CN108012267A - 一种网络认证方法、相关设备及系统 - Google Patents
一种网络认证方法、相关设备及系统 Download PDFInfo
- Publication number
- CN108012267A CN108012267A CN201610932913.6A CN201610932913A CN108012267A CN 108012267 A CN108012267 A CN 108012267A CN 201610932913 A CN201610932913 A CN 201610932913A CN 108012267 A CN108012267 A CN 108012267A
- Authority
- CN
- China
- Prior art keywords
- authentication
- network
- user equipment
- identification information
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 238000013475 authorization Methods 0.000 title abstract 2
- 230000011664 signaling Effects 0.000 claims description 31
- 230000000977 initiatory effect Effects 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 40
- 238000004891 communication Methods 0.000 description 25
- 239000013598 vector Substances 0.000 description 15
- 230000007246 mechanism Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 3
- 238000004846 x-ray emission Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000010420 art technique Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/04—Registration at HLR or HSS [Home Subscriber Server]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络认证方法、相关设备及系统。该方法包括:网络认证网元接收用户设备发送的接入请求;所述接入请求包含所述用户设备的标识信息;所述网络认证网元验证所述标识信息是否合法,如果合法,则根据所述标识信息确定所述用户设备对应的切片认证网元;所述网络认证网元向所述用户设备对应的切片认证网元发送所述标识信息;所述标识信息用于所述用户设备对应的切片认证网元产生针对所述用户设备的认证数据,利用所述认证数据向所述用户设备发起用户认证请求。上述方案可实现用户设备快速、高效的接入网络切片,并保证了用户设备接入网络时的安全防护。
Description
技术领域
本发明涉及移动通信网络的网络安全技术领域,尤其涉及一种网络认证方法、相关设备及系统。
背景技术
网络切片(Network Slicing)是5G及未来通信网络中的一项重要技术,面向业务配置网络的特性使得它成为未来网络发展的关键驱动力:快速推出新业务;支持多样化的商业模式、提供功能/性能/安全保护的差异化、满足不同应用、行业的需求;使能客户创新、简化运维、降低运营成本。正是由于网络切片的多样性、灵活性,为网络切片的架构、协议流程的设计带来了极大的挑战。其中,如何设计安全、高效的用户设备(User Equipment,UE)接入网络切片的认证协议,成为5G网络亟需解决的一个重要问题。如何既保证用户设备(移动通信终端或IoT(Internet of Things,物联网)设备)能快速地接入网络切片、得到个性化服务,又同时得到应有的网络接入安全防护,免受外界的攻击。
在现有的移动通信网络(3G/LTE)中,用户设备和MNO网络是基于预共享密钥的用户认证。预共享密钥是将对称密钥预先放置在用户设备的SIM卡中和核心网的归属签约用户服务器(Home Subscriber Server,HSS)中。在认证时,采用的协议是3GPP TS 33.401中所描述的AKA(Authentication and Key Agreement)协议。所述基于预共享密钥的用户认证可以如图1所示,UE和HSS中保存有预共享密钥。认证时移动管理网元(MobilityManagement Entity,MME)从HSS处取认证向量(Authentication Vector,AV),和UE进行用户认证,具体流程如下包括:
步骤1、UE发送接入请求给MME。该入网请求包括国际移动用户身份标识(International Mobile Subscriber Identity,IMSI),用户安全能力(UE securitycapability)等信息。
步骤2、在收到接入认证后,MME向HSS发送入网认证数据请求(AuthenticationData Request)。入网数据请求包括:IMSI,服务网络的身份标识(Service NetworkIdentity,SN ID)和网络类型(Network Type)。
步骤3、在收到认证数据请求后,HSS根据IMSI找到对应的密钥K,然后计算认证向量,计算认证向量的输入参数包括:密钥K,随机数RAND,SN ID,SQN(Sequence Number,序列号),输出参数包括:网络认证令牌AUTN_HSS,XRES(expected RES,期望认证响应)和ASME密钥(K_ASME)。
步骤4、HSS将认证向量通过认证数据响应(Authentication Data Response)发送给MME。
步骤5、MME将认证向量进行保存。
步骤6、MME向UE发起用户认证请求(User Authentication Request)。用户认证请求包括:随机数RAND、认证令牌AUTN_HSS和ASME密钥(K_ASME)。
步骤7、在收到认证令牌RAND和AUTN_HSS后,UE利用EPS AKA密钥算法计算网络认证令牌AUTN_UE。该计算的输入参数包括密钥K,随机数RAND,SN ID,SQN。输出参数应该包括网络认证令牌AUTN_UE,认证响应RES和ASME密钥(K_ASME)。UE通过验证网络认证令牌AUTN_UE和AUTN_HSS是否相同来验证核心网。
步骤8、然后,UE将用户认证响应(User Authentication Response)发送给MME。该用户认证响应包括RES。
步骤9、在收到RES后,MME通过判断RES和XRES是否相同来认证UE。
图1所示的认证方式的主要特点是:每个UE需要单独和核心网(Core Network,CN)进行认证。因为在认证时,MME每次需要向HSS取认证向量,而HSS是一个集中式的设备。如果同时有大量UE需要进行认证时,那么认证效率会比较低。
图2A示出了一种现有的UE接入网络切片的认证方式。如图2A所示,每个UE接入切片之前,先要进行MNO(Mobile Network Operator,中文:移动网络运营商)网络认证的流程。也就是说,每个UE需要通过两次认证才可以接入切片。其中,第一次认证是MNO网络认证,可参考步骤1,其认证流程与图1描述的认证方式类似;第二次认证是切片认证,在完成网络认证之后,网络可以发起对切片的认证流程。
图2A所示的认证方式比起单次认证,至少需要双倍的工作量及认证时间。而且,更重要的是,每个UE需要单独和网络进行用户认证,如果同时有大量UE需要进行认证时,网络服务器(集中式设备)需要处理大量UE的认证及向量运算,认证效率会迅速降低。
图2B示出了另一种现有的UE接入网络切片的认证方式。如图2B所示,通过单一的一次切片内认证,达到快速接入切片的目的。这种认证方式忽略网络的认证,直接进行切片内认证。但是,这也导致一些问题:这种处理方式类似于每个切片是个完全独立的专网,不受MNO网络的约束、控制。另外,UE需要事先知道切片ID,以保障UE能够接入正确的切片。
发明内容
本发明实施例提供了一种网络认证方法、相关设备及系统,可实现用户设备快速、高效的接入网络切片,并保证了用户设备接入网络时的安全防护。
第一方面,本发明实施例提供了一种网络认证系统,所述系统包括:用户设备、网络认证网元和切片认证网元,其中:
所述用户设备用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;
所述网络认证网元用于接收所述接入请求,验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,并向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;
所述切片认证网元用于接收所述网络认证网元发送的所述部分或全部所述标识信息,根据所述部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起的用户认证请求;
所述用户设备还用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
在上述系统中,对于需要接入网络切片的用户设备,首先MNO核心网对用户设备进行合法性验证,然后网络切片对用户设备发起用户认证请求。针对所述用户设备的接入请求,MNO核心网不需要请求网络服务器(如HSS)计算生成针对用户设备的认证数据(如认证向量AV),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第一方面,在第一种可能的实现方式中,所述标识信息至少可包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第一方面,在第二种可能的实现方式中,所述标识信息至少可包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第一方面的第二种可能的实现方式,在一些实施例中,所述网络认证网元可具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元具体用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合上述第一方面的第二种可能的实现方式,在一些实施例中,所述网络认证网元可具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元具体用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第一方面,在第三种可能的实现方式中,所述用户设备对应多个网络切片;所述切片认证网元还用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
结合第一方面,在第四种可能的实现方式中,所述用户设备对应多个网络切片;所述网络认证网元具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元,并分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
结合第一方面,或者结合第一方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还用于在发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密;所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧;所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
结合第一方面,或者结合第一方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令;所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
在一些实施例中,所述用户设备还用于在发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密;所述第二加密密钥对应的解密密钥配置在所述接入网网元侧;所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第二方面,本发明实施例提供了一种网络认证网元,所述网络认证网元包括:
接收单元,用于接收用户设备发送的接入请求;所述接入请求包含所述用户设备的标识信息;
验证单元,用于验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;
发送单元,用于向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;发送的部分或全部所述标识信息用于所述用户设备对应的切片认证网元产生针对所述用户设备的认证数据,利用所述认证数据向所述用户设备发起用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,MNO核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第二方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第二方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第二方面的第二种可能的实现方式,在一些实施例中,所述发送单元可具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第二方面的第二种可能的实现方式,在一些实施例中,所述发送单元可具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合第二方面,或者结合第二方面的上述几种可能的实现方式,在一些实施例中,所述用户设备对应多个网络切片;所述验证单元可具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元;所述发送单元可具体用于分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元可用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
第三方面,本发明实施例提供了一种切片认证网元,所述切片认证网元包括:
接收单元,用于接收网络认证网元发送的用户设备的标识信息;
计算单元,用于根据所述标识信息产生针对所述用户设备的认证数据;
