【技术实现步骤摘要】
一种鉴权方法及系统
[0001]本专利技术涉及移动通信
,更具体地,涉及一种鉴权方法及系统。
技术介绍
[0002]为防止非法网络攻击,用户终端(User Equipment,UE)接入5G网络需要通过接入网进行用户身份鉴权。与普通公众用户相比,垂直行业对业务保密性、安全性有着更高的要求,因此垂直行业的终端通过5G网络接入数据业务专网前还需要进行再一次的身份认证,即二次鉴权。
[0003]用户终端首先完成UDM(Unified Data Management,统一数据管理实体)网元及AUSF(Authentication Server Function,认证服务器功能单元)网元之间的主鉴权之后,发起接入数据业务网络请求,SMF(Session Management Function,会话管理功能)网元先根据DNN(Data Network Name,数据网络名称)判断该终端是否需要进行鉴权,确认该终端需进行二次鉴权后,向UPF(User Plane Function,用户面功能)发送鉴权请求信息,UPF将鉴权请求转发至AAA(Authentication,认证;Authorization,授权;Accounting,统计)网元,AAA网元完成二次鉴权后,SMF向UPF发送建立会话的通知,而未通过二次鉴权的终端将被拒绝访问数据业务网。
[0004]二次鉴权机制有效提升业务的安全性,但该机制在某些特殊应用场景也存在过分固定化、灵活性低的弊端。比如,集群共网作为处置突发公共事件、应急保障、开展城市管理 ...
【技术保护点】
【技术特征摘要】
1.一种鉴权方法,应用于数据业务网络,其特征在于,所述方法包括:核心网侧接收用户终端接入数据业务专网的请求并完成一次鉴权后,在用户终端侧与核心网侧间建立用户面数据通道;其中,所述核心网包括AUSF网元、SMF网元、UPF网元和AAA网元;所述SMF网元包括ATLF模块;核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,根据匹配结果确认是否对用户终端免予执行二次鉴权:若用户终端信息属于预先规划的准入资源信息,核心网侧对用户终端免予执行二次鉴权并建立用户终端与数据业务专网的连接;若用户终端信息不属于预先规划的准入资源信息,核心网侧不对用户终端免予执行二次鉴权;其中,所述用户终端信息包括用户终端签约的TAC和携带的DNN。2.根据权利要求1所述的一种鉴权方法,其特征在于,所述核心网侧不对用户终端免予执行二次鉴权之后,执行以下任一步骤:(1)所述核心网侧直接拒绝用户终端访问数据业务网络;(2)所述核心网侧对用户终端执行二次鉴权。3.根据权利要求1
‑
2任一项所述的一种鉴权方法,其特征在于,所述预先规划的准入资源信息,包括:授信通信终端SIM卡签约的数据业务专网专用DNN,记作DNN
SP
;用于临时配置数据业务专网基站的临时TAC,所述临时TAC的数量记作w,所述临时TAC记作τ
j
’
,j=[1,2,
…
,w],即τ
j
’
∈T
’
={τ1’
,τ2’
,
…
,τ
w
’
}。4.根据权利要求3所述的一种鉴权方法,其特征在于,所述核心网侧获取用户终端信息,将用户终端信息与预先规划的准入资源信息进行匹配,其步骤包括:SMF网元指示UPF网元向ATLF模块下发用户终端信息;其中,用户终端信息中用户终端签约的DNN记作DNN
UE
,用户终端携带的TAC记作τ
UE
;ATLF模块判断DNN
UE
与DNN
SP
是否一致及τ
UE
是否属于T
’
:若DNN
UE
≠DNN
SP
,输出二次鉴权类型S
k
为拒绝鉴权;若DNN
UE
=DNN
SP
,且τ
UE
∈T
’
,输出二次鉴权类型S
k
为可免鉴权;若DNN
UE
=DNN
SP
,且输出二次鉴权类型S
k
为必须鉴权;ATLF模块将输出的二次鉴权类型S
k
发送至SMF网元,所述SMF网元根据二次鉴权类型S
k
确认是否对用户终端免予执行二次鉴权。5.根据权利要求4所述的一种鉴权方法,其特征在于,所述若用户终端信息属于预先规划的准...
【专利技术属性】
技术研发人员:黎穗卿,黄劲安,陈漩,张紫璇,胡稍华,郑锐生,陆俊超,梁广智,
申请(专利权)人:中通服中睿科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。