CN112566106B - 一种基于5g多网多链设备认证方法 - Google Patents
一种基于5g多网多链设备认证方法 Download PDFInfo
- Publication number
- CN112566106B CN112566106B CN202011441916.2A CN202011441916A CN112566106B CN 112566106 B CN112566106 B CN 112566106B CN 202011441916 A CN202011441916 A CN 202011441916A CN 112566106 B CN112566106 B CN 112566106B
- Authority
- CN
- China
- Prior art keywords
- terminal
- module
- authentication
- address
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000004891 communication Methods 0.000 claims abstract description 34
- 238000005516 engineering process Methods 0.000 claims abstract description 5
- 238000007726 management method Methods 0.000 claims description 42
- 238000012550 audit Methods 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 238000013500 data storage Methods 0.000 claims description 3
- 230000003203 everyday effect Effects 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Abstract
本发明公开了一种基于5G多网多链设备认证方法,包括以下步骤:S1、终端使用终端5G通信模块通过5G网络接入使用无线连接到5G网络中;终端5G通信模块与5G网络接入能通过5G的D2D技术直接连接,也能通过5G网络接入作为5G基站接入终端5G通信模块;终端5G通信模块把SUPI用户永久标识使用5G网络接入下发的公钥生成SUCI隐私保护标识符,用于终端认证模块查询;终端认证模块从终端5G通信模块获取SUCI隐私保护标识符。本发明使用多个自组网的独立5G网络的认证链,由终端执行担保契约流程,实现终端间的基于认证链的担保,实现在偏远独立5G网络中设备认证无人化自管理。
Description
技术领域
本发明涉及5G通信领域,具体涉及一种基于5G多网多链设备认证方法。
背景技术
随着5G的D2D技术推进,D2D通信用户组成的分散式网路中,每个用户节点都能发送和接收信号,并具有自动路由(转发消息)的功能,以及5G基站连接能力提升,可以在5G信号无法覆盖地区搭建基于设备互联与5G基站自组网的独立5G网络,但5G终端在各个独立5G网络移动终端的认证带来新的技术难题。
发明内容
为了解决上述技术问题,本发明提供了一种基于5G多网多链设备认证方法。
一种基于5G多网多链设备认证方法,包括以下步骤:
S1、终端使用终端5G通信模块通过5G网络接入使用无线连接到5G网络中;
1.1终端5G通信模块与5G网络接入能通过5G的D2D技术直接连接,也能通过5G网络接入作为5G基站接入终端5G通信模块;
1.2终端5G通信模块把SUPI用户永久标识使用5G网络接入下发的公钥生成SUCI隐私保护标识符,用于终端认证模块查询;
1.3终端认证模块从终端5G通信模块获取SUCI隐私保护标识符;
S2、终端认证模块向服务端认证链存储模块获取认证链地址L1,终端认证模块通知终端地址生成模块生成认证链的终端地址A1;
S3、终端地址生成模块生成终端在每条认证链上的终端地址,使用在每个认证链都不同的终端地址,可以避免终端的信息SUPI用户永久标识被泄露,提升终端信息安全性;终端地址生成模块把终端的SUPI用户永久标识与获取的认证链地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,把该值作为该终端在认证链的终端地址;
S4、终端地址生成模块生成认证链的终端地址A1,向服务端认证模块(7)发起注册请求,携带终端地址A1与SUCI隐私保护标识符;
S5、服务端认证模块处理注册请求流程:
5.1服务端认证模块通过SUCI隐私保护标识符向5G网络接入获取终端的SUPI用户永久标识;
5.2 5G网络接入接收终端5G通信模块无线连接,无线连接成功下发给终端5G通信模块公钥;
5.3 5G网络接入接收服务端认证模块通过SUCI隐私保护标识符向5G网络接入获取终端的SUPI;
5.4 5G网络接入使用私钥对SUCI隐私保护标识符解密得到获取终端的SUPI,返回给服务端认证模块;
5.5服务端认证模块接收SUPI与认证链地址L1进行字符串连接后MD5得到hash值,与终端地址A1进行比较,如果不相同拒绝该请求;
5.6如果两个地址相同,服务端认证模块则从服务端终端管理模块获取该终端是否已经登记;
5.7如果该终端已经登记,服务端认证模块则通知终端认证模块的服务注册成功;
5.8终端把支持担保的认证链地址发送给服务端认证模块;
5.9服务端认证模块接收担保的认证链地址,如果该认证链的担保契约已有,通知服务端契约管理模块该终端支持认证链的担保契约,如果该认证链的契约没有生成,则通知服务端契约管理模块生成认证链地址的担保契约;
5.10如果终端没有登记,服务端认证模块从服务端契约管理模块取有效的担保契约的认证链地址,通知终端认证模块未注册需发起多链担保认证请求,携带用于担保的认证链的地址;
5.11终端认证模块从终端认证链存储池模块根据有效的担保契约的认证链地址选出用于授权的认证链,把认证链的地址L2、在该认证链的终端地址A2、包含终端信息区块节点地址、区块节点地址偏移位置,发送给服务端认证模块;
5.12服务端认证模块通知服务端契约执行模块执行担保契约;
5.13服务端契约执行模块执行担保契约流程对终端登记授权后,服务端契约执行模块通知服务端认证模块,服务端认证模块通知终端认证模块重新进行认证登录;
S6、服务端契约管理模块对使用不同认证链进行担保上线进行管理;
6.1接收的服务端认证模块的担保契约生成请求,生成认证链地址的担保契约,契约代码包含使用该认证链担保终端需要置信度消耗,以及需要执行担保契约的终端数;
6.2接收的服务端认证模块的终端支持担保契约通知,当有更多终端支持该认证链的担保契约的担保,则认为该认证链是可信的,降低对应担保契约担保终端需要置信度消耗,降低对每个终端的置信度的消耗;
6.3服务端契约执行模块根据认证链地址从服务端契约管理模块获取担保契约;
S7、担保契约执行流程:
7.1服务端契约执行模块根据认证链地址从服务端契约管理模块获取担保契约,以及支持担保终端,取担保契约中担保终端需要置信度消耗K,以及需要执行担保契约的终端数N;
7.2服务端契约执行模块过滤出置信度K/N的终端,通知这些终端的终端契约执行模块执行担保契约,携带参数为用于担保的认证链地址;
7.3服务端契约执行模块收集终端契约执行模块结果反馈;
7.4终端契约执行模块根据认证链地址从服务端契约执行模块下载担保契约,包含认证链地址、被担保终端的在认证链上终端地址、包含担保终端信息的区块节点地址、区块节点地址的偏移位置;
7.5终端契约执行模块按照认证链地址从终端认证链存储池模块取出用于认证的认证链;
7.6终端契约执行模块从终端认证链存储池模块取出用于认证的认证链;
7.7终端契约执行模块判断区块节点地址的偏移位置是否大于认证链长度,如果是说明认证链过老,通知服务端契约执行模块无法认证;
7.8服务端契约执行模块如果收到终端契约执行模块无法认证的通知,标识该终端无法认证,则忽略该通知消息;如果判断出剩余终端无法达到担保契约的终端数N,已经无法担保认证,终止该契约执行;
7.9终端契约执行模块按照区块节点地址偏移位置找到对应区块节点地址P,匹配区块节点的地址P与契约中包含担保终端信息区块节点地址是否相同;如果不相同,则反馈给服务端契约执行模块的错误认证;
7.10终端契约执行模块判断区块节点地址如果相同,则判断区块节点的上一个区块节点地址与被担保终端地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,得到区块节点地址计算值,与在认证链的对应区块节点地址P进行匹配是否相同,如果不相同,则该认证链存在错误或伪造,则反馈给服务端契约执行模块的错误认证;
7.11服务端契约执行模块收到终端契约执行模块错误认证通知,判定认证链出现伪造,则直接终止该契约执行;
7.12终端契约执行模块区块节点地址计算值与区块节点地址P如果相同,则通知服务端契约执行模块的成功认证;
7.13服务端契约执行模块接收终端契约执行模块成功认证计数,反馈数量超过N,则认证成功;服务端契约执行模块通知服务端终端管理模块添加被担保终端的终端地址,服务端契约执行模块通知服务端区块节点生成模块生成新的节点,服务端契约执行模块通知服务端终端置信度模块参与担保的终端进行置信度扣除;服务端契约执行模块通知服务端认证模块终端添加成功,可以重新认证;
S8、服务端区块节点生成模块生成区块节点:
8.1服务端区块节点生成模块接收服务端契约执行模块生成新的区块节点通知,携带被担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址;
8.2服务端区块节点生成模块从服务端认证链存储模块获取认证链的最后一个区块的区块地址编码L;服务端区块节点生成模块被担保终端的终端地址与区块地址编码L进行字符串连接合并,进行使用MD5计算字符串的Hash值,该Hash值作为服务端认证链存储模块的认证链的新区块的区块节点地址;
8.3新区块的节点内容存储担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址,用于后续审计;
8.4服务端区块节点生成模块把新区块节点存储到服务端认证链存储模块;
S9、终端认证链存储池模块接收服务端区块节点生成模块新增区块节点请求,保存区块节点到认证链中;
S10、终端认证链存储池模块从服务端认证链存储模块获取该5G网络中的认证链A,用于终端在其他5G网络为同拥有认证链A的其他终端做担保认证,由终端契约执行模块读取终端认证链存储池模块的认证链的地址数据;终端认证链存储池模块只获取服务端认证链存储模块的认证链地址与区块节点地址,不获取服务端认证链存储模块的认证链的区块节点数据;第一避免服务端认证链存储模块的区块节点的管理数据泄露给终端,同时也减少终端的终端认证链存储池模块数据存储量;终端认证链存储池模块保存终端在各个5G网络中的认证链,用于协助给其他终端担保做认证;
S11、服务端终端管理模块接收服务端认证模块通过终端地址来查询终端是否登记;接收服务端契约执行模块的担保契约结果添加增加登记终端;这样实现在一些独立5G网络,采用认证链进行担保契约流程来自动增加登记终端,实现无人自管理;
S12、服务端终端置信度模块接收服务端契约执行模块通知所有参加担保终端的置信度减去K/N;服务端终端置信度模块为避免一个终端给过多非登记终端担保登记,使用终端置信度控制终端担保的数量;终端刚添加时,设置该终端的置信度为S,当终端每在5G网络运行一天,服务端终端置信度模块给终端置信度增加A,当终端进行担保契约流程被担当登记时需要置信度消耗K,所有参与的N个终端平分置信度K,所有参加担保终端的置信度减去K/N。
本发明的有益效果是:使用多个自组网的独立5G网络的认证链,由终端执行担保契约流程,实现终端间的基于认证链的担保,实现在偏远独立5G网络中设备认证无人化自管理。
附图说明
图1是本发明一种基于5G多网多链设备认证方法各模块间的连接关系的示意图。
图2是本发明一种基于5G多网多链设备认证方法中的认证链的示意图。
图中标号:1-终端认证模块;2-终端地址生成模块;3-终端契约执行模块;4-终端认证链存储池模块;5-终端5G通信模块;6-5G网络接入;7-服务端认证模块;8-服务端终端管理模块;9-服务端终端置信度模块;10-服务端契约管理模块;11-服务端契约执行模块;12-服务端区块节点生成模块;13-服务端认证链存储模块。
具体实施方式
以上述依据本发明的理想实施例为启示,通过上述的说明内容,相关工作人员完全可以在不偏离本项发明技术思想的范围内,进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容,必须要根据权利要求范围来确定其技术性范围。
如图1所示,本发明提供一种基于5G多网多链设备认证方法。包括以下步骤:
S1、终端使用终端5G通信模块5通过5G网络接入6使用无线连接到5G网络中;
1.1终端5G通信模块5与5G网络接入6能通过5G的D2D技术直接连接,也能通过5G网络接入6作为5G基站接入终端5G通信模块5;
1.2终端5G通信模块5把SUPI用户永久标识使用5G网络接入6下发的公钥生成SUCI隐私保护标识符,用于终端认证模块1查询;
1.3终端认证模块1从终端5G通信模块5获取SUCI隐私保护标识符;
S2、终端认证模块1向服务端认证链存储模块13获取认证链地址L1,终端认证模块1通知终端地址生成模块2生成认证链的终端地址A1;
S3、终端地址生成模块2生成终端在每条认证链上的终端地址,使用在每个认证链都不同的终端地址,可以避免终端的信息SUPI用户永久标识被泄露,提升终端信息安全性;终端地址生成模块2把终端的SUPI用户永久标识与获取的认证链地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,把该值作为该终端在认证链的终端地址;
S4、终端地址生成模块2生成认证链的终端地址A1,向服务端认证模块7发起注册请求,携带终端地址A1与SUCI隐私保护标识符;
S5、服务端认证模块7处理注册请求流程:
5.1服务端认证模块7通过SUCI隐私保护标识符向5G网络接入6获取终端的SUPI用户永久标识;
5.2 5G网络接入6接收终端5G通信模块5无线连接,无线连接成功下发给终端5G通信模块5公钥;
5.3 5G网络接入6接收服务端认证模块7通过SUCI隐私保护标识符向5G网络接入6获取终端的SUPI;
5.4 5G网络接入6使用私钥对SUCI隐私保护标识符解密得到获取终端的SUPI,返回给服务端认证模块7;
5.5服务端认证模块7接收SUPI与认证链地址L1进行字符串连接后MD5得到hash值,与终端地址A1进行比较,如果不相同拒绝该请求;
5.6如果两个地址相同,服务端认证模块7则从服务端终端管理模块8获取该终端是否已经登记;
5.7如果该终端已经登记,服务端认证模块7则通知终端认证模块1的服务注册成功;
5.8终端把支持担保的认证链地址发送给服务端认证模块7;
5.9服务端认证模块7接收担保的认证链地址,如果该认证链的担保契约已有,通知服务端契约管理模块10该终端支持认证链的担保契约,如果该认证链的契约没有生成,则通知服务端契约管理模块10生成认证链地址的担保契约;
5.10如果终端没有登记,服务端认证模块7从服务端契约管理模块10取有效的担保契约的认证链地址,通知终端认证模块1未注册需发起多链担保认证请求,携带用于担保的认证链的地址;
5.11终端认证模块1从终端认证链存储池模块4根据有效的担保契约的认证链地址选出用于授权的认证链,把认证链的地址L2、在该认证链的终端地址A2、包含终端信息区块节点地址、区块节点地址偏移位置,发送给服务端认证模块7;
5.12服务端认证模块7通知服务端契约执行模块11执行担保契约;
5.13服务端契约执行模块11执行担保契约流程对终端登记授权后,服务端契约执行模块11通知服务端认证模块7,服务端认证模块7通知终端认证模块1重新进行认证登录;
S6、服务端契约管理模块10对使用不同认证链进行担保上线进行管理;
6.1接收的服务端认证模块7的担保契约生成请求,生成认证链地址的担保契约,契约代码包含使用该认证链担保终端需要置信度消耗,以及需要执行担保契约的终端数;
6.2接收的服务端认证模块7的终端支持担保契约通知,当有更多终端支持该认证链的担保契约的担保,则认为该认证链是可信的,降低对应担保契约担保终端需要置信度消耗,降低对每个终端的置信度的消耗;
6.3服务端契约执行模块11根据认证链地址从服务端契约管理模块10获取担保契约;
S7、担保契约执行流程:
7.1服务端契约执行模块11根据认证链地址从服务端契约管理模块10获取担保契约,以及支持担保终端,取担保契约中担保终端需要置信度消耗K,以及需要执行担保契约的终端数N;
7.2服务端契约执行模块11过滤出置信度K/N的终端,通知这些终端的终端契约执行模块3执行担保契约,携带参数为用于担保的认证链地址;
7.3服务端契约执行模块11收集终端契约执行模块3结果反馈;
7.4终端契约执行模块3根据认证链地址从服务端契约执行模块11下载担保契约,包含认证链地址、被担保终端的在认证链上终端地址、包含担保终端信息的区块节点地址、区块节点地址的偏移位置;
7.5终端契约执行模块3按照认证链地址从终端认证链存储池模块4取出用于认证的认证链;
7.6终端契约执行模块3从终端认证链存储池模块4取出用于认证的认证链;
7.7终端契约执行模块3判断区块节点地址的偏移位置是否大于认证链长度,如果是说明认证链过老,通知服务端契约执行模块11无法认证;
7.8服务端契约执行模块11如果收到终端契约执行模块3无法认证的通知,标识该终端无法认证,则忽略该通知消息;如果判断出剩余终端无法达到担保契约的终端数N,已经无法担保认证,终止该契约执行;
7.9终端契约执行模块3按照区块节点地址偏移位置找到对应区块节点地址P,匹配区块节点的地址P与契约中包含担保终端信息区块节点地址是否相同;如果不相同,则反馈给服务端契约执行模块11的错误认证;
7.10终端契约执行模块3判断区块节点地址如果相同,则判断区块节点的上一个区块节点地址与被担保终端地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,得到区块节点地址计算值,与在认证链的对应区块节点地址P进行匹配是否相同,如果不相同,则该认证链存在错误或伪造,则反馈给服务端契约执行模块11的错误认证;
7.11服务端契约执行模块11收到终端契约执行模块3错误认证通知,判定认证链出现伪造,则直接终止该契约执行;
7.12终端契约执行模块3区块节点地址计算值与区块节点地址P如果相同,则通知服务端契约执行模块11的成功认证;
7.13服务端契约执行模块11接收终端契约执行模块3成功认证计数,反馈数量超过N,则认证成功;服务端契约执行模块11通知服务端终端管理模块8添加被担保终端的终端地址,服务端契约执行模块11通知服务端区块节点生成模块12生成新的节点,服务端契约执行模块11通知服务端终端置信度模块9参与担保的终端进行置信度扣除;服务端契约执行模块11通知服务端认证模块7终端添加成功,可以重新认证;
S8、服务端区块节点生成模块12生成区块节点:
8.1服务端区块节点生成模块12接收服务端契约执行模块11生成新的区块节点通知,携带被担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址;
8.2服务端区块节点生成模块12从服务端认证链存储模块13获取认证链的最后一个区块的区块地址编码L;服务端区块节点生成模块12被担保终端的终端地址与区块地址编码L进行字符串连接合并,进行使用MD5计算字符串的Hash值,该Hash值作为服务端认证链存储模块13的认证链的新区块的区块节点地址;
8.3新区块的节点内容存储担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址,用于后续审计;
8.4服务端区块节点生成模块12把新区块节点存储到服务端认证链存储模块13;
S9、终端认证链存储池模块4接收服务端区块节点生成模块12新增区块节点请求,保存区块节点到认证链中;
S10、终端认证链存储池模块4从服务端认证链存储模块13获取该5G网络中的认证链A,用于终端在其他5G网络为同拥有认证链A的其他终端做担保认证,由终端契约执行模块3读取终端认证链存储池模块4的认证链的地址数据;终端认证链存储池模块4只获取服务端认证链存储模块13的认证链地址与区块节点地址,不获取服务端认证链存储模块13的认证链的区块节点数据;第一避免服务端认证链存储模块13的区块节点的管理数据泄露给终端,同时也减少终端的终端认证链存储池模块4数据存储量;终端认证链存储池模块4保存终端在各个5G网络中的认证链,用于协助给其他终端担保做认证;
S11、服务端终端管理模块8接收服务端认证模块7通过终端地址来查询终端是否登记;接收服务端契约执行模块11的担保契约结果添加增加登记终端;这样实现在一些独立5G网络,采用认证链进行担保契约流程来自动增加登记终端,实现无人自管理;
S12、服务端终端置信度模块9接收服务端契约执行模块11通知所有参加担保终端的置信度减去K/N;服务端终端置信度模块9为避免一个终端给过多非登记终端担保登记,使用终端置信度控制终端担保的数量;终端刚添加时,设置该终端的置信度为S,当终端每在5G网络运行一天,服务端终端置信度模块9给终端置信度增加A,当终端进行担保契约流程被担当登记时需要置信度消耗K,所有参与的N个终端平分置信度K,所有参加担保终端的置信度减去K/N。
本发明提供一种基于5G多网多链设备认证系统,包含:终端认证模块1,终端地址生成模块2,终端契约执行模块3,终端认证链存储池模块4,终端5G通信模块5,5G网络接入6,服务端认证模块7,服务端终端管理模块8,服务端终端置信度模块9,服务端契约管理模块10,服务端契约执行模块11,服务端区块节点生成模块12,服务端认证链存储模块13。
其中,终端认证模块1是终端的认证登录模块;
终端地址生成模块2用于生成终端在每条认证链上的终端地址,使用在每个认证链都不同的终端地址,可以避免终端的信息SUPI用户永久标识被泄露,提升终端信息安全性;
终端契约执行模块3是对新入网终端做认证担保契约的模块;
终端认证链存储池模块4保存终端在各个5G网络中的认证链,用于协助给其他终端担保做认证;
终端5G通信模块5:终端通过终端5G通信模块(5)使用5G无线信号连接到5G网络接入6;
5G网络接入6接收终端5G通信模块5无线连接,无线连接成功下发给终端5G通信模块5公钥;
服务端认证模块7是接收终端认证登录模块;
服务端终端管理模块8是终端增删改登记管理模块,在一些独立5G网络,采用认证链进行担保契约流程来自动增加登记终端,实现无人自管理;
服务端终端置信度模块9使用终端置信度控制终端担保的数量,为避免一个终端给过多非登记终端担保登记;
服务端契约管理模块10对使用不同认证链进行担保上线进行管理,接收的服务端认证模块7的担保契约生成请求,生成认证链地址的担保契约;
服务端契约执行模块11执行担保契约流程;
服务端区块节点生成模块12接收服务端契约执行模块11生成新的节点通知,携带被担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址;服务端区块节点生成模块12从服务端认证链存储模块13获取认证链的最后一个区块的区块地址编码L;服务端区块节点生成模块12被担保终端的终端地址与区块地址编码L进行字符串连接合并,进行使用MD5(Hash算法)计算字符串的Hash值,该Hash值作为服务端认证链存储模块13的认证链的新区块的区块节点地址,新区块的节点内容存储担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址,用于后续审计。把新区块节点存储到服务端认证链存储模块13。
服务端认证链存储模块13是5G网络的认证链存储模块,提供终端认证模块1的认证链地址查询,服务端认证链存储模块13提供终端认证链存储池模块4给读取认证链的地址数据。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (1)
1.一种基于5G多网多链设备认证方法,其特征在于,包括以下步骤:
S1、终端使用终端5G通信模块(5)通过5G网络接入(6)使用无线连接到5G网络中;
1.1终端5G通信模块(5)与5G网络接入(6)能通过5G的D2D技术直接连接,也能通过5G网络接入(6)作为5G基站接入终端5G通信模块(5);
1.2终端5G通信模块(5)把SUPI用户永久标识使用5G网络接入(6)下发的公钥生成SUCI隐私保护标识符,用于终端认证模块(1)查询;
1.3终端认证模块(1)从终端5G通信模块(5)获取SUCI隐私保护标识符;
S2、终端认证模块(1)向服务端认证链存储模块(13)获取认证链地址L1,终端认证模块(1)通知终端地址生成模块(2)生成认证链的终端地址A1;
S3、终端地址生成模块(2)生成终端在每条认证链上的终端地址,使用在每个认证链都不同的终端地址,可以避免终端的信息SUPI用户永久标识被泄露,提升终端信息安全性;终端地址生成模块(2)把终端的SUPI用户永久标识与获取的认证链地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,把该值作为该终端在认证链的终端地址;
S4、终端地址生成模块(2)生成认证链的终端地址A1,向服务端认证模块(7)发起注册请求,携带终端地址A1与SUCI隐私保护标识符;
S5、服务端认证模块(7)处理注册请求流程:
5.1服务端认证模块(7)通过SUCI隐私保护标识符向5G网络接入(6)获取终端的SUP I用户永久标识;
5.2 5G网络接入(6)接收终端5G通信模块(5)无线连接,无线连接成功下发给终端5G通信模块(5)公钥;
5.3 5G网络接入(6)接收服务端认证模块(7)通过SUCI隐私保护标识符向5G网络接入(6)获取终端的SUPI;
5.4 5G网络接入(6)使用私钥对SUCI隐私保护标识符解密得到获取终端的SUPI,返回给服务端认证模块(7);
5.5服务端认证模块(7)接收SUPI与认证链地址L1进行字符串连接后MD5得到hash值,与终端地址A1进行比较,如果不相同拒绝该请求;
5.6如果两个地址相同,服务端认证模块(7)则从服务端终端管理模块(8)获取该终端是否已经登记;
5.7如果该终端已经登记,服务端认证模块(7)则通知终端认证模块(1)的服务注册成功;
5.8终端把支持担保的认证链地址发送给服务端认证模块(7);
5.9服务端认证模块(7)接收担保的认证链地址,如果该认证链的担保契约已有,通知服务端契约管理模块(10)该终端支持认证链的担保契约,如果该认证链的契约没有生成,则通知服务端契约管理模块(10)生成认证链地址的担保契约;
5.10如果终端没有登记,服务端认证模块(7)从服务端契约管理模块(10)取有效的担保契约的认证链地址,通知终端认证模块(1)未注册需发起多链担保认证请求,携带用于担保的认证链的地址;
5.11终端认证模块(1)从终端认证链存储池模块(4)根据有效的担保契约的认证链地址选出用于授权的认证链,把认证链的地址L2、在该认证链的终端地址A2、包含终端信息区块节点地址、区块节点地址偏移位置,发送给服务端认证模块(7);
5.12服务端认证模块(7)通知服务端契约执行模块(11)执行担保契约;
5.13服务端契约执行模块(11)执行担保契约流程对终端登记授权后,服务端契约执行模块(11)通知服务端认证模块(7),服务端认证模块(7)通知终端认证模块(1)重新进行认证登录;
S6、服务端契约管理模块(10)对使用不同认证链进行担保上线进行管理;
6.1接收的服务端认证模块(7)的担保契约生成请求,生成认证链地址的担保契约,契约代码包含使用该认证链担保终端需要置信度消耗,以及需要执行担保契约的终端数;
6.2接收的服务端认证模块(7)的终端支持担保契约通知,当有更多终端支持该认证链的担保契约的担保,则认为该认证链是可信的,降低对应担保契约担保终端需要置信度消耗,降低对每个终端的置信度的消耗;
6.3服务端契约执行模块(11)根据认证链地址从服务端契约管理模块(10)获取担保契约;
S7、担保契约执行流程:
7.1服务端契约执行模块(11)根据认证链地址从服务端契约管理模块(10)获取担保契约,以及支持担保终端,取担保契约中担保终端需要置信度消耗K,以及需要执行担保契约的终端数N;
7.2服务端契约执行模块(11)过滤出置信度K/N的终端,通知这些终端的终端契约执行模块(3)执行担保契约,携带参数为用于担保的认证链地址;
7.3服务端契约执行模块(11)收集终端契约执行模块(3)结果反馈;
7.4终端契约执行模块(3)根据认证链地址从服务端契约执行模块(11)下载担保契约,包含认证链地址、被担保终端的在认证链上终端地址、包含担保终端信息的区块节点地址、区块节点地址的偏移位置;
7.5终端契约执行模块(3)按照认证链地址从终端认证链存储池模块(4)取出用于认证的认证链;
7.6终端契约执行模块(3)从终端认证链存储池模块(4)取出用于认证的认证链;
7.7终端契约执行模块(3)判断区块节点地址的偏移位置是否大于认证链长度,如果是说明认证链过老,通知服务端契约执行模块(11)无法认证;
7.8服务端契约执行模块(11)如果收到终端契约执行模块(3)无法认证的通知,标识该终端无法认证,则忽略该通知消息;如果判断出剩余终端无法达到担保契约的终端数N,已经无法担保认证,终止该契约执行;
7.9终端契约执行模块(3)按照区块节点地址偏移位置找到对应区块节点地址P,匹配区块节点的地址P与契约中包含担保终端信息区块节点地址是否相同;如果不相同,则反馈给服务端契约执行模块(11)的错误认证;
7.10终端契约执行模块(3)判断区块节点地址如果相同,则判断区块节点的上一个区块节点地址与被担保终端地址进行字符串连接合并,进行使用MD5计算字符串的Hash值,得到区块节点地址计算值,与在认证链的对应区块节点地址P进行匹配是否相同,如果不相同,则该认证链存在错误或伪造,则反馈给服务端契约执行模块(11)的错误认证;
7.11服务端契约执行模块(11)收到终端契约执行模块(3)错误认证通知,判定认证链出现伪造,则直接终止该契约执行;
7.12终端契约执行模块(3)区块节点地址计算值与区块节点地址P如果相同,则通知服务端契约执行模块(11)的成功认证;
7.13服务端契约执行模块(11)接收终端契约执行模块(3)成功认证计数,反馈数量超过N,则认证成功;服务端契约执行模块(11)通知服务端终端管理模块(8)添加被担保终端的终端地址,服务端契约执行模块(11)通知服务端区块节点生成模块(12)生成新的节点,服务端契约执行模块(11)通知服务端终端置信度模块(9)参与担保的终端进行置信度扣除;服务端契约执行模块(11)通知服务端认证模块(7)终端添加成功,可以重新认证;
S8、服务端区块节点生成模块(12)生成区块节点:
8.1服务端区块节点生成模块(12)接收服务端契约执行模块(11)生成新的区块节点通知,携带被担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址;
8.2服务端区块节点生成模块(12)从服务端认证链存储模块(13)获取认证链的最后一个区块的区块地址编码L;服务端区块节点生成模块(12)被担保终端的终端地址与区块地址编码L进行字符串连接合并,进行使用MD5计算字符串的Hash值,该Hash值作为服务端认证链存储模块(13)的认证链的新区块的区块节点地址;
8.3新区块的节点内容存储担保终端的终端地址,以及参与担保的终端的终端地址,用于担保的认证链的认证链地址,用于后续审计;
8.4服务端区块节点生成模块(12)把新区块节点存储到服务端认证链存储模块(13);
S9、终端认证链存储池模块(4)接收服务端区块节点生成模块(12)新增区块节点请求,保存区块节点到认证链中;
S10、终端认证链存储池模块(4)从服务端认证链存储模块(13)获取该5G网络中的认证链A,用于终端在其他5G网络为同拥有认证链A的其他终端做担保认证,由终端契约执行模块(3)读取终端认证链存储池模块(4)的认证链的地址数据;终端认证链存储池模块(4)只获取服务端认证链存储模块(13)的认证链地址与区块节点地址,不获取服务端认证链存储模块(13)的认证链的区块节点数据;第一避免服务端认证链存储模块(13)的区块节点的管理数据泄露给终端,同时也减少终端的终端认证链存储池模块(4)数据存储量;终端认证链存储池模块(4)保存终端在各个5G网络中的认证链,用于协助给其他终端担保做认证;
S11、服务端终端管理模块(8)接收服务端认证模块(7)通过终端地址来查询终端是否登记;接收服务端契约执行模块(11)的担保契约结果添加增加登记终端;这样实现在一些独立5G网络,采用认证链进行担保契约流程来自动增加登记终端,实现无人自管理;
S12、服务端终端置信度模块(9)接收服务端契约执行模块(11)通知所有参加担保终端的置信度减去K/N;服务端终端置信度模块(9)为避免一个终端给过多非登记终端担保登记,使用终端置信度控制终端担保的数量;终端刚添加时,设置该终端的置信度为S,当终端每在5G网络运行一天,服务端终端置信度模块(9)给终端置信度增加A,当终端进行担保契约流程被担当登记时需要置信度消耗K,所有参与的N个终端平分置信度K,所有参加担保终端的置信度减去K/N。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011441916.2A CN112566106B (zh) | 2020-12-11 | 2020-12-11 | 一种基于5g多网多链设备认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011441916.2A CN112566106B (zh) | 2020-12-11 | 2020-12-11 | 一种基于5g多网多链设备认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112566106A CN112566106A (zh) | 2021-03-26 |
| CN112566106B true CN112566106B (zh) | 2022-05-27 |
Family
ID=75062381
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011441916.2A Active CN112566106B (zh) | 2020-12-11 | 2020-12-11 | 一种基于5g多网多链设备认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112566106B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110495198A (zh) * | 2017-05-09 | 2019-11-22 | 华为国际有限公司 | 网络认证方法、网络设备、终端设备及存储介质 |
| CN111132165A (zh) * | 2019-12-30 | 2020-05-08 | 全链通有限公司 | 基于区块链的5g通信无卡接入方法、设备及存储介质 |
| CN111246471A (zh) * | 2020-01-10 | 2020-06-05 | 中国联合网络通信集团有限公司 | 终端接入方法及装置 |
| CN111698678A (zh) * | 2020-05-19 | 2020-09-22 | 常州工业职业技术学院 | 一种无固定基础设施的无线局域网安全自组网方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110583036B (zh) * | 2017-05-29 | 2022-11-25 | 华为国际有限公司 | 网络认证方法、网络设备及核心网设备 |
| CN109963282B (zh) * | 2019-03-28 | 2022-07-26 | 华南理工大学 | 在ip支持的无线传感网络中的隐私保护访问控制方法 |
-
2020
- 2020-12-11 CN CN202011441916.2A patent/CN112566106B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110495198A (zh) * | 2017-05-09 | 2019-11-22 | 华为国际有限公司 | 网络认证方法、网络设备、终端设备及存储介质 |
| CN111132165A (zh) * | 2019-12-30 | 2020-05-08 | 全链通有限公司 | 基于区块链的5g通信无卡接入方法、设备及存储介质 |
| CN111246471A (zh) * | 2020-01-10 | 2020-06-05 | 中国联合网络通信集团有限公司 | 终端接入方法及装置 |
| CN111698678A (zh) * | 2020-05-19 | 2020-09-22 | 常州工业职业技术学院 | 一种无固定基础设施的无线局域网安全自组网方法 |
Non-Patent Citations (2)
| Title |
|---|
| Ad Hoc网络中多节点分布式联合认证方案;刘良文等;《计算机与数字工程》;20130420(第04期);全文 * |
| 无线自组网安全认证机制研究;刘培超等;《电脑知识与技术》;20090115(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112566106A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| US11290879B2 (en) | Method for obtaining initial access to a network, and related wireless devices and network nodes | |
| US7707412B2 (en) | Linked authentication protocols | |
| US9467432B2 (en) | Method and device for generating local interface key | |
| JP4615892B2 (ja) | 通信システム内での認証の実行 | |
| JP4864094B2 (ja) | 通信制御システム | |
| US8413215B2 (en) | System and method for extending secure authentication using unique session keys derived from entropy | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| EP1430640B1 (en) | A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device | |
| CN105052184B (zh) | 控制用户设备对服务接入的方法、设备及控制器 | |
| JP2004201288A (ja) | ネットワーク通信のためのレイヤ間の高速認証または再認証 | |
| CA2557143C (en) | Trust inheritance in network authentication | |
| WO2009074050A1 (fr) | Procede, systeme et appareil d'authentification de dispositif de point d'acces | |
| WO2020198991A1 (en) | Methods and apparatus relating to authentication of a wireless device | |
| JP2016111660A (ja) | 認証サーバ、端末及び認証方法 | |
| US20080235185A1 (en) | Communication system and method of accessing therefor | |
| CN108024241A (zh) | 终端接入鉴权方法、系统以及鉴权服务器 | |
| CN114070597A (zh) | 一种专网跨网认证方法及装置 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN1885768B (zh) | 一种环球网认证方法 | |
| CN112566106B (zh) | 一种基于5g多网多链设备认证方法 | |
| WO2007025484A1 (fr) | Procede de negociation de mise a jour pour cle d'autorisation et dispositif associe | |
| RU2005140546A (ru) | Способ осуществления аутентификации услуг высокоскоростной передачи пакетных данных | |
| KR101210618B1 (ko) | 다이어미터(diameter) 기반의 aaa인증 시스템 | |
| CN107770067B (zh) | 消息发送方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20210326 Assignee: Hangzhou Jintou Finance Leasing Co.,Ltd. Assignor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd. Contract record no.: X2022980028289 Denomination of invention: A method of equipment authentication based on 5G multi-network and multi-chain Granted publication date: 20220527 License type: Exclusive License Record date: 20230112 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method of equipment authentication based on 5G multi-network and multi-chain Effective date of registration: 20230115 Granted publication date: 20220527 Pledgee: Hangzhou Jintou Finance Leasing Co.,Ltd. Pledgor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd. Registration number: Y2023980031392 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| EC01 | Cancellation of recordation of patent licensing contract |
Assignee: Hangzhou Jintou Finance Leasing Co.,Ltd. Assignor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd. Contract record no.: X2022980028289 Date of cancellation: 20240327 |
|
| EC01 | Cancellation of recordation of patent licensing contract | ||
| PC01 | Cancellation of the registration of the contract for pledge of patent right |
Granted publication date: 20220527 Pledgee: Hangzhou Jintou Finance Leasing Co.,Ltd. Pledgor: HANGZHOU XUJIAN SCIENCE AND TECHNOLOGY Co.,Ltd. Registration number: Y2023980031392 |
|
| PC01 | Cancellation of the registration of the contract for pledge of patent right |