CN114945171B - 一种终端二次认证方法、设备及系统 - Google Patents

一种终端二次认证方法、设备及系统 Download PDF

Info

Publication number
CN114945171B
CN114945171B CN202210555508.2A CN202210555508A CN114945171B CN 114945171 B CN114945171 B CN 114945171B CN 202210555508 A CN202210555508 A CN 202210555508A CN 114945171 B CN114945171 B CN 114945171B
Authority
CN
China
Prior art keywords
terminal
signcryption
message
aaa server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210555508.2A
Other languages
English (en)
Other versions
CN114945171A (zh
Inventor
李尼格
邵志鹏
周鹏
马媛媛
孙嘉赛
陈牧
孙望舒
陈璐
徐均波
李勇
戴造建
卢子昂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Zhejiang Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202210555508.2A priority Critical patent/CN114945171B/zh
Publication of CN114945171A publication Critical patent/CN114945171A/zh
Application granted granted Critical
Publication of CN114945171B publication Critical patent/CN114945171B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供的一种终端二次认证方法及系统,该方法包括:向DN‑AAA服务器发送认证请求报文,DN‑AAA服务器位于企业内网;接收DN‑AAA服务器发送的第一签密消息,对第一签密消息进行解签密;根据解签密结果判断DN‑AAA服务器的网络身份认证是否通过;当确认DN‑AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息;将第二签密消息聚合处理后发送到DN‑AAA服务器。在电力5G终端二次认证的流程引入无证书聚合签密技术,相比传统的公钥密码体制,保证了安全性的同时具有计算和存储空间消耗少和运行效率高的特点。

