CN111741467A - 一种鉴权方法及装置 - Google Patents
一种鉴权方法及装置 Download PDFInfo
- Publication number
- CN111741467A CN111741467A CN202010567476.9A CN202010567476A CN111741467A CN 111741467 A CN111741467 A CN 111741467A CN 202010567476 A CN202010567476 A CN 202010567476A CN 111741467 A CN111741467 A CN 111741467A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network element
- identity parameter
- authentication
- service network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种鉴权方法及装置,属于通信技术领域。该鉴权方法包括:第一鉴权服务网元接收安全锚点网元发送的终端身份参数;对所述终端身份参数进行解密,获得终端解密身份参数;将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权,可以实现URLLC场景终端的快速鉴权,降低网络响应时延,提升响应效率。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种鉴权方法及装置。
背景技术
5G时代定义了三大应用场景,分别是增强移动宽带(Enhanced MobileBroadband,简称eMBB)应用场景、超高可靠与低时延通信(Ultra Reliable Low LatencyCommunications,简称uRLLC)应用场景和大连接物联网(massive Machine TypeCommunications,简称mMTC)应用场景。其中,uRLLC由于具备高可靠、低时延、极高的可用性等特性,被广泛应用于工业控制、工厂自动化、智能电网、设备、车联网通讯、远程手术等业务场景。但是,由于5G鉴权中引入了国际移动用户识别码(International MobileSubscriber Identity,简称IMSI)加密机制,即将手机终端的真实身份IMSI加密形成隐藏性用户标识符(Subscription Concealed Identifier,简称SUCI)后再进行传输。但是,对于uRLLC应用场景来说,其需要进行快速的网络鉴权与网络响应,而反复加密和解密IMSI获得网络鉴权后再进行业务专网数据分流,这无疑会增加网络响应的时延,降低响应效率。
因此,如何针对uRLLC应用场景实现快速网络鉴权,获得快速网络响应成为本领域亟待解决的问题。
发明内容
为此,本发明提供一种鉴权方法及装置,以解决URLLC场景下IMSI加密鉴权机制造成网络鉴权速度慢,导致网络响应时延增加,响应效率降低的问题。
为了实现上述目的,本发明第一方面提供一种鉴权方法,应用于第一鉴权服务网元,该鉴权方法包括:
接收安全锚点网元发送的终端身份参数;
对所述终端身份参数进行解密,获得终端解密身份参数;
将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权。
进一步地,所述对所述终端身份参数进行解密,获得终端解密身份参数,包括:
调用统一数据管理网元对所述终端身份参数进行解密,获得所述终端解密身份参数。
进一步地,所述将所述终端解密身份参数发送至第二鉴权服务网元,包括:
将所述终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元,以供所述鉴权分流切片对应的接入和移动管理网元将所述终端解密身份参数转发至所述第二鉴权服务网元;其中,所述鉴权分流切片为具有保护所述终端解密身份不泄露的网络切片,所述第二鉴权服务网元为处于所述鉴权分流切片的网元。
进一步地,所述将所述终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元之前,还包括:
对所述终端解密身份参数设置鉴权分流标识,以供所述鉴权分流切片对应的接入和移动管理网元根据所述鉴权分流标识将所述终端解密身份参数转发至所述第二鉴权服务网元。
进一步地,所述将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权之后,还包括:
当泄露所述终端解密身份参数时,接收所述终端发送的终端刷新解密身份参数;其中,所终端刷新解密身份参数为所述终端对所述终端解密身份参数进行刷新后生成的新的终端解密身份参数;
将所述终端刷新解密身份参数发送至所述第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端刷新解密身份参数对所述终端进行鉴权。
