基于MEC的AMF及其身份认证方法、构建方法和装置转让专利
申请号 : CN202010816513.5
文献号 : CN111741468B
文献日 : 2020-11-24
发明人 : 崔婷婷 , 厉芸 , 张雪菲 , 陈乔 , 肖丽
申请人 : 北京微智信业科技有限公司
摘要 :
本公开提供了基于MEC的AMF及其身份认证方法、构建方法和装置,所述方法包括:AMF实体接收至少一个终端发送的身份认证请求;AMF实体从所述至少一个终端中选择一个终端作为双向认证终端;AMF实体与双向认证终端进行双向认证;AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证;其中,AMF实体按照如下方式构建:选择边缘物理基础设施;利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体。本公开对现有的认证和密钥协商标准简化,在多个终端同时认证同一服务网络的场景下,基于边缘计算对终端进行低时延安全接入认证,以减少信令开销,避免网络拥塞。
权利要求 :
1.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法,其特征在于,包括:AMF实体接收至少一个终端发送的身份认证请求;
AMF实体从所述至少一个终端中选择一个终端作为双向认证终端;
AMF实体与双向认证终端进行双向认证;
AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证;
其中,AMF实体按照如下方式构建:
选择边缘物理基础设施;
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
2.根据权利要求1所述的方法,其特征在于,还包括:当双向认证失败时,AMF实体从所述至少一个终端中重新选择一个终端作为双向认证终端;并对该重新选择的双向认证终端进行双向认证。
3.根据权利要求1所述的方法,其特征在于,AMF实体与双向认证终端进行双向认证,包括:AMF实体对双向认证终端进行标准身份认证;
双向认证终端对AMF实体进行标准身份认证。
4.根据权利要求1所述的方法,其特征在于,AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证,包括:AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行标准身份认证。
5.根据权利要求3或4任一所述的方法,其特征在于,标准身份认证参照3GPP 33.501标准中规定的身份认证与密钥协商流程实现认证过程。
6.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法,其特征在于,包括:AMF实体接收到终端发送的身份认证请求时,判断终端是否首次向AMF实体发送身份认证请求;
若是,则AMF实体与终端进行标准身份认证;
若不是,则AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证;
其中,AMF实体按照如下方式构建:
选择边缘物理基础设施;
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
7.根据权利要求6所述的方法,其特征在于,AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证,包括:AMF实体判断终端的用户身份是否合法可信;
若终端的用户身份合法可信,则AMF实体与终端进行快速身份认证;
若终端的用户身份合法但不可信,或者,终端的用户身份不合法,则AMF实体与终端进行标准身份认证。
8.根据权利要求6或7任一项所述的方法,其特征在于,标准身份认证参照3GPP 33.501标准中规定的身份认证与密钥协商流程实现认证过程。
9.根据权利要求8所述的方法,其特征在于,AMF实体与终端进行快速身份认证,包括:终端收到AMF实体发送的身份认证请求后,根据随机数RAND、认证令牌AUTN验证认证向量AV的新鲜度,当验证通过时,不计算响应RES*,直接生成密钥;
AMF实体接收终端发送的不包含RES*的认证响应时,确认服务网络身份认证成功;
AMF实体向身份认证服务器功能AUSF实体发送不包含RES*的认证请求,AUSF实体只根据AV是否过期来判断归属网络中终端的身份认证成功与否,无需比对RES*与预期响应XRES*是否相等。
10.根据权利要求7所述的方法,其特征在于,AMF实体判断终端的用户身份是否合法可信,包括:AMF实体计算网络安全评估值,并根据网络安全评估值判断终端的用户身份是否合法可信。
11.根据权利要求10所述的方法,其特征在于,AMF实体根据网络安全评估值判断终端的用户身份是否合法可信,包括:若网络安全评估值大于预设的最大阈值,则终端的用户身份合法可信;
若网络安全评估值小于等于预设的最大阈值,且大于等于预设的最小阈值,则终端的用户身份合法但不可信;
若网络安全评估值小于预设的最小阈值,则终端的用户身份不合法。
12.根据权利要求10所述的方法,其特征在于,AMF实体计算网络安全评估值,包括:AMF实体根据历史认证的时间和结果、历史认证的成功与失败次数和/或AMF实体的网元安全值计算网络安全评估值。
13.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法,其特征在于,包括:选择边缘物理基础设施;
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
14.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体,其特征在于,包括:认证请求接收模块,用于接收至少一个终端发送的身份认证请求;
认证选择模块,用于从所述至少一个终端中选择一个终端作为双向认证终端;
双向认证模块,用于与双向认证终端进行双向认证;
单向认证模块,用于利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证;
其中,AMF实体按照如下方式构建:
选择边缘物理基础设施;
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
15.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体,其特征在于,包括:认证请求接收模块,用于接收终端发送的身份认证请求;
认证判断模块,用于判断终端是否首次向AMF实体发送身份认证请求;
认证模块,用于当终端是首次向AMF实体发送身份认证请求时,与终端进行标准身份认证,当终端不是首次向AMF实体发送身份认证请求时,根据终端的用户身份与终端进行快速身份认证或者标准身份认证;
其中,AMF实体按照如下方式构建:
选择边缘物理基础设施;
利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
16.一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建装置,其特征在于,包括:选择模块,用于选择边缘物理基础设施;
构建模块,用于利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
判断模块,用于实时计算AMF实体的网元安全值;
其中,实时计算AMF实体的网元安全值,包括:根据AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算AMF实体的网元安全值;
所述选择模块,还用于当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
17.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,计算机程序指令被处理器执行时用于实现权利要求1 5任一项的基于多接入边缘计算MEC的接入和移动管~理功能AMF实体身份认证方法的步骤。
18.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,计算机程序指令被处理器执行时用于实现权利要求6 12任一项的基于多接入边缘计算MEC的接入和移动管~理功能AMF实体身份认证方法的步骤。
19.一种计算机存储介质,其上存储有计算机程序指令,其特征在于,计算机程序指令被处理器执行时用于实现权利要求13的基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法的步骤。
20.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现权利要求1 5任一项的基于多接入边缘~计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
21.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现权利要求6 12任一项的基于多接入边~缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
22.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现权利要求13的基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法的步骤。
说明书 :
基于MEC的AMF及其身份认证方法、构建方法和装置
技术领域
[0001] 本公开涉及移动通信技术领域,更为具体来说,本公开涉及基于MEC的AMF及其身份认证方法、构建方法和装置。
背景技术
[0002] 5G有三类典型应用场景,分别是支持移动互联网业务的增强移动宽带场景eMBB(enhanced Mobile Broadband),支持物联网业务的大规模机器类通信场景mMTC(massive Machine-type Communications)和高可靠低时延通信场景uRLLC(ultra Reliable Low Latency Communications)。不同应用场景对网络性能的需求不同。
[0003] 在要求低时延的应用场景中,多接入边缘计算(Multi-Access Edge Computing,MEC)技术作为云计算的演进,可以将应用程序从集中式数据中心下放到网络边缘,通过无线接入网络为用户提供就近的移动业务。MEC技术可以有效降低用户时延,提升网络资源利用率。利用MEC技术的虚拟园区网络将服务向网络的边缘侧下沉,可以实现快速的处理海量数据。边缘计算使运营商和第三方服务能够在靠近UE的接入连接点进行托管,从而通过减少端到端延迟和传输网络负载实现高效的服务交付。3GPP中定义,MEC对应的网元实体为5G核心网架构中的边缘UPF(用户平面功能)。边缘UPF将作为中心UPF的边缘形态,实现业务的本地卸载和分流。
[0004] 在用户与服务网络进行数据交换之前,需要用户与网络之间的相互认证并在用户和网络之间建立会话密钥,以确保后续的通信安全。3GPP的标准中支持5G AKA和EAP AKA’两种认证和密钥协商协议。涉及到归属网络和服务网络的网元有SEAF(安全锚功能)、AUSF(身份认证服务器功能)、UDM(统一数据管理)、ARPF(身份认证凭据存储库和处理功能)。其中SEAF由网元AMF(接入和移动管理功能)实现。
[0005] 在现有的认证和密钥协商(AKA)标准中,5G MEC应用的认证流程与非MEC应用的认证流程相同,MEC用户的认证时延未能有效降低。当有多个MEC应用的用户同时向同一服务网络发起接入认证请求时,会产生大量信令开销,造成网络拥塞;当同一用户在一定时间内再次向服务网络发起认证请求时,用户和服务网络之间需要完整的再进行一次认证流程,不能有效降低认证时延。
[0006] 在现有的专利技术中,专利CN 111031519 A一种基于边缘计算的终端接入认证方法及装置、CN 108810026 A一种基于边缘计算的终端设备接入认证方法及系统、CN 109861828 A一种基于边缘计算的节点接入和节点认证方法提出新的基于MEC的终端认证和密钥协商协议,无法兼容现有的5G标准认证和密钥协商标准。
发明内容
[0007] 为解决现有的认证和密钥协商(AKA)标准中,存在多个MEC用户同时向同一服务网络请求接入认证时产生大量的信令开销,以及同一终端多次认证同一服务网络时重复完整认证流程的低效问题;本公开解决了在以上通信场景中,用户的接入认证时延不能有效降低的技术问题。
[0008] 为实现上述技术目的,本公开提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法,包括:
[0009] AMF实体接收至少一个终端发送的身份认证请求;
[0010] AMF实体从所述至少一个终端中选择一个终端作为双向认证终端;
[0011] AMF实体与双向认证终端进行双向认证;
[0012] AMF实体利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证;
[0013] 其中,AMF实体按照如下方式构建:
[0014] 选择边缘物理基础设施;
[0015] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0016] 实时计算AMF实体的网元安全值;
[0017] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0018] 为实现上述技术目的,本公开还能够提供一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体,包括:
[0019] 认证请求接收模块,用于接收至少一个终端发送的身份认证请求;
[0020] 认证选择模块,用于从所述至少一个终端中选择一个终端作为双向认证终端;
[0021] 双向认证模块,用于与双向认证终端进行双向认证;
[0022] 单向认证模块,用于利用双向认证的成功结果对所述至少一个终端中除双向认证终端以外的其他终端进行单向认证;
[0023] 其中,AMF实体按照如下方式构建:
[0024] 选择边缘物理基础设施;
[0025] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0026] 实时计算AMF实体的网元安全值;
[0027] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0028] 为实现上述技术目的,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时用于实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
[0029] 为实现上述技术目的,本公开还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
[0030] 为实现上述技术目的,本公开还提供了基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法,包括:
[0031] AMF实体接收到终端发送的身份认证请求时,判断终端是否首次向AMF实体发送身份认证请求;
[0032] 若是,则AMF实体与终端进行标准身份认证;
[0033] 若不是,则AMF实体 根据终端的用户身份与终端进行快速身份认证或者标准身份认证;
[0034] 其中,AMF实体按照如下方式构建:
[0035] 选择边缘物理基础设施;
[0036] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0037] 实时计算AMF实体的网元安全值;
[0038] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0039] 为实现上述技术目的,本公开还提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体,包括:
[0040] 认证请求接收模块,用于接收终端发送的身份认证请求;
[0041] 认证判断模块,用于判断终端是否首次向AMF实体发送身份认证请求;
[0042] 认证模块,用于当终端是首次向AMF实体发送身份认证请求时,与终端进行标准身份认证,当终端不是首次向AMF实体发送身份认证请求时,根据终端的用户身份与终端进行快速身份认证或者标准身份认证;
[0043] 其中,AMF实体按照如下方式构建:
[0044] 选择边缘物理基础设施;
[0045] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0046] 实时计算AMF实体的网元安全值;
[0047] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0048] 为实现上述技术目的,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时用于实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
[0049] 为实现上述技术目的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体身份认证方法的步骤。
[0050] 为实现上述技术目的,本公开还提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法,包括:
[0051] 选择边缘物理基础设施;
[0052] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0053] 实时计算AMF实体的网元安全值;
[0054] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0055] 为实现上述技术目的,本公开还提供了一种基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建装置,包括:
[0056] 选择模块,用于选择边缘物理基础设施;
[0057] 构建模块,用于利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0058] 判断模块,用于实时计算AMF实体的网元安全值;
[0059] 所述选择模块,还用于当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0060] 为实现上述技术目的,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时用于实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法的步骤。
[0061] 为实现上述技术目的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于多接入边缘计算MEC的接入和移动管理功能AMF实体构建方法的步骤。
[0062] 本公开的有益效果为:
[0063] 基于边缘计算提出一种终端低时延安全认证的架构,将核心网网元AMF与认证和密钥协商相关的功能下放到边缘网络,构建安全的AMF实体。基于该框架,对现有的认证和密钥协商(AKA)标准简化,在多个终端同时认证同一服务网络和同一终端多次认证同一服务网络这两种应用场景下,实现基于边缘计算的用户的低时延安全接入认证,以减少信令开销,避免网络拥塞。
附图说明
[0064] 图1示出了本公开的实施例一的流程示意图;
[0065] 图2示出了本公开的实施例一的网络结构示意图;
[0066] 图3示出了本公开的实施例一的认证流程示意图;
[0067] 图4示出了本公开的实施例二的流程示意图;
[0068] 图5示出了本公开的实施例三的结构示意图;
[0069] 图6示出了本公开的实施例六的流程示意图;
[0070] 图7示出了本公开的实施例七的流程示意图;
[0071] 图8示出了本公开的实施例八的结构示意图;
[0072] 图9示出了本公开的实施例十一的流程示意图;
[0073] 图10示出了本公开的实施例十二的结构示意图。
具体实施方式
[0074] 以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0075] 在附图中示出了根据本公开实施例的各种结构示意图。这些图并非是按比例绘制的,其中为了清楚表达的目的,放大了某些细节,并且可能省略了某些细节。图中所示出的各种区域、层的形状以及它们之间的相对大小、位置关系仅是示例性的,实际中可能由于制造公差或技术限制而有所偏差,并且本领域技术人员根据实际所需可以另外设计具有不同形状、大小、相对位置的区域/层。
[0076] 实施例一:
[0077] 如图1所示,一种基于MEC的AMF实体身份认证方法,包括:
[0078] S101:构建在边缘物理基础设施上的AMF实体接收至少一个终端发送的身份认证请求;
[0079] 其中,AMF实体按照如下方式构建:
[0080] 选择边缘物理基础设施;
[0081] 利用NFV在边缘物理基础设施上构建AMF实体;
[0082] 实时计算所述AMF实体的网元安全值;
[0083] 当所述AMF实体的网元安全值不满足预定要求时,更换构建所述AMF实体的边缘物理基础设施,直至所述AMF实体的网元安全值满足预定要求。
[0084] 如图2所示为在边缘物理基础设施上构建了AMF实体(即图2中的“边缘AMF”)的网络架构。
[0085] MEC利用边缘网络的计算存储资源,采用NFV技术,构建边缘网络中的虚拟网元。5G MEC将核心网用户面网元UPF下放到边缘网络,可以有效降低应用时延。为降低MEC用户的认证时延,本公开将核心网网元AMF与认证和密钥协商相关的功能下放到边缘网络,构成AMF实体,用于MEC用户的安全认证和密钥协商,更靠近用户端可以减少认证时延,减少信令开销,避免网络拥塞。
[0086] AMF实体可以承担一定区域范围内(例如工业园区)的MEC应用终端的认证与密钥协商,园区内共用一个AMF实体。核心网的AMF为MEC以外的应用提供服务。
[0087] 进一步的,所述实时计算所述AMF实体的网元安全值,包括:
[0088] 根据所述AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算所述AMF实体的网元安全值。
[0089] 当网元安全值不满足用户的安全需求时,选择其他符合用户安全需求的基础设施构建的AMF实体为MEC用户提供服务。其中,网元安全值的计算参数包括但不限于安全运行时间、受到攻击次数。根据用户的不同安全需求选择相应的网元安全值的AMF实体进行认证和密钥协商。
[0090] 关于网元安全值,需要说明的是:
[0091] 网元安全运行时间越长,网元安全值越高;网元受攻击次数越多,网元安全值越低;网元故障次数越多,网元安全值越低等等。但上述参数对于网元安全值的影响程度不同,例如网元安全运行时间的影响程度是线性的,网元受攻击次数或网元故障次数对网元安全值的影响则是指数级影响。因此网元安全值的计算参数可以增加或改变。
[0092] 网元安全值阈值:不同用户的安全需求不同,用户在QoS请求中需要提供安全需求参数(AMF实体安全运行时间,受攻击次数等),由服务供应商计算其需要的网元安全值,选择不低于该值的AMF实体为用户提供服务。
[0093] S102:所述AMF实体从所述至少一个终端中选择一个终端作为双向认证终端;
[0094] S103:所述AMF实体与所述双向认证终端进行双向认证;
[0095] 具体地,所述AMF实体与所述双向认证终端进行双向认证,包括:
[0096] 所述AMF实体对所述双向认证终端进行标准身份认证;
[0097] 所述双向认证终端对所述AMF实体进行标准身份认证。
[0098] S104:所述AMF实体利用所述双向认证的成功结果对所述至少一个终端中除所述双向认证终端以外的其他终端进行单向认证。
[0099] 具体地,所述AMF实体利用所述双向认证的成功结果对所述至少一个终端中除所述双向认证终端以外的其他终端进行单向认证,包括:所述AMF实体利用所述双向认证的成功结果对所述至少一个终端中除所述双向认证终端以外的其他终端进行标准身份认证。
[0100] 优选的,所述标准身份认证参照3GPP 33.501标准中的身份认证与密钥协商流程来实现认证过程。
[0101] 关于步骤S102 S104,AMF实体收到多个终端同时对同一网络的认证请求后,AMF实~体随机选择其中一个终端与网络进行双向认证,将认证成功结果暂存在AMF实体中,其他终端根据此认证成功结果,进行单向认证。所述单向认证只进行服务网络对用户的身份认证,不需要用户对服务网络进行身份认证。
[0102] 完成双向认证的终端被服务器确认身份可信,AMF实体安全,所以其他终端可以信任存储在AMF实体的认证结果,选择进行单向认证。
[0103] 需要说明的是:
[0104] 应用场景中是多个用户终端对同一服务网络发起认证请求,所有用户由同一AMF实体提供认证服务,其中完成双向认证的终端的认证结果暂存在AMF实体存储表中,其余终端需要首先遍历该存储表,根据存储表中该记录,其余用户选择快速认证。由于完成双向认证的终端被服务器确认身份可信,即存储表消息来源可信,AMF实体是安全可信的网元,即存储表的环境安全,所以存储表中存储的消息记录可信。
[0105] 优选地,本实施例1的认证流程可以如图3所示:
[0106] 步骤301:多个终端同时向AMF实体的边缘SEAF发起认证请求。认证请求中包含5G-GUTI以及服务网络名称。边缘SEAF建立认证存储表,表中需要记录终端身份5G-TMSI(UE在AMF内唯一的ID,是5G-GUTI的一部分)、服务网络名称和/或身份认证结果等信息内容。
[0107] 步骤302:AMF实体的边缘SEAF从所有终端的认证请求中随机选择一个终端完成双向认证流程。
[0108] 所述的双向认证流程即服务网络对接入用户设备的身份认证和用户对于服务网络的身份认证,此处的认证流程为标准认证流程,具体可以参照3GPP 33.501标准中的身份认证与密钥协商流程。
[0109] 步骤303:AMF实体的边缘SEAF在存储表中暂存该终端的认证结果。
[0110] 具体的,如果该终端身份认证成功,则在边缘SEAF的存储表中暂存身份认证成功结果,进入步骤304。如果该终端身份认证失败,暂存该用户的身份认证失败结果,并从剩余终端中随机选择一个终端,再次进行双向认证。若在规定时间内(取决于用户需求)未完成双向认证,则剩余终端直接进行标准认证。
[0111] 步骤304:剩余终端选择快速认证模式。
[0112] 具体的,剩余终端等待规定时间后查询存储表,如果存储表中存在双向认证成功结果,则剩余终端选择快速认证模式;如果存储表中无双向认证成功结果,则选择标准认证模式。
[0113] 步骤305:在快速认证模式中,在边缘SEAF发送给UDM的认证请求中,插入标志位标识快速认证。
[0114] 步骤306:UDM/ARPF生成认证向量5G HE AV(5G Home Environment Authentication Vector),在认证向量中同样有标志位标识快速认证。
[0115] 步骤307:UDM/ARPF向AUSF发送认证响应5G HE AV(RAND、AUTN、XRES*、K_AUSF)。
[0116] 步骤308:AUSF暂存XRES *,由XRES*推导出HXRES*,由K_AUSF推导出K_SEAF,用推导出来的HXRES*和K_SEAF替换掉5G HE AV(RAND、AUTN、XRES*、K_AUSF)的XRES*、K_AUSF后就得到了5G SE AV(RAND、AUTN、HXRES*、K_SEAF)
[0117] 步骤309:AUSF给边缘SEAF发送身份认证响应,消息携带5G SE AV(RAND、AUTN、HXRES*、K_SEAF)
[0118] 步骤310:边缘SEAF(AMF)向UE发起认证请求,消息携带快速认证标志位。
[0119] 步骤311:UE的USIM接收到认证请求,根据标志位采用快速认证,不需要对网络身份进行检验,直接根据鉴权参数生成RES*,用于后续服务网络和归属网络对用户身份进行验证。
[0120] 步骤312:UE给网络发送认证响应消息,消息携带RES*。
[0121] 步骤313:边缘SEAF根据RES*推导出HRES*,然后将HRES*和HXRES*进行比较,如果比较通过,在访问网络的角度来说认为身份认证成功。
[0122] 步骤314:边缘SEAF给AUSF发送认证请求。
[0123] 步骤315:AUSF接收到认证请求后,首先判断AV是否过期,如果过期则认为身份认证失败;否则,对RES*和XRES*进行比较,如果相等,在归属网络的角度来说认为身份认证成功了。
[0124] 步骤316:AUSF给边缘SEAF发送身份认证响应,告诉边缘SEAF这个UE在归属网络的身份认证结果。
[0125] 上述步骤流程中涉及的术语全称解释:
[0126] XRES:eXpected RESponse,预期响应;
[0127] RES:RESponse,响应;
[0128] AUTN:AUthentication TokeN,认证令牌
[0129] AV:Authentication Vector,认证向量
[0130] 5G HE AV:5G Home Environment Authentication Vector,5G归属地环境认证向量
[0131] RAND:RANDOM,随机数
[0132] 实施例二:
[0133] 如图4所示,本公开的实施例一还可以做如下改进:
[0134] 所述方法还包括:
[0135] S105:当所述双向认证失败时,所述AMF实体从所述至少一个终端中重新选择一个终端作为双向认证终端;并对该重新选择的双向认证终端进行双向认证。
[0136] 实施例三
[0137] 基于与实施例一相同的发明思想,如图5所示,本公开还提供了一种基于MEC的AMF实体,包括:
[0138] 认证请求接收模块100,用于接收至少一个终端发送的身份认证请求;
[0139] 认证选择模块200,用于从所述至少一个终端中选择一个终端作为双向认证终端;
[0140] 双向认证模块300,用于与所述双向认证终端进行双向认证;
[0141] 单向认证模块400,用于利用所述双向认证的成功结果对所述至少一个终端中除所述双向认证终端以外的其他终端进行单向认证。
[0142] 其中,AMF实体按照如下方式构建:
[0143] 选择边缘物理基础设施;
[0144] 利用NFV在边缘物理基础设施上构建AMF实体;
[0145] 实时计算AMF实体的网元安全值;
[0146] 当AMF实体的网元安全值不满足预定要求时,更换构建AMF实体的边缘物理基础设施,直至所述AMF实体的网元安全值满足预定要求。
[0147] 实施例四:
[0148] 基于与实施例一相同的发明思想,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,,所述程序指令被处理器执行时用于实现上述实施例一提供的基于MEC的AMF实体身份认证方法对应的步骤。
[0149] 实施例五:
[0150] 基于与实施例一相同的发明思想,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例一提供的基于MEC的AMF实体身份认证方法的步骤。
[0151] 该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。
[0152] 实施例六:
[0153] 如图6所示,一种基于MEC的AMF实体身份认证方法,包括:
[0154] S201:构建在边缘物理基础设施上的AMF实体接收到终端发送的身份认证请求时,判断所述终端是否首次向所述AMF实体发送身份认证请求;若是,则执行步骤S202,若不是,则执行步骤S203。
[0155] 其中,所述AMF实体按照如下方式构建:
[0156] 选择边缘物理基础设施;
[0157] 利用NFV在边缘物理基础设施上构建AMF实体;
[0158] 实时计算所述AMF实体的网元安全值;
[0159] 当所述AMF实体的网元安全值不满足预定要求时,更换构建所述AMF实体的边缘物理基础设施,直至所述AMF实体的网元安全值满足预定要求。
[0160] 如图2所示为在边缘物理基础设施上构建了AMF实体(即图2中的“边缘AMF”)的网络架构。
[0161] 步骤S202,所述AMF实体与所述终端进行标准身份认证。
[0162] 其中,所述标准身份认证参照3GPP 33.501标准中的身份认证与密钥协商流程来实现认证过程。
[0163] 步骤S203,所述AMF实体根据终端的用户身份与终端进行快速身份认证或者标准身份认证。
[0164] 其中,所述AMF实体对所述终端进行快速身份认证,包括:
[0165] 所述终端收到所述AMF实体发送的身份认证请求后,根据RAND、AUTN验证认证向量AV的新鲜度,当验证通过时,不计算RES*,直接生成密钥;
[0166] 所述AMF实体接收所述终端发送的不包含RES*的认证响应时,确认服务网络身份认证成功;
[0167] 所述AMF实体向网元AUSF发送不包含RES*的认证请求,所述网元AUSF只根据认证向量AV是否过期来判断归属网络中所述终端的身份认证成功与否,无需比对RES*与XRES*是否相等。
[0168] MEC利用边缘网络的计算存储资源,采用NFV技术,构建边缘网络中的虚拟网元。5G MEC将核心网用户面网元UPF下放到边缘网络,可以有效降低应用时延。为降低MEC用户的认证时延,本公开将核心网网元AMF与认证和密钥协商相关的功能下放到边缘网络,构成AMF实体,用于MEC用户的安全认证和密钥协商,更靠近用户端可以减少认证时延,减少信令开销,避免网络拥塞。
[0169] AMF实体可以承担一定区域范围内(例如工业园区)的MEC应用终端的认证与密钥协商,园区内共用一个AMF实体。核心网的AMF为MEC以外的应用提供服务。
[0170] 进一步的,所述实时计算所述AMF实体的网元安全值,包括:根据所述AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算所述AMF实体的网元安全值。
[0171] 当网元安全值不满足用户的安全需求时,选择其他符合用户安全需求的基础设施构建的AMF实体为MEC用户提供服务。其中,网元安全值的计算参数包括但不限于安全运行时间、受到攻击次数。根据用户的不同安全需求选择相应的网元安全值的AMF实体进行认证和密钥协商。
[0172] 关于网元安全值,需要说明的是:
[0173] 网元安全运行时间越长,网元安全值越高;网元受攻击次数越多,网元安全值越低;网元故障次数越多,网元安全值越低等等。但上述参数对于网元安全值的影响程度不同,例如网元安全运行时间的影响程度是线性的,网元受攻击次数或网元故障次数对网元安全值的影响则是指数级影响。因此网元安全值的计算参数可以增加或改变。
[0174] 网元安全值阈值:不同用户的安全需求不同,用户在QoS请求中需要提供安全需求参数(AMF实体安全运行时间,受攻击次数等),由服务供应商计算其需要的网元安全值,选择不低于该值的AMF实体为用户提供服务。
[0175] 优选地,本实施例六的认证流程可以如下述步骤流程实现:
[0176] 步骤601:UE向AMF实体发起身份认证请求。
[0177] 步骤602:AMF实体收到该用户的认证请求,首先遍历AMF实体的认证存储表,判断终端是否为第一次请求认证该服务网络。如果是第一次认证请求,则进行标准的认证流程,转至步骤604b。如果非第一次认证,则转入步骤603。
[0178] 其中,认证存储表包含用户身份信息,服务网络名称,历史认证的时间与结果,历史认证成功与失败次数,AMF实体的网元安全值。
[0179] 步骤603:AMF实体对用户身份进行安全评估,判断用户身份是否合法可信。安全评估值的计算指标包括但不限于历史认证的时间与结果、历史认证成功与失败次数、AMF实体的网元安全值。如果用户的安全评估值高于上限值,即用户身份合法可信,则进行快速认证,转至步骤604a;如果安全评估值低于上限值但高于下限值,即用户身份合法但不够可信,则进行标准认证,转至步骤604b;如果安全评估值低于下限,即用户身份不合法,则用户属于非法攻击用户,该用户将无法进行后续的数据传输与通信,转至步骤605。
[0180] 需要说明的是:
[0181] 关于安全评估值的计算:服务提供商在提供该服务之前,需要进行样本测试与学习,根据样本建立模型算法进行安全评估值的计算。
[0182] 安全评估值的阈值设置:根据样本计算指标设置初始阈值。例如上限值为历史认证时间为十二小时、成功与失败次数比例为100:1,AMF实体的网元安全值为1(数值仅用作举例,不能代表实际设定参数),将这些参数根据模型计算安全评估值可以得到上限值。
[0183] 综上所述,阈值范围的设定是由服务提供商依据样本学习进行设定(在应用时也可以根据实际情况进行调整与更新)。
[0184] 步骤604a:用户进行快速认证流程。快速认证流程中,减少服务网络对用户身份认证的流程,在边缘SEAF发送给AUSF的认证请求中,将标志位标识为快速认证。在5G AKA中,用户在收到来自边缘SEAF的认证请求后,根据RAND、AUTN验证5G 认证向量AV的新鲜度,验证通过后,不再计算RES*,直接进行相关密钥生成。UE发送给边缘SEAF的认证响应中不包含RES*,由于用户身份可信,边缘SEAF认为服务网络身份认证成功。边缘SEAF向AUSF发送的认证请求中不包含RES*,AUSF只根据认证向量(AV)是否过期来判断归属网络中用户身份认证成功与否,而不需要对比RES*与XRES*是否相等。
[0185] 步骤604b:用户进行标准认证流程。
[0186] 标准认证流程可参考3GPP 33.501标准中的身份认证与密钥协商流程。
[0187] 步骤605:根据用户身份认证结果更新AMF实体的存储表相关内容。
[0188] 实施例七:
[0189] 如图7所示,实施例六中的步骤S203具体可以包括:
[0190] 步骤S2031,所述AMF实体判断所述终端的用户身份是否合法可信;若所述终端的用户身份合法可信,则执行步骤S2032;若所述终端的用户身份合法但不可信,或者,所述终端的用户身份不合法,则执行步骤S2033;
[0191] 步骤S2032,所述AMF实体与所述终端进行快速身份认证;
[0192] 步骤S2033,所述AMF实体与所述终端进行标准身份认证。
[0193] 优选的,步骤S2031,包括:所述AMF实体计算网络安全评估值,并根据所述网络安全评估值判断所述终端的用户身份是否合法可信。
[0194] 其中,所述AMF实体计算网络安全评估值,包括:
[0195] 所述AMF实体根据历史认证的时间和结果、历史认证的成功与失败次数和/或所述AMF实体的网元安全值计算网络安全评估值。
[0196] 所述安全评估值包括但不限于以下参数:历史认证的时间和结果、历史认证的成功与失败次数和/或AMF实体的网元安全值。
[0197] 具体地,若所述安全评估值大于预设的最大阈值,则所述终端的用户身份合法;
[0198] 若所述安全评估值小于等于所述预设的最大阈值,且大于等于预设的最小阈值,则所述终端的用户身份合法但不可信;
[0199] 若所述安全评估值小于所述预设的最小阈值,则所述终端的用户身份不合法。
[0200] 实施例八:
[0201] 基于与实施例六相同的发明思想,如图8所示,本公开还提供了一种基于MEC的AMF实体,包括:
[0202] 认证请求接收模块801,用于接收终端发送的身份认证请求;
[0203] 认证判断模块802,用于判断所述终端是否首次向所述AMF实体发送身份认证请求;
[0204] 认证模块803,用于当所述终端是首次向所述AMF实体发送身份认证请求时,与所述终端进行标准身份认证,当所述终端不是首次向所述AMF实体发送身份认证请求时,根据终端的用户身份与终端进行快速身份认证或者标准身份认证。
[0205] 其中,AMF实体按照如下方式构建:
[0206] 选择边缘物理基础设施;
[0207] 利用网络功能虚拟化NFV在边缘物理基础设施上构建AMF实体;
[0208] 实时计算AMF实体的网元安全值;
[0209] 当AMF实体的网元安全值不满足预定要求时,重新选择构建AMF实体的边缘物理基础设施,直至AMF实体的网元安全值满足预定要求。
[0210] 实施例九:
[0211] 基于与实施例六相同的发明思想,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,,所述程序指令被处理器执行时用于实现上述实施例六提供的基于MEC的AMF实体身份认证方法对应的步骤。
[0212] 实施例十:
[0213] 基于与实施例六相同的发明思想,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,,所述处理器执行所述计算机程序时实现上述实施例六提供的基于MEC的AMF实体身份认证方法的步骤。
[0214] 该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。
[0215] 实施例十一:
[0216] 如图9所示,本公开还提供了一种基于MEC的AMF实体构建方法,包括:
[0217] S401:选择边缘物理基础设施;
[0218] S402:利用NFV在所述边缘物理基础设施上构建AMF实体;
[0219] 如图2所示为在边缘物理基础设施上构建了AMF实体(即图2中的“边缘AMF”)的网络架构;
[0220] MEC利用边缘网络的计算存储资源,采用NFV技术,构建边缘网络中的虚拟网元。5G MEC将核心网用户面网元UPF下放到边缘网络,可以有效降低应用时延。为降低MEC用户的认证时延,本公开将核心网网元AMF与认证和密钥协商相关的功能下放到边缘网络,构成AMF实体,用于MEC用户的安全认证和密钥协商,更靠近用户端可以减少认证时延,减少信令开销,避免网络拥塞。
[0221] AMF实体可以承担一定区域范围内(例如工业园区)的MEC应用终端的认证与密钥协商,园区内共用一个AMF实体。核心网的AMF为MEC以外的应用提供服务。
[0222] S403:实时计算所述AMF实体的网元安全值;
[0223] S404:当所述AMF实体的网元安全值不满足预定要求时,重新选择构建所述AMF实体的边缘物理基础设施,直至所述AMF实体的网元安全值满足预定要求。
[0224] 具体地,所述S403,具体包括:
[0225] 根据所述AMF实体的安全运行时间、受攻击次数和/或故障次数实时计算所述AMF实体的网元安全值。
[0226] 关于网元安全值,需要说明的是:
[0227] 网元安全运行时间越长,网元安全值越高;网元受攻击次数越多,网元安全值越低;网元故障次数越多,网元安全值越低等等。但上述参数对于网元安全值的影响程度不同,例如网元安全运行时间的影响程度是线性的,网元受攻击次数或网元故障次数对网元安全值的影响则是指数级影响。因此网元安全值的计算参数可以增加或改变。
[0228] 网元安全值阈值:不同用户的安全需求不同,用户在QoS请求中需要提供安全需求参数(AMF实体安全运行时间,受攻击次数等),由服务供应商计算其需要的网元安全值,选择不低于该值的AMF实体为用户提供服务。
[0229] 实施例十二:
[0230] 基于与实施例十一相同的发明思想,如图10所示,本公开还提供了一种基于MEC的AMF实体构建装置,包括:
[0231] 选择模块1001,用于选择边缘物理基础设施;
[0232] 构建模块1002,用于利用NFV在所述边缘物理基础设施上构建AMF实体;
[0233] 判断模块1003,用于实时计算所述AMF实体的网元安全值;
[0234] 所述选择模块1001,还用于当所述AMF实体的网元安全值不满足预定要求时,重新选择构建所述AMF实体的边缘物理基础设施,直至所述AMF实体的网元安全值满足预定要求。
[0235] 实施例十三:
[0236] 为实现上述技术目的,本公开还提供了一种计算机存储介质,其上存储有计算机程序指令,所述程序指令被处理器执行时用于实现实施例十一提供的基于MEC的AMF实体构建方法对应的步骤。
[0237] 实施例十四:
[0238] 为实现上述技术目的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例十一提供的基于MEC的AMF实体构建方法的步骤。
[0239] 该电子设备包括但不限于智能电话、计算机、平板电脑、可穿戴智能设备、人工智能设备、移动电源等。
[0240] 以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。本公开的范围由所附权利要求及其等价物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。