CN109104726A - 网络切片的认证方法及相应装置、***和介质 - Google Patents
网络切片的认证方法及相应装置、***和介质 Download PDFInfo
- Publication number
- CN109104726A CN109104726A CN201710469951.7A CN201710469951A CN109104726A CN 109104726 A CN109104726 A CN 109104726A CN 201710469951 A CN201710469951 A CN 201710469951A CN 109104726 A CN109104726 A CN 109104726A
- Authority
- CN
- China
- Prior art keywords
- network
- user
- user terminal
- network slice
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明公开了一种网络切片的认证方法及相应装置、***和介质,用以解决移动通讯网络中UE接入网络切片的认证问题。所述方法包括:从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;根据所述网络切片认证向量与所述用户终端进行认证。本发明中网络切片的认证方法及相应装置、***和介质,在移动通信***中引入了网络切片的情况下,当UE附着移动通信网络后,在进一步接入网络切片,以接收基于网络切片提供的业务时,有效满足了网络切片的动态部署特征,使得附着过程满足UE接入网络切片的认证需求。
Description
技术领域
本发明涉及移动通讯领域,特别是涉及一种网络切片的认证方法及相应装置、***和介质。
背景技术
5G(第五代移动通信技术)网络架构将引入新的IT技术,如网络功能虚拟化(NFV,Network Function Virtualization)。在3/4G网络中,功能网元的保护很大程度上依赖于对物理设备的安全隔离。而5G网络中,由于NFV技术的部署,使得部分功能网元以虚拟功能网元的形式部署在云化的基础设施上。基于网络业务需求构建的虚拟核心网称为网络切片,一个网络切片构成一个虚拟核心网,为一组特定用户终端(UE)提供移动网络接入服务。一个典型的网络切片包括一组虚拟化的核心网功能,如切片控制面单元,主要负责切片的移动性、会话管理以及鉴权认证相关的功能,切片用户面单元主要为用户提供切片的用户资源,切片策略控制单元负责用户策略的功能,切片计费单元负责为用户的计费功能。网络切片的功能由运营商根据需求和运营商策略确定,比如,某些网络切片除了包括控制面功能外还可以包括专用的转发面;而某些网络切片可能只包括一些基本的控制面功能,其他的核心网相关功能与其他网络切片共享。网络切片可能基于需求被创建、修改或删除。一个UE也可能同时接收来自不同网络切片的服务。
现有的3G/4G移动通信***中,通过AKA(Authentication and Key Agreement,移动通讯网络的认证与密钥协商协议)认证,UE接入网络后直接使用核心网提供的业务。
在5G***中,由于引入了网络切片概念,使得UE附着网络后,需要进一步接入网络切片,以接收基于网络切片提供的业务。由于网络切片的动态部署特征,附着过程的AKA认证不能满足UE接入网络切片的认证需求。如何满足UE接入网络切片的认证需求是需要解决的问题。
发明内容
为了克服上述缺陷,本发明要解决的技术问题是提供一种网络切片的认证方法及相应装置、***和介质,用以解决移动通讯网络中UE接入网络切片的认证问题。
为解决上述技术问题,本发明中的一种网络切片的认证方法,包括:
从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
根据所述网络切片认证向量与所述用户终端进行认证。
为解决上述技术问题,本发明中的一种网络切片的认证方法,包括:
获取用户终端的附着请求信息;
根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
为解决上述技术问题,本发明中的一种网络切片功能实体装置,包括第一存储器和第一处理器;所述第一存储器存储有用于该装置的网络切片的认证计算机程序;所述计算机程序被所述第一处理器执行,以实现以下步骤:
从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
根据所述网络切片认证向量与所述用户终端进行认证。
为解决上述技术问题,本发明中的一种网络认证实体装置,包括第二存储器和第二处理器,所述第二存储器存储有用于该装置的网络切片的认证计算机程序;所述计算机程序被所述第二处理器执行,以实现以下步骤:
获取用户终端的附着请求信息;
根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
为解决上述技术问题,本发明中的一种网络切片的认证***,包括如上任意一项所述的网络切片功能实体装置、如上任意一项所述的网络认证实体装置和移动通信网络实体;
所述网络实体在接收到用户终端的附着请求信息时,将所述附着请求信息转发给所述网络认证实体装置;在接收移动通信认证向量时,根据所述移动通信认证向量与所述用户终端进行认证。
为解决上述技术问题,本发明中的一种计算机可读存储介质,存储有用于网络切片功能实体装置的网络切片的认证第一计算机程序,和/或存储有用于网络认证实体装置的网络切片的认证第二计算机程序;
当所述第一计算机程序被至少一个处理器执行时,以实现如上用于网络切片功能实体装置中任意一项所述方法的步骤;
当所述第二计算机程序被至少一个处理器执行时,以实现如上用于网络认证实体装置中任意一项所述方法的步骤。
本发明有益效果如下:
本发明中网络切片的认证方法及相应装置、***和介质,在移动通信***中引入了网络切片的情况下,当UE附着移动通信网络后,在进一步接入网络切片,以接收基于网络切片提供的业务时,有效满足了网络切片的动态部署特征,使得附着过程满足UE接入网络切片的认证需求。
附图说明
图1是本发明实施例中一种网络切片的认证方法的流程图;
图2是本发明实施例中一种可选地UE附着到网络和网络切片的交互图;
图3是本发明实施例中另一种可选地UE附着到网络和网络切片的交互图;
图4是本发明实施例中UE根据选择附着网络切片的交互图;
图5是本发明实施例中UE注册到网络切片的交互图;
图6是本发明实施例中一种网络切片的认证方法的流程图;
图7是本发明实施例中一种网络切片功能实体装置的结构示意图;
图8是本发明实施例中一种网络认证实体装置的结构示意图。
具体实施方式
为了解决现有技术的问题,本发明提供了一种网络切片的认证方法及相应装置、***和介质,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
实施例一
如图1所示,本发明实施例提供一种网络切片的认证方法,所述方法包括:
S101,从网络认证实体获取与用户终端UE的用户网络切片身份标识信息SID(Slice Identification)对应的网络切片认证向量;
S102,根据所述网络切片认证向量与所述用户终端进行认证。
其中网络认证实体可以是归属签约用户服务器(Home Subscriber Server,HSS)。
本发明实施例中方法用于网络切片功能实体。
本发明实施例通过从网络认证实体获取与用户终端UE的用户网络切片身份标识信息对应的网络切片认证向量;然后根据所述网络切片认证向量与所述用户终端进行认证,从而在移动通信***(例如5G)中,在引入了网络切片的基础上,当UE附着移动通信网络后,在进一步接入网络切片,以接收基于网络切片提供的业务时,满足了网络切片的动态部署特征,使得附着过程满足UE接入网络切片的认证需求。
在上述实施例的基础上,进一步提出上述实施例的变型实施例,在此需要说明的是,为了使描述简要,在各变型实施例中仅描述与上述实施例的不同之处。
本发明实施例中,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述认证为移动通讯网络的认证与密钥协商协议AKA认证;
所述网络切片认证向量由所述网络认证实体根据移动通信网络实体(例如基站)转发的所述用户终端的第一附着请求信息生成或者根据用户终端发送的第二附着请求信息生成。
在此需要说明的是本发明实施例中的在附着请求信息前使用仅为了有利于本发明的说明,其本身没有特定的意义。
可选地,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还可以包括:
接收所述用户终端的所述第二附着请求信息;
将所述第二附着请求信息发送给所述网络认证实体,以使所述网络认证实体生成所述网络切片认证向量。
其中,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
举例说明本变型实施例。
以第一附着请求信息为例,如图2所示,UE在网络切片注册完成后,可以在重新附着网络的过程中同时附着到网络切片,具体的,UE重新附着到网络,并进一步附着到网络切片的过程包括:
步骤201、UE向移动通信网络实体发送第一附着请求信息。第一附着请求信息包括用户签约身份标识信息、用户网络切片身份标识信息;
步骤202、移动通信网络实体进一步向HSS转发UE的第一附着请求信息;
步骤203、HSS根据UE的用户签约身份标识信息IMSI和用户网络切片身份标识信息生成对应的认证向量。
例如,生成对应于用户签约身份标识信息IMSI的移动通信认证向量(1),该向量可以由现有AKA认证向量参数组成,包括RAND(rand()函数产生的随机数)、XRES(ExpectedResponse,预期响应)、KASME和AUTN(Authentication Token,认证令牌)。
生成对应于网络切片用户身份标识SID的网络切片认证向量(2),该向量由RAND、XRES(Expected Response,预期响应)、网络切片密钥Kslice和AUTN(AuthenticationToken,认证令牌)组成。
进一步说,当附着信息中包含2个网络切片用户身份标识信息SID1和SID2时,生成认证向量包括对应IMSI的AKA认证向量(即移动通信认证向量)和2个分别对应SID1和SID2的网络切片认证向量。
当附着信息中包含多个网络切片用户身份标识信息时,生成的认证向量包括IMSI对应的现有AKA认证向量和对应多个网络切片用户身份标识不同认证向量。
步骤204、HSS将IMSI对应的认证向量(1)发送给移动通信网络实体,将SID对应的认证向量(2)发送给网络切片功能实体;
步骤205、移动通信网络实体收到认证向量后,基于IMSI对应的认证向量与UE进行AKA认证;
步骤206、网络切片功能实体基于收到的用户网络切片身份标识对应的认证向量与UE进行AKA认证。
还以第一附着请求信息为例,如图3所示,UE还可以根据用户的配置,在重新辅助网络的过程中同时附着到用户预先配置的网络切片,具体的,UE根据用户的配置,在重新辅助网络的过程中同时附着到用户预先配置的网络切片的过程可以包括:
步骤301、用户在UE配置需要接入的网络切片信息;
步骤302、UE向移动通信网络实体发送第一附着请求信息。第一附着请求信息包括用户签约身份标识信息、预先配置的用户网络切片身份标识信息;
步骤303、移动通信网络实体进一步向HSS转发UE的附着请求信息;
步骤304、HSS根据UE的用户签约身份标识信息IMSI和用户网络切片身份标识信息生成对应的认证向量。
其中,生成的对应用户签约身份标识信息IMSI的认证向量可以由现有AKA认证向量参数组成,包括RAND、XRES(Expected Response,预期响应)、KASME和AUTN(Authentication Token,认证令牌)。
生成的对应网络切片用户身份标识SID的认证向量由RAND、XRES(ExpectedResponse,预期响应)、网络切片密钥Kslice和AUTN(Authentication Token,认证令牌)组成。
进一步说,当附着信息中包含2个预配置网络切片用户身份标识信息SID1和SID2时,生成认证向量包括对应IMSI的AKA认证向量和2个分别对应SID1和SID2的认证向量。当附着信息中包含多个预配置网络切片用户身份标识信息时,生成的认证向量包括IMSI对应的现有AKA认证向量和对应多个网络切片用户身份标识不同认证向量。
步骤305、HSS将IMSI对应的认证向量(1)发送给移动通信网络实体,将SID对应的认证向量(2)发送给网络切片功能实体;
步骤306、移动通信网络实体收到认证向量后,基于IMSI对应的认证向量与UE进行AKA认证;
步骤307、网络切片功能实体基于收到的用户网络切片身份标识对应的认证向量与UE进行AKA认证。
以第二附着请求信息为例,如图4所示,UE还可以在已经附着移动通信网络(在本发明中可以简称为网络)后,根据用户的选择附着到网络切片,具体的,UE附着到网络切片的流程图包括:
步骤401、UE向选择的网络切片功能实体发送第二附着请求信息。第二附着请求信息包括用户网络切片身份标识信息;
步骤402、网络切片功能实体进一步向HSS转发UE的附着请求信息;
步骤403、HSS根据UE的用户网络切片身份标识信息生成对应的认证向量。
其中,生成的对应网络切片用户身份标识SID的认证向量由RAND、XRES(ExpectedResponse,预期响应)、网络切片密钥Kslice和AUTN(Authentication Token,认证令牌)组成。
进一步说,当附着信息中包含2个网络切片用户身份标识信息SID1和SID2时,生成认证向量2个分别对应SID1和SID2的认证向量。当附着信息中包含多个网络切片用户身份标识信息时,生成的认证向量包括对应多个网络切片用户身份标识不同认证向量。
步骤404、HSS将根据认证请求信息生成的网络切片认证向量发送给用户网络切片身份标识SID对应的网络切片功能实体。
步骤405、网络切片功能实体收到网络切片认证向量后,基于收到的网络切片认证向量与UE进行AKA认证。
可选地,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的注册请求信息;
根据所述注册请求信息生成用户网络切片身份标识信息;
将所述用户网络切片身份标识信息发送给所述用户终端。
其中,所述注册请求信息携带所述用户终端的用户签约身份标识信息和网络切片标识信息。
例如,如图5所示,本实施例提供的UE注册到网络切片的过程可以包括:
步骤501、UE附着移动通信网络(例如5G网络)后,向网络切片发送注册请求。注册请求信息包括UE的用户签约身份标识信息IMSI,网络切片标识信息;
步骤102、网络切片功能实体针对UE的用户签约身份标识信息IMSI生成UE的网络切片用户身份标识信息SID(Slice Identification),通过网络切片用户身份标识信息SID可以推导出网络切片标识信息;
步骤103、网络切片功能实体将生成的UE的网络切片用户身份标识信息SID发送给UE,以使UE在发送附着请求信息时携带该标识信息。
在本发明的各实施例中,终端设备UE首先在网络切片进行注册,注册完成后,UE可以在重新附着网络的同时,进一步附着到网络切片。UE还可以根据用户配置,直接附着到网络切片;或在重新附着到网络的同时,根据用户配置附着到相应的网络切片;当然UE还可以在附着网络后,根据用户选择,附着到对应的网络切片。从而使得终端设备UE可以随时附着到动态部署的网络切片,从而很好的解决了终端设备UE接入网络切片的认证问题。
实施例二
如图6所示,本发明实施例提供一种网络切片的认证方法,其特征在于,所述方法包括:
S601,获取用户终端的附着请求信息;
S602,根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
S603,将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
本发明实施例中方法用于网络认证实体,例如HSS。
本发明实施例通过获取用户终端的附着请求信息;根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;并将所述网络切片认证向量发送给网络切片功能实体,从而使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证,从而在移动通信***(例如5G)中,在引入了网络切片的基础上,当UE附着移动通信网络后,在进一步接入网络切片,以接收基于网络切片提供的业务时,满足了网络切片的动态部署特征,使得附着过程满足UE接入网络切片的认证需求。
可选地,所述方法还包括:
根据所述附着请求信息还生成与所述用户终端的用户签约身份标识信息对应的移动通信认证向量;
将所述移动通信认证向量发送给移动通信网络实体,以使所述移动通信网络实体根据所述移动通信认证向量与所述用户终端进行认证。
其中,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述附着请求信息包括第一附着请求信息和第二附着请求信息;
具体地,所述获取用户终端的附着请求信息,可以包括:
接收所述移动通信网络实体转发的所述第一附着请求信息;或者
接收所述用户终端发送的第二附着请求信息。
其中,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
具体地,所述用户终端的用户网络切片身份标识信息包括在所述用户终端预先配置的用户网络切片身份标识信息,以及包括所述网络切片功能实体根据所述用户终端的注册请求信息生成的用户网络切片身份标识信息。
所述用户终端的用户网络切片身份标识信息为一个或多个。
举例说明本发明实施例。
例如,UE在网络切片注册完成后,UE可以在重新附着网络的过程中同时附着到网络切片,具体的附着认证过程包括:
步骤701,UE向移动通信网络实体发送第一附着请求信息。第一附着请求信息包括用户签约身份标识信息、用户网络切片身份标识信息;
步骤702,移动通信网络实体进一步向HSS转发UE的附着请求信息;
步骤703,HSS根据UE的用户签约身份标识信息IMSI和用户网络切片身份标识信息生成对应的认证向量。生成的对应用户签约身份标识信息IMSI的认证向量由现有AKA认证向量参数组成,包括RAND、XRES(Expected Response,预期响应)、KASME和AUTN(Authentication Token,认证令牌)。生成的对应网络切片用户身份标识SID的认证向量由RAND、XRES(Expected Response,预期响应)、网络切片密钥Kslice和AUTN(AuthenticationToken,认证令牌)组成。当附着信息中包含2个网络切片用户身份标识信息SID1和SID2时,生成认证向量包括对应IMSI的AKA认证向量和2个分别对应SID1和SID2的认证向量。当附着信息中包含多个网络切片用户身份标识信息时,生成的认证向量包括IMSI对应的现有AKA认证向量和对应多个网络切片用户身份标识不同认证向量。
步骤704,HSS将IMSI对应的认证向量发送给移动通信网络实体,将SID对应的认证向量发送给网络切片功能实体。
步骤705,移动通信网络实体收到认证向量后,基于IMSI对应的认证向量与UE进行AKA认证。
步骤706,网络切片功能实体基于收到的用户网络切片身份标识对应的认证向量与UE进行AKA认证。
又如,UE还可以根据用户的配置,在重新辅助网络的过程中同时附着到用户预先配置的网络切片,具体过程包括:
步骤801,用户在UE配置需要接入的网络切片信息。
步骤802,UE向移动通信网络实体发送第一附着请求信息。第一附着请求信息包括用户签约身份标识信息、预先配置的用户网络切片身份标识信息;
步骤803,移动通信网络实体进一步向HSS转发UE的附着请求信息;
步骤804,HSS根据UE的用户签约身份标识信息IMSI和用户网络切片身份标识信息生成对应的认证向量。生成的对应用户签约身份标识信息IMSI的认证向量由现有AKA认证向量参数组成,包括RAND、XRES(Expected Response,预期响应)、KASME和AUTN(Authentication Token,认证令牌)。生成的对应网络切片用户身份标识SID的认证向量由RAND、XRES(Expected Response,预期响应)、网络切片密钥Kslice和AUTN(AuthenticationToken,认证令牌)组成。当附着信息中包含2个预配置网络切片用户身份标识信息SID1和SID2时,生成认证向量包括对应IMSI的AKA认证向量和2个分别对应SID1和SID2的认证向量。当附着信息中包含多个预配置网络切片用户身份标识信息时,生成的认证向量包括IMSI对应的现有AKA认证向量和对应多个网络切片用户身份标识不同认证向量。
步骤805,HSS将IMSI对应的认证向量发送给移动通信网络实体,将SID对应的认证向量发送给网络切片功能实体。
步骤806,移动通信网络实体收到认证向量后,基于IMSI对应的认证向量与UE进行AKA认证。
步骤807,网络切片功能实体基于收到的用户网络切片身份标识对应的认证向量与UE进行AKA认证。
再如,UE还可以在已经附着网络后,根据用户的选择附着到网络切片,具体过程包括:
步骤901,UE向选择的网络切片功能实体发送附着请求信息。附着请求信息包括用户网络切片身份标识信息;
步骤902,网络切片功能实体进一步向HSS转发UE的附着请求信息;
步骤903,HSS根据UE的用户网络切片身份标识信息生成对应的认证向量。生成的对应网络切片用户身份标识SID的认证向量由RAND、XRES(Expected Response,预期响应)、网络切片密钥Kslice和AUTN(Authentication Token,认证令牌)组成。当附着信息中包含2个网络切片用户身份标识信息SID1和SID2时,生成认证向量2个分别对应SID1和SID2的认证向量。当附着信息中包含多个网络切片用户身份标识信息时,生成的认证向量包括对应多个网络切片用户身份标识不同认证向量。
步骤904,HSS将根据认证请求信息生成的认证向量发送给用户网络切片身份标识SID对应的网络切片功能实体。
步骤905,网络切片功能实体收到认证向量后,基于收到的用户网络切片身份标识对应的认证向量与UE进行AKA认证。
实施例三
如图7所示,本发明实施例提供一种网络切片功能实体装置,所述装置包括第一存储器70和第一处理器72;所述第一存储器70存储有用于所述装置的网络切片的认证计算机程序;所述计算机程序被所述第一处理器72执行,以实现以下步骤:
从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
根据所述网络切片认证向量与所述用户终端进行认证。
可选地,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述认证为移动通讯网络的认证与密钥协商协议AKA认证;
所述网络切片认证向量由所述网络认证实体根据移动通信网络实体转发的所述用户终端的第一附着请求信息生成或者根据用户终端发送的第二附着请求信息生成。
具体地,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的所述第二附着请求信息;
将所述第二附着请求信息发送给所述网络认证实体,以使所述网络认证实体生成所述网络切片认证向量。
具体地,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
可选地,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的注册请求信息;
根据所述注册请求信息生成用户网络切片身份标识信息;
将所述用户网络切片身份标识信息发送给所述用户终端。
其中,所述注册请求信息携带所述用户终端的用户签约身份标识信息和网络切片标识信息。
当然本发明实施例也可以采用软件模块的形式实现。具体说:
本发明实施例提供了一种网络切片功能实体装置(本发明中可以简称为网络切片功能实体),所述网络切片功能实体装置包括:
接收模块,用于接收网络认证功能实体发送的网络切片认证向量。所述网络切片认证向量包括RAND、XRES(Expected Response,预期响应)、网络切片密钥Kslice和AUTN(Authentication Token,认证令牌)参数。
认证模块,用于与UE进行认证;
当然接收模块还可以用于:
接收所述UE发送的注册请求消息;所述注册请求信息包括UE的用户签约身份标识信息IMSI,网络切片标识信息;
进一步,网络切片功能实体装置还可以包括:
生成模块,用于生成用户网络切片身份标识信息;
发送模块,用于向UE发送用户网络切片身份标识信息。
本发明实施例在具体实现时可以参阅实施例一,在此不做赘述。
实施例四
如图8所示,本发明实施例提供一种网络认证实体装置,所述装置包括第二存储器80和第二处理器82,所述第二存储器80存储有用于该装置的网络切片的认证计算机程序;所述计算机程序被所述第二处理器82执行,以实现以下步骤:
获取用户终端的附着请求信息;
根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
可选地,所述计算机程序被所述第二处理器执行,还实现以下步骤:
根据所述附着请求信息还生成与所述用户终端的用户签约身份标识信息对应的移动通信认证向量;
将所述移动通信认证向量发送给移动通信网络实体,以使所述移动通信网络实体根据所述移动通信认证向量与所述用户终端进行认证。
其中,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述附着请求信息包括第一附着请求信息和第二附着请求信息;
具体地,所述获取用户终端的附着请求信息,包括:
接收所述移动通信网络实体转发的所述第一附着请求信息;或者
接收所述用户终端发送的第二附着请求信息。
其中,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
其中,所述用户终端的用户网络切片身份标识信息包括在所述用户终端预先配置的用户网络切片身份标识信息,以及包括所述网络切片功能实体根据所述用户终端的注册请求信息生成的用户网络切片身份标识信息。
所述用户终端的用户网络切片身份标识信息为一个或多个。
当然本发明实施例也可以采用软件模块的形式实现。具体说:
本发明实施例提供了一种网络认证功能实体装置(本发明实施例中可以简称为网络认证功能实体),所述网络认证功能实体包括:
接收模块,用于接收移动通信网络实体发送的附着请求信息。所述附着请求信息包括用户签约身份标识信息、用户网络切片身份标识信息或只是用户网络切片身份标识信息。
生成模块,用于基于用户签约身份标识信息、用户网络切片身份标识信息生成对应的认证向量信息;
发送模块,用于向移动通信网络实体和网络切片功能实体发送认证向量。
本发明实施例在具体实现时可以参阅实施例一,在此不做赘述。
实施例五
本发明实施例提供一种网络切片的认证***,所述***包括如实施例3中任意一项所述的网络切片功能实体装置、如实施例4中任意一项所述的网络认证实体装置和移动通信网络实体;
所述网络实体在接收到用户终端的附着请求信息时,将所述附着请求信息转发给所述网络认证实体装置;在接收移动通信认证向量时,根据所述移动通信认证向量与所述用户终端进行认证。
实施例六
本发明实施例提供一种计算机可读存储介质,其特征在于,所述介质存储有用于网络切片功能实体装置的网络切片的认证第一计算机程序,和/或存储有用于网络认证实体装置的网络切片的认证第二计算机程序;
当所述第一计算机程序被至少一个处理器执行时,以实现如实施例一中任意一项所述方法的步骤;
当所述第二计算机程序被至少一个处理器执行时,以实现如实施例2中任意一项所述方法的步骤。
本发明实施例中计算机可读存储介质可以是RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域已知的任何其他形式的存储介质。可以将一种存储介质藕接至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息;或者该存储介质可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路中。
虽然本申请描述了本发明的特定示例,但本领域技术人员可以在不脱离本发明概念的基础上设计出来本发明的变型。本领域技术人员在本发明技术构思的启发下,在不脱离本发明内容的基础上,还可以对本发明做出各种改进,这仍落在本发明的保护范围之内。
Claims (26)
1.一种网络切片的认证方法,其特征在于,所述方法包括:
从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
根据所述网络切片认证向量与所述用户终端进行认证。
2.如权利要求1所述的方法,其特征在于,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述认证为移动通讯网络的认证与密钥协商协议AKA认证;
所述网络切片认证向量由所述网络认证实体根据移动通信网络实体转发的所述用户终端的第一附着请求信息生成或者根据用户终端发送的第二附着请求信息生成。
3.如权利要求2所述的方法,其特征在于,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的所述第二附着请求信息;
将所述第二附着请求信息发送给所述网络认证实体,以使所述网络认证实体生成所述网络切片认证向量。
4.如权利要求2所述的方法,其特征在于,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
5.如权利要求1-4中任意一项所述的方法,其特征在于,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的注册请求信息;
根据所述注册请求信息生成用户网络切片身份标识信息;
将所述用户网络切片身份标识信息发送给所述用户终端。
6.如权利要求5所述的方法,其特征在于,所述注册请求信息携带所述用户终端的用户签约身份标识信息和网络切片标识信息。
7.一种网络切片的认证方法,其特征在于,所述方法包括:
获取用户终端的附着请求信息;
根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
8.如权利要求7所述的方法,其特征在于,所述方法还包括:
根据所述附着请求信息还生成与所述用户终端的用户签约身份标识信息对应的移动通信认证向量;
将所述移动通信认证向量发送给移动通信网络实体,以使所述移动通信网络实体根据所述移动通信认证向量与所述用户终端进行认证。
9.如权利要求8所述的方法,其特征在于,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述附着请求信息包括第一附着请求信息和第二附着请求信息;所述获取用户终端的附着请求信息,包括:
接收所述移动通信网络实体转发的所述第一附着请求信息;或者
接收所述用户终端发送的第二附着请求信息。
10.如权利要求9所述的方法,其特征在于,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
11.如权利要求10所述的方法,其特征在于,所述用户终端的用户网络切片身份标识信息包括在所述用户终端预先配置的用户网络切片身份标识信息,以及包括所述网络切片功能实体根据所述用户终端的注册请求信息生成的用户网络切片身份标识信息。
12.如权利要求10所述的方法,其特征在于,所述用户终端的用户网络切片身份标识信息为一个或多个。
13.一种网络切片功能实体装置,其特征在于,所述装置包括第一存储器和第一处理器;所述第一存储器存储有用于该装置的网络切片的认证计算机程序;所述计算机程序被所述第一处理器执行,以实现以下步骤:
从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
根据所述网络切片认证向量与所述用户终端进行认证。
14.如权利要求13所述的装置,其特征在于,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述认证为移动通讯网络的认证与密钥协商协议AKA认证;
所述网络切片认证向量由所述网络认证实体根据移动通信网络实体转发的所述用户终端的第一附着请求信息生成或者根据用户终端发送的第二附着请求信息生成。
15.如权利要求14所述的装置,其特征在于,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的所述第二附着请求信息;
将所述第二附着请求信息发送给所述网络认证实体,以使所述网络认证实体生成所述网络切片认证向量。
16.如权利要求14所述的装置,其特征在于,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
17.如权利要求13-16中任意一项所述的装置,其特征在于,所述从网络认证实体获取与用户终端的用户网络切片身份标识信息对应的网络切片认证向量之前,还包括:
接收所述用户终端的注册请求信息;
根据所述注册请求信息生成用户网络切片身份标识信息;
将所述用户网络切片身份标识信息发送给所述用户终端。
18.如权利要求17所述的装置,其特征在于,所述注册请求信息携带所述用户终端的用户签约身份标识信息和网络切片标识信息。
19.一种网络认证实体装置,其特征在于,所述装置包括第二存储器和第二处理器,所述第二存储器存储有用于该装置的网络切片的认证计算机程序;所述计算机程序被所述第二处理器执行,以实现以下步骤:
获取用户终端的附着请求信息;
根据所述附着请求信息生成与用户终端的用户网络切片身份标识信息对应的网络切片认证向量;
将所述网络切片认证向量发送给网络切片功能实体,以使所述网络切片功能实体根据所述网络切片认证向量与所述用户终端认证。
20.如权利要求19所述的装置,其特征在于,所述计算机程序被所述第二处理器执行,还实现以下步骤:
根据所述附着请求信息还生成与所述用户终端的用户签约身份标识信息对应的移动通信认证向量;
将所述移动通信认证向量发送给移动通信网络实体,以使所述移动通信网络实体根据所述移动通信认证向量与所述用户终端进行认证。
21.如权利要求20所述的装置,其特征在于,所述网络切片认证向量至少包括以下参数:随机数、预期相应、网络切片密钥和认证令牌;
所述附着请求信息包括第一附着请求信息和第二附着请求信息;所述获取用户终端的附着请求信息,包括:
接收所述移动通信网络实体转发的所述第一附着请求信息;或者
接收所述用户终端发送的第二附着请求信息。
22.如权利要求21所述的装置,其特征在于,所述第一附着请求信息携带所述用户终端的用户签约身份标识信息和所述用户终端的用户网络切片身份标识信息;所述第二附着请求信息携带所述用户终端的用户网络切片身份标识信息。
23.如权利要求22所述的装置,其特征在于,所述用户终端的用户网络切片身份标识信息包括在所述用户终端预先配置的用户网络切片身份标识信息,以及包括所述网络切片功能实体根据所述用户终端的注册请求信息生成的用户网络切片身份标识信息。
24.如权利要求22所述的装置,其特征在于,所述用户终端的用户网络切片身份标识信息为一个或多个。
25.一种网络切片的认证***,所述***包括如权利要求13-18中任意一项所述的网络切片功能实体装置、如权利要求19-24中任意一项所述的网络认证实体装置和移动通信网络实体;
所述网络实体在接收到用户终端的附着请求信息时,将所述附着请求信息转发给所述网络认证实体装置;在接收移动通信认证向量时,根据所述移动通信认证向量与所述用户终端进行认证。
26.一种计算机可读存储介质,其特征在于,所述介质存储有用于网络切片功能实体装置的网络切片的认证第一计算机程序,和/或存储有用于网络认证实体装置的网络切片的认证第二计算机程序;
当所述第一计算机程序被至少一个处理器执行时,以实现如权利要求1-6中任意一项所述方法的步骤;
当所述第二计算机程序被至少一个处理器执行时,以实现如权利要求7-12中任意一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710469951.7A CN109104726A (zh) | 2017-06-20 | 2017-06-20 | 网络切片的认证方法及相应装置、***和介质 |
| PCT/CN2018/101337 WO2018233726A1 (zh) | 2017-06-20 | 2018-08-20 | 网络切片的认证方法及相应装置、***和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710469951.7A CN109104726A (zh) | 2017-06-20 | 2017-06-20 | 网络切片的认证方法及相应装置、***和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109104726A true CN109104726A (zh) | 2018-12-28 |
Family
ID=64735511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710469951.7A Withdrawn CN109104726A (zh) | 2017-06-20 | 2017-06-20 | 网络切片的认证方法及相应装置、***和介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109104726A (zh) |
| WO (1) | WO2018233726A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768836A (zh) * | 2019-10-28 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种网络切片管理方法及装置 |
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| WO2021004444A1 (zh) * | 2019-07-09 | 2021-01-14 | 华为技术有限公司 | 一种通信方法以及网元 |
| WO2021026927A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 通信方法和相关设备 |
| WO2021082558A1 (zh) * | 2019-10-31 | 2021-05-06 | 华为技术有限公司 | 网络切片的访问控制方法、装置及存储介质 |
| CN113596831A (zh) * | 2020-04-14 | 2021-11-02 | 华为技术有限公司 | 一种切片认证中标识用户设备的通信方法和通信设备 |
| CN113784351A (zh) * | 2020-06-10 | 2021-12-10 | 华为技术有限公司 | 切片服务验证方法及其装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及*** |
| CN106210042A (zh) * | 2016-07-11 | 2016-12-07 | 清华大学 | 一种基于端到端网络切片的用户服务请求选择方法 |
| CN106375987A (zh) * | 2015-07-22 | 2017-02-01 | 中兴通讯股份有限公司 | 一种网络切片的选择方法及*** |
| CN106550410A (zh) * | 2015-09-17 | 2017-03-29 | 华为技术有限公司 | 一种通信控制方法和控制器、用户设备、功能实例 |
| CN106572517A (zh) * | 2015-10-09 | 2017-04-19 | ***通信集团公司 | 网络切片的处理方法、接入网络的选择方法及装置 |
| CN106713406A (zh) * | 2015-11-18 | 2017-05-24 | ***通信集团公司 | 接入切片网络的方法及*** |
-
2017
- 2017-06-20 CN CN201710469951.7A patent/CN109104726A/zh not_active Withdrawn
-
2018
- 2018-08-20 WO PCT/CN2018/101337 patent/WO2018233726A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951590A (zh) * | 2010-09-03 | 2011-01-19 | 中兴通讯股份有限公司 | 认证方法、装置及*** |
| CN106375987A (zh) * | 2015-07-22 | 2017-02-01 | 中兴通讯股份有限公司 | 一种网络切片的选择方法及*** |
| CN106550410A (zh) * | 2015-09-17 | 2017-03-29 | 华为技术有限公司 | 一种通信控制方法和控制器、用户设备、功能实例 |
| CN106572517A (zh) * | 2015-10-09 | 2017-04-19 | ***通信集团公司 | 网络切片的处理方法、接入网络的选择方法及装置 |
| CN106713406A (zh) * | 2015-11-18 | 2017-05-24 | ***通信集团公司 | 接入切片网络的方法及*** |
| CN106210042A (zh) * | 2016-07-11 | 2016-12-07 | 清华大学 | 一种基于端到端网络切片的用户服务请求选择方法 |
Non-Patent Citations (1)
| Title |
|---|
| TECHNICAL SPECIFICATION GROUP SERVICES AND SYSTEM ASPECTS: ""Study on the security aspects of the next generation system"", 《3GPP TR 33.899 V0.4.1 RELEASE 14》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112105015A (zh) * | 2019-06-17 | 2020-12-18 | 华为技术有限公司 | 二级认证的方法和装置 |
| CN112291784B (zh) * | 2019-07-09 | 2022-04-05 | 华为技术有限公司 | 一种通信方法以及网元 |
| WO2021004444A1 (zh) * | 2019-07-09 | 2021-01-14 | 华为技术有限公司 | 一种通信方法以及网元 |
| CN112291784A (zh) * | 2019-07-09 | 2021-01-29 | 华为技术有限公司 | 一种通信方法以及网元 |
| WO2021026927A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 通信方法和相关设备 |
| CN110768836B (zh) * | 2019-10-28 | 2022-02-08 | 中国联合网络通信集团有限公司 | 一种网络切片管理方法及装置 |
| CN110768836A (zh) * | 2019-10-28 | 2020-02-07 | 中国联合网络通信集团有限公司 | 一种网络切片管理方法及装置 |
| WO2021082558A1 (zh) * | 2019-10-31 | 2021-05-06 | 华为技术有限公司 | 网络切片的访问控制方法、装置及存储介质 |
| CN113596831A (zh) * | 2020-04-14 | 2021-11-02 | 华为技术有限公司 | 一种切片认证中标识用户设备的通信方法和通信设备 |
| CN113596831B (zh) * | 2020-04-14 | 2022-12-30 | 华为技术有限公司 | 一种切片认证中标识用户设备的通信方法和通信设备 |
| CN113784351A (zh) * | 2020-06-10 | 2021-12-10 | 华为技术有限公司 | 切片服务验证方法及其装置 |
| WO2021249325A1 (zh) * | 2020-06-10 | 2021-12-16 | 华为技术有限公司 | 切片服务验证方法及其装置 |
| CN113784351B (zh) * | 2020-06-10 | 2024-03-01 | 华为技术有限公司 | 切片服务验证方法、实体及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018233726A1 (zh) | 2018-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109104726A (zh) | 网络切片的认证方法及相应装置、***和介质 | |
| CN101039311B (zh) | 一种身份标识网页业务网***及其鉴权方法 | |
| CN110800331B (zh) | 网络验证方法、相关设备及*** | |
| CN105635165B (zh) | 一种无线设备的安全在线注册和配置的方法及设备 | |
| JP5392879B2 (ja) | 通信デバイスを認証するための方法および装置 | |
| JP5613324B2 (ja) | 単一の登録手順を使用するクライアントのグループの安全な登録 | |
| EP3817422A1 (en) | Communication method and device | |
| EP1713289A1 (en) | A method for establishing security association between the roaming subscriber and the server of the visited network | |
| CN106921963A (zh) | 一种智能设备接入无线局域网的方法及装置 | |
| CN104104516A (zh) | 一种Portal认证方法和设备 | |
| CN105376059B (zh) | 基于电子钥匙进行应用签名的方法和*** | |
| CN103581154B (zh) | 物联网***中的鉴权方法和装置 | |
| WO2006097041A1 (fr) | Forme d'authentification generale et procede pour mettre en place l'authentification | |
| CN108347728B (zh) | 一种信息处理方法及装置 | |
| CN108616532A (zh) | 投票处理方法、装置及终端设备 | |
| CN108566275A (zh) | 身份认证方法、装置及区块链节点 | |
| WO2012094879A1 (zh) | 一种mtc服务器共享密钥的方法及*** | |
| CN110417563A (zh) | 一种网络切片接入的方法、装置和*** | |
| CN104869121B (zh) | 一种基于802.1x的认证方法及装置 | |
| WO2016179966A1 (zh) | 一种实现网络接入的方法、终端及计算机存储介质 | |
| CN109314693A (zh) | 验证密钥请求方的方法和设备 | |
| WO2012163159A1 (zh) | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 | |
| CN104349294B (zh) | 基于MiFi终端的认证计费方法、***以及MiFi终端 | |
| CN109819440A (zh) | 鉴权的方法和装置 | |
| CN109787796A (zh) | 网络功能服务授权的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191204 Address after: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Applicant after: ZTE Communications Co., Ltd. Address before: 201203 No. 889 Bibo Road, Shanghai Pudong New Area Free Trade Pilot Area Applicant before: Shanghai Zhongxing Software Co., Ltd. |
|
| TA01 | Transfer of patent application right | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181228 |
|
| WW01 | Invention patent application withdrawn after publication |