CN116156500A - 设备鉴权方法及装置 - Google Patents
设备鉴权方法及装置 Download PDFInfo
- Publication number
- CN116156500A CN116156500A CN202111392897.3A CN202111392897A CN116156500A CN 116156500 A CN116156500 A CN 116156500A CN 202111392897 A CN202111392897 A CN 202111392897A CN 116156500 A CN116156500 A CN 116156500A
- Authority
- CN
- China
- Prior art keywords
- target
- terminal
- time stamp
- lsc
- sent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
- H04W88/10—Access point devices adapted for operation in multiple networks, e.g. multi-mode access points
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种设备鉴权方法及装置,解决以用户为中心的超密集网络如何对设备进行鉴权认证的问题。本发明的方法包括:目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;所述目标AP在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
Description
技术领域
本发明涉及通信技术领域,尤其是指一种设备鉴权方法及装置。
背景技术
5G时代的超密集场景中,将部署10倍以上现有站点的各种小基站,也称为接入节点(Access Point,AP),小基站数量众多,并且小基站未来将向即插即用的方向发展,管理小基站难度增大,小基站安全性也难以得到保证。由于非法或不可信小基站(AP)的存在,以用户为中心的超密集网络(User-centric Ultra-Dense Networks,UUDN)中如果仍然采用核心网与用户进行一次双向身份认证的方式,不能排除用户设备(User Equipment,UE)受非法小基站的安全威胁,即仍然无法保证用户的接入安全;更为重要的是,如果小基站与UE采用传统的认证方式,每个用户UE和每个接入节点AP都进行接入认证,由于用户UE的不断移动,UE与APs之间将引发频繁切换的安全认证效率问题,从而直接降低用户的网络体验。
发明内容
本发明的目的在于提供一种设备鉴权方法及装置,以解决以用户为中心的超密集网络如何对设备进行鉴权认证的问题。
为了达到上述目的,本发明提供一种设备鉴权方法,包括:
目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述目标AP在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
可选地,所述目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳之前,还包括:
所述目标AP获取LSC设备发送的第一AP切换请求,所述第一AP切换请求用于请求终端由源AP切换至所述目标AP;
所述目标AP根据所述第一AP切换请求向LSC设备发送验证信息;
其中,所述第一时间戳是所述LSC根据所述验证信息确定所述目标AP为合法AP后向所述目标AP发送的。
可选地,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述目标AP获取LSC设备发送的第一AP切换请求之前,还包括:
向LSC设备发送标识信息和公钥证书;
获取所述LSC发送的与所述标识信息对应的密码信息,其中,所述密码信息利用所述公钥证书进行加密。
可选地,本发明实施例的方法还包括:
将所述第一时间戳发送给所述终端。
本发明实施例还提供了一种设备鉴权方法,包括:
终端获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述终端在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
可选地,本发明实施例的方法,还包括:
所述终端将所述第二时间戳发送给所述目标AP。
本发明实施例还提供了一种设备鉴权方法,包括:
本地服务中心LSC设备接收源AP发送的第二AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
所述LSC设备根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
所述LSC设备向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
可选地,所述确定目标AP,包括:
根据AP切换列表,将与所述终端的切换时间对应的切换AP确定为所述目标AP;
其中,所述AP切换列表中保存有不同切换时间对应的切换AP。
可选地,所述LSC设备向所述目标AP发送第一时间戳,包括:
向所述目标AP发送第一AP切换请求,所述第一AP切换请求用于请求终端由源AP切换至所述目标AP;
获取所述目标AP根据所述第一AP切换请求发送的验证信息;
在根据所述验证信息确定所述目标AP为合法AP的情况下,向所述目标AP发送第一时间戳。
可选地,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述方法还包括:
根据所述密码信息和随机数,获取所述密码信息对应的哈希值;
若所述哈希值与数据库中存储的所述标识信息对应的哈希值一致,则确定所述目标AP为合法AP。
可选地,向所述目标AP发送第一AP切换请求之前,还包括:
获取目标AP发送的所述目标AP的标识信息和公钥证书;
在利用所述公钥证书对所述标识信息进行验证后,生成所述标识信息对应的密码信息;
将所述密码信息发送给目标AP,并根据所述密码信息和随机数,生成所述标识信息对应的哈希值并进行保存。
本发明实施例还提供了一种设备鉴权装置,应用于目标AP,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述目标AP在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
可选地,所述处理器执行所述程序时还实现以下步骤:
通过收发机获取LSC设备发送的第一AP切换请求,所述第一AP切换请求用于请求终端由源AP切换至所述目标AP;
通过收发机根据所述第一AP切换请求向LSC设备发送验证信息;
其中,所述第一时间戳是所述LSC根据所述验证信息确定所述目标AP为合法AP后向所述目标AP发送的。
可选地,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述处理器执行所述程序时还实现以下步骤:
通过收发机向LSC设备发送标识信息和公钥证书;
通过收发机获取所述LSC发送的与所述标识信息对应的密码信息,其中,所述密码信息利用所述公钥证书进行加密。
可选地,所述处理器执行所述程序时还实现以下步骤:
通过收发机将所述第一时间戳发送给所述终端。
本发明实施例还提供了一种设备鉴权装置,应用于终端,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
可选地,所述处理器执行所述程序时还实现以下步骤:
通过收发机将所述第二时间戳发送给所述目标AP。
本发明实施例还提供了一种设备鉴权装置,应用于本地服务中心LSC设备,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机接收源AP发送的第二AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
