CN110351721A - 接入网络切片的方法及装置、存储介质、电子装置 - Google Patents
接入网络切片的方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110351721A CN110351721A CN201810306582.4A CN201810306582A CN110351721A CN 110351721 A CN110351721 A CN 110351721A CN 201810306582 A CN201810306582 A CN 201810306582A CN 110351721 A CN110351721 A CN 110351721A
- Authority
- CN
- China
- Prior art keywords
- imsis
- network
- user equipment
- mentioned
- network slice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/16—Central resource management; Negotiation of resources or communication parameters, e.g. negotiating bandwidth or QoS [Quality of Service]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种接入网络切片的方法及装置、存储介质、电子装置,该方法包括:确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,第一IMSIs为临时配置的信息;向网络侧设备发送第一IMSIs,以指示网络侧设备将第一IMSIs发送给认证服务功能实体AUSF,使得AUSF基于第一IMSIs生成第一认证向量;其中,第一认证向量用于指示网络切片的安全管理实体SEAF通过第一认证向量与用户设备进行用于网络切片的认证。因此,可以解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题,达到保护网络切片的标识信息,以及用户隐私的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种接入网络切片的方法及装置、存储介质、电子装置。
背景技术
5G网络架构将引入新的IT技术,如网络功能虚拟化(Network FunctionVirtualization,简称为NFV)。在3G或4G网络中,功能网元的保护很大程度上依赖于对物理设备的安全隔离。而5G网络中,由于NFV技术的部署,使得部分功能网元以虚拟功能网元的形式部署在云化的基础设施上。基于网络业务需求构建的虚拟核心网称为网络切片,一个网络切片构成一个虚拟核心网,为一组特定用户设备UE提供移动网络接入服务。现有的3G/4G移动通信系统中,由于不存在网络切片,通过认证与密钥协商(Authentication and KeyAgreement,简称为AKA)AKA认证,UE接入网络后直接使用核心网提供的业务。而在5G系统中,由于引入了网络切片的概念,使得UE附着网络后,需要进一步接入网络切片。在接入网络切片时,UE在接入网络切片时,直接以明文的方式发送网络切片的标识信息,攻击者有可能收集接入网络切片的UE信息,并基于收集到的接入某一网络切片的一组UE信息对这组UE进行拒绝服务攻击。因此,现有技术中存在着UE在接入网络切片时,网络切片的标识信息容易泄露的问题。
针对上述技术问题,相关技术中尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种接入网络切片的方法及装置、存储介质、电子装置,以至少解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题。
根据本发明的一个实施例,提供了一种接入网络切片的方法,包括:确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;向网络侧设备发送所述第一IMSIs,以指示所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF,使得所述AUSF基于所述第一IMSIs生成第一认证向量;其中,所述第一认证向量用于指示所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;在对所述网络切片的认证通过后,接入所述网络切片。
可选地,在所述SEAF通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:使用所述第一IMSIs与所述SEAF进行协商,以确定第二IMSIs;将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs。
可选地,将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs包括:将所述用户设备上保存的第一对应关系更新为第二对应关系,其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系,所述第二对应关系为所述用户设备的用户签约身份信息IMSI、所述第二IMSIs、所述网络切片的标识信息之间的对应关系。
可选地,确定所述第一IMSIs包括以下之一:接收所述网络切片基于所述网络切片的标识信息配置的所述第一IMSIs;根据所述用户设备上保存的第一对应关系确定与所述网络切片发送的所述网络切片的标识信息对应的所述第一IMSIs,其中,所述第一对应关系为所述用户设备的用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系。
可选地,在将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs之后,所述方法还包括:将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,使用所述第一IMSIs与所述SEAF进行协商,以生成第三IMSIs;将所述用户设备上当前使用的所述第一IMSIs更新为所述第三IMSIs。
可选地,在确定所述第二IMSIs之后,所述方法还包括:在确定出所述用户设备与所述SEAF需要重新进行用于所述网络切片的认证的情况下,将所述第二IMSIs发送给所述网络侧设备;以指示所述网络侧设备将所述第二IMSIs发送给所述AUSF,使得所述AUSF基于所述第二IMSIs生成第二认证向量;其中,所述第二认证向量用于指示所述SEAF通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
可选地,向所述网络侧设备发送所述第一IMSIs包括:向所述网络侧设备发送携带所述第一IMSIs的网络附着请求信息,其中,所述网络附着请求信息用于请求接入所述网络侧设备。
可选地,所述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
可选地,包括:用户设备确定所述用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;所述用户设备向网络侧设备发送所述第一IMSIs;所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;所述AUSF基于所述第一IMSIs生成第一认证向量;所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
根据本发明的又一个实施例,还提供了一种用于网络切片认证的方法,包括:接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;基于所述第一IMSIs生成第一认证向量;将所述第一认证向量发送给网络切片的安全管理实体SEAF,以指示所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
可选地,基于所述第一IMSIs生成所述第一认证向量包括:在认证服务功能实体AUSF上保存的第一对应关系中查找到与所述第一IMSIs对应的用户签约身份信息IMSI;基于所述IMSI生成与所述第一IMSIs对应的所述第一认证向量;其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系。
可选地,在所述SEAF通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:接收所述SEAF发送的第二IMSIs,其中,所述第二IMSIs是所述用户设备与所述SEAF通过协商确定的;将认证服务功能实体AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs。
可选地,将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs包括:将所述AUSF上保存的第一对应关系更新为第二对应关系,其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系,所述第二对应关系为所述用户签约身份信息IMSI、所述第二IMSIs、所述网络切片的标识信息之间的对应关系。
可选地,在将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs之后,所述方法还包括:将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,接收所述SEAF发送的第三IMSIs,其中,所述第三IMSIs是所述用户设备与所述SEAF通过协商确定的;将所述AUSF上当前使用的所述第一IMSIs更新为所述第三IMSIs。
可选地,在确定所述第二IMSIs之后,所述方法还包括:在确定出所述用户设备与所述SEAF需要重新进行用于所述网络切片的认证的情况下,接收所述网络侧设备发送的所述第二IMSIs,其中,所述第二IMSIs为临时配置的信息;基于所述第二IMSIs生成第二认证向量;将所述第二认证向量发送给所述SEAF,以指示所述SEAF通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
可选地,接收所述网络侧设备发送的所述第一IMSIs包括:接收所述网络侧发送的携带所述第一IMSIs的网络附着请求信息,其中,所述网络附着请求信息用于请求接入所述网络侧设备。
可选地,所述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
可选地,包括:认证服务功能实体AUSF接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;所述AUSF基于所述第一IMSIs生成第一认证向量;所述AUSF将所述第一认证向量发送给网络切片的安全管理实体SEAF;所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
根据本发明的又一个实施例,还提供了一种接入网络切片的方法,包括:确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;将所述第一IMSIs配置给所述用户设备,以指示所述用户设备将所述第一IMSIs发送给网络侧设备,使得所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;接收所述AUSF基于所述第一IMSIs生成的第一认证向量;通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
可选地,确定所述IMSIs包括:基于所述网络切片的标识信息配置所述第一IMSIs。
可选地,在通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:使用所述第一IMSIs与所述用户设备进行协商,以确定第二IMSIs;将所述第二IMSIs发送给所述AUSF,以指示所述AUSF将所述AUSF当前使用的所述第一IMSIs更新为所述第二IMSIs。
可选地,在将所述第二IMSIs发送给所述AUSF之后,所述方法还包括:在确定所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,使用所述第一IMSIs与所述用户设备进行协商,以生成第三IMSIs;将所述第三IMSIs发送给所述AUSF,以指示所述AUSF将所述AUSF当前使用的所述第一IMSIs更新为所述第三IMSIs。
可选地,在确定所述第二IMSIs之后,所述方法还包括:在确定出所述用户设备与所述SEAF需要重新进行用于所述网络切片的认证的情况下,将所述第二IMSIs配置给所述用户设备,以指示所述用户设备将所述第二IMSIs发送给所述网络侧设备,使得所述网络侧设备将所述第二IMSIs发送给认证服务功能实体AUSF;接收所述AUSF基于所述第二IMSIs生成的第二认证向量;通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
可选地,所述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
可选地,包括:安全管理实体SEAF确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;所述SEAF将所述第一IMSIs配置给所述用户设备;所述用户设备将所述第一IMSIs发送给网络侧设备;所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;所述SEAF接收所述AUSF基于所述第一IMSIs生成的第一认证向量;所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
根据本发明的又一个实施例,还提供了一种用于网络切片的认证装置,包括:第一确定模块,用于确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;第一发送模块,用于向网络侧设备发送所述第一IMSIs,以指示所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF,使得所述AUSF基于所述第一IMSIs生成第一认证向量;其中,所述第一认证向量用于指示所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;第一接入模块,用于在对所述网络切片的认证通过后,接入所述网络切片。
根据本发明的又一个实施例,还提供了一种用于网络切片认证的装置,包括:第一接收模块,用于接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;第一生成模块,用于基于所述第一IMSIs生成第一认证向量;第二发送模块,用于将所述第一认证向量发送给网络切片的安全管理实体SEAF,以指示所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;第一处理模块,用于在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
根据本发明的又一个实施例,还提供了一种接入网络切片的方法,包括:第二确定模块,用于确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;配置模块,用于将所述第一IMSIs配置给所述用户设备,以指示所述用户设备将所述第一IMSIs发送给网络侧设备,使得所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;第二接收模块,用于接收所述AUSF基于所述第一IMSIs生成的第一认证向量;认证模块,用于通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;第二处理模块,用于在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于用户设备需要在确定用户设备上当前使用的第一IMSIs,其中,第一IMSIs为临时配置的信息;用户设备向网络侧设备发送第一IMSIs,网络侧设备将第一IMSIs发送给认证服务功能实体AUSF,使得AUSF基于第一IMSIs生成第一认证向量;其中,第一认证向量用于指示网络切片的SEAF通过第一认证向量与用户设备进行用于网络切片的认证。并不需要对网络切片的标识信息进行明文传输来实现用户设备的网络切片的认证,而是通过临时配置的信息IMSIs实现用户设备的网络切片的认证,在每次认证过程中IMSIs都是不同的。因此,可以解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题,达到保护网络切片的标识信息,以及用户隐私的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种接入网络切片的方法的移动终端的硬件结构框图;
图2是根据本发明实施例的接入网络切片的方法的流程图(一);
图3是根据本发明实施例的接入网络切片的方法的流程图(二);
图4是根据本发明实施例的接入网络切片的方法的流程图(三);
图5是根据本发明实施例的接入网络切片的装置的结构框图(一);
图6是根据本发明实施例的接入网络切片的装置的结构框图(二);
图7是根据本发明实施例的接入网络切片的装置的结构框图(三)。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种接入网络切片的方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的接入网络切片的方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种接入网络切片的方法,图2是根据本发明实施例的接入网络切片的方法的流程图(一),如图2所示,该流程包括如下步骤:
步骤S202,确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;
步骤S204,向网络侧设备发送上述第一IMSIs,以指示上述网络侧设备将第一IMSIs发送给认证服务功能实体AUSF,使得上述AUSF基于上述第一IMSIs生成第一认证向量;其中,上述第一认证向量用于指示上述网络切片的安全管理实体SEAF通过第一认证向量与上述用户设备进行用于上述网络切片的认证;
步骤S206,在对上述网络切片的认证通过后,接入上述网络切片。
通过上述步骤,由于用户设备需要在确定用户设备上当前使用的第一IMSIs,其中,第一IMSIs为临时配置的信息;用户设备向网络侧设备发送第一IMSIs,网络侧设备将第一IMSIs发送给认证服务功能实体AUSF,使得AUSF基于第一IMSIs生成第一认证向量;其中,第一认证向量用于指示网络切片的SEAF通过第一认证向量与用户设备进行用于网络切片的认证。并不需要对网络切片的标识信息进行明文传输来实现用户设备的网络切片的认证,而是通过临时配置的信息IMSIs实现用户设备的网络切片的认证,在每次认证过程中IMSIs都是不同的。因此,可以解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题,达到保护网络切片的标识信息,以及用户隐私的效果。
可选地,上述步骤的执行主体可以为用户设备等,但不限于此。
在一个可选的实施例中,在上述SEAF通过上述第一认证向量与上述用户设备成功进行用于上述网络切片的认证之后,上述方法还包括:使用上述第一IMSIs与上述SEAF进行协商,以确定第二IMSIs;将上述用户设备上当前使用的第一IMSIs更新为第二IMSIs。在本实施例中,第二IMSIs可以是根据第一IMSIs中包括的为用户临时分配的MSIN确定的,也可以是与确定第一IMSIs相同的方式,通过网络侧设备确定的。确定的第二IMSIs与第一IMSIs是不同的,即可以在再次需要进行网络切片的认证时,使用第二IMSIs进行认证,以体现IMSIs是临时设定的,可以保护网络切片的标识信息的安全。
在一个可选的实施例中,将上述用户设备上当前使用的上述第一IMSIs更新为第二IMSIs包括:将上述用户设备上保存的第一对应关系更新为第二对应关系,其中,上述第一对应关系为用户签约身份信息IMSI、第一IMSIs、上述网络切片的标识信息之间的对应关系,上述第二对应关系为上述用户设备的用户签约身份信息IMSI、第二IMSIs、上述网络切片的标识信息之间的对应关系。在本实施例中,用户设备在接收网络切片发送的网络切片的标识信息、IMSI以及第一IMSIs后,会根据三个信息的对应关系生成第一对应关系列表,在将第一IMSIs更新为第一IMSIs后,也会将对应的第一关系列表更新为第二关系列表。为再次的网络切片的认证做准备。
在一个可选的实施例中,确定上述第一IMSIs包括以下之一:接收上述网络切片基于上述网络切片的标识信息配置的上述第一IMSIs;根据上述用户设备上保存的第一对应关系确定与上述网络切片发送的上述网络切片的标识信息对应的上述第一IMSIs,其中,上述第一对应关系为上述用户设备的用户签约身份信息IMSI、第一IMSIs、上述网络切片的标识信息之间的对应关系。在本实施例中,在初始进行网络切片的认证时,网络切片会为用户设备配置第一IMSIs;如果用户设备不是初始进行认证,而是已经在用户设备中建立了用户设备的用户签约身份信息IMSI、第一IMSIs和网络切片的标识信息之间的对应关系,则可以直接根据网络切片发送的网络切片的标识信息在对应关系中确定第一IMSIs。
在一个可选的实施例中,在将上述用户设备上当前使用的上述第一IMSIs更新为上述第二IMSIs之后,上述方法还包括:将上述用户设备上当前使用的第一IMSIs更新为上述第二IMSIs失败之后,使用上述第一IMSIs与SEAF进行协商,以生成第三IMSIs;将上述用户设备上当前使用的上述第一IMSIs更新为第三IMSIs。在本实施例中,将第一IMSIs更新为第二IMSIs失败的原因有多种,例如:出现了网络故障,或者是第一IMSIs中包括的信息不可用。而生成的第三IMSIs时,可能与第二IMSIs相同,也可能与第二IMSIs不同,只要能保证更新的第三IMSIs与第一IMSIs不同即可。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述方法还包括:在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,将上述第二IMSIs发送给上述网络侧设备;以指示上述网络侧设备将第二IMSIs发送给上述AUSF,使得上述AUSF基于上述第二IMSIs生成第二认证向量;其中,上述第二认证向量用于指示上述SEAF通过第二认证向量与上述用户设备进行用于上述网络切片的认证。在本实施例中,由于AUSF生成认证向量的条件是不同的,即每次所生成的第一认证向量与第二认证向量是不同的。
在一个可选的实施例中,向上述网络侧设备发送上述第一IMSIs包括:向上述网络侧设备发送携带第一IMSIs的网络附着请求信息,其中,上述网络附着请求信息用于请求接入上述网络侧设备。在本实施例中,在用户设备需要向网络侧设备发送网络附着请求信息,以接入到网络中,然后AUSF执行生成认证向量的步骤。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。在本实施例中,由于MSIN是临时配置的,即第一IMSIs也是临时配置的,每次所配置的IMSIs都是不同的,保证了网络切片的标识信息的安全性。
在一个可选的实施例中,上述方法包括:用户设备确定上述用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;上述用户设备向网络侧设备发送第一IMSIs;上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;上述AUSF基于上述第一IMSIs生成第一认证向量;上述网络切片的安全管理实体SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证。
在本实施例中提供了一种接入网络切片的方法,图3是根据本发明实施例的接入网络切片的方法的流程图(二),如图3所示,该流程包括如下步骤:
步骤S302,接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;
步骤S304,基于上述第一IMSIs生成第一认证向量;
步骤S306,将上述第一认证向量发送给网络切片的安全管理实体SEAF,以指示上述SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证;
步骤S308,在对上述网络切片的认证通过后,指示上述用户设备接入上述网络切片。
通过上述步骤,由于网络侧的AUSF接收网络侧设备发送的第一IMSIs,其中,第一IMSIs为临时配置的信息;基于第一IMSIs生成第一认证向量;将第一认证向量发送给网络切片的SEAF,以指示SEAF通过第一认证向量与用户设备进行用于网络切片的认证。并不需要对网络切片的标识信息进行明文传输来实现用户设备的网络切片的认证,而是通过临时配置的信息IMSIs实现用户设备的网络切片的认证,在每次认证过程中IMSIs都是不同的。因此,可以解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题,达到保护网络切片的标识信息,以及用户隐私的效果。
可选地,上述步骤的执行主体可以为网络侧的认证服务功能实体,但不限于此。
在一个可选的实施例中,基于上述第一IMSIs生成上述第一认证向量包括:在认证服务功能实体AUSF上保存的第一对应关系中查找到与上述第一IMSIs对应的用户签约身份信息IMSI;基于上述IMSI生成与上述第一IMSIs对应的第一认证向量;其中,上述第一对应关系为用户签约身份信息IMSI、第一IMSIs、上述网络切片的标识信息之间的对应关系。在本实施例中,AUSF与用户设备都会根据用户签约身份信息IMSI、第一IMSIs、网络切片的标识信息之间的对应关系生成对应关系列表,并且,两侧的对应关系列表是同步进行更新的。即所包括的对应关系是相同的。
在一个可选的实施例中,在上述SEAF通过上述第一认证向量与上述用户设备成功进行用于上述网络切片的认证之后,上述方法还包括:接收上述SEAF发送的第二IMSIs,其中,上述第二IMSIs是上述用户设备与上述SEAF通过协商确定的;将认证服务功能实体AUSF上当前使用的上述第一IMSIs更新为第二IMSIs。在本实施例中,AUSF在更新第一对应关系时,接收的是SEAF更新的第一IMSIs,并不是从网络侧接收的IMSIs。
在一个可选的实施例中,将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs包括:将上述AUSF上保存的第一对应关系更新为第二对应关系,其中,上述第一对应关系为用户签约身份信息IMSI、第一IMSIs、上述网络切片的标识信息之间的对应关系,上述第二对应关系为上述用户签约身份信息IMSI、第二IMSIs、网络切片的标识信息之间的对应关系。
在一个可选的实施例中,在将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs之后,上述方法还包括:将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs失败之后,接收上述SEAF发送的第三IMSIs,其中,第三IMSIs是上述用户设备与上述SEAF通过协商确定的;将上述AUSF上当前使用的第一IMSIs更新为第三IMSIs。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述方法还包括:在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,接收上述网络侧设备发送的第二IMSIs,其中,上述第二IMSIs为临时配置的信息;基于上述第二IMSIs生成第二认证向量;将上述第二认证向量发送给上述SEAF,以指示上述SEAF通过第二认证向量与上述用户设备进行用于上述网络切片的认证。
在一个可选的实施例中,接收上述网络侧设备发送的上述第一IMSIs包括:接收上述网络侧发送的携带上述第一IMSIs的网络附着请求信息,其中,上述网络附着请求信息用于请求接入上述网络侧设备。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。
在一个可选的实施例中,包括:认证服务功能实体AUSF接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;上述AUSF基于第一IMSIs生成第一认证向量;上述AUSF将第一认证向量发送给网络切片的安全管理实体SEAF;上述SEAF通过第一认证向量与上述用户设备进行用于上述网络切片的认证。
在本实施例中提供了一种接入网络切片的方法,图4是根据本发明实施例的接入网络切片的方法的流程图(三),如图4所示,该流程包括如下步骤:
步骤S402,确定第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置给用户设备的信息;
步骤S404,将上述第一IMSIs配置给上述用户设备,以指示上述用户设备将上述第一IMSIs发送给网络侧设备,使得上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;
步骤S406,接收上述AUSF基于上述第一IMSIs生成的第一认证向量;
步骤S408,通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证;
步骤S410,在对上述网络切片的认证通过后,指示上述用户设备接入上述网络切片。
通过上述步骤,由于网络切片的安全管理实体SEAF确定了第一IMSIs,其中,第一IMSIs为临时配置给用户设备的信息;并将第一IMSIs配置给用户设备,以指示用户设备将第一IMSIs发送给网络侧设备,使得网络侧设备将第一IMSIs发送给AUSF;然后接收AUSF基于上述第一IMSIs生成的第一认证向量;通过第一认证向量与用户设备进行用于网络切片的认证。并不需要对网络切片的标识信息进行明文传输来实现用户设备的网络切片的认证,而是通过临时配置的信息IMSIs实现用户设备的网络切片的认证,在每次认证过程中IMSIs都是不同的。因此,可以解决相关技术中UE在接入网络切片时,网络切片的标识信息容易泄露的问题,达到保护网络切片的标识信息,以及用户隐私的效果。
可选地,上述步骤的执行主体可以为网络切片的安全管理实体SEAF,但不限于此。
在一个可选的实施例中,确定上述IMSIs包括:基于上述网络切片的标识信息配置上述第一IMSIs。
在一个可选的实施例中,在通过上述第一认证向量与上述用户设备成功进行用于上述网络切片的认证之后,上述方法还包括:使用上述第一IMSIs与上述用户设备进行协商,以确定第二IMSIs;将上述第二IMSIs发送给上述AUSF,以指示上述AUSF将上述AUSF当前使用的上述第一IMSIs更新为上述第二IMSIs。
在一个可选的实施例中,在将上述第二IMSIs发送给上述AUSF之后,上述方法还包括:在确定上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs失败之后,使用上述第一IMSIs与上述用户设备进行协商,以生成第三IMSIs;将上述第三IMSIs发送给上述AUSF,以指示上述AUSF将上述AUSF当前使用的第一IMSIs更新为第三IMSIs。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述方法还包括:在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,将第二IMSIs配置给上述用户设备,以指示上述用户设备将上述第二IMSIs发送给上述网络侧设备,使得上述网络侧设备将上述第二IMSIs发送给认证服务功能实体AUSF;接收上述AUSF基于上述第二IMSIs生成的第二认证向量;通过上述第二认证向量与上述用户设备进行用于上述网络切片的认证。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。
在一个可选的实施例中,包括:安全管理实体SEAF确定第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置给用户设备的信息;上述SEAF将上述第一IMSIs配置给上述用户设备;上述用户设备将上述第一IMSIs发送给网络侧设备;上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;上述SEAF接收上述AUSF基于上述第一IMSIs生成的第一认证向量;上述SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例上述的方法。
实施例2
在本实施例中还提供了一种用于网络切片的认证装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的用于网络切片的认证装置的结构框图(一),如图5所示,该装置包括:第一确定模块52、第一发送模块54和第一接入模块56,下面对该装置进行详细说明:
第一确定模块52,用于确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;第一发送模块54,连接至上述第一确定模块52,用于向网络侧设备发送上述第一IMSIs,以指示上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF,使得上述AUSF基于上述第一IMSIs生成第一认证向量;其中,上述第一认证向量用于指示上述网络切片的安全管理实体SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证;第一接入模块56,连接至上述中的第一发送模块54,用于在对上述网络切片的认证通过后,接入上述网络切片。
在一个可选的实施例中,上述装置在SEAF通过第一认证向量与用户设备成功进行用于上述网络切片的认证之后,还包括:第三确定模块,用于使用上述第一IMSIs与上述SEAF进行协商,以确定第二IMSIs;第一更新模块,连接至上述中的第三确定模块,用于将上述用户设备上当前使用的上述第一IMSIs更新为上述第二IMSIs。
在一个可选的实施例中,上述第一更新模块通过以下方式将用户设备上当前使用的第一IMSIs更新为第二IMSIs:将上述用户设备上保存的第一对应关系更新为第二对应关系,其中,上述第一对应关系为用户签约身份信息IMSI、上述第一IMSIs、上述网络切片的标识信息之间的对应关系,上述第二对应关系为上述用户设备的用户签约身份信息IMSI、上述第二IMSIs、上述网络切片的标识信息之间的对应关系。
在一个可选的实施例中,上述装置通过以下方式之一确定第一IMSIs:接收上述网络切片基于上述网络切片的标识信息配置的上述第一IMSIs;根据上述用户设备上保存的第一对应关系确定与上述网络切片发送的上述网络切片的标识信息对应的上述第一IMSIs,其中,上述第一对应关系为上述用户设备的用户签约身份信息IMSI、上述第一IMSIs、上述网络切片的标识信息之间的对应关系。
在一个可选的实施例中,在将上述用户设备上当前使用的上述第一IMSIs更新为上述第二IMSIs之后,上述装置还包括第二生成模块,用于将上述用户设备上当前使用的上述第一IMSIs更新为上述第二IMSIs失败之后,使用上述第一IMSIs与上述SEAF进行协商,以生成第三IMSIs;第二更新模块,连接至上述中的第二生成模块,用于将上述用户设备上当前使用的上述第一IMSIs更新为上述第三IMSIs。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述装置还包括,第三发送模块,用于在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,将上述第二IMSIs发送给上述网络侧设备;第一指示模块,连接至上述第三发送模块,用于指示上述网络侧设备将第二IMSIs发送给上述AUSF,使得上述AUSF基于上述第二IMSIs生成第二认证向量;其中,上述第二认证向量用于指示上述SEAF通过上述第二认证向量与上述用户设备进行用于上述网络切片的认证。
在一个可选的实施例中,上述第一发送模块54通过以下方式向网络侧设备发送第一IMSIs:向上述网络侧设备发送携带上述第一IMSIs的网络附着请求信息,其中,上述网络附着请求信息用于请求接入上述网络侧设备。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。
在一个可选的实施例中,用户设备确定上述用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;上述用户设备向网络侧设备发送上述第一IMSIs;上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;上述AUSF基于上述第一IMSIs生成第一认证向量;上述网络切片的安全管理实体SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证。
图6是根据本发明实施例的用于网络切片的认证装置的结构框图(二),如图6所示,该装置包括:第一接收模块62、第一生成模块64、第二发送模块66以及第一处理模块68,下面对该装置进行详细说明:
第一接收模块62,用于接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;第一生成模块64,连接至上述中的第一接收模块62,用于基于上述第一IMSIs生成第一认证向量;第二发送模块66,连接至上述中的第一生成模块,用于将上述第一认证向量发送给网络切片的安全管理实体SEAF,以指示上述SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证;第一处理模块68,连接至上述中的第二发送模块66,用于在对所上述网络切片的认证通过后,指示上述用户设备接入上述网络切片。
在一个可选的实施例中,上述第一生成模块64通过以下方式基于上述第一IMSIs生成上述第一认证向量:在认证服务功能实体AUSF上保存的第一对应关系中查找到与上述第一IMSIs对应的用户签约身份信息IMSI;基于上述IMSI生成与上述第一IMSIs对应的上述第一认证向量;其中,上述第一对应关系为用户签约身份信息IMSI、上述第一IMSIs、上述网络切片的标识信息之间的对应关系。
在一个可选的实施例中,在上述SEAF通过上述第一认证向量与上述用户设备成功进行用于上述网络切片的认证之后,上述装置还用于:接收上述SEAF发送的第二IMSIs,其中,上述第二IMSIs是上述用户设备与上述SEAF通过协商确定的;将认证服务功能实体AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs。
在一个可选的实施例中,上述装置通过以下方式将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs:将上述AUSF上保存的第一对应关系更新为第二对应关系,其中,上述第一对应关系为用户签约身份信息IMSI、上述第一IMSIs、上述网络切片的标识信息之间的对应关系,上述第二对应关系为上述用户签约身份信息IMSI、上述第二IMSIs、上述网络切片的标识信息之间的对应关系。
在一个可选的实施例中,在将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs之后,上述装置还用于:将上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs失败之后,接收上述SEAF发送的第三IMSIs,其中,上述第三IMSIs是上述用户设备与上述SEAF通过协商确定的;将上述AUSF上当前使用的上述第一IMSIs更新为上述第三IMSIs。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述装置还用于:在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,接收上述网络侧设备发送的上述第二IMSIs,其中,上述第二IMSIs为临时配置的信息;基于上述第二IMSIs生成第二认证向量;将上述第二认证向量发送给上述SEAF,以指示上述SEAF通过上述第二认证向量与上述用户设备进行用于上述网络切片的认证。
在一个可选的实施例中,上述第一接收模块62通过以下方式接收上述网络侧设备发送的上述第一IMSIs:接收上述网络侧发送的携带上述第一IMSIs的网络附着请求信息,其中,上述网络附着请求信息用于请求接入上述网络侧设备。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。
在一个可选的实施例中,认证服务功能实体AUSF接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置的信息;上述AUSF基于上述第一IMSIs生成第一认证向量;上述AUSF将上述第一认证向量发送给网络切片的安全管理实体SEAF;上述SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证。
图7是根据本发明实施例的用于网络切片的认证装置的结构框图(三),如图7所示,该装置包括:第二确定模块72、配置模块74、第二接收模块76、认证模块78以及第二处理模块710,下面对该装置进行详细说明:
第二确定模块72,用于确定第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置给用户设备的信息;配置模块74,连接至上述中的第二确定模块,用于将上述第一IMSIs配置给上述用户设备,以指示上述用户设备将上述第一IMSIs发送给网络侧设备,使得上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;第二接收模块76,连接至上述中的配置模块74,用于接收上述AUSF基于上述第一IMSIs生成的第一认证向量;认证模块78,连接至上述中的第二接收模块76用于通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证;第二处理模块710,连接至上述中的认证模块78,用于在对所上述网络切片的认证通过后,指示上述用户设备接入上述网络切片。
在一个可选的实施例中,上述第二确定模块72通过以下方式确定IMSIs包括:基于上述网络切片的标识信息配置上述第一IMSIs。
在一个可选的实施例中,在通过上述第一认证向量与上述用户设备成功进行用于上述网络切片的认证之后,上述装置还用于:使用上述第一IMSIs与上述用户设备进行协商,以确定第二IMSIs;将上述第二IMSIs发送给上述AUSF,以指示上述AUSF将上述AUSF当前使用的上述第一IMSIs更新为上述第二IMSIs。
在一个可选的实施例中,在将上述第二IMSIs发送给上述AUSF之后,上述装置还用于:在确定上述AUSF上当前使用的上述第一IMSIs更新为上述第二IMSIs失败之后,使用上述第一IMSIs与上述用户设备进行协商,以生成第三IMSIs;将上述第三IMSIs发送给上述AUSF,以指示上述AUSF将上述AUSF当前使用的上述第一IMSIs更新为上述第三IMSIs。
在一个可选的实施例中,在确定上述第二IMSIs之后,上述装置还用于:在确定出上述用户设备与上述SEAF需要重新进行用于上述网络切片的认证的情况下,将上述第二IMSIs配置给上述用户设备,以指示上述用户设备将上述第二IMSIs发送给上述网络侧设备,使得上述网络侧设备将上述第二IMSIs发送给认证服务功能实体AUSF;接收上述AUSF基于上述第二IMSIs生成的第二认证向量;通过上述第二认证向量与上述用户设备进行用于上述网络切片的认证。
在一个可选的实施例中,上述第一IMSIs包括:移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;其中,上述第一IMSIs中的上述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,上述MSIN是上述网络切片为上述用户设备临时配置的号码。
在一个可选的实施例中,安全管理实体SEAF确定第一网络切片用户签约身份信息IMSIs,其中,上述第一IMSIs为临时配置给用户设备的信息;上述SEAF将上述第一IMSIs配置给上述用户设备;上述用户设备将上述第一IMSIs发送给网络侧设备;上述网络侧设备将上述第一IMSIs发送给认证服务功能实体AUSF;上述SEAF接收上述AUSF基于上述第一IMSIs生成的第一认证向量;上述SEAF通过上述第一认证向量与上述用户设备进行用于上述网络切片的认证。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
下面结合具体实施例对本发明进行详细说明:
具体实施例1:
在5G网络架构中,基于网络业务需求构建的虚拟核心网称为网络切片,一个网络切片构成一个虚拟核心网,为一组特定用户终端提供移动网络接入服务。一个典型的网络切片包括一组虚拟化的核心网功能,如切片控制面单元,主要负责切片的移动性、会话管理以及鉴权认证相关的功能,切片用户面单元主要为用户提供切片的用户资源,切片策略控制单元负责用户策略的功能,切片计费单元负责为用户的计费功能。网络切片的功能由运营商根据需求和运营商策略确定,比如,某些网络切片除了包括控制面功能外还可以包括专用的转发面;而某些网络切片可能只包括一些基本的控制面功能,其他的核心网相关功能与其他网络切片共享。网络切片可能基于需求被创建、修改或删除。一个UE也可能同时接收来自不同网络切片的服务。
现有的3G/4G移动通信系统中,由于不存在网络切片,通过认证与密钥协商(Authentication and Key Agreement,简称为AKA)AKA认证,UE接入网络后直接使用核心网提供的业务。在5G系统中,由于引入了网络切片概念,使得UE附着网络后,需要进一步接入网络切片。在接入网络切片时,UE需要向网络发送切片标识信息,网络根据切片标识信息确定UE接入的网络切片。如果UE在接入网络切片时,直接明文发送网络切片标识信息,攻击者有可能收集接入网络切片的UE信息,并基于收集到的接入某一网络切片的一组UE信息对这组UE进行拒绝服务攻击。因此,如何在保证UE接入网络切片的情况下,保护网络切片标识信息的隐私性是5G系统需要解决的技术问题。
为了解决现有技术中5G通信系统中针对UE接入网络切片时的网络切片的标识信息的隐私安全保问题。本具体实施例提供以下技术方案:
网络切片为每一个允许接入该网络切片的用户配置一个网络切片用户签约身份信息IMSIs。即在用户设备确定当前使用的第一网络切片用户签约身份信息IMSIs之前,用户设备已经知道自己所允许接入的网络切片,用于设备所确定的第一IMSIs是一个临时用户签约身份信息。即是针对一次接入所允许接入的网络切片确定的。在每一次重新接入网络切片所使用的IMSIs都是不同的。上述第一IMSIs包括国际移动用户识别码IMSI(nternational mobile subscriber identity),对应于上述中的用户签约身份信息,移动国家码MCC(Mobile Country Code),移动网络码MNC(Mobile Network Code),移动用户识别号码MSIN(Mobile Subscriber Identification Number)。其中,MCC、MNC与用户的永久签约身份信息IMSI中对应部分的MCC、MNC相同,MSIN部分,是由网络切片为切片用户(对应于上述中的用户设备)临时分配的一个号码。
在本实施例中IMSIs是网络切片生成的有效临时用户签约身份信息上述中的第一IMSIs与第二IMSIs与本具体实施例中的IMSIs概念相同。
在本实施例中,用户签约数据信息是用于用户设备进行网络切片接入的信息,至少包含用户签约身份信息IMSI、网络切片用户签约身份信息IMSIs,网络切片信息SliceID。
在本实施例中一个用户签约身份信息IMSI可以对应多个不同的网络切片用户签约身份信息IMSIs,每一个IMSIs对应一个网络切片,即是上述中的第一对应关系和第二对应关系中所指出的对应关系的内容。
在网络侧(可以是针对上述中的网络侧设备的网络侧),归属网络的用户签约数据管理实体,如认证服务功能实体AUSF(Authentication Server Function),对用户签约数据进行管理和维护。当然,也可以是其他的数据管理实体。AUSF保存、管理并维护IMSI、IMSIs和SliceID的对应关系列表(与上述中的第一对应关系,第二对应关系的概念相同),其中,一个IMSI可以与多个不同的IMSIs及其对应的SliceID对应。
在网络侧,切片可以包含一个安全管理实体,安全锚点功能实体SEAF(Securityanchor Function),SEAF是网络切片中的安全锚点。网络切片的SEAF可以针对一个IMSI分配一个IMSIs。网络切片的SEAF可以基于IMSIs生成一个新的IMSIs-new(对应于上述中的第二IMSIs)。
切片还可以包含一个移动管理实体AMF(Access and Mobility ManagementFunction),用于对UE的移动性管理。
在终端侧(可以是针对上述中的用户设备的终端侧),UE对用户签约数据进行维护和管理。UE保存、管理并维护IMSI、IMSIs和SliceID的对应关系列表。一个IMSI可以与多个不同的IMSIs及其对应的SliceID对应。UE可以基于IMSIs生成一个新的IMSIs-new。
在本实施例中,UE和网络切片的SEAF可以通过协商,采用相同的方式,同步基于IMSIs(对应于上述中的第一IMSIs)生成一个相同新的IMSIs-new(对应于上述中的第二IMSIs)。
UE附着网络时,UE向5G基站gNB发送附着请求信息,其中,附着请求信息中包括IMSIs。
gNB(对应于上述中的网络侧设备)收到UE发送的附着请求信息后,将附着请求信息进一步发送给认证服务功能实体AUSF。AUSF收到附着请求信息后,基于IMSIs查找对应的IMSI和网络切片标识SliceID。然后基于IMSI生成对应的认证向量(对应于上述中的第一认证向量),然后将IMSI、IMSIs和认证向量信息发送给网络切片标识SliceID对应的网络切片的SEAF。
SEAF收到IMSI、IMSIs和认证向量信息后,通过认证向量与UE进行AKA认证。
认证成功后,SEAF和UE可以通过协商,以相同的生成方式,分别基于IMSIs同步生成一个相同的新的网络切片用户签约身份信息IMSIs-new。
UE在IMSI、IMSIs和SliceID的对应关系列表中删除旧的IMSIs,并保存新的IMSIs-new,即是将用户设备中的第一对应关系更新为第二对应关系。
SEAF进一步将IMSI和新的网络切片用户签约身份信息IMSIs-new发送给AUSF。
AUSF在IMSI、IMSIs和SliceID的对应关系列表中删除旧的IMSIs,并保存新的IMSIs-new。即是将AUSF中的第一对应关系更新为第二对应关系
AUSF在更新IMSI、IMSIs和SliceID的对应关系列表后,可以向SEAF反馈确认信息。
SEAF可以进一步向UE反馈确认信息,UE如果完成更新IMSI、IMSIs和SliceID的对应关系列表,则在收到确认信息后,向SEAF反馈确认响应消息。SEAF可以进一步将反馈确认响应消息发送给AUSF。UE如果未完成更新IMSI、IMSIs和SliceID的对应关系列表(即是在更新失败的情况下),则在收到确认信息后,向SEAF反馈确认失败响应消息,之后,UE和SEAF之间重新启动协商生成新的IMSIs-new的过程,并进一步在UE和AUSF之间完成完成更新IMSI、IMSIs和SliceID的对应关系列表,并完成IMSI、IMSIs和SliceID的对应关系列表更新确认过程。
在本实施例中,通过使用网络切片用户签约身份信息IMSIs,避免了UE附着网络时向网络发送网络切片标识信息的过程,从而保证了网络切片身份信息的隐私安全性。
具体实施例2:
本实施例提供了一种UE,包括:
第一发送模块,用于向网络发送附着请求信息。所述附着请求信息包括用户的网络切片用户签约身份信息IMSIs;
第一认证模块(对应于上述中的认证模块),用于UE与网络切片之间的接入认证。
第一更新模块(对应于上述中的将UE上保存的第一对应关系更新为第二对应关系),用于UE在与网络切片协商的基础上,基于旧的网络切片用户签约身份信息(对应于上述中的第一IMSIs)生成新的网络切片用户签约身份信息(对应于上述中的第二IMSIs)。
第一管理模块,用于保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表。(对应于上述中的将UE上保存的第一对应关系更新为第二对应关系)
优选地,本实施例提供了一种网络安全锚点功能实体SEAF,包括:
第二接收模块,用于接收来自AUSF的IMSI、IMSIs和认证向量信息,用于接收更新确认信息;
第二认证模块(对应于上述中的认证模块),用于与UE进行接入认证;
第二更新模块(对应于上述中的将AUSF上保存的第一对应关系更新为第二对应关系),用于SEAF在与UE协商的基础上,基于旧的网络切片用户签约身份信息(对应于上述中的第一IMSIs)生成新的网络切片用户签约身份信息(对应于上述中的第二IMSIs)。
第二发送模块,用于发送网络切片用户签约身份信息和更新确认响应信息。
优选地,本实施例提供了一种认证服务功能实体AUSF,包括:
第三接收模块(对应于上述中的第一接收模块),用于接收gNB发送的来自UE的网络切片用户签约身份信息,同时用于接收SEAF发送的新的网络切片用户签约身份信息。
认证向量生成模块(对应与上述中的认证模块),用于生成认证向量。
第二管理模块(对应于上述中的将AUSF上保存的第一对应关系更新为第二对应关系),用于保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表。
第三发送模块,用于发送认证信息和更新确认信息。
优选地,本实施例提供了一种切片标识信息保护系统,包括:
UE,用于发送包含网络切片用户签约身份信息IMSIs的附着请求信息,生成新的网络切片用户签约身份信息,保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表。
安全锚点功能实体SEAF,用于与UE进行接入认证,生成新的网络切片用户签约身份信息;
认证服务功能实体AUSF,用于生成认证向量,保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表。
具体实施例3:
在本实施例中,综合具体实施例1、2所描述的方案,对网络切片的认证进一步的说明:
在本实施例中,UE和网络切片的SEAF可以通过协商,采用相同的方式,同步基于IMSIs生成一个相同新的IMSIs-new。
本实施例提供的UE基于网络切片用户签约身份标识信息的附着方案具体可以包括以下内容:
UE附着网络时,UE向5G基站gNB发送附着请求信息。附着请求信息包括IMSIs;
gNB收到UE发送的附着请求信息后,将附着请求信息进一步发送给认证服务功能实体AUSF;
认证服务功能实体AUSF收到接入请求信息后,基于IMSIs查找对应的IMSI和网络切片标识SliceID。然后基于IMSI生成对应的认证向量,然后将IMSI、IMSIs和认证向量信息发送给网络切片标识SliceID对应的网络切片的SEAF;
SEAF收到IMSI、IMSIs和认证向量信息后,通过认证向量与UE进行AKA认证。
认证成功后,SEAF和UE可以通过协商,以相同的生成方式,分别基于IMSIs同步生成一个相同的新的网络切片用户签约身份信息IMSIs-new;
UE在IMSI、IMSIs和SliceID的对应关系列表中删除旧的IMSIs,并保存新的IMSIs-new;
SEAF进一步将IMSI和新的网络切片用户签约身份信息IMSIs-new发送给AUSF;
AUSF在IMSI、IMSIs和SliceID的对应关系列表中删除旧的IMSIs,并保存新的IMSIs-new;
AUSF在更新IMSI、IMSIs和SliceID的对应关系列表后,可以向SEAF反馈确认信息;
SEAF可以进一步向UE反馈确认信息;
UE如果完成更新IMSI、IMSIs和SliceID的对应关系列表,则在收到确认信息后,向SEAF反馈确认响应消息;
SEAF向AUSF转发反馈确认响应消息。
本实施例提供的UE设备包括:第一发送模块,第一认证模块(对应于上述中的第一接入模块),第一更新模块,第一管理模块。
第一发送模块,用于向网络发送附着请求信息和确认响应信息。附着请求信息包括用户的网络切片用户签约身份信息IMSIs;
第一认证模块,用于UE与网络切片之间的接入认证;
第一更新模块,用于UE在与网络切片协商的基础上,基于旧的网络切片用户签约身份信息生成新的网络切片用户签约身份信息;
第一管理模块,用于保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表;
本实施例提供的网络安全锚点功能实体包括:
第二接收模块,用于接收来自AUSF的IMSI、IMSIs和认证向量信息,用于接收更新确认信息;
第二认证模块(对应于上述中的认证模块),用于与UE进行接入认证;
第二更新模块,用于SEAF在与UE协商的基础上,基于旧的网络切片用户签约身份信息生成新的网络切片用户签约身份信息;
第二发送模块,用于发送网络切片用户签约身份信息和更新确认响应信息;
网络认证服务功能实体AUSF包括:
认证向量生成模块,用于生成认证向量;
第二管理模块,用于保存、更新和维护IMSI、IMSIs和SliceID的对应关系列表;
第三发送模块,用于发送认证信息和更新确认信息;
本实施例提供的网络切片标识信息保护的系统包括:上述实施例所述的UE设备、网络安全锚点功能实体SEAF和网络认证服务功能实体。
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以上各步骤的计算机程序。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (30)
1.一种接入网络切片的方法,其特征在于,包括:
确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
向网络侧设备发送所述第一IMSIs,以指示所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF,使得所述AUSF基于所述第一IMSIs生成第一认证向量;
其中,所述第一认证向量用于指示所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;
在对所述网络切片的认证通过后,接入所述网络切片。
2.根据权利要求1所述的方法,其特征在于,在所述SEAF通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:
使用所述第一IMSIs与所述SEAF进行协商,以确定第二IMSIs;
将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs。
3.根据权利要求2所述的方法,其特征在于,将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs包括:
将所述用户设备上保存的第一对应关系更新为第二对应关系,其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系,所述第二对应关系为所述用户设备的用户签约身份信息IMSI、所述第二IMSIs、所述网络切片的标识信息之间的对应关系。
4.根据权利要求1所述的方法,其特征在于,确定所述第一IMSIs包括以下之一:
接收所述网络切片基于所述网络切片的标识信息配置的所述第一IMSIs;
根据所述用户设备上保存的第一对应关系确定与所述网络切片发送的所述网络切片的标识信息对应的所述第一IMSIs,其中,所述第一对应关系为所述用户设备的用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系。
5.根据权利要求2所述的方法,其特征在于,在将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs之后,所述方法还包括:
将所述用户设备上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,使用所述第一IMSIs与所述SEAF进行协商,以生成第三IMSIs;
将所述用户设备上当前使用的所述第一IMSIs更新为所述第三IMSIs。
6.根据权利要求2所述的方法,其特征在于,在确定所述第二IMSIs之后,所述方法还包括:
在确定出所述用户设备与所述SEAF需要重新进行用于所述网络切片的认证的情况下,将所述第二IMSIs发送给所述网络侧设备;
以指示所述网络侧设备将所述第二IMSIs发送给所述AUSF,使得所述AUSF基于所述第二IMSIs生成第二认证向量;
其中,所述第二认证向量用于指示所述SEAF通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
7.根据权利要求1所述的方法,其特征在于,向所述网络侧设备发送所述第一IMSIs包括:
向所述网络侧设备发送携带所述第一IMSIs的网络附着请求信息,其中,所述网络附着请求信息用于请求接入所述网络侧设备。
8.根据权利要求1所述的方法,其特征在于,所述第一IMSIs包括:
移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;
其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
9.根据权利要求1所述的方法,其特征在于,包括:
用户设备确定所述用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
所述用户设备向网络侧设备发送所述第一IMSIs;
所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;
所述AUSF基于所述第一IMSIs生成第一认证向量;
所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
10.一种接入网络切片的方法,其特征在于,包括:
接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
基于所述第一IMSIs生成第一认证向量;
将所述第一认证向量发送给网络切片的安全管理实体SEAF,以指示所述SEAF通过所述第一认证向量与用户设备进行用于所述网络切片的认证;
在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
11.根据权利要求10所述的方法,其特征在于,基于所述第一IMSIs生成所述第一认证向量包括:
在认证服务功能实体AUSF上保存的第一对应关系中查找到与所述第一IMSIs对应的用户签约身份信息IMSI;
基于所述IMSI生成与所述第一IMSIs对应的所述第一认证向量;
其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系。
12.根据权利要求10所述的方法,其特征在于,在所述SEAF通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:
接收所述SEAF发送的第二IMSIs,其中,所述第二IMSIs是所述用户设备与所述SEAF通过协商确定的;
将认证服务功能实体AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs。
13.根据权利要求12所述的方法,其特征在于,将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs包括:
将所述AUSF上保存的第一对应关系更新为第二对应关系,其中,所述第一对应关系为用户签约身份信息IMSI、所述第一IMSIs、所述网络切片的标识信息之间的对应关系,所述第二对应关系为所述用户签约身份信息IMSI、所述第二IMSIs、所述网络切片的标识信息之间的对应关系。
14.根据权利要求12所述的方法,其特征在于,在将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs之后,所述方法还包括:
将所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,接收所述SEAF发送的第三IMSIs,其中,所述第三IMSIs是所述用户设备与所述SEAF通过协商确定的;
将所述AUSF上当前使用的所述第一IMSIs更新为所述第三IMSIs。
15.根据权利要求12所述的方法,其特征在于,在确定所述第二IMSIs之后,所述方法还包括:
在确定出所述用户设备与所述SEAF需要重新进行用于所述网络切片的认证的情况下,接收所述网络侧设备发送的所述第二IMSIs,其中,所述第二IMSIs为临时配置的信息;
基于所述第二IMSIs生成第二认证向量;
将所述第二认证向量发送给所述SEAF,以指示所述SEAF通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
16.根据权利要求10所述的方法,其特征在于,接收所述网络侧设备发送的所述第一IMSIs包括:
接收所述网络侧设备发送的携带所述第一IMSIs的网络附着请求信息,其中,所述网络附着请求信息用于请求接入所述网络侧设备。
17.根据权利要求10所述的方法,其特征在于,所述第一IMSIs包括:
移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;
其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
18.根据权利要求10所述的方法,其特征在于,包括:
认证服务功能实体AUSF接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
所述AUSF基于所述第一IMSIs生成第一认证向量;
所述AUSF将所述第一认证向量发送给网络切片的安全管理实体SEAF;
所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
19.一种接入网络切片的方法,其特征在于,包括:
确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;
将所述第一IMSIs配置给所述用户设备,以指示所述用户设备将所述第一IMSIs发送给网络侧设备,使得所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;
接收所述AUSF基于所述第一IMSIs生成的第一认证向量;
通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;
在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
20.根据权利要求19所述的方法,其特征在于,确定所述IMSIs包括:
基于所述网络切片的标识信息配置所述第一IMSIs。
21.根据权利要求19所述的方法,其特征在于,在通过所述第一认证向量与所述用户设备成功进行用于所述网络切片的认证之后,所述方法还包括:
使用所述第一IMSIs与所述用户设备进行协商,以确定第二IMSIs;
将所述第二IMSIs发送给所述AUSF,以指示所述AUSF将所述AUSF当前使用的所述第一IMSIs更新为所述第二IMSIs。
22.根据权利要求21所述的方法,其特征在于,在将所述第二IMSIs发送给所述AUSF之后,所述方法还包括:
在确定所述AUSF上当前使用的所述第一IMSIs更新为所述第二IMSIs失败之后,使用所述第一IMSIs与所述用户设备进行协商,以生成第三IMSIs;
将所述第三IMSIs发送给所述AUSF,以指示所述AUSF将所述AUSF当前使用的所述第一IMSIs更新为所述第三IMSIs。
23.根据权利要求21所述的方法,其特征在于,在确定所述第二IMSIs之后,所述方法还包括:
在确定出所述用户设备与安全管理实体SEAF需要重新进行用于所述网络切片的认证的情况下,将所述第二IMSIs配置给所述用户设备,以指示所述用户设备将所述第二IMSIs发送给所述网络侧设备,使得所述网络侧设备将所述第二IMSIs发送给认证服务功能实体AUSF;
接收所述AUSF基于所述第二IMSIs生成的第二认证向量;
通过所述第二认证向量与所述用户设备进行用于所述网络切片的认证。
24.根据权利要求19所述的方法,其特征在于,所述第一IMSIs包括:
移动国家码MCC,移动网络码MNC和移动用户识别号码MSIN;
其中,所述第一IMSIs中的所述MCC和MNC与用户签约身份信息IMSI中的MCC和MNC相同,所述MSIN是所述网络切片为所述用户设备临时配置的号码。
25.根据权利要求19所述的方法,其特征在于,包括:
安全管理实体SEAF确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;
所述SEAF将所述第一IMSIs配置给所述用户设备;
所述用户设备将所述第一IMSIs发送给网络侧设备;
所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;
所述SEAF接收所述AUSF基于所述第一IMSIs生成的第一认证向量;
所述SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证。
26.一种接入网络切片的装置,其特征在于,包括:
第一确定模块,用于确定用户设备上当前使用的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
第一发送模块,用于向网络侧设备发送所述第一IMSIs,以指示所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF,使得所述AUSF基于所述第一IMSIs生成第一认证向量;
其中,所述第一认证向量用于指示所述网络切片的安全管理实体SEAF通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;
第一接入模块,用于在对所述网络切片的认证通过后,接入所述网络切片。
27.一种接入网络切片的装置,其特征在于,包括:
第一接收模块,用于接收网络侧设备发送的第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置的信息;
第一生成模块,用于基于所述第一IMSIs生成第一认证向量;
第二发送模块,用于将所述第一认证向量发送给网络切片的安全管理实体SEAF,以指示所述SEAF通过所述第一认证向量与用户设备进行用于所述网络切片的认证;
第一处理模块,用于在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
28.一种接入网络切片的方法,其特征在于,包括:
第二确定模块,用于确定第一网络切片用户签约身份信息IMSIs,其中,所述第一IMSIs为临时配置给用户设备的信息;
配置模块,用于将所述第一IMSIs配置给所述用户设备,以指示所述用户设备将所述第一IMSIs发送给网络侧设备,使得所述网络侧设备将所述第一IMSIs发送给认证服务功能实体AUSF;
第二接收模块,用于接收所述AUSF基于所述第一IMSIs生成的第一认证向量;
认证模块,用于通过所述第一认证向量与所述用户设备进行用于所述网络切片的认证;
第二处理模块,用于在对所述网络切片的认证通过后,指示所述用户设备接入所述网络切片。
29.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至9,或者,权利要求10至18,或者,权利要求19至25任一项中所述的方法。
30.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至9,或者,权利要求10至18,或者,权利要求19至25任一项中所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810306582.4A CN110351721A (zh) | 2018-04-08 | 2018-04-08 | 接入网络切片的方法及装置、存储介质、电子装置 |
| PCT/CN2019/089942 WO2019196963A1 (zh) | 2018-04-08 | 2019-06-04 | 接入网络切片的方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810306582.4A CN110351721A (zh) | 2018-04-08 | 2018-04-08 | 接入网络切片的方法及装置、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110351721A true CN110351721A (zh) | 2019-10-18 |
Family
ID=68164145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810306582.4A Withdrawn CN110351721A (zh) | 2018-04-08 | 2018-04-08 | 接入网络切片的方法及装置、存储介质、电子装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110351721A (zh) |
| WO (1) | WO2019196963A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110944329A (zh) * | 2019-11-28 | 2020-03-31 | 楚天龙股份有限公司 | 一种信息处理方法、终端和服务器 |
| WO2021151365A1 (zh) * | 2020-01-30 | 2021-08-05 | 中国移动通信有限公司研究院 | 一种信息处理方法及相关网络设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115499894B (zh) * | 2022-09-15 | 2024-07-02 | 深圳艾灵网络有限公司 | 网络切片调整方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400054A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 保护用户终端的隐私的方法、系统和设备 |
| CN101720086A (zh) * | 2009-12-23 | 2010-06-02 | 成都三零瑞通移动通信有限公司 | 一种移动通信用户身份保护方法 |
| CN101959183A (zh) * | 2010-09-21 | 2011-01-26 | 中国科学院软件研究所 | 一种基于假名的移动用户标识码imsi保护方法 |
| CN101969638A (zh) * | 2010-09-30 | 2011-02-09 | 中国科学院软件研究所 | 一种移动通信中对imsi进行保护的方法 |
| CN103023856A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579948B (zh) * | 2016-07-05 | 2022-05-10 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
-
2018
- 2018-04-08 CN CN201810306582.4A patent/CN110351721A/zh not_active Withdrawn
-
2019
- 2019-06-04 WO PCT/CN2019/089942 patent/WO2019196963A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101400054A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 保护用户终端的隐私的方法、系统和设备 |
| CN101720086A (zh) * | 2009-12-23 | 2010-06-02 | 成都三零瑞通移动通信有限公司 | 一种移动通信用户身份保护方法 |
| CN101959183A (zh) * | 2010-09-21 | 2011-01-26 | 中国科学院软件研究所 | 一种基于假名的移动用户标识码imsi保护方法 |
| CN101969638A (zh) * | 2010-09-30 | 2011-02-09 | 中国科学院软件研究所 | 一种移动通信中对imsi进行保护的方法 |
| CN103023856A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 单点登录的方法、系统和信息处理方法、系统 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: "《3GPP TR 33.899 V1.3.0》", 31 August 2017 * |
| HUAWEI, HISILICON: "《3GPP TSG SA WG3 (Security) Meeting #85 S3-161741》", 11 November 2016 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110944329A (zh) * | 2019-11-28 | 2020-03-31 | 楚天龙股份有限公司 | 一种信息处理方法、终端和服务器 |
| WO2021151365A1 (zh) * | 2020-01-30 | 2021-08-05 | 中国移动通信有限公司研究院 | 一种信息处理方法及相关网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019196963A1 (zh) | 2019-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11829774B2 (en) | Machine-to-machine bootstrapping | |
| CN106507348B (zh) | 一种lte系统中ue接入核心网epc的方法和装置 | |
| CN112491533B (zh) | 一种密钥生成方法及装置 | |
| CN110392998B (zh) | 一种数据包校验方法及设备 | |
| CN110035037A (zh) | 安全认证方法、相关设备及系统 | |
| CN107835204A (zh) | 配置文件策略规则的安全控制 | |
| CN107517189A (zh) | 一种wlan用户接入认证及配置信息下发的方法、设备 | |
| CN110351721A (zh) | 接入网络切片的方法及装置、存储介质、电子装置 | |
| CN107508822A (zh) | 访问控制方法及装置 | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN107295507A (zh) | 一种专网接入方法、装置及系统 | |
| WO2016030567A1 (en) | Method and apparatus for establishment of private communication between devices | |
| CN110024425A (zh) | 用于安装和管理esim配置文件的装置和方法 | |
| CN105100268A (zh) | 一种物联网设备的安全控制方法、系统及应用服务器 | |
| CN113709729B (zh) | 数据处理方法、装置、网络设备及终端 | |
| CN109429225A (zh) | 消息接收、发送方法及装置、终端、网络功能实体 | |
| CN116601985A (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
| CN116074821A (zh) | 一种通信方法及装置 | |
| EP3821645B1 (en) | Technique for providing reliable wireless communication | |
| CN109792459B (zh) | 用于向至少一个设备发送数据的方法、数据发送控制服务器、存储服务器、处理服务器和系统 | |
| CN105490816A (zh) | 一种基于AllJoyn的多重认证方法及装置 | |
| CN111277619B (zh) | 基于容器的编排文件的方法和装置 | |
| CN102131191A (zh) | 实现密钥映射的方法及认证服务器、终端、系统 | |
| CN107770067B (zh) | 消息发送方法和装置 | |
| CN108449240A (zh) | 认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20191018 |