CN110800331B - 网络验证方法、相关设备及系统 - Google Patents
网络验证方法、相关设备及系统 Download PDFInfo
- Publication number
- CN110800331B CN110800331B CN201880040110.7A CN201880040110A CN110800331B CN 110800331 B CN110800331 B CN 110800331B CN 201880040110 A CN201880040110 A CN 201880040110A CN 110800331 B CN110800331 B CN 110800331B
- Authority
- CN
- China
- Prior art keywords
- authentication
- identifier
- binding
- network element
- binding information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了网络认证方法、装置和系统,该方法包括:认证网元接收的UE接入数据网络DN的请求;接收UE的第一认证标识以及UE的第二认证标识;根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系,所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识;所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识。实施本发明,能够实现降低次要认证过程中的通信负担,降低计算资源消耗,提高次要认证的效率。
Description
技术领域
本申请涉及通信技术领域,尤其涉及网络验证方法、相关设备及系统。
背景技术
随着通信技术的发展,用户设备(如手机)越来越普及,在用户设备需要访问互联网时,网络首先会对用户设备进行认证和授权。例如,当手机要接入第五代移动通信技术(5th-Generation,5G)网络时,首先网络要对手机进行首要认证,核实该手机的身份合法性。对于一些用户设备而言,网络可能还需进一步对用户设备进行次要认证,才会被获准访问网络。
本申请的发明人在研究实践中发现,在现有技术的次要认证过程中,用户设备和网络需要通过多个来回的往返消息进行认证,认证过程比较繁琐,通信开销大,认证中用户设备和网络也需要进行哈希校验或证书校验等计算,计算开销大,次要认证的效率较低。
发明内容
本发明实施例公开一种网络验证方法、相关设备及系统,能够实现降低次要认证过程中的通信负担,降低计算资源消耗,提高次要认证的效率。
第一方面,本发明实施例提供了一种网络验证方法,从认证网元侧描述,该方法包括:认证网元接收的UE接入数据网络DN的请求;所述认证网元接收所述UE的第一认证标识以及所述UE的第二认证标识;其中,所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的第一网络认证的标识;所述UE的第二认证标识为所述UE用来请求接入所述DN的第二网络认证所使用的标识;所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系,所述第一绑定信息的第一认证标识表示准许用于UE与所述AUSF之间的第一网络认证中检验的标识;所述第一绑定信息中的所述第二认证标识表示准许用于UE接入所述DN的第二网络认证的标识。
在可能的实施例中,所述第一绑定信息包括映射表,所述映射表包括一个或多个表项,每一个表项包括至少一个与UE关联的所述第一绑定关系。
在可能的实施例中,所述第一绑定信息包括数据库,所述数据库包括一个或多个数据元素,每一个数据元素包括至少一个与UE关联的所述第一绑定关系。
在可能的实施例中,第一绑定信息预先保存在所述认证网元的本地存储中。
在可能的实施例中,所述第一绑定信息预先保存在统一数据管理网元UDM的签约数据中。所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,包括:所述认证网元从所述UDM的签约数据中获取所述第一绑定信息。
在本发明实施例中,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述UE和所述DN之间的网络认证成功。
在本发明实施例中,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述UE和所述DN之间的网络认证成功;若所述UE的第一认证标识与所述UE的第二认证标识不符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证;若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息。
在本发明实施例中,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证;若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功。
在本发明实施例中,在获得认证结果之后,还包括:所述认证网元将所述认证结果通过EAP消息反馈至所述UE。
基于第一方面,在可能的实现方式中,所述认证网元为认证授权计费AAA服务器;相应的:所述AAA服务器获取第一绑定信息;所述AAA服务器接收所述SMF发送的UE的第一认证标识;所述AAA服务器接收所述SMF发送的所述UE的第二认证标识;所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
在本发明实施例中,所述AAA服务器获取第一绑定信息,包括:所述AAA服务器从本地存储中获取所述第一绑定信息。
在这种实现方式中,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述AAA服务器在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
其中,可选的,所述第一绑定信息中的第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
其中,可选的,所述第一绑定信息中的第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI翻译而成的。
在本发明实施例中,所述AAA服务器接收所述UE发送的所述UE的第二认证标识,包括:所述AAA服务器接收所述UE发送的EAP身份响应消息,所述EAP身份响应消息包括所述UE的第二认证标识。
在本发明实施例中,所述AAA服务器接收所述UE发送的所述UE的第二认证标识,包括:所述AAA服务器接收所述SMF发送的EAP身份响应消息,所述EAP身份响应消息包括所述UE的第二认证标识,其中,所述UE的第二认证标识是所述UE通过会话建立请求发送至所述SMF的。
基于第一方面,在可能的实现方式中,在所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,还包括:所述AAA服务器接收所述SMF发送的IP信息,所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀;所述AAA服务器基于所述第一绑定信息获得第二绑定信息,所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系;所述AAA服务器接收所述UE发送的所述UE的第二认证标识,具体为:所述AAA服务器接收所述UE发送的IP报文,所述IP报文包括所述UE的第二认证标识和UE的IP信息;所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,具体为:所述AAA服务器根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。
基于第一方面,在可能的实现方式中,所述认证网元为会话管理功能网元SMF;相应的:所述SMF接收接入与移动性管理功能网元AMF发送的第一认证标识;所述SMF接收所述UE发送的所述UE的第二认证标识;所述SMF获取第一绑定信息,并根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
在本发明实施例中,所述SMF获取绑定信息,包括:所述SMF从本地存储中获取所述绑定信息。
在这种可能的实现方式中,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述SMF在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
在本发明实施例中,会话管理功能网元SMF获取绑定信息,包括:所述SMF接收统一数据管理网元UDM发送的所述绑定信息。
在这种可能的实现方式中,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,所述SMF通知所述UDM更新所述UDM所存储的绑定关系。
在本发明实施例中,所述SMF接收所述UE发送的所述UE的第二认证标识,包括:
所述SMF接收所述UE发送的会话建立请求,所述会话建立请求包括所述UE的第二认证标识。
其中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
在本发明实施例中,在所述绑定信息中,每个第一认证标识对应至少一个第二认证标识;所述SMF根据所述绑定信息认证所述UE的第一认证标识与所述UE的第二认证标识是否具有绑定关系,包括:所述SMF根据所述UE的第一认证标识查找所述绑定信息,获得与所述UE的第一认证标识对应的至少一个第二认证标识;所述SMF检验所述UE的第二认证标识是否在所述对应的至少一个第二认证标识中。
第二方面,本发明实施例提供了一种网络验证方法,从会话管理功能网元侧描述,该方法包括:会话管理功能网元SMF接收AMF发送的UE的第一认证标识;所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的网络认证的标识;所述SMF接收所述UE发送的所述UE的第二认证标识;所述SMF向认证授权计费AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,以便所述AAA服务器基于所述第一绑定信息检验所述UE的第一认证标识和所述UE的第二认证标识是否符合第一绑定关系;
其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示所述UE在与所述AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
在本发明实施例中,所述SMF接收所述UE发送的所述UE的第二认证标识,包括:所述SMF接收所述UE发送的会话建立请求,所述会话建立请求包括所述UE的第二认证标识。
在本发明实施例中,所述SMF向AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,包括:所述SMF向所述AAA服务器发送请求消息,所述请求消息用于请求所述AAA服务器认证所述UE的身份;所述请求消息包括所述UE的第一认证标识与所述UE的第二认证标识。
其中,在可能的实施例中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
其中,在可能的实施例中,所述第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI翻译而成的,所述外部标识携带于UDM的签约数据中,所述SMF获取所述UDM中的所述签约数据。
在本发明实施例中,在所述SMF向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识之前,还包括:所述SMF获取认证策略,所述认证策略用于指示所述SMF是否向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识;所述SMF向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,具体为:在所述认证策略指示所述SMF向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识的情况下,所述SMF向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识。
在可能的实施例中,所述认证策略存储于SMF的本地存储中;或者,所述认证策略携带于所述UE发送的会话建立请求中;或者,所述认证策略携带于UDM所发送的签约数据中。
第三方面,本发明实施例提供了一种网络验证方法,从会话管理功能网元侧描述,包括:会话管理功能网元SMF接收AMF发送的UE的第一认证标识;所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的网络认证的标识;所述SMF为所述UE的第一认证标识确定IP信息,所述IP信息包括IP地址或IP前缀;所述SMF向所述UE发送所述IP信息,以便于所述UE生成IP报文,所述IP报文包括所述IP信息和UE的第二认证标识;所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识;所述SMF向认证授权计费AAA服务器发送所述UE的第一认证标识和所述IP信息,以便于所述AAA服务器根据所述UE的第一认证标识和所述IP信息得到绑定信息,所述绑定信息包括IP信息与第二认证标识之间的绑定关系;
其中,所述AAA服务器用于根据所述绑定信息检验所述IP报文的IP信息和所述UE的第二认证标识是否符合所述绑定关系。
第四方面,本发明实施例提供了一种网络验证方法,从统一数据管理网元侧描述,该方法包括:统一数据管理网元UDM接收认证网元的请求;所述UDM根据所述请求向所述认证网元发送第一绑定信息;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示用户设备UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
在本发明实施例中,所述UDM根据所述请求向所述认证网元发送绑定信息,包括:
所述UDM根据所述请求向所述认证网元发送签约数据,所述签约数据包括所述绑定信息。
在本发明实施例中,所述方法还包括:所述UDM接收所述认证网元发送的绑定信息更新请求;其中,所述绑定信息更新请求包括所述UE的第一认证标识与所述UE的第二认证标识之间的第二绑定关系;所述UDM根据所述绑定信息更新请求更新所述第一绑定信息。
在本发明实施例中,所述UDM根据所述绑定信息更新请求更新所述第一绑定信息,包括:所述UDM将所述第二绑定关系添加到所述第一绑定信息中,得到第二绑定信息。
其中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
其中,所述认证网元包括:认证授权计费AAA服务器,或者,会话管理功能网元SMF。
第五方面,本发明实施例提供了一种验证网元,该验证网元包括该认证网元包括处理器、存储器和发射器以及接收器,所述处理器、存储器和发射器以及接收器相连接,该处理器可用于读取所述存储器1102中存储的程序代码,以实现第一方面的实施例中的所述认证网元的功能。其中:
所述接收器用于接收的UE接入数据网络DN的请求;
所述接收器还用于接收所述UE的第一认证标识以及所述UE的第二认证标识;
其中,所述UE的第一认证标识已通过认证服务功能网元AUSF的认证;所述UE的第二认证标识为所述UE用来请求接入所述DN所使用的标识;
所述处理器用于根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系,所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识;所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识;
所述发射器用于向所述UE发送所述认证结果。
第六方面,本发明实施例提供了又一种验证网元,该验证网元包括:获取模块、认证模块、发送模块,其中:
获取模块用于获取第一绑定信息;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;其中,所述第一认证标识表示所述UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识;还用于接收所述AMF发送的第一认证标识;其中,所述UE的第一认证标识为已通过所述UE与所述AUSF之间的网络认证的标识;还用于接收所述UE发送的所述UE的第二认证标识;
认证模块用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
发送模块用于向UE发送所述认证结果。
第七方面,本发明实施例提供了一种会话管理功能网元,该会话管理功能网元包括:接收模块、发送模块和确定模块,其中,接收模块用于接收AMF发送的UE的第一认证标识;所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的网络认证的标识;还用于接收所述UE发送的所述UE的第二认证标识;发送模块用于向认证授权计费AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,以便所述AAA服务器基于所述第一绑定信息检验所述UE的第一认证标识和所述UE的第二认证标识是否符合第一绑定关系;接收模块还用于接收所述AAA服务器发送的认证结果;
第八方面,本发明实施例提供了一种存储计算机指令的可读非易失性存储介质,该可读非易失性存储介质包括计算机指令,其中:
所述计算机指令被执行以实现第一方面描述的方法;或者,
所述计算机指令被执行以实现权利要求第二方面描述的方法;或者,
所述计算机指令被执行以实现权利要求第三方面描述的方法;或者,
所述计算机指令被执行以实现权利要求第四方面描述的方法。
第九方面,本发明实施例提供了一种UDM装置,该认证网元包括处理器、存储器和发射器以及接收器,所述处理器、存储器和发射器以及接收器相连接。接收器用于接收认证网元的请求;所述UDM根据所述请求向所述认证网元发送第一绑定信息;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示用户设备UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
在本发明实施例中,发射器用于根据所述请求向所述认证网元发送绑定信息,包括:发射器用于根据所述请求向所述认证网元发送签约数据,所述签约数据包括所述绑定信息。
在本发明实施例中,接收器用于接收所述认证网元发送的绑定信息更新请求;其中,所述绑定信息更新请求包括所述UE的第一认证标识与所述UE的第二认证标识之间的第二绑定关系;处理器用于根据所述绑定信息更新请求更新所述第一绑定信息。
在本发明实施例中,处理器用于根据所述绑定信息更新请求更新所述第一绑定信息,包括:处理器用于将所述第二绑定关系添加到所述第一绑定信息中,得到第二绑定信息。
第九方面,本发明实施例提供了又一种UDM装置,包括:发送模块,接收模块和更新模块,其中,接收模块用于接收认证网元的请求;发送模块用于根据所述请求向所述认证网元发送第一绑定信息;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示用户设备UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
第十一方面,本发明实施例提供了一种计算机程序产品,当计算机程序产品运行于计算机时,被执行以实现第一方面描述的方法,或者,被执行以实现第二方面描述的方法,或者,被执行以实现第三方面描述的方法,或者,被执行以实现第四方面描述的方法。
实施本发明实施例,认证网元将第一认证标识与第二认证标识的绑定关系保存下来。由于UE的第一认证标识已经通过了首要认证(UE与AUSF的网络认证),UE在需要接入运营商网络时,认证网元通过校验UE所提供的第二认证标识是否绑定已通过认证的第一认证标识,就可以判断UE的第二认证标识是否合法,从而得到次要认证(UE请求接入DN的网络认证)的验证结果,所以,实施本发明实施例可以明显地降低通信负担,降低资源消耗,提高认证效率。
附图说明
图1是本发明实施例提供的一种移动通信网络架构示意图;
图2是现有技术中的EAP-PSK标准的次要认证的流程示意图;
图3本发明实施例提供的一种网络验证方法的流程示意图;
图4a是本发明实施例提供的一种应用场景的的流程示意图;
图4b是本发明实施例提供的又一种应用场景的的流程示意图;
图4c是本发明实施例提供的又一种应用场景的的流程示意图;
图5是本发明实施例提供的一种绑定信息示意图;
图6是本发明实施例提供的几种绑定信息示意图;
图7是本发明实施例提供的几种绑定信息示意图;
图8本发明实施例提供的又一种网络验证方法的流程示意图;
图9本发明实施例提供的又一种网络验证方法的流程示意图;
图10本发明实施例提供的又一种网络验证方法的流程示意图;
图11本发明实施例提供的一种认证网元的结构示意图;
图12本发明实施例提供的一种AAA服务器的结构示意图;
图13本发明实施例提供的一种SMF装置的结构示意图;
图14本发明实施例提供的又一种SMF装置的结构示意图;
图15本发明实施例提供的一种UDM装置的结构示意图;
图16本发明实施例提供的又一种UDM装置的结构示意图;
图17本发明实施例提供的又一种网络验证方法的流程示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行清楚地描述。
为便于方案理解,首先结合相关附图来举例介绍本申请实施例的方案可能应用到的网络架构。图1为未来的移动通信的网络架构,该网络架构包括用户设备、接入网设备和运营商网络(如4G、5G等3GPP网络),运营商网络又包括核心网和数据网,用户设备通过接入网节点接入运营商网络。具体描述如下:
用户设备(User Equipment,UE),UE为逻辑实体,具体的,UE可以是终端设备(Terminal Equipment)、通信设备(Communication Device)、物联网(Internet ofThings,IoT)设备中的任意一种。其中,终端设备可以是智能手机(smart phone)、智能手表(smart watch),智能平板(smart tablet)等等。通信设备可以是服务器、网关(Gateway,GW)、控制器等等。物联网设备可以是传感器,电表以及水表等等。
无线接入网(Radio Access Net,RAN),RAN负责UE的接入,RAN可以是基站、无线保真(Wireless Fidelity,Wi-Fi)接入点、以及蓝牙接入点等等。本文中可把RAN中用于负责UE的接入的设备简称为接入网设备。
数据网络(Data network,DN),数据网络DN也被称为PDN(Packet Data Network)DN可以为运营商外部网络,也可以为运营商控制的网络,用于向用户提供业务服务。UE可通过接入运营商网络来访问DN,使用DN上的运营商或第三方提供的业务。DN可以有多个,DN上可部署运营商或第三方提供的业务。例如,某个DN是一个智能工厂的私有网络,智能工厂安装在车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器;UE与控制服务器通信,UE获取控制服务器的指令,根据指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工的终端扮演UE的角色,UE可以访问公司内部的IT资源。本发明实施例中,DN包括AAA服务器,在通过UE和AAA服务器通过次要认证之后,UE就可以接入到DN。
验证授权计费服务器(Authentication、Authorization、Accounting server,AAAserver),其主要目的是管理哪些用户可以访问DN。其中,验证(Authentication):为验证用户是否可以获得访问权限,授权(Authorization)为授权用户可以使用哪些服务,计费(Accounting)为记录用户使用网络资源的情况。需要说明的是,本发明实施例中的AAA服务器具有验证功能,但并不限定具有授权和计费功能。
核心网(core network,CN),CN作为承载网络提供到DN的接口,为UE提供通信连接、认证、管理、策略控制以及对数据业务完成承载等。其中,CN又包括:接入和移动管理网元、会话管理网元,认证服务器网元、策略控制节点、应用功能网元、用户面节点等,相关描述具体如下:
接入与移动管理网元(Access and Mobility Management Function,AMF),由运营商提供的控制面网元,负责UE接入运营商网络的接入控制和移动性管理。
会话管理网元(Session Management Function,SMF),由运营商提供的控制面网元,负责管理UE的数据包的会话。分组数据单元会话(Packet Data Unitsession,又称PDU会话)是一个用于传输PDU的通道,UE需要通过PDU会话与DN互相发送PDU。PDU会话由SMF负责建立和管理,PDU的常见类型为IP报文。
认证服务器网元(Authentication Server Function,AUSF),认证服务器功能网元AUSF是由运营商提供的控制面网元,用于首要认证(即运营商网络对网络签约用户的认证)。AUSF可以作为一个独立的逻辑功能实体单独部署,也可以集合在AMF/SMF等设备中。
统一数据管理网元(Unified Data Manager,UDM),由运营商提供的控制面网元,负责存储运营商网络的签约用户持久标识(Subscriber Permanent Identifier,SUPI)、注册信息、信任状(credential)、签约数据。这些数据用于UE接入运营商网络的认证和授权。
网络暴露功能网元(Network Exposure Function,NEF),NEF是由运营商提供控制面网元。NEF以安全的方式对第三方暴露运营商网络的对外接口。在SMF等网元需要与第三方网元通信时,可以以NEF为通信的中继。中继时NEF可以进行内外部标识的翻译。比如,将UE的SUPI从运营商网络发送到第三方时,NEF可以将SUPI翻译成其对应的外部ID。反之,NEF可以将外部ID在发送到运营商网络时,翻译成SUPI。
应用功能网元(Application Function,AF):用于存储业务安全需求,提供策略判定的信息。
用户面节点(User Plane Function,UPF):UPF可以是网关、服务器、控制器、用户面功能网元等。UPF可以设置在运营网内部,也可以设置在运营网外部。UPF是由运营商提供的用户面网元,是运营商网络与DN通信的网关。
下面,介绍本发明实施例所涉及到的首要认证和次要认证的概念。
首要认证(primary authentication):UE在接入运营商网络时,运营商网络首先要对UE进行首要认证。UE通过了首要认证后,才可以接入运营商网络,进一步地请求建立PDU会话,以访问DN,比如,UE与运营商网络中的AUSF进行首要认证。本发明实施例中,UE在与AUSF进行首要认证所使用的标识可称为首要ID(或第一认证标识),首要ID可以是签约用户持久标识(Subscriber Permanent Identifier,SUPI)、持久设备标识(PermanentEquipment Identification,PEI)等。例如,SUPI可储存在SIM卡中,SUPI的一种格式是国际移动用户识别码(International Mobile Subscriber Identification,IMSI),UE可与AUSF基于SUPI进行首要认证,如果通过了首要认证,则证明了UE所提供的SUPI(如SIM卡)是合法真实的,没有假冒;又例如,PEI指示了UE的设备ID,PEI的一种格式是国际移动设备身份码(International Mobile Equipment Identity,IMEI),UE可与AUSF基于PEI进行首要认证,则证明了UE所提供的PEI是合法真实的。在通过了首要认证后,UE就可以接入运营商网络,进一步地请求访问DN。
次要认证(secondary authentication):在UE通过了首要认证后,对于某些UE或某些DN,还需要进一步地进行认证,UE只有在通过该认证后,才被准许访问DN,这种进一步的认证可称为次要认证。比如,UE与运营商网络中的AAA服务器进行次要认证。本发明实施例中,UE在与AAA服务器进行次要认证所使用的标识可称为次要ID(或第二认证标识)。次要ID通常不同于首要ID,次要ID的格式灵活,例如,次要ID可以是用户账号(如银行卡账号、应用软件账号等)、会话初始协议统一资源标识(Session Initiation ProtocolUniformResource Identifier,SIPURI)等;又例如,智能工厂的私有网络中传感器(即UE)的次要ID可以是工厂分配的传感器ID;公司的内部办公网络中员工(即UE)的次要ID可以是员工在公司内的工号等等。UE通过了次要认证,则证明了UE所提供的次要ID是合法真实的,DN接入认证成功。需要说明的是,在通过了首要认证,UE接入DN之后,UE可能直接被允许访问DN,也有可能DN还要对UE做授权检查,比如检查UE是否已欠费等。
