一种实现终端二次认证的方法技术

本发明专利技术公开了一种实现终端二次认证的方法，包括在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求，所述二次认证请求用于触发所述AAA服务器确定与所述终端对应的二次认证数据，并将所述二次认证数据以报文的形式下发给所述终端；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果。本发明专利技术提供的一种实现终端二次认证的方法，能够为不同应用场景下需要二次认证的终端提供定制化的二次认证服务，指导行业用户部署符合自身应用场景的带宽、时延、连接数等要求的AAA服务器，达到防止攻击者在网络层窃取用户隐私的目的。

A method of terminal secondary authentication

【技术实现步骤摘要】
一种实现终端二次认证的方法
本专利技术实施例涉及通信安全
，尤其涉及一种实现终端二次认证的方法。
技术介绍
5G技术是新一代信息通信技术的发展方向，不仅具有更强的性能，而且也具备更加丰富的应用场景，从传统的人与人通信延伸覆盖到人与物、物与物之间的智能互联，是未来经济社会数字化转型的关键基础设施。在主认证基础上，5G技术面向行业可提供网络切片，允许行业部署专用的AAA(AuthenticationAuthorizationAccounting，验证、授权和记账)服务器，进行二次认证，以便完成行业专用的接入认证。其中，主认证是指终端(包括但不限于手机、平板电脑、物联网终端设备等)接入归属网络(此时指5G网络)的鉴别认证，而二次认证则是指终端与AAA服务器之间端到端的认证。即，当用户完成5G网络的接入认证后，可以进一步与行业应用所在的网络切片或AAA服务器进行二次认证，以此确保能够防止攻击者在网络层窃取用户隐私。目前，5G技术采用统一的EAP认证框架，EAP认证框架具备良好的扩展性，能够支持既有的外部数据网络，即支持各种已经存在的认证方式和认证基础设施，如物联网、交通专网、政企专网等。然而由于3GPP协议只提供了可选的端到端的二次认证EAP通道，而关于如何实现通过该二次认证EAP通道进行二次认证这一部分，现有技术并没有给出，因此行业用户不知如何去部署符合自身应用场景的带宽、时延、连接数等要求的AAA服务器。
技术实现思路
本专利技术提供一种实现终端二次认证的方法，以解决现有技术的不足。为实现上述目的，本专利技术提供以下的技术方案：一种实现终端二次认证的方法，所述方法包括：在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求，所述二次认证请求用于触发所述AAA服务器确定与所述终端对应的二次认证数据，并将所述二次认证数据以报文的形式下发给所述终端；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果。进一步地，所述实现终端二次认证的方法中，所述终端为高安全等级eMBB场景的终端，包括依次连接的USIM/SE、通信接口模块、二次认证模块以及二次认证触发模块；则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道向所述AAA服务器发起二次认证请求；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：所述二次认证模块接收到所述二次认证数据后，经所述通信接口模块调用所述USIM/SE；所述USIM/SE进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算，并生成应答发送给所述二次认证模块；所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。进一步地，所述实现终端二次认证的方法中，所述终端为普通安全等级eMBB场景的终端，包括依次连接的算法模块、二次认证模块以及二次认证触发模块；则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，采用EAP-TLS协议，向所述AAA服务器发起二次认证请求；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：所述二次认证模块接收到所述二次认证数据后，经终端软件API调用所述算法模块；所述算法模块进行非对称算法签名、验签以及高速率的常用行业算法加解密运算，并生成应答发送给所述二次认证模块；所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。进一步地，所述实现终端二次认证的方法中，所述终端为高安全等级eMTC场景的终端，包括依次连接的USIM/SE、通信接口模块、二次认证模块以及二次认证触发模块；则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，向所述AAA服务器发起二次认证请求；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：所述二次认证模块接收到所述二次认证数据后，经所述通信接口模块调用所述USIM/SE；所述USIM/SE进行轻量级的对称算法认证以及行业专用算法加解密运算，并生成应答发送给所述二次认证模块；所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。进一步地，所述实现终端二次认证的方法中，所述终端为普通安全等级eMTC场景的终端，包括依次连接的算法模块、二次认证模块以及二次认证触发模块；则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，向所述AAA服务器发起二次认证请求；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：所述二次认证模块接收到所述二次认证数据后，经终端软件API调用所述算法模块；所述算法模块进行轻量级的对称算法认证以及常用行业算法加解密运算，并生成应答发送给所述二次认证模块；所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。进一步地，所述实现终端二次认证的方法中，所述终端为高安全等级uRLLC场景的终端，包括依次连接的USIM/SE、通信接口模块、二次认证模块以及二次认证触发模块；则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，向所述AAA服务器发起二次认证请求；所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：所述二次认证模块接收到所述二次认证数据后，经所述通信接口模块调用所述USIM/SE；所述USIM/SE进行轻量级的对称算法认证以及高速率的行业专用算法加解密运算，并生成应答发送给所述二次认证模块；本文档来自技高网...

【技术保护点】
1.一种实现终端二次认证的方法，其特征在于，所述方法包括：/n在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求，所述二次认证请求用于触发所述AAA服务器确定与所述终端对应的二次认证数据，并将所述二次认证数据以报文的形式下发给所述终端；/n所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果。/n

【技术特征摘要】
1.一种实现终端二次认证的方法，其特征在于，所述方法包括：
在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求，所述二次认证请求用于触发所述AAA服务器确定与所述终端对应的二次认证数据，并将所述二次认证数据以报文的形式下发给所述终端；
所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果。


2.根据权利要求1所述的实现终端二次认证的方法，其特征在于，所述终端为高安全等级eMBB场景的终端，包括依次连接的USIM/SE、通信接口模块、二次认证模块以及二次认证触发模块；
则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：
在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道向所述AAA服务器发起二次认证请求；
所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：
所述二次认证模块接收到所述二次认证数据后，经所述通信接口模块调用所述USIM/SE；
所述USIM/SE进行高强度非对称算法签名、验签以及高速率的行业专业算法加解密运算，并生成应答发送给所述二次认证模块；
所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。


3.根据权利要求1所述的实现终端二次认证的方法，其特征在于，所述终端为普通安全等级eMBB场景的终端，包括依次连接的算法模块、二次认证模块以及二次认证触发模块；
则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：
在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，采用EAP-TLS协议，向所述AAA服务器发起二次认证请求；
所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：
所述二次认证模块接收到所述二次认证数据后，经终端软件API调用所述算法模块；
所述算法模块进行非对称算法签名、验签以及高速率的常用行业算法加解密运算，并生成应答发送给所述二次认证模块；
所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。


4.根据权利要求1所述的实现终端二次认证的方法，其特征在于，所述终端为高安全等级eMTC场景的终端，包括依次连接的USIM/SE、通信接口模块、二次认证模块以及二次认证触发模块；
则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：
在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，向所述AAA服务器发起二次认证请求；
所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：
所述二次认证模块接收到所述二次认证数据后，经所述通信接口模块调用所述USIM/SE；
所述USIM/SE进行轻量级的对称算法认证以及行业专用算法加解密运算，并生成应答发送给所述二次认证模块；
所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述AAA服务器确定所述终端的二次认证结果。


5.根据权利要求1所述的实现终端二次认证的方法，其特征在于，所述终端为普通安全等级eMTC场景的终端，包括依次连接的算法模块、二次认证模块以及二次认证触发模块；
则，所述在检查主认证已通过后，终端通过5G网络的EAP通道向AAA服务器发起二次认证请求的步骤包括：
在所述二次认证触发模块检查主认证已通过后，所述二次认证模块通过5G网络的EAP通道，向所述AAA服务器发起二次认证请求；
所述终端根据所处的应用场景，使用所述二次认证数据进行鉴权，并生成应答返回给所述AAA服务器，以确定所述终端的二次认证结果的步骤包括：
所述二次认证模块接收到所述二次认证数据后，经终端软件API调用所述算法模块；
所述算法模块进行轻量级的对称算法认证以及常用行业算法加解密运算，并生成应答发送给所述二次认证模块；
所述二次认证模块将所述应答以报文的形式返回给所述AAA服务器，由所述...

【专利技术属性】
技术研发人员：蒋曲明，王志红，邬亮，兰天，杨洋，王俊，张力，
申请(专利权)人：楚天龙股份有限公司，中移成都信息通信科技有限公司，中国电子科技集团公司第三十研究所，
类型：发明
国别省市：广东;44