Nothing Special   »   [go: up one dir, main page]

CN115835202A - 一种鉴权方法及系统 - Google Patents

一种鉴权方法及系统 Download PDF

Info

Publication number
CN115835202A
CN115835202A CN202211235243.4A CN202211235243A CN115835202A CN 115835202 A CN115835202 A CN 115835202A CN 202211235243 A CN202211235243 A CN 202211235243A CN 115835202 A CN115835202 A CN 115835202A
Authority
CN
China
Prior art keywords
user terminal
authentication
network element
dnn
data service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211235243.4A
Other languages
English (en)
Inventor
黎穗卿
黄劲安
陈漩
张紫璇
胡稍华
郑锐生
陆俊超
梁广智
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongtong Service Zhongrui Technology Co ltd
Original Assignee
Zhongtong Service Zhongrui Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongtong Service Zhongrui Technology Co ltd filed Critical Zhongtong Service Zhongrui Technology Co ltd
Priority to CN202211235243.4A priority Critical patent/CN115835202A/zh
Publication of CN115835202A publication Critical patent/CN115835202A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种鉴权方法及系统,涉及移动通信技术领域。其中,所述鉴权方法包括核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权。所述鉴权系统中,核心网侧包括AUSF网元、SMF网元(其中包含ATLF模块)、UPF网元和AAA网元。相较于现有技术,本发明所述鉴权方法通过对授信用户终端免除二次鉴权、对授信条件不足的用户终端仍强制二次鉴权或直接拒绝访问,在保证数据业务网络通信安全的前提下提升用户终端二次鉴权类型选择的合理性,一定程度上节省网络资源。

Description

一种鉴权方法及系统
技术领域
本发明涉及移动通信技术领域,更具体地,涉及一种鉴权方法及系统。
背景技术
为防止非法网络攻击,用户终端(User Equipment,UE)接入5G网络需要通过接入网进行用户身份鉴权。与普通公众用户相比,垂直行业对业务保密性、安全性有着更高的要求,因此垂直行业的终端通过5G网络接入数据业务专网前还需要进行再一次的身份认证,即二次鉴权。
用户终端首先完成UDM(Unified Data Management,统一数据管理实体)网元及AUSF(Authentication Server Function,认证服务器功能单元)网元之间的主鉴权之后,发起接入数据业务网络请求,SMF(Session Management Function,会话管理功能)网元先根据DNN(Data Network Name,数据网络名称)判断该终端是否需要进行鉴权,确认该终端需进行二次鉴权后,向UPF(User Plane Function,用户面功能)发送鉴权请求信息,UPF将鉴权请求转发至AAA(Authentication,认证;Authorization,授权;Accounting,统计)网元,AAA网元完成二次鉴权后,SMF向UPF发送建立会话的通知,而未通过二次鉴权的终端将被拒绝访问数据业务网。
二次鉴权机制有效提升业务的安全性,但该机制在某些特殊应用场景也存在过分固定化、灵活性低的弊端。比如,集群共网作为处置突发公共事件、应急保障、开展城市管理的重要指挥调度平台,广泛应用于政府、公共安全、公用事业等领域,当处于在抢险救灾等应急指挥调度场景下,二次鉴权机制影响了整个应急网络的响应速度。
已见现有技术公开了用户终端二次认证方法和系统、接入和移动性管理装置;其中,所述二次认证方法为在用户终端注册到5G网络的情况下,在5G网络完成对用户终端的认证鉴权后,通知第三方数据网络服务器对用户终端进行鉴权认证。其实质上是在5G终端注册网络时,通知第三方平台提前进行鉴权认证,该技术手段仍与主流鉴权思路一致,仍存在整体网络响应时间长的问题。
发明内容
本发明为克服上述现有技术所述的二次鉴权机制导致网络响应时间长的缺陷,提供一种鉴权方法及系统。
为解决上述技术问题,本发明的技术方案如下:
第一方面,一种鉴权方法,应用于数据业务网络,所述数据业务网络为满足自身需要而由企业、组织或部门建立、拥有、管理和使用的数据网专用网络,包括:
核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF(Authentication Type Label Function,终端的二次鉴权类型且进行登记)模块;
核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:
若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;
若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC(Tracking Area Code,跟踪区码)和携带的DNN。
本技术方案中,核心网侧在完成一次鉴权后,通过将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权;当用户终端被免予执行二次鉴权时,其可跳过二次鉴权直接与数据业务专网通信,在保证数据业务网络通信安全的前提下提升了数据业务网络的整体响应效率,并在一定程度上节省网络资源。
作为优选方案,所述核心网侧不对用户终端免予执行二次鉴权之后,执行以下任一步骤:
(1)核心网侧直接拒绝用户终端访问数据业务网络;
(2)所述核心网侧对用户终端执行二次鉴权中的一种。
作为优选方案,所述预先规划的准入资源信息,包括:
授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNNSP
用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τj’,j=[1,2,…,w],即τj’∈T’={τ1’,τ2’,…,τw’}。
作为优选方案的可能设计,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,其步骤包括:
SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNNUE,用户终端携带的TAC记作τUE
ATLF模块判断DNNUE与DNNSP是否一致及τUE是否属于T’:
若DNNUE≠DNNSP,输出二次鉴权类型Sk为拒绝鉴权;
若DNNUE=DNNSP,且τUE∈T’,输出二次鉴权类型Sk为可免鉴权;
若DNNUE=DNNSP,且
Figure BDA0003883369680000031
输出二次鉴权类型Sk为必须鉴权;
ATLF模块将输出的二次鉴权类型Sk发送至SMF网元,所述SMF网元根据二次鉴权类型Sk确认是否对用户终端免予执行二次鉴权。
即,该可能设计中,用户终端被允许跳过二次鉴权直接接入数据业务专网的条件为且仅为用户终端签约的DNN是数据业务专网专用的DNN,且其携带的TAC是临时配置数据业务专网基站的临时TAC集合T’的元素。
进一步地,所述若用户终端信息属于预先规划的准入资源信息,对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接,具体为:
若所述SMF网元接收到二次鉴权类型Sk为可免鉴权,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求;UPF网元响应连接请求,建立起用户终端与数据业务专网间的连接通道。
