一种网络认证方法、相关设备及系统与流程
本发明涉及移动通信网络的网络安全技术领域,尤其涉及一种网络认证方法、相关设备及系统。
背景技术:
网络切片(networkslicing)是5g及未来通信网络中的一项重要技术,面向业务配置网络的特性使得它成为未来网络发展的关键驱动力:快速推出新业务;支持多样化的商业模式、提供功能/性能/安全保护的差异化、满足不同应用、行业的需求;使能客户创新、简化运维、降低运营成本。正是由于网络切片的多样性、灵活性,为网络切片的架构、协议流程的设计带来了极大的挑战。其中,如何设计安全、高效的用户设备(userequipment,ue)接入网络切片的认证协议,成为5g网络亟需解决的一个重要问题。如何既保证用户设备(移动通信终端或iot(internetofthings,物联网)设备)能快速地接入网络切片、得到个性化服务,又同时得到应有的网络接入安全防护,免受外界的攻击。
在现有的移动通信网络(3g/lte)中,用户设备和mno网络是基于预共享密钥的用户认证。预共享密钥是将对称密钥预先放置在用户设备的sim卡中和核心网的归属签约用户服务器(homesubscriberserver,hss)中。在认证时,采用的协议是3gppts33.401中所描述的aka(authenticationandkeyagreement)协议。所述基于预共享密钥的用户认证可以如图1所示,ue和hss中保存有预共享密钥。认证时移动管理网元(mobilitymanagemententity,mme)从hss处取认证向量(authenticationvector,av),和ue进行用户认证,具体流程如下包括:
步骤1、ue发送接入请求给mme。该入网请求包括国际移动用户身份标识(internationalmobilesubscriberidentity,imsi),用户安全能力(uesecuritycapability)等信息。
步骤2、在收到接入认证后,mme向hss发送入网认证数据请求(authenticationdatarequest)。入网数据请求包括:imsi,服务网络的身份标识(servicenetworkidentity,snid)和网络类型(networktype)。
步骤3、在收到认证数据请求后,hss根据imsi找到对应的密钥k,然后计算认证向量,计算认证向量的输入参数包括:密钥k,随机数rand,snid,sqn(sequencenumber,序列号),输出参数包括:网络认证令牌autn_hss,xres(expectedres,期望认证响应)和asme密钥(k_asme)。
步骤4、hss将认证向量通过认证数据响应(authenticationdataresponse)发送给mme。
步骤5、mme将认证向量进行保存。
步骤6、mme向ue发起用户认证请求(userauthenticationrequest)。用户认证请求包括:随机数rand、认证令牌autn_hss和asme密钥(k_asme)。
步骤7、在收到认证令牌rand和autn_hss后,ue利用epsaka密钥算法计算网络认证令牌autn_ue。该计算的输入参数包括密钥k,随机数rand,snid,sqn。输出参数应该包括网络认证令牌autn_ue,认证响应res和asme密钥(k_asme)。ue通过验证网络认证令牌autn_ue和autn_hss是否相同来验证核心网。
步骤8、然后,ue将用户认证响应(userauthenticationresponse)发送给mme。该用户认证响应包括res。
步骤9、在收到res后,mme通过判断res和xres是否相同来认证ue。
图1所示的认证方式的主要特点是:每个ue需要单独和核心网(corenetwork,cn)进行认证。因为在认证时,mme每次需要向hss取认证向量,而hss是一个集中式的设备。如果同时有大量ue需要进行认证时,那么认证效率会比较低。
图2a示出了一种现有的ue接入网络切片的认证方式。如图2a所示,每个ue接入切片之前,先要进行mno(mobilenetworkoperator,中文:移动网络运营商)网络认证的流程。也就是说,每个ue需要通过两次认证才可以接入切片。其中,第一次认证是mno网络认证,可参考步骤1,其认证流程与图1描述的认证方式类似;第二次认证是切片认证,在完成网络认证之后,网络可以发起对切片的认证流程。
图2a所示的认证方式比起单次认证,至少需要双倍的工作量及认证时间。而且,更重要的是,每个ue需要单独和网络进行用户认证,如果同时有大量ue需要进行认证时,网络服务器(集中式设备)需要处理大量ue的认证及向量运算,认证效率会迅速降低。
图2b示出了另一种现有的ue接入网络切片的认证方式。如图2b所示,通过单一的一次切片内认证,达到快速接入切片的目的。这种认证方式忽略网络的认证,直接进行切片内认证。但是,这也导致一些问题:这种处理方式类似于每个切片是个完全独立的专网,不受mno网络的约束、控制。另外,ue需要事先知道切片id,以保障ue能够接入正确的切片。
技术实现要素:
本发明实施例提供了一种网络认证方法、相关设备及系统,可实现用户设备快速、高效的接入网络切片,并保证了用户设备接入网络时的安全防护。
第一方面,本发明实施例提供了一种网络认证系统,所述系统包括:用户设备、网络认证网元和切片认证网元,其中:
所述用户设备用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;
所述网络认证网元用于接收所述接入请求,验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,并向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;
所述切片认证网元用于接收所述网络认证网元发送的所述部分或全部所述标识信息,根据所述部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起的用户认证请求;
所述用户设备还用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
在上述系统中,对于需要接入网络切片的用户设备,首先mno核心网对用户设备进行合法性验证,然后网络切片对用户设备发起用户认证请求。针对所述用户设备的接入请求,mno核心网不需要请求网络服务器(如hss)计算生成针对用户设备的认证数据(如认证向量av),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第一方面,在第一种可能的实现方式中,所述标识信息至少可包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第一方面,在第二种可能的实现方式中,所述标识信息至少可包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第一方面的第二种可能的实现方式,在一些实施例中,所述网络认证网元可具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元具体用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合上述第一方面的第二种可能的实现方式,在一些实施例中,所述网络认证网元可具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元具体用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第一方面,在第三种可能的实现方式中,所述用户设备对应多个网络切片;所述切片认证网元还用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
结合第一方面,在第四种可能的实现方式中,所述用户设备对应多个网络切片;所述网络认证网元具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元,并分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
结合第一方面,或者结合第一方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还用于在发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密;所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧;所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
结合第一方面,或者结合第一方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令;所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
在一些实施例中,所述用户设备还用于在发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密;所述第二加密密钥对应的解密密钥配置在所述接入网网元侧;所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第二方面,本发明实施例提供了一种网络认证网元,所述网络认证网元包括:
接收单元,用于接收用户设备发送的接入请求;所述接入请求包含所述用户设备的标识信息;
验证单元,用于验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;
发送单元,用于向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;发送的部分或全部所述标识信息用于所述用户设备对应的切片认证网元产生针对所述用户设备的认证数据,利用所述认证数据向所述用户设备发起用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,mno核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第二方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第二方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第二方面的第二种可能的实现方式,在一些实施例中,所述发送单元可具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第二方面的第二种可能的实现方式,在一些实施例中,所述发送单元可具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第二方面,或者结合第二方面的上述几种可能的实现方式,在一些实施例中,所述用户设备对应多个网络切片;所述验证单元可具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元;所述发送单元可具体用于分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元可用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
第三方面,本发明实施例提供了一种切片认证网元,所述切片认证网元包括:
接收单元,用于接收网络认证网元发送的用户设备的标识信息;
计算单元,用于根据所述标识信息产生针对所述用户设备的认证数据;
认证单元,用于利用所述认证数据向所述用户设备发起的用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,mno核心网仅需要对用户设备进行合法性验证,然后由网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第三方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第三方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第三方面的第二种可能的实现方式,在一些实施例中,所述接收单元可具体用于接收网络认证网元发送的所述第一标识和所述第二标识;所述计算单元可具体用于根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
结合第三方面,或者结合第三方面的上述几种可能的实现方式,在一些实施例中,所述计算单元可具体用于根据所述标识信息产生多个网络切片各自针对所述用户设备的认证数据;所述认证单元可具体用于利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
第四方面,本发明实施例提供了一种用户设备,所述用户设备包括:
发送单元,用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;
接收单元,用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求;
其中,所述网络认证网元用于判断部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;所述切片认证网元用于根据部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,首先mno核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第四方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第四方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述发送单元还可以用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令。所述接入网侧可解码信令可用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还可包括:第一加密单元,用于在所述发送单元发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧。所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还可包括:第二加密单元,可用于在所述发送单元发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元侧。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第五方面,本发明实施例提供了一种网络认证方法,应用于网络认证网元侧,所述方法包括:网络认证网元接收用户设备发送的接入请求,所述接入请求包含所述用户设备的标识信息。然后,所述网络认证网元验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,并向所述用户设备对应的切片认证网元发送部分或全部所述标识信息。
第六方面,本发明实施例提供了一种网络认证方法,应用于切片认证网元侧,所述方法包括:切片认证网元接收网络认证网元发送的用户设备的标识信息,根据所述标识信息产生针对所述用户设备的认证数据,最后利用所述认证数据向所述用户设备发起的用户认证请求。
第七方面,本发明实施例提供了一种网络认证方法,应用于用户设备侧,所述方法包括:用户设备向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息。所述用户设备接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
通过实施第五方面、第六方面和第七方面描述的方法,对于需要接入网络切片的用户设备,首先mno核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第五方面、第六方面或者第七方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第五方面、第六方面或者第七方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合上述第二种可能的实现方式,在一些实施例中,所述网络认证网元可以向所述切片认证网元发送所述第二标识(即部分所述标识信息)。所述切片认证网元可用于根据所述第二标识(即部分所述标识信息)产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合上述第二种可能的实现方式,在一些实施例中,所述网络认证网元可以向所述切片认证网元发送所述第一标识和所述第二标识(即全部所述标识信息)。所述切片认证网元可用于根据所述第一标识和所述第二标识(即全部所述标识信息)产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
在一些实施例中,所述用户设备对应多个网络切片。针对多个网络切片这种场景,可以通过下述两种实现方式使得所述用户设备接入所述多个网络切片。
在第一种实现方式中,所述切片认证网元还可用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
在第二种实现方式中,所述网络认证网元可以根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元,并分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息。所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
在一些实施例中,所述用户设备在发送所述接入请求之前,所述用户设备还可以利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧。所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
在一些实施例中,所述用户设备在向所述网络认证网元发送所述接入请求时,还可以向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令。所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
在一些实施例中,所述用户设备在发送所述接入网侧可解码信令之前,所述用户设备利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元侧。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第八方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第五方面的任意实现方式描述的网络认证方法。
第九方面,本发明实施例提供一种切片认证设备,所述切片认证设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第六方面的任意实现方式描述的网络认证方法。
第十方面,本发明实施例提供一种用户设备,所述用户设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第七方面的任意实现方式描述的网络认证方法。
通过本发明实施例,对于需要接入网络切片的用户设备,首先mno核心网对用户设备进行合法性验证,然后网络切片对用户设备发起用户认证请求。针对所述用户设备的接入请求,mno核心网不需要请求网络服务器(如hss)计算生成针对用户设备的认证数据(如认证向量av),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍。
图1是本发明实施例涉及的现有的基于预共享密钥的用户认证的流程图;
图2a-2b是本发明实施例涉及的关于切片认证的两种现有技术的示意图;
图3是本发明实施例提供的网络认证系统的架构示意图;
图4是本发明实施例提供的用户设备、网路认证设备和切片认证设备对应的结构示意图;
图5是本发明实施例提供的网络认证方法的总流程示意图;
图6是本发明实施例提供的网络认证方法的第一实施例的流程示意图;
图7是本发明实施例提供的网络认证方法的第二实施例的流程示意图;
图8是本发明实施例提供的网络认证方法的第三实施例的流程示意图;
图9是本发明实施例提供的网络认证方法的第四实施例的流程示意图;
图10是本发明实施例提供的网络认证方法的第五实施例的流程示意图;
图11是本发明实施例提供的网络认证方法的第六实施例的流程示意图;
图12是本发明实施例提供的网络认证方法的第七实施例的流程示意图;
图13是本发明实施例提供的网络认证方法的第八实施例的流程示意图;
图14是本发明实施例提供的网络认证系统以及所述网络认证系统中的相关网元的结构示意图。
具体实施方式
本发明的实施方式部分使用的术语仅用于对本发明的具体实施例进行解释,而非旨在限定本发明。
网络切片是一种虚拟化的逻辑专网,可以根据不同业务需求而定制。为了配合垂直行业的发展,mno的一个或多个网络切片可以出租给垂直行业,由其自行运营、管理、认证用户设备(移动终端或iot设备等)。对于接入切片的用户设备,首先用户设备需要通过mno的服务去接入切片,然后由切片对用户设备进行管理。也就是说,用户设备既要和mno网络交互,也要和网络切片有交互。现有的单一的mno网络认证无法满足垂直行业对其自身业务的运营、管理需求,垂直行业需要对用户设备定制入网认证,并对入网设备进行自定义的管理监控。
为了更好的支持网络切片的定制化,首先需要将现有的mno网络中的网元进行细化。在3gppsa3的技术报告中,建议将当前lte核心网中的mme、hss分解。目前比较一致的观点是:将mme分解成移动管理功能(mobilitymanagementfunction,mmf)、安全锚点功能(securityanchorfunction,seaf)、会话管理功能(sessionmanagementfunction,smf)等功能网元,将hss分解为ausf(authenticationserverfunction,认证服务器功能)、arpf(authenticationcredentialrepositoryandprocessingfunction,认证上下文存储与处理功能)等功能网元。其中,
mmf:控制面的网络功能,为用户在网络中、网络间的移动提供必要支持。比如保持用户的当前位置、状态信息等。
smf:控制面的网络功能,为pdn(packetdatanetwork,分组数据网络)的会话管理提供各种信令支持,比如建立、修改承载等。
seaf:用于认证的网络功能。主要同ausf和用户设备交互。对于aka认证而言,认证seaf从ausf接收中间密钥。seaf在接入请求过程中,也同mmf交互。
ausf:用于认证的网络功能。与arpf和seaf交互,是接收seaf的请求信息的终结点,也可以配置在第三方系统中。
arpf:存储用于认证、加密算法的长期安全上下文的网络功能,也可用于存储安全相关的用户配置信息(profile)。
需要说明的,在后续通信标准的制定中,上述功能网元的划分方式可能发生变化,这种变化不影响本发明实施例的实施。
图3是本发明实施例提供的一种网络认证系统的架构示意图。如图3所示,网络认证系统100可包括:用户设备40、接入网网元30、切片认证网元20和核心网中的网络认证网元10。其中:
接入网网元30可用于为用户设备40提供网络接入服务。具体实现中,接入网网元30可包括基站(nodeb)、基站控制器(radionetworkcontroller,rnc)或接入网关等。具体实现中,用户设备40可以包括手机、平板电脑、笔记本电脑、移动互联网设备(mobileinternetdevice,mid)、可穿戴设备(例如智能手表、智能手环、计步器等)等用户终端,也可以包括iot设备,还可以包括其他可接入mno网络的通信设备。
网络认证网元10可用于为所有接入网络的ue提供网络认证服务,具体可包括配置在核心网cn中的seaf、ausf、arpf等网络功能。
本发明实施例中,网络认证网元10不需要产生认证向量av并利用该认证向量对用户设备40发起用户认证请求,而仅需要判断用户设备的标识信息(如imsi)是否合法,如果合法,则查询该用户设备对应的切片认证网元或者其中的认证网络功能,例如切片认证锚点(seafforslice)或切片认证服务器(ausfforslice),的地址,并触发该切片认证网元对该用户设备进行切片认证。也即是说,在网络认证网元中,seaf不需要向ausf、arpf发出认证数据请求(authenticationdatarequest)。而且,切片认证网元也不需要向ausf、arpf或网络服务器(如hss)发出认证数据请求(authenticationdatarequest),arpf或网络服务器(如hss)不需要计算、生成认证向量。这样既可以避免进行低效率的mno网络认证,又可以通过合法性验证保证mno网络对用户设备的入网控制,大大减少了用户设备接入切片的认证时间,提高了认证效率。
这里,针对所述用户设备的合法性可以包括但不局限于下述几种情况:(1)用户设备的标识信息在网络中(arpf或hss)没有被注销,网络允许该用户设备对应的用户使用网络提供的服务;(2)用户设备被允许接入切片,该用户设备对应的用户是该切片的签约用户(未被注销);(3)用户设备被允许接入切片,该用户设备对应的用户并不是该切片的签约用户,但该切片允许未签约的新用户接入。
切片认证网元20可用于为接入切片的ue提供切片认证服务,具体可包括专门为切片服务的seaf、ausf、arpf等切片网络功能。具体实现中,这些切片网络功能可以配置在核心网,也可以配置在网络切片中。本发明实施例对配置这些切片网络功能的网络实体不做限制。
需要指出的是,图3示出的网络认证网元10或切片认证网元20所包括的各个网络功能(如seaf、ausf、arpf等)是目前3gppsa3标准组织文稿及技术报告(tr)中出现的名称,这些名称还有更改的可能,比如更名、网络功能合并、分拆等,本专利并不局限于这些网络功能的名称及这些网络功能具体配置在哪个网元中。对于实现类似功能的其他网元,本发明同样适用。比如,图3切片认证网元20中的seaf可以不存在,由网络认证网元10中的seaf直接同切片认证网元20中的ausf交互。又比如,图3中核心网中的mmf可以不属于网络认证网元10,mmf可以成为一个独立网元,或者是配置在其他网元中。再比如,在4g网络中,mmf和seaf是配置在单一的网元中,即mme。而ausf和arpf是由hss来实现的等等。
具体实现中,网络认证系统100可包括多个切片认证网元20,其中,一个切片认证网元20负责为一个网络切片提供切片认证服务。实际应用中,网络认证系统100中的多个网络切片也可以共享一个切片认证网元20,这一个切片认证网元20可以为所述多个网络切片分别提供切片认证服务。
应理解的,当接入网网元30只包括一个网络实体(例如基站)时,后续描述到的接入网网元30所执行的操作均由该一个网络实体完成。当接入网网元30包括多个网络实体(例如基站和基站控制器)时,后续描述到的接入网网元30所执行的操作由所述多个网络实体协作完成。
应理解的,当网络认证网元10只包括一个网络实体(例如mme)时,后续描述到的网络认证网元10所执行的操作均由该一个网络实体完成。当该网络认证网元10包括多个网络实体(例如mme和hss)时,后续描述到的网络认证网元10所执行的操作由所述多个网络实体协作完成。
应理解的,当切片认证网元20只包括一个网络实体时,后续描述到的网络认证网元10所执行的操作均由该一个网络实体完成。当该网络认证网元10包括多个网络实体时,后续描述到的网络认证网元10所执行的操作所述多个网络实体协作完成。
这里,所述协作完成是指多个网络实体各执行一些操作,执行操作所产生的数据、参数均可以根据需要在这多个网络实体各之间传输。
需要说明的,不限于图3所示,网络认证网元10还可包括更多或更少网络功能,切片认证网元20还可包括更多或更少切片网络功能。比如,切片认证网元网元20可以没有seaf,网络认证网元10中的seaf可以直接同切片认证网元20中的ausf交互。
图4是本发明实施例提供的通信装置示意图。图3中的用户设备40或者网络认证网元10或者切片认证网元20可以通过图4所示的通信装置(或系统)200来实现。
如图4所示,通信装置(或系统)200可包括至少一个处理器401,存储器403以及至少一个通信接口404。这些部件可在一个或多个通信总线402上通信。
需要说明的,图4仅仅是本发明实施例的一种实现方式,实际应用中,通信装置200还可以包括更多或更少的部件,这里不作限制。
通信接口404用于接收和发送射频信号,耦合于通信装置200的接收器和发射器。通信接口404通过射频信号与通信网络和其他通信设备通信,如以太网(ethernet),无线接入网(radioaccesstechnology,ran),无线局域网wirelesslocalareanetworks,wlan)等。具体实现中,通信接口404支持的通信协议可包括但不限于:2g/3g、lte、wi-fi、5gnewradio(nr)等等。
存储器403与处理器401耦合,用于存储各种软件程序和/或多组指令。具体实现中,存储器403可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器403可以存储操作系统(下述简称系统),例如android,ios,windows,或者linux等嵌入式操作系统。存储器403可用于存储本发明实施例的实现程序。存储器403还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个终端设备,一个或多个网络设备进行通信。
处理器401可以是一个通用中央处理器(centralprocessingunit,cpu),微处理器,特定应用集成电路(application-specificintegratedcircuit,asic),或一个或多个用于控制本发明方案程序执行的集成电路。
在一些实施例中,通信装置200还可以包括输出设备405和输入设备406。输出设备405和处理器401通信,可以以多种方式来显示信息。例如,输出设备405可以是液晶显示器(liquidcrystaldisplay,lcd),发光二级管(lightemittingdiode,led)显示设备,阴极射线管(cathoderaytube,crt)显示设备,或投影仪(projector)等。输入设备406和处理器401通信,可以以多种方式接受用户的输入。例如,输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。为了便于输出设备405和输入设备406的用户使用,在一些实施例中,存储器202还可以存储用户接口程序,该用户接口程序可以通过图形化的操作界面将应用程序的内容形象逼真的显示出来,并通过菜单、对话框以及按键等输入控件接收用户对应用程序的控制操作。
当图4所示的通信装置200实现为图3所示的用户设备40时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供接入请求、用户认证响应等功能,具体可参考后续方法实施例。当图4所示的通信装置200实现为图3所示的网络认证网元10时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供接入用户合法性验证、切片查询等功能,具体可参考后续方法实施例。当图4所示的通信装置200实现为图3所示的切片认证网元20时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供一个或多个切片的切片接入认证功能,具体可参考后续方法实施例。
为了实现用户设备高效、安全的接入网络切片,本发明实施例提供了一种网络认证方法。本发明实施例涉及的主要原理包括:对于需要接入网络切片的用户设备,首先,网络(mno核心网)对用户设备进行合法性验证。然后,网络切片对用户设备发起用户认证请求。本发明实施例中,网络(mno核心网)不需要请求hss计算生成针对用户设备的认证数据(如认证向量av),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
首先,通过图5概括性的描述出本发明实施例提供的网络认证方法。在本发明实施例中,网络认证网元(核心网cn中的一个或多个网络实体)可包括网络功能seaf和ausf/arpf,切片认证网元可包括切片认证功能seaf(即图示的seafforslice)、ausf/arpf(即图示的ausf/arpfforslice)。需要说明的是,核心网中的网络功能mmf可以不是网络认证网元的一部分,比如成为一个单独的网元,或者配置在其他网元中。关于网络认证网元和切片认证网元所包含的细分功能,具体可参考图3实施例。如图5所示,网络认证方法可包括:
步骤1-2,所述用户设备经过接入网向所述网络认证网元发送接入请求。所述接入请求包含所述用户标识信息。
本发明实施例中,所述标识信息可以包括:第一标识,所述第一标识可以是所述用户设备在mno网络中的标识信息,例如国际移动用户标识(internationalmobilesubscriberidentity,imsi)。所述标识信息也可以包括:所述第一标识和所述第二标识。其中,所述第二标识可以是所述用户设备在网络切片中的标识信息。具体实现中,所述第二标识可以包括:物理标识(例如设备标识)、用户设备的业务标识中至少一种。
实际应用中,所述接入请求中携带的所述标识信息也可以包括2个以上的标识,不限于上述提及的所述第一标识和所述第二标识。
步骤3-9,所述网络认证网元可以验证部分或全部所述标识信息是否合法,如果合法,则根据所述部分或全部所述标识信息确定所述用户设备对应的切片认证网元。
具体实现中,如果所述接入请求中携带的所述标识信息仅包括一个标识,例如所述第一标识,那么,所述网络认证网元利用所述第一标识(所述标识信息的全部)验证合法性。
具体实现中,如果所述接入请求中携带的所述标识信息包括所述第一标识和所述第二标识这两个标识,那么,所述网络认证网元既可以利用所述第一标识(所述标识信息的部分)验证合法性,也可以利用所述第一标识和所述第二标识(所述标识信息的全部)验证合法性。
同样的,如果所述接入请求中携带的所述标识信息包括两个以上标识,那么,所述网络认证网元既可以利用所述标识信息的部分验证合法性,也可以利用所述标识信息的全部验证合法性
本发明实施例中,所述网络认证网元侧可配置有所述标识信息(部分或全部)与所述用户设备对应的切片认证网元之间的映射关系。这样,所述网络认证网元侧所述标识信息(部分或全部)便可查询出所述用户设备对应的切片认证网元。
步骤9,所述网络认证网元向所述用户设备对应的切片认证网元发送部分或全部所述标识信息。
与所述网络认证网元类似,所述切片认证网元执行用户认证所依据的标识信息也可以是部分或全部所述接入请求中携带的所述标识信息。因此,所述网络认证网元可以将部分或全部所述标识信息发送给所述切片认证网元执行用户认证。
需要说明的,所述切片认证网元执行用户认证所依据的标识信息和所述网络认证网元执行合法性验证所依据的标识信息可以完全相同,也可以部分相同,还可以完全不同,详见后续具体的实施例。
步骤10-13,所述用户设备对应的切片认证网元根据所述网络认证网元发送的所述部分或全部所述标识信息产生针对所述用户设备的认证数据。
步骤13-14,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。相应的,所述用户设备响应所述用户认证请求。
需要说明的,本发明不限定所述切片认证网元和所述用户设备之间所采用的用户认证方法。具体实现中,可以采用基于对称钥的认证技术(类似于密匙协商机制(authenticationandkeyagreement,aka)),也可以采用基于非对称密钥的用户认证,例如pki(publickeyinfrastructure,公钥架构)机制、ibs(identitybasedsignature,基于用户身份的认证)机制等。
具体的,所述认证数据根据不同的认证技术而不同。比如,如果采用aka认证技术,认证数据可包括:随机数rand、认证令牌autn_ue、期望认证响应xres、k_asme、切片标识密钥等。需要说明的是,为了可以产生认证数据,网络切片和用户设备都需要事先预置与所述用户设备的标识信息相对应的根密钥。如果采用pki或ibs认证技术,认证数据可包括:随机数rand、数字签名、所述标识信息(部分或全部)、切片标识等等。类似地,为了可以产生认证数据,网络切片和用户设备都需要事先预置与所述用户设备的标识信息相对应的根密钥、私钥或者数字证书。其中,所述切片标识和所述标识信息可结合用于指示出:所述认证数据是所述切片标识表征的切片生成的针对所述用户设备的认证数据。需要说明的,在图6-13分别对应的实施例中,所述标识信息包含的内容可能不同。
本发明实施例涉及的所述认证数据是一般意义、非特指的认证数据,既可以适用aka认证机制中定义的认证向量av,也可以适用pki、ibs认证机制中用于用户认证的数据。
下面结合图6-13的几个实施例详细描述本发明实施例提供的网络认证方法。
图6是本发明实施例提供的网络认证方法的第一实施例的流程示意图。图6实施例中,用户设备发送的标识信息是单一标识。所述网络认证网元用于验证用户设备合法性的标识信息和所述切片认证网元用于认证用户设备的标识信息相同。下面展开描述:
s101-s102,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。这里,所述标识信息可以是所述用户设备在mno网络中的标识信息(如imsi),即所述第一标识。
具体的,所述用户设备发送所述接入请求到接入网,可参考s101。然后,接入网可以将所述接入请求转发至网络接入锚点(例如配置在核心网中的mmf,需要说明的,mmf也可以配置在网络认证网元之外的其他网元中,或者成为一个单独的网元),具体可参考s102。
s103-s108,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述标识信息是否合法,如果合法,则根据所述标识信息确定所述用户设备对应的切片认证网元。
具体实现中,所述网络认证网元侧可配置有用于存储用户设备的标识信息和切片认证网元之间的映射关系的数据库。在所述数据库中,用户设备的标识信息可以与切片认证网元的地址信息相对应。
具体的,如图6所示,s103-s108可展开包括:
s103,网络接入锚点(mmf)接收到接入网转发过来的所述接入请求,从所述接入请求中提取出所述标识信息,并将所述标识信息发送至网络认证锚点(例如配置在所述网络认证网元中的seaf)。
s104,网络认证锚点可以将所述标识信息转发至网络认证服务器(例如配置在所述网络认证网元中的ausf/arpf)。
s105,在接收到所述标识信息之后,网络认证服务器(ausf/arpf)可以验证所述标识信息是否合法。
s106,如果合法,网络认证服务器(ausf/arpf)可以根据所述标识信息查询所述用户设备对应的切片认证锚点或切片认证服务器。
s107-s108,网络认证服务器(ausf/arpf)可以将查询结果通过网络认证锚点(seaf)转发给网络接入锚点(mmf)。
具体的,所述查询结果可包括:所述用户设备对应的切片认证锚点或切片认证服务器的地址。这样,网络接入锚点(mmf)可以根据该地址向所述用户设备对应的切片认证锚点或切片认证服务器发送所述标识信息,触发所述切片认证网元对所述用户设备发起用户认证请求。本发明实施例中,可以将所述用户设备对应的切片认证锚点或切片认证服务器的地址概括称为所述用户设备对应的切片认证网元的地址。
s109,所述网络认证网元向所述用户设备对应的切片认证网元发送所述标识信息。
具体的,根据所述用户设备对应的切片认证锚点或切片认证服务器的地址,网络接入锚点(mmf)向所述用户设备对应的切片认证锚点(seafforslice)发送所述标识信息。
s110-s112,所述用户设备对应的切片认证网元根据所述标识信息产生针对所述用户设备的认证数据。
具体的,如图6所示,s110-s112可展开包括:
s110,切片认证锚点(seafforslice)根据所述标识信息向切片认证服务器(ausf/arpfforslice)请求获取认证数据。
s111,切片认证服务器(ausf/arpfforslice)根据所述标识信息计算生成针对所述用户设备的认证数据,例如aka中定义的认证向量av。
s112,切片认证服务器(ausf/arpfforslice)向切片认证锚点(seafforslice)返回针对所述用户设备的认证数据。
s113,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
具体的,切片认证锚点(seafforslice)利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。可选的,该认证请求也可以经由网络中的其他网元(如网络接入锚点mmf)转发至接入网后发送给所述用户设备。
s114,所述用户设备响应所述用户认证请求。
图7是本发明实施例提供的网络认证方法的第二实施例的流程示意图。图7实施例中,用户设备发送的标识信息包括两个标识:所述第一标识和所述第二标识。所述网络认证网元根据所述第一标识验证用户设备合法性,所述切片认证网元根据所述第二标识认证用户设备。下面展开描述:
s201-s202,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
关于s201-s202的展开至内部网络功能的实现可参考图6实施例中的s101-s102。
与图6实施例不同的是,所述标识信息可以包括所述第一标识和所述第二标识。其中,所述第二标识可以是物理标识(如设备id),也可以是一种业务标识。应理解的,所述第二标识采用物理标识更适合垂直行业为其设备设置固定设备id的场景。
s203-s208,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于s203-s208的展开至内部网络功能的实现可参考图6实施例中的s103-s108。
s209,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第二标识。
具体的,网络接入锚点(mmf)在通过网络服务器ausf/arpf验证完毕所述用户设备的合法性并查询到所述用户设备对应的切片接入锚点或切片认证服务器的地址之后,向切片接入锚点(seafforslice)发送所述第二标识。
s210-s212,所述用户设备对应的切片认证网元根据所述第二标识产生针对所述用户设备的认证数据。
具体的,如图7所示,s210-s212可展开包括:
s210,切片认证锚点(seafforslice)根据所述第二标识向切片认证服务器(ausf/arpfforslice)请求获取认证数据。
s211,切片认证服务器(ausf/arpfforslice)根据所述第二标识计算生成针对所述用户设备的认证数据。
s212,切片认证服务器(ausf/arpfforslice)向切片认证锚点(seafforslice)返回针对所述用户设备的认证数据。
与图6实施例不同的是,所述切片认证网元需要利用所述第二标识产生针对所述用户设备的认证数据,并利用该认证数据向所述用户设备发起用户认证请求。
可以理解的,不向所述切片认证网元发送所述第一标识(例如imsi)可以避免将所述用户设备在mno网络中的标识信息(如imsi)暴露给切片运营商,也可以避免泄露所述用户设备的imsi和设备id的关系,可以防止潜在的针对imsi和设备id的安全攻击。
s213,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
s214,所述用户设备响应所述用户认证请求。
图8是本发明实施例提供的网络认证方法的第三实施例的流程示意图。图8实施例中,用户设备发送的标识信息包括两个标识:所述第一标识和所述第二标识。所述网络认证网元根据所述第一标识验证用户设备合法性,所述切片认证网元根据所述第一标识和所述第二标识认证用户设备。下面展开描述:
s301-s302,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
关于s301-s302的展开至内部网络功能的实现可参考图6实施例中的s101-s102。
与图6实施例不同的是,所述标识信息可以包括所述第一标识和所述第二标识。其中,所述第二标识可以是物理标识(如设备id),也可以是一种业务标识。应理解的,所述第二标识采用物理标识更适合垂直行业为其设备设置固定设备id的场景。
s303-s308,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于s303-s308的展开至内部网络功能的实现可参考图6实施例中的s103-s108。
s309,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
具体的,网络接入锚点(mmf)在通过网络服务器ausf/arpf验证完毕所述用户设备的合法性并查询到所述用户设备对应的切片接入锚点或切片认证服务器的地址之后,向切片接入锚点(seafforslice)发送所述第一标识和所述第二标识。
s310-s312,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
具体的,如图8所示,s310-s312可展开包括:
s310,切片认证锚点(seafforslice)根据所述第一标识和所述第二标识向切片认证服务器(ausf/arpfforslice)请求获取认证数据。
s311,切片认证服务器(ausf/arpfforslice)根据所述第一标识和所述第二标识计算生成针对所述用户设备的认证数据。
s312,切片认证服务器(ausf/arpfforslice)向切片认证锚点(seafforslice)返回针对所述用户设备的认证数据。
与图6实施例不同的是,所述切片认证网元需要利用所述第一标识和所述第二标识产生针对所述用户设备的认证数据,并利用该认证数据向所述用户设备发起用户认证请求。
虽然在图7实施例中提到,同时发送imsi和设备id给切片认证锚点,会将imsi和设备id的关联性暴露给切片。但是,在某些应用场景(例如,切片运营商从属于mno或同mno有强信任关系,切片需要给用户提供网络的部分服务)下,切片需要知道imsi和设备id的关联性,以便更好的向用户提供网络服务。
s313,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
s314,所述用户设备响应所述用户认证请求。
图9是本发明实施例提供的网络认证方法的第四实施例的流程示意图。图9实施例中,mno网络支持多网络切片的场景。在多网络切片的应用场景中,一个用户设备可以同时接入多个不同的网络切片,例如车载终端可以同时接入高带宽的切片和车联网的切片。在图9实施例中,用户设备对应多个不同的网络切片,所述多个切片共享切片认证网元,所述切片认证网元可用于为所述多个切片分别提供用户认证服务。下面展开描述:
s401-s402,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
需要说明的,在图9实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
s403-s408,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于s403-s408的展开至内部网络功能的实现可参考图6实施例中的s103-s108。
与图6实施例不同的是,所述用户设备对应的所述切片认证网元(切片认证锚点和切片认证服务器)可用于为多个切片提供用户认证服务。具体实现中,所述切片认证网元侧可配置有mno支持的全部切片各自对应的认证策略。这里,所述认证策略可包括切片各自定制的认证机制,例如aka认证机制或者pki认证机制等。
s409,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第一标识信息,可参考图6实施例。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第二标识信息,可参考图7实施例。
关于s409的展开至内部网络功能的实现可分别参考图6-8分别对应的实施例中的相应步骤。
s410-s412,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据,可参考图8实施例中的s310-s312。可选的,所述切片认证网元也可以仅根据所述第一标识信息产生针对所述用户设备的认证数据,可参考图6实施例中的s110-s112。可选的,所述切片认证网元也可以仅根据所述第二标识信息产生针对所述用户设备的认证数据,可参考图7实施例中的s210-s212。
与图6-8分别对应的实施例不同的是,所述切片认证网元根据所述第一标识和所述第二标识,或者所述第一标识,或者所述第二标识产生的认证数据包括所述用户设备对应的多个网络切片针对所述用户设备的认证数据。
具体的,所述不同可实现为下述过程:
s410,切片认证锚点(seafforslice)可以根据所述第一标识和所述第二标识,或者所述第一标识,或者所述第二标识确定出所述用户设备对应的多个切片。具体实现中,切片认证锚点(seafforslice)侧可配置有一个数据库,该数据库中可存储有mno支持的全部切片的切片id和所述全部切片各自对应的签约用户的所述第一标识(imsi)和/或所述第二标识(设备id)。在另一种实现中,s410,切片认证锚点(seafforslice)不用确定出所述用户设备对应的多个切片,也不用配置所述数据库。该功能可以由s411认证服务器(ausf/arpfforslice)来实现。
s411,切片认证服务器(ausf/arpfforslice)可以分别按照所述多个网络切片各自定制的用户认证机制产生所述多个网络切片各自针对所述用户设备的认证数据。并且,切片认证服务器(ausf/arpfforslice)将所述认证数据返回至切片认证锚点(seafforslice),可参考s412。
s413,所述用户设备对应的切片认证网元利用所述多个网络切片针对所述用户设备的认证数据,分别向所述用户设备发起所述多个网络切片各自对应的用户认证请求。
s414,所述用户设备分别响应所述多个网络切片对应的用户认证请求。
图10是本发明实施例提供的网络认证方法的第五实施例的流程示意图。图10实施例中,mno网络支持多网络切片的场景。在多网络切片的应用场景中,一个用户设备可以同时接入多个不同的网络切片,例如车载终端可以同时接入高带宽的切片和车联网的切片。在图10实施例中,用户设备对应多个不同的网络切片,其中,所述多个不同的网络切片各自对应有切片认证网元,可用于专门为相对应的切片提供用户认证服务。下面展开描述:
s501-s502,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。具体的,可参考图9实施例中的相应步骤,这里不再赘述。
s503-s508,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。具体的,可参考图9实施例中的相应步骤,这里不再赘述。
与图9实施例不同的是,所述用户设备对应多个切片认证网元,可用于分别为所述多个切片认证网元各自对应的切片提供用户认证服务。
具体实现中,所述网络认证网元侧可配置有一个数据库,该数据库中可存储有mno支持的全部切片各自对应的切片认证网元的地址和所述全部切片各自对应的签约用户的标识信息(如imsi)。具体的,所述网络认证网元在接收到所述用户设备发送的所述接入请求之后,还可以根据其中携带的所述第一标识从所述数据库中查询出所述用户设备对应的多个切片认证网元的地址。
具体的,体现在内部网络功能即:网络认证锚点(seaf)向网络认证服务器(ausf/arpf)请求获得的查询结果可包括多个切片认证锚点(seafforslice)的地址或多个切片认证服务器(ausf/arpfforslice)的地址,可参考s507。然后,网络认证锚点(seaf)将该查询结果发送至网络接入锚点(mmf),可参考s508。
s509-s516,所述网络认证网元向所述用户设备对应的多个切片认证网元分别发送所述第一标识和所述第二标识。然后,所述多个切片认证网元可根据所述第一标识和所述第二标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个切片认证网元发送所述第一标识和所述第二标识的具体实现,以及每一个切片认证网元根据所述第一标识和所述第二标识生成针对所述用户设备的认证数据的具体实现,均可参考图8实施例中的相应步骤,这里不再赘述。
可选的,所述网络认证网元也可以向所述用户设备对应的多个切片认证网元分别发送所述第一标识。然后,所述多个切片认证网元可根据所述第一标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个切片认证网元发送所述第一标识的具体实现,以及每一个切片认证网元根据所述第一标识生成针对所述用户设备的认证数据的具体实现,均可参考图6实施例中的相应步骤。
可选的,所述网络认证网元也可以向所述用户设备对应的多个切片认证网元分别发送所述第二标识。然后,所述多个切片认证网元可根据所述第二标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个所述切片认证网元发送所述第二标识的具体实现,以及每一个切片认证网元根据所述第二标识生成针对所述用户设备的认证数据的具体实现,均可参考6实施例中的相应步骤。
s517-s520,所述用户设备对应的多个切片认证网元利用各自针对所述用户设备的认证数据,分别向所述用户设备发起用户认证请求。所述用户设备分别响应多个切片认证网元发起的用户认证请求。具体的,每一个所述用户设备对应的切片认证网元和所述用户设备的用户认证过程均可参考图6-8分别对应的实施例中的相应步骤,这里不再赘述。
图11是本发明实施例提供的网络认证方法的第六实施例的流程示意图。图11实施例中,在所述用户设备通过接入网(ran)向所述网络认证网元发送所述接入请求(携带所述用户设备的标识信息)时,还可以同时通过接入网(ran)侧可解码的信令通道,比如rrc,发送所述用户设备的标识信息(例如设备id),或者,发送和所述用户设备相关的接入辅助信息,例如接入优先级等。在ran侧可解码中的所述标识信息和/或所述接入辅助信息可以在ran侧进行解码处理。这样可以协助ran基于这些信息进行接入控制。例如,针对iot设备,不需要有很低的时延要求(低优先级),ran可以对这类设备的接入请求执行延后处理。而对其他低时延要求设备(高优先级),ran可以优先处理它们的接入请求。这样,ran可以通过ran侧可解码中的所述标识信息和/或所述接入辅助信息对所述用户设备进行区别处理,可优化ran的接入控制,尤其利于海量用户设备(包括iot设备、车载设备、手机等)同时接入的场景。下面展开描述:
s601-s604,所述用户设备向接入网网元发送接入请求,所述接入请求包含所述用户设备的标识信息。在发送所述接入请求时,所述用户设备还可以向所述接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的ran侧可解码。所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。最后,所述接入网网元将所述接入请求转发至所述网络认证网元。
这里,所述ran侧可解码可用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
需要说明的,在图11实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
关于所述用户设备向所述网络认证网元发送接入请求的具体实现可参考图6或图7实施例,这里不再赘述。
与图6-10分别对应的实施例不同的是,所述用户设备还可以同时通过ran侧可解码(例如rrc信令)通道发送所述用户设备的标识信息(例如设备id),或者,发送和所述用户设备相关的接入辅助信息,例如接入优先级等。这样可以协助ran基于这些信息进行接入控制。
在一种实现方式中,所述ran侧可解码可携带所述标识信息,例如设备id,即所述第二标识。接入网ran可以根据所述标识信息确定出针对所述用户设备的接入策略。例如,如果所述用户设备的设备id表明所述用户设备是iot设备(低优先级),那么,接入网侧可以将所述用户设备对应的接入优先级设置为低,待当前的一些高优先级用户设备接入完成之后,再提升该iot设备的接入优先级,执行对该iot设备的接入处理。示例仅仅是本发明实施例的一种实现方式,实际应用中还可以不同,不应构成限定。
在另一种实现方式中,所述ran侧可解码可携带所述用户设备相关的接入辅助信息,例如接入优先级。接入网ran可以根据所述接入辅助信息确定出针对所述用户设备的接入策略。例如,如果所述ran侧可解码中携带的针对所述用户设备的接入优先级指示为高优先级,那么,接入网侧可以优先处理所述用户设备的接入请求,使得所述用户设备可以及时接入网络,满足低时延设备对接入时间的要求。示例仅仅是本发明实施例的一种实现方式,实际应用中还可以不同,不应构成限定。
实际应用中,所述ran侧可解码还可以同时携带所述标识信息和所述用户设备相关的接入辅助信息,不限于上述两种实现方式。具体实施时,可以根据ran侧的接入控制机制来选择携带哪些信息。
需要说明的,接入优先级不仅可以根据不同类型设备的时延要求来设置,还可以根据其他考虑因素来设置,例如根据业务优先级来设置。不限于接入优先级,所述接入辅助信息还可以是其他可用于ran侧接入控制的信息,本发明实施例不做限制。
s605-s610,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
具体的,在所述用户设备接入一个切片的场景下,s605-s610的具体实现可参考图6实施例中的s103-s108。即所述用户设备对应的切片认证网元可用于产生针对所述用户设备的认证数据,并利用该认证数据对所述用户设备发起用户认证请求。
具体的,在所述用户设备接入多个切片的场景下,s605-s610的具体实现也可以参考图9实施例中的s403-s408。即所述用户设备对应的切片认证网元被多个网络切片共享,可用于产生多个网络切片分别针对所述用户设备的认证数据,并利用各自的认证数据分别向所述用户设备发起用户认证请求。
具体的,在所述用户设备接入多个切片的场景下,s605-s610的具体实现还可以参考图11实施例中的s503-s508。即所述用户设备对应的多个切片认证网元,可分别用于为各自对应的切片产生针对所述用户设备的认证数据,并分别利用各自对应的切片针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
s611,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第一标识信息,可参考图6实施例。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第二标识信息,可参考图7实施例。
s612-s614,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据,可参考图8实施例中的s310-s312。可选的,所述切片认证网元也可以仅根据所述第一标识信息产生针对所述用户设备的认证数据,可参考图6实施例中的s110-s112。可选的,所述切片认证网元也可以仅根据所述第二标识信息产生针对所述用户设备的认证数据,可参考图7实施例中的s210-s212。
这里需要说明的,在图11实施例中,不限于附图所示,s611和s612-s614的具体实现还可以参考图9或图10实施例中的相应步骤,以适用图9或图10实施例对应的多网络切片的场景。
s615-s615,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。然后,所述用户设备响应所述用户认证请求。
这里需要说明的,在图11实施例中,不限于附图所示,s615-s616的具体实现还可以参考图9或图10实施例中的相应步骤,以适用图9或图10实施例对应的多网络切片的场景。
图12是本发明实施例提供的网络认证方法的第七实施例的流程示意图。图12实施例中,所述用户设备可以对所述标识信息进行加密,以保护隐私,避免重放攻击。具体的,可以利用所述网络认证网元(例如seaf)提供的加密密钥(本发明实施例称为第一加密密钥)对所述标识信息行加密,再将加密后的所述标识信息嵌入所述接入请求中。所述第一加密密钥可以是事先预置给所有用户设备的,所述第一加密密钥对应的解密密钥可以配置在所述网络认证网元侧。也即是说,加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。下面展开描述:
s701-s702,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。需要说明的,在图12实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
关于s701-s702的具体实现,可参考图6-10分别对应实施例中的相应步骤,这里不再赘述。另外,参考图11实施例可知,所述用户设备还可以通过ran侧可解码发送所述标识信息和/或所述用户设备相关的接入辅助信息,以实现ran侧的接入控制。
与图6-11分别对应的实施例不同的是,在图12实施例中,携带在所述接入请求中所述标识信息被所述用户设备通过所述第一加密密钥进行加密。所述第一加密密钥对应的解密密钥可以配置在所述网络认证网元侧。也即是说,加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。
这里,不限制所述第一加密密钥和其相应的解密密钥所采用的密钥体制,既可以采用常用的非对称钥体制(如pki),也可以采用基于用户身份的非对称钥加解密机制(如ibs),还可以采用其他类型的密钥体制。
可选的,所述接入请求中还可以嵌入有效时间来进一步避免重放攻击,这样所述网络认证网元可以根据所述有效时间来额外判定所述接入请求的来源是否合法。
s703-s708,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
s709,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
s710-s712,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
s713,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
s714,所述用户设备响应所述用户认证请求。
这里需要说明的,在图12实施例中,不限于附图所示,s703-s714的具体实现还可以参考图6-11分别对应的实施例中的相应步骤,这里不再赘述。
图13是本发明实施例提供的网络认证方法的第八实施例的流程示意图。基于图11实施例,在图13实施例中,所述用户设备可以不仅对携带在所述接入请求中的所述标识信息进行加密(参考图12实施例),而且可以对携带在所述rrc通道中的所述标识信息和/或接入辅助信息进行加密。具体的,可以利用接入网ran提供的加密密钥(本发明实施例称为第二加密密钥)对所述标识信息和/或接入辅助信息进行加密,再将加密后的所述标识信息和/或接入辅助信息嵌入所述ran侧可解码中。所述第二加密密钥可以是事先预置给所有用户设备的,所述第二加密密钥对应的解密密钥可以配置在ran侧。也即是说,嵌入所述ran侧可解码中的所述标识信息和/或接入辅助信息只有在ran侧才能被解密,提高了安全性和私密性。下面展开描述:
s801-s804,所述用户设备向接入网网元发送接入请求,所述接入请求包含所述用户设备的标识信息。在发送所述接入请求时,所述用户设备还可以向所述接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的ran侧可解码。所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。最后,所述接入网网元将所述接入请求转发至所述网络认证网元。
具体的,可参考图11实施例中的s601-s604,这里不再赘述。
与图11实施例不同的是:
第一,携带在所述接入请求中的所述标识信息被所述用户设备通过所述第一加密密钥进行加密,具体可参考图12实施例。加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。
第二,携带在所述ran侧可解码中的所述标识信息和/或接入辅助信息被所述用户设备通过所述第二加密密钥进行加密。所述第二加密密钥可以是事先预置给所有用户设备的,所述第二加密密钥对应的解密密钥可以配置在ran侧。加密后的所述标识信息和/或接入辅助信息只有在ran侧才能被解密,提高了安全性和私密性。
具体实现中,与图12实施例中描述的针对所述接入请求中的所述标识信息的加密类似,这里不限制所述第二加密密钥和其相应的解密密钥所采用的密钥体制,既可以采用常用的非对称钥体制(如pki),也可以采用基于用户身份的非对称钥加解密机制(如ibs),还可以采用其他类型的密钥体制。可选的,所述rrc中还可以嵌入有效时间来进一步避免重放攻击,这样ran可以根据所述有效时间来额外判定所述ran侧可解码的来源是否合法。
s805-s810,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
s811,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
s812-s814,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
s815,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
s816,所述用户设备响应所述用户认证请求。
这里需要说明的,在图13实施例中,不限于附图所示,s805-s816的具体实现还可以参考图6-11分别对应的实施例中的相应步骤,这里不再赘述。
图14是本发明实施例提供的网络认证系统以及所述网络认证系统中的相关网元的结构示意图。如图14所示,网络认证系统200可包括:网络认证网元201、切片认证网元203、用户设备205以及接入网网元207。下面展开描述。
如图14所示,网络认证网元201可以包括接收单元2011、验证单元2013和发送单元2015,其中:
接收单元2011,可用于接收用户设备205发送的接入请求;所述接入请求包含用户设备205的标识信息;
验证单元2013,可用于验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定用户设备205对应的切片认证网元203;
发送单元2015,可用于向用户设备205对应的切片认证网元203发送部分或全部所述标识信息;发送的部分或全部所述标识信息用于用户设备205对应的切片认证网元203产生针对用户设备205的认证数据,利用所述认证数据向用户设备205发起用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
具体实现中,发送单元2015可具体用于向切片认证网元203发送所述第二标识。所述切片认证网元203可用于根据所述第二标识产生认证数据,并利用所述认证数据向用户设备205发起用户认证请求。
具体实现中,发送单元2015也可具体用于向切片认证网元203203发送所述第一标识和所述第二标识。切片认证网元203用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向用户设备205发起用户认证请求。
在一些实施例中,用户设备205可对应多个网络切片。验证单元2013可具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元203。发送单元2015可具体用于分别向所述多个网络切片各自对应的切片认证网元203发送部分或全部所述标识信息。所述多个网络切片各自对应的切片认证网元203用于各自产生针对用户设备205的认证数据,并分别利用所述多个网络切片各自针对用户设备205的认证数据向用户设备205发起用户认证请求。
需要说明的,网络认证网元201中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述网络认证网元的功能,这里不再赘述。
如图14所示,切片认证网元2013可包括:接收单元2031、计算单元2033和认证单元203。其中:
接收单元2031,可用于接收网络认证网元201发送的用户设备的标识信息;
计算单元2033,可用于根据所述标识信息产生针对用户设备205的认证数据;
认证单元2035,可用于利用所述认证数据向用户设备205发起的用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
具体实现中,接收单元2031可具体用于接收网络认证网元201发送的所述第一标识和第二标识。所述计算单元可具体用于根据所述第一标识产生针对用户设备205的认证数据。
具体实现中,接收单元2031也可具体用于接收网络认证网元201发送的所述第一标识和所述第二标识。计算单元2033也可具体用于根据所述第一标识和所述第二标识产生针对用户设备205的认证数据。
在一些实施例中,计算单元2033可具体用于根据所述标识信息产生多个网络切片各自针对用户设备205的认证数据。认证单元2035可具体用于利用所述多个网络切片各自针对用户设备205的认证数据分别向用户设备205发起针对所述各个网络切片的安全认证请求。
需要说明的,切片认证网元203中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述切片认证网元的功能,这里不再赘述。
如图14所示,用户设备205可包括:
发送单元2051,用于向网络认证网元201发送接入请求,所述接入请求携带用户设备205的标识信息;
接收单元2051,用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
在一些实施例中,用户设备205还可包括:第一加密单元,用于在发送单元2051发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在网络认证网元201侧。网络认证网元201用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
在一些实施例中,发送单元2051还可用于在向所述网络认证网元201发送所述接入请求时,向接入网网元发送携带所述标识信息和/或用户设备205相关的接入辅助信息的接入网侧可解码信令。所述接入网网元可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对用户设备205的所述接入请求执行接入控制。
在一些实施例中,用户设备205还可包括:第二加密单元,用于在发送单元2051发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
需要说明的,用户设备205中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述用户设备的功能,这里不再赘述。
综上所述,实施本发明实施例,可实现用户设备快速、高效的接入网络切片,并保证了用户设备接入网络时的安全防护。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。
- 还没有人留言评论。精彩留言会获得点赞!