CN116132983A - 接入认证方法、装置、终端及核心网 - Google Patents
接入认证方法、装置、终端及核心网 Download PDFInfo
- Publication number
- CN116132983A CN116132983A CN202111346858.XA CN202111346858A CN116132983A CN 116132983 A CN116132983 A CN 116132983A CN 202111346858 A CN202111346858 A CN 202111346858A CN 116132983 A CN116132983 A CN 116132983A
- Authority
- CN
- China
- Prior art keywords
- terminal
- response message
- core network
- signaling tunnel
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/11—Allocation or use of connection identifiers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种接入认证方法、装置、终端及核心网。所述方法包括:向第二终端发送第一加密数据,第一加密数据包括所述第一终端的第一网络接入标识,以使第二终端根据所述第一网络接入标识建立所述第一终端、第二终端以及核心网之间的信令隧道;接收核心网发送的会话请求消息;根据会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使第二终端将所述会话响应消息发送至所述核心网;所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。本发明将短距通信域的第二终端作为代理节点,建立端到端的信令隧道,使所述第一终端完成在所述核心网的注册认证。
Description
技术领域
本发明涉及通信技术领域,特别是指一种接入认证方法、装置、终端及核心网。
背景技术
随着5G行业虚拟专网深入工业园区、教育医疗、城市楼宇等行业现场近端网络,5G蜂窝网络和短距通信的N3G网络进行融合通信的需求愈发强烈。在行业现场网中,短距通信网络通过接入5G核心网(5G Core Network,5GC),不仅可实现5GC对现场网络质量和终端业务进行实时感知,还可以满足现场业务终端和云平台的远程交互、行业数据上云的发展趋势。
在现有技术中,UE接入3GPP网络必须与5GC进行双向身份认证,协商会话密钥,确认接入终端是可信任的网络节点,并基于会话密钥建立双向的会话通道以保护数据安全。当前5GC下发的密钥数据必须在用户身份识别模块(subscriber identity module,SIM)卡内存储和运算。然而,大量采用短距通信的行业终端(例如传感器、物联网标签设备等)并不具备部署运营商SIM卡的硬件条件。因此现有的5GC接入认证方式并不适用短距通信的N3G网络的无卡终端的入网注册,影响了行业现场网中无卡终端与运营商蜂窝网络的融合通信,降低了物联网业务的可用性。
发明内容
本发明的目的是提供一种接入认证方法、装置、终端及核心网,用于解决短距通信域的无卡终端不能接入核心网的问题。
为达到上述目的,本发明的实施例提供一种接入认证方法,应用于第一终端,包括:
向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述核心网发送的会话请求消息;
根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
可选地,在向第二终端发送所述第一加密数据之前,所述方法还包括:
接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
可选地,所述会话请求消息包括公共陆地移动网络(Public Land MobileNetwork,PLMN)密钥;
所述根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,包括:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
可选地,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道发送至所述第一终端。
可选地,通过所述信令隧道,接收所述核心网发送的非接入层(Non-accessstratum,NAS)认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息(Network Slice SelectionAssistance Information,NSSAI);
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议(Internet Protocol Security,IPsec)的信令隧道;
基于用户层面的通用无线分组业务(General Packet Radio service,GPRS)隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种接入认证方法,应用于第二终端,包括:
接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述第一终端通过所述信令隧道发送的会话响应消息;
将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述方法还包括:
向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
可选地,所述方法还包括:
在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,所述方法还包括:
在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
可选地,所述对所述第一网络接入标识进行第一处理,获得第三加密数据,包括:
将所述第一网络接入标识映射为用户永久标识符(Subscription PermanentIdentifier,SUPI)信息;
通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符(Subscription Concealed Identifier,SUCI)信息;
通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
可选地,所述方法还包括:
接收所述核心网发送的会话请求消息;
将所述会话请求消息通过所述信令隧道发送至所述第一终端。
可选地,所述方法还包括:
接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
将所述NAS认证请求消息发送至所述第一终端;
接收所述第一终端通过所述信令隧道发送的NAS响应消息;
将所述NAS响应消息发送至所述核心网。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种接入认证方法,应用于核心网,包括:
向第一终端发送会话请求消息;
接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
可选地,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
可选地,所述方法还包括:
接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
所述向第一终端发送会话请求消息,包括:
在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
可选地,所述向第一终端发送会话请求消息,包括:
通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
可选地,所述根据所述会话响应消息对所述第一终端进行注册认证,包括:
根据所述会话响应消息,对所述第一终端进行鉴权认证;
在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种接入认证装置,应用于第一终端,包括:
第一发送模块,用于向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第一接收模块,用于接收所述核心网发送的会话请求消息;
第二发送模块,用于根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
可选地,所述装置还包括:
第五接收模块,用于接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
第一处理模块,用于通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
可选地,所述会话请求消息包括公共陆地移动网络PLMN密钥;
所述第二发送模块具体用于:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
可选地,所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述装置还包括:
第六接收模块,用于通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
第二处理模块,用于对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
第六发送模块,用于通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种接入认证装置,应用于第二终端,包括:
第二接收模块,用于接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
建立模块,用于根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第三接收模块,用于接收所述第一终端通过所述信令隧道发送的会话响应消息;
第三发送模块,用于将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述装置还包括:
第七发送模块,用于向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
可选地,所述装置还包括:
第三处理模块,用于在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
第一获取模块,用于在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
第四处理模块,用于在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
第八发送模块,用于通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,所述装置还包括:
第五处理模块,用于在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
可选地,所述第四处理模块包括:
映射单元,用于将所述第一网络接入标识映射为用户永久标识符SUPI信息;
第一处理单元,用于通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;
第二处理单元,用于通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
可选地,所述装置还包括:
第七接收模块,用于接收所述核心网发送的会话请求消息;
第九发送模块,用于将所述会话请求消息通过所述信令隧道发送至所述第一终端。
可选地,所述装置还包括:
第八接收模块,用于接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
第十发送模块,用于将所述NAS认证请求消息发送至所述第一终端;
第九接收的模块,用于接收所述第一终端通过所述信令隧道发送的NAS响应消息;
第十一发送模块,用于将所述NAS响应消息发送至所述核心网。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种接入认证装置,应用于核心网,包括:
第四发送模块,用于向第一终端发送会话请求消息;
第四接收模块,用于接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
认证模块,用于根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
可选地,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
可选地,所述装置还包括:
第十接收模块,用于接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
所述第四发送模块具体用于:在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
可选地,所述第四发送模块具体用于:通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
可选地,所述认证模块包括:
第一认证单元,用于根据所述会话响应消息,对所述第一终端进行鉴权认证;
第一发送单元,用于在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
第一接收单元,用于接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种终端,所述终端为第一终端,包括:收发器和处理器;
所述收发器用于:向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述核心网发送的会话请求消息;
根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
可选地,所述收发器还用于:
接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述处理器用于:通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
可选地,所述会话请求消息包括公共陆地移动网络PLMN密钥;
所述收发器根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,包括:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
可选地,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道转发至所述第一终端。
可选地,所述收发器还用于:通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
所述处理器用于:对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
所述收发器用于;通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种终端,所述终端为第二终端,包括:收发器和处理器;
所述收发器用于:接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
所述处理器用于:根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
所述收发器还用于:接收所述第一终端通过所述信令隧道发送的会话响应消息;将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述收发器还用于:向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
可选地,所述处理器还用于:在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
所述收发器用于通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,所述处理器还用于:在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
可选地,所述处理器对所述第一网络接入标识进行第一处理,获得第三加密数据,包括:
将所述第一网络接入标识映射为用户永久标识符SUPI信息;
通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;
通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
可选地,所述收发器还用于:
接收所述核心网发送的会话请求消息;
将所述会话请求消息通过所述信令隧道发送至所述第一终端。
可选地,所述收发器还用于:
接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
将所述NAS认证请求消息发送至所述第一终端;
接收所述第一终端通过所述信令隧道发送的NAS响应消息;
将所述NAS响应消息发送至所述核心网。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种核心网,包括处理器和收发器;
所述收发器用于:向第一终端发送会话请求消息;接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
所述处理器用于:根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
可选地,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
可选地,所述收发器还用于:接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
可选地,所述收发器向第一终端发送会话请求消息,包括:
通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
可选地,所述处理器根据所述会话响应消息对所述第一终端进行注册认证,包括:
根据所述会话响应消息,对所述第一终端进行鉴权认证;
在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
所述收发器用于:接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
为达到上述目的,本发明的实施例提供一种电子设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;所述处理器执行所述程序或指令时实现上述的接入认证方法。
为达到上述目的,本发明的实施例提供一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现上述的接入认证方法的步骤。
本发明的上述技术方案的有益效果如下:
本发明的实施例,将短距通信域的第二终端作为代理节点,建立端到端的信令隧道,使所述第一终端完成在所述核心网的注册认证。能够在短距通信与蜂窝网络协同传输的基础上,有效提升短距通信域内的无卡终端和5GC之间的远程交互,满足智能制造、车载、智能家居、智能终端等场景中无卡终端对公网、专网一体化数据传输的需求。
附图说明
图1为本发明实施例的接入认证方法的流程示意图之一;
图2为本发明实施例的终端标识映射示意图;
图3为本发明实施例的短距通信域与5G通信域的融合通信示意图;
图4为本发明实施例的接入认证方法的流程示意图之二;
图5为本发明实施例的信令隧道存储区内的数据处理示意图;
图6为本发明实施例的短距通信域的终端节点通过可信接入网关接入5GC的示意图;
图7为本发明实施例的TNGF架构示意图;
图8为本发明实施例的终端以及核心网的基础服务层示意图之一;
图9为本发明实施例的终端以及核心网的基础服务层示意图之二;
图10为本发明实施例的接入认证方法的流程示意图之三;
图11为本发明实施例的接入认证方法的流程示意图之四;
图12为本发明实施例信令隧道保活周期定时器的调度示意图;
图13为本发明实施例的接入认证方法的流程示意图之五;
图14为本发明实施例的接入认证方法的流程示意图之六;
图15为本发明实施例的接入认证装置的结构示意图之一;
图16为本发明实施例的接入认证装置的结构示意图之二;
图17为本发明实施例的接入认证装置的结构示意图之三;
图18为本发明实施例的终端的结构示意图之一;
图19为本发明实施例的终端的结构示意图之二;
图20为本发明实施例的核心网的结构示意图之一;
图21为本发明实施例的终端的结构示意图之三;
图22为本发明实施例的核心网的结构示意图之二。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
另外,本文中术语“系统”和“网络”在本文中常可互换使用。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
如图1所示,本发明实施例提供一种接入认证方法,应用于第一终端,包括:
步骤11、向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道。
该实施例中,所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端,所述核心网为蜂窝网络核心网,该实施例用于实现短距通信与蜂窝网络融合通信。
其中,所述第一终端为所述短距通信域中的无卡终端,所述第二终端为所述短距通信域中的有卡终端。具体地,所述第一网络接入标识可以包括以下至少一项信息:媒体接入控制标识(Medium Access Control,MAC ID);事件标识(Agent ID)。即无卡终端将MACID、Agent ID等标识的明文数据进行加密处理后获得第一加密数据,将所述第一加密数据发送至所述有卡终端,有卡终端可以基于所述网络接入标识对所述无卡终端进行可信鉴权,并建立信令隧道以实现无卡终端、有卡终端以及核心网之间的通信。
步骤12、接收所述核心网发送的会话请求消息。
所述核心网可以通过所述信令隧道发送所述会话请求消息,也可以通过其他发送方式发送所述会话请求消息。所述会话请求消息例如5G-Start消息,用于通知所述第一终端(即无卡终端)发起可扩展的身份验证协议(Extensible Authentication Protocol,EAP)会话,即EAP-5G会话,开始发送NAS消息。
可选地,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道转发至所述第一终端。即所述核心网将所述会话请求消息发送至所述第二终端,所述第二终端将所述会话请求消息转发给所述第一终端。
步骤13、根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证。
所述第一终端(即所述无卡终端)向所述第二终端(即所述有卡终端)发送用于注册认证的会话响应消息,所述第二终端将所述会话响应消息发送至所述核心网,以使所述核心网根据所述会话响应消息完成对所述第一终端的注册认证。
本申请的实施例,将短距通信域的第二终端作为代理节点,建立端到端的信令隧道,使所述第一终端完成在所述核心网的注册认证。能够在短距通信与蜂窝网络协同传输的基础上,有效提升短距通信域内的无卡终端和5GC之间的远程交互,满足智能制造、车载、智能家居、智能终端等场景中无卡终端对公网、专网一体化数据传输的需求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道,即GTP-U。
可选地,所述信令隧道可以为5G融合专用的传输通道。
其中,所述5G融合专用是指:使不具备5G通信功能的设备(例如:只能近距离、小范围通信的行业现场设备,如短距通信域的设备),通过软件改造的方式与5G核心网建立网络会话,实现融合通信,从而获得高可靠、低时延、精同步的5G融合专用服务,实现本地数据的上云以及网络质量的远程管控等功能。
例如:通信性能优于5G网络的星闪短距无线设备,以协议适配的方式准确描述星闪无线通信系统通信网络和5G蜂窝移动通信网络融合通信需要的兼容性参数,实现星闪无线通信系统和5G蜂窝移动通信系统之间的融合通信。需要说明的是,上述需要与5G蜂窝移动通信网络融合的通信设备对于提供5G网络服务的运营商是安全可靠的。
作为一个可选实施例,在向第二终端发送所述第一加密数据之前,所述方法还包括:接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
该实施例中,以所述第一终端为无卡终端,所述第二终端为有卡终端为例,所述无卡终端可以通过短距通信链路(SparkLink L2)接入到所述有卡终端,采用默认(default)相移键控(Phase-Shift Keying,PSK)进行鉴权,即所述无卡终端与所述有卡终端建立可信N3G方式连接。default PSK可以是预配置在无卡终端中的根密钥。
在所述无卡终端与所述有卡终端之间建立可信连接后,所述有卡终端向所述无卡终端发送第一身份请求消息(例如EAP身份请求消息),在该过程中,所述有卡终端将短距通信密钥通知给所述无卡终端。所述无卡终端接收到所述第一身份请求消息后,根据其中的短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据,从而避免第一网络接入标识的明文发送。
作为一个可选实施例,所述第二终端与所述核心网建立通信连接,实现所述第二终端在所述核心网的可信鉴权,具体地,可以包括:所述第二终端向所述核心网发送EAP请求,所述核心网向所述第二终端发送EAP应答消息,携带PLMN密钥;所述第二终端根据所述PLMN密钥计算认证响应,建立与所述核心网的3GPP可信连接。
可选地,在所述第一终端将所述第一加密数据发送至所述第二终端后,所述第二终端基于所述第一加密数据建立所述信令隧道以及相关的信令隧道存储区域,用于对所述第一网络接入标识的加密、SUPI映射、数据的存储等。
具体地,所述第二终端在所述信令隧道存储区域,采用短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;将所述第一网络接入标识映射到SUPI,并采用PLMN密钥进行加密获得SUCI;通过加密IPSec协议对所述SUCI进行进一步加密处理后发送至所述核心网。
可选地,所述第二终端在接收到所述第一加密数据时启动信令隧道保活周期定时器,在所述信令隧道保活周期定时器指示的保活周期内,进行第一加密数据解密、SUPI映射、SUCI映射等处理,能够降低所述第一终端的终端标识在读取和传输过程存在的明文数据外泄风险。所述第二终端将所述第一终端的第一网络接入标识发送至所述核心网,能够使所述核心网获得所述第一终端的标识信息,从而向所述第一终端发送所述会话请求消息。
作为一个可选实施例,所述会话请求消息包括公共陆地移动网络PLMN密钥;即所述核心网将PLMN密钥发送至所述第一终端,以使所述第一终端利用所述PLMN密钥对第二网络接入标识进行加密处理,具体地,所述步骤13可以包括:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
其中,所述第二网络接入标识可以包括以下至少一项信息:
所述第一终端的终端标识UE ID;
所述第一终端选择的PLMN参数,例如PLMN ID;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
该实施例中,所述第一终端利用所述PLMN密钥对第二网络接入标识进行加密处理,并将加密后获得的第二加密数据发送至所述核心网进行注册认证。所述第二网络接入标识主要包括AN参数(例如:所述第一终端的ID、第一终端选择的PLMN ID、所述第一终端请求的NSSAI、此次会话的建立原因等)。
所述会话响应消息例如:EAP响应/5G-NAS消息,所述会话响应消息中包括所述第二加密数据;所述核心网接收到所述第二加密数据后,根据其中的第二网络接入标识对所述第一终端进行注册认证。
可选地,所述方法还包括:
通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;对所述认证令牌进行认证,并根据所述随机数计算认证响应值;通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
该实施例中,所述核心网根据所述会话响应消息对所述第一终端进行鉴权认证,可以使用PLMN密钥对所述第二加密数据进行解密,获得明文的MAC ID,根据所述MAC ID选择认证方法,并生成认证向量,所述认证向量例如:随机数、认证令牌、期望响应值、加密密钥、完整性密钥等。
所述核心网通过所述第二终端向所述第一终端发送NAS认证请求消息,该NAS认证请求消息包括所述认证向量;所述第一终端根据所述认证向量对计算认证响应,验证认证令牌的新鲜性;若验证成功,则所述第一终端生成认证响应值RES;所述第一终端通过所述第二终端向所述核心网发送NAS响应消息,所述NAS响应消息包括所述认证响应值,以及所述NAS响应消息的消息类型,所述消息类型可以为“安全模式完成”,则所述第一终端和所述核心网之间完成注册认证。
在本申请的实施例中,以所述第一终端为短距通信域的无卡终端、所述第二终端为短距通信域的有卡终端为例,终端标识映射如图2所示,为实现短距通信域中可信的无卡终端接入核心网完成注册管理,将短距通信域的有卡终端作为代理节点,对短距通信域内的无卡终端进行可信鉴权,并建立信令隧道实现无卡终端和5GC的通信。步骤1:短距通信域内的无卡终端基于短距域的加密算法,与短距域内有卡终端建立可信方式的身份鉴权、注册。步骤2:短距通信域的有卡终端与5GC建立可信方式的身份鉴权、注册。其中,对于步骤1,短距通信域内的无卡终端采用有卡终端下发的短距域密钥进行数据加密并建立可信连接,实现密文数据的传输;对于步骤2,有卡终端采用核心网下发PLMN密钥进行身份鉴权,以尽可能减少异构网络N3G终端接入5GC对核心网侧的改造。
基于上述步骤,可以判断短距通信域内的无卡终端对于5GC是可信节点。通过短距通信域的有卡终端作为代理节点,建立端到端的信令隧道,将加密后的无卡终端标识的密文数据传递到5GC,完成短距通信域无卡终端接入核心网的注册流程。
如图3所示,在本申请的实施例中,短距通信域与蜂窝网络融合通信的系统包括短距通信域和5G通信域,短距通信节点可以通过5G可信接入网关接入5GC,核心网网元通过高层协议适配、获取终端节点的状态信息。所述短距通信域的节点包括所述第一终端和所述第二终端,以所述第一终端为无卡终端、所述第二终端为有卡终端为例,在短距通信域内,无卡终端可以通过SparkLink短距通信网络把数据流发送给有卡终端,其中SparkLink引入信道编解码技术Polar和RS,针对随机干扰和突发干扰进行优化,实现复杂电磁环境下的高可靠传输。有卡终端作为一个路由/桥接节点将短距域与5G可信接入网关链接起来。所述核心网网元在注册流程中是归属服务器的相关节点,例如:接入和移动管理功能实体(Accessand Mobility Management Function,AMF)、鉴权服务功能(Authentication ServerFunction,AUSF)、统一数据管理实体(Unified Data Management,UDM)、会话管理功能实体(Session Management Function,SMF)、用户面功能实体(User Plane Function,UPF)。
下面以所述第一终端为短距通信域的无卡终端、所述第二终端为短距通信域的有卡终端为例,说明所述接入认证方法的实现过程。
如图4所示,共包括三个执行步骤:
步骤41:无卡终端与有卡终端基于短距通信密钥实现可信UE身份注册。
具体地,短距通信域内,所述无卡终端与所述有卡终端发起EAP请求以及应答,所述有卡终端将短距通信密钥发送至所述无卡终端;所述无卡终端利用所述短距通信密钥对所述无卡终端的终端明文标识(即所述第一网络接入标识)进行加密;将加密后的网络接入标识上报至所述有卡终端。
所述有卡终端根据所述第一网络接入标识计算认证响应,与所述无卡终端之间建立可信N3G连接。
步骤42:有卡终端与5GC基于5GC密钥(即PLMN密钥)实现可信UE的身份注册。
所述有卡终端与5GC之间发起5G域的EAP请求及应答,并确定PLMN ID。所述5GC向所述有卡终端发送PLMN密钥;所述有卡终端根据所述PLMN密钥计算认证响应,与所述5GC之间建立可信3GPP连接。
步骤43:基于信令隧道实现无卡UE在5GC的注册。
所述无卡终端与核心网之间基于5G域发起会话请求(如:EAP-Request/5G-Start);所述有卡终端在建立的信令隧道安全区域内进行UE网络接入标识(NetworkAccess Identifier,NAI)映射SUPI;无卡终端利用PLMN密钥对终端接入标识(即所述第二网络接入标识)进行加密;所述无卡终端与所述5GC之间基于信令隧道实现所述无卡终端在5GC的注册。
该实施例中,考虑到终端内存储和运算数据存在的安全风险,为了避免在非可信节点进行明文数据的存储和运算,将异构网络标识映射、临时密钥获取请和密钥认证向量应答的数据运算集中在可信接入节点的信令隧道存储区域。可选地,为所述信令隧道设置明文数据的保活周期,可以引导异构网络的路由标识携带适用的短距域密钥、PLMN密钥完成数据标识的映射和加密。
如图5所示,本申请的实施例,在信令隧道存储区内,有卡终端作为可信接入节点,利用短距通信密钥对第一加密数据进行解密,获得明文UE NAI(例如:MAC ID、Agent ID),将UE NAI映射到SUPI,并采用PLMN密钥进行加密获得SUCI,能够在降低无卡终端的标识在读取和传输过程中存在明文数据外泄的风险,保证数据安全可靠传输。
作为一个可选实施例,短距通信域可以通过可信接入网关接入所述核心网,可信接入网关(即受信任的3GPP接入网关功能,即TNGF)架构是一种N3GPP接入5GC网络的可选架构,组成网元及接口,所述短距通信域的第一终端和第二终端通过该可信接入网关接入5GC。以T节点(T-Node)表示所述第一终端,即所述无卡终端;可信G节点(Trust G-Node,即TNAP)表示所述第二终端,即所述有卡终端(代理终端)为例,短距通信域的终端节点通过可信接入网关接入5GC,如图6所示。所述TNGF架构如图7所示,结合TNGF架构,对SparkLink短距通信域、5G通信域的组网节点进行接口的匹配,以尽可能不改变5G核心网侧支持N3G接入的接口及拓扑架构。
如图6和图7所示:
T-Node:即无卡终端。T-Node通过Sparklink L2与Trust G-Node进行通信。可选地,可以在无卡终端、有卡终端、可信接入网关等节点的基础服务层增加IPsec协议、GTP-U、EAP-5G、NAS协议。例如,如图8所示,在无卡终端、有卡终端、可信接入网关的基础服务层增加IPsec、EAP-5G、NAS协议。该实施例中,采用IPsec协议,可以减少对核心网改造的影响;同时,还支持128bit加密密码算法(例如ZUC算法)和128bit加密算法AES-CTR,以支持基于IP流的控制面信令完整性保护,以及敏感信息(如预配置密钥)的安全存储和敏感功能(如数据加解密)的安全执行。可选地,如图9所示,可以在无卡终端、有卡终端、可信接入网关的基础服务层增加GTP-U、EAP-5G、NAS协议,以减少对核心网改造的影响。
Trust G-Node:即有卡终端,也可称为TNAP,所述有卡终端(G节点)作为代理节点,对短距通信域内的无卡终端进行可信鉴权,经非接入层的信令隧道实现无卡终端和5GC的通信。G节点携带5GC分配的PLMN密钥,供5GC网络对UE身份进行鉴别,并对传输数据进行加密。可选地,可以使用椭圆曲线的PKI加密机制,利用PLMN密钥实现SUPI加密为SUCI,保证空口SUPI不被泄露,并保证UE和网络的鉴权的正常进行。
TNFG:可信接入网关,与Trust G-Node共同组成可信接入网。其中,TNAP和TNGF之间通过支持AAA协议的Ta接口进行通信,即EAP消息被封装于AAA包中。
5GC:AMF/UPF/SMF等5GC归属服务器节点。其中,TNGF通过N2接口与AMF通信,即EAP消息被封装于N2 stack包中。
下面以短距通信域基于可信接入网关接入5GC核心网完成无卡终端的注册流程为例,说明本申请实施例的接入认证方法的实现过程。
如图10所示,所述第一终端为T-Node,所述第二终端为Trust G-Node(TNAP),所述可信接入网关为TNGF,所述5GC核心网为AMF。具体地,所述方法包括:
步骤101:T-Node与TNAP基于短距通信密钥实现可信UE的身份注册。在此之前,T-Node与TNAP之间建立层2连接(L2 connection),通过Sparklink、PPP、etc等进行通信。
步骤102:T-Node、TNAP与TNGF之间,基于5GC密钥(即PLMN密钥)实现可信UE的身份注册;
TNGF根据T-Node的网络接入标识选择AMF,与AMF之间通过N2消息进行通信交互;
TNGF与T-Node之间通过EAP消息或者NAS消息进行通信交互,例如:EAP-Req/5G-NAS/NAS-PUD(即SMC);TNGF通过N2消息将SMC发送至AMF。
步骤103:T-Node、TNAP、TNGF以及AMF之间基于信令隧道实现T-Node在5GC的注册;
TNAP向T-Node发送EAP成功的L2消息,即EAP-Success,并可以通知所述T-Node发送本地IP配置消息(Local IP configuration)
对于所述步骤101-步骤103进行进一步说明,如图11所示:
步骤111:所述T-Node通过SparkLink L2接入到TNAP,进行可信鉴权,例如:采用default PSK进行鉴权,即T-Node与TNAP建立可信N3G方式连接。default PSK可以是预配置在T-Node中的根密钥。
步骤112:TNAP向T-Node发送EAP身份请求消息(即所述第一身份请求消息)。所述EAP身份请求消息可以封装在SparkLink链路层数据包中。在此过程中,TNAP将短距域密钥标识通知给所述T-Node。
步骤113:T-Node接收到所述EAP身份请求消息,利用短距通信密钥加密第一网络接入标识(例如UE ID明文标识)。
可选地,T-Node可以基于加密算法AES-CTR将MAC ID、Agent ID等标识的明文数据进行分组并与密钥块进行迭代加密,迭代加密后的密文通过循环移位和置换得到明文加密信息。
步骤114:T-Node向TNAP发送EAP响应消息L2 MSG,以提供加密后的网络接入标识。TNAP接收到T-Node的EAP响应消息L2 MSG后,建立基于IP的扩展链路(即所述信令隧道)以及相关的信令隧道存储区域;其中,信令隧道用于传递加密后的标识信息,信令隧道存储区域用于加密UE NAI和SUPI的映射、数据的存储。
具体地,所述步骤114包括:
1)如图12所示,在TNAP建立的隧道存储区域(系统文件存储的不掉电flash区),采用短距域密钥解密T-Node的第一网络接入标识NAI,并启动信令隧道保活周期定时器。可选地,可以在T-Node的EAP响应消息数据帧有效数据位尾部增加明文校验位(全0字段的标识位),TNAP通过短距域密钥对该EAP响应消息L2 MSG解密,该标识位的变化用于检验T节点的网络接入标识密文数据已经过计算认证为明文数据,触发保活周期定时器开始记时。
2)TNAP将T-Node的第一网络接入标识明文数据映射到SUPI,并采用PLMN密钥进行加密,生成SUCI。
3)TNAP向可信接入网关(即TNFG)发送EAP请求消息(如EAP-5G MSG),携带T-Node对应的SUCI密文数据,信令数据通过加密IPSec协议报头对承载传输的SUCI做进一步保护。可选地,调度定时器,计时结束。
4)保活周期结束,清除TNAP的信令隧道中缓存的明文数据。
步骤115:TNAP收到的发送的EAP响应消息后,启动信令隧道保活周期定时器T0。TNAP在信令隧道存储区域,基于IP的扩展链路实现加密UE NAI和SUPI的映射。并在信令隧道的保活周期内向TNFG发送EAP请求。在TNAP与TNFG之间的传输链路中,EAP消息可以被封装于AAA数据包中。
可选地,所述TNAP与TNFG之间需要建立通信连接,例如:TNAP向TNFG发送EAP身份请求消息;TNFG向所述TNAP反馈EAP响应消息。
步骤116:TNFG向T-Node发送会话请求消息(例如EAP请求消息/5G-Start消息),通知T-Node发起EAP-5G会话,即开始发送NAS消息(NAS消息可以封装于EAP-5G包中)。
步骤117:T-Node接收到TNFG下发的会话请求消息,采用PLMN密钥加密第二网络接入标识。所述第二网络接入标识可以包括AN参数,所述AN参数包括以下至少一项:T-Node标识、T-Node选择的PLMN ID、T-Node请求的NSSAI、会话建立原因以及NAS PDU(注册请求)。其中,T-Node标识可以采用Sparklink链路层专用地址MAC ID进行源地址标识。
步骤118:T-Node向TNFG发送会话响应消息(例如EAP响应/5G-NAS消息)。其中,T-Node接收到会话请求消息后,采用PLMN加密的网络接入标识上报给TNAP,消息可以被封装于EAP数据包中,TNAP将所述会话响应消息发送至所述TNFG。
步骤119:TNFG根据AN参数选择AMF,并通过N2消息将无卡终端的注册请求发送给AMF。
步骤120:AMF计算认证响应,对无卡终端的注册消息进行鉴权认证。UDM使用PLMN密钥解密获得无卡终端的明文MAC ID,UDM根据明文MAC ID选择认证方法,并生成认证向量(可以包括:随机数RAND,、认证令牌AUTN、期望响应值XRES、加密密钥CK’、完整性密钥IK’等)。
步骤121:AMF通过NAS层向无卡终端发送NAS认证请求消息,其中可以携带随机数RAND和认证令牌AUTN。
步骤122:无卡终端计算认证响应,验证认证令牌AUTN的新鲜性,若验证成功,则所述无卡终端生成响应值RES。
步骤123:无卡终端通过NAS层向AMF发送NAS响应消息,可以携带响应值RES,还可以包括NAS响应消息的消息类型,所述消息类型可以设置为“安全模式完成”。
本申请的实施例,针对短距域的无卡终端不能直接向5GC发起网络注册的问题,本申请在短距通信域的终端的基础服务层引入GTP-U、NAS、EAP-5G和可扩展的身份验证协议,构建端到端的身份验证EAP/5G-NAS信令隧道,实现短距域的无卡终端向5GC发起会话消息;
本申请以短距通信域的有卡终端为可信接入节点,在信令隧道保活周期内实现短距通信域和5G通信域的终端标识、密钥数据的映射以及传输,能够降低无卡终端的终端标识在读取和传输过程的外泄风险;
本申请的实施例中,短距通信域的终端通过可信接入网关接入核心网,可以尽可能降低对核心网侧的改造;
本申请针对现有的5GC接入认证方式不适用行业现场网无卡终端的缺点,通过构建IP安全隧道认证方式进行N3G节点与5GC的交互,实现核心网对无卡终端的身份标识认证、入网注册流程,解决了现有技术中蜂窝网络内部节点与异构网络的N3G节点逻辑关系的割裂问题,大大提高物联网业务的可用性。
如图13所示,本发明实施例还提供一种接入认证方法,应用于第二终端,包括:
步骤131、接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识。
该实施例中,所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端,所述核心网为蜂窝网络核心网,该实施例用于实现短距通信与蜂窝网络融合通信。
其中,所述第一终端为所述短距通信域中的无卡终端,所述第二终端为所述短距通信域中的有卡终端。具体地,所述第一网络接入标识可以包括以下至少一项信息:媒体接入控制标识(Medium Access Control,MAC ID);事件标识(Agent ID)。所述无卡终端将MACID、Agent ID等标识的明文数据进行加密处理后获得第一加密数据,并将所述第一加密数据发送至所述有卡终端。
步骤132、根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道。
所述有卡终端可以基于所述无卡终端的第一网络接入标识对所述无卡终端进行可信鉴权,并建立信令隧道以实现无卡终端、有卡终端以及核心网之间的通信。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
其中,所述信令隧道可以为5G融合专用的传输通道。
其中,所述5G融合专用是指:使不具备5G通信功能的设备(例如:只能近距离、小范围通信的行业现场设备,如短距通信域的设备),通过软件改造的方式与5G核心网建立网络会话,实现融合通信,从而获得高可靠、低时延、精同步的5G融合专用服务,实现本地数据的上云以及网络质量的远程管控等功能。
步骤133、接收所述第一终端通过所述信令隧道发送的会话响应消息。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数,例如PLMN ID;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
该实施例中,所述第一终端利用所述PLMN密钥对第二网络接入标识进行加密处理,并将加密后获得的第二加密数据通过所述第二终端发送至所述核心网进行注册认证。所述第二网络接入标识主要包括AN参数(例如:所述第一终端的ID、第一终端选择的PLMNID、所述第一终端请求的NSSAI、此次会话的建立原因等)。
步骤134、将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述方法还包括:接收所述核心网发送的会话请求消息;将所述会话请求消息通过所述信令隧道发送至所述第一终端。
该实施例中,在所述第二终端建立所述第一终端、所述第二终端以及核心网之间的信令隧道后,所述核心网可以向所述第一终端发送会话请求消息,所述会话请求消息例如5G-Start消息,用于通知所述第一终端发起EAP-5G会话,即开始发送NAS消息。
可选地,所述核心网可以通过所述信令隧道发送所述会话请求消息,也可以通过其他发送方式发送所述会话请求消息。所述会话请求消息可以由所述核心网发送至所述第二终端;所述第二终端将所述会话请求消息转发至所述第一终端。所述第一终端根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,所述会话响应消息用于对所述第一终端进行注册认证。
本申请的实施例,将短距通信域的第二终端作为代理节点,建立端到端的信令隧道,使所述第一终端完成在所述核心网的注册认证。能够在短距通信与蜂窝网络协同传输的基础上,有效提升短距通信域内的无卡终端和5GC之间的远程交互,满足智能制造、车载、智能家居、智能终端等场景中无卡终端对公网、专网一体化数据传输的需求。
作为一个可选实施例,所述方法还包括:向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
该实施例中,以所述第一终端为无卡终端,所述第二终端为有卡终端为例,所述无卡终端可以通过短距通信链路接入到所述有卡终端,采用默认default PSK进行鉴权,即所述无卡终端与所述有卡终端建立可信N3G方式连接。default PSK可以是预配置在无卡终端中的根密钥。
在所述无卡终端与所述有卡终端之间建立可信连接后,所述有卡终端向所述无卡终端发送第一身份请求消息(例如EAP身份请求消息),在该过程中,所述有卡终端将短距通信密钥通知给所述无卡终端。所述无卡终端接收到所述第一身份请求消息后,根据其中的短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据,从而避免第一网络接入标识的明文发送。
作为一个可选实施例,所述第二终端与所述核心网建立通信连接,实现所述第二终端在所述核心网的可信鉴权,具体地,可以包括:所述第二终端向所述核心网发送EAP请求,所述核心网向所述第二终端发送EAP应答消息,携带PLMN密钥;所述第二终端根据所述PLMN密钥计算认证响应,建立与所述核心网的3GPP可信连接。
作为一个可选实施例,所述方法还包括:
在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
具体地,所述对所述第一网络接入标识进行第一处理,获得第三加密数据,可以包括:
将所述第一网络接入标识映射为用户永久标识符SUPI信息;通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
该实施例中,如图5所示,所述第二终端在所述信令隧道存储区域,采用短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;将所述第一网络接入标识映射到SUPI,并采用PLMN密钥进行加密获得SUCI;通过加密IPSec协议对所述SUCI进行进一步加密处理后发送至所述核心网。
所述第二终端可以在接收到所述第一加密数据时启动信令隧道保活周期定时器,在所述信令隧道保活周期定时器指示的保活周期内,进行第一加密数据解密、SUPI映射、SUCI映射等处理,能够降低所述第一终端的终端标识在读取和传输过程存在的明文数据外泄风险,保证数据安全可靠传输。所述第二终端将所述第一终端的第一网络接入标识发送至所述核心网,能够使所述核心网获得所述第一终端的标识信息,从而向所述第一终端发送所述会话请求消息。
作为一个可选实施例,所述方法还包括:
接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;将所述NAS认证请求消息发送至所述第一终端;接收所述第一终端通过所述信令隧道发送的NAS响应消息;将所述NAS响应消息发送至所述核心网。
该实施例中,所述核心网根据所述会话响应消息对所述第一终端进行鉴权认证,可以使用PLMN密钥对所述第二加密数据进行解密,获得明文的MAC ID,根据所述MAC ID选择认证方法,并生成认证向量,所述认证向量例如:随机数、认证令牌、期望响应值、加密密钥、完整性密钥等。
所述核心网通过所述第二终端向所述第一终端发送NAS认证请求消息,该NAS认证请求消息包括所述认证向量;所述第一终端根据所述认证向量对计算认证响应,验证认证令牌的新鲜性;若验证成功,则所述第一终端生成认证响应值RES;所述第一终端通过所述第二终端向所述核心网发送NAS响应消息,所述NAS响应消息包括所述认证响应值,以及所述NAS响应消息的消息类型,所述消息类型可以为“安全模式完成”,则所述第一终端和所述核心网之间完成注册认证。
在本申请的实施例中,以所述第一终端为短距通信域的无卡终端、所述第二终端为短距通信域的有卡终端为例,如图2所示,为实现短距通信域中可信的无卡终端接入核心网完成注册管理,将短距通信域的有卡终端作为代理节点,对短距通信域内的无卡终端进行可信鉴权,并建立信令隧道实现无卡终端和5GC的通信。步骤1:短距通信域内的无卡终端基于短距域的加密算法,与短距域内有卡终端建立可信方式的身份鉴权、注册。步骤2:短距通信域的有卡终端与5GC建立可信方式的身份鉴权、注册。其中,对于步骤1,短距通信域内的无卡终端采用有卡终端下发的短距域密钥进行数据加密并建立可信连接,实现密文数据的传输;对于步骤2,有卡终端采用核心网下发PLMN密钥进行身份鉴权,以尽可能减少异构网络N3G终端接入5GC对核心网侧的改造。
基于上述步骤,可以判断短距通信域内的无卡终端对于5GC是可信节点。通过短距通信域的有卡终端作为代理节点,建立端到端的信令隧道,将加密后的无卡终端标识的密文数据传递到5GC,完成短距通信域无卡终端接入核心网的注册流程。
如图3所示,在本申请的实施例中,短距通信域与蜂窝网络融合通信的系统包括短距通信域和5G通信域,短距通信节点可以通过5G可信接入网关接入5GC,核心网网元通过高层协议适配、获取终端节点的状态信息。所述短距通信域的节点包括所述第一终端和所述第二终端,以所述第一终端为无卡终端、所述第二终端为有卡终端为例,在短距通信域内,无卡终端可以通过SparkLink短距通信网络把数据流发送给有卡终端,其中SparkLink引入信道编解码技术Polar和RS,针对随机干扰和突发干扰进行优化,实现复杂电磁环境下的高可靠传输。有卡终端作为一个路由/桥接节点将短距域与5G可信接入网关链接起来。所述核心网网元在注册流程中是归属服务器的相关节点,例如:AMF、AUSF、UDM、SMF、UPF。
所述可信接入网关(TNGF)架构是一种N3GPP接入5GC网络的可选架构,组成网元及接口,所述短距通信域的第一终端和第二终端通过该可信接入网关接入5GC。以T节点表示所述第一终端,即所述无卡终端;可信G节点(TNAP)表示所述第二终端,即所述有卡终端(代理终端)为例,短距通信域的终端节点通过可信接入网关接入5GC,如图6所示。所述TNGF架构如图7所示,在此不做赘述。
如图6和图7所示:
T-Node:即无卡终端。T-Node通过Sparklink L2与Trust G-Node进行通信。可选地,可以在无卡终端、有卡终端、可信接入网关等节点的基础服务层增加IPsec、GTP-U、EAP-5G、NAS等协议。例如,如图8所示,在无卡终端、有卡终端、可信接入网关的基础服务层增加IPsec、EAP-5G、NAS协议,在该实施例中,可以采用IPsec协议,可以减少对核心网改造的影响;同时,还支持128bit加密密码算法ZUC和128bit加密算法AES-CTR,以支持基于IP流的控制面信令完整性保护,以及敏感信息(如预配置密钥)的安全存储和敏感功能(如数据加解密)的安全执行。可选地,如图9所示,可以在无卡终端、有卡终端、可信接入网关的基础服务层增加GTU-P、EAP-5G、NAS协议,以减少对核心网改造的影响。
Trust G-Node:即有卡终端,也可称为TNAP,所述有卡终端(G节点)作为代理节点,对短距通信域内的无卡终端进行可信鉴权,经非接入层的信令隧道实现无卡终端和5GC的通信。G节点携带5GC分配的PLMN密钥,供5GC网络对UE身份进行鉴别,并对传输数据进行加密。可选地,可以使用椭圆曲线的PKI加密机制,利用PLMN密钥实现SUPI加密为SUCI,保证空口SUPI不被泄露,并保证UE和网络的鉴权的正常进行。
TNFG:可信接入网关,与Trust G-Node共同组成可信接入网。其中,TNAP和TNGF之间通过支持AAA协议的Ta接口进行通信,即EAP消息被封装于AAA包中。
5GC:AMF/UPF/SMF等5GC归属服务器节点。其中,TNGF通过N2接口与AMF通信,即EAP消息被封装于N2 stack包中。
本申请针对现有的5GC接入认证方式不适用行业现场网无卡终端的缺点,通过构建IP安全隧道认证方式进行N3G节点与5GC的交互,实现核心网对无卡终端的身份标识认证、入网注册流程,解决了现有技术中蜂窝网络内部节点与异构网络的N3G节点逻辑关系的割裂问题,大大提高物联网业务的可用性。
在此需要说明的是,本发明实施例提供的上述应用于第二终端的接入认证方法,能够实现上述应用于第一终端的接入认证方法实施例中第二终端实现的所有步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图14所示,本发明实施例还提供一种接入认证方法,应用于核心网,包括:
步骤141、向第一终端发送会话请求消息。
该实施例中,所述核心网可以为蜂窝网络核心网,该实施例用于实现短距通信与蜂窝网络融合通信。所述第一终端可以为所述短距通信域中的无卡终端,
可选地,所述向第一终端发送会话请求消息,包括:通过信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
所述核心网可以通过第二终端建立的信令隧道发送所述会话请求消息,也可以通过其他发送方式发送所述会话请求消息。所述会话请求消息例如5G-Start消息,用于通知所述第一终端发起EAP-5G会话,即开始发送NAS消息。
步骤142、接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
步骤143、根据所述会话响应消息对所述第一终端进行注册认证。
所述第一终端(即所述无卡终端)向所述第二终端(即所述有卡终端)发送用于注册认证的会话响应消息,所述第二终端将所述会话响应消息发送至所述核心网;所述核心网根据所述会话响应消息完成对所述第一终端的注册认证。
本申请的实施例,将短距通信域的第二终端作为代理节点,建立端到端的信令隧道,使所述第一终端完成在所述核心网的注册认证。能够在短距通信与蜂窝网络协同传输的基础上,有效提升短距通信域内的无卡终端和5GC之间的远程交互,满足智能制造、车载、智能家居、智能终端等场景中无卡终端对公网、专网一体化数据传输的需求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道,即GTP-U。
其中,所述信令隧道可以为5G融合专用的传输通道。
其中,所述5G融合专用是指:使不具备5G通信功能的设备(例如:只能近距离、小范围通信的行业现场设备,如短距通信域的设备),通过软件改造的方式与5G核心网建立网络会话,实现融合通信,从而获得高可靠、低时延、精同步的5G融合专用服务,实现本地数据的上云以及网络质量的远程管控等功能。
作为一个可选实施例,所述会话请求消息包括PLMN密钥;所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
该实施例中,所述核心网将PLMN密钥发送至所述第一终端,所述第一终端利用所述PLMN密钥对第二网络接入标识进行加密处理;所述第一终端通过所述信令隧道将包括第二加密数据的会话响应消息发送至第二终端,由所述第二终端将所述会话响应消发送至所述核心网。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数,例如PLMN ID;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
该实施例中,所述第一终端利用所述PLMN密钥对第二网络接入标识进行加密处理,并将加密后获得的第二加密数据发送至所述核心网进行注册认证。所述第二网络接入标识主要包括AN参数(例如:所述第一终端的ID、第一终端选择的PLMN ID、所述第一终端请求的NSSAI、此次会话的建立原因等)。
所述会话响应消息例如:EAP响应/5G-NAS消息,所述会话响应消息中包括所述第二加密数据;所述核心网接收到所述第二加密数据后,根据其中的第二网络接入标识对所述第一终端进行注册认证。
作为一个可选实施例,所述方法还包括:
接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
所述向第一终端发送会话请求消息,包括:在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
该实施例中,所述第二终端向所述第一终端发送短距通信密钥;所述第一终端根据所述短距通信密钥对第一网络接入标识进行加密,获得第一加密数据;所述第一终端将所述第一加密数据发送至所述第二终端;所述第二终端基于所述第一加密数据建立所述信令隧道以及相关的信令隧道存储区域。在所述信令隧道存储区域,所述第二终端采用短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;将所述第一网络接入标识映射到SUPI,并采用PLMN密钥进行加密获得SUCI;通过加密IPSec协议对所述SUCI进行进一步加密处理后获得所述第三加密数据,所述第二终端将所述第三加密数据发送至所述核心网。所述核心网基于所述第三加密数据,获得第一终端的相关标识信息,从而向所述第一终端发送所述会话请求消息。
作为一个可选实施例,所述根据所述会话响应消息对所述第一终端进行注册认证,包括:
根据所述会话响应消息,对所述第一终端进行鉴权认证;在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
该实施例中,所述核心网根据所述会话响应消息对所述第一终端进行鉴权认证,可以使用PLMN密钥对所述第二加密数据进行解密,获得明文的MAC ID,根据所述MAC ID选择认证方法,并生成认证向量,所述认证向量例如:随机数、认证令牌、期望响应值、加密密钥、完整性密钥等。
所述核心网通过所述第二终端向所述第一终端发送NAS认证请求消息,该NAS认证请求消息包括所述认证向量;所述第一终端根据所述认证向量对计算认证响应,验证认证令牌的新鲜性;若验证成功,则所述第一终端生成认证响应值RES;所述第一终端通过所述第二终端向所述核心网发送NAS响应消息,所述NAS响应消息包括所述认证响应值,以及所述NAS响应消息的消息类型,所述消息类型可以为“安全模式完成”,则所述第一终端和所述核心网之间完成注册认证。
在本申请的实施例中,以所述第一终端为短距通信域的无卡终端、所述第二终端为短距通信域的有卡终端为例,如图2所示,为实现短距通信域中可信的无卡终端接入核心网完成注册管理,将短距通信域的有卡终端作为代理节点,对短距通信域内的无卡终端进行可信鉴权,并建立信令隧道实现无卡终端和5GC的通信。步骤1:短距通信域内的无卡终端基于短距域的加密算法,与短距域内有卡终端建立可信方式的身份鉴权、注册。步骤2:短距通信域的有卡终端与5GC建立可信方式的身份鉴权、注册。其中,对于步骤1,短距通信域内的无卡终端采用有卡终端下发的短距域密钥进行数据加密并建立可信连接,实现密文数据的传输;对于步骤2,有卡终端采用核心网下发PLMN密钥进行身份鉴权,以尽可能减少异构网络N3G终端接入5GC对核心网侧的改造。
基于上述步骤,可以判断短距通信域内的无卡终端对于5GC是可信节点。通过短距通信域的有卡终端作为代理节点,建立端到端的信令隧道,将加密后的无卡终端标识的密文数据传递到5GC,完成短距通信域无卡终端接入核心网的注册流程。
如图3所示,在本申请的实施例中,短距通信域与蜂窝网络融合通信的系统包括短距通信域和5G通信域,短距通信节点可以通过5G可信接入网关接入5GC,核心网网元通过高层协议适配、获取终端节点的状态信息。所述短距通信域的节点包括所述第一终端和所述第二终端,以所述第一终端为无卡终端、所述第二终端为有卡终端为例,在短距通信域内,无卡终端可以通过SparkLink短距通信网络把数据流发送给有卡终端,其中SparkLink引入信道编解码技术Polar和RS,针对随机干扰和突发干扰进行优化,实现复杂电磁环境下的高可靠传输。有卡终端作为一个路由/桥接节点将短距域与5G可信接入网关链接起来。所述核心网网元在注册流程中是归属服务器的相关节点,例如:AMF、AUSF、UDM、SMF、UPF。
在此需要说明的是,本发明实施例提供的上述应用于核心网的接入认证方法,能够实现上述应用于第一终端以及第二终端的接入认证方法实施例中核心网实现的所有步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图15所示,本发明的实施例提供一种接入认证装置1500,应用于第一终端,包括:
第一发送模块1510,用于向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第一接收模块1520,用于接收所述核心网发送的会话请求消息;
第二发送模块1530,用于根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
可选地,所述装置还包括:
第五接收模块,用于接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
第一处理模块,用于通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
可选地,所述会话请求消息包括公共陆地移动网络PLMN密钥;
所述第二发送模块具体用于:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
可选地,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道转发至所述第一终端。
可选地,所述装置还包括:
第六接收模块,用于通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
第二处理模块,用于对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
第六发送模块,用于通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述接入认证装置,能够实现上述应用于第一终端的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图16所示,本发明的实施例提供一种接入认证装置1600,应用于第二终端,包括:
第二接收模块1610,用于接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
建立模块1620,用于根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第三接收模块1630,用于接收所述第一终端通过所述信令隧道发送的会话响应消息;
第三发送模块1640,用于将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述装置还包括:
第七发送模块,用于向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
可选地,所述装置还包括:
第三处理模块,用于在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
第一获取模块,用于在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
第四处理模块,用于在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
第八发送模块,用于通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,所述装置还包括:
第五处理模块,用于在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
可选地,所述第四处理模块包括:
映射单元,用于将所述第一网络接入标识映射为用户永久标识符SUPI信息;
第一处理单元,用于通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;
第二处理单元,用于通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
可选地,所述装置还包括:
第七接收模块,用于接收所述核心网发送的会话请求消息;
第九发送模块,用于将所述会话请求消息通过所述信令隧道发送至所述第一终端。
可选地,所述装置还包括:
第八接收模块,用于接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
第十发送模块,用于将所述NAS认证请求消息发送至所述第一终端;
第九接收的模块,用于接收所述第一终端通过所述信令隧道发送的NAS响应消息;
第十一发送模块,用于将所述NAS响应消息发送至所述核心网。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述接入认证装置,能够实现上述应用于第二终端的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图17所示,本发明的实施例提供一种接入认证装置1700,应用于核心网,包括:
第四发送模块1710,用于向第一终端发送会话请求消息;
第四接收模块1720,用于接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
认证模块1730,用于根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
可选地,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
可选地,所述装置还包括:
第十接收模块,用于接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
所述第四发送模块具体用于:在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
可选地,所述第四发送模块具体用于:通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
可选地,所述认证模块包括:
第一认证单元,用于根据所述会话响应消息,对所述第一终端进行鉴权认证;
第一发送单元,用于在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
第一接收单元,用于接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述接入认证装置,能够实现上述应用于核心网的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图18所示,本发明的实施例提供一种终端,所述终端为第一终端1800,包括:收发器1820和处理器1810;
所述收发器1820用于:向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述核心网发送的会话请求消息;
根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
可选地,所述收发器1820还用于:
接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述处理器1810用于:通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
可选地,所述会话请求消息包括公共陆地移动网络PLMN密钥;
所述收发器1820根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,包括:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
可选地,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道转发至所述第一终端。
可选地,所述收发器1820还用于:通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
所述处理器1810用于:对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
所述收发器用于;通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述终端,能够实现上述应用于第一终端的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图19所示,本发明的实施例提供一种终端,所述终端为第二终端1900,包括:收发器1920和处理器1910;
所述收发器1920用于:接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
所述处理器1910用于:根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
所述收发器1920还用于:接收所述第一终端通过所述信令隧道发送的会话响应消息;将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
可选地,所述收发器1920还用于:向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
可选地,所述处理器1910还用于:在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
所述收发器1920用于通过所述信令隧道将所述第三加密数据发送至所述核心网。
可选地,所述处理器1910还用于:在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
可选地,所述处理器1910对所述第一网络接入标识进行第一处理,获得第三加密数据,包括:
将所述第一网络接入标识映射为用户永久标识符SUPI信息;
通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;
通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
可选地,所述收发器还用于:
接收所述核心网发送的会话请求消息;
将所述会话请求消息通过所述信令隧道发送至所述第一终端。
可选地,所述收发器1920还用于:
接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
将所述NAS认证请求消息发送至所述第一终端;
接收所述第一终端通过所述信令隧道发送的NAS响应消息;
将所述NAS响应消息发送至所述核心网。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述终端,能够实现上述应用于第二终端的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图20所示,本发明的实施例提供一种核心网2000,包括:收发器2020和处理器2010;
所述收发器2020用于:向第一终端发送会话请求消息;接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
所述处理器2010用于:根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
可选地,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
可选地,所述收发器2020还用于:接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
可选地,所述收发器2020向第一终端发送会话请求消息,包括:
通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
可选地,所述处理器2010根据所述会话响应消息对所述第一终端进行注册认证,包括:
根据所述会话响应消息,对所述第一终端进行鉴权认证;
在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
所述收发器用于:接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
可选地,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
可选地,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
可选地,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
可选地,所述信令隧道为5G融合专用的传输通道。
在此需要说明的是,本发明实施例提供的上述核心网,能够实现上述应用于核心网的接入认证方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本发明另一实施例提供一种终端,所述终端为第一终端或者第二终端,如图21所示,包括收发器2110、处理器2100、存储器2120及存储在所述存储器2120上并可在所述处理器2100上运行的程序或指令;所述处理器2100执行所述程序或指令时实现上述应用于第一终端的接入认证方法,或者实现上述应用于第二终端的接入认证方法。
所述收发器2110,用于在处理器2100的控制下接收和发送数据。
其中,在图21中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2100代表的一个或多个处理器和存储器2120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器2110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口2130还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器2100负责管理总线架构和通常的处理,存储器2120可以存储处理器2100在执行操作时所使用的数据。
本发明另一实施例提供的核心网,包括收发器2210、处理器2200、存储器2220及存储在所述存储器2220上并可在所述处理器2200上运行的程序或指令;所述处理器2200执行所述程序或指令时实现上述应用于核心网的接入认证方法。
所述收发器2210,用于在处理器2200的控制下接收和发送数据。
其中,在图22中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器2200代表的一个或多个处理器和存储器2220代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发器2210可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器2200负责管理总线架构和通常的处理,存储器2220可以存储处理器2200在执行操作时所使用的数据。
本发明实施例的一种可读存储介质,其上存储有程序或指令,所述程序或指令被处理器执行时实现如上所述的接入认证方法中的步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的终端或者核心网中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
进一步需要说明的是,此说明书中所描述的终端包括但不限于智能手机、平板电脑等,且所描述的许多功能部件都被称为模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
上述范例性实施例是参考该些附图来描述的,许多不同的形式和实施例是可行而不偏离本发明精神及教示,因此,本发明不应被建构成为在此所提出范例性实施例的限制。更确切地说,这些范例性实施例被提供以使得本发明会是完善又完整,且会将本发明范围传达给那些熟知此项技术的人士。在该些图式中,组件尺寸及相对尺寸也许基于清晰起见而被夸大。在此所使用的术语只是基于描述特定范例性实施例目的,并无意成为限制用。如在此所使用地,除非该内文清楚地另有所指,否则该单数形式“一”、“一个”和“该”是意欲将该些多个形式也纳入。会进一步了解到该些术语“包含”及/或“包括”在使用于本说明书时,表示所述特征、整数、步骤、操作、构件及/或组件的存在,但不排除一或更多其它特征、整数、步骤、操作、构件、组件及/或其族群的存在或增加。除非另有所示,陈述时,一值范围包含该范围的上下限及其间的任何子范围。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (37)
1.一种接入认证方法,应用于第一终端,其特征在于,包括:
向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述核心网发送的会话请求消息;
根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
2.根据权利要求1所述的方法,其特征在于,在向第二终端发送所述第一加密数据之前,所述方法还包括:
接收所述第二终端发送的第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
通过所述短距通信密钥对所述第一网络接入标识进行加密处理,获得所述第一加密数据。
3.根据权利要求1所述的方法,其特征在于,所述会话请求消息包括公共陆地移动网络PLMN密钥;
所述根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,包括:
通过所述PLMN密钥对所述第一终端的第二网络接入标识进行加密处理,获得第二加密数据;
通过所述信令隧道向所述第二终端发送所述会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网,所述会话响应消息包括所述第二加密数据。
4.根据权利要求1所述的方法,其特征在于,所述会话请求消息由所述核心网发送至所述第二终端,并由所述第二终端通过所述信令隧道转发至所述第一终端。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过所述信令隧道,接收所述核心网发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
对所述认证令牌进行认证,并根据所述随机数计算认证响应值;
通过所述信令隧道,向所述第二终端发送NAS响应消息,以使所述第二终端将所述NAS响应消息发送至所述核心网;
其中,所述NAS响应消息包括所述认证响应值以及所述NAS响应消息的消息类型;
所述NAS认证请求消息由所述核心网发送至所述第二终端,并由所述第二终端转发至所述第一终端。
6.根据权利要求1所述的方法,其特征在于,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
7.根据权利要求3所述的方法,其特征在于,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
8.根据权利要求1所述的方法,其特征在于,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述信令隧道为5G融合专用的传输通道。
10.一种接入认证方法,应用于第二终端,其特征在于,包括:
接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述第一终端通过所述信令隧道发送的会话响应消息;
将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
向所述第一终端发送第一身份请求消息,所述第一身份请求消息包括短距通信密钥;
所述第一加密数据为所述第一终端通过所述短距通信密钥对所述第一网络接入标识进行加密获得的。
12.根据权利要求10所述的方法,其特征在于,所述方法还包括:
在接收到所述第一加密数据的情况下,建立信令隧道存储区域,并启动信令隧道保活周期定时器;
在所述隧道存储区域,通过短距通信密钥对所述第一加密数据进行解密,获得所述第一网络接入标识;
在所述信令隧道保活周期定时器指示的保活周期内,对所述第一网络接入标识进行第一处理,获得第三加密数据;
通过所述信令隧道将所述第三加密数据发送至所述核心网。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
在将所述第三加密数据发送至所述核心网后,停止所述信令隧道保活周期定时器的计时,并清除所述隧道存储区域中缓存的所述第一网络接入标识的明文数据。
14.根据权利要求12所述的方法,其特征在于,所述对所述第一网络接入标识进行第一处理,获得第三加密数据,包括:
将所述第一网络接入标识映射为用户永久标识符SUPI信息;
通过PLMN密钥对所述SUPI信息进行加密处理,生成用户隐藏标识符SUCI信息;
通过IP安全通信协议IPsec协议报头对所述SUCI信息进行加密处理,获得所述第三加密数据。
15.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收所述核心网发送的会话请求消息;
将所述会话请求消息通过所述信令隧道发送至所述第一终端。
16.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收所述核心网通过所述信令隧道发送的NAS认证请求消息,所述NAS认证请求消息包括随机数和认证令牌;
将所述NAS认证请求消息发送至所述第一终端;
接收所述第一终端通过所述信令隧道发送的NAS响应消息;
将所述NAS响应消息发送至所述核心网。
17.根据权利要求10所述的方法,其特征在于,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
18.根据权利要求10所述的方法,其特征在于,所述会话响应消息包括所述第一终端的第二网络接入标识;
所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的NSSAI;
会话建立原因;
注册请求。
19.根据权利要求10所述的方法,其特征在于,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
20.根据权利要求10-19任一项所述的方法,其特征在于,所述信令隧道为5G融合专用的传输通道。
21.一种接入认证方法,应用于核心网,其特征在于,包括:
向第一终端发送会话请求消息;
接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
22.根据权利要求21所述的方法,其特征在于,所述会话请求消息包括PLMN密钥;
所述会话响应消息包括第二加密数据,所述第二加密数据为所述第一终端通过PLMN密钥对第二网络接入标识进行加密处理获得的。
23.根据权利要求21所述的方法,其特征在于,所述方法还包括:
接收所述第二终端发送的第三加密数据,所述第三加密数据为所述第二终端对所述第一终端的第一网络接入标识进行第一处理获得的;
所述向第一终端发送会话请求消息,包括:
在通过PLMN密钥对所述第三加密数据进行解密,获得所述第一网络接入标识的情况下,通过所述信令隧道向所述第一终端发送会话请求消息。
24.根据权利要求21或23所述的方法,其特征在于,所述向第一终端发送会话请求消息,包括:
通过所述信令隧道向所述第二终端发送所述会话请求消息,以使所述第二终端将所述会话请求消息转发至所述第一终端。
25.根据权利要求21所述的方法,其特征在于,所述根据所述会话响应消息对所述第一终端进行注册认证,包括:
根据所述会话响应消息,对所述第一终端进行鉴权认证;
在鉴权认证成功的情况下,通过所述信令隧道向所述第二终端发送NAS认证请求消息,以使所述第二终端将所述NAS认证请求消息转发至所述第一终端;
接收所述第二终端通过所述信令隧道发送的NAS响应消息,所述NAS响应消息包括认证响应值以及所述NAS响应消息的消息类型;
其中,所述NAS响应消息由所述第一终端通过所述信令隧道发送至所述第二终端。
26.根据权利要求23所述的方法,其特征在于,所述第一网络接入标识包括以下至少一项信息:
媒体接入控制标识;
事件标识。
27.根据权利要求22所述的方法,其特征在于,所述第二网络接入标识包括以下至少一项信息:
所述第一终端的终端标识;
所述第一终端选择的PLMN参数;
所述第一终端请求的网络切片选择辅助信息NSSAI;
会话建立原因;
注册请求。
28.根据权利要求21所述的方法,其特征在于,所述信令隧道包括以下其中一项:
基于IP安全通信协议IPsec的信令隧道;
基于用户层面的通用无线分组业务GPRS隧道协议的信令隧道。
29.根据权利要求21-28任一项所述的方法,其特征在于,所述信令隧道为5G融合专用的传输通道。
30.一种接入认证装置,应用于第一终端,其特征在于,包括:
第一发送模块,用于向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第一接收模块,用于接收所述核心网发送的会话请求消息;
第二发送模块,用于根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
31.一种接入认证装置,应用于第二终端,其特征在于,包括:
第二接收模块,用于接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
建立模块,用于根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
第三接收模块,用于接收所述第一终端通过所述信令隧道发送的会话响应消息;
第三发送模块,用于将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
32.一种接入认证装置,应用于核心网,其特征在于,包括:
第四发送模块,用于向第一终端发送会话请求消息;
第四接收模块,用于接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
认证模块,用于根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
33.一种终端,所述终端为第一终端,其特征在于,包括:收发器和处理器;
所述收发器用于:向第二终端发送第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识,以使所述第二终端根据所述第一网络接入标识建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
接收所述核心网发送的会话请求消息;
根据所述会话请求消息,通过所述信令隧道向所述第二终端发送会话响应消息,以使所述第二终端将所述会话响应消息发送至所述核心网;
其中,所述会话响应消息用于所述核心网对所述第一终端进行注册认证;所述第一终端和所述第二终端为短距通信域内建立可信连接的通信终端。
34.一种终端,所述终端为第二终端,其特征在于,包括:收发器和处理器;
所述收发器用于:接收第一终端发送的第一加密数据,所述第一加密数据包括所述第一终端的第一网络接入标识;
所述处理器用于:根据所述第一网络接入标识,建立所述第一终端、所述第二终端以及核心网之间的信令隧道;
所述收发器还用于:接收所述第一终端通过所述信令隧道发送的会话响应消息;将所述会话响应消息通过所述信令隧道发送至所述核心网,以使所述核心网根据所述会话响应消息对所述第一终端进行注册认证。
35.一种核心网,其特征在于,包括:收发器和处理器;
所述收发器用于:向第一终端发送会话请求消息;接收第二终端通过信令隧道发送的会话响应消息,所述会话响应消息由所述第一终端通过所述信令隧道发送至所述第二终端;
所述处理器用于:根据所述会话响应消息对所述第一终端进行注册认证;
其中,所述信令隧道为所述第二终端建立的所述第一终端、所述第二终端以及所述核心网之间的信令隧道。
36.一种电子设备,包括:收发器、处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令;其特征在于,所述处理器执行所述程序或指令时实现如权利要求1-9中任一项所述的接入认证方法,或者实现如权利要求10-20中任一项所述的接入认证方法,或者实现如权利要求21-29中任一项所述的接入认证方法。
37.一种可读存储介质,其上存储有程序或指令,其特征在于,所述程序或指令被处理器执行时实现如权利要求1-9中任一项所述的接入认证方法的步骤,或者实现如权利要求10-20中任一项所述的接入认证方法的步骤,或者实现如权利要求21-29中任一项所述的接入认证方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111346858.XA CN116132983A (zh) | 2021-11-15 | 2021-11-15 | 接入认证方法、装置、终端及核心网 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111346858.XA CN116132983A (zh) | 2021-11-15 | 2021-11-15 | 接入认证方法、装置、终端及核心网 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116132983A true CN116132983A (zh) | 2023-05-16 |
Family
ID=86293755
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111346858.XA Pending CN116132983A (zh) | 2021-11-15 | 2021-11-15 | 接入认证方法、装置、终端及核心网 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116132983A (zh) |
-
2021
- 2021-11-15 CN CN202111346858.XA patent/CN116132983A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11695742B2 (en) | Security implementation method, device, and system | |
KR102033465B1 (ko) | 통신 디바이스와 네트워크 디바이스 사이의 통신에서의 보안 설비 | |
JP4921557B2 (ja) | インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法 | |
US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
US20160323277A1 (en) | Access network assisted bootstrapping | |
US9668139B2 (en) | Secure negotiation of authentication capabilities | |
US20090028101A1 (en) | Authentication method in a radio communication system, a radio terminal device and radio base station using the method, a radio communication system using them, and a program thereof | |
KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
WO2016114842A1 (en) | End-to-end service layer authentication | |
CN108012264A (zh) | 用于802.1x载体热点和Wi-Fi呼叫认证的基于经加密的IMSI的方案 | |
JP2007508614A (ja) | 異種ipネットワークにおける認証のための装置および方法 | |
KR20130029103A (ko) | 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치 | |
JP2012110009A (ja) | エンティティの認証と暗号化キー生成の機密保護されたリンクのための方法と構成 | |
US8788821B2 (en) | Method and apparatus for securing communication between a mobile node and a network | |
WO2009078615A2 (en) | Integrated handover authenticating method for next generation network (ngn) with wireless access technologies and mobile ip based mobility control | |
CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
CN101079786B (zh) | 互连系统、互连系统中的认证方法和终端 | |
EP2361473A1 (en) | Method and communication system for protecting an authentication connection | |
US20130191635A1 (en) | Wireless authentication terminal | |
JP2002152190A (ja) | オーバレイデータネットワークで暗号化キーを配布する方法 | |
CN116132983A (zh) | 接入认证方法、装置、终端及核心网 | |
CN110896683A (zh) | 数据保护方法、装置以及系统 | |
WO2020182557A1 (en) | Providing ue capability information to an authentication server | |
WO2021236078A1 (en) | Simplified method for onboarding and authentication of identities for network access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |