网络连接方法、网络设备和网络连接装置与流程

1.本公开一般地涉及无线电通信技术领域，更具体地说，涉及一种网络连接方法、网络设备和网络连接装置。


背景技术：

2.随着5g业务的快速发展，越来越多的用户设备、例如手机通过网络接入点接入到5g网络中。在一些安全级别高的网络接入点中设置了基于用户设备mac地址的过滤条件。为此，一些非法用户设备可能通过人为修改其mac地址、即使用“伪mac地址”的方式而被允许通过上述网络接入点接入到5g网络中。这可能会造成网络安全隐患。
3.此外，对于一些安全级别高的网络接入点而言，用户设备需要先在核心网侧进行信息绑定和认证登记之后才能使用。在跨网络接入点使用时，同一用户设备需要重新进行信息绑定和认证登记，这给用户造成不便并且导致用户业务感知满意度下降。


技术实现要素：

4.因此，本公开的目的在于提供一种能够克服现有技术中至少一个缺陷的网络连接方法、网络设备和网络连接装置。
5.按照本公开的第一方面，提供一种网络连接方法，所述网络连接方法包括以下步骤：
6.网络侧的非3gpp互通功能n3iwf接收由用户设备通过网络接入点发起的网络连接请求，并且将所述网络连接请求提供给amf；
7.网络侧的接入和移动性管理功能amf根据所述网络连接请求，将所述用户设备的用户标识和所述网络接入点的认证信息提供给ausf；
8.网络侧的认证服务服务功能ausf基于所述用户设备的用户标识查询在统一数据管理umd中预留的为规定的用户设备ue建立的用户设备列表，并且基于所述网络接入点的认证信息查询在umd中预留的为规定的网络接入点an建立的网络接入点列表，其中，若经过ausf判断得知，所述用户设备ue处于上述用户设备列表中，并且所述网络接入点处于上述网络接入点列表中，则允许所述用户设备ue通过所述网络接入点连接到网络中并且使用与所述网络接入点相对应的网络业务。
9.在一些实施例中，所述用户设备的用户标识和所述网络接入点的认证信息可以通过amf要求n3iwf来提供。
10.在一些实施例中，若经过ausf判断得知，如果所述用户设备ue未处于所述用户设备列表中或者所述网络接入点an未处于所述网络接入点列表中，则ausf可以发送消息告知amf所述用户设备是非法用户。
11.在一些实施例中，amf可以根据接收到的所述消息，告知n3iwf入网鉴权失败。
12.在一些实施例中，所述消息可以包括以增加“illegal area user”信息的方式被扩展的aaa msg(eap/aka chanllengle)消息。
13.在一些实施例中，所述用户设备的用户标识可以包括用户隐藏标识suci。
14.在一些实施例中，所述网络接入点的认证信息可以包括所述网络接入点的域名信息。
15.在一些实施例中，所述网络接入点的域名信息可以包括企业信息和区域信息中的至少一者。
16.在一些实施例中，udm可以将处于所述用户设备列表中的至少一个用户设备与处于所述网络接入点列表中的一部分网络接入点相配，由此所述至少一个用户设备ue仅允许通过所述一部分网络接入点接入到核心网中并且使用与所述一部分网络接入点相对应的网络业务。
17.在一些实施例中，所述网络连接方法可以包括以下步骤：
18.网络侧的非3gpp互通功能n3iwf接收由用户设备发起的网络连接请求，并且将所述网络连接请求传输给amf；
19.网络侧的接入和移动性管理功能amf根据所述网络连接请求，将所述用户设备的用户标识和当前的mac地址传输给ausf；
20.网络侧的认证服务服务功能ausf基于所述用户设备的用户标识在统一数据管理udm中查询所述用户设备留下的历史mac地址；
21.若ausf未查询到所述用户设备的历史mac地址或者ausf判断所述当前的mac地址与所查询到的历史mac地址一致，才允许继续进行网络连接。
22.按照本公开的第二方面，提供一种网络设备，所述网络设备包括：
23.网络侧的非3gpp互通功能n3iwf，被配置为用于接收由用户设备发起的网络连接请求，并且将所述网络连接请求提供给amf；
24.网络侧的接入和移动性管理功能amf，被配置为用于根据所述网络连接请求，将所述用户设备的用户标识和所述网络接入点an的认证信息提供给ausf；
25.网络侧的认证服务服务功能ausf，被配置为用于基于所述用户设备的用户标识查询预留在umd中的为规定的用户设备ue建立的用户设备列表，并且基于所述网络接入点的认证信息查询预留在umd中的为规定的网络接入点an建立的网络接入点列表；并且被配置为用于判断所述用户设备ue是否处于上述用户设备列表中，并且判断所述网络接入点是否处于上述网络接入点列表中，在判断结果均为是的情况下，允许所述用户设备通过所述网络接入点an连接到网络中并且使用与所述网络接入点相对应的网络业务。
26.按照本公开的第三方面，提供一种网络连接装置，所述网络连接装置包括处理器和存储器，所述存储器上存储有指令，当所述指令被所述处理器执行时，实现上述方法的步骤。
附图说明
27.下面参照附图借助具体实施方式来更详细地说明本公开。示意性的附图简要说明如下：
28.图1是根据本公开的第一网络连接方法的流程图；
29.图2是图1中的第一网络连接方法在网络中的示意性流程图；
30.图3是根据本公开的第二网络连接方法的网络连接流程图；
31.图4是图3中的第二网络连接方法在网络中的示意性流程图。
32.注意，在以下描述的实施例中，在一些情况中在不同的附图之间共同使用同一附图标记来表示相同部分或具有相同功能的部分，而省略其重复说明。在一些情况中，使用相似的标号和字母表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
33.为了便于理解，在附图等中所示的各结构的位置、尺寸及范围等有时不表示实际的位置、尺寸及范围等。因此，本公开并不限于附图等所公开的位置、尺寸及范围等。
具体实施方式
34.下面将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
35.以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。也就是说，本文中的结构及方法是以示例性的方式示出，来说明本公开中的结构和方法的不同实施例。本领域技术人员应当理解，这些示例仅仅以说明的方式来指示本公开的实施方式，而不是以穷尽的方式。此外，附图不必按比例绘制，一些特征可能被放大以示出一些具体部件的细节。
36.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。
37.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，并且为非限制性的。因此，示例性实施例的其它示例可以具有不同的值。
38.在根据现有技术的网络连接方法中，用户设备ue(例如手机)通过非授信非3gpp的网络接入点an(例如通过wifi设备)连接到网络中的过程主要包括如下几个部分：
39.第一部分：用户设备ue通过所述网络接入点an接入到non-3gpp网络，并且选择n3iwf。
40.第二部分：执行ike-sa流程，所述ike-sa流程的作用是在不安全的网络下建立一个用于后续的5g-nas鉴权流程的安全的传输通道，从而保证在后续的5g-nas鉴权流程中消息传输的安全性。在完成所述第二部分之后，所有的ike消息都是经过加密的和受保护的。
41.第三部分：执行5g-nas鉴权和smc流程。
42.第四部分：执行ipsec sa流程。通过ipsec sa流程，为用户建立一条安全的数据通道，后续所有的nas信令都通过所述安全的数据通道进行传输。
43.在根据现有技术的网络连接方法的第一部分中，网络接入点an(例如wifi设备)往往通过用户设备ue的mac地址和ip地址对用户设备ue接入核心网并使用网络业务进行限制。如果非法用户设备ue的mac地址被修改成允许的mac地址，在获得用于连接所述网络接入点an(例如wifi设备)的用户名和密码的情况下，就有可能通过所述网络接入点an接入核心网。尽管在核心网侧可以在非法用户设备ue尝试接入网络时通过amf调用ausf对用户设备ue进行认证鉴权，但所述认证鉴权仅仅判断用户设备ue的用户隐藏标识suci是否合法。一旦ausf判断认为所述非法用户设备ue的suci合法，就可以为所述非法用户设备ue建立ipsec sa流。这可能造成网络安全隐患。
44.为此，本公开提出了一种改进的第一网络连接方法，其中，在用户设备ue尝试接入核心网时，在核心网侧，将用户设备的当前的mac地址与所述用户设备在udm中遗留下的历史mac地址或者说old mac地址进行比较。若比较后得知，用户设备的当前的mac地址与在udm中遗留下的历史mac地址一致，则判断尝试接入核心网的用户设备ue为正常的用户设备，并进行正常通道建立流程。以这种方式，能够有效地防止用户设备通过改变mac地址、即使用伪mac地址的方式接入到核心网，从而进一步提升鉴权的可靠性。
45.下面借助于图1和图2来更详细地说明根据本公开的第一网络连接方法。图2示出了图1中的第一网络连接方法在网络中的示意性流程图。
46.在步骤101中，用户设备ue向网络侧的非3gpp互通功能n3iwf发起网络连接请求，以便请求接入网络。在本公开中，网络侧可以理解为核心网侧。
47.在步骤102中，n3iwf接收由用户设备发起的网络连接请求，并且将所述网络连接请求提供给网络侧的接入和移动性管理功能amf。
48.在步骤103中，amf扩展n2 msg(identity req/res)消息并且将所述消息发送给n3iwf，要求n3iwf提供所述用户设备ue在网络中的唯一的用户标识(例如用户永久标识supi或用户隐藏标识suci)和当前的mac地址信息，并且所述amf将这些信息提供给网络侧的认证服务服务功能ausf。
49.在步骤104中，ausf基于所述用户设备ue的用户标识在udm中查询所述用户设备遗留的历史mac地址或者说old mac地址。若ausf查询到了历史的mac地址，则判断所述当前的mac地址与所查询到的历史mac地址是否一致。
50.在步骤105中，若ausf未查询到所述用户设备的历史mac地址或者ausf判断所述当前的mac地址与所查询到的历史mac地址一致，则判断尝试接入核心网的用户设备ue为正常的用户设备，并进行正常通道建立流程。
51.在步骤106中，若所述amf提供的用户设备ue的suci和当前的mac地址信息与存储在udm中的信息不一致，则ausf判断所述用户设备ue有可能使用了伪mac地址。于是，ausf扩展相应的aaa msg(eap/aka chanllengle)消息，增加old mac信息，并且发送给amf，以便告知amf所述用户设备曾使用与所述当前的mac地址不同的mac地址。amf根据接收到的经扩展的aaa msg(eap/aka chanllengle)消息，告知n3iwf入网鉴权失败，失败原因为用户设备ue的当前的mac地址有误或者说当前的mac地址是伪mac地址。
52.由此，用户设备ue即使在使用伪mac地址的情况下也无法接入到核心网中，这进一步增加了网络安全性。
53.此外，在根据现有技术的网络连接方法的上述第三部分中，对于一些安全级别高的网络接入点an，用户设备ue若想通过所述安全级别高的网络接入点an接入到核心网从而使用相应的安全级别高的网络业务，则通常需要提供用户设备ue在5g网络中的唯一的用户标识(例如基于sim卡或者说手机号码的supi和suci)以及所述安全级别高的网络接入点an的认证信息(例如域名信息)，以供于核心网侧进行鉴权。为此，用户需要手动地将用户设备ue的上述用户标识与网络接入点an的上述认证信息进行信息绑定，例如在鉴权过程中通过手动输入上述手机号码。这给用户造成不便并且导致用户业务感知满意度下降。在本公开中，上述“安全级别高的网络接入点an”和“安全级别高的网络业务”可以分别理解为仅对特定用户(例如属于特定企业的用户)开放的网络接入点an和网络业务、即不对公众用户开放
的网络接入点an和网络业务。
54.尤其是，一些用户属于集团用户。在本公开中，集团可以理解为以一定的组织形式所组成的集体、例如公司、事业单位、民间组织等。一个集团通常可以包括多个分布在不同的办公区域中的网络接入点an，用户设备ue可以通过所述多个网络接入点an中的一个网络接入点an而连接到核心网并且使用同一网络业务。然而，根据当前的网络连接方法，在跨网络接入点an(即从第一网络接入点an移动到第二网络接入点an)使用时，为了通过改变的网络接入点an(在此例如为第二网络接入点an)进行联网，同一用户设备需要重新进行上述信息绑定才能使用同一网络业务。这是不希望的。
55.为此，本公开提出了一种改进的第二网络连接方法，根据本公开的第二网络连接方法，用户不再需要手动地进行上述信息绑定就可以将规定的用户设备ue通过规定的网络接入点an接入到核心网，从而使用规定的网络业务。即使在跨网络接入点an或跨办公区域使用时，也无须重新进行上述信息绑定。这能实现用户设备ue的无感接入(核心网)，也就是说，用户不会感知到入网过程。
56.下面借助于图3和图4来更详细地说明根据本公开的第二网络连接方法。图4示出了图3中的第二网络连接方法在网络中的示意性流程图。
57.在根据本公开的第二网络连接方法中，在核心网侧，已经预先为规定的网络接入点an建立网络接入点列表。所述网络接入点列表可以由网络运营商工作人员人工地添加和修改，并且可以被存储在udm中。此外，为规定的用户设备ue建立用户设备列表。同样地，所述用户设备列表可以由网络运营商工作人员人工地添加和修改，并且可以被存储在udm中。
58.在步骤201中，一个用户设备ue通过一个网络接入点an向n3iwf发起网络连接请求，以便请求接入网络。
59.在步骤202中，网络侧的非3gpp互通功能n3iwf接收由所述一个用户设备通过所述一个网络接入点an发起的网络连接请求，并且将所述网络连接请求提供给网络侧的接入和移动性管理功能amf。
60.在步骤203中，amf扩展n2 msg(identity req/res)消息并且将所述消息发送给n3iwf，要求n3iwf提供所述一个用户设备ue在5g网络中的唯一的用户标识(例如suci)以及所述一个网络接入点an的认证信息(例如域名信息)，并且所述amf将这些信息提供给网络侧的认证服务服务功能ausf。在此，所述网络接入点an的认证信息例如可以是以@企业名.区域名形式的域名信息，并且可以被存储在udm中的用户profile列表中。
61.在步骤204中，所述ausf基于所述一个用户设备ue在5g网络中的唯一的用户标识(例如suci)来判断所述一个用户设备是否处于上述在统一数据管理umd中预留的为规定的用户设备ue建立的用户设备列表中，并且所述ausf基于所述一个网络接入点an的认证信息(例如域名信息)来判断所述一个网络接入点an是否处于上述在umd中预留的为规定的网络接入点an建立的网络接入点列表中。
62.在步骤205中，若经过ausf判断得知，所述一个用户设备ue处于上述用户设备列表中，并且所述一个网络接入点an处于上述网络接入点列表中，则允许所述一个用户设备通过所述一个网络接入点an接入到核心网中并且使用与所述一个网络接入点an相对应的网络业务。
63.在步骤206中，若经过ausf判断得知，如果所述一个用户设备ue未处于上述用户设
备列表中或者所述一个网络接入点an未处于上述网络接入点列表中，则ausf扩展相应的aaa msg(eap/aka chanllengle)消息，增加“illegal area user”信息，并且发送给amf。amf根据接收到的aaa msg(eap/aka chanllengle)消息，告知n3iwf入网鉴权，失败原因为所述用户设备ue是“非法用户”。
64.以这种方式，在核心网侧，能够基于用户设备ue在5g网络中的唯一的用户标识(例如suci)和网络接入点an的认证信息(例如域名信息)进行自动鉴权，而无须用户手动将它们进行绑定用于鉴权。由此，实现规定的用户设备ue通过规定的网络接入点an的无感接入核心网(相当于为处于上述用户设备列表中的用户设备ue开通了无感接入业务)。这即使在跨网络接入点an或跨办公区域使用时仍适用。
65.在上述实施方式中，在核心网侧，只要所述一个用户设备ue处于上述用户设备列表中，则允许所述一个用户设备ue通过处于上述网络接入点列表中的任意一个网络接入点an自动接入到核心网中并且使用相应的网络业务。然而，在此应该理解的是，也可以将处于上述用户设备列表中的所述一个用户设备ue与处于上述网络接入点列表中的一部分网络接入点an相配，由此仅允许所述一个用户设备ue通过所述一部分网络接入点an自动接入到核心网中并且使用相应的网络业务。以这种方式，能够为不同的用户设备ue设置不同的权限等级，例如权限等级较高的用户设备ue可以通过较多的网络接入点an连接到核心网中。换句话说，根据本公开的第二网络连接方法，规定的用户设备ue能够通过规定的网络接入点an自动接入到核心网中并且使用相应的网络业务。
66.在本公开中，上述第一网络连接方法和第二网络连接方法可以结合使用。
67.在第二网络连接方法的一些实施方式中，为每个网络接入点an分配安全级别。在此，可以规定：仅在amf判断认为网络接入点an的安全级别已经达到特定的安全级别的情况下，才执行根据本公开的第一网络连接方法。
68.在第二网络连接方法的另一些实施方式中，可以规定：仅在经过ausf判断得知所述一个用户设备ue处于上述用户设备列表中并且所述一个网络接入点an处于上述网络接入点列表中的情况下，才执行根据本公开的第一网络连接方法。换句话说，仅对于开通了上述无感接入业务的用户设备ue，才执行其是否使用了伪mac地址的增强判断流程。
69.如在此所使用的，词语“前”、“后”、“顶”、“底”、“之上”、“之下”等，如果存在的话，用于描述性的目的而并不一定用于描述不变的相对位置。应当理解，这样的词语在适当的情况下是可互换的，使得在此所描述的本公开的实施例，例如，能够在与在此所示出的或另外描述的那些取向不同的其他取向上操作。
70.如在此所使用的，词语“示例性的”意指“用作示例、实例或说明”，而不是作为将被精确复制的“模型”。在此示例性描述的任意实现方式并不一定要被解释为比其它实现方式优选的或有利的。而且，本公开不受在上述技术领域、背景技术、发明内容或具体实施方式中所给出的任何所表述的或所暗示的理论所限定。
71.如在此所使用的，词语“基本上”意指包含由设计或制造的缺陷、设备或部件的容差、环境影响和/或其它因素所致的任意微小的变化。词语“基本上”还允许由寄生效应、噪声以及可能存在于实际的实现方式中的其它实际考虑因素所致的与完美的或理想的情形之间的差异。
72.另外，前面的描述可能提及了被“连接”或“耦接”在一起的元件或节点或特征。如
在此所使用的，除非另外明确说明，“连接”意指一个元件/节点/特征与另一种元件/节点/特征在电学上、机械上、逻辑上或以其它方式连接(或者通信)。类似地，除非另外明确说明，“耦接”意指一个元件/节点/特征可以与另一元件/节点/特征以直接的或间接的方式在机械上、电学上、逻辑上或以其它方式连结以允许相互作用，即使这两个特征可能并没有直接连接也是如此。也就是说，“耦接”意图包含元件或其它特征的直接连结和间接连结，包括利用一个或多个中间元件的连接。
73.另外，仅仅为了参考的目的，还可以在本文中使用“第一”、“第二”等类似术语，并且因而并非意图限定。例如，除非上下文明确指出，否则涉及结构或元件的词语“第一”、“第二”和其它此类数字词语并没有暗示顺序或次序。
74.还应注意，如本文所使用的，词语“包括”、“包含”、“具有”和任何其它变体说明存在所指出的特征、整体、步骤、操作、元件和/或部件，但是并不排除存在或增加一个或多个其它特征、整体、步骤、操作、元件、部件和/或其组合。
75.在本公开中，术语“提供”从广义上用于涵盖获得对象的所有方式，因此“提供某对象”包括但不限于“购买”、“制备/制造”、“布置/设置”、“安装/装配”、和/或“订购”对象等。
76.本领域技术人员还应当意识到，在上述操作之间的边界仅仅是说明性的。多个操作可以结合成单个操作，单个操作可以分布于附加的操作中，并且操作可以在时间上至少部分重叠地执行。而且，另选的实施例可以包括特定操作的多个实例，并且在其他各种实施例中可以改变操作顺序。但是，其它的修改、变化和替换同样是可能的。因此，本说明书和附图应当被看作是说明性的，而非限制性的。
77.虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。在此公开的实施例可以任意彼此组合，而不脱离本公开的精神和范围。本领域的技术人员还应理解，可以对上面的实施例进行修改而不脱离本公开的范围和精神。本公开的范围由所附权利要求来限定。
78.附图标记列表
79.an
ꢀꢀꢀꢀꢀꢀꢀ
网络接入点
80.ausf
ꢀꢀꢀꢀꢀ
authentication server function认证服务服务功能
81.amf
ꢀꢀꢀꢀꢀꢀ
access and mobility management function接入和移动性管理功能
82.n3iwf
ꢀꢀꢀꢀ
non-3gpp inter working function非3gpp互通功能
83.udm
ꢀꢀꢀꢀꢀꢀ
unified data management统一数据管理
84.ue
ꢀꢀꢀꢀꢀꢀꢀ
user equipment用户设备
85.supi
ꢀꢀꢀꢀꢀ
subscription permanent identifier用户永久标识
86.suci
ꢀꢀꢀꢀꢀ
subscription concealed identifier用户隐藏标识