[发明专利]一种适用于移动通信不同应用场景的二次认证方法和系统

权利要求书

1.一种适用于移动通信不同应用场景的二次认证系统，其特征在于，包括：

二次认证载体，用于认证计算处理；

二次认证客户端，用于提供终端侧认证协议的解析与封装；

EAP客户端，用于实现EAP承载协议的解析与封装；

AAA服务器，用于提供除认证功能以外的通用功能，包括底层通信及EAP承载相关功能；所述EAP客户端与所述AAA服务器配合，提供底层EAP的对等交互；

二次认证服务器，用于提供认证计算及协议的封装与解析；所述二次认证载体、所述二次认证客户端与所述二次认证服务器配合，提供上层认证的对等交互；

所述二次认证载体、所述二次认证客户端和所述EAP客户端设置于终端侧，且相互分离以实现认证计算、认证协议和承载开销之间的去耦合；所述AAA服务器和所述二次认证服务器设置于网络侧，且相互分离以实现通信功能与认证功能间的去耦合；

在保持所述EAP客户端和所述AAA服务器功能固定的前提下，通过所述二次认证客户端以及所述二次认证服务器提供差异化的认证协议，来实现差异化能力的二次认证功能：对于具有高带宽特点的eMBB场景，所述EAP客户端与所述二次认证客户端合并设置，由所述二次认证客户端及所述二次认证服务器实现高强度的认证协议；对于具有低功耗和窄带特点的mMTC场景，所述EAP客户端与所述二次认证客户端分离，部署在网络边缘处或非3GPP接入点，由所述二次认证客户端及所述二次认证服务器实现轻量化的认证协议，以减轻认证对空口资源带来的开销；对于具有低延时特点的uRLLC场景，由所述二次认证客户端及所述二次认证服务器实现低时延认证协议，以减少认证的时延；

在保持所述EAP客户端和所述AAA服务器功能固定的前提下，针对不同的行业用户，通过所述二次认证载体和所述二次认证服务器来提供差异化认证算法的资质，以及通过所述二次认证客户端和所述二次认证服务器来提供不同强度的认证协议：对于普通公众用户，使用虚拟的或普通的所述二次认证载体，加载国际公开认证算法，配合提供标准认证协议的所述二次认证客户端及所述二次认证服务器来提供通用的二次认证功能；对于高安全需求的垂直行业用户，使用有国产认证算法资质的所述二次认证载体和所述二次认证服务器，配合提供标准认证协议的所述二次认证客户端及所述二次认证服务器来提供国产体制的二次认证功能；对于关键行业用户，使用有专用认证算法资质的所述二次认证载体和所述二次认证服务器，配合提供专用认证协议的所述二次认证客户端及所述二次认证服务器来提供专用体制的二次认证功能；

对于不同应用模式，提供不同部署方式的所述AAA服务器及所述二次认证服务器来提供二次认证服务功能：对于专线应用模式的用户，用户与普通运营商的边界在DN入口处，在这种模式下，提供部署于DN处的所述AAA服务器及所述二次认证服务器，所述AAA服务器通过专线与UPF连接；对于专网应用模式的用户，用户与普通运营商的边界在核心网归属网络和拜访网络的交界处，在这种模式下，提供部署于核心网归属网络中的所述AAA服务器及所述二次认证服务器，所述AAA服务器能够供SMF直接调用。

2.根据权利要求1所述的一种适用于移动通信不同应用场景的二次认证系统，其特征在于，在保持所述EAP客户端和所述AAA服务器功能固定的前提下，根据需要配属不同的所述二次认证载体来支撑差异化的认证能力，或通过所述二次认证客户端来适配不同的认证凭证来提供辅助：

对于具有高带宽特点的eMBB场景，单独配属计算资源丰富的TF卡作为所述二次认证载体保证二次认证强度，或在此措施基础上采用支持生物特征配合证书的所述二次认证客户端来提高易用性；

对于具有低功耗特点的mMTC场景，复用物联网终端的eSIM作为所述二次认证载体降低二次认证的功耗，或在此措施基础上分离所述EAP客户端来进一步降低二次认证的功耗，采用支持用户名和口令的所述二次认证客户端来降低对载体的开销；

对于具有低延时特点的uRLLC场景，用具有高速率接口的高速率载体作为所述二次认证载体降低认证的时延，或在此措施基础上前置所述AAA服务器来进一步降低认证的时延，采用支持口令或证书的所述二次认证客户端来减少认证过程中人的参与度。