进一步地,所述若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权,包括:
若所述SMF网元接收到二次鉴权类型Sk为拒绝鉴权,所述SMF网元直接拒绝用户终端访问数据业务网络;
若所述SMF网元接收到二次鉴权类型Sk为必须鉴权,所述SMF网元向AAA网元转发关于用户终端的二次身份认证消息,并建立用户终端与AAA网元间的认证通道;所述二次身份认证消息包括DNNUE,还包括用户终端的IMSI(International Mobile SubscriberIdentity,国际移动用户识别码)、IMEI(International Mobile Equipment Identity,国际移动设备识别码)、MSISDN(Mobile Subscriber Integrated Services DigitalNumber,移动用户综合业务数字号码)和ULI(User Location Information,用户位置信息)中的一种或多种。
优选地,在所述SMF网元向AAA网元转发二次身份认证消息,建立用户终端与AAA网元间的认证通道之后,AAA网元根据接收到的二次身份认证消息,对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元;其中,所述二次鉴权结果rp包括通过认证或不通过认证中的一种。
可选地,所述AAA网元对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元之后,还包括:
当所述SMF网元接收到的二次鉴权结果rp为通过认证时,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求,所述UPF网元响应连接请求,建立用户终端与数据业务专网间连接通道;
当所述SMF网元接收到的二次鉴权结果rp为不通过认证时,所述SMF网元拒绝用户终端访问数据业务网络。
第二方面,一种鉴权系统,应用于第一方面任一技术方案提出的鉴权方法,包括核心网侧和数据业务专网,所述核心网侧包括AUSF网元、SMF网元、UPF网元和AAA网元,所述SMF网元包括ATLF模块,所述ATLF模块被配置用于根据获取的用户终端信息与预先规划的准入资源信息进行匹配,判断、记录并输出二次鉴权类型Sk;其中,所述用户终端信息包括请求接入数据业务专网的用户终端签约的DNN及其携带的TAC,所述预先规划的准入资源信息包括授信通信终端SIM卡签约的数据业务专网专用DNN和用于临时配置数据业务专网基站的临时TAC,所述输出的二次鉴权类型Sk包括拒绝鉴权、可免鉴权和必须鉴权中的一种。
本技术方案中,通过在核心网侧部署ATLF模块获取用户终端的TAC、DNN等信息,并将终端的二次鉴权类型进行登记,用作后续鉴权类型选择的条件判断,对可信的用户终端免除二次鉴权,有利于提升数据业务专网响应效率。
作为优选方案,若所述ATLF模块输出的二次鉴权类型Sk为可免鉴权或拒绝鉴权,所述SMF网元不与AAA网元通信;若所述ATLF模块输出的二次鉴权类型Sk为必须鉴权,所述SMF网元与AAA网元通信。
与现有技术相比,本发明技术方案的有益效果是:
(1)本发明提出的一种鉴权方法,预先规划数据业务专网专属DNN和临时数据业务专网基站TAC作为授信根据即准入资源信息,只对已签约数据业务专网且接入临时数据业务专网基站的用户终端免除二次鉴权,对授信条件不足的用户终端仍强制二次鉴权或直接拒绝访问,在保证数据业务网络通信安全的前提下提升了用户终端二次鉴权类型选择的合理性。
(2)本发明通过在核心网侧部署ATLF模块获取用户终端的TAC、DNN等信息,并将终端的二次鉴权类型进行登记,用作后续鉴权类型选择的条件判断,对可信的用户终端免除二次鉴权,有利于提升数据业务专网响应效率。
(3)本发明与现有技术相比,降低了SMF网元与AAA网元间的通信频率,可在一定程度上节省网络资源。
附图说明
图1为鉴权方法的流程图;
图2为数据业务网络中用户终端请求入网流程图;
图3为应急网络中用户终端请求入网流程图;
图4为用户终端与应急专网会话建立流程图;
图5为鉴权系统的架构图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本实施例提出了一种鉴权方法,参阅图1,应用于数据业务网络,所述数据业务网络为满足自身需要而由企业、组织或部门建立、拥有、管理和使用的数据网专用网络,包括:
核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF模块;
核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:
若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;
若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC和携带的DNN。
在本实施例中,将用户终端信息与预先规划的准入资源信息进行匹配可视作核心网侧将用户终端信息与其预先存储的授信信息集合进行比对,判断用户终端是否为授信设备并通过规划的数据业务专网请求入网。
在具体实施过程中,当用户终端被核心网侧认定为授信设备并通过规划的数据业务专网请求入网,核心网侧无须为用户终端进行二次鉴权,直接在用户终端与数据业务专网间建立连接;当用户终端不满足授信条件时,核心网侧对用户终端直接拒绝访问数据业务专网请求或强制进行二次鉴权。在保证数据业务网络通信安全的前提下提升了数据业务网络的整体响应效率,并在一定程度上节省网络资源。
作为优选实施例,当所述核心网侧确认不对用户终端免予执行二次鉴权之后,所述核心网侧直接拒绝用户终端访问数据业务网络
作为另一优选实施例,当所述核心网侧确认不对用户终端免予执行二次鉴权之后,所述核心网侧对用户终端执行二次鉴权。
作为优选实施例,所述预先规划的准入资源信息,包括:
授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNNSP
用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τj’,j=[1,2,…,w],即τj’∈T’={τ1’,τ2’,…,τw’}。
作为优选实施例,所述用户终端信息还包括但不限于IP地址、IMEI、IMSI、MSISDN、ULI。
作为可选实施例,参阅图2,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,通过下述步骤实现:
首先,由核心网侧的SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNNUE,用户终端携带的TAC记作τUE
其次,ATLF模块判断DNNUE与DNNSP是否一致及τUE是否属于T’:
若DNNUE≠DNNSP,输出二次鉴权类型Sk为拒绝鉴权;
若DNNUE=DNNSP,且τUE∈T’,输出二次鉴权类型Sk为可免鉴权;
若DNNUE=DNNSP,且
Figure BDA0003883369680000071
输出二次鉴权类型Sk为必须鉴权;
随后,ATLF模块将输出的二次鉴权类型Sk发送至SMF网元,所述SMF网元根据二次鉴权类型Sk确认是否对用户终端免予执行二次鉴权。
作为非限制性示例,所述由核心网侧的SMF网元指示UPF网元向ATLF模块下发用户终端信息,具体为:SMF网元指示UPF网元为用户终端建立用户面数据通道,将用户终端的IP地址、TAC、DNN等信息下发至ATLF模块。
在具体实施过程中,当ATLF模块判断DNNUE=DNNSP时即认定用户终端为授信终端;当ATLF模块τUE∈T’时即认定用户终端通过授信基站请求接入数据业务专网;当且仅当用户终端签约的DNN是数据业务专网专用的DNN,且其携带的TAC是临时配置数据业务专网基站的临时TAC集合T’的元素时,核心网侧对用户终端免予执行二次鉴权,即SMF网元不与AAA网元通信以为用户终端进行二次鉴权。
进一步地,所述若用户终端信息属于预先规划的准入资源信息,对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接,具体为:
若所述SMF网元接收到二次鉴权类型Sk为可免鉴权,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求;UPF网元响应连接请求,建立起用户终端与数据业务专网间的连接通道。
特别地,所述若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权包括:
若所述SMF网元接收到二次鉴权类型Sk为拒绝鉴权,所述SMF网元直接拒绝用户终端访问数据业务网络;
若所述SMF网元接收到二次鉴权类型Sk为必须鉴权,所述SMF网元向AAA网元转发二次身份认证消息,并建立用户终端与AAA网元间的认证通道;所述二次身份认证消息包括DNNUE,还包括用户终端携带的IMSI(International Mobile Subscriber Identity,国际移动用户识别码)、IMEI(International Mobile Equipment Identity,国际移动设备识别码)、MSISDN(Mobile Subscriber Integrated Services Digital Number,移动用户综合业务数字号码)、ULI(User Location Information,用户位置信息)中的一种或多种。
在一具体实施过程中,当所述核心网侧的ATLF模块向SMF网元输出二次鉴权类型Sk为拒绝鉴权后,所述SMF网元直接拒绝用户终端访问数据业务网络。
在另一具体实施过程中,当所述核心网侧的ATLF模块向SMF网元输出二次鉴权类型Sk为必须鉴权后,所述SMF网元向AAA网元转发二次身份认证消息,并建立用户终端与AAA网元间的认证通道。
可选地,所述AAA网元对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元之后,还包括:
当所述SMF网元接收到的二次鉴权结果rp为通过认证时,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求,所述UPF网元响应连接请求,建立用户终端与数据业务专网间连接通道;
当所述SMF网元接收到的二次鉴权结果rp为不通过认证时,所述SMF网元拒绝用户终端访问数据业务网络。
实施例2
本实施例提出一种鉴权方法,参阅图1、图3、图4,应用于应急专网,包括:
TAC部署和专网签约;
核心网侧接收用户终端接入应急专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF模块;
核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:
若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与应急专网的连接;
若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC和携带的DNN。
作为非限制性示例,所述TAC部署包括TAC预规划和应急基站TAC配置。
其中,TAC预规划具体为预先规划n个用于临时配置应急基站的特殊TAC,将任意特殊TAC记作τi∈T={τ1,τ2,τ3,……,τn},i∈{1,2,3,……,n}。
所述应急基站TAC配置具体为,当发生火灾、空袭等突发事件时,将该突发事件所辐射的有应急通信保障需求的区域记作A,对服务范围在区域A内的m个应急基站记作bj∈B={b1,b2,b3,……,bm},j∈{1,2,3,……,m}。根据m个应急基站的辐射范围,从预规划的集合T中选择适当数量的当前可用的特殊TAC,对集合B内的应急基站进行配置,所选取的临时TAC数量记作w,w个临时TAC记作τj’∈T’={τ1’,τ2’,…,τw’}。
作为非限制性示例,所述专网签约具体为预先为应急通信终端(即授信终端)的SIM卡签约应急专网专用的DNN,记作DNNSP
在一具体实施过程中,所述核心网侧接收用户终端接入应急专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道,包括:
S21、用户终端发起入网请求,触发一次鉴权流程;将用户终端签约的DNN记作DNNUE,其携带的TAC记作τUE
S22、SMF网元指示UPF网元为用户终端建立用户面数据通道。
在一具体实施过程中,所述核心网侧获取用户终端信息,具体为:SMF网元指示UPF网元将用户终端的IP地址、TAC、DNN等信息下发至ATLF模块。
作为非限制性示例,所述将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权,包括:
S23、ATLF模块根据用户终端信息确定用户终端的二次鉴权类型Sk,Sk∈S={s1,s2,s3}其表达式如下:
Figure BDA0003883369680000091
在一具体实施过程中,Sk的取值判断步骤如下:
当DNNUE≠DNNSP时,令k=3,此时ATLF模块输出Sk=S3=拒绝鉴权;
当DNNUE=DNNSP时,进一步判断:若τUE∈T’,则令k=1,此时ATLF模块输出Sk=S1=可免鉴权;若
Figure BDA0003883369680000092
则令k=2,此时ATLF模块输出Sk=S2=必须鉴权。
作为非限制性示例,所述根据匹配结果确认是否对用户终端免予执行二次鉴权,包括:
S24、ATLF模块记录Sk,将Sk发送至SMF网元;
S25、SMF网元根据接收到的Sk,发起执行二次鉴权请求、跳过二次鉴权请求或拒绝用户终端访问应急专网。
在一具体实施过程中,SMF网元接收到ATLF模块发送的Sk值为可免鉴权,所述SMF网元发起跳过二次鉴权请求,直接向UPF网元发送为用户终端建立到应急专网连接的请求;UPF网元响应连接请求,建立起用户终端与应急专网间的连接通道。
在另一具体实施过程中,SMF网元接收到ATLF模块发送的Sk值为必须鉴权,所述SMF网元向AAA网元转发二次身份认证消息,并建立起用户终端与AAA网元之间的认证通道。所述二次身份认证消息包括用户终端携带的DNNUE、IMSI、IMEI、MSISDN和ULI。
进一步地,所述二次身份认证消息还包括IP地址。
进一步地,所述AAA网元根据接收到的二次身份认证消息,AAA网元对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元;其中rp∈R={r1,r2},取值如下:
Figure BDA0003883369680000101
特别地,当rp=r1即rp取值为通过认证时,所述SMF网元向UPF网元发送为用户终端建立到应急专网请求,所述UPF网元响应连接请求,建立起用户终端与应急专网间的连接通道;当rp=r2即rp取值为不通过认证时,所述SMF网元拒绝用户终端访问应急专网。
在另一具体实施过程中,SMF网元接收到ATLF模块发送的Sk值为拒绝鉴权,所述SMF网元直接拒绝用户终端访问应急专网。
实施例3
本实施例提出一种鉴权系统,参阅图5,应用于实施例1或实施例2中提出的鉴权方法。
一种鉴权系统,包括核心网侧和数据业务专网,所述核心网侧包括AUSF网元、SMF网元、UPF网元和AAA网元,所述SMF网元包括ATLF模块。所述ATLF模块被配置用于根据获取的用户终端信息与预先规划的准入资源信息进行匹配,判断、记录并输出二次鉴权类型Sk;其中,所述用户终端信息包括请求接入数据业务专网的用户终端签约的DNN及其携带的TAC,所述预先规划的准入资源信息包括授信通信终端SIM卡签约的数据业务专网专用DNN和用于临时配置数据业务专网基站的临时TAC,所述输出的二次鉴权类型Sk包括拒绝鉴权、可免鉴权和必须鉴权中的一种。
如图5所示,为本实施例的鉴权系统的架构图,其中包括UE(User Equipment,用户设备)、RAN(Radio Access Network,无线接入网)、AMF(Authentication ManagementFunction,认证管理功能)网元、AUSF(Authentication Server Function,鉴权服务功能)网元、SMF(Session Management Function,会话管理功能)网元、UDM(Unified DataManagement,统一数据管理功能)网元、UPF(User Plane Function,用户面功能)网元和AAA(Authentication Authorization Accounting,鉴权授权计费)网元。
作为优选实施例,若所述ATLF模块输出的二次鉴权类型Sk为可免鉴权或拒绝鉴权,所述SMF网元不与AAA网元通信;若所述ATLF模块输出的二次鉴权类型Sk为必须鉴权,所述SMF网元与AAA网元通信。
相同或相似的标号对应相同或相似的部件;
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种鉴权方法,应用于数据业务网络,其特征在于,所述方法包括:
核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF模块;
核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:
若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;
若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC和携带的DNN。
2.根据权利要求1所述的一种鉴权方法,其特征在于,所述核心网侧不对用户终端免予执行二次鉴权之后,执行以下任一步骤:
(1)所述核心网侧直接拒绝用户终端访问数据业务网络;
(2)所述核心网侧对用户终端执行二次鉴权。
3.根据权利要求1-2任一项所述的一种鉴权方法,其特征在于,所述预先规划的准入资源信息,包括:
授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNNSP
用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τj’,j=[1,2,…,w],即τj’∈T’={τ1’,τ2’,…,τw’}。
4.根据权利要求3所述的一种鉴权方法,其特征在于,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,其步骤包括:
SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNNUE,用户终端携带的TAC记作τUE
ATLF模块判断DNNUE与DNNSP是否一致及τUE是否属于T’:若DNNUE≠DNNSP,输出二次鉴权类型Sk为拒绝鉴权;若DNNUE=DNNSP,且τUE∈T’,输出二次鉴权类型Sk为可免鉴权;若DNNUE=DNNSP,且
Figure FDA0003883369670000011
输出二次鉴权类型Sk为必须鉴权;
ATLF模块将输出的二次鉴权类型Sk发送至SMF网元,所述SMF网元根据二次鉴权类型Sk确认是否对用户终端免予执行二次鉴权。
5.根据权利要求4所述的一种鉴权方法,其特征在于,所述若用户终端信息属于预先规划的准入资源信息,对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接,具体为:
若所述SMF网元接收到二次鉴权类型Sk为可免鉴权,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求;UPF网元响应连接请求,建立起用户终端与数据业务专网间的连接通道。
6.根据权利要求4所述的一种鉴权方法,其特征在于,所述若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权,包括:
若所述SMF网元接收到二次鉴权类型Sk为拒绝鉴权,所述SMF网元直接拒绝用户终端访问数据业务专网;
若所述SMF网元接收到二次鉴权类型Sk为必须鉴权,所述SMF网元向AAA网元转发关于用户终端的二次身份认证消息,并建立用户终端与AAA网元间的认证通道;所述二次身份认证消息包括DNNUE,还包括用户终端携带的IMSI、IMEI、MSISDN、ULI中的一种或多种。
7.根据权利要求6所述的一种鉴权方法,其特征在于,在所述SMF网元向AAA网元转发二次身份认证消息,建立用户终端与AAA网元间的认证通道之后,还包括:
根据接收到的二次身份认证消息,AAA网元对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元;其中,所述二次鉴权结果rp包括通过认证或不通过认证中的一种。
8.根据权利要求7所述的一种鉴权方法,其特征在于,所述AAA网元对用户终端执行二次鉴权,并输出二次鉴权结果rp至SMF网元之后,还包括:
当所述SMF网元接收到的二次鉴权结果rp为通过认证时,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求,所述UPF网元响应连接请求,建立用户终端与数据业务专网间连接通道;
当所述SMF网元接收到的二次鉴权结果rp为不通过认证时,所述SMF网元拒绝用户终端访问数据业务专网。
9.一种鉴权系统,应用于权利要求1-8任一项所述的一种鉴权方法,包括核心网和数据业务专网,所述核心网侧包括AUSF网元、SMF网元、UPF网元和AAA网元,其特征在于,所述SMF网元包括ATLF模块;所述ATLF模块被配置用于根据获取的用户终端信息与预先规划的准入资源信息进行匹配,判断、记录并输出二次鉴权类型Sk;其中,所述用户终端信息包括请求接入数据业务专网的用户终端签约的DNN及其携带的TAC,所述预先规划的准入资源信息包括授信通信终端SIM卡签约的数据业务专网专用DNN和用于临时配置数据业务专网基站的临时TAC,所述ATLF模块输出的二次鉴权类型Sk包括拒绝鉴权、可免鉴权和必须鉴权中的一种。
10.根据权利要求9所述的一种鉴权系统,其特征在于,若所述ATLF模块输出的二次鉴权类型Sk为可免鉴权或拒绝鉴权,所述SMF网元不与AAA网元通信;若所述ATLF模块输出的二次鉴权类型Sk为必须鉴权,所述SMF网元与AAA网元通信。
CN202211235243.4A 2022-10-10 2022-10-10 一种鉴权方法及系统 Pending CN115835202A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211235243.4A CN115835202A (zh) 2022-10-10 2022-10-10 一种鉴权方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211235243.4A CN115835202A (zh) 2022-10-10 2022-10-10 一种鉴权方法及系统

Publications (1)

Publication Number Publication Date
CN115835202A true CN115835202A (zh) 2023-03-21

Family

ID=85524504

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211235243.4A Pending CN115835202A (zh) 2022-10-10 2022-10-10 一种鉴权方法及系统

Country Status (1)

Country Link
CN (1) CN115835202A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506407A (zh) * 2023-06-20 2023-07-28 阿里巴巴(中国)有限公司 语音通信方法、系统、存储介质及电子设备
CN117041969A (zh) * 2023-09-28 2023-11-10 新华三技术有限公司 5g双域专网的接入方法、系统及装置、电子设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116506407A (zh) * 2023-06-20 2023-07-28 阿里巴巴(中国)有限公司 语音通信方法、系统、存储介质及电子设备
CN116506407B (zh) * 2023-06-20 2023-11-14 阿里巴巴(中国)有限公司 语音通信方法、系统、存储介质及电子设备
CN117041969A (zh) * 2023-09-28 2023-11-10 新华三技术有限公司 5g双域专网的接入方法、系统及装置、电子设备
CN117041969B (zh) * 2023-09-28 2024-01-02 新华三技术有限公司 5g双域专网的接入方法、系统及装置、电子设备

Similar Documents

Publication Publication Date Title
CN100417274C (zh) 用于松散耦合互操作的基于证书的认证授权计费方案
US8565764B2 (en) Telecommunications network access rejection
US6236852B1 (en) Authentication failure trigger method and apparatus
US20080108321A1 (en) Over-the-air (OTA) device provisioning in broadband wireless networks
JP4586071B2 (ja) 端末へのユーザポリシーの提供
US20110302643A1 (en) Mechanism for authentication and authorization for network and service access
JP4624785B2 (ja) 通信システムにおけるインターワーキング機能
US20070115886A1 (en) Method of verifying integrity of an access point on a wireless network
JP2020510377A (ja) ネットワークスライシングをサポートするモバイルシステムにおける強化された登録手続き
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
US9380038B2 (en) Bootstrap authentication framework
WO2019017840A1 (zh) 网络验证方法、相关设备及系统
CN101120534A (zh) 用于无线局域网(wlan)中的认证的系统、方法与设备
US20170324754A1 (en) Secure group creation in proximity based service communication
US20050120202A1 (en) Use of a public key key pair in the terminal for authentication and authorization of the telecommunication user with the network operator and business partners
KR20090036562A (ko) 네트워크에 대한 접근을 제어하기 위한 방법 및 시스템
CN115835202A (zh) 一种鉴权方法及系统
TW564627B (en) System and method for authentication in public networks
US20060112269A1 (en) Level-specific authentication system and method in home network
US9473934B2 (en) Wireless telecommunications network, and a method of authenticating a message
KR101208722B1 (ko) 무선 액세스 네트워크에서 폐쇄 그룹에 액세스하는 방법
WO2024103572A1 (zh) 一种共享5g天地一体化网络信令交互架构的方法
CN108540493B (zh) 认证方法、用户设备、网络实体以及业务侧服务器
US20100304713A1 (en) Technique for restricting access to a wireless communication service
US20230010440A1 (en) System and Method for Performing Identity Management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination