
具体的,第二临时标识通常包括第二认证架构标识,第四网元可以将第二临时标识中的第
二认证架构标识替换为第一认证架构标识,得到第一临时标识,然后第四网元通过第三网
元将第一临时标识发送给第五网元。
得到的;所述第二临时标识为所述终端设备在所述第四网元中进行认证得到的临时标识。
具体的,第二临时标识通常包括第二认证架构标识,第四网元可以将第二临时标识中的第
二认证架构标识替换为第一认证架构标识,得到第一临时标识,然后第四网元通过第三网
元将第一临时标识发送给第五网元。
[0411] 第五网元确定第一共享密钥的有效期的具体实现可以是:所述第五网元从所述第三网元接收所述第二共享密钥的有效期;所述第五网元根据所述第二共享密钥的有效期计
算得到所述第一共享密钥的有效期。具体的,第五网元可以根据第二共享密钥的有效期剩
余的生命周期,确定第一共享密钥的有效期;第五网元也可以同时参考其他本地策略(如第
一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此不作限定。
算得到所述第一共享密钥的有效期。具体的,第五网元可以根据第二共享密钥的有效期剩
余的生命周期,确定第一共享密钥的有效期;第五网元也可以同时参考其他本地策略(如第
一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此不作限定。
[0412] 第五网元确定第一共享密钥的有效期的具体实现还可以是:所述第五网元从所述第三网元接收第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第四网元
根据所述第二共享密钥的有效期计算得到的。具体的,第四网元可以根据第二共享密钥的
有效期剩余的生命周期,确定第一共享密钥的有效期;第四网元也可以同时参考其他本地
策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此
不作限定,然后第四网元通过第三网元将第一临时标识发送给第五网元。
根据所述第二共享密钥的有效期计算得到的。具体的,第四网元可以根据第二共享密钥的
有效期剩余的生命周期,确定第一共享密钥的有效期;第四网元也可以同时参考其他本地
策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,本申请对此
不作限定,然后第四网元通过第三网元将第一临时标识发送给第五网元。
[0413] 在本申请实施例另一种可选的实现方式中,第五网元计算得到第一临时标识和第一共享密钥的有效期,终端设备也计算得到第一临时标识和第一共享密钥的有效期,则第
五网元不需要向终端设备发送第一临时标识和第一共享密钥的有效期。
五网元不需要向终端设备发送第一临时标识和第一共享密钥的有效期。
[0414] 第五网元也可以通过本地策略确定第一密钥的有效期和/或第一临时标识。
[0415] 终端设备确定第一临时标识的具体实现可以是:终端设备将第二临时标识中的第二认证架构标识替换为第一认证架构标识,得到第一临时标识。
[0416] 终端设备确定第一共享密钥的有效期的具体实现可以是:终端设备可以根据第二共享密钥的有效期剩余的生命周期,确定第一共享密钥的有效期;终端设备也可以同时参
考其他本地策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,
本申请对此不作限定。
考其他本地策略(如第一共享密钥的有效期不超过1个小时)确定第一共享密钥的有效期,
本申请对此不作限定。
[0417] 具体应用中,本申请实施例的通信方法可以包括两种实现方式:第一种实现方式中,第三网元为HSS,第四网元为SEAF/AUSF/UDM,第五网元为BSF;第二种实现方式中,第三
网元为SEAF/AUSF/UDM,第四网元为HSS,第五网元为AAuF。
网元为SEAF/AUSF/UDM,第四网元为HSS,第五网元为AAuF。
[0418] 参照图13,示出了本申请实施例八的通信方法的第一种实现方式的具体流程示意图。本申请实施例以第三网元为HSS,第四网元为SEAF/AUSF/UDM,第五网元为BSF为例,说明
基于AKMA AV获得GBA AV的流程。在图13对应的实施例中,第一认证向量为GBA AV,第一临
时标识为B‑TID,第一共享密钥为Ks,第一共享密钥的有效期为key lifetime1,第二认证向
量为AKMA AV,第二临时标识为Temporary ID,第二共享密钥为Kakma,第二共享密钥的有效
期为key lifetime2。在本申请实施例中,该方法可以包括:
基于AKMA AV获得GBA AV的流程。在图13对应的实施例中,第一认证向量为GBA AV,第一临
时标识为B‑TID,第一共享密钥为Ks,第一共享密钥的有效期为key lifetime1,第二认证向
量为AKMA AV,第二临时标识为Temporary ID,第二共享密钥为Kakma,第二共享密钥的有效
期为key lifetime2。在本申请实施例中,该方法可以包括:
[0419] 其中,所述第三请求包括SEAF/AUSF/UDM标识和用于标识所述终端设备的标识;
[0420] 步骤S6011:终端设备向BSF发送第三请求;其中,所述第三请求包括用于所述终端设备的标识。
[0421] 第三请求中可以包括终端设备的永久身份标识,或者终端设备的永久身份标识的封装标识。
[0422] 还可能包括SEAF/AUSF/UDM路由标识,使得BSF可以通过该SEAF/AUSF/UDM路由标识确定第三请求对应的为AKMA的请求。
[0423] 可选的,还包括AKMA认证指示AKMA indicator,用于指示该第三请求时与AKM A相关的。
[0424] 步骤S6021:BSF向所述HSS发送所述第三请求。
[0425] 本申请实施例中,BSF需要通过HSS与SEAF/AUSF/UDM进行通信。
[0426] 可选的,第三请求中还可以包括BSF domain name。
[0427] 还可能包括SEAF/AUSF/UDM路由标识,使得BSF可以通过该SEAF/AUSF/UDM路由标识确定第三请求对应的为AKMA的请求。
[0428] 可选的,若第三请求包括AKMA indicator,确定是与AKMA相关。
[0429] 步骤S6031:HSS根据第三请求向SEAF/AUSF/UDM发送第四请求;其中,所述第四请求包括所述终端设备的标识。
[0430] SEAF/AUSF/UDM的标识可以为从BSF接收到的,或者根据终端设备的标识确定的。具体的确定方式为已有技术,本申请实施例不做限制。
[0431] 本申请实施例中,第四网元可以是SEAF或AUSF或UDM,因此HSS可以根据 SEAF/AUSF/UDM标识对应的向SEAF/AUSF/UDM发送第四请求。
[0432] 步骤S6041:SEAF/AUSF/UDM根据所述终端设备的标识确定AKMA AV;根据所述 AKMA AV确定GBA AV。
[0433] 在HSS于UDM有接口的情况下,当前5G UDM可以生成三个认证向量:5G AKA向量 (CK’,IK’,RAND,AUTN,XRES),EAP AKA‘认证向量(Kausf,RAND,AUTN,XRES), AKMA认证向量
(Kakma,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量GBA AV
(Ks,RAND,AUTN,XRES)。Ks的生成可以基于CK’,IK’或者Kausf或者Kakma生成,Ks的生成还
可能包括以下参数的至少一项:BSF domain name, AKMA与GBA的互联互通的指示(可选的,
也可以为接收到的AKMA indicator),新鲜参数 2,终端设备的标识和第二认证架构的标
识。这里BSF domain name可以为HSS发送给UDM,也可以UDM根据其与HSS的接口连接确定
BSF domain name。这里Ks也可以为CK,和IK。
(Kakma,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量GBA AV
(Ks,RAND,AUTN,XRES)。Ks的生成可以基于CK’,IK’或者Kausf或者Kakma生成,Ks的生成还
可能包括以下参数的至少一项:BSF domain name, AKMA与GBA的互联互通的指示(可选的,
也可以为接收到的AKMA indicator),新鲜参数 2,终端设备的标识和第二认证架构的标
识。这里BSF domain name可以为HSS发送给UDM,也可以UDM根据其与HSS的接口连接确定
BSF domain name。这里Ks也可以为CK,和IK。
[0434] 在HSS与AUSF有接口的情况下,当前5G AUSF可以有三个认证向量:5G AKA向量 (Kausf,RAND,AUTN,XRES),EAP AKA‘认证向量(Kausf,RAND,AUTN,XRES), AKMA认证向量
(Kakma,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量(Ks,
RAND,AUTN,XRES),基于Kausf生成Ks。这里Ks也可以为CK,和IK。
(Kakma,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量(Ks,
RAND,AUTN,XRES),基于Kausf生成Ks。这里Ks也可以为CK,和IK。
[0435] 在HSS与SEAF有接口的情况下,当前5G SEAF可以有三个认证向量:5G AKA向量(Kseaf,RAND,AUTN,XRES),EAP AKA‘认证向量(Kseaf,RAND,AUTN,XRES), AKMA认证向量
(Kseaf,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量(Ks,
RAND,AUTN,XRES),基于Kseaf生成Ks。这里Ks也可以为CK,和IK。
(Kseaf,RAND,AUTN,XRES)。UDM根据上述三个认证向量的至少一项确定GBA认证向量(Ks,
RAND,AUTN,XRES),基于Kseaf生成Ks。这里Ks也可以为CK,和IK。
[0436] 可选的,SEAF/AUSF/UDM还可以根据key lifetime2确定key lifetime1。例如,可以为根据key lifetime2剩余的生命周期,确定key lifetime1的生命周期;另外也可以同
时参考其他本地策略(如key lifetime1不超过1个小时)确定key lifetime1的有效期。
时参考其他本地策略(如key lifetime1不超过1个小时)确定key lifetime1的有效期。
[0437] 也可能,SEAF/AUSF/UDM可以响应于第二请求,实时与终端设备进行AKMA的双向认证,使得SEAF/AUSF/UDM中与UE共享AKMA AV、temporary ID、Kakma和key lifetime2,具体
的,SEAF/AUSF/UDM可以基于上述的AKMA架构,通过AAuF与终端设备进行AKMA 的双向认证,
在此不做赘述;然后SEAF/AUSF/UDM可以执行如第一中应用场景中的确定 GBA AV等的过
程,在此不做赘述。
的,SEAF/AUSF/UDM可以基于上述的AKMA架构,通过AAuF与终端设备进行AKMA 的双向认证,
在此不做赘述;然后SEAF/AUSF/UDM可以执行如第一中应用场景中的确定 GBA AV等的过
程,在此不做赘述。
[0438] 需要说明的是,根据key lifetime2确定key lifetime1的过程也可以由BSF实现,则 SEAF/AUSF/UDM可以发送key lifetime2给BSF。
[0439] 需要说明的是,根据AKMA AV确定GBA AV的过程也可以由HSS实现,则 SEAF/AUSF/UDM可以发送AKMA A给HSS。
[0440] 步骤S6051:SEAF/AUSF/UDM向HSS发送所述GBA AV。
[0441] SEAF/AUSF/UDM都可以向HSS发送GBA AV,还可能发送Temporary ID和/或key lifetime1。
[0442] 可选的,SEAF/AUSF/UDM向HSS还可以发送认证指示(indicator),认证indicator可以指示采用的哪一个认证向量生成的GBA认证参数,或者指示基于AKMA机制确定的GBA
认证参数。
认证参数。
[0443] 可选的,SEAF/AUSF/UDM向HSS还可以发送新鲜参数2,用于保证密钥推衍的新鲜性,新鲜参数2可以为计数器,随机数,nonce等。
[0444] 步骤S6061:HSS向BSF发送所述GBA AV。
[0445] 可选的,HSS还可以向BSF发送认证指示indicator。
[0446] 步骤S6071:BSF根据所述GBA AV与终端设备执行双向认证,确定Ks。
[0447] 可选的,BSF还可以向终端设备发送认证indicator。
[0448] 步骤S6081:终端设备根据所述GBA AV确定Ks。
[0449] 本申请实施例中,终端设备可以根据认证indicator确定采用的哪一个认证向量生成的认证参数,或者根据认证indicator确定基于AKMA机制确定的GBA认证参数,采用与
SEAF 或者AUSF或者UDM相同的方式生成Ks。
SEAF 或者AUSF或者UDM相同的方式生成Ks。
[0450] 可选的,认证结束后,BSF还可以发送B‑TID,和Key lifetime1至终端设备UE。
[0451] 可选的,UE也可以自己确定B‑TID,和Key lifetime1。
[0452] 可选的,第五网元也可以不从第三网元或第四网元接收B‑TID,和Key lifetime1,第五网元可以自己根据本地策略确定第五网元。
[0453] 则UE与BSF完成了Ks、B‑TID和Key lifetime1的共享,后续UE与AF可以基于Ks、 B‑TID和Key lifetime1进行密钥分发等流程,本申请实施例不做具体描述。
[0454] 参照图14,示出了本申请实施例九的通信方法的第二种实现方式的具体流程示意图。本申请实施例以第三网元为SEAF/AUSF/UDM,第四网元为HSS,第五网元为AAuF为例,说
明基于GBA AVA获得KMAAV的流程。在图14对应的实施例中,第一认证向量为AKMAAV,第一临
时标识为Temporary ID,第一共享密钥为Kakma,第一共享密钥的有效期为key lifetime1,
第二认证向量为GBAAV,第二临时标识为B‑TID,第二共享密钥为Ks,第二共享密钥的有效期
为key lifetime2。在本申请实施例中,该方法可以包括:
明基于GBA AVA获得KMAAV的流程。在图14对应的实施例中,第一认证向量为AKMAAV,第一临
时标识为Temporary ID,第一共享密钥为Kakma,第一共享密钥的有效期为key lifetime1,
第二认证向量为GBAAV,第二临时标识为B‑TID,第二共享密钥为Ks,第二共享密钥的有效期
为key lifetime2。在本申请实施例中,该方法可以包括:
[0455] 步骤S6012:终端设备向AAuF发送第三请求;其中,所述第三请求包括所述终端设备的标识。
[0456] 步骤S6022:AAuF向SEAF/AUSF/UDM发送所述第三请求。
[0457] 步骤S6032:SEAF/AUSF/UDM根据第三请求向HSS发送第四请求;其中,所述第四请求包括所述终端设备的标识。SEAF/AUSF/UDM可以根据终端设备的标识确定HSS,具体确定
方式已有技术不做限制。
方式已有技术不做限制。
[0458] 步骤S6042:HSS根据所述终端设备的标识确定GBA AV;根据所述GBA AV确定AKMA AV。
[0459] 步骤S6052:HSS向SEAF/AUSF/UDM发送所述AKMA AV。
[0460] 步骤S6062:SEAF/AUSF/UDM向AAuF发送所述AKMA AV。
[0461] 步骤S6072:AAuF根据所述AKMA AV执行与终端设备的双向认证,并确定Kakma。
[0462] 步骤S6082:终端设备根据所述AKMA AV与终端设备执行双向认证,并确定Kakma。
[0463] 本申请与图13的实施例的区别在于,UE接入AAuF,由AAuF通过SEAF/AUSF/UDM 接入HSS,从而获得AKMA的认证向量,且在AAuF与SEAF有接口的情况下,SEAF通过 AUSF和/或
UDM与HSS交互;在AAuF与AUSF有接口的情况下,AUSF通过UDM与HSS 交互,或者AUSF直接与
HSS交互;在AAuF与UDM有接口的情况下,UDM与HSS直接交互。
UDM与HSS交互;在AAuF与AUSF有接口的情况下,AUSF通过UDM与HSS 交互,或者AUSF直接与
HSS交互;在AAuF与UDM有接口的情况下,UDM与HSS直接交互。
[0464] 本申请实施例具体的处理方式,类似于图13的实施例的方式,在此不再赘述详细实现过程。
[0465] 则UE与AAuF完成了Kakma、Temporary ID和Key lifetime1的共享,后续UE与AF可以基于Kakma、Temporary ID和Key lifetime1进行密钥分发等流程,本申请实施例不做具
体描述。
体描述。
[0466] 综上所述,本申请实施例中,第三网元从第五网元接收包括终端设备的标识的第三请求后,第三网元向第四网元发送包括终端设备的标识的第四请求,第四网元可以响应
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
[0467] 参照图15,示出了本申请是实施例十的第三网元侧的通信流程示意图,该方法具体可以包括:
[0468] 步骤S701:第三网元从第五网元接收第三请求;其中,所述第三请求为终端设备向所述第五网元发送的;所述第三请求包括所述终端设备的标识。
[0469] 步骤S702:所述第三网元根据所述第三请求向第四网元发送第四请求;其中,所述第四请求包括所述终端设备的标识。
[0470] 步骤S703:所述第三网元从所述第四网元接收第一认证向量;其中,所述第一认证向量为所述第四网元根据第二认证向量确定的,所述第二认证向量为所述第四网元根据所
述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向
量用于第二网络中的安全保护。
述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向
量用于第二网络中的安全保护。
[0471] 本申请实施例的具体执行过程可以参照图12至图14对应的实施例中第三网元所执行的动作,本申请实施例与图12至图14对应的实施例所不同的是:在其他执行主体向第
三网元发送请求时,第三网元可以相应的接收请求,其执行原理相似,在此对第三网元为执
行主体的方法不再赘述。
三网元发送请求时,第三网元可以相应的接收请求,其执行原理相似,在此对第三网元为执
行主体的方法不再赘述。
[0472] 综上所述,本申请实施例中,第三网元从第五网元接收包括终端设备的标识的第三请求后,第三网元向第四网元发送包括终端设备的标识的第四请求,第四网元可以响应
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
[0473] 参照图16,示出了本申请是实施例十一的第四网元侧的通信流程示意图,该方法具体可以包括:
[0474] 步骤S801:第四网元从第三网元接收第四请求;所述第四请求包括终端设备的标识。
[0475] 步骤S802:所述第四网元根据所述终端设备的标识确定第二认证向量。
[0476] 步骤S803:所述第四网元根据所述第二认证向量确定第一认证向量。
[0477] 步骤S804:所述第四网元向所述第三网元发送所述第一认证向量;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0478] 本申请实施例的具体执行过程可以参照图12至图14对应的实施例中第四网元所执行的动作,本申请实施例与图12至图14对应的实施例所不同的是:在其他执行主体向第
四网元发送请求时,第四网元可以相应的接收请求,其执行原理相似,在此对第四网元为执
行主体的方法不再赘述。
四网元发送请求时,第四网元可以相应的接收请求,其执行原理相似,在此对第四网元为执
行主体的方法不再赘述。
[0479] 综上所述,本申请实施例中,第三网元从第五网元接收包括终端设备的标识的第三请求后,第三网元向第四网元发送包括终端设备的标识的第四请求,第四网元可以响应
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
[0480] 参照图17,示出了本申请实施例十二的第五网元侧的通信流程示意图,该方法具体可以包括:
[0481] 步骤S901:第五网元从终端设备接收第三请求;其中,所述第三请求包括所述终端设备的标识。
[0482] 步骤S902:所述第五网元向第三网元发送第三请求;所述第三请求用于指示所述第三网元从第四网元中获取第一认证向量;所述第一认证向量为所述第四网元根据第二认
证向量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二
网络中的安全保护。
证向量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二
网络中的安全保护。
[0483] 步骤S903:所述第五网元从所述第四网元接收所述第一认证向量。
[0484] 本申请实施例的具体执行过程可以参照图12至图14对应的实施例中第五网元所执行的动作,本申请实施例与图12至图14对应的实施例所不同的是:在其他执行主体向第
五网元发送请求时,第五网元可以相应的接收请求,其执行原理相似,在此对第五网元为执
行主体的方法不再赘述。
五网元发送请求时,第五网元可以相应的接收请求,其执行原理相似,在此对第五网元为执
行主体的方法不再赘述。
[0485] 综上所述,本申请实施例中,第三网元从第五网元接收包括终端设备的标识的第三请求后,第三网元向第四网元发送包括终端设备的标识的第四请求,第四网元可以响应
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
[0486] 参照图18,示出了本申请实施例十三的终端设备侧的通信流程示意图,该方法具体可以包括:
[0487] 步骤S1001:终端设备向第五网元发送第三请求;其中,所述第三请求包括所述终端设备的标识;所述第三请求用于指示所述第五网元向第三网元发送所述第三请求,以及
指示所述第三网元从第四网元中获取第一认证向量。
指示所述第三网元从第四网元中获取第一认证向量。
[0488] 步骤S1002:所述终端设备根据第二认证向量确定第一认证向量;所述第二认证向量为所述终端设备在所述第四网元中进行第二认证时确定的;所述第一认证向量用于第一
网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0489] 本申请实施例的具体执行过程可以参照图12至图14对应的实施例中终端设备所执行的动作,本申请实施例与图12至图14对应的实施例所不同的是:在其他执行主体向终
端设备发送请求时,终端设备可以相应的接收请求,其执行原理相似,在此对终端设备为执
行主体的方法不再赘述。
端设备发送请求时,终端设备可以相应的接收请求,其执行原理相似,在此对终端设备为执
行主体的方法不再赘述。
[0490] 综上所述,本申请实施例中,第三网元从第五网元接收包括终端设备的标识的第三请求后,第三网元向第四网元发送包括终端设备的标识的第四请求,第四网元可以响应
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
于该第四请求根据第二认证向量确定第一认证向量,并向第三网元发送第一认证向量,在
第三网元中接收到该第一认证向量后,就可以进一步通过第五网元与终端设备实现基于该
第一认证向量的第一认证。即第五网元可以基于第四网元中的第二认证向量实现对终端设
备的第一认证,从而使得第一认证架构和第二认证架构之间实现了互通,提升了通信灵活
性。
[0491] 图19为本申请实施例十四提供的一种第一网元的结构示意图,如图19所示,所述第一网元包括:
[0492] 请求接收模块11,用于从终端设备接收第一请求;其中,所述第一请求包括所述终端设备的标识;
[0493] 发送模块12,用于根据所述第一请求向第二网元发送第二请求;其中,所述第二请求包括所述终端设备的标识;
[0494] 共享密钥接收模块13,用于从所述第二网元接收第一共享密钥;其中,所述第一共享密钥为所述第二网元根据第二共享密钥确定的,所述第二共享密钥为所述第二网元根据
所述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享
密钥用于第二网络中的安全保护。
所述终端设备的标识确定的;所述第一共享密钥用于第一网络中安全保护,所述第二共享
密钥用于第二网络中的安全保护。
[0495] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0496] 一种示例性的方式中,所述第一网元还包括:
[0497] 临时标识确定模块,用于确定所述终端设备的第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据所述终端设备的标识计算得到的,所述第一临时标识
用于标识所述终端设备在所述第一网络中的临时身份;
用于标识所述终端设备在所述第一网络中的临时身份;
[0498] 临时标识发送模块,用于向所述终端设备发送所述第一临时标识。
[0499] 一种示例性的方式中,所述第一网元还包括:
[0500] 有效期确定模块,用于确定所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第
二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
二共享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0501] 有效期发送模块,用于向所述终端设备发送所述第一共享密钥的有效期。
[0502] 一种示例性的方式中,所述第二请求还包括第一网元的第一网元标识;
[0503] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0504] 一种示例性的方式中,所述第二共享密钥为:所述第二网元接收到所述第二请求后,响应于所述第二请求与所述终端设备进行第二认证得到的。
[0505] 本实施例的第一网元,可用于执行上述实施例中第一网元所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0506] 图20为本申请实施例十五提供的一种第二网元的结构示意图,如图20所示,所述第二网元包括:
[0507] 请求接收模块21,用于从第一网元接收第二请求;所述第二请求包括终端设备的标识;
[0508] 第二共享密钥确定模块22,用于根据所述终端设备的标识确定第二共享密钥;
[0509] 第一共享密钥确定模块23,用于根据所述第二共享密钥确定第一共享密钥;
[0510] 第一共享密钥发送模块24,用于向所述第一网元发送所述第一共享密钥;其中,所述第一共享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保
护。
护。
[0511] 一种示例性的方式中,所述第二共享密钥确定模块还用于:
[0512] 根据所述终端设备的标识,以及预先获取的终端标识与所述第二网络中的共享密钥的映射关系,确定所述终端设备的标识对应的第二共享密钥。
[0513] 一种示例性的方式中,所述第二共享密钥确定模块还用于:
[0514] 响应于所述第二请求,与所述终端设备进行第二认证,得到所述第二共享密钥。
[0515] 一种示例性的方式中,所述第二网元还包括第二有效期确定模块,用于:
[0516] 根据所述终端设备的标识确定所述第二共享密钥的有效期;向所述第一网元发送所述第二共享密钥的有效期;
[0517] 或,
[0518] 根据所述终端设备的标识确定所述第二共享密钥的有效期;根据所述第二共享密钥的有效期确定所述第一共享密钥的有效期;向所述第一网元发送所述第一共享密钥的有
效期。
效期。
[0519] 一种示例性的方式中,所述第二网元还包括临时标识确定模块,用于:
[0520] 根据所述终端设备的标识确定所述终端设备的第二临时标识;向所述第一网元发送所述第二临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时
身份;
身份;
[0521] 或,
[0522] 根据所述终端设备的标识确定所述终端设备的第二临时标识;根据所述第二临时标识确定第一临时标识;向所述第一网元发送所述第一临时标识;所述第一临时标识用于
标识所述终端设备在所述第一网络中的临时身份。
标识所述终端设备在所述第一网络中的临时身份。
[0523] 一种示例性的方式中,所述第二请求还包括所述第一网元的第一网元标识;
[0524] 所述第一共享密钥为所述第二网元根据所述第二共享密钥和所述第一网元标识推衍得到的。
[0525] 本实施例的第二网元,可用于执行上述实施例中第二网元所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0526] 图21为本申请实施例十六提供的一种终端设备的结构示意图,如图21所示,所述终端设备包括:
[0527] 请求发送模块31,用于向第一网元发送第一请求;其中,所述第一请求包括所述终端设备的标识;所述第一请求用于指示所述第一网元从第二网元获取第一共享密钥;
[0528] 共享密钥确定模块32,用于终端设备根据第二共享密钥确定所述第一共享密钥;所述第二共享密钥为所述终端设备在所述第二网元中进行第二认证时确定的;所述第一共
享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
享密钥用于第一网络中安全保护,所述第二共享密钥用于第二网络中的安全保护。
[0529] 一种示例性的方式中,所述第一请求中还包括第一指示信息,所述第一指示信息用于指示所述第一网元从所述第二网络中获取所述第一网络中的第一共享密钥。
[0530] 一种示例性的方式中,所述终端设备还包括临时标识确定模块,用于:
[0531] 从所述第一网元接收第一临时标识;所述第一临时标识为所述第一网元或所述第二网元根据终端设备的标识计算得到的;所述第一临时标识用于标识所述终端设备在所述
第一网络中的临时身份;
第一网络中的临时身份;
[0532] 或,
[0533] 根据第二临时标识确定第一临时标识;所述第二临时标识用于标识所述终端设备在所述第二网络中的临时身份。
[0534] 一种示例性的方式中,所述终端设备还包括有效期确定模块,用于:
[0535] 从所述第一网元接收所述第一共享密钥的有效期;其中,所述第一共享密钥的有效期为所述第一网元或所述第二网元根据所述第二共享密钥的有效期确定的;所述第二共
享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
享密钥的有效期为所述第二网元根据所述终端设备的标识确定的;
[0536] 或,
[0537] 根据第二共享密钥的有效期确定第一共享密钥的有效期;所述第二共享密钥的有效期为所述终端设备在所述第二网元中进行第二认证时确定的。
[0538] 本实施例的终端设备,可用于执行上述实施例中终端设备所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0539] 图22为本申请实施例十七提供的一种第三网元的结构示意图,如图22所示,所述第三网元包括:
[0540] 请求接收模块41,用于从第五网元接收第三请求;其中,所述第三请求为终端设备向所述第五网元发送的;所述第三请求包括所述终端设备的标识;
[0541] 请求发送模块42,用于根据所述第三请求向第四网元发送第四请求;其中,所述第四请求包括所述终端设备的标识;
[0542] 认证向量接收模块43,用于从所述第四网元接收第一认证向量;其中,所述第一认证向量为所述第四网元根据第二认证向量确定的,所述第二认证向量为所述第四网元根据
所述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证
向量用于第二网络中的安全保护。
所述终端设备的标识确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证
向量用于第二网络中的安全保护。
[0543] 本实施例的第三网元,可用于执行上述实施例中第三网元所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0544] 图23为本申请实施例十八提供的一种第四网元的结构示意图,如图23所示,所述第四网元包括:
[0545] 请求接收模块51,用于第四网元从第三网元接收第四请求;所述第四请求包括终端设备的标识;
[0546] 第二认证向量确定模块52,用于根据所述终端设备的标识确定第二认证向量;
[0547] 第一认证向量确定模块53,用于根据所述第二认证向量确定第一认证向量;
[0548] 第一认证向量发送模块54,用于向所述第三网元发送所述第一认证向量;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0549] 本实施例的第四网元,可用于执行上述实施例中第四网元所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0550] 图24为本申请实施例十九提供的一种第五网元的结构示意图,如图24所示,所述第五网元包括:
[0551] 请求接收模块61,用于从终端设备接收第三请求;其中,所述第三请求包括所述终端设备的标识;
[0552] 请求发送模块62,用于向第三网元发送第三请求;所述第三请求用于指示所述第三网元从第四网元中获取第一认证向量;所述第一认证向量为所述第四网元根据第二认证
向量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网
络中的安全保护;
向量确定的;所述第一认证向量用于第一网络中安全保护,所述第二认证向量用于第二网
络中的安全保护;
[0553] 认证向量接收模块63,用于所述第五网元从所述第四网元接收所述第一认证向量。
[0554] 本实施例的第五网元,可用于执行上述实施例中第五网元所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0555] 图25为本申请实施例二十提供的一种终端设备的结构示意图,如图25所示,所述终端设备包括:
[0556] 请求发送模块71,用于向第五网元发送第三请求;其中,所述第三请求包括所述终端设备的标识;所述第三请求用于指示所述第五网元向第三网元发送所述第三请求,以及
指示所述第三网元从第四网元中获取第一认证向量;
指示所述第三网元从第四网元中获取第一认证向量;
[0557] 认证向量确定模块72,用于所述终端设备根据第二认证向量确定第一认证向量;所述第二认证向量为所述终端设备在所述第四网元中进行第二认证时确定的;所述第一认
证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
证向量用于第一网络中安全保护,所述第二认证向量用于第二网络中的安全保护。
[0558] 本实施例的终端设备,可用于执行上述实施例中终端设备所述实现的方法,具体实现方式和技术效果类似,这里不再赘述。
[0559] 图26为本申请实施例二十一提供的第一网元的结构示意图,如图26所示,该第一网元 800包括:处理器81、存储器82和收发器83,所述存储器82用于存储指令,所述收发器
83 用于和其他设备通信,所述处理器81用于执行所述存储器中存储的指令,以使所述第一
网元 800执行如上述方法实施例中第一网元执行的方法。
83 用于和其他设备通信,所述处理器81用于执行所述存储器中存储的指令,以使所述第一
网元 800执行如上述方法实施例中第一网元执行的方法。
[0560] 图27为本申请实施例二十二提供的第二网元的结构示意图,如图27所示,该第二网元 900包括:处理器91、存储器92和收发器93,所述存储器92用于存储指令,所述收发器
93 用于和其他设备通信,所述处理器91用于执行所述存储器中存储的指令,以使所述第二
网元 900执行如上述方法实施例中第二网元执行的方法。
93 用于和其他设备通信,所述处理器91用于执行所述存储器中存储的指令,以使所述第二
网元 900执行如上述方法实施例中第二网元执行的方法。
[0561] 图28为本申请实施例二十三提供的UE的结构示意图,如图28所示,该UE 1000包括:处理器101、存储器102和收发器103,所述存储器102用于存储指令,所述收发器103用于
和其他设备通信,所述处理器101用于执行所述存储器中存储的指令,以使所述UE 1000执
行如上述方法实施例中UE执行的方法。
和其他设备通信,所述处理器101用于执行所述存储器中存储的指令,以使所述UE 1000执
行如上述方法实施例中UE执行的方法。
[0562] 本申请实施例还提供存储介质,所述存储介质用于存储计算机程序,所述计算机程序用于实现上述实施例所述的通信方法。
[0563] 可以理解,本申请实施例中的处理器可以是中央处理器(CPU),通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC),现场可编程门阵列(FPGA)或者其他可编程逻辑器
件、晶体管逻辑器件,硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所
描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例
如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
件、晶体管逻辑器件,硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所
描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例
如包含一个或多个微处理器组合,DSP和微处理器的组合等等。
[0564] 本申请实施例所述的总线可以是工业标准体系结构(Industry Standard Architecture,ISA) 总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标
准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线可以分为地
址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线
或一种类型的总线。
准体系结构(Extended Industry Standard Architecture,EISA)总线等。总线可以分为地
址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线
或一种类型的总线。
[0565] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅
仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结
合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的
相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通
信连接,可以是电性,机械或其它的形式。
仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结
合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的
相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通
信连接,可以是电性,机械或其它的形式。
[0566] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个
网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目
的。
网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目
的。
[0567] 另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单
元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
[0568] 上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机
设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个
实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read‑
Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种
可以存储程序代码的介质。
设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个
实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read‑
Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种
可以存储程序代码的介质。