CN112105015B - 二级认证的方法和装置 - Google Patents
二级认证的方法和装置 Download PDFInfo
- Publication number
- CN112105015B CN112105015B CN201910522598.3A CN201910522598A CN112105015B CN 112105015 B CN112105015 B CN 112105015B CN 201910522598 A CN201910522598 A CN 201910522598A CN 112105015 B CN112105015 B CN 112105015B
- Authority
- CN
- China
- Prior art keywords
- authentication
- identity
- network
- terminal device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/76—Group identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供了一种二级认证的方法和装置,该方法包括:核心网网络功能实体获取第一终端设备的身份标识,该第一终端设备的身份标识为第一网络的标识;该核心网网络功能实体向第二网络中的认证设备发送该第一终端设备的身份标识,该第一终端设备的身份标识用于确定该第二网络针对第一用户进行二级认证的身份标识,该第一用户的身份标识不同于该第一终端设备的身份标识。上述技术方案中,核心网网络功能实体可以向第二网络中的认证设备发送第一终端设备的身份标识,通过第一终端设备的身份标识可以确定第一用户的身份标识,第一用户的身份标识的隐式发送能够增强在二级认证过程中用户的身份标识的安全保护。
Description
技术领域
本申请涉及通信领域,并且更具体地,涉及一种二级认证的方法和装置。
背景技术
随着通信技术的快速发展,为了满足用户多样性的需求,运营商网络中可以部署很多网络切片来满足不同应用、不同垂直行业的需求。终端设备在被允许接入网络或网络切片之前,需要同网络和/或网络切片进行双向认证并得到网络和/或网络切片的授权。
目前第三代合作伙伴计划(3rd generation partnership project,3GPP)网络可以同时支持一级认证机制和二级认证机制,其中一级认证机制为终端设备与运营商网络之间的认证,二级认证为终端设备(或使用该终端设备的用户)与第三方网络之间的认证。
在二级认证过程中,第三方网络需要获取针对用户的身份标识,但该用户的身份标识通常是由运营商网络向终端设备请求后再转发给第三方网络,在用户的身份标识发送的整个过程中,存在被泄露的风险。
发明内容
本申请提供一种二级认证的方法和装置,能够增强在二级认证过程中用户的身份标识的安全保护。
第一方面,提供一种二级认证的方法,其特征在于,包括:核心网网络功能实体获取第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络的标识;所述核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,所述第一终端设备的身份标识用于确定所述第二网络针对第一用户进行二级认证的身份标识,所述第一用户的身份标识不同于所述第一终端设备的身份标识。
本申请实施例提供的技术方案中,核心网网络功能实体向第二网络中的认证设备发送第一终端设备的身份标识,该第一终端设备的身份标识用于确定第二网络针对第一用户进行二级认证的身份标识,使得核心网网络功能实体无需直接向第二网络中的认证设备发送用于二级认证的第一用户的身份标识,这种隐式发送方式增强了第一用户的身份标识的安全保护,能够更高效、有效地保护第一用户的身份标识。
进一步地,现有技术中,第一用户的身份标识是通过核心网网络功能实体向第一终端设备发送请求,第一终端设备在请求响应中将第一用户的身份标识发送给核心网网络功能实体,本申请实施例提供的二级认证的方法直接通过核心网网络功能实体将第一终端设备的身份标识发送给第二网络中的认证设备,带外发送方式可以节省用于向第一终端设备请求第一用户的身份标识的消息,从而提高网络中信令、数据交互的高效性,优化二级认证流程,优化网络资源,减少网络资源的浪费。
结合第一方面,在一种可能的实现方式中,所述核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,包括:所述核心网网络功能实体向所述第二网络中的认证设备发送二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识;以及,所述方法还包括:所述核心网网络功能实体接收所述第二网络中的认证设备发送的二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
结合第一方面,在一种可能的实现方式中,还包括:所述核心网网络功能实体向所述第一终端设备发送第一消息,所述第一消息用于请求所述第一用户的身份标识;所述核心网网络功能实体接收所述第一终端设备发送的第二消息;当所述第二消息中不包括所述第一用户的身份标识时,所述核心网网络功能实体根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
本申请实施例中,核心网网络功能实体需要向第一终端设备请求第一用户的身份标识,但第一终端设备可以不向核心网网络功能发送第一用户的身份标识,核心网网络功能实体可以获取第一终端设备的身份标识,这样核心网网络功能实体可以根据第一终端设备的身份标识针对第一用户进行二级认证,通过带外隐式发送第一用户的身份标识,增强了第一用户的身份标识的安全保护,能够更高效、有效地保护第一用户的身份标识,同时可以兼容新款终端设备和旧款终端设备的二级认证流程。
结合第一方面,在一种可能的实现方式中,还包括:在对所述第一用户进行二级认证之前,所述核心网网络功能实体获取所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
本申请实施例中,核心网网络功能实体在对第一终端设备进行二级认证之前向核心网网络功能发送第一终端设备的能力信息,核心网网络功能实体根据第一终端设备的能力信息可以确定可以不向第一终端设备请求第一用户的身份标识。而核心网网络功能实体可以获取第一终端设备的身份标识,这样核心网网络功能实体可以根据第一终端设备的身份标识针对第一用户进行二级认证,通过带外隐式发送第一用户的身份标识,增强了第一用户的身份标识的安全保护,能够更高效、有效地保护第一用户的身份标识,同时可以兼容新款终端设备和旧款终端设备的二级认证流程。
进一步地,本申请实施例提供的二级认证的方法可以节省用于向第一终端设备请求第一用户的身份标识的消息,从而提高网络中信令、数据交互的高效性,优化二级认证流程,优化网络资源,减少网络资源的浪费。
结合第一方面,在一种可能的实现方式中,所述第一终端设备的能力信息承载于所述第一终端设备与所述第一网络进行一级认证过程中的注册请求消息中。
第一终端设备的能力信息承载于二级认证流程以外,可以节省网络资源,提高现有网络资源的利用率。
结合第一方面,在一种可能的实现方式中,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,所述多个用户的身份标识包括所述第一用户的身份标识,所述方法还包括:所述核心网网络功能实体获取第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
结合第一方面,在一种可能的实现方式中,还包括:所述核心网网络功能实体选取用于所述二级认证的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法。
本申请实施例通过核心网网络功能实体选择第一终端设备和第二网络中的认证设备均支持的认证方法,并发送给第二网络中的认证设备作为第一终端设备和第二网络中的认证设备协商好的认证方法,相当于核心网网络功能实体与第一终端设备完成了认证算法的协商流程,无需第一终端设备和第二网络中的认证设备进行协商,从而可以缩短消息的交互流程,减少时延,节省网络资源。
结合第一方面,在一种可能的实现方式中,所述核心网网络功能实体选取用于所述二级认证的第一认证方法,包括:所述核心网网络功能实体获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;所述核心网网络功能实体根据所述第一认证方法集合和所述第二认证方法集合确定所述第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均优选的认证方法;所述核心网网络功能实体向所述第二网络中的认证设备发送所述第一认证方法。
结合第一方面,在一种可能的实现方式中,第二认证方法集合存储于所述核心网网络功能实体中,和/或所述第一认证方法集合存储于所述第一终端设备和/或所述核心网网络功能实体中。
结合第一方面,在一种可能的实现方式中,还包括:所述核心网获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;当所述第一认证方法集合和所述第二认证方法集合没有交集时,所述核心网向所述第二网络中的认证设备发送所述第一认证方法集合或者第二指示,其中所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
当第一认证方法集合和第二认证方法集合没有交集时,通过向第二网络中的认证设备提供第一终端设备优选的认证方法列表,可以使第二网络中的认证设备从中选择自己能够支持的认证方法,减少了与第一终端设备协商交互的流程和时延。
第二方面,提供一种二级认证的方法,其特征在于,包括:接收核心网网络功能实体发送的第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络的标识;根据所述第一终端设备的身份标识以及所述第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,确定所述第一用户的身份标识,所述第一用户的身份标识不同于所述第一终端设备的身份标识;根据所述第一用户的身份标识对所述第一用户进行二级认证。
本申请实施例中,第二网络中的认证设备通过第一终端设备的身份标识以及第一终端设备的身份标识和第一用户的身份标识的映射关系,可以确定第一用户的身份标识,从而无需使核心网网络功能实体向第一终端设备请求第一用户的身份标识,隐式发送第一用户的身份标识的方式能够提高第一用户的身份标识的安全保护,减少或杜绝用户的身份标识泄露的风险。
结合第二方面,在一种可能的实现方式中,所述接收核心网网络功能实体发送的第一终端设备的身份标识,包括:接收所述核心网网络功能实体发送的二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识;所述根据所述第一用户的身份标识对所述第一用户进行二级认证,包括:向所述核心网网络功能实体发送二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
结合第二方面,在一种可能的实现方式中,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,所述多个用户的身份标识包括所述第一用户的身份标识,所述方法还包括:接收核心网网络功能实体发送的第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
结合第二方面,在一种可能的实现方式中,还包括:接收核心网网络功能实体发送的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法;根据所述第一认证方法对所述第一用户进行二级认证。
结合第二方面,在一种可能的实现方式中,还包括:接收核心网网络功能实体发送的第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法;从所述第一认证方法集合中选取第二认证方法,所述第二认证方法为所述第二网络中的认证设备支持的认证方法;根据所述第二认证方法对所述第一用户进行二级认证。
结合第二方面,在一种可能的实现方式中,还包括:接收核心网网络功能实体发送的第二指示,所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
第三方面,提供一种二级认的证方法,其特征在于,包括:建立第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,所述第一终端设备的身份标识为第一网络的标识;向核心网网络功能实体发送所述第一终端设备的身份标识,或者向核心网网络功能实体发送所述第一终端设备的身份标识和第一指示,其中所述第一指示用于在所述第二网络针对多个用户进行二级认证的身份标识中确定所述第一用户的身份标识。
结合第三方面,在一种可能的实现方式中,还包括:在对所述第一用户进行二级认证之前,向所述核心网网络功能实体发送所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
结合第三方面,在一种可能的实现方式中,还包括:向所述核心网网络功能实体发送第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法。
第四方面,提供一种二级认证的方法,其特征在于,包括:核心网网络功能实体选取用于二级认证的第一认证方法,所述第一认证方法为第一终端设备和第二网络中的认证设备均支持的认证方法;所述核心网网络功能实体向第二网络中的认证设备发送所述第一认证方法。
本申请实施例通过核心网网络功能实体选择第一终端设备和第二网络中的认证设备均支持的认证方法,并发送给第二网络中的认证设备作为第一终端设备和第二网络中的认证设备协商好的认证方法,相当于核心网网络功能实体与第一终端设备完成了认证算法的协商流程,无需第一终端设备和第二网络中的认证设备进行协商,从而可以缩短消息的交互流程,减少时延,节省网络资源。
结合第四方面,在一种可能的实现方式中,所述核心网网络功能实体选取用于所述二级认证的第一认证方法,包括:所述核心网网络功能实体获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;所述核心网网络功能实体根据所述第一认证方法集合和所述第二认证方法集合确定所述第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均优选的认证方法。
结合第四方面,在一种可能的实现方式中,第二认证方法集合存储于所述核心网网络功能实体中,和/或所述第一认证方法集合存储于所述第一终端设备和/或所述核心网网络功能实体中。
结合第四方面,在一种可能的实现方式中,还包括:所述核心网网络功能实体获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;当所述第一认证方法集合和所述第二认证方法集合没有交集时,所述核心网网络功能实体向所述第二网络中的认证设备发送所述第一认证方法集合或者第二指示,其中所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
结合第四方面,在一种可能的实现方式中,所述核心网网络功能实体选取用于所述二级认证的第一认证方法,包括:所述核心网网络功能实体向第一终端设备发送第二认证方法集合,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;所述核心网网络功能实体接收第一终端设备根据所述第二认证方法集合确定的第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法。
结合第四方面,在一种可能的实方式中,所述第一认证方法集合包括所述第一认证方法在内的多种认证方法,所述方法还包括:所述核心网网络功能实体根据所述第一认证方法集合确定所述第一认证方法。
第五方面,提供一种装置,包括用于执行第一方面或第一方面中任一种可能实现方式中方法的模块或单元;或者该装置包括用于执行第四方面或第四方面中任一种可能实现方式中方法的模块或单元。
第六方面,提供一种装置,包括用于执行第二方面或第二方面中任一种可能实现方式中方法的模块或单元。
第七方面,提供一种装置,包括用于执行第三方面或第三方面中任一种可能实现方式中方法的模块或单元。
第八方面,提供一种通信装置,该通信装置可以为上述方法设计中的核心网网络功能实体,或者为设置在核心网网络功能实体中的芯片。该通信装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第一方面及其任意一种可能的实现方式中核心网网络功能实体所执行的方法,或者第四方面及其任意一种可能的实现方式中核心网网络功能实体所执行的方法。可选地,该通信装置还包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
当该通信装置为核心网网络功能实体时,该通信接口可以是收发器,或,输入/输出接口。
当该通信装置为配置于核心网网络功能实体中的芯片时,该通信接口可以是输入/输出接口。
第九方面,提供了一种通信装置,该通信装置可以为上述方法设计中的第二网络中的认证设备,或者为设置在第二网络中的认证设备中的芯片。该装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第二方面及其任意一种可能的实现方式中接入网设备所执行的方法。可选地,该装置还包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
当该通信装置为第二网络中的认证设备时,该通信接口可以是收发器,或,输入/输出接口。
当该通信装置为配置于第二网络中的认证设备中的芯片时,该通信接口可以是输入/输出接口。
第十方面,提供了一种通信装置,该通信装置可以为上述方法设计中的第一终端设备,或者为设置在第一终端设备中的芯片。该装置包括:处理器,与存储器耦合,可用于执行存储器中的指令,以实现上述第三方面及其任意一种可能的实现方式中第一终端设备所执行的方法,或者,可选地,该通信装置还包括存储器。可选地,该通信装置还包括通信接口,处理器与通信接口耦合。
当该通信装置为第一终端设备时,该通信接口可以是收发器,或,输入/输出接口。
当该通信装置为配置于第一终端设备中的芯片时,该通信接口可以是输入/输出接口。
第十一方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行上述第一方面至第四方面及其可能的实现方式中的任一方法。
第十二方面,提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述第一方面至第四方面及其可能的实现方式中的任一方法。
第十三方面,提供了一种通信系统,该通信系统包括上述核心网网络功能实体、上述第二网络中的认证设备和上述第一终端设备。
附图说明
图1是本申请实施例的网络系统架构示意图;
图2是本申请实施例的终端设备与网络的认证流程示意图;
图3是本申请一个实施例提供的二级认证的方法的示意性流程图;
图4是本申请另一个实施例提供的二级认证的方法的示意性流程图;
图5是本申请另一个实施例提供的二级认证的方法的示意性流程图;
图6是本申请又一个实施例提供的二级认证的方法的示意性流程图;
图7是本申请又一个实施例提供的二级认证的方法的示意性流程图;
图8是本申请再一个实施例提供的二级认证的方法的示意性流程图;
图9是本申请再一个实施例提供的二级认证的方法的示意性流程图;
图10是本申请再一个实施例提供的二级认证的方法的示意性流程图;
图11是本申请再一个实施例提供的二级认证的方法的示意性流程图;
图12是本申请再一个实施例提供的二级认证的方法的示意性流程图;
图13是本申请一个实施例提供的装置的示意性结构图;
图14是本申请一个实施例提供的通信装置的示意性结构图;
图15是本申请另一个实施例提供的装置的示意性结构图;
图16是本申请另一个实施例提供的通信装置的示意性结构图;
图17是本申请又一个实施例提供的装置的示意性结构图;
图18是本申请又一个实施例提供的通信装置的示意性结构图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(globalsystem of mobile communication,GSM)系统、码分多址(code division multipleaccess,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、第五代(5th generation,5G)系统或新无线(newradio,NR)以及未来的第六代通信系统等。
各种通信系统中由运营者运营的部分可称为运营商网络。运营商网络也可称为公共陆地移动网络(public land mobile network,PLMN)网络,是由政府或它所批准的经营者,为公众提供陆地移动通信业务目的而建立和经营的网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的运营商网络或PLMN网络,具体可为符合第三代合作伙伴项目(3rdgeneration partnership project,3GPP)标准要求的网络,简称3GPP网络。通常3GPP网络由运营商来运营,包括但不限于第五代移动通信(5th-generation,5G)网络(简称5G网络)、第四代移动通信(4th-generation,4G)网络(简称4G网络)、第三代移动通信技术(3rd-generation,3G)网络(简称3G网络)和第二代无线电话技术(2nd-generation wirelesstelephone technology,2G)网络(简称2G网络)等。为了方便描述,本申请实施例中将以运营商网络(即MNO网络)为例进行说明。
随着移动带宽接入服务的扩展,MNO的网络也会随之发展以便更好地支持多样化的商业模式,满足更加多样化的应用业务以及更多行业的需求。为了给更多的行业提供更好、更完善的服务,下一代网络(即5G网络)相对于4G网络也做了网络架构调整。例如,5G网络将4G网络中的移动管理实体(mobility management entity,MME)进行拆分,拆分为包括接入与移动性管理功能(access and mobility management function,AMF)和会话管理功能(session management function,SMF)等多个网络功能。
图1示出了本申请实施例的网络架构的示意图,以3GPP标准化过程中定义的基于服务化架构的5G网络架构为例,如图1所示,该网络架构可以包括三部分,分别是终端设备部分、运营商网络和数据网络(data network,DN)。
终端设备部分包括终端设备110,终端设备110也可以称为用户设备(userequipment,UE)。本申请实施例中的终端设备110是一种具有无线收发功能的设备,可以经接入网(access network,AN)140中的接入网设备与一个或多个核心网(core network,CN)进行通信。终端设备110也可称为接入终端、终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线网络设备、用户代理或用户装置等。终端设备110可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端设备110可以是蜂窝电话(cellularphone)、无绳电话、会话启动协议(session initiation protocol,SIP)电话、智能电话(smart phone)、手机(mobile phone)、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA),可以是具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它设备、车载设备、可穿戴设备、无人机设备或物联网、车联网中的终端、第五代移动通信(fifth generation,5G)网络以及未来网络中的任意形态的终端、中继用户设备或者未来演进的公用陆地移动通信网络(public land mobilenetwork,PLMN)中的终端等,其中,中继用户设备例如可以是5G家庭网关(residentialgateway,RG)。例如终端设备110可以是虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等。本申请实施例对此并不限定。
运营商网络可以包括网络开放功能(network exposure function,NEF)131、网络存储功能(network function repository function,NRF)132、策略控制功能(policycontrol function,PCF)133、统一数据管理(unified data management,UDM)网元134、应用功能(application function,AF)135、认证服务器功能(authentication serverfunction,AUSF)136、接入与移动性管理功能(access and mobility managementfunction,AMF)137、会话管理功能(session management function,SMF)138、用户面功能(user plane function,UPF)139以及(无线)接入网((radio)access network,(R)AN)140等。上述运营商网络中,除(无线)接入网140部分之外的部分可以称为核心网络(corenetwork,CN)部分或核心网部分。为方便说明,本申请实施例中以(R)AN 140为RAN为例进行说明。
数据网络DN 120,也可以称为分组数据网络(packet data network,PDN),通常是位于运营商网络之外的网络,例如第三方网络。运营商网络可以接入多个数据网络DN120,数据网络DN 120上可部署多种业务,可为终端设备110提供数据和/或语音等服务。例如,数据网络DN 120可以是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备110,数据网络DN 120中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,数据网络DN 120可以是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备110,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
终端设备110可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备110还可通过运营商网络访问数据网络DN 120,使用数据网络DN 120上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终端设备110之外的服务方,可为终端设备110提供其他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
下面对运营商网络中的网络功能进行简要介绍。
接入网RAN 140是运营商网络的子网络,是运营商网络中业务节点与终端设备110之间的实施系统。终端设备110要接入运营商网络,首先是经过RAN 140,进而可通过RAN140与运营商网络的业务节点连接。本申请实施例中的接入网设备(RAN设备),是一种为终端设备110提供无线通信功能的设备,也可以称为网络设备,RAN设备包括但不限于:5G系统中的下一代基站节点(next generation node basestation,gNB)、长期演进(long termevolution,LTE)中的演进型节点B(evolved node B,eNB)、无线网络控制器(radionetwork controller,RNC)、节点B(node B,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolvednodeB,或home node B,HNB)、基带单元(base band unit,BBU)、传输点(transmitting andreceiving point,TRP)、发射点(transmitting point,TP)、小基站设备(pico)、移动交换中心,或者未来网络中的网络设备等。应理解,本文对接入网设备的具体类型不作限定。采用不同无线接入技术的系统中,具备接入网设备功能的设备的名称可能会有所不同。为方便描述,本申请所有实施例中,上述为终端设备110提供无线通信功能的装置统称为接入网设备。
接入与移动性管理功能AMF(也可以称为AMF网络功能或AMF网络功能实体)137是由运营商网络提供的控制面网络功能,负责终端设备110接入运营商网络的接入控制和移动性管理,例如包括移动状态管理,分配用户临时身份标识,认证和授权用户等功能。
会话管理功能SMF(也可以称为SMF网络功能或SMF网络功能实体)138是由运营商网络提供的控制面网络功能,负责管理终端设备110的协议数据单元(protocol dataunit,PDU)会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与数据网络DN 120互相传送PDU。PDU会话由SMF网络功能138负责建立、维护和删除等。SMF网络功能138包括会话管理(如会话建立、修改和释放,包含用户面功能UPF 139和接入网AN 140之间的隧道维护)、UPF网络功能139的选择和控制、业务和会话连续性(service and sessioncontinuity,SSC)模式选择、漫游等会话相关的功能。
用户面功能UPF(也可以称为UPF网络功能或UPF网络功能实体)139是由运营商提供的网关,是运营商网络与数据网络DN 120通信的网关。UPF网络功能139包括数据包路由和传输、包检测、业务用量上报、服务质量(quality of service,QoS)处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。
统一数据管理网元UDM(也可以称为UDM网络功能或UDM网络功能实体)134是由运营商提供的控制面功能,负责存储运营商网络中签约用户的用户永久标识符(subscriberpermanent identifier,SUPI)、信任状(credential)、安全上下文(security context)、签约数据等信息。其中SUPI在传输过程中会先进行加密,加密后的SUPI被称为隐藏的用户签约标识符(subscription concealed identifier,SUCI)。UDM网络功能134所存储的这些信息可用于终端设备110接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用中国电信的手机芯卡的用户,或者使用中国移动的手机芯卡的用户等。上述签约用户的永久签约标识SUPI可为该手机芯卡的号码等。上述签约用户的信任状、安全上下文可为该手机芯卡的加密密钥或者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。上述安全上下文可为存储在用户本地终端(例如手机)上的数据(cookie)或者令牌(token)等。上述签约用户的签约数据可为该手机芯卡的配套业务,例如该手机芯卡的流量套餐或者使用网络等。需要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同认证、授权相关的信息,在本申请实施例中,为了描述方便起见不做区分、限制。如果不做特殊说明,本申请实施例将以用安全上下文为例来进行描述,但本申请实施例同样适用于其他表述方式的认证、和/或授权信息。
认证服务器功能AUSF(也可以称为AUSF网络功能或AUSF网络功能实体)136是由运营商提供的控制面功能,通常用于一级认证,即终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能136接收到签约用户发起的认证请求之后,可通过UDM网络功能134中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM网络功能134生成签约用户的认证和/或授权信息。AUSF网络功能136可向签约用户反馈认证信息和/或授权信息。
