CN117278988A - 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 - Google Patents
一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 Download PDFInfo
- Publication number
- CN117278988A CN117278988A CN202311153500.4A CN202311153500A CN117278988A CN 117278988 A CN117278988 A CN 117278988A CN 202311153500 A CN202311153500 A CN 202311153500A CN 117278988 A CN117278988 A CN 117278988A
- Authority
- CN
- China
- Prior art keywords
- user
- private network
- identity
- network application
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000009977 dual effect Effects 0.000 title claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 109
- 239000000284 extract Substances 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种5G高安全专网应用可信身份双重认证接入方法、网元和系统。该方法,包括:在5G核心网内增加身份校验网元,对专网应用进行服务认证,并下发对用户的认证访问策略,以及与专网应用之间建立安全通道,生成一个基于用户身份特征的业务地址;当用户需要登录专网应用时,用户将登录所需信息和业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;专网应用接收到用户登录数据包后,对用户进行第一次身份验证;若通过,专网应用则提取用户的业务地址,并将其和用户的身份特征通过安全通道发送至身份校验网元;身份校验网元收到业务地址和用户的身份特征后,对用户进行第二次身份验证;若通过,则用户成功登录专网应用。
Description
技术领域
本发明涉及移动通信安全技术领域,尤其涉及一种5G高安全专网应用可信身份双重认证接入方法、网元和系统。
背景技术
目前5G移动通信系统除了提供传统的多媒体宽带业务之外,还以5G专网模式部署于电力、交通以及军事等关乎国家安全的重要行业。高安全等级专网应用需要验证专网应用用户端身份的合法性。
目前,常用的身份验证方法包括基于应用层的账号密码技术认证技术、互联网应用认证、短信验证码认证和基于应用服务器安全网关的二次认证。账号密码认证要求用户提供注册过的用户名和口令,但是口令存在着弱密码等隐患问题,易被攻击破解等固有风险,而使用无意义的字符串作为口令,存在着难以记忆、管理困难等问题,且注册流程繁琐,有泄露信息的风险。互联网应用认证将自身用户认证能力开放给其他应用使用,但是互联网企业竞争激烈,各自形成账号封闭的生态体系,难以大范围推广使用。短信验证码认证基于手机号码请求移动核心网配合进行身份认证,但存在短信贩卖、伪基站拦截等易被劫持嗅探的安全风险,且难以对攻击者进行追踪溯源。基于应用服务器安全网关的二次认证方式必须在用户应用服务器前部署安全网关以及在用户设备上安装相应的认证客户端程序来实现,安装使用麻烦,且本质上还是使用应用层认证方式。
发明内容
为了提升用户登录高安全等级专用应用的安全性,本发明提供一种5G高安全专网应用可信身份双重认证接入方法、网元和系统。
第一方面,本发明提供一种5G高安全专网应用可信身份双重认证接入方法,在5G核心网内增加身份校验网元,包括:
步骤1:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;
步骤2:身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;
步骤3:当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;
步骤4:专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;
步骤5:若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;
步骤6:身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;
步骤7:若第二次身份验证通过,则用户成功登录专网应用。
进一步地,还包括:
当专网应用存在数据包溯源需求时,则提取数据包的业务地址,并通过预先建立的安全通道发送至身份校验网元;
身份校验网元经由所述安全通道接收到业务地址后,从该业务地址中提取用户的身份特征,并通过所述安全通道向专网应用返回该用户的身份特征;
专网应用根据经由所述安全通道接收到的该用户的身份特征来判断数据包为攻击数据或合法数据。
进一步地,所述对用户的认证访问策略包括基于单包检测的认证访问方式或基于令牌的认证访问方式。
进一步地,步骤1中,身份校验网元采用基于MD5或者数字证书的认证方式预先对专网应用进行服务认证。
进一步地,步骤2具体包括:
用户向5G核心网发送承载建立请求,请求分配业务地址;
身份校验网元根据用户的身份特征生成接口标识,将所述接口标识发送给SMF网元;
SMF网元将所述接口标识和前缀标识进行组合生成该用户在5G核心网内的业务地址。
进一步地,采用用户的手机号码作为用户的身份特征,业务地址采用IPv6地址。
第二方面,本发明提供一种身份校验网元,设置在5G核心网中,包括:
专网应用管理单元,用于对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间建立安全通道;
业务地址生成单元,用于与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;
用户身份验证单元,用于通过安全通道接收专网应用发送的业务地址和用户的身份特征,对用户进行身份验证。
第三方面,本发明提供一种5G高安全专网应用可信身份双重认证接入系统,包括:上述的身份校验网元、专网应用和用户终端;
所述用户终端,用于当用户需要登录专网应用时,将用户登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;
所述专网应用,用于接收身份校验网元下发的对用户的认证访问策略;当用户需要登录专网应用时,向用户发送登录页面;在接收到用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;在第一次身份验证通过后,从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元。
第四方面,本发明提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述的任意一种5G高安全专网应用可信身份双重认证接入方法。
第五方面,本发明提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述的任意一种5G高安全专网应用可信身份双重认证接入方法。
本发明的有益效果:
(1)本发明利用5G移动网络对终端用户在接入时具备鉴权并且为用户分配业务地址等基础条件,基于移动网进行改造,在5G核心网内新增设计身份校验网元,通过在核心网增加身份校验网元,在会话建立阶段,此网元与核心网交互为用户分配具有身份特征的业务地址,实现用户业务数据的“人-卡绑定”,从而在用户进行高安全专网服务访问时,可与专网应用服务进行交互实现对用户网络层数据身份查验,结合专网服务的应用层账户密码认证技术,以更严苛的双重认证准入机制保护高安全专网应用的可信身份安全接入,有效防止盗取口令、身份仿冒等非法行为。
(2)本发明的身份校验网元向专网应用开放服务接口,为通过注册认证的专网应用提供网络层用户身份认证和数据溯源能力;经由5G用户面转发的业务数据流在身份校验网元进行校验检测,保证访问专网应用用户身份真实可信、业务数据可溯源,提供数据包粒度的身份认证和溯源。
附图说明
图1为本发明实施例提供的一种5G高安全专网应用可信身份双重认证接入方法的流程示意图之一;
图2为本发明实施例提供的身份校验网元对专网应用进行服务认证的示意图;
图3为本发明实施例提供的一种5G高安全专网应用可信身份双重认证接入方法的流程示意图之二;
图4为本发明实施例提供的身份校验网元的结构示意图;
图5为本发明实施例提供的一种5G高安全专网应用可信身份双重认证接入系统的架构;
图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明实施例提供一种5G高安全专网应用可信身份双重认证接入方法,在5G核心网内增加身份校验网元,包括:
S101:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;
具体地,所述对用户的认证访问策略包括基于单包检测的认证访问方式或基于令牌的认证访问方式。
S102:身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;
具体地,5G核心网为用户分配基于用户身份特征的业务地址,便于后续对用户身份合法性进行检测。而通过与5G核心网交互,用户建立到专网应用的业务承载,并获取基于用户身份特征嵌入的业务地址,这是用户访问专网应用的前提条件。本步骤具体包括以下子步骤:
用户向5G核心网发送承载建立请求,请求分配业务地址;身份校验网元根据用户的身份特征生成接口标识,将所述接口标识发送给SMF网元;SMF网元将所述接口标识和前缀标识进行组合生成该用户在5G核心网内的业务地址。
S103:当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;
S104:专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;此时的第一次身份验证为应用层身份验证。
S105:若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;
S106:身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;此时的第二次身份验证为网络层身份验证。
S107:若第二次身份验证通过,则用户成功登录专网应用。
本发明实施例面向5G用户终端访问高安全等级专网应用的业务流,在网络层和应用层分别进行身份查验,提供一种双重认证方案。通过在 5G 核心网内新增设计身份校验网元,作为核心网与高安全专网应用互连的网元,参与用户会话建立阶段地址的分配,实现用户业务数据的“人-卡绑定”,在数据交互阶段为专网应用提供服务,在网络层对用户进行授权认证,同时结合应用层认证方式,实现基于网络层与应用层双重合法性认证的用户可信接入。
实施例2
在上述实施例的基础上,身份校验网元与专网应用之间可采用当前常用的多种认证方式,包括但不限于基于MD5或者数字证书的认证方式。作为一种可实施方式,本实施例中采用基于MD5的认证方式对专网应用进行服务认证,如图2所示,具体包括以下步骤:
(1)专网应用预先在身份校验网元处注册专网应用的账号密码,用于后续的专网应用服务认证;
(2)专网应用上线时,向身份校验网元发送 Server Registration Request消息,携带专网应用的账号,用于专网应用服务认证;
(3)身份校验网元收到Server Registration Request消息后,检查该专网应用是否已注册,即是否存在该专网应用的账号,如果有,则身份校验网元生成随机数,并通过携带该随机数的ServerRegistration Response 消息发送给专网应用,用于对专网应用的密码加密,否则回复拒绝消息;
(4)专网应用收到Server Registration Response 消息后,使用随机数对专网应用的密码进行MD5加密;
(5)专网应用将MD5加密后的序列通过 Server Verification Request 消息发送给身份校验网元;
(6)身份校验网元收到Server Verification Request消息后,同样使用随机数和专网应用的密码进行 MD5 加密,将自身加密生成的序列与接收到的加密序列进行对比,如果一致,则身份校验网元产生一对公私钥,用于后续与该专网应用之间交互信息的安全性保证,其中,身份校验网元保存私钥,并执行步骤(7);否则,返回失败消息;
(7)身份校验网元生成并向专网应用返回携带有校验结果和专网应用对应的公钥的Server Verification Response 消息。
本发明实施例通过身份校验网元与专网应用之间的服务认证管理流程,可以确保只有注册的专网应用才能申请服务认证服务,确保专网应用自身的安全;同时,在专网应用与身份校验网元之间协商出加密的安全通道,保证后续二者之间信息交互的安全性。
实施例3
在上述各实施例的基础上,以用户的手机号码作为用户的身份特征,以IPv6地址作为业务地址为例(即用户的手机号码以加密方式隐藏于IPv6地址的64bit接口标识中),如图3所示,本发明实施例中提供的一种5G高安全专网应用可信身份双重认证接入方法,具体包括:
(1)用户向专网应用发送登录请求;
(2)专网应用接收到用户的登录请求后,向用户发送登录访问所需的数据信息内容,即登录页面;
(3)假设采用账户密码的应用层验证方式,用户根据验证方式将账户密码等应用层登录数据和自身的IPv6地址封装在登录数据包中,通过5G业务承载发往专网应用,以进行应用层身份验证;
(4)专网应用接收到用户的数据包后,验证用户的应用层接入信息,如果通过,则转入步骤(5),否则向用户返回登录失败的响应;
(5)专网应用从用户的数据包中提取IPv6地址,并获取用户的身份特征信息(本实施例中为用户的手机号码),基于身份校验网元提供的公钥对该IPv6地址和手机号码进行加密,发往身份校验网元;
(6)身份校验网元利用与专网应用协商的私钥对于专网应用上传的加密数据进行还原,得到用户的手机号码与IPv6地址(记作第一IPv6地址);
(7)身份校验网元根据用户的手机号码计算得到一个IPv6地址(记作第二IPv6地址);比较第一IPv6地址和第二IPv6地址是否一致,如果一致则转入步骤(8),否则返回验证失败消息;
(8)身份校验网元返回响应,专网应用完成基于网络层身份认证;
(9)专网应用完成网络层与应用层双重身份认证,向用户返回登录成功的认证结果;
进一步地,当专网应用存在数据包溯源需求时,本实施例还包括以下步骤:
(10)用户与专网应用之间正常进行业务访问;
(11)此时专网应用有数据包溯源需求,提取数据包网络层IPv6地址,基于身份校验网元提供的公钥对该IPv6地址进行加密,发送给身份校验网元请求溯源;
(12)身份校验网元利用与专网应用协商的私钥对于专网应用上传的加密数据进行还原,提取用户IPv6地址,并基于该IPv6地址得到用户身份特征信息(本实施例中为用户的手机号码);
(13)身份校验网元向专网应用返回用户身份信息;
(14)专网应用根据返回结果判断是否为攻击或合法访问数据。
本发明实施例在应用层认证的基础上叠加了基于网络层认证的高安全等级专网用户接入认证方式,只有双重认证均通过,才可实现用户的高安全等级专网接入功能。利用业务地址与用户身份信息相结合的方式既可以保证“人-卡绑定”的高安全专网应用接入,在防止数据包伪造欺骗的同时,也为攻击溯源提供数据支撑。
实施例4
如图4所示,本发明实施例提供一种身份校验网元,设置在5G核心网中,包括专网应用管理单元401、业务地址生成单元402和用户身份验证单元403。
其中,专网应用管理单元401用于对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间建立安全通道;业务地址生成单元402用于与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;用户身份验证单元403用于通过安全通道接收专网应用发送的业务地址和用户的身份特征,对用户进行身份验证。
本发明实施例通过在5G核心网中新增设计身份校验网元,确保只有在身份校验网元处注册过的专网应用才有进行用户身份验证的权限,提升了专网应用的安全性;同时,通过在身份校验网元和专网应用之间建立安全通道,为后续二者之间的信息交互的安全性作准备,以便更好地实现用户安全地接入高安全等级专网应用。
实施例5
如图5所示,本发明实施例提供一种5G高安全专网应用可信身份双重认证接入系统,包括设置在5G核心网内的身份校验网元、专网应用和用户终端。
其中,用户终端用于当用户需要登录专网应用时,将用户登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用。专网应用用于接收身份校验网元下发的对用户的认证访问策略;当用户需要登录专网应用时,向用户发送登录页面;在接收到用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;在第一次身份验证通过后,从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元。身份校验网元采用上述实施例4中的身份校验网元。
需要说明的是,本发明实施例提供的一种5G高安全专网应用可信身份双重认证接入系统是为了实现上述各方法实施例的,其功能可参考上述方法实施例,此处不再赘述。
进一步地,本发明实施例还提供一种电子设备,如图6所示,该电子设备可以包括:处理器(processor)601、通信接口(Communications Interface)602、存储器(memory) 603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信。处理器601可以调用存储器603中的逻辑指令,以执行5G高安全专网应用可信身份双重认证接入方法,该方法包括:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;若第二次身份验证通过,则用户成功登录专网应用。
此外,上述的存储器503中的逻辑指令以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;若第二次身份验证通过,则用户成功登录专网应用。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述各方法实施例所提供的方法,例如包括:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;若第二次身份验证通过,则用户成功登录专网应用。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,在5G核心网内增加身份校验网元,包括:
步骤1:身份校验网元预先对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间预先建立安全通道;
步骤2:身份校验网元与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;
步骤3:当用户需要登录专网应用时,专网应用向用户发送登录页面,以供用户将登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;
步骤4:专网应用接收到所述用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;
步骤5:若第一次身份验证通过,专网应用则从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元;
步骤6:身份校验网元经由安全通道接收到业务地址和用户的身份特征后, 对用户进行第二次身份验证;
步骤7:若第二次身份验证通过,则用户成功登录专网应用。
2.根据权利要求1所述的一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,还包括:
当专网应用存在数据包溯源需求时,则提取数据包的业务地址,并通过预先建立的安全通道发送至身份校验网元;
身份校验网元经由所述安全通道接收到业务地址后,从该业务地址中提取用户的身份特征,并通过所述安全通道向专网应用返回该用户的身份特征;
专网应用根据经由所述安全通道接收到的该用户的身份特征来判断数据包为攻击数据或合法数据。
3.根据权利要求1所述的一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,所述对用户的认证访问策略包括基于单包检测的认证访问方式或基于令牌的认证访问方式。
4.根据权利要求1所述的一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,步骤1中,身份校验网元采用基于MD5或者数字证书的认证方式预先对专网应用进行服务认证。
5.根据权利要求1所述一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,步骤2具体包括:
用户向5G核心网发送承载建立请求,请求分配业务地址;
身份校验网元根据用户的身份特征生成接口标识,将所述接口标识发送给SMF网元;
SMF网元将所述接口标识和前缀标识进行组合生成该用户在5G核心网内的业务地址。
6.根据权利要求5所述的一种5G高安全专网应用可信身份双重认证接入方法,其特征在于,采用用户的手机号码作为用户的身份特征,业务地址采用IPv6地址。
7.一种身份校验网元,其特征在于,设置在5G核心网中,包括:
专网应用管理单元,用于对专网应用进行服务认证,并向通过服务认证的专网应用下发对用户的认证访问策略,以及与专网应用之间建立安全通道;
业务地址生成单元,用于与5G核心网内的其他网元交互以对接入5G核心网的用户生成一个基于用户身份特征的地址并作为该用户在5G核心网内的业务地址;
用户身份验证单元,用于通过安全通道接收专网应用发送的业务地址和用户的身份特征,对用户进行身份验证。
8.一种5G高安全专网应用可信身份双重认证接入系统,其特征在于,包括:如权利要求7所述的身份校验网元、专网应用和用户终端;
所述用户终端,用于当用户需要登录专网应用时,将用户登录所需信息和用户在5G核心网内的业务地址封装成一个用户登录数据包,并通过5G业务承载发送至专网应用;
所述专网应用,用于接收身份校验网元下发的对用户的认证访问策略;当用户需要登录专网应用时,向用户发送登录页面;在接收到用户登录数据包后,根据所述对用户的认证访问策略对用户进行第一次身份验证;在第一次身份验证通过后,从所述用户登录数据包中提取用户在5G核心网内的业务地址,并将该业务地址和用户的身份特征通过预先建立的安全通道发送至身份校验网元。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的一种5G高安全专网应用可信身份双重认证接入方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述的一种5G高安全专网应用可信身份双重认证接入方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311153500.4A CN117278988A (zh) | 2023-09-06 | 2023-09-06 | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311153500.4A CN117278988A (zh) | 2023-09-06 | 2023-09-06 | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117278988A true CN117278988A (zh) | 2023-12-22 |
Family
ID=89213416
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311153500.4A Pending CN117278988A (zh) | 2023-09-06 | 2023-09-06 | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117278988A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117714499A (zh) * | 2024-02-06 | 2024-03-15 | 常熟理工学院 | 一种智慧城市的环境监测方法 |
-
2023
- 2023-09-06 CN CN202311153500.4A patent/CN117278988A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117714499A (zh) * | 2024-02-06 | 2024-03-15 | 常熟理工学院 | 一种智慧城市的环境监测方法 |
| CN117714499B (zh) * | 2024-02-06 | 2024-04-26 | 常熟理工学院 | 一种智慧城市的环境监测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2011309758B2 (en) | Mobile handset identification and communication authentication | |
| CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
| EP1906584B1 (en) | Method, system and device for game data transmission | |
| CN109347635A (zh) | 一种基于国密算法的物联网安全认证系统及认证方法 | |
| CN104767731B (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| JP2014531163A (ja) | サードパーティーアプリケーションの集中型セキュアマネージメント方法、システム、および対応する通信システム | |
| JP2014531163A5 (zh) | ||
| CN103069774A (zh) | 安全地接入所通知的服务 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN103974248B (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| KR20080047503A (ko) | 통신 시스템에 인증서를 배분하는 방법 | |
| CN106936792A (zh) | 安全认证方法和系统以及用于安全认证的移动终端 | |
| TWI632798B (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| CN101330494A (zh) | 一种基于可信认证网关实现计算机终端安全准入的方法 | |
| WO2022143030A1 (zh) | 基于国密标识密码算法的私钥分发系统 | |
| CN101304318A (zh) | 安全的网络认证系统和方法 | |
| CN110166453A (zh) | 一种基于se芯片的接口认证方法、系统及存储介质 | |
| CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
| CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
| CN115001721A (zh) | 一种基于区块链的智能电网的安全认证方法及系统 | |
| US9716707B2 (en) | Mutual authentication with anonymity | |
| CN110891067B (zh) | 一种可撤销的多服务器隐私保护认证方法及系统 | |
| CN116132986A (zh) | 一种数据传输方法、电子设备及存储介质 | |
| Cheng et al. | Analysis and improvement of the Internet‐Draft IKEv3 protocol | |
| CN106576245A (zh) | 用户设备邻近请求认证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |