一种认证向量的生成方法、获取方法及设备转让专利
申请号 : CN201911059164.0
文献号 : CN112825498A
文献日 : 2021-05-21
发明人 : 齐旻鹏 , 刘畅
申请人 : 中国移动通信有限公司研究院 , 中国移动通信集团有限公司
摘要 :
本发明提供了一种认证向量的生成方法、获取方法及设备,本发明将长期密钥的存储及认证向量的生成等处理放在了认证功能中,并将认证功能与UDM分离,从而可以保证长期密钥的存储与认证向量的产生是在同一网元中进行的,避免了长期密钥在不同网元中传输所导致的泄露风险;同时也保证了UDM作为数据管理设备,只负责信息处理,不参与数据存储。此外,引入UDM透传,还有效的继承了现有的认证架构,防止因为引入新的网元/网络功能导致消息接口发生变化,进而导致网络无法后向兼容的问题。
权利要求 :
1.一种认证向量的生成方法,应用于认证功能,其特征在于,包括:所述认证功能接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
所述认证功能根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
2.如权利要求1所述的方法,其特征在于,所述认证功能与UDM相互独立,且两者之间存在有预设接口Narpf;
所述认证功能通过所述预设接口Narpf接收UDM发送的所述认证向量请求消息,以及,通过所述预设接口Narpf向UDM发送携带有所述认证向量的认证向量响应消息。
3.如权利要求1所述的方法,其特征在于,所述认证向量请求消息为Narpf_authentication_get Request消息;
所述认证向量响应消息为Narpf_authentication_get Response消息。
4.如权利要求1所述的方法,其特征在于,根据所述长期密钥和所述拜访网络标识,计算得到认证向量的步骤,包括:
所述认证功能获取长期密钥及其对应的序列号SQN,并生成随机数RAND;
所述认证功能对所述随机数RAND和运营商的配置参数OPc进行异或运算,并利用长期密钥进行加密运算,得到第一中间结果;
利用第一参数组,对所述第一中间结果进行第一运算处理,得到第一运算结果,将所述第一运算结果的前半部分的预设比特位与序列号SQN进行异或运算,得到第一参数;
所述认证功能基于所述第一计算结果的后半部分、所述随机数RAND以及拜访网络标识,生成一响应值XRES*;
利用第二参数组和第三参数组,分别对所述第一中间结果进行所述第一运算处理,得到认证流程后使用的会话加密密钥CK和会话完整性密钥IK;以及,根据所述CK、IK和拜访地运营商的标识,产生一中间密钥KAUSF;
将序列号SQN、本地保存的认证所需的认证管理参数AMF、SQN以及AMF级联,并利用第四参数组,对级联得到的参数进行第二运算处理,得到第二运算结果,提取第二计算结果的前半部分,得到第二参数;
将所述第一参数、AMF、第二参数级联,得到认证令牌AUTN,以及,将所述RAND、AUTN、XRES*和KAUSF作为认证向量参数,得到认证向量。
5.一种认证向量的获取方法,应用于统一数据管理UDM,其特征在于,包括:所述UDM在接收到身份认证服务器功能AUSF发送的第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标识;
所述UDM接收认证功能发送的携带有认证向量的认证向量响应消息。
6.如权利要求5所述的方法,其特征在于,所述UDM与认证功能相互独立,且两者之间存在有预设接口Narpf;
所述UDM通过所述预设接口Narpf向认证功能发送所述第二认证向量请求消息,以及,通过所述预设接口Narpf接收认证功能发送的携带有认证向量的认证向量响应消息。
7.如权利要求5所述的方法,其特征在于,所述第二认证向量请求消息为Narpf_authentication_get Request消息;
所述认证向量响应消息为Narpf_authentication_get Response消息。
8.一种认证功能,其特征在于,包括:接收模块,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
计算模块,用于根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
9.一种认证功能,其特征在于,包括收发机和处理器,其中,所述收发机,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
所述处理器,用于根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
10.一种认证功能,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求1至4任一项所述的方法的步骤。
11.一种UDM,其特征在于,包括:第一接收模块,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息;
发送模块,用于在接收到所述第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标识;
第二接收模块,用于接收认证功能发送的携带有认证向量的认证向量响应消息。
12.一种UDM,其特征在于,包括收发机和处理器,其中,所述收发机,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息;
所述处理器,用于在所述收发机接收到第一认证向量请求消息,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标识;
以及,接收认证功能发送的携带有认证向量的认证向量响应消息。
13.一种UDM,其特征在于,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现如权利要求5至7任一项所述的方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法的步骤。
说明书 :
一种认证向量的生成方法、获取方法及设备
技术领域
[0001] 本发明涉及移动通信技术领域,具体涉及一种认证向量的生成方法、获取方法及设备。
背景技术
[0002] 目前,用户在接入5G网络时,需要与网络相互确认身份并建立安全连接,因此需要与5G网络进行双向认证,通过认证来实现用户(UE)与5G网络之间的双向身份确认并为后续
安全连接产生必须的会话密钥。上述认证被称为5G网络主认证。
安全连接产生必须的会话密钥。上述认证被称为5G网络主认证。
[0003] 图1给出了现有技术的5G网络主认证的流程,包括步骤0~12等多个步骤,如图1所示:
[0004] 当用户尝试接入网络进行主认证时,用户将会向网络接入和移动管理功能(Access and Mobility Management Function,AMF)发起接入请求,而AMF会将接入请求发
给身份认证服务器功能(AUthentication Server Function,AUSF),AUSF再通过Nudm_
Authentication_Get Request消息发给身份认证凭据存储库和处理功能
(Authenticationcredential Repository and Processing Function,ARPF)。APRF负责保
存用户认证所需要的长期密钥并负责根据长期密钥产生认证所需参数,通常集成在统一数
据管理(Unified Data Management,UDM)中。UDM/ARPF需要对每个Nudm_Authenticate_Get
Request消息创建一个5G归属环境认证向量(Home Environment Authentication Vector,
HE AV)。为此,UDM/ARPF首先生成一个认证管理域(Authentication Management Field,
AMF),其中的“separation bit”为1。然后,UDM/ARPF根据长期密钥K推衍出KAUSF和XRES*。最
后,UDM/ARPF应创建一个包含RAND、AUTN、XRES*和KAUSF的5G HE AV,并在Nudm_
UEAuthentication_Get Response消息中向AUSF返回所请求的5G HE AV。从图1所示的流程
可以看出,现有技术的认证向量的存储和产生均是在UDM/ARPF中完成的。
给身份认证服务器功能(AUthentication Server Function,AUSF),AUSF再通过Nudm_
Authentication_Get Request消息发给身份认证凭据存储库和处理功能
(Authenticationcredential Repository and Processing Function,ARPF)。APRF负责保
存用户认证所需要的长期密钥并负责根据长期密钥产生认证所需参数,通常集成在统一数
据管理(Unified Data Management,UDM)中。UDM/ARPF需要对每个Nudm_Authenticate_Get
Request消息创建一个5G归属环境认证向量(Home Environment Authentication Vector,
HE AV)。为此,UDM/ARPF首先生成一个认证管理域(Authentication Management Field,
AMF),其中的“separation bit”为1。然后,UDM/ARPF根据长期密钥K推衍出KAUSF和XRES*。最
后,UDM/ARPF应创建一个包含RAND、AUTN、XRES*和KAUSF的5G HE AV,并在Nudm_
UEAuthentication_Get Response消息中向AUSF返回所请求的5G HE AV。从图1所示的流程
可以看出,现有技术的认证向量的存储和产生均是在UDM/ARPF中完成的。
发明内容
[0005] 本发明的至少一个实施例提供了一种认证向量的生成方法、获取方法及设备,减少长期密钥的泄露风险,提升系统的安全性。
[0006] 根据本发明的至少一个方面,至少一个实施例提供了一种认证向量的生成方法,应用于认证功能,包括:
[0007] 所述认证功能接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0008] 所述认证功能根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0009] 可选的,所述认证功能与UDM相互独立,且两者之间存在有预设接口Narpf;
[0010] 所述认证功能通过所述预设接口Narpf接收UDM发送的所述认证向量请求消息,以及,通过所述预设接口Narpf向UDM发送携带有所述认证向量的认证向量响应消息。
[0011] 可选的,所述认证向量请求消息为Narpf_authentication_get Request消息;
[0012] 所述认证向量响应消息为Narpf_authentication_get Response消息。
[0013] 可选的,根据所述长期密钥和所述拜访网络标识,计算得到认证向量的步骤,包括:
[0014] 所述认证功能获取长期密钥及其对应的序列号SQN,并生成随机数RAND;
[0015] 所述认证功能对所述随机数RAND和运营商的配置参数OPc进行异或运算,并利用长期密钥进行加密运算,得到第一中间结果;
[0016] 利用第一参数组,对所述第一中间结果进行第一运算处理,得到第一运算结果,将所述第一运算结果的前半部分的预设比特位与序列号SQN进行异或运算,得到第一参数;
[0017] 所述认证功能基于所述第一计算结果的后半部分、所述随机数RAND以及拜访网络标识,生成一响应值XRES*;
[0018] 利用第二参数组和第三参数组,分别对所述第一中间结果进行所述第一运算处理,得到认证流程后使用的会话加密密钥CK和会话完整性密钥IK;以及,根据所述CK、IK和
拜访地运营商的标识,产生一中间密钥KAUSF;
拜访地运营商的标识,产生一中间密钥KAUSF;
[0019] 将序列号SQN、本地保存的认证所需的认证管理参数AMF、SQN以及AMF级联,并利用第四参数组,对级联得到的参数进行第二运算处理,得到第二运算结果,提取第二计算结果
的前半部分,得到第二参数;
的前半部分,得到第二参数;
[0020] 将所述第一参数、AMF、第二参数级联,得到认证令牌AUTN,以及,将所述RAND、AUTN、XRES*和KAUSF作为认证向量参数,得到认证向量。
[0021] 根据本发明的另一方面,至少一个实施例提供了一种认证向量的获取方法,应用于统一数据管理UDM,包括:
[0022] 所述UDM在接收到身份认证服务器功能AUSF发送的第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识
和拜访网络标识;
和拜访网络标识;
[0023] 所述UDM接收认证功能发送的携带有认证向量的认证向量响应消息。
[0024] 可选的,所述UDM与认证功能相互独立,且两者之间存在有预设接口Narpf;
[0025] 所述UDM通过所述预设接口Narpf向认证功能发送所述第二认证向量请求消息,以及,通过所述预设接口Narpf接收认证功能发送的携带有认证向量的认证向量响应消息。
[0026] 可选的,所述第二认证向量请求消息为Narpf_authentication_get Request消息;
[0027] 所述认证向量响应消息为Narpf_authentication_get Response消息。
[0028] 根据本发明的另一方面,至少一个实施例提供了一种UDM,包括:
[0029] 第一接收模块,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息;
[0030] 发送模块,用于在接收到所述第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标识;
[0031] 第二接收模块,用于接收认证功能发送的携带有认证向量的认证向量响应消息。
[0032] 根据本发明的另一方面,至少一个实施例提供了一种UDM,包括收发机和处理器,其中,
[0033] 所述收发机,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息;
[0034] 所述处理器,用于在所述收发机接收到第一认证向量请求消息,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标
识;以及,接收认证功能发送的携带有认证向量的认证向量响应消息。
识;以及,接收认证功能发送的携带有认证向量的认证向量响应消息。
[0035] 根据本发明的另一方面,至少一个实施例提供了一种UDM,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行时实现
如上所述的认证向量的获取方法的步骤。
如上所述的认证向量的获取方法的步骤。
[0036] 根据本发明的另一方面,至少一个实施例提供了一种认证功能,包括:
[0037] 接收模块,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0038] 计算模块,用于根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0039] 根据本发明的另一方面,至少一个实施例提供了一种认证功能,包括收发机和处理器,其中,
[0040] 所述收发机,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0041] 所述处理器,用于根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0042] 根据本发明的另一方面,至少一个实施例提供了一种认证功能,包括:处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序,所述程序被所述处理器执行
时实现如上所述的认证向量的获取方法的步骤。
时实现如上所述的认证向量的获取方法的步骤。
[0043] 根据本发明的另一方面,至少一个实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有程序,所述程序被处理器执行时,实现如上所述的方法的步
骤。
骤。
[0044] 与现有技术相比,本发明实施例提供的认证向量的生成方法、获取方法及设备,将长期密钥的存储及认证向量的生成等处理放在了认证功能中,并将认证功能与UDM分离,这
样可以保证长期密钥的存储与认证向量的产生是在同一网元中进行的,避免了长期密钥在
不同网元中传输所导致的泄露风险;同时也保证了UDM作为数据管理设备,只负责信息处
理,不参与数据存储。此外,引入UDM透传,还有效的继承了现有的认证架构,防止因为引入
新的网元/网络功能导致消息接口发生变化,进而导致网络无法后向兼容的问题。
样可以保证长期密钥的存储与认证向量的产生是在同一网元中进行的,避免了长期密钥在
不同网元中传输所导致的泄露风险;同时也保证了UDM作为数据管理设备,只负责信息处
理,不参与数据存储。此外,引入UDM透传,还有效的继承了现有的认证架构,防止因为引入
新的网元/网络功能导致消息接口发生变化,进而导致网络无法后向兼容的问题。
附图说明
[0045] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明
的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0046] 图1为现有技术的5G网络主认证的流程示意图;
[0047] 图2为本发明实施例的一种应用场景示意图;
[0048] 图3现有技术的认证向量的生成流程的示意图;
[0049] 图4为本发明实施例提供的认证向量的获取方法的一种流程图;
[0050] 图5为本发明实施例提供的认证向量的获取方法的另一种流程图;
[0051] 图6为本发明实施例提供的认证向量的生成方法的一种流程图;
[0052] 图7为本发明实施例提供的UDM的一种结构示意图;
[0053] 图8为本发明实施例提供的UDM的另一种结构示意图;
[0054] 图9为本发明实施例提供的认证功能的一种结构示意图;
[0055] 图10为本发明实施例提供的认证功能的另一种结构示意图。
具体实施方式
[0056] 下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例
所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围
完整的传达给本领域的技术人员。
所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围
完整的传达给本领域的技术人员。
[0057] 本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以
互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺
序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例
如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些
步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它
步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺
序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例
如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些
步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它
步骤或单元。说明书以及权利要求中“和/或”表示所连接对象的至少其中之一。
[0058] 本文所描述的技术不限于NR系统以及长期演进型(Long Time Evolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,并且也可用于各种无线通信系统,诸如码分多址
(Code Division Multiple Access,CDMA)、时分多址(Time Division Multiple Access,
TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址
(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-
carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。术语“系统”和“网
络”常被可互换地使用。CDMA系统可实现诸如CDMA2000、通用地面无线电接入(Universal
Terrestrial Radio Access,UTRA)等无线电技术。UTRA包括宽带CDMA(Wideband Code
Division Multiple Access,WCDMA)和其他CDMA变体。TDMA系统可实现诸如全球移动通信
系统(Global System for Mobile Communication,GSM)之类的无线电技术。OFDMA系统可
实现诸如超移动宽带(UltraMobile Broadband,UMB)、演进型UTRA(Evolution-UTRA,E-
UTRA)、IEEE 802.21(Wi-Fi)、IEEE802.16(WiMAX)、IEEE 802.20、Flash-OFDM等无线电技
术。UTRA和E-UTRA是通用移动电信系统(Universal Mobile Telecommunications System,
UMTS)的部分。LTE和更高级的LTE(如LTE-A)是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、
UMTS、LTE、LTE-A以及GSM在来自名为“第三代伙伴项目”(3rd Generation Partnership
Project,3GPP)的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”
(3GPP2)的组织的文献中描述。本文所描述的技术既可用于以上提及的系统和无线电技术,
也可用于其他系统和无线电技术。然而,以下描述出于示例目的描述了NR系统,并且在以下
大部分描述中使用NR术语,尽管这些技术也可应用于NR系统应用以外的应用。
(Code Division Multiple Access,CDMA)、时分多址(Time Division Multiple Access,
TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址
(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-
carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。术语“系统”和“网
络”常被可互换地使用。CDMA系统可实现诸如CDMA2000、通用地面无线电接入(Universal
Terrestrial Radio Access,UTRA)等无线电技术。UTRA包括宽带CDMA(Wideband Code
Division Multiple Access,WCDMA)和其他CDMA变体。TDMA系统可实现诸如全球移动通信
系统(Global System for Mobile Communication,GSM)之类的无线电技术。OFDMA系统可
实现诸如超移动宽带(UltraMobile Broadband,UMB)、演进型UTRA(Evolution-UTRA,E-
UTRA)、IEEE 802.21(Wi-Fi)、IEEE802.16(WiMAX)、IEEE 802.20、Flash-OFDM等无线电技
术。UTRA和E-UTRA是通用移动电信系统(Universal Mobile Telecommunications System,
UMTS)的部分。LTE和更高级的LTE(如LTE-A)是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、
UMTS、LTE、LTE-A以及GSM在来自名为“第三代伙伴项目”(3rd Generation Partnership
Project,3GPP)的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”
(3GPP2)的组织的文献中描述。本文所描述的技术既可用于以上提及的系统和无线电技术,
也可用于其他系统和无线电技术。然而,以下描述出于示例目的描述了NR系统,并且在以下
大部分描述中使用NR术语,尽管这些技术也可应用于NR系统应用以外的应用。
[0059] 以下描述提供示例而并非限定权利要求中阐述的范围、适用性或者配置。可以对所讨论的要素的功能和布置作出改变而不会脱离本公开的精神和范围。各种示例可恰适地
省略、替代、或添加各种规程或组件。例如,可以按不同于所描述的次序来执行所描述的方
法,并且可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例
中被组合。
省略、替代、或添加各种规程或组件。例如,可以按不同于所描述的次序来执行所描述的方
法,并且可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例
中被组合。
[0060] 请参见图2,图2示出本发明实施例可应用的一种无线通信系统的框图。无线通信系统包括终端21和网络设备22。其中,终端21也可以称作用户终端或用户设备(UE,User
Equipment),终端21可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑
(Laptop Computer)、个人数字助理(Personal Digital Assistant,PDA)、移动上网装置
(Mobile Internet Device,MID)、可穿戴式设备(Wearable Device)或车载设备等终端侧
设备,需要说明的是,在本发明实施例中并不限定终端21的具体类型。网络设备22可以是基
站和/或核心网网元,其中,上述基站可以是5G及以后版本的基站(例如:gNB、5G NR NB等),
或者其他通信系统中的基站(例如:eNB、WLAN接入点、或其他接入点等),其中,基站可被称
为节点B、演进节点B、接入点、基收发机站(Base Transceiver Station,BTS)、无线电基站、
无线电收发机、基本服务集(Basic Service Set,BSS)、扩展服务集(Extended Service
Set,ESS)、B节点、演进型B节点(eNB)、家用B节点、家用演进型B节点、WLAN接入点、WiFi节点
或所述领域中其他某个合适的术语,只要达到相同的技术效果,所述基站不限于特定技术
词汇,需要说明的是,在本发明实施例中仅以NR系统中的基站为例,但是并不限定基站的具
体类型。
Equipment),终端21可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑
(Laptop Computer)、个人数字助理(Personal Digital Assistant,PDA)、移动上网装置
(Mobile Internet Device,MID)、可穿戴式设备(Wearable Device)或车载设备等终端侧
设备,需要说明的是,在本发明实施例中并不限定终端21的具体类型。网络设备22可以是基
站和/或核心网网元,其中,上述基站可以是5G及以后版本的基站(例如:gNB、5G NR NB等),
或者其他通信系统中的基站(例如:eNB、WLAN接入点、或其他接入点等),其中,基站可被称
为节点B、演进节点B、接入点、基收发机站(Base Transceiver Station,BTS)、无线电基站、
无线电收发机、基本服务集(Basic Service Set,BSS)、扩展服务集(Extended Service
Set,ESS)、B节点、演进型B节点(eNB)、家用B节点、家用演进型B节点、WLAN接入点、WiFi节点
或所述领域中其他某个合适的术语,只要达到相同的技术效果,所述基站不限于特定技术
词汇,需要说明的是,在本发明实施例中仅以NR系统中的基站为例,但是并不限定基站的具
体类型。
[0061] 基站可在基站控制器的控制下与终端21通信,在各种示例中,基站控制器可以是核心网或某些基站的一部分。一些基站可通过回程与核心网进行控制信息或用户数据的通
信。在一些示例中,这些基站中的一些可以通过回程链路直接或间接地彼此通信,回程链路
可以是有线或无线通信链路。无线通信系统可支持多个载波(不同频率的波形信号)上的操
作。多载波发射机能同时在这多个载波上传送经调制信号。例如,每条通信链路可以是根据
各种无线电技术来调制的多载波信号。每个已调信号可在不同的载波上发送并且可携带控
制信息(例如,参考信号、控制信道等)、开销信息、数据等。
信。在一些示例中,这些基站中的一些可以通过回程链路直接或间接地彼此通信,回程链路
可以是有线或无线通信链路。无线通信系统可支持多个载波(不同频率的波形信号)上的操
作。多载波发射机能同时在这多个载波上传送经调制信号。例如,每条通信链路可以是根据
各种无线电技术来调制的多载波信号。每个已调信号可在不同的载波上发送并且可携带控
制信息(例如,参考信号、控制信道等)、开销信息、数据等。
[0062] 基站可经由一个或多个接入点天线与终端21进行无线通信。每个基站可以为各自相应的覆盖区域提供通信覆盖。接入点的覆盖区域可被划分成仅构成该覆盖区域的一部分
的扇区。无线通信系统可包括不同类型的基站(例如宏基站、微基站、或微微基站)。基站也
可利用不同的无线电技术,诸如蜂窝或WLAN无线电接入技术。基站可以与相同或不同的接