认证单元,用于利用所述认证数据向所述用户设备发起的用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,MNO核心网仅需要对用户设备进行合法性验证,然后由网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第三方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第三方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第三方面的第二种可能的实现方式,在一些实施例中,所述接收单元可具体用于接收网络认证网元发送的所述第一标识和所述第二标识;所述计算单元可具体用于根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
结合第三方面,或者结合第三方面的上述几种可能的实现方式,在一些实施例中,所述计算单元可具体用于根据所述标识信息产生多个网络切片各自针对所述用户设备的认证数据;所述认证单元可具体用于利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
第四方面,本发明实施例提供了一种用户设备,所述用户设备包括:
发送单元,用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;
接收单元,用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求;
其中,所述网络认证网元用于判断部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;所述切片认证网元用于根据部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
通过运行上述单元,对于需要接入网络切片的用户设备,首先MNO核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第四方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第四方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述发送单元还可以用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令。所述接入网侧可解码信令可用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还可包括:第一加密单元,用于在所述发送单元发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧。所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
结合第四方面,或者,第四方面的上述几种可能的实现方式,在一些实施例中,所述用户设备还可包括:第二加密单元,可用于在所述发送单元发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元侧。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第五方面,本发明实施例提供了一种网络认证方法,应用于网络认证网元侧,所述方法包括:网络认证网元接收用户设备发送的接入请求,所述接入请求包含所述用户设备的标识信息。然后,所述网络认证网元验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,并向所述用户设备对应的切片认证网元发送部分或全部所述标识信息。
第六方面,本发明实施例提供了一种网络认证方法,应用于切片认证网元侧,所述方法包括:切片认证网元接收网络认证网元发送的用户设备的标识信息,根据所述标识信息产生针对所述用户设备的认证数据,最后利用所述认证数据向所述用户设备发起的用户认证请求。
第七方面,本发明实施例提供了一种网络认证方法,应用于用户设备侧,所述方法包括:用户设备向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息。所述用户设备接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
通过实施第五方面、第六方面和第七方面描述的方法,对于需要接入网络切片的用户设备,首先MNO核心网仅需要对用户设备进行合法性验证,然后触发网络切片对用户设备发起用户认证请求,这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
结合第五方面、第六方面或者第七方面,在第一种可能的实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
结合第五方面、第六方面或者第七方面,在第二种可能的实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
结合上述第二种可能的实现方式,在一些实施例中,所述网络认证网元可以向所述切片认证网元发送所述第二标识(即部分所述标识信息)。所述切片认证网元可用于根据所述第二标识(即部分所述标识信息)产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
结合上述第二种可能的实现方式,在一些实施例中,所述网络认证网元可以向所述切片认证网元发送所述第一标识和所述第二标识(即全部所述标识信息)。所述切片认证网元可用于根据所述第一标识和所述第二标识(即全部所述标识信息)产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
在一些实施例中,所述用户设备对应多个网络切片。针对多个网络切片这种场景,可以通过下述两种实现方式使得所述用户设备接入所述多个网络切片。
在第一种实现方式中,所述切片认证网元还可用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
在第二种实现方式中,所述网络认证网元可以根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元,并分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息。所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
在一些实施例中,所述用户设备在发送所述接入请求之前,所述用户设备还可以利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧。所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
在一些实施例中,所述用户设备在向所述网络认证网元发送所述接入请求时,还可以向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令。所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
在一些实施例中,所述用户设备在发送所述接入网侧可解码信令之前,所述用户设备利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元侧。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
第八方面,本发明实施例提供一种网络认证设备,所述网络认证设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第五方面的任意实现方式描述的网络认证方法。
第九方面,本发明实施例提供一种切片认证设备,所述切片认证设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第六方面的任意实现方式描述的网络认证方法。
第十方面,本发明实施例提供一种用户设备,所述用户设备包括收发器、处理器和存储器,所述存储器用于存储程序和数据;所述处理器调用所述存储器中的程序用于执行第七方面的任意实现方式描述的网络认证方法。
通过本发明实施例,对于需要接入网络切片的用户设备,首先MNO核心网对用户设备进行合法性验证,然后网络切片对用户设备发起用户认证请求。针对所述用户设备的接入请求,MNO核心网不需要请求网络服务器(如HSS)计算生成针对用户设备的认证数据(如认证向量AV),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍。
图1是本发明实施例涉及的现有的基于预共享密钥的用户认证的流程图;
图2A-2B是本发明实施例涉及的关于切片认证的两种现有技术的示意图;
图3是本发明实施例提供的网络认证系统的架构示意图;
图4是本发明实施例提供的用户设备、网路认证设备和切片认证设备对应的结构示意图;
图5是本发明实施例提供的网络认证方法的总流程示意图;
图6是本发明实施例提供的网络认证方法的第一实施例的流程示意图;
图7是本发明实施例提供的网络认证方法的第二实施例的流程示意图;
图8是本发明实施例提供的网络认证方法的第三实施例的流程示意图;
图9是本发明实施例提供的网络认证方法的第四实施例的流程示意图;
图10是本发明实施例提供的网络认证方法的第五实施例的流程示意图;
图11是本发明实施例提供的网络认证方法的第六实施例的流程示意图;
图12是本发明实施例提供的网络认证方法的第七实施例的流程示意图;
图13是本发明实施例提供的网络认证方法的第八实施例的流程示意图;
图14是本发明实施例提供的网络认证系统以及所述网络认证系统中的相关网元的结构示意图。
具体实施方式
本发明的实施方式部分使用的术语仅用于对本发明的具体实施例进行解释,而非旨在限定本发明。
网络切片是一种虚拟化的逻辑专网,可以根据不同业务需求而定制。为了配合垂直行业的发展,MNO的一个或多个网络切片可以出租给垂直行业,由其自行运营、管理、认证用户设备(移动终端或IoT设备等)。对于接入切片的用户设备,首先用户设备需要通过MNO的服务去接入切片,然后由切片对用户设备进行管理。也就是说,用户设备既要和MNO网络交互,也要和网络切片有交互。现有的单一的MNO网络认证无法满足垂直行业对其自身业务的运营、管理需求,垂直行业需要对用户设备定制入网认证,并对入网设备进行自定义的管理监控。
为了更好的支持网络切片的定制化,首先需要将现有的MNO网络中的网元进行细化。在3GPP SA3的技术报告中,建议将当前LTE核心网中的MME、HSS分解。目前比较一致的观点是:将MME分解成移动管理功能(Mobility Management Function,MMF)、安全锚点功能(Security Anchor Function,SEAF)、会话管理功能(Session Management Function,SMF)等功能网元,将HSS分解为AUSF(Authentication Server Function,认证服务器功能)、ARPF(Authentication Credential Repository and Processing Function,认证上下文存储与处理功能)等功能网元。其中,
MMF:控制面的网络功能,为用户在网络中、网络间的移动提供必要支持。比如保持用户的当前位置、状态信息等。
SMF:控制面的网络功能,为PDN(Packet Data Network,分组数据网络)的会话管理提供各种信令支持,比如建立、修改承载等。
SEAF:用于认证的网络功能。主要同AUSF和用户设备交互。对于AKA认证而言,认证SEAF从AUSF接收中间密钥。SEAF在接入请求过程中,也同MMF交互。
AUSF:用于认证的网络功能。与ARPF和SEAF交互,是接收SEAF的请求信息的终结点,也可以配置在第三方系统中。
ARPF:存储用于认证、加密算法的长期安全上下文的网络功能,也可用于存储安全相关的用户配置信息(profile)。
需要说明的,在后续通信标准的制定中,上述功能网元的划分方式可能发生变化,这种变化不影响本发明实施例的实施。
图3是本发明实施例提供的一种网络认证系统的架构示意图。如图3所示,网络认证系统100可包括:用户设备40、接入网网元30、切片认证网元20和核心网中的网络认证网元10。其中:
接入网网元30可用于为用户设备40提供网络接入服务。具体实现中,接入网网元30可包括基站(NodeB)、基站控制器(Radio Network Controller,RNC)或接入网关等。具体实现中,用户设备40可以包括手机、平板电脑、笔记本电脑、移动互联网设备(MobileInternet Device,MID)、可穿戴设备(例如智能手表、智能手环、计步器等)等用户终端,也可以包括IoT设备,还可以包括其他可接入MNO网络的通信设备。
网络认证网元10可用于为所有接入网络的UE提供网络认证服务,具体可包括配置在核心网CN中的SEAF、AUSF、ARPF等网络功能。
本发明实施例中,网络认证网元10不需要产生认证向量AV并利用该认证向量对用户设备40发起用户认证请求,而仅需要判断用户设备的标识信息(如IMSI)是否合法,如果合法,则查询该用户设备对应的切片认证网元或者其中的认证网络功能,例如切片认证锚点(SEAF for Slice)或切片认证服务器(AUSFfor Slice),的地址,并触发该切片认证网元对该用户设备进行切片认证。也即是说,在网络认证网元中,SEAF不需要向AUSF、ARPF发出认证数据请求(Authentication Data Request)。而且,切片认证网元也不需要向AUSF、ARPF或网络服务器(如HSS)发出认证数据请求(Authentication Data Request),ARPF或网络服务器(如HSS)不需要计算、生成认证向量。这样既可以避免进行低效率的MNO网络认证,又可以通过合法性验证保证MNO网络对用户设备的入网控制,大大减少了用户设备接入切片的认证时间,提高了认证效率。
这里,针对所述用户设备的合法性可以包括但不局限于下述几种情况:(1)用户设备的标识信息在网络中(ARPF或HSS)没有被注销,网络允许该用户设备对应的用户使用网络提供的服务;(2)用户设备被允许接入切片,该用户设备对应的用户是该切片的签约用户(未被注销);(3)用户设备被允许接入切片,该用户设备对应的用户并不是该切片的签约用户,但该切片允许未签约的新用户接入。
切片认证网元20可用于为接入切片的UE提供切片认证服务,具体可包括专门为切片服务的SEAF、AUSF、ARPF等切片网络功能。具体实现中,这些切片网络功能可以配置在核心网,也可以配置在网络切片中。本发明实施例对配置这些切片网络功能的网络实体不做限制。
需要指出的是,图3示出的网络认证网元10或切片认证网元20所包括的各个网络功能(如SEAF、AUSF、ARPF等)是目前3GPP SA3标准组织文稿及技术报告(TR)中出现的名称,这些名称还有更改的可能,比如更名、网络功能合并、分拆等,本专利并不局限于这些网络功能的名称及这些网络功能具体配置在哪个网元中。对于实现类似功能的其他网元,本发明同样适用。比如,图3切片认证网元20中的SEAF可以不存在,由网络认证网元10中的SEAF直接同切片认证网元20中的AUSF交互。又比如,图3中核心网中的MMF可以不属于网络认证网元10,MMF可以成为一个独立网元,或者是配置在其他网元中。再比如,在4G网络中,MMF和SEAF是配置在单一的网元中,即MME。而AUSF和ARPF是由HSS来实现的等等。
具体实现中,网络认证系统100可包括多个切片认证网元20,其中,一个切片认证网元20负责为一个网络切片提供切片认证服务。实际应用中,网络认证系统100中的多个网络切片也可以共享一个切片认证网元20,这一个切片认证网元20可以为所述多个网络切片分别提供切片认证服务。
应理解的,当接入网网元30只包括一个网络实体(例如基站)时,后续描述到的接入网网元30所执行的操作均由该一个网络实体完成。当接入网网元30包括多个网络实体(例如基站和基站控制器)时,后续描述到的接入网网元30所执行的操作由所述多个网络实体协作完成。
应理解的,当网络认证网元10只包括一个网络实体(例如MME)时,后续描述到的网络认证网元10所执行的操作均由该一个网络实体完成。当该网络认证网元10包括多个网络实体(例如MME和HSS)时,后续描述到的网络认证网元10所执行的操作由所述多个网络实体协作完成。
应理解的,当切片认证网元20只包括一个网络实体时,后续描述到的网络认证网元10所执行的操作均由该一个网络实体完成。当该网络认证网元10包括多个网络实体时,后续描述到的网络认证网元10所执行的操作所述多个网络实体协作完成。
这里,所述协作完成是指多个网络实体各执行一些操作,执行操作所产生的数据、参数均可以根据需要在这多个网络实体各之间传输。
需要说明的,不限于图3所示,网络认证网元10还可包括更多或更少网络功能,切片认证网元20还可包括更多或更少切片网络功能。比如,切片认证网元网元20可以没有SEAF,网络认证网元10中的SEAF可以直接同切片认证网元20中的AUSF交互。
图4是本发明实施例提供的通信装置示意图。图3中的用户设备40或者网络认证网元10或者切片认证网元20可以通过图4所示的通信装置(或系统)200来实现。
如图4所示,通信装置(或系统)200可包括至少一个处理器401,存储器403以及至少一个通信接口404。这些部件可在一个或多个通信总线402上通信。
需要说明的,图4仅仅是本发明实施例的一种实现方式,实际应用中,通信装置200还可以包括更多或更少的部件,这里不作限制。
通信接口404用于接收和发送射频信号,耦合于通信装置200的接收器和发射器。通信接口404通过射频信号与通信网络和其他通信设备通信,如以太网(Ethernet),无线接入网(Radio Access Technology,RAN),无线局域网Wireless Local Area Networks,WLAN)等。具体实现中,通信接口404支持的通信协议可包括但不限于:2G/3G、LTE、Wi-Fi、5GNew Radio(NR)等等。
存储器403与处理器401耦合,用于存储各种软件程序和/或多组指令。具体实现中,存储器403可包括高速随机存取的存储器,并且也可包括非易失性存储器,例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备。存储器403可以存储操作系统(下述简称系统),例如ANDROID,IOS,WINDOWS,或者LINUX等嵌入式操作系统。存储器403可用于存储本发明实施例的实现程序。存储器403还可以存储网络通信程序,该网络通信程序可用于与一个或多个附加设备,一个或多个终端设备,一个或多个网络设备进行通信。
处理器401可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本发明方案程序执行的集成电路。
在一些实施例中,通信装置200还可以包括输出设备405和输入设备406。输出设备405和处理器401通信,可以以多种方式来显示信息。例如,输出设备405可以是液晶显示器(Liquid Crystal Display,LCD),发光二级管(LightEmitting Diode,LED)显示设备,阴极射线管(Cathode Ray Tube,CRT)显示设备,或投影仪(projector)等。输入设备406和处理器401通信,可以以多种方式接受用户的输入。例如,输入设备406可以是鼠标、键盘、触摸屏设备或传感设备等。为了便于输出设备405和输入设备406的用户使用,在一些实施例中,存储器202还可以存储用户接口程序,该用户接口程序可以通过图形化的操作界面将应用程序的内容形象逼真的显示出来,并通过菜单、对话框以及按键等输入控件接收用户对应用程序的控制操作。
当图4所示的通信装置200实现为图3所示的用户设备40时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供接入请求、用户认证响应等功能,具体可参考后续方法实施例。当图4所示的通信装置200实现为图3所示的网络认证网元10时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供接入用户合法性验证、切片查询等功能,具体可参考后续方法实施例。当图4所示的通信装置200实现为图3所示的切片认证网元20时,通信装置200的存储器中可以存储了一个或多个软件模块,可用于提供一个或多个切片的切片接入认证功能,具体可参考后续方法实施例。
为了实现用户设备高效、安全的接入网络切片,本发明实施例提供了一种网络认证方法。本发明实施例涉及的主要原理包括:对于需要接入网络切片的用户设备,首先,网络(MNO核心网)对用户设备进行合法性验证。然后,网络切片对用户设备发起用户认证请求。本发明实施例中,网络(MNO核心网)不需要请求HSS计算生成针对用户设备的认证数据(如认证向量AV),这样极大提高了用户设备接入网络切片的效率。而且,由于网络需要对用户设备进行合法性验证,因此,网络对用户设备的控制权又得以保障。
首先,通过图5概括性的描述出本发明实施例提供的网络认证方法。在本发明实施例中,网络认证网元(核心网CN中的一个或多个网络实体)可包括网络功能SEAF和AUSF/ARPF,切片认证网元可包括切片认证功能SEAF(即图示的SEAF for slice)、AUSF/ARPF(即图示的AUSF/ARPF for slice)。需要说明的是,核心网中的网络功能MMF可以不是网络认证网元的一部分,比如成为一个单独的网元,或者配置在其他网元中。关于网络认证网元和切片认证网元所包含的细分功能,具体可参考图3实施例。如图5所示,网络认证方法可包括:
步骤1-2,所述用户设备经过接入网向所述网络认证网元发送接入请求。所述接入请求包含所述用户标识信息。
本发明实施例中,所述标识信息可以包括:第一标识,所述第一标识可以是所述用户设备在MNO网络中的标识信息,例如国际移动用户标识(International MobileSubscriber Identity,IMSI)。所述标识信息也可以包括:所述第一标识和所述第二标识。其中,所述第二标识可以是所述用户设备在网络切片中的标识信息。具体实现中,所述第二标识可以包括:物理标识(例如设备标识)、用户设备的业务标识中至少一种。
实际应用中,所述接入请求中携带的所述标识信息也可以包括2个以上的标识,不限于上述提及的所述第一标识和所述第二标识。
步骤3-9,所述网络认证网元可以验证部分或全部所述标识信息是否合法,如果合法,则根据所述部分或全部所述标识信息确定所述用户设备对应的切片认证网元。
具体实现中,如果所述接入请求中携带的所述标识信息仅包括一个标识,例如所述第一标识,那么,所述网络认证网元利用所述第一标识(所述标识信息的全部)验证合法性。
具体实现中,如果所述接入请求中携带的所述标识信息包括所述第一标识和所述第二标识这两个标识,那么,所述网络认证网元既可以利用所述第一标识(所述标识信息的部分)验证合法性,也可以利用所述第一标识和所述第二标识(所述标识信息的全部)验证合法性。
同样的,如果所述接入请求中携带的所述标识信息包括两个以上标识,那么,所述网络认证网元既可以利用所述标识信息的部分验证合法性,也可以利用所述标识信息的全部验证合法性
本发明实施例中,所述网络认证网元侧可配置有所述标识信息(部分或全部)与所述用户设备对应的切片认证网元之间的映射关系。这样,所述网络认证网元侧所述标识信息(部分或全部)便可查询出所述用户设备对应的切片认证网元。
步骤9,所述网络认证网元向所述用户设备对应的切片认证网元发送部分或全部所述标识信息。
与所述网络认证网元类似,所述切片认证网元执行用户认证所依据的标识信息也可以是部分或全部所述接入请求中携带的所述标识信息。因此,所述网络认证网元可以将部分或全部所述标识信息发送给所述切片认证网元执行用户认证。
需要说明的,所述切片认证网元执行用户认证所依据的标识信息和所述网络认证网元执行合法性验证所依据的标识信息可以完全相同,也可以部分相同,还可以完全不同,详见后续具体的实施例。
步骤10-13,所述用户设备对应的切片认证网元根据所述网络认证网元发送的所述部分或全部所述标识信息产生针对所述用户设备的认证数据。
步骤13-14,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。相应的,所述用户设备响应所述用户认证请求。
需要说明的,本发明不限定所述切片认证网元和所述用户设备之间所采用的用户认证方法。具体实现中,可以采用基于对称钥的认证技术(类似于密匙协商机制(Authentication and Key Agreement,AKA)),也可以采用基于非对称密钥的用户认证,例如PKI(Public Key Infrastructure,公钥架构)机制、IBS(Identity Based Signature,基于用户身份的认证)机制等。
具体的,所述认证数据根据不同的认证技术而不同。比如,如果采用AKA认证技术,认证数据可包括:随机数RAND、认证令牌AUTN_UE、期望认证响应XRES、K_ASME、切片标识密钥等。需要说明的是,为了可以产生认证数据,网络切片和用户设备都需要事先预置与所述用户设备的标识信息相对应的根密钥。如果采用PKI或IBS认证技术,认证数据可包括:随机数RAND、数字签名、所述标识信息(部分或全部)、切片标识等等。类似地,为了可以产生认证数据,网络切片和用户设备都需要事先预置与所述用户设备的标识信息相对应的根密钥、私钥或者数字证书。其中,所述切片标识和所述标识信息可结合用于指示出:所述认证数据是所述切片标识表征的切片生成的针对所述用户设备的认证数据。需要说明的,在图6-13分别对应的实施例中,所述标识信息包含的内容可能不同。
本发明实施例涉及的所述认证数据是一般意义、非特指的认证数据,既可以适用AKA认证机制中定义的认证向量AV,也可以适用PKI、IBS认证机制中用于用户认证的数据。
下面结合图6-13的几个实施例详细描述本发明实施例提供的网络认证方法。
图6是本发明实施例提供的网络认证方法的第一实施例的流程示意图。图6实施例中,用户设备发送的标识信息是单一标识。所述网络认证网元用于验证用户设备合法性的标识信息和所述切片认证网元用于认证用户设备的标识信息相同。下面展开描述:
S101-S102,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。这里,所述标识信息可以是所述用户设备在MNO网络中的标识信息(如IMSI),即所述第一标识。
具体的,所述用户设备发送所述接入请求到接入网,可参考S101。然后,接入网可以将所述接入请求转发至网络接入锚点(例如配置在核心网中的MMF,需要说明的,MMF也可以配置在网络认证网元之外的其他网元中,或者成为一个单独的网元),具体可参考S102。
S103-S108,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述标识信息是否合法,如果合法,则根据所述标识信息确定所述用户设备对应的切片认证网元。
具体实现中,所述网络认证网元侧可配置有用于存储用户设备的标识信息和切片认证网元之间的映射关系的数据库。在所述数据库中,用户设备的标识信息可以与切片认证网元的地址信息相对应。
具体的,如图6所示,S103-S108可展开包括:
S103,网络接入锚点(MMF)接收到接入网转发过来的所述接入请求,从所述接入请求中提取出所述标识信息,并将所述标识信息发送至网络认证锚点(例如配置在所述网络认证网元中的SEAF)。
S104,网络认证锚点可以将所述标识信息转发至网络认证服务器(例如配置在所述网络认证网元中的AUSF/ARPF)。
S105,在接收到所述标识信息之后,网络认证服务器(AUSF/ARPF)可以验证所述标识信息是否合法。
S106,如果合法,网络认证服务器(AUSF/ARPF)可以根据所述标识信息查询所述用户设备对应的切片认证锚点或切片认证服务器。
S107-S108,网络认证服务器(AUSF/ARPF)可以将查询结果通过网络认证锚点(SEAF)转发给网络接入锚点(MMF)。
具体的,所述查询结果可包括:所述用户设备对应的切片认证锚点或切片认证服务器的地址。这样,网络接入锚点(MMF)可以根据该地址向所述用户设备对应的切片认证锚点或切片认证服务器发送所述标识信息,触发所述切片认证网元对所述用户设备发起用户认证请求。本发明实施例中,可以将所述用户设备对应的切片认证锚点或切片认证服务器的地址概括称为所述用户设备对应的切片认证网元的地址。
S109,所述网络认证网元向所述用户设备对应的切片认证网元发送所述标识信息。
具体的,根据所述用户设备对应的切片认证锚点或切片认证服务器的地址,网络接入锚点(MMF)向所述用户设备对应的切片认证锚点(SEAF for slice)发送所述标识信息。
S110-S112,所述用户设备对应的切片认证网元根据所述标识信息产生针对所述用户设备的认证数据。
具体的,如图6所示,S110-S112可展开包括:
S110,切片认证锚点(SEAF for slice)根据所述标识信息向切片认证服务器(AUSF/ARPF for slice)请求获取认证数据。
S111,切片认证服务器(AUSF/ARPF for slice)根据所述标识信息计算生成针对所述用户设备的认证数据,例如AKA中定义的认证向量AV。
S112,切片认证服务器(AUSF/ARPF for slice)向切片认证锚点(SEAF forslice)返回针对所述用户设备的认证数据。
S113,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
具体的,切片认证锚点(SEAF for slice)利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。可选的,该认证请求也可以经由网络中的其他网元(如网络接入锚点MMF)转发至接入网后发送给所述用户设备。
S114,所述用户设备响应所述用户认证请求。
图7是本发明实施例提供的网络认证方法的第二实施例的流程示意图。图7实施例中,用户设备发送的标识信息包括两个标识:所述第一标识和所述第二标识。所述网络认证网元根据所述第一标识验证用户设备合法性,所述切片认证网元根据所述第二标识认证用户设备。下面展开描述:
S201-S202,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
关于S201-S202的展开至内部网络功能的实现可参考图6实施例中的S101-S102。
与图6实施例不同的是,所述标识信息可以包括所述第一标识和所述第二标识。其中,所述第二标识可以是物理标识(如设备ID),也可以是一种业务标识。应理解的,所述第二标识采用物理标识更适合垂直行业为其设备设置固定设备ID的场景。
S203-S208,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于S203-S208的展开至内部网络功能的实现可参考图6实施例中的S103-S108。
S209,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第二标识。
具体的,网络接入锚点(MMF)在通过网络服务器AUSF/ARPF验证完毕所述用户设备的合法性并查询到所述用户设备对应的切片接入锚点或切片认证服务器的地址之后,向切片接入锚点(SEAF for slice)发送所述第二标识。
S210-S212,所述用户设备对应的切片认证网元根据所述第二标识产生针对所述用户设备的认证数据。
具体的,如图7所示,S210-S212可展开包括:
S210,切片认证锚点(SEAF for slice)根据所述第二标识向切片认证服务器(AUSF/ARPF for slice)请求获取认证数据。
S211,切片认证服务器(AUSF/ARPF for slice)根据所述第二标识计算生成针对所述用户设备的认证数据。
S212,切片认证服务器(AUSF/ARPF for slice)向切片认证锚点(SEAF forslice)返回针对所述用户设备的认证数据。
与图6实施例不同的是,所述切片认证网元需要利用所述第二标识产生针对所述用户设备的认证数据,并利用该认证数据向所述用户设备发起用户认证请求。
可以理解的,不向所述切片认证网元发送所述第一标识(例如IMSI)可以避免将所述用户设备在MNO网络中的标识信息(如IMSI)暴露给切片运营商,也可以避免泄露所述用户设备的IMSI和设备ID的关系,可以防止潜在的针对IMSI和设备ID的安全攻击。
S213,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
S214,所述用户设备响应所述用户认证请求。
图8是本发明实施例提供的网络认证方法的第三实施例的流程示意图。图8实施例中,用户设备发送的标识信息包括两个标识:所述第一标识和所述第二标识。所述网络认证网元根据所述第一标识验证用户设备合法性,所述切片认证网元根据所述第一标识和所述第二标识认证用户设备。下面展开描述:
S301-S302,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
关于S301-S302的展开至内部网络功能的实现可参考图6实施例中的S101-S102。
与图6实施例不同的是,所述标识信息可以包括所述第一标识和所述第二标识。其中,所述第二标识可以是物理标识(如设备ID),也可以是一种业务标识。应理解的,所述第二标识采用物理标识更适合垂直行业为其设备设置固定设备ID的场景。
S303-S308,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于S303-S308的展开至内部网络功能的实现可参考图6实施例中的S103-S108。
S309,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
具体的,网络接入锚点(MMF)在通过网络服务器AUSF/ARPF验证完毕所述用户设备的合法性并查询到所述用户设备对应的切片接入锚点或切片认证服务器的地址之后,向切片接入锚点(SEAF for slice)发送所述第一标识和所述第二标识。
S310-S312,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
具体的,如图8所示,S310-S312可展开包括:
S310,切片认证锚点(SEAF for slice)根据所述第一标识和所述第二标识向切片认证服务器(AUSF/ARPF for slice)请求获取认证数据。
S311,切片认证服务器(AUSF/ARPF for slice)根据所述第一标识和所述第二标识计算生成针对所述用户设备的认证数据。
S312,切片认证服务器(AUSF/ARPF for slice)向切片认证锚点(SEAF forslice)返回针对所述用户设备的认证数据。
与图6实施例不同的是,所述切片认证网元需要利用所述第一标识和所述第二标识产生针对所述用户设备的认证数据,并利用该认证数据向所述用户设备发起用户认证请求。
虽然在图7实施例中提到,同时发送IMSI和设备ID给切片认证锚点,会将IMSI和设备ID的关联性暴露给切片。但是,在某些应用场景(例如,切片运营商从属于MNO或同MNO有强信任关系,切片需要给用户提供网络的部分服务)下,切片需要知道IMSI和设备ID的关联性,以便更好的向用户提供网络服务。
S313,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
S314,所述用户设备响应所述用户认证请求。
图9是本发明实施例提供的网络认证方法的第四实施例的流程示意图。图9实施例中,MNO网络支持多网络切片的场景。在多网络切片的应用场景中,一个用户设备可以同时接入多个不同的网络切片,例如车载终端可以同时接入高带宽的切片和车联网的切片。在图9实施例中,用户设备对应多个不同的网络切片,所述多个切片共享切片认证网元,所述切片认证网元可用于为所述多个切片分别提供用户认证服务。下面展开描述:
S401-S402,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。
需要说明的,在图9实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
S403-S408,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
关于S403-S408的展开至内部网络功能的实现可参考图6实施例中的S103-S108。
与图6实施例不同的是,所述用户设备对应的所述切片认证网元(切片认证锚点和切片认证服务器)可用于为多个切片提供用户认证服务。具体实现中,所述切片认证网元侧可配置有MNO支持的全部切片各自对应的认证策略。这里,所述认证策略可包括切片各自定制的认证机制,例如AKA认证机制或者PKI认证机制等。
S409,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第一标识信息,可参考图6实施例。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第二标识信息,可参考图7实施例。
关于S409的展开至内部网络功能的实现可分别参考图6-8分别对应的实施例中的相应步骤。
S410-S412,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据,可参考图8实施例中的S310-S312。可选的,所述切片认证网元也可以仅根据所述第一标识信息产生针对所述用户设备的认证数据,可参考图6实施例中的S110-S112。可选的,所述切片认证网元也可以仅根据所述第二标识信息产生针对所述用户设备的认证数据,可参考图7实施例中的S210-S212。
与图6-8分别对应的实施例不同的是,所述切片认证网元根据所述第一标识和所述第二标识,或者所述第一标识,或者所述第二标识产生的认证数据包括所述用户设备对应的多个网络切片针对所述用户设备的认证数据。
具体的,所述不同可实现为下述过程:
S410,切片认证锚点(SEAF for slice)可以根据所述第一标识和所述第二标识,或者所述第一标识,或者所述第二标识确定出所述用户设备对应的多个切片。具体实现中,切片认证锚点(SEAF for slice)侧可配置有一个数据库,该数据库中可存储有MNO支持的全部切片的切片ID和所述全部切片各自对应的签约用户的所述第一标识(IMSI)和/或所述第二标识(设备ID)。在另一种实现中,S410,切片认证锚点(SEAF for slice)不用确定出所述用户设备对应的多个切片,也不用配置所述数据库。该功能可以由S411认证服务器(AUSF/ARPF for slice)来实现。
S411,切片认证服务器(AUSF/ARPF for slice)可以分别按照所述多个网络切片各自定制的用户认证机制产生所述多个网络切片各自针对所述用户设备的认证数据。并且,切片认证服务器(AUSF/ARPF for slice)将所述认证数据返回至切片认证锚点(SEAFfor slice),可参考S412。
S413,所述用户设备对应的切片认证网元利用所述多个网络切片针对所述用户设备的认证数据,分别向所述用户设备发起所述多个网络切片各自对应的用户认证请求。
S414,所述用户设备分别响应所述多个网络切片对应的用户认证请求。
图10是本发明实施例提供的网络认证方法的第五实施例的流程示意图。图10实施例中,MNO网络支持多网络切片的场景。在多网络切片的应用场景中,一个用户设备可以同时接入多个不同的网络切片,例如车载终端可以同时接入高带宽的切片和车联网的切片。在图10实施例中,用户设备对应多个不同的网络切片,其中,所述多个不同的网络切片各自对应有切片认证网元,可用于专门为相对应的切片提供用户认证服务。下面展开描述:
S501-S502,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。具体的,可参考图9实施例中的相应步骤,这里不再赘述。
S503-S508,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。具体的,可参考图9实施例中的相应步骤,这里不再赘述。
与图9实施例不同的是,所述用户设备对应多个切片认证网元,可用于分别为所述多个切片认证网元各自对应的切片提供用户认证服务。
具体实现中,所述网络认证网元侧可配置有一个数据库,该数据库中可存储有MNO支持的全部切片各自对应的切片认证网元的地址和所述全部切片各自对应的签约用户的标识信息(如IMSI)。具体的,所述网络认证网元在接收到所述用户设备发送的所述接入请求之后,还可以根据其中携带的所述第一标识从所述数据库中查询出所述用户设备对应的多个切片认证网元的地址。
具体的,体现在内部网络功能即:网络认证锚点(SEAF)向网络认证服务器(AUSF/ARPF)请求获得的查询结果可包括多个切片认证锚点(SEAF for slice)的地址或多个切片认证服务器(AUSF/ARPF for slice)的地址,可参考S507。然后,网络认证锚点(SEAF)将该查询结果发送至网络接入锚点(MMF),可参考S508。
S509-S516,所述网络认证网元向所述用户设备对应的多个切片认证网元分别发送所述第一标识和所述第二标识。然后,所述多个切片认证网元可根据所述第一标识和所述第二标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个切片认证网元发送所述第一标识和所述第二标识的具体实现,以及每一个切片认证网元根据所述第一标识和所述第二标识生成针对所述用户设备的认证数据的具体实现,均可参考图8实施例中的相应步骤,这里不再赘述。
可选的,所述网络认证网元也可以向所述用户设备对应的多个切片认证网元分别发送所述第一标识。然后,所述多个切片认证网元可根据所述第一标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个切片认证网元发送所述第一标识的具体实现,以及每一个切片认证网元根据所述第一标识生成针对所述用户设备的认证数据的具体实现,均可参考图6实施例中的相应步骤。
可选的,所述网络认证网元也可以向所述用户设备对应的多个切片认证网元分别发送所述第二标识。然后,所述多个切片认证网元可根据所述第二标识分别生成各自对应的切片针对所述用户设备的认证数据。
其中,所述网络认证网元向每一个所述切片认证网元发送所述第二标识的具体实现,以及每一个切片认证网元根据所述第二标识生成针对所述用户设备的认证数据的具体实现,均可参考6实施例中的相应步骤。
S517-S520,所述用户设备对应的多个切片认证网元利用各自针对所述用户设备的认证数据,分别向所述用户设备发起用户认证请求。所述用户设备分别响应多个切片认证网元发起的用户认证请求。具体的,每一个所述用户设备对应的切片认证网元和所述用户设备的用户认证过程均可参考图6-8分别对应的实施例中的相应步骤,这里不再赘述。
图11是本发明实施例提供的网络认证方法的第六实施例的流程示意图。图11实施例中,在所述用户设备通过接入网(RAN)向所述网络认证网元发送所述接入请求(携带所述用户设备的标识信息)时,还可以同时通过接入网(RAN)侧可解码的信令通道,比如RRC,发送所述用户设备的标识信息(例如设备ID),或者,发送和所述用户设备相关的接入辅助信息,例如接入优先级等。在RAN侧可解码中的所述标识信息和/或所述接入辅助信息可以在RAN侧进行解码处理。这样可以协助RAN基于这些信息进行接入控制。例如,针对IoT设备,不需要有很低的时延要求(低优先级),RAN可以对这类设备的接入请求执行延后处理。而对其他低时延要求设备(高优先级),RAN可以优先处理它们的接入请求。这样,RAN可以通过RAN侧可解码中的所述标识信息和/或所述接入辅助信息对所述用户设备进行区别处理,可优化RAN的接入控制,尤其利于海量用户设备(包括IoT设备、车载设备、手机等)同时接入的场景。下面展开描述:
S601-S604,所述用户设备向接入网网元发送接入请求,所述接入请求包含所述用户设备的标识信息。在发送所述接入请求时,所述用户设备还可以向所述接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的RAN侧可解码。所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。最后,所述接入网网元将所述接入请求转发至所述网络认证网元。
这里,所述RAN侧可解码可用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
需要说明的,在图11实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
关于所述用户设备向所述网络认证网元发送接入请求的具体实现可参考图6或图7实施例,这里不再赘述。
与图6-10分别对应的实施例不同的是,所述用户设备还可以同时通过RAN侧可解码(例如RRC信令)通道发送所述用户设备的标识信息(例如设备ID),或者,发送和所述用户设备相关的接入辅助信息,例如接入优先级等。这样可以协助RAN基于这些信息进行接入控制。
