[发明专利]一种实现二次认证功能的网络侧AAA设计方法及系统

说明书

本发明涉及无线通信技术领域，本发明公开了一种实现二次认证功能的网络侧AAA设计方法及系统，本发明将标准AAA分为定制AAA和二次认证增强设备两个部分，定制AAA负责计费与通信，二次认证增强设备负责终端接入数据业务网络的鉴权与授权。定制AAA能够对接多个二次认证增强设备，对于具有不同安全防护等级的终端，定制AAA根据终端标识将认证信息转发给对应的二次认证增强设备，以满足不同用户的安全需求。本发明既满足了二次认证增强功能需要，又最大限度地适应了现有产业链的发展现状，有利于二次认证增强功能的落地推广。

技术领域

本发明涉及无线通信技术领域，尤其涉及一种实现二次认证功能的网络侧AAA设计方法及系统。

背景技术

在5G移动通信系统中，3GPP定义了终端接入业务数据网的二次认证，即当核心网对终端的主认证鉴权通过后，随后在为终端建立数据通道之前，将根据终端用户签约信息可选地发起二次认证请求，终端接收到请求后需要通过二次认证之后才能建立数据通道连接到数据网络。负责二次认证功能的5G网络侧设备为AAA(Authentication、Authorization、Accounting)服务器，遵循可扩展身份认证协议EAP(ExtensibleAuthentication Protocol)，由NAS信令承载，是一种5G内生安全控制机制，能够有效防止非授权用户对数据网络的访问；3GPP提出二次认证的初衷是为了使垂直行业用户在5G网络中拥有自主的接入鉴权控制能力，在行业应用方面有着更为广泛的应用场景，但目前3GPP并未对二次认证在终端和网络侧的详细实现方式进行任何约定。

对于特殊行业用户或具有高安全需求的垂直行业用户而言，3GPP提出的5G二次认证机制在网络侧AAA的设计，距离满足高安全需求的垂直行业用户安全需求方面，还有一定差距：

(1)现有产业链缺乏对国产化的灵活支撑考虑：现有公开认证协议和算法往往不能满足这些高安全需求行业用户的安全防护要求，不同行业用户需要根据自己的安全需求，根据具体情况在二次认证流程中采用各种国产化私有的认证协议和密码算法，相应地需要在AAA中对二次认证所涉及的设备模块进行改造。由于安全保密管理规定等原因，在同一个AAA服务器上实现不同安全等级的认证协议和算法以满足所有行业用户的高安全需求是不现实的，因此直接在AAA服务器上进行认证协议和密码算法的增强将导致AAA服务器设备厂商需要为不同行业用户定制专用设备，形成一系列的AAA，增加厂商的研发管理维护成本，不符合设备厂商产品化开发生成的模式。

(2)不满足运营商部署运维的需求：一系列定制化的AAA，也会导致运营商对其入网测试、部署、运维方式发生重大改变，不利于面向特殊行业用户或具有高安全需求的垂直行业用户的二次认证增强功能获得运营商的支持，并在现有移动通信网中的落地实现与推广。

发明内容

为了解决上述问题，本发明提出一种实现二次认证功能的网络侧AAA设计方法及系统，本发明将标准AAA的功能一分为二，其中鉴权(Authentication)和授权(Authorization)功能形成二次认证增强设备，计费(Accounting)功能作为定制AAA，两者之间定义通信接口，协同完成网络侧二次认证增强功能。定制AAA的开发、生产、部署与运维模式与标准AAA保持一致，二次认证增强设备则遵循相应安全管理规定，不同安全需求的终端用户配置实现了不同认证协议和密码算法的二次认证增强设备，这样既满足二次认证增强功能需要，又最大限度地适应了现有产业链的发展现状，有利于二次认证增强功能的落地推广。

本发明的一种实现二次认证功能的网络侧AAA设计方法，包括：

将标准AAA分为定制AAA和二次认证增强设备两个部分，所述定制AAA负责计费与通信，所述二次认证增强设备负责终端接入数据业务网络的鉴权与授权，所述定制AAA与所述二次认证增强设备之间定义通信接口；