CN113709736A - 网络认证方法及装置、系统 - Google Patents
网络认证方法及装置、系统 Download PDFInfo
- Publication number
- CN113709736A CN113709736A CN202010389031.6A CN202010389031A CN113709736A CN 113709736 A CN113709736 A CN 113709736A CN 202010389031 A CN202010389031 A CN 202010389031A CN 113709736 A CN113709736 A CN 113709736A
- Authority
- CN
- China
- Prior art keywords
- network
- identifier
- user equipment
- npn
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
- H04W8/205—Transfer to or from user equipment or user record carrier
Abstract
本申请实施例公开了一种网络认证方法、装置以及系统。在本申请中,用户设备发送请求,请求网络执行上线业务。核心网网元根据请求中携带的NPN标识确定网络允许为NPN网络执行上线业务,或根据用户设备的标识和生产商标识,确定网络允许为生产商执行上线业务;以及还可以对用户设备的有效性进行认证。然后,NPN网络的配置服务器对用户设备进行认证,并向用户设备发送该用户设备的签约信息。从而用户设备在未携带网络颁发的身份信息时,通过请求网络提供上线业务,可以通过网络实现与NPN网络的通信。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种网络认证方法及装置、系统。
背景技术
当前第五代(5th generation,5G)移动通信技术提出了一种新的应用场景,即增强的非公共网络(enhanced non-public-network,eNPN)。eNPN可以实现端到端的资源隔离,为垂直行业提供专属接入网络,保障垂直行业客户资源独享。同时,eNPN可以为局域网(local area network,LAN)服务提供支持,可以满足一些企业、住宅、学校等对于可靠且稳定的私有网络的需求。其中,eNPN又分为完全独立部署的网络,即独立的非公共网络(standalone non-public-network,SNPN),以及集成到公共网络的非公共网络(publicnetwork integrated non-public-network,PNI-NPN),例如由公共陆地移动网络(publicland mobile network,PLMN)承载的非公共网络。
如图1所示,为eNPN网络的架构示意图,该eNPN网络架构包括用户设备(userequipment,UE)、上线独立的非公共网络(onboarding-standalone non-public-network,O-SNPN)、默认的证书服务器(default credential server,DCS)、配置服务器(provisioning server,PS)和SNPN。eNPN包括一种上线(onboarding)业务。例如,SNPN买了生产商的设备(如UE),可以不采用逐一(one-by-one)的方式配置UE,而使用统一配置的方式。具体流程为,UE可以先接入O-SNPN网络,再接入PS。其中,PS保存有SNPN的用户订阅信息,或者是从SNPN获取的用户订阅信息。PS把用户订阅信息发给UE。之后UE就可以根据该用户订阅信息,使用新的身份接入SNPN网络了。
UE通过其它网络接入SNPN,需要其它网络提供上线业务,以及需要SNPN对UE进行认证。若UE携带网络颁发的身份信息,则可以与网络建立安全认证,之后再根据业务需要额外申请获取SNPN的身份。
然而,若UE未携带网络颁发的身份信息,首先无法通过网络提供上线业务,更无法获得NPN网络的认证,与NPN网络进行通信。
因此,在UE未携带网络颁发的身份信息时,如何通过网络执行上线业务,并通过NPN网络的认证,实现与NPN网络的通信,是本申请需要解决的问题。
发明内容
本申请提供一种网络认证方法及装置、系统,以在用户设备未携带网络颁发的身份信息时,可以通过网络执行上线业务,并通过NPN网络的认证,实现与NPN网络的通信。
第一方面,提供了发送第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;以及接收第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。在该方面中,用户设备在未携带网络颁发的身份信息时,通过请求网络提供上线业务以及通过NPN网络对用户设备的认证,可以通过网络实现与NPN网络的通信。
在一个可能的实现中,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述发送第一注册请求之前,所述方法还包括:基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。在该实现中,网络还可以对用户设备的有效性进行认证,提高了网络认证的可靠性。
在又一个可能的实现中,所述方法还包括:接收第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;以及发送所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。在该实现中,提供上线业务的网络与用户设备可以相互认证,提高了网络认证的可靠性。
在又一个可能的实现中,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述方法还包括:接收来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;根据生产商的根证书校验所述第三证书的正确性;若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;以及若校验正确,向所述配置服务器发送第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。在该实现中,NPN网络与用户设备可以相互认证,提高了网络认证的可靠性。
在又一个可能的实现中,根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第四安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。在该实现中,用户设备可以对NPN网络的有效性进行认证,提高了网络认证的可靠性。
第二方面,提供了一种网络认证方法,所述方法包括:接收第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;发送签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;接收签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;以及发送第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
在一个可能的实现中,所述方法还包括:根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
在又一个可能的实现中,所述根据所述第一请求,确定所述网络允许对所述用户设备执行所述上线业务,包括:根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或发送第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;并接收第二注册响应,所述第二注册响应包括所述第三指示信息。
在又一个可能的实现中,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的,所述方法还包括:根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,发送第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;并接收第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
第三方面,一种网络认证方法,所述方法包括:接收签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;根据所述NPN标识确定NPN网络的配置服务器的地址;发送签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;接收签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;以及发送签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
在一个可能的实现中,所述方法还包括:接收第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;以及发送第二注册响应,所述第二注册响应包括所述第三指示信息。
在又一个可能的实现中,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的,所述方法还包括:根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;以及若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
在又一个可能的实现中,所述方法还包括:接收第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;以及发送第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和/或第二证书。
在又一个可能的实现中,所述方法还包括:接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识;以及转发所述网络认证结果通知。
第四方面,提供了一种网络认证方法,网络允许用户设备使用上线业务,和/或所述用户设备是有效的,所述方法包括:接收签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;以及若所述校验通过,发送签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
在一个可能的实现中,所述方法还包括:发送第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;接收第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;根据生产商的根证书校验所述第一证书的正确性;以及若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第四安全参数。
在又一个可能的实现中,所述方法还包括:接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识。
第五方面,提供了一种网络认证装置,可以实现上述第一方面或第一方面的任一种可能的实现方式中的网络认证方法。例如所述网络认证装置可以是芯片(如通信芯片等)或者设备。可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
在一种可能的实现中,该网络认证装置可以包括执行上述方法中相应动作的单元或模块。
其中,该网络认证装置包括:收发单元,用于发送第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;以及所述收发单元,还用于接收第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述装置还包括:处理单元,用于基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。
可选地,所述收发单元,还用于接收第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理单元,还用于若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;所述处理单元,还用于若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;以及所述收发单元,还用于发送所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。
可选地,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述装置还包括:所述收发单元,还用于接收来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第三证书的正确性;所述处理单元,还用于若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;以及所述收发单元,还用于若校验正确,向所述配置服务器发送第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。
可选地,所述处理单元,还用于根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第三安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。
在又一种可能的实现中,该网络认证装置包括:输入接口,输出接口和处理电路;其中,所述输出接口,用于输出第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;所述输入接口,还用于输入第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述处理电路,用于基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。
可选地,所述输入接口,还用于输入第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理电路,还用于根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理电路,还用于若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;所述处理电路,还用于若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;以及所述输出接口,还用于输出所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。
可选地,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述输入接口,还用于输入来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述处理电路,还用于根据生产商的根证书校验所述第三证书的正确性;所述处理电路,还用于若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;以及所述输出接口,还用于若校验正确,向所述配置服务器输出第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。
可选地,所述处理电路,还用于根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第四安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。
在又一种可能的实现中,该网络认证装置包括处理器,该处理器用于上述第一方面或第一方面的任一种可能的实现方式中的网络认证方法。
在又一种可能的实现中,该网络认证装置包括处理器,用于执行存储器中存储的程序,当所述程序被执行时,使得所述网络认证装置执行上述第一方面或第一方面的任一种可能的实现方式中的网络认证方法。
示例性地,该网络认证装置还包括存储器,该存储器与该至少一个处理器耦合。
示例性地,所述存储器位于所述网络认证装置之外。
示例性地,该网络认证装置还包括通信接口,该通信接口用于该网络认证装置与其它设备进行通信。该通信接口可以为收发器、输入/输出接口、或电路等。
在又一种可能的实现中,该网络认证装置包括处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述计算机程序被运行时,使得所述网络认证装置执行上述第一方面或第一方面的任一种可能的实现方式中的网络认证方法。
其中,第五方面中任一种实现方式所带来的技术效果可参见上述第一方面中不同实现方式所带来的技术效果,此处不再赘述。
第六方面,提供了一种网络认证装置,可以实现上述第二方面或第二方面的任一种可能的实现方式中的网络认证方法。例如所述网络认证装置可以是芯片(如通信芯片等)或者设备。可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
在一种可能的实现中,该网络认证装置可以包括执行上述方法中相应动作的单元或模块。
其中,该网络认证装置包括:收发单元,用于接收第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;处理单元,用于根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;所述收发单元,还用于发送签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;所述收发单元,还用于接收签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;以及所述收发单元,还用于发送第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述处理单元,还用于根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
可选地,所述处理单元,还用于根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或所述收发单元,还用于发送第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;并接收第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理单元,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,所述收发单元,还用于发送第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;并接收第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
在又一种可能的实现中,该网络认证装置包括:
输入接口,输出接口和处理电路;其中,输入接口,用于输入第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;处理电路,用于根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;所述输出接口,还用于输出签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;所述输入接口,还用于输入签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;以及所述输出接口,还用于输出第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述处理电路,还用于根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
可选地,所述处理电路,还用于根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或所述输出接口,还用于输出第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;所述输入接口,还用于输入第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理电路,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理电路,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,所述输出接口,还用于输出第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;所述输入接口,还用于输入第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
在又一种可能的实现中,该网络认证装置包括处理器,该处理器用于上述第二方面或第二方面的任一种可能的实现方式中的网络认证方法。
在又一种可能的实现中,该网络认证装置包括处理器,用于执行存储器中存储的程序,当所述程序被执行时,使得所述网络认证装置执行上述第二方面或第二方面的任一种可能的实现方式中的网络认证方法。
示例性地,该网络认证装置还包括存储器,该存储器与该至少一个处理器耦合。
示例性地,所述存储器位于所述网络认证装置之外。
示例性地,该网络认证装置还包括通信接口,该通信接口用于该网络认证装置与其它设备进行通信。该通信接口可以为收发器、输入/输出接口、或电路等。
在又一种可能的实现中,该网络认证装置包括处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述计算机程序被运行时,使得所述网络认证装置执行上述第二方面或第二方面的任一种可能的实现方式中的网络认证方法。
其中,第五方面中任一种实现方式所带来的技术效果可参见上述第二方面中不同实现方式所带来的技术效果,此处不再赘述。
第七方面,提供了一种网络认证装置,可以实现上述第三方面或第三方面的任一种可能的实现方式中的网络认证方法。例如所述网络认证装置可以是芯片(如通信芯片等)或者设备。可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
在一种可能的实现中,该网络认证装置可以包括执行上述方法中相应动作的单元或模块。
其中,该网络认证装置包括:收发单元,用于接收签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;处理单元,用于根据所述NPN标识确定NPN网络的配置服务器的地址;所述收发单元,还用于发送签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;所述收发单元,还用于接收签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;以及所述收发单元,还用于发送签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
可选地,所述收发单元,还用于接收第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;所述处理单元,还用于根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;以及所述收发单元,还用于发送第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;以及所述处理单元,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
可选地,所述收发单元,还用于接收第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;所述处理单元,还用于基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;以及所述收发单元,还用于发送第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和第二证书。
可选地,所述收发单元,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识;以及所述收发单元,还用于转发所述网络认证结果通知。
在又一种可能的实现中,该网络认证装置包括:输入接口,输出接口和处理电路;其中,输入接口,用于输入签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;处理电路,用于根据所述NPN标识确定NPN网络的配置服务器的地址;所述输出接口,还用于输出签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;所述输入接口,还用于输入签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;以及所述输出接口,还用于输出签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
可选地,所述输入接口,还用于输入第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;所述处理电路,还用于根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;以及所述输出接口,还用于输出第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理电路,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;以及所述处理电路,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
可选地,所述输入接口,还用于输入第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;所述处理电路,还用于基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;以及所述输出接口,还用于输出第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和第二证书。
可选地,所述输入接口,还用于输入网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识;以及所述输出接口,还用于输出所述网络认证结果通知。
在又一种可能的实现中,该网络认证装置包括处理器,该处理器用于上述第三方面或第三方面的任一种可能的实现方式中的网络认证方法。
在又一种可能的实现中,该网络认证装置包括处理器,用于执行存储器中存储的程序,当所述程序被执行时,使得所述网络认证装置执行上述第三方面或第三方面的任一种可能的实现方式中的网络认证方法。
示例性地,该网络认证装置还包括存储器,该存储器与该至少一个处理器耦合。
示例性地,所述存储器位于所述网络认证装置之外。
示例性地,该网络认证装置还包括通信接口,该通信接口用于该网络认证装置与其它设备进行通信。该通信接口可以为收发器、输入/输出接口、或电路等。
在又一种可能的实现中,该网络认证装置包括处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述计算机程序被运行时,使得所述网络认证装置执行上述第三方面或第三方面的任一种可能的实现方式中的网络认证方法。
其中,第七方面中任一种实现方式所带来的技术效果可参见上述第三方面中不同实现方式所带来的技术效果,此处不再赘述。
第八方面,提供了一种网络认证装置,可以实现上述第四方面或第四方面的任一种可能的实现方式中的网络认证方法。例如所述网络认证装置可以是芯片(如通信芯片等)或者设备。可以通过软件、硬件、或者通过硬件执行相应的软件实现上述方法。
在一种可能的实现中,该网络认证装置可以包括执行上述方法中相应动作的单元或模块。
其中,该网络认证装置包括:所述装置包括:收发单元,用于网络允许用户设备使用上线业务,和/或所述用户设备是有效的,接收签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;处理单元,用于根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;以及所述收发单元,还用于若所述校验通过,发送签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
可选地,所述收发单元,还用于发送第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述收发单元,还用于接收第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;以及所述处理单元,还用于若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第四安全参数。
可选地,所述收发单元,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果。
在又一种可能的实现中,该网络认证装置包括:输入接口,输出接口和处理电路;其中,网络允许用户设备使用上线业务,和/或所述用户设备是有效的,输入接口,用于输入签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;处理电路,用于根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;以及所述输出接口,还用于若所述校验通过,输出签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
可选地,所述输出接口,还用于输出第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述输入接口,还用于输入第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;所述处理电路,还用于根据生产商的根证书校验所述第一证书的正确性;以及所述处理电路,还用于若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第四安全参数。
可选地,所述输入接口,还用于输入网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识。
在又一种可能的实现中,该网络认证装置包括处理器,该处理器用于上述第四方面或第四方面的任一种可能的实现方式中的网络认证方法。
在又一种可能的实现中,该网络认证装置包括处理器,用于执行存储器中存储的程序,当所述程序被执行时,使得所述网络认证装置执行上述第四方面或第四方面的任一种可能的实现方式中的网络认证方法。
示例性地,该网络认证装置还包括存储器,该存储器与该至少一个处理器耦合。
示例性地,所述存储器位于所述网络认证装置之外。
示例性地,该网络认证装置还包括通信接口,该通信接口用于该网络认证装置与其它设备进行通信。该通信接口可以为收发器、输入/输出接口、或电路等。
在又一种可能的实现中,该网络认证装置包括处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,当所述计算机程序被运行时,使得所述网络认证装置执行上述第四方面或第四方面的任一种可能的实现方式中的网络认证方法。
其中,第八方面中任一种实现方式所带来的技术效果可参见上述第四方面中不同实现方式所带来的技术效果,此处不再赘述。
第九方面,提供了一种网络认证系统,包括上述第五方面至第八方面中的网络认证装置。
第十方面,提供了一种计算机可读存储介质,存储有计算机程序,当其在计算机上运行时,上述各方面或各方面的任一种实现所述的方法被执行。
第十一方面,提供了一种计算机程序产品,当其在计算机上运行时,使得上述各方面或各方面的任一种实现所述的方法被执行。
第十二方面,提供了一种计算机程序,当其在计算机上运行时,使得上述各方面或各方面的任一种实现所述的方法被执行。
附图说明
图1为eNPN网络的架构示意图;
图2为应用本申请实施例的网络认证方法的一个通信系统的架构示意图;
图3为第五代移动通信网络的基于服务化接口的非漫游架构示意图;
图4为第五代移动通信网络的基于参考点的非漫游架构示意图;
图5为本申请实施例提供的网络认证方法的一个流程示意图;
图6为本申请实施例提供的网络认证方法的一个流程示意图;
图7为本申请实施例提供的网络认证方法的一个流程示意图;
图8为本申请实施例提供的网络认证方法的一个流程示意图;
图9为本申请实施例提供的网络认证方法的一个流程示意图;
图10为本申请实施例提供的网络认证装置的一个结构示意图;
图11为本申请实施例提供的网络认证装置的又一个结构示意图;
图12为本申请实施例提供的网络认证装置的又一个结构示意图;
图13为本申请实施例提供的网络认证装置的又一个结构示意图;
图14为本申请实施例提供的网络认证装置的又一个结构示意图。
具体实施方式
下面结合本申请实施例中的附图对本申请实施例进行描述。
本申请实施例的技术方案可以应用于各种通信系统。例如:增强的长期演进(enhanced-long term evolution,eLTE)系统、第五代(5th generation,5G)系统或新无线(new radio,NR)等,本申请中涉及的5G移动通信系统包括非独立组网(non-standalone,NSA)的5G移动通信系统或独立组网(standalone,SA)的5G移动通信系统。本申请提供的技术方案还可以应用于未来的通信系统,如第六代移动通信系统。通信系统还可以是陆上公用移动通信网(public land mobile network,PLMN)网络、设备到设备(device-to-device,D2D)通信系统、机器到机器(machine to machine,M2M)通信系统、物联网(Internet of Things,IoT)通信系统或者其他通信系统。
图2为应用本申请实施例的网络认证方法的一个通信系统的架构示意图。如图2所示,该通信系统100包括用户设备11、移动管理网元12、鉴权服务器13、证书服务器14、统一数据管理网元15和配置服务器16。其中,移动管理网元12所对应的网元或者实体可以为该5G移动通信系统中的接入和移动性管理功能(access and mobility managementfunction,AMF)实体等,本申请实施例对此不作具体限定。上述各设备、网元之间可以直接通信,也可以通过其他设备或网元的转发进行通信,本申请实施例对此不作具体限定。虽然未示出,该通信系统还可以包括其他网元,本申请实施例对此不做具体限定。
具体以图3所示的第五代移动通信网络的基于服务化接口的非漫游架构,以及如图4所示的第五代移动通信网络的基于参考点的非漫游架构为例,该通信系统主要包括AMF实体、会话管理功能(Session Management Function,SMF)实体、用户面功能(user planefunction,UPF)实体、网络开放功能(network exposure function,NEF)实体、以及应用功能(application function,AF)实体。还可以包括策略控制功能(policy controlfunction,PCF)实体、统一数据库功能(unified data repository,UDR)实体和统一数据管理(unified data management,UDM)功能实体。需要说明的是,图3和图4中包括的功能实体及功能实体的功能可以是相同的,图3中由于是基于服务化接口,一个功能实体发送给另一个功能实体的消息中需携带该另一个功能实体的标识;而图4中由于是基于参考点,功能实体之间的消息是接口化消息,不需要携带功能实体的标识。
其中,图3和图4中的各功能实体的功能如下:
AMF实体:主要负责信令的处理,例如:接入控制、移动性管理、附着与去附着以及网关选择等功能。AMF实体为终端中的会话提供服务的情况下,会为该会话提供控制面的存储资源,以存储会话标识、与会话标识关联的SMF实体标识等。
SMF实体:主要负责会话管理,具体负责用户面功能实体的选择、用户面功能实体的重定向、因特网协议(internet protocol,IP)地址分配、承载的建立、修改和释放以及服务质量(quality of service,QoS)的控制。
UPF实体:负责终端中用户数据的转发和接收。可以从数据网络接收用户数据,通过接入网设备传输给终端;还可以通过接入网设备从终端接收用户数据,转发到数据网络。UPF实体中为终端提供服务的传输资源和调度功能是由SMF实体进行管理控制的。
NEF实体:主要支持3GPP网络和第三方应用进行安全的交互。NEF能够安全的向第三方应用开放网络能力和事件,用于加强或者改善应用服务质量,3GPP网络同样可以安全的从第三方应用获取相关数据,用以增强网络的智能决策;同时该功能实体支持从UDR恢复结构化数据或者向UDR中存储结构化数据。
AF实体:主要支持与3GPP网络交互来提供服务,例如影响数据路由决策,策略控制功能,或者向网络侧提供一些业务服务(这些服务可以是第三方(3rd party)的,也可以不是第三方的)。
PCF实体:主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。
UDR实体:主要负责存储结构化数据,存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。
UDM实体:主要用于管理用户签约信息。
需要说明的是,以上功能实体仅是一个名字,名字本身对实体不构成限定。例如,该会话管理功能实体也有可能被替换为“会话管理功能”或其它名字。而且,该会话管理功能实体也可以对应一个包括除了会话管理功能外还有其他功能的实体。用户面功能实体也有可能被替换为“用户面功能”或其它名字,而且,该用户面功能实体也可以对应一个包括除了用户面功能外还有其他功能的实体。在此进行统一说明,以下不再赘述。
用户设备通过无线接入网(radio access network,RAN)设备或接入网(accessnetwork,AN)设备接入网络。RAN设备主要是3GPP网络中的无线网络设备,AN可以是non-3GPP定义的接入网设备。
可选的,本申请实施例中的用户设备可以指接入终端、用户单元、用户站、移动站、移动台、中继站、远方站、远程终端、移动设备、用户终端(user terminal)、用户设备(userequipment,UE)、终端(terminal)、无线通信设备、用户代理、用户装置、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wirelesslocal loop,WLL)站、个人数字助理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的用户设备或者未来演进的公共陆地移动网(public land mobilenetwork,PLMN)中的用户设备或者未来车联网中的用户设备等,本申请实施例对此并不限定。
作为示例而非限定,在本申请实施例中,用户设备可以是手机、平板电脑、带无线收发功能的电脑、虚拟现实用户设备、增强现实用户设备、工业控制中的无线终端、无人驾驶中的无线终端、远程手术中的无线终端、智能电网中的无线终端、运输安全中的无线终端、智慧城市中的无线终端、智慧家庭中的无线终端等。
作为示例而非限定,在本申请实施例中,可穿戴设备也可以称为穿戴式智能设备,是应用穿戴式技术对日常穿戴进行智能化设计、开发出可以穿戴的设备的总称,如眼镜、手套、手表、服饰及鞋等。可穿戴设备即直接穿在身上,或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备,更是通过软件支持以及数据交互、云端交互来实现强大的功能。广义穿戴式智能设备包括功能全、尺寸大、可不依赖智能手机实现完整或者部分的功能,例如:智能手表或智能眼镜等,以及只专注于某一类应用功能,需要和其它设备如智能手机配合使用,如各类进行体征监测的智能手环、智能首饰等。
此外,在本申请实施例中,用户设备还可以是物联网(internet of things,IoT)系统中的用户设备,IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。在本申请实施例中,IoT技术可以通过例如窄带(narrow band,NB)技术,做到海量连接,深度覆盖,终端省电。
此外,在本申请实施例中,用户设备还可以包括智能打印机、火车探测器、加油站等传感器,主要功能包括收集数据(部分用户设备)、接收接入网设备的控制信息与下行数据,并发送电磁波,向接入网设备传输上行数据。
可选的,本申请实施例中的接入网设备可以是用于与用户设备通信的任意一种具有无线收发功能的通信设备。该接入网设备包括但不限于:演进型节点B(evolved node B,eNB),基带单元(baseband unit,BBU),无线保真(wireless fidelity,WIFI)系统中的接入点(access point,AP)、无线中继节点、无线回传节点、传输点(transmission point,TP)或者TRP等。该接入网设备还可以为5G系统中的gNB或TRP或TP,或者5G系统中的基站的一个或一组(包括多个天线面板)天线面板。此外,该接入网设备还可以为构成gNB或TP的网络节点,如BBU,或分布式单元(distributed unit,DU)等。
在一些部署中,gNB可以包括集中式单元(centralized unit,CU)和DU。此外,gNB还可以包括有源天线单元(active antenna unit,AAU)。CU实现gNB的部分功能,DU实现gNB的部分功能。比如,CU负责处理非实时协议和服务,实现无线资源控制(radio resourcecontrol,RRC),分组数据汇聚层协议(packet data convergence protocol,PDCP)层的功能。DU负责处理物理层协议和实时服务,实现无线链路控制(radio link control,RLC)层、媒体接入控制(media access control,MAC)层和物理(physical,PHY)层的功能。AAU实现部分物理层处理功能、射频处理及有源天线的相关功能。由于RRC层的信息最终会变成PHY层的信息,或者,由PHY层的信息转变而来,因而,在这种架构下,高层信令,如RRC层信令,也可以认为是由DU发送的,或者,由DU和AAU发送的。可以理解的是,接入网设备可以为包括CU节点、DU节点、AAU节点中一项或多项的设备。
可选的,本申请实施例中的接入网设备和用户设备之间可以通过授权频谱进行通信,也可以通过免授权频谱进行通信,也可以同时通过授权频谱和免授权频谱进行通信。接入网设备和用户设备之间可以通过6千兆赫(gigahertz,GHz)以下的频谱进行通信,也可以通过6GHz以上的频谱进行通信,还可以同时使用6GHz以下的频谱和6GHz以上的频谱进行通信。本申请的实施例对接入网设备和用户设备101之间所使用的频谱资源不做限定。
可选的,本申请实施例中的用户设备、接入网设备或者定位管理设备可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上;还可以部署在空中的飞机、气球和人造卫星上。本申请的实施例对用户设备、接入网设备或者定位管理设备的应用场景不做限定。
可选的,在本申请实施例中,用户设备或接入网设备或定位管理设备包括硬件层、运行在硬件层之上的操作系统层,以及运行在操作系统层上的应用层。该硬件层包括中央处理器(central processing unit,CPU)、内存管理单元(memory management unit,MMU)和内存(也称为主存)等硬件。该操作系统可以是任意一种或多种通过进程(process)实现业务处理的计算机操作系统,例如,Linux操作系统、Unix操作系统、Android操作系统、iOS操作系统或windows操作系统等。该应用层包含浏览器、通讯录、文字处理软件、即时通信软件等应用。并且,本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构特别限定,只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可,例如,本申请实施例提供的方法的执行主体可以是用户设备或接入网设备或定位管理设备,或者,是用户设备或接入网设备或定位管理设备中能够调用程序并执行程序的功能模块。
换言之,本申请实施例中的用户设备、接入网设备或者定位管理设备的相关功能可以由一个设备实现,也可以由多个设备共同实现,还可以是由一个设备内的一个或多个功能模块实现,本申请实施例对此不作具体限定。可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是硬件与软件的结合,或者是平台(例如,云平台)上实例化的虚拟化功能。
下面将结合图5至图9描述本申请实施例提供的网络认证方法。
需要说明的是,本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不做具体限定。
如图5所示,为本申请实施例提供的网络认证方法的一个流程示意图。在本实施例中,假设UE未携带运营商颁发的身份信息,例如,UE中没有全球用户识别模块(universalsubscriber identity module,USIM)卡,仅有生产商出厂时预置的第一安全密钥和身份标识(即用户设备的标识(user equipment identity,UE ID))。该方法可以包括以下步骤:
S101、UE通过RAN向AMF发送第一注册请求。其中,该第一注册请求包括以下信息中的一项或多项:用户设备的标识(user equipment identity,UE ID),生产商标识,非公共网络(non public network,NPN)标识,第一指示信息(indicator1);切片选择辅助信息。该第一指示信息用于请求网络执行上线业务。
在一种场景下,由于UE中可能没有USIM卡,不能通过网络注册到NPN网络。因此,UE可能首先需要请求网络执行上线业务。因此,该第一注册请求包括第一指示信息。该第一指示信息用于请求网络执行上线业务。该网络可以是拜访网络,也可以是归属网络。示例性地,UE可以向AMF、AUSF、UDM、DCS等网元发送第一注册请求。本实施例中以向AMF发送第一注册请求为例进行描述。
另外,第一注册请求可以包括UE ID。该UE ID可以包括host ID、MAC地址和项目(subject)名称等。该项目名称是指上述第一证书中的项目域(subject field)的内容。还可能UE ID包括两部分,一部分为标识UE的部分,一部分为标识生产厂商的部分;UE ID可能为NAI的格式。
该第一注册请求还可以包括生产商标识。该生产商标识用于唯一标识生产UE的生产商。
该第一注册请求还可以包括NPN标识。该NPN标识是NPN的信息的统一名称。NPN的信息包括NPN的标识、NPN的域名和NPN的IP地址等可以用来标识NPN网络的信息。
第一注册请求,还可能包括第一证书。该第一证书是生产商在UE出厂时为UE颁发的证书,用来证明此UE是生产商合法生产的设备。第一证书包括PK1和证书颁发者标识;第一证书还可能包括网络标识;第一证书还可能包括生产商标识;第一证书还可能包括NPNID标识;等。这里,证书颁发者标识可以为生产商标识,代表证书是生产商颁发的。这里,证书颁发者标识也是证书颁发中心的标识。如果第一证书中包括了生产商标识等,则第一注册请求中也可以不包括生产商标识等。第一证书可能包括网络标识,用来限定此设备仅用来接入NPN ID对应的网络。
第一注册请求,还可能包括切片选择辅助信息,用于指示UE希望接入的切片信息;或者用来指示需要执行onboarding业务。
S102、AMF向DCS发送第二注册请求。其中,该第二注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,第一指示信息(indicator1),切片选择辅助信息。该第一指示信息用于请求网络执行上线业务。
第二注册请求还可能包括第一证书。该第一证书是生产商在UE出厂时为UE颁发的证书,用来证明此UE是生产商合法生产的设备。
S103、DCS接收到该第二注册请求后,根据该第二注册请求,确定网络允许对UE执行上线业务。
在一个实现中,DCS接收到该第二注册请求后,可以根据上述NPN标识,确定网络允许为NPN标识对应的NPN网络执行上线业务。
在又一个实现中,DCS接收到该第二注册请求后,也可以根据用户设备的标识,和/或生产商标识,确定网络允许为生产商标识对应的生产商的设备执行上线业务。
在又一个实现中,DCS接收到该第二注册请求后,也可以根据预先配置的生产商的根证书校验上述第一证书的正确性。另外,还可以校验第一证书中,网络标识,跟DCS连接的AMF对应的连接标识是否相同;校验通过则继续执行;否则则拒绝。
在又一个实现中,DCS接收到该第二注册请求后,也可以根据切片选择辅助信息,确定网络允许为设备执行上线业务。
在又一个实现中,DCS也可以请求其它网元确定网络是否允许对UE执行上线业务。具体地,例如,DCS向UDM、AUSF或AMF发送第三注册请求,该第三注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,第二指示信息(indicator2),该第二指示信息用于请求网络执行上线业务。其它网元在根据用户设备的标识,生产商标识和NPN标识中的一项或多项确定是否允许对UE执行上线业务后,向DCS发送第三注册响应,该第三注册响应用于确定网络执行该上线业务。从而,DCS可以确定网络执行该上线业务。
在另外的实施例中,除了可以由DCS确定网络是否允许对UE执行上线业务,还可以由AMF、AUSF、UDM等网元确定是否为UE执行上线业务。若AMF、AUSF、UDM内运营商内外网元,则校验第一证书的时候,包括校验自己所在网络标识跟证书中的网络标识是否一致。
S104、DCS向AMF发送第三指示信息(indicator3),该第三指示信息用于指示允许对UE执行上线业务。
在网络确定执行上线业务后,DCS还可以采用S103中的步骤,根据用户设备的标识,生产商标识,非公共网络NPN标识,切片选择辅助信息,和第一证书的至少一项判定是否需要执行NPN网络认证,即UE与运营商网络之间的认证;并且发送认证指示给AMF。该认证指示可以与第三指示信息是独立的指示,也可以包括在第三指示信息中。
S105、AMF接收到该第三指示信息后,向AUSF发送签约信息获取请求。该签约信息获取请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,网络执行上线业务的认证结果,第一证书。
UE注册到NPN网络,需要获得UE的签约信息。因此,AMF接收到该第三指示信息后,向AUSF发送签约信息获取请求,签约信息获取请求包括UE的标识和网络执行上线业务的认证结果。该网络执行上线业务的认证结果用于指示网络允许UE执行上线业务。
在另外的实施例中,还可能是AMF发送签约信息获取请求至UDM,再由UDM向PS请求UE的签约信息;或者AMF发送签约信息获取请求至AUSF,AUSF再发送签约信息获取请求至UDM,UDM再从PS获得UE的签约信息;或者AMF发送签约信息获取请求至DCS,DCS再从PS获得UE的签约信息。
S106、AUSF根据NPN ID确定PS的地址。
AUSF根据签约信息获取请求中携带的NPN ID可以确定NPN网络的PS的地址。
S107、AUSF根据PS的地址向PS发送签约信息配置请求。该签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书。
AUSF在获得PS的地址后,向PS发送签约信息配置请求,用于请求PS配置UE的签约信息。
其中,签约信息配置请求包括UE ID,生产商标识,还可以包括第一证书。
S108、PS接收到该签约信息配置请求后,根据生产商的根证书校验第一证书的正确性;和/或,根据第一证书中的网络标识,校验网络标识对应的网络与AUSF网元所在的网络是否一致。
PS接收到该签约信息配置请求后,根据预先配置的生产商的根证书校验上述第一证书的正确性。
该第一证书还可能包括网络标识等信息。若第一证书是正确的,PS还可以根据第一证书中的网络标识,校验网络标识对应的网络与请求获取签约信息的网元所在的网络是否一致,即校验允许UE进行上行业务的网络是否与AMF所在的网络是否一致。
S109、若校验通过,PS向AUSF发送签约信息配置响应。该签约信息配置响应包括用户设备的签约信息。
若上述校验通过,则PS向AUSF发送签约信息配置响应,该签约信息配置响应包括用户设备的签约信息,以使DCS将该签约信息下发给UE。
S110、AUSF向AMF发送签约信息获取响应。该签约信息获取响应包括用户设备的签约信息。
S111、AMF向UE发送第一注册响应。该第一注册响应包括用户设备的签约信息。
根据本申请实施例提供的一种网络认证方法,用户设备在未携带网络颁发的身份信息时,可以通过请求网络执行上线业务,通过网络实现与NPN网络的通信,提高了网络通信的可靠性。
上实施例中,也可以为AMF请求UDM,再由UDM请求PS获得签约信息。
如图6所示,为本申请实施例提供的网络认证方法的又一个流程示意图,主要涉及网络是否允许UE进行上线业务的校验,还可以包括网络对UE的有效性的认证。在本实施例中,假设UE未携带运营商颁发的身份信息,例如,UE中没有USIM卡,仅有生产商出厂时预置的第一安全密钥和身份标识。具体地,该方法包括以下步骤:
S200、UE预先保存以下信息中的一项或多项:用户设备的标识、生产商标识、第一安全密钥,切片选择辅助信息和NPN标识。
UE出厂时,生产商在UE中预先配置或保存了用户设备的标识、生产商标识、第一安全密钥或NPN标识。其中,第一安全密钥包括公钥PK1、私钥SK1;或者第一安全密钥包括共享密钥K1。其它信息的含义可以参考上面的描述。
S201、UE确定执行上线业务,从而UE触发上线流程。
S202、UE选择网络。
UE选择网络之前,接入网设备还可以向UE发送广播消息,UE接收该广播消息。该广播消息包括该接入网设备所在的网络是否支持上线业务的指示,还可以包括该网络对哪些NPN ID的用户执行上线业务;或者还可以包括该网络对哪些切片选择辅助信息对应的用户执行上线业务。另外,该广播消息还可以包括接入网设备所在网络的信息,例如网络标识。
然后,UE根据自己的身份标识和上述广播消息,确定该网络是否支持上线业务,还可以进一步确定该网络是否支持该NPN网络的上线业务。当上述情况均确定时,UE选择该网络进行上线业务。
S203、UE向接入网设备发送第一注册请求。接入网设备接收到该第一注册请求后,将该第一注册请求发送至AMF。
该第一注册请求可以包括以下信息中的一项或多项:UE ID、第一指示信息、生产商标识和NPN ID。该第一指示信息用于请求网络执行上线业务。
该第一注册请求还可以包括第一证书。该第一证书是生产商在UE出厂时为UE颁发的证书,用来证明此UE是生产商合法生产的设备。第一证书包括PK1和证书颁发者标识;第一证书还可能包括网络标识;第一证书还可能包括生产商标识等。这里,证书颁发者标识可以为生产商标识,代表证书是生产商颁发的。这里,证书颁发者标识也是证书颁发中心的标识。如果第一证书中包括了生产商标识等,则第一注册请求中也可以不包括生产商标识等。第一证书可能包括网络标识,用来限定此设备仅用来接入NPN ID对应的网络。
第一注册请求,还可能包括切片选择辅助信息,用于指示UE希望接入的切片信息;或者用来指示需要执行onboarding业务。
该第一注册请求还可能包括第一安全参数(code1)。该第一安全参数用于对用户设备的有效性进行认证。该第一安全参数是基于UE ID、生产商标识、第一安全密钥、NPNID、网络标识中的一项或多项生成的。因此,可选地,在UE发送第一注册请求之前,还可以基于UE ID、生产商标识、第一安全密钥、NPN ID、网络标识中的一项或多项生成该第一安全参数。例如,第一安全参数是基于UE ID、SK1、NPN ID、网络标识计算得到的,则该第一安全参数可以称为数字签名;又例如,第一安全参数是基于UE ID、K1、NPN ID、网络标识计算得到的,则该第一安全参数可以称为消息验证码。这里网络标识可以为当前网络所在的标识。当前网络可以为归属网络,或者拜访网络。其中,拜访网络即服务网络(serving network)。若网络标识是当前拜访网络或服务网络所在的标识,则网络标识为服务网络标识(servingnetwork identity,SN ID)。
其中,生产商标识也可以包括在UE ID内容中,例如,UE ID内包括host ID@生产商标识。如果UE ID携带生产商标识,则UE不需要再发送生产商标识给AMF。
NPN ID的信息也可以包括在UE ID内容中,例如,UE ID内包括host ID@NPN ID。如果UE ID携带NPN ID,则UE也可以不需要再发送NPN ID给AMF。
生产商标识和NPN ID的信息都可以包括在UE ID内容中,例如,UE ID内包括hostID@生产商标识.NPN ID。如果UE ID携带生产商标识和NPN ID,则UE不需要再发送生产商标识和NPN ID给AMF。
可以理解的是,该第一注册请求中也可以不携带NPN ID,UE可以在另外的消息例如发送给接入网设备的接入信息中携带该NPN ID。之后,接入网设备再将该NPN ID发送给AMF。或者,接入网设备可以根据UE接入该接入网设备的小区信息(小区与NPN ID关联)或者使用的无线信道等确定NPN ID,之后接入网设备将该NPN ID发送给AMF。
S204、AMF接收到第一注册请求后,根据该第一注册请求,确定网络允许对用户设备执行上线业务。
在一个实现中,AMF接收到该第一注册请求后,可以根据上述NPN标识,确定网络允许为NPN标识对应的NPN网络执行上线业务。
在又一个实现中,AMF接收到该第一注册请求后,也可以根据生产商标识和/或UEID,确定网络允许为生产商标识对应的生产商的设备执行上线业务认证。
在又一个实现中,AMF接收到该第一注册请求后,也可以根据预先配置的生产商的根证书校验上述第一证书的正确性。
在又一个实现中,AMF也可以请求其它网元确定网络是否允许对UE执行上线业务。具体地,例如,AMF向UDM、AUSF或DCS发送第三注册请求,该第三注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,第二指示信息,该第二指示信息用于请求网络执行上线业务。其它网元在根据用户设备的标识,生产商标识和NPN标识中的一项或多项确定是否允许对UE执行上线业务后,向AMF发送第三注册响应,该第三注册响应用于确定网络执行该上线业务。从而,AMF可以确定网络执行该上线业务。AMF还可能发送第一证书给其他网元,让其他网元根据生产商的根证书同时校验第一证书的正确性。如果上述校验失败,则发送指示至AMF,指示校验不成功,不能为此UE执行该上线业务。
S205、AMF还可能根据生产商的根证书校验第一证书的正确性。
如前,本实施例中,该第一注册请求还可以包括第一证书。AMF预先保存了生产商的根证书,则AMF可以根据生产商的根证书校验第一证书的正确性。或者AMF发送请求至其他网元(例如UDM、AUSF、DCS等),包括生产商信息和/或NPN ID,以使其他网元根据生产商信息和/或NPN ID确定生产商根证书,并返回生产商根证书至AMF。
S206、若第一证书校验正确,AMF还可能校验第一安全参数计算时采用的网络标识与移动管理网元所在的网络的网络标识是否一致。
若第一证书是正确的,第一注册请求还可以包括第一安全参数,则AMF还可以第一安全参数计算时采用的网络标识,校验网络标识与AMF所在的网络对应的网络标识是否一致,即校验UE请求进行上行业务的网络与AMF所在的网络是否一致。
S207、若校验一致,AMF根据第一证书对第一安全参数进行认证,确定用户设备是否有效。
如果第一安全参数是基于UE ID、生产商标识、SK1、NPN ID、网络标识中的一项或多项生成的,该第一证书中还包括公钥PK1,则AMF在校验第一证书是正确的时,还可以根据第一证书中的PK1对第一安全参数进行认证,确定UE是否有效。
若第一安全参数是基于UE ID、生产商标识、K1、NPN ID、网络标识中的一项或多项生成的,则AMF可以根据保存的UE ID对应的K1,校验该第一安全参数;或者AMF发送请求至其他网元(例如UDM、AUSF、DCS等),包括UE ID,生产商信息,NPN ID的至少一项,以使其他网元根据UEID,生产商信息,NPN ID的至少一项确定K1,并返回K1至AMF。
该第一安全参数的计算还包括网络标识等信息。AMF还可以校验第一安全参数计算或者校验用的网络标识与AMF网元所在的网络是否一致,即校验UE进行上线业务的网络标识是否与AMF所在的网络是否一致。或者,AMF根据自己所在的网络标识,参与校验第一安全参数的校验。
该第一安全参数的计算还包括NPN ID信息。AMF还可以根据接收到的NPN ID执行第一安全参数的校验。
S208、可选的,AMF向UE发送第一注册响应,该第一注册响应用于指示网络允许执行上线业务,和/或用户设备是有效的。
AMF通过对UE进行上述网络执行上线业务的确定、第一证书的校验、网络一致性的校验和第一安全参数的认证,确定网络允许执行上线业务以及该UE是有效的,则AMF向UE发送第一注册请求响应,用于指示上述确定/认证结果。
若AMF确定网络不允许对UE执行上线业务,则可以向UE发送第一注册响应,用于指示注册失败,不再执行后续的流程。该第一注册响应还可以包括第一错误码,该第一错误码用于指示具体是因为生产商标识对应的生产商设备或者请求的NPN ID不被授权执行上线业务。
若AMF对第一证书校验失败,则第一注册响应可以用于指示注册失败。该第一注册响应还可以包括第一证书校验错误码,该第一证书校验错误码用于指示具体是第一证书校验不通过。
若AMF对第一安全参数认证失败,则第一注册响应可以用于指示注册失败。该第一注册响应还可以包括第二错误码,该第二错误码用于指示具体是第一安全参数校验不通过。
可以理解的是,后续流程也可以是AMF接收到UE发送的第一注册请求后,基于UEID、生产商标识、第一安全密钥、NPN ID、网络标识中的一项或多项生成第二安全参数,并向UE发送请求,还可能发送第二证书。这里AMF请求UE确定网络是否合法,以及校验第二安全参数。UE根据生产商的根证书校验第二证书的正确性,若第二证书校验正确,UE还可能根据第二证书中的网络标识,校验第二证书包括的网络标识与AMF所在的网络标识是否一致。AMF还可能根据第二安全参数中的网络标识,校验第二安全参数计算用到的网络标识与AMF所在的网络标识是否一致。并且根据第一证书对第一安全参数进行认证,确定用户设备有效。UE向AMF发送响应。
根据本申请实施例提供的一种网络认证方法,UE在未携带未携带网络颁发的身份信息时,通过网络执行上线业务,提高了网络通信的可靠性。
可以理解的,上述实施例包括多种可能性。可以为其他网元完成对于UE的校验,例如AMF发送第一注册消息的内容给AUSF,DCS,或者UDM;由AUSF,DCS,或者UDM触发后续的校验流程;这里执行上述AMF动作的NF可以不做限制。更一步的,还可能基站执行上述AMF的动作完成对于UE的校验。
如图7所示,为本申请实施例提供的网络认证方法的又一个流程示意图,主要涉及网络是否允许UE进行上线业务的校验和网络对UE的有效性的认证,以及还涉及网络与UE之间的相互认证(或者称双认证)。在本实施例中,假设UE未携带网络颁发的身份信息,例如,UE中没有USIM卡,仅有生产商出厂时预置的第一安全密钥和身份标识。具体地,该方法包括以下步骤:
S300、UE预先保存以下信息中的一项或多项:用户设备的标识、生产商标识、第一安全密钥和NPN标识。
该步骤的具体实现可参考图6所示实施例的步骤S200。
S301、UE确定执行上线业务,从而UE触发上线流程。
该步骤的具体实现可参考图6所示实施例的步骤S201。
S302、UE选择网络。
该步骤的具体实现可参考图6所示实施例的步骤S202。
S303、UE通过RAN向AMF发送第一注册请求。
S304、AMF向AUSF发送第二注册请求。
这里UE需要通过AMF,接入AUSF。因为主要动作在AUSF,这里为了不赘述,因此减少了AMF的描述。
S305、AUSF接收到第二注册请求后,根据该第二注册请求,确定网络允许对用户设备执行上线业务。
更进一步,AUSF确定是否执行UE与网络的认证。该步骤的具体实现可参考图5所示实施例的步骤S102或图6所示实施例的步骤S204。所不同的是,在本实施例中,由AUSF确定网络允许对UE执行上线业务。
可选地,第一注册请求还可以包括第一安全参数,AUSF还可以参考图6所示实施例的步骤S205~207对第一安全参数进行校验。
S306、AUSF向DCS发送第二安全参数获取请求,该第二安全参数获取请求包括以下信息中的一项或多项:UE的标识、SN标识、生产商标识。
在确定网络执行上线业务,和/或UE是有效时,进一步地,本实施例还触发UE与网络的相互认证。
若AUSF保存有生产商颁发的第二证书和/或第二安全密钥(PK2和SK2,或者K1),则AUSF可以直接执行步骤S309,而无需执行步骤S307和S308。即AUSF可以基于UE ID、生成商标识、NPN标识、网络标识、第二安全密钥中的一项或多项生成第二安全参数。
若AUSF未保存第二证书和第二安全密钥,则AUSF向DCS请求与UE认证相关的参数,该请求中包括生成商标识。当然,AUSF也可以向其它网元请求获取与UE认证相关的参数。
若采用非对称认证方式,DCS根据生产商标识确定与UE认证相关的参数。该与UE认证相关的参数包括第二证书、PK2、SK2,还可以包括UE ID。DCS向AUSF发送上述参数。然后,AUSF再基于UE ID、生成商标识、NPN标识、网络标识、PK2、SK2中的一项或多项生成第二安全参数。
若采用对称认证方式,DCS根据生产商标识确定与UE认证相关的参数。该与UE认证相关的参数包括K1,还可以包括UE ID。DCS向AUSF发送上述参数。然后,AUSF再基于UE ID、生成商标识、NPN标识、网络标识、K1中的一项或多项生成第二安全参数。
UE也可以发送认证方式指示信息给AMF,然后AMF再发送该认证方式指示信息给AUSF。AUSF根据该认证方式指示信息确定具体是采用哪种认证方式,进而执行上述不同的操作。认证方式包括上述非对称认证方式和对称认证方式,当然还可以是其它的认证方式。
当然,也可以是UE发送UE ID和生产商标识给AMF,然后AMF发送UE ID和生产商标识给DCS。DCS自身确定具体采用哪一种认证方式。
S307、DCS根据该第二安全参数获取请求,确定第二安全参数。
该第二安全参数获取请求包括UE的标识、生产商标识、网络标识的至少一项。DCS可以根据生产商标识和/或网络标识确定第二证书。若采用非对称认证方式,DCS可以根据UE的标识确定第二安全参数包括PK2和SK2。若采用对称认证方式,DCS可以根据UE的标识确定第二安全参数包括K1。
此外,该第二安全参数获取请求还可以包括网络标识。则进一步地,DCS校验网络标识与UE请求接入的网络是否一致。
S308、DCS向AUSF发送第二安全参数获取响应。
该第二安全参数获取响应包括第二证书和/或第二认证参数(SK2或K1)。
S309、AUSF向UE发送第一认证请求,其中,该第一认证请求用于请求用户设备对网络进行认证,该第一认证请求包括第三安全参数和/或第二证书。第三安全参数为基于SK2或K1计算的,具体的计算方式参见上述实施例。
AUSF向UE发送第一认证请求,请求UE对网络进行认证。该第一认证请求包括上述第三安全参数和第二证书。
S310、UE根据生产商的根证书校验第二证书的正确性;和/或,根据生成第三安全参数所基于的网络标识,校验网络标识与用户设备请求进行上线业务的网络的网络标识是否一致。
UE接收到第一认证请求后,首先根据UE预先存储的生产商的根证书校验第二证书的正确性。
若第二证书正确,则进一步地,可以根据生成第三安全参数所基于的网络标识,校验该网络标识对应的网络与UE请求进行上线业务的网络是否一致。若网络不一致,则UE校验网络失败。
若第二证书不正确,则UE不执行后续S311、S312,发送第一认证响应,该第一认证响应用于指示网络校验失败。
S311、若校验通过,UE根据第二证书中的第二安全密钥校验第三安全参数。
在第二证书校验正确时,可以根据第二证书中的第二安全密钥校验第一认证参数。
具体地,若第三安全参数包括数字签名,则可以根据第二证书中包括的PK2对第三安全参数进行校验;若第三安全参数包括消息验证码,则可以根据自己保存的K1对第二安全参数进行校验。
S312、UE基于用户设备的标识、生产商标识、第一安全密钥、网络标识、NPN标识中的一项或多项生成第一安全参数。
在UE校验第二证书正确、网络一致、以及第二安全参数校验通过后,则UE对网络认证通过。然后,UE计算第二认证参数,以使网络对UE进行认证。
与生成第三安全参数的方式类似,生成第一安全参数的方式也包括非对称认证方式和对称认证方式。即若采用非对称认证方式,UE可以基于SK1计算第一安全参数。若采用对称认证方式,UE可以基于K1计算第一安全参数。
S313、UE发送第一认证响应,其中,第一认证响应包括第一证书和/或第一安全参数。
相应地,AUSF接收该第一认证响应,并且执行与上述UE对网络的认证过程相同的过程,以对UE进行认证。具体地,AUSF根据生产商的根证书校验第一证书的正确性;和/或,根据生成第一安全参数所基于的网络标识,校验该网络标识对应的网络与用户设备请求进行上线业务的网络是否一致,然后,若校验通过,AUSF根据第一证书中的第一安全密钥校验第一安全参数。若上述校验都通过,则网络对UE认证通过。
在可替换的实施例中,S306之后,即DCS确定了第二安全参数后,自己计算第三安全参数,DCS也可以不向AUSF发送第二安全参数获取响应,而是通过AUSF向UE发送第一认证请求,然后,AUSF接收UE发送的第一认证响应。即DCS是UE与网络的双向认证的认证节点。
进一步地,AUSF还可以向PS发送网络认证结果通知,用于通知UE与网络相互认证的结果。这里通知消息包括UE ID,认证结果;还可能包括网络标识,还可能包括NPN ID。这样,后续PS对UE注册到NPN网络进行认证时,或者UE与PS进行相互认证时,可以根据UE ID查询UE与网络相互认证的结果。还可能AUSF发送结果至UDM,再由UDM通知PS。这里UDM通知PS的内容可以包括UE ID,认证结果;还可能包括网络标识。
还可能,上述流程给出了UE与AUSF的认证方式。这里UE与AUSF的认证也可以采用其他EAP或者5G已有的认证方式,不做限制。
根据本申请实施例提供的一种网络认证方法,UE在未携带未携带网络颁发的身份信息时,通过网络执行上线业务,且UE与网络相互认证,提高了网络通信的可靠性。
如图8所示,为本申请实施例提供的网络认证方法的又一个流程示意图,主要涉及PS对UE注册到NPN网络进行认证。在本实施例中,假设UE未携带运营商颁发的身份信息,例如,UE中没有USIM卡,仅有生产商出厂时预置的第一安全密钥和身份标识。具体地,该方法包括以下步骤:
S401、UE向AMF发送第五认证请求,该第五认证请求包括UE ID、第四指示信息(indicator 4)、生产商标识、NPN ID的至少一项。该第四指示信息用于请求注册到NPN网络,获取UE的签约信息。可选地,该第五认证请求还可以包括第一证书和第一安全参数(code1)。该第一安全参数是基于UE ID、生产商标识、第一安全密钥、网络标识、NPN ID生成的。
在本实施例中,假设已经确认网络允许用户设备使用上线业务,和/或第一安全参数是有效的。接入网络后,网络就可以为UE建立与PS之间的逻辑通道。具体地,UE向AMF发送第五认证请求,UE请求注册到NPN网络,以获取UE的签约信息。UE可以采用非接入层(non-access stratum,NAS)消息发送该第五认证请求。该NAS消息具体可以是初始注册的NAS消息、NAS安全模式完成消息、上下文NAS消息等,本申请对此不做限制。
S402、AMF向UDM发送签约信息获取请求。
AMF接收到第五认证请求后,向UDM发送签约信息获取请求。该签约信息获取请求包括以下信息中的一项或多项:UE ID、第四指示信息、生产商标识、NPN ID、第一安全参数。
可选地,AMF在接收到第五认证请求后,可以对第二安全参数进行初步校验。则第四指示信息还可以用于指示AMF已经完成第一安全参数的校验。
S403、UDM接收到签约信息获取请求后,根据NPN ID确定PS的地址。
可选地,若AMF没有完成对第一安全参数的校验,则UDM也可以对第一安全参数进行初步校验。则签约信息获取请求中还可以包括第四指示信息,用于指示UDM已经完成第一安全参数的校验。
可选地,若接收到第五指示信息,指示AMF已经完成第一安全参数的校验,则UDM不再执行第一安全参数的校验。
具体的校验方法可以参考之前是实施例。
S404、UDM根据PS的地址向PS发送签约信息配置请求,签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,网络标识,第一安全参数,NPN ID。
相应地,PS接收该签约信息配置请求。
S405、PS根据生产商的根证书校验第一证书的正确性。
PS预先保存了生产商的根证书,则PS可以根据生产商的根证书校验第一证书的正确性。
S406、若第一证书校验正确,PS还可能根据第一证书中的网络标识,校验该网络标识对应的网络与PS正在通信的网络对应的网络标识是否一致。
若该第一证书还包括网络标识等信息,若第一证书是正确的,PS还可以根据第一证书中的网络标识,校验网络标识对应的网络与请求执行上线业务的网元所在的网络是否一致,或者,PS还可以根据生成第一安全参数所基于的网络标识,校验网络标识对应的网络与请求执行上线业务的网元所在的网络是否一致。即校验允许UE进行上行业务的网络是否与AMF或UDM所在的网络是否一致。
S407、若校验一致,PS根据第一证书对第一安全参数进行认证,确定用户设备有效。
该第一证书中还包括公钥PK1,因此,PS在校验第一证书是正确的时,可以根据第一证书中的PK1对第一安全参数进行认证,确定UE是否有效。其中,第一安全参数是基于UEID、生产商标识、SK1、NPN ID、网络标识中的一项或多项生成的。
若第一安全参数是基于UE ID、生产商标识、K1、NPN ID、网络标识中的一项或多项生成的,则PS可以根据UE ID确定K1,校验该第一安全参数。
若该第一安全参数的计算还包括网络标识等信息。PS还可以校验第一安全参数计算或者校验用的网络标识与PS正在通信的网络对应的网络标识是否一致,即校验UE进行上行业务的网络标识是否与PS正在通信的网络对应的网络标识是否一致。或者,PS根据自己PS正在通信的网络对应的网络标识,参与校验第一安全参数的校验。
该第一安全参数的计算还包括NPN ID信息。PS还可能可以根据接收到的NPN ID执行第一安全参数的校验。
可选的,这里PS也可以把接收到的参数发送给其他NF执行校验,例如DCS。具体的方式为发送签约配置信息请求内参数的至少一项至DCS,由DCS校验第一证书,和/或第一安全参数的正确性,并返回结果给PS。之后PS还可以执行S406,S407中其他网络标识等校验。
可选的,这里PS还可以发送签约配置信息请求内参数的至少一项至其他NF(如DCS),或者生产商根证书,或者K1,进而执行后续S406和S407的校验。
S408、PS向UDM发送签约信息配置响应,签约信息配置响应包括用户设备的签约信息。
PS通过上述认证,确定UE是有效的。还可能,则向UDM发送签约信息配置响应,用于指示上述认证结果。该认证结果包括认证成功或失败。
S409、UDM向AMF发送签约信息获取响应。
该签约信息获取响应包括用户设备的签约信息和/或上述认证结果。
S410、AMF向UE发送第五认证响应。
该第五认证响应包括用户设备的签约信息和/或上述认证结果。
这里UE还可以校验网络标识。
在另外的实施例中,UDM、DCS或者AUSF在之前发送UE在网络内认证成功的指示给PS,包括UE ID和认证结果。PS根据接收到的UE ID确定,该UE已经在网络内认证成功,则跳过PS与UE之间的认证。
还可能,PS接收到UE ID之后,请求UDM、DCS或者AUSF等NF,获取UE ID对应的认证结果。若PS确定该UE已经在网络内认证成功,则跳过PS与UE之间的认证。
在另外的实施例中,上述步骤S401不是UE发起第五认证请求,而是在之前实施例的基础上,AMF或者AUSF直接触发后续与PS之间的交互。
还可能,PS采用图7对应实施例中AUSF计算第三安全参数的方法,发送第三安全参数及对应参数至UE,以使UE校验PS是否为合法PS的方法。这里第三安全参数保护的内容还包括用户设备的签约信息。
根据本申请实施例提供的一种网络认证方法,用户设备在未携带网络颁发的身份信息时,若网络已经确定可以对该用户设备执行上线认证,则用户设备可以通过该网络请求PS对UE进行认证,从而提高了NPN网络的可靠性。
如图9所示,为本申请实施例提供的网络认证方法的又一个流程示意图,主要涉及PS与UE之间的相互认证。在本实施例中,假设UE未携带网络颁发的身份信息,例如,UE中没有USIM卡,仅保存有生产商出厂时预置的第一安全密钥和身份标识。具体地,该方法包括以下步骤:
S500、UE通过RAN向AMF发送第一注册请求,其中,第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,第一指示信息,切片选择辅助信息,第一指示信息用于请求网络执行上线业务。
可选地,该第一注册请求还可以包括第一证书和第一安全参数。
该步骤的具体实现可以参考图5所示实施例的步骤S101。
S501、AMF根据第一指示信息,确定UE请求上线业务。
S502、AMF向DCS发送第二注册请求,其中,第二注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,NPN标识,第一指示信息,切片选择辅助信息,第一指示信息用于请求网络执行上线业务。
S503、DCS接收该第二注册请求后,根据该第二注册请求,确定网络允许对UE执行上线业务,和/或确定用户设备有效。
该步骤的具体实现可以参考图5所示实施例的步骤S102。
S504、DCS向AMF发送第二注册响应,该第二注册响应包括第三指示信息,该第三指示信息用于指示网络允许对用户设备执行上线业务,和/或该第三指示还用于指示进行NPN网络认证。
若DCS确定网络可以执行上线业务,则发送第三指示信息,指示网络允许对用户设备执行上线业务,还可以指示AMF执行下一步流程,即指示进行NPN网络认证。若DCS确定网络不可以执行上线业务,则向AMF发送第一注册响应,用于指示注册失败,结束后续流程。
S505、AMF接收到该第二注册响应后,向AUSF发送网络认证结果通知。
网络认证结果通知包括以下信息中的一项或多项:用户设备的标识,网络确认执行上线业务的指示,用户设备与网络的相互认证结果,NPN标识。
S506、AUSF根据NPN ID确定PS的地址。
AUSF根据上述NPN ID可以确定NPN网络的PS的地址。
S507、AUSF向PS转发该网络认证结果通知。
该网络认证结果通知可以是AAA协议消息。
S508、PS生成第四安全参数。
PS可以根据生产商标识确定第三证书。PS可以基于用户设备的标识、生产商标识、NPN标识、网络标识、第三安全密钥中的一项或多项生成第四安全参数。具体地,若采用非对称认证方式,PS可以根据UE的标识确定第三安全密钥包括PK2和SK2。若采用对称认证方式,PS可以根据UE的标识确定第三安全密钥包括K1。
S509、PS向UE发送第二认证请求,其中,该第二认证请求用于请求用户设备对NPN网络进行认证,该第二认证请求包括第四安全参数和/或第三证书。
PS向UE发送第二认证请求,请求UE对NPN网络进行认证。该第二认证请求包括上述第四安全参数和/或第三证书。
S510、UE根据生产商的根证书校验第三证书的正确性;和/或,根据生成第四安全参数所基于的网络标识,校验网络标识与用户设备请求进行上线业务的网络对应的网络标识是否一致;和/或根据生成第四安全参数所基于的NPN标识,校验NPN标识与用户设备请求上线的NPN网络对应的NPN标识是否一致。
UE接收到第二认证请求后,首先根据UE预先存储的生产商的根证书校验第三证书的正确性。
若第三证书正确,则进一步地,可以根据生成第四安全参数所基于的网络标识,校验该网络标识对应的网络与UE请求进行上线业务的网络是否一致。进一步地,还可以根据生成第四安全参数所基于的NPN标识,校验NPN标识与用户设备请求上线的NPN网络对应的NPN标识是否一致。
S511、若校验通过,UE根据第三证书中的第三安全密钥校验第四安全参数。
在第二证书校验正确时,可以根据第三证书中的第三安全密钥校验第四安全参数。
具体地,若第四安全参数计算基于非对称密码方法,则可以根据第三证书中包括的PK2对第三安全参数进行校验;若第四安全参数计算基于对称密码方法,则可以根据K1对第三安全参数进行校验。
S512、UE生成第一安全参数。
在UE校验第三证书正确、网络一致、以及第三安全参数校验通过后,则UE对NPN网络认证通过。然后,UE生成第一安全参数,以使网络对UE进行认证。
与生成第三安全参数的方式类似,生成第一安全参数的方式也包括非对称认证方式和对称认证方式。即若采用非对称认证方式,UE可以确定第一安全密钥包括PK1和SK1。若采用对称认证方式,UE可以确定第一安全密钥包括K1。具体的第一安全参数的生成过程可参考前述实施例的描述。
S513、UE发送第二认证响应,其中,第二认证响应包括第一证书和/或第一安全参数。
相应地,PS接收该第二认证响应,并且执行与上述UE对网络的认证过程相同的过程,以对UE进行认证。具体地,PS根据生产商的根证书校验第一证书的正确性;和/或,根据生成第一安全参数所基于的网络标识,校验该网络标识与用户设备请求进行上线业务的网络对应的网络标识是否一致;和/或根据生成第一安全参数所基于的NPN标识,校验NPN标识与用户设备请求上线的NPN网络对应的NPN标识是否一致。然后,若校验通过,PS根据第一证书中的第一安全密钥校验第一安全参数。若上述校验都通过,则网络对UE认证通过。
后续PS下发用户设备的签约知悉至UE。
上述实施例中,PS可以请求DCS获得生产商根证书用于校验UE发送来的证书,或者第二证书;或者SK1和K1用来计算第四安全参数;不做限制。这里获取对应证书或密钥的方式可以参考上述实施例,不再赘述。
这里,UE与PS之间的认证不做限制,可以为EAP等公开的认证方法,例如二次认证,或者切片认证等。
根据本申请实施例提供的一种网络认证方法,实现了NPN网络与UE的相互认证,提高了NPN网络与UE通信的可靠性。
可以理解的是,上述给出了UE通过AUSF或者UDM与PS进行通信的场景。这里UE与PS连接的方式不做限制。例如UE通过AMF与PS通信;或者UE通过AMF/AUSF/UDM和NEF与PS通信等。
可以理解的是,上述给出了两种UE与运营商网络的认证,以及UE与PS之间的认证。这里两种认证方式是可以组合的,例如UE与运营商网络的认证之后,还是可以执行UE与PS之间的认证。UE与PS之间的认证是可以在注册流程中执行,或者注册流程完成之后执行,也可以在会话建立流程;也可以是在用户面建立之后执行不做限制。
可以理解的是,PS可以为部署在运营商内部,也可以部署在运营商外部。另外,通过PS分发的签约信息,可以为未来用于NPN网络的接入;这里NPN网络可以为部署在运营商内部(例如公共网络整合的NPN,public network integrited,PNI-NPN),也可以部署在运营商外部。另外,这里签约信息可以理解为身份标识,和密钥;签约信息还可以包括切片信息,例如切片选择辅助信息等。这里签约信息可以用来执行通过运营商网络的二次认证,或者切片认证等认证,不做限制。
可以理解的是,上述实施例不限制是否UE具有运营商的身份。这里突出了UE如果获得上线业务的授权,以及如何完成的认证。对于UE是否具有运营商的身份,以及是否发送运营商的身份等不做限制。
可以理解的是,以上各个实施例中,由网络认证装置实现的方法和/或步骤,也可以由可用于网络认证装置的部件(例如芯片或者电路)实现。
上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。相应的,本申请实施例还提供了装置,该装置用于实现上述各种方法。该装置可以为上述方法实施例中的网络认证装置,或者包含上述网络认证装置的装置。可以理解的是,该装置为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法实施例中对装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
本申请实施例中的网络认证装置的相关功能可以通过图10中的网络认证装置100来实现。图10所示为本申请实施例提供的网络认证装置100的一个结构示意图。该网络认证装置100包括一个或多个处理器11,通信线路12,以及至少一个通信接口(图10中仅是示例性的以包括通信接口14,以及一个处理器11为例进行说明),可选的还可以包括存储器13。
处理器11可以是一个CPU,微处理器,特定应用集成电路(application-specificintegrated circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路12可包括一通路,用于连接于不同组件之间。
通信接口14,可以是收发模块用于与其他设备或通信网络通信,如以太网,RAN,无线局域网(wireless local area networks,WLAN)等。例如,所述收发模块可以是收发器、收发机一类的装置。可选的,所述通信接口14也可以是位于处理器11内的收发电路,用以实现处理器的信号输入和信号输出。
存储器13可以是具有存储功能的装置。例如可以是只读存储器(read-onlymemory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路12与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器13用于存储执行本申请方案的计算机执行指令,并由处理器11来控制执行。处理器11用于执行存储器13中存储的计算机执行指令,从而实现本申请实施例中提供的网络认证方法。
或者,本申请实施例中,也可以是处理器11执行本申请下述实施例提供的网络认证方法中的处理相关的功能,通信接口14负责与其他设备或通信网络通信,本申请实施例对此不作具体限定。
本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器11可以包括一个或多个CPU,例如图10中的CPU0和CPU1。
在具体实现中,作为一种实施例,网络认证装置100可以包括多个处理器,例如图10中的处理器11和处理器17。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,网络认证装置100还可以包括输出设备15和输入设备16。输出设备15和处理器11通信,可以以多种方式来显示信息。
上述的网络认证装置100可以是一个通用装置或者是一个专用装置。例如网络认证装置100可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digitalassistant,PDA)、移动手机、平板电脑、无线用户设备、嵌入式设备或具有图10中类似结构的设备。本申请实施例不限定网络认证装置100的类型。
图11为本申请实施例提供的网络认证装置的又一个结构示意图,该网络认证装置可以是上述实施例中的用户设备。该网络认证装置200包括:收发单元21,还可以包括处理单元22;其中:
收发单元21,用于发送第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;以及所述收发单元21,还用于接收第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述装置还包括:处理单元22,用于基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。
可选地,所述收发单元21,还用于接收第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元22,还用于根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理单元22,还用于若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;所述处理单元22,还用于若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;以及所述收发单元21,还用于发送所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。
可选地,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述收发单元21,还用于接收来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述处理单元,还用于根据生产商的根证书校验所述第三证书的正确性;所述处理单元22,还用于若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;以及所述收发单元21,还用于若校验正确,向所述配置服务器发送第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。
可选地,所述处理单元22,还用于根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第四安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。
有关上述收发单元21和处理单元22的具体实现可参考图5~图9所示的网络认证方法中用户设备的相关描述。
根据本申请实施例提供的一种网络认证装置,该网络认证装置在未携带网络颁发的身份信息时,通过请求网络提供上线业务,可以通过网络实现与NPN网络的通信。
图12为本申请实施例提供的网络认证装置的又一个结构示意图,该网络认证装置可以是上述实施例中的移动管理网元。该网络认证装置300包括收发单元31和处理单元32;其中:
收发单元31,用于接收第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;处理单元32,用于根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;所述收发单元31,还用于发送签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;所述收发单元31,还用于接收签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;以及所述收发单元31,还用于发送第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
可选地,所述处理单元32,还用于根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
可选地,所述处理单元32,还用于根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或所述收发单元31,还用于发送第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;并接收第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元32,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;所述处理单元32,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,所述收发单元31,还用于发送第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;并接收第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
有关收发单元31和处理单元32的具体实现可以参考图5~图9所示网络认证方法实施例中移动管理网元的相关描述。
根据本申请实施例提供的一种网络认证装置,该网络认证装置在接收到用户设备的注册请求时,而该用户设备未携带网络颁发的身份信息时,该网络认证装置可以确认是否允许为该用户设备执行上线业务,在该网络认证装置确定可以为该用户设备执行上线业务时,可以通过网络实现与NPN网络的通信。
图13为本申请实施例提供的网络认证装置的又一个结构示意图,该网络认证装置可以是上述实施例中的AUSF、DCS或UDM等。该网络认证装置400包括:收发单元41和处理单元42;其中:
收发单元41,用于接收签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;处理单元42,用于根据所述NPN标识确定NPN网络的配置服务器的地址;所述收发单元41,还用于发送签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;所述收发单元41,还用于接收签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;以及所述收发单元41,还用于发送签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
可选地,所述收发单元41,还用于接收第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;所述处理单元42,还用于根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;以及所述收发单元41,还用于发送第二注册响应,所述第二注册响应包括所述第三指示信息。
可选地,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;所述处理单元42,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;以及所述处理单元42,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
可选地,所述收发单元41,还用于接收第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;所述处理单元42,还用于基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;以及所述收发单元41,还用于发送第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和/或第二证书。
可选地,所述收发单元41,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,NPN标识;以及所述收发单元41,还用于转发所述网络认证结果通知。
有关收发单元41和处理单元42的具体实现可以参考图5~图9所示网络认证方法实施例中AUSF、DCS或UDM的相关描述。
根据本申请实施例提供的一种网络认证装置,用户设备未携带网络颁发的身份信息时,网络在给该用户设备执行上线业务时,该网络认证装置接收到移动管理网元发送的签约信息获取请求时,可以向配置服务器发送签约信息配置请求,请求NPN网络为用户设备配置签约信息,从而使用户设备接入到NPN网络。
图14为本申请实施例提供的网络认证装置的又一个结构示意图,该网络认证装置可以是上述实施例中的配置服务器。该网络认证装置500包括:收发单元51和处理单元52;其中:
收发单元51,用于网络允许用户设备使用上线业务,和/或所述用户设备是有效的,接收签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;处理单元52,用于根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;以及所述收发单元51,还用于若所述校验通过,发送签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
可选地,所述收发单元51,还用于发送第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;所述收发单元51,还用于接收第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;所述处理单元52,还用于根据生产商的根证书校验所述第一证书的正确性;以及所述处理单元52,还用于若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第四安全参数。
可选地,所述收发单元51,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,NPN标识。
有关收发单元51和处理单元52的具体实现可以参考图5~图9所示网络认证方法实施例中配置服务器的相关描述。
根据本申请实施例提供的一种网络认证装置,用户设备未携带网络颁发的身份信息时,网络在给该用户设备执行上线业务时,该网络认证装置接收到签约信息配置请求时,为用户设备配置签约信息,从而使用户设备接入到NPN网络。
可选的,本申请实施例还提供了一种芯片系统,包括:至少一个处理器和接口,该至少一个处理器通过接口与存储器耦合,当该至少一个处理器执行存储器中的计算机程序或指令时,使得上述任一方法实施例中的方法被执行。可选的,该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,本申请实施例对此不作具体限定。
应理解,在本申请的描述中,除非另有说明,“/”表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;其中A,B可以是单数或者复数。并且,在本申请的描述中,除非另有说明,“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。另外,为了便于清楚描述本申请实施例的技术方案,在本申请的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。同时,在本申请实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,数字通用光盘(digital versatile disc,DVD))、或者半导体介质(例如固态硬盘(solid statedisk,SSD))等。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”(comprising)一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (36)
1.一种网络认证方法,其特征在于,所述方法包括:
发送第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;
接收第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
2.根据权利要求1所述的方法,其特征在于,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述发送第一注册请求之前,所述方法还包括:
基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
接收第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;
根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;
若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;
发送所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。
4.根据权利要求1~3中任一项所述的方法,其特征在于,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述方法还包括:
接收来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;
根据生产商的根证书校验所述第三证书的正确性;
若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;
若校验正确,向所述配置服务器发送第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第四安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。
6.一种网络认证方法,其特征在于,所述方法包括:
接收第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;
根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;
发送签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;
接收签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;
发送第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
8.根据权利要求7所述的方法,其特征在于,所述根据所述第一请求,确定所述网络允许对所述用户设备执行所述上线业务,包括:
根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或
发送第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;并接收第二注册响应,所述第二注册响应包括所述第三指示信息。
9.根据权利要求6~8中任一项所述的方法,其特征在于,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的,所述方法还包括:
根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,
发送第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;并接收第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
10.一种网络认证方法,其特征在于,所述方法包括:
接收签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;
根据所述NPN标识确定NPN网络的配置服务器的地址;
发送签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;
接收签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;
发送签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;
根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;
发送第二注册响应,所述第二注册响应包括所述第三指示信息。
12.根据权利要求11所述的方法,其特征在于,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的,所述方法还包括:
根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
13.根据权利要求10~12中任一项所述的方法,其特征在于,所述方法还包括:
接收第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;
基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;
发送第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和/或第二证书。
14.根据权利要求10或11所述的方法,其特征在于,所述方法还包括:
接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识;
转发所述网络认证结果通知。
15.一种网络认证方法,其特征在于,网络允许用户设备使用上线业务,和/或所述用户设备是有效的,所述方法包括:
接收签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;
根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;
若所述校验通过,发送签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括:
发送第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;
接收第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;
根据生产商的根证书校验所述第一证书的正确性;
若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第一安全参数。
17.根据权利要求15或16所述的方法,其特征在于,所述方法还包括:
接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识。
18.一种网络认证装置,其特征在于,所述装置包括:
收发单元,用于发送第一注册请求,其中,所述第一注册请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;
所述收发单元,还用于接收第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
19.根据权利要求18所述的装置,其特征在于,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证;所述装置还包括:
处理单元,用于基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数。
20.根据权利要求19所述的装置,其特征在于:
所述收发单元,还用于接收第一认证请求,其中,所述第一认证请求用于请求所述用户设备对所述网络进行认证,所述第一认证请求包括第三安全参数和/或第二证书,所述第三安全参数是根据基于所述用户设备的标识、所述生产商标识、第二安全密钥、网络标识、所述NPN标识中的一项或多项生成的;
所述处理单元,还用于根据生产商的根证书校验所述第二证书的正确性;和/或,根据生成所述第三安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
所述处理单元,还用于若校验通过,根据所述第二证书中的第二安全密钥校验所述第三安全参数;
所述处理单元,还用于若所述校验通过,基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成所述第一安全参数;
所述收发单元,还用于发送所述第一认证响应,其中,所述第一认证响应包括所述第一证书和/或所述第一安全参数。
21.根据权利要求19或20所述的装置,其特征在于,若所述网络允许所述用户设备使用上线业务,和/或所述第一安全参数是有效的,所述装置还包括:
所述收发单元,还用于接收来自配置服务器的第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;
所述处理单元,还用于根据生产商的根证书校验所述第三证书的正确性;
所述处理单元,还用于若校验正确,则根据所述第三证书中的第三安全密钥,校验所述第四安全参数;
所述收发单元,还用于若校验正确,向所述配置服务器发送第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的。
22.根据权利要求21所述的装置,其特征在于,所述装置还包括:
所述处理单元,还用于根据生成所述第四安全参数所基于的所述网络标识,校验所述网络标识与所述用户设备请求接入的所述网络对应的网络标识是否一致;和/或,根据生成所述第四安全参数所基于的所述NPN标识,校验所述NPN标识与所述用户设备请求上线的NPN网络对应的NPN标识是否一致。
23.一种网络认证装置,其特征在于,所述装置包括:
收发单元,用于接收第一注册请求,其中,所述第一请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,非公共网络NPN标识,第一指示信息,切片选择辅助信息,所述第一指示信息用于请求网络执行上线业务;
处理单元,用于根据所述第一指示信息,确定所述用户设备请求网络执行上线业务;
所述收发单元,还用于发送签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述网络标识、所述NPN标识、第三指示信息,所述第三指示信息用于指示所述网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;
所述收发单元,还用于接收签约信息获取响应,其中,所述签约信息获取响应包括所述用户设备的签约信息;
所述收发单元,还用于发送第一注册响应,其中,所述第一注册响应包括所述用户设备的签约信息。
24.根据权利要求23所述的装置,其特征在于:
所述处理单元,还用于根据所述第一注册请求,确定所述网络允许对所述用户设备执行所述上线业务。
25.根据权利要求24所述的装置,其特征在于:
所述处理单元,还用于根据所述NPN标识,确定所述网络允许为所述NPN标识对应的NPN网络执行所述上线业务,和/或,根据所述用户设备的标识和/或所述生产商标识,确定所述网络允许为所述生产商标识对应的生产商的设备执行所述上线业务认证;或
所述收发单元,还用于发送第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;并接收第二注册响应,所述第二注册响应包括所述第三指示信息。
26.根据权利要求23~25中任一项所述的装置,其特征在于,所述第一注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;
所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
所述处理单元,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效;或者,
所述收发单元,还用于发送第三认证请求,所述第三认证请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述第一证书,所述NPN标识,第四指示信息,第一安全参数,所述第四指示信息用于请求校验所述用户设备是否有效;并接收第三认证响应,所述第三认证响应用于指示所述用户设备是否有效。
27.一种网络认证装置,其特征在于,所述装置包括:
收发单元,用于接收签约信息获取请求,所述签约信息获取请求包括以下信息中的一项或多项:用户设备的标识、生产商标识、网络标识、非公共网络NPN标识、第三指示信息,所述第三指示信息用于指示网络允许对所述用户设备执行上线业务,和/或指示进行NPN网络认证;
处理单元,用于根据所述NPN标识确定NPN网络的配置服务器的地址;
所述收发单元,还用于发送签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,第一证书,NPN标识;
所述收发单元,还用于接收签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息;
所述收发单元,还用于发送签约信息获取响应,所述签约信息获取响应包括所述用户设备的签约信息。
28.根据权利要求27所述的装置,其特征在于:
所述收发单元,还用于接收第二注册请求,所述第二注册请求包括以下信息中的一项或多项:所述用户设备的标识,所述生产商标识,所述NPN标识,第二指示信息,切片选择辅助信息,所述第二指示信息用于请求网络执行所述上线业务;
所述处理单元,还用于根据所述第二注册请求,确定所述网络允许对所述用户设备执行所述上线业务;
所述收发单元,还用于发送第二注册响应,所述第二注册响应包括所述第三指示信息。
29.根据权利要求28所述的装置,其特征在于,所述第二注册请求还包括第一证书和第一安全参数,所述第一安全参数用于对所述用户设备的有效性进行认证,所述第一安全参数是基于所述用户设备的标识、所述生产商标识、第一安全密钥、网络标识、所述NPN标识中的一项或多项生成的;
所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;和/或根据生成所述第一安全参数所基于的网络标识,校验所述网络标识与所述用户设备请求进行上线业务的网络的网络标识是否一致;
所述处理单元,还用于若校验通过,根据所述第一证书中的所述第一安全密钥对所述第一安全参数进行认证,确定所述用户设备有效。
30.根据权利要求27~29中任一项所述的装置,其特征在于:
所述收发单元,还用于接收第二安全参数获取请求,所述第二安全参数获取请求包括以下信息中的一项或多项:所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识;
所述处理单元,还用于基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第二安全密钥中的一项或多项生成所述第二安全参数;
所述收发单元,还用于发送第二安全参数获取响应,所述第二安全参数获取响应包括所述第二安全参数和第二证书。
31.根据权利要求29或30所述的装置,其特征在于:
所述收发单元,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识;
所述收发单元,还用于转发所述网络认证结果通知。
32.一种网络认证装置,其特征在于,网络允许用户设备使用上线业务,和/或所述用户设备是有效的,所述装置包括:
收发单元,用于接收签约信息配置请求,所述签约信息配置请求包括以下信息中的一项或多项:用户设备的标识,生产商标识,第一证书,非公共网络NPN标识;
处理单元,用于根据生产商的根证书校验所述第一证书的正确性;和/或,校验所述NPN标识对应的NPN网络与所述用户设备请求上线的NPN网络是否一致;
所述收发单元,还用于若所述校验通过,发送签约信息配置响应,所述签约信息配置响应包括所述用户设备的签约信息。
33.根据权利要求32所述的装置,其特征在于:
所述收发单元,还用于发送第二认证请求,所述第二认证请求包括第四安全参数和/或第三证书,所述第四安全参数是基于所述用户设备的标识、所述生产商标识、所述NPN标识、所述网络标识、第三安全密钥中的一项或多项生成的;
所述收发单元,还用于接收第二认证请求响应,所述第二认证请求响应包括所述第一证书和/或第一安全参数;所述第一安全参数是基于所述用户设备的标识、所述生产商标识、所述第一安全密钥、所述网络标识、所述NPN标识中的一项或多项生成的;
所述处理单元,还用于根据生产商的根证书校验所述第一证书的正确性;
所述处理单元,还用于若校验正确,则根据所述第一证书中的所述第一安全密钥,校验所述第四安全参数。
34.根据权利要求32或33所述的装置,其特征在于:
所述收发单元,还用于接收网络认证结果通知,所述网络认证结果通知包括以下信息中的一项或多项:所述用户设备的标识,所述网络确认执行上线业务的指示,所述用户设备与所述网络的相互认证结果,所述NPN标识。
35.一种网络认证装置,其特征在于,所述装置包括处理器、存储器以及存储在存储器上并可在处理器上运行的计算机程序,当所述计算机程序被运行时,执行如权利要求1~17中任一项所述的方法。
36.一种网络认证系统,其特征在于,所述系统包括如权利要求18~22中任一项所述的网络认证装置、如权利要求23~26中任一项所述的网络认证装置、如权利要求27~31中任一项所述的网络认证装置、以及如权利要求32~34任一项所述的网络认证装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010389031.6A CN113709736B (zh) | 2020-05-09 | 2020-05-09 | 网络认证方法及装置、系统 |
| PCT/CN2021/090106 WO2021227866A1 (zh) | 2020-05-09 | 2021-04-27 | 网络认证方法及装置、系统 |
| EP21804149.9A EP4142328A4 (en) | 2020-05-09 | 2021-04-27 | NETWORK AUTHENTICATION METHOD AND APPARATUS, AND SYSTEM |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010389031.6A CN113709736B (zh) | 2020-05-09 | 2020-05-09 | 网络认证方法及装置、系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113709736A true CN113709736A (zh) | 2021-11-26 |
| CN113709736B CN113709736B (zh) | 2022-12-13 |
Family
ID=78526416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010389031.6A Active CN113709736B (zh) | 2020-05-09 | 2020-05-09 | 网络认证方法及装置、系统 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP4142328A4 (zh) |
| CN (1) | CN113709736B (zh) |
| WO (1) | WO2021227866A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023124680A1 (zh) * | 2021-12-31 | 2023-07-06 | 华为技术有限公司 | 一种签约管理方法及相关装置 |
| WO2024000134A1 (zh) * | 2022-06-27 | 2024-01-04 | 北京小米移动软件有限公司 | 验证方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109428945A (zh) * | 2017-08-29 | 2019-03-05 | 华为技术有限公司 | 数据传输方法、设备及系统 |
| US20190373449A1 (en) * | 2016-11-11 | 2019-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for provisioning of multiple devices with mobile subscriber identification information |
| US20190387394A1 (en) * | 2017-01-24 | 2019-12-19 | Tata Communications (Uk) Limited | Accessing a privately hosted application from a device connected to a wireless network |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109429214B (zh) * | 2017-07-17 | 2020-10-16 | 华为技术有限公司 | 业务会话建立方法、设备及系统 |
-
2020
- 2020-05-09 CN CN202010389031.6A patent/CN113709736B/zh active Active
-
2021
- 2021-04-27 WO PCT/CN2021/090106 patent/WO2021227866A1/zh unknown
- 2021-04-27 EP EP21804149.9A patent/EP4142328A4/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190373449A1 (en) * | 2016-11-11 | 2019-12-05 | At&T Intellectual Property I, L.P. | Method and apparatus for provisioning of multiple devices with mobile subscriber identification information |
| US20190387394A1 (en) * | 2017-01-24 | 2019-12-19 | Tata Communications (Uk) Limited | Accessing a privately hosted application from a device connected to a wireless network |
| CN109428945A (zh) * | 2017-08-29 | 2019-03-05 | 华为技术有限公司 | 数据传输方法、设备及系统 |
Non-Patent Citations (2)
| Title |
|---|
| CHINA TELECOM: "《SA WG2 Meeting #S2-136AH S2-2000452》", 8 January 2020 * |
| OPPO: "《SA WG2 Meeting #136 S2-2000318》", 7 January 2020 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023124680A1 (zh) * | 2021-12-31 | 2023-07-06 | 华为技术有限公司 | 一种签约管理方法及相关装置 |
| WO2024000134A1 (zh) * | 2022-06-27 | 2024-01-04 | 北京小米移动软件有限公司 | 验证方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4142328A4 (en) | 2023-09-27 |
| CN113709736B (zh) | 2022-12-13 |
| WO2021227866A1 (zh) | 2021-11-18 |
| EP4142328A1 (en) | 2023-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2020220865A1 (zh) | 网络功能服务的身份校验方法及相关装置 | |
| CN108683690B (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| CN110830925A (zh) | 一种用户群组的会话管理方法及装置 | |
| CN113132334B (zh) | 授权结果的确定方法及装置 | |
| CN114071452B (zh) | 用户签约数据的获取方法及装置 | |
| JP7272468B2 (ja) | Amfノード及びamfノードにおける方法 | |
| WO2021132096A1 (ja) | Amfノード及びその方法 | |
| CN113709736B (zh) | 网络认证方法及装置、系统 | |
| CN115699678A (zh) | 设备注销的方法、设备注册的方法、通信设备和云平台 | |
| CN113965334A (zh) | 在线签约方法、装置及系统 | |
| CN113508569A (zh) | 用于处理系统信息的方法和节点 | |
| CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
| CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
| CN116114315A (zh) | 无线通信的方法、终端设备和网络设备 | |
| CN117320002A (zh) | 通信方法及装置 | |
| CN115996378A (zh) | 鉴权方法及装置 | |
| CN115706997A (zh) | 授权验证的方法及装置 | |
| KR20230118151A (ko) | 목표 정보 획득 방법, 송신 방법, 장치, 장비 및 기억매체 | |
| CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
| CN117221884B (zh) | 基站系统信息管理方法及系统 | |
| WO2023147767A1 (zh) | 网络校验的方法和装置 | |
| CN115567899B (zh) | 一种智能电表的误差分析方法及装置 | |
| WO2023054194A1 (ja) | 第1のノード、第2のノード、第1のノードによる方法、及び第2のノードによる方法 | |
| JP7131721B2 (ja) | Amfノード及びその方法 | |
| CN113453311B (zh) | 封闭接入组信息处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |