认证方法、设备及系统技术方案

本申请实施例提供认证方法、设备及系统，以至少用于在固移融合架构中验证NG‑RG的接入位置信息的合法性。方法包括：网络设备接收用于表征家庭网关的接入位置的第一链路信息，以及获取该家庭网关签约的第二链路信息；在第一链路信息与第二链路信息部分或者全部匹配的情况下，或者，在第一链路信息与第二链路信息中的一个链路信息部分或者全部匹配的情况下，网络设备验证该家庭网关接入的位置合法。

Certification method, equipment and system

【技术实现步骤摘要】
认证方法、设备及系统
本申请涉及通信
，尤其涉及认证方法、设备及系统。
技术介绍
第三代合作伙伴计划(3rdgenerationpartnershipproject，3GPP)和固网论坛联合定义的固移融合(即固网和移动网融合)网络架构中，下一代家庭网关(nextgeneration-residentialgateway，NG-RG)作为家庭网关，可以通过有线第五代(5thgeneration，5G)接入网(Wireline5GAccessNetwork，W-5GAN)设备和5G接入网关功能(5Gaccessgatewayfunction，5G-AGF)网元接入到5G移动核心网。其中，在上述NG-RG接入到5G移动核心网的过程中，NG-RG使用基于认证和密钥协商的5G(5G-authenticationandkeyagreement，5G-AKA)认证算法或者可扩展认证协议(extensibleauthenticationprotocol，EAP)认证算法(如EAP-AKA认证算法或者增强的EAP-AKA(improvedEAP-AKA，EAP-AKA')认证算法)验证全球用户身份模块(universalsubscriberidentitymodule，USIM)的合法性。此外，考虑到固网中NG-RG的接入位置一般需要固定，目前需要在验证USIM合法性的过程中，同时验证NG-RG的接入位置信息的合法性。然而，如何在上述固移融合架构中验证NG-RG的接入位置信息的合法性，目前并未有相关的解决方案。<br>
技术实现思路
本申请实施例提供认证方法、设备及系统，以至少用于在固移融合架构中验证NG-RG的接入位置信息的合法性。为达到上述目的，本申请的实施例采用如下技术方案：第一方面，提供了一种认证方法，该方法包括：网络设备接收第一链路信息，该第一链路信息用于表征家庭网关接入的位置；该网络设备获取该家庭网关的签约信息，该签约信息中包括该家庭网关签约的第二链路信息，该第二链路信息用于表征该家庭网关签约的位置；该网络设备根据该第一链路信息和该第二链路信息，验证该家庭网关接入的位置的合法性。本申请实施例提供的认证方法中，由于网络设备可以获取表征家庭网元接入的位置的第一链路信息和家庭网关签约的第二链路信息，并且可以根据第一链路信息和第二链路信息，验证家庭网关接入的位置的合法性。因此，基于本申请实施例提供的认证方法，可以在固移融合架构中验证家庭网关的接入位置的合法性。在一种可能的设计中，该第二链路信息为多个；该网络设备根据该第一链路信息和该第二链路信息，验证该家庭网关接入的位置的合法性，包括：若该第一链路信息和该第二链路信息中的任意一个匹配，该网络设备确定该家庭网关接入的位置合法。可选的，本申请实施例中，链路信息匹配是指链路信息的全部或部分匹配。比如，第一链路信息与和第二链路信息中的任意一个匹配，是指第一链路信息与和第二链路信息中的任意一个的部分信息或全部信息匹配，本申请实施例对此不作具体限定。在一种可能的设计中，该签约信息中还包括该家庭网关签约的第二虚拟接口信息，该第二虚拟接口信息用于表征该家庭网关签约的业务类型；该方法还包括：该网络设备接收第一虚拟接口信息，该第一虚拟接口信息用于表征该家庭网关的当前业务类型；该网络设备根据该第一虚拟接口信息和该第二虚拟接口信息，验证该家庭网关的当前业务的合法性。本申请实施例提供的认证方法中，由于网络设备可以获取表征家庭网元的当前业务类型的第一虚拟接口信息和家庭网关签约的第二虚拟接口信息，并且可以根据第一虚拟接口信息和第二虚拟接口信息，验证家庭网关的当前业务的合法性。因此，基于本申请实施例提供的认证方法，可以在固移融合架构中验证家庭网关的当前业务的合法性。在一种可能的设计中，第二虚拟接口信息为多个；网络设备根据该第一虚拟接口信息和该第二虚拟接口信息，验证该家庭网关的当前业务的合法性，包括：若该第一虚拟接口信息和该第二虚拟接口信息中的任意一个匹配，该网络设备确定该家庭网关的当前业务合法。可选的，本申请实施例中，虚拟接口匹配是指虚拟接口信息的全部或部分匹配。比如，第一虚拟接口信息与和第二虚拟接口信息中的任意一个匹配，是指第一虚拟接口信息与和第二虚拟接口信息中的任意一个的部分信息或全部信息匹配，本申请实施例对此不作具体限定。在一种可能的设计中，该网络设备为移动管理网元；该方法还包括：移动管理网元向家庭网关发送非接入层安全模式命令NASSMC请求消息，该NASSMC请求消息包括第一虚拟接口信息，该第一虚拟接口信息用于该家庭网关验证该第一虚拟接口信息是否在空口被修改。由于NASSMC请求消息有完整性保护，可以防止该NASSMC请求消息中的信息被篡改，因此基于该方案，可以验证第一虚拟接口信息是否在空口被修改。在一种可能的设计中，网络设备为统一数据管理网元；在网络设备接收第一链路信息之前，方法还包括：网络设备接收第三链路信息，第三链路信息用于标识家庭网关接入的位置；网络设备根据本地策略，将第三链路信息存储到家庭网关的签约信息中。由于该方案提供了一种链路信息的自动绑定方式，因此可以简化家庭网关的接入位置信息的签约。在一种可能的设计中，网络设备为统一数据管理网元；在网络设备接收来自家庭网关的第一虚拟接口信息之前，方法还包括：网络设备接收来自家庭网关的第三虚拟接口信息，第三虚拟接口信息用于标识家庭网关的当前业务类型；网络设备根据本地策略，将第三虚拟接口信息存储到家庭网关的签约信息中。由于该方案提供了一种虚拟接口信息的自动绑定方式，因此可以简化家庭网关的业务类型的签约。第二方面，提供了一种认证方法，该方法包括：移动管理网元获取第一密钥，该第一密钥为该移动管理网元和家庭网关之间的临时密钥；该移动管理网元根据该第一密钥、非第三代合作伙伴计划3GPP网络标识以及该非3GPP网络的分类标识，确定第二密钥；该移动管理网元向该接入网关功能网元发送该第二密钥。由于本申请实施例中，移动管理网元在推衍第二密钥时，考虑了非3GPP网络标识以及该非3GPP网络的分类标识，因此可以隔离非3GPP网络中不同类型的接入方式。在一种可能的设计中，该移动管理网元根据该第一密钥、非3GPP网络标识以及该非3GPP网络的分类标识，确定第二密钥，包括：移动管理网元根据该第一密钥、该非3GPP网络标识、该非3GPP网络的分类标识以及非接入层NAS消息计数值，确定该第二密钥。在一种可能的设计中，该非3GPP网络的分类标识用于指示该家庭网关的接入方式为固网接入或Wi-Fi接入。当然，该非3GPP网络的分类标识还可以用于指示其他类型的非3GPP接入，本申请实施例对此不作具体限定。在一种可能的设计中，该NAS消息计数值为上行或下行NAS消息计数值。第三方面，提供一种认证方法，该方法包括：家庭网关获取第一密钥，该第一密钥为该家庭网关和移动管理网元之间的临时密钥；该家庭网关根据该第一密钥、非第三代合作伙伴计划3GPP网络标识以及该非3GPP网络的分类标识，确定第二密钥。由于本申请本文档来自技高网...

【技术保护点】
1.一种认证方法，其特征在于，所述方法包括：/n网络设备接收第一链路信息，所述第一链路信息用于表征家庭网关接入的位置；/n所述网络设备获取所述家庭网关的签约信息，所述签约信息中包括所述家庭网关签约的第二链路信息，所述第二链路信息用于表征所述家庭网关签约的位置；/n所述网络设备根据所述第一链路信息和所述第二链路信息，验证所述家庭网关接入的位置的合法性。/n

【技术特征摘要】
1.一种认证方法，其特征在于，所述方法包括：
网络设备接收第一链路信息，所述第一链路信息用于表征家庭网关接入的位置；
所述网络设备获取所述家庭网关的签约信息，所述签约信息中包括所述家庭网关签约的第二链路信息，所述第二链路信息用于表征所述家庭网关签约的位置；
所述网络设备根据所述第一链路信息和所述第二链路信息，验证所述家庭网关接入的位置的合法性。


2.根据权利要求1所述的方法，其特征在于，所述第二链路信息为多个；
所述网络设备根据所述第一链路信息和所述第二链路信息，验证所述家庭网关接入的位置的合法性，包括：
若所述第一链路信息和所述第二链路信息中的任意一个匹配，所述网络设备确定所述家庭网关接入的位置合法。


3.根据权利要求1或2所述的方法，其特征在于，所述签约信息中还包括所述家庭网关签约的第二虚拟接口信息，所述第二虚拟接口信息用于表征所述家庭网关签约的业务类型；所述方法还包括：
所述网络设备接收第一虚拟接口信息，所述第一虚拟接口信息用于表征所述家庭网关的当前业务类型；
所述网络设备根据所述第一虚拟接口信息和所述第二虚拟接口信息，验证所述家庭网关的当前业务的合法性。


4.根据权利要求3所述的方法，其特征在于，所述第二虚拟接口信息为多个；
所述网络设备根据所述第一虚拟接口信息和所述第二虚拟接口信息，验证所述家庭网关的当前业务的合法性，包括：
若所述第一虚拟接口信息和所述第二虚拟接口信息中的任意一个匹配，所述网络设备确定所述家庭网关的当前业务合法。


5.根据权利要求3或4所述的方法，其特征在于，所述网络设备为移动管理网元；所述方法还包括：
所述移动管理网元向所述家庭网关发送非接入层安全模式命令NASSMC请求消息，所述NASSMC请求消息包括第一虚拟接口信息，所述第一虚拟接口信息用于所述家庭网关验证所述第一虚拟接口信息是否在空口被修改。


6.一种认证方法，其特征在于，所述方法包括：
移动管理网元获取第一密钥，所述第一密钥为所述移动管理网元和家庭网关之间的临时密钥；
所述移动管理网元根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识，确定第二密钥；
所述移动管理网元向所述接入网关功能网元发送所述第二密钥。


7.根据权利要求6所述的方法，其特征在于，所述移动管理网元根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识，确定第二密钥，包括：
所述移动管理网元根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值，确定所述第二密钥。


8.根据权利要求7所述的方法，其特征在于，所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。


9.根据权利要求7或8所述的方法，其特征在于，所述NAS消息计数值为上行或下行NAS消息计数值。


10.一种认证方法，其特征在于，所述方法包括：
家庭网关获取第一密钥，所述第一密钥为所述家庭网关和移动管理网元之间的临时密钥；
所述家庭网关根据所述第一密钥、非第三代合作伙伴计划3GPP网络标识以及所述非3GPP网络的分类标识，确定第二密钥。


11.根据权利要求10所述的方法，其特征在于，所述家庭网关根据所述第一密钥、非3GPP网络标识以及所述非3GPP网络的分类标识，确定第二密钥，包括：
所述家庭网关根据所述第一密钥、所述非3GPP网络标识、所述非3GPP网络的分类标识以及非接入层NAS消息计数值，确定所述第二密钥。


12.根据权利要求11所述的方法，其特征在于，所述非3GPP网络的分类标识用于指示所述家庭网关的接入方式为固网接入或Wi-Fi接入。


13.根据权利要求10或11所述的方法，其特征在于，所述NAS消息计数值为上行或下行NAS消息计数值。


14.一种网络设备，其特征在于，所述网络设备包括：收发模块和处理模块；
所述收发...

【专利技术属性】
技术研发人员：李华，何承东，张博，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44