Nothing Special   »   [go: up one dir, main page]

CN114697963B - 终端的身份认证方法、装置、计算机设备和存储介质 - Google Patents

终端的身份认证方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN114697963B
CN114697963B CN202210320700.3A CN202210320700A CN114697963B CN 114697963 B CN114697963 B CN 114697963B CN 202210320700 A CN202210320700 A CN 202210320700A CN 114697963 B CN114697963 B CN 114697963B
Authority
CN
China
Prior art keywords
terminal
authentication
network
information
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210320700.3A
Other languages
English (en)
Other versions
CN114697963A (zh
Inventor
曹扬
陶文伟
付志博
王健
连晨
冯国聪
余芸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202210320700.3A priority Critical patent/CN114697963B/zh
Publication of CN114697963A publication Critical patent/CN114697963A/zh
Application granted granted Critical
Publication of CN114697963B publication Critical patent/CN114697963B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请涉及一种终端的身份认证方法、装置、计算机设备、存储介质和计算机程序产品。所述方法包括:接收终端发送的接入请求,接入请求包括核心网对终端进行第一级身份认证得到的第一认证结果,若第一认证结果为认证通过,则向终端发送可扩展身份验证协议请求,并接收终端发送的可扩展身份验证协议响应,并根据终端的身份认证信息对终端进行第二级身份认证,其中,可扩展身份验证协议响应包括身份认证信息,从而在第二级身份认证通过的情况下,向终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由终端基于认证通过结果,利用数据通道接入目标电力网络。采用本方法能够满足电力行业的安全性需求。

Description

终端的身份认证方法、装置、计算机设备和存储介质
技术领域
本申请涉及通信技术领域,特别是涉及一种终端的身份认证方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
终端在接入到移动通信网络之前需要对终端进行身份认证以验证终端的身份合法性。
目前,若移动通信网络的核心网对终端进行身份认证通过,则允许终端接入到终端期望接入到的目标网络中。
然而,传统的终端的身份认证方式,存在无法满足电力行业的安全性需求的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够满足电力行业的安全性需求的终端的身份认证方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种终端的身份认证方法。所述方法包括:
接收该终端发送的接入请求,该接入请求包括核心网对该终端进行第一级身份认证得到的第一认证结果;
若该第一认证结果为认证通过,则向该终端发送可扩展身份验证协议请求;
接收该终端发送的可扩展身份验证协议响应,并根据该终端的身份认证信息对该终端进行第二级身份认证,其中,该可扩展身份验证协议响应包括该身份认证信息;
在第二级身份认证通过的情况下,向该终端发送认证通过结果,并建立UPF 网元与目标电力网络之间的数据通道,以由该终端基于该认证通过结果,利用该数据通道接入该目标电力网络。
在其中一个实施例中,所述方法还包括:
在该第二级身份认证未通过的情况下,向该终端发送认证未通过结果,并阻断该数据通道,以禁止该终端利用该数据通道接入该目标电力网络。
在其中一个实施例中,接收该终端发送的可扩展身份验证协议响应,并根据该终端的身份认证信息对该终端进行第二级身份认证,包括:
通过认证单元接收该终端发送的可扩展身份验证协议响应,并根据该用户识别卡信息、国际移动设备识别码信息以及该终端的芯片信息,对该终端进行第二级身份认证,其中,该身份认证信息包括该用户识别卡信息、国际移动设备识别码信息以及该终端的芯片信息。
在其中一个实施例中,接收该终端发送的接入请求,包括:
通过会话管理单元接收该接入请求;
该若该认证结果为认证通过,则向该终端发送可扩展身份验证协议请求,包括:若该接入请求中的该认证结果为认证通过,则通过该会话管理单元向该认证单元发送认证请求,以由该认证单元向该终端发送该可扩展身份验证协议请求。
在其中一个实施例中,该接入请求还包括目标切片网络对该终端进行身份认证的第二认证结果,该若该第一认证结果为认证通过,则向该终端发送可扩展身份验证协议请求,包括:
若该第一认证结果和该第二认证结果均为认证通过,则向该终端发送可扩展身份验证协议请求。
在其中一个实施例中,该核心网对该终端进行第一级身份认证,包括:
该核心网接收该终端发送的注册请求,其中,该注册请求包括该终端的终端标识;
若该核心网中存在该终端标识对应的终端安全上下文信息,则确定该第一认证结果为认证通过,并向该终端发送注册响应,其中,该注册响应用于指示该终端接入该核心网。
在其中一个实施例中,该注册请求还包括该终端的服务网络的标识,所述方法还包括:
若该核心网中不存在该终端标识对应的终端安全上下文信息,则判断该核心网中是否存在该服务网络的标识;
若该核心网中存在该服务网络的标识,则确定该第一认证结果为认证通过,并向该终端发送验证信息,以由该终端基于该验证信息接入该核心网。
第二方面,本申请还提供了一种终端的身份认证装置。所述装置包括:
第一接收模块,用于接收该终端发送的接入请求,该接入请求包括核心网对该终端进行第一级身份认证得到的第一认证结果;
第一发送模块,用于若该第一认证结果为认证通过,则向该终端发送可扩展身份验证协议请求;
第二接收模块,用于接收该终端发送的可扩展身份验证协议响应,并根据该终端的身份认证信息对该终端进行第二级身份认证,其中,该可扩展身份验证协议响应包括该身份认证信息;
第二发送模块,用于在第二级身份认证通过的情况下,向该终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由该终端基于该认证通过结果,利用该数据通道接入该目标电力网络。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任一方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任一方法的步骤。
上述终端的身份认证方法、装置、计算机设备、存储介质和计算机程序产品,接收该终端发送的接入请求,该接入请求包括核心网对该终端进行第一级身份认证得到的第一认证结果,若该第一认证结果为认证通过,则向该终端发送可扩展身份验证协议请求,并接收该终端发送的可扩展身份验证协议响应,并根据该终端的身份认证信息对该终端进行第二级身份认证,其中,该可扩展身份验证协议响应包括该身份认证信息,从而在第二级身份认证通过的情况下,向该终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由该终端基于该认证通过结果,利用该数据通道接入该目标电力网络。传统方法中,终端如果想要接入目标电力网络,只需要核心网对终端进行身份认证,终端就可以通过核心网接入到目标电力网络中。而本申请提供的方法中,在核心网对终端进行第一级身份认证的基础上,服务器还要基于第一级身份认证得到的第一认证结果,再进行第二级身份认证,从而在第二级身份认证通过的情况下,终端才能利用数据通道接入目标电力网络。因此,即使非授权用户攻击终端和核心网的身份验证过程,非授权用户也不能够接入目标电力网络,从而提高了目标电力网络的安全性,满足电力行业的安全性需求。
附图说明
图1为传统方法中终端接入目标电力网络的示意图;
图2为本申请实施例中终端的身份认证方法的应用环境图;
图3为本申请实施例中终端的身份认证方法的流程示意图;
图4为本申请实施例中一种发送可扩展身份验证协议请求的流程示意图;
图5为第二级身份认证的交互示意图;
图6为本申请实施例中一种发送注册响应的流程示意图;
图7为本申请实施例中一种接入核心网的流程示意图;
图8为第一级身份认证的交互示意图;
图9为本申请实施例中整体认证的交互示意图;
图10为本申请实施例中终端接入目标电力网络的示意图;
图11为本申请实施例中终端的身份认证装置的结构框图;
图12为本申请实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图1为传统方法中终端接入目标电力网络的示意图,如图1所示,传统方法中,终端如果想要接入目标电力网络,只需要核心网对终端进行身份认证,从而终端就可以通过核心网接入到目标电力网络中。其中,核心网可以是基础电信运营商核心网。传统的方法中,终端和核心网的身份验证过程容易遭受攻击,一旦身份验证过程中的信息被截取,非授权用户或网络就通过截取道德身份验证信息接入目标电力网络,或者绕过双向认证过程,实现欺骗接入,导致发生窃取敏感信息、消耗网络资源、网络拒绝服务等安全问题。同时,电力行业在设计组网架构时由于实际的应用需要,引入了网络切片技术。网络切片技术指将一个物理网络分割成多个虚拟的端到端网络,每个虚拟网络之间逻辑独立,用不同的网络切片为不同的行业用户提供服务。因此,电力行业中也存在切片网络的安全性需求。故而,传统的终端身份认证方式无法满足电力行业的安全性需求。基于此,有必要针对上述技术问题,提供一种能够满足电力行业的安全性需求的终端的身份认证方法。
图2为本申请实施例中终端的身份认证方法的应用环境图,本申请实施例提供的终端的身份认证方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
图3为本申请实施例中终端的身份认证方法的流程示意图,该方法可以应用于图2所示的服务器中,在一个实施例中,如图3所示,包括以下步骤:
S301,接收终端发送的接入请求,接入请求包括核心网对终端进行第一级身份认证得到的第一认证结果。
在本实施例中,终端在接入核心网时,核心网会对终端进行第一级身份认证,并得到第一认证结果,并将第一认证结果发送给终端。进而终端再向服务器发送接入请求,接入请求包括核心网对终端进行第一级身份认证得到的第一认证结果,该接入请求用于终端接入到目标电力网络中。
S302,若第一认证结果为认证通过,则向终端发送可扩展身份验证协议请求。
在本实施例中,服务器接收到接入请求后,如果接入请求中的第一认证结果为认证通过,则服务器向终端发送可扩展身份验证协议(可扩展身份验证协议(Extensibleauthentication protocol,EAP)请求。
S303,接收终端发送的可扩展身份验证协议响应,并根据终端的身份认证信息对终端进行第二级身份认证,其中,可扩展身份验证协议响应包括身份认证信息。
在本实施例中,终端接收到服务器发送的EAP请求后,会根据EAP请求返回给服务器一个EAP响应,从而服务器接收终端发送的EAP响应。其中,EAP 相应中包括身份认证信息,身份认证信息是用于验证终端身份合法性的身份认证信息,可以是终端的证书信息,也可以终端生成的密钥信息,本实施例不做限制。
进一步的,服务器根据终端的身份认证信息对终端进行第二级身份认证,例如,第二级身份认证可以是证书验证、密钥验证等多种认证方式中的至少一种。
S304,在第二级身份认证通过的情况下,向终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由终端基于认证通过结果,利用数据通道接入目标电力网络。
在本实施例中,服务器根据终端的身份认证信息对终端进行第二级身份认证后,会得到第二级身份认证的结果,服务器在第二级身份认证通过的情况下,向终端发送认证通过结果,并建立用户面功能(User Plane Function,UPF)网元与目标电力网络之间的数据通道,例如服务器建立用户的80端口到目标电力网络之间的数据通道,以由终端基于认证通过结果,利用数据通道接入目标电力网络。其中,UPF网元可以是终端上的一个虚拟网络端口,本实施例对UPF 网元的具体形式和内容不做限制,只要能实现功能即可。
本实施例提供的终端的身份认证方法,接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果,若所述第一认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,并接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息,从而在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络。传统方法中,终端如果想要接入目标电力网络,只需要核心网对终端进行身份认证,终端就可以通过核心网接入到目标电力网络中。而本申请提供的方法中,在核心网对终端进行第一级身份认证的基础上,服务器还要基于第一级身份认证得到的第一认证结果,再进行第二级身份认证,从而在第二级身份认证通过的情况下,终端才能利用数据通道接入目标电力网络。因此,即使非授权用户攻击终端和核心网的身份验证过程,非授权用户也不能够接入目标电力网络,从而提高了目标电力网络的安全性,满足电力行业的安全性需求。
可选的,上述的终端的身份认证方法还包括如下步骤:
在第二级身份认证未通过的情况下,向终端发送认证未通过结果,并阻断数据通道,以禁止终端利用数据通道接入目标电力网络。
在本实施例中,服务器在第二级身份认证未通过的情况下,向终端发送认证未通过结果,并阻断数据通道,以禁止终端利用数据通道接入目标电力网络。其中一种可行的方式是,服务器禁止终端上所有的端口建立与目标电力网络之间的数据通道,进而服务器无法接入目标电力网络。
本实施例中服务器在第二级身份认证未通过的情况下,向终端发送认证未通过结果,并阻断数据通道,以禁止终端利用数据通道接入目标电力网络。因此,在第二级身份认证未通过的情况下终端无法接入目标电力网络,提高了目标电力网络的安全性。
可选的,上述的S303可以通过如下方式实现:
通过认证单元接收终端发送的可扩展身份验证协议响应,并根据用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息,对终端进行第二级身份认证,其中,身份认证信息包括用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息。
在本实施例中,服务器通过认证单元接收终端发送的EAP相应。其中,认证单元可以是集成在该服务器上的功能,也可以单独部署。EAP响应中包括用户识别卡信息、国际移动设备识别码信息(International Mobile Equipment Identity, IMEI)以及终端的芯片信息。其中,用户识别(Subscriber Identity Module,SIM) 卡信息可以是国际移动用户识别码(International Mobile Subscriber Identity, IMSI)。终端的芯片信息可以是终端的安全芯片信息,例如是安全芯片加密时的密钥。
服务器基于根据终端的SIM卡信息、IMEI信息以及终端的芯片信息,对终端进行第二级身份认证,例如服务器内存储第一列表,第一列表中包括够访问目标电力网络的IMSI列表、IMEI列表和芯片信息列表,服务器判断终端发送的IMSI信息、IMEI信息和芯片信息是否存在于存储的第一列表中,如果IMSI 信息、IMEI信息和芯片信息均存在于第一列表中,才会第二级身份认证通过。
本实施例中通过认证单元接收终端发送的可扩展身份验证协议响应,并根据用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息,对终端进行第二级身份认证,其中,身份认证信息包括用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息。由于不同的终端用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息不同,因此服务器能够基于用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息对终端进行第二级身份认证,进而提高目标电力网络的安全性。
图4为本申请实施例中一种发送可扩展身份验证协议请求的流程示意图,参照图4,本实施例涉及的是如何发送可扩展身份验证协议请求的一种可选的实现方式。在上述实施例的基础上,上述的终端的身份认证方法包括如下步骤:
S401,通过会话管理单元接收接入请求。
在本实施例中,可以是通过会话管理单元接收终端发送的接入请求。其中,会话管理单元可以是集成在该服务器上的功能,也可以单独部署。可以理解的是,会话管理单元、认证单元均可以继承在服务器上,也可以均和服务器分开部署。
S402,若接入请求中的认证结果为认证通过,则通过会话管理单元向认证单元发送认证请求,以由认证单元向终端发送可扩展身份验证协议请求。
在本实施例中,会话管理单元接收终端发送的接入请求,并对接入请求中的第一认证结果进行判断,若接入请求中的认证结果为认证通过,则通过会话管理单元向认证单元发送认证请求,以由认证单元向终端发送EAP请求。可以理解的是,认证请求是为了触发认证单元向终端发送EAP请求。本实施例对认证请求的内容和形式不做限制。
本实施例通过会话管理单元接收接入请求,若接入请求中的认证结果为认证通过,则通过会话管理单元向认证单元发送认证请求,以由认证单元向终端发送可扩展身份验证协议请求。由于会话管理单元和认证单元分别进行接收接入请求和发送EAP请求,因此进一步提高了终端的身份认证过程的安全性。
可选的,接入请求还包括目标切片网络对终端进行身份认证的第二认证结果,上述的S302还可以通过如下方式实现:
若第一认证结果和第二认证结果均为认证通过,则向终端发送可扩展身份验证协议请求。
在本实施例中,终端在接入核心网后,还需要接入到目标切片网络中。一种实现的方式是,终端接入到核心网后,再向目标切片网络发起切片接入请求,目标切片网络接收到终端发送的切片接入请求后,对终端进行身份验证,从而得到切片接入请求的第二认证结果。具体地,目标切片网络对终端进行身份认证,可以使通过核心网对终端接入的目标切片网络进行认证,保证合法用户接入指定的合法目标切片网络。5G的目标切片网络的网络切片选择支撑信息 (Network Slice Selection Assistance Information,NSSAI)在整个通信传输过程中是加密保护的,以防止泄露导致信息泄露,NSSAI的机密性保护由运营商控制。
进而,终端向服务器发送接入请求时,接入请求包括第一认证结果和第二认证结果。服务器接收到接入请求后,如果接入请求中的第一认证结果和第二认证结果均为认证通过,则服务器才会向终端发送EAP请求。也就是说,第一认证结果和第二认证结果中的任何一个结果失败,服务器均不会向终端发送 EAP请求,也不会进行第二级身份认证,从而不能接入目标电力网络。
本实施例中接入请求还包括目标切片网络对终端进行身份认证的第二认证结果,若第一认证结果和第二认证结果均为认证通过,则向终端发送可扩展身份验证协议请求,进一步地提高身份认证过程的安全性。
为了对本申请的第二级身份认证进行充分地解释,在此结合图5进行说明。图5为第二级身份认证的交互示意图。如图5所示,如步骤1,终端首先向会话管理单元发送接入请求,接入请求包括核心网对终端进行第一级身份认证得到的第一认证结果和目标切片网络对所述终端进行身份认证的第二认证结果。会话管理单元根据接收到的接入请求判断是否向认证单元发起认证请求,如步骤2。若接入请求中的第一认证结果和第二认证结果均为认证通过,则会话管理单元向认证单元发送认证请求,如步骤3.1。若接入请求中的第一认证结果和第二认证结果只要存在认证不通过,则会话管理单元不会向认证单元发送认证请求,而是直接向终端返回第二级身份认证失败的结果,如步骤3.2。在会话管理单元向认证单元发送认证请求后,认证单元接收该认证请求并向终端发送EAP请求,如步骤4。终端接收EAP请求,并根据EAP请求向认证单元返回EAP响应,如步骤5。进而认证单元接收终端发送的EAP响应,并根据终端的身份认证信息对终端进行第二级身份认证,得到第二级身份认证结果并向终端发送该结果,如步骤6。
其中,会话管理单元和认证单元可以均部署在一个服务器上,也可以分别部署在多个服务器上。具体地,认证单元可以是数据网络认证、授权与计费(Data Network-Authentication Authorization Accounting,DN-AAA)服务器,会话管理单元可以是会话管理功能(Session Management Function,SMF)网元。
图6为本申请实施例中一种发送注册响应的流程示意图,参照图6,本实施例涉及的是如何发送注册响应的一种可选的实现方式。在上述实施例的基础上,上述的核心网对终端进行第一级身份认证,包括如下步骤:
S601,核心网接收终端发送的注册请求,其中,注册请求包括终端的终端标识。
在本实施例中,终端向核心网发起注册请求,从而核心网接收到终端发送的注册请求,注册请求中包括终端的终端标识。其中,终端标识可以是数字和/ 或字母,本实施例不做限制。需要说明的是,终端标识是唯一的,不同终端的终端标识不同。
S602,若核心网中存在终端标识对应的终端安全上下文信息,则确定第一认证结果为认证通过,并向终端发送注册响应,其中,注册响应用于指示终端接入核心网。
在本实施例中,核心网对不同的终端进行身份验证,对于身份验证成功的终端在一定的预设时间内会存储该终端安全上下文信息,终端安全上下文信息可以是密钥信息、证书信息等。若核心网存在终端标识对应的终端安全上下文信息,则核心网认为该终端无需再进行身份验证,从而核心网直接向终端发送注册响应,以使终端通过注册响应接入核心网。其中,注册信息可以是终端登录核心网的用户名密码,本实施例不做限制。需要说明的是,一般情况下核心网会单独部署在其他服务器上。
本实施例中核心网接收终端发送的注册请求,其中,注册请求包括终端的终端标识和终端的服务网络的标识,若核心网中存在终端标识对应的终端安全上下文信息,则确定第一认证结果为认证通过,并向终端发送注册响应,其中,注册响应用于指示终端接入核心网。由于核心网中存在终端标识对应的终端安全上下文信息时,则说明短时间内终端无需再进行身份认证,进而提高了身份认证过程的效率。
图7为本申请实施例中一种接入核心网的流程示意图,参照图5,本实施例涉及的是如何接入核心网的一种可选的实现方式。在上述实施例的基础上,上述的核心网对终端进行第一级身份认证,包括如下步骤:
S701,若核心网中不存在终端标识对应的终端安全上下文信息,则判断核心网中是否存在服务网络的标识。
在本实施例中,注册请求中还包括终端的服务网络的标识,服务网络的标识可以是终端的服务网络名称,可以理解的是,不同的终端的服务网络的标识不同。若核心网中不存在终端标识对应的终端安全上下文信息,则核心网进一步判断核心网中是否存在服务网络的标识。一种可以实现的方式是,核心网中存储了预设的第一服务网络标识列表,第一服务网络标识列表包括服务网络标识1、服务网络标识2、……服务网络标识N,N是大于等于0的整数,第一服务网络标识列表可以定期更新。
S702,若核心网中存在服务网络的标识,则确定第一认证结果为认证通过,并向终端发送验证信息,以由终端基于验证信息接入核心网。
在本实施例中,若注册请求中包括的终端的服务网络的标识存在于第一服务网络标识列表中,即核心网中存在服务网络的标识,则核心网向终端发送注册响应,以由终端基于注册响应接入核心网,此种情况下,第一级身份认证结果为通过。其中,验证信息可以是登陆和核心网的账号密码,也可以是核心网基于挑战应答认证机制(challenge-responseauthentication mechanism,CRAM) 向终端发出密码。若注册请求中包括的终端的服务网络的标识不存在于第一服务网络标识列表中,核心网不会向终端发送注册响应,此种情况下,第一级身份认证结果为不通过。进一步地,终端还会接收到核心网发送的第一级身份认证的结果。
本实施例中,若核心网中不存在终端标识对应的终端安全上下文信息,则判断核心网中是否存在服务网络的标识,进一步地,若核心网中存在服务网络的标识,则确定第一认证结果为认证通过,并向终端发送验证信息,以由终端基于验证信息接入核心网。由于服务器根据终端的服务网络标识,进而再想终端发送验证信息,进一步提高了身份认证过程的安全性。
为了对本申请的第一级身份认证进行充分地解释,在此结合图8进行说明。图8为第一级身份认证的交互示意图。如图8所示,如步骤1,终端首先向核心网发送注册请求,例如格式为registration request。核心网中的第一节点接收到注册请求,进而如步骤2,第一节点根据注册请求中的终端标识判断是否存在终端标识对应终端安全上下文信息。如果第一节点判断存在对应的终端安全上下文信息,如步骤3.2,第一节点向终端发送注册响应,从而终端根基注册响应接入核心网。如果第一节点判断不存在对应的终端安全上下文信息,如步骤3.1,第一节点向第二节点发送第二节点调用请求,例如格式为 Nausf_UEAuthentications,从而第二节点判断是否存在终端的服务网络的标识,如步骤4。如果第二节点判断存在终端的服务网络的标识,则第二节点向第三节点发送第三节点调用请求,例如格式为Nudm_Authentication_Get_Request,如步骤5.2。从而第三节点确定终端的验证信息,并向第二节点返回该验证信息,例如格式为Nudm_Authentication_Get_Response。
第二节点接收到该验证信息后向第一节点发送该验证信息,例如格式为 Nausf_Authentications_authenticate_Response。第一节点接收到该验证信息后向终端返回该验证信息,例如格式为Authentication_Response。以由终端基于验证信息接入核心网,如步骤6~步骤8。如果第二节点判断不存在终端的服务网络的标识,则第二级身份认证失败,从而第二节点将第二级身份认证的结果返回给第一节点,进一步地,第一节点将该第二级身份认证的结果返回给终端。其中,第一节点是接入和移动管理功能(Access andMobility Management Function, AMF)网元;第二节点是身份验证服务器功能(Authentication Server Function, AUSF)网元;第三节点是统一数据管理功能(UnifiedData Management,UDM) 网元。第一节点、第二节点和第三节点可以分别部署在不同的服务器上,也可以部署在同一个服务器上。
图9为本申请实施例中整体认证的交互示意图,如图9所示,5G电力终端例如5G手机想要接入到目标电力网络例如为电力应用中。首先,5G电力终端携带该终端对应的电力因子向核心网发起注册请求,核心网对5G电力终端进行第一级身份认证后,5G电力终端会得到第一级身份认证的第一认证结果。进而 5G电力终端向目标切片网络发起接入请求,目标切片网络对电力终端进行身份认证,得到第二认证结果。此时终端接入了目标切片网络中,如果需要访问电力应用,则会向目标电力网络(电力应用)发送接入请求,该接入请求中包括第认证结果和第二认证结果。会话管理单元接收到该接入请求,并根据接入请求中的第一认证结果和第二认证结果决定是否进行第二级身份认证。其中,电力因子是带有5G模组的5G电力终端中预先设置的信息,用于后续的电力因子验证,终端中的电力因子可以是一个,也可以是多个,不同的终端中的各电力因子不同。
如果第一认证结果或者第二认证结果中存在不通过,则会话管理单元直接判断第二级身份认证失败,向5G电力终端发送认证未通过结果,并阻断UPF 和电力应用之间的数据通道,以禁止5G电力终端利用数据通道接入目标电力网络。如果第一认证结果或者第二认证结果中均为通过,则会话管理单元直接向认证单元发送认证请求,以由认证单元向终端发送EAP请求,进而终端返回EAP 响应。认证单元基于EAP响应向对5G电力终端的身份认证信息进行认证。其中,认证单元集成了电力可信管理认证系统和电力监测系统网络。电力可信管理认证系统为认证单元提供了电力特征指纹、多因子认证方式(例如证书验证、电力因子验证、设备属性验证等)、认证审计和加密传输等功能,电力监控系统网络安全监测系统可实时监测目标电力网络的运行情况和安全攻击情况。例如,认证单元对身份认证信息进行电力因子验证,如果5G电力终端未携带电力因子,或者携带的电力因子不满足预设的条件要求,则第二级身份认证失败。进而,认证单元阻断UPF和电力应用之间的数据通道。需要说明的是,认证单元可以对身份认证信息进行多个认证,如果其中一种认证失败,则第二级身份认证失败,只有所有认证均成功,第二级身份认证才成功。在第二级身份认证失败,即不通过的情况下,5G电力终端还是继续附着在目标切片网络中,为了确保5G 电力终端无法对业务主站进行恶意攻击,此时将第二级身份认证失败的5G电力终端从目标切片网络中强制下线。
在第二级身份认证通过的情况下,认证单元向5G电力终端发送认证通过结果,并建立UPF和目标电力网络之间的数据通道,进而终端通过结果接入目标电力网络。具体地,终端建立PDU会话,获取目标电力网络的IP后接入目标电力网络。
图10为本申请实施例中终端接入目标电力网络的示意图。如图10所示,本实施例提供的方法中,终端如果想要接入最终想要接入的目标电力网络,首先终端经历认证1,即需要核心网对终端进行第一级身份认证。进一步地,终端经历认证2,即目标切片网络对终端进行身份认证。更进一步地,终端还要经历认证3,即对终端进行第二级身份认证,终端才可以通过核心网接入到目标电力网络中。
结合图9和图10,本实施例提供的终端的身份认证方法,是一种5G电力公专侧协同的多层级增强身份认证技术,在租用5G公网实现业务接入框架基础上,灵活地适配电力专网各业务身份认证地安全需求。对比传统地身份认证方法,本实施例提供的多层级认证方法,进一步提高了身份认证过程的安全性。在此基础上,服务器可以灵活选择第二级身份认证的方式,例如可以融合终端的身份认证信息中的多电力因子。在网络的体系架构上,本实施例中,5G电力终端需要经历认证1(第一级身份认证)、认证2(目标切片网络认证)和认证3(第二级身份认证),进而实现切片式网络的多电力业务隔离,并安全可信接入。
本实施例中集成了电力可信管理认证系统,提供多种认证方式,增强认证多样性和安全防护能力。并集成了电力监控系统网络,将电力监控系统网络安全态势感知系统与5G通信安全服务能力对接,大大提升了全域网络安全态势感知与安全防护能力,确保5G通信适配于电力业务应用。进一步地,在第二级身份认证的基础上,由于集成了电力可信管理认证系统和电力监控系统网络安全态势感知系统的集成,因此增强认证方式多样性和安全性,提升安全监测和防护的直观性和及时性。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的终端的身份认证方法的终端的身份认证装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个终端的身份认证装置实施例中的具体限定可以参见上文中对于终端的身份认证方法的限定,在此不再赘述。
图11为本申请实施例中终端的身份认证装置的结构框图,在本申请实施例中,如图11所示,提供了一种终端的身份认证装置1100,包括:第一接收模块 1101、第一发送模块1102、第二接收模块1103和第二发送模块1104,其中:
第一接收模块1101,用于接收终端发送的接入请求,接入请求包括核心网对终端进行第一级身份认证得到的第一认证结果。
第一发送模块1102,用于若第一认证结果为认证通过,则向终端发送可扩展身份验证协议请求。
第二接收模块1103,用于接收终端发送的可扩展身份验证协议响应,并根据终端的身份认证信息对终端进行第二级身份认证,其中,可扩展身份验证协议响应包括身份认证信息。
第二发送模块1104,用于在第二级身份认证通过的情况下,向终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由终端基于认证通过结果,利用数据通道接入目标电力网络。
本实施例提供的终端的身份认证装置,接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果,若所述第一认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,并接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息,从而在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络。传统方法中,终端如果想要接入目标电力网络,只需要核心网对终端进行身份认证,终端就可以通过核心网接入到目标电力网络中。而本申请提供的方法中,在核心网对终端进行第一级身份认证的基础上,服务器还要基于第一级身份认证得到的第一认证结果,再进行第二级身份认证,从而在第二级身份认证通过的情况下,终端才能利用数据通道接入目标电力网络。因此,即使非授权用户攻击终端和核心网的身份验证过程,非授权用户也不能够接入目标电力网络,从而提高了目标电力网络的安全性,满足电力行业的安全性需求。
可选的,该终端的身份认证装置1100还包括:
第三发送模块,用于在第二级身份认证未通过的情况下,向终端发送认证未通过结果,并阻断数据通道,以禁止终端利用数据通道接入目标电力网络。
可选的,第二接收模块用于通过认证单元接收终端发送的可扩展身份验证协议响应,并根据用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息,对终端进行第二级身份认证,其中,身份认证信息包括用户识别卡信息、国际移动设备识别码信息以及终端的芯片信息。
可选的,第一接收模块1101包括:
接收单元,用于通过会话管理单元接收接入请求;
第一发送模块1102,还用于若接入请求中的认证结果为认证通过,则通过会话管理单元向认证单元发送认证请求,以由认证单元向终端发送可扩展身份验证协议请求。
可选的,接入请求还包括目标切片网络对终端进行身份认证的第二认证结果,第一发送模块1101还用于若第一认证结果和第二认证结果均为认证通过,则向终端发送可扩展身份验证协议请求。
可选的,该终端的身份认证装置1100还包括:
第三接收模块,用于核心网接收终端发送的注册请求,其中,注册请求包括终端的终端标识。
第四发送模块,用于若核心网中存在终端标识对应的终端安全上下文信息,则确定第一认证结果为认证通过,并向终端发送注册响应,其中,注册响应用于指示终端接入核心网。
可选的,该终端的身份认证装置1100还包括:
判断单元,用于若核心网中不存在终端标识对应的终端安全上下文信息,则判断核心网中是否存在服务网络的标识。
发送单元,用于若核心网中存在服务网络的标识,则确定第一认证结果为认证通过,并向终端发送验证信息,以由终端基于验证信息接入核心网。
上述终端的身份认证装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图12为本申请实施例中计算机设备的内部结构图,在本申请实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12 所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储相关数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种终端的身份认证方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果;
若所述第一认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求;
接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息;
在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
在所述第二级身份认证未通过的情况下,向所述终端发送认证未通过结果,并阻断所述数据通道,以禁止所述终端利用所述数据通道接入所述目标电力网络。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过认证单元接收所述终端发送的可扩展身份验证协议响应,并根据所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息,对所述终端进行第二级身份认证,其中,所述身份认证信息包括所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过会话管理单元接收所述接入请求;
所述若所述认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,包括:
若所述接入请求中的所述认证结果为认证通过,则通过所述会话管理单元向所述认证单元发送认证请求,以由所述认证单元向所述终端发送所述可扩展身份验证协议请求。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若所述第一认证结果和所述第二认证结果均为认证通过,则向所述终端发送可扩展身份验证协议请求。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
所述核心网接收所述终端发送的注册请求,其中,所述注册请求包括所述终端的终端标识;
若所述核心网中存在所述终端标识对应的终端安全上下文信息,则确定所述第一认证结果为认证通过,并向所述终端发送注册响应,其中,所述注册响应用于指示所述终端接入所述核心网。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若所述核心网中不存在所述终端标识对应的终端安全上下文信息,则判断所述核心网中是否存在所述服务网络的标识;
若所述核心网中存在所述服务网络的标识,则确定所述第一认证结果为认证通过,并向所述终端发送验证信息,以由所述终端基于所述验证信息接入所述核心网。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果;
若所述第一认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求;
接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息;
在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立 UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在所述第二级身份认证未通过的情况下,向所述终端发送认证未通过结果,并阻断所述数据通道,以禁止所述终端利用所述数据通道接入所述目标电力网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过认证单元接收所述终端发送的可扩展身份验证协议响应,并根据所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息,对所述终端进行第二级身份认证,其中,所述身份认证信息包括所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过会话管理单元接收所述接入请求;
所述若所述认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,包括:
若所述接入请求中的所述认证结果为认证通过,则通过所述会话管理单元向所述认证单元发送认证请求,以由所述认证单元向所述终端发送所述可扩展身份验证协议请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若所述第一认证结果和所述第二认证结果均为认证通过,则向所述终端发送可扩展身份验证协议请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述核心网接收所述终端发送的注册请求,其中,所述注册请求包括所述终端的终端标识;
若所述核心网中存在所述终端标识对应的终端安全上下文信息,则确定所述第一认证结果为认证通过,并向所述终端发送注册响应,其中,所述注册响应用于指示所述终端接入所述核心网。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若所述核心网中不存在所述终端标识对应的终端安全上下文信息,则判断所述核心网中是否存在所述服务网络的标识;
若所述核心网中存在所述服务网络的标识,则确定所述第一认证结果为认证通过,并向所述终端发送验证信息,以由所述终端基于所述验证信息接入所述核心网。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果;
若所述第一认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求;
接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息;
在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立 UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
在所述第二级身份认证未通过的情况下,向所述终端发送认证未通过结果,并阻断所述数据通道,以禁止所述终端利用所述数据通道接入所述目标电力网络。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过认证单元接收所述终端发送的可扩展身份验证协议响应,并根据所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息,对所述终端进行第二级身份认证,其中,所述身份认证信息包括所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过会话管理单元接收所述接入请求;
所述若所述认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,包括:
若所述接入请求中的所述认证结果为认证通过,则通过所述会话管理单元向所述认证单元发送认证请求,以由所述认证单元向所述终端发送所述可扩展身份验证协议请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若所述第一认证结果和所述第二认证结果均为认证通过,则向所述终端发送可扩展身份验证协议请求。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
所述核心网接收所述终端发送的注册请求,其中,所述注册请求包括所述终端的终端标识;
若所述核心网中存在所述终端标识对应的终端安全上下文信息,则确定所述第一认证结果为认证通过,并向所述终端发送注册响应,其中,所述注册响应用于指示所述终端接入所述核心网。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若所述核心网中不存在所述终端标识对应的终端安全上下文信息,则判断所述核心网中是否存在所述服务网络的标识;
若所述核心网中存在所述服务网络的标识,则确定所述第一认证结果为认证通过,并向所述终端发送验证信息,以由所述终端基于所述验证信息接入所述核心网。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器 (Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory, DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种终端的身份认证方法,其特征在于,所述方法包括:
接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果,以及目标切片网络对所述终端进行身份认证的第二认证结果;
若所述第一认证结果和所述第二认证结果均为认证通过,则向所述终端发送可扩展身份验证协议请求;
接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息;
在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络;
在所述第二级身份认证未通过的情况下,将所述终端从目标切片网络中强制下线。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述第二级身份认证未通过的情况下,向所述终端发送认证未通过结果,并阻断所述数据通道,以禁止所述终端利用所述数据通道接入所述目标电力网络。
3.根据权利要求2所述的方法,其特征在于,所述接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,包括:
通过认证单元接收所述终端发送的可扩展身份验证协议响应,并根据用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息,对所述终端进行第二级身份认证,其中,所述身份认证信息包括所述用户识别卡信息、国际移动设备识别码信息以及所述终端的芯片信息。
4.根据权利要求3所述的方法,其特征在于,所述接收所述终端发送的接入请求,包括:
通过会话管理单元接收所述接入请求;
所述若所述认证结果为认证通过,则向所述终端发送可扩展身份验证协议请求,包括:
若所述接入请求中的所述认证结果为认证通过,则通过所述会话管理单元向所述认证单元发送认证请求,以由所述认证单元向所述终端发送所述可扩展身份验证协议请求。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述核心网对所述终端进行第一级身份认证,包括:
所述核心网接收所述终端发送的注册请求,其中,所述注册请求包括所述终端的终端标识;
若所述核心网中存在所述终端标识对应的终端安全上下文信息,则确定所述第一认证结果为认证通过,并向所述终端发送注册响应,其中,所述注册响应用于指示所述终端接入所述核心网。
6.根据权利要求5所述的方法,其特征在于,所述注册请求还包括所述终端的服务网络的标识,所述方法还包括:
若所述核心网中不存在所述终端标识对应的终端安全上下文信息,则判断所述核心网中是否存在所述服务网络的标识;
若所述核心网中存在所述服务网络的标识,则确定所述第一认证结果为认证通过,并向所述终端发送验证信息,以由所述终端基于所述验证信息接入所述核心网。
7.一种终端的身份认证装置,其特征在于,所述装置包括:
第一接收模块,用于接收所述终端发送的接入请求,所述接入请求包括核心网对所述终端进行第一级身份认证得到的第一认证结果,以及目标切片网络对所述终端进行身份认证的第二认证结果;
第一发送模块,用于若所述第一认证结果和所述第二认证结果均为认证通过,则向所述终端发送可扩展身份验证协议请求;
第二接收模块,用于接收所述终端发送的可扩展身份验证协议响应,并根据所述终端的身份认证信息对所述终端进行第二级身份认证,其中,所述可扩展身份验证协议响应包括所述身份认证信息;
第二发送模块,用于在第二级身份认证通过的情况下,向所述终端发送认证通过结果,并建立UPF网元与目标电力网络之间的数据通道,以由所述终端基于所述认证通过结果,利用所述数据通道接入所述目标电力网络;
所述装置,还用于在所述第二级身份认证未通过的情况下,将所述终端从目标切片网络中强制下线。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202210320700.3A 2022-03-29 2022-03-29 终端的身份认证方法、装置、计算机设备和存储介质 Active CN114697963B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210320700.3A CN114697963B (zh) 2022-03-29 2022-03-29 终端的身份认证方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210320700.3A CN114697963B (zh) 2022-03-29 2022-03-29 终端的身份认证方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN114697963A CN114697963A (zh) 2022-07-01
CN114697963B true CN114697963B (zh) 2024-08-30

Family

ID=82140143

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210320700.3A Active CN114697963B (zh) 2022-03-29 2022-03-29 终端的身份认证方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN114697963B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115567258B (zh) * 2022-09-16 2024-03-01 中国联合网络通信集团有限公司 网络安全态势感知方法、系统、电子设备及存储介质
CN117294539B (zh) * 2023-11-27 2024-03-19 广东电网有限责任公司东莞供电局 用户侧终端可信认证方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020253736A1 (zh) * 2019-06-17 2020-12-24 华为技术有限公司 一种认证方法、装置及系统
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构
CN112738881A (zh) * 2020-12-30 2021-04-30 展讯通信(上海)有限公司 一种网络注册方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4167678A1 (en) * 2017-07-20 2023-04-19 Huawei International Pte. Ltd. Network security management method and apparatus
MX2021003638A (es) * 2018-09-28 2021-05-27 Nec Corp Dispositivo de red central, terminal de comunicacion, sistema de comunicacion, metodo de autenticacion y metodo de comunicacion.
CN115244892A (zh) * 2020-04-24 2022-10-25 Oppo广东移动通信有限公司 安全认证方法、装置、设备及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020253736A1 (zh) * 2019-06-17 2020-12-24 华为技术有限公司 一种认证方法、装置及系统
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构
CN112738881A (zh) * 2020-12-30 2021-04-30 展讯通信(上海)有限公司 一种网络注册方法及装置

Also Published As

Publication number Publication date
CN114697963A (zh) 2022-07-01

Similar Documents

Publication Publication Date Title
US9268545B2 (en) Connecting mobile devices, internet-connected hosts, and cloud services
US20120254960A1 (en) Connecting mobile devices, internet-connected vehicles, and cloud services
KR20160127167A (ko) 다중 팩터 인증 기관
CN113556227B (zh) 网络连接管理方法、装置、计算机可读介质及电子设备
CN114697963B (zh) 终端的身份认证方法、装置、计算机设备和存储介质
EP4274192A1 (en) Access control method and apparatus, and network-side device, terminal and blockchain node
US20230007491A1 (en) Managing a subscription identifier associated with a device
US11824989B2 (en) Secure onboarding of computing devices using blockchain
US11522702B1 (en) Secure onboarding of computing devices using blockchain
US11647017B2 (en) Subscriber identity management
US12041443B2 (en) Integrity for mobile network data storage
CN111093196B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
CN106537962B (zh) 无线网络配置、接入和访问方法、装置及设备
CN115242480A (zh) 设备接入方法、系统以及非易失性计算机存储介质
CN116074028A (zh) 加密流量的访问控制方法、装置及系统
JP2023509806A (ja) モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器
CN113347628A (zh) 提供网络接入服务的方法、接入点、终端
CN106533688A (zh) 安全认证的方法及装置
CN113079506A (zh) 网络安全认证方法、装置及设备
CN114222296B (zh) 一种无线网的安全接入方法和系统
US11784973B2 (en) Edge-based enterprise network security appliance and system
US20230112126A1 (en) Core network transformation authenticator
CN116939609A (zh) 一种无线网络的接入认证方法及相关装置
CN116800520A (zh) 一种加强型网络准入系统及方法
CN115967623A (zh) 设备管理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant