一种终端二次认证方法及系统与流程

技术特征：
1.一种终端二次认证方法，其特征在于，应用于5g终端，所述终端二次认证方法包括：向dn-aaa服务器发送认证请求报文，所述dn-aaa服务器位于企业内网；接收所述dn-aaa服务器发送的第一签密消息，对所述第一签密消息进行解签密；根据解签密结果判断所述dn-aaa服务器的网络身份认证是否通过；当确认所述dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；将所述第二签密消息聚合处理后发送到所述dn-aaa服务器，根据所述dn-aaa服务器对所述第二签密消息的反馈信息建立所述5g终端到数据网络的连接。2.根据权利要求1所述的终端二次认证方法，其特征在于，还包括：基于口令的认证密钥协商协议，建立所述5g终端、所述dn-aaa服务器及密钥生成中心之间的密钥传输安全通道。3.根据权利要求2所述的终端二次认证方法，其特征在于，基于口令的认证密钥协商协议进行密钥交换包括：选取一个随机数，利用公开参数计算得到第一消息，将所述第一消息发送给密钥生成中心；接收密钥生成中心发送的第二消息和认证信息，利用公开参数对所述认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥，将所述高熵会话密钥作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心。4.根据权利要求1所述的终端二次认证方法，其特征在于，还包括：检查当前主认证是否已通过；当主认证已通过时，执行向dn-aaa服务器发送认证请求报文的步骤。5.一种终端二次认证方法，其特征在于，应用于dn-aaa服务器，所述终端二次认证方法包括：响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码；对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，并将所述第一签密消息发送到所述5g终端；对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断所述5g终端的身份认证是否通过；当所述5g终端的身份验证通过时，发送身份认证成功声明到所述5g终端，建立所述5g终端到数据网络的连接。6.根据权利要求5所述的终端二次认证方法，其特征在于，所述对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，包括：选取随机数作为长期私钥，根据公开参数计算出对应公钥，得到公私钥对，并将公钥通过发送给密钥生成中心；对返回给5g终端的挑战码和身份认证码进行签密，得到第一签密消息。7.一种终端二次认证方法，其特征在于，应用于密钥生成中心，所述终端二次认证方法包括：接收5g终端发送的第一消息，选取一个随机数，利用公开参数得到第二消息和认证信息，将所述第二消息和所述认证信息发送给5g终端；
接收5g终端发送的确认消息，并验证确认消息，验证通过后，利用公开参数计算出高熵会话密钥；利用高熵会话密钥，建立安全通道传输密钥。8.根据权利要求7所述的终端二次认证方法，其特征在于，还包括：选取随机数作为主密钥，并计算主公钥；选取参与运算的公开参数；根据公开参数计算出dn-aaa服务器的部分私钥，并将部分私钥发送给5g终端。9.一种终端二次认证系统，其特征在于，包括：5g终端及dn-aaa服务器，其中，所述5g终端向dn-aaa服务器发送认证请求报文，所述dn-aaa服务器位于企业内网；所述dn-aaa服务器响应5g终端发送的认证请求报文，生成基于随机数和时间戳的挑战码；所述dn-aaa服务器对所述挑战码和所述5g终端身份认证码进行签密，得到第一签密消息，并将所述第一签密消息发送到所述5g终端；所述5g终端接收所述dn-aaa服务器发送的第一签密消息，对所述第一签密消息进行解签密；所述5g终端根据解签密结果判断所述dn-aaa服务器的网络身份认证是否通过；所述5g终端当确认所述dn-aaa服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；所述5g终端将所述第二签密消息聚合处理后发送到所述dn-aaa服务器，根据所述dn-aaa服务器对所述第二签密消息的反馈信息建立所述5g终端到数据网络的连接；所述dn-aaa服务器对5g终端返回的第二签密消息进行聚合解签密，根据解密结果判断所述5g终端的身份认证是否通过；所述dn-aaa服务器当所述5g终端的身份验证通过时，发送身份认证成功声明到所述5g终端，建立所述5g终端到数据网络的连接。10.根据权利要求9所述的终端二次认证系统，其特征在于，还包括：密钥生成中心，其中，所述5g终端选取一个随机数，利用公开参数计算得到第一消息，将所述第一消息发送给密钥生成中心；所述密钥生成中心接收5g终端发送的第一消息，选取一个随机数，利用公开参数得到第二消息和认证信息，将所述第二消息和所述认证信息发送给5g终端；所述5g终端接收密钥生成中心发送的第二消息和认证信息，利用公开参数对所述认证信息进行验证，验证通过后计算出确认消息和高熵会话密钥，将所述高熵会话密钥作为和密钥生成中心共享的会话密钥，并将确认消息发送给密钥生成中心；所述密钥生成中心接收5g终端发送的确认消息，并验证确认消息，验证通过后，利用公开参数计算出高熵会话密钥；所述密钥生成中心利用高熵会话密钥，建立安全通道传输密钥。11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行如权利要求1-8任一项所述的终端二次认证方法。
12.一种终端二次认证设备，其特征在于，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行如权利要求1-8任一项所述的终端二次认证方法。

技术总结
本发明提供的一种终端二次认证方法及系统，该方法包括：向DN-AAA服务器发送认证请求报文，DN-AAA服务器位于企业内网；接收DN-AAA服务器发送的第一签密消息，对第一签密消息进行解签密；根据解签密结果判断DN-AAA服务器的网络身份认证是否通过；当确认DN-AAA服务器的网络身份认证通过后，对解签密结果和自身身份认证码进行签密，得到第二签密消息；将第二签密消息聚合处理后发送到DN-AAA服务器。在电力5G终端二次认证的流程引入无证书聚合签密技术，相比传统的公钥密码体制，保证了安全性的同时具有计算和存储空间消耗少和运行效率高的特点。的特点。的特点。


技术研发人员：李尼格 邵志鹏 周鹏 马媛媛 孙嘉赛 陈牧 孙望舒 陈璐 徐均波 李勇 戴造建 卢子昂
受保护的技术使用者：国网浙江省电力有限公司信息通信分公司 国家电网有限公司
技术研发日：2022.05.20
技术公布日：2022/8/26