CN114629627A - 一种认证方法及装置 - Google Patents
一种认证方法及装置 Download PDFInfo
- Publication number
- CN114629627A CN114629627A CN202011451665.6A CN202011451665A CN114629627A CN 114629627 A CN114629627 A CN 114629627A CN 202011451665 A CN202011451665 A CN 202011451665A CN 114629627 A CN114629627 A CN 114629627A
- Authority
- CN
- China
- Prior art keywords
- authentication protocol
- information
- authentication
- terminal
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 173
- 238000004891 communication Methods 0.000 claims abstract description 181
- 238000013475 authorization Methods 0.000 claims abstract description 54
- 230000005540 biological transmission Effects 0.000 claims description 30
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 description 163
- 230000006870 function Effects 0.000 description 69
- 238000013461 design Methods 0.000 description 68
- 230000008569 process Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 230000011664 signaling Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010960 commercial process Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请实施例公开了一种认证方法及装置,涉及通信技术领域,解决了终端与通信网络支持的认证协议不一致导致对终端认证失败的问题。具体方案为:终端向移动管理网元发送用于表征终端支持第一认证协议的第一信息和第一认证协议的参数,移动管理网元接收第一信息和第一认证协议的参数,根据第一信息向支持第一认证协议的第一会话管理网元发送第一认证协议的参数,第一会话管理网元接收第一认证协议的参数,将第一认证协议的参数发送给认证与授权服务器,以便认证与授权服务器根据第一认证协议的参数,使用第一认证协议对终端进行认证。
Description
技术领域
本申请实施例涉及通信技术领域,尤其涉及一种认证方法及装置。
背景技术
通信网络中,为了保证通信网络的安全性,当终端通过通信网络访问数据网络时,由认证与授权服务器(如身份验证、授权和记账(authentication authorization andaccounting,AAA)服务器)采用某种认证协议对终端进行认证和授权,以保证访问数据网络的终端的合法性,提高通信网络的安全性。
但是,随着通信技术的发展,出现了新版本的终端、以及新版本的通信网络,如第五代(5th generation,5G)通信网络、下一代通信网络等。不同版本的终端、不同版本的通信网络支持的认证协议可能不同(或者不匹配/不兼容)。如果接入通信网络的终端支持的认证协议与通信网络支持的认证协议不一致,则会导致对终端认证失败,降低通信网络的安全性。
发明内容
本申请实施例提供一种认证方法及装置,解决了终端与通信网络支持的认证协议不一致导致对终端认证失败的问题。
第一方面,本申请实施例提供一种认证方法,该方法可以包括:终端向移动管理网元发送第一信息和第一认证协议的参数,其中第一认证协议为密码认证协议(passwordauthentication protocol,PAP)或者挑战握手认证协议(challenge handshakeauthentication protocol,CHAP),第一信息用于表征终端支持第一认证协议,第一认证协议的参数用于使用第一认证对终端进行认证。
基于第一方面,终端可以将支持PAP或CHAP的能力告知移动管理网元,以便移动管理网元获知终端支持PAP或CHAP后,将第一认证协议的参数发送给支持第一认证协议的第一会话管理网元,由第一会话管理网元将第一认证协议的参数发送给认证与授权服务器,确保认证与授权服务器使用PAP或者CHAP的认证成功执行,解决不同终端版本与通信网络版本之间因支持的认证协议不一致导致的认证失败的问题。
一种可能的设计中,第一认证协议的参数携带在协议数据单元(protocol dataunit,PDU)会话建立请求消息中。基于该可能的设计,将第一认证协议的参数携带在PDU会话建立请求消息中,节省信令开销。
一种可能的设计中,第一信息携带在注册请求消息中。基于该可能的设计,通过注册流程发送第一信息,节省发送第一信息带来的信令开销。
一种可能的设计中,所述方法还包括:终端接收移动管理网元发送的携带有第二信息的注册接受消息,第二信息用于表征终端请求注册的网络(或者称为通信网络)支持第一认证协议,终端根据第二信息向移动管理网元发送第一认证协议的参数。
基于该可能的设计,可以在注册流程中实现终端与通信网络支持第一认证协议的能力协商,当通信网络具备支持第一认证协议的能力时,终端再发送第一认证协议的参数,保证使用PAP或者CHAP的认证成功执行,避免因终端盲目发送第一认证协议的参数导致终端浪费自身的功率消耗的问题。
一种可能的设计中,第一信息携带在上行消息中。进一步的,上行NAS传输消息还携带有第一认证协议的参数。基于该可能的设计,可以在网络注册后,将第一信息和第一认证协议的参数携带在上行NAS传输消息中发送给移动管理网元,降低信令开销。
一种可能的设计中,所述方法还包括:终端接收来自移动管理网元的用于表征对终端认证失败的第三信息,以便终端获知认证失败,进一步地采用其他处理办法。
可替换的,第一方面的又一种可能的设计中,所述认证方法还可以包括:终端确定终端待访问的数据网络或网络切片有认证需求,终端向移动管理网元发送第一信息和第一认证协议的参数。通过该方法,由网络侧配置终端待访问的数据网络或者网络切片有认证需求,以便终端根据网络侧配置将第一认证协议的参数发送给网络侧,确保使用第一认证协议的认证被执行,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
一种可能的设计中,第一认证协议的参数携带在PDU会话建立请求消息中,降低第一认证协议的参数上报时的信令开销。
一种可能的设计中,在终端向移动管理网元发送第一认证协议的参数之前,包括:终端接收用于指示终端待访问的数据网络或网络切片有认证需求的URSP,终端根据URSP确定终端待访问的数据网络或网络切片有认证需求。基于该可能的设计,可以通过URSP向终端支持其待访问的数据网络或网络切片有认证需求,简化系统设计。
第二方面,本申请提供一种通信装置,该通信装置可以为终端或者终端中的芯片或者片上系统,还可以为终端中用于实现本申请实施例所述的认证方法的模块或者单元,或者为其他能够实现终端侧方法的模块或者单元。该通信装置可以实现上述第一方面或者各可能的设计中终端所执行的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。一种设计中,该通信装置可以包括执行第一方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该通信装置可以包括:发送单元。
发送单元,用于向移动管理网元发送第一信息和第一认证协议的参数。其中第一认证协议为PAP或者CHAP,第一信息用于表征终端支持第一认证协议的第一信息,第一认证协议的参数用于使用第一认证对终端进行认证。
可替换的,该通信装置可以包括:处理单元和发送单元。处理单元,用于确定终端待访问的数据网络或网络切片有认证需求。发送单元,用于向移动管理网元发送第一信息和第一认证协议的参数。
其中,第一信息和第一认证协议的参数的相关描述可参照第一方面或者第一方面的可能的设计中所述,不予赘述。该通信装置的具体实现方式可以参考第一方面或第一方面的任一可能的设计提供的认证方法中终端的行为功能,在此不再重复赘述。
第三方面,提供了一种通信装置,该通信装置可以为终端或者终端中的芯片或者片上系统,或者为其他能够实现终端侧方法的模块或者单元。该通信装置可以实现上述第一方面或者各可能的设计中终端所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该通信装置可以包括:处理器和通信接口,处理器和通信接口可以用于支持通信装置实现上述第一方面或者第一方面的任一种可能的设计中所涉及的功能。在又一种可能的设计中,通信装置还可以包括存储器,存储器用于存储计算机指令和/或数据。当该通信装置运行时,该处理器执行该存储器存储的计算机指令,以使该通信装置执行第一方面或者第一方面的任一种可能的设计所述的认证方法。在本申请实施例中,通信接口可以是收发器、接口电路、总线接口、管脚或其它能够实现收发功能的装置。
第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机可以执行上述第一方面或者上述第一方面的任一可能的设计所述的认证方法。
第五方面,提供了一种包含指令的计算机程序产品,该计算机程序产品可以包括程序指令,当该程序指令在计算机上运行时,使得计算机可以执行上述第一方面或者上述第一方面的任一可能的设计所述的认证方法。
第六方面,提供了一种芯片系统,该芯片系统包括处理器以及通信接口,该芯片系统可以用于实现上述第一方面或第一方面的任一可能的设计中终端所执行的功能。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于存储程序指令,当该芯片系统运行时,该处理器执行该存储器存储的程序指令,以使该芯片系统执行上述第一方面或者第一方面的任一种可能的设计所述的认证方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,不予限制。
第七方面,本申请实施例还提供一种认证方法,该认证方法可以包括:移动管理网元接收来自终端的第一信息和第一认证协议的参数,根据所述第一信息,向支持第一认证协议的第一会话管理网元发送第一认证协议的参数,第一信息用于表征终端支持第一认证协议,第一认证协议的参数用于使用第一认证协议对终端进行认证,第一认证协议为PAP或者CHAP。
一种可能的设计中,移动管理网元根据第一信息,向第一会话管理网元发送第一认证协议的参数:移动管理网元根据第一信息选择第一会话管理网元,向第一会话管理网元发送第一认证协议的参数。
其中,第一信息和第一认证协议的参数的相关描述可参照第一方面或者第一方面的可能的设计中所述,不予赘述。
第八方面,本申请提供一种通信装置,该通信装置可以为移动管理网元或者移动管理网元中的芯片或者片上系统,还可以为移动管理网元中用于实现本申请实施例所述的认证方法的模块或者单元,或者为其他能够实现移动管理网元侧方法的模块或者单元。该通信装置可以实现上述第七方面或者第七方面的任一可能的设计中移动管理网元所执行的功能,所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。一种设计中,该通信装置可以包括执行第七方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该通信装置可以包括:接收单元和发送单元。
接收单元,用于接收来自终端的第一信息和第一认证协议的参数,第一信息用于表征终端支持第一认证协议,第一认证协议的参数用于使用第一认证协议对终端进行认证,第一认证协议为PAP或者CHAP。
发送单元,用于根据第一信息,向支持第一认证协议的第一会话管理网元发送第一认证协议的参数。
其中,该通信装置的具体实现方式可以参考第七方面或第七方面的任一可能的设计提供的认证方法中移动管理网元的行为功能,在此不再重复赘述。
第九方面,提供了一种通信装置,该通信装置可以为移动管理网元或者移动管理网元中的芯片或者片上系统,或者为其他能够实现移动管理网元侧方法的模块或者单元。该通信装置可以实现上述第七方面或者第七方面的任一可能的设计中移动管理网元所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该通信装置可以包括:处理器和通信接口,处理器和通信接口可以用于支持通信装置实现上述第七方面或者第七方面的任一种可能的设计中所涉及的功能。在又一种可能的设计中,所述通信装置还可以包括存储器,存储器用于存储计算机指令和/或数据。当该通信装置运行时,该处理器执行该存储器存储的计算机指令,以使该通信装置执行上述第七方面或者第七方面的任一种可能的设计所述的认证方法。
第十方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机可以执行上述第七方面或者上述第七方面的任一可能的设计所述的认证方法。
第十一方面,提供了一种包含指令的计算机程序产品,该计算机程序产品可以包括程序指令,当该程序指令在计算机上运行时,使得计算机可以执行上述第七方面或者上述第七方面的任一可能的设计所述的认证方法。
第十二方面,提供了一种芯片系统,该芯片系统包括处理器以及通信接口,该芯片系统可以用于实现上述第七方面或第七方面的任一可能的设计中移动管理网元所执行的功能。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于存储程序指令和/或数据,当该芯片系统运行时,该处理器执行该存储器存储的程序指令,以使该芯片系统执行上述第七方面或者第七方面的任一种可能的设计所述的认证方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,不予限制。
第十三方面,本申请提供了一种认证方法,该方法包括:第一会话管理网元接收来自移动管理网元的第一认证协议的参数,向认证与授权服务器发送第一认证协议的参数;其中,第一会话管理网元支持第一认证协议,第一认证协议为PAP或者CHAP;第一认证协议的参数用于使用第一认证协议对终端进行认证。
基于第十三方面,第一会话管理网元可以将接收到的第一认证协议的参数发送给认证与授权服务器,确保认证与授权服务器使用PAP或者CHAP的认证成功执行,解决不同终端版本与通信网络版本之间因支持的认证协议不一致导致的认证失败的问题。
一种可能的设计中,第一认证协议的参数携带在PDU会话建立请求消息中,降低发送第一认证协议的参数带来的信令开销。
一种可能的设计中,在第一会话管理网元向认证与授权服务器发送第一认证协议的参数之前,所述方法还包括:第一会话管理网元向网络存储网元发送第四信息;其中,第四信息携带有终端待访问的数据网络的标识信息或网络切片的标识信息;第一会话管理网元接收来自网络存储网元的第五信息;其中,第五信息用于指示终端待访问的数据网络或网络切片有认证需求。
基于该可能的设计,可以在第一会话管理网元确定终端待访问的数据网络或者网络切片有认证需求后,再向认证与授权服务器发送第一认证协议的参数,保证使用PAP或者CHAP的认证成功执行,避免因第一会话管理网元盲目发送第一认证协议的参数导致认证失败。
一种可能的设计中,所述方法还包括:第一会话管理网元接收来自认证与授权服务器的用于表征对终端认证失败的第三信息,向移动管理网元发送第三信息,以便移动管理网元将接收到的第三信息发送给终端,使终端获知认证失败,进行下一步处理动作。
第十四方面,本申请提供一种通信装置,该通信装置可以为第一会话管理网元或者第一会话管理网元中的芯片或者片上系统,还可以为第一会话管理网元中用于实现本申请实施例所述的认证方法的模块或者单元,或者为其他能够实现第一会话管理网元侧方法的模块或者单元。该通信装置可以实现上述第十三方面或者各可能的设计中第一会话管理网元所执行的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的模块。一种设计中,该通信装置可以包括执行第十三方面中所描述的方法/操作/步骤/动作所一一对应的模块,该模块可以是硬件电路,也可是软件,也可以是硬件电路结合软件实现。一种设计中,该通信装置可以包括:接收单元和发送单元。
接收单元,用于接收来自移动管理网元的第一认证协议的参数;其中,第一会话管理网元支持第一认证协议,第一认证协议为PAP或者CHAP。
发送单元,用于向认证与授权服务器发送第一认证协议的参数;其中,第一认证协议的参数用于使用第一认证协议对终端进行认证。
其中,第一认证协议的参数的相关描述可参照第十三方面或者第十三方面的可能的设计中所述,不予赘述。该通信装置的具体实现方式可以参考第十三方面或第十三方面的任一可能的设计提供的认证方法中第一会话管理网元的行为功能,在此不再重复赘述。
第十五方面,提供了一种通信装置,该通信装置可以为第一会话管理网元或者第一会话管理网元中的芯片或者片上系统,或者为其他能够实现第一会话管理网元侧方法的模块或者单元。该通信装置可以实现上述第十三方面或者各可能的设计中第一会话管理网元所执行的功能,所述功能可以通过硬件实现。一种可能的设计中,该通信装置可以包括:处理器和通信接口,处理器和通信接口可以用于支持通信装置实现上述第十三方面或者第十三方面的任一种可能的设计中所涉及的功能。在又一种可能的设计中,通信装置还可以包括存储器,存储器用于存储计算机指令和/或数据。当该通信装置运行时,该处理器执行该存储器存储的计算机指令,以使该通信装置执行第十三方面或者第十三方面的任一种可能的设计所述的认证方法。在本申请实施例中,通信接口可以是收发器、接口电路、总线接口、管脚或其它能够实现收发功能的装置。
第十六方面,提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机可以执行上述第十三方面或者上述第十三方面的任一可能的设计所述的认证方法。
第十七方面,提供了一种包含指令的计算机程序产品,该计算机程序产品可以包括程序指令,当该程序指令在计算机上运行时,使得计算机可以执行上述第十三方面或者上述第十三方面的任一可能的设计所述的认证方法。
第十八方面,提供了一种芯片系统,该芯片系统包括处理器以及通信接口,该芯片系统可以用于实现上述第十三方面或第十三方面的任一可能的设计中第一会话管理网元所执行的功能。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器用于存储程序指令,当该芯片系统运行时,该处理器执行该存储器存储的程序指令,以使该芯片系统执行上述第十三方面或者第十三方面的任一种可能的设计所述的认证方法。该芯片系统可以由芯片构成,也可以包含芯片和其他分立器件,不予限制。
第十九方面,本申请实施例还提供一种通信网络,所述通信网络包括如第二方面或第三方面所述的通信装置、如第八方面或第九方面所述的通信装置、如第十四方面或第十五方面所述的通信装置和认证与授权服务器。
附图说明
图1为本申请实施例提供的一种网络架构的简化示意图;
图2为本申请实施例提供的一种5G网络的组成示意图;
图3为本申请实施例提供的一种通信装置的组成示意图;
图4为本申请实施例提供的一种认证方法的流程图;
图5为本申请实施例提供的又一种认证方法的流程图;
图6为本申请实施例提供的又一种认证方法的流程图;
图7为本申请实施例提供的再一种认证方法的流程图;
图8为本申请实施例提供的再一种认证方法的流程图;
图9为本申请实施例提供的一种通信装置90的组成示意图;
图10为本申请实施例提供的一种通信装置100的组成示意图;
图11为本申请实施例提供的一种通信装置110的组成示意图;
图12为本申请实施例提供的一种通信网络的组成示意图。
具体实施方式
第三代合作伙伴项目(3rd generation partnership project,3GPP)在定义5G网络时,对于DN的二次鉴权(本申请中可以替换描述为认证),只定义了使用可扩展认证协议(extensible authentication protocol,EAP)协议对终端进行DN的二次鉴权。但是对于是否继承传统的通信网络(如第二代(second generation,2G)网络或第三代(thirdgeneration,3G)网络或第四代(fourth generation,4G)网络)中已经使用的PAP/CHAP协议,没有提及。
随着通信技术的发展,运营商在5G网络第一波商用过程中在寻求继承传统的通信网络中已经使用的PAP/CHAP协议进行DN的二次鉴权。如果5G网络中继承支持传统的PAP/CHAP协议进行DN的二次鉴权,则会存在不同版本的不同版本的终端、不同版本的通信网络支持的认证协议可能不同(或者不匹配/不兼容)的问题。如果接入通信网络的终端支持的认证协议与通信网络支持的认证协议不一致,则会导致对终端认证失败。
为解决上述技术问题,本申请实施例提供一种认证方法,该方法包括:终端将用于表征终端支持PAP或者CHAP的第一信息以及PAP或者CHAP的参数发送给移动管理网元,由移动管理网元根据第一信息确定终端支持PAP或者CHAP后,将PAP或者CHAP的参数发送给支持PAP或者CHAP的第一会话管理网元,实现利用PAP或者CHAP对终端进行认证。即终端和通信网络两端进行认证协议的协商,确保使用PAP或者CHAP的认证被执行,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
下面结合本申请实施例中的附图,对本申请实施例提供的认证方法进行描述。需要说明的是,本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请实施例提供的认证方法可应用于图1所示的通信网络,如图1所示,该通信网络可以包括终端、移动管理网元、第一会话管理网元以及认证与授权服务器。
下面对图1所示架构中涉及的网元或设备进行介绍。
终端,可以是用于实现无线通信功能的设备,例如终端可以是5G网络或者未来演进的通信网络中的用户设备(user equipment,UE)、接入终端、终端单元、终端站、移动站、移动台、远方站、远程终端、移动设备、无线通信设备、终端代理或终端装置等。接入终端可以是蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备或可穿戴设备,虚拟现实(virtual reality,VR)终端设备、增强现实(augmentedreality,AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端等。终端可以是移动的,也可以是固定的。
移动管理网元,主要负责终端的接入认证、移动性管理、各个功能网元之间的信令交互等工作,如:对用户的注册状态、用户的连接状态、用户注册入网、跟踪区更新、小区切换用户认证和密钥安全等进行管理。
会话管理网元,主要用于实现用户面传输逻辑通道,如PDU会话的建立、释放和更改等会话管理功能。
认证与授权服务器,可以称为身份验证、授权和记账(authentication、authorization and accounting,AAA)服务器,用于使用第一认证协议对终端进行认证。
具体的,终端,用于向移动管理网元发送用于表征终端支持第一认证协议的第一信息和第一认证协议的参数,第一认证协议为PAP或者CHAP。
移动管理网元,用于接收第一信息和第一认证协议的参数,根据第一信息向第一会话管理网元发送第一认证协议的参数。
第一会话管理网元,用于接收第一认证协议的参数,向认证与授权服务器发送第一认证协议的参数,以使得认证与授权服务器接收到第一认证协议的参数后,根据第一认证协议的参数,使用第一认证协议对终端进行认证。
进一步的,如图1所示,图1所示通信网络还可以包括接入网设备、用户面网元、策略控制网元、网络存储网元和数据网络(data network,DN),DN中可以包括应用服务器,该应用服务器可以为应用功能(application function,AF)。
接入网设备,主要用于实现物理层功能、资源调度和管理、终端的接入控制以及移动性管理等功能。接入网设备可以为支持有线接入的设备,也可以为支持无线接入的设备。示例性,接入网设备可以为接入网(access network,AN)/无线接入网(radio accessnetwork,RAN),由多个5G-AN/5G-RAN节点组成。5G-AN/5G-RAN节点可以为:接入点(accesspoint,AP)、基站(nodeB,NB)、增强型基站(enhance nodeB,eNB)、下一代基站(NR nodeB,gNB)、传输接收点(transmission reception point,TRP)、传输点(transmission point,TP)等。
用户面网元,可以作为用户面传输逻辑通道上的锚点,用于完成用户面数据的路由转发等功能,如与终端之间建立协议数据单元(protocol data unit,PDU)会话,在该PDU会话上转发终端和DN间的数据报文、对终端的数据报文过滤、速率控制、生成计费信息等。
策略控制网元,可以用于向移动管理网元、会话管理网元提供服务质量(qualityof service,QoS)策略以及切片选择策略,向终端提供用户设备路由选择策略(UE routeselection policy,URSP)等等。
网络存储网元,可以用于存储用户数据,如:用户的签约信息、鉴权或授权数据等。具体的,网络存储网元可以为统一数据管理(unified data management,UDM)或者网络存储功能(network repository function,NRF)或者统一数据仓库(unified datarepository,UDR)等。
数据网络(data network,DN),可以为用户提供业务数据传输服务的运营商网络,如:可以为向用户提供因特网协议(internet protocol,IP)多媒体业务(IP multi-mediaservice,IMS)的运营商网络等。DN中可以部署有应用服务器(application service,AS),该应用服务器可以向用户提供业务数据。
需要说明的是,图1仅为示例性架构图,除图1中所示功能单元外,该网络还可以包括其他功能网元,如:操作和管理(operation and management,O&M)网元等,本申请实施例对此不进行限定。此外,图1中各个设备的名称不受限制,除图1所示名称之外,各个设备还可以命名为其他名称,如替换成具备相同或相似功能的网元名称,不予限制。
其中,图1所示网络可以为第三代合作伙伴计划(3rd generation partnershipproject,3GPP)通信网络,如第4代(4th generation,4G)网络、长期演进(long termevolution,LTE)网络,又可以为第五代(5th generation,5G)网络或者新空口(new radio,NR)网络、下一代通信网络等,也可以为非3GPP通信网络,不予限制。
以图1所示的通信网络为图2所示的5G网络为例,如图2所示,上述终端可以对应图2所示5G网络中的UE,上述会话管理网元所对应的网元或者实体可以为5G网络中的会话管理功能(session management function,SMF),上述用户面网元所对应的网元或者实体可以为5G网络中的用户面功能(user plane function,UPF),接入网设备对应的网元或者实体可以为5G网络中的无线接入网(radio access network,RAN)、移动管理网元对应的网元或者实体可以为5G网络中的接入和移动性管理功能(access and mobility managementfunction,AMF)、策略控制网元可以为5G网络中的策略控制功能(policy controlfunction,PCF),网络存储网元对应的网元或者实体可以为5G网络中的UDM。5G网络中各个设备之间可以通过下一代(next generation,NG)接口(简称为N)相互连接。具体的,各设备之间的接口可参照图2所示,不予赘述。
可选的,本申请实施例中的终端、第一会话管理网元以及移动管理网元也可以称之为通信装置,其可以是一个通用设备或者是一个专用设备,本申请实施例对此不作具体限定。
可选的,本申请实施例中的终端、第一会话管理网元或者移动管理网元的相关功能可以由一个设备实现,也可以由多个设备共同实现,还可以是由一个设备内的一个或多个功能模块实现,本申请实施例对此不作具体限定。可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是硬件与软件的结合,或者是平台(例如,云平台)上实例化的虚拟化功能。
在具体实现时,图1所示终端、第一会话管理网元以及移动管理网元等可以采用图3所示的组成结构,或者包括图3所示的部件。
图3为本申请实施例提供的一种通信装置300的组成示意图,该通信装置300可以包括处理器301和存储器304。
进一步的,该通信装置300还可以包括通信线路302以及通信接口303。其中,处理器301,存储器304以及通信接口303之间可以通过通信线路302连接。
处理器301,可以是中央处理器(central processing unit,CPU)、通用处理器、网络处理器(network processor,NP)、数字信号处理器(digital signal processing,DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device,PLD)或它们的任意组合。处理器301还可以是其它具有处理功能的装置,如电路、器件或软件模块,不予限制。
通信线路302,用于在通信装置300所包括的各部件之间传送信息。
通信接口303,用于与其他设备或其它通信网络进行通信。该其它通信网络可以为以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。通信接口303可以是模块、电路、收发器或者任何能够实现通信的装置。
存储器304,用于存储指令。其中,指令可以是计算机程序。
其中,存储器304可以是只读存储器(read-only memory,ROM)或可存储静态信息和/或指令的其他类型的静态存储设备,也可以是随机存取存储器(random accessmemory,RAM)或可存储信息和/或指令的其他类型的动态存储设备,还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟)、磁盘存储介质、其他磁存储设备,不予限制。
需要说明的是,存储器304可以独立于处理器301存在,也可以和处理器301集成在一起。存储器304可以用于存储指令或者程序代码或者一些数据等。存储器304可以位于通信装置300内,也可以位于通信装置300外,不予限制。
处理器301,用于执行存储器304中存储的指令,以实现本申请下述实施例提供的认证方法。例如,当通信装置300为会话管理网元或者会话管理网元中的芯片或者片上系统时,处理器301执行存储器304中存储的指令,以实现本申请下述实施例中会话管理网元所执行的步骤。又例如,当通信装置300为移动管理网元或者移动管理网元中的芯片或者片上系统时,处理器301可以执行存储器304中存储的指令,以实现本申请下述实施例中移动管理网元所执行的步骤。
在一种示例中,处理器301可以包括一个或多个CPU,例如图3中的CPU0和CPU1。
作为一种可选的实现方式,通信装置300包括多个处理器,例如,除图3中的处理器301之外,还可以包括处理器307。
作为一种可选的实现方式,通信装置300还包括输出设备305和输入设备306。示例性地,输入设备306是键盘、鼠标、麦克风或操作杆等设备,输出设备305是显示屏、扬声器(speaker)等设备。
需要说明的是,通信装置300可以是台式机、便携式电脑、网络服务器、移动手机、平板电脑、无线终端、嵌入式设备、芯片系统或有图3中类似结构的设备。此外,图3中示出的组成结构并不构成对该通信装置的限定,除图3所示部件之外,该通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本申请实施例中,芯片系统可以由芯片构成,也可以包括芯片和其他分立器件。
此外,本申请的各实施例之间涉及的动作,术语等均可以相互参考,不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例,具体实现中也可以采用其他的名称,不予限制。
下面以图1所示网络架构为例,对本申请实施例提供的认证方法进行描述。下述实施例中的各网元可以具备图3所示部件,不予赘述。需要说明的是,本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例,具体实现中也可以采用其他的名称。例如本申请实施例中的“认证”也可以替换为“数据网络的二次认证”或者“数据网络的二次鉴权”,本申请实施例中的“包括”也可以替换为“携带”,本申请实施例所述的网络可以替换描述为通信网络,该网络可以指终端注册的网络或者移动管理网元所在的网络。网络支持第一认证协议可以替换描述为网络中存在支持第一认证协议的会话管理网元,在此统一说明,本申请实施例对此不作具体限定。
图4为本申请实施例提供的一种认证方法,如图4所示,该方法可以包括:
步骤401:终端向移动管理网元发送第一信息和第一认证协议的参数。
其中,终端可以为图1中支持第一认证协议的任一终端。移动管理网元可以为管理终端、或与终端连接的移动管理网元。
其中,第一信息可以用于表征终端支持第一认证协议。本申请不限于第一信息的命名,第一信息还可以命名为UE能力指示信息或者用户设备能力(UE capability)。第一认证协议可以为密码认证协议(password authentication protocol,PAP)或者挑战握手认证协议(challenge handshake authentication ptotocol,CHAP)。
第一认证协议的参数可以用于使用第一认证协议对终端进行认证。具体地,如果第一认证协议为PAP,则第一认证协议的参数可以包括用于PAP的用户面和密码等。如果第一认证协议为CHAP,则第一认证协议的参数可以包括用于CHAP的终端随机生成的16字节的挑战(challenge)随机码,16字节的消息验证码和用户名等。
本申请实施例中,使用第一认证协议对终端进行认证可以替换描述为使用第一认证协议的参数对终端进行认证。使用第一认证协议的参数对终端进行认证是现有技术,在此不再赘述。
一种示例中,终端可以通过注册流程向移动管理网元发送第一信息和第一认证协议的参数,如终端可以将第一信息携带在注册请求消息发送给移动管理网元,并在接收到携带有用于表征网络支持第一认证协议的第二消息后,向移动管理网元发送第一认证协议的参数,如将第一认证协议的参数携带在协议分组数据单元(protocol data unit,PDU)会话建立请求消息(PDU session establishment request)消息中发送给移动管理网元。具体的,该过程可参照下述图5对应的实施例中所述。
又一种示例中,终端可以通过注册流程向移动管理网元发送第一信息和第一认证协议的参数,如终端可以在网络注册成功之后,触发PDU会话建立流程,将第一认证协议的参数携带在PDU会话建立请求消息中,将第一信息和携带有第一认证协议的参数的PDU会话建立请求消息携带在上行NAS传输消息中发送给移动管理网元。具体的,该过程可参照下述图6对应的实施例中所述。
为了降低移动管理网元的解析复杂度,上行NAS传输消息可以携带负载容器类型(payload container type)和负载容器(payload container)。负载容器可以包括PDU会话建立请求消息,PDU会话建立请求消息中可以进一步包括第一认证协议的参数,当负载容器包括PDU会话建立请求消息时,负载容器类型表征为会话管理信息。该负载容器可以看做为上行NAS传输消息中的一个信元,移动管理网元不去解析该负载容器中的内容,而是直接根据负载容器类型将负载容器透传给管理PDU会话的会话管理网元。如此,移动管理网元接收到携带负载容器的上行NAS传输消息后,可以不去解析负载容器包括的内容,降低移动管理网元解析PDU会话建立请求消息携带的内容的复杂度。其中,PDU会话建立请求消息可以用于请求建立传输业务数据的PDU会话。在PDU会话建立请求消息中,第一认证协议的参数可以携带在扩展协议配置选项(extended protocol configuration options,ePCO)信元中。
本申请实施例中,负载容器还可以命名为传输容器(transparent container)或者会话管理(session management,SM)容器或者透明容器等。
除携带第一信息和PDU会话建立请求消息第一认证协议的参数之外,上行NAS传输消息还可以携带其他信息,如携带数据网络的标识信息、网络切片的标识信息中的至少一种。数据网络的标识信息可以为数据网络名称(data network name,DNN),数据网络的标识信息可以用于标识/指示为终端提供业务数据的DN。网络切片的标识信息可以用于标识/指示传输业务数据的网络切片,网络切片的标识信息可以为单网络切片选择辅助信息(single network slice selection assistance information,S-NSSAI)。
本申请实施例中,数据网络的标识信息和网络切片的标识信息是终端请求建立的PDU会话所关联的数据网络的标识信息和网络切片的标识信息。比如,所述DNN与S-NSSAI为终端请求建立的PDU会话所关联的DNN与S-NSSAI。
其中,数据网络的标识信息、网络切片的标识信息可以存储在终端保存的用户设备路由选择策略(UE route selection policy,URSP)中。该URSP可以预先配置给终端,也可以在终端成功注册到网络后由策略控制网元(如PCF)按需下发给终端。当终端需要请求建立用于传输业务数据的PDU会话时,终端可以从本地获取URSP,从URSP中获取数据网络的标识信息和/或网络切片的标识信息,在执行PDU会话建立流程时,将数据网络的标识信息和/或网络切片的标识信息携带在上行NAS传输消息中发送给移动管理网元。
步骤402:移动管理网元接收第一信息和第一认证协议的参数,根据第一信息向第一会话管理网元发送第一认证协议的参数。
其中,第一会话管理网元可以为支持第一认证协议的会话管理网元。
其中,移动管理网元根据第一信息向第一会话管理网元发送第一认证协议的参数可以包括:移动管理网元根据第一信息选择支持第一认证协议的第一会话管理网元,向第一会话管理网元发送第一认证协议的参数。
示例性的,AMF可以根据本地配置信息从AMF所在网络包括的多个SMF中选择出支持第一认证协议的第一SMF。其中,本地配置信息可以为预先保存在AMF上的配置信息,本地配置信息可以用于指示AMF所在网络中是否存在支持第一认证协议的SMF,进一步的还可以用于指示支持第一认证协议的SMF。
例如,本地配置信息中包括支持第一认证协议的SMF的标识信息,SMF的标识信息用于标识SMF。AMF可以从本地配置信息中的支持第一认证协议的SMF的标识信息选择出任一个SMF的标识信息,并将选择出的SMF的标识信息所标识的SMF作为第一SMF。
步骤403:第一会话管理网元接收第一认证协议的参数,向认证与授权服务器发送第一认证协议的参数。
相应地,认证与授权服务器接收第一认证协议的参数,并根据第一认证协议的参数使用第一认证协议对终端进行认证。其中,认证与授权服务器使用第一认证协议对终端进行认证的具体实现为现有技术,在此不再赘述。
可选的,在第一会话管理网元接收到第一认证协议的参数之后,以及在向认证与授权服务器发送第一认证协议的参数之前,所述方法还包括:第一会话管理网元向网络存储网元发送携带有数据网络的标识信息或网络切片的标识信息的第四信息,第一会话管理网元接收来自网络存储网元的第五信息,第五信息用于指示终端待访问的数据网络或网络切片有认证需求。
其中,终端待访问的数据网络或网络切片有认证需求可以指的是终端访问数据网络的标识信息(如DNN)所标识的数据网络或网络切片的标识信息(如S-NSSAI)所对应的数据网络需要进行认证。如此,可以在需要对终端进行认证的情况下,向认证与授权服务器发送第一认证协议的参数,保证认证成功执行。
需要说明的是,相比较终端接入移动网络需要进行的认证,本申请实施例中,终端访问数据网络需要进行的认证也可以称为二次认证或者DN的二次鉴权等。
进一步的,若认证与授权服务器对终端认证失败,则上述方法还可以包括:认证与授权服务器向第一会话管理网元发送第三信息,第三信息用于表征对终端认证失败;第一会话管理网元接收第三信息,并根据第三信息通过移动管理网元向终端发送第六信息。
其中,第六信息与第三信息可以相同,也可以不同。如果两者不同,可以存在映射关系,例如,第三信息用于表征对终端认证失败,第六信息可以用于表征PDU会话建立拒绝。再例如,认证与授权服务器发送给第一会话管理网元的第三信息具体可以包括失败结果指示,并可选地包括用于指示认证失败原因的认证失败原因值。第一会话管理网元通过移动管理网元向终端发送的第六信息具体可以为PDU会话建立拒绝的原因值,例如:用户认证或授权失败(user authentication or authorization failed),也可以是上述认证失败原因值。
示例性地,第一会话管理网元可以根据第三信息向移动管理网元发送携带有第六信息PDU会话建立拒绝(PDU session establishment reject)消息;移动管理网元接收该PDU会话建立拒绝消息,并向终端发送该PDU会话建立拒绝消息。
基于图4所示方法,通过终端与网络对于第一认证协议的能力协商,确保使用第一认证协议的认证被执行,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
下面结合图2所示5G网络,假设终端为UE,移动管理网元为AMF,会话管理网元为SMF,认证与授权服务器为AAA服务器,对图4所示方法中终端通过注册流程发送第一信息和第一认证协议的参数,实现UE和网络支持第一认证协议的能力协商的过程进行描述:
图5为本申请实施例提供的又一种认证方法的流程图,如图5所示,所述方法包括:
步骤501:UE向AMF发送携带有第一信息的注册请求(registration request)消息。
其中,UE可以为图2所示5G网络中支持第一认证协议的UE,AMF可以为图2所示5G网络中与UE连接的AMF。
其中,注册请求消息可以用于UE请求注册到AMF所在的网络。第一信息可以用于表征UE支持第一认证协议。第一认证协议为PAP或者CHAP。除包括第一信息之外,该注册请求消息还可以包括UE的标识信息以及其他信息。UE的标识信息可以用于标识UE。
示例性的,UE向AMF发送注册请求消息可以包括:UE向RAN发送注册请求消息,RAN接收到注册请求消息后,将注册请求消息携带在N2消息(N2 message)中向AMF发送。
步骤502:AMF接收注册请求消息,将第一信息保存到UE上下文(UE context)中。
示例性的,AMF接收到注册请求消息后,可以根据注册请求消息携带的UE的标识信息识别出是哪个UE发送的注册请求消息,将注册请求消息中携带的第一信息对应保存到UE上下文中。
步骤503:AMF确定UE请求注册的网络是否支持第一认证协议,若网络支持第一认证协议,则AMF向UE发送携带第二信息的注册接受(registration accept)消息。
具体地,AMF可以通过确定UE请求注册的网络中是否存在支持第一认证协议的SMF确定网络是否支持第一认证协议。比如,若UE请求注册的网络中存在支持第一认证协议的SMF,则AMF确定UE请求注册的网络支持第一认证协议,反之,若UE请求注册的网络中不存在支持第一认证协议的SMF,则确定UE请求注册的网络不支持第一认证协议。
其中,注册接受消息可以用于响应注册请求消息。注册接受消息可以用于表征AMF接受UE的注册请求,允许UE注册到AMF所在的5G网络。
其中,第二信息可以用于表征终端请求注册的网络支持第一认证协议。本申请中,网络支持第一认证协议可以替换描述为网络中存在支持第一认证协议的SMF。此外,本申请不限定第二信息的命名,第二信息还可以命名为网络能力指示信息。
示例性的,AMF可以根据本地配置信息确定UE请求注册的网络中是否存在支持第一认证协议的SMF。其中,本地配置信息可以为预先保存在AMF上的配置信息,本地配置信息可以用于指示AMF所在网络中是否存在支持第一认证协议的SMF。
一种可能的设计中,该配置信息可以包括标签信息,该标签信息可以为布尔向量:真(true)或者假(false),如果该标签信息取值为true,则表示网络中存在支持第一认证协议的SMF,反之,如果该标签信息为false,则表示网络中不存在支持第一认证协议的SMF。
又一种可能的设计中,可以通过在本地配置信息中携带支持第一认证协议的SMF的标识信息来表示网络是否支持第一认证协议,SMF的标识信息用于标识SMF。例如,如果本地配置信息中未包括支持第一认证协议的SMF的标识信息,则表示网络中不存在支持第一认证协议的SMF,反之,如果本地配置信息中包括支持第一认证协议的SMF的标识信息,则表示网络中存在支持第一认证协议的SMF。
进一步的,若终端请求注册的网络中不存在支持第一认证协议的SMF,则表示终端请求注册的网络不支持第一认证协议,不能使用第一认证协议对终端认证,此时,AMF可以按照现有注册流程执行后续步骤。
需要说明的是,本申请不限于步骤503的执行顺序,步骤503可以在AMF将第一信息保存到UE上下文之后执行,也可以与AMF将第一信息保存到UE上下文同时执行,还可以在AMF将第一信息保存到UE上下文之前执行,不予限制。
步骤504:UE接收注册接受消息,根据注册请求消息中的第二信息确定UE注册的网络支持第一认证协议,向AMF发送携带PDU会话建立请求(PDU session establishmentrequest)消息的上行NAS传输消息,PDU会话建立请求消息携带有第一认证协议的参数。
其中,第一认证协议的参数可以用于使用第一认证协议对终端进行认证。具体的,第一认证协议的参数的相关描述可参照图4对应的实施例中所述。
其中,PDU会话建立请求消息可以用于请求建立传输业务数据的PDU会话。
示例性的,UE可以在PDU会话建立请求消息中携带ePCO信元,将第一认证协议的参数携带在ePCO信元中。然后,将PDU session建立请求消息封装在上行NAS传输消息中发送给AMF,其中PDU会话建立请求消息携带在负载容器(payload container)中,该负载容器对AMF是不可见的,AMF不会对PDU会话建立请求消息进行解析,而是将PDU会话建立请求消息转发给支持第一认证协议的SMF。
需要说明的是,除携带包含PDU会话建立请求消息的负载容器之外,上行NAS传输消息中还可以携带数据网络的标识信息、网络切片的标识信息中的一种或者多种信息。数据网络的标识信息、网络切片的标识信息的相关描述可参照步骤401中所述,不予赘述。
步骤505:AMF接收上行NAS传输消息,从UE上下文中获取第一信息,根据第一信息确定UE支持第一认证协议,AMF根据本地配置信息从AMF所在网络包括的多个SMF中选择出支持第一认证协议的第一SMF。
例如,步骤503所述的本地配置信息中携带有支持第一认证协议的SMF的标识信息,AMF可以从本地配置信息携带的支持第一认证协议的SMF的标识信息中选择出任一SMF的标识信息,并将选择出的SMF的标识信息所标识的SMF作为第一SMF。
步骤506:AMF向第一SMF发送携带PDU会话建立请求消息的N11消息。
需要说明的是,若AMF在上行NAS传输消息中接收到数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI),AMF也在N11消息中将数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI)发送给第一SMF。
步骤507:第一SMF接收携带PDU会话建立请求消息的N11消息,向AAA服务器发送PDU会话建立请求消息中携带的第一认证协议的参数。
相应的,AAA服务器接收第一认证协议的参数,并根据第一认证协议的参数使用第一认证协议对UE进行认证。其中,认证与授权服务器使用第一认证协议对终端进行认证的具体实现为现有技术,在此不再赘述。
可选地,在第一SMF接收到第一认证协议的参数之后,以及在向AAA服务器发送第一认证协议的参数之前,所述方法还包括:第一SMF确定UE待访问的数据网络或者网络切片有认证需求。
其中,终端待访问的数据网络或网络切片有认证需求可以指的是终端访问数据网络的标识信息(如DNN)所标识的数据网络或网络切片的标识信息(如S-NSSAI)所对应的数据网络需要进行认证。如此,可以在需要对终端进行认证的情况下,向认证与授权服务器发送第一认证协议的参数,保证认证成功执行。
以数据网络的标识信息为DNN,网络切片的标识信息为S-NSSAI为例,一种示例中,第一SMF可以根据本地配置策略确定UE访问DNN或S-NSSAI所对应的数据网络需要进行认证。又一种示例中,第一SMF可以将请求建立的PDU会话所关联的DNN或S-NSSAI携带在第四信息中发送给网络存储网元,并根据网络存储网元返回的第五信息中确定访问DNN或S-NSSAI所对应的数据网络需要进行认证。
进一步的,若AAA服务器对UE认证失败,则上述方法还可以包括:AAA服务器向第一SMF发送第三信息,第三信息用于表征对UE认证失败;第一SMF接收第三信息,根据第三信息向AMF发送携带第六信息的PDU会话建立拒绝消息,AMF接收携带有第六信息的PDU会话建立拒绝消息,向UE发送PDU会话建立拒绝消息。
其中,第三信息、第六信息以及PDU会话建立拒绝消息的相关描述可参照图4对应的实施例中所述,不予赘述。
基于图5所示方法,通过在注册流程中实现UE和网络支持PAP或者CHAP的能力协商,UE确定网络支持PAP或者CHAP后,在PDU会话建立请求消息中携带PAP或者CHAP的参数,AMF根据UE支持PAP或者CHAP选择支持PAP或者CHAP的第一SMF,由第一SMF将PAP或者CHAP的参数发送给AAA服务器,确保使用PAP或者CHAP的认证被成功执行,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
下面结合图2所示5G网络,假设终端为UE,移动管理网元为AMF,会话管理网元为SMF,认证与授权服务器为AAA服务器,网络存储网元为UDM,对图4方法中终端通过PDU会话建立流程发送第一信息和第一认证协议的参数的过程进行描述:
图6为本申请实施例提供的又一种认证方法的流程图,该方法在UE完成网络注册后执行,UE完成网络注册的过程可以如现有注册流程所示。如图6所示,所述方法可以包括:
步骤601:UE向AMF发送上行NAS传输消息;上行NAS传输消息携带有第一信息和PDU会话建立请求消息的上行NAS传输消息。
其中,第一信息的相关描述可参照图4或图5对应的实施例中所述,不予赘述。
其中,PDU会话建立请求消息可以用于请求建立传输业务数据的PDU会话。PDU会话建立请求消息可以携带第一认证协议的参数。PDU会话建立请求消息的相关描述可参照步骤504中所述,不予赘述。
步骤602:AMF接收上行NAS传输消息,从上行NAS传输消息中获取第一信息,根据第一信息确定UE支持第一认证协议,从AMF所在网络包括的多个SMF中选择出支持第一认证协议的第一SMF。
其中,步骤602中AMF选择第一SMF的过程可参照步骤505所述,不予赘述。
步骤603:AMF向第一SMF发送携带PDU会话建立请求消息的N11消息。
需要说明的是,若AMF在上行NAS传输消息中接收到数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI),AMF也在N11消息中将数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI)发送给第一SMF。
步骤604:第一SMF接收携带PDU会话建立请求消息的N11消息,向UDM发送第四信息,第四信息携带有数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI)。
其中,本申请不限于第四信息的命名,第四信息还可以命名为会话管理签约数据恢复(SM subscription data retrieval)消息。
步骤605:UDM接收第四信息,根据第四信息确定UE待访问的数据网络或者网络切片有认证需求,向第一SMF发送用于表征UE待访问的数据网络或者网络切片有认证需求的第五信息。
步骤606:第一SMF接收第五信息,第一SMF根据第五信息确定UE待访问的数据网络或者网络切片有认证需求,向AAA服务器发送PDU会话建立请求消息携带的第一认证协议的参数。
相应的,AAA服务器接收第一认证协议的参数,并根据第一认证协议的参数使用第一认证协议对UE进行认证。其中,认证与授权服务器使用第一认证协议对终端进行认证的具体实现为现有技术,在此不再赘述。
进一步的,若AAA服务器对UE认证失败,则上述方法还可以包括:AAA服务器向第一SMF发送第三信息,第三信息用于表征对UE认证失败;第一SMF接收第三信息,根据第三信息向AMF发送携带第六信息的PDU会话建立拒绝消息,AMF接收携带有第六信息的PDU会话建立拒绝消息,向UE发送PDU会话建立拒绝消息。
其中,第三信息、第六信息以及PDU会话建立拒绝消息的相关描述可参照图4对应的实施例中所述,不予赘述。
基于图6所示方法,通过在PDU会话建立流程中上报UE支持第一认证协议的能力信息和第一认证协议的参数,AMF根据UE支持第一认证协议的能力选择支持第一认证协议的SMF,确保使用第一认证协议对UE认证,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
上述图4-图6所示实施例中,以终端通过注册流程或者PDU会话流程发送第一信息和第一认证协议的参数为例,对本申请实施例提供的认证方法进行描述。可替换的,还可以由网络侧主动配置需要对某个特定的数据网络或者网络切片进行认证,以便终端请求建立该数据网络或者网络切片对应的PDU会话时,根据网络侧配置确定数据网络或者网络切片有认证需求,向网络侧设备发送自身支持的第一认证协议的参数,以使得认证与授权服务器使用第一认证协议对终端进行认证。具体的,该过程如图7所示。
图7为本申请实施例提供的再一种认证方法的流程图,如图7所示,所述方法可以包括:
步骤701:终端确定终端待访问的数据网络或网络切片有认证需求。
其中,终端可以为图1中支持第一认证协议的任一终端。移动管理网元可以为管理终端、或与终端连接的移动管理网元。
示例性的,终端可以接收策略控制网元配置的URSP,根据URSP确定终端待访问的数据网络或网络切片有认证需求。终端待访问的数据网络或者网络切片可以指终端请求建立的PDU会话所关联的数据网络或网络切片。
其中,URSP可以用于指示数据网络或网络切片有认证需求,比如URSP中可以包括数据网络或网络切片与认证需求之间的对应关系,终端可以根据该对应关系确定数据网络或网络切片有认证需求。
步骤702:终端向移动管理网元发送第一信息和第一认证协议的参数。
其中,第一认证协议的参数可以携带在PDU会话建立请求消息中。
具体的,第一信息、第一认证协议的参数和PDU会话建立请求消息的相关描述可参照图4或图5或图6对应的实施例中所述,不予赘述。
步骤703:移动管理网元接收第一信息和第一认证协议的参数,根据第一信息确定终端支持第一认证协议,向支持第一认证协议的第一SMF发送第一认证协议的参数。
具体的,步骤703可参照步骤402所述,不予赘述。
步骤704:第一会话管理网元接收第一认证协议的参数,向认证与授权服务器发送第一认证协议的参数。
相应地,认证与授权服务器接收第一认证协议的参数,并根据第一认证协议的参数使用第一认证协议对终端进行认证。其中,认证与授权服务器使用第一认证协议对终端进行认证的具体实现为现有技术,在此不再赘述。
具体的,步骤704的执行过程可参照图4所示步骤403中所述,不予赘述。
进一步的,若认证与授权服务器对终端认证失败,则上述方法还可以包括:认证与授权服务器向第一会话管理网元发送第三信息,第三信息用于表征对终端认证失败;第一会话管理网元接收第三信息,并根据第三信息通过移动管理网元向终端发送第六信息。
其中,第三信息、第六信息的相关描述可参照图4对应的实施例中所述,不予赘述。
基于图7所示方法,由网络侧配置与终端请求建立的PDU会话关联的数据网络或者网络切片有认证需求,以便终端根据网络侧配置将第一认证协议的参数发送给网络侧,确保使用第一认证协议的认证被执行,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
下面结合图2所示5G网络,假设终端为UE,移动管理网元为AMF,会话管理网元为SMF,认证与授权服务器为AAA服务器,对图7所示方法进行描述。
图8为本申请实施例提供的又一种认证方法的流程图,如图8所示,所述方法可以包括:
步骤801:PCF为UE配置URSP,并向UE发送URSP。
其中,UE可以为图2所示5G网络中支持第一认证协议的UE,PCF可以为图2所示5G网络中的PCF。
其中,URSP可以用于指示数据网络或网络切片有认证需求,比如URSP中可以包括数据网络或网络切片与认证需求之间的对应关系。本申请中,数据网络或网络切片与认证需求之间的对应关系可以包括数据网络的标识信息(如DNN)或网络切片的标识信息(如S-NSSAI)之间的对应关系。
例如,假设运营商有针对某个数据网络或网络切片有认证需求的配置需求,PCF可以根据运营商的配置需求,将数据网络对应的DNN或S-NSSAI与认证需求对应存储在URSP中。
示例性的,PCF可以通过AMF向UE发送URSP。
步骤802:UE接收URSP,并保存接收到的URSP,根据URSP确定UE待访问的数据网络或网络切片有认证需求。
其中,步骤801的执行过程与步骤701相同,不予赘述。
步骤803:UE向AMF发送携带第一信息和PDU会话建立请求消息的上行NAS传输消息,PDU会话建立请求消息携带有第一认证协议的参数。
其中,第一信息、PDU会话建立请求消息以及上行NAS传输消息的相关描述可参照上述,不予赘述。
步骤804:AMF接收上行NAS消息,根据第一信息确定UE支持第一认证协议,从AMF所在网络包括的多个SMF中选择出支持第一认证协议的第一SMF。
具体的,步骤804可参照步骤402所述,不予赘述。
步骤805:AMF向第一SMF发送携带PDU会话建立请求消息的N11消息。
需要说明的是,若AMF在上行NAS传输消息中接收到数据网络的标识信息(如DNN)和/或网络切片的标识信息(如S-NSSAI),AMF也在N11消息中将该DNN和/或该S-NSSAI发送给第一SMF。
步骤806:第一SMF接收携带PDU会话建立请求消息的N11消息,向AAA服务器发送PDU会话建立请求消息中携带的第一认证协议的参数。
相应的,AAA服务器接收第一认证协议的参数,并根据第一认证协议的参数使用第一认证协议对UE进行认证。认证与授权服务器使用第一认证协议对终端进行认证的具体实现为现有技术,在此不再赘述。
具体的,步骤806的执行过程可参照步骤507所述,不予赘述。
进一步的,若AAA服务器对UE认证失败,则上述方法还可以包括:AAA服务器向第一SMF发送第三信息,第三信息用于表征对UE认证失败;第一SMF接收第三信息,根据第三信息向AMF发送携带第六信息的PDU会话建立拒绝消息,AMF接收携带有第六信息的PDU会话建立拒绝消息,向UE发送PDU会话建立拒绝消息。
其中,第三信息、第六信息以及PDU会话建立拒绝消息的相关描述可参照图4对应的实施例中所述,不予赘述。
基于图8所示方法,通过PCF在配置URSP规则时设置数据网络或者网络切片有认证需求,使得UE根据URSP确定PDU会话所关联的数据网络或者网络切片有认证需求,在PDU会话建立流程中向AMF发送第一信息以及UE支持的第一认证协议的参数,以使得AMF确定UE支持第一认证协议,选择支持第一认证协议的第一SMF,通过第一SMF将第一认证协议的参数发送给AAA服务器,确保使用第一认证协议对UE进行认证,解决不同终端版本与网络版本支持的认证协议不兼容的问题。
上述主要从各个节点之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,各个节点,例如终端、移动管理网元和第一会话管理网元为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本申请实施例的方法能够以硬件、软件、或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对终端、移动管理网元和第一会话管理网元进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图9示出了一种通信装置90的结构图,该通信装置90可以为终端、终端中的芯片、片上系统或者其他能够实现上述方法中终端的功能的装置等,该通信装置90可以用于执行上述方法实施例中涉及的终端的功能。作为一种可实现方式,图9所示通信装置90包括:发送单元901;进一步的,通信装置90还可以包括处理单元902。
发送单元901,用于向移动管理网元发送第一信息和第一认证协议的参数。其中第一认证协议为PAP或者CHAP,第一信息用于表征终端支持第一认证协议的第一信息,第一认证协议的参数用于使用第一认证对终端进行认证。例如,发送单元901可以用于支持通信装置90执行步骤401、步骤501、步骤504、步骤601、步骤702以及步骤803。
具体的,上述图5-图8所示方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。通信装置90用于执行图5-图8所示认证方法中终端的功能,因此可以达到与上述认证方法相同的效果。
在本实施例中,该通信装置90还可以采用集成的方式划分各个功能模块的形式来呈现。这里的“功能模块”可以指专用集成电路(application specific integratedcircuit,ASIC),电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该通信装置90可以采用图3所示的通信装置300的形式。
比如,图3所示的通信装置300中的处理器301可以通过调用存储器304中保存的计算机执行指令,使得通信装置300执行上述方法实施例中的认证方法。
具体的,图9中的发送单元901的功能/实现过程可以通过图3所示的通信装置300中的处理器301调用存储器304中保存的计算机执行指令来实现,或者,通过图3中所示的通信装置300中的通信接口303来实现。图9中的处理单元902的功能/实现过程可以通过图3中所示的通信装置300中的处理器301来实现。
图10示出了一种通信装置100的结构图,该通信装置100可以为移动管理网元、移动管理网元中的芯片、片上系统或者其他能够实现上述方法中移动管理网元的功能的装置等,该通信装置100可以用于执行上述方法实施例中涉及的移动管理网元的功能。作为一种可实现方式,图10所示通信装置100可以包括接收单元1001和发送单元1002。
接收单元1001,用于接收来自终端的第一信息和第一认证协议的参数,第一信息用于表征终端支持第一认证协议,第一认证协议的参数用于使用第一认证协议对终端进行认证,第一认证协议为PAP或者CHAP。例如,接收单元1001可以支持通信装置100执行步骤402、步骤502、步骤602、步骤703以及步骤804;
发送单元1002,用于根据第一信息,向支持第一认证协议的第一会话管理网元发送第一认证协议的参数。例如,发送单元1002可以支持通信装置100执行步骤402、步骤506、步骤603、步骤703以及步骤805。
具体的,上述图5-图8所示方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。通信装置100用于执行图5-图8所示认证方法中移动管理网元的功能,因此可以达到与上述认证方法相同的效果。
在本实施例中,该通信装置100还可以采用集成的方式划分各个功能模块的形式来呈现。这里的“功能模块”可以指ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该通信装置100可以采用图3所示的通信装置300的形式。
具体的,图10中的接收单元1001和发送单元1002的功能/实现过程可以通过图3所示的通信装置300中的处理器301调用存储器304中保存的计算机执行指令来实现,或者,通过图3中所示的通信装置300中的通信接口303来实现。
图11示出了一种通信装置110的结构图,该通信装置110可以为第一会话管理网元、第一会话管理网元中的芯片、片上系统或者其他能够实现上述方法中第一会话管理网元的功能的装置等,该通信装置110可以用于执行上述方法实施例中涉及的第一会话管理网元的功能。作为一种可实现方式,图11所示通信装置110可以包括接收单元1101和发送单元1102。
接收单元1101,用于接收来自移动管理网元的第一认证协议的参数。例如,接收单元1101可以用于支持通信装置110执行步骤403、步骤507、步骤606、步骤704以及步骤806。
发送单元1102,用于向认证与授权服务器发送第一认证协议的参数;其中,第一认证协议的参数用于使用第一认证协议对终端进行认证。例如,发送单元1102可以用于支持通信装置110执行步骤403、步骤507、步骤606、步骤704以及步骤806。
具体的,上述图5-图8所示方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。通信装置110用于执行图5-图8所示认证方法中第一会话管理网元的功能,因此可以达到与上述认证方法相同的效果。
在本实施例中,该通信装置110还可以采用集成的方式划分各个功能模块的形式来呈现。这里的“功能模块”可以指ASIC,电路,执行一个或多个软件或固件程序的处理器和存储器,集成逻辑电路,和/或其他可以提供上述功能的器件。在一个简单的实施例中,本领域的技术人员可以想到该通信装置110可以采用图3所示的通信装置300的形式。
具体的,图11中的接收单元1101和发送单元1102的功能/实现过程可以通过图3所示的通信装置300中的处理器301调用存储器304中保存的计算机执行指令来实现,或者,通过图3中所示的通信装置300中的通信接口303来实现。
图12为本申请实施例提供的一种通信网络的结构图,如图12所示,该通信网络可以包括:终端120、移动管理网元121、第一会话管理网元122、认证与授权服务器123。需要说明的是,图12仅为示例性附图,本申请实施例不限定图12所示通信网络包括的网元以及网元的个数。
其中,终端120具有上述图5至图8所示的一个或多个方法中终端的功能。移动管理网元121具有上述图5至图8所示的一个或多个方法中移动管理网元的功能。第一会话管理网元122具有上述图5至图8所示的一个或多个方法中第一会话管理网元的功能。认证与授权服务器123具有上述图5至图8所示的一个或多个方法中认证与授权服务器的功能。第二无线控制装置124具有图5至图8所示的一个或多个方法中第二无线控制装置的功能。
本申请实施例还提供了一种计算机可读存储介质。上述方法实施例中的全部或者部分流程可以由计算机程序来指令相关的硬件完成,该程序可存储于上述计算机可读存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。计算机可读存储介质可以是前述任一实施例的终端装置,如:包括数据发送端和/或数据接收端的内部存储单元,例如终端装置的硬盘或内存。上述计算机可读存储介质也可以是上述终端装置的外部存储设备,例如上述终端装置上配备的插接式硬盘,智能存储卡(smart media card,SMC),安全数字(secure digital,SD)卡,闪存卡(flash card)等。进一步地,上述计算机可读存储介质还可以既包括上述终端装置的内部存储单元也包括外部存储设备。上述计算机可读存储介质用于存储上述计算机程序以及上述终端装置所需的其他程序和数据。上述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。
本申请实施例还提供了一种计算机指令。上述方法实施例中的全部或者部分流程可以由计算机指令来指令相关的硬件(如计算机、处理器、网络设备、和终端等)完成。该程序可被存储于上述计算机可读存储介质中。
在本申请实施例中,“/”可以表示前后关联的对象是一种“或”的关系,例如,A/B可以表示A或B;“和/或”可以用于描述关联对象存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。为了便于描述本申请实施例的技术方案,在本申请实施例中,可以采用“第一”、“第二”等字样对功能相同或相似的技术特征进行区分。该“第一”、“第二”等字样并不对数量和执行次序进行限定,并且“第一”、“第二”等字样也并不限定一定不同。在本申请实施例中,“示例性的”或者“例如”等词用于表示例子、例证或说明,被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念,便于理解。
在本申请实施例中,对于一种技术特征,通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征,该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。
应理解,在本申请实施例中,“与A对应的B”表示B与A相关联。例如,可以根据A可以确定B。还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。此外,本申请实施例中出现的“连接”是指直接连接或者间接连接等各种连接方式,以实现设备间的通信,本申请实施例对此不做任何限定。
本申请实施例中出现的“传输”(transmit/transmission)如无特别说明,是指双向传输,包含发送和/或接收的动作。具体地,本申请实施例中的“传输”包含数据的发送,数据的接收,或者数据的发送和数据的接收。或者说,这里的数据传输包括上行和/或下行数据传输。数据可以包括信道和/或信号,上行数据传输即上行信道和/或上行信号传输,下行数据传输即下行信道和/或下行信号传输。本申请实施例中出现的“网络”与“系统”表达的是同一概念,通信系统即为通信网络。
本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理器中,也可以是单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
本申请实施例提供的技术方案可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、无线控制装置、网络设备、终端设备或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机可以存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,数字视频光盘(digital video disc,DVD))、或者半导体介质等。
在本申请实施例中,在无逻辑矛盾的前提下,各实施例之间可以相互引用,例如方法实施例之间的方法和/或术语可以相互引用,例如装置实施例之间的功能和/或术语可以相互引用,例如装置实施例和方法实施例之间的功能和/或术语可以相互引用。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何在本申请实施例揭露的技术范围内的变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。
Claims (42)
1.一种认证方法,其特征在于,所述方法还包括:
终端向移动管理网元发送第一信息和第一认证协议的参数;
其中,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP,所述第一信息用于表征所述终端支持所述第一认证协议;所述第一认证协议的参数用于使用所述第一认证协议对所述终端进行认证。
2.根据权利要求1所述的方法,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
3.根据权利要求1或2所述的方法,其特征在于,
所述第一信息携带在注册请求消息中。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述终端接收来自所述移动管理网元的注册接受消息;其中,所述注册接受消息用于响应所述注册请求消息,所述注册接受消息携带有第二信息,所述第二信息用于表征所述终端请求注册的网络支持所述第一认证协议;
所述终端向所述移动管理网元发送第一认证协议的参数,包括:
所述终端根据所述第二信息,向所述移动管理网元发送所述第一认证协议的参数。
5.根据权利要求1所述的方法,其特征在于,
所述第一信息携带在上行非接入层NAS传输消息。
6.根据权利要求5所述的方法,其特征在于,
所述上行NAS传输消息还携带有PDU会话建立请求消息,所述PDU会话建立请求消息携带有所述第一认证协议的参数。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
所述终端接收来自所述移动管理网元的第三信息;其中,所述第三信息用于表征对所述终端认证失败。
8.一种认证方法,其特征在于,所述方法包括:
移动管理网元接收来自终端的第一信息和第一认证协议的参数;其中,所述第一信息用于表征所述终端支持所述第一认证协议,所述第一认证协议的参数用于使用所述第一认证协议对所述终端进行认证,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP;
所述移动管理网元根据所述第一信息,向第一会话管理网元发送所述第一认证协议的参数,所述第一会话管理网元支持所述第一认证协议。
9.根据权利要求8所述的方法,其特征在于,所述移动管理网元根据所述第一信息,向第一会话管理网元发送所述第一认证协议的参数,包括:
所述移动管理网元根据所述第一信息选择所述第一会话管理网元;
所述移动管理网元向所述第一会话管理网元发送所述第一认证协议的参数。
10.根据权利要求8或9所述的方法,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
11.根据权利要求8-10任一项所述的方法,其特征在于,
所述第一信息携带在注册请求消息中。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
所述移动管理网元向所述终端发送注册接受消息;其中,所述注册接受消息用于响应所述注册请求消息,所述注册接受消息携带有第二信息,所述第二信息用于表征所述终端请求注册的网络支持所述第一认证协议。
13.根据权利要求8或9所述的方法,其特征在于,
所述第一信息携带在上行非接入层NAS传输消息。
14.根据权利要求13所述的方法,其特征在于,
所述上行NAS传输消息还携带有PDU会话建立请求消息,所述PDU会话建立请求消息携带有所述第一认证协议的参数。
15.根据权利要求8-14任一项所述的方法,其特征在于,所述方法还包括:
所述移动管理网元向所述终端发送第三信息;其中,所述第三信息用于表征对所述终端认证失败。
16.一种认证方法,其特征在于,所述方法包括:
第一会话管理网元接收来自移动管理网元的第一认证协议的参数;其中,所述第一会话管理网元支持所述第一认证协议,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP;
所述第一会话管理网元向认证与授权服务器发送所述第一认证协议的参数,所述第一认证协议的参数用于使用所述第一认证协议对终端进行认证。
17.根据权利要求16所述的方法,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
18.根据权利要求16或17所述的方法,其特征在于,在所述第一会话管理网元向认证与授权服务器发送所述第一认证协议的参数之前,所述方法还包括:
所述第一会话管理网元向网络存储网元发送第四信息;其中,所述第四信息携带有所述终端待访问的数据网络的标识信息或网络切片的标识信息;
所述第一会话管理网元接收来自所述网络存储网元的第五信息;其中,所述第五信息用于表征所述终端待访问的所述数据网络或所述网络切片有认证需求。
19.根据权利要求16-18任一项所述的方法,其特征在于,所述方法还包括:
所述第一会话管理网元接收来自所述认证与授权服务器的第三信息;其中,所述第三信息用于表征对所述终端认证失败;
所述第一会话管理网元向所述移动管理网元发送所述第三信息。
20.一种通信装置,其特征在于,所述通信装置还包括:
发送单元,用于向移动管理网元发送第一信息和第一认证协议的参数;
其中,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP,所述第一信息用于表征终端支持所述第一认证协议;所述第一认证协议的参数用于使用所述第一认证协议对所述终端进行认证。
21.根据权利要求20所述的装置,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
22.根据权利要求20或21所述的装置,其特征在于,
所述第一信息携带在注册请求消息中。
23.根据权利要求22所述的装置,其特征在于,所述装置还包括:
接收单元,用于接收来自所述移动管理网元的注册接受消息;其中,所述注册接受消息用于响应所述注册请求消息,所述注册接受消息携带有第二信息,所述第二信息用于表征所述终端请求注册的网络支持所述第一认证协议;
所述发送单元,具体用于根据所述第二信息,向所述移动管理网元发送所述第一认证协议的参数。
24.根据权利要求20所述的装置,其特征在于,
所述第一信息携带在上行非接入层NAS传输消息。
25.根据权利要求24所述的装置,其特征在于,
所述上行NAS传输消息还携带有PDU会话建立请求消息,所述PDU会话建立请求消息携带有所述第一认证协议的参数。
26.根据权利要求20-25任一项所述的装置,其特征在于,所述装置还包括:
接收单元,所述终端接收来自所述移动管理网元的第三信息;其中,所述第三信息用于表征对所述终端认证失败。
27.一种通信装置,其特征在于,所述通信装置包括:
接收单元,用于接收来自终端的第一信息和第一认证协议的参数;其中,所述第一信息用于表征所述终端支持所述第一认证协议,所述第一认证协议的参数用于使用所述第一认证协议对所述终端进行认证,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP;
发送单元,用于根据所述第一信息,向第一会话管理网元发送所述第一认证协议的参数,所述第一会话管理网元支持所述第一认证协议。
28.根据权利要求27所述的装置,其特征在于,所述通信装置,还包括:
处理单元,用于所述移动管理网元根据所述第一信息选择所述第一会话管理网元。
29.根据权利要求27或28所述的装置,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
30.根据权利要求27-29任一项所述的装置,其特征在于,
所述第一信息携带在注册请求消息中。
31.根据权利要求30所述的装置,其特征在于,
所述发送单元,还用于向所述终端发送注册接受消息;其中,所述注册接受消息用于响应所述注册请求消息,所述注册接受消息携带有第二信息,所述第二信息用于表征所述终端请求注册的网络支持所述第一认证协议。
32.根据权利要求27或28所述的装置,其特征在于,
所述第一信息携带在上行非接入层NAS传输消息。
33.根据权利要求32所述的装置,其特征在于,
所述上行NAS传输消息还携带有PDU会话建立请求消息,所述PDU会话建立请求消息携带有所述第一认证协议的参数。
34.根据权利要求27-33任一项所述的装置,其特征在于,所述装置还包括:
所述发送单元,还用于向所述终端发送第三信息;其中,所述第三信息用于表征对所述终端认证失败。
35.一种通信装置,其特征在于,所述通信装置包括:
接收单元,用于接收来自移动管理网元的第一认证协议的参数;其中,所述第一会话管理网元支持所述第一认证协议,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP;
发送单元,用于向认证与授权服务器发送所述第一认证协议的参数,所述第一认证协议的参数用于使用所述第一认证协议对终端进行认证。
36.根据权利要求35所述的装置,其特征在于,所述第一认证协议的参数携带在协议数据单元PDU会话建立请求消息中。
37.根据权利要求35或36所述的装置,其特征在于,在所述发送单元向认证与授权服务器发送所述第一认证协议的参数之前,所述发送单元,还用于:
向网络存储网元发送第四信息;其中,所述第四信息携带有所述终端待访问的数据网络的标识信息或网络切片的标识信息;
所述接收单元,还用于接收来自所述网络存储网元的第五信息;其中,所述第五信息用于表征所述终端待访问的所述数据网络或所述网络切片有认证需求。
38.根据权利要求35-37任一项所述的装置,其特征在于,
所述接收单元,还用于接收来自所述认证与授权服务器的第三信息;其中,所述第三信息用于表征对所述终端认证失败;
所述发送单元,还用于向所述移动管理网元发送所述第三信息。
39.一种通信系统,其特征在于,所述通信系统包括:终端、移动管理网元以及第一会话管理网元;
终端,用于向所述移动管理网元发送第一信息和第一认证协议的参数;其中,所述第一认证协议为密码认证协议PAP或者挑战握手认证协议CHAP,所述第一信息用于表征所述终端支持所述第一认证协议;所述第一认证协议的参数用于使用所述第一认证协议对所述终端进行认证;
移动管理网元,用于接收来自终端的第一信息和第一认证协议的参数,根据所述第一信息,向第一会话管理网元发送所述第一认证协议的参数,所述第一会话管理网元支持所述第一认证协议;
第一会话管理网元,用于接收来自移动管理网元的第一认证协议的参数,向认证与授权服务器发送所述第一认证协议的参数。
40.一种通信装置,其特征在于,包括:存储器以及与所述存储器耦合的处理器,所述存储器用于存储程序,所述处理器用于执行所述存储器存储的所述程序;当所述通信装置运行时,所述处理器运行所述程序,使得所述通信装置执行上述权利要求1-7中任一项所述的方法或权利要求8-15中任一项所述的方法或16-19中任一项所述的方法。
41.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,当所述计算机程序被计算机执行时使得所述计算机执行上述权利要求1-7中任一项所述的方法或权利要求8-15中任一项所述的方法或16-19中任一项所述的方法。
42.一种计算机程序产品,其特征在于,包括:指令,当所述计算机程序产品在计算机上运行时,使得计算机执行上述权利要求1-7中任一项所述的方法或权利要求8-15中任一项所述的方法或16-19中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011451665.6A CN114629627A (zh) | 2020-12-09 | 2020-12-09 | 一种认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011451665.6A CN114629627A (zh) | 2020-12-09 | 2020-12-09 | 一种认证方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114629627A true CN114629627A (zh) | 2022-06-14 |
Family
ID=81895742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011451665.6A Pending CN114629627A (zh) | 2020-12-09 | 2020-12-09 | 一种认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114629627A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150829A (zh) * | 2022-09-02 | 2022-10-04 | 北京首信科技股份有限公司 | 一种网络访问权限管理方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019033269A1 (zh) * | 2017-08-15 | 2019-02-21 | 华为技术有限公司 | 一种会话建立的方法及设备 |
WO2020123158A1 (en) * | 2018-12-13 | 2020-06-18 | Apple Inc. | Secondary authentication for wwan vpn |
-
2020
- 2020-12-09 CN CN202011451665.6A patent/CN114629627A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019033269A1 (zh) * | 2017-08-15 | 2019-02-21 | 华为技术有限公司 | 一种会话建立的方法及设备 |
WO2020123158A1 (en) * | 2018-12-13 | 2020-06-18 | Apple Inc. | Secondary authentication for wwan vpn |
Non-Patent Citations (1)
Title |
---|
""C3-205364-DAD after email approval for CT3#112e meeting_2411"", 3GPP TSG_CT\\WG3_INTERWORKING_EX-CN3, 24 November 2020 (2020-11-24), pages 42 - 48 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115150829A (zh) * | 2022-09-02 | 2022-10-04 | 北京首信科技股份有限公司 | 一种网络访问权限管理方法及装置 |
CN115150829B (zh) * | 2022-09-02 | 2022-11-08 | 北京首信科技股份有限公司 | 一种网络访问权限管理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11825307B2 (en) | Systems and methods of supporting device triggered re-authentication of slice-specific secondary authentication and authorization | |
US11451950B2 (en) | Indirect registration method and apparatus | |
US11323440B2 (en) | Secure access method, device, and system | |
EP3860176B1 (en) | Method, apparatus, and system for obtaining capability information of terminal | |
US8631232B2 (en) | Wireless personal area network accessing method | |
US20210045050A1 (en) | Communications method and apparatus | |
WO2022142446A1 (zh) | 一种鉴权方法及通信装置 | |
US20230048066A1 (en) | Slice authentication method and apparatus | |
WO2021132093A1 (ja) | Amfノード及びその方法 | |
WO2019024744A1 (zh) | 获取终端设备的身份标识的方法及装置 | |
CN114071639A (zh) | 接入网络的方法、通信系统和通信装置 | |
EP3025534B1 (en) | Providing telephony services over wifi for non-cellular devices | |
CN114629627A (zh) | 一种认证方法及装置 | |
US20230232228A1 (en) | Method and apparatus for establishing secure communication | |
CN115669185A (zh) | 数据传输方法、设备及存储介质 | |
WO2019196668A1 (zh) | 一种信息发送方法、密钥生成方法以及装置 | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
WO2021195816A1 (zh) | 一种通信方法、装置及系统 | |
CN115706997A (zh) | 授权验证的方法及装置 | |
WO2021132087A1 (ja) | Amfノード及びその方法 | |
JP7428265B2 (ja) | 通信端末及びその方法 | |
WO2024104246A1 (zh) | 通信方法和通信装置 | |
RU2816700C1 (ru) | Способ и устройство сетевого присоединения в реальном времени | |
WO2023116556A1 (zh) | 会话切换的方法和装置 | |
CN117641342A (zh) | 通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |