[go: up one dir, main page]

CN112040481B - 一种基于5g通信网关的二次认证方法 - Google Patents

一种基于5g通信网关的二次认证方法 Download PDF

Info

Publication number
CN112040481B
CN112040481B CN202010837667.2A CN202010837667A CN112040481B CN 112040481 B CN112040481 B CN 112040481B CN 202010837667 A CN202010837667 A CN 202010837667A CN 112040481 B CN112040481 B CN 112040481B
Authority
CN
China
Prior art keywords
identity
server
verification
gateway
challenge code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010837667.2A
Other languages
English (en)
Other versions
CN112040481A (zh
Inventor
衷宇清
王浩
林泽兵
吴刚
王敏
陈立业
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangzhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority to CN202010837667.2A priority Critical patent/CN112040481B/zh
Publication of CN112040481A publication Critical patent/CN112040481A/zh
Application granted granted Critical
Publication of CN112040481B publication Critical patent/CN112040481B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于5G通信网关的二次认证方法,主要包括以下步骤:步骤1、接入设备收集用户生物信息,并提取所述用户生物信息的特征值,形成身份识别码;步骤2、智能网关根据身份识别码进行身份验证,并判断身份验证是否成功,若是,则由智能网关为接入设备生成身份断言,否则,由服务器进行身份验证,并由服务器为接入设备生成身份断言。本发明具有提高了接入用户身份认证安全性以及提高了网关保护接入用户的信息安全性能、提高了网关验证身份的精度以及实现了接入设备的快速二次身份验证等优点。

Description

一种基于5G通信网关的二次认证方法
技术领域
本发明涉及5G网络技术领域,尤其涉及一种基于5G通信网关的二次认证方法。
背景技术
随着5G到来,物联网的发展有了新的前景和机遇。另一方面,大量物联网设备的接入,将面临更加严峻的设备安全接入的挑战。5G系统中引入了用户终端与数据网络之间的二次认证。根据3GPP标准用户设备与数据网络之间的二次认证是基于EAP(ExtensibleAuthentivation Protocol,可扩展身份认证协议)框架。EAP(可扩展身份认证协议)是一种支持多种认证方式的身份认证框架,由三部分组成:(Client)客户端、Authenticator(认证方)、Server(身份认证服务器)。EAP(可扩展身份认证协议)框架具有很强的灵活性:认证方通常向客户端请求足够多的信息以确定要使用的身份认证方法。EAP框架中允许使用一个后端的身份认证服务器,通常是一个AAA服务器(Authentication,Authorization,Accounting,即认证、授权、计费),使用这个服务器来实现各种认证方法,而认证方法只需要在客户端认证服务器之间透传消息。
根据3GPP(第三代合作伙伴计划)标准对UE(User Equipment,用户设备)与外部数据网络之间通过5G网络的安全流程规定,UE与AAA服务器之间的二次认证协议由EAP(Extensible Authentivation Protocol,可扩展身份认证协议)承载。在二次认证协议交互过程中,AN(Access Network,接入网络)、AFM(Access and Mobility ManagementFunstion,接入及移动性管理功能)、SMF(Session Management Function,会话管理功能)、UPF(User Plane Function,用户平面功能)等网元不会对二次认证协议进行解析,所以可实现用户自定义的端到端二次认证。
对于大部分用户来说,可以采用按照3GPP标准实现的二次认证协议,但常用的一些用户协议存在一些全性问题如易遭受字典攻击、用户身份信息易招到泄露等。而且一些二次认证协议也只能简单的完成账户号和密码的简单验证,对安全性要求高的用户可以利用5G能力开放的特征采用定制的二次认证算法和协议。3GPP中定义了5G网络的多种二次认证协议,包括PAP(口令验证协议)、AKA(认证与密钥协议)、TLS(安全传输层协议)。随着生物特征识别技术的日趋成熟,生物特征也被加入这些协议中。
由于生物信息处理计算量较大且一些物联网设别的实时相应性要求较高,在一些低功耗的物联网设备中进行本地处理是不太现实的,而把生物信息传递到后端服务器进行处理,则会出现物联网设备响应慢的特点。
发明内容
本发明的目的在于克服现有技术的缺点与不足,提供一种基于5G通信网关的二次认证方法,该二次认证方法基于智能网关技术,利用智能网关上部署的深度学习模型,对接入设备的生物特征信息进行比对,从而实现了接入设备的快速二次身份验证。
本发明的目的通过以下技术方案实现:一种基于5G通信网关的二次认证方法,包括以下步骤:
步骤1、接入设备收集用户生物信息,并提取所述用户生物信息的特征值,形成身份识别码;
步骤2、智能网关根据身份识别码进行身份验证,并判断身份验证是否成功,若是,则由智能网关为接入设备生成身份断言,否则,由服务器进行身份验证,并由服务器为接入设备生成身份断言。
所述步骤2可以包括以下步骤:
步骤21、智能网关对所述身份识别码的信息包进行验证,分类给出用户身份正确的概率,并将得到的用户身份正确的概率与系统设定的两个概率阈值进行比较,所述的两个概率阈值为Vmin和Vmax;
步骤22、判断用户身份正确的概率是否小于Vmin,若是,则表示验证失败,否则,执行下一步;
步骤23、判断用户身份正确的概率是否大于或等于Vmax,若是,则表示网关验证成功,由智能网关为接入设备生成身份断言,否则,把身份识别码的信息包发送给服务器进行验证,若服务器验证成功,则表示服务器进一步验证成功,并由服务器为接入设备生成身份断言,若服务器验证失败,则表示验证失败。
所述步骤23包括以下步骤:
S201、接入设备向服务器发起身份认证请求;
S202、服务器生成随机数作为挑战码,使用服务器与该用户共用的对称密钥对挑战码进行加密,并用私钥进行签名后发送给接入设备;
S203、接入设备先解出挑战码,再对挑战码和身份识别码分别进行加密以组成挑战码信息包和识别码信息包,然后对所述挑战码信息包和识别码信息包分别进行签名,并发送给智能网关;
S204、智能网关对识别码信息包签名并进行验证,解出其身份识别码进行识别,根据网关对身份识别码比对的身份正确率,把识别的结果分为:网关验证成功、服务器进一步验证成功和验证失败;
S205、若是网关验证成功,则由智能网关为接入设备生成身份断言;
S206、若是进一步由服务器进行验证,则挑战码信息包由网关发送给服务器,服务器验证签名,解出挑战码,并对比挑战码,若挑战码对比成功,则由服务器为接入设备生成身份断言;若用户身份认证成功,则接入设备后续访问应用系统时会带上断言信息。
所述步骤2中,所述智能网关上部署以深度神经网络为基础的二次身份验证结点。
所述深度神经网络为卷积神经网络或递归神经网络。
所述步骤1中,所述用户生物信息为指纹信息、人脸图像信息或声音信息。
所述的私钥是公钥密码体制中的的私钥,所述的密钥是对称密钥体制中的加密密钥;密码体制可以分为两类:对称密钥体制和公钥密码体制;在对称密码体制中,加密密钥和解密密钥使用相同的密码体制;在公钥密码体制中,使用不同的加密密钥和解密密钥,其加密密钥是向公众公开的,而解密密钥(即:私钥)则是需要保密的。
现实中的文件需要盖章来证明其真实性,而在虚拟的计算机网络中,对报文的盖章使用的是数字签名(即本文中的签名)来证明真实性,所述数字签名使用的是公钥密码体制。
与现有技术相比,本发明具有以下的优点与有益效果:
1、本发明提出通过用户生物特征信息通过网关进行二次认证方法,该方法在不提高设备功耗的情况下,提高了接入设备身份验证的安全性和设备的响应速度。并且,在网关处部署TensorFlow Lite深度学习模型,先在接入网关处进行生物信息认证,若在网关处无法做出识别,则再进一步往服务器进行二次认证;此外,网关还可以经过不断学习,以达到提高接入用户身份认证安全性的目的,从而提高了网关保护接入用户信息安全的能力。
2、本发明在物联网设备接入的网关处搭建一个生物信息识别平台,在这个平台上部署TensorFlow Lite深度学习模型,提高了网关验证身份的精度,实现了接入设备的快速二次身份验证。
附图说明
图1是二次验证的协议栈框图。
图2是二次验证的协议图。
图3是智能网关二次验证结点的部署框架。
图4是由进一步服务器进行验证的验证流程框图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例
如图1所示,为二次验证的协议栈框图,表述了各个设备所从属的协议层,所述设备主要有接入设备、智能网关和服务器。
如图2所示,为二次验证的协议图,该协议的接入设备发起的身份请求认证信息包主要包括:接入设备IP地址、服务器IP地址、传输协议类型和请求认证信息体。
服务器生成的响应信息包主要包括:接接入设备IP地址、服务器IP地址、传输协议类型和加密且签名后的挑战码。
接入设备验证信息包由:接入设备的IP地址及加密后的挑战码与身份识别码构成。
网关验证成功/失败后发回的身份断言的信息包主要包括:网关IP地址和网关断言信息体。
服务器二次验证成功/失败后发回的断言信息包主要包括:服务器IP地址和服务器断言信息体。
如图3所示,为智能网关二次认证结点内部框架的部署图,智能网关二次认证的过程包括以下步骤:
S101:针对不同的接入设备部署不同类型的接入设备生物信息收集模块,在设备要进行接接入的时候对用户的生物信息进行收集,包括用户的指纹信息,人脸图像信息,声音信息等,再采算法对收集的生物新特提取出特征值形成身份识别码。
S102:在各个物联网设备的接入网关处,部署以TensorFlow Lite深度学习为基础的二次身份验证结点,利用收集的用户生物信息特征,训练二次验证节点的验证模块内所需要的深度神经网络,并将所训练好的网络部署在网关处的二次验证结点。
S103:二次验证结点模块可以利用多种深度神经网络,例如CNN(卷积神经网络)、RNN(递归神经网络)等,对传送过来的身份识别码信息包进行验证,分类给出用户身份正确的概率,将得到的用户身份正确的概率与系统设定的两个阈值(Vmin,Vmax)进行比较。
当满足条件:Vmin<用户身份识别正确的概率<Vmax,
则继续把挑战码信息包发送给服务器,服务器验证签名,解出挑战码和识别码,对比挑战码,成功后由服务器为接入设备生成身份断言。
当满足条件:用户身份识别正确的概率<Vmin,
则用户身份验证失败。
当满足条件:用户身份识别正确的概率≥Vmin,
身份验证成功,由智能网关为接入设备生成身份断言。
如图4所示,由进一步服务器进行验证的验证流程如下:
S201:接入设备向服务器发起身份认证请求。
S202:服务器生成随机数作为挑战码,使用服务器与该用户共用的对称密钥对挑战码进行加密,并用私钥进行签名后发送给接入设备。
S203:接入设备解出挑战码,再对对挑战码和身份识别码分别进行加密以组成两个信息包再对信息包分别进行签名发送给部署有二次认证结点的智能网关。
S204:部署有二认证结点的智能网关对识别码信息包签名进行验证,并解出身份别码进行识别。根据网关对身份识别码比对的身份正确率,分为:网关验证成功、服务器进一步验证验证成功和验证失败。
S205:若验证由网关验证成功,则由智能网关为接入设备生成身份断言。
S206:若需要进一步由服务器进行验证,则挑战码信息包由网关发送给服务器,服务器验证签名,解出挑战码,对比挑战码,成功后由服务器为接入设备生成身份断言,若用户的身份认证成功,则后续访问应用系统时带上身份断言信息。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (4)

1.一种基于5G通信网关的二次认证方法,其特征在于,包括以下步骤:
步骤1、接入设备收集用户生物信息,并提取所述用户生物信息的特征值,形成身份识别码;
步骤2、智能网关根据身份识别码进行身份验证,并判断身份验证是否成功,若是,则由智能网关为接入设备生成身份断言,否则,由服务器进行身份验证,并由服务器为接入设备生成身份断言;
所述步骤2包括以下步骤:
步骤21、智能网关对所述身份识别码的信息包进行验证,分类给出用户身份正确的概率,并将得到的用户身份正确的概率与系统设定的两个概率阈值进行比较,所述的两个概率阈值为Vmin和Vmax;
步骤22、判断用户身份正确的概率是否小于Vmin,若是,则表示验证失败,否则,执行下一步;
步骤23、判断用户身份正确的概率是否大于或等于Vmax,若是,则表示网关验证成功,由智能网关为接入设备生成身份断言,否则,把用于身份识别码的信息包发送给服务器进行验证,若服务器验证成功,则表示服务器进一步验证成功,并由服务器为接入设备生成身份断言,若服务器验证失败,则表示验证失败;
所述步骤23包括以下步骤:
S201、接入设备向服务器发起身份认证请求;
S202、服务器生成随机数作为挑战码,使用服务器与该用户共用的对称密钥对挑战码进行加密,并用私钥进行签名后发送给接入设备;
S203、接入设备先解出挑战码,再对挑战码和身份识别码分别进行加密以组成挑战码信息包和识别码信息包,然后对所述挑战码信息包和识别码信息包分别进行签名,并发送给智能网关;
S204、智能网关对识别码信息包签名并进行验证,解出其身份识别码进行识别,根据网关对身份识别码比对的身份正确率,把识别的结果分为:网关验证成功、服务器进一步验证成功和验证失败;
S205、若是网关验证成功,则由智能网关为接入设备生成身份断言;
S206、若是进一步由服务器进行验证,则挑战码信息包由网关发送给服务器,服务器验证签名,解出挑战码,并对比挑战码,若挑战码对比成功,则由服务器为接入设备生成身份断言。
2.根据权利要求1所述的基于5G通信网关的二次认证方法,其特征在于,所述的步骤2中,所述的智能网关上部署以深度神经网络为基础的二次身份验证结点。
3.根据权利要求2所述的基于5G通信网关的二次认证方法,其特征在于,所述深度神经网络为卷积神经网络或递归神经网络。
4.根据权利要求1所述的基于5G通信网关的二次认证方法,其特征在于,所述步骤1中,所述用户生物信息为指纹信息、人脸图像信息或声音信息。
CN202010837667.2A 2020-08-19 2020-08-19 一种基于5g通信网关的二次认证方法 Active CN112040481B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010837667.2A CN112040481B (zh) 2020-08-19 2020-08-19 一种基于5g通信网关的二次认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010837667.2A CN112040481B (zh) 2020-08-19 2020-08-19 一种基于5g通信网关的二次认证方法

Publications (2)

Publication Number Publication Date
CN112040481A CN112040481A (zh) 2020-12-04
CN112040481B true CN112040481B (zh) 2023-10-24

Family

ID=73576878

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010837667.2A Active CN112040481B (zh) 2020-08-19 2020-08-19 一种基于5g通信网关的二次认证方法

Country Status (1)

Country Link
CN (1) CN112040481B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113507705A (zh) * 2021-07-13 2021-10-15 中国人民解放军战略支援部队信息工程大学 一种基于eap-tls协议的5g二次认证方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506168A (zh) * 2016-12-07 2017-03-15 北京信任度科技有限公司 一种安全的基于生物特征远程身份认证的方法
CN108038179A (zh) * 2017-12-07 2018-05-15 泰康保险集团股份有限公司 身份信息认证方法与装置
CN108494778A (zh) * 2018-03-27 2018-09-04 百度在线网络技术(北京)有限公司 身份认证方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9419956B2 (en) * 2010-03-22 2016-08-16 Bank Of America Corporation Systems and methods for authenticating a user for accessing account information using a web-enabled device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506168A (zh) * 2016-12-07 2017-03-15 北京信任度科技有限公司 一种安全的基于生物特征远程身份认证的方法
CN108038179A (zh) * 2017-12-07 2018-05-15 泰康保险集团股份有限公司 身份信息认证方法与装置
CN108494778A (zh) * 2018-03-27 2018-09-04 百度在线网络技术(北京)有限公司 身份认证方法和装置

Also Published As

Publication number Publication date
CN112040481A (zh) 2020-12-04

Similar Documents

Publication Publication Date Title
CN1961525B (zh) 移动智能数据载体和动态数据报转换承启的网络通讯系统
WO2020133655A1 (zh) 边缘计算场景下支持异构终端匿名接入的轻量级认证方法
CN108964919A (zh) 基于车联网的具有隐私保护的轻量级匿名认证方法
CN109756893B (zh) 一种基于混沌映射的群智感知物联网匿名用户认证方法
CN109327313A (zh) 一种具有隐私保护特性的双向身份认证方法、服务器
CN112417494B (zh) 基于可信计算的电力区块链系统
CN109802942A (zh) 一种隐私保护的声纹认证方法及系统、移动终端
CN112910861A (zh) 基于群组认证和分段鉴权的电力物联网终端设备认证方法
JPWO2010005071A1 (ja) パスワード認証方法
CN114125833A (zh) 一种用于智能设备通信的多因素认证密钥协商方法
CN114430324B (zh) 基于哈希链的线上快速身份验证方法
CN113849815B (zh) 一种基于零信任和机密计算的统一身份认证平台
CN112329519A (zh) 一种安全的在线指纹匹配方法
CN114339735B (zh) 一种基于ntru的天地一体化网络匿名接入认证方法
CN113572765B (zh) 一种面向资源受限终端的轻量级身份认证密钥协商方法
CN110838920A (zh) web系统中无需存储口令相关信息的口令认证与密钥协商协议
CN113055394A (zh) 一种适用于v2g网络的多服务双因子认证方法及系统
CN118784300A (zh) 基于隐私计算和智能上下文的跨平台安全登录方法及系统
Yang et al. AI-oriented two-phase multifactor authentication in SAGINs: Prospects and challenges
Badshah et al. USAF-IoD: ultralightweight and secure authenticated key agreement framework for internet of Drones environment
CN112383401A (zh) 一种提供身份鉴别服务的用户名生成方法及系统
CN112040481B (zh) 一种基于5g通信网关的二次认证方法
Bansal et al. Lightweight authentication protocol for inter base station communication in heterogeneous networks
Pu et al. litegap: Lightweight group authentication protocol for internet of drones systems
Abuarqoub A lightweight two-factor authentication scheme for mobile cloud computing

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant