CN114158028A - 数据网络鉴权方式适配方法、装置及可读存储介质 - Google Patents
数据网络鉴权方式适配方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN114158028A CN114158028A CN202010929824.2A CN202010929824A CN114158028A CN 114158028 A CN114158028 A CN 114158028A CN 202010929824 A CN202010929824 A CN 202010929824A CN 114158028 A CN114158028 A CN 114158028A
- Authority
- CN
- China
- Prior art keywords
- authentication
- request message
- data network
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 154
- 230000008569 process Effects 0.000 claims abstract description 42
- 230000006978 adaptation Effects 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 claims description 130
- 238000012545 processing Methods 0.000 claims description 31
- 230000011664 signaling Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 11
- 238000007726 management method Methods 0.000 claims description 10
- 230000003044 adaptive effect Effects 0.000 claims description 9
- 238000013523 data management Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 5
- 230000004048 modification Effects 0.000 abstract description 5
- 238000012986 modification Methods 0.000 abstract description 5
- 101100477784 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SMF2 gene Proteins 0.000 description 19
- 101150102131 smf-1 gene Proteins 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000012559 user support system Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
- H04W8/24—Transfer of terminal data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供一种数据网络鉴权方式适配方法、装置及可读存储介质,属于通信技术领域。该方法包括:在会话建立过程中从终端UE接收所述UE的鉴权能力;根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;确定会话建立过程中进行数据网络鉴权的鉴权方式;根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。采用本申请实施例的方法,增强5G网络和5G UE能力适配多种数据网络鉴权方式,降低5G网络提供数据网络鉴权对UE上层实现的要求和对垂直行业的鉴权服务器的改造要求,也可以灵活适配鉴权服务器的多种鉴权方式需求。
Description
技术领域
本申请实施例涉及通信技术领域,具体涉及一种数据网络鉴权方式适配方法、装置及可读存储介质。
背景技术
移动运营商针对同一垂直行业客户以前提供4G网络覆盖,在提供5G网络覆盖后,数据网络鉴权算法发生了改变,要求其验证、授权和记账服务(AuthenticationAuthorization Accounting server,AAA-server)需要升级,才能为其注册的5G用户提供数据网络鉴权。
此外,可扩展身份验证协议(Extensible Authentication Protocol,EAP)鉴权对UE上层要求较高,需要有EAP鉴权流程、EAP消息处理等逻辑,目前UE支持情况不理想。
发明内容
本申请实施例的目的是提供一种数据网络鉴权方式适配方法、装置及可读存储介质,能够解决UE对现有数据网络鉴权方式支持不理想的问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供一种数据网络鉴权方式适配方法,应用于SMF,所述方法包括:
在会话建立过程中从终端UE接收所述UE的鉴权能力;
根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
确定会话建立过程中进行数据网络鉴权的鉴权方式;
根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。
可选地,所述方法还包括:
从所述鉴权服务器接收所述第一请求消息的响应消息,并根据所述第一请求消息的响应消息进行后续处理。
可选地,在会话建立过程中从UE接收所述UE的鉴权能力,包括:
通过接入和移动性管理功能AMF从所述UE接收第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,向所述UE发送用于要求UE发送鉴权信息的第三请求消息,并从所述UE接收响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息;
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述确定会话建立过程中进行数据网络鉴权的鉴权方式,包括:
根据所述第二请求消息和/或用户的签约数据确定所述会话建立过程中进行数据网络鉴权的鉴权方式。
可选地,所述方法还包括:
在会话建立过程中从所述UE接收所述鉴权信息时,接收会话信息,所述会话信息包括所述UE请求的切片的信息和/或数据网络名称DNN;
从统一数据管理UDM获取所述用户的签约数据;
根据所述会话信息和所述用户签约数据确定对所述UE进行鉴权的鉴权服务器。
可选地,所述方法还包括:
通过配置或者接口消息获取所述鉴权服务器的鉴权能力。
可选地,不同的所述鉴权方式采用同一接口协议的不同的所述第一请求消息;
或者,不同的所述鉴权方式采用相同的所述第一请求消息;
或者,不同的所述鉴权方式采用不同的接口协议。
可选地,所述根据所述第一请求消息的响应消息进行后续处理包括:
从所述鉴权服务器接收第二响应消息,所述第二响应消息指示不支持接口协议或者所述第一请求消息;
根据所述UE的鉴权能力确定是否重新发送所述第一请求消息,以请求其他鉴权方式;
或者,
从所述鉴权服务器接收第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
可选地,所述方法还包括:
