一种基于EAP-TLS协议的5G二次认证方法及系统与流程

技术特征：
1.一种基于eap
‑
tls协议的5g二次认证方法，其特征在于，包括：通过认证服务器功能模块对用户设备进行入网认证；在认证通过后，所述用户设备与接入和移动性管理功能模块之间建立非接入层安全上下文连接；在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话；在所述接入和移动性管理功能模块和会话管理功能模块之间建立协议数据单元会话；所述会话管理功能模块从统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规；若所述用户设备未被认证授权过，所述会话管理功能模块触发可扩展的身份认证协议进行身份认证，以从数据网络认证服务器获得认证授权；所述会话管理功能模块向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息，以开始获取用户的认证信息；所述用户设备收到身份请求信息后响应所述会话管理功能模块请求，将用户身份消息发送给所述会话管理功能模块；若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接，所述会话管理功能模块选择一个用户平面功能模块并与其建立一个协议数据单元会话；所述会话管理功能模块通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器；所述数据网络认证服务器通过用户身份信息检索数据网络认证服务器的数据库，获知传输层安全协议认证方法，所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包，并把所述访问挑战数据包发给所述会话管理功能网元，所述会话管理功能网元把所述数据网络认证服务器的消息转发给所述用户设备；所述用户设备收到传输层安全协议开始的消息后，通过所述会话管理功能网元发送eap
‑
response/client
‑
hello消息给所述数据网络认证服务器；所述数据网络认证服务器收到eap
‑
response/client
‑
hello消息后，确定传输层安全协议已建立，之后封装包含多个传输层安全记录的eap
‑
response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备；所述用户设备验证所述数据网络认证服务器的数字证书，如果合法，通过所述会话管理功能网元向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息；所述数据网络认证服务器验证所述用户设备的数字证书，如果合法，通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备；所述用户设备收到认证消息发送结束的消息后，通过所述会话管理功能网元把eap
‑
response/tls
‑
ack和认证消息发送结束的消息发给所述数据网络认证服务器；所述数据网络认证服务器把eap
‑
success消息发给所述会话管理功能网元；所述会话管理功能网元收到eap
‑
success消息后，结束二次认证流程，并持续执行协议
数据单元会话建立请求程序，等待新的协议数据单元建立请求，并把eap
‑
success发送给所述用户设备。2.根据权利要求1所述的方法，其特征在于，所述通过认证服务器功能模块对用户设备进行入网认证，包括：所述用户设备根据全球用户识别卡中的身份认证信息向5g网络中的认证服务器功能模块发起认证请求；所述认证服务器功能模块对所述用户设备发来的身份认证信息使用入网协议进行身份认证，在认证通过时，所述认证服务器功能模块允许所述用户设备入网。3.根据权利要求1所述的方法，其特征在于，所述在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话，包括：所述用户设备通过向所述接入和移动性管理功能模块发送非接入层消息，建立与所述接入和移动性管理功能模块之间的协议数据单元会话。4.根据权利要求1所述的方法，其特征在于，在所述接入和移动性管理功能模块和会话管理功能网元之间建立协议数据单元会话，包括：所述接入和移动性管理功能模块使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载，选择一个会话管理功能网元发送协议数据单元会话。5.根据权利要求1所述的方法，其特征在于，所述用户设备收到tls协议开始的消息后，通过所述会话管理功能网元发送eap
‑
response/client
‑
hello消息给所述数据网络认证服务器，包括：所述用户设备收到tls协议开始的消息后，通过所述会话管理功能网元将eap
‑
response/client
‑
hello信息封装成访问请求数据包发给所述数据网络认证服务器。6.一种基于eap
‑
tls协议的5g二次认证系统，其特征在于，包括：用户设备、接入和移动性管理功能模块、会话管理功能模块、用户平面功能模块、认证服务器功能模块和数据网络认证服务器；其中：所述认证服务器功能模块，用于对所述用户设备进行入网认证；所述用户设备，用于在认证通过后，与所述接入和移动性管理功能模块之间建立非接入层安全上下文连接；所述用户设备，还用于与所述接入和移动性管理功能模块之间建立协议数据单元会话；所述接入和移动性管理功能模块，用于与所述会话管理功能模块之间建立协议数据单元会话；所述会话管理功能模块，用于从所述统一数据管理模块获取订阅信息并验证所述用户设备的请求是否合规；若所述用户设备未被认证授权过，所述会话管理功能模块，用于触发可扩展的身份认证协议进行身份认证，以从所述数据网络认证服务器获得认证授权；所述会话管理功能模块，还用于向所述用户设备发送可扩展的身份认证协议数据包请求用户身份信息，以开始获取用户的认证信息；所述用户设备，还用于收到身份请求信息后响应所述会话管理功能模块请求，将用户身份消息发送给所述会话管理功能模块；
若所述会话管理功能模块和用户平面功能模块之间未建立协议数据单元会话连接，所述会话管理功能模块，用于选择一个用户平面功能模块并与其建立一个协议数据单元会话；所述会话管理功能模块，还用于通过所述用户平面功能模块将包含用户身份信息的可扩展的身份认证协议数据包转发给所述数据网络认证服务器；所述数据网络认证服务器，用于通过用户身份信息检索数据网络认证服务器的数据库，获知传输层安全协议认证方法，所述数据网络认证服务器把可扩展的身份认证协议请求所述用户设备开始传输层安全协议的信息封装成访问挑战数据包，并把所述访问挑战数据包发给所述会话管理功能网元；所述会话管理功能网元，用于把所述数据网络认证服务器的消息转发给所述用户设备；所述用户设备，还用于在收到传输层安全协议开始的消息后，通过所述会话管理功能网元发送eap
‑
response/client
‑
hello消息给所述数据网络认证服务器；所述数据网络认证服务器，用于在收到eap
‑
response/client
‑
hello消息后，确定传输层安全协议已建立，之后封装包含多个传输层安全记录的eap
‑
response消息的访问挑战数据包经过会话管理功能网元发送给所述用户设备；所述用户设备，还用于验证所述数据网络认证服务器的数字证书，如果合法，通过所述会话管理功能网元还用于向所述数据网络认证服务器发送所述用户设备的数字证书、使用数据网络认证服务器的公钥加密的定长随机串、用户设备能够支持的加密类型和认证消息发送结束的消息；所述数据网络认证服务器，还用于验证所述用户设备的数字证书，如果合法，通过所述会话管理功能网元把用户设备能够支持的加密类型和认证消息发送结束的消息发送给所述用户设备；所述用户设备，还用于在收到认证消息发送结束的消息后，通过所述会话管理功能网元把eap
‑
response/tls
‑
ack和认证消息发送结束的消息发给所述数据网络认证服务器；所述数据网络认证服务器，还用于把eap
‑
success消息发给所述会话管理功能网元；所述会话管理功能网元，还用于在收到eap
‑
success消息后，结束二次认证流程，并持续执行协议数据单元会话建立请求程序，等待新的协议数据单元建立请求，并把eap
‑
success发送给所述用户设备。7.根据权利要求6所述的系统，其特征在于，在通过认证服务器功能模块对用户设备进行入网认证时，所述用户设备，用于根据全球用户识别卡中的身份认证信息向所述认证服务器功能模块发起认证请求；所述认证服务器功能模块，用于对所述用户设备发来的身份认证信息使用入网协议进行身份认证，在认证通过时，所述认证服务器功能模块允许所述用户设备入网。8.根据权利要求6所述的系统，其特征在于，在所述用户设备和所述接入和移动性管理功能模块之间建立协议数据单元会话时，所述用户设备，用于通过向所述接入和移动性管理功能模块发送非接入层消息，建立与所述接入和移动性管理功能模块之间的协议数据单元会话。9.根据权利要求6所述的系统，其特征在于，在所述接入和移动性管理功能模块和会话
管理功能网元之间建立协议数据单元会话时，所述接入和移动性管理功能模块，用于使用所述用户设备与所述接入和移动性管理功能模块之间的会话管理容器作为承载，选择一个会话管理功能网元发送协议数据单元会话。10.根据权利要求6所述的系统，其特征在于，在所述用户设备收到tls协议开始的消息后，通过所述会话管理功能网元发送eap
‑
response/client
‑
hello消息给所述数据网络认证服务器时，所述用户设备，用于在收到tls协议开始的消息后，通过所述会话管理功能网元将eap
‑
response/client
‑
hello信息封装成访问请求数据包发给所述数据网络认证服务器。

技术总结
本发明公开了一种基于EAP


技术研发人员：孙磊 郭松辉 刘海东 郝前防 李作辉 张静 周明 钱大赞 韩松莘 宋云帆 王淼 赵建成 杨梦梦 李楠
受保护的技术使用者：中国人民解放军战略支援部队信息工程大学
技术研发日：2021.07.13
技术公布日：2021/10/15