CN213938340U - 5g应用接入认证网络架构 - Google Patents
5g应用接入认证网络架构 Download PDFInfo
- Publication number
- CN213938340U CN213938340U CN202022637662.3U CN202022637662U CN213938340U CN 213938340 U CN213938340 U CN 213938340U CN 202022637662 U CN202022637662 U CN 202022637662U CN 213938340 U CN213938340 U CN 213938340U
- Authority
- CN
- China
- Prior art keywords
- terminal
- authentication
- aaa server
- power
- electric power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 claims abstract description 11
- 230000009977 dual effect Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 abstract description 2
- 230000004927 fusion Effects 0.000 abstract description 2
- 238000000034 method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 206010033799 Paralysis Diseases 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Abstract
本实用新型实施例提供一种5G应用接入认证网络架构,属于通信安全领域。所述5G应用接入认证网络架构包括:电力5G终端;AMF/SEAF,用于所述电力5G终端的入网附着认证;DN‑AAA服务器,用于所述电力5G终端的二次认证的身份验证;SMF/UPF,用于桥接所述电力5G终端和所述DN‑AAA服务器。电力5G终端通过AMF/SEAF完成入网附着认证后,通过与DN‑AAA服务器和SMF/UPF建立的可扩展的身份验证协议框架进行二次认证,实现了网络与业务双重融合认证,缩小了电力业务域的攻击面,提高了电力系统5G终端入网的安全性能。
Description
技术领域
本实用新型涉及通信安全领域,具体地涉及一种5G应用接入认证网络架构。
背景技术
5G技术发展迅猛,除了数据传输速度上的提升,5G技术相较于3G/4G技术在安全性方面也进行了明显的增强,一方面5G可为行业用户提供基于网络切片的端到端网络连接,另一方面,5G网络可以允许行业用户进行二次认证的算法和协议定制,即可以采用用户自定义的算法/协议进行用户终端与服务器之间的二次认证。电力系统被恶意攻击时会造成电网瘫痪等非常严重的问题,所以电力系统中的5G终端在进行5G网络接入时有很高的安全技术要求,传统的5G网络接入仅需要进行5G终端与5G网络之间的入网附着认证,这种单次认证关系容易造成用户身份信息泄漏、重放攻击、服务器假冒攻击、字典攻击和中间人攻击等弊端。现有独立于移动网络的第三方认证方式仅能进行终端身份验证,无法对电力5G终端的业务请求进行验证,也就给了恶意攻击对象冒充会话参与者进行恶意攻击的机会,针对当前认证方式无法满足电力系统中电力5G终端进行5G网络接入时的安全要求,需要创造一种适用于电力系统5G终端应用接入认证的网络架构。
实用新型内容
本实用新型实施例的目的是提供一种5G应用接入认证网络架构,该设备通过构建可扩展的身份验证协议框架实现电力5G终端网络与业务双重认证,缩小了电力业务域的攻击面。
为了实现上述目的,本实用新型实施例提供一种5G应用接入认证网络架构,应用于计及电力系统,所述5G应用接入认证网络架构包括:电力5G终端和;AMF/SEAF,用于所述电力5G终端的入网附着认证;DN-AAA服务器,用于所述电力5G终端的二次认证的身份验证;SMF/UPF,用于桥接所述电力5G终端和所述DN-AAA服务器。
优选的,所述电力5G终端、所述DN-AAA服务器和所述SMF/UPF组成用于电力5G终端的二次认证的可扩展的身份验证协议框架。
优选的,所述可扩展的身份验证协议框架中,所述电力5G终端为认证客户端,所述DN-AAA服务器为后端身份验证服务器,所述SMF/UPF为传递认证者。
优选的,所述电力5G终端与所述DN-AAA服务器均包括用于密钥管理的密钥管理模块。
优选的,所述电力5G终端与所述DN-AAA服务器的密钥管理模块均存储有所述发起认证请求电力5G终端与DN-AAA服务器之间共享的对称密钥;所述电力5G终端密钥管理模块还存储有自身的私钥和所述DN-AAA服务器发放的公钥;所述DN-AAA服务器还存储有自身的私钥和所述电力5G终端发放的公钥。
优选的,所述电力5G终端与所述DN-AAA服务器均包括用于数据加密的加密模块。
优选的,所述电力5G终端与所述DN-AAA服务器均包括用于数据解密的解密模块。
优选的,所述电力5G终端还包括采集模块,用于采集用户或终端独有身份信息。
通过上述技术方案,在传统5G终端进行5G接入时需要进行的入网附着认证的网络架构上构建了二次认证的可扩展的身份验证协议框架,包括DN-AAA服务器和SMF/UPF。用于进行电力5G终端的二次验证,包括DN-AAA服务器的网络身份验证和电力5G终端的身份验证,实现了网络与业务双重融合认证,仅当5G应用接入认证合法才能够建立PDU(ProtocolData Unit,协议数据单元)会话连接,否则网络拒绝为其提供服务,缩小了电力业务域的攻击面,提高了电力系统5G终端入网的安全性能。
本实用新型实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本实用新型实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本实用新型实施例,但并不构成对本实用新型实施例的限制。在附图中:
图1是本实用新型实施方式提供的一种5G应用接入认证网络架构的结构示意图;
图2是本实用新型实施方式提供的一种5G应用接入认证实施例的流程图。
具体实施方式
以下结合附图对本实用新型实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本实用新型实施例,并不用于限制本实用新型实施例。
术语“平行”、“垂直”等并不表示要求部件绝对平行或垂直,而是可以稍微倾斜。如“平行”仅仅是指其方向相对“垂直”而言更加平行,并不是表示该结构一定要完全平行,而是可以稍微倾斜。
此外,“大致”、“基本”等用语旨在说明相关内容并不是要求绝对的精确,而是可以有一定的偏差。例如:“大致相等”并不仅仅表示绝对的相等,由于实际生产、操作过程中,难以做到绝对的“相等”,一般都存在一定的偏差。因此,除了绝对相等之外,“大致等于”还包括上述的存在一定偏差的情况。以此为例,其他情况下,除非有特别说明,“大致”、“基本”等用语均为与上述类似的含义。
在本实用新型的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本实用新型中的具体含义。
请参照图1,本实施例提供一种5G应用接入认证网络架构,应用于计及电力系统,所述5G应用接入认证网络架构包括:电力5G终端和5G基站;AMF(Access and MobilityManagement Function,接入与移动性管理功能)/SEAF(Security Anchor Function,安全锚定功能),用于所述电力5G终端连接所述5G基站的入网附着认证;DN-AAA(Data Network-Authentication Authorization Accounting,数据网络认证、授权与计费)服务器,用于所述电力5G终端的二次认证的身份验证;SMF(Session Management Function,会话管理功能)/UPF(User Plane Function,用户面功能),用于桥接所述电力5G终端和所述DN-AAA服务器。
优选的,所述电力5G终端、所述DN-AAA服务器和所述SMF/UPF组成用于电力5G终端的二次认证的可扩展的身份验证协议框架,所述可扩展的身份验证协议框架中,所述电力5G终端为认证客户端,所述DN-AAA服务器为后端身份验证服务器,所述SMF/UPF为传递认证者。
在本实用新型实施例中,在电力系统中,往往通过独立于移动网络的第三方认证方式进行电力5G终端的身份验证,这种方式仅能进行终端身份验证,无法对电力5G终端的业务请求进行验证。而可扩展的身份验证协议允许网络对无线客户端进行认证,本实用新型提出的认证方案便是通过建立可扩展的身份验证协议框架来实现电力系统电力5G终端的网络与业务双重认证。其中,电力5G终端作为认证客户端,SMF/UPF为传递认证者,DN-AAA服务器则是后端身份验证服务器,通过移动网络中的网元SMF代理外部AAA Server来完成认证流程,实现了网络与业务双重认证的融合。若电力5G终端请求数据网络服务,仅当5G应用接入认证合法才能够建立PDU(Protocol Data Unit,协议数据单元)会话连接,否则网络拒绝为其提供服务,缩小了电力业务域的攻击面。
优选的,所述电力5G终端与所述DN-AAA服务器均包括用于密钥管理的密钥管理模块。
在本实用新型实施例中,为了避免电力5G终端与DN-AAA服务器之间进行身份验证信息交互是被恶意攻击软件截取而导致用户身份信息泄露的问题,优选地将电力5G终端与DN-AAA服务器之间所有交互信息都设置为加密信息,且只有电力5G终端与DN-AAA服务器才具有正确解密的密钥,攻击者即使截获了包含用户身份信息的加密数据也无法解析出用户的身份信息,这就避免了用户身份信息的泄露。
优选的,所述电力5G终端与所述DN-AAA服务器的密钥管理模块均存储有所述发起认证请求电力5G终端与DN-AAA服务器之间共享的对称密钥;所述电力5G终端密钥管理模块还存储有自身的私钥和所述DN-AAA服务器发放的公钥;所述DN-AAA服务器还存储有自身的私钥和所述电力5G终端发放的公钥。
在本实用新型实施例中,发起认证请求的电力5G终端与接收其认证请求的DNN-AAA服务器共同持有共享的对称密钥,且只有二者持有,该对称密钥将作为二者互相确认身份的协议密钥。在进行数据交互时,可能会被其他终端、服务器或攻击程序接收到,这部分信息将可能通过解密算法或公钥进行解密,所以将部分独有信息进行签名加密,确保信息被签名保护,无法被篡改,这部分信息可以通过公钥进行解密查看,但无法对信息进行修改。这部分不可变更的签名信息作为标准信息同样会发送到电力5G终端或DN-AAA服务器,二者通过对方发放的公钥对标准信息解密,然后通过共享的对称密钥对加密信息进行解密,对比解密出来的信息和标号信息,当两个信息相同时,则表示身份确认成功。
优选的,所述电力5G终端与所述DN-AAA服务器均包括用于数据加密的加密模块和用于数据解密的解密模块。
优选的,所述电力5G终端还包括采集模块,用于采集用户或终端独有身份信息。
在本实用新型实施例中,DN-AAA服务器在进行电力5G终身份验证的时候,不仅需要验证终端的网络身份信息,还将进行终端本身的身份信息验证,因为可能存在攻击对象冒充终端进行业务请求,这部分验证请求可能通过某些攻击算法导致DN-AAA服务器未能成功识别,从而为攻击对象提供网络服务,导致建立系统被攻破。为了避免供给对象冒充电力5G终端发起恶意业务请求,还需要进行终端本身的身份验证,即通过终端本身独有的身份信息进行确认,例如用户的人脸信息和终端本身的序列号。人脸信息与终端生成的序列号是唯一的,采集模块在电力5G终端进行身份验证请求过程中,采集发起申请时的人脸信息或序列号,将该部分信息进行加密后发送到DN-AAA服务器,DN-AAA服务器在确认当前发起请求的电力5G终端的身份信息满足备案信息后,才确定电力5G终端的身份信息,从而确定为电力5G终端提供网络服务。
在一种可能的实施方式中,如图2,本实用新型提出的5G应用接入认证网络架构被运用于某电力系统,在该电力系统中某电力5G终端需要网络接入,便根据网络架构进行电力5G终端认证,电力5G终端根据常规请求方式向AMF/SEAF发起入网附着请求,AMF/SEAF根据电力5G终端的备案信息确定入网附着认证通过,开始执行二次认证,二次认证步骤包括:
步骤1,电力5G终端通过SMF/UPF代理其二次身份认证请求,向DN-AAA服务器发送认证请求报文。
步骤2,DN-AAA服务器生成随机数RAND、TCP发送帧序号SN和时间戳TS三元组作为身份认证挑战码,并将挑战码通过DN-AAA服务器与该终端共享的对称密钥加密生成消息MDNN,优选的,对称加解密采用符合电力工控领域信息安全防护要求的国产商用对称密码算法(SM1)。再用私钥对MDNN和RAND的哈希值进行签名后生成消息验证码MACDNN,优选的,签名采用国产商用非对称密码算法(SM2或SM3);
步骤3,DN-AAA服务器将(MDNN,MACDNN)通过SMF/UPF发送给电力5G终端。
步骤4,终端解密MDNN获得三元组挑战码CAC明文,计算MDNN和RAND的哈希值并利用DNN-AAA服务器的公钥解密接收到的消息验证码MACDNN后对比两者结果,若一致则通过验证,否则终端宣告网络身份认证失败。
步骤5,电力5G终端验证网络合法后,终端采集人脸信息或设备制造序列号作为终端身份识别码IDC;终端将挑战码CAC和识别码IDC组合通过对称密钥加密生成MUE,并用终端私钥对MUE和RAND的哈希值进行签名后生成消息验证码MACUE。
步骤6,电力5G终端将(MUE,MACUE)通过SMF/UPF发送给DN-AAA服务器。
步骤7,DNN-AAA服务器在接收到MUE后解密出挑战码和识别码,通过终端公钥解密MACUE并与(MUE,RAND)的哈希值对比,若一致则认为对终端的身份认证通过,否则,宣告身份认证失败;验证通过后,生产身份认证成功声明。
步骤8,DNN-AAA服务器利用双方共享的对称及非对称密钥安全地将身份认证成功声明通过SMF/UPF发送至电力5G终端;SMF/UPF确认为电力5G终端建立的PDU会话连接合法。
步骤9,5G二次身份认证流程结束,终端至此同时获得5G网络、电网企业内部应用系统接入访问权限。
以上结合附图详细描述了本实用新型实施例的可选实施方式,但是,本实用新型实施例并不限于上述实施方式中的具体细节,在本实用新型实施例的技术构思范围内,可以对本实用新型实施例的技术方案进行多种简单变型,这些简单变型均属于本实用新型实施例的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本实用新型实施例对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本实用新型实施例的各种不同的实施方式之间也可以进行任意组合,只要其不违背本实用新型实施例的思想,其同样应当视为本实用新型实施例所公开的内容。
Claims (8)
1.一种5G应用接入认证网络架构,应用于计及电力系统,其特征在于,所述5G应用接入认证网络架构包括:
电力5G终端;
AMF/SEAF,用于所述电力5G终端的入网附着认证;
DN-AAA服务器,用于所述电力5G终端的二次认证的身份验证;
SMF/UPF,用于桥接所述电力5G终端和所述DN-AAA服务器。
2.根据权利要求1所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端、所述DN-AAA服务器和所述SMF/UPF组成用于所述电力5G终端的二次认证的可扩展的身份验证协议框架。
3.根据权利要求2所述的5G应用接入认证网络架构,其特征在于,所述可扩展的身份验证协议框架中,所述电力5G终端为认证客户端,所述DN-AAA服务器为后端身份验证服务器,所述SMF/UPF为传递认证者。
4.根据权利要求1所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端与所述DN-AAA服务器均包括用于密钥管理的密钥管理模块。
5.根据权利要求4所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端与所述DN-AAA服务器的密钥管理模块均存储有发起认证请求所述电力5G终端与所述DN-AAA服务器之间共享的对称密钥;
所述电力5G终端密钥管理模块还存储有自身的私钥和所述DN-AAA服务器发放的公钥;
所述DN-AAA服务器还存储有自身的私钥和所述电力5G终端发放的公钥。
6.根据权利要求1所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端与所述DN-AAA服务器均包括用于数据加密的加密模块。
7.根据权利要求1所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端与所述DN-AAA服务器均包括用于数据解密的解密模块。
8.根据权利要求1所述的5G应用接入认证网络架构,其特征在于,所述电力5G终端还包括采集模块,用于采集用户或终端独有身份信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022637662.3U CN213938340U (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证网络架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202022637662.3U CN213938340U (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证网络架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN213938340U true CN213938340U (zh) | 2021-08-10 |
Family
ID=77169340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202022637662.3U Active CN213938340U (zh) | 2020-11-13 | 2020-11-13 | 5g应用接入认证网络架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN213938340U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023132724A1 (en) * | 2022-01-10 | 2023-07-13 | Samsung Electronics Co., Ltd. | Method and apparatus for managing pending re-authentication and reauthorization with dn-aaa server |
-
2020
- 2020-11-13 CN CN202022637662.3U patent/CN213938340U/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023132724A1 (en) * | 2022-01-10 | 2023-07-13 | Samsung Electronics Co., Ltd. | Method and apparatus for managing pending re-authentication and reauthorization with dn-aaa server |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US7707412B2 (en) | Linked authentication protocols | |
| US7370350B1 (en) | Method and apparatus for re-authenticating computing devices | |
| KR100704675B1 (ko) | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 | |
| US8352739B2 (en) | Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same | |
| JP4634612B2 (ja) | 改良された加入者認証プロトコル | |
| EP1254547B1 (en) | Single sign-on process | |
| US20100017603A1 (en) | Extensible Authentication Protocol Authentication and Key Agreement (EAP-AKA) Optimization | |
| US20060059344A1 (en) | Service authentication | |
| KR20080089500A (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| CN112312393A (zh) | 5g应用接入认证方法及5g应用接入认证网络架构 | |
| CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
| US20020199102A1 (en) | Method and apparatus for establishing a shared cryptographic key between energy-limited nodes in a network | |
| CN112399407B (zh) | 一种基于dh棘轮算法的5g网络认证方法及系统 | |
| CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及系统 | |
| CN213938340U (zh) | 5g应用接入认证网络架构 | |
| Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
| KR20080056055A (ko) | 통신 사업자간 로밍 인증방법 및 키 설정 방법과 그 방법을포함하는 프로그램이 저장된 기록매체 | |
| CN114386020A (zh) | 基于量子安全的快速二次身份认证方法及系统 | |
| JP4677784B2 (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| WO2021236078A1 (en) | Simplified method for onboarding and authentication of identities for network access | |
| CN115314278B (zh) | 可信网络连接身份认证方法、电子设备及存储介质 | |
| CN115348578B (zh) | 一种接触者追踪方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |