网络接入方法、装置、终端、基站和可读存储介质与流程
本发明实施例涉及网络通信领域,尤其涉及一种网络接入方法、装置、终端、基站和计算机可读存储介质。
背景技术:
5g网络实现了软件和硬件解耦,在通用硬件资源上构建虚拟化网络提供网络服务。5g网络可以根据需求对网络容量进行灵活弹缩。同时5g网络还打破了传统电信网络的封闭模式,将网络服务能力开放给第三方业务(如业务提供商、企业、垂直行业等),让第三方业务可以按需构建网络切片提供网络服务,以适应各种业务快速发展和不断变化的需求。、
3gpp(the3rdgenerationpartnershipproject,第三代伙伴计划)定义了5g网络通信架构,如图1所示。5g网络以网络切片形式为用户提供网络服务。网络切片是功能完整、逻辑独立、资源共享的虚拟网络。
不同业务对网络服务质量、安全等网络指标存在不同的需求。例如,车联网应用,要求超低时延,超高可靠性;物联网应用保证机器通信,要求高等级的安全保证,而普通的多媒体娱乐等数据业务,虽然对带宽有较高要求,但仅需要普通安全等级就能满足业务要求。5g技术可通过为不同的业务定制不同的网络切片,以满足每种业务的需求。每个网络切片逻辑上是独立的一张网络,可为用户提供网络服务。虽然多个网络切片共用网络基础资源,但网络切片之间彼此是隔离的。网络切片以nssai(networksliceselectionassistanceinformation,网络切片选择辅助信息)标识。但是,在网络接入的过程中,nssai信息传递过程未加以保护,容易被在消息传递路径上获取其信息,进而易受到其他人群针对此发起的攻击,瘫痪网络,影响用户和网络安全。
技术实现要素:
本发明实施例提供了一种网络接入方法、装置、终端、基站和计算机可读存储介质,旨在解决先有技术中网络接入安全性差,易受到攻击的问题。
为了解决上述技术问题,本发明实施例提供了一种网络接入方法,包括:
向缺省接入和移动性管理功能amf发起网络初始注册请求;
通过所述网络初始注册请求与所述缺省amf进行接入认证;
认证成功后,确定对应的服务amf;所述服务amf为根据发送给所述缺省amf的网络切片选择辅助信息nssai所确定的amf;
基于所述服务amf完成用户设备ue的网络接入。
本发明实施例还提供一种网络接入方法,包括:
接收ue发送的网络初始注册请求;
通过所述网络初始注册请求与所述ue进行接入认证;
认证成功后,根据接收到的由所述ue发送的nssai确定对应的服务amf;
通过所述服务amf完成ue的网络接入。
本发明实施例还提供了一种网络接入装置,包括:
请求发起模块,用于向amf发起网络初始注册请求;
第一认证模块,用于通过所述网络初始注册请求与所述缺省amf进行接入认证;
第一amf确认模块,用于认证成功后,确定对应的服务amf;所述服务amf为根据发送给所述缺省amf的网络切片选择辅助信息nssai所确定的amf;
第一网络接入模块,用于基于所述服务amf完成用户设备ue的网络接入。
本发明实施例还提供一种网络接入装置,包括:
请求接收模块,用于接收ue发送的网络初始注册请求;
第二认证模块,用于通过所述网络初始注册请求与所述缺省amf进行接入认证;
第二amf确认模块,用于认证成功后,根据接收到的由所述ue发送的nssai确定对应的服务amf;
第二网络接入模块,用于通过所述服务amf完成ue的网络接入。
本发明实施例还提供了一种终端,包括第一处理器、第一存储器和第一通信总线;
所述第一通信总线用于实现所述第一处理器和第一存储器之间的连接通信;
所述第一处理器用于执行所述第一存储器中存储的计算机程序,以实现上述的网络接入方法的步骤。
本发明实施例还提供了一种基站,包括第二处理器、第二存储器和第二通信总线;
所述第二通信总线用于实现所述第二处理器和第二存储器之间的连接通信;
所述第二处理器用于执行所述第二存储器中存储的计算机程序,以实现上述的网络接入方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质中存储有一个或者多个计算机程序,计算机程序可被一个或者多个处理器执行,以实现上述的网络接入方法的步骤。
本发明实施例的有益效果是:
本发明实施例提供了一种网络接入方法、装置、终端、基站和计算机可读存储介质,通过向缺省amf发起网络初始注册请求,然后通过网络初始注册请求与缺省amf进行接入认证;认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的nssai所确定的amf;基于服务amf完成用户设备ue的网络接入。从而通过与缺省amf之间的认证交互之后,再进行nssai信息的处理过程确定服务amf,避免了直接发送nssai可能造成的消息泄露,提升了网络接入的安全性。
本发明实施例其他特征和相应的有益效果在说明书的后面部分进行阐述说明,且应当理解,至少部分有益效果从本发明说明书中的记载变的显而易见。
附图说明
图1为5g网络通信架构示意图;
图2为切片网络接入示意图;
图3为3gpp定义的网络接入方法信号流图;
图4为本发明第一实施例提供的一种网络接入方法流程图;
图5为本发明第二实施例提供的一种网络接入方法流程图;
图6为本发明第三实施例提供的一种网络接入方法信号流图;
图7为本发明第四实施例提供的一种网络接入方法信号流图;
图8为本发明第五实施例提供的一种网络接入方法信号流图;
图9为本发明第六实施例提供的一种网络接入装置组成示意图;
图10为本发明第七实施例提供的一种网络接入装置组成示意图;
图11为本发明第八实施例提供的一种终端组成示意图;
图12为本发明第九实施例提供的一种基站组成示意图。
具体实施方式
图2描述了用户接入5g网络,使用网络切片提供服务的示例。通过网络编排管理系统编排网络切片1为车联网业务提供服务,编排网络切片2为互联网业务提供服务,切片1与切片2之间逻辑隔离。公共网元域是被多个切片共享的公共网元,例如amf(accessandmobilitymanagementfunction,接入和移动性管理功能),nssf(networksliceselectionfunction,网络切片选择功能),ausf(authenticationserverfunction,认证服务功能)等。用户ue(userequipment,用户设备)如果使用车联网业务,就需要接入切片1;如果使用互联网业务,就需要接入切片2。不同业务对网络服务质量、安全等网络指标存在不同的需求。例如,车联网应用,要求超低时延,超高可靠性;物联网应用保证机器通信,要求高等级的安全保证,而普通的多媒体娱乐等数据业务,虽然对带宽有较高要求,但仅需要普通安全等级就能满足业务要求。5g技术可通过为不同的业务定制不同的网络切片,以满足每种业务的需求。每个网络切片逻辑上是独立的一张网络,可为用户提供网络服务。虽然多个网络切片共用网络基础资源,但网络切片之间彼此是隔离的。
3gpp定义了用户附着到网络,发起初次注册的流程,如图3所示。
s301、ue发送注册请求消息,消息中包含:注册类型、supi/5g-guti(subscriptionpermanentidentifier,永久签约标识/5g-globallyuniquetemporaryueidentity,5g全球唯一临时ue标识)、安全参数、nssai等信息。nssai用于指示用户请求接入的网络切片。
s302、ran(radioaccessnetwork,无线接入网络)根据ue(userequipment,用户设备)提供的信息,例如nssai以及运营商策略,选择为用户接入服务的amf(accessandmobilitymanagementfunction,接入和移动性管理功能)。
s303、ran将所述注册请求消息路由至所述amf。
s304、如果ue注册请求消息中包含了5g-guti,并且选择当前服务amf与用户上一次注册所使用的amf不同时,新的amf和旧amf交互,从旧amf获取supi和移动性管理上下文信息。
s305、如果步骤s301或者步骤s303中没有向新amf提供supi,则新amf向ue发起标识请求程序,请求ue提供supi。
s306、ue向新amf提供suci(subscriptionconcealedidentifier,隐藏签约标识,经过加密的supi)。
s307、新amf发起ue接入认证过程,根据suci选择ausf(authenticationserverfunction,认证服务功能)。
s308、ue、新amf、ausf、udm(unifieddatamanagement,统一数据管理)之间交互认证流程,完成ue和amf之间的双向认证。
s309、认证成功之后,amf发起nas(non-accessstratum,非接入层)安全通道建立程序,建立nas安全通道,对ue和amf交互的消息进行加密和完整性保护。
s310、认证完成之后,新amf向旧amf通知ue注册成功。
s311、如果步骤s301或者步骤s303中没有向新amf提供pei(permanentequipmentidentifier,设备永久标识),则新amf向ue发起标识请求程序,请求ue提供pei。amf和eir(equipmentidentityregister,设备标识寄存器)交互,对pei进行认证。
s312、新amf注册到udm,udm存储amf标识,以及接入类型。新amf从udm获取接入和移动性签约数据、smf(sessionmanagementfunction,会话管理功能)选择签约数据等。获取这些信息之后,创建移动性管理上下文。新amf向udm订阅用户签约信息,当用户签约信息发生更改时,及时通知新amf,以便新amf根据新的用户签约信息重新创建移动性管理上下文。
s303、udm通知旧amf删除与所述ue相关的移动性管理上下文。旧amf通知相关smf所述ue已经从旧amf去注册,释放相关的pdu会话。旧amf从udm上去注册之前的相关订阅事件。
s314、如果amf发生改变,新amf向每个smf通知ue可达状态。如果pdu会话状态指示已经在ue侧释放,则amf需要通知smf释放和该pdu会话关联的网络资源。
s315、新amf向ue返回注册接受消息,包含:5g-guti(新amf为其分配的最新5g-guti)、nssai(经过网络侧授权的允许ue请求使用的nssai)等信息。
s316、ue向新amf发送注册完成消息。
上述图3中,在用户成功完成接入认证之后,用户和网络之间建立nas安全通道,保证ue和amf之间交互的信息经过加密和完整性保护。而在所述nas安全通道建立(步骤s309)之前,即步骤s301-s306消息均为明文传递,包括在此期间用户向网络发送注册请求消息时携带的imsi(internationalmobilesubscriberidentificationnumber,国际移动用户识别码),以及用户请求接入的网络切片标识nssai信息都为明文。因此中间人在消息传递路径上很容易获取imsi、nssai等关键用户信息。通过分析就可以推断出nssai对应的网络切片的作用,即提供何种服务,或者推断出使用网络切片的人群等,以便有针对性的向所述切片发起诸如dos(denialofservice,拒绝服务)等攻击,瘫痪网络,影响用户和网络安全。
为了使本发明的目的、技术方案及优点更加清楚明白,下面通过各实施方式结合附图对本发明实施例作进一步详细说明。应当理解,此处所描述的实施例仅仅用以解释本发明,并不用于限定本发明。
第一实施例
请参考图4,图4是本发明第一实施例提供的网络接入方法流程图,包括:
s401、向缺省接入和移动性管理功能amf发起网络初始注册请求;
s402、通过网络初始注册请求与缺省amf进行接入认证;
s403、认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的网络切片选择辅助信息nssai所确定的amf;
s404、基于服务amf完成用户设备ue的网络接入。
为了避免因nssai暴露而引发的网络攻击,需要在用户接入网络过程中,保证nssai传递的安全性,因此本实施例提出了一种用户接入网络的网络接入方法,通过对nssai的加密传递,达到保护nssai的目的。
本实施例中所述的缺省amf,所指的是系统默认状态下的amf;由于本实施例中的网络接入过程中,ue没有直接在请求时提供明文的nssai信息,因此无法直接确认ue所要接入的服务amf来完成网络的接入过程,所以ue的交互对象首先是缺省amf,通过缺省amf来为用户进行接入服务。
在ue与缺省amf交互的过程中,缺省amf的交互需要涉及到与ue之间的认证过程,认证过程中并不涉及到ue对服务amf的选择,而是为了后续ue与缺省amf之间交互nssai信息。本实施例为了提升nssai信息在传输过程中的安全性,具体的,nssai可以为通过非对称加密方式传送、对称加密方式传送以及nas安全通道传送中的至少一种发送给缺省amf。也就是说,nssai在ue和缺省amf之间进行传输的手段,可以包括对nssai本身进行加密,或者是在安全的nas安全通道内传输两种手段。而对nssai进行加密,则可以通过非对称加密、对称加密等手段来实现。上述各加密手段之间可以单独实施,也可以组合进行,比如可通过非对称加密手段对nssai进行加密,然后再通过nas安全通道进行传输;或者是通过对称加密手段对nssai进行加密,然后在通过nas安全通道进行传输等等。
在一些实施例中,nssai为通过非对称加密方式传送可以包括:确定在ue和网络侧配置的运营商公钥和私钥;通过公钥对nssai进行加密;将加密后的nssai通过网络初始注册请求发送给缺省amf。其中,通过非对称加密方式传送,首先需要在ue侧以及网络侧配置匹配的运营商公钥和私钥;然后,ue在发送nssai至网络侧时,则通过配置的运营商公钥,对nssai进行加密,然后发送加密的nssai至网络侧。而发送的过程可以通过网络初始注册请求,来携带加密的nssai并发送至网络侧。
相应的,认证成功后,确定对应的服务amf可以包括:认证成功后,对nssai通过私钥进行解密;根据解密后的nssai,确定对应的服务amf。由于nssai通过运营商公钥进行了加密,为了保证其安全性,需要在ue和缺省amf之间的认证通过后,方才通过运营商私钥对该加密的nssai进行解密,从而可得到明文nssai。得到明文nssai之后,缺省amf就可以根据该nssai的内容,来确定用户接入切片网络所需的服务amf。
在一些实施例中,nssai为通过对称加密方式传送包括:认证成功后,根据根密钥和密钥材料产生密钥,通过密钥对nssai进行加密;将加密后的nssai发送给缺省amf。对称加密的过程可以在ue与缺省amf认证成功之后进行;在认证成功后,根密钥k产生认证向量(包括rand(random,随机数),autn(authenticationtoken,授权令牌),knssaienc等信息)。ausf将该认证向量发送给缺省amf。该缺省amf保存认证向量,并将密钥材料rand,autn等信息发送给ue。ue进行验证,并根据保存的根密钥k和密钥材料计算产生knssaienc。
相应的,认证成功后,确定对应的服务amf可以包括:根据根密钥和密钥材料计算产生用于nssai加密的密钥;将密钥发送给缺省amf;根据密钥,对加密后的nssai进行解密;根据解密后的nssai,确定对应的服务amf。在认证成功后,服务amf根据加密该nssai的认证向量knssaienc来相应的对nssai进行解密,从而得到明文nssai,然后根据该明文nssai的内容,确定对应的服务amf,来实现ue的切片网络的接入。
在一些实施例中,nssai为通过nas安全通道传送还可以包括:认证成功后,在ue和缺省amf之间建立nas安全通道;通过nas安全通道发送nssai给缺省amf。此时,不需要对nssai本身进行加密,而通过安全的nas安全通道来发送nssai,从而保证nssai的安全性,避免nssai被外界所窃取。
在一些实施例中,认证成功后,确定对应的服务amf可以包括:根据nssai,确定对应的服务amf;确定对应的服务amf之后,拆除ue和缺省amf之间的nas安全通道。在确定了服务amf之后,在ue和缺省amf之间的nas安全通道就没有必要继续保留了,可以直接拆除以节约网络资源。
本实施例提供了一种网络接入方法,通过向缺省amf发起网络初始注册请求,然后通过网络初始注册请求与缺省amf进行接入认证;认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的nssai所确定的amf;基于服务amf完成用户设备ue的网络接入。从而通过与缺省amf之间的认证交互之后,再进行nssai信息的处理过程确定服务amf,避免了直接发送nssai可能造成的消息泄露,提升了网络接入的安全性。
第二实施例
请参考图5,图5本发明第二实施例提供的一种网络接入方法流程图,包括:
s501、接收ue发送的网络初始注册请求;
s502、通过网络初始注册请求与ue进行接入认证;
s503、认证成功后,根据接收到的由ue发送的nssai确定对应的服务amf;
s504、通过服务amf完成ue的网络接入。
为了避免因nssai暴露而引发的网络攻击,需要在用户接入网络过程中,保证nssai传递的安全性,因此本实施例提出了一种用户接入网络的网络接入方法,通过对nssai的加密传递,达到保护nssai的目的。
本实施例中所述的缺省amf,所指的是系统默认状态下的amf;由于本实施例中的网络接入过程中,ue没有直接在请求时提供明文的nssai信息,因此无法直接确认ue所要接入的服务amf来完成网络的接入过程,所以ue的交互对象首先是缺省amf,通过缺省amf来为用户进行接入服务。
在ue与缺省amf交互的过程中,缺省amf的交互需要涉及到与ue之间的认证过程,认证过程中并不涉及到ue对服务amf的选择,而是为了后续ue与缺省amf之间交互nssai信息。本实施例为了提升nssai信息在传输过程中的安全性,具体的,缺省amf可以通过非对称加密方式传送、对称加密方式传送以及nas安全通道传送中的至少一种方式接收nssai。也就是说,nssai在ue和缺省amf之间进行传输的手段,可以包括对nssai本身进行加密,或者是在安全的nas安全通道内传输两种手段。而对nssai进行加密,则可以通过非对称加密、对称加密等手段来实现。上述各加密手段之间可以单独实施,也可以组合进行,比如可通过非对称加密手段对nssai进行加密,然后再通过nas安全通道进行传输;或者是通过对称加密手段对nssai进行加密,然后在通过nas安全通道进行传输等等。
在一些实施例中,nssai为通过非对称加密方式传送可以包括:确定在ue和网络侧配置的运营商公钥和私钥;通过公钥对nssai进行加密;接收加密后的nssai。其中,通过非对称加密方式传送,首先需要在ue侧以及网络侧配置匹配的运营商公钥和私钥;然后,ue在发送nssai至网络侧时,则通过配置的运营商公钥,对nssai进行加密,然后发送加密的nssai至网络侧。而发送的过程可以通过网络初始注册请求,来携带加密的nssai并发送至网络侧。
相应的,认证成功后,根据接收到的由ue发送的nssai确定对应的服务amf可以包括:认证成功后,对nssai通过私钥进行解密;根据解密后的nssai,确定对应的服务amf。由于nssai通过运营商公钥进行了加密,为了保证其安全性,需要在ue和缺省amf之间的认证通过后,方才通过运营商私钥对该加密的nssai进行解密,从而可得到明文nssai。得到明文nssai之后,缺省amf就可以根据该nssai的内容,来确定用户接入切片网络所需的服务amf。
在一些实施例中,nssai为通过对称加密方式传送可以包括:认证成功后,根据根密钥和密钥材料和密钥材料计算产生用于nssai加密的密钥,通过密钥对nssai进行加密;接收加密后的nssai。对称加密的过程可以在ue与缺省amf认证成功之后进行;在认证成功后,根密钥k产生认证向量(包括rand(random,随机数),autn(authenticationtoken,授权令牌),knssaienc等信息)。ausf将该认证向量发送给缺省amf。该缺省amf保存认证向量,并将密钥材料rand,autn等信息发送给ue。ue进行验证,并根据保存的根密钥k和密钥材料计算产生knssaienc。
相应的,认证成功后,确定对应的服务amf可以包括:根据根密钥和密钥材料计算产生用于nssai加密的密钥;接收密钥;根据该密钥,对加密后的nssai进行解密;根据解密后的nssai,确定对应的服务amf。在认证成功后,服务amf根据加密该nssai的认证向量knssaienc来相应的对nssai进行解密,从而得到明文nssai,然后根据该明文nssai的内容,确定对应的服务amf,来实现ue的切片网络的接入。
在一些实施例中,nssai为通过nas安全通道传送可以包括:认证成功后,在ue和nssai之间建立nas安全通道;通过nas安全通道接收nssai。此时,不需要对nssai本身进行加密,而通过安全的nas安全通道来发送nssai,从而保证nssai的安全性,避免nssai被外界所窃取。
本实施例提供了一种网络接入方法,通过向缺省amf发起网络初始注册请求,然后通过网络初始注册请求与缺省amf进行接入认证;认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的nssai所确定的amf;基于服务amf完成用户设备ue的网络接入。从而通过与缺省amf之间的认证交互之后,再进行nssai信息的处理过程确定服务amf,避免了直接发送nssai可能造成的消息泄露,提升了网络接入的安全性。
第三实施例
请参考图6,图6为本实施例提供的一种网络接入方法信号流图,包括:
本实施例描述了一种用户接入网络过程中的优化注册流程,实现nssai的加密传递,保证nssai传递过程中的安全性。本实施例中用户接入网络初始选择的amf为缺省amf,即根据ue提供的信息无法进行amf选择时配置的amf。具体实施过程如下描述:
s601、在ue配置运营商公钥,用于ue向网络发送消息时,对需要保护的信息进行加密;网络侧sidf(subscriptionidentifierde-concealingfunction,签约标识解密功能)保存相应的运营商私钥,用于对从ue接收的信息的解密。
s602、ue接入网络发起注册请求,将请求接入的网络切片标识nssai使用该公钥进行加密。
s603、ue发起网络初始注册请求,请求消息中包含加密nssai。由于nssai加密,根据amf选择方法,无法为用户选择到nssai对应的amf。因此选择缺省amf为用户接入服务。
s604、ue和缺省amf之间完成双向认证。
s605、认证过程中,加密nssai被传递至sidf。认证成功之后,sidf对加密nssai解密成明文,并将该明文nssai发送给缺省amf。
s606、该缺省amf根据该明文nssai向nssf发送切片选择请求。nssf对请求nssai(即该明文nssai)进行授权,向该缺省amf返回该授权nssai,以及targetamf(目的amf)集。
s607、该缺省amf向nrf发起targetamf(即服务amf)查询,获取服务amf的ip地址/fqdn(fullyqualifieddomainname,全限定域名)信息。
s608、该缺省amf向该targetamf转发用户注册请求,并包含该ran信息,以及认证成功之后缺省amf上产生的移动性管理上下文等信息。
s609、该targetamf向ran发送n2会话消息。
s610、如果该targetamf需要对ue进行再次认证,则发起接入认证过程。
s611、剩余接入注册过程,参考图3中的步骤s304-306以及s309-316。
上述实现过程,保证了nssai在ue和网络之间以加密方式传递,避免中间人窃取nssai之后通过解析推断出切片作用,接入人群属性,进而发起网络攻击,保证了用户和网络安全。
第四实施例
请参考图7,图7为本发明第四实施例提供的一种网络接入方法信号流图,包括:
本实施例描述了一种用户接入网络时的优化注册流程,通过ue和缺省amf之间认证成功之后派生用于nssai加密密钥。通过该密钥加密nssai实现安全传递。具体实施过程如下描述:
s701、ue接入网络,发起注册请求。初始注册请求消息不包含nssai,因此无法选择合适的amf,使用缺省amf为ue接入服务。
s702、缺省amf接收该注册请求,如果没有获取到用户标识supi,则发起标识获取流程,从ue获取suci(经过加密的supi)。
s703、ue和缺省amf之间完成接入认证。ausf根据ue签约信息中的根密钥k产生认证向量(包括rand(random,随机数),autn(authenticationtoken,授权令牌),knssaienc等信息)。ausf将该认证向量发送给缺省amf。该缺省amf保存认证向量,并将密钥材料rand,autn等信息发送给ue。ue进行验证,并根据保存的根密钥k和密钥材料计算产生knssaienc。
s704、ue使用对knssaienc对nssai进行加密。
s705、ue将加密nssai发送给缺省amf。
s706、缺省amf接收该加密nssai之后使用knssaienc解密,得到明文nssai。
s707、该缺省amf根据该明文nssai向nssf发送切片选择请求。nssf对请求nssai(即该明文nssai)进行授权,向该缺省amf返回该授权nssai,以及targetamf集。
s708、该缺省amf向ran发送n2会话消息,将targetamf集携带给ran
s709、该ran向nrf发起targetamf(即服务amf)查询,获取服务amf的ip地址/fqdn信息。
s710、该ran向该targetamf转发用户注册请求。
s711、如果该targetamf需要对ue进行再次认证,则发起接入认证过程。
s712、剩余接入注册过程,参考图3中的步骤s304-306以及s309-316。
上述实现过程,首先通过ue和缺省amf之间执行接入认证,并根据ue根密钥k产生共享密钥knssaienc后对nssai进行加密传送,保证nssai传输过程中的安全性。
第五实施例
请参考图8,图8为本发明第五实施例提供的一种网络接入方法信号流图,包括:
本实施例描述了一种用户接入网络时的优化注册流程,通过ue和缺省amf之间建立nas安全通道传递nssai,并在选择到服务amf之后,拆除该nas通道的方式实现nssai安全传递。具体实施过程如下描述:
s801、ue接入网络,发起注册请求。初始注册请求消息不包含nssai,因此无法选择合适的amf,使用缺省amf为ue接入服务。
s802、缺省amf接收该注册请求,如果没有获取到用户标识supi,则发起标识获取流程,从ue获取suci(经过加密的supi)。
s803、ue和缺省amf之间完成接入认证。
s804、ue和缺省amf之间建立nas安全通道。
s805、ue使用该nas安全通道将nssai发送给该缺省amf。该nas安全通道是对ue和缺省amf之间发送的整条消息进行加密和完整性保护。
s806、缺省amf获取该nssai,根据该nssai向nssf发送切片选择请求。nssf对请求nssai进行授权,向该缺省amf返回该授权nssai,以及targetamf集。
s807、该缺省amf向nrf发起targetamf(即服务amf)查询,获取服务amf的ip地址/fqdn信息。
s808、该缺省amf向该targetamf转发用户注册请求,并包含该ran信息,以及认证成功之后缺省amf上产生的移动性管理上下文等信息。
s809、该targetamf向ran发送n2会话消息。
s810、缺省amf拆除nas安全通道。
s811、如果该targetamf需要对ue进行再次认证,则发起接入认证过程。
s812、targetamf和ue建立nas安全通道。
s813、剩余接入注册过程,参考图3中的步骤s304-306以及s310-316。
上述实现过程,首先通过ue和缺省amf之间完成接入认证之后,建立临时nas安全通道用于nssai的安全传递。在缺省amf根据该nssai发现服务amf之后,拆除ue和缺省amf之间的nas安全通道,以此保证nssai传输过程中的安全性。
第六实施例
请参考图9,图9为本发明第六实施例提供的一种网络接入装置组成示意图,包括:
请求发起模块91,用于向amf发起网络初始注册请求;
第一认证模块92,用于通过网络初始注册请求与缺省amf进行接入认证;
第一amf确认模块93,用于认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的网络切片选择辅助信息nssai所确定的amf;
第一网络接入模块94,用于基于服务amf完成用户设备ue的网络接入。
为了避免因nssai暴露而引发的网络攻击,需要在用户接入网络过程中,保证nssai传递的安全性,因此本实施例提出了一种用户接入网络的网络接入方法,通过对nssai的加密传递,达到保护nssai的目的。
本实施例中所述的缺省amf,所指的是系统默认状态下的amf;由于本实施例中的网络接入过程中,ue没有直接在请求时提供明文的nssai信息,因此无法直接确认ue所要接入的服务amf来完成网络的接入过程,所以ue的交互对象首先是缺省amf,通过缺省amf来为用户进行接入服务。
在ue与缺省amf交互的过程中,缺省amf的交互需要涉及到与ue之间的认证过程,认证过程中并不涉及到ue对服务amf的选择,而是为了后续ue与缺省amf之间交互nssai信息。本实施例为了提升nssai信息在传输过程中的安全性,具体的,nssai可以为通过非对称加密方式传送、对称加密方式传送以及nas安全通道传送中的至少一种发送给缺省amf。也就是说,nssai在ue和缺省amf之间进行传输的手段,可以包括对nssai本身进行加密,或者是在安全的nas安全通道内传输两种手段。而对nssai进行加密,则可以通过非对称加密、对称加密等手段来实现。上述各加密手段之间可以单独实施,也可以组合进行,比如可通过非对称加密手段对nssai进行加密,然后再通过nas安全通道进行传输;或者是通过对称加密手段对nssai进行加密,然后在通过nas安全通道进行传输等等。
在一些实施例中,nssai为通过非对称加密方式传送可以包括:确定在ue和网络侧配置的运营商公钥和私钥;通过公钥对nssai进行加密;将加密后的nssai通过网络初始注册请求发送给缺省amf。其中,通过非对称加密方式传送,首先需要在ue侧以及网络侧配置匹配的运营商公钥和私钥;然后,ue在发送nssai至网络侧时,则通过配置的运营商公钥,对nssai进行加密,然后发送加密的nssai至网络侧。而发送的过程可以通过网络初始注册请求,来携带加密的nssai并发送至网络侧。
相应的,认证成功后,确定对应的服务amf可以包括:认证成功后,对nssai通过私钥进行解密;根据解密后的nssai,确定对应的服务amf。由于nssai通过运营商公钥进行了加密,为了保证其安全性,需要在ue和缺省amf之间的认证通过后,方才通过运营商私钥对该加密的nssai进行解密,从而可得到明文nssai。得到明文nssai之后,缺省amf就可以根据该nssai的内容,来确定用户接入切片网络所需的服务amf。
在一些实施例中,nssai为通过对称加密方式传送包括:认证成功后,根据根密钥和密钥材料产生密钥,通过密钥对nssai进行加密;将加密后的nssai发送给缺省amf。对称加密的过程可以在ue与缺省amf认证成功之后进行;在认证成功后,根据根密钥k产生认证向量knssaienc,缺省amf将认证参数发送给ue,ue根据根密钥k以及认证参数产生knssaienc。ue使用knssaienc加密nssai并发送给缺省amf。
相应的,认证成功后,确定对应的服务amf可以包括:将密钥发送给缺省amf;根据密钥,对加密后的nssai进行解密;根据解密后的nssai,确定对应的服务amf。在认证成功后,服务amf根据加密该nssai的认证向量knssaienc来相应的对nssai进行解密,从而得到明文nssai,然后根据该明文nssai的内容,确定对应的服务amf,来实现ue的切片网络的接入。
在一些实施例中,nssai为通过nas安全通道传送还可以包括:认证成功后,在ue和nssai之间建立nas安全通道;通过nas安全通道发送nssai给缺省amf。此时,不需要对nssai本身进行加密,而通过安全的nas安全通道来发送nssai,从而保证nssai的安全性,避免nssai被外界所窃取。
本实施例提供了一种网络接入装置,通过向缺省amf发起网络初始注册请求,然后通过网络初始注册请求与缺省amf进行接入认证;认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的nssai所确定的amf;基于服务amf完成用户设备ue的网络接入。从而通过与缺省amf之间的认证交互之后,再进行nssai信息的处理过程确定服务amf,避免了直接发送nssai可能造成的消息泄露,提升了网络接入的安全性。
第七实施例
请参考图10,图10为本发明第七实施例提供的一种网络接入装置组成示意图,包括:
请求接收模块101,用于接收ue发送的网络初始注册请求;
第二认证模块102,用于通过网络初始注册请求与缺省amf进行接入认证;
第二amf确认模块103,用于认证成功后,根据接收到的由ue发送的nssai确定对应的服务amf;
第二网络接入模块104,用于通过服务amf完成ue的网络接入。
为了避免因nssai暴露而引发的网络攻击,需要在用户接入网络过程中,保证nssai传递的安全性,因此本实施例提出了一种用户接入网络的网络接入方法,通过对nssai的加密传递,达到保护nssai的目的。
本实施例中所述的缺省amf,所指的是系统默认状态下的amf;由于本实施例中的网络接入过程中,ue没有直接在请求时提供明文的nssai信息,因此无法直接确认ue所要接入的服务amf来完成网络的接入过程,所以ue的交互对象首先是缺省amf,通过缺省amf来为用户进行接入服务。
在ue与缺省amf交互的过程中,缺省amf的交互需要涉及到与ue之间的认证过程,认证过程中并不涉及到ue对服务amf的选择,而是为了后续ue与缺省amf之间交互nssai信息。本实施例为了提升nssai信息在传输过程中的安全性,具体的,缺省amf可以通过非对称加密方式传送、对称加密方式传送以及nas安全通道传送中的至少一种方式接收nssai。也就是说,nssai在ue和缺省amf之间进行传输的手段,可以包括对nssai本身进行加密,或者是在安全的nas安全通道内传输两种手段。而对nssai进行加密,则可以通过非对称加密、对称加密等手段来实现。上述各加密手段之间可以单独实施,也可以组合进行,比如可通过非对称加密手段对nssai进行加密,然后再通过nas安全通道进行传输;或者是通过对称加密手段对nssai进行加密,然后在通过nas安全通道进行传输等等。
在一些实施例中,nssai为通过非对称加密方式传送可以包括:确定在ue和网络侧配置的运营商公钥和私钥;通过公钥对nssai进行加密;接收加密后的nssai。其中,通过非对称加密方式传送,首先需要在ue侧以及网络侧配置匹配的运营商公钥和私钥;然后,ue在发送nssai至网络侧时,则通过配置的运营商公钥,对nssai进行加密,然后发送加密的nssai至网络侧。而发送的过程可以通过网络初始注册请求,来携带加密的nssai并发送至网络侧。
相应的,认证成功后,根据接收到的由ue发送的nssai确定对应的服务amf可以包括:认证成功后,对nssai通过私钥进行解密;根据解密后的nssai,确定对应的服务amf。由于nssai通过运营商公钥进行了加密,为了保证其安全性,需要在ue和缺省amf之间的认证通过后,方才通过运营商私钥对该加密的nssai进行解密,从而可得到明文nssai。得到明文nssai之后,缺省amf就可以根据该nssai的内容,来确定用户接入切片网络所需的服务amf。
在一些实施例中,nssai为通过对称加密方式传送可以包括:认证成功后,根据根密钥和密钥材料产生密钥,通过密钥对nssai进行加密;接收加密后的nssai。对称加密的过程可以在ue与缺省amf认证成功之后进行;在认证成功后,根据根密钥和密钥材料k产生认证向量knssaienc,缺省amf将认证参数发送给ue,ue根据根密钥和密钥材料k以及认证参数产生knssaienc。ue使用knssaienc加密nssai并发送给缺省amf。
相应的,认证成功后,确定对应的服务amf可以包括:接收密钥;根据密钥,对加密后的nssai进行解密;根据解密后的nssai,确定对应的服务amf。在认证成功后,服务amf根据加密该nssai的认证向量knssaienc来相应的对nssai进行解密,从而得到明文nssai,然后根据该明文nssai的内容,确定对应的服务amf,来实现ue的切片网络的接入。
在一些实施例中,nssai为通过nas安全通道传送可以包括:认证成功后,在ue和nssai之间建立nas安全通道;通过nas安全通道接收nssai。此时,不需要对nssai本身进行加密,而通过安全的nas安全通道来发送nssai,从而保证nssai的安全性,避免nssai被外界所窃取。
本实施例提供了一种网络接入装置,通过向缺省amf发起网络初始注册请求,然后通过网络初始注册请求与缺省amf进行接入认证;认证成功后,确定对应的服务amf;服务amf为根据发送给缺省amf的nssai所确定的amf;基于服务amf完成用户设备ue的网络接入。从而通过与缺省amf之间的认证交互之后,再进行nssai信息的处理过程确定服务amf,避免了直接发送nssai可能造成的消息泄露,提升了网络接入的安全性。
第八实施例
请参考图11,图11为本发明第八实施例提供的一种终端组成示意图,包括第一处理器111、第一存储器112和第一通信总线113;
第一通信总线113用于实现第一处理器111和第一存储器112之间的连接通信;
第一处理器111用于执行第一存储器112中存储的计算机程序,以实现本发明上述各实施例中的网络接入方法的流程,这里不再赘述。
第九实施例
请参考图12,图12为本实施例提供的一种基站组成示意图,包括第二处理器121、第二存储器122和第二通信总线123;
第二通信总线123用于实现第二处理器121和第二存储器122之间的连接通信;
第二处理器121用于执行第二存储器122中存储的计算机程序,以实现本发明上述各实施例中的网络接入方法的流程,这里不再赘述。
第十实施例
本实施例提供了一种计算机可读存储介质,该计算机可读存储介质中存储有一个或者多个计算机程序,计算机程序可被一个或者多个处理器执行,以实现前述各实施例中的网络接入方法,这里不再赘述。
显然,本领域的技术人员应该明白,上述本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储介质(rom/ram、磁碟、光盘)中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。所以,本发明不限制于任何特定的硬件和软件结合。
以上内容是结合具体的实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!