CN110278556A - 一种安全认证策略确定方法、设备和计算机可读存储介质 - Google Patents
一种安全认证策略确定方法、设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN110278556A CN110278556A CN201810204942.XA CN201810204942A CN110278556A CN 110278556 A CN110278556 A CN 110278556A CN 201810204942 A CN201810204942 A CN 201810204942A CN 110278556 A CN110278556 A CN 110278556A
- Authority
- CN
- China
- Prior art keywords
- safety certification
- terminal
- strategy
- information
- reference information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种安全认证策略确定方法,所述方法包括:根据参考信息确定终端的安全认证策略,终端的安全认证策略用于对终端进行安全认证;其中,参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。本发明实施例同时还公开了一种安全认证策略确定设备和计算机可读存储介质。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种安全认证策略确定方法、装置、实体和计算机可读存储介质。
背景技术
随着通信技术的飞速发展,移动通信已经发展到了5G阶段,和前几代移动通信相比,5G网络的主要特点之一是其具有基于服务化的网络架构。
终端(UE,User Equipment)接入网络时,通过非接入层信令(Non-AccessStratum,Nas)和位于核心网侧的移动管理功能(AMF,Access and Mobility Managementfunction)交互信息,AMF按照自身存储的安全认证策略,向统一数据管理功能(UnifiedData Management,UDM)实体发起认证数据请求,发起对UE的安全认证流程。
目前,AMF中存储的安全认证策略仅能够通过网络管理员设置调节,浪费人力。
发明内容
为解决上述技术问题,本发明实施例期望提供一种安全认证策略确定方法、实体和计算机可读存储介质,解决了现有技术中安全认证策略仅能够由网络管理员设置浪费人力的问题。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明提供一种安全认证策略确定方法,所述方法包括:
根据参考信息确定终端的安全认证策略,所述终端的安全认证策略用于对所述终端进行安全认证;
其中,所述参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。
第二方面,本发明提供一种安全认证策略确定方法,所述方法包括:
接收终端的安全认证策略,所述安全认证策略为根据参考信息确定的,所述参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种;
根据所述终端的安全认证策略,对所述终端进行安全认证。
第三方面,本发明提供一种安全认证策略确定设备,所述设备包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行第一方面任一所述安全认证策略确定方法的步骤,或者,第二方面任一所述安全认证策略确定方法的步骤。
第四方面,本发明提供一种计算机可读存储介质,所述计算机可读存储介质上存储有安全认证策略确定程序,所述安全认证策略确定程序被处理器执行时实现第一方面任一所述安全认证策略确定方法的步骤,或者,第二方面任一所述安全认证策略确定方法的步骤。
本发明的实施例中,通过根据参考信息确定安全认证策略,该安全认证策略可用于对终端的安全认证的控制,使得可以根据与终端相关的参考信息来适配相应的安全认证策略。
附图说明
图1为终端在注册过程中的安全过程的流程示意图;
图2为本发明实施例提供的安全认证策略确定方法的流程示意图一;
图3为本发明实施例提供的安全认证策略确定方法的流程示意图二;
图4为本发明实施例提供的安全认证策略确定方法的流程示意图三;
图5为本发明实施例提供的安全认证策略确定方法的交互流程示意图一;
图6为本发明实施例提供的安全认证策略确定方法的交互流程示意图二;
图7为本发明实施例提供的安全认证策略确定方法的交互流程示意图三;
图8为本发明实施例提供的安全认证策略确定方法的交互流程示意图四;
图9为本发明实施例提供的安全认证策略确定方法的交互流程示意图五;
图10为本发明实施例提供的安全认证策略确定方法的交互流程示意图六;
图11为本发明实施例提供的安全认证策略确定设备的结构示意图;
图12为5G通信网络的架构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在本发明实施例应用的通信网络中,例如,第五代移动通信技术(The 5thGeneration,5G)的网络中,终端(User Equipment,UE)通过空口与网络侧进行消息交互,网络侧可以启动AKA过程,完成UE和网络侧的互相鉴权。图1 为终端在注册过程中的安全过程的流程示意图,如图1所示,安全过程可以包括:
S101、UE向AMF发送接入请求,携带IMSI。
其中,终端通过空口和基站交互信息,通过NAS消息向AMF发起用户注册过程。
S102、AMF向UDM发送认证数据请求,携带IMSI。
其中,AMF向UDM发出认证数据请求,其中携带国际移动用户标识(IMSI,International Mobile Subscriber Identity)。
S103、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,统一数据管理功能(Unified Data Management,UDM)收到认证数据请求后,计算认证向量(authentication vectors,AV)的数目,每个AV包括随机数(a randomnumber,RAND)、期望的响应(an expected response,XRES)、加密密钥(a cipher key,CK)、完整性密钥(an integrity key,IK)、认证令牌 (an authentication token,AUTN)。每个AV都可用于AMF和UE进行认证、密钥协商。
S104、AFM存储AV(1…n),选择一个AV[i]。
其中,AMF收到UDM的认证数据应答后,将所有AV存储下来,并从中随机选择一个AV[i],AV[i]包括RAND[i]和AUTN[i]。获取RAND[i]、AUTN[i] 并携带在用户认证请求中发送给UE。
S105、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S106、UE根据AUTN[i]计算RES[i]。
其中,UE收到用户认证请求后,检查是否接受AUTN[i],如果接受的话,并根据RAND[i]计算响应(a response,RES)[i]、CK[i]、IK[i],并在发送给 AMF的用户认证应答中携带RES[i]。
S107、UE向AMF发送用户认证请求响应,携带RES[i]。
S108、UE计算CK[i]和IK[i]并存储。
其中,UE存储CK[i]、IK[i]以便后续使用。
S109、AMF比较RES[i]与XRES[i]。
其中,AMF收到用户认证应答,比较RES[i]和XRES[i],若相同,则用户认证通过,确定XRES[i]所属的AV[i]为当前用户使用的AV,该AV[i]包括的CK[i]、IK[i]用作后续安全认证使用。
S110、AMF选择CK[i]和IK[i]。
需要说明的是,网络侧可以设置AMF发起AKA的频次,网络侧对UE进行AKA的频次越高,安全程度也越高。但AKA的频次越高,对网络资源和 UE资源的消耗就越高,也会增加业务流程的时间。
本发明实施例提供的安全认证策略的确定方法可以根据终端的各种属性,如位置信息、签约信息(如签约套餐、签约业务、用户类型等)、以及其它动态业务调整变更等信息,来确定UE合适的AKA频次以及其他安全策略,平衡安全性和资源消耗,本发明实施例提供的安全认证策略的确定方法在5G标准领域为具有开创性的定义。
本发明实施例提供的安全认证策略确定方法涉及三个方面。这三个方面分别是用于确定安全认证策略的参考信息的获取过程,根据获取的参考信息确定安全认证策略的确定过程,以及,根据确定的安全认证策略对终端进行安全认证的控制过程。需要说明的是,这三个过程可以由不同或相同的通信实体执行。例如,获取过程和确定过程可以由执行第一实体,控制过程可以由第二实体执行。在本发明其他实施例中,还将给出采用其他实体或实体的组合执行本发明实施例提供的安全认证策略确定方法的多种实施方式。
下面对发明实施例提供的安全认证策略的确定方法的技术方案细节进行说明。
本发明实施例提供一种安全认证策略确定方法,本发明实施例的执行主体可以为第一实体,第一实体可以为实现一些功能的实体,如实现PCF、AMF等功能的实体,或者,通信网络的核心网中的其他实体,在本发明其他实施例中,本发明实施例涉及的实现一些功能的实体可以为通信服务器等装置。图2为本发明实施例提供的一种安全认证策略确定方法的流程示意图一。如图2所示,本发明实施例的步骤可以包括:
S201、根据参考信息确定终端的安全认证策略,终端的安全认证策略用于对终端进行安全认证。
其中,参考信息可以包括终端的业务状态信息、终端所属网络的服务状态信息中至少一种。
在本发明实施例中,终端的安全认证策略可以包括安全认证周期、安全认证频次、安全认证算法中至少一种。其中,安全认证级别为在一个通信区域中需要进行安全认证的最低终端等级,安全认证周期为对终端进行安全认证的周期,安全认证频次为认证和秘钥协商(Authentic and Key Agreement,AKA)的频次。其中,安全认证级别的高低、安全认证周期的长短与安全认证策略的安全等级的高低可以成反比,安全认证频次的高低、安全认证算法的算法安全性的高低与安全认证策略的安全等级可以成正比。也就是说,安全认证级别越低、安全认证周期越短、安全认证频次越高、安全认证算法的算法安全性越高,该安全认证策略的安全性越高。
在本发明实施例中,不同的参考信息可以对应不同的安全认证策略,或者,参考信息的变化可以对应安全认证策略的变化。例如,参考信息可以是未确认安全认证策略时获取的参考信息的初始值,也可以是在初始状态之后获取的参考信息的变化值,或者,相对于初始值发生了变化的参考信息的值。
在一示例中,在终端初始接入网络时,或者,安全认证策略初始确定时,根据参考信息确定终端的安全认证策略,可以包括:根据所述参考信息和预设的确定算法,确定所述终端的安全认证策略,所述确定算法用于对安全等级越高的参考信息,确定安全等级越高的安全认证策略。示例性的,确定算法可以是根据各种参考信息的对应的安全等级求和,作为当前获取的参考信息对应的安全认证策略的安全等级。
举例来说,不同位置区在业务忙时和业务闲时对应的安全认证策略可以如表1和表2所示。
表1
其中,位置区(Track Area,TA)TA1可以为位于市中心的通信区域,TA2 可以为位于郊区的通信区域。
表2
不同位置区、不同业务流类型、不同终端等级的组合对应的安全认证策略可以如表3所示。
表3
需要说明的是,表1-表3所示的各种安全认证策略的设置仅仅为一种示例。
其中,金牌用户、银牌用户和铜牌用户可以分别对应高、中、低的终端等级。
在本发明其他实施例中,若S201中的参考信息为第二时刻获取的参考信息,且第二时刻获取的参考信息相对于第二时刻前的第一时刻获取的参考信息发生变化时,上述根据参考信息确定终端的安全认证策略,可以包括:
获取终端的第一安全认证策略,第一安全认证策略为根据第一时刻获取的参考信息确定的;
根据第二时刻获取的参考信息对第一安全认证策略进行调整,得到第二安全认证策略,将第二安全认证策略作为终端的安全认证策略。
需要说明的是,若当前获取的所述参考信息对应的安全等级大于先前获取的参考信息对应的安全等级,则调整后的安全认证策略的安全等级大于调整前的安全认证策略的安全等级;若当前获取的所述参考信息对应的安全等级小于先前获取的参考信息对应的安全等级,则调整后的安全认证策略的安全等级小于调整前的安全认证策略的安全等级。
举例来说,所述根据参考信息对终端正在使用的安全认证策略进行调整,可以包括:将当前获取的参考信息与先前获取的参考信息进行比较;根据比较结果,对终端正在使用的安全认证策略进行调整。示例性的,根据参考信息对终端正在使用的安全认证策略进行调整,可以包括:调整安全认证周期、安全认证频次、安全认证算法中至少一个参数,以使得调整后的安全认证策略对应的安全等级与S201中的参考信息对应的安全等级一致。举例来说,可以增大或减小安全认证周期,增大或减小安全认证频次,或者,变更安全认证算法。
在本发明实施例中,上述根据参考信息确定终端的安全认证策略,可以包括:获取所述参考信息对应的安全等级;将所述参考信息对应的安全等级,确定为所述终端的安全认证策略的安全等级;根据所述安全认证策略的安全等级,确定所述终端的安全认证策略。采用上述确定的终端的安全认证策略或者调整后的安全认证策略可以为满足在保证对终端的安全认证能够达到需要的安全性需求的情况下,选择对网络资源消耗较少的安全认证策略对终端进行安全认证,以降低网络资源的消耗水平。示例性的,参考信息对应的安全等级越低可以表示参考信息对应的安全性需求越低,相应地,安全等级越低的参考信息所对应的安全认证策略的资源消耗水平较低,安全认证策略的资源消耗水平由安全认证策略中的安全认证周期的时长、安全认证频次的频次、安全认证算法的算法的复杂度确定。需要说明的是,安全认证周期越长、安全认证频次越高、安全认证算法的算法复杂度越高,对终端进行安全认证的网络资源消耗也将越大。
在本发明实施例中,终端的业务状态信息可以包括位置信息、签约信息、业务流信息、计费信息中至少一种,终端所属网络的服务状态信息包括运营商管控信息。需要说明的是,终端所属网络可以是终端签约的运营商所管辖的网络、或者终端当前接入的小区对应的AMF管辖的网络,当前接入的小区例如可以是位置区、全球小区标识等。
在本发明实施例中,在根据参考信息确定终端的安全认证策略之前,可以预先设置各种参考信息对应的一定的安全等级,然后再根据参考信息对应的安全等级,确定需要的安全认证策略。
在一示例中,终端的位置信息可以为TA,则可以预先设置各个TA对应的安全等级,例如,不同的TA对应的安全等级可以根据TA的业务负载高低、业务忙时、位置区安全保障等级确定。示例性地,可以设置人口比较密集的市区对应的位置区具有较高的安全等级,可以设置人口较少的郊区对应的位置区具有较低的安全等级,在业务忙时对业务负载较高的位置区设置较高的安全等级,在业务闲时对业务负载较高的位置区设置较低的安全等级。
在又一示例中,终端的签约信息可以包括终端等级,则可以预先设置终端等级的高低与签约信息对应的安全等级的高低成正比,即较高终端等级对应较高的安全等级。其中,终端等级的划分可以有多种方式,示例性地,可以按照金牌用户、银牌用户、铜牌用户划分终端等级,也可以按照不同签约套餐划分终端等级,套餐约定消费越高对应的等级越高,如全球通VIP套餐、神州行套餐、校园套餐等,还可以按照终端购买途径划分终端等级,如普通终端、套餐终端等。
在再一示例中,终端的业务流信息可以包括业务流类型,则可以预先设置不同的业务流类型对应的安全等级。例如,业务流类型可以包括视频业务流、语音业务流、网页浏览业务流、即时通信业务流等,可以针对属于敏感业务的业务流类型设置较高的安全等级。示例性地,可以对视频业务流和语音业务流设置具有较高安全等级。可以在共享网络中心中注册一组服务器IP地址,如将某门户网站的IP地址注册为网页浏览业务流等,然后在终端触发某一业务流时,通过识别消息中的IP地址,判断终端当前发起的业务流类型。
在另一示例中,终端的计费信息可以包括终端的计费费率,则可以预先设置计费费率的高低与计费信息对应的安全等级的高低成反比,即较低的计费费率对应较高的安全等级。例如,不同的业务流类型可以对应不同的计费费率,如即时通信类业务流可以对应较高的安全等级、语音业务流可以对应较低的安全等级。
在又一示例中,运营商管控信息可以包括限制业务信息,或者,取消限制业务信息,则可以预先设置包括有限制业务信息的运营商管控信息对应的安全等级,比包括有取消限制业务信息的运营商管控信息对应的安全等级高。示例性的,运营商管控信息可以为在业务忙时,限制终端等级低于预设等级的终端接入某一通信区域,或者,在业务闲时,允许终端等级高于预设等级的终端接入某一通信区域。此处需要说明的是,运营商管控信息的变化,可以对应的是某一条运营商管控信息在某一预设时间段的起始时刻的管控信息启用,或者,在某一预设时间段的结束时刻的管控信息停用。
在本发明实施例中,在根据参考信息确定终端的安全认证策略之前,可以包括:获取参考信息。参考信息可以由第一实体获取,也可以由第二实体获取后发送给第一实体。例如,第一实体可以为AMF,第二实体可以为PCF或者核心网中的其他实体。
下面以参考信息由第一实体获取为例进行说明。示例性的,第一实体可以为PCF。则PCF获取参考信息,可以包括以下至少一种:
接收AMF发送的终端的位置信息;
接收UDM发送的终端的签约信息;
接收会话管理功能(Session Management function,SMF)发送的终端的业务流信息;
接收在线计费系统(Online Charge System,OCS)发送的终端的计费信息;
获取PCF存储的运营商管控信息。
在本发明实施例中,PCF可以在接收到上述任一种参考信息之后进行实时响应,确定终端的安全认证策略,或者,PCF可以在预设时间段内收集在该时间段内的参考信息,确定终端的安全认证策略。采用由PCF执行获取参考信息的这种方式,PCF能够在不需要改进现有流程的情况下获得用于确定安全认证策略的参考信息,之后就可以基于参考信息确定安全认证策略。
在本发明实施例中,若在网络侧配置由AMF执行对终端的安全认证,则在由第一实体根据参考信息确定终端的安全认证策略之后,还可以包括:向 AMF发送终端的安全认证策略,以指示AMF根据终端的安全认证策略对终端进行安全认证。示例性的,AMF可以按照安全认证策略配置的AKA频次对终端向UDM发送认证数据请求。
在本发明其他实施例中,网络侧还可以配置由AMF执行涉及获取参考信息、确定安全认证策略和对终端进行安全认证这三个过程的步骤,则本发明实施例提供的安全认证策略的确定方法,可以包括:在根据参考信息确定终端的安全认证策略之前,包括:AMF获取所述参考信息;之后,AMF根据参考信息确定终端的安全认证策略;然后,根据终端的安全认证策略,对终端进行安全认证。
在本发明实施例中,终端的安全认证策略可以是针对一个终端的安全认证策略,参考信息可以为终端的位置信息、签约信息、业务流信息、计费信息、运营商管控信息中至少一种。在本发明其他实施例中,终端的安全认证策略,也可以是针对一个通信区域内的一组终端设置的安全认证策略。例如,一个 AMF管理的一个位置区(Track Area,TA)可以称为一个通信区域,或者,几个TA也可以组成一个通信区域,即,终端的安全认证策略也可以是一个通信区域内一组终端的安全认证策略。相应地,参考信息可以为运营商管控信息。
本发明实施例提供的安全认证策略的确定方法,通过根据参考信息确定安全认证策略,该安全认证策略可用于对终端的安全认证的控制,使得可以根据与终端相关的参考信息来适配相应的安全认证策略。进一步地,由于可以根据参考信息对应的安全等级确定终端对应的安全等级,进而确定安全认证策略,使得可以在保证对终端的安全认证能够达到需要的安全性需求的情况下,选择对网络资源消耗较少的安全认证策略对终端进行安全认证,可见,本发明实施例提供的安全认证策略的确定方法可以降低网络资源的消耗水平。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体可以为第三实体,第三实体可以为不同于获取参考信息和确定安全认证策略的第一实体的实体,例如,第一实体可以为PCF或者核心网的其他实体,第三实体可以为AMF。图3为本发明实施例提供的安全认证策略的确定方法的流程示意图二。如图3所示,本发明实施例的方法可以包括:
S301、接收终端的安全认证策略,安全认证策略为根据参考信息确定的,参考信息为终端的业务状态信息、终端所属网络的服务状态信息中至少一种。
S302、根据终端的安全认证策略,对终端进行安全认证。
在本发明实施例中,不同的参考信息可以对应不同的安全认证策略。
在本发明实施例中,根据终端的安全认证策略,对终端进行安全认证,可以包括:根据终端的安全认证策略,向UDM发送认证数据请求。
举例来说,接收终端的安全认证策略,可以包括:接入和移动管理功能AMF 接收策略控制功能PCF发送的所述终端的安全认证策略。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例提供的安全认证策略的确定方法,通过接受终端的安全认证策略,该安全认证策略安全认证策略为根据参考信息确定的,参考信息包括终端的业务状态信息、终端所属网络的服务状态信息中至少一种,进而根据终端的安全认证策略,对终端进行安全认证,使得可以根据与终端相关的参考信息来适配相应的安全认证策略,从而在保证对终端的安全认证能够达到需要的安全性需求的情况下,降低网络资源的消耗水平。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体可以为第四实体,当获取参考信息的第一实体为AMF时,第四实体用于向AMF发送参考信息。图4为本发明实施例提供的安全认证策略的确定方法的流程示意图三。如图4所示,本发明实施例的方法可以包括:
S401、向AMF发送参考信息,以指示AMF根据参考信息确定终端的安全认证策略,并根据所确定的终端的安全认证策略对终端进行安全认证。
其中,参考信息为终端的业务状态信息、终端所属网络的服务状态信息中至少一种。
举例来说,向接入和移动管理功能AMF发送参考信息,可以包括以下方式中至少一种:
UDM向AMF发送终端的签约信息;
SMF向AMF发送终端的业务流信息;
OCS向AMF发送终端的计费信息;
PCF向AMF发送运营商管控信息。
在本发明实施例中,AMF可以在接收到上述任一种参考信息之后进行实时响应,确定终端的安全认证策略,或者,AMF可以在预设时间段内收集在该时间段内的参考信息,确定终端的安全认证策略。采用由AMF执行获取参考信息的这种方式,AMF能够在获得用于确定安全认证策略的参考信息,之后就可以基于参考信息确定安全认证策略,并自行控制安全认证策略的变更。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体包括PCF、AMF。图5为本发明实施例提供的安全认证策略的确定方法的交互流程示意图一。如图5所示,本发明实施例的方法可以包括:
S501、PCF获取参考信息。
其中,该步骤与图2实施例中的PCF获取参考信息的步骤的实施方式类似。
S502、PCF根据参考信息,确定终端的安全认证策略。
其中,该步骤与S201步骤类似。
S503、PCF向AMF发送终端的安全认证策略。
S504、AMF根据终端的安全认证策略对终端进行安全认证。
其中,该步骤与图2实施例和图3实施例中AMF对终端进行安全认证的相关步骤的实施方式类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。
本发明实施例提出一种决策安全认证策略的方法和系统。通过该方法,用户注册到网络时,网络侧根据用户位置、用户签约信息、用户计费信息、其它动态业务变更、运营商的本地策略变化,由PCF决策安全认证策略,并将该策略下发给AMF进行重认证。同时,该方法可以方便地适配用户位置、使用业务、签约信息变化、计费信息变化,以及运营商的策略变化而调整安全认证策略,是对标准协议的补充和完善。下面对根据各种参考信息确定安全认证策略进行详细说明。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体包括UE、PCF、AMF和UDM。图6为本发明实施例提供的安全认证策略的确定方法的交互流程示意图二。如图6所示,本发明实施例的方法可以包括:
S601、UE已在网络中注册。
其中,该步骤与S101类似。
S602、AMF向PCF发送UE位置信息。
其中,位置信息与图2所示实施例中的位置信息具有相同的含义。此处的位置信息可以是发生变更的位置信息。
S603、PCF根据位置信息,确定安全认证策略。
其中,若参考信息包括位置信息,各个位置信息对应的安全等级可以为预先设置的,PCF可以将当前获取的位置信息对应的安全等级,与先前获取的位置信息对应的安全等级进行比较,若当前获取的位置信息对应的安全等级大于先前获取的位置信息对应的安全等级,确定的当前获取的位置信息对应的安全认证策略的安全等级大于先前获取的位置信息对应的安全认证策略对应的安全等级。例如,可以增大先前的安全认证策略中AKA频次,或者,缩短先前的安全认证策略中的安全认证周期,将调整后的安全认证策略作为当前获取的位置信息对应的安全认证策略。
S604、PCF向AMF发送安全认证策略,携带IMSI、安全认证周期、安全认证频次等。
其中,在本发明其他实施例中,安全认证策略还可以携带安全认证级别等。
S605、AMF检查当前UE的安全认证策略,确定发起重认证请求。
其中,重认证请求是指在UE入网时向UDM发送用户认证请求之后,再次发送请求获取AV信息。举例来说,AMF可以在检查当前UE的安全认证策略发生变更后,根据安全认证频次的变更,确定需要立即向UDM重新发起认证数据请求。
S606、向UDM发送认证数据请求,携带IMSI、安全认证策略等。
其中,该步骤与S102类似。安全认证策略可以包括安全认证级别、安全认证频次等。
S607、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,该步骤与S103类似。
S608、AFM存储AV(1…n),选择一个AV[i]。
其中,AV[i]包括RAND[i]和AUTN[i]。该步骤与S104类似。
S609、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S610、UE根据AUTN[i]计算RES[i]。
S611、UE向AMF发送用户认证请求响应,携带RES[i]。
S612、UE计算CK[i]和IK[i]并存储。
S613、AMF比较RES[i]与XRES[i]。
S614、AMF选择CK[i]和IK[i]。
其中,步骤S609至S614与S105至S110类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体涉及UE、PCF、AMF和UDM。图7为本发明实施例提供的安全认证策略的确定方法的交互流程示意图三。如图7所示,本发明实施例的方法可以包括:
S701、UE已在网络中注册。
其中,该步骤与S101类似。
S702、UDM向PCF发送UE签约信息。
其中,签约信息与图2所示实施例中的签约信息具有相同的含义。此处的签约信息可以是全部签约信息也可以是发生变更的签约信息。
S703、PCF根据签约信息,确定安全认证策略。
其中,若参考信息包括签约信息,各个签约信息对应的安全等级可以为预先设置的,例如,签约信息可以包括终端等级,终端等级的高低与签约信息对应的安全等级的高低成正比。PCF可以将当前获取的签约信息对应的安全等级,与先前获取的签约信息对应的安全等级进行比较,若当前获取的签约信息对应的安全等级大于先前获取的签约信息对应的安全等级,确定的当前获取的签约信息对应的安全认证策略的安全等级大于先前获取的签约信息对应的安全认证策略对应的安全等级。例如,可以增大先前的安全认证策略中AKA频次,或者,缩短先前的安全认证策略中的安全认证周期,将调整后的安全认证策略作为当前获取的位置信息对应的安全认证策略。
S704、PCF向AMF发送安全认证策略,携带IMSI、安全认证周期、安全认证频次等。
其中,在本发明其他实施例中,安全认证策略还可以携带安全认证级别等。
S705、AMF检查当前UE的安全认证策略,确定发起重认证请求。
其中,重认证请求是指在UE入网时向UDM发送用户认证请求之后,再次发送请求获取AV信息。举例来说,AMF可以在检查当前UE的安全认证策略发生变更后,根据安全认证频次的变更,确定需要立即向UDM重新发起认证数据请求。
S706、向UDM发送认证数据请求,携带IMSI、安全认证策略等。
其中,该步骤与S102类似。安全认证策略可以包括安全认证级别、安全认证频次等。
S707、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,该步骤与S103类似。
S708、AFM存储AV(1…n),选择一个AV[i]。
其中,AV[i]包括RAND[i]和AUTN[i]。该步骤与S104类似。
S709、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S710、UE根据AUTN[i]计算RES[i]。
S711、UE向AMF发送用户认证请求响应,携带RES[i]。
S712、UE计算CK[i]和IK[i]并存储。
S713、AMF比较RES[i]与XRES[i]。
S714、AMF选择CK[i]和IK[i]。
其中,步骤S709至S714与S105至S110类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体涉及UE、PCF、AMF、UDM和SMF。图8为本发明实施例提供的安全认证策略的确定方法的交互流程示意图四。如图8所示,本发明实施例的方法可以包括:
S801、UE已在网络中注册。
其中,该步骤与S101类似。
S802、SMF向PCF发送UE业务流信息。
其中,UE已注册,SMF发起PDU会话建立,PCF探测到敏感业务发生或变更。业务流信息与图2所示实施例中的业务流信息具有相同的含义。业务流信息例如可以是SMF发现UE发起敏感业务或者业务流发生变更。业务流变更,例如可以是UE调整了带宽、限速等。
S803、PCF根据业务流信息,确定安全认证策略。
其中,若参考信息包括业务流信息,业务流信息包括业务流类型,各个终端业务流类型对应的安全等级为预先设置的;各个业务流类型对应的安全等级可以为预先设置的。PCF可以将当前获取的业务流类型对应的安全等级,与先前获取的业务流类型对应的安全等级进行比较,若当前获取的业务流类型对应的安全等级大于先前获取的业务流类型对应的安全等级,确定的当前获取的业务流类型的安全认证策略的安全等级大于先前获取的业务流类型对应的安全认证策略对应的安全等级。例如,可以增大先前的安全认证策略中AKA频次,或者,缩短先前的安全认证策略中的安全认证周期,将调整后的安全认证策略作为当前获取的位置信息对应的安全认证策略。
S804、PCF向AMF发送安全认证策略,携带IMSI、安全认证周期、安全认证频次等。
其中,在本发明其他实施例中,安全认证策略还可以携带安全认证级别等。
S805、AMF检查当前UE的安全认证策略,确定发起重认证请求。
其中,重认证请求是指在UE入网时向UDM发送用户认证请求之后,再次发送请求获取AV信息。举例来说,AMF可以在检查当前UE的安全认证策略发生变更后,根据安全认证频次的变更,确定需要立即向UDM重新发起认证数据请求。
S806、向UDM发送认证数据请求,携带IMSI、安全认证策略等。
其中,该步骤与S102类似。安全认证策略可以包括安全认证级别、安全认证频次等。
S807、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,该步骤与S103类似。
S808、AFM存储AV(1…n),选择一个AV[i]。
其中,AV[i]包括RAND[i]和AUTN[i]。该步骤与S104类似。
S809、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S810、UE根据AUTN[i]计算RES[i]。
S811、UE向AMF发送用户认证请求响应,携带RES[i]。
S812、UE计算CK[i]和IK[i]并存储。
S813、AMF比较RES[i]与XRES[i]。
S814、AMF选择CK[i]和IK[i]。
其中,步骤S809至S814与S105至S110类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体涉及UE、PCF、AMF、UDM和OCS。图9为本发明实施例提供的安全认证策略的确定方法的交互流程示意图四。如图9所示,本发明实施例的方法可以包括:
S901、UE已在网络中注册。
其中,该步骤与S101类似。
S902、OCS向PCF发送UE计费信息。
其中,OCS探测到用户计费信息变化通知PCF,PCF探测到用户消费额度和等级等信息发生变化。计费信息与图2所示实施例中的计费信息具有相同的含义。
S903、PCF根据业务流信息,确定安全认证策略。
其中,若参考信息包括计费信息,计费信息包括UE计费费率,计费费率的高低与计费信息对应的安全等级的高低可以设置成反比。PCF可以将当前获取的计费费率对应的安全等级,与先前获取的计费费率对应的安全等级进行比较,若当前获取的计费费率对应的安全等级大于先前获取的计费费率对应的安全等级,确定的当前获取的计费费率的安全认证策略的安全等级大于先前获取的计费费率对应的安全认证策略对应的安全等级。例如,可以增大先前的安全认证策略中AKA频次,或者,缩短先前的安全认证策略中的安全认证周期,将调整后的安全认证策略作为当前获取的位置信息对应的安全认证策略。
S904、PCF向AMF发送安全认证策略,携带IMSI、安全认证周期、安全认证频次等。
其中,在本发明其他实施例中,安全认证策略还可以携带安全认证级别等。
S905、AMF检查当前UE的安全认证策略,确定发起重认证请求。
其中,重认证请求是指在UE入网时向UDM发送用户认证请求之后,再次发送请求获取AV信息。举例来说,AMF可以在检查当前UE的安全认证策略发生变更后,根据安全认证频次的变更,确定需要立即向UDM重新发起认证数据请求。
S906、向UDM发送认证数据请求,携带IMSI、安全认证策略等。
其中,该步骤与S102类似。安全认证策略可以包括安全认证级别、安全认证频次等。
S907、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,该步骤与S103类似。
S908、AFM存储AV(1…n),选择一个AV[i]。
其中,AV[i]包括RAND[i]和AUTN[i]。该步骤与S104类似。
S909、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S910、UE根据AUTN[i]计算RES[i]。
S911、UE向AMF发送用户认证请求响应,携带RES[i]。
S912、UE计算CK[i]和IK[i]并存储。
S913、AMF比较RES[i]与XRES[i]。
S914、AMF选择CK[i]和IK[i]。
其中,步骤S909至S914与S105至S110类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例还提供一种安全认证策略的确定方法,本发明实施例的执行主体涉及UE、PCF、AMF、UDM。图10为本发明实施例提供的安全认证策略的确定方法的交互流程示意图五。如图10所示,本发明实施例的方法可以包括:
S1001、UE已在网络中注册。
其中,该步骤与S101类似。
S1002、PCF检测到运营商管控信息发生变更。
其中,运营商管控信息与图2所示实施例中的运营商管控信息具有相同的含义。
S1003、PCF根据业务流信息,确定安全认证策略。
其中,若所述参考信息为运营商管控信息,其中,运营商管控信息包括限制业务信息,或者,取消限制业务信息,例如,在预设时间段内限制终端发起预设业务流类型的业务的信息,或者,在预设时间段内不限制终端发起预设业务流类型的业务的信息。则可以设置包括有限制业务信息的运营商管控信息对应的安全等级,比包括有取消限制业务信息的运营商管控信息对应的安全等级高。PCF可以将当前获取的运营商管控信息对应的安全等级,与先前获取的运营商管控信息对应的安全等级进行比较,若当前获取的运营商管控信息对应的安全等级大于先前获取的运营商管控信息对应的安全等级,确定的当前获取的运营商管控信息的安全认证策略的安全等级大于先前获取的运营商管控信息对应的安全认证策略对应的安全等级。例如,可以增大先前的安全认证策略中AKA频次,或者,缩短先前的安全认证策略中的安全认证周期,将调整后的安全认证策略作为当前获取的位置信息对应的安全认证策略。
S1004、PCF向AMF发送安全认证策略,携带IMSI、安全认证周期、安全认证频次等。
其中,在本发明其他实施例中,安全认证策略还可以携带安全认证级别等。
S1005、AMF检查当前UE的安全认证策略,确定发起重认证请求。
其中,重认证请求是指在UE入网时向UDM发送用户认证请求之后,再次发送请求获取AV信息。举例来说,AMF可以在检查当前UE的安全认证策略发生变更后,根据安全认证频次的变更,确定需要立即向UDM重新发起认证数据请求。
S1006、向UDM发送认证数据请求,携带IMSI、安全认证策略等。
其中,该步骤与S102类似。安全认证策略可以包括安全认证级别、安全认证频次等。
S1007、UDM向AMF发送认证数据应答,携带AV(1…n)。
其中,该步骤与S103类似。
S1008、AFM存储AV(1…n),选择一个AV[i]。
其中,AV[i]包括RAND[i]和AUTN[i]。该步骤与S104类似。
S1009、AFM向UE发送用户认证请求,携带RAND[i]和AUTN[i]。
S1010、UE根据AUTN[i]计算RES[i]。
S1011、UE向AMF发送用户认证请求响应,携带RES[i]。
S1012、UE计算CK[i]和IK[i]并存储。
S1013、AMF比较RES[i]与XRES[i]。
S1014、AMF选择CK[i]和IK[i]。
其中,步骤S1009至S1014与S105至S110类似。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例提供的安全认证策略确定方法,解决了如下技术问题:针对 5G标准协议中未具体定义5G网络中如何根据用户位置、用户签约信息、用户计费信息、业务变更信息,动态确定、调整用户的安全认证策略问题,本文提出了一种决策安全认证策略的方法和系统。通过该方法,用户注册到网络时,网络侧根据用户位置、用户签约信息、用户计费信息、其它动态业务变更、运营商的本地策略变化,由PCF决策安全认证策略,并将该策略下发给AMF进行重认证。同时,该方法可以方便地适配用户位置、使用业务、签约信息变化,以及运营商的策略变化而调整安全认证策略,从而为用户提供更可靠的安全保证。
本发明实施例提供的安全认证策略可以由PCF决策安全认证的策略。在用户注册过程中,AMF收到UE的注册请求消息后,向PCF发送获取接入和移动管理策略请求消息,携带UE目前的接入位置信息等确定安全认证策略需要的信息,PCF根据用户号码、目前接入位置、签约套餐、目前使用业务、计费等级等信息,初步决策网络为UE提供的安全认证策略。进一步地,当用户接入位置变更、用户签约变更、计费信息变更、PCF识别出业务使用变化、运营商的本地策略发生变化,PCF识别出受影响的用户,通知AMF更新该用户的安全认证策略。进一步地,用户的安全认证策略,包括安全认证级别、安全认证周期、安全认证频次、安全认证算法等信息。进一步地,用户接入位置,可为 UE目前接入的TA(Tracking Area,跟踪区)、无线基站标识,或其组合。进一步地,PCF在SMF发起建立PDU会话时,识别出业务使用变化,调整相关用户的安全认证策略。进一步地,PCF在OCS通知用户计费信息变更时,识别出用户消费额度、消费等级等相关信息,调整相应用户的安全认证策略。进一步地,PCF为了决策用户的安全认证策略,可能会从UDM中获取用户的部分签约变更数据作为依据。
本发明实施例提供的安全认证策略可以产生如下有益效果,采用本发明所述方法,解决了如何根据用户位置、用户签约信息、用户计费信息、业务信息,动态确定、调整用户安全认证策略的问题。通过本发明的方法,使得可PCF根据用户位置、用户签约信息、其它动态业务变更、运营商的本地策略变化,决策安全认证策略,并将该策略下发给AMF进行重认证。同时,该方法可以方便地适配用户位置、使用业务、用户签约变化,以及运营商的策略变化而调整安全认证策略,从而为用户提供更可靠的安全保证。
本发明实施例还提供一种安全认证策略确定设备1100。图11为本发明实施例提供的安全认证策略确定设备的结构示意图。如图11所示,该设备包括处理器1101和用于存储能够在处理器上运行的计算机程序的存储器1102。其中,处理器1101用于运行所述计算机程序时,执行图2所示安全认证策略确定方法的步骤,或者,图3所示安全认证策略确定方法的步骤,或者,图4所示安全认证策略确定方法的步骤。
在本发明实施例中,安全认证策略确定设备1100还可以包括接口1103和总线1104等,其中,接口1103可以用于接收或者发送消息,总线1104用于处理器1101、存储器1102和接口1103之间数据交互。
在本发明实施例中,安全认证策略确定设备可以是5G通信网络中的通信实体。图12为5G通信网络的架构示意图,如图12所示,本发明实施例中提及的通信实体可以采用下述5G网络架构中的各网元实现。其中,5G网络架构中各网元的功能如下。
终端(UE,User Equipment),主要通过无线空口接入5G网络并获得服务,终端通过空口和基站交互信息,通过非接入层信令(NAS,Non-Access Stratum) 和核心网的接入和移动管理功能(AMF,Access and Mobility Management function)交互信息。
无线接入网(RAN,Radio Access Network),负责终端接入网络的空口资源调度和以及空口的连接管理。
接入和移动管理功能(AMF,Access and Mobility Management function):核心网控制面实体,主要负责用户移动性管理,包括注册和临时标识分配;维护空闲(IDLE)和连接(CONNECT)状态以及状态迁移;在CONNECT状态下的切换;用户IDLE状态下触发寻呼等功能。
鉴权服务器功能(AUSF,Authentication Server Function):核心网控制面实体,主要负责对用户的鉴权、授权,以保证用户是合法用户。
统一数据管理功能(UDM,Unified Data Management):核心网控制面实体,归属用户服务器,永久存储用户签约数据。
会话管理功能(SMF,Session Management function):核心网控制面实体,主要负责维护PDU Session,负责分配用户IP地址,具有服务质量(QoS,Quality of Service)控制和计费功能;用户IDLE状态下收到下行数据包进行缓存并通知AMF寻呼用户等功能。
用户面功能(UPF,User plane function):核心网用户面功能实体,负责用户数据报文的转发,也对用户数据报文进行统计用于计费等功能。
策略控制功能(PCF,Policy Control Functionality):核心网控制面实体,负责策略和计费规则功能实体,该功能实体主要根据业务信息和用户签约信息以及运营商的配置信息产生控制用户数据传递的Qos(Quality of Service,服务质量) 规则、计费规则以及移动和接入控制规则。
能力开放功能(NEF,Network Exposure Function):核心网控制面实体,负责移动网络能力的对外开放。
网络功能库功能(NRF,NF Repository Function):核心网控制面实体,负责网络功能的服务能力的动态注册以及网络功能发现。
网络切片选择功能(NSSF,Network Slice Selection Function):核心网控制面实体,负责目标NSI(Network Slice Instance)的选择。
在线计费中心:核心网实体,负责提供用户计费信息。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有安全认证策略确定程序,所述安全认证策略确定程序被处理器执行时实现图2所示安全认证策略确定方法的步骤,或者,图3所示安全认证策略确定方法的步骤,或者,图4所示安全认证策略确定方法的步骤。
需要说明的是,本实施例中与其它实施例中相同步骤或者概念的解释,可以参照其它实施例中的描述,此处不再赘述。本发明实施例的其他技术效果可参考其他实施例中的描述,此处不再赘述。
在实际应用中,上述实施例中涉及的接收单元、获取单元、处理单元和发送单元均可由位于无线数据发送设备中的中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)或现场可编程门阵列(Field Programmable Gate Array,FPGA) 等实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的可选的实施例而已,并非用于限定本发明的保护范围。
Claims (11)
1.一种安全认证策略确定方法,其特征在于,所述方法包括:
根据参考信息确定终端的安全认证策略,所述终端的安全认证策略用于对所述终端进行安全认证;
其中,所述参考信息包括所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。
2.根据权利要求1所述的方法,其特征在于,所述终端的业务状态信息包括位置信息、签约信息、业务流信息、计费信息中至少一种,所述终端所属网络的服务状态信息包括运营商管控信息;
在所述根据参考信息确定终端的安全认证策略之前,包括:获取所述参考信息;其中,所述获取所述参考信息,包括以下方式中至少一种:
接收接入和移动管理功能AMF发送的所述终端的位置信息;
接收统一数据管理功能UDM发送的所述终端的签约信息;
接收会话管理功能SMF发送的所述终端的业务流信息;
接收在线计费系统OCS发送的所述终端的计费信息;
获取策略控制功能PCF存储的运营商管控信息。
3.根据权利要求1所述的方法,其特征在于,所述根据参考信息确定终端的安全认证策略,包括:
获取所述参考信息对应的安全等级;
将所述参考信息对应的安全等级,确定为所述终端的安全认证策略的安全等级;
根据所述安全认证策略的安全等级,确定所述终端的安全认证策略。
4.根据权利要求3所述的方法,其特征在于,所述终端的安全认证策略包括安全认证周期、安全认证频次、安全认证算法中至少一种;其中,所述安全认证频次为认证和秘钥协商AKA的频次;
其中,安全认证级别的高低、安全认证周期的长短与安全认证策略的安全等级的高低成反比,安全认证频次的高低、安全认证算法的算法安全性的高低与安全认证策略的安全等级成正比。
5.根据权利要求4所述的方法,其特征在于,所述根据所述参考信息对所述终端正在使用的安全认证策略进行调整,包括:
调整安全认证周期、安全认证频次、安全认证算法中至少一个参数,以使得调整后的安全认证策略对应的安全等级与所述参考信息对应的安全等级一致。
6.根据权利要求1-5任一所述的方法,其特征在于,在所述根据参考信息确定终端的安全认证策略之前,包括:PCF获取所述参考信息;
所述根据参考信息确定终端的安全认证策略,包括:所述PCF根据所述参考信息确定所述终端的安全认证策略;
在所述根据参考信息确定终端的安全认证策略之后,包括:所述PCF向AMF发送所述终端的安全认证策略,以指示所述AMF根据所述终端的安全认证策略对所述终端进行安全认证。
7.根据权利要求1-5任一所述的方法,其特征在于,在所述根据参考信息确定终端的安全认证策略之前,包括:AMF获取所述参考信息;
所述根据参考信息确定终端的安全认证策略,包括:所述AMF根据所述参考信息确定所述终端的安全认证策略;
在所述根据参考信息确定终端的安全认证策略之后,包括:所述AMF根据所述终端的安全认证策略,对所述终端进行安全认证。
8.一种安全认证策略确定方法,其特征在于,所述方法包括:
接收终端的安全认证策略,所述安全认证策略为根据参考信息确定的,所述参考信息包括所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种;
根据所述终端的安全认证策略,对所述终端进行安全认证。
9.根据权利要求8所述的方法,其特征在于,所述接收终端设备的安全认证策略,包括:
接入和移动管理功能AMF接收策略控制功能PCF发送的所述终端设备的安全认证策略。
10.一种设备,其特征在于,所述设备包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至7所述安全认证策略确定方法的步骤,或者,权利要求8至9所述安全认证策略确定方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有安全认证策略确定程序,所述安全认证策略确定程序被处理器执行时实现如权利要求1~6中任一项所述的安全认证策略确定方法的步骤,或,如权利要求8~9中任一项所述的安全认证策略确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810204942.XA CN110278556B (zh) | 2018-03-13 | 2018-03-13 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810204942.XA CN110278556B (zh) | 2018-03-13 | 2018-03-13 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110278556A true CN110278556A (zh) | 2019-09-24 |
| CN110278556B CN110278556B (zh) | 2021-11-12 |
Family
ID=67957483
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810204942.XA Active CN110278556B (zh) | 2018-03-13 | 2018-03-13 | 一种安全认证策略确定方法、设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110278556B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855709A (zh) * | 2019-11-26 | 2020-02-28 | 中国建设银行股份有限公司 | 安全接入网关的准入控制方法、装置、设备和介质 |
| CN111200812A (zh) * | 2020-01-07 | 2020-05-26 | 广州爱浦路网络技术有限公司 | 一种加速5G核心网中NFs互相发现的方法 |
| CN111355721A (zh) * | 2020-02-25 | 2020-06-30 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及系统和存储介质 |
| CN111814132A (zh) * | 2020-09-14 | 2020-10-23 | 浙江地芯引力科技有限公司 | 安全认证方法及装置、安全认证芯片、存储介质 |
| WO2021083026A1 (zh) * | 2019-10-31 | 2021-05-06 | 大唐移动通信设备有限公司 | 信息处理方法、装置、设备及计算机可读存储介质 |
| CN114286339A (zh) * | 2021-12-21 | 2022-04-05 | 中国电信股份有限公司 | 安全策略的确定方法及系统 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN102984700A (zh) * | 2011-09-05 | 2013-03-20 | 中兴通讯股份有限公司 | 一种安全信息存储设备、认证方法及系统 |
| CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
-
2018
- 2018-03-13 CN CN201810204942.XA patent/CN110278556B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN102984700A (zh) * | 2011-09-05 | 2013-03-20 | 中兴通讯股份有限公司 | 一种安全信息存储设备、认证方法及系统 |
| CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| ORANGE: "Living Document: Security of PLMN/RAT selection policies for roaming", 《3GPP TSG SA WG3 (SECURITY) MEETING #90 S3-180371》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021083026A1 (zh) * | 2019-10-31 | 2021-05-06 | 大唐移动通信设备有限公司 | 信息处理方法、装置、设备及计算机可读存储介质 |
| CN110855709A (zh) * | 2019-11-26 | 2020-02-28 | 中国建设银行股份有限公司 | 安全接入网关的准入控制方法、装置、设备和介质 |
| CN111200812A (zh) * | 2020-01-07 | 2020-05-26 | 广州爱浦路网络技术有限公司 | 一种加速5G核心网中NFs互相发现的方法 |
| CN111200812B (zh) * | 2020-01-07 | 2021-07-20 | 广州爱浦路网络技术有限公司 | 一种加速5G核心网中NFs互相发现的方法 |
| CN111355721A (zh) * | 2020-02-25 | 2020-06-30 | 深信服科技股份有限公司 | 一种访问控制方法、装置、设备及系统和存储介质 |
| CN111814132A (zh) * | 2020-09-14 | 2020-10-23 | 浙江地芯引力科技有限公司 | 安全认证方法及装置、安全认证芯片、存储介质 |
| CN111814132B (zh) * | 2020-09-14 | 2021-08-03 | 浙江地芯引力科技有限公司 | 安全认证方法及装置、安全认证芯片、存储介质 |
| CN114286339A (zh) * | 2021-12-21 | 2022-04-05 | 中国电信股份有限公司 | 安全策略的确定方法及系统 |
| CN114780168A (zh) * | 2022-03-30 | 2022-07-22 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
| CN114780168B (zh) * | 2022-03-30 | 2023-04-28 | 全球能源互联网研究院有限公司南京分公司 | 智能终端容器安全策略动态变更的方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110278556B (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110278556A (zh) | 一种安全认证策略确定方法、设备和计算机可读存储介质 | |
| US11296877B2 (en) | Discovery method and apparatus based on service-based architecture | |
| JP6668407B2 (ja) | 移動通信システムに用いられる端末認証方法及び装置 | |
| EP2790370B1 (en) | Authentication method and system oriented to heterogeneous network | |
| US20210034779A1 (en) | User-controlled access to data in a communication network | |
| Fan et al. | Cross-network-slice authentication scheme for the 5 th generation mobile communication system | |
| US20120096529A1 (en) | Method and Device for Managing Authentication of a User | |
| CN108028829A (zh) | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 | |
| TW200910826A (en) | A method and apparatus for new key derivation upon handoff in wireless networks | |
| CN109428874A (zh) | 基于服务化架构的注册方法及装置 | |
| TW200924418A (en) | Ad hoc service provider's ability to provide service for a wireless network | |
| TW200917871A (en) | Handoff in ad-hoc mobile broadband networks | |
| CN107205208B (zh) | 鉴权的方法、终端和服务器 | |
| EP3956792B1 (en) | Cryptographic key generation for mobile communications device | |
| WO2007097101A1 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| CN109413194A (zh) | 用于移动通信系统的用户信息云端协同处理及转移方法 | |
| Ohba et al. | Extensible authentication protocol (EAP) early authentication problem statement | |
| Hwang et al. | Provably secure mutual authentication and key exchange scheme for expeditious mobile communication through synchronously one-time secrets | |
| US7551914B2 (en) | Authentication in a communication network | |
| CN109391937A (zh) | 公钥的获取方法、设备及系统 | |
| CN111741468A (zh) | 基于mec的amf及其身份认证方法、构建方法和装置 | |
| Al-Saraireh et al. | A new authentication protocol for UMTS mobile networks | |
| CN103781026B (zh) | 通用认证机制的认证方法 | |
| TWI685267B (zh) | 一種接入控制的方法及設備 | |
| CN104053139B (zh) | 一种动态策略计费控制pcc信息的处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |