CN115022877A - 终端鉴权方法、装置、电子设备及计算机可读存储介质 - Google Patents
终端鉴权方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115022877A CN115022877A CN202210825218.5A CN202210825218A CN115022877A CN 115022877 A CN115022877 A CN 115022877A CN 202210825218 A CN202210825218 A CN 202210825218A CN 115022877 A CN115022877 A CN 115022877A
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal
- authentication type
- type
- udm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 103
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 230000008569 process Effects 0.000 claims abstract description 51
- 230000000977 initiatory effect Effects 0.000 claims abstract description 21
- 238000013523 data management Methods 0.000 claims abstract description 11
- 230000006870 function Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 20
- 230000000737 periodic effect Effects 0.000 claims description 15
- 238000001514 detection method Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 9
- 230000009191 jumping Effects 0.000 claims description 8
- 238000007726 management method Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract description 9
- 238000012423 maintenance Methods 0.000 abstract description 5
- 230000005856 abnormality Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种终端鉴权方法、装置、电子设备及计算机可读存储介质,用以解决5G行业专网环境下,外部网络传输故障所导致的应用层中断时的终端鉴权问题,包括:若接收到终端的鉴权请求,则基于鉴权请求分析终端的鉴权类型;判断终端的鉴权类型是否为第一鉴权类型,若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能/统一数据管理功能AUSF/UDM网元发起所述终端的鉴权流程。本申请利用AMF网元识别终端的鉴权类型,并根据终端的鉴权类型向AUSF/UDM网元发起鉴权流程,此过程无需在企业园区下沉应急UDM即可实现终端的高效鉴权,降低了工业企业新增部署成本和运维成本,同时也不会为运营商引入新的网络安全风险。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种终端鉴权方法、装置、电子设备及计算机可读存储介质。
背景技术
为满足大带宽低时延以及数据不能出园区等业务的服务级别协议(ServiceLevel Agreement,简称SLA)要求,工业企业第五代移动通信技术(5th Generation MobileCommunication Technology,简称5G)行业专网的核心网通常采用5G用户面下沉至企业园区、5G控制面复用运营商网络5GC的部署模式。
然而,在此5G行业专网环境下,一旦企业园区外部网络传输故障,将会导致5G用户面与控制面失联,无法提供企业园区内部终端接入及惯性运行所需的网络服务,进而导致应用层中断,最终影响企业生产。为此,需提供5G行业专网高可靠运行机制,其中的重要一环是解决运营商5G控制面失联前提下的企业园区终端鉴权问题。
因此,提出一种能够对终端进行高效鉴权以保障5G行业专网的可靠运行方案是目前亟待解决的问题。
发明内容
鉴于上述问题,本申请提供一种终端鉴权方法、装置、电子设备及计算机可读存储介质,用以解决5G行业专网环境下,外部网络传输故障所导致的应用层中断时的终端鉴权问题。
为了实现上述目的,本申请提供如下技术方案:
根据本申请的一方面,提供一种终端鉴权方法,应用于认证管理功能AMF网元,所述方法包括:
若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型;
判断所述终端的鉴权类型是否为第一鉴权类型;
若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能/统一数据管理功能AUSF/UDM网元发起所述终端的鉴权流程。
在一种实施方式中,在基于所述鉴权请求分析所述终端的鉴权类型之前,还包括:
获取预先为所述终端设置的第一鉴权类型和第二鉴权类型,所述第一鉴权类型用于指示直接发起所述终端的鉴权流程,所述第二鉴权类型用于指示在预设条件下发起所述终端的鉴权流程。
在一种实施方式中,若所述终端的鉴权类型不是第一鉴权类型,还包括:
判断所述终端的鉴权类型是否为第二鉴权类型;
若所述终端的鉴权类型为第二鉴权类型,则在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程。
在一种实施方式中,在基于所述鉴权请求分析所述终端的鉴权类型之前,还包括:
判断所述终端是否具有安全上下文信息;
若具有安全上下文信息,则执行基于所述鉴权请求分析所述终端的鉴权类型的步骤。
在一种实施方式中,若不存在所述终端的安全上下文信息,还包括:
跳出基于所述鉴权请求分析所述终端的鉴权类型的步骤,并向所述终端返回鉴权失败信息。
在一种实施方式中,在基于所述鉴权请求分析所述终端的鉴权类型之后,以及判断所述终端的鉴权类型是否为第一鉴权类型之前,还包括:
获取AMF与AUSF/UDM之间的链路状态信息的周期性检测结果;
基于所述周期性检测结果判断AMF与UDM/AUSF当前是否存在通信异常;
若AMF与UDM/AUSF当前不存在通信异常,则执行判断所述终端的鉴权类型是否为第一鉴权类型的步骤。
在一种实施方式中,若AMF与UDM/AUSF当前存在通信异常,还包括:
若所述终端的鉴权类型为第一鉴权类型,则跳出向AUSF/UDM网元发起所述终端的鉴权流程的步骤,并向所述终端返回鉴权失败信息;
若所述终端的鉴权类型为第二鉴权类型,则跳出在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程的步骤,并向所述终端返回鉴权通过信息。
根据本申请的另一方面,提供一种终端鉴权装置,应用于AMF网元,包括:
分析模块,其设置为若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型;
判断模块,其设置为判断所述终端的鉴权类型是否为第一鉴权类型;
第一鉴权发起模块,其设置为若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能网元/统一数据管理网元AUSF/UDM发起所述终端的鉴权流程。
根据本申请的又一方面,提供一种电子设备,包括:存储器和处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述电子设备执行所述的终端鉴权方法。
根据本申请的再一方面,提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现所述的终端鉴权方法。
根据本申请提供的终端鉴权方法、装置、电子设备及计算机可读存储介质,通过在接收到终端的鉴权请求时,基于所述鉴权请求分析所述终端的鉴权类型,并在所述终端的鉴权类型为第一鉴权类型时,向认证服务器功能/统一数据管理功能AUSF/UDM网元发起所述终端的鉴权流程。本申请利用AMF网元识别终端的鉴权类型,并根据终端的鉴权类型向AUSF/UDM网元发起鉴权流程,此过程无需在企业园区下沉应急UDM即可实现终端的高效鉴权,降低了工业企业新增部署成本和运维成本,同时也不会为运营商引入新的网络安全风险。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种可能的场景示意图;
图2a为本申请实施例提供的一种终端鉴权方法的流程示意图之一;
图2b为本申请实施例提供的一种终端鉴权方法的流程示意图之二;
图3为本申请实施例提供的另一种终端鉴权方法的流程示意图;
图4为本申请实施例提供的又一种终端鉴权方法的流程示意图;
图5为本申请实施例提供的一种终端鉴权装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
3GPP协议规定,当用户终端(UE)接入到5G网络时,由接入和移动管理功能(AccessManagement Function,AMF)发起鉴权流程。AMF与AUSF交互并向UDM发送鉴权请求消息,UDM根据用户签约信息选择鉴权方式并完成鉴权。当用户发起初始注册流程、移动注册更新流程、周期注册更新流程、UE发起的服务请求等都需要执行鉴权流程。
相关技术中,在企业园区外部网络传输故障时,5G用户面与控制面失联,为了保障5G行业专网高可靠运行机制,对于企业园区的终端鉴权,主要通过在企业园区下沉部署应急统一数据管理(Unified Data Management,简称UDM)网元,与运营商网络UDM形成主备,借此保障运营商网络传输故障时园区终端接入时的鉴权。但容易产生以下问题:第一,企业园区新增5G控制面网元将增加部署成本和运维成本;第二,园区应急UDM与运营商网络UDM需实现自动同步,存在用户信息泄露和网络安全风险;第三,运营商出于安全考虑,通常不允许将号卡签约管理和鉴权管理,即认证服务器功能/统一数据管理功能(Unified DataManagement/Authentication Server Function,简称UDM/AUSF)网元下沉到企业园区,因而该技术方案存在部署难度。
有鉴于此,本申请实施例提供了一种终端鉴权方法、装置、电子设备及计算机可读存储介质,AMF在接收到终端的鉴权请求时,通过识别终端的鉴权类型,并根据终端的鉴权类型向认证服务器功能/统一数据管理功能AUSF/UDM网元发起终端的鉴权流程,本实施例基于5G行业专网特点及5G双向鉴权特性,可在满足5G用户身份验证和5G网络安全的前提下,针对运营商网络UDM断链场景对用户鉴权流程进行优化处理,保障在网用户的正常运行,实现应急鉴权优化,满足企业园区用户终端的注册鉴权接入需求,同时不需工业企业新增部署成本和运维成本,也不为运营商引入新的网络安全风险。
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请的实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。在附图中,自始至终相同或类似的标号表示相同或类似的部件或具有相同或类似功能的部件。所描述的实施例是本申请一部分实施例,而不是全部的实施例。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请实施例提供的一种可能的场景示意图,如图1所示,包括核心机房和工业园区,在该场景下,工业园区外部网络传输故障,终端UE通过无线接入网NGRAN发起终端鉴权请求,AMF网元接收UE的终端鉴权请求,进而向核心网的AUSF/UDM网元发起终端的鉴权流程。
其中,终端UE可以包括但不限于电脑、智能手机、平板电脑、电子书阅读器、动态影像专家压缩标准音频层面3(Moving Picture experts group audio layer III,简称MP3)播放器、动态影像专家压缩标准音频层面4(Moving Picture experts group audio layerIV,简称MP4)播放器、便携计算机、车载电脑、可穿戴设备、台式计算机、机顶盒、智能电视等等。
可选地,上述终端的数量可以更多或更少,本申请实施例对此不加以限定。
上面对本申请的场景示意图进行了简单说明,下面以应用于图1中的AMF为例,对本申请的技术方案进行详细说明。本申请的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
请参照图2a,图2a为本申请实施例提供一种终端鉴权方法的流程示意图,所述方法应用于AMF,所述方法包括步骤S201-S203。
需要说明的是,5G鉴权触发场景包括初始注册流程、移动性注册更新流程、周期性注册更新流程和UE发起的服务请求流程。
由于企业园区用户终端实际业务需求为,在特定区域使用专用网络进行接入,因此网络侧对用户位置信息或其他实时信息不敏感。
更进一步的,在用户已完成首次鉴权并且未发生去鉴权操作的前提下,AMF上已保存有终端的合法上下文信息,终端在应急场景中的移动性注册更新流程、周期性注册更新流程和UE发起的服务请求流程中经由AMF/AUSF发送给UDM的信息为非必要信息,可以减少或者不上报。基于此考虑,本申请实施例提供了一种5G行业专网的高可靠运行方案,尤其是针对应急鉴权的优化方案。
步骤S201、若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型。
可以理解的是,在企业园区外部网络传输故障时,5G用户面与控制面失联,无法提供企业园区内部终端接入及惯性运行所需的网络服务。此时需要为终端进行重新鉴权并为其提供服务。示例性的,终端触发了某网络业务流程(例如终端发起移动性注册更新流程),此时由于网络传输故障等原因,终端处于网络断开状态,终端会自动发起鉴权请求。
相关技术中,为了实现对终端的快速鉴权,以保障5G行业的可靠运行,通常采用在企业园区部署应急UDM,此方式不仅增加了部署成本和运维成本,与此同时,针对终端的不同的鉴权类型,均需要频繁进行鉴权流程,同时加重了应急UDM的工作量。而在本实施例中,无需在企业园区建立应急UDM,而是利用AMF分析终端的鉴权类型,进而提供终端的应急鉴权,在保障终端网络的可靠性运行的同时,无需增加成本,同时可以根据不同的鉴权类型实现灵活鉴权。
在一种实施方式中,所述若接收到终端的鉴权请求,包括以下步骤:
基于N1链路从无线接入网NGRAN接收终端的鉴权请求。
可以理解的是,在移动通信网络中,终端通过无线网络接入核心网后再进行通信,期间终端与核心网间的链路对终端的接入、移动及业务有着决定性的作用,而这些链路大多都是逻辑链路,而在5G(NR)网络中承载UE与AMF之间信令传递的就是N1接口(链路)。
在其它实施方式中,还可以基于N3、N4链路、N11链路,经过用户平面功能(Userplane function,简称UPF)、会话管理功能(Session Management function,简称SMF)等网元接收终端的鉴权请求,具体可参照图1。
在一种优选的实施方式中,在基于所述鉴权请求分析所述终端的鉴权类型(步骤S201)之前,所述方法还包括以下步骤:
获取预先为所述终端设置的第一鉴权类型和第二鉴权类型,所述第一鉴权类型用于指示直接发起所述终端的鉴权流程,所述第二鉴权类型用于指示在预设条件下发起所述终端的鉴权流程。
其中,第一鉴权类型和第二鉴权类型可以是AMF预先设定的,也可以其它设备预先为AMF设定并由AMF从其它设备获取到的,其中第一鉴权类型和第二鉴权类型为AMF的鉴权触发类型,具体地,第一鉴权类型为必须鉴权类型,用于指示直接发起所述终端的鉴权流程。
步骤S202、判断所述终端的鉴权类型是否为第一鉴权类型,若所述终端的鉴权类型为第一鉴权类型,则执行步骤S203,否则结束流程,或者执行步骤S204。
步骤S203、向认证服务器功能/统一数据管理功能AUSF/UDM网元发起所述终端的鉴权流程。
本实施例中,针对第一鉴权类型,AMF直接向AUSF/UDM网元发起鉴权流程,以保障5G行业网络的可靠运行,而对于非第一鉴权类型,AMF可以根据自身计算压力、处理压力以及鉴权类型的重要程度进一步完成鉴权流程的发起。
相较于相关技术中,通过在企业园区下沉部署应急UDM,与运营商网络UDM形成主备,借此保障运营商网络传输故障时园区终端接入时的鉴权,本实施例通过分析终端的鉴权类型的方式,利用AMF向核心网鉴权AUSF/UDM网元上报的方式,不仅解决了终端的应急鉴权需求,同时没有增加任何硬件成本,且鉴权过程简单、高效。
进一步地,在步骤S202之后,若所述终端的鉴权类型不是第一鉴权类型,如图2b所示,还包括以下步骤:
步骤S204、判断所述终端的鉴权类型是否为第二鉴权类型,若所述终端的鉴权类型为第二鉴权类型,则执行步骤S205,否则结束流程并按照现有技术完成终端鉴权;
步骤S205、在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程。
示例性的,初始注册流程设置为第一鉴权类型;第二鉴权类型为可选鉴权类型,在预设条件下发起所述终端的鉴权流程,例如将移动注册更新流程、周期注册更新流程、UE发起的服务请求流程的鉴权类型设置为可选鉴权类型。在一些示例中,可以根据实际业务需求灵活配置相应的鉴权类型为必须鉴权类型。
需要说明的是,本领域技术人员可以结合实际应用和现有技术对预设条件进行适应性设定,例如AMF处理压力,或者业务重要程度,示例性的,AMF处理压力较小(比方必选鉴权流程较多情况)时,为可选鉴权类型的鉴权流程同样发起鉴权流程,而在AMF处理压力较大时,选择性为可选鉴权类型中某些相对重要的鉴权流程发起鉴权流程,在一些示例中,对于安全性较高的鉴权流程可以直接bypass鉴权流程,直接继续进行后续业务流程,以便于业务的连续进行。
请参照图3,图3为本申请实施例提供的另一种终端鉴权方法的流程示意图,在上述实施例的基础上,本实施例考虑到AMF在接收终端请求时,考虑到有些终端不具备安全上下文信息,其安全性相较于具有安全上下文的终端更低,为了进一步提高网络的安全可靠性,本实施例对于没有安全上下文信息的终端的鉴权流程进一步优化。具体的,在基于所述鉴权请求分析所述终端的鉴权类型(步骤S201)之前,还包括步骤S301。
步骤S301、判断所述终端是否具有安全上下文信息,若具有安全上下文信息,则执行步骤S201基于所述鉴权请求分析所述终端的鉴权类型。
具体地,AMF可以根据终端上报的用户身份信息---全局唯一的临时UE标识和国际移动用户识别码(GloballyUniqueTemporaryIdentifier/InternationalMobileSubscriberIdentificationNumber,简称GUTI/IMSI)等信息判断出当前终端已保存有合法的安全上下文信息,在一些实施例中,还可以根据终端接入的具体条件来判断终端鉴权的其它附加信息,例如对于终端鉴权过程中包括5G加密连接信息,则判断是否存在5G加密连接等信息。
可以理解的是,安全上下文作为终端鉴权的加密防线,如果终端不具备合法的安全上下文信息,其相对于具有安全上下文的终端安全性更低,为其鉴权也更加迫切。
进一步地,本实施例在上述应急场景下,AMF去除鉴权类型分析流程,直接根据终端请求流程返回鉴权失败信息。具体地,在步骤S301之后,若不存在所述终端的安全上下文信息,还包括以下步骤S302:
跳出基于所述鉴权请求分析所述终端的鉴权类型的步骤,并执行步骤S302向所述终端返回鉴权失败信息。
在一些实施例中,在跳出步骤S202后,可以对终端返回去鉴权失败的信息,在具备安全上下文的条件下再进行鉴权,以进一步保障网络的安全可靠性。
请参照图4,图4为本申请实施例提供的又一种终端鉴权方法的流程示意图,在上述实施例的基础上,本实施例考虑到AMF与运营商网络UDM/AUSF存在通信异常的情况,这将可能导致终端鉴权流程受到阻碍,为保障网络安全性,同时避免终端业务受阻,本实施例对AMF和AUSF/UDM之间的链路状态信息进行周期性检测,当链路状态检测为正常时,执行根据终端的鉴权类型向AUSF/UDM发起鉴权流程的步骤,并在链路状态检测异常的情况下尽快制定应急策略,实现终端鉴权和终端业务的高效进行。具体地,在基于所述鉴权请求分析所述终端的鉴权类型(步骤S201)之后,以及判断所述终端的鉴权类型是否为第一鉴权类型(步骤S203)之前,还包括步骤S401-S403:
步骤S401、获取AMF与AUSF/UDM之间的链路状态信息的周期性检测结果;
步骤S402、基于所述周期性检测结果判断AMF与UDM/AUSF当前是否存在通信异常,若否,则按照上述实施例执行步骤S202判断所述终端的鉴权类型是否为第一鉴权类型的步骤,否则,执行步骤S403或者步骤S404。
步骤S403、在经过步骤S202的判断后,若所述终端的鉴权类型为第一鉴权类型,则跳出步骤S203向AUSF/UDM网元发起所述终端的鉴权流程,并执行步骤S403向所述终端返回鉴权失败信息;
步骤S404、在经过步骤S204的判断后,若所述终端的鉴权类型为第二鉴权类型,则跳出步骤S205在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程的步骤,并执行步骤S404向所述终端返回鉴权通过信息。
具体而言,AMF判断是否与运营商网络UDM/AUSF存在通信异常,对于UDM/AUSF存在多套与同一套AMF对接,AMF则需要确认已经与所有的UDM/AUSF都存在通信异常,为保障网络的及时响应,AMF与UDM/AUSF状态确认为周期性检测,并且只记录链路录状态信息。
本实施例中,为保障AMF与AUSF/UDM通信异常情况下的鉴权安全性以及终端业务的连续性,通过直接将安全性较高的第一鉴权类型确认为鉴权失败,以保障AMF和UDM/AUSF通信链路异常情况下非安全终端接入网络影响网络安全性,以及对第二鉴权类型直接通过,保证安全影响较小的终端业务的连续性。
为便于对本申请的理解,在一示例性实施例中,包括以下流程:
首先为企业园区AMF设定鉴权触发类型,其中,对于初始注册流程的鉴权类型设置为必须鉴权类型,对于移动注册更新流程、周期注册更新流程、UE发起的服务请求流程的鉴权类型设置为可选鉴权类型;
II:终端发起移动性注册更新流程;
III:AMF根据终端上报的GTUI/IMSI等信息判断出当前终端已保存有合法的安全上下文信息,如是,则执行后续步骤,否则,向终端返回鉴权失败信息,其中,鉴权失败信息可以为携带指示终端添加安全上下文信息并再次鉴权的信息;
IV:AMF进一步根据周期性检测的链路状态信息,判断出与运营商网络UDM/AUSF存在通信异常,在通信正常时执行后续步骤,在存在通信异常时触发应急机制;
V:AMF根据预设定的鉴权触发类型,判断出当前终端发起的移动性注册更新流程为可选鉴权流程;
VI:AMF根据步骤IV和步骤V所得信息,为当前终端bypass鉴权流程,继续进行后续业务流程。
本实施例中,AMF接收到终端请求后触发鉴权,根据当前与运营商网络UDM的链路状态,以及AMF是否保存有终端的合法上下文,结合步骤S201中分析得到的鉴权类型,决定是否与AUSF/UDM进行鉴权请求,此种终端鉴权方式,不仅可以有效保障网络的安全可靠性,同时可以有效保证终端业务的连续性。
根据本申请的另一方面,本申请实施例相应还提供一种终端鉴权装置,应用于AMF网元,如图5所示,所述装置包括分析模块51、判断模块52和第一鉴权发起模块53,其中,
分析模块51,其设置为若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型;
第一判断模块52,其设置为判断所述终端的鉴权类型是否为第一鉴权类型;
第一鉴权发起模块53,其设置为若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能网元/统一数据管理网元AUSF/UDM发起所述终端的鉴权流程。
在一种实施方式中,所述装置还包括:
第一获取模块,其设置为获取预先为所述终端设置的第一鉴权类型和第二鉴权类型,所述第一鉴权类型用于指示直接发起所述终端的鉴权流程,所述第二鉴权类型用于指示在预设条件下发起所述终端的鉴权流程。
在一种实施方式中,若所述终端的鉴权类型不是第一鉴权类型,所述装置还包括:
第二判断模块,其设置为判断所述终端的鉴权类型是否为第二鉴权类型;
第二鉴权发起模块,其设置为在所述终端的鉴权类型为第二鉴权类型时,在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程。
在一种实施方式中,所述装置还包括:
第三判断模块,其设置为判断所述终端是否具有安全上下文信息;
所述分析模块51还设置为,在具有安全上下文信息时基于所述鉴权请求分析所述终端的鉴权类型。
在一种实施方式中,若不存在所述终端的安全上下文信息,所述装置还包括:
第一返回模块,其设置为跳出所述分析模块,并向所述终端返回鉴权失败信息。
在一种实施方式中,所述装置还包括:
第二获取模块,其设置为获取AMF与AUSF/UDM之间的链路状态信息的周期性检测结果;
第四判断模块,其设置为基于所述周期性检测结果判断AMF与UDM/AUSF当前是否存在通信异常;
所述第一判断模块还设置为,在AMF与UDM/AUSF当前不存在通信异常时,判断所述终端的鉴权类型是否为第一鉴权类型。
在一种实施方式中,若AMF与UDM/AUSF当前存在通信异常,所述装置还包括:
第二返回模块,其设置为在所述终端的鉴权类型为第一鉴权类型时,跳出第一鉴权发起模块,并向所述终端返回鉴权失败信息;
第三返回模块,其设置为在所述终端的鉴权类型为第二鉴权类型时,跳出第二鉴权发起模块,并向所述终端返回鉴权通过信息。
在一种实施方式中,所述分析模块51包括:
接收单元,其设置为基于N1链路从无线接入网NGRAN接收终端的鉴权请求。
根据本申请的又一方面,本实施例相应还提供一种电子设备,如图6所示,所述电子设备包括:存储器61和处理器62;
所述存储器61存储计算机执行指令;
所述处理器62执行所述存储器存储的计算机执行指令,使得所述电子设备执行所述的终端鉴权方法。
根据本申请的再一方面,本申请相应还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现所述的终端鉴权方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。
如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
在本申请实施例的描述中,术语“和/或”仅仅表示一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,术语“至少一种”表示多种中的任一种或多种中的至少两种的任意组合,例如,包括A、B、中的至少一种,可以表示包括A、B和C沟通的集合中选择的任意一个或多个元素。此外,术语“多个”的含义是两个或两个以上,除非是另有精确具体地规定。
在本申请实施例的描述中,术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种终端鉴权方法,其特征在于,应用于认证管理功能AMF网元,所述方法包括:
若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型;
判断所述终端的鉴权类型是否为第一鉴权类型;
若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能/统一数据管理功能AUSF/UDM网元发起所述终端的鉴权流程。
2.根据权利要求1所述的方法,其特征在于,在基于所述鉴权请求分析所述终端的鉴权类型之前,还包括:
获取预先为所述终端设置的第一鉴权类型和第二鉴权类型,所述第一鉴权类型用于指示直接发起所述终端的鉴权流程,所述第二鉴权类型用于指示在预设条件下发起所述终端的鉴权流程。
3.根据权利要求1或2所述的方法,其特征在于,若所述终端的鉴权类型不是第一鉴权类型,还包括:
判断所述终端的鉴权类型是否为第二鉴权类型;
若所述终端的鉴权类型为第二鉴权类型,则在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程。
4.根据权利要求1所述的方法,其特征在于,在基于所述鉴权请求分析所述终端的鉴权类型之前,还包括:
判断所述终端是否具有安全上下文信息;
若具有安全上下文信息,则执行基于所述鉴权请求分析所述终端的鉴权类型的步骤。
5.根据权利要求4所述的方法,其特征在于,若不存在所述终端的安全上下文信息,还包括:
跳出基于所述鉴权请求分析所述终端的鉴权类型的步骤,并向所述终端返回鉴权失败信息。
6.根据权利要求3所述的方法,其特征在于,在基于所述鉴权请求分析所述终端的鉴权类型之后,以及判断所述终端的鉴权类型是否为第一鉴权类型之前,还包括:
获取AMF与AUSF/UDM之间的链路状态信息的周期性检测结果;
基于所述周期性检测结果判断AMF与UDM/AUSF当前是否存在通信异常;
若AMF与UDM/AUSF当前不存在通信异常,则执行判断所述终端的鉴权类型是否为第一鉴权类型的步骤。
7.根据权利要求6所述的方法,其特征在于,若AMF与UDM/AUSF当前存在通信异常,还包括:
若所述终端的鉴权类型为第一鉴权类型,则跳出向AUSF/UDM网元发起所述终端的鉴权流程的步骤,并向所述终端返回鉴权失败信息;
若所述终端的鉴权类型为第二鉴权类型,则跳出在预设条件下向AUSF/UDM网元发起所述终端的鉴权流程的步骤,并向所述终端返回鉴权通过信息。
8.一种终端鉴权装置,其特征在于,应用于AMF网元,包括:
分析模块,其设置为若接收到终端的鉴权请求,则基于所述鉴权请求分析所述终端的鉴权类型;
判断模块,其设置为判断所述终端的鉴权类型是否为第一鉴权类型;
第一鉴权发起模块,其设置为若所述终端的鉴权类型为第一鉴权类型,则向认证服务器功能网元/统一数据管理网元AUSF/UDM发起所述终端的鉴权流程。
9.一种电子设备,其特征在于,包括:存储器和处理器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,使得所述电子设备执行权利要求1-7中任一项所述的终端鉴权方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-7任一项所述的终端鉴权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210825218.5A CN115022877A (zh) | 2022-07-14 | 2022-07-14 | 终端鉴权方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210825218.5A CN115022877A (zh) | 2022-07-14 | 2022-07-14 | 终端鉴权方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115022877A true CN115022877A (zh) | 2022-09-06 |
Family
ID=83079956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210825218.5A Pending CN115022877A (zh) | 2022-07-14 | 2022-07-14 | 终端鉴权方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115022877A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019086129A1 (en) * | 2017-11-06 | 2019-05-09 | Nokia Technologies Oy | Providing subscriber data from unified data manager in transparent containers |
| CN110121897A (zh) * | 2017-08-15 | 2019-08-13 | 华为技术有限公司 | 一种会话建立的方法及设备 |
| CN111741468A (zh) * | 2020-08-14 | 2020-10-02 | 北京微智信业科技有限公司 | 基于mec的amf及其身份认证方法、构建方法和装置 |
| CN112291784A (zh) * | 2019-07-09 | 2021-01-29 | 华为技术有限公司 | 一种通信方法以及网元 |
| WO2022094812A1 (zh) * | 2020-11-04 | 2022-05-12 | 华为技术有限公司 | 一种切片隔离方法、装置及系统 |
-
2022
- 2022-07-14 CN CN202210825218.5A patent/CN115022877A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110121897A (zh) * | 2017-08-15 | 2019-08-13 | 华为技术有限公司 | 一种会话建立的方法及设备 |
| WO2019086129A1 (en) * | 2017-11-06 | 2019-05-09 | Nokia Technologies Oy | Providing subscriber data from unified data manager in transparent containers |
| CN112291784A (zh) * | 2019-07-09 | 2021-01-29 | 华为技术有限公司 | 一种通信方法以及网元 |
| CN111741468A (zh) * | 2020-08-14 | 2020-10-02 | 北京微智信业科技有限公司 | 基于mec的amf及其身份认证方法、构建方法和装置 |
| WO2022094812A1 (zh) * | 2020-11-04 | 2022-05-12 | 华为技术有限公司 | 一种切片隔离方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951824B (zh) | 通信方法及装置 | |
| US10362475B2 (en) | Subscription management service data feeds | |
| US10831641B2 (en) | Method and apparatus for determining a performance impact by a software upgrade of a mobile user endpoint device | |
| US10285122B2 (en) | Method and apparatus for handling abnormality of network communication function and storage medium | |
| CN101646270B (zh) | 保持业务连续的方法、系统、移动性管理实体和存储设备 | |
| US9232440B2 (en) | Method and apparatus for controlling system overload in a wireless communication system | |
| CN104365147B (zh) | 移动台和用于移动台的方法以及计算机可读存储介质 | |
| CN113573372B (zh) | 一种小区选择的方法及终端 | |
| CN105228207A (zh) | 一种核查lte网络电路域回落csfb功能配置的方法及装置 | |
| CN103747430A (zh) | 呼叫控制设备和处理用户业务的方法 | |
| CN112203316A (zh) | 网络异常的恢复方法、装置、电子设备及存储介质 | |
| US10140169B2 (en) | Fault tracking in a telecommunications system | |
| CN103051484B (zh) | 会话业务处理方法、系统和会话边缘控制器 | |
| EP3790316B1 (en) | Method and device for acquiring terminal capability | |
| CA2912103A1 (en) | Access control method and apparatus | |
| CN115022877A (zh) | 终端鉴权方法、装置、电子设备及计算机可读存储介质 | |
| CN112040536B (zh) | 2g功能关闭用户的识别方法、装置及电子设备 | |
| US20200314703A1 (en) | Notification Method for Releasing Terminal Context, Network Device, and Computer Storage Medium | |
| CN107949009B (zh) | Lte网络接入结果的检测方法及装置、计算机存储介质 | |
| CN108200227B (zh) | 一种网络通信功能异常的处理方法、装置及移动终端 | |
| CN107889142B (zh) | Lte网络接入结果的检测方法及装置、计算机存储介质 | |
| EP4189933B1 (en) | Methods and apparatuses for policy control | |
| CN111314858B (zh) | 集群通信方法、装置及终端 | |
| CN117528511A (zh) | 用户鉴权方法及装置、计算机存储介质、电子设备 | |
| CN116614786B (zh) | 语音通话网络的切换方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |