[发明专利]一种实现二次认证功能的网络侧AAA设计方法及系统

权利要求书

1.一种实现二次认证功能的网络侧AAA设计方法，其特征在于，包括：

将标准AAA分为定制AAA和二次认证增强设备两个部分，所述定制AAA负责计费与通信，所述二次认证增强设备负责终端接入数据业务网络的鉴权与授权，所述定制AAA与所述二次认证增强设备之间定义通信接口；

当所述定制AAA接收到来自终端的EAP数据包后，将消息直接转发给所述二次认证增强设备，由所述二次认证增强设备进行后续处理并返回结果给所述定制AAA，再由所述定制AAA通过会话管理功能SMF将EAP数据包发送给终端；

所述定制AAA能够对接多个所述二次认证增强设备，对于具有不同安全防护等级的终端，所述定制AAA根据终端标识将认证信息转发给对应的所述二次认证增强设备，以满足不同用户的安全需求；

所述定制AAA中存储了所有终端设备的安全防护等级信息以及所有所述二次认证增强设备的安全防护等级，用于在接收到来自终端的EAP数据包时选择相应的二次认证增强设备；

对于具有不同安全防护等级的终端的处理流程包括以下步骤：

S31.所述定制AAA从SMF接收到来自终端的EAP数据包；

S32.所述定制AAA根据终端标识索引查询终端安全防护等级信息表获取终端安全防护等级k；

S33.所述定制AAA查询二次认证增强设备信息表获取安全防护等级为k的二次认证增强设备x；

S34.所述定制AAA通知所述二次认证增强设备x进行处理；

S35.所述定制AAA将处理结果返回给SMF。

2.根据权利要求1所述的一种实现二次认证功能的网络侧AAA设计方法，其特征在于，所述定制AAA对所述二次认证增强设备的访问引入了双向认证机制，所述双向认证机制包括以下步骤：

S11.所述定制AAA向所述二次认证增强设备发起接入请求；

S12.所述二次认证增强设备接收到来自所述定制AAA的接入请求之后，计算认证挑战信息，然后发送给所述定制AAA；

S13.所述定制AAA接收到来自所述二次认证增强设备的认证挑战信息后，对所述二次认证增强设备进行认证，并计算应答信息返回给所述二次认证增强设备；

S14.所述二次认证增强设备接收到来自所述定制AAA的应答后，对所述定制AAA进行认证，并返回认证结果。

3.根据权利要求2所述的一种实现二次认证功能的网络侧AAA设计方法，其特征在于，所述定制AAA和所述二次认证增强设备对来自终端的EAP数据包的处理过程如下所述：

S21.所述定制AAA从SMF接收到来自终端的EAP数据包；

S22.所述定制AAA根据终端标识索引查询其安全防护等级并选择相应的二次认证增强设备；

S23.所述定制AAA通知所述二次认证增强设备进行处理；

S24.所述二次认证增强设备将处理结果返回给所述定制AAA；

S25.所述定制AAA将处理结果返回给SMF。

4.根据权利要求3所述的一种实现二次认证功能的网络侧AAA设计方法，其特征在于，当所述定制AAA通知所述二次认证增强设备处理来自终端的EAP数据包时，需要发送的信息包括EAP报文中的编码、标识、长度和数据；当所述二次认证增强设备将结果返回给所述定制AAA时，需要发送的信息包括能够用于组成EAP报文的编码、标识、长度和数据。

5.根据权利要求1所述的一种实现二次认证功能的网络侧AAA设计方法，其特征在于，所述定制AAA能够直接或通过用户面功能UPF连接到SMF，且与SMF之间的通信接口跟标准AAA与SMF之间的接口保持一致。

6.根据权利要求1～5任一项所述的一种实现二次认证功能的网络侧AAA设计方法的系统，其特征在于，包括定制AAA和至少一个二次认证增强设备，所述定制AAA在二次认证过程中负责通信功能，为所述二次认证增强设备提供通信通道，在SMF和所述二次认证增强设备之间转发EAP数据包；所述二次认证增强设备负责终端接入数据业务网络的鉴权与授权，所述定制AAA与所述二次认证增强设备之间定义通信接口。