大规模异构终端架构以及大规模异构终端架构接入方法

1.本技术涉及无线通信技术领域，更具体地，涉及大规模异构终端架构以及大规模异构终端架构接入方法。


背景技术：

2.随着云计算、大数据、人工智能(artificial intelligence，简称ai)和5g等技术的发展，各类物联网业务也得到了蓬勃的发展，接入终端的数量也急剧上升。但是，在5g应用场景中，不同类型的接入终端计算能力、传输能力、安全等级各不相同，现有5g认证密钥协商协议(5g-aka)和基于认证及密钥协商机制的可扩展认证(eap-aka)认证流程单一固化，无法提供面向服务的终端安全接入方案。并且，现有的认证机制中每个用户设备(user equipment，简称ue)或者终端设备接入网络或位置更新时都要执行一次认证过程，一对一认证方式会造成较高的认证延迟和重认证延迟，在海量机器类通信(mmtc)场景下还会导致核心网严重的信令拥塞。
3.因此，在保证用户基本的通信安全的前提下，实现多类型接入终端的异构融合、互联互通，满足差异化安全保护需求是亟待解决的问题。


技术实现要素：

4.本技术的一些实施方式提供了可至少部分解决现有技术中存在的上述问题的大规模异构终端架构以及大规模异构终端架构接入方法。
5.根据本技术的一个方面，提供一种大规模异构终端架构的接入方法，所述方法可包括：基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到所述终端设备的接入认证请求，并基于所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个终端设备群组；针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码；以及再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，并基于所述接入认证方案对所述终端设备进行认证。
6.在本技术一个实施方式中，基于所述接入认证请求对所述群组认证终端设备进行群组划分，获得多个终端设备群组，可包括：设置所述终端设备群组的初始数量以及初始中心终端设备；基于所述初始中心终端设备、所述初始数量以及所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个初始终端设备群组；计算所述初始终端设备群组的相似度，其中，所述相似度包括距离相似度和时延相似度；以及将所述距离相似度和所述时延相似度与预设条件进行对比，若所述距离相似度和所述时延相似度满足预设条件，则将所述初始终端设备群组作为所述终端设备群组，若所述距离相似度和所述时延相似度不满足所述预设条件，则重新划分所述终端设备群组。
7.在本技术一个实施方式中，所述接入认证需求可以包括地理位置、业务需求、安全等级、服务质量(qos)需求，其中，所述业务需求也可以包括通信时延、设备类型、移动性。
8.在本技术一个实施方式中，针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码，可包括：获取小区中前导码的数量和数量预测结果，其中，所述数量预测结果包括所述群组认证终端设备集合中所述终端设备的数量和所述独立认证终端设备集合中所述终端设备的数量；以及基于所述数量预测结果将所述前导码划分为第一前导码集合和第二前导码集合，并为每个所述终端设备在所述第一前导码集合或第二前导码集合中分配对应的所述前导码，并分配对应的禁止接入因子。
9.在本技术一个实施方式中，再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，可包括：获取接入网络的所述终端设备的预设值，并将所述数量预测结果与所述预设值进行对比，获得所述接入认证方案，其中，所述接入认证方案包括：响应于所述数量预测结果小于或者等于所述预设值，获取全部所述终端设备的所述接入认证请求并进行认证；或响应于所述数量预测结果大于所述预设值，基于所述禁止接入因子确定网络接入顺序，其中，基于所述禁止接入因子确定网络接入顺序包括：获取所述独立认证终端设备集合中所述终端设备的所述接入认证请求并进行认证，当所述独立认证终端设备集合完成认证后，获取所述群组认证终端设备集合中所述终端设备的所述接入认证请求并进行认证。
10.在本技术一个实施方式中，基于所述接入认证方案对所述终端设备进行认证，还可包括：基于通信能力在群组认证终端设备集合中每个所述终端设备群组中筛选终端设备组长；对所述终端设备组长的所述通信能力进行验证，获得验证结果；以及基于所述验证结果完成所述终端设备组长的接入认证。
11.在本技术一个实施方式中，基于所述验证结果完成所述终端设备组长的接入认证，可包括：所述终端设备组长获取群组密钥；构建反向哈希树，并基于所述反向哈希树和所述群组密钥获得每个所述终端设备的个人密钥；基于所述终端设备的所述个人密钥生成对应的个人签名；对所述群组认证终端设备集合中所述终端设备对应的所述个人签名进行聚合，生成群组签名；以及基于所述个人签名和所述群组签名完成所述终端设备的认证。
12.在本技术一个实施方式中，所述方法还可包括基站接受所述终端设备的所述接入认证请求，并进行数据汇聚和转发；将所述接入认证请求进行转译，获得转译信息；基于所述转译信息选择接入认证算法和密钥管理方案；以及将所述接入认证算法和所述密钥管理方案反馈至所述终端设备。
13.本技术另一方面提供了一种大规模异构终端架构，所述终端架构可包括：终端侧，用于生成接入认证请求，网络侧，用于基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到所述终端设备的接入认证请求，并基于所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个终端设备群组；针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码；以及再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，并基于所述接入认证方案对所述终端设备进行认证。
14.在本技术一个实施方式中，所述网络侧还可用于：设置所述终端设备群组的初始数量以及初始中心终端设备；基于所述初始中心终端设备、所述初始数量以及所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个初始终端设备群组；计算所述初始终端设备群组的相似度，其中，所述相似度包括距离相似度和时延
相似度；以及将所述距离相似度和所述时延相似度与预设条件进行对比，若所述距离相似度和所述时延相似度满足预设条件，则将所述初始终端设备群组作为所述终端设备群组，若所述距离相似度和所述时延相似度不满足所述预设条件，则重新划分所述终端设备群组。
15.在本技术一个实施方式中，所述接入认证需求可包括地理位置、业务需求、安全等级、服务质量(qos)需求，其中，所述业务需求也可以包括通信时延、设备类型、移动性。
16.在本技术一个实施方式中，所述网络侧还可用于：获取小区中前导码的数量和数量预测结果，其中，所述数量预测结果包括所述群组认证终端设备集合中所述终端设备的数量和所述独立认证终端设备集合中所述终端设备的数量；以及基于所述数量预测结果将所述前导码划分为第一前导码集合和第二前导码集合，并为每个所述终端设备在所述第一前导码集合或第二前导码集合中分配对应的所述前导码，并分配对应的禁止接入因子。
17.在本技术一个实施方式中，所述网络侧还可用于：获取接入网络的所述终端设备的预设值，并将所述数量预测结果与所述预设值进行对比，获得所述接入认证方案，其中，所述接入认证方案包括：响应于所述数量预测结果小于或者等于所述预设值，获取全部所述终端设备的所述接入认证请求并进行认证；或响应于所述数量预测结果大于所述预设值，基于所述禁止接入因子确定网络接入顺序，其中，基于所述禁止接入因子确定网络接入顺序包括：获取所述独立认证终端设备集合中所述终端设备的所述接入认证请求并进行认证，当所述独立认证终端设备集合完成认证后，获取所述群组认证终端设备集合中所述终端设备的所述接入认证请求并进行认证。
18.在本技术一个实施方式中，所述网络侧还可用于：基于通信能力在群组认证终端设备集合中每个所述终端设备群组中筛选终端设备组长；对所述终端设备组长的所述通信能力进行验证，获得验证结果；以及基于所述验证结果完成所述终端设备组长的接入认证。
19.在本技术一个实施方式中，所述网络侧还可用于：所述终端设备组长获取群组密钥；构建反向哈希树，并基于所述反向哈希树和所述群组密钥获得每个所述终端设备的个人密钥；基于所述终端设备的所述个人密钥生成对应的个人签名；对所述群组认证终端设备集合中所述终端设备对应的所述个人签名进行聚合，生成群组签名；以及基于所述个人签名和所述群组签名完成所述终端设备的认证。
20.在本技术一个实施方式中，所述网络侧还可用于：基站接受所述终端设备的所述接入认证请求，并进行数据汇聚和转发；将所述接入认证请求进行转译，获得转译信息；基于所述转译信息选择接入认证算法和密钥管理方案；以及将所述接入认证算法和所述密钥管理方案反馈至所述终端设备。
21.根据本技术示例性的实施方式，通过基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合，对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组并分配对应的前导码，使网络侧可以为终端设备提供差异化服务。可以在一定程度上缓解并发连接时的网络拥塞。
附图说明
22.通过阅读参照以下附图所作的对非限制性实施例的详细描述，本技术的其它特征、目的和优点将会变得更明显。其中：
23.图1为现有技术中基于5g-aka认证流程示意图；
24.图2为根据本技术实施方式的大规模异构终端架构1000示意图；
25.图3为根据本技术实施方式的基于大规模异构终端架构的接入方法2000的流程图；
26.图4为根据本技术示例性实施方式的划分终端设备群组流程图；
27.图5为根据本技术示例性实施方式的配置前导码的流程图；
28.图6为根据本技术示例性实施方式的基于接入认证方案对终端设备进行认证结构示意图；
29.图7为根据本技术示例性实施方式的基于接入认证方案对终端设备进行认证的流程图；
30.图8为根据本技术示例性实施方式的接入认证过程的流程图；
31.图9为根据本技术示例性实施方式的终端设备进行异构融合的流程图。
具体实施方式
32.为了更好地理解本技术，将参考附图对本技术的各个方面做出更详细的说明。应理解，这些详细说明只是对本技术的示例性实施方式的描述，而非以任何方式限制本技术的范围。在说明书全文中，相同的附图标号指代相同的元件。表述“和/或”包括相关联的所列项目中的一个或多个的任何和全部组合。
33.在附图中，为了便于说明，已稍微调整了元素的大小、尺寸和形状。附图仅为示例而并非严格按比例绘制。如在本文中使用的，用语“大致”、“大约”以及类似的用语用作表近似的用语，而不用作表程度的用语，并且旨在说明将由本领域普通技术人员认识到的、测量值或计算值中的固有偏差。另外，在本技术中，各步骤处理描述的先后顺序并不必然表示这些处理在实际操作中出现的顺序，除非有明确其它限定或者能够从上下文推导出的除外。
34.还应理解的是，诸如“包括”、“包括有”、“具有”、“包含”和/或“包含有”等表述在本说明书中是开放性而非封闭性的表述，其表示存在所陈述的特征、元件和/或部件，但不排除一个或多个其它特征、元件、部件和/或它们的组合的存在。此外，当诸如“...中的至少一个”的表述出现在所列特征的列表之后时，其修饰整列特征，而非仅仅修饰列表中的单独元件。此外，当描述本技术的实施方式时，使用“可”表示“本技术的一个或多个实施方式”。并且，用语“示例性的”旨在指代示例或举例说明。
35.除非另外限定，否则本文中使用的所有措辞(包括工程术语和科技术语)均具有与本技术所属领域普通技术人员的通常理解相同的含义。还应理解的是，除非本技术中有明确的说明，否则在常用词典中定义的词语应被解释为具有与它们在相关技术的上下文中的含义一致的含义，而不应以理想化或过于形式化的意义解释。
36.需要说明的是，在不冲突的情况下，本技术中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本技术。
37.5g以其高速率、大容量、低时延等卓越性能，正逐步支持增强移动带宽、高可靠低时延通信(ultra-reliable low-latency communication，简称urllc)和大规模机器类型通信(massive machine type communication，简称mmtc)三大典型应用场景，推动增强现实(augmented reality，简称ar)、虚拟现实技术(virtual reality，简称vr)、自动驾驶、工
业互联网、远程医疗等新领域快速发展，但是也产生了网络安全与数据隐私保护等方面的问题。
38.5g网络三大应用场景中，大规模机器通信场景主要用于解决海量物联网设备的通信问题，5g网络需要满足较高流量密度、能量密度和连接数密度。作为物联网的主要存在形式，在未来的移动蜂窝网络中，需要部署大量的机器类通信设备，同时接入终端设备的数量也急剧增加。在大量的终端设备中，还存在如下问题：
39.1.终端设备类型多样，功能不同。例如，部分接入终端设备能力强，具有一定的计算和存储能力；部分接入终端设备没有用户身份识别(subscriber identity module，简称sim)卡或者全球用户识别(universal subscriber identity module，简称usim)卡用于身份识别，身份可以是网际互连协议(internet protocol，简称ip)地址、媒体存取控制地址(media access control address，简称mac)或数字证书；一些功能较低的终端设备甚至没有特定的硬件来安全地存储身份和认证凭据。
40.2.5g认证流程单一，接入时延较高。例如，现有的接入认证算法相对单一，采用普通用户设备的传统aka认证过程来实现与5g核心网络之间的相互认证，这会造成较高的认证和重认证延迟，也会导致核心网严重的信令拥塞。并且当面对日益增多的业务种类时，无法避免接入成功率的下降和超高的接入时延。
41.3.5g接入认证存在安全问题及隐私保护问题。例如，当前5g接入认证机制明文传递鉴权认证响应消息，存在可链接性攻击、位置追踪威胁等安全问题。具体地：终端设备给网络反馈的身份认证响应消息在空中接口以明文形式传输，如果攻击者通过某种技术手段在空中接口窃听该消息，就可以基于认证结果信息以及失败原因等信息分析终端当前所处的状态，利用此漏洞来判定目标用户是否在某个具体位置。
42.现有技术中的网络通信是基于5g网络新架构，5g网络新架构主要由四个部分组成：用户设备或者终端(ue)、无线接入网(ran)、5g核心网(5gc)以及数据网络(dn)。其中，ue可以包含手机、智能终端、多媒体设备、流媒体设备等；ran可以用于使用户设备以无线的方式接入到基站；5gc负责管理数据；dn负责存储数据。
43.5g网络支持多种认证方式，例如5g aka和eap aka’，但是认证过程都包含推衍用户与网络建立安全连接所需的密钥信息的过程。以5g aka的认证过程为例进行说明。图1为现有技术中基于5g-aka认证流程示意图。如图1所示，基于5g-aka认证流程可以包括以下步骤：
44.步骤s10：用户设备发送接入请求；
45.步骤s20：接入和移动性管理功能模块收到接入请求后，获取用户设备的用户隐藏标识符以及用户设备参数，并进行权限验证请求；
46.步骤s30：认证服务器功能模块基于服务网络参数，确定接入和移动性管理功能模块的信息发送权限，若接入和移动性管理功能模块未具有信息发送权限，则用户设备再次发送接入请求；
47.步骤s40：若接入和移动性管理功能模块具有信息发送权限，认证服务器功能模块获取权限验证请求，并向统一数据管理功能模块发送认证请求，其中，认证请求携带用户永久标识符和用户隐藏标识符；
48.步骤s50：统一数据管理功能模块计算环境鉴权向量以及用户设备信息参数，并将
用户设备信息参数发送至认证服务器功能模块；
49.步骤s60：认证服务器功能模块、接入和移动性管理功能模块以及用户设备完成相互认证。
50.在现有技术中，用户设备发送接入请求，开始与网络建立连接，接入和移动性管理功能(access and mobility management function，简称amf)模块，可以获取用户设备的用户隐藏标识符以及用户设备参数并向认证服务器功能(authentication server function，称ausf)模块发送权限验证请求。当ausf模块接收到权限验证请求，可以判定amf模块是否可以进行信息发送，如果amf模块不能进行信息发送，则重复步骤s10和步骤s20；如果amf模块可以进行信息发送，ausf获取权限验证请求，并向统一数据管理功能(unified data management，简称udm)模块发送认证请求，其中，认证请求携带用户永久标识符(subscription permanent identifier，简称supi)和用户隐藏标识符(subscription concealed identifier，简称suci)。udm模块计算环境鉴权向量(5g he av)，并使用算法推导用户设备信息参数，其中，用户设备信息参数可以包括mac，预期用户响应(expected user response，简称，xres)，加密算法密钥(ck)，完整性保护算法密钥(ik)以及ak密钥信息，并发送给ausf模块。ausf模块、amf模块以及ue三者完成相互认证，与ue进行鉴权与密钥协商，获得加密算法密钥ck和完整性保护算法密钥ik，用于后续安全通信。
51.通过上述认证过程，流程单一固化，无法根据不同类型的业务设计有效的拥塞缓解接入策略以满足其差异化的服务需求。每个设备接入网络或位置更新都需要做一次认证流程，在mmtc场景下传统的一对一认证方式增加了网络信令，导致网络拥塞。
52.图2为根据本技术实施方式的大规模异构终端架构1000示意图。如图2所示，大规模异构终端架构1000可以包括终端侧和网络侧，其中网络侧可以包括接入网络、服务网络以及归属网络。终端侧用于生成接入认证请求，网络则用于基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到终端设备的接入认证请求，并基于接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组；针对群组认证终端设备集合和独立认证终端设备集合中的终端设备配置前导码；以及再次获取终端设备接入认证请求，基于前导码生成接入认证方案，并基于接入认证方案对终端设备进行认证。
53.图3为根据本技术实施方式的基于大规模异构终端架构的接入方法2000的流程图。如图3所示，基于大规模异构终端架构的接入方法2000可包括：
54.步骤s100：基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；
55.步骤s200：接收到终端设备的接入认证请求，并基于接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组；
56.步骤s300：针对群组认证终端设备集合和独立认证终端设备集合中的终端设备配置前导码；以及
57.步骤s400：再次获取终端设备接入认证请求，基于前导码生成接入认证方案，并基于接入认证方案对终端设备进行认证。
58.下面将结合图2和图3详细说明上述大规模异构终端架构的接入方法2000的各个步骤的具体内容。
59.步骤s100
60.在本技术示例性的实施方式中，首先接入网络基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合。5g主要包含三个应用场景增强移动宽带(embb)、高可靠低时延连接(urllc)以及海量机器类通信(mmtc)，其中，embb是以用户设备为中心的应用场景，具有超高的传输数据速率；urllc连接时延要达到1ms级别，而且要支持高速移动情况下的高可靠性连接，主要面向车联网、工业控制、远程医疗等特殊应用；mmtc主要实现各垂直行业的深度融合，例如，智慧城市、智能家居、环境监测等。万物互联下数据速率较低且时延不敏感。基于不同的应用场景，可以对应不同的通信时延。示例性地，urllc场景时延需求为0-1ms，embb场景时延需求为1-10ms，mmtc场景业务需求为10-1000ms。由于urllc和embb对通信时延要求较高，mmtc对通信时延要求较低，可以基于通信时延将用户设备分类两类，即群组认证终端设备集合和独立认证终端设备集合，其中，群组认证终端设备集合中用户设备的通信时延大于独立认证终端设备集合中用户设备的通信时延。例如，群组认证终端设备集合中的终端设备的认证方式为一对多认证，可以包括应用场景为mmtc的终端设备，独立认证终端设备集合中的终端设备为一对一认证，可以包括应用场景为urllc和embb的终端设备。
61.根据本技术示例性的实施方式，通过基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合，可以在后续通信过程中合理安排用户设备的接入认证，满足用户设备通信时延的同时，可以在一定程度上减少信令拥塞。
62.步骤s200
63.在本技术示例性的实施方式中，在获得群组认证终端设备集合和独立认证终端设备集合之后，当接入网络接收到终端设备接入认证请求，并基于接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组。示例性地，用户设备首次接入网络可以采用普通的基于竞争的随机接入方式与基站建立连接，用户设备可以向基站发送接入认证需求，其中，接入认证需求可以包括地理位置、业务需求、安全等级、服务质量(qos)需求，其中，业务需求也可以包括通信时延、设备类型、移动性等。
64.图4为根据本技术示例性实施方式的划分终端设备群组流程图。
65.如图4所示，划分终端设备群组可以包括以下步骤：
66.步骤s210：设置终端设备群组的初始数量以及初始中心终端设备；
67.步骤s220：基于初始中心终端设备、初始数量以及接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个初始终端设备群组；
68.步骤s230：计算初始终端设备群组的相似度，其中，相似度包括距离时延相似度和时延相似度；
69.步骤s240：将距离相似度和时延相似度与预设条件进行对比，若距离相似度和时延相似度满足预设条件，则将初始终端设备群组作为终端设备群组，若所述距离相似度和所述时延相似度不满足预设条件，则重新划分终端设备群组。
70.示例性地，可以接入网络可以基于群组认证终端设备集合中终端设备的误差平方和(sum of the squared errors，简称sse)设置终端设备群组的初始数量以及初始中心终端设备。基于初始中心终端设备、初始数量以及接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，划分成多个初始终端设备群组，然后计算初始终端设备群组的
距离时延相似度和时延相似度，并对相似度进行判定。预设条件可以为相似度阈值，若初始终端设备群组的相似度大于或者等于相似度阈值，则将初始终端设备群组的划分结果作为最终划分结果，获得终端设备群组；若初始终端设备群组的相似度小于相似度阈值，则重复步骤s210至步骤s230，直至初始终端设备群组的相似度大于或者等于相似度阈值，完成终端设备的群组划分。
71.根据本技术示例性的实施方式中，通过基于接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组，每个终端设备群组可以具有相同或者相近的通信时延需求，以便于后续选择相同的认证服务和认证方案。
72.步骤s300
73.在本技术示例性的实施方式中，在完成终端设备群组划分之后，接入网络可以针对群组认证终端设备集合和独立认证终端设备集合中的终端设备配置前导码。图5为根据本技术示例性实施方式的配置前导码的流程图。如图5所示，配置前导码可以包括以下步骤：
74.步骤s310：获取小区中前导码的数量和数量预测结果，其中，数量预测结果包括群组认证终端设备集合中终端设备的数量和独立认证终端设备集合中终端设备的数量；以及
75.步骤s320：基于数量预测结果将前导码划分为第一前导码集合和第二前导码集合，并为每个终端设备在第一前导码集合或第二前导码集合中分配对应的前导码，并分配对应的禁止接入因子。
76.示例性地，接入网络可以为多业务场景下不同的通信时延需求的终端设备提供不同数量的前导码，发送到终端侧，为其提供差异化的接入服务。具体地，首先获取小区中前导码的数量m和终端设备的数量预测结果，其中，数量预测结果包括群组认证终端设备集合中终端设备的数量x和独立认证终端设备集合中终端设备的数量y。然后基于数量预测结果将前导码划分为第一前导码集合m1和第二前导码集合m2，并为每个终端设备在第一前导码集合或第二前导码集合中分配对应的前导码并分配对应的禁止接入因子。将第一前导码集合m1中的前导码分配给群组认证终端设备集合中终端设备，第二前导码集合m2中的前导码分配给独立认证终端设备集合中终端设备，其中，m2≥y。
77.根据本技术示例性的实施方式，通过对群组认证终端设备集合和独立认证终端设备集合分配不同数量的前导码，并分配对应的接入因子，使网络侧可以为终端设备提供差异化服务。
78.步骤s400
79.在本技术示例性的实施方式中，在完成前导码分配之后，终端设备可以再次生成接入认证请求，接入网络再次获取终端设备接入认证请求，基于前导码生成接入认证方案，并基于接入认证方案对终端设备进行认证。基于前导码生成接入认证方案可以包括：获取接入网络的终端设备的预设值，并将数量预测结果与预设值进行对比，获得所述接入认证方案，其中，预设值可以为网络允许连接的终端设备数量的最大值，接入认证方案包括：当数量预测结果小于或者等于预设值，获取全部终端设备的接入认证请求并进行认证，即接入网络的终端设备的总数量小于网络可以连接终端设备的数量，所有的终端设备可以同时接入网络。当数量预测结果大于预设值，基于禁止接入因子确定网络接入顺序，其中，基于禁止接入因子确定网络接入顺序包括：获取独立认证终端设备集合中终端设备的接入认证
请求并进行认证，当独立认证终端设备集合完成认证后，获取群组认证终端设备集合中终端设备的接入认证请求并进行认证。
80.根据本技术示例性的实施方式，通过基于前导码和接入禁止因子生成接入认证方案，可以保证通信时延比较敏感的终端设备获得前导码，并优先接入网络，以满足终端设备对通信时延的要求。并且，通过接入认证方案可以进一步保证网络连接终端设备的最大化，在一定程度上可以减少终端设备的认证时间。
81.在本技术示例性的实施方式中，在获得接入认证方案之后，还可以基于接入认证方案对终端设备进行认证。图6为根据本技术示例性实施方式的基于接入认证方案对终端设备进行认证结构示意图。图7为根据本技术示例性实施方式的基于接入认证方案对终端设备进行认证的流程图。如图7所示，基于接入认证方案对终端设备进行认证可以包括以下步骤：
82.步骤s410：基于通信能力在群组认证终端设备集合中每个终端设备群组中筛选终端设备组长；
83.步骤s420：对终端设备组长的通信能力进行验证，获得验证结果；
84.步骤s430：基于验证结果完成终端设备组长的接入认证。
85.示例性地，结合图6和图7，可以在群组认证终端设备集合中的每个终端设备群组中基于通信能力对终端设备进行排序，选择最高优先级通信能力的终端设备作为终端设备组长，然后对终端设备组长的验证，并获得验证结果。例如，终端设备组长可以向组内的其他终端设备发送信息，如果其他终端设备均可接收到信息说明终端设备组长通信能力正常；如果存在终端设备接收不到终端设备组长的信息，则选择第二优先级通信能力的终端设备作为终端设备组长，并再次进行验证。
86.根据本技术示例性的实施方式，通过在每个终端设备群组中筛选终端设备组长，并对终端设备组长的通信能力进行验证，可以保证组内其他终端设备可以接收到通信组长发送的信息，为后续以群组的方式进行接入认证提供了保障。
87.图8为根据本技术示例性实施方式的接入认证过程的流程图。如图8所示，接入认证过程可以包括以下步骤：
88.步骤s431：终端设备组长获取群组密钥；
89.步骤s432：构建反向哈希树，并基于反向哈希树和群组密钥获得每个终端设备的个人密钥；
90.步骤s433：基于终端设备的个人密钥生成对应的个人签名；
91.步骤s434：对群组认证终端设备集合中终端设备对应的个人签名进行聚合，生成群组签名；以及
92.步骤s435：基于个人签名和群组签名完成终端设备的认证。
93.示例性地，终端设备组长获取群组密钥，然后终端设备组长构建反向哈希树，反向哈希树的每一个节点对应一个组内的终端设备，通过群组密钥和左右两分支上的哈希函数即可得到每个终端设备的个人组密钥，并基于终端设备的个人密钥生成对应的个人签名，对于独立认证终端设备集合中的终端设备可以直接获得个人密钥，并生成对应的个人签名。进一步地，对群组认证终端设备集合中终端设备对应的个人签名进行聚合，生成群组签名，然后基于个人签名和群组签名完成终端设备的认证。
94.根据本技术示例性的实施方式，通过终端设备组长通过群组密钥和反向哈希树，获得每个终端设备的个人密钥和对应的个人签名。然后将个人签名进行聚合，得到群组签名。对独立认证终端设备集合中的终端设备的个人签名和群组认证终端设备集合中终端设备群组对应的群组签名进行验证，在保证所有终端设备都可以进行验证的基础上，使用群组签名进行验证可以一次性验证群组内所有的终端设备，可以在一定程度上缓解并发连接时的网络拥塞。
95.在本技术示例性的实施方式中，还可以进一步实现不同类型的终端设备的异构融合和互联互通。图9为根据本技术示例性实施方式的终端设备进行异构融合的流程图。如图9所示，终端设备进行异构融合可以包括以下步骤：
96.步骤s500：基站接受终端设备的接入认证请求，并进行数据汇聚和转发；
97.步骤s600：将接入认证请求进行转译，获得转译信息；
98.步骤s700：基于转译信息选择接入认证算法和密钥管理方案；
99.步骤s800：将接入认证算法和密钥管理方案反馈至终端设备。
100.示例性地，基站接受终端设备的接入认证请求，接入认证请求可以包括个人签名和群组签名，基站可以对接入认证请求进行数据汇聚和转发。位于服务网络的amf汇总接入认证请求中的用户请求信息，通过需求转译模块，根据qos需求、安全等级等抽取预分发的训练模型，获得转译信息，并转发转译信息至归属网络。位于归属网络的ausf提供差异化的认证授权服务，例如，根据转译信息选择接入认证算法和密钥管理方案，并由kgc分配密钥，通过选定的接入点反馈至用户。
101.根据本技术示例性的实施方式，在服务网络处增加了需求转译模块，归属网络集成了不同的接入认证方式，根据服务网转译后的信息选择接入认证算法和密钥管理方案，实现不同类型终端的异构融合、互联互通。
102.如上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明。应理解的是，以上所述仅为本发明的具体实施方式，并不用于限制本发明。凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等均应包含在本发明的保护范围之内。

技术特征：
1.一种大规模异构终端架构的接入方法，其特征在于，所述方法包括：基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到所述终端设备的接入认证请求，并基于所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个终端设备群组；针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码；以及再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，并基于所述接入认证方案对所述终端设备进行认证。2.根据权利要求1所述的大规模异构终端架构的接入方法，其特征在于，基于所述接入认证请求对所述群组认证终端设备进行群组划分，获得多个终端设备群组，包括：设置所述终端设备群组的初始数量以及初始中心终端设备；基于所述初始中心终端设备、所述初始数量以及所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个初始终端设备群组；计算所述初始终端设备群组的相似度，其中，所述相似度包括距离相似度和时延相似度；以及将所述距离相似度和所述时延相似度与预设条件进行对比，若所述距离相似度和所述时延相似度满足预设条件，则将所述初始终端设备群组作为所述终端设备群组，若所述距离相似度和所述时延相似度不满足所述预设条件，则重新划分所述终端设备群组。3.根据权利要求1所述的大规模异构终端架构的接入方法，其特征在于，所述接入认证需求包括地理位置、业务需求、安全等级、服务质量(qos)需求，其中，所述业务需求包括通信时延、设备类型、移动性。4.根据权利要求1所述的大规模异构终端架构的接入方法，其特征在于，针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码，包括：获取小区中前导码的数量和数量预测结果，其中，所述数量预测结果包括所述群组认证终端设备集合中所述终端设备的数量和所述独立认证终端设备集合中所述终端设备的数量；以及基于所述数量预测结果将所述前导码划分为第一前导码集合和第二前导码集合，并为每个所述终端设备在所述第一前导码集合或第二前导码集合中分配对应的所述前导码，并分配对应的禁止接入因子。5.根据权利要求4所述的大规模异构终端架构的接入方法，其特征在于，再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，包括：获取接入网络的所述终端设备的预设值，并将所述数量预测结果与所述预设值进行对比，获得所述接入认证方案，其中，所述接入认证方案包括：响应于所述数量预测结果小于或者等于所述预设值，获取全部所述终端设备的所述接入认证请求并进行认证；或响应于所述数量预测结果大于所述预设值，基于所述禁止接入因子确定网络接入顺序，其中，基于所述禁止接入因子确定网络接入顺序包括：获取所述独立认证终端设备集合中所述终端设备的所述接入认证请求并进行认证，当所述独立认证终端设备集合完成认证
后，获取所述群组认证终端设备集合中所述终端设备的所述接入认证请求并进行认证。6.根据权利要求1所述的大规模异构终端架构的接入方法，其特征在于，基于所述接入认证方案对所述终端设备进行认证，还包括：基于通信能力在群组认证终端设备集合中每个所述终端设备群组中筛选终端设备组长；对所述终端设备组长的所述通信能力进行验证，获得验证结果；以及基于所述验证结果完成所述终端设备组长的接入认证。7.根据权利要求6所述的大规模异构终端架构的接入方法，其特征在于，基于所述验证结果完成所述终端设备组长的接入认证，包括：所述终端设备组长获取群组密钥；构建反向哈希树，并基于所述反向哈希树和所述群组密钥获得每个所述终端设备的个人密钥；基于所述终端设备的所述个人密钥生成对应的个人签名；对所述群组认证终端设备集合中所述终端设备对应的所述个人签名进行聚合，生成群组签名；以及基于所述个人签名和所述群组签名完成所述终端设备的认证。8.根据权利要求1至7任一项所述的大规模异构终端架构的接入方法，其特征在于，所述方法还包括：基站接受所述终端设备的所述接入认证请求，并进行数据汇聚和转发；将所述接入认证请求进行转译，获得转译信息；基于所述转译信息选择接入认证算法和密钥管理方案；以及将所述接入认证算法和所述密钥管理方案反馈至所述终端设备。9.一种大规模异构终端架构，其特征在于，所述终端架构包括：终端侧，用于生成接入认证请求；网络侧，用于基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到所述终端设备的接入认证请求，并基于所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个终端设备群组；针对所述群组认证终端设备集合和所述独立认证终端设备集合中的所述终端设备配置前导码；以及再次获取所述终端设备所述接入认证请求，基于所述前导码生成接入认证方案，并基于所述接入认证方案对所述终端设备进行认证。10.根据权利要求9所述的大规模异构终端架构，其特征在于，所述网络侧还用于：设置所述终端设备群组的初始数量以及初始中心终端设备；基于所述初始中心终端设备、所述初始数量以及所述接入认证请求对所述群组认证终端设备集合中的所述终端设备进行群组划分，获得多个初始终端设备群组；计算所述初始终端设备群组的相似度，其中，所述相似度包括距离相似度和时延相似度；以及将所述距离相似度和所述时延相似度与预设条件进行对比，若所述距离相似度和所述
时延相似度满足预设条件，则将所述初始终端设备群组作为所述终端设备群组，若所述距离相似度和所述时延相似度不满足所述预设条件，则重新划分所述终端设备群组。11.根据权利要求9所述的大规模异构终端架构，其特征在于，所述接入认证需求包括地理位置、业务需求、安全等级、服务质量(qos)需求，其中，所述业务需求包括通信时延、设备类型、移动性。12.根据权利要求9所述的大规模异构终端架构，其特征在于，所述网络侧还用于：获取小区中前导码的数量和数量预测结果，其中，所述数量预测结果包括所述群组认证终端设备集合中所述终端设备的数量和所述独立认证终端设备集合中所述终端设备的数量；以及基于所述数量预测结果将所述前导码划分为第一前导码集合和第二前导码集合，并为每个所述终端设备在所述第一前导码集合或第二前导码集合中分配对应的所述前导码，并分配对应的禁止接入因子。13.根据权利要求12所述的大规模异构终端架构，其特征在于，所述网络侧还用于：获取接入网络的所述终端设备的预设值，并将所述数量预测结果与所述预设值进行对比，获得所述接入认证方案，其中，所述接入认证方案包括：响应于所述数量预测结果小于或者等于所述预设值，获取全部所述终端设备的所述接入认证请求并进行认证；或响应于所述数量预测结果大于所述预设值，基于所述禁止接入因子确定网络接入顺序，其中，基于所述禁止接入因子确定网络接入顺序包括：获取所述独立认证终端设备集合中所述终端设备的所述接入认证请求并进行认证，当所述独立认证终端设备集合完成认证后，获取所述群组认证终端设备集合中所述终端设备的所述接入认证请求并进行认证。14.根据权利要求9所述的大规模异构终端架构，其特征在于，所述网络侧还用于：基于通信能力在群组认证终端设备集合中每个所述终端设备群组中筛选终端设备组长；对所述终端设备组长的所述通信能力进行验证，获得验证结果；以及基于所述验证结果完成所述终端设备组长的接入认证。15.根据权利要求14所述的大规模异构终端架构，其特征在于，所述网络侧还用于：所述终端设备组长获取群组密钥；构建反向哈希树，并基于所述反向哈希树和所述群组密钥获得每个所述终端设备的个人密钥；基于所述终端设备的所述个人密钥生成对应的个人签名；对所述群组认证终端设备集合中所述终端设备对应的所述个人签名进行聚合，生成群组签名；以及基于所述个人签名和所述群组签名完成所述终端设备的认证。16.根据权利要求9至15任一项所述的大规模异构终端架构，其特征在于，所述网络侧还用于：基站接受所述终端设备的所述接入认证请求，并进行数据汇聚和转发；将所述接入认证请求进行转译，获得转译信息；基于所述转译信息选择接入认证算法和密钥管理方案；以及
将所述接入认证算法和所述密钥管理方案反馈至所述终端设备。

技术总结
本申请提供了一种大规模异构终端架构以及大规模异构终端架构接入方法，所述方法包括：基于通信时延对终端设备进行分类，获得群组认证终端设备集合和独立认证终端设备集合；接收到终端设备的接入认证请求，并基于接入认证请求对群组认证终端设备集合中的终端设备进行群组划分，获得多个终端设备群组；针对群组认证终端设备集合和独立认证终端设备集合中的终端设备配置前导码；再次获取终端设备接入认证请求，基于前导码生成接入认证方案，并基于接入认证方案对终端设备进行认证。基于接入认证方案对终端设备进行认证。基于接入认证方案对终端设备进行认证。


技术研发人员：崔琪楣 赵文静 朱增宝 李凯 陶小峰
受保护的技术使用者：北京邮电大学
技术研发日：2023.05.06
技术公布日：2023/8/16