为了实现上述目的,本发明第二方面提供一种鉴权方法,应用于第二鉴权服务网元,该鉴权方法包括:
接收第一鉴权服务网元发送的终端解密身份参数;其中,所述终端解密身份参数为所述第一鉴权服务网元对终端身份参数进行解密获得的参数,所述终端身份参数为安全锚点网元发送至所述第一鉴权服务网元的信息;
使用所述终端解密身份参数对所述终端解密身份参数对应的终端进行鉴权。
进一步地,所述接收第一鉴权服务网元发送的终端解密身份参数,包括:
接收所述第一鉴权服务网元发送的、经鉴权分流切片对应的接入和移动管理网元转发的所述终端解密身份参数;其中,所述鉴权分流切片为具有保护所述终端解密身份不泄露的网络切片,所述第二鉴权服务网元为处于所述鉴权分流切片的网元。
进一步地,所述使用所述终端解密身份参数对所述终端解密身份参数对应的终端进行鉴权之后,还包括:
当泄露所述终端解密身份参数时,接收所述第一鉴权服务网元发送的终端刷新解密身份参数;其中,所终端刷新解密身份参数为所述终端对所述终端解密身份参数进行刷新后生成的新的终端解密身份参数;
基于所述终端刷新解密身份参数对所述终端进行鉴权。
为了实现上述目的,本发明第三方面提供一种鉴权装置,应用于第一鉴权服务网元,该鉴权装置包括:
第一接收模块,用于接收安全锚点网元发送的终端身份参数;
解密模块,用于对所述终端身份参数进行解密,获得终端解密身份参数;
第一发送模块,用于将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权。
为了实现上述目的,本发明第四方面提供一种鉴权装置,应用于第二鉴权服务网元,该鉴权装置包括:
第二接收模块,用于接收第一鉴权服务网元发送的终端解密身份参数;其中,所述终端解密身份参数为所述第一鉴权服务网元对终端身份参数进行解密获得的参数,所述终端身份参数为安全锚点网元发送至所述第一鉴权服务网元的信息;
鉴权模块,用于使用所述终端解密身份参数对所述终端解密身份参数对应终端进行鉴权。
本发明具有如下优点:
本发明提供的鉴权方法,第一鉴权服务网元接收安全锚点网元发送的终端身份参数;对所述终端身份参数进行解密,获得终端解密身份参数;将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权,可以实现URLLC场景终端的快速鉴权,降低网络响应时延,提升响应效率。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明第一实施例提供的一种鉴权方法的流程图;
图2为本发明第二实施例提供的一种鉴权方法的流程图;
图3为本发明第三实施例提供的一种鉴权方法的流程图;
图4为本发明第四实施例提供的一种鉴权方法的流程图;
图5为本发明第五实施例提供的一种鉴权方法的流程图;
图6为本发明第六实施例提供的一种鉴权装置的原理框图;
图7为本发明第七实施例提供的一种鉴权装置的原理框图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明提供的鉴权方法,考虑到5G的uRLLC应用场景要求快速的网络鉴权与网络响应,5G鉴权中引入了IMSI加密机制,而反复加密和解密IMSI获得网络鉴权后再进行业务专网数据分流,将会增加网络响应的时延,降低响应效率,因此,提出一种新的鉴权方法,可以针对uRLLC应用场景实现快速网络鉴权,获得快速网络响应,提升响应效率。
图1是本发明第一实施例提供的一种鉴权方法的流程图,应用于第一鉴权服务网元。如图1所示,该鉴权方法可包括如下步骤:
步骤S101,接收安全锚点网元发送的终端身份参数。
其中,终端身份参数为可以唯一标识终端的参数,而且,基站也正是根据终端身份参数将终端接入运营商网络,进而由运营商网络基于终端身份参数对终端进行鉴权和接入操作。在实际使用中,终端身份参数包括多种类型。按照终端身份参数是否加密来进行划分,终端身份参数包括加密终端身份参数和未加密终端身份参数,其中,常见的未加密终端身份参数包括国际移动用户识别码(即IMSI)和全球唯一临时终端标识(Globally UniqueTemporary UE Identity,简称GUTI),常见的加密终端身份参数为隐藏性用户标识符(即SUCI)等。
终端在第一次附着到网络时需要向基站和运营商网络提供终端身份参数,此时终端提供的终端身份参数为IMSI,而且IMSI信息是以明文形式进行传输的。终端在后续进行网络接入时,其接入请求中一般携带GUTI或者SUCI作为终端的身份参数,而不再以明文方式传输IMSI,从而尽量避免终端的IMSI被泄露。考虑到uRLLC应用场景下对网络时延较为敏感,且对响应速度具有较高要求,而使用SUCI作为终端身份参数进行鉴权时,需要进行反复加密和解密过程,因此,不可避免地导致时延增加,降低响应速率。因此,针对uRLLC应用场景,提供本实施例的鉴权方法,通过专属的鉴权服务网元和其它相关网元使用未加密的终端身份参数对终端进行鉴权,可以在保证终端身份参数安全的前提下,降低网络时延,提升响应速率。
在一个实施方式中,终端向基站发送注册请求,基站收到注册请求后,将注册请求转发至安全锚点网元,其中,注册请求中携带终端身份参数。安全锚点网元收到注册请求后,判断其中的终端身份参数是否为加密的终端身份参数(如,终端身份参数为SUCI,则判断终端身份参数为加密终端身份参数;终端身份参数为IMSI或者GUTI,则判断终端身份参数为未加密终端身份参数)。当安全锚点网元判断终端身份参数为加密终端身份参数时,安全锚点网元将终端身份参数发送至第一鉴权服务网元,以供第一鉴权服务网元对终端身份参数进行解密。
需要说明的是,当终端身份参数为未加密终端身份参数,按照默认的鉴权模式(如,EPA-AKA鉴权模式)对终端进行鉴权即可。
步骤S102,对终端身份参数进行解密,获得终端解密身份参数。
其中,终端身份参数和终端解密身份参数对应同一终端设备。
在一个实施方式中,第一鉴权服务网元收到安全锚点网元发送的终端身份参数后,调用统一数据管理网元,由统一数据管理网元对终端身份参数进行解密,从而获得终端解密身份参数。
需要说明的是,其他解密终端身份参数方法同样适用于本实施例。
步骤S103,将终端解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用终端解密身份参数对终端进行鉴权。
第一鉴权服务网元获得终端解密身份参数后,为加快鉴权过程,使用终端解密身份参数对终端进行鉴权,从而省略反复对IMSI进行加密和解密的过程。然而,直接由第一鉴权服务网元使用终端解密身份参数进行鉴权,存在泄漏终端解密身份参数的可能性,终端解密身份参数一旦泄露将会泄漏用户隐私。因此,为避免在鉴权过程中泄露终端解密身份参数,使用专属的鉴权服务网元、专属的接入和移动管理网元以及其它相关专属网元基于终端解密身份参数进行鉴权。其中,专属的鉴权服务网元、专属的接入和移动管理网元可以设置为网络切片的形式。网络切片为一种按需组网的方式,可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络,每个网络切片从无线接入网承载网再到核心网上进行逻辑隔离,以适配各种各样类型的应用。具体地,在本实施例中,设置鉴权分流切片来保护所述终端解密身份不泄露,鉴权分流切片即为具有保护终端解密身份参数不泄露的网络切片,其中,专属的接入和移动管理网元为可以接入鉴权分流切片的网元(如,预设专属的AMF-SET,终端通过AMF-SET中的接入和移动管理网元可以接入鉴权分流切片),专属的鉴权服务网元以及其它相关专属网元为处于鉴权分流切片中的网元。另外,为保障相关控制信令只在指定范围内传输,专属的接入和移动管理网元、专属的鉴权服务网元以及其它相关专属网元需要部署在指定范围内或者指定范围附近,与其他网络或网络设备视安全等级要求设置逻辑隔离或者物理隔离。
在一个实施方式中,第一鉴权服务网元将终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元。鉴权分流切片对应的接入和移动管理网元收到终端解密身份参数后,首先确认对应终端是否签约了运营商的鉴权分流服务,如果终端签约了鉴权分流服务(即终端具有享受鉴权分流切片提供的鉴权服务的权限),则鉴权分流切片对应的接入和移动管理网元向终端返回一个注册应答,并选择终端身份参数的加密模式为“无需加密”(如果终端未签约鉴权分流服务,则按照常规鉴权流程进行鉴权和接入等操作即可)。然后,鉴权分流切片对应的接入和移动管理网元向切片管理网元上报终端解密身份参数,切片管理网元接收终端解密身份参数后,查询终端解密身份参数对应终端的终端切片签约数据,并向鉴权分流切片对应的接入和移动管理网元发送终端切片签约数据。鉴权分流切片对应的接入和移动管理网元收到终端切片签约数据后,将终端切片签约数据下发至对应终端。终端收到对应的终端切片签约数据,并开启终端切片选择策略,基于终端切片签约数据和终端切片选择策略与鉴权分流切片建立连接。另外,鉴权分流切片对应的接入和移动管理网元将终端解密身份参数转发至处于鉴权分流切片中的第二鉴权服务网元。第二鉴权服务网元收到终端解密身份参数后,使用终端解密身份参数对与之相应的、且与鉴权分流切片建立连接的终端进行解密。
图2是本发明第二实施例提供的一种鉴权方法的流程图,应用于第一鉴权服务网元,与本发明第一实施例基本相同,区别之处在于:对终端解密身份参数进行标识,以便根据该标识将其发送至对应的第二鉴权服务网元。如图2所示,该鉴权方法可包括如下步骤:
步骤S201,接收安全锚点网元发送的终端身份参数。
本实施例中的步骤S201与本发明第一实施例中步骤S101的内容相同,在此不再赘述。
步骤S202,对终端身份参数进行解密,获得终端解密身份参数。
本实施例中的步骤S202与本发明第一实施例中步骤S102的内容相同,在此不再赘述。
步骤S203,对终端解密身份参数设置鉴权分流标识。
第一鉴权服务网元获得终端解密身份参数后,为终端解密身份参数设置一个鉴权分流标识,以便鉴权分流切片对应的接入和移动管理网元在收到终端解密身份参数后,通过鉴权分流标识可以快速准确地识别出需要转发至专属鉴权服务网元(即处于鉴权分流切片中的鉴权服务网元,也即本实施例中的第二鉴权服务网元)的终端解密身份参数。
步骤S204,将终端解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用终端解密身份参数对终端进行鉴权。
本实施例中的步骤S204与本发明第一实施例中步骤S103的内容相同,在此不再赘述。
图3是本发明第三实施例提供的一种鉴权方法的流程图,应用于第一鉴权服务网元,与本发明第一实施例基本相同,区别之处在于:当终端解密身份参数泄露时,将刷新后的终端解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用刷新后的终端解密身份参数重新进行鉴权。如图3所示,该鉴权方法可包括如下步骤:
步骤S301,接收安全锚点网元发送的终端身份参数。
本实施例中的步骤S301与本发明第一实施例中步骤S101的内容相同,在此不再赘述。
步骤S302,对终端身份参数进行解密,获得终端解密身份参数。
本实施例中的步骤S302与本发明第一实施例中步骤S102的内容相同,在此不再赘述。
步骤S303,将终端解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用终端解密身份参数对终端进行鉴权。
本实施例中的步骤S303与本发明第一实施例中步骤S103的内容相同,在此不再赘述。
步骤S304,当泄露终端解密身份参数时,接收终端发送的终端刷新解密身份参数。
终端解密身份参数虽然只在鉴权分流切片对应专属网络中使用与传输,但是仍然存在终端解密身份参数被泄漏的可能性。一旦泄露终端解密身份参数,则立即刷新终端的终端身份参数,获得新的终端解密身份参数,此参数即为终端刷新解密身份参数,然后使用终端刷新解密身份参数执行终端的再次鉴权和接入等操作。
在一个实施方式中,在paging寻呼、小区切换、重新驻网、GUTI刷新等场景下,核心网向终端发送identity request请求,要求终端上报IMSI。核心网在发送该下行指令(即identity request请求)的同时,在该下行信令中新增发送时间。终端收到identityrequest请求后,确定终端接收该下行指令的时间,通过接收时间与下行指令中携带的发送时间计算两者的时间差,该时间差即为发送下行指令与接收下行指令之间的时延。当时延大于预设时延阈值时,判断终端可能存在接入伪基站进而泄露终端解密身份参数的可能,此时,终端即刻刷新其终端身份参数,获得新的终端身份参数,获得的新的终端身份参数即为终端刷新解密身份参数。
步骤S305,将终端刷新解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用终端刷新解密身份参数对终端进行鉴权。
在一个实施方式中,第一鉴权服务网元接收终端发送的终端刷新解密身份参数,并将终端刷新解密身份参数通过鉴权分流切片对应的接入和移动管理网元转发至第二鉴权服务网元。第二鉴权服务网元收到终端刷新解密身份参数后,使用终端刷新解密身份参数按照鉴权流程对终端进行再次鉴权,并在终端通过鉴权之后,将终端接入核心网。
需要说明的是,当终端解密身份参数被泄露时,除终端侧进行终端身份参数刷新操作之外,核心网会向基站下发控制指令,要求终端与基站重新建立无线资源控制(RadioResource Control,简称RRC)连接(如,核心网将所有基站广播的主系统模块(MasterInformation Block,简称MIB)消息中的ACCESS CATEGORY对应位置(第32-63位)中的某一位预置为1,这样在建立RRC连接请求过程中会启动RRC重连接),由于在RRC重连接的过程中启用频点优先策略,终端会优先接入5G频点而非传统的2G频点,从而可以避免终端接入2G伪基站。
图4是本发明第四实施例提供的一种鉴权方法的流程图,应用于第二鉴权服务网元。如图4所示,该鉴权方法可包括如下步骤:
步骤S401,接收第一鉴权服务网元发送的终端解密身份参数。
其中,终端解密身份参数为第一鉴权服务网元对终端身份参数进行解密获得的参数,终端身份参数为安全锚点网元发送至第一鉴权服务网元的信息。
在一个实施方式中,终端向基站发送注册请求,基站收到注册请求后,将注册请求转发至安全锚点网元,其中,注册请求中携带终端身份参数。安全锚点网元收到注册请求后,判断其中的终端身份参数是否为加密的终端身份参数。当安全锚点网元判断终端身份参数为加密的终端身份参数时,安全锚点网元将终端身份参数发送至第一鉴权服务网元。
第一鉴权服务网元收到安全锚点网元发送的终端身份参数后,调用统一数据管理网元,由统一数据管理网元对终端身份参数进行解密,从而获得终端解密身份参数。
第一鉴权服务网元将解密获得的终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元。鉴权分流切片对应的接入和移动管理网元收到终端解密身份参数后,向切片管理网元上报终端解密身份参数,切片管理网元接收终端解密身份参数后查询终端解密身份参数对应终端的终端切片签约数据,并向鉴权分流切片对应的接入和移动管理网元发送终端切片签约数据。
鉴权分流切片对应的接入和移动管理网元收到终端切片签约数据后,将终端切片签约数据下发至对应终端。终端收到对应的终端切片签约数据,并开启终端切片选择策略,基于终端切片签约数据和终端切片选择策略与鉴权分流切片建立连接。
鉴权分流切片对应的接入和移动管理网元将终端解密身份参数转发至处于鉴权分流切片中的第二鉴权服务网元。第二鉴权服务网元收到第一鉴权服务网元发送的终端解密身份参数。
步骤S402,使用终端解密身份参数对终端解密身份参数对应终端进行鉴权。
在一个实施方式中,第二鉴权服务网元收到终端解密身份参数后,直接使用终端解密身份参数按照鉴权流程对终端进行鉴权,并在终端通过鉴权之后,将终端接入核心网。
可以理解的是,直接使用终端解密身份参数对终端进行鉴权,省略了使用SUCI等经过加密的终端身份参数进行鉴权时的解密和加密环节,减少了网络时延,提高了响应速度,达到了提升了响应效率的目的。
需要说明的是,第二鉴权服务网元、处于鉴权分流切片中的其它网元,以及鉴权分流切片对应的接入和移动管理网元均需要部署在指定区域内,以保证鉴权控制信令只在指定范围内传输,从而避免终端解密身份参数的泄漏。
图5是本发明第五实施例提供的一种鉴权方法的流程图,应用于第二鉴权服务网元,与本发明第四实施例基本相同,区别之处在于:当终端解密身份参数泄露时,基于刷新后的终端解密身份参数重新进行鉴权。如图5所示,该鉴权方法可包括如下步骤:
步骤S501,接收第一鉴权服务网元发送的终端解密身份参数。
本实施例中的步骤S501与本发明第一实施例中步骤S401的内容相同,在此不再赘述。
步骤S502,使用终端解密身份参数对终端解密身份参数对应终端进行鉴权。
本实施例中的步骤S502与本发明第一实施例中步骤S402的内容相同,在此不再赘述。
步骤S503,当泄露终端解密身份参数时,接收第一鉴权服务网元发送的终端刷新解密身份参数。
其中,所终端刷新解密身份参数为终端对终端解密身份参数进行刷新后生成的新的终端解密身份参数。
当终端解密身份参数被泄露时,为及时遏制泄漏终端解密身份参数带来的风险,避免造成更大的损失,终端即刻刷新其终端身份参数,获得终端刷新解密身份参数,并将终端刷新解密身份参数发送至第一鉴权服务网元,由第一鉴权服务网元通过鉴权分流切片对应的接入和移动管理网元将终端刷新解密身份参数发送至第二鉴权服务网元。第二鉴权服务网元接收终端刷新解密身份参数,并使用终端刷新解密身份参数代替之前的终端解密身份参数。
步骤S504,基于终端刷新解密身份参数对终端进行鉴权。
在一个实施方式中,第二鉴权服务网元收到终端刷新解密身份参数后,使用终端刷新解密身份参数按照鉴权流程对终端进行再次鉴权,并在终端通过鉴权之后,将终端接入核心网。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图6是本发明第六实施例提供的一种鉴权装置的原理框图,应用于第一鉴权服务网元。如图6所示,该鉴权装置包括:第一接收模块601、解密模块602和第一发送模块603。
第一接收模块601,用于接收安全锚点网元发送的终端身份参数。
其中,终端身份参数为可以唯一标识终端的参数。按照终端身份参数是否加密来进行划分,终端身份参数包括加密终端身份参数和未加密终端身份参数。常见的未加密终端身份参数包括IMSI和GUTI,常见的加密终端身份参数包括SUCI等。考虑到uRLLC应用场景下对网络时延较为敏感,且对响应速度具有较高要求,而使用SUCI作为终端身份参数进行鉴权时,需要进行反复加密和解密过程,因此,不可避免地导致时延增加,降低响应速率。因此,针对uRLLC应用场景,提供本实施例的鉴权装置使用未加密的终端身份参数对终端进行鉴权,可以在保证终端身份参数安全的前提下,降低网络时延,提升响应速率。
在一个实施方式中,终端向基站发送携带终端身份参数的注册请求,基站收到注册请求后,将注册请求转发至安全锚点网元。安全锚点网元收到注册请求后,判断其中的终端身份参数是否为加密的终端身份参数,并在判断终端身份参数为加密终端身份参数时,将终端身份参数发送至第一鉴权服务网元。第一鉴权服务网元通过第一接收模块601接收安全锚点网元发送的终端身份参数。
需要说明的是,当终端身份参数为未加密终端身份参数,按照默认的鉴权模式(如,EPA-AKA鉴权模式)对终端进行鉴权即可。
解密模块602,用于对终端身份参数进行解密,获得终端解密身份参数。
其中,终端身份参数和终端解密身份参数对应同一终端设备。
在一个实施方式中,第一鉴权服务网元收到安全锚点网元发送的终端身份参数后,通过解密模块602调用统一数据管理网元,由统一数据管理网元对终端身份参数进行解密,从而获得终端解密身份参数。
第一发送模块603,用于将终端解密身份参数发送至第二鉴权服务网元,以供第二鉴权服务网元使用终端解密身份参数对终端进行鉴权。
第一鉴权服务网元获得终端解密身份参数后,为加快鉴权过程,使用终端解密身份参数对终端进行鉴权,从而省略反复对IMSI进行加密和解密的过程。然而,直接由第一鉴权服务网元使用终端解密身份参数进行鉴权,存在泄漏终端解密身份参数的风险。因此,第一鉴权网元将终端解密身份参数发送至专属的鉴权服务网元,由专属的鉴权服务网元使用终端解密身份参数对终端进行鉴权。
在一个实施方式中,第一鉴权服务网元通过第一发送模块603将终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元。鉴权分流切片对应的接入和移动管理网元收到终端解密身份参数后,向切片管理网元上报终端解密身份参数,以获取终端切片签约数据,并将获取的终端切片签约数据下发至对应终端。终端收到对应的终端切片签约数据,并开启终端切片选择策略,基于终端切片签约数据和终端切片选择策略与鉴权分流切片建立连接。另外,鉴权分流切片对应的接入和移动管理网元将终端解密身份参数转发至处于鉴权分流切片中的第二鉴权服务网元。第二鉴权服务网元收到终端解密身份参数后,使用终端解密身份参数对与之相应的、且与鉴权分流切片建立连接的终端进行解密。
图7是本发明第七实施例提供的一种鉴权装置的原理框图,应用于第二鉴权服务网元。如图7所示,该鉴权装置包括:第二接收模块701和鉴权模块702。
第二接收模块701,用于接收第一鉴权服务网元发送的终端解密身份参数。
其中,终端解密身份参数为第一鉴权服务网元对终端身份参数进行解密获得的参数,终端身份参数为安全锚点网元发送至第一鉴权服务网元的信息。
在一个实施方式中,终端向基站发送携带终端身份参数的注册请求,基站收到注册请求后,将注册请求转发至安全锚点网元。安全锚点网元收到注册请求后,判断其中的终端身份参数是否为加密的终端身份参数。当安全锚点网元判断终端身份参数为加密的终端身份参数时,安全锚点网元将终端身份参数发送至第一鉴权服务网元。
第一鉴权服务网元收到安全锚点网元发送的终端身份参数后,调用统一数据管理网元,由统一数据管理网元对终端身份参数进行解密,从而获得终端解密身份参数。
第一鉴权服务网元将解密获得的终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元。鉴权分流切片对应的接入和移动管理网元收到终端解密身份参数后,向切片管理网元上报终端解密身份参数,切片管理网元接收终端解密身份参数后查询终端解密身份参数对应终端的终端切片签约数据,并向鉴权分流切片对应的接入和移动管理网元发送终端切片签约数据。
鉴权分流切片对应的接入和移动管理网元收到终端切片签约数据后,将终端切片签约数据下发至对应终端。终端收到对应的终端切片签约数据,并开启终端切片选择策略,基于终端切片签约数据和终端切片选择策略与鉴权分流切片建立连接。
鉴权分流切片对应的接入和移动管理网元将终端解密身份参数转发至处于鉴权分流切片中的第二鉴权服务网元。第二鉴权服务网元通过第二接收模块701收到第一鉴权服务网元发送的终端解密身份参数。
鉴权模块702,用于使用终端解密身份参数对终端解密身份参数对应终端进行鉴权。
在一个实施方式中,第二鉴权服务网元收到终端解密身份参数后,直接使用终端解密身份参数按照鉴权流程对终端进行鉴权,并在终端通过鉴权之后,将终端接入核心网。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (10)
1.一种鉴权方法,应用于第一鉴权服务网元,其特征在于,包括:
接收安全锚点网元发送的终端身份参数;
对所述终端身份参数进行解密,获得终端解密身份参数;
将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权。
2.根据权利要求1所述的鉴权方法,其特征在于,所述对所述终端身份参数进行解密,获得终端解密身份参数,包括:
调用统一数据管理网元对所述终端身份参数进行解密,获得所述终端解密身份参数。
3.根据权利要求1所述的鉴权方法,其特征在于,所述将所述终端解密身份参数发送至第二鉴权服务网元,包括:
将所述终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元,以供所述鉴权分流切片对应的接入和移动管理网元将所述终端解密身份参数转发至所述第二鉴权服务网元;其中,所述鉴权分流切片为具有保护所述终端解密身份不泄露的网络切片,所述第二鉴权服务网元为处于所述鉴权分流切片的网元。
4.根据权利要求3所述的鉴权方法,其特征在于,所述将所述终端解密身份参数发送至鉴权分流切片对应的接入和移动管理网元之前,还包括:
对所述终端解密身份参数设置鉴权分流标识,以供所述鉴权分流切片对应的接入和移动管理网元根据所述鉴权分流标识将所述终端解密身份参数转发至所述第二鉴权服务网元。
5.根据权利要求1所述的鉴权方法,其特征在于,所述将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权之后,还包括:
当泄露所述终端解密身份参数时,接收所述终端发送的终端刷新解密身份参数;其中,所终端刷新解密身份参数为所述终端对所述终端解密身份参数进行刷新后生成的新的终端解密身份参数;
将所述终端刷新解密身份参数发送至所述第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端刷新解密身份参数对所述终端进行鉴权。
