CN112153641B - 基于边缘upf的二次认证增强与端到端加密方法及系统 - Google Patents
基于边缘upf的二次认证增强与端到端加密方法及系统 Download PDFInfo
- Publication number
- CN112153641B CN112153641B CN202010941957.1A CN202010941957A CN112153641B CN 112153641 B CN112153641 B CN 112153641B CN 202010941957 A CN202010941957 A CN 202010941957A CN 112153641 B CN112153641 B CN 112153641B
- Authority
- CN
- China
- Prior art keywords
- upf
- authentication
- module
- encryption
- secondary authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于边缘UPF的二次认证增强与端到端加密方法及系统,边缘UPF二次认证与密钥分发模块通过EAP协议对UE进行二次认证,垂直行业可以采用自身定制化的算法来完成认证、密钥分发和加解密功能。二次认证成功后,边缘UPF二次认证与密钥分发模块会确定UE的接入权限,并生成一个与UE间的共享会话密钥,然后将用户、会话及密钥关联信息分发到数据处理与转发模块。数据处理与转发模块可以调用加解密模块的服务,实现对数据的加解密功能。在3GPP标准中的二次认证基础上,实现对信息的加解密功能,防止恶意用户对信息的窃听或截获,确保数据的机密性,提高了通信的安全,对于5G安全通信技术的发展具有重要作用。
Description
技术领域
本发明涉及5G通信技术领域,具体地,涉及一种基于边缘UPF的二次认证增强与端到端加密方法及系统。
背景技术
5G技术的应用,极大地促进了垂直行业的发展,而随着信息量的增大,信息安全也变得越来越重要。
针对垂直行业的安全需求,提升垂直行业应用的安全性,3GPP在接入认证鉴权的基础上,引入了二次认证的流程。二次认证是在终端UE完成入网认证后、接入具体业务前所进行的认证,认证通过后才允许使用数据业务,进一步提升5G系统的安全性。如专利文献CN111131258A公开了一种基于5G网络切片的安全专网架构系统,一、采用基于5G专网的端到端分段隔离机制;二、采用主认证增强架构;三、采用二次认证安全机制,为终端提供了端到端的安全隔离通道(具有不同安全等级)的5G安全架构。
根据现有3GPP标准,接入认证过程在空口层面提供了加密传输功能,在网络侧用户业务数据还是明文传输;二次认证只是增强了业务访问的安全认证功能,不具备信息加密功能。整体而言,目前3GPP标准不具备信息端到端加密传输能力,无法完全保证信息传输的安全性,数据仍然存在被窃听的风险。部分垂直行业应用明确提出了业务数据端到端加密传输的需求,因此有必要设计一种端到端信息加密机制。
行业术语解释:
UPF:User Plane Function,用户平面功能。
EAP:Extensible Authentication Protocol,可扩展认证协议。
UE:User Equipment,用户设备。
AMF:Access and Mobility Management Function,接入和移动管理功能。
SMF:Session Management Function,会话管理功能。
PDU:Protocol Data Unit,协议数据单元。
NAS:Network Attached Storage,网络附属存储。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于边缘UPF的二次认证增强与端到端加密方法及系统。
根据本发明提供的一种基于边缘UPF的二次认证增强与端到端加密方法,包括:
入网注册步骤:在UE入网过程中,与网络进行主认证,在主认证通过后,建立UE与AMF之间的安全上下文;
PDU会话建立步骤:UE入网注册后,UE发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE通过AMF、SMF同UPF的二次认证与密钥分发模块建立信令通道,实现UE与UPF的二次认证与密钥分发模块之间的交互,并开始EAP认证过程;
EAP认证步骤:通过NAS及N4接口,UE与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,UE与UPF的二次认证与密钥分发模块按照垂直行业设定的EAP协议互相交换消息;认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且UE与UPF的二次认证与密钥分发模块使用交互的信息携带的数据计算出一个共享密钥,通过该共享密钥对用户数据进行加解密;
加解密步骤:EAP认证后,UE和UPF的数据处理与转发模块之间通过数据通道进行加密通信传输,数据处理与转发模块通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密。
优选地,所述EAP认证步骤包括:
步骤3.1:SMF与UE通过NAS消息进行第一次EAP-Request/EAP-Response交互;
步骤3.2:SMF通过N4接口,将来自UE的消息透传给UPF的二次认证与密钥分发模块;
步骤3.3:UPF的二次认证与密钥分发模块与UE继续通过EAP协议进行信息交互;
步骤3.4:若认证成功,UPF通过N4与NAS消息,将EAP SUCCESS消息发送给UE,根据双方交换的信息计算共享密钥,并将共享密钥及UE的身份信息存入数据处理与转发模块中;若认证失败,则禁止UE接入业务应用;
步骤3.5:UE收到EAP SUCCESS消息后,根据交换的信息计算共享密钥。
优选地,步骤3.3中信息交互次数与信息内容由所用认证协议决定;步骤3.4和步骤3.5中产生共享密钥的算法由所用认证协议决定。
优选地,所述加解密步骤包括:
步骤4.1:UE通过UPF的数据处理与转发模块接入业务应用,并以生成的共享密钥,对用户数据进行加密,然后发送给UPF的数据处理与转发模块;
步骤4.2:UPF的数据处理与转发模块收到用户数据后,查询UE对应的共享密钥,然后调用加解密模块的服务对加密后的用户数据进行解密得到明文;
步骤4.3:UPF的数据处理与转发模块按协议将解密得到的明文发送至业务应用;
步骤4.4:业务应用处理来自UE的用户数据,并将响应消息发送给UPF的数据处理与转发模块;
步骤4.6:UPF的数据处理与转发模块收到响应消息后,调用加解密模块的服务对用户数据进行加密,并将加密后的用户数据发送给UE;
步骤4.7:UE通过与UPF的数据处理与转发模块间的共享密钥对加密后的用户数据进行解密,获取用户数据的明文。
优选地,所述UPF内置有:N4协议处理模块、二次认证与密钥分发模块、加解密模块和数据处理与转发模块,分别承担N4会话处理功能、二次认证和密钥分发功能、加解密功能、数据处理与转发功能。
根据本发明提供的一种基于边缘UPF的二次认证增强与端到端加密系统,包括:
入网注册模块:在UE入网过程中,与网络进行主认证,在主认证通过后,建立UE与AMF之间的安全上下文;
PDU会话建立模块:UE入网注册后,UE发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE通过AMF、SMF同UPF的二次认证与密钥分发模块建立信令通道,实现UE与UPF的二次认证与密钥分发模块之间的交互,并开始EAP认证过程;
EAP认证模块:通过NAS及N4接口,UE与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,UE与UPF的二次认证与密钥分发模块按照垂直行业设定的EAP协议互相交换消息;认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且UE与UPF的二次认证与密钥分发模块使用交互的信息携带的数据计算出一个共享密钥,通过该共享密钥对用户数据进行加解密;
加解密模块:EAP认证后,UE和UPF的数据处理与转发模块之间通过数据通道进行加密通信传输,数据处理与转发模块通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密。
优选地,所述EAP认证步骤包括:
SMF与UE通过NAS消息进行第一次EAP-Request/EAP-Response交互;
SMF通过N4接口,将来自UE的消息透传给UPF的二次认证与密钥分发模块;
UPF的二次认证与密钥分发模块与UE继续通过EAP协议进行信息交互;
若认证成功,UPF通过N4与NAS消息,将EAP SUCCESS消息发送给UE,根据双方交换的信息计算共享密钥,并将共享密钥及UE的身份信息存入数据处理与转发模块中;若认证失败,则禁止UE接入业务应用;
UE收到EAP SUCCESS消息后,根据交换的信息计算共享密钥。
优选地,信息交互次数与信息内容由所用认证协议决定;产生共享密钥的算法由所用认证协议决定。
优选地,所述加解密模块包括:
UE通过UPF的数据处理与转发模块接入业务应用,并以生成的共享密钥,对用户数据进行加密,然后发送给UPF的数据处理与转发模块;
UPF的数据处理与转发模块收到用户数据后,查询UE对应的共享密钥,然后调用加解密模块的服务对加密后的用户数据进行解密得到明文;
UPF的数据处理与转发模块按协议将解密得到的明文发送至业务应用;
业务应用处理来自UE的用户数据,并将响应消息发送给UPF的数据处理与转发模块;
UPF的数据处理与转发模块收到响应消息后,调用加解密模块的服务对用户数据进行加密,并将加密后的用户数据发送给UE;
UE通过与UPF的数据处理与转发模块间的共享密钥对加密后的用户数据进行解密,获取用户数据的明文。
优选地,所述UPF内置有:N4协议处理模块、二次认证与密钥分发模块、加解密模块和数据处理与转发模块,分别承担N4会话处理功能、二次认证和密钥分发功能、加解密功能、数据处理与转发功能。
与现有技术相比,本发明具有如下的有益效果:
本发明提供的基于垂直行业边缘UPF的二次认证增强与端到端加密机制,在3GPP标准中的二次认证基础上,实现了对信息的加解密功能,防止恶意用户对信息的窃听或截获,确保了数据的机密性,大大提高了通信的安全,对于5G安全通信技术的发展具有重要作用。
本发明提供的基于边缘UPF的二次认证增强与端到端加密机制同样具有低复杂度的特点,将标准UPF的数据处理与转发模块和安全增强的二次认证与密钥分发模块及加解密模块融合部署,内部采用更高效的内部通信机制,减少模块间的协议复杂度。此外,本发明对运营商基站及中心核心网网络不会产生任何修改,不会影响现有3GPP标准,仅需要对部署在垂直行业的边缘UPF和终端改造即可,有效保障和推动5G垂直行业应用的发展。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1基于UPF的UE二次认证和密钥协商机制整体架构图;
图2UPF内置模块构成图;
图3基于UPF的UE二次认证和密钥协商机制消息交互流程图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
本发明对传统UPF进行了改进,设计了一种垂直行业安全增强的边缘UPF,在标准边缘UPF的基础上,新增二次认证与密钥分发模块和业务数据加解密模块。为了降低不同模块间的协议复杂度,本发明采用了一体化集成部署的设计方案,在标准UPF的数据处理与转发模块的基础上,新增用于安全增强的二次认证与密钥分发模块和加解密模块,三者融合部署,内部采用更高效的内部通信机制,传递用户、密钥的关联信息,从而实现二次认证与密钥分发功能、加解密功能和数据处理与转发功能的有机统一。
边缘UPF二次认证与密钥分发模块通过EAP协议对UE进行二次认证,垂直行业可以采用自身定制化的算法来完成认证、密钥分发和加解密功能。二次认证成功后,边缘UPF二次认证与密钥分发模块会确定UE的接入权限,并生成一个与UE间的共享会话密钥,然后将用户、会话及密钥关联信息分发到数据处理与转发模块。数据处理与转发模块可以调用加解密模块的服务,实现对数据的加解密功能。
如图1所示,基于垂直行业边缘UPF的二次认证增强与端到端加密机制参与实体,包括:
UE,用户设备,具体指5G中的各种终端(如手机)。
AMF,接入和移动管理模块,用于UE的网络接入功能。
SMF,会话管理模块,用于管理UE的会话,并与AMF一起为UE和UPF二次认证与密钥分发模块创建信令通道,协助UE和UPF完成EAP认证。
UPF,用户平面模块,具备二次认证与密钥分发、数据加解密和数据处理与转发的功能。负责将上行数据解密,并发送给业务服务器,将下行数据加密,并发送给UE,UE具有解密密钥,可以查看信息。
业务应用,包括5G的各种应用,具备处理自身业务数据的能力(如语音、视频、短数据、图像等),为UE提供服务。
如图2所示,UPF内置四个模块,N4协议处理模块、二次认证与密钥分发模块、加解密模块和数据处理与转发模块,分别承担N4会话处理功能、二次认证和密钥分发功能、加解密功能、数据处理与转发功能。
N4协议处理模块:本模块负责N4接口的PFCP协议栈处理功能,包含EAP二次认证过程的协议处理。
二次认证与密钥分发模块:本模块完成二次认证和密钥分发的功能,通过SMF和AMF实现与终端之间的EAP二次认证过程,生成共享会话密钥,并将其分发给数据处理与转发模块。
加解密模块:提供数据加解密的服务,UPF加解密模块为主要运算模块,当UPF数据处理与转发模块发来密钥信息和数据时,可以通过会话密钥执行加解密功能,并把运算结果发送回数据处理与转发模块。
数据处理与转发模块:提供用户数据处理、路由转发、加解密等功能,当加解密功能打开时,UPF通过加解密模块的服务以及储存的密钥,实现上行加密数据解密、下行明文数据加密功能。
如图3所示,基于边缘UPF的二次认证增强和端到端加密机制主要流程,包括:
步骤1:UE入网过程中,与网络进行主认证,主认证通过后,UE可与AMF之间建立安全上下文。
步骤2:完成入网注册后,终端发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE可通过AMF、SMF同UPF二次认证与密钥分发模块建立信令通道,实现UE与UPF二次认证与密钥分发模块之间的交互,并开始EAP认证过程。
步骤3:通过NAS及N4接口,终端与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,两者按照垂直行业设定的EAP协议互相交换消息,认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且双方使用前面交互信息携带的数据计算出一个共享密钥,此密钥用于对用户数据进行加解密。
3.1)SMF与UE通过NAS消息进行第一次EAP-Request/EAP-Response交互。
3.2)SMF通过N4接口,将来自UE的EAP消息透传给UPF二次认证与密钥分发模块。
3.3)UPF二次认证与密钥分发模块与UE继续通过EAP协议进行信息交互,具体交互次数与消息内容由所用认证协议决定。
3.4)若认证成功,UPF通过N4与NAS消息,将EAP SUCCESS消息发送给UE。然后根据双方交换的信息计算共享密钥,并将共享会话密钥及UE的身份信息存入数据处理与转发模块中,产生共享密钥算法由所用认证协议决定。
3.5)UE收到EAP SUCCESS消息后,根据双方交换的信息计算共享密钥,产生共享密钥算法同样由所用认证协议决定。
3.6)认证失败,则禁止UE接入业务应用。
步骤4:完成二次认证后,UE和UPF数据处理与转发模块之间可通过数据通道进行加密通信传输,数据处理与转发模块可通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密。
4.1)UE通过UPF数据处理与转发模块接入业务应用,并以先前生成的共享会话密钥,对消息进行加密,然后发送给UPF数据处理与转发模块。
4.2)UPF数据处理与转发模块收到消息后,可以查询UE对应的共享会话密钥,然后调用加解密模块的服务对用户数据进行解密。
4.3)UPF数据处理与转发模块按协议将明文发送至业务应用。
4.4)业务应用处理来自UE的消息,并将响应消息发送给UPF数据处理与转发模块。
4.6)UPF数据处理与转发模块收到响应消息后,调用加解密模块的服务对用户数据进行加密。并将加密消息发送给UE。
4.7)UE通过与UPF数据处理与转发模块间的共享会话密钥解密,获取明文。
本发明还提供一种基于边缘UPF的二次认证增强与端到端加密系统,包括:
入网注册模块:在UE入网过程中,与网络进行主认证,在主认证通过后,建立UE与AMF之间的安全上下文。
PDU会话建立模块:UE入网注册后,UE发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE通过AMF、SMF同UPF的二次认证与密钥分发模块建立信令通道,实现UE与UPF的二次认证与密钥分发模块之间的交互,并开始EAP认证过程。
EAP认证模块:通过NAS及N4接口,UE与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,UE与UPF的二次认证与密钥分发模块按照垂直行业设定的EAP协议互相交换消息;认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且UE与UPF的二次认证与密钥分发模块使用交互的信息携带的数据计算出一个共享密钥,通过该共享密钥对用户数据进行加解密。
加解密模块:EAP认证后,UE和UPF的数据处理与转发模块之间通过数据通道进行加密通信传输,数据处理与转发模块通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置、模块、单元以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置、模块、单元以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以,本发明提供的系统及其各项装置、模块、单元可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置、模块、单元也可以视为硬件部件内的结构;也可以将用于实现各种功能的装置、模块、单元视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (6)
1.一种基于边缘UPF的二次认证增强与端到端加密方法,其特征在于,包括:
入网注册步骤:在UE入网过程中,与网络进行主认证,在主认证通过后,建立UE与AMF之间的安全上下文;
PDU会话建立步骤:UE入网注册后,UE发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE通过AMF、SMF同UPF的二次认证与密钥分发模块建立信令通道,实现UE与UPF的二次认证与密钥分发模块之间的交互,并开始EAP认证过程;
EAP认证步骤:通过NAS及N4接口,UE与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,UE与UPF的二次认证与密钥分发模块按照垂直行业设定的EAP协议互相交换消息;认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且UE与UPF的二次认证与密钥分发模块使用交互的信息携带的数据计算出一个共享密钥,通过该共享密钥对用户数据进行加解密;
加解密步骤:EAP认证后,UE和UPF的数据处理与转发模块之间通过数据通道进行加密通信传输,数据处理与转发模块通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密;
所述加解密步骤包括:
步骤4.1:UE通过UPF的数据处理与转发模块接入业务应用,并以生成的共享密钥,对用户数据进行加密,然后发送给UPF的数据处理与转发模块;
步骤4.2:UPF的数据处理与转发模块收到用户数据后,查询UE对应的共享密钥,然后调用加解密模块的服务对加密后的用户数据进行解密得到明文;
步骤4.3:UPF的数据处理与转发模块按协议将解密得到的明文发送至业务应用;
步骤4.4:业务应用处理来自UE的用户数据,并将响应消息发送给UPF的数据处理与转发模块;
步骤4.6:UPF的数据处理与转发模块收到响应消息后,调用加解密模块的服务对用户数据进行加密,并将加密后的用户数据发送给UE;
步骤4.7:UE通过与UPF的数据处理与转发模块间的共享密钥对加密后的用户数据进行解密,获取用户数据的明文;
所述UPF内置有:N4协议处理模块、二次认证与密钥分发模块、加解密模块和数据处理与转发模块,分别承担N4会话处理功能、二次认证和密钥分发功能、加解密功能、数据处理与转发功能。
2.根据权利要求1所述的基于边缘UPF的二次认证增强与端到端加密方法,其特征在于,所述EAP认证步骤包括:
步骤3.1:SMF与UE通过NAS消息进行第一次EAP-Request/EAP-Response交互;
步骤3.2:SMF通过N4接口,将来自UE的消息透传给UPF的二次认证与密钥分发模块;
步骤3.3:UPF的二次认证与密钥分发模块与UE继续通过EAP协议进行信息交互;
步骤3.4:若认证成功,UPF通过N4与NAS消息,将EAP SUCCESS消息发送给UE,根据双方交换的信息计算共享密钥,并将共享密钥及UE的身份信息存入数据处理与转发模块中;若认证失败,则禁止UE接入业务应用;
步骤3.5:UE收到EAP SUCCESS消息后,根据交换的信息计算共享密钥。
3.根据权利要求2所述的基于边缘UPF的二次认证增强与端到端加密方法,其特征在于,步骤3.3中信息交互次数与信息内容由所用认证协议决定;步骤3.4和步骤3.5中产生共享密钥的算法由所用认证协议决定。
4.一种基于边缘UPF的二次认证增强与端到端加密系统,其特征在于,包括:
入网注册模块:在UE入网过程中,与网络进行主认证,在主认证通过后,建立UE与AMF之间的安全上下文;
PDU会话建立模块:UE入网注册后,UE发起PDU会话建立过程,根据配置触发PDU会话二次认证鉴权过程,UE通过AMF、SMF同UPF的二次认证与密钥分发模块建立信令通道,实现UE与UPF的二次认证与密钥分发模块之间的交互,并开始EAP认证过程;
EAP认证模块:通过NAS及N4接口,UE与UPF的二次认证与密钥分发模块完成二次认证过程,二次认证期间,UE与UPF的二次认证与密钥分发模块按照垂直行业设定的EAP协议互相交换消息;认证失败则拒绝UE使用数据业务;认证成功,UPF向UE发送认证成功消息,且UE与UPF的二次认证与密钥分发模块使用交互的信息携带的数据计算出一个共享密钥,通过该共享密钥对用户数据进行加解密;
加解密模块:EAP认证后,UE和UPF的数据处理与转发模块之间通过数据通道进行加密通信传输,数据处理与转发模块通过调用加解密模块的服务,实现数据的加解密功能,对上行加密数据进行解密,对下行明文数据进行加密;
所述加解密模块包括:
UE通过UPF的数据处理与转发模块接入业务应用,并以生成的共享密钥,对用户数据进行加密,然后发送给UPF的数据处理与转发模块;
UPF的数据处理与转发模块收到用户数据后,查询UE对应的共享密钥,然后调用加解密模块的服务对加密后的用户数据进行解密得到明文;
UPF的数据处理与转发模块按协议将解密得到的明文发送至业务应用;
业务应用处理来自UE的用户数据,并将响应消息发送给UPF的数据处理与转发模块;
UPF的数据处理与转发模块收到响应消息后,调用加解密模块的服务对用户数据进行加密,并将加密后的用户数据发送给UE;
UE通过与UPF的数据处理与转发模块间的共享密钥对加密后的用户数据进行解密,获取用户数据的明文;
所述UPF内置有:N4协议处理模块、二次认证与密钥分发模块、加解密模块和数据处理与转发模块,分别承担N4会话处理功能、二次认证和密钥分发功能、加解密功能、数据处理与转发功能。
5.根据权利要求4所述的基于边缘UPF的二次认证增强与端到端加密系统,其特征在于,所述EAP认证步骤包括:
SMF与UE通过NAS消息进行第一次EAP-Request/EAP-Response交互;
SMF通过N4接口,将来自UE的消息透传给UPF的二次认证与密钥分发模块;
UPF的二次认证与密钥分发模块与UE继续通过EAP协议进行信息交互;
若认证成功,UPF通过N4与NAS消息,将EAP SUCCESS消息发送给UE,根据双方交换的信息计算共享密钥,并将共享密钥及UE的身份信息存入数据处理与转发模块中;若认证失败,则禁止UE接入业务应用;
UE收到EAP SUCCESS消息后,根据交换的信息计算共享密钥。
6.根据权利要求5所述的基于边缘UPF的二次认证增强与端到端加密系统,其特征在于,信息交互次数与信息内容由所用认证协议决定;产生共享密钥的算法由所用认证协议决定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010941957.1A CN112153641B (zh) | 2020-09-09 | 2020-09-09 | 基于边缘upf的二次认证增强与端到端加密方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010941957.1A CN112153641B (zh) | 2020-09-09 | 2020-09-09 | 基于边缘upf的二次认证增强与端到端加密方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112153641A CN112153641A (zh) | 2020-12-29 |
| CN112153641B true CN112153641B (zh) | 2022-09-13 |
Family
ID=73890810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010941957.1A Active CN112153641B (zh) | 2020-09-09 | 2020-09-09 | 基于边缘upf的二次认证增强与端到端加密方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112153641B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240146702A1 (en) * | 2021-03-01 | 2024-05-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Traffic management with asymmetric traffic encryption in 5g networks |
| CN113453222B (zh) * | 2021-06-24 | 2022-08-02 | 中国联合网络通信集团有限公司 | 一种通信方法及装置 |
| CN115499825B (zh) * | 2022-08-18 | 2023-09-01 | 广州爱浦路网络技术有限公司 | 基于二次鉴权的5g报文头增强方法、设备和存储介质 |
| CN117641339B (zh) * | 2024-01-18 | 2024-04-09 | 中国电子科技集团公司第三十研究所 | 快速应用层认证与密钥协商系统及方法 |
| CN117879974B (zh) * | 2024-03-11 | 2024-05-14 | 西昌学院 | 一种基于边缘计算的网络安全防护方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110199513A (zh) * | 2017-07-20 | 2019-09-03 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN110830991A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 安全会话方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3501155B1 (en) * | 2017-01-27 | 2023-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Secondary authentication of a user equipment |
-
2020
- 2020-09-09 CN CN202010941957.1A patent/CN112153641B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110199513A (zh) * | 2017-07-20 | 2019-09-03 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN110830991A (zh) * | 2018-08-10 | 2020-02-21 | 华为技术有限公司 | 安全会话方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112153641A (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112153641B (zh) | 基于边缘upf的二次认证增强与端到端加密方法及系统 | |
| US8838972B2 (en) | Exchange of key material | |
| KR101438243B1 (ko) | Sim 기반 인증방법 | |
| US20070239994A1 (en) | Bio-metric encryption key generator | |
| CN101094065B (zh) | 无线通信网络中的密钥分发方法和系统 | |
| WO2013185735A2 (zh) | 一种加密实现方法及系统 | |
| JP2002084276A (ja) | ユーザ加入識別モジュールの認証についての改善された方法 | |
| CN106899969A (zh) | 基于iOS系统的特定保密终端系统实现方法 | |
| CN102202299A (zh) | 一种基于3g/b3g的端到端语音加密系统的实现方法 | |
| EP3883279A1 (en) | Communication method and related product | |
| CN103795966B (zh) | 一种基于数字证书的安全视频通话实现方法及系统 | |
| CN107579903B (zh) | 一种基于移动设备的图片消息安全传输方法及系统 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| CN111835997B (zh) | 基于量子密钥加密的云视频会议系统及其加解密方法 | |
| US20230179400A1 (en) | Key management method and communication apparatus | |
| CN115632779A (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN107294968A (zh) | 一种音视频数据的监控方法和系统 | |
| CN106465117B (zh) | 一种终端接入通信网络的方法、装置及通信系统 | |
| CN111988777B (zh) | 一号双终端业务的处理方法及核心网设备、服务器 | |
| WO2024041498A1 (zh) | 一种保密通信处理方法、第一终端及存储介质 | |
| CN107104888A (zh) | 一种安全的即时通信方法 | |
| CN115843030A (zh) | 信令防护装置和接入控制方法 | |
| CN105763571A (zh) | 基于sip的非对称语音加密 | |
| CN108156112B (zh) | 数据加密方法、电子设备及网络侧设备 | |
| JP2006191429A (ja) | 集合型宅内ネットワークにおける認証方法及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |