CN108848495B - 一种使用预置密钥的用户身份更新方法 - Google Patents
一种使用预置密钥的用户身份更新方法 Download PDFInfo
- Publication number
- CN108848495B CN108848495B CN201810483109.3A CN201810483109A CN108848495B CN 108848495 B CN108848495 B CN 108848495B CN 201810483109 A CN201810483109 A CN 201810483109A CN 108848495 B CN108848495 B CN 108848495B
- Authority
- CN
- China
- Prior art keywords
- rand
- supin
- user
- autn
- user identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
- H04W8/20—Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Abstract
本发明涉及一种使用预置密钥的用户身份更新方法,属于用户身份更新技术领域,解决了现有用户身份信息在空口以明文方式传递时身份信息暴露风险增加的问题。一种用户身份更新方法,接收用户端发送的用户身份SUPI;根据接收到的所述SUPI获取新的用户身份SUPIn;使用预置密钥和SUPIn生成鉴权向量AV,所述鉴权向量AV包括AUTN、RAND、XRES、CK、IK;将所述AUTN、RAND发送至用户端,由用户端计算反馈信息,根据用户端反馈信息判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。实现了在线、用户无感、低成本、高效率、低系统改造的用户身份下发、更换,为用户发生身份泄露风险后保护用户身份信息、便捷更新用户身份提供了有力手段。
Description
技术领域
本发明涉及用户身份更新技术领域,尤其涉及一种使用预置密钥的用户身份更新方法。
背景技术
在3G和4G移动通信系统中,在用户附着到小区时,用户需要以明文方式上报永久身份(IMSI)给基站,基站回传给归属地身份管理设备(HLR/HSS)。由于用户身份在空口是以明文方式传递,因此存在被窃听的可能。
在5G中,为了解决用户身份的隐私保护问题,5G的用户永久身份(SUPI)可以使用ECIES(椭圆曲线机密性和完整性保护方式)协商密钥并进行加密,在空口以用户隐藏身份(SUCI)的方式进行传递,避免用户身份在空口直接被窃听,用户隐藏身份在用户身份解密功能(SIDF)中解密。
为了满足不同的需求,3GPP标准中也规定了“null”模式,即不对用户身份进行加密的模式,供运营商选择。运营商可以根据所在国家的法律、政策以及自身业务开展选择。在这种模式下,用户的身份信息相当于在空口以明文方式传递,因此大大增加了身份信息暴露的风险。
因此,需要一种新的方式,提供用户身份灵活更换的能力。
在空口以不加密的方式传递用户身份增加了用户身份暴露的风险;更换SIM卡是一种保护身份的方式,但是非常不便,而且代价较高;采用单一身份替换的方式,也容易使得攻击者和拜访地网络对用户进行跟踪。
发明内容
鉴于上述的分析,本发明旨在提供一种使用预置密钥的用户身份更新方法,用以解决现有用户身份信息在空口以明文方式传递时身份信息暴露风险增加的问题。
本发明的目的主要是通过以下技术方案实现的:
一种用户身份更新方法,
接收用户端发送的用户身份SUPI;
根据接收到的所述SUPI获取新的用户身份SUPIn;
使用预置密钥和SUPIn生成鉴权向量AV,所述鉴权向量AV包括AUTN、RAND、XRES、CK、IK;将所述AUTN、RAND发送至用户端,由用户端计算反馈信息,
根据用户端反馈信息判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。
本发明有益效果如下:本发明提供的用户身份更新方法,在用户身份在空中以明文方式传递时,降低身份信息暴露的风险,同时在鉴权过程中,用户端和网络端能够同时完成双向认证和用户身份的更换。
在上述方案的基础上,本发明还做了如下改进:
进一步,还包括更新XRES生成XRES*;所述由用户端计算的反馈信息为RES*;
比较用户端发送的RES*与XRES*,若一致,鉴权通过。
采用上述进一步方案的有益效果是:通过比较用户端发送的RES*与XRES*,若一致,鉴权通过;提供了一种在依次交互情况下完成用户身份更新的方法。
进一步,所述由用户端计算的反馈信息为AUTS,若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则鉴权通过。
采用上述进一步方案的有益效果是:利用AUTS直接携带相关信息直接判断用户身份是否更新成功,提供了另一种完成用户身份更新的方法。
进一步,所述根据接收到的所述SUPI获取新的用户身份SUPIn包括:
从备选SUPI资源池中随机选择一个SUPI作为SUPIn;
所述RAND获得步骤包括:
利用一个n比特的随机数rand和预置密钥计算得到身份保护机密性保护密钥prK和完整性保护密钥maK,
利用prK对SUPIn加密得到Cph_SUPIn,
利用maK对rand||Cph_SUPIn进行完整性保护得到Mac_SUPIn,
根据rand、Cph_SUPIn、Mac_SUPIn生成所述RAND;
所述XRES获得步骤包括:
利用SUPIn与原有XRES经过密码运算产生新的XRESn作为鉴权向量AV中的XRES。
采用上述进一步方案的有益效果是:通过给出利用新的用户身份SUPIn及阈值密钥得到鉴权向量的方法,本领域的技术人员能够在拥有阈值密钥的情况下计算得到鉴权向量,所述方法易于理解和实现。
进一步,还包括:
将SUPIn分为不相同的两部分:SUPInmsb和SUPInlsb,
使用预置密钥和SUPInmsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInmsb信息;并设定标识位tag,表示此次AUTN携带SUPInmsb信息;
将携带所述SUPInmsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息AUTS,
接收用户端的反馈信息AUTS;
若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则更新SUPInmsb成功;
使用预置密钥和SUPInlsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInlsb信息;并设定标识位tag,表示此次AUTN携带SUPInlsb信息;
将携带所述SUPInlsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息RES*,
接收用户端发送的RES*,比较RES*与鉴权向量AV中的XRES*,若一致,鉴权通过。
采用上述进一步方案的有益效果是:通过将用户信息分成多部分,通过多次认证鉴权过程实现用户身份的更新,能够显著降低用户身份暴露风险。
在另一实施例种提供了一种用户身份更新方法,
向网络端发送用户身份SUPI;
接收网络端反馈的AUTN、RAND;
检查SQN是否同步,若同步,利用预置密钥和RAND生成XMAC,若XMAC与AUTN中的MAC一致,网络通过用户认证;
解密得到新的用户身份SUPIn,
根据AUTN、RAND计算反馈信息并发送至网络端。
本发明有益效果如下:本发明提供的用户身份更新方法,在用户身份在空中以明文方式传递时,降低身份信息暴露的风险,同时在鉴权过程中,用户端和网络端能够同时完成双向认证和用户身份的更换。
在上述方案的基础上,本发明还做了如下改进:
进一步,所述解密得到新的用户身份SUPIn包括:
利用预置密钥和随机数rand计算得到身份保护机密性保护密钥prK’和所述完整性保护密钥maK’;
将所述prK’、maK’分别与RAND中包含的对应的身份保护机密性保护密钥prK和所述完整性保护密钥maK对比,对比通过后解密RAND得到新的用户身份SUPIn。
采用上述进一步方案的有益效果是:通过给出解密得到新的用户身份SUPIn的过程,能够在拥有阈值密钥的情况下解密得到新的用户身份SUPIn,具有很好的隐蔽性,所述方法易于理解和实现。
进一步,所述反馈信息为RES*,
RES*获得步骤包括:
利用预置密钥和RAND生成初始RES*;
使用SUPIn和初始RES*按照与网络端的协议规则生成新的RES_n*,作为最终的RES*。
采用上述进一步方案的有益效果是:将RES*作为反馈信息,提供了一种在一次交互情况下完成用户身份更新的方法。
进一步,所述反馈信息为AUTS,AUTS获取步骤包括:
强制执行SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPIn和初始MAC-S按照与网络端的协议生成。
采用上述进一步方案的有益效果是:将AUTS作为反馈信息,提供了另一种完成用户身份更新的方法。
进一步,还包括:
从携带SUPInmsb信息的AUTN、RAND中解密得到SUPInmsb,
强制SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPInmsb和初始MAC-S按照与网络端的协议生成;
发送AUTS至网络端;
接收网络端发送的携带SUPInlsb信息的AUTN、RAND,解密得到SUPInlsb,与SUPInmsb共同组成SUPIn;
根据AUTN、RAND计算RES*并发送至网络端。
采用上述进一步方案的有益效果是:通过多次认证鉴权过程实现用户身份的更新,能够显著降低用户身份暴露风险。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书、权利要求书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为用户身份更新过程示意图;
图2为反馈信息为RES*时的用户身份更新过程示意图;
图3为反馈信息为AUTS时的用户身份更新过程示意图;
图4为两次鉴权时的用户身份更新过程示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
实施例1
本发明的一个实施例1,公开了一种使用预置密钥的用户身份更新方法,该方法应用于网络侧,涉及到的网元包括SEAF(SEcurityAnchor Function,网络安全锚点功能)、AUSF(AuthenticationServerFunction,认证服务功能)和UDM(UnifiedDataManagement,统一数据管理平台)。如图1所示,包括以下步骤:
步骤S1、接收用户端发送的用户身份SUPI(SubscriptionPermanent Identifier,用户永久身份,用于表示用户身份);
该步骤包括:
按照3GPP标准流程,在附着时,接收用户端发送的用户身份SUPI;
按照3GPP标准流程,SEAF发起认证鉴权请求,开始认证过程。将SUPI以及网络名称(SN-name)等信息发送给归属地网络的AUSF;
按照3GPP标准流程,归属地网络的AUSF将SUPI、SN-name等信息发送给UDM。
步骤S2、根据接收到的所述SUPI获取新的用户身份SUPIn;
该步骤包括:
UDM查询SUPI状态,如果认为此SUPI需要更换,从备选SUPI资源池中随机选择一个SUPI作为SUPIn。
步骤S3、使用预置密钥和SUPIn生成鉴权向量AV,所述鉴权向量AV(AuthenticationVector)包括AUTN(AuthenticationToken,认证令牌)、RAND(随机数)、XRES(ExpectedResponse,期望响应)、CK(Cipher Key,加密密钥)、IK(IntegrityKey,完整性保护密钥);
其中,
RAND获得步骤包括:
利用一个n比特的随机数rand和预置密钥计算得到身份保护机密性保护密钥prK和完整性保护密钥maK,
利用prK对SUPIn加密得到Cph_SUPIn,
利用maK对于rand||Cph_SUPIn进行完整性保护得到Mac_SUPIn,
根据rand、Cph_SUPIn、Mac_SUPIn生成所述RAND;
XRES获得步骤包括:
利用SUPIn与原有XRES经过密码运算产生新的XRESn作为鉴权向量AV中的XRES;
本领域技术人员应当能够理解的是,机密性和完整性保护是指采用共享密钥Ksh对SUPI_n进行加密,加密可采用现有多种加密算法实现,比如SM加密方法,此处不再赘述。
AV中的其他参数,AUTN等,均可采用现有领域中的方式实现,获得方式,不属于本实施例发明点所在,此处不再详述。
步骤S4、将所述AUTN、RAND发送至用户端,由用户端计算反馈信息,
该步骤包括:
UDM更新XRES生成XRES*,产生5GHEAV(5GHomeEnvironment AV,5G归属地认证向量),并连通SUPIn发送至AUSF。
按照3GPP标准流程,AUSF存储XRES*,并计算HXRES*(Hash eXpectedRESponse,通过XRES*推导出的期望响应杂凑值),生成5GAV。
按照3GPP标准流程,AUSF发送5GAV和SUPIn给SEAF,在漫游场景下,此SEAF为漫游地的SEAF。
按照3GPP标准流程,SEAF将AUTN、RAND发送至用户端。
步骤S5、根据用户端反馈信息判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。
与现有技术相比,本实施例提供的用户身份更新方法,在用户身份在空中以明文方式传递时,降低身份信息暴露的风险,同时在鉴权过程中,用户端和网络端能够同时完成双向认证和用户身份的更换。
优选地,预置密钥为单独存储的长期密钥或用户端存储的根密钥,网络侧使用的预置密钥与用户端使用的预置密钥保持一致。
用户端的反馈信息可以由多种选择方式,对应的具体方案参见实施例2、3、4。
实施例2
本实施例中由用户端计算的反馈信息为RES*,如图2所示,步骤S1-步骤S4与实施例1相同;
步骤S5:比较用户端发送的RES*与XRES*,若一致,鉴权通过。
该步骤包括:
SEAF接收用户端发送的RES*,SEAF计算HRES*并与HXRES*进行比较;
SEAF发送RES*至AUSF;
AUSF比较用户端发送的RES*与XRES*,若一致,鉴权通过,更新用户身份SUPI为SUPIn。若不一致,鉴权未通过,用户身份未更新成功,重新要求发起认证鉴权过程。
本实施例利用反馈信息RES*即可完成一次交互下用户身份的更新。
实施例3
本实施例中由用户端计算的反馈信息为AUTS(Resynchronization Token,再同步标记),如图3所示,步骤S1-步骤S4与实施例1相同;
步骤S5:UDM接收用户端发送的AUTS,在UDM中验证AUTS中的SQN,若验证通过,且AUTS中的MAC-S(AUTS中的消息认证码)与AUTN中的MAC(ThemessageauthenticationcodeincludedinAUTN,AUTN中的消息认证码)一致,则鉴权通过。
本实施例利用反馈信息AUTS,将AUTS直接发送至UDM,UDM经判断即可完成用户身份的更新。
实施例4
本实施例与实施例1中的步骤1、步骤2相同,如图4所示。
步骤S3:将SUPIn分为不相同的两部分:SUPInmsb和SUPInlsb,
使用预置密钥和SUPInmsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInmsb信息;并设定标识位tag,表示此次AUTN携带SUPInmsb信息;
步骤S4:将携带所述SUPInmsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息AUTS,
步骤S5:接收用户端的反馈信息AUTS;若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则更新SUPInmsb成功;
步骤S6:使用预置密钥和SUPInlsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInlsb信息;并设定标识位tag,表示此次AUTN携带SUPInlsb信息;
步骤S7:将携带所述SUPInlsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息RES*,
步骤S8:接收用户端发送的RES*,比较RES*与鉴权向量AV中的XRES*,若一致,鉴权通过。
本实施例通过将SUPIn分为两部分,并经过两次交互完成用户身份的变更,能够增强用户身份更新过程的安全性能。将SUPIn分为多部分并利用多次交互完成用户身份更新的方法也在本申请的保护范围内。
实施例5
本实施例公开了一种用户身份更新方法,该方法应用于用户侧,涉及到USIM。如图1所示,包括以下步骤:
步骤1)、向网络端发送用户身份SUPI;
该步骤包括:
按照3GPP标准流程,在附着时,USIM根据网络要求,向网络端发送用户身份SUPI;
步骤2)、接收网络端反馈的AUTN、RAND;
步骤3)、检查SQN(SequenceNumber,序列号)是否同步,若同步,利用预置密钥和RAND生成XMAC(ExpectedMAC,期望的消息认证码),若XMAC与AUTN中的MAC一致,网络通过用户认证;
该步骤包括:
按照3GPP标准流程,检查SQN,若同步,利用预置密钥和RAND生成XMAC,若XMAC与AUTN中的MAC一致,网络通过用户认证;
步骤4)、解密得到新的用户身份SUPIn,
该步骤包括:
利用预置密钥和随机数rand计算得到身份保护机密性保护密钥prK’和完整性保护密钥maK’;
将prK’、maK’分别与RAND中包含的对应的身份保护机密性保护密钥prK和所述完整性保护密钥maK对比,对比通过后解密RAND得到新的用户身份SUPIn。
步骤5)、根据AUTN、RAND计算反馈信息并发送至网络端。
向网络端发送的反馈信息不同时,对应的具体实施方式参见具体实施例6、7、8。
实施例6
本实施例中向网络端发送的反馈信息为RES*,如图2所示,步骤1)至步骤4)与实施例5相同;
步骤5)、根据AUTN、RAND计算RES*并发送至网络端,
该步骤中,
RES*获得步骤包括:
利用预置密钥和RAND生成初始RES*;
使用SUPIn和初始RES*按照与网络端的协议规则生成新的RES_n*,作为最终的RES*。
本实施例利用反馈信息RES*即可完成一次交互下用户身份的更新。
实施例7
本实施例中向网络端发送的反馈信息为AUTS,如图3所示,步骤1)至步骤4)与实施例5相同;
步骤5)、根据AUTN、RAND计算AUTS并发送至网络端,
AUTS获取步骤包括:
强制执行SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPIn和初始MAC-S按照与网络端的协议生成。
本实施例利用反馈信息AUTS,将AUTS直接发送至UDM,UDM经判断即可完成用户身份的更新。
实施例8
本实施例与实施例5中的步骤1)至步骤3)相同,如图4所示,
步骤4)、从携带SUPInmsb信息的AUTN、RAND中解密得到SUPInmsb,
步骤5)、计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPInmsb和初始MAC-S按照与网络端的协议生成;
步骤6)、发送AUTS至网络端;
步骤7)、接收网络端发送的携带SUPInlsb信息的AUTN、RAND,解密得到SUPInlsb,与SUPInmsb共同组成SUPIn;
步骤8)、根据AUTN、RAND计算RES*并发送至网络端。
本实施例通过将SUPIn分为两部分,并经过两次交互完成用户身份的变更,能够增强用户身份更新过程的安全性能。将SUPIn分为多部分并利用多次交互完成用户身份更新的方法也在本申请的保护范围内。
实施例9
该实施例公开了一种用户身份更新方法,能够同时完成双向认证和用户身份更新。该实施例中所涉及的方法由实施例1、实施例5结合得到,如图1所示,具体过程如下:
步骤(1)、向网络端发送用户身份SUPI;
该步骤包括:
按照3GPP标准流程,在附着时,USIM根据网络要求,向网络端发送用户身份SUPI;
步骤(2)、接收用户端发送的用户身份SUPI;
该步骤包括:
按照3GPP标准流程,在附着时,接收用户端发送的用户身份SUPI;
按照3GPP标准流程,SEAF发起认证鉴权请求,开始认证过程。将SUPI以及网络名称(SN-name)等信息发送给归属地网络的AUSF;
按照3GPP标准流程,归属地网络的AUSF将SUPI、SN-name等信息发送给UDM。
步骤(3)、根据接收到的所述SUPI获取新的用户身份SUPIn;
该步骤包括:
UDM查询SUPI状态,如果认为此SUPI需要更换,从备选SUPI资源池中随机选择一个SUPI作为SUPIn。
步骤(4)、使用预置密钥和SUPIn生成鉴权向量AV,所述鉴权向量AV包括AUTN、RAND、XRES、CK、IK;
其中,
RAND获得步骤包括:
利用一个n比特的随机数rand和预置密钥计算得到身份保护机密性保护密钥prK和完整性保护密钥maK,
利用prK对SUPIn加密得到Cph_SUPIn,
利用maK对于rand||Cph_SUPIn进行完整性保护得到Mac_SUPIn,
根据rand、Cph_SUPIn、Mac_SUPIn生成所述RAND;
XRES获得步骤包括:
利用SUPIn与原有XRES经过密码运算产生新的XRESn作为鉴权向量AV中的XRES;
步骤(5)、将所述AUTN、RAND发送至用户端,由用户端计算反馈信息,
该步骤包括:
UDM更新XRES生成XRES*,产生5GHEAV,并连通SUPIn发送至AUSF。
按照3GPP标准流程,AUSF存储XRES*,并计算HXRES*,生成5GAV。
按照3GPP标准流程,AUSF发送5GAV和SUPIn给SEAF,在漫游场景下,此SEAF为漫游地的SEAF。
按照3GPP标准流程,SEAF将AUTN、RAND发送至用户端。
步骤(6)、接收网络端反馈的AUTN、RAND;
步骤(7)、利用预置密钥和RAND生成XMAC,若XMAC与AUTN中的MAC一致,网络通过用户认证;
该步骤包括:
按照3GPP标准流程,检查SQN,若同步,利用预置密钥和RAND生成XMAC,若XMAC与AUTN中的MAC一致,网络通过用户认证;
步骤(8)、解密得到新的用户身份SUPIn,
该步骤包括:
解密得到新的用户身份SUPIn包括:
利用预置密钥和随机数rand计算得到身份保护机密性保护密钥prK’和所述完整性保护密钥maK’;
将所述prK’、maK’分别与RAND中包含的对应的身份保护机密性保护密钥prK和所述完整性保护密钥maK对比,对比通过后解密RAND得到新的用户身份SUPIn。
步骤(9)、根据AUTN、RAND计算反馈信息并发送至网络端。
步骤(10)、根据用户端反馈信息判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。
实施例10
该实施例公开了一种用户身份更新方法,能够同时完成双向认证和用户身份更新。该实施例中所涉及的方法由实施例2、实施例6结合得到,如图2所示,具体过程如下:
本实施例与实施例9中的步骤(1)至步骤(8)相同,
步骤(9)、根据AUTN、RAND计算反馈信息RES*并发送至网络端。
该步骤包括:
利用预置密钥和RAND生成初始RES*;
使用SUPIn和初始RES*按照与网络端的协议规则生成新的RES_n*,作为最终的RES*。
步骤(10)、根据用户端反馈信息RES*判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。
SEAF接收用户端发送的RES*,SEAF计算HRES*并与HXRES*进行比较;
SEAF发送RES*至AUSF;
AUSF比较用户端发送的RES*与XRES*,若一致,鉴权通过,更新用户身份SUPI为SUPIn。
实施例11
该实施例公开了一种用户身份更新方法,能够同时完成双向认证和用户身份更新。该实施例中所涉及的方法由实施例3、实施例7结合得到,如图3所示,具体过程如下:
本实施例与实施例9中的步骤(1)至步骤(8)相同,
步骤(9)、根据AUTN、RAND计算反馈信息AUTS并发送至网络端。
该步骤包括:
AUTS获取步骤包括:
强制执行SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPIn和初始MAC-S按照与网络端的协议生成。
步骤(10)、根据用户端反馈信息AUTS判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn。
该步骤包括:
UDM接收用户端发送的AUTS,在UDM中验证AUTS中的SQN,若验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则鉴权通过。
实施例12
该实施例公开了一种用户身份更新方法,能够同时完成双向认证和用户身份更新。该实施例中所涉及的方法由实施例4、实施例8结合得到,如图4所示,具体过程如下:
本实施例与实施例9中的步骤(1)至步骤(3)相同,
步骤(4)、将SUPIn分为不相同的两部分:SUPInmsb和SUPInlsb,
使用预置密钥和SUPInmsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInmsb信息;并设定标识位tag,表示此次AUTN携带SUPInmsb信息;
步骤(5)、将携带所述SUPInmsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息AUTS,
步骤(6)、从携带SUPInmsb信息的AUTN、RAND中解密得到SUPInmsb,
步骤(7)、计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPInmsb和初始MAC-S按照与网络端的协议生成;
步骤(8)、发送AUTS至网络端;
步骤(9)、接收用户端的反馈信息AUTS;若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则更新SUPInmsb成功;
步骤(10)、使用预置密钥和SUPInlsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInlsb信息;并设定标识位tag,表示此次AUTN携带SUPInlsb信息;
步骤(11)、将携带所述SUPInlsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息RES*;
步骤(12)接收网络端发送的携带SUPInlsb信息的AUTN、RAND,解密得到SUPInlsb,与SUPInmsb共同组成SUPIn;
步骤(13)、根据AUTN、RAND计算RES*并发送至网络端。
步骤(14)、接收用户端发送的RES*,比较RES*与鉴权向量AV中的XRES*,若一致,鉴权通过。
本发明实现了在线、用户无感、低成本、高效率、低系统改造的用户身份下发、更换,为用户发生身份泄露风险后保护用户身份信息、便捷更新用户身份提供了有力手段;在面向不可信的拜访地网络时,归属地网络能够使用临时身份,避免不可信的拜访地网络泄露用户真实身份。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (8)
1.一种用户身份更新方法,其特征在于,
接收用户端发送的用户身份SUPI;
根据接收到的所述SUPI获取新的用户身份SUPIn;
使用预置密钥和SUPIn生成鉴权向量AV,所述鉴权向量AV包括AUTN、RAND、XRES、CK、IK;
将所述AUTN、RAND发送至用户端,由用户端计算反馈信息,
根据用户端反馈信息判断是否鉴权通过,若鉴权通过,更新用户身份SUPI为SUPIn;
所述根据接收到的所述SUPI获取新的用户身份SUPIn包括:
从备选SUPI资源池中随机选择一个SUPI作为SUPIn;
所述RAND获得步骤包括:
利用一个n比特的随机数rand和预置密钥计算得到身份保护机密性保护密钥prK和完整性保护密钥maK,
利用prK对SUPIn加密得到Cph_SUPIn,
利用maK对rand||Cph_SUPIn进行完整性保护得到Mac_SUPIn,
根据rand、Cph_SUPIn、Mac_SUPIn生成所述RAND;
所述XRES获得步骤包括:
利用SUPIn与原有XRES经过密码运算产生新的XRESn作为鉴权向量AV中的XRES。
2.根据权利要求1所述的方法,其特征在于,还包括更新XRES生成XRES*;所述由用户端计算的反馈信息为RES*;
比较用户端发送的RES*与XRES*,若一致,鉴权通过。
3.根据权利要求1所述的方法,其特征在于,所述由用户端计算的反馈信息为AUTS,若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则鉴权通过。
4.根据权利要求1所述的方法,其特征在于,还包括:
将SUPIn分为不相同的两部分:SUPInmsb和SUPInlsb,
使用预置密钥和SUPInmsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInmsb信息;并设定标识位tag,表示此次AUTN携带SUPInmsb信息;
将携带所述SUPInmsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息AUTS,
接收用户端的反馈信息AUTS;
若AUTS中的SQN验证通过,且AUTS中的MAC-S与AUTN中的MAC一致,则更新SUPInmsb成功;
使用预置密钥和SUPInlsb生成鉴权向量AV,所述鉴权向量AV中的AUTN、RAND携带所述SUPInlsb信息;并设定标识位tag,表示此次AUTN携带SUPInlsb信息;
将携带所述SUPInlsb信息的AUTN、RAND发送至用户端,由用户端计算反馈信息RES*,
接收用户端发送的RES*,比较RES*与鉴权向量AV中的XRES*,若一致,鉴权通过。
5.一种用户身份更新方法,其特征在于,
向网络端发送用户身份SUPI;
接收网络端反馈的AUTN、RAND;
检查SQN是否同步,若同步,利用预置密钥和RAND生成XMAC,若XMAC与AUTN中的MAC一致,网络通过用户认证;
解密得到新的用户身份SUPIn,
根据AUTN、RAND计算反馈信息并发送至网络端;
所述解密得到新的用户身份SUPIn包括:
利用预置密钥和随机数rand计算得到身份保护机密性保护密钥prK’和完整性保护密钥maK’;
将所述prK’、maK’分别与RAND中包含的对应的身份保护机密性保护密钥prK和完整性保护密钥maK对比,对比通过后解密RAND得到新的用户身份SUPIn。
6.根据权利要求5所述的方法,其特征在于,所述反馈信息为RES*,RES*获得步骤包括:
利用预置密钥和RAND生成初始RES*;
使用SUPIn和初始RES*按照与网络端的协议规则生成新的RES_n*,作为最终的RES*。
7.根据权利要求5所述的方法,其特征在于,所述反馈信息为AUTS,AUTS获取步骤包括:
强制执行SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPIn和初始MAC-S按照与网络端的协议生成。
8.根据权利要求5所述的方法,其特征在于,还包括:
从携带SUPInmsb信息的AUTN、RAND中解密得到SUPInmsb,
强制SQN不同步,
计算得到AUTS并更新AUTS中的MAC-S,
更新后的MAC-S通过SUPInmsb和初始MAC-S按照与网络端的协议生成;
发送AUTS至网络端;
接收网络端发送的携带SUPInlsb信息的AUTN、RAND,解密得到SUPInlsb,与SUPInmsb共同组成SUPIn;
根据AUTN、RAND计算RES*并发送至网络端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810483109.3A CN108848495B (zh) | 2018-05-18 | 2018-05-18 | 一种使用预置密钥的用户身份更新方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810483109.3A CN108848495B (zh) | 2018-05-18 | 2018-05-18 | 一种使用预置密钥的用户身份更新方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108848495A CN108848495A (zh) | 2018-11-20 |
CN108848495B true CN108848495B (zh) | 2021-03-23 |
Family
ID=64213142
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810483109.3A Active CN108848495B (zh) | 2018-05-18 | 2018-05-18 | 一种使用预置密钥的用户身份更新方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108848495B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110049483A (zh) * | 2019-04-09 | 2019-07-23 | 中国电子科技集团公司第三十研究所 | 移动通信系统用户网络身份跳变隐藏网络功能的实现方法 |
WO2021036627A1 (zh) * | 2019-08-27 | 2021-03-04 | 华为技术有限公司 | 一种通信系统、方法及装置 |
CN112839329B (zh) * | 2019-11-06 | 2022-07-22 | 中国移动通信有限公司研究院 | 一种验证方法、装置、设备及计算机可读存储介质 |
CN110944325A (zh) * | 2019-11-28 | 2020-03-31 | 楚天龙股份有限公司 | 一种实现supi变换的方法及装置、识别卡、存储介质 |
AU2021247219B2 (en) * | 2020-03-31 | 2024-02-15 | Huawei Technologies Co., Ltd. | Terminal parameter updating protection method and communication device |
CN114173327A (zh) * | 2021-12-06 | 2022-03-11 | 中国电信股份有限公司 | 基于5g行业专网的认证方法及终端 |
CN117596588B (zh) * | 2024-01-18 | 2024-03-26 | 中国电子科技集团公司第三十研究所 | 移动通信网络长期密钥动态更新方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101771992B (zh) * | 2009-01-04 | 2012-06-27 | 中国移动通信集团公司 | 国际移动用户标识符imsi机密性保护的方法、设备及系统 |
CN101959183B (zh) * | 2010-09-21 | 2013-01-23 | 中国科学院软件研究所 | 一种基于假名的移动用户标识码imsi保护方法 |
-
2018
- 2018-05-18 CN CN201810483109.3A patent/CN108848495B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN108848495A (zh) | 2018-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108848495B (zh) | 一种使用预置密钥的用户身份更新方法 | |
CN108683510B (zh) | 一种加密传输的用户身份更新方法 | |
CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
US10057053B2 (en) | Key agreement for wireless communication | |
US11075752B2 (en) | Network authentication method, and related device and system | |
WO2018040758A1 (zh) | 认证方法、认证装置和认证系统 | |
US20100135491A1 (en) | Authentication method | |
CA2377292C (en) | System and method for providing secure communications between wireless units using a common key | |
US20060206710A1 (en) | Network assisted terminal to SIM/UICC key establishment | |
US9608971B2 (en) | Method and apparatus for using a bootstrapping protocol to secure communication between a terminal and cooperating servers | |
CN104253801B (zh) | 实现登录认证的方法、装置和系统 | |
CN103152731A (zh) | 一种3g接入的imsi隐私保护方法 | |
CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
CN101990201B (zh) | 生成gba密钥的方法及其系统和设备 | |
CN101192927B (zh) | 基于身份保密的授权与多重认证方法 | |
CN101888626B (zh) | 一种实现gba密钥的方法及其终端设备 | |
CN110212991B (zh) | 量子无线网络通信系统 | |
KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
CN115767539A (zh) | 基于终端标识符更新的5g认证方法 | |
JP7404540B2 (ja) | プライバシー情報伝送方法、装置、コンピュータ機器及びコンピュータ読み取り可能な媒体 | |
WO2021236078A1 (en) | Simplified method for onboarding and authentication of identities for network access | |
CN110536289A (zh) | 密钥发放方法及其装置、移动终端、通信设备和存储介质 | |
US11552796B2 (en) | Cryptographic processing events for encrypting or decrypting data | |
EP3847836B1 (en) | Method for updating a secret data in a credential container | |
RU2008104627A (ru) | Способ и устройство для аутентификации и конфиденциальности |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |