CN117040749A - 信息认证方法、装置、电子设备、存储介质及程序产品 - Google Patents
信息认证方法、装置、电子设备、存储介质及程序产品 Download PDFInfo
- Publication number
- CN117040749A CN117040749A CN202310822762.9A CN202310822762A CN117040749A CN 117040749 A CN117040749 A CN 117040749A CN 202310822762 A CN202310822762 A CN 202310822762A CN 117040749 A CN117040749 A CN 117040749A
- Authority
- CN
- China
- Prior art keywords
- information
- client
- certificate
- correction information
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000012937 correction Methods 0.000 claims description 110
- 230000004044 response Effects 0.000 claims description 52
- 238000012790 confirmation Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 abstract description 19
- 230000005540 biological transmission Effects 0.000 abstract description 16
- 230000011664 signaling Effects 0.000 abstract description 12
- 238000004891 communication Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010295 mobile communication Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供的一种信息认证方法、装置、电子设备、存储介质及程序产品,本申请通过在确定客户端部分网络切片需要更新或获取证书时,直接利用控制面协议进行最新证书的传递,以此由于通过控制面协议进行传输可以减少用户面特定传输通道的建立,并且利用控制面协议传输的信息,可以在服务端向客户端发起切片鉴权过程之前,到达客户端,从而可以减少额外注册过程,从而最终减少了额外的信令开销及出错概率,并提升了整体鉴权认证的效率。
Description
技术领域
本申请涉及信息处理技术领域,尤其涉及一种信息认证方法、装置、电子设备、存储介质及程序产品。
背景技术
在5G(第五代移动通信技术,5th Generation Mobile CommunicationTechnology)移动通信系统中,用户设备(UE,User Equipment)在注册到网络时,可以请求使用指定的网络切片,如果网络决定对UE请求使用的网络切片进行认证和授权,会对UE发起切片鉴权过程(NSSAAF),来确认UE已被授权可以使用请求的网络切片。
然而,相关技术中当UE本地保存的在切片鉴权中所需使用的证书信息需要获取或更新时,需要通过用户面协议(User plane protocols)去进行证书信息的传递,然而这样的方式,需要过多的建立特定的PDU(Protocol Data Unit,协议数据单元)会话通道(即PDUsession),增加了额外的信令开销及出错概率,并降低了整体鉴权认证的效率。
发明内容
有鉴于此,本申请提出一种信息认证方法、装置、电子设备、存储介质及程序产品,以解决或部分解决上述问题。
基于上述目的,本申请提供了一种信息认证方法,应用于服务端,包括:
获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息;
确定每个所述证书信息是否满足认证条件;
响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整;
响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
在一些实施方式中,所述确定每个所述证书信息是否满足认证条件之前,所述方法还包括:
根据所述请求信息,向所述客户端发送接受报文,所述接受报文携带需要进行鉴权认证的所述网络切片信息。
在一些实施方式中,所述确定每个所述证书信息是否满足认证条件,包括:
通过所述证书信息确定对应的所述网络切片信息是否存在证书;
和/或
通过所述证书信息确定对应的所述网络切片信息的证书是否需要更新。
在一些实施方式中,所述获取更正信息,包括:
向验证服务器获取不满足所述认证条件的所述证书信息对应的最新版本证书,以此生成所述更正信息。
在一些实施方式中,所述通过控制面协议向所述客户端发送所述更正信息,包括:
