CN117320002A - 通信方法及装置 - Google Patents
通信方法及装置 Download PDFInfo
- Publication number
- CN117320002A CN117320002A CN202210728556.7A CN202210728556A CN117320002A CN 117320002 A CN117320002 A CN 117320002A CN 202210728556 A CN202210728556 A CN 202210728556A CN 117320002 A CN117320002 A CN 117320002A
- Authority
- CN
- China
- Prior art keywords
- network element
- terminal
- authentication
- user
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 204
- 238000004891 communication Methods 0.000 title claims abstract description 201
- 230000004044 response Effects 0.000 claims description 139
- 238000012795 verification Methods 0.000 claims description 119
- 238000007726 management method Methods 0.000 claims description 90
- 230000001960 triggered effect Effects 0.000 claims description 38
- 230000008569 process Effects 0.000 claims description 34
- 238000013523 data management Methods 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 12
- 230000006870 function Effects 0.000 description 112
- 238000013461 design Methods 0.000 description 32
- 238000012545 processing Methods 0.000 description 24
- 230000000694 effects Effects 0.000 description 18
- 230000002159 abnormal effect Effects 0.000 description 17
- 230000011664 signaling Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 11
- 230000003993 interaction Effects 0.000 description 11
- 239000002699 waste material Substances 0.000 description 10
- 238000010295 mobile communication Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000013507 mapping Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000000712 assembly Effects 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 206010000210 abortion Diseases 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种通信方法及装置,属于通信技术领域,用以满足进一步的安全需求,避免出现安全风险。在该方法中,第一网元不仅可以触发对终端的设备认证,还可以在终端的设备认证通过后,进一步验证终端的设备标识和用户身份标识的绑定关系,以提高安全性,满足进一步的安全需求,避免出现安全风险。
Description
技术领域
本申请涉及通信领域,尤其涉及一种通信方法及装置。
背景技术
在通信系统中,设备标识可用于唯一的标识用户的某一个移动设备(mobileequipment,ME)。设备标识具体可以是标准化格式的标识,如第四代(4G,4th generation)移动通信系统中的国际移动设备识别码(international mobile equipment identity,IMEI),或者第五代(5th generation,5G)移动通信系统中的永久设备标识(permanentequipment identifier,PEI)。现有的标准技术规范(technical specification,TS)对设备标识进行验证,用以保障通信安全。比如,运营商网络可以检查设备标识是否在运营商的黑名单中。如果设备标识不在运营商的黑名单中,则运营商网络可以为终端提供服务,否则,拒绝为终端提供服务。
然而,设备标识的标准化格式使其可以被伪造,仅验证设备标识无法满足进一步的安全需求,存在恶意终端接入运营商网络的安全风险。
发明内容
本申请实施例提供一种通信方法及装置,用以满足进一步的安全需求,避免出现安全风险。
为达到上述目的,本申请采用如下技术方案:
第一方面,提供一种通信方法。该方法包括:第一网元触发对终端的设备认证,并在终端的设备认证通过的情况下,基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配,以根据验证结果,触发网络决策是否为终端提供服务。其中,用户身份标识用于标识使用终端向网络请求服务的用户。
根据第一方面的所述的方法可知,第一网元不仅可以触发对终端的设备认证,还可以在终端的设备认证通过后,进一步验证终端的设备标识和用户身份标识的绑定关系,以提高安全性,满足进一步的安全需求,避免出现安全风险。
一种可能的设计方案中,第一网元基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配,包括:第一网元根据终端的设备标识,获取绑定关系,以判断用户身份标识是否与允许使用的用户的身份标识一致。其中,绑定关系包括终端的设备标识与允许使用的用户的身份标识,允许使用的用户的身份标识用于指示允许使用终端来请求服务的用户。
一种可能的设计方案中,第一网元基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配,包括:第一网元根据用户身份标识,获取绑定关系,以判断终端的设备标识是否与允许使用的终端的标识一致。其中,绑定关系包括用户身份标识与允许使用的终端的标识,允许使用的终端的标识用于指示允许用户使用的终端。
也就是说,第一网元既可以使用设备标识来验证是否有与之匹配的允许使用的用户的身份标识,也可以使用用户身份标识来验证是否有与之匹配的允许使用的终端的标识,具体采用哪种方式可以根据实际情况灵活选择。
一种可能的设计方案中,第一网元为接入管理网元,第一网元触发对终端的设备认证,包括:第一网元在终端的注册流程中获取用户身份标识,从而向数据管理网元发送签约数据请求消息,该签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息,该签约信息响应消息包括绑定关系,以便第一网元根据绑定关系,触发对终端的设备认证,或者说绑定关系可被复用于隐式指示第一网元触发终端的设备认证,以节约开销,提高通信效率。此外,通过复用注册流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许注册到第一网络,避免无效注册而导致资源浪费。
一种可能的设计方案中,第一网元为接入管理网元,第一网元触发对终端的设备认证,包括:第一网元在终端的注册流程中获取用户身份标识,并向数据管理网元发送签约数据请求消息,签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系和设备认证指示信息,设备认证指示信息用于指示需要针对用户执行设备认证,以便第一网元根据设备认证指示信息,触发对终端的设备认证。可以看出,通过复用注册流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许注册到第一网络,避免无效注册而导致资源浪费。
一种可能的设计方案中,第一网元为会话管理网元,第一网元触发对终端的设备认证,包括:第一网元在终端的会话建立流程中获取用户身份标识,并向数据管理网元发送签约数据请求消息,签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系,以便第一网元根据绑定关系,触发接入管理网元执行对终端的设备认证,也即,绑定关系可被复用于隐式指示第一网元触发终端的设备认证,以节约开销,提高通信效率。
一种可能的设计方案中,第一网元为会话管理网元,第一网元触发对终端的设备认证,包括:第一网元在终端的会话建立流程中获取用户身份标识,并向数据管理网元发送签约数据请求消息,签约数据请求消息包括用户身份标识。如此,第一网元可接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系和设备认证指示信息,设备认证指示信息用于指示需要针对用户执行设备认证,以便第一网元根据设备认证指示信息,触发接入管理网元执行对终端的设备认证。
可以看出,会话管理网元触发接入管理网元执行对终端的设备认证,可避免由会话管理网元自行执行认证,降低其开销,提高运行效率;或者,仍可以由会话管理网元执行,或者由其他任何可能的网元执行,不做限定。此外,通过复用会话建立流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许建立会话,避免建立无效会话而导致资源浪费。
一种可能的设计方案中,第一网元为认证、授权和计费AAA服务器,第一网元触发对终端的设备认证,包括:第一网元向接入管理网元发送设备认证指示信息,设备认证指示信息用于触发接入管理网元执行对终端的设备认证。
可选地,在第一网元向接入管理网元发送设备认证指示信息之前,第一方面所述的方法还可以包括:第一网元接收来自接入管理网元的切片认证请求消息,切片认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。
或者,可选地,在第一网元向接入管理网元发送设备认证指示信息之前,第一方面所述的方法还可以包括:第一网元接收来自接入管理网元的可扩展的鉴权协议EAP认证请求消息,EAP认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。
可以看出,第一网元可通过复用切片认证流程来触发终端的设备认证,一方面,可避免额外的信令交互,节约通信开销,另一方面,可确保只有在切片认证通过的情况,终端才被允许获得服务功能网元提供的服务,如注册或者建立会话等等,以避免提供无效服务而导致资源浪费。
可选地,第一方面所述的方法还可以包括:第一网元接收来自接入管理网元的设备认证响应消息,其中,设备认证响应消息包括终端的设备标识和认证结果,以便第一网元根据认证结果,确定对终端的设备认证是否通过。可以看出,第一网元可以复用设备认证的过程中设备认证响应消息获取终端的设备标识,无需额外通过其他信令获取,以减少交互次数,提高通信效率。
可选地,根据验证结果,第一网元触发网络决策是否为终端提供服务,包括:第一网元向接入管理网元发送验证结果,验证结果用于触发网络决策是否为终端提供服务,如在验证结果表征验证通过的情况下,网络确定为终端提供服务,以保障网络安全。
一种可能的设计方案中,第一网元为AAA服务器,第一网元触发对终端的设备认证,包括:第一网元向会话管理网元发送设备认证指示信息,设备认证指示信息用于指示需要触发接入管理网元执行对终端的设备认证。也就是说,即使AAA服务器可能无法与接入管理网元直接通信,AAA服务器仍可以通过会话管理网元指示接入管理网元,以确保设备认证能够被有效触发。
可选地,在第一网元向会话管理网元发送设备认证指示信息之前,第一方面所述的方法还可以包括:第一网元接收来自会话管理网元的二次认证请求消息,二次认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。可以看出,第一网元可通过复用二次认证流程来触发终端的设备认证,一方面,可避免额外的信令交互,节约通信开销,另一方面,可确保只有在二次认证通过的情况,终端才被允许获得服务功能网元提供的服务,如注册或者建立会话等等,以避免提供无效服务而导致资源浪费。
可选地,第一方面所述的方法还可以包括:第一网元接收来自会话管理网元的设备认证响应消息,其中,设备认证响应消息包括终端的设备标识和认证结果,以便第一网元根据认证结果,确定对终端的设备认证是否通过。可以看出,第一网元可以复用设备认证的过程中设备认证响应消息获取终端的设备标识,无需额外通过其他信令获取,以减少交互次数,提高通信效率。
可选地,根据验证结果,第一网元触发网络决策是否为终端提供服务,包括:第一网元向会话管理网元发送验证结果,验证结果用于触发网络决策是否为终端提供服务。
一种可能的设计方案中,第一网元为AAA服务器,第一网元触发对终端的设备认证,包括:第一网元向认证网元发送设备认证指示信息,设备认证指示信息用于指示需要触发接入管理网元执行对终端的设备认证。也就是说,即使AAA服务器可能无法与接入管理网元直接通信,AAA服务器仍可以通过认证网元指示接入管理网元,以确保设备认证能够被有效触发。
可选地,在第一网元向认证网元发送设备认证指示信息之前,第一方面所述的方法还可以包括:第一网元接收来自认证网元的认证请求消息,认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。也就是说,第一网元可以在配合认证网元完成认证的过程中,或者说复用认证流程,如主认证流程,执行终端的设备认证,避免执行其他额外的认证流程,以提高认证效率。
可选地,根据验证结果,第一网元触发网络决策是否为终端提供服务,包括:第一网元向认证网元发送验证结果,验证结果用于触发网络决策是否为终端提供服务。
一种可能的设计方案中,第一网元触发对终端的设备认证,包括:第一网元向终端发送第一设备认证请求消息,并接收来自终端的第一设备认证响应消息,第一设备认证响应消息包括终端的设备标识以及终端的设备标识的签名信息。如此,第一网元可以根据终端的设备标识以及终端的设备标识的签名信息,确定针对终端的设备认证是否通过。
可选地,第一网元根据终端的设备标识以及终端的设备标识的签名信息,确定针对终端的设备认证是否通过,包括:第一网元向认证网元发送第二设备认证请求消息,并接收来自认证网元的第二设备认证响应消息。其中,第二设备认证请求包括终端的设备标识以及终端的设备标识的签名信息,第二设备认证响应消息包括认证结果。如此,第一网元可以根据认证结果,确定针对终端的设备认证是否通过。
一种可能的设计方案中,第一网元触发对终端的设备认证,包括:第一网元接收来自应用功能的认证通知请求消息,认证通知请求消息包括用户身份标识,以便第一网元根据用户身份标识,触发对终端的设备认证。也就是说,应用功能可根据需求主动触发对终端的设备认证,无需被动依赖网络,以提高认证的灵活性。并且,通过复用用户身份标识隐式来指示第一网元触发对终端的设备认证,还可以节约开销,提高通信效率。
可选地,第一方面所述的方法还可以包括:第一网元向应用功能发送认证通知响应消息,其中,认证通知响应消息用于对终端的认证通过,也即表示终端可信,以便应用功能能够为终端提供相应的服务。
可选地,第一网元为第一网络内的网元,第一网元触发网络决策是否为终端提供服务,包括:第一网元根据应用功能的消息,触发网络为终端提供服务。可以看出,在应用功能触发终端的设备认证的情况下,第一网络是否为终端提供服务仍可由应用功能指示,以确保第一网络能够按需提供服务。
第二方面,提供一种通信方法。该方法包括:在终端处于异常状态的情况下,应用功能触发第一网元执行对终端的设备认证,并从第一网元获取该终端的设备认证对应的认证结果,以便在认证结果指示认证失败的情况下,指示第一网元停止为终端提供服务。
根据第二方面的所述的方法可知,应用功能可以在感知到终端异常的情况下,指示网络侧,如第一网元执行终端的设备认证,以便在认证失败的情况下,指示网络侧停止为终端提供服务,避免出现安全风险。
一种可能的设计方案中,认证结果指示认证失败是指认证结果指示终端的设备认证失败。
可选地,认证结果指示认证失败是指终端的设备标识与用户身份标识不匹配。
一种可能的设计方案中,应用功能触发第一网元执行终端的设备认证,包括:应用功能向第一网元发送终端的地址,其中,终端的地址用于触发第一网元执行对终端的设备认证。也就是说,该终端的地址可被复用于隐式指示第一网元执行终端的设备认证,以节约开销,提高通信效率,或者,也可以通过其他任何可能的方式实现,如终端的用户隐藏标识SUCI,不做限定。
一种可能的设计方案中,终端处于异常状态包括如下至少一项:终端的账号异常、或终端的业务异常,以实现较为全面的触发终端的设备认证。
此外,第二方面所述的通信方法的技术效果可以参考第一方面所述的通信方法的技术效果,此处不再赘述。
第三方面,提供一种通信装置。该装置包括用于执行上述第一方面所述的方法的模块,例如,收发模块和处理模块。其中,收发模块可用于实现该装置收发消息的功能。处理模块可用于实现该装置除收发消息以外的功能。
可选地,收发模块可以包括发送模块和接收模块。其中,发送模块用于实现第三方面所述的通信装置的发送功能,接收模块用于实现第三方面所述的通信装置的接收功能。
可选地,第三方面所述的通信装置还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块执行该程序或指令时,使得该通信装置可以执行第一方面所述的通信方法。
需要说明的是,第三方面所述的通信装置可以是网络设备,如第一网元,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,第三方面所述的通信装置的技术效果可以参考第一方面所述的通信方法的技术效果,此处不再赘述。
第四方面,提供一种通信装置。该装置包括用于执行上述第二方面所述的方法的模块,例如,收发模块和处理模块。其中,收发模块可用于实现该装置收发消息的功能。处理模块可用于实现该装置除收发消息以外的功能。
可选地,收发模块可以包括发送模块和接收模块。其中,发送模块用于实现第四方面所述的通信装置的发送功能,接收模块用于实现第四方面所述的通信装置的接收功能。
可选地,第四方面所述的通信装置还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块执行该程序或指令时,使得该通信装置可以执行第二方面所述的通信方法。
需要说明的是,第四方面所述的通信装置可以是网络设备,如应用功能,也可以是可设置于网络设备中的芯片(系统)或其他部件或组件,还可以是包含网络设备的装置,本申请对此不做限定。
此外,第四方面所述的通信装置的技术效果可以参考第二方面所述的通信方法的技术效果,此处不再赘述。
第五方面,提供一种通信装置。该通信装置包括:处理器,该处理器用于执行第一方面或第二方面所述的通信方法。
在一种可能的设计方案中,第五方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第五方面所述的通信装置与其他通信装置通信。
在一种可能的设计方案中,第五方面所述的通信装置还可以包括存储器。该存储器可以与处理器集成在一起,也可以分开设置。该存储器可以用于存储第一方面或第二方面所述的通信方法所涉及的计算机程序和/或数据。
在本申请中,第五方面所述的通信装置可以为网络设备,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第五方面所述的通信装置的技术效果可以参考第一方面或第二方面所述的通信方法的技术效果,此处不再赘述。
第六方面,提供一种通信装置。该通信装置包括:处理器,该处理器与存储器耦合,该处理器用于执行存储器中存储的计算机程序,以使得该通信装置执行第一方面或第二方面中所述的通信方法。
在一种可能的设计方案中,第六方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第六方面所述的通信装置与其他通信装置通信。
在本申请中,第六方面所述的通信装置可以为网络设备,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第六方面所述的通信装置的技术效果可以参考第一方面或第二方面所述的通信方法的技术效果,此处不再赘述。
第七方面,提供了一种通信装置,包括:处理器和存储器;该存储器用于存储计算机程序,当该处理器执行该计算机程序时,以使该通信装置执行第一方面或第二方面所述的通信方法。
在一种可能的设计方案中,第七方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第七方面所述的通信装置与其他通信装置通信。
在本申请中,第七方面所述的通信装置可以为网络设备,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第七方面所述的通信装置的技术效果可以参考第一方面或第二方面所述的通信方法的技术效果,此处不再赘述。
第八方面,提供了一种通信装置,包括:处理器;该处理器用于与存储器耦合,并读取存储器中的计算机程序之后,根据该计算机程序执行如第一方面或第二方面所述的通信方法。
在一种可能的设计方案中,第八方面所述的通信装置还可以包括收发器。该收发器可以为收发电路或接口电路。该收发器可以用于第八方面所述的通信装置与其他通信装置通信。
在本申请中,第八方面所述的通信装置可以为网络设备,或者可设置于该网络设备中的芯片(系统)或其他部件或组件,或者包含该网络设备的装置。
此外,第八方面所述的通信装置的技术效果可以参考第一方面或第二方面所述的通信方法的技术效果,此处不再赘述。
第九方面,提供一种通信系统。该通信系统包括第一方面所述的第一网元,和/或,第二方面所述的应用功能。
第十方面,提供一种计算机可读存储介质,包括:计算机程序或指令;当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面或第二方面所述的通信方法。
第十一方面,提供一种计算机程序产品,包括计算机程序或指令,当该计算机程序或指令在计算机上运行时,使得该计算机执行第一方面或第二方面所述的通信方法。
附图说明
图1为5G系统的架构示意图;
图2为本申请实施例提供的通信系统的架构示意图;
图3为本申请实施例提供的通信方法的流程示意图一;
图4为本申请实施例提供的通信方法的流程示意图二;
图5为本申请实施例提供的通信方法的流程示意图三;
图6为本申请实施例提供的通信方法的流程示意图四;
图7为本申请实施例提供的通信方法的流程示意图五;
图8为本申请实施例提供的通信方法的流程示意图六;
图9为本申请实施例提供的通信方法的流程示意图七;
图10为本申请实施例提供的通信方法的流程示意图八;
图11为本申请实施例提供的通信装置的结构示意图一;
图12为本申请实施例提供的通信装置的结构示意图二。
具体实施方式
方便理解,下面先介绍本申请实施例所涉及的技术术语。
1、第五代(5th generation,5G)移动通信系统:
图1为5G系统的架构示意图,如图1所示,5G系统包括:接入网(access network,AN)和核心网(core network,CN),以及还可以包括:终端。
上述终端可以为具有收发功能的终端,或为可设置于该终端的芯片或芯片系统。该终端也可以称为用户装置(uesr equipment,UE)、接入终端、用户单元(subscriberunit)、用户站、移动站(mobile station,MS)、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、蜂窝电话(cellular phone)、智能电话(smart phone)、平板电脑(Pad)、无线数据卡、个人数字助理电脑(personal digital assistant,PDA)、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machinetype communication,MTC)终端、带无线收发功能的电脑、虚拟现实(virtual reality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车载终端、无人机(uncrewed aerial vehicle)、具有终端功能的路边单元(road side unit,RSU)等。本申请的终端还可以是作为一个或多个部件或者单元而内置于车辆的车载模块、车载模组、车载部件、车载芯片或者车载单元。
上述AN用于实现接入有关的功能,可以为特定区域的授权用户提供入网功能,并能够根据用户的级别,业务的需求等确定不同质量的传输链路以传输用户数据。AN在终端与CN之间转发控制信号和用户数据。AN可以包括:接入网设备,也可以称为无线接入网设备(radio access network,RAN)设备。
RAN设备可以是为终端提供接入的设备。例如,RAN设备可以包括5G,如新空口(newradio,NR)系统中的gNB,或,5G中的基站的一个或一组(包括多个天线面板)天线面板,或者,还可以为构成gNB、传输点(transmission and reception point,TRP或者transmission point,TP)或传输测量功能(transmission measurement function,TMF)的网络节点,如基带单元(building base band unit,BBU),或,集中单元(centralizedunit,CU)或分布单元(distributed unit,DU)、具有基站功能的RSU,或者有线接入网关,或者5G的核心网网元。或者,RAN设备还可以包括无线保真(wireless fidelity,WiFi)系统中的接入点(access point,AP),无线中继节点、无线回传节点、各种形式的宏基站、微基站(也称为小站)、中继站、接入点、可穿戴设备、车载设备等等。或者,RAN设备还可以包括:下一代移动通信系统,例如6G的接入网设备,例如6G基站,或者在下一代移动通信系统中,该网络设备也可以有其他命名方式,其均涵盖在本申请实施例的保护范围以内,本申请对此不做任何限定。
CN主要负责维护移动网络的签约数据,为终端提供会话管理、移动性管理、策略管理以及安全认证等功能。CN主要包括如下网元:用户面功能(user plane function,UPF)网元、认证服务功能(authentication server function,AUSF)网元、接入和移动性管理功能(access and mobility management function,AMF)网元、会话管理功能(sessionmanagement function,SMF)网元、网络切片选择功能(network slice selectionfunction,NSSF)网元、网络开放功能(network exposure function,NEF)网元、网络功能仓储功能(NF repository function,NRF)网元、策略控制功能(policy control function,PCF)网元、统一数据管理(unified data management,UDM)网元、统一数据存储(unifieddata repository,UDR)、应用功能(application function,AF)网元、以及计费功能(charging function,CHF)网元。
其中,UPF网元主要负责用户数据处理(转发、接收、计费等)。例如,UPF网元可以接收来自数据网络(data network,DN)的用户数据,通过接入网设备向终端转发该用户数据。UPF网元也可以通过接入网设备接收来自终端的用户数据,并向DN转发该用户数据。DN网元指的是为用户提供数据传输服务的运营商网络。例如网际互连协议(internet protocol,IP)多媒体业务(IP multi-media srvice,IMS)、互联网(internet)等。DN可以为运营商外部网络,也可以为运营商控制的网络,用于向终端设备提供业务服务。
AUSF网元主要用于执行终端的安全认证。
AMF网元主要用于移动网络中的移动性管理。例如用户位置更新、用户注册网络、用户切换等。
SMF网元主要用于移动网络中的会话管理。例如会话建立、修改、释放。具体功能例如为用户分配互联网协议(internet protocol,IP)地址,选择提供报文转发功能的UPF等。
PCF网元主要支持提供统一的策略框架来控制网络行为,提供策略规则给控制层网络功能,同时负责获取与策略决策相关的用户签约信息。PCF网元可以向AMF网元、SMF网元提供策略,例如服务质量(quality of service,QoS)策略、切片选择策略等。
NSSF网元主要用于为终端选择网络切片。
NEF网元主要用于支持能力和事件的开放。
UDM网元主要用于存储用户数据,例如签约数据、鉴权/授权数据等。
UDR网元主要用于存储结构化数据,存储的内容包括签约数据和策略数据、对外暴露的结构化数据和应用相关的数据。
AF网元主要支持与CN交互来提供服务,例如影响数据路由决策、策略控制功能或者向网络侧提供第三方的一些服务。
2、标识(identifier):
在通信系统中,可通过一些特定的标识来表征特定的设备或者用户。例如,标识可以包括:设备标识、运营商为用户分配的标识、以及非运营商为用户分配的标识。
其中,设备标识可以是移动设备(mobile equipment,ME)的设备标识,可用于唯一的标识用户的某一个ME。例如,设备标识具体可以是第四代(4G,4th generation)移动通信系统中的国际移动设备识别码(international mobile equipment identity,IMEI),或者5G系统中的永久设备标识(permanent equipment identifier,PEI)。
运营商为用户分配的标识可以是运营商为每个全球用户身份模块(universalsubscriber identity module,USIM)模块唯一分配的标识,也即USIM的标识,或者说网络身份标识,用于运营商唯一的标识通信系统中的某一个用户。例如,网络身份标识可以是4G系统中的国际移动用户识别码(international mobile subscriber identity,IMSI),或者5G系统中的用户永久标识(subscription permanent identifier,SUPI)。
与上述运营商为用户分配的标识不同,非运营商为用户分配的标识可以用于非运营商标识某个使用UE的用户,也可以理解为应用层的用户标识(user ID),不由第三代合作伙伴计划(3rd generation partnership project,3GPP)管理和维护。用户标识在不同场景下可以是不同类型的标识。例如,对于某一应用程序(application,APP)而言,用户标识可以是该应用程序上注册的用户的用户名。对于某个应用对应的切片(slice)而言,用户标识可以是该切片的切片认证标识,如可扩展的鉴权协议标识(extensible authenticationprotocol identity,EAP ID)。对于某个企业而言,用户标识可以是该企业的员工的工号。
可以理解,USIM模块可通过插入或嵌入ME,组成用户设备(user equipment,UE),且该UE对应于某个用户。这种情况下,ME的设备标识也可以理解为UE的设备标识。USIM的标识,或者说网络身份标识也可以理解为UE的网络身份标识。以及,用户标识也可以理解为UE的用户标识。
3、标识的认证流程:
现有的标准技术规范(technical specification,TS)33.501中定义了标识的认证流程,主要包括:基于USIM模块的主认证(primary authenticatio)流程和基于用户标识的认证流程。其中,基于USIM模块的主认证流程主要用于通过密码学手段对SUPI或IMSI的真实性进行认证。基于用户标识的认证流程主要用于通过密码学手段对用户标识的真实性进行认证。用户标识的认证流程具体可以包括:切片认证(network slice-specificauthentication and authorization,NSSAA)流程、二次认证(secondaryauthentication)流程、或无人机的无人机服务提供商(UAV service supplier)认证授权(UAV USS authentication and authorization,UUAA)流程等。
现有的TS也支持对设备标识进行验证,如通过设备标识注册(equipmentidentity register,EIR)验证PEI是否在运营商黑名单中,用以防止不可信的ME(如水货手机)接入运营商网络。例如,在TS23.401中,MME可以通过UE的附着流程获取该UE对应的ME的IMEI,并向EIR发送该IMEI。EIR可以检查该IMEI是否在运营商的黑名单中,并向MME返回检查结果。如果检查结果表征该IMEI不在运营商的黑名单中,则MME继续执行该UE的后续附着流程。否则,如果检查结果表征该IMEI在运营商的黑名单中,则MME不再执行该UE的后续附着流程。又例如,在TS23.502中,AMF网元可以通过UE的注册流程获取该UE对应的ME的PEI,并向EIR发送该PEI。EIR可以检查该PEI是否在运营商的黑名单中,并向AMF网元返回检查结果。如果检查结果表征该PEI不在运营商的黑名单中,则AMF网元继续执行该UE的后续注册流程。否则,如果检查结果表征该PEI在运营商的黑名单中,则AMF网元不再执行该UE的后续注册流程。
现有的TS还支持对USIM和ME的映射关系进行验证,以确保只有具有映射关系的UE(如运营商的合约机)才能获得相应的服务。例如,TS 33.816提及可根据归属用户服务器(home subscriber server,HSS)或者UDM网元中的用户的签约信息,确定需要验证USIM和ME的映射关系,并通过相应的网元进一步验证该映射关系是否符合权限。
4、5G面向企业客户(to business,ToB):
5G系统未来重要的应用方向为面向ToB的业务(5G ToB),也即运营商在ToB应用场景中为企业客户(ToB客户)建立5G专有网络(5G专网)。这种情况下,ToB客户的终端接入客户网络的方式由通过客户私有的局域网接入演变为通过5G专网接入,也即接入方式引入了额外的移动性属性,从而新增了安全暴露面,需要引入额外的安全需求。
例如,针对接入5G专网的终端需要有额外的设备认证需求。比如,如果ToB客户(如企业的员工)使用ToB定制终端接入5G专网,则需要对ToB定制终端进行设备认证;或者,如果ToB客户使用自有终端接入5G专网,则需要对ToB客户的自有终端进行设备认证。如此,可以防止恶意终端接入5G专网,保障5G专网的安全。又例如,针对接入5G专网的终端需要有额外的绑定关系认证需求。比如,需要对USIM的标识与设备标识的绑定关系,和/或,用户标识与设备标识的绑定关系进行检查,以确保只有特定用户(如企业员工)使用特定的授权设备(ToB定制终端)、特定的授权USIM(ToB定制USIM)、和/或使用特定的授权设备(ToB定制终端),才能接入5G专网,从而保障5G专网的安全。
但是,现有的TS无法满足5G ToB场景额外引入的安全需求,存在相应的安全风险。例如,虽然TS 23.401和TS 23.502支持EIR验证PEI或IMEI,但仅仅是验证PEI或IMEI是否在黑名单中,无法确定PEI或IMEI的真实性。如果恶意用户根据PEI或IMEI的标准化格式,伪造PEI或IMEI,则5G专网无法识别,导致存在恶意终端接入5G专网的安全风险。此外,虽然TS33.816支持对USIM和ME的映射关系进行验证,但现有的TS并没有定义是否还可以验证用户标识与设备标识的绑定关系,以及,验证USIM的标识与设备标识的绑定关系,也无法保障5G专网的安全。
可以理解,上述5G ToB场景仅为一种示例性的场景,对于5G或者未来的通信系统(如第六代(6th generation,6G)移动通信系统)中的其他场景(如工厂中使用接入移动通信系统的控制器控制工业机器人)也同样适用,本申请对此不做任何限定。
综上,针对上述技术问题,本申请实施例提出了如下技术方案,用以满足进一步的安全需求,如5G专网场景下的安全需求,避免出现安全风险。下面将结合附图,对本申请中的技术方案进行描述。
本申请实施例的技术方案可以应用于各种通信系统,例如无线保真(wirelessfidelity,WiFi)系统,车到任意物体(vehicle to everything,V2X)通信系统、设备间(device-todevie,D2D)通信系统、车联网通信系统、4G,如长期演进(long termevolution,LTE)系统、全球互联微波接入(worldwide interoperability for microwaveaccess,WiMAX)通信系统、5G,如新空口(new radio,NR)系统,以及未来的通信系统等。
本申请将围绕可包括多个设备、组件、模块等的系统来呈现各个方面、实施例或特征。应当理解和明白的是,各个系统可以包括另外的设备、组件、模块等,并且/或者可以并不包括结合附图讨论的所有设备、组件、模块等。此外,还可以使用这些方案的组合。
另外,在本申请实施例中,“示例的”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用示例的一词旨在以具体方式呈现概念。
本申请实施例中,“信息(information)”,“信号(signal)”,“消息(message)”,“信道(channel)”、“信令(singaling)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是匹配的。“的(of)”,“相应的(corresponding,relevant)”和“对应的(corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是匹配的。此外,本申请提到的“/”可以用于表示“或”的关系。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
为便于理解本申请实施例,首先以图2中示出的通信系统为例详细说明适用于本申请实施例的通信系统。示例性的,图2为本申请实施例提供的通信方法所适用的一种通信系统的架构示意图。
如图2所示,该通信系统可以适用于上述5G系统,主要包括如下至少一项:UE(包括ME和USIM)、AMF网元、SMF网元、UDM网元、EIR、认证、授权和计费(authentication,authorization,and accounting,AAA)服务器、以及AF。
一种可能的场景中,UDM网元可以指示AMF网元/SMF网元触发EIR对终端的设备认证,并触发AMF网元/SMF网元验证终端的设备标识与用户身份标识是否相关联。或者,一种可能的场景中,AAA服务器可以指示AMF网元/SMF网元触发EIR/AAA服务器对终端的设备认证,并触发AAA服务器验证终端的设备标识与用户身份标识是否相关联。或者,一种可能的场景中,AF可以指示AMF网元/SMF网元触发EIR/AAA服务器对终端的设备认证,并触发AMF网元/SMF网元/AAA服务器验证终端的设备标识与用户身份标识是否相关联。如此,可以满足高安全需求场景下的安全需求,避免出现安全风险。
可以理解,AAA服务器可由运营商部署,即部署在运营商内部,可称为内部AAA服务器。或者,AAA服务器也可由外部运营者部署,即部署在运营商外部,可称为外部AAA服务器。在没有特别说明的情况下,本申请实施例中提到的AAA服务器可以认为是内部AAA服务器,或者也可以认为是外部AAA服务器,不做限定。
为方便理解,下面将结合图3-图10,通过方法实施例具体介绍上述通信系统中各网元/设备之间的交互流程。本申请实施例提供的通信方法可以适用于上述通信系统,并具体应用到上述通信系统中提到的各种场景,下面具体介绍。
场景1:
示例性的,图3为本申请实施例提供的通信方法的流程示意图一。在场景1中,AMF网元可以复用注册流程,根据UDM网元的指示,触发设备标识的认证,以及绑定关系#1的验证。
具体的,如图3所示,该通信方法的流程如下:
S300a,终端预配置有密钥#1和/或证书#1。
其中,密钥#1可以是终端中的ME对应的私钥,具体可以是椭圆曲线算法中的私钥或RSA算法中的私钥,或者其他任何可能的密钥,不做限定。证书#1可以是该ME对应的证书,具体可以是X.509格式标准的数字证书,或者其他任何可能的证书,不做限定。密钥#1和/或证书#1可以用于后续的设备验证,以确定ME是否可信(参见S305)。
密钥#1和/或证书#1可通过协议预定义的方式预配置到终端。或者,密钥#1和/或证书#1可由用户通过安全设备(如U盾/网银)自行预配置到终端。或者,终端还可以通过其他任何的可能方式获取或配置密钥#1和/或证书#1,不做限定。
可以理解,S300a为可选步骤,例如,终端也可以使用终端的主认证流程推演的密钥来进行设备验证(参见S305)。
S300b,EIR预配置有密钥#2和/或证书#2。
其中,密钥#2可以是上述的ME对应的公钥,也即该ME的私钥对应的公钥,具体可以是椭圆曲线算法中的公或RSA算法中的公钥,或者其他任何可能的密钥,不做具体限定。证书#2可以是该ME对应的证书,具体可以是X.509格式标准的数字证书,或者其他任何可能的证书,不做限定。证书#2与证书#1可以相同,或者也可以不同,例如证书#2与证书#1对应。密钥#2和/或证书#2也可以用于后续的设备验证,以确定ME是否可信(参见S305)。
密钥#2和/或证书#2可通过协议预定义的方式预配置到EIR。或者,密钥#2和/或证书#2预先存储终端的签约信息中,该终端的签约信息预先存储到UDM网元。如此,EIR可以预先从UDM网元获取密钥#2和/或证书#2。或者,EIR还可以通过其他任何的可能方式获取或配置密钥#2和/或证书#2,不做限定。
可以理解,S300b为可选步骤,例如,EIR也可以使用终端的主认证流程推演的密钥来进行设备验证(参见S305)。
S300c,UDM网元预配置绑定关系#1。
绑定关系#1可以为允许使用的终端的标识与允许使用的用户的身份标识的绑定关系。其中,允许使用的终端的标识可用于指示允许用户使用的终端,如允许使用的终端的标识可以是终端的PEI#1。允许使用的用户的身份标识可用于指示允许使用终端来请求服务的用户,如允许使用的用户的身份标识可以是终端的SUPI#1。因此,绑定关系#1可以是终端的PEI#1与终端的SUPI#1的绑定关系。PEI#1和SUPI#1具体可参考上述“2、标识”中的相关介绍,不再赘述。
绑定关系#1可用于触发后续执行对终端的设备认证,或者说触发对该终端对应的用户执行设备认证。其中,终端的设备认证可以是对终端的设备标识(如PEI#2)进行认证。终端的设备标识与允许使用的终端的标识通常相同。例如,终端是正常设备,终端通常配置有设备厂商为其分配的设备标识。终端可提供终端的设备标识,以用于设备认证。此时,该终端的设备标识与允许使用的终端的标识相同,设备认证通过,从而确定该终端的ME可信。或者,终端的设备标识与允许使用的终端的标识也可能不同。例如,终端是恶意设备,终端可能不会配置原本应当配置的允许使用的终端的标识。如此,终端通常只能提供与允许使用的终端的标识不同的设备标识。这种情况下,设备认证通常会失败,从而确定该终端的ME不可信。当然,设备认证的具体流程可以参见下述S305中的相关介绍,不再赘述。
具体的,绑定关系#1可以是终端粒度的信息。也即,绑定关系#1可以关联到终端的签约信息中的所有切片。例如,绑定关系#1可以不包括切片的标识,默认绑定关系#1关联到终端的签约信息中的所有切片。在此基础上,如果终端请求网络提供服务,则不论该服务具体是哪一个切片的服务,UDM网元都可以触发对终端的设备认证(参见S303)。例如,终端的签约信息包括切片#1和切片#2,绑定关系#1关联到切片#1和切片#2。不论终端请求切片#1的服务,还是请求切片#2的服务,UDM网元都触发对终端的设备认证。
或者,绑定关系#1也可以是终端的切片粒度信息。也即,绑定关系#1可以关联到终端的签约信息中特定的切片,如有高安全需求(如5G专网场景)的切片。例如,绑定关系#1还可以包括该特定切片的标识,也即,绑定关系#1可以包括允许使用的终端的标识、允许使用的用户的身份标识以及允许使用的切片的标识。特定切片的标识可以是单网络切片选择支撑信息(single network slice selection assistance information,S-NSSAI),或者其他任何可能的切片标识,不做限定。在此基础上,如果终端请求网络提供该切片的服务,则UDM网元触发对终端的设备认证(参见S303),否则,UDM网元不触发对终端的设备认证。例如,终端的签约信息包括切片#1和切片#2,绑定关系#1可以只关联到切片#1。如果终端请求切片#1的服务,则UDM网元触发对终端的设备认证。如果终端请求切片#2的服务,则UDM网元不触发对终端的设备认证。
此外,绑定关系#1还可以存储在终端的签约信息中,或者也可以存着其他任何可能的位置,如公共信息中,不做限定。
可选地,UDM网元还可以预先配置触发条件#1,用以指示针对满足触发条件#1的终端,UDM网元触发对该终端的设备认证(参见S303)。
其中,触发条件#1可包括允许使用的用户的身份标识与验证需求的对应关系,如终端的SUPI#1与验证需求的对应关系,用以指示针对特定的终端,UDM网元触发对终端的设备认证。该触发条件#1可以存储在终端的签约信息或UDM网元的公共信息中,不做限定。或者,终端的签约信息中可以仅包括验证需求,且UDM网元默认终端的签约信息与允许使用的用户的身份标识关联。
或者,触发条件#1可包括特定群组的标识与验证需求的对应关系,用以指示针对该特定群组内的终端,UDM网元触发对终端的设备认证。例如,群组1{终端1,终端2,终端3}与验证需求对应,表示针对群组1内的任意终端,则UDM网元触发对终端的设备认证,但针对其他的终端,如终端4、终端5,UDM网元不触发对终端的设备认证。其中,该特定群组可以是有高安全需求的设备组成的群组,如5G局域网(5G local area network,5G LAN)群组、5G虚拟网络(5G virtual network,5G VN)群组,或者其他任何可能的群组类型,不作限定。该触发条件#1可以存储在群组的签约信息或UDM网元的公共信息中,不做限定。或者,终端的签约信息中可以仅包括验证需求,且UDM网元默认终端的签约信息与特定群组的标识关联。
或者,触发条件#1可包括特定切片的标识与验证需求的对应关系,用以指示针对请求使用特定切片的终端,UDM网元触发对终端的设备认证。该特定切片可以是有高安全需求的切片,如用于车联网通信的切片,不作限定。例如,切片1与验证需求对应,表示针对请求使用切片1的任意终端,则UDM网元触发对终端的设备认证,但针对请求使用其他切片的任意终端,如切片2,UDM网元不触发对终端的设备认证。此外,该触发条件#1可以存储在UDM网元的公共信息中,不做限定。或者,终端的签约信息中可以仅包括验证需求,且UDM网元默认终端的签约信息与特定切片的标识关联。
或者,触发条件#1可包括特定区域(area)的标识与验证需求的对应关系,用以指示针对位于该特定区域内的终端,UDM网元触发对终端的设备认证。例如,区域1的标识#1与验证需求对应,表示针对位于区域1内的终端,则UDM网元触发对终端的设备认证,但针对位于其他区域,如区域2内的终端,UDM网元不触发对终端的设备认证。其中,区域可以是有高安全需求(如5G专网覆盖)的区域。区域可用于表示终端的位置。区域可以是物理区域,用以标识终端所在的物理位置。例如,该区域可以包括一个或多个小区(cell)。其中,在包括一个小区的情况下,区域也可以理解为小区,该区域的标识可以理解为小区的标识。或者,区域的可以是网络逻辑区域,网络逻辑区域可用来标识由网络那些网元提供服务,例如使用AMF网元的标识来表示AMF服务的区域,也即特定区域的标识为AMF网元的标识。此外,该触发条件#1可以存储在UDM网元的公共信息中,不做限定。
可以理解,上述触发条件#1中的各种对应关系可以单独配置,也可以组合配置,不做限定。例如,配置允许使用的用户的身份标识、特定区域的标识以及验证需求的对应关系,用以指示针对该区域内的特定终端,UDM网元触发对终端的设备认证。当然,UDM网元也可以不配置触发条件#1,默认由绑定关系#1触发对终端的设备认证。此外,触发条件#1仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如验证条件、验证信息等等,不做限定。
S301,终端与网络执行主认证流程通过。
其中,终端可以通过N1消息向网络发起注册,从而与网络配合执行主认证流程,具体实现原理可以参考TS 23.502,不再赘述。终端与网络执行主认证流程可以参考TS23.501,不再赘述。
S302,AMF网元向UDM网元发送签约数据管理(subscriber data management,SDM)获取请求(Nudm_SDM_Get request)消息。相应的,UDM网元接收来自AMF网元的SDM获取请求消息。
SDM获取请求消息可以携带触发信息#1。触发信息#1可用于UDM网元确定是否触发对终端的设备认证。触发信息#1可以是AMF网元通过S301的主认证流程获取的信息。例如,触发信息#1可以包括:用户身份标识,用以标识使用终端向网络请求服务的用户,如SUPI#2,其也可以称为终端提供的用户身份标识。可选地,触发信息#1还可以包括如下至少一项:切片的标识、群组的标识、或区域的标识。其中,切片的标识可用于终端请求网络提供该切片的服务。切片的标识可以是S-NSSAI,或者其他任何可能的切片标识,不做限定。群组的标识可用于指示该终端属于某个群组。此时,该终端的SUPI用于表示该终端为该群组内的一个成员,也可以理解为该群组内成员的标识。如果SDM获取请求消息没有携带群组的标识,则表示该终端不属于某个群组。区域的标识可以是终端当前所在区域的标识,用以指示终端当前的位置在该区域以内。或者,区域的标识也可以是当前为终端提供服务的网元,如AMF网元或者其他任何的网元的标识,用以指示终端当前的位置在该网元的服务区域以内。
S303,UDM网元确定是否触发对终端的设备认证。
一种可能的方式中,UDM网元可以根据绑定关系#1,确定是否触发对终端的设备认证。
其中,在绑定关系#1是终端粒度的信息的情况下,UDM网元可根据用户身份标识,确定终端的签约信息中是否有对应的绑定关系#1,或者说确定终端的签约信息是否有与该用户身份标识相同的允许使用的用户的身份标识,也即确定终端的用户身份标识是否与允许使用的用户的身份标识相同。如果有对应的绑定关系#1,也即用户身份标识与允许使用的用户的身份标识相同,则UDM网元确定触发对终端的设备认证,执行S304。如果没有对应的绑定关系#1,也即用户身份标识与允许使用的用户的身份标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程,具体实现可以参考TS 23.502,不再赘述。
或者,在绑定关系#1是终端的切片粒度的信息的情况下,UDM网元可先根据用户身份标识,确定终端的签约信息中是否有对应的绑定关系#1。如果没有绑定关系#1,则UDM网元确定不触发对终端的设备认证,执行注册流程。如果有绑定关系#1,则UDM网元还可以确定切片的标识是否关联到绑定关系#1指示的切片,或者说确定切片的标识与绑定关系#1中特定切片的标识是否相同。此时,如果切片的标识关联到绑定关系#1指示的切片,也即切片的标识与特定切片的标识相同,则UDM网元确定触发对终端的设备认证,执行S304。如果切片的标识没有关联到绑定关系#1指示的切片,也即切片的标识与特定切片的标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程。
另一种可能的方式中,UDM网元可以根据触发条件#1,确定是否触发对终端的设备认证。
其中,在触发条件#1包括允许使用的用户的身份标识与验证需求的对应关系的情况下,UDM网元可根据用户身份标识,确定是否有对应的触发条件#1,或者说确定用户身份标识是否与触发条件#1中的允许使用的用户的身份标识相同。如果有对应的触发条件#1,也即用户身份标识与允许使用的用户的身份标识相同,则UDM网元根据触发条件#1中允许使用的用户的身份标识对应的验证需求,确定触发对终端的设备认证,执行S304。否则,如果没有对应的触发条件#1,也即用户身份标识与允许使用的用户的身份标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程。或者,UDM网元还可根据用户身份标识,确定终端的签约信息中是否有对应的验证需求。如果有对应的验证需求,UDM网元确定触发对终端的设备认证,否则,执行注册流程。
或者,在触发条件#1包括特定群组的标识与验证需求的对应关系的情况下,如果SDM获取请求消息携带有群组的标识,则UDM网元可根据群组的标识,确定是否有对应的触发条件#1,或者说确定群组的标识是否与触发条件#1中特定群组的标识相同。如果有对应的触发条件#1,也即群组的标识与特定群组的标识相同,则UDM网元根据触发条件#1中特定群组的标识对应的验证需求,确定触发对终端的设备认证,执行S304。否则,如果没有对应的触发条件#1,也即群组的标识与特定群组的标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程。或者,如果SDM获取请求消息中没有携带群组的标识,则UDM网元确定不触发对终端的设备认证,执行注册流程。
或者,在触发条件#1包括特定切片的标识与验证需求的对应关系的情况下,如果SDM获取请求消息携带有切片的标识,则UDM网元可根据切片的标识,确定是否有对应的触发条件#1,或者说确定切片的标识是否与触发条件#1中特定切片的标识相同。如果有对应的触发条件#1,也即群组的标识与特定群组的标识相同,则UDM网元根据触发条件#1中特定切片的标识对应的验证需求,确定触发对终端的设备认证,执行S304。否则,如果没有对应的触发条件#1,也即切片的标识与特定切片的标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程。或者,如果SDM获取请求消息中没有携带切片的标识,则UDM网元可以根据SDM获取请求消息中的用户身份标识,在终端的签约信息中查询该用户身份标识对应的切片的标识,以根据该切片的标识,确定是否有对应的触发条件#1,从而进一步确定是否触发对终端的设备认证。
或者,在触发条件#1包括特定区域的标识与验证需求的对应关系的情况下,如果SDM获取请求消息中携带有区域的标识,则UDM网元可以根据区域的标识,确定是否有对应的触发条件#1,或者说确定区域的标识是否与触发条件#1中特定区域的标识相同。或者,如果SDM获取请求消息中没有携带区域的标识,则UDM网元还可以向AMF网元订阅终端当前的位置,如订阅终端当前所在区域的标识,也即区域的标识,以便UDM网元确定区域的标识是否与触发条件#1中特定区域的标识相同。在此基础上,如果有对应的触发条件#1,也即区域的标识与特定区域的标识相同,则UDM网元根据触发条件#1中特定区域的标识对应的验证需求,确定触发对终端的设备认证,执行S304。如果没有对应的触发条件#1,也即区域的标识与特定区域的标识不同,则UDM网元确定不触发对终端的设备认证,执行注册流程。当然,如果SDM获取请求消息中没有携带终端的位置信息,则UDM网元也可以直接确定不触发对终端的设备认证,执行注册流程。
可以理解,上述各种可能的方式可以单独实施,也可以组合实施,不做限定。例如,UDM网元可根据绑定关系#1和触发条件#1,确定是否触发对终端的设备认证。此时,如果绑定关系#1和触发条件#1都满足,则UDM网元确定触发对终端的设备认证,否则,执行注册流程。
此外,S303为可选步骤,例如,UDM网元也可以不确定是否触发对终端的设备认证,默认执行S304。
还可以理解,UDM触发对终端的设备认证仅为一种示例,不作为限定。例如,UDM还可以触发验证终端的设备标识(如PEI#2)与用户身份标识(如SUPI#2)是否匹配,具体可参见下述S306中的相关介绍,不再赘述。当然,UDM也可以仅触发验证终端的设备标识与用户身份标识是否匹配,不做限定。这种情况下,由于触发验证终端的设备标识与用户身份标识是否匹配前提是终端的设备认证通过,因此AMF网元可以默认先触发对终端的设备认证,以便在设备认证通过的情况下,才验证终端的设备标识与用户身份标识是否匹配。
S304,UDM网元向AMF网元发送SDM获取响应(Nudm_SDM_Get response)消息。相应的,AMF网元接收来自UDM网元的SDM获取响应消息。
UDM网元可通过SDM获取响应消息,指示AMF网元触发对终端的设备认证。例如,SDM获取响应消息可携带上述绑定关系#1,该绑定关系#1被复用于隐式指示AMF网元触发对终端的设备认证,或者说触发针对该终端对应的用户执行设备认证。或者,可选地,SDM获取响应消息还可以携带指示信息#1,该指示信息#1可用于显示指示AMF网元触发对终端的设备认证,或者说触发针对该终端对应的用户执行设备认证。
AMF网元可根据SDM获取响应消息,确定触发设备认证和验证绑定关系#1是否可信。其中,如果SDM获取响应消息仅指示AMF网元触发设备认证,则AMF网元可以默认触发验证绑定关系#1是否可信。例如,在设备认证通过的情况下,AMF网元默认触发验证绑定关系#1是否可信。或者,如果SDM获取响应消息仅指示AMF网元触发验证绑定关系#1是否可信,则AMF网元可以默认触发设备认证。例如,AMF网元触发验证绑定关系#1是否可信的前提是设备认证通过,因此AMF网元可以先触发设备认证,以便在设备认证通过的情况下,才验证绑定关系#1是否可信。
可以理解,上述触发方式仅为一些示例,不作为限定。又例如,SDM获取响应消息可以仅携带允许使用的终端的标识。此时,AMF网元可确定该允许使用的终端的标识是上述SDM获取请求消息中允许使用的用户的身份标识对应的标识,也即获取到绑定关系#1,从而确定触发对终端的设备认证。或者,UDM网元还可以向AMF网元发送一个新的消息,以便AMF网元根据该新的消息,确定触发对终端的设备认证。
还可以理解,指示信息#1仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第一指示信息、绑定关系#1验证指示信息等等,不做限定。
S305,AMF网元触发对终端的设备认证。
其中,AMF网元可以分别向终端和EIR发送指示信息#2,用以指示终端和EIR配合进行设备认证。AMF网元向终端发送的指示信息#2可承载在任何可能的非接入层(non-accessstratum,NAS)信令中,不做限定。AMF网元向EIR发送的指示信息#2可承载在任何可能的服务化接口消息中,不做限定。终端可根据指示信息#2,使用预配置的密钥#1和/或证书#1(参见S300a),以及密码学算法,如椭圆曲线算法或使用X.509格式的证书,对终端的设备标识进行签名,得到签名信息。终端可以根据EIR的地址,向EIR发送该终端的设备标识以及签名信息。其中,终端预配置有EIR的地址,或者AMF网元预先向终端发送EIR的地址。EIR可根据终端的设备标识,确定需要使用预配置的密钥#2和/或证书#2(参见S300b),以及密码学算法,如椭圆曲线算法或使用X.509格式的证书,对该终端的签名信息进行验证,也即对终端的设备标识进行认证。如果签名信息验证没有通过,也即终端的设备标识与允许使用的终端的标识不同,则EIR可以向AMF网元指示设备认证失败,ME不可信,以便AMF网元中止后续流程,流程结束。或者,如果签名信息验证通过,也即终端的设备标识与允许使用的终端的标识相同,则EIR可以向AMF网元指示设备认证通过,ME可信,以便AMF网元继续执行S306。
可以理解,AMF网元也可以使用主认证流程中推演的密钥来进行设备认证。例如,AMF网元可以使用主认证流程中推演的密钥KAMF,以及使用密码学算法,如哈希算法或AES算法,推演用于设备验证的密钥,并向EIR发送该用于设备验证的密钥。终端可以采用与AMF网元相同的方式,自行推演该用于设备验证的密钥。如此,终端和EIR便可以使用该用于设备验证的密钥,进行设备验证。其中,设备验证的具体实现原理可以参考上述介绍,不再赘述。又例如,AUSF网元还可以使用AUSF网元在主认证流程中推演的密钥KAUSF,进一步推演出用于设备验证的密钥,并发送给AMF网元,终端可以采用与AUSF网元相同的方式推演用于设备验证的密钥,如此,终端和EIR便可以使用该用于设备验证的密钥,进行设备验证。
还可以理解,指示信息#2仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第二指示信息、设备认证指示信息等等,不做限定。
S306,AMF网元验证终端的设备标识与用户身份标识是否匹配。
在确定设备认证通过的情况下,AMF网元可以从终端获取终端的设备标识,或者AMF网元也可以预先从终端获取终端的设备标识,如AMF网元通过S301中的N1消息获取终端的设备标识,不做限定。
在此基础上,AMF网元可以根据绑定关系#1,确定终端的设备标识与用户身份标识是否相关联。例如,AMF网元可根据终端的设备标识,获取相应的绑定关系,如绑定关系#1。此时,如果终端的设备标识与绑定关系#1中允许使用的终端的标识不一致,则AMF网元确定无法获取相应的绑定关系,验证失败,流程结束。如果终端的设备标识与绑定关系#1中允许使用的终端的标识一致,则AMF网元可以获取绑定关系#1,从而可以判断终端的用户身份标识是否与取绑定关系#1中允许使用的用户的身份标识一致。又例如,AMF网元可根据终端的用户身份标识,获取相应的绑定关系,如绑定关系#1。此时,如果终端的用户身份标识与绑定关系#1中允许使用的用户的身份标识不一致,则AMF网元确定无法获取相应的绑定关系,验证失败,流程结束。如果终端的用户身份标识与绑定关系#1中允许使用的用户的身份标识一致,则AMF网元可以获取绑定关系#1,从而可以判断终端的标识是否与取绑定关系#1中允许使用的终端的标识一致。如果一致,则AMF网元确定终端的设备标识与用户身份标识相关联,从而确定该USIM和ME组成的终端可信,继续执行后续注册流程,以确保该终端最终能够接入网络,获得相应的服务。如果不一致,则AMF网元确定终端的设备标识与用户身份标识不相关联,进而表示该USIM和ME组成的终端不可信,流程结束。
或者,AMF网元还可以根据绑定关系#1,确定终端的设备标识、用户身份标识以及切片的标识是否相关联,具体判断逻辑与上述类似,不再赘述。
可以理解,S305与S306之间的执行顺序不限定。例如,可以先执行S306,在绑定关系#1可信的情况下,再执行S305。或者,S305与S306可以各自独立地执行。
还可以理解,场景1是以AMF网元与UDM网元交互为例,不作为限定。UDM网元也可以替换为其他任何可能的网元,例如UDR网元或PCF网元。如果是PCF网元,则上述绑定关系#1等信息可以保存在终端的策略信息中。此外,场景1是以5G系统为例,不作为限定,场景1也可以适用于4G系统或者未来的通信系统,如6G系统。这种情况下,上述AMF网元可以替换为MME,UDM网元可以替换为HSS网元,ME的PEI可以替换为ME的IMEI,终端的SUPI可以替换为终端的IMSI,密钥KAMF可以替换为密钥KSEAF,具体实现仍可参考上述相关介绍,不再赘述。
综上,根据场景1介绍的流程可知,AMF网元可根据UDM网元的指示,触发对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联,以确保在ME和USIM均可信的情况下,AMF网元才提供相应的服务,避免出现安全风险。
场景2:
示例性的,图4为本申请实施例提供的通信方法的流程示意图二。与场景1不同的是,在场景2中,SMF网元可以复用会话建立流程,以根据UDM网元的指示,触发对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联。
具体的,如图4所示,该通信方法的流程如下:
S400a,终端预配置有密钥#1和/或证书#1。
S400b,EIR预配置有密钥#2和/或证书#2。
其中,S400a-S400b的具体实现原理可以参考上述S300a-S300b中的相关介绍,不再赘述。
S400c,UDM网元预配置绑定关系#1。
其中,绑定关系#1的具体实现原理可以参考上述S300c中的相关介绍,不再赘述。
可选地,UDM网元还可以预先配置触发条件#1,该触发条件#1可包括特定数据网络(data network,DN)的DN名称(data network name,DNN)与验证需求的对应关系,用以指示针对请求接入特定DN的终端,UDM网元触发对终端的设备认证。例如,DNN1与验证需求对应,表示针对请求接入DN1的任意终端,UDM网元触发对终端的设备认证,但针对接入其他DN的任意终端,UDM网元不触发对终端的设备认证。其中,该特定DN可以是有高安全需求的数据网络,如用户数据中心的DN,或者其他任何可能的DN,不作限定。该触发条件#1可以存储在UDM网元的公共信息中,不做限定。此外,触发条件#1的其他可能实现可以参考上述S300c中的相关介绍,不再赘述。
S401,终端与网络执行主认证流程通过,且终端注册到网络。
其中,终端可以通过N1消息向网络发起注册,从而与网络配合执行主认证流程,具体实现原理可以参考TS 33.501,不再赘述。之后,终端可以通过注册流程注册到网络,具体实现原理可以参考TS 23.502,不再赘述。
S402,终端向AMF网元发送PDU会话建立请求(PDU session establishment req终端st)消息。相应的,AMF网元接收来自终端的PDU会话建立请求消息。
PDU会话建立请求消息用于请求建立PDU会话。PDU会话建立请求消息可以包括触发信息#1,具体实现可参考上述S302中的相关介绍,不再赘述。
S403,AMF网元向SMF网元发送PDU会话创建上下文请求(Nsmf_PDUSession_CreateSMContext Req终端st)消息。SMF网元接收来自AMF网元的PDU会话创建上下文请求消息。
PDU会话创建上下文请求消息用于请求创建PDU会话的上下文。PDU会话创建上下文请求消息可以包括上述触发信息#1。也就是说,AMF网元可以从PDU会话建立请求消息中获取触发信息#1,将触发信息#1封装到PDU会话创建上下文请求消息中,然后向SMF网元发送该PDU会话创建上下文请求消息。
S404,SMF网元通过UPF网元向UDM网元发送SDM获取请求消息。相应的,UDM网元通过UPF网元接收来自SMF网元的SDM获取请求消息。
其中,S404的具体实现原理可以参考上述S302中的相关介绍,不再赘述。
S405,UDM网元确定是否触发对终端的设备认证。
一种可能的方式中,UDM网元可以根据绑定关系#1,确定是否触发对终端的设备认证,具体实现原理也可以参考上述S303中的相关介绍,其中的注册流程替换为会话建立流程,不再赘述。
另一种可能的方式中,UDM网元可以根据触发条件#1,确定是否触发对终端的设备认证。例如,在触发条件#1包括DNN#1与验证需求的对应关系的情况下,如果SDM获取请求消息携带有DN的信息,如DN名称,则UDM网元可根据该DN名称,确定是否有对应的触发条件#1,或者说确定该DN名称是否与触发条件#1中特定DN的DN名称。如果有对应的触发条件#1,也即DN名称相同,则UDM网元确定触发对终端的设备认证,执行S406,否则,UDM网元确定不触发对终端的设备认证,执行会话建立流程。或者,如果SDM获取请求消息中没有携带DN的信息,则UDM网元确定不触发对终端的设备认证,执行会话建立流程。此外,UDM网元也可以根据触发条件#1的其他可能的实现,确定是否触发对终端的设备认证,具体实现原理也可以参考上述S303中的相关介绍,其中的注册流程替换为会话建立流程,不再赘述。
S406,UDM网元通过UPF网元向SMF网元发送SDM获取响应消息。相应的,SMF网元通过UPF网元接收来自UDM网元的SDM获取响应消息。
其中,S406的具体实现原理可以参考上述S304中的相关介绍,不再赘述。
S407,SMF网元指示AMF网元触发设备认证。
SMF网元可以通过信令指示AMF网元触发对终端的设备认证。该信令可以是任何可能的服务化接口消息,或者新的服务化接口消息,不做限定。或者,SMF网元也可以通过该信令中的信元指示AMF网元触发对终端的设备验证。该信元可以是任何可能的信元,或者新的信元,不做限定。
S408,AMF网元触发对终端的设备认证。
其中,S408的具体实现原理可以参考上述S305中的相关介绍,不再赘述。
S409,AMF网元向SMF网元发送验证结果#1。相应的,SMF网元接收来自AMF网元的验证结果#1。
验证结果#1可以用于指示终端的设备认证是否通过。例如,验证结果#1为1个比特(bit)的信元,该信元的1/0两种取值分别用于指示终端的设备认证是否通过。或者,AMF网元也可以根据终端的设备认证是否通过,分别向SMF网元发送不同类型的服务化接口消息,以通过不同的消息类型隐式指示设备认证通过还是失败。
可选地,在确定终端的设备认证通过情况下,AMF网元还可以从终端获取终端的设备标识,并向SMF网元发送该终端的设备标识,以便SMF网元后续验证时使用。其中,终端的设备标识与验证结果#1可以携带在同一条消息中,或者也可以携带在不同的消息中,不做限定。当然,AMF网元也可以在其他时机向SMF网元发送终端的设备标识。例如,AMF网元可以预先从终端获取终端的设备标识,或者预先配置有终端的设备标识,以便通过S402中PDU会话创建上下文请求消息,向SMF网元发送终端的设备标识,不做限定。
可以理解,验证结果#1为一种示例性的命名,其也可以替换为任何可能的命名,例如第一验证结果、设备验证结果等,不做限定。
S410,SMF网元验证终端的设备标识与用户身份标识是否匹配。
其中,S410的具体实现原理可以参考上述S306中的相关介绍,不再赘述。此外,如果终端的设备标识与用户身份标识相匹配,则SMF网元确定继续执行后续会话建立流程,以确保该终端最终能够接入网络,获得相应的服务。如果终端的设备标识与用户身份标识不匹配,则流程结束。
可以理解,S407-S409与S410之间的执行顺序不限定。例如,可以先执行S410,在绑定关系可信的情况下,再执行S407-S409。或者,S407-S409与S410可以各自独立地执行。
还可以理解,场景2是以SMF网元与UDM网元交互为例,不作为限定。UDM网元也可以替换为其他任何可能的网元,例如UDR网元或PCF网元。如果是PCF网元,则上述绑定关系#1等信息可以保存在终端的策略信息中。场景2是以5G系统为例,不作为限定,场景2也可以适用于4G系统或者未来的通信系统,如6G系统。这种情况下,上述SMF网元可以替换为MME,UDM网元可以替换为HSS网元,ME的PEI可以替换为ME的IMEI,终端的SUPI可以替换为终端的IMSI,密钥KAMF可以替换为密钥KSEAF,具体实现仍可以参考上述相关介绍,不再赘述。
综上,根据场景2介绍的流程可知,SMF网元可根据UDM网元的指示,触发对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联,以确保在ME和USIM均可信的情况下,SMF网元才提供相应的服务,如建立PDU会话,避免出现安全风险。
场景3:
示例性的,图5为本申请实施例提供的通信方法的流程示意图三。与场景1和场景2不同的是,在场景3中,允许使用的终端的标识可以由AAA服务器管理,因此可由AAA服务器触发AMF网元对终端的设备认证,并在设备认证通过的情况下,AAA服务器进一步验证终端的设备标识与用户身份标识是否关联。
具体的,如图5所示,该通信方法的流程如下:
S500a,终端预配置有密钥#1和/或证书#1。
S500b,EIR预配置有密钥#2和/或证书#2。
其中,S500a-S500b的具体实现原理可以参考上述S300a-S300b中的相关介绍,不再赘述。
S500c,AAA服务器预配置绑定关系#2。
绑定关系#2可以为允许使用的终端的标识,如终端的PEI#1,与允许使用的用户的身份标识,如切片认证所需的EAP ID#1的绑定关系。PEI#1与EAP ID#1也可以参考上述“2、标识”中的相关介绍,不再赘述。绑定关系#2可用于触发后续对终端的设备认证,或者说触发对该终端对应的用户执行设备认证,具体可以参考下述S505中的相关介绍,不再赘述。
具体的,绑定关系#2可以是终端粒度的信息。也即,绑定关系#2可以关联到终端对应的所有切片。例如,绑定关系#2中可以不包括切片的标识,默认绑定关系#2关联到终端对应的所有切片。在此基础上,如果终端请求AAA服务器提供服务,则不论该服务具体是哪一个切片的服务,AAA服务器都可以触发对终端的设备认证(参见S503)。或者,绑定关系也可以是终端的切片粒度信息。也即,绑定关系可以关联到终端对应的特定切片,如有高安全需求(如5G专网场景)的切片。例如,绑定关系#2中还可以包括该特定切片的标识,也即,绑定关系#2包括允许使用的终端的标识、允许使用的用户的身份标识以及该特定切片的标识。在此基础上,如果终端请求AAA服务器提供该特定切片的服务,则AAA服务器触发对终端的设备认证,否则,AAA服务器不触发对终端的设备认证。
可选地,AAA服务器还可以预先配置触发条件#2,用以指示针对满足触发条件#2的用户,AAA服务器触发对终端的设备认证。
其中,触发条件#2可包括允许使用的用户的身份标识与验证需求的对应关系,例如EAP ID#1与验证需求的对应关系,用以指示针对该EAP ID#1对应的用户,AAA服务器触发对终端的设备认证。或者,触发条件#2可以包括特定切片的标识与验证需求的对应关系,用以指示针对请求该特定切片的服务的用户,AAA服务器触发对终端的设备认证。
可以理解,上述触发条件#2中的各种对应关系可以单独配置,也可以组合配置,不做限定。例如,配置允许使用的用户的身份标识、特定切片的标识以及验证需求的对应关系,用以指示针对该允许使用的用户,且该用户请求该特定切片的服务,AAA服务器触发对终端的设备认证。当然,AAA服务器也可以不配置触发条件#2,默认由绑定关系#2触发对终端的设备认证。此外,触发条件#2仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如验证条件、验证信息等等,不做限定。
S501,终端与网络执行主认证流程通过。
其中,终端可以通过N1消息向网络发起注册,从而与网络配合执行主认证流程,具体实现原理可以参考TS 23.502,不再赘述。
S502,AMF网元向AAA服务器发送切片认证请求(Nnssaaf_Authenticate Req终端st)消息#1。相应的,AAA服务器接收来自AMF网元的切片认证请求消息#1。
切片认证请求消息#1可以携带触发信息#2。触发信息#2可用于AAA服务器确定是否触发触发对终端的设备认证。触发信息#2可以是AMF网元通过S501的主认证流程获取的信息。例如,触发信息#2可以包括用户身份标识和/或切片的标识。其中,用户身份标识也可以称为终端提供的用户身份标识,如终端的EAP ID#2。切片的标识的具体实现可以参考上述S302中的相关介绍,不再赘述。此外,切片认证请求消息#1也可以替换为其他任何可能的消息,如EAP认证请求消息,不做限定。
S503,AAA服务器确定是否触发对终端的设备认证。
一种可能的方式中,AAA服务器可以根据绑定关系#2,确定是否触发对终端的设备认证。
其中,在绑定关系#2是终端粒度的信息的情况下,AAA服务器可根据用户身份标识,确定是否有对应的绑定关系#2,或者说确定用户身份标识是否与绑定关系#2中的允许使用的用户的身份标识相同。如果有对应的绑定关系#2,也即用户身份标识与允许使用的用户的身份标识相同,则AAA服务器确定触发对终端的设备认证,执行S504。如果没有对应的绑定关系#2,也即用户身份标识与允许使用的用户的身份标识不同,则AAA服务器确定不触发对终端的设备认证,执行切片认证流程,具体实现原理参考TS 33.501和TS 23.502,不再赘述。
或者,在绑定关系#2是终端的切片粒度的信息的情况下,AAA服务器可先根据用户身份标识,确定是否有对应的绑定关系#2。如果没有对应的绑定关系#2,则AAA服务器确定不触发对终端的设备认证,执行切片认证流程。如果有对应的绑定关系#2,则AAA服务器还可确定切片的标识是否关联到绑定关系#2,或者说确定切片的标识与绑定关系#2中特定切片的标识是否相同。此时,如果切片的标识关联到绑定关系#2,也即切片的标识与特定切片的标识相同,则AAA服务器确定触发对终端的设备认证,执行S504。如果切片的标识关联到绑定关系#2,也即切片的标识与特定切片的标识不同,则AAA服务器确定不触发对终端的设备认证,执行切片认证流程。或者,AAA服务器也可以先切片的标识,确定是否有对应的绑定关系#2,再确定用户身份标识与允许使用的用户的身份标识是否相同,不做限定。
另一种可能的方式中,AAA服务器可以根据触发条件#2,确定是否触发对终端的设备认证。
其中,在触发条件#2包括允许使用的用户的身份标识与验证需求的对应关系的情况下,AAA服务器可根据用户身份标识,确定是否有对应的触发条件#2,或者说确定用户身份标识是否与触发条件#2中的允许使用的用户的身份标识相同。如果有对应的触发条件#2,也即用户身份标识与允许使用的用户的身份标识相同,则AAA服务器可根据触发条件#2中的验证需求,确定触发对终端的设备认证,执行S504。否则,如果没有对应的触发条件#2,也即用户身份标识与允许使用的用户的身份标识不同,则AAA服务器确定不触发对终端的设备认证,执行切片认证流程。
或者,在触发条件#2包括特定切片的标识与验证需求的对应关系的情况下,AAA服务器可根据切片的标识,确定是否有对应的触发条件#2,或者说确定切片的标识是否与触发条件#2中的特定切片的标识相同。如果有对应的触发条件#2,也即切片的标识与特定切片的标识相同,则AAA服务器可根据触发条件#2中的验证需求,确定触发对终端的设备认证,执行S504。否则,如果没有对应的触发条件#2,也即切片的标识与特定切片的标识不同,则AAA服务器确定不触发对终端的设备认证,执行切片认证流程。
可以理解,上述各种可能的方式可以单独实施,也可以组合实施,不做限定。例如,AAA服务器可根据绑定关系#2和触发条件#2,确定是否触发对终端的设备认证。此时,如果绑定关系#2和触发条件#2都满足,则AAA服务器确定触发对终端的设备认证,否则,执行切片认证流程。
还可以理解,AAA服务器触发对终端的设备认证仅为一种示例,不作为限定。AAA服务器还可以触发验证终端的设备标识(如PEI#2)与用户身份标识(如EAP ID#2)是否匹配,具体可参见下述S506中的相关介绍,不再赘述。或者,AAA服务器也可以仅触发验证终端的设备标识与用户身份标识是否匹配,不做限定。这种情况下,由于触发验证终端的设备标识与用户身份标识是否匹配前提是终端的设备认证通过,因此AAA服务器可以默认先触发对终端的设备认证,以便在设备认证通过的情况下,才验证终端的设备标识与用户身份标识是否匹配。
S504,AAA服务器向发送AMF网元切片认证响应(Nnssaaf_AuthenticateResponse)消息#1。相应的,AMF网元接收来自AAA服务器的切片认证响应消息#1。
切片认证响应消息#1可以用于触发对终端的设备认证,或者说触发对终端对应的用户执行设备认证。例如,切片认证响应消息#1可以携带指示信息#3,以通过指示信息#3触发对终端的设备认证。或者,AAA服务器也可以通过切片认证响应消息#1本身触发对终端的设备认证。例如,如果AAA服务器发送切片认证响应消息#1,则表示触发对终端的设备认证。否则,如果AAA服务器超时未发送切片认证响应消息#1,则表示不触发对终端的设备认证。也即,如果AAA服务器确定不触发对终端的设备认证的情况下,则AAA服务器确定不发送切片认证响应消息#1。
可以理解,指示信息#3仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第三指示信息、设备标识认证指示信息等等,不做限定。
S505,AMF网元触发对终端的设备认证。
其中,S505的具体实现可参考上述S305中的相关介绍,不再赘述。
S506,AMF网元向AAA服务器发送切片认证请求消息#2。相应的,AAA服务器接收来自AMF网元的切片认证请求消息#2。
其中,切片认证请求消息#2可以用于指示终端的设备认证是否通过。例如,切片认证请求消息#2可以包括验证结果#2,该验证结果#2的具体实现可参考上述验证结果#1的相关介绍,不再赘述。或者,AMF网元也可以通过切片认证请求消息#2本身,指示设备认证是否通过。例如,如果AAA服务器发送切片认证响应消息#2,则表示终端的设备认证通过,否则,如果AAA服务器超时未发送切片认证响应消息#2,则表示终端的设备认证失败。
可选地,在确定终端的设备认证通过情况下,AMF网元还可以从终端获取终端的设备标识,并向AAA服务器发送该终端的设备标识,以便AAA服务器验证绑定关系是否可信时使用。其中,终端的设备标识也可以理解为终端提供的设备标识,如终端的PEI#2。终端的设备标识与验证结果#2可以携带在同一条消息中,或者也可以携带在不同的消息中,不做限定。当然,AMF网元也可以在其他时机向AAA服务器发送终端的设备标识。例如,AMF网元可以预先从终端获取终端的设备标识,或者预先配置有终端的设备标识,以便AMF网元可以通过S502中的切片认证请求消息,向AAA服务器发送终端的设备标识,不做限定。
可以理解,验证结果#2为一种示例性的命名,其也可以替换为任何可能的命名,例如第二验证结果、设备标识认证结果等,不做限定。
S507,AAA服务器验证终端的设备标识与用户身份标识是否匹配。
AAA服务器可根据绑定关系#2,确定终端的设备标识与用户身份标识是否相关联;或者,根据绑定关系#2,确定终端的设备标识、用户身份标识以及切片的标识是否相关联,具体可参考上述S306中的相关介绍,不再赘述。
S508,AAA服务器向AMF网元发送切片认证响应消息#2。相应的,AMF网元接收来自AAA服务器的切片认证响应消息#2。
其中,切片认证响应消息#2可以用于指示终端的设备标识与用户身份标识是否相关联。例如,切片认证请求消息#2可以包括验证结果#3。例如,验证结果#3为1个比特的信元,该信元的1/0两种取值分别用于指示终端的设备标识与用户身份标识是否相关联。或者,AAA服务器也可以通过切片认证响应消息#2本身,指示终端的设备标识与用户身份标识是否相关联。例如,如果AAA服务器发送切片认证响应消息#2,则表示终端的设备标识与用户身份标识相关联,否则,如果AAA服务器超时未发送切片认证响应消息#2,则表示终端的设备标识与用户身份标识不关联。
可以理解,验证结果#3为一种示例性的命名,其也可以替换为任何可能的命名,例如第三验证结果、绑定关系验证结果等,不做限定。
S509,AMF网元确定切片是否可用。
其中,切片是否可用是指终端是否可以使用该切片,或者说终端是否可以使用该切片对应的服务。
AMF网元可以根据验证结果#3,确定本次认证的切片是否可用。例如,如果验证结果#3指示绑定关系可信,则AMF网元确定本次认证的切片可用。否则,如果验证结果#3指示绑定关系不可信,则AMF网元确定本次认证的切片不可用。
可以理解,对于一个终端而言,AMF网元可以发起对多个切片的认证,也即S502-S509可以执行多次。这种情况下,AMF网元可以保存首次的验证结果#2(S505),以便后续需要再次执行设备认证时,可直接向AAA服务器提供该验证结果#2,无需再次执行设备认证,节约开销。此外,AMF网元在为一个终端发起的多个切片的认证过程中,如果AMF网元确定这多个切片都不可用,且AMF网元确定终端没有可以使用的切片(可选),则可对该终端执行去注册流程,以断开该终端与网络的链接,具体实现可参考TS 23.502,不再赘述。或者,AMF网元在为一个终端发起的多个切片的认证过程中,如果AMF确定有任一个切片不可用,或超过预设数量的切片不可用,则也可以对该终端执行去注册流程,不做限定。
还可以理解,场景3是以5G系统为例,不作为限定,场景3也可以适用于4G系统或者未来的通信系统,如6G系统。这种情况下,上述AMF网元可以替换为MME,ME的PEI可以替换为ME的IMEI,密钥KAMF可以替换为密钥KSEAF,具体实现仍可参考上述相关介绍,不再赘述。
综上,根据场景3介绍的流程可知,AAA服务器可以触发对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联,以确保在用户和用户对应的终端均可信的情况下,AAA服务器才提供相应的服务,避免出现安全风险。
场景4:
示例性的,图6为本申请实施例提供的通信方法的流程示意图四。与场景3不同的是,在场景4中,AAA服务器复用二次认证流程,指示SMF网元触发对终端的设备认证,并在设备认证通过的情况下,AAA服务器进一步验证终端的设备标识与用户身份标识是否关联。
具体的,如图6所示,该通信方法的流程如下:
S600a,终端预配置有密钥#1和/或证书#1。
S600b,EIR预配置有密钥#2和/或证书#2。
其中,S600a-S600b的具体实现可以参考上述S300a-S300b中的相关介绍,不再赘述。
S600c,AAA服务器预配置绑定关系#2。
其中,S600c的具体实现可以参考上述S500c中的相关介绍,不再赘述。但是,与S500c不同的是,绑定关系#2中允许使用的用户的身份标识可以是二次认证的标识。
S601,终端与网络执行主认证流程通过。
其中,终端可以通过N1消息向网络发起注册,从而与网络配合执行主认证流程,具体实现可以参考TS 23.502,不再赘述。
S602,终端向SMF网元发送PDU会话建立请求消息。相应的,SMF网元接收来自终端的PDU会话建立请求消息。
PDU会话建立请求消息用于请求建立PDU会话。PDU会话建立请求消息可以包括触发信息#2,具体实现可参考上述S502中的相关介绍,不再赘述。
S603,SMF网元向AAA服务器发送二次认证请求(Authentication/AuthorisationReq终端st)消息#1。相应的,AAA服务器接收来自SMF网元的二次认证请求消息#1。
其中,二次认证请求消息#1可用于请求对指定PDU会话进行二次认证,以确定该PDU会话是否可用。PDU会话是否可用可以指终端是否可以使用该PDU会话的服务。例如,如果二次认证的结果为通过,则表示终端可以使用该PDU会话的服务,否则,表示终端不可以使用该PDU会话的服务。二次认证请求消息#1可以包括上述触发信息#2。也就是说,SMF网元可以从PDU会话建立请求消息#1中获取触发信息#2,将触发信息#2封装到二次认证请求消息中,然后向AAA服务器发送该二次认证请求消息#1。
S604,AAA服务器确定是否触发对终端的设备认证。
其中,S604的具体实现可以参考上述S503中的相关介绍,其中的切片认证流程可以替换为二次认证的流程,不再赘述。
S605,AAA服务器向SMF网元发送二次认证响应(Authentication/AuthorisationResponse)消息#1。相应的,SMF网元接收来自AAA服务器的二次认证响应消息#1。
其中,二次认证响应消息#1可以用于触发设备认证。例如,二次认证响应消息#1可以携带指示信息#4,以通过指示信息#4触发设备认证,或者通过二次认证响应消息#1本身可以用于触发设备认证,具体实现与上述S504类似,可参考理解,不再赘述。
可以理解,指示信息#4仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第四指示信息、设备验证指示信息等等,不做限定。
S606,SMF网元指示AMF网元触发对终端的设备认证。
S607,AMF网元触发对终端的设备认证。
S608,AMF网元向SMF网元发送验证结果#1。相应的,SMF网元接收来自AMF网元的验证结果#1。
其中,S606-S608的具体实现与上述S407-S409类似,可参考理解,不再赘述。
S609,SMF网元向AAA服务器发送二次认证请求消息#2。相应的,AAA服务器接收来自SMF网元的二次认证请求消息#2。
其中,二次认证请求消息#2可以用于指示终端的设备认证是否通过。例如,二次认证请求消息#2可包括验证结果#1,以通过验证结果#1指示终端的设备认证是否通过,或者也可以通过切片认证请求消息#2本身指示终端的设备认证是否通过。此外,S609的具体实现可以参考上述S506中的相关介绍,不再赘述。
S610,AAA服务器验证终端的设备标识与用户身份标识是否匹配。
其中,S610的具体实现可以参考上述S507中的相关介绍,不再赘述。
S611,AAA服务器向SMF网元发送二次认证响应消息#2。相应的,SMF网元接收来自AAA服务器的二次认证响应消息#2。
其中,二次认证响应消息#2可以用于指示终端的设备标识与用户身份标识是否匹配。例如,二次认证响应消息#2可包括验证结果#4,以通过验证结果#4指示终端的设备标识与用户身份标识是否匹配;或者,也可通过切片认证响应消息#2本身指示终端的设备标识与用户身份标识是否匹配,具体实现可参考上述S509中的相关介绍,不再赘述。
可以理解,验证结果#4为一种示例性的命名,其也可以替换为任何可能的命名,例如第四验证结果、绑定关系验证结果等,不做限定。
S612,SMF网元确定PDU会话是否可用。
SMF网元可以根据验证结果#4,确定PDU会话是否可用。例如,如果验证结果#4指示终端的设备标识与用户身份标识相匹配,则SMF网元确定PDU会话可用,建立对应的PDU会话。否则,如果验证结果#4指示终端的设备标识与用户身份标识不匹配,则SMF网元确定PDU会话不可用,流程结束。
可以理解,场景4是以5G系统为例,不作为限定,场景4也可以适用于4G系统或者未来的通信系统,如6G系统。这种情况下,上述SMF网元可以替换为MME,ME的PEI可以替换为ME的IMEI,密钥KAMF可以替换为密钥KSEAF,具体实现仍可参考上述相关介绍,不再赘述。
综上,根据场景4介绍的流程可知,AAA服务器可以对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联,以确保在用户和用户对应的终端均可信的情况下,AAA服务器才提供相应的服务,避免出现安全风险。
场景5:
示例性的,图7为本申请实施例提供的通信方法的流程示意图五。与上述各场景不同的是,在场景5中,AAA服务器不属于运营商网络,也即AAA服务器是外部AAA服务器。这种情况下,终端的设备认证,以及验证终端的设备标识与用户身份标识是否关联都可以由外部AAA服务器执行。
具体的,如图7所示,该通信方法的流程如下:
S700a,终端预配置有密钥#1和/或证书#1。
其中,S700a的具体实现可参考上述S300a中的相关介绍,不再赘述。
S700b,外部AAA服务器预配置有密钥#2和/或证书#2,以及外部AAA服务器还预配置有绑定关系#1。
其中,密钥#2和/或证书#2的具体实现可参考上述S300b中的相关介绍,不再赘述。绑定关系#1可以用于触发后续对终端的设备认证,具体实现可参考上述S300c中的相关介绍,不再赘述。
可选地,外部AAA服务器还可以预先配置触发条件#3,用以指示针对满足触发条件#3的终端,外部AAA服务器触发对终端的设备认证。例如,触发条件#3可包括允许使用的用户的身份标识与验证需求的对应关系,用以指示针对特定的用户,外部AAA服务器触发对终端的设备认证,或者说触发针对该终端对应的用户执行设备认证。
可以理解,触发条件#3仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如验证条件、验证信息等等,不做限定。
S701,终端向AMF网元发送N1消息。相应的,AMF网元接收来自终端的N1消息。
N1消息可用于终端请求注册到的网络,可包括终端的用户临时身份标识,如用户隐藏标识(subscription concealed identifier,SUCI)。
S702,AMF网元向AUSF网元发送终端认证请求(Nausf_UE AuthenticationResquest)消息。相应的,AUSF网元接收来自AMF网元的终端认证请求消息。
终端认证请求消息可用于请求外部AAA服务器对终端进行认证,或者说触发终端的主认证流程。终端认证请求消息可包括终端的用户身份标识,其中,终端的用户身份标识可以参考上述相关介绍,不再赘述。例如,如果AMF网元预先配置有终端的用户身份标识,则AMF网元可根据N1消息中终端的用户临时身份标识,将终端的用户身份标识封装到终端认证请求消息中。或者,如果AMF网元预先没有配置终端的用户身份标识,则AMF网元可将N1消息中终端的用户临时身份标识,封装到终端认证请求消息中。
S703,AUSF网元向外部AAA服务器发送认证请求(Authentication Resquest)消息#1。相应的,外部AAA服务器接收来自AUSF网元的认证请求消息#1。
认证请求消息#1可用于请求外部AAA服务器对终端进行认证。认证请求消息#1可包括终端的用户身份标识。例如,在终端认证请求消息携带终端的用户身份标识的情况下,AUSF网元可以将该终端认证请求消息中终端的用户身份标识封装到认证请求消息#1中,然后向外部AAA服务器发送认证请求消息#1。或者,在终端认证请求消息#1携带终端的用户临时身份标识的情况下,AUSF网元可以根据终端的用户临时身份标识,向UDM网元请求获取终端的用户身份标识,具体流程可参考TS 33.501。此后,AUSF网元可以将终端的用户身份标识封装到认证请求消息#1中,然后向外部AAA服务器发送认证请求消息#1。
S704,外部AAA服务器确定是否触发对终端的设备认证。
一种可能的方式中,外部AAA服务器可根据绑定关系#1,确定是否触发对终端的设备认证。例如,外部AAA服务器可根据终端的用户身份标识,确定是否有对应的绑定关系#1,或者说确定用户身份标识是否与绑定关系#1中的允许使用的用户的身份标识相同。如果有对应的绑定关系#1,也即用户身份标识与允许使用的用户的身份标识相同,则外部AAA服务器确定触发对终端的设备认证,执行S705。如果没有对应的绑定关系#1,也即用户身份标识与允许使用的用户的身份标识不同,则外部AAA服务器确定不触发对终端的设备认证,执行常规主认证流程,具体实现可以参考TS 33.501,不再赘述。
另一种可能的方式中,外部AAA服务器可根据触发条件#3,确定是否触发对终端的设备认证。例如,外部AAA服务器可根据终端的用户身份标识,确定是否有对应的触发条件#3,或者说确定用户身份标识是否与触发条件#3中的允许使用的用户的身份标识相同。如果有对应的触发条件#3,也即用户身份标识与允许使用的用户的身份标识相同,则外部AAA服务器可根据触发条件#3中的验证需求,确定触发对终端的设备认证,执行S705。否则,如果没有对应的触发条件#3,也即用户身份标识与允许使用的用户的身份标识不同,则外部AAA服务器确定不触发对终端的设备认证,执行常规主认证流程。
S705,外部AAA服务器向AUSF网元发送认证响应(Authentication Response)消息#1。相应的,AUSF网元接收来自外部AAA服务器的认证响应消息#1。
认证响应消息#1可以用于触发对终端的设备认证,或者说触发针对终端对应的用户执行设备认证。例如,认证响应消息#1可携带指示信息#5,以通过指示信息#5触发对终端的设备认证。或者,外部AAA服务器也可以通过认证响应消息#1本身触发对终端的设备认证。例如,如果外部AAA服务器发送认证响应消息#1,则表示触发对终端的设备认证。或者,如果外部AAA服务器超时仍未发送认证响应消息#1,则表示不触发对终端的设备认证。
可以理解,指示信息#5仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第五指示信息、设备验证指示信息等等,不做限定
S706,AUSF网元向AMF网元发送终端认证响应(Nausf_UE AuthenticationResponse)消息。相应的,AMF网元接收来自AUSF网元的终端认证响应消息。
终端认证响应消息可以用于触发设备认证。其中,终端认证响应消息可以携带指示信息#5。也就是说,AUSF网元可以将认证响应消息#1中的指示信息#5,封装到终端认证响应消息中,再向AMF网元发送终端认证响应消息。或者,AUSF网元也可以通过终端认证响应消息本身触发对终端的设备认证。也即,如果AUSF网元发送终端认证响应消息,则表示触发对终端的设备认证。例如,AUSF网元根据认证响应消息#1中的指示信息#5,或者根据接收到认证响应消息#1,确定触发对终端的设备认证,从而向AMF网元发送终端认证响应消息。但是,如果AUSF网元超时仍未发送终端认证响应消息,则表示不触发对终端的设备认证。
S707,AMF网元向终端发送指示信息#2。相应的,终端接收来自AMF网元的指示信息#2。
其中,指示信息#2的具体实现可参考上述S305中的相关介绍,不再赘述。终端可根据指示信息#2,使用预配置的密钥#1和/或证书#1,以及密码学算法,如椭圆曲线算法或使用X.509格式的证书,对设备标识进行签名,得到签名信息。
S708,终端向AMF网元发送签名信息。相应的,AMF网元接收来自终端的签名信息。
签名信息可承载在任何可能的NAS信令中,不做限定。可选地,终端还可以提供终端的设备标识,如向AMF网元发送终端的设备标识,用以后续验证绑定关系是否可信使用。终端的设备标识与签名信息可以承载在同一条NAS信令中,或者也可以承载在不同的NAS信令中,不做限定。或者,终端也可以不提供终端的设备标识,由AUSF网元在认证允许使用的终端的标识的过程中,自行确定终端的设备标识,具体实现可以参考下述S711中的相关介绍,不再赘述。
S709,AMF网元向AUSF网元发送签名信息。相应的,AUSF网元接收来自AMF网元的签名信息。
AMF网元在接收到来自终端的签名信息后,可通过任何可能的服务化接口消息,向AUSF网元发送该签名信息。可选地,AMF网元在接收到终端的设备标识后,也可通过任何可能的服务化接口消息,向AUSF网元发送该终端的设备标识。其中,终端的设备标识与签名信息可以承载在同一条服务化接口消息中,或者也可以承载在不同的服务化接口消息中,不做限定。
S710,AUSF网元向外部AAA服务器发送认证请求消息#2。相应的,外部AAA服务器接收来自AUSF网元的认证请求消息#2。
认证请求消息#2可用于外部AAA服务器执行对终端的设备认证。例如,认证请求消息#2可以包括上述签名信息。可选地,认证请求消息#2还可以包括终端的设备标识。或者,签名信息和终端的设备标识也可以承载在不同的认证请求消息中,不做限定。
S711,外部AAA服务器执行对终端的设备认证。
其中,外部AAA服务器执行对终端的设备认证的原理与上述S305中的相关介绍类似,可参考理解,不再赘述。此时,如果外部AAA服务器确定终端的设备认证通过,则验证终端的设备标识与用户身份标识是否相关联,执行S712。可选地,在终端的设备认证通过的情况下,AUSF网元还可以自行确定终端的设备标识。例如,AUSF网元验证签名信息的通过,如成功解密签名信息,可获得允许使用的终端的标识,此时允许使用的终端的标识即为终端的设备标识。当然,如果外部AAA服务器确定终端的设备标识的认证失败,则跳过S712执行S713,以将认证失败的结果告知网络。
S712,外部AAA服务器验证终端的设备标识与用户身份标识是否相关联。
其中,外部AAA服务器验证终端的设备标识与用户身份标识是否相关联的原理与上述S306中的相关介绍类似,可参考理解,不再赘述。
S713,外部AAA服务器向AUSF网元发送认证响应消息#2。相应的,AUSF网元接收来自外部AAA服务器的认证响应消息#2。
由于网络可能不感知具体是终端的设备认证是否通过,还是终端的设备标识与用户身份标识是否相关联,因此认证响应消息#2可以用于指示整体的验证通过或验证失败。例如,认证响应消息#2可以携带验证结果#5,验证结果#5可以是1比特的信元,以通过1个比特的两种取值,分别指示这两种情况。当然,验证结果#5也可以用于指示具体的情况,如指示终端的设备认证是否通过,以及终端的设备标识与用户身份标识是否相关联,不做限定。此外,验证结果#5为一种示例性的命名,其也可以替换为任何可能的命名,例如第五验证结果、认证结果等,不做限定。
相应的,AUSF网元可根据验证结果#5,确定是否继续后续流程。例如,如果验证结果#5指示验证通过,如终端的设备认证通过,以及终端的设备标识与用户身份标识相关联,则AUSF网元确定验证通过,也可以理解为确定主认证通过,从而可以触发后续流程,如注册流程以及会话建立流程等。如果验证结果#5指示验证失败,如终端的设备认证失败,或者终端的设备认证通过,但终端的设备标识与用户身份标识不关联,则AUSF网元确定验证失败,也可以理解为确定主认证失败,流程结束,终端不允许注册到网络。
综上,根据场景5介绍的流程可知,通过外部AAA服务器执行对终端的设备认证,以及验证终端的设备标识与用户身份标识是否相关联,以确保在ME和USIM均可信的情况下,外部AAA服务器才提供相应的服务,避免出现安全风险。
场景6:
示例性的,图8为本申请实施例提供的通信方法的流程示意图六。与上述各场景不同的是,在场景6中,AF可以触发网络执行对终端的设备认证。
具体的,如图8所示,该通信方法的流程如下:
S800a,终端预配置有密钥#1和/或证书#1。
其中,S800a的具体实现可以参考上述S300a中的相关介绍,不再赘述。
S800b,网络功能预配置有密钥#2和/或证书#2,以及绑定关系。
其中,网络功能可适用上述场景1,包括EIR、AMF网元和UDM网元,或适用上述场景2,包括EIR、SMF网元和UDM网元。此时,S800b的具体实现可参考上述S300b-S300c的相关介绍,不再赘述。或者,网络功能可适用上述场景3,包括EIR、AMF网元和AAA服务器,或适用上述场景4,包括SMF网元、ASUF网元和外部AAA服务器。此时,S800b的具体实现可参考上述S500b-S500c的相关介绍,不再赘述。或者,网络功能可适用上述场景5,包括外部AAA服务器。此时,S800b的具体实现可参考上述S700b的相关介绍,不再赘述。
S801,AF确定用户处于异常状态。
其中,用户处于异常状态可包括如下至少一项:用户的账号处于异常状态,如同一用户的账号重复登录、或用户的业务处于异常状态,如业务流量异常等等,不做限定。在确定用户处于异常状态的情况下,AF可以触发对该用户执行设备认证,或者说触发对该用户对应的终端的设备认证,即执行S802。可选地,AF也可根据本地配置,在任意情况下触发对该用户执行设备认证。其中,AF的本地配置可以是在特定时间触发对该用户执行设备认证,不做限定。
S802,AF向NEF网元发送AF认证通知请求(Naf_Auth_Notification Request)消息#1。相应的,NEF网元接收来自AF的AF认证通知请求消息#1。
AF认证通知请求消息#1可用于触发对该用户执行设备认证。例如,AF认证通知请求消息#1可以包括该用户的地址,如IP地址,可选地,还可以包括指示信息#6,指示信息#6可用于触发对该用户执行设备认证。当然,如果AF认证通知请求消息#1没有携带指示信息#6,则还可以通过该用户的地址,隐式触发对该用户执行设备认证。
可以理解,指示信息#6仅为一种示例性的命名,其也可以替换其他任何可能的命名,例如第六指示信息、认证指示信息等,不做限定。此外,在账号重复登录的情况下,同一个用户的地址可以能有多个。此时,网络针对每个地址的处理逻辑大致相同,为方便理解,下文以其中的一个地址为例进行介绍。
S803,NEF网元向网络功能发送NEF认证通知请求(Nnef_Auth_NotificationRequest)消息。相应的,网络功能接收来自NEF网元的NEF认证通知请求消息。
NEF认证通知请求消息可用于触发对该用户执行设备认证。例如,NEF认证通知请求消息可以包括该用户的地址对应的用户身份标识,如终端的SUPI,可选地,还可以包括指示信息#6。也就是说,NEF网元可以从AF认证通知请求消息#1中获取该用户的地址,以确定该用户的地址对应的用户身份标识,从而将该用户身份标识封装到NEF认证通知请求消息中。可选地,如果AF认证通知请求消息#1还包括指示信息#6,则NEF网元还可以将该指示信息#6封装到NEF认证通知请求消息中,用以触发对该用户执行设备认证。当然,如果AF认证通知请求消息#1没有携带指示信息#6,则还可以通过该设备标识,隐式触发该对用户执行设备认证。
可以理解,如果网络功能包括上述场景1或场景3中的AMF网元,则NEF网元向AMF网元发送NEF认证通知请求消息。或者,如果网络功能包括上述场景2或场景4中的SMF网元,则NEF网元向SMF网元发送NEF认证通知请求消息。或者,如果网络功能包括上述场景5中的外部AAA服务器,则NEF网元向外部AAA服务器发送NEF认证通知请求消息。
S804,网络功能触发对用户执行设备认证。
其中,网络功能可适用上述场景1-场景5中的任一个场景,则S804的具体实现可参考该场景的相关介绍,不再赘述。
S805,网络功能向NEF网元发送NEF认证通知响应(Nnef_Auth_NotificationResponse)消息。相应的,NEF网元接收来自网络功能的NEF认证通知响应消息。
NEF认证通知响应消息可用于指示该用户对应的终端的设备认证是否通过,以及该用户对应的终端的设备标识与用户身份标识是否相关联。例如,NEF认证通知响应消息可以包括:上述用户身份标识,以及验证结果#6,用以指示该用户对应的终端的设备认证是否通过,以及该用户对应的终端的设备标识与用户身份标识是否相关联。
可以理解,如果AF不感知具体是该用户对应的终端的设备认证是否通过,还是该用户对应的终端的设备标识与用户身份标识是否相关联,那么NEF认证通知响应消息也可以指示整体的验证通过或失败。此外,验证结果#6为一种示例性的命名,其也可以替换为任何可能的命名,例如第六验证结果、认证结果等,不做限定。
S806,NEF网元向AF发送AF认证通知响应(Naf_Auth_Notification Response)消息#1。相应的,AF接收来自NEF网元的AF认证通知响应消息#1。
AF认证通知响应消息#1可用于指示该用户对应的终端的设备认证通过,以及该用户对应的终端的设备标识与用户身份标识相关联。例如,AF认证通知响应消息#1可以包括:该用户的地址,以及验证结果#6,用以指示该用户对应的终端的设备认证通过,以及该用户对应的终端的设备标识与用户身份标识相关联。
可以理解,如果同一个用户的地址有多个,则AF认证通知响应消息#1中可以包括:该用户的每个地址,以及该地址对应的验证结果#6。或者,AF认证通知响应消息#1也可以仅包括与这多个地址一一对应的多个验证结果#6,且这些验证结果#6按默认的顺序排列,以便AF能够根据这些验证结果#6的排序,确定每个验证结果#6是哪一个地址对应的验证结果。
S807,AF向NEF网元发送AF认证通知请求消息#2。相应的,NEF网元接收来自AF的AF认证通知请求消息#2。
其中,在用户对应的终端的设备认证通过,以及该用户对应的终端的设备标识与用户身份标识相关联的情况下,AF认证通知请求消息#2可用于指示网络允许该用户对应的终端继续附着在网络。例如,AF认证通知请求消息#2可以包括:该用户的地址,以及指示信息#7,用以指示网络允许该用户对应的终端继续附着在网络。或者,在户对应的终端的设备认证失败的情况下,或者在户对应的终端的设备认证通过,但该用户对应的终端的设备标识与用户身份标识不关联的情况下,AF认证通知请求消息#2可用于指示网络不允许该用户对应的终端继续附着在网络,或者说网络需要断开该用户对应的终端与网络的链接。例如,AF认证通知请求消息#2可以包括:该用户的地址,以及指示信息#8,用以指示网络需要断开该用户对应的终端与网络的链接。
S808,NEF网元向AF发送AF认证通知响应消息#2。相应的,AF接收来自NEF网元的AF认证通知响应消息#2。
其中,AF认证通知响应消息#2可用于响应上述AF认证通知请求消息#2,也即指示该用户对应的终端已继续附着在网络,或者网络已断开该用户对应的终端与网络的链接。
可以理解,S807-S808为可选步骤,例如在用户对应的设备认证通过,以及绑定关系可信的情况下,S807-S808可以不执行。
综上,根据场景6介绍的流程可知,通过AF触发网络执行对终端的设备认证,以确保在ME和USIM均可信,或者用户和该用户对应的终端均可信的情况下,网络才继续提供相应的服务,避免出现安全风险。
以上结合图3-图8详细说明了本申请实施例提供的通信方法在各种场景下的流程。以下结合图9和图10介绍该通信方法的整体流程。
示例性的,图9为该通信方法的流程示意图七。该通信方法主要涉及第一网元的相关流程。第一网元可以理解为上述场景1中的AMF网元、上述场景2中的SMF网元、上述场景3或场景4中的AAA服务器、上述场景5中的外部AAA服务器、或者上述场景6中的网络功能。
如图9所示,该通信方法的流程如下:
S901,第一网元触发对终端的设备认证。
其中,第一网元可以向终端发送第一设备认证请求消息,并接收来自终端的第一设备认证响应消息,第一设备认证响应消息包括终端的设备标识以及终端的设备标识的签名信息。如此,第一网元可以根据终端的设备标识以及终端的设备标识的签名信息,确定针对终端的设备认证是否通过。例如,第一网元可以向认证网元发送第二设备认证请求消息,并接收来自认证网元的第二设备认证响应消息。其中,第二设备认证请求包括终端的设备标识以及终端的设备标识的签名信息,第二设备认证响应消息包括认证结果。如此,第一网元可以根据认证结果,确定针对终端的设备认证是否通过。
可以理解,终端的设备认证的具体实现也可以参考上述S305、S408、S505、S607以及S711中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为接入管理网元(上述场景1中的AMF网元)。
第一网元可以在终端的注册流程中获取用户身份标识,从而向数据管理网元(上述场景1中的UDM网元)发送签约数据请求消息(上述场景1中的SDM获取请求消息),该签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息(场景1中的SDM获取响应消息),该签约信息响应消息包括绑定关系(上述场景1中的绑定关系#1),以便第一网元根据绑定关系,触发对终端的设备认证,或者说绑定关系可被复用于隐式指示第一网元触发终端的设备认证,以节约开销,提高通信效率。此外,通过复用注册流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许注册到第一网络,避免无效注册而导致资源浪费。
或者,第一网元在终端的注册流程中获取用户身份标识,并向数据管理网元发送签约数据请求消息,签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系和设备认证指示信息(上述场景1中的指示信息#1),设备认证指示信息用于指示需要针对用户执行设备认证,以便第一网元根据设备认证指示信息,触发对终端的设备认证。可以看出,通过复用注册流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许注册到第一网络,避免无效注册而导致资源浪费。
此外,该设计方案的具体实现也可以参考上述S300a-S304中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为会话管理网元(上述场景2中的SMF网元)。
第一网元可以在终端的会话建立流程中获取用户身份标识,并向数据管理网元(上述场景2中的UDM网元)发送签约数据请求消息(上述场景2中的SDM获取请求消息),签约数据请求消息包括用户身份标识。如此,第一网元可以接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系(上述场景2中的绑定关系#1),以便第一网元可根据绑定关系,触发接入管理网元执行对终端的设备认证,也即,绑定关系可被复用于隐式指示第一网元触发终端的设备认证,以节约开销,提高通信效率。
或者,第一网元在终端的会话建立流程中获取用户身份标识,并向数据管理网元发送签约数据请求消息,签约数据请求消息包括用户身份标识。如此,第一网元可接收来自数据管理网元的签约信息响应消息,签约信息响应消息包括绑定关系和设备认证指示信息(上述场景2中的指示信息#1),设备认证指示信息用于指示需要针对用户执行设备认证,以便第一网元可根据设备认证指示信息,触发接入管理网元执行对终端的设备认证。
可以看出,会话管理网元触发接入管理网元执行对终端的设备认证,可避免由会话管理网元自行执行认证,降低其开销,提高运行效率;或者,仍可以由会话管理网元执行,或者由其他任何可能的网元执行,不做限定。此外,通过复用会话建立流程触发设备认证,还可以确保只有在认证通过的情况,终端才被允许建立会话,避免建立无效会话而导致资源浪费。
此外,该设计方案的具体实现也可以参考上述S400a-S404中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为AAA服务器。
第一网元可以向接入管理网元(上述场景3中的AMF网元)发送设备认证指示信息(上述场景3中的指示信息#3),设备认证指示信息用于触发接入管理网元执行对终端的设备认证。
可选地,在第一网元向接入管理网元发送设备认证指示信息之前,第一网元还可以接收来自接入管理网元的切片认证请求消息(上述场景3中的切片认证请求消息#1),切片认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。或者,可选地,在第一网元向接入管理网元发送设备认证指示信息之前,第一网元接收来自接入管理网元的EAP认证请求消息,EAP认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。
可以看出,第一网元可通过复用切片认证流程来触发终端的设备认证,一方面,可避免额外的信令交互,节约通信开销,另一方面,可确保只有在切片认证通过的情况,终端才被允许获得服务功能网元提供的服务,如注册或者建立会话等等,以避免提供无效服务而导致资源浪费。
可选地,在触发对终端的设备标识之后,第一网元还可以接收来自接入管理网元的设备认证响应消息(如上述场景3中的切片认证请求消息#2),其中,设备认证响应消息包括终端的设备标识和认证结果,以便第一网元根据认证结果,确定对终端的设备认证是否通过。可以看出,第一网元可以复用设备认证的过程中设备认证响应消息获取终端的设备标识,无需额外通过其他信令获取,以减少交互次数,提高通信效率。
此外,该设计方案的具体实现也可以参考上述S500a-S506中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为AAA服务器。
第一网元可以向会话管理网元(上述场景4中的SMF网元)发送设备认证指示信息(上述场景4中的指示信息#4),设备认证指示信息用于指示需要触发接入管理网元(上述场景4中的AMF网元)执行对终端的设备认证。也就是说,即使AAA服务器可能无法与接入管理网元直接通信,AAA服务器仍可以通过会话管理网元指示接入管理网元,以确保设备认证能够被有效触发。
可选地,在第一网元向会话管理网元发送设备认证指示信息之前,第一网元还可以接收来自会话管理网元的二次认证请求消息(上述场景4中的二次认证请求消息#1),二次认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。可以看出,第一网元可通过复用二次认证流程来触发终端的设备认证,一方面,可避免额外的信令交互,节约通信开销,另一方面,可确保只有在二次认证通过的情况,终端才被允许获得服务功能网元提供的服务,如注册或者建立会话等等,以避免提供无效服务而导致资源浪费。
可选地,在触发终端的设备认证之后,第一网元还可以接收来自会话管理网元的设备认证响应消息(上述场景4中的二次认证请求消息#2),其中,设备认证响应消息包括终端的设备标识和认证结果,以便第一网元根据认证结果,确定对终端的设备认证是否通过。可以看出,第一网元可以复用设备认证的过程中设备认证响应消息获取终端的设备标识,无需额外通过其他信令获取,以减少交互次数,提高通信效率。
此外,该设计方案的具体实现也可以参考上述S600a-S609中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为AAA服务器。
第一网元可以向认证网元(上述场景5中的AUSF网元)发送设备认证指示信息(上述场景5中的指示信息#5),设备认证指示信息用于指示需要触发接入管理网元(上述场景5中的AMF网元)执行对终端的设备认证。也就是说,即使AAA服务器可能无法与接入管理网元直接通信,AAA服务器仍可以通过认证网元指示接入管理网元,以确保设备认证能够被有效触发。
可选地,在第一网元向认证网元发送设备认证指示信息之前,第一网元还可以接收来自认证网元的认证请求消息(上述场景5中的认证请求消息#1),认证请求消息包括用户身份标识,以便第一网元根据用户身份标识,确定需要对终端执行设备认证。也就是说,第一网元可以在配合认证网元完成认证的过程中,或者说复用认证流程,如主认证流程,执行终端的设备认证,避免执行其他额外的认证流程,以提高认证效率。
此外,该设计方案的具体实现也可以参考上述S700a-S711中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元还可以接收来自应用功能(上述场景6中的AF)的认证通知请求消息(上述场景6中的AF认证通知请求消息#1),认证通知请求消息包括用户身份标识,以便第一网元根据用户身份标识,触发对终端的设备认证。也就是说,应用功能可根据需求主动触发对终端的设备认证,无需被动依赖网络,以提高认证的灵活性。并且,通过复用用户身份标识隐式来指示第一网元触发对终端的设备认证,还可以节约开销,提高通信效率。
可选地,在触发对终端的设备认证之后,第一网元可以向应用功能发送认证通知响应消息。其中,认证通知响应消息用于对终端的认证通过,也即表示终端可信,以便应用功能能够为终端提供相应的服务。
此外,该设计方案的具体实现也可以参考上述S800a-S806中的相关介绍,不再赘述。
S902,在终端的设备认证通过的情况下,第一网元基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配。
其中,用户身份标识用于标识使用终端设备向网络请求服务的用户。
第一网元可以根据终端的设备标识,获取绑定关系(上述绑定关系#1或绑定关系#2),以判断用户身份标识是否与允许使用的用户的身份标识一致。其中,绑定关系包括终端的设备标识与允许使用的用户的身份标识,允许使用的用户的身份标识用于指示允许使用终端来请求服务的用户。或者,第一网元基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配,包括:第一网元根据用户身份标识,获取绑定关系,以判断终端的设备标识是否与允许使用的终端的标识一致。其中,绑定关系包括用户身份标识与允许使用的终端的标识,允许使用的终端的标识用于指示允许用户使用的终端。
也就是说,第一网元既可以使用设备标识来验证是否有与之匹配的允许使用的用户的身份标识,也可以使用用户身份标识来验证是否有与之匹配的允许使用的终端的标识,具体采用哪种方式可以根据实际情况灵活选择。
此外,S902的具体实现也可以参考上述S306、S410、S507、S610以及S712中的相关介绍,不再赘述。
S903,第一网元根据验证结果,触发网络决策是否为终端提供服务。
一种可能的设计方案中,第一网元为网络内的网元,如接入管理网元(上述场景1中的AMF网元)或会话管理网元(上述场景2中的SMF网元),第一网元可以根据验证结果,直接为终端提供相应的服务,具体也可以参考上述S306或S410中的相关介绍,不再赘述。或者,第一网元也可以根据应用功能的消息,触发网络为终端提供服务。例如,在应用功能触发终端的设备认证的情况下,第一网络是否为终端提供服务仍可由应用功能指示,以确保第一网络能够按需提供服务,具体也可以参考上述S807-S808中的相关介绍,不再赘述。
一种可能的设计方案中,第一网元为AAA服务器。第一网元可以向接入管理网元(上述场景3中的AMF网元)、会话管理网元(上述场景4中的SMF网元)或认证网元(上述场景5中的SMF网元)发送验证结果。该验证结果用于触发网络决策是否为终端提供服务,如在验证结果表征验证通过的情况下,网络确定为终端提供服务,以保障网络安全。
此外,该设计方案的具体实现也可以参考上述S508-S509、S611-S612以及S713中的相关介绍,不再赘述。
综上,第一网元不仅可以触发对终端的设备认证,还可以在终端的设备认证通过后,进一步验证终端的设备标识和用户身份标识的绑定关系,以提高安全性,满足进一步的安全需求,避免出现安全风险。
示例性的,图10为该通信方法的流程示意图八。该通信方法主要涉及应用功能的相关流程。应用功能可以理解为上述场景6中的AF。
如图10所示,该通信方法的流程如下:
S1001,在终端处于异常状态的情况下,应用功能触发第一网元执行对终端的设备认证。
其中,第一网元可以功能网元(上述场景6中的网络功能)。终端处于异常状态包括如下至少一项:终端的账号异常、或终端的业务异常,以实现较为全面的触发终端的设备认证。
可选地,应用功能可以向第一网元发送终端的地址。其中,终端的地址用于触发第一网元执行终端的设备认证。也就是说,该终端的地址可被复用于隐式指示第一网元执行终端的设备认证,以节约开销,提高通信效率,或者,也可以通过其他任何可能的方式实现,如终端的SUCI,不做限定。
S1002,应用功能从第一网元获取终端的设备认证对应的认证结果。
其中,认证结果指示认证失败是指认证结果指示终端的设备认证失败。可选地,认证结果指示认证失败还可以指终端的设备标识与用户身份标识不匹配。
S1003,在认证结果指示认证失败的情况下,应用功能指示第一网元停止为终端提供服务。
需要指出的是,S1001-S1003的具体实现原理也可以参考上述S800a-S808中的相关介绍,不再赘述。
综上,应用功能可以在感知到终端异常的情况下,指示网络侧,如第一网元执行终端的设备认证,以便在认证失败的情况下,指示网络侧停止为终端提供服务,避免出现安全风险。
以上结合图3-图10详细说明了本申请实施例提供的通信方法。以下结合图11-图12详细说明用于执行本申请实施例提供的通信方法的通信装置。
示例性的,图11是本申请实施例提供的通信装置的结构示意图一。如图11所示,通信装置1100包括:收发模块1101和处理模块1102。为了便于说明,图11仅示出了该通信装置的主要部件。
一些实施例中,通信装置1100可适用于图2中所示出的通信系统中,执行上述第一网元的功能。
其中,收发模块1101可以用于执行第一网元收发消息的功能,如上述S901等步骤中的功能。处理模块1102可以执行该第一网元除收发消息以外的功能,如上述S902等步骤中的功能。例如,处理模块1102,用于触发对终端的设备认证,并在终端的设备认证通过的情况下,基于预设的绑定关系,验证终端的设备标识是否与用户身份标识相匹配;处理模块1102,还用于根据验证结果,控制收发模块1101触发网络决策是否为终端提供服务。其中,用户身份标识用于标识使用终端向网络请求服务的用户
可选地,收发模块1101可以包括发送模块和接收模块。其中,发送模块用于实现通信装置1100的发送功能,接收模块用于实现通信装置1100的接收功能。
可选地,通信装置1100还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块1102执行该程序或指令时,使得通信装置1100可以执行上述通信方法。
需要说明的是,通信装置1100可以是第一网元,也可以是可设置于第一网元中的芯片(系统)或其他部件或组件,还可以是包含第一网元的装置,本申请对此不做限定。
此外,通信装置1100的技术效果可以参考上述通信方法的技术效果,此处不再赘述。
另一些实施例中,通信装置1100可适用于图2中所示出的通信系统中,执行上述应用功能的功能。
其中,收发模块1101可以用于执行应用功能收发消息的功能。处理模块1102可以执行该第一网元除收发消息以外的功能。例如,处理模块1102,用于在终端处于异常状态的情况下,控制收发模块1101触发第一网元执行对终端的设备认证,并控制收发模块1101从第一网元获取终端的设备认证对应的认证结果,以便在认证结果指示认证失败的情况下,收发模块1101指示第一网元停止为终端提供服务。
可选地,收发模块1101可以包括发送模块和接收模块。其中,发送模块用于实现通信装置1100的发送功能,接收模块用于实现通信装置1100的接收功能。
可选地,通信装置1100还可以包括存储模块,该存储模块存储有程序或指令。当该处理模块1102执行该程序或指令时,使得通信装置1100可以执行上述通信方法。
需要说明的是,通信装置1100可以是应用功能,也可以是可设置于应用功能中的芯片(系统)或其他部件或组件,还可以是包含应用功能的装置,本申请对此不做限定。
示例性地,图12为本申请实施例提供的通信装置的结构示意图二。该通信装置可以是终端,也可以是可设置于终端的芯片(系统)或其他部件或组件。如图12所示,通信装置1200可以包括处理器1201。可选地,通信装置1200还可以包括存储器1202和/或收发器1203。其中,处理器1201与存储器1202和收发器1203耦合,如可以通过通信总线连接。
下面结合图12对通信装置1200的各个构成部件进行具体的介绍:
其中,处理器1201是通信装置1200的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器1201是一个或多个中央处理器(central processing unit,CPU),也可以是特定集成电路(application specific integrated circuit,ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(fieldprogrammable gate array,FPGA)。
可选地,处理器1201可以通过运行或执行存储在存储器1202内的软件程序,以及调用存储在存储器1202内的数据,执行通信装置1200的各种功能,例如执行上述图8-图10所示的通信方法。
在具体的实现中,作为一种实施例,处理器1201可以包括一个或多个CPU,例如图12中所示出的CPU0和CPU1。
在具体实现中,作为一种实施例,通信装置1200也可以包括多个处理器,例如图12中所示的处理器1201和处理器1204。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
其中,所述存储器1202用于存储执行本申请方案的软件程序,并由处理器1201来控制执行,具体实现方式可以参考上述方法实施例,此处不再赘述。
可选地,存储器1202可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory,EEPROM)、只读光盘(compactdisc read-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1202可以和处理器1201集成在一起,也可以独立存在,并通过通信装置1200的接口电路(图12中未示出)与处理器1201耦合,本申请实施例对此不作具体限定。
收发器1203,用于与其他通信装置之间的通信。例如,通信装置1200为终端,收发器1203可以用于与网络设备通信,或者与另一个终端设备通信。又例如,通信装置1200为网络设备,收发器1203可以用于与终端通信,或者与另一个网络设备通信。
可选地,收发器1203可以包括接收器和发送器(图12中未单独示出)。其中,接收器用于实现接收功能,发送器用于实现发送功能。
可选地,收发器1203可以和处理器1201集成在一起,也可以独立存在,并通过通信装置1200的接口电路(图12中未示出)与处理器1201耦合,本申请实施例对此不作具体限定。
需要说明的是,图12中示出的通信装置1200的结构并不构成对该通信装置的限定,实际的通信装置可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,通信装置1200的技术效果可以参考上述方法实施例所述的通信方法的技术效果,此处不再赘述。
本申请实施例提供一种通信系统。该通信系统包括:图8-图10所示的一个或多个终端。
应理解,在本申请实施例中的处理器可以是中央处理单元(central processingunit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现成可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
还应理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的随机存取存储器(random accessmemory,RAM)可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM,DR RAM)。
上述实施例,可以全部或部分地通过软件、硬件(如电路)、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种通信方法,其特征在于,所述方法包括:
第一网元触发对终端的设备认证;
在所述终端的设备认证通过的情况下,所述第一网元基于预设的绑定关系,验证所述终端的设备标识是否与用户身份标识相匹配;其中,所述用户身份标识用于标识使用所述终端向网络请求服务的用户;
根据验证结果,所述第一网元触发所述网络决策是否为所述终端提供所述服务。
2.根据权利要求1所述的方法,其特征在于,所述第一网元基于预设的绑定关系,验证所述终端的设备标识是否与用户身份标识相匹配,包括:
所述第一网元根据所述终端的设备标识,获取所述绑定关系;所述绑定关系包括所述终端的设备标识与允许使用的用户的身份标识,其中,所述允许使用的用户的身份标识用于指示允许使用所述终端来请求所述服务的用户;
所述第一网元判断所述用户身份标识是否与所述允许使用的用户的身份标识一致。
3.根据权利要求1所述的方法,其特征在于,所述第一网元基于预设的绑定关系,验证所述终端的设备标识是否与用户身份标识相匹配,包括:
所述第一网元根据所述用户身份标识,获取所述绑定关系;所述绑定关系包括所述用户身份标识与允许使用的终端的标识;其中,所述允许使用的终端的标识用于指示允许所述用户使用的终端;
所述第一网元判断所述终端的设备标识是否与所述允许使用的终端的标识一致。
4.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为接入管理网元,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元在所述终端的注册流程中获取所述用户身份标识;
所述第一网元向数据管理网元发送签约数据请求消息,所述签约数据请求消息包括所述用户身份标识;
所述第一网元接收来自所述数据管理网元的签约信息响应消息,所述签约信息响应消息包括所述绑定关系;
所述第一网元根据所述绑定关系,触发对所述终端的设备认证。
5.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为接入管理网元,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元在所述终端的注册流程中获取所述用户身份标识;
所述第一网元向数据管理网元发送签约数据请求消息,所述签约数据请求消息包括所述用户身份标识;
所述第一网元接收来自所述数据管理网元的签约信息响应消息,所述签约信息响应消息包括所述绑定关系和设备认证指示信息,所述设备认证指示信息用于指示需要针对所述用户执行设备认证;
所述第一网元根据所述设备认证指示信息,触发对所述终端的设备认证。
6.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为会话管理网元,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元在所述终端的会话建立流程中获取所述用户身份标识;
所述第一网元向数据管理网元发送签约数据请求消息,所述签约数据请求消息包括所述用户身份标识;
所述第一网元接收来自所述数据管理网元的签约信息响应消息,所述签约信息响应消息包括所述绑定关系;
所述第一网元根据所述绑定关系,触发接入管理网元执行对所述终端的设备认证。
7.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为会话管理网元,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元在所述终端的会话建立流程中获取所述用户身份标识;
所述第一网元向数据管理网元发送签约数据请求消息,所述签约数据请求消息包括所述用户身份标识;
所述第一网元接收来自所述数据管理网元的签约信息响应消息,所述签约信息响应消息包括所述绑定关系和设备认证指示信息,所述设备认证指示信息用于指示需要针对所述用户执行设备认证;
所述第一网元根据所述设备认证指示信息,触发接入管理网元执行对所述终端的设备认证。
8.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为认证、授权和计费AAA服务器,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元向接入管理网元发送设备认证指示信息,所述设备认证指示信息用于触发所述接入管理网元执行对所述终端的设备认证。
9.根据权利要求8所述的方法,其特征在于,在所述第一网元向接入管理网元发送设备认证指示信息之前,所述方法还包括:
所述第一网元接收来自所述接入管理网元的切片认证请求消息,所述切片认证请求消息包括所述用户身份标识;
所述第一网元根据所述用户身份标识,确定需要对所述终端执行设备认证。
10.根据权利要求8所述的方法,其特征在于,在所述第一网元向接入管理网元发送设备认证指示信息之前,所述方法还包括:
所述第一网元接收来自所述接入管理网元的可扩展的鉴权协议EAP认证请求消息,所述EAP认证请求消息包括所述用户身份标识;
所述第一网元根据所述用户身份标识,确定需要对所述终端执行设备认证。
11.根据权利要求8-10任一所述的方法,其特征在于,所述方法还包括:
所述第一网元接收来自所述接入管理网元的设备认证响应消息,其中,所述设备认证响应消息包括所述终端的设备标识和认证结果;
所述第一网元根据所述认证结果,确定对所述终端的设备认证是否通过。
12.根据权利要求8-10任一所述的方法,其特征在于,所述根据验证结果,所述第一网元触发所述网络决策是否为所述终端提供所述服务,包括:
所述第一网元向所述接入管理网元发送所述验证结果,所述验证结果用于触发所述网络决策是否为所述终端提供所述服务。
13.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为AAA服务器,则所述第一网元触发对所述终端的设备认证,包括:
所述第一网元向会话管理网元发送设备认证指示信息,所述设备认证指示信息用于指示需要触发接入管理网元执行对所述终端的设备认证。
14.根据权利要求13所述的方法,其特征在于,在所述第一网元向所述会话管理网元发送设备认证指示信息之前,所述方法还包括:
所述第一网元接收来自所述会话管理网元的二次认证请求消息,所述二次认证请求消息包括所述用户身份标识;
所述第一网元根据所述用户身份标识,确定需要对所述终端执行设备认证。
15.根据权利要求13或14所述的方法,其特征在于,所述方法还包括:
所述第一网元接收来自所述会话管理网元的设备认证响应消息,其中,所述设备认证响应消息包括所述终端的设备标识和认证结果;
所述第一网元根据所述认证结果,确定对所述终端的设备认证是否通过。
16.根据权利要求13-15任一所述的方法,其特征在于,所述根据验证结果,所述第一网元触发所述网络决策是否为所述终端提供所述服务,包括:
所述第一网元向所述会话管理网元发送所述验证结果,所述验证结果用于触发所述网络决策是否为所述终端提供所述服务。
17.根据权利要求1-3任一所述的方法,其特征在于,所述第一网元为AAA服务器,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元向认证网元发送设备认证指示信息,所述设备认证指示信息用于指示需要触发接入管理网元执行对所述终端的设备认证。
18.根据权利要求17所述的方法,其特征在于,在所述第一网元向认证网元发送设备认证指示信息之前,所述方法还包括:
所述第一网元接收来自所述认证网元的认证请求消息,所述认证请求消息包括所述用户身份标识;
所述第一网元根据所述用户身份标识,确定需要对所述终端执行设备认证。
19.根据权利要求17或18所述的方法,其特征在于,所述根据验证结果,所述第一网元触发所述网络决策是否为所述终端提供所述服务,包括:
所述第一网元向所述认证网元发送所述验证结果,所述验证结果用于触发所述网络决策是否为所述终端提供所述服务。
20.根据权利要求1-5任一所述的方法,其特征在于,所述第一网元触发对所述终端的设备认证,包括:
所述第一网元向所述终端发送第一设备认证请求消息;
所述第一网元接收来自所述终端的第一设备认证响应消息,所述第一设备认证响应消息包括所述终端的设备标识以及所述终端的设备标识的签名信息;
所述第一网元根据所述终端的设备标识以及所述终端的设备标识的签名信息,确定针对所述终端的设备认证是否通过。
21.根据权利要求20所述的方法,其特征在于,所述第一网元根据所述终端的设备标识以及所述终端的设备标识的签名信息,确定针对所述终端的设备认证是否通过,包括:
所述第一网元向认证网元发送第二设备认证请求消息,所述第二设备认证请求包括所述终端的设备标识以及所述终端的设备标识的签名信息;
所述第一网元接收来自所述认证网元的第二设备认证响应消息,所述第二设备认证响应消息包括认证结果;
所述第一网元根据所述认证结果,确定针对所述终端的设备认证是否通过。
22.一种通信装置,其特征在于,所述装置包括:用于执行如权利要求1-21中任一项所述的方法的模块。
23.一种通信装置,其特征在于,所述通信装置包括:处理器和存储器;所述存储器用于存储计算机指令,当所述处理器执行该指令时,以使所述通信装置执行如权利要求1-21中任一项所述的通信方法。
24.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序或指令,当所述计算机程序或指令在计算机上运行时,使得所述计算机执行如权利要求1-21中任一项所述的通信方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210728556.7A CN117320002A (zh) | 2022-06-25 | 2022-06-25 | 通信方法及装置 |
PCT/CN2023/102209 WO2023246942A1 (zh) | 2022-06-25 | 2023-06-25 | 通信方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210728556.7A CN117320002A (zh) | 2022-06-25 | 2022-06-25 | 通信方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117320002A true CN117320002A (zh) | 2023-12-29 |
Family
ID=89260977
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210728556.7A Pending CN117320002A (zh) | 2022-06-25 | 2022-06-25 | 通信方法及装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN117320002A (zh) |
WO (1) | WO2023246942A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117715040A (zh) * | 2024-02-06 | 2024-03-15 | 国网四川省电力公司信息通信公司 | Dplc模组的配网通信方法及装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106162635A (zh) * | 2015-04-01 | 2016-11-23 | 北京佰才邦技术有限公司 | 用户设备的认证方法和装置 |
CN107548061A (zh) * | 2016-06-29 | 2018-01-05 | 中兴通讯股份有限公司 | 一种用户设备的网络接入认证方法和aaa服务器 |
WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
CN110798833B (zh) * | 2018-08-03 | 2023-10-24 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
CN114301703A (zh) * | 2021-12-30 | 2022-04-08 | 中国电信股份有限公司 | 网络连接方法、网络设备和网络连接装置 |
-
2022
- 2022-06-25 CN CN202210728556.7A patent/CN117320002A/zh active Pending
-
2023
- 2023-06-25 WO PCT/CN2023/102209 patent/WO2023246942A1/zh unknown
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117715040A (zh) * | 2024-02-06 | 2024-03-15 | 国网四川省电力公司信息通信公司 | Dplc模组的配网通信方法及装置 |
CN117715040B (zh) * | 2024-02-06 | 2024-04-30 | 国网四川省电力公司信息通信公司 | Dplc模组的配网通信方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2023246942A1 (zh) | 2023-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11082855B2 (en) | Secure onboarding of a device having an embedded universal integrated circuit card without a preloaded provisioning profile | |
US20210377054A1 (en) | Systems and methods for managing public key infrastructure certificates for components of a network | |
CN111818516B (zh) | 认证方法、装置及设备 | |
US11489825B2 (en) | Systems and methods for configuring a network function proxy for secure communication | |
JP2022517584A (ja) | Ue、通信システム及び方法 | |
US11184344B2 (en) | Authorization of user equipment for mobile communications network that has previously been authorized by trusted traffic authority | |
US20230014494A1 (en) | Communication method, apparatus, and system | |
JP2022126821A (ja) | コアネットワーク装置、通信端末、コアネットワーク装置の方法、プログラム、及び通信端末の方法 | |
WO2023011630A1 (zh) | 授权验证的方法及装置 | |
CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
WO2023246942A1 (zh) | 通信方法及装置 | |
US20240236661A9 (en) | Procedure to update the parameters related to unified access control | |
CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
US11228896B2 (en) | Authorization of roaming for new radio subscribers via an alternative radio access technology | |
WO2021132087A1 (ja) | Amfノード及びその方法 | |
CN115996378A (zh) | 鉴权方法及装置 | |
KR20230156685A (ko) | 무선 네트워크에서의 코어 네트워크 디바이스 재할당을 위한 방법, 디바이스 및 시스템 | |
CN116528234B (zh) | 一种虚拟机的安全可信验证方法及装置 | |
CN117221884B (zh) | 基站系统信息管理方法及系统 | |
WO2023072275A1 (zh) | 通信方法、装置及系统 | |
CN116980218A (zh) | 一种楼宇设备的生命周期管控SaaS系统及方法 | |
CN116318633A (zh) | 通信方法及装置 | |
CN116996985A (zh) | 一种基于边缘网络的通信方法及装置 | |
CN117641342A (zh) | 通信方法及装置 | |
CN117156610A (zh) | 空间网络与地面多跳网络异构融合的传输控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |