CN112312393A - 5g应用接入认证方法及5g应用接入认证网络架构 - Google Patents
5g应用接入认证方法及5g应用接入认证网络架构 Download PDFInfo
- Publication number
- CN112312393A CN112312393A CN202011269128.XA CN202011269128A CN112312393A CN 112312393 A CN112312393 A CN 112312393A CN 202011269128 A CN202011269128 A CN 202011269128A CN 112312393 A CN112312393 A CN 112312393A
- Authority
- CN
- China
- Prior art keywords
- authentication
- message
- terminal
- dnn
- aaa server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000012795 verification Methods 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims abstract description 6
- 230000003993 interaction Effects 0.000 claims abstract description 3
- 238000004364 calculation method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 7
- 230000007547 defect Effects 0.000 abstract description 5
- 230000000977 initiatory effect Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种5G应用接入认证方法及一种5G应用接入认证网络架构,属于通信安全领域。所述方法包括:在完成入网附着请求后,电力5G系统通过5G应用接入认证网络架构进行二次验证。电力5G终端、SMF/UPF和DN‑AAA服务器三方之间安全认证协议交互流程,先后验证网络安全和电力5G终端的身份认证,实现网络与业务双重认证,仅当5G应用接入认证合法才能够建立PDU(Protocol Data Unit,协议数据单元)会话连接,否则网络拒绝为其提供服务,缩小了电力业务域的攻击面,解决了目前电力系统中的5G终端进行5G网络接入存在多种安全弊端的问题。
Description
技术领域
本发明涉及通信安全领域,具体地涉及一种5G应用接入认证方法及一种5G应用接入认证网络架构。
背景技术
5G技术发展迅猛,除了数据传输速度上的提升,5G技术相较于3G/4G技术在安全性方面也进行了明显的增强,一方面5G可为行业用户提供基于网络切片的端到端网络连接,另一方面,5G网络可以允许行业用户进行二次认证的算法和协议定制,即可以采用用户自定义的算法/协议进行用户终端与服务器之间的二次认证。电力系统被恶意攻击时会造成电网瘫痪等非常严重的问题,所以电力系统中的5G终端在进行5G网络接入时有很高的安全技术要求,传统的5G网络接入仅需要进行5G终端与5G网络之间的入网附着认证,这种单次认证关系容易造成用户身份信息泄漏、重放攻击、服务器假冒攻击、字典攻击和中间人攻击等弊端。针对目前电力系统中的5G终端进行5G网络接入可能存在的弊端,需要创造一种适合电力系统5G终端进行二次认证的算法和协议。
发明内容
本发明实施方式的目的是提供一种5G应用接入认证方法,以至少解决上述的目前电力系统中的5G终端进行5G网络接入存在多种安全弊端的问题。
为了实现上述目的,本发明第一方面提供一种5G应用接入认证方法,应用于计及电力系统,基于可扩展的身份验证协议实现,所述方法包括:S1)电力5G终端与5G网络完成入网附着认证成功后,开启二次身份认证,所述电力5G终端向DN-AAA服务器发送认证请求报文,其中所述电力5G终端为认证客户端,所述DN-AAA服务器为后端身份验证服务器;S2)所述DN-AAA服务器响应于所述认证请求报文生成身份认证挑战码,根据所述身份认证挑战码生成为消息MDNN和消息验证码MACDNN,并将所述消息MDNN和消息验证码MACDNN发送到所述电力5G终端;S3)所述电力5G终端对所述消息MDNN和所述消息验证码MACDNN进行解密,根据解密结果判断所述DN-AAA服务器的网络身份认证是否通过;在确定所述DN-AAA服务器的网络身份验证通过的情况下,生成身份识别码IDC,根据所述身份识别码IDC和从解密结果中获得的所述身份认证挑战码生成加密消息MUE,根据所述加密消息MUE生成消息验证码MACUE,并将所述加密消息MUE和所述消息验证码MACUE发送到DN-AAA服务器;S4)所述DN-AAA服务器对所述加密消息MUE和所述消息验证码MACUE进行解密,并根据解密结果判断所述电力5G终端的身份认证是否通过;在确定所述电力5G终端的身份验证通过的情况下,发送身份认证成功声明到所述电力5G终端;S5)所述电力5G终端通过SMF/UPF建立合法的PDU会话连接,完成所述二次身份认证。
可选的,所述电力5G终端与所述DN-AAA服务器之间的所有信息交互均通过所述SMF/UPF传递实现。
可选的,步骤S2)中,所述身份认证挑战码为三元组挑战码,包括:随机数RAND、帧序号SN和时间戳TS。
可选的,步骤S2)中,所述根据所述身份认证挑战码生成为消息MDNN和消息验证码MACDNN,包括:根据对称密钥将所述身份认证挑战码加密生成消息MDNN;选择所述DN-AAA服务器的私钥对所述消息MDNN和随机数RAND的哈希值进行签名后生成消息验证码MACDNN;其中,所述签名算法为:商用非对称密码算法SM2或SM3。
可选的,步骤S3)中,所述电力5G终端对所述消息MDNN和所述消息验证码MACDNN进行解密,根据解密结果判断所述DN-AAA服务器的网络身份认证是否通过,包括:所述电力5G终端对所述消息MDNN进行解密,获得三元组挑战码CAC明文,根据所述CAC明文获得所述消息MDNN和所述随机数RAND的哈希值计算值;所述电力5G终端利用所述DN-AAA服务器的公钥对所述消息验证码MACDNN进行解密,获得消息MDNN和所述随机数RAND的哈希值标准值。对比所述哈希值计算值和所述哈希值标准值;若所述哈希值计算值等于所述哈希值标准值,确定所述DN-AAA服务器的网络身份验证通过。
可选的,步骤S3)中,所述身份识别码IDC包括以下信息中的至少一种信息:电力5G终端用户人脸信息和电力5G终端生成的序列号。
可选的,步骤S3)中,根据所述身份识别码IDC和从解密结果中获得的所述身份认证挑战码生成加密消息MUE,根据所述加密消息MUE生成消息验证码MACUE,包括:获取身份识别码IDC和身份认证挑战码;根据对称密钥将所述身份识别码IDC和所述身份认证挑战码组合加密生成加密消息MUE;根据电力5G终端私钥对所述加密消息MUE和所述随机数RAND的哈希值进行签名后生成消息验证码MACUE。
可选的,步骤S4)中,所述DN-AAA服务器对所述加密消息MUE和所述消息验证码MACUE进行解密,根据解密结果判断所述电力5G终端的身份认证是否通过,包括:所述DN-AAA服务器对所述加密消息MUE进行解密,获得三元组挑战码CAC明文和身份识别码IDC,根据所述CAC明文获得所述加密消息MUE和所述随机数RAND的哈希值计算值;所述DN-AAA服务器利用5G终端的公钥对所述消息验证码MACUE进行解密,获得所述加密消息MUE和所述随机数RAND的哈希值标准值。对比所述哈希值计算值和所述哈希值标准值;若所述哈希值计算值等于所述哈希值标准值,确定所述电力5G终端的身份验证通过。
本发明第二方面提供一种5G应用接入认证网络架构,应用于计及电力系统,所述网络架构包括:电力5G终端;DN-AAA服务器,用于所述电力5G终端的身份验证;SMF/UPF,用于传递所述电力5G终端与所述DN-AAA服务器之间交互的认证信息。
另一方面,本发明提供一种计算机可读储存介质,该计算机可读存储介质上储存有指令,其在计算机上运行时使得计算机执行上述的5G应用接入认证方法。
通过上述技术方案,在传统5G终端完成入网附着请求后,电力5G系统通过5G应用接入认证网络架构进行二次验证,通经过移动网络中的网元SMF代理外部AAA Server来完成认证流程,实现了网络与业务双重认证的融合,仅当5G应用接入认证合法才能够建立PDU(Protocol Data Unit,协议数据单元)会话连接,否则网络拒绝为其提供服务,缩小了电力业务域的攻击面,解决了目前电力系统中的5G终端进行5G网络接入存在多种安全弊端的问题。
本发明实施方式的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施方式的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施方式,但并不构成对本发明实施方式的限制。在附图中:
图1是本发明一种实施方式提供的5G应用接入认证方法的方法流程图;
图2是本发明一种实施方式提供的电力5G终端网络身份验证方法的方法流程图;
图3是本发明一种实施方式提供的电力5G终端身份验证信息生成方法的方法流程图;
图4是本发明一种实施方式提供的电力5G终端身份验证方法的方法流程图;
图5是本发明一种实施方式提供的5G应用接入认证网络架构的结构示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
图5是本发明一种实施方式提供的5G应用接入认证网络架构的结构示意图。如图5所示,本发明实施方式提供一种5G应用接入认证网络架构,所述网络架构包括:电力5G终端;DN-AAA服务器,用于所述电力5G终端的身份验证;SMF/UPF,用于传递所述电力5G终端与所述DN-AAA服务器之间交互的认证信息。
图1是本发明一种实施方式提供的5G应用接入认证方法的方法流程图。如图1所示,本发明实施方式提供一种5G应用接入认证方法,应用于计及电力系统,基于可扩展的身份验证协议实现。所述方法为电力5G终端完成常规入网附着认证后进行的二次认证方法,所述方法包括网络身份验证和电力5G终端身份认证两个认证阶段,具体的,所述方法包括:
步骤S10:电力5G终端向DN-AAA服务器发送认证请求报文;
具体的,电力系统被恶意攻击时会造成电网瘫痪等非常严重的问题,所以电力系统中的5G终端在进行5G网络接入时有很高的安全技术要求,传统的5G网络接入仅需要进行5G终端与5G网络之间的入网附着认证,这种单次认证关系容易造成用户身份信息泄漏、重放攻击、服务器假冒攻击、字典攻击和中间人攻击等弊端,所以,本发明提出的5G应用接入认证方法允许行业用户进行二次认证的算法和协议定制,即可以采用用户自定义的算法/协议进行用户终端与数据网络认证、授权与计费服务器(下称DN-AAA服务器)之间的二次认证。在传统的入网附着认证完成后,进入二次认证阶段,电力5G终端生成认证请求报文,并通过会话管理功能(Session Management Function,下称SMF)/用户面功能(User PlaneFunction,下称UPF)两个功能网络功能实体进行将生成的认证请求报文发送到DN-AAA服务器端。
步骤S20:DN-AAA服务器生成身份认证挑战码,并将所述身份认证挑战码依次生成为消息MDNN和消息验证码MACDNN。
具体的,DN-AAA服务器接收到电力5G终端发送的认证请求报文后,首先生成一个随机数RAND,然后获取传输控制协议发送的帧序号SN。整理随机数RAND和帧序号SN,再获取当前时间戳TS,构成包含随机数RAND、帧序号SN和时间戳TS的身份认证挑战码。然后DN-AAA服务器获取与发起认证请求5G终端共享的对称密钥,并根据对称密钥将身份认证挑战码进行加密,生成加密消息MDNN。为了保证加密获得的加密消息满足电力工控领域信息安全防护要求,优选的,选择国产商用对称密码算法(SM1)进行身份认证挑战码加密。获得加密消息MDNN后,DN-AAA服务器提取身份认证挑战码中的随机数RAND,并获取加密消息MDNN和随机数RAND的哈希值,然后使用服务器本身的私钥对加密消息MDNN和随机数RAND的哈希值进行签名后,生成消息验证码MACDNN。优选的,采用国产商用非对称密码算法(SM2或SM3)进行消息验证码MACDNN生成,保证加密安全性。从而获得一个加密消息MDNN和一个消息验证码MACDNN,通过SMF/UPF将生成的加密消息MDNN和消息验证码MACDNN一并发送到发起认证请求的5G终端。
在本发明实施例中,电力5G通信终端和DN-AAA服务器均利用随机数RAND、帧序号SN和时间戳TS生成身份认证挑战码,用以提供抗重放攻击,解决了单次认证关系容易造成重放攻击的问题。
步骤S30:电力5G终端对所述消息MDNN和所述消息验证码MACDNN进行解密,并根据解密结果判断网络身份认证是否通过。具体的,如图2,包括以下步骤:
步骤S301:解密消息MDNN,获得哈希值计算值。
具体的,DN-AAA服务器需要通过电力5G终端是否准确解密发送的加密消息来判断电力5G终端是否为发起身份请求的终端设备,即只有合法的双方才具有相应的对称密钥和公钥才能正确进行加密消息进行解密。首先电力5G终端接收到SMF/UPF传递过过来的加密消息MDNN和消息验证码MACDNN,电力5G终端对加密消息MDNN解密运算,将加密消息MDNN还原为三元组挑战码CAC明文。因为加密消息MDNN是是根据DN-AAA服务器与发起认证请求的5G终端共享的对称密钥进行加密的,所以理论上仅发起认证请求的5G终端才有正确的对称密钥,也就发起认证请求的5G终端才能获得正确的三元组挑战码CAC明文。电力5G终端根据解密出来的三元组挑战码CAC明文计算加密消息MDNN和随机数RAND的哈希值,获得二者哈希值的计算值。
步骤S302:解密消息验证码MACDNN,获得哈希值标准值。
具体的,电力5G终端一方面利用共享对称密钥进行加密消息MDNN解密,另一方面还需要利用DNN-AAA服务器发放的公钥进行消息验证码MACDNN解密,获得签名后的加密消息MDNN和随机数RAND的哈希值。
步骤S303:对比哈希值计算值和哈希值标准值,获取网络身份验证结果。
具体的,因为加密消息MDNN和随机数RAND的哈希值经过了非对称密码算法进行了签名,所以该哈希值是确定且不可变更的,所以将签名后的加密消息MDNN和随机数RAND的哈希值作为标准值。仅有正确共享密钥的5G终端才能准确解密并计算出加密消息MDNN和随机数RAND的哈希值,当哈希值计算值与哈希值标准值相同时,表示该服务器发放的加密消息有误,网络身份验证成功;若哈希值计算值与哈希值标准值不同时,则表示该服务器发放的加密消息正确,网络身份验证失败。
步骤S40:电力5G终端生成身份识别码IDC,并根据生成身份识别码IDC逐级生成加密消息MUE和消息验证码MACUE。具体的,如图3,包括以下步骤:
步骤S401:生成身份识别码IDC。
具体的,完成DNN-AAA服务器网络身份验证后,还需要进行终端设备本身的身份验证,避免恶意攻击程序冒充5G终端发起连接。所以需要通过电力5G终端设备具备的独有数据进行身份验证才能证明发起连接的电力5G终端为正确电力5G终端。在一种可能的实施方式中,将用户人脸信息作为发起认证请求的电力5G终端设备具备的独有数据,电力5G终端设备本身的图像采集装置采集用户人脸信息,为避免二维图片充当人脸信息,优选的采用实时人脸采集手段进行用户人脸采集,保证发起认证请求的电力5G终端设备符合用户认证需求,避免恶意攻击程序充当电力5G终端发起认证请求。电力5G终端获得用户人脸采信息后,将该信息作为该5G终端的身份识别码IDC。
在另一种可能的方式中,将电力5G终端设备制造的序列号作为发起认证请求的电力5G终端设备具备的独有数据,并将该电力5G终端设备制造的序列号作为该5G终端的身份识别码IDC。
步骤S402:生成加密消息MUE。
具体的,若直接将身份识别码IDC发送到DN-AAA服务器进行5G终端设备的身份验证,容易被恶意攻击程序拦截造成用户信息泄露,所以需要将生成的身份识别码IDC进行信息加密。5G终端设备将进行网络认证的三元组挑战码CAC明文和身份识别码IDC通过与DN-AAA服务器共享的对称密钥进行加密认证,获得加密消息MUE,一方面保证进行身份验证的5G终端设备必须满足网络身份认证,另一方面也可以保护用户的资料,避免资料泄露。
步骤S403:生成消息验证码MACUE。
具体的,为提供身份验证对比标准,避免信息被恶意篡改,5G终端完成加密消息MUE生成后,提取加密消息MUE和随机数RAND的哈希值,并对哈希值进行签名加密,保证该部分信息的唯一性。
步骤S50:DN-AAA服务器对加密消息MUE和消息验证码MACUE进行解密,并根据解密结果判断身份认证是否通过。具体的,如图4,包括以下步骤:
步骤S501:解密消息MUE,获得哈希值计算值。
具体的,DNN-AAA服务器在接受到加密消息MUE后,通过与5G终端共享的对称密钥对加密消息MUE进行解密,获得三元组挑战码CAC明文和身份识别码IDC,然后根据三元组挑战码CAC明文计算加密消息MUE和随机数RAND的哈希值,获得哈希值计算值。
步骤S502,解密消息验证码MACUE,获得哈希值标准值。
具体的,DNN-AAA服务器还将进行消息验证码MACUE的解密,通过5G终端发放的公钥对消息验证码MACUE进行解密,获得签名后的加密消息MUE和随机数RAND的哈希值,因为签名后的加密消息MUE和随机数RAND的哈希值具有唯一性,所以将作为哈希值标准值。
步骤S503:对比哈希值计算值和哈希值标准值,获取网络身份验证结果。
具体的,因为加密消息MUE是通过DNN-AAA服务器和发起认证的5G终端共享的对称密钥生成的,所以只有DNN-AAA服务器和发起认证的5G终端具有合法的对称密钥,其他解密终端无法进行加密消息MUE解密,仅有DNN-AAA服务器能够利用合法的对称密钥将加密消息MUE解密为准确的三元组挑战码CAC明文和身份识别码IDC,也仅有根据准确的三元组挑战码CAC明文计算的加密消息MUE和随机数RAND的哈希值与签名后的加密消息MUE和随机数RAND的哈希值相同。对获取的哈希值计算值和哈希值标准值进行对比,当哈希值计算值与哈希值标准值不同时,则表示DNN-AAA服务器介绍到的加密消息MUE不是发起认证5G终端发出的加密消息MUE,则该5G终端身份认证失败;若哈希值计算值与哈希值标准值相同时,则表示DNN-AAA服务器介绍到的加密消息MUE就是发起认证5G终端发出的加密消息MUE,则该5G终端身份认证成功。
在本发明实施例中,用户的身份信息是包含在加密消息MUE中被传送的,只有DNN-AAA服务器和5G终端设备才具有合法共享密钥,即仅有DNN-AAA服务器和5G终端设备能够准确解密加密消息MUE,提取用户的身份信息。攻击者即使截获了MUE也无法解析出用户的身份信息,这就避免了用户身份信息的泄露。在该二次认证协议中,若攻击者想要假冒DN-AAA服务器,它必须具有与电力5G通信终端共享的共享密钥,而该共享密钥只有合法的双方才具有。因此,攻击者无法实现服务器假冒攻击。且在该二次认证协议中,由于攻击者不知道只有合法的双方才具有的共享密钥,因此,攻击者是无法假冒会话参与者,从而无法实施中间人攻击。本二次认证协议不是以口令作为用户凭证,因此它也不易受到字典攻击。
步骤S60:完成电力5G终端二次身份认证。
具体的,DNN-AAA服务器判定发起认证请求的5G终端身份验证通过后,生成身份认证成功声明,并通过SMF/UPF将身份认证成功声明发送到5G终端,告知用户身份认证已经通过。与此同时,SMF/UPF获知5G终端已经通过身份验证,SMF/UPF确认为电力5G终端建立的PDU会话连接合法,终端至此同时获得5G网络、电网企业内部应用系统接入访问权限。
优选的,在5G应用接入认证方法中,DNN-AAA服务器发送给电力5G通信终端的MACDNN或电力5G通信终端发送给DNN-AAA的MACUE消息会在电力5G通信终端和服务器端分别比较计算而得的消息验证码与接收的MACDNN、MACUE是否相等以验证接收的消息是否完整。因此,在该协议中,完成了消息完整性的校验。
本发明实施方式还提供一种计算机可读储存介质,该计算机可读存储介质上储存有指令,其在计算机上运行时使得计算机执行上述的5G应用接入认证方法。
本领域技术人员可以理解实现上述实施方式的方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本发明各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合附图详细描述了本发明的可选实施方式,但是,本发明实施方式并不限于上述实施方式中的具体细节,在本发明实施方式的技术构思范围内,可以对本发明实施方式的技术方案进行多种简单变型,这些简单变型均属于本发明实施方式的保护范围。另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施方式对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明实施方式的思想,其同样应当视为本发明实施方式所公开的内容。
Claims (10)
1.一种5G应用接入认证方法,应用于计及电力系统,基于可扩展的身份验证协议实现,其特征在于,所述方法包括:
S1)电力5G终端与5G网络完成入网附着认证成功后,开启二次身份认证,所述电力5G终端向DN-AAA服务器发送认证请求报文,其中所述电力5G终端为认证客户端,所述DN-AAA服务器为后端身份验证服务器;
S2)所述DN-AAA服务器响应于所述认证请求报文生成身份认证挑战码,根据所述身份认证挑战码生成为消息MDNN和消息验证码MACDNN,并将所述消息MDNN和消息验证码MACDNN发送到所述电力5G终端;
S3)所述电力5G终端对所述消息MDNN和所述消息验证码MACDNN进行解密,根据解密结果判断所述DN-AAA服务器的网络身份认证是否通过;在确定所述DN-AAA服务器的网络身份验证通过的情况下,生成身份识别码IDC,根据所述身份识别码IDC和从解密结果中获得的所述身份认证挑战码生成加密消息MUE,根据所述加密消息MUE生成消息验证码MACUE,并将所述加密消息MUE和所述消息验证码MACUE发送到DN-AAA服务器;
S4)所述DN-AAA服务器对所述加密消息MUE和所述消息验证码MACUE进行解密,并根据解密结果判断所述电力5G终端的身份认证是否通过;在确定所述电力5G终端的身份验证通过的情况下,发送身份认证成功声明到所述电力5G终端;
S5)所述电力5G终端通过SMF/UPF建立合法的PDU会话连接,完成所述二次身份认证。
2.根据权利要求1所述的5G应用接入认证方法,其特征在于,所述电力5G终端与所述DN-AAA服务器之间的所有信息交互均通过所述SMF/UPF传递实现。
3.根据权利要求1所述的5G应用接入认证方法,其特征在于,步骤S2)中,所述身份认证挑战码为三元组挑战码,包括:随机数RAND、帧序号SN和时间戳TS。
4.根据权利要求3所述的5G应用接入认证方法,其特征在于,步骤S2)中,所述根据所述身份认证挑战码生成为消息MDNN和消息验证码MACDNN,包括:
根据对称密钥将所述身份认证挑战码加密生成消息MDNN;
选择所述DN-AAA服务器的私钥对所述消息MDNN和随机数RAND的哈希值进行签名后生成消息验证码MACDNN;其中,所述签名算法为:商用非对称密码算法SM2或SM3。
5.根据权利要求4所述的5G应用接入认证方法,其特征在于,步骤S3)中,所述电力5G终端对所述消息MDNN和所述消息验证码MACDNN进行解密,根据解密结果判断所述DN-AAA服务器的网络身份认证是否通过,包括:
所述电力5G终端对所述消息MDNN进行解密,获得三元组挑战码CAC明文,根据所述CAC明文获得所述消息MDNN和所述随机数RAND的哈希值计算值;
所述电力5G终端利用所述DN-AAA服务器的公钥对所述消息验证码MACDNN进行解密,获得消息MDNN和所述随机数RAND的哈希值标准值。
对比所述哈希值计算值和所述哈希值标准值;
若所述哈希值计算值等于所述哈希值标准值,确定所述DN-AAA服务器的网络身份验证通过。
6.根据权利要求5所述的5G应用接入认证方法,其特征在于,步骤S3)中,所述身份识别码IDC包括以下信息中的至少一种信息:电力5G终端用户人脸信息和电力5G终端生成的序列号。
7.根据权利要求6所述的5G应用接入认证方法,其特征在于,步骤S3)中,根据所述身份识别码IDC和从解密结果中获得的所述身份认证挑战码生成加密消息MUE,根据所述加密消息MUE生成消息验证码MACUE,包括:
获取身份识别码IDC和身份认证挑战码;
根据对称密钥将所述身份识别码IDC和所述身份认证挑战码组合加密生成加密消息MUE;
根据电力5G终端私钥对所述加密消息MUE和所述随机数RAND的哈希值进行签名后生成消息验证码MACUE。
8.根据权利要求7所述的5G应用接入认证方法,其特征在于,步骤S4)中,所述DN-AAA服务器对所述加密消息MUE和所述消息验证码MACUE进行解密,根据解密结果判断所述电力5G终端的身份认证是否通过,包括:
所述DN-AAA服务器对所述加密消息MUE进行解密,获得三元组挑战码CAC明文和身份识别码IDC,根据所述CAC明文获得所述加密消息MUE和所述随机数RAND的哈希值计算值;
所述DN-AAA服务器利用5G终端的公钥对所述消息验证码MACUE进行解密,获得所述加密消息MUE和所述随机数RAND的哈希值标准值。
对比所述哈希值计算值和所述哈希值标准值;
若所述哈希值计算值等于所述哈希值标准值,确定所述电力5G终端的身份验证通过。
9.一种5G应用接入认证网络架构,应用于计及电力系统,其特征在于,所述网络架构包括:
电力5G终端;
DN-AAA服务器,用于所述电力5G终端的身份验证;
SMF/UPF,用于传递所述电力5G终端与所述DN-AAA服务器之间交互的认证信息。
10.一种计算机可读储存介质,该计算机可读存储介质上储存有指令,其在计算机上运行时使得计算机执行权利要求1-8所述的5G应用接入认证方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011269128.XA CN112312393A (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证方法及5g应用接入认证网络架构 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011269128.XA CN112312393A (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证方法及5g应用接入认证网络架构 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112312393A true CN112312393A (zh) | 2021-02-02 |
Family
ID=74336072
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011269128.XA Pending CN112312393A (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证方法及5g应用接入认证网络架构 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112312393A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113194549A (zh) * | 2021-03-22 | 2021-07-30 | 深圳市广和通无线股份有限公司 | 数据连接方法、装置、终端设备和计算机可读存储介质 |
CN114390525A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种网络接入方法、装置及电子设备 |
CN114513786A (zh) * | 2022-04-19 | 2022-05-17 | 国网天津市电力公司电力科学研究院 | 基于零信任的5g馈线自动化访问控制方法、装置及介质 |
CN114553405A (zh) * | 2022-02-10 | 2022-05-27 | 国网山东省电力公司电力科学研究院 | 基于国密sm9算法的5g二次认证方法和系统 |
CN114697963A (zh) * | 2022-03-29 | 2022-07-01 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
CN114945171A (zh) * | 2022-05-20 | 2022-08-26 | 国网智能电网研究院有限公司 | 一种终端二次认证方法及系统 |
CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413194A (zh) * | 2018-11-09 | 2019-03-01 | 中国电子科技集团公司第三十研究所 | 用于移动通信系统的用户信息云端协同处理及转移方法 |
-
2020
- 2020-11-13 CN CN202011269128.XA patent/CN112312393A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413194A (zh) * | 2018-11-09 | 2019-03-01 | 中国电子科技集团公司第三十研究所 | 用于移动通信系统的用户信息云端协同处理及转移方法 |
Non-Patent Citations (3)
Title |
---|
3GPP: "Security Architecture and Procedures for 5G System(Release 15)", 3GPP TS 33.501, pages 6 - 12 * |
李长隆等: "5G二次认证协议的分析与设计", 通信技术, pages 1 - 7 * |
穆成坡: "军事通信网络技术", 北京理工大学出版社, pages: 214 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113194549A (zh) * | 2021-03-22 | 2021-07-30 | 深圳市广和通无线股份有限公司 | 数据连接方法、装置、终端设备和计算机可读存储介质 |
CN114390525A (zh) * | 2021-12-30 | 2022-04-22 | 中国电信股份有限公司 | 一种网络接入方法、装置及电子设备 |
CN114553405A (zh) * | 2022-02-10 | 2022-05-27 | 国网山东省电力公司电力科学研究院 | 基于国密sm9算法的5g二次认证方法和系统 |
CN114697963A (zh) * | 2022-03-29 | 2022-07-01 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
CN114513786A (zh) * | 2022-04-19 | 2022-05-17 | 国网天津市电力公司电力科学研究院 | 基于零信任的5g馈线自动化访问控制方法、装置及介质 |
CN114945171A (zh) * | 2022-05-20 | 2022-08-26 | 国网智能电网研究院有限公司 | 一种终端二次认证方法及系统 |
CN114945171B (zh) * | 2022-05-20 | 2023-10-03 | 国网智能电网研究院有限公司 | 一种终端二次认证方法、设备及系统 |
CN116684870A (zh) * | 2023-08-03 | 2023-09-01 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
CN116684870B (zh) * | 2023-08-03 | 2023-10-20 | 中国电力科学研究院有限公司 | 电力5g终端的接入认证方法、装置及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111835752B (zh) | 基于设备身份标识的轻量级认证方法及网关 | |
US10812969B2 (en) | System and method for configuring a wireless device for wireless network access | |
CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
KR100581590B1 (ko) | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 | |
CN105828332B (zh) | 一种无线局域网认证机制的改进方法 | |
US9491174B2 (en) | System and method for authenticating a user | |
CN111865603A (zh) | 认证方法、认证装置和认证系统 | |
CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
CN107820239B (zh) | 信息处理方法及装置 | |
CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
JP2007511167A (ja) | 証明書の保護された動的プロビジョニング | |
KR100842267B1 (ko) | 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법 | |
CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
WO2018120217A1 (zh) | 验证密钥请求方的方法和设备 | |
WO2022135391A1 (zh) | 身份鉴别方法、装置、存储介质、程序、及程序产品 | |
Castiglione et al. | An efficient and transparent one-time authentication protocol with non-interactive key scheduling and update | |
CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及系统 | |
KR100553792B1 (ko) | 단말 대 단말간의 인증기능을 구비한 통신장치 및 방법 | |
CN213938340U (zh) | 5g应用接入认证网络架构 | |
CN115955320A (zh) | 一种视频会议身份认证方法 | |
CN115766119A (zh) | 通信方法、装置、通信系统及存储介质 | |
CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
CN114666114A (zh) | 一种基于生物特征的移动云数据安全认证方法 | |
CN113727059A (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
EP3125595A1 (en) | Method to provide identification in privacy mode |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |