一种实现终端二次认证的方法与流程
本发明实施例涉及通信安全技术领域,尤其涉及一种实现终端二次认证的方法。
背景技术:
5g技术是新一代信息通信技术的发展方向,不仅具有更强的性能,而且也具备更加丰富的应用场景,从传统的人与人通信延伸覆盖到人与物、物与物之间的智能互联,是未来经济社会数字化转型的关键基础设施。
在主认证基础上,5g技术面向行业可提供网络切片,允许行业部署专用的aaa(authenticationauthorizationaccounting,验证、授权和记账)服务器,进行二次认证,以便完成行业专用的接入认证。其中,主认证是指终端(包括但不限于手机、平板电脑、物联网终端设备等)接入归属网络(此时指5g网络)的鉴别认证,而二次认证则是指终端与aaa服务器之间端到端的认证。即,当用户完成5g网络的接入认证后,可以进一步与行业应用所在的网络切片或aaa服务器进行二次认证,以此确保能够防止攻击者在网络层窃取用户隐私。
目前,5g技术采用统一的eap认证框架,eap认证框架具备良好的扩展性,能够支持既有的外部数据网络,即支持各种已经存在的认证方式和认证基础设施,如物联网、交通专网、政企专网等。然而由于3gpp协议只提供了可选的端到端的二次认证eap通道,而关于如何实现通过该二次认证eap通道进行二次认证这一部分,现有技术并没有给出,因此行业用户不知如何去部署符合自身应用场景的带宽、时延、连接数等要求的aaa服务器。
技术实现要素:
本发明提供一种实现终端二次认证的方法,以解决现有技术的不足。
为实现上述目的,本发明提供以下的技术方案:
一种实现终端二次认证的方法,所述方法包括:
在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求,所述二次认证请求用于触发所述aaa服务器确定与所述终端对应的二次认证数据,并将所述二次认证数据以报文的形式下发给所述终端;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为高安全等级embb场景的终端,包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为普通安全等级embb场景的终端,包括依次连接的算法模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,采用eap-tls协议,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行非对称算法签名、验签以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为高安全等级emtc场景的终端,包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的对称算法认证以及行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为普通安全等级emtc场景的终端,包括依次连接的算法模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的对称算法认证以及常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为高安全等级urllc场景的终端,包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的对称算法认证以及高速率的行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为高安全等级urllc场景的终端,包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的非对称算法签名、验签以及高速率的行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为普通安全等级urllc场景的终端,包括依次连接的算法模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的对称算法认证以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,所述终端为普通安全等级urllc场景的终端,包括依次连接的算法模块、二次认证模块以及二次认证触发模块;
则,所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,采用轻量级的eap-tls协议,向所述aaa服务器发起二次认证请求;
所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果的步骤包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的非对称算法签名、验签以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步地,所述实现终端二次认证的方法中,在所述在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求的步骤之前,还包括:
在接收到用户界面信息、ota信息或者特定的事件后,终端检查主认证是否已通过。
本发明实施例提供的一种实现终端二次认证的方法,能够为不同应用场景下需要二次认证的终端提供定制化的二次认证服务,指导行业用户部署符合自身应用场景的带宽、时延、连接数等要求的aaa服务器,达到防止攻击者在网络层窃取用户隐私的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1是本发明实施例提供的一种实现终端二次认证的方法的流程示意图;
图2是本发明实施例提供的高安全等级embb场景的终端的结构示意图;
图3是本发明实施例提供的普通安全等级embb场景的终端的结构示意图;
图4是本发明实施例提供的高安全等级emtc场景的终端的结构示意图;
图5是本发明实施例提供的普通安全等级emtc场景的终端的结构示意图;
图6是本发明实施例提供的高安全等级urllc场景的终端的结构示意图;
图7是本发明实施例提供的普通安全等级urllc场景的终端的结构示意图;
图8是本发明实施例提供的终端进行二次认证的流程示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
请参考图1,本发明实施例提供一种实现终端二次认证的方法,该方法具体包括如下步骤:
s101、在检查主认证已通过后,终端通过5g网络的eap通道向aaa服务器发起二次认证请求,所述二次认证请求用于触发所述aaa服务器确定与所述终端对应的二次认证数据,并将所述二次认证数据以报文的形式下发给所述终端;
需要说明的是,在对称算法认证时,所述aaa服务器与所述终端之间只需要来回交互一次便可确定与所述终端对应的二次认证数据,而在非对称算法认证时,所述aaa服务器与所述终端之间则需要来回交互多次直至达成握手协议才可确定与所述终端对应的二次认证数据。
此外,在对称算法认证时,所述二次认证数据包括随机数rand和鉴权令牌autn,而在非对称算法认证时,所述二次认证数据包括随机数rand、信息摘要mac及其他tls握手协议数据。
优选的,在所述步骤s101之前,还包括:
在接收到用户界面信息、ota信息或者特定的事件后,终端检查主认证是否已通过;若已通过,则往下执行步骤s101。
s102、所述终端根据所处的应用场景,使用所述二次认证数据进行鉴权,并生成应答返回给所述aaa服务器,以确定所述终端的二次认证结果。
需要说明的是,5g网络下所述终端所处的应用场景包括embb场景(移动宽带增强通信)、emtc场景(物联网通信)和urllc场景(超可靠低时延通信)这三大应用场景;其中,embb场景又进一步包括高安全等级embb场景和普通安全等级embb场景,emtc场景又进一步包括高安全等级emtc场景和普通安全等级emtc场景,urllc场景又进一步包括高安全等级urllc场景和普通安全等级urllc场景。本实施例接下来将针对不同场景下的终端是如何进行二次认证的进行详细的介绍。
(一)、当所述终端为高安全等级embb场景的终端,则所述终端包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块(如图2所示);其中,
所述usim/se,存储二次认证所需凭证、密钥及相关配置参数,进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算;
所述通信接口模块,可以为iso7816接口、usb-ic接口、spi接口、i2c接口或者sd接口等,连接所述二次认证模块与所述usim/se模块;
所述二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,并在主认证通过的情况下触发所述二次认证模块进行二次认证。
所述二次认证模块,终端侧进行二次认证协议的解析与封装,经所述通信接口模块调用usim/se,以使所述usim/se进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,所述usim/se中预置dn-aaa公钥证书或者通过ota下载了dn-aaa公钥证书,所述usim/se含有行业专用高安全算法协处理器。高安全等级embb场景下终端的二次验证的完整流程如下,可参考图8:
1)终端向5g网络发起注册申请(registerrequest);
2)终端与5g网络之间采用eap-aka协议或者5g-aka协议进行主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,进行当前主认证是否已通过的检查,如已通过,则触发二次认证模块借助eap通道,向aaa服务器发起二次认证请求;
4)二次认证模块接收aaa服务器的报文,解析报文,经通信接口模块向usim/se进行指令交互(比如,select指令、generateasymmetrickeypair指令、comp1933496utedigitalsignature指令、verifydigitalsignature指令、verifycertificate指令、encipher指令、decipher指令等),完成高强度非对称算法签名、验签,并完成传输数据的高速率的行业专业算法加解密运算、mac运算等;
5)二次认证模块将usim/se运算结果进行协议报文的封装,经5g网络eap通道发送应答给aaa服务器,完成终端与aaa服务器之间端到端的双向认证。
(二)、当所述终端为普通安全等级embb场景的终端,则所述终端包括依次连接的算法模块、二次认证模块以及二次认证触发模块(如图3所示);其中,
所述二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,并在主认证通过的情况下触发所述二次认证模块进行二次认证;
所述二次认证模块,终端侧进行二次认证协议的解析与封装,经终端软件api调用所述算法模块,以使所述算法模块进行非对称算法签名、验签以及高速率的常用行业算法加解密运算。
所述算法模块,以终端软件的方式实现,存储二次认证所需凭证、密钥及相关配置参数,进行非对称算法签名、验签及高速率的常用行业算法加解密运算,可以依据具体行业的要求采用代码混淆、加固、tee等多种软件防护方法,减少信息的泄漏,增加代码被解析的难度。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,采用eap-tls协议,向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行非对称算法签名、验签以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,终端的算法模块中预置dn-aaa公钥证书或者通过ota下载了dn-aaa公钥证书,常用的行业算法以终端软件的形式存在;普通安全等级embb场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与5g网络之间采用eap-aka协议或者5g-aka协议进行主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,进行当前主认证是否已通过的检查,如已通过,则触发二次认证模块借助eap通道,采用eap-tls协议,向aaa服务器发起二次认证请求;
4)二次认证模块接收aaa服务器的报文,解析报文,经软件api调用算法模块完成非对称算法签名、验签,并对传输数据进行高速率的常用行业算法加解密运算、mac运算,封装协议报文经5g网络eap通道发送应答给aaa服务器,完成终端与aaa服务器之间端到端的双向认证。
(三)、当所述终端为高安全等级emtc场景的终端,则所述终端包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块(如图4所示);其中,
所述usim/se,存储二次认证所需凭证、密钥及相关配置参数,进行轻量级的对称算法认证,及敏感数据的行业专用算法加解密运算;
所述通信接口模块,可以为iso7816接口、usb-ic接口、spi接口、i2c接口或者sd接口等,连接所述二次认证模块与所述usim/se;
所述二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,并在主认证通过的情况下触发所述二次认证模块进行二次认证;
所述二次认证模块,终端侧进行轻量级二次认证协议的解析与封装,经通信接口模块调用所述usim/se,以使得所述usim/se进行轻量级的对称算法认证,以及敏感数据的行业专用算法加解密运算。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的对称算法认证以及行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,usim/se中预置dn-aaa行业专用算法密钥k,usim/se含有行业专用高安全算法协处理器;高安全等级emtc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与5g网络之间采用eap-aka协议或者5g-aka协议完成主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,检查当前主认证是否已通过,如已通过,则触发二次认证模块借助eap通道,向aaa服务器发起二次认证请求,aaa服务器产生二次认证数据经5g网络发送给终端;
4)二次认证模块接收aaa服务器的报文,解析报文,将得到的rand+autn*,经与usim/se的通信接口模块以select指令(在另一逻辑通道上选择行业应用)、authenticate指令发送给usim/se,其中authenticate指令中p2参数定义为0b1001000,表示secondaryauthenticationsecuritycontex;
5)usim/se调用内置的行业专用算法协处理器进行f1~f5函数运算,验证auth*中包含的dn-aaa身份信息是合法的,并生成res,以应答的方式返回给二次认证模块。
6)二次认证模块,将res进行协议报文封装,经5g网络eap通道将应答返回给aaa服务器,aaa服务器通过验证res是否与预期响应xres一致来确定用户是否合法,从而完成完成终端与aaa服务器之间端到端的双向认证。同时终端将res中包含ck、ik作为后续加密报文密钥和完整性校验密钥。
(四)、当所述终端为普通安全等级emtc场景的终端,包括依次连接的算法模块、二次认证模块以及二次认证触发模块(如图5所示);其中,
二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,并在主认证通过的情况下触发所述二次认证模块进行二次认证;
二次认证模块,终端侧进行轻量级二次认证协议的解析与封装,经终端软件api调用算法模块完成轻量级对称算法认证,及敏感数据的常用行业算法加解密运算;
算法模块,以终端软件的方式实现,存储二次认证所需凭证、密钥及相关配置参数,进行轻量级对称算法单/双向认证及敏感数据加解密运算,可以依据具体行业的要求采用代码混淆、加固、tee等多种软件防护方法,减少信息的泄漏,增加代码被解析的难度。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的对称算法认证以及常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,终端的算法模块中预置dn-aaa分组密钥算法k,常用的行业算法以终端软件的形式存在;普通安全等级emtc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与网络侧采用eap-aka或者5g-aka完成主认证。
3)终端中的二次认证触发模块,接收到用户界面信息、ota信息或者特定的事件触发后,检查当前主认证是否已通过,如已通过,则二次认证模块借助eap通道,向aaa服务器发起二次认证请求;aaa服务器产生二次认证数据经5g网络发送给终端;
4)二次认证模块接收aaa服务器的报文,解析报文,将得到的rand+autn*,调用算法模块进行f1~f5函数运算,验证auth*中包含的dn-aaa身份信息是合法的,并生成res,进行协议报文的封装后,以应答的方式,经5g网络eap通道返回给aaa服务器,完成终端与aaa服务器之间端到端的双向认证。同时终端将res中包含ck、ik作为后续加密报文密钥和完整性校验密钥。
(五)、当所述终端为高安全等级urllc场景的终端,则所述终端包括依次连接的usim/se、通信接口模块、二次认证模块以及二次认证触发模块(如图6所示);其中,
所述usim/se,存储二次认证所需凭证、密钥及相关配置参数,进行专用行业对称算法双向认证或者专用行业高速非对称算法的签名、验签,及并对敏感数据采用高速率行业专用算法进行加解密运算;
所述通信接口模块,可以为iso7816接口、usb-ic接口、spi接口、i2c接口或者sd接口等,连接二次认证模块与所述usim/se;
所述二次认证模块,终端侧进行轻量级二次认证协议的解析与封装,经通信接口模块调用usim/se,以使得所述usim/se完成专用行业对称算法双向认证或者专用行业高速非对称算法的签名、验签,以及敏感数据的高速率的行业专用算法加解密运算;
所述二次认证触发模块,接收用户界面信息、ota信息或者特定的事件,并在主认证通过的情况下触发二次认证。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的对称算法认证以及高速率的行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
或者,所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经所述通信接口模块调用所述usim/se;
所述usim/se进行轻量级的非对称算法签名、验签以及高速率的行业专用算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,高安全等级urllc场景下终端的二次验证流程分两类,一类是采用对称算法双向认证,另一类是采用非对称算法双向认证。
当采用对称算法双向认证时,usim/se中预置dn-aaa行业算法密钥k;usim/se含有行业专用高安全算法协处理器。为进一步降低时延,行业应用在usim/se个人化时,已将该行业应用配置为指定逻辑通道(如逻辑通道2)上的缺省选择应用,通信接口配置为高速率。则高安全等级urllc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与5g网络之间采用eap-aka或者5g-aka完成主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,检查当前主认证是否已通过,如已通过,则触发二次认证模块借助eap通道,向aaa服务器发起二次认证请求,aaa服务器产生二次认证数据经5g网络发送给终端;
4)二次认证模块接收aaa服务器的报文,解析报文,将得到的rand+autn*,经与usim/se的通信接口模块在指定辑通道(如逻辑通道2)上将authenticate指令发送给usim/se,其中authenticate指令中p2参数定义为0b1001000,表示secondaryauthenticationsecuritycontex。由于已事先配置了指定辑通道(如逻辑通道2)上的行业应用为缺省选择应用,节省了select指令的交互,进一步降低了时延;
5)usim/se调用内置的高速行业专用算法协处理器进行f1~f5函数运算,验证auth*中包含的dn-aaa身份信息是合法的,并生成res,以应答的方式返回给二次认证模块;
6)二次认证模块,将res进行协议报文封装,经5g网络eap通道将应答返回给aaa服务器,aaa服务器通过验证res是否与xres一致来确定用户是否合法,从而完成终端与aaa服务器之间端到端的双向认证。同时终端将res中包含ck、ik作为后续加密报文密钥和完整性校验密钥。
当采用高速的非对称算法双向认证时,usim/se中先预置了dn-aaa非对称算法公钥证书或者在使用二次认证前即通过ota下载了dn-aaa非对称算法公钥证书,同时usim/se中已生成了终端端的非对称算法私钥,并将终端端的非对称算法公钥证书提前分发到了dn-aaa。usim/se含有行业专用高安全算法协处理器,非对称签名、验签应能满足行业低时延要求。为进一步降低时延,行业应用在usim/se个人化时,已将该行业应用配置为指定逻辑通道(如逻辑通道2)上的缺省选择应用,通信接口配置为高速率。则高安全等级urllc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与网络侧采用eap-aka或者5g-aka完成主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,检查当前主认证是否已通过,如已通过,则触发二次认证模块借助eap通道,向aaa服务器发起二次认证请求;
4)二次认证模块接收aaa服务器的报文,解析报文,经通信接口模块向usim/se进行指令交互(comp1933496utedigitalsignature指令,verifycertificate指令等),完成高强度非对称算法签名、验签等;
5)二次认证模块将usim/se运算结果进行协议报文的封装,经5g网络eap通道发送应答给aaa服务器,完成终端与aaa服务器之间端到端的双向认证。
(六)、当所述终端为普通安全等级urllc场景的终端,所述终端包括依次连接的算法模块、二次认证模块以及二次认证触发模块(如图7所示);其中,
所述二次认证触发模块,在接收用户界面信息、ota信息或者特定的事件后,并在主认证通过的情况下触发所述所述二次认证模块进行二次认证;
所述二次认证模块,终端侧进行轻量级二次认证协议的解析与封装,经终端软件api调用算法模块,使得所述算法模块完成轻量级常用行业对称算法单/双向认证或者高速率的签名、验签,及高速率的常用行业算法加解密运算;
所述算法模块,以终端软件的方式实现,存储二次认证所需凭证、密钥及相关配置参数,进行轻量级对称算法单/双向认证或者高速率的签名、验签,以及敏感数据的高速率的常用行业算法加解密运算。可以依据具体行业的要求采用代码混淆、加固、tee等多种软件防护方法,减少信息的泄漏,增加代码被解析的难度。
则,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,向所述aaa服务器发起二次认证请求;
所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的对称算法认证以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
或者,所述步骤s101具体包括:
在所述二次认证触发模块检查主认证已通过后,所述二次认证模块通过5g网络的eap通道,采用轻量级的eap-tls协议,向所述aaa服务器发起二次认证请求;
或者,所述步骤s102具体包括:
所述二次认证模块接收到所述二次认证数据后,经终端软件api调用所述算法模块;
所述算法模块进行轻量级的非对称算法签名、验签以及高速率的常用行业算法加解密运算,并生成应答发送给所述二次认证模块;
所述二次认证模块将所述应答以报文的形式返回给所述aaa服务器,由所述aaa服务器确定所述终端的二次认证结果。
进一步具体的,网络普通安全等级urllc场景下终端的二次验证流程分两类,一类是采用对称算法双向认证,另一类是采用非对称算法双向认证。
当采用对称算法双向认证时,终端的算法模块需预置dn-aaa行业算法密钥k。则普通安全等级urllc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与5g网络之间采用eap-aka或者5g-aka完成主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,检查当前主认证是否已通过,如已通过,则触发二次认证模块借助eap通道,向aaa服务器发起二次认证请求,aaa服务器产生二次认证数据经5g网络发送给终端;
4)二次认证模块接收aaa服务器的报文,解析报文,将得到的rand+autn*,调用算法模块进行f1~f5函数运算,验证auth*中包含的dn-aaa身份信息是合法的,并生成res,进行协议报文的封装后,以应答的方式,经5g网络eap通道返回给aaa服务器,完成终端与之间端到端的双向认证。同时终端将res中包含ck、ik作为后续加密报文密钥和完整性校验密钥。
当采用高速的非对称算法双向认证时,算法模块中先预置了dn-aaa非对称算法公钥证书或者在使用二次认证前即通过ota下载了dn-aaa非对称算法公钥证书,同时算法模块中已生成了终端端的非对称算法私钥,并将终端端的非对称算法公钥证书提前分发到了dn-aaa。算法模块中的非对称签名、验签应能满足行业低时延要求。则普通安全等级urllc场景下终端的二次验证的完整流程如下:
1)终端向5g网络发起注册申请,registerrequest;
2)终端与5g网络之间采用eap-aka或者5g-aka完成主认证;
3)终端中的二次认证触发模块,在接收到用户界面信息、ota信息或者特定的事件后,检查当前主认证是否已通过,如已通过,则触发二次认证模块借助eap通道,采用轻量级的eap-tls协议,向aaa服务器发起二次认证请求;
4)二次认证模块接收aaa服务器的报文,解析报文,经软件api调用算法模块完成非对称算法签名、验签,封装协议报文经5g网络eap通道发送应答给aaa服务器,完成终端与aaa服务器之间端到端的双向认证。
本发明实施例提供的一种实现终端二次认证的方法,能够为不同应用场景下需要二次认证的终端提供定制化的二次认证服务,指导行业用户部署符合自身应用场景的带宽、时延、连接数等要求的aaa服务器,达到防止攻击者在网络层窃取用户隐私的目的。
至此,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
- 还没有人留言评论。精彩留言会获得点赞!