一种基于5G网络的照明系统AKA认证方法技术方案

本发明专利技术涉及通信技术领域，具体为一种基于5G网络的照明系统AKA认证方法，本发明专利技术应用于照明系统的物联网设备的5G网络认证，通过5G_AKA认证加强归属网络对用户终端的认证能力，使其摆脱了对拜访网络的依赖，过程实现了终端和网络间身份的相互认证以及安全上下文的建立，使终端可以利用安全上下文中的密钥对传输的数据进行机密性和完整性保护。

An aka authentication method of lighting system based on 5g network

【技术实现步骤摘要】
一种基于5G网络的照明系统AKA认证方法
本专利技术涉及通信
，具体为一种基于5G网络的照明系统AKA认证方法。
技术介绍
随着通信网络技术的发展，第5代移动通信网络被提上日程。5G通信网络的设计目标面向3大场景：增强型移动宽带(eMBB)、高可靠低时延(uRLLC)以及海量机器类通信(mMTC)。因此，5G通信不仅考虑人与人之间的通信，还将考虑人与物、物与物之间的通信，进入万物互联的状态。这种情况下，5G认证面临着新的安全需求。一方面，为了适应多种类型的通信终端，并使得它们能够接入通信网络，5G系统将进一步地扩展非蜂窝技术的接入场景。在照明系统中，将物联网设备采用蓝牙、WLAN等技术与网络连接，这类设备采用5G通信时扔倾向于使用原有的拦截方式。这就导致传统面向蜂窝接入的认证机制需要进一步地向非蜂窝接入的方式扩散。另一方面，传统认证机制下，拜访地/归属地的两级移动网络架构下的认证机制要求归属网络无条件信任拜访网络的认证结果。但随着网络的发展，出现了越来越多的安全隐患，拜访网络和归属网络之间的信任程度在不断降低。因此，5G认证还需要加强归属网络对用户终端的认证能力，使其摆脱对拜访网络的依赖，实现用户在归属地和拜访地等不同地点间的认证机制统一。
技术实现思路
本专利技术的目的在于提供一种基于5G网络的照明系统AKA认证方法，以解决上述
技术介绍
中提出的问题。为实现上述目的，本专利技术提供如下技术方案：一种基于5G网络的照明系统AKA认证方法，包括以下具体实施步骤：步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识(SubscriptionConcealedIdentifier,SUCI)和服务网络名称(ServingNetworkName，SNname)发送给HN，HK根据接收到的SUCI和SNname恢复出用户身份标识SUPI；步骤二，执行认证，根据步骤二中接收的认证信息，HN通过计算构造出质询消息，HK向SN发送一个XRES*的哈希散列值HXRES*，SN存储KSEAF和期望的质询响应值HXRES*，同时向用户转发该质询消息；步骤三，UE收到质询消息后，本地保存RAND和AUTN，消息的有效性验证通过后，计算锚定密钥KSEAF和认证响应RES*，将RES*值转发给网络，SN根据RES*计算出哈希散列HRES*并和本地存储的HXRES*值进行比较，比较相等后，向HN转发该认证响应RES*，HN接收RES*后和本地的XRES*进行比较，比较相等后向SN发生包含SUPI的认证成功消息；步骤四，在照明系统终端实现5GAKA认证，其认证流程如下：1)对认证请求消息进行L3消息解码；2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；3)将认证参数传入USIM卡；4)USIM根据传入参数进行网络端认证，将认证结果返回UE；5)UE接收认证向下后进行编码，通过下层协议栈向网络发送认证响应消息并开启认证响应定时器；步骤五，通过SDL和TTCNSuite6.3测试平台进行终端5GAKA认证过程仿真测试，5GMM子层收到RRC子层发送的5GMMAS_AUTHENTICATE_IND原语时，5GMM子层提取出认证参数并发送给USIM，执行认证过程。优选的，在步骤二中，SUCI由用户永久标识(SubscriptionPermanentIdentifier，SUPI)通过加密得到。优选的，在步骤二中，HN计算以下四个值从而构造出质询消息：1)质询随机数RAND；2)认证令牌AUTN；3)SN期望接收的质询响应HXRES*；4)用于SN和UE建立安全连接的锚定密钥KSEAF。优选的，在步骤三中，将RES*值转发网络的同时，开启定时器T3516，当UE收到安全模式控制命令后关闭T3516，同时将认证过程中创建的安全上下文投入使用。优选的，在步骤四中，终端的执行认证过程如下：1)终端接收5GMMAS_AUTHENTICATE_IND原语后，调用voiddecode_string(nasMessage)函数对消息解码，提取出RAND、AUTN认证参数，并本地保存；2)将本地保存的认证参数通过原语MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_REQ发送给USIM，USIM执行3GPP定义的5GAKA认证算法，计算认证响应；3)终端接收到USM卡发送的MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_CNF原语后，本地保存USIM卡的认证结果；4)终端对UISM卡返回的认证进行判断，若同步失败，则通过5GMMAS_AUTHENTICATE_IND向RRC发送包含原因值为#21“synchfailure”和AUTS值的认证失败响应，同时开启定时器T3520；若MAC失败，则发送包含原因值为#20“MACfailure”的认证失败响应，开启定时器T3520；若认证成功，则发送包含RES*的认证成功消息，开启定时器T3516。优选的，在步骤五中，若认证成功，USIM通过MOBI_SAP_AUTHENTICATE_CNF原语将锚定密钥KSEAF和RES*发送给终端，终端接收到RES*，添加认证响应消息头，并将认证响应消息通过原语发送给RRC子层，同时开启定时器T3516。与现有技术相比，本专利技术的有益效果是：本专利技术采用5G-AKA认证框架，安全性更高：1)实现了双向认证，服务器对UE的认证是通过RES实现的，如果UE合法，即可正确计算出RES，且RES等于XRES，UE对服务器的认证是通过MAC实现的，UE计算期望的消息认证码(XMAC)，如果MAC和XMAC一致，则认证成功；2)每次使用的MAC是由不断递增的AQN作为输入变量之一，从而确保了密钥的新鲜性，有效地防止了重放攻击；3)AKA认证机制更利于将服务器分离成认证服务器与鉴全服务器，认证服务器收到请求后，请求鉴权服务器生成AUTN、RAND等健全信息从而进行认证，而鉴权服务器也无需将密码等信息透露给认证服务器。本专利技术通过5GAKA认证过程实现终端和网络间身份的相互认证以及安全上下文的建立，使终端可以利用安全上下文中的密钥对传输的数据进行机密性和完整性保护。具体实施方式下面对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。本专利技术提供一种技术方案：一种基于5G网络的照明系统AKA认证方法，包括以下具体实施步骤：步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证本文档来自技高网...

【技术保护点】
1.一种基于5G网络的照明系统AKA认证方法，其特征在于，包括以下具体实施步骤：/n步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识SUCI和服务网络名称SN

【技术特征摘要】
1.一种基于5G网络的照明系统AKA认证方法，其特征在于，包括以下具体实施步骤：
步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识SUCI和服务网络名称SNname发送给HN，HK根据接收到的SUCI和SNname恢复出用户身份标识SUPI；
步骤二，执行认证，根据步骤二中接收的认证信息，HN通过计算构造出质询消息，HK向SN发送一个XRES*的哈希散列值HXRES*，SN存储KSEAF和期望的质询响应值HXRES*，同时向用户转发该质询消息；
步骤三，UE收到质询消息后，本地保存RAND和AUTN，消息的有效性验证通过后，计算锚定密钥KSEAF和认证响应RES*，将RES*值转发给网络，SN根据RES*计算出哈希散列HRES*并和本地存储的HXRES*值进行比较，比较相等后，向HN转发该认证响应RES*，HN接收RES*后和本地的XRES*进行比较，比较相等后向SN发生包含SUPI的认证成功消息；
步骤四，在照明系统终端实现5GAKA认证，其认证流程如下：
1)对认证请求消息进行L3消息解码；
2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；
3)将认证参数传入USIM卡；
4)USIM根据传入参数进行网络端认证，将认证结果返回UE；
5)UE接收认证向下后进行编码，通过下层协议栈向网络发送认证响应消息并开启认证响应定时器；
步骤五，通过SDL和TTCNSuite6.3测试平台进行终端5GAKA认证过程仿真测试，5GMM子层收到RRC子层发送的5GMMAS_AUTHENTICATE_IND原语时，5GMM子层提取出认证参数并发送给USIM，执行认证过程。


2.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，SUCI由用户永久标识SUPI通过加密得到。


3.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，HN计算以下四个值从而构造出质询消...

【专利技术属性】
技术研发人员：余其明，张建华，史冬冬，陈圣炜，戴玮烨，邵立铖，
申请(专利权)人：南京瑞思其智能科技有限公司，
类型：发明
国别省市：江苏;32