导航：首页> 电通信技术>一种5G网络中的鉴权方法和系统

一种5G网络中的鉴权方法和系统

文献发布时间：2024-04-18 19:58:53

技术领域

本发明涉及一种5G网络中的鉴权方法和系统，涉及通信领域。

背景技术

5G网络中，UE与核心网之间的通信很容易遭到伪基站的窃听、拦截、篡改或攻击，因此空口上的数据传输具有一定的风险。由于基于EAP的二次鉴权流程的消息数量较多，证书等安全参数的长度有可能超过一条EAP-TLS(即Extensible Authentication Protocol-Transport Layer Security)消息长度的最大值，EAP-TLS协议还引入了fragment机制，即将一条消息分段后传输，因此，EAP-TLS协议实际传输的消息数量很多。此外，NAS(Non-Access Stratum，非接入层)消息中携带EAP协议头和TLS协议头、证书、加密算法、加密规范、加密秘钥等安全信息，也很容易被伪基站等攻击者窃听，并篡改传输的安全信息，从而造成二次鉴权失败、用户信息泄露。并且，二次鉴权通常涉及用户登陆某个私网(例如校园内网、企业内网、银行内网)的账号、密码等个人身份信息，一旦被窃取，会给用户带来严重的损失。

因此，如何有效确保5G网络中鉴权的安全性，已成为技术人员重点关注的技术问题。

发明内容

有鉴于此，本发明的目的是提供一种5G网络中的鉴权方法和系统，能有效确保5G网络中鉴权的安全性。

为了达到上述目的，本发明提供了一种5G网络中的鉴权方法，包括有：

UE注册至核心网后，和AMF协商建立安全模式，并在向AMF发送的安全模式完成消息中携带UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认，AMF根据收到的UE安全信息对UE的身份进行核验，当核验通过后，通过HTTP2 PUT消息将UE安全信息存储在UDM中，

当UE需要与外部DN进行数据传输，向SMF发送的PDU会话建立请求消息中携带DN-specific identity，还包括有：

步骤A1、SMF根据DN-specific identity确定发起二次鉴权，从UDM中提取存储的UE安全信息，然后向DN-AAA发起鉴权请求；

步骤A2、SMF根据从UDM中提取的UE安全信息，与DN-AAA协商确定DN-AAA、UE使用的加密算法列表，根据从DN-AAA接收的证书对DN-AAA进行鉴权，并在UE和DN-AAA之间协商对随机数加密的秘钥和加密结果、以及加密规范变更情况，同时将UE证书信息发送给DN-AAA以鉴权，从而实现DN-AAA和UE之间的身份鉴权。

为了达到上述目的，本发明还提供了一种5G网络中的鉴权方法，UE注册至核心网后，当UE需要与外部DN进行数据传输时，包括有：

步骤B1、UE向SMF发送的PDU会话建立请求消息中携带DN-specific identity和UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认信息；

步骤B2、SMF从PDU会话建立请求消息中读取DN-specific identity和UE安全信息，然后对UE安全信息中UE的X.509证书和带有UE签名的证书确认进行核验，以判断UE身份是否存在异常，如果是，则本流程结束；如果否，则存储UE安全信息，并向DN-AAA发起鉴权请求，继续下一步；

步骤B3、SMF使用已存储的UE安全信息，与DN-AAA协商确定DN-AAA、UE使用的加密算法列表，根据从DN-AAA接收的证书对DN-AAA进行鉴权，并在UE和DN-AAA之间协商对随机数加密的秘钥和加密结果、以及加密规范变更情况，同时将UE证书信息发送给DN-AAA以鉴权，从而实现DN-AAA和UE之间的身份鉴权。

为了达到上述目的，本发明还提供了一种5G网络中的鉴权系统，包括有：

AMF，和UE协商建立安全模式，并从UE发来的安全模式完成消息中提取UE安全信息，然后根据UE安全信息对UE的身份进行核验，当核验通过后，通过HTTP2 PUT消息将UE安全信息存储在UDM中；

SMF，从UE发来的PDU会话建立请求消息中提取DN-specific identity，根据DN-specific identity确定发起二次鉴权后，从UDM中提取存储的UE安全信息，然后向DN-AAA发起鉴权请求，根据提取的UE安全信息，与DN-AAA协商确定DN-AAA、UE使用的加密算法列表，并根据从DN-AAA接收的证书对DN-AAA进行鉴权，在UE和DN-AAA之间协商对随机数加密的秘钥和加密结果、以及加密规范变更情况，同时将UE证书信息发送给DN-AAA以鉴权，从而实现DN-AAA和UE之间的身份鉴权；

UE，当注册至核心网后，和AMF协商建立安全模式，并在向AMF发送的安全模式完成消息中携带UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认；当需要与外部DN进行数据传输时，向SMF发送的PDU会话建立请求消息中携带DN-specific identity,然后在SMF的协商下使用DN-AAA发来的秘钥对随机数加密以及完成加密规范变更。

为了达到上述目的，本发明还提供了一种5G网络中的鉴权系统，包括有：

SMF，从UE发来的PDU会话建立请求消息中读取DN-specific identity和UE安全信息，并对UE安全信息中UE的X.509证书和带有UE签名的证书确认进行核验，如果UE身份不存在异常，则存储UE安全信息，并向DN-AAA发起鉴权请求，然后使用已存储的UE安全信息，与DN-AAA协商确定DN-AAA、UE使用的加密算法列表，并根据从DN-AAA接收的证书对DN-AAA进行鉴权，在UE和DN-AAA之间协商对随机数加密的秘钥和加密结果、以及加密规范变更情况，同时将UE证书信息发送给DN-AAA以鉴权，从而实现DN-AAA和UE之间的身份鉴权；

UE，当需要与外部DN进行数据传输时，向SMF发送的PDU会话建立请求消息中携带DN-specific identity和UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认信息,然后在SMF的协商下使用DN-AAA发来的秘钥对随机数加密以及完成加密规范变更。

与现有技术相比，本发明的有益效果是：本发明移除UE与SMF之间传输的EAP、LTS头，直接将鉴权和秘钥协商字段封装在NAS消息中，即将UE与SMF之间确实有必要进行临时协商的字段直接封装在NAS消息中在二次鉴权的过程中传输，既简化了消息流程和协议的封装层数，又可以由于移除了EAP、TLS头令伪基站难以通过监听EAP头和LTS头发现UE即将执行鉴权动作，提高了安全性，并降低了被窃听的风险；通过SMF执行协商动作的字段打包，将TLS Certificate、TLS Certificate Verify、LTS Client Hello、TLS Server Hello等提前发送给核心网，可以避免在空口上来回传输，由于核心网具有更高的安全性，可以保证这些字段不被窃听和篡改；核心网(AMF或SMF)获取UE的X.509证书和带有UE签名的证书确认后，对UE的X.509证书进行核验，确认UE为正常接入终端且证书等安全信息未被篡改，以及核心网(AMF或SMF)获取DN-AAA的X.509证书后，对DN-AAA的X.509证书进行核验，确认DN-AAA正常且证书等安全信息未被篡改，这样在核心网处形成一道屏障，过滤掉伪终端和异常DN发送的消息和被攻击者篡改的消息，进一步提高了数据传输的安全性；核心网(AMF或SMF)在获取UE的安全信息之后，可以在UE驻留在网络期间保存和维护上述安全信息，在UE再次执行二次鉴权时，无需再从UE获取，进一步提高了二次鉴权的效率和安全性。

附图说明

图1是本发明实施方法1中的步骤A2或实施方法2中的步骤B3的具体步骤流程图。

图2是本发明实施方法1当UE需要与外部DN进行数据传输时，UE、SMF和DN-AAA之间的信令交互流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

UE注册至核心网时，UE向核心网发送注册请求消息，此时，核心网需要先对UE执行鉴权(即主鉴权)，只有主鉴权成功之后，核心网才向UE发送注册允许消息。UE注册至核心网之后，当UE需要与外部DN(Data Network)进行数据传输时，DN还需要对UE执行鉴权(即二次鉴权)，只有二次鉴权成功之后，UE才能与DN进行数据传输。本发明包括2种二次鉴权的实施方法：

1)实施方法1：

本发明一种5G网络中的鉴权方法，包括有：

UE注册至核心网后，和AMF(接入和移动管理功能Access and MobilityManagement function)协商建立安全模式，并在向AMF发送的安全模式完成消息中携带UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认等，AMF根据收到的UE安全信息对UE的身份进行核验，当核验通过后，通过HTTP2PUT消息将UE安全信息存储在UDM(统一数据管理功能Unified Data Management)中，

当UE需要与外部DN(Data Network)进行数据传输，向SMF(会话管理功能SessionManagement Function)发送的PDU会话建立请求消息中携带DN-specific identity(DN特定的标识)，还包括有：

步骤A1、SMF根据DN-specific identity确定发起二次鉴权，从UDM中提取存储的UE安全信息，然后向DN-AAA(Data network-Authentication,Authorization andAccounting，数据网络的鉴权、授权和计费，DN-AAA指代DN-AAA服务器)发起鉴权请求；

2)实施方法2：

本发明一种5G网络中的鉴权方法，UE注册至核心网后，当UE需要与外部DN进行数据传输时，包括有：

步骤B1、UE向SMF发送的PDU会话建立请求消息中携带DN-specific identity和UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认等信息；

当UE再次与相同的DN-AAA进行鉴权时，UE向SMF发送的PDU会话建立请求中可以不包括UE安全信息。即，当UE需要再次与相同的外部DN进行数据传输时，步骤B1可以进一步包括有：

UE判断是否存在有与相同DN通信的历史记录，如果是，则向SMF发送PDU会话建立请求消息，PDU会话建立请求消息中携带有DN-specific identity；如果否，则向SMF发送PDU会话建立请求消息，PDU会话建立请求消息中携带有DN-specific identity和UE安全信息，

步骤B2进一步包括有：

SMF判断PDU会话建立请求消息中是否包含有UE安全信息，如果是，则对UE安全信息中UE的X.509证书和带有UE签名的证书确认进行核验，当判断UE身份不存在异常时，存储UE安全信息，并向DN-AAA发起鉴权请求，然后继续步骤B3；如果否，则提取本地已存储的与DN-specific identity相对应的UE安全信息，并向DN-AAA发起鉴权请求，然后继续步骤B3。

如图1所示，实施方法1中的步骤A2、或实施方法2中的步骤B3的具体实施过程可以包括有：

步骤1、DN-AAA向SMF发出请求TLS方式的EAP鉴权请求EAP-TLS消息；

步骤2、SMF从存储的UE安全信息中提取UE支持的加密算法列表，然后向DN-AAA发送TLS Client Hello消息，TLS Client Hello消息中携带UE支持的加密算法列表；

步骤3、DN-AAA根据SMF发来的UE支持的加密算法列表，选择自己支持的加密算法列表，然后将自己支持的加密算法列表、X.509证书和用于加密premaster secret(预主密钥)的秘钥封装成一条RADIUS消息发送给SMF；

步骤4、SMF从DN-AAA发来的RADIUS消息中读取并存储DN-AAA支持的加密算法列表，对DN-AAA的X.509证书进行鉴权，并向UE发送PDU会话鉴权命令消息，PDU会话鉴权命令消息携带有从DN-AAA发来的RADIUS消息中读取的秘钥信息，UE使用PDU会话鉴权命令消息中的秘钥对生成的随机数进行加密，然后将加密结果和UE请求变更的加密规范返回给SMF；

步骤5、SMF将UE返回的加密结果和UE请求变更的加密规范、和存储的UE安全信息中的UE的X.509证书、UE签名的证书确认封装成一条RADIUS消息发送给DN-AAA；

步骤6、DN-AAA对SMF发来的UE的X.509证书进行核验，并对收到的UE签名进行验证，以认证UE的身份，同时对UE请求变更的加密规范进行确认，最后将确认变更的加密规范封装成一条RADIUS消息返回给SMF；

步骤7、SMF读取并存储DN-AAA确认变更的加密规范，向DN-AAA返回确认消息；

步骤8、SMF收到DN-AAA发送的鉴权成功消息后，向UE发送PDU会话建立接受消息，PDU会话建立接受消息中携带有DN-AAA支持的加密算法列表和DN-AAA确认变更的加密规范。

SMF与UE之间的交互消息将鉴权协商信息以字段方式包含在NAS消息中，不包含EAP头和TLS头。

步骤4进一步包括有：

SMF从DN-AAA返回的RADIUS消息中读取所有TLS消息，根据TLS Server Hello消息确定DN-AAA支持的加密算法列表，对TLS Certificate消息中的X.509证书进行鉴权，然后向UE发送PDU会话鉴权命令消息；

UE从SMF发送来的PDU会话鉴权命令消息中提取秘钥，然后生成一个随机数，并使用接收的秘钥对生成的随机数进行加密，最后将加密结果和UE请求变更的加密规范包含在NAS消息中返回给SMF。

步骤5进一步包括有：

SMF根据UE返回的NAS消息以及存储的UE安全信息，生成若干条TLS消息：将NAS消息中的加密结果、UE请求变更的加密规范分别写入TLS Client Key Exchange消息、TLSChange Cipher Spec消息中，将UE安全信息中UE的X.509证书、UE签名的证书确认分别写入TLS Certificate消息、TLS Certificate Verify消息中，并在TLS Finished消息中指示UE侧的TLS协商完成，然后将所有生成的TLS消息封装成一条RADIUS消息发送给DN-AAA。

为了更清楚的解释本发明，图2示出了本发明实施方法1当UE需要与外部DN进行数据传输时，UE、SMF和DN-AAA之间的信令交互过程。如图2所示，当UE需要与外部DN进行数据传输时，UE、SMF和DN-AAA之间的信令交互过程包括有：

步骤a1、UE向SMF发送PDU会话建立请求NAS:PDU session establishmentrequest(DN-specific identity)消息；

步骤a2、SMF向DN-AAA发送鉴权请求RADIUS:Access-Request EAP:ResponseIdentity(DN-specific identity)；(对应于步骤A1)

步骤a3、DN-AAA向SMF发送RADIUS:Access-Challenge EAP:Request EAP-TLS消息；(对应于步骤A2、步骤1)

步骤a4、SMF向DN-AAA发送RADIUS:Access-Request EAP:Response EAP-TLS TLS:Client Hello消息；(对应于步骤A2、步骤2)

步骤a5、DN-AAA向SMF发送RADIUS:Access-Challenge EAP:Request EAP-TLSTLS:Server Hello；Certificate；Server Key Exchange；Certificate Request；ServerHello Done消息；(对应于步骤A2、步骤3)

步骤a6、SMF向UE发送PDU会话鉴权命令消息NAS:PDU session authenticationcommand(Server Key Exchange)；(对应于步骤A2、步骤4)

步骤a7、UE向SMF返回NAS:PDU session authentication complete(Client KeyExchange；Change Cipher Spec)消息；(对应于步骤A2、步骤4)

步骤a8、SMF向DN-AAA发送RADIUS:Access-Request EAP:Response EAP-TLS TLS:Certificate；Client Key Exchange；Certificate Verify；Change Cipher Spec；Finished消息；(对应于步骤A2、步骤5)

步骤a9、DN-AAA向SMF发送RADIUS:Access-Challenge EAP:Request EAP-TLSTLS:Change Cipher Spec；Finished消息；(对应于步骤A2、步骤6)

步骤a10、SMF向DN-AAA发送RADIUS:Access-Request EAP:Response EAP-TLS消息；(对应于步骤A2、步骤7)

步骤a11、DN-AAA向SMF发送RADIUS:Access-Accept EAP:Success消息；(对应于步骤A2、步骤8)

步骤a12、SMF向UE发送NAS:PDU session establishment accept(AcceptedAlgorithms Set；Change Cipher Spec)消息。(对应于步骤A2、步骤8)

由于实施方法2中UE、SMF、DN-AAA之间的信令交互过程和图2类似，就不在此赘述。

与实施方法相对应，本发明还提供了2种鉴权系统：

1)系统1：

本发明一种5G网络中的鉴权系统，包括有：

UE，当注册至核心网后，和AMF协商建立安全模式，并在向AMF发送的安全模式完成消息中携带UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认等；当需要与外部DN进行数据传输时，向SMF发送的PDU会话建立请求消息中携带DN-specific identity,然后在SMF的协商下使用DN-AAA发来的秘钥对随机数加密以及完成加密规范变更。

SMF还包括有：

鉴权协商装置，从存储的UE安全信息中提取UE支持的加密算法列表，向DN-AAA发送TLS Client Hello消息，TLS Client Hello消息中携带UE支持的加密算法列表，然后从DN-AAA发来的RADIUS消息中读取并存储DN-AAA支持的加密算法列表，对DN-AAA的X.509证书进行鉴权，并向UE发送PDU会话鉴权命令消息，PDU会话鉴权命令消息携带有从DN-AAA发来的RADIUS消息中读取的秘钥信息，再将UE返回的加密结果和UE请求变更的加密规范、和UE安全信息中的UE的X.509证书、UE签名的证书确认封装成一条RADIUS消息发送给DN-AAA，最后接收并存储DN-AAA确认变更的加密规范，向DN-AAA返回确认消息，在收到DN-AAA发送的鉴权成功消息后，向UE发送PDU会话建立接受消息，PDU会话建立接受消息中携带有DN-AAA支持的加密算法列表和DN-AAA确认变更的加密规范。

2)系统2：

本发明一种5G网络中的鉴权系统，包括有：

UE，当需要与外部DN进行数据传输时，向SMF发送的PDU会话建立请求消息中携带DN-specific identity和UE安全信息，所述UE安全信息包括有UE支持的加密算法列表、UE的X.509证书、带有UE签名的证书确认等信息,然后在SMF的协商下使用DN-AAA发来的秘钥对随机数加密以及完成加密规范变更。

当UE再次与相同的DN-AAA进行鉴权时，UE向SMF发送的PDU会话建立请求中可以不包括UE安全信息。UE进一步包括有：

会话请求装置，当UE需要与外部DN进行数据传输时，判断是否存在有与相同DN通信的历史记录，如果是，则向SMF发送PDU会话建立请求消息，PDU会话建立请求消息中携带有DN-specific identity；如果否，则向SMF发送PDU会话建立请求消息，PDU会话建立请求消息中携带有DN-specific identity和UE安全信息，

SMF进一步包括有：

会话请求处理装置，判断PDU会话建立请求消息中是否包含有UE安全信息，如果是，则对UE安全信息中UE的X.509证书和带有UE签名的证书确认进行核验，当判断UE身份不存在异常时，存储UE安全信息，并向DN-AAA发起鉴权请求；如果否，则提取本地已存储的与DN-specific identity相对应的UE安全信息，并向DN-AAA发起鉴权请求。

SMF还包括有：

值得强调的是，在本发明中，SMF与UE之间的交互消息将鉴权协商信息以字段方式包含在NAS消息中，不包含EAP头和TLS头。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

完整全部详细技术资料下载