基于MEC的AMF及其身份认证方法、构建方法和装置制造方法及图纸

本公开提供了基于MEC的AMF及其身份认证方法、构建方法和装置，所述方法包括：AMF实体接收至少一个终端发送的身份认证请求；AMF实体从所述至少一个终端中选择一个终端作为双向认证终端；AMF实体与双向认证终端进行双向认证；AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证；其中，AMF实体按照如下方式构建：选择边缘物理基础设施；利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体。本公开对现有的认证和密钥协商标准简化，在多个终端同时认证同一服务网络的场景下，基于边缘计算对终端进行低时延安全接入认证，以减少信令开销，避免网络拥塞。

【技术实现步骤摘要】
基于MEC的AMF及其身份认证方法、构建方法和装置
本公开涉及移动通信
，更为具体来说，本公开涉及基于MEC的AMF及其身份认证方法、构建方法和装置。
技术介绍
5G有三类典型应用场景，分别是支持移动互联网业务的增强移动宽带场景eMBB（enhancedMobileBroadband），支持物联网业务的大规模机器类通信场景mMTC（massiveMachine-typeCommunications）和高可靠低时延通信场景uRLLC（ultraReliableLowLatencyCommunications）。不同应用场景对网络性能的需求不同。在要求低时延的应用场景中，多接入边缘计算（Multi-AccessEdgeComputing，MEC）技术作为云计算的演进，可以将应用程序从集中式数据中心下放到网络边缘，通过无线接入网络为用户提供就近的移动业务。MEC技术可以有效降低用户时延，提升网络资源利用率。利用MEC技术的虚拟园区网络将服务向网络的边缘侧下沉，可以实现快速的处理海量数据。边缘计算使运营商和第三方服务能够在靠近UE的接入连接点进行托管，从而通过减少端到端延迟和传输网络负载实现高效的服务交付。3GPP中定义，MEC对应的网元实体为5G核心网架构中的边缘UPF（用户平面功能）。边缘UPF将作为中心UPF的边缘形态，实现业务的本地卸载和分流。在用户与服务网络进行数据交换之前，需要用户与网络之间的相互认证并在用户和网络之间建立会话密钥，以确保后续的通信安全。3GPP的标准中支持5GAKA和EAPAKA’两种认证和密钥协商协议。涉及到归属网络和服务网络的网元有SEAF（安全锚功能）、AUSF（身份认证服务器功能）、UDM（统一数据管理）、ARPF（身份认证凭据存储库和处理功能）。其中SEAF由网元AMF（接入和移动管理功能）实现。在现有的认证和密钥协商（AKA）标准中，5GMEC应用的认证流程与非MEC应用的认证流程相同，MEC用户的认证时延未能有效降低。当有多个MEC应用的用户同时向同一服务网络发起接入认证请求时，会产生大量信令开销，造成网络拥塞；当同一用户在一定时间内再次向服务网络发起认证请求时，用户和服务网络之间需要完整的再进行一次认证流程，不能有效降低认证时延。在现有的专利技术中，专利CN111031519A一种基于边缘计算的终端接入认证方法及装置、CN108810026A一种基于边缘计算的终端设备接入认证方法及系统、CN109861828A一种基于边缘计算的节点接入和节点认证方法提出新的基于MEC的终端认证和密钥协商协议，无法兼容现有的5G标准认证和密钥协商标准。
技术实现思路
为解决现有的认证和密钥协商（AKA）标准中，存在多个MEC用户同时向同一服务网络请求接入认证时产生大量的信令开销，以及同一终端多次认证同一服务网络时重复完整认证流程的低效问题；本公开解决了在以上通信场景中，用户的接入认证时延不能有效降低的技术问题。为实现上述技术目的，本公开提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法，包括：AMF实体接收至少一个终端发送的身份认证请求；AMF实体从所述至少一个终端中选择一个终端作为双向认证终端；AMF实体与双向认证终端进行双向认证；AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证；其中，AMF实体按照如下方式构建：选择边缘物理基础设施；利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；实时计算AMF实体的网元安全值；当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。为实现上述技术目的，本公开还能够提供一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体，包括：认证请求接收模块，用于接收至少一个终端发送的身份认证请求；认证选择模块，用于从所述至少一个终端中选择一个终端作为双向认证终端；双向认证模块，用于与双向认证终端进行双向认证；单向认证模块，用于利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证；其中，AMF实体按照如下方式构建：选择边缘物理基础设施；利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；实时计算AMF实体的网元安全值；当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。为实现上述技术目的，本公开还提供了一种计算机存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时用于实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。为实现上述技术目的，本公开还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。为实现上述技术目的，本公开还提供了基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法，包括：AMF实体接收到终端发送的身份认证请求时，判断终端是否首次向AMF实体发送身份认证请求；若是，则AMF实体与终端进行标准身份认证；若不是，则AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证；其中，AMF实体按照如下方式构建：选择边缘物理基础设施；利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；实时计算AMF实体的网元安全值；当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。为实现上述技术目的，本公开还提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体，包括：认证请求接收模块，用于接收终端发送的身份认证请求；认证判断模块，用于判断终端是否首次向AMF实体发送身份认证请求；认证模块，用于当终端是首次向AMF实体发送身份认证请求时，与终端进行标准身份认证，当终端不是首次向AMF实体发送身份认证请求时，根据终端的用户身份与终端进行快速身份认证或者标准身份认证；其中，AMF实体按照如下方式构建：选择边缘物理基础设施；利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；实时计算AMF实体的网元安全值；当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。为实现上述技术目的，本公开还提供了一种计算机存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时用于实现上述基于多接入边缘计算ME本文档来自技高网...

【技术保护点】
1.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法，其特征在于，包括：/nAMF实体接收至少一个终端发送的身份认证请求；/nAMF实体从所述至少一个终端中选择一个终端作为双向认证终端；/nAMF实体与双向认证终端进行双向认证；/nAMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证；/n其中，AMF实体按照如下方式构建：/n选择边缘物理基础设施；/n利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；/n实时计算AMF实体的网元安全值；/n当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。/n

【技术特征摘要】
1.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法，其特征在于，包括：
AMF实体接收至少一个终端发送的身份认证请求；
AMF实体从所述至少一个终端中选择一个终端作为双向认证终端；
AMF实体与双向认证终端进行双向认证；
AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证；
其中，AMF实体按照如下方式构建：
选择边缘物理基础设施；
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；
实时计算AMF实体的网元安全值；
当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。


2.根据权利要求1所述的方法，其特征在于，实时计算AMF实体的网元安全值，包括：
根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值。


3.根据权利要求1所述的方法，其特征在于，还包括：
当双向认证失败时，AMF实体从所述至少一个终端中重新选择一个终端作为双向认证终端；并对该重新选择的双向认证终端进行双向认证。


4.根据权利要求1所述的方法，其特征在于，AMF实体与双向认证终端进行双向认证，包括：
AMF实体对双向认证终端进行标准身份认证；
双向认证终端对AMF实体进行标准身份认证。


5.根据权利要求1所述的方法，其特征在于，AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证，包括：
AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行标准身份认证。


6.根据权利要求4或5任一所述的方法，其特征在于，标准身份认证参照3GPP33.501标准中规定的身份认证与密钥协商流程实现认证过程。


7.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法，其特征在于，包括：
AMF实体接收到终端发送的身份认证请求时，判断终端是否首次向AMF实体发送身份认证请求；
若是，则AMF实体与终端进行标准身份认证；
若不是，则AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证；
其中，AMF实体按照如下方式构建：
选择边缘物理基础设施；
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体；
实时计算AMF实体的网元安全值；
当AMF实体的网元安全值不满足预定要求时，重新选择构建AMF实体的边缘物理基础设施，直至AMF实体的网元安全值满足预定要求。


8.根据权利要求7所述的方法，其特征在于，实时计算AMF实体的网元安全值，包括：
根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值。


9.根据权利要求7所述的方法，其特征在于，AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证，包括：
AMF实体判断终端的用户身份是否合法可信；
若终端的用户身份合法可信，则AMF实体与终端进行快速身份认证；
若终端的用户身份合法但不可信，或者，终端的用户身份不合法，则AMF实体与终端进行标准身份认证。


10.根据权利要求7或9任一项所述的方法，其特征在于，标准身份认证参照3GPP33.501标准中规定的身份认证与密钥协商流程实现认证过程。


11.根据权利要求9所述的方法，其特征在于，AMF实体与终端进行快速身份认证，包括：
终端收到AMF实体发送的身份认证请求后，根据随机数RAND、认证令牌AUTN验证认证向量AV的新鲜度，当验证通过时，不计算响应RES*，直接生成密钥；
AMF实体接收终端发送的不包含RES*的认证响应时，确认服务网络身份认证成功；
AMF实体向身份认证服务器功能AUSF实体发送不包含RES*的认证请求，AUSF实体只根据AV是否过期来判断归属网络中终端的身份认证成功与否，无需比对RES*与预期响应XRES*是否相等。


12.根据权利要求9所述的方法，其特征在于，AMF实体判断终端的用户身份是否合法可信，包括：
AMF实体计算网络安全评估值，并根据网络安全评估值判断终端的用户身份是否合法可信。


13.根据权利要求12所述的方法，其特征在于，AMF实体根据网络安全评估值判断终端的用户身份是否合法可信，包括：
若网络安全评估值大于预设的最大阈值，则终端的用户身份合法可信；
若网络安全评估值小于等于预设的最大阈值，且大于等于预设的最小阈值，则终端的用户身份合法但不可信；
若网...

【专利技术属性】
技术研发人员：崔婷婷，厉芸，张雪菲，陈乔，肖丽，
申请(专利权)人：北京微智信业科技有限公司，
类型：发明
国别省市：北京;11