本公开属于5g网络通信技术领域,尤其涉及一种基于5g核心网和区块链的mec平台身份认证方法及装置。
背景技术:
当mec(multi-accessedgecomputing,多接入边缘计算)平台访问5g(5thgenerationmobilenetworks或5thgenerationwirelesssystems、5th-generation,简称5g,第五代移动通信技术)核心网时,需要对于mec平台的身份进行认证授权,现有解决方式都是通过光缆连接upf(userplanefunction,用户面功能)和mec平台,并通过对两端配置相同的ip地址(internetprotocoladdress,互联网协议地址),来实现数据的转发。如图1所示,mec1平台和upf所在的私网ip地址段相同,可以进行正常的数据交换,而mec2平台和upf所在的ip地址段不相同,不能进行正常的数据交换。
引入了mec业务后,mec平台在边缘分布式部署,在提高数据处理速率的同时,也给网络数据的安全带来了风险。在实际的应用过程中,网络无法有效地辨别mec平台自身的真伪,以及无法判断mec平台所使用的ip地址是否为其本身所分配的ip地址;当人力监督不到位时候,可能存在篡改、冒用ip地址的现象发生。因此,当有非法用户篡改或冒用ip地址时,数据的安全难以得到保障。
有鉴于此,特提出本公开。
技术实现要素:
本公开实施例提供一种基于5g核心网和区块链的mec平台身份认证方法、装置、设备及计算机存储介质,能够实现对每个mec平台ip地址的保护,防止mec平台ip地址被恶意篡改和冒用。
一方面,本公开实施例提供一种基于5g核心网和区块链的mec平台身份认证方法,方法包括:
通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
其中一个实施例中,通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,包括
令mec平台与安全网元seaf建立连接,由安全网元seaf向鉴权服务端发起启动认证请求,该请求中包含mec平台的永久性设备标识符信息,以供鉴权服务端向统一数据管理设备请求验证该永久性设备标识符信息的真伪;
永久性设备标识符信息验证通过后,统一数据管理设备创建鉴权向量响应鉴权服务端,以使鉴权服务端和安全网元seaf交互,根据该鉴权向量执行身份认证服务。
其中一个实施例中,通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,具体包括:
令mec平台与安全网元seaf建立连接,并向安全网元seaf发送携带当前mec平台永久性设备标识符的信息;
通过安全网元seaf向鉴权服务端发送启动认证请求,以使鉴权服务端ausf对安全网元seaf的服务网络鉴权通过后,向统一数据管理设备udm或arpf发送认证响应请求;其中启动认证请求和认证响应请求中均包含该mec平台的永久性设备标识符信息,由统一数据管理设备udm或arpf验证永久性设备标识符信息的真伪。
其中一个实施例中,通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,还包括:
永久性设备标识符信息验证通过后,令统一数据管理设备udm或arpf创建第一鉴权向量,响应认证响应请求,并将该第一鉴权向量发送给鉴权服务端ausf并指示该鉴权向量用于鉴权与密钥协商认证;其中第一鉴权向量中包括随机数、鉴权令牌、鉴权响应参数以及认证密钥;
鉴权服务端ausf保存鉴权响应参数,并根据认证密钥计算出锚密钥,生成包含随机数、鉴权令牌以及锚密钥的第二鉴权向量,发送至安全网元seaf;
安全网元seaf将至少包含第二鉴权鉴权向量中随机数和鉴权令牌的请求信息发送给mec平台,使该平台将随机数和鉴权令牌发送给全球用户身份模块usim对鉴权令牌进行新鲜度验证,并使得mec平台推导出响应参数、认证密钥和锚密钥,返回给鉴权服务端;
鉴权服务端根据响应参数与鉴权响应参数对比,判断鉴权结果;如对比相等则认证通过,反之认证失败。
其中一个实施例中,对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记,包括
令通过认证的mec平台获取认证结果,并获得标记当前公网地址和自身永久性设备标识符信息的指示,进行标记以进行上链操作。
其中一个实施例中,通过区块链共识机制,对通过认证的mec平台进行上链管理,具体包括
对于通过认证的mec平台,将其分配到的公网地址和自身永久性设备标识符信息作为mec平台的标识信息,同步到当前平台所在网络中的其他mec平台中,用于对mec平台的上链管理。
其中一个实施例中,通过区块链共识机制,对通过认证的mec平台进行上链管理中,上链管理包括:
根据认证后的mec平台自身永久性设备标识符信息以及分配的公网地址,生成当前平台的第一交易哈希值;
令mec平台向核心网再次发起访问请求,以使核心网接收到访问请求时向区块链上的其他mec平台发送认证信令,对该访问请求的mec平台进行身份认证;
令区块链上的其他mec平台,根据当前mec平台访问请求中包含的公网地址信息调用该mec平台的标识信息,生成第二哈希值;
获取第二哈希值与第一哈希值,并比较两种哈希值,如相等,则验证通过;反之验证失败。
另一方面,本公开实施例提供了一种基于5g核心网和区块链的mec平台身份认证装置,装置包括,
鉴权认证管理模块,用于通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
上链管理模块,用于通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
再一方面,本公开实施例提供了一种基于5g核心网和区块链的mec平台身份认证设备,设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现任意一项上述的5g核心网和区块链的mec平台身份认证方法。
再一方面,本公开实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上述任意一项所述的5g核心网和区块链的mec平台身份认证方法。
本公开实施例的5g核心网和区块链的mec平台身份认证方法、装置、设备及计算机存储介质,能够实现对mec平台的身份认证,并基于区块链技术对通过认证的平台标识信息进行同步和共识,有效实现了对mec平台身份的认证,有效防止了ip地址的冒用、篡改事件的发生。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对本公开实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术提供的mec平台访问5g核心网的示意图;
图2是本公开个实施例提供的基于5g核心网和区块链的mec平台身份认证方法中采用的网络拓扑图;其中2a为单个mec平台访问5g核心网的架构示意图;2b为网络中多mec平台访问5g核心网的交互示意图;
图3本公开个实施例提供的基于5g核心网和区块链的mec平台身份认证方法中,进行启动认证的流程示意图;
图4是本公开个实施例提供的基于5g核心网和区块链的mec平台身份认证方法中,进行执行认证的流程示意图;
图5为是本公开个实施例提供的基于5g核心网和区块链的mec平台身份认证方法中,进行上链管理的流程示意图;
图6为本公开个实施例提供的基于5g核心网和区块链的mec平台身份认证装置的结构示意图;
图7是本公开又一个实施例提供的基于5g核心网和区块链的mec平台身份认证设备的结构示意图。
具体实施方式
下面将详细描述本公开的各个方面的特征和示例性实施例,为了使本公开的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本公开进行进一步详细描述。应理解,此处所描述的具体实施例仅意在解释本公开,而不是限定本公开。对于本领域技术人员来说,本公开可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本公开的示例来提供对本公开更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
现有技术中mec(multi-accessedgecomputing,多接入边缘计算)业务方案的缺点是网络无法有效地辨别mec平台自身的真伪,以及无法判断mec平台所使用的ip地址是否为其本身所分配的ip地址,不能防止非法用户获得资源的访问权限,系统和数据的安全性不能得到保障,为此本公开通过5g核心网对mec平台进行身份认证,然后通过区块链技术对连接到upf((userplanefunction,用户面功能)上的mec平台进行统一的管理,实现对每个mec平台ip地址的保护,防止mec平台ip地址被恶意篡改和冒用,保障每个mec平台上的应用正常使用。
故而,为了解决现有技术问题,本公开实施例提供了一种基于5g核心网和区块链的mec平台身份认证方法、装置、设备及计算机存储介质。下面首先对本公开实施例所提供的基于5g核心网和区块链的mec平台身份认证方法进行介绍。
图3-5示出了本公开一个实施例提供的基于5g核心网和区块链的mec平台身份认证方法的流程示意图,该方法包括如下步骤:
s001.通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
s002.通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
本实施例给出的方法中,结合图2所示的网络拓扑图,mec平台通过upf(userplanefunction,用户面功能)与5g核心网进行交互与认证,如图2a。将网络中所有被认证成功的mec平台进行上链管理,如图2b,每个mec平台作为一个区块节点,将mec平台所分配到的ip地址和mec平台的pei(permanentequipmentidentifier,永久性设备标识符,等同于4g网络的国际移动设备识别码imei)信息作为mec平台的标识信息,在链上进行共识认证,保证mec平台的标识信息不被随意篡改和冒用。
如下对图2a中所示5gc架构中的网元功能进行说明:
af:applicationfunction,应用层功能实体。
amf:accessandmobilitymanagementfunction,接入和移动性管理功能实体;是ng-ran(radioaccessnetwork,无线接入网基站)信令接口(n2)的终结点,nas(非接入层)信令(n1)的终结点。
smf:sessionmanagementfunction,会话管理功能实体。
upf:userplanefunction,用户面功能实体。
pcf:policycontrolfunction,策略控制功能实体。
nef:networkexposurefunctio,网络暴露功能实体。
nrf:networkrepositoryfunction,网络贮存功能实体。
udm:unifieddatamanagement,统一数据管理。
ausf:authenticationserverfunction,鉴权服务器网元。
nssf:networksliceselectionfunction,网络切片选择功能实体。
ue:userequipment用户设备。
具体的,本实施例中的方法,在通过5g-aka(authenticationandkeyagreement,鉴权与密钥协商)认证机制对mec平台进行身份认证过程中,首先将mec平台设备的mac地址(mediaaccesscontroladdress,直译为媒体存取控制位址,也称为局域网地址、mac位址、以太网地址或物理地址)转化为十进制后作为该边缘设备的pei,用于其在核心网上的身份认证。则
启动认证,如图3所示,包括如下步骤:
s101.令mec平台与安全网元seaf(securityanchorfunction,安全锚网元,简称seaf,下同)建立连接,mec通过nef(networkexposurefunction,网络暴露功能实体)网元将携带有其永久性设备标识符pei的n1message信息发送给安全网元seaf;
s102.当安全网元seaf希望启动认证时,由安全网元seaf向ausf(authenticationserverfunction,鉴权服务端)网元发送nausf_mecauthentication_authenticaterequest消息,也即,安全网元seaf向ausf发起启动认证请求,以调用nausf_mecauthentication服务;其中该请求中包含mec平台的永久性设备标识符信息;
s103.ausf在接收到nausf_mecauthentication_authenticaterequest消息后,ausf将通过比对服务网络名称和预期的服务网络名称,来检查服务网络中发起请求的该seaf网元是否有权使用nausf_mecauthentication_authenticate请求中的服务网络名称;对比相同,则表示授权服务网络使用该服务网络名称;
s104.ausf网元通过发出nudm_mecauthentication_get_request的认证响应请求信息,将获得的永久性设备标识符信息pei和snn(servingnetworkname,服务网络的名称)发送udm(unifieddatamanagement,统一数据管理)网元或arpf(authenticationcredentialrepositoryandprocessingfunction,认证凭据存储和管理)网元;
s105.由udm/arpf这些统一数据管理设备根据数据库中存储的信息验证永久性设备标识符pei的真伪性。
执行认证如图4所示:
永久性设备标识符信息pei验证通过后,统一数据管理设备创建第一鉴权向量响应鉴权服务端,以使鉴权服务端和安全网元seaf交互,根据该鉴权向量执行身份认证服务。具体包括如下步骤:
s201.当永久性设备标识符pei通过验证后,udm/arpf创建5gheav(5ghomeenvironmentauthenticationvector,5g归属环境鉴权向量),即第一鉴权向量;udm/arpf生成一个av(authenticationvector,鉴权向量)时,认证管理字段(即authenticationmanagementfield,简称amf)的“separationbit”必须为设置为1;udm/arpf创建5gheav时,由rand(randomchallenge,随机数)、autn(authenticationtoken鉴权令牌)、xres*(expectedresponse,鉴权响应参数)和kausf(认证密钥)生成。
s202.udm/arpf响应认证响应请求,在nudm_mecauthenticate_getresponse响应消息中将5gheav发给ausf,并同时指示该5gheav将在nudm_mecauthentication_getresponse消息中用于aka认证;
s203.ausf存储鉴权响应参数xres*,并可以根据认证密钥kausf计算出锚密钥kseaf,用锚密钥kseaf替换鉴权响应参数xres*,得到5gseav(securityauthenticationvector,安全锚点鉴权向量),即第二鉴权向量,第二鉴权向量中包含rand(randomchallenge,随机数)、autn(authenticationtoken,鉴权令牌)以及kseaf(锚密钥);
s204.ausf给seaf网元发送nausf_mecauthentication_authenticate响应消息,响应消息中携带5gseav;
s205.seaf网元通过nef将带有随机数rand和令牌autn等鉴权参数的authentication_request认证请求消息发给mec平台,该认证请求消息还可以包括参数ngksi(keysetidentifierin5g,5g密钥集标识符),该参数用于mec平台和amf(accessandmobilitymanagementfunction,接入及移动性管理功能;amf网元与seaf网元在一起,可以在一个物理设备中)网元来标识kamf(来自kseaf的me设备和seaf网元衍生的密钥)以及在身份验证成功时创建的部分本机安全上下文信息,还可以包括abba参数(anti-biddingdownbetweenarchitectures,不同架构的防降维攻击),该常规设置参数用于后续启用对安全功能的降维保护;
s206.mec平台中的me(mobileequipment,移动设备)会将收到的随机数rand和令牌autn转发给me的usim(universalsubscriberidentitymodule,用户业务识别模块);
s207.usim收到随机数rand和令牌autn后,首先验证第二鉴权向量中该令牌autn的新鲜度,通过验证后,usim计算出响应res(即response,响应参数),并将响应res与存储的保密性密钥ck、完整性密钥ik返回给me,me则能够根据res、ck、ik推导出res*(加密响应参数)、kausf、kseaf;
s208.在执行认证期间,me要检验令牌autn的认证管理字段amf参数"separationbit"是否为1,若为1,mec平台通过nas(non-accessstratum,非接入层)发送的鉴权响应消息authenticationresponse中将res*返回给seaf;
s209.seaf网元通过nausf_mecauthentication_authenticaterequest请求消息将加密响应参数res*以及响应的标识符pei一起发送给ausf;在归属网络的该ausf接收到nausf_mecauthentication_authenticate请求后,首先判断第二认证向量是否过期,如果过期了,则认为鉴权失败;如果未过期,将加密响应参数res*和鉴权响应参数xres*进行比较,若相等,则ausf认为身份认证成功;
s210.ausf通过给seaf网元发送响应消息nausf_mecauthentication_authenticateresponse,告诉seaf这个mec平台在归属网络的鉴权结果;
s211.seaf网元发送nausf_mecauthentication_authenticateresult消息,通过该结果消息通知mec平台身份认证的结果,若认证成功,则指示mec平台的区块链模块标记ip地址和标识符pei;
s212.若身份认证成功,mec平台中的区块链模块将标记此时的ip地址与标识符pei,用于信息上链操作。
采用区块链的方式,可以解决mec平台ip地址容易被篡改以及防止任一mec平台均能随意冒用其他mec平台ip的风险问题。区块链是一个基于密码学、共识算法的分布式的共享账本和数据库,具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点,与mec平台的分布式部署情况匹配。
因此本实施例中将当前网络中所有被认证成功的mec平台进行上链管理,每个mec平台作为一个区块节点,将mec平台所分配到的ip地址和mec平台的pei信息作为mec平台的标识信息,令通过认证的mec平台获取认证结果后,获得标记当前公网地址和自身永久性设备标识符信息的指示,用于发送到其他所有mec平台来进行标识信息的同步,并存储在其他mec平台中。
具体的,如图5所示,当已被鉴权认证的mec1平台再次向核心网发起请求时,通过区块链共识机制,对通过认证的mec平台进行上链管理包括:
s301.将5g核心网对mec1平台的初次认证看作一次交易,根据认证后的标识符pei和分配的ip地址生成当前mec1平台的第一交易哈希值mec1hash1;
s302.认证后的mec1平台由于平台业务需要使用已分配到的ip资源时,需要向5g核心网再次发起访问请求mec1visit_request;
s303.5g核心网(简称5gc)收到该访问请求时,需要此区块链上其它的mec平台(即mec2、mec3、mec…)对此时请求访问的mec1进行身份认证;即5g核心网向其它每一个mec平台发送mec1identificationverification_request认证信令,请求对该访问请求的mec平台进行身份认证;
s304.链上其余mec平台(即mec2、mec3、mec…)根据当前mec平台访问请求中包含的公网地址信息调用该mec平台的标识信息,分别生成第二交易哈希值mec2hash2、mec3hash3、…
s305.其他mec平台比较第一交易哈希值mec1hash1与自己生成的第二交易哈希值mec2hash2、mec3hash3、…,一一反馈验证结果mec1identificationverification_response至5g核心网;
s306.5g核心网根据验证结果反馈访问结果mec1visit_response,如果s305.中的验证结果值均相同,说明mec1平台的信息没有被篡改,允许mec1平台再次使用分配资源,mec1平台业务正常进行,如果验证未通过mec1平台需要向核心网重新发起鉴权认证流程。
本公开通过5g核心网以及区块链技术,实现对边缘计算平台mec的身份认证,并将永久性设备标识符pei、ip地址存入到各个节点进行哈希值比较,保密性高,有效实现了对mec平台身份的认证,有效防止了ip地址的冒用、篡改事件的发生。
另一方面,如图6所示,本公开实施例提供了一种基于5g核心网和区块链的mec平台身份认证装置,装置包括,
鉴权认证管理模块,用于通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
上链管理模块,用于通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
其中鉴权认证管理模块用于管理进行启动认证和执行认证流程,实现本公开上述实施例中基于5g核心网和区块链的mec平台身份认证的步骤s101~s105以及s201~s212.
一、执行启动认证,参考图2-3包括:
s101.令mec平台与安全网元seaf建立连接,mec通过nef(networkexposurefunction,网络开放功能)网元将携带有其永久性设备标识符pei的n1message发送给安全网元seaf(securityanchorfunction,安全锚网元,简称seaf,下同);
s102.当seaf网元希望启动认证时,由seaf向ausf(authenticationserverfunction,鉴权服务端)网元发送请求消息nausf_mecauthentication_authenticaterequest,即发起启动认证请求,以调用nausf_mecauthentication服务;其中该请求中包含mec平台的永久性设备标识符信息;
s103.ausf在接收到nausf_mecauthentication_authenticaterequest消息后,ausf将通过比对服务网络名称和预期的服务网络名称,来检查服务网络中发起请求的该seaf网元是否有权使用nausf_mecauthentication_authenticate请求中的服务网络名称;对比相同,则表示授权服务网络使用该服务网络名称;
s104.ausf网元通过发出nudm_mecauthentication_get请求将获得的标识符pei信息和snn(servingnetworkname,服务网络的名称)发送udm(unifieddatamanagement,统一数据管理)/arpf(authenticationcredentialrepositoryandprocessingfunction,认证凭据存储和管理)网元;
s105.由udm/arpf这些统一数据管理设备根据数据库中存储的信息验证标识符pei的真伪性。
二、执行认证,参考图4
永久性设备标识符信息pei验证通过后,统一数据管理设备创建第一鉴权向量响应鉴权服务端,以使鉴权服务端和安全网元seaf交互,根据该鉴权向量执行身份认证服务。具体包括:
s201.当pei通过验证后,udm/arpf创建5gheav(5ghomeenvironmentauthenticationvector,5g归属环境鉴权向量),即第一鉴权向量;生成一个av(authenticationvector,鉴权向量)时,认证管理字段(authenticationmanagementfield,amf)的“separationbit”必须为设置为1;udm/arpf创建5gheav时,由rand(randomchallenge,随机数)、autn(authenticationtoken鉴权令牌)、xres*(expectedresponse,鉴权响应参数)和kausf(认证密钥)生成。
s202.udm/arpf响应认证响应请求,在nudm_mecauthenticate_get响应中将5gheav发给ausf,并同时指示该5gheav将在nudm_mecauthentication_get响应中用于aka认证;
s203.ausf存储鉴权响应参数xres*,并可以根据认证密钥kausf计算出锚密钥kseaf,用锚密钥kseaf替换xres*,得到5gseav(securityauthenticationvector,安全锚点鉴权向量),即第二鉴权向量,第二鉴权向量中包含rand(randomchallenge,随机数)、autn(authenticationtoken,鉴权令牌)以及kseaf(锚密钥);
s204.ausf给seaf网元发送nausf_mecauthentication_authenticate响应消息,该响应消息携带5gseav;
s205.seaf网元通过nef将带有随机数rand和令牌autn等鉴权参数的authentication_request认证请求消息发给mec平台,此认证请求消息还可以包括参数ngksi(keysetidentifierin5g,5g密钥集标识符),该参数用于mec平台和amf(accessandmobilitymanagementfunction,接入及移动性管理功能;amf网元与seaf网元在一起,可以在一个物理设备中)网元来标识kamf(来自kseaf的me和seaf衍生的密钥)以及在身份验证成功时创建的部分本机安全上下文信息,还可以包括abba参数(anti-biddingdownbetweenarchitectures,不同架构的防降维攻击),该常规设置参数用于后续启用对安全功能的降维保护;
s206.mec平台中的me(mobileequipment,移动设备)会将收到的随机数rand和令牌autn转发给usim(universalsubscriberidentitymodule,用户业务识别模块);
s207.usim收到随机数rand和令牌autn后,首先验证第二鉴权向量中autn的新鲜度,通过验证后,usim计算出响应res(response,响应参数),并将响应参数res与存储的保密性密钥ck、完整性密钥ik返回给me,me则能够根据响应参数res、ck、ik推导出res*(加密响应参数)、kausf、kseaf;
s208.在执行认证期间,me要检验autn的认证管理字段amf参数"separationbit"是否为1,若为1,mec平台通过nas(non-accessstratum,非接入层)鉴权响应消息authenticationresponse中将加密响应参数res*返回给seaf网元;
s209.seaf网元通过nausf_mecauthentication_authenticaterequest请求消息将加密响应参数res*以及响应的标识符pei一起发送给ausf;在归属网络的该ausf接收到nausf_mecauthentication_authenticaterequest请求消息后,首先判断第二认证向量是否过期,如果过期了,则认为鉴权失败;如果未过期,将加密响应参数res*和鉴权响应参数xres*进行比较,若相等,则ausf认为身份认证成功;
s210.ausf通过给seaf发送nausf_mecauthentication_authenticateresponse响应消息,告诉seaf网元这个mec平台在归属网络的鉴权结果;
s211.seaf网元通过nausf_mecauthentication_authenticateresult消息通知mec平台身份认证的结果,若认证成功,则指示mec平台的区块链模块标记ip地址和标识符pei;
s212.若身份认证成功,mec平台中的区块链模块将标记此时的ip与标识符pei,用于信息上链操作。
上链管理模块将当前网络中所有被认证成功的mec平台进行上链管理,每个mec平台作为一个区块节点,将mec平台所分配到的ip地址和mec平台的pei信息作为mec平台的标识信息,令通过认证的mec平台获取认证结果后,获得标记当前公网地址和自身永久性设备标识符信息的指示,用于发送到其他所有mec平台来进行标识信息的同步,并存储在其他mec平台中。
具体的,当已被鉴权认证的mec1平台再次向核心网发起请求时,上链管理模块通过区块链共识机制,对通过认证的mec平台进行上链管理,执行上述实施例中基于5g核心网和区块链的mec平台身份认证的方法步骤s301~s306,参考图5,包括:
s301.将5g核心网对mec1平台的初次认证看作一次交易,根据认证后的标识符pei和分配的ip地址生成当前mec1平台的第一交易哈希值mec1hash1;
s302.认证后的mec1平台由于平台业务需要使用已分配到的ip资源时,需要向5g核心网再次发起访问请求mec1visit_request;
s303.5g核心网(简称5gc)收到该访问请求时,需要此区块链上其它的mec平台(即mec2、mec3、mec…)对此时请求访问的mec1进行身份认证;即5g核心网向其它每一个mec平台发送mec1identificationverification_request认证信令,请求对该访问请求的mec平台进行身份认证;
s304.链上其余mec平台(即mec2、mec3、mec…)根据当前mec平台访问请求中包含的公网地址信息调用该mec平台的标识信息,分别生成第二交易哈希值mec2hash2、mec2hash3、…
s305.其他mec平台比较第一交易哈希值mec1hash1与自己生成的第二交易哈希值mec2hash、mec3hash、…,一一反馈验证结果mec1identificationverification_response至5g核心网;
s306.5g核心网根据验证结果反馈访问结果mec1visit_response,如果s305.中的验证结果值均相同,说明mec1平台的信息没有被篡改,允许mec1平台再次使用分配资源,mec1平台业务正常进行,如果验证未通过mec1平台需要向核心网重新发起鉴权认证流程
再一方面,如图7所示,本公开实施例提供了一种基于5g核心网和区块链的mec平台身份认证设备,设备包括:处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现任意一项上述的5g核心网和区块链的mec平台身份认证方法。
图7示出了本公开实施例提供的5g核心网和区块链的mec平台身份认证设备的硬件结构示意图。
在5g核心网和区块链的mec平台身份认证设备可以包括处理器301以及存储有计算机程序指令的存储器302。
具体地,上述处理器301可以包括中央处理器(cpu),或者特定集成电路(applicationspecificintegratedcircuit,asic),或者可以被配置成实施本公开实施例的一个或多个集成电路。
存储器302可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器302可包括硬盘驱动器(harddiskdrive,hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(universalserialbus,usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器302可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器302可在综合网关容灾设备的内部或外部。在特定实施例中,存储器302是非易失性固态存储器。
处理器301通过读取并执行存储器302中存储的计算机程序指令,以实现上述实施例中的任意一种5g核心网和区块链的mec平台身份认证方法。
在一个示例中,5g核心网和区块链的mec平台身份认证设备还可包括通信接口303和总线310。其中,如图7所示,处理器301、存储器302、通信接口303通过总线310连接并完成相互间的通信。
通信接口303,主要用于实现本公开实施例中各模块、装置、单元和/或设备之间的通信。
总线310包括硬件、软件或两者,将在线数据流量计费设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(agp)或其他图形总线、增强工业标准架构(eisa)总线、前端总线(fsb)、超传输(ht)互连、工业标准架构(isa)总线、无限带宽互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pci-x)总线、串行高级技术附件(sata)总线、视频电子标准协会局部(vlb)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线310可包括一个或多个总线。尽管本公开实施例描述和示出了特定的总线,但本公开考虑任何合适的总线或互连。
再一方面,本公开实施例提供了一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上述任意一项所述的5g核心网和区块链的mec平台身份认证方法。
需要明确的是,本公开并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本公开的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本公开的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时,本公开的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本公开中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本公开不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本公开的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本公开的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本公开的保护范围之内。
1.一种基于5g核心网和区块链的mec平台身份认证方法,其特征在于,包括:
通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
2.根据权利要求1所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,包括
令mec平台与安全网元seaf建立连接,由安全网元seaf向鉴权服务端发起启动认证请求,该请求中包含mec平台的永久性设备标识符信息,以供鉴权服务端向统一数据管理设备请求验证该永久性设备标识符信息的真伪;
永久性设备标识符信息验证通过后,统一数据管理设备创建鉴权向量响应鉴权服务端,以使鉴权服务端和安全网元seaf交互,根据该鉴权向量执行身份认证服务。
3.根据权利要求2所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,具体包括:
令mec平台与安全网元seaf建立连接,并向安全网元seaf发送携带当前mec平台永久性设备标识符的信息;
通过安全网元seaf向鉴权服务端发送启动认证请求,以使鉴权服务端ausf对安全网元seaf的服务网络鉴权通过后,向统一数据管理设备udm或arpf发送认证响应请求;其中所述启动认证请求和所述认证响应请求中均包含该mec平台的永久性设备标识符信息,由统一数据管理设备udm或arpf验证永久性设备标识符信息的真伪。
4.根据权利要求3所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证,还包括:
永久性设备标识符信息验证通过后,令统一数据管理设备udm或arpf创建第一鉴权向量,响应所述认证响应请求,并将该第一鉴权向量发送给鉴权服务端ausf并指示该鉴权向量用于鉴权与密钥协商认证;其中第一鉴权向量中包括随机数、鉴权令牌、鉴权响应参数以及认证密钥;
鉴权服务端ausf保存鉴权响应参数,并根据认证密钥计算出锚密钥,生成包含所述随机数、鉴权令牌以及锚密钥的第二鉴权向量,发送至安全网元seaf;
安全网元seaf将至少包含第二鉴权鉴权向量中随机数和鉴权令牌的请求信息发送给mec平台,使该平台将随机数和鉴权令牌发送给全球用户身份模块usim对鉴权令牌进行新鲜度验证,并使得mec平台推导出响应参数、认证密钥和锚密钥,返回给鉴权服务端;
鉴权服务端根据所述响应参数与所述鉴权响应参数对比,判断鉴权结果;如果对比相等则认证通过,否则认证失败。
5.根据权利要求1-4任一项所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记,包括
令通过认证的mec平台获取认证结果,并获得标记当前公网地址和自身永久性设备标识符信息的指示,进行标记以进行上链操作。
6.根据权利要求1-4任一项所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述通过区块链共识机制,对通过认证的mec平台进行上链管理,具体包括
对于通过认证的mec平台,将其分配到的公网地址和自身永久性设备标识符信息作为mec平台的标识信息,同步到当前平台所在网络中的其他mec平台中,用于对mec平台的上链管理。
7.根据权利要求6所述的基于5g核心网和区块链的mec平台身份认证方法,其特征在于,所述通过区块链共识机制,对通过认证的mec平台进行上链管理中,上链管理包括:
根据认证后的mec平台自身永久性设备标识符信息以及分配的公网地址,生成当前平台的第一交易哈希值;
令mec平台向核心网再次发起访问请求,以使核心网接收到访问请求时向区块链上的其他mec平台发送认证信令,对该访问请求的mec平台进行身份认证;
令所述区块链上的其他mec平台,根据当前mec平台访问请求中包含的公网地址信息调用该mec平台的标识信息,生成第二哈希值;
获取第二哈希值与第一哈希值,并比较两种哈希值,如果相等,则验证通过;否则验证失败。
8.一种基于5g核心网和区块链的mec平台身份认证装置,其特征在于,
鉴权认证管理模块,用于通过5g鉴权与密钥协商认证机制,对mec平台进行身份认证;并对通过认证的mec平台所拥有的网络地址与永久性设备标识符信息进行标记;
上链管理模块,用于通过区块链共识机制,对通过认证的mec平台进行上链管理,将mec平台所拥有的网络地址和永久性设备标识符信息存入到当前区块链上的各个节点。
9.一种基于5g核心网和区块链的mec平台身份认证设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的5g核心网和区块链的mec平台身份认证方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的5g核心网和区块链的mec平台身份认证方法。
技术总结