CN115967940A - 网络切片鉴权认证方法和网络系统 - Google Patents
网络切片鉴权认证方法和网络系统 Download PDFInfo
- Publication number
- CN115967940A CN115967940A CN202111191133.8A CN202111191133A CN115967940A CN 115967940 A CN115967940 A CN 115967940A CN 202111191133 A CN202111191133 A CN 202111191133A CN 115967940 A CN115967940 A CN 115967940A
- Authority
- CN
- China
- Prior art keywords
- application
- authentication
- network slice
- user equipment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012795 verification Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 11
- 238000010295 mobile communication Methods 0.000 abstract description 3
- 238000012216 screening Methods 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 18
- 238000013475 authorization Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 6
- 230000008520 organization Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提出一种网络切片鉴权认证方法和网络系统,涉及移动通信领域。本公开实施例在将鉴权信息发送到认证服务器之前,通过先验证用户设备的应用信息来进行初步筛选,如果验证不通过,向用户设备返回失败信息,不再进行后续的认证服务器的鉴权认证,如果验证通过,再进行认证服务器的鉴权认证,提高应用网络切片鉴权的安全性,减少非切片应用对切片资源非法占用的可性能,提高切片应用的鉴权效率。
Description
技术领域
本公开涉及移动通信领域,特别涉及一种网络切片鉴权认证方法和网络系统。
背景技术
网络切片(Network Slice)是5G移动通信的关键特性之一。通过对网络资源的虚拟化划分出不同的逻辑网络切片,并按具体业务场景和需求供不同用户使用。
一种应用级的网络切片技术,核心网下发基于应用标识(APP ID)的URSP(UEroute selection policy,用户设备路由选择策略),匹配终端侧应用的APP ID,把应用关联到网络切片,例如,把不同的应用关联到同一个网络切片或不同的网络切片上,在运营商或第三方部署的AAA(验证、授权和记账,Authentication Authorization Accounting)服务器上进行应用鉴权,从而提供应用级切片服务。
经研究发现,随着网络安全形式日益严峻,大量非切片应用到该切片相应的AAA服务器进行应用鉴权,会对AAA服务器造成安全威胁,还会挤占AAA服务器的处理资源,影响切片应用的鉴权效率。
发明内容
本公开实施例在将鉴权信息发送到认证服务器之前,通过先验证用户设备的应用信息来进行初步筛选,如果验证不通过,向用户设备返回失败信息,不再进行后续的认证服务器的鉴权认证,如果验证通过,再进行认证服务器的鉴权认证,提高应用网络切片鉴权的安全性,减少非切片应用对切片资源非法占用的可性能,提高切片应用的鉴权效率。
本公开一些实施例提出一种网络切片鉴权认证方法,包括:
接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;
向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;
接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;
根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证,如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
在一些实施例中,应用标识信元包括应用标识单元、通用唯一识别码单元、应用摘要单元;应用标识信元携带的应用信息包括应用标识、通用唯一识别码、应用摘要。
在一些实施例中,对来自用户设备的应用信息进行验证包括:
判断应用标识是否属于请求接入的网络切片的服务范围,如果不属于,验证不通过;
根据应用标识或通用唯一识别码查找网络侧存储的应用摘要,比较网络侧存储的应用摘要与来自用户设备的应用摘要是否相同,如果不同,验证不通过;
如果应用标识属于请求接入的网络切片的服务范围、且网络侧存储的应用摘要与来自用户设备的应用摘要相同,验证通过。
在一些实施例中,还包括:
接收认证服务器发送的第二网络切片鉴权命令消息,其中携带用户凭证的请求,并转发给用户设备;
接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,并转发给认证服务器对用户凭证进行鉴权认证;
接收认证服务器返回的第三网络切片鉴权完成消息,其中携带鉴权认证结果,并转发给用户设备。
在一些实施例中,还包括:
接收应用开发者提交的应用标识、通用唯一识别码、应用摘要;
将应用标识、通用唯一识别码、应用摘要进行关联性存储;
为应用标识相应的应用生成相应的网络切片。
在一些实施例中,在接收到应用开发者提交的通用唯一识别码后,查询通用唯一识别码的合法性,如果合法,再将应用标识、通用唯一识别码、应用摘要进行关联性存储。
在一些实施例中,还包括:
对用户信息中的用户隐藏标识符SUCI进行验证;
如果SUCI和应用信息均验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
本公开一些实施例提出一种网络系统,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行网络切片鉴权认证方法。
在一些实施例中,包括:
AMF,被配置为接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;
AUSF,被配置为根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证;
AMF,还被配置为如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
在一些实施例中,还包括:认证服务器,被配置为接收进行鉴权认证的用户信息,向相应的用户设备发送第二网络切片鉴权命令消息,其中携带用户凭证的请求,接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,对用户凭证进行鉴权认证,向用户设备返回第三网络切片鉴权完成消息,其中携带鉴权认证结果。
在一些实施例中,还包括:用户设备,被配置为发送注册请求,其中携带请求接入的与应用相应的网络切片的标识,接收AMF发送的第一网络切片鉴权命令消息,返回第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;接收第二网络切片鉴权命令消息,返回第二网络切片鉴权完成消息,其中携带用户凭证,接收第三网络切片鉴权完成消息,其中携带鉴权认证结果,如果鉴权认证通过,保存应用与允许接入的网络切片的对应关系。
本公开一些实施例提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现网络切片鉴权认证方法的步骤。
附图说明
下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍。根据下面参照附图的详细描述,可以更加清楚地理解本公开。
显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开一些实施例的应用标识信元的示意图。
图2示出本公开一些实施例的应用开发者申请网络切片的示意图。
图3示出本公开一些实施例的网络切片鉴权认证方法的示意图。
图4示出本公开一些实施例的网络系统的示意图。
图5示出本公开另一些实施例的网络系统的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。
除非特别说明,否则,本公开中的“第一”“第二”“第三”等描述用来区分不同的对象,并不用来表示大小或时序等含义。
本公开提出一种新型的应用标识信元(APP ID IE,Application IdentifierInformation Element)。图1示出本公开一些实施例的应用标识信元的示意图。如图1所示,应用标识信元包括应用标识(APP ID)单元、通用唯一识别码(Universally UniqueIdentifier,UUID)单元、应用摘要单元。其中,应用标识单元用来记录应用标识,应用标识用来标识一个应用。通用唯一识别码单元用来记录通用唯一识别码,通用唯一识别码是新增的,是应用全球唯一的识别码。应用摘要单元用来记录应用摘要,应用摘要是新增的,是利用MD5、SHA1、SHA256等摘要生成算法,对APP ID、应用版本,应用名称等应用信息,进行摘要生成运算得到的。
下面列举一个应用标识信元的示例,但不限于所举示例。应用标识例如为com.qq.cgame.bt;通用唯一识别码例如为d37739f3-2dda-4b80-ac35-937093028f52;应用摘要例如为0ca175b9c0f726a831d895e269332461。
图2示出本公开一些实施例的应用开发者申请网络切片的示意图。如图2所示,应用开发者申请网络切片的过程包括如下步骤。
在步骤210,应用开发者向标准组织或其他能够分配识别码的机构或组织申请应用的通用唯一识别码。应用开发者申请时可以向相应的机构或组织提交例如应用标识、应用描述信息、发行者相关信息,相应的机构或组织据此为应用开发者分配能够唯一标识该应用的通用唯一识别码。
在步骤220,应用开发者向切片运营商申请网络切片,申请时提交例如应用标识、通用唯一识别码、应用摘要或其他应用信息。
在步骤230,切片运营商查询提交的通用唯一识别码的合法性,如果合法,再将应用标识、通用唯一识别码、应用摘要进行关联性存储,例如,可以存储在UDM(Unified DataManagement,统一数据管理)网元。
其中,切片运营商例如可以向前述相应的机构或组织查询提交的通用唯一识别码的合法性。
其中,判断通用唯一识别码的合法性,可以判断通用唯一识别码是否存在,还可以进一步判断通用唯一识别码的提交者与通用唯一识别码申请时的发行者是否匹配,如果存在且匹配,判断通用唯一识别码合法。
在步骤240,切片运营商为应用标识相应的应用生成或分配相应的网络切片。
此外,切片运营商还生成URSP(UE Route Selection Policy,UE路由选择策略),以应用的APP ID或UUID作为URSP的规则匹配条件。
从而,应用开发者基于新型的应用标识信元完成网络切片的申请。
图3示出本公开一些实施例的网络切片鉴权认证方法的示意图。如图3所示,网络切片鉴权认证方法包括以下步骤。
在步骤310,用户设备发送注册请求,其中携带请求接入的与应用相应的网络切片的标识,也即需要进行鉴权认证的网络切片的标识。
网络切片的标识例如为NSSAI(Network Slice Selection AssistanceInformation,网络切片选择辅助信息)。
在步骤320,AMF(Access and Mobility Management Function,接入和移动性管理功能)接收用户设备发送的注册请求,根据签约信息,判断该网络切片下的应用是否需要进行网络切片鉴权认证,如果需要,则继续执行步骤330。
在步骤330,AMF触发应用网络切片鉴权认证流程,向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元APP ID IE、并携带应用相应的用户信息的请求。
第一网络切片鉴权命令消息例如为NETWORK SLICE-SPECIFIC AUTHENTICATIONCOMMAND message。
应用相应的用户信息的请求例如为EAP(Extensible Authentication Protocol,可扩展的身份验证协议)REQUEST(请求),请求应用相应的用户信息。
在步骤340,用户设备进行响应,AMF接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元APP ID IE、并携带应用相应的用户信息,应用标识信元携带应用信息,应用信息包括应用标识、通用唯一识别码、应用摘要等。
第一网络切片鉴权完成消息例如为NETWORK SLICE-SPECIFIC AUTHENTICATIONCOMPLETE message。
应用相应的用户信息例如可以通过EAP RESPONSE(响应)返回,其中携带应用相应的用户信息。
在步骤340a,AMF将第一网络切片鉴权完成消息转发给身份验证服务器功能(AUSF,Authentication Server Function),AUSF进行验证,并返回验证结果给AMF。
AUSF可以对用户设备的应用信息进行初步验证,包括:判断应用标识是否属于请求接入的网络切片的服务范围,如果不属于,验证不通过;根据应用标识或通用唯一识别码查找网络侧(如UDM)存储的应用摘要,比较网络侧存储的应用摘要与来自用户设备的应用摘要是否相同,如果不同,验证不通过;如果应用标识属于请求接入的网络切片的服务范围、且网络侧存储的应用摘要与来自用户设备的应用摘要相同,验证通过。
AUSF还可以对对用户信息中的SUCI(Subscription Concealed Identifier,用户隐藏标识符)进行验证,确认SUCI是否合法;如果SUCI和应用信息均验证通过,认为用户设备验证通过。
其中,5G引入公钥机制实现手机身份信息传输中的隐藏和认证。公钥公开,用来加密。私钥保留,用来解密。将公钥存放在手机端,私钥存放在运营商。手机的真实身份在5G网络中称为SUPI(SUbscription Permanent Identifier,签约永久标识符),类似国际移动用户识别码(IMSI,International Mobile Subscriber Identity),SUPI通过公钥加密后的密文称为SUCI。只有运营商可以解密手机的真正的身份信息,攻击者只能拿到加密后的信息,没有私钥而无法解出手机的身份信息。
在步骤340b,如果验证不通过,AMF向用户设备返回失败信息,不再进行后续的认证服务器的鉴权认证。
在步骤350,如果验证通过,AMF将应用相应的用户信息转发给认证服务器进行鉴权认证。
认证服务器例如为AAA服务器,AAA服务器可以进一步细分为AAA-P(AAA代理)和AAA-S(AAA服务器),其中,AAA-P用来将各应用的鉴权请求转发到相应的AAA-S,AAA-S用来对各应用进行鉴权认证。
在步骤360,认证服务器经由AMF向用户设备发送第二网络切片鉴权命令消息,其中携带用户凭证的请求。
第二网络切片鉴权命令消息例如为NETWORK SLICE-SPECIFIC AUTHENTICATIONCOMMAND message。
用户凭证的请求例如为EAP REQUEST,请求用户凭证。
在步骤370,用户设备经由AMF向认证服务器返回第二网络切片鉴权完成消息,其中携带用户凭证。
第二网络切片鉴权完成消息例如为NETWORK SLICE-SPECIFIC AUTHENTICATIONCOMPLETE message。
在步骤380,认证服务器对用户凭证进行鉴权认证,鉴权认证结果为成功或失败。
例如,由AAA-S对用户凭证进行鉴权认证。
在步骤390,认证服务器向用户设备返回第三网络切片鉴权完成消息,其中携带鉴权认证结果。
第三网络切片鉴权完成消息例如为NETWORK SLICE-SPECIFIC AUTHENTICATIONCOMPLETE message。
在步骤3100,如果鉴权认证通过,用户设备保存应用与允许接入的网络切片的对应关系,以便后续利用该网络切片使用相应的应用。
上述实施例在将鉴权信息发送到认证服务器之前,通过先验证用户设备的应用信息来进行初步筛选,如果验证不通过,向用户设备返回失败信息,不再进行后续的认证服务器的鉴权认证,如果验证通过,再进行认证服务器的鉴权认证,提高应用网络切片鉴权的安全性,减少非切片应用对切片资源非法占用的可性能,提高切片应用的鉴权效率。
图4示出本公开一些实施例的网络系统的示意图。如图4所示,网络系统400包括:存储器410以及耦接至该存储器410的处理器420,处理器420被配置为基于存储在存储器410中的指令,执行前述任意一些实施例中的网络切片鉴权认证方法。
例如,接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证,如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
例如,对来自用户设备的应用信息进行验证包括:判断应用标识是否属于请求接入的网络切片的服务范围,如果不属于,验证不通过;根据应用标识或通用唯一识别码查找网络侧存储的应用摘要,比较网络侧存储的应用摘要与来自用户设备的应用摘要是否相同,如果不同,验证不通过;如果应用标识属于请求接入的网络切片的服务范围、且网络侧存储的应用摘要与来自用户设备的应用摘要相同,验证通过。
例如,对用户信息中的SUCI进行验证;如果SUCI和应用信息均验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
例如,接收认证服务器发送的第二网络切片鉴权命令消息,其中携带用户凭证的请求,并转发给用户设备;接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,并转发给认证服务器对用户凭证进行鉴权认证;接收认证服务器返回的第三网络切片鉴权完成消息,其中携带鉴权认证结果,并转发给用户设备。
例如,接收应用开发者提交的应用标识、通用唯一识别码、应用摘要;将应用标识、通用唯一识别码、应用摘要进行关联性存储;为应用标识相应的应用生成相应的网络切片。
例如,在接收到应用开发者提交的通用唯一识别码后,查询通用唯一识别码的合法性,如果合法,再将应用标识、通用唯一识别码、应用摘要进行关联性存储。
其中,存储器410例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(Boot Loader)以及其他程序等。
其中,处理器420可以用通用处理器、数字信号处理器(DSP)、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑设备、分立门或晶体管等分立硬件组件方式来实现。
图5示出本公开另一些实施例的网络系统的示意图。如图5所示,网络系统500包括:AMF 510和AUSF 520,还可以包括认证服务器530和用户设备540等。
AMF 510,被配置为接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;
AUSF 520,被配置为根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证;
AMF 510,还被配置为如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
认证服务器530被配置为接收进行鉴权认证的用户信息,向相应的用户设备发送第二网络切片鉴权命令消息,其中携带用户凭证的请求,接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,对用户凭证进行鉴权认证,向用户设备返回第三网络切片鉴权完成消息,其中携带鉴权认证结果。
用户设备540被配置为发送注册请求,其中携带请求接入的与应用相应的网络切片的标识,接收AMF发送的第一网络切片鉴权命令消息,返回第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;接收第二网络切片鉴权命令消息,返回第二网络切片鉴权完成消息,其中携带用户凭证,接收第三网络切片鉴权完成消息,其中携带鉴权认证结果,如果鉴权认证通过,保存应用与允许接入的网络切片的对应关系。
本公开实施例还提出一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现网络切片鉴权认证方法的步骤。
本领域内的技术人员应当明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机程序代码的非瞬时性计算机可读存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (12)
1.一种网络切片鉴权认证方法,其特征在于,包括:
接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;
向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;
接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;
根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证,如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
2.根据权利要求1所述的方法,其特征在于,
应用标识信元包括应用标识单元、通用唯一识别码单元、应用摘要单元;
应用标识信元携带的应用信息包括应用标识、通用唯一识别码、应用摘要。
3.根据权利要求2所述的方法,其特征在于,对来自用户设备的应用信息进行验证包括:
判断应用标识是否属于请求接入的网络切片的服务范围,如果不属于,验证不通过;
根据应用标识或通用唯一识别码查找网络侧存储的应用摘要,比较网络侧存储的应用摘要与来自用户设备的应用摘要是否相同,如果不同,验证不通过;
如果应用标识属于请求接入的网络切片的服务范围、且网络侧存储的应用摘要与来自用户设备的应用摘要相同,验证通过。
4.根据权利要求1所述的方法,其特征在于,还包括:
接收认证服务器发送的第二网络切片鉴权命令消息,其中携带用户凭证的请求,并转发给用户设备;
接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,并转发给认证服务器对用户凭证进行鉴权认证;
接收认证服务器返回的第三网络切片鉴权完成消息,其中携带鉴权认证结果,并转发给用户设备。
5.根据权利要求1所述的方法,其特征在于,还包括:
接收应用开发者提交的应用标识、通用唯一识别码、应用摘要;
将应用标识、通用唯一识别码、应用摘要进行关联性存储;
为应用标识相应的应用生成相应的网络切片。
6.根据权利要求5所述的方法,其特征在于,
在接收到应用开发者提交的通用唯一识别码后,查询通用唯一识别码的合法性,如果合法,再将应用标识、通用唯一识别码、应用摘要进行关联性存储。
7.根据权利要求1所述的方法,其特征在于,还包括:
对用户信息中的用户隐藏标识符SUCI进行验证;
如果SUCI和应用信息均验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
8.一种网络系统,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行权利要求1-7中任一项所述的网络切片鉴权认证方法。
9.根据权利要求8所述的网络系统,其特征在于,包括:
AMF,被配置为接收用户设备发送的注册请求,其中携带请求接入的与应用相应的网络切片的标识;向用户设备发送第一网络切片鉴权命令消息,其中新增应用标识信元、并携带应用相应的用户信息的请求;接收用户设备返回的第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;
AUSF,被配置为根据网络侧存储的应用信息,对来自用户设备的应用信息进行验证;
AMF,还被配置为如果验证不通过,向用户设备返回失败信息,如果验证通过,再将应用相应的用户信息转发给认证服务器进行鉴权认证。
10.根据权利要求9所述的网络系统,其特征在于,还包括:
认证服务器,被配置为接收进行鉴权认证的用户信息,向相应的用户设备发送第二网络切片鉴权命令消息,其中携带用户凭证的请求,接收用户设备返回的第二网络切片鉴权完成消息,其中携带用户凭证,对用户凭证进行鉴权认证,向用户设备返回第三网络切片鉴权完成消息,其中携带鉴权认证结果。
11.根据权利要求9所述的网络系统,其特征在于,还包括:
用户设备,被配置为发送注册请求,其中携带请求接入的与应用相应的网络切片的标识,接收AMF发送的第一网络切片鉴权命令消息,返回第一网络切片鉴权完成消息,其中新增应用标识信元并携带应用相应的用户信息,应用标识信元携带应用信息;接收第二网络切片鉴权命令消息,返回第二网络切片鉴权完成消息,其中携带用户凭证,接收第三网络切片鉴权完成消息,其中携带鉴权认证结果,如果鉴权认证通过,保存应用与允许接入的网络切片的对应关系。
12.一种非瞬时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-7中任一项所述的网络切片鉴权认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111191133.8A CN115967940A (zh) | 2021-10-13 | 2021-10-13 | 网络切片鉴权认证方法和网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111191133.8A CN115967940A (zh) | 2021-10-13 | 2021-10-13 | 网络切片鉴权认证方法和网络系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115967940A true CN115967940A (zh) | 2023-04-14 |
Family
ID=87358432
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111191133.8A Pending CN115967940A (zh) | 2021-10-13 | 2021-10-13 | 网络切片鉴权认证方法和网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115967940A (zh) |
-
2021
- 2021-10-13 CN CN202111191133.8A patent/CN115967940A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| EP2842258B1 (en) | Multi-factor certificate authority | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| CN109417545B (zh) | 下载网络接入简档的方法、安全模块、移动终端和介质 | |
| US9264420B2 (en) | Single sign-on for network applications | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN104205891A (zh) | 虚拟sim卡云平台 | |
| CN113726774A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| JP2024501326A (ja) | アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード | |
| WO2014169802A1 (zh) | 终端、网络侧设备、终端应用控制方法及系统 | |
| EP3580885B1 (en) | Private key updating | |
| CN112995090B (zh) | 终端应用的认证方法、装置、系统和计算机可读存储介质 | |
| CN108429732B (zh) | 一种获取资源的方法及系统 | |
| CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN106412904B (zh) | 一种防假冒用户认证权限的方法及系统 | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
| CN115967940A (zh) | 网络切片鉴权认证方法和网络系统 | |
| CN113395249A (zh) | 客户端登录认证方法、系统和计算机设备 | |
| CN113784354A (zh) | 基于网关的请求转换方法和装置 | |
| US9485654B2 (en) | Method and apparatus for supporting single sign-on in a mobile communication system | |
| WO2020191027A1 (en) | Chained trusted platform modules (tpms) as a secure bus for pre-placement of device capabilities | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| US20240098080A1 (en) | Service function authorization | |
| WO2023221502A1 (zh) | 数据传输方法和系统及信令安全管理网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |