[发明专利]网络验证方法、相关设备及系统

摘要

本申请公开了网络认证方法、装置和系统，该方法包括：认证网元接收的UE接入数据网络DN的请求；接收UE的第一认证标识以及UE的第二认证标识；根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果；所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系，所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识。实施本发明，能够实现降低次要认证过程中的通信负担，降低计算资源消耗，提高次要认证的效率。

主权项

1、 一种网络认证方法， 其特征在于， 所述方法包括： /n 认证网元接收的 UE接入数据网络 DN的请求； /n 所述认证网元接收所述 UE的第一认证标识以及所述 UE的第二认证标识； 所述 UE 的第一认证标识已通过认证服务功能网元 AUSF的认证； 所述 UE的第二认证标识为所 述 UE用来请求接入所述 DN所使用的标识； /n 所述认证网元根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认 证标识是否符合所述第一绑定关系， 获得认证结果； 所述第一绑定信息包括一对或多 对第一认证标识与第二认证标识之间的第一绑定关系， 所述第一绑定信息的第一认证 标识表示用于所述 AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表示 用于 UE接入所述 DN的认证的标识。 /n 2、 根据权利要求 1所述的方法， 其特征在于， 所述第一绑定信息包括映射表， 所 述映射表包括一个或多个表项，每一个表项包括至少一个与 UE关联的所述第一绑定关 系。 /n 3、 根据权利要求 1所述的方法， 其特征在于， 所述第一绑定信息包括数据库， 所 述数据库包括一个或多个数据元素，每一个数据元素包括至少一个与 UE关联的所述第 一绑定关系。 /n 4、 根据权利要求 1至 3任一项所述的方法， 其特征在于， 第一绑定信息预先保存 在所述认证网元的本地存储中。 /n 5、 根据权利要求 1至 3任一项所述的方法， 其特征在于， 所述第一绑定信息预先 保存在统一数据管理网元 UDM的签约数据中； /n 所述认证网元根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认 证标识是否符合所述第一绑定关系之前， 包括： /n 所述认证网元从所述 UDM的签约数据中获取所述第一绑定信息。 /n 6、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 7、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 若所述 UE的第一认证标识与所述 UE的第二认证标识不符合所述第一绑定关系， 则所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若 所述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述 请求接入所述 DN成功，所述认证网元根据所述 UE的第一认证标识和所述 UE的第二认 证标识更新所述第一绑定信息。 /n 8、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若所 述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述请 求接入所述 DN成功。 /n 9、 根据权利要求 1至 8任一项所述的方法， 其特征在于， 所述认证网元为认证授 权计费 AAA服务器； /n 所述方法包括： /n 所述 AAA服务器接收所述 SMF发送的 UE的第一认证标识； /n 所述 AAA服务器接收所述 SMF发送的所述 UE的第二认证标识； /n 所述 AAA服务器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 获得认证结果。 /n 10、 根据权利要求 9所述的方法， 其特征在于， 所述认证网元根据所述 UE的第一 认证标识和所述 UE的第二认证标识更新所述第一绑定信息， 包括： /n 所述 AAA服务器在所述第一绑定信息中添加所述 UE的第一认证标识和所述 UE的 第二认证标识的绑定关系。 /n 11、 根据权利要求 9或 10所述的方法， 其特征在于， 所述第一绑定信息中的第一 认证标识包括： 签约用户持久标识 SUPI和久设备标识 PEI中的至少一个。 /n 12、 根据权利要求 9或 10所述的方法， 其特征在于， 所述第一绑定信息中的第一 认证标识包括： 外部标识， 或， 外部标识和持久设备标识 PEI ; 其中， 所述外部标识 是由签约用户持久标识 SUPI映射而成的， 其中， 在 UDM的签约数据中包括所述 SUPI 与所述外部标识之间的映射关系。 /n 13、 根据权利要求 9至 12任一项所述的方法， 其特征在于， /n 在所述 AAA服务器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE 的第二认证标识是否符合所述第一绑定关系之前， 还包括： 所述 AAA服务器接收所述 SMF发送的 IP信息， 所述 IP信息是所述 SMF基于所述 UE的第一认证标识生成的 IP 地址或 IP前缀； 所述 AAA服务器基于所述第一绑定信息获得第二绑定信息， 所述第二 绑定信息包括所述 IP信息与所述第二认证标识之间的第二绑定关系； /n 所述 AAA服务器接收所述 UE发送的所述 UE的第二认证标识， 具体为： 所述 AAA 服务器接收所述 UE发送的 IP报文， 所述 IP报文包括所述 UE的第二认证标识和 UE 的 IP信息； /n 所述 AAA服务器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 具体为： 所述 AAA服务器根据所述第二绑 定信息检验所述 UE的 IP地址和所述 UE的第二认证标识是否符合所述第二绑定关系。 /n 14 、 根据权利要求 1至 8任一项所述的方法， 其特征在于， 所述认证网元为认证 授权计费 AAA服务器； /n 所述方法包括： /n 所述 AAA服务器接收所述 SMF发送的所述 UE的第二认证标识； /n 所述 AAA服务器根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证， 得到第一认证结果； /n 所述 AAA服务器接收所述 SMF发送的 UE的第一认证标识； /n 所述 AAA服务器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 获得第二认证结果。 /n 15、 根据权利要求 1至 8任一项所述的方法， 其特征在于， 所述认证网元为会话 管理功能网元 SMF; 所述方法包括： /n 所述 SMF接收接入与移动性管理功能网元 AMF发送的第一认证标识； /n 所述 SMF接收所述 UE发送的所述 UE的第二认证标识； /n 所述 SMF获取第一绑定信息，并根据所述第一绑定信息检验所述 UE的第一认证标 识与所述 UE的第二认证标识是否符合所述第一绑定关系， 获得认证结果。 /n 16、 根据权利要求 15所述的方法， 其特征在于， 所述 SMF获取绑定信息， 包括： 所述 SMF从本地存储中获取所述绑定信息。 /n 17、 根据权利要求 16所述的方法， 其特征在于， 所述认证网元根据所述 UE的第 一认证标识和所述 UE的第二认证标识更新所述第一绑定信息， 包括： /n 所述 SMF在本地存储的所述第一绑定信息中添加所述 UE 的第一认证标识和所述/nUE的第二认证标识的绑定关系； 或者， /n 所述 SMF通知存储有所述第一绑定信息的所述 UDM更新所述第一绑定信息。 /n 18、 根据权利要求 15至 17任一项所述的方法， 其特征在于， 所述第一认证标识 包括： 签约用户持久标识 SUP I和持久设备标识 PEI中的至少一项。 /n 19、 根据权利要求 15至 18任一项所述的方法， 其特征在于， 在所述第一绑定信 息中， 每个第一认证标识对应至少一个第二认证标识； /n 所述 SMF根据所述绑定信息认证所述 UE的第一认证标识与所述 UE的第二认证标 识是否具有绑定关系， 包括： /n 所述 SMF根据所述 UE的第一认证标识査找所述第一绑定信息， 获得与所述 UE的 第一认证标识对应的至少一个第二认证标识； /n 所述 SMF检验所述 UE的第二认证标识是否在所述对应的至少一个第二认证标识中。 /n 20、 一种认证网元， 其特征在于， 所述认证网元包括： 发射器、 接收器、 存储器 和与存储器耦合的处理器， 所述发射器、 所述接收器、 所述存储器、 所述处理器可通 过总线或者其它方式连接； 其中： /n 所述接收器用于接收的 UE接入数据网络 DN的请求； /n 所述接收器还用于接收所述 UE的第一认证标识以及所述 UE的第二认证标识； 其中， 所述 UE 的第一认证标识已通过认证服务功能网元 AUSF 的认证； 所述 UE 的第二认证标识为所述 UE用来请求接入所述 DN所使用的标识； /n 所述处理器用于根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二 认证标识是否符合所述第一绑定关系， 获得认证结果； 所述第一绑定信息包括一对或 多对第一认证标识与第二认证标识之间的第一绑定关系 ，所述第一绑定信息的第一认 证标识表示用于所述 AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表 示用于 UE接入所述 DN的认证的标识； /n 所述发射器用于向所述 UE发送所述认证结果。 /n 21、 根据权利要求 20所述的认证网元， 其特征在于， 所述第一绑定信息包括映射 表， 所述映射表包括一个或多个表项， 每一个表项包括至少一个与 UE关联的所述第一 绑定关系。 /n 22、 根据权利要求 20所述的认证网元， 其特征在于， 所述第一绑定信息包括数据 库， 所述数据库包括一个或多个数据元素， 每一个数据元素包括至少一个与 UE关联的 所述第一绑定关系。 /n 23、 根据权利要求 20至 22任一项所述的认证网元， 其特征在于， 所述存储器用 于存储所述第一绑定信息。 /n 24、 根据权利要求 20至 22任一项所述的认证网元， 其特征在于， 所述第一绑定 信息预先保存在统一数据管理网元 UDM的签约数据中； 所述处理器用于根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二 认证标识是否符合所述第一绑定关系之前， 包括： /n 所述接收器用于从所述 UDM的签约数据中获取所述第一绑定信息。 /n 25、 根据权利要求 20至 24任一项所述的认证网元， 其特征在于， 所述处理器用 于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否 符合所述第一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 26、 根据权利要求 20至 24任一项所述的认证网元， 其特征在于， 所述处理器用 于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否 符合所述第一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 若所述 UE的第一认证标识与所述 UE的第二认证标识不符合所述第一绑定关系， 则所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若 所述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述 请求接入所述 DN成功，所述处理器用于根据所述 UE的第一认证标识和所述 UE的第二 认证标识更新所述第一绑定信息。 /n 27、 根据权利要求 20至 24任一项所述的认证网元， 其特征在于， 所述处理器用 于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否 符合所述第一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若所 述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述请 求接入所述 DN成功。 /n 28、 根据权利要求 20至 27任一项所述的认证网元， 其特征在于， 所述认证网元 为认证授权计费 AAA服务器； 其中： /n 所述接收器用于接收所述 SMF发送的 UE的第一认证标识； /n 所述接收器还用于接收所述 SMF发送的所述 UE的第二认证标识； /n 所述处理器用于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 获得认证结果。 /n 29、 根据权利要求 28 所述的认证网元， 其特征在于， 所述处理器用于根据所述 UE的第一认证标识和所述 UE的第二认证标识更新所述第一绑定信息， 包括： /n 所述处理器用于在所述第一绑定信息中添加所述 UE的第一认证标识和所述 UE的 第二认证标识的绑定关系。 /n 30、 根据权利要求 28或 29所述的认证网元， 其特征在于， 所述第一绑定信息中 的第一认证标识包括： 签约用户持久标识 SUPI和久设备标识 PEI中的至少一个。 /n 31、 根据权利要求 28或 29所述的认证网元， 其特征在于， 所述第一绑定信息中 的第一认证标识包括： 外部标识， 或， 外部标识和持久设备标识 PEI ; 其中， 所述外 部标识是由签约用户持久标识 SUPI映射而成的， 其中， 在 UDM的签约数据中包括所述 SUPI与所述外部标识之间的映射关系。 /n 32、 根据权利要求 28至 31任一项所述的认证网元， 其特征在于， /n 在所述处理器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的第 二认证标识是否符合所述第一绑定关系之前， 还包括： 所述接收器用于接收所述 SMF 发送的 IP信息， 所述 IP信息是所述 SMF基于所述 UE的第一认证标识生成的 IP地址 或 IP前缀； 所述处理器用于基于所述第一绑定信息获得第二绑定信息， 所述第二绑定 信息包括所述 IP信息与所述第二认证标识之间的第二绑定关系； /n 所述接收器用于接收所述 UE发送的所述 UE的第二认证标识， 具体为： 所述接收 器用于接收所述 UE发送的 IP报文， 所述 IP报文包括所述 UE的第二认证标识和 UE 的 IP信息； /n 所述处理器用于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 具体为： 所述处理器用于根据所述第二绑 定信息检验所述 UE的 IP地址和所述 UE的第二认证标识是否符合所述第二绑定关系。 /n 33、 根据权利要求 20至 27任一项所述的认证网元， 其特征在于， 所述认证网元 为认证授权计费 AAA服务器； 其中： /n 所述接收器用于接收所述 SMF发送的所述 UE的第二认证标识； /n 所述处理器用于根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证， 得到第一认证结果； /n 所述接收器还用于接收所述 SMF发送的 UE的第一认证标识； /n 所述处理器还用于根据所述第一绑定信息检验所述 UE 的第一认证标识与所述 UE 的第二认证标识是否符合所述第一绑定关系， 获得第二认证结果。 /n 34、 根据权利要求 20至 27任一项所述的认证网元， 其特征在于， 所述认证网元 为会话管理功能网元 SMF; 其中： /n 所述接收器用于接收接入与移动性管理功能网元 AMF发送的第一认证标识； 所述接收器还用于接收所述 UE发送的所述 UE的第二认证标识； /n 所述处理器用于根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 获得认证结果； /n 所述发射器用于向所述 UE发送所述认证结果。 /n 35、 根据权利要求 34所述的认证网元， 其特征在于， 包括： /n 所述存储器用于存储所述所述第一绑定信息。 /n 36、 根据权利要求 35 所述的认证网元， 其特征在于， 所述处理器用于根据所述 UE的第一认证标识和所述 UE的第二认证标识更新所述第一绑定信息， 包括： /n 所述处理器用于在所述存储器的所述第一绑定信息中添加所述 UE 的第一认证标 识和所述 UE的第二认证标识的绑定关系； 或者， /n 所述发射器用于通知存储有所述第一绑定信息的所述 UDM更新所述第一绑定信息。 /n 37、 根据权利要求 34至 36任一项所述的认证网元， 其特征在于， 所述第一认证 标识包括： 签约用户持久标识 SUPI和持久设备标识 PEI中的至少一项。 /n 38、 根据权利要求 34至 37任一项所述的认证网元， 其特征在于， 在所述第一绑 定信息中， 每个第一认证标识对应至少一个第二认证标识； /n 所述处理器用于根据所述绑定信息认证所述 UE的第一认证标识与所述 UE的第二 认证标识是否具有绑定关系， 包括： /n 所述处理器用于根据所述 UE的第一认证标识査找所述第一绑定信息，获得与所述 UE 的第一认证标识对应的至少一个第二认证标识； 检验所述 UE 的第二认证标识是否 在所述对应的至少一个第二认证标识中。 /n