当运营商网络为5G网络时,通信网络中的硬件基础设施可切分出多个虚拟的端到端网络,称为切片,每个网络切片从UE到RAN到CN的过程在逻辑上隔离,以适配各种类型服务的不同需求。一个切片可以包含一个或多个DN。切片上部署的服务可以由单一提供方提供。例如,一个切片专用于一个第三方公司,该切片包含一个用于智能工厂的DN和一个用于员工远程办公的DN。这种情况下,多个DN的接入认证可以统一到切片级别的接入认证,一个UE通过了切片接入认证后,就准许接入该切片下的DN。在通过接入5G网络的首要认证之后,UE需要进一步地进行次要认证,才准许接入切片中的DN。
在现有技术中,UE可基于扩展认证协议(Key Extensible AuthenticationProtocol,EAP)访问DN,例如,UE基于扩展认证协议-预共享密钥(pre-shared key,PSK)标准(即EAP-PSK标准)进行次要认证,参见图2,认证流程如下:
1、在需要进行次要认证时,UE向AAA服务器发起EAP请求,该请求携带有次要ID。
2、AAA服务器向UE发送第一消息,第一消息包含|Flags||RAND_S||ID_S,其中,Flags用于标明消息编号,RAND_S为与AAA相关的16字节的随机数,ID_S为AAA服务器的ID。
3、UE向AAA服务器发送第二消息,包含:Flags||RAND_S||RAND_P||MAC_P||ID_P,
其中,Flags用于标明消息编号,RAND_S为与AAA相关的16字节的随机数,RAND_P为与UE相关的16字节的随机数;MAC_P为供AAA认证UE的消息校验码,计算规则为MAC_P=CMAC-AES-128(AK,ID_P||ID_S||RAND_S||RAND_P),其中,AK为UE和AAA预先共享的认证密钥,CMAC-AES-128为用于生成消息校验码的函数;ID_P为UE的ID。
4、AAA服务器向UE发送第一消息,包含:Flags||RAND_S||MAC_S||PCHANNEL_S_0,
其中,Flags用于标明消息编号,RAND_S为与AAA相关的16字节的随机数;MAC_S为供UE认证AAA服务器的消息校验码,计算规则为MAC_S=CMAC-AES-128(AK,ID_S||RAND_P);P_CHANNEL_S_0为用于建立受保护的通信通道的参数。
5、UE向AAA服务器发送第四消息,包含:|Flags||RAND_S||PCHANNEL_P_1,其中,Flags用于标明消息编号,RAND_S为与AAA相关的16字节的随机数,P_CHANNEL_P_1为用于建立受保护的通信通道的参数。
6、经过上述四条通信消息,AAA完成对UE的次要认证。AAA服务器向UE发送EAP通知,该通知包含认证结果。
可以看出,现有技术中,UE接入DN的次要认证过程需要多个消息(至少四条通信消息)来回认证,认证过程也会涉及哈希校验或证书校验等计算,通信负担重,计算资源开销大,认证效率较低。
为了降低通信负担,降低资源开销,提高认证效率,本发明实施例提供了一种网络认证方法,参见图3,包括以下步骤:
1、认证网元获得绑定信息。
本发明实施例中,UE所使用的首要ID(如SUPI、PEI)和次要ID通常较为固定,故首要ID和次要ID之间具有关联性,可以预先建立基于首要ID和次要ID之间的关联性的绑定关系。
认证网元可预先获得绑定信息,例如,认证网元可从本地存储中获得该绑定信息,或者,认证网元可从存储有绑定信息的其他网元(如UDM)中获得该绑定信息。其中,绑定信息可包括一对或多对首要ID与次要ID之间的绑定关系。
具体实施例中,首要ID为UE在与AUSF进行网络认证(即首要认证)所使用的标识,次要ID为UE在与DN的认证网元进行网络认证(即次要验证)所使用的标识。其中,认证网元具体可以是SMF、AAA服务器,也可以是其他网元。
2、UE与AUSF进行首要认证,AMF获得UE的首要ID。
认证开始时,AMF获得UE的首要ID,如果认证通过,则AMF确认UE的首要ID是真实合法的,也就是说,该UE的首要ID已通过所述UE与AUSF之间的首要认证。
3、UE向AMF发送UE的次要ID。
在一具体实施例中,UE可以向AMF发送PDU会话建立请求,该PDU会话建立请求中携带有该次要ID。
在又一具体实施例中,在PDU会话的承载已建立之后,UE向AMF发送IP报文,该IP报文中携带有该次要ID。
在又一具体实施例中,UE可基于AMF传输过来的身份请求向AMF发送身份响应,该身份响应中携带有该次要ID。
4、AMF将UE的首要ID、UE的次要ID发送给认证网元。
在可能的实施例中,AMF可将UE的首要ID和UE的次要ID通过同一条消息中发送给认证网元,AMF也可将UE的首要ID和UE的次要ID通过不同的消息分别发送给认证网元。
在可能的实施例中,AMF可将UE的首要ID和UE的次要ID通过同一条消息中发送给认证网元,AMF也可将UE的首要ID和UE的次要ID通过不同的消息(同时或者不同时)分别发送给认证网元。
在可能的实施例中,AMF可首先将UE的首要ID、UE的次要ID(同时或者不同时)发送给其他网元(例如SMF),再由其他网元发送给AAA服务器。
5、认证网元根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,获得验证结果。
在具体的实现中,认证网元收到UE的首要ID和UE的次要ID后,根据UE的首要ID查找所保存的绑定信息,如果能查到UE的首要ID对应的绑定关系,则判断UE的次要ID是否存在于该绑定关系中,若存在,则验证成功,验证结果为UE和DN之间的次要认证成功(DN接入成功);若不存在,则验证失败,验证结果为UE和DN之间的次要认证失败。需要说明的是,在不同的应用场景下,次要验证成功或次要验证失败的情况下,认证网元还可能对UE的验证结果进行不同的处理,将在下文进一步说明。
6、认证网元向UE发送认证结果。
具体实现中,认证网元可通过EAP通知消息向UE通知该认证结果。
需要说明的是,在本发明可能的实施例中,上述描述中的AMF可以是独立的网元,AMF也可以集合在其他网元(如SMF、AUSF等)中。另外,在可能的实施例中,AMF的角色还可以由其他网元来代理,本发明不做限制。
实施本发明实施例,认证网元将UE的次要ID与首要ID的绑定关系保存下来。由于首要ID已经通过了首要认证,UE在需要接入运营商网络时,认证网元通过校验UE所提供的次要ID是否绑定已通过认证的首要ID,就可以判断UE的次要ID是否合法,从而得到次要认证的验证结果。可以看出,在本发明实施例的次要认证过程仅需要步骤4中的一条携带首要ID、次要ID的消息,而验证网元所花费的计算开销仅是判断UE的首要ID和次要ID是否具有绑定关系,所以,实施本发明实施例可以明显地降低通信负担,降低资源消耗,提高认证效率。
下面举例说明三种实施例应用场景下的获得的次要认证的验证结果。
参见图4a,在第一种应用场景中,次要认证开始后,若验证网元检验到UE的首要ID与UE的次要ID符合绑定关系,则认证结果为DN接入认证成功(即UE和DN之间的网络认证成功,下同);若验证网元检验到UE的首要ID与UE的次要ID不符合绑定关系,则认证结果为DN接入认证失败(即UE和DN之间的网络认证失败,下同)。
可以看到,这种应用场景中,本发明实施例所提供的网络认证方法在次要认证中完全取代了常规认证方法(如EAP-PSK验证方法)。在整个认证过程中,无论管认证成功还是失败,整个认证过程代价都很小,能够明显地降低通信负担和资源开销,提高认证效率。
参见图4b,在第二种应用场景中,次要认证开始后,若验证网元检验到UE的首要ID与UE的次要ID符合绑定关系,则认证结果为DN接入认证成功;若验证网元检验到UE的首要ID与UE的次要ID不符合绑定关系,则认证网元根据常规认证方法(如EAP-PSK验证方法)对UE的次要ID进行认证,如果认证成功,则最终的认证结果为DN接入认证成功,这种情况下,验证网元会使用UE的首要ID与UE的次要ID更新绑定信息(比如将UE的首要ID与UE的次要ID的绑定关系增加到绑定信息中),以便于以后验证网元采用更新后的绑定信息对UE进行次要认证;如果认证失败,则最终的认证结果为DN接入认证失败。
需要说明的是,验证网元使用UE的首要ID与UE的次要ID更新绑定信息,具体为:如果绑定信息原本存储于验证网元的本地存储中,则验证网元使用UE的首要ID与UE的次要ID更新本地存储中绑定信息;如果绑定信息原本存储于其他网元(如UDM)中,则验证网元可将UE的首要ID与UE的次要ID的绑定关系发送给该网元,以便于该网元更新该绑定信息。
可以看到,这种应用场景中,本发明实施例所提供的网络认证方法在次要认证中部分地结合了常规认证方法。这一应用场景适用于绑定关系时有变化的情况。例如,在该DN的用户自行更换SIM卡、更换手机设备、更换银行卡等情况下,由于UE的首要ID发生改变,所以绑定关系也需要相应改变。在次要认证成功的情况下,应用本发明实施例所提供的网络认证方法能够使认证过程代价很小,能够明显地降低通信负担和资源开销。
参见图4c,在第三种应用场景中,次要认证开始后,若验证网元检验到UE的首要ID与UE的次要ID不符合绑定关系,则认证结果为DN接入认证失败;若验证网元检验到UE的首要ID与UE的次要ID符合绑定关系,认证网元根据常规认证方法(如EAP-PSK验证方法)对UE的次要ID进行进一步认证,如果认证成功,则最终的认证结果为DN接入认证成功;如果认证失败,则最终的认证结果为DN接入认证失败。
可以看到,这种应用场景中,本发明实施例所提供的网络认证方法在次要认证中部分地结合了常规认证方法。在次要认证失败的情况下,应用本发明实施例所提供的网络认证方法能够使认证过程代价很小,能够明显地降低通信负担和资源开销。在次要认证成功的情况下,应用本发明实施例所提供的网络认证方法结合常规认证方法能够形成双重认证保护,有利于提高了次要认证的安全性。
下面举例说明本发明实施例中绑定信息的一些实现形式。
本发明实施例中,绑定信息包括一对或多对首要ID与次要ID之间的绑定关系。具体实现中,绑定信息可以是数据库或者映射表(或称绑定关系表)等,相应的,绑定关系可以是数据库中的数据元素或映射表中的表项等。
参见图5,图5为本发明实施例提供的一种绑定信息的示意图,该绑定信息包括多个UE(UE1、UE2、UE3...uUEn)的绑定关系,UE1的绑定关系为(次要ID1,首要ID1),UE2的绑定关系为(次要ID2,首要ID2),UEn的绑定关系为(次要IDn,首要IDn),以此类推。举例来说,在次要认证中,验证网元获得的UE的首要ID为首要ID1,获得的UE的次要ID为次要ID1,由于首要ID1和次要ID1符合绑定关系,故次要认证成功。又举例来说,在次要认证中,验证网元获得的UE的首要ID为首要ID3,获得的UE的次要ID为次要ID1,由于首要ID3和次要ID1不符合绑定关系,故次要认证失败。
具体实现上,绑定信息中的首要ID可以是单独的SUPI(如图6中的601所示),或单独的PEI(如图6中的602所示),或单独的外部ID(如图6中的603所示),还可以是SUPI和PEI的组合(如图6中的604所示),或PEI和外部ID的组合(如图6中的605所示)。具体实现上,绑定信息中的首要ID也可以是SUPI(或PEI、或外部ID)和其他信息或地址的组合,比如和该PDU的会话地址的组合。具体实现上,绑定信息中的首要ID也可以是经过映射上述组合到的一个单一ID。具体实现上,首要ID也可以从形态上是一个随机数,从而保护ID的机密性。
参见图7,图7为本发明实施例提供的又一种绑定信息的示意图,该绑定信息包括多个UE(UE1、UE2、UE3...uUEn)的绑定关系,对于每个UE的绑定关系,可能包括m个首要ID和n个次要ID相关联。如图7中的701所示,UE1的绑定关系为(首要ID1,次要ID11、次要ID12...次要ID1i),UE2的绑定关系为(首要ID2,次要ID21、次要ID22...次要ID2j),UE3的绑定关系为(首要ID3,次要ID31、次要ID32...次要ID3k),以此类推。又如图7中的702所示,UE1的绑定关系为(次要ID1,首要ID11、首要ID12...首要ID1i),UE2的绑定关系为(次要ID2,首要ID21、首要ID22...首要ID2j),UE3的绑定关系为(次要ID3,首要ID31、首要ID32...首要ID3j),以此类推。
可以理解的,在图7的具体实现上,绑定信息中的首要ID可以是单独的SUPI,或单独的PEI,或单独的外部ID,还可以是SUPI和PEI的组合,或PEI和外部ID的组合,等等。
下面具体描述本发明实施例提供的网络认证方法。
参见图8,本发明实施例提供了的一种网络认证方法包括但不限于以下步骤:
1、AAA服务器获取绑定信息。
在一具体实施例中,AAA服务器可预先存储绑定信息。在另一具体实施例中,AAA服务器可从存储绑定信息的其他网元(如UDM)预先获取绑定信息。绑定信息可参考图5-图7实施例的描述。
2、UE与AUSF进行首要认证,AMF获得UE的首要ID。
认证开始时,AMF获得UE的首要ID,如果认证通过,则AMF确认UE的首要ID是真实合法的。
具体的,UE与AUSF基于UE的SUPI或UE的PEI进行首要认证,认证通过后,AMF将获得UE的SUPI和/或PEI。
3、UE向AMF发起PDU会话建立请求;相应的,AMF接收该PDU会话建立请求。
4、AMF将SUPI和/或PEI、PDU会话建立请求发送至SMF。
一具体实施例中,AMF分别将UE的PDU会话建立请求以及UE经过认证的SUPI或PEI发送给SMF。也就是说,在步骤2之后,AMF将UE的SUPI或PEI发送给SMF;在步骤3之后,AMF将UE的PDU会话建立请求转发至SMF。
另一具体实施例中,AMF将UE经过认证的SUPI或PEI放在PDU会话建立请求中发送至SMF。也就是说,在步骤2之后,AMF保存UE的SUPI或PEI,等到步骤3之后,AMF将UE的SUPI或PEI携带于PDU会话建立请求中,将该PDU会话建立请求发送至SMF。
5、SMF通过AMF向UE发起身份请求。
在可能的实施例中,在SMF通过AMF向UE发起身份请求之前,SMF可以先判断是否需要进行本发明实施例的次要认证,其判断依据可以是本地预存的策略,也可以是UE的PDU会话建立请求中携带相关策略,也可以是从UDM中UE的签约数据中读取相关策略,还可以是从其他网元(如AF)读取相关策略。
具体实现中,该身份请求可为EAP协议的身份请求(EAPidentity request)。
6、UE通过AMF向SMF反馈身份响应,该身份响应携带有UE的次要ID。
具体实现中,UE基于该身份请求生成身份响应,该身份响应可为EAP协议的身份响应(EAPidentity response)。
7、SMF将SUPI(或外部ID)和/或PEI、身份响应发送至AAA服务器。
在可能的实施例中,如果在步骤1中AAA服务器获得的绑定信息不包括次要ID和外部ID的绑定关系,则SMF将SUPI和/或PEI、身份响应发送至AAA服务器。
在可能的实施例中,如果在步骤4中SMF获得的首要ID包括SUPI,并且在步骤1中AAA服务器获得的绑定信息包括次要ID和外部ID的绑定关系,那么,SMF需要将UE的SUPI转换为UE的外部ID,具体的,SMF基于SUPI向UDM请求UE的签约数据,UDM向SMF发送UE的签约数据,该签约数据包含该UE的外部ID,该外部ID可以是经NEF对SUPI进行翻译后得到并存储于UDM的签约信息中的。这样,SMF在所获得的首要ID中使用UE的外部ID替换UE的SUPI。进而,SMF将外部ID和/或PEI、身份响应发送至AAA服务器。
在具体实施例中,SMF可将UE的身份响应转发给AAA服务器,同时,将UE的SUPI(或外部ID)和/或PEI也一起发送给AAA服务器。其中,该身份响应中包含UE的次要ID。
在具体实现中,SMF可将UE的SUPI(或外部ID)和/或PEI、UE的身份响应放在Diameter协议的认证授权请求(Authentication Authorization Request,AAR)或Diameter EAP请求(DiameterEAP Request,DER)中。
8、AAA服务器根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,得到验证结果。
AAA服务器收到UE的首要ID(SUPI(或外部ID)和/或PEI),以及UE的次要ID后,查询绑定信息,验证UE的首要ID和UE的次要ID是否符合绑定关系,若符合,则表明次要认证成功;若不符合,则表明次要认证失败。
在具体实现中,AAA服务器可以在本地预存的多组绑定关系中,查询是否存在上述首要ID和次要ID的组合;AAA服务器也可以向存储有绑定关系的其他网元(比如数据库服务器)查询是否存在上述首要ID和次要ID的组合,如果存在,则从中提取该首要ID对应的绑定关系,验证UE的首要ID和UE的次要ID是否符合绑定关系。
具体实现中,AAA服务器可基于不同的应用场景相应后续处理以及得到验证结果,可参考图4a、图4b和图4c实施例的描述。
9、AAA服务器将验证结果发送给SMF,SMF将验证结果发送给UE。
具体实现中,AAA服务器可将认证结果可以放在Diameter协议的的认证授权应答(Authentication Authorization Answer,AAA)或Diameter EAP应答(DiameterEAPAnswer,DEA)中。
需要说明的是,对于图8描述的实施例,在一种可能的实现方式中,UE的次要ID可以在步骤3中UE所发送的PDU会话建立请求中携带,这种情况下,可以将步骤5和步骤6替换为:由SMF来生成响应的身份响应(如EAP身份响应)。
还需要说明的是,对于图8描述的实施例,在一种可能的实现方式中,步骤1可能会放在步骤7之后、步骤8之前实现,也就是说,在AAA服务器获得SMF发送的SUPI(或外部ID)和/或PEI、身份响应之后,AAA服务器按需获取UE相关的绑定信息。
实施本发明实施例,AAA服务器预先获取次要ID与首要ID的绑定关系。在UE已通过了首要认证的情况下,当UE在需要进行次要认证时,AAA服务器通过校验UE所提供的次要ID是否绑定已通过认证的首要ID,就可以判断UE的次要ID是否合法,从而得到次要认证的验证结果。可以看出,在本发明实施例的次要认证过程仅需要步骤7中的一条携带首要ID、次要ID的消息,通信开销低,而AAA服务器所花费的计算开销仅是判断UE的首要ID和次要ID是否具有绑定关系,计算开销低。所以,实施本发明实施例可以明显地降低通信负担,降低资源消耗,提高认证效率。
参见图9,本发明实施例提供了又一种网络认证方法,该方法包括但不限于以下步骤:
1、AAA服务器获取第一绑定信息。
这里将绑定信息称为第一绑定信息,以便于和下文的第二绑定信息做区别。
在一具体实施例中,AAA服务器可预先存储第一绑定信息。在另一具体实施例中,AAA服务器可从存储第一绑定信息的其他网元(如UDM)预先获取第一绑定信息。第一绑定信息可参考图5-图7实施例的描述。
2、UE与AUSF进行首要认证,AMF获得UE的首要ID(如SUPI和/或PEI)。
认证开始时,AMF获得UE的首要ID,如果认证通过,则AMF确认UE的首要ID是真实合法的。
具体的,UE与AUSF基于UE的SUPI和/或UE的PEI进行首要认证,认证通过后,AMF确认UE的SUPI和/或PEI。
3、UE向AMF发起PDU会话建立请求;相应的,AMF接收该PDU会话建立请求。
具体实施例中,该PDU会话建立请求中携带有PDU类型的指示信息,PDU类型可以是互联网协议第4版(Internet Protocolversion 4,IPv4),也可以是互联网协议第6版(Internet Protocolversion 6,IPv6)。
4、AMF将SUPI和/或PEI、PDU会话建立请求发送至SMF。
可参考图8实施例步骤4的相关描述。
5、SMF为UE确定IP信息。
在可能的实施例中,在SMF为UE确定IP信息之前,SMF可以先判断是否需要进行本发明实施例的次要认证,其判断依据可以是本地预存的策略,也可以是UE的PDU会话建立请求中携带相关策略,也可以是从UDM中UE的签约数据中读取相关策略,还可以是从其他网元(如AF)读取相关策略。
在一具体实施例中,SMF具有IP地址池,SMF基于IP地址池和IP报文类型的指示信息为UE分配IP信息。
在另一具体实施例中,其他网元具有IP地址池,SMF将IP报文类型的指示信息发送给该网元,从而获得该网元所分配的IP信息,SMF将该IP信息进一步分配给UE。
其中,IP信息为IP地址或IP前缀。具体的:若IP报文类型为IPv4,则向UE分配IP地址。若IP报文类型是IPv6,则向UE分配IP前缀。也就是说,在进行次要认证之前,SMF提前为UE确定了IP地址或IP前缀。
6、SMF向AAA服务器发送PDU会话建立授权请求、UE的SUPI(或外部ID)和/或PEI、以及UE的IP信息。
在可能的实施例中,如果在步骤1中AAA服务器获得的绑定信息不包括次要ID和外部ID的绑定关系,则SMF将SUPI和/或PEI、PDU会话建立授权请求以及UE的IP信息发送至AAA服务器。
在可能的实施例中,如果在步骤4中SMF获得的首要ID包括SUPI,并且在步骤1中AAA服务器获得的绑定信息包括次要ID和外部ID的绑定关系,那么,SMF需要将UE的SUPI转换为UE的外部ID,具体的,SMF基于SUPI向UDM请求UE的签约数据,UDM向SMF发送UE的签约数据,该签约数据包含该UE的外部ID,这样,SMF在所获得的首要ID中使用UE的外部ID替换UE的SUPI。进而,SMF将外部ID和/或PEI、PDU会话建立授权请求以及UE的IP信息发送至AAA服务器。
在具体实施例中,SMF可将UE的SUPI(或外部ID)和/或PEI、以及UE的IP信息放在PDU会话建立授权请求中,并将该PDU会话建立授权请求发给AAA服务器。
7、AAA服务器根据第一绑定信息、SUPI(或外部ID)和/或PEI、IP信息得到第二绑定信息。
具体实施例中,AAA服务器根据第一绑定信息查询所收到UE的首要ID是否有对应的绑定关系,若能查询到该UE的首要ID对应的绑定关系,则提取该绑定关系中对应的次要ID,并基于该次要ID和IP信息生成第二绑定信息,该第二绑定信息包括次要ID和IP信息的绑定关系。
8、AAA服务器向SMF反馈PDU会话建立授权应答。
具体实施例中,在步骤7中AAA服务器根据第一绑定信息查询查询到该UE的首要ID对应的绑定关系的情况下,AAA服务器向SMF反馈PDU会话建立授权应答,该PDU会话建立授权应答指示了会话建立授权成功。
9、SMF触发PDU会话的承载建立。
具体实施例中,由于PDU会话建立授权应答指示会话建立授权成功,故SMF触发PDU会话的承载建立。在此过程中,SMF分别向UE和UPF发送在步骤6中所确定的IP地址或IP前缀,相应的,UE和UPF得到SMF为UE分配的IP地址或IP前缀。
10、UE向AAA服务器发送IP报文,IP报文中携带有次要ID和IP报文的源地址。
具体实现中,UE发送的IP报文可以是会话初始协议(Session InitiationProtocol,SIP)的注册(REGISTER)消息。
具体实现中,该次要ID的格式可为会话初始协议的统一资源标识SIP URI。
11、UPF对IP报文进行源地址仿冒检测。
UPF可用于转发IP报文,UPF在转发过程中根据从SMF获得UE的IP信息对IP报文进行源地址仿冒检测,以确保UE发送的IP报文的源地址匹配所述SMF为UE确定的IP地址或IP前缀。
12、UPF将IP报文发送至AAA。
13、AAA服务器根据第二绑定信息验证IP报文的源地址和UE的次要ID是否符合第二绑定关系,获得验证结果。
AAA服务器收到根据IP报文的源地址和UE的次要ID查询第二绑定信息,验证UE的首要ID和UE的次要ID是否符合绑定关系,若符合,则表明次要认证成功;若不符合,则表明次要认证失败。例如,AAA服务器根据IP报文中的UE的次要ID查询第二绑定信息,若能查询到UE的次要ID对应的第二绑定关系,且该第二绑定关系中的IP信息与IP报文的源地址相同,则次要认证成功。否则,次要认证失败。具体实现中,AAA服务器可基于不同的应用场景进行相应后续处理以及得到验证结果,可参考图4a、图4b和图4c实施例的描述。
实施本发明实施例,AAA服务器预先获取次要ID与首要ID的第一绑定关系,并在后续基于第一绑定关系生成第二绑定关系。在UE已通过了首要认证的情况下,当UE在需要进行次要认证时,UE直接向AAA服务器发送携带次要ID的IP报文,AAA服务器根据第二绑定关系校验UE的次要ID是否绑定IP报文的源地址,就可以判断UE的次要ID是否合法,从而得到次要认证的验证结果。可以看出,在本发明实施例的次要认证过程仅需要步骤6中的一条携带UE的首要ID和UE的IP信息的消息,通信开销低,而AAA服务器所花费的计算开销仅是判断UE的次要ID和IP报文的源地址是否具有绑定关系,计算开销低。所以,实施本发明实施例可以明显地降低通信负担,降低资源消耗,提高认证效率。另外,本发明实施例可应用于VoLTE、IMS等业务中,采用本发明实施例还可以在UE与AAA服务器的业务通信过程中避免UE的后续任何报文假冒其他UE的次要ID,提高通信安全性。
参见图10,本发明实施例提供了又一种网络认证方法,该方法包括但不限于以下步骤:
1、UDM预先存储UE的签约数据,该签约数据包括绑定信息。
由于UDM的签约数据中的首要ID通常较为固定,可预先在签约数据中存储相应的绑定信息,绑定信息包含一个或多个首要ID与次要ID列表的绑定关系,具体的,该绑定信息可参考图7实施例的描述,该首要ID可为SUPI和/或PEI。
2、UE与AUSF进行首要认证,AMF获得UE的首要ID。
认证开始时,AMF获得UE的首要ID,如果认证通过,则AMF确认UE的首要ID是真实合法的。
具体的,UE与AUSF基于UE的SUPI和/或UE的PEI进行首要认证,认证通过后,AMF确认UE的SUPI和/或PEI是真实合法的。
3、UE向AMF发起PDU会话建立请求,该PDU会话建立请求携带有UE的次要ID;相应的,AMF接收该携带有UE的次要ID的PDU会话建立请求。
4、AMF将UE的首要ID、PDU会话建立请求发送至SMF。
在一具体实施例中,AMF分别UE的SUPI和/或PEI、PDU会话建立请求发送给SMF。
另一具体实施例中,AMF将UE的SUPI和/或PEI放在PDU会话建立请求中发送至SMF。
5、SMF向UDM发送请求,以请求UE的签约数据,该请求携带有SUPI和/或PEI。
6、UDM向SMF反馈UE的签约数据,该签约数据包括绑定信息。
在具体实现中,UDM也可以将签约数据的绑定信息中该UE对应的绑定关系(首要ID与次要ID列表的绑定关系)提取出来,并发给SMF。
7、SMF根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,获得验证结果。
在可能的实施例中,在本步骤7之前,SMF可以先判断是否需要进行本发明实施例的次要认证,其判断依据可以是本地预存的策略,也可以是UE的PDU会话建立请求中携带相关策略,也可以是从UDM中UE的签约数据中读取相关策略。
SMF根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,若符合,则表明次要认证成功;若不符合,则表明次要认证失败。具体实施例中,SMF根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,获得验证结果,可以为:SMF判断UE的次要ID是否在该绑定关系的次要ID列表中。如果在,则表明次要认证成功;如果不在,则表明次要认证失败。
8、SMF将验证结果发送给UE。
需要说明的是,对于上述图10实施例,在一种可能的实现方式中,上述绑定信息还可以预先保存于SMF的本地存储中,也就是说,可以取消步骤1,且将步骤5和6替换为SMF在预存的绑定信息中查询是否存在UE的首要ID和UE的次要ID这一组合,或者,SMF读取本地存储中的绑定信息,在该绑定信息中提取UE对应的绑定关系。
实施本发明实施例,UDM预先存储次要ID与首要ID的绑定关系,SMF作为次要认证的网元。在UE已通过了首要认证的情况下,当UE在需要进行次要认证时,SMF通过UDM的签约数据获得相关的绑定关系,通过校验UE所提供的次要ID是否绑定已通过认证的首要ID,就可以判断UE的次要ID是否合法,从而得到次要认证的验证结果。可以看出,在本发明实施例的次要认证过程仅需要步骤4中的一条携带首要ID、次要ID的消息,通信开销低,而SMF所花费的计算开销仅是判断UE的首要ID和次要ID是否具有绑定关系,计算开销低。所以,实施本发明实施例可以明显地降低通信负担,降低资源消耗,提高认证效率。
上文描述了本发明实施例的方法,下面将描述本发明实施例的相关装置。
参见图11,本发明实施例提供了一种认证网元1100,该认证网元包括处理器1101、存储器1102和发射器1103以及接收器1104,所述处理器1101、存储器1102和发射器1103以及接收器1104相连接(如通过总线相互连接)。
存储器1102包括但不限于是随机存储记忆体(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory,EPROM)、或便携式只读存储器(Compact Disc Read-Only Memory,CD-ROM),该存储器1102用于存储相关指令及数据。
发射器1103用于发射数据,接收器1104用于接收数据。
处理器1101可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器1101是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1101用于读取所述存储器1102中存储的程序代码,以实现图3实施例中的所述认证网元的功能。
当认证网元1100为AAA服务器时,存储器1102中存储的程序代码具体用于实现图8或图9实施例中的所述AAA服务器的功能。具体的,处理器1101用于调用存储器1102中存储的程序代码,并执行以下步骤:
所述AAA服务器获取第一绑定信息;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;其中,所述第一认证标识表示所述UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识;
所述AAA服务器接收所述AMF发送的第一认证标识;其中,所述UE的第一认证标识为已通过所述UE与所述AUSF之间的网络认证的标识;
所述AAA服务器接收所述UE发送的所述UE的第二认证标识;
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
或者,在可能的实施方式中,所述认证网元为认证授权计费AAA服务器;其中:
所述接收器用于接收所述SMF发送的所述UE的第二认证标识;
所述处理器用于根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,得到第一认证结果;
所述接收器还用于接收所述SMF发送的UE的第一认证标识;
所述处理器还用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得第二认证结果。
需要说明的,当认证网元1100为AAA服务器时,处理器1101的执行步骤以及处理器1101涉及的其他技术特征还可参照前述图8或图9或后述图17实施例中的所述AAA服务器的相关内容,这里不再赘述。
当认证网元1100为SMF时,存储器1102中存储的程序代码具体用于实现图10实施例中的所述SMF的功能。具体的,处理器1101用于调用存储器1102中存储的程序代码,并执行以下步骤:
所述SMF接收接入与移动性管理功能网元AMF发送的第一认证标识;所述UE的第一认证标识为已通过所述UE与所述AUSF之间的网络认证的标识;
所述SMF接收所述UE发送的所述UE的第二认证标识;
所述SMF获取第一绑定信息,并根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;其中,所述第一认证标识表示所述UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
需要说明的,当认证网元1100为SMF时,处理器1101的执行步骤以及处理器1101涉及的其他技术特征还可参照图10实施例中的所述SMF的相关内容,这里不再赘述。
基于同一发明构思,本发明实施例还提供一种AAA服务器1200,如图12所示,AAA服务器1200可包括:获取模块1201、认证模块1202、发送模块1203。其中:
获取模块1201,用于获取第一绑定信息;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;其中,所述第一认证标识表示所述UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识;
还用于接收所述AMF发送的第一认证标识;其中,所述UE的第一认证标识为已通过所述UE与所述AUSF之间的网络认证的标识;
还用于接收所述UE发送的所述UE的第二认证标识;
认证模块1202,用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
可选的,AAA服务器1200还包括发送模块1203,用于将所述认证结果反馈至所述UE。
可选的,获取模块1201用于从本地存储中获取所述第一绑定信息。
可选的,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,认证模块1202在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
可选的,所述第一绑定信息中的第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
可选的,所述第一绑定信息中的第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI翻译而成的。
可选的,获取模块1201用于接收所述AMF发送的第一认证标识,包括:获取模块1201用于接收所述AMF通过会话管理功能网元SMF发送的所述UE的第一认证标识。
可选的,获取模块1201用于接收所述UE发送的所述UE的第二认证标识,包括:获取模块1201用于接收所述UE发送的EAP身份响应消息,所述EAP身份响应消息包括所述UE的第二认证标识。
可选的,获取模块1201用于接收所述UE发送的所述UE的第二认证标识,包括:所述AAA服务器接收所述SMF发送的EAP身份响应消息,所述EAP身份响应消息包括所述UE的第二认证标识,其中,所述UE的第二认证标识是所述UE通过会话建立请求发送至所述SMF的。
可选的,在根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,获取模块1201还用于接收所述SMF发送的IP信息,所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀;基于所述第一绑定信息获得第二绑定信息,所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系;
具体的,所述AAA服务器接收所述UE发送的所述UE的第二认证标识,具体为:获取模块1201用于接收所述UE发送的IP报文,所述IP报文包括所述UE的第二认证标识和UE的IP信息;
具体的,认证模块1202用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,具体为:认证模块1202根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。
在可能的实施方式中,所述认证网元为认证授权计费AAA服务器;其中:
所述获取模块1201用于接收所述SMF发送的所述UE的第二认证标识;
所述认证模块1202用于根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,得到第一认证结果;
所述获取模块1201还用于接收所述SMF发送的UE的第一认证标识;
所述认证模块1202还用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得第二认证结果。
需要说明的,通过前述图8或图9或后述图17实施例中的AAA服务器的详细描述,本领域技术人员可以清楚的知道AAA服务器1200所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,本发明实施例还提供一种SMF装置1300,如图13所示,SMF装置1300可包括:获取模块1301、认证模块1302、发送模块1303。其中:
获取模块1301,用于接收接入与移动性管理功能网元AMF发送的第一认证标识;
还用于接收所述UE发送的所述UE的第二认证标识;
还用于获取第一绑定信息;
认证模块1302用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
发送模块1303,用于向UE反馈所述认证结果。
可选的,获取模块1301用于从本地存储中获取所述绑定信息。
可选的,若认证成功,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,认证模块1302在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
可选的,获取模块1301用于获取绑定信息,包括:获取模块1301用于所述SMF接收统一数据管理网元UDM发送的所述绑定信息。
可选的,若认证成功,则认证结果为所述UE和所述DN之间的网络认证成功,发送模块1303用于通知所述UDM更新所述UDM所存储的绑定关系。
可选的,获取模块1301用于接收所述UE发送的所述UE的第二认证标识,包括:获取模块1301用于接收所述UE发送的会话建立请求,所述会话建立请求包括所述UE的第二认证标识。
其中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
可选的,在所述绑定信息中,每个第一认证标识对应至少一个第二认证标识;获取模块1301用于根据所述绑定信息认证所述UE的第一认证标识与所述UE的第二认证标识是否具有绑定关系,包括:获取模块1301用于根据所述UE的第一认证标识查找所述绑定信息,获得与所述UE的第一认证标识对应的至少一个第二认证标识;认证模块1302检验所述UE的第二认证标识是否在所述对应的至少一个第二认证标识中。
需要说明的,通过前述图10实施例中SMF的详细描述,本领域技术人员可以清楚的知道SMF装置1300所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,本发明实施例还提供又一种SMF装置1400,如图14所示,SMF装置1400可包括:
接收模块1401,用于接收AMF发送的UE的第一认证标识;所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的网络认证的标识;
还用于接收所述UE发送的所述UE的第二认证标识;
发送模块1402,用于向认证授权计费AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,以便所述AAA服务器基于所述第一绑定信息检验所述UE的第一认证标识和所述UE的第二认证标识是否符合第一绑定关系;
接收模块1401还用于接收所述AAA服务器发送的认证结果;
其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示所述UE在与所述AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
可选的,接收模块1401用于接收所述UE发送的所述UE的第二认证标识,包括:接收模块1401用于接收所述UE发送的会话建立请求,所述会话建立请求包括所述UE的第二认证标识。
可选的,发送模块1402用于向AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,包括:发送模块1402用于向所述AAA服务器发送请求消息,所述请求消息用于请求所述AAA服务器认证所述UE的身份;所述请求消息包括所述UE的第一认证标识与所述UE的第二认证标识。
可选的,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
可选的,所述第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI翻译而成的,所述外部标识携带于UDM的签约数据中,接收模块1401用于获取所述UDM中的所述签约数据。
可选的,在向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识之前,接收模块1401还用于获取认证策略,所述认证策略用于指示所述SMF是否向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识;
具体的,发送模块1402用于向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识,具体为:在所述认证策略指示所述SMF向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识的情况下,发送模块1402用于向所述AAA服务器发送所述UE的第一认证标识和所述UE的第二认证标识。
其中,所述认证策略存储于SMF的本地存储中;或者,所述认证策略携带于所述UE发送的会话建立请求中;或者,所述认证策略携带于UDM所发送的签约数据中。
可选的,SMF装置1400还可包括确定模块1403,确定模块1403用于为所述UE的第一认证标识确定IP信息,所述IP信息为IP地址或IP前缀;发送模块1402用于向所述UE发送所述IP信息;发送模块1402还用于向所述AAA服务器发送所述IP信息。
需要说明的,通过前述图8或图9实施例中SMF的详细描述,本领域技术人员可以清楚的知道SMF装置1400所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
基于同一发明构思,本发明实施例还提供又一种UDM装置1400,如图15所示,UDM装置1400可包括:
接收模块1501,用于接收认证网元的请求;
发送模块1502,用于根据所述请求向所述认证网元发送第一绑定信息;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示用户设备UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
在本发明实施例中,发送模块1502用于根据所述请求向所述认证网元发送绑定信息,包括:
发送模块1502根据所述请求向所述认证网元发送签约数据,所述签约数据包括所述绑定信息。
在本发明实施例中,接收模块1501接收所述认证网元发送的绑定信息更新请求;其中,所述绑定信息更新请求包括所述UE的第一认证标识与所述UE的第二认证标识之间的第二绑定关系;所述UDM还包括更新模块1503,更新模块1503用于根据所述绑定信息更新请求更新所述第一绑定信息。
在本发明实施例中,所述更新模块1503根据所述绑定信息更新请求更新所述第一绑定信息,包括:更新模块1503将所述第二绑定关系添加到所述第一绑定信息中,得到第二绑定信息。
其中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
其中,所述认证网元包括:认证授权计费AAA服务器,或者,会话管理功能网元SMF。
需要说明的,通过前述图8或图9或图10实施例中UDM的详细描述,本领域技术人员可以清楚的知道UDM装置1500所包含的各个功能模块的实现方法,所以为了说明书的简洁,在此不再详述。
参见图16,本发明实施例提供了一种UDM装置1600,该认证网元包括处理器1601、存储器1602和发射器1603以及接收器1604,所述处理器1601、存储器1602和发射器1603以及接收器1604相连接(如通过总线相互连接)。
该存储器1602用于存储相关指令及数据。
发射器1603用于发射数据,接收器1604用于接收数据。
处理器1601可以是一个或多个中央处理器(Central Processing Unit,CPU),在处理器1601是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
该处理器1601用于读取所述存储器1602中存储的程序代码,以实现前述图8或图9或图10实施例中UDM的功能。
其中,接收器1604用于接收认证网元的请求;所述UDM根据所述请求向所述认证网元发送第一绑定信息;其中,所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系;所述第一认证标识表示用户设备UE在与认证服务功能网元AUSF进行网络认证所使用的标识,所述第二认证标识表示所述UE在请求接入数据网络DN的网络认证时所使用的标识。
发射器1603用于根据所述请求向所述认证网元发送绑定信息,包括:
发射器1603用于根据所述请求向所述认证网元发送签约数据,所述签约数据包括所述绑定信息。
在本发明实施例中,接收器1604用于接收所述认证网元发送的绑定信息更新请求;其中,所述绑定信息更新请求包括所述UE的第一认证标识与所述UE的第二认证标识之间的第二绑定关系;处理器1601用于根据所述绑定信息更新请求更新所述第一绑定信息。
在本发明实施例中,处理器1601用于根据所述绑定信息更新请求更新所述第一绑定信息,包括:处理器1601用于将所述第二绑定关系添加到所述第一绑定信息中,得到第二绑定信息。
其中,所述第一认证标识包括:签约用户持久标识SUPI,和/或,持久设备标识PEI。
其中,所述认证网元包括:认证授权计费AAA服务器,或者,会话管理功能网元SMF。
参见图17,本发明实施例提供了又一种网络认证方法。在本方法中,次要认证与绑定信息检验是分阶段进行的,先按照现有的次要认证流程(如图2所示的常规认证流程)进行次要认证,常规认证通过后,AAA服务器才启动绑定信息的检验。该方法包括但不限于以下步骤:
1、AAA服务器获取绑定信息。
在一具体实施例中,AAA服务器可预先存储绑定信息。在另一具体实施例中,AAA服务器可从存储绑定信息的其他网元(如UDM)预先获取绑定信息。绑定信息可参考图5-图7实施例的描述。
2、UE与AUSF进行首要认证,AMF获得UE的首要ID。
认证开始时,AMF获得UE的首要ID,如果认证通过,则AMF确认UE的首要ID是真实合法的。具体的,UE与AUSF基于UE的SUPI或UE的PEI进行首要认证,认证通过后,AMF将获得UE的SUPI和/或PEI。
3、UE向AMF发起PDU会话建立请求;相应的,AMF接收该PDU会话建立请求。
4、AMF将SUPI和/或PEI、PDU会话建立请求发送至SMF。
在一具体实施例中,AMF分别将UE的PDU会话建立请求以及UE经过认证的SUPI或PEI发送给SMF。也就是说,在步骤2之后,AMF将UE的SUPI或PEI发送给SMF;在步骤3之后,AMF将UE的PDU会话建立请求转发至SMF。
另一具体实施例中,AMF将UE经过认证的SUPI或PEI放在PDU会话建立请求中发送至SMF。也就是说,在步骤2之后,AMF保存UE的SUPI或PEI,等到步骤3之后,AMF将UE的SUPI或PEI携带于PDU会话建立请求中,将该PDU会话建立请求发送至SMF。
5、SMF通过AMF向UE发起身份请求。
在可能的实施例中,在SMF通过AMF向UE发起身份请求之前,SMF可以先判断是否需要进行本发明实施例的次要认证,其判断依据可以是本地预存的策略,也可以是UE的PDU会话建立请求中携带相关策略,也可以是从UDM中UE的签约数据中读取相关策略,还可以是从其他网元(如AF)读取相关策略。
具体实现中,该身份请求可为EAP协议的身份请求(EAP identity request)。
6、UE通过AMF向SMF反馈身份响应,该身份响应携带有UE的次要ID。
具体实现中,UE基于该身份请求生成身份响应,该身份响应可为EAP协议的身份响应(EAP identity response)。
7、SMF将身份响应发送至AAA服务器。
在可能的实施例中,该身份响应包含次要ID。具体实现中,该身份响应可以为次要认证请求,该请求包含需要进行次要认证的认证信息。
8、AAA服务器与UE进行次要认证。
本步骤中次要认证为常规认证,即这个次要认证不进行检验绑定关系。具体流程可以参考图2的描述。需要说明的是,在具体实现中,次要认证还可以采用不同与图2所述的其他EAP方法。
9、AAA服务器将次要认证的结果(或称为第一认证结果)发送给SMF。
在可能的实施例中,如果次要认证成功,该第一认证结果用于确认检验绑定关系前的次要认证成功。
在可能的实施例中,如果次要认证成功,该第一认证结果包括SUPI、和/或PEI、和/或外部ID请求。
在可能的实施例中,如果认证成功,该次要认证结果包括会话地址请求。
10、SMF继续同UE进行PDU会话的建立过程。
11、PDU会话成功建立以后,SMF将SUPI(或外部ID)和/或PEI、身份响应发送至AAA服务器。
在可能的实施例中,如果在步骤1中AAA服务器获得的绑定信息不包括次要ID和外部ID的绑定关系,则SMF将SUPI和/或PEI、身份响应发送至AAA服务器。
在可能的实施例中,如果在步骤4中SMF获得的首要ID包括SUPI,并且在步骤1中AAA服务器获得的绑定信息包括次要ID和外部ID的绑定关系,那么,SMF需要将UE的SUPI转换为UE的外部ID,具体的,SMF基于SUPI向UDM请求UE的签约数据,UDM向SMF发送UE的签约数据,该签约数据包含该UE的外部ID,该外部ID可以是经NEF对SUPI进行翻译后得到并存储于UDM的签约信息中的。这样,SMF在所获得的首要ID中使用UE的外部ID替换UE的SUPI。进而,SMF将外部ID和/或PEI、身份响应发送至AAA服务器。
在具体实施例中,SMF可将UE的身份响应转发给AAA服务器,同时,将UE的SUPI(或外部ID)和/或PEI也一起发送给AAA服务器。其中,该身份响应中包含UE的次要ID。
在具体实现中,SMF可将UE的SUPI(或外部ID)和/或PEI、UE的身份响应放在Diameter协议的认证授权请求(Authentication Authorization Request,AAR)或Diameter EAP请求(DiameterEAP Request,DER)中。
12、AAA服务器根据绑定信息验证UE的首要ID和UE的次要ID是否符合绑定关系,得到第二认证结果。
AAA服务器收到UE的首要ID(SUPI(或外部ID)和/或PEI),以及UE的次要ID后,查询绑定信息,验证UE的首要ID和UE的次要ID是否符合绑定关系,若符合,则第二认证结果表明最终的次要认证成功;若不符合,则第二认证结果表明最终的次要认证失败。
在具体实现中,AAA服务器可以在本地预存的多组绑定关系中,查询是否存在上述首要ID和次要ID的组合;AAA服务器也可以向存储有绑定关系的其他网元(比如数据库服务器)查询是否存在上述首要ID和次要ID的组合,如果存在,则从中提取该首要ID对应的绑定关系,验证UE的首要ID和UE的次要ID是否符合绑定关系。
13、可选的,AAA服务器将第二认证结果发送给SMF,SMF将第二认证结果发送给UE。
在可能的实施例中,如果第二认证结果为首要ID和次要ID符合绑定关系,AAA可以不发送验证结果给UE。因为在步骤10中,SMF与UE建立PDU会话的过程中,UE已经获知认证通过,虽然那时是无绑定验证的次要认证。
在可能的实施例中,如果第二认证结果为首要ID和次要ID不符合绑定关系,AAA服务器可以发送认证失败的结果给UE。
在另一种可能的实施例中,如果第二认证结果为首要ID和次要ID不符合绑定关系,AAA服务器可以不发送第二认证结果给UE。而是启动修改授权流程或者启动取消授权的流程。
具体实现中,AAA服务器可将认证结果可以放在Diameter协议的的认证授权应答(Authentication Authorization Answer,AAA)或Diameter EAP应答(DiameterEAPAnswer,DEA)中。
需要说明的是,对于图11描述的实施例,在一种可能的实现方式中,步骤1可能会放在步骤11之后、步骤12之前实现,也就是说,在AAA服务器获得SMF发送的SUPI(或外部ID)和/或PEI、身份响应之后,AAA服务器按需获取UE相关的绑定信息。
实施本发明实施例,AAA服务器预先获取次要ID与首要ID的绑定关系。在UE已通过了首要认证的情况下,当UE在需要进行次要认证时,先按照现有的次要认证流程(常规认证)进行次要认证。认证通过后,AAA认证服务器再向SMF发送请求,请求发送用于验证的绑定信息。在SMF发送给AAA服务器上述信息后,AAA服务器才启动绑定信息的检验。AAA服务器通过校验UE所提供的次要ID是否绑定已通过认证的首要ID,就可以进一步判断UE的次要ID是否合法,从而得到次要认证的最终验证结果。这种方法的优点是只发送绑定信息给需要做绑定认证的AAA服务器,而AAA服务器所花费的计算开销仅是判断UE的首要ID和次要ID是否具有绑定关系,计算开销低。所以,实施本发明实施例可以明显地提高安全性。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者任意组合来实现。当使用软件实现时,可以全部或者部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令,在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络或其他可编程装置。所述计算机指令可存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网络站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、微波等)方式向另一个网络站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质,也可以是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带等)、光介质(例如DVD等)、或者半导体介质(例如固态硬盘)等等。
在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (39)
1.一种网络验证方法,其特征在于,所述方法包括:
认证网元接收的UE接入数据网络DN的请求;
所述认证网元接收所述UE的第一认证标识以及所述UE的第二认证标识;所述UE的第一认证标识已通过认证服务功能网元AUSF的认证;所述UE的第二认证标识为所述UE用来请求接入所述DN所使用的标识;
所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合第一绑定关系,获得认证结果;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系,所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识;所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识。
2.根据权利要求1所述的方法,其特征在于,所述第一绑定信息包括映射表,所述映射表包括一个或多个表项,每一个表项包括至少一个与UE关联的所述第一绑定关系。
3.根据权利要求1所述的方法,其特征在于,所述第一绑定信息包括数据库,所述数据库包括一个或多个数据元素,每一个数据元素包括至少一个与UE关联的所述第一绑定关系。
4.根据权利要求1至3任一项所述的方法,其特征在于,第一绑定信息预先保存在所述认证网元的本地存储中。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述第一绑定信息预先保存在统一数据管理网元UDM的签约数据中;
所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,包括:
所述认证网元从所述UDM的签约数据中获取所述第一绑定信息。
6.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述请求接入所述DN成功。
7.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述请求接入所述DN成功;
若所述UE的第一认证标识与所述UE的第二认证标识不符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功,则认证结果为所述请求接入所述DN成功,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息。
8.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功,则认证结果为所述请求接入所述DN成功。
9.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元为认证授权计费AAA服务器;
所述方法包括:
所述AAA服务器接收SMF发送的UE的第一认证标识;
所述AAA服务器接收所述SMF发送的所述UE的第二认证标识;
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
10.根据权利要求9所述的方法,其特征在于,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:
所述AAA服务器在所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
11.根据权利要求9所述的方法,其特征在于,所述第一绑定信息中的第一认证标识包括:签约用户持久标识SUPI和久设备标识PEI中的至少一个。
12.根据权利要求9所述的方法,其特征在于,所述第一绑定信息中的第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI映射而成的,其中,在UDM的签约数据中包括所述SUPI与所述外部标识之间的映射关系。
13.根据权利要求9所述的方法,其特征在于,
在所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,还包括:所述AAA服务器接收所述SMF发送的IP信息,所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀;所述AAA服务器基于所述第一绑定信息获得第二绑定信息,所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系;
所述AAA服务器接收所述UE发送的所述UE的第二认证标识,具体为:所述AAA服务器接收所述UE发送的IP报文,所述IP报文包括所述UE的第二认证标识和UE的IP信息;
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,具体为:所述AAA服务器根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。
14.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元为认证授权计费AAA服务器;
所述方法包括:
所述AAA服务器接收SMF发送的所述UE的第二认证标识;
所述AAA服务器根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,得到第一认证结果;
所述AAA服务器接收所述SMF发送的UE的第一认证标识;
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得第二认证结果。
15.根据权利要求1至3任一项所述的方法,其特征在于,所述认证网元为会话管理功能网元SMF;
所述方法包括:
所述SMF接收接入与移动性管理功能网元AMF发送的第一认证标识;
所述SMF接收所述UE发送的所述UE的第二认证标识;
所述SMF获取第一绑定信息,并根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
16.根据权利要求15所述的方法,其特征在于,所述SMF获取绑定信息,包括:
所述SMF从本地存储中获取所述绑定信息。
17.根据权利要求16所述的方法,其特征在于,所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:
所述SMF在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系;或者,
所述SMF通知存储有所述第一绑定信息的UDM更新所述第一绑定信息。
18.根据权利要求15所述的方法,其特征在于,所述第一认证标识包括:签约用户持久标识SUPI和持久设备标识PEI中的至少一项。
19.根据权利要求15所述的方法,其特征在于,在所述第一绑定信息中,每个第一认证标识对应至少一个第二认证标识;
所述SMF根据所述绑定信息认证所述UE的第一认证标识与所述UE的第二认证标识是否具有绑定关系,包括:
所述SMF根据所述UE的第一认证标识查找所述第一绑定信息,获得与所述UE的第一认证标识对应的至少一个第二认证标识;
所述SMF检验所述UE的第二认证标识是否在所述对应的至少一个第二认证标识中。
20.一种认证网元,其特征在于,所述认证网元包括:发射器、接收器、存储器和与存储器耦合的处理器,所述发射器、所述接收器、所述存储器、所述处理器可通过总线或者其它方式连接;其中:
所述接收器用于接收的UE接入数据网络DN的请求;
所述接收器还用于接收所述UE的第一认证标识以及所述UE的第二认证标识;
其中,所述UE的第一认证标识已通过认证服务功能网元AUSF的认证;所述UE的第二认证标识为所述UE用来请求接入所述DN所使用的标识;
所述处理器用于根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合第一绑定关系,获得认证结果;所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系,所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识;所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识;
所述发射器用于向所述UE发送所述认证结果。
21.根据权利要求20所述的认证网元,其特征在于,所述第一绑定信息包括映射表,所述映射表包括一个或多个表项,每一个表项包括至少一个与UE关联的所述第一绑定关系。
22.根据权利要求20所述的认证网元,其特征在于,所述第一绑定信息包括数据库,所述数据库包括一个或多个数据元素,每一个数据元素包括至少一个与UE关联的所述第一绑定关系。
23.根据权利要求20至22任一项所述的认证网元,其特征在于,所述存储器用于存储所述第一绑定信息。
24.根据权利要求20至22任一项所述的认证网元,其特征在于,所述第一绑定信息预先保存在统一数据管理网元UDM的签约数据中;
所述处理器用于根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,包括:
所述接收器用于从所述UDM的签约数据中获取所述第一绑定信息。
25.根据权利要求20至22任一项所述的认证网元,其特征在于,所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述请求接入所述DN成功。
26.根据权利要求20至22任一项所述的认证网元,其特征在于,所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则认证结果为所述请求接入所述DN成功;
若所述UE的第一认证标识与所述UE的第二认证标识不符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功,则认证结果为所述请求接入所述DN成功,所述处理器用于根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息。
27.根据权利要求20至22任一项所述的认证网元,其特征在于,所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果,包括:
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系,则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功,则认证结果为所述请求接入所述DN成功。
28.根据权利要求20至22任一项所述的认证网元,其特征在于,所述认证网元为认证授权计费AAA服务器;其中:
所述接收器用于接收SMF发送的UE的第一认证标识;
所述接收器还用于接收所述SMF发送的所述UE的第二认证标识;
所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果。
29.根据权利要求28所述的认证网元,其特征在于,所述处理器用于根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:
所述处理器用于在所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
30.根据权利要求28所述的认证网元,其特征在于,所述第一绑定信息中的第一认证标识包括:签约用户持久标识SUPI和久设备标识PEI中的至少一个。
31.根据权利要求28所述的认证网元,其特征在于,所述第一绑定信息中的第一认证标识包括:外部标识,或,外部标识和持久设备标识PEI;其中,所述外部标识是由签约用户持久标识SUPI映射而成的,其中,在UDM的签约数据中包括所述SUPI与所述外部标识之间的映射关系。
32.根据权利要求28所述的认证网元,其特征在于,
在所述处理器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前,还包括:所述接收器用于接收所述SMF发送的IP信息,所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀;所述处理器用于基于所述第一绑定信息获得第二绑定信息,所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系;
所述接收器用于接收所述UE发送的所述UE的第二认证标识,具体为:所述接收器用于接收所述UE发送的IP报文,所述IP报文包括所述UE的第二认证标识和UE的IP信息;
所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,具体为:所述处理器用于根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。
33.根据权利要求20至22任一项所述的认证网元,其特征在于,所述认证网元为认证授权计费AAA服务器;其中:
所述接收器用于接收SMF发送的所述UE的第二认证标识;
所述处理器用于根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证,得到第一认证结果;
所述接收器还用于接收所述SMF发送的UE的第一认证标识;
所述处理器还用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得第二认证结果。
34.根据权利要求20至22任一项所述的认证网元,其特征在于,所述认证网元为会话管理功能网元SMF;其中:
所述接收器用于接收接入与移动性管理功能网元AMF发送的第一认证标识;
所述接收器还用于接收所述UE发送的所述UE的第二认证标识;
所述处理器用于根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系,获得认证结果;
所述发射器用于向所述UE发送所述认证结果。
35.根据权利要求34所述的认证网元,其特征在于,包括:
所述存储器用于存储所述第一绑定信息。
36.根据权利要求35所述的认证网元,其特征在于,所述处理器用于根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息,包括:
所述处理器用于在所述存储器的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系;或者,
所述发射器用于通知存储有所述第一绑定信息的UDM更新所述第一绑定信息。
37.根据权利要求34所述的认证网元,其特征在于,所述第一认证标识包括:签约用户持久标识SUPI和持久设备标识PEI中的至少一项。
38.根据权利要求34所述的认证网元,其特征在于,在所述第一绑定信息中,每个第一认证标识对应至少一个第二认证标识;
所述处理器用于根据所述绑定信息认证所述UE的第一认证标识与所述UE的第二认证标识是否具有绑定关系,包括:
所述处理器用于根据所述UE的第一认证标识查找所述第一绑定信息,获得与所述UE的第一认证标识对应的至少一个第二认证标识;检验所述UE的第二认证标识是否在所述对应的至少一个第二认证标识中。
39.一种存储计算机指令的可读非易失性存储介质,其特征在于,所述可读非易失性存储介质包括计算机指令,
所述计算机指令被执行以实现权利要求1至19中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| SGPCT/SG2017/050366 | 2017-07-20 | ||
| PCT/SG2017/050366 WO2019017835A1 (zh) | 2017-07-20 | 2017-07-20 | 网络验证方法、相关设备及系统 |
| PCT/SG2018/050180 WO2019017840A1 (zh) | 2017-07-20 | 2018-04-09 | 网络验证方法、相关设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110800331A CN110800331A (zh) | 2020-02-14 |
| CN110800331B true CN110800331B (zh) | 2023-03-10 |
Family
ID=65015787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880040110.7A Active CN110800331B (zh) | 2017-07-20 | 2018-04-09 | 网络验证方法、相关设备及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20200153830A1 (zh) |
| EP (1) | EP3629613B1 (zh) |
| CN (1) | CN110800331B (zh) |
| WO (2) | WO2019017835A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2900513T3 (es) * | 2019-04-01 | 2022-03-17 | Ntt Docomo Inc | Métodos y componentes de red de comunicación para iniciar una autenticación y una autorización específicas de segmento |
| EP3959909A4 (en) * | 2019-04-25 | 2022-06-15 | Telefonaktiebolaget LM Ericsson (publ.) | PROCEDURES AND NETWORK NODES FOR TRACKING USER DEVICES |
| CN111615219B (zh) * | 2019-04-30 | 2022-02-22 | 维沃移动通信有限公司 | 一种pc5链路建立方法、设备及系统 |
| EP4021047A4 (en) * | 2019-08-19 | 2023-09-06 | LG Electronics Inc. | AUTHENTICATION FOR RELAY |
| EP4138431A1 (en) | 2019-11-02 | 2023-02-22 | Apple Inc. | Methods and apparatus to support access to services for multiple subscriber identity modules |
| WO2021168829A1 (zh) * | 2020-02-28 | 2021-09-02 | 华为技术有限公司 | 一种用户标识的验证方法及相关设备 |
| WO2021178387A1 (en) * | 2020-03-03 | 2021-09-10 | The Trustees Of Princeton University | System and method for phone privacy |
| CN113746649B (zh) * | 2020-05-14 | 2022-12-06 | 华为技术有限公司 | 一种网络切片控制方法及通信装置 |
| KR102709020B1 (ko) * | 2020-06-03 | 2024-09-25 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 인증 및 인가를 위한 방법 및 장치 |
| CN113904781B (zh) * | 2020-06-20 | 2023-04-07 | 华为技术有限公司 | 切片认证方法及系统 |
| CN113839909B (zh) * | 2020-06-23 | 2023-05-05 | 华为技术有限公司 | 数据报文处理的方法、装置和系统 |
| CN114024693B (zh) * | 2020-07-16 | 2024-11-08 | 中国移动通信有限公司研究院 | 一种认证方法、装置、会话管理功能实体、服务器及终端 |
| WO2022031553A1 (en) * | 2020-08-04 | 2022-02-10 | Intel Corporation | Data plane for big data and data as a service in next generation cellular networks |
| WO2022027686A1 (zh) * | 2020-08-07 | 2022-02-10 | 华为技术有限公司 | 一种注册方法及装置 |
| US12149517B2 (en) * | 2020-10-26 | 2024-11-19 | Micron Technology, Inc. | Management of identifications of an endpoint having a memory device secured for reliable identity validation |
| US20240236675A9 (en) * | 2021-02-19 | 2024-07-11 | Apple Inc. | User Equipment Authentication and Authorization Procedure for Edge Data Network |
| CN116889004A (zh) * | 2021-02-19 | 2023-10-13 | 苹果公司 | 用于边缘数据网络重定位的认证指示 |
| CN115412911A (zh) * | 2021-05-28 | 2022-11-29 | 华为技术有限公司 | 一种鉴权方法、通信装置和系统 |
| CN118235365A (zh) * | 2021-11-15 | 2024-06-21 | 中兴通讯股份有限公司 | 无线网络认证方法和系统 |
| CN114374942B (zh) * | 2021-12-29 | 2024-05-28 | 天翼物联科技有限公司 | 基于机卡绑定的业务处理方法、系统、装置和存储介质 |
| WO2023216083A1 (zh) * | 2022-05-09 | 2023-11-16 | 北京小米移动软件有限公司 | 认证方法、装置、介质和芯片 |
| CN117320002A (zh) * | 2022-06-25 | 2023-12-29 | 华为技术有限公司 | 通信方法及装置 |
| US12192759B2 (en) | 2022-07-22 | 2025-01-07 | Cisco Technology, Inc. | Fifth generation (5G) authentication and key agreement user equipment authentication |
| CN115866598B (zh) * | 2023-02-27 | 2023-05-23 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| CN118945656A (zh) * | 2023-05-11 | 2024-11-12 | 华为技术有限公司 | 通信方法和通信设备、存储介质、程序产品 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082775A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团公司 | 一种用户身份管理方法、装置和系统 |
| CN102209012A (zh) * | 2010-03-29 | 2011-10-05 | 中兴通讯股份有限公司 | 一种终端实现连接建立的方法及系统 |
| CN103200150A (zh) * | 2012-01-04 | 2013-07-10 | 深圳市腾讯计算机系统有限公司 | 身份认证方法和系统 |
| WO2013127456A1 (en) * | 2012-03-01 | 2013-09-06 | Nec Europe Ltd. | Method for providing access of an user end device to a service provided by an application function within a network structure and a network structure |
| CN104936177A (zh) * | 2014-03-20 | 2015-09-23 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
| CN106302345A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种终端认证方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4701670B2 (ja) * | 2004-10-12 | 2011-06-15 | 株式会社日立製作所 | アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置 |
| CN101827361B (zh) * | 2008-11-03 | 2012-10-17 | 华为技术有限公司 | 身份认证方法、可信任环境单元及家庭基站 |
| US9432363B2 (en) * | 2014-02-07 | 2016-08-30 | Apple Inc. | System and method for using credentials of a first client station to authenticate a second client station |
| US9794266B2 (en) * | 2014-09-05 | 2017-10-17 | Qualcomm Incorporated | Using multiple credentials for access and traffic differentiation |
| US9906954B2 (en) * | 2014-10-20 | 2018-02-27 | Payfone, Inc. | Identity authentication |
-
2017
- 2017-07-20 WO PCT/SG2017/050366 patent/WO2019017835A1/zh active Application Filing
-
2018
- 2018-04-09 EP EP18835557.2A patent/EP3629613B1/en active Active
- 2018-04-09 CN CN201880040110.7A patent/CN110800331B/zh active Active
- 2018-04-09 WO PCT/SG2018/050180 patent/WO2019017840A1/zh unknown
-
2020
- 2020-01-17 US US16/746,526 patent/US20200153830A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082775A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团公司 | 一种用户身份管理方法、装置和系统 |
| CN102209012A (zh) * | 2010-03-29 | 2011-10-05 | 中兴通讯股份有限公司 | 一种终端实现连接建立的方法及系统 |
| CN103200150A (zh) * | 2012-01-04 | 2013-07-10 | 深圳市腾讯计算机系统有限公司 | 身份认证方法和系统 |
| WO2013127456A1 (en) * | 2012-03-01 | 2013-09-06 | Nec Europe Ltd. | Method for providing access of an user end device to a service provided by an application function within a network structure and a network structure |
| CN104936177A (zh) * | 2014-03-20 | 2015-09-23 | 中国移动通信集团广东有限公司 | 一种接入认证方法及接入认证系统 |
| CN106302345A (zh) * | 2015-05-27 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 一种终端认证方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| "DRAFT 23799-120_rm".《3GPP Inbox\SA2》.2016, * |
| 5G通信安全进展研究;曾梦岐等;《通信技术》;20170410(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019017835A1 (zh) | 2019-01-24 |
| CN110800331A (zh) | 2020-02-14 |
| WO2019017840A1 (zh) | 2019-01-24 |
| US20200153830A1 (en) | 2020-05-14 |
| EP3629613B1 (en) | 2021-02-17 |
| EP3629613A4 (en) | 2020-04-01 |
| EP3629613A1 (en) | 2020-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| CN113796111B (zh) | 在无线通信系统中提供移动边缘计算服务的装置和方法 | |
| CN112997454B (zh) | 经由移动通信网络连接到家庭局域网 | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和系统 | |
| CN105981345B (zh) | Wi-fi/分组核心网接入的合法侦听 | |
| RU2009138223A (ru) | Профиль пользователя, политика и распределение ключей pmip в сети беспроводной связи | |
| KR20040042247A (ko) | 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템 | |
| KR101929868B1 (ko) | 연결 확립 방법, 장치, 및 시스템 | |
| DK2924944T3 (en) | Presence authentication | |
| CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN102421098A (zh) | 一种用户认证方法、装置及系统 | |
| US10390226B1 (en) | Mobile identification method based on SIM card and device-related parameters | |
| WO2011026404A1 (zh) | 一种认证授权计费会话更新方法、装置和系统 | |
| JP7535022B2 (ja) | 機器をリモートで管理するための装置、方法及びそのためのプログラム | |
| CN102421097A (zh) | 一种用户认证方法、装置及系统 | |
| TW201442538A (zh) | 通訊方法與通訊系統 | |
| EP3226594B1 (en) | Method, device and system for obtaining local domain name | |
| CN108540493B (zh) | 认证方法、用户设备、网络实体以及业务侧服务器 | |
| WO2014047923A1 (zh) | 接入网络的方法和装置 | |
| JP6153622B2 (ja) | インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置 | |
| Santos et al. | Cross-federation identities for IoT devices in cellular networks | |
| CN116868609A (zh) | 用于边缘数据网络的用户装备认证和授权规程 | |
| CN116711387B (zh) | 利用边缘数据网络进行认证和授权的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |