CN116567626A - 设备鉴权方法、装置及通信设备 - Google Patents
设备鉴权方法、装置及通信设备 Download PDFInfo
- Publication number
- CN116567626A CN116567626A CN202210102685.5A CN202210102685A CN116567626A CN 116567626 A CN116567626 A CN 116567626A CN 202210102685 A CN202210102685 A CN 202210102685A CN 116567626 A CN116567626 A CN 116567626A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- network element
- authentication
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 115
- 238000004891 communication Methods 0.000 title abstract description 64
- 235000008331 Pinus X rigitaeda Nutrition 0.000 claims description 79
- 235000011613 Pinus brutia Nutrition 0.000 claims description 79
- 241000018646 Pinus brutia Species 0.000 claims description 79
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 claims description 71
- 230000006855 networking Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 description 44
- 238000007726 management method Methods 0.000 description 37
- 230000004044 response Effects 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 230000000694 effects Effects 0.000 description 10
- 230000001960 triggered effect Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000005406 washing Methods 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/14—Direct-mode setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请公开了一种设备鉴权方法、装置及通信设备,属于通信技术领域,本申请实施例的设备鉴权方法包括:第一终端获取第二终端的标识信息;所述第一终端向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
Description
技术领域
本申请属于通信技术领域,具体涉及一种设备鉴权方法、装置及通信设备。
背景技术
相关技术中,手机可以为其他设备开设WiFi热点,如使得笔记本通过手机上网。但是笔记本是个非第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)设备,通信网络并不能知晓笔记本正在上网,因此无法验证笔记本的合法性。如果非法设备通过手机接入网络,则手机和网络的安全通信存在风险。相关技术中并未描述非3GPP设备如何通过一个3GPP设备接入核心网。在个人物联网和固移融合的场景中,如何安全地让非3GPP设备接入核心网,是亟待解决的问题。
发明内容
本申请实施例提供一种设备鉴权方法、装置及通信设备,能够解决如何安全地让非3GPP设备接入核心网的问题。
第一方面,提供了一种设备鉴权方法,包括:
第一终端获取第二终端的标识信息;
所述第一终端向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
第二方面,提供了一种设备鉴权方法,包括:
第一网元接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息;
所述第一网元根据所述第一消息,触发对所述第二终端的鉴权流程。
第三方面,提供了一种设备鉴权装置,包括:
第一获取模块,用于获取第二终端的标识信息;
第一发送模块,用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
第四方面,提供了一种设备鉴权装置,包括:
第一接收模块,用于接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息;
处理模块,用于根据所述第一消息,触发对所述第二终端的鉴权流程。
第五方面,提供了一种终端,该终端包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
第六方面,提供了一种终端,包括处理器及通信接口,其中,所述处理器用于获取第二终端的标识信息,所述通信接口用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
第七方面,提供了一种网络侧设备,该网络侧设备包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第二方面所述的方法的步骤。
第八方面,提供了一种网络侧设备,包括处理器及通信接口,其中,所述通信接口用于接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息;所述处理器用于根据所述第一消息,触发对所述第二终端的鉴权流程。
第九方面,提供了一种设备鉴权系统,包括:终端及网络侧设备,所述终端可用于执行如第一方面所述的设备鉴权方法的步骤,所述网络侧设备可用于执行如第二方面所述的设备鉴权方法的步骤。
第十方面,提供了一种可读存储介质,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤,或者实现如第二方面所述的方法的步骤。
第十一方面,提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现如第一方面所述的方法,或实现如第二方面所述的方法。
第十二方面,提供了一种计算机程序/程序产品,所述计算机程序/程序产品被存储在存储介质中,所述计算机程序/程序产品被至少一个处理器执行以实现如第一方面所述的方法的步骤,或实现如第二方面所述的方法。
在本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
附图说明
图1表示本申请实施例可应用的一种通信系统的结构图;
图2表示本申请实施例的设备鉴权方法的流程示意图之一;
图3表示本申请实施例的设备鉴权方法的流程示意图之二;
图4表示本申请实施例的设备鉴权方法的交互示意图之一;
图5表示本申请实施例的设备鉴权方法的交互示意图之二;
图6表示本申请实施例的设备鉴权方法的交互示意图之三;
图7表示本申请实施例的设备鉴权方法的交互示意图之四;
图8表示本申请实施例的设备鉴权装置的模块示意图之一;
图9表示本申请实施例的通信设备的结构框图;
图10表示本申请实施例的终端的结构框图;
图11表示本申请实施例的设备鉴权装置的模块示意图之二;
图12表示本申请实施例的网络侧设备的结构框图之二。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”所区别的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”一般表示前后关联对象是一种“或”的关系。
值得指出的是,本申请实施例所描述的技术不限于长期演进型(Long TermEvolution,LTE)/LTE的演进(LTE-Advanced,LTE-A)系统,还可用于其他无线通信系统,诸如码分多址(Code Division Multiple Access,CDMA)、时分多址(Time DivisionMultiple Access,TDMA)、频分多址(Frequency Division Multiple Access,FDMA)、正交频分多址(Orthogonal Frequency Division Multiple Access,OFDMA)、单载波频分多址(Single-carrier Frequency Division Multiple Access,SC-FDMA)和其他系统。本申请实施例中的术语“系统”和“网络”常被可互换地使用,所描述的技术既可用于以上提及的系统和无线电技术,也可用于其他系统和无线电技术。以下描述出于示例目的描述了新空口(New Radio,NR)系统,并且在以下大部分描述中使用NR术语,但是这些技术也可应用于NR系统应用以外的应用,如第6代(6th Generation,6G)通信系统。
图1示出本申请实施例可应用的一种无线通信系统的框图。无线通信系统包括终端11和网络侧设备12。其中,终端11可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)或称为笔记本电脑、个人数字助理(Personal DigitalAssistant,PDA)、掌上电脑、上网本、超级移动个人计算机(ultra-mobile personalcomputer,UMPC)、移动上网装置(Mobile Internet Device,MID)、增强现实(augmentedreality,AR)/虚拟现实(virtual reality,VR)设备、机器人、可穿戴式设备(WearableDevice)、车载设备(VUE)、行人终端(PUE)、智能家居(具有无线通信功能的家居设备,如冰箱、电视、洗衣机或者家具等)、游戏机、个人计算机(personal computer,PC)、柜员机或者自助机等终端侧设备,可穿戴式设备包括:智能手表、智能手环、智能耳机、智能眼镜、智能首饰(智能手镯、智能手链、智能戒指、智能项链、智能脚镯、智能脚链等)、智能腕带、智能服装等。需要说明的是,在本申请实施例并不限定终端11的具体类型。网络侧设备12可以包括接入网设备或核心网设备,其中,接入网设备12也可以称为无线接入网设备、无线接入网(Radio Access Network,RAN)、无线接入网功能或无线接入网单元。接入网设备12可以包括基站、WLAN接入点或WiFi节点等,基站可被称为节点B、演进节点B(eNB)、接入点、基收发机站(Base Transceiver Station,BTS)、无线电基站、无线电收发机、基本服务集(BasicService Set,BSS)、扩展服务集(Extended Service Set,ESS)、家用B节点、家用演进型B节点、发送接收点(Transmitting Receiving Point,TRP)或所述领域中其他某个合适的术语,只要达到相同的技术效果,所述基站不限于特定技术词汇,需要说明的是,在本申请实施例中仅以NR系统中的基站为例进行介绍,并不限定基站的具体类型。核心网设备可以包含但不限于如下至少一项:核心网节点、核心网功能、移动管理实体(Mobility ManagementEntity,MME)、接入移动管理功能(Access and Mobility Management Function,AMF)、会话管理功能(Session Management Function,SMF)、用户平面功能(User Plane Function,UPF)、策略控制功能(Policy Control Function,PCF)、策略与计费规则功能单元(Policyand Charging Rules Function,PCRF)、边缘应用服务发现功能(Edge ApplicationServer Discovery Function,EASDF)、统一数据管理(Unified Data Management,UDM),统一数据仓储(Unified Data Repository,UDR)、归属用户服务器(Home SubscriberServer,HSS)、集中式网络配置(Centralized network configuration,CNC)、网络存储功能(Network Repository Function,NRF),网络开放功能(Network Exposure Function,NEF)、本地NEF(Local NEF,或L-NEF)、绑定支持功能(Binding Support Function,BSF)、应用功能(Application Function,AF)等。需要说明的是,在本申请实施例中仅以NR系统中的核心网设备为例进行介绍,并不限定核心网设备的具体类型。值得说明的是,上述核心网设备的功能可以由多个设备共同实现,也可以多个核心网设备的功能由一个设备实现,本申请实施例对此不做限定。在本申请实施例中,如果多个核心网设备的功能由一个设备实现,则本申请实施例中该多个核心网设备之间的交互为该设备内部操作。
为使本领域技术人员能够更好地理解本申请实施例,先进行如下说明。
1、个人物联网(Personal IoT Network,PIN)。
PIN是一个由至少一个PIN元素(PIN Element,PINE)构成的组,其中至少一个PIN元素为一个终端(User Equipment,UE)。PIN元素之间彼此通信。两个PIN元素可以通过它们之间的直接连接进行通信,也可以通过通信网络进行间接通信。
一个PIN元素为一个UE或一个非3GPP设备。一个PIN元素还可以为一个在无线局域网无5G能力的(Non-5G-Capable over WLAN,N5CW)设备。非3GPP设备指未使用3GPP定义的凭证的设备,不支持3GPP定义的NAS协议的设备,或者不支持3GPP接入技术(如3G/4G/5G空口技术)而只支持非3GPP接入技术(如WiFi,固网,蓝牙等接入技术)的设备。值得说明的是,当PIN元素为UE时,当它通过PEGC接入通信网络时,也可以执行非3GPP设备或N5CW设备的流程,例如,不使用UE的NAS与通信网络交互。也可以使用本申请实施例所描述的方案。
一个PIN中可以有一个或多个具有网关能力的PIN元素(PIN Element WithGateway Capability,PEGC)。该PIN中的PIN元素互相之间可以直接交互通信或者通过PEGC进行通信。该PIN中的PIN元素和该PIN外的其他设备或应用服务器可以通过PEGC进行通信。PEGC可以是智能家居场景中的网关,也可以是可穿戴设备场景中的手机。
2、固移融合(Wireline Wireless Convergence,WWC)。
当前的3GPP 5G核心网支持固定网络接入,包括支持家庭网关(ResidentialGateway,RG)通过固定网络和3GPP网络接入5G核心网,也包括3GPP终端设备通过家庭网关接入到5G核心网。
下面结合附图,通过一些实施例及其应用场景对本申请实施例提供的设备鉴权方法进行详细地说明。
如图2所示,本申请实施例提供了一种设备鉴权方法,包括:
步骤201:第一终端获取第二终端的标识信息。
本申请实施例中,第一终端为个人物联网网关,第二终端为无法使用NAS协议的设备。作为一种可选地实现方式,第二终端为非3GPP设备或者为个人物联网设备,作为另外一种可选地实现方式,第二终端为3GPP设备,第二终端与第一终端之间的连接不支持NAS协议的传输。
可选地,上述第一终端也可以为家庭网关。该第一终端和第二终端之间可以通过WiFi蓝牙或无源物联网(例如,Passive IoT)技术等建立连接。值得说明的是,当第一终端和第二终端通过无源物联网建立连接时,第二终端可以为3GPP设备或非3GPP设备,无源物联网技术也可以为3GPP接入技术或非3GPP接入技术。
步骤202:所述第一终端向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一信息用于触发对所述第二终端的鉴权流程。
其中,所述第一网元为移动性管理网元或会话管理网元,如该移动性管理网元为接入和移动性管理功能(Access and Mobility Management Function,AMF),该会话管理网元为会话管理功能(Session Management Function,SMF)。
本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
可选地,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
可选地,所述第一终端向第一网元发送第一请求,包括:
所述第一终端通过所述第一终端和所述第一网元之间的非接入层(Non AccessStratum,NAS)连接发送所述第一消息。
可选地,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
个人物联网指示信息;
无源物联网指示信息。
可选地,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
可选地,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
可选地,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制(Medium Access Control,MAC)地址;
第二终端的设备标识;
第二终端的国际移动用户识别码(International Mobile SubscriberIdentity,IMSI);
第二终端的签约永久标识(Subscription Permanent Identifier,SUPI);
第二终端的签约加密标识(Subscription Concealed Identifier,SUCI);
第二终端的一般公共签约标识(Generic Public Subscription Identifier,GPSI)。
作为第一种可选的实现方式,所述第一终端获取第二终端的标识信息,包括:
第一终端在与第二终端建立连接(如L2连接)的过程中,获取第二终端的标识信息。
或者,第一终端通过对第二终端的鉴权流程获取第二终端的标识信息。可选地,第二终端关联或连接第一终端的无线局域网(Wireless Local Area Network,WLAN)。示例性的,第一终端和第二终端使用EAP鉴权流程。
示例性地,上述鉴权流程可具体包括:
第一终端向第二终端发送EAP-Req/Identity消息,第二终端向第一终端发送EAP-Res/Identity消息,该EAP-Res/Identity消息中包含第二终端的标识信息。其中,第二终端的标识信息可以通过网络接入标识(Network Access Identity,NAI)发送。可选地,第二终端可以指示其不支持使用NAS接入核心网,或者,希望不用NAS接入核心网,例如,NAI中可以包含字段5gc-nn表示它不支持NAS接入5GC,或者它希望不用NAS接入5GC。
第二终端的标识信息可以用于在PIN中或5G系统中标识该第二终端。
作为第二种可选的实现方式,所述第一终端获取第二终端的标识信息,包括:
第一终端获取第二终端发送的第一目标请求消息,所述第一目标请求消息用于与第一终端设备建立安全连接。示例性的,第一目标请求消息可为网络密钥交换(InternetKey Exchange,IKE)_AUTH请求消息,所述第一目标请求消息包括所述第二终端的标识信息。
该实现方式中,在第一终端获取第二终端发送的第一目标请求消息之前,第一终端与第二终端之间建立L2连接,第二终端获取一个IP地址,且第一终端与第二终端建立IP安全联结(IPsec Security Association,IPSec SA)。
示例性的,第二终端关联或连接上第一终端的WLAN,并从第一终端的WLAN中获得一个IP地址,第二终端可以用动态主机配置协议(Dynamic Host ConfigurationProtocol,DHCP)请求或其他请求消息请求获取IP地址。
可选地,第一终端可以先对第二终端进行鉴权,在进行鉴权后再为所述第二终端分配一个IP地址。
该实现方式中,作为一种可能的实施方式,第二终端向第一终端发送第二目标请求消息,该第二目标请求消息可具体为IKE_AUTH请求消息,且该第二目标请求消息中不携带AUTH参数,表示需要使用EAP鉴权。第一终端向第二终端发送响应消息,如IKE_AUTH响应消息,该响应消息中包含EAP请求消息。第二终端向第一终端发送IKE_AUTH请求消息,其中包括EAP响应消息,包括第二终端的标识信息。
本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
如图3所示,本申请实施例还提供了一种设备鉴权方法,包括:
步骤301:第一网元接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息。
其中,所述第一网元为移动性管理网元或会话管理网元,如该移动性管理网元为接入和移动性管理功能(Access and Mobility Management Function,AMF),该会话管理网元为会话管理功能(Session Management Function,SMF)。
步骤302:所述第一网元根据所述第一消息,触发对所述第二终端的鉴权流程。
示例性地,第一终端为个人物联网网关,第二终端为无法使用NAS协议的设备。作为一种可选地实现方式,第二终端为非3GPP设备或者为个人物联网设备。,作为另外一种可选地实现方式,第二终端为3GPP设备,第二终端与第一终端之间的连接不支持NAS协议的传输。上述第一终端也可以为家庭网关。该第一终端和第二终端之间可以通过WiFi蓝牙或Passive IoT技术等建立连接。值得说明的是,当第一终端和第二终端通过无源物联网建立连接时,第二终端可以为3GPP设备或非3GPP设备,无源物联网技术也可以为3GPP接入技术或非3GPP接入技术。
本申请实施例中,第一网元接收第一终端发送的包含第二终端的标识信息的第一消息,并基于该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
可选地,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
可选地,所述第一网元接收第一终端发送的第一消息,包括:
所述第一网元通过所述第一终端和所述第一网元之间的NAS连接接收所述第一消息。
可选地,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
可选地,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
可选地,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
可选地,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
可选地,所述第一网元根据所述第一消息,触发对所述第二终端的鉴权流程,包括:
所述第一网元根据所述第一消息,向第二网元发送第二消息,所述第二消息用于请求对所述第二终端进行鉴权。
可选地,所述第一网元为移动性管理网元,所述第二网元为鉴权服务器网元;
或者,所述第一网元为会话管理网元,所述第二网元为移动性管理网元。
在本申请的一实施例中,假设上述第一终端为PEGC,上述第二终端为PINE,如图4所示,上述设备鉴权方法包括:
步骤401:PINE与PEGC之间建立L2连接。
示例性的,PINE关联或连接上PEGC的WLAN。
步骤402:PEGC发起鉴权流程,以获取PINE的标识信息。
PINE向PEGC发送自己的标识信息。
示例性的,PEGC和PINE使用EAP鉴权流程。例如,PEGC向PINE发送EAP-Req/Identity消息。PINE向PEGC发送EAP-Res/Identity消息,其中包括自己的标识。PINE的标识可以以网络接入标识(Network Access Identity,NAI)的形式发送。可选的,PINE可以指示它不支持NAS接入5GC,或者它希望不用NAS接入5GC。例如,NAI中可以包括字段5gc-nn表示它不支持NAS接入5GC,或者它希望不用NAS接入5GC。
示例性的,PINE发送的NAI可以为type1.rid678.schid0.useriduser17@nai.5gc-nn.mnc123.mcc45.3gppnetwork.org。
PINE的标识信息用于在PIN中或5G系统中标识该PINE,例如可以为PINE的MAC地址,PINE的设备标识,IMSI,SUPI,SUCI,或GPSI等。
步骤403:PEGC向AMF发送NAS消息,指示将PINE接入核心网。
示例性的,PEGC向AMF发送注册请求消息,其中包括注册类型,PEGC的标识、PINE的标识中至少一个。其中,注册类型可以指示为PINE注册,或者指示为非3GPP设备注册。注册请求消息也可以为PINE注册请求消息或非3GPP设备注册请求消息,指示将PINE接入核心网。PINE的标识本身也可以指示需要将PINE接入核心网。或者,NAS消息中还可以携带N5CW指示,或者无源物联网指示,指示为N5CW设备或无源物联网设备请求接入。或者NAS消息中还可以包括为不支持NAS的终端请求接入的指示,指示为通过PEGC接入5GC时不支持NAS的设备请求接入。
PEGC可以通过自身与AMF之间的NAS连接发送上述NAS消息。该AMF为服务于PEGC的AMF。
步骤404:AMF接收到步骤3中的NAS消息后,触发核心网对PINE的鉴权流程。
示例性的,AMF向AUSF发送鉴权请求,其中包括PIN指示或非3GPP指示。PINE和鉴权服务功能(Authentication Server Function,AUSF)之间执行EAP鉴权流程。鉴权成功后,AUSF向AMF发送EAP-Success消息。
步骤405:AMF向PEGC发送NAS消息,用以指示PINE成功接入核心网。
本申请实施例中,上述注册请求消息也可以为其他NAS消息,此处不做具体限定。
本实施例中PEGC可以换成家庭网关(Residential Gateway,RG),PINE也可以换成其他非3GPP设备。另,本申请实施例中,核心网有时也称5G核心网(5G Core network,5GC)或5G系统(5G System,5GS)。接入核心网也可以称为接入通信网络。
值得说明的是,通信系统对PINE的鉴权也可以是可选的。例如,在通信系统信任PEGC的情况下,通信系统也可以不对通过PEGC接入的PINE进行鉴权。因此,步骤404是可选的。可选的,步骤404可以替换成,AMF接收到NAS消息后,根据其中将PINE接入核心网的指示确定不执行对PINE的鉴权。本申请实施例中步骤2中PEGC也可以只是获得PINE的标识信息,而不是为了发起对PINE的鉴权流程。
在本申请的另一实施例中,假设上述第一终端为PEGC,上述第二终端为PINE,如图5所示,上述设备鉴权方法包括:
步骤501:PINE与PEGC之间建立连接,并获得一个IP地址。
示例性的,PINE关联或连接上PEGC的WLAN,并从PEGC的WLAN中获得一个IP地址。PINE可以用DHCP请求或其他消息请求获取IP地址,对此本申请实施例不做具体限定。
可选的,PEGC可以先对PINE鉴权再为PINE分配一个IP地址。PEGC使用什么信息对PINE鉴权本申请实施例不做具体限制。
步骤502:PINE与PEGC建立IP安全联结。
示例性的,PINE与PEGC之间交互IKE initial消息以建立IP安全联结。
步骤503:PINE向PEGC发送IKE_AUTH请求消息。
作为一种可能的实施方式,IKE_AUTH请求消息中包括PINE的标识信息。PINE的标识信息可以参考步骤402中的描述。
作为另一种可能的实施方式,PINE向PEGC发送IKE_AUTH请求消息,其中不携带AUTH参数,表示需要使用EAP鉴权。PEGC向PINE发送IKE_AUTH响应消息,其中包括EAP请求消息。PINE向PEGC发送IKE_AUTH请求消息,其中包括EAP响应消息,包括PINE的标识信息。
步骤504:PEGC向AMF发送NAS消息,用以将PINE接入核心网。
具体参见上述实施例中步骤403的描述。
步骤505:AMF接收到NAS消息后,触发核心网对PINE的鉴权流程。
该步骤可参考上述步骤404的描述,不同的是,PINE与PEGC之间使用IKE消息传递鉴权流程交互信息。
步骤506:AMF向PEGC发送NAS消息,用以指示PINE成功接入核心网。
本实施例中的注册请求消息也可以替换成其它的NAS消息,本实施例对此不做具体限定。
值得说明的是,通信系统对PINE的鉴权也可以是可选的。例如,在通信系统信任PEGC的情况下,通信系统也可以不对通过PEGC接入的PINE进行鉴权。因此,步骤505是可选的。可选的,步骤404可以替换成,AMF接收到NAS消息后,根据其中将PINE接入核心网的指示确定不执行对PINE的鉴权。
在本申请的又一实施例中,假设上述第一终端为PEGC,上述第二终端为PINE,如图6所示,上述设备鉴权方法包括:
步骤601:PINE与PEGC之间建立L2连接。
步骤602:PEGC发起鉴权流程,以获取PINE的标识信息。
步骤601和602可以参考步骤401和402的描述,此处不再赘述。
步骤603:PEGC向AMF发送NAS消息,用以将PINE接入核心网。
NAS消息中包括注册类型,PEGC的标识、PINE的标识中至少一个。其中,注册类型可以指示为PINE注册,或者指示为非3GPP设备注册。NAS消息也可以为PINE注册请求消息或非3GPP设备注册请求消息。PINE的标识本身也可以指示需要将PINE接入核心网。或者,NAS消息中还可以携带N5CW指示,或者无源物联网指示,指示为N5CW设备或无源物联网设备请求接入。或者NAS消息中还可以包括为不支持NAS的终端请求接入的指示,指示为通过PEGC接入5GC时不支持NAS的设备请求接入。
可选地,NAS消息中包括N1会话管理(Session Management,SM)消息。用以向SMF指示将PINE接入核心网。
N1 SM消息可以为PDU会话建立请求消息,也可以为其他N1 SM消息。
上述注册类型,PEGC的标识、PINE的标识中的至少一项可以包括在N1 SM消息中。
PEGC可以通过自身与AMF之间的NAS连接发送上述NAS消息。该AMF为服务于PEGC的AMF。
步骤604:AMF向SMF发送N11消息,用以将PINE接入核心网。
N11消息中包括注册类型,PEGC的标识、PINE的标识中的至少一项。
如果步骤603中包括N1 SM消息,则AMF向SMF发送N1 SM消息。
示例性的,N11消息可以为PINE会话建立请求消息。
本步骤的N11消息也可以表示为PINE建立会话通道或分配网络资源。
步骤605:SMF向AMF发送N11消息的响应消息,用以触发对PINE的鉴权流程。
该N11消息的响应消息中可以包括PINE的标识。可选的,还可以包括PEGC的标识。
SMF可以为服务于PEGC的会话管理网元。可以根据PEGC的签约,运营商策略等确定需要对PINE鉴权。
示例性的,该N11消息的响应消息可以为PINE鉴权请求消息。
步骤606:AMF触发核心网对PINE的鉴权流程。
步骤606可以参考步骤404的描述。
步骤607:AMF向SMF发送N11消息,指示PINE鉴权成功。
示例性的,该N11消息可以为PINE鉴权响应消息。
本申请实施例中,步骤605至步骤607为可选步骤。
可选的,SMF向AMF发送N11消息,指示PINE会话建立成功。
示例性的,该N11消息可以为PINE会话建立响应消息。
可选的,AMF向PEGC发送NAS消息,指示PINE接入成功。
示例性的,该NAS消息可以为PINE注册或非3GPP设备注册请求消息。
可选的,SMF为PINE分配用户面资源或者分配会话资源。该方案可以由步骤603中的一条NAS消息同时触发鉴权和会话建立,节约网络资源。
通过上述步骤,PINE成功接入5GC。也可以认为PINE的会话通道建立完毕或网络成功为PINE分配了资源。
值得说明的是,通信系统对PINE的鉴权也可以是可选的。例如,在通信系统信任PEGC的情况下,通信系统也可以不对通过PEGC接入的PINE进行鉴权。因此,步骤605-607可以不执行,或者,步骤606不执行。可选的,步骤605可以替换成,SMF接收到N11消息后,根据其中将PINE接入核心网的指示确定不执行对PINE的鉴权。或者,步骤606可以替换成,AMF接收N11消息的响应消息后,根据其中PINE的标识和/或PEGC的标识确定不执行对PINE的鉴权。本申请实施例中步骤602中PEGC也可以只是获得PINE的标识信息,而不是为了发起对PINE的鉴权流程。
在本申请的再一实施例中,假设上述第一终端为PEGC,上述第二终端为PINE,如图7所示,上述设备鉴权方法包括:
步骤701:PINE与PEGC之间建立连接,并获得一个IP地址。
具体可以参考步骤501的描述。
步骤702:PINE与PEGC建立IP安全联结。
示例性的,PINE与PEGC之间交互IKE initial消息以建立IP安全联结。
步骤703:PINE向PEGC发送IKE_AUTH请求消息。
具体可以参考步骤503的描述。
步骤704:PEGC向AMF发送NAS消息,用以将PINE接入核心网。
步骤705:AMF向SMF发送N11消息,用以将PINE接入核心网。
步骤706:SMF向AMF发送N11消息的响应消息,用以触发对PINE的鉴权流程。
步骤707:AMF触发核心网对PINE的鉴权流程。
步骤708:AMF向SMF发送N11消息,指示PINE鉴权成功。
本申请实施例中,上述步骤706至步骤708为可选步骤。
上述步骤704至步骤708可以参考上述步骤603至步骤607的描述。
可选的,SMF向AMF发送N11消息,指示PINE会话建立成功。
示例性的,该N11消息可以为PINE会话建立响应消息。
可选的,AMF向PEGC发送NAS消息,指示PINE接入成功。
示例性的,该NAS消息可以为PINE注册或非3GPP设备注册请求消息。
可选的,SMF为PINE分配用户面资源或者分配会话资源。该方案可以由步骤703中的一条NAS消息同时触发鉴权和会话建立,节约网络资源。
通过上述步骤,PINE成功接入5GC。也可以认为PINE的会话通道建立完毕或网络成功为PINE分配了资源。
本申请实施例中,通过3GPP终端设备辅助非3GPP设备接入5G核心网进行鉴权,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,保障了通信安全。
值得说明的是,通信系统对PINE的鉴权也可以是可选的。例如,在通信系统信任PEGC的情况下,通信系统也可以不对通过PEGC接入的PINE进行鉴权。因此,步骤706-708可以不执行,或者,步骤707不执行。可选的,步骤706可以替换成,SMF接收到N11消息后,根据其中将PINE接入核心网的指示确定不执行对PINE的鉴权。或者,步骤707可以替换成,AMF接收N11消息的响应消息后,根据其中PINE的标识和/或PEGC的标识确定不执行对PINE的鉴权。
本申请实施例提供的设备鉴权方法,执行主体可以为设备鉴权装置。本申请实施例中以设备鉴权装置执行设备鉴权方法为例,说明本申请实施例提供的设备鉴权装置。
如图8所示,本申请实施例提供了一种设备鉴权装置800,应用于第一终端,该装置包括:
第一获取模块801,用于获取第二终端的标识信息;
第一发送模块802,用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
可选地,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
可选地,所述第一发送模块用于通过所述第一终端和所述第一网元之间的非接入层NAS连接发送所述第一消息。
可选地,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
可选地,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
可选地,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
可选地,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
可选地,所述第一网元为移动性管理网元或会话管理网元。
可选地,所述第一终端为个人物联网网关。
可选地,所述第二终端为非3GPP设备或者为个人物联网设备。
本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
本申请实施例中的设备鉴权装置可以是电子设备,例如具有操作系统的电子设备,也可以是电子设备中的部件,例如集成电路或芯片。该电子设备可以是终端,也可以为除终端之外的其他设备。示例性的,终端可以包括但不限于上述所列举的终端11的类型,其他设备可以为服务器、网络附属存储器(Network Attached Storage,NAS)等,本申请实施例不作具体限定。
本申请实施例提供的设备鉴权装置能够实现图2的方法实施例实现的各个过程,并达到相同的技术效果,为避免重复,这里不再赘述。
可选的,如图9所示,本申请实施例还提供一种通信装置900,包括处理器901和存储器902,存储器902上存储有可在所述处理器901上运行的程序或指令,例如,该通信装置900为终端时,该程序或指令被处理器901执行时实现上述应用于第一终端的设备鉴权方法实施例的各个步骤,且能达到相同的技术效果。该通信装置900为网络侧设备(如第一网元)时,该程序或指令被处理器901执行时实现上述应用于第一网元的设备鉴权方法实施例的各个步骤,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种终端,包括处理器和通信接口,处理器用于获取第二终端的标识信息;通信接口用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。该终端实施例与上述终端侧方法实施例对应,上述方法实施例的各个实施过程和实现方式均可适用于该终端实施例中,且能达到相同的技术效果。具体地,图10为实现本申请实施例的一种终端的硬件结构示意图。
该终端1000包括但不限于:射频单元1001、网络模块1002、音频输出单元1003、输入单元1004、传感器1005、显示单元1006、用户输入单元1007、接口单元1008、存储器1009以及处理器1010等中的至少部分部件。
本领域技术人员可以理解,终端1000还可以包括给各个部件供电的电源(比如电池),电源可以通过电源管理系统与处理器1010逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图10中示出的终端结构并不构成对终端的限定,终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,在此不再赘述。
应理解的是,本申请实施例中,输入单元1004可以包括图形处理单元(GraphicsProcessing Unit,GPU)10041和麦克风10042,图形处理器10041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元1006可包括显示面板10061,可以采用液晶显示器、有机发光二极管等形式来配置显示面板10061。用户输入单元1007包括触控面板10071以及其他输入设备10072中的至少一种。触控面板10071,也称为触摸屏。触控面板10071可包括触摸检测装置和触摸控制器两个部分。其他输入设备10072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
本申请实施例中,射频单元1001接收来自网络侧设备的下行数据后,可以传输给处理器1010进行处理;另外,射频单元1001可以向网络侧设备发送上行数据。通常,射频单元1001包括但不限于天线、放大器、收发信机、耦合器、低噪声放大器、双工器等。
存储器1009可用于存储软件程序或指令以及各种数据。存储器1009可主要包括存储程序或指令的第一存储区和存储数据的第二存储区,其中,第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外,存储器1009可以包括易失性存储器或非易失性存储器,或者,存储器1009可以包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(SynchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM,SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,DRRAM)。本申请实施例中的存储器1009包括但不限于这些和任意其它适合类型的存储器。
处理器1010可包括一个或多个处理单元;可选的,处理器1010集成应用处理器和调制解调处理器,其中,应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作,调制解调处理器主要处理无线通信信号,如基带处理器。可以理解的是,上述调制解调处理器也可以不集成到处理器1010中。
其中,处理器1010,用于获取第二终端的标识信息;
射频单元1001,用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
可选地,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
可选地,射频单元1001,用于通过所述第一终端和所述第一网元之间的非接入层NAS连接发送所述第一消息。
可选地,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
可选地,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
可选地,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
可选地,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
可选地,所述第一网元为移动性管理网元或会话管理网元。
可选地,所述第一终端为个人物联网网关。
可选地,所述第二终端为非3GPP设备或者为个人物联网设备。
本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
如图11所示,本申请实施例还提供了一种设备鉴权装置1100,包括:
第一接收模块1101,用于接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息;
处理模块1102,用于根据所述第一消息,触发对所述第二终端的鉴权流程。
可选地,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
可选地,所述第一接收模块用于通过所述第一终端和所述第一网元之间的NAS连接接收所述第一消息。
可选地,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
可选地,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
可选地,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
可选地,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
可选地,所述处理模块用于根据所述第一消息,向第二网元发送第二消息,所述第二消息用于请求对所述第二终端进行鉴权。
可选地,所述第一网元为移动性管理网元,所述第二网元为鉴权服务器网元;
或者,所述第一网元为会话管理网元,所述第二网元为移动性管理网元。
可选地,所述第一终端为个人物联网网关。
可选地,所述第二终端为非3GPP设备或者为个人物联网设备。
本申请实施例中,第一终端获取第二终端的标识信息,并向第一网元发送包含第二终端的标识信息的第一消息,通过该第一消息触发对第二终端的鉴权流程,从而实现通过该第一终端(3GPP终端)辅助第二终端(非3GPP终端)接入核心网进行鉴权的目的,在非3GPP设备通过个人物联网络或家庭网络接入通信网络的场景中,能够有效保障通信的安全性。
本申请实施例还提供一种网络侧设备(即上述第一网元),包括处理器和通信接口,通信接口用于接收第一终端发送的第一消息,所述第一消息包括所述第二终端的标识信息;处理器用于根据所述第一消息,触发对所述第二终端的鉴权流程。
该网络侧设备实施例与上述网络侧设备方法实施例对应,上述方法实施例的各个实施过程和实现方式均可适用于该网络侧设备实施例中,且能达到相同的技术效果。
具体地,本申请实施例还提供了一种网络侧设备(上述第一网元)。如图12所示,该网络侧设备1300包括:处理器1301、网络接口1302和存储器1303。其中,网络接口1302例如为通用公共无线接口(common public radio interface,CPRI)。
具体地,本发明实施例的网络侧设备1300还包括:存储在存储器1303上并可在处理器1301上运行的指令或程序,处理器1301调用存储器1303中的指令或程序执行图11所示各模块执行的方法,并达到相同的技术效果,为避免重复,故不在此赘述。
本申请实施例还提供一种可读存储介质,所述可读存储介质上存储有程序或指令,该程序或指令被处理器执行时实现上述设备鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,所述处理器为上述实施例中所述的终端中的处理器。所述可读存储介质,包括计算机可读存储介质,如计算机只读存储器ROM、随机存取存储器RAM、磁碟或者光盘等。
本申请实施例另提供了一种芯片,所述芯片包括处理器和通信接口,所述通信接口和所述处理器耦合,所述处理器用于运行程序或指令,实现上述设备鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
本申请实施例另提供了一种计算机程序/程序产品,所述计算机程序/程序产品被存储在存储介质中,所述计算机程序/程序产品被至少一个处理器执行以实现上述设备鉴权方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供了一种设备鉴权系统,包括:终端及网络侧设备,所述终端可用于执行如上所述的应用于第一终端的设备鉴权方法的步骤,所述网络侧设备可用于执行如上所述的应用于第一网元的设备鉴权方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外,需要指出的是,本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能,还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能,例如,可以按不同于所描述的次序来执行所描述的方法,并且还可以添加、省去、或组合各种步骤。另外,参照某些示例所描述的特征可在其他示例中被组合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (35)
1.一种设备鉴权方法,其特征在于,包括:
第一终端获取第二终端的标识信息;
所述第一终端向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
2.根据权利要求1所述的方法,其特征在于,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
3.根据权利要求1所述的方法,其特征在于,所述第一终端向第一网元发送第一请求,包括:
所述第一终端通过所述第一终端和所述第一网元之间的非接入层NAS连接发送所述第一消息。
4.根据权利要求1所述的方法,其特征在于,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
在无线局域网无5G能力N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
5.根据权利要求4所述的方法,其特征在于,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
6.根据权利要求4所述的方法,其特征在于,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
7.根据权利要求1所述的方法,其特征在于,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
8.根据权利要求1所述的方法,其特征在于,所述第一网元为移动性管理网元或会话管理网元。
9.根据权利要求1所述的方法,其特征在于,所述第一终端为个人物联网网关。
10.根据权利要求1所述的方法,其特征在于,所述第二终端为非3GPP设备或者为个人物联网设备。
11.一种设备鉴权方法,其特征在于,包括:
第一网元接收第一终端发送的第一消息,所述第一消息包括第二终端的标识信息;
所述第一网元根据所述第一消息,触发对所述第二终端的鉴权流程。
12.根据权利要求11所述的方法,其特征在于,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
13.根据权利要求11所述的方法,其特征在于,所述第一网元接收第一终端发送的第一消息,包括:
所述第一网元通过所述第一终端和所述第一网元之间的NAS连接接收所述第一消息。
14.根据权利要求13所述的方法,其特征在于,所述第一消息还包括以下至少一项:
所述第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
15.根据权利要求14所述的方法,其特征在于,所述非3GPP设备指示信息为非3GPP设备注册类型信息。
16.根据权利要求14所述的方法,其特征在于,所述个人物联网指示信息为个人物联网元素PINE注册类型信息。
17.根据权利要求11所述的方法,其特征在于,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
18.根据权利要求11所述的方法,其特征在于,所述第一网元根据所述第一消息,触发对所述第二终端的鉴权流程,包括:
所述第一网元根据所述第一消息,向第二网元发送第二消息,所述第二消息用于请求对所述第二终端进行鉴权。
19.根据权利要求18所述的方法,其特征在于,所述第一网元为移动性管理网元,所述第二网元为鉴权服务器网元;
或者,所述第一网元为会话管理网元,所述第二网元为移动性管理网元。
20.根据权利要求11所述的方法,其特征在于,所述第一终端为个人物联网网关。
21.根据权利要求11所述的方法,其特征在于,所述第二终端为非3GPP设备或者为个人物联网设备。
22.一种设备鉴权装置,其特征在于,包括:
第一获取模块,用于获取第二终端的标识信息;
第一发送模块,用于向第一网元发送第一消息,所述第一消息包括所述第二终端的标识信息,且所述第一消息用于触发对所述第二终端的鉴权流程。
23.根据权利要求22所述的装置,其特征在于,所述第一消息指示所述第二终端请求接入所述第一网元,或者,所述第一消息请求为所述第二终端建立会话。
24.根据权利要求22所述的装置,其特征在于,所述第一发送模块用于通过第一终端和所述第一网元之间的非接入层NAS连接发送所述第一消息。
25.根据权利要求22所述的装置,其特征在于,所述第一消息还包括以下至少一项:
第一终端的标识信息;
非3GPP设备指示信息;
个人物联网指示信息;
N5CW指示;
为不支持NAS的终端请求接入的指示;
无源物联网指示信息。
26.根据权利要求22所述的装置,其特征在于,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
27.一种设备鉴权装置,应用于第一网元,其特征在于,包括:
第一接收模块,用于接收第一终端发送的第一消息,所述第一消息包括第二终端的标识信息;
处理模块,用于根据所述第一消息,触发对所述第二终端的鉴权流程。
28.根据权利要求27所述的装置,其特征在于,所述第一消息指示所述第二终端请求接入第一网元,或者,所述第一消息请求为所述第二终端建立会话。
29.根据权利要求27所述的装置,其特征在于,所述第一接收模块用于通过所述第一终端和第一网元之间的NAS连接接收所述第一消息。
30.根据权利要求27所述的装置,其特征在于,所述第二终端的标识信息包括以下至少一项:
第二终端的媒体接入控制MAC地址;
第二终端的设备标识;
第二终端的国际移动用户识别码IMSI;
第二终端的签约永久标识SUPI;
第二终端的签约加密标识SUCI;
第二终端的一般公共签约标识GPSI。
31.根据权利要求27所述的装置,其特征在于,所述处理模块用于根据所述第一消息,向第二网元发送第二消息,所述第二消息用于请求对所述第二终端进行鉴权。
32.根据权利要求31所述的装置,其特征在于,所述第一网元为移动性管理网元,所述第二网元为鉴权服务器网元;
或者,所述第一网元为会话管理网元,所述第二网元为移动性管理网元。
33.一种终端,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1至10任一项所述的设备鉴权方法的步骤。
34.一种网络侧设备,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求11至21任一项所述的设备鉴权方法的步骤。
35.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1至10任一项所述的设备鉴权方法的步骤,或者,实现如权利要求11至21任一项所述的设备鉴权方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210102685.5A CN116567626A (zh) | 2022-01-27 | 2022-01-27 | 设备鉴权方法、装置及通信设备 |
| PCT/CN2023/073272 WO2023143411A1 (zh) | 2022-01-27 | 2023-01-20 | 设备鉴权方法、装置及通信设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210102685.5A CN116567626A (zh) | 2022-01-27 | 2022-01-27 | 设备鉴权方法、装置及通信设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116567626A true CN116567626A (zh) | 2023-08-08 |
Family
ID=87470799
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210102685.5A Pending CN116567626A (zh) | 2022-01-27 | 2022-01-27 | 设备鉴权方法、装置及通信设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116567626A (zh) |
| WO (1) | WO2023143411A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108738013B (zh) * | 2017-04-18 | 2021-11-19 | 华为技术有限公司 | 网络接入方法、装置和网络设备 |
| CN109391941B (zh) * | 2017-08-03 | 2020-12-25 | 华为技术有限公司 | 一种接入鉴权的方法及装置 |
| CN115567935A (zh) * | 2017-11-20 | 2023-01-03 | 华为技术有限公司 | 鉴权的方法和装置 |
| US11272371B2 (en) * | 2019-04-18 | 2022-03-08 | Huawei Technologies Co., Ltd. | Method and apparatus for unmanned aerial vehicle authentication |
-
2022
- 2022-01-27 CN CN202210102685.5A patent/CN116567626A/zh active Pending
-
2023
- 2023-01-20 WO PCT/CN2023/073272 patent/WO2023143411A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023143411A1 (zh) | 2023-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2018076553A1 (zh) | 一种接入网络的方法及设备 | |
| WO2023116786A1 (zh) | 物联网设备的注册方法、装置、通信设备、核心网设备、存储介质及系统 | |
| US20230048268A1 (en) | Authentication event processing method, apparatus, and system | |
| KR20230021616A (ko) | 4g 또는 5g 네트워크에서의 공격들에 대해 강화된 사용자 장비 보안 | |
| CN116567626A (zh) | 设备鉴权方法、装置及通信设备 | |
| WO2023143412A1 (zh) | Ip地址分配方法、设备及可读存储介质 | |
| WO2023143423A1 (zh) | 信息获取与存储、上报方法、装置、终端及网络功能 | |
| WO2023165480A1 (zh) | 数据传输方法、装置、终端、设备及存储介质 | |
| CN117500094A (zh) | 信息查询方法、装置、终端及网络侧设备 | |
| CN117858083A (zh) | 个人物联网中设备认证方法、装置及通信设备 | |
| CN116567591A (zh) | 直连空口配置方法、终端及网络侧设备 | |
| WO2022257878A1 (zh) | 密钥材料的发送方法、获取方法、信息传输方法及设备 | |
| WO2024017181A1 (zh) | 设备授权方法、装置及网络侧设备 | |
| CN116567625A (zh) | 设备鉴权方法、装置、终端及网络功能 | |
| WO2023131286A1 (zh) | 资源控制方法、装置、终端、网络侧设备及可读存储介质 | |
| WO2023179595A1 (zh) | 非3gpp设备的会话通道建立方法、装置及设备 | |
| CN116567709A (zh) | 设备标识分配方法、装置、网络功能及存储介质 | |
| CN116567614A (zh) | 能力指示方法、装置、终端及网络功能 | |
| CN116567777A (zh) | 接入参数使用方法、终端及网络侧 | |
| CN117835214A (zh) | 通信方法、设备及可读存储介质 | |
| CN117500038A (zh) | Pegc的注册方法、装置及通信设备 | |
| CN116939551A (zh) | 近距离通信的方法、装置及终端 | |
| CN116567778A (zh) | Pin的组建方法及设备 | |
| CN116828546A (zh) | 非3gpp设备的会话通道建立方法、装置及设备 | |
| CN117560793A (zh) | 流量路由方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |