一种鉴权方法及系统技术方案

技术编号:36942536 阅读:26 留言:0更新日期:2023-03-22 19:04
本发明专利技术公开了一种鉴权方法及系统,涉及移动通信技术领域。其中,所述鉴权方法包括核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权。所述鉴权系统中,核心网侧包括AUSF网元、SMF网元(其中包含ATLF模块)、UPF网元和AAA网元。相较于现有技术,本发明专利技术所述鉴权方法通过对授信用户终端免除二次鉴权、对授信条件不足的用户终端仍强制二次鉴权或直接拒绝访问,在保证数据业务网络通信安全的前提下提升用户终端二次鉴权类型选择的合理性,一定程度上节省网络资源。定程度上节省网络资源。定程度上节省网络资源。

【技术实现步骤摘要】
一种鉴权方法及系统


[0001]本专利技术涉及移动通信
,更具体地,涉及一种鉴权方法及系统。

技术介绍

[0002]为防止非法网络攻击,用户终端(User Equipment,UE)接入5G网络需要通过接入网进行用户身份鉴权。与普通公众用户相比,垂直行业对业务保密性、安全性有着更高的要求,因此垂直行业的终端通过5G网络接入数据业务专网前还需要进行再一次的身份认证,即二次鉴权。
[0003]用户终端首先完成UDM(Unified Data Management,统一数据管理实体)网元及AUSF(Authentication Server Function,认证服务器功能单元)网元之间的主鉴权之后,发起接入数据业务网络请求,SMF(Session Management Function,会话管理功能)网元先根据DNN(Data Network Name,数据网络名称)判断该终端是否需要进行鉴权,确认该终端需进行二次鉴权后,向UPF(User Plane Function,用户面功能)发送鉴权请求信息,UPF将鉴权请求转发至AAA(Authentication,认证;Authorization,授权;Accounting,统计)网元,AAA网元完成二次鉴权后,SMF向UPF发送建立会话的通知,而未通过二次鉴权的终端将被拒绝访问数据业务网。
[0004]二次鉴权机制有效提升业务的安全性,但该机制在某些特殊应用场景也存在过分固定化、灵活性低的弊端。比如,集群共网作为处置突发公共事件、应急保障、开展城市管理的重要指挥调度平台,广泛应用于政府、公共安全、公用事业等领域,当处于在抢险救灾等应急指挥调度场景下,二次鉴权机制影响了整个应急网络的响应速度。
[0005]已见现有技术公开了用户终端二次认证方法和系统、接入和移动性管理装置;其中,所述二次认证方法为在用户终端注册到5G网络的情况下,在5G网络完成对用户终端的认证鉴权后,通知第三方数据网络服务器对用户终端进行鉴权认证。其实质上是在5G终端注册网络时,通知第三方平台提前进行鉴权认证,该技术手段仍与主流鉴权思路一致,仍存在整体网络响应时间长的问题。

技术实现思路

[0006]本专利技术为克服上述现有技术所述的二次鉴权机制导致网络响应时间长的缺陷,提供一种鉴权方法及系统。
[0007]为解决上述技术问题,本专利技术的技术方案如下:
[0008]第一方面,一种鉴权方法,应用于数据业务网络,所述数据业务网络为满足自身需要而由企业、组织或部门建立、拥有、管理和使用的数据网专用网络,包括:
[0009]核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF(Authentication Type Label Function,终端的二次鉴权类型且进行登记)模块;
[0010]核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:
[0011]若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;
[0012]若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC(Tracking Area Code,跟踪区码)和携带的DNN。
[0013]本技术方案中,核心网侧在完成一次鉴权后,通过将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权;当用户终端被免予执行二次鉴权时,其可跳过二次鉴权直接与数据业务专网通信,在保证数据业务网络通信安全的前提下提升了数据业务网络的整体响应效率,并在一定程度上节省网络资源。
[0014]作为优选方案,所述核心网侧不对用户终端免予执行二次鉴权之后,执行以下任一步骤:
[0015](1)核心网侧直接拒绝用户终端访问数据业务网络;
[0016](2)所述核心网侧对用户终端执行二次鉴权中的一种。
[0017]作为优选方案,所述预先规划的准入资源信息,包括:
[0018]授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNN
SP

[0019]用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τ
j

,j=[1,2,

,w],即τ
j

∈T

={τ1’
,τ2’
,


w

}。
[0020]作为优选方案的可能设计,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,其步骤包括:
[0021]SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNN
UE
,用户终端携带的TAC记作τ
UE

[0022]ATLF模块判断DNN
UE
与DNN
SP
是否一致及τ
UE
是否属于T


[0023]若DNN
UE
≠DNN
SP
,输出二次鉴权类型S
k
为拒绝鉴权;
[0024]若DNN
UE
=DNN
SP
,且τ
UE
∈T

,输出二次鉴权类型S
k
为可免鉴权;
[0025]若DNN
UE
=DNN
SP
,且输出二次鉴权类型S
k
为必须鉴权;
[0026]ATLF模块将输出的二次鉴权类型S
k
发送至SMF网元,所述SMF网元根据二次鉴权类型S
k
确认是否对用户终端免予执行二次鉴权。
[0027]即,该可能设计中,用户终端被允许跳过二次鉴权直接接入数据业务专网的条件为且仅为用户终端签约的DNN是数据业务专网专用的DNN,且其携带的TAC是临时配置数据业务专网基站的临时TAC集合T

的元素。
[0028]进一步地,所述若用户终端信息属于预先规划的准入资源信息,对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接,具体为:
[0029]若所述SMF网元接收到二次鉴权类型S
k
为可免鉴权,所述SMF网元向UPF网元发送为用户终端建立到数据业务专网连接的请求;UPF网元响应连接请求,建立起用户终端与数据业务专网间的连接通道。
[0030]进一步地,所述本文档来自技高网
...

【技术保护点】

【技术特征摘要】
1.一种鉴权方法,应用于数据业务网络,其特征在于,所述方法包括:核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF模块;核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC和携带的DNN。2.根据权利要求1所述的一种鉴权方法,其特征在于,所述核心网侧不对用户终端免予执行二次鉴权之后,执行以下任一步骤:(1)所述核心网侧直接拒绝用户终端访问数据业务网络;(2)所述核心网侧对用户终端执行二次鉴权。3.根据权利要求1

2任一项所述的一种鉴权方法,其特征在于,所述预先规划的准入资源信息,包括:授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNN
SP
;用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τ
j

,j=[1,2,

,w],即τ
j

∈T

={τ1’
,τ2’
,


w

}。4.根据权利要求3所述的一种鉴权方法,其特征在于,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,其步骤包括:SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNN
UE
,用户终端携带的TAC记作τ
UE
;ATLF模块判断DNN
UE
与DNN
SP
是否一致及τ
UE
是否属于T

:若DNN
UE
≠DNN
SP
,输出二次鉴权类型S
k
为拒绝鉴权;若DNN
UE
=DNN
SP
,且τ
UE
∈T

,输出二次鉴权类型S
k
为可免鉴权;若DNN
UE
=DNN
SP
,且输出二次鉴权类型S
k
为必须鉴权;ATLF模块将输出的二次鉴权类型S
k
发送至SMF网元,所述SMF网元根据二次鉴权类型S
k
确认是否对用户终端免予执行二次鉴权。5.根据权利要求4所述的一种鉴权方法,其特征在于,所述若用户终端信息属于预先规划的准...

【专利技术属性】
技术研发人员:黎穗卿黄劲安陈漩张紫璇胡稍华郑锐生陆俊超梁广智
申请(专利权)人:中通服中睿科技有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1