一种机卡绑定认证方法及装置制造方法及图纸

本申请涉及通信技术领域，公开了一种机卡绑定认证方法及装置，以期提高机卡绑定认证的可靠性和安全性

【技术实现步骤摘要】
一种机卡绑定认证方法及装置


[0001]本申请实施例涉及通信
，尤其涉及一种机卡绑定认证方法及装置
。

技术介绍

[0002]自动化控制系统
(industrial automation and control system
，
IACS)
是由许多电子与控制器等元件所组成，其广泛应用于化工产业
、
造纸业
、
发电厂
、
石油天然气提炼，以及电信业等各个工业行业中
。
控制器占用空间大，且回路流程不易修改与维护，可编程逻辑控制器
(programmable logic controller
，
PLC)
的出现使得这些问题得以决解
。
在
PLC
大规模引入自动化控制系统后，一个主控的
PLC
和输入输出
(input
‑
output
，
IO)
设备通过一个交换机进行连接
。
在交换机的北向还有可以实施管理的其他节点
。
不同节点之间的通信均通过有线的方式进行连接，例如铜线
、
双绞线
、
光纤
。
[0003]随着通信技术的进一步发展，以第五代
(5th generation
，
5G)
移动通信系统为代表的无线通信技术逐渐成为新的工业现场网络连接介质
。<br/>这样可以将现有的
PLC、IO
等设备实现无线接入，实现了工业设备更加灵活的组网方式，并且可以更加便捷，例如支持自动引导车
(automated guided vehicle
，
AGV)
在内的需要兼顾移动性和灵活组网的新型工业终端设备
。
[0004]在面向企业
(toB)
场景中，通常会赋予不同的终端设备以不同的权限和工作负载，一方面会通过应用来限制
。
另一方面，通过限制终端设备使用的通信卡来限制，特别是在
5G
接入场景，设备对于
5G
核心网来讲，可见的就是通信卡的订阅永久标识符
(subscription permanent identifier
，
SUPI)
，通过限制
SUPI
的行为
(
比如服务质量
(quality of service
，
QoS)、
位置
、
业务等
)
从而可以限制终端设备的行为
。
而能够满足该目标的前提则是机卡绑定的校验，也即需要
5G
核心网
/
企业能够保证通信卡和终端设备的不可分离性，否则，攻击者窃取终端设备插入自己的通信卡，或者窃取通信卡插入自己的终端设备都可以绕过权限限制，对企业的正常业务造成攻击，因此如何对终端设备的机卡绑定进行认证是一个值得思考的问题
。

技术实现思路

[0005]本申请实施例提供一种机卡绑定认证方法及装置，以期提高机卡绑定认证的可靠性和安全性
。
[0006]第一方面，本申请实施例提供一种机卡绑定认证方法，该方法包括：安全网关接收来自会话管理功能网元的第一认证请求，第一认证请求包括第一认证标识，第一认证标识为会话管理功能网元根据第一终端设备接入会话管理功能网元所使用的第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系确定的；安全网关根据不同认证标识和不同认证凭据的关联关系，确定与第一认证标识关联的第一认证凭据；安全网关根据第一认证凭据，对第一终端设备进行认证；安全网关向会话管理功能网元发送第一认证响应，第一认证响应包括对第一终端设备的认证结果，其中，认证结果为认证通过，用于指示第一终端
设备的机卡匹配，认证结果为认证不通过，用于指示第一终端设备的机卡不匹配
。
[0007]作为一种示例，在会话管理功能网元侧
(
如与会话管理功能网元连接的统一数据管理网元中
)
记录有通信卡标识1和认证标识
1、
通信卡标识2和认证标识2的关联关系，安全网关侧记录有认证标识1和认证凭据
1、
认证标识2和认证凭据2的关联关系，其中认证凭据1为终端设备1所对应的认证凭据，认证凭据2为终端设备2所对应的认证凭据，终端设备1与通信卡
1(
通信卡标识为通信卡标识
1)
绑定，终端设备2与通信卡
2(
通信卡标识为通信卡标识
2)
绑定
。
如果发生机卡不匹配，比如终端设备1的用户将通信卡2插入终端设备1，终端设备1使用通信卡2的通信卡标识2接入会话管理功能网元，会话管理功能网元确定出的认证标识为认证标识2，安全网关确定出的与认证标识2关联的认证凭据为认证凭据2，而认证凭据2为终端设备2所对应的认证凭据，安全网关基于认证凭据2无法对终端设备1认证通过，可以向会话管理功能网元指示终端设备1机卡不匹配
。
类似的，如果终端设备2的用户将通信卡2插入终端设备1，或者终端设备1的用户将通信卡1插入终端设备2，安全网关均能识别出终端设备的机卡不匹配
。
[0008]采用上述方法，会话管理功能网元可以根据保存的不同通信卡标识和不同认证标识的关联关系，向安全网关发送包括认证标识的认证请求，由于在安全网关侧的认证标识和认证凭据是绑定的，安全网关可以利用与认证标识关联的认证凭据，如证书
、
对称秘钥等，通过密码学手段对终端设备进行认证，保证认证标识的真实性，实现对终端设备的机卡绑定认证，可以避免出现攻击者窃取终端设备插入自己的通信卡，或者窃取通信卡插入自己的终端设备绕过权限限制，对企业的正常业务造成攻击的情况，能够提高机卡绑定认证的可靠性和安全性
。
[0009]在一种可能的设计中，安全网关接收来自会话管理功能网元的第一认证请求之前，该方法还包括：安全网关接收来自会话管理功能网元的第二认证请求，第二认证请求包括第一终端设备的第一设备标识信息，其中，第一终端设备使用第一通信卡标识接入会话管理功能网元；安全网关根据不同设备标识信息和不同认证凭据的关联关系，确定与第一设备标识信息关联的第一认证凭据；在根据第一认证凭据对第一终端设备认证成功的情况下，安全网关为第一认证凭据分配关联的第一认证标识；安全网关记录第一认证标识和第一认证凭据的关联关系；安全网关向会话管理功能网元发送第二认证响应，第二认证响应包括第一认证标识，以使会话管理功能网元建立或协助建立第一认证标识与第一终端设备接入会话管理功能网元所使用的第一通信卡标识的关联关系
。
[0010]作为一种示例，在安全网关处记录有不同设备标识信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种机卡绑定认证方法，其特征在于，包括：安全网关接收来自会话管理功能网元的第一认证请求，所述第一认证请求包括第一认证标识，所述第一认证标识为会话管理功能网元根据第一终端设备接入所述会话管理功能网元所使用的第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系确定的；所述安全网关根据不同认证标识和不同认证凭据的关联关系，确定与所述第一认证标识关联的第一认证凭据；所述安全网关根据所述第一认证凭据，对所述第一终端设备进行认证；所述安全网关向所述会话管理功能网元发送第一认证响应，所述第一认证响应包括对所述第一终端设备的认证结果，其中，所述认证结果为认证通过，用于指示所述第一终端设备的机卡匹配，所述认证结果为认证不通过，用于指示所述第一终端设备的机卡不匹配
。2.
如权利要求1所述的方法，其特征在于，所述安全网关接收来自会话管理功能网元的第一认证请求之前，所述方法还包括：所述安全网关接收来自所述会话管理功能网元的第二认证请求，所述第二认证请求包括所述第一终端设备的第一设备标识信息，其中，所述第一终端设备使用所述第一通信卡标识接入所述会话管理功能网元；所述安全网关根据不同设备标识信息和不同认证凭据的关联关系，确定与所述第一设备标识信息关联的第一认证凭据；在根据所述第一认证凭据对所述第一终端设备认证成功的情况下，安全网关为所述第一认证凭据分配关联的第一认证标识；所述安全网关记录所述第一认证标识和所述第一认证凭据的关联关系；所述安全网关向所述会话管理功能网元发送第二认证响应，所述第二认证响应包括所述第一认证标识，以使所述会话管理功能网元建立或协助建立所述第一认证标识与所述第一终端设备接入所述会话管理功能网元所使用的第一通信卡标识的关联关系
。3.
一种机卡绑定认证方法，其特征在于，包括：会话管理功能网元向安全网关发送第一认证请求，所述第一认证请求包括第一认证标识，所述第一认证标识为所述会话管理功能网元根据第一终端设备接入所述会话管理功能网元所使用的第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系确定的；所述会话管理功能网元接收来自所述安全网关的第一认证响应，所述第一认证响应包括对所述第一终端设备的认证结果，所述认证结果为认证通过，用于指示所述第一终端设备的机卡匹配，所述认证结果为认证不通过，用于指示所述第一终端设备的机卡不匹配；其中，所述认证结果是所述安全网关基于与所述第一认证标识关联的第一认证凭据，对所述第一终端设备进行认证确定的
。4.
如权利要求3所述的方法，其特征在于，所述会话管理功能网元根据第一终端设备接入所述会话管理功能网元所使用的第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系，确定所述第一认证标识，包括：所述会话管理功能网元向统一数据管理网元发送数据获取请求，所述数据获取请求携带所述第一通信卡标识；所述会话管理功能网元接收来自所述统一数据管理网元的数据获取响应，所述数据获取响应携带所述第一认证标识，其中所述第一认证标识是所述统一数据管理网元根据所述
第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系确定的
。5.
如权利要求4所述的方法，其特征在于，所述方法还包括：所述会话管理功能网元向所述安全网关发送的第二认证请求，所述第二认证请求包括所述第一终端设备的第一设备标识信息，其中，所述第一终端设备使用所述第一通信卡标识接入所述会话管理功能网元；所述会话管理功能网元接收来自所述安全网关的第二认证响应，所述第二认证响应包括所述第一认证标识，所述第一认证标识是所述安全网关根据与所述第一设备标识信息关联的第一认证凭据对所述第一终端设备认证成功的情况下，为所述第一认证凭据分配的；所述会话管理功能网元建立所述第一通信卡标识和所述第一认证标识的关联关系；或者，所述会话管理功能网元向所述统一数据管理网元发送登记请求，所述登记请求携带所述第一通信卡标识和所述第一认证标识，以及接收来自所述统一数据管理网元的登记响应，所述登记响应用于指示所述统一数据管理网元建立完成所述第一通信卡标识和所述第一认证标识的关联关系
。6.
如权利要求3‑5中任一项所述的方法，其特征在于，会话管理功能网元向安全网关发送第一认证请求之前，所述方法还包括：所述会话管理功能网元接收来自接入与移动性管理网元的会话建立请求，所述会话建立请求包括所述第一通信卡标识；或，所述会话管理功能网元接收来自接入与移动性管理网元的第三认证请求，所述第三认证请求包括所述第一通信卡标识
。7.
一种机卡绑定认证方法，其特征在于，包括：统一数据管理网元接收来自会话管理功能网元的数据获取请求，所述数据获取请求携带第一通信卡标识；所述统一数据管理网元根据不同通信卡标识和不同认证标识的关联关系，确定与所述第一通信卡标识关联的第一认证标识；所述统一数据管理网元向所述会话管理功能网元发送数据获取响应，所述数据获取响应携带所述第一认证标识
。8.
如权利要求7所述的方法，其特征在于，所述方法还包括：所述统一数据管理网元接收来自会话管理功能网元的登记请求，所述登记请求携带所述第一通信卡标识和所述第一认证标识；所述统一数据管理网元建立所述第一通信卡标识和所述第一认证标识的关联关系；所述统一数据管理网元向所述会话管理功能网元发送登记响应，所述登记响应用于指示所述统一数据管理网元建立完成所述第一通信卡标识和所述第一认证标识的关联关系
。9.
如权利要求7或8所述的方法，其特征在于，所述方法还包括：所述统一数据管理网元接收来自接入与移动性管理网元的数据查询请求，所述数据查询请求携带所述第一通信卡标识；所述统一数据管理网元向所述接入与移动性管理网元发送数据查询响应，其中在存在与所述第一通信卡标识关联的认证标识的情况下，所述数据查询响应携带发起机卡绑定认证的指示信息
。10.
一种机卡绑定认证方法，其特征在于，包括：
安全网关接收来自第一终端设备的业务数据请求，所述业务数据请求包括所述第一终端设备的互联网协议
IP
地址；所述安全网关根据所述
IP
地址通过网络开放功能网元获取所述第一终端设备的第一网络标识；所述安全网关在不同网络标识和不同认证凭据的关联关系中查找与所述第一网络标识关联的第一认证凭据，并基于所述第一认证凭据，对所述第一终端设备进行认证；在对所述第一终端设备认证不通过的情况下，所述安全网关向会话管理功能网元发送分离通知，所述分离通知用于指示所述第一终端设备机卡不匹配
。11.
如权利要求
10
所述的方法，其特征在于，所述方法还包括：所述安全网关获取所述第一终端设备的第二认证凭据；在所述关联关系中记录有与所述第二认证凭据关联的第二网络标识
、
且所述第二网络标识与所述第一网络标识不匹配的情况下，所述安全网关向所述会话管理功能网元发送所述分离通知
。12.
如权利要求
11
所述的方法，其特征在于，所述方法还包括：在所述关联关系中未记录有与所述第一网络标识关联的认证凭据
、
以及未记录有与所述第二认证凭据关联的网络标识的情况下，所述安全网关根据所述第二认证凭据对所述第一终端设备进行认证；在对所述第一终端设备认证成功的情况下，所述安全网关记录所述第一网络标识和所述第二认证凭据的关联关系
。13.
一种通信装置，其特征在于，包括接口单元和处理单元；接口单元，用于接收来自会话管理功能网元的第一认证请求，所述第一认证请求包括第一认证标识，所述第一认证标识为会话管理功能网元根据第一终端设备接入所述会话管理功能网元所使用的第一通信卡标识
、
以及不同通信卡标识和不同认证标识的关联关系确定的；处理单元，用于根据不同认证标识和不同认证凭据的...

【专利技术属性】
技术研发人员：朱锦涛，李飞，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：