在一种实现方式中,所述RAN侧可解码可携带所述标识信息,例如设备ID,即所述第二标识。接入网RAN可以根据所述标识信息确定出针对所述用户设备的接入策略。例如,如果所述用户设备的设备ID表明所述用户设备是IoT设备(低优先级),那么,接入网侧可以将所述用户设备对应的接入优先级设置为低,待当前的一些高优先级用户设备接入完成之后,再提升该IoT设备的接入优先级,执行对该IoT设备的接入处理。示例仅仅是本发明实施例的一种实现方式,实际应用中还可以不同,不应构成限定。
在另一种实现方式中,所述RAN侧可解码可携带所述用户设备相关的接入辅助信息,例如接入优先级。接入网RAN可以根据所述接入辅助信息确定出针对所述用户设备的接入策略。例如,如果所述RAN侧可解码中携带的针对所述用户设备的接入优先级指示为高优先级,那么,接入网侧可以优先处理所述用户设备的接入请求,使得所述用户设备可以及时接入网络,满足低时延设备对接入时间的要求。示例仅仅是本发明实施例的一种实现方式,实际应用中还可以不同,不应构成限定。
实际应用中,所述RAN侧可解码还可以同时携带所述标识信息和所述用户设备相关的接入辅助信息,不限于上述两种实现方式。具体实施时,可以根据RAN侧的接入控制机制来选择携带哪些信息。
需要说明的,接入优先级不仅可以根据不同类型设备的时延要求来设置,还可以根据其他考虑因素来设置,例如根据业务优先级来设置。不限于接入优先级,所述接入辅助信息还可以是其他可用于RAN侧接入控制的信息,本发明实施例不做限制。
S605-S610,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
具体的,在所述用户设备接入一个切片的场景下,S605-S610的具体实现可参考图6实施例中的S103-S108。即所述用户设备对应的切片认证网元可用于产生针对所述用户设备的认证数据,并利用该认证数据对所述用户设备发起用户认证请求。
具体的,在所述用户设备接入多个切片的场景下,S605-S610的具体实现也可以参考图9实施例中的S403-S408。即所述用户设备对应的切片认证网元被多个网络切片共享,可用于产生多个网络切片分别针对所述用户设备的认证数据,并利用各自的认证数据分别向所述用户设备发起用户认证请求。
具体的,在所述用户设备接入多个切片的场景下,S605-S610的具体实现还可以参考图11实施例中的S503-S508。即所述用户设备对应的多个切片认证网元,可分别用于为各自对应的切片产生针对所述用户设备的认证数据,并分别利用各自对应的切片针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
S611,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第一标识信息,可参考图6实施例。可选的,所述网络认证网元向所述切片认证网元发送的标识信息也可以仅包括所述第二标识信息,可参考图7实施例。
S612-S614,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据,可参考图8实施例中的S310-S312。可选的,所述切片认证网元也可以仅根据所述第一标识信息产生针对所述用户设备的认证数据,可参考图6实施例中的S110-S112。可选的,所述切片认证网元也可以仅根据所述第二标识信息产生针对所述用户设备的认证数据,可参考图7实施例中的S210-S212。
这里需要说明的,在图11实施例中,不限于附图所示,S611和S612-S614的具体实现还可以参考图9或图10实施例中的相应步骤,以适用图9或图10实施例对应的多网络切片的场景。
S615-S615,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。然后,所述用户设备响应所述用户认证请求。
这里需要说明的,在图11实施例中,不限于附图所示,S615-S616的具体实现还可以参考图9或图10实施例中的相应步骤,以适用图9或图10实施例对应的多网络切片的场景。
图12是本发明实施例提供的网络认证方法的第七实施例的流程示意图。图12实施例中,所述用户设备可以对所述标识信息进行加密,以保护隐私,避免重放攻击。具体的,可以利用所述网络认证网元(例如SEAF)提供的加密密钥(本发明实施例称为第一加密密钥)对所述标识信息行加密,再将加密后的所述标识信息嵌入所述接入请求中。所述第一加密密钥可以是事先预置给所有用户设备的,所述第一加密密钥对应的解密密钥可以配置在所述网络认证网元侧。也即是说,加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。下面展开描述:
S701-S702,所述用户设备向所述网络认证网元发送接入请求,所述接入请求包含所述用户设备的标识信息。需要说明的,在图12实施例中,不限于附图所示的所述标识信息包括所述第一标识和所述第二标识,所述标识信息也可以仅包括所述第一标识,可参考图6实施例。
关于S701-S702的具体实现,可参考图6-10分别对应实施例中的相应步骤,这里不再赘述。另外,参考图11实施例可知,所述用户设备还可以通过RAN侧可解码发送所述标识信息和/或所述用户设备相关的接入辅助信息,以实现RAN侧的接入控制。
与图6-11分别对应的实施例不同的是,在图12实施例中,携带在所述接入请求中所述标识信息被所述用户设备通过所述第一加密密钥进行加密。所述第一加密密钥对应的解密密钥可以配置在所述网络认证网元侧。也即是说,加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。
这里,不限制所述第一加密密钥和其相应的解密密钥所采用的密钥体制,既可以采用常用的非对称钥体制(如PKI),也可以采用基于用户身份的非对称钥加解密机制(如IBS),还可以采用其他类型的密钥体制。
可选的,所述接入请求中还可以嵌入有效时间来进一步避免重放攻击,这样所述网络认证网元可以根据所述有效时间来额外判定所述接入请求的来源是否合法。
S703-S708,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
S709,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
S710-S712,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
S713,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
S714,所述用户设备响应所述用户认证请求。
这里需要说明的,在图12实施例中,不限于附图所示,S703-S714的具体实现还可以参考图6-11分别对应的实施例中的相应步骤,这里不再赘述。
图13是本发明实施例提供的网络认证方法的第八实施例的流程示意图。基于图11实施例,在图13实施例中,所述用户设备可以不仅对携带在所述接入请求中的所述标识信息进行加密(参考图12实施例),而且可以对携带在所述RRC通道中的所述标识信息和/或接入辅助信息进行加密。具体的,可以利用接入网RAN提供的加密密钥(本发明实施例称为第二加密密钥)对所述标识信息和/或接入辅助信息进行加密,再将加密后的所述标识信息和/或接入辅助信息嵌入所述RAN侧可解码中。所述第二加密密钥可以是事先预置给所有用户设备的,所述第二加密密钥对应的解密密钥可以配置在RAN侧。也即是说,嵌入所述RAN侧可解码中的所述标识信息和/或接入辅助信息只有在RAN侧才能被解密,提高了安全性和私密性。下面展开描述:
S801-S804,所述用户设备向接入网网元发送接入请求,所述接入请求包含所述用户设备的标识信息。在发送所述接入请求时,所述用户设备还可以向所述接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的RAN侧可解码。所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。最后,所述接入网网元将所述接入请求转发至所述网络认证网元。
具体的,可参考图11实施例中的S601-S604,这里不再赘述。
与图11实施例不同的是:
第一,携带在所述接入请求中的所述标识信息被所述用户设备通过所述第一加密密钥进行加密,具体可参考图12实施例。加密后的所述标识信息只有在所述网络认证网元侧才能被解密,提高了安全性和私密性。
第二,携带在所述RAN侧可解码中的所述标识信息和/或接入辅助信息被所述用户设备通过所述第二加密密钥进行加密。所述第二加密密钥可以是事先预置给所有用户设备的,所述第二加密密钥对应的解密密钥可以配置在RAN侧。加密后的所述标识信息和/或接入辅助信息只有在RAN侧才能被解密,提高了安全性和私密性。
具体实现中,与图12实施例中描述的针对所述接入请求中的所述标识信息的加密类似,这里不限制所述第二加密密钥和其相应的解密密钥所采用的密钥体制,既可以采用常用的非对称钥体制(如PKI),也可以采用基于用户身份的非对称钥加解密机制(如IBS),还可以采用其他类型的密钥体制。可选的,所述RRC中还可以嵌入有效时间来进一步避免重放攻击,这样RAN可以根据所述有效时间来额外判定所述RAN侧可解码的来源是否合法。
S805-S810,相应的,所述网络认证网元接收到所述接入请求。然后,所述网络认证网元可以验证所述第一标识是否合法,如果合法,则根据所述第一标识确定所述用户设备对应的切片认证网元。
S811,所述网络认证网元向所述用户设备对应的切片认证网元发送所述第一标识和所述第二标识。
S812-S814,所述用户设备对应的切片认证网元根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
S815,所述用户设备对应的切片认证网元利用针对所述用户设备的认证数据,向所述用户设备发起用户认证请求。
S816,所述用户设备响应所述用户认证请求。
这里需要说明的,在图13实施例中,不限于附图所示,S805-S816的具体实现还可以参考图6-11分别对应的实施例中的相应步骤,这里不再赘述。
图14是本发明实施例提供的网络认证系统以及所述网络认证系统中的相关网元的结构示意图。如图14所示,网络认证系统200可包括:网络认证网元201、切片认证网元203、用户设备205以及接入网网元207。下面展开描述。
如图14所示,网络认证网元201可以包括接收单元2011、验证单元2013和发送单元2015,其中:
接收单元2011,可用于接收用户设备205发送的接入请求;所述接入请求包含用户设备205的标识信息;
验证单元2013,可用于验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定用户设备205对应的切片认证网元203;
发送单元2015,可用于向用户设备205对应的切片认证网元203发送部分或全部所述标识信息;发送的部分或全部所述标识信息用于用户设备205对应的切片认证网元203产生针对用户设备205的认证数据,利用所述认证数据向用户设备205发起用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
具体实现中,发送单元2015可具体用于向切片认证网元203发送所述第二标识。所述切片认证网元203可用于根据所述第二标识产生认证数据,并利用所述认证数据向用户设备205发起用户认证请求。
具体实现中,发送单元2015也可具体用于向切片认证网元203203发送所述第一标识和所述第二标识。切片认证网元203用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向用户设备205发起用户认证请求。
在一些实施例中,用户设备205可对应多个网络切片。验证单元2013可具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元203。发送单元2015可具体用于分别向所述多个网络切片各自对应的切片认证网元203发送部分或全部所述标识信息。所述多个网络切片各自对应的切片认证网元203用于各自产生针对用户设备205的认证数据,并分别利用所述多个网络切片各自针对用户设备205的认证数据向用户设备205发起用户认证请求。
需要说明的,网络认证网元201中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述网络认证网元的功能,这里不再赘述。
如图14所示,切片认证网元2013可包括:接收单元2031、计算单元2033和认证单元203。其中:
接收单元2031,可用于接收网络认证网元201发送的用户设备的标识信息;
计算单元2033,可用于根据所述标识信息产生针对用户设备205的认证数据;
认证单元2035,可用于利用所述认证数据向用户设备205发起的用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
具体实现中,接收单元2031可具体用于接收网络认证网元201发送的所述第一标识和第二标识。所述计算单元可具体用于根据所述第一标识产生针对用户设备205的认证数据。
具体实现中,接收单元2031也可具体用于接收网络认证网元201发送的所述第一标识和所述第二标识。计算单元2033也可具体用于根据所述第一标识和所述第二标识产生针对用户设备205的认证数据。
在一些实施例中,计算单元2033可具体用于根据所述标识信息产生多个网络切片各自针对用户设备205的认证数据。认证单元2035可具体用于利用所述多个网络切片各自针对用户设备205的认证数据分别向用户设备205发起针对所述各个网络切片的安全认证请求。
需要说明的,切片认证网元203中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述切片认证网元的功能,这里不再赘述。
如图14所示,用户设备205可包括:
发送单元2051,用于向网络认证网元201发送接入请求,所述接入请求携带用户设备205的标识信息;
接收单元2051,用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
在一种实现方式中,所述标识信息可至少包括:第一标识,所述第一标识是用户设备205在网络侧的标识信息。
在一种实现方式中,所述标识信息可至少包括:第一标识和第二标识,其中,所述第一标识是用户设备205在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
在一些实施例中,用户设备205还可包括:第一加密单元,用于在发送单元2051发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密。所述第一加密密钥对应的解密密钥配置在网络认证网元201侧。网络认证网元201用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
在一些实施例中,发送单元2051还可用于在向所述网络认证网元201发送所述接入请求时,向接入网网元发送携带所述标识信息和/或用户设备205相关的接入辅助信息的接入网侧可解码信令。所述接入网网元可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对用户设备205的所述接入请求执行接入控制。
在一些实施例中,用户设备205还可包括:第二加密单元,用于在发送单元2051发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密。所述第二加密密钥对应的解密密钥配置在所述接入网网元。所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
需要说明的,用户设备205中各个功能单元的具体实现还可参考图5-13分别对应实施例中所述用户设备的功能,这里不再赘述。
综上所述,实施本发明实施例,可实现用户设备快速、高效的接入网络切片,并保证了用户设备接入网络时的安全防护。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
Claims (47)
1.一种网络认证系统,包括:用户设备、网络认证网元和切片认证网元,其中:
所述用户设备用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;
所述网络认证网元用于接收所述接入请求,验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,并向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;
所述切片认证网元用于接收所述网络认证网元发送的所述部分或全部所述标识信息,根据所述部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起的用户认证请求;
所述用户设备还用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
2.如权利要求1所述的系统,其特征在于,包括:所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
3.如权利要求1所述的系统,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
4.如权利要求3所述的系统,其特征在于,所述网络认证网元具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元具体用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
5.如权利要求3所述的系统,其特征在于,所述网络认证网元具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元具体用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
6.如权利要求1-5中任一项所述的系统,其特征在于,所述用户设备对应多个网络切片;所述切片认证网元还用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
7.如权利要求1所述的系统,其特征在于,所述用户设备对应多个网络切片;所述网络认证网元具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元,并分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
8.如权利要求1-7中任一项所述的系统,其特征在于,所述用户设备还用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令;所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
9.如权利要求1-8中任一项所述的系统,其特征在于,所述用户设备还用于在发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密;所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧;所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
10.如权利要求8-9中任一项所述的系统,其特征在于,所述用户设备还用于在发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密;所述第二加密密钥对应的解密密钥配置在所述接入网网元侧;所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
11.一种网络认证网元,其特征在于,包括:
接收单元,用于接收用户设备发送的接入请求;所述接入请求包含所述用户设备的标识信息;
验证单元,用于验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;
发送单元,用于向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;发送的部分或全部所述标识信息用于所述用户设备对应的切片认证网元产生针对所述用户设备的认证数据,利用所述认证数据向所述用户设备发起用户认证请求。
12.如权利要求11所述的网元,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
13.如权利要求11所述的网元,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
14.如权利要求13所述的网元,其特征在于,所述发送单元具体用于向所述切片认证网元发送所述第二标识;所述切片认证网元用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
15.如权利要求13所述的网元,其特征在于,所述发送单元具体用于向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
16.如权利要求11-15中任一项所述的网元,其特征在于,所述用户设备对应多个网络切片;所述验证单元具体用于根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元;
所述发送单元具体用于分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
17.一种切片认证网元,其特征在于,包括:
接收单元,用于接收网络认证网元发送的用户设备的标识信息;
计算单元,用于根据所述标识信息产生针对所述用户设备的认证数据;
认证单元,用于利用所述认证数据向所述用户设备发起的用户认证请求。
18.如权利要求17所述的网元,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
19.如权利要求17所述的网元,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
20.如权利要求19所述的网元,其特征在于,所述接收单元具体用于接收网络认证网元发送的所述第一标识;所述计算单元具体用于根据所述第一标识产生针对所述用户设备的认证数据。
21.如权利要求19所述的网元,其特征在于,所述接收单元具体用于接收网络认证网元发送的所述第一标识和所述第二标识;所述计算单元具体用于根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
22.如权利要求17-21中任一项所述的网元,其特征在于,所述计算单元具体用于根据所述标识信息产生多个网络切片各自针对所述用户设备的认证数据;所述认证单元具体用于利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
23.一种用户设备,其特征在于,包括:
发送单元,用于向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;所述网络认证网元用于判断部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;所述切片认证网元用于根据部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起用户认证请求;
接收单元,用于接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
24.如权利要求23所述的用户设备,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
25.如权利要求23所述的用户设备,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
26.如权利要求23-25中任一项所述的用户设备,其特征在于,所述发送单元还用于在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令;所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
27.如权利要求23-26中一项所述的用户设备,其特征在于,还包括:第一加密单元,用于在所述发送单元发送所述接入请求之前,利用第一加密密钥对所述标识信息进行加密;所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧;所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
28.如权利要求25-26中一项所述的用户设备,其特征在于,还包括:第二加密单元,用于在所述发送单元发送所述接入网侧可解码信令之前,利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密;所述第二加密密钥对应的解密密钥配置在所述接入网网元侧;所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
29.一种网络认证方法,应用于网络认证网元侧,其特征在于,包括:
网络认证网元接收用户设备发送的接入请求;所述接入请求包含所述用户设备的标识信息;
所述网络认证网元验证部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;
所述网络认证网元向所述用户设备对应的切片认证网元发送部分或全部所述标识信息;所述网络认证网元发送的部分或全部所述标识信息用于所述用户设备对应的切片认证网元产生针对所述用户设备的认证数据,利用所述认证数据向所述用户设备发起用户认证请求。
30.如权利要求29所述的方法,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
31.如权利要求29所述的方法,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
32.如权利要求31所述的方法,其特征在于,所述网络认证网元向所述切片认证网元发送部分或全部所述标识信息,具体包括:所述网络认证网元向所述切片认证网元发送所述第二标识;所述切片认证网元用于根据所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
33.如权利要求31所述的方法,其特征在于,所述网络认证网元向所述切片认证网元发送部分或全部所述标识信息,具体包括:所述网络认证网元向所述切片认证网元发送所述第一标识和所述第二标识;所述切片认证网元用于根据所述第一标识和所述第二标识产生认证数据,并利用所述认证数据向所述用户设备发起用户认证请求。
34.如权利要求29-33中任一项所述的方法,其特征在于,所述用户设备对应多个网络切片;所述切片认证网元还用于根据所述网络认证网元发送的部分或全部所述标识信息产生所述多个网络切片各自针对所述用户设备的认证数据,并利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
35.如权利要求29-33中任一项所述的方法,其特征在于,所述用户设备对应多个网络切片;所述网络认证网元根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元,具体包括:所述网络认证网元根据合法的部分或全部所述标识信息确定所述多个网络切片各自对应的切片认证网元;
所述网络认证网元向所述切片认证网元发送部分或全部所述标识信息,具体包括:所述网络认证网元分别向所述多个网络切片各自对应的切片认证网元发送部分或全部所述标识信息;所述多个网络切片各自对应的切片认证网元用于各自产生针对所述用户设备的认证数据,并分别利用所述多个网络切片各自针对所述用户设备的认证数据向所述用户设备发起用户认证请求。
36.一种网络认证方法,应用于切片认证网元侧,其特征在于,包括:
切片认证网元接收网络认证网元发送的用户设备的标识信息;
所述切片认证网元根据所述标识信息产生针对所述用户设备的认证数据;
所述切片认证网元利用所述认证数据向所述用户设备发起的用户认证请求。
37.如权利要求36所述的方法,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
38.如权利要求36所述的方法,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
39.如权利要求38所述的方法,其特征在于,所述接收网络认证网元发送的用户设备的标识信息,具体包括:接收网络认证网元发送的所述第二标识;所述根据所述标识信息产生针对所述用户设备的认证数据,具体包括:根据所述第二标识产生针对所述用户设备的认证数据。
40.如权利要求38所述的方法,其特征在于,所述接收网络认证网元发送的用户设备的标识信息,具体包括:接收网络认证网元发送的所述第一标识和所述第二标识;所述根据所述标识信息产生针对所述用户设备的认证数据,具体包括:根据所述第一标识和所述第二标识产生针对所述用户设备的认证数据。
41.如权利要求36-40中任一项所述的方法,其特征在于,所述根据所述标识信息产生针对所述用户设备的认证数据,具体包括:根据所述标识信息产生多个网络切片各自针对所述用户设备的认证数据;所述利用所述认证数据向所述用户设备发起的用户认证请求,具体包括:利用所述多个网络切片各自针对所述用户设备的认证数据分别向所述用户设备发起针对所述各个网络切片的安全认证请求。
42.一种网络认证方法,应用于用户设备侧,其特征在于,包括:
用户设备向网络认证网元发送接入请求,所述接入请求携带所述用户设备的标识信息;所述网络认证网元用于判断部分或全部所述标识信息是否合法,如果合法,则根据合法的部分或全部所述标识信息确定所述用户设备对应的切片认证网元;所述切片认证网元用于根据部分或全部所述标识信息产生针对所述用户设备的认证数据,并利用所述认证数据向所述用户设备发起用户认证请求;
所述用户设备接收所述切片认证网元发起的所述用户认证请求,并响应所述用户认证请求。
43.如权利要求42所述的方法,其特征在于,所述标识信息至少包括:第一标识,所述第一标识是所述用户设备在网络侧的标识信息。
44.如权利要求42所述的方法,其特征在于,所述标识信息至少包括:第一标识和第二标识,其中,所述第一标识是所述用户设备在网络侧的标识信息;所述第二标识包括业务标识和物理标识中至少一项。
45.如权利要求42-44中任一项所述的方法,其特征在于,还包括:在向所述网络认证网元发送所述接入请求时,向接入网网元发送携带所述标识信息和/或所述用户设备相关的接入辅助信息的接入网侧可解码信令;所述接入网侧可解码信令用于所述接入网网元根据所述标识信息和/或所述接入辅助信息对所述用户设备的所述接入请求执行接入控制。
46.如权利要求42-45中任一项所述的方法,其特征在于,还包括:在发送所述接入请求之前,所述用户设备利用第一加密密钥对所述标识信息进行加密;所述第一加密密钥对应的解密密钥配置在所述网络认证网元侧;所述网络认证网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息进行解密。
47.如权利要求45-46中任一项所述的方法,其特征在于,还包括:在发送所述接入网侧可解码信令之前,所述用户设备利用第二加密密钥对所述接入网侧可解码信令中携带的所述标识信息和/或所述接入辅助信息进行加密;所述第二加密密钥对应的解密密钥配置在所述接入网网元侧;所述接入网网元用于利用所述第一加密密钥对应的解密密钥对加密后的所述标识信息和/或所述接入辅助信息进行解密。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610932913.6A CN108012267B (zh) | 2016-10-31 | 2016-10-31 | 一种网络认证方法、相关设备及系统 |
BR112019006352A BR112019006352A2 (pt) | 2016-10-31 | 2017-10-27 | método de autenticação de rede e dispositivo e sistema relacionados |
PCT/CN2017/107989 WO2018077232A1 (zh) | 2016-10-31 | 2017-10-27 | 一种网络认证方法、相关设备及系统 |
EP17865403.4A EP3506669B1 (en) | 2016-10-31 | 2017-10-27 | Network authentication method, and related device and system |
US16/399,985 US10848970B2 (en) | 2016-10-31 | 2019-04-30 | Network authentication method, and related device and system |
US17/090,757 US11272365B2 (en) | 2016-10-31 | 2020-11-05 | Network authentication method, and related device and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610932913.6A CN108012267B (zh) | 2016-10-31 | 2016-10-31 | 一种网络认证方法、相关设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108012267A true CN108012267A (zh) | 2018-05-08 |
CN108012267B CN108012267B (zh) | 2022-05-24 |
Family
ID=62024364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610932913.6A Active CN108012267B (zh) | 2016-10-31 | 2016-10-31 | 一种网络认证方法、相关设备及系统 |
Country Status (5)
Country | Link |
---|---|
US (2) | US10848970B2 (zh) |
EP (1) | EP3506669B1 (zh) |
CN (1) | CN108012267B (zh) |
BR (1) | BR112019006352A2 (zh) |
WO (1) | WO2018077232A1 (zh) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109120631A (zh) * | 2018-09-04 | 2019-01-01 | 苏州科达科技股份有限公司 | 功能调用系统、方法、装置及存储介质 |
CN109842880A (zh) * | 2018-08-23 | 2019-06-04 | 华为技术有限公司 | 路由方法、装置及系统 |
CN110784434A (zh) * | 2018-07-31 | 2020-02-11 | 华为技术有限公司 | 通信方法及装置 |
WO2020029730A1 (zh) * | 2018-08-09 | 2020-02-13 | 华为技术有限公司 | 一种身份信息的处理方法、设备及系统 |
CN111414645A (zh) * | 2020-03-19 | 2020-07-14 | 中国电子科技集团公司第三十研究所 | 一种实现隐私保护功能的安全hss/udm设计方法及系统 |
CN111601280A (zh) * | 2020-05-14 | 2020-08-28 | 中国联合网络通信集团有限公司 | 一种接入验证方法及装置 |
CN111654861A (zh) * | 2019-03-04 | 2020-09-11 | 中国移动通信有限公司研究院 | 一种认证方法、装置、设备及计算机可读存储介质 |
CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
WO2021026927A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 通信方法和相关设备 |
CN113395238A (zh) * | 2020-03-12 | 2021-09-14 | 华为技术有限公司 | 一种认证授权方法及对应装置 |
CN113784351A (zh) * | 2020-06-10 | 2021-12-10 | 华为技术有限公司 | 切片服务验证方法及其装置 |
CN113841429A (zh) * | 2019-04-01 | 2021-12-24 | 株式会社Ntt都科摩 | 用于发起切片特定的认证和授权的通信网络组件和方法 |
CN113852996A (zh) * | 2020-06-28 | 2021-12-28 | 中兴通讯股份有限公司 | 用户业务优先级调整方法、系统和存储介质 |
WO2022027529A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 一种切片认证的方法及装置 |
WO2023077273A1 (en) * | 2021-11-02 | 2023-05-11 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus, and computer program |
CN116193431A (zh) * | 2020-04-30 | 2023-05-30 | 华为技术有限公司 | 切片认证方法及装置 |
US11974132B2 (en) | 2018-08-23 | 2024-04-30 | Huawei Technologies Co., Ltd. | Routing method, apparatus, and system |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102633995B1 (ko) * | 2016-08-22 | 2024-02-06 | 삼성전자 주식회사 | 무선 통신 시스템에서, 단말과 써드 파티 서버 간의 인증 요청 방법 및, 이를 위한 단말 및 네트워크 슬라이스 인스턴스 관리 장치 |
CN108012267B (zh) * | 2016-10-31 | 2022-05-24 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
RU2734873C1 (ru) | 2017-01-30 | 2020-10-23 | Телефонактиеболагет Лм Эрикссон (Пабл) | Функция привязки безопасности в 5g-системах |
WO2019198054A1 (en) * | 2018-04-14 | 2019-10-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Service-based 5g core authentication endpoints |
WO2019220002A1 (en) * | 2018-05-18 | 2019-11-21 | Nokia Technologies Oy | Authentication in public land mobile networks comprising tenant slices |
CN109041057B (zh) * | 2018-08-08 | 2021-06-08 | 兴唐通信科技有限公司 | 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 |
CN109104727B (zh) * | 2018-08-08 | 2021-05-04 | 兴唐通信科技有限公司 | 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法 |
CN111818516B (zh) * | 2019-04-12 | 2022-10-18 | 华为技术有限公司 | 认证方法、装置及设备 |
EP3826340A1 (en) * | 2019-11-21 | 2021-05-26 | Thales Dis France Sa | Method for authenticating a user on a network slice |
US11012858B1 (en) * | 2020-01-29 | 2021-05-18 | Dell Products L.P. | Endpoint computing device network slice secure certificate provisioning and management system |
US11234132B1 (en) * | 2020-07-23 | 2022-01-25 | Hewlett Packard Enterprise Development Lp | Autonomous device authentication for private network access |
CN111918291B (zh) * | 2020-09-02 | 2022-08-12 | 中国联合网络通信集团有限公司 | 一种接入方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101557406A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
US20100169391A1 (en) * | 2007-10-09 | 2010-07-01 | Cleversafe, Inc. | Object interface to a dispersed data storage network |
US20110286595A1 (en) * | 2010-05-19 | 2011-11-24 | Cleversafe, Inc. | Storing access information in a dispersed storage network |
CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
CN106060900A (zh) * | 2016-05-13 | 2016-10-26 | 宇龙计算机通信科技(深圳)有限公司 | 网络切片的接入控制方法及装置、终端化小区和sdn控制器 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017058067A1 (en) * | 2015-09-29 | 2017-04-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Securing network slice management |
US20170289791A1 (en) * | 2016-04-05 | 2017-10-05 | Electronics And Telecommunications Research Institute | Communication method and apparatus using network slice |
EP3451722B1 (en) * | 2016-04-27 | 2021-08-18 | Nec Corporation | Key derivation when network slicing is applied |
US11134103B2 (en) * | 2016-04-29 | 2021-09-28 | Nec Corporation | Method of enabling slice security separation |
US10028128B2 (en) * | 2016-04-29 | 2018-07-17 | Motorola Mobility Llc | Procedures to support network slicing in a wireless communication system |
EP3456090B1 (en) * | 2016-05-12 | 2021-03-31 | Convida Wireless, Llc | Connecting to virtualized mobile core networks |
KR102358918B1 (ko) * | 2016-07-04 | 2022-02-07 | 삼성전자 주식회사 | 무선 통신 시스템에서 서비스에 따른 보안 관리 방법 및 장치 |
US10716002B2 (en) * | 2016-07-05 | 2020-07-14 | Samsung Electronics Co., Ltd. | Method and system for authenticating access in mobile wireless network system |
WO2018006985A1 (en) * | 2016-07-08 | 2018-01-11 | Nec Corporation | System, devices, and methods for interworking between a legacy 3gpp mobile telecommunications network (4g) and a next generation network (5g) |
KR102193511B1 (ko) * | 2016-07-15 | 2020-12-21 | 닛본 덴끼 가부시끼가이샤 | 통신 시스템, 가입자 정보 관리 장치, 정보 취득 방법, 비일시적인 컴퓨터 가독 매체 및 통신 단말기 |
CN107666666B (zh) * | 2016-07-27 | 2022-11-08 | 中兴通讯股份有限公司 | 密钥的衍生方法及装置 |
CN111865603A (zh) * | 2016-09-05 | 2020-10-30 | 华为技术有限公司 | 认证方法、认证装置和认证系统 |
CN108012267B (zh) * | 2016-10-31 | 2022-05-24 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
US10841302B2 (en) * | 2017-05-24 | 2020-11-17 | Lg Electronics Inc. | Method and apparatus for authenticating UE between heterogeneous networks in wireless communication system |
-
2016
- 2016-10-31 CN CN201610932913.6A patent/CN108012267B/zh active Active
-
2017
- 2017-10-27 BR BR112019006352A patent/BR112019006352A2/pt unknown
- 2017-10-27 WO PCT/CN2017/107989 patent/WO2018077232A1/zh unknown
- 2017-10-27 EP EP17865403.4A patent/EP3506669B1/en active Active
-
2019
- 2019-04-30 US US16/399,985 patent/US10848970B2/en active Active
-
2020
- 2020-11-05 US US17/090,757 patent/US11272365B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100169391A1 (en) * | 2007-10-09 | 2010-07-01 | Cleversafe, Inc. | Object interface to a dispersed data storage network |
CN101557406A (zh) * | 2009-06-01 | 2009-10-14 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
US20110286595A1 (en) * | 2010-05-19 | 2011-11-24 | Cleversafe, Inc. | Storing access information in a dispersed storage network |
CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
CN106060900A (zh) * | 2016-05-13 | 2016-10-26 | 宇龙计算机通信科技(深圳)有限公司 | 网络切片的接入控制方法及装置、终端化小区和sdn控制器 |
Non-Patent Citations (2)
Title |
---|
HUAWEI ET AL.: "《The Authentication & Authorization Scenarios of UE Accessing into Network Slicing》", 《3GPP》 * |
NEC: "《pCR to TR 33.899: Proposal of solution for key issue of network slicing security》", 《3GPP》 * |
Cited By (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110784434B (zh) * | 2018-07-31 | 2021-11-19 | 华为技术有限公司 | 通信方法及装置 |
CN110784434A (zh) * | 2018-07-31 | 2020-02-11 | 华为技术有限公司 | 通信方法及装置 |
WO2020029730A1 (zh) * | 2018-08-09 | 2020-02-13 | 华为技术有限公司 | 一种身份信息的处理方法、设备及系统 |
CN110830990A (zh) * | 2018-08-09 | 2020-02-21 | 华为技术有限公司 | 一种身份信息的处理方法、设备及系统 |
US11510052B2 (en) | 2018-08-09 | 2022-11-22 | Huawei Technologies Co., Ltd. | Identity information processing method, device, and system |
CN109842880A (zh) * | 2018-08-23 | 2019-06-04 | 华为技术有限公司 | 路由方法、装置及系统 |
US11974132B2 (en) | 2018-08-23 | 2024-04-30 | Huawei Technologies Co., Ltd. | Routing method, apparatus, and system |
CN109120631A (zh) * | 2018-09-04 | 2019-01-01 | 苏州科达科技股份有限公司 | 功能调用系统、方法、装置及存储介质 |
CN109120631B (zh) * | 2018-09-04 | 2021-05-14 | 苏州科达科技股份有限公司 | 功能调用系统、方法、装置及存储介质 |
CN111654861A (zh) * | 2019-03-04 | 2020-09-11 | 中国移动通信有限公司研究院 | 一种认证方法、装置、设备及计算机可读存储介质 |
CN113841429A (zh) * | 2019-04-01 | 2021-12-24 | 株式会社Ntt都科摩 | 用于发起切片特定的认证和授权的通信网络组件和方法 |
CN113841429B (zh) * | 2019-04-01 | 2024-01-05 | 株式会社Ntt都科摩 | 用于发起切片特定的认证和授权的通信网络组件和方法 |
CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
WO2020253408A1 (zh) * | 2019-06-17 | 2020-12-24 | 华为技术有限公司 | 二级认证的方法和装置 |
WO2021026927A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 通信方法和相关设备 |
CN114223232A (zh) * | 2019-08-15 | 2022-03-22 | 华为技术有限公司 | 通信方法和相关设备 |
CN113395238A (zh) * | 2020-03-12 | 2021-09-14 | 华为技术有限公司 | 一种认证授权方法及对应装置 |
CN111414645A (zh) * | 2020-03-19 | 2020-07-14 | 中国电子科技集团公司第三十研究所 | 一种实现隐私保护功能的安全hss/udm设计方法及系统 |
CN116193431A (zh) * | 2020-04-30 | 2023-05-30 | 华为技术有限公司 | 切片认证方法及装置 |
CN111601280B (zh) * | 2020-05-14 | 2022-08-19 | 中国联合网络通信集团有限公司 | 一种接入验证方法及装置 |
CN111601280A (zh) * | 2020-05-14 | 2020-08-28 | 中国联合网络通信集团有限公司 | 一种接入验证方法及装置 |
WO2021249325A1 (zh) * | 2020-06-10 | 2021-12-16 | 华为技术有限公司 | 切片服务验证方法及其装置 |
CN113784351A (zh) * | 2020-06-10 | 2021-12-10 | 华为技术有限公司 | 切片服务验证方法及其装置 |
CN113784351B (zh) * | 2020-06-10 | 2024-03-01 | 华为技术有限公司 | 切片服务验证方法、实体及设备 |
WO2022001485A1 (zh) * | 2020-06-28 | 2022-01-06 | 中兴通讯股份有限公司 | 用户业务优先级调整方法、系统和存储介质 |
CN113852996A (zh) * | 2020-06-28 | 2021-12-28 | 中兴通讯股份有限公司 | 用户业务优先级调整方法、系统和存储介质 |
CN113852996B (zh) * | 2020-06-28 | 2024-01-05 | 中兴通讯股份有限公司 | 用户业务优先级调整方法、系统和存储介质 |
WO2022027529A1 (zh) * | 2020-08-06 | 2022-02-10 | 华为技术有限公司 | 一种切片认证的方法及装置 |
WO2023077273A1 (en) * | 2021-11-02 | 2023-05-11 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus, and computer program |
Also Published As
Publication number | Publication date |
---|---|
EP3506669B1 (en) | 2021-03-31 |
BR112019006352A2 (pt) | 2019-06-18 |
US11272365B2 (en) | 2022-03-08 |
EP3506669A1 (en) | 2019-07-03 |
WO2018077232A1 (zh) | 2018-05-03 |
EP3506669A4 (en) | 2019-08-21 |
CN108012267B (zh) | 2022-05-24 |
US20190261180A1 (en) | 2019-08-22 |
US20210058783A1 (en) | 2021-02-25 |
US10848970B2 (en) | 2020-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108012267B (zh) | 一种网络认证方法、相关设备及系统 | |
KR102315881B1 (ko) | 사용자 단말과 진화된 패킷 코어 간의 상호 인증 | |
EP3657835B1 (en) | Access method of user equipment, user equipment and computer-readable storage medium | |
CN108347420B (zh) | 一种网络密钥处理的方法、相关设备及系统 | |
CN111263334A (zh) | 向移动无线设备配置电子用户身份模块 | |
CN106134231B (zh) | 密钥生成方法、设备及系统 | |
KR20160078426A (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
EP3089496B1 (en) | Method and apparatus for providing information | |
CN116781444A (zh) | 经由移动通信网络连接到家庭局域网 | |
WO2020007461A1 (en) | Authentication and key agreement between a network and a user equipment | |
JP6904363B2 (ja) | システム、基地局、コアネットワークノード、及び方法 | |
US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
CN109076058B (zh) | 一种移动网络的认证方法和装置 | |
KR20150051568A (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
US20240080316A1 (en) | Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network | |
US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
EP3637815B1 (en) | Data transmission method, and device and system related thereto | |
US20240089728A1 (en) | Communication method and apparatus | |
WO2021031051A1 (en) | Mobile device authentication without electronic subscriber identity module (esim) credentials | |
KR101431214B1 (ko) | 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템 | |
US12101630B2 (en) | Mobile device authentication without electronic subscriber identity module (eSIM) credentials | |
WO2023159603A1 (zh) | 一种安全实现方法及装置、终端设备、网元 | |
WO2023126296A1 (en) | Authentication support for an electronic device to connect to a telecommunications network | |
CN118696525A (zh) | 一种安全实现方法及装置、终端设备、网元 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |