本發明涉及無線通信技術領域，本發明公開了一種實現二次認證功能的網絡側AAA設計方法及系統，本發明將標準AAA分為定制AAA和二次認證增強設備兩個部分，定制AAA負責計費與通信，二次認證增強設備負責終端接入數據業務網絡的鑒權與授權。定制AAA能夠對接多個二次認證增強設備，對于具有不同安全防護等級的終端，定制AAA根據終端標識將認證信息轉發給對應的二次認證增強設備，以滿足不同用戶的安全需求。本發明既滿足了二次認證增強功能需要，又最大限度地適應了現有產業鏈的發展現狀，有利于二次認證增強功能的落地推廣。

技術領域

本發明涉及無線通信技術領域，尤其涉及一種實現二次認證功能的網絡側AAA設計方法及系統。

背景技術

在5G移動通信系統中，3GPP定義了終端接入業務數據網的二次認證，即當核心網對終端的主認證鑒權通過后，隨后在為終端建立數據通道之前，將根據終端用戶簽約信息可選地發起二次認證請求，終端接收到請求后需要通過二次認證之后才能建立數據通道連接到數據網絡。負責二次認證功能的5G網絡側設備為AAA(Authentication、Authorization、Accounting)服務器，遵循可擴展身份認證協議EAP(ExtensibleAuthentication?Protocol)，由NAS信令承載，是一種5G內生安全控制機制，能夠有效防止非授權用戶對數據網絡的訪問；3GPP提出二次認證的初衷是為了使垂直行業用戶在5G網絡中擁有自主的接入鑒權控制能力，在行業應用方面有著更為廣泛的應用場景，但目前3GPP并未對二次認證在終端和網絡側的詳細實現方式進行任何約定。

對于特殊行業用戶或具有高安全需求的垂直行業用戶而言，3GPP提出的5G二次認證機制在網絡側AAA的設計，距離滿足高安全需求的垂直行業用戶安全需求方面，還有一定差距：

(1)現有產業鏈缺乏對國產化的靈活支撐考慮：現有公開認證協議和算法往往不能滿足這些高安全需求行業用戶的安全防護要求，不同行業用戶需要根據自己的安全需求，根據具體情況在二次認證流程中采用各種國產化私有的認證協議和密碼算法，相應地需要在AAA中對二次認證所涉及的設備模塊進行改造。由于安全保密管理規定等原因，在同一個AAA服務器上實現不同安全等級的認證協議和算法以滿足所有行業用戶的高安全需求是不現實的，因此直接在AAA服務器上進行認證協議和密碼算法的增強將導致AAA服務器設備廠商需要為不同行業用戶定制專用設備，形成一系列的AAA，增加廠商的研發管理維護成本，不符合設備廠商產品化開發生成的模式。

(2)不滿足運營商部署運維的需求：一系列定制化的AAA，也會導致運營商對其入網測試、部署、運維方式發生重大改變，不利于面向特殊行業用戶或具有高安全需求的垂直行業用戶的二次認證增強功能獲得運營商的支持，并在現有移動通信網中的落地實現與推廣。

發明內容

為了解決上述問題，本發明提出一種實現二次認證功能的網絡側AAA設計方法及系統，本發明將標準AAA的功能一分為二，其中鑒權(Authentication)和授權(Authorization)功能形成二次認證增強設備，計費(Accounting)功能作為定制AAA，兩者之間定義通信接口，協同完成網絡側二次認證增強功能。定制AAA的開發、生產、部署與運維模式與標準AAA保持一致，二次認證增強設備則遵循相應安全管理規定，不同安全需求的終端用戶配置實現了不同認證協議和密碼算法的二次認證增強設備，這樣既滿足二次認證增強功能需要，又最大限度地適應了現有產業鏈的發展現狀，有利于二次認證增強功能的落地推廣。

本發明的一種實現二次認證功能的網絡側AAA設計方法，包括：

將標準AAA分為定制AAA和二次認證增強設備兩個部分，所述定制AAA負責計費與通信，所述二次認證增強設備負責終端接入數據業務網絡的鑒權與授權，所述定制AAA與所述二次認證增強設備之間定義通信接口；