CN116390088A - 开环传输下终端的安全认证方法、装置、电子设备及介质 - Google Patents

Abstract

本申请公开了一种开环传输下终端的安全认证方法、装置、电子设备及介质。通过应用本申请的技术方案，可以通过由锚节点代替核心网对终端设备进行初始的安全认证后再交由核心网进行简单的二次认证。从而一方面可以节省核心网的处理资源。另一方面也可以在核心网进行二次认证的过程中首先启动终端设备的业务服务，进而减少了终端的服务等待时间，在保证安全认证功能的情况下压缩网络设备入网到可服务的时延。

Description

开环传输下终端的安全认证方法、装置、电子设备及介质

技术领域

本申请中涉及通信处理技术，尤其是一种开环传输下终端的安全认证方法、装置、电子设备及介质。

背景技术

相对于传统闭环通信而言，主动式开环网络取消了全部的直接控制信令交互，得以实现网络时延极致化降低，从而更好地支持在5G以及6G垂直领域内的业务。

其中，为了更好的使用主动式开环网络，在终端设备连接到网络的过程中不可避免的需要进行身份认证，鉴权等安全认证过程。然而针对这一过程，现有方案中需要在终端设备—基站—核心网之间进行多次交互反馈，且设备需在认证及密钥协商等一系列安全过程完成后才能获得相应服务，这也导致耗费了网络的资源。

发明内容

本申请实施例提供一种开环传输下终端的安全认证方法、装置、电子设备及介质。从而解决相关技术中出现的，传统的终端认证过程较为耗费网络资源的问题。

其中，根据本申请实施例的一个方面，提供的一种开环传输下终端的安全认证方法，包括：

终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；

在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；

在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向锚节点发送初始认证请求之前，还包括：

所述终端设备向所述锚节点发送接入请求，所述接入请求中包括所述终端设备公钥、所述终端设备的前导码ID以及接入节点ID，所述接入节点为与所述锚节点相关联的，用于向所述终端设备转发消息的节点设备；

在所述锚节点接收到所述接入请求后，向所述终端设备反馈回复消息，所述回复消息包括所述锚节点的公钥以及终端前导码ID；

在所述终端设备基于所述终端前导码ID，确定所述回复消息指向自身后，利用所述锚节点公钥对所述初始认证请求进行加密，并用所述终端设备的私钥进行签名；

所述终端设备向所述锚节点发送所述加密与签名后的初始认证请求。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向所述锚节点发送所述加密与签名后的初始认证请求之后，还包括：

由所述锚节点利用所述终端设备公钥验证所述初始认证请求的签名；

在确定所述签名通过后，利用所述锚节点的私钥对所述加密后的初始认证请求进行解密，得到所述初始认证请求包括的终端设备ID以及认证向量；

其中，所述认证向量包括随机数以及认证令牌。

可选地，在基于本申请上述方法的另一个实施例中，在所述锚节点向所述终端设备发送初始认证响应信息之后，还包括：

在所述终端设备利用所述锚节点的公钥验证所述初始认证响应信息的签名；

若所述终端设备确定所述签名通过，利用所述终端设备私钥对所述初始认证响应消息进行解密后，向所述锚节点发送业务数据。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向所述锚节点发送业务数据之后，还包括：

所述锚节点基于所述业务数据，直接启动对所述终端设备的业务服务；

或，

所述锚节点检测是否接收到核心网发送的用于告知允许所述终端设备接入网络的第一通知消息；

若接收到，基于所述业务数据启动对所述终端设备的业务服务；

若未接收到，则在确定接收到所述第一通知消息后，启动对所述终端设备的业务服务。

可选地，在基于本申请上述方法的另一个实施例中，在所述锚节点向核心网发送目标认证请求之后，还包括：

在所述核心网对所述目标认证请求没有认证通过时，向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息。

可选地，在基于本申请上述方法的另一个实施例中，在所述核心网向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息之后，还包括：

所述锚节点检测是否接收到所述终端设备发送的业务数据；

若接收到，丢弃所述业务数据并关闭对所述终端设备的业务服务；以及，向所述终端设备发送用于告知重新进行认证请求的第二通知消息。

其中，根据本申请实施例的又一个方面，提供的一种开环传输下终端的安全认证装置，包括：

发送模块，被配置为终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；

认证模块，被配置为在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；

告知模块，被配置为在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

根据本申请实施例的又一个方面，提供的一种电子设备，包括：

存储器，用于存储可执行指令；以及

显示器，用于与所述存储器执行所述可执行指令从而完成上述任一所述开环传输下终端的安全认证方法的操作。

根据本申请实施例的还一个方面，提供的一种计算机可读存储介质，用于存储计算机可读取的指令，所述指令被执行时执行上述任一所述开环传输下终端的安全认证方法的操作。

本申请中，由终端设备向锚节点发送初始认证请求，初始认证请求中包括所述终端设备ID以及认证向量；在锚节点对接入请求消息进行认证通过后，向终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，目标认证请求包括所述终端设备ID以及认证向量；在终端设备接收到初始认证响应信息之后，向锚节点发送业务数据；以及，在核心网对目标认证请求进行认证通过后，向锚节点发送用于告知允许终端设备接入网络的第一通知消息。

通过应用本申请的技术方案，可以通过由锚节点代替核心网对终端设备进行初始的安全认证后再交由核心网进行简单的二次认证。从而一方面可以节省核心网的处理资源。另一方面也可以在核心网进行二次认证的过程中首先启动终端设备的业务服务，进而减少了终端的服务等待时间，在保证安全认证功能的情况下压缩网络设备入网到可服务的时延。

下面通过附图和实施例，对本申请的技术方案做进一步的详细描述。

附图说明

构成说明书的一部分的附图描述了本申请的实施例，并且连同描述一起用于解释本申请的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本申请，其中：

图1为本申请提出的一种开环传输下终端的安全认证方法示意图；

图2为本申请提出的一种开环传输下终端的安全认证方法的流程示意图；

图3为本申请提出的一种开环网络的架构示意图；

图4为本申请提出的一种开环传输下终端的安全认证方法中，终端设备与网络同步以及与锚节点交换公钥过程的示意图；

图5为本申请提出的电子装置的结构示意图；

图6为本申请提出的电子设备的结构示意图。

具体实施方式

现在将参照附图来详细描述本申请的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，不作为对本申请及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

另外，本申请各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本申请要求的保护范围之内。

需要说明的是，本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。

下面结合图1-图4来描述根据本申请示例性实施方式的用于进行开环传输下终端的安全认证方法。需要注意的是，下述应用场景仅是为了便于理解本申请的精神和原理而示出，本申请的实施方式在此方面不受任何限制。相反，本申请的实施方式可以应用于适用的任何场景。

本申请还提出一种开环传输下终端的安全认证方法、装置、电子设备及介质。

图1示意性地示出了根据本申请实施方式的一种开环传输下终端的安全认证方法的流程示意图。如图1所示，该方法应用于基站设备，包括：

S101，终端设备向锚节点发送初始认证请求，初始认证请求中包括终端设备ID以及认证向量。

S102，在锚节点对接入请求消息进行认证通过后，向终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，目标认证请求包括终端设备ID以及认证向量。

S103，在终端设备接收到初始认证响应信息之后，向锚节点发送业务数据；以及，在核心网对目标认证请求进行认证通过后，向锚节点发送用于告知允许终端设备接入网络的第一通知消息。

相关技术中，随着5G、6G的发展与工业新应用的出现，对网络通信性能的需求会进一步严苛。鉴于URLLC以及xURLLC指出的网络演进趋势，一种基于开环传输的主动式网络被提出以提供极限低时延高可靠通信。

其中，相对于传统闭环通信而言，主动式开环网络取消了全部的直接控制信令交互，得以实现网络时延极致化降低，从而更好地支持在5G以及6G垂直领域内的业务。

由上可见，由于主动式开环网络需要将用网终端设备与网络间的控制环节极限压缩，而终端设备入网过程不可避免需要进行身份认证，鉴权等安全认证过程。

然而，针对现有技术中的终端入网认证过程来说，现有方案安全认证过程需要在设备—基站—核心网进行多次交互反馈，且设备需在认证及密钥协商等一系列安全过程完成后才能获得相应服务，缺少对极限时延针对性的考虑。

针对上述存在的问题，本申请实施例提出一种开环传输下终端的安全认证方法。其不仅能够适用于开环主动式网络等极限时延需求的场景下的终端设备安全接入的身份认证方法。且还可以减少终端设备与核心网之间在认证过程的交互反馈，使部分认证过程与业务服务过程并行进行，从而压缩接入终端设备入网到使用业务服务的时延，尽快为设备提供服务，以满足极限时延场景下的需求。

一种方式中，本申请实施例中的锚节点可以为管理一定数量的接入节点的设备。作为示例的，锚节点可以为管理基站或管理服务器等等。

进一步的，相关技术中自动驾驶、智能化工厂等依托于URLLC的垂直行业应用对可靠性与时延要求进一步提高。为了顺应URLLC/增强URLLC标准演进趋势，前瞻性地考虑极限时延通信场景，以开环通信为基础的主动式网络被提出。开环主动式网络与传统闭环通信存在显著区别，其丢弃用户与网络之间复杂的反馈机制和控制信令，大大降低了传输时延。

如图3所示，本申请实施例中的开环网络可以由一个或多个接入节点(例如为接入基站)AP和管理AP的锚节点AN构成的无线接入部分。

其中，锚节点AN具有一定的计算、存储能力来管理接入网络，并直接与核心网相连。每个AN管理一定范围内的众多AP。当用户处于网络服务范围内时，由多个AP围绕用户形成一个虚拟小区使用CoMP技术协同提供服务。

可以理解的，在开环网络的上行链路中，单个用户到任何AP的每一次传输均采用开环通信，即不进行反馈确认以最大限度地减少通信延迟。通过多径传输形成空间分集接收，合理的利用多链路综合解码技术就可以为传输提供可靠性保障。

在开环网络的下行链路中，AN在雾计算/边缘计算的指令下分配多个AP与无线资源给用户，再次通过开环通信将分组发送到与虚拟小区相关联的AP，并最终发送到用户。此外，开环主动式网络通过结合预期移动性管理技术、用户检测等多种技术使其成为极具潜力的新型URLLC网络。

另外，对于终端设备的认证来说，其是一种网络与终端设备之间相互识别的过程，其安全目标是验证在网络设备或通信链路上执行管理及相关活动的设备的身份。

其中，认证一方面是对身份的认证，另一方面也是对不可否认性的保障。基于协议和算法层面，5G身份认证过程采用“挑战——响应”机制，即认证方向被认证方发送一个“挑战”——一般是一个随机数，被认证方基于双方共有长期密钥K，利用挑战中所包含的信息计算一个“响应”，并将该“响应”发回给认证方。(只有拥有密钥的参与方才能正确计算出该“响应”)。5G EPA-AKA基于长期密钥进行终端与网络的双向认证，二次利用“挑战——响应”机制。

另外，对于本申请实施例提出的公钥来说，可以为IBC公钥。其是一种基于身份标识的密码系统(Identity-Based Cryptograph,IBC)是一种非对称的公钥密码体系。

可以理解的，该体系中的每个用户有一对相关联的公钥和私钥，将用户的身份标识如设备ID、IP地址、手机号码等作为公钥发送至密钥生成中心。密钥生成中心通过SM9算法生成对应的用户私钥，发送给相应用户并由用户保存。认证时，用户双方交换公钥后，用对方公钥加密、自身私钥签名后发送信息。接收时，用对方公钥验证签名、自身私钥解密得到信息。即，IBC密码体系标准主要表现为IBE加解密算法组、IBS签名算法组。具体包括：

①标识密码加解密体制

由四部分组成,即包括系统参数生成(Setup)算法、密钥生成(Extract)算法、加密(Encrypt)算法和解密(Decrypt)算法。步骤描述如下：

Setup：给出一个安全参数k，输出系统参数params和主密钥MasterKey。其中，系统参数params是公开的，而主密钥MasterKey只有密钥生成中心知道。

Extract：利用params,MasterKey和ID返回私钥PrivateKeyID。ID是任意长度的字符串，作为加密时使用的公钥，PrivateKeyID是解密使用的私钥。

Encrypt：利用params和公钥ID对明文M进行加密，得出密文C，C＝Encrypt(params,M,ID)。

Decrypt：利用params和私钥PrivateKeyID对密文C进行解密，得出明文Decrpyt(params,C,PrivateKeyID)＝M。

②标识密码签名验证体制

由四个算法组成,即系统参数生成(Setup)算法、密钥生成(Extract)算法、签名(Significant)算法和验证(Verify)算法。其算法描述如下：

Setup和Extract同①标识密码加解密机制中的Setup和Extract。

Significant：输入待签的报文M、系统公开参数和用户私钥PrivateKeyID，生成签名(R,S)。

Verify：输入签名(R,S)、系统公开参数和用户身份(ID)，输出验证结果。

另外，对于本申请实施例提出的完整性保护来说，其是一种保证数据一致性，防止数据被非法用户篡改的技术手段。可以理解的，完整性是指用户具有的能力，传送或者接收的数据能够被验证准确性，并且不会被任何方式改变。常用的方法利用消息认证码(Message Authentication Code，MAC)：通信实体双方使用的一种验证机制，通过密钥和消息认证算法(加密、哈希等函数)对指定的消息进行运算，形成MAC。由于密钥的唯一性，MAC值不仅能进行消息完整性验证，还能进行通信实体的身份认证。

进一步的，本申请在此结合图2对方案进行具体说明：

步骤1、终端设备向锚节点发送接入请求。

其中，接入请求中包括终端设备公钥、终端设备的前导码ID以及接入节点ID。

一种方式中，在终端设备启动运行状态后，其会接收来自锚节点的基本系统消息，包括同步信号。

一种方式中，锚节点在与终端设备进行消息传递的过程中，可以通过其管理的所有接入节点的专用信道向终端转发基本系统消息。另外，接入节点转发基本系统消息时，需要将自身的ID添加至基本系统消息中，ID可以与锚节点预先协商分配确定。

一种方式中，接入节点可以为分别与终端设备和锚节点相通信连接的基站设备。也即锚节点在与终端设备进行信息传输的过程中，可以由该接入节点作为中间节点来实现。

进一步的，终端设备根据接收到的基本系统消息进行下行时间和信道频率同步，并通过相应的接入节点向锚节点发送包含终端的公钥和终端ID等参数的接入请求消息。

可选的，终端设备还可以将选择的接入节点的ID包括在接入请求消息中。

步骤2、在锚节点接收到接入请求后，向终端设备反馈回复消息。

其中，回复消息包括锚节点的公钥以及终端前导码ID。

一种方式中，如图4所示，锚节点需要响应接入请求消息，并将锚节点的公钥及终端前导码ID通过相应接入节点的专用信道反馈至终端设备。

步骤3、终端设备向锚节点发送加密后的初始认证请求。

一种方式中，终端设备在收到回复消息后，利用前导码ID判断是否属于自己的响应消息，并根据回复消息中的上行调整量进行调整后获得上行同步。此时，锚节点与终端设备互相知道对方的公钥，且保留唯一的私钥。

需要说明的是，本申请实施例中终端与锚节点的密钥可基于标识的密码技术IBC，公钥可采用设备ID+随机数的形式，并将其发送至密钥生成中心，密钥生成中心利用SM9标识密码算法计算生成对应IBC私钥后返回给相应的终端和锚节点。

进一步的，终端设备将初始认证请求进行加密、签名后通过接入节点专用信道发给锚节点。其中，初始认证请求中需要包括加密的终端设备ID(SUCI)、认证向量AV(Authentication Vector)。

具体来说，初始认证请求的加密过程可以用锚节点的公钥加密，用终端设备的私钥签名。一种方式中，认证向量AV可以包括随机数RAND、认证令牌AUTN。AUTN由长期密钥K、随机数RAND、序列号SQN等作为输入参数，通过AV生成函数产生MAC，AUTN＝SQN||…||MAC。

步骤4、由锚节点利用终端设备公钥验证初始认证请求的签名，并在锚节点确定签名通过后，利用锚节点的私钥对加密后的初始认证请求进行解密，得到初始认证请求包括的终端设备ID以及认证向量。

其中，认证向量包括随机数以及认证令牌。

一种方式中，锚节点在接收到初始认证请求后，可以用终端设备公钥验证签名，签名通过后用锚节点私钥解密，得到终端设备ID(SUCI)以及认证向量(AV)。

步骤5、在锚节点对接入请求消息进行认证通过后，向终端设备发送初始认证响应信息；以及，锚节点向核心网发送目标认证请求。之后进入步骤6a与步骤6b。

其中，目标认证请求包括终端设备ID以及认证向量

一种方式中，在锚节点对接入请求消息进行认证的过程通过后，锚节点一方面可以通过接入节点的专用信道发送初始认证响应信息给终端设备。

可选的，锚节点可以利用终端设备的公钥加密该消息，并用锚节点私钥签名。消息包括产生的随机数RAND*，RAND*可作为锚节点与终端设备所拥有的对称密钥进行数据加密。

另一种方式中，锚节点还可以发送目标认证请求消息至核心网。其中，目标认证请求消息包括SUCI、AV。

步骤6a、在核心网对目标认证请求进行认证通过后，向锚节点发送用于告知允许终端设备接入网络的第一通知消息。

可以理解的，如果核心网对目标认证请求没有认证通过时，向锚节点发送用于告知不允许终端设备接入网络的拒绝消息。

步骤6b、由终端设备利用锚节点的公钥验证初始认证响应信息的签名，并若终端设备确定签名通过，向锚节点发送业务数据。

可以理解的，核心网收到目标认证请求(即接收到SUCI、AV)后，可以将SUCI解密为SUPI。并利用长期密钥K、AUTN、RAND作为输入参数通过预设函数计算出XMAC，并与AUTN中的MAC进行比较。

若一致性通过，核心网可以对终端设备进行计费等一系列操作，并发送认证响应给锚节点，从而为终端提供业务服务。

若一致性不通过，核心网发送拒绝消息至锚节点，锚节点丢弃已接收到的终端传输的业务数据并中断服务。

此外，锚节点还可以通过接入节点转发用于告知其需要重新进行认证请求的第二通知消息至终端设备，以达到通知终端设备进行重认证的目的。

步骤7、锚节点基于业务数据，启动对终端设备的业务服务。

其中，启动对终端设备的业务服务包括两种情况：

第一种情况：

直接启动对终端设备的业务服务。

第二种情况：

锚节点检测是否接收到核心网发送的用于告知允许终端设备接入网络的第一通知消息；

若接收到，基于业务数据启动对终端设备的业务服务；

若未接收到，则在确定接收到第一通知消息后，启动对终端设备的业务服务。

本申请中，由终端设备向锚节点发送初始认证请求，初始认证请求中包括所述终端设备ID以及认证向量；在锚节点对接入请求消息进行认证通过后，向终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，目标认证请求包括所述终端设备ID以及认证向量；在终端设备接收到初始认证响应信息之后，向锚节点发送业务数据；以及，在核心网对目标认证请求进行认证通过后，向锚节点发送用于告知允许终端设备接入网络的第一通知消息。

通过应用本申请的技术方案，可以通过由锚节点代替核心网对终端设备进行初始的安全认证后再交由核心网进行简单的二次认证。从而一方面可以节省核心网的处理资源。另一方面也可以在核心网进行二次认证的过程中首先启动终端设备的业务服务，进而减少了终端的服务等待时间，在保证安全认证功能的情况下压缩网络设备入网到可服务的时延。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向锚节点发送初始认证请求之前，还包括：

所述终端设备向所述锚节点发送接入请求，所述接入请求中包括所述终端设备公钥、所述终端设备的前导码ID以及接入节点ID，所述接入节点为与所述锚节点相关联的，用于向所述终端设备转发消息的节点设备；

在所述锚节点接收到所述接入请求后，向所述终端设备反馈回复消息，所述回复消息包括所述锚节点的公钥以及终端前导码ID；

在所述终端设备基于所述终端前导码ID，确定所述回复消息指向自身后，利用所述锚节点公钥对所述初始认证请求进行加密，并用所述终端设备的私钥进行签名；

所述终端设备向所述锚节点发送加密与签名后的初始认证请求。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向所述锚节点发送加密与签名后的初始认证请求之后，还包括：

由所述锚节点利用所述终端设备公钥验证所述初始认证请求的签名；

在确定所述签名通过后，利用所述锚节点的私钥对所述加密后的初始认证请求进行解密，得到所述初始认证请求包括的终端设备ID以及认证向量；

其中，所述认证向量包括随机数以及认证令牌。

可选地，在基于本申请上述方法的另一个实施例中，在所述锚节点向所述终端设备发送初始认证响应信息之后，还包括：

在所述终端设备利用所述锚节点的公钥验证所述初始认证响应信息的签名；

若所述终端设备确定所述签名通过，利用所述终端设备私钥对所述初始认证响应消息进行解密后，向所述锚节点发送业务数据。

可选地，在基于本申请上述方法的另一个实施例中，在所述终端设备向所述锚节点发送业务数据之后，还包括：

所述锚节点基于所述业务数据，直接启动对所述终端设备的业务服务；

或，

所述锚节点检测是否接收到核心网发送的用于告知允许所述终端设备接入网络的第一通知消息；

若接收到，基于所述业务数据启动对所述终端设备的业务服务；

若未接收到，则在确定接收到所述第一通知消息后，启动对所述终端设备的业务服务。

可选地，在基于本申请上述方法的另一个实施例中，在所述锚节点向核心网发送目标认证请求之后，还包括：

在所述核心网对所述目标认证请求没有认证通过时，向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息。

可选地，在基于本申请上述方法的另一个实施例中，在所述核心网向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息之后，还包括：

所述锚节点检测是否接收到所述终端设备发送的业务数据；

若接收到，丢弃所述业务数据并关闭对所述终端设备的业务服务；以及，向所述终端设备发送用于告知重新进行认证请求的第二通知消息。

由上可见，本申请实施例采用了一种分段式的认证方式，也即一方面通过锚节点进行低复杂度的不完全认证以达到过滤掉大部分非网用户的目的，并同时向认证通过的终端即时提供服务。另一方面向核心网并行的执行高复杂度的完全认证过程。从而不仅达到将初始服务的接入时延大大降低。也能够实现设备的可信接入和数据安全传输，加强终端设备的安全防护能力。

本申请中，由终端设备向锚节点发送初始认证请求，初始认证请求中包括所述终端设备ID以及认证向量；在锚节点对接入请求消息进行认证通过后，向终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，目标认证请求包括所述终端设备ID以及认证向量；在终端设备接收到初始认证响应信息之后，向锚节点发送业务数据；以及，在核心网对目标认证请求进行认证通过后，向锚节点发送用于告知允许终端设备接入网络的第一通知消息。

通过应用本申请的技术方案，可以通过由锚节点代替核心网对终端设备进行初始的安全认证后再交由核心网进行简单的二次认证。从而一方面可以节省核心网的处理资源。另一方面也可以在核心网进行二次认证的过程中首先启动终端设备的业务服务，进而减少了终端的服务等待时间，在保证安全认证功能的情况下压缩网络设备入网到可服务的时延。

可选的，在本申请的另外一种实施方式中，如图5所示，本申请还提供一种开环传输下终端的安全认证装置。包括：

发送模块201，被配置为终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；

认证模块202，被配置为在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；

告知模块203，被配置为在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

通过应用本申请的技术方案，可以通过由锚节点代替核心网对终端设备进行初始的安全认证后再交由核心网进行简单的二次认证。从而一方面可以节省核心网的处理资源。另一方面也可以在核心网进行二次认证的过程中首先启动终端设备的业务服务，进而减少了终端的服务等待时间，在保证安全认证功能的情况下压缩网络设备入网到可服务的时延。

在本申请的另外一种实施方式中，认证模块202，被配置为：

所述终端设备向所述锚节点发送接入请求，所述接入请求中包括所述终端设备公钥、所述终端设备的前导码ID以及接入节点ID，所述接入节点为与所述锚节点相关联的，用于向所述终端设备转发消息的节点设备；

在所述锚节点接收到所述接入请求后，向所述终端设备反馈回复消息，所述回复消息包括所述锚节点的公钥以及终端前导码ID；

在所述终端设备基于所述终端前导码ID，确定所述回复消息指向自身后，利用所述锚节点公钥对所述初始认证请求进行加密，并用所述终端设备的私钥进行签名；

所述终端设备向所述锚节点发送加密与签名后的初始认证请求。

在本申请的另外一种实施方式中，认证模块202，被配置为：

由所述锚节点利用所述终端设备公钥验证所述初始认证请求的签名；

在确定所述签名通过后，利用所述锚节点的私钥对所述加密后的初始认证请求进行解密，得到所述初始认证请求包括的终端设备ID以及认证向量；

其中，所述认证向量包括随机数以及认证令牌。

在本申请的另外一种实施方式中，认证模块202，被配置为：

由所述终端设备利用所述锚节点的公钥验证所述初始认证响应信息的签名；

若所述终端设备确定所述签名通过，利用所述终端设备私钥对所述初始认证响应消息进行解密后，向所述锚节点发送业务数据。

在本申请的另外一种实施方式中，认证模块202，被配置为：

所述锚节点基于所述业务数据，直接启动对所述终端设备的业务服务；

或，

所述锚节点检测是否接收到核心网发送的用于告知允许所述终端设备接入网络的第一通知消息；

若接收到，基于所述业务数据启动对所述终端设备的业务服务；

若未接收到，则在确定接收到所述第一通知消息后，启动对所述终端设备的业务服务。

在本申请的另外一种实施方式中，认证模块202，被配置为：

在所述核心网对所述目标认证请求没有认证通过时，向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息。

在本申请的另外一种实施方式中，认证模块202，被配置为：

所述锚节点检测是否接收到所述终端设备发送的业务数据；

若接收到，丢弃所述业务数据并关闭对所述终端设备的业务服务；以及，向所述终端设备发送用于告知重新进行认证请求的第二通知消息。

图6是根据一示例性实施例示出的一种电子设备的逻辑结构框图。例如，电子设备300可以是电子设备。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器，上述指令可由电子设备处理器执行以完成上述开环传输下终端的安全认证方法，该方法包括：终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

可选地，上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性实施例中，还提供了一种应用程序/计算机程序产品，包括一条或多条指令，该一条或多条指令可以由电子设备的处理器执行，以完成上述开环传输下终端的安全认证方法，该方法包括：终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

可选地，上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。

图6为电子设备300的示例图。本领域技术人员可以理解，示意图6仅仅是电子设备300的示例，并不构成对电子设备300的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如电子设备300还可以包括输入输出设备、网络接入设备、总线等。

所称处理器302可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器302也可以是任何常规的处理器等，处理器302是电子设备300的控制中心，利用各种接口和线路连接整个电子设备300的各个部分。

存储器301可用于存储计算机可读指令303，处理器302通过运行或执行存储在存储器301内的计算机可读指令或模块，以及调用存储在存储器301内的数据，实现电子设备300的各种功能。存储器301可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据电子设备300的使用所创建的数据等。此外，存储器301可以包括硬盘、内存、插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)或其他非易失性/易失性存储器件。

电子设备300集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机可读指令来指令相关的硬件来完成，的计算机可读指令可存储于一计算机可读存储介质中，该计算机可读指令在被处理器执行时，可实现上述各个方法实施例的步骤。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种开环传输下终端的安全认证方法，其特征在于，包括：

终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；

在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；

在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

2.如权利要求1所述的方法，其特征在于，在所述终端设备向锚节点发送初始认证请求之前，还包括：

所述终端设备向所述锚节点发送接入请求，所述接入请求中包括所述终端设备公钥、所述终端设备的前导码ID以及接入节点ID，所述接入节点为与所述锚节点相关联的，用于向所述终端设备转发消息的节点设备；

在所述锚节点接收到所述接入请求后，向所述终端设备反馈回复消息，所述回复消息包括所述锚节点的公钥以及终端前导码ID；

在所述终端设备基于所述终端前导码ID，确定所述回复消息指向自身后，利用所述锚节点公钥对所述初始认证请求进行加密，并用所述终端设备的私钥进行签名；

所述终端设备向所述锚节点发送所述加密与签名后的初始认证请求。

3.如权利要求2所述的方法，其特征在于，在所述终端设备向所述锚节点发送所述加密与签名后的初始认证请求之后，还包括：

由所述锚节点利用所述终端设备公钥验证所述初始认证请求的签名；

在确定所述签名通过后，利用所述锚节点的私钥对所述加密后的初始认证请求进行解密，得到所述初始认证请求包括的终端设备ID以及认证向量；

其中，所述认证向量包括随机数以及认证令牌。

4.如权利要求1所述的方法，其特征在于，在所述锚节点向所述终端设备发送初始认证响应信息之后，还包括：

由所述终端设备利用所述锚节点的公钥验证所述初始认证响应信息的签名；

若所述终端设备确定所述签名通过，利用所述终端设备私钥对所述初始认证响应消息进行解密后，向所述锚节点发送业务数据。

5.如权利要求4所述的方法，其特征在于，在所述终端设备向所述锚节点发送业务数据之后，还包括：

所述锚节点基于所述业务数据，直接启动对所述终端设备的业务服务；

或，

所述锚节点检测是否接收到核心网发送的用于告知允许所述终端设备接入网络的第一通知消息；

若接收到，基于所述业务数据启动对所述终端设备的业务服务；

若未接收到，则在确定接收到所述第一通知消息后，启动对所述终端设备的业务服务。

6.如权利要求1所述的方法，其特征在于，在所述锚节点向核心网发送目标认证请求之后，还包括：

在所述核心网对所述目标认证请求没有认证通过时，向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息。

7.如权利要求6所述的方法，其特征在于，在所述核心网向所述锚节点发送用于告知不允许所述终端设备接入网络的拒绝消息之后，还包括：

所述锚节点检测是否接收到所述终端设备发送的业务数据；

若接收到，丢弃所述业务数据并关闭对所述终端设备的业务服务；以及，向所述终端设备发送用于告知重新进行认证请求的第二通知消息。

8.一种开环传输下终端的安全认证装置，其特征在于，包括：

发送模块，被配置为终端设备向锚节点发送初始认证请求，所述初始认证请求中包括所述终端设备ID以及认证向量；

认证模块，被配置为在所述锚节点对所述接入请求消息进行认证通过后，向所述终端设备发送初始认证响应信息；以及，向核心网发送目标认证请求，所述目标认证请求包括所述终端设备ID以及认证向量；

告知模块，被配置为在所述终端设备接收到所述初始认证响应信息之后，向所述锚节点发送业务数据；以及，在所述核心网对所述目标认证请求进行认证通过后，向所述锚节点发送用于告知允许所述终端设备接入网络的第一通知消息。

9.一种电子设备，其特征在于，包括：

存储器，用于存储可执行指令；以及，

处理器，用于与所述存储器执行所述可执行指令从而完成权利要求1-7中任一所述开环传输下终端的安全认证方法的操作。

10.一种计算机可读存储介质，用于存储计算机可读取的指令，其特征在于，所述指令被执行时执行权利要求1-7中任一所述开环传输下终端的安全认证方法的操作。

Images