6.一种鉴权方法,应用于第二鉴权服务网元,其特征在于,包括:
接收第一鉴权服务网元发送的终端解密身份参数;其中,所述终端解密身份参数为所述第一鉴权服务网元对终端身份参数进行解密获得的参数,所述终端身份参数为安全锚点网元发送至所述第一鉴权服务网元的信息;
使用所述终端解密身份参数对所述终端解密身份参数对应的终端进行鉴权。
7.根据权利要求6所述的鉴权方法,其特征在于,所述接收第一鉴权服务网元发送的终端解密身份参数,包括:
接收所述第一鉴权服务网元发送的、经鉴权分流切片对应的接入和移动管理网元转发的所述终端解密身份参数;其中,所述鉴权分流切片为具有保护所述终端解密身份不泄露的网络切片,所述第二鉴权服务网元为处于所述鉴权分流切片的网元。
8.根据权利要求6所述的鉴权方法,其特征在于,所述使用所述终端解密身份参数对所述终端解密身份参数对应的终端进行鉴权之后,还包括:
当泄露所述终端解密身份参数时,接收所述第一鉴权服务网元发送的终端刷新解密身份参数;其中,所终端刷新解密身份参数为所述终端对所述终端解密身份参数进行刷新后生成的新的终端解密身份参数;
基于所述终端刷新解密身份参数对所述终端进行鉴权。
9.一种鉴权装置,应用于第一鉴权服务网元,其特征在于,包括:
第一接收模块,用于接收安全锚点网元发送的终端身份参数;
解密模块,用于对所述终端身份参数进行解密,获得终端解密身份参数;
第一发送模块,用于将所述终端解密身份参数发送至第二鉴权服务网元,以供所述第二鉴权服务网元使用所述终端解密身份参数对终端进行鉴权。
10.一种鉴权装置,应用于第二鉴权服务网元,其特征在于,包括:
第二接收模块,用于接收第一鉴权服务网元发送的终端解密身份参数;其中,所述终端解密身份参数为所述第一鉴权服务网元对终端身份参数进行解密获得的参数,所述终端身份参数为安全锚点网元发送至所述第一鉴权服务网元的信息;
鉴权模块,用于使用所述终端解密身份参数对所述终端解密身份参数对应终端进行鉴权。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010567476.9A CN111741467B (zh) | 2020-06-19 | 2020-06-19 | 一种鉴权方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010567476.9A CN111741467B (zh) | 2020-06-19 | 2020-06-19 | 一种鉴权方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111741467A true CN111741467A (zh) | 2020-10-02 |
| CN111741467B CN111741467B (zh) | 2023-04-18 |
Family
ID=72651794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010567476.9A Active CN111741467B (zh) | 2020-06-19 | 2020-06-19 | 一种鉴权方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111741467B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961451A (zh) * | 2017-05-25 | 2017-07-18 | 网宿科技股份有限公司 | Cdn中的鉴权方法、鉴权系统、边缘节点及鉴权服务器 |
| CN109922474A (zh) * | 2017-08-07 | 2019-06-21 | 华为技术有限公司 | 触发网络鉴权的方法及相关设备 |
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110798833A (zh) * | 2018-08-03 | 2020-02-14 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
| CN110891269A (zh) * | 2018-09-10 | 2020-03-17 | 华为技术有限公司 | 一种数据保护方法、设备及系统 |
-
2020
- 2020-06-19 CN CN202010567476.9A patent/CN111741467B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106961451A (zh) * | 2017-05-25 | 2017-07-18 | 网宿科技股份有限公司 | Cdn中的鉴权方法、鉴权系统、边缘节点及鉴权服务器 |
| CN109922474A (zh) * | 2017-08-07 | 2019-06-21 | 华为技术有限公司 | 触发网络鉴权的方法及相关设备 |
| CN110167013A (zh) * | 2018-02-13 | 2019-08-23 | 华为技术有限公司 | 一种通信方法及装置 |
| CN110798833A (zh) * | 2018-08-03 | 2020-02-14 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
| CN110891269A (zh) * | 2018-09-10 | 2020-03-17 | 华为技术有限公司 | 一种数据保护方法、设备及系统 |
Non-Patent Citations (1)
| Title |
|---|
| QUALCOMM INCORPORATED: "S2-1901454 "The CR introduces a solution for slice-specific secondary authentication and authorization."", 《3GPP TSG_SA\WG2_ARCH》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111741467B (zh) | 2023-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10880747B2 (en) | Network slice allocation method, device, and system | |
| CN109600803B (zh) | 一种安全保护的方法、装置和系统 | |
| US11856402B2 (en) | Identity-based message integrity protection and verification for wireless communication | |
| US10470234B2 (en) | Communication method, network-side device, and user equipment | |
| CN108605225B (zh) | 一种安全处理方法及相关设备 | |
| CN113518312B (zh) | 一种通信方法、装置及系统 | |
| JP2020536461A (ja) | 電気通信ネットワークの物理的要素又は仮想要素にセキュリティエレメントに格納されている暗号化されたサブスクリプション識別子を送信する方法、対応するセキュリティエレメント、物理的要素又は仮想要素及びこのセキュリティエレメントと協働する端末 | |
| CN111818516B (zh) | 认证方法、装置及设备 | |
| CN112087724A (zh) | 一种通信方法、网络设备、用户设备和接入网设备 | |
| US10172003B2 (en) | Communication security processing method, and apparatus | |
| WO2021244447A1 (zh) | 信息保护方法、系统及通信装置 | |
| CN109152046B (zh) | 一种上行资源配置方法和相关设备 | |
| CN110830421B (zh) | 数据传输方法和设备 | |
| CN111741467B (zh) | 一种鉴权方法及装置 | |
| US8965343B1 (en) | Security key based authorization of transceivers in wireless communication devices | |
| US11576232B2 (en) | Method for establishing a connection of a mobile terminal to a mobile radio communication network and communication network device | |
| US20220030474A1 (en) | Communications device, infrastructure equipment, core network equipment and methods | |
| CN111726799B (zh) | 一种隐私保护方法及装置 | |
| CN115885496B (zh) | 一种通信方法及相关装置 | |
| WO2021147053A1 (zh) | 数据传输方法、装置及系统 | |
| CN116233848A (zh) | 一种数据传输保护方法、设备及系统 | |
| CN105376740B (zh) | 一种安全的重建方法、设备和系统 | |
| CN117692902A (zh) | 一种基于嵌入式家庭网关的智能家居的交互方法及系统 | |
| CN116567616A (zh) | 通信处理方法、装置及相关设备 | |
| CN116530119A (zh) | 保护无线网络中序列号的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |