CN115412911A - 一种鉴权方法、通信装置和系统 - Google Patents
一种鉴权方法、通信装置和系统 Download PDFInfo
- Publication number
- CN115412911A CN115412911A CN202110589801.6A CN202110589801A CN115412911A CN 115412911 A CN115412911 A CN 115412911A CN 202110589801 A CN202110589801 A CN 202110589801A CN 115412911 A CN115412911 A CN 115412911A
- Authority
- CN
- China
- Prior art keywords
- authentication
- app
- network element
- information
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 219
- 238000004891 communication Methods 0.000 title claims abstract description 85
- 230000004044 response Effects 0.000 claims abstract description 119
- 230000006870 function Effects 0.000 claims description 375
- 230000015654 memory Effects 0.000 claims description 31
- 238000004590 computer program Methods 0.000 claims description 28
- 230000004048 modification Effects 0.000 claims description 22
- 238000012986 modification Methods 0.000 claims description 22
- 238000003860 storage Methods 0.000 claims description 21
- 238000007726 management method Methods 0.000 description 183
- 238000013475 authorization Methods 0.000 description 43
- 238000012545 processing Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 25
- 230000006399 behavior Effects 0.000 description 15
- 238000010295 mobile communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 101150119040 Nsmf gene Proteins 0.000 description 11
- 238000012795 verification Methods 0.000 description 11
- 230000009471 action Effects 0.000 description 10
- 230000001976 improved effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000003993 interaction Effects 0.000 description 6
- 230000000977 initiatory effect Effects 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 230000008093 supporting effect Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000004091 panning Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供了一种鉴权方法、通信装置和系统,该鉴权方法包括:第一鉴权功能实体接收第一鉴权请求,所述第一鉴权请求包括应用APP实例的标识信息和所述标识信息对应的第一鉴权信息,所述APP实例为运行应用APP的实例;所述第一鉴权功能实体根据所述APP实例的标识信息和所述第一鉴权信息对所述APP实例进行鉴权;所述第一鉴权功能实体发送第一鉴权响应,所述第一鉴权响应包括对所述APP实例的鉴权结果。通过上述方法,本申请能够实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,继而将其纳入到5G网络的安全信任域中。
Description
技术领域
本申请涉及通信技术领域,更具体地,涉及一种鉴权方法、通信装置和系统。
背景技术
终端设备通过移动通信网络访问应用的场景中,应用对于移动通信网络来说,通常属于不同的体系。
虽然,当前3GPP标准中针对应用的访问或订阅能力开放有专门的描述,同时还增加了网络开放功能(network exposure function,NEF)来实现对应用功能(applicationfunction,AF)的能力开放,即AF可以通过NEF实现对其他网络功能(network function,NF)的访问,但是基于上述的NEF功能无法完全对AF开放关键的网络和用户敏感信息,从而会影响5G网络中终端设备、APP实例之间的访问控制、优化保障、安全交互等方面策略的实施,不利于APP利用5G网络更好的为用户提供服务。
因此,如何实现将APP实例安全接入到5G网络中是目前亟需解决的技术问题。
发明内容
本申请提供一种鉴权方法、通信装置和系统,能够实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,继而将其纳入到5G网络的安全信任域中,实现将APP实例安全接入到5G网络中。
第一方面,提供了一种鉴权方法,包括:第一鉴权功能实体接收第一鉴权请求,该第一鉴权请求包括应用实例的标识信息和该标识信息对应的第一鉴权信息,该APP实例为运行应用APP的实例;该第一鉴权功能实体根据该APP实例的标识信息和第一鉴权信息对APP实例进行鉴权;第一鉴权功能实体发送第一鉴权响应,该第一鉴权响应包括对APP实例的鉴权结果。
通过上述技术方案,本申请能够实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,继而将其纳入到5G网络的安全信任域中,实现将其接入到5G网络中。
结合第一方面,在第一方面的某些实现方式中,APP实例的标识信息包括APP实例的设备标识和/或APP实例的业务标识。
通过上述技术方案,本申请通过核心网(可以理解的是,核心网包括第一鉴权功能实体)对接入网络的APP实例进行鉴权,只有鉴权通过的合法APP实例才允许接入网络,对终端用户提供服务,并能够保证5G网络的安全,也可以将经过鉴权之后的APP实例纳入到5G核心网的信任域中,允许5G网络中的终端设备对其进行访问控制、预留资源和保障体验等策略。
结合第一方面,在第一方面的某些实现方式中,第一鉴权功能实体根据APP实例的标识信息和第一鉴权信息对APP实例进行鉴权,包括:确定本地与APP实例的标识信息对应的第二鉴权信息;将第一鉴权信息与第二鉴权信息进行比对。
通过上述技术方案,本申请能够实现第一鉴权功能实体通过APP实例的标识信息和该标识信息对应的第一鉴权信息对APP实例进行鉴权,从而能够保障安全的APP实例能够接入到5G网络中来,不安全的APP实例不能够接入到5G网络中,从而保障5G网络的安全性。
结合第一方面,在第一方面的某些实现方式中,当第一鉴权信息与第二鉴权信息比对一致时,则APP实例鉴权成功;或者,当第一鉴权信息与第二鉴权信息比对不一致时,则APP实例鉴权失败。
通过上述技术方案,本申请能够实现当APP实例鉴权失败时,则表示该APP实例不安全,则不允许其向外提供虚拟业务网络服务,从而可以保障5G网络的安全性。
结合第一方面,在第一方面的某些实现方式中,APP实例的鉴权结果包括指示APP实例鉴权成功的信息或指示APP实例鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该APP实例的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果APP实例鉴权通过,则可以为APP实例建立会话,如果APP实例鉴权失败,则可以拒绝为APP实例建立会话。
结合第一方面,在第一方面的某些实现方式中,第一鉴权功能实体接收第一鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第一鉴权请求,以及第一鉴权功能实体发送第一鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第一鉴权响应;或者,第一鉴权功能实体接收第一鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第一鉴权请求,以及第一鉴权功能实体发送第一鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第一鉴权响应。
结合第一方面,在第一方面的某些实现方式中,第一鉴权功能实体接收第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与终端设备的标识信息和APP的应用标识对应的第三鉴权信息;第一鉴权功能实体根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权;第一鉴权功能实体发送第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
通过上述技术方案,本申请能够通过第一鉴权功能实体集中对同一个虚拟业务网络中的APP实例和终端设备之间进行业务层面的认证和鉴权流程,从而保证终端设备和APP实例之间的相互访问在5G网络中的安全可信,有利于APP实例和终端设备的授权访问,避免欺诈或攻击场景的出现。
结合第一方面,在第一方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
通过上述技术方案,本申请通过第一鉴权功能实体对该终端设备进行鉴权,只有鉴权通过的终端设备才被允许访问接入5G网络中的APP实例提供的APP的业务服务。
结合第一方面,在第一方面的某些实现方式中,第一鉴权功能实体根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权,包括:确定本地与终端设备的标识信息和APP的应用标识对应的第四鉴权信息;将第三鉴权信息与第四鉴权信息进行比对。
通过上述技术方案,本申请能够实现第一鉴权功能实体通过终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息对该终端设备进行鉴权,从而能够保障终端设备与APP之间的安全的访问行为,从而保障5G网络的安全性。
结合第一方面,在第一方面的某些实现方式中,当第三鉴权信息与第四鉴权信息比对一致时,则终端设备鉴权成功;或者,当第三鉴权信息与第四鉴权信息比对不一致时,则终端设备鉴权失败。
通过上述技术方案,本申请能够实现当终端设备鉴权失败时,则该会话管理功能网元能够控制会话的策略下发,例如,当终端设备鉴权成功时,则该会话管理功能网元能够下发允许终端设备与APP实例之间互访的策略;例如,当终端设备鉴权失败时,则该会话管理功能网元不下发允许该终端设备与该APP实例之间的互访的策略,或者下发拒绝该终端设备与APP实例之间互访的策略,从而能够拒绝该终端设备与该APP实例之间的互访,从而可以保障5G网络的安全性。
结合第一方面,在第一方面的某些实现方式中,终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该终端设备的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果终端设备鉴权通过,则可以为该终端设备建立会话,如果该终端设备鉴权失败,则可以不为该终端设备建立会话。
结合第一方面,在第一方面的某些实现方式中,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第二鉴权响应;或者,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第二鉴权响应。
第二方面,提供了一种鉴权方法,包括:第一鉴权功能实体接收第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与终端设备的标识信息和APP的应用标识对应的第三鉴权信息;第一鉴权功能实体根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权;第一鉴权功能实体发送第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
通过上述技术方案,本申请能够通过第一鉴权功能实体集中对同一个虚拟业务网络中的APP实例和终端设备之间进行业务层面的认证和鉴权流程,从而保证终端设备和APP实例之间的相互访问在5G网络中的安全可信,有利于APP实例和终端设备的授权访问,避免欺诈或攻击场景的出现。
结合第二方面,在第二方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
通过上述技术方案,本申请通过第一鉴权功能实体对该终端设备进行鉴权,只有鉴权通过的终端设备才被允许访问接入5G网络中的APP实例提供的APP的业务服务。
结合第二方面,在第二方面的某些实现方式中,第一鉴权功能实体根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权,包括:确定本地与终端设备的标识信息和APP的应用标识对应的第四鉴权信息;将第三鉴权信息与第四鉴权信息进行比对。
通过上述技术方案,本申请能够实现第一鉴权功能实体通过终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息对该终端设备进行鉴权,从而能够保障终端设备与APP之间的安全的访问行为,从而保障5G网络的安全性。
结合第二方面,在第二方面的某些实现方式中,当第三鉴权信息与第四鉴权信息比对一致时,则终端设备鉴权成功;或者,当第三鉴权信息与第四鉴权信息比对不一致时,则终端设备鉴权失败。
通过上述技术方案,本申请能够实现当鉴权失败时,则该会话管理功能网元会拒绝该终端设备与该APP之间的互访,从而可以保障5G网络的安全性。
结合第二方面,在第二方面的某些实现方式中,终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该终端设备的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果终端设备鉴权通过,则可以为该终端设备建立会话,如果该终端设备鉴权失败,则可以不为该终端设备建立会话。
结合第二方面,在第二方面的某些实现方式中,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第二鉴权响应;或者,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第二鉴权响应。