Description

一种终端二次认证方法、设备及系统
技术领域
本发明涉及通信安全技术领域,具体涉及一种终端二次认证方法及系统。
背景技术
随着5G的到来,物联网的发展有了新的前景和机遇。另一方面,大量物联网设备的接入将面临更加严峻的设备安全接入挑战。为满足垂直行业的高安全要求,5G网络提出了二次认证架构,采用可扩展身份认证协议(EAP)实现用户终端与数据网络之间的二次认证,满足不同业务的安全要求。在海量接入场景下,连接到物联网的设备具有性质迥异、数量庞大的特点,这就需要对每个终端逐一进行认证,这无疑带来了认证成本高、效率低的问题。
发明内容
因此,本发明要解决的技术问题在于克服现有技术中认证成本高、效率低的缺陷,从而提供一种终端二次认证方法及系统。
本发明提出的技术方案如下:
本发明实施例第一方面提出了一种终端二次认证方法,应用于5G终端,所述终端二次认证方法包括:向DN-AAA服务器发送认证请求报文,所述DN-AAA服务器位于企业内网;接收所述DN-AAA服务器发送的第一签密消息,对所述第一签密消息进行解签密;根据解签密结果判断所述DN-AAA服务器的网络身份认证是否通过;当确认所述DN-AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息;将所述第二签密消息聚合处理后发送到所述DN-AAA服务器,根据所述DN-AAA服务器对所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接。
优选地,终端二次认证方法,还包括:基于口令的认证密钥协商协议,建立所述5G终端、所述DN-AAA服务器及密钥生成中心之间的密钥传输安全通道。
优选地,基于口令的认证密钥协商协议进行密钥交换包括:选取一个随机数,利用公开参数计算得到第一消息,将所述第一消息发送给密钥生成中心;接收密钥生成中心发送的第二消息和认证信息,利用公开参数对所述认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥,将所述高熵会话密钥作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心。
优选地,终端二次认证方法,还包括:检查当前主认证是否已通过;当主认证已通过时,执行向DN-AAA服务器发送认证请求报文的步骤。
本发明实施例第二方面提出了一种终端二次认证方法,应用于DN-AAA服务器,所述终端二次认证方法包括:响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码;对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,并将所述第一签密消息发送到所述5G终端;对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断所述5G终端的身份认证是否通过;当所述5G终端的身份验证通过时,发送身份认证成功声明到所述5G终端,建立所述5G终端到数据网络的连接。
优选地,所述对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,包括:选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过发送给密钥生成中心;对返回给5G终端的挑战码和身份认证码进行签密,得到第一签密消息。
本发明实施例第三方面提出了一种终端二次认证方法,应用于密钥生成中心,所述终端二次认证方法包括:接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将所述第二消息和所述认证信息发送给5G终端;接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥;利用高熵会话密钥,建立安全通道传输密钥。
优选地,终端二次认证方法,还包括:选取随机数作为主密钥,并计算主公钥;选取参与运算的公开参数;根据公开参数计算出DN-AAA服务器的部分私钥,并将部分私钥发送给5G终端。
本发明实施例第四方面提出了一种终端二次认证系统,包括:5G终端及DN-AAA服务器,其中,所述5G终端向DN-AAA服务器发送认证请求报文,所述DN-AAA服务器位于企业内网;所述DN-AAA服务器响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码;所述DN-AAA服务器对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,并将所述第一签密消息发送到所述5G终端;所述5G终端接收所述DN-AAA服务器发送的第一签密消息,对所述第一签密消息进行解签密;所述5G终端根据解签密结果判断所述DN-AAA服务器的网络身份认证是否通过;所述5G终端当确认所述DN-AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息;所述5G终端将所述第二签密消息聚合处理后发送到所述DN-AAA服务器,根据所述DN-AAA服务器对所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接;所述DN-AAA服务器对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断所述5G终端的身份认证是否通过;所述DN-AAA服务器当所述5G终端的身份验证通过时,发送身份认证成功声明到所述5G终端,建立所述5G终端到数据网络的连接。
优选地,终端二次认证系统,还包括:密钥生成中心,其中,所述5G终端选取一个随机数,利用公开参数计算得到第一消息,将所述第一消息发送给密钥生成中心;所述密钥生成中心接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将所述第二消息和所述认证信息发送给5G终端;所述5G终端接收密钥生成中心发送的第二消息和认证信息,利用公开参数对所述认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥,将所述高熵会话密钥作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心;所述密钥生成中心接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥;所述密钥生成中心利用高熵会话密钥,建立安全通道传输密钥。
本发明实施例第五方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行本发明实施例第一方面、第二方面或第三方面所述的终端二次认证方法。
本发明实施例第六方面提出了一种终端二次认证设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例第一方面、第二方面或第三方面所述的终端二次认证方法。
本发明技术方案,具有如下优点:
本发明提供的终端二次认证方法,在电力5G终端二次认证的流程引入无证书聚合签密技术,相比传统的公钥密码体制,在保证安全性的同时具有计算和存储空间消耗少和运行效率高的特点,同时又避免了传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中终端二次认证系统的一个具体示例的一个应用场景示意图;
图2为本发明实施例中终端二次认证系统的一个具体示例的另一个应用场景示意图;
图3为本发明实施例中终端二次认证方法的一个具体示例的流程图;
图4为本发明实施例中终端二次认证方法的另一个具体示例的流程图;
图5为本发明实施例中终端二次认证方法的另一个具体示例的流程图;
图6为本发明实施例终端二次认证设备的硬件结构示意图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
如图1所示,是本发明实施例的应用场景示意图。通过电力5G终端发送认证请求报文,认证请求报文通过接入网和承载网进入运营商核心网的UPF(User Plane Function,用户面功能)进行流量卸载,然后送入企业内网的DN-AAA服务器。DN-AAA服务器响应报文,生成基于随机数和时间戳的挑战码,采用基于椭圆曲线有限域的无证书签密方案签密,将签密消息发送到电力5G终端。电力5G终端的二次认证模块解签密得到挑战码,判断DN-AAA服务器的网络身份认证是否通过。身份认证通过后,电力5G终端对挑战码和电力5G终端的身份认证码采用基于椭圆曲线有限域的无证书签密方案进行签密,将签密消息发送到MEC(Multi-access Edge Computing,边缘云)上,由聚合中心聚合处理后发送到DN-AAA服务器。DN-AAA服务器进行聚合解签密,判断电力5G终端的身份认证是否通过。身份认证通过后,DN-AAA服务器发送身份认证成功声明到电力5G终端,成功建立电力5G终端建立到数据网络的连接。
本发明实施例提出了一种终端二次认证系统,如图1所示,包括:5G终端及DN-AAA服务器,其中,5G终端向DN-AAA服务器发送认证请求报文,DN-AAA服务器位于企业内网;DN-AAA服务器响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码;DN-AAA服务器对挑战码和5G终端身份认证码进行签密,得到第一签密消息,并将第一签密消息发送到5G终端;5G终端接收DN-AAA服务器发送的第一签密消息,对第一签密消息进行解签密;5G终端根据解签密结果判断DN-AAA服务器的网络身份认证是否通过;5G终端当确认DN-AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息;5G终端将第二签密消息聚合处理后发送到DN-AAA服务器,根据DN-AAA服务器对第二签密消息的反馈信息建立5G终端到数据网络的连接;DN-AAA服务器对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断5G终端的身份认证是否通过;DN-AAA服务器当5G终端的身份验证通过时,发送身份认证成功声明到5G终端,建立5G终端到数据网络的连接。
在一具体实施例中,5G终端发送认证请求报文后,DN-AAA服务器响应认证请求报文,采用基于挑战—应答的动态口令认证方案,生成基于随机数和时间戳的挑战码,实现动态认证。DN-AAA服务器从数据库中获取电力5G终端的密码,作为共享密钥,对身份认证挑战码加密。DN-AAA服务器对挑战码和5G终端身份认证码进行签密,得到第一签密消息,并将第一签密消息发送到电力5G终端。其中,5G终端发送的认证请求报文中包括5G终端身份认证码。此时,采用基于数字证书及设备ID绑定等标识作为电力5G终端的身份认证码。
进一步地,5G终端的二次认证模块对第一签密消息进行解密,恢复明文,得到挑战码。5G终端根据解签密结果判断DN-AAA服务器的网络身份认证是否通过。具体地,第一签密消息包含消息和认证信息,利用公开参数计算认证信息得到值w,进而利用w和公开参数恢复明文,得到挑战码。利用公开参数对认证信息计算,若签密算法中定义的验证等式成立,则5G终端判断身份认证通过。
进一步地,电力5G终端确认DN-AAA服务器的网络身份认证通过后,电力5G终端对挑战码和电力5G终端的身份认证码进行签密,得到第二签密消息。
进一步地,5G终端将第二签密消息发送到MEC上,由聚合中心聚合处理后发送到DN-AAA服务器。
进一步地,DN-AAA服务器对5G电力终端返回的第二签密消息进行聚合解签密,恢复明文,并根据解密结果判断电力5G终端的身份认证是否通过。具体地,对于每个电力5G终端,利用公开参数对签密消息中的认证信息计算,若聚合签密算法中定义的验证等式成立,则判断该5G终端身份认证通过。
进一步地,DN-AAA服务器在确定电力5G终端的身份验证通过的情况下,DN-AAA服务器发送身份认证成功声明到电力5G终端。至此二次身份认证结束,成功建立电力5G终端建立到数据网络的连接。
本发明提供的终端二次认证方法,在电力5G终端二次认证的流程引入无证书聚合签密技术,相比传统的公钥密码体制,在保证安全性的同时具有计算和存储空间消耗少和运行效率高的特点,同时又避免了传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
在一实施例中,如图2所示,终端二次认证系统,还包括:密钥生成中心,其中,5G终端选取一个随机数,利用公开参数计算得到第一消息,将第一消息发送给密钥生成中心;密钥生成中心接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将第二消息和认证信息发送给5G终端;5G终端接收密钥生成中心发送的第二消息和认证信息,利用公开参数对认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥sk,将高熵会话密钥sk作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心;密钥生成中心接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥sk;密钥生成中心利用高熵会话密钥sk,建立安全通道传输密钥。
在一具体实施例中,在二次认证过程中,为增强二次认证过程中密钥生成中心KGC、电力5G终端、认证服务服务器之间密钥传输的安全性,采用标准模型下高效的基于口令认证密钥协商协议,建立密钥传输的安全通道。在带外方式分配简单口令给KGC、5G终端、认证服务服务器后,利用口令认证密钥交换(PAKE)协议使得共享低熵口令的用户通过不安全的公共信道安全地生成共享的高熵会话密钥,从而建立密钥传输的安全通道。
具体地,采用标准模型下高效的基于口令认证密钥协商协议。KGC和5G终端通过该密钥协商协议进行密钥交换的步骤包括:
1)5G终端选取一个随机数,利用公开参数计算消息发送给KGC。
2)KGC收到5G终端的消息后,选取一个随机数,利用公开参数计算消息和认证信息发送给5G终端。
3)5G终端收到消息和认证信息后,利用公开参数对认证信息进行验证,对5G终端收到的消息利用公开参数计算后得到σ,将σ代入公开参数计算,将得到的值与认证信息相比较,一致则通过验证。验证通过后计算出确认消息和高熵会话密钥sk,将该密钥作为和KGC共享的会话密钥,并将确认消息发送给KGC。此处的确认消息用来表明5G终端此次收到的消息和认证消息验证通过。
4)KGC收到确认消息后,利用前面的计算结果σ验证确认消息。将σ代入公开参数计算,将得到的值与确认消息相比较,一致则通过验证。验证通过后,利用公开参数计算出高熵会话密钥sk。此处的高熵会话密钥sk和步骤3)是同一个会话密钥sk。即分别由KGC和5G终端各自计算得到一个高熵会话密钥sk。
5)利用高熵会话密钥sk,KGC和5G终端之间可以建立安全通道传输密钥。
在一实施例中,5G终端检查当前主认证是否已通过;当主认证已通过时,执行向DN-AAA服务器发送认证请求报文的步骤。
在一具体实施例中,电力5G终端中的二次认证触发模块接收到特定的事件触发后,检查当前主认证是否已通过。如主认证已通过,则电力5G终端发送认证请求报文。在5G和电力通信网混合组网架构中,企业专有5G设备与Internet服务器之间没有本地流量路径,因此流量必须到达运营商边缘云中的UPF,然后通过专线回到企业内部,与企业局域网设备进行通信。为企业中的5G设备提供5G应用服务的MEC位于移动运营商边缘云中。因此,认证请求报文通过接入网和承载网进入运营商核心网的UPF进行流量卸载,然后送入企业内网的DN-AAA服务器。
在一实施例中,DN-AAA服务器对挑战码和5G终端身份认证码进行签密,得到第一签密消息的步骤中,终端二次认证系统还通过密钥生成中心选取随机数作为主密钥,并计算主公钥;密钥生成中心选取参与运算的公开参数;DN-AAA服务器选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过发送给密钥生成中心;密钥生成中心根据公开参数计算出DN-AAA服务器的部分私钥,并将部分私钥发送给5G终端;DN-AAA服务器对返回给5G终端的挑战码和身份认证码进行签密,得到第一签密消息。
在一具体实施例中,DN-AAA服务器采用基于椭圆曲线有限域的无证书签密方案。无证书公钥密码算法既保持公钥密码体制的优点,又可以避免传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
具体地,签密阶段步骤包括:
1)密钥生成中心KGC进行系统初始化。KGC选取随机数作为主密钥,并计算主公钥。
2)KGC输出选取参与运算的公开参数。
3)DN-AAA服务器选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过已建立的安全通道发送给KGC。
4)KGC根据公开参数计算出DN-AAA服务器的部分私钥,通过已建立的安全通道发送给对应终端。
5)DN-AAA服务器对返回给每一个电力5G终端的挑战码和身份认证码进行签密,得到第一签密消息。
在一实施例中,5G终端当确认DN-AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息的步骤包括:
1)密钥生成中心KGC进行系统初始化。KGC选取随机数作为主密钥,并计算主公钥。
2)KGC广播选取参与运算的公开参数。
3)电力5G终端、聚合中心、DN-AAA服务器选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过已建立的安全通道发送给KGC,进行注册。
4)KGC根据公开参数计算出电力5G终端的部分私钥,通过已建立的安全通道发送给对应终端。同样,KGC计算出聚合中心、DN-AAA服务器的部分私钥,并通过安全通道发送到终端。
5)电力5G终端对挑战码和身份认证码进行签密。
6)签密消息聚合处理。
在本发明实施例中,聚合签密采用基于椭圆曲线有限域的无证书签密方案。聚合签密由多个签名密者、一个签密聚合者和一个验证者组成,这里的参与者分别为电力5G终端、MEC上的聚合中心、DN-AAA服务器。
在一实施例中,5G终端将第二签密消息发送到MEC上,由聚合中心聚合处理后发送到DN-AAA服务器过程中。签密消息通过接入网和承载网进入本地厂站端UPF进行流量卸载,然后送入MEC设备进行聚合处理。根据不同的业务类型,形成不同的业务流向。互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给AAA服务器。生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给AAA服务器。
本发明实施例还提出了一种终端二次认证方法,应用于5G终端,如图3所示,终端二次认证方法包括如下步骤:
步骤S11:向DN-AAA服务器发送认证请求报文,DN-AAA服务器位于企业内网。
在一具体实施例中,在进行二次认证前还需检查当前主认证是否已通过。当主认证已通过时,执行向DN-AAA服务器发送认证请求报文的步骤。在向DN-AAA服务器发送认证请求报文时,由于在5G和电力通信网混合组网架构中,企业专有5G设备与Internet服务器之间没有本地流量路径,因此流量必须到达运营商边缘云中的UPF,然后通过专线回到企业内部,与企业局域网设备进行通信。为企业中的5G设备提供5G应用服务的MEC位于移动运营商边缘云中。因此,认证请求报文通过接入网和承载网进入运营商核心网的UPF进行流量卸载,然后送入企业内网的DN-AAA服务器。
步骤S12:接收DN-AAA服务器发送的第一签密消息,对第一签密消息进行解签密。
在一具体实施例中,5G终端的二次认证模块对第一签密消息进行解密,恢复明文,得到挑战码。
步骤S13:根据解签密结果判断DN-AAA服务器的网络身份认证是否通过。
在一具体实施例中,5G终端根据解签密结果判断DN-AAA服务器的网络身份认证是否通过。具体地,利用公开参数对签密消息包含的认证信息计算,若签密算法中定义的验证等式成立,则5G终端判断身份认证通过。
步骤S14:当确认DN-AAA服务器的网络身份认证通过后,对解签密结果和自身身份认证码进行签密,得到第二签密消息。
在一具体实施例中,5G终端确认DN-AAA服务器的网络身份认证通过后,5G终端对挑战码和5G终端的身份认证码进行签密。此时采用基于数字证书及设备ID绑定等标识作为电力5G终端的身份认证码。
在本发明实施例中,聚合签密采用基于椭圆曲线有限域的无证书签密方案。聚合签密由多个签名密者、一个签密聚合者和一个验证者组成,这里的参与者分别为电力5G终端、MEC上的聚合中心、DN-AAA服务器。
步骤S15:将第二签密消息聚合处理后发送到DN-AAA服务器,根据DN-AAA服务器对第二签密消息的反馈信息建立5G终端到数据网络的连接。
在一具体实施例中,5G终端将第二签密消息发送到MEC上,由聚合中心聚合处理后发送到DN-AAA服务器。
具体地,签密消息通过接入网和承载网进入本地厂站端UPF进行流量卸载,然后送入MEC设备进行聚合处理。根据不同的业务类型,形成不同的业务流向。互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给AAA服务器。生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给AAA服务器。
在一实施例中,终端二次认证方法,还包括如下步骤:
步骤S10:基于口令的认证密钥协商协议,建立5G终端、DN-AAA服务器及密钥生成中心之间的密钥传输安全通道。
在一具体实施例中,在二次认证过程中,为增强二次认证过程中密钥生成中心KGC、电力5G终端、认证服务服务器之间密钥传输的安全性,采用标准模型下高效的基于口令认证密钥协商协议,建立密钥传输的安全通道。在带外方式分配简单口令给KGC、5G终端、认证服务服务器后,利用口令认证密钥交换(PAKE)协议使得共享低熵口令的用户通过不安全的公共信道安全地生成共享的高熵会话密钥,从而建立密钥传输的安全通道。
基于口令的认证密钥协商协议进行密钥交换如图4所示,包括如下步骤:
步骤S101:选取一个随机数,利用公开参数计算得到第一消息,将第一消息发送给密钥生成中心。
在本发明实施例中,5G终端选取一个随机数,利用公开参数计算消息发送给KGC。
步骤S102:接收密钥生成中心发送的第二消息和认证信息,利用公开参数对认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥sk,将高熵会话密钥sk作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心。
在本发明实施例中,5G终端收到消息和认证信息后,利用公开参数对认证信息进行验证,验证通过后计算出验证消息和新的高熵会话密钥sk,将该密钥作为和KGC共享的会话密钥,并将确认消息发送给KGC。
本发明实施例提出了一种终端二次认证方法,应用于DN-AAA服务器,如图3所示,终端二次认证方法包括如下步骤:
步骤S21:响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码。
在一具体实施例中,DN-AAA服务器响应认证请求报文,采用基于挑战—应答的动态口令认证方案,生成基于随机数和时间戳的挑战码,实现动态认证。DN-AAA服务器从数据库中获取电力5G终端的密码,作为共享密钥,对身份认证挑战码加密。
步骤S22:对挑战码和5G终端身份认证码进行签密,得到第一签密消息,并将第一签密消息发送到5G终端。
在一具体实施例中,签密采用基于椭圆曲线有限域的无证书签密方案。无证书公钥密码算法既保持公钥密码体制的优点,又可以避免传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
步骤S23:对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断5G终端的身份认证是否通过。
在一具体实施例中,DN-AAA服务器对5G电力终端返回的第二签密消息进行聚合解签密,恢复明文,并根据解密结果判断电力5G终端的身份认证是否通过。
步骤S24:当5G终端的身份验证通过时,发送身份认证成功声明到5G终端,建立5G终端到数据网络的连接。
在一具体实施例中,DN-AAA服务器在确定电力5G终端的身份验证通过的情况下,DN-AAA服务器发送身份认证成功声明到电力5G终端。至此二次身份认证结束,成功建立电力5G终端建立到数据网络的连接。
在一实施例中,对挑战码和5G终端身份认证码进行签密,得到第一签密消息,如图5所示,包括如下步骤:
步骤S221:选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过发送给密钥生成中心。
在一具体实施例中,DN-AAA服务器选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过已建立的安全通道发送给KGC。
步骤S222:对返回给5G终端的挑战码和身份认证码进行签密,得到第一签密消息。
在一具体实施例中,DN-AAA服务器对返回给每一个电力5G终端的挑战码和身份认证码进行签密,得到第一签密消息。
本发明实施例提出了一种终端二次认证方法,应用于密钥生成中心,如图4所示,终端二次认证方法包括如下步骤:
步骤S31:接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将第二消息和认证信息发送给5G终端。
在一具体实施例中,KGC收到5G终端的消息后,选取一个随机数,利用公开参数计算消息和认证信息发送给5G终端。
步骤S32:接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥sk。
在一具体实施例中,KGC收到确认消息后,并验证确认消息。验证通过后,利用公开参数计算出高熵会话密钥sk。
步骤S33:利用高熵会话密钥sk,建立安全通道传输密钥。
在一具体实施例中,用高熵会话密钥sk,KGC和5G终端之间可以建立安全通道传输密钥。
在一实施例中,终端二次认证方法,如图5所示,还包括如下步骤:
步骤S34:选取随机数作为主密钥,并计算主公钥。
在一具体实施例中,密钥生成中心KGC进行系统初始化。KGC选取随机数作为主密钥,并计算主公钥。
步骤S35:选取参与运算的公开参数。
在一具体实施例中,KGC输出选取参与运算的公开参数。
步骤S36:根据公开参数计算出DN-AAA服务器的部分私钥,并将部分私钥发送给5G终端。
在一具体实施例中,KGC根据公开参数计算出DN-AAA服务器的部分私钥,通过已建立的安全通道发送给对应终端。
本发明实施例还提供了一种终端二次认证设备,如图6所示,该设备终端可以包括处理器61和存储器62,其中处理器61和存储器62可以通过总线或者其他方式连接,图6中以通过总线连接为例。
处理器61可以为中央处理器(Central Processing Unit,CPU)。处理器61还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器62作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的对应的程序指令/模块。处理器61通过运行存储在存储器62中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的终端二次认证方法。
存储器62可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器61所创建的数据等。此外,存储器62可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器62可选包括相对于处理器61远程设置的存储器,这些远程存储器可以通过网络连接至处理器61。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器62中,当被处理器61执行时,执行实施例中的终端二次认证方法。
上述终端二次认证设备具体细节可以对应参阅实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (11)

1.一种终端二次认证方法,其特征在于,应用于5G终端,所述终端二次认证方法包括:
向DN-AAA服务器发送认证请求报文,所述DN-AAA服务器位于企业内网;
接收所述DN-AAA服务器发送的第一签密消息,对所述第一签密消息进行解签密,所述第一签密消息采用基于数字证书及设备ID绑定标识作为5G终端身份认证码;
根据解签密结果判断所述DN-AAA服务器的网络身份认证是否通过;
当确认所述DN-AAA服务器的网络身份认证通过后,对解签密结果和5G终端身份认证码进行签密,得到第二签密消息,采用基于椭圆曲线有限域的无证书签密方案进行签密;
将所述第二签密消息发送到边缘云上,由聚合中心聚合处理后发送到所述DN-AAA服务器,所述第二签密消息根据不同的业务类型,形成不同的业务流向,互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给DN-AAA服务器,生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给DN-AAA服务器,根据所述DN-AAA服务器对所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接;
基于口令的认证密钥协商协议,建立所述5G终端、所述DN-AAA服务器及密钥生成中心之间的密钥传输安全通道。
2.根据权利要求1所述的终端二次认证方法,其特征在于,基于口令的认证密钥协商协议进行密钥交换包括:
选取一个随机数,利用公开参数计算得到第一消息,将所述第一消息发送给密钥生成中心;
接收密钥生成中心发送的第二消息和认证信息,利用公开参数对所述认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥,将所述高熵会话密钥作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心。
3.根据权利要求1所述的终端二次认证方法,其特征在于,还包括:
在进行终端二次认证前检查当前主认证是否已通过;
当主认证已通过时,执行向DN-AAA服务器发送认证请求报文的步骤。
4.一种终端二次认证方法,其特征在于,应用于DN-AAA服务器,所述终端二次认证方法包括:
响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码;
对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,所述第一签密消息采用基于数字证书及设备ID绑定标识作为5G终端身份认证码,并将所述第一签密消息发送到所述5G终端,采用基于椭圆曲线有限域的无证书签密方案进行签密;
对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断所述5G终端的身份认证是否通过,所述第二签密消息根据不同的业务类型,形成不同的业务流向,互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给DN-AAA服务器,生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给DN-AAA服务器;
当所述5G终端的身份验证通过时,发送身份认证成功声明到所述5G终端,建立所述5G终端到数据网络的连接;
基于口令的认证密钥协商协议,建立所述5G终端、所述DN-AAA服务器及密钥生成中心之间的密钥传输安全通道。
5.根据权利要求4所述的终端二次认证方法,其特征在于,所述对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,包括:
选取随机数作为长期私钥,根据公开参数计算出对应公钥,得到公私钥对,并将公钥通过发送给密钥生成中心;
对返回给5G终端的挑战码和5G终端身份认证码进行签密,得到第一签密消息。
6.一种终端二次认证方法,其特征在于,应用于密钥生成中心,所述终端二次认证方法包括:
接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将所述第二消息和所述认证信息发送给5G终端;
接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥;
利用高熵会话密钥,基于口令认证密钥协商协议,建立安全通道传输密钥,通过所述安全通道传输密钥对第二签密消息进行聚合处理,所述第二签密消息根据不同的业务类型,形成不同的业务流向,互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给DN-AAA服务器,生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给DN-AAA服务器,所述第二签密消息在第一签密消息之后发送,所述第一签密消息采用基于数字证书及设备ID绑定标识作为5G终端身份认证码,所述第二签密消息为当确认DN-AAA服务器的网络身份认证通过后,5G终端对解签密结果和5G终端身份认证码进行签密得到的,所述解签密结果是对由DN-AAA服务器发送的第一签密消息进行解签密得到的。
7.根据权利要求6所述的终端二次认证方法,其特征在于,还包括:
选取随机数作为主密钥,并计算主公钥;
选取参与运算的公开参数;
根据公开参数计算出DN-AAA服务器的部分私钥,并将部分私钥发送给5G终端。
8.一种终端二次认证系统,其特征在于,包括:5G终端及DN-AAA服务器,其中,
所述5G终端向DN-AAA服务器发送认证请求报文,所述DN-AAA服务器位于企业内网;
所述DN-AAA服务器响应5G终端发送的认证请求报文,生成基于随机数和时间戳的挑战码;
所述DN-AAA服务器对所述挑战码和所述5G终端身份认证码进行签密,得到第一签密消息,所述第一签密消息采用基于数字证书及设备ID绑定标识作为5G终端身份认证码,并将所述第一签密消息发送到所述5G终端,采用基于椭圆曲线有限域的无证书签密方案进行签密;
所述5G终端接收所述DN-AAA服务器发送的第一签密消息,对所述第一签密消息进行解签密;
所述5G终端根据解签密结果判断所述DN-AAA服务器的网络身份认证是否通过;
所述5G终端当确认所述DN-AAA服务器的网络身份认证通过后,对解签密结果和5G终端身份认证码进行签密,得到第二签密消息,采用基于椭圆曲线有限域的无证书签密方案进行签密;
所述5G终端将所述第二签密消息发送到边缘云上,由聚合中心聚合处理后发送到所述DN-AAA服务器,所述第二签密消息根据不同的业务类型,形成不同的业务流向,互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的MEC/UPF处理后,经5G网络EAP通道返回给DN-AAA服务器,生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的MEC/UPF处理后,通过正反向隔离装置,经5G网络EAP通道返回给DN-AAA服务器,根据所述DN-AAA服务器对所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接;
所述DN-AAA服务器对5G终端返回的第二签密消息进行聚合解签密,根据解密结果判断所述5G终端的身份认证是否通过;
所述DN-AAA服务器当所述5G终端的身份验证通过时,发送身份认证成功声明到所述5G终端,建立所述5G终端到数据网络的连接;
利用高熵会话密钥,基于口令认证密钥协商协议,建立安全通道传输密钥。
9.根据权利要求8所述的终端二次认证系统,其特征在于,还包括:密钥生成中心,其中,
所述5G终端选取一个随机数,利用公开参数计算得到第一消息,将所述第一消息发送给密钥生成中心;
所述密钥生成中心接收5G终端发送的第一消息,选取一个随机数,利用公开参数得到第二消息和认证信息,将所述第二消息和所述认证信息发送给5G终端;
所述5G终端接收密钥生成中心发送的第二消息和认证信息,利用公开参数对所述认证信息进行验证,验证通过后计算出确认消息和高熵会话密钥,将所述高熵会话密钥作为和密钥生成中心共享的会话密钥,并将确认消息发送给密钥生成中心;
所述密钥生成中心接收5G终端发送的确认消息,并验证确认消息,验证通过后,利用公开参数计算出高熵会话密钥。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机执行如权利要求1-7任一项所述的终端二次认证方法。
11.一种终端二次认证设备,其特征在于,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-7任一项所述的终端二次认证方法。
CN202210555508.2A 2022-05-20 2022-05-20 一种终端二次认证方法、设备及系统 Active CN114945171B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210555508.2A CN114945171B (zh) 2022-05-20 2022-05-20 一种终端二次认证方法、设备及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210555508.2A CN114945171B (zh) 2022-05-20 2022-05-20 一种终端二次认证方法、设备及系统

Publications (2)

Publication Number Publication Date
CN114945171A CN114945171A (zh) 2022-08-26
CN114945171B true CN114945171B (zh) 2023-10-03

Family

ID=82909291

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210555508.2A Active CN114945171B (zh) 2022-05-20 2022-05-20 一种终端二次认证方法、设备及系统

Country Status (1)

Country Link
CN (1) CN114945171B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117715042B (zh) * 2023-12-18 2024-07-19 国网青海省电力公司清洁能源发展研究院 一种电力系统5g通信网络安全防护方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301108A (zh) * 2014-09-23 2015-01-21 电子科技大学 一种从基于身份环境到无证书环境的签密方法
CN110784305A (zh) * 2019-10-31 2020-02-11 西安电子科技大学 基于不经意伪随机函数和签密的单点登录认证方法
CN111682938A (zh) * 2020-05-12 2020-09-18 东南大学 面向中心化移动定位系统的三方可认证密钥协商方法
CN111953705A (zh) * 2020-08-20 2020-11-17 全球能源互联网研究院有限公司 物联网身份认证方法、装置及电力物联网身份认证系统
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104301108A (zh) * 2014-09-23 2015-01-21 电子科技大学 一种从基于身份环境到无证书环境的签密方法
CN110784305A (zh) * 2019-10-31 2020-02-11 西安电子科技大学 基于不经意伪随机函数和签密的单点登录认证方法
CN111682938A (zh) * 2020-05-12 2020-09-18 东南大学 面向中心化移动定位系统的三方可认证密钥协商方法
CN111953705A (zh) * 2020-08-20 2020-11-17 全球能源互联网研究院有限公司 物联网身份认证方法、装置及电力物联网身份认证系统
CN112312393A (zh) * 2020-11-13 2021-02-02 国网安徽省电力有限公司信息通信分公司 5g应用接入认证方法及5g应用接入认证网络架构

Also Published As

Publication number Publication date
CN114945171A (zh) 2022-08-26

Similar Documents

Publication Publication Date Title
Cao et al. GBAAM: group‐based access authentication for MTC in LTE networks
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
KR101675088B1 (ko) Mtc에서의 네트워크와의 상호 인증 방법 및 시스템
Cao et al. A group-based authentication and key agreement for MTC in LTE networks
US9654284B2 (en) Group based bootstrapping in machine type communication
Lai et al. Secure group communications in vehicular networks: A software-defined network-enabled architecture and solution
Fan et al. Cross-network-slice authentication scheme for the 5 th generation mobile communication system
WO2012174959A1 (zh) 一种机器到机器通信中组认证的方法、系统及网关
CN102883316A (zh) 建立连接的方法、终端和接入点
CN101277297B (zh) 会话控制系统和方法
CN109462484B (zh) 一种结合广播优势的身份基安全互认证方法
CN112602290B (zh) 一种身份验证方法、装置和可读存储介质
CN114945171B (zh) 一种终端二次认证方法、设备及系统
CN115085943B (zh) 用于电力物联网南北向安全加密的边缘计算方法及平台
CN106330445A (zh) 车辆认证方法及装置
US20150043421A1 (en) Wireless relay apparatus, communication system, and communication method
CN112333705B (zh) 一种用于5g通信网络的身份认证方法及系统
CN112822216A (zh) 一种用于物联网子设备绑定的认证方法
CN112399407A (zh) 一种基于dh棘轮算法的5g网络认证方法及系统
CN112822018B (zh) 一种基于双线性对的移动设备安全认证方法及系统
Lai et al. A novel group-oriented handover authentication scheme in MEC-enabled 5G networks
KR101431214B1 (ko) 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템
CN213938340U (zh) 5g应用接入认证网络架构
CN114221751B (zh) 一种物联网通信认证方法、系统及计算机设备
Cao et al. Access authentication of mass device connections for MTC in LTE networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant