一种基于信任机制的5G轻量级终端接入认证方法与流程

本发明属于通信技术领域，涉及一种基于信任机制的5g轻量级终端接入认证方法。

背景技术：

5g将开启万物互联的时代，其技术主要应用于3个典型的场景，分别是增强移动宽带embb(enhancedmobilebroadband)、大规模物联网mmtc(massivemachine-typecommunications,)，以及低时延高可靠通信urllc(ultra-reliableandlow-latencycommunications)。5g以更快的速度、更大的容量、更低的成本给用户提供更好的用户体验，同时也带来了更多的安全挑战，面临的安全威胁更加广泛。

无线网络具有的开放性与广播性，使其比传统的计算机网络更易遭受窃听、截取、干扰等方式的攻击，并且无线网络中的设备也更加容易被篡改。无线网络这些安全隐患对通信的完整性、机密性、可靠性与可用性造成了极大地破坏。因此，需要通过认证的方式保证无线通信过程中的安全性与可靠性。

5g网络可以分为用户终端ue(userequipment)、服务网sn(servenetwork)和归属网络hn(homenetwork)三个实体。其中，hn中的认证服务功能ausf(authenticationserverfunction)、统一数据管理udm(unifieddatamanagement)、身份认证凭据存储和处理库arpf(authenticationcredentialrepositoryandprocessingfunction)负责向sn提供用于认证过程的认证向量。sn中安全锚定功能seaf(securityanchorfunction)负责完成ue和网络间的认证过程。

在ue与sn进行通信前，ue需要与sn之间通过5gaka过程完成身份的双向认证，保障信息传输的安全性。hn网络会先向ausf发送一组5gheav向量，包括rand、autn、xres*，ausf通过密钥生成kdf(keyderivationfunction)算法，由接收到的xres*计算得到hxres*，组成新的5gav向量，并发送给sn，sn保存xres*并将rand、autn交予ue，ue根据autn、rand等信息完成对sn的验证，然后算出res*发送给seaf，seaf由res*推出xres*与之前存储的hxres*进行对比，对比一致则完成sn对ue的认证，之后seaf将res*转发给ausf，ausf对比res*和xres*实现hn对ue的认证。

在5gaka过程中，用于进行sn验证ue的参数res*要根据kdf算法得到，该算法存在计算量大、计算复杂的问题，且当ue再次认证前次的sn网络时，仍需要进行完成的res*推导的过程。

传统的接入认证方式虽然能够极大地保证用户接入的安全性，但是对ue具有较高的性能需求。随着5g时代的到来，对延时的要求不断高，因此，未来移动网络需要一种快速、“轻重量”的终端接入认证方法。

技术实现要素：

有鉴于此，本发明的目的在于提供一种一种基于信任机制的5g轻量级终端接入认证方法。

为达到上述目的，本发明提供如下技术方案：

一种基于信任机制的5g轻量级终端接入认证方法，该方法包括以下步骤：

s1：终端ue与接入的服务网络sn间通过5gaka进行接入认证前，通过遍历ue接入认证记录表，判断是否首次与该sn进行接入认证；

s2：当确认ue与sn有接入认证历史后，ue先根据autn参数完成对sn网络的验证，然后查看ue的信任值是否满足阈值，如果满足，则启用ue快速认证方式；

s3：确认启用快速认证后，ue将从n13接口处获取的5gheav向量中的rand与接收到来自seaf的rand进行对比；如果检查结果一致，ue将使用5gheav中的xres^*作为res^*，发送至seaf，进行sn对ue的认证；

s4：根据ue和sn认证后的评价更新ue的认证记录和ue对该sn的信任值。

可选的，在所述步骤s1中，ue通过在信任表中遍历此次认证的sn标识，判断是否存在与该sn成功认证的历史，如果未找到相关记录，则在ue与该sn通过5gaka完成首次身份认证成功后，接入记录表创建此次sn的标识与接入时间的记录。

可选的，在所述步骤s2中，由于5gaka过程中，hn中的udm生成的xres＝f2(k,rand)、ck、ik与ue中生成的res＝f2(k,rand)、ck、ik在理论上是一致的，k是长期保存在ue和udm中的相同密钥，rand是由udn产生，经过ausf和seaf传输到ue；udm发送给ausf的xres^*是根据密钥推导函数kdf(ck||ik,s1)得到的，其中s1＝服务网络名称||服务网络名称的长度||rand||rand的长度||xres||xres的长度，ue计算res^*的kdf(ck||ik,s2)，其中s2＝服务网络名称||服务网络名称的长度||rand||rand的长度||res||res的长度，“||”表示字符串的拼接；在ue通过autn验证sn网络后，验证由seaf发送的rand和在n13接口处获取的rand的一致性，并基于ue与该接入网的信任值，判断是否能够采用快速认证。

可选的，在所述步骤s3中，如果ue与此次sn是首次进行身份认证，则信任值t＝0，需依照3gpp协议规定中的过程计算res^*；如果非首次认证，则信任值t＝ωtdirect+(1-ω)tindirect；其中tdirect表示直接信任值，根据计算ue与本次认证的sn之间的历史认证数据获得，tindirect表示间接信任值，是表示除本次接入网络以外与ue建立过认证的sn之间的信任值，ω表示直接信任值的权重，当ue与接入网之间的信任值t满足阈值，将n13接口获取5gheav向量xres^*作为ue发送给sn的res^*，完成ue与seaf认证数据的快速获取。

可选的，在所述步骤s4中，快速认证完成后，ue发送初始nas消息，如果amf没有安全上下文或完整性检查失败，则amf应与ue重新进行完整身份认证过程，在接入记录表中记录失败数据；根据更新失败次数b，更新失败参数若初始nas消息的成功检查，记录本次ue与接入网络交互中成功通过完整性和保密性检查的数据报个数作为评价此次ue快速认证的信任依据，奖励因子dsum是成功认证后ue与sn成功交互的加密数据报数量，dsuccess是成功处理的数据报个数，则认证成功参数表示为ai＝ai-1+(1+α)；根据到i次为止认证成功与失败的参数，计算ue与sn第i次认证之前的预期信任值

此外，引入时间衰落因子βi和重要因子δi；考虑到距离本次验证时间越近的验证结果，对本次信任评估的参考价值越高，所以只保存在距离此次接入认证有限长度的时间t内的数据，βi与i次认证距离此次认证的时间有关

δi与ue第i次成功认证后成功处理的数据报个数di呈正相关d为认证后成功处理的数据报个数总数，处理的数据报越多，表示此次认证连接的重要性越强；

更新ue与此次接入网络认证后两者之间的直接信任值和ue与其他存在与接入记录中的网络之间的间接信任值

为下次快速认证提供依据。

本发明的有益效果在于：

通过对终端认证的信任评估，在终端与以往成功完成身份认证的接入网络再次认证的时候，通过比较用于推导res^*与xres^*的相关参数的一致性，完成接入终端身份的验证，降低了各设备终端进行身份认证时的计算复杂度，同时保证了身份认证的安全性，有助于提高终端与服务网络的认证速度，提高了工作效率。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作优选的详细描述，其中：

图1为基于信任机制的5g轻量级终端接入认证流程图；

图2为本发明流程图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本发明的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本发明的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

请参阅图1～2，一种基于信任机制的5g轻量级终端接入认证方法，包括以下步骤:

ue向服务网络发起认证请求。

在ue的接入认证记录表中查找是否存储了与服务网络身份信息相匹配的数据；

在核对成功的情况下，进入ue与该服务网络的历史信任的阈值判断；在核对失败的情况下，执行完整身份认证过程；

在ue信任值满足阈值的情况下，开启快速认证；信任值低于阈值的情况下，执行完整身份认证；

ue进入快速认证后，从n13端口获取udm发送给ausf的5gheav向量，等待由seaf发送至ue的认证相应消息；

ue收到seaf发送的认证请求消息后，先通过autn确定5gav的新鲜度认证。

验证成功后，对比seaf的认证请求消息中的rand与5gheav向量中的rand是否一致，验证失败后发送同步失败消息；

rand的值对比验证通过后，将5gheav向量中的xers*作为服务网络验证ue的res*参数，发送给seaf；

快速认证完成后，ue发送初始nas消息，如果amf没有安全上下文或完整性检查失败，则amf应启动与ue的重新认证过程。初始nas消息的是否成功检查作为评价此次ue快速认证结果的依据；

快速认证成功完成后，记录本次接入的时间、进行快速接入的网络标识以及与接入网络交互中成功通过完整性和保密性检查的数据报个数。

为了提高快速认证的安全性，将失败行为放大，降低其信誉值。当出现失败认证，更新认证失败次数

同时，为成功认证引入奖励因子根据第i次成功认证后ue与sn成功交互的加密数据报数量dsum和成功处理的数据报个数dsuccess。更新认证成功的参数ai＝ai-1+(1+α)。

由于记录时间越久，对当前信任值的反映能力越差，所以只保存在距离此次接入认证有限长度的时间t内的数据。因此引入时间衰落因子βi，βi与i次认证距离此次认证的时间有关，距离本次验证时间越近的验证结果，对本次信任评估的参考价值越高。

其中，t1表示在t内第一次进行认证的时间，tm表示此次接入时间，ti表示第i次接入的时间。

此外，δi表示重要因子，它与ue第i次成功认证后成功处理的数据报个数di呈正相关，d为认证后成功处理的数据报个数总数，处理的数据报越多，表示此次认证连接的重要性越强。

更新ue与此次接入网络认证后两者之间的直接信任值，表示如下：

其中，si表示ue与sn进行第i次认证的之前预期信任度

更新ue与此次接入网络认证后ue与其他存在与接入记录中的网络之间的间接信任值，表示如下：

其中，tj表示ue与第j个sn之间的直接信任值。

更新信用值t，其中n是ue与此次接入网络认证的次数，表示如下：

此次更新结果作为下次ue与接入网络进行接入认证过程中的信任值参考值。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。