若所述UE没有其他鉴权能力或者所述鉴权服务器不支持其他鉴权方式,则向所述UE发送会话建立拒绝消息。
第二方面,本申请实施例提供一种数据网络鉴权方式适配方法,应用于鉴权服务器,所述方法包括:
从SMF接收与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息;
判断是否支持鉴权方式;
根据判断结果,返回所述第一请求消息的响应消息。
可选地,所述方法还包括:
通过所述SMF与所述鉴权服务器之间的接口协议或者所述第一请求消息区分所述鉴权方式。
可选地,所述根据判断结果,返回响应所述第一请求消息的响应消息,包括:
若判断不支持所述鉴权方式,则向所述SMF发送第二响应消息,所述第二响应消息指示不支持接口协议或者所述第一请求消息;
若判断支持所述鉴权方式,则进行鉴权,并向所述SMF发送第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
第三方面,本申请实施例提供一种数据网络鉴权方式适配方法,应用于UE,所述方法包括:
在会话建立过程中向SMF发送所述UE的鉴权能力。
可选地,所述在会话建立过程中向SMF发送所述UE的鉴权能力,包括:
通过AMF向所述SMF发送第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,从所述SMF接收用于要求UE发送鉴权信息的第三请求消息,并向所述SMF发送响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述方法还包括:
通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,所述信令消息加密根据用户签约开启。
第四方面,本申请实施例提供一种数据网络鉴权方式适配装置,应用于SMF,所述装置包括:
第一接收模块,用于在会话建立过程中从终端UE接收所述UE的鉴权能力;
第一确定模块,用于根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
第二确定模块,用于确定会话建立过程中进行数据网络鉴权的鉴权方式;
第一发送模块,用于根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。
可选地,所述装置还包括:
第二接收模块,用于从所述鉴权服务器接收响应所述第一请求消息的响应消息;
第一处理模块,用于根据所述第一请求消息的响应消息进行后续处理。
可选地,所述第一确定模块进一步用于:
通过接入和移动性管理功能AMF从所述UE接收第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,向所述UE发送用于要求UE发送鉴权信息的第三请求消息,并从所述UE接收响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息;
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述第二确定模块进一步用于:
根据所述第二请求消息和/或用户的签约数据确定所述会话建立过程中进行所述数据网络鉴权的鉴权方式。
可选地,所述装置还包括:
第三接收模块,用于在会话建立过程中从所述UE接收鉴权信息时,接收会话信息,所述会话信息包括所述UE请求的切片的信息和/或DNN;
第一获取模块,用于从UDM获取所述用户的签约数据;
第三确定模块,用于根据会话信息和用户签约数据确定对所述UE进行鉴权的鉴权服务器。
可选地,所述装置还包括:
第二获取模块,用于通过配置或者接口消息获取所述鉴权服务器的鉴权能力。
可选地,不同的所述鉴权方式采用同一接口协议的不同的所述第一请求消息;
或者,不同的所述鉴权方式采用相同的所述第一请求消息;
或者,不同的所述鉴权方式采用不同的接口协议。
可选地,所述第三处理模块进一步地用于:
从所述鉴权服务器接收第二鉴权响应消息,所述第二鉴权响应消息指示不支持接口协议或者鉴权请求消息;
根据所述UE的鉴权能力确定是否重新向所述鉴权服务器发起第四请求消息;
或者,
从所述鉴权服务器接收第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
可选地,所述装置还包括:
第二发送模块,用于若所述UE没有其他鉴权能力或者所述鉴权服务器不支持其他鉴权方式,则向所述UE发送会话建立拒绝消息。
第五方面,本申请实施例提供一种数据网络鉴权方式适配装置,应用于鉴权服务器,所述装置包括:
第四接收模块,用于从SMF接收与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息;
判断模块,用于判断是否支持鉴权方式;
第四处理模块,用于根据判断结果,返回所述第一请求消息的响应消息。
可选地,所述装置还包括:
区分模块,用于通过所述SMF与所述鉴权服务器之间的接口协议或者所述第一请求消息区分所述鉴权方式。
可选地,所述第二处理模块进一步用于:
若判断不支持所述鉴权方式,则向所述SMF发送第二响应消息,所述第二响应消息指示不支持接口协议或者所述鉴权请求消息;
若判断支持所述鉴权方式,则进行鉴权,并向所述SMF发送第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
第六方面,本申请实施例提供一种数据网络鉴权方式适配装置,应用于UE,所述装置包括:
第三发送模块,用于在会话建立过程中向SMF发送所述UE的鉴权能力。
可选地,所述第三发送模块进一步用于:
通过AMF向所述SMF发送第二立请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,从所述SMF接收用于要求UE发送鉴权信息的第三请求消息,并向所述SMF发送响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述装置还包括:
加密模块,用于通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,所述信令消息加密根据用户签约开启。
第七方面,本申请实施例提供一种SMF实体,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述数据网络鉴权方式适配方法的步骤。
第八方面,本申请实施例提供一种鉴权服务器,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第二方面所述数据网络鉴权方式适配方法的步骤。
第九方面,本申请实施例提供一种UE,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第三方面所述数据网络鉴权方式适配方法的步骤。
第十方面,本申请实施例提供一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述数据网络鉴权方式适配方法的步骤,或者,如第二方面所述数据网络鉴权方式适配方法的步骤,或者,如第三方面所述数据网络鉴权方式适配方法的步骤。
本申请实施例中,SMF确定会话建立过程中进行数据网络鉴权的鉴权方式,并根据鉴权方式向鉴权服务器发送鉴权请求,该鉴权请求携带用户的鉴权信息。增强5G网络和5GUE能力适配多种数据网络鉴权方式,降低5G网络提供数据网络鉴权对UE上层实现的要求和对垂直行业鉴权服务器的改造要求,也可以灵活适配鉴权服务器的多种鉴权方式需求。
附图说明
图1为现有5G与数据网络互通的架构示意图;
图2为本申请实施例提供的数据网络鉴权方式适配方法流程示意图之一;
图3为本申请实施例提供的数据网络鉴权方式适配方法流程示意图之二;
图4为本申请实施例提供的数据网络鉴权方式适配方法流程示意图之三;
图5a为本申请实施例提供的应用场景示意图之一;
图5b为本申请实施例提供的应用场景示意图之二;
图5c为本申请实施例提供的应用场景示意图之三;
图6为本申请实施例提供的数据网络鉴权方式适配装置结构示意图之一;
图7为本申请实施例提供的数据网络鉴权方式适配装置结构示意图之二;
图8为本申请实施例提供的数据网络鉴权方式适配装置结构示意图之三;
图9为本申请实施例提供的SMF实体的结构示意图;
图10为本申请实施例提供的鉴权服务器的结构示意图;
图11为本申请实施例提供的UE的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的数据网络鉴权方式适配方法进行详细地说明。
本文所描述的技术不限于第五代移动通信(5th-generation,5G)系统以及后续演进通信系统,以及不限于LTE/LTE的演进(LTE-Advanced,LTE-A)系统,并且也可用于各种无线通信系统,诸如码分多址(Code Division Multiple Access,CDMA)、时分多址(TimeDivision Multiple Access,TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-carrier Frequency-Division Multiple Access,SC-FDMA)和其他系统。
术语“系统”和“网络”常被可互换地使用。CDMA系统可实现诸如CDMA2000、通用地面无线电接入(Universal Terrestrial Radio Access,UTRA)等无线电技术。UTRA包括宽带CDMA(Wideband Code Division Multiple Access,WCDMA)和其他CDMA变体。TDMA系统可实现诸如全球移动通信系统(Global System for Mobile Communication,GSM)之类的无线电技术。OFDMA系统可实现诸如超移动宽带(Ultra Mobile Broadband,UMB)、演进型UTRA((Evolution-UTRA,E-UTRA))、IEEE 802.11((Wi-Fi))、IEEE802.16((WiMAX))、IEEE802.20、Flash-OFDM等无线电技术。UTRA和E-UTRA是通用移动电信系统(Universal MobileTelecommunications System,UMTS)的部分。LTE和更高级的LTE(如LTE-A)是使用E-UTRA的新UMTS版本。UTRA、E-UTRA、UMTS、LTE、LTE-A以及GSM在来自名为“第三代伙伴项目”(3rdGeneration Partnership Project,3GPP)的组织的文献中描述。CDMA2000和UMB在来自名为“第三代伙伴项目2”(3GPP2)的组织的文献中描述。本文所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。
为更好理解本申请实施例的方案,首先对以下技术内容进行介绍:
(一)5G与数据网络互通
5G运营商通过5G网络定义的切片和NPN特性为垂直行业客户提供专属、差异化和质量保证的专网服务。
垂直行业客户在数据网络(Data Network,DN)部署注册服务器、应用服务器为注册应用的用户提供应用服务,部署鉴权服务器对用户进行数据网络鉴权。如图1所示,DN-AAAserver位于外部数据网络,对使用数据业务的5G用户进行二次鉴权。
(二)5G和4G数据网络鉴权的差异
考虑5G与4G在安全要求、会话管理方面的差异,以及算法灵活性,5G网络对于数据网络鉴权特性进行了一些修改:
(1)算法改变:口令验证协议(Password Authentication Protocol,PAP)鉴权/挑战握手认证协议(Challenge Handshake Authentication Protocol,CHAP)鉴权变为EAP鉴权,即PAP/CHAP=》EAP鉴权;
(2)鉴权流程改变:一次提交用户名/密码校验=》多次交互、AAA发起请求;
(3)验证信息安全:对IE加密=》应用层保证安全;
(4)附着流程建立默认承载时鉴权=》协议数据单元(Protocol Data Unit,PDU)会话建立时才进行鉴权;
(5)支持重鉴权:PDU会话建立后的鉴权。
参见图2,本申请实施例提供一种数据网络鉴权方式适配方法,应用于会话管理功能(Session Management Function,SMF),该方法包括:
步骤201:在会话建立过程中从UE接收UE的鉴权能力;
在本申请实施例中,由SMF确定数据网络鉴权的鉴权方式。在会话建立过程中,UE向SMF上报自身的鉴权能力,从而让SMF获知UE具备的鉴权能力。
在一些实施方式中,从UE接收该UE的鉴权能力具体包括:
通过接入和移动性管理功能(Access and Mobility Management Function,AMF)从UE接收第二请求消息,可选地,该第二请求消息可以是会话建立请求消息,本申请实施例对此不做具体限定,该第二请求消息中包括鉴权信息,该鉴权信息指示UE的鉴权能力,该鉴权信息包括:用户进行数据鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
在一些实施方式中,从UE接收该UE的鉴权能力具体包括:
SMF向UE发送用于要求UE发送鉴权信息的第三请求消息,并从UE接收响应第三请求消息的第一响应消息,该第一响应消息中包括所述鉴权信息,该鉴权信息包括:用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息;
在本申请实施例中,通过鉴权信息,网络可以获知UE的鉴权能力。鉴权信息可以是一个或多个,例如UE携带一个鉴权信息,包含数据网络对用户鉴权的标识(ID),表示用户支持EAP鉴权;又例如UE携带一个鉴权信息,包含数据网络对用户鉴权的用户名和密码,表示用户支持PAP或CHAP鉴权。又例如UE同时携带上述鉴权信息,表示用户支持上述几种鉴权方式。
步骤202:根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
在本申请实施例中,SMF收到UE的会话建立请求,获取用户的会话签约数据。SMF根据会话签约数据确定用户请求的会话相关的数据网络是否需要进行数据网络鉴权,以及用户是否未鉴权,如是,决定发起数据网络鉴权。
在一些实施方式中,从统一数据管理(Unified Data Management,UDM)获取所述用户的签约数据。
在一些实施方式中,在会话建立过程中从UE接收鉴权信息时,接收会话信息,该会话信息包括UE请求的切片、数据网络名称(Data Network Name,DNN)等,即在从UE接收会话建立请求消息中除了携带鉴权信息以外,还携带会话信息(DNN、切片、会话类型等)。
进一步地,在一些实施方式中,根据上述会话信息和用户签约数据确定对UE进行鉴权的鉴权服务器(也可简称为AAA-server或者DN-AAA),SMF可以根据UE请求的切片、DNN、UE的鉴权能力等信息映射出对UE进行数据网络鉴权的AAA-server。
例如:用户的签约数据中有用户签约了哪些DNN,如DNN1、DNN2。。。等,其中哪些DNN需要进行数据网络鉴权,签约数据中还可以写入进行数据网络鉴权的鉴权服务器的标识。UE发起会话建立请求中会携带会话信息,其中会有该会话对应DNN,通过DNN可以映射出鉴权服务器。
进一步地,SMF可以通过配置或通过接口消息确定AAA-server的鉴权能力,通过与AAA-server的连接确定通过信令面还是用户面触发鉴权流程。
步骤203:确定会话建立过程中进行数据网络鉴权的鉴权方式;
在本申请实施例中,SMF根据UE和AAA-server的鉴权能力确定鉴权方式,本申请实施例对具体的鉴权方式不做限定,鉴权方式可以是EAP、PAP/CHAP或其他方式。
步骤204:根据鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,该第一请求消息携带用户的鉴权信息。
在本申请实施例中,在确定了鉴权方式之后,SMF向AAA-server发送与数据网络鉴权相关的第一请求消息,该第一请求消息携带用户的鉴权信息,可选地,该第一请求消息可以被称为鉴权请求消息,或者也可以被称为其他名称的消息,本申请实施例对第一请求消息的名称不做具体限定。
在一些实施方式中,不同的鉴权方式采用同一接口协议的不同的第一请求消息;或者,不同的鉴权方式采用相同的第一请求消息;或者,不同的鉴权方式采用不同的接口协议。该接口协议可以是RADIUS协议或者Diameter协议。
具体地,如请求PAP/CHAP鉴权,可以在鉴权请求中向AAA-server提交用户名和密码。如请求EAP鉴权,可以在鉴权请求中向AAA-server提交用户的鉴权ID。
在一些实施方式中,本方法还包括:从鉴权服务器接收第一请求消息的响应消息,并根据该第一请求消息的响应消息进行后续处理。
在本申请实施例中,后续处理指的是AAA-server接收到鉴权请求后会判断是否支持该鉴权方式,并根据判断结果向SMF返回不同响应,SMF基于收到的响应进行相应处理。
在一些实施方式中,根据第一请求消息的响应消息进行后续处理包括:
从鉴权服务器接收第二响应消息,该第二响应消息指示不支持接口协议或者第一请求消息;
根据所述UE的鉴权能力确定是否重新向所述鉴权服务器发起第四请求消息;
在本申请实施例中,如响应中指示不支持该协议或该消息,SMF根据UE能力确定是否重新发起鉴权请求,请求另一种鉴权方式。
进一步地,若UE没有其他鉴权能力或者AAA-server支持其他鉴权方式,则向UE发送会话建立拒绝消息。例如:UE仅支持EAP鉴权能力,而不支持除EAP以外的其他鉴权能力,或者是AAA-server支持除EAP以外的其他鉴权方式。
在一些实施方式中,根据第一请求消息的响应消息进行后续处理包括:
从所述鉴权服务器接收第三响应消息,该第三响应消息中包括鉴权结果或者与鉴权相关的消息。
具体地:
1)如响应中包含鉴权结果,且为成功,向UE发送会话建立成功响应,包含鉴权结果。
2)如响应中包含鉴权结果,且为失败,向UE发送会话建立拒绝响应,包含鉴权结果。
3)如响应中包含向UE发送的(EAP)鉴权消息,则向UE传送该(EAP)鉴权消息。
本申请实施例中,SMF从UE发送的会话建立请求中获取用户的签约数据,SMF确定会话建立过程中进行数据网络鉴权的鉴权方式,并根据鉴权方式向鉴权服务器发送鉴权请求,该鉴权请求携带用户的鉴权信息。增强5G网络和5G UE能力适配多种数据网络鉴权方式,降低5G网络提供数据网络鉴权对UE上层实现的要求和对垂直行业鉴权服务器的改造要求,也可以灵活适配鉴权服务器的多种鉴权方式需求。
参见图3,本申请实施例提供一种数据网络鉴权方式适配方法,应用于AAA-server,该方法包括:
步骤301:从SMF接收与数据网络鉴权相关的第一请求消息,该第一请求消息携带鉴权方式;
在本申请实施例中,通过SMF与AAA-server之间的接口协议或者第一请求消息区分鉴权方式。
在一些实施方式中,不同的鉴权方式采用同一接口协议的不同的第一请求消息;或者,不同的鉴权方式采用相同的第一请求消息;或者,不同的鉴权方式采用不同的接口协议。该接口协议可以是RADIUS协议或者Diameter协议。
具体地,如请求PAP/CHAP鉴权,可以在鉴权请求中向AAA-server提交用户名和密码。如请求EAP鉴权,可以在鉴权请求中向AAA-server提交用户的鉴权ID。
步骤302:判断是否支持鉴权方式;
步骤303:根据判断结果,返回第一请求消息的响应消息。
在本申请实施例中,AAA-server判断是否支持鉴权方式;
在一些实施方式中,根据判断结果,返回第一请求消息的响应消息,包括:
若判断不支持鉴权方式,则向SMF发送第二响应消息,第二响应消息指示不支持接口协议或者鉴权请求消息;
若判断支持鉴权方式,则进行鉴权,并向SMF发送第三响应消息,第三响应消息中包括鉴权结果或者与鉴权相关的消息,例如根据鉴权ID或用户名索引鉴权数据,进行鉴权。鉴权完成后,AAA-server返回的鉴权响应中携带鉴权结果(成功或失败)。如请求EAP鉴权,返回的鉴权响应中携带AAA-server向UE发送的EAP鉴权消息。
本申请实施例中,SMF根据鉴权方式向鉴权服务器发送鉴权请求,该鉴权请求携带用户的鉴权信息。增强5G网络和5G UE能力适配多种数据网络鉴权方式,降低5G网络提供数据网络鉴权对UE上层实现的要求和对垂直行业鉴权服务器的改造要求,也可以灵活适配鉴权服务器的多种鉴权方式需求。
参见图4,本申请实施例提供一种数据网络鉴权方式适配方法,应用于UE,该方法包括:
步骤401:在会话建立过程中向SMF发送UE的鉴权能力。
在本申请实施例中,在会话建立过程中,UE向SMF上报自身的鉴权能力,从而让SMF获知UE具备的鉴权能力。
在一些实施方式中,向SMF发送所述UE的鉴权能力具体包括:
通过AMF向SMF发送第二请求消息,该第二请求消息中包括鉴权信息,该鉴权信息指示所述UE的鉴权能力,该鉴权信息包括:用户进行数据鉴权的用户标识;和/或与用户标识对应的用户的验证信息;
在一些实施方式中,向SMF发送所述UE的鉴权能力具体包括:
从SMF接收用于要求UE发送鉴权信息的第三请求消息,并向SMF发送响应所述第三请求消息的第一响应消息,该第一响应消息中包括鉴权信息,该鉴权信息包括:用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息;
在本申请实施例中,通过鉴权信息,网络可以获知UE的鉴权能力。鉴权信息可以是一个或多个,例如UE携带一个鉴权信息,包含数据网络对用户鉴权的标识(ID),表示用户支持EAP鉴权;又例如UE携带一个鉴权信息,包含数据网络对用户鉴权的用户名和密码,表示用户支持PAP或CHAP鉴权。又例如UE同时携带上述鉴权信息,表示用户支持上述几种鉴权方式。
在一些实施方式中,本方法还包括:通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,信令消息加密根据用户签约开启。
具体地,UE向AMF发送注册请求,AMF根据用户签约的DNN或用户注册区域(Tracking Area,TA)决定开启NAS加密,对UE和AMF之间的信令消息进行加密,这样根据数据网络鉴权需求启动NAS加密,避免了额外引入获取加密验证信息的流程。
下面结合附图对本申请实施例提供方法的具体应用场景进行描述。
参见图5a,图中示出一种鉴权流程:
1.UE向SMF请求会话建立,该请求中携带鉴权信息和会话信息;
2.SMF向UDM请求用户的签约数据;
3.SMF确定该用户针对该会话需要进行数据鉴权;
4.SMF判断UE鉴权能力和DN-AAA的鉴权能力,并确定鉴权方式;
针对鉴权请求情况1:UE在请求会话建立时携带验证信息;
5.SMF向DN-AAA发送鉴权请求1,其中携带用户验证信息;
针对鉴权请求情况2:UE在请求会话建立时不携带验证信息;
6.SMF向UE发送请求消息;
7.UE向SMF返回响应消息,其中携带用户验证信息;
8.SMF向DN-AAA发送鉴权请求2,其中携带用户验证信息;
针对鉴权请求情况3:DN-AAA不支持网络选择的鉴权方式,网络根据UE能力判断可以选择另一鉴权方式;
9.SMF向DN-AAA发送鉴权请求3,其中携带用户验证信息1
10.DN-AAA向SMF返回响应消息,其中原因值指示鉴权方式不支持;
11.SMF向UE发送请求消息;
12.UE向SMF返回响应消息,其中携带用户验证信息2;
13.SMF向DN-AAA发送鉴权请求4,其中携带用户验证信息2。
参见图5b,图中示出同一用户不同DN、不同DN-AAA、不同鉴权方式示的鉴权流程:
1.UE向SMF1请求会话1建立,该请求中携带鉴权信息和会话信息,该会话信息包含DNN1;
2.SMF1向UDM请求用户的签约数据;
3.SMF1确定该用户针对该会话需要进行数据鉴权;
4.SMF1判断UE鉴权能力和DN1-AAA的鉴权能力,并确定鉴权方式;
针对DN1建立会话的数据网络鉴权:UE在请求会话建立时携带验证信息;
5.SMF1向DN1-AAA发送鉴权请求1,其中携带用户验证信息;
6.UE向SMF2请求会话2建立,该请求中携带鉴权信息和会话信息,该会话信息包含DNN2;
7.SMF2向UDM请求用户的签约数据;
8.SMF2确定该用户针对该会话需要进行数据鉴权;
9.SMF2判断UE鉴权能力和DN2-AAA的鉴权能力,并确定鉴权方式;
针对DN2建立会话的数据网络鉴权:UE在请求会话建立时不携带验证信息;
10.SMF2向UE发送请求消息;
11.UE向SMF2返回响应消息,其中携带用户验证信息;
参见图5c,图中示出不同UE、不同DN,DN鉴权成功和DN鉴权方式不支持的鉴权流程:
1.UE1向SMF1请求会话1建立,该请求中携带鉴权信息和会话信息,该会话信息包含DNN1;
2.SMF1向UDM请求用户的签约数据;
3.SMF1确定该用户针对该会话需要进行数据鉴权;
4.SMF1判断UE1鉴权能力和DN1-AAA的鉴权能力,并确定鉴权方式1;
UE1针对DN1建立会话的数据网络鉴权:
5.SMF1向DN1-AAA发送鉴权请求1,其中携带用户验证信息1;
6.DN1-AAA向SMF1返回鉴权响应1;
7.SMF1根据会话信息判断允许会话建立;
8.SMF1向UE1发送会话1建立成功;
9.UE2向SMF2请求会话21建立,该请求中携带鉴权信息和会话信息,该会话信息包含DNN2;
10.SMF2向UDM请求用户的签约数据;
11.SMF2确定该用户针对该会话需要进行数据鉴权;
12.SMF2判断UE2鉴权能力和DN2-AAA的鉴权能力,并确定鉴权方式1;
UE1针对DN2建立会话的数据网络鉴权:
13.SMF2向DN2-AAA发送鉴权请求2,其中携带用户验证信息2;
14.DN2-AAA向SMF2返回鉴权响应2,其中原因值指示鉴权方式不支持;
15.SMF2根据UE2鉴权能力和DN2-AAA的鉴权能力,判断可以采用另一种鉴权方式;
16.SMF2向UE2发送请求消息;
17.UE2向SMF2返回响应消息,其中携带用户验证信息3;
18.SMF2向DN2-AAA发送鉴权请求3,其中携带用户验证信息3;
可以执行一次或多次交互流程,和具体的鉴权方式有关;
19.DN2-AAA向SMF2返回鉴权响应3,该鉴权响应3指示鉴权成功;
20.SMF2根据会话信息判断允许会话建立;
21.SMF2向UE2发送会话2建立成功。
参见图6,本申请实施例提供一种数据网络鉴权方式适配装置600,应用于SMF,所述装置包括:
第一接收模块601,用于在会话建立过程中从终端UE接收所述UE的鉴权能力;
第一确定模块602,用于根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
第二确定模块603,用于确定会话建立过程中进行数据网络鉴权的鉴权方式;
第一发送模块604,用于根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。
可选地,所述装置还包括:
第二接收模块,用于从所述鉴权服务器接收响应所述第一请求消息的响应消息;
第一处理模块,用于根据所述第一请求消息的响应消息进行后续处理
可选地,所述第一确定模块进一步用于:
通过AMF从所述UE接收第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,向所述UE发送用于要求UE发送鉴权信息的第三请求消息,并从所述UE接收响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息;
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述第二确定模块进一步用于:
根据所述第二请求消息和/或用户的签约数据确定所述会话建立过程中进行所述数据网络鉴权的鉴权方式。
可选地,所述装置还包括:
第三接收模块,用于在会话建立过程中从所述UE接收鉴权信息时,接收会话信息,所述会话信息包括所述UE请求的切片的信息和/或DNN;
第一获取模块,用于从UDM获取所述用户的签约数据;
第三确定模块,用于根据会话信息和用户签约数据确定对所述UE进行鉴权的鉴权服务器。
可选地,所述装置还包括:
第二获取模块,用于通过配置或者接口消息获取所述鉴权服务器的鉴权能力。
可选地,不同的所述鉴权方式采用同一接口协议的不同的所述第一请求消息;
或者,不同的所述鉴权方式采用相同的所述第一请求消息;
或者,不同的所述鉴权方式采用不同的接口协议。
可选地,所述第一处理模块进一步地用于:
从所述鉴权服务器接收第二鉴权响应消息,所述第二鉴权响应消息指示不支持接口协议或者鉴权请求消息;
根据所述UE的鉴权能力确定是否重新向所述鉴权服务器发起第四请求消息;
或者,
从所述鉴权服务器接收第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
可选地,所述装置还包括:
第二发送模块,用于若所述UE没有其他鉴权能力或者所述鉴权服务器不支持其他鉴权方式,则向所述UE发送会话建立拒绝消息。
参见图7,本申请实施例提供一种数据网络鉴权方式适配装置700,应用于鉴权服务器,所述装置包括:
第四接收模块701,用于从SMF接收与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息;
判断模块702,用于判断是否支持鉴权方式;
第二处理模块703,用于根据判断结果,返回所述第一请求消息的响应消息。
可选地,所述装置还包括:
区分模块,用于通过所述SMF与所述鉴权服务器之间的接口协议或者所述第一请求消息区分所述鉴权方式。
可选地,所述第二处理模块进一步用于:
若判断不支持所述鉴权方式,则向所述SMF发送第二响应消息,所述第二响应消息指示不支持接口协议或者所述鉴权请求消息;
若判断支持所述鉴权方式,则进行鉴权,并向所述SMF发送第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
参见图8,本申请实施例提供一种数据网络鉴权方式适配装置800,应用于UE,所述装置包括:
第三发送模块801,用于在会话建立过程中向SMF发送所述UE的鉴权能力。
可选地,所述第三发送模块进一步用于:
通过AMF向所述SMF发送第二立请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,从所述SMF接收用于要求UE发送鉴权信息的第三请求消息,并向所述SMF发送响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
可选地,所述装置还包括:
加密模块,用于通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,所述信令消息加密根据用户签约开启。
参见图9,本发明实施例提供一种SMF实体900,包括:处理器901、收发机902、存储器903和总线接口。
其中,处理器901可以负责管理总线架构和通常的处理。存储器903可以存储处理器901在执行操作时所使用的数据。
本发明实施例中,SMF实体900还可以包括:存储在存储器903上并可在处理器901上运行的程序,该程序被处理器901执行时实现本发明实施例提供的方法的步骤。
在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器901代表的一个或多个处理器和存储器903代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机902可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
参见图10,本发明实施例提供一种鉴权服务器1000,包括:处理器1001、收发机1002、存储器1003和总线接口。
其中,处理器1001可以负责管理总线架构和通常的处理。存储器1003可以存储处理器1001在执行操作时所使用的数据。
本发明实施例中,鉴权服务器1000还可以包括:存储在存储器1003上并可在处理器1001上运行的程序,该程序被处理器1001执行时实现本发明实施例提供的方法的步骤。
在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1001代表的一个或多个处理器和存储器1003代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本发明实施例不再对其进行进一步描述。总线接口提供接口。收发机1002可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。
参见图11,本发明实施例提供一种UE 1100,包括:至少一个处理器1101、存储器1102、用户接口1103和至少一个网络接口1104。UE 1100中的各个组件通过总线系统1105耦合在一起。
可以理解的是,总线系统1105用于实现这些组件之间的连接通信。总线系统1105除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1105。
其中,用户接口1103可以包括显示器、键盘或者点击设备(例如,鼠标,轨迹球、触感板或者触摸屏等)。
可以理解的是,本发明实施例中的存储器1102可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataRate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synch Link DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本发明实施例描述的存储器1102旨在包括但不限于这些和任意其它适合类型的存储器。
在一些实施方式中,存储器1102存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:操作系统11021和应用程序11022。
其中,操作系统11021,包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序11022,包含各种应用程序,例如媒体播放器、浏览器等,用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序11022中。
在本发明实施例中,UE 1100还可以包括:存储在存储器1102上并可在处理器1101上运行的程序,该程序被处理器1101执行时实现本发明实施例提供的方法的步骤。
上述本发明实施例揭示的方法可以应用于处理器1101中,或者由处理器1101实现。处理器1101可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1101可以是通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的计算机可读存储介质中。该计算机可读存储介质位于存储器1102,处理器1101读取存储器1102中的信息,结合其硬件完成上述方法的步骤。具体地,该计算机可读存储介质上存储有计算机程序。
可以理解的是,本发明实施例描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现,处理单元可以实现在一个或多个ASIC、DSP、数字信号处理设备(DSP Device,DSPD)、可编程逻辑设备(Programmable Logic Device,PLD)、FPGA、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述数据网络鉴权方式适配方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (34)
1.一种数据网络鉴权方式适配方法,应用于会话管理功能SMF,其特征在于,所述方法包括:
在会话建立过程中从终端UE接收所述UE的鉴权能力;
根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
确定会话建立过程中进行数据网络鉴权的鉴权方式;
根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述鉴权服务器接收所述第一请求消息的响应消息,并根据所述第一请求消息的响应消息进行后续处理。
3.根据权利要求1所述的方法,其特征在于,在会话建立过程中从UE接收所述UE的鉴权能力,包括:
通过接入和移动性管理功能AMF从所述UE接收第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,向所述UE发送用于要求UE发送鉴权信息的第三请求消息,并从所述UE接收响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息;
所述鉴权信息包括:用户进行数据网络鉴权的用户标识;和/或,与用户标识对应的用户的验证信息。
4.根据权利要求3所述的方法,其特征在于,所述确定会话建立过程中进行数据网络鉴权的鉴权方式,包括:
根据所述第二请求消息和/或用户的签约数据确定所述会话建立过程中进行数据网络鉴权的鉴权方式。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在会话建立过程中从所述UE接收所述鉴权信息时,接收会话信息,所述会话信息包括:所述UE请求的切片的信息和/或数据网络名称DNN;
从统一数据管理UDM获取所述用户的签约数据;
根据所述会话信息和所述用户签约数据确定对所述UE进行鉴权的鉴权服务器。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
通过配置或者接口消息获取所述鉴权服务器的鉴权能力。
7.根据权利要求1所述的方法,其特征在于,
不同的所述鉴权方式采用同一接口协议的不同的所述第一请求消息;
或者,不同的所述鉴权方式采用相同的所述第一请求消息;
或者,不同的所述鉴权方式采用不同的接口协议。
8.根据权利要求2所述的方法,其特征在于,所述根据所述第一请求消息的响应消息进行后续处理,包括:
从所述鉴权服务器接收第二响应消息,所述第二响应消息指示不支持接口协议或者所述第一请求消息;
根据所述UE的鉴权能力确定是否重新向所述鉴权服务器发起第四请求消息;
或者,
从所述鉴权服务器接收第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若所述UE没有其他鉴权能力或者所述鉴权服务器不支持其他鉴权方式,则向所述UE发送会话建立拒绝消息。
10.一种数据网络鉴权方式适配方法,应用于鉴权服务器,其特征在于,所述方法包括:
从SMF接收与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息;
判断是否支持鉴权方式;
根据判断结果,返回所述第一请求消息的响应消息。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
通过所述SMF与所述鉴权服务器之间的接口协议或者所述第一请求消息区分所述鉴权方式。
12.根据权利要求10所述的方法,其特征在于,所述根据判断结果,返回响应所述第一请求消息的响应消息,包括:
若判断不支持所述鉴权方式,则向所述SMF发送第二响应消息,所述第二响应消息指示不支持接口协议或者所述第一请求消息;
若判断支持所述鉴权方式,则进行鉴权,并向所述SMF发送第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
13.一种数据网络鉴权方式适配方法,应用于UE,其特征在于,所述方法包括:
在会话建立过程中向SMF发送所述UE的鉴权能力。
14.根据权利要求13所述的方法,其特征在于,所述在会话建立过程中向SMF发送所述UE的鉴权能力,包括:
通过AMF向所述SMF发送第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,从所述SMF接收用于要求UE发送鉴权信息的第三请求消息,并向所述SMF发送响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息
所述鉴权信息包括:用户进行数据网络鉴权的用户标识;和/或,与用户标识对应的用户的验证信息。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,所述信令消息加密根据用户签约开启。
16.一种数据网络鉴权方式适配装置,应用于SMF,其特征在于,所述装置包括:
第一接收模块,用于在会话建立过程中从终端UE接收所述UE的鉴权能力;
第一确定模块,用于根据用户的签约数据确定用户在会话建立过程中需要进行数据网络鉴权;
第二确定模块,用于确定会话建立过程中进行数据网络鉴权的鉴权方式;
第一发送模块,用于根据所述鉴权方式向鉴权服务器发送与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息。
17.根据权利要求16所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于从所述鉴权服务器接收响应所述第一请求消息的响应消息;
第一处理模块,用于根据所述第一请求消息的响应消息进行后续处理。
18.根据权利要求16所述的装置,其特征在于,所述第一接收模块进一步用于:
通过接入和移动性管理功能AMF从所述UE接收第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,向所述UE发送用于要求UE发送鉴权信息的第三请求消息,并从所述UE接收响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息;
所述鉴权信息包括:用户进行数据网络鉴权的用户标识;和/或,与用户标识对应的用户的验证信息。
19.根据权利要求18所述的装置,其特征在于,所述第二确定模块进一步用于:
根据所述第二请求消息和/或用户的签约数据确定所述会话建立过程中进行所述数据网络鉴权的鉴权方式。
20.根据权利要求18所述的装置,其特征在于,所述装置还包括:
第三接收模块,用于在会话建立过程中从所述UE接收鉴权信息时,接收会话信息,所述会话信息包括所述UE请求的切片的信息和/或DNN;
第一获取模块,用于从UDM获取所述用户的签约数据;
第三确定模块,用于根据会话信息和用户签约数据确定对所述UE进行鉴权的鉴权服务器。
21.根据权利要求16所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于通过配置或者接口消息获取所述鉴权服务器的鉴权能力。
22.根据权利要求16所述的装置,其特征在于,
不同的所述鉴权方式采用同一接口协议的不同的所述第一请求消息;
或者,不同的所述鉴权方式采用相同的所述第一请求消息;
或者,不同的所述鉴权方式采用不同的接口协议。
23.根据权利要求17所述的装置,其特征在于,所述第一处理模块进一步地用于:
从所述鉴权服务器接收第二鉴权响应消息,所述第二鉴权响应消息指示不支持接口协议或者鉴权请求消息;
根据所述UE的鉴权能力确定是否重新向所述鉴权服务器发起第四请求消息;
或者,
从所述鉴权服务器接收第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
24.根据权利要求23所述的装置,其特征在于,所述装置还包括:
第二发送模块,用于若所述UE没有其他鉴权能力或者所述鉴权服务器不支持其他鉴权方式,则向所述UE发送会话建立拒绝消息。
25.一种数据网络鉴权方式适配装置,应用于鉴权服务器,其特征在于,所述装置包括:
第四接收模块,用于从SMF接收与数据网络鉴权相关的第一请求消息,所述第一请求消息携带用户的鉴权信息;
判断模块,用于判断是否支持鉴权方式;
第二处理模块,用于根据判断结果,返回所述第一请求消息的响应消息。
26.根据权利要求25所述的装置,其特征在于,所述装置还包括:
区分模块,用于通过所述SMF与所述鉴权服务器之间的接口协议或者所述第一请求消息区分所述鉴权方式。
27.根据权利要求25所述的装置,其特征在于,所述第二处理模块进一步用于:
若判断不支持所述鉴权方式,则向所述SMF发送第二响应消息,所述第二响应消息指示不支持接口协议或者所述鉴权请求消息;
若判断支持所述鉴权方式,则进行鉴权,并向所述SMF发送第三响应消息,所述第三响应消息中包括鉴权结果或者与鉴权相关的消息。
28.一种数据网络鉴权方式适配装置,应用于UE,其特征在于,所述装置包括:
第三发送模块,用于在会话建立过程中向SMF发送所述UE的鉴权能力。
29.根据权利要求28所述的装置,其特征在于,所述第三发送模块进一步用于:
通过AMF向所述SMF发送第二请求消息,所述第二请求消息中包括鉴权信息,所述鉴权信息指示所述UE的鉴权能力;
或者,从所述SMF接收用于要求UE发送鉴权信息的第三请求消息,并向所述SMF发送响应所述第三请求消息的第一响应消息,所述第一响应消息中包括所述鉴权信息
所述鉴权信息包括:
用户进行数据网络鉴权的用户标识;和/或与用户标识对应的用户的验证信息。
30.根据权利要求29所述的装置,其特征在于,所述装置还包括:
加密模块,用于通过对UE和网络之间的信令消息加密,在UE和网络之间加密保护所述鉴权信息,所述信令消息加密根据用户签约开启。
31.一种SMF实体,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至9中任一项所述数据网络鉴权方式适配方法的步骤。
32.一种鉴权服务器,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求10至12中任一项所述数据网络鉴权方式适配方法的步骤。
33.一种UE,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求13至15中任一项所述数据网络鉴权方式适配方法的步骤。
34.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1至9中任一项所述数据网络鉴权方式适配方法的步骤,或者,如权利要求10至12中任一项所述数据网络鉴权方式适配方法的步骤,或者,如权利要求13至15中任一项所述数据网络鉴权方式适配方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010929824.2A CN114158028A (zh) | 2020-09-07 | 2020-09-07 | 数据网络鉴权方式适配方法、装置及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010929824.2A CN114158028A (zh) | 2020-09-07 | 2020-09-07 | 数据网络鉴权方式适配方法、装置及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114158028A true CN114158028A (zh) | 2022-03-08 |
Family
ID=80460916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010929824.2A Pending CN114158028A (zh) | 2020-09-07 | 2020-09-07 | 数据网络鉴权方式适配方法、装置及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114158028A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004077757A1 (de) * | 2003-02-28 | 2004-09-10 | Siemens Aktiengesellschaft | Verfahren zur aushandlung von datenverbindungen in einem wlan-netz |
| CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
| CN109792389A (zh) * | 2017-04-17 | 2019-05-21 | 华为技术有限公司 | 接入固定网络的方法和接入网关网元 |
| CN110915264A (zh) * | 2017-08-04 | 2020-03-24 | 华为技术有限公司 | 无线通信中的会话处理方法及终端设备 |
-
2020
- 2020-09-07 CN CN202010929824.2A patent/CN114158028A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004077757A1 (de) * | 2003-02-28 | 2004-09-10 | Siemens Aktiengesellschaft | Verfahren zur aushandlung von datenverbindungen in einem wlan-netz |
| CN109792389A (zh) * | 2017-04-17 | 2019-05-21 | 华为技术有限公司 | 接入固定网络的方法和接入网关网元 |
| CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
| CN110915264A (zh) * | 2017-08-04 | 2020-03-24 | 华为技术有限公司 | 无线通信中的会话处理方法及终端设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11736519B2 (en) | Mobile communication method, apparatus, and device | |
| US11089480B2 (en) | Provisioning electronic subscriber identity modules to mobile wireless devices | |
| US11463883B2 (en) | Cellular service account transfer for accessory wireless devices | |
| US10574465B2 (en) | Electronic subscriber identity module (eSIM) eligibility checking | |
| EP2103078B1 (en) | Authentication bootstrapping in communication networks | |
| CN113541925B (zh) | 通信系统、方法及装置 | |
| US20230262459A1 (en) | Service authorization method, communication apparatus, and system | |
| EP4124085A1 (en) | Communication system, method and apparatus | |
| US10904756B2 (en) | Authentication for next generation systems | |
| WO2014101793A1 (zh) | 通信服务方法、动态签约服务器和移动管理网元 | |
| EP4142319A1 (en) | Method and apparatus for transferring network access information between terminals in mobile communication system | |
| US20230232228A1 (en) | Method and apparatus for establishing secure communication | |
| WO2019071472A1 (zh) | 一种业务策略创建方法及装置 | |
| EP3459269B1 (en) | Method for provisioning an applet with credentials of a terminal application provided by an application server and corresponding ota platform | |
| US11696208B1 (en) | Priority data transport service | |
| CN106658501B (zh) | 基于校验的建立pdn连接的方法和设备 | |
| US20160165423A1 (en) | Application specific congestion control management | |
| CN114158028A (zh) | 数据网络鉴权方式适配方法、装置及可读存储介质 | |
| CN115942305A (zh) | 一种会话建立方法和相关装置 | |
| CN116438824A (zh) | 用于无线网络中核心网装置重分配的方法、装置及系统 | |
| JP7560567B2 (ja) | アクセス制御方法及び通信機器 | |
| CN116264688A (zh) | 一种密钥生成方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |