CN113507705A - 一种基于eap-tls协议的5g二次认证方法及*** - Google Patents

一种基于eap-tls协议的5g二次认证方法及*** Download PDF

Info

Publication number
CN113507705A
CN113507705A CN202110790525.XA CN202110790525A CN113507705A CN 113507705 A CN113507705 A CN 113507705A CN 202110790525 A CN202110790525 A CN 202110790525A CN 113507705 A CN113507705 A CN 113507705A
Authority
CN
China
Prior art keywords
user equipment
management function
authentication
access
function module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110790525.XA
Other languages
English (en)
Inventor
孙磊
郭松辉
刘海东
郝前防
李作辉
张静
周明
钱大赞
韩松莘
宋云帆
王淼
赵建成
杨梦梦
李楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202110790525.XA priority Critical patent/CN113507705A/zh
Publication of CN113507705A publication Critical patent/CN113507705A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于EAP‑TLS协议的5G二次认证方法及***,包括用户设备、接入和移动性管理功能模块、会话管理功能模块、用户平面功能模块、认证服务器功能模块和数据网络认证服务器。本发明通过在用户设备和数据网络认证服务器之间通过数字证书验证彼此的身份,实现了5G业务终端和数据网络的双向二次认证,进一步提高了5G业务的安全性和可用性。

Description

一种基于EAP-TLS协议的5G二次认证方法及***
技术领域
本发明涉及5G移动通信技术领域,尤其涉及一种EAP(ExtensibleAuthentication Protocol,可扩展的身份认证协议)-TLS协议(TransportLayerSecurity,传输层安全协议)的5G二次认证方法及***。
背景技术
现有4G用户专线接入的主要认证方案是基于VPDN(Virtual Private DialNetwork,虚拟专有拨号网络)的身份认证。该认证方案由运营商完成身份认证整体过程,存在安全性较低、易被非法用户破解等安全威胁。为了满足垂直行业的高安全需求,5G网络提出了二次认证架构,该架构使用可扩展的身份认证协议(EAP)以满足不同业务的安全需求。
在现有的二次认证架构的基础上,如何进一步提高5G业务的安全性和可用性,是一项亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种基于EAP-TLS协议的5G二次认证方法,通过在用户设备和数据网络认证服务器之间通过数字证书验证彼此的身份,实现了5G业务终端和数据网络的双向二次认证,进一步提高了5G业务的安全性和可用性。
本发明提供了一种基于EAP-TLS协议的5G二次认证方法,包括:
通过认证服务器功能模块对用户设备进行入网认证;
在认证通过后,所述用户设备与接入和移动性管理功能模块之间建立非接入层安全上下文连接;
在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话;
在所述接入和移动性管理功能模块和会话管理功能模块之间建立协议数据单元会话;
所述会话管理功能模块从统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规;
若所述用户设备未被认证授权过,所述会话管理功能模块触发可扩展的身份认证协议进行身份认证,以从数据网络认证服务器获得认证授权;
所述会话管理功能模块向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
所述用户设备收到身份请求信息后响应所述会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;
若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,所述会话管理功能模块选择一个用户平面功能模块并与其建立一个协议数据单元会话;
所述会话管理功能模块通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;
所述数据网络认证服务器通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把所述访问挑战数据包发给所述会话管理功能网元,所述会话管理功能网元把所述数据网络认证服务器的消息转发给所述用户设备;
所述用户设备收到传输层安全协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器;
所述数据网络认证服务器收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备;
所述用户设备验证所述数据网络认证服务器的数字证书,如果合法,通过所述会话管理功能网元向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
所述数据网络认证服务器验证所述用户设备的数字证书,如果合法,通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备;
所述用户设备收到认证消息发送结束的消息后,通过所述会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给所述数据网络认证服务器;
所述数据网络认证服务器把EAP-Success消息发给所述会话管理功能网元;
所述会话管理功能网元收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给所述用户设备。
优选地,所述通过认证服务器功能模块对用户设备进行入网认证,包括:
所述用户设备根据全球用户识别卡中的身份认证信息向5G网络中的认证服务器功能模块发起认证请求;
所述认证服务器功能模块对所述用户设备发来的身份认证信息使用入网协议进行身份认证,在认证通过时,所述认证服务器功能模块允许所述用户设备入网。
优选地,所述在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话,包括:
所述用户设备通过向所述接入和移动性管理功能模块发送非接入层消息,建立与所述接入和移动性管理功能模块之间的协议数据单元会话。
优选地,在所述接入和移动性管理功能模块和会话管理功能网元之间建立协议数据单元会话,包括:
所述接入和移动性管理功能模块使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载,选择一个会话管理功能网元发送协议数据单元会话。
优选地,所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器,包括:
所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元将EAP-Response/Client-Hello信息封装成访问请求数据包发给所述数据网络认证服务器。
一种基于EAP-TLS协议的5G二次认证***,包括:用户设备、接入和移动性管理功能模块、会话管理功能模块、用户平面功能模块、认证服务器功能模块和数据网络认证服务器;其中:
所述认证服务器功能模块,用于对所述用户设备进行入网认证;
所述用户设备,用于在认证通过后,与所述接入和移动性管理功能模块之间建立非接入层安全上下文连接;
所述用户设备,还用于与所述接入和移动性管理功能模块之间建立协议数据单元会话;
所述接入和移动性管理功能模块,用于与所述会话管理功能模块之间建立协议数据单元会话;
所述会话管理功能模块,用于从所述统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规;
若所述用户设备未被认证授权过,所述会话管理功能模块,用于触发可扩展的身份认证协议进行身份认证,以从所述数据网络认证服务器获得认证授权;
所述会话管理功能模块,还用于向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
所述用户设备,还用于收到身份请求信息后响应所述会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;
若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,所述会话管理功能模块,用于选择一个用户平面功能模块并与其建立一个协议数据单元会话;
所述会话管理功能模块,还用于通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;
所述数据网络认证服务器,用于通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把所述访问挑战数据包发给所述会话管理功能网元;
所述会话管理功能网元,用于把所述数据网络认证服务器的消息转发给所述用户设备;
所述用户设备,还用于在收到传输层安全协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器;
所述数据网络认证服务器,用于在收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备;
所述用户设备,还用于验证所述数据网络认证服务器的数字证书,如果合法,通过所述会话管理功能网元还用于向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
所述数据网络认证服务器,还用于验证所述用户设备的数字证书,如果合法,通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备;
所述用户设备,还用于在收到认证消息发送结束的消息后,通过所述会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给所述数据网络认证服务器;
所述数据网络认证服务器,还用于把EAP-Success消息发给所述会话管理功能网元;
所述会话管理功能网元,还用于在收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给所述用户设备。
优选地,在通过认证服务器功能模块对用户设备进行入网认证时,所述用户设备,用于根据全球用户识别卡中的身份认证信息向所述认证服务器功能模块发起认证请求;
所述认证服务器功能模块,用于对所述用户设备发来的身份认证信息使用入网协议进行身份认证,在认证通过时,所述认证服务器功能模块允许所述用户设备入网。
优选地,在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话时,所述用户设备,用于通过向所述接入和移动性管理功能模块发送非接入层消息,建立与所述接入和移动性管理功能模块之间的协议数据单元会话。
优选地,在所述接入和移动性管理功能模块和会话管理功能网元之间建立协议数据单元会话时,所述接入和移动性管理功能模块,用于使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载,选择一个会话管理功能网元发送协议数据单元会话。
优选地,在所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器时,所述用户设备,用于在收到TLS协议开始的消息后,通过所述会话管理功能网元将EAP-Response/Client-Hello信息封装成访问请求数据包发给所述数据网络认证服务器。
综上所述,本发明公开了一种基于EAP-TLS协议的5G二次认证方法,首先通过认证服务器功能模块对用户设备进行入网认证;然后在认证通过后,用户设备与接入和移动性管理功能模块之间建立非接入层安全上下文连接;在用户设备和接入和移动性管理功能模块之间建立协议数据单元会话;在接入和移动性管理功能模块和会话管理功能模块之间建立协议数据单元会话;会话管理功能模块从统一数据管理模块获取订阅信息并验证用户设备的请求是否合规;若用户设备未被认证授权过,会话管理功能模块触发可扩展的身份认证协议进行身份认证,以从数据网络认证服务器获得认证授权;会话管理功能模块向用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;用户设备收到身份请求信息后响应会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;若会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,会话管理功能模块选择一个用户平面功能模块并与其建立一个协议数据单元会话;会话管理功能模块通过用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;数据网络认证服务器通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,数据网络认证服务器把可扩展的身份认证协议请求用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把访问挑战数据包发给所述会话管理功能网元,会话管理功能网元把数据网络认证服务器的消息转发给用户设备;用户设备收到传输层安全协议开始的消息后,通过会话管理功能网元发送EAP-Response/Client-Hello消息给数据网络认证服务器;数据网络认证服务器收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给用户设备;用户设备验证数据网络认证服务器的数字证书,如果合法,通过会话管理功能网元向数据网络认证服务器发送用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;数据网络认证服务器验证用户设备的数字证书,如果合法,通过会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给用户设备;用户设备收到认证消息发送结束的消息后,通过会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给数据网络认证服务器;数据网络认证服务器把EAP-Success消息发给会话管理功能网元;会话管理功能网元收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给所述用户设备。本发明通过在用户设备和数据网络认证服务器之间通过数字证书验证彼此的身份,实现了5G业务终端和数据网络的双向二次认证,进一步提高了5G业务的安全性和可用性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种EAP架构的结构示意图;
图2为本发明公开的一种5G网络架构示意图;
图3为本发明公开的一种基于EAP-TLS协议的5G二次认证方法的流程图;
图4为本发明公开的一种基于EAP-TLS协议的5G二次认证***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了满足统一的认证需求,5G引入EAP架构,EAP架构存在三个认证实体,分别是EAPClient(EAP客户端)、EAPAuthenticator(EAP认证方)和EAPServer(EAP服务器),其结构如图1所示。EAP-TLS协议是EAP架构中的一种认证协议,是基于TLS协议的双向认证协议,PKI(Public KeyInfrastructure,公钥基础设施)证书体系是EAP-TLS的安全基础。图2为5G网络架构。在5G二次认证架构中,UE对应EAP Client(EAP客户端),SMF网元对应EAPAuthenticator(EAP认证方),DN-AS(DataNetwork-AuthenticationServer,数据网络认证服务器)作为EAPServer。简要EAP架构中的EAP-TLS协议认证流程为:首先EAPServer将数字证书提供给EAP Client;EAP Client在验证EAP Server的数字证书后,提交自己的数字证书给EAP Server,EAPServer认证成功后用户可以访问数据网络。同时在每次相互认证完成都会产生新的会话密钥,保证用户数据在传输过程中的安全。EAP Authenticator的作用是发起认证和对EAPClient和EAPServer的数据进行封装和解封。
5G二次认证流程与EAP架构中的EAP-TLS协议认证流程相似,5G网络中的UE、SMF和DN-AS分别对应EAP架构中的EAPClient、EAPAuthenticator和EAPServer,即5G中的UE(Userequipment,用户设备)对应EAP架构中的EAP Client;5G中的SMF(Session ManagementFunction,会话管理功能)对应EAP架构中的EAPAuthenticator;5G中的DN-AS对应EAP架构中的EAPServer。5G二次认证流程如图2所示。
在上述的基础上,本发明提供了一种基于EAP-TLS协议的5G二次认证方法,如图3所示,可以包括以下步骤:
步骤1:通过认证服务器功能模块对用户设备进行入网认证;
UE根据USIM(Universal Subscriber Identity Module,全球用户识别卡)中的身份认证信息向5G网络中的AUSF(Authentication Server Function,认证服务器功能模块)发起认证请求,AUSF对UE发来的身份认证信息使用入网协议进行身份认证,如果认证通过,则AUSF允许用户入网,否则,拒绝UE接入移动网络。
步骤2:在认证通过后,所述用户设备与接入和移动性管理功能模块之间建立非接入层安全上下文连接;
认证通过后,UE与接入和AMF(Access and Mobility Management Function,移动性管理功能模块)之间建立NAS(Non Access Stratum,非接入层)安全上下文连接。
步骤3:在用户设备和接入和移动性管理功能模块之间建立协议数据单元会话;
UE发送一条NAS消息发起新的PDU(Protocol Data Unit,协议数据单元)会话建立。
步骤4:在接入和移动性管理功能模块和会话管理功能模块之间建立协议数据单元会话;
AMF使用N1SM容器(UE与AMF之间的会话管理容器;SM:Session Management会话管理)作为其有效承载,选择一个SMF,发送PUD会话建立请求消息,之后AMF和SMF之间建立PDU连接。SMF持续执行PDU会话建立请求程序,等待新的PDU建立请求。
步骤5:会话管理功能模块从统一数据管理模块获取订阅信息并验证用户设备的请求是否合规;
SMF根据SUPI(Subscription Permanent Identifier,用户永久标识符)从UDM(Unified Data Management,统一数据管理模块)获取用户的订阅数据,并根据用户订阅和5G网络中的本地策略,SMF检查用户的订阅数据是否需要二次身份验证和是否允许UE请求二次认证。如果不允许,SMF将通过NAS消息拒绝UE的请求,并跳过后面的其余步骤。如果需要进行二次身份验证,SMF还检查UE是否已被所请求的UDM的认证服务器所授权。如果之前被授权过,SMF可跳过之后的二次认证过程。UE和SMF之间成功的身份验证和授权信息保存在SMF和UDM中。
步骤6:若用户设备未被认证授权过,所述会话管理功能模块触发可扩展的身份认证协议进行身份认证,以从数据网络认证服务器获得认证授权;
如果UE未被认证授权过,SMF应该触发EAP进行身份认证,以从DN-AS(DataNetwork-AuthenticationServer,数据网络认证服务器)获得认证授权。
步骤7:会话管理功能模块向用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
SMF应向UE发送EAP数据包请求用户身份信息,来开始获取用户的认证信息。
步骤8:所述用户设备收到身份请求信息后响应所述会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;
UE收到身份请求信息后响应SMF请求,把用户身份消息发送给SMF。
步骤9:若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,所述会话管理功能模块选择一个用户平面功能模块并与其建立一个协议数据单元会话;
如果SMF和UPF(User Plane Function,用户平面功能)之间没有建立PDU会话连接,SMF选择一个UPF并与它建立一个PDU会话。
步骤10:所述会话管理功能模块通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;
SMF通过UPF将包含用户身份信息的EAP数据包转发给DN-AS。
步骤11:所述数据网络认证服务器通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把所述访问挑战数据包发给所述会话管理功能网元,所述会话管理功能网元把所述数据网络认证服务器的消息转发给所述用户设备;
DN-AS通过用户身份信息检索DN-AS的数据库,获知TLS认证方法。DN-AS把EAP请求UE开始TLS协议的信息封装成访问挑战数据包,并把数据包发给SMF。SMF把DN-AS的消息转发给UE。
步骤12:用户设备收到传输层安全协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器;
UE收到TLS协议开始的消息后,通过SMF发送EAP-Response/Client-Hello消息给数据网络认证服务器。Client-Hello这个消息里面包含UE可用的算法列表、UE生成的随机数和其它一些需要的信息。SMF将EAP-Response/Client-Hello信息封装成访问请求数据包发给DN-AS。
步骤13:所述数据网络认证服务器收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备;
DN-AS收到EAP-Response/Client-Hello消息后,确定TLS认证已建立,之后封装包含多个TLS记录的EAP-Response消息的访问挑战数据包经过SMF发送给UE。TLS记录包含认证服务器的数字证书Server-Cert、UE的数字证书请求Client Certificate-Request、Sever-Hello和Server Key-Exchange消息用于用交换密钥。Server Hello确定所需加密算法和认证服务器生成的随机数ServerRandom Value值。
步骤14:用户设备验证所述数据网络认证服务器的数字证书,如果合法,通过所述会话管理功能网元向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
UE验证数据网络认证服务器的数字证书Server-Cert,如果合法,通过SMF向认证服务器发送Client-Cert、Client Key-Exchange、Change Cipher-spec和Finished消息。Client-Cert为UE的数字证书、Client Key-Exchange为使用认证服务器的公钥加密的定长随机串,也叫Pre Master Secret,Change Cipher-spec为UE能够支持的加密类型。Finished表示认证消息发送结束。
步骤15:数据网络认证服务器验证所述用户设备的数字证书,如果合法,通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备;
DN-AS验证UE的证书Client-Cert,如果合法,通过SMF把Change Cipher-spec和Finished消息发送给UE,Change Cipher-spec包含DN-AS指定使用的加密类型。
步骤16:所述用户设备收到认证消息发送结束的消息后,通过所述会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给所述数据网络认证服务器;
UE收到Finished消息后,通过SMF把EAP-Response/TLS-ACK和Finished消息发给DN-AS。ACK(Acknowledge character,确认字符)。DN-AS和UE都推导出主密钥MK(MasterKey)。
步骤17:所述数据网络认证服务器把EAP-Success消息发给所述会话管理功能网元;
DN-AS把EAP-Success消息发给SMF,表明用户身份认证成功。
步骤18:所述会话管理功能网元收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success结果发送给所述用户设备。
SMF收到EAP-Success消息后,结束二次认证流程,并持续执行PDU会话建立请求程序,等待新的PDU建立请求。SMF把EAP-Success结果发送给UE,表明彼此身份认证成功,之后UE建立新的PDU会话。
综上所述,本发明通过在用户设备和数据网络认证服务器之间通过数字证书验证彼此的身份,实现了5G业务终端和数据网络的双向二次认证,进一步提高了5G业务的安全性和可用性。
如图4所示,为本发明提供了一种基于EAP-TLS协议的5G二次认证***,所述***可以包括:用户设备(UE)、接入和移动性管理功能模块(AMF)、会话管理功能模块(SMF)、用户平面功能模块(UPF)、认证服务器功能模块(AUSF)和数据网络认证服务器(DN-AS);其中:
认证服务器功能模块,用于对用户设备进行入网认证;
用户设备,用于在认证通过后,与接入和移动性管理功能模块之间建立非接入层安全上下文连接;
用户设备,还用于与接入和移动性管理功能模块之间建立协议数据单元会话;
接入和移动性管理功能模块,用于与会话管理功能模块之间建立协议数据单元会话;
会话管理功能模块,用于从统一数据管理模块获取订阅信息并验证用户设备的请求是否合规;
若用户设备未被认证授权过,会话管理功能模块,用于触发可扩展的身份认证协议进行身份认证,以从数据网络认证服务器获得认证授权;
会话管理功能模块,还用于向用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
用户设备,还用于收到身份请求信息后响应会话管理功能模块请求,将用户身份消息发送给会话管理功能模块;
若会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,会话管理功能模块,用于选择一个用户平面功能模块并与其建立一个协议数据单元会话;
会话管理功能模块,还用于通过用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给数据网络认证服务器;
数据网络认证服务器,用于通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,数据网络认证服务器把可扩展的身份认证协议请求用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把访问挑战数据包发给会话管理功能网元;
会话管理功能网元,用于把数据网络认证服务器的消息转发给用户设备;
用户设备,还用于在收到传输层安全协议开始的消息后,通过会话管理功能网元发送EAP-Response/Client-Hello消息给数据网络认证服务器;
数据网络认证服务器,用于在收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给用户设备;
用户设备,还用于验证数据网络认证服务器的数字证书,如果合法,通过会话管理功能网元还用于向数据网络认证服务器发送用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
数据网络认证服务器,还用于验证用户设备的数字证书,如果合法,通过会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给用户设备;
用户设备,还用于在收到认证消息发送结束的消息后,通过会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给数据网络认证服务器;
数据网络认证服务器,还用于把EAP-Success消息发给会话管理功能网元;
会话管理功能网元,还用于在收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给用户设备。
综上所述,本实施例公开的基于EAP-TLS协议的5G二次认证***的工作原理与上述基于EAP-TLS协议的5G二次认证方法的工作原理相同,在此不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种基于EAP-TLS协议的5G二次认证方法,其特征在于,包括:
通过认证服务器功能模块对用户设备进行入网认证;
在认证通过后,所述用户设备与接入和移动性管理功能模块之间建立非接入层安全上下文连接;
在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话;
在所述接入和移动性管理功能模块和会话管理功能模块之间建立协议数据单元会话;
所述会话管理功能模块从统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规;
若所述用户设备未被认证授权过,所述会话管理功能模块触发可扩展的身份认证协议进行身份认证,以从数据网络认证服务器获得认证授权;
所述会话管理功能模块向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
所述用户设备收到身份请求信息后响应所述会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;
若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,所述会话管理功能模块选择一个用户平面功能模块并与其建立一个协议数据单元会话;
所述会话管理功能模块通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;
所述数据网络认证服务器通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把所述访问挑战数据包发给所述会话管理功能网元,所述会话管理功能网元把所述数据网络认证服务器的消息转发给所述用户设备;
所述用户设备收到传输层安全协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器;
所述数据网络认证服务器收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备;
所述用户设备验证所述数据网络认证服务器的数字证书,如果合法,通过所述会话管理功能网元向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
所述数据网络认证服务器验证所述用户设备的数字证书,如果合法,通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备;
所述用户设备收到认证消息发送结束的消息后,通过所述会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给所述数据网络认证服务器;
所述数据网络认证服务器把EAP-Success消息发给所述会话管理功能网元;
所述会话管理功能网元收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给所述用户设备。
2.根据权利要求1所述的方法,其特征在于,所述通过认证服务器功能模块对用户设备进行入网认证,包括:
所述用户设备根据全球用户识别卡中的身份认证信息向5G网络中的认证服务器功能模块发起认证请求;
所述认证服务器功能模块对所述用户设备发来的身份认证信息使用入网协议进行身份认证,在认证通过时,所述认证服务器功能模块允许所述用户设备入网。
3.根据权利要求1所述的方法,其特征在于,所述在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话,包括:
所述用户设备通过向所述接入和移动性管理功能模块发送非接入层消息,建立与所述接入和移动性管理功能模块之间的协议数据单元会话。
4.根据权利要求1所述的方法,其特征在于,在所述接入和移动性管理功能模块和会话管理功能网元之间建立协议数据单元会话,包括:
所述接入和移动性管理功能模块使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载,选择一个会话管理功能网元发送协议数据单元会话。
5.根据权利要求1所述的方法,其特征在于,所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器,包括:
所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元将EAP-Response/Client-Hello信息封装成访问请求数据包发给所述数据网络认证服务器。
6.一种基于EAP-TLS协议的5G二次认证***,其特征在于,包括:用户设备、接入和移动性管理功能模块、会话管理功能模块、用户平面功能模块、认证服务器功能模块和数据网络认证服务器;其中:
所述认证服务器功能模块,用于对所述用户设备进行入网认证;
所述用户设备,用于在认证通过后,与所述接入和移动性管理功能模块之间建立非接入层安全上下文连接;
所述用户设备,还用于与所述接入和移动性管理功能模块之间建立协议数据单元会话;
所述接入和移动性管理功能模块,用于与所述会话管理功能模块之间建立协议数据单元会话;
所述会话管理功能模块,用于从所述统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规;
若所述用户设备未被认证授权过,所述会话管理功能模块,用于触发可扩展的身份认证协议进行身份认证,以从所述数据网络认证服务器获得认证授权;
所述会话管理功能模块,还用于向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息,以开始获取用户的认证信息;
所述用户设备,还用于收到身份请求信息后响应所述会话管理功能模块请求,将用户身份消息发送给所述会话管理功能模块;
若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接,所述会话管理功能模块,用于选择一个用户平面功能模块并与其建立一个协议数据单元会话;
所述会话管理功能模块,还用于通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器;
所述数据网络认证服务器,用于通过用户身份信息检索数据网络认证服务器的数据库,获知传输层安全协议认证方法,所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包,并把所述访问挑战数据包发给所述会话管理功能网元;
所述会话管理功能网元,用于把所述数据网络认证服务器的消息转发给所述用户设备;
所述用户设备,还用于在收到传输层安全协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器;
所述数据网络认证服务器,用于在收到EAP-Response/Client-Hello消息后,确定传输层安全协议已建立,之后封装包含多个传输层安全记录的EAP-Response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备;
所述用户设备,还用于验证所述数据网络认证服务器的数字证书,如果合法,通过所述会话管理功能网元还用于向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息;
所述数据网络认证服务器,还用于验证所述用户设备的数字证书,如果合法,通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备;
所述用户设备,还用于在收到认证消息发送结束的消息后,通过所述会话管理功能网元把EAP-Response/TLS-ACK和认证消息发送结束的消息发给所述数据网络认证服务器;
所述数据网络认证服务器,还用于把EAP-Success消息发给所述会话管理功能网元;
所述会话管理功能网元,还用于在收到EAP-Success消息后,结束二次认证流程,并持续执行协议数据单元会话建立请求程序,等待新的协议数据单元建立请求,并把EAP-Success发送给所述用户设备。
7.根据权利要求6所述的***,其特征在于,在通过认证服务器功能模块对用户设备进行入网认证时,所述用户设备,用于根据全球用户识别卡中的身份认证信息向所述认证服务器功能模块发起认证请求;
所述认证服务器功能模块,用于对所述用户设备发来的身份认证信息使用入网协议进行身份认证,在认证通过时,所述认证服务器功能模块允许所述用户设备入网。
8.根据权利要求6所述的***,其特征在于,在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话时,所述用户设备,用于通过向所述接入和移动性管理功能模块发送非接入层消息,建立与所述接入和移动性管理功能模块之间的协议数据单元会话。
9.根据权利要求6所述的***,其特征在于,在所述接入和移动性管理功能模块和会话管理功能网元之间建立协议数据单元会话时,所述接入和移动性管理功能模块,用于使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载,选择一个会话管理功能网元发送协议数据单元会话。
10.根据权利要求6所述的***,其特征在于,在所述用户设备收到TLS协议开始的消息后,通过所述会话管理功能网元发送EAP-Response/Client-Hello消息给所述数据网络认证服务器时,所述用户设备,用于在收到TLS协议开始的消息后,通过所述会话管理功能网元将EAP-Response/Client-Hello信息封装成访问请求数据包发给所述数据网络认证服务器。
CN202110790525.XA 2021-07-13 2021-07-13 一种基于eap-tls协议的5g二次认证方法及*** Pending CN113507705A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110790525.XA CN113507705A (zh) 2021-07-13 2021-07-13 一种基于eap-tls协议的5g二次认证方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110790525.XA CN113507705A (zh) 2021-07-13 2021-07-13 一种基于eap-tls协议的5g二次认证方法及***

Publications (1)

Publication Number Publication Date
CN113507705A true CN113507705A (zh) 2021-10-15

Family

ID=78012573

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110790525.XA Pending CN113507705A (zh) 2021-07-13 2021-07-13 一种基于eap-tls协议的5g二次认证方法及***

Country Status (1)

Country Link
CN (1) CN113507705A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124355A (zh) * 2021-11-19 2022-03-01 西安热工研究院有限公司 一种基于可扩展认证协议的密钥认证方法
CN115460606A (zh) * 2022-11-10 2022-12-09 之江实验室 一种基于5g核心网控制面安全性增强的方法及装置
WO2023202337A1 (zh) * 2022-04-21 2023-10-26 华为技术有限公司 通信方法和装置
CN118250694A (zh) * 2024-05-28 2024-06-25 中国铁道科学研究院集团有限公司通信信号研究所 一种5g-r终端的身份认证和访问控制***及方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180317086A1 (en) * 2017-01-27 2018-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secondary Authentication of a User Equipment
CN110996322A (zh) * 2019-11-28 2020-04-10 楚天龙股份有限公司 一种实现终端二次认证的方法
CN111669750A (zh) * 2019-03-07 2020-09-15 华为技术有限公司 一种pdu会话二次验证的方法及装置
CN112040481A (zh) * 2020-08-19 2020-12-04 广东电网有限责任公司广州供电局 一种基于5g通信网关的二次认证方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180317086A1 (en) * 2017-01-27 2018-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secondary Authentication of a User Equipment
CN111669750A (zh) * 2019-03-07 2020-09-15 华为技术有限公司 一种pdu会话二次验证的方法及装置
CN110996322A (zh) * 2019-11-28 2020-04-10 楚天龙股份有限公司 一种实现终端二次认证的方法
CN112040481A (zh) * 2020-08-19 2020-12-04 广东电网有限责任公司广州供电局 一种基于5g通信网关的二次认证方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
QIANFANG HAO: "5G Secondary Authentication based on EAP-TLS Protocol", 《CTMCD》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124355A (zh) * 2021-11-19 2022-03-01 西安热工研究院有限公司 一种基于可扩展认证协议的密钥认证方法
CN114124355B (zh) * 2021-11-19 2024-01-23 西安热工研究院有限公司 一种基于可扩展认证协议的密钥认证方法
WO2023202337A1 (zh) * 2022-04-21 2023-10-26 华为技术有限公司 通信方法和装置
CN115460606A (zh) * 2022-11-10 2022-12-09 之江实验室 一种基于5g核心网控制面安全性增强的方法及装置
CN115460606B (zh) * 2022-11-10 2023-03-24 之江实验室 一种基于5g核心网控制面安全性增强的方法及装置
CN118250694A (zh) * 2024-05-28 2024-06-25 中国铁道科学研究院集团有限公司通信信号研究所 一种5g-r终端的身份认证和访问控制***及方法

Similar Documents

Publication Publication Date Title
EP2445143B1 (en) Method and system for accessing a 3rd generation network
US11825303B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
US8468353B2 (en) Method, system and authentication centre for authenticating in end-to-end communications based on a mobile network
JP6732095B2 (ja) 異種ネットワークのための統一認証
CN113507705A (zh) 一种基于eap-tls协议的5g二次认证方法及***
KR100704675B1 (ko) 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
CN101156352B (zh) 基于移动网络端到端通信的认证方法、***及认证中心
AU2020200523B2 (en) Methods and arrangements for authenticating a communication device
CN112105021B (zh) 一种认证方法、装置及***
US20100161958A1 (en) Device for Realizing Security Function in Mac of Portable Internet System and Authentication Method Using the Device
CN104982053B (zh) 用于获得认证无线设备的永久身份的方法和网络节点
CN104683343B (zh) 一种终端快速登录WiFi热点的方法
WO2007104248A1 (en) Method, system, apparatus and bsf entity for preventing bsf entity from attack
WO2008011826A1 (fr) Procédé et dispositif permettant d'exécuter plusieurs authentifications au cours d'un processus epa
CN213938340U (zh) 5g应用接入认证网络架构
WO2014117524A1 (zh) Wlan接入网络中传递成对主密钥的方法和***
WO2019196794A1 (zh) 认证方法、设备和计算机可读存储介质
WO2004102883A1 (fr) Procede d'authentification de l'utilisateur
WO2011017851A1 (zh) 客户端安全访问消息存储服务器的方法和相关设备
JP6205391B2 (ja) アクセスポイント、サーバ、通信システム、無線通信方法、接続制御方法、無線通信プログラム及び接続制御プログラム
CN116347445A (zh) 一种基于非3gpp网元安全协议通道建立方法、传输方法和***
CN115190450A (zh) 基于v2x证书建立tls通道的车联网通信方法和***
WO2013064040A1 (zh) 一种ims单点登录的组合鉴权方法及***
CN117714125A (zh) 基于用户安全等级的ssl vpn终端认证方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20211015