CN114070597B - 一种专网跨网认证方法及装置 - Google Patents

Abstract

本发明公开了一种专网跨网认证方法及装置，涉及通信技术领域，用于在多个专网之间安全有效的进行用户身份认证，提高用户在不同网络之间进行快速认证的效率，提升用户业务体验，包括：在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求；在第二专网接收到电子设备发送的注册查询请求之后，通过区块链跨网认证网关平台，发送目标消息给第一专网；第一专网接收到目标消息之后，根据目标消息获取电子设备的订阅信息和身份注册信息，并验证电子设备的身份是否合法；在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证。

Description

一种专网跨网认证方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种专网跨网认证方法及装置。

背景技术

由于网络的数据安全性和隐私性要求，在工业园区、大型办公园、校园、商场等场景中需要部署独立的5G专网，专网内部网络与外部网络隔离，实现内部网络和数据的自主管理和维护。

但是由于专网与公共网络、专网与专网之间的完全隔离，当非本地注册的专网用户进入网络区域后，会面临无法获取网络服务，或无法高效快速的进行网络注册等问题。如公共网络用户进入工业园区时使用专网服务，或工业园区专网用户进入校园园区时使用校园网络等场景。因此在不同网络之间实现用户的快速认证效率较低，用户业务体验较差。

发明内容

本发明提供一种专网跨网认证方法及装置，用于在多个专网、公共网络之间安全有效的进行用户身份认证鉴权，提高用户在不同网络之间进行快速认证的效率，提升用户业务体验。

为达到上述目的，本发明采用如下技术方案：

第一方面，提供了一种专网跨网认证方法，该方法包括：在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求；第一专网和第二专网均为区块链跨网认证网关平台所对应的专网；在第二专网接收到电子设备发送的注册查询请求之后，通过区块链跨网认证网关平台，发送目标消息给第一专网；目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数；第一专网接收到目标消息之后，根据目标消息获取电子设备的订阅信息和身份注册信息，并验证电子设备的身份是否合法；在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证；响应消息与目标消息存在对应关系。

在一种可能的实现方式中，通过区块链跨网认证网关平台，发送目标消息给第一专网之前，方法还包括：第二专网从SUCI报文中解析得到SUCI类型参数和网络标识参数；SUCI报文为电子设备生成的内容。

在一种可能的实现方式中，通过区块链跨网认证网关平台，发送目标消息给第一专网，包括：第二专网发送目标消息给区块链跨网认证网关平台；区块链跨网认证网关平台根据目标消息验证第二专网的身份是否合法，并在第二专网的身份合法的情况下，将目标消息发送给第一专网。

在一种可能的实现方式中，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证，包括：第一专网发送响应消息给区块链跨网认证网关平台；在区块链跨网认证网关平台确定响应消息为目标消息所对应的消息的情况下，将第一消息存储至区块链，并将电子设备的身份合法性信息发送至第二专网；第二专网在接收到电子设备的身份合法性信息之后，为电子设备分配目标标识符，并确定目标标识符与电子设备标识的对应关系；第二专网在本地数据库中生成目标订阅信息，确定电子设备为本地合法用户，完成专网跨网认证。

在一种可能的实现方式中，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求，包括：若电子设备位于第二专网的服务范围，则监测目标广播信息；根据目标广播信息确定第二专网是否与电子设备匹配，并在第二专网与电子设备匹配度情况下，电子设备向第二专网发送注册查询请求。

在一种可能的实现方式中，第二专网在本地数据库中生成目标订阅信息，确定电子设备为本地合法用户，完成专网跨网认证之后，方法还包括：电子设备通过目标标识符，再次向第二专网发起网络注册请求；若第二专网通过目标标识符确定电子设备的身份合法时，为电子设备完成网络注册认证。

在一种可能的实现方式中，在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求之前，方法还包括：第一专网和第二专网均与区块链跨网认证网关平台构建互服务共识协议；互服务共识协议用于规定以下至少一项：服务电子设备数量、跨域认证服务业务标识、服务类型、切片能力信息；区块链跨网认证网关平台用于对多个专网进行管理，多个专网包括第一专网和第二专网。

第二方面，提供了一种专网跨网认证装置，该一种专网跨网认证装置包括：发送单元、获取单元和处理单元；发送单元，用于在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求；第一专网和第二专网均为区块链跨网认证网关平台所对应的专网；发送单元，还用于在第二专网接收到电子设备发送的注册查询请求之后，通过区块链跨网认证网关平台，发送目标消息给第一专网；目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数；获取单元，用于第一专网接收到目标消息之后，根据目标消息获取电子设备的订阅信息和身份注册信息；处理单元，用于验证电子设备的身份是否合法；发送单元，还用于在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证；响应消息与目标消息存在对应关系。

第三方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的一种专网跨网认证方法。

第四方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的一种专网跨网认证方法。

本发明提供一种专网跨网认证方法及装置，应用于电子设备在多个专网中进行跨网认证的场景中，在电子设备的初始服务网络为第一专网的情况下，若电子设备移动至第二专网的服务范围，则电子设备可以向第二专网发送注册查询请求，以请求接入第二专网。从而第二专网可以根据接收到的注册查询请求，通过区块链跨网认证网关平台，发送用户隐藏标识符SUCI类型参数和网络标识参数给第一专网。进一步的，第一专网在接收到区块链跨网认证网关平台发送的消息之后，可以获取电子设备在第一专网的订阅信息和身份注册信息，并验证电子设备的身份是否合法，以在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，从而完成电子设备在第一专网和第二专网之间的跨网认证。从而可以在多个专网、公共网络之间安全有效的进行用户身份认证鉴权，提高用户在不同网络之间进行快速认证的效率，提升用户业务体验。

附图说明

图1为本发明的实施例提供的一种专网跨网认证系统结构示意图一；

图2为本发明的实施例提供的一种专网跨网认证方法流程示意图一；

图3为本发明的实施例提供的一种专网跨网认证系统结构示意图二；

图4为本发明的实施例提供的一种专网跨网认证方法流程示意图二；

图5为本发明的实施例提供的一种SUCI格式示意图；

图6为本发明的实施例提供的一种专网跨网认证方法流程示意图三；

图7为本发明的实施例提供的一种专网跨网认证方法流程示意图四；

图8为本发明的实施例提供的一种专网跨网认证方法流程示意图五；

图9为本发明的实施例提供的一种专网跨网认证装置结构示意图；

图10为本发明的实施例提供的一种电子设备结构示意图一；

图11为本发明的实施例提供的一种电子设备结构示意图二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

在本发明的描述中，除非另有说明，“/”表示“或”的意思，例如，A/B可以表示A或B。本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。此外，“至少一个”“多个”是指两个或两个以上。“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

5G非公共网络(Non-public network，NPN)，有时也称为专用网络或者私有网络，提供5g网络向某些用户组织或组织组提供服务。5G非公共网络部署在比如特定的校园或工厂等。5G专网具有两大主要场景，第一大类NPN部署场景：独立非公用网络(独立部署)，在这个场景中，NPN被部署为一个独立的网络，所有网络功能实体都位于定义的场所(如工厂园区、校区等)与公共网络完全分开。5G NPN网络通过使用专用的NPN ID来实现完全独立。一般可以通过防火墙等方式连接到公共网络服务，或者NPN设备也可以直接签约公共网络来访问其服务(双重签约)。而且如果需要，可以利用可选连接访问NPN通过公共网络提供的服务。此外，NPN运营商可以与一个或多个公共用户签订漫游协议。网络运营商和可选连接也可用于此目的。漫游与公共网络的协议可能涉及技术限制。这可视于具体情况而定。第二类则是虚拟专网，该类型的专网不部署独立的网络基础设施，网络从接入侧到核心网网均由公共服务网络基础设施提供，一般通过网络端到端切片的方式实现专网的划分。本专利场景仅限独立专网一种模式。

当前5G电子设备基本注册流程为：

1、用户设备初始注册时，根据HN Public Key把SUPI加密成SUCI，并发送初始注册请求；

2、接入和移动性管理功能(Access and Mobility Management Function，AMF)转发SUCI给鉴权服务器功能(Authentication Server Function，AUSF)和统一数据管理(Unified Data Management，UDM)进行认证，并获取解密后的SUPI；

3、AMF根据SUPI生成一个5G-GUTI，并保存映射关系，用于下次注册或PDU会话请求，并通知用户设备注册完成；

4、下一次注册请求，用户设备使用全球唯一临时UE标识(Globally UniqueTemporary UE Identity，5G-GUTI)发送注册请求，AMF根据5G-GUTI找到SUPI，使用SUPI完成认证，AMF根据5G-GUTI找不到对应的SUPI，AMF再向用户设备请求SUCI，根据SUCI重新进行认证；

5、只有在成功激活NAS安全性后，AMF才能向用户设备发送新的5G-GUTI；

6、在从用户设备接收到“初始注册”或“移动性注册更新”或“定期注册更新”类型的注册请求消息时，AMF应该在注册过程中向用户设备发送新的5G-GUTI；

7、在接收到用户设备响应于寻呼消息而发送的服务请求消息时，AMF将向用户设备发送新的5G-GUTI。这个新的5G-GUTI应在当前的NAS信令连接被释放之前发送；

8、当用户设备处于注销状态时，AMF可以延迟向用户设备提供新的5G-GUTI，直到下一个NAS事务。

本发明实施例提供的一种专网跨网认证方法，可以适用于专网跨网认证系统。图1示出了该专网跨网认证系统的一种结构示意图。如图1所示，专网跨网认证系统20包括：第一专网21、第二专网22以及区块链跨网认证网关平台23，在实际应用过程中，专网跨网认证系统20还可以包括多个其他专网。第一专网21与区块链跨网认证网关平台23进行连接，第二专网22与区块链跨网认证网关平台23进行连接。第一专网21、第二专网22以及区块链跨网认证网关平台23之间可以采用有线方式连接，也可以采用无线方式连接，本发明实施例对此不作限定。

专网跨网认证系统20可以用于物联网，专网跨网认证系统20可以包括多个中央处理器(central processing unit，CPU)、多个内存、存储有多个操作系统的存储装置等硬件。

第一专网21和第二专网22为非公共网络(Non-public network，NPN)，有时也称为专用网络或者私有网络，部署在特定的校园或工厂等区域，用于向某些的用户或组织提供服务。

区块链跨网认证网关平台23可以用于物联网，用于与第一专网21、第二专网22，以及其他专网进行连接，从而获取多个专网的参数信息并对多个专网进行管理，控制电子设备进行专网跨网认证。

需要说明的，第一专网21、第二专网22以及区块链跨网认证网关平台23可以为相互独立的设备，也可以集成于同一设备中，本发明对此不作具体限定。

当第一专网21、第二专网22以及区块链跨网认证网关平台23集成于同一设备时，第一专网21、第二专网22以及区块链跨网认证网关平台23之间的通信方式为该设备内部模块之间的通信。这种情况下，二者之间的通信流程与“第一专网21、第二专网22以及区块链跨网认证网关平台23之间相互独立的情况下，二者之间的通信流程”相同。

在本发明提供的以下实施例中，本发明以第一专网21、第二专网22以及区块链跨网认证网关平台23相互独立设置为例进行说明。

下面结合附图对本发明实施例提供的一种专网跨网认证方法进行描述。

如图2所示，本发明实施例提供的一种专网跨网认证方法，应用于包括多个内存以及多个中央处理器CPU的终端，包括S201-S204：

S201、在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求。

其中，第一专网和第二专网均为区块链跨网认证网关平台所对应的专网。

作为一种可能的实现方式，电子设备在移动的过程中，存在从第一专网的覆盖区域移动至第二专网的覆盖区域的情况，因此电子设备会断开与第一专网的连接，并请求连接至第二专网。

作为一种可能的实现方式，电子设备当前为第一专网的签约用户，并订阅了跨网认证服务，用户设备在第二专网中使用第二专网内部提供的业务服务时，需要第一专网对电子设备的身份进行认证，确认用户设备是否为第一专网的合法用户，电子设备是否已订阅跨网认证服务。

需要说明的是，第一专网和第二专网均可以为5G专网，具有所有独立5G接入、传输和核心网网元，第一专网和第二专网具有互服务共识，能够为其他专网中注册的用户提供网络接入和业务服务能力。

作为一种可能的实现方式，第一专网和第二专网达成互服务共识协议，共识达成方式可以为线下方式，本申请不做限定。双方共识内容可以包括：规定可服务用户设备数量、跨域认证服务业务标识、服务类型、切片能力信息等内容；第一专网和第二专网之间传递的服务标识(service identity，S-ID)可以为字符串类型，也可以为数字组合。

其中，S-ID由每一个5G专网生成，格式为PLMN ID-NID-10位，每个5G专网可以生成多个服务标识用来区分不同类型的服务。

可以理解，电子设备为第一专网的签约用户，或电子设备的认证鉴权服务由第一专网对外提供。电子设备在第一专网中开户，并进行业务订阅，生成订阅信息，与用户身份信息一同存储在第一专网中的统一数据管理(Unified Data Management，UDM)网元中的存储模块中。用户通过第一专网中的业务系统进行开户和业务订阅，并由此业务系统将相应用户数据同步至网络内部网元。同时电子设备可以预配置或动态配置可服务网络名称。

S202、在第二专网接收到电子设备发送的注册查询请求之后，通过区块链跨网认证网关平台，发送目标消息给第一专网。

其中，目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数。

作为一种可能的实现方式，区块链跨网认证网关平台包括以下功能模块：接口功能模块，能够连接其他网络功能模块和区块链节点，实现接口和所有区块链节点之间连接；业务功能模块：执行跨网认证网关平台业务逻辑，与接口模块进行数据交互，对区块链账本进行读写操作，对账户权限和存储信息进行查询；账户管理模块：对用身份和权限进行管理，存储注册用户信息，为注册用户分配权限；区块链账本功能模块：区块链能力模块，执行区块链网络的所有功能和操作；跨网区块链认证平台可以由第三方部署、第一专网或第二专网部署。

作为一种可能的实现方式，区块链跨网认证网关平台还可以包括：平台管理节点：负责对区块链共享平台中的各普通节点进行管理；管理节点对平台网络中所有节点进行控制，并为每一个验证节点颁发证书和公钥、私钥，具有证书的节点才被该联盟链承认；负责链内外传递消息、运行智能合约和验证。5G专网节点：接入互认证服务联盟链的5G专网中区块链Peer节点，可以部署在各自专网业务平台，作为区块链验证节点，能够执行智能合约，安装区块链平台证书。其中，以上每个类型节点都可以为一个或多个。

S203、第一专网接收到目标消息之后，根据目标消息获取电子设备的订阅信息和身份注册信息，并验证电子设备的身份是否合法。

作为一种可能的实现方式，在第一专网中的UDM接收到目标消息，根据目标消息查看本地数据库用户设备(即电子设备)的订阅信息和身份注册信息，验证用户设备合法性，验证内容包括：用户设备订阅信息(用户设备是否已订阅5G专网1的网络服务)、用户设备身份合法性、计费策略、网络配置策略等内容。

作为一种可能的实现方式，第一专网和第二专网分别向区块链跨网认证网关平台账户管理模块进行注册，通过后获得相应的账户；注册信息包括网络PLMN ID、NID和S-ID等，并获取接口相关信息；业务功能模块记录专网标识列表：有效账户名称、S-ID、PLMN ID-NID等对应关系。

作为一种可能的实现方式，第一专网和第二专网分别部署区块链节点并安装区块链共享平台证书和秘钥，接入区块链互服务联盟链网络中。

作为一种可能的实现方式，第一专网和第二专网将跨网认证平台接口信息发送并配置在网络中UDM网元内，使UDM网元可以连接到区块链跨网认证网关平台，UDM网元根据相关信息开通与跨网认证平台的接口。

S204、在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证。

其中，响应消息与目标消息存在对应关系。

作为一种可能的实现方式，在用户设备身份合法且具有第二专网的订阅时，发送目标消息至区块链跨网认证网关平台中的跨网认证中转模块；若身份非法或没有业务订阅信息，则相应的非法响应消息发送至区块链跨网认证网关平台。

示例性的，图3为本发明实施例提供的一种专网跨网认证系统30，该专网跨网认证系统30包括第一专网31、第二专网32、区块链跨网认证网关平台33以及其他专网34，其中，第一专网31包括有业务系统区块链节点311、UDM312、AMF313、接入网314、电子设备315和内部号码数据池316；第二专网32包括有业务系统区块链节点321、UDM322、AMF323、接入网324、电子设备325和内部号码数据池326。

在一种设计中，为了得到SUCI类型参数和网络标识参数，如图4所示，在本发明实施例提供的一种专网跨网认证方法中，在上述S202中的“通过区块链跨网认证网关平台，发送目标消息给第一专网”之前，具体还可以包括下述S301：

S301、在第二专网接收到电子设备发送的注册查询请求之后，第二专网从SUCI报文中解析得到SUCI类型参数和网络标识参数。

其中，SUCI报文为电子设备生成的内容。

作为一种可能的实现方式，电子设备注册流程发送至第二专网中的接入和移动性管理功能(Access and Mobility Management Function，AMF)，AMF将发送注册查询请求至第二专网中的UDM。

作为一种可能的实现方式，第二专网中的UDM接受到异网注册查询请求后，需解析出SUCI报文中的SUCI类型参数和网络标识参数，若参数对应的结果为2，则为异网注册用户标识；若为0则为错误请求，若为1则为正常注册用户。然后通过接口发送至区块链跨网认证网关平台，发送的信息为原始认证请求报文中用户SUCI类型参数和网络标识参数。

需要说明的是，用户隐藏标识符(Subscription Concealed Identifier，SUCI)是包含隐藏用户身份标识(Subscription Permanent Identifier，SUPI)的保护隐私标识符；用户设备使用基于ECIES的保护方案和注册地网络的公共密钥生成一个SUCI，该方案在USIM注册期间安全地提供网络公钥。SUPI中只有MSIN部分根据注册网络标识进行了隐藏；如MCC/MNC仍以明文传输；组成SUCI的数据字段格式如图5所示，包括：SUCI类型、归属网络标识、路由标识、保护方案、归属网络提供的公钥ID、终端ID加密后的密文。

在一种设计中，为了通过区块链跨网认证网关平台，发送目标消息给第一专网，如图6所示，在本发明实施例提供的一种专网跨网认证方法中，上述S202中的“通过区块链跨网认证网关平台，发送目标消息给第一专网”具体可以包括下述S2021-S2022：

S2021、第二专网发送目标消息给区块链跨网认证网关平台。

作为一种可能的实现方式，第二专网先将目标消息发送给区块链跨网认证网关平台，以通过区块链跨网认证网关平台将目标消息发送给第一专网。

S2022、区块链跨网认证网关平台根据目标消息验证第二专网的身份是否合法，并在第二专网的身份合法的情况下，将目标消息发送给第一专网。

作为一种可能的实现方式，区块链跨网认证网关平台在接收到目标消息之后，先验证目标消息对应的源网络(即第二专网)身份合法性(是否为区块链平台合法用户)，通过验证后，为目标消息分配随机生成的请求编号A以用来作为相关响应匹配，该随机编号A只在收到请求时生成；同时查询专网标识列表，将请求发送至目标家庭网络标识网络中的UDM中。

作为一种可能的实现方式，在第二专网的身份合法的情况下，将目标消息发送给第一专网。

在一种设计中，为了通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证，如图7所示，本发明实施例提供的一种专网跨网认证方法，上述S204中的“通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证”具体可以包括下述S401-S404：

S401、第一专网发送响应消息给区块链跨网认证网关平台。

作为一种可能的实现方式，在第一专网接收到目标消息，并验证电子设备的身份为合法的情况下，第一专网发送响应消息给区块链跨网认证网关平台。

作为一种可能的实现方式，区块链跨网认证网关平台中的跨网认证中转模块匹配响应消息中的请求编号A，若能够匹配到该编号，则将此响应消息作为编号为A的请求的响应处理；若不能匹配到相关编号，则直接丢弃响应消息；之后，判定响应消息中用户设备鉴权结果，若非“000”，则向请求方第二专网中UDM回复用户设备合法相应；若为“000”，则向请求方第二专网中UDM回复用户设备非法相应。

S402、在区块链跨网认证网关平台确定响应消息为目标消息所对应的消息的情况下，将第一消息存储至区块链，并将电子设备的身份合法性信息发送至第二专网。

作为一种可能的实现方式，区块链跨网认证网关平台将认证结果发送至区块链账本模块进行上链存储，并同步到所有互服务联盟链区块链节点中。需存储内容主要包括：申请编码A、时间戳、用户设备SP ID、用户设备现服务方ID、用户设备身份鉴权结果(成功为0，失败为1)、网络策略信息(当失败时为NULL)、计费策略信息(失败时为NULL)等内容；完成上链后跨网认证中转模块访问区块链账本请求申请编码A为键的账本内容，并将用户设备身份鉴权结果反馈至第二专网中的UDM网元。

S403、第二专网在接收到电子设备的身份合法性信息之后，为电子设备分配目标标识符，并确定目标标识符与电子设备标识的对应关系。

作为一种可能的实现方式，第二专网生成临时SUPI号码存储在内部号码数据池中，生成规则和分配规则均可由第二专网规定。SUPI是由15位十进制数组成的5G网络唯一用户标识，其中前三位为国家代码MCC,中间2-3位为运营商代码MNC，剩余9-10位为移动用户标识码MSIN共同来代表用户和运营商；SUPI就等同于唯一标识ME的IMSI，也是一个15位的字符串。当SUPI类型是NSI时，归属网络标识符由字符串组成，该字符串具有可变长度，代表IETF RFC中指定的域名。

作为一种可能的实现方式，第二专网中UDM收到消息后，若用户设备为非法则直接忽略用户注册请求；若用户设备合法则，从内部号码池中的SUPI’列表中提取SUPI’号码分配给用户设备用户，并记录用户SUCI-分配SUPI对应关系，主要存储内容包括：时间戳、用户SUCI、分配SUPI’、计费策略、切片策略；其中，SUPI号码的分配规则可以自定义，如可以随机分配，或根据不同网络策略将SUPI号码分成不同的组，根据用户设备订阅信息为其分配不同的SUPI’组中的SUPI号码，SUPI’号码的个数和生成方式由第二专网自行决定，SUPI’构成满足目前规定格式即可。

作为一种可能的实现方式，第二专网中的UDM将响应信息发送至对应AMF中，AMF根据电子设备的SUPI’生成电子设备的5GGUTI，并记录SUPI’和5G-GUTI对应信息。

S404、第二专网在本地数据库中生成目标订阅信息，确定电子设备为本地合法用户，完成专网跨网认证。

作为一种可能的实现方式，第二专网在UDM数据库中生成用户订阅信息，将分配有暂时SUPI’的用户看做为本网合法用户对待，数据记录方式与原有方式相同。

在一种设计中，为了确定电子设备向第二专网发送注册查询请求的时机，如图8所示，本发明实施例提供的一种专网跨网认证方法，上述S201中的“若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求”具体可以包括下述S501-S502：

S501、若电子设备位于第二专网的服务范围，则监测目标广播信息。

作为一种可能的实现方式，第一专网和第二专网完成互服务共识后，第二专网内通过配置无线侧基站进行相关内容广播，目的在于使在第一专网注册的用户设备用户可以在第二专网中发现可服务网络并连接。广播内容包括：本网公共陆地移动网络标识(PublicLand Mobile Network identity，PLMN ID)NID列表，本列表包含所有可通过第二专网进行链接的服务网络，一般是第二专网本地网络；可支持的S-ID列表。

S502、根据目标广播信息确定第二专网是否与电子设备匹配，并在第二专网与电子设备匹配度情况下，电子设备向第二专网发送注册查询请求。

作为一种可能的实现方式，电子设备进入第二专网的服务范围，电子设备监测区域内广播信息，获取支持S-ID列表是否与本设备预配置S-ID列表匹配；只有匹配时电子设备才会在本区域网络中开启网络注册流程。

作为一种可能的实现方式，电子设备发起对第二专网的网络注册流程。其中电子设备的原始服务网络为第一专网，现服务网络为第二专网；此时电子设备生成新定义SUCI，当电子设备可连接S-ID超过1个时，由用户手动选择S-ID所标识的服务。

在一种设计中，为了实现电子设备通过目标标识符，再次向第二专网发起网络注册请求，本发明实施例提供的一种专网跨网认证方法，在上述S404之后具体还可以包括下述S601-S602：

S601、电子设备通过目标标识符，再次向第二专网发起网络注册请求。

作为一种可能的实现方式，当电子设备使用5G-GUTI再次在第二专网发起网络注册时，若AMF可以查询到电子设备的SUPI’则按照原有模式注册认证；若AMF已丢失电子设备的SUPI’和5G-GUTI的对应关系，则需通知电子设备重新发起基于SUCI的注册流程。

S602、若第二专网通过目标标识符确定电子设备的身份合法时，为电子设备完成网络注册认证。

作为一种可能的实现方式，当有其他网络加入互服务业务联盟时，即与第一专网或第二专网达成互服务共识，即其他网络中的注册用户能够享受第一专网或第二专网的服务。

在一种设计中，为了在第一专网和第二专网与区块链跨网认证网关平台构建互服务共识协议，本发明实施例提供的一种专网跨网认证方法，在上述S201之前具体还可以包括下述S701：

S701、第一专网和第二专网均与区块链跨网认证网关平台构建互服务共识协议。

其中，互服务共识协议用于规定以下至少一项：服务电子设备数量、跨域认证服务业务标识、服务类型、切片能力信息；区块链跨网认证网关平台用于对多个专网进行管理，多个专网包括第一专网和第二专网。

作为一种可能的实现方式，本发明目的在于增强5G专网服务能力，提供一种当专网内用户是他网用户(其他专网用户或公共网络用户)时，本地5G专网对该用户的身份认证和鉴权能力。同时，本方法通过代理网关的方式，不向服务方专网网络暴露用户本身SUPI信息，从而保证了用户数据的隐私性和安全性。利用区块链进行数据储存，通过区块链的方式对关键数据进行上链存储记录，保证了业务的可追溯性和过程可验证性。基于联盟链的方式还扩展了互服务业务的规模，为多方互服务共识提供简便可信的实现方案。

本发明提供一种专网跨网认证方法及装置，应用于电子设备在多个专网中进行跨网认证的场景中，在电子设备的初始服务网络为第一专网的情况下，若电子设备移动至第二专网的服务范围，则电子设备可以向第二专网发送注册查询请求，以请求接入第二专网。从而第二专网可以根据接收到的注册查询请求，通过区块链跨网认证网关平台，发送用户隐藏标识符SUCI类型参数和网络标识参数给第一专网。进一步的，第一专网在接收到区块链跨网认证网关平台发送的消息之后，可以获取电子设备在第一专网的订阅信息和身份注册信息，并验证电子设备的身份是否合法，以在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，从而完成电子设备在第一专网和第二专网之间的跨网认证。从而可以在多个专网、公共网络之间安全有效的进行用户身份认证鉴权，提高用户在不同网络之间进行快速认证的效率，提升用户业务体验。

上述主要从方法的角度对本发明实施例提供的方案进行了介绍。为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对一种专网跨网认证装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。可选的，本发明实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图9为本发明实施例提供的一种专网跨网认证装置的结构示意图。如图9所示，一种专网跨网认证装置40用于实现跨MEC系统下的MEP平台进行APP实例化迁移，提高APP实例化迁移、快速部署的效率，例如用于执行图2所示的一种专网跨网认证方法。该一种专网跨网认证装置40包括：发送单元401、获取单元402和处理单元403。

发送单元401，用于在电子设备的初始服务网络为第一专网的情况下，若电子设备位于第二专网的服务范围，则电子设备向第二专网发送注册查询请求；第一专网和第二专网均为区块链跨网认证网关平台所对应的专网。

发送单元401，还用于在第二专网接收到电子设备发送的注册查询请求之后，通过区块链跨网认证网关平台，发送目标消息给第一专网；目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数。

获取单元402，用于第一专网接收到目标消息之后，根据目标消息获取电子设备的订阅信息和身份注册信息。

处理单元403，用于验证电子设备的身份是否合法。

发送单元401，还用于在第一专网确定电子设备的身份合法时，通过区块链跨网认证网关平台，发送响应消息给第二专网，完成专网跨网认证；响应消息与目标消息存在对应关系。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，处理单元403，还用于第二专网从SUCI报文中解析得到SUCI类型参数和网络标识参数；SUCI报文为电子设备生成的内容。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，发送单元401，具体用于第二专网发送目标消息给区块链跨网认证网关平台。

处理单元403，还用于区块链跨网认证网关平台根据目标消息验证第二专网的身份是否合法。

发送单元401，还用于在第二专网的身份合法的情况下，将目标消息发送给第一专网。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，发送单元401，具体用于第一专网发送响应消息给区块链跨网认证网关平台。

处理单元403，还用于在区块链跨网认证网关平台确定响应消息为目标消息所对应的消息的情况下，将第一消息存储至区块链。

发送单元401，还用于将电子设备的身份合法性信息发送至第二专网。

处理单元403，还用于第二专网在接收到电子设备的身份合法性信息之后，为电子设备分配目标标识符，并确定目标标识符与电子设备标识的对应关系。

处理单元403，还用于第二专网在本地数据库中生成目标订阅信息，确定电子设备为本地合法用户，完成专网跨网认证。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，处理单元403，还用于若电子设备位于第二专网的服务范围，则监测目标广播信息。

处理单元403，还用于根据目标广播信息确定第二专网是否与电子设备匹配。

发送单元401，还用于在第二专网与电子设备匹配度情况下，电子设备向第二专网发送注册查询请求。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，发送单元401，还用于电子设备通过目标标识符，再次向第二专网发起网络注册请求。

处理单元403，还用于若第二专网通过目标标识符确定电子设备的身份合法时，为电子设备完成网络注册认证。

可选的，在本发明实施例提供的一种专网跨网认证装置40中，处理单元403，还用于第一专网和第二专网均与区块链跨网认证网关平台构建互服务共识协议；互服务共识协议用于规定以下至少一项：服务电子设备数量、跨域认证服务业务标识、服务类型、切片能力信息；区块链跨网认证网关平台用于对多个专网进行管理，多个专网包括第一专网和第二专网。

在采用硬件的形式实现上述集成的模块的功能的情况下，本发明实施例提供了上述实施例中所涉及的电子设备的另外一种可能的结构示意图。如图10所示，一种电子设备60，用于在流量受到攻击时，提高流量清洗和流量回注的效率，例如用于执行图2所示的一种专网跨网认证方法。该电子设备60包括处理器601，存储器602以及总线603。处理器601与存储器602之间可以通过总线603连接。

处理器601是通信装置的控制中心，可以是一个处理器，也可以是多个处理元件的统称。例如，处理器601可以是一个通用中央处理单元(central processing unit，CPU)，也可以是其他通用处理器等。其中，通用处理器可以是微处理器或者是任何常规的处理器等。

作为一种实施例，处理器601可以包括一个或多个CPU，例如图10中所示的CPU 0和CPU 1。

存储器602可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasable programmable read-only memory，EEPROM)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

作为一种可能的实现方式，存储器602可以独立于处理器601存在，存储器602可以通过总线603与处理器601相连接，用于存储指令或者程序代码。处理器601调用并执行存储器602中存储的指令或程序代码时，能够实现本发明实施例提供的一种专网跨网认证方法。

另一种可能的实现方式中，存储器602也可以和处理器601集成在一起。

总线603，可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外围设备互连(Peripheral Component Interconnect，PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

需要指出的是，图10示出的结构并不构成对该电子设备60的限定。除图10所示部件之外，该电子设备60可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

作为一个示例，结合图9，电子设备中的发送单元401、获取单元402和处理单元403实现的功能与图10中的处理器601的功能相同。

可选的，如图10所示，本发明实施例提供的电子设备60还可以包括通信接口604。

通信接口604，用于与其他设备通过通信网络连接。该通信网络可以是以太网，无线接入网，无线局域网(wireless local area networks，WLAN)等。通信接口604可以包括用于接收数据的接收单元，以及用于发送数据的发送单元。

在一种设计中，本发明实施例提供的电子设备中，通信接口还可以集成在处理器中。

图11示出了本发明实施例中电子设备的另一种硬件结构。如图11所示，电子设备70可以包括处理器701、通信接口702、存储器703以及总线704。处理器701与通信接口702、存储器703耦合。

处理器701的功能可以参考上述处理器601的描述。此外，处理器701还具备存储功能，可以参考上述存储器602的功能。

通信接口702用于为处理器701提供数据。该通信接口702可以是通信装置的内部接口，也可以是通信装置对外的接口(相当于通信接口604)。

需要指出的是，图11中示出的结构并不构成对电子设备70的限定，除图11所示部件之外，该电子设备70可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能单元的划分进行举例说明。在实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机执行该指令时，该计算机执行上述方法实施例所示的方法流程中的各个步骤。

本发明的实施例提供一种包含指令的计算机程序产品，当指令在计算机上运行时，使得计算机执行上述方法实施例中的一种专网跨网认证方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘。随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的人以合适的组合、或者本领域数值的任何其他形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本发明实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

由于本发明的实施例中的电子设备、计算机可读存储介质、计算机程序产品可以应用于上述方法，因此，其所能获得的技术效果也可参考上述方法实施例，本发明实施例在此不再赘述。

以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何在本发明揭露的技术范围内的变化或替换，都应涵盖在本发明的保护范围之内。

Claims (14)

1.一种专网跨网认证方法，其特征在于，所述方法包括：

在电子设备的初始服务网络为第一专网的情况下，若所述电子设备位于第二专网的服务范围，则所述电子设备向所述第二专网发送注册查询请求；所述第一专网和所述第二专网均为区块链跨网认证网关平台所对应的专网；

在所述第二专网接收到所述电子设备发送的所述注册查询请求之后，通过所述区块链跨网认证网关平台，发送目标消息给所述第一专网；所述目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数；

所述第一专网接收到所述目标消息之后，根据所述目标消息获取所述电子设备的订阅信息和身份注册信息，并验证所述电子设备的身份是否合法；

在所述第一专网确定所述电子设备的身份合法时，通过所述区块链跨网认证网关平台，发送响应消息给所述第二专网，完成专网跨网认证；所述响应消息与所述目标消息存在对应关系；

所述通过所述区块链跨网认证网关平台，发送响应消息给所述第二专网，完成专网跨网认证，包括：

所述第一专网发送响应消息给所述区块链跨网认证网关平台；

在所述区块链跨网认证网关平台确定所述响应消息为所述目标消息所对应的消息的情况下，将第一消息存储至区块链，并将所述电子设备的身份合法性信息发送至所述第二专网；

所述第二专网在接收到所述电子设备的身份合法性信息之后，为所述电子设备分配目标标识符，并确定所述目标标识符与电子设备标识的对应关系；

所述第二专网在本地数据库中生成目标订阅信息，确定所述电子设备为本地合法用户，完成专网跨网认证。

2.根据权利要求1所述的方法，其特征在于，所述通过所述区块链跨网认证网关平台，发送目标消息给所述第一专网之前，所述方法还包括：

所述第二专网从SUCI报文中解析得到所述SUCI类型参数和网络标识参数；所述SUCI报文为所述电子设备生成的内容。

3.根据权利要求1所述的方法，其特征在于，所述通过所述区块链跨网认证网关平台，发送目标消息给所述第一专网，包括：

所述第二专网发送目标消息给所述区块链跨网认证网关平台；

所述区块链跨网认证网关平台根据所述目标消息验证所述第二专网的身份是否合法，并在所述第二专网的身份合法的情况下，将所述目标消息发送给所述第一专网。

4.根据权利要求1-3中任一项所述的方法，其特征在于，所述若所述电子设备位于第二专网的服务范围，则所述电子设备向所述第二专网发送注册查询请求，包括：

若所述电子设备位于所述第二专网的服务范围，则监测目标广播信息；

根据所述目标广播信息确定所述第二专网是否与所述电子设备匹配，并在所述第二专网与所述电子设备匹配度情况下，所述电子设备向所述第二专网发送注册查询请求。

5.根据权利要求1所述的方法，其特征在于，所述第二专网在本地数据库中生成目标订阅信息，确定所述电子设备为本地合法用户，完成专网跨网认证之后，所述方法还包括：

所述电子设备通过所述目标标识符，再次向所述第二专网发起网络注册请求；

若所述第二专网通过所述目标标识符确定所述电子设备的身份合法时，为所述电子设备完成网络注册认证。

6.根据权利要求1所述的方法，其特征在于，所述在电子设备的初始服务网络为第一专网的情况下，若所述电子设备位于第二专网的服务范围，则所述电子设备向所述第二专网发送注册查询请求之前，所述方法还包括：

所述第一专网和所述第二专网均与所述区块链跨网认证网关平台构建互服务共识协议；所述互服务共识协议用于规定以下至少一项：服务电子设备数量、跨域认证服务业务标识、服务类型、切片能力信息；所述区块链跨网认证网关平台用于对多个专网进行管理，所述多个专网包括所述第一专网和所述第二专网。

7.一种专网跨网认证装置，其特征在于，包括：发送单元、获取单元和处理单元；

所述发送单元，用于在电子设备的初始服务网络为第一专网的情况下，若所述电子设备位于第二专网的服务范围，则所述电子设备向所述第二专网发送注册查询请求；所述第一专网和所述第二专网均为区块链跨网认证网关平台所对应的专网；

所述发送单元，还用于在所述第二专网接收到所述电子设备发送的所述注册查询请求之后，通过所述区块链跨网认证网关平台，发送目标消息给所述第一专网；所述目标消息包括以下至少一项：用户隐藏标识符SUCI类型参数、网络标识参数；

所述获取单元，用于所述第一专网接收到所述目标消息之后，根据所述目标消息获取所述电子设备的订阅信息和身份注册信息；

所述处理单元，用于验证所述电子设备的身份是否合法；

所述发送单元，还用于在所述第一专网确定所述电子设备的身份合法时，通过所述区块链跨网认证网关平台，发送响应消息给所述第二专网，完成专网跨网认证；所述响应消息与所述目标消息存在对应关系；

所述发送单元，具体用于所述第一专网发送响应消息给所述区块链跨网认证网关平台；

所述处理单元，还用于在所述区块链跨网认证网关平台确定所述响应消息为所述目标消息所对应的消息的情况下，将第一消息存储至区块链；

所述发送单元，还用于将所述电子设备的身份合法性信息发送至所述第二专网；

所述处理单元，还用于所述第二专网在接收到所述电子设备的身份合法性信息之后，为所述电子设备分配目标标识符，并确定所述目标标识符与电子设备标识的对应关系；

所述处理单元，还用于所述第二专网在本地数据库中生成目标订阅信息，确定所述电子设备为本地合法用户，完成专网跨网认证。

8.根据权利要求7所述的专网跨网认证装置，其特征在于，所述处理单元，还用于所述第二专网从SUCI报文中解析得到所述SUCI类型参数和网络标识参数；所述SUCI报文为所述电子设备生成的内容。

9.根据权利要求7所述的专网跨网认证装置，其特征在于，所述发送单元，具体用于所述第二专网发送目标消息给所述区块链跨网认证网关平台；

所述处理单元，还用于所述区块链跨网认证网关平台根据所述目标消息验证所述第二专网的身份是否合法；

所述发送单元，还用于在所述第二专网的身份合法的情况下，将所述目标消息发送给所述第一专网。

10.根据权利要求7-9中任一项所述的专网跨网认证装置，其特征在于，所述处理单元，还用于若所述电子设备位于所述第二专网的服务范围，则监测目标广播信息；

所述处理单元，还用于根据所述目标广播信息确定所述第二专网是否与所述电子设备匹配；

所述发送单元，还用于在所述第二专网与所述电子设备匹配度情况下，所述电子设备向所述第二专网发送注册查询请求。

11.根据权利要求7所述的专网跨网认证装置，其特征在于，所述发送单元，还用于所述电子设备通过所述目标标识符，再次向所述第二专网发起网络注册请求；

所述处理单元，还用于若所述第二专网通过所述目标标识符确定所述电子设备的身份合法时，为所述电子设备完成网络注册认证。

12.根据权利要求7所述的专网跨网认证装置，其特征在于，所述处理单元，还用于所述第一专网和所述第二专网均与所述区块链跨网认证网关平台构建互服务共识协议；所述互服务共识协议用于规定以下至少一项：服务电子设备数量、跨域认证服务业务标识、服务类型、切片能力信息；所述区块链跨网认证网关平台用于对多个专网进行管理，所述多个专网包括所述第一专网和所述第二专网。

13.一种存储一个或多个程序的计算机可读存储介质，其特征在于，所述一个或多个程序包括指令，所述指令当被计算机执行时使所述计算机执行如权利要求1-6中任一项所述的一种专网跨网认证方法。

14.一种电子设备，其特征在于，包括：处理器以及存储器；其中，所述存储器用于存储一个或多个程序，所述一个或多个程序包括计算机执行指令，当所述电子设备运行时，处理器执行所述存储器存储的所述计算机执行指令，以使所述电子设备执行权利要求1-6中任一项所述的一种专网跨网认证方法。

Images