确定所述更正信息的长度是否超过预设阈值;
响应于所述长度没有超过预设阈值,则通过控制面协议向所述客户端发送所述更正信息。
在一些实施方式中,所述确定所述更正信息的长度是否超过预设阈值之后,所述方法还包括:
响应于所述长度超过预设阈值,则通过用户面协议向所述客户端发送所述更正信息。
在一些实施方式中,所述通过控制面协议向所述客户端发送所述更正信息,包括:
将所述更正信息根据预设规则进行分割,分割成至少一个数据包;
以数据包为单位进行所述更正信息的发送。
在一些实施方式中,所述响应于接收到所述客户端针对所述更正信息的确认响应,包括:
当所述更正信息以所述数据包形式进行发送时,获取所述客户端针对每个所述数据包反馈的确认信息;
响应于接收到全部所述数据包的所述确认信息时,确定所述服务端接收到所述确认信息。
在一些实施方式中,所述获取所述客户端针对每个所述数据包反馈的确认信息,包括:
响应于确认所述客户端未获取到任一所述数据包,对该数据包进行重发操作。
在一些实施方式中,所述响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证,包括:
响应于接收到任一所述更正信息的所述确认响应,对对应的网络切片信息进行鉴权认证。
基于同一构思,本申请还提供了一种信息认证装置,应用于服务端,包括:
获取模块,用于获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息;
确定模块,用于确定每个所述证书信息是否满足认证条件;
发送模块,用于响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整;
认证模块,用于响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
基于同一构思,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任一项所述的方法。
基于同一构思,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机实现如上任一项所述的方法。
基于同一构思,本申请还提供了一种计算机程序产品,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行如上任一项所述的方法。
从上面所述可以看出,本申请提供的一种信息认证方法、装置、电子设备、存储介质及程序产品,包括:获取客户端发送的请求信息,其中,请求信息包括至少一个被请求使用的网络切片信息及每个网络切片信息对应的证书信息;确定每个证书信息是否满足认证条件;响应于任一证书信息不满足认证条件,获取更正信息,通过控制面协议向客户端发送更正信息,以通过更正信息对该证书信息进行调整;响应于接收到客户端针对更正信息的确认响应,对网络切片信息进行鉴权认证。本申请通过在确定客户端部分网络切片需要更新或获取证书时,直接利用控制面协议进行最新证书的传递,以此由于通过控制面协议进行传输可以减少用户面特定传输通道的建立,并且利用控制面协议传输的信息,可以在服务端向客户端发起切片鉴权过程之前,到达客户端,从而可以减少额外注册过程,从而最终减少了额外的信令开销及出错概率,并提升了整体鉴权认证的效率。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的示例性方法的流程示意图;
图2为本申请实施例提供的示例性方法在具体应用中的流程示意图;
图3为本申请实施例提供的示例性装置的结构示意图;
图4为本申请实施例提供的电子设备结构示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本说明书进一步详细说明。
需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件、物件或者方法步骤涵盖出现在该词后面列举的元件、物件或者方法步骤及其等同,而不排除其他元件、物件或者方法步骤。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
如背景技术部分所述,当前5G移动通信系统在进行网络切片鉴权过程中,会使用EAP-TLS方法作为身份认证方法。在使用EAP-TLS方法进行验证前,UE需要有EAP-TLS方法中使用的证书。3GPP协议中规定,当UE(用户设备,即客户端)没有预配置证书,或证书需要更新时,网络可以通过数据面(user plane)远程给UE提供或更新证书。其中,在相关技术中,当前服务端通过数据面远程给UE提供或更新证书。具体流程如下:(1)UE发起注册请求,携带想要使用的网络切片信息,服务端回复注册接受,携带待执行切片鉴权的网络切片信息;(2)UE使用特定的DNN/S-NSSAI建立用来获取证书的PDU(协议数据单元)session;(3)服务端在PDU session建立过程中,通过UE订阅的DNN/S-NSSAI信息,会给UE发送每个DNN/S-NSSAI对应的配置服务器IP地址(PVS IP address)或配置服务器全限定域名(PVS FQDN);(4)UE通过访问配置服务器信息(PVS IP address or PVS FQDN)去获取网络切片鉴权所需使用的证书;(5)UE释放该PDU session;(6)UE再次发起注册过程,在注册请求中携带请求的网络切片信息,由网络触发对切片的鉴权。
可以看出,相关技术中,由于通过用户面协议进行信息的传递,首先,UE需要建立特定的DNN/S-NSSAI的PDU session。然而UE如何知道这个特定的DNN/S-NSSAI,是一个问题。其次,切片鉴权跟随在注册过程后发起时,UE可能还未获得证书或证书还未更新,导致切片鉴权失败(即在进行更新后需要重新发起一次注册过程,从而在进行一次鉴权过程中,需要发起两次注册请求)。极端情况下,当所有UE请求的网络切片都因为没有提供证书或证书未更新导致鉴权失败,接入和移动性管理功能(AMF)可能会发起去注册过程,导致UE无法再发起PDU session建立过程,也就无法通过数据面获取证书。最后,获取证书需要先建立特定的PDU session,在获取到证书后,还需要释放该PDU session。有多个网络切片需要获取证书的情况下,意味着要触发多次的PDU session建立和释放过程,增加了额外的信令开销。
结合上述实际情况,本申请实施例提供了一种信息认证方案,本申请通过在确定客户端部分网络切片需要更新或获取证书时,直接利用控制面协议进行最新证书的传递,以此由于通过控制面协议进行传输可以减少用户面特定传输通道的建立,并且利用控制面协议传输的信息,可以在服务端向客户端发起切片鉴权过程之前,到达客户端,从而可以减少额外注册过程,从而最终减少了额外的信令开销及出错概率,并提升了整体鉴权认证的效率。
如图1所示,为本申请提出的一种信息认证方法的流程示意图。该方法应用于服务端,具体包括:
步骤101,获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息。
在一些实施例中,服务端(AMF,Access and Mobility Management Function,接入移动管理)与客户端(UE,User Equipment,用户设备)通过无线或有线网络进行通信连接,这里主要是以5G网络或类似网络结构进行连接,在这些网络中,客户端可以请求使用切片鉴权,并由服务端发起切片鉴权,以此,客户端在需要使用网络切片时,会发送一个请求信息,由服务端发起对请求的网络切片的鉴权认证。当然,如若一次需要使用多个网络切片,其可以发送对应的多个请求信息,也可以合并写于一个请求信息中。
从而,为了实现请求的目的,在一些实施例中,请求信息包括至少一个被请求使用的网络切片信息及每个网络切片信息对应的证书信息。这里的网络切片信息用于表示当前请求的客户端想要连接的一个或几个网络切片的基本信息,例如名称标识等。之后的证书信息可以包括当前客户端是否有对应的网络切片的鉴权证书,和/或对应的网络切片的鉴权证书的版本号或有效时间段,以此可以通过证书信息来判断是否需要获取对应的网络切片的证书,和/或是否需要更新取对应的网络切片的证书。
步骤102,确定每个所述证书信息是否满足认证条件。
在一些实施例中,在获取到请求信息之后,需要根据证书信息确定是否满足对应的认证条件。其中认证条件具体可以是:是否有证书、是否是最新版本证书和/或是否是在有效时间段内的证书等等。例如,根据证书信息确定对应的网络切片是否有证书;根据证书信息确定对应的网络切片的证书的版本号是否为最新版本号;根据证书信息确定对应的网络切片的证书是否已到达设定的有效时长等。以通过该判断,来确定是否需要对客户端进行证书的发放或更新。进而,在一些实施例中,所述确定每个所述证书信息是否满足认证条件,具体可以包括:通过所述证书信息确定对应的所述网络切片信息是否存在证书;和/或通过所述证书信息确定对应的所述网络切片信息的证书是否需要更新。
之后,在一些实施例中,由于服务端收到了客户端的请求信息后,一般会直接进行开始进行鉴权认证,以期望能够尽快完成鉴权,完成通信连接。以此就会造成相关技术中,由于这里还没有接收到最新的证书,从而会导致第一次的失败,需要在收到证书之后发起第二次注册。进而在一些实施例中,可以调整发送接受报文的时机,例如在完成证书更新之后等等。当然,根据本申请之后的步骤103,其同样可以在不改变相关技术中信息传递顺序的同时,解决前述问题,从而使接受报文可以按照相关技术中记载的时间点进行发送,也可以调整发送时间。即,在一些实施例中,所述确定每个所述证书信息是否满足认证条件之前,所述方法还包括:根据所述请求信息,向所述客户端发送接受报文,所述接受报文携带需要进行鉴权认证的所述网络切片信息。
步骤103,响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整。
在一些实施例中,在步骤102进行判断过程中,如若认证通过,则说明对应的网络切片有适格的证书,可以直接根据证书完成鉴权认证。而如若认证不通过,则说明客户端要么没有证书,要么证书版本过低或超过使用时限,需要进行更新,进而需要去获取更正信息。这里的更正信息一般是指对应的网络切片当前的最新版本证书。这个更正信息可以是存储于服务端的本地,也可以是存储于特定的数据库中,例如存储于特定的验证服务器或配置服务器中(PVS)。即在一些实施例中,所述获取更正信息,包括:向验证服务器获取不满足所述认证条件的所述证书信息对应的最新版本证书,以此生成所述更正信息。最终,通过这个更正信息可以让客户端获取到对应的证书,或将证书更新为最新版本,或对证书的有效时间段进行更新等。
之后,在一些实施例中,通过控制面协议(Control plane protocols)向客户端发送更正信息。根据前述可知,在相关技术中一般都是通过用户面协议进行更新的证书信息的发送,即更正信息的发送。在此,在通信系统中,用户面和控制面其实是按照数据的类型划分的。用户面传输的一般是真正的业务数据,比如语音数据或者分组业务数据等。控制面传输的一般为信令,用来控制一个呼叫流程建立、维护及释放等。可以看出,控制面的信息一般是用于告诉对端如何处理用户面的信息或根据指令进行指挥操作的等等。从而在通信系统中,控制面的数据会优先被传输或优先被处理。以此,根据前述,如若将要更新的证书数据通过控制面进行发送,那么即使证书数据与通过用户面进行传输的接受报文同时发出或同时到达,其客户端也会先行处理通过控制面来的证书数据,从而使对应的网络切片完成证书的获取或更新,以此,可以在第一次发起鉴权时就获得了适格的证书,从而节省了相关技术中需要第二次发起注册的过程。同时由于控制面和用户面所进行数据传输的链路本身是存在区别的,进而通过控制面进行更正信息传递时,其同样规避了通过用户面进行传递时需要建立的PDU session,从而节省了建立和释放该PDU session的过程,降低了当前鉴权认证过程额外的信令开销。同时,由于证书或更正信息本身的体量一般不会太大,从而通过控制面完全可以胜任更正信息的传递。
在一些实施例中,由于证书或更正信息本身的体量并不是一成不变的,而在一些极端情况下,如若更正信息的体量过大,可能会导致控制面无法进行传输,或是即使进行分包占用控制面进行传输的时间也过长。进而,在这种情况下,可以设置一个预设阈值,以此来对更正信息的体量进行筛选。这里对于计算机文件,其体量一般为一个文件的长度或占用的大小,例如100bits、100bytes、1KiB等等。当一个更正信息的长度没有超过预设阈值时,可以通过控制面协议向客户端发送更正信息;而当更正信息的长度超过预设阈值时,为了保证控制面的正常工作,则还是需要通过用户面协议向客户端发送更正信息。即,在一些实施例中,所述通过控制面协议向所述客户端发送所述更正信息,包括:确定所述更正信息的长度是否超过预设阈值;响应于所述长度没有超过预设阈值,则通过控制面协议向所述客户端发送所述更正信息;响应于所述长度超过预设阈值,则通过用户面协议向所述客户端发送所述更正信息。当然,在一些具体应用场景中,还可以根据具体要求进行具体设置,决定什么样的情况下通过控制面协议进行更正信息的传输,什么什么样的情况下通过用户面协议进行更正信息的传输。
之后,在一些实施例中,为了进一步提高利用控制面协议进行更正信息的传输的效率和灵活性,可以对需要进行传输的更正信息进行分包处理,分割成多个数据包,可以通过一个控制面协议的通道进行这些数据包的灵活发送,例如发送一个数据包之后,发送一个紧急的指令,再发送之后的数据包等等;也可以通过多个控制面协议的通道同时进行这些数据包的发送,以此来提升发送效率。在具体实施例中,可以设置一个分包的阈值长度,例如100bits,更正信息的长度超过的,可以以此进行划分,每100bits长度为一个数据包,当然若更正信息的长度没超过100bits或剩余的长度已经不足100bits,则直接以一个数据包进行发送。即,在一些实施例中,所述通过控制面协议向所述客户端发送所述更正信息,包括:将所述更正信息根据预设规则进行分割,分割成至少一个数据包;以数据包为单位进行所述更正信息的发送。
步骤104,响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
在一些实施例中,在完成更正信息的接收之后,或响应接受报文,客户端会传输给服务端一个确认的信息或报文,以此响应,使服务端开始对客户端正式进行网络切片的鉴权认证过程。
根据前述步骤103中提及的实施例,在一些实施例中,由于可能会对更正信息进行分包处理,从而在以多个数据包形式进行更正信息的传递过程中,为了方便确认每个数据包的接收情况,可以在每完成一个数据包的接收时,客户端就反馈一个对应的确认信息。从而在客户端完成全部数据包接收之后,客户端会相应的接收到相同数量的确认信息,此时,确定客户端完成接收,同时确定服务端接收到确认信息。即,在一些实施例中,所述响应于接收到所述客户端针对所述更正信息的确认响应,包括:当所述更正信息以所述数据包形式进行发送时,获取所述客户端针对每个所述数据包反馈的确认信息;响应于接收到全部所述数据包的所述确认信息时,确定所述服务端接收到所述确认信息。
之后,在一些实施例中,由于网络影响或发送/接收错误,从而可能导致数据包无法传递到客户端或客户端无法完成接收。在此情况下,服务端或客户端可以定时的进行完整性检查,或者一次更正信息的传输结束时,进行完整性检查,若客户端检查到任意一个数据包没有完成接收或服务端检查到任意一个数据包没有对应的确认信息,则认为该客户端未获取到这个数据包,从而可以对该数据包进行重发。即,在一些实施例中,所述获取所述客户端针对每个所述数据包反馈的确认信息,包括:响应于确认所述客户端未获取到任一所述数据包,对该数据包进行重发操作。
最后,在一些实施例中,可能存在多个网络切片都需要进行证书的更新或获取。此时,可以等全部网络切片完成证书的更新或获取后,再统一进行鉴权认证;也可以每完成一个网络切片的证书的更新或获取,就进行该网络切片的鉴权认证。然而,在此场景下,客户端发起网络切片的使用请求本身就是希望能够尽快使用该网络切片,此时如果全部更新完之后再进行统一鉴权认证,可能会导致已获取到证书的网络切片无法立即使用。进而,可以每完成一个网络切片的证书更新或获取之后,即刻进行该网络切片的鉴权认证。即,在一些实施例中,所述响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证,包括:响应于接收到任一所述更正信息的所述确认响应,对对应的网络切片信息进行鉴权认证。
从上述实施例可以看出,本申请实施例提供的一种信息认证方法,包括:获取客户端发送的请求信息,其中,请求信息包括至少一个被请求使用的网络切片信息及每个网络切片信息对应的证书信息;确定每个证书信息是否满足认证条件;响应于任一证书信息不满足认证条件,获取更正信息,通过控制面协议向客户端发送更正信息,以通过更正信息对该证书信息进行调整;响应于接收到客户端针对更正信息的确认响应,对网络切片信息进行鉴权认证。本申请通过在确定客户端部分网络切片需要更新或获取证书时,直接利用控制面协议进行最新证书的传递,以此由于通过控制面协议进行传输可以减少用户面特定传输通道的建立,并且利用控制面协议传输的信息,可以在服务端向客户端发起切片鉴权过程之前,到达客户端,从而可以减少额外注册过程,从而最终减少了额外的信令开销及出错概率,并提升了整体鉴权认证的效率。
在一些具体实施例中,如图2所示,为一种信息认证方法在具体应用中的流程示意图。具体包括:步骤1:客户端(UE)在注册的请求信息中的Requested NSSAI IE指示请求使用哪些网络切片,同时携带UE是否拥有这些网络切片的证书的信息。步骤2:服务端(AMF)收到UE的注册请求后,决定需要对Requested NSSAI IE中S-NSSAI进行切片鉴权,给UE发送注册接受消息(即接受报文),携带待切片鉴权的网络切片信息。同时发现UE没有该S-NSSAI的证书或该证书需要更新,AMF会向PVS(验证服务器)获取该证书信息(即更正信息),然后根据相关配置(比如证书的长度)决定使用控制面协议还是用户面协议去发送证书。步骤3:AMF获取到证书后,并决定使用控制面发送时,将证书及对应的S-NSSAI封装在空口信令中发送给UE。步骤4:UE收到后,通过空口信令通知网络收到了证书。步骤5:网络发送完证书,并收到了UE的确认响应,发起切片鉴权过程。
需要说明的是,本申请实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本申请实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本申请实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一构思,与上述任意实施例方法相对应的,本申请还提供了一种信息认证装置。
参考图3,所述信息认证装置,包括:
获取模块210,用于获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息。
确定模块220,用于确定每个所述证书信息是否满足认证条件。
发送模块230,用于响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整。
认证模块240,用于响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
在一些实施例中,所述确定模块220,还用于:
根据所述请求信息,向所述客户端发送接受报文,所述接受报文携带需要进行鉴权认证的所述网络切片信息。
在一些实施例中,所述确定模块220,还用于:
通过所述证书信息确定对应的所述网络切片信息是否存在证书;
和/或
通过所述证书信息确定对应的所述网络切片信息的证书是否需要更新。
在一些实施例中,所述发送模块230,还用于:
向验证服务器获取不满足所述认证条件的所述证书信息对应的最新版本证书,以此生成所述更正信息。
在一些实施例中,所述发送模块230,还用于:
确定所述更正信息的长度是否超过预设阈值;
响应于所述长度没有超过预设阈值,则通过控制面协议向所述客户端发送所述更正信息。
在一些实施例中,所述发送模块230,还用于:
响应于所述长度超过预设阈值,则通过用户面协议向所述客户端发送所述更正信息。
在一些实施例中,所述发送模块230,还用于:
将所述更正信息根据预设规则进行分割,分割成至少一个数据包;
以数据包为单位进行所述更正信息的发送。
在一些实施例中,所述认证模块240,还用于:
当所述更正信息以所述数据包形式进行发送时,获取所述客户端针对每个所述数据包反馈的确认信息;
响应于接收到全部所述数据包的所述确认信息时,确定所述服务端接收到所述确认信息。
在一些实施例中,所述认证模块240,还用于:
响应于确认所述客户端未获取到任一所述数据包,对该数据包进行重发操作。
在一些实施例中,所述认证模块240,还用于:
响应于接收到任一所述更正信息的所述确认响应,对对应的网络切片信息进行鉴权认证。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本申请实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的信息认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一构思,与上述任意实施例方法相对应的,本申请还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上任意一实施例所述的信息认证方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备、动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入/输出模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的信息认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一构思,与上述任意实施例方法相对应的,本申请还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任意一实施例所述的信息认证方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的信息认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一构思,与上述任意实施例方法相对应的,本申请还提供了一种计算机程序产品,其包括计算机程序指令。在一些实施例中,所述计算机程序指令可以由计算机的一个或多个处理器执行以使得所述计算机和/或所述处理器执行所述的信息认证方法。对应于所述的信息认证方法各实施例中各步骤对应的执行主体,执行相应步骤的处理器可以是属于相应执行主体的。
上述实施例的计算机程序产品用于使所述计算机和/或所述处理器执行如上任一实施例所述的信息认证方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本申请的范围(包括权利要求)被限于这些例子;在本申请的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本申请实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本申请实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本申请实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本申请实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本申请的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本申请实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本申请的具体实施例对本申请进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本申请实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本申请实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (14)
1.一种信息认证方法,其特征在于,应用于服务端,包括:
获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息;
确定每个所述证书信息是否满足认证条件;
响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整;
响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
2.根据权利要求1所述的方法,其特征在于,所述确定每个所述证书信息是否满足认证条件之前,所述方法还包括:
根据所述请求信息,向所述客户端发送接受报文,所述接受报文携带需要进行鉴权认证的所述网络切片信息。
3.根据权利要求1所述的方法,其特征在于,所述确定每个所述证书信息是否满足认证条件,包括:
通过所述证书信息确定对应的所述网络切片信息是否存在证书;
和/或
通过所述证书信息确定对应的所述网络切片信息的证书是否需要更新。
4.根据权利要求1所述的方法,其特征在于,所述获取更正信息,包括:
向验证服务器获取不满足所述认证条件的所述证书信息对应的最新版本证书,以此生成所述更正信息。
5.根据权利要求1所述的方法,其特征在于,所述通过控制面协议向所述客户端发送所述更正信息,包括:
确定所述更正信息的长度是否超过预设阈值;
响应于所述长度没有超过预设阈值,则通过控制面协议向所述客户端发送所述更正信息。
6.根据权利要求5所述的方法,其特征在于,所述确定所述更正信息的长度是否超过预设阈值之后,所述方法还包括:
响应于所述长度超过预设阈值,则通过用户面协议向所述客户端发送所述更正信息。
7.根据权利要求1所述的方法,其特征在于,所述通过控制面协议向所述客户端发送所述更正信息,包括:
将所述更正信息根据预设规则进行分割,分割成至少一个数据包;
以数据包为单位进行所述更正信息的发送。
8.根据权利要求7所述的方法,其特征在于,所述响应于接收到所述客户端针对所述更正信息的确认响应,包括:
当所述更正信息以所述数据包形式进行发送时,获取所述客户端针对每个所述数据包反馈的确认信息;
响应于接收到全部所述数据包的所述确认信息时,确定所述服务端接收到所述确认信息。
9.根据权利要求8所述的方法,其特征在于,所述获取所述客户端针对每个所述数据包反馈的确认信息,包括:
响应于确认所述客户端未获取到任一所述数据包,对该数据包进行重发操作。
10.根据权利要求1所述的方法,其特征在于,所述响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证,包括:
响应于接收到任一所述更正信息的所述确认响应,对对应的网络切片信息进行鉴权认证。
11.一种信息认证装置,其特征在于,应用于服务端,包括:
获取模块,用于获取客户端发送的请求信息,其中,所述请求信息包括至少一个被请求使用的网络切片信息及每个所述网络切片信息对应的证书信息;
确定模块,用于确定每个所述证书信息是否满足认证条件;
发送模块,用于响应于任一所述证书信息不满足所述认证条件,获取更正信息,通过控制面协议向所述客户端发送所述更正信息,以通过所述更正信息对该证书信息进行调整;
认证模块,用于响应于接收到所述客户端针对所述更正信息的确认响应,对所述网络切片信息进行鉴权认证。
12.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至10任一项所述的方法。
13.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机实现权利要求1至10任一项所述的方法。
14.一种计算机程序产品,其特征在于,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行如权利要求1至10任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310822762.9A CN117040749A (zh) | 2023-07-05 | 2023-07-05 | 信息认证方法、装置、电子设备、存储介质及程序产品 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310822762.9A CN117040749A (zh) | 2023-07-05 | 2023-07-05 | 信息认证方法、装置、电子设备、存储介质及程序产品 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117040749A true CN117040749A (zh) | 2023-11-10 |
Family
ID=88637996
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310822762.9A Pending CN117040749A (zh) | 2023-07-05 | 2023-07-05 | 信息认证方法、装置、电子设备、存储介质及程序产品 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117040749A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114867015A (zh) * | 2021-01-18 | 2022-08-05 | 中国电信股份有限公司 | 网络切片验证和授权的触发方法、装置和系统 |
WO2022237778A1 (zh) * | 2021-05-10 | 2022-11-17 | 华为技术有限公司 | 异常检测的方法、通信装置及通信系统 |
US20230052117A1 (en) * | 2021-08-10 | 2023-02-16 | Electronics And Telecommunications Research Institute | Apparatus and method for updating ue parameters based on control plane |
WO2023045472A1 (zh) * | 2021-09-26 | 2023-03-30 | 华为技术有限公司 | 一种通信方法、装置及系统 |
CN116097687A (zh) * | 2020-08-12 | 2023-05-09 | 高通股份有限公司 | 网络切片特定的认证和授权 |
-
2023
- 2023-07-05 CN CN202310822762.9A patent/CN117040749A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116097687A (zh) * | 2020-08-12 | 2023-05-09 | 高通股份有限公司 | 网络切片特定的认证和授权 |
CN114867015A (zh) * | 2021-01-18 | 2022-08-05 | 中国电信股份有限公司 | 网络切片验证和授权的触发方法、装置和系统 |
WO2022237778A1 (zh) * | 2021-05-10 | 2022-11-17 | 华为技术有限公司 | 异常检测的方法、通信装置及通信系统 |
US20230052117A1 (en) * | 2021-08-10 | 2023-02-16 | Electronics And Telecommunications Research Institute | Apparatus and method for updating ue parameters based on control plane |
WO2023045472A1 (zh) * | 2021-09-26 | 2023-03-30 | 华为技术有限公司 | 一种通信方法、装置及系统 |
Non-Patent Citations (1)
Title |
---|
CHINA MOBILE等: "Remote provisioning of credentials for NSSAA or secondary authentication/authorisation", 3GPP TSG-SA WG2 MEETING #144-E S2-2102981, 19 April 2021 (2021-04-19) * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111865598B (zh) | 网络功能服务的身份校验方法及相关装置 | |
KR101966626B1 (ko) | 차량용 무선 소프트웨어 업데이트 방법 및 장치 | |
CN110830925B (zh) | 一种用户群组的会话管理方法及装置 | |
CN107835040B (zh) | 一种基于蓝牙的数据通讯的方法、设备及存储介质 | |
US10693879B2 (en) | Methods, devices and management terminals for establishing a secure session with a service | |
WO2021036252A1 (zh) | 一种通信、更新密钥的方法及装置 | |
JP2020035079A (ja) | システム、及びデータ処理方法 | |
US20150043421A1 (en) | Wireless relay apparatus, communication system, and communication method | |
WO2019017839A1 (zh) | 数据传输方法、相关设备以及系统 | |
CN111601396B (zh) | 一种使用5g通信系统传输区块链相关信息的方法及系统 | |
WO2013189398A2 (zh) | 应用数据推送方法、装置及系统 | |
JP7481065B2 (ja) | 通信方法および装置 | |
JP2023519997A (ja) | 端末パラメータ更新を保護するための方法および通信装置 | |
US11475134B2 (en) | Bootstrapping a device | |
CN117040749A (zh) | 信息认证方法、装置、电子设备、存储介质及程序产品 | |
CN109391601B (zh) | 一种授予终端网络权限的方法、装置及设备 | |
KR101854389B1 (ko) | 애플리케이션 인증 시스템 및 방법 | |
CN106797315B (zh) | 控制设备 | |
CN115065703A (zh) | 物联网系统及其认证与通信方法、相关设备 | |
CN111669364B (zh) | 一种数据传输的方法、装置、电子设备及介质 | |
EP3994840A1 (en) | Certificate revocation check | |
CN111064675A (zh) | 访问流量控制方法、装置、网络设备及存储介质 | |
CN110769065A (zh) | 一种远程管理方法、系统、终端设备及服务器 | |
CN111770491B (zh) | 一种数据链路建立方法及装置 | |
CN111225015A (zh) | 一种远程ftp传输的实现方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |