(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210555508.2 (22)申请日 2022.05.20 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网浙江省电力有限公司信息通信 分公司　 国家电网有限公司 (72)发明人 李尼格　邵志鹏　周鹏　马媛媛　 孙嘉赛　陈牧　孙望舒　陈璐　 徐均波　李勇　戴造建　卢子昂　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 甄蒙蒙(51)Int.Cl. H04W 12/06(2021.01) H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) H04W 12/041(2021.01) H04W 12/0431(2021.01) H04W 76/10(2018.01) (54)发明名称 一种终端二次认证方法及系统 (57)摘要 本发明提供的一种终端二次认证方法及系 统， 该方法包括： 向DN ‑AAA服务器发送认证请求 报文， DN‑AAA服务器位于企业内网； 接收DN ‑AAA 服务器发送的第一签密消息， 对第一签密消息进 行解签密； 根据解签密结果判断DN ‑AAA服务器的 网络身份认 证是否通过； 当确认DN ‑AAA服务器的 网络身份认证通过后， 对解签密结果和自身身份 认证码进行签密， 得到第二签密消息； 将第二签 密消息聚合处理后发送到DN ‑AAA服务器。 在电力 5G终端二次认证的流程引入无证书聚合签密技 术， 相比传统的公钥密码体制， 保证了安全性的 同时具有计算和存储空间消耗少和运行效率高 的特点。 权利要求书3页 说明书10页 附图5页 CN 114945171 A 2022.08.26 CN 114945171 A 1.一种终端二次认证方法， 其特 征在于， 应用于 5G终端， 所述终端二次认证方法包括： 向DN‑AAA服务器发送 认证请求报文， 所述DN ‑AAA服务器位于企业内网； 接收所述DN ‑AAA服务器发送的第一签密消息， 对所述第一签密消息进行解签密； 根据解签密结果判断所述DN ‑AAA服务器的网络身份认证是否通过； 当确认所述DN ‑AAA服务器的网络身份认证通过后， 对解签密 结果和自身身份认证码进 行签密， 得到第二签密消息； 将所述第二签密消息聚合处理后发送到所述DN ‑AAA服务器， 根据所述DN ‑AAA服务器对 所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接 。 2.根据权利要求1所述的终端二次认证方法， 其特 征在于， 还 包括： 基于口令的认证密钥协商协议， 建立所述5G终端、 所述DN ‑AAA服务器及密钥生成中心 之间的密钥传输安全通道。 3.根据权利要求2所述的终端二 次认证方法， 其特征在于， 基于口令的认证密钥协商协 议进行密钥交换包括： 选取一个随机数， 利用公开参数计算得到第一消息， 将所述第一消息发送给密钥生成 中心； 接收密钥生成中心发送的第 二消息和认证信 息， 利用公开参数对所述认证信 息进行验 证， 验证通过后计算出确认消息和高熵会话密钥， 将所述高熵会话密钥作为和密钥生成中 心共享的会话密钥， 并将确认消息发送给密钥生成中心。 4.根据权利要求1所述的终端二次认证方法， 其特 征在于， 还 包括： 检查当前主认证是否已通过； 当主认证已通过时， 执 行向DN‑AAA服务器发送 认证请求报文的步骤。 5.一种终端二次认证方法， 其特征在于， 应用于DN ‑AAA服务器， 所述终端二次认证方法 包括： 响应5G终端发送的认证请求报文， 生成基于随机数和时间戳的挑战码； 对所述挑战码和所述5G终端身份认证码进行签密， 得到第一签密消息， 并将所述第一 签密消息发送到所述5G终端； 对5G终端返回的第 二签密消息进行聚合解签密， 根据解密结果判断所述5G终端的身份 认证是否通过； 当所述5G终端 的身份验证通过时， 发送身份认证成功声明到所述5G终端， 建立所述5G 终端到数据网络的连接 。 6.根据权利要求5所述的终端二 次认证方法， 其特征在于， 所述对所述挑战码和所述5G 终端身份认证码进行签密， 得到第一签密消息， 包括： 选取随机数作为长期私钥， 根据公开参数计算出对应公钥， 得到公私钥对， 并将公钥通 过发送给密钥生成中心； 对返回给5G终端的挑战码和身份认证码进行签密， 得到第一签密消息 。 7.一种终端二 次认证方法， 其特征在于， 应用于密钥生成中心， 所述终端二 次认证方法 包括： 接收5G终端发送的第一消息， 选取一个随机数， 利用公开参数得到第二消息和认证信 息， 将所述第二消息和所述认证信息发送给5G终端；权　利　要　求　书 1/3 页 2 CN 114945171 A 2接收5G终端发送的确认消息， 并验证确认消息， 验证通过后， 利用公开参数计算出高熵 会话密钥； 利用高熵会话密钥， 建立 安全通道传输密钥。 8.根据权利要求7 所述的终端二次认证方法， 其特 征在于， 还 包括： 选取随机数作为主密钥， 并计算主公钥； 选取参与运 算的公开 参数； 根据公开 参数计算出DN ‑AAA服务器的部分私钥， 并将部分私钥发送给5G终端。 9.一种终端二次认证系统， 其特 征在于， 包括： 5G终端及DN ‑AAA服务器， 其中， 所述5G终端向DN ‑AAA服务器发送 认证请求报文， 所述DN ‑AAA服务器位于企业内网； 所述DN‑AAA服务器响应5G终端发送的认证请求报文， 生成基于随机数和时间戳的挑战 码； 所述DN‑AAA服务器对所述挑战码和所述5G终端身份认证码进行签密， 得到第一签密消 息， 并将所述第一签密消息发送到所述5G终端； 所述5G终端接收所述DN ‑AAA服务器发送的第一签密消息， 对所述第一签密消息进行解 签密； 所述5G终端根据解签密结果判断所述DN ‑AAA服务器的网络身份认证是否通过； 所述5G终端当确认所述DN ‑AAA服务器的网络身份认证通过后， 对解签密 结果和自身身 份认证码进行签密， 得到第二签密消息； 所述5G终端将所述第二签密消息聚合处理后发送到所述DN ‑AAA服务器， 根据所述DN ‑ AAA服务器对所述第二签密消息的反馈信息建立所述5G终端到数据网络的连接； 所述DN‑AAA服务器对5G终端返回的第二签密消息进行 聚合解签密， 根据解密 结果判断 所述5G终端的身份认证是否通过； 所述DN‑AAA服务器当所述5G终端的身份验证通过 时， 发送身份认证成功声明到所述5G 终端， 建立所述5G终端到数据网络的连接 。 10.根据权利要求9所述的终端二次认证系统， 其特征在于， 还包括： 密钥生成中心， 其 中， 所述5G终端选取一个随机数， 利用公开参数计算得到第一消息， 将所述第一消息发送 给密钥生成中心； 所述密钥生成中心接收5G终端发送的第一消息， 选取一个随机数， 利用公开参数得到 第二消息和认证信息， 将所述第二消息和所述认证信息发送给5G终端； 所述5G终端接收密钥生成中心发送的第二消息和认证信 息， 利用公开参数对所述认证 信息进行验证， 验证通过后计算出确认消息和高熵会话密钥， 将所述高熵会话密钥作为和 密钥生成中心共享的会话密钥， 并将确认消息发送给密钥生成中心； 所述密钥生成中心接收5G终端发送的确认消息， 并验证确认消息， 验证通过后， 利用公 开参数计算出高熵会话密钥； 所述密钥生成中心利用高熵会话密钥， 建立 安全通道传输密钥。 11.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机指 令， 所述计算机指令用于使所述计算机执行如权利要求1 ‑8任一项所述的终端二次认证方 法。权　利　要　求　书 2/3 页 3 CN 114945171 A 3