CN110933027A

CN110933027A - 一种基于5g网络的照明系统aka认证方法

Info

Publication number: CN110933027A
Application number: CN201911009919.6A
Authority: CN
Inventors: 余其明; 张建华; 史冬冬; 陈圣炜; 戴玮烨; 邵立铖
Original assignee: Nanjing Ruisiqi Intelligent Technology Co Ltd
Current assignee: Nanjing Ruisiqi Intelligent Technology Co Ltd
Priority date: 2019-10-23
Filing date: 2019-10-23
Publication date: 2020-03-27

Abstract

本发明涉及通信技术领域，具体为一种基于5G网络的照明系统AKA认证方法，本发明应用于照明系统的物联网设备的5G网络认证，通过5G_AKA认证加强归属网络对用户终端的认证能力，使其摆脱了对拜访网络的依赖，过程实现了终端和网络间身份的相互认证以及安全上下文的建立，使终端可以利用安全上下文中的密钥对传输的数据进行机密性和完整性保护。

Description

一种基于5G网络的照明系统AKA认证方法

技术领域

本发明涉及通信技术领域，具体为一种基于5G网络的照明系统AKA认证方法。

背景技术

随着通信网络技术的发展，第5代移动通信网络被提上日程。5G通信网络的设计目标面向3大场景：增强型移动宽带(eMBB)、高可靠低时延 (uRLLC)以及海量机器类通信(mMTC)。因此，5G通信不仅考虑人与人之间的通信，还将考虑人与物、物与物之间的通信，进入万物互联的状态。

这种情况下，5G认证面临着新的安全需求。一方面，为了适应多种类型的通信终端，并使得它们能够接入通信网络，5G系统将进一步地扩展非蜂窝技术的接入场景。在照明系统中，将物联网设备采用蓝牙、WLAN等技术与网络连接，这类设备采用5G通信时扔倾向于使用原有的拦截方式。这就导致传统面向蜂窝接入的认证机制需要进一步地向非蜂窝接入的方式扩散。另一方面，传统认证机制下，拜访地/归属地的两级移动网络架构下的认证机制要求归属网络无条件信任拜访网络的认证结果。但随着网络的发展，出现了越来越多的安全隐患，拜访网络和归属网络之间的信任程度在不断降低。

因此，5G认证还需要加强归属网络对用户终端的认证能力，使其摆脱对拜访网络的依赖，实现用户在归属地和拜访地等不同地点间的认证机制统一。

发明内容

本发明的目的在于提供一种基于5G网络的照明系统AKA认证方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种基于5G网络的照明系统AKA认证方法，包括以下具体实施步骤：

步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识(SubscriptionConcealed Identifier,SUCI)和服务网络名称(Serving Network Name，SN_name)发送给HN，HK根据接收到的SUCI和SN_name恢复出用户身份标识SUPI；

步骤二，执行认证，根据步骤二中接收的认证信息，HN通过计算构造出质询消息，HK向SN发送一个XRES*的哈希散列值HXRES*，SN存储K_SEAF和期望的质询响应值HXRES*，同时向用户转发该质询消息；

步骤三，UE收到质询消息后，本地保存RAND和AUTN，消息的有效性验证通过后，计算锚定密钥K_SEAF和认证响应RES*，将RES*值转发给网络， SN根据RES*计算出哈希散列HRES*并和本地存储的HXRES*值进行比较，比较相等后，向HN转发该认证响应RES*，HN接收RES*后和本地的XRES* 进行比较，比较相等后向SN发生包含SUPI的认证成功消息；

步骤四，在照明系统终端实现5G AKA认证，其认证流程如下：

1)对认证请求消息进行L3消息解码；

2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；

3)将认证参数传入USIM卡；

4)USIM根据传入参数进行网络端认证，将认证结果返回UE；

5)UE接收认证向下后进行编码，通过下层协议栈向网络发送认证响应消息并开启认证响应定时器；

步骤五，通过SDL和TTCN Suite 6.3测试平台进行终端5GAKA认证过程仿真测试，5GMM子层收到RRC子层发送的 5GMMAS_AUTHENTICATE_IND原语时，5GMM子层提取出认证参数并发送给USIM，执行认证过程。

优选的，在步骤二中，SUCI由用户永久标识(Subscription PermanentIdentifier，SUPI)通过加密得到。

优选的，在步骤二中，HN计算以下四个值从而构造出质询消息：

1)质询随机数RAND；

2)认证令牌AUTN；

3)SN期望接收的质询响应HXRES*；

4)用于SN和UE建立安全连接的锚定密钥K_SEAF。

优选的，在步骤三中，将RES*值转发网络的同时，开启定时器T3516，当UE收到安全模式控制命令后关闭T3516，同时将认证过程中创建的安全上下文投入使用。

优选的，在步骤四中，终端的执行认证过程如下：

1)终端接收5GMMAS_AUTHENTICATE_IND原语后，调用void decode_string(nasMessage)函数对消息解码，提取出RAND、AUTN认证参数，并本地保存；

2)将本地保存的认证参数通过原语MOBI_SAP_AUTHENTICATE_ERR 或MOBI_SAP_AUTHENTICATE_REQ发送给USIM，USIM执行3GPP定义的5GAKA认证算法，计算认证响应；

3)终端接收到USM卡发送的MOBI_SAP_AUTHENTICATE_ERR或 MOBI_SAP_AUTHENTICATE_CNF原语后，本地保存USIM卡的认证结果；

4)终端对UISM卡返回的认证进行判断，若同步失败，则通过 5GMMAS_AUTHENTICATE_IND向RRC发送包含原因值为#21“synch failure”和AUTS值的认证失败响应，同时开启定时器T3520；若MAC失败，则发送包含原因值为#20“MAC failure”的认证失败响应，开启定时器T3520；若认证成功，则发送包含RES*的认证成功消息，开启定时器T3516。

优选的，在步骤五中，若认证成功，USIM通过 MOBI_SAP_AUTHENTICATE_CNF原语将锚定密钥K_SEAF和RES*发送给终端，终端接收到RES*，添加认证响应消息头，并将认证响应消息通过原语发送给RRC子层，同时开启定时器T3516。

与现有技术相比，本发明的有益效果是：

本发明采用5G-AKA认证框架，安全性更高：

1)实现了双向认证，服务器对UE的认证是通过RES实现的，如果UE 合法，即可正确计算出RES，且RES等于XRES，UE对服务器的认证是通过 MAC实现的，UE计算期望的消息认证码(XMAC)，如果MAC和XMAC 一致，则认证成功；

2)每次使用的MAC是由不断递增的AQN作为输入变量之一，从而确保了密钥的新鲜性，有效地防止了重放攻击；

3)AKA认证机制更利于将服务器分离成认证服务器与鉴全服务器，认证服务器收到请求后，请求鉴权服务器生成AUTN、RAND等健全信息从而进行认证，而鉴权服务器也无需将密码等信息透露给认证服务器。

本发明通过5GAKA认证过程实现终端和网络间身份的相互认证以及安全上下文的建立，使终端可以利用安全上下文中的密钥对传输的数据进行机密性和完整性保护。

具体实施方式

下面对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明提供一种技术方案：一种基于5G网络的照明系统AKA认证方法，包括以下具体实施步骤：

步骤四，在照明系统终端实现5G AKA认证，其认证流程如下：

1)对认证请求消息进行L3消息解码；

2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；

3)将认证参数传入USIM卡；

4)USIM根据传入参数进行网络端认证，将认证结果返回UE；

其中，在步骤二中，SUCI由用户永久标识(Subscription Permanent Identifier，SUPI)通过加密得到。

其中，在步骤二中，HN计算以下四个值从而构造出质询消息：

1)质询随机数RAND；

2)认证令牌AUTN；

3)SN期望接收的质询响应HXRES*；

4)用于SN和UE建立安全连接的锚定密钥K_SEAF。

其中，在步骤三中，将RES*值转发网络的同时，开启定时器T3516，当 UE收到安全模式控制命令后关闭T3516，同时将认证过程中创建的安全上下文投入使用。

其中，在步骤四中，终端的执行认证过程如下：

其中，在步骤五中，若认证成功，USIM通过 MOBI_SAP_AUTHENTICATE_CNF原语将锚定密钥K_SEAF和RES*发送给终端，终端接收到RES*，添加认证响应消息头，并将认证响应消息通过原语发送给RRC子层，同时开启定时器T3516。

本发明通过5GAKA认证过程实现了终端和网络间身份的相互认证以及安全上下文的建立，使终端可以利用安全上下文中的密钥对传输的数据进行机密性和完整性保护。

在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

1.一种基于5G网络的照明系统AKA认证方法，其特征在于，包括以下具体实施步骤：

步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识SUCI和服务网络名称SN_name发送给HN，HK根据接收到的SUCI和SN_name恢复出用户身份标识SUPI；

步骤三，UE收到质询消息后，本地保存RAND和AUTN，消息的有效性验证通过后，计算锚定密钥K_SEAF和认证响应RES*，将RES*值转发给网络，SN根据RES*计算出哈希散列HRES*并和本地存储的HXRES*值进行比较，比较相等后，向HN转发该认证响应RES*，HN接收RES*后和本地的XRES*进行比较，比较相等后向SN发生包含SUPI的认证成功消息；

步骤四，在照明系统终端实现5G AKA认证，其认证流程如下：

1)对认证请求消息进行L3消息解码；

2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；

3)将认证参数传入USIM卡；

4)USIM根据传入参数进行网络端认证，将认证结果返回UE；

步骤五，通过SDL和TTCN Suite 6.3测试平台进行终端5GAKA认证过程仿真测试，5GMM子层收到RRC子层发送的5GMMAS_AUTHENTICATE_IND原语时，5GMM子层提取出认证参数并发送给USIM，执行认证过程。

2.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，SUCI由用户永久标识SUPI通过加密得到。

3.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，HN计算以下四个值从而构造出质询消息：

1)质询随机数RAND；

2)认证令牌AUTN；

3)SN期望接收的质询响应HXRES*；

4)用于SN和UE建立安全连接的锚定密钥K_SEAF。

4.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤三中，将RES*值转发网络的同时，开启定时器T3516，当UE收到安全模式控制命令后关闭T3516，同时将认证过程中创建的安全上下文投入使用。

5.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤四中，终端的执行认证过程如下：

1)终端接收5GMMAS_AUTHENTICATE_IND原语后，调用nasMessage函数对消息解码，提取出RAND、AUTN认证参数，并本地保存；

2)将本地保存的认证参数通过原语MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_REQ发送给USIM，USIM执行3GPP定义的5GAKA认证算法，计算认证响应；

3)终端接收到USM卡发送的MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_CNF原语后，本地保存USIM卡的认证结果；

4)终端对UISM卡返回的认证进行判断，若同步失败，则通过5GMMAS_AUTHENTICATE_IND向RRC发送包含原因值为#21“synch failure”和AUTS值的认证失败响应，同时开启定时器T3520；若MAC失败，则发送包含原因值为#20“MAC failure”的认证失败响应，开启定时器T3520；若认证成功，则发送包含RES*的认证成功消息，开启定时器T3516。

6.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤五中，若认证成功，USIM通过MOBI_SAP_AUTHENTICATE_CNF原语将锚定密钥K_SEAF和RES*发送给终端，终端接收到RES*，添加认证响应消息头，并将认证响应消息通过原语发送给RRC子层，同时开启定时器T3516。