网络开放功能NEF(也可以称为NEF网络功能或NEF网络功能实体)131是由运营商提供控制面功能。NEF网络功能131以安全的方式对第三方开放运营商网络的对外接口。在SMF网络功能138需要与第三方的网络功能通信时,NEF网络功能131可作为SMF网络功能138与第三方的网络实体通信的中继。NEF网络功能131作为中继时,可作为签约用户的标识信息的翻译,以及第三方的网络功能的标识信息的翻译。比如,NEF网络功能131将签约用户的SUPI从运营商网络发送到第三方时,可以将SUPI翻译成其对应的外部身份标识(identity,ID)。反之,NEF网络功能131将外部ID(第三方的网络实体ID)发送到运营商网络时,可将其翻译成SUPI。
策略控制功能PCF(也可以称为PCF网络功能或PCF网络功能实体)133是由运营商提供的控制面功能,用于向SMF网络功能138提供PDU会话的策略。策略可以包括计费相关策略、QoS相关策略和授权相关策略等。
网络切片选择功能(network slice selection function,NSSF)(图中未示出),负责确定网络切片实例,选择AMF网络功能137等。
图1中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。需要说明的是,图1中仅以终端设备110为UE作出了示例性说明,图1中的各个网络功能之间的接口名称也仅仅是一个示例,在具体实现中,该系统架构的接口名称还可能为其他名称,本申请实施例对此不做具体限定。
本申请实施例中的移动性管理网络功能可以是图1所示的AMF网络功能137,也可以是未来通信系统中的具有上述AMF网络功能137的其他网络功能。或者,本申请中的移动性管理网络功能还可以是长期演进(long term evolution,LTE)中的移动性管理实体(mobility management entity,MME)等。
为方便说明,本申请实施例中以移动性管理网络功能为AMF网络功能137为例进行说明。进一步地,将AMF网络功能137简称为AMF,将终端设备110称为UE,即本申请实施例中后文所描述的AMF均可替换为移动性管理网络功能,UE均可替换为终端设备。
图1中示出的网络架构(例如5G网络架构)采用基于服务的架构和通用接口,传统网元功能基于网络功能虚拟化(network function virtualization,NFV)技术拆分成若干个自包含、自管理、可重用的网络功能服务模块,通过灵活定义服务模块集合,可以实现定制化的网络功能重构,对外通过统一的服务调用接口组成业务流程。图1中示出的网络架构示意图可以理解为一种非漫游场景下基于服务的5G网络架构示意图。在该架构中,根据特定场景需求,将不同网络功能按需有序组合,可以实现网络的能力与服务的定制化,从而为不同业务部署专用网络,实现5G网络切片(network slicing)。网络切片技术可以使运营商能够更加灵活、快速地响应客户需求,支持网络资源的灵活分配。
网络切片简单理解就是将运营商的物理网络切割成多个虚拟的端到端的网络,每个虚拟网络之间,包括网络内的设备、接入、传输和核心网,是逻辑独立的,任何一个虚拟网络发生故障都不会影响到其它虚拟网络。目前,多种多样的场景对第三代合作伙伴计划(3rd generation partnership project,3GPP)生态系统提出了不同的需求,如计费、策略、安全、移动性等需求。3GPP强调了网络切片之间不相互影响,例如突发的大量的抄表业务不应该影响正常的移动宽带业务。为了满足多样性需求和切片间的隔离,需要业务间相对独立的管理和运维,并提供量身定做的业务功能和分析能力。不同类型业务的实例可以部署在不同的网络切片上,相同业务类型的不同实例也可部署在不同的网络切片上。
5G网络中的切片是一个虚拟的专用网络,它是由一组网络功能、子网络所构成。比如,图1中的子网络RAN 140、AMF网络功能137、SMF网络功能138、UPF网络功能139可以组成一个切片。图1中的每种网络功能只示意性地画出了一个,而在实际网络部署中,每种网络功能或子网络可以有多个、数十个或上百个。运营商网络中可以部署很多网络切片,每个切片可以有不同的性能来满足不同应用、不同垂直行业的需求。运营商可以根据不同垂直行业客户的需求,“量身定做”一个切片。运营商也可以允许一些行业客户享有较大的自主权,参与切片的部分管理、控制功能。其中,切片级的认证就是由行业客户参与的一种网络控制功能,即对终端用户接入切片进行认证和授权,本申请实施例可以简称为“切片认证”。
仍以图1为例,当核心网CN部署了网络切片,UE 110需要接入到某个网络切片时,UE 110可以提供请求的网络切片给核心网。其中,UE 110请求的网络切片,可以用请求的网络切片集合来表示,或者也可以表示为请求的网络切片选择辅助信息(requested networkslice selection assistance information,requested NSSAI)。网络切片集合包括一个或多个网络切片。requested NSSAI是由一个或多个单网络切片选择辅助信息(singlenetwork slice selection assistance information,S-NSSAI)来表示构成,每个S-NSSAI用于标识一个网络切片类型,也可以理解为,S-NSSAI用于标识网络切片,或者可以理解为S-NSSAI是网络切片的标识信息。为方便理解,在后文的描述中,本申请实施例对“网络切片”或是“S-NSSAI”不做严格区分,二者可以同样适用。本申请实施例中的“网络切片”也可以称为“切片”或“网络切片实例”,三者具有相同的含义,在此统一说明,后文不再赘述。
UE 110向网络发送注册请求后,核心网网络功能(如AMF网络功能137或NSSF网络功能)根据UE 110的签约数据、UE 110的requested NSSAI、漫游协议以及本地配置等信息综合判断,为UE 110选择允许接入的网络切片集合。其中,允许接入的网络切片集合可以用允许的(allowed)NSSAI来表示,allowed NSSAI包含的S-NSSAI均为当前运营商网络允许接入的S-NSSAI。
UE 110在被允许接入网络或网络切片之前,需要同网络和/或网络切片进行双向认证并得到网络和/或网络切片的授权。目前,在5G标准中,网络对UE 110的认证与授权都是由运营商网络直接进行,这类认证授权方法被称为一级认证(primaryauthentication)。
随着垂直行业和物联网的发展,可以预见,运营商网络之外的数据网络DN 120(如服务于垂直行业的DN),对于接入到该DN 120的UE 110同样有认证与授权的需求。比如,某商业公司提供了游戏平台,通过运营商网络,为游戏玩家提供游戏服务。一方面,由于玩家使用的UE 110是通过运营商网络接入游戏平台,运营商网络需要对该UE 110进行认证和授权,即一级认证。游戏玩家是商业公司的客户,该商业公司也需要对游戏玩家进行认证、授权,这种认证如果是基于网络切片的,或者说认证是以切片为单位的,则该认证可以被称为切片认证(slice authentication)或称为二级认证,或称为基于切片的认证(slice-specific authentication)。
需要说明的是,不管是上述一级认证,还是二级认证,都是针对UE 110(或使用该UE 110的某个用户)与网络(运营商网络或第三方网络)之间的认证。比如,针对一级认证,指的是UE与运营商网络之间的认证,如在UE 110的注册流程中运营商网络对UE110执行一级认证,若一级认证通过则可以建立该UE 110的安全上下文。再比如,针对二级认证,指的是UE 110(或使用该UE 110的用户)与运营商网络之外的网络(即第三方网络)之间的认证,第三方网络会将二级认证结果通知运营商网络,以便运营商网络授权或拒绝该UE 110接入为第三方网络服务的运营商网络。
需要说明的是,本申请实施例中也可以将二级认证称为针对切片的二级认证,或切片认证,或对用户(使用UE 110的用户)进行身份认证,其具有的含义实际是:UE 110(或使用该UE 110的用户)与第三方网络之间执行的二级认证,其认证结果,将会决定运营商网络是否授权UE接入该切片。还应理解,本申请实施例中应用于二级认证的方法也同样适用于基于会话的二次认证(secondary authentication)或基于切片的二次认证等场景,在此不再详述。
图2示出了终端设备与网络的认证流程示意图。终端设备与网络的认证流程包括一级认证流程和二级认证流程,其中一级认证流程为UE与运营商网络之间的认证过程,二级认证流程为使用该UE或使用该UE的某个用户与第三方网络之间的认证过程。在本申请实施例中,描述“UE与第三方网络之间的二级认证过程”可以理解为是使用该UE的某个用户与第三方网络之间的二级认证过程。如图2所示,示例性的,一级认证流程为UE 210与核心网CN 230之间的认证过程,二级认证流程为使用UE 210的用户与数据网络DN 220之间的认证过程,该一级认证流程和二级认证流程均可以理解为是UE 110的注册流程的一部分。为了方便理解和描述,本申请实施例中以DN 220中的认证设备为认证、授权和计费(authentication、authorization、accounting,AAA)服务器为例进行说明,AAA服务器可以表示为AAA-S(AAA server),AAA代理功能(AAA-proxy function,AAA-F)网元可以位于核心网CN 230中。
参考图2,UE 210注册流程的主要步骤可以如下:
步骤1,终端设备向网络发送接入网络的注册请求,并携带终端设备的身份信息。示例性的,UE 210可以向核心网CN 230中的AMF网络功能实体237发送接入请求,并携带UE210的身份信息,例如加密的身份信息SUCI或者临时身份信息例如全球唯一临时身份标识(globally unique temporary identifier,GUTI)。
步骤2,网络根据终端设备发送的终端设备的身份信息,判断是否发起网络与终端设备之间进行一级认证。示例性的,AMF网络功能实体237可以将从UE 210接收的加密的身份信息SUCI转发给UDM网络功能实体234,由UDM网络功能实体234对SUCI进行解密从而还原出UE 210的真实身份信息SUPI,然后再将SUPI返回给AMF网络功能实体237。AMF网络功能实体237根据UE 210的真实身份SUPI发起网络与UE 210之间的一级认证流程。
步骤3,终端设备与网络之间的一级认证成功后,网络可以授权终端设备允许其接入运营商网络。示例性的,一级认证成功后,AMF网络功能实体237授权UE 210可以接入网络。
经过步骤1至步骤3后,终端设备与网络之间的一级认证过程可以认为是已经完成。另一方面,如果步骤1中UE发送的是临时身份信息GUTI,那么在步骤2中,AMF检查网络侧的GUTI有效性,如果有效则表明以前的一级认证仍然有效,不必进行一级认证。
步骤4,网络判断终端设备是否还需要进行进一步的二级认证。示例性的,AMF网络功能实体237根据AMF网络功能实体237本地或者UDM网络功能实体234的信息判断UE 210申请接入的切片是否还需要进行进一步地切片认证(即二级认证)。
步骤5,如果终端设备需要进行二级认证,网络可以触发终端设备与数据网络DN之间的二级认证流程。示例性的,在UE 210需要进行二级认证时,AMF网络功能实体237触发UE210与DN 220之间的二级认证流程。本申请实施例以二级认证为切片认证为例,该切片认证流程可以是基于标准组织-国际互联网工程任务组(internet engineering task force,IETF)制定的可扩展的身份验证协议(extensible authentication protocol,EAP)标准作为基本认证机制。该EAP机制具有很大的灵活性,可以支持数十种具体的EAP认证方法。
应理解,本申请实施例中所述的终端设备需要进行二级认证,可以理解为使用该终端设备的某个用户需要进行二级认证,以二级认证为切片认证为例,UE 210需要进行二级认证可以理解为使用该UE 210的某个用户需要进行二级认证。
步骤6,终端设备与数据网络之间通过多轮信令交互,完成二级认证,并由数据网络将二级认证结果通知运营商网络,从而使运营商网络根据二级认证结果继续执行其他流程,如剩余的注册流程、终止注册流程或其他相关流程,这里不一一列出。示例性的,以二级认证为切片认证为例,使用UE 210的某个用户与DN 220之间进行二级认证时需要经过多轮信令交互完成切片认证,其中DN 220需要获取UE 110与DN 220之间签约的用户身份信息,即上述使用UE 210的某个用户的身份信息,为方便描述,本申请实施例中将该用户身份信息称为DN用户身份标识(DN user identity,DUI),在一些实施例中也可以将该用户身份信息称为用户ID。用于二级认证的用户ID是终端设备与除运营商网络之外的外部网络的签约信息,运营商网络不一定会有该信息。以图2中所示为例,UE 210将DUI发送给核心网CN 230中的AMF网络功能实体237,AMF网络功能实体237可以将DUI转发给DN 220中的认证设备(例如图中示出的AAA-S 221),二级认证成功后DN 220中的认证设备将二级认证结果通知AMF网络功能实体237。需要说明的是,在一些实施例中,DUI信息是放入消息容器(container)中发送给AMF,并由AMF直接把该容器转发给DN,即所谓的“透传”。在这种情况,AMF不解析容器中的DUI信息,即AMF不知道用户的DUI信息。另外,在一些实施例中,可以通过AAA-F 238将DUI从AMF网络功能实体237转发至DN 220中的认证设备。至此,终端设备与网络之间的一级认证流程和二级认证流程完成,运营商网络可以继续进行终端设备的其他注册流程。
上文提到终端设备与数据网络之间的二级认证过程可以基于EAP认证机制,其中EAP认证机制可以支持数十种具体的EAP认证方法。不同的终端设备针对同一数据网络可支持的EAP认证方法可以不同,也可以相同;同一终端设备针对不同的数据网络来说其可支持的EAP认证方法可以不同,也可以相同;不同的数据网络可支持的EAP认证方法可以不同,也可以相同。针对一个终端设备来说,其可支持的EAP认证方法可以为一个或多个;对于一种数据网络来说,其可支持的EAP认证方法可以为一个或多个。但终端设备与数据网络之间进行二级认证时需要采用终端设备和数据网络均支持的EAP认证方法。应理解,本申请实施例中,数据网络支持的EAP认证方法也可以理解为是数据网络中的认证设备所支持的EAP认证方法,两种表述含义相同,本申请实施例不做严格区分。
示例性的,以终端设备和数据网络之间采用传输层安全EAP(EAP-transportlayer security,EAP-TLS)认证方法为例,简要说明终端设备与数据网络之间的二级认证流程。
如下所示,示出了认证客户端与认证网络端之间交互的过程。认证客户端(Authenticating Peer)可以理解为图1中的终端设备110或图2中的UE 210,上述认证网络端(Authenticator)可以理解为图1中的AMF网络功能137或图2中的AMF 237。下文交互过程中仅示意性示出了终端设备与数据网络之间的二级认证流程的部分过程,即终端设备与运营商网络的交互流程部分,应理解,终端设备与数据网络之间的二级认证流程还包括运营商网络与数据网络之间交互流程部分,例如AMF网络功能与AAA服务器的交互流程等。
从上述认证客户端与认证网络端之间的交互流程可以看出,基于EAP-TLS认证方法,认证客户端与认证网络端之间需要进行四轮的双向信令交互才能完成认证。在认证流程中的第一轮信令交互中,通常是由认证网络端向认证客户端发送用户ID请求消息,向认证客户端请求使用该认证客户端的某一用户的身份标识(例如上文所述UID或用户ID),认证客户端收到用户ID请求消息后会将自己的ID上报给认证网络端,认证网络端再将用户ID转发给数据网络中的认证设备(例如AAA服务器)。在整个过程中,用户ID由认证客户端发送给认证网络端,再由认证网络端发送给数据网络中的认证设备,在用户ID从认证客户端发送到数据网络中的认证设备的过程中需要考虑用户ID的安全保护问题,否则用户ID有存在被泄露的风险。
在现有的EAP认证机制所支持的认证方法中,用户ID的发送方式因采用的EAP认证方法不同而不同,例如用户ID可以采用明文发送方式、部分ID发送方式、匿名化保护后发送方式、加密后发送方式等,不同的EAP认证方法可以采用不同的用户ID发送方式。为了保护用户ID,增强用户ID在发送过程中的安全性,需要针对不同的认证方法进行不同程度的安全性增强。例如,对于原本采用明文发送用户ID的认证方法,需要考虑对用户ID进行保护后再发送,而对于已经进行了用户ID安全保护的认证方法,则不需要进一步引入额外的保护机制。换句话说,系统需要针对不同的认证方法采用不同的用户ID发送策略修正方式,上文提到EAP认证机制支持数十种认证方法,如果针对不同的EAP认证方法需要考虑采用不同的用户ID发送策略修正方式,无疑会使得二级认证流程在实现时变得更加复杂。因而更有效的保护用户ID是一个亟待解决的问题。
本申请实施例提供一种二级认证的方法,可以通过不直接发送用户ID的方式来进行终端设备与网络的二级认证流程,能够高效率地保障用户ID的安全保护。下面结合图3对本申请实施例进行详细描述。
图3示出了本申请实施例的二级认证的方法的示意性流程图。图3的方法300可以由核心网网络功能实体执行。该核心网网络功能实体例如可以是图1所示的AMF网络功能实体137或SMF网络功能实体138。该方法300可以包括步骤S310至步骤S340。
在步骤S310,核心网网络功能实体获取第一终端设备的身份标识。
第一终端设备的身份标识为第一网络的标识。第一终端设备的身份标识也可以理解为是第一网络针对第一终端设备进行认证的身份标识,或者理解为是第一网络针对第一终端设备进行一级认证的身份标识。在一些实施例中,第一终端设备的身份标识可以称为UE ID。
可选地,第一网络可以为上文提到的运营商网络,例如5G网络、4G网络、3G网络等。核心网网络功能实体为第一网络中的网络功能实体,在一些实施例中,核心网网络功能实体也可以称为核心网网元。
可选地,核心网网络功能实体可以为接入与移动性管理功能AMF(也可称为AMF网络功能)或统一数据管理网元UDM(也可以称为UDM网络功能)。
核心网网络功能实体获取第一终端设备的身份标识的方式有多种。
作为一个示例,核心网网络功能实体可以从第一终端设备直接获取第一终端设备的身份标识。例如,在步骤S310中,第一终端设备可以向核心网网络功能实体发送第一终端设备的身份标识。
作为另一个示例,核心网网络功能实体可以间接获取第一终端设备的身份标识。例如,在步骤S310中,核心网网络功能实体包括第一核心网网络功能实体和第二核心网网络功能实体,第一终端设备向第一核心网网络功能实体发送第一终端设备的身份标识,第一核心网网络功能实体再将第一终端设备的身份标识发送给第二核心网网络功能实体,其中第二核心网网络功能实体即通过间接方式获取第一终端设备的身份标识。
作为再一个示例,第一终端设备的身份标识可以是直接存储于核心网网络功能实体中,则核心网网络功能实体可以直接从自身的存储装置中即可获取第一终端设备的身份标识。
第一终端设备的身份标识的表示形式可以有多种,例如第一终端设备的身份标识可以为第一网络中签约用户(即第一终端设备)的用户永久标识符(subscriber permanentidentifier,SUPI),隐藏的用户签约标识符(subscription concealed identifier,SUCI),全球唯一的临时身份标识符(globally unique temporary identifier,GUTI),或者可公开使用的签约标识(generic public subscription identifier,GPSI)等。上述列举的第一终端设备的身份标识均可以称为UE ID,针对第一终端设备来说,第一终端设备的SUPI、第一终端设备的SUCI、第一终端设备的GUTI和第一终端设备的GPSI均可以用于唯一标识第一终端设备,只是表示形式不同而已,且几者之间具有对应关系。可选地,当第一终端设备的身份标识为GPSI时,GPSI的具体形态可以由第一网络定义。
示例性的,以第一终端设备的身份标识为GPSI为例,核心网网络功能实体获取第一终端设备的GPSI的过程可以如下:核心网网络功能实体可以先获取第一终端设备的SUPI,然后根据第一终端设备的SUPI、以及第一终端设备的SUPI和第一终端设备的GPSI之间的对应关系确定第一终端设备的GPSI。换句话说,核心网网络功能实体可以将获取的第一终端设备的SUPI根据SUPI与GPSI的映射关系映射为第一终端设备的GPSI。
进一步,可选地,核心网网络功能实体可以先获取第一终端设备的SUCI,然后将第一终端设备的SUCI解密还原为第一终端设备的SUPI,再根据第一终端设备的SUPI、以及第一终端设备的SUPI和第一终端设备的GPSI之间的对应关系确定第一终端设备的GPSI。
例如,若第一终端设备的身份标识为GPSI,核心网网络功能实体为AMF网络功能实体,则第一终端设备可以向AMF网络功能实体发送第一终端设备的SUCI,AMF网络功能实体将第一终端设备的SUCI发送给UDM网络功能实体进行解密,UDM网络功能实体可以将第一终端设备的SUCI进行解码还原为第一终端设备的SUPI,并将第一终端设备的SUPI发送给AMF网络功能实体,AMF网络功能实体将获得的第一终端设备的SUPI映射为第一终端设备的GPSI,从而获取第一终端设备身份标识。当然将第一终端设备的SUPI映射为第一终端设备的GPSI的过程可以由UDM网络功能实体完成,也就是说,UDM将第一终端设备的SUCI解码还原为第一终端设备的SUPI后直接将第一终端设备的SUPI映射为第一终端设备的GPSI,并将映射后得到的第一终端设备的GPSI发送给AMF网络功能实体。在一些实施例中,第一终端设备的SUPI可以存储于AMF网络功能实体或UDM网络功能实体中,第一终端设备可以向AMF网络功能实体或UDM网络功能实体发送指示信息,用于指示第一终端设备的SUPI,则AMF网络功能实体或UDM网络功能实体可以将存储的对应该指示信息的第一终端设备的SUPI映射为第一终端设备的GPSI。
采用GPSI作为第一终端设备的身份标识,能够保证第一终端设备的身份标识的隐私性,这是因为GPSI与SUPI有对应关系,并且该关系只有运营商知道,不对外公开,从而可以使GPSI用于公众网络、外部数据网络时不会引起隐私泄露问题。
应理解,上述核心网网络功能实体为AMF网络功能实体或UDM网络功能实体仅仅是示例性的,核心网网络功能实体也可以是其他的网络功能实体,将第一终端设备的SUPI映射为第一终端设备的GPSI也可以由其他的网络功能实体完成,本申请实施例不做具体限定。
可选地,第一终端设备的身份标识可以是核心网网络功能实体在针对第一终端设备进行一级认证的过程中获取的,第一终端设备的身份标识也可以是核心网网络功能实体通过其他流程获取的,本申请实施例不做具体限定。
在步骤S320中,核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识。
第一终端设备的身份标识用于确定第二网络针对第一用户进行二级认证的身份标识。本申请实施例中第二网络针对第一用户进行二级认证的身份标识可以理解为第一用户的身份标识,其中第一用户的身份标识不同于第一终端设备的身份标识。第一用户的身份标识可以理解为是第二网络的标识,或者可以理解为第二网络中签约用户(即第一用户)的标识。换句话说,第一终端设备的身份标识可以是第一网络针对第一终端设备进行一级认证的身份标识,第一用户的标识可以是第二网络针对第一用户进行二级认证的身份标识。
应理解,核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,可以理解为核心网网络功能实体向第二网络发送所述第一终端设备的身份标识。
可选地,核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,包括:核心网网络功能实体向第二网络中的认证设备发送二级认证请求,该二级认证请求包括第一终端设备的身份标识但不包括第一用户的身份标识。换句话说,第一终端设备的身份标识可以包括在二级认证请求中,且核心网网络功能实体向第二网络中的认证设备可以只发送第一终端设备的身份标识,不发送第一用户的身份标识。
可选地,第二网络可以为数据网络DN,第二网络中的认证设备可以为AAA服务器(或称AAA-S)。
在步骤S330,第二网络中的认证设备根据所述第一终端设备的身份标识以及所述第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,确定第一用户的身份标识。
本申请实施例中,第二网络中的认证设备可以预先建立或存储第一终端设备的身份标识和与第二网络签约用户的身份标识(即第一用户的身份标识)的映射关系,则第二网络中的认证设备可以根据第一终端设备的身份标识和该映射关系确定与第二网络签约用户的身份标识(即第一用户的身份标识)。
应理解,本申请实施例中第一终端设备的身份标识和第一用户的身份标识之间的映射关系,也可以理解为第一终端设备和第一用户之间的映射关系,也就是第一终端设备与第一用户在概念上是可以分开的。例如第一终端设备可以是实体设备,不同的终端设备具有自己的身份标识,第一终端设备的身份标识即用于标识第一终端设备;第一用户可以是账户或账号等,不同用户具有自己的身份标识,第一用户的身份标识即用于标识第一用户。
另一方面,应理解,本申请实施例中第一终端设备的身份标识和第一用户的身份标识之间的映射关系,也可以理解为在第一网络中使用第一终端设备的签约用户(与第一网络的运营者)和在第二网络中使用第一终端设备的签约用户(与第二网络的运营者)之间的映射关系,也就是在第一网络和在第二网络使用第一终端设备在概念上是可以分开的。
可选地,第一终端设备的身份标识与第一用户的身份标识可以是一对一映射,或者是多对一映射,也可以是一对多映射。
作为一个示例,第一终端设备的身份标识与第一用户的身份标识为一对一映射关系。换句话说,第一终端设备的身份标识到第一用户的身份标识的映射为一对一,也就是根据第一终端设备的身份标识可以唯一确定第一用户的身份标识。这样第二网络中的认证设备接收第一终端设备的身份标识后,可以直接通过查询预先存储的映射关系获得第一用户的身份标识。
作为另一个示例,第一终端设备的身份标识与第一用户的身份标识为多对一映射关系。换句话说,第一终端设备的身份标识到第一用户的身份标识的映射为多对一,也就是多个终端设备的身份标识均可以映射到第一用户的身份标识,其中该多个终端设备的身份标识包括第一终端设备的身份标识,但对于多个终端设备中的任意一个终端设备来说,根据该一个终端设备的身份标识可以唯一确定第一用户的身份标识。这样第二网络中的认证设备接收第一终端设备的身份标识后,也可以直接通过查询预先存储的映射关系获得第一用户的身份标识。
作为又一个示例,第一终端设备的身份标识与第一用户的身份标识为一对多映射关系。换句话说,第一终端设备的身份标识到第一用户的身份标识的映射为一对多,也就是第一终端设备的身份标识可以映射到多个用户的身份标识,其中该多个用户的身份标识包括第一用户的身份标识,则对于第一终端设备来说,根据第一终端设备的身份标识可以确定多个用户的身份标识,该多个用户的身份标识均为第二网络的标识。因此,还需要从该多个用户的身份标识中确定第一用户的身份标识。
因而,可选地,当第一终端设备的身份标识与第二网络针对多个用户进行二级认证的身份标识对应,该多个用户的身份标识包括第一用户的身份标识,核心网网络功能实体可以获取第一指示,该第一指示用于在该多个用户的身份标识中确定第一用户的身份标识,或者可以理解为第一指示用于指示该多个用户的身份标识中的第一用户的身份标识。应理解,该多个用户与该多个用户的身份标识一一对应,即该多个用户中的每个用户对应一个身份标识。例如,可以预先给映射到同一个终端设备(即第一终端设备)的多个用户的身份标识分配序列号,该第一指示可以包括对应于第一用户的身份标识的序列号,除了发送第一终端设备的身份标识外,还需要发送该第一指示。根据该第一指示中的第一用户的身份标识的序列号可以从多个用户的身份标识中唯一确定用于二级认证的第一用户的身份标识。
核心网网络功能实体可以同时获取第一终端设备的身份标识和上述第一指示,例如在步骤S310中同时获取第一终端设备的身份标识和上述第一指示;核心网网络功能实体也可以分开获取第一终端设备的身份标识和上述第一指示,本申请实施例不做具体限定。当第一终端设备的身份标识和上述第一指示分开获取时,所述第一指示还可以用于指示与第一终端设备的身份标识相对应。
相应地,核心网网络功能实体将上述第一指示发送给第二网络中的认证设备,第二网络中的认证设备根据第一终端设备的身份标识和上述第一指示可以唯一确定第一用户的身份标识。可选地,核心网网络功能实体可以将第一终端设备的身份标识和上述第一指示同时发送给第二网络中的认证设备,也可以将第一终端设备的身份标识和上述第一指示分开发送给第二网络中的认证设备,本申请实施例不做具体限定。
可选地,当第一终端设备的身份标识与第一用户的身份标识为一对多映射关系时,由于第一终端设备的身份标识可以映射到多个用户的身份标识,第一终端设备可以建立第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,这样第一终端设备向核心网网络功能实体发送第一终端设备的身份标识时,即可以指定使用第一终端设备的需要认证的第一用户的身份标识,也就是第一终端设备可以确定第一指示。
在步骤S340,第二网络中的认证设备根据第一用户的身份标识针对第一用户进行二级认证。
在该步骤中,二级认证的过程可以为标准定义的EAP认证流程。例如第二网络中的认证设备与第一终端设备进行EAP认证方法协商等,在此不再详述。
在步骤S320中,核心网网络功能实体向第二网络中的认证设备发送二级认证请求,相应地,在步骤S340中,第二网络中的认证设备可以向核心网网络功能实体发送二级认证响应消息,二级认证响应消息用于指示第一终端设备与第二网络针对第一用户进行二级认证。
本申请实施例提供的二级认证的方法中,核心网网络功能实体向第二网络中的认证设备发送第一终端设备的身份标识,该第一终端设备的身份标识用于确定第二网络针对第一用户进行二级认证的身份标识,使得核心网网络功能实体无需直接向第二网络中的认证设备发送用于二级认证的第一用户的身份标识,这种隐式发送方式增强了第一用户的身份标识的安全保护,能够更高效、有效地保护第一用户的身份标识。进一步地,现有技术中,第一用户的身份标识是通过核心网网络功能实体向第一终端设备请求,第一终端设备在请求响应中将第一用户的身份标识发送给核心网网络功能实体,本申请实施例提供的二级认证的方法直接通过核心网网络功能实体将第一终端设备的身份标识发送给第二网络中的认证设备,带外(out-of-band)发送方式可以节省用于向第一终端设备请求第一用户的身份标识的消息,从而提高网络中信令、数据交互的高效性,优化二级认证流程,优化网络资源,减少网络资源的浪费。
应理解,带外发送方式是指第一终端设备的身份标识的发送不在二级认证流程中,即不在EAP流程中,因而不属于EAP消息。
若终端设备均支持本申请实施例提供的二级认证的方法,则可以按照图3示出的二级认证的方法300对终端设备进行二级认证流程。当部分终端设备不支持本申请实施例提供的二级认证的方法300时,本申请另一个实施例提供了二级认证方法400,下面结合图4进行说明。
图4示出了本申请另一个实施例的二级认证的方法的示意性流程图。图4的方法400可以由第一终端设备执行。该第一终端设备例如可以是图1所示的终端设备100或图2所示的UE 210。该方法400可以包括步骤S410至步骤S440以及步骤S401至步骤S403。
与方法300相比,方法400中的步骤S410至步骤S440与方法300中的步骤S310至步骤S340相同,为简洁,在此不再赘述,下面对于步骤S401至步骤S403做详细介绍。
本申请实施例中,基于通信系统的平滑演进,系统中允许两种不同的终端设备存在,一种为旧款终端设备(legacy UE),另一种为新款终端设备(new UE),其中旧款终端设备支持现有的二级认证流程,新款终端设备支持图3示出的二级认证方法300,即系统同时兼容新款终端设备和旧款终端设备。
对于新款终端设备来说,本申请实施例以第一终端设备为新款终端设备为例,在需要对第一终端设备进行二级认证时,核心网网络功能实体发起二级认证流程。
在步骤S401,核心网网络功能实体向第一终端设备发送第一消息。
该第一消息用于向第一终端设备请求第一用户的身份标识。
在步骤S402,第一终端设备向核心网网络功能实体发送第二消息。
第二消息用于指示第一终端设备是否发送了第一用户的身份标识。当该第二消息中不包括第一用户的身份标识时,核心网网络功能实体可以根据第一终端设备的身份标识对第一用户进行二级认证。换句话说,当第二消息中不包括第一用户的身份标识时,核心网网络功能实体执行步骤S410至步骤S440,即核心网网络功能实体获取第一终端设备的身份标识,将第一终端设备的身份标识发送给第二网络中的认证设备,使得第二网络中的认证设备执行步骤S430,根据第一终端设备的身份标识以及所述第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,确定第一用户的身份标识。详细描述可参见图3的二级认证方法300的相关描述,在此不再赘述。
在第一终端设备为新款终端设备的情况下,第二消息指示第一终端设备没有发送第一用户的身份标识的方式有多种。
例如,第二消息可以通过在第二消息中不包括第一用户的身份标识,来指示第一终端设备没有发送第一用户的身份标识。
又如,第二消息中可以包括空信息(Null信息),该空信息用于指示第一终端设备没有发送第一用户的身份标识,或者指示第二消息中不包括第一用户的身份标识。
再如,第二消息中可以包括一个指示符,该指示符用于指示第一终端设备没有发送第一用户的身份标识,或者指示第二消息中不包括第一用户的身份标识。
相应地,在步骤S403,核心网网络功能实体向第二网络中的认证设备发送第二消息。
第二网络中的认证设备接收到第二消息后,可以根据第二消息确定第二消息中是否包括第一用户的身份标识。当第二消息中不包括第一用户的身份标识时,第二网络中的认证设备根据在步骤S420中接收的第一终端设备的身份标识确定第一用户的身份标识,从而针对第一用户进行二级认证。
对于旧款终端设备来说,在对旧款终端设备进行二级认证时,可以按照现有二级认证流程进行认证,即在步骤S402中,第一终端设备向核心网网络功能实体发送的第二消息中包括第一用户的身份标识,核心网网络功能实体将该第二消息转发给第二网络中的认证设备,则第二网络中的认证设备根据第二消息可以获取第一用户的身份标识,从而可以直接根据该第一用户的身份标识对第一用户进行二级认证。具体过程可参考图2的相关描述,为简洁,在此不再赘述。
本申请实施例中,旧款终端设备的二级认证流程可以和现有流程相同,新款终端设备的二级认证流程得到部分优化,即假设第一终端设备为新款终端设备,则核心网网络功能实体仍需要向第一终端设备请求第一用户的身份标识,但第一终端设备可以不向核心网网络功能发送第一用户的身份标识,核心网网络功能实体可以获取第一终端设备的身份标识,这样核心网网络功能实体可以根据第一终端设备的身份标识针对第一用户进行二级认证,通过带外隐式发送第一用户的身份标识,增强了第一用户的身份标识的安全保护,能够有效地保护第一用户的身份标识,同时可以兼容新款终端设备和旧款终端设备的二级认证流程。
图4所示的方法400中,第一终端设备为新款终端设备时,具有二级认证流程优化能力,即能够增加第一用户的身份标识的安全保护,第一终端设备是在进行二级认证流程过程中通知核心网网络功能实体其具有二级认证流程优化能力,当然第一终端设备可以在进行二级认证流程之前通知核心网网络功能实体其具有二级认证流程优化能力。
图5示出了本申请另一个实施例的二级认证的方法的示意性流程图。图5的方法500可以由第一终端设备执行。该第一终端设备例如可以是图1所示的终端设备100或图2所示的UE 210。该方法500可以包括步骤S510至步骤S540以及步骤S501。
方法500中的步骤S510至步骤S540与方法300中的步骤S310至步骤S340以及方法400中的步骤S410至步骤S440相同,为简洁,在此不再赘述,下面对于步骤S501做详细介绍。
本申请实施例中,基于通信系统的平滑演进,系统中允许两种不同的终端设备存在,一种为旧款终端设备(legacy UE),另一种为新款终端设备(new UE),其中旧款终端设备支持现有的二级认证流程,新款终端设备支持图3示出的二级认证方法300,即系统同时兼容新款终端设备和旧款终端设备。
对于新款终端设备来说,本申请实施例以第一终端设备为新款终端设备为例,在对第一终端设备进行二级认证之前,第一终端设备通知核心网网络功能实体其具有二级认证流程优化能力。
即在步骤S501,第一终端设备向核心网网络功能实体发送第一终端设备的能力信息。
第一终端设备的能力信息用于指示核心网网络功能实体可以根据第一终端设备的身份标识对第一终端设备进行二级认证。换句话说,核心网网络功能实体根据第一终端设备的能力信息确定执行步骤S510至步骤S540,而无需执行类似方法400中的步骤S401和步骤S402。
可选地,第一终端设备可以承载于第一终端设备与第一网络进行一级认证的注册请求消息中。当然,第一终端设备也可以承载于第一终端设备与第一网络进行一级认证过程中或完成一级认证后的任意的交互消息中,本申请实施不做具体限定。换句话说,第一终端设备的能力信息的发送不在二级认证流程中,即不在EAP流程中。
对于旧款终端设备来说,由于旧款终端设备不具有流程优化能力,因而不支持图3示出的方法300,也就无需向核心网网络功能实体发送相关流程优化能力的信息。
本申请实施例中,旧款终端设备的二级认证流程可以和现有流程相同,新款终端设备的二级认证流程得到优化,即假设第一终端设备为新款终端设备,则核心网网络功能实体在对第一终端设备进行二级认证之前向核心网网络功能发送第一终端设备的能力信息,核心网网络功能实体根据第一终端设备的能力信息可以确定第一终端设备为新款终端设备,可以不向第一终端设备请求第一用户的身份标识。而核心网网络功能实体可以获取第一终端设备的身份标识,这样核心网网络功能实体可以根据第一终端设备的身份标识针对第一用户进行二级认证,通过带外隐式发送第一用户的身份标识,增强了第一用户的身份标识的安全保护,能够更高效、有效地保护第一用户的身份标识,同时可以兼容新款终端设备和旧款终端设备的二级认证流程。进一步地,本申请实施例提供的二级认证的方法直接通过核心网网络功能实体将第一终端设备的身份标识发送给第二网络中的认证设备,可以节省用于向第一终端设备请求第一用户的身份标识的消息,从而提高网络中信令、数据交互的高效性,优化二级认证流程,优化网络资源,减少网络资源的浪费。
第二网络针对第一用户的二级认证流程除了上述提到的请求第一用户的身份标识过程外,还包括第一终端设备和第二网络中的认证设备进行认证算法协商的过程。由于目前用于二级认证的EAP算法支持数十种认证算法,第一终端设备和第二网络中的认证设备需要协商确定一种认证算法来完成认证过程。目前常用的算法协商过程是第二网络中的认证服务器发起认证算法协商流程,由第一终端设备与第二网络中的认证设备之间进行协商,存在交互流程长,占用网络资源多、时延长等问题。本申请实施例提供一种二级认证的方法,能够缩短认证算法协商交互流程、减小时延、节省网络资源。下面结合图6进行详细描述。
图6示出了本申请又一个实施例的二级认证的方法的示意性流程图。图6的方法600可以由核心网网络功能实体执行。该核心网网络功能实体例如可以是图1所示的AMF网络功能实体137或SMF网络功能实体138。该方法600可以包括步骤S610至步骤S640,其中步骤S640包括步骤S641至步骤S643。
与方法300相比,方法600中的步骤S610至步骤S630与方法300中的步骤S310至步骤S330相同,为简洁,在此不再赘述,下面对于步骤S640中的步骤S641至步骤S643做详细介绍。需要说明的是,在一些实施例中,方法600中步骤S641至步骤S643还可以在现有二级认证流程中执行,而不执行本申请实施例中的步骤S620和步骤S630。
步骤S640包括步骤S641至步骤S643。
在步骤S641,核心网网络功能实体选取用于对第一用户进行二级认证的第一认证方法。
第一认证方法为第一终端设备和第二网络中的认证设备均支持的认证方法。
在步骤S642,核心网网络功能实体向第二网络中的认证设备发送该第一认证方法。
在步骤S643,第二网络中的认证设备将第一认证方法确定为协商好的认证方法,然后根据第一认证方法进行认证。
本申请实施例通过核心网网络功能实体选择第一终端设备和第二网络中的认证设备均支持的认证方法,并发送给第二网络中的认证设备作为第一终端设备和第二网络中的认证设备协商好的认证方法,相当于核心网网络功能实体完成了认证算法的协商流程,无需第一终端设备和第二网络中的认证设备进行协商,从而可以缩短消息的交互流程,减少时延,节省网络资源。
图7示出了又一个实施例的二级认证的方法的示意性流程图。图中示例性的示出了核心网网络功能实体选取第一认证方法的过程。
参考图7,图7所示的方法700包括可以包括步骤S710至步骤S740,其中步骤S740包括步骤S741至步骤S744c。步骤S710至步骤S730与方法600中的步骤S610至步骤S630相同,为简洁,在此不再赘述,下面对于步骤S740中的步骤S741至步骤S744c做详细介绍。
在步骤S741,核心网网络功能实体获取第一认证方法集合和第二认证方法集合。
第一认证方法集合包括第一终端设备优选的认证方法,第二认证方法集合包括第二网络中的认证设备优选的认证方法。
第一认证方法集合可以存储于第一终端设备和/或核心网网络功能实体中;第二认证方法集合可以存储于核心网网络功能实体和第二网络中的认证设备中。
在步骤S742a中,核心网网络功能实体根据第一认证方法集合和第二认证方法集合确定第一认证方法,即核心网网络功能实体选取第一认证方法。
若第一认证方法集合和第二认证方法集合存在交集,则核心网网络功能实体可以确定第一认证方法集合和第二认证方法集合的交集为第一终端设备和第二网络中的认证设备均优选的认证方法。
在步骤S743a,核心网网络功能实体向第二网络中的认证设备发送该第一认证方法。
在步骤S744a,第二网络中的认证设备根据第一认证方法进行认证。
第一认证方法的确定方式有多种。
例如,在步骤S743a中,核心网网络功能实体可以在第一认证方法集合和第二认证方法集合的交集中选择一种认证方法作为第一认证方法,第一认证方法可以为该交集中的任意一个认证方法,或者该交集中优先级最高的认证方法,或者是该交集中排名靠前的认证方法。
又如,在步骤S743a中,核心网网络功能实体可以在第一认证方法集合和第二认证方法集合的交集中选择至少两种认证方法,并将该至少两种认证方法发送给第二网络中的认证设备,相应地,在步骤S744a,第二网络中的认证设备可以从该至少两种认证方法中任意选择一种认证方法作为第一认证方法,并根据第一认证方法进行认证。
若第一认证方法集合和第二认证方法集合不存在交集,则可以在步骤S741之后不执行步骤S742a至步骤S744a,替换地,执行步骤S743b至步骤S744b。
在步骤S743b,核心网网络功能实体向第二网络中的认证设备发送第一认证方法集合。
在步骤S744b,第二网络中的认证设备从第一认证方法集合中选取第二认证方法,根据第二认证方法进行认证。
该第二认证方法为第二网络中的认证设备支持的认证方法。
也就是说,在第一认证方法集合和第二认证方法集合不存在交集时,核心网网络功能实体将第一终端设备优选的认证方法(即第一认证方法集合)发送给第二网络中的认证设备,虽然第一终端设备优选的认证方法不是第二网络中的认证设备优选的认证方法,但可能是第二网络中的认证设备支持的认证方法,因此第二网络中的认证设备可以从第一终端设备优选的认证方法中选择一种第二网络中的认证设备支持的认证方法,作为用于认证流程的第二认证方法。
可选地,在步骤S744b,第二网络中的认证设备也可以从第二认证方法集合中选取第二认证方法,并根据第二认证方法进行认证。
由于第二网络中的认证设备已知其优选的认证方法(即第二认证方法集合),虽然第二认证方法集合不是第一终端设备优选的认证方法,但是可能是第一终端设备支持的认证方法,因此第二网络中的认证设备可以从第二网络中的认证设备优选的认证方法中选择一种第一终端设备支持的认证方法,作为用于认证流程的第二认证方法。
若第一认证方法集合和第二认证方法集合不存在交集,则可以在步骤S741之后不执行步骤S742a至步骤S744a,替换地,执行步骤S743c至步骤S744c。
在步骤S743c,核心网网络功能实体向第二网络中的认证设备发送第二指示。
第二指示用于指示第二网络中的认证设备与第一终端设备进行认证方法协商。
在步骤S744c,第二网络中的认证设备与第一终端设备进行认证方法协商。
也就是说,在第一认证方法集合和第二认证方法集合不存在交集时,核心网网络功能实体再通过第二指示来通知第二网络中的认证设备与第一终端设备进行认证方法协商。
可选地,第一认证方法集合可以为包括第一终端设备支持的认证方法,和/或第二认证方法集合包括第二网络中的认证设备支持的认证方法,相应流程与上述类似,不再赘述。
参考图6,方法600中步骤S641至步骤S643可以在步骤S640之前执行(相当于步骤S641至步骤S643在方法300的步骤S340之前执行),可选地,步骤S641至步骤S643还可以在方法400所示的步骤S440之前执行,也可以在方法500所示的步骤S540之前执行。
同理,参考图7,方法700中步骤S741至步骤S744c可以在步骤S740之前执行(相当于步骤S741至步骤S744c在方法300的步骤S340之前执行),可选地,步骤S741至步骤S744c还可以在方法400所示的步骤S440之前执行,也可以在方法500所示的步骤S540之前执行。
可选地,在执行步骤S741之前,AMF可以向UE发送网络侧优选的第二认证方法集合,UE收到后,可以根据收到的第二认证方法集合,和UE支持的EAP认证方法,选择UE优选的认证方法集合(包括一种或多种认证方法),发送给AMF。
例如,UE根据第二认证方法集合选择或确定一种优选的认证方法,即UE优选的认证方法集合中包括一种认证方法,该一种优选的认证方法可以为UE支持或优选的认证方法,同时也是第二网络中的认证设备优选的认证方法。UE将该一种优选的认证方法发送给AMF,AMF可以向第二网络中的认证设备直接转发该一种优选的认证方法。第二网络中的认证设备可以将该一种优选的认证方法作为第二网络中的认证设备与第一终端设备协商好的认证方法。
又如,UE根据第二认证方法集合选择或确定多种优选的认证方法,即UE优选的认证方法集合中包括多种认证方法,该多种优选的认证方法可以为UE支持或优选的认证方法,同时也是第二网络中的认证设备优选的认证方法。UE将该多种优选的认证方法发送给AMF,则AMF可以从该多种优选的认证方法中选择一种认证方法发送给第二网络中的认证设备。第二网络中的认证设备可以将从该多种优选的认证方法中选择出的一种认证方法作为第二网络中的认证设备与第一终端设备协商好的认证方法。
在一些实施例中,方法600中步骤S641至步骤S643还可以在现有二级认证流程中执行,而不执行本申请实施例中的步骤S620和步骤S630;方法700中步骤S741至步骤S744c也可以在现有二级认证流程中执行,而不执行本申请实施例中的步骤S720和步骤S730,其过程与上文所述相同,为简洁,不再赘述,具体可参考上文相关描述。
下面结合附图8至图11,更加详细地描述本申请实施例的一些具体的非限制性的例子。图8至11中以第一终端设备为UE,核心网网络功能实体为AMF网络功能实体(或简称AMF),第一终端设备的身份标识为GPSI,第二网络针对第一用户进行二级认证的身份标识为用户ID,第一网络为运营商网络,第二网络为数据网络,且第二网络中的认证设备为AAA-S(即AAA服务器)、二级认证机制为EAP认证机制为例进行说明,但应理解,图8至图11示出的二级认证流程仅仅是示意性的,第一终端设备、核心网网络功能实体、第一终端设备的身份标识、第二网络针对第一用户进行二级认证的身份标识、第一网络、第二网络、第二网络中的认证设备还可以是前文描述中所提到的情形,在此不再赘述。
图8示出了本申请再一个实施例的二级认证的方法的示意性流程图。参考图8,本申请实施例是针对EAP认证机制中初始EAP消息(即EAP request/response)的优化,即不在EAP消息中发送ID请求和ID响应,应理解,这里所述的ID请求和ID响应分别是指用户ID请求和用户ID响应。AAA-S获取的用户ID信息是通过AMF发送给AAA-S的GPSI中获得的,而不是通过AMF向UE请求的。方法800包括步骤S810至步骤S840,其中步骤S840包括步骤S841至步骤S847,其具体流程如图8所示。
在步骤S810,UE向AMF发送接入网络的注册请求,并携带身份信息,例如加了密的身份信息SUCI。
应理解,UE可以理解为方法300至方法700中的第一终端设备的一个具体的例子;AMF可以理解为方法300至方法700中的核心网网络功能实体的一个具体的例子。
在步骤S820,UE与AMF之间进行一级认证和NAS安全保护。
示例性的,其具体过程可以如下:AMF根据UE发送的身份信息,判断是否发起网络同UE之间的一级认证流程。例如,UE发送给AMF的是SUCI,则AMF转发SUCI给UDM,由UDM对SUCI进行解密还原出UE的真实身份SUPI,然后把SUPI送回给AMF。AMF根据SUPI发起一级认证。
在步骤S820之后,即一级认证成功后,AMF授权UE可以接入网络。AMF根据AMF本地或UDM的信息,判断该UE是否还需要进行进一步的二级认证。
在步骤S830,AMF确定UE需要进行二级认证。
在步骤S840,AMF就触发UE与DN(即AAA-S)之间的二级认证流程,进行二级认证。
在对UE进行二级认证过程中,步骤S840还可以包括步骤S841至步骤S847。
在步骤S841,AMF向位于DN的AAA服务器(AAA-S)发送GPSI。
可选地,AMF向位于DN的AAA-S发送用户ID指示。该用户ID指示可以理解为是前文所述的第一指示。
可选地,AMF向位于DN的AAA-S发送认证指示。
在步骤S842,AAA-S根据收到的消息类型和/或认证指示,确定该消息是EAP认证请求消息。AAA-S根据GPSI或者根据GPSI和用户ID指示获取用于二级认证的用户ID。例如,AAA-S预先存储了GPSI(或包括用户ID指示)和用户ID的对应关系,根据该对应关系和GPSI获取需要用于二级认证的用户ID。该用户ID可以理解为前文所述的第一用户的身份标识,该GPSI可以理解为前文所述的第一终端设备的身份标识的一个具体的例子。
在步骤S843,AAA-S根据获取的用于二级认证的用户ID,发起EAP认证流程。AAA-S向AMF发送EAP请求,并包含了AAA-S选择的EAP认证方法,如认证方法1。
在步骤S844,AMF收到AAA-S的EAP请求后,通过运营商网络的NAS消息,向UE转发EAP请求消息。
在步骤S845,UE给AMF回复EAP响应消息。如果UE同意采用认证方法1,则回复同意采用该认证方法1。
在步骤S846,AMF转发EAP响应消息到AAA-S。同时AAA-S和UE间继续执行剩余所需认证步骤,即图中省略号位置。
在步骤S847,如果认证成功,AAA-S向AMF发送EAP认证成功消息。同时AMF可以继续进行其他注册流程。
需要说明的是,AAA-S和AMF之间的交互,也可以通过代理功能AAA-F进行代理、中转。
还需要说明的是,步骤S841不包括在EAP流程中,不属于EAP的消息。EAP消息是从步骤S843开始的。而对于常规方法,第一条EAP消息(即EAP request(ID))从AMF发出,即在步骤S841之前开始,而且第一条消息是从AMF发送给UE,请求UE发送其用户ID(即EAPresponse(ID))。本申请实施例中节省了UE和AAA-S之间发送用户ID的过程(即EAP认证的初始消息EAP request(ID)/EAP response(ID)),改为通过带外(out-of-band)、隐式发送的方式使AAA服务器获取用户ID,相当于重用现有3GPP网络的信息交互、重用已有的3GPP网络与AAA服务器之间的交互消息,来通知AAA服务器在二级认证中UE所使用的用户ID,避免了发送用户ID泄露用户隐私的问题同时节省了网络资源。具体而言,在3GPP网络同AAA服务器建立了连接以后,在对UE进行二级认证之前(或在二级认证流程之中),会在EAP流程之外,向AAA服务器发送UE ID而非二级认证的用户ID。如果在AAA服务器建立了从UE ID到二级认证用户ID的映射,AAA服务器就可以直接将UE ID转换为用户ID,而不需要再在EAP流程中使用EAP request和EAP response消息交互来获得用户ID,从而节省了网络资源,高效地保障用户ID的安全保护。
图9示出了本申请再一个实施例的二级认证的方法的示意性流程图。参考图9,本申请实施例是针对EAP认证机制中初始EAP消息(即EAP request/response)的优化,本申请实施例中,系统允许2种不同的UE存在:一种为旧款(legacy)UE,仍然采用原有的EAP方法,而另一种为新款(new)UE,允许对EAP的初始消息进行优化的UE。这种假设,主要是基于系统的平滑演进,即同时兼容legacy UE和New UE。方法900包括步骤S910至步骤S940,其中步骤S940包括步骤S941至步骤S949,其具体流程如下。
步骤S910至步骤S930与方法800中的步骤S810至步骤S830相同,在此省略其描述,详细可参考上文相关描述。
AMF确定UE需要进行二级认证后,在步骤S940,AMF就触发UE与DN之间二级认证流程,进行二级认证。在对UE进行二级认证过程中,步骤S940还可以包括步骤S941至步骤S949。
在步骤S941,AMF像现有认证方法一样,发起EAP认证流程,即向UE发送EAP请求消息,请求UE发送其用于二级认证的用户ID。
在步骤S942a,对于现有UE(即旧UE)而言,该UE仍旧采用现有认证方法,向AMF返回EAP响应消息,并在该消息中包含用于二级认证的用户ID,该消息在步骤S943a由AMF转发给AAA-S。在步骤S944中,AAA-S直接获取用户ID。
在步骤S942b,对于具备优化能力的UE而言(即新UE),该UE在EAP响应消息中不包括用户ID的信息,或是包含一个空(Null)信息或一个指示符,用来指示此消息中不包含用户ID信息。该消息在步骤S943b中被转发给AAA-S。
需要说明的是,在S943b的转发消息中,在EAP消息之外,可以同时发送GPSI给AAA-S,以GPSI来指示所使用的用户ID。在步骤S944中,AAA-S可以将GPSI转换为用户ID,从而可以继续进行剩余的EAP认证流程。
步骤S945至步骤S949与方法800中的步骤S843至步骤S847相同,在此省略其描述,详细可参考上文相关描述。
在本申请实施例中,旧UE的二级认证流程没有进行改进,而为了兼容旧UE的需求,新的UE的EAP流程得到部分优化,即:EAP的2条初始消息仍然需要发送,但用户ID得到了隐私保护。
图10示出了本申请再一个实施例的二级认证的方法的示意性流程图。参考图10,本申请实施例是针对EAP认证机制中初始EAP消息(即EAP request/response)的优化,本申请实施例中,系统允许2种不同的UE存在:一种为旧款(legacy)UE,仍然采用原有的EAP方法,而另一种为新款(new)UE,允许对EAP的初始消息进行优化的UE。这种假设,主要是基于系统的平滑演进,即同时兼容legacy UE和New UE。方法1000包括步骤S1010至步骤S1040,其中步骤S1040包括步骤S1041至步骤S1049,其具体流程如下。
步骤S1010至步骤S1030与方法800中的步骤S810至步骤S830类似,在此仅说明不同之处,详细可参考上文相关描述。
步骤S1010与方法800中的步骤S810类似,所不同的是,在该步骤中UE可以将其是否具有EAP流程优化能力的指示信息(即支持EAP初始消息中没有EAP请求ID和EAP响应ID消息)包括在注册请求的消息中。而对于legacy UE,此消息不包含该能力指示。
步骤S1030与方法800中的步骤S830类似,所不同的是,在该步骤中AMF可以判断UE是否具有对EAP优化的能力。如果UE属于legacy UE而不具有优化能力,则执行步骤S1041、步骤S1042和步骤S1043a;如果UE属于new UE而具有优化能力,则执行步骤S1043b。
步骤S1041、步骤S1042和步骤S1043a分别与方法900中的步骤S941、步骤S942a和步骤S943a类似,在此省略其详细描述,详细可参考上文。
步骤S1043b和步骤S1044与方法900中的步骤S943b和步骤S944类似,在此省略其详细描述,详细可参考上文。
步骤S1045至步骤S1049与方法900中的步骤S945至步骤S949相同,在此省略其描述,详细可参考上文相关描述。
需要说明的是,步骤S1010中UE上报优化能力的指示信息,也可以包含在其他步骤的消息中通知AMF。比如在步骤S1020中UE和AMF之间会有多条信息交互,该指示也可以被包含在其中任何一条消息中通知AMF,这里不做限制。
图11示出了本申请再一个实施例的二级认证的方法的示意性流程图。参考图11,本实施例是针对EAP认证算法协商流程的优化。本实施例主要是通过运营商网络来代理完成认证算法的协商,从而缩短消息交互流程、减小时延、节省网络资源。本实施例的方法1100包括步骤S1110至步骤S1160,其中步骤S1150包括步骤S1151至步骤S1156,步骤S1160包括步骤S1161至步骤S1167,其具体流程如下。
步骤S1110至步骤S1130与方法800中的步骤S810至步骤S830类似,在此仅说明不同之处,详细可参考上文相关描述。
步骤S1110与方法800中的步骤S810类似,所不同的是,UE此时可以将其优选的EAP认证方法列表(“UE优选认证方法列表”)也包括在注册请求消息中。优选的认证方法可以是每个切片(即S-NSSAI)具有不同优选方法,也可以是所有S-NSSAI的优选方法都相同。
步骤S1130与方法800中的步骤S830类似,所不同的是,在该步骤中AMF需要进一步查询(查询AMF自身或查询UDM)该UE所对应的AAA-S优选的认证方法列表(“DN优选认证方法列表”)。比较2个列表是否有交集,从而确定一个双方都优选的EAP认证方法。如果多于一个方法,则选择排名在前的方法或选择优先级高的方法。
“UE优选认证方法列表”可以理解为前文所述的第一认证方法集合,“DN优选认证方法列表”可以理解为前文所述的第二认证方法集合。
步骤S1140,如果步骤S1130确定了优选的认证方法(可以理解为前文所述的第一认证方法),则执行步骤S1150中的具体步骤。如果步骤S1130中无法确定优选认证方法,则执行步骤S1160中的具体步骤。
步骤S1150,可以包括步骤S1151至步骤S1156,该步骤S1150可以是现有基于某个认证方法“认证方法2”的EAP流程,在此不做详述。
步骤S1160,可以包括步骤S1161至步骤S1167,该步骤S1160为现有先协商认证方法、再进行认证的EAP流程。所不同的是在步骤S1163,AMF把UE的优选认证方法列表发送给AAA-S,这样AAA-S可以先检查该优选列表中是否存在AAA-S支持的方法。如果支持,可以选择其中的方法作为协商好的认证方法。否则,排除所有列表中的方法,在步骤S1164开始选择认证算法。
需要说明的是,认证算法可以继续选择AAA-S优选列表中的方法,因为他们虽然不属于UE优选,但可能属于UE可以支持的方法。另外,AAA-S也可以排除所有AAA-S优选列表中的方法,只选择列表之外的AAA-S支持的其他方法与UE进行协商,本申请实施例不做具体限定。
还需要说明的是,步骤S1110中UE上报“UE优选认证方法列表”,也可以包含在其他步骤的消息中通知AMF。比如在步骤S1120中,UE和AMF之间会有多条信息交互,该指示也可以被包含在其中任何一条消息中通知AMF,这里不做限制。
本申请实施例中的方法1100可以分别与方法800、方法900、方法1000联合使用。
图12示出了本申请再一个实施例的二级认证的方法的示意性流程图。参考图12,本实施例是针对EAP认证算法协商流程的优化。本申请实施例的方法1200包括步骤S1210至步骤S1260,其中步骤S1260包括步骤S1261至步骤S1264,其具体流程如下。
在步骤S1210,针对UE(可以理解为前述的第一终端设备)进行一级认证。
在步骤S1220,AMF确定UE需要进行二级认证。
在步骤S1230,AMF向UE发送需要进行二级认证的切片,即在该步骤中,AMF通知UE哪些切片需要进行切片认证。
可选地,在步骤S1230中,AMF还可以将AAA服务器优选的认证方法集合(可以理解为前文所述的第二认证方法集合)发送给UE。在步骤S1230之前,AMF可以向AAA服务器请求该AAA服务器优选的认证方法集合,也可以直接从其他网络功能实体例如UDM中获取该AAA服务器优选的认证方法集合,本申请实施例不做限定。
在步骤S1240,在注册请求中,UE向AMF发送UE优选的认证方法集合,该UE优选的认证方法集合可以包括一种或多种认证方法。与方法1100不同的是,本申请实施例中UE向AMF发送其优选的认证方法集合是在一级认证之后切片认证(EAP流程)之前,而方法1100中UE向AMF发送其优选的认证方法集合是在一级认证之前(或之中)。
例如,在步骤S1230中,AMF没有向UE发送AAA服务器优选的认证方法集合,则在步骤S1240中UE向MAF发送的UE优选的认证方法集合可以是UE默认的优选认证方法集合。
又如,在步骤S1230中,AMF向UE发送了AAA服务器优选的认证方法集合,则在步骤S1240中,UE向AMF发送的UE优选的认证方法集合可以是根据AAA服务器优选的认证方法集合确定的。示例性的,UE可以在AAA服务器优选的认证方法集合中确定或选择出UE优选的认证方法集合。
在步骤S1250,AMF确定认证方法。
在步骤S1260中,AMF触发UE与AAA服务器之间的二级认证流程,进行二级认证。
步骤S1260可以包括步骤S1261至步骤S1264,其中步骤S1261、步骤S1262为可选步骤,其过程可参考现有流程或前述方法300至方法1100中有关EAP请求和EAP响应的相关描述。
在步骤S1263中,AMF将在步骤S1250中确定的认证方法例如认证方法1发送给AAA服务器,AAA服务器可以将步骤S1250中确定的认证方法确定为AAA服务器和UE协商好的认证方法,然后继续进行接下来的流程。
在步骤S1250中,以AMF确定的认证方法为认证方法1为例,AMF确定认证方法的方式可以有多种方式。
作为一个示例,若在步骤S1230中,AMF向UE发送了AAA服务器优选的认证方法集合,则在步骤S1240中,UE可以从AAA服务器优选的认证方法集合中选择或确定一种UE支持或优选的认证方法例如认证方法1发送给AMF。在步骤S1250中,AMF可以直接将UE确定的该一种认证方法转发给AAA服务器,AAA服务器将UE确定的该一种认证方法确定为AAA服务器与UE协商好的认证方法。
或者,若在步骤S1230中,AMF向UE发送了AAA服务器优选的认证方法集合,则在步骤S1240中,UE可以从AAA服务器优选的认证方法集合中选择或确定多种UE支持或优选的认证方法发送给AMF。在步骤S1250中,AMF可以直接从UE确定的该多种认证方法中确定一种认证方法用于二级认证,并将AMF确定的该一种认证方法转发给AAA服务器,AAA服务器将AMF确定的该一种认证方法确定为AAA服务器与UE协商好的认证方法。
作为另一个示例,若在步骤S1230中,AMF没有向UE发送AAA服务器优选的认证方法集合,则在步骤S1240中,UE可以向AMF发送UE优选或支持的认证方法集合。在步骤S1250中,AMF可以根据UE优选或支持的认证方法集合和AAA服务器优选或支持的认证方法集合中确定一种认证方法用于二级认证,并将AMF确定的该一种认证方法发送给AAA服务器,AAA服务器将AMF确定的该一种认证方法确定为AAA服务器与UE协商好的认证方法。
本申请实施例中的方法1200可以分别与方法800、方法900、方法1000联合使用。
本申请实施例主要是终端设备在切片认证的EAP流程之前将终端设备优选的认证方法集合发送给核心网网络功能实体,通过运营商网络来代理完成认证算法的协商,从而缩短消息交互流程、减小时延、节省网络资源。
本申请实施例没有更改IETF标准定义的EAP流程。在标准EAP流程中,EAP请求/ID和EAP响应/ID,以及EAP协商流程均为可选步骤。本申请实施例通过运营商网络中的信息交互,避免了这些可选步骤。
上文结合图1至图12详细的描述了本申请实施例的方法实施例,下面结合图13至图18,详细描述本申请实施例的装置实施例。应理解,方法实施例的描述与装置实施例的描述相互对应,因此,未详细描述的部分可以参见前面方法实施例。
图13是本申请实施例提供的一种装置的示意性结构图。图13中的装置1300可以是前文的核心网网络功能实体,例如可以是图1中的AMF网络功能实体137或UDM网络功能实体134的一个具体的例子。图13所示的装置可以用于执行图3至图12的方法,为避免冗余,不再重复描述。
图13所示的通装置1300可以包括获取模块1310和发送模块1320。
获取模块1310用于获取第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络的标识。
发送模块1320用于向第二网络中的认证设备发送所述第一终端设备的身份标识,所述第一终端设备的身份标识用于确定所述第二网络针对第一用户进行二级认证的身份标识,所述第一用户的身份标识不同于所述第一终端设备的身份标识。
可选地,发送模块1320具体用于向所述第二网络中的认证设备发送二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识。
可选地,装置1300还可以包括接收模块1330,用于接收所述第二网络中的认证设备发送的二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
可选地,发送模块1320用于向所述第一终端设备发送第一消息,所述第一消息用于请求所述第一用户的身份标识。
可选地,接收模块1330用于接收所述第一终端设备发送的第二消息;当所述第二消息中不包括所述第一用户的身份标识时,接收模块1330用于根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
可选地,在对所述第一用户进行二级认证之前,获取模块1310用于获取所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
可选地,所述第一终端设备的能力信息承载于所述第一终端设备与所述第一网络进行一级认证过程中的注册请求消息中。
可选地,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,所述多个用户的身份标识包括所述第一用户的身份标识,获取模块1310用于获取第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
可选地,装置1300还可以包括选取模块。选取模块用于选取用于所述二级认证的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法。
可选地,选取模块具体用于获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;选取模块具体用于根据所述第一认证方法集合和所述第二认证方法集合确定所述第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均优选的认证方法;发送模块1320具体用于向所述第二网络中的认证设备发送所述第一认证方法。
可选地,第二认证方法集合存储于所述核心网网络功能实体中,和/或所述第一认证方法集合存储于所述第一终端设备和/或所述核心网网络功能实体中。
可选地,获取模块1310用于获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;当所述第一认证方法集合和所述第二认证方法集合没有交集时,发送模块1320用于向所述第二网络中的认证设备发送所述第一认证方法集合或者第二指示,其中所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
图14是本申请实施例提供的通信装置的示意性结构图。图14所示的通信装置1400可对应于前文描述的核心网网络功能实体。通信装置1400包括:处理器1402。在本申请的实施例中,处理器1402用于对该核心网网络功能实体的动作进行控制管理,例如,处理器1402用于支持核心网网络功能实体执行前述实施例中图3至图11所示的方法或操作或功能。可选的,核心网网络功能实体还可以包括:存储器1401和通信接口1403;处理器1402、通信接口1403以及存储器1401可以相互连接或者通过总线1404相互连接。其中,通信接口1403用于支持该核心网网络功能实体进行通信,存储器1401用于存储网络设备的程序代码和数据。处理器1402调用存储器1401中存储的代码进行控制管理。该存储器1401可以跟处理器耦合在一起,也可以不耦合在一起。
其中,处理器1402可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。通信接口1403可以是收发器、电路、总线、模块或其它类型的通信接口。总线1404可以是外设部件互连标准(peripheral componentinterconnect,PCI)总线或扩展工业标准结构(extended industry standardarchitecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图15是本申请实施例提供的一种装置的示意性结构图。图15中的装置1500可以是前文的第二网络中的认证设备,例如可以是图2中的AAA服务器221的一个具体的例子。图15所示的装置可以用于执行图3至图12的方法,为避免冗余,不再重复描述。
图15所示的通装置1500可以包括接收模块1510、确定模块1520和认证模块1530。
接收模块1510用于接收核心网网络功能实体发送的第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络的标识。
确定模块1520用于根据所述第一终端设备的身份标识以及所述第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,确定所述第一用户的身份标识,所述第一用户的身份标识不同于所述第一终端设备的身份标识。
认证模块1530用于根据所述第一用户的身份标识对所述第一用户进行二级认证。
可选地,接收模块1510具体用于接收所述核心网网络功能实体发送的二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识。
认证模块1530具体用于向所述核心网网络功能实体发送二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
可选地,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,所述多个用户的身份标识包括所述第一用户的身份标识,接收模块1510用于接收核心网网络功能实体发送的第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
可选地,接收模块1510用于接收核心网网络功能实体发送的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法。
可选地,认证模块1530用于根据所述第一认证方法对所述第一用户进行二级认证。
可选地,接收模块1510用于接收核心网网络功能实体发送的第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法。
可选地,接收模块1510用于从所述第一认证方法集合中选取第二认证方法,所述第二认证方法为所述第二网络中的认证设备支持的认证方法。
可选地,认证模块1530用于根据所述第二认证方法对所述第一用户进行二级认证。
可选地,接收模块1510用于接收核心网网络功能实体发送的第二指示,所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
图16是本申请实施例提供的通信装置的示意性结构图。图16所示的通信装置1600可对应于前文描述的第二网络中的认证设备。通信装置1600包括:处理器1602。在本申请的实施例中,处理器1602用于对该第二网络中的认证设备的动作进行控制管理,例如,处理器1602用于支持第二网络中的认证设备执行前述实施例中图3至图11所示的方法或操作或功能。可选的,第二网络中的认证设备还可以包括:存储器1601和通信接口1603;处理器1602、通信接口1603以及存储器1601可以相互连接或者通过总线1604相互连接。其中,通信接口1603用于支持第二网络中的认证设备进行通信,存储器1601用于存储网络设备的程序代码和数据。处理器1602调用存储器1601中存储的代码进行控制管理。该存储器1601可以跟处理器耦合在一起,也可以不耦合在一起。
其中,处理器1602可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。通信接口1603可以是收发器、电路、总线、模块或其它类型的通信接口。总线1604可以是外设部件互连标准(peripheral componentinterconnect,PCI)总线或扩展工业标准结构(extended industry standardarchitecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图16中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图17是本申请实施例提供的一种装置的示意性结构图。图17中的装置1700可以是前文的第一终端设备,例如可以是图1中的终端设备110或图2中的UE 210的一个具体的例子。图17所示的装置可以用于执行图3至图12的方法,为避免冗余,不再重复描述。
图17所示的通装置1700可以包括建立模块1710、发送模块1720。
建立模块1710用于建立第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,所述第一终端设备的身份标识为第一网络的标识。
发送模块1720用于向核心网网络功能实体发送所述第一终端设备的身份标识,或者向核心网网络功能实体发送所述第一终端设备的身份标识和第一指示,其中所述第一指示用于在所述第二网络针对多个用户进行二级认证的身份标识中确定所述第一用户的身份标识。
可选地,发送模块1720用于在对所述第一用户进行二级认证之前,向所述核心网网络功能实体发送所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
可选地,发送模块1720用于向所述核心网网络功能实体发送第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法。
图18是本申请实施例提供的通信装置的示意性结构图。图18所示的通信装置1800可对应于前文描述的第一终端设备。通信装置1800包括:处理器1802。在本申请的实施例中,处理器1802用于对该第一终端设备的动作进行控制管理,例如,处理器1802用于支持第一终端设备执行前述实施例中图3至图11所示的方法或操作或功能。可选的,第一终端设备还可以包括:存储器1801和通信接口1803;处理器1802、通信接口1803以及存储器1801可以相互连接或者通过总线1804相互连接。其中,通信接口1803用于支持该第一终端设备进行通信,存储器1801用于存储网络设备的程序代码和数据。处理器1802调用存储器1801中存储的代码进行控制管理。该存储器1801可以跟处理器耦合在一起,也可以不耦合在一起。
其中,处理器1802可以是中央处理器单元,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。所述处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,数字信号处理器和微处理器的组合等等。通信接口1803可以是收发器、电路、总线、模块或其它类型的通信接口。总线1804可以是外设部件互连标准(peripheral componentinterconnect,PCI)总线或扩展工业标准结构(extended industry standardarchitecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图18中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种二级认证的方法,其特征在于,包括:
核心网网络功能实体获取第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络针对所述第一终端设备进行一级认证的身份标识或与所述第一网络针对所述第一终端设备进行一级认证的身份标识具有对应关系的身份标识;
所述核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,所述第一终端设备的身份标识用于确定所述第二网络针对第一用户进行二级认证的身份标识,第一用户的身份标识不同于所述第一终端设备的身份标识。
2.根据权利要求1所述的方法,其特征在于,所述核心网网络功能实体向第二网络中的认证设备发送所述第一终端设备的身份标识,包括:
所述核心网网络功能实体向所述第二网络中的认证设备发送二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识;以及,
所述方法还包括:
所述核心网网络功能实体接收所述第二网络中的认证设备发送的二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
3.根据权利要求1所述的方法,其特征在于,还包括:
所述核心网网络功能实体向所述第一终端设备发送第一消息,所述第一消息用于请求所述第一用户的身份标识;
所述核心网网络功能实体接收所述第一终端设备发送的第二消息;
当所述第二消息中不包括所述第一用户的身份标识时,所述核心网网络功能实体根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
4.根据权利要求1所述的方法,其特征在于,还包括:
在对所述第一用户进行二级认证之前,所述核心网网络功能实体获取所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
5.根据权利要求4所述的方法,其特征在于,所述第一终端设备的能力信息承载于所述第一终端设备与所述第一网络进行一级认证过程中的注册请求消息中。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,多个用户的身份标识包括所述第一用户的身份标识,所述方法还包括:
所述核心网网络功能实体获取第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
7.根据权利要求1至5中任一项所述的方法,其特征在于,还包括:
所述核心网网络功能实体选取用于所述二级认证的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法。
8.根据权利要求7所述的方法,其特征在于,所述核心网网络功能实体选取用于所述二级认证的第一认证方法,包括:
所述核心网网络功能实体获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;
所述核心网网络功能实体根据所述第一认证方法集合和所述第二认证方法集合确定所述第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均优选的认证方法;
所述核心网网络功能实体向所述第二网络中的认证设备发送所述第一认证方法。
9.根据权利要求8所述的方法,其特征在于,第二认证方法集合存储于所述核心网网络功能实体中,和/或所述第一认证方法集合存储于所述第一终端设备和/或所述核心网网络功能实体中。
10.根据权利要求1至5中任一项所述的方法,其特征在于,还包括:
所述核心网网络功能实体获取第一认证方法集合和第二认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法,所述第二认证方法集合包括所述第二网络中的认证设备优选的认证方法;
当所述第一认证方法集合和所述第二认证方法集合没有交集时,所述核心网网络功能实体向所述第二网络中的认证设备发送所述第一认证方法集合或者第二指示,其中所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
11.一种二级认证的方法,其特征在于,包括:
接收核心网网络功能实体发送的第一终端设备的身份标识,所述第一终端设备的身份标识为第一网络针对所述第一终端设备进行一级认证的身份标识或与所述第一网络针对所述第一终端设备进行一级认证的身份标识具有对应关系的身份标识;
根据所述第一终端设备的身份标识以及所述第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,确定第一用户的身份标识,所述第一用户的身份标识不同于所述第一终端设备的身份标识;
根据所述第一用户的身份标识对所述第一用户进行二级认证。
12.根据权利要求11所述的方法,其特征在于,所述接收核心网网络功能实体发送的第一终端设备的身份标识,包括:
接收所述核心网网络功能实体发送的二级认证请求,所述二级认证请求包括所述第一终端设备的身份标识但不包括所述第一用户的身份标识;
所述根据所述第一用户的身份标识对所述第一用户进行二级认证,包括:
向所述核心网网络功能实体发送二级认证响应消息,所述二级认证响应消息用于指示所述第一终端设备与所述第二网络针对所述第一用户进行二级认证。
13.根据权利要求11所述的方法,其特征在于,所述第一终端设备的身份标识与所述第二网络针对多个用户进行二级认证的身份标识对应,多个用户的身份标识包括所述第一用户的身份标识,所述方法还包括:
接收核心网网络功能实体发送的第一指示,所述第一指示用于在所述多个用户的身份标识中确定所述第一用户的身份标识。
14.根据权利要求11至13中任一项所述的方法,其特征在于,还包括:
接收核心网网络功能实体发送的第一认证方法,所述第一认证方法为所述第一终端设备和所述第二网络中的认证设备均支持的认证方法;
根据所述第一认证方法对所述第一用户进行二级认证。
15.根据权利要求11至13中任一项所述的方法,其特征在于,还包括:
接收核心网网络功能实体发送的第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法;
从所述第一认证方法集合中选取第二认证方法,所述第二认证方法为所述第二网络中的认证设备支持的认证方法;
根据所述第二认证方法对所述第一用户进行二级认证。
16.根据权利要求11至13中任一项所述的方法,其特征在于,还包括:
接收核心网网络功能实体发送的第二指示,所述第二指示用于指示所述第二网络中的认证设备与所述第一终端设备进行认证方法协商。
17.一种二级认证的方法,其特征在于,包括:
建立第一终端设备的身份标识与第二网络针对第一用户进行二级认证的身份标识之间的映射关系,所述第一终端设备的身份标识为第一网络针对所述第一终端设备进行一级认证的身份标识或与所述第一网络针对所述第一终端设备进行一级认证的身份标识具有对应关系的身份标识;
向核心网网络功能实体发送所述第一终端设备的身份标识,或者向核心网网络功能实体发送所述第一终端设备的身份标识和第一指示,其中所述第一指示用于在所述第二网络针对多个用户进行二级认证的身份标识中确定第一用户的身份标识。
18.根据权利要求17所述的方法,其特征在于,还包括:
在对所述第一用户进行二级认证之前,向所述核心网网络功能实体发送所述第一终端设备的能力信息,所述第一终端设备的能力信息用于指示所述核心网网络功能实体可以根据所述第一终端设备的身份标识对所述第一用户进行二级认证。
19.根据权利要求17或18所述的方法,其特征在于,还包括:
向所述核心网网络功能实体发送第一认证方法集合,所述第一认证方法集合包括所述第一终端设备优选的认证方法。
20.一种装置,其特征在于,包括用于执行如权利要求1至10中任一项所述的方法的模块。
21.一种装置,其特征在于,包括用于执行如权利要求11至16中任一项所述的方法的模块。
22.一种装置,其特征在于,包括用于执行如权利要求17至19中任一项所述的方法的模块。
23.一种装置,其特征在于,包括处理器,用于与存储器耦合,执行所述存储器中的指令,以实现如权利要求1至19中任一项所述的方法。
24.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令设置为执行权利要求1至19中任一项所述的方法。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210997886.6A CN115835218A (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
| CN201910522598.3A CN112105015B (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
| EP20827832.5A EP3955613A4 (en) | 2019-06-17 | 2020-05-07 | METHOD AND DEVICE FOR SECONDARY AUTHENTICATION |
| PCT/CN2020/088907 WO2020253408A1 (zh) | 2019-06-17 | 2020-05-07 | 二级认证的方法和装置 |
| US17/532,757 US20220086145A1 (en) | 2019-06-17 | 2021-11-22 | Secondary Authentication Method And Apparatus |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910522598.3A CN112105015B (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210997886.6A Division CN115835218A (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112105015A CN112105015A (zh) | 2020-12-18 |
| CN112105015B true CN112105015B (zh) | 2022-08-26 |
Family
ID=73748913
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910522598.3A Active CN112105015B (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
| CN202210997886.6A Pending CN115835218A (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210997886.6A Pending CN115835218A (zh) | 2019-06-17 | 2019-06-17 | 二级认证的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220086145A1 (zh) |
| EP (1) | EP3955613A4 (zh) |
| CN (2) | CN112105015B (zh) |
| WO (1) | WO2020253408A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113076531A (zh) * | 2021-02-18 | 2021-07-06 | 深圳供电局有限公司 | 身份认证方法、装置、计算机设备和存储介质 |
| CN113449286B (zh) * | 2021-07-08 | 2024-03-26 | 深圳职业技术学院 | 安全校验ue发送的s-nssai的方法及系统、设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754219A (zh) * | 2009-12-28 | 2010-06-23 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626369B (zh) * | 2008-07-11 | 2012-07-25 | 中国移动通信集团公司 | 一种单点登录方法、设备及系统 |
| CN102143136B (zh) * | 2010-08-20 | 2013-12-04 | 华为技术有限公司 | 接入业务批发网络的方法、设备、服务器和系统 |
| CN107809776B (zh) * | 2016-09-09 | 2021-06-15 | 中兴通讯股份有限公司 | 信息处理方法、装置以及网络系统 |
| CN108012267B (zh) * | 2016-10-31 | 2022-05-24 | 华为技术有限公司 | 一种网络认证方法、相关设备及系统 |
| CN108347729B (zh) * | 2017-01-24 | 2019-08-02 | 电信科学技术研究院 | 网络切片内鉴权方法、切片鉴权代理实体及会话管理实体 |
| WO2018199649A1 (en) * | 2017-04-27 | 2018-11-01 | Samsung Electronics Co., Ltd. | Method and apparatus for registration type addition for service negotiation |
| CN109104726A (zh) * | 2017-06-20 | 2018-12-28 | 上海中兴软件有限责任公司 | 网络切片的认证方法及相应装置、系统和介质 |
| CN109511115B (zh) * | 2017-09-14 | 2020-09-29 | 华为技术有限公司 | 一种授权方法和网元 |
| US11006316B2 (en) * | 2017-10-16 | 2021-05-11 | Ofinno, Llc | Header compression for ethernet frame |
| CN108200007B (zh) * | 2017-11-24 | 2021-02-02 | 中国科学院信息工程研究所 | 一种移动网络动态身份管理方法及系统 |
| US10986602B2 (en) * | 2018-02-09 | 2021-04-20 | Intel Corporation | Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function |
| CN108833181B (zh) * | 2018-06-25 | 2020-10-30 | 北京邮电大学 | Ng-cn网络切片系统及网络切片选择方法 |
| CN108881252B (zh) * | 2018-06-28 | 2021-06-01 | 腾讯科技(深圳)有限公司 | 身份认证数据处理方法、装置、计算机设备和存储介质 |
| CN108901018B (zh) * | 2018-07-27 | 2021-02-12 | 中国电子科技集团公司第三十研究所 | 一种终端发起的移动通信系统用户身份隐匿方法 |
| CN109150864B (zh) * | 2018-08-03 | 2021-07-20 | 中国联合网络通信集团有限公司 | 基于二次认证的防作弊方法及装置 |
-
2019
- 2019-06-17 CN CN201910522598.3A patent/CN112105015B/zh active Active
- 2019-06-17 CN CN202210997886.6A patent/CN115835218A/zh active Pending
-
2020
- 2020-05-07 WO PCT/CN2020/088907 patent/WO2020253408A1/zh unknown
- 2020-05-07 EP EP20827832.5A patent/EP3955613A4/en active Pending
-
2021
- 2021-11-22 US US17/532,757 patent/US20220086145A1/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101754219A (zh) * | 2009-12-28 | 2010-06-23 | 中国人民解放军信息工程大学 | 标识分配和分离存储方法、标识替换传输方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 3rd Generation Partnership Project."Technical Specification Group Services and System Aspects * |
| Security Aspects ; Study on Security Aspects of Enhanced Network Slicing(Release 16)".《3GPP TR 33.813 V0.4.0》.2019,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3955613A1 (en) | 2022-02-16 |
| CN112105015A (zh) | 2020-12-18 |
| EP3955613A4 (en) | 2022-09-28 |
| CN115835218A (zh) | 2023-03-21 |
| WO2020253408A1 (zh) | 2020-12-24 |
| US20220086145A1 (en) | 2022-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102466422B1 (ko) | Nas 메시지의 보안 보호를 위한 시스템 및 방법 | |
| US11570617B2 (en) | Communication method and communications apparatus | |
| WO2019062996A1 (zh) | 一种安全保护的方法、装置和系统 | |
| US11871223B2 (en) | Authentication method and apparatus and device | |
| CN113676904B (zh) | 切片认证方法及装置 | |
| CN114025352A (zh) | 终端设备的鉴权方法及其装置 | |
| US20220086145A1 (en) | Secondary Authentication Method And Apparatus | |
| CN112019489B (zh) | 验证方法及装置 | |
| EP4262258A1 (en) | Method and apparatus for generating security context, and computer-readable storage medium | |
| CN116746181A (zh) | 一种密钥标识的生成方法以及相关装置 | |
| WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
| US20220264435A1 (en) | Access control method and communications apparatus | |
| CN114600487B (zh) | 身份认证方法及通信装置 | |
| CN114208240B (zh) | 数据传输方法、装置及系统 | |
| CN113904781B (zh) | 切片认证方法及系统 | |
| EP4156741A1 (en) | Slice service verification method and apparatus | |
| WO2023213191A1 (zh) | 安全保护方法及通信装置 | |
| EP4262149A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
| CN116709168A (zh) | 一种通信方法及装置 | |
| CN117062051A (zh) | 密钥管理方法及通信装置 | |
| CN117641358A (zh) | 通信方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |