用于5G技术的认证机制制造技术

实施例相互认证和安全协商(MASA)协议可以使用独立生成的完整性密钥和/或加密密钥，安全地传送在UE和各种网络侧设备(例如，基站、MME、HSS等)之间交换的私人信息。具体地，实施例MASA协议可以使用初始认证请求(IAR)加密密钥(KIAR

【技术实现步骤摘要】
用于5G技术的认证机制
[0001]本申请要求以下申请中每个申请的优先权：于2016年3月10日提交的申请号为62/306,550、专利技术名称为“用于5G技术的认证机制”的美国临时申请，于2016年4月1日提交的申请号为62/317,295、专利技术名称为“用于5G技术的认证机制”的美国临时申请，于2016年9月2日提交的申请号为62/383,223、专利技术名称为“用于保护服务网络消息的完整性的系统和方法”的美国临时申请，于2016年9月23日提交的申请号为62/399,069、专利技术名称为“用于使用4G USIM的5G MASA的系统和方法”的美国临时申请，于2016年9月23日提交的申请号为62/399,055、专利技术名称为“用于利用3GPP下一代网络协商UE安全能力的系统和方法”的美国临时申请，以及于2017年3月8日提交的申请号为15/453,776、专利技术名称为“用于5G技术的认证机制”的美国申请，以上所有申请通过引用并入本文，如全文再现一般。


[0002]本专利技术总体上涉及无线电信，并且在特定实施例中，涉及用于5G技术的认证机制的系统和方法，同时向订户和UE永久标识符提供隐私。

技术介绍

[0003]现代无线网络通常包括各种安全特征，以防止未授权的第三方访问和/或操纵数据。具体地，长期演进(LTE)网络提供三种基本安全特征，即：LTE认证、非接入层(non
‑
access stratum，NAS)安全和接入层(access stratum，AS)安全。LTE认证特征确保用户是用户尝试访问的网络(或网络服务)的授权订户，而NAS安全和AS安全特征确保通过无线接入网络(RAN)传送的控制和用户数据分别在NAS和AS级别是安全的。

技术实现思路

[0004]通过描述用于5G技术的认证机制的本公开的实施例，总体上实现了技术优势。
[0005]根据一个实施例，提供了一种用于安全认证的方法。在该示例中，该方法包括：至少基于UE的预先提供的密钥(K密钥)和第一随机数(RAND1)生成第一完整性密钥，以及通过使用第一完整性密钥计算UE专用信息的哈希函数，生成消息认证码(message authentication code，MAC)签名。UE专用信息至少包括UE的国际移动用户标识(International Mobile Subscriber Identity，IMSI)和RAND1。该方法还包括：使用公共密钥对UE专用信息和MAC签名进行加密，以形成加密部分，以及向服务网络中的基站发送初始认证请求消息。初始认证请求消息携带加密部分和未加密的网络标识符。还提供了一种用于执行该方法的装置。
[0006]根据另一个实施例，提供了另一种用于安全认证的方法。在该示例中，该方法包括：从服务网络中的移动性管理实体(mobile management entity，MME)接收包括归属网络标识符(home network identifier，HID)和加密部分的用户认证信息请求消息，以及使用与HID相关联的归属网络私有密钥，对加密部分进行解密，以获得用户设备(UE)专用信息和第一消息认证码(MAC)签名。UE专用信息至少包括UE的国际移动用户标识(IMSI)和第一随
机数(RAND1)。该方法还包括：基于UE的IMSI和RAND1获得第一完整性密钥，以及验证用户认证信息请求消息的完整性。验证用户认证信息请求消息的完整性包括：通过使用第一完整性密钥计算UE专用信息的哈希函数，生成第二MAC签名，以及比较第二MAC签名和第一MAC签名，以确定UE专用信息是否来自UE。还提供了一种用于执行该方法的装置。
[0007]根据又一个实施例，提供了又一种用于安全认证的方法。在该示例中，该方法包括：基于UE的预先提供的密钥和第一随机数(RAND1)生成第一加密密钥，使用第一加密密钥至少对UE的国际移动用户标识(IMSI)和RAND1进行加密，以形成加密后的内层部分，使用公共密钥至少对内层部分、RAND1和IMSI进行加密，以形成加密后的外层部分，以及向服务网络中的基站发送初始认证请求消息。初始认证请求消息携带加密后的外层部分和未加密的网络标识符。还提供了一种用于执行该方法的装置。
[0008]根据又一个实施例，提供了又一种用于安全认证的方法。在该示例中，该方法包括：从用户设备(UE)接收包括加密后的外层部分和未加密的网络标识符的初始认证请求消息，使用与服务网络相关联的私有密钥对加密后的外层部分进行解密，以获得UE的国际移动用户标识(IMSI)、第一随机数(RAND1)和加密后的内层部分，以及向UE的归属网络中的归属用户服务器(home subscriber server，HSS)发送认证和数据请求消息。认证和数据请求消息至少包括IMSI、RAND1和加密后的内层部分。还提供了一种用于执行该方法的装置。
附图说明
[0009]为了更完整地理解本公开及其优势，现参考结合附图进行的如下描述，其中：
[0010]图1是一个实施例无线通信网络的图；
[0011]图2是5G网络构架的图；
[0012]图3是用于在无线网络中认证UE的传统的通信序列的协议图；
[0013]图4是用于在无线网络中认证UE的一个实施例通信序列的协议图；
[0014]图5是用于在图4示出的实施例通信序列期间交换的消息的实施例帧格式的图；
[0015]图6是用于在图4示出的实施例通信序列期间交换的消息的附加的实施例帧格式的图；
[0016]图7是一种用于根据MASA协议生成初始认证请求(initial authentication request，IAR)消息的实施例方法的流程图；
[0017]图8是一种用于根据MASA协议处理认证和数据请求消息并生成认证和数据响应消息的实施例方法的流程图；
[0018]图9是一种根据MASA协议处理认证和数据响应消息并生成初始认证响应(initial authentication response，IAS)消息的实施例方法的流程图；
[0019]图10是一种用于根据MASA协议处理IAS消息的实施例方法的流程图；
[0020]图11是用于在无线网络中认证UE的另一个实施例通信序列的协议图；
[0021]图12是用于在图11示出的实施例通信序列期间交换的消息的实施例帧格式的图；
[0022]图13是一种用于根据MASA协议生成IAR消息的实施例方法的流程图；
[0023]图14是一种用于根据MASA协议处理认证和数据请求消息并生成认证和数据响应消息的实施例方法的流程图；
[0024]图15是一种用于根据MASA协议处理认证和数据响应消息并生成IAS消息的实施例
方法的流程图；
[0025]图16是一种用于根据MASA协议处理IAS消息的实施例方法的流程图；
[0026]图17是用于在无线网络中认证UE的又一个实施例通信序列的协议图；
[0027]图18是用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于安全认证的方法，其特征在于，所述方法包括：用户设备使用加密密钥加密用户设备专用信息，得到加密部分；所述用户设备通过使用完整性密钥计算所述加密部分的哈希函数，生成消息认证码签名；其中，所述加密密钥和所述完整性密钥是通过所述用户设备的预先提供的密钥得到的；以及所述用户设备向移动性管理实体发送请求消息；其中，所述请求消息包括所述加密部分和所述消息认证码签名。2.如权利要求1所述的方法，其特征在于，所述预先提供的密钥被保存在所述用户设备的全球用户身份模块中。3.如权利要求1所述的方法，其特征在于，所述请求消息为初始认证请求消息。4.如权利要求1
‑
3任一所述的方法，其特征在于，所述用户设备专用信息包括国际移动用户标识IMSI。5.如权利要求1
‑
3任一所述的方法，其特征在于，所述方法还包括：所述用户设备使用所述预先提供的密钥计算得到所述加密密钥和所述完整性密钥。6.如权利要求1
‑
3任一所述的方法，其特征在于，所述请求消息包括还包括所述用户设备的归属网络标识符。7.一种通信装置，其特征在于，包括：用于使用加密密钥加密用户设备专用信息，得到加密部分的单元；用于通过使用完整性密钥计算所述加密部分的哈希函数，生成消息认证码签名的...

【专利技术属性】
技术研发人员：艾买提，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：