用于移动终端入网的认证方法及系统

技术领域

本发明涉及移动通信技术领域，尤其涉及一种用于移动终端入网的认证方法及系统。

背景技术

5G无线通信系统除了满足普通用户移动宽带互联网业务需求，还要向垂直行业、企业渗透，加快国家工业互联网发展和工业智能化进程。为了更好地实现这一目标，非公共网络技术(NPN)开始吸引人们的目光，3GPP已在5G Rel-16标准中加入NPN场景需求、功能的研究和标准化工作。NPN(Non-public Network，非公共网络)分为两类：SNPN和PNI-NPN(Public Network Integrated Non-Public Network，非独立的非公共网络)。这两者的主要区别在于是否依赖于PLMN(公共移动网络)提供的网络功能。SNPN作为一种独立存在的NPN，不依赖于PIMN，而PNI-NPN则相反。

基于当前的通信协议，移动终端接入网络时，在SUCI(Subscription ConcealedIdentifier，用户隐藏标识符)中携带归属网络公钥标识符(Home Network Public KeyIdentifier)，由HPLMN或SNPN提供，用于标识保护SUPI(Subscription PermanentIdentifier，用户永久标识)的密钥。核心网找到相应的私钥来解密SUPI。然而，在终端接入时，核心网仅对终端的永久标识符进行初步判断，不查询终端接入的网络是否获得授权，因此，存在安全隐患，也即，任何人都可能解密SUPI获取终端信息，从而可能伪造身份进入未授权网络。

发明内容

本发明的目的是提供一种可对要求接入网络的移动终端的身份和接入网络的授权进行双重认证的用于移动终端入网的认证方法及系统。

为了实现上述目的，本发明公开了一种用于移动终端入网的认证方法，其包括：

生成与每一移动终端相对应的认证数据，所述认证数据包括允许所述移动终端接入目标网络的特定网络标识和所述移动终端的用户永久标识；

将所述认证数据写入所述移动终端的用户识别卡，并在所述用户识别卡中将所述用户永久标识符转换为隐藏标识符；

将所述认证数据存入服务器并加密；

配置所述移动终端的入网请求信息，使得所述请求信息携带有所述隐藏标识符和所述特定网络标识；

当接收到所述用户识别卡发送的所述请求信息时，解析出所述认证数据；

将解析出的所述认证数据与所服务器中存储的所述认证数据集进行匹配，并根据匹配结果对当前所述移动终端的入网请求进行认证。

较佳地，所述服务器为区块链。

较佳地，基于核心网中的统一数据管理功能将所述认证数据加密后存入所述区块链。

较佳地，在所述区块链中，属于同一所述认证数据的所述特定网络标识和所述用户永久标识以键值对的形式存储。

较佳地，所述目标网络包括独立非公共网络和非独立的非公开网络的任一种。

本发明还公开一种用于移动终端入网的认证系统，该认证系统基于如上所述的认证方法工作。

本发明还公开另一种用于移动终端入网的认证系统，其包括：

一个或多个处理器；

存储器；

以及一个或多个程序，其中一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述程序包括用于执行如上所述的用于移动终端入网的认证方法的指令。

本发明还公开一种计算机可读存储介质，其包括计算机程序，所述计算机程序可被处理器执行以完成如上所述的用于移动终端入网的认证方法。

与现有技术相比，本发明上述技术方案公开的认证方法，通过将特定的网络标识和用户永久标识写入用户识别卡，并在用户识别卡中将用户永久标识转换为隐藏标识符，同时将认证数据加密存入服务器，可以有效地保护用户的身份信息和网络的授权信息。当移动终端请求入网时，可以实现对移动终端身份和目标网络授权的双向认证，这不仅增强了认证的安全性，也提高了认证过程的效率和可靠性。

附图说明

图1为本发明实施例中认证方法流程图。

图2为本发明实施例中移动终端入网注册认证的信令流程图。

具体实施方式

为详细说明本发明的技术内容、构造特征、所实现目的及效果，以下结合实施方式并配合附图详予说明。

本实施例公开了一种用于移动终端入网的认证方法，用于对移动终端向核心网注册时的安全认证，避免移动终端接入不被授权的网络，阻止一些人伪造身份进入不被授权的网络。

如图1，本实施例中的认证方法包括如下步骤：

S1：生成与每一移动终端相对应的认证数据。该认证数据包括允许移动终端接入目标网络的特定网络标识(如SNPN值)和移动终端的用户永久标识(SUPI)。

S2：将认证数据写入移动终端的用户识别卡(SIM卡)，并在用户识别卡中将用户永久标识符(SUPI)转换为隐藏标识符(SUCI)；

将认证数据存入服务器并加密。

S3：配置移动终端的入网请求信息，使其携带隐藏标识符和特定网络标识。

S4：当接收到用户识别卡发送的请求信息时，解析出认证数据，并与服务器中存储的认证数据集进行匹配。

S5：根据匹配结果对当前移动终端的入网请求进行认证，以确保接入的终端能够快速且准确地完成认证。

本实施例公开的认证方法，通过将特定的网络标识和用户永久标识写入用户识别卡，并在用户识别卡中将用户永久标识转换为隐藏标识符，同时将认证数据加密存入服务器，可以有效地保护用户的身份信息和网络的授权信息。当移动终端请求入网时，通过对请求信息中的隐藏标识符和特定网络标识的解析和匹配，可以实现对移动终端身份和目标网络授权的双向认证，这不仅增强了认证的安全性，也提高了认证过程的效率和可靠性。

另一方面，服务器为区块链。本实施例中，使用区块链技术对认证数据进行保护和加密，可以进一步提高数据安全性，防止窃听和篡改，确保认证过程的稳定性和可靠性。

进一步地，基于核心网中的统一数据管理功能UDM将认证数据加密后存入区块链。

另外，在区块链中，属于同一认证数据的特定网络标识和用户永久标识以键值对的形式存储。将这两种标识以键值对形式存储，可以快速地进行数据匹配和验证，提高了认证过程的效率。此外，这种方法也提高了系统的灵活性和扩展性，因为可以轻松地在区块链上添加或更新认证信息。总之，这种方法有效地结合了区块链技术的优势，为移动终端入网提供了一种安全、高效的认证机制。

另一方面，目标网络包括独立非公共网络(SNPN)和非独立的非公开网络(PNI-NPN)的任一种。

如图2，基于本发明上述实施例公开的认证方法对移动终端入网流程进行认证的信令执行流程如下：

1.移动终端UE发起入网的注册请求，将请求信息通过无线网络(R)AN发送给核心网中的接入和移动管理功能AMF，请求信息携带有SUCI和SNPNID；

2.AMF向UDM发出身份验证请求，该身份验证请求中携带有SUCI和SNPNID；

3.UDM从SUCI中解析出SUPI，并基于SUPI和SNPNID查询区块链；

4.如果从区块链中查找到与SUPI和SNPNID相对应的键值对数据，则当前移动终端通过认证，被允许接入SNPN网络，否则，不允许接入SNPN网络。

本发明另一较佳实施例中，还公开一种用于移动终端入网的认证系统，该认证系统基于上述实施例公开的认证方法工作。

本发明还公开另一种认证系统，其包括一个或多个处理器、存储器以及一个或多个程序，其中一个或多个程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述程序包括用于执行如上所述的认证方法的指令。处理器可以采用通用的中央处理器(Central Processing Unit，CPU)，微处理器，应用专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)，或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例的认证系统中的模块所需执行的功能，或者执行本申请方法实施例的认证方法。

本发明还公开一种计算机可读存储介质，其包括计算机程序，所述计算机程序可被处理器执行以完成如上所述的认证方法。该计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是只读存储器(read-onlymemory，ROM)，或随机存取存储器(randomaccess memory，RAM)，或磁性介质，例如，软盘、硬盘、磁带、磁碟、或光介质，例如，数字通用光盘(digital versatiledisc，DVD)、或者半导体介质，例如，固态硬盘(solid statedisk，SSD)等。

本申请实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该电子设备执行上述认证方法。

以上所揭露的仅为本发明的优选实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明申请专利范围所作的等同变化，仍属本发明所涵盖的范围。