[发明专利]一种基于5G网络的照明系统AKA认证方法

权利要求书

1.一种基于5G网络的照明系统AKA认证方法，其特征在于，包括以下具体实施步骤：

步骤一，建立终端与网络信令连接，SN中的SEAF功能实体根据认证策略决定是否发起认证过程，服务网络确定发起认证时，SN将该用户的用户隐藏标识SUCI和服务网络名称SN_name发送给HN，HK根据接收到的SUCI和SN_name恢复出用户身份标识SUPI；

步骤二，执行认证，根据步骤二中接收的认证信息，HN通过计算构造出质询消息，HK向SN发送一个XRES*的哈希散列值HXRES*，SN存储K_SEAF和期望的质询响应值HXRES*，同时向用户转发该质询消息；

步骤三，UE收到质询消息后，本地保存RAND和AUTN，消息的有效性验证通过后，计算锚定密钥K_SEAF和认证响应RES*，将RES*值转发给网络，SN根据RES*计算出哈希散列HRES*并和本地存储的HXRES*值进行比较，比较相等后，向HN转发该认证响应RES*，HN接收RES*后和本地的XRES*进行比较，比较相等后向SN发生包含SUPI的认证成功消息；

步骤四，在照明系统终端实现5G AKA认证，其认证流程如下：

1)对认证请求消息进行L3消息解码；

2)提取认证参数AUTN和RAND，并对认证参数进行本地存储；

3)将认证参数传入USIM卡；

4)USIM根据传入参数进行网络端认证，将认证结果返回UE；

5)UE接收认证向下后进行编码，通过下层协议栈向网络发送认证响应消息并开启认证响应定时器；

步骤五，通过SDL和TTCN Suite 6.3测试平台进行终端5GAKA认证过程仿真测试，5GMM子层收到RRC子层发送的5GMMAS_AUTHENTICATE_IND原语时，5GMM子层提取出认证参数并发送给USIM，执行认证过程。

2.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，SUCI由用户永久标识SUPI通过加密得到。

3.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤二中，HN计算以下四个值从而构造出质询消息：

1)质询随机数RAND；

2)认证令牌AUTN；

3)SN期望接收的质询响应HXRES*；

4)用于SN和UE建立安全连接的锚定密钥K_SEAF。

4.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤三中，将RES*值转发网络的同时，开启定时器T3516，当UE收到安全模式控制命令后关闭T3516，同时将认证过程中创建的安全上下文投入使用。

5.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤四中，终端的执行认证过程如下：

1)终端接收5GMMAS_AUTHENTICATE_IND原语后，调用nasMessage函数对消息解码，提取出RAND、AUTN认证参数，并本地保存；

2)将本地保存的认证参数通过原语MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_REQ发送给USIM，USIM执行3GPP定义的5GAKA认证算法，计算认证响应；

3)终端接收到USM卡发送的MOBI_SAP_AUTHENTICATE_ERR或MOBI_SAP_AUTHENTICATE_CNF原语后，本地保存USIM卡的认证结果；

4)终端对UISM卡返回的认证进行判断，若同步失败，则通过5GMMAS_AUTHENTICATE_IND向RRC发送包含原因值为#21“synch failure”和AUTS值的认证失败响应，同时开启定时器T3520；若MAC失败，则发送包含原因值为#20“MAC failure”的认证失败响应，开启定时器T3520；若认证成功，则发送包含RES*的认证成功消息，开启定时器T3516。

6.根据权利要求1所述的一种基于5G网络的照明系统AKA认证方法，其特征在于，在步骤五中，若认证成功，USIM通过MOBI_SAP_AUTHENTICATE_CNF原语将锚定密钥K_SEAF和RES*发送给终端，终端接收到RES*，添加认证响应消息头，并将认证响应消息通过原语发送给RRC子层，同时开启定时器T3516。