入网或运营商部署相关联。不同基站的覆盖区域(包括相同或不同类型的基站的覆盖区域、
利用相同或不同无线电技术的覆盖区域、或属于相同或不同接入网的覆盖区域)可以交叠。
的扇区。无线通信系统可包括不同类型的基站(例如宏基站、微基站、或微微基站)。基站也
可利用不同的无线电技术,诸如蜂窝或WLAN无线电接入技术。基站可以与相同或不同的接
入网或运营商部署相关联。不同基站的覆盖区域(包括相同或不同类型的基站的覆盖区域、
利用相同或不同无线电技术的覆盖区域、或属于相同或不同接入网的覆盖区域)可以交叠。
[0063] 无线通信系统中的通信链路可包括用于承载上行链路(Uplink,UL)传输(例如,从终端21到网络设备22)的上行链路,或用于承载下行链路(Downlink,DL)传输(例如,从网络
设备22到终端21)的下行链路。UL传输还可被称为反向链路传输,而DL传输还可被称为前向
链路传输。下行链路传输可以使用授权频段、非授权频段或这两者来进行。类似地,上行链
路传输可以使用有授权频段、非授权频段或这两者来进行。
设备22到终端21)的下行链路。UL传输还可被称为反向链路传输,而DL传输还可被称为前向
链路传输。下行链路传输可以使用授权频段、非授权频段或这两者来进行。类似地,上行链
路传输可以使用有授权频段、非授权频段或这两者来进行。
[0064] 在现有的5G技术方案中,ARPF被定义为存储长期密钥K及产生认证向量的网元,并与UDM合并。如图3所示,在现有技术的认证向量生成过程中,AUSF向UDM发起认证请求,并从
UDM获取认证向量;另外,为了便于网络维护,在后期设计时将计算与存储相分离,新定义了
统一数据存储库(Unified Data Repository,UDR)作为统一数据存储设备,仅用于存储数
据,包括用于认证的长期密钥K,但UDR没有计算能力;UDM为统一数据管理设备,负责利用长
期密钥K产生认证向量,但UDM失去了数据存储的能力。
UDM获取认证向量;另外,为了便于网络维护,在后期设计时将计算与存储相分离,新定义了
统一数据存储库(Unified Data Repository,UDR)作为统一数据存储设备,仅用于存储数
据,包括用于认证的长期密钥K,但UDR没有计算能力;UDM为统一数据管理设备,负责利用长
期密钥K产生认证向量,但UDM失去了数据存储的能力。
[0065] 从图3可以看出,由于UDR能用于存储而不能计算,而UDM仅能够计算而不能存储,因此UDM需要通过Nudr接口从UDR获取密钥,从而导致密钥可能在UDM与UDR之间的传输接口
上被泄露,严重影响到后续认证及通信过程的安全性。
上被泄露,严重影响到后续认证及通信过程的安全性。
[0066] 为解决以上问题中的至少一种,本申请提供了一种新的认证向量获取方法,可以减少长期密钥K因传输而存在泄露风险的问题,并能与现有系统的大部分网元兼容。
[0067] 具体的,如图4所示,本申请提出了一种将认证功能与UDM相分离的方案,引入独立的认证功能(也可以将其称作ARPF),即认证功能与UDM相互独立,认证功能不再作为UDM的
一个功能,而作为另外一个实体而独立存在。并且,在认证功能与UDM之间新定义一个接口
(这里可以将该接口命名为Narpf)。由认证功能(ARPF)负责存储长期密钥,以及与认证相关
的参数。认证功能(ARPF)同时还具备使用认证算法(如现有技术推荐的认证框架MILENAGE)
和自身保存参数产生相关认证向量的能力。当用户发起接入请求并由网络判断需要认证的
情况下,在UDM接收到认证向量请求消息时,不再由UDM进行处理,而是将认证向量请求消息
发送给独立的认证功能。在认证功能生成认证向量后,再通过新定义的接口将认证向量发
送给UDM,UDM再将认证向量利用现有接口传给AUSF。
一个功能,而作为另外一个实体而独立存在。并且,在认证功能与UDM之间新定义一个接口
(这里可以将该接口命名为Narpf)。由认证功能(ARPF)负责存储长期密钥,以及与认证相关
的参数。认证功能(ARPF)同时还具备使用认证算法(如现有技术推荐的认证框架MILENAGE)
和自身保存参数产生相关认证向量的能力。当用户发起接入请求并由网络判断需要认证的
情况下,在UDM接收到认证向量请求消息时,不再由UDM进行处理,而是将认证向量请求消息
发送给独立的认证功能。在认证功能生成认证向量后,再通过新定义的接口将认证向量发
送给UDM,UDM再将认证向量利用现有接口传给AUSF。
[0068] 需要说明的是,本文中提及到的各个功能,如AUSF、UDM、ARPF、UDR和AMF等等,可以是网络中的某个具体网元或功能模块或实体。
[0069] 请参照图4,本申请的认证向量获取过程,包括:
[0070] 步骤41,AUSF向UDM发送认证向量请求消息,具体的,AUSF可以通过现有的Nudm_authentication_get Request消息向UDM发起认证向量请求。
[0071] 步骤42,UDM接收到认证向量请求消息后,通过新定义的UDM与认证功能之间的接口(可被称为Narpf),向认证功能发送认证向量请求消息,并在该认证向量请求消息中携带
用户的身份标识(Identity)。具体的,UDM可以通过Narpf_authentication_get Request消
息,携带用户身份标识和拜访网络的标识(ID)发送给ARPF。
用户的身份标识(Identity)。具体的,UDM可以通过Narpf_authentication_get Request消
息,携带用户身份标识和拜访网络的标识(ID)发送给ARPF。
[0072] 步骤43,认证功能接收到认证向量请求消息后,根据用户身份标识获取到存储在认证功能中的长期密钥K,利用长期密钥K计算出认证向量(5G HE AV)。下面提供一种具体
的认证向量生成算法:
的认证向量生成算法:
[0073] a)认证功能获取长期密钥K(128位)和对应的序列号SQN(48位),并生成随机数RAND(128位)。然后认证功能将随机数RAND,结合运营商的配置参数OPc(128位)进行异或运
算,然后使用K对异或运算结果进行加密运算(例如,可以使用AES加密算法,或其他加密算
法),再将运算后的结果(记做第一中间结果1)再次与OPc进行异或运算,再根据位移参数r2
(128位)对异或运算结果进行循环位移,再将循环位移得到的结果与混淆参数c2(128位)进
行异或运算后再使用K对异或运算结果进行加密运算,然后,再用OPc对加密运算结果进行
异或运算,并将上述异或运算结果(为了便于描述,将该异或运算结果成为第一参数)拆成
前半部分和后半部分(前后2个64位),然后将前64位中的前48位(记做AK)与SQN进行异或运
算,将运算结果作为输出参数中的一部分(记做SQN AK)。
算,然后使用K对异或运算结果进行加密运算(例如,可以使用AES加密算法,或其他加密算
法),再将运算后的结果(记做第一中间结果1)再次与OPc进行异或运算,再根据位移参数r2
(128位)对异或运算结果进行循环位移,再将循环位移得到的结果与混淆参数c2(128位)进
行异或运算后再使用K对异或运算结果进行加密运算,然后,再用OPc对加密运算结果进行
异或运算,并将上述异或运算结果(为了便于描述,将该异或运算结果成为第一参数)拆成
前半部分和后半部分(前后2个64位),然后将前64位中的前48位(记做AK)与SQN进行异或运
算,将运算结果作为输出参数中的一部分(记做SQN AK)。
[0074] b)认证功能将上述计算得到的第一参数的后64位记为RES或者XRES,然后再与RAND和拜访网络的ID一起产生响应值(记为RES*或者XRES*)作为输出参数中的一部分。
[0075] c)认证功能将第一中间结果1与OPc进行异或运算,再根据位移参数r3(128位)对异或运算结果进行循环位移,再对循环位移得到的结果与混淆参数c3(128位)进行异或运
算后,再使用K对异或运算结果进行加密运算,然后,再用OPc对加密运算结果进行异或运
算,将得到的结果(128位)作为认证流程后使用的会话加密密钥(记做CK);
算后,再使用K对异或运算结果进行加密运算,然后,再用OPc对加密运算结果进行异或运
算,将得到的结果(128位)作为认证流程后使用的会话加密密钥(记做CK);
[0076] d)认证功能用r4和c4替换上述c)过程中的r3和c3参数后执行,将得到的结果(128位)作为认证流程后使用的会话完整性密钥(记做IK);
[0077] e)认证功能根据CK、IK和拜访地运营商的ID产生一个中间密钥KAUSF(256位)
[0078] f)认证功能自身保存认证所需的认证管理域参数AMF,将SQN||AMF||SQN||AMF(||为并联符号)作为输入参数,与OPc进行异或,再根据位移参数r1(128位)对异或运算结果进
行循环位移,再将位移结果与混淆参数c1(128位)进行异或运算,得到第二中间结果2,再将
第二中间结果2与第一中间结果1进行异或运算,然后使用K对异或运算结果进行加密运算
后,再用OPc对加密运算结果进行异或运算,并将所得结果拆成前后2个64位,然后将前64位
(记为MAC),作为输出参数中的一部分;
行循环位移,再将位移结果与混淆参数c1(128位)进行异或运算,得到第二中间结果2,再将
第二中间结果2与第一中间结果1进行异或运算,然后使用K对异或运算结果进行加密运算
后,再用OPc对加密运算结果进行异或运算,并将所得结果拆成前后2个64位,然后将前64位
(记为MAC),作为输出参数中的一部分;
[0079] g)认证功能将SQN AK||AMF||MAC记为AUTN,然后将RAND,AUTN,XRES*,KAUSF作为认证向量参数,从而得到5G HE AV。
[0080] 步骤44,认证功能将认证向量传送到UDM,具体的,ARPF可以通过现有的Narpf_authentication_get Response消息,将5G HE AV发送给UDM。
[0081] 步骤45,UDM将认证向量透传给AUSF,具体的,UDM可以通过现有的Nudm_authentication_get Response消息将5G HE AV发送给AUSF。
[0082] 从以上流程可以看出,本申请将长期密钥的存储及认证向量的生成等处理放在了认证功能中,并将认证功能与UDM分离,这样可以保证长期密钥的存储与认证向量的产生是
在同一网元中进行的,避免了长期密钥在不同网元中传输所导致的泄露风险;同时也保证
了UDM作为数据管理设备,只负责信息处理,不参与数据存储。此外,引入UDM透传,还有效的
继承了现有的认证架构,防止因为引入新的网元/网络功能导致消息接口发生变化,进而导
致网络无法后向兼容的问题。
在同一网元中进行的,避免了长期密钥在不同网元中传输所导致的泄露风险;同时也保证
了UDM作为数据管理设备,只负责信息处理,不参与数据存储。此外,引入UDM透传,还有效的
继承了现有的认证架构,防止因为引入新的网元/网络功能导致消息接口发生变化,进而导
致网络无法后向兼容的问题。
[0083] 下面进一步从UDM和认证功能侧分别介绍本申请的认证向量的获取方法。
[0084] 请参照图5,本申请的认证向量的获取方法在应用于UDM侧时,包括:
[0085] 步骤51,所述UDM在接收到AUSF发送的第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标
识。
识。
[0086] 根据本申请的至少一个实施例,所述UDM与认证功能为相互独立的两个网元,并且在两者之间新定义一个接口,本文称之为Narpf。在上述步骤51中,UDM可以通过所述预设接
口Narpf向认证功能发送所述第二认证向量请求消息,具体的,所述第二认证向量请求消息
可以为Narpf_authentication_get Request消息。
口Narpf向认证功能发送所述第二认证向量请求消息,具体的,所述第二认证向量请求消息
可以为Narpf_authentication_get Request消息。
[0087] 步骤52,所述UDM接收认证功能发送的携带有认证向量的认证向量响应消息。
[0088] 根据本申请的至少一个实施例,UDM可以通过所述预设接口Narpf接收认证功能发送的认证向量响应消息。具体的,所述认证向量响应消息可以为Narpf_authentication_
get Response消息。
get Response消息。
[0089] 可选的,所述UDM还可以将所述认证向量转发给所述AUSF。
[0090] 通过以上步骤,本申请不再由UDM生成认证向量,而是向另一网元(认证功能)请求认证向量,从而避免了长期密钥在网元间传输导致的泄露风险,提高了认证的安全性。
[0091] 请参照图6,本申请的认证向量的生成方法在应用于认证功能侧时,包括:
[0092] 步骤61,认证功能接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识。
[0093] 根据本申请的至少一个实施例,所述UDM与认证功能为相互独立的两个网元,并且在两者之间新定义一个接口,本文称之为Narpf。在上述步骤61中,认证功能可以通过所述
预设接口Narpf接收UDM发送的第二认证向量请求消息,具体的,所述第二认证向量请求消
息可以为Narpf_authentication_get Request消息。
预设接口Narpf接收UDM发送的第二认证向量请求消息,具体的,所述第二认证向量请求消
息可以为Narpf_authentication_get Request消息。
[0094] 这里,所述用户身份标识具体包括但不限于SUPI/SUCI/5G-GUTI/NAI,所述拜访网络标识包括但不限于SN ID(Serving Network Identifier)。其中,SUPI是指用户永久标识
符(SUbscription Permanent Identifier),SUCI是指用户隐藏标识符(Subscriber
Concealed Identifier),5G-GUTI是指5G全局唯一的临时UE标识(5G Globally Unique
Temporary UE Identity),NAI是指网络接入标识符(NAI Network Access Identifier)。
符(SUbscription Permanent Identifier),SUCI是指用户隐藏标识符(Subscriber
Concealed Identifier),5G-GUTI是指5G全局唯一的临时UE标识(5G Globally Unique
Temporary UE Identity),NAI是指网络接入标识符(NAI Network Access Identifier)。
[0095] 步骤62,所述认证功能根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0096] 根据本申请的至少一个实施例,在步骤62中,所述认证功能可以按照以下步骤计算所述认证向量:
[0097] A)所述认证功能获取长期密钥及其对应的序列号SQN,并生成随机数RAND;
[0098] B)所述认证功能对所述随机数RAND和运营商的配置参数OPc进行异或运算,并利用长期密钥进行加密运算,得到第一中间结果;
[0099] C)利用第一参数组,对所述第一中间结果进行第一运算处理,得到第一运算结果,将所述第一运算结果的前半部分的预设比特位与序列号SQN进行异或运算,得到第一参数,
所述第一运算处理包括依次进行的异或运算、循环移位、异或运算、加密运算和异或运算处
理;
所述第一运算处理包括依次进行的异或运算、循环移位、异或运算、加密运算和异或运算处
理;
[0100] D)所述认证功能基于所述第一计算结果的后半部分、所述随机数RAND以及拜访网络标识,生成一响应值XRES*;
[0101] E)利用第二参数组和第三参数组,分别对所述第一中间结果进行所述第一运算处理,得到认证流程后使用的会话加密密钥CK和会话完整性密钥IK;以及,根据所述CK、IK和
拜访地运营商的标识,产生一中间密钥KAUSF;
拜访地运营商的标识,产生一中间密钥KAUSF;
[0102] F)将序列号SQN、本地保存的认证所需的认证管理参数AMF、SQN以及AMF级联,并利用第四参数组,对级联得到的参数进行第二运算处理,得到第二运算结果,提取第二计算结
果的前半部分,得到第二参数;
果的前半部分,得到第二参数;
[0103] 这里,第二运算处理包括依次进行的异或运算,循环移位、异或运算、异或运算、加密运算和异或运算。
[0104] 以上第一参数组至第四参数组,各自均包括对应的位移参数和移位后用于异或运算的混淆参数。
[0105] G)将所述第一参数、AMF、第二参数级联,得到认证令牌AUTN,以及,将所述RAND、AUTN、XRES*和KAUSF作为认证向量参数,得到认证向量。
[0106] 更为详细的算法流程可以参数图4所示的流程描述,此处不再赘述。
[0107] 可选的,在上述步骤62之后,认证功能还可以向UDM发送携带有所述认证向量的认证向量响应消息。
[0108] 根据本申请的至少一个实施例,认证功能可以通过所述预设接口Narpf向UDM发送认证向量响应消息。具体的,所述认证向量响应消息可以为Narpf_authentication_get
Response消息。
Response消息。
[0109] 以上介绍了本发明实施例的各种方法。下面将进一步提供实施上述方法的装置。
[0110] 请参照图7,本发明实施例提供了一种UDM 70,包括:
[0111] 第一接收模块71,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息;
[0112] 发送模块72,用于在接收到所述第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络标识;
[0113] 第二接收模块73,用于接收认证功能发送的携带有认证向量的认证向量响应消息。
[0114] 可选的,所述UDM与认证功能相互独立,且两者之间存在有预设接口Narpf。
[0115] 所述发送模块72,还用于通过所述预设接口Narpf向认证功能发送所述第二认证向量请求消息,以及,所述第二接收模块73,还用于通过所述预设接口Narpf接收认证功能
发送的携带有认证向量的认证向量响应消息。
发送的携带有认证向量的认证向量响应消息。
[0116] 可选的,所述第二认证向量请求消息为Narpf_authentication_get Request消息;所述认证向量响应消息为Narpf_authentication_get Response消息。
[0117] 请参考图8,本发明实施例提供了UDM 800的一结构示意图,包括:处理器801、收发机802、存储器803和总线接口,其中:
[0118] 所述收发机802,用于接收到身份认证服务器功能AUSF发送的第一认证向量请求消息。
[0119] 在本发明实施例中,UDM 800还包括:存储在存储器上803并可在处理器801上运行的程序,所述程序被处理器801执行时实现如下步骤:
[0120] 所述收发机802,用于在所述收发机接收到第一认证向量请求消息,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网络
标识;以及,接收认证功能发送的携带有认证向量的认证向量响应消息。
标识;以及,接收认证功能发送的携带有认证向量的认证向量响应消息。
[0121] 可理解的,本发明实施例中,所述计算机程序被处理器801执行时可实现上述图5所示的认证向量的获取方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这
里不再赘述。
里不再赘述。
[0122] 在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器801代表的一个或多个处理器和存储器803代表的存储器的各种电路链接在一起。总线架构还可以
将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本
领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机802可以是
多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本
领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机802可以是
多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
[0123] 处理器801负责管理总线架构和通常的处理,存储器803可以存储处理器801在执行操作时所使用的数据。
[0124] 在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现以下步骤:
[0125] 在接收到身份认证服务器功能AUSF发送的第一认证向量请求消息后,向认证功能发送第二认证向量请求消息,所述第二认证向量请求消息携带有用户的身份标识和拜访网
络标识;
络标识;
[0126] 接收认证功能发送的携带有认证向量的认证向量响应消息。
[0127] 该程序被处理器执行时能实现上述应用于UDM的认证向量的获取方法中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
[0128] 本发明实施例提供了图9所示的一种认证功能,包括:
[0129] 接收模块91,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0130] 计算模块92,用于根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0131] 可选的,上述认证功能还可以包括:
[0132] 发送模块,用于向UDM发送携带有所述认证向量的认证向量响应消息
[0133] 可选的,所述认证功能与UDM相互独立,且两者之间存在有预设接口Narpf;
[0134] 所述接收模块91,还用于通过所述预设接口Narpf接收UDM发送的所述认证向量请求消息,以及,所述发送模块,还用于通过所述预设接口Narpf向UDM发送携带有所述认证向
量的认证向量响应消息。
量的认证向量响应消息。
[0135] 可选的,所述认证向量请求消息为Narpf_authentication_get Request消息;所述认证向量响应消息为Narpf_authentication_get Response消息。
[0136] 可选的,计算模块92,还用于按照以下方式计算得到认证向量:
[0137] 获取长期密钥及其对应的序列号SQN,并生成随机数RAND;
[0138] 对所述随机数RAND和运营商的配置参数OPc进行异或运算,并利用长期密钥进行加密运算,得到第一中间结果;
[0139] 利用第一参数组,对所述第一中间结果进行第一运算处理,得到第一运算结果,将所述第一运算结果的前半部分的预设比特位与序列号SQN进行异或运算,得到第一参数,所
述第一运算处理包括依次进行的异或运算、循环移位、异或运算、加密运算和异或运算处
理;
述第一运算处理包括依次进行的异或运算、循环移位、异或运算、加密运算和异或运算处
理;
[0140] 基于所述第一计算结果的后半部分、所述随机数RAND以及拜访网络标识,生成一响应值XRES*;
[0141] 利用第二参数组和第三参数组,分别对所述第一中间结果进行所述第一运算处理,得到认证流程后使用的会话加密密钥CK和会话完整性密钥IK;以及,根据所述CK、IK和
拜访地运营商的标识,产生一中间密钥KAUSF;
拜访地运营商的标识,产生一中间密钥KAUSF;
[0142] 将序列号SQN、本地保存的认证所需的认证管理参数AMF、SQN以及AMF级联,并利用第四参数组,对级联得到的参数进行第二运算处理,得到第二运算结果,提取第二计算结果
的前半部分,得到第二参数;
的前半部分,得到第二参数;
[0143] 将所述第一参数、AMF、第二参数级联,得到认证令牌AUTN,以及,将所述RAND、AUTN、XRES*和KAUSF作为认证向量参数,得到认证向量。
[0144] 请参考图10,本发明实施例提供了认证功能1000的一结构示意图,包括:处理器1001、收发机1002、存储器1003和总线接口,其中:
[0145] 所述收发机1002,用于接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0146] 在本发明实施例中,认证功能1000还包括:存储在存储器上1003并可在处理器1001上运行的程序,所述程序被处理器1001执行时实现如下步骤:
[0147] 根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0148] 可理解的,本发明实施例中,所述计算机程序被处理器1001执行时可实现上述图6所示的认证向量的生成方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这
里不再赘述。
里不再赘述。
[0149] 在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1003代表的存储器的各种电路链接在一起。总线架构还可
以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是
本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1002可
以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单
元。
以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是
本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1002可
以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单
元。
[0150] 处理器1001负责管理总线架构和通常的处理,存储器1003可以存储处理器1001在执行操作时所使用的数据。
[0151] 在本发明的一些实施例中,还提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现以下步骤:
[0152] 接收UDM发送的认证向量请求消息,所述认证向量请求消息携带有用户身份标识和拜访网络标识;
[0153] 根据所述用户身份标识,获取本地存储的长期密钥,并根据所述长期密钥和所述拜访网络标识,计算得到认证向量。
[0154] 该程序被处理器执行时能实现上述应用于认证功能的认证向量的生成方法中的所有实现方式,且能达到相同的技术效果,为避免重复,此处不再赘述。
[0155] 本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟
以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员
可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出
本发明的范围。
以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员
可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出
本发明的范围。
[0156] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0157] 在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为
一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或
者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互
之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连
接,可以是电性,机械或其它的形式。
一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或
者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互
之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连
接,可以是电性,机械或其它的形式。
[0158] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个
网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案
的目的。
网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案
的目的。
[0159] 另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
[0160] 所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法的全部或部分步
骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代
码的介质。
对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计
算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个
人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法的全部或部分步
骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代
码的介质。
[0161] 以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵
盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。