WO2018126791A1 - 一种认证方法及装置、计算机存储介质 - Google Patents

Abstract

本申请公开了一种认证方法及装置、计算机存储介质，所述方法包括：第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；所述第一网络功能实体基于所述认证数据校验所述认证信息。

Description

一种认证方法及装置、计算机存储介质

相关申请的交叉引用

本申请基于申请号为201710002692.7、申请日为2017年01月03日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及通信领域，尤其涉及一种执行切换时的认证方法及装置、计算机存储介质。

背景技术

第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)提出了一种移动网络认证方案，如图1所示，该认证方案的流程包括如下步骤：

步骤101：核心网网元(比如移动管理实体MME)向归属网网元(比如归属签约服务HSS)发送认证数据请求，比如发送Authentication Data Request消息，消息携带要认证的用户的标识，比如国际移动台标识IMSI，并携带核心网网元的公钥PubK；

步骤102：归属网网元(比如HSS)，获取一个或一组用户的认证向量，认证向量由如下4部分组成：随机数RAND，网络认证参数AUTN，期望响应XRES，以及密钥Knp；归属网网元生成一个加密密钥Ks，并用其加密认证向量中的Knp以防止Knp在传输过程中被泄漏出去，然后再用PubK加密Ks得到E_PubK(Ks)，用于接收方解密认证向量中的密钥，并防止其传输过程中被泄漏出去；

步骤103：归属网网元(比如HSS)向核心网网元(比如MME)发送 认证数据响应，比如发送Authentication Data Response消息，消息携带处理过的认证向量以及被PubK加密过的Ks——E_PubK(Ks)；

步骤104：核心网网元(比如MME)，使用自己的相应于公钥PubK的私钥解密E_PubK(Ks)，获得Ks，并使用Ks解密收到的认证向量中的被Ks加密过的密钥；

步骤105：核心网网元(比如MME)，向终端UE发送用户认证请求，比如发送User Authentication Request消息，携带收到的一个认证向量中的部分信息组成认证参数，比如RAND和AUTN；

步骤106：终端UE基于AUTN验证网络；终端UE基于RAND计算出响应值RES，并向核心网网元(比如MME)，发送用户认证响应，比如发送User Authentication Response消息，消息携带认证信息，即RES；核心网网元比对RES和该认证向量中的XRES，如果RES＝XRES则网络验证用户通过。

在上述过程中，AUTN用于终端UE验证网络，RAND用于网络验证终端UE的用户。

现有技术中，切换过程中并没有引入认证过程，导致切换后才能进行认证操作，降低了信令效率。

申请内容

为解决上述技术问题，本申请实施例提供了一种认证方法及装置、计算机存储介质。

本申请实施例提供一种认证方法，所述方法包括：

第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；

所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；

所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

所述第一网络功能实体基于所述认证数据校验所述认证信息。

上述方案中，所述第一网络功能实体基于所述认证数据校验所述认证信息，包括：

所述第一网络功能实体基于所述认证数据中的信息比对所述认证信息；

如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

上述方案中，在所述第二网络功能实体为源基站系统的情况下，所述方法还包括：

在所述第一网络功能实体基于所述认证数据校验所述认证信息成功后，向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。

上述方案中，第二网络功能实体向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据；

所述第二网络功能实体接收到所述第一网络功能实体发送的携带认证参数的切换通知消息时，向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成。

上述方案中，所述认证数据包括一个或多个认证子数据；所述认证参数基于所述认证数据生成，包括：

从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。

本申请实施例还提供一种认证装置，所述装置包括：

切换准备单元，配置为向网络发送切换准备消息，所述切换准备消息中携带认证数据；

认证数据单元，配置为接收切换准备消息，所述切换准备消息中携带认证数据，并向网络发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成，以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

切换执行单元，配置为接收切换通知消息，所述切换通知消息中携带认证参数，并向终端发送携带所述认证参数的切换执行消息；

校验单元，配置为基于所述认证数据校验所述认证信息。

上述方案中，所述校验单元，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

本申请实施例提供一种认证装置，所述装置包括：

接收单元，配置为接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据，以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

发送单元，配置为向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；

校验单元，配置为基于所述认证数据校验所述认证信息。

上述方案中，所述校验单元，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

上述方案中，在所述第二网络功能实体为源基站系统的情况下，所述发送单元，还配置为：向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。

本申请实施例还提供一种认证装置，所述装置包括：

发送单元，配置为向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据，以及用于向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成；

接收单元，配置为接收到所述第一网络功能实体发送的携带认证参数的切换通知消息。

上述方案中，所述认证数据包括一个或多个认证子数据；所述装置还包括：选择单元，配置为从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。

本申请实施例还提供一种计算机存储介质，该计算机存储介质存储有计算机程序，该计算机程序配置为执行上述认证方法。

本申请实施例的技术方案中，第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；所述第一网络功能实体基于所述认证数据校验所述认证信息。采用本申请实施例的技术方案，将认证流程与切换过程结合，提供一种新的基站系统，从而使得基站系统可以在切换过程中发起并执行认证过程，提高了信令效率。

附图说明

附图以示例而非限制的方式大体示出了本文中所讨论的各个实施例。

图1为现有的移动网络认证方法的流程示意图；

图2为本申请实施例的认证方法的流程示意图一；

图3为本申请实施例的认证方法的流程示意图二；

图4为本申请实施例的基于核心网切换时的认证方法的流程示意图；

图5为本申请实施例的基于接入网切换时的认证方法的流程示意图；

图6为本申请实施例的认证装置的结构组成示意图一；

图7为本申请实施例的认证装置的结构组成示意图二；

图8为本申请实施例的认证装置的结构组成示意图三。

具体实施方式

为了能够更加详尽地了解本申请实施例的特点与技术内容，下面结合附图对本申请实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本申请实施例。

图2为本申请实施例的认证方法的流程示意图一，如图2所示，该流程包括：

步骤201：第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据。

本申请实施例中，所述第一网络功能实体为目标基站系统，所述第二网络功能实体为源基站系统或者核心网网元。

步骤202：所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成。

步骤203：所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成。

步骤204：所述第一网络功能实体基于所述认证数据校验所述认证信息。

本申请实施例中，所述第一网络功能实体基于所述认证数据校验所述认证信息，包括：

所述第一网络功能实体基于所述认证数据中的信息比对所述认证信息；

如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

本申请实施例中，在所述第二网络功能实体为源基站系统的情况下，所述方法还包括：

在所述第一网络功能实体基于所述认证数据校验所述认证信息成功后，向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。

图3为本申请实施例的认证方法的流程示意图二，如图3所示，该流程包括：

步骤301：第二网络功能实体向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据。

本申请实施例中，所述第二网络功能实体为源基站系统，所述第一网络功能实体为目标基站系统或者核心网网元。

步骤302：所述第二网络功能实体接收到所述第一网络功能实体发送的携带认证参数的切换通知消息时，向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成。

这里，所述认证数据包括一个或多个认证子数据；所述认证参数基于所述认证数据生成，包括：

从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。

下面结合具体应用场景对本申请实施例的技术方案作进一步详细描述。

实施例一(第一网络功能实体为目标基站系统、第二网络功能实体为核心网网元)

图4为本申请实施例的基于核心网切换时的认证方法的流程示意图，如图4所示，该流程包括：

步骤401：终端UE接入移动网络，认证数据下发网元通过源基站系统发起对终端UE的认证过程，或执行了本实施例或图5中的实施例中的切换过程，源基站系统缓存这些认证数据；

步骤402：源基站系统决定发起切换过程，向核心网网元(比如移动管理功能MMF，或MME)发送切换需求，比如发送Handover Required消息，携带缓存的认证数据；

步骤403：核心网网元向目标基站系统发送切换请求，比如发送Handover Request消息，携带收到的认证数据；

步骤404：目标基站系统向核心网网元发送切换响应，比如发送Handover Response消息，携带认证参数，认证参数来自缓存的认证数据，比如RAND和AUTN；

步骤405：核心网网元向源基站系统发送切换命令，比如发送Handover Command消息，携带收到的认证参数；

步骤406：源基站系统向终端UE发送切换命令，比如发送Handover Command消息，携带收到的认证参数；

步骤407：终端UE通过认证参数认证网络，并计算出认证信息，比如RES，同时接入到目标基站系统，向目标基站系统发送切换确认，比如发送Handover Confirmed消息，携带认证信息；

步骤408：目标基站系统收到认证信息，验证终端UE，比如通过RAND计算XRES，比较XRES是否等于RES。

实施例二(第一网络功能实体为目标基站系统、第二网络功能实体为源基站系统)

图5为本申请实施例的基于接入网切换时的认证方法的流程示意图，如图5所示，该流程包括：

步骤501：终端UE接入移动网络，认证数据下发网元通过源基站系统 发起对终端UE的认证过程，或执行了本实施例或图4中的实施例中的切换过程，源基站系统缓存这些认证数据；

步骤502：源基站系统决定发起切换过程，向目标基站系统发送切换请求，比如发送Handover Request消息，携带缓存的认证数据；

步骤503：目标基站系统向源基站系统发送切换响应，比如发送Handover Response消息，携带认证参数，认证参数来自缓存的认证数据，比如RAND和AUTN；

步骤504：源基站系统向终端UE发送连接重配，比如发送RRC Connection Reconfiguration消息，携带收到的认证参数；

步骤505：终端UE通过认证参数认证网络，并计算出认证信息，比如RES，同时接入到目标基站系统，向目标基站系统发送连接重配完成，比如发送RRC Connection Reconfiguration Complete消息，携带认证信息；

步骤506：目标基站系统收到认证信息，验证终端UE，比如通过RAND计算XRES，比较XRES是否等于RES；

步骤507：目标基站系统向核心网网元发送路径切换，比如发送Path Switch消息。

图6为本申请实施例的认证装置的结构组成示意图一，如图6所示，所述装置包括：

接收单元61，配置为接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

发送单元62，配置为向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；

校验单元63，配置为基于所述认证数据校验所述认证信息。

本申请实施例中，所述认证装置设置在第一网络功能实体，所述第一 网络功能实体为目标基站系统，所述第二网络功能实体为源基站系统或者核心网网元。

本申请实施例中，所述校验单元63，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

本申请实施例中，在所述第二网络功能实体为源基站系统的情况下，所述发送单元62，还配置为：向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。

本领域技术人员应当理解，图6所示的认证装置中的各单元的实现功能可参照前述认证方法的相关描述而理解。图6所示的认证装置中的各单元的功能可通过运行于处理器上的程序而实现，也可通过具体的逻辑电路而实现。

在实际应用中，所述认证装置中的各个单元所实现的功能，均可由位于认证装置中的中央处理器(CPU，Central Processing Unit)、或微处理器(MPU，Micro Processor Unit)、或数字信号处理器(DSP，Digital Signal Processor)、或现场可编程门阵列(FPGA，Field Programmable Gate Array)等实现。

图7为本申请实施例的认证装置的结构组成示意图二，如图7所示，所述装置包括：

发送单元71，配置为向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据，以及用于向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成；

接收单元72，配置为接收到所述第一网络功能实体发送的携带认证参数的切换通知消息；

这里，所述认证数据包括一个或多个认证子数据；所述装置还包括：选择单元，配置为从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。

本申请实施例中，所述认证装置设置在第二网络功能实体中，所述第二网络功能实体为源基站系统，所述第一网络功能实体为目标基站系统或者核心网网元。

本领域技术人员应当理解，图7所示的认证装置中的各单元的实现功能可参照前述认证方法的相关描述而理解。图7所示的认证装置中的各单元的功能可通过运行于处理器上的程序而实现，也可通过具体的逻辑电路而实现。

在实际应用中，所述认证装置中的各个单元所实现的功能，均可由位于认证装置中的CPU、或MPU、或DSP、或FPGA等实现。

图8为本申请实施例的认证装置的结构组成示意图三，如图8所示，所述装置包括：

切换准备单元81，配置为向网络发送切换准备消息，所述切换准备消息中携带认证数据；

认证数据单元82，配置为接收切换准备消息，所述切换准备消息中携带认证数据，并向网络发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成，以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

切换执行单元83，配置为接收切换通知消息，所述切换通知消息中携带认证参数，并向终端发送携带所述认证参数的切换执行消息；

校验单元84，配置为基于所述认证数据校验所述认证信息。

本申请实施例中，所述认证装置设置在基站系统。

本申请实施例中，所述校验单元84，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。

本领域技术人员应当理解，图8所示的认证装置中的各单元的实现功能可参照前述认证方法的相关描述而理解。图8所示的认证装置中的各单元的功能可通过运行于处理器上的程序而实现，也可通过具体的逻辑电路而实现。

在实际应用中，所述认证装置中的各个单元所实现的功能，均可由位于认证装置中的CPU、或MPU、或DSP、或FPGA等实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存 储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

相应地，本发明实施例还提供一种计算机存储介质，其中存储有计算机程序，该计算机程序配置为执行本发明实施例的认证方法。

以上所述，仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。

工业实用性

本申请实施例的技术方案，第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；所述第一网络功能实体基于所述认证数据校验所述认证信息。采用本申请实施例的技术方案，将认证流程与切换过程结合，提供一种新的基站系统，从而使得基站系统可以在切换过程中发起并执行认证过程，提高了信令效率。

Claims (13)

1. 一种认证方法，所述方法包括：

   第一网络功能实体接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据；

   所述第一网络功能实体向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；

   所述第一网络功能实体接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

   所述第一网络功能实体基于所述认证数据校验所述认证信息。
2. 根据权利要求1所述的认证方法，其中，所述第一网络功能实体基于所述认证数据校验所述认证信息，包括：

   所述第一网络功能实体基于所述认证数据中的信息比对所述认证信息；

   如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。
3. 根据权利要求1或2所述的认证方法，其中，在所述第二网络功能实体为源基站系统的情况下，所述方法还包括：

   在所述第一网络功能实体基于所述认证数据校验所述认证信息成功后，向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。
4. 一种认证方法，所述方法包括：

   第二网络功能实体向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据；

   所述第二网络功能实体接收到所述第一网络功能实体发送的携带认 证参数的切换通知消息时，向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成。
5. 根据权利要求4所述的认证方法，其中，所述认证数据包括一个或多个认证子数据；所述认证参数基于所述认证数据生成，包括：

   从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。
6. 一种认证装置，所述装置包括：

   切换准备单元，配置为向网络发送切换准备消息，所述切换准备消息中携带认证数据；

   认证数据单元，配置为接收切换准备消息，所述切换准备消息中携带认证数据，并向网络发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成，以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参数生成；

   切换执行单元，配置为接收切换通知消息，所述切换通知消息中携带认证参数，并向终端发送携带所述认证参数的切换执行消息；

   校验单元，配置为基于所述认证数据校验所述认证信息。
7. 根据权利要求6所述的认证装置，其中，所述校验单元，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。
8. 一种认证装置，所述装置包括：

   接收单元，配置为接收第二网络功能实体发送的切换准备消息，所述切换准备消息中携带认证数据，以及用于接收来自终端的切换完成消息，所述切换完成消息中携带认证信息，所述认证信息基于所述认证参 数生成；

   发送单元，配置为向所述第二网络功能实体发送切换通知消息，所述切换通知消息中携带认证参数，所述认证参数基于所述认证数据生成；

   校验单元，配置为基于所述认证数据校验所述认证信息。
9. 根据权利要求8所述的认证装置，其中，所述校验单元，还配置为：基于所述认证数据中的信息比对所述认证信息；如果所述认证数据中的信息与所述认证信息相同，则校验成功；如果所述认证数据中的信息与所述认证信息不同，则校验失败。
10. 根据权利要求8或9所述的认证装置，其中，在所述第二网络功能实体为源基站系统的情况下，所述发送单元，还配置为：向核心网网元发送路径切换消息，所述路径切换消息携带所述目标基站系统的信息。
11. 一种认证装置，所述装置包括：

    发送单元，配置为向第一网络功能实体发送切换准备消息，所述切换准备消息中携带认证数据，以及用于向终端发送携带所述认证参数的切换执行消息，所述认证参数基于所述认证数据生成；

    接收单元，配置为接收到所述第一网络功能实体发送的携带认证参数的切换通知消息。
12. 根据权利要求11所述的认证装置，其中，所述认证数据包括一个或多个认证子数据；所述装置还包括：选择单元，配置为从所述认证数据中选择出一个或多个认证子数据，作为所述认证参数。
13. 一种计算机存储介质，所述计算机存储介质中存储有计算机可执行指令，该计算机可执行指令配置为执行权利要求1-3任一项所述的认证方法，或者权利要求4-5任一项所述的认证方法。

Images