CN115835203A - 网络安全管理的方法及装置 - Google Patents
网络安全管理的方法及装置 Download PDFInfo
- Publication number
- CN115835203A CN115835203A CN202211413375.1A CN202211413375A CN115835203A CN 115835203 A CN115835203 A CN 115835203A CN 202211413375 A CN202211413375 A CN 202211413375A CN 115835203 A CN115835203 A CN 115835203A
- Authority
- CN
- China
- Prior art keywords
- session
- network
- authentication
- data network
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例提供了一种网络安全管理的方法及装置,所述方法包括:第一网络设备接收终端设备发送的会话请求,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括第一会话的第一认证信息,所述第一认证信息包括所述第一数据网络的标识信息;第一网络设备获取所述终端设备的第二会话的第二认证信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则授权所述终端设备与所述第一数据网络建立所述第一会话。采用本申请实施例,具有可提高终端设备的认证效率,节省终端设备认证的资源消耗,增强网络安全管理的适用性的优点。
Description
本申请是分案申请,原申请的申请号是201780093005.5,原申请日是2017年07月
20日,原申请的全部内容通过引用结合在本申请中。
技术领域
本申请涉及通信技术领域,尤其涉及一种网络安全管理的方法及装置。
背景技术
在网络的安全管理中,终端设备接入网络之前需要进行身份认证和授权。终端设备只有通过身份认证并且获得授权才能接入网络。在第四代移动通信技术(the 4thgeneration mobile communication technology,4G)网络中,终端设备的身份认证和授权都是由运营商网络直接进行的,在第五代无线(5th-Generation,5G,也称新空口(Newradio,NR))标准化过程中称之为第一级认证(primary authentication)。对于通过运营商网络请求接入运营商网络之外的其他数据网络(data network,DN)的终端设备,同样也需要通过DN的认证和授权才可以接入DN,5G标准化过程中将DN对终端设备的身份认证和授权称为第二级认证(secondary authentication)。第二级认证通常发生在第一级认证之后。
现有实现方式中,终端设备通过运营商网络与DN进行身份认证和授权是在终端设备需要与DN建立数据包(packet data unit,PDU)会话连接时进行。DN将终端设备的第二级认证结果反馈给运营商网络之后,运营商网络基于该结果确定是否为终端设备建立与DN的PDU会话连接。现有实现方式中,第二级认证是以会话为单位,终端设备每次要与DN建立一个PDU会话时就需要进行一次第二级认证。若终端设备需要与同一个DN或者与同一个(组)认证服务器相关联的不同DN建立多个PDU会话,则需要重复执行与该DN的多次认证,认证效率低,资源浪费严重。
发明内容
本申请实施例提供了一种网络安全管理的方法及装置,可提高终端设备的认证效率,节省终端设备认证的资源消耗,增强网络安全管理的适用性。
第一方面提供了一种网络安全管理的方法,所述方法可由运营商网络中的第一网络设备执行,第一网络设备作为身份验证器的角色,所述方法包括:
第一网络设备接收终端设备发送的会话请求,该会话请求可向第一网络设备请求建立终端设备与第一数据网络的第一会话,该会话请求中包括所述第一会话的第一认证信息;第一网络设备根据会话请求中携带的第一认证信息和预置的该终端设备在先发起的多个会话中的第二会话的第二认证信息,认证或授权该终端设备与第一数据网络建立第一会话。本申请实施例提供的方法可在终端设备发起一个新的会话时,根据终端设备在先发起的其他会话的认证信息,确定是否对新的会话进行快速认证。若新的会话无需进行认证,则可直接授权终端设备与第一数据网络建立第一会话,可提高会话的建立效率,节省终端设备、运营商网络的网络设备以及数据网络的认证服务器之间的额信令开销,降低会话认证的资源消耗,适用性更高。
可选的,终端设备发送的会话请求中携带的第一认证信息可包括第一数据网络的标识信息,第一网络设备可从本地存储空间中获取终端设备在先发起的第二会话所连接的第二数据网络的标识信息。若第一数据网络的标识信息与第二数据网络的标识信息相同,第一网络设备则可直接授权终端设备与第一数据网络建立第一会话。终端设备发起的新的会话无需进行认证即可建立,终端设备可通过新的会话这个数据传输通道快速与数据网络进行数据传输交互,数据传输通道的建立效率更高,适用性更强。
可选的,本申请实施例所描述的第一数据网络的标识信息与第二数据网络的标识信息相同包括一种或者多种的任意组合:
第一数据网络的数据网络号码DNN与第二数据网络的DNN相同;或者
第一数据网络所对应的认证服务器与第二数据网络所对应的认证服务器相同;或者
第一数据网络所对应的认证服务器的同步认证服务器组与所述第二数据网络所对应的认证服务器的同步认证服务器组相同。
本申请实施例可在新的会话所请求连接的数据网络与终端设备在先发起的会话所连接的数据网络相同时,直接授权终端设备建立与该数据网络的新的会话。本申请实施例也可在新的会话与终端设备在先发起的会话所连接的数据网络的认证服务器相同,或者认证服务器为同步认证服务器时,直接授权终端设备建立与该数据网络的新的会话。本申请实施例直接授权终端设备建立与数据网络的会话的适应场景多,适用性更强。
可选的,在作为身份验证器的第一网络设备中不存储或者没有存储终端设备的签约数据,或者在先发起的其他会话的认证信息,终端设备的签约数据或者在先发起的会话的认证信息可存储于第二网络设备中,例如由统一数据管理网元管理的应用场景中,第一网络设备可向第二网络设备发送认证信息查询请求,向第二网络设备查询终端设备在先发起的会话的认证信息;第一网络设备接收第二网络设备反馈的终端设备的第二会话的第二认证信息,从第二认证信息中获取第二数据网络的标识信息。进而可在第一会话所请求连接的第一数据网络的标识信息与终端设备在先发起的会话所连接的数据网络的标识信息相同时,直接授权终端设备与该数据网络建立新的会话(即第一会话)。其中,上述第二会话为终端设备在先发起的多个会话中的至少一个,并且第二会话的认证信息或者第二会话的授权信息还在有效期限内,操作更灵活,适用性更高。
可选的,上述终端设备请求建立的第一会话的第一认证信息还包括第一会话所使用的第一安全上下文,终端设备在先发起的第二会话的第二认证信息包括第二会话所使用的第二安全上下文。第一网络设备可在本地存储空间中获取第二会话所使用的第二安全上下文,进而可在第二安全上下文与第一安全上下文相同时,直接授权终端设备与第一数据网络建立所述第一会话或者基于相同的安全上下文信息启动快速认证、授权。本申请实施例可在新的会话所请求连接的数据网络与终端设备在先发起的会话所连接的数据网络相同或者数据网络的服务器相同时,通过安全上下文的比对确定对新的会话直接授权,无需进行认证或者基于相同的安全上下文进行快速认证,操作更简单,网络安全管理的数据处理效率更高。
可选的,本申请实施例提供的实现方式中,第一网络设备还可在授权终端设备与第一数据网络建立所述第一会话之后,更新第二会话的第二安全上下文,并通知所述终端设备更新所述终端设备中存储的所述第二会话的安全上下文,以满足网络安全管理的更多安全要求,例如防止重放攻击的安全需求等。
可选的,本申请实施例提供的实现方式在作为身份验证器的第一网络设备中不存储或者没有存储终端设备在先发起的会话的安全上下文等信息时,还可从第二网络设备中查询终端设备在先发起的会话的安全上下文等信息,进而可确定是否对终端设备发起的新的会话进行认证。具体可包括:第一网络设备向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;所述第一网络设备接收所述第二网络设备反馈的所述第二会话的第二安全上下文;其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
本申请实施例提供的实现方式中,第一网络设备可从第二网络设备中查询终端设备在先发起的会话的安全上下文等认证信息,进而可在新的会话所请求连接的数据网络与终端设备在先发起的会话所连接的数据网络相同或者数据网络的服务器相同时,通过安全上下文的比对确定对新的会话直接授权或者基于相同的安全上下文信息进行快速认证、授权,数据获取的方式多样,会话建立的授权操作更简单,网络安全管理的数据处理效率更高。
可选的,所述终端设备的会话的认证信息包括:终端设备在运营商网络的签约标识ID、终端设备在第一数据网络的签约ID、会话所连接的运营商网络的网络设备ID、会话的安全上下文、会话所连接的数据网络的标识信息、会话所连接的认证服务器的标识信息以及会话认证成功的有效期限中的至少一种。
可选的,终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、会话的安全上下文中至少一种或同时有两种及以上被用来对终端设备进行认证、快速认证或授权。
可选的,所述授权所述终端设备与所述第一数据网络建立所述第一会话包括:
所述第一网络设备向第二网络设备发送会话认证或授权策略查询请求;
所述第一网络设备接收所述第二网络设备反馈的会话认证或授权策略,并根据所述会话认证或授权策略授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
本申请实施例所提供的实现方式中,作为身份验证器的第一网络设备可从第二网络设备中查询会话认证或授权策略,根据第二网络设备提供的会话认证或授权策略授权终端设备与第一数据网络建立第一会话的权利范围。
可选的,本申请实施例提供的方法还包括:
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则向所述第一数据网络所属的认证服务器发送会话认证请求,所述会话认证请求用于通知所述认证服务器根据所述第二认证信息发起所述第一会话的快速认证;
若接收到所述认证服务器反馈的快速认证成功响应消息,则授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述第一网络设备接收终端设备发送的会话请求之后,所述方法还包括:
所述第一网络设备向所述第一数据网络所属的认证服务器转发所述会话请求,所述会话请求用于触发所述认证服务器确定是否对所述第一会话进行快速认证;
若所述认证服务器确定对所述第一会话进行快速认证,所述第一网络设备在所述认证服务器对所述第一会话进行快速认证后接收到所述认证服务器反馈的快速认证成功响应消息,则授权所述终端设备与所述第一数据网络建立所述第一会话。
在本申请实施例提供的实现方式中,第一会话的快速认证可包括:EAP协议的系统架构下的重认证ERP。在采用EAP认证的系统中,终端设备和认证服务器通过认证身份验证器进行完整的EAP认证流程。当终端设备从一个身份验证器移动到另一个身份验证器时(数据网络的认证服务器没有改变),可以通过ERP机制实现身份验证器之间的快速、安全切换,不需要再次进行一套完整的EAP认证流程。本申请实施例所描述的ERP不局限于一种EAP认证方法,而是支持许多的EAP认证方法。
可选的,上述第一会话的快速认证可包括基于EAP协议通过安全隧道方式的灵活认证EAP-FAST。EAP-FAST协议包含两个阶段。阶段一是在终端设备与DN之间基于传输层安全协议TLS建立一个安全隧道。阶段二无需重新建立安全隧道,而是进行安全隧道的快速恢复,从而达到既安全又快速的连接建立。在这里应用EAP-FAST,终端设备的第一次的第二级认证对应于EAP-FAST的阶段一,而第二次的第二级认证对应于阶段二。
可选的,上述第二级认证的快速认证可包括其他快速认证协议,在此不做限制。
上述快速认证方法通常是用于物理认证节点与物理认证节点之间进行切换时的快速认证,本申请实施例可将上述物理认证节点与物理认证节点之间的快速认证方式应用于终端设备与DN之间的第二级认证的快速认证。其中,上述ERP和EAP-FAST快速认证方式(可分别参见IETF的EAP协议RFC6696和RFC4851)提供的实现方式,在此不做限制。
可选的,上述重认证等快速认证方式可由第一网络设备发起,由第一网络设备向数据网络的认证服务器发送会话认证请求,触发认证服务器执行第一会话的重认证等快速认证和授权。
可选的,上述重认证等快速认证方式也可由数据网络的认证服务器判断和/或发起,第一网络设备无需感知。第一网络设备可向认证服务器转发会话请求,用于触发认证服务器判断是否对第一会话进行快速认证。第一网络设备可在接收到认证服务器反馈的快速认证成功响应消息时,授权终端设备与第一数据网络建立第一会话。本申请实施例提供的网络安全管理的适应场景多,操作更灵活,适用性更高。
第二方面提供了一种网络安全管理的方法,可由运营商网络中作为数据管理网元角色的第一网络设备执行,数据网络网元可向运营商网络中作为身份验证器角色的第二网络设备提供终端设备的会话的认证信息,上述方法可包括:
第一网络设备接收第二网络设备发送的认证信息查询请求,所述认证信息查询请求中包括终端设备的标识信息和所述终端设备请求建立的第一会话所连接的第一数据网络的标识信息;
所述第一网络设备根据所述终端设备的标识信息和所述第一数据网络的标识信息,获取所述终端设备连接至所述第一数据网络的第二会话的认证信息;
所述第一网络设备向所述第二网络设备反馈所述第二会话的认证信息,触发所述第二网络设备授权所述终端设备与第一数据网络建立所述第一会话;
其中,所述第二会话为所述终端设备发起的连接至所述第一数据网络的多个会话中的至少一个。
可选的,所述终端设备的第二会话的认证信息包括:终端设备在运营商网络的签约标识ID、终端设备在第一数据网络的签约标识ID、会话所连接的运营商网络的网络设备ID、会话的安全上下文、会话所连接的数据网络的标识信息、会话所连接的认证服务器的标识信息以及会话认证成功的有效期限中的至少一种。
可选的,终端设备在运营商网络的签约标识ID、终端设备在第一数据网络的签约标识ID、会话的安全上下文中至少一种或同时有两种及以上被用来对终端设备进行认证、快速认证或授权。
可选的,所述认证信息查询请求中还包括所述第一数据网络的标识信息;
所述第一网络设备向所述第二网络设备反馈所述终端设备的会话的认证信息包括:
所述第一网络设备从预存的所述终端设备的多个会话中确定出连接至所述第一数据网络的第二会话,并将所述第二会话的认证信息反馈给所述第二网络设备;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的认证信息或者授权信息还在有效期限内。
可选的,所述方法还包括:
所述第一网络设备接收所述第二网络设备发送的会话认证或授权策略查询请求;
所述第一网络设备向所述第二网络设备反馈会话认证或授权策略;
其中,所述会话认证或授权策略用于指示所述第二网络设备授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
本申请实施例提供的实现方式中,数据管理网元可存储终端设备发起的连接至数据网络的会话的认证信息,进而可在身份验证器需要对终端设备发起的新的会话进行处理时,为身份验证器提供终端设备在先发起的会话的认证信息,以供身份验证器确定新的会话是否需要验证,或者可直接授权终端设备与数据网络建立新的会话,可提高网络安全管理中会话的认证处理方式的多样性,增强网络安全管理的会话处理效率。本申请实施例提供的实现方式中,数据管理网元还可为身份验证器提供会话认证或授权策略,可提高终端设备的会话的认证或授权便捷性,适用性更高。
第三方面提供了一种网络设备,所述网络设备为运营商网络的第一网络设备,所述第一网络设备包括:
收发单元,用于接收终端设备发送的会话请求,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括所述第一会话的第一认证信息,所述第一认证信息包括所述第一数据网络的标识信息;
处理单元,用于获取所述终端设备的第二会话的第二认证信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
所述处理单元,还用于在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述第一认证信息包括所述第一数据网络的标识信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
所述处理单元用于:
获取预置的所述第二数据网络的标识信息,若所述第一数据网络的标识信息与第二数据网络的标识信息相同,则授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述第一数据网络的标识信息与第二数据网络的标识信息相同包括以下至少一种:
所述第一数据网络的数据网络号码DNN与所述第二数据网络的DNN相同;或者
所述第一数据网络所属的认证服务器与所述第二数据网络所属的认证服务器相同;或者
所述第一数据网络所属的认证服务器的同步认证服务器组与所述第二数据网络所属的认证服务器的同步认证服务器组相同。
可选的,所述运营商网络中还包括第二网络设备;
所述收发单元还用于:
向所述第二网络设备发送认证信息查询请求,所述认证信息查询请求用于查询所述终端设备的会话的认证信息;
接收所述第二网络设备反馈的所述第二会话的第二认证信息,从所述第二认证信息中获取所述第二数据网络的标识信息;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二认证信息或者所述第二会话的认证或授权信息还在有效期限内。
可选的,所述第一认证信息还包括所述第一会话所使用的第一安全上下文,所述第二认证信息还包括所述第二会话所使用的第二安全上下文;
所述处理单元用于:
获取预置的所述第二安全上下文,若所述第二安全上下文与所述第一安全上下文相同,则授权所述终端设备与所述数据网络建立所述第一会话。
可选的,所述处理单元,还用于更新所述第二安全上下文;
所述收发单元,还用于通知所述终端设备更新所述终端设备中存储的所述第二会话的安全上下文。
可选的,所述收发单元,还用于向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
所述收发单元,还用于接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
可选的,所述收发单元,还用于向第二网络设备发送会话认证或授权策略查询请求;
所述收发单元,还用于接收所述第二网络设备反馈的会话认证或授权策略;
所述处理单元,还用于根据所述收发单元接收到的所述会话认证或授权策略授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
可选的,所述收发单元,还用于在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,向所述第一数据网络所属的认证服务器发送会话认证请求,所述会话认证请求用于通知所述认证服务器根据所述第二认证信息发起所述第一会话的快速认证;
所述处理单元,还用于在所述收发单元接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述收发单元,还用于向所述第一数据网络所属的认证服务器转发所述会话请求,所述会话请求用于触发所述认证服务器确定是否对所述第一会话进行快速认证;
所述处理单元,还用于在所述收发单元接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
第四方面提供了一种网络设备,所述网络设备为运营商网络中的第一网络设备,所述运营商网络中还包括第二网络设备,所述第一网络设备包括:
收发单元,用于接收所述第二网络设备发送的认证信息查询请求,所述认证信息查询请求中包括所述终端设备的标识信息和所述终端设备请求建立的第一会话所连接的第一数据网络的标识信息;
处理单元,用于根据所述终端设备的标识信息和所述第一数据网络的标识信息,获取所述终端设备连接至所述第一数据网络的第二会话的认证信息;
所述收发单元,用于向所述第二网络设备反馈所述第二会话的认证信息,触发所述第二网络设备授权所述终端设备与所述第一数据网络建立所述第一会话;
其中,所述终端设备的第二会话中包括为所述终端设备发起的连接至所述第一数据网络的多个会话中的至少一个会话。
可选的,所述终端设备的第二会话的认证信息还包括:终端设备在运营商网络的签约标识ID、终端设备在第一数据网络的签约标识ID、会话所连接的运营商网络的网络设备ID、会话的安全上下文、会话所连接的数据网络的标识信息、会话所连接的认证服务器的标识信息以及会话认证成功的有效期限中的至少一种。
可选的,所述认证信息查询请求中还包括所述第一数据网络的标识信息;
所述网络设备还包括:
处理单元,用于从所述存储单元中预存的所述终端设备的多个会话中确定出连接至所述第一数据网络的第二会话;
所述收发单元,用于将所述处理单元确定的所述第二会话的认证信息反馈给所述第二网络设备;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的认证信息或者授权信息还在有效期限内。
可选的,所述存储单元,还用于存储会话认证或授权策略;
所述收发单元,还用于接收所述第二网络设备发送的会话认证或授权策略查询请求,并向所述第二网络设备反馈会话认证或授权策略;
其中,所述会话认证或授权策略用于指示所述第二网络设备授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
第五方面提供了一种网络安全管理的系统,其可包括:上述第三方面提供的网络设备、上述第三方面提供的网络设备、终端设备以及数据网络的认证服务器;
所述终端设备,用于向所述运营商网络发起会话请求,所述会话请求用于请求建立与所述数据网络的第一会话;
所述数据网络的认证服务器,用于确定是否对所述第一会话进行快速认证,和/或对所述第一会话进行快速认证,并指示所述运营商网络授权所述终端设备与所述数据网络建立所述第一会话。
第六方面提供了一种网络设备,其可包括:处理器、存储器、收发器和总线系统;
所述存储器、所述处理器和所述收发器通过所述总线系统连接;
所述存储器用于存储一组程序代码;
所述处理器和所述收发器用于调用所述存储器中存储的程序代码执行上述第一方面提供的方法。
第七方面提供了一种网络设备,其可包括:处理器、存储器、收发器和总线系统;
所述存储器、所述处理器和所述收发器通过所述总线系统连接;
所述存储器用于存储一组程序代码;
所述处理器和所述收发器用于调用所述存储器中存储的程序代码执行上述第二方面提供的方法。
第八方面,本申请实施例提供了一种计算机存储介质,用于储存为上述第三方面提供的网络设备所用的计算机软件指令,其包含用于执行上述第一方面提供的方法所设计的程序。
第九方面,本申请实施例提供了一种计算机存储介质,用于储存为上述第四方面提供的网络设备所用的计算机软件指令,其包含用于执行上述第二方面提供的方法所设计的程序。
第十方面,本申请实施例还提供了一种芯片,该芯片与网络设备中的收发器耦合,用于执行本申请实施例第一方面或者第二方面的技术方案。应理解,在本申请实施例中“耦合”是指两个部件彼此直接或间接地结合。这种结合可以是固定的或可移动性的,这种结合可以允许流动液、电、电信号或其它类型信号在两个部件之间通信。
通过实施本申请实施例,可提高终端设备的认证效率,节省终端设备认证的资源消耗,增强网络安全管理的适用性。
附图说明
图1是本申请实施例提供的基于服务化架构的5G网络架构示意图;
图2是本申请实施例提供的第二级认证的认证交互示意图;
图3是本申请实施例提供的终端设备的一会话示意图;
图4是本申请实施例提供的终端设备的另一会话示意图;
图5是本申请实施例提供的网络安全管理的一方法流程示意图;
图6是本申请实施例提供的快速认证的一流程示意图;
图7是本申请实施例提供的网络安全管理的另一方法流程示意图;
图8是本申请实施例提供的快速认证的另一流程示意图;
图9是本申请实施例提供的网络安全管理系统的结构示意图;
图10是本申请实施例提供的一种通信设备的结构示意图。
具体实施方式
本申请实施例所描述的运营商网络也可称为移动通信网络,主要是移动网络运营商(mobile network operator,MNO)为用户提供移动宽带接入服务的网络。本申请实施例所描述的运营商网络具体可为符合第三代合作伙伴项目(3rd generation partnershipproject,3GPP)标准要求的网络,简称3GPP网络。通常3GPP网络由运营商来运营,例如中国移动、中国联通或者中国电信等,上述3GPP网络包括但不限于3GPP标准定义的5G网络、4G网络、第三代移动通信技术(3rd-Generation,3G)网络和第二代无线电话技术(2-Generationwireless telephone technology,2G)网络等。为了方便描述,本申请实施例后续描述将以运营商网络为例进行说明。
随着移动带宽接入服务的扩展,MNO的网络也会随之发展以便更好地支持多样化的商业模式,满足更加多样化的应用业务以及更多行业的需求。为了给更多的行业提供更好、更完善的服务,下一代网络(即5G网络)相对于4G网络也做了网络架构调整。例如,5G网络将4G网络中的移动管理实体(mobility management entity,MME)进行拆分,拆分为包括接入与移动性管理功能(access and mobility management function,AMF)和会话管理功能(session management function,SMF)等多个网元。3GPP标准化过程中还定义了基于服务化架构的5G网络架构,如图1所示。图1是基于服务化架构的5G网络架构示意图。图1所示的5G网络架构中可包括三部分,分别是终端设备部分、DN部分和运营商网络部分。其中,运营商网络可包括网络开放功能(network exposure function,NEF)、网络存储功能(network function repository function,NRF)、策略控制功能(policy controlfunction,PCF)、统一数据管理网元(unified data management,UDM)、应用功能(application function,AF)、认证服务器功能(authentication server function,AUSF)、AMF、SMF、接入网(access network,AN)以及用户面功能(user plane function,UPF)等网元和/或实体。其中,上述AN也可称为无线接入网(Radio access network,RAN),在此不做限制。为了方便描述,本申请实施例后续描述将以AN为例进行说明
图1所示的5G网络架构仅是5G网络的一种可能的架构图,5G网络包括的网元和/或实体包含但不限于图1所示的网元和/或实体。具体实现中,图1所示的网络架构中包括的网元和/或实体也可为其他表现形式的网元和/或实体,具体可根据实际应用场景确定,在此不做限制。
下面将结合图1,对本申请实施例中所包括的网元和/或实体分别介绍如下:
a、终端设备,例如用户设备(user equipment,UE)。本申请所涉及到的终端设备可以为向用户提供语音和/或数据连通性的设备(device),包括有线终端和无线终端。无线终端可以是具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备,经无线接入网与一个或多个核心网进行通信的移动终端。例如,无线终端可以为移动电话、计算机、平板电脑、个人数码助理(personal digital assistant,PDA)、移动互联网设备(mobile Internet device,MID)、可穿戴设备和电子书阅读器(e-book reader)等。又如,无线终端也可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动设备。再如,无线终端可以为移动站(mobile station)、接入点(access point)。UE即为终端设备的一种,是在长期演进(long term evolution,LTE)系统中的称谓。为方便描述,本申请实施例后续的描述中,上面提到的设备将以终端设备为例进行说明。
上述终端设备可通过运营商网络提供的接口(例如N1等)与运营商网络建立连接,使用运营商网络提供的数据和/或语音等服务。终端设备还可通过运营商网络访问DN,使用DN上部署的运营商业务,和/或第三方提供的业务。其中,上述第三方可为运营商网络和终端设备之外的服务方,可为终端设备提供他数据和/或语音等服务。其中,上述第三方的具体表现形式,具体可根据实际应用场景确定,在此不做限制。
b、AN是运营商网络的子网络,是运营商网络中业务节点与终端设备之间的实施系统。终端设备要接入运营商网络,首先是经过AN,进而可通过AN与运营商网络的业务节点连接。AN可以部分或全部代替传统的用户本地线路网,并可包括复用、交叉连接和传输功能。AN是可以将各种用户接入到运营商网络的业务接点、能支持包括窄带和宽带等多种业务综合接入的子网络。
c、AMF是由运营商网络提供的控制面网元,负责终端设备接入运营商网络的接入控制和移动性管理。
d、SMF是由运营商网络提供的控制面网元,负责管理终端设备的PDU会话。PDU会话是一个用于传输PDU的通道,终端设备需要通过PDU会话与DN互相传送PDU。PDU会话由SMF负责建立、维护和删除等。
e、DN,或称为分组数据网络(packet data network,PDN),是位于运营商网络之外的网络,运营商网络可以接入多个DN,DN上可部署多种业务,可为终端设备提供数据和/或语音等服务。例如,DN是某智能工厂的私有网络,智能工厂安装在车间的传感器可为终端设备,DN中部署了传感器的控制服务器,控制服务器可为传感器提供服务。传感器可与控制服务器通信,获取控制服务器的指令,根据指令将采集的传感器数据传送给控制服务器等。又例如,DN是某公司的内部办公网络,该公司员工的手机或者电脑可为终端设备,员工的手机或者电脑可以访问公司内部办公网络上的信息、数据资源等。
f、UDM是由运营商提供的控制面网元,负责存储运营商网络中签约用户的用户永久标识符(subscriber permanent identifier,SUPI)、信任状(credential)、安全上下文(security context)、签约数据等信息。UDM所存储的这些信息可用于终端设备接入运营商网络的认证和授权。其中,上述运营商网络的签约用户具体可为使用运营商网络提供的业务的用户,例如使用中国电信的手机芯卡的用户,或者使用中国移动的手机芯卡的用户等。上述签约用户的SUPI可为该手机芯卡的号码等。上述签约用户的信任状、安全上下文可为该手机芯卡的加密密钥或者跟该手机芯卡加密相关的信息等存储的小文件,用于认证和/或授权。上述安全上下文可为存储在用户本地终端(例如手机)上的数据(cookie)或者令牌(token等。上述签约用户的签约数据可为该手机芯卡的配套业务,例如该手机芯卡的流量套餐或者使用网络等。需要说明的是,永久标识符、信任状、安全上下文、认证数据(cookie)、以及令牌等同认证、授权相关的信息,在本发明本申请文件中,为了描述方便起见不做区分、限制。如果不做特殊说明,本申请实施例将以用安全上下文为例进行来描述,但本申请实施例同样适用于其他表述方式的认证、和/或授权信息。
g、AUSF是由运营商提供的控制面网元,通常用于第一级认证,即终端设备(签约用户)与运营商网络之间的认证。AUSF接收到签约用户发起的认证请求之后,可通过UDM中存储的认证信息和/或授权信息对签约用户进行认证和/或授权,或者通过UDM生成签约用户的认证和/或授权信息。AUSF可向签约用户反馈认证信息和/或授权信息。
h、NEF是由运营商提供控制面网元。NEF以安全的方式对第三方开放运营商网络的对外接口。在SMF等网元需要与第三方的网元通信时,NEF可作为SMF等网元与第三方的网元通信的中继。NEF作为中继时,可作为签约用户的标识信息的翻译,以及第三方的网元的标识信息的翻译。比如,NEF将签约用户的SUPI从运营商网络发送到第三方时,可以将SUPI翻译成其对应的外部身份标识(identity,ID)。反之,NEF将外部ID(第三方的网元ID)发送到运营商网络时,可将其翻译成SUPI。
i、UPF是由运营商提供的网关,是运营商网络与DN通信的网关。
j、PCF是由运营商提供的控制面功能,用于向SMF提供PDU会话的策略。策略可以包括计费相关策略、服务质量(quality of service,QoS)相关策略和授权相关策略等。
图1中Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4,以及N6为接口序列号。这些接口序列号的含义可参见3GPP标准协议中定义的含义,在此不做限制。
本申请实施例所描述的第二级认证也可称为二次认证,为了方便描述,后续本申请实施例将以第二级认证为例进行描述。
具体实现中,终端设备与运营商网络进行第一级认证(或称首要认证)成功之后,若终端设备需要与DN建立会话(例如PDU会话),则可通过运营商网络进行终端设备与DN之间的第二级认证。PDU会话的建立可由终端设备或者运营商网络的核心网(core network,CN)触发,并由运营商网络的CN发起认证。具体的,终端设备可向运营商网络发送认证请求,运营商网络可将认证请求转发给DN,由DN基于其所对应的认证服务器进行DN与终端设备之间的认证和/或授权。其中,上述DN所对应的认证服务器可为认证、授权、计费服务器((authentication,authorization,and accounting,AAA)Server,AAA服务器)。DN所对应的认证服务器对终端设备的认证和/或者授权的结果由DN反馈给运营商网络,运营商网络基于此结果来确认是否为终端设备建立相应的会话连接。
第二级认证目前已被接受为3GPP 5G标准中(TS 23.502,TS 33.501)作为终端设备与运营商网络之外的DN认证的可选认证机制。参见图2,是本申请实施例提供的第二级认证的认证交互示意图。其中,图2所示的认证交互示意图中所包括的步骤以及各个步骤所描述的实现方式仅是一种示例。具体实现中,图2所示的各个步骤和/或网元可根据实际应用场景需求进行添加、删减或者更改等操作,在此不做限制。图2所示的第二级认证的交互过程中可包括步骤:
1.终端设备向AMF发送注册请求。
2.终端设备与运营商网络进行第一级认证。
具体实现中,AMF接收到终端设备发送的注册请求之后,可触发AUSF执行终端设备与运营商网络之间的第一级认证。
可选的,AUSF执行终端设备与运营商网络的第一级认证过程中,可从UDM中获取第一级认证所需的认证信息,进而可根据UDM生成或者存储的认证信息实现终端设备与运营商网络之间的第一级认证。
3.建立终端设备和AMF之间的非接入层(non-access stratum,NAS)安全。
具体实现中,终端设备与运营商网络之间的第一级认证通过之后,AMF可与终端设备建立NAS安全。NAS存在于通用移动通信系统(universal mobile telecommunicationssystem,UMTS)的无线通信协议栈中,作为CN与终端设备之间的功能层。NAS支持在CN与终端设备两者之间的信令和/或数据传输。
4.终端设备发起会话建立请求。
终端设备与AMF建立NAS之后,终端设备则可向AMF发起会话建立请求,该会话建立请求嵌入NAS消息发送给AMF。其中,上述会话建立请求具体可用于请求建立PDU会话。
5.AMF向SMF发送会话建立请求。
AMF接收到终端设备发送的NAS消息之后,可解码NAS消息中的会话建立请求,然后将会话建立请求发送给SMF。其中,上述SMF可为该会话建立请求所请求建立的PDU会话所请求连接的SMF。
6.SMF校验签约数据。
SMF接收到会话建立请求之后,获取会话建立请求中携带的认证信息。SMF从UDM处获取预先存储的签约数据,进而可根据上述UDM中存储的签约数据,校验会话建立请求中携带的认证信息是否与上述签约数据一致。若校验结果为认证信息与签约数据一致,则可执行步骤7。
7.SMF启动使用可扩展的身份验证协议(extensible authentication protocol,EAP)认证流程。
8.SMF发送EAP请求及其身份信息请求给终端设备。
9.终端设备向SMF反馈EAP响应以及身份信息。
10.SMF发起建立与UPF之间的N4接口会话连接。
11.SMF将EAP响应以及终端设备的身份信息通过UPF发送至DN和AAA服务器。
SMF把终端设备发来的EAP响应以及认证信息,通过步骤10步建立的N4接口会话连接发送到UPF。UPF将上述EAP响应以及终端设备的身份信息发送到DN和AAA服务器。
12.DN对终端设备进行认证和/或授权。
终端设备和DN(以及AAA服务器)进行多次EAP消息交互,以完成DN对终端设备的认证。
其中,上述终端设备与DN之间进行交互的EAP消息的消息类型或者交互方式等细节取决于具体使用的EAP认证方法,在此不做限制。
13.DN通过UPF发送认证成功消息给SMF。
如果DN对终端设备认证成功,DN则发送认证成功消息给UPF,通过UPF和N4接口会话连接发送认证成功消息给SMF。
14.SMF发起PDU会话建立的其他流程。
DN对终端设备的EAP认证结束之后,SMF可继续发起PDU会话建立的其他流程,例如:
15a.SMF向UPF发送N4接口会话修改请求。
15b.UPF向SMF反馈N4接口会话修改响应。
16.SMF通过AMF向终端设备发送PDU会话建立成功消息。
SMF将PDU会话建立成功消息发送给AMF,AMF将PDU会话建立成功消息转发给终端设备。
上述步骤1-16所示的认证流程即为3GPP标准TS 33.501中提供的第二级认证的流程,也称为第二级认证的常规流程。
终端设备和AAA服务器之间认证消息的交互是基于EAP协议的认证框架。EAP协议的认证框架在认证方面是开放性的,EAP协议的认证框架支持认证方法的协商,既可支持数十种认证方法也支持未来更多认证方法的扩展。在EAP协议提供的认证机制中,定义了身份验证器(Authenticator)的角色,在图2所示的第二级认证的认证流程中,SMF充当了身份验证器的角色。终端设备与SMF之间的EAP消息由NAS消息来承载,SMF和DN之间的EAP消息通过3GPP标准中定义的SMF和UPF之间的N4接口以及UPF和DN之间的N6接口来传送。
从上述步骤1-16所示的认证流程可知,在第二级认证的常规流程中,第二级认证是以PDU会话为单位,终端设备每次要与DN建立一个PDU会话则需要进行一次上述流程所示的第二级认证。如果终端设备需要与某一个DN建立多个PDU会话,该终端设备则需要与该DN进行多次第二级认证的认证流程。
由于同一个终端设备和同一个DN之间的信任关系通常是一致的,重复多次相似的认证流程将对网络资源(例如无线频谱资源或者网络传输容量等)和/或终端资源(例如计算工作量或者电容量等)造成了严重浪费。每一次认证流程耗费较长时间,进而带来了不必要的时延,使得终端设备的认证效率低造成不必要的时延。同理,在同一个终端设备与不同的DN建立PDU会话的应用场景中,若不同的DN所使用的是相同的认证服务器(例如AAA服务器)时,该终端设备与不同的DN之间重复进行多次第二级认证也将造成不必要的资源浪费,增加时延,降低了PDU会话的认证效率。
本申请实施例提供了一种网络安全管理的方法及装置,可在同一个终端设备和同一个DN(或者同一个认证服务器等)进行多次第二级认证的应用场景中,对该终端设备与DN的第一次第二级认证之后的其他第二级认证进行快速认证和/或授权,可提高终端设备的认证效率,节省终端设备认证的资源消耗。
目前正在标准化的3GPP标准TS 23.501中明确强调了支持如下PDU会话的场景:
a、一个终端设备可以同时建立多个PDU会话,这些PDU会话可以连接到同一个DN,也可以连接到不同的DN。
b、一个终端设备可以同时接入一个或者多个网络切片。当一个终端设备接入多个网络切片时,负责接入的核心网网元是一个共同的AMF。
本申请实施例提供的网络安全管理方法可适用于一个终端设备建立两个或者两个以上的PDU会话的应用场景。为了方便描述,本申请实施例后续将以两个PDU会话为例进行描述。上述两个PDU会话可以是同时建立的会话,也可以是不同时间先后建立的会话。
上述两个PDU会话可按照网络切片相关的场景分类,主要可包括以下两大类:
类别1:两个PDU会话同属一个网络切片
参见图3,是本申请实施例提供的终端设备的一会话示意图。如图3所示,网络切片1中有两个PDU会话,包括会话1(Session1)和会话2(Session2)。会话1和会话2均由网络切片1的SMF所管理和/或控制。
可选的,上述会话1和会话1同属一个网络切片也可具体表现为会话1和会话2同属一个SMF,具体可通过网络切片选择协助信息(Network Slice Selection AssistanceInformation,NSSAI)或者网络切片ID等信息标记,具体可根据实际应用场景确定,在此不做限制。
会话1和会话2的建立由终端设备发起,经过AN、AMF到达SMF,有SMF进行管理和/或控制之后,会话1和会话2可分别通过各自的UPF以及各自所请求连接的DN连接到同一个AAA服务器做认证。
可选的,上述图3所示的应用场景中,会话1和会话2也可共享同一个UPF。类似的,无论会话1和会话2是否共享一个UPF,会话1和会话2均可共享同一个DN。同理,会话1和会话2也可以分别连接不同的AAA服务器,但在应用场景中,会话1和会话2所连接的两个不同的AAA服务器需要是两个同步服务器,或者需要是同一个服务器认证组的两个AAA服务器。
类别2:两个PDU会话是两个不同的网络切片之间的会话。
参见图4,是本申请实施例提供的终端设备的另一会话示意图。如图4所示,终端设备向运营商网络发起的会话有两个,包括会话1和会话2。与如图3所示场景不同的是,在图4所示场景中,会话1和会话2分别属于运营商网络中的两个不同的网络切片。会话1连接网络切片1,由网络切片1的SMF1所管理和/或控制。会话2连接网络切片2,由网络切片2中的SMF2所管理和/或控制。
可选的,会话1和会话2的认证信息可统一由运营商网络中的UDM所存储和/或管理。SMF1可在本地存储空间中存储会话1的认证信息,也可从UDM中查询得到会话1的认证信息。SMF1也可从UDM中查询得到会话2的认证信息,进而可根据会话1和会话2的认证信息确定是否对会话1进行快速认证。同理的,SMF2可在本地存储空间中存储会话2的认证信息,也可从UDM中查询得到会话2的认证信息。SMF2也可从UDM中查询得到会话1的认证信息,进而可根据会话1的认证信息和会话2的认证信息确定是否对会话2进行快速认证。
可选的,在图4所述的应用场景中,会话1和会话2也可共享同一个UPF。类似的,无论会话1和会话2是否共享一个UPF,会话1和会话2均可共享同一个DN。同理,会话1和会话2也可以分别连接不同的AAA服务器,但在应用场景中,会话1和会话2所连接的两个不同的AAA服务器需要是两个同步服务器,或者需要是同一个服务器认证组的两个AAA服务器。。
可选的,上述PDU会话的分类适应于基于网络切片相关的场景,对于非网络切片的场景的PDU会话分类也同样适用。例如,上述PDU会话的分类也可基于UPF相关的场景,由UPF存储和/或管理PDU会话的认证信息,并由UPF确定是否对PDU会话进行快速认证。或者,上述PDU会话的分类也可基于DN相关的场景,由DN存储和/或管理PDU会话的认证信息,并由DN确定是否对PDU会话进行快速认证。
下面将以SMF作为身份验证器角色的应用场景为例,对本申请实施例提供的网络安全管理方法及装置进行描述。
实施例一:
实施例一所描述的实现方式可适用于上述PDU会话的类别1,下面将结合图5和图6对上述PDU会话的类别1对应的应用场景中第二级认证的实现方式进行描述。
参见图5,是本申请实施例提供的网络安全管理的一方法流程示意图。本申请实施例提供的方法包括步骤:
S51,终端设备发送建立PDU会话的会话请求。
可选的,终端设备希望访问某一个DN(例如DN1)上的业务时,可发起与DN的会话建立请求。终端设备可向AMF发送会话请求,用以请求建立与DN1的PDU会话,下面将该PDU会话设为会话1。
可选的,上述会话请求中可包括会话1的认证信息。上述认证信息可包括终端设备的ID,终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、安全上下文、签约数据以及DN的标识信息等。本发明实施例提供的实现方式适用于同一个终端设备发起多个会话时,第二个会话以及第二个会话之后的其他会话的第二级认证。运营商网络可根据会话中携带的终端设备的ID等信息确定发起会话的终端设备,进而可确定该会话为该终端设备发起的第一个会话,还是第二个会话或者第三个会话等。
可选的,终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、会话的安全上下文中至少一种或同时有两种及以上被用来对终端设备进行认证、快速认证或授权。
可选的,AMF接收到终端设备发送的会话请求之后,可向SMF或者UPF等网元转发该会话请求。为了方便描述,本申请实施例后续描述将以SMF为例进行说明。
S52,SMF接收终端设备发送的会话请求。
可选的,SMF接收到AMF转发的会话请求之后,可首先根据会话请求中携带的认证信息,确定发起该会话请求的终端设备是否已经进行过与DN1的第二级认证。
可选的,SMF可从其本地存储空间中查找是否包括该终端设备的会话的认证信息。若SMF的本地存储空间中不包括该终端设备的任意会话的认证信息,则可确定会话1为该终端设备发起的到该SMF的第一个会话。SMF可根据会话请求中携带的信息发起会话1的第二级认证的常规流程,如上述图2所示的认证流程。
可选的,SMF可在终端设备的每个会话的第二级认证成功之后,在其本地存储空间中存储会话的认证信息。进而可在接收到新的会话请求时,通过会话的认证信息的比对,确定是否为与同一个DN的多个第二级认证。若为同一个终端设备与同一个DN的多个会话,则可对第一个会话之后的其他各个会话采用快速认证方式。
S53,SMF从本地存储空间中查询第二会话的认证信息。
可选的,若SMF确定终端设备发起的会话1不是终端设备与DN1连接的第一个PDU会话,则可从本地存储空间中查询终端设备在此之前发起的到该SMF的其他会话(可称为在先会话)的认证信息。
SMF可根据查找得到的多个在先会话的认证信息,从多个在先会话中选择第二会话,根据第二会话的认证信息确定是否对会话1进行快速认证和/或授权。其中,上述在先会话的认证信息中可包括终端设备的ID、DN的号码(DN number,DNN)、AAA服务器的识别码以及认证成功的失效期限(或者有效期限)等。SMF可根据各个会话的认证成功的失效期限,从多个在先会话中选择认证成功的失效期限还未到的会话作为第二会话(可设为会话2),即会话2认证成功还在有效期限内。
S54,SMF根据第一会话的认证信息和第二会话的认证信息,授权终端设备与DN建立第一会话。
可选的,若会话1的认证信息中包括的DNN和会话2的认证信息中包括的DN的标识信息相同,则可直接授权终端设备与DN1建立会话1,或者对会话1进行第二级认证的快速认证。
可选的,上述DN的标识信息可包括DNN、DN所属所对应的认证服务器(例如AAA服务器的识别码)以及DN所属所对应的认证服务器的同步认证服务器组等。具体实现中,上述DN的标识信息的具体表现形式可根据实际应用场景的需求确定,在此不做限制。
可选的,SMF可从其本地存储空间中获取会话2的安全上下文,如果待建立的会话1的安全上下文和会话2的安全上下文相同,SMF则可直接授权终端设备与DN建立会话1。
可选的,SMF可根据其本次存储空间中存储的会话2的安全上下文等信息按照安全要求,如为了防止重放攻击等,更新会话2的认证信息,并通知终端设备更新终端设备中存储的会话2的安全上下文等认证信息,以备终端设备后续发起的会话请求所请求的会话的第二级认证使用。
可选的,上述第二级认证的快速认证可包括:EAP协议的系统架构下的重认证(EAPextensions for EAP re-authentication protocol,ERP)。在采用EAP认证的系统中,终端设备和认证服务器通过认证身份验证器进行完整的EAP认证流程。当终端设备从一个身份验证器移动到另一个身份验证器时(认证服务器没有改变),可以通过ERP机制实现身份验证器之间的快速、安全切换,不需要再次进行一套完整的EAP认证流程。本申请实施例,第一次的第二级认证对应于EAP的完整认证,而第二次的第二级认证对应于ERP的快速重认证流程。需要指出的是,ERP不局限于一种EAP认证方法,而是支持许多的EAP认证方法。
可选的,上述第二级认证的快速认证可包括基于EAP协议通过安全隧道方式的灵活认证(EAP Flexible Authentication via Secure Tunneling,EAP-FAST)。EAP-FAST协议包含两个阶段。阶段一是在终端设备与DN之间基于传输层安全协议(transport layersecurity,TLS)建立一个安全隧道。阶段二无需重新建立安全隧道,而是进行安全隧道的快速恢复,从而达到既安全又快速的连接建立。在这里应用EAP-FAST,第一次的第二级认证对应于EAP-FAST的阶段一,而第二次的第二级认证对应于阶段二。
可选的,上述第二级认证的快速认证可包括其他快速认证协议,在此不做限制。
上述快速认证方法通常是用于物理认证节点与物理认证节点之间进行切换时的快速认证,本申请实施例可将上述物理认证节点与物理认证节点之间的快速认证方式应用于终端设备与DN之间的第二级认证的快速认证。其中,上述ERP和EAP-FAST快速认证方式可分别参见IETF的EAP协议RFC6696和RFC4851)提供的实现方式,在此不做限制。
可选的,上述重认证等快速认证方式可由SMF发起,由SMF向AAA服务器发送会话认证请求,触发AAA服务器执行会话1的重认证等快速认证和授权。
可选的,上述重认证等快速认证方式要可由AAA服务器判断和/或发起,SMF无需感知。SMF可向AAA服务器转发会话请求,用于触发AAA服务器判断是否对会话1进行快速认证。SMF可在接收到AAA服务器反馈的快速认证成功响应消息时,授权终端设备与DN1建立会话1。
参见图6,是本申请实施例提供的快速认证的一流程示意图。本申请实施例提供的第二级认证的快速认证可包括步骤:
1.终端设备向AMF发送注册请求。
2.终端设备与运营商网络进行第一级认证。
3.建立终端设备和AMF之间的NAS安全。
其中,上述步骤1-3所描述的实现方式与图2所示的第二级认证的常规流程中的步骤1-3相同,在此不再赘述。
4.终端设备发起会话建立请求。
5.AMF向SMF发送会话建立请求。
可选的,根据运营商网络下发或协商的认证策略,终端设备可以采用与上述图2所示的实施例中步骤4相同的实现方式发起会话建立请求。可选的,终端设备可将请求建立的会话的认证信息以及终端设备在此之前存储的在先会话的cookie以及签约数据等认证信息携带在会话建立请求发送给SMF。
6.SMF校验签约数据。
可选的,上述SMF校验签约数据的实现方式可参见上述图2所示实施例的实现方式,在此不再赘述。
7.根据会话1和会话2的认证信息确定是否对终端设备进行第二级认证。
如果步骤6校验签约数据成功,并且PDU会话(会话1)需要进行第二级认证,SMF可根据会话1认证信息判断是否支持快速认证和/或授权,即会话1是否满足快速认证的要求。
8.SMF校验认证信息是否有效。
如果步骤7确定会话1支持快速认证授权(例如会话1之前存在第二级认证成功的会话2),SMF可检验Cookie等认证信息是否有效。若cookie等认证信息有效,SMF可直接授权终端设备与DN1建立会话1。
如果步骤7确定会话1不支持快速认证授权(例如会话1为终端设备与DN1建立的第一个会话等),SMF则可采用第二级认证的常规流程(如图2所示的认证流程)对会话1进行第二级认证。
9-10.SMF发送EAP请求及身份信息请求给终端设备,终端设备反馈EAP响应及身份信息给SMF。
11.SMF向DN和AAA服务器发送EAP响应及身份信息。
SMF把终端设备发来的EAP响应及终端设备的身份信息,通过SMF与UPF之间建立的会话连接,发送到UPF。UPF进一步将上述EAP响应及终端设备的身份信息发送到DN和AAA服务器。
12.AAA服务器根据选择的快速认证方法对会话1进行快速认证。
AAA服务器可根据EAP协议中定义的认证策略对会话1进行所选择的快速EAP认证的方法进行认证。
13.DN把认证成功消息通过UPF发送给SMF。
14-15.PDU建立成功的消息由SMF发送给AMF,并由AMF继续转发给终端设备。
SMF收到认证成功消息之后,可授权终端设备与DN建立会话1。
可选的,上述步骤9-13为可选步骤。上述步骤9-13是否需要,取决于不同的认证策略。对于仅支持或优先支持直接授权方式的PDU会话,步骤8成功之后可直接执行步骤14和15。具体可根据实际应用场景确定,在此不做限制。
本申请实施例可由SMF存储终端设备的PDU会话的认证信息,进而可在终端设备发起多个PDU会话,并且多个PDU会话同属一个SMF时,由SMF根据本地存储空间中存储的PDU会话的认证信息判断PDU会话是否支持快速认证,并在支持快速认证时执行PDU会话的快速认证或者直接授权。本申请实施例提供的第二级认证的实现方式可简化第二级认证的实现流程,节省第二级认证的信令开销等资源,提高了第二级认证的效率,适用性更强。
实施例二:
实施例二所描述的实现方式可适用于上述PDU会话的类别2,下面将结合图7和图8对上述PDU会话的类别2对应的应用场景中第二级认证的实现方式进行描述。
参见图7,是本申请实施例提供的网络安全管理的一方法流程示意图。本申请实施例提供的方法包括步骤:
S71,终端设备发送建立PDU会话的会话请求。
S72,SMF接收终端设备发送的会话请求。
可选的,上述步骤S71和S72的具体实现方式可参见上述实施例一中步骤S51和S52提供的实现方式,在此不再赘述。
S73,SMF从UDM中查询第二会话的认证信息。
可选的,由于会话1和会话2不属于同一个SMF(例如SMF1和SMF2),因此,待建立的会话1所连接的SMF中没有存储或不存储第二会话的认证信息。SMF与SMF之间又没有直接接口,此时可由UDM或者DN的AAA服务器(即第二网络设备,SMF1为第一网络设备)来存储相应的认证信息,如Cookie或者签约数据等。
可选的,SMF可向UDM等网元发送认证信息查询请求,用于查询存储在UDM中的终端设备在先发起的多个会话的认证信息。进一步的,SMF可从UDM中查询认证信息还在有效期限内的第二会话(如会话2)的认证信息。其中,上述会话2的认证信息的具体表现形式可参见上述实施例描述的实现方式,在此不再赘述。可选的,本申请实施例所描述的认证信息查询请求也可采用其他描述方式,例如查询请求或者数据请求等。具体可根据实际应用场景确定,在此不做限制。
可选的,终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、会话的安全上下文中至少一种或同时有两种及以上被用来对终端设备进行认证、快速认证或授权。
S74,SMF根据第一会话的认证信息和第二会话的认证信息,授权终端设备与DN建立第一会话。
可选的,SMF可根据会话1的认证信息以及从UDM等网元中查询得到的会话2的认证信息,确定是否为会话1进行第二级认证的快速认证,或者直接授权终端设备与DN建立会话1。具体实现方式可参见上述实施例一中步骤S74所描述的实现方式,在此不再赘述。
可选的,SMF可向UDM等网元发送安全上下文查询请求,从UDM请求获取终端设备在先发起的会话的安全上下文,从中选择会话2的安全上下文。进而可在会话1的安全上下文与会话2的安全上下文相同时,直接授权终端设备与DN建立会话1。本申请实施例提供的安全上下文查询请求也可采用其他描述方式,例如查询请求或者安全上下文获取请求等,具体可根据实际应用场景确定,在此不做限制。
可选的,SMF也可向UDM发送会话认证或授权策略查询请求,并根据UDM反馈的会话认证或授权策略授予终端设备与DN建立会话1的权利以及授予的权利范围。可选的,本申请实施例所描述的会话认证或授权策略查询请求也可采用其他表述方式,例如认证或授权策略请求等,具体可根据实际应用场景确定,在此不做限制。本申请实施例所描述的会话认证或授权策略也可采用其他表述方式,具体可根据实际应用场景确定,在此不做限制。
参见图8,是本申请实施例提供的快速认证的另一流程示意图。本申请实施例提供的第二级认证的快速认证可包括步骤:
1.终端设备向AMF发送注册请求。
2.终端设备与运营商网络进行第一级认证。
3.建立终端设备和AMF之间的NAS安全。
其中,上述步骤1-3所描述的实现方式与图2所示的第二级认证的常规流程中的步骤1-3相同,在此不再赘述。
4.终端设备发起会话建立请求。
5.AMF向SMF发送会话建立请求。
可选的,根据运营商网络下发或协商的认证策略,终端设备可以采用与上述图2所示的实施例中步骤4相同的实现方式发起会话建立请求。可选的,终端设备可将请求建立的会话的认证信息以及终端设备在此之前存储的在先会话的cookie以及签约数据等认证信息携带在会话建立请求中发送给SMF。
6.SMF校验签约数据。
可选的,SMF可从UDM处获取终端设备的签约数据,验证UDM中存储的终端设备与终端设备发送的会话建立请求中携带的签约数据是否一致。如果校验签约数据一致,并且PDU会话(会话1)需要进行第二级认证,SMF可根据会话1的认证信息判断是否支持快速认证和/或授权,即会话1是否满足快速认证的要求。
进一步的,SMF可以从UDM处获取终端设备已经成功认证过的会话的认证信息,包括之前成功认证的PDU会话所对应DN的标识信息,如SMF ID、DNN、AAA服务器识别码等。如果UDM中的信息不是实时更新的,SMF还可从UDM中获取之前成功认证的PDU会话所对应的DN的标识信息的失效期限等信息。
7.根据会话1和会话2的认证信息确定是否对终端设备进行第二级认证。
如果步骤6校验签约数据成功,并且PDU会话(会话1)需要进行第二级认证,SMF可根据会话1认证信息和从UDM中查询得到的在先会话的认证信息判断会话1是否满足快速认证的要求。其中,上述根据会话1的认证信息和在先会话(例如会话2)的认证信息确定是否对会话1进行快速认证的实现方式可参见上述实现方式,在此不再赘述。
如果确定会话1支持快速认证授权(例如会话1之前存在第二级认证成功的会话2),SMF可直接授权终端设备与DN1建立会话1。
如果确定会话1不支持快速认证授权(例如会话1为终端设备与DN1建立的第一个会话等),SMF则可采用第二级认证的常规流程(如图2所示的认证流程)对会话1进行第二级认证。
8-9.SMF发送EAP请求及身份请求信息给终端设备,终端设备反馈EAP响应及身份信息给SMF。
10.SMF向DN和AAA服务器发送EAP响应及终端设备的身份信息。
SMF把终端设备发来的EAP响应及终端设备的身份信息,通过SMF与UPF之间建立的会话连接,发送到UPF。UPF进一步将上述EAP响应及终端设备的身份信息发送到DN和AAA服务器。
11.AAA服务器根据选择的快速认证方法对会话1进行快速认证。
AAA服务器可根据EAP协议中定义的认证策略对会话1进行所选择的快速EAP认证的方法进行认证。
12.DN把认证成功消息通过UPF发送给SMF。
13-14.PDU建立成功的消息由SMF发送给AMF,并由AMF继续转发给终端设备。
SMF收到认证成功消息之后,可授权终端设备与DN建立会话1。
可选的,上述步骤8-12为可选步骤。上述步骤8-12是否需要,取决于不同的认证策略。对于仅支持或优先支持直接授权方式的PDU会话,步骤7成功之后可直接执行步骤13和14。具体可根据实际应用场景确定,在此不做限制。
本申请实施例可由UDM存储终端设备的PDU会话的认证信息,进而可在终端设备发起多个PDU会话,并且多个PDU会话分别属于不同的SMF时,由任一个SMF从UDM中查询终端设备认证成功的会话的认证信息。由SMF根据UDM中存储的PDU会话的认证信息以及会话建立请求所请求建立的PDU会话是否支持快速认证,并在支持快速认证时执行PDU会话的快速认证或者直接授权。本申请实施例可由UDM存储终端设备的PDU会话的认证信息,SMF可从UDM中查询终端设备的PDU会话的认证信息,进而可根据会话建立请求所请求建立的PDU会话的认证信息,判断或者执行PDU会话的快速认证,增加了快速认证的实现方式的多样性。本申请实施例提供的第二级认证的实现方式可简化第二级认证的实现流程,节省第二级认证的信令开销等资源,提高了第二级认证的效率,适用性更强。
参见图9,是本申请实施例提供的网络安全管理系统的结构示意图。本申请实施例提供的网络安全管理系统可包括终端设备,运营商网络的网络设备和数据网络的认证服务器。其中,上述运营商网络的网络设备可包括第一网络设备90和第二网络设备100。其中,上述第一网络设备90具体可为上述实施例中所描述的身份验证器,例如SMF等设备。上述第一网络设备90可包括:收发单元91、处理单元92以及存储单元93;
上述存储单元93用于存储终端设备的签约数据和/或终端设备的会话的认证信息。
上述收发单元91,用于接收终端设备发送的会话请求,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括所述第一会话的第一认证信息;
上述处理单元92,用于根据所述收发单元91接收到的所述第一认证信息和预置的所述终端设备的第二会话的第二认证信息,授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述第一认证信息包括所述第一数据网络的标识信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
上述处理单元92用于:
获取预置的所述第二数据网络的标识信息,若所述第一数据网络的标识信息与第二数据网络的标识信息相同,则授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,所述第一数据网络的标识信息与第二数据网络的标识信息相同包括以下至少一种:
所述第一数据网络的数据网络号码DNN与所述第二数据网络的DNN相同;或者
所述第一数据网络所属的认证服务器与所述第二数据网络所属的认证服务器相同;或者
所述第一数据网络所属的认证服务器的同步认证服务器组与所述第二数据网络所属的认证服务器的同步认证服务器组相同。
可选的,所述运营商网络中还包括第二网络设备;
上述收发单元91还用于:
向所述第二网络设备发送认证信息查询请求,所述认证信息查询请求用于查询所述终端设备的会话的认证信息;
接收所述第二网络设备反馈的所述第二会话的第二认证信息,从所述第二认证信息中获取所述第二数据网络的标识信息;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二认证信息或者所述第二会话的授权信息还在有效期限内。
可选的,所述第一认证信息还包括所述第一会话所使用的第一安全上下文,所述第二认证信息还包括所述第二会话所使用的第二安全上下文;
上述处理单元92用于:
获取预置的所述第二安全上下文,若所述第二安全上下文与所述第一安全上下文相同,则授权所述终端设备与所述数据网络建立所述第一会话。
可选的,上述处理单元92,还用于更新所述第二安全上下文;
上述收发单元91,还用于通知所述终端设备更新所述终端设备中存储的所述第二会话的安全上下文。
可选的,上述收发单元91,还用于向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
上述收发单元91,还用于接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
可选的,上述收发单元91,还用于向第二网络设备发送会话认证或授权策略查询请求;
上述收发单元91,还用于接收所述第二网络设备反馈的会话认证或授权策略;
上述处理单元92,还用于根据所述收发单元接收到的所述会话认证或授权策略授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
可选的,上述收发单元91,还用于在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,向所述第一数据网络所属的认证服务器发送会话认证请求,所述会话认证请求用于通知所述认证服务器根据所述第二认证信息发起所述第一会话的快速认证;
上述处理单元92,还用于在所述收发单元接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
可选的,上述收发单元91,还用于向所述第一数据网络所属的认证服务器转发所述会话请求,所述会话请求用于触发所述认证服务器确定是否对所述第一会话进行快速认证;
上述处理单元92,还用于在所述收发单元91接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
上述运营商网络的第二网络设备100具体可为上述实施例中所描述的UDM等数据管理网元,上述第二网络设备100可包括:存储单元101、收发单元102和处理单元103。其中,上述存储单元101,用于存储终端设备的签约数据和/或终端设备的会话的认证信息。
上述收发单元102,用于接收所述第二网络设备发送的认证信息查询请求,所述认证信息查询请求中包括所述终端设备的标识信息;
上述收发单元102,用于向所述第二网络设备反馈所述终端设备的会话的认证信息,触发所述第二网络设备授权所述终端设备与所述第一数据网络建立第一会话;
其中,所述终端设备的会话中包括所述终端设备发起的连接至所述第一数据网络的至少一个会话。
可选的,所述终端设备的会话的认证信息包括:终端设备的ID、终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、会话所连接的运营商网络的网络设备ID、会话的安全上下文、会话所连接的数据网络的标识信息、会话所连接的认证服务器的标识信息以及会话认证成功的有效期限中的至少一种。
可选的,终端设备在运营商网络的签约ID、终端设备在第一数据网络的签约ID、会话的安全上下文中至少一种或同时有两种及以上被用来对终端设备进行认证、快速认证或授权。
可选的,所述认证信息查询请求中还包括所述第一数据网络的标识信息;
所述网络设备还包括:
处理单元103,用于从所述存储单元中预存的所述终端设备的多个会话中确定出连接至所述第一数据网络的第二会话;
上述收发单元102,用于将所述处理单元确定的所述第二会话的认证信息反馈给所述第二网络设备;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的认证信息或者授权信息还在有效期限内。
可选的,上述存储单元101,还用于存储会话认证或授权策略;
上述收发单元102,还用于接收所述第二网络设备发送的会话认证或授权策略查询请求,并向所述第二网络设备反馈会话认证或授权策略;
其中,所述会话认证或授权策略用于指示所述第二网络设备授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
具体实现中,上述第一网络设备(例如SMF)和第二网络设备(例如UDM)的可通过其内置的各个单元执行上述各个实施例中SMF或者UDM所执行的实现方式,在此不再赘述。
请参见图10,图10是本申请实施例提供的一种通信设备的结构示意图。如图10所示,本申请实施例提供的通信设备110包括处理器111、存储器112、收发器113和总线系统114。
其中,上述处理器111、存储器112和收发器113通过总线系统114连接。
上述存储器112用于存放程序,和/或通信设备的处理数据。具体地,程序可以包括程序代码,程序代码包括计算机操作指令。存储器112包括但不限于是随机存储记忆体(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read only memory,EPROM)、或便携式只读存储器(compact disc read-only memory,CD-ROM)。图10中仅示出了一个存储器,当然,存储器也可以根据需要,设置为多个。存储器112也可以是处理器111中的存储器,在此不做限制。
存储器112存储了如下的元素,可执行模块或者数据结构,或者它们的子集,或者它们的扩展集:
操作指令:包括各种操作指令,用于实现各种操作。
操作系统:包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。
上述处理器111控制通信设备110的操作,处理器111可以是一个或多个中央处理器(central processing unit,CPU),在处理器111是一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU。
具体的应用中,通信设备110的各个组件通过总线系统114耦合在一起,其中总线系统114除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图10中将各种总线都标为总线系统114。为便于表示,图10中仅是示意性画出。
上述本申请实施例提供的图2,或者图5,或者图6,或者图7,或者图8,或者上述各个实施例揭示的SMF所执行的方法;或者上述各个实施例所揭示的UDM或者AAA服务器所执行的方法可以应用于处理器111中,或者由处理器111实现。处理器111可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器111中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器111可以是通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(application specificintegrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器112,处理器111读取存储器112中的信息,结合其硬件执行图2,或者图5,或者图6,或者图7,或者图8,或者上述各个实施例揭示的SMF所执行的方法;或者上述各个实施例所揭示的UDM或者AAA服务器所执行的方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (29)
1.一种网络安全管理的方法,其特征在于,所述方法包括:
第二网络设备转发终端设备的会话请求给第一网络设备,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括所述第一会话的第一认证信息,所述第一认证信息包括所述第一数据网络的标识信息;
所述第一网络设备接收所述会话请求;
所述第一网络设备获取所述终端设备的第二会话的第二认证信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则授权所述终端设备与所述第一数据网络建立所述第一会话。
2.根据权利要求1所述的方法,其特征在于,所述第一数据网络的标识信息与第二数据网络的标识信息相同包括以下至少一种:
所述第一数据网络的数据网络号码DNN与所述第二数据网络的DNN相同;或者
所述第一数据网络所属的认证服务器与所述第二数据网络所属的认证服务器相同;或者
所述第一数据网络所属的认证服务器的同步认证服务器组与所述第二数据网络所属的认证服务器的同步认证服务器组相同。
3.根据权利要求2所述的方法,其特征在于,所述第一网络设备获取所述终端设备的第二会话的第二认证信息包括:
所述第一网络设备向第二网络设备发送认证信息查询请求,所述认证信息查询请求用于查询所述终端设备的会话的认证信息;
所述第一网络设备接收所述第二网络设备反馈的所述第二会话的第二认证信息,从所述第二认证信息中获取所述第二数据网络的标识信息;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二认证信息或者所述第二会话的授权信息还在有效期限内。
4.根据权利要求2所述的方法,所述第一认证信息还包括所述第一会话所使用的第一安全上下文,所述第二认证信息还包括所述第二会话所使用的第二安全上下文;
所述授权所述终端设备与所述第一数据网络建立所述第一会话包括:
所述第一网络设备获取所述第二安全上下文;
若所述第二安全上下文与所述第一安全上下文相同,则授权所述终端设备与所述数据网络建立所述第一会话。
5.根据权利要求4所述的方法,所述授权所述终端设备与所述第一数据网络建立所述第一会话之后,所述方法还包括:
所述第一网络设备更新所述第二安全上下文,并通知所述终端设备更新所述终端设备中存储的所述第二会话的安全上下文。
6.根据权利要求4所述的方法,其特征在于,所述第一网络设备获取所述第二安全上下文包括:
所述第一网络设备向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
所述第一网络设备接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
7.根据权利要求5所述的方法,其特征在于,所述第一网络设备获取所述第二安全上下文包括:
所述第一网络设备向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
所述第一网络设备接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述授权所述终端设备与所述第一数据网络建立所述第一会话包括:
所述第一网络设备向第二网络设备发送会话认证或授权策略查询请求;
所述第一网络设备接收所述第二网络设备反馈的会话认证或授权策略,并根据所述会话认证或授权策略授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则向所述第一数据网络所属的认证服务器发送会话认证请求,所述会话认证请求用于通知所述认证服务器根据所述第二认证信息发起所述第一会话的快速认证;
若接收到所述认证服务器反馈的快速认证成功响应消息,则授权所述终端设备与所述第一数据网络建立所述第一会话。
10.根据权利要求1所述的方法,其特征在于,所述第一网络设备接收终端设备发送的会话请求之后,所述方法还包括:
所述第一网络设备向所述第一数据网络所属的认证服务器转发所述会话请求,所述会话请求用于触发所述认证服务器确定是否对所述第一会话进行快速认证;
若所述认证服务器确定对所述第一会话进行快速认证,所述第一网络设备在所述认证服务器对所述第一会话进行快速认证后接收到所述认证服务器反馈的快速认证成功响应消息,则授权所述终端设备与所述第一数据网络建立所述第一会话。
11.根据权利要求1-7和9-10任一项所述的方法,其特征在于,所述第二会话是:由所述第二数据网络授权的,在所述终端设备和所述第二数据网络之间建立的在先会话;
所述若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则授权所述终端设备与所述第一数据网络建立所述第一会话,包括:
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则直接授权所述终端设备与所述第一数据网络建立所述第一会话,无需所述第一数据网络授权所述第一会话。
12.根据权利要求11所述的方法,其特征在于,所述第一网络设备是运营商网络中的第一网络设备,所述第一数据网络是位于所述运营商网络之外的网络,所述第二数据网络是位于所述运营商网络之外的网络。
13.根据权利要求8所述的方法,其特征在于,所述第二会话是:由所述第二数据网络授权的,在所述终端设备和所述第二数据网络之间建立的在先会话;
所述若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则授权所述终端设备与所述第一数据网络建立所述第一会话,包括:
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,所述第一网络设备则直接授权所述终端设备与所述第一数据网络建立所述第一会话,无需所述第一数据网络授权所述第一会话。
14.根据权利要求13所述的方法,其特征在于,所述第一网络设备是运营商网络中的第一网络设备,所述第一数据网络是位于所述运营商网络之外的网络,所述第二数据网络是位于所述运营商网络之外的网络。
15.一种计算机存储介质,其特征在于,用于储存指令,所述指令被第一网络设备执行时使得所述第一网络设备执行一种网络安全管理的方法,所述方法包括:
接收终端设备发送的会话请求,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括所述第一会话的第一认证信息,所述第一认证信息包括所述第一数据网络的标识信息;
获取所述终端设备的第二会话的第二认证信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
若所述第一数据网络的标识信息与第二数据网络的标识信息相同,则授权所述终端设备与所述第一数据网络建立所述第一会话。
16.一种系统,其特征在于,所述系统包括第一网络设备和第二网络设备,其中:
所述第二网络设备用于:
转发终端设备的会话请求给第一网络设备;
所述第一网络设备用于:
接收所述会话请求,所述会话请求用于请求建立与第一数据网络的第一会话,所述会话请求中包括所述第一会话的第一认证信息,所述第一认证信息包括所述第一数据网络的标识信息;
获取所述终端设备的第二会话的第二认证信息,所述第二认证信息中包括所述第二会话所连接的第二数据网络的标识信息;
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,授权所述终端设备与所述第一数据网络建立所述第一会话。
17.如权利要求16所述的系统,其特征在于,所述第一数据网络的标识信息与第二数据网络的标识信息相同包括以下至少一种:
所述第一数据网络的数据网络号码DNN与所述第二数据网络的DNN相同;或者
所述第一数据网络所属的认证服务器与所述第二数据网络所属的认证服务器相同;或者
所述第一数据网络所属的认证服务器的同步认证服务器组与所述第二数据网络所属的认证服务器的同步认证服务器组相同。
18.如权利要求17所述的系统,其特征在于,
所述第一网络设备还用于:
向所述第二网络设备发送认证信息查询请求,所述认证信息查询请求用于查询所述终端设备的会话的认证信息;
接收所述第二网络设备反馈的所述第二会话的第二认证信息,从所述第二认证信息中获取所述第二数据网络的标识信息;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二认证信息或者所述第二会话的授权信息还在有效期限内。
19.如权利要求17所述的系统,其特征在于,所述第一认证信息还包括所述第一会话所使用的第一安全上下文,所述第二认证信息还包括所述第二会话所使用的第二安全上下文;
所述第一网络设备还用于:
获取所述第二安全上下文,若所述第二安全上下文与所述第一安全上下文相同,则授权所述终端设备与所述数据网络建立所述第一会话。
20.如权利要求19所述的系统,其特征在于,所述第一网络设备还用于:
更新所述第二安全上下文;
通知所述终端设备更新所述终端设备中存储的所述第二会话的安全上下文。
21.如权利要求19所述的系统,其特征在于,所述第一网络设备还用于:
向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
22.如权利要求20所述的系统,其特征在于,所述第一网络设备还用于:
向第二网络设备发送安全上下文查询请求,所述安全上下文查询请求用于查询所述终端设备的会话的安全上下文;
接收所述第二网络设备反馈的所述第二会话的第二安全上下文;
其中,所述第二会话为所述终端设备的多个会话中的至少一个,并且所述第二会话的安全上下文还在有效期限内。
23.如权利要求16-22任一项所述的系统,其特征在于,所述第一网络设备还用于:
向第二网络设备发送会话认证或授权策略查询请求;
所述收发单元,还用于接收所述第二网络设备反馈的会话认证或授权策略;
所述处理单元,还用于根据所述收发单元接收到的所述会话认证或授权策略授予所述终端设备与所述第一数据网络建立第一会话的权利范围。
24.如权利要求16所述的系统,其特征在于,所述第一网络设备还用于:
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,向所述第一数据网络所属的认证服务器发送会话认证请求,所述会话认证请求用于通知所述认证服务器根据所述第二认证信息发起所述第一会话的快速认证;
在所述收发单元接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
25.如权利要求16所述的系统,其特征在于,所述第一网络设备还用于:
向所述第一数据网络所属的认证服务器转发所述会话请求,所述会话请求用于触发所述认证服务器确定是否对所述第一会话进行快速认证;
在所述收发单元接收到所述认证服务器反馈的快速认证成功响应消息时,授权所述终端设备与所述第一数据网络建立所述第一会话。
26.根据权利要求16-22和24-25任一项所述的系统,其特征在于,所述第二会话是:由所述第二数据网络授权的,在所述终端设备和所述第二数据网络之间建立的在先会话;所述第一网络设备还用于:
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,授权所述终端设备与所述第一数据网络建立所述第一会话,包括:
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,直接授权所述终端设备与所述第一数据网络建立所述第一会话,无需所述第一数据网络授权所述第一会话。
27.根据权利要求23所述的系统,其特征在于,所述第二会话是:由所述第二数据网络授权的,在所述终端设备和所述第二数据网络之间建立的在先会话;所述第一网络设备还用于:
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,授权所述终端设备与所述第一数据网络建立所述第一会话,包括:
在所述第一数据网络的标识信息与第二数据网络的标识信息相同时,直接授权所述终端设备与所述第一数据网络建立所述第一会话,无需所述第一数据网络授权所述第一会话。
28.根据权利要求26或27所述的系统,其特征在于,所述第一网络设备是运营商网络中的第一网络设备,所述第一数据网络是位于所述运营商网络之外的网络,所述第二数据网络是位于所述运营商网络之外的网络。
29.一种无线终端,其特征在于,所述无线终端为移动电话、计算机、平板电脑、个人数码助理、移动互联网设备、可穿戴设备和电子书阅读器中的一项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211413375.1A CN115835203A (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/SG2017/050368 WO2019017837A1 (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
CN202211413375.1A CN115835203A (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
CN201780093005.5A CN110999356B (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780093005.5A Division CN110999356B (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115835203A true CN115835203A (zh) | 2023-03-21 |
Family
ID=65015167
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211413375.1A Pending CN115835203A (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
CN201780093005.5A Active CN110999356B (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780093005.5A Active CN110999356B (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Country Status (8)
Country | Link |
---|---|
US (2) | US11477242B2 (zh) |
EP (2) | EP4167678A1 (zh) |
JP (1) | JP7035163B2 (zh) |
KR (1) | KR102345932B1 (zh) |
CN (2) | CN115835203A (zh) |
AU (1) | AU2017423732B2 (zh) |
BR (1) | BR112020000932A2 (zh) |
WO (1) | WO2019017837A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117134947A (zh) * | 2023-07-31 | 2023-11-28 | 广州迪迪信息科技有限公司 | 一种网络信息安全分析管理系统 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111641949B (zh) * | 2019-03-01 | 2022-05-31 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
CN112672336B (zh) * | 2019-09-30 | 2024-04-30 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信系统 |
US11777935B2 (en) | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
CN113395238B (zh) * | 2020-03-12 | 2022-09-23 | 华为技术有限公司 | 一种认证授权方法及对应装置 |
CN113472724B (zh) * | 2020-03-31 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种网络认证方法、设备及系统 |
US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
CN113573298B (zh) * | 2020-04-10 | 2022-05-24 | 华为技术有限公司 | 一种通信方法及装置 |
CN111639116B (zh) * | 2020-05-15 | 2023-06-09 | 中国银联股份有限公司 | 数据访问连接会话保护方法以及装置 |
CN113784346A (zh) * | 2020-05-22 | 2021-12-10 | 华为技术有限公司 | 认证授权的方法和装置 |
CN111638997A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 数据恢复方法、装置及网络设备 |
CN112039838B (zh) * | 2020-07-15 | 2022-03-15 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
CN114640994A (zh) * | 2020-12-16 | 2022-06-17 | 中国电信股份有限公司 | 协议数据单元会话鉴权认证方法、系统和相关设备 |
WO2022134089A1 (zh) * | 2020-12-25 | 2022-06-30 | 华为技术有限公司 | 一种安全上下文生成方法、装置及计算机可读存储介质 |
CN113489747B (zh) * | 2021-08-17 | 2023-03-24 | 中国联合网络通信集团有限公司 | 会话连接方法、装置及终端 |
CN114697963A (zh) * | 2022-03-29 | 2022-07-01 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
CN114978747B (zh) * | 2022-06-10 | 2024-02-06 | 中国电信股份有限公司 | 注册认证方法、装置、电子设备及存储介质 |
WO2024065705A1 (zh) * | 2022-09-30 | 2024-04-04 | 北京小米移动软件有限公司 | 应用功能授权方法及装置 |
CN118119037A (zh) * | 2022-11-29 | 2024-05-31 | 中移(成都)信息通信科技有限公司 | 通信系统、方法、装置、相关设备及存储介质 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7769838B2 (en) | 2001-08-23 | 2010-08-03 | The Directv Group, Inc. | Single-modem multi-user virtual private network |
WO2008099254A2 (en) * | 2007-02-12 | 2008-08-21 | Nokia Corporation | Authorizing n0n-3gpp ip access during tunnel establishment |
US8780856B2 (en) * | 2007-09-18 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
CN101656956B (zh) * | 2008-08-22 | 2012-05-23 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
CN101931928B (zh) * | 2009-06-19 | 2014-08-13 | 中兴通讯股份有限公司 | 漫游场景下单apn多pdn连接的策略计费控制的方法及系统 |
CN101827112B (zh) * | 2010-05-25 | 2016-05-11 | 中兴通讯股份有限公司 | 上网认证服务器识别客户端软件的方法及系统 |
US9439067B2 (en) * | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
CN110519863A (zh) * | 2011-11-04 | 2019-11-29 | 瑞典爱立信有限公司 | 用于建立和使用pdn连接的方法和装置 |
US9451455B2 (en) | 2012-06-11 | 2016-09-20 | Blackberry Limited | Enabling multiple authentication applications |
CN103533666B (zh) * | 2012-07-02 | 2019-06-11 | 中兴通讯股份有限公司 | 分组数据网络连接建立方法及装置 |
US9479934B2 (en) * | 2013-12-13 | 2016-10-25 | Parallel Wireless, Inc. | Virtualization of the evolved packet core to create a local EPC |
CN103944737B (zh) | 2014-05-06 | 2018-11-02 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
CN106302376A (zh) * | 2015-06-29 | 2017-01-04 | 中兴通讯股份有限公司 | 重认证识别方法、演进分组数据网关及系统 |
KR101795786B1 (ko) * | 2015-11-19 | 2017-11-08 | 에스케이 텔레콤주식회사 | 이동통신 시스템에서 코어 네트워크를 선택하는 방법 및 장치 |
CN105873059A (zh) | 2016-06-08 | 2016-08-17 | 中国南方电网有限责任公司电网技术研究中心 | 配电通信无线专网的联合身份认证方法和系统 |
KR102408155B1 (ko) * | 2016-07-18 | 2022-06-14 | 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) | 비밀 식별자를 사용하는 사용자 장비에 관련된 동작 |
US10624006B2 (en) * | 2016-08-05 | 2020-04-14 | Qualcomm Incorporated | Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node |
EP3501155B1 (en) * | 2017-01-27 | 2023-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Secondary authentication of a user equipment |
US11196728B1 (en) * | 2021-03-29 | 2021-12-07 | Fmr Llc | Caching login sessions to access a software testing environment |
-
2017
- 2017-07-20 CN CN202211413375.1A patent/CN115835203A/zh active Pending
- 2017-07-20 EP EP22194130.5A patent/EP4167678A1/en active Pending
- 2017-07-20 CN CN201780093005.5A patent/CN110999356B/zh active Active
- 2017-07-20 BR BR112020000932-6A patent/BR112020000932A2/pt unknown
- 2017-07-20 KR KR1020207004389A patent/KR102345932B1/ko active IP Right Grant
- 2017-07-20 EP EP17918260.5A patent/EP3657894B1/en active Active
- 2017-07-20 AU AU2017423732A patent/AU2017423732B2/en active Active
- 2017-07-20 WO PCT/SG2017/050368 patent/WO2019017837A1/zh unknown
- 2017-07-20 JP JP2020502612A patent/JP7035163B2/ja active Active
-
2020
- 2020-01-17 US US16/746,479 patent/US11477242B2/en active Active
-
2022
- 2022-09-07 US US17/939,637 patent/US11895157B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117134947A (zh) * | 2023-07-31 | 2023-11-28 | 广州迪迪信息科技有限公司 | 一种网络信息安全分析管理系统 |
CN117134947B (zh) * | 2023-07-31 | 2024-04-12 | 深圳市卓青科技有限公司 | 一种网络信息安全分析管理系统 |
Also Published As
Publication number | Publication date |
---|---|
US11477242B2 (en) | 2022-10-18 |
CN110999356A (zh) | 2020-04-10 |
EP3657894A1 (en) | 2020-05-27 |
AU2017423732B2 (en) | 2021-07-15 |
KR20200022512A (ko) | 2020-03-03 |
WO2019017837A1 (zh) | 2019-01-24 |
US11895157B2 (en) | 2024-02-06 |
EP3657894A4 (en) | 2020-06-24 |
EP4167678A1 (en) | 2023-04-19 |
JP7035163B2 (ja) | 2022-03-14 |
CN110999356B (zh) | 2022-11-18 |
US20200153871A1 (en) | 2020-05-14 |
BR112020000932A2 (pt) | 2020-07-21 |
AU2017423732A1 (en) | 2020-02-20 |
KR102345932B1 (ko) | 2021-12-30 |
US20230076628A1 (en) | 2023-03-09 |
EP3657894B1 (en) | 2022-09-07 |
JP2020527914A (ja) | 2020-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110999356B (zh) | 网络安全管理的方法及装置 | |
EP2103077B1 (en) | Method and apparatus for determining an authentication procedure | |
CN102396203B (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
CN113286291A (zh) | 多接入场景中的连接处理方法和装置 | |
EP2547134A1 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
EP3737032B1 (en) | Key updating method and apparatus | |
EP2215803B1 (en) | Network access authentication | |
CN113498217A (zh) | 一种通信方法和通信装置 | |
CN113676904B (zh) | 切片认证方法及装置 | |
US20110002272A1 (en) | Communication apparatus and communication method | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
EP2510717B1 (en) | Smart card security feature profile in home subscriber server | |
CN114600487B (zh) | 身份认证方法及通信装置 | |
US20240223613A1 (en) | Network security management method, and apparatus | |
CN113904781B (zh) | 切片认证方法及系统 | |
CN113498055B (zh) | 接入控制方法及通信设备 | |
WO2024078313A1 (zh) | 认证授权的方法与通信装置 | |
US20220263674A1 (en) | Communication method and related apparatus | |
US20230336992A1 (en) | Method and apparatus for authenticating user equipment in wireless communication system | |
TW202416740A (zh) | 認證授權的方法與通信裝置 | |
KR20240099476A (ko) | 디바이스-대-디바이스 서비스에 대한 인증 크리덴셜들의 결정 | |
CN117997541A (zh) | 通信方法和通信装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |