网络验证方法、相关设备及系统技术方案

本申请公开了网络认证方法、装置和系统，该方法包括：认证网元接收的UE接入数据网络DN的请求；接收UE的第一认证标识以及UE的第二认证标识；根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果；所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系，所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识。实施本发明专利技术，能够实现降低次要认证过程中的通信负担，降低计算资源消耗，提高次要认证的效率。

Network verification method, relevant equipment and system

【技术实现步骤摘要】
【国外来华专利技术】网络验证方法、相关设备及系统
本申请涉及通信
，尤其涉及网络验证方法、相关设备及系统。
技术介绍
随着通信技术的发展，用户设备（如手机）越来越普及，在用户设备需要访问互联网时，网络首先会对用户设备进行认证和授权。例如，当手机要接入第五代移动通信技术（5th-Generati0n，5G)网络时，首先网络要对手机进行首要认证，核实该手机的身份合法性。对于一些用户设备而言，网络可能还需进一步对用户设备进行次要认证，才会被获准访问网络。本申请的专利技术人在研究实践中发现，在现有技术的次要认证过程中，用户设备和网络需要通过多个来回的往返消息进行认证，认证过程比较繁琐，通信开销大，认证中用户设备和网络也需要进行哈希校验或证书校验等计算，计算开销大，次要认证的效率较低。
技术实现思路
本专利技术实施例公开一种网络验证方法、相关设备及系统，能够实现降低次要认证过程中的通信负担，降低计算资源消耗，提高次要认证的效率。第一方面，本专利技术实施例提供了一种网络验证方法，从认证网元侧描述，该方法包括：认证网元接收的UE接入数据网络DN的请求；所述认证网元接收所述UE的第一认证标识以及所述UE的第二认证标识；其中，所述UE的第一认证标识为已通过所述UE与认证服务功能网元AUSF之间的第一网络认证的标识；所述UE的第二认证标识为所述UE用来请求接入所述DN的第二网络认证所使用的标识；所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果；其中，所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系，所述第一绑定信息的第一认证标识表示准许用于UE与所述AUSF之间的第一网络认证中检验的标识；所述第一绑定信息中的所述第二认证标识表示准许用于UE接入所述DN的第二网络认证的标识。在可能的实施例中，所述第一绑定信息包括映射表，所述映射表包括一个或多个表项，每一个表项包括至少一个与UE关联的所述第一绑定关系。在可能的实施例中，所述第一绑定信息包括数据库，所述数据库包括一个或多个数据元素，每一个数据元素包括至少一个与UE关联的所述第一绑定关系。在可能的实施例中，第一绑定信息预先保存在所述认证网元的本地存储中。在可能的实施例中，所述第一绑定信息预先保存在统一数据管理网元UDM的签约数据中。所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前，包括：所述认证网元从所述UDM的签约数据中获取所述第一绑定信息。在本专利技术实施例中，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则认证结果为所述UE和所述DN之间的网络认证成功。在本专利技术实施例中，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则认证结果为所述UE和所述DN之间的网络认证成功；若所述UE的第一认证标识与所述UE的第二认证标识不符合所述第一绑定关系，则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证；若认证成功，则认证结果为所述UE和所述DN之间的网络认证成功，所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息。在本专利技术实施例中，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证；若认证成功，则认证结果为所述UE和所述DN之间的网络认证成功。在本专利技术实施例中，在获得认证结果之后，还包括：所述认证网元将所述认证结果通过EAP消息反馈至所述UE。基于第一方面，在可能的实现方式中，所述认证网元为认证授权计费AAA服务器；相应的：所述AAA服务器获取第一绑定信息；所述AAA服务器接收所述SMF发送的UE的第一认证标识；所述AAA服务器接收所述SMF发送的所述UE的第二认证标识；所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果。在本专利技术实施例中，所述AAA服务器获取第一绑定信息，包括：所述AAA服务器从本地存储中获取所述第一绑定信息。在这种实现方式中，若认证成功，则认证结果为所述UE和所述DN之间的网络认证成功，所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息，包括：若认证成功，则认证结果为所述UE和所述DN之间的网络认证成功，所述AAA服务器在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。其中，可选的，所述第一绑定信息中的第一认证标识包括：签约用户持久标识SUPI，和/或，持久设备标识PEI。其中，可选的，所述第一绑定信息中的第一认证标识包括：外部标识，或，外部标识和持久设备标识PEI;其中，所述外部标识是由签约用户持久标识SUPI翻译而成的。在本专利技术实施例中，所述AAA服务器接收所述UE发送的所述UE的第二认证标识，包括：所述AAA服务器接收所述UE发送的EAP身份响应消息，所述EAP身份响应消息包括所述UE的第二认证标识。在本专利技术实施例中，所述AAA服务器接收所述UE发送的所述UE的第二认证标识，包括：所述AAA服务器接收所述SMF发送的EAP身份响应消息，所述EAP身份响应消息包括所述UE的第二认证标识，其中，所述UE的第二认证标识是所述UE通过会话建立请求发送至所述SMF的。基于第一方面，在可能的实现方式中，在所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前，还包括：所述AAA服务器接收所述SMF发送的IP信息，所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀；所述AAA服务器基于所述第一绑定信息获得第二绑定信息，所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系；所述AAA服务器接收所述UE发送的所述UE的第二认证标识，具体为：所述AAA服务器接收所述UE发送的IP报文，所述IP报文包括所述UE的第二认证标识和UE的IP信息；所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，具体为：所述AAA服务器根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。基于第一方面，在可能的实现方式中，所述认证网元为会话管理功能网元SMF;相应的：本文档来自技高网...

【技术保护点】
1、 一种网络认证方法， 其特征在于， 所述方法包括： /n 认证网元接收的 UE接入数据网络 DN的请求； /n 所述认证网元接收所述 UE的第一认证标识以及所述 UE的第二认证标识； 所述 UE 的第一认证标识已通过认证服务功能网元 AUSF的认证； 所述 UE的第二认证标识为所 述 UE用来请求接入所述 DN所使用的标识； /n 所述认证网元根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认 证标识是否符合所述第一绑定关系， 获得认证结果； 所述第一绑定信息包括一对或多 对第一认证标识与第二认证标识之间的第一绑定关系， 所述第一绑定信息的第一认证 标识表示用于所述 AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表示 用于 UE接入所述 DN的认证的标识。 /n 2、 根据权利要求 1所述的方法， 其特征在于， 所述第一绑定信息包括映射表， 所 述映射表包括一个或多个表项，每一个表项包括至少一个与 UE关联的所述第一绑定关 系。 /n 3、 根据权利要求 1所述的方法， 其特征在于， 所述第一绑定信息包括数据库， 所 述数据库包括一个或多个数据元素，每一个数据元素包括至少一个与 UE关联的所述第 一绑定关系。 /n 4、 根据权利要求 1至 3任一项所述的方法， 其特征在于， 第一绑定信息预先保存 在所述认证网元的本地存储中。 /n 5、 根据权利要求 1至 3任一项所述的方法， 其特征在于， 所述第一绑定信息预先 保存在统一数据管理网元 UDM的签约数据中； /n 所述认证网元根据第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认 证标识是否符合所述第一绑定关系之前， 包括： /n 所述认证网元从所述 UDM的签约数据中获取所述第一绑定信息。 /n 6、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 7、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： /n 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 认证结果为所述请求接入所述 DN成功。 /n 若所述 UE的第一认证标识与所述 UE的第二认证标识不符合所述第一绑定关系， 则所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若 所述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述 请求接入所述 DN成功，所述认证网元根据所述 UE的第一认证标识和所述 UE的第二认 证标识更新所述第一绑定信息。 /n 8、 根据权利要求 1至 5任一项所述的方法， 其特征在于， 所述认证网元根据所述 第一绑定信息检验所述 UE的第一认证标识与所述 UE的第二认证标识是否符合所述第 一绑定关系， 获得认证结果， 包括： 若所述 UE的第一认证标识与所述 UE的第二认证标识符合所述第一绑定关系， 则 所述认证网元根据可扩展身份认证协议 EAP对所述 UE的第二认证标识进行认证，若所 述认证网元根据 EAP对所述 UE的第二认证标识进行的认证成功，则认证结果为所述请 求接入所述 DN成功。 /n 9、 根据权利要求 1至 8任一项所述的方法， 其特征在于， 所述认证网元为认证授 权计费 AAA服务器； /n 所述方法包括： /n 所述 AAA服务器接收所述 SMF发送的 UE的第一认证标识； /n 所述 AAA服务器接收所述 SMF发送的所述 UE的第二认证标识； /n 所述 AAA服务器根据所述第一绑定信息检验所述 UE的第一认证标识与所述 UE的 第二认证标识是否符合所述第一绑定关系， 获得认证结果。 /n 10、 根据权利要求 9所述的方法， 其特征在于， 所述认证网元根据所述 UE的第一 认证标识和所述 UE的第二认证标识更新所述第一绑定信息， 包括： /n 所述 AAA服务器在所述第一绑定信息中添加所述 UE的第一认证标识和所述 UE的 第二认证标识的绑定关系。 /n 11、 根据权利要求 9或 10所述的方法， 其特征在于， 所述第一绑定信息中的第一 认证标识包括： 签约用户持久标识 SUPI和久设备标识 PEI中的至少一个。 /n 12、 根据权利要求 9或 10所述的方法， 其特征在于， 所述第一绑定信息中的第一 认证...

【技术特征摘要】
【国外来华专利技术】20170720 SG PCT/SG2017/0503661、一种网络认证方法，其特征在于，所述方法包括：
认证网元接收的UE接入数据网络DN的请求；
所述认证网元接收所述UE的第一认证标识以及所述UE的第二认证标识；所述UE的第一认证标识已通过认证服务功能网元AUSF的认证；所述UE的第二认证标识为所述UE用来请求接入所述DN所使用的标识；
所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果；所述第一绑定信息包括一对或多对第一认证标识与第二认证标识之间的第一绑定关系，所述第一绑定信息的第一认证标识表示用于所述AUSF的认证的标识；所述第一绑定信息中的所述第二认证标识表示用于UE接入所述DN的认证的标识。
2、根据权利要求1所述的方法，其特征在于，所述第一绑定信息包括映射表，所述映射表包括一个或多个表项，每一个表项包括至少一个与UE关联的所述第一绑定关系。
3、根据权利要求1所述的方法，其特征在于，所述第一绑定信息包括数据库，所述数据库包括一个或多个数据元素，每一个数据元素包括至少一个与UE关联的所述第一绑定关系。
4、根据权利要求1至3任一项所述的方法，其特征在于，第一绑定信息预先保存在所述认证网元的本地存储中。
5、根据权利要求1至3任一项所述的方法，其特征在于，所述第一绑定信息预先保存在统一数据管理网元UDM的签约数据中；
所述认证网元根据第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前，包括：
所述认证网元从所述UDM的签约数据中获取所述第一绑定信息。
6、根据权利要求1至5任一项所述的方法，其特征在于，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则认证结果为所述请求接入所述DN成功。
7、根据权利要求1至5任一项所述的方法，其特征在于，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则认证结果为所述请求接入所述DN成功。
若所述UE的第一认证标识与所述UE的第二认证标识不符合所述第一绑定关系，则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证，若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功，则认证结果为所述请求接入所述DN成功，所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息。
8、根据权利要求1至5任一项所述的方法，其特征在于，所述认证网元根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果，包括：
若所述UE的第一认证标识与所述UE的第二认证标识符合所述第一绑定关系，则所述认证网元根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证，若所述认证网元根据EAP对所述UE的第二认证标识进行的认证成功，则认证结果为所述请求接入所述DN成功。
9、根据权利要求1至8任一项所述的方法，其特征在于，所述认证网元为认证授权计费AAA服务器；
所述方法包括：
所述AAA服务器接收所述SMF发送的UE的第一认证标识；
所述AAA服务器接收所述SMF发送的所述UE的第二认证标识；
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果。
10、根据权利要求9所述的方法，其特征在于，所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息，包括：
所述AAA服务器在所述第一绑定信息中添加所述UE的第一认证标识和所述UE的第二认证标识的绑定关系。
11、根据权利要求9或10所述的方法，其特征在于，所述第一绑定信息中的第一认证标识包括：签约用户持久标识SUPI和久设备标识PEI中的至少一个。
12、根据权利要求9或10所述的方法，其特征在于，所述第一绑定信息中的第一认证标识包括：外部标识，或，外部标识和持久设备标识PEI;其中，所述外部标识是由签约用户持久标识SUPI映射而成的，其中，在UDM的签约数据中包括所述SUPI与所述外部标识之间的映射关系。
13、根据权利要求9至12任一项所述的方法，其特征在于，
在所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系之前，还包括：所述AAA服务器接收所述SMF发送的IP信息，所述IP信息是所述SMF基于所述UE的第一认证标识生成的IP地址或IP前缀；所述AAA服务器基于所述第一绑定信息获得第二绑定信息，所述第二绑定信息包括所述IP信息与所述第二认证标识之间的第二绑定关系；
所述AAA服务器接收所述UE发送的所述UE的第二认证标识，具体为：所述AAA服务器接收所述UE发送的IP报文，所述IP报文包括所述UE的第二认证标识和UE的IP信息；
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，具体为：所述AAA服务器根据所述第二绑定信息检验所述UE的IP地址和所述UE的第二认证标识是否符合所述第二绑定关系。
14、根据权利要求1至8任一项所述的方法，其特征在于，所述认证网元为认证授权计费AAA服务器；
所述方法包括：
所述AAA服务器接收所述SMF发送的所述UE的第二认证标识；
所述AAA服务器根据可扩展身份认证协议EAP对所述UE的第二认证标识进行认证，得到第一认证结果；
所述AAA服务器接收所述SMF发送的UE的第一认证标识；
所述AAA服务器根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得第二认证结果。
15、根据权利要求1至8任一项所述的方法，其特征在于，所述认证网元为会话管理功能网元SMF;
所述方法包括：
所述SMF接收接入与移动性管理功能网元AMF发送的第一认证标识；
所述SMF接收所述UE发送的所述UE的第二认证标识；
所述SMF获取第一绑定信息，并根据所述第一绑定信息检验所述UE的第一认证标识与所述UE的第二认证标识是否符合所述第一绑定关系，获得认证结果。
16、根据权利要求15所述的方法，其特征在于，所述SMF获取绑定信息，包括：所述SMF从本地存储中获取所述绑定信息。
17、根据权利要求16所述的方法，其特征在于，所述认证网元根据所述UE的第一认证标识和所述UE的第二认证标识更新所述第一绑定信息，包括：
所述SMF在本地存储的所述第一绑定信息中添加所述UE的第一认证标识和所述
UE的第二认证标识的绑定关系；或者，
所述SMF通知存储有所述第一绑定信息的所述UDM更新所述第一绑定信息。
18、根据权利要求15至17任一项所述的方法，其特征在于，所述第一认证标识包括：签约用户持久标识SUPI和持久设备标识PEI中的至少一项。
19、根据权利要求15至18任一项所述的方法，其特征在于，在所述第一绑定信息中，每个第一认证标识对应至少一个第二认证标识；
所述SMF根据所述绑定信息认证所述UE的第一认证标识与所述UE的第二认证标识是否具有绑定关系，包括：
所述SMF根据所述UE的第一认证标识査找所述第一绑定信息，获得与所述UE的第一认证标识对应的至少一个第二认证标识；
所述SMF检验所述UE的第二认证标识是否在所述对应的至少一个第二认证标识中。
20、一种认证网元，其特征在于，所述认证网元包括：发射器、接收器、存储器和与...

【专利技术属性】
技术研发人员：李漓春，雷中定，
申请(专利权)人：华为国际有限公司，
类型：发明
国别省市：新加坡;SG