通过收发机向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
可选地,所述处理器执行所述程序时还实现以下步骤:
根据AP切换列表,将与所述终端的切换时间对应的切换AP确定为所述目标AP;
其中,所述AP切换列表中保存有不同切换时间对应的切换AP。
可选地,所述处理器执行所述程序时还实现以下步骤:
向所述目标AP发送第一AP切换请求,所述第一AP切换请求用于请求终端由源AP切换至所述目标AP;
通过收发机获取所述目标AP根据所述第一AP切换请求发送的验证信息;
在根据所述验证信息确定所述目标AP为合法AP的情况下,通过收发机向所述目标AP发送第一时间戳。
可选地,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述处理器执行所述程序时还实现以下步骤:
根据所述密码信息和随机数,获取所述密码信息对应的哈希值;
若所述哈希值与数据库中存储的所述标识信息对应的哈希值一致,则确定所述目标AP为合法AP。
可选地,所述处理器执行所述程序时还实现以下步骤:
通过收发机获取目标AP发送的所述目标AP的标识信息和公钥证书;
在利用所述公钥证书对所述标识信息进行验证后,生成所述标识信息对应的密码信息;
通过收发机将所述密码信息发送给目标AP,并根据所述密码信息和随机数,生成所述标识信息对应的哈希值并进行保存。
本发明实施例还提供了一种设备鉴权装置,应用于目标AP,包括:
第一获取单元,用于获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件或发送的时间戳;
第一确定单元,用于在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
本发明实施例还提供了一种设备鉴权装置,应用于终端,包括:
第二获取单元,用于获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
第二确定单元,用于在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
本发明实施例还提供了一种设备鉴权装置,应用于本地服务中心LSC设备,包括:
第一接收单元,用于接收源AP发送的第二AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
第三确定单元,用于根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
第一收发单元,用于向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
本发明实施例还提供了一种处理器可读存储介质,所述处理器可读存储介质存储有程序指令,所述程序指令用于使所述处理器执行如上所述的设备鉴权方法的步骤。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例中,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,目标AP将第一时间戳与从终端处接收到的第二时间戳进行比对,若两者一致,则确定该终端为即将接入的终端,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
附图说明
图1表示本发明实施例可应用的一种网络系统的结构图;
图2表示UUDN网络架构示意图;
图3表示本发明实施例的设备鉴权方法的流程示意图之一;
图4表示本发明实施例的设备鉴权方法的流程示意图之二;
图5表示本发明实施例的设备鉴权方法的流程示意图之三;
图6表示本发明实施例中APG的动态变化示意图;
图7表示本发明实施例的分段式鉴权的示意图;
图8表示本发明实施例的设备鉴权方法的交互示意图;
图9表示本发明实施例的设备鉴权装置的结构框图之一;
图10表示本发明实施例的设备鉴权装置的结构框图之二;
图11表示本发明实施例的设备鉴权装置的模块示意图之一;
图12表示本发明实施例的设备鉴权装置的模块示意图之二;
图13表示本发明实施例的设备鉴权装置的模块示意图之三。
具体实施方式
本发明实施例提供的技术方案可以适用于多种系统,尤其是5G系统。例如适用的系统可以是全球移动通讯(Global System of Mobile communication,GSM)系统、码分多址(Code Division Multiple Access,CDMA)系统、宽带码分多址(Wideband CodeDivision Multiple Access,WCDMA)系统、时分同步CDMA(Time Division SynchronousCode Division Multiple Access,TD-SCDMA)系统、通用分组无线业务(general packetradio service,GPRS)系统、长期演进(Long Term Evolution,LTE)系统(含TD-LTE和FDDLTE)、高级长期演进(Long Term Evolution Advanced,LTE-A)系统、通用移动系统(Universal Mobile Telecommunication System,UMTS)、全球互联微波接入(WorldwideInteroperability For Microwave Access,WiMAX)系统、5G新空口(New Radio,NR)系统等。这多种系统中均包括终端设备和网络设备。系统中还可以包括核心网部分,例如演进的分组系统(Evloved Packet System,EPS)、5G系统(5GS/5GC)等。
图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括终端11和网络设备12。其中,终端11也可以称作终端设备或者用户终端(User Equipment,UE),终端11可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(LaptopComputer)或称为笔记本电脑、个人数字助理(Personal Digital Assistant,PDA)、掌上电脑、上网本、超级移动个人计算机(Ultra-Mobile Personal Computer,UMPC)、移动上网装置(Mobile Internet Device,MID)、可穿戴式设备(Wearable Device)或车载设备(VUE)、行人终端(PUE)等终端侧设备,可穿戴式设备包括:手环、耳机、眼镜等。需要说明的是,在本申请实施例并不限定终端11的具体类型。网络设备12可以是基站或核心网,其中,基站可被称为节点B、演进节点B、接入点、基收发机站(Base Transceiver Station,BTS)、无线电基站、无线电收发机、基本服务集(Basic Service Set,BSS)、扩展服务集(Extended ServiceSet,ESS)、B节点、演进型B节点(eNB)、家用B节点、家用演进型B节点、WLAN接入点、WiFi节点、发送接收点(Transmitting Receiving Point,TRP)或所述领域中其他某个合适的术语,只要达到相同的技术效果,所述基站不限于特定技术词汇,需要说明的是,在本申请实施例中仅以NR系统中的基站为例,但是并不限定基站的具体类型。
为使本领域技术人员能够更好地理解本发明实施例,先进行如下说明。
未来网络将不存在具体的小区边界,而是以用户为中心,基站及其天线单元的覆盖范围可以根据用户的业务需求及干扰分布等情况进行自适应调整。在以用户为中心的超密集网络中,以用户为中心的UUDN不再有传统蜂窝网中的“小区(Cell)”物理和逻辑概念,取而代之的是由不同网络类型的接入节点AP在控制平面形成的接入节点群,APs之间动态协作,灵活性强,用户体验好。
UUDN为以用户为中心的超密集网络,该网络将组织一个动态的接入节点组(Access Points Group,APG)为每个用户提供服务。如图2所示,UUDN网络架构中,接入节点不直接与5G核心网连接,而是通过众多接入节点APs组织形成一个“以用户为中心”接入节点组APG,通过本地服务中心LSC连接网络服务中心NSC即5G核心网,APG成员将“伴随”用户移动而动态变化,为用户提供无缝的网络服务。
LSC是组织动态APG服务用户的控制服务中心,提供本地化的控制管理功能,包括接入控制、多RAT协作、本地移动性管理、本地QoS管理、本地数据路由以及集中式的用户数据处理等;
NSC作为网络服务中心,负责提供针对包括用户策略控制、认证鉴权计费(Authentication认证、Authorization授权和Accounting计费)和高层移动性管理相关控制功能。
在UUDN主要面临以下两个安全问题:
在超密集网络环境中,仅对用户UE进行传统的接入鉴权AKA过程,难以避免有可能有假冒接入节点AP存在。从而使超密集网络的安全面临重大威胁,用户UE面临被非法或恶意接入节点AP劫持等安全威胁。
在UUDN网络架构中,大密度的不同网络类型的AP部署将导致频繁复杂的切换以及认证过程。当用户UE和每个网络接入节点AP都进行接入认证时,由于用户UE的不断移动,UE与APs之间将引发频繁切换的安全认证效率问题,从而直接降低用户的网络体验。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
如图3所示,本发明实施例提供了一种设备鉴权方法,包括:
步骤301:目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,该第二时间戳是由该LSC设备发送给该终端的,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳。
示例性地,AP切换事件可以是LSC收到源AP的切换请求,或者LSC确定好切换的策略,或者LSC确定好目标AP,或者LSC确定目标AP为合法AP等;
本发明实施例中,终端进行测量上报,源AP根据终端上报的测量信息决定是否进行AP切换。如果确定进行AP切换,则源AP向LSC设备发送切换请求,请求LSC设备判决切换至哪个AP,即由LSC设备确定目标AP。该LSC设备确定目标AP后,生成时间戳,并将该时间戳分别发送给目标AP和终端,这里,将LSC设备发送给目标AP的时间戳称为第一时间戳,将LSC设备发送给终端的时间戳描述为第二时间戳,该第一时间戳和第二时间戳相同。
可选地,该第一时间戳或第二时间戳可具体为切换的具体时刻,也可以为其他时间信息。
步骤302:该目标AP在该第一时间戳与该第二时间戳一致的情况下,确定该终端为该目标AP的接入终端。
本步骤中,目标AP将从LSC设备处接收到的第一时间戳与终端发送的第二时间戳进行比较,若两者一致,则确定终端为合法终端,即确定该终端为该目标AP的接入终端,然后进行切换准备。
本发明实施例的设备鉴权方法,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,目标AP将第一时间戳与从终端处接收到的第二时间戳进行比对,若两者一致,则确定该终端为即将接入的终端,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
可选地,该目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳之前,还包括:
该目标AP获取LSC设备发送的第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
该目标AP根据该第一AP切换请求向LSC设备发送验证信息;
其中,该第一时间戳是该LSC根据该验证信息确定该目标AP为合法AP后向该目标AP发送的。
本发明实施例中,LSC设备确定目标AP后,向目标AP发送该第一AP切换请求用于请求终端由源AP切换至该目标AP,目标AP应答该请求,并向LSC设备发送验证信息,LSC设备基于该验证信息确定该目标AP为合法AP后,生成时间戳,并发送给该目标AP和终端,这样,实现了LSC设备对AP的鉴权。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
该目标AP获取LSC设备发送的第一AP切换请求之前,还包括:
向LSC设备发送标识信息和公钥证书;
获取该LSC发送的与该标识信息对应的密码信息,其中,该密码信息利用该公钥证书进行加密。
这里,上述标识信息为目标AP的身份标识信息,可以但不局限于例如为AP-ID,其他能够唯一标识目标AP的其他标识均可应用于此。
本发明实施例中,在UUDN场景下,大量密集部署的AP以用户UE为中心形成AP组-APG,为UE提供服务,其中,AP入网后,需要首先在LSC处进行认证,AP首先向LSC发送数字签名和公钥证书,数字签名的内容为AP-ID(该数字签名用私钥进行加密),AP-ID也可以是代表AP身份的其他标识,该标识确定AP身份的唯一性。LSC设备基于上述公钥证书验证AP的标识信息后(公钥证书与上述私钥是匹配的),搜索自身的认证信息数据库,若不存在该AP-ID对应的认证信息,则为该AP创建认证信息。认证信息数据库条目可以包括以下内容:
用户名AP-ID;
随机数rand,该随机数由LSC设备生成,本发明实施例对随机数的生成算法、长度等不做具体限定,该随机数用于密码信息的存储,使密码信息在LSC设备中的存储更具有隐蔽性;
哈希值:该哈希值是基于密码信息和随机数得到的,密码信息由LSC设备生成,与AP_ID或其他代表AP身份唯一性的身份标识一一对应,其生成算法、长度等不做要求,哈希值是对密码信息和随机数在LSC设备中进行哈希运算之后得到的,并存储在LSC设备中,防止明文存储密码。
在目标AP向LSC发送验证信息后,LSC设备获取与目标AP的标识信息对应的密码信息,并利用公钥证书对密码信息进行加密后发送给目标AP。
可选地,本发明实施例的方法,还包括:
将该第一时间戳发送给该终端。
这里,通过将第一时间戳发送给终端,以便于终端将该第一时间戳与LSC设备发送给终端的第二时间戳进行比对,实现对目标AP的鉴权。
本发明实施例的方法,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,目标AP将第一时间戳与从终端处接收到的第二时间戳进行比对,若两者一致,则确定该终端为即将接入的终端,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
如图4所示,本发明实施例还提供了一种设备鉴权方法,包括:
步骤401:终端获取本地服务中心LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳。
本发明实施例中,终端进行测量上报,源AP根据终端上报的测量信息决定是否进行AP切换。如果确定进行AP切换,则源AP向LSC设备发送切换请求,请求LSC设备判决切换至哪个AP,即由LSC设备确定目标AP。该LSC设备确定目标AP后,生成时间戳,并将该时间戳分别发送给目标AP和终端,这里,将LSC设备发送给目标AP的时间戳称为第一时间戳,将LSC设备发送给终端的时间戳描述为第二时间戳,该第一时间戳和第二时间戳相同。
可选地,该第一时间戳或第二时间戳可具体为切换的具体时刻,也可以为其他时间信息。
步骤402:该终端在该第一时间戳和第二时间戳一致的情况下,确定该目标AP为该终端的接入AP。
本步骤中,终端将从LSC设备处接收到的第二时间戳与目标AP发送的第二时间戳进行比较,若两者一致,则确定目标AP为合法AP,即确定该目标AP为该终端需要接入的AP,然后进行切换准备。
本发明实施例的设备鉴权方法,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,终端将第二时间戳与从目标AP处接收到的第一时间戳进行比对,若两者一致,则确定该目标AP为即将接入的AP,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
可选地,本发明实施例的方法,还包括:
该终端将该第二时间戳发送给该目标AP。
这里,通过将第二时间戳发送给目标AP,以便于目标AP将该第二时间戳与LSC设备发送给目标AP的第一时间戳进行比对,实现对终端的鉴权。
本发明实施例的方法,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,终端将第二时间戳与从目标AP处接收到的第一时间戳进行比对,若两者一致,则确定该目标AP为即将接入的AP,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
如图5所示,本发明实施例还提供了一种设备鉴权方法,包括:
步骤501:本地服务中心LSC设备接收源AP发送的第二接入节点AP切换请求,该第二AP切换请求用于请求终端进行AP切换。
本发明实施例中,终端进行测量上报,源AP根据终端上报的测量信息决定是否进行AP切换。如果确定进行AP切换,则源AP向LSC设备发送切换请求(第二AP切换请求),请求LSC设备判决切换至哪个AP,即由LSC设备确定目标AP。
步骤502:该LSC设备根据该第二AP切换请求,确定目标AP,该目标AP为该终端进行AP切换后连接的AP。
该LSC设备确定目标AP后,根据AP切换列表或其他切换算法,确定目标AP,
步骤503:该LSC设备向该目标AP发送第一时间戳,并向该终端发送第二时间戳。
本步骤中,LSC设备确定目标AP后,生成时间戳,并将该时间戳分别发送给目标AP和终端,这里,将LSC设备发送给目标AP的时间戳称为第一时间戳,将LSC设备发送给终端的时间戳描述为第二时间戳,该第一时间戳和第二时间戳相同。
本发明实施例的方法,在终端需要进行AP切换时,LSC向目标AP以及终端分别发送第一时间戳和第二时间戳,终端将第二时间戳与从目标AP处接收到的第一时间戳进行比对,若两者一致,则确定该目标AP为即将接入的AP,这样,通过比较时间戳可对接入设备实现快速鉴权,提高了终端与AP之间的鉴权认证效率。
可选地,该确定目标AP,包括:
根据AP切换列表,将与该终端的切换时间对应的切换AP确定为该目标AP;
其中,该AP切换列表中保存有不同切换时间对应的切换AP。
例如,该AP切换列表为:t1:AP2;t2:AP4。即在t1时刻切换至AP2,t2时刻切换至AP4。
上述AP切换列表是根据连接LSC设备的其他UE的信道条件得到的,该信道条件是其他UE在目标时刻前测量得到的信道条件,该目标时刻为当前UE的切换时刻。
这里,LSC设备根据上述信道条件确定AP切换列表,基于该AP切换列表能够预测UE的切换路线,即UE下一个切换的基站只有LSC知道,每次切换时LSC再通知UE以及UE即将接入的AP,安全性体现在切换时刻只有AP和UE知道,而UE只需要与AP核对时间戳即可确认对方的身份。
本发明实施例中,APG建立后,其成员可以根据用户的移动位置或无线环境情况进行动态变化,如新节点加入APG或现有节点离开APG。在本发明实施例中,新节点加入APG即UE切换至新AP的方法采用切换列表。如图6所示,LSC处存储一份当前UE的切换列表,即表示UE在当前时刻之后的切换路线,当UE位置发生移动时,LSC根据切换列表通知UE在时刻t2对应的接入基站节点:AP4,并发送相应的时间戳t2给UE,同时发送时间戳t2给AP4,为UE断开AP2并切换至AP4做准备。若UE与AP4之间相互确认时间戳均为t2后,UE切换至AP4,APG1的成员根据LSC的切换列表从AP1,AP2,AP3变化为AP1,AP3,AP4,切换完成。
可选地,该LSC设备向该目标AP发送第一时间戳,包括:
向该目标AP发送第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
获取该目标AP根据该第一AP切换请求发送的验证信息;
在根据该验证信息确定该目标AP为合法AP的情况下,向该目标AP发送第一时间戳。
本发明实施例中,LSC设备确定目标AP后,向目标AP发送该第一AP切换请求用于请求终端由源AP切换至该目标AP,目标AP应答该请求,并向LSC设备发送验证信息,LSC设备基于该验证信息确定该目标AP为合法AP后,生成时间戳,并发送给该目标AP和终端,这样,实现了LSC设备对AP的鉴权。
本发明实施例的方法,为了确保AP的合法性,由LSC对AP进行鉴权,避免占用UE过多的资源,消耗UE的电量,并且如图7所示,本发明实施例采用分段式鉴权,即AP与LSC鉴权成功后,AP再与UE进行鉴权,可以避免一些不合法的AP构成安全威胁。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
该方法还包括:
根据该密码信息和随机数,获取该密码信息对应的哈希值;
若该哈希值与数据库中存储的该标识信息对应的哈希值一致,则确定该目标AP为合法AP。
可选地,向该目标AP发送第一AP切换请求之前,还包括:
获取目标AP发送的该目标AP的标识信息和公钥证书;
在利用该公钥证书对该标识信息进行验证后,生成该标识信息对应的密码信息;
将该密码信息发送给目标AP,并根据密码信息和随机数,生成标识信息对应的哈希值并进行保存。
在目标AP向LSC发送验证信息后,LSC设备获取与目标AP的标识信息对应的密码信息,并利用公钥证书对密码信息进行加密后发送给目标AP。
下面结合具体的实施例对本发明的设备鉴权方法进行说明。
如图8所示,本发明的设备鉴权方法包括:
步骤801:UE上报测量条件。
步骤802:源AP请求LSC进行切换判决。
步骤803:LSC根据AP切换列表或其他切换算法得到切换的目标AP。
步骤804:通知即将切换的目标AP。
步骤805:目标AP发送应答请求并发送AP-ID和密码信息。
步骤806:LSC在数据库中存在名为AP-ID的情况下,根据密码信息和随机数计算哈希值,若计算得到的哈希值与数据库中存储的该AP-ID对应的哈希值一致,则确定为合法AP。
步骤807:向目标AP发送时间戳,并通过源AP向终端发送时间戳。
步骤808:终端向目标AP发送时间戳进行身份确认。
步骤809:目标AP对比时间戳,确认UE身份。
步骤810:目标AP向UE发送时间戳确认身份。
步骤811:终端对比时间戳,确认是否为目标AP。
本发明实施例的方法,UE与AP之间通过时间戳相互确认对方是否为即将接入的UE/AP,时间戳一致则可实现快速鉴权,提高了UE与AP之间的鉴权认证效率。为了确保AP的合法性,由LSC对AP进行鉴权,避免占用UE过多的资源,消耗其电量。由于超密集网络中,异构AP部署量多且支持即插即用,采用本发明的分段式鉴权,即AP与LSC鉴权成功之后,AP再与UE进行鉴权,可以避免一些不合法的AP构成安全威胁。
如图9所示,本发明实施例提供了一种设备鉴权装置,包括存储器920,收发机900,处理器910;
存储器920,用于存储计算机程序;收发机900,用于在该处理器的控制下收发数据;
在本发明的一实施例中,处理器910,用于读取该存储器中的计算机程序并执行以下操作:
通过收发机900获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,该第二时间戳是由该LSC设备发送给该终端的,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳;
该目标AP在该第一时间戳与该第二时间戳一致的情况下,确定该终端为该目标AP的接入终端。
可选地,该处理器910执行该程序时还实现以下步骤:
通过收发机900获取LSC设备发送的第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
通过收发机900根据该第一AP切换请求向LSC设备发送验证信息;
其中,该第一时间戳是该LSC根据该验证信息确定该目标AP为合法AP后向该目标AP发送的。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
该处理器910执行该程序时还实现以下步骤:
通过收发机900向LSC设备发送标识信息和公钥证书;
通过收发机900获取该LSC发送的与该标识信息对应的密码信息,其中,该密码信息利用该公钥证书进行加密。
可选地,该处理器910执行该程序时还实现以下步骤:
通过收发机900将该第一时间戳发送给该终端。
在本发明的另一实施例中,处理器910,用于读取该存储器中的计算机程序并执行以下操作:
通过收发机900接收源AP发送的第二AP切换请求,该第二AP切换请求用于请求终端进行AP切换;
根据该第二AP切换请求,确定目标AP,该目标AP为该终端进行AP切换后连接的AP;
通过收发机900向该目标AP发送第一时间戳,并向该终端发送第二时间戳。
可选地,该处理器910执行该程序时还实现以下步骤:
根据AP切换列表,将与该终端的切换时间对应的切换AP确定为该目标AP;
其中,该AP切换列表中保存有不同切换时间对应的切换AP。
可选地,该处理器910执行该程序时还实现以下步骤:
向该目标AP发送第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
通过收发机900获取该目标AP根据该第一AP切换请求发送的验证信息;
在根据该验证信息确定该目标AP为合法AP的情况下,通过收发机向该目标AP发送第一时间戳。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
该处理器910执行该程序时还实现以下步骤:
根据该密码信息和随机数,获取该密码信息对应的哈希值;
若该哈希值与数据库中存储的该标识信息对应的哈希值一致,则确定该目标AP为合法AP。
可选地,该处理器910执行该程序时还实现以下步骤:
通过收发机900获取目标AP发送的该目标AP的标识信息和公钥证书;
在利用该公钥证书对该标识信息进行验证后,生成该该该该标识信息对应的密码信息;
通过收发机900将该密码信息发送给目标AP,并根据该密码信息和随机数,生成该标识信息对应的哈希值并进行保存。
其中,在图9中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器910代表的一个或多个处理器和存储器920代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机900可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器910负责管理总线架构和通常的处理,存储器920可以存储处理器910在执行操作时所使用的数据。
处理器910可以是中央处埋器(CPU)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),处理器也可以采用多核架构。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述设备鉴权方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图10所示,本发明实施例还提供了一种设备鉴权装置,应用于终端,包括存储器1020,收发机1000,处理器1010;
存储器1020,用于存储计算机程序;收发机1000,用于在该处理器的控制下收发数据;处理器1010,用于读取该存储器中的计算机程序并执行以下操作:
通过收发机1000获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳;
在该第一时间戳和第二时间戳一致的情况下,确定该目标AP为该终端的接入AP。
其中,在图10中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1010代表的一个或多个处理器和存储器1020代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1000可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括,这些传输介质包括无线信道、有线信道、光缆等传输介质。针对不同的用户设备,用户接口1030还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1010负责管理总线架构和通常的处理,存储器1020可以存储处理器1010在执行操作时所使用的数据。
可选的,处理器1010可以是CPU(中央处埋器)、ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件),处理器也可以采用多核架构。
处理器通过调用存储器存储的计算机程序,用于按照获得的可执行指令执行本申请实施例提供的任一该方法。处理器与存储器也可以物理上分开布置。
可选地,该处理器1010执行该程序时还实现以下步骤:
通过收发机1000将该第二时间戳发送给该目标AP。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述应用于终端的设备鉴权方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图11所示,本发明实施例还提供了一种设备鉴权装置,应用于目标AP,包括:
第一获取单元1101,用于获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,该第二时间戳是由该LSC设备发送给该终端的,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳;
第一确定单元1102,用于在该第一时间戳与该第二时间戳一致的情况下,确定该终端为该目标AP的接入终端。
可选地,本发明实施例的装置,还包括:
第三获取单元,用于在第一获取单元获取本地服务中心LSC设备发送的第一时间戳之前,获取LSC设备发送的第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
第二收发单元,用于根据该第一AP切换请求向LSC设备发送验证信息;
其中,该第一时间戳是该LSC根据该验证信息确定该目标AP为合法AP后向该目标AP发送的。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
该装置还包括:
第三收发单元,用于在第二收发单元根据该切换请求向LSC设备发送验证信息之前,向LSC设备发送标识信息和公钥证书;
第四获取单元,用于获取该LSC发送的与该标识信息对应的密码信息,其中,该密码信息利用该公钥证书进行加密。
可选地,本发明实施例的装置还包括:
第四收发单元,用于将该第一时间戳发送给该终端。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述设备鉴权方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图12所示,本发明实施例还提供了一种设备鉴权装置,应用于终端,包括:
第二获取单元1201,用于获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳;
第二确定单元1202,用于在该第一时间戳和第二时间戳一致的情况下,确定该目标AP为该终端的接入AP。
可选地,本发明实施例的装置,还包括:
第五收发单元,用于将该第二时间戳发送给该目标AP。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述设备鉴权方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
如图13所示,本发明实施例还提供了一种设备鉴权装置,应用于本地服务中心LSC设备,包括:
第一接收单元1301,用于接收源AP发送的第二AP切换请求,该第二AP切换请求用于请求终端进行AP切换;
第三确定单元1302,用于根据该第二AP切换请求,确定目标AP,该目标AP为该终端进行AP切换后连接的AP;
第一收发单元1303,用于向该目标AP发送第一时间戳,并向该终端发送第二时间戳。
可选地,该第三确定单元用于根据AP切换列表,将与该终端的切换时间对应的切换AP确定为该目标AP;
其中,该AP切换列表中保存有不同切换时间对应的切换AP。
可选地,该第一收发单元,包括:
第一收发子单元,用于向该目标AP发送第一AP切换请求,该第一AP切换请求用于请求终端由源AP切换至该目标AP;
第一获取子单元,用于获取该目标AP根据该第一AP切换请求发送的验证信息;
第二收发子单元,用于在根据该验证信息确定该目标AP为合法AP的情况下,向该目标AP发送第一时间戳。
可选地,该验证信息包括该目标AP的标识信息和与该标识信息对应的密码信息;
本发明实施例的装置,还包括:
第五获取单元,用于根据该密码信息和随机数,获取该密码信息对应的哈希值;
第四确定单元,用于若该哈希值与数据库中存储的该标识信息对应的哈希值一致,则确定该目标AP为合法AP。
可选地,本发明实施例的装置,还包括:
第六获取单元,用于在向该目标AP发送第一AP切换请求之前,获取目标AP发送的该目标AP的标识信息和公钥证书;
第一生成单元,用于在利用该公钥证书对该标识信息进行验证后,生成该该该该标识信息对应的密码信息;
第六收发单元,用于将该密码信息发送给目标AP,并根据该密码信息和随机数,生成该标识信息对应的哈希值并进行保存。
在此需要说明的是,本发明实施例提供的上述装置,能够实现上述设备鉴权方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的一些实施例中,还提供了一种处理器可读存储介质,所述处理器可读存储介质存储有程序指令,所述程序指令用于使所述处理器执行实现以下步骤:
获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,该第二时间戳是由该LSC设备发送给该终端的,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳该该该;在该第一时间戳与该第二时间戳一致的情况下,确定该终端为该目标AP的接入终端;
或者,获取LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,该第一时间戳和该第二时间戳是该LSC设备基于AP切换事件或AP切换请求发送的时间戳该该该;在该第一时间戳和第二时间戳一致的情况下,确定该目标AP为该终端的接入AP。
或者,接收源AP发送的第二AP切换请求,该第二AP切换请求用于请求终端进行AP切换;根据该第二AP切换请求,确定目标AP,该目标AP为该终端进行AP切换后连接的AP;向该目标AP发送第一时间戳,并向该终端发送第二时间戳。
本申请实施例涉及的终端设备,可以是指向用户提供语音和/或数据连通性的设备,具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备等。在不同的系统中,终端设备的名称可能也不相同,例如在5G系统中,终端设备可以称为用户设备(User Equipment,UE)。无线终端设备可以经无线接入网(Radio Access Network,RAN)与一个或多个核心网(Core Network,CN)进行通信,无线终端设备可以是移动终端设备,如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机,例如,可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置,它们与无线接入网交换语言和/或数据。例如,个人通信业务(Personal Communication Service,PCS)电话、无绳电话、会话发起协议(Session Initiated Protocol,SIP)话机、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriber station),移动站(mobilestation)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(userterminal)、用户代理(user agent)、用户装置(user device),本申请实施例中并不限定。
本申请实施例涉及的网络设备,可以是基站,该基站可以包括多个为终端提供服务的小区。根据具体应用场合不同,基站又可以称为接入点,或者可以是接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备,或者其它名称。网络设备可用于将收到的空中帧与网际协议(Internet Protocol,IP)分组进行相互更换,作为无线终端设备与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如,本申请实施例涉及的网络设备可以是全球移动通信系统(Global System for Mobile communications,GSM)或码分多址接入(Code Division Multiple Access,CDMA)中的网络设备(Base Transceiver Station,BTS),也可以是带宽码分多址接入(Wide-band Code Division Multiple Access,WCDMA)中的网络设备(NodeB),还可以是长期演进(Long Term Evolution,LTE)系统中的演进型网络设备(evolutional Node B,eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站(gNB),也可以是家庭演进基站(Home evolved Node B,HeNB)、中继节点(relaynode)、家庭基站(femto)、微微基站(pico)等,本申请实施例中并不限定。在一些网络结构中,网络设备可以包括集中单元(Centralized Unit,CU)节点和分布单元(DistributedUnit,DU)节点,集中单元和分布单元也可以地理上分开布置。
网络设备与终端设备之间可以各自使用一或多根天线进行多输入多输出(MultiInput Multi Output,MIMO)传输,MIMO传输可以是单用户MIMO(Single User MIMO,SU-MIMO)或多用户MIMO(Multiple User MIMO,MU-MIMO)。根据根天线组合的形态和数量,MIMO传输可以是2D-MIMO、3D-MIMO、FD-MIMO或massive-MIMO,也可以是分集传输或预编码传输或波束赋形传输等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中,使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (26)
1.一种设备鉴权方法,其特征在于,包括:
目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述目标AP在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
2.根据权利要求1所述的方法,其特征在于,所述目标接入节点AP获取本地服务中心LSC设备发送的第一时间戳之前,还包括:
所述目标AP获取LSC设备发送的第一AP切换请求,所述第一AP切换请求用于请求所述终端由源AP切换至所述目标AP;
所述目标AP根据所述第一AP切换请求向LSC设备发送验证信息;
其中,所述第一时间戳是所述LSC根据所述验证信息确定所述目标AP为合法AP后向所述目标AP发送的。
3.根据权利要求2所述的方法,其特征在于,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述目标AP获取LSC设备发送的第一AP切换请求之前,还包括:
向所述LSC设备发送所述标识信息和公钥证书;
获取所述LSC发送的与所述标识信息对应的密码信息,其中,所述密码信息利用所述公钥证书进行加密。
4.根据权利要求1所述的方法,其特征在于,还包括:
将所述第一时间戳发送给所述终端。
5.一种设备鉴权方法,其特征在于,包括:
终端获取本地服务中心LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述终端在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
6.根据权利要求5所述的方法,其特征在于,还包括:
所述终端将所述第二时间戳发送给所述目标AP。
7.一种设备鉴权方法,其特征在于,包括:
本地服务中心LSC设备接收源AP发送的第二接入节点AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
所述LSC设备根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
所述LSC设备向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
8.根据权利要求7所述的方法,其特征在于,所述确定目标AP,包括:
根据AP切换列表,将与所述终端的切换时间对应的切换AP确定为所述目标AP;
其中,所述AP切换列表中保存有不同切换时间对应的切换AP。
9.根据权利要求7所述的方法,其特征在于,所述LSC设备向所述目标AP发送第一时间戳,包括:
向所述目标AP发送第一AP切换请求,所述第一AP切换请求用于请求所述终端由所述源AP切换至所述目标AP;
获取所述目标AP根据所述第一AP切换请求发送的验证信息;
在根据所述验证信息确定所述目标AP为合法AP的情况下,向所述目标AP发送第一时间戳。
10.根据权利要求9所述的方法,其特征在于,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述方法还包括:
根据所述密码信息和随机数,获取所述密码信息对应的哈希值;
若所述哈希值与数据库中存储的所述标识信息对应的哈希值一致,则确定所述目标AP为合法AP。
11.根据权利要求10所述的方法,其特征在于,向所述目标AP发送第一AP切换请求之前,还包括:
获取所述目标AP发送的所述目标AP的标识信息和公钥证书;
在利用所述公钥证书对所述标识信息进行验证后,生成所述标识信息对应的密码信息;
将所述密码信息发送给目标AP,并根据所述密码信息和随机数,生成所述标识信息对应的哈希值并进行保存。
12.一种设备鉴权装置,应用于目标AP,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
所述目标AP在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
13.根据权利要求12所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过收发机获取LSC设备发送的第一AP切换请求,所述第一AP切换请求用于请求所述终端由源AP切换至所述目标AP;
通过收发机根据所述第一AP切换请求向LSC设备发送验证信息;
其中,所述第一时间戳是所述LSC根据所述验证信息确定所述目标AP为合法AP后向所述目标AP发送的。
14.根据权利要求13所述的装置,其特征在于,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述处理器执行所述程序时还实现以下步骤:
通过收发机向所述LSC设备发送所述标识信息和公钥证书;
通过收发机获取所述LSC发送的与所述标识信息对应的密码信息,其中,所述密码信息利用所述公钥证书进行加密。
15.根据权利要求12所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过收发机将所述第一时间戳发送给所述终端。
16.一种设备鉴权装置,应用于终端,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机获取本地服务中心LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
17.根据权利要求16所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过收发机将所述第二时间戳发送给所述目标AP。
18.一种设备鉴权装置,应用于本地服务中心LSC设备,其特征在于,包括存储器,收发机,处理器;
存储器,用于存储计算机程序;收发机,用于在所述处理器的控制下收发数据;处理器,用于读取所述存储器中的计算机程序并执行以下操作:
通过收发机接收源AP发送的第二接入节点AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
通过收发机向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
19.根据权利要求18所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
根据AP切换列表,将与所述终端的切换时间对应的切换AP确定为所述目标AP;
其中,所述AP切换列表中保存有不同切换时间对应的切换AP。
20.根据权利要求18所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
向所述目标AP发送第一AP切换请求,所述第一AP切换请求用于请求所述终端由所述源AP切换至所述目标AP;
通过收发机获取所述目标AP根据所述第一AP切换请求发送的验证信息;
在根据所述验证信息确定所述目标AP为合法AP的情况下,通过收发机向所述目标AP发送第一时间戳。
21.根据权利要求20所述的装置,其特征在于,所述验证信息包括所述目标AP的标识信息和与所述标识信息对应的密码信息;
所述处理器执行所述程序时还实现以下步骤:
根据所述密码信息和随机数,获取所述密码信息对应的哈希值;
若所述哈希值与数据库中存储的所述标识信息对应的哈希值一致,则确定所述目标AP为合法AP。
22.根据权利要求21所述的装置,其特征在于,所述处理器执行所述程序时还实现以下步骤:
通过收发机获取所述目标AP发送的所述目标AP的标识信息和公钥证书;
在利用所述公钥证书对所述标识信息进行验证后,生成所述标识信息对应的密码信息;
通过收发机将所述密码信息发送给目标AP,并根据所述密码信息和随机数,生成所述标识信息对应的哈希值并进行保存。
23.一种设备鉴权装置,应用于目标AP,其特征在于,包括:
第一获取单元,用于获取本地服务中心LSC设备发送的第一时间戳和终端发送的第二时间戳,所述第二时间戳是由所述LSC设备发送给所述终端的,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
第一确定单元,用于在所述第一时间戳与所述第二时间戳一致的情况下,确定所述终端为所述目标AP的接入终端。
24.一种设备鉴权装置,应用于终端,其特征在于,包括:
第二获取单元,用于获取本地服务中心LSC设备发送的第二时间戳和目标接入节点AP发送的第一时间戳,所述第一时间戳和所述第二时间戳是所述LSC设备基于AP切换事件发送的时间戳;
第二确定单元,用于在所述第一时间戳和第二时间戳一致的情况下,确定所述目标AP为所述终端的接入AP。
25.一种设备鉴权装置,应用于本地服务中心LSC设备,其特征在于,包括:
第一接收单元,用于接收源AP发送的第二接入节点AP切换请求,所述第二AP切换请求用于请求终端进行AP切换;
第三确定单元,用于根据所述第二AP切换请求,确定目标AP,所述目标AP为所述终端进行AP切换后连接的AP;
第一收发单元,用于向所述目标AP发送第一时间戳,并向所述终端发送第二时间戳。
26.一种处理器可读存储介质,其特征在于,所述处理器可读存储介质存储有程序指令,所述程序指令用于使所述处理器执行如权利要求1至4中任一项所述的设备鉴权方法的步骤,或者执行如权利要求5至6中任一项所述的设备鉴权方法的步骤,或者执行如权利要求7至11中任一项所述的设备鉴权方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111392897.3A CN116156500A (zh) | 2021-11-23 | 2021-11-23 | 设备鉴权方法及装置 |
| PCT/CN2022/133205 WO2023093668A1 (zh) | 2021-11-23 | 2022-11-21 | 设备鉴权方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111392897.3A CN116156500A (zh) | 2021-11-23 | 2021-11-23 | 设备鉴权方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116156500A true CN116156500A (zh) | 2023-05-23 |
Family
ID=86372349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111392897.3A Pending CN116156500A (zh) | 2021-11-23 | 2021-11-23 | 设备鉴权方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116156500A (zh) |
| WO (1) | WO2023093668A1 (zh) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2034661A1 (en) * | 2007-09-07 | 2009-03-11 | Deutsche Telekom AG | Method and system for distributed, localized authentication in the framework of 802.11 |
| US10285053B2 (en) * | 2015-04-10 | 2019-05-07 | Futurewei Technologies, Inc. | System and method for reducing authentication signaling in a wireless network |
| CN108235317B (zh) * | 2016-12-21 | 2019-06-21 | 电信科学技术研究院有限公司 | 一种接入控制的方法及设备 |
| CN108235316B (zh) * | 2016-12-21 | 2019-09-17 | 电信科学技术研究院有限公司 | 一种加入接入节点组的方法及设备 |
| CN107733632A (zh) * | 2017-11-29 | 2018-02-23 | 四川大学 | 一种抗量子攻击的无线网络安全切换方法 |
| CN110505627B (zh) * | 2018-05-17 | 2022-05-06 | 大唐移动通信设备有限公司 | 一种基于接入节点组的认证方法及装置 |
| CN112237017B (zh) * | 2018-05-28 | 2024-04-12 | 三星电子株式会社 | 终端设备以及通过使用该终端设备识别恶意ap的方法 |
| CN113645622B (zh) * | 2021-07-08 | 2023-08-15 | 荣耀终端有限公司 | 设备鉴权方法、电子设备以及存储介质 |
-
2021
- 2021-11-23 CN CN202111392897.3A patent/CN116156500A/zh active Pending
-
2022
- 2022-11-21 WO PCT/CN2022/133205 patent/WO2023093668A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023093668A1 (zh) | 2023-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2009233486B2 (en) | Methods, apparatuses, and computer program products for providing multi-hop cryptographic separation for handovers | |
| US20080090572A1 (en) | Increasing a secret bit generation rate in wireless communication | |
| US10057766B2 (en) | Methods and systems for authentication interoperability | |
| KR20140052768A (ko) | 무선 통신 시스템에서 다중 기지국 협력 통신에 사용하는 단말의 통신 인증을 위한 보안키를 관리하는 방법 및 장치 | |
| CN114025352A (zh) | 终端设备的鉴权方法及其装置 | |
| WO2016154884A1 (zh) | 通信方法、用户设备和基站 | |
| WO2020056433A2 (en) | SECURE COMMUNICATION OF RADIO RESOURCE CONTROL (RRC) REQUEST OVER SIGNAL RADIO BEARER ZERO (SRBo) | |
| EP3562185B1 (en) | Method and device for joining access node group | |
| EP3565178B1 (en) | Message protection method, user device and core network device | |
| US20220338002A1 (en) | Security key generation in wireless networks | |
| CN106797559B (zh) | 一种接入认证方法及装置 | |
| US11405783B2 (en) | Access control method and device | |
| EP3046362B1 (en) | Distribution method, base station and user equipment | |
| EP3499834B1 (en) | Key negotiation method and apparatus | |
| CN107925874B (zh) | 超密集网络安全架构和方法 | |
| CN116156500A (zh) | 设备鉴权方法及装置 | |
| EP3796584B1 (en) | Improved physical layer security in wireless networks | |
| CN114158059B (zh) | 一种信息处理方法、装置、终端设备及网络侧设备 | |
| CN115412909A (zh) | 一种通信方法及装置 | |
| WO2024114205A1 (zh) | 密钥协商方法及装置 | |
| CN117896053A (zh) | 一种信息传输方法、装置及设备 | |
| CN118118163A (zh) | 密钥协商方法及装置 | |
| CN118118161A (zh) | 建立安全关联的方法、设备、装置及存储介质 | |
| CN117812583A (zh) | 密钥管理方法、装置及设备 | |
| CN116684865A (zh) | 通信的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |