一种无线设备认证指示方法和设备与流程

1.本技术涉及无线通信技术领域，尤其涉及一种无线设备认证指示方法和设备。


背景技术：

2.传统通信中的无线中继和终端的认证鉴权方法均为在核心网侧进行的，采用5g认证和密钥协商(aka)的方式进行认证。过程需要包含全球用户识别卡(usim)的用户设备、服务网络(sn)、归属网络(hn)共同参与完成。
3.考虑到传统的无线中继将接收并重新生成数据包，并将其发送给ue，因此将无线中继作为网络节点进行管理，所以无线中继采用基于核心网的鉴权和认证功能。但有一类无线中间节点，比如智能中继器或者智能超表面，数据包和内容对其是透明的，而且无法为ue进行调度。智能超表面是由基站来控制超表面的相位等参数，来更好的控制漫反射入射信号实现电磁波在通信信道中的可控传播，以提高通信系统的覆盖、容量和能效等方面的性能。在新的无线中继类型中，核心网络的升级既耗时又耗资源，降低运营商的商业利益，实现核心网的认证鉴权的升级成本和开销较大，因此智能超表面等新的无线中继类型相比于传统通信的无线中继，可以有更灵活的鉴权和认证方式，考虑从无线侧进行鉴权和认证的方式方法。另外，随着移动通信的快速发展，移动终端采用无线侧的鉴权和认证的方法，也有利于整个通信网络的简化和升级。


技术实现要素：

4.本技术提出一种无线设备认证指示方法和设备，解决无线设备接入不便的技术问题，尤其适用于带有智能超表面等新的无线中继设备类型通过基站接入无线通信网络，灵活快速地调整基站覆盖范围。
5.第一方面，本技术提出一种无线设备认证指示方法，用于移动通信系统的空中接口，包含以下步骤：
6.用于启动认证过程的第一上行信号中，包含用户标识；
7.第一下行信号响应于所述第一上行信号，所述第一下行信号用于计算认证响应；
8.响应于所述第一下行信号，第二上行信号包含认证响应或者认证失败消息。
9.响应于所述第二上行信号，第二下行信号包含认证成功或者失败的信息。
10.优选地，所述第一上行信号所占用的随机接入资源或者使用的随机接入序列是专用于认证程序的。
11.作为可选的一个实施例，所述第一下行信号包含随机接入响应。
12.优选地，所述第一上行信号用公共密钥加密的用户标识进行加扰；所述公共密钥与所述用户标识一一对应。
13.优选地，所述第一下行信号中包含质询随机数、消息鉴权码、匿名密钥。所述消息鉴权码是所述质询随机数和预存的序列号的函数。所述匿名密钥是所述质询随机数和公共密钥的函数。
14.优选地，所述认证响应为公共密钥、质询随机数、序列号的函数。
15.优选地，所述序列号为无线设备和网络设备预先存储的，用于确定质询消息的有效性。
16.优选地，所述第一下行信号的mac ce中包含上行许可信息，用于调度所述第二上行信号所占用的上行资源。
17.优选地，所述第一下行信号的mac ce包含无线设备标识。
18.本技术第一方面任意一项实施例所述方法，用于网络设备，包含以下步骤：
19.所述网络设备接收所述第一上行信号，识别用户标识和公共密钥；
20.所述网络设备生成和发送所述第一下行信号；
21.所述网络设备接收所述第二上行信号，比较认证响应信息和本地存储的认证信息，确定认证成功或终止。
22.本技术第一方面任意一项实施例所述方法，用于无线设备，包含以下步骤：
23.所述无线设备发送所述第一上行信号，包含所述无线设备的用户标识；
24.所述无线设备接收所述第一下行信号，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出所述序列号；
25.所述序列号属于预存的序列号范围，则生成所述认证响应；所述无线设备发送包含认证响应的第二上行信号。
26.第二方面，本技术还出一种网络设备，用于实现本技术第一方面任意一项实施例所述方法。所述网络设备中至少一个模块，用于实现以下至少一项功能：接收所述第一上行信号，识别用户标识和公共密钥；生成和发送所述第一下行信号；接收所述第二上行信号，比较认证响应信息和本地存储的认证信息，确定认证成功或终止。
27.第三方面，本技术还提出一种无线设备，用于实现本技术第一方面任意一项实施例所述方法。所述无线设备中至少一个模块，用于实现以下至少一项功能：发送所述第一上行信号，包含所述无线设备的用户标识；接收所述第一下行信号，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出所述序列号；所述序列号属于预存的序列号范围，则生成所述认证响应。
28.第四方面，本技术还提出一种通信设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如本技术第一方面任意一项实施例所述方法的步骤。
29.第五方面，本技术还提出一种计算机可读介质，所述计算机可读介质上存储计算机程序，所述计算机程序被处理器执行时实现如本技术第一方面任意一项实施例所述的方法的步骤。
30.第六方面，本技术还提出一种移动通信系统，包含至少一个如本技术任意一项实施例所述的网络设备和/或至少一个如本技术任意一项实施例所述的无线设备。
31.本技术实施例采用的上述至少一个技术方案能够达到以下有益效果：
32.本发明专利提出了用于智能超表面或者无线中继等无线中间节点以及终端设备，在无线侧的鉴权认证方法，通过随机接入的流程，进行认证发起、认证执行和认证确认。可以应用于智能中继器或者智能超表面等无线中间节点，因为这类无线中间节点的数据包和内容是透明的，考虑从无线侧进行鉴权和认证的方式方法，解决了核心网络的升级既耗时
又耗资源的问题，可以提升运营商的商业利益。
附图说明
33.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
34.图1为本技术方法的实施例流程图；
35.图2为本技术的方法用于网络设备的实施例流程图；
36.图3为本技术的方法用于无线设备的实施例流程图；
37.图4为网络设备实施例示意图；
38.图5是无线设备的实施例示意图；
39.图6为本发明另一实施例的网络设备的结构示意图；
40.图7是本发明另一个实施例的无线设备的框图。
具体实施方式
41.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术具体实施例及相应的附图对本技术技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
42.以下结合附图，详细说明本技术各实施例提供的技术方案。
43.图1为本技术方法的实施例流程图。
44.本技术提出一种无线设备认证指示方法，用于移动通信系统的空中接口，包含以下步骤101～104。
45.步骤101、用于启动认证过程的第一上行信号，包含用户标识。
46.所述认证鉴权流程和随机接入流程复用。复用方式为，第一上行信号使用随机接入资源发送、符合随机接入信号结构。或者说，所述第一上行信号本身就是随机接入信号，为使得所述第一上行信号获得进入认证程序的响应，可以在所述第一上行信号中包含用于认证程序的指示信息，或者，所述第一上行信号所占用的随机接入资源表明所述第一上行信号用于认证程序。
47.优选地，所述第一上行信号为专用于认证程序的随机接入序列，选用部分专用于认证程序的随机接入序列。尤其是，用于无线设备(中继设备或带有智能超表面的中间设备)的第一上行信号相比于终端的随机接入信号是专用配置的。
48.优选地，所述第一上行信号所占用的随机接入资源是专用于认证程序的，也就是说，在专用于认证程序的随机接入资源发送第一上行信号，获得的是认证程序响应，而不是随机接入响应。
49.优选地，所述第一上行信号的序列用公共密钥加密的用户标识进行加扰；所述公共密钥与所述用户标识一一对应。所述用户标识，可以是无线设备的永久标识。
50.优选地，所述第一上行信号在占用的时频资源上发送公共密钥加密的用户标识。
51.步骤101为认证发起阶段，无线设备通过与网络设备之间的空中接口，发送第一上行信号，其中例如包含无线设备的加密后的用户标识。相应地，网络设备接收第一上行信
号，获得无线设备的用户身份标识以及公共密钥，所述公共密钥和用户的身份标识一一对应。
52.步骤102、第一下行信号响应于所述第一上行信号，所述第一下行信号用于计算认证响应。
53.优选地，所述第一下行信号中包含质询随机数、消息鉴权码、匿名密钥。所述消息鉴权码是所述质询随机数和预存的序列号的函数。所述匿名密钥是所述质询随机数和公共密钥的函数。
54.优选地，所述第一下行信号的mac ce中包含上行许可信息，用于调度所述第二上行信号所占用的上行资源。
55.作为可选的一个实施例，所述第一下行信号包含随机接入响应。
56.步骤102为认证执行阶段，网络设备发出的第一下行信号中包含质询消息，因此无线设备能够根据接收到的质询消息计算认证响应。优选地，所述第一下行信号中包含指示信息，指示用于无线设备的标识；所述第一下行信号中还包含指示信息，指示所述质询消息用于认证鉴权。
57.优选地，所述第一下行信号由mac层承载，mac ce中包含无线设备的标识，以及所述的质询消息。
58.优选地，所述第一下行信号为新的rnti加扰，所述新的rnti和第一下行信号所在的时频资源有关。
59.例如，所述质询消息中包含质询随机数和认证令牌；所述认证令牌至少包含消息鉴权码和匿名密钥。
60.所述消息鉴权码为无线设备的序列号和质询随机数的函数；所述匿名密钥为公共密钥和质询随机数的函数。所述公共密钥为无线设备和网络节点共享的密钥。所述序列号为无线设备和网络设备预先存储的，用于确定质询消息的有效性；消息鉴权码则用于无线设备判断质询消息是否被篡改。
61.步骤103、响应于所述第一下行信号，第二上行信号包含认证响应。
62.无线设备接收到第一下行信号后，验证消息的有效性和真实性，然后计算认证鉴权的认证响应，并上报认证响应。
63.无线设备接收所述第一下行信号，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出序列号，通过与预存的序列号进行比较，验证质询消息的有效性和真实性。
64.优选地，所述认证响应为公共密钥、质询随机数、序列号的函数。
65.步骤103属于认证执行阶段，如果质询消息有效，则无线设备将认证响应发送到网络设备。如果无线设备验证消息不成功，则向网络发送认证失败消息，网络端据此判断是否重新向无线设备启动重新认证。
66.步骤104、响应于所述第二上行信号，第二下行信号包含鉴权响应成功或失败的消息。
67.步骤104为认证确认阶段。网络设备比较来自无线设备的认证响应消息和本地存储的认证信息，判断认证成功或者认证终止。
68.在本步骤中，网络设备根据上报的认证响应，通知无线设备鉴权认证成功或者失
败。
69.图2为本技术的方法用于网络设备的实施例流程图。
70.本技术第一方面任意一项实施例所述方法，用于网络设备，包含以下步骤201～204。
71.步骤201、网络设备接收所述第一上行信号，识别用户标识和公共密钥。
72.网络设备接收第一上行信号，获得无线设备的用户身份标识，找到和用户身份标识对应的公共密钥。
73.步骤202、所述网络设备生成和发送所述第一下行信号。
74.网络设备发出第一下行信号，包含质询消息。所述质询消息包括质询随机数rand和认证令牌；
75.所述认证令牌autn至少由消息鉴权码mac和匿名密钥ak确定；
76.进一步的，定义autn＝f1(mac，ak)，f1为函数表达式，具体格式不作限制。
77.消息鉴权码，用于无线设备判断质询消息是否被篡改，至少由无线设备对应的序列号seq和质询随机数rand确定；
78.进一步的，定义mac＝f2(seq，rand)，f2为函数表达式，具体格式不作限制。
79.其中序列号为无线设备和网络设备预先存储的，用于确定质询消息的有效性；
80.所述匿名密钥为公共密钥ck和质询随机数的函数，所述公共密钥为无线设备和网络设备共享的密钥；
81.进一步的，定义匿名密钥ak＝f3(rand，ck)，f3为函数表达式，具体格式不作限制。
82.优选的，第一下行信号为mac层承载，如果第一上行信号为随机接入序列，为了与随机接入响应的mac rar区分开，所述第一下行信号的mac ce中包含用于无线设备的信号标识，并且指示所发送的第一下行信号(质询消息)用于认证鉴权；如果第一上行信号为数据信息，无线设备可以通过新的rnti加扰来解码，举例来说为auth_rnti，auth_rnti的确定与无线设备发送第一上行信号的时域资源、频域资源有关。
83.步骤203、所述网络设备接收所述第二上行信号，比较认证响应信息和本地存储的认证信息，确定认证成功或终止。
84.网络设备根据无线设备上报的认证响应，和自身存储的认证响应信息进行比对，判断认证响应成功或者失败。
85.网络设备根据无线设备上报的认证失败消息，判断是否重新向无线设备启动重新认证。
86.步骤204、所述网络设备发送所述第二下行信号，第二下行信号包含鉴权响应成功或失败的消息。
87.通知无线设备鉴权认证成功或者失败，并且给无线设备分配身份标识。
88.图3为本技术的方法用于无线设备的实施例流程图。
89.本技术第一方面任意一项实施例所述方法，用于无线设备，包含以下步骤301～304。
90.步骤301、所述无线设备发送所述第一上行信号，包含所述无线设备的用户标识。
91.无线设备发送第一上行信号，所述第一上行信号包含加密的无线设备用户标识，所述加密依据公共密钥进行，所述公共密钥和无线设备的身份标识一一对应。
92.所述第一上行信号为数据序列或者数据信息。
93.优选的，第一上行信号为随机接入序列，为和随机接入过程的随机接入序列区分，可以选用部分专用于鉴权认证的随机接入序列。随机接入序列可以根据加密后的用户永久标识进行加扰；考虑到无线设备的中间节点类型的部署位置通常离基站较近，随机接入格式可以采用短序列l＝139的序列长度；
94.优选的，第一上行信号使用专用于认证鉴权的随机接入时频资源，无线设备在此资源上发送用户标识信息。进一步的，数据发送方法可以是非正交多址的接入方法，每个无线设备有一个专用的多址标识，用于多个无线设备的识别；
95.优选的，所述公共密钥为网络设备和无线设备的公共信令发送的，比如广播信令，或者所述公共密钥为网络设备预先配置给无线设备的。
96.所述无线设备的用户标识为网络设备可识别的。优选的，所述用户标识为用户永久标识，目前，用户永久标识是用户在网络上固定的身份标识，不会随着网络的变化而变化，因此，该用户永久标识在任何时候、任何场景下都可以唯一地对应到一个用户。例如，该用户永久标识为用户的国际移动用户识别码(imsi：international mobile subscriber identification number)、或者国际移动设备标识码(imei：international mobile equipment identification number)等。
97.步骤302、所述无线设备接收所述第一下行信号，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出序列号。
98.如果序列号属于预存的序列号范围，则生成所述认证响应。所述认证响应res至少为公共密钥ck，质询随机数rand和序列号seq的函数。进一步的，定义res＝f4(ck，rand，seq)，f4为函数表达式，具体格式不作限制。
99.步骤303、所述无线设备发送所述第二上行信号，包含所述认证响应或者发送认证失败的消息。
100.无线设备验证消息的有效性和真实性成功，计算认证鉴权的认证响应，并上报认证响应。
101.优选的，在第一下行信号的mac ce中的上行grant(ul grant)所调度的上行资源上发送认证响应。
102.无线设备验证消息不成功，也就是接收到的消息鉴权码解出的序列号，不在无线设备存储的序列号范围内，发现质询消息已经被篡改，向网络设备发送认证失败消息。进一步的，无线设备存储的序列号为预先存储的，或者是网络设备预配置，公共信令(如广播信令)通知的。
103.步骤304、所述无线设备发送认证响应后，接收所述第二下行信号，确定认证响应成功或者失败。
104.图4为网络设备实施例示意图。
105.本技术还出一种网络设备，用于实现本技术第一方面任意一项实施例所述方法。所述网络设备中至少一个模块，用于实现以下至少一项功能：接收所述第一上行信号，识别用户标识和公共密钥；生成和发送所述第一下行信号；接收所述第二上行信号，比较认证响应信息和本地存储的认证信息，确定认证成功或终止。
106.为实施上述技术方案，本技术提出的一种网络设备400，包含网络发送模块401、网
络确定模块402、网络接收模块403。
107.所述网络发送模块，用于发送所述第一下行信号、第二下行信号。
108.所述网络确定模块，用于识别用户标识和公共密钥、生成所述质询消息；还用于根据无线设备上报的认证响应，和自身存储的认证响应信息进行比对，判断认证响应成功或者失败。
109.所述网络接收模块，用于接收所述第一上行信号、第二上行信号。
110.实现所述网络发送模块、网络确定模块、网络接收模块功能的具体方法，如本技术各方法实施例所述，这里不再赘述。
111.图5是无线设备的实施例示意图。
112.本技术还提出一种无线设备，用于实现本技术第一方面任意一项实施例所述方法。所述无线设备中至少一个模块，用于实现以下至少一项功能：发送所述第一上行信号，包含所述无线设备的用户标识；接收所述第一下行信号，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出所述序列号；所述序列号属于预存的序列号范围，则生成所述认证响应，否者生成认证失败消息。
113.为实施上述技术方案，本技术提出的一种无线设备500，包含无线发送模块501、无线确定模块502、无线接收模块503。
114.所述无线接收模块，用于接收所述第一下行信息、第二下行信息。
115.所述无线确定模块，用于从第一下行信息中的消息鉴权码和质询随机数触发，根据设定的序列号与所述第一下行信号中的消息鉴权码和质询随机数的关系，得出序列号，再根据得出的序列号是否属于预存的序列号范围，确定咨询消息是否有效。所述无线确定模块，还用于从第二下行信息的指示，确认认证响应成功或者失败。
116.所述无线发送模块，用于发送所述第一上行信息、第二上行信息。
117.实现所述无线发送模块、无线确定模块、无线接收模块功能的具体方法如本技术各方法实施例所述，这里不再赘述。
118.本技术所述无线设备，可以指无线中继设备、带有智能超表面的中间设备或移动终端设备。
119.图6示出了本发明另一实施例的网络设备的结构示意图。如图所示，网络设备600包括处理器601、无线接口602、存储器603。其中，所述无线接口可以是多个组件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。所述无线接口实现和所述无线设备的通信功能，通过接收和发射装置处理无线信号，其信号所承载的数据经由内部总线结构与所述存储器或处理器相通。所述存储器603包含执行本技术任意一个实施例的计算机程序，所述计算机程序在所述处理器601上运行或改变。当所述存储器、处理器、无线接口电路通过总线系统连接。总线系统包括数据总线、电源总线、控制总线和状态信号总线，这里不再赘述。
120.图7是本发明另一个实施例的无线设备的框图。无线设备700包括至少一个处理器701、存储器702、控制接口703和至少一个网络接口704。无线设备700中的各个组件通过总线系统耦合在一起。总线系统用于实现这些组件之间的连接通信。总线系统包括数据总线，电源总线、控制总线和状态信号总线。
121.控制接口904用于连接中间设备的相位变换装置(例如超表面装置)，将所述多组
控制参数转化为每个表面单元的驱动信号，实现中间设备的反射(或折射)信号调整。或者，控制接口专用于终端用户应用。控制接口703可以包括显示器、键盘或者点击设备，例如，鼠标、轨迹球、触感板或者触摸屏等。
122.存储器702存储可执行模块或者数据结构。所述存储器中可存储操作系统和应用程序。其中，操作系统包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序包含各种应用程序，例如媒体播放器、浏览器等，用于实现各种应用业务。
123.在本发明实施例中，所述存储器702包含执行本技术任意一个实施例的计算机程序，所述计算机程序在所述处理器701上运行或改变。
124.存储器702中包含计算机可读存储介质，处理器701读取存储器702中的信息，结合其硬件完成上述方法的步骤。具体地，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器701执行时实现如上述任意一个实施例所述的方法实施例的各步骤。
125.处理器701可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，本技术方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。所述处理器701可以是通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。
126.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。在一个典型的配置中，本技术的设备包括一个或多个处理器(cpu)、输入/输出用户接口、网络接口和存储器。
127.此外，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
128.因此，本技术还提出一种计算机可读介质，所述计算机可读介质上存储计算机程序，所述计算机程序被处理器执行时实现本技术任意一项实施例所述的方法的步骤。例如，本发明的存储器603，702可包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。
129.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
130.基于图4～7的实施例，本技术还提出一种移动通信系统，包含至少1个本技术中任
意一个无线设备的实施例和或至少1个本技术中任意一个网络设备的实施例。
131.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
132.还需要说明的是，本技术中的“第一”、“第二”，是为了区分同一名称的多个客体，如非具体说明，没有其他特别的含义。
133.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。