一种获得用户标识的方法及装置与流程
本申请涉及通信技术领域,尤其涉及一种获得用户标识的方法及装置。
背景技术:
在移动通信系统中,当用户设备和第一移动网络运营商(mobilenetworkoperator,mno)签订服务合约后,就能够接入第一mno的网络,享受网络服务,但第一mno的网络具有一定的覆盖范围,当用户设备超过所述覆盖范围后将无法获得网络服务,为了能够给用户设备提供更为广泛的网络服务,第一mno会与第二mno签订漫游协议,以使用户设备处于第二mno的网络覆盖范围内时,仍能够接入网络,获得第二mno提供的网络服务。
在用户设备接入到第二mno的网络时,第二mno的网络中的安全锚功能(securityanchorfunction,seaf)需要获取用户标识,首先,用户设备对用户标识加密,所述用户标识为所述用户设备在与第一mno的网络签约时第一mno的网络分配的标识。所述用户设备将加密后的用户标识包含在注册请求中发送给第二mno网络中的seaf,之后,seaf将加密后的用户标识发送给第一mno的网络中的认证服务功能(authenticationserverfunction,ausf),ausf再将加密后的用户标识发送给统一数据管理(unifieddatamanagement,udm),以使udm对加密后的用户标识进行解密获取用户标识,udm将解密后获取的用户标识发送给seaf。
在上述过程中,ausf会直接将用户设备对应的用户标识发送给seaf,由此并不能对用户标识进行很好的保护,若seaf将截获的加密后的用户标识发送给ausf,之后ausf会将用户标识直接返回给seaf,也就是说,无论用户设备是否真正接入,seaf总会获得用户标识,导致用户标识的泄露,对用户设备的信息安全造成威胁。
技术实现要素:
本申请提供一种获得用户标识的方法及装置,用以解决现有技术中用户标识易泄露,对用户设备的信息安全造成威胁问题。
第一方面,本申请实施例提供了一种获得用户标识的方法,该方法包括:首先,seaf接收ausf发送的结果值以及接收用户设备发送的第一认证参数;之后,该seaf根据该结果值与该第一认证参数获得用户标识。
通过上述方法,ausf并不直接将用户标识发送给seaf,而是发送一个结果值,由seaf利用结果值和用户设备发送的第一认证参数获得用户标识,可以避免seaf和ausf之间直接发送用户标识,而导致的用户标识易被窃取,用户设备的信息造泄露的情况,可以保证用户标识的安全性;其次,seaf在获取用户标识时,还需要接收用户设备发送的第一认证参数,seaf只获取结果值的情况下是不能得到用户标识的,只有在用户设备与seaf真正进行通信时,才能接收到用户设备发送的第一认证参数,进而获得用户标识,可以避免恶意seaf窃取用户标识。
在一种可能的设计中,当该seaf根据该结果值与该第一认证参数获得用户标识时,可以利用异或运算获取用户标识,seaf在将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
通过上述方法,为了保证进行异或运算的两个参数的长度相等,需要在第一认证参数总选取与用户标识长度相同的m个比特位,可以保证获得的用户标识的长度是正确的。
在一种可能的设计中,当该seaf根据该结果值与该第一认证参数获得用户标识时,可以利用异或运算获取用户标识,该seaf可以将该结果值与该第一认证参数进行异或运算后得到第一值;之后,在该第一值中选择或者去掉特定的比特位后获得该用户标识。
通过上述方法,当第一值的长度大于用户标识的长度时,可以去掉第一值中的特定比特位,进一步保证获得的用户标识的长度是正确的。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码,该seaf在根据该结果值与该第一认证参数获得用户标识时,可以只对结果值包括的匿名用户识别码进行处理,该seaf可以从该第一认证参数中选择与该用户识别码长度相同的l个比特位;并将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;之后使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
通过上述方法,若结果值中包括匿名用户识别码,通过对结果值中的匿名用户识别码进行处理最后获得用户标识,无需对结果值中包括的所有组成部分进行护理,能够简化获得用户标识的过程,可以保证用户标识的安全性,同时提高传输用户标识的效率。
在一种可能的设计中,当该seaf是通过将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后获得该用户标识。m个比特位可以是第一认证参数中任意m个比特位,具体的,可以选用如下三种情况之一:
情况一、该m个比特位为该第一认证参数中最高的m个比特位。
情况二、该m个比特位为该第一认证参数中最低的m个比特位。
情况三、该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
通过上述方法,该seaf在从第一认证参数中选取m个比特位时,可以有多种方式,采用上述三种方式,能够较为快速、方便的选取m个比特位,可以进一步提高获取用户标识的速度,进而提高传输用户标识的效率。
在一种可能的设计中,若该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位,该seaf该结果值与该第一认证参数获得用户标识之前,该seaf可以接收该ausf发送的n值。
通过上述方法,该seaf在接收该ausf发送的n值后,能够较为快捷的确定出在选取m个比特位时的偏移量,能够较快从该第一认证参数中选取m个比特数,可以进一步提高获得用户标识的速度,进而提高传输用户标识的效率。
在一种可能的设计中,seaf接收该用户设备发送的第一哈希值;再使用该第一认证参数或第二认证参数,和该用户标识进行哈希运算,获得第二哈希值;之后,比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该用户标识与该用户设备中的用户标识相同。
通过上述方法,seaf通过比较用户设备发送的第一哈希值,与已获得的用户标识确定的第二哈希值,验证该用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间也不需要传输用户标识,而是传输哈希值,能够较为安全的传递与用户标识相关的数据,同时也能够达到验证用户标识的效果。
在一种可能的设计中,若该seaf根据该第一认证参数与该用户标识进行哈希运算时,该seaf需要先接收到该用户设备发送的第一认证参数;若该seaf根据第二认证参数与该用户标识进行哈希运算时,该seaf需要先接收到该ausf发送的该第二认证参数。
通过上述方法,seaf在验证用户标识时,需要先获得进行哈希运算的参数,以保证之后能够生成第二哈希值,与该第一哈希值进行比较,进一步保证对用户标识的验证结果的正确性。
在一种可能的设计中,seaf接收该用户设备发送的第一参数;根据该ausf发送的第二认证参数或该用户设备发送的第一认证参数,和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值;比较该参照值和该用户标识;若该参照值和该用户标识相同,则确定该用户标识与该用户设备中的用户标识相同。
通过上述方法,seaf通过比较根据用户设备发送的第一参数确定的参照值,与获得的用户标识,验证获得用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间不需要传输用户标识,而是传输第一参数,能够较为安全的传递与用户标识相关的数据,同时也能够达到验证用户标识的效果。
第二方面,本发明实施例提供了一种传输用户标识的方法,该方法包括:首先,ausf接收udm发送的用户标识和第三认证参数;之后该ausf根据该第三认证参数与该用户标识获得结果值;并将该结果值发送给seaf。
通过上述方法,ausf并不直接将用户标识发送给seaf,而是根据该第三认证参数与该用户标识获得结果值,之后给seaf发送一个结果值,可以避免seaf和ausf之间直接发送用户标识,而导致的用户标识易被窃取,用户设备的信息造泄露的情况,可以保证用户标识的安全性。
在一种可能的设计中,该ausf还可以确定是否需要该seaf发送认证确认消息,若需要该seaf发送认证确认消息,ausf之后再根据该第三认证参数与该用户标识获得结果值。
通过上述方法,当seaf不属于同一个网络时,为了确保seaf非恶意seaf,该ausf确定该seaf需发送认证确认消息,在根据该第三认证参数与该用户标识获得结果值之前,确定需要该seaf发送认证确认消息,可以避免恶意seaf窃取用户标识的情况,能够进一步保证用户标识的安全性。
在一种可能的设计中,该ausf在根据该第三认证参数与该用户标识获得结果值时,可以采用多种方式,该ausf可以将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
通过上述方法,为了保证进行异或运算的两个参数的长度相等,需要在第三认证参数中选取m个比特位,与用户标识进行异或运算,可以保证获得该结果值,能够保证用户标识的安全性。
在一种可能的设计中,该ausf在根据该第三认证参数与该用户标识获得结果值时,可以采用多种方式,该ausf可以先对该用户标识进行补位得到第三值,使得该第三值的长度等于该第三认证参数的长度,之后将该第三值与该第三认证参数进行异或运算后,获得该结果值。
通过上述方法,当第一值的长度大于用户标识的长度时,可以先对用户标识进行补位,之后再进行异或运算,以保证能够获得该结果值,进一步保证用户标识不易被窃取。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码,在根据该第三认证参数与该用户标识获得结果值时,ausf可以只对用户识别码进行处理,该ausf可以先从该第三认证参数中选择与该用户识别码长度相同的l个比特位;之后该ausf将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;并使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
通过上述方法,若用户标识中包括用户识别码,通过对用户标识中的用户识别码进行处理最后获得结果值,无需对用户标识中包括的所有组成部分进行护理,能够简化获得结果值的过程,可以保证用户标识的安全性,同时提高传输用户标识的效率。
在一种可能的设计中,该ausf在将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算获得该结果值时,m个比特位可以是第三认证参数中任意m个比特位,具体的,可以选用如下三种情况之一:
情况一、该m个比特位为该第三认证参数中最高的m个比特位;
情况二、该m个比特位为该第三认证参数中最低的m个比特位;
情况三、该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
通过上述方法,该ausf在从第三认证参数中选取m个比特位时,可以有多种方式,采用上述三种方式,能够较为快速、方便的选取m个比特位,可以进一步提高获得结果值的速度,进而提高传输用户标识的效率。
在一种可能的设计中,若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该ausf根据该第三认证参数与该用户标识获得结果值之后,该将n值发送给该seaf。
通过上述方法,n值为选取m个比特位时的偏移量,该ausf可以给seaf发送的n值,使得seaf能够较快获得偏移量,进而提高传输用户标识的效率。
第三方面,本申请实施例提供了一种验证用户标识的方法,该方法包括:seaf为了验证获得的用户标识是否与该用户设备中的用户标识是否相同,首先,seaf获得用户标识,,接收该用户设备发送的第一哈希值;之后使用该第一认证参数或第二认证参数,与该获得的用户标识进行哈希运算,获得第二哈希值;再比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
通过上述方法,seaf通过比较用户设备发送的第一哈希值,与自身通过获得的用户标识确定的第二哈希值,验证获得的用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间也不需要传输用户标识,而是传输哈希值,能够较为安全的传递与用户标识相关的数据,同时也能够达到验证用户标识的效果。
在一种可能的设计中,若该seaf根据该第一认证参数与该用户标识进行哈希运算时,该seaf需要先接收到该用户设备发送的第一认证参数;若该seaf根据第二认证参数与该用户标识进行哈希运算时,该seaf需要先接收到该ausf发送的该第二认证参数。
通过上述方法,seaf在验证用户标识时,需要先获得进行哈希运算的参数,以保证之后能够生成第二哈希值,与该第一哈希值进行比较,进一步保证对用户标识的验证结果的正确性。
在一种可能的设计中,seaf获得用户标识时,该seaf接收该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
第四方面,本申请实施例提供了一种验证用户标识的方法,该方法包括:seaf获得用户标识;接收用户设备发送的第一参数;之后根据ausf发送的第二认证参数或该用户设备发送的第一认证参数,和第四认证参数生成第二参数,也就是说,可以根据该ausf发送的第二认证参数和第四认证参数生成第二参数,也可以根据第四认证参数和该用户设备发送的该第一认证参数生成第二参数;该seaf对该第二参数与该第一参数进行异或运算后得到参照值,该seaf比较该参照值和该seaf获得的用户标识;若该参照值和该seaf获得的用户标识相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
通过上述方法,seaf通过比较根据用户设备发送的第一参数确定的参照值,与获得的用户标识,验证获得用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间不需要传输用户标识,而是传输第一参数,能够较为安全的传递与用户标识相关的数据,同时也能够达到验证用户标识的效果。
在一种可能的设计中,seaf获得用户标识时,该seaf接收的该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
通过上述方法,为了能够验证用户设备中的用户标识,需要事先seaf除去需要获得与用户设备中的用户标识相关的第一参数,还需要从ausf获得用户标识,或根据ausf发送的结果值中获得用户标识。
第五方面,本申请实施例提供了一种验证用户标识的方法,该方法包括:用户设备使用第一认证参数或第二认证参数,和该用户设备中的用户标识进行哈希运算,获得第一哈希值,也就是说,用户设备可以使用第一认证参数和该用户设备中的用户标识进行哈希运算,获得第一哈希值,也可以使用第二认证参数和该用户设备中的用户标识进行哈希运算,获得第一哈希值;之后将该第一哈希值发送给seaf。
通过上述方法,用户设备利用第一认证参数或第二认证参数和该用户设备中的用户标识进行哈希运算生成第一哈希值,在用户设备与seaf之间也不需要传输用户标识,而是传输哈希值,能够保证数据传输的安全性,同时也能够达到验证用户标识的效果。
第六方面,本申请实施例提供了一种验证用户标识的方法,该方法包括:用户设备先根据seaf发送的第二认证参数生成第四认证参数;之后该用户设备根据第一认证参数或该第二认证参数,和该第四认证参数生成第三参数;也就是说,用户设备可以根据该第四认证参数和第一认证参数生成第三参数,也可以根据该第四认证参数和该第二认证参数生成第三参数;之后,对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;然后,该用户设备将该第一参数发送给该seaf。
通过上述方法,用户设备利用第三参数和该用户设备中的用户标识进行哈希运算生成第一参数,在用户设备与seaf之间也不需要传输用户标识,而是传输与用户标识相关的参数,能够保证数据传输的安全性,同时也能够达到验证用户标识的效果。
第七方面,本申请实施例提供了一种传输用户标识的方法,该方法包括:seaf先接收ausf发送的结果值和用户设备发送的第二传输参数;seaf之后对该结果值与第二传输参数进行异或运算,获得用户标识。
通过上述方法,ausf并不直接将用户标识发送给seaf,而是发送一个结果值,由seaf利用结果值和用户设备发送的第一传输参数获得用户标识,可以避免seaf和ausf之间直接发送用户标识,而导致的用户标识易被窃取,用户设备的信息造泄露的情况,可以保证用户标识的安全性;其次,seaf在获取用户标识时,还需要接收用户设备发送的第二传输参数,seaf只获取结果值的情况下是不能得到用户标识的,只有在用户设备与seaf真正进行通信时,才能接收到用户设备发送的第二传输参数,进而获得用户标识,可以避免恶意seaf窃取用户标识。
第八方面,本申请实施例提供了一种传输用户标识的方法,该方法包括:ausf接收udm发送的用户标识、第二认证参数和第五认证参数;ausf先根据第五认证参数和第二认证参数生成第一传输参数;之后,ausf对第一传输参数与用户标识进行异或运算后得的一个结果值;再将结果值发送给seaf;
通过上述方法,ausf并不直接将用户标识发送给seaf,而是根据该第一传输参数与该用户标识获得结果值,之后给seaf发送一个结果值,可以避免seaf和ausf之间直接发送用户标识,而导致的用户标识易被窃取,用户设备的信息造泄露的情况,可以保证用户标识的安全性。
第九方面,本申请实施例提供了一种传输用户标识的方法,该方法包括:用户设备接收seaf发送的第二认证参数;用户设备利用第二认证参数和用户设备中保存的根密钥进行密钥推演生成第五认证参数;用户设备根据第五认证参数和第二认证参数生成第二传输参数;用户设备发送第二传输参数。
通过上述方法,若seaf在获取用户标识时,还需要用户设备向seaf发送的第二传输参数,而seaf在只获取结果值的情况下是不能得到用户标识的,只有在用户设备与seaf真正进行通信时,才能接收到用户设备发送的第二传输参数,进而获得用户标识,可以避免恶意seaf窃取用户标识。
第十方面,基于与第一方面同样的发明构思,本申请实施例还提供了一种获得用户标识的装置,有益效果可以参见第一方面的描述此处不再赘述。装置包括:
第一传输单元,用于接收ausf发送的结果值;以及接收用户设备发送的第一认证参数;
第一处理单元,用于根据该结果值与该第一认证参数获得用户标识。
在一种可能的设计中,该第一处理单元将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
在一种可能的设计中,该第一处理单元将该结果值与该第一认证参数进行异或运算后得到第一值;在该第一值中选择或者去掉特定的比特位后获得该用户标识。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码;
该第一处理单元从该第一认证参数中选择与该用户识别码长度相同的l个比特位;将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
在一种可能的设计中,该m个比特位为该第一认证参数中最高的m个比特位;或该m个比特位为该第一认证参数中最低的m个比特位;或该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
在一种可能的设计中,若该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位,该第一传输单元在第一处理单元根据该结果值与该第一认证参数获得用户标识之前,接收该ausf发送的n值。
在一种可能的设计中,该第一传输单元,还用于接收该用户设备发送的第一哈希值;
该第一处理单元,还用于使用该第一认证参数或第二认证参数,和该用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该第一传输单元,还用于接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
在一种可能的设计中,该第一传输单元,还用于接收用户设备发送的第一参数;该第一处理单元,还用于根据该ausf发送的第二认证参数或该用户设备发送的该第一认证参数,和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值;比较该参照值和该用户标识;若该参照值和该用户标识相同,则确定该用户标识与该用户设备中的用户标识相同。
第十一方面,基于与第二方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第二方面的描述此处不再赘述。装置包括:
第二传输单元,用于接收udm发送的用户标识和第三认证参数;以及将结果值发送给seaf;
第二处理单元,用于根据该第三认证参数与该用户标识获得结果值。
在一种可能的设计中,该第二传输单元在第二处理单元根据该第三认证参数与该用户标识获得结果值之前,确定需要该seaf发送认证确认消息。
在一种可能的设计中,该第二处理单元将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
在一种可能的设计中,该第二处理单元对该用户标识进行补位得到第三值,将该第三值与该第三认证参数进行异或运算后,获得该结果值,其中,该第三值的长度等于该第三认证参数的长度。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码,该第二处理单元从该第三认证参数中选择与该用户识别码长度相同的l个比特位;将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
在一种可能的设计中,该m个比特位为该第三认证参数中最高的m个比特位;或该m个比特位为该第三认证参数中最低的m个比特位;或该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
在一种可能的设计中,若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该第二传输单元根据该第三认证参数与该用户标识获得结果值之后,将n值发送给该seaf。
第十二方面,基于与第三方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第三方面的描述此处不再赘述。装置包括:
第三传输单元,用于接收该用户设备发送的第一哈希值,以及获得用户标识;
第三处理单元,用于使用该第一认证参数或第二认证参数,和获得的用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该第三传输单元接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
在一种可能的设计中,第四传输单元在获得的用户标识时,还用于接收ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
第十三方面,基于与第四方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第四方面的描述此处不再赘述。装置包括:
第四传输单元,用于接收用户设备发送的第一参数,以及获得用户标识;
第四处理单元,用于根据ausf发送的第二认证参数或该用户设备发送的第一认证参数,和第四认证参数生成第二参数,也就是说,根据该ausf发送的第二认证参数和第四认证参数生成第二参数,或根据该用户设备发送的该第一认证参数和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值;比较该参照值和该seaf获得的用户标识;若该参照值和该seaf获得的用户标识相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,第四传输单元在获得的用户标识时,还用于接收ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
第十四方面,基于与第五方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第五方面的描述此处不再赘述。装置包括:
第五处理单元,用于使用第一认证参数或第二认证参数,和该用户设备中的用户标识进行哈希运算,获得第一哈希值;
第五传输单元,用于将该第一哈希值发送给seaf。
第十五方面,基于与第六方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第六方面的描述此处不再赘述。装置包括:
第六处理单元,用于根据seaf发送的第二认证参数生成第四认证参数;根据第一认证参数或该第二认证参数,和该第四认证参数生成第三参数,也就是说,根据该第四认证参数和第一认证参数生成第三参数,或根据该第四认证参数和该第二认证参数生成第三参数;对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;
第六传输单元,用于将该第一参数发送给该seaf。
第十六方面,基于与第七方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第七方面的描述此处不再赘述。装置包括:
第七传输单元,用于接收ausf发送的结果值和用户设备发送的第二传输参数;
第七处理单元,用于对该结果值与第二传输参数进行异或运算,获得用户标识。
第十七方面,基于与第八方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第八方面的描述此处不再赘述。装置包括:
第八传输单元,用于接收udm发送的用户标识、第二认证参数和第五认证参数,以及;将该结果值发送给seaf;
第八处理单元,用于根据第五认证参数和第二认证参数生成第一传输参数;ausf对第一传输参数与用户标识进行异或运算后得的一个结果值。
第十八方面,基于与第九方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第九方面的描述此处不再赘述。装置包括:
第九传输单元,用于接收seaf发送的第二认证参数;以及发送该第二传输参数;
第九处理单元,用于利用第二认证参数和用户设备中保存的根密钥进行密钥推演生成第五认证参数;根据第五认证参数和第二认证参数生成第二传输参数。
第十九方面,基于与第一方面同样的发明构思,本申请实施例还提供了一种获得用户标识的装置,有益效果可以参见第一方面的描述此处不再赘述。该装置包括处理器,用于实现上述第一方面或第一方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第一方面或第一方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该装置与其它设备进行通信,该装置包括通信接口、存储器和处理器;
具体的,该通信接口,用于接收ausf发送的结果值;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:接收用户设备发送的第一认证参数;根据该结果值与该第一认证参数获得用户标识。
在一种可能的设计中,该处理器在根据该结果值与该第一认证参数获得用户标识时,将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
在一种可能的设计中,该处理器在根据该结果值与该第一认证参数获得用户标识时,将该结果值与该第一认证参数进行异或运算后得到第一值;在该第一值中选择或者去掉特定的比特位后获得该用户标识。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码,该处理器在根据该结果值与该第一认证参数获得用户标识时,从该第一认证参数中选择与该用户识别码长度相同的l个比特位;将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
在一种可能的设计中,该m个比特位为该第一认证参数中最高的m个比特位;或该m个比特位为该第一认证参数中最低的m个比特位;或该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
在一种可能的设计中,若该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位,该通信接口在该处理器根据该结果值与该第一认证参数获得用户标识之前,接收该ausf发送的n值。
在一种可能的设计中,通信接口,还用于接收该用户设备发送的第一哈希值;该处理器,还用于使用该第一认证参数或第二认证参数,和该用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该通信接口在该处理器使用该第一认证参数或第二认证参数,和该用户标识进行哈希运算之前,还用于:接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
在一种可能的设计中,该通信接口,还用于接收该用户设备发送的第一参数;
该处理器,还用于使用该ausf发送的第二认证参数或该用户设备发送的该第一认证参数,和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值,比较该参照值和该用户标识;若该参照值和该用户标识相同,则确定该用户标识与该用户设备中的用户标识相同。
第二十方面,基于与第二方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第二方面的描述此处不再赘述。该装置包括处理器,用于实现上述第二方面或第二方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第二方面或第二方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该装置与其它设备进行通信,该装置包括通信接口、存储器和处理器;
具体的,该通信接口,用于接收udm发送的用户标识和第三认证参数;将结果值发送给seaf;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:根据该第三认证参数与该用户标识获得结果值。
在一种可能的设计中,该通信接口在该处理器根据该第三认证参数与该用户标识获得结果值之前,确定需要该seaf发送认证确认消息。
在一种可能的设计中,该处理器在根据该第三认证参数与该用户标识获得结果值时,将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
在一种可能的设计中,该处理器在根据该第三认证参数与该用户标识获得结果值时,对该用户标识进行补位得到第三值,将该第三值与该第三认证参数进行异或运算后,获得该结果值,其中,该第三值的长度等于该第三认证参数的长度。
在一种可能的设计中,该用户标识包括用户识别码,该结果值包括匿名用户识别码,该处理器在根据该第三认证参数与该用户标识获得结果值时,从该第三认证参数中选择与该用户识别码长度相同的l个比特位;将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
在一种可能的设计中,该m个比特位为该第三认证参数中最高的m个比特位;或该m个比特位为该第三认证参数中最低的m个比特位;或该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
在一种可能的设计中,若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该通信接口在该处理器根据该第三认证参数与该用户标识获得结果值之前,将n值发送给该seaf。
第二十一方面,基于与第三方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第三方面的描述此处不再赘述。该装置包括处理器,用于实现上述第三方面或第三方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第三方面或第三方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该seaf与其它设备进行通信,该装置包括通信接口、存储器和处理器;
具体的,该通信接口,用于接收该用户设备发送的第一哈希值,以及获得用户标识;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:使用该第一认证参数或第二认证参数,和获得的用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该通信接口在该处理器根据该第一认证参数或第二认证参数与,获得的用户标识进行哈希运算之前,接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
在一种可能的设计中,该获得的用户标识为该seaf接收的该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
第二十二方面,基于与第四方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第四方面的描述此处不再赘述。该装置包括处理器,用于实现上述第四方面或第四方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第四方面或第四方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该装置与其它设备进行通信,该装置包括通信接口、存储器和处理器;
具体的,该通信接口,用于接收用户设备发送的第一参数,以及获得用户标识;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:根据ausf发送的第二认证参数或该用户设备发送的第一认证参数,和第四认证参数生成第二参数,也就是说,根据该ausf发送的第二认证参数和第四认证参数生成第二参数,或根据该用户设备发送的该第一认证参数和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值,比较该参照值和获得的用户标识;若该参照值和该获得的用户标识相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,所述通信接口在获得用户标识时,还用于接收该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
在一种可能的设计中,所述通信接口在获得用户标识时,还用于接收的该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
第二十三方面,基于与第五方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第五方面的描述此处不再赘述。该装置包括处理器,用于实现上述第五方面或第五方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第五方面或第五方面各个可能的设计的功能。该装置还可以包括收发机,该收发机用于该装置与其它设备进行通信,该装置包括收发机、存储器以及处理器;
具体的,该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:使用第一认证参数或第二认证参数,和该用户设备中的用户标识进行哈希运算,获得第一哈希值;该收发机,用于将该第一哈希值发送给seaf。
第二十四方面,基于与第六方面同样的发明构思,本申请实施例还提供了一种验证用户标识的装置,有益效果可以参见第六方面的描述此处不再赘述。该装置包括处理器,用于实现上述第六方面或第六方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第六方面或第六方面各个可能的设计的功能。该装置还可以包括收发机,该收发机用于该装置与其它设备进行通信,该装置包括收发机、存储器以及处理器;
具体的,该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:根据seaf发送的第二认证参数生成第四认证参数;根据第一认证参数或该第二认证参数,和该第四认证参数生成第三参数,也就是说,根据该第四认证参数和第一认证参数生成第三参数,或根据该第四认证参数和该第二认证参数生成第三参数;对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;该收发机,用于将该第一参数发送给该seaf。
第二十五方面,基于与第七方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第七方面的描述此处不再赘述。该装置包括处理器,用于实现上述第七方面或第七方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第七方面或第七方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该装置与其它设备进行通信,该装置包括通信接口、存储器以及处理器;
具体的,该通信接口,用于接收ausf发送的结果值和用户设备发送的第一传输参数;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:对该结果值与第一传输参数进行异或运算,获得用户标识。
第二十六方面,基于与第八方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第八方面的描述此处不再赘述。该装置包括处理器,用于实现上述第八方面或第八方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第八方面或第八方面各个可能的设计的功能。该装置还可以包括通信接口,该通信接口用于该装置与其它设备进行通信,该装置包括通信接口、存储器以及处理器;
具体的,该通信接口,用于接收udm发送的用户标识、第二认证参数和第五认证参数以及将结果值发送给seaf;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:根据第五认证参数和第二认证参数生成第一传输参数;对第一传输参数与用户标识进行异或运算后得的一个结果值。
第二十七方面,基于与第九方面同样的发明构思,本申请实施例还提供了一种传输用户标识的装置,有益效果可以参见第九方面的描述此处不再赘述。该装置包括处理器,用于实现上述第九方面或第九方面各个可能的设计的功能。该装置还可以包括存储器,用于存储程序指令和数据。该存储器与该处理器耦合,该处理器可以调用并执行该存储器中存储的程序指令,用于实现上述第九方面或第九方面各个可能的设计的功能。该装置还可以包括收发机,该收发机用于该装置与其它设备进行通信,该装置包括收发机、存储器以及处理器;
该收发机,用于接收seaf发送的第二认证参数;以及发送第二传输参数;该存储器,用于存储计算机程序;该处理器,用于调用该存储器中存储的计算机程序执行:利用第二认证参数和用户设备中保存的根密钥进行密钥推演生成第五认证参数;根据第五认证参数和第二认证参数生成第二传输参数。
第二十八方面,基于与第一、二方面同样的发明构思,本申请实施例还提供了一种传输用户标识的系统,该系统包括seaf和ausf,有益效果可以参见第一、二方面的描述此处不再赘述。
具体的,seaf,用于接收ausf发送的结果值;接收用户设备发送的第一认证参数;根据该结果值与该第一认证参数获得该用户标识;
ausf,用于接收udm发送的用户标识和第三认证参数;根据该第三认证参数与该用户标识获得结果值,将该结果值发送给该seaf。
第二十九方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第一方面及其第一方面任一可能的设计的方法。
第三十方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第二方面及其第二方面任一可能的设计的方法。
第三十一方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第三方面及其第三方面任一可能的设计的方法。
第三十二方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第四方面及其第四方面任一可能的设计的方法。
第三十三方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第五方面及其第五方面任一可能的设计的方法。
第三十四方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第六方面及其第六方面任一可能的设计的方法。
第三十五方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第七方面及其第七方面任一可能的设计的方法。
第三十六方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第八方面及其第八方面任一可能的设计的方法。
第三十七方面,本申请实施例中还提供一种计算机可读存储介质,包括程序指令,当其在计算机上运行时,使得计算机执行第九方面及其第九方面任一可能的设计的方法。
第三十八方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述方法中seaf的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第三十九方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述方法中ausf的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
第四十方面,本申请实施例提供了一种芯片系统,该芯片系统包括处理器,还可以包括存储器,用于实现上述方法中用户设备的功能。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件。
附图说明
图1为本申请提供的一种网络系统架构示意图;
图2为现有技术中的seaf对用户设备进行认证的示意图;
图3为本申请提供的第一种获得用户标识的方法流程示意图;
图4为本申请提供的第一种获得用户标识的方法流程示意图;
图5为本申请提供的第二种获得用户标识的方法流程示意图;
图6为本申请提供的第三种获得用户标识的方法流程示意图;
图7为本申请提供的第四种获得用户标识的方法流程示意图;
图8为本申请提供的第二种获得用户标识的方法流程示意图;
图9~图26分别为本申请提供的一种装置的结构示意图。
具体实施方式
为了使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施例作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。其中,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,需要理解的是,在本申请实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
参阅图1所示,为本申请适用的一种可能的网络架构示意图。该网络架构为5g网络架构。该5g架构中的网元包括用户设备,图2中以用户设备为ue为例。网络架构还包括(无线)接入网((radio)accessnetwork,(r)an)、amf、udm、ausf、seaf等。
(r)an的主要功能是控制用户通过无线接入到移动通信网络。(r)an是移动通信系统的一部分。它实现了一种无线接入技术。从概念上讲,它驻留在某个设备之间(如移动电话、一台计算机,或任何远程控制机),并提供与其核心网的连接。(r)an设备包括但不限于:5g中的(gnodeb,gnb)、enodeb、无线网络控制器(radionetworkcontroller,rnc)、节点b(nodeb,nb)、基站控制器(basestationcontroller,bsc)、基站收发台(basetransceiverstation,bts)、家庭基站(例如,homeevolvednodeb,或homenodeb,hnb)、基带单元(basebandunit,bbu)、传输点(transmittingandreceivingpoint,trp)、发射点(transmittingpoint,tp)、移动交换中心等,此外,还可以包括无线保真(wirelessfidelity,wifi)接入点(accesspoint,ap)等。
amf(accessandmobilityfunction,接入和移动性控制功能)负责终端的接入管理和移动性管理,如注册管理,连接管理,移动管理,可达性管理等;在实际应用中,其包括了lte中网络框架中移动性管理实体(mobilitymanagemententity,mme)里的移动性管理功能,并加入了接入管理功能。
ausf具有鉴权服务功能,用于终结seaf请求的认证功能,在认证过程中,接收udm发送的第一认证向量并对认证向量进行处理获得第二认证向量,并生成kseaf,将认证向量和kseaf发送给seaf。
udm可存储用户的签约信息,生成认证参数等。
ue可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。该用户设备可以是手机(mobilephone)、平板电脑(pad)、带无线收发功能的电脑、虚拟现实(virtualreality,vr)终端、增强现实(augmentedreality,ar)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smarthome)中的无线终端等。
其中,图1的架构中,与本申请有关的网元主要是:ue、ausf、udm以及seaf。
seaf和ausf可以位于同一个网络中,例如seaf和ausf均位于归属公共陆地移动网(homepubliclandmobilenetwork,hplmn);seaf和ausf也可以位于不同的网络中,例如,seaf位于拜访公共陆地移动网(visitedpubliclandmobilenetwork,vplmn)中,ausf位于hplmn中,若ue在hplmn的覆盖范围之外则无法直接接入hplmn获取服务,若ue在hplmn的覆盖范围之外,vplmn的覆盖范围之内,ue为了能够获取vplmn和hplmn提供的网络服务,则需要接入vplmn;由于vplmn并未与所述ue签约,为了能够认证ue并提供网络服务,hplmn中的ausf需要将用户标识以及认证向量传输给vplmn中的seaf。为了方便区分,将vplmn简称为拜访网络,将hplmn简称为归属网络。
如图2所示为如图1所示的系统框架中,传输认证向量和用户标识的方法示意图。
步骤201:ue对用户标识加密;
步骤202:ue将加密后的用户标识包含在注册请求中发送给拜访网络中的seaf;
步骤203:为了从归属网络中获取ue的认证向量和用户标识,seaf将加密后的用户标识发送给归属网络中的ausf;
步骤204:归属网络中的ausf将加密后的用户标识发送给归属网络中的udm;
步骤205:udm对加密后的用户标识进行解密获取用户标识,udm根据用户标识查询该用户标识对应的ue的签约信息,根据该签约信息生成多个认证参数,其中认证参数包括认证令牌(authenticationtoken,antu),rand,xres*、kausf;上述antu、rand、xres*、kausf构成第一认证向量;
步骤206:udm将第一认证向量和用户标识发送给ausf;
步骤207:ausf对第一认证向量进行进一步处理,例如对xres*和rand进行哈希运算,生成hxres*,根据kausf进行推演生成kseaf,之后将hres*、kseaf、rand、antu作为第二认证向量;
步骤208:ausf将第二认证向量和用户标识发送给seaf,第二认证向量包括rand、autn、hxres*和kseaf;
步骤209:seaf向ue发送认证请求,其中,该认证请求中携带认证向量中的部分认证参数,该部分认证参数包括rand、autn;
步骤210:ue验证认证请求后,生成res*,并生成kausf和kseaf;
步骤211:ue将res*包含在认证响应中,发送给seaf;
步骤212:seaf将认证响应中包含的res*和seaf在步骤208中从ausf获得的rand进行哈希运算之后生成hres*,将hres*与ausf发送的认证向量中的hxres*进行比对,结果若一致,则对ue的认证成功;
步骤213:seaf将ue返回的res*转发给ausf,由ausf进行下一步的验证。
在上述过程中,为了ue在处于拜访网络的覆盖范围时接受网络服务,ausf在用户认证过程中会将用户标识发送给seaf,由此并不能对用户标识进行很好的保护,当ue并未在拜访网络的覆盖范围内时,seaf也可以将截获的加密后的用户标识发送给ausf,之后ausf会将用户标识返回给seaf,也就是说,无论ue是否真正接入,seaf总会获得真实的用户标识,导致用户标识的泄露,对ue的信息安全造成威胁;同时在上述过程中,seaf并不能对确定该ausf发送的用户标识是否与ue的用户标识一致,进而无法确定ausf发送的用户标识的真实性。
本申请提供了一种获得用户标识的方法及装置,用以解决现有技术中用户标识易泄露,对ue的信息造成威胁的问题。
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
1、用户标识,用户标识为用户与归属网络运营商签约时由归属网络为用户,即签约者,分配的唯一的签约标识,udm可以根据用户标识确定对应的签约信息。在5g网络中,该用户标识可以是签约固定标识(subscriptionpermanentidentifier,supi),在通用移动通信系统(universalmobiletelecommunicationssystem,umts),长期演进(longtermevolution,lte)网络中,该用户标识可以是国际移动用户识别码(internationalmobilesubscriberidentificationnumber,imsi)该用户标识也可以是ims网络中的用户标识或签约标识。
用户标识存储在用户设备中,以及归属网络运营商中的网络侧设备中,例如可以udm中存储的用户标识,其中,该用户设备可以包括移动设备(mobileterminal,me)和通用集成电路卡(universalintegratedcircuitcard,uicc),则该me中的用户标识,可以是该移动设备中保存的用户标识,或者该uicc中保存的用户标识。
2、用户识别码、匿名用户识别码,用户识别码为用户标识中一个组成部分,该用户识别码用于识别用户签约的归属网络中的用户,在用户标识中占用一定的比特;而利用第一认证参数中的l个比特位与用户标识中的用户识别码进行异或运算后的值为匿名用户标识码。
3、最高的m个比特位,最低的m个比特位,对于第一认证参数和第三认证参数中,存在最重(mostsignificant)比特位和最轻(leastsignificant)比特位,以最重比特位为起始的m个比特位为最高的m个比特位,以最轻比特位为起始的m个比特位为最低的m个比特位。
4、多个,两个或两个以上。
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述。为了方便说明,本申请以res*为第一认证参数,rand为第二认证参数,xres*为第三认证参数,kseaf为第四认证参数,kausf为第五认证参数为例,对本申请的方案进行说明,需要说明的,本发明实施例涉及的认证参数(第一认证参数、第二认证参数、第三认证参数以及第四认证参数第五认证参数)并不限于上述列举的参数,还可以是其他参数,本发明实施例涉及的seaf、ausf、udm,可以是独立的实体装置,也可以是具有逻辑功能的模块,本发明不做限定。其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
如图3所示,为本发明实施例提供的一种获得用户标识的方法,该方法包括:
步骤301:ausf接收udm发送的用户标识和第三认证参数;
步骤302:ausf根据该第三认证参数与该用户标识获得结果值;
步骤303:ausf将该结果值发送给seaf;
步骤304:seaf接收ausf发送的结果值;
步骤305:seaf根据该结果值与该用户设备发送的第一认证参数获得用户标识。
在步骤302中,该ausf对第三认证参数和用户标识,获得结果值之前,还可以包括,先确定是否需要该seaf发送认证确认消息;当用户设备接入到拜访网络时,拜访网络中的seaf需要通过与用户设备已签约的归属网络中的ausf获取认证用户设备的相关信息,此时seaf与ausf所属网络为不同的网络,ausf为了确保用户设备真实接入了seaf所在的网络,则需要seaf在认证用户设备后发送认证确认消息,在这种情况下,ausf不直接将用户标识发送给seaf;若seaf与ausf属于同网设备,seaf为可信任设备,ausf可以直接将用户标识发送给seaf。
需要说明的是,ausf也可以不确定是否需要该seaf发送认证确认消息,均对该第三认证参数与该用户标识进行异或运算后获得结果值,将该结果值发送给该seaf。
若该ausf确定需要该seaf发送认证确认消息,则ausf对第三认证参数和用户标识进行异或运算,获得结果值,之后再将结果值发送给该seaf。ausf在给seaf发送结果值时,可以单独将结果值发送给seaf,也可以与第二认证向量、用于指示seaf发送认证确认消息的信息一起发送给seaf。
ausf根据第三认证参数与该用户标识获得结果值,将该结果值发送给该seaf,seaf根据该结果值与ue发送的第一认证参数获得用户标识。ausf不会直接将用户标识发送给seaf,seaf需要从ausf获得结果值以及接收ue发送的第一认证参数,才能获得用户标识,使得用户标识在传输过程中不易被窃取,进一步保证了用户设备的信息安全。
具体的,在该ausf根据该第三认证参数与该用户标识获得结果值时,可以采用如下三种方式获得结果值:
第一种,ausf将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
在两个参数在进行异或运算时,需要保证进行异或运算的两个参数的长度是一样,也就是说,两个参数的比特数目相同,ausf需要从第三认证参数中选取m个比特位。
例如,用户标识为1100011,第三认证参数为11001111000,用户标识的长度为7个比特,则需要从第三认证参数中选取7个比特位,若从第三认证参数左起第一位,也就是最高的比特位为起始,则选取7个比特位为1100111,用户标识1100011与选取的7个比特位1100111进行异或运算,在进行异或运算时,若同一个位置的数值相同则为0,同一位置的数值不同则为1,如用户标识中第一个比特位为1,选取的7个比特位中的第一个比特位为1,则异或后的数值为0,如用户标识中第五个比特位为0,选取的7个比特位中的第五个比特位为1,则异或后的数值为1,故用户标识1100011与选取的7个比特位1100111进行异或运算后得到的结果值为0000100。
可选的,m个比特位,可以是ausf从第三认证参数中随机选取的,也可以是按照一定的规则从第三认证参数中选取的,选取的m个比特位可以是连续的,也可以是非连续的。
可选的,m个比特位在该第三认证参数中的位置,可以为如下三种情况中的一种:
情况一:该m个比特位为该第三认证参数中最高的m个比特位。
对于第三认证参数,包含有多个比特位,可以从最高比特位开始,连续选取m个比特位,使得选取的m个比特位与该用户标识的长度是相同的。最高比特位为最重(mostsignificant)比特位。示例的,如果第三认证参数为01101010011,则开始的第一个比特位最高比特位,最后一个比特位为最轻(leastsignificant)比特位,选取m个比特位时,可以第一个比特位0开始选取连续的m个比特位,若m为3时,则选取的比特位为011,若m为7,则选取的比特位为0110101。
情况二:该m个比特位为该第三认证参数中最低的m个比特位。
对于第三认证参数,包含有多个比特位,可以从最低比特位开始,向最高比特位方向连续选取m个比特位,使得选取的m个比特位与该用户标识的长度是相同的。例如,如果第三认证参数为01101010011,则开始的第一个比特位为最高比特位,最后一个比特位为最轻(leastsignificant)比特位,选取m个比特位时,可以最后一个比特位1向前开始选取连续的m个比特位,若m为3时,则选取的比特位为011,若m为7,则选取的比特位为1010011。
情况三:该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
在从第三认证参数中选取m个比特位时,也可以不从最高比特位或最低比特位开始,从第三认证参数中间位置的一个比特位为起始选取m个比特位,例如,可以选择偏移最高比特位的n个比特之后的m个比特位,以偏移最高比特位的n个比特的比特位为起始选取,n值为偏移量;当然,也可以选择偏移最低比特位的n个比特之前的m个比特位。
例如,如果第三认证参数为01101010011,可以选择偏移最高比特位0的3个比特之后的3个比特位,以偏移最高比特位0的3个比特的比特位0为起始选取,3为偏移量,选取的3个比特位010;当然,也可以选择偏移最低比特位1的3个比特前的3个比特位,3为偏移量,选取3个比特位010。
上述三种情况仅是举例说明,只需从第三认证参数中选取的m个比特位与用户标识的长度相同即可,当然,也可以采用其他方式从第三认证参数中选取该m个比特位,凡是能够从第三认证参数中选取与用户标识长度相同的m个比特位的方式均适用于本发明实施例。
需要说明的是,m个比特位在第三认证参数中的位置可以是ausf与seaf已约定好的,以便该seaf在根据结果值和用户设备发送的第一认证参数获取用户标识时,能采用相同的方式从第一认证参数中选取与用户标识长度相同的m个比特位。也可以不进行约定,而将m个比特位在第三认证参数中的位置,选取m个比特位时的起始位置、偏移量等相关信息发送给seaf,以便该seaf根据该相关信息,采用相同的方式从第一认证参数中确定与用户标识长度相同的m个比特位;若需要将m个比特位在第三认证参数中的位置,选取m个比特位时的起始位置、偏移量等相关信息发送给seaf,此处对信息包含的内容、信息的表征方式不进行限定,凡是能够使得seaf能够获知m个比特位在第一认证参数中的位置信息的方式均适用于本发明实施例。
具体的,若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该ausf根据该第三认证参数与该用户标识获得结果值之后,该ausf可以将n值发送给该seaf。例如,从第三认证参数中选择m个比特位,是选择偏移最高比特位的3个比特之后的m个比特位,则3为偏移量,可以将3发送给该seaf。
当从第三认证参数中选取偏移最高比特位的n个比特后m个比特位时,n值可以作为偏移量,将n值发送给seaf,发送的方式可以是将n值与结果值一同发送,也可以单独将n值发送给seaf。只需保证seaf在从第一认证参数中选取与用户标识相同的m个比特位时,已接收到n值,可以根据接收到的n值从第一认证参数中选取与用户标识长度相同的偏移最高比特位n个比特后的m个比特位。
第二种、该ausf对该用户标识进行补位得到第三值,该ausf将该第三值与该第三认证参数进行异或运算后,获得该结果值,其中,该第三值的长度等于该第三认证参数的长度。
为保证进行异或运算的两个参数的长度是相同的,当用户标识的长度小于该第三认证参数时,可以对用户标识进行补位,其中,补位的方式有许多种,例如ausf可以在用户标识的最高比特位之前补位,也可以在用户标识的最低比特位之后补位,也可以在用户标识的中间位置进行补位,具体的,补位的数值可以为0,也可以为1,也可以是预设的序列。
例如,用户标识为1100011,第三认证参数为11001111000,用户标识的长度小于第三认证参数的长度,相差4个比特,若在用户标识的最高比特位之前补位,其补位的数值为0,则补位后得到的第三值为00001100011,第三值00001100011与第三认证参数11001111000进行异或运算,相同位置上的数值一样,则在该位置上异或得到的值为0,否则为1,故得到的结果值为11000011011;若在用户标识的最低比特位之后补位,其补位的数值为1,则补位后得到的第三值为11000111111,第三值11000111111与第三认证参数11001111000进行异或运算,相同位置上的数值一样,则在该位置上异或得到的值为0,否则为1,故得到的结果值为00001000111。
补位的方式、补位的位置、补位的数值可以是ausf与seaf预先约定好的,以便该seaf根据结果值和第一认证参数获得用户标识时,能采用对应的方式对结果值和第一认证参数进行异或运算后得到的第一值选择或去掉特定的比特位。也可以不进行约定,而将补位的方式、补位的位置、补位的数值等相关信息发送给seaf,以便该seaf根据选补位的方式、补位的位置、补位的数值等相关信息,采用相应的方式对结果值和第一认证参数进行异或运算后得到的第一值选择或去掉特定的比特位。此处对信息包含的内容、信息的表征方式不进行限定,凡是能够使得seaf能够获知ausf对用户标识的补位方式、补位的位置及补位的数值的方式均适用于本发明实施例。
例如,该ausf在对用户标识进行补位时,采用在用户标识的最高比特位前补了n个0得到第三值,若ausf与seaf已经约定补位方式,则可以不将补位方式、补位的位置、补位的数值发送给seaf,seaf对ausf发送的结果值和用户设备发送的第一认证参数进行异或运算,采用相应的方式,将进行异或运算得到的第一值去掉最高比特位的n个0,或在第一值中选择除最高比特位的n个0外的剩余比特位;若ausf与seaf未约定补位方式,则需要将补位方式、补位的位置、补位的数值发送给seaf,以使seaf采用相应的方式,将进行异或运算得到的值去掉最高比特位的n个0,或在第一值中选择除最高比特位的n个0外的剩余比特位;也就是说ausf对用户标识进行补位与seaf对结果值和第一认证参数进行异或运算得到的值去掉比特位的方式是互逆的,ausf补的比特位,在seaf会将结果值和第一认证参数进行异或运算得到的第一值中相应位置的比特位去掉,或从第一值中选择除相应位置的比特位外的剩余比特位。
第三种、若该用户标识包括用户识别码,该结果值包括匿名用户识别码,该ausf从该第三认证参数中选择与该用户识别码长度相同的l个比特位;该ausf将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;该ausf使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
用户标识通常包含多个组成部分,示例的,其中可以包含有用户识别码、移动国家码(mobilecountrycode,mcc)和移动网络码(mnc),其中,该用户识别码用于识别用户签约的归属网络中的签约用户,移动国家码表征用户签约的归属网络所属国家的标识信息,移动网络码表征用户签约的归属网络的网络标识信息;移动国家码和移动网络码并不是特定与一个用户或用户签约关联的标识信息而只与用户签约的网络和网络所属的国家有关,只要是所属国家相同,则移动国家码相同;签约的网络相同,则移动网络码也相同;在移动国家码(mobilecountrycode,mcc)和移动网络码(mnc)可以已获知或可以确定的情况下,ausf可以只对用户标识中与用户或用户签约相关的用户识别码进行处理。
ausf可以从第三认证参数中选取与该用户识别码长度相同的l个比特位,其中选取的方式有多种,可以参见第一种方式中列举的从第三认证参数中选取的m个比特位的三种情况,此处不在赘述。
例如,用户标识包含有mcc、mnc和用户识别码,mcc位于用户标识的最高8个比特上,用户识别码位于用户标识的最后3个比特上,若用户标识为0100011000110,则mcc为01000110,mnc为00,用户识别码为110,当第三认证参数为11001111000时,若从第三认证参数中选取最高的3个比特位110,3个比特位110与用户识别码110进行异或运算,相同位置上的数值相同,在该位置上异或得到的值为0,否则为1,则进行异或运算后的值为000,作为匿名用户识别码;使用匿名用户识别码000替换用户识别码110得到结果值0100011000000;若从第三认证参数中选取最低的3个比特位000,3个比特位000与用户识别码110进行异或运算,相同位置上的数值相同,在该位置上异或得到的值为0,否则为1,则进行异或运算后的值为110,作为匿名用户识别码;使用匿名用户识别码110替换用户识别码110得到结果值0100011000110。
需要说明的是,当第三认证参数的长度不小于该用户标识的长度时,可以采用上述三种方式;当第三认证参数的长度小于用户标识的长度时但是不小于用户识别码的长度时,则无法采用前两种方式,可以采用第三种方式。
对于第三认证参数的长度小于用户标识的长度的情况,该ausf可以对该第三认证参数进行补位得到第四值,第四值的长度等于该用户标识的长度,将该第四值与该用户标识进行异或运算获得结果值。
其中,对第三认证参数补位的方式可以参见第二种方式中对用户标识进行补位的方式,此处不再赘述。
例如,用户标识为1100011,第三认证参数为110011,用户标识的长度大于第三认证参数的长度,相差1个比特,若在第三认证参数的最高比特位之前补位,其补位的数值为0,则补位后得到的第四值为0110011,第四值0110011与用户标识1100011进行异或运算,相同位置上的数值一样,则在该位置上异或得到的值为0,否则为1,则得到的结果值为1110000;若在第三认证参数的最低比特位之后补位,其补位的数值为1,则补位后得到的第四值为1100111,第四值1100111与用户标识1100011进行异或运算,相同位置上的数值一样,则在该位置上异或得到的值为0,否则为1,则得到的结果值为0000100。
当根据用第三认证参数与该用户标识获得结果值后,将该结果值发送给seaf。
之后,用户设备生成第一认证参数,将生成的第一认证参数发送给seaf,使得seaf可以根据接收到的第一认证参数和结果值获得用户标识。
在步骤305中,在两个参数在进行异或运算时,需要保证进行异或运算的两个参数的长度是一样,也就是说,两个参数的比特数目相同,为了获得用户标识,seaf可采用如下三种方式:
第一种、该seaf将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
在两个参数在进行异或运算时,需要保证进行异或运算的两个参数的长度是一样,也就是说,两个参数的比特数目相同,seaf需要从第一认证参数中选取m个比特位。
例如,若结果值为0000100,第一认证参数为11001111000,用户标识的长度为7个比特,则需要从第一认证参数中选取7个比特位,若从第一认证参数左起第一位,也就是最高的比特为选取7个比特位为1100111,结果值0000100与选取的7个比特位1100111进行异或运算,得到的值为1100011,作为用户标识。
可选的,m个比特位,可以是seaf从第一认证参数中随机选取的,也可以是按照一定的规则选取从第一认证参数中的,选取的m个比特位可以是连续的,也可以是非连续的。
可选的,m个比特位在该第一认证参数中的位置,可以为如下三种情况中的一种:
情况一、该m个比特位为该第一认证参数中最高的m个比特位;
对于第一认证参数,包含有多个比特位,可以从最高比特位开始,连续选取m个比特位,使得选取的m个比特位与该用户标识的长度是相同的。最高比特位为最重(mostsignificant)比特位。
情况二、该m个比特位为该第一认证参数中最低的m个比特位。
对于第一认证参数,包含有多个比特位,可以从最低比特位开始,向最高比特位方向连续选取m个比特位,使得选取的m个比特位与该用户标识的长度是相同的。使得选取的m个比特位与该用户标识的长度是相同的。
情况三、该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
在从第一认证参数中选取m个比特位时,也可以不从最高比特位或最低比特位开始,从第一认证参数中间位置的一个比特位为起始选取m个比特位,例如,可以选择偏移最高比特位的n个比特之后的m个比特位,以偏移最高比特位的n个比特的比特位为起始选取,n值为偏移量;当然,也可以选择偏移最低比特位的n个比特之后的m个比特位。
上述三种情况仅是举例说明,m个比特位在第一认证参数中的位置可以有许多种,凡是m个比特位与用户标识的长度相同均适用于本发明实施例。
需要说明的是,当ausf在对第三认证参数和用户标识进行异或运算时,是从该第三认证参数中选择与该用户标识长度相同的m个比特位,则seaf在对第一认证参数和用户标识进行异或运算时,可以对应的采用从第一认证参数中选择与该用户标识长度相同的m个比特位。选取m个比特位的方式可以采用相同的方式。例如,在ausf中m比特位为第三认证参数中的最高的m个比特位,则seaf时m比特位也为第一认证参数中的最高的m个比特位。
需要说明的是,m个比特位的起始位置、偏移量等信息可以是ausf与seaf已约定好的,以便该ausf确定第三认证参数中的m个比特位与该seaf确定第一认证参数中的m个比特位时采用的方式是相同的;也可以不进行约定,而由ausf将m个比特位的起始位置、偏移量等信息发送给seaf,以便该ausf从第三认证参数中选取m个比特位与该seaf从第一认证参数中选取m个比特位时采用的方式是相同的。
具体的,若m个比特位为该第一认证参数中偏移最高比特位n个比特后的m个比特位,则该seaf根据该结果值与该第一认证参数获得该用户标识之前,该seaf接收该ausf发送的n值。例如,接收到的n值为3,3为偏移量,则说明从第一认证参数中选择m个比特位时,选择偏移最高比特位的3个比特之后的m个比特位。
第二种、该seaf将该结果值与该第一认证参数进行异或运算后得到第一值;该seaf在该第一值中选择或者去掉特定的比特位后获得该用户标识。
当该结果值与该第一认证参数进行异或运算后得到的值的长度比用户标识的长度的大,则可以将在第一值中选择或去掉特定的比特位后,获得用户标识。
其中,在该结果值与该第一认证参数进行异或运算后得到的第一值中去掉或选择特定的比特位时,具体到去掉哪些特定的比特位或选择哪些比特位可以是ausf与seaf已约定的,也可以不进行约定,而由ausf将相关信息发送给seaf。
例如,若结果值为11000011011,第一认证参数为11001111000,结果值11000011011与第一认证参数11001111000进行异或运算后得到的第一值为00001100011,若seaf在对用户标识进行补位时,是在用户标识的最高比特为之前补位,且补位的数值均为0,补位的个数为4,则可以去掉第一值中最高4个比特位,得到1100011,作为用户标识;若结果值为00001000111,第一认证参数为11001111000,结果值为00001000111与第一认证参数11001111000进行异或运算后得到的第一值为11000111111,若seaf在对用户标识进行补位时,是在用户标识的最低比特为之后补位,且补位的数值均为1,补位的个数为4,则可以去掉第一值中最低的4个比特位,得到1100011,作为用户标识。
具体的,当ausf根据第三认证参数和用户标识获得结果值时,需要对用户标识进行补位,ausf可以将对用户标识进行补位的方式、补位的位置、补位的数值等相关信息发送给seaf,如此对seaf可以对结果值与该第一认证参数进行异或运算后得到的值,根据ausf发送的补位的方式、补位的位置、补位的数值等相关信息去掉或选择特定的比特位。
例如,当seaf在去掉特定比特位时,ausf发送的补位的方式、补位的位置、补位的数值等相关信息,seaf可以获知ausf在对用户标识进行补位时是在用户标识的最高比特位前补了n个0,seaf可以将该结果值与该第一认证参数进行异或运算后得到的第一值去掉最高比特位的n个0后作为用户标识,或在第一值中选择除最高比特位的n个0外的剩余比特位作为用户标识。
第三种、该用户标识包括用户识别码,该结果值包括匿名用户识别码,该seaf从该第一认证参数中选择与该用户识别码长度相同的l个比特位;该seaf将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;该seaf使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
seaf从该第一认证参数选取与该用户标识中用户识别码长度相同的l个比特位时,其中,选取的方式有许多中,可参见第一方式中seaf从第一认证参数选取m个比特位的方式,此处不再赘述,选取的方式可以是与ausf已约定好的,也可以不约定,而由ausf将选取的方式、选取的起始位置、偏移量等相关信息发送给seaf,seaf根据选取的方式、选取的起始位置、偏移量等相关信息选择相同的方式从该第一认证参数中选择与该用户标识包含的用户识别码长度相同的比特位。
例如,若第一认证参数为11001111000,结果值0100011000000;,结果值包括的匿名用户识别码位于结果值最低的3个比特位,则结果值0100011000000中的匿名用户识别码为000,若从第一认证参数中选取最高的3个比特位110,3个比特位110与匿名用户识别码000进行异或运算,相同位置上的数值相同,在该位置上异或得到的值为0,否则为1,则进行异或运算后的值为110,作为第二值;使用第二值110替换匿名用户识别码000得到用户标识0100011000110;若第一认证参数为11001111000,结果值0100011000110,结果值包括的匿名用户识别码位于结果值最低的3个比特位,则结果值1110011中的匿名用户识别码为110,若从第一认证参数中选取最低的3个比特位000,3个比特位000与匿名用户识别码110进行异或运算,相同位置上的数值相同,在该位置上异或得到的值为0,否则为1,则进行异或运算后的值为110,作为第二值;使用第二值110替换匿名用户识别码000得到用户标识0100011000110。
需要说明的是,当第一认证参数的长度不小于该用户标识的长度时,可以采用上述三种方式;当第一认证参数的长度小于用户标识的长度时但是不小于匿名用户识别码的长度时,则无法采用前两种方式,可以采用第三种方式。
对于第一认证参数的长度小于用户标识的长度的情况,seaf在接收到结果值后,可以对第一认证参数进行补位后得到第五值,第五值与该结果值进行异或运算后获得用户标识,其中补位的方式可以是seaf与ausf已约定好的,也可以由ausf将补位的方式、补位的位置、补位的值的相关信息发送给seaf根据补位的方式、补位的位置、补位的值的相关信息采用相同的方式对第一认证参数进行补位。
例如,若结果值为1110000,第一认证参数为110011,用户标识的长度大于第三认证参数的长度,相差1个比特,若在第三认证参数的最高比特位之前补位,其补位的数值为0,则补位后得到的第五值为0110011,第五值0110011与结果值1110000进行异或运算,则得到的值1100011,作为用户标识;若结果值为0000100,第一认证参数为110011,用户标识的长度大于第三认证参数的长度,相差1个比特,若在第三认证参数的最低比特位之后补位,其补位的数值为1,则补位后得到的第五值为1100111,第五值1100111与结果值0000100进行异或运算,则得到的值1100011,作为用户标识。
通过步骤301到步骤305,seaf可以获得用户标识,但seaf获得的用户标识是由ausf发送给seaf的结果值确定的,seaf无法确定获得的用户标识与用户设备中的用户标识是否一致。
当ausf将用户标识发送给seaf时,或者seaf根据ausf发送的结果值和第三认证参数获得用户标识时,seaf获得的用户标识事实上都是由ausf发送的信息确定的,seaf并不能确定获得的用户标识是否与用户设备中的用户标识一致,即便ausf发送的用户标识是错误的,seaf也无法验证获得的用户标识的真实性。
本申请提供了一种验证用户标识的方法,用以解决现有技术中seaf无法确定ausf发送的用户标识真实性的问题。
本申请中,seaf通过比较用户设备发送的第一哈希值,与自身通过获得的用户标识确定的第二哈希值,验证获得的用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间也不需要传输用户标识,而是传输哈希值;或者,seaf通过比较根据用户设备发送的第一参数确定的参照值,与获得的用户标识,验证获得用户标识是否与该用户设备中的用户标识相同,在用户设备与seaf之间不需要传输用户标识,而是传输第一参数,能够较为安全的传递与用户标识相关的数据,同时也能够达到验证用户标识的效果。
本发明提供了四种验证用户标识的实施例,下面分别进行介绍:
实施例一:
如图4所示,本发明实施例提供的第一种验证用户标识的方式,该方法包括:
步骤401:用户设备使用第一认证参数和该用户设备中的用户标识进行哈希运算,获得第一哈希值;
步骤402:用户设备将该第一哈希值发送给seaf;
步骤403:seaf使用该第一认证参数和获得的用户标识进行哈希运算,获得第二哈希值;
步骤404:seaf比较第一哈希值与第二哈希值,若相同,则确定该获得的用户标识与用户设备中的用户标识相同。
用户设备在生成第一认证参数后,可以将第一认证参数与用户设备中的用户标识进行哈希运算,其中哈希运算的方式有许多种,此处不做限定,凡是能够对两个参数进行运算的哈希运算均适用于本发明实施例。
具体的,当用户设备在使用第一认证参数和用户设备中的用户标识进行哈希运算时,可以将第一认证参数和用户设备中的用户标识进行串联之后作为哈希运算的输入参数,计算第一哈希值。即输入参数可以为第一认证参数||用户设备中的用户标识。
需要说明的是,用户设备使用第一认证参数和用户设备中的用户标识进行的哈希运算与seaf利用第一认证参数与该seaf获得的该用户标识与进行的哈希运算应相同,如此才能保证,seaf获得的该用户标识和用户设备中的用户标识相同,是真实的用户标识。。
用户设备获得第一哈希值之后将第一哈希值发送给seaf,其中用户设备也需要将第一认证参数发送给seaf,用户设备可以将第一认证参数和第一哈希值一同发送给seaf,也可以分别发送。
由于哈希运算为一个不可逆运算,即便有恶意设备获取了用户设备发送的第一认证参数和第一哈希值,也无法从中获得用户标识,进一步,可以保证用户标识的安全性。
seaf接收到用户设备发送的第一认证参数和第一哈希值之后,可以对第一认证参数与seaf已获得的用户标识进行相同的哈希运算,得到第二哈希值。
seaf比较第一哈希值与第二哈希值,确定比较结果,若第一哈希值和第二哈希值相同,则可以确定seaf获得的用户标识与该用户设备中的用户标识相同,之后seaf允许用户设备接入;若第一哈希值和第二哈希值不同,则可以确定seaf获得的用户标识与该用户设备中的用户标识不同,seaf获得的用户标识是错误的。
该seaf根据该第一认证参数与获得的该用户标识进行哈希运算之前,该seaf需接收到该用户设备发送的第一认证参数。
实施例二:
如图5所示,本发明实施例提供了第二种验证用户标识真实性的方法,该方法包括:
步骤501:该用户设备使用该seaf发送的第二认证参数和该用户设备中的用户标识进行哈希运算,获得第一哈希值;
步骤502:该用户设备将该第一哈希值发送给seaf;
步骤503:该seaf使用该ausf发送的第二认证参数和该seaf获得的用户标识进行哈希运算,获得第二哈希值;
步骤504:该seaf比较第一哈希值与第二哈希值,若该第一哈希值与该第二哈希值相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
在现有的认证过程中seaf接收到ausf发送的第二认证向量后,会将第二认证向量中的部分参数发送给用户设备,其中部分参数会包括第二认证参数。
用户设备使用第二认证参数与用户设备中的用户标识进行哈希运算,获得第一哈希值,之后将第一哈希值发送给seaf;seaf可以将ausf发送的第二认证向量中包含的第二认证参数与该seaf获得的该用户标识进行和用户设备一侧相同的哈希运算,得到第二哈希值。
其中,用户设备使用第二认证参数与用户设备中的用户标识进行哈希运算,哈希运算的方式有许多种,此处不做限定,凡是能够对两个参数进行运算的哈希运算均适用于本发明实施例。
具体的,当用户设备在使用第二认证参数和用户设备中的用户标识进行哈希运算时,可以将第二认证参数和用户设备中的用户标识进行串联之后作为哈希运算的输入参数,计算第一哈希值。即输入参数可以为第二认证参数||用户设备中的用户标识。
该seaf接收到第一哈希值后,比较第一哈希值与第二哈希值,若第一哈希值和第二哈希值相同,则可以确定seaf获得的用户标识与该用户设备中的用户标识相同,之后seaf允许用户设备接入;若第一哈希值和第二哈希值不同,则可以确定seaf获得的用户标识与该用户设备中的用户标识不同,seaf获得的用户标识是错误的。
该seaf使用第二认证参数和获得的该用户标识进行哈希运算之前,该seaf需接收到该ausf发送的该第二认证参数。
实施例三:
如图6所示,本发明实施例提供了第三种验证用户标识的方法,该方法包括:
步骤601:用户设备根据seaf发送的第二认证参数生成第四认证参数;
步骤602:用户设备根据第一认证参数和第四认证参数生成第三参数;
步骤603:用户设备对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;
步骤604:用户设备将该第一参数发送给该seaf;
步骤605:seaf根据该ausf发送的第四认证参数和该用户设备发送的第一认证参数生成第二参数;
步骤606:seaf对该第二参数与该第一参数进行异或运算后得到参照值;
步骤607:seaf比较该参照值和获得的用户标识;若该参照值和该获得的用户标识相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
用户设备在接收到seaf发送的第二认证参数时,用户设备利用第二认证参数和用户设备中保存的根密钥(如k/ki)进行密钥推演生成kausf,并根据kausf进一步推演出第四认证参数,并根据第一认证参数和第四认证参数(生成第三参数,此处对生成第三参数的方式不进行限定,可以采用哈希运算,也可以采用其他运算,此处需要说明的是,由于第三参数之后需要与用户标识进行异或运算,故在生成第三参数时,可以考虑能够使得生成的第三参数的长度与该用户标识长度相同的运算。
若生成的第三参数与该用户设备中的用户标识的长度不同,可以参考如图3该的方法中,第三认证参数与用户标识进行异或运算时对第三认证参数或用户标识的处理方式,只要保证进行异或运算的两个参数长度相同即可,例如从第三参数中选取m比特位,对用户标识进行补位,对第三参数进行补位等方式,具体参见前述说明,此处不在赘述,但无论对生成的第一参考值或用户标识进行何种方式的处理,用户设备与seaf都需要获知m个比特的选取方式或者补位方式的相关信息,以使得seaf可以采用相应的方式对生成的第三参数进行处理,例如可以事先进行约定,也可以由用户设备将相关信息发送给seaf。
用户设备之后将第三参数与用户设备中的用户标识进行异或运算,进行异或运算后的值作为第一参数,之后将第一参数发送给seaf。
用户设备在发送第一参数时,可以单独发送,也可以与该第一认证参数一同发送给seaf。
该seaf可以根据第四认证参数与第一认证参数也采用与用户设备一侧相同的方式,生成第二参数,seaf将生成的第二参数与第一参数进行异或运算后得到参照值,对该参照值与获得的用户标识进行比较。
需要说明的是,由于seaf利用第四认证参数与第一认证参数生成的参数的方式与用户设备利用第四认证参数与第一认证参数生成的参数的方式相同,生成的参数应该是相同的,但为了区别生成参数的执行主体不同,将seaf生成的参数用第二参数表示,将用户设备生成的参数用第三参数表示。
事实上,生成的第二参数与第一参数进行异或运算得到的参照值,应该与用户设备中的用户标识是相同的,故此时比较的是用户设备中的用户标识和seaf获得的用户标识是否相同,若相同,则seaf可以确定获得的用户标识是真实的用户标识,若不同,则说明seaf获得用户标识是错误的。
可选的,在步骤606中,seaf接收到第一参数后,seaf生成第二参数,可以对接收的第二参数与该seaf获得的用户标识进行异或运算,将异或运算得到的值与第一参数进行比较,若相同,则seaf可以确定获得的用户标识是真实的用户标识,若不同,则说明seaf获得用户标识是错误的。
实施例四:
如图7所示,本发明实施例提供了第四种验证用户标识的方法,该方法包括:
步骤701:该用户设备根据该seaf发送的第二认证参数生成第四认证参数;
步骤702:该用户设备根据第二认证参数和第四认证参数生成第三参数;
步骤703:该用户设备对第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;
步骤704:该用户设备将该第一参数发送给seaf;
步骤705:该seaf根据该ausf发送的第四认证参数和第二认证参数生成第二参数;
步骤706:对该第二参数与该第一参数进行异或运算后得到参照值;
步骤707:该seaf比较该参照值和该seaf获得的用户标识;若该参照值和该seaf获得的用户标识相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
用户设备在接收到seaf发送的第二认证参数时,可以根据第二认证参数生成第四认证参,之后根据第二认证参数和第四认证参数生成第三参数。
关于第一参数、第二参数及第三参数的描述可以参见图6所示的方法中该,此处不再赘述。
图6和图7所示的方法中,区别在于用于生成第二参数和第三参数的两个认证参数不同,图6所示的方法中,第二参数和第三参数分别根据该第四认证参数和第一认证参数生成的,图7是根据第二参数和第三参数分别根据该第四认证参数和第二认证参数生成的。
需要说明的,在如图4、5、6、7中所示的方法中,seaf需获得用户标识,seaf可以是根据如图3所示的方法获得的,也可以是在现有认证方案中ausf发送给seaf的用户标识,也就是说,本发明实施例提供的验证用户标识的方式可以独立使用。
如图8所示,本发明实施例还提供了一种传输用户标识的方法:
步骤801:ausf接收udm发送的用户标识、第二认证参数和第五认证参数;
步骤802:ausf根据第五认证参数和第二认证参数生成第一传输参数;
步骤803:ausf对第一传输参数与用户标识进行异或运算后得的一个结果值;
步骤804:ausf将结果值发送给seaf;
步骤805:用户设备接收seaf发送的第二认证参数;
步骤806:用户设备利用第二认证参数和用户设备中保存的根密钥(如k/ki)进行密钥推演生成第五认证参数;
步骤807:用户设备根据第五认证参数和第二认证参数生成第二传输参数;
步骤808:用户设备向seaf发送第二传输参数;
步骤809:seaf对该结果值与该用户设备发送的第二传输参数进行异或运算,获得用户标识。
在ausf在接收到用户标识、第二认证参数、第三认证参数和第五认证参数后,ausf根据第五认证参数和第二认证参数生成第一传输参数,其中,此处对生成第一传输参数的方式不进行限定,可以采用哈希运算,也可以采用其他运算,此处需要说明的是,由于第一参数之后需要与用户标识进行异或运算,故在生成第一传输参数时,可以考虑能够使得生成的第一传输参数的长度与该用户标识长度相同的运算。
若生成的第一传输参数与该用户设备中的用户标识的长度不同,可以参考如图3该的方法中,第一认证参数与用户标识进行异或运算时对第一认证参数或用户标识的处理方式,例如从第一传输参数中选取m比特位,对用户标识进行补位,对第一传输参数进行补位等方式,具体参见前述说明,此处不在赘述,但无论对生成的第一传输参数或用户标识进行何种处理方式,用户设备与seaf都需要获知选取方式或补位方式的相关信息,以使seaf可以采用相应的方式进行处理,例如可以事先进行约定,也可以由用户设备将处理方式的相关信息发送给seaf。
ausf对第一传输参数与用户标识进行异或运算后得的一个结果值,之后将结果值发送给seaf。
步骤805中,用户设备接收到seaf发送的第二认证参数后,生成第五认证参数,采用与ausf生成第一传输参数相同的方式,根据第五认证参数和第三认证参数生成第二传输参数,之后将生成的第二传输参数发送给seaf。
seaf接收到ausf发送的结果值和用户设备发送的第二传输参数后,对该结果值与第二传输参数进行异或运算,获得用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种获得用户标识的装置900,如图9所示,该装置包括第一传输单元901和第一处理单元902;
第一传输单元901,用于接收ausf发送的结果值;以及接收用户设备发送的第一认证参数;
第一处理单元902,用于根据该结果值与该第一认证参数获得用户标识。
具体的,第一处理单元902在根据该结果值与该第一认证参数获得用户标识时,可采用如下三种方式:
第一种、该第一处理单元902将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
具体的,m个比特位在第一认证参数中的位置,可以为如下三种情况中的一种:
情况一、该m个比特位为该第一认证参数中最高的m个比特位。
情况二、该m个比特位为该第一认证参数中最低的m个比特位。
情况三、该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
可选的,若该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位,该第一传输单元901在第一处理单元902根据该结果值与该第一认证参数获得用户标识之前,接收该ausf发送的n值。
第二种、该第一处理单元902将该结果值与该第一认证参数进行异或运算后得到第一值;在该第一值中选择或者去掉特定的比特位后获得该用户标识。
第三种、该用户标识包括用户识别码,该结果值包括匿名用户识别码,该第一处理单元902从该第一认证参数中选择与该用户识别码长度相同的l个比特位;将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的装置1000,如图10所示,该装置包括第二传输单元1001和第二处理单元1002;
第二传输单元1001,用于接收udm发送的用户标识和第三认证参数;以及将结果值发送给seaf;
第二处理单元1002,用于根据该第三认证参数与该用户标识获得结果值。
该第二传输单元1001在第二处理单元1002根据该第三认证参数与该用户标识获得结果值之前,确定需要该seaf发送认证确认消息。
具体的,该第二处理单元1002在根据该第三认证参数与该用户标识获得结果值时,可采用如下三种方式:
第一种、该第二处理单元1002将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
可选的,m个比特位在第三认证参数中的位置可以为如下三种情况中的一种:
情况一、该m个比特位为该第三认证参数中最高的m个比特位。
情况二、该m个比特位为该第三认证参数中最低的m个比特位。
情况三、该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
具体的,若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该第二传输单元1001在根据该第三认证参数与该用户标识获得结果值之后,将n值发送给该seaf。
第二种、该第二处理单元1002对该用户标识进行补位得到第三值,将该第三值与该第三认证参数进行异或运算后,获得该结果值,其中,该第三值的长度等于该第三认证参数的长度。
第三种、该用户标识包括用户识别码,该结果值包括匿名用户识别码,该第二处理单元1002从该第三认证参数中选择与该用户识别码长度相同的l个比特位;将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置1100,如图11所示,该装置包括第三传输单元1101和第三处理单元1102;
第三传输单元1101,用于接收该用户设备发送的第一哈希值,以及获得用户标识;
第三处理单元1102,用于使用该第一认证参数或第二认证参数,和获得的用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
该第三传输单元1101接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
可选的,该第三传输单元1101接收的该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,如图12所示,该装置包括第四传输单元1201和第四处理单元1202。
第四传输单元1201,用于接收用户设备发送的第一参数,以及获得用户标识;
第四处理单元1202,用于根据该ausf发送的第二认证参数或该用户设备发送的该第一认证参数,和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值;比较该参照值和该seaf获得的用户标识;若该参照值和该seaf获得的用户标识相同,则确定该seaf获得的用户标识与该用户设备中的用户标识相同。
该第四传输单元1201在比较该参照值和该seaf获得的用户标识之前可以接收ausf发送的用户标识;也可以根据结果值与该第一认证参数获得用户标识。
可选的,该第四传输单元1201接收该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,如图13所示,该装置包括第五处理单元1301和第五传输单元1302;
第五处理单元1301,用于使用第一认证参数或第二认证参数,和该用户设备中的用户标识进行哈希运算,获得第一哈希值;
第五传输单元1302,用于将该第一哈希值发送给seaf。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,如图14所示,该装置包括第六处理单元1401和第六传输单元1402;
第六处理单元1401,用于根据seaf发送的第二认证参数生成第四认证参数;根据第一认证参数或该第二认证参数,和该第四认证参数生成第三参数;对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;
第六传输单元1402,用于将该第一参数发送给该seaf。
基于方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的装置,如图15所示,所示装置包括第七传输单元1501和第七处理单元1502:
第七传输单元1501,用于接收ausf发送的结果值和用户设备发送的第二传输参数;
第七处理单元1502,用于对该结果值与第二传输参数进行异或运算,获得用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的装置,如图16所示,该装置包括第八传输单元1601和第八处理单元1602;
第八传输单元1601,用于接收udm发送的用户标识、第二认证参数和第五认证参数,以及;将该结果值发送给seaf;
第八处理单元1602,用于根据第五认证参数和第二认证参数生成第一传输参数;ausf对第一传输参数与用户标识进行异或运算后得的一个结果值。
基于与方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的装置,如图17所示,该装置包括第九传输单元1701和第九传输单元1702;
第九传输单元1701,用于接收seaf发送的第二认证参数;以及发送该第二传输参数;
第九处理单元1702,用于利用第二认证参数和用户设备中保存的根密钥进行密钥推演生成第五认证参数;根据第五认证参数和第二认证参数生成第二传输参数。
本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是个人计算机,手机,或者网络设备等)或处理器(processor)执行本申请各个实施例该方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
基于与方法实施例同一发明构思,本申请实施例还提供了一种获得用户标识的装置,用于执行如图3所示的seaf的获得用户标识的方法,如图18所示,该装置1800包括处理器1801,存储器1802,通信接口1803;
本申请实施例中不限定上述通信接口1803、处理器1801以及存储器1802之间的具体连接介质。本申请实施例在图18中以存储器1802、处理器1801以及通信接口1803之间通过总线1804连接,总线1804在图18中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1804可以分为地址总线、数据总线、控制总线等。为便于表示,图18中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口1803,用于接收ausf发送的结果值;
该存储器1802,用于存储计算机程序;
该处理器1801,用于调用该存储器1802中存储的计算机程序执行如图3所示的方法:
接收用户设备发送的第一认证参数;根据该结果值与该第一认证参数获得用户标识。
具体的,处理器1801在根据该结果值与该第一认证参数获得用户标识时,可采用如下三种方式:
第一种、该处理器1801在根据该结果值与该第一认证参数获得用户标识时,将该结果值和该第一认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该用户标识。
具体的,m个比特位在第一认证参数中的位置,可以为如下三种情况中的一种:
情况一、该m个比特位为该第一认证参数中最高的m个比特位。
情况二、该m个比特位为该第一认证参数中最低的m个比特位。
情况三、该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位。
若该m个比特位为该第一认证参数中从最高比特位偏移n个比特后的m个比特位,该通信接口1803在该处理器1801根据该结果值与该第一认证参数获得用户标识之前,接收该ausf发送的n值。
第二种、该处理器1801在根据该结果值与该第一认证参数获得用户标识时,将该结果值与该第一认证参数进行异或运算后得到第一值;在该第一值中选择或者去掉特定的比特位后获得该用户标识。
第三种、该用户标识包括用户识别码,该结果值包括匿名用户识别码,该处理器1801在根据该结果值与该第一认证参数获得用户标识时,从该第一认证参数中选择与该用户识别码长度相同的l个比特位;将该匿名用户识别码和该l个比特位进行异或运算后得到第二值;使用该第二值替换该结果值中的该匿名用户识别码后获得该用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的装置,用于执行如图3所示的ausf传输用户标识的方法,如图19所示,该装置1900包括处理器1901,存储器1902,通信接口1903;
本申请实施例中不限定上述通信接口1903、处理器1901以及存储器1902之间的具体连接介质。本申请实施例在图19中以存储器1902、处理器1901以及通信接口1903之间通过总线1904连接,总线1904在图19中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线1904可以分为地址总线、数据总线、控制总线等。为便于表示,图19中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口1903,用于接收udm发送的用户标识和第三认证参数;将结果值发送给seaf;
该存储器1902,用于存储计算机程序;
该处理器1901,用于调用该存储器1902中存储的计算机程序执行:根据该第三认证参数与该用户标识获得结果值。
在一种可能的设计中,该通信接口1903在该处理器1901根据该第三认证参数与该用户标识获得结果值之前,确定需要该seaf发送认证确认消息。
具体的,该处理器1901在根据该第三认证参数与该用户标识获得结果值时,可采用如下三种方式:
第一种、该处理器1901在根据该第三认证参数与该用户标识获得结果值时,将该用户标识和该第三认证参数中与该用户标识长度相同的m个比特位进行异或运算后,获得该结果值。
可选的,m个比特位在第三认证参数中的位置可以为如下三种情况中的一种:
情况一、该m个比特位为该第三认证参数中最高的m个比特位。
情况二、该m个比特位为该第三认证参数中最低的m个比特位。
情况三、该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位。
若该m个比特位为该第三认证参数中从最高比特位偏移n个比特后的m个比特位,该通信接口1903在该处理器1901根据该第三认证参数与该用户标识获得结果值之前,将n值发送给该seaf。
第二种、该处理器1901在根据该第三认证参数与该用户标识获得结果值时,对该用户标识进行补位得到第三值,将该第三值与该第三认证参数进行异或运算后,获得该结果值,其中,该第三值的长度等于该第三认证参数的长度。
第三种、该用户标识包括用户识别码,该结果值包括匿名用户识别码,该处理器1901在根据该第三认证参数与该用户标识获得结果值时,从该第三认证参数中选择与该用户识别码长度相同的l个比特位;将该用户识别码和该l个比特位进行异或运算后得到匿名用户标识码;使用该匿名标识码替换该用户标识中的该用户识别码后获得该结果值。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,用于执行如图4、5所示的seaf的验证用户标识的方法,如图20所示,该装置2000包括处理器2001,存储器2002,通信接口2003;
本申请实施例中不限定上述通信接口2003、处理器2001以及存储器2002之间的具体连接介质。本申请实施例在图20中以存储器2002、处理器2001以及通信接口2003之间通过总线2004连接,总线2004在图20中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2004可以分为地址总线、数据总线、控制总线2004等。为便于表示,图20中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口2003,用于接收该用户设备发送的第一哈希值,以及获得用户标识;
该存储器2002,用于存储计算机程序;
该处理器2001,用于调用该存储器2002中存储的计算机程序执行:
使用该第一认证参数或第二认证参数,和获得的用户标识进行哈希运算,获得第二哈希值;比较该第一哈希值与该第二哈希值;若该第一哈希值与该第二哈希值相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该通信接口2003在该处理器2001根据该第一认证参数或第二认证参数与获得的用户标识进行哈希运算之前,接收到该用户设备发送的第一认证参数;或接收到该ausf发送的该第二认证参数。
该通信接口2003接收该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,用于执行如图6、7所示的seaf的验证用户标识的方法,如图21所示,该装置2100包括处理器2101,存储器2102,通信接口2103;
本申请实施例中不限定上述通信接口2103、处理器2101以及存储器2102之间的具体连接介质。本申请实施例在图21中以存储器2102、处理器2101以及通信接口2103之间通过总线2104连接,总线2104在图21中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2104可以分为地址总线、数据总线、控制总线等。为便于表示,图21中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口2103,用于接收用户设备发送的第一参数,以及获得用户标识;
该存储器2102,用于存储计算机程序;
该处理器2101,用于调用该存储器2102中存储的计算机程序执行:
根据该ausf发送的第二认证参数和第四认证参数生成第二参数,或根据该用户设备发送的该第一认证参数和第四认证参数生成第二参数;对该第二参数与该第一参数进行异或运算后得到参照值,比较该参照值和获得的用户标识;若该参照值和该获得的用户标识相同,则确定该获得的用户标识与该用户设备中的用户标识相同。
在一种可能的设计中,该通信接口2103在该处理器2101根据该ausf发送的第四认证参数或第二认证参数和该用户设备发送的该第一认证参数生成第二参数之前,接收ausf发送的用户标识;或根据结果值与该第一认证参数获得用户标识。
该通信接口2003接收该ausf发送的用户标识或根据结果值与该第一认证参数获得的用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,用于执行如图4、5所示的用户设备的验证用户标识的方法,如图22所示,该装置2200包括处理器2201,存储器2202,收发机2203;
本申请实施例中不限定上述收发机2203、处理器2201以及存储器2202之间的具体连接介质。本申请实施例在图22中以存储器2202、处理器2201以及收发机2203之间通过总线2204连接,总线2204在图22中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2204可以分为地址总线、数据总线、控制总线等。为便于表示,图22中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该存储器2202,用于存储计算机程序;
该处理器2201,用于调用该存储器2202中存储的计算机程序执行:
使用第一认证参数或第二认证参数,和该用户设备中的用户标识进行哈希运算,获得第一哈希值;
该收发机2203,用于将该第一哈希值发送给seaf。
基于与方法实施例同一发明构思,本申请实施例还提供了一种验证用户标识的装置,用于执行如图6、7所示的用户设备的验证用户标识的方法,如图23所示,该装置2300包括处理器2301,存储器2302,收发机2303;
本申请实施例中不限定上述收发机2303、处理器2301以及存储器2302之间的具体连接介质。本申请实施例在图23中以存储器2302、处理器2301以及收发机2303之间通过总线2304连接,总线2304在图23中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2304可以分为地址总线、数据总线、控制总线等。为便于表示,图23中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该存储器2302,用于存储计算机程序;
该处理器2301,用于调用该存储器2302中存储的计算机程序执行:
根据seaf发送的第二认证参数生成第四认证参数;根据该第四认证参数和第一认证参数生成第三参数,或根据该第四认证参数和该第二认证参数生成第三参数;对该第三参数与该用户设备中的用户标识进行异或运算,获得第一参数;
该收发机2303,用于将该第一参数发送给该seaf。
基于与方法实施例同一发明构思,本申请实施例还提供了一种获得用户标识的装置,用于执行如图8所示的seaf的获得用户标识的方法,如图24所示,该装置2400包括处理器2401,存储器2402,通信接口2403;
本申请实施例中不限定上述通信接口2403、处理器2401以及存储器2402之间的具体连接介质。本申请实施例在图24中以存储器2402、处理器2401以及通信接口2403之间通过总线2404连接,总线2404在图24中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2404可以分为地址总线、数据总线、控制总线等。为便于表示,图24中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口2403,用于接收ausf发送的结果值和用户设备发送的第一传输参数;
该存储器2402,用于存储计算机程序;
该处理器2401,用于调用该存储器2402中存储的计算机程序执行:对该结果值与第一传输参数进行异或运算,获得用户标识。
基于与方法实施例同一发明构思,本申请实施例还提供了一种获得用户标识的装置,用于执行如图8所示的ausf的获得用户标识的方法,如图25所示,该装置2500包括处理器2501,存储器2502,通信接口2503;
本申请实施例中不限定上述通信接口2503、处理器2501以及存储器2502之间的具体连接介质。本申请实施例在图24中以存储器2502、处理器2501以及通信接口2503之间通过总线2504连接,总线2504在图24中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2504可以分为地址总线、数据总线、控制总线等。为便于表示,图24中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体的,该通信接口2503,用于接收udm发送的用户标识、第二认证参数和第五认证参数以及将结果值发送给seaf;
该存储器2502,用于存储计算机程序;
该处理器2501,用于调用该存储器2502中存储的计算机程序执行:
根据第五认证参数和第二认证参数生成第一传输参数;对第一传输参数与用户标识进行异或运算后得的一个结果值。
基于与方法实施例同一发明构思,本申请实施例还提供了一种获得用户标识的装置,用于执行如图8所示的用户设备的获得用户标识的方法,如图26所示,该装置2600包括处理器2601,存储器2602,收发机2603;
本申请实施例中不限定上述收发机2603、处理器2601以及存储器2602之间的具体连接介质。本申请实施例在图26中以存储器2602、处理器2601以及收发机2603之间通过总线2604连接,总线2604在图26中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。该总线2604可以分为地址总线、数据总线、控制总线等。为便于表示,图26中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
该收发机2603,用于接收seaf发送的第二认证参数;以及发送第二传输参数;
该存储器2602,用于存储计算机程序;
该处理器2601,用于调用该存储器2602中存储的计算机程序执行:利用第二认证参数和用户设备中保存的根密钥进行密钥推演生成第五认证参数;根据第五认证参数和第二认证参数生成第二传输参数。
需要说明的,如图18、19、20、21、22、23、24、25、26所示的装置中,其中涉及的存储器可以是易失性存储器,例如随机存取存储器;存储器也可以是非易失性存储器,例如只读存储器,快闪存储器,硬盘(harddiskdrive,hdd)或固态硬盘(solid-statedrive,ssd)、或者存储器是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是上述存储器的组合。
基于与方法实施例同一发明构思,本申请实施例还提供了一种传输用户标识的系统,该系统包括seaf和ausf。
具体的,seaf,用于接收ausf发送的结果值;接收用户设备发送的第一认证参数;根据该结果值与该第一认证参数获得该用户标识;
ausf,用于接收udm发送的用户标识和第三认证参数;根据该第三认证参数与该用户标识获得结果值,将该结果值发送给该seaf。
本发明实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机软件指令,其包含用于执行上述处理器所需执行的程序。
在该方法中:本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!