WO2022116768A1

WO2022116768A1 - 终端认证方法、装置和存储介质

Info

Publication number: WO2022116768A1
Application number: PCT/CN2021/128423
Authority: WO
Inventors: 黄铖斌; 方燕萍; 王锦华; 薛伟佳; 张欣
Original assignee: 中国电信股份有限公司
Priority date: 2020-12-04
Filing date: 2021-11-03
Publication date: 2022-06-09
Also published as: CN114615665A

Abstract

本公开提出一种终端认证方法、装置和存储介质，涉及网络安全技术领域。本公开的一种终端认证方法，包括：认证服务器功能AUSF根据来自终端的网络层身份认证请求，向统一数据管理UDM查询订阅状态信息；UDM向AUSF反馈用户的业务订阅信息；AUSF根据业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向终端反馈网络层身份认证结果；AUSF将融合认证的结果同步至会话管理功能SMF，以便SMF根据融合认证的结果发起建立对应业务的业务通道。通过这样的方法，能够在对终端进行网络层身份认证时，同步完成业务层的身份认证，从而在后续终端业务流验证时无需对终端进行二次验证，减少认证操作步骤，提高了业务接入效率。

Description

终端认证方法、装置和存储介质

相关申请的交叉引用

本申请是以CN申请号为CN202011400675.7，申请日为2020年12月4日的申请为基础，并主张其优先权，该CN申请的公开内容在此作为整体引入本申请中。

技术领域

本公开涉及网络安全技术领域，特别是一种终端认证方法、装置和存储介质。

背景技术

在5G(5th generation mobile network，第五代移动通信技术)标准中，泛智能设备在接入5G网络时，5G核心网会对设备进行网络层身份认证。泛智能设备接入网络后，当发起业务流请求时，SMF(Session Management Function，会话管理功能)/UPF(User Plane Function，用户面功能)会强制要求设备发起业务层认证。当业务层认证完成后，用户能够得到对应业务的服务。

发明内容

本公开的一个目的在于提高业务接入效率。

根据本公开的一些实施例的一个方面，提出一种终端认证方法，包括：AUSF(Authentication Server Function，认证服务器功能)根据来自终端的网络层身份认证请求，向UDM(Unified Data Management，统一数据管理)查询订阅状态信息；UDM向AUSF反馈用户的业务订阅信息；AUSF根据业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向终端反馈网络层身份认证结果，其中，融合认证的结果中包括完成融合认证的业务的标识；AUSF将融合认证的结果同步至SMF，以便SMF根据融合认证的结果发起建立对应业务的业务通道。

在一些实施例中，终端认证方法还包括：SMF接收终端的业务请求；在根据融合认证的结果确定对应的业务融合认证通过的情况下，向UPF发送业务通道建立指令；UPF建立用于转发终端的对应业务的业务流的业务通道。

在一些实施例中，终端认证方法还包括：SMF在确定融合认证的结果中不包括对应业务的标识的情况下，发起对终端对应业务的业务层认证。

在一些实施例中，业务订阅信息包括融合认证开通标识；在用户开通融合认证的情况下，业务订阅信息还包括用户开通融合认证的业务的标识。

在一些实施例中，AUSF根据从反馈信息确定业务认证结果包括：AUSF根据融合认证开通标识确定用户是否开通融合认证；在确定用户开通融合认证的情况下，根据用户开通融合认证的业务的标识确定完成业务层认证的业务的标识，生成融合认证的结果。

根据本公开的一些实施例的一个方面，提出一种终端认证系统，包括：AUSF，被配置为根据来自终端的网络层身份认证请求，向UDM查询订阅状态信息；根据业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向终端反馈网络层身份认证结果，其中，融合认证的结果中包括完成融合认证的业务的标识；AUSF将融合认证的结果同步至SMF，以便SMF根据融合认证的结果为发起建立对应业务的业务通道；统一数据管理UDM，被配置为向AUSF反馈用户的业务订阅信息。

在一些实施例中，终端认证系统还包括：SMF，被配置为接收终端的业务请求；在根据融合认证的结果确定对应的业务融合认证通过的情况下，向UPF发送业务通道建立指令；UPF，被配置为建立用于转发终端的对应业务的业务流的业务通道。

在一些实施例中，SMF还被配置为在确定融合认证的结果中不包括对应业务的标识的情况下，发起对终端对应业务的业务层认证。

根据本公开的一些实施例的一个方面，提出一种终端认证系统，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行上文中任意一种终端认证方法。

根据本公开的一些实施例的一个方面，提出一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上文中任意一种终端认证方法的步骤。

附图说明

此处所说明的附图用来提供对本公开的进一步理解，构成本公开的一部分，本公开的示意性实施例及其说明用于解释本公开，并不构成对本公开的不当限定。在附图中：

图1为本公开的终端认证方法的一些实施例的流程图。

图2为本公开的终端认证方法的另一些实施例的流程图。

图3为本公开的终端认证系统的一些实施例的示意图。

图4为本公开的终端认证系统的另一些实施例的示意图。

图5为本公开的终端认证系统的又一些实施例的示意图。

图6为本公开的终端认证系统的再一些实施例的示意图。

具体实施方式

下面通过附图和实施例，对本公开的技术方案做进一步的详细描述。

本公开的终端认证方法的一些实施例的流程图如图1所示。

在步骤101中，AUSF根据来自终端的网络层身份认证请求，向UDM查询订阅状态信息。在一些实施例中，UDM预存有指示终端所属的用户是否开通了融合认证的标识。针对开通了融合认证功能的用户，UDM还存储有用户开通的融合认证业务的业务标识。

在步骤102中，UDM向AUSF反馈用户的业务订阅信息。在一些实施例中，业务订阅信息包括融合认证开通标识；在用户开通融合认证的情况下，业务订阅信息还包括用户开通融合认证的业务的标识。在一些实施例中，针对未开通融合认证功能的用户，UDM按照相关技术中网络层身份认证操作执行和反馈信息。

在步骤103中，AUSF根据业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向终端反馈网络层身份认证结果，融合认证的结果中包括完成融合认证的业务的标识。在一些实施例中，网络层身份认证结果可以按照相关技术中网络层认证流程生成。

在步骤104中，AUSF将融合认证的结果同步至SMF，以便SMF根据融合认证的结果为用户发起建立对应业务的业务通道。

通过这样的方法，能够在对终端进行网络层身份认证时，同步完成业务层的身份认证，从而在后续终端业务流验证时无需对终端进行二次验证，减少认证操作步骤，提高了业务接入效率。

本公开的终端认证方法的另一些实施例的流程图如图2所示。

在步骤201中，AUSF接收来自终端的网络层身份认证请求。

在步骤202中，AUSF向UDM查询订阅状态信息。在一些实施例中，用户可以预先开通融合认证功能，并指定开通融合认证功能的业务，以便UDM更新用户对应的融合认证开通标识，以及开通了融合认证功能时，更新开通融合功能的业务的标识。

在步骤203中，UDM向AUSF反馈用户的业务订阅信息。

在步骤204中，AUSF根据融合认证开通标识确定用户是否开通融合认证。若确定用户开通了融合认证，则执行步骤205；若确定用户未开通融合认证，则执行相关技术中执行网络层用户身份认证的流程。

在步骤205中，AUSF根据用户开通融合认证的业务的标识确定完成业务层认证的业务的标识，生成融合认证的结果。

在步骤206中，AUSF向终端反馈网络层身份认证结果，并将融合认证的结果同步至SMF。终端可以根据AUSF的网络层身份认证结果，基于相关技术中的判断逻辑、根据需求发起业务请求。

在步骤207中，当用户发起业务请求后，SMF接收终端的业务请求。在一些实施例中，终端可以向对应的UPF发送业务流。当UPF确定未建立对应业务流的业务通道的情况下，向SMF发送业务请求，业务请求中可以包括终端标识(用户标识)和业务标识。

在步骤208中，SMF根据融合认证的结果判断对应的业务融合认证通过。若认证通过，则执行步骤210；若未认证通过，即说明根据UDM中存储的信息，用户未开通融合认证，或用户对该业务未开通融合认证，需执行步骤209。

在步骤209中，发起对终端对应业务的业务层认证。在一些实施例中，可以基于相关技术中业务层认证流程执行。

在步骤210中，向UPF发送业务通道建立指令。

在步骤211中，UPF建立用于转发终端的对应业务的业务流的业务通道。

通过这样的方法，无需对终端、业务服务器进行改进，在终端、业务侧无感知的情况下，通过一次认证完成网络层、业务层的融合认证，提高认证效率，简化了业务接入的网络信令流程，降低网络负担，提高业务接入效率。

本公开的终端认证系统的一些实施例的示意图如图3所示。

AUSF 301能够根据来自终端的网络层身份认证请求，向UDM查询订阅状态信息。UDM 302能够向AUSF反馈用户的业务订阅信息。

AUSF 301根据业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向终端反馈网络层身份认证结果，其中，融合认证的结果中包括完成融合认证的业务的标识。AUSF将融合认证的结果同步至SMF，以便SMF根据融合认证的结果为发起建立对应业务的业务通道。

这样的系统中，SMF能够在AUSF执行网络层认证后即获得业务层认证结果，从而在接收到业务请求后无需针对已验证通过的业务执行进一步的业务层认证，简化了业务认证流程，提高了业务接入效率。

在一些实施例中，如图3所述，终端认证系统还可以包括SMF 303，能够接收来自终端的业务请求，并在根据融合认证的结果确定对应业务的融合认证通过的情况下，向UPF发送业务通道建立指令。在一些实施例中，SMF还能够在确定融合认证的结果中不包括对应业务的标识的情况下，发起对终端对应业务的业务层认证。

UPF 304能够根据SMF的指令建立用于转发终端的对应业务的业务流的业务通道。

这样的系统中，当用户首次发起对某业务的业务请求时，SMF能够无需再执行认证过程，基于在先的网络层认证流程完成对业务层的认证，提高了UPF建立业务通道的效率。

本公开的终端认证系统的一些实施例的网络运行示意图如图4所示。

UE 401通过①中的网络层认证请求，向AUSF 402发起网络层认证。AUSF 402随机通过②向UDM 403查询，查询信息中可以包括用户标识。UDM 403中存储有融合认证属性(即标识用户是否开通了融合认证功能)以及用户开通的融合认证功能的业务。UDM 403通过④将针对该UE 402查询到的信息反馈给AUSF 402。AUSF 402确认认证结果，将网络认证结果通过⑥发送给UE 401，并将业务认证结果通过⑤同步给SMF 404。

后续当用户需要发起业务请求时，业务流通过⑧到达UPF 405。UPF 405在确定尚未对用户的该业务建立业务通道时，会将向SMF 404发起业务请求。

SMF 404通过⑦中的操作确认在上述⑤中已经对该业务完成了认证，进而向UPF 405反馈建立业务流的业务通道，完成与DN(Data Network，数据网络)406之间的通道建立。

这样的系统无需对终端、业务服务器进行改进，在终端、业务侧无感知的情况下，通过一次认证完成网络层、业务层的融合认证，提高认证效率，简化了业务接入的网络信令流程，降低网络负担，提高业务接入效率。

本公开终端认证系统的一个实施例的结构示意图如图5所示。终端认证系统包括存储器501和处理器502。其中：存储器501可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储上文中终端认证方法的对应实施例中的指令。处理器502耦接至存储器501，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器502用于执行存储器中存储的指令，能够减少认证操作步骤，提高了业务接入效率。

在一个实施例中，还可以如图6所示，终端认证系统600包括存储器601和处理器602。处理器602通过BUS总线603耦合至存储器601。该终端认证系统600还可以通过存储接口604连接至外部存储装置605以便调用外部数据，还可以通过网络接口606连接至网络或者另外一台计算机系统(未标出)。此处不再进行详细介绍。

在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，能够减少认证操作步骤，提高了业务接入效率。

在另一个实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现终端认证方法对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本公开的方法以及装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本公开的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本公开实施为记录在记录介质中的程序，这些程序包括用于实现根据本公开的方法的机器可读指令。因而，本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。

最后应当说明的是：以上实施例仅用以说明本公开的技术方案而非对其限制；尽管参照较佳实施例对本公开进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本公开的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本公开技术方案的精神，其均应涵盖在本公开请求保护的技术方案范围当中。

Claims

一种终端认证方法，包括：

认证服务器功能AUSF根据来自终端的网络层身份认证请求，向统一数据管理UDM查询订阅状态信息；

所述UDM向所述AUSF反馈用户的业务订阅信息；

所述AUSF根据所述业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向所述终端反馈网络层身份认证结果，其中，所述融合认证的结果中包括完成融合认证的业务的标识；

所述AUSF将所述融合认证的结果同步至会话管理功能SMF，以便所述SMF根据所述融合认证的结果发起建立对应业务的业务通道。
根据权利要求1所述的终端认证方法，还包括：

所述SMF接收终端的业务请求；

在根据所述融合认证的结果确定对应的业务融合认证通过的情况下，向用户面功能UPF发送业务通道建立指令；

所述UPF建立用于转发所述终端的对应业务的业务流的业务通道。
根据权利要求2所述的终端认证方法，还包括：

所述SMF在确定所述融合认证的结果中不包括对应业务的标识的情况下，发起对终端对应业务的业务层认证。
根据权利要求1所述的终端认证方法，其中，

所述业务订阅信息包括融合认证开通标识；

在用户开通融合认证的情况下，所述业务订阅信息还包括用户开通融合认证的业务的标识。
根据权利要求4所述的终端认证方法，其中，所述AUSF根据从反馈信息确定业务认证结果包括：

所述AUSF根据所述融合认证开通标识确定用户是否开通融合认证；

在确定用户开通融合认证的情况下，根据用户开通融合认证的业务的标识确定完成业务层认证的业务的标识，生成融合认证的结果。
一种终端认证系统，包括：

认证服务器功能AUSF，被配置为根据来自终端的网络层身份认证请求，向UDM查询订阅状态信息；根据所述业务订阅信息确定用户的网络层与业务层的融合认证的结果，并向所述终端反馈网络层身份认证结果，其中，所述融合认证的结果中包括完成融合认证的业务的标识；所述AUSF将所述融合认证的结果同步至会话管理功能SMF，以便所述SMF根据所述融合认证的结果为发起建立对应业务的业务通道；

统一数据管理UDM，被配置为向所述AUSF反馈用户的业务订阅信息。
根据权利要求6所述的终端认证系统，还包括：

SMF，被配置为接收终端的业务请求；在根据所述融合认证的结果确定对应的业务融合认证通过的情况下，向UPF发送业务通道建立指令；

用户面功能UPF，被配置为建立用于转发所述终端的对应业务的业务流的业务通道。
根据权利要求7所述的终端认证系统，其中，

所述SMF，还被配置为在确定所述融合认证的结果中不包括对应业务的标识的情况下，发起对终端对应业务的业务层认证。
一种终端认证系统，包括：

存储器；以及

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至5任一项所述的方法。
一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至5任意一项所述的方法的步骤。