一种终端二次认证方法及系统与流程

1.本发明涉及通信安全技术领域，具体涉及一种终端二次认证方法及系统。


背景技术：

2.随着5g的到来，物联网的发展有了新的前景和机遇。另一方面，大量物联网设备的接入将面临更加严峻的设备安全接入挑战。为满足垂直行业的高安全要求，5g网络提出了二次认证架构，采用可扩展身份认证协议(eap)实现用户终端与数据网络之间的二次认证，满足不同业务的安全要求。在海量接入场景下，连接到物联网的设备具有性质迥异、数量庞大的特点，这就需要对每个终端逐一进行认证，这无疑带来了认证成本高、效率低的问题。


技术实现要素：

3.因此，本发明要解决的技术问题在于克服现有技术中认证成本高、效率低的缺陷，从而提供一种终端二次认证方法及系统。
4.本发明提出的技术方案如下：
5.本发明实施例第一方面提出了一种终端二次认证方法，应用于5g终端，所述终端二次认证方法包括：向dn-aaa服务器发送认证请求报文，所述dn-aaa服务器位于企业内网；接收所述dn-aaa服务器发送的第一签密消息，对所述第一签密消息进行解签密；根据解签密结果判断所述dn-aaa服务器的网络身份认证是否通过；当确认所述dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；将所述第二签密消息聚合处理后发送到所述dn-aaa服务器，根据所述dn-aaa服务器对所述第二签密消息的反馈信息建立所述5g终端到数据网络的连接。
6.优选地，终端二次认证方法，还包括：基于口令的认证密钥协商协议，建立所述5g终端、所述dn-aaa服务器及密钥生成中心之间的密钥传输安全通道。
7.优选地，基于口令的认证密钥协商协议进行密钥交换包括：选取一个随机数，利用公开参数计算得到第一消息，将所述第一消息发送给密钥生成中心；接收密钥生成中心发送的第二消息和认证信息，利用公开参数对所述认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥，将所述高熵会话密钥作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心。
8.优选地，终端二次认证方法，还包括：检查当前主认证是否已通过；当主认证已通过时，执行向dn-aaa服务器发送认证请求报文的步骤。
9.本发明实施例第二方面提出了一种终端二次认证方法，应用于dn-aaa服务器，所述终端二次认证方法包括：响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码；对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，并将所述第一签密消息发送到所述5g终端；对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断所述5g终端的身份认证是否通过；当所述5g终端的身份验证通过时，发送身份认证成功声明到所述5g终端，建立所述5g终端到数据网络的连接。
10.优选地，所述对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，包括：选取随机数作为长期私钥，根据公开参数计算出对应公钥，得到公私钥对，并将公钥通过发送给密钥生成中心；对返回给5g终端的挑战码和身份认证码进行签密，得到第一签密消息。
11.本发明实施例第三方面提出了一种终端二次认证方法，应用于密钥生成中心，所述终端二次认证方法包括：接收5g终端发送的第一消息，选取一个随机数，利用公开参数得到第二消息和认证信息，将所述第二消息和所述认证信息发送给5g终端；接收5g终端发送的确认消息，并验证确认消息，验证通过后，利用公开参数计算出高熵会话密钥；利用高熵会话密钥，建立安全通道传输密钥。
12.优选地，终端二次认证方法，还包括：选取随机数作为主密钥，并计算主公钥；选取参与运算的公开参数；根据公开参数计算出dn-aaa服务器的部分私钥，并将部分私钥发送给5g终端。
13.本发明实施例第四方面提出了一种终端二次认证系统，包括：5g终端及dn-aaa服务器，其中，所述5g终端向dn-aaa服务器发送认证请求报文，所述dn-aaa服务器位于企业内网；所述dn-aaa服务器响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码；所述dn-aaa服务器对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，并将所述第一签密消息发送到所述5g终端；所述5g终端接收所述dn-aaa服务器发送的第一签密消息，对所述第一签密消息进行解签密；所述5g终端根据解签密结果判断所述dn-aaa服务器的网络身份认证是否通过；所述5g终端当确认所述dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；所述5g终端将所述第二签密消息聚合处理后发送到所述dn-aaa服务器，根据所述dn-aaa服务器对所述第二签密消息的反馈信息建立所述5g终端到数据网络的连接；所述dn-aaa服务器对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断所述5g终端的身份认证是否通过；所述dn-aaa服务器当所述5g终端的身份验证通过时，发送身份认证成功声明到所述5g终端，建立所述5g终端到数据网络的连接。
14.优选地，终端二次认证系统，还包括：密钥生成中心，其中，所述5g终端选取一个随机数，利用公开参数计算得到第一消息，将所述第一消息发送给密钥生成中心；所述密钥生成中心接收5g终端发送的第一消息，选取一个随机数，利用公开参数得到第二消息和认证信息，将所述第二消息和所述认证信息发送给5g终端；所述5g终端接收密钥生成中心发送的第二消息和认证信息，利用公开参数对所述认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥，将所述高熵会话密钥作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心；所述密钥生成中心接收5g终端发送的确认消息，并验证确认消息，验证通过后，利用公开参数计算出高熵会话密钥；所述密钥生成中心利用高熵会话密钥，建立安全通道传输密钥。
15.本发明实施例第五方面提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行本发明实施例第一方面、第二方面或第三方面所述的终端二次认证方法。
16.本发明实施例第六方面提出了一种终端二次认证设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通
过执行所述计算机指令，从而执行本发明实施例第一方面、第二方面或第三方面所述的终端二次认证方法。
17.本发明技术方案，具有如下优点：
18.本发明提供的终端二次认证方法，在电力5g终端二次认证的流程引入无证书聚合签密技术，相比传统的公钥密码体制，在保证安全性的同时具有计算和存储空间消耗少和运行效率高的特点，同时又避免了传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
附图说明
19.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例中终端二次认证系统的一个具体示例的一个应用场景示意图；
21.图2为本发明实施例中终端二次认证系统的一个具体示例的另一个应用场景示意图；
22.图3为本发明实施例中终端二次认证方法的一个具体示例的流程图；
23.图4为本发明实施例中终端二次认证方法的另一个具体示例的流程图；
24.图5为本发明实施例中终端二次认证方法的另一个具体示例的流程图；
25.图6为本发明实施例终端二次认证设备的硬件结构示意图。
具体实施方式
26.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
28.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
29.此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
30.如图1所示，是本发明实施例的应用场景示意图。通过电力5g终端发送认证请求报
文，认证请求报文通过接入网和承载网进入运营商核心网的upf(user plane function，用户面功能)进行流量卸载，然后送入企业内网的dn-aaa服务器。dn-aaa服务器响应报文，生成基于随机数和时间戳的挑战码，采用基于椭圆曲线有限域的无证书签密方案签密，将签密消息发送到电力5g终端。电力5g终端的二次认证模块解签密得到挑战码，判断dn-aaa服务器的网络身份认证是否通过。身份认证通过后，电力5g终端对挑战码和电力5g终端的身份认证码采用基于椭圆曲线有限域的无证书签密方案进行签密，将签密消息发送到mec(multi-access edge computing，边缘云)上，由聚合中心聚合处理后发送到dn-aaa服务器。dn-aaa服务器进行聚合解签密，判断电力5g终端的身份认证是否通过。身份认证通过后，dn-aaa服务器发送身份认证成功声明到电力5g终端，成功建立电力5g终端建立到数据网络的连接。
31.本发明实施例提出了一种终端二次认证系统，如图1所示，包括：5g终端及dn-aaa服务器，其中，5g终端向dn-aaa服务器发送认证请求报文，dn-aaa服务器位于企业内网；dn-aaa服务器响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码；dn-aaa服务器对挑战码和5g终端身份认证码进行签密，得到第一签密消息，并将第一签密消息发送到5g终端；5g终端接收dn-aaa服务器发送的第一签密消息，对第一签密消息进行解签密；5g终端根据解签密结果判断dn-aaa服务器的网络身份认证是否通过；5g终端当确认dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；5g终端将第二签密消息聚合处理后发送到dn-aaa服务器，根据dn-aaa服务器对第二签密消息的反馈信息建立5g终端到数据网络的连接；dn-aaa服务器对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断5g终端的身份认证是否通过；dn-aaa服务器当5g终端的身份验证通过时，发送身份认证成功声明到5g终端，建立5g终端到数据网络的连接。
32.在一具体实施例中，5g终端发送认证请求报文后，dn-aaa服务器响应认证请求报文，采用基于挑战—应答的动态口令认证方案，生成基于随机数和时间戳的挑战码，实现动态认证。dn-aaa服务器从数据库中获取电力5g终端的密码，作为共享密钥，对身份认证挑战码加密。dn-aaa服务器对挑战码和5g终端身份认证码进行签密，得到第一签密消息，并将第一签密消息发送到电力5g终端。其中，5g终端发送的认证请求报文中包括5g终端身份认证码。此时，采用基于数字证书及设备id绑定等标识作为电力5g终端的身份认证码。
33.进一步地，5g终端的二次认证模块对第一签密消息进行解密，恢复明文，得到挑战码。5g终端根据解签密结果判断dn-aaa服务器的网络身份认证是否通过。具体地，第一签密消息包含消息和认证信息，利用公开参数计算认证信息得到值w,进而利用w和公开参数恢复明文，得到挑战码。利用公开参数对认证信息计算，若签密算法中定义的验证等式成立，则5g终端判断身份认证通过。
34.进一步地，电力5g终端确认dn-aaa服务器的网络身份认证通过后，电力5g终端对挑战码和电力5g终端的身份认证码进行签密，得到第二签密消息。
35.进一步地，5g终端将第二签密消息发送到mec上，由聚合中心聚合处理后发送到dn-aaa服务器。
36.进一步地，dn-aaa服务器对5g电力终端返回的第二签密消息进行聚合解签密，恢复明文，并根据解密结果判断电力5g终端的身份认证是否通过。具体地，对于每个电力5g终端，利用公开参数对签密消息中的认证信息计算，若聚合签密算法中定义的验证等式成立，
则判断该5g终端身份认证通过。
37.进一步地，dn-aaa服务器在确定电力5g终端的身份验证通过的情况下，dn-aaa服务器发送身份认证成功声明到电力5g终端。至此二次身份认证结束，成功建立电力5g终端建立到数据网络的连接。
38.本发明提供的终端二次认证方法，在电力5g终端二次认证的流程引入无证书聚合签密技术，相比传统的公钥密码体制，在保证安全性的同时具有计算和存储空间消耗少和运行效率高的特点，同时又避免了传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
39.在一实施例中，如图2所示，终端二次认证系统，还包括：密钥生成中心，其中，5g终端选取一个随机数，利用公开参数计算得到第一消息，将第一消息发送给密钥生成中心；密钥生成中心接收5g终端发送的第一消息，选取一个随机数，利用公开参数得到第二消息和认证信息，将第二消息和认证信息发送给5g终端；5g终端接收密钥生成中心发送的第二消息和认证信息，利用公开参数对认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥sk，将高熵会话密钥sk作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心；密钥生成中心接收5g终端发送的确认消息，并验证确认消息，验证通过后，利用公开参数计算出高熵会话密钥sk；密钥生成中心利用高熵会话密钥sk，建立安全通道传输密钥。
40.在一具体实施例中，在二次认证过程中，为增强二次认证过程中密钥生成中心kgc、电力5g终端、认证服务服务器之间密钥传输的安全性，采用标准模型下高效的基于口令认证密钥协商协议，建立密钥传输的安全通道。在带外方式分配简单口令给kgc、5g终端、认证服务服务器后，利用口令认证密钥交换(pake)协议使得共享低熵口令的用户通过不安全的公共信道安全地生成共享的高熵会话密钥，从而建立密钥传输的安全通道。
41.具体地，采用标准模型下高效的基于口令认证密钥协商协议。kgc和5g终端通过该密钥协商协议进行密钥交换的步骤包括：
42.1)5g终端选取一个随机数，利用公开参数计算消息发送给kgc。
43.2)kgc收到5g终端的消息后，选取一个随机数，利用公开参数计算消息和认证信息发送给5g终端。
44.3)5g终端收到消息和认证信息后，利用公开参数对认证信息进行验证，对5g终端收到的消息利用公开参数计算后得到σ，将σ代入公开参数计算，将得到的值与认证信息相比较，一致则通过验证。验证通过后计算出确认消息和高熵会话密钥sk，将该密钥作为和kgc共享的会话密钥，并将确认消息发送给kgc。此处的确认消息用来表明5g终端此次收到的消息和认证消息验证通过。
45.4)kgc收到确认消息后，利用前面的计算结果σ验证确认消息。将σ代入公开参数计算，将得到的值与确认消息相比较，一致则通过验证。验证通过后，利用公开参数计算出高熵会话密钥sk。此处的高熵会话密钥sk和步骤3)是同一个会话密钥sk。即分别由kgc和5g终端各自计算得到一个高熵会话密钥sk。
46.5)利用高熵会话密钥sk，kgc和5g终端之间可以建立安全通道传输密钥。
47.在一实施例中，5g终端检查当前主认证是否已通过；当主认证已通过时，执行向dn-aaa服务器发送认证请求报文的步骤。
48.在一具体实施例中，电力5g终端中的二次认证触发模块接收到特定的事件触发后，检查当前主认证是否已通过。如主认证已通过，则电力5g终端发送认证请求报文。在5g和电力通信网混合组网架构中，企业专有5g设备与internet服务器之间没有本地流量路径，因此流量必须到达运营商边缘云中的upf，然后通过专线回到企业内部，与企业局域网设备进行通信。为企业中的5g设备提供5g应用服务的mec位于移动运营商边缘云中。因此，认证请求报文通过接入网和承载网进入运营商核心网的upf进行流量卸载，然后送入企业内网的dn-aaa服务器。
49.在一实施例中，dn-aaa服务器对挑战码和5g终端身份认证码进行签密，得到第一签密消息的步骤中，终端二次认证系统还通过密钥生成中心选取随机数作为主密钥，并计算主公钥；密钥生成中心选取参与运算的公开参数；dn-aaa服务器选取随机数作为长期私钥，根据公开参数计算出对应公钥，得到公私钥对，并将公钥通过发送给密钥生成中心；密钥生成中心根据公开参数计算出dn-aaa服务器的部分私钥，并将部分私钥发送给5g终端；dn-aaa服务器对返回给5g终端的挑战码和身份认证码进行签密，得到第一签密消息。
50.在一具体实施例中，dn-aaa服务器采用基于椭圆曲线有限域的无证书签密方案。无证书公钥密码算法既保持公钥密码体制的优点，又可以避免传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
51.具体地，签密阶段步骤包括：
52.1)密钥生成中心kgc进行系统初始化。kgc选取随机数作为主密钥，并计算主公钥。
53.2)kgc输出选取参与运算的公开参数。
54.3)dn-aaa服务器选取随机数作为长期私钥，根据公开参数计算出对应公钥，得到公私钥对，并将公钥通过已建立的安全通道发送给kgc。
55.4)kgc根据公开参数计算出dn-aaa服务器的部分私钥，通过已建立的安全通道发送给对应终端。
56.5)dn-aaa服务器对返回给每一个电力5g终端的挑战码和身份认证码进行签密，得到第一签密消息。
57.在一实施例中，5g终端当确认dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息的步骤包括：
58.1)密钥生成中心kgc进行系统初始化。kgc选取随机数作为主密钥，并计算主公钥。
59.2)kgc广播选取参与运算的公开参数。
60.3)电力5g终端、聚合中心、dn-aaa服务器选取随机数作为长期私钥，根据公开参数计算出对应公钥，得到公私钥对，并将公钥通过已建立的安全通道发送给kgc，进行注册。
61.4)kgc根据公开参数计算出电力5g终端的部分私钥，通过已建立的安全通道发送给对应终端。同样，kgc计算出聚合中心、dn-aaa服务器的部分私钥，并通过安全通道发送到终端。
62.5)电力5g终端对挑战码和身份认证码进行签密。
63.6)签密消息聚合处理。
64.在本发明实施例中，聚合签密采用基于椭圆曲线有限域的无证书签密方案。聚合签密由多个签名密者、一个签密聚合者和一个验证者组成，这里的参与者分别为电力5g终端、mec上的聚合中心、dn-aaa服务器。
65.在一实施例中，5g终端将第二签密消息发送到mec上，由聚合中心聚合处理后发送到dn-aaa服务器过程中。签密消息通过接入网和承载网进入本地厂站端upf进行流量卸载，然后送入mec设备进行聚合处理。根据不同的业务类型，形成不同的业务流向。互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的mec/upf处理后，经5g网络eap通道返回给aaa服务器。生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的mec/upf处理后，通过正反向隔离装置，经5g网络eap通道返回给aaa服务器。
66.本发明实施例还提出了一种终端二次认证方法，应用于5g终端，如图3所示，终端二次认证方法包括如下步骤：
67.步骤s11：向dn-aaa服务器发送认证请求报文，dn-aaa服务器位于企业内网。
68.在一具体实施例中，在进行二次认证前还需检查当前主认证是否已通过。当主认证已通过时，执行向dn-aaa服务器发送认证请求报文的步骤。在向dn-aaa服务器发送认证请求报文时，由于在5g和电力通信网混合组网架构中，企业专有5g设备与internet服务器之间没有本地流量路径，因此流量必须到达运营商边缘云中的upf，然后通过专线回到企业内部，与企业局域网设备进行通信。为企业中的5g设备提供5g应用服务的mec位于移动运营商边缘云中。因此，认证请求报文通过接入网和承载网进入运营商核心网的upf进行流量卸载，然后送入企业内网的dn-aaa服务器。
69.步骤s12：接收dn-aaa服务器发送的第一签密消息，对第一签密消息进行解签密。
70.在一具体实施例中，5g终端的二次认证模块对第一签密消息进行解密，恢复明文，得到挑战码。
71.步骤s13：根据解签密结果判断dn-aaa服务器的网络身份认证是否通过。
72.在一具体实施例中，5g终端根据解签密结果判断dn-aaa服务器的网络身份认证是否通过。具体地，利用公开参数对签密消息包含的认证信息计算，若签密算法中定义的验证等式成立，则5g终端判断身份认证通过。
73.步骤s14：当确认dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息。
74.在一具体实施例中，5g终端确认dn-aaa服务器的网络身份认证通过后，5g终端对挑战码和5g终端的身份认证码进行签密。此时采用基于数字证书及设备id绑定等标识作为电力5g终端的身份认证码。
75.在本发明实施例中，聚合签密采用基于椭圆曲线有限域的无证书签密方案。聚合签密由多个签名密者、一个签密聚合者和一个验证者组成，这里的参与者分别为电力5g终端、mec上的聚合中心、dn-aaa服务器。
76.步骤s15：将第二签密消息聚合处理后发送到dn-aaa服务器，根据dn-aaa服务器对第二签密消息的反馈信息建立5g终端到数据网络的连接。
77.在一具体实施例中，5g终端将第二签密消息发送到mec上，由聚合中心聚合处理后发送到dn-aaa服务器。
78.具体地，签密消息通过接入网和承载网进入本地厂站端upf进行流量卸载，然后送入mec设备进行聚合处理。根据不同的业务类型，形成不同的业务流向。互联网大区业务及管理大区低带宽非实时的业务经由部署在核心网的mec/upf处理后，经5g网络eap通道返回
给aaa服务器。生产控制大区以及管理信息大区高带宽低延时高可靠的业务经由部署在电网厂站端的mec/upf处理后，通过正反向隔离装置，经5g网络eap通道返回给aaa服务器。
79.在一实施例中，终端二次认证方法，还包括如下步骤：
80.步骤s10：基于口令的认证密钥协商协议，建立5g终端、dn-aaa服务器及密钥生成中心之间的密钥传输安全通道。
81.在一具体实施例中，在二次认证过程中，为增强二次认证过程中密钥生成中心kgc、电力5g终端、认证服务服务器之间密钥传输的安全性，采用标准模型下高效的基于口令认证密钥协商协议，建立密钥传输的安全通道。在带外方式分配简单口令给kgc、5g终端、认证服务服务器后，利用口令认证密钥交换(pake)协议使得共享低熵口令的用户通过不安全的公共信道安全地生成共享的高熵会话密钥，从而建立密钥传输的安全通道。
82.基于口令的认证密钥协商协议进行密钥交换如图4所示，包括如下步骤：
83.步骤s101：选取一个随机数，利用公开参数计算得到第一消息，将第一消息发送给密钥生成中心。
84.在本发明实施例中，5g终端选取一个随机数，利用公开参数计算消息发送给kgc。
85.步骤s102：接收密钥生成中心发送的第二消息和认证信息，利用公开参数对认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥sk，将高熵会话密钥sk作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心。
86.在本发明实施例中，5g终端收到消息和认证信息后，利用公开参数对认证信息进行验证，验证通过后计算出验证消息和新的高熵会话密钥sk，将该密钥作为和kgc共享的会话密钥，并将确认消息发送给kgc。
87.本发明实施例提出了一种终端二次认证方法，应用于dn-aaa服务器，如图3所示，终端二次认证方法包括如下步骤：
88.步骤s21：响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码。
89.在一具体实施例中，dn-aaa服务器响应认证请求报文，采用基于挑战—应答的动态口令认证方案，生成基于随机数和时间戳的挑战码，实现动态认证。dn-aaa服务器从数据库中获取电力5g终端的密码，作为共享密钥，对身份认证挑战码加密。
90.步骤s22：对挑战码和5g终端身份认证码进行签密，得到第一签密消息，并将第一签密消息发送到5g终端。
91.在一具体实施例中，签密采用基于椭圆曲线有限域的无证书签密方案。无证书公钥密码算法既保持公钥密码体制的优点，又可以避免传统公钥密码体制中的证书管理问题以及基于身份的公钥密码体制中的密钥托管问题。
92.步骤s23：对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断5g终端的身份认证是否通过。
93.在一具体实施例中，dn-aaa服务器对5g电力终端返回的第二签密消息进行聚合解签密，恢复明文，并根据解密结果判断电力5g终端的身份认证是否通过。
94.步骤s24：当5g终端的身份验证通过时，发送身份认证成功声明到5g终端，建立5g终端到数据网络的连接。
95.在一具体实施例中，dn-aaa服务器在确定电力5g终端的身份验证通过的情况下，dn-aaa服务器发送身份认证成功声明到电力5g终端。至此二次身份认证结束，成功建立电
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
117.存储器62作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的对应的程序指令/模块。处理器61通过运行存储在存储器62中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的终端二次认证方法。
118.存储器62可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器61所创建的数据等。此外，存储器62可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器62可选包括相对于处理器61远程设置的存储器，这些远程存储器可以通过网络连接至处理器61。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
119.一个或者多个模块存储在存储器62中，当被处理器61执行时，执行实施例中的终端二次认证方法。
120.上述终端二次认证设备具体细节可以对应参阅实施例中对应的相关描述和效果进行理解，此处不再赘述。
121.本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)、随机存储记忆体(random access memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固态硬盘(solid-state drive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
122.显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。