第三方面,提供了一种鉴权方法,包括:会话管理功能网元向第一鉴权功能实体发送第一鉴权请求,该第一鉴权请求包括应用APP实例的标识信息和标识信息对应的第一鉴权信息,APP实例为运行应用APP的实例;会话管理功能网元接收来自第一鉴权功能实体的第一鉴权响应,该第一鉴权响应包括对APP实例的鉴权结果。
通过上述技术方案,本申请能够实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,继而将其纳入到5G网络的安全信任域中,实现将其接入到5G网络中。
结合第三方面,在第三方面的某些实现方式中,会话管理功能网元向第一鉴权功能实体发送第一鉴权请求前,该方法还包括:会话管理功能网元接收第一会话建立请求,该第一会话建立请求用于请求建立APP实例与核心网的第一会话,第一会话建立请求包括APP实例的标识信息和第一鉴权信息。
通过由APP实例向会话管理功能网元发起会话建立请求,本申请能够实现在会话管理功能网元正式建立与APP之间的会话之前能够先进行对APP实例的鉴权过程,从而保证APP实例的安全性,从而维护5G网络的安全性。
结合第三方面,在第三方面的某些实现方式中,APP实例的标识信息包括APP实例的设备标识和/或APP实例的业务标识。
通过上述技术方案,本申请通过核心网对接入网络的APP实例进行鉴权,只有鉴权通过的合法APP实例才允许接入网络,对终端用户提供服务,并能够保证5G网络的安全,也可以将经过鉴权之后的APP实例纳入到5G核心网的信任域中,允许对其进行访问控制、预留资源和保障体验等策略。
结合第三方面,在第三方面的某些实现方式中,APP实例的鉴权结果包括指示APP实例鉴权成功的信息或指示APP实例鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该APP实例的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果APP鉴权通过,则可以为APP实例建立会话,如果APP实例鉴权失败,则可以不为APP实例建立会话。
结合第三方面,在第三方面的某些实现方式中,当APP实例鉴权失败时,会话管理功能网元拒绝该第一会话建立;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
通过上述技术方案,本申请能够实现当APP实例鉴权失败时,会话管理功能网元拒绝建立该第一会话,或者拒绝APP实例与5G网络中的终端设备之间的在业务层面上的互访,从而保障5G网络的安全性。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:会话管理功能网元向第一鉴权功能实体发送第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;会话管理功能网元接收来自第一鉴权功能实体的第二鉴权响应,第二鉴权响应包括对终端设备的鉴权结果。
通过上述技术方案,本申请能够通过SAF集中对同一个虚拟业务网络中的APP实例和终端设备之间进行业务层面的认证和鉴权流程,从而保证终端设备和APP实例之间的相互访问在5G网络中的安全可信,有利于APP实例和终端设备的授权访问,避免欺诈或攻击场景的出现。
结合第三方面,在第三方面的某些实现方式中,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该方法还包括:会话管理功能网元接收第二会话建立请求,第二会话建立消息用于请求建立终端设备与第一应用的第二会话,第二会话建立请求包括终端设备的标识信息和第三鉴权信息。
通过5G网络中的终端设备在访问APP之前,由终端设备向会话管理功能网元提前发起会话建立请求的技术方案,本申请能够实现APP与5G网络中的终端设备之间的安全的互访行为,从而能够维护5G网络的安全性。
结合第三方面,在第三方面的某些实现方式中,所述会话管理功能网元向所述第一鉴权功能实体发送所述第二鉴权请求之前,所述方法还包括:所述会话管理功能网元接收第一会话修改请求,所述第一会话修改请求用于请求修改所述终端设备与所述APP的会话,所述第一会话修改请求包括所述终端设备的标识信息、所述APP的应用标识以及所述第三鉴权信息。
通过对终端设备的二次鉴权,可以让运营商可以对终端设备访问特定APP实例进行认证,确保终端有对应的应用实例访问权限,增强APP实例的安全性,同时也防止了非法用户对APP实例的攻击和不合规的访问行为。同样的终端设备在完成二次鉴权之后允许访问的APP应用实例也在同一个安全领域,防止了不合规的APP实例为终端用户提供服务,提高了终端用户在APP访问行为中的安全性。
结合第三方面,在第三方面的某些实现方式中,所述会话管理功能网元向所述第一鉴权功能实体发送所述第二鉴权请求之前,所述方法还包括:所述会话管理功能网元接收来自用户面功能网元的第三鉴权请求,所述第三鉴权请求用于请求对访问所述APP的终端设备进行鉴权,所述第三鉴权请求包括所述终端设备的标识信息、所述APP的应用标识以及所述第三鉴权信息。
通过对终端设备的二次鉴权,可以让运营商可以对终端设备访问特定APP实例进行认证,确保终端有对应的应用实例访问权限,增强APP实例的安全性,同时也防止了非法用户对APP实例的攻击和不合规的访问行为。同样的终端设备在完成二次鉴权之后允许访问的APP应用实例也在同一个安全领域,防止了不合规的APP实例为终端用户提供服务,提高了终端用户在APP访问行为中的安全性。
结合第三方面,在第三方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
通过上述技术方案,本申请通过核心网对终端设备进行鉴权,只有鉴权通过的终端设备才允许访问APP,从而能够保证5G网络的安全。
结合第三方面,在第三方面的某些实现方式中,终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该终端设备的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果终端设备鉴权通过,则可以为终端设备建立会话,如果终端设备鉴权失败,则拒绝为终端设备建立会话。
结合第三方面,在第三方面的某些实现方式中,当终端设备鉴权失败时,会话管理功能网元拒绝该第二会话建立;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
可选地,如果终端设备鉴权失败,则会话管理功能网元拒绝该第二会话建立,或者,下发禁止该终端设备与该APP实例之间的互访策略,或者,所述会话管理功能网元不下发允许该终端设备与该APP实例之间的互访策略。
通过上述技术方案,本申请能够实现当终端设备鉴权失败时,会话管理功能网元拒绝建立该第二会话,或者拒绝终端设备与APP实例之间的业务层面上的互访,从而保障5G网络的安全性。
结合第三方面,在第三方面的某些实现方式中,该方法还包括:会话管理功能网元向策略控制功能网元发送策略更新请求,策略更新请求用于请求策略控制功能网元允许终端设备与APP之间的业务访问;会话管理功能网元接收来自策略控制功能网元的策略更新响应,该策略更新响应包括指示允许终端设备与APP之间的业务访问的信息。
通过对终端设备的二次鉴权,可以让运营商可以对终端访问特定APP实例进行认证,确保终端有对应的应用实例访问权限,增强APP实例的安全性,同时也防止了非法用户对APP实例的攻击和不合规的访问行为。同样的终端在完成二次鉴权之后允许访问的APP应用实例也在同一个安全领域,防止了不合规的APP实例为终端用户提供服务,提高了终端用户在APP访问行为中的安全性。
第四方面,提供了一种鉴权方法,包括:会话管理功能网元向第一鉴权功能实体发送第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;会话管理功能网元接收来自第一鉴权功能实体的第二鉴权响应,第二鉴权响应包括对终端设备的鉴权结果。
通过上述技术方案,本申请能够通过SAF集中对同一个虚拟业务网络中的APP实例和终端设备之间进行业务层面的认证和鉴权流程,从而保证终端设备和APP实例之间的相互访问在5G网络中的安全可信,有利于APP实例和终端设备的授权访问,避免欺诈或攻击场景的出现。
结合第四方面,在第四方面的某些实现方式中,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该方法还包括:会话管理功能网元接收第二会话建立请求,第二会话建立消息用于请求建立终端设备与APP的第二会话,第二会话建立请求包括终端设备的标识信息和第三鉴权信息。
通过5G网络中的终端设备在访问APP之前,由终端设备向会话管理功能网元提前发起会话建立请求的技术方案,本申请能够实现APP与5G网络中的终端设备之间的安全的互访行为,从而能够维护5G网络的安全性。
结合第四方面,在第四方面的某些实现方式中,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该方法还包括:会话管理功能网元接收第一会话修改请求,第一会话修改请求用于请求修改终端设备与APP的会话,第一会话修改请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第四方面,在第四方面的某些实现方式中,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该方法还包括:会话管理功能网元接收来自用户面功能网元的第三鉴权请求,第三鉴权请求用于请求对访问APP的终端设备进行鉴权,第三鉴权请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第四方面,在第四方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
通过上述技术方案,本申请通过核心网对终端设备进行鉴权,只有鉴权通过的终端设备才允许访问APP,从而能够保证5G网络的安全。
结合第四方面,在第四方面的某些实现方式中,终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
通过上述技术方案,本申请能够指示会话管理功能网元该终端设备的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果终端设备鉴权通过,则可以为终端设备建立会话,如果终端设备鉴权失败,则拒绝为终端设备建立会话。
结合第四方面,在第四方面的某些实现方式中,当终端设备鉴权失败时,会话管理功能网元拒绝该第二会话建立;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
可选地,如果终端设备鉴权失败,则会话管理功能网元拒绝该第二会话建立,或者,下发禁止该终端设备与该APP实例之间的互访策略,或者,所述会话管理功能网元不下发允许该终端设备与该APP实例之间的互访策略。
通过上述技术方案,本申请能够实现当终端设备鉴权失败时,会话管理功能网元拒绝建立该第二会话,或者拒绝终端设备与APP实例之间的业务层面上的互访,从而保障5G网络的安全性。
结合第四方面,在第四方面的某些实现方式中,该方法还包括:会话管理功能网元向策略控制功能网元发送策略更新请求,策略更新请求用于请求策略控制功能网元允许终端设备与APP之间的业务访问;会话管理功能网元接收来自策略控制功能网元的策略更新响应,该策略更新响应包括指示允许终端设备与APP之间的业务访问的信息。
第五方面,提供了一种通信装置,包括:收发单元,用于接收第一鉴权请求,该第一鉴权请求包括应用APP实例的标识信息和该标识信息对应的第一鉴权信息,该APP实例为运行应用APP的实例;处理单元,用于根据APP实例的标识信息和第一鉴权信息对APP实例进行鉴权;该收发单元还用于发送第一鉴权响应,第一鉴权响应包括对APP实例的鉴权结果。
结合第五方面,在第五方面的某些实现方式中,APP实例的标识信息包括APP实例的设备标识和/或APP实例的业务标识。
结合第五方面,在第五方面的某些实现方式中,该处理单元用于:确定本地与APP实例的标识信息对应的第二鉴权信息;对第一鉴权信息与第二鉴权信息进行比对。
结合第五方面,在第五方面的某些实现方式中,当第一鉴权信息与第二鉴权信息比对一致时,则APP实例鉴权成功;或者,当第一鉴权信息与第二鉴权信息比对不一致时,则APP实例鉴权失败。
结合第五方面,在第五方面的某些实现方式中,APP实例的鉴权结果包括指示APP实例鉴权成功的信息或指示APP实例鉴权失败的信息。
结合第五方面,在第五方面的某些实现方式中,第一鉴权功能实体接收第一鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第一鉴权请求,以及第一鉴权功能实体发送第一鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第一鉴权响应;或者,第一鉴权功能实体接收第一鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第一鉴权请求,以及第一鉴权功能实体发送第一鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第一鉴权响应。
结合第五方面,在第五方面的某些实现方式中,该装置还用于:接收第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权;发送第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
结合第五方面,在第五方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
结合第五方面,在第五方面的某些实现方式中,该处理单元用于:确定本地与终端设备的标识信息对应的第四鉴权信息;对第三鉴权信息与第四鉴权信息进行比对。
结合第五方面,在第五方面的某些实现方式中,当第三鉴权信息与第四鉴权信息比对一致时,则终端设备鉴权成功;或者,当第三鉴权信息与第四鉴权信息比对不一致时,则终端设备鉴权失败。
结合第五方面,在第五方面的某些实现方式中,该终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
结合第五方面,在第五方面的某些实现方式中,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第二鉴权响应;或者,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第二鉴权响应。
第六方面,提供了一种通信装置,包括:收发单元,用于接收第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;处理单元,用于根据终端设备的标识信息、APP的应用标识和该第三鉴权信息对终端设备进行二次鉴权;该收发单元还用于发送第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
结合第六方面,在第六方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
结合第六方面,在第六方面的某些实现方式中,该处理单元用于:确定本地与终端设备的标识信息对应的第四鉴权信息;对第三鉴权信息与第四鉴权信息进行比对。
结合第六方面,在第六方面的某些实现方式中,当第三鉴权信息与第四鉴权信息比对一致时,则终端设备鉴权成功;或者,当第三鉴权信息与第四鉴权信息比对不一致时,则终端设备鉴权失败。
结合第六方面,在第六方面的某些实现方式中,该终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
结合第六方面,在第六方面的某些实现方式中,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自会话管理功能网元的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向会话管理功能网元发送第二鉴权响应;或者,第一鉴权功能实体接收第二鉴权请求包括:第一鉴权功能实体接收来自安全锚点功能实体的第二鉴权请求,以及第一鉴权功能实体发送第二鉴权响应包括:第一鉴权功能实体向所述安全锚点功能实体发送第二鉴权响应。
第七方面,提供了一种通信装置,包括:收发单元,用于向第一鉴权功能实体发送第一鉴权请求,该第一鉴权请求包括应用APP实例的标识信息和该标识信息对应的第一鉴权信息,该APP实例为运行应用APP的实例;该收发单元还用于接收来自第一鉴权功能实体的第一鉴权响应,该第一鉴权响应包括对APP实例的鉴权结果。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:接收第一会话建立请求,该第一会话建立请求用于请求建立APP实例与核心网的第一会话,该第一会话建立请求包括APP实例的标识信息和第一鉴权信息。
结合第七方面,在第七方面的某些实现方式中,APP实例的标识信息包括APP实例的设备标识和/或APP实例的业务标识。
结合第七方面,在第七方面的某些实现方式中,APP实例的鉴权结果包括指示APP实例鉴权成功的信息或指示APP实例鉴权失败的信息。
结合第七方面,在第七方面的某些实现方式中,当APP实例鉴权失败时,会话管理功能网元拒绝建立该第一会话;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:向第一鉴权功能实体发送第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;接收来自第一鉴权功能实体的第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:接收第二会话建立请求,该第二会话建立消息用于请求建立终端设备与第一应用的第二会话,该第二会话建立请求包括终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:接收第一会话修改请求,第一会话修改请求用于请求修改终端设备与APP的会话,第一会话修改请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:接收来自用户面功能网元的第三鉴权请求,第三鉴权请求用于请求对访问APP的终端设备进行鉴权,第三鉴权请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第七方面,在第七方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
结合第七方面,在第七方面的某些实现方式中,该终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
结合第七方面,在第七方面的某些实现方式中,当终端设备鉴权失败时,会话管理功能网元拒绝建立该第二会话;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
可选地,如果终端设备鉴权失败,则会话管理功能网元拒绝该第二会话建立,或者,下发禁止该终端设备与该APP实例之间的互访策略,或者,所述会话管理功能网元不下发允许该终端设备与该APP实例之间的互访策略。
结合第七方面,在第七方面的某些实现方式中,该收发单元还用于:向策略控制功能网元发送策略更新请求,该策略更新请求用于请求策略控制功能网元允许终端设备与APP之间的业务访问;接收来自策略控制功能网元的策略更新响应,该策略更新响应包括指示允许终端设备与APP之间的业务访问的信息。
第八方面,提供了一种通信装置,包括:收发单元,用于向第一鉴权功能实体发送第二鉴权请求,该第二鉴权请求包括访问APP的终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息;该收发单元还用于接收来自第一鉴权功能实体的第二鉴权响应,该第二鉴权响应包括对终端设备的鉴权结果。
结合第八方面,在第八方面的某些实现方式中,该收发单元还用于:接收第二会话建立请求,该第二会话建立消息用于请求建立终端设备与第一应用的第二会话,该第二会话建立请求包括终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息。
结合第八方面,在第八方面的某些实现方式中,该收发单元还用于:接收第一会话修改请求,第一会话修改请求用于请求修改终端设备与APP的会话,第一会话修改请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第八方面,在第八方面的某些实现方式中,该收发单元还用于:接收来自用户面功能网元的第三鉴权请求,第三鉴权请求用于请求对访问APP的终端设备进行鉴权,第三鉴权请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
结合第八方面,在第八方面的某些实现方式中,终端设备的标识信息包括终端设备的设备标识和/或终端设备的业务标识。
结合第八方面,在第八方面的某些实现方式中,该终端设备的鉴权结果包括指示终端设备鉴权成功的信息或指示终端设备鉴权失败的信息。
结合第八方面,在第八方面的某些实现方式中,当终端设备鉴权失败时,会话管理功能网元拒绝建立该第二会话;或者,会话管理功能网元拒绝终端设备与APP实例之间的互访。
可选地,如果终端设备鉴权失败,则会话管理功能网元拒绝该第二会话建立,或者,下发禁止该终端设备与该APP实例之间的互访策略,或者,所述会话管理功能网元不下发允许该终端设备与该APP实例之间的互访策略。
结合第八方面,在第八方面的某些实现方式中,该收发单元还用于:向策略控制功能网元发送策略更新请求,该策略更新请求用于请求策略控制功能网元允许终端设备与APP之间的业务访问;接收来自策略控制功能网元的策略更新响应,该策略更新响应包括指示允许终端设备与APP之间的业务访问的信息。
第九方面,提供了一种通信装置,包括至少一个处理器,该至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如第一方面以及第一方面的任一种可能实现方式中任一项所述的方法。
第十方面,提供了一种通信装置,包括至少一个处理器,该至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如第二方面以及第二方面的任一种可能实现方式中任一项所述的方法。
第十一方面,提供了一种通信装置,包括至少一个处理器,该至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如第三方面以及第三方面的任一种可能实现方式中任一项所述的方法。
第十二方面,提供了一种通信装置,包括至少一个处理器,该至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如第四方面以及第四方面的任一种可能实现方式中任一项所述的方法。
第十三方面,提供了一种通信系统,包括:第一鉴权功能实体和会话管理功能网元,该第一鉴权功能实体执行如第一方面以及第一方面的任一种可能实现方式中任一项所述的方法,以及会话管理功能网元执行第三方面以及第三方面的任一种可能实现方式中任一项所述的方法。
第十四方面,提供了一种通信系统,包括:第一鉴权功能实体和会话管理功能网元,该第一鉴权功能实体执行如第二方面以及第二方面的任一种可能实现方式中任一项所述的方法,以及会话管理功能网元执行第四方面以及第四方面的任一种可能实现方式中任一项所述的方法。
第十五方面,提供了一种计算机可读存储介质,存储有计算机程序或指令,该计算机程序或指令用于实现第一方面以及第一方面的任一种可能实现方式中所述的方法。
第十六方面,提供了一种计算机可读存储介质,存储有计算机程序或指令,该计算机程序或指令用于实现第二方面以及第二方面的任一种可能实现方式中所述的方法。
第十七方面,提供了一种计算机可读存储介质,存储有计算机程序或指令,该计算机程序或指令用于实现第三方面以及第三方面的任一种可能实现方式中所述的方法。
第十八方面,提供了一种计算机可读存储介质,存储有计算机程序或指令,该计算机程序或指令用于实现第四方面以及第四方面的任一种可能实现方式中所述的方法。
第十九方面,提供了一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第一方面以及第一方面的任一种可能实现方式中所述的方法。
第二十方面,提供了一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第二方面以及第二方面的任一种可能实现方式中所述的方法。
第二十一方面,提供了一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第三方面以及第三方面的任一种可能实现方式中所述的方法。
第二十二方面,提供了一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第四方面以及第四方面的任一种可能实现方式中所述的方法。
附图说明
图1是一种通信系统的架构示意图。
图2是一种APP实例接入模块的部署示意图。
图3是一种通信系统在5G网络中的应用示意图。
图4是本申请提供的一种鉴权的方法的示意流程图。
图5是本申请提供的又一种鉴权方法的示意流程图。
图6示出了一种适用于本申请提供的一种鉴权方法的示意图。
图7示出了又一种适用于本申请提供的一种鉴权方法的示意图。
图8示出了再一种适用于本申请提供的一种鉴权方法的示意图。
图9是本申请提供的一种通信装置的示意性框图。
图10是本申请提供的又一种通信装置的示意性框图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(globalsystem of mobile communication,GSM)系统、码分多址(code division multipleaccess,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long termevolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobiletelecommunication system,UMTS)、全球互联微波接入(worldwide interoperabilityfor microwave access,WiMAX)通信系统、第五代(5th generation,5G)系统或新无线(newradio,NR)等。
本申请实施例中的终端设备可以指用户设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。终端设备还可以是蜂窝电话、无绳电话、会话启动协议(session initiationprotocol,SIP)电话、无线本地环路(wireless local loop,WLL)站、个人数字处理(personal digital assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,5G网络中的终端设备或者公用陆地移动通信网络(public land mobile network,PLMN)中的终端设备等,本申请实施例对此并不限定。
本申请实施例中的网络设备可以是用于与终端设备通信的设备,该网络设备可以是GSM系统或CDMA系统中的基站(base transceiver station,BTS),也可以是WCDMA系统中的基站(nodeB,NB),还可以是LTE系统中的演进型基站(evolutional nodeB,eNB或eNodeB),还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该网络设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的网络设备或者PLMN网络中的网络设备等,本申请实施例并不限定。
为了便于理解本申请的技术方案,下文将对与本申请相关的概念或者相关技术做出简要描述。
第一,应用(application,APP)与APP实例:
本申请中的APP是指能够提供某一类应用服务,例如:提供互联网业务的某一类应用服务。例如,APP可以是淘宝,用于提供上网购物的互联网业务;或者,APP可以是腾讯视频,用于提供上网观看视频的互联网业务,等等。
本申请中的APP实例是指运行APP的实例。例如,当APP为淘宝时,对应的APP实例是指运行淘宝的实例;或者,当APP为腾讯视频时,对应的APP实例是指运行腾讯视频的实例。
APP实例所对应的网元或者实体,例如可以是应用作为用户设备功能(APP asuser equipment function,AUEF)。
在本申请中,每个APP可以部署多个APP实例来共同提供服务,即一个APP可以对应多个APP实例。APP实例通常运行在应用服务器内,在此统一说明,以下不再赘述。
第二,锚点用户面功能(user plane function,UPF)与中间UPF(intermediateUPF,I-UPF):
本申请中,锚点UPF可以是协议数据单元(protocol data unit,PDU)会话锚点(PDU session anchor,PSA)-UPF。其中,在终端设备的移动过程中,整个会话的锚点UPF是不会变化的,锚点UPF负责发布终端设备互联网协议(internet protocol,IP)的下行路由策略,发送给终端设备的报文都会基于该下行路由策略转发到锚点UPF进行处理。
在一种可能的实现方式中,I-UPF位于无线接入网(radio access network,RAN)设备与锚点UPF之间,会随着终端设备的移动不停的发生切换。
第三,二次鉴权:
在网络安全方面,网络的首要任务包括:要对接入网络的终端设备进行认证鉴权。一个终端网络只有通过了认证鉴权后,才能接入移动通信网络,并进一步请求建立会话来访问数据网络上的业务。二次鉴权是指终端设备完成入网鉴权后,接入具体APP实例前所进行的鉴权,并在鉴权通过后才被允许访问该具体的APP实例,从而进一步提高系统的安全性。
第四,服务鉴权功能(service authentication function,SAF):
在本申请中,SAF可以作为自组织网络中的授权功能实体,实现对APP实例接入网络、终端设备访问APP等流程的鉴权处理。
应理解,所述自组织网络是指运营商或者终端设备或者用户定义的一个由一个或多个终端设备用户以及一个或多个APP实例构成的可以相互访问的数据网络。
下面将结合附图,对本申请中的技术方案进行描述。
图1是一种通信系统的架构示意图,本申请提供的一种鉴权方法可以用于该网络架构中,当然也可以用于未来的网络架构中,比如第六代(6th generation,6G)网络架构等,本申请对此不作具体限定。
如图1所示,该通信系统100包括会话管理功能网元101和第一鉴权功能实体102。
可选地,该通信系统100还包括APP实例接入模块103。其中,会话管理功能实体101、第一鉴权功能实体102或者APP实例接入模块103中的任意二者之间可以直接通信,也可以通过其他设备的转发进行通信,本申请对此不做具体限定。
会话管理功能网元101,用于接收来自APP实例接入模块103的第一连接请求,第一连接请求包括APP实例的标识信息和该标识信息对应的第一鉴权信息(authenticationinformation),或者是第一认证信息,本申请对此不做限定。
会话管理功能网元101,还用于向第一鉴权功能实体102发送第一鉴权请求,第一鉴权请求用于请求第一鉴权功能实体102对APP实例进行鉴权,第一鉴权请求包括APP实例的标识信息和该标识信息对应的第一鉴权信息。
第一鉴权功能实体102,用于接收来自会话管理功能网元101的第一鉴权请求,并向会话管理功能网元101发送第一鉴权响应,第一鉴权响应包括对APP实例的鉴权结果。
上述方案的具体实现将在后续方法实施例中详细阐述,在此不予赘述。
在本申请中,由移动通信网络中的会话管理功能实体和第一鉴权功能实体为APP实例建立APP实例与移动通信网络之间的连接进行鉴权。也就是说,该方案可以将APP实例作为特殊的终端设备接入到移动通信网络中。
由于APP实例为某个应用的具体运行实例,因此基于该方案,可以提升应用与移动通信网络之间数据交互的灵活性。
进一步地,基于该方案,可以将应用纳入移动通信网络规划中以实现应用在移动通信系统中的即插即用,从而实现对应用业务的动态编排和路径寻优。这样有利于实现运营商和应用服务提供商之间的一种新的商业部署和合作模式。
在本申请中,APP实例接入模块103用于辅助APP实例接入到移动通信网络。
可选地,如图2所示,本申请中的APP实例接入模块103可以集成在APP实例中,该APP实例可以运行在应用服务器中。
需要说明的是,图2所示的应用服务器中还可能包括其他APP实例,本申请仅以应用服务器上的APP实例为例进行说明,但是对于应用服务器是否还运行其他APP实例则不做具体限定。
图1所示的通信系统100可以应用于目前的4G网络、5G网络或者未来的其他网络,本申请对此不作具体限定。
示例性地,如图3所示,若图1所示的通信系统100应用于目前的5G网络,则图1所示的通信系统100中的会话管理功能实体101所对应的网元或者实体可以是5G网络架构中的会话管理功能网元(session management function,SMF),第一鉴权功能实体102所对应的网元或者实体可以是5G网络架构中的鉴权网络功能(authentication server function,AUSF)或SAF,也可以是完成第一鉴权功能实体功能的其他网元或者实体,其中,如果该第一鉴权功能实体是AUSF,则可以对AUSF的现有功能进行扩展以完成本申请中第一鉴权功能实体的作用。
此外,图1所示的APP实例接入模块103所对应的网元或者实体可以是应用作为用户设备功能(APP as user equipment function,AUEF)。如图2所示,AUEF可以部署在应用服务器内的APP实例中。
当然,AUEF还可能有其他部署方式,比如部署在现有的其他功能或者设备或平台上,或者部署在其他新增的功能或设备或平台上等,本申请对此不做具体限定。
如图3所示,目前的5G网络还可以包括接入和移动性管理网元(access andmobility management function,AMF)、能力开放功能(network exposure function,NEF)、网络功能存储功能(network exposure function repository function,NRF)、统一数据管理(unified data management,UDM)、无线接入网(radio access network,RAN)、策略控制功能(policy control function,PCF)、用户设备(user equipment,UE)、策略控制功能(policy control function,PCF)以及其他用户面功能(user plane function,UPF)(如图3中终端设备对应的第一锚点UPF以及I-UPF),本申请实施例对此不作具体限定。虽然没有示出,目前的5G网络还可以包括AUSF以及网络切片选择功能(network sliceselection function,NSSF)等。
其中,各网元主要功能描述如下:
UE:可以称终端设备、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。
终端设备可以是一种向用户提供语音/数据连通性的设备,例如,具有无线连接功能的手持式设备、车载设备等。目前,一些终端的举例可以为:手机(mobile phone)、平板电脑(pad)、带无线收发功能的电脑(如笔记本电脑、掌上电脑等)、移动互联网设备(mobileinternet device,MID)、虚拟现实(virtual reality,VR)设备、增强现实(augmentedreality,AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smartgrid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smartcity)中的无线终端、智慧家庭(smart home)中的无线终端、蜂窝电话、无绳电话、SIP电话、WLL站、PDA、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,5G网络中的终端设备或者PLMN中的终端设备等。
此外,终端设备还可以是物联网(internet of things,IoT)系统中的终端设备。IoT是未来信息技术发展的重要组成部分,其主要技术特点是将物品通过通信技术与网络连接,从而实现人机互连,物物互连的智能化网络。IoT技术可以通过例如窄带(narrowband)NB技术,做到海量连接,深度覆盖,终端省电。
此外,终端设备还可以包括智能打印机、火车探测器、加油站等传感器,主要功能包括收集数据(部分终端设备)、接收网络设备的控制信息与下行数据,并发送电磁波,向网络设备传输上行数据。
应理解,终端设备可以是任何可以接入网络的设备。终端设备与接入网设备之间可以采用某种空口技术相互通信。
在本申请中,服务鉴权代理节点(service authentication agent,SAA),可作为UE上的一个软件功能模块,UE在进行访问每个APP实例前调用该模块实现UE的二次鉴权流程。
可选地,某些APP实例可以集成特定的SAA完成UE访问APP实例的二次鉴权流程。
(R)AN:(无线)接入网,对应5G中的不同接入网,如有线接入、无线基站接入等多种方式。本申请中的RAN设备包括但不限于:5G中的下一代基站(gnodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(nodeB,NB)、基站控制器(base station controller,BSC)、基站收发台(base transceiverstation,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(base band unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等。
UDM:可以理解为统一数据管理网元在5G架构中的命名。
其中,统一数据管理网元主要包括以下功能:统一数据管理,支持3GPP鉴权和密钥协商机制中的鉴权信任状处理,用户身份处理,接入授权,注册和移动性管理,签约管理,短消息管理等。
UDR:可以理解为统一数据存储网元在5G架构中的命名。其中,统一数据存储网元主要包括以下功能:签约数据、策略数据、应用数据等类型数据的存取功能。
PCF:可以理解为策略控制功能网元在5G架构中的命名。
其中,策略控制功能网元主要负责针对会话、业务流级别进行计费、服务质量(quality of service,QoS)带宽保障及移动性管理、UE策略决策等策略控制功能。
该系统中,AMF与SMF所连接的PCF分别是接入和移动控制PCF(PCF for accessand mobility control,AM PCF)和SM PCF,在实际部署中AM PCF和SM PCF可能不是同一个PCF实体。
SMF:可以理解为会话管理功能网元在5G架构中的命名。
其中,会话管理功能网元主要进行会话管理、PCF下发控制策略的执行、UPF的选择、UE IP地址分配等功能。
SMF还可以集成有安全锚点功能(security anchor function,SEAF)模块,该SEAF模块主要负责发起鉴权请求。若SMF上集成APP的SEAF(SEAF for APP)的功能,可实现对APP作为一个特殊终端会话接入5G核心网的安全锚点。
AMF:可以理解为移动性管理网元在5G架构中的命名。
其中,移动性管理网元主要包括以下功能:连接管理、移动性管理、注册管理、接入鉴权和授权、可达性管理、安全上下文管理等接入和移动性相关的功能。
UPF:可以理解为用户面功能网元在5G架构中的命名。
其中,用户面功能网元主要包括以下功能:数据包路由和传输、包检测、业务用量上报、QoS处理、合法监听、上行包检测、下行数据包存储等用户面相关的功能。
AUSF:主要用于用户鉴权等。
NEF:主要用于支持能力和事件的开放,如用于安全地向外部开放由3GPP网络功能提供的业务和能力等。
其中,如图3所示,终端设备通过RAN设备接入5G网络。
终端设备通过N1接口(简称N1)与AMF通信。
RAN设备通过N2接口(简称N2)与AMF通信。
RAN设备通过N3接口(简称N3)与I-UPF通信。
I-UPF通过N9接口(简称N9)与第二锚点UPF通信。
第二锚点UPF通过N19接口(简称N19)与第一锚点UPF通信。
SMF网元通过N4接口(简称N4)分别与I-UPF、第二锚点UPF以及第一锚点UPF通信。
SMF网元通过Nx接口(简称Nx)与AUEF通信。
第一锚点UPF通过Nd接口(简称Nd)与AUEF通信。
此外,图3所示的AMF、SMF、NEF、NRF、PCF或者UDM等控制面功能也可以采用服务化接口进行交互。
例如,AMF对外提供的服务化接口可以为Namf。
SMF对外提供的服务化接口可以为Nsmf。
NEF对外提供的服务化接口可以为Nnef。
NRF对外提供的服务化接口可以为Nnrf。
PCF对外提供的服务化接口可以为Npcf。
UDM对外提供的服务化接口可以为Nudm。
相关描述可以参考23501标准中的5G系统架构(5G system architecture)图,在此不予赘述。本申请新增了一个控制面功能SAF,SAF对外提供的服务化接口可以为Nsaf。
应理解,本申请中的接入网设备、会话管理功能网元、策略控制网元或者应用功能网元也可以称之为通信装置或通信设备,其可以是一个通用设备或者是一个专用设备,本申请对此不作具体限定。
应理解,本申请中的会话管理功能实体、第一鉴权功能实体、或者APP实例接入模块的相关功能可以由一个设备实现,也可以由多个设备共同实现,还可以是由一个设备内的一个或多个功能模块实现,本申请对此不作具体限定。
可以理解的是,上述功能既可以是硬件设备中的网络元件,也可以是在专用硬件上运行的软件功能,或者是硬件与软件的结合,或者是平台(例如,云平台)上实例化的虚拟化功能。
需要说明的是,图3中包括的各个网元(比如PCF、AMF等)的命名仅是一个名字,名字对网元本身的功能不构成限定。在5G网络以及未来其它的网络中,上述各个网元也可以是其他的名字,本申请对此不作具体限定。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能是其他命名,等等,在此进行统一说明,以下不再赘述。
本领域技术人员可以理解,图3所示的网元之间的交互只是一种示例性描述,实际上5G系统还可以包括其他与图中示意的网元进行交互的网元,在此不予赘述。
下文将对本申请的方案进行说明。
已有方案中,第三方APP访问移动通信网络时,AF可以作为APP应用服务利用核心网中的NEF对AF进行认证从而使用一些网络功能,但是基于上述的NEF功能无法完全对AF开放关键的网络和用户敏感信息,从而会影响5G网络中终端设备与APP实例之间的访问控制、优化保障、安全交互等方面策略的实施,不利于APP利用5G网络更好的为用户提供服务。
针对上述问题,本申请提出了一种鉴权方法,能够实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,继而将其纳入到5G网络的安全信任域中。
图4示出了本申请提供的一种鉴权方法,用于对APP实例接入网络时进行入网鉴权,亦即一次鉴权。该方法主要包括以下步骤S401-S403。
S401,APP实例接入模块向会话管理功能网元发送第一会话建立请求,该第一会话建立请求包括APP实例的标识信息和该APP实例的标识信息对应的第一鉴权信息。
应理解,当APP实例接入网络或进行鉴权时,APP实例可以作为一种特殊的终端设备向会话管理功能网元发送会话建立请求,该会话建立请求包括该APP实例的标识信息和APP实例的标识信息对应的第一鉴权信息。
应理解,该第一鉴权信息可以是与该APP实例的标识信息对应的第一授权码,其具体用于第一鉴权功能实体对APP实例进行认证或者鉴权时,第一鉴权功能实体通过对该第一授权码和本地产生的与该标识信息对应的第二鉴权信息或者说是第二授权码进行比对,从而辅助第一鉴权功能实体对APP实例进行鉴权。
可选地,APP实例的标识信息可以包括该APP实例的设备标识和/或APP实例的业务标识。
其中,该设备标识用于标识该APP实例的归属、位置和类型等信息,例如APP实例的设备标识能够用于唯一地确定一个APP实例,如APP实例的位置信息等。该业务标识用于标识该APP实例的业务对外提供服务的身份认证信息,例如APP名称、身份(identifier,ID)或者域名(domain)等。
示例性地,APP实例的位置信息可以是该APP实例签约的归属公共陆地移动网(home public land mobile network,HPLMN);或者,APP实例的位置信息可以是该APP实例所服务的跟踪区的区域标识;或者,APP实例的位置信息可以是该APP实例所服务小区的小区标识等。
示例性地,APP实例的业务标识用于标识该APP实例的业务对外提供服务的身份认证信息,可唯一确定一个APP,例如,APP实例的业务标识可以是应用名称或应用域名信息等。
该APP实例的设备标识可以是APP实例设备永久标识(APP instance equipmentpermanent identifier,AIEPI)或者APP实例设备隐藏标识(APP instance equipmentconcealed identifier,AIECI)。
该APP实例的业务标识可以是APP实例业务永久标识(APP instance servicepermanent identifier,AIEPI)或者APP实例业务隐藏标识(APP instance serviceconcealed identifier,AIECI)。
应理解,此处对于APP实例标识的定义需要考虑原始的实例标识,以及为了安全性考虑可以通过加密或Hash的方式生成一个永久标识对应的隐藏标识来进行传递。
应理解,上述第一会话建立请求可以用于为APP实例与核心网建立第一会话,从而可以使得APP实例后续可以通过第一会话与其他设备进行数据通信。
示例性地,这里的第一会话可以为4G中的分组数据网络(packet data network,PDN)连接或5G中的PDU会话,还可以为未来其他网络中的其他连接,在此统一说明,以下不再赘述。
S402,会话管理功能网元向第一鉴权功能实体发送第一鉴权请求,用于请求第一鉴权功能实体对APP实例进行鉴权,第一鉴权请求包括APP实例的标识信息和该标识信息对应的第一鉴权信息。
应理解,会话管理功能网元可以是5G系统中的SMF网元。
需要说明的是,如果该SMF上集成了SEAF模块,则该会话管理功能网元具体为包含SEAF功能的SMF。
如果SMF与SEAF为不同的模块或功能实体,即SEAF不在SMF上,则SMF将第一会话建立请求发送给SEAF,再由SEAF向第一鉴权功能实体发送该第一鉴权请求。
第一鉴权功能实体可以为核心网新增的网元SAF,也可以为扩展的具备第一鉴权功能实体功能的AUSF网元,即第一鉴权功能实体可以为现有的网元,也可以为新增的网元,本申请对第一鉴权功能实体对应的网元不作限定。
S403,第一鉴权功能实体根据APP实例的标识信息和APP实例的标识信息对应的第一鉴权信息对APP实例进行鉴权,并向会话管理功能网元发送第一鉴权响应,该第一鉴权响应包括对APP实例的鉴权结果。
