CN114900833B - 鉴权方法、装置、存储介质和电子设备 - Google Patents
鉴权方法、装置、存储介质和电子设备 Download PDFInfo
- Publication number
- CN114900833B CN114900833B CN202210646161.2A CN202210646161A CN114900833B CN 114900833 B CN114900833 B CN 114900833B CN 202210646161 A CN202210646161 A CN 202210646161A CN 114900833 B CN114900833 B CN 114900833B
- Authority
- CN
- China
- Prior art keywords
- authentication
- entity
- user terminal
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L5/00—Arrangements affording multiple use of the transmission path
- H04L5/003—Arrangements for allocating sub-channels of the transmission path
- H04L5/0053—Allocation of signaling, i.e. of overhead other than pilot signals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了一种鉴权方法、装置、存储介质和电子设备,涉及通信技术领域。该鉴权方法包括:接收接入和移动性管理功能实体发送的鉴权请求信息,并将所述鉴权请求信息发送至认证服务器功能实体,以供所述认证服务器功能实体基于所述鉴权请求信息从鉴权数据管理实体获取鉴权数据;对所述鉴权数据进行内容解析,得到鉴权结果;将所述鉴权结果发送至所述接入和移动性管理功能实体,以供所述接入和移动性管理功能实体对所述鉴权请求信息对应的第一用户终端进行权限认证。解决了目前运营商公网与客户专网之间用户终端的鉴权便利性较差的技术问题,达到了提高运营商公网与客户专网之间用户终端鉴权便利性的技术效果。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种鉴权方法、装置、存储介质和电子设备。
背景技术
运营商对移动通信网络中的号卡数据有管理要求以及对自身网络安全的保障要求,部分专网客户需要在专网中建设UDM(Unified Data Management,统一数据管理功能)实体,从而满足信令面数据不出园区、网络自主操作等需求。
但是鉴权数据一般部署在运营商公网、签约数据部署在企业专网,公网与专网相互独立,专网无法获取UE(User Equipment,用户终端)的鉴权状态,也就无法对用户终端进行合法性认证。
因此,目前运营商公网与客户专网之间用户终端的鉴权便利性较差。
发明内容
本公开提供了一种鉴权方法、装置、存储介质和电子设备,进而提高运营商公网与客户专网之间用户终端鉴权的便利性。
第一方面,本公开一个实施例提供了一种鉴权方法,包括:
接收接入和移动性管理功能实体发送的鉴权请求信息,并将鉴权请求信息发送至认证服务器功能实体,以供认证服务器功能实体基于鉴权请求信息从鉴权数据管理实体获取鉴权数据;
对鉴权数据进行内容解析,得到鉴权结果;
将鉴权结果发送至接入和移动性管理功能实体,以供接入和移动性管理功能实体对鉴权请求信息对应的第一用户终端进行权限认证。
在本公开一个可选实施例中,将鉴权结果发送至接入和移动性管理功能实体,以供接入和移动性管理功能实体对鉴权请求信息对应的第一用户终端进行权限认证,包括:
若鉴权结果为鉴权失败,则生成鉴权失败的第一指示信息,并将第一指示信息发送至接入和移动性管理功能实体,以指示接入和移动性管理功能实体拒绝鉴权请求信息对应的第一用户终端接入;
若鉴权结果为鉴权成功,则生成鉴权成功的第二指示信息,并将第二指示信息发送接入和移动性管理功能实体,以指示接入和移动性管理功能实体接受鉴权请求信息对应的第一用户终端接入。
在本公开一个可选实施例中,若鉴权结果为鉴权成功,该方法还包括:
将鉴权结果发送至签约数据管理实体,以指示签约数据管理实体对鉴权请求信息对应的第一用户终端的权限状态进行更新。
在本公开一个可选实施例中,该方法还包括:
接收目标网元发送的针对第二用户终端签约数据的查询请求,并将查询请求发送至签约数据管理实体,以指示签约数据管理实体查询第二用户终端的签约数据;
接收签约数据管理实体发送的签约反馈信息,并根据签约反馈信息确定查询请求的合法性。
在本公开一个可选实施例中,根据签约反馈信息确定查询请求的合法性,包括:
若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,则将签约数据发送给目标网元;
若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
在本公开一个可选实施例中,根据签约反馈信息确定查询请求的合法性,包括:
若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,且当前请求时间处于目标网元权限的预设有效期内,则将签约数据发送给目标网元;
若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,或当前请求时间不处于目标网元权限的预设有效期内,则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
在本公开一个可选实施例中,目标网元为接入和移动性管理功能实体、会话管理功能实体中的至少一种。
第二方面,本公开一个实施例提供了一种鉴权装置,该装置包括:
第一收发模块,用于接收接入和移动性管理功能实体发送的鉴权请求信息,并将鉴权请求信息发送至认证服务器功能实体,以供认证服务器功能实体基于鉴权请求信息从鉴权数据管理实体获取鉴权数据;
解析模块,用于对鉴权数据进行内容解析,得到鉴权结果;
第二收发模块,用于将鉴权结果发送至接入和移动性管理功能实体,以供接入和移动性管理功能实体对鉴权请求信息对应的第一用户终端进行权限认证。
第三方面,本公开一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上的方法。
第四方面,本公开一个实施例提供了一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行如上的方法。
本公开的技术方案具有以下有益效果:
上述鉴权方法将UDM拆分为用于存储鉴权数据的A-UDM实体与用于存储签约数据的S-UDM实体,并将A-UDM实体配置于运营商大网中,将S-UDM实体配置于专网客户的5G专网中,在需要对用户终端的权限进行认证时,只需要将AMF实体发送的鉴权请求信息发送至AUSF实体,从A-UDM获取鉴权数据,然后对鉴权数据进行内容解析后将得到的鉴权结果发送至AMF实体,AMF实体便可在专网中对鉴权请求信息对应的第一用户终端进行权限认证,从而解决了目前运营商公网与客户专网之间用户终端的鉴权便利性较差的技术问题,达到了提高鉴权便利性的技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施方式,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本示例性实施方式中一种鉴权方法的应用场景示意图;
图2示出本示例性实施方式中一种鉴权方法的应用场景示意图;
图3示出本示例性实施方式中一种鉴权方法的流程图;
图4示出本示例性实施方式中一种鉴权方法的交互图;
图5示出本示例性实施方式中一种鉴权方法的流程图;
图6示出本示例性实施方式中一种鉴权方法的交互图;
图7示出本示例性实施方式中一种鉴权装置结构示意图;
图8示出本示例性实施方式中一种电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例性实施方式。然而,示例性实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例性实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
相关技术中,运营商对移动通信网络中的号卡数据有管理要求以及对自身网络安全的保障要求,部分专网客户需要在专网中建设UDM(Unified Data Management,统一数据管理功能)实体,从而满足信令面数据不出园区、网络自主操作等需求。但是鉴权数据一般部署在运营商公网、签约数据部署在企业专网,公网与专网相互独立,专网无法获取UE(User Equipment,用户终端)的鉴权状态,也就无法对用户终端进行合法性认证。因此,目前运营商公网与客户专网之间用户终端的鉴权便利性较差。
因此,本公开实施例提供了一种鉴权方法,以来提高运营商公网与客户专网之间用户终端的鉴权的便利性。以下对本公开实施例提供的鉴权方法的应用环境作简单介绍:
请参见图1,本公开实施例提供的鉴权方法应用于运营商公网与客户专网之间的通信***,该通信***的5G核心网架构如下图1,包括:
UE:User Equipment,用户终端,可以为手机等可以接入5G网络的通信设备。
NRF:Network Repository Function,网络存储功能实体,用于进行NF(networkfunction,网络功能)登记、管理、状态检测,实现所有NF的自动化管理,每个NF启动时,必须要到NRF进行注册登记才能提供服务,登记信息包括NF类型、地址、服务列表等。
NSSF:The Network Slice Selection Function,网络切片选择实体,根据UE的切片选择辅助信息、签约信息等确定UE允许接入的网络切片。
AUSF:Authentication Server Function,认证服务器功能实体,用于实现3GPP和非3GPP的接入认证。
SMF:Session Management function,会话管理功能实体,负责隧道维护、IP地址分配和管理、UP(User Plane,用户平面)功能选择、策略实施和QoS(Quality of Service,服务质量)中的控制、计费数据采集、漫游等。
AMF:Access and Mobility Management Function,接入和移动性管理功能实体,执行注册、连接、可达性、移动性管理。为UE和SMF提供会话管理消息传输通道,为用户接入时提供认证、鉴权功能,终端和无线的核心网控制面接入点。
PCF:Policy Control function,策略控制功能实体,统一的政策框架,用于提供控制平面功能的策略规则。
NEF:Network Exposure Function,网络开放功能实体,开放各NF的能力,转换内外部信息,用于边缘计算场景。
AMF:Access and Mobility Management Function,接入和移动性管理功能实体,执行注册、连接、可达性、移动性管理。为UE和SMF提供会话管理消息传输通道,为用户接入时提供认证、鉴权功能,终端和无线的核心网控制面接入点。
RAN:wireless access network,无线接入网实体,是指固定用户全部或部分以无线的方式接入到交换机。无线接入网是由业务节点(例如交换机)接口和相关用户网络接口之间的系列传送实体所组成,为传送电信业务提供所需传送承载能力的无线实施***。
UPF:The User plane function,用户面功能实体,用于分组路由转发,策略实施,流量报告,Qos处理等。
UDM:Unified Data Management,统一数据管理功能实体,用于负责用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理(比如当前为用户终端提供业务的AMF、SMF等,如当用户切换了访问的AMF时,UDM还会向旧的AMF发起注销消息,要求旧的AMF删除用户相关信息)。需要解释的是,本公开实施例将UDM实体拆分为两个部分:A-UDM(Authentication-UDM,鉴权数据管理实体)与S-UDM(Subscriber-UDM,签约数据管理实体)。
请参见图2,A-UDM配置于运营商大网中,用于存储鉴权数据,S-UDM配置于客户专网中,用于存储客户接入用户的签约数据。请继续参见图2,本公开实施例中的交互架构划分为两部分,一部分为运营商的大网5G核心网,另一部分为专网客户的专网5G核心网。在大网5G核心网中配置有用于存储鉴权数据的A-UDM实体与用于执行鉴权服务的AUSF实体。在专网5G核心网中配置有用于用户终端接入与管理的AMF、用于分组路由转发,策略实施的UPF、用于会话管理的SMF实体、用于存储用户签约数据的S-UDM。其中,大网5G核心网与专网5G核心网通过IWF(Customer Premise Inter-working Function,用户侧(用户端)网络互连功能信令互通网关)进行通信。
下面以上述用户侧网络互连功能信令互通网关IWF(以下简称信令互通网关)为执行主体,将该鉴权方法应用于上述信令互通网关进行用户信息的鉴权为例进行说明。请参见图3,本公开实施例提供的鉴权方法包括如下步骤301-步骤303:
步骤301、信令互通网关接收AMF发送的鉴权请求信息,并将鉴权请求信息发送至AUSF,以供AUSF基于鉴权请求信息从A-UDM获取鉴权数据。
其中,鉴权数据存储于运营商大网中的A-UDM实体中。请参见图4,例如第一用户终端发起注册请求,并将注册请求发送至AMF实体,该注册请求中至少包括第一用户终端的终端标识。AMF实体可以基于3gpp33.501标准执行鉴权流程。AMF实体生成鉴权请求信息,并将该鉴权请求信息发送至IWF,由IWF转发给AUSF实体。AUSF实体配置于运营商大网中,AUSF实体将该鉴权请求信息发送至存储鉴权数据的A-UDM实体中,以向A-UDM实体请求该第一用户终端的鉴权数据。A-UDM实体基于该第一用户终端的终端标识等信息查询得到该第一用户终端对应的鉴权数据,并将该鉴权数据下发至AUSF实体中。
步骤302、信令互通网关对鉴权数据进行内容解析,得到鉴权结果。
IWF实体在得到鉴权数据后对该鉴权数据进行解析,以确定该第一用户终端当前的权限。例如,鉴权数据Nausf_UE Authentication_Authenticate Response中AuthResult字段的值是AUTHENTICATION_SUCCESS,则代表该第一用户终端鉴权成功;若AuthResult字段的值是AUTHENTICATION_FAILURE,则代表该第一用户终端鉴权失败。
步骤303、信令互通网关将鉴权结果发送至AMF,以供AMF对鉴权请求信息对应的第一用户终端进行权限认证。
AUSF实体与AMF实体通过IWF实体通信,IWF实体将解析的鉴权结果转发给AMF实体,以供AMF对鉴权请求信息对应的第一用户终端进行权限认证。例如向对应的第一用户终端发送鉴权成功或鉴权失败的反馈消息。
本公开实施例将UDM拆分为用于存储鉴权数据的A-UDM实体与用于存储签约数据的S-UDM实体,并将A-UDM实体配置于运营商大网中,将S-UDM实体配置于专网客户的5G专网中,在需要对用户终端的权限进行认证时,只需要将AMF实体发送的鉴权请求信息发送至AUSF实体,从A-UDM获取鉴权数据,然后对鉴权数据进行内容解析后将得到的鉴权结果发送至AMF实体,AMF实体便可在专网中对鉴权请求信息对应的第一用户终端进行权限认证,从而解决了目前运营商公网与客户专网之间用户终端的鉴权便利性较差的技术问题,达到了提高鉴权便利性的技术效果。
在本公开一个可选实施例中,上述步骤303、信令互通网关将鉴权结果发送至AMF,以供AMF对鉴权请求信息对应的第一用户终端进行权限认证,包括如下两种情况:
第一种情况,若鉴权结果为鉴权失败,信令互通网关则生成鉴权失败的第一指示信息,并将第一指示信息发送至AMF,以指示AMF拒绝鉴权请求信息对应的第一用户终端接入。
第二种情况,若鉴权结果为鉴权成功,信令互通网关则生成鉴权成功的第二指示信息,并将第二指示信息发送AMF,以指示AMF接受鉴权请求信息对应的第一用户终端接入。
鉴权结果一般包括鉴权失败与鉴权成功两种情况,本公开实施例针对不同情况生成不同的第一指示信息与第二指示信息发送至AMF实体,以供AMF实体快速的判断第一终端当前的鉴权结果,效率更高。
在本公开一个可选实施例中,针对上述第二种情况,若鉴权结果为鉴权成功,该鉴权方法还包括如下步骤A:
步骤A、信令互通网关将鉴权结果发送至S-UDM,以指示S-UDM对鉴权请求信息对应的第一用户终端的权限状态进行更新。
IWF实体可以配置专网中国各网元的网元信息,例如包括各网元的NF实体ID,在鉴权成功的情况下,IWF向专网中的S-UDM实体发送鉴权鉴权成功的鉴权结果,并在该鉴权结果中携带专网的网元信息,例如AMF网元ID或者SMF网元ID等。S-UDM实体在接收到该鉴权结果后,对该鉴权结果对应的第一用户终端的权限状态进行更新,例如更新为已鉴权或者鉴权成功等标识,以供后续可以直接读取对应的数据。同时,S-UDM实体还可以记录该第一用户终端所在专网的网络功能ID,也就是网元ID,以供下次该网元对该第一用户终端进行接入时权限的精准确定。
对应地,若鉴权失败,IWF在接收到鉴权结果后将该鉴权结果转发至S-UDM实体,S-UDM实体根据该鉴权结果中的终端标识将对应的第一用户终端的状态修改为未鉴权或者鉴权失败。当然,若S-UDM实体接收到AMF实体发送来的针对第一用户终端的状态调整指示时,也可以对该第一用户终端的权限状态进行更新。
请参见图5,在本公开一个可选实施例中,上述鉴权方法还包括如下步骤501-步骤502:
步骤501、信令互通网关接收目标网元发送的针对第二用户终端签约数据的查询请求,并将查询请求发送至S-UDM,以指示S-UDM查询第二用户终端的签约数据。
请参见图6,在完成鉴权后进入接入流程,AMF实体或SMF实体向IWF实体发送针对第二用户终端签约数据的查询请求,该查询请求中至少包含第二用户终端的终端标识。IWF实体在接收到该查询请求后转发给S-UDM,S-UDM查询该查询请求对应的第二用户终端的权限状态,以及对应的签约数据。需要解释的是,该查询请求也可以不经过IWF,直接由AMF实体或SMF实体发送给S-UDM实体,本实施例不作具体限定。
步骤502、信令互通网关接收S-UDM发送的签约反馈信息,并根据签约反馈信息确定查询请求的合法性。
例如S-UDM实体先对该第二用户终端的权限状态进行判断,若该第二用户终端的权限状态为已鉴权,则意味着该第二用户终端的该查询请求是合法的,那么S-UDM实体则生成包含签约数据的签约反馈信息并通过IWF实体反馈给对应的网元,例如AMF实体或SMF实体等,以供对应的网元正常处理第二用户终端的请求;若该第二用户终端的权限状态为未鉴权,则意味着该第二用户终端的该查询请求是非法的,那么S-UDM实体则生成拒绝请求的签约反馈信息并通过IWF实体反馈给对应的网元。当然,S-UDM实体也可以不经过IWF实体直接将签约反馈信息发送给对应的网元,以节省传输时间,本实施例对于签约反馈信息的传输方式不作限定,可根据时间情况具体配置。
本公开实施例根据针对第二用户终端签约数据的查询请求,查询第二用户终端的签约数据并发送给S-UDM实体,然后再根据述S-UDM实体发送的签约反馈信息确定查询请求的合法性,可以避免网络中构造假信息来获取用户签约数据的风险,大大提高专网内用户签约数据的安全性,保障企业内数据安全。
在本公开一个可选实施例中,上述步骤503、信令互通网关根据签约反馈信息确定查询请求的合法性,包括如下两种情况:
第一种情况,若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,信令互通网关则将签约数据发送给目标网元;
第二种情况,若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,信令互通网关则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
其中,该预设专网网络功能实体列表即为专网NF列表,相当于合法网元白名单,若该目标网元处于该网元白名单中,且S-UDM实体发送的签约反馈信息中包含有第二用户终端的签约数据,那么意味着该第二用户终端的签约数据请求是合法的,IWF实体则将对应的签约数据发送给目标网元,以指示目标网元将该签约数据反馈给第二用户终端。相反的,若有一个条件不满足,则意味着该第二用户终端的本次查询请求是非法的,IWF实体则生成拒绝信息,并反馈给目标网元,以供目标网元拒绝第二用户终端的本次查询请求。通过这种方式可以进一步避免网络中构造假信息来获取用户签约数据的风险,大大提高专网内用户签约数据的安全性,保障企业内数据安全。
在本公开一个可选实施例中,上述步骤503、信令互通网关根据签约反馈信息确定查询请求的合法性,包括:
第一种情况,若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,且当前请求时间处于目标网元权限的预设有效期内,信令互通网关则将签约数据发送给目标网元;
第二种情况,若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,或当前请求时间不处于目标网元权限的预设有效期内,信令互通网关则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
与上述实施例不同的是,本实施例增加了预设有效期的限定,对于每个用户设备的请求设定一个有效期,只有查询时间处于该预设有效期内才可以对签约数据进行查询访问,避免在其他非法时间对用户签约数据的非法读取,进一步提高用户签约数据的安全性,保障企业内数据安全。
请参见图7,为了实现上述鉴权方法,本公开的一个实施例中提供一种鉴权装置700。图7示出了鉴权装置700的示意性架构图,包括第一收发模块710、解析模块720和第二收发模块730,其中:
该第一收发模块710,用于接收AMF发送的鉴权请求信息,并将鉴权请求信息发送至AUSF,以供AUSF基于鉴权请求信息从A-UDM获取鉴权数据;
该解析模块720,用于对鉴权数据进行内容解析,得到鉴权结果;
该第二收发模块730,用于将鉴权结果发送至AMF,以供AMF对鉴权请求信息对应的第一用户终端进行权限认证。
在一个可选的实施例中,该第二收发模块730具体用于,若鉴权结果为鉴权失败,则生成鉴权失败的第一指示信息,并将第一指示信息发送至AMF,以指示AMF拒绝鉴权请求信息对应的第一用户终端接入;若鉴权结果为鉴权成功,则生成鉴权成功的第二指示信息,并将第二指示信息发送AMF,以指示AMF接受鉴权请求信息对应的第一用户终端接入。
在一个可选的实施例中,若鉴权结果为鉴权成功,该第二收发模块730还用于,将鉴权结果发送至S-UDM,以指示S-UDM对鉴权请求信息对应的第一用户终端的权限状态进行更新。
在一个可选的实施例中,该第二收发模块730还用于,接收目标网元发送的针对第二用户终端签约数据的查询请求,并将查询请求发送至S-UDM,以指示S-UDM查询第二用户终端的签约数据;接收S-UDM发送的签约反馈信息,并根据签约反馈信息确定查询请求的合法性。
在一个可选的实施例中,该第二收发模块730具体用于,若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,则将签约数据发送给目标网元;若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
在一个可选的实施例中,该第二收发模块730具体用于,若签约反馈信息包含有第二用户终端的签约数据,且查询请求对应的目标网元处于预设专网网络功能实体列表中,且当前请求时间处于目标网元权限的预设有效期内,则将签约数据发送给目标网元;若签约反馈信息中不含签约数据,或查询请求对应的目标网元不处于预设专网网络功能实体列表中,或当前请求时间不处于目标网元权限的预设有效期内,则生成针对查询请求的拒绝信息,并将拒绝信息发送至目标网元。
在一个可选的实施例中,目标网元为AMF、SMF中的至少一种。
本公开的示例性实施方式还提供了一种计算机可读存储介质,可以实现为一种程序产品的形式,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使电子设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。在一种实施方式中,该程序产品可以实现为便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在电子设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。在本公开实施例中,计算机可读存储介质中存储的程序代码被执行时可以实现如上鉴权方法中的任一步骤。
请参见图8,本公开的示例性实施方式还提供了一种电子设备800,可以是信息平台的后台服务器。下面参考图8对该电子设备800进行说明。应当理解,图8显示的电子设备800仅仅是一个示例,不应对本公开实施方式的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:至少一个处理单元810、至少一个存储单元820、连接不同***组件(包括存储单元820和处理单元810)的总线830。
其中,存储单元存储有程序代码,程序代码可以被处理单元810执行,使得处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元810可以执行如图2所示的方法步骤等。
存储单元820可以包括易失性存储单元,例如随机存取存储单元(RAM)821和/或高速缓存存储单元822,还可以进一步包括只读存储单元(ROM)823。
存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824,这样的程序模块825包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以包括数据总线、地址总线和控制总线。
电子设备800也可以与一个或多个外部设备2000(例如键盘、指向设备、蓝牙设备等)通信,这种通信可以通过输入/输出(I/O)接口840进行。电子设备800还可以通过网络适配器850与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器850通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
在本公开实施例中,电子设备中存储的程序代码被执行时可以实现如上鉴权方法中的任一步骤。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的示例性实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为***、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施方式。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限定。
Claims (9)
1.一种鉴权方法,其特征在于,包括:
信令互通网关接收专网中配置的接入和移动性管理功能实体发送的鉴权请求信息,并将所述鉴权请求信息发送至大网中配置的认证服务器功能实体,以供所述认证服务器功能实体基于所述鉴权请求信息从所述大网中的鉴权数据管理实体获取鉴权数据;
所述信令互通网关对所述鉴权数据进行内容解析,得到鉴权结果;
所述信令互通网关将所述鉴权结果发送至所述接入和移动性管理功能实体,以供所述接入和移动性管理功能实体对所述鉴权请求信息对应的第一用户终端进行权限认证;
若所述鉴权结果为鉴权成功,则所述信令互通网关将所述鉴权结果发送至所述专网中配置的签约数据管理实体,并在所述鉴权结果中携带专网的网元信息,以指示所述签约数据管理实体对所述鉴权请求信息对应的所述第一用户终端的权限状态进行更新,并记录第一用户终端所在专网的网元ID。
2.根据权利要求1所述的鉴权方法,其特征在于,所述将所述鉴权结果发送至所述接入和移动性管理功能实体,以供所述接入和移动性管理功能实体对所述鉴权请求信息对应的第一用户终端进行权限认证,包括:
若所述鉴权结果为鉴权失败,则生成鉴权失败的第一指示信息,并将所述第一指示信息发送至所述接入和移动性管理功能实体,以指示所述接入和移动性管理功能实体拒绝所述鉴权请求信息对应的所述第一用户终端接入;
若所述鉴权结果为鉴权成功,则生成鉴权成功的第二指示信息,并将所述第二指示信息发送所述接入和移动性管理功能实体,以指示所述接入和移动性管理功能实体接受所述鉴权请求信息对应的所述第一用户终端接入。
3.根据权利要求1所述的鉴权方法,其特征在于,所述方法还包括:
接收目标网元发送的针对第二用户终端签约数据的查询请求,并将所述查询请求发送至所述签约数据管理实体,以指示所述签约数据管理实体查询所述第二用户终端的签约数据;
接收所述签约数据管理实体发送的签约反馈信息,并根据所述签约反馈信息确定所述查询请求的合法性。
4.根据权利要求3所述的鉴权方法,其特征在于,所述根据所述签约反馈信息确定所述查询请求的合法性,包括:
若所述签约反馈信息包含有所述第二用户终端的签约数据,且所述查询请求对应的所述目标网元处于预设专网网络功能实体列表中,则将所述签约数据发送给所述目标网元;
若所述签约反馈信息中不含所述签约数据,或所述查询请求对应的目标网元不处于预设专网网络功能实体列表中,则生成针对所述查询请求的拒绝信息,并将所述拒绝信息发送至所述目标网元。
5.根据权利要求3所述的鉴权方法,其特征在于,所述根据所述签约反馈信息确定所述查询请求的合法性,包括:
若所述签约反馈信息包含有所述第二用户终端的签约数据,且所述查询请求对应的目标网元处于预设专网网络功能实体列表中,且当前请求时间处于所述目标网元权限的预设有效期内,则将所述签约数据发送给所述目标网元;
若所述签约反馈信息中不含所述签约数据,或所述查询请求对应的目标网元不处于预设专网网络功能实体列表中,或当前请求时间不处于所述目标网元权限的所述预设有效期内,则生成针对所述查询请求的拒绝信息,并将所述拒绝信息发送至所述目标网元。
6.根据权利要求3所述的鉴权方法,其特征在于,所述目标网元为所述接入和移动性管理功能实体、会话管理功能实体中的至少一种。
7.一种鉴权装置,其特征在于,所述装置包括:
第一收发模块,用于通过信令互通网关接收专网中配置的接入和移动性管理功能实体发送的鉴权请求信息,并将所述鉴权请求信息发送至大网中配置的认证服务器功能实体,以供所述认证服务器功能实体基于所述鉴权请求信息从所述大网中的鉴权数据管理实体获取鉴权数据;
解析模块,用于通过所述信令互通网关对所述鉴权数据进行内容解析,得到鉴权结果;
第二收发模块,用于通过所述信令互通网关将所述鉴权结果发送至所述接入和移动性管理功能实体,以供所述接入和移动性管理功能实体对所述鉴权请求信息对应的第一用户终端进行权限认证;
若所述鉴权结果为鉴权成功,则所述第二收发模块还用于通过所述信令互通网关将所述鉴权结果发送至所述专网中配置的签约数据管理实体,并在所述鉴权结果中携带专网的网元信息,以指示所述签约数据管理实体对所述鉴权请求信息对应的所述第一用户终端的权限状态进行更新,并记录第一用户终端所在专网的网元ID。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述的方法。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至6任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210646161.2A CN114900833B (zh) | 2022-06-08 | 2022-06-08 | 鉴权方法、装置、存储介质和电子设备 |
| PCT/CN2022/140462 WO2023236497A1 (zh) | 2022-06-08 | 2022-12-20 | 鉴权方法、装置、存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210646161.2A CN114900833B (zh) | 2022-06-08 | 2022-06-08 | 鉴权方法、装置、存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114900833A CN114900833A (zh) | 2022-08-12 |
| CN114900833B true CN114900833B (zh) | 2023-10-03 |
Family
ID=82728632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210646161.2A Active CN114900833B (zh) | 2022-06-08 | 2022-06-08 | 鉴权方法、装置、存储介质和电子设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114900833B (zh) |
| WO (1) | WO2023236497A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114900833B (zh) * | 2022-06-08 | 2023-10-03 | 中国电信股份有限公司 | 鉴权方法、装置、存储介质和电子设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200019057A (ko) * | 2018-08-13 | 2020-02-21 | 삼성전자주식회사 | 무선 통신 시스템에서 네트워크에 등록하기 위한 장치 및 방법 |
| CN110891271A (zh) * | 2018-09-10 | 2020-03-17 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN112423301A (zh) * | 2020-11-02 | 2021-02-26 | 中国联合网络通信集团有限公司 | 专网注册管理方法和amf网元 |
| CN113438647A (zh) * | 2020-03-05 | 2021-09-24 | 大唐移动通信设备有限公司 | 一种公网用户接入专网的方法、呼叫业务处理方法及设备 |
| CN113453213A (zh) * | 2021-06-02 | 2021-09-28 | 中国联合网络通信集团有限公司 | 一种鉴权数据同步方法及装置 |
| CN113573346A (zh) * | 2021-07-12 | 2021-10-29 | 中国联合网络通信集团有限公司 | 一种数据处理方法及装置 |
| CN113938874A (zh) * | 2021-09-28 | 2022-01-14 | 中国联合网络通信集团有限公司 | 数据处理方法、装置、设备及*** |
| CN113950051A (zh) * | 2020-07-17 | 2022-01-18 | 大唐移动通信设备有限公司 | 一种鉴权推演方法及装置 |
| CN114363029A (zh) * | 2021-12-28 | 2022-04-15 | 中国电信股份有限公司 | 差异化网络接入认证方法、装置、设备及介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020036401A1 (ko) * | 2018-08-13 | 2020-02-20 | 삼성전자 주식회사 | 무선 통신 시스템에서 네트워크에 등록하기 위한 장치 및 방법 |
| US11889454B2 (en) * | 2018-10-05 | 2024-01-30 | Samsung Electronics Co., Ltd. | Apparatus and method for supporting access to private mobile communication network and carrier mobile communication network |
| CN112672336B (zh) * | 2019-09-30 | 2024-04-30 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信*** |
| CN114554474A (zh) * | 2020-11-18 | 2022-05-27 | 中国电信股份有限公司 | Nsa用户漫游到sa的接入方法、***和网络互通功能实体 |
| CN112654033B (zh) * | 2020-12-15 | 2023-02-17 | 中国联合网络通信集团有限公司 | 一种业务开通方法及装置 |
| CN114900833B (zh) * | 2022-06-08 | 2023-10-03 | 中国电信股份有限公司 | 鉴权方法、装置、存储介质和电子设备 |
-
2022
- 2022-06-08 CN CN202210646161.2A patent/CN114900833B/zh active Active
- 2022-12-20 WO PCT/CN2022/140462 patent/WO2023236497A1/zh unknown
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200019057A (ko) * | 2018-08-13 | 2020-02-21 | 삼성전자주식회사 | 무선 통신 시스템에서 네트워크에 등록하기 위한 장치 및 방법 |
| CN110891271A (zh) * | 2018-09-10 | 2020-03-17 | 大唐移动通信设备有限公司 | 一种鉴权方法及装置 |
| CN113438647A (zh) * | 2020-03-05 | 2021-09-24 | 大唐移动通信设备有限公司 | 一种公网用户接入专网的方法、呼叫业务处理方法及设备 |
| CN113950051A (zh) * | 2020-07-17 | 2022-01-18 | 大唐移动通信设备有限公司 | 一种鉴权推演方法及装置 |
| CN112423301A (zh) * | 2020-11-02 | 2021-02-26 | 中国联合网络通信集团有限公司 | 专网注册管理方法和amf网元 |
| CN113453213A (zh) * | 2021-06-02 | 2021-09-28 | 中国联合网络通信集团有限公司 | 一种鉴权数据同步方法及装置 |
| CN113573346A (zh) * | 2021-07-12 | 2021-10-29 | 中国联合网络通信集团有限公司 | 一种数据处理方法及装置 |
| CN113938874A (zh) * | 2021-09-28 | 2022-01-14 | 中国联合网络通信集团有限公司 | 数据处理方法、装置、设备及*** |
| CN114363029A (zh) * | 2021-12-28 | 2022-04-15 | 中国电信股份有限公司 | 差异化网络接入认证方法、装置、设备及介质 |
Non-Patent Citations (4)
| Title |
|---|
| Ericsson España S.A..S3-203388 "Draft TR 33.846 v0.9.0 Study on authentication enhancements in the 5G System (5GS)".3GPP tsg_sa\wg3_security.2020,(第tsgs3_101e期),全文. * |
| Study on Core Network Security Enhancement Strategies in 5G Private Network;Yiming Guo等;《IEEE》;全文 * |
| 威海联通固网智能化改造专网用户数据管理;夏俊蓉;;山东通信技术(第01期);全文 * |
| 面向5G专网的轻量化核心网技术研究;陈丰等;《邮电设计技术》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023236497A1 (zh) | 2023-12-14 |
| CN114900833A (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11425225B2 (en) | Method, apparatus, and equipment for exposing edge network capability, and storage medium | |
| US10440558B1 (en) | Embedded SIM profile download and management system | |
| EP2648392A1 (en) | Application programming interface routing system and method of operating the same | |
| US8621572B2 (en) | Method, apparatus and system for updating authentication, authorization and accounting session | |
| US11917718B2 (en) | Local area network communication management method and apparatus | |
| CN114900833B (zh) | 鉴权方法、装置、存储介质和电子设备 | |
| CN114285736A (zh) | Supi号段配置***、方法、装置、网络设备和介质 | |
| WO2022121589A1 (zh) | 一种数据信息获取方法、装置、相关设备及介质 | |
| CN113613279A (zh) | 路由策略生成方法及相关设备 | |
| CN114691734A (zh) | 缓存管控方法、装置、计算机可读介质及电子设备 | |
| CN115086956A (zh) | 通信网络的入网方法、入网装置、介质和电子设备 | |
| CN116545777B (zh) | 用户类别切换方法、装置、存储介质与电子设备 | |
| CN118158748A (zh) | Amf重定向下ue策略管理方法、装置、电子设备及介质 | |
| CN115065995B (zh) | 关联信息管理方法、装置、电子设备及存储介质 | |
| US11943684B2 (en) | Systems and methods for improved access to user data | |
| CN115209522B (zh) | 网络功能注册方法、发现方法、装置、设备及介质 | |
| US11876866B2 (en) | Method for assisting unregistered user device to access end-to-end call service of private network and communication system | |
| WO2024032226A1 (zh) | 通信方法和通信装置 | |
| CN114786142B (zh) | 呼叫方法、装置、计算机可读存储介质及电子设备 | |
| CN117997756A (zh) | 数据订阅方法及装置、计算机可读存储介质、电子设备 | |
| US20220182823A1 (en) | Control apparatus, radio communication system, control method, and program | |
| WO2024094047A1 (zh) | 通信方法和通信装置 | |
| KR100455040B1 (ko) | 홈 라디우스 서버 식별 방법 | |
| CN117676490A (zh) | 通信方法、装置、相关设备及存储介质 | |
| CN115865316A (zh) | 应用密钥删除方法、密钥锚定节点、服务器、***及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |