CN116264692A - 非独立专网的接入控制方法、装置及存储介质 - Google Patents

非独立专网的接入控制方法、装置及存储介质 Download PDF

Info

Publication number
CN116264692A
CN116264692A CN202111532850.2A CN202111532850A CN116264692A CN 116264692 A CN116264692 A CN 116264692A CN 202111532850 A CN202111532850 A CN 202111532850A CN 116264692 A CN116264692 A CN 116264692A
Authority
CN
China
Prior art keywords
information
authentication
terminal
access
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111532850.2A
Other languages
English (en)
Inventor
周鸣晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202111532850.2A priority Critical patent/CN116264692A/zh
Priority to PCT/CN2022/128717 priority patent/WO2023109337A1/zh
Publication of CN116264692A publication Critical patent/CN116264692A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供了一种非独立专网的接入控制方法、装置及存储介质,该方法包括:获取终端的接入信息;根据接入信息对终端进行鉴权,得到鉴权信息;根据鉴权信息确定终端的鉴权状态;当确定鉴权状态为鉴权成功,根据鉴权信息确定终端的签约数据;根据接入信息和签约数据确定终端的校验状态;当确定校验状态为校验失败,向终端发送签约检查失败信息,从而避免在鉴权流程中错误地获取到了其他用户的上下文信息和签约信息,导致接入控制检验无效的问题,还能给予终端签约校验失败的反馈。

Description

非独立专网的接入控制方法、装置及存储介质
技术领域
本发明涉及但不限于通信技术领域,尤其涉及一种非独立专网的接入控制方法、装置及存储介质。
背景技术
专网是一种为了非公共用途而部署的5G系统,主要包含独立专网和非独立专网两大类。独立专网不依赖PLMN提供的网络功能,而非独立专网需要在PLMN支持下部署。由于非独立专网分配的网络切片并不能阻止未授权终端访问非独立专网,所以非独立专网需要在PLMN下有其对应的签约信息用来进行接入控制。
相关技术中,终端尝试接入非独立专网时,基站会在初始终端消息中携带专网接入信息发送到核心网,核心网会根据终端接入时携带的临时身份标识获取上下文信息和签约信息,并根据该上下文信息和签约信息进行鉴权流程,但是终端接入时携带的临时身份标识可能会和其他用户的临时身份标识产生冲突,因此错误地获取到了其他用户的上下文信息和签约信息,进而导致接入控制检验无效,另外,在相关技术中,在签约校验失败之后,核心网无法给予终端签约校验失败的反馈,导致用户无法获知鉴权失败的原因。
发明内容
以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。本发明实施例提供了一种非独立专网的接入控制方法、装置及存储介质,终端尝试接入非独立专网时,能够避免在鉴权流程中错误地获取到了其他用户的上下文信息和签约信息,导致接入控制检验无效的问题。
第一方面,本发明实施例提供了一种非独立专网的接入控制方法,包括:
获取终端的接入信息;根据所述接入信息对所述终端进行鉴权,得到鉴权信息;根据所述鉴权信息确定所述终端的鉴权状态;当确定所述鉴权状态为鉴权成功,根据所述鉴权信息确定所述终端的签约数据;根据所述接入信息和所述签约数据确定所述终端的校验状态;当确定所述校验状态为校验失败,向所述终端发送签约检查失败信息。
第二方面,本发明实施例还提供了一种非独立专网的接入控制方法,包括:
向核心网发送接入信息;
当接收到所述核心网返回的签约检查失败信息,执行反馈操作,其中,所述签约检查失败信息由所述核心网在获取到所述接入信息后,根据所述接入信息对所述终端进行鉴权,得到鉴权信息,再根据所述鉴权信息确定所述终端的鉴权状态,当所述核心网确定所述鉴权状态为鉴权成功,所述核心网根据所述鉴权信息确定所述终端的签约数据,再根据所述接入信息和所述签约数据确定所述终端的校验状态,当所述核心网确定所述校验状态为校验失败,所述核心网再向所述终端发送所述签约检查失败信息而来。
第三方面,本发明实施例还提供了一种非独立专网的接入控制装置,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述接入控制方法。
第四方面,本发明实施例还提供了一种终端设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第二方面所述接入控制方法。
第五方面,本发明实施例还提供了计算机可读存储介质,所述计算机可执行指令用于执行如第一方面所述接入控制方法,或者如第二方面所述接入控制方法。
本发明实施例包括:首先,获取终端的接入信息,根据所述接入信息对所述终端进行鉴权,得到鉴权信息;之后,根据所述鉴权信息确定所述终端的鉴权状态;当确定所述鉴权状态为鉴权成功,根据所述鉴权信息确定所述终端的签约数据;然后,根据所述接入信息和所述签约数据确定所述终端的校验状态;最后,当确定所述校验状态为校验失败,向所述终端发送签约检查失败信息。根据本发明实施例的提供的技术方案,能够避免在鉴权流程中因错误地获取到了其他用户的上下文信息和签约信息,导致接入控制检验无效的问题,同时能够在签约校验失败时,返回相应的失败信息回终端。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1是本发明一个实施例提供的用于执行接入控制方法的系统架构平台的示意图;
图2是本发明一个实施例提供的非独立专网的接入控制方法的流程图;
图3是本发明一个实施例提供的接入控制方法中确定鉴权状态的流程图;
图4是本发明一个实施例提供的接入控制方法中的确定校验状态的流程图;
图5是本发明一个实施例提供的另一种非独立专网的接入控制方法的流程图;
图6是本发明一个实施例提供的带有网元的用于执行接入控制方法的系统架构平台的示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书、权利要求书或上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
专网是一种为了非公共用途而部署的5G系统,主要包含独立专网和非独立专网两种,非独立专网需要在PLMN支持下部署,所以非独立专网需要在PLMN下有其对应的签约信息用来进行接入控制,终端尝试接入非独立专网时,核心网会根据终端接入时携带的临时身份标识来获取上下文信息和签约信息进行鉴权流程,但是终端接入时携带的临时身份标识可能会和其他用户的临时身份标识产生冲突,导致接入控制检验无效。
基于上述情况,本发明实施例提供了一种非独立专网的接入控制方法、装置及存储介质,该接入控制方法包括但不限于如下步骤:在获取到终端的接入信息后,先对终端的接入信息进行鉴权,得到鉴权信息,根据鉴权后得到的信息确定该终端的鉴权状态,当确定了该终端的鉴权状态为鉴权成功后,再根据鉴权信息获取到该终端的签约数据,然后在将接入信息和签约数据进行比对来确定终端的校验状态,最后,当确定校验状态为校验失败时,向终端发送签约检查失败信息。根据本发明实施例的技术方案,本发明实施例将根据接入信息和签约数据来确认校验状态的步骤推延到完成了鉴权流程之后,这样避免了在未获取到准确的鉴权信息之前因临时身份冲突导致签约校验无效,进而导致鉴权无效的问题。
下面结合附图,对本发明实施例作进一步阐述。
如图1所示,图1是本发明一个实施例提供的用于执行接入控制方法的系统架构平台的示意图。
在图1的示例中,该系统架构平台100设置有终端110和核心网120,其中,终端110和核心网120可以通过基站等方式进行信息交互。
基于上述系统架构平台,下面提出本发明的非独立专网的接入控制方法的各个实施例。
如图2所示,图2是本发明一个实施例提供的非独立专网的接入控制方法的流程图,该方法包括但不限于有步骤S110、步骤S120、步骤S130、步骤S140、步骤S150和步骤S160。
步骤S110,获取终端的接入信息;
步骤S120,根据接入信息对终端进行鉴权,得到鉴权信息;
步骤S130,根据鉴权信息确定终端的鉴权状态;
步骤S140,当确定鉴权状态为鉴权成功,根据鉴权信息确定终端的签约数据;
步骤S150,根据接入信息和签约数据确定终端的校验状态;
步骤S160,当确定校验状态为校验失败,向终端发送签约检查失败信息。
具体地,在终端尝试接入非独立专网的时,需要向核心网发送请求进行确认,其中,请求中包括接入信息,可以理解的是,终端可以将接入信息发送到基站,之后再由基站将接入信息转发至核心网侧,核心网侧收到接入信息之后,首先需要根据接收到的接入信息来对请求的终端进行鉴权,并获得鉴权信息,从鉴权信息中可以得知鉴权的详细情况,鉴权的情况可包括鉴权状态,当确定鉴权状态为鉴权成功后,通过鉴权信息可以准确地获取到对应终端的签约数据,再根据接入信息和签约数据来确定终端的校验状态,例如可以通过将接入信息和签约数据进行比对来确定终端的校验状态,最后,若确定校验状态为校验失败(如接入信息和签约数据比对产生错误、校验超时等),可以向终端发送签约检查失败信息,并阻止终端继续接入,进一步地,还可以根据之前确定好的鉴权状态来决定最终要返回给终端的反馈信息,以使终端作出后续的响应操作。在本发明实施例中,通过将签约校验的流程从鉴权流程中脱离开来并放到鉴权流程之后,这样在进行签约校验之前可以得到鉴权后的鉴权信息的保证,所以能够获取到正确的签约数据,进而确保鉴权和签约校验的流程既没有脱离原有的联系,又避免了在未获取到准确的鉴权信息之前因临时身份冲突导致签约校验无效,进而导致鉴权无效的问题。
此外,可以理解的是,当签约校验失败时向终端反馈信息,使得向终端签约校验失败的相关信息,可以让用户了解到具体接入的情况,减少无意义地接入核心网的次数,降低核心网的负载。
另外,需要说明的是,鉴权信息里可以包括有如用户永久标识符SUPI(Subscription Permanent Identifier)等可以用于标识终端唯一身份的真实身份信息,在上述实施例中,因为将核对签约数据的流程放在了鉴权流程之后,所以可以通过鉴权流程结束后的鉴权信息中的准确的身份信息来获取相应终端的签约信息,避免了在鉴权流程未完成的时候因终端的临时身份和其他用户的临时身份冲突导致了签约数据核对无效,进而导致整个鉴权流程无效的问题。
另外,需要注意的是,在上述实施例中,鉴权信息里可以用于标识终端唯一身份的真实身份信息中的唯一的概念可以是相对的,例如,可以通过检测用户所在的区域(例如所在省份、所在城市等等),为用户建立用户在其所在区域内的真实身份信息(如可以生成一个最新的区域序列号、建立该区域的数据库主键、利用序列号加随机数等等方式来确定用户在其所在区域内的真实身份信息),当检测到用户离开第一区域并移动到第二区域,可以为用户新生成一个第二区域的真实身份信息来确定用户在第二区域的唯一身份,或者,当当检测到用户离开第一区域并移动到第二区域,在一定时间内(如1天内、10小时内等等)临时使用用户永久标识符SUPI,这样可以在一定程度上避免反复使用用户永久标识符SUPI带来的安全方面的问题,同时也避免了用户在不同的区域内反复切换重复设置真实身份信息带来时间延迟问题。
另外,可以理解的是,在本发明实施例中,终端可以包括如手机、电视、电脑、移动路由器、无人汽车、无人机等能够与核心网进行信息交互(如,终端通过基站和核心网进行信息交互)的装置或设备。
示例性地,参照图6,以手机终端、基站以及核心网中包括的接入和移动管理功能AMF(Access and Mobility Management Function)、鉴权服务器功能AUSF(Authentication Server Function)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,手机需要接入到一个非独立专网,首先向基站发送接入非独立专网的接入信息,当接入信息发送到基站时,基站将该接入信息转发至AMF网元,在AMF网元接收到接入信息后,AMF网元向AUSF网元发送鉴权请求并携带接入信息,接入信息可以包括有加密后的身份信息如用户隐藏标识符SUCI(Subscription ConcealedIdentifier)等,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后AUSF网元会返回鉴权信息回到AMF网元,当AMF网元接收到返回的鉴权信息的时候,当根据鉴权信息确认到鉴权成功时,AMF网元根据获取到的鉴权信息再向UDM网元获取对应用户在接入PLMN下的的访问和移动性相关的签约数据,AMF网元根据终端接入信息和获取到的签约数据来确定终端的校验状态,若AMF网元确定校验状态为校验失败,AMF网元可以向所请求的手机发送签约检查失败信息,能够使用户得知接入失败的情况。
可以理解的是,在上述实施例中,在AMF网元接收到接入信息之后,先通过与AUSF网元到UDM网元的交互获取到鉴权信息,这样AMF网元在进行签约校验之前可以得到鉴权后的鉴权信息的保证,所以能够从UDM网元处获取到正确的签约数据,进而确保鉴权和签约校验的流程既没有脱离原有的联系,又避免了在未获取到准确的鉴权信息之前因临时身份冲突导致签约校验无效,进而导致鉴权无效的问题。
此外,还可以理解的是,在上述实施例中,由于最后的签约数据的校验是在AMF网元处完成的,所以当签约数据校验失败的时候,AMF网元能够返回给终端签约检查失败信息,使得终端处能够给予相应的提示,一定程度上避免过多无效的接入,避免给核心网带来无意义的负载。
另外,需要说明的是,本发明实施例所涉及的校验包括但不限于闭合接入组CAG(Closed Access Groups)校验。
另外,如图3所示,图3是本发明一个实施例提供的接入控制方法中确定鉴权状态的流程图,关于上述步骤S130中的根据鉴权信息确定终端的鉴权状态,包括但不限于有步骤S210和步骤S220。
步骤S210,当检测到鉴权信息含有终端的真实身份信息,确定终端的鉴权状态为鉴权成功;
步骤S220,当检测到鉴权信息不含有终端的真实身份信息,确定终端的鉴权状态为鉴权失败。
具体地,在本发明实施例中,核心网接收到接入信息的时候,首先先根据该接入信息开始对终端的鉴权,鉴权后会得到的鉴权信息,当检测到鉴权信息含有终端的真实身份信息,则可以确定终端的鉴权成功,当检测到鉴权信息不含有终端的真实身份信息或者含有错误标识、不通过标识等情况,则可以确定终端的鉴权失败。
示例性地,参照图6,以核心网中包括的接入和移动管理功能AMF(Access andMobility Management Function)、鉴权服务器功能AUSF(Authentication ServerFunction)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,在AMF网元接收到终端的接入信息,AMF网元向AUSF网元发送鉴权请求并携带该终端的接入信息,接入信息可以包括有加密后的身份信息如用户隐藏标识符SUCI(Subscription Concealed Identifier)等,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后,当鉴权成功时,AUSF网元会返回带有终端的真实身份信息的鉴权信息到AMF网元,当鉴权失败时,AUSF网元会返回不带有终端的真实身份信息、或者含有错误标识、不通过标识的鉴权信息到AMF网元,AMF网元根据是否含有真实身份信息、错误标识、不通过标识可以判断是否鉴权成功。由于鉴权的结果返回到了AMF网元处,所以当鉴权失败的时候,AMF网元能够返回给终端鉴权失败的反馈信息,使得终端处能够给予相应的提示,一定程度上避免过多无效的接入,避免给核心网带来无意义的负载。
关于上述步骤S140中的当确定鉴权状态为鉴权成功,根据鉴权信息确定终端的签约数据,包括但不限于有步骤S300。
步骤S300,当确定鉴权状态为鉴权成功,根据真实身份信息获取终端的签约数据。
具体地,在本发明实施例中,核心网接收到接入信息的时候,首先先根据该接入信息开始对终端的鉴权,鉴权后会得到的鉴权信息,当检测到鉴权信息含有终端的真实身份信息,则可以确定终端的鉴权成功,确定鉴权成功之后,可以根据鉴权信息中包含的终端的真实身份信息来获取到对应的终端的签约数据,以进行后续的签约检验。使用能够标识终端唯一身份的真实身份信息来获取签约数据能够保证签约数据的准确性,避免了临时身份冲突而获取到其他用户的上下文信息导致获取到错误的签约数据的问题。
示例性地,参照图6,以核心网中包括的接入和移动管理功能AMF(Access andMobility Management Function)、鉴权服务器功能AUSF(Authentication ServerFunction)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,AMF网元向AUSF网元申请鉴权,之后,AMF网元接收到的鉴权信息包含终端的真实身份信息,可以确定鉴权成功,AMF网元确定鉴权成功之后,AMF网元根据鉴权信息内的真实身份信息向UDM网元获取对应用户在接入PLMN下的的访问和移动性相关的签约数据,AMF网元根据终端接入信息和获取到的签约数据来确定终端的校验状态,当确定校验状态为校验失败时,可以返回签约检查失败信息到终端处。使用能够标识终端唯一身份的真实身份信息来获取签约数据能够保证签约数据的准确性,避免AMF网元处临时身份冲突获取到其他用户的上下文信息导致获取到错误的签约数据,进而导致签约检查校验流程的无效的问题,还能够提醒用户失败的具体情况。
另外,如图4所示,图4是本发明一个实施例提供的接入控制方法中的确定校验状态的流程图,上述步骤S110中的接入信息包括但不限于有小区信息,上述步骤S140中的签约数据包括但不限于有签约闭合接入组信息,其中,小区信息可用于表征终端所在的闭合接入组小区,签约闭合接入组信息可用于表征终端所签约的闭合接入组。在此基础上,关于上述步骤S150中的根据接入信息和签约数据确定终端的校验状态,包括但不限于有步骤S410和步骤S420。
步骤S410,当确定小区信息所表征的闭合接入组小区归属于签约闭合接入组信息所表征的闭合接入组,确定校验状态为校验成功;
步骤S420,当确定小区信息所表征的闭合接入组小区不归属于签约闭合接入组信息所表征的闭合接入组,确定校验状态为校验失败。
具体地,在本发明实施例中,终端的接入信息可包括小区信息,核心网接收到接入信息的时候,首先先根据该接入信息开始对终端的鉴权,鉴权后会得到的鉴权信息,当通过鉴权信息确认为鉴权成功之后,进入到签约检查校验流程,在该流程中,先根据鉴权信息获取到签约数据,签约数据中可以包括终端的签约闭合接入组信息,之后将小区信息和签约闭合接入组信息进行比对,判断签约闭合接入组信息所表征的闭合接入组是否归属于小区信息所表征的闭合接入组小区,当签约闭合接入组信息所表征的闭合接入组归属于小区信息所表征的闭合接入组小区,则可以表明该终端通过签约检查校验,确认校验状态为校验成功,否则,该终端未能签约检查校验,确认校验状态为校验失败。
示例性地,参照图6,以核心网中包括的接入和移动管理功能AMF(Access andMobility Management Function)、鉴权服务器功能AUSF(Authentication ServerFunction)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,在AMF网元接收到终端的带有终端所在的闭合接入组小区信息的接入信息后,AMF网元向AUSF网元发送鉴权请求并携带接入信息,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后AUSF网元会返回鉴权信息回到AMF网元,当AMF网元根据鉴权信息确认鉴权成功之后,AMF网元根据获取到的鉴权信息再向UDM网元获取带有该终端的签约闭合接入组信息的签约数据,AMF网元根据小区信息和签约闭合接入组信息判断签约闭合接入组信息所表征的闭合接入组是否归属于小区信息所表征的闭合接入组小区,当签约闭合接入组信息所表征的闭合接入组归属于小区信息所表征的闭合接入组小区,则可以表明该终端通过签约检查校验,确认校验状态为校验成功,否则,该终端未能签约检查校验,确认校验状态为校验失败,若校验失败,AMF网元会根据返回签约检查失败信息给终端,使终端执行后续操作。
可以理解的是,由于签约闭合接入组的校验是在AMF网元处完成的,所以当签约闭合接入组校验失败的时候,AMF网元能够返回给终端签约检查失败信息,使得终端处能够给予相应的提示,一定程度上避免过多无效的接入,避免给核心网带来无意义的负载。
另外,在上述步骤S150中的根据接入信息和签约数据确定终端的校验状态之后,包括但不限于有步骤S500。
步骤S500,当确定校验状态为校验成功,允许终端接入。
具体地,在本发明实施例中,核心网接收到接入信息的时候,首先先根据该接入信息进行对终端的鉴权,鉴权后会得到的鉴权信息,当根据该鉴权信息判断鉴权成功(如含有鉴权成功标识等),此时通过鉴权信息可以准确地获取到对应终端的签约数据,再根据接入信息和签约数据来确定终端的校验状态(如可以将接入信息和签约数据进行比对来确认校验状态),在鉴权成功的基础上,当确定校验状态为校验成功,此时允许终端接入。因为确定校验状态在鉴权流程之后,所以该校验状态的判断是准确的。
此外,需要注意的是,在上述实施例中,若根据该鉴权信息判断鉴权失败(如含有错误标识、超时标识、鉴权失败标识等),此时可向终端发送鉴权失败信息,并执行阻止终端接入的操作,减少了校验的步骤,减轻了核心网的负担。
示例性地,参照图6,以手机终端、基站以及核心网中包括的接入和移动管理功能AMF(Access and Mobility Management Function)、鉴权服务器功能AUSF(Authentication Server Function)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,手机需要接入到一个非独立专网,首先向基站发送接入非独立专网的接入信息,当接入信息发送到基站时,基站将该接入信息转发至AMF网元,在AMF网元接收到接入信息后,AMF网元向AUSF网元发送鉴权请求并携带接入信息,接入信息可以包括有加密后的身份信息如用户隐藏标识符SUCI(Subscription ConcealedIdentifier)等,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后AUSF网元会返回鉴权信息回到AMF网元,当AMF网元接收到返回的鉴权信息的时候,通过鉴权信息判断鉴权是否成功,当AMF网元根据该鉴权信息判断鉴权成功(如含有鉴权成功标识等),此时AMF网元通过鉴权信息可以准确地向UDM网元获取到对应终端的签约数据,AMF网元可以将接收到的接入信息和从UDM网元获取到的签约数据进行比对来确认校验状态;当AMF网元确定校验状态为校验成功,此时代表终端可以直接接入非独立专网。可以理解的是,因为在AMF网元进行签约校验之前已经完成了鉴权流程,所以校验状态的判断是准确的,校验成功后,可以直接允许终端接入。
此外,在上述实施例中,当鉴权失败的时候,AMF网元向终端发送鉴权失败信息,并执行阻止终端接入的操作,减少了校验的步骤,减轻了AMF网元和UDM网元的负担;
如图5所示,图5是本发明一个实施例提供的另一种非独立专网的接入控制方法的流程图,该方法包括但不限于有步骤S610和步骤S620。
步骤S610,向核心网发送接入信息;
步骤S620,当接收到核心网返回的签约检查失败信息,执行反馈操作,其中,签约检查失败信息由核心网在获取到接入信息后,根据接入信息对终端进行鉴权,得到鉴权信息,再根据鉴权信息确定终端的鉴权状态,当核心网确定鉴权状态为鉴权成功,核心网根据鉴权信息确定终端的签约数据,再根据接入信息和签约数据确定终端的校验状态,当核心网确定校验状态为校验失败,核心网再向终端发送签约检查失败信息而来。
具体地,当终端请求接入非独立专网时,可以通过基站向核心网发送接入信息,核心网侧收到接入信息之后,核心网首先需要根据接收到的接入信息来对请求的终端进行鉴权,并获得鉴权信息,从鉴权信息中可以得知鉴权的详细情况,鉴权的情况可包括鉴权状态,当核心网确定鉴权状态为鉴权成功后,核心网通过鉴权信息可以准确地获取到对应终端的签约数据,核心网再根据接入信息和签约数据来确定终端的校验状态,例如可以通过将接入信息和签约数据进行比对来确定终端的校验状态,最后,若核心网确定校验状态为校验失败时,则向终端发送签约检查失败信息,当终端接收到核心网返回的签约检查失败信息之后,执行后续的反馈操作,降低核心网的负担。
示例性地,参照图6,以手机终端、基站以及核心网中包括的接入和移动管理功能AMF(Access and Mobility Management Function)、鉴权服务器功能AUSF(Authentication Server Function)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,手机需要接入到一个非独立专网,首先向基站发送接入非独立专网的接入信息,当接入信息发送到基站时,基站将该接入信息转发至AMF网元,在AMF网元接收到接入信息后,AMF网元向AUSF网元发送鉴权请求并携带接入信息,接入信息可以包括有加密后的身份信息如用户隐藏标识符SUCI(Subscription ConcealedIdentifier)等,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后AUSF网元会返回鉴权信息回到AMF网元,当AMF网元接收到返回的鉴权信息的时候,当根据鉴权信息确认到鉴权成功时,AMF网元根据获取到的鉴权信息再向UDM网元获取对应用户在接入PLMN下的的访问和移动性相关的签约数据,AMF网元根据终端接入信息和获取到的签约数据来确定终端的校验状态,若AMF网元确认校验状态为校验失败的时候,AMF网元可以向终端发送签约检查失败信息,手机接收到签约检查失败信息后,执行后续的反馈操作,可以理解的是,反馈操作可以是停止正在执行接入操作等。
此外,在上述实施例中,终端还可以根据签约检查失败信息内的详细内容,做出反馈提示,使得终端能够指示用户接下来的行为,例如,当接入失败的时候,可以在手机屏幕上显示与签约检查失败信息相关的反馈提示,并提示用户不要请求过于频繁并停止终端访问等,以此降低核心网负担,可以理解的是,反馈提示可以是接入失败的对话框等,还可以在终端设置是否开启提示功能(例如可以在手机端的开发者模式下选择是否启用改提示功能),以供开发者等相关人员进行网络调试。
在本发明一实施例中,关于步骤S620中的执行反馈操作,包括但不限于有步骤S700。
步骤S700,停止访问核心网。
具体地,终端向核心发送接入信息,核心网根据接入信息对终端进行鉴权和签约校验,若核心网签约校验失败,核心网可以返回签约检查失败信息给终端,终端接收到签约检查失败信息之后,终端可执行后续的反馈操作,例如,当终端接收到签约检查失败信息,停止向核心网继续发送接入信息,以停止接入非独立专网,降低核心网的负担;此外,可以理解的是,当终端确定没有接收到签约检查失败信息,即表示授权成功,终端将会执行后续相应的接入非独立专网的操作。
另外,在上述实施例中,终端还可以根据签约检查失败信息的失败情况来进行反馈提示,例如终端上可发出签约检查失败提示,签约检查失败提示可以是对话框,并且对话框上显示签约检查失败的具体情况,还可以是失败提示音或者弹出相关的操作指南界面等,也可以在终端上决定是否开启失败提示功能(例如可以在手机的开发者模式下设置是否开启失败提示功能,开启后可方便开发者等相关人员进行调试)。
此外,在上述实施例中,终端还可以接收到鉴权状态信息,当终端确定鉴权状态信息为鉴权失败信息,终端上可以发出鉴权失败提示,停止发送接入非独立专网的请求,免去了校验的步骤,减轻了核心网的负担。
另外,需要注意的是,反馈操作和反馈提示的顺序不做要求,可以是反馈操作在先,也可是反馈操作在后,视具体情况而定,如先执行反馈操作的重要性大于先执行反馈提示的重要性,此时可以选择先执行操作,在这里不过多赘述。
示例性地,参照图6,以手机终端、基站以及核心网中包括的接入和移动管理功能AMF(Access and Mobility Management Function)、鉴权服务器功能AUSF(Authentication Server Function)、统一数据管理UDM(Unified Data Management)这三种网元为应用场景为例,在本发明实施例中,手机需要接入到一个非独立专网,首先向基站发送接入非独立专网的接入信息,当接入信息发送到基站时,基站将该接入信息转发至AMF网元,在AMF网元接收到接入信息后,AMF网元向AUSF网元发送鉴权请求并携带接入信息,接入信息可以包括有加密后的身份信息如用户隐藏标识符SUCI(Subscription ConcealedIdentifier)等,之后AUSF网元根据接入信息向UDM网元获取对应的鉴权数据来执行用户鉴权,执行完鉴权流程之后AUSF网元会返回鉴权信息回到AMF网元,当AMF网元接收到返回的鉴权信息的时候,首先AMF网元可根据鉴权信息判断鉴权是否成功,当AMF网元根据鉴权信息确认到鉴权成功时,AMF网元根据获取到的鉴权信息再向UDM网元获取对应用户在接入PLMN下的的访问和移动性相关的签约数据,AMF网元根据终端接入信息和获取到的签约数据来确定手机的校验状态,若AMF网元根据终端接入信息和获取到的签约数据确定手机的签约校验失败,AMF网元可以返回签约检查失败信息到手机,手机接收到签约检查失败信息后,此时手机屏幕上可以显示签约闭合接入组校验等校验失败的提示,还可以将签约检查失败信息中的闭合接入组的具体对比情况显示出来,方便用户了解到签约检查失败的具体原因,并停止发送加入非独立专网请求;若AMF网元根据终端接入信息和获取到的签约数据确定手机的签约校验成功,此时终端可以直接执行后续的接入操作,如PING校验、执行建立连接的握手等。
另外,需要说明的是,在上述实施例中,若鉴权失败,AMF网元还可以返回一个携带有鉴权失败信息的反馈信息到手机,手机接收到鉴权失败信息的反馈信息后,手机屏幕上可以显示鉴权失败、核对身份等鉴权失败提示,还可以根据反馈信息显示鉴权失败的具体原因,方便用户了解到鉴权失败的情况,并停止发送加入非独立专网请求,免去了校验的步骤,使用户明白出错的详情,减少了无效的尝试次数。
基于上述的非独立专网的接入控制方法,下面提出本发明的接入控制装置、终端设备和计算机可读存储介质的各个实施例。
另外,本发明的一个实施例还提供了一种接入控制装置,该接入控制装置包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。
另外,本发明的一个实施例还提供了一种终端设备,该终端设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。
处理器和存储器可以通过总线或者其他方式连接。
需要说明的是,本发明实施例中的接入控制装置和终端设备能够构成图1所示实施例中的系统架构平台的一部分,两者属于相同的发明构思,因此两者具有相同的实现原理以及有益效果,此处不再详述。
实现上述实施例的非独立专网的接入控制方法所需的非暂态软件程序以及指令存储在存储器中,当被处理器执行时,执行上述实施例的接入控制方法,例如,执行以上描述的图2至图5中的方法步骤,又或者是执行步骤S300、S500和S700。
此外,本发明的一个实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,计算机可执行指令用于执行上述的接入控制方法。例如,执行以上描述的图2至图5中的方法步骤,又或者是执行步骤S300、S500和S700。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统可以被实施为软件、固件、硬件及其适当的组合。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包括计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上是对本发明的较佳实施进行了具体说明,但本发明并不局限于上述实施方式,熟悉本领域的技术人员在不违背本发明精神的共享条件下还可作出种种等同的变形或替换,这些等同的变形或替换均包括在本发明权利要求所限定的范围内。

Claims (10)

1.一种非独立专网的接入控制方法,应用于核心网侧,包括:
获取终端的接入信息;
根据所述接入信息对所述终端进行鉴权,得到鉴权信息;
根据所述鉴权信息确定所述终端的鉴权状态;
当确定所述鉴权状态为鉴权成功,根据所述鉴权信息确定所述终端的签约数据;
根据所述接入信息和所述签约数据确定所述终端的校验状态;
当确定所述校验状态为校验失败,向所述终端发送签约检查失败信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述鉴权信息确定所述终端的鉴权状态,包括:
当检测到所述鉴权信息含有所述终端的真实身份信息,确定所述终端的鉴权状态为鉴权成功;
当检测到所述鉴权信息不含有所述终端的真实身份信息,确定所述终端的鉴权状态为鉴权失败;
其中,所述真实身份信息用于确定所述终端的唯一身份。
3.根据权利要求2所述的方法,其特征在于,所述当确定所述鉴权状态为鉴权成功,根据所述鉴权信息确定所述终端的签约数据,包括:
当确定所述鉴权状态为鉴权成功,根据所述真实身份信息获取所述终端的签约数据。
4.根据权利要求1所述的方法,其特征在于,所述接入信息包括小区信息,所述签约数据包括签约闭合接入组信息,其中,所述小区信息用于表征所述终端所在的闭合接入组小区,所述签约闭合接入组信息用于表征所述终端所签约的闭合接入组;
所述根据所述接入信息和所述签约数据确定所述终端的校验状态,包括:
当确定所述小区信息所表征的闭合接入组小区归属于所述签约闭合接入组信息所表征的闭合接入组,确定所述校验状态为校验成功;
当确定所述小区信息所表征的闭合接入组小区不归属于所述签约闭合接入组信息所表征的闭合接入组,确定所述校验状态为校验失败。
5.根据权利要求1所述的方法,其特征在于,在所述根据所述接入信息和所述签约数据确定所述终端的校验状态之后,所述方法还包括:
当确定所述校验状态为校验成功,允许所述终端接入。
6.一种非独立专网的接入控制方法,应用于终端,包括:
向核心网发送接入信息;
当接收到所述核心网返回的签约检查失败信息,执行反馈操作,其中,所述签约检查失败信息由所述核心网在获取到所述接入信息后,根据所述接入信息对所述终端进行鉴权,得到鉴权信息,再根据所述鉴权信息确定所述终端的鉴权状态,当所述核心网确定所述鉴权状态为鉴权成功,所述核心网根据所述鉴权信息确定所述终端的签约数据,再根据所述接入信息和所述签约数据确定所述终端的校验状态,当所述核心网确定所述校验状态为校验失败,所述核心网再向所述终端发送所述签约检查失败信息而来。
7.根据权利要求6所述的方法,其特征在于,所述执行反馈操作包括:
停止访问所述核心网。
8.一种非独立专网的接入控制装置,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5中任意一项所述接入控制方法。
9.一种终端设备,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求6至7中任意一项所述接入控制方法。
10.一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1至5中任意一项所述接入控制方法,或者如权利要求6至7中任意一项所述接入控制方法。
CN202111532850.2A 2021-12-15 2021-12-15 非独立专网的接入控制方法、装置及存储介质 Pending CN116264692A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111532850.2A CN116264692A (zh) 2021-12-15 2021-12-15 非独立专网的接入控制方法、装置及存储介质
PCT/CN2022/128717 WO2023109337A1 (zh) 2021-12-15 2022-10-31 非独立专网的接入控制方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111532850.2A CN116264692A (zh) 2021-12-15 2021-12-15 非独立专网的接入控制方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN116264692A true CN116264692A (zh) 2023-06-16

Family

ID=86723561

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111532850.2A Pending CN116264692A (zh) 2021-12-15 2021-12-15 非独立专网的接入控制方法、装置及存储介质

Country Status (2)

Country Link
CN (1) CN116264692A (zh)
WO (1) WO2023109337A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117202193B (zh) * 2023-11-08 2024-01-05 中国电子科技集团公司第三十研究所 基于宿主终端连接鉴权的通信模组安全防护方法及组件

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848994A (zh) * 2005-04-11 2006-10-18 华为技术有限公司 一种实现微波接入全球互操作系统鉴权的方法
CN103685201A (zh) * 2012-09-24 2014-03-26 中兴通讯股份有限公司 一种wlan用户固网接入的方法和系统
CN104185178A (zh) * 2013-05-22 2014-12-03 中国人民解放军总参谋部第六十一研究所 一种对移动终端鉴权的方法及装置
US11304170B2 (en) * 2018-08-13 2022-04-12 Samsung Electronics Co., Ltd Apparatus and method for registration on network in wireless communication system

Also Published As

Publication number Publication date
WO2023109337A1 (zh) 2023-06-22

Similar Documents

Publication Publication Date Title
CN106850580B (zh) 一种汽车账号系统及账号自动验证方法
CN114945021B (zh) 无人车远程调试方法、装置、系统及存储介质
CN112822222B (zh) 登录验证方法、自动登录的验证方法、服务端及客户端
CN109466366B (zh) 一种电动车的充电认证方法和装置
CN107086979B (zh) 一种用户终端验证登录方法及装置
CN110266642A (zh) 身份认证方法及服务器、电子设备
CN109466364A (zh) 一种身份认证的方法及装置
CN108990047B (zh) 签约关系管理数据准备平台的测试方法、装置及介质
EP3851983A1 (en) Authorization method, auxiliary authorization component, management server and computer readable medium
CN110312259A (zh) 伪基站识别方法、装置、终端及存储介质
CN110336870B (zh) 远程办公运维通道的建立方法、装置、系统及存储介质
CN110164005B (zh) 一种智能钥匙的注销方法及装置
CN114845355B (zh) 网络接入方法及装置、终端设备、网络设备、存储介质
CN105933905A (zh) 一种实现无线接入点连接认证的方法与设备
CN116264692A (zh) 非独立专网的接入控制方法、装置及存储介质
US20220134898A1 (en) Method and arrangement for protecting a charging station against improper use
CN114513829B (zh) 网络接入方法、装置、核心网、服务器及终端
WO2017181846A1 (zh) 车辆监控方法及装置、存储介质
CN103312673B (zh) 企业移动应用系统及其应用方法
CN104753927A (zh) 一种统一验证的方法和设备
CN109460647A (zh) 一种多设备安全登录的方法
CN116707844A (zh) 基于公共账号的行为追踪方法、装置、电子设备及介质
CN115292171A (zh) 一种基于容器云平台的微服务治理测试方法及系统
CN114499981A (zh) 一种视频访问方法及装置
CN117014997A (zh) 网络接入方法及装置、终端设备、网络设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination