本發明公開了一種實現終端二次認證的方法，包括在檢查主認證已通過后，終端通過5G網絡的EAP通道向AAA服務器發起二次認證請求，所述二次認證請求用于觸發所述AAA服務器確定與所述終端對應的二次認證數據，并將所述二次認證數據以報文的形式下發給所述終端；所述終端根據所處的應用場景，使用所述二次認證數據進行鑒權，并生成應答返回給所述AAA服務器，以確定所述終端的二次認證結果。本發明提供的一種實現終端二次認證的方法，能夠為不同應用場景下需要二次認證的終端提供定制化的二次認證服務，指導行業用戶部署符合自身應用場景的帶寬、時延、連接數等要求的AAA服務器，達到防止攻擊者在網絡層竊取用戶隱私的目的。

技術領域

本發明實施例涉及通信安全技術領域，尤其涉及一種實現終端二次認證的方法。

背景技術

5G技術是新一代信息通信技術的發展方向，不僅具有更強的性能，而且也具備更加豐富的應用場景，從傳統的人與人通信延伸覆蓋到人與物、物與物之間的智能互聯，是未來經濟社會數字化轉型的關鍵基礎設施。

在主認證基礎上，5G技術面向行業可提供網絡切片，允許行業部署專用的AAA(AuthenticationAuthorizationAccounting，驗證、授權和記賬)服務器，進行二次認證，以便完成行業專用的接入認證。其中，主認證是指終端(包括但不限于手機、平板電腦、物聯網終端設備等)接入歸屬網絡(此時指5G網絡)的鑒別認證，而二次認證則是指終端與AAA服務器之間端到端的認證。即，當用戶完成5G網絡的接入認證后，可以進一步與行業應用所在的網絡切片或AAA服務器進行二次認證，以此確保能夠防止攻擊者在網絡層竊取用戶隱私。

目前，5G技術采用統一的EAP認證框架，EAP認證框架具備良好的擴展性，能夠支持既有的外部數據網絡，即支持各種已經存在的認證方式和認證基礎設施，如物聯網、交通專網、政企專網等。然而由于3GPP協議只提供了可選的端到端的二次認證EAP通道，而關于如何實現通過該二次認證EAP通道進行二次認證這一部分，現有技術并沒有給出，因此行業用戶不知如何去部署符合自身應用場景的帶寬、時延、連接數等要求的AAA服務器。

發明內容

本發明提供一種實現終端二次認證的方法，以解決現有技術的不足。

為實現上述目的，本發明提供以下的技術方案：

一種實現終端二次認證的方法，所述方法包括：

在檢查主認證已通過后，終端通過5G網絡的EAP通道向AAA服務器發起二次認證請求，所述二次認證請求用于觸發所述AAA服務器確定與所述終端對應的二次認證數據，并將所述二次認證數據以報文的形式下發給所述終端；

所述終端根據所處的應用場景，使用所述二次認證數據進行鑒權，并生成應答返回給所述AAA服務器，以確定所述終端的二次認證結果。

進一步地，所述實現終端二次認證的方法中，所述終端為高安全等級eMBB場景的終端，包括依次連接的USIM/SE、通信接口模塊、二次認證模塊以及二次認證觸發模塊；

則，所述在檢查主認證已通過后，終端通過5G網絡的EAP通道向AAA服務器發起二次認證請求的步驟包括：

在所述二次認證觸發模塊檢查主認證已通過后，所述二次認證模塊通過5G網絡的EAP通道向所述AAA服務器發起二次認證請求；

所述終端根據所處的應用場景，使用所述二次認證數據進行鑒權，并生成應答返回給所述AAA服務器，以確定所述終端的二次認證結果的步驟包括：

所述二次認證模塊接收到所述二次認證數據后，經所述通信接口模塊調用所述USIM/SE；

所述USIM/SE進行高強度非對稱算法簽名、驗簽以及高速率的行業專用算法加解密運算，并生成應答發送給所述二次認證模塊；