通信网络安全认证方法、设备及存储介质与流程

本技术涉及通信，尤其涉及一种通信网络安全认证方法、设备及存储介质

背景技术：

1、在3gpp标准中，bsf网元(引导服务功能网元)和naf网元(网络应用功能网元)处于核心网的网络中，又因为引导服务功能网元和网络应用功能网元处理的是gba安全认证的相关业务，涉及秘钥分发，计算等操作，安全性要求极高。

2、但是，现有技术中，在3gpp标准中，引导服务功能网元和网络应用功能网元需要和ue(用户终端)和第三方认证平台这样的外部设备和外部服务器直接连接互通，缺乏代理和隔离机制，安全性难以保障。

3、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本技术提供一种通信网络安全认证方法、设备及存储介质，应用于gba认证系统中的网络应用功能网元，用以解决现有技术中gba认证系统核心网与外部设备和外部服务器直接连接互通，系统安全性难以保障的技术问题。

2、第一方面，本技术提供一种通信网络安全认证方法，应用于gba认证系统中的网络应用功能网元，包括：

3、接收用户端设备发送的认证请求消息，其中，所述认证请求消息中至少包括：密钥生成请求；

4、将所述认证请求消息转发给引导服务器功能网元，并接收所述引导服务器功能网元返回的所述用户端设备的鉴权信息；

5、将所述鉴权信息发送给所述用户端设备，并接收所述用户端设备发送的证书下载请求，其中，所述用户端设备基于所述鉴权信息确定密钥值和密钥有效周期，并基于所述密钥值和所述密钥有效周期发送所述证书下载请求；

6、将所述证书下载请求转发给所述引导服务器功能网元，并接收所述引导服务器功能网元返回的认证证书，其中，所述网络应用功能网元基于所述认证证书完成对所述用户端设备的通信网络安全认证。

7、在一种可能的设计中，在所述接收用户端设备发送的认证请求消息之前，所述方法还包括：

8、接收所述用户端设备发送的业务应用请求，其中，所述业务应用请求用于查询所述gba认证系统是否响应；

9、向所述用户端设备返回业务响应消息，其中，所述业务响应消息用于指示所述用户端设备发送所述密钥生成请求。

10、在一种可能的设计中，所述将所述鉴权信息发送给所述用户端设备，并接收所述用户端设备发送的证书下载请求，包括：

11、接收所述引导服务器功能网元发送的鉴权响应消息，其中，所述鉴权响应消息包括所述鉴权信息；

12、将所述鉴权响应消息发送给所述用户端设备，并接收所述用户端设备返回的所述密钥值，其中，所述用户端设备基于所述鉴权信息计算得到所述密钥值；

13、将所述密钥值转发给所述引导服务器功能网元，并接收所述引导服务器功能网元返回的密钥标识和密钥有效周期，其中，所述引导服务器功能网元基于所述密钥值生成所述密钥标识和所述密钥有效周期；

14、将所述密钥标识和所述密钥有效周期发送给所述用户端设备，并接收所述用户端设备发送的所述证书下载请求。

15、在一种可能的设计中，所述基于所述认证证书完成对所述用户端设备的通信网络安全认证，包括：

16、将所述认证证书发送给认证平台，其中，所述认证平台用于对所述认证证书进行第一认证处理；

17、接收所述认证平台返回的认证结果，并在认证通过的情况下将所述认证结果发送给所述用户端设备，完成对所述用户端设备的通信网络安全认证。

18、第二方面，本技术还提供一种通信网络安全认证方法，应用于gba认证系统中的引导服务器功能网元，包括：

19、接收网络应用功能网元转发的认证请求消息，其中，所述认证请求消息由用户端设备发出，所述认证请求消息中至少包括：密钥生成请求；

20、基于所述认证请求消息，确定所述用户端设备的鉴权信息；

21、将所述鉴权信息发送给所述网络应用功能网元，并接收所述网络应用功能网元转发的证书下载请求，其中，所述用户端设备基于所述鉴权信息确定密钥值和密钥有效周期，并基于所述密钥值和所述密钥有效周期发送所述证书下载请求；

22、对所述证书下载请求进行第二认证处理，并在认证通过的情况下生成认证证书，其中，所述网络应用功能网元基于所述认证证书完成对所述用户端设备的通信网络安全认证。

23、在一种可能的设计中，所述基于所述认证请求消息，确定所述用户端设备的鉴权信息，包括：

24、基于所述认证请求消息生成鉴权请求消息，其中，所述鉴权请求消息用于向用户服务器申请获取所述用户端设备的鉴权向量和签约信息；

25、将所述鉴权请求消息发送给所述用户服务器，并接收所述用户服务器返回的初始鉴权信息；

26、基于所述初始鉴权信息，确定所述鉴权信息，其中所述初始鉴权信息包括：多种鉴权向量和签约信息。

27、在一种可能的设计中，所述基于所述初始鉴权信息，确定所述鉴权信息，包括：

28、从所述多种鉴权向量中确定目标鉴权向量，并基于所述目标鉴权向量，确定所述鉴权信息。

29、在一种可能的设计中，在所述对所述证书下载请求进行第二认证处理，并在认证通过的情况下生成认证证书之后，所述方法还包括：

30、向所述网络应用功能网元发送所述认证证书。

31、第三方面，本技术提供一种通信网络安全认证设备，应用于gba认证系统中的网络应用功能网元，包括：

32、第一接收模块，用于接收用户端设备发送的认证请求消息，其中，所述认证请求消息中至少包括：密钥生成请求；

33、转发模块，用于将所述认证请求消息转发给引导服务器功能网元，并接收所述引导服务器功能网元返回的所述用户端设备的鉴权信息；

34、第一发送模块，用于将所述鉴权信息发送给所述用户端设备，并接收所述用户端设备发送的证书下载请求，其中，所述用户端设备基于所述鉴权信息确定密钥值和密钥有效周期，并基于所述密钥值和所述密钥有效周期发送所述证书下载请求；

35、第二接收模块，用于将所述证书下载请求转发给所述引导服务器功能网元，并接收所述引导服务器功能网元返回的认证证书，其中，所述网络应用功能网元基于所述认证证书完成对所述用户端设备的通信网络安全认证。

36、在一种可能的设计中，所述第一接收模块，具体用于：

37、接收所述用户端设备发送的业务应用请求，其中，所述业务应用请求用于查询所述gba认证系统是否响应；

38、向所述用户端设备返回业务响应消息，其中，所述业务响应消息用于指示所述用户端设备发送所述密钥生成请求。

39、在一种可能的设计中，所述第一发送模块，具体用于：

40、接收所述引导服务器功能网元发送的鉴权响应消息，其中，所述鉴权响应消息包括所述鉴权信息；

41、将所述鉴权响应消息发送给所述用户端设备，并接收所述用户端设备返回的所述密钥值，其中，所述用户端设备基于所述鉴权信息计算得到所述密钥值；

42、将所述密钥值转发给所述引导服务器功能网元，并接收所述引导服务器功能网元返回的密钥标识和密钥有效周期，其中，所述引导服务器功能网元基于所述密钥值生成所述密钥标识和所述密钥有效周期；

43、将所述密钥标识和所述密钥有效周期发送给所述用户端设备，并接收所述用户端设备发送的所述证书下载请求。

44、在一种可能的设计中，所述第二接收模块，具体用于：

45、将所述认证证书发送给认证平台，其中，所述认证平台用于对所述认证证书进行第一认证处理；

46、接收所述认证平台返回的认证结果，并在认证通过的情况下将所述认证结果发送给所述用户端设备，完成对所述用户端设备的通信网络安全认证。

47、第四方面，本技术提供一种通信网络安全认证设备，应用于gba认证系统中的引导服务器功能网元，包括：

48、第三接收模块，用于接收网络应用功能网元转发的认证请求消息，其中，所述认证请求消息由用户端设备发出，所述认证请求消息中至少包括：密钥生成请求；

49、确定模块，用于基于所述认证请求消息，确定所述用户端设备的鉴权信息；

50、第二发送模块，用于将所述鉴权信息发送给所述网络应用功能网元，并接收所述网络应用功能网元转发的证书下载请求，其中，所述用户端设备基于所述鉴权信息确定密钥值和密钥有效周期，并基于所述密钥值和所述密钥有效周期发送所述证书下载请求；

51、处理模块，用于对所述证书下载请求进行第二认证处理，并在认证通过的情况下生成认证证书，其中，所述网络应用功能网元基于所述认证证书完成对所述用户端设备的通信网络安全认证。

52、在一种可能的设计中，所述确定模块，具体用于：

53、基于所述认证请求消息生成鉴权请求消息，其中，所述鉴权请求消息用于向用户服务器申请获取所述用户端设备的鉴权向量和签约信息；

54、将所述鉴权请求消息发送给所述用户服务器，并接收所述用户服务器返回的初始鉴权信息；

55、基于所述初始鉴权信息，确定所述鉴权信息，其中所述初始鉴权信息包括：多种鉴权向量和签约信息。

56、在一种可能的设计中，所述确定模块，具体用于：

57、从所述多种鉴权向量中确定目标鉴权向量，并基于所述目标鉴权向量，确定所述鉴权信息。

58、在一种可能的设计中，所述处理模块，具体用于：

59、向所述网络应用功能网元发送所述认证证书。

60、第五方面，本技术提供一种电子设备，包括：处理器，以及与所述处理器通信连接的存储器；

61、所述存储器存储计算机执行指令；

62、所述处理器执行所述存储器存储的计算机执行指令，以实现任一项所述的通信网络安全认证方法。

63、第六方面，本技术提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现任一项所述的通信网络安全认证方法。

64、本技术提供的通信网络安全认证方法、设备及存储介质，通过网络应用功能网元接收用户端设备发送的认证请求消息；将所述认证请求消息转发给引导服务器功能网元，并接收所述引导服务器功能网元返回的所述用户端设备的鉴权信息；将所述鉴权信息发送给所述用户端设备，并接收所述用户端设备发送的证书下载请求；将所述证书下载请求转发给所述引导服务器功能网元，并接收所述引导服务器功能网元返回的认证证书，最后基于所述认证证书完成对所述用户端设备的通信网络安全认证的技术手段，实现把网络应用功能网元作为gba认证系统(通用认证系统)的代理网关，统一对接用户终端和第三方平台，从而提升gba认证系统内核心网安全性，保障核心网的运行安全的技术效果。

65、本技术提供的通信网络安全认证方法、设备及存储介质，通过引导服务器功能网元接收网络应用功能网元转发的认证请求消息；基于所述认证请求消息，确定所述用户端设备的鉴权信息；将所述鉴权信息发送给所述网络应用功能网元，并接收所述网络应用功能网元转发的证书下载请求；对所述证书下载请求进行第二认证处理，并在认证通过的情况下生成认证证书，最后基于所述认证证书完成对所述用户端设备的通信网络安全认证的技术手段，实现通过接收网络应用功能网元转发的相关认证信息进行认证处理，不直接与用户终端和第三方平台通信，从而提升gba认证系统内核心网安全性，保障核心网的运行安全的效果。