SUPI和IMEI绑定关系校验方法、装置、设备及存储介质与流程

supi和imei绑定关系校验方法、装置、设备及存储介质
技术领域
1.本技术实施例涉及移动通信技术领域，涉及但不限于一种supi和imei绑定关系校验方法、装置、设备及存储介质。


背景技术：

2.现有技术方案是针对imsi与imei绑定关系的验证，该技术架构较为落后，且不具备普适性，仅仅针对第四代移动通信标准(long term evolution，lte)进行技术方案的阐述和论证，未针对最新通信技术—第五代通信标准(new radio，nr)进行详细的方案阐述和论证，随着移动通信系统新技术的高速发展，现有技术方案已不再适用，局限性较大。


技术实现要素：

3.有鉴于此，本技术实施例提供一种supi和imei绑定关系校验方法、装置、设备及存储介质。
4.本技术实施例的技术方案是这样实现的：
5.第一方面，本技术实施例提供一种supi和imei绑定关系校验方法，应用于核心网，所述方法包括：获取supi和imei关系列表；在验证终端的目标supi合法的情况下，获取所述终端的目标imei；基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
6.第二方面，本技术实施例提供一种supi和imei绑定关系校验方法，应用于管理平台，所述方法包括：获取supi和imei关系列表；获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
7.第三方面，本技术实施例提供一种supi和imei绑定关系校验装置，应用于核心网，所述装置包括：第一获取模块，用于获取supi和imei关系列表；第二获取模块，用于在验证终端的目标supi合法的情况下，获取所述终端的目标imei；第一验证模块，用于基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
8.第四方面，本技术实施例提供一种supi和imei绑定关系校验装置，应用于管理平台，所述装置包括：第五获取模块，用于获取supi和imei关系列表；第六获取模块，用于获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；第一发送模块，用于响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
9.第五方面，本技术实施例提供一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法。
10.第六方面，本技术实施例提供一种存储介质，存储有可执行指令，用于引起处理器执行时，实现上述方法。
11.本技术实施例中，首先核心网获取supi和imei关系列表；然后在验证终端的目标supi合法的情况下，获取所述终端的目标imei；最后基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。在保证5g网络大带宽、广连接和高可靠低时延的前提下，为确保5g网络中用户信息安全，在用户终端ue开机入网认证注册过程中进行supi和imei数据的关系校验，实现专网用户专卡专机。这样，可在核心网完成supi和imei绑定关系校验，完成终端ue注册认证，部署方便，数据具备高安全性和高可靠性。当终端或者usim卡丢失后，则无法完成专网入网认证流程，可以提升专网用户认证严格程度，确保专网数据安全不泄露。
附图说明
12.图1a为本技术实施例提供的一种5gnr网络架构的示意图；
13.图1b为本技术实施例提供的一种supi和imei绑定关系验证方法的实现流程示意图；
14.图1c为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图；
15.图1d为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图；
16.图1e为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图；
17.图2为本技术实施例提供的一种supi和imei绑定关系验证方法的实现流程示意图；
18.图3a为本技术实施例提供的一种supi和imei绑定关系验证方法的实现流程示意图；
19.图3b为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图；
20.图4a为本技术实施例提供的一种supi和imei绑定关系验证方法的实现流程示意图；
21.图4b为本技术实施例提供的一种supi和imei绑定关系验证方法的流程示意图；
22.图5a为本技术实施例提供的一种supi和imei绑定关系验证装置的组成结构示意图；
23.图5b为本技术实施例提供的一种supi和imei绑定关系验证装置的组成结构示意图；
24.图6为本技术实施例提供的电子设备的一种硬件实体示意图。
具体实施方式
25.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对发明的具体技术方案做进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围。
26.在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。
27.在以下的描述中，所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本技术实施例能够以除了在这里图示或描述的以外的顺序实施。
28.除非另有定义，本文所使用的所有的技术和科学术语与属于本技术的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本技术实施例的目的，不是旨在限制本技术。
29.对本技术实施例进行进一步详细说明之前，对本技术实施例中涉及的名词和术语进行说明，本技术实施例中涉及的名词和术语适用于如下的解释。
30.国际移动设备身份码(international mobile equipment identity，imei)：是国际移动设备身份码的缩写，即通常所说的手机串号，是由15位数字组成的“电子串号”，与每台手机一一对应，且该码是全世界唯一的。每台手机在组装完成后都将被赋予一个全球唯一的号码，这个号码从生产到交付使用都将被制造生产的厂商所记录。
31.国际移动用户识别码(international mobile subscriber identity，imsi)：是国际移动用户识别码的缩写，常用来区分蜂窝网络中不同用户，是所有蜂窝网络中不重复的识别码。
32.用户永久标识符(subscription permanent identifier，supi)：用户永久标识符的缩写，是5g网络中分配给每个用户的全球唯一用户永久标识符，和lte系统中imsi含义类似。在3gpp ts 23.501中定义，supi值由usim中提供。由于在4g网络中imsi号码容易被捕获，为了避免被监听者识别并追踪特定的用户，在5g网络中对supi标识符进行基于椭圆曲线集成方式的加密保护，确保每个用户空口数据的安全。
33.5g nr，基于正交频分复用技术(orthogonal frequency division multiplexing，ofdm)的全新空口设计的全球性5g标准，也是下一代非常重要的蜂窝移动技术基础。
34.用户设备(user equipment，ue)，简称终端。
35.gnb：5g基站的命名。
36.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。
37.应当理解，此处所描述的一些实施例仅仅用以解释本技术的技术方案，并不用于限定本技术的技术范围。
38.本技术实施例提供一种5g nr网络架构，如图1a所示，该网络架构包括5g核心网11、终端12、无线网13、用户面功能网元14和数据网络15，其中，
39.5g核心网11包括接入和移动性管理功能(access and mobility management function，amf)网元、认证服务器功能(authentication server function，ausf)网元、会话管理功能(session management function，smf)网元、统一数据管理功能(unified data management，udm)、用户面功能(user plane function，upf)网元、网络开放功能(network exposure fuction，nef)网元、网络存储功能(network repository function，nrf)网元、策略控制功能(policy control function，pcf)网元等多个用于实现不同功能的网元，其中，
40.amf网元，用于通过n2和n1接口完成与无线网和终端的信令交互，参与了5g网络中大部分的信令呼叫流程，支持终端在网络中的注册、鉴权和小区间移动。
41.ausf网元，用于负责3gpp和非3gpp的接入认证，完成鉴权功能和鉴权数据管理。amf网元不执行终端的鉴权，而是向ausf网元请求鉴权服务。
42.smf网元，用于负责单个会话的建立、修改和释放，以及每个会话的ip地址分配。
43.upf网元，用于负责处理和转发用户数据，upf的功能由smf控制，upf与外部ip网络连接，并充当终端面向外部网络的稳定ip锚点，隐藏其移动性。
44.udm网元，用于完成鉴权数据的生成和用户数据管理，用于终端用户身份的验证；还可以根据签约数据对特定用户的接入进行授权。
45.5gnr系统架构包含以下基于服务的接口：nnef：nef展示的基于服务的界面；nausf：ausf展示的基于服务的界面；nnrf：nrf展示的基于服务的界面；namf：amf展示的基于服务的界面；npcf：pcf展示的基于服务的界面；nsmf：smf展示的基于服务的界面。
46.nudm：udm展示的基于服务的界面。
47.5gnr系统架构包含以下参考点：n1:ue和amf之间的参考点；n2:(r)an和amf之间的参考点；n3:(r)an和upf之间的参考点；n4:smf和upf之间的参考点。
48.本技术实施例提供一种supi和imei绑定关系验证方法，应用于核心网，如图1b所示，该方法包括：
49.步骤s110、获取supi和imei关系列表；
50.这里，supi和imei关系列表可以根据实际需求在核心网或者管理平台完成配置，该关系列表中可以存储supi和imei的映射关系，该映射关系可以是多对一，即多个supi对应一个imei；也可以是一对多，即一个supi对应多个imei；还可以是多对多，即，多个supi对应多个imei。举例来说，专网用户存在专卡专机的需求，即每个专网用户的终端设备的imei和插入终端设备usim卡的supi唯一对应或者仅限于若干指定的supi；同样的，某个supi也仅限于一个或者若干个指定的imei使用。
51.该校验过程与核心网的amf、ausf、udm三个网元密切相关。这里，可以将supi和imei关系列表存储于udm网元。
52.步骤s120、在验证终端的目标supi合法的情况下，获取所述终端的目标imei；
53.图1c为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图，如图1c所示，该流程示意图包括以下验证终端的目标supi合法的步骤s1至s14：
54.步骤s1、终端ue向基站gnb发送附着请求消息；
55.在实施过程中，该附着请求消息中包含终端用户的订阅隐藏标识符(subscription concealed identifier，suci)或者全球唯一临时ue标识5g全局唯一的临时ue标识(globally unique temporary ue identity，guti)。
56.步骤s2、gnb根据附着请求消息中的suci或者guti选择一个amf；
57.在实施过程中，终端开机后会选择上次接入的amf(old amf)，如果终端本身不在old amf的范围内，会选择当前服务范围内的amf(new amf)。
58.步骤s3、如果接入new amf，new amf向old amf发送ue上下文传输请求；
59.在一些实施例中，如果ue的附着请求消息中携带的是旧guti，并且当前amf(new amf)不是终端上次附着时的amf(old amf)，则new amf需要从旧的old amf获取上下文信
息，其中，上下文信息包括suci、未使用的鉴权向量、密钥等身份信息。
60.在一些实施例中，如果ue在新的new amf和old amf中都没有记录，则new amf向终端获取suci。即，跳转至步骤s5，new amf向终端发送身份认证请求消息，终端在身份认证请求响应中将suci发给new amf。
61.在一些实施例中，如果ue在new amf和old amf中都没有上下文信息，或者如果步骤s1中的附着请求消息没有完整性保护，或者附着请求消息没有通过完整性校验，则new amf需要向udm发送ue鉴权数据请求消息，即执行步骤s9和步骤s10。该鉴权数据请求消息中包含终端用户使用的suci信息；
62.步骤s4、old amf响应于ue上下文传输请求，将ue的上下文信息发送至new amf；
63.步骤s5、new amf向gnb发送ue身份认证请求；
64.在实施过程中，new amf依据获取的身份信息向gnb发送ue身份认证请求，以实现对附着的ue发起身份认证。
65.步骤s6、gnb发送ue身份认证请求至ue；
66.步骤s7、ue向gnb发送身份认证响应；
67.步骤s8、gnb向new amf发送身份认证响应；
68.步骤s9、new amf向ausf发送ue鉴权数据请求；
69.步骤s10、ausf向udm发送ue鉴权数据请求；
70.步骤s11、udm向ausf发送ue鉴权数据响应；
71.步骤s12、ausf向new amf发送ue鉴权数据响应；
72.这里，udm首先调用订阅标识符解隐藏功能(subscription identifier de-concealing function，sidf)完成suci到supi的解析，查找鉴权数据请求消息中supi所对应的用户签约数据(即执行步骤s10和步骤s11)，如果查找不到任何签约数据，则udm向new amf返回鉴权数据响应消息并携带合适的错误原因；如果查找到了与supi对应的用户签约数据，则udm向new amf返回鉴权数据响应消息(即执行步骤s12)，该鉴权数据响应消息中包含用于终端入网使用的鉴权向量。
73.步骤s13、new amf向ue发送完成鉴权；
74.步骤s14、new amf与ue完成安全模式建立；
75.这里，在执行完步骤s6至步骤s8之后，new amf与终端ue之间就必须执行鉴权流程(步骤s9至步骤s13)以验证终端supi的合法性，并执行安全模式流程(步骤s14)以启用安全连接。
76.执行以上步骤s1至s14，可以完成终端的目标supi的合法验证。
77.步骤s15、new amf向ue发送设备唯一识别码请求；
78.步骤s16、ue向new amf发送设备唯一识别码响应；
79.这里，在初始附着的场景下，new amf向终端ue发送设备识别码请求消息，请求获取终端的目标imei；终端ue向new amf返回设备识别码响应消息，返回终端的目标imei。由于安全连接已经建立，因此该设备识别码请求消息是加密传输的。
80.执行以上步骤s15和步骤s16，可以获取所述终端的目标imei。
81.步骤s130、基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
82.在实施过程中，可以在核心网的amf网元、udm网元或者ausf网元上基于supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
83.本技术实施例中，首先核心网获取supi和imei关系列表；然后在验证终端的目标supi合法的情况下，获取所述终端的目标imei；最后基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。在保证5g网络大带宽、广连接和高可靠低时延的前提下，为确保5g网络中用户信息安全，在用户终端ue开机入网认证注册过程中进行supi和imei数据的关系校验，实现专网用户专卡专机。这样，可在核心网完成supi和imei绑定关系校验，完成终端ue注册认证，部署方便，数据具备高安全性和高可靠性。当终端或者usim卡丢失后，则无法完成专网入网认证流程，可以提升专网用户认证严格程度，确保专网数据安全不泄露。
84.随着5g移动通信技术的日渐成熟，可以提供给用户光纤般的接入速率、较低时延的使用体验以及千亿设备的连接能力。5g专网在智慧军营、数字政府、智慧教育、智慧医疗、智慧园区、智慧城市和工业互联网等行业应用也日渐增多。本技术实施例在充分考虑5g网络大带宽、广连接、高可靠低时延和保密性等特性的前提下，提出基于核心网的supi和imei动静态关系校验方法，实现专网用户专卡专机。每个专网用户的终端的imei和插入终端usim卡的supi唯一对应或者仅限于若干指定的supi；同样的，某个supi也仅限于一个或者若干个指定的imei使用。当终端或者usim卡丢失后，无法完成专网入网认证流程，确保数据安全不泄露。
85.在一些实施例中，所述核心网包括amf网元和用于存储所述supi和imei关系列表的udm网元，上述步骤s120“在验证终端的目标supi合法的情况下，获取所述终端的目标imei”可以通过以下步骤实现：
86.步骤121、所述udm网元对所述终端进行鉴权，以验证所述终端的目标supi合法性；
87.如图1c所示，执行步骤s1至步骤s14，完成udm网元对终端的鉴权，在验证终端的目标supi合法的情况下，终端与amf建立安全模式。执行鉴权的过程如下：所述amf网元发送所述终端的鉴权请求至所述udm网元，其中，所述鉴权请求包括所述amf网元获取到的所述终端的suci；所述udm网元基于所述终端的suci完成所述终端的鉴权，并将suci解密后得到的supi发送至amf。
88.步骤122、在所述udm网元验证终端的目标supi合法的情况下，所述amf网元向所述终端发送设备识别码请求消息，以请求获取所述终端的目标imei；
89.如图1c所示，执行步骤s15，amf网元向所述终端发送设备识别码请求消息，以请求获取所述终端的目标imei。
90.步骤123、所述amf网元接收所述终端响应于所述设备识别码请求消息发送的设备识别码响应消息，其中，所述设备识别码响应消息包括所述终端的目标imei。
91.如图1c所示，执行步骤s16，amf网元接收所述终端响应于所述设备识别码请求消息发送的终端的目标imei。
92.本技术实施例中，在所述amf网元验证终端的目标supi合法的情况下，核心网中的amf网元向终端发送设备识别码请求消息，并获取终端响应于所述设备识别码请求消息发送的终端的目标imei。这样，可以使得amf网元在amf网元与终端之间建立安全模式的情况下，有效获取终端的目标imei。
93.在一些实施例中，所述核心网包括amf网元、用于存储所述supi和imei关系列表的udm网元，上述步骤s130“基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证”可以通过以下步骤实现：
94.步骤131、所述amf网元向所述udm网元发送查询请求消息，其中，所述查询请求消息包括所述终端的目标supi；
95.如图1c所示，执行步骤s17，amf网元向所述udm网元发送查询请求消息，其中，所述查询请求消息包括所述终端的目标supi。
96.步骤132、所述amf网元接收所述udm网元响应于所述查询请求消息发送的至少一个查询imei，其中，所述查询imei是所述udm网元基于所述supi和imei关系列表查询所述终端的目标supi对应的imei得到的；
97.在实施过程中，由于所述supi和imei关系列表存储于udm网元，所以udm网元可以基于所述supi和imei关系列表查询所述终端的目标supi对应的imei得到查询imei，这里，查询imei即与目标supi对应的imei，由于upi和imei关系列表中记录的映射关系可以是一个目标supi对应多个imei，所以在supi验证合法的情况下，可以得到至少一个查询imei。
98.如图1c所示，执行步骤s18，amf网元可以接收udm网元响应于所述查询请求消息发送的至少一个查询imei。
99.步骤133、在所述amf网元确定至少一个所述查询imei与所述目标imei匹配的情况下，确定所述目标supi和所述目标imei绑定验证通过。
100.本技术实施例中，在amf网元中完成supi和imei的绑定关系静态校验，判断用户终端ue是否允许接入网络。如果supi和imei的绑定关系校验成功，则允许用户终端ue完成后续注册流程，否则用户终端ue附着失败。
101.在一些实施例中，所述amf网元还用于存储所述supi和imei关系列表，以上步骤s130“基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证”可以通过以下过程实现：
102.所述amf网元基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
103.如图1d所示，在执行完步骤s1至s16后，amf网元获取到了该ue的目标supi和目标imei，这样，amf网元可以基于supi和imei关系列表，完成目标supi和目标imei绑定验证。
104.本技术实施例中，将supi和imei关系列表存储于amf网元中，可以实现基于存储于amf网元中的supi和imei关系列表，在amf网元中完成目标supi和目标imei绑定验证。
105.在一些实施例中，所述核心网包括amf网元、用于存储所述supi和imei关系列表的udm网元，上述步骤s130“基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证”可以通过以下步骤实现：
106.步骤134、所述amf网元向所述udm网元发送绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述目标supi和所述目标imei；
107.步骤135、所述amf网元接收所述udm网元响应于所述绑定关系校验请求消息发送的绑定关系校验结果，其中，所述绑定关系校验结果是所述udm网元基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
108.图1e为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图，如
图1e所示，步骤s1至s16与图1c所示的执行步骤相同，
109.步骤s17、amf网元向udm网元发送supi和imei绑定关系校验请求；
110.步骤s18、udm网元向amf网元发送supi和imei绑定关系校验响应。
111.这里，由于udm网元中存储了supi和imei关系列表，所以amf网元将目标supi和目标imei都发送至udm网元进行绑定关系校验，在udm网元完成绑定关系校验后，将校验结果返回amf网元。
112.本技术实施例中，在udm网元中完成supi和imei的绑定关系静态校验，判断用户终端ue是否允许接入网络。如果supi和imei的绑定关系校验成功，则允许用户终端ue完成后续注册流程，否则用户终端ue附着失败。
113.本技术实施例提供一种supi和imei绑定关系验证方法，应用于核心网，如图2所示，该方法包括：
114.步骤s210、获取supi和imei关系列表；
115.步骤s220、在验证终端的目标supi合法的情况下，获取所述终端的目标imei；
116.步骤s230、基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证；
117.步骤s240、基于预设周期，获取管理所述核心网的管理平台发送的supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；
118.这里，管理平台可以根据用户的需求配置supi调整的周期，在supi动态调整时间满足的情况下(由管理平台配置固定周期)，管理平台主动发起supi变更请求至udm网元和终端ue(通过new amf转发)。
119.步骤s250、更新所述supi和imei关系列表，得到更新的supi和imei关系列表；
120.在实施过程中，由于更新了终端的supi，所以需要更新supi和imei关系列表，得到更新的supi和imei关系列表，即，将更新的supi与对应的imei关系添加入更新的supi和imei关系列表。
121.步骤s260、在验证终端的更新supi合法的情况下，获取所述终端的目标imei；
122.步骤s270、基于所述更新的supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
123.本技术实施例中，通过管理平台动态配置在网用户supi动态更新，并在核心网完成supi和imei的绑定关系动态校验，判断用户终端ue是否允许接入网络。如果supi和imei的绑定关系校验成功，则允许用户终端ue完成后续注册流程，否则用户终端ue附着失败。网络安全性更强，防止用户被定位和跟踪，对垂直行业安全性要求较高的用户更加适用。
124.本技术实施例提供一种supi和imei绑定关系验证方法，应用于管理平台，如图3a所示，该方法包括：
125.步骤s310、获取supi和imei关系列表；
126.这里，管理平台是5g网络中用于管理核心网、终端和gnb的管理平台，用户可以根据实际需要在管理平台配置supi和imei关系列表。
127.步骤s320、获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；
128.步骤s330、响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核
心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
129.图3b为本技术实施例提供的一种supi和imei绑定关系静态校验的流程示意图，如图3b所示，步骤s1至s16与图1c所示的执行步骤相同，
130.步骤s17、amf网元向管理平台发送supi和imei绑定关系校验请求；
131.步骤s18、管理平台向amf网元发送supi和imei绑定关系校验响应。
132.本技术实施例中，在管理平台中完成supi和imei的绑定关系静态校验，判断用户终端ue是否允许接入网络。如果supi和imei的绑定关系校验成功，则允许用户终端ue完成后续注册流程，否则用户终端ue附着失败。部署方便，数据具备高安全性和高可靠性。
133.本技术实施例在充分考虑5g网络大带宽、广连接、高可靠低时延和保密性等特性的前提下，提出基于管理平台的supi和imei动静态关系校验方法，实现专网用户专卡专机。每个专网用户的终端的imei和插入终端usim卡的supi唯一对应或者仅限于若干指定的supi；同样的，某个supi也仅限于一个或者若干个指定的imei使用。当终端或者usim卡丢失后，无法完成专网入网认证流程，确保数据安全不泄露。
134.本技术实施例提供一种supi和imei绑定关系验证方法，应用于管理平台，如图4a所示，该方法包括：
135.步骤s410、获取supi和imei关系列表；
136.步骤s420、获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；
137.步骤s430、响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的；
138.图4b为本技术实施例提供的一种supi和imei绑定关系验证方法的流程示意图，应用于管理平台，如图4b所示，步骤s1至s18与图3b所示的执行步骤相同，执行步骤s1至s18，即，响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述amf网元，完成了supi和imei初次静态校验。
139.步骤s440、基于预设周期，向所述终端和所述核心网的udm网元分别发送supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；
140.步骤s450、更新所述supi和imei关系列表，得到更新的supi和imei关系列表；
141.步骤s460、接收所述终端和所述核心网的udm网元响应于所述supi变更请求发送的变更响应消息，其中，所述变更响应消息用于表征所述终端的supi已变更为所述更新supi；
142.步骤s470、获取所述核心网的amf网元发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述终端的更新supi和所述终端的目标imei，所述amf网元在验证终端的目标supi合法的情况下，获取所述终端发送的所述终端的目标imei；
143.步骤s480、响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述amf网元，其中，所述绑定关系校验结果是基于所述更新的supi和imei关系列表查询所述更新supi和所述目标imei是否匹配得到的。
144.如图4b所示，初次注册过程后续流程，
145.步骤s19、管理平台将supi更新请求发送至udm，udm发送supi更新响应发送至管理平台；
146.步骤s20、管理平台将supi更新请求发送至ue，ue发送supi更新响应发送至管理平台；
147.步骤s21、udm将ue再次附着请求发送至ue，ue发送ue再次附着响应发送至udm；
148.步骤s22、管理平台将supi和imei绑定关系校验请求请求发送至amf，amf发送supi和imei绑定关系校验响应发送至管理平台。
149.由于supi可以根据用户的需求设置周期更新，在管理平台发起supi动态更新的情况下，执行以上步骤s19至s22可以完成supi和imei的动态校验。
150.本技术实施例中，通过管理平台动态配置在网用户supi动态更新，并在管理平台中完成supi和imei的绑定关系动态校验，判断用户终端ue是否允许接入网络。如果supi和imei的绑定关系校验成功，则允许用户终端ue完成后续注册流程，否则用户终端ue附着失败。在管理平台上完成supi和imei绑定关系动态校验，网络安全性更强，防止用户被定位和跟踪，对垂直行业安全性要求较高的用户更加适用。
151.基于前述的实施例，本技术实施例提供两种supi和imei绑定关系验证装置，该装置包括所包括的各模块，各模块包括各子模块，可以通过电子设备中的处理器来实现；当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为中央处理器(cpu)、微处理器(mpu)、数字信号处理器(dsp)或现场可编程门阵列(fpga)等。
152.图5a为本技术实施例提供的supi和imei绑定关系验证装置的组成结构示意图，应用于核心网，如图5a所示，所述装置500包括：
153.第一获取模块501，用于获取supi和imei关系列表；
154.第二获取模块502，用于在验证终端的目标supi合法的情况下，获取所述终端的目标imei；
155.第一验证模块503，用于基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
156.在一些实施例中，所述核心网包括amf网元和用于存储所述supi和imei关系列表的udm网元，所述第二获取模块，包括鉴权子模块、第一发送子模块和第一接收子模块，其中，所述鉴权子模块，用于所述udm网元对所述终端进行鉴权，以验证所述终端的目标supi合法性；所述第一发送子模块，用于在所述udm网元验证终端的目标supi合法的情况下，所述amf网元向所述终端发送设备识别码请求消息，以请求获取所述终端的目标imei；所述第一接收子模块，用于接收所述终端响应于所述设备识别码请求消息发送的设备识别码响应消息，其中，所述设备识别码响应消息包括所述终端的目标imei。
157.在一些实施例中，所述核心网还包括用于存储所述supi和imei关系列表的udm网元，所述第一验证模块包括第二发送子模块，第二接收子模块和第一确定子模块，其中，所述第二发送子模块，用于向所述udm网元发送查询请求消息，其中，所述查询请求消息包括所述终端的目标supi；所述第二接收子模块，用于接收所述udm网元响应于所述查询请求消息发送的至少一个查询imei，其中，所述查询imei是所述udm网元基于所述supi和imei关系列表查询所述终端的目标supi对应的imei得到的；所述确定子模块，用于确定至少一个所述查询imei与所述目标imei匹配的情况下，确定所述目标supi和所述目标imei绑定验证通
过。
158.在一些实施例中，所述amf网元还用于存储所述supi和imei关系列表。
159.在一些实施例中，所述核心网还包括用于存储所述supi和imei关系列表的udm网元，所述第一验证模块包括第三发送子模块和第三接收子模块，其中，所述第三发送子模块，用于向所述udm网元发送绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述目标supi和所述目标imei；所述第三接收子模块，用于接收所述udm网元响应于所述绑定关系校验请求消息发送的绑定关系校验结果，其中，所述绑定关系校验结果是所述udm网元基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
160.在一些实施例中，所述装置还包括第三获取模块、第一更新模块、第四获取模块和第二验证模块，其中，所述第三获取模块，用于基于预设周期，获取管理所述核心网的管理平台发送的supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；所述第一更新模块，用于更新所述supi和imei关系列表，得到更新的supi和imei关系列表；所述第四获取模块，用于在验证终端的更新supi合法的情况下，获取所述终端的目标imei；所述第二验证模块，用于基于所述更新的supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。
161.图5b为本技术实施例提供的supi和imei绑定关系验证装置的组成结构示意图，应用于管理平台，如图5b所示，所述装置510包括：
162.第五获取模块511，用于获取supi和imei关系列表；
163.第六获取模块512，用于获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；
164.第一发送模块513，用于响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。
165.在一些实施例中，所述装置还包括第二发送模块，第二更新模块、接收模块、第七获取模块和第三发送模块，其中，所述第二发送模块，用于基于预设周期，向所述终端和所述核心网的udm网元分别发送supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；所述第二更新模块，用于更新所述supi和imei关系列表，得到更新的supi和imei关系列表；所述接收模块，用于接收所述终端和所述核心网的udm网元响应于所述supi变更请求发送的变更响应消息，其中，所述变更响应消息用于表征所述终端的supi已变更为所述更新supi；所述第七获取模块，用于获取所述核心网的amf网元发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述终端的更新supi和所述终端的目标imei，所述amf网元在验证终端的目标supi合法的情况下，获取所述终端发送的所述终端的目标imei；所述第三发送模块，用于响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述amf网元，其中，所述绑定关系校验结果是基于所述更新的supi和imei关系列表查询所述更新supi和所述目标imei是否匹配得到的。
166.以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本技术装置实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
167.需要说明的是，本技术实施例中，如果以软件功能模块的形式实现上述方法，并作
为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得电子设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本技术实施例不限制于任何特定的硬件和软件结合。
168.对应地，本技术实施例提供一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中提供的supi和imei绑定关系验证方法中的步骤。
169.对应地，本技术实施例提供一种电子设备，图6为本技术实施例提供的电子设备的一种硬件实体示意图，如图6所示，该设备600的硬件实体包括：包括存储器601和处理器602，所述存储器601存储有可在处理器602上运行的计算机程序，所述处理器602执行所述程序时实现上述实施例中提供的supi和imei绑定关系验证方法中的步骤。
170.存储器601配置为存储由处理器602可执行的指令和应用，还可以缓存待处理器602以及电子设备600中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
171.这里需要指出的是：以上存储介质和设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本技术存储介质和设备实施例中未披露的技术细节，请参照本技术方法实施例的描述而理解。
172.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本技术的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本技术实施例的实施过程构成任何限定。上述本技术实施例序号仅仅为了描述，不代表实施例的优劣。
173.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
174.在本技术所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
175.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显
示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
176.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
177.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
178.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得电子设备(可以是手机、平板电脑、笔记本电脑、台式计算机等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。
179.本技术所提供的几个方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。
180.本技术所提供的几个产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。
181.本技术所提供的几个方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。
182.以上所述，仅为本技术的实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。

技术特征：
1.一种supi和imei绑定关系验证方法，应用于核心网，其特征在于，所述方法包括：获取supi和imei关系列表；在验证终端的目标supi合法的情况下，获取所述终端的目标imei；基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。2.如权利要求1所述的方法，其特征在于，所述核心网包括amf网元和用于存储所述supi和imei关系列表的udm网元，所述在验证终端的目标supi合法的情况下，获取所述终端的目标imei，包括：所述udm网元对所述终端进行鉴权，以验证所述终端的目标supi合法性；在所述udm网元验证终端的目标supi合法的情况下，所述amf网元向所述终端发送设备识别码请求消息，以请求获取所述终端的目标imei；所述amf网元接收所述终端响应于所述设备识别码请求消息发送的设备识别码响应消息，其中，所述设备识别码响应消息包括所述终端的目标imei。3.如权利要求2所述的方法，其特征在于，所述基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证，包括：所述amf网元向所述udm网元发送查询请求消息，其中，所述查询请求消息包括所述终端的目标supi；所述amf网元接收所述udm网元响应于所述查询请求消息发送的至少一个查询imei，其中，所述查询imei是所述udm网元基于所述supi和imei关系列表查询所述终端的目标supi对应的imei得到的；在所述amf网元确定至少一个所述查询imei与所述目标imei匹配的情况下，确定所述目标supi和所述目标imei绑定验证通过。4.如权利要求2所述的方法，其特征在于，所述amf网元还用于存储所述supi和imei关系列表，所述基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证，包括：所述amf网元基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。5.如权利要求2所述的方法，其特征在于，所述核心网还包括用于存储所述supi和imei关系列表的udm网元，所述基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证，包括：所述amf网元向所述udm网元发送绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述目标supi和所述目标imei；所述amf网元接收所述udm网元响应于所述绑定关系校验请求消息发送的绑定关系校验结果，其中，所述绑定关系校验结果是所述udm网元基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。6.如权利要求1至5任一项所述的方法，所述方法还包括：基于预设周期，获取管理所述核心网的管理平台发送的supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；更新所述supi和imei关系列表，得到更新的supi和imei关系列表；在验证终端的更新supi合法的情况下，获取所述终端的目标imei；
基于所述更新的supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。7.一种supi和imei绑定关系校验方法，应用于管理平台，其特征在于，所述方法包括：获取supi和imei关系列表；获取所述管理平台管理的核心网发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括终端的目标supi和终端的目标imei；响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述核心网，其中，所述绑定关系校验结果是基于所述supi和imei关系列表查询所述目标supi和所述目标imei是否匹配得到的。8.如权利要求7所述的方法，其特征在于，所述核心网包括amf网元和udm网元，所述方法还包括：基于预设周期，向所述终端和所述核心网的udm网元分别发送supi变更请求，其中，所述supi变更请求包括所述终端的更新supi；更新所述supi和imei关系列表，得到更新的supi和imei关系列表；接收所述终端和所述核心网的udm网元响应于所述supi变更请求发送的变更响应消息，其中，所述变更响应消息用于表征所述终端的supi已变更为所述更新supi；获取所述核心网的amf网元发送的绑定关系校验请求消息，其中，所述绑定关系校验请求消息包括所述终端的更新supi和所述终端的目标imei，所述amf网元在验证终端的目标supi合法的情况下，获取所述终端发送的所述终端的目标imei；响应于所述绑定关系校验请求消息将绑定关系校验结果发送至所述amf网元，其中，所述绑定关系校验结果是基于所述更新的supi和imei关系列表查询所述更新supi和所述目标imei是否匹配得到的。9.一种supi和imei绑定关系校验装置，所述装置包括：第一获取模块，用于获取supi和imei关系列表；第二获取模块，用于在验证终端的目标supi合法的情况下，获取所述终端的目标imei；第一验证模块，用于基于所述supi和imei关系列表，完成所述目标supi和所述目标imei绑定验证。10.一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至6，或者，权利要求7或8任一项所述方法中的步骤。11.一种存储介质，其特征在于，存储有可执行指令，用于引起处理器执行时，实现权利要求1至6，或者，权利要求7或8任一项所述的方法中的步骤。

技术总结
本申请实施例公开了一种SUPI和IMEI绑定关系校验方法、装置、设备及存储介质，其中，所述方法包括：获取SUPI和IMEI关系列表；在验证终端的目标SUPI合法的情况下，获取所述终端的目标IMEI；基于所述SUPI和IMEI关系列表，完成所述目标SUPI和所述目标IMEI绑定验证。所述目标SUPI和所述目标IMEI绑定验证。所述目标SUPI和所述目标IMEI绑定验证。


技术研发人员：曾伟 宋琪 王震 向伟 童贞
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2021.12.29
技术公布日：2023/7/13