具体地,第一鉴权功能实体根据该APP实例的标识信息和该第一鉴权信息对该APP实例进行鉴权。
示例性地,第一鉴权功能实体确定本地与该标识信息对应的第二鉴权信息,例如,该第二鉴权信息也可以是一种授权码;第一鉴权功能实体对第一鉴权信息与第二鉴权信息进行比对,如果第一鉴权信息与第二鉴权信息比对一致,则APP实例鉴权成功,反之,如果第一鉴权信息与第二鉴权信息比对不一致,则APP实例鉴权失败。
更具体地,第一鉴权功能实体可以判断核心网的授权数据库中是否存在该APP实例的标识信息,如果存在,则验证APP实例的标识信息对应的第一鉴权信息是否正确,若正确,则APP实例鉴权通过,从而能够实现当APP实例鉴权失败时,则该APP实例不安全,则5G网络不允许其提供服务,从而可以保障5G网络的安全性。
应理解,该APP实例的鉴权结果可以包括指示APP实例鉴权成功的信息或者指示APP实例鉴权失败的信息,从而能够指示会话管理功能网元该APP实例的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果APP鉴权通过,则可以为APP实例建立会话,如果APP实例鉴权失败,则可以不为APP实例建立会话。
可选地,当APP实例鉴权通过后,会话管理功能网元接收包括指示APP实例鉴权通过的第一鉴权响应,然后选择用户面功能实体为该APP实例建立第一会话。
可选地,当APP实例鉴权失败后,会话管理功能网元接收包括指示APP实例鉴权结果为失败的第一鉴权响应,向APP实例接入模块发送第一会话建立失败消息。
示例性地,当APP实例鉴权失败后,则会话管理功能网元拒绝为该APP实例建立第一会话,又或者,会话管理功能网元拒绝该APP实例与5G网络中的终端设备之间的业务层面上的互访,从而保障5G网络的安全性。
如果UE要访问APP所提供的数据网络,例如APP,除了入网认证外,仍需要进行二次鉴权。
APP实例完成接入5G网络的鉴权流程后,UE访问APP时,在完成身份验证后,APP实例可能向该UE提供服务。
应理解,在前述方案中,第一鉴权功能实体可以接收来自会话管理功能网元的第一鉴权请求,也可以接收来自SEAF的第一鉴权请求,这具体取决于该会话管理功能网元是否集成了SEAF模块。如果该会话管理功能网元集成了该SEAF模块,则第一鉴权功能实体接收来自会话管理功能网元的第一鉴权请求,以及向会话管理功能网元发送第一鉴权响应;如果该会话管理功能网元没有集成该SEAF模块,则第一鉴权功能实体接收来自SEAF的第一鉴权请求,以及向该SEAF发送第一鉴权请求。具体内容可以参看前述描述,在此不再赘述。
可选地,在前述方案中,会话管理功能网元向第一鉴权功能实体发送的第一鉴权请求还可以携带虚拟业务网络标识,虚拟业务网络标识是运营商规划和分配的一个虚拟业务网络的唯一标识,该虚拟业务网络包括可以对外提供服务的APP实例、可以访问APP实例的终端用户,以及划分虚拟业务网络的用户参数,例如:签约信息、位置信息、切片、DNN、应用等。
通过上述技术方案,本申请通过第一鉴权功能实体对接入网络的APP实例进行鉴权,只有鉴权通过的合法实例才允许接入网络,对终端用户提供服务,并能够保证5G网络的安全,也可以经过鉴权之后的APP实例纳入到5G核心网的信任域中,允许对其进行访问控制、预留资源和保障体验等策略。
如图5所示,本申请提供了又一种鉴权方法,用于对UE接入具体APP实例时进行二次鉴权。该方法主要包括以下步骤S501-S502。
S501,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求,第二鉴权请求用于请求第一鉴权功能实体对访问APP的终端设备进行二次鉴权,该第二鉴权请求包括终端设备的标识信息、APP的应用标识以及与终端设备的标识信息和APP的应用标识对应的第三鉴权信息。
应理解,该第三鉴权信息可以是与终端设备的标识信息和APP的应用标识对应的第三授权码,其具体用于第一鉴权功能实体对终端设备进行认证时,第一鉴权功能实体对该第三授权码和本地产生的与终端设备的标识信息和APP的应用标识对应的第四鉴权信息,或者说是第四授权码进行比对,从而辅助第一鉴权功能实体对终端设备进行鉴权。
应理解,该APP的应用标识可以是一种APP名称,也可以是一种APP身份标识,其具体用于识别APP的类型或者身份。
示例性地,第一鉴权功能实体能够基于终端设备的标识信息确定该终端设备能够访问哪些APP,在确定该终端设备能够访问的APP里面,通过使用APP的应用标识确定该终端设备能够访问的APP里面是否包括该APP,如果能够查询到,则第一鉴权功能实体进行第三鉴权信息和第四鉴权信息的比对。比对一致,则该终端设备鉴权通过,如果比对不一致,则该终端设备鉴权失败,则不能访问该APP,但是本申请并不限定该终端设备能否访问除APP之外的其他APP。如果不能查询得到,则默认返回鉴权失败的指示信息。
又或者,第一鉴权功能实体通过先查询APP能够提供服务的签约的终端设备,并利用该终端设备的标识信息确定该终端设备是否属于能够访问该APP的终端设备,如果能够查询到,则第一鉴权功能实体进行第三鉴权信息和第四鉴权信息之间的比对。比对一致,则该终端设备鉴权通过,如果比对不一致,则该终端设备鉴权失败,则不能访问该APP,但是本申请并不限定该终端设备能否访问除APP之外的其他APP。如果查询不到,则默认返回鉴权失败的指示信息。
可选地,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该会话管理功能网元接收第一会话修改请求,第一会话修改请求用于请求修改终端设备与APP的会话,第一会话修改请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
通过对终端设备的二次鉴权,可以让运营商可以对终端访问特定APP实例进行认证,确保终端有对应的应用实例访问权限,增强APP实例的安全性,同时也防止了非法用户对APP实例的攻击和不合规的访问行为。同样的终端在完成二次鉴权之后允许访问的APP应用实例也在同一个安全领域,防止了不合规的APP实例为终端用户提供服务,提高了终端用户在APP访问行为中的安全性。
可选地,会话管理功能网元向第一鉴权功能实体发送第二鉴权请求之前,该会话管理功能网元接收来自用户面功能网元的第三鉴权请求,第三鉴权请求用于请求对访问APP的终端设备进行鉴权,该第三鉴权请求包括终端设备的标识信息、APP的应用标识以及第三鉴权信息。
通过对终端设备的二次鉴权,可以让运营商可以对终端访问特定APP实例进行认证,确保终端有对应的应用实例访问权限,增强APP实例的安全性,同时也防止了非法用户对APP实例的攻击和不合规的访问行为。同样的终端在完成二次鉴权之后允许访问的APP应用实例也在同一个安全领域,防止了不合规的APP实例为终端用户提供服务,提高了终端用户在APP访问行为中的安全性。
应理解,如果终端设备在访问APP需要进行二次验证之前,该终端设备能够通过数据面,即能够向用户面功能网元发送该终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息,并由该用户面功能网元转给会话管理功能网元。
进一步可选地,如果终端设备通过扩展会话修改请求或者二次鉴权请求发起对终端设备的二次鉴权流程,则可以直接将二次鉴权请求发送给会话管理功能网元,能够不进行前述先发给用户面功能网元并由该用户面功能网元转发给会话管理功能网元。
应理解,终端设备通过控制面发起的二次鉴权请求,可以通过已有的会话修改请求消息扩展新信元来承载,也可以是由新消息来承载。
可选地,该终端设备的标识信息包括终端设备设备标识和/或业务标识。其中,终端设备的设备标识可以唯一确定一个终端设备,终端设备的标识可以是终端用户在特定应用下的注册标识,比如用户名,但同一个终端设备标识针对不同的应用访问行为可能会有多个业务标识。
可选地,如果UE在新建会话时访问该APP,则会话管理功能网元向第一鉴权功能实体发送第二鉴权请求前,接收来自UE的第二会话建立请求,用于请求建立与APP实例的第二会话,以达到与APP实例间的数据互访。其中,该第二会话建立请求包括UE的标识信息和该标识信息对应的第三鉴权信息。
可选地,如果UE在已有会话中访问该APP,则会话管理功能网元向第一鉴权功能实体发送第二鉴权请求前,接收来自UE的会话修改请求,用于请求修改与APP实例的会话,以达到与APP实例间的数据互访。其中,该会话修改请求包括UE的标识信息和该标识信息对应的第三鉴权信息。
可选地,如果UE在已有会话中访问该APP,则会话管理功能网元向第一鉴权功能实体发送第二鉴权请求前,接收来自为UE提供服务的锚点UPF通过数据面发起的二次鉴权请求,该二次鉴权请求包括UE的标识信息和该标识信息对应的第三鉴权信息。
S502,第一鉴权功能实体基于终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息和APP的应用标识对应的第三鉴权信息对该终端设备进行鉴权,并向会话管理功能网元发送第二鉴权响应,第二鉴权响应包括对终端设备的鉴权结果。
具体地,第一鉴权功能实体确定本地与该终端设备的标识信息和APP的应用标识对应的第四鉴权信息,例如,该第四鉴权信息也可以是一种授权码;第一鉴权功能实体对第三鉴权信息与第四鉴权信息进行比对,如果第三鉴权信息与第四鉴权信息比对一致,则终端设备鉴权成功,反之,如果第三鉴权信息与第四鉴权信息比对不一致,则终端设备鉴权失败。
更具体地,第一鉴权功能实体能够首先通过该APP的应用标识确定该APP的类型或者身份,继而判断该APP的授权数据库中是否存在该终端设备的标识信息,如果存在,则进一步地验证第三鉴权信息是否正确,如果正确,则终端设备鉴权通过,反之,则终端设备鉴权失败。
关于APP的应用标识与该终端设备的标识信息之间的关系,可以参见前述描述,在此不再赘述。
可选地,该终端设备的鉴权结果可以包括指示终端设备鉴权通过的信息或指示终端设备鉴权失败的信息,从而能够指示会话管理功能网元该终端设备的鉴权结果,从而能够指示会话管理功能网元基于该鉴权结果做出相应的操作,例如,如果终端设备鉴权通过,则可以为该终端设备建立会话,如果该终端设备鉴权失败,则可以不为该终端设备建立会话。
可选地,当UE二次鉴权通过,若UE在新建会话时访问该APP,会话管理功能网元为该UE和APP的APP实例建立会话,具体过程可参照现有技术,此处不再赘述。
可选地,当UE二次鉴权通过,若UE在已有会话时访问该APP,则会话管理功能网元向策略控制功能网元发送策略更新请求,用于请求策略控制功能网元更改规则允许UE与APP实例进行数据的互相访问,从而能够基于鉴权结果请求下发允许或禁止互访的策略,提高终端用户和APP实例的安全性,避免不合规的访问行为或攻击。
可选地,当UE二次鉴权失败时,则会话管理功能网元拒绝建立第二会话;或者,会话管理功能网元拒绝该终端设备与APP实例之间的互访,从而能够保障5G网络的安全性。
示例性地,如果终端设备鉴权失败,会话管理功能网元能够下发禁止该终端设备与该APP实例之间的互访策略到用户面功能网元,或者,不下发允许该终端设备与该APP实例之间的互访策略给用户面功能网元,并由该用户面功能网元来执行相应的允许或者禁止访问的策略。
应理解,在前述方案中,第一鉴权功能实体可以接收来自会话管理功能网元的第二鉴权请求,也可以接收来自SEAF的第二鉴权请求,这具体取决于该会话管理功能网元是否集成了SEAF模块。如果该会话管理功能网元集成了该SEAF模块,则第一鉴权功能实体接收来自会话管理功能网元的第二鉴权请求,以及向会话管理功能网元发送第二鉴权响应;如果该会话管理功能网元没有集成该SEAF模块,则第一鉴权功能实体接收来自SEAF的第二鉴权请求,以及向该SEAF发送第二鉴权请求。具体内容可以参看前述描述,在此不再赘述。
可选地,在前述方案中,会话管理功能网元向第一鉴权功能实体发送的第一鉴权请求还可以携带虚拟业务网络标识,虚拟业务网络标识是运营商规划和分配的一个虚拟业务网络的唯一标识,该虚拟业务网络包括可以对外提供服务的APP实例、可以访问APP实例的终端用户,以及划分虚拟业务网络的用户参数,例如:签约信息、位置信息、切片、DNN、应用等。
通过上述技术方案,本申请能够通过第一鉴权功能实体集中对同一个虚拟业务网络中的APP实例和终端设备之间进行业务层面的认证和鉴权流程,从而保证终端设备和APP实例之间的相互访问在5G网络中的安全可信,有利于APP实例和终端设备的授权访问,避免欺诈或攻击场景的出现。
应理解,图5所述的一种鉴权方法可以是一种独立的技术方案,也能够与前述图4所述的一种鉴权方法结合起来,本申请对此不做限定。
下面将结合具体示例对本申请提供的鉴权方法做进一步的阐述。
需要说明的是,本申请中各个实体或者模块之间的消息名字或消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请对此不作具体限定。
首先,在上述图4实施例的基础上,图6所示为本申请提供的一种对APP实例进行鉴权的方法。
在该鉴权方法中,当APP实例上线后,APP实例通过AUEF接入网络。
其中,AUEF可以是APP实例中集成的一个模块,也可能是应用服务平台为APP实例提供的公共能力。
具体地,将包含SEAF的SMF作为会话管理功能网元,SAF作为第一鉴权功能实体为APP实例接入网络进行鉴权。
该鉴权方法的一种可能的实现方式包括如下步骤。
S601,AUEF向SMF发送Nsmf_PDU会话创建(PDU session create)请求。
相应地,SMF接收来自AUEF的Nsmf_PDU会话创建请求。该Nsmf_PDU会话创建请求包括APP实例的标识信息和该标识信息对应的第一鉴权信息,用于请求为该APP实例创建PDU会话。
其中,APP实例的标识信息的相关描述可参考图4实施例的描述,在此不再赘述。
需要说明的是,本申请中的Nsmf_PDU会话创建请求仅是图4中第一会话建立请求的一种示例,第一会话建立请求还可以为其他名称,本申请对此不作限定。
还需要说明的是,本申请中SMF为选定的支持为APP实例建立PDU会话的SMF为例进行说明,在此统一说明,以下不再赘述。
可替换的是,除了S601中的PDU会话创建流程外,在APP实例上线之后,可以启动接入5G Core网络初始建立会话或者在会话建立前增加独立的注册鉴权流程,携带该APP实例的标识信息,该标识信息可以包括APP实例的设备标识和/或业务标识,该设备标识用于标识该APP实例的归属、位置、类型等,该业务标识用于标识该APP实例的业务对外提供服务的身份认证信息,例如,APP名称、ID或域名,以及与该标识信息对应的第一鉴权信息,从而进行认证和鉴权流程。
应理解,AUEF向SMF发起会话建立流程时,AUEF会向SMF发送标识信息以及与该标识信息对应的第一鉴权信息,例如,APP实例的设备标识、业务标识、授权码等,或者能够增加独立的鉴权消息或流程,例如,Nsmf_PDU Session_Create SM Context Request或Nsmf_PDU Session_App Authentication Request消息,向SMF或其他支持鉴权的设备发起鉴权流程。
S602,SMF向SAF发送Nsaf_APP鉴权请求(authentication request)。
相应地,SAF接收来自SMF的Nsaf_APP鉴权请求。该Nsaf_APP鉴权请求包括APP实例的标识信息和该标识信息对应的第一鉴权信息,用于请求为该APP实例进行鉴权。
需要说明的是,本申请中的Nsaf_APP鉴权请求仅是图4中第一鉴权请求的一种示例,第一鉴权请求还可以为其他名称,本申请对此不作限定。
应理解,当SMF集成了SEAF功能,则SMF能够将APP实例的标识信息和该APP实例的标识信息对应的第一鉴权信息通过SEAF发送至SAF。
应理解,如果SMF与SEAF是作为两种不同的模块或功能实体,那么SMF会先将APP实例的标识信息和该APP实例的标识信息对应的第一鉴权信息发送至SEAF,然后由SEAF再将该标识信息和第一鉴权信息发送至SAF。
具体地,APP的SEAF安全锚点功能实体能够根据APP实例的标识信息可以查询到该APP实例归属的虚拟业务网络信息,并向SAF发起APP实例的认证和鉴权流程的时候还可以携带APP实例的标识信息。
S603,SAF对APP实例进行鉴权处理。
在本申请中,SAF根据APP实例的标识信息和该APP实例的标识信息对应的第一鉴权信息对APP实例进行鉴权处理。
具体地,SAF获取APP实例的标识信息和第一鉴权信息,SAF确定本地与该标识信息对应的第二鉴权信息,例如,该第二鉴权信息也可以是一种授权码;SAF对第一鉴权信息与第二鉴权信息进行比对,如果第一鉴权信息与第二鉴权信息比对一致,则APP实例鉴权成功,反之,如果第一鉴权信息与第二鉴权信息比对不一致,则APP实例鉴权失败,则表示该APP不安全,则不允许该APP实例提供服务,从而能够保障5G网络的安全性。
示例性地,SAF判断该APP实例的标识信息是否存在于核心网的授权数据库中,若存在,则验证该APP实例的标识信息对应的第一鉴权信息是否正确,若正确,则APP实例鉴权成功。
更具体地,SAF根据APP实例的标识信息确定该标识为设备标识还是业务标识或两者兼备,然后在核心网中相应标识的授权数据库中寻找,查询到授权信息后,对该标识对应的第一授权码,或者是第一鉴权信息,进行验证。
示例性地,SAF获取APP实例的设备标识信息和该设备标识信息对应的第一鉴权信息,然后查找设备标识的授权库,判断该APP实例的设备标识是否在该授权数据库内,若存在,对APP实例的设备标识对应的第一鉴权信息进行验证,验证通过则APP实例鉴权成功,验证不通过则APP实例鉴权失败;若APP实例的设备标识不存在于该授权数据库,则APP实例鉴权失败。
应理解,验证方式可以为固定授权码字符串对比,也可以通过一些动态秘钥算法和参数一起计算出授权码字符串进行对比,对比一致则鉴权通过。
示例性地,SAF获取APP实例的业务标识信息和该业务标识信息对应的第一鉴权信息,然后查找业务标识的授权数据库,判断该APP实例的业务标识是否在该授权数据库内,若存在,将APP实例的业务标识信息对应的第一鉴权信息进行验证,验证通过则APP实例鉴权成功;若不存在于授权数据库,则APP实例鉴权失败。
上述APP实例的设备标识对应的鉴权信息和APP实例的业务标识对应的鉴权信息可以相同,也可以不同,本申请对此不作限定。
可选地,上述授权数据库存储于UDM中。
S604,SAF向SMF发送Nsaf_APP鉴权响应(authentication response)。
相应地,SMF接收来自SAF的Nsaf_APP鉴权响应。其中,该Nsaf_APP鉴权响应包括对APP实例的鉴权结果,鉴权结果可以为APP实例鉴权通过或APP实例鉴权失败。
需要说明的是,本申请中的Nsaf_APP鉴权响应仅是图4中第一鉴权响应的一种示例,第一鉴权响应还可以为其他名称,本申请对此不做具体限定。
当APP实例鉴权失败后,例如,SMF可以向AUEF发送PDU会话建立拒绝,以拒绝该PDU会话的接入。
又例如,当APP实例鉴权未通过时,还可以通过规则禁止APP实例向外提供虚拟业务网络服务,同时反馈AUEF该APP实例鉴权失败,可以重新发起新的鉴权过程。
S605,当APP实例的鉴权通过后,SMF选择锚点UPF为APP实例建立PDU会话。
示例性地,SMF向第二锚点UPF发送N4会话建立请求(N4 session establishmentrequest)。
相应地,第二锚点UPF接收来自SMF的N4会话建立请求。该N4会话建立请求包括APP实例的标识信息,用于请求为APP实例建立PDU会话。
需要说明的是,本申请中的N4会话建立请求为建立会话请求消息的一种示例,还可以为其他消息,本申请对此不做具体限定。
具体地,SMF在APP实例鉴权通过之后,选择第二锚点UPF为该APP实例建立会话,第二锚点UPF可为APP实例分配IP地址或MAC地址。
S606,第二锚点UPF向SMF发送N4会话建立响应(N4 session establishmentresponse)。
相应地,SMF接收来自第二锚点UPF的N4会话建立响应。其中,该N4会话建立响应包括会话建立结果,会话建立结果例如可以为成功或失败。
其中,第二锚点UPF向SMF发送N4会话建立响应之前,建立与APP实例之间的会话隧道,该N4会话建立响应还包括第二锚点UPF为APP实例建立会话的隧道标识信息。
S607,当SMF确定会话建立成功之后,SMF向AUEF发送Nsmf_PDU会话创建(PDUsession create)响应。
相应的,AUEF接收来自SMF的Nsmf_PDU会话创建响应。其中,该Nsmf_PDU会话创建响应包括第二锚点UPF为APP实例建立会话分配的第一地址。
示例性地,第一地址可以为第二锚点UPF为APP实例建立会话分配的隧道标识信息,例如:全量隧道端点标识(full qualified tunnel endpoint ID),又例如,第一地址为二锚点UPF为APP实例建立会话分配的IP地址。
可选地,该Nsmf_PDU会话创建响应还包括第一实例APP与AUEF认证相关的密钥交互信息。
在本申请中,AUEF完成鉴权流程之后,基于移动通信网络分配的IP地址对外发布路由提供服务,同时也与第二锚点UPF建立隧道连接,实现移动通信网络内的会话建立。
需要说明的是,本申请中的“隧道”还可以称之为路径或者其他名字,本申请对此不做具体限定。例如,上述隧道标识信息可以替换为路径标识信息,第一隧道可以替换为第一地址,等等,在此不再赘述。
通过上述技术方案,本申请可以实现对APP实例接入到5G网络时,通过对APP实例所属的设备标识和业务标识、授权码等信息进行鉴权处理,实现对APP实例接入到5G网络前的安全认证工作,确保APP实例符合接入5G网络中的安全要求,将APP实例纳入到5G网络的安全信任域中,后续可以基于其认证后授权的安全等级,实现与5G网络中的终端设备和其他网元之间的安全交互。
在上述图5实施例的基础上,图7所示为本申请实施例提供的一种鉴权方法。
该鉴权方法中,当APP实例完成入网鉴权后,由SMF或SMF+SEAF作为会话管理功能网元,SAF作为第一鉴权功能实体为UE在新建会话时接入第一实例APP进行鉴权。
该鉴权方法一种可能的实现方式包括如下步骤。
S701,PCF向UE发送用户设备路由选择策略(user equipment routing selectionpolicy,URSP)规则内容。
相应地,UE接收PCF发送的URSP规则内容。
在本申请实施例中,对于原URSP规则内容,该URSP规则内容增加了APP二次鉴权标识(APP Authenticate Flag),该二次鉴权标识要求UE在访问该APP服务的虚拟业务网络时携带该UE在该虚拟业务网络的标识信息进行鉴权流程(也可以由UE自行配置访问某些APP时需要携带的认证信息)。原URSP规则内容参见现有技术,本申请不再赘述。
S702,UE向SMF发送PDU会话建立请求(PDU session establishment request)。
相应地,SMF接收来自UE发送的PDU会话建立请求。该PDU会话建立请求包括UE的标识信息、APP的应用标识以及与该UE的标识信息和APP的应用标识对应的第三鉴权信息。
需要说明的是,本申请实施例中的PDU会话建立请求仅是图5中第二会话建立请求的一种示例,第二会话建立请求还可以为其他名称,本申请实施例对此不作限定。
可选地,UE的标识信息包括UE的设备标识和/或UE访问APP的业务标识。
应理解,UE如果匹配到URSP规则,即执行步骤501,并确认需要进行业务访问对于携带该标识的场景下,则向SMF发送包括UE的标识信息、APP的应用标识和第三鉴权信息的PDU会话建立请求。
应理解,UE不需要执行步骤501。UE自行配置访问APP需要携带的终端设备的标识信息和该标识信息对应的第三鉴权信息,然后向SMF发送包括该标识信息和第三鉴权信息的PDU会话建立请求。
S703,SMF向SAF发送Nsaf_Vsn_UE鉴权请求(authenticate request)。
相应地,SAF接收来自SMF的Nsaf_Vsn_UE鉴权请求。该Nsaf_Vsn_UE鉴权请求包括UE的标识信息、APP的应用标识以及与该标识信息和APP的应用标识对应的第三鉴权信息。
需要说明的是,本申请中的Nsaf_Vsn_UE鉴权请求仅是图5中第二鉴权请求的一种示例,第二鉴权请求还可以为其他名称,本申请对此不作限定。
应理解,SEAF功能实体可以查询到该UE归属的虚拟业务网络信息,并且向SAF发起UE的鉴权或者认证流程的时候还可以携带UE的标识信息。
应理解,如果SMF集成了SEAF功能或者模块,则SMF会将UE的标识信息、APP的应用标识以及对应的第三鉴权信息发送至SEAF,然后再由SEAF将上述信息发送至SAF。
应理解,如果SMF与SEAF是作为两种不同的模块或功能实体,那么SMF会先将UE的标识信息、APP的应用标识以及对应的第三鉴权信息发送至SEAF,然后再由SEAF将上述信息发送至SAF。
S704,SAF对UE进行鉴权处理。
具体地,SAF基于Nsaf_Vsn_UE鉴权请求包括的UE的标识信息、APP的应用标识以及对应的第三鉴权信息对该UE是否可以访问该APP的业务进行二次鉴权。
示例性地,SAF能够基于终端设备的标识信息确定该终端设备能够访问哪些APP,在确定该终端设备能够访问的APP里面,通过使用APP的应用标识确定该终端设备能够访问的APP里面是否包括该APP,如果能够查询到,则SAF进行第三鉴权信息和第四鉴权信息的比对。比对一致,则该终端设备鉴权通过,如果比对不一致,则该终端设备鉴权失败,则不能访问该APP,但是本申请并不限定该终端设备能否访问除APP之外的其他APP。如果不能查询得到,则默认返回鉴权失败的指示信息。
又或者,SAF通过先查询APP能够提供服务的签约的终端设备,并利用该终端设备的标识信息确定该终端设备是否属于能够访问该APP的终端设备,如果能够查询到,则SAF进行第三鉴权信息和第四鉴权信息之间的比对。比对一致,则该终端设备鉴权通过,如果比对不一致,则该终端设备鉴权失败,则不能访问该APP,但是本申请并不限定该终端设备能否访问除APP之外的其他APP。如果查询不到,则默认返回鉴权失败的指示信息。
又具体地,SAF获取UE的标识信息,确定该标识为设备标识还是业务标识或两者兼备,然后在相应标识的授权数据库中寻找,查询到授权信息后,对该第三鉴权信息进行认证。
示例性地,SAF获取UE的设备标识和第三鉴权信息,然后查找APP的关于设备标识的授权数据库,判断该UE的设备标识是否在该授权数据库内,若存在,则对UE的第三鉴权信息进行验证,验证通过,则表示终端设备鉴权成功,验证未通过,则表示终端设备鉴权失败;若UE的设备标识不存在于该授权数据库内,则终端设备鉴权失败。
示例性地,例如,该验证方式可以为固定授权码字符串对比,也可以通过一些动态秘钥算法和参数一起计算出授权码字符串进行对比,对比一致则鉴权通过。
示例性地,SAF获取UE的业务标识和第三鉴权信息,然后查找APP的关于业务标识的授权数据库,判断该UE的业务标识是否在该授权数据库内,若存在,则对终端设备的第三鉴权信息进行验证,验证通过,则表示终端设备鉴权成功,验证未通过,则表示终端设备鉴权失败;若UE的业务标识不存在于该授权数据库内,则终端设备授权失败。
上述UE的设备标识和UE的业务标识可以相同,也可以不同,本申请对此不作限定。上述UE的设备标识对应的鉴权信息和UE的业务标识对应的鉴权信息可以相同,也可以不同,本申请对此不作限定。
S705,SAF向SMF发送Nsaf_Vsn_UE鉴权响应。
相应地,SMF接收来自SAF的Nsaf_Vsn_UE鉴权响应。其中,该Nsaf_Vsn_UE鉴权响应包括鉴权结果,鉴权结果例如可以为终端设备鉴权通过或者终端设备鉴权失败。
需要说明的是,本申请实施例中的Nsaf_Vsn_UE鉴权响应仅是图5中第二鉴权请求的一种示例,第二鉴权响应还可以为其他名称,本申请对此不作限定。
S706,当UE鉴权通过后,SMF向UE发送PDU会话建立响应。
相应地,UE接收来自SMF的会话建立响应。
在本申请中,SMF在UE访问APP的二次鉴权通过之后,选择适合UE的APP实例,例如APP实例,向UE提供数据服务,然后继续后续会话建立流程,相关实现可参考现有技术,在此不再赘述。
当UE鉴权失败后,例如,SMF向UE发送PDU会话建立拒绝,以拒绝该PDU会话的接入。
又例如,当UE鉴权失败后,SEAF能够拒绝该会话的建立,或者不下发APP实例的地址信息,或者不向SMF或者UPF下发业务访问策略。
又例如,当UE二次鉴权未通过时,SMF还可以去激活已激活的会话。
再例如,通过规则禁止该UE访问对应的APP的同时反馈UE该UE访问APP鉴权失败,可以重新发起新的鉴权过程。
当UE在已有会话中需要接入该APP提供的虚拟业务网络时,也需要执行二次鉴权流程,才能与APP的实例建立会话,该二次鉴权流程可以通过两种方式。具体流程如下。
方式一:
与图7所示的方法大致类似,不同的是,UE可以通过向SMF发送PDU会话修改请求在已有会话中进行接入APP的实例的二次鉴权。
具体地,在步骤701中,UE向SMF发送PDU会话修改请求。
步骤707中,SMF向UE发送PDU会话修改响应。
方式二:
图8所示为本申请提供的另一种二次鉴权的方法。
为UE提供服务的第一锚点UPF预置规则默认不允许对该APP的实例的业务访问,但在本申请实施例中,第一锚点UPF开放对UE二次鉴权的服务,允许UE通过用户面发起二次鉴权流程,也就是提供一个UE可以进行二次鉴权的服务地址,UE设备通过访问该服务地址建立连接进行鉴权流程。
该鉴权方法的一种可能的实现方式包括如下步骤。
S801,UE向第一锚点UPF发送二次鉴权消息。
相应地,第一锚点UPF接收来自UE的二次鉴权消息。该二次鉴权消息包括UE的标识信息、APP的应用标识以及与该UE的标识信息和APP的应用标识对应的第三鉴权信息。
在本申请中,UE通过接入APP访问APP的实例提供的虚拟业务网络,具体实现中,UE通过数据面向第一锚点UPF分配的和APP的应用标识,第一锚点UPF能够监控该服务地址,并解析UE发送的二次鉴权消息。
应理解,终端设备能够通过数据面,即能够向用户面功能网元发送该终端设备的标识信息、APP的应用标识以及与该终端设备的标识信息、APP的应用标识对应的第三鉴权信息,并由该用户面功能网元转给会话管理功能网元。
进一步可选地,如果终端设备通过扩展会话修改请求或者二次鉴权请求发起对终端设备的二次鉴权流程,则可以直接将二次鉴权请求发送给会话管理功能网元,能够不进行前述先发给用户面功能网元并由该用户面功能网元转发给会话管理功能网元。
应理解,终端设备通过控制面发起的二次鉴权请求,可以通过已有的会话修改请求消息扩展新信元来承载,也可以是由新消息来承载。
应理解,终端通过控制面发起的二次鉴权请求,可以通过已有的会话修改请求消息扩展新信元来承载,也可以是新消息来承载。
应理解,UE的二次鉴权信息只是UE向第一锚点UPF发起鉴权流程的一种方式,也可以是其他信息,本申请对此不作限定。
S802,第一锚点UPF向SMF发送报文转发控制协议(packet forwarding controlprotocol,PFCP)会话报告请求(session report request)。
在本申请中,第一锚点UPF能够通过监控鉴权服务地址,来解析UE发送的二次鉴权消息,并通过向SMF发送PFCP会话报告请求,上报UE的二次鉴权信息。
需要说明的是,PFCP会话报告请求只是UE通过第一锚点UPF转发发起二次鉴权流程的一种方式,也可以是其他请求名称,比如,PFCP_UE鉴权请求(authenticationrequest),本申请对此不作限定。
S803,SMF向SAF发送Nsaf_Vsn_UE鉴权请求。
相应地,SAF接收来自SMF的Nsaf_Vsn_UE鉴权请求。该Nsaf_Vsn_UE鉴权请求包括UE的鉴权信息。
需要说明的是,本申请中的Nsaf_Vsn_UE鉴权请求仅是图5中第二鉴权请求的一种示例,第二鉴权响应还可以为其他名称,本申请对此不作限定。
可选地,如果SMF集成了SEAF模块或者功能实体,那么SMF将UE的UE的标识信息、APP的应用标识以及与该UE的标识信息和APP的应用标识对应的第三鉴权信息发送至SEAF,然后由SEAF将UE的标识信息、APP的应用标识以及与该UE的标识信息和APP的应用标识对应的第三鉴权信息发送至SAF。
可选地,SMF与SEAF为不同的模块或功能实体,SMF将UE的鉴权信息发送至SEAF,SEAF再将该鉴权信息发送至SAF。
S804,SAF对UE进行鉴权处理。
具体处理方式可参考前述步骤S504。
S805,SAF向SMF发送Nsaf_Vsn_UE鉴权响应。
相应地,SMF接收来自SAF的Nsaf_Vsn_UE鉴权响应。其中,该Nsaf_Vsn_UE鉴权响应包括鉴权结果,鉴权结果例如可以为通过和失败。
S806,SMF向第一锚点UPF发送PFCP会话报告响应(session report response)。
可选地,SMF向第一锚点UPF发送PFCP_UE鉴权响应。
可选地,在UE鉴权通过后,SMF可以向PCF发送策略更新请求,允许UE和该APP实例之间的业务访问,该实现方式包括如下步骤S807和S808。
S807,SMF向PCF发送Npcf_会话管理策略控制更新请求(session manage policycontrol update request)。
相应地,PCF接收来自SMF的Npcf_会话管理策略控制更新请求。
在本申请中,该Npcf_会话管理策略控制更新请求包括UE的二次鉴权通过的鉴权结果,以使PCF更新UE与APP实例的会话管理策略,允许UE和该APP实例之间的业务访问。
S808,PCF向SMF发送Npcf_会话管理策略控制更新响应(session manage policycontrol update response)。
具体地,PCF基于SMF上报的UE鉴权通过的鉴权结果触发规则更新,允许UE和该APP实例之间的业务访问。
S809,第一锚点UPF向UE发送二次鉴权结果。
在本申请中,鉴权通过则允许UE和APP实例之间的业务访问。
可选地,鉴权通过后可以通过上述步骤S807和S808,即通过PCF下发更新的规则实现UE和APP实例之间的业务访问。
通过上述技术方案,本申请可以通过SAF集中对同一个虚拟业务网络中的APP实例和UE终端设备之间进行业务层面的认证和鉴权流程,从而保证UE和APP之间的相互访问在5G网络中的安全可信,有利于APP实例和UE设备的授权访问,避免欺诈或攻击场景的出现。
可以理解的是,图4至图8所示的实施例中,由第一鉴权功能实体实现的方法和/或步骤,也可以由可用于第一鉴权功能实体的部件实现;由APP实例接入模块实现的方法和/或步骤,也可以由可用于APP实例接入模块的部件(例如芯片或者电路)实现;由会话管理功能实体实现的方法和/或步骤,也可以由可用于会话管理功能实体的部件(例如芯片或者电路)实现。
图9是本申请提供的通信装置900的示意性框图。如图所示,该通信装置900可以包括:收发单元910和处理单元920。
在一种可能的设计中,该通信装置900可以是上文方法实施例中的会话管理功能网元,也可以是用于实现上文方法实施例中会话管理功能网元的功能的芯片。
应理解,该通信装置900可对应于根据本申请实施例中的会话管理功能网元,该通信装置900可以包括用于执行图4至图8中的会话管理功能网元执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4至图8中的相应流程。
作为一种示例性描述,该通信装置900能够实现前述方法实施例中的S401、S402和S404中涉及会话管理功能网元有关的动作、步骤或者方法,也能够实现前述方法实施例中的S501和S502中涉及会话管理功能网元有关的动作、步骤或者方法。
应理解,上述内容仅作为示例性理解,该通信装置900还能够实现上述方法实施例中的其他与会话管理功能网元相关的步骤、动作或者方法,在此不再赘述。
应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置900可以是上文方法实施例中的第一鉴权功能网元,也可以是用于实现上文方法实施例中第一鉴权功能网元的功能的芯片。
应理解,该通信装置900可对应于根据本申请实施例中的接入和移动性管理功能网元,该通信装置900可以包括用于执行图4至图8中第一鉴权功能实体执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4至图8中的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
作为又一种示例性描述,该通信装置900能够实现前述方法实施例中的S403中涉及接入和移动性管理功能网元有关的动作、步骤或者方法,也能够实现前述方法实施例中的S502中涉及接入和移动性管理功能网元有关的动作、步骤或者方法。
应理解,上述内容仅作为示例性理解,该通信装置900还能够实现上述方法实施例中的其他与接入和移动性管理功能网元相关的步骤、动作或者方法,在此不再赘述。
应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置900可以是上文方法实施例中的APP实例接入模块,也可以是用于实现上文方法实施例中APP实例接入模块的功能的芯片。
应理解,该通信装置900可对应于根据本申请实施例中的APP实例接入模块,该通信装置900可以包括用于执行图4和图6中的APP实例接入模块执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图4和图6中的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
作为另一种示例性描述,该通信装置900能够实现前述方法实施例中的S401中涉及APP实例接入模块有关的动作、步骤或者方法。
应理解,上述内容仅作为示例性理解,该通信装置900还能够实现上述方法实施例中的其他与APP实例接入模块相关的步骤、动作或者方法,在此不再赘述。
应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
在另一种可能的设计中,该通信装置900可以是上文方法实施例中的终端设备,也可以是用于实现上文方法实施例中终端设备的功能的芯片。
应理解,该通信装置900可对应于根据本申请实施例中的终端设备,该通信装置900可以包括用于执行图5、图7和图8中的终端设备执行的方法的单元。并且,该通信装置900中的各单元和上述其他操作和/或功能分别为了实现图5、图7和图8中的相应流程。应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
还应理解,该通信装置900中的收发单元910可对应于图10中示出的通信设备1000中的收发器1020,该通信装置900中的处理单元920可对应于图10中示出的通信设备1000中的处理器1010。
还应理解,当该通信装置900为芯片时,该芯片包括收发单元和处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。
收发单元910用于实现通信装置900的信号的收发操作,处理单元920用于实现通信装置900的信号的处理操作。
可选地,该通信装置900还包括存储单元930,该存储单元930用于存储指令。
图10是本申请实施例提供的通信设备1000的示意性框图。如图所示,该通信设备1000包括:至少一个处理器1010和收发器1020。该处理器1010与存储器耦合,用于执行存储器中存储的指令,以控制收发器1020发送信号和/或接收信号。可选地,该通信设备1000还包括存储器1030,用于存储指令。
应理解,上述处理器1010和存储器1030可以合成一个处理装置,处理器1010用于执行存储器1030中存储的程序代码来实现上述功能。具体实现时,该存储器1030也可以集成在处理器1010中,或者独立于处理器1010。
还应理解,收发器1020可以包括接收器(或者称,接收机)和发射器(或者称,发射机)。收发器1020还可以进一步包括天线,天线的数量可以为一个或多个。收发器1020有可以是通信接口或者接口电路。
当该通信设备1000为芯片时,该芯片包括收发单元和处理单元。其中,收发单元可以是输入输出电路或通信接口;处理单元可以为该芯片上集成的处理器或者微处理器或者集成电路。本申请实施例还提供了一种处理装置,包括处理器和接口。所述处理器可用于执行上述方法实施例中的方法。
应理解,上述处理装置可以是一个芯片。例如,该处理装置可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecific integrated circuit,ASIC),还可以是系统芯片(system on chip,SoC),还可以是中央处理器(central processor unit,CPU),还可以是网络处理器(networkprocessor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logicdevice,PLD)或其他集成芯片。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述方法实施例中由第一鉴权功能网元执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法实施例中由第一鉴权功能网元执行的方法。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述方法实施例中由会话管理功能网元执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法实施例中由会话管理功能网元执行的方法。
本申请实施例还提供一种计算机可读存储介质,其上存储有用于实现上述方法实施例中由APP实例接入模块执行的方法的计算机指令。
例如,该计算机程序被计算机执行时,使得该计算机可以实现上述方法实施例中由APP实例接入模块执行的方法。
本申请实施例还提供一种包含指令的计算机程序产品,该指令被计算机执行时使得该计算机实现上述方法实施例中由第一鉴权功能网元执行的方法,或由会话管理功能网元执行的方法,或由APP实例接入模块执行的方法。
本申请实施例还提供一种通信系统,该通信系统由会话管理功能网元和第一鉴权功能实体组成,其中该会话管理功能网元用于执行前述方法实施例中由会话管理功能网元执行的方法的步骤,以及该第一鉴权功能实体用于执行前述方法实施例中由第一鉴权功能实体执行的方法的步骤。
可选地,该通信系统还可以包括策略控制功能网元,其用于执行前述方法实施例中由该策略控制功能网元执行的方法的步骤。
可选地,该通信系统还可以包括终端设备,其用于执行前述方法实施例中由该终端设备执行的方法的步骤。
可选地,该通信系统还可以包括用户面功能网元,其用于执行前述方法实施例中由该用户面功能网元执行的方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述方便和简洁,上述提供的任一种通信装置中相关内容的解释及有益效果均可参考上文提供的对应的方法实施例,此处不再赘述。
本申请实施例并未对本申请实施例提供的方法的执行主体的具体结构进行特别限定,只要能够通过运行记录有本申请实施例提供的方法的代码的程序,以根据本申请实施例提供的方法进行通信即可。例如,本申请实施例提供的方法的执行主体可以是终端设备或网络设备,或者,是终端设备或网络设备中能够调用程序并执行程序的功能模块。
本申请的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本文中使用的术语“制品”可以涵盖可从任何计算机可读器件、载体或介质访问的计算机程序。
其中,计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质(或者说计算机可读介质)例如可以包括但不限于:磁性介质或磁存储器件(例如,软盘、硬盘(如移动硬盘)、磁带)、光介质(例如,光盘、压缩盘(compact disc,CD)、数字通用盘(digital versatiledisc,DVD)等)、智能卡和闪存器件(例如,可擦写可编程只读存储器(erasableprogrammable read-only memory,EPROM)、卡、棒或钥匙驱动器等)、或者半导体介质(例如固态硬盘(solid state disk,SSD)等、U盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)等各种可以存储程序代码的介质。
本文描述的各种存储介质可代表用于存储信息的一个或多个设备和/或其它机器可读介质。术语“机器可读介质”可以包括但不限于:无线信道和能够存储、包含和/或承载指令和/或数据的各种其它介质。
应理解,本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)。例如,RAM可以用作外部高速缓存。作为示例而非限定,RAM可以包括如下多种形式:静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。
需要说明的是,当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
还需要说明的是,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。此外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元实现本申请提供的方案。
另外,在本申请各个实施例中的各功能单元可以集成在一个单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。
当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。例如,计算机可以是个人计算机,服务器,或者网络设备等。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。关于计算机可读存储介质,可以参考上文描述。
应理解,在本申请实施例中,编号“第一”、“第二”…仅仅为了区分不同的对象,比如为了区分不同的网络设备,并不对本申请实施例的范围构成限制,本申请实施例并不限于此。
还应理解,在本申请中,“当…时”、“若”以及“如果”均指在某种客观情况下网元会做出相应的处理,并非是限定时间,且也不要求网元实现时一定要有判断的动作,也不意味着存在其它限定。
还应理解,在本申请各实施例中,“A对应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
还应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (32)
1.一种鉴权方法,其特征在于,包括:
第一鉴权功能实体接收第一鉴权请求,所述第一鉴权请求包括应用APP实例的标识信息和所述标识信息对应的第一鉴权信息,所述APP实例为运行应用APP的实例;
所述第一鉴权功能实体根据所述APP实例的标识信息和所述第一鉴权信息对所述APP实例进行鉴权;
所述第一鉴权功能实体发送第一鉴权响应,所述第一鉴权响应包括对所述APP实例的鉴权结果。
2.根据权利要求1所述的方法,其特征在于,
所述APP实例的标识信息包括所述APP实例的设备标识和/或所述APP实例的业务标识。
3.根据权利要求1或2所述的方法,其特征在于,所述第一鉴权功能实体根据所述APP实例的标识信息和所述第一鉴权信息对所述APP实例进行鉴权,包括:
确定本地与所述APP实例的标识信息对应的第二鉴权信息;
将所述第一鉴权信息与所述第二鉴权信息进行比对。
4.根据权利要求3所述的方法,其特征在于,
当所述第一鉴权信息与所述第二鉴权信息比对一致时,则所述APP实例鉴权成功;或者,
当所述第一鉴权信息与所述第二鉴权信息比对不一致时,则所述APP实例鉴权失败。
5.根据权利要求1至4中任一项所述的方法,其特征在于,
所述APP实例的鉴权结果包括指示所述APP实例鉴权成功的信息或指示所述APP实例鉴权失败的信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,
所述第一鉴权功能实体接收所述第一鉴权请求包括:所述第一鉴权功能实体接收来自会话管理功能网元的所述第一鉴权请求,以及
所述第一鉴权功能实体发送所述第一鉴权响应包括:所述第一鉴权功能实体向所述会话管理功能网元发送所述第一鉴权响应;或者,
所述第一鉴权功能实体接收所述第一鉴权请求包括:所述第一鉴权功能实体接收来自安全锚点功能实体的所述第一鉴权请求,以及
所述第一鉴权功能实体发送所述第一鉴权响应包括:所述第一鉴权功能实体向所述安全锚点功能实体发送所述第一鉴权响应。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:
所述第一鉴权功能实体接收第二鉴权请求,所述第二鉴权请求包括访问所述APP的终端设备的标识信息、所述APP的应用标识以及与所述终端设备的标识信息和所述APP的应用标识对应的第三鉴权信息;
所述第一鉴权功能实体根据所述终端设备的标识信息、所述APP的应用标识和所述第三鉴权信息对所述终端设备进行二次鉴权;
所述第一鉴权功能实体发送第二鉴权响应,所述第二鉴权响应包括对所述终端设备的鉴权结果。
8.根据权利要求7所述的方法,其特征在于,
所述终端设备的标识信息包括所述终端设备的设备标识和/或所述终端设备的业务标识。
9.根据权利要求7或8所述的方法,其特征在于,所述第一鉴权功能实体根据所述终端设备的标识信息和所述第三鉴权信息对所述终端设备进行二次鉴权,包括:
确定本地与所述终端设备的标识信息和所述APP的应用标识对应的第四鉴权信息;
将所述第三鉴权信息与所述第四鉴权信息进行比对。
10.根据权利要求9所述的方法,其特征在于,
当所述第三鉴权信息与所述第四鉴权信息比对一致时,则所述终端设备鉴权成功;或者,
当所述第三鉴权信息与所述第四鉴权信息比对不一致时,则所述终端设备鉴权失败。
11.根据权利要求7至10中任一项所述的方法,其特征在于,
所述终端设备的鉴权结果包括指示所述终端设备鉴权成功的信息或指示所述终端设备鉴权失败的信息。
12.根据权利要求7至11中任一项所述的方法,其特征在于,
所述第一鉴权功能实体接收所述第二鉴权请求包括:所述第一鉴权功能实体接收来自会话管理功能网元的所述第二鉴权请求,以及
所述第一鉴权功能实体发送所述第一鉴权响应包括:所述第一鉴权功能实体向所述会话管理功能网元发送所述第二鉴权响应;或者,
所述第一鉴权功能实体接收所述第二鉴权请求包括:所述第一鉴权功能实体接收来自安全锚点功能实体的所述第二鉴权请求,以及
所述第一鉴权功能实体发送所述第一鉴权响应包括:所述第一鉴权功能实体向所述安全锚点功能实体发送所述第二鉴权响应。
13.一种鉴权方法,其特征在于,包括:
会话管理功能网元向第一鉴权功能实体发送第一鉴权请求,所述第一鉴权请求包括应用APP实例的标识信息和所述标识信息对应的第一鉴权信息,所述APP实例为运行应用APP的实例;
所述会话管理功能网元接收来自所述第一鉴权功能实体的第一鉴权响应,所述第一鉴权响应包括对所述APP实例的鉴权结果。
14.根据权利要求13所述的方法,其特征在于,所述会话管理功能网元向所述第一鉴权功能实体发送所述第一鉴权请求前,所述方法还包括:
所述会话管理功能网元接收第一会话建立请求,所述第一会话建立请求用于请求建立所述APP实例与核心网的第一会话,所述第一会话建立请求包括所述APP实例的标识信息和所述第一鉴权信息。
15.根据权利要求13或14所述的方法,其特征在于,
所述APP实例的标识信息包括所述APP实例的设备标识和/或所述APP实例的业务标识。
16.根据权利要求15所述的方法,其特征在于,
所述APP实例的鉴权结果包括指示所述APP实例鉴权成功的信息或指示所述APP实例鉴权失败的信息。
17.根据权利要求16所述的方法,其特征在于,
当所述APP实例鉴权失败时,所述会话管理功能网元拒绝所述第一会话建立;或者,所述会话管理功能网元拒绝终端设备与所述APP实例之间的互访。
18.根据权利要求13至17中任一项所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元向所述第一鉴权功能实体发送第二鉴权请求,所述第二鉴权请求包括访问所述APP的终端设备的标识信息、所述APP的应用标识以及与所述终端设备的标识信息和所述APP的应用标识对应的第三鉴权信息;
所述会话管理功能网元接收来自所述第一鉴权功能实体的第二鉴权响应,所述第二鉴权响应包括对所述终端设备的鉴权结果。
19.根据权利要求18所述的方法,其特征在于,所述会话管理功能网元向所述第一鉴权功能实体发送所述第二鉴权请求之前,所述方法还包括:
所述会话管理功能网元接收第二会话建立请求,所述第二会话建立消息用于请求建立所述终端设备与所述APP的第二会话,所述第二会话建立请求包括所述终端设备的标识信息、所述APP的应用标识以及所述第三鉴权信息。
20.根据权利要求18所述的方法,其特征在于,所述会话管理功能网元向所述第一鉴权功能实体发送所述第二鉴权请求之前,所述方法还包括:
所述会话管理功能网元接收第一会话修改请求,所述第一会话修改请求用于请求修改所述终端设备与所述APP的会话,所述第一会话修改请求包括所述终端设备的标识信息、所述APP的应用标识以及所述第三鉴权信息。
21.根据权利要求18所述的方法,其特征在于,所述会话管理功能网元向所述第一鉴权功能实体发送所述第二鉴权请求之前,所述方法还包括:
所述会话管理功能网元接收来自用户面功能网元的第三鉴权请求,所述第三鉴权请求用于请求对访问所述APP的终端设备进行鉴权,所述第三鉴权请求包括所述终端设备的标识信息、所述APP的应用标识以及所述第三鉴权信息。
22.根据权利要求18至21中任一项所述的方法,其特征在于,
所述终端设备的标识信息包括所述终端设备的设备标识和/或所述终端设备的业务标识。
23.根据权利要求18至22中任一项所述的方法,其特征在于,
所述终端设备的鉴权结果包括指示所述终端设备鉴权成功的信息或指示所述终端设备鉴权失败的信息。
24.根据权利要求23所述的方法,其特征在于,
当所述终端设备鉴权失败时,所述会话管理功能网元拒绝所述第二会话建立;或者,所述会话管理功能网元拒绝所述终端设备与所述APP实例之间的互访。
25.根据权利要求24所述的方法,其特征在于,所述方法还包括:
所述会话管理功能网元向策略控制功能网元发送策略更新请求,所述策略更新请求用于请求所述策略控制功能网元允许所述终端设备与所述APP之间的业务访问;
所述会话管理功能网元接收来自所述策略控制功能网元的策略更新响应,所述策略更新响应包括指示允许所述终端设备与所述APP之间的业务访问的信息。
26.一种通信装置,其特征在于,包括至少一个处理器,所述至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如权利要求1至12中任一项所述的方法。
27.一种通信装置,其特征在于,包括至少一个处理器,所述至少一个处理器用于执行存储器中存储的计算机程序,以使得所述装置实现如权利要求13至25中任一项所述的方法。
28.一种通信系统,其特征在于,包括:
第一鉴权功能实体和会话管理功能网元;
所述第一鉴权功能实体执行权利要求1至12中任一项所述的方法,以及,
所述会话管理功能网元执行权利要求13至25中任一项所述的方法。
29.一种计算机可读存储介质,其特征在于,存储有计算机程序或指令,所述计算机程序或指令用于实现权利要求1至12中任一项所述的方法。
30.一种计算机可读存储介质,其特征在于,存储有计算机程序或指令,所述计算机程序或指令用于实现权利要求13至25中任一项所述的方法。
31.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得所述计算机执行如权利要求1至12中任一项所述的方法。
32.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算机上运行时,使得所述计算机执行如执行如权利要求13至25中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110589801.6A CN115412911A (zh) | 2021-05-28 | 2021-05-28 | 一种鉴权方法、通信装置和系统 |
PCT/CN2022/094595 WO2022247812A1 (zh) | 2021-05-28 | 2022-05-24 | 一种鉴权方法、通信装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110589801.6A CN115412911A (zh) | 2021-05-28 | 2021-05-28 | 一种鉴权方法、通信装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115412911A true CN115412911A (zh) | 2022-11-29 |
Family
ID=84156204
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110589801.6A Pending CN115412911A (zh) | 2021-05-28 | 2021-05-28 | 一种鉴权方法、通信装置和系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115412911A (zh) |
WO (1) | WO2022247812A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117041969A (zh) * | 2023-09-28 | 2023-11-10 | 新华三技术有限公司 | 5g双域专网的接入方法、系统及装置、电子设备 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116806023B (zh) * | 2023-06-25 | 2024-02-09 | 之江实验室 | 一种异构网络架构下业务合法性校验的方法和装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8949951B2 (en) * | 2011-03-04 | 2015-02-03 | Red Hat, Inc. | Generating modular security delegates for applications |
CN103179176B (zh) * | 2011-12-26 | 2016-01-20 | 中国移动通信集团公司 | 在云/集群环境下web应用的调用方法、装置和系统 |
WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
CN109511115B (zh) * | 2017-09-14 | 2020-09-29 | 华为技术有限公司 | 一种授权方法和网元 |
CN111669750B (zh) * | 2019-03-07 | 2021-08-03 | 华为技术有限公司 | 一种pdu会话二次验证的方法及装置 |
-
2021
- 2021-05-28 CN CN202110589801.6A patent/CN115412911A/zh active Pending
-
2022
- 2022-05-24 WO PCT/CN2022/094595 patent/WO2022247812A1/zh active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117041969A (zh) * | 2023-09-28 | 2023-11-10 | 新华三技术有限公司 | 5g双域专网的接入方法、系统及装置、电子设备 |
CN117041969B (zh) * | 2023-09-28 | 2024-01-02 | 新华三技术有限公司 | 5g双域专网的接入方法、系统及装置、电子设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2022247812A1 (zh) | 2022-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3627793B1 (en) | Session processing method and device | |
EP4007326A1 (en) | Method and device for activating 5g user | |
US20230319556A1 (en) | Key obtaining method and communication apparatus | |
CN114143871B (zh) | 网络连接方法、网络去连接方法及通信装置 | |
CN109548010B (zh) | 获取终端设备的身份标识的方法及装置 | |
WO2022247812A1 (zh) | 一种鉴权方法、通信装置和系统 | |
CN109792435B (zh) | 一种网络接入授权方法、相关设备及系统 | |
CN113676904B (zh) | 切片认证方法及装置 | |
CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
US20230396602A1 (en) | Service authorization method and system, and communication apparatus | |
CN115134875A (zh) | 会话切换的方法和装置 | |
CN114600487B (zh) | 身份认证方法及通信装置 | |
WO2023011630A1 (zh) | 授权验证的方法及装置 | |
CN113784346A (zh) | 认证授权的方法和装置 | |
WO2023016160A1 (zh) | 一种会话建立方法和相关装置 | |
CN117320002A (zh) | 通信方法及装置 | |
CN115884153A (zh) | 通信的方法和装置 | |
WO2023147767A1 (zh) | 网络校验的方法和装置 | |
CN114640988B (zh) | 基于隐式指示加密的信息处理方法及装置 | |
WO2023142097A1 (en) | User equipment-to-network relay security for proximity based services | |
CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
US11968530B2 (en) | Network authentication for user equipment access to an edge data network | |
WO2022252658A1 (zh) | 一种漫游接入方法及装置 | |
WO2022174399A1 (en) | User equipment authentication and authorization procedure for edge data network | |
WO2024032218A1 (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |