[go: up one dir, main page]

CN116709322A - 网络认证方法、装置、通信设备及计算机可读存储介质 - Google Patents

网络认证方法、装置、通信设备及计算机可读存储介质 Download PDF

Info

Publication number
CN116709322A
CN116709322A CN202310774069.9A CN202310774069A CN116709322A CN 116709322 A CN116709322 A CN 116709322A CN 202310774069 A CN202310774069 A CN 202310774069A CN 116709322 A CN116709322 A CN 116709322A
Authority
CN
China
Prior art keywords
authentication
response
target
network
user equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310774069.9A
Other languages
English (en)
Inventor
林奕琳
毕奇
刘洁
陈思柏
曾琴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202310774069.9A priority Critical patent/CN116709322A/zh
Publication of CN116709322A publication Critical patent/CN116709322A/zh
Priority to PCT/CN2023/142056 priority patent/WO2025001010A1/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/72Subscriber identity
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种网络认证方法、装置、通信设备及计算机可读存储介质。包括:第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;第二网络设备根据接收的认证请求中的用户设备标识,根据对应的认证协议生成认证参数响应,并发送至第一网络设备;第一网络设备基于目标认证参数,生成认证中间数据,并发送至中继设备;再接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。采用本方法能够有效提高用户设备、中继设备及核心网之间的网络认证效率。

Description

网络认证方法、装置、通信设备及计算机可读存储介质
技术领域
本申请涉及网络通信技术领域,特别是涉及一种网络认证方法、装置、通信设备及计算机可读存储介质。
背景技术
随着网络通信技术的发展,当终端通过一级或多级中继接入网络时,需要考虑终端与终端之间、终端与网络之间的相互认证问题。
现有机制一般采用有别于蜂窝网络接入认证的额外的机制,独立解决该问题,需要启用额外的设备与设备之间的身份认证机制,系统复杂度高,网络认证的效率较低。
发明内容
基于此,有必要针对上述技术问题,提供一种网络认证方法、装置、通信设备及计算机可读存储介质,能够有效提高用户设备、中继设备及核心网之间的网络认证效率。
第一方面,本申请提供了一种网络认证方法,应用于核心网,核心网包括第一网络设备、第二网络设备,包括:
第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;
第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;
第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网;
接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
在其中一个实施例中,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备,包括:
第二网络设备包括第一功能设备与第二功能设备;
第一功能设备接收认证请求,并将认证请求转发至第二功能设备;
第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量;
第二功能设备将第一认证向量发送至第一功能设备;
第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量;
根据第二认证向量生成认证参数响应,并发送至第一网络设备。
在其中一个实施例中,第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量,包括:
认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识;
根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;
基于网络位置参数,构建得到第一认证向量。
在其中一个实施例中,第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量,包括:
认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识;
根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;
基于哈希值与网络位置参数,构建得到第二认证向量。
在其中一个实施例中,上述网络认证方法还包括:
第一网络设备发送查询指令至第二网络设备,以使第二网络设备根据查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询;
根据查询结果,确定中继设备的中继服务权限;
当中继服务权限为无权限时,拒绝目标注册请求。
第二方面,本申请还提供了一种网络认证方法,应用于中继设备,包括:
接收用户设备发送的初始注册请求,初始注册请求包括用户设备的用户设备标识;
基于初始注册请求生成目标注册请求,目标注册请求包括用户设备标识以及中继设备的中继设备标识;
将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据;
接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备;
接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果;
将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
在其中一个实施例中,接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备,包括:
目标参考数据包括随机参数与鉴权令牌参数;
基于随机参数与鉴权令牌参数生成对应的目标参考认证数据;
将目标参考认证数据发送至用户设备,以使用户设备根据3GPP标准规则,对目标参考认证数据中携带的鉴权令牌参数进行校验,并根据校验结果生成初始认证响应,并反馈至中继设备。
在其中一个实施例中,接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,包括:
将响应参数与随机数通过哈希函数计算得到响应中间参数;
根据中间参数与随机数通过哈希函数计算得到校验参数;
将校验参数与认证中间数据对应的目标校验参数进行比对,并基于响应参数与比对结果生成目标认证响应;
将目标认证响应发送至核心网。
第三方面,本申请还提供了一种网络认证装置,应用于核心网,核心网包括第一网络设备、第二网络设备,包括:
校验模块,用于第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;
响应模块,用于第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网;接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
第四方面,本申请还提供了一种网络认证装置,应用于中继设备,包括:
收发模块,用于接收用户设备发送的初始注册请求,初始注册请求包括用户设备的用户设备标识;基于初始注册请求生成目标注册请求,目标注册请求包括用户设备标识以及中继设备的中继设备标识;将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据;
校验模块,用于接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备;接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果;
认证模块,用于将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
第五方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;
第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;
第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网;
接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
第六方面,本申请还提供了一种通信设备。所述通信设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收用户设备发送的初始注册请求,初始注册请求包括用户设备的用户设备标识;
基于初始注册请求生成目标注册请求,目标注册请求包括用户设备标识以及中继设备的中继设备标识;
将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据;
接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备;
接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果;
将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
第七方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;
第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;
第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网;
接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
第八方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收用户设备发送的初始注册请求,初始注册请求包括用户设备的用户设备标识;
基于初始注册请求生成目标注册请求,目标注册请求包括用户设备标识以及中继设备的中继设备标识;
将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据;
接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备;
接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果;
将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
上述网络认证方法、装置、通信设备及计算机可读存储介质,通过第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备,第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。从而实现在同一个认证过程中,完成用户设备与中继设备之间的认证以及中继设备与网络之间的认证,相比于现有技术中采用有别于蜂窝网络接入认证的额外机制,对其过程分别独立认证的方法而言,本申请的网络验证方法能够有效降低系统复杂度,提高网络认证的效率。
附图说明
图1为一个实施例中核心网参与网络认证方法的应用环境图;
图2为一个实施例中网络认证方法的流程示意图;
图3为一个实施例中生成第二认证向量步骤的流程示意图;
图4为一个实施例中生成第一认证向量方法的流程示意图;
图5为一个实施例中生成第二认证向量步骤的流程示意图;
图6为一个实施例中拒绝目标注册请求步骤的流程示意图;
图7为一个实施例中中继设备参与网络认证的流程示意图;
图8为一个实施例中生成目标参考认证数据并反馈中继设备的流程示意图;
图9为一个实施例中生成目标认证响应并反馈至核心网的流程示意图;
图10为一个实施例中网络认证方法的系统架构图;
图11为一个实施例中网络认证方法的流程示意图;
图12为一个实施例中网络认证装置的结构框图;
图13为一个实施例中网络认证装置的结构框图;
图14为一个实施例中通信设备的内部结构图;
图15为一个实施例中通信设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的网络切片切换方法,可以应用于如图1所示的应用环境中,其中用户设备102通过网络与中继设备104进行通信,核心网106通过网络与中继设备104进行通信。核心网106包括第一网络设备、第二网络设备,第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备104,以使中继设备104从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备102基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网106;接收中继设备104反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备102与中继设备104进行认证,并认证结果发送至中继设备104。
在一个实施例中,如图2所示,提供了一种网络切片切换方法,以该方法应用于图1中的核心网106为例进行说明,包括以下步骤:
步骤S202,第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备。
其中,目标注册请求包括用户设备标识以及中继设备标识,目标注册请求为中继设备根据接收到用户设备发送的初始注册请求所生成的,而初始注册请求中携带有用户设备标识,第一网络设备可以是核心网中负责安全锚点功能的设备,可以是单个设备也可以是共同完成特定功能的多个设备的组合,第二网络设备包括第一功能设备与第二功能设备,其中第一功能设备可以是承担认证服务功能的设备,第二功能设备可以是承担统一数据管理功能的设备。
具体地,第一网络设备接收中继设备发送的目标注册请求,再根据目标注册请求中携带的用户设备标识以及中继设备标识,生成认证请求,以使认证请求中携带用户设备标识与中继设备标识。可选地,在生成认证请求时,还可以使认证请求中携带服务网络名称,还可以携带中继设备位置参数,该中继设备位置参数可以是当前中继设备的经纬度参数。
可选地,第一网络设备在接受到目标注册请求时,对目标注册请求中的中继设备标识进行权限验证,若无权限则拒绝该目标注册请求。权限验证的方式包括第一网络设备向第二网络设备中的第二功能设备查询并获取当前中继设备对应的签约信息,根据该签约信息获取该中继设备是否具有提供中继服务的权限。
步骤S204,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备。
具体地,第二网络设备中的第一功能设备接收到认证请求后,根据认证请求中携带的用户设备标识,从第二功能设备中获取对应的签约信息,并确定对应的认证协议,再根据认证协议生成第一认证向量,将第一认证向量发送至第一功能设备,而第一功能设备再基于第一认证向量生成对应的第二认证向量,生成认证参数响应,以使认证参数响应中携带第二认证向量,并将该第一网络设备发送至第一网络设备。
步骤S206,第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网。
具体地,第一网络设备接收第二网络设备发送回来的认证参数响应,再从认证参数响应中确定目标认证参数,再将目标认证参数与随机数进行融合,生成认证中间数据,并将该认证中间数据发送至中继设备,其中融合的方式可以是加、减、乘、除、开平方根等运算方式中的随意组合,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网。
步骤S208,接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
具体地,中继设备接收用户设备发送的初始认证响应,根据初始认证响应中对应的响应参数计算得到校验参数,再将校验参数与对应的标准参数进行比较,若两者一致,则中继设备生成对应的目标认证响应,并发送至核心网。
可选地,中继设备在计算校验参数时,可以将响应参数与随机数利用哈希函数计算获得对应的初始校验参数,再将初始校验参数与随机数利用哈希函数计算获得对应的校验参数。
本实施例中,通过第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备,第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。从而实现在同一个认证过程中,完成用户设备与中继设备之间的认证以及中继设备与网络之间的认证,相比于现有技术中采用有别于蜂窝网络接入认证的额外机制,对其过程分别独立认证的方法而言,本申请的网络验证方法能够有效降低系统复杂度,提高网络认证的效率。
在一个实施例中,如图3所示,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备,包括:
其中,第二网络设备包括第一功能设备与第二功能设备,第一功能设备可以是核心网中承担认证服务功能的设备,第二功能设备可以是核心网中承担统一数据管理功能的设备,用户设备标用于标识对应用户设备在网络中的身份的标识,可以是用户设备的IP地址等。
步骤S302,第一功能设备接收认证请求,并将认证请求转发至第二功能设备。
步骤S304,第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量。
具体地,第二功能设备接收到认证请求后,根据认证请求中的用户设备标识,查找本地数据库中预存的签约信息,基于签约信息确定用户设备标识对应的认证协议,再依据认证协议的类别,采用对应的方法/预设算法生成第一认证向量。
可选地,第二功能设备利用3GPP标准定义的方式,利用Milenage算法集,生成向量AV(RAND、AUTN、XRES、CK、IK),再利用参数CK、IK、服务网络名称SNN等生成参数KAUSF,并利用XRES、RAND、SNN、CK、IK等参数生成参数XRES*,生成第一认证向量HE AV(RAND、AUTN、XRES*、KAUSF)。
步骤S306,第二功能设备将第一认证向量发送至第一功能设备。
具体地,第二功能设备根据第一认证向量生成认证参数中间响应,以使认证参数中间响应中携带第一认证向量,再将该认证参数中间响应发送至第一功能设备。
步骤S308,第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量。
具体地,第一功能设备收到上述步骤中的第一认证向量后,确定第一认证向量中的预期响应参数,并将预设响应参数与随机数进行融合得到预期响应的哈希值,再基于哈希值构建得到第二认证向量。
步骤S310,根据第二认证向量生成认证参数响应,并发送至第一网络设备。
具体地,第一功能设备根据第二认证向量生成认证参数响应,以使认证参数响应中携带第二认证向量。
本实施例中,第一功能设备接收认证请求,并将认证请求转发至第二功能设备,第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量,第二功能设备将第一认证向量发送至第一功能设备,第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量,根据第二认证向量生成认证参数响应,并发送至第一网络设备,从而通过第二网络设备中第一功能设备与第二功能设备间的参数互相认证与交互的过程,实现网络认证的参数校验过程,有效提高网络认证过程中校验的准确性。
在一个实施例中,如图4所示,第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量,包括:
其中,认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识。
步骤S402,根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数。
具体地,第二功能设备将中继设备对应的设备位置参数与所在地网络标识进行或运算得到网络位置参数。
步骤S404,基于网络位置参数,构建得到第一认证向量。
具体地,第二功能设备基于前述步骤中的网络位置参数,生成第一认证向量,以使第一认证向量中携带该网络位置参数。
本实施例中,根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数,基于网络位置参数,构建得到第一认证向量,从而实现对网络位置参数的准确确定,进而实现对第一认证向量的位置维度的准确度,提高第一认证向量的可靠性。
在一个实施例中,如图5所示,第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量,包括:
其中,认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识。
步骤S502,根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数。
具体地,第一功能设备将中继设备对应的设备位置参数与所在地网络标识进行或运算得到网络位置参数。
步骤S504,基于哈希值与网络位置参数,构建得到第二认证向量。
具体地,第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数进行融合得到预期响应的哈希值,再基于该哈希值与网络位置参数的组合,得到第二认证向量。
本实施例中,根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数,基于哈希值与网络位置参数,构建得到第二认证向量,从而实现对网络位置参数的准确确定,进而实现对第二认证向量的位置维度的准确度,提高第二认证向量的可靠性。
在一个实施例中,如图6所示,上述网络认证方法还包括:
步骤S602,第一网络设备发送查询指令至第二网络设备,以使第二网络设备根据查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询。
其中,查询指令与第一网络设备当前处理的中继设备标识相对应,即用于查询对应中继设备的中继服务权限情况。
具体地,第一网络设备发送查询指令至第二网络设备的第二功能设备,以使第二功能设备根据查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询。
步骤S604,根据查询结果,确定中继设备的中继服务权限。
步骤S606,当中继服务权限为无权限时,拒绝目标注册请求。
具体地,当查询到对应的中继设备无中继服务的权限时,向中继设备反馈请求结果为拒绝请求。
本实施例中,第一网络设备发送查询指令至第二网络设备,以使第二网络设备根据查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询,根据查询结果,确定中继设备的中继服务权限,当中继服务权限为无权限时,拒绝目标注册请求,有效防止无权限的中继设备进行网络认证,提高网络安全性。
在一个实施例中,如图7所示,提供了一种网络切片切换方法,以该方法应用于图1中的中继设备104为例进行说明,包括以下步骤:
步骤S702,接收用户设备发送的初始注册请求。
其中,初始注册请求包括用户设备的用户设备标识,用户设备可以是各种用户终端,如手机、电脑、可穿戴设备等。
步骤S704,基于初始注册请求生成目标注册请求。
其中,目标注册请求包括用户设备标识以及中继设备的中继设备标识。
步骤S706,将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据。
其中,目标注册请求可以包括用户设备标识、中继设备标识、中继设备位置参数以及服务网络名称。
具体地,中继设备将目标注册请求发送至核心网,核心网的第一网络设备接收到该目标注册请求后,对目标注册请求中的用户设备标识进行识别,如果是特定的为用户设备分配的中继服务业务表示,则将其转换为该用户设备对应的远端用户设备标识(如SUPI)。
步骤S708,接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备。
具体地,中继设备接收到认证中间数据后,根据3GPP定义的方式,确定出认证中间数据中的目标参考数据,并基于目标参考数据生成对应的目标参考认证数据,以使目标参考认证数据中携带有目标参考数据,并将目标参考认证数据发送至用户设备。
步骤S710,接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果。
具体地,用户设备根据前述步骤中接收到的目标参考认证数据中的目标参考数据,根据3GPP定义的方式,对目标参考数据进行校验,并基于目标参考数据计算得到对应的响应参数,生成对应的初始认证响应,以使初始认证响应中携带该响应参数,再将该初始认证响应发送至中继设备,当中继设备接收到该初始认证响应后,根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果。
步骤S712,将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
本实施例中,通过中继设备参与远端用户设备与核心网之间的双向认证,从而实现在同一个认证过程中,完成用户设备与中继设备之间的认证以及中继设备与网络之间的认证,相比于现有技术中采用有别于蜂窝网络接入认证的额外机制,对其过程分别独立认证的方法而言,本申请的网络验证方法能够有效降低系统复杂度,提高网络认证的效率。
在一个实施例中,如图8所示,接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备,包括:
其中,目标参考数据包括随机参数与鉴权令牌参数。
步骤S802,基于随机参数与鉴权令牌参数生成对应的目标参考认证数据。
具体地,中继设备将从核心网接收到的认证中间数据中的目标参考数据,生成目标参考认证数据,以使目标参考数据中携带该目标参考数据中的随机参数与鉴权令牌参数。
步骤S804,将目标参考认证数据发送至用户设备,以使用户设备根据3GPP标准规则,对目标参考认证数据中携带的鉴权令牌参数进行校验,并根据校验结果生成初始认证响应,并反馈至中继设备。
本实施例中,通过基于随机参数与鉴权令牌参数生成对应的目标参考认证数据,将目标参考认证数据发送至用户设备,以使用户设备根据3GPP标准规则,对目标参考认证数据中携带的鉴权令牌参数进行校验,并根据校验结果生成初始认证响应,并反馈至中继设备,从而实现对核心网反馈的认证中间数据的有效校验,提高网络认证的准确性。
在一个实施例中,如图9所示,接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,包括:
步骤S902,将响应参数与随机数通过哈希函数计算得到响应中间参数。
步骤S904,根据中间参数与随机数通过哈希函数计算得到校验参数。
步骤S906,将校验参数与认证中间数据对应的目标校验参数进行比对,并基于响应参数与比对结果生成目标认证响应。
具体地,中继设备将校验参数与认证中间数据对应的目标校验参数进行比较,如果两者一致,则认为当前认证步骤通过,则基于响应参数与比对结果生成目标认证响应,以使目标认证响应中携带该响应参数。
步骤S908,将目标认证响应发送至核心网。
本实施例中,将响应参数与随机数通过哈希函数计算得到响应中间参数,根据中间参数与随机数通过哈希函数计算得到校验参数,将校验参数与认证中间数据对应的目标校验参数进行比对,并基于响应参数与比对结果生成目标认证响应,将目标认证响应发送至核心网,从而实现用户设备对网络认证的再校验过程,提高网络认证的效率。
本申请还提供了一种应用场景,该应用场景应用上述的网络认证方法,该方法应用于远端UE(User Equipment,用户设备)通过中继UE接入网络认证过程的场景。具体如图10所示,该网络认证方法在该应用场景的应用如下:
本实施例中,远端UE通过中继UE接入网络认证过程的流程示意图如图11所示,具体步骤如下:
1、远端UE和中继UE先建立U2U连接,远端UE向中继UE发起注册请求,消息中携带远端UE的网络标识;其中,连接的方式可以是基于WiFi Direct或Sidelink的方法等;其中,远端UE网络标识在5G中可以是SUCI或SUPI,在6G网络中可以是其它相应的用户标识;远端UE的网络标识也可以是特定的为中继服务UE分配的标识;
2、中继UE向核心网转发远端UE的注册请求消息,该消息被转发到安全锚点功能,请求对远端UE进行认证;其中注册请求消息中携带远端UE标识,以及中继UE标识,注册消息中携带特定字段,在一种实现方式下,注册消息中可选携带中继UE位置参数;一种实现方式下,中继UE位置参数可以是当前中继UE的经纬度参数;
3、安全锚点功能确定要对远端UE进行认证,向认证服务功能发起认证请求消息;安全锚点功能需验证中继UE是否具备提供中继服务的权限,如果无权限,则拒绝该注册请求;
可选地,安全锚点功能向统一数据管理功能查询获取中继UE的签约信息,根据签约信息获取该中继UE是否具备提供中继服务的权限;其中,消息中携带服务网络名称SNN;消息中携带中继UE位置参数,安全锚点功能收到的远端UE标识如果是特定的为UE分配的中继服务业务标识,则需要将其转换为该UE对应的远端UE网络标识(如SUPI);
4、认证服务功能向统一数据管理功能发起认证参数请求消息;其中,消息中携带远端UE标识,消息中携带服务网络名称SNN与中继UE位置参数;
5、统一数据管理功能收到请求消息后,根据签约情况,确定对应的认证协议,并生成认证向量,向认证服务功能发送认证参数响应消息,消息中携带生成的认证向量;具体过程为统一数据管理功能利用3GPP标准定义方式,利用Milenage算法集,生成向量AV(RAND、AUTN、XRES、CK、IK),生成CK’、IK’,再利用CK、IK、SNN等生成KAUSF,并利用XRES、RAND、SNN、CK、IK等生成XRES*,并将认证向量HE AV(RAND、AUTN、XRES*、KAUSF)发送给认证服务功能;
其中,RAND:随机数,AUTN:AUthentication TokeN,鉴权令牌,XRES:eXpectedRESponse,期望响应,CK:Cipher Key,机密性密钥(或加密密钥),IK:Integrity key IK完整性密钥(或完整性保护密钥),SNN serving network name,服务网络名称,Kausf:AUSF密钥,Authentication Server Function,认证服务功能;
其中,在生成KAUSF和XRES*时,输入参数中加入中继UE位置参数,将原3GPP标准中的KAUSF生成函数中的SNN替换为“SNN||中继UE位置参数”;
6、认证服务功能收到信息后,保存XRES*参数,并利用XRES*和RAND参数计算获得HXRES*,利用KAUSF和SNN生成KSEAF参数,并将认证向量SE AV(RAND、AUTN、HXRES*)通过认证响应消息发送给安全锚点功能;
注:一种实现方式下,在生成KSEAF时,输入参数中加入中继UE位置参数,将原3GPP标准中的KSEAF生成函数中的SNN替换为“SNN||中继UE位置参数”;
7、安全锚点功能收到消息后,保存HXRES*参数,并利用HXRES*和RAND参数计算获得RXRES*,然后向中继UE发送认证请求消息,消息中携带认证向量RE AV(RAND、AUTN、RXRES*);
8、中继UE收到消息,向远端UE发送认证请求消息,消息中携带RAND、AUTN等参数;
9、远端UE收到认证请求消息后,根据3GPP定义的方式,校验AUTN,完成对网络的认证,并计算获得CK、IK、RES,计算获得RES*、KAUSF和KSEAF,并向中继UE发送认证响应消息,消息中携带RES*;
10、中继UE收到响应消息后,计算RRES*,并与RXRES*比较,如果两者一致,则中继UE认为认证成功,向安全锚点功能发送认证响应消息,消息中携带RES*;
11、安全锚点功能收到认证响应消息后,利用RES*和RAND计算HRES*,并与HXRES*比较,如果两者一致,则安全锚点功能认为认证成功,向认证服务功能发送认证请求消息,消息中携带RES*;
12、认证服务功能收到消息后,将RES*与XRES*比较,如果两者一致,则认证服务功能认为认证成功,向安全锚点功能发送认证响应消息,消息中包含了KSEAF
13、安全锚点功能收到消息后,向核心网相关网元发送认证成功信息,核心网相关网元完成相关注册流程后,向中继UE发送注册响应消息,指示此次注册认证成功;
14、中继UE收到消息后,向远端UE发送注册响应消息,并协助远端UE完成后续的用户面连接建立等业务流程,从而完成远端UE与中继UE之间以及远端UE与核心网之间的网络认证。
本实施例中,通过中继UE参与远端UE与核心网之间的双向认证,从而实现在同一个认证过程中,完成远端UE与中继UE之间的认证以及中继UE与网络之间的认证,相比于现有技术中采用有别于蜂窝网络接入认证的额外机制,对其过程分别独立认证的方法而言,本申请的网络验证方法能够有效降低系统复杂度,提高网络认证的效率。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图12所示,提供了一种网络认证装置,应用于核心网,核心网包括第一网络设备、第二网络设备,该装置可以采用软件模块或硬件模块,或者是二者的结合成为通信设备的一部分,该装置具体包括:校验模块1202、响应模块1204,其中:
校验模块1202,用于第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备;第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备;
响应模块1204,用于第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网;接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。
在其中一个实施例中,校验模块1202还用于第二网络设备包括第一功能设备与第二功能设备;第一功能设备接收认证请求,并将认证请求转发至第二功能设备;第二功能设备根据认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议通过预设算法生成第一认证向量;第二功能设备将第一认证向量发送至第一功能设备;第一功能设备从第一认证向量中确定预期响应参数,并根据预期响应参数与随机数融合得到预期响应的哈希值,并基于哈希值构建得到第二认证向量;根据第二认证向量生成认证参数响应,并发送至第一网络设备。
在其中一个实施例中,校验模块1202还用于认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识;根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;基于网络位置参数,构建得到第一认证向量。
在其中一个实施例中,校验模块1202还用于认证请求包括中继设备对应的设备位置参数以及中继设备对应的所在地网络标识;根据设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;基于哈希值与网络位置参数,构建得到第二认证向量。
在其中一个实施例中,响应模块1204还用于第一网络设备发送查询指令至第二网络设备,以使第二网络设备根据查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询;根据查询结果,确定中继设备的中继服务权限;当中继服务权限为无权限时,拒绝目标注册请求。
上述网络认证装置,通过第一网络设备响应于接收中继设备发送的目标注册请求,基于目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至第二网络设备,第二网络设备根据接收的认证请求中的用户设备标识,获取对应的签约信息,并根据签约信息确定对应的认证协议,根据认证协议生成认证参数响应,并发送至第一网络设备,第一网络设备从认证参数响应中确定目标认证参数,并基于目标认证参数,生成认证中间数据,并发送至中继设备,以使中继设备从认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,接收中继设备反馈的目标认证响应,根据目标认证响应对应的响应参数,对用户设备与中继设备进行认证,并认证结果发送至中继设备。从而实现在同一个认证过程中,完成用户设备与中继设备之间的认证以及中继设备与网络之间的认证,相比于现有技术中采用有别于蜂窝网络接入认证的额外机制,对其过程分别独立认证的方法而言,本申请的网络验证方法能够有效降低系统复杂度,提高网络认证的效率。
关于网络认证装置的具体限定可以参见上文中对于网络认证方法的限定,在此不再赘述。上述网络认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于通信设备中的处理器中,也可以以软件形式存储于通信设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,如图13所示,提供了一种网络认证装置,应用于中继设备,该装置可以采用软件模块或硬件模块,或者是二者的结合成为通信设备的一部分,该装置具体包括:收发模块1302、校验模块1304、认证模块1306,其中:
收发模块1302,用于接收用户设备发送的初始注册请求,初始注册请求包括用户设备的用户设备标识;基于初始注册请求生成目标注册请求,目标注册请求包括用户设备标识以及中继设备的中继设备标识;将目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据目标认证协议通过用户设备标识与中继设备标识生成对应的认证中间数据;
校验模块1304,用于接收核心网反馈的认证中间数据,基于从认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将目标参考认证数据发送至用户设备;接收用户设备基于目标参考认证数据反馈的初始认证响应,并根据初始认证响应对应的响应参数生成目标认证响应,并发送至核心网,以使核心网根据目标认证响应生成对应的响应参数,基于响应参数与认证中间数据中的目标参数对用户设备与中继设备进行认证,并向中继设备反馈认证结果;
认证模块1306,用于将核心网反馈的认证结果发送至用户设备,完成用户设备与中继设备之间以及用户设备与核心网之间的网络认证。
在其中一个实施例中,校验模块1304还用于目标参考数据包括随机参数与鉴权令牌参数;基于随机参数与鉴权令牌参数生成对应的目标参考认证数据;将目标参考认证数据发送至用户设备,以使用户设备根据3GPP标准规则,对目标参考认证数据中携带的鉴权令牌参数进行校验,并根据校验结果生成初始认证响应,并反馈至中继设备。
在其中一个实施例中,校验模块1304还用于将响应参数与随机数通过哈希函数计算得到响应中间参数;根据中间参数与随机数通过哈希函数计算得到校验参数;将校验参数与认证中间数据对应的目标校验参数进行比对,并基于响应参数与比对结果生成目标认证响应;将目标认证响应发送至核心网。
关于网络认证装置的具体限定可以参见上文中对于网络认证方法的限定,在此不再赘述。上述网络认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于通信设备中的处理器中,也可以以软件形式存储于通信设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种通信设备,该通信设备可以是服务器,其内部结构图可以如图14所示。该通信设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的数据库用于存储用户设备签约信息数据。该通信设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络认证方法
在一个实施例中,提供了一种通信设备,该通信设备可以是终端,其内部结构图可以如图15所示。该通信设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种网络认证方法。该通信设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该通信设备的输入装置可以是显示屏上覆盖的触摸层,也可以是通信设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图14与图15中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的通信设备的限定,具体的通信设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种通信设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (12)

1.一种网络认证方法,其特征在于,应用于核心网,所述核心网包括第一网络设备、第二网络设备,所述方法包括:
所述第一网络设备响应于接收中继设备发送的目标注册请求,基于所述目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至所述第二网络设备;
所述第二网络设备根据接收的所述认证请求中的用户设备标识,获取对应的签约信息,并根据所述签约信息确定对应的认证协议,根据所述认证协议生成认证参数响应,并发送至所述第一网络设备;
所述第一网络设备从所述认证参数响应中确定目标认证参数,并基于所述目标认证参数,生成认证中间数据,并发送至中继设备,以使所述中继设备从所述认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于所述目标参考认证数据反馈的初始认证响应,并根据所述初始认证响应对应的响应参数生成目标认证响应,并发送至所述核心网;
接收中继设备反馈的目标认证响应,根据所述目标认证响应对应的响应参数,对用户设备与所述中继设备进行认证,并认证结果发送至所述中继设备。
2.根据权利要求1所述的方法,其特征在于,所述第二网络设备根据接收的所述认证请求中的用户设备标识,获取对应的签约信息,并根据所述签约信息确定对应的认证协议,根据所述认证协议生成认证参数响应,并发送至所述第一网络设备,包括:
所述第二网络设备包括第一功能设备与第二功能设备;
所述第一功能设备接收所述认证请求,并将所述认证请求转发至所述第二功能设备;
所述第二功能设备根据所述认证请求中的用户设备标识,获取对应的签约信息,并根据所述签约信息确定对应的认证协议,根据所述认证协议通过预设算法生成第一认证向量;
所述第二功能设备将所述第一认证向量发送至所述第一功能设备;
所述第一功能设备从所述第一认证向量中确定预期响应参数,并根据所述预期响应参数与随机数融合得到所述预期响应的哈希值,并基于所述哈希值构建得到第二认证向量;
根据所述第二认证向量生成认证参数响应,并发送至所述第一网络设备。
3.根据权利要求2所述的方法,其特征在于,所述第二功能设备根据所述认证请求中的用户设备标识,获取对应的签约信息,并根据所述签约信息确定对应的认证协议,根据所述认证协议通过预设算法生成第一认证向量,包括:
所述认证请求包括所述中继设备对应的设备位置参数以及所述中继设备对应的所在地网络标识;
根据所述设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;
基于所述网络位置参数,构建得到第一认证向量。
4.根据权利要求2所述的方法,其特征在于,所述第一功能设备从所述第一认证向量中确定预期响应参数,并根据所述预期响应参数与随机数融合得到所述预期响应的哈希值,并基于所述哈希值构建得到第二认证向量,包括:
所述认证请求包括所述中继设备对应的设备位置参数以及所述中继设备对应的所在地网络标识;
根据所述设备位置参数以及所在地网络标识的逻辑运算,得到网络位置参数;
基于所述哈希值与所述网络位置参数,构建得到第二认证向量。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一网络设备发送查询指令至所述第二网络设备,以使所述第二网络设备根据所述查询指令,对目标注册请求中的中继设备标识对应的签约信息进行查询;
根据查询结果,确定所述中继设备的中继服务权限;
当所述中继服务权限为无权限时,拒绝所述目标注册请求。
6.一种网络认证方法,其特征在于,应用于中继设备,所述方法包括:
接收用户设备发送的初始注册请求,所述初始注册请求包括所述用户设备的用户设备标识;
基于所述初始注册请求生成目标注册请求,所述目标注册请求包括所述用户设备标识以及所述中继设备的中继设备标识;
将所述目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据所述目标认证协议通过用户设备标识与所述中继设备标识生成对应的认证中间数据;
接收所述核心网反馈的认证中间数据,基于从所述认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将所述目标参考认证数据发送至所述用户设备;
接收用户设备基于所述目标参考认证数据反馈的初始认证响应,并根据所述初始认证响应对应的响应参数生成目标认证响应,并发送至所述核心网,以使所述核心网根据所述目标认证响应生成对应的响应参数,基于所述响应参数与所述认证中间数据中的目标参数对所述用户设备与所述中继设备进行认证,并向所述中继设备反馈认证结果;
将所述核心网反馈的认证结果发送至所述用户设备,完成所述用户设备与所述中继设备之间以及所述用户设备与所述核心网之间的网络认证。
7.根据权利要求6所述的方法,其特征在于,所述接收所述核心网反馈的认证中间数据,基于从所述认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将所述目标参考认证数据发送至所述用户设备,包括:
所述目标参考数据包括随机参数与鉴权令牌参数;
基于所述随机参数与所述鉴权令牌参数生成对应的目标参考认证数据;
将所述目标参考认证数据发送至所述用户设备,以使所述用户设备根据3GPP标准规则,对所述目标参考认证数据中携带的鉴权令牌参数进行校验,并根据校验结果生成初始认证响应,并反馈至所述中继设备。
8.根据权利要求6所述的方法,其特征在于,所述接收用户设备基于所述目标参考认证数据反馈的初始认证响应,并根据所述初始认证响应对应的响应参数生成目标认证响应,并发送至所述核心网,包括:
将所述响应参数与随机数通过哈希函数计算得到响应中间参数;
根据所述中间参数与随机数通过哈希函数计算得到校验参数;
将所述校验参数与所述认证中间数据对应的目标校验参数进行比对,并基于响应参数与比对结果生成目标认证响应;
将所述目标认证响应发送至所述核心网。
9.一种网络认证装置,其特征在于,应用于核心网,所述核心网包括第一网络设备、第二网络设备,所述装置包括:
校验模块,用于所述第一网络设备响应于接收中继设备发送的目标注册请求,基于所述目标注册请求中携带的用户设备标识与中继设备标识生成认证请求,并发送至所述第二网络设备;所述第二网络设备根据接收的所述认证请求中的用户设备标识,获取对应的签约信息,并根据所述签约信息确定对应的认证协议,根据所述认证协议生成认证参数响应,并发送至所述第一网络设备;
响应模块,用于所述第一网络设备从所述认证参数响应中确定目标认证参数,并基于所述目标认证参数,生成认证中间数据,并发送至中继设备,以使所述中继设备从所述认证中间数据中选取目标参考数据,生成对应的目标参考认证数据,并基于接收用户设备基于所述目标参考认证数据反馈的初始认证响应,并根据所述初始认证响应对应的响应参数生成目标认证响应,并发送至所述核心网;接收中继设备反馈的目标认证响应,根据所述目标认证响应对应的响应参数,对用户设备与所述中继设备进行认证,并认证结果发送至所述中继设备。
10.一种网络认证装置,其特征在于,应用于中继设备,所述装置包括:
收发模块,用于接收用户设备发送的初始注册请求,所述初始注册请求包括所述用户设备的用户设备标识;基于所述初始注册请求生成目标注册请求,所述目标注册请求包括所述用户设备标识以及所述中继设备的中继设备标识;将所述目标注册请求发送至核心网,以使核心网基于用户设备标识对应的签约信息确定目标认证协议,根据所述目标认证协议通过用户设备标识与所述中继设备标识生成对应的认证中间数据;
校验模块,用于接收所述核心网反馈的认证中间数据,基于从所述认证中间数据中选取的目标参考数据,生成对应的目标参考认证数据,并将所述目标参考认证数据发送至所述用户设备;接收用户设备基于所述目标参考认证数据反馈的初始认证响应,并根据所述初始认证响应对应的响应参数生成目标认证响应,并发送至所述核心网,以使所述核心网根据所述目标认证响应生成对应的响应参数,基于所述响应参数与所述认证中间数据中的目标参数对所述用户设备与所述中继设备进行认证,并向所述中继设备反馈认证结果;
认证模块,用于将所述核心网反馈的认证结果发送至所述用户设备,完成所述用户设备与所述中继设备之间以及所述用户设备与所述核心网之间的网络认证。
11.一种通信设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述的方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任一项所述的方法的步骤。
CN202310774069.9A 2023-06-27 2023-06-27 网络认证方法、装置、通信设备及计算机可读存储介质 Pending CN116709322A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202310774069.9A CN116709322A (zh) 2023-06-27 2023-06-27 网络认证方法、装置、通信设备及计算机可读存储介质
PCT/CN2023/142056 WO2025001010A1 (zh) 2023-06-27 2023-12-26 网络认证方法、装置、通信设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310774069.9A CN116709322A (zh) 2023-06-27 2023-06-27 网络认证方法、装置、通信设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN116709322A true CN116709322A (zh) 2023-09-05

Family

ID=87840984

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310774069.9A Pending CN116709322A (zh) 2023-06-27 2023-06-27 网络认证方法、装置、通信设备及计算机可读存储介质

Country Status (2)

Country Link
CN (1) CN116709322A (zh)
WO (1) WO2025001010A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025001010A1 (zh) * 2023-06-27 2025-01-02 中国电信股份有限公司 网络认证方法、装置、通信设备及计算机可读存储介质
WO2025094204A1 (en) * 2023-11-04 2025-05-08 Jio Platforms Limited System and method for authenticating a user equipment
WO2025138211A1 (zh) * 2023-12-29 2025-07-03 Oppo广东移动通信有限公司 通信方法和设备
WO2025201244A1 (zh) * 2024-03-25 2025-10-02 华为技术有限公司 切换方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012028010A1 (zh) * 2010-09-03 2012-03-08 中兴通讯股份有限公司 认证方法、装置及系统
WO2018086452A1 (zh) * 2016-11-14 2018-05-17 中兴通讯股份有限公司 终端鉴权、终端状态切换、下行数据投递方法及装置
CN112911583A (zh) * 2017-07-11 2021-06-04 华为技术有限公司 设备接入方法、设备及系统
CN114286342A (zh) * 2021-12-20 2022-04-05 中国电信股份有限公司 认证方法、系统、电子设备和计算机可读存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020007461A1 (en) * 2018-07-04 2020-01-09 Telefonaktiebolaget Lm Ericsson (Publ) Authentication and key agreement between a network and a user equipment
CN112087753B (zh) * 2019-06-14 2021-12-03 华为技术有限公司 认证的方法、装置及系统
WO2021230867A1 (en) * 2020-05-13 2021-11-18 Nokia Technologies Oy Authentication and authorization for user equipment (ue)-to-network relaying
CN116709322A (zh) * 2023-06-27 2023-09-05 中国电信股份有限公司 网络认证方法、装置、通信设备及计算机可读存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012028010A1 (zh) * 2010-09-03 2012-03-08 中兴通讯股份有限公司 认证方法、装置及系统
WO2018086452A1 (zh) * 2016-11-14 2018-05-17 中兴通讯股份有限公司 终端鉴权、终端状态切换、下行数据投递方法及装置
CN112911583A (zh) * 2017-07-11 2021-06-04 华为技术有限公司 设备接入方法、设备及系统
CN114286342A (zh) * 2021-12-20 2022-04-05 中国电信股份有限公司 认证方法、系统、电子设备和计算机可读存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025001010A1 (zh) * 2023-06-27 2025-01-02 中国电信股份有限公司 网络认证方法、装置、通信设备及计算机可读存储介质
WO2025094204A1 (en) * 2023-11-04 2025-05-08 Jio Platforms Limited System and method for authenticating a user equipment
WO2025138211A1 (zh) * 2023-12-29 2025-07-03 Oppo广东移动通信有限公司 通信方法和设备
WO2025201244A1 (zh) * 2024-03-25 2025-10-02 华为技术有限公司 切换方法及装置

Also Published As

Publication number Publication date
WO2025001010A1 (zh) 2025-01-02

Similar Documents

Publication Publication Date Title
CN116709322A (zh) 网络认证方法、装置、通信设备及计算机可读存储介质
US10805085B1 (en) PKI-based user authentication for web services using blockchain
US11451531B2 (en) Certificate obtaining method, authentication method, and network device
CN113966625A (zh) 用于核心网络域中的证书处理的技术
US20230222491A1 (en) Systems and methods for transfer of non-fungible assets across multiple blockchain systems
WO2019041809A1 (zh) 基于服务化架构的注册方法及装置
WO2022193984A1 (zh) 跨链进行数据传输的方法、装置、计算机设备、存储介质和计算机程序产品
US20210192084A1 (en) Certification and validation of data files issued by an architect or engineer
WO2021159606A1 (zh) 基于区块链的组织节点上链方法和系统
WO2009133419A1 (en) Method, apparatus, and computer program product for providing a group based decentralized authorization mechanism
WO2019056971A1 (zh) 一种鉴权方法及设备
WO2020025056A1 (zh) 安全认证方法、装置和系统,移动终端
CN115277010B (zh) 身份认证方法、系统、计算机设备和存储介质
CN107205208A (zh) 鉴权的方法、终端和服务器
CN115086005B (zh) 多系统之间的电子签章互签方法和系统、电子设备和存储介质
TW202240445A (zh) 可將取用訊標由區塊鏈子系統移轉給資料請求者裝置的去中心化資料授權控管系統
CN113612780B (zh) 证书请求、生成、接入方法、装置、通信设备及介质
CN114553440A (zh) 基于区块链和属性签名的跨数据中心身份认证方法及系统
CN114650182B (zh) 身份认证方法、系统、装置、网关设备、设备和终端
WO2025025489A1 (zh) 边缘资源池的访问控制方法、装置、系统和通信设备
CN114666154B (zh) 设备通信方法、装置、网关、设备、系统、介质和产品
KR100772877B1 (ko) 디바이스 상호간 계층적 연결 장치 및 방법
US20180103032A1 (en) Authorization of Computing Devices Using Cryptographic Action Tokens
CN117082504A (zh) 一种密钥生成方法及装置、网络设备
WO2021136511A1 (zh) 一种通信方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination