CN112118549B - 认证方法、smf、chf、计算机设备及存储介质 - Google Patents
认证方法、smf、chf、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN112118549B CN112118549B CN202011098862.4A CN202011098862A CN112118549B CN 112118549 B CN112118549 B CN 112118549B CN 202011098862 A CN202011098862 A CN 202011098862A CN 112118549 B CN112118549 B CN 112118549B
- Authority
- CN
- China
- Prior art keywords
- smf
- chf
- sequence
- session
- operator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 71
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 68
- 230000008569 process Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 9
- 238000007726 management method Methods 0.000 claims description 5
- 238000013523 data management Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 101150119040 Nsmf gene Proteins 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- JNCMHMUGTWEVOZ-UHFFFAOYSA-N F[CH]F Chemical compound F[CH]F JNCMHMUGTWEVOZ-UHFFFAOYSA-N 0.000 description 1
- 108010081348 HRT1 protein Hairy Proteins 0.000 description 1
- 102100021881 Hairy/enhancer-of-split related with YRPW motif protein 1 Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 101150102131 smf-1 gene Proteins 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/24—Accounting or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供一种认证方法、会话网元、计费网元、系统、计算机设备及计算机可读存储介质,所述方法包括:当用户申请会话请求时,SMF获取第二伪随机序列,第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;然后调取CHF上预置的第一序列,第一序列由运营商在CHF上预置;将第一序列与第二伪随机序列进行自相关运算,并得到自相关运算的结果;SMF将自相关运算的结果发送给CHF,以使CHF根据自相关运算的结果完成与终端的双向鉴权;并且SMF根据自相关运算的结果完成与CHF的双向鉴权。本公开的技术方案可以保证计费的合理性,防止被非法计费网元恶意计费扣费。
Description
技术领域
本公开属于通信技术领域,具体涉及一种认证方法,一种SMF,一种CHF,一种计算机设备,以及一种计算机可读存储介质。
背景技术
在5G虚拟化架构下,网元硬件直接采用X86通用服务器部署,各类网元的地址、功能、物理硬件可能会进行动态变化,而且对于同一类业务(例如数据业务)可能在多个物理资源上动态部署了多个CHF(Charging Function,计费功能)计费服务器,也可称为计费网元,因此,无法通过IP地址或者固定物理连接的方法进行网元鉴权,而缺少CHF与SMF(Session Management Function,会话管理功能)及终端之间的相互认证,会存在被恶意计费及扣费的风险,SMF也可称为会话网元。
而目前,除了通过IP地址或者固定物理连接的方法进行网元鉴权外,网元间进行双向鉴权的方法还有:采用私钥、公钥、共享密钥进行验证,或者采用区块链可信制度进行鉴权,或者依据3GPP的推荐由密钥向量推导、派生新的密钥,实现双向AKA鉴权,但以上方法需要占用较大的计算资源,而且密钥要提前储存在用户端,对于网元物理资源经常变动的情况不太方便,此外还要增加用户换机、换卡的成本。因此,现有的网元鉴权方法都不能很好的满足5G计费网元与终端和会话网元之间认证。
发明内容
本公开提供一种认证方法、会话网元、计费网元、系统、计算机设备及计算机可读存储介质,实现了计费网元与终端和会话网元之间的鉴权,确保用户计费在漫游场景的合理性,防止被非法计费网元恶意计费扣费。
第一方面,本公开实施例提供一种认证方法,应用于归属核心网的会话网元SMF,所述方法包括:
当用户申请会话请求时,SMF获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
SMF调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
SMF将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;以及,
SMF根据所述自相关运算的结果完成与CHF的双向鉴权。
进一步的,所述第一序列包括第一伪随机序列和非伪随机序列;所述第一伪随机序列用以表征所述CHF归属的区域和运营商,并且根据所述CHF归属的区域和运营商,以及运营商之间签订的漫游协议插放在第一序列中的相应位置处;所述非伪随机序列为0/1随机序列,其插放在第一序列中除了第一伪随机序列以外的其余位置处。
进一步的,所述当用户申请会话请求时,SMF获取第二伪随机序列,包括:
当用户申请会话请求时,SMF接收接入与移动性管理网元AMF发送的请求建立协议数据单元PDU的会话消息;
其中,所述请求建立PDU的会话消息为AMF在其已获取由归属核心网的统一数据管理网元UDM为用户配置的第二伪随机序列后发送给SMF,且所述请求建立PDU的会话消息中包括所述第二伪随机序列。
进一步的,所述SMF调取CHF上预置的第一序列,包括:
SMF在接收到AMF发送的请求建立PDU的会话消息后,向网元数据仓库功能网元NRF发送寻址CHF的请求消息,以使NRF根据所述请求消息向SMF发送相应的CHF地址;
SMF根据所述CHF地址调取CHF上预置的第一序列。
进一步的,所述SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算结果,包括:
SMF将所述第一序列的各个数据段与所述第二伪随机序列的各个数据段进行自相关运算,得到若干自相关值;
判断是否存在自相关值超过预设阈值;
若存在,则获取超过预设阈值的自相关值所对应的第一伪随机序列在第一序列中所处的位置,并根据所述第一伪随机序列在第一序列中所处的位置获取CHF与终端及SMF所归属的运营商的关系,及所述CHF归属的区域,以作为所述自相关运算的结果;
所述CHF与终端及SMF所归属的运营商的关系包括:CHF与终端及SMF归属同一运营商,或者所述CHF归属的运营商与所述终端及SMF归属的运营商签订有漫游协议。
进一步的,所述SMF根据所述自相关运算的结果完成与CHF的双向鉴权,包括:
SMF判断所述CHF归属的区域是否符合所述SMF所在的地理位置;
若所述CHF归属的区域符合所述SMF所在的地理位置,则SMF进一步判断所述CHF归属的运营商是否为所述SMF归属的运营商;
若是,则表示所述CHF具有可信度,并完成与CHF的双向鉴权;
若不是,则进一步判断漫游场景下当前CHF是否可信,若可信则完成与CHF的双向鉴权。
进一步的,所述SMF判断漫游场景下当前CHF是否可信,包括:
SMF向当前CHF调取其储存的历史SMF ID,其中历史SMF ID由CHF通过记录用户会话信息获得,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDUID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;以及,
如果CHF储存的历史SMF ID中有所述SMF的ID,或者有所述SMF归属的运营商的其他SMF ID,则SMF判定漫游场景下当前CHF可信。
进一步的,所述方法还包括:
SMF获取PDU会话模式;
若所述PDU会话模式为会话过程不切换SMF,则SMF直接判断漫游场景下当前CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先断开旧的SMF再连接新的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在建立PDU会话前,所述旧的SMF先判断漫游场景下旧的CHF是否可信,若可信,则在旧的SMF切换为新的SMF时,所述新的SMF再次判断漫游场景下所述新的CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先连接新的SMF再断开旧的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在断开旧的SMF前,所述新的SMF先判断漫游场景下新的CHF是否可信;
其中,所述新的CHF即为所述当前CHF。
第二方面,本公开实施例还提供一种认证方法,应用于计费网元CHF,所述方法包括:
CHF接收运营商配置的第一序列;
当受到SMF访问时,CHF将所述第一序列发送给SMF,以使SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF,其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
CHF接收SMF发送的所述自相关运算的结果;
CHF根据所述自相关运算的结果,完成与终端的双向鉴权;
在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
进一步的,所述CHF根据所述自相关运算的结果,完成与终端的双向鉴权,包括:
若所述自相关运算的结果为,所述终端及SMF与CHF归属同一运营商,或者所述终端及SMF归属的运营商与所述CHF归属的运营商签订有漫游协议,则CHF完成与终端的双向鉴权。
进一步的,所述方法还包括:
CHF通过记录用户会话信息获得历史SMF ID,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDU ID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;
在SMF根据所述自相关运算的结果判断CHF归属的区域符合所述SMF所在的地理位置,并判断所述CHF归属的运营商不是所述SMF归属的运营商后向CHF调取其储存的历史SMFID时,将储存的历史SMF ID发送给SMF,以使所述SMF判断所述储存的历史SMF ID中是否有所述SMF的ID,或者有所述SMF归属运营商的其他SMF ID,以确定CHF是否可信,并在确定CHF可信后完成与CHF的双向鉴权。
第三方面,本公开实施例提供一种会话网元SMF,包括:
获取模块,其设置为当用户申请会话请求时,获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
调取模块,其设置为调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
运算模块,其设置为将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
第一发送模块,其设置为将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;
第一鉴权模块,其设置为根据所述自相关运算的结果完成与CHF的双向鉴权。
第四方面,本公开实施例提供一种计费网元CHF,包括:
接收模块,其设置为接收运营商配置的第一序列;
第二发送模块,其设置为当受到会话网元SMF访问时,将所述第一序列发送给SMF,以使所述SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF;其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
所述接收模块还设置为接收SMF发送的所述自相关运算的结果;
第二鉴权模块,其设置为根据所述自相关运算的结果,完成与终端的双向鉴权;以及
设置为在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
第五方面,本公开实施例提供一种计费网元与终端和会话网元的认证系统,包括如第三方面中所述的会话网元SMF,以及如第四方面中所述的计费网元CHF。
第六方面,本公开实施例还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如第一方面和第二方面中任一所述的认证方法。
第七方面,本公开实施例还提供一种计算机可读存储介质,包括:计算机程序,当其在计算机上运行时,使得计算机执行如第一方面和第二方面中任一所述的认证方法。
有益效果:
本公开提供的认证方法、会话网元、计费网元、系统、计算机设备及计算机可读存储介质,当用户申请会话请求时,通过SMF获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;然后SMF调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;SMF将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;并且SMF根据所述自相关运算的结果完成与CHF的双向鉴权。本公开技术方案解决了由于5G核心网的各类网元的地址、功能、物理硬件可能会进行动态变化,并且对于同一类业务(例如数据业务)可能会在在多个物理资源上动态部署了多个CHF计费服务器,而目前缺少计费网元CHF与SMF及终端之间的相互认证,会存在被恶意计费扣费的风险的问题,通过获知计费网元归属的运营商与终端的关系,并且确认计费网元与会话网元是否归属于同一区域,对计费网元进行验证,保证计费的合理性,并防止被非法计费网元恶意计费扣费。
附图说明
图1为本公开实施例一提供的一种认证方法的流程图;
图2为本公开实施例二提供的一种认证方法的流程图;
图3为本公开实施例三提供的一种会话网元SMF的架构图;
图4为本公开实施例四提供的一种计费网元CHF的架构图;
图5为本公开实施例五提供的一种认证系统的架构图。
具体实施方式
为使本领域技术人员更好地理解本公开的技术方案,下面结合附图和实施例对本公开作进一步详细描述。
其中,在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚的表示其他含义。
以下,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解:
在5G虚拟化架构下,很多硬件都是在虚拟化平台里面虚拟出来的,通过模块化、软件化的构建方式来构架5G核心网,以高效执行不同服务类型的网络切片,可以实现动态灵活调整网络,但各类网元的地址、功能、物理硬件可能也会进行动态变化,因此,无法通过IP地址或者固定物理连接这样的现有技术进行网元之间的鉴权,而目前对于同一类业务(例如数据业务)可能会在在多个物理资源上动态部署了多个CHF计费服务器,目前缺少可靠的计费网元CHF与SMF及终端之间的相互认证的技术方案,而可能的采用私钥、公钥、共享密钥进行验证,或者采用区块链可信制度进行鉴权,或者依据3GPP的推荐由密钥向量推导、派生新的密钥,实现双向AKA鉴权,需要占用较大的计算资源,而且密钥要提前储存在用户端,对于网元物理资源经常变动的情况不太方便,此外还要增加用户换机、换卡的成本。因此目前还不能很好的解决5G核心网中各个网元安全便捷的进行相互认证的问题,假如计算网元不可靠,会存在被恶意计费扣费的风险。
下面以具体地实施例对本公开的技术方案以及本公开的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图1为本公开实施例一提供的一种认证方法的流程图,应用于归属核心网的会话网元SMF,如图1所示,所述方法包括:
步骤S101:当用户申请会话请求时,SMF获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
步骤S102:SMF调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
步骤S103:SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
步骤S104:SMF将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;以及,
步骤S105:SMF根据所述自相关运算的结果完成与CHF的双向鉴权。
计费网元控制会话时的计费和扣费,在进行会话时,需要保证计费网元的合法性和可信度,因为5G虚拟架构后每个网元的物理资源都不再固定,单独分析IP地址无法判断计费网元是否为合法计费服务器,由此,本公开实施例通过运营商在上线CHF时,为CHF分配一串长度为N的序列,即第一序列,并且在第一序列中插入特定的第一伪随机序列M,以表明所述CHF所属区域以及运营商,同时用户终端侧在开卡时运营商给他分配一个第二伪随机序列A,当用户申请会话请求时,由会话网元获取第一序列和第二伪随机序列,将所述第一序列与所述第二伪随机序列进行自相关运算,得到自相关运算的结果,根据自相关运算的结果可以获知为计费网元配置第一序列的运营商与终端所属的运营商之间的关系,并且判断计费网元与会话网元是否属于同一区域(防止漫游到外地计费),由此确定计费网元的身份,在可信时完成完成终端与CHF之间的鉴权,并完成SMF和CHF之间的鉴权,保证计费正常,如果计费网元CHF不可信,则需要停止本次会话的计费服务,SMF与CHF交互为本次会话计费进行报错处理,防止恶意或错误的计费扣费。
进一步的,所述第一序列包括第一伪随机序列和非伪随机序列;所述第一伪随机序列用以表征所述CHF归属的区域和运营商,并且根据所述CHF归属的区域和运营商,以及运营商之间签订的漫游协议插放在第一序列中的相应位置处;所述非伪随机序列为0/1随机序列,其插放在第一序列中除了第一伪随机序列以外的其余位置处。
运营商在上线CHF时,为CHF分配一串长度为N的序列,即第一序列,该序列可根据不同城域或国家或运营商,以及运营商之间签订的漫游协议在对应位置插放伪随机序列,在非伪随机序列的数据位插入0/1随机序列。
例如:运营商甲为其在北京区域的CHF配置第一序列,在该序列的第10位到第20位分配一段固定的伪随机序列M1,其余位置均为0/1随机序列;运营商甲为其在上海区域的CHF配置的第一序列的第20位-30位分配伪随机序列M2,其余位置均为0/1随机序列,并且不能出现与伪随机序列相同的数据段;若运营商甲与运营商乙建立异网漫游协议,运营商乙会在其北京地区CHF的第一序列中第150位到第160位分配固定伪随机序列M3;运营商丙在第300-第310位插入伪随机序列M4……;M1/M2/M3/M4…之间的关系是伪随机序列组。运营商掌握了各自分配给用户的的第二伪随机序列及第一序列中的第一伪随机序列,只有当两者对应时,进行第一序列和第二伪随机序列自相关运算时才能得到峰值。
对于漫游协议,具体的,比如运营商甲和运营商乙签了可以漫游的协议,运营商甲用户开卡分得的伪随机码(第二伪随机序列)是A,运营商乙用户分得伪随机码B。那么运营商甲用户漫游到运营商乙北京CHF后,运营商乙北京CHF的第一序列在10-20位放置的是运营商乙用户的随机码B对应的一串伪随机码,并且在运营商乙北京CHF的第一序列的150-160位放置有运营商甲用户随机码A对应的一串伪随机码。如果运营商甲和运营商乙没有漫游协议,那么运营商乙北京CHF就不会在第一序列150-160位放置运营商甲用户随机码A对应的一串伪随机码(第一伪随机序列)了。
进一步的,所述当用户申请会话请求时,SMF获取第二伪随机序列,包括:
当用户申请会话请求时,SMF接收接入与移动性管理网元AMF发送的请求建立协议数据单元PDU的会话消息;
其中,所述请求建立PDU的会话消息为AMF在其已获取由归属核心网的统一数据管理网元UDM为用户配置的第二伪随机序列后发送给SMF,且所述请求建立PDU的会话消息中包括所述第二伪随机序列。
当用户在AUSF(Authentication Server Function,鉴权服务功能)完成SUCI(Subscription Concealed Identifier,用户隐藏标识)的身份验证后(即通过5GAKA(Authentication and Key Agreement,认证与密钥协商协议)并且核心网获取到用户SUPI(Subscription Permanent Identifier用户永久标识)/IMSI(International MobileSubscriber Identity,国际移动用户识别码)),证明用户已经与核心网完成双向鉴权且身份合法后,由UDM为用户再分配一个第二伪随机码。例如运营商甲为用户分配的伪随机码A,该第二伪随机码可以储存在UDM也可以下发到SIM卡中。第二伪随机序列与第一序列中该用户归属地运营商的那一段伪随机序列做的自相关运算会得到一个明显的峰值,例如用户属于运营商甲,A与运营商甲北京区CHF的第一序列的伪随机序列M1(即M中第10到20位)做自相关运算会得到明显峰值X1,与第15到第25位或者第60到第70位自相关不会有明显峰值;此外,A与运营商乙北京地区CHF的M3(即第150位到第160位)进行自相关运算可有峰值X2(如果运营商甲和运营商乙签了可以漫游的协议),与其他位自相关运算不会有明显峰值。如果是非授权CHF,相对A来说,第一序列都是随机序列,与A做自相关运算不会出现峰值。
进一步的,所述SMF调取CHF上预置的第一序列,包括:
SMF在接收到AMF发送的请求建立PDU的会话消息后,向网元数据仓库功能网元NRF发送寻址CHF的请求消息,以使NRF根据所述请求消息向SMF发送相应的CHF地址;
SMF根据所述CHF地址调取CHF上预置的第一序列。
当用户申请会话请求时,核心网的AMF控制用户的接入选择并获取运营商为用户分配的伪随机序列;依据上述设计,如果第二伪随机序列储存在SIM卡中,核心网没有用户伪随机序列数据,那就在终端向核心网提出注册、上报SUCI消息时,随着SUCI一起将伪随机序列上报给AMF;如果伪随机序列没有下发给终端而是选择储存在核心网UDM,那就在AUSF鉴权完成对终端鉴权证明终端身份合法后,由AUSF发确认消息以及终端对应的SUPI信息后,允许UDM根据SUPI对应关系将储存好的第二伪随机序列跟随解密后的SUPI一起发送给AMF。
AMF选择SMF并向SMF请求建立PDU会话,AMF向SMF发送会话请求消息Nsmf_PDUSession_CreateSMContext req,会话请求消息中包括(SUPI,第二伪随机序列,DNN,PDU会话ID,PDU会话mode,AMF ID)等信息。此处除在请求消息中增加第二伪随机序列外,其余与现有技术中AMF发Nsmf_PDUSession_CreateSMContext req给SMF的过程相同,SMF接收到会话请求消息后,获得第二伪随机序列。
进一步的,所述调取所述CHF上预置的第一序列,包括:
接收AMF发送的请求建立PDU的会话消息后,向NRF发送寻址CHF的请求消息,使NRF根据所述请求消息通知SMF相应的CHF地址;
根据所述CHF地址调取CHF上预置的第一序列。
接收AMF发送的请求建立PDU的会话消息后,SMF向NRF请求寻址CHF,请求中应该包括AMF向SMF发送会话请求消息中的信息以及该SMF ID。NRF根据PDU会话mode通知SMF相应的CHF地址。SMF根据CHF地质调取本次会话的计费网元CHF上预置的第一序列。
进一步的,所述SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算结果,包括:
SMF将所述第一序列的各个数据段与所述第二伪随机序列的各个数据段进行自相关运算,得到若干自相关值;
判断是否存在自相关值超过预设阈值;
若存在,则获取超过预设阈值的自相关值所对应的第一伪随机序列在第一序列中所处的位置,并根据所述第一伪随机序列在第一序列中所处的位置获取CHF与终端及SMF所归属的运营商的关系,及所述CHF归属的区域,以作为所述自相关运算的结果;
所述CHF与终端及SMF所归属的运营商的关系包括:CHF与终端及SMF归属同一运营商,或者所述CHF归属的运营商与所述终端及SMF归属的运营商签订有漫游协议。
在SMF中新增有计算模块,SMF新增的计算模块为第二伪随机序列与第一序列中的各个数据段做自相关运算,得到是否有自相关值超过预设阈值,以及自相关值超过预设阈值所对应的第一伪随机序列在第一序列中的位置。所述阈值可根据伪随机序列的设置,可以设为1,但需要远远大于第二伪随机序列与在非伪随机序列的数据位插入0/1随机序列自相关运算的值。
进一步的,所述SMF根据所述自相关运算的结果完成与CHF的双向鉴权,包括:
SMF判断所述CHF归属的区域是否符合所述SMF所在的地理位置;
若所述CHF归属的区域符合所述SMF所在的地理位置,则SMF进一步判断所述CHF归属的运营商是否为所述SMF归属的运营商;
若是,则表示所述CHF具有可信度,并完成与CHF的双向鉴权;
若不是,则进一步判断漫游场景下当前CHF是否可信,若可信则完成与CHF的双向鉴权。
由于终端与核心网完成鉴权,SMF属于核心网中的一个网元,因此无需进行终端与SMF的鉴权。
SMF新增的计算模块将根据自相关极大值(超过阈值)所在数据位置判断此CHF的归属区域是否符合该SMF所在的地理位置;如果不符合(例如SMF归属在运营商甲的北京区域,与CHF的第一序列进行互相运算,所得自相关极大值在位置不在第10-20位,而在20-30位上海区域,表示这个CHF可能是非法的或者按照漫游到上海给用户进行漫游计费了),则SMF与CHF交互为本次会话计费进行异常报错。
此处没有直接对比SMF以及CHF的IP位置是因为5G虚拟架构后每个网元的物理资源都不再固定,单独分析IP地址无法判断网元是否为合法计费服务器。如果SMF判断自相关极大值在位置相符合则进一步判断SMF与CHF是否属于同一运营商。
如果自相关值超过阈值门限,那么还需要验证出现自相关极大值的第一序列中的数据段位置是本运营商还是其他运营商的位置,即需要判断现在计费网元CHF是漫游地或者其他运营商的CHF。
例如:运营商甲的SMF需要判定自相关极大值所在数据段是不是第一序列的第10-20位,如果判断不是在第10-20位而是在第150-160位(对应运营商乙的CHF),这样的场景由于CHF不被归属地运营商所控制,因此需要继续验证CHF的可信度,以保证用户在其他运营商或漫游地不被恶意扣费。
进一步的,所述SMF判断漫游场景下当前CHF是否可信,包括:
SMF向当前CHF调取其储存的历史SMF ID,其中历史SMF ID由CHF通过记录用户会话信息获得,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDUID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;以及,
如果CHF储存的历史SMF ID中有所述SMF的ID,或者有所述SMF归属的运营商的其他SMF ID,则SMF判定漫游场景下当前CHF可信。
SMF与CHF之前有过授权的历史话单,那么说明该CHF为可信计费网元;如果CHF历史计费话单中没有该SMF ID,那么SMF从CHF调取的历史SMF ID中查询是否有属于SMF归属运营商(例如运营商甲)的其他SMF ID,如果有那么说明该CHF计费网元有可信度。
进一步的,所述方法还包括:
SMF获取PDU会话模式;
若所述PDU会话模式为会话过程不切换SMF,则SMF直接判断漫游场景下当前CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先断开旧的SMF再连接新的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在建立PDU会话前,所述旧的SMF先判断漫游场景下旧的CHF是否可信,若可信,则在旧的SMF切换为新的SMF时,所述新的SMF再次判断漫游场景下所述新的CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先连接新的SMF再断开旧的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在断开旧的SMF前,所述新的SMF先判断漫游场景下新的CHF是否可信;
其中,所述新的CHF即为所述当前CHF。
SMF根据PDUsessionmode(PDU会话模式)分类判断漫游场景下CHF的计费可信度包括3种模式,
如果是模式1,由于此类会话特征是PDU会话过程不切换SMF,SMF新增运算单元向当前CHF调取其储存的历史SMF ID。如果调取对比后显示CHF服务器中有该SMF ID,即SMF与CHF之前有过授权的历史话单,那么说明该CHF为可信计费网元;如果CHF历史计费话单中没有该SMF ID,那么SMF从CHF调取的历史SMF ID中查询是否有属于本运营商的其他SMF ID,如果有那么说明该CHF计费网元有可信度,可以继续启动计费。
如果是模式2,由于此类PDU会话特征是会话过程切换SMF且会话先断开旧的SMF后连新的SMF;因此在建立PDU会话前旧SMF先按照上述方法进行旧CHF计费可信度的验证:在切换SMF时,关闭旧UPF并释放PDU会话链接,通知旧CHF关闭旧的话单,再启动新CHF计费可信度验证,按照上述方法,验证CHF归属地及运营商,及CHF的可信度,在确保新CHF都具备计费可信度后再建立PDU会话,如果新选择的SMF是相同的SMF,那不需要再次验证CHF。
如果是模式3,由于此类PDU会话特征是会话过程切换SMF且会话先连新SMF后断开旧SMF,因此PDU会话中断前,新SMF需要立马按照上述方法验证CHF归属地及运营商,及CHF的可信度,确保新的CHF都具备计费可信度。
如果SMF判断CHF具有可信度,那么可以通知CHF的CDR(Call Detail Record,呼叫详细记录)账单打开初始化流程正常启动。
如果SMF判断CHF不具备可信度,那么CHF的CDR账单初始化流程失败。要在SMF给CHF发送异常报错请求。
本公开实施例通过由会话网元获取运营商在计费网元上预置的第一序列,以及核心网分配给终端的第二伪随机序列,并进行自相关运算,由运算结果可获知计费网元归属的运营商与终端的关系,如果属于同一运营商或者签订有漫游协议,则完成计费网元和终端的鉴权,并且确认计费网元与会话网元是否归属于同一区域,则判断会话网元和计费网元是否为同一运营商,若是则直接进行鉴权,如果为漫游,则对计费网元进行可靠性验证,保证计费的合理性,并防止被非法计费网元恶意计费扣费。
图2为本公开实施例二提供的一种认证方法的流程图,应用于计费网元CHF,如图2所示,所述方法包括:
步骤S201:CHF接收运营商配置的第一序列;
步骤S202:当受到SMF访问时,CHF将所述第一序列发送给SMF,以使SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF,其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
步骤S203:CHF接收SMF发送的所述自相关运算的结果;
步骤S204:CHF根据所述自相关运算的结果,完成与终端的双向鉴权;
步骤S205:在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
通过在CHF上配置第一序列,并且根据CHF所属区域以及运营商,或者运营商之间签订的漫游协议插入特定的伪随机序列,再将将所述第一序列发送给SMF,由SMF判断CHF归属的区域及运营商,在确定CHF可信后,再开始计费,保证了计费的合理性。
进一步的,所述CHF根据所述自相关运算的结果,完成与终端的双向鉴权,包括:
若所述自相关运算的结果为,所述终端及SMF与CHF归属同一运营商,或者所述终端及SMF归属的运营商与所述CHF归属的运营商签订有漫游协议,则CHF完成与终端的双向鉴权。
若所述第一序列的各个数据段与获取的所述第二伪随机序列进行自相关运算后有数据段与第二伪随机序列的自相关值超过预设阈值,则认为所述终端与CHF归属同一运营商,或者所述终端归属的运营商与所述CHF归属的运营商签订有漫游协议;
将终端与CHF归属同一运营商,或者所述终端归属的运营商与所述CHF归属的运营商签订有漫游协议的结果发送给CHF,使所述CHF完成与终端的双向鉴权。
如果在任何位置数据段的自相关值都没有超过预设阈值,说明终端或者CHF其中一方没有运营商下发的身份合法资质(伪随机序列),因此需要停止本次会话的计费服务,伪基站或者伪造SIM卡不能进行计费;SMF与CHF交互为本次会话计费进行报错处理。
如果自相关值超过预设阈值,则认为所述终端与CHF归属同一运营商,或者所述终端归属的运营商与所述CHF归属的运营商签订有漫游协议;完成CHF与终端的双向鉴权。
进一步的,所述方法还包括:
CHF通过记录用户会话信息获得历史SMF ID,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDU ID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;
在SMF根据所述自相关运算的结果判断CHF归属的区域符合所述SMF所在的地理位置,并判断所述CHF归属的运营商不是所述SMF归属的运营商后向CHF调取其储存的历史SMFID时,将储存的历史SMF ID发送给SMF,以使所述SMF判断所述储存的历史SMF ID中是否有所述SMF的ID,或者有所述SMF归属运营商的其他SMF ID,以确定CHF是否可信,并在确定CHF可信后完成与CHF的双向鉴权。
在CHF中新增运算单元或者服务器,用于记录用户会话信息,因此CHF可以记录与其交互过的所有SMF ID,在进行对其他运营商的用户计费时,以方便确认CHF的可信度,完成计费。
图3为本公开实施例三提供的一种会话网元SMF,包括:
获取模块11,其设置为当用户申请会话请求时,获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
调取模块12,其设置为调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
运算模块13,其设置为将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
第一发送模块14,其设置为将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;
第一鉴权模块15,其设置为根据所述自相关运算的结果完成与CHF的双向鉴权。
进一步的,所述调取模块12调取的所述第一序列包括第一伪随机序列和非伪随机序列;所述第一伪随机序列用以表征所述CHF归属的区域和运营商,并且根据所述CHF归属的区域和运营商,以及运营商之间签订的漫游协议插放在第一序列中的相应位置处;所述非伪随机序列为0/1随机序列,其插放在第一序列中除了第一伪随机序列以外的其余位置处。
进一步的,所述获取模块11具体设置为当用户申请会话请求时,接收接入与移动性管理网元AMF发送的请求建立协议数据单元PDU的会话消息;
其中,所述请求建立PDU的会话消息为AMF在其已获取由归属核心网的统一数据管理网元UDM为用户配置的第二伪随机序列后发送给SMF,且所述请求建立PDU的会话消息中包括所述第二伪随机序列。
进一步的,所述调取模块12包括:
寻址单元,其设置为在获取模块1接收到AMF发送的请求建立PDU的会话消息后,向网元数据仓库功能网元NRF发送寻址CHF的请求消息,以使NRF根据所述请求消息向寻址单元发送相应的CHF地址;
调取单元,其设置为根据所述CHF地址调取CHF上预置的第一序列。
进一步的,所述运算模块13包括:
运算单元,其设置为将所述第一序列的各个数据段与所述第二伪随机序列的各个数据段进行自相关运算,得到若干自相关值;
第一判断单元,其设置为判断是否存在自相关值超过预设阈值;
获取单元,其设置为若判断单元判断存在自相关值超过预设阈值,则获取超过预设阈值的自相关值所对应的第一伪随机序列在第一序列中所处的位置,并根据所述第一伪随机序列在第一序列中所处的位置获取CHF与终端及SMF所归属的运营商的关系,及所述CHF归属的区域,以作为所述自相关运算的结果;
所述CHF与终端及SMF所归属的运营商的关系包括:CHF与终端及SMF归属同一运营商,或者所述CHF归属的运营商与所述终端及SMF归属的运营商签订有漫游协议。
进一步的,所述第一鉴权模块15包括:
第二判断单元,其设置为判断所述CHF归属的区域是否符合所述SMF所在的地理位置;以及,
若判断所述CHF归属的区域符合所述SMF所在的地理位置,则进一步判断所述CHF归属的运营商是否为所述SMF归属的运营商;
第一鉴权单元,其设置为若所述第二判断单元判断所述CHF归属的运营商为所述SMF归属的运营商,则认为所述CHF具有可信度,并完成与CHF的双向鉴权;
第二判断单元还设置为若判断所述CHF归属的运营商不是所述SMF归属的运营商,则进一步判断漫游场景下当前CHF是否可信,若可信则使第一鉴权单元完成与CHF的双向鉴权。
进一步的,所述第二判断单元具体设置为:
向当前CHF调取其储存的历史SMF ID,其中历史SMF ID由CHF通过记录用户会话信息获得,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDUID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;以及,
如果CHF储存的历史SMF ID中有所述SMF的ID,或者有所述SMF归属的运营商的其他SMF ID,则判定漫游场景下当前CHF可信。
进一步的,所述获取模块11还设置为获取PDU会话模式;
所述第一鉴权模块15还设置为若所述PDU会话模式为会话过程不切换SMF,则直接判断漫游场景下当前CHF是否可信;
所述第一鉴权模块15包括旧的SMF中的第一鉴权模块和新的SMF中的第一鉴权模块;
所述旧的SMF中的第一鉴权模块具体设置为若所述PDU会话模式为会话过程切换SMF且会话先断开旧的SMF再连接新的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在建立PDU会话前,先判断漫游场景下旧的CHF是否可信;
所述新的SMF中的第一鉴权模块具体设置为若所述旧的SMF中的第一鉴权模块判断漫游场景下旧的CHF可信,则在旧的SMF切换为新的SMF时,再判断漫游场景下所述新的CHF是否可信;
所述新的SMF中的第一鉴权模块还设置为若所述PDU会话模式为会话过程切换SMF且会话先连接新的SMF再断开旧的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在断开旧的SMF前,先判断漫游场景下新的CHF是否可信;
其中,所述新的CHF即为所述当前CHF。
图4为本公开实施例四提供的一种计费网元CHF,包括:
接收模块21,其设置为接收运营商配置的第一序列;
第二发送模块22,其设置为当受到会话网元SMF访问时,将所述第一序列发送给SMF,以使所述SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF;其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
所述接收模块21还设置为接收SMF发送的所述自相关运算的结果;
第二鉴权模块23,其设置为根据所述自相关运算的结果,完成与终端的双向鉴权;以及,在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
进一步的,所述第二鉴权模块23具体设置为:
若所述自相关运算的结果为,所述终端及SMF与CHF归属同一运营商,或者所述终端及SMF归属的运营商与所述CHF归属的运营商签订有漫游协议,则CHF完成与终端的双向鉴权。
进一步的,所述CHF还包括记录模块24:
所述记录模块24设置为通过记录用户会话信息获得历史SMF ID,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDU ID和PDU会话模式,并且对于同一SMF ID,只记录其最近一次的历史记录;
所述第二发送块22还设置为在SMF根据所述自相关运算的结果判断CHF归属的区域符合所述SMF所在的地理位置,并判断所述CHF归属的运营商不是所述SMF归属的运营商后向CHF调取其储存的历史SMF ID时,将储存的历史SMF ID发送给SMF,以使所述SMF判断所述储存的历史SMF ID中是否有所述SMF的ID,或者有所述SMF归属运营商的其他SMF ID,以确定CHF是否可信,并在确定CHF可信后完成与CHF的双向鉴权。
图5为本公开实施例五提供的一种认证系统,包括如上所述的会话网元SMF1,以及如上所述的计费网元CHF2。
本公开实施例的会话网元SMF和计费网元CHF用于实施方法实施例一和实施例二中的认证方法,所以描述的较为简单,具体可以参见前面方法实施例一和实施例二中的相关描述,此处不再赘述。
此外,本公开实施例还提供一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行上述各种可能的方法。
此外,本公开实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机执行指令,当用户设备的至少一个处理器执行该计算机执行指令时,用户设备执行上述各种可能的方法。
其中,计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC(Application Specific Integrated Circuit,专用集成电路)中。另外,该ASIC可以位于用户设备中。当然,处理器和存储介质也可以作为分立组件存在于通信设备中。
可以理解的是,以上实施方式仅仅是为了说明本公开的原理而采用的示例性实施方式,然而本公开并不局限于此。对于本领域内的普通技术人员而言,在不脱离本公开的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本公开的保护范围。
Claims (15)
1.一种认证方法,其特征在于,应用于归属核心网的会话网元SMF,所述方法包括:
当用户申请会话请求时,SMF获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
SMF调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
SMF将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;以及,
SMF根据所述自相关运算的结果完成与CHF的双向鉴权。
2.根据权利要求1所述的方法,其特征在于,所述第一序列包括第一伪随机序列和非伪随机序列;所述第一伪随机序列用以表征所述CHF归属的区域和运营商,并且根据所述CHF归属的区域和运营商,以及运营商之间签订的漫游协议插放在第一序列中的相应位置处;所述非伪随机序列为0/1随机序列,其插放在第一序列中除了第一伪随机序列以外的其余位置处。
3.根据权利要求1所述的方法,其特征在于,所述当用户申请会话请求时,SMF获取第二伪随机序列,包括:
当用户申请会话请求时,SMF接收接入与移动性管理网元AMF发送的请求建立协议数据单元PDU的会话消息;
其中,所述请求建立PDU的会话消息为AMF在其已获取由归属核心网的统一数据管理网元UDM为用户配置的第二伪随机序列后发送给SMF,且所述请求建立PDU的会话消息中包括所述第二伪随机序列。
4.根据权利要求3所述的方法,其特征在于,所述SMF调取CHF上预置的第一序列,包括:
SMF在接收到AMF发送的请求建立PDU的会话消息后,向网元数据仓库功能网元NRF发送寻址CHF的请求消息,以使NRF根据所述请求消息向SMF发送相应的CHF地址;
SMF根据所述CHF地址调取CHF上预置的第一序列。
5.根据权利要求2所述的方法,其特征在于,所述SMF将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算结果,包括:
SMF将所述第一序列的各个数据段与所述第二伪随机序列的各个数据段进行自相关运算,得到若干自相关值;
判断是否存在自相关值超过预设阈值;
若存在,则获取超过预设阈值的自相关值所对应的第一伪随机序列在第一序列中所处的位置,并根据所述第一伪随机序列在第一序列中所处的位置获取CHF与终端及SMF所归属的运营商的关系,及所述CHF归属的区域,以作为所述自相关运算的结果;
所述CHF与终端及SMF所归属的运营商的关系包括:CHF与终端及SMF归属同一运营商,或者所述CHF归属的运营商与所述终端及SMF归属的运营商签订有漫游协议。
6.根据权利要求5所述的方法,其特征在于,所述SMF根据所述自相关运算的结果完成与CHF的双向鉴权,包括:
SMF判断所述CHF归属的区域是否符合所述SMF所在的地理位置;
若所述CHF归属的区域符合所述SMF所在的地理位置,则SMF进一步判断所述CHF归属的运营商是否为所述SMF归属的运营商;
若是,则表示所述CHF具有可信度,并完成与CHF的双向鉴权;
若不是,则进一步判断漫游场景下当前CHF是否可信,若可信则完成与CHF的双向鉴权。
7.根据权利要求6所述的方法,其特征在于,所述SMF判断漫游场景下当前CHF是否可信,包括:
SMF向当前CHF调取其储存的历史SMF ID,其中历史SMF ID由CHF通过记录用户会话信息获得,所述用户会话信息包括会话建立的SMF ID、AMF ID、PDUID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;以及,
如果CHF储存的历史SMF ID中有所述SMF的ID,或者有所述SMF归属的运营商的其他SMFID,则SMF判定漫游场景下当前CHF可信。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
SMF获取PDU会话模式;
若所述PDU会话模式为会话过程不切换SMF,则SMF直接判断漫游场景下当前CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先断开旧的SMF再连接新的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在建立PDU会话前,所述旧的SMF先判断漫游场景下旧的CHF是否可信,若可信,则在旧的SMF切换为新的SMF时,所述新的SMF再次判断漫游场景下所述新的CHF是否可信;
若所述PDU会话模式为会话过程切换SMF且会话先连接新的SMF再断开旧的SMF,且所述旧的SMF对应旧的CHF,所述新的SMF对应新的CHF,则在断开旧的SMF前,所述新的SMF先判断漫游场景下新的CHF是否可信;
其中,所述新的CHF即为所述当前CHF。
9.一种认证方法,其特征在于,应用于计费网元CHF,所述方法包括:
CHF接收运营商配置的第一序列;
当受到SMF访问时,CHF将所述第一序列发送给SMF,以使SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF,其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
CHF接收SMF发送的所述自相关运算的结果;
CHF根据所述自相关运算的结果,完成与终端的双向鉴权;以及,在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
10.根据权利要求9所述的方法,其特征在于,所述CHF根据所述自相关运算的结果,完成与终端的双向鉴权,包括:
若所述自相关运算的结果为,所述终端及SMF与CHF归属同一运营商,或者所述终端及SMF归属的运营商与所述CHF归属的运营商签订有漫游协议,则CHF完成与终端的双向鉴权。
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
CHF通过记录用户会话信息获得历史SMF ID,所述用户会话信息包括会话建立的SMFID、AMF ID、PDU ID和PDU会话模式,并且对于同一SMF ID,CHF只记录其最近一次的历史记录;
在SMF根据所述自相关运算的结果判断CHF归属的区域符合所述SMF所在的地理位置,并判断所述CHF归属的运营商不是所述SMF归属的运营商后向CHF调取其储存的历史SMF ID时,将储存的历史SMF ID发送给SMF,以使所述SMF判断所述储存的历史SMF ID中是否有所述SMF的ID,或者有所述SMF归属运营商的其他SMFID,以确定CHF是否可信,并在确定CHF可信后完成与CHF的双向鉴权。
12.一种会话网元SMF,其特征在于,包括:
获取模块,其设置为当用户申请会话请求时,获取第二伪随机序列,所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
调取模块,其设置为调取计费网元CHF上预置的第一序列,所述第一序列由运营商在CHF上预置;
运算模块,其设置为将所述第一序列与所述第二伪随机序列进行自相关运算,并得到自相关运算的结果;
第一发送模块,其设置为将所述自相关运算的结果发送给CHF,以使所述CHF根据所述自相关运算的结果完成与终端的双向鉴权;
第一鉴权模块,其设置为根据所述自相关运算的结果完成与CHF的双向鉴权。
13.一种计费网元CHF,其特征在于,包括:
接收模块,其设置为接收运营商配置的第一序列;
第二发送模块,其设置为当受到会话网元SMF访问时,将所述第一序列发送给SMF,以使所述SMF将所述第一序列与已获取的第二伪随机序列进行自相关运算,并得到自相关运算的结果,然后将所述自相关运算的结果发送给CHF;其中所述第二伪随机序列为在终端与归属地核心网完成双向身份验证后,由归属地核心网为用户配置;
所述接收模块还设置为接收SMF发送的所述自相关运算的结果;
第二鉴权模块,其设置为根据所述自相关运算的结果,完成与终端的双向鉴权;以及,在SMF根据所述自相关运算的结果与CHF进行双向鉴权时,完成与SMF的双向鉴权。
14.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1-8,以及权利要求9-11中任一项所述的认证方法。
15.一种计算机可读存储介质,包括:计算机程序,当其在计算机上运行时,使得计算机执行根据权利要求1-8,以及权利要求9-11中任一项所述的认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011098862.4A CN112118549B (zh) | 2020-10-14 | 2020-10-14 | 认证方法、smf、chf、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011098862.4A CN112118549B (zh) | 2020-10-14 | 2020-10-14 | 认证方法、smf、chf、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112118549A CN112118549A (zh) | 2020-12-22 |
CN112118549B true CN112118549B (zh) | 2021-09-03 |
Family
ID=73793867
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011098862.4A Active CN112118549B (zh) | 2020-10-14 | 2020-10-14 | 认证方法、smf、chf、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112118549B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107466038A (zh) * | 2017-06-22 | 2017-12-12 | 宇龙计算机通信科技(深圳)有限公司 | 鉴权方法及装置 |
CN110166961A (zh) * | 2018-02-13 | 2019-08-23 | 中兴通讯股份有限公司 | 一种计费方法、装置及会话管理实体 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10999447B2 (en) * | 2018-11-02 | 2021-05-04 | Ofinno, Llc | Charging control in roaming scenario |
-
2020
- 2020-10-14 CN CN202011098862.4A patent/CN112118549B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107466038A (zh) * | 2017-06-22 | 2017-12-12 | 宇龙计算机通信科技(深圳)有限公司 | 鉴权方法及装置 |
CN110166961A (zh) * | 2018-02-13 | 2019-08-23 | 中兴通讯股份有限公司 | 一种计费方法、装置及会话管理实体 |
Non-Patent Citations (1)
Title |
---|
pCR TS 32.255 Proposal for the Charging Session;HUAWEI TECHNOLOGIES;《3GPP TSG SA WG5 (Telecom Management) Meeting #119Ad-Hoc S5-184206》;20180628;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112118549A (zh) | 2020-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108848502B (zh) | 一种利用5g-aka对supi进行保护的方法 | |
US8706085B2 (en) | Method and apparatus for authenticating communication device | |
CN101577908B (zh) | 用户设备验证方法、设备标识寄存器以及接入控制系统 | |
US20190289463A1 (en) | Method and system for dual-network authentication of a communication device communicating with a server | |
US10681546B2 (en) | Processing method for sim card equipped terminal access to 3GPP network and apparatus | |
CN111246477B (zh) | 接入方法和终端、微基站、接入系统 | |
CN107094127B (zh) | 安全信息的处理方法及装置、获取方法及装置 | |
CN111132305B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
CN111246474B (zh) | 一种基站认证方法及装置 | |
CN108616805B (zh) | 一种紧急号码的配置、获取方法及装置 | |
CN110944319A (zh) | 5g通信身份验证方法、设备及存储介质 | |
US11202192B2 (en) | Registering user equipment with a visited public land mobile network | |
EP3518491A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
CN108123917B (zh) | 一种物联网终端的认证凭证更新的方法及设备 | |
CN111093196B (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
CN113302895B (zh) | 用于认证无线通信设备群组的方法和装置 | |
CN112118549B (zh) | 认证方法、smf、chf、计算机设备及存储介质 | |
CN106341374B (zh) | 一种限制非许可用户设备接入家庭网关的方法和装置 | |
CN114338132B (zh) | 免密登录方法、客户端应用、运营商服务器及电子设备 | |
CN113038477B (zh) | 切片路由规则防篡改方法、终端及介质 | |
CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
CN112956253B (zh) | 用于将用户设备附着到网络切片的方法和装置 | |
EP3439344A1 (en) | Registering user equipment to a visited public land mobile network | |
CN112235736B (zh) | 漫游场景下的用户标识认定方法 | |
KR20140055675A (ko) | 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |