CN109041057B - 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 - Google Patents

一种基于5g aka的核心网网元间鉴权流程安全性增强方法 Download PDF

Info

Publication number
CN109041057B
CN109041057B CN201810898952.8A CN201810898952A CN109041057B CN 109041057 B CN109041057 B CN 109041057B CN 201810898952 A CN201810898952 A CN 201810898952A CN 109041057 B CN109041057 B CN 109041057B
Authority
CN
China
Prior art keywords
authentication
network side
ausf
seaf
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810898952.8A
Other languages
English (en)
Other versions
CN109041057A (zh
Inventor
刘畅
叶琅
贾云鹤
徐彦吏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Data communication science and technology research institute
XINGTANG COMMUNICATION TECHNOLOGY CO LTD
Original Assignee
Data communication science and technology research institute
XINGTANG COMMUNICATION TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Data communication science and technology research institute, XINGTANG COMMUNICATION TECHNOLOGY CO LTD filed Critical Data communication science and technology research institute
Priority to CN201810898952.8A priority Critical patent/CN109041057B/zh
Publication of CN109041057A publication Critical patent/CN109041057A/zh
Application granted granted Critical
Publication of CN109041057B publication Critical patent/CN109041057B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,属于移动通信技术领域,解决了现有明文传递方式造成的关键信息如密钥、用户身份等被盗取的问题。一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,应用于归属网络侧,步骤如下:接收拜访网络侧发送的鉴权请求;根据接收到的鉴权请求,生成鉴权向量;利用推送保护密钥对鉴权向量中的密钥信息进行加密,更新鉴权向量,并生成鉴权响应消息;将所述鉴权响应消息发送至拜访网络侧,以便拜访网络侧计算反馈信息并生成终端鉴权请求;根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过。通过对核心网网元间传输的密钥信息进行加密,有效增强了核心网网元间鉴权流程的安全性。

Description

一种基于5G AKA的核心网网元间鉴权流程安全性增强方法
技术领域
本发明涉及移动通信技术领域,尤其涉及一种基于5G AKA的核心网网元间鉴权流程安全性增强方法。
背景技术
在4G/5G移动通信系统中,终端UE与接入网之间传输的信息通过空口保护机制保护,接入网与核心网之间传输的信息一般采用IP传输隧道方式保护,但核心网内不同网元之间传递的信息均为明文传输,没有提供对应的防护措施。
对于高安全需求的应用场景,必须保证核心网网元之间传递信息的安全性,特别是其中的敏感信息或安全相关信息(如派生密钥信息等)。
根据4G/5G移动通信系统的密钥推演体系,在用户鉴权流程中,参与鉴权的核心网网元需派生出密钥并推送至下一个网元,直至完成整个密钥推演体系,最终生成空口保护密钥,针对该用户的信息安全防护措施才能生效。一旦安全密钥在核心网网元间推送的过程中发生信息泄露,将导致该用户的信息安全防护失效,存在空口信息被窃取的风险。
发明内容
鉴于上述的分析,本发明旨在提供一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,用以解决现有明文传递方式造成的信息被盗取的问题。
本发明的目的主要是通过以下技术方案实现的:
基于5G AKA的核心网网元间鉴权流程安全性增强方法,应用于归属网络侧,步骤如下:
接收拜访网络侧发送的鉴权请求;
根据接收到的鉴权请求,生成鉴权向量;
利用推送保护密钥对鉴权向量中的密钥信息进行加密,更新鉴权向量,并生成鉴权响应消息;
将所述鉴权响应消息发送至拜访网络侧,以便拜访网络侧计算反馈信息并生成终端鉴权请求;
根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过。
本发明有益效果如下:本发明提供的基于5G AKA的核心网网元间鉴权流程安全性增强方法,利用推送保护密钥对核心网网元间传输的密钥信息进行加密,有效防止了密钥信息的泄露,实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。
在上述方案的基础上,本发明还做了如下改进:
进一步,所述归属网络侧的网元包括AUSF、UDM,在归属网络侧内部执行以下操作:
由AUSF接收拜访网络侧发送的鉴权请求,并将所述鉴权请求发送至UDM;
UDM生成5G归属鉴权向量,所述5G归属鉴权向量为RAND||XRES*||KAUSF||AUTN;
利用推送保护密钥KT1对AUSF安全密钥KAUSF进行加密,得到加密后的AUSF安全密钥KAUSF’;
UDM将所述5G归属鉴权向量中的KAUSF替换为加密后的AUSF安全密钥KAUSF’,得到经过保护的5G归属鉴权向量,并将所述经过保护的5G归属鉴权向量发送至AUSF;
AUSF接收来自UDM的所述经过保护的5G归属鉴权向量,利用推送保护密钥KT1将所述经过保护的5G归属鉴权向量中的KAUSF’解密出来;
由AUSF派生出SEAF安全密钥KSEAF和HXRES*;
AUSF利用推送保护密钥KT2对派生出的SEAF安全密钥KSEAF进行加密,得到加密后的SEAF安全密钥KSEAF’,生成经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,放入鉴权响应消息中;
AUSF向拜访网络侧发送所述鉴权响应消息,以便拜访网络侧判断是否鉴权通过;
AUSF接收拜访网络侧发送的终端鉴权请求,对鉴权结果进行判断:AUSF对比XRES*和终端鉴权请求中的RES*,如果一致,判定归属网络侧鉴权通过。
采用上述进一步方案的有益效果是:通过给出鉴权方式为5G AKA时归属网络侧网元AUSF、UDM之间的密钥信息加密传输过程,能够有效保证传输过程的安全性,有效缓解或解决空口信息被窃取的问题。
进一步,利用推送保护密钥对鉴权向量中的密钥信息进行加密时,采用的加密算法为分组加密算法。
采用上述进一步方案的有益效果是:通过采用分组加密算法实现对密钥信息的加密,方法简单,易于实现。
进一步,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,借用的所述一次终端鉴权流程步骤如下:
步骤S1:AUSF接收拜访网络侧发送的鉴权请求,当检测到SN name的服务标识为事先约定的更新代号时,执行:
步骤S1-1:提取SN name中的TPK1本地保存;
步骤S1-2:生成本地临时公私钥对TPK2和TSK2;
步骤S1-3:本地保存TSK2,将SN name字段中的SN Id替换为TPK2,SN name字段中的服务标识保持不变,生成更新后的特殊构造的SN name;
步骤S1-4:AUSF向UDM发送请求鉴权信息,携带所述更新后的特殊构造的SN name;
步骤S2:UDM接收到请求鉴权信息后,当检测到SN name的服务标识为事先约定的更新代号时,执行:
步骤S2-1:生成本地临时公私钥对TPK3和TSK3;
步骤S2-2:提取SN name中的TPK2,与TSK3计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S2-3:按照3GPP标准生成鉴权向量,将TPK3放入鉴权向量中的AUTN,并将AUTN中的AMF字段设置为能与5G标准区分开的更新码,生成特殊构造的鉴权向量;
步骤S2-4:UDM将所述特殊构造的鉴权向量发送给AUSF;
步骤S3:AUSF接收到特殊构造的鉴权向量后,当检测到鉴权向量中AMF字段为更新码时,执行:
步骤S3-1:提取AUTN中的TPK3,与本地保存的TSK2计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S3-2:生成本地临时公私钥对TPK4和TSK4;
步骤S3-3:通过TSK4和之前保存的TPK1计算SEAF与AUSF之间新的推送保护密钥KT2
步骤S3-4:将TPK4放入鉴权向量中的AUTN,并保持AUTN中的AMF字段设置为更新码,更新特殊构造的鉴权向量并将其放入鉴权响应消息;
步骤S3-4:AUSF向拜访网络侧发送所述鉴权响应消息,由拜访网络侧确定校验失败,结束鉴权流程。
采用上述进一步方案的有益效果是:通过借用一次终端鉴权流程实现到推送保护密钥的协商和更新,无需修改现有通信流程,这种方式能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
进一步,在正常终端鉴权流程中,所述SN name字段表示为:“服务标识:SN Id”,其中服务标识为“5G”;当需要获取所述推送保护密钥KT1、KT2时,设置所述SN name的服务标识为事先约定的更新代号cipher,所述SN name字段表示为:“cipher:SN Id”。
采用上述进一步方案的有益效果是:通过设置SN name的服务标识,充分利用现有的通信流程,实现了推送保护密钥的协商更新。
基于5G AKA的核心网网元间鉴权流程安全性增强方法,应用于拜访网络侧,步骤如下:
收到终端注册后,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
接收归属网络侧反馈的鉴权响应消息,并利用推送保护密钥解密得到密钥信息,计算反馈信息,根据反馈信息判断拜访网络侧是否鉴权通过;
若拜访网络侧鉴权通过,向归属网络侧发送终端鉴权请求,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
本发明有益效果如下:本发明提供的基于5G AKA的核心网网元间鉴权流程安全性增强方法,利用推送保护密钥解密得到密钥信息,有效防止了密钥信息的泄露,实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。
进一步,所述拜访网络侧的网元包括SEAF、UE,在拜访网络侧内部执行以下操作:
SEAF收到终端UE的注册,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
SEAF接收所述归属网络侧发送的鉴权响应消息,所述鉴权响应消息中包括经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,SEAF使用推送保护密钥KT2解密KSEAF’得到KSEAF,同时保存HXRES*;
SEAF向UE发送鉴权请求;
UE进行鉴权计算;
若UE通过用户认证,将计算出的RES*发送至SEAF;
SEAF接收终端UE发送的反馈信息RES*,计算XRES*并与HXRES*对比,一致则判定拜访网络侧鉴权通过;
SEAF判定拜访网络侧鉴权通过后向归属网络侧发送终端鉴权请求,所述终端鉴权请求中包括反馈信息RES*,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
采用上述进一步方案的有益效果是:通过给出鉴权方式为5G AKA时拜访网络侧网元SEAF、UE之间的信息传输过程,能够有效保证传输过程的安全性,有效缓解或解决由于保护密钥泄露导致的空口信息被窃取的问题。
进一步,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,所述终端鉴权流程步骤如下:
步骤S1:SEAF收到终端用户UE注册后,判断当前网络推送保护密钥需要更新,执行:
步骤S1-1:生成本地临时公私钥对TPK1和TSK1;
步骤S1-2:本地保存TSK1,将SN name字段中的SN Id替换为TPK1,SN name字段中的服务标识设为事先约定的更新代号,生成特殊构造的SN name;
步骤S2:SEAF向归属网络侧发送鉴权请求,携带所述特殊构造的SN name,以便归属网络侧根据所述特殊构造的SN name生成推送保护密钥;
步骤S3:SEAF接收归属网络侧发送的鉴权响应消息,SEAF检测鉴权向量中AMF字段为更新码,执行:
提取AUTN中的TPK4,与TSK1计算出SEAF与AUSF之间新的推送保护密钥KT2并保存;
步骤S4:SEAF向终端UE发送鉴权请求;
步骤S5:终端根据3GPP标准校验鉴权向量中的AUTN字段,校验失败,判断本次鉴权失败,结束鉴权流程。
采用上述进一步方案的有益效果是:通过借用一次终端鉴权流程实现到推送保护密钥的协商和更新,无需修改现有通信流程,这种方式能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
进一步,生成所述推送保护密钥时,采用的是ECCDH算法。
采用上述进一步方案的有益效果是:利用ECCDH算法生成推送保护密钥,简单易行,便于实现。
一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,由归属网络侧和拜访网络侧交互得到。
本发明有益效果如下:通过归属网络侧和拜访网络侧交互得到本发明中基于5GAKA的核心网网元间鉴权流程安全性增强方法,实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。同时提供推送保护密钥协商和更新的方式和路径,能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
本发明中,上述各技术方案之间还可以相互组合,以实现更多的优选组合方案。本发明的其他特征和优点将在随后的说明书中阐述,并且,部分优点可从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过说明书、权利要求书以及附图中所特别指出的内容中来实现和获得。
附图说明
附图仅用于示出具体实施例的目的,而并不认为是对本发明的限制,在整个附图中,相同的参考符号表示相同的部件。
图1为本发明中基于5G AKA的核心网网元间鉴权流程安全性增强方法的系统框图;
图2为基于5G AKA的归属网络侧鉴权流程图;
图3为鉴权方式为5G AKA时核心网网元间密钥信息加密传输流程图;
图4为推送保密密钥的协商和更新流程图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
在4G移动通信系统中,需要对终端与基站之间的RRC(Radio Resource Control,无线资源控制)信令、用户面数据以及终端与核心网之间的NAS(Non-Access Stratum,非接入层)信令进行空口上的保护,这些保护的密钥都基于拜访网络MME(Mobility ManagementEntity,移动性管理实体)上的中间密钥KASME(安全接入管理密钥)生成,而KASME则是由归属网络HSS(Home Subscriber Server,归属用户服务器)基于用户根密钥生成,在鉴权过程中明文推送给MME的。从归属网络HSS到拜访网络MME之间明文传输的KASME存在泄露风险,攻击者可以通过KASME进而推出下一级密钥,使得终端信息在空口的保护失效。
在5G中,终端与基站之间的RRC信令、用户面数据以及终端与核心网之间的NAS信令同样需要进行空口上的保护,这就意味着基站和AMF(Authentication ManagementField,鉴权管理域值)都能够正确获取对应的密钥。基于5G网络部署的灵活性,5G的密钥体系更为复杂,中间密钥包含归属网络用户鉴权服务实体(AUSF,Authentication ServerFunction)的KAUSF(AUSF安全密钥)、拜访网络安全锚点实体(SEAF,SEcurityAnchorFunction)的KSEAF(SEAF安全密钥),在5G AKA鉴权流程中,归属网络的统一数据管理中心(UDM,Unified DataManagement)根据鉴权方式将KAUSF传递给AUSF,AUSF将派生出的KSEAF传递给拜访网络的SEAF,SEAF在鉴权成功后又会将派生出的KAMF传递给AMF,所有密钥的传递都是明文传递,任意一段传输的密钥被窃取都将导致后续安全防护面临破解的危险。系统框架图如图1所示。
本发明的实施例1,公开了一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,由归属网络侧和拜访网络侧交互得到,基于5G AKA的核心网网元间鉴权流程安全性增强方法的系统框图如图1所示,步骤如下:
步骤S1:收到终端注册后,拜访网络侧向归属网络侧发送鉴权请求;
步骤S2:归属网络侧接收拜访网络侧发送的鉴权请求;
步骤S3:根据接收到的鉴权请求,生成鉴权向量;
步骤S4:利用推送保护密钥对鉴权向量中的密钥信息进行加密,更新鉴权向量,并生成鉴权响应消息;
步骤S5:归属网络侧将所述鉴权响应消息发送至拜访网络侧;
步骤S6:拜访网络侧接收归属网络侧反馈的鉴权响应消息,并利用推送保护密钥解密得到密钥信息,计算反馈信息,根据反馈信息判断拜访网络侧是否鉴权通过;
若拜访网络侧鉴权通过,向归属网络侧发送终端鉴权请求,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过;
步骤S7:归属网络侧根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过。
与现有方式相比,本发明实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。同时提供推送保护密钥协商和更新的方式和路径,能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
本发明的实施例2,公开了一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,应用于归属网络侧,如图2所示,步骤如下:
接收拜访网络侧发送的鉴权请求;
根据接收到的鉴权请求,生成鉴权向量;
利用推送保护密钥对鉴权向量中的密钥信息进行加密,更新鉴权向量,并生成鉴权响应消息;
将所述鉴权响应消息发送至拜访网络侧,以便拜访网络侧计算反馈信息并生成终端鉴权请求;
根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过。
与现有技术相比,本实施例提供的基于5G AKA的核心网网元间鉴权流程安全性增强方法,利用推送保护密钥对核心网网元间传输的密钥信息进行加密,有效防止了密钥信息的泄露,实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。
本发明的实施例3,公开了鉴权方式为5G AKA时,在归属网络侧内部执行以下操作,其中,归属网络侧的网元包括AUSF、UDM:
由AUSF接收拜访网络侧发送的鉴权请求,并将所述鉴权请求发送至UDM;
UDM生成5G归属鉴权向量,所述5G归属鉴权向量为RAND||XRES*||KAUSF||AUTN,其中,RAND(随机数)、XRES(Expected Response,期望响应)、KAUSF(AUSF安全密钥)、AUTN(Authentication Token,认证令牌),AUTN包含序列号、AMF和MAC字段;
利用推送保护密钥KT1(AUSF与UDM之间的推送保护密钥)对AUSF安全密钥KAUSF进行加密,得到加密后的AUSF安全密钥KAUSF’;
UDM将所述5G归属鉴权向量中的KAUSF替换为加密后的AUSF安全密钥KAUSF’,得到经过保护的5G归属鉴权向量,并将所述经过保护的5G归属鉴权向量发送至AUSF;
AUSF接收来自UDM的所述经过保护的5G归属鉴权向量,利用推送保护密钥KT1将所述经过保护的5G归属鉴权向量中的KAUSF’解密出来;
由AUSF派生出SEAF安全密钥KSEAF和HXRES*(HashXRES鉴权结果响应值的哈希变换);
AUSF利用推送保护密钥KT2(AUSF与SEAF之间的推送保护密钥)对派生出的SEAF安全密钥KSEAF进行加密,得到加密后的SEAF安全密钥KSEAF’,生成经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,放入鉴权响应消息中;
AUSF向拜访网络侧发送所述鉴权响应消息,以便拜访网络侧判断是否鉴权通过;
AUSF接收拜访网络侧发送的终端鉴权请求,对鉴权结果进行判断:AUSF对比XRES*和终端鉴权请求中的RES*(REsponSe鉴权结果值),如果一致,判定归属网络侧鉴权通过。
通过给出鉴权方式为5G AKA时归属网络侧网元AUSF、UDM之间的密钥信息加密传输过程,能够有效保证传输过程的安全性,有效缓解或解决空口信息被窃取的问题。
本发明的实施例4,公开了一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,应用于拜访网络侧,步骤如下:
收到终端注册后,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
接收归属网络侧反馈的鉴权响应消息,并利用推送保护密钥解密得到密钥信息,计算反馈信息,根据反馈信息判断拜访网络侧是否鉴权通过;
若拜访网络侧鉴权通过,向归属网络侧发送终端鉴权请求,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
本发明提供的基于5G AKA的核心网网元间鉴权流程安全性增强方法,利用推送保护密钥解密得到密钥信息,有效防止了密钥信息的泄露,实现了在线、用户无感、低成本、高效率、低系统改造的密钥信息在核心网中的推送保护,避免由于明文传输的密钥泄露导致的安全措施失效。
本发明的实施例5,公开了鉴权方式为5G AKA时拜访网络侧内部执行以下操作,其中,拜访网络侧的网元包括SEAF、UE:
SEAF收到终端UE的注册,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
SEAF接收所述归属网络侧发送的鉴权响应消息,所述鉴权响应消息中包括经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,SEAF使用推送保护密钥KT2解密KSEAF’得到KSEAF,同时保存HXRES*;
SEAF向UE发送鉴权请求;
UE进行鉴权计算;
若UE通过用户认证,将计算出的RES*发送至SEAF;
SEAF接收终端UE发送的反馈信息RES*,计算XRES*并与HXRES*对比,一致则判定拜访网络侧鉴权通过;
SEAF判定拜访网络侧鉴权通过后,向归属网络侧发送终端鉴权请求,所述终端鉴权请求中包括反馈信息RES*,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
通过给出鉴权方式为5G AKA时拜访网络侧网元SEAF、UE之间的信息传输过程,能够有效保证传输过程的安全性,有效缓解或解决空口信息被窃取的问题。
本发明的实施例6,公开了生成推送保护密钥时归属网络侧进行的操作,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,借用的所述一次终端鉴权流程步骤如下,其中,TPK表示临时公钥,TSK表示临时私钥:
步骤S1:AUSF接收拜访网络侧发送的鉴权请求,当检测到SN name(ServingNetwork name服务网络名,结构为服务标识:SN Id)的服务标识为事先约定的更新代号时,执行:
步骤S1-1:提取SN name中的TPK1本地保存;
步骤S1-2:生成本地临时公私钥对TPK2和TSK2;
步骤S1-3:本地保存TSK2,将SN name字段中的SN Id替换为TPK2,SN name字段中的服务标识保持不变,生成更新后的特殊构造的SN name;
步骤S1-4:AUSF向UDM发送请求鉴权信息,携带所述更新后的特殊构造的SN name;
步骤S2:UDM接收到请求鉴权信息后,当检测到SN name的服务标识为事先约定的更新代号时,执行:
步骤S2-1:生成本地临时公私钥对TPK3和TSK3;
步骤S2-2:提取SN name中的TPK2,与TSK3计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S2-3:按照3GPP标准生成鉴权向量,将TPK3放入鉴权向量中的AUTN,并将AUTN中的AMF字段设置为能与5G标准区分开的更新码,生成特殊构造的鉴权向量;
步骤S2-4:UDM将所述特殊构造的鉴权向量发送给AUSF;
步骤S3:AUSF接收到特殊构造的鉴权向量后,当检测到鉴权向量中AMF字段为更新码时,执行:
步骤S3-1:提取AUTN中的TPK3,与本地保存的TSK2计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S3-2:生成本地临时公私钥对TPK4和TSK4;
步骤S3-3:通过TSK4和之前保存的TPK1计算SEAF与AUSF之间新的推送保护密钥KT2
步骤S3-4:将TPK4放入鉴权向量中的AUTN,并保持AUTN中的AMF字段设置为更新码,更新特殊构造的鉴权向量并将其放入鉴权响应消息;
步骤S3-4:AUSF向拜访网络侧发送所述鉴权响应消息,由拜访网络侧确定校验失败,结束鉴权流程。
通过借用一次终端鉴权流程实现到推送保护密钥的协商和更新,无需修改现有通信流程,这种方式能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
利用推送保护密钥对鉴权向量中的密钥信息进行加密时,采用的加密算法为分组加密算法。
通过采用分组加密算法实现对密钥信息的加密,方法简单,易于实现。
本发明的实施例7,公开了生成推送保护密钥时拜访网络侧进行的操作,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,所述终端鉴权流程步骤如下:
步骤S1:SEAF收到终端用户UE注册后,判断当前网络推送保护密钥需要更新,执行:
步骤S1-1:生成本地临时公私钥对TPK1和TSK1;
步骤S1-2:本地保存TSK1,将SN name字段中的SN Id替换为TPK1,SN name字段中的服务标识设为事先约定的更新代号,生成特殊构造的SN name;
步骤S2:SEAF向归属网络侧发送鉴权请求,携带所述特殊构造的SN name,以便归属网络侧根据所述特殊构造的SN name生成推送保护密钥;
步骤S3:SEAF接收归属网络侧发送的鉴权响应消息,SEAF检测鉴权向量中AMF字段为更新码,执行:
提取AUTN中的TPK4,与TSK1计算出SEAF与AUSF之间新的推送保护密钥KT2并保存;
步骤S4:SEAF向终端UE发送鉴权请求;
步骤S5:终端根据3GPP标准校验鉴权向量中的AUTN字段,校验失败,判断本次鉴权失败,结束鉴权流程。
通过借用一次终端鉴权流程实现到推送保护密钥的协商和更新,无需修改现有通信流程,这种方式能够根据网络策略更换保护密钥,且密钥的协商对用户无感。
本发明的实施例8,公开了鉴权方式为5G AKA时核心网网元间密钥信息加密传输流程,如图3所示,步骤如下:
步骤S1:根据3GPP标准流程,SEAF收到终端用户UE的注册,向终端用户的归属网络侧网元AUSF发送鉴权请求,将SUPI(Subscription Permanent Identifier,注册用户永久识别码)以及服务网络名称(SN name)等信息发送至AUSF;
步骤S2:根据3GPP标准流程,AUSF将鉴权请求信息发送至UDM;
步骤S3:UDM生成鉴权向量,并对其中的密钥信息进行加密:
步骤S3-1:根据3GPP标准流程,UDM生成的5G归属鉴权向量包括RAND(随机数)、XRES(Expected Response,期望响应)、KAUSF(AUSF安全密钥)、AUTN(AuthenticationToken,认证令牌),具体表示为RAND||XRES*||KAUSF||AUTN,其中,“||”表示首尾相连拼在一起;
步骤S3-2:UDM使用分组加密算法对KAUSF进行加密,得到加密后的AUSF安全密钥KAUSF’,加密使用的密钥为预先协商好的推送保护密钥KT1
步骤S4:UDM将原鉴权向量中的KAUSF替换为加密后的AUSF安全密钥KAUSF’,得到经过保护的5G归属鉴权向量,并将经过保护的5G归属鉴权向量发送至AUSF;
步骤S5:AUSF接收UDM发送的经过保护的5G归属鉴权向量,并对其进行处理:
步骤S5-1:AUSF使用预先协商好的推送保护密钥KT1将经过保护5G归属鉴权向量中的KAUSF’解密出来;
步骤S5-2:根据3GPP标准流程,由AUSF派生出SEAF安全密钥KSEAF,并利用5G归属鉴权向量中的XRES*计算得到HXRES*(Hash eXpected RESponse,通过XRES*推导出的期望响应杂凑值);
步骤S5-3:由AUSF对SEAF安全密钥KSEAF进行加密,得到加密后的SEAF安全密钥KSEAF’,加密使用的密钥为预先协商好的推送保护密钥KT2,并结合KSEAF’生成经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,并将其放入鉴权响应消息中;
步骤S6:根据3GPP标准流程,AUSF向拜访网络侧SEAF发送鉴权响应,响应中携带经过保护的5G鉴权向量;
步骤S7:SEAF使用预先协商好的推送保护密钥KT2将5G鉴权向量中的KSEAF解密出来,同时保存HXRES*;
步骤S8:根据3GPP标准流程,SEAF向终端UE发送鉴权请求;
步骤S9:根据3GPP标准流程,终端UE进行鉴权计算;
步骤S10:若终端UE通过用户认证,将计算出的RES*发送至SEAF;
步骤S11:根据3GPP标准流程,SEAF接收终端UE发送的反馈信息RES*,计算XRES*并与HXRES*对比,一致则判定拜访网络侧鉴权通过;
步骤S12:根据3GPP标准流程,SEAF向AUSF发送终端鉴权请求;
步骤S13:根据3GPP标准流程,AUSF收到终端鉴权请求后,对鉴权结果进行判断:AUSF对比XRES*和RES*,如果一致,判定归属网络侧鉴权成功;
步骤S14:根据3GPP标准流程,AUSF向SEAF发送鉴权响应。
本发明的实施例9,公开了推送保护密钥KT1和KT2的协商和更新参考流程,流程图如图4所示。以SEAF与AUSF、AUSF与UDM之间的流程为例,当SEAF判断当前的网络尚未协商出推送保护密钥KT1和KT2或当前使用的KT1、KT2需要进行更换时,将借用一次终端鉴权的流程完成推送保护密钥的协商和更新,参考实现方案中推送保护密钥的生成采用ECCDH(elliptic-curve computation diffie-Hellman,椭圆曲线密码体制)算法。包括以下步骤:
步骤S1:SEAF收到终端用户UE注册后,判断当前网络推送保护密钥需要更新,执行:
步骤S1-1:生成本地临时公私钥对TPK1和TSK1;
步骤S1-2:本地保存TSK1,将SN name字段中的SN Id替换为TPK1,SN name字段中的服务标识设为更新代号,也即事先约定的特定字段,如“cipher”;在正常终端鉴权流程中,所述SN name字段表示为:“服务标识:SN Id”,其中服务标识为“5G”;当需要获取所述推送保护密钥KT1、KT2时,设置所述SN name的服务标识为事先约定的更新代号cipher,表示为:“cipher:SN Id”。
步骤S2:SEAF使用特殊构造的SN name向AUSF发出鉴权请求;
步骤S3:AUSF收到鉴权请求后,发现其中SN name的服务标识为更新代号,执行:
步骤S3-1:提取SN name中的TPK1本地保存;
步骤S3-2:生成本地临时公私钥对TPK2和TSK2;
步骤S3-3:本地保存TSK2,将SN name字段中的SN Id替换为TPK2,SN name字段中的服务标识保持为更新代号;
步骤S4:根据3GPP标准流程,AUSF向UDM请求鉴权信息,携带的SN name为特殊构造;
步骤S5:UDM收到请求鉴权信息后,发现其中SN name的服务标识为更新代号,执行:
步骤S5-1:生成本地临时公私钥对TPK3和TSK3;
步骤S5-2:提取SN name中的TPK2,与TSK3计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S5-3:按照3GPP标准生成鉴权向量,将TPK3放入鉴权向量中的AUTN,并将AUTN中的AMF字段设置为更新码,也即事先约定的能与5G标准区分的值,如0xfe;
步骤S6:UDM将特殊构造的鉴权向量发送给AUSF;
步骤S7:AUSF收到UDM传来的鉴权向量后,发现鉴权向量中AMF字段为更新码,判断为推送保护密钥的更新流程,执行:
步骤S7-1:提取AUTN中的TPK3,与TSK2计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S7-2:生成本地临时公私钥对TPK4和TSK4;
步骤S7-3:通过TSK4和之前保存的TPK1计算SEAF与AUSF之间的推送保护密钥KT2
步骤S7-4:将TPK4放入鉴权向量中的AUTN,并保持AUTN中的AMF字段设置为更新码;
步骤S8:根据3GPP标准流程,AUSF向拜访网络SEAF发送鉴权响应,响应中携带处理后的鉴权向量;
步骤S9:SEAF接收到鉴权响应后,发现鉴权向量中AMF字段为更新码,判断为推送保护密钥的更新流程,执行:
提取AUTN中的TPK4,与TSK1计算出SEAF与AUSF之间新的推送保护密钥KT2并保存;
步骤S10:根据3GPP标准流程,SEAF向终端发送鉴权请求;
步骤S11:终端根据3GPP标准校验鉴权向量中的AUTN字段,校验失败,判断本次鉴权失败;
步骤S12:终端与网络之间重新发起鉴权,鉴权流程即为之前描述的经过传输加密保护后的方案。
在4G移动通信系统中,核心网侧内的HSS需要将派生出的KASME推送至MME,也可使用与本发明方案一致的方法对密钥进行保护。
4G核心网对派生出的密钥推送进行保护的流程为:MME在用户注册后向HSS发送鉴权请求,HSS生成鉴权向量,并将鉴权向量中的KASME使用推送保护密钥KT进行加密,然后将鉴权向量通过鉴权响应消息发送给MME,由MME对KAMSE进行解密并执行后续操作。
由于4G移动通信标准中要求鉴权请求中携带的信息为SN Id而非SN name,所以无法像5G网络的方案一样使用SN name中的服务标识字段置为特殊值,所以需要对SN Id进行特征值的构造和提取。
如本发明的实施例10所示,4G核心网推送保护使用的密钥协商和更新流程为:
步骤S1:MME在收到某一终端的注册后,判断当前网络的推送保护密钥需更新,执行:
步骤S1-1:生成本地临时公私钥对TPK1和TSK1;
步骤S1-2:本地保存TSK1,计算H1=HASH(TPK1)将SN Id替换为TPK1||H1;
步骤S2:MME向用户归属网络HSS发出鉴权请求;
步骤S3:HSS收到鉴权请求后,提取SN Id中H1字段,并本地计算HASH(TPK1),若两者一致,判断为一次推送保护密钥更新过程,执行:
步骤S3-1:生成本地临时公私钥对TPK2和TSK2;
步骤S3-2:提取SN Id中的TPK1,与TSK2计算生成HSS与MME之间的推送保护密钥KT
步骤S3-3:按照3GPP标准生成鉴权向量,将TPK2放入鉴权向量中的AUTN,并将AUTN中的AMF字段设置为特殊值;
步骤S4:HSS据3GPP标准向MME请发出鉴权应答;
步骤S5:MME收到请求鉴权信息后,发现鉴权向量中的AUTN的AMF字段为特殊值,判断为一次推送保护密钥更新过程,执行:
提取AUTN中的TPK2,与TSK1计算出HSS与MME之间的推送保护密钥KT
步骤S6:MME根据3GPP标准向终端发送鉴权请求;
步骤S7:终端根据3GPP标准校验鉴权向量中的AUTN字段,校验失败,判断本次鉴权失败;
步骤S8:终端与网络之间重新发起鉴权,鉴权流程即为之前描述的经过传输加密保护后的方案。
综上,本发明提供的基于5G AKA的核心网网元间鉴权流程安全性增强方法,其关键点是:
(1)核心网网元(如5G中UDM、AUSF、SEAF和AMF,4G中HSS与MME)之间传递的密钥可以经过机密性保护后传输。
(2)核心网网元之间(如5G中UDM与AUSF之间、AUSF与SEAF之间、SEAF与AMF之间,4G中HSS与MME之间)的推送保护是分段的,每个分段都可以采用完全不同的算法、密钥和分组长度,也可以选择性的保护某一分段。
(3)利用一次终端与网络之间的标准鉴权流程,完成核心网网元之间(如5G中UDM与AUSF之间、AUSF与SEAF之间、SEAF与AMF之间,4G中HSS与MME之间)关于推送保护密钥的协商和生成,仅对标准流程中要求的字段做部分修改。
(4)参与密钥推送保护的网元均可以发起推送保护密钥的协商和更换流程,更换的时机可以根据策略灵活选择。
(5)参与密钥推送保护的网元在运行过程中协商出推送保护密钥资源,不需预制密钥,支持灵活部署。
(6)核心网网元间密钥信息的推送保护以及推送保护密钥的协商和更换流程均对终端无感知,终端不需做任何改造。
(7)在移动通信网络中其他敏感信息(包括不限于密钥信息的传输)也可通过本方案实现对信息的加密传输和保护密钥协商和更新。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于5GAKA的核心网网元间鉴权流程安全性增强方法,应用于归属网络侧,其特征在于,步骤如下:
接收拜访网络侧发送的鉴权请求;
根据接收到的鉴权请求,生成鉴权向量;
利用推送保护密钥对鉴权向量中的密钥信息进行加密,更新鉴权向量,并生成鉴权响应消息;
将所述鉴权响应消息发送至拜访网络侧,以便拜访网络侧计算反馈信息并生成终端鉴权请求;
根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过。
2.根据权利要求1所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,利用推送保护密钥对鉴权向量中的密钥信息进行加密时,采用的加密算法为分组加密算法。
3.根据权利要求1或2所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,所述归属网络侧的网元包括AUSF、UDM,在归属网络侧内部执行以下操作:
由AUSF接收拜访网络侧发送的鉴权请求,并将所述鉴权请求发送至UDM;
UDM生成5G归属鉴权向量,所述5G归属鉴权向量为RAND||XRES*||KAUSF||AUTN;
利用推送保护密钥KT1对AUSF安全密钥KAUSF进行加密,得到加密后的AUSF安全密钥KAUSF’;
UDM将所述5G归属鉴权向量中的KAUSF替换为加密后的AUSF安全密钥KAUSF’,得到经过保护的5G归属鉴权向量,并将所述经过保护的5G归属鉴权向量发送至AUSF;
AUSF接收来自UDM的所述经过保护的5G归属鉴权向量,利用推送保护密钥KT1将所述经过保护的5G归属鉴权向量中的KAUSF’解密出来;
由AUSF派生出SEAF安全密钥KSEAF和HXRES*;
AUSF利用推送保护密钥KT2对派生出的SEAF安全密钥KSEAF进行加密,得到加密后的SEAF安全密钥KSEAF’,生成经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,放入鉴权响应消息中;
AUSF向拜访网络侧发送所述鉴权响应消息,以便拜访网络侧判断是否鉴权通过;
AUSF接收拜访网络侧发送的终端鉴权请求,对鉴权结果进行判断:AUSF对比XRES*和终端鉴权请求中的RES*,如果一致,判定归属网络侧鉴权通过。
4.根据权利要求3所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,借用的所述一次终端鉴权流程步骤如下:
步骤S1:AUSF接收拜访网络侧发送的鉴权请求,当检测到SN name的服务标识为事先约定的更新代号时,执行:
步骤S1-1:提取SN name中的临时公钥TPK1本地保存;
步骤S1-2:生成本地临时公私钥对TPK2和TSK2;
步骤S1-3:本地保存TSK2,将SN name字段中的SN Id替换为TPK2,SN name字段中的服务标识保持不变,生成更新后的特殊构造的SN name;
步骤S1-4:AUSF向UDM发送请求鉴权信息,携带所述更新后的特殊构造的SN name;
步骤S2:UDM接收到请求鉴权信息后,当检测到SN name的服务标识为事先约定的更新代号时,执行:
步骤S2-1:生成本地临时公私钥对TPK3和TSK3;
步骤S2-2:提取SN name中的TPK2,与TSK3计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S2-3:按照3GPP标准生成鉴权向量,将TPK3放入鉴权向量中的AUTN,并将AUTN中的AMF字段设置为能与5G标准区分开的更新码,生成特殊构造的鉴权向量;
步骤S2-4:UDM将所述特殊构造的鉴权向量发送给AUSF;
步骤S3:AUSF接收到特殊构造的鉴权向量后,当检测到鉴权向量中AMF字段为更新码时,执行:
步骤S3-1:提取AUTN中的TPK3,与本地保存的TSK2计算出AUSF与UDM之间新的推送保护密钥KT1
步骤S3-2:生成本地临时公私钥对TPK4和TSK4;
步骤S3-3:通过TSK4和之前保存的TPK1计算SEAF与AUSF之间新的推送保护密钥KT2
步骤S3-4:将TPK4放入鉴权向量中的AUTN,并保持AUTN中的AMF字段设置为更新码,更新特殊构造的鉴权向量并将其放入鉴权响应消息;
步骤S3-4:AUSF向拜访网络侧发送所述鉴权响应消息,由拜访网络侧确定校验失败,结束鉴权流程。
5.根据权利要求4所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,
在正常终端鉴权流程中,所述SN name字段表示为:“服务标识:SN Id”,其中服务标识为“5G”;当需要获取所述推送保护密钥KT1、KT2时,设置所述SN name的服务标识为事先约定的更新代号cipher,所述SN name字段表示为:“cipher:SN Id”。
6.一种基于5GAKA的核心网网元间鉴权流程安全性增强方法,应用于拜访网络侧,其特征在于,步骤如下:
收到终端注册后,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
接收归属网络侧反馈的鉴权响应消息,并利用推送保护密钥解密得到密钥信息,计算反馈信息,根据反馈信息判断拜访网络侧是否鉴权通过;
若拜访网络侧鉴权通过,向归属网络侧发送终端鉴权请求,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
7.根据权利要求6所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,所述拜访网络侧的网元包括SEAF、UE,在拜访网络侧内部执行以下操作:
SEAF收到终端UE的注册,向归属网络侧发送鉴权请求,以便归属网络侧根据该鉴权请求生成鉴权向量及鉴权响应消息;
SEAF接收所述归属网络侧发送的鉴权响应消息,所述鉴权响应消息中包括经过保护的5G鉴权向量RAND||XRES*||KSEAF’||AUTN,SEAF使用推送保护密钥KT2解密KSEAF’得到KSEAF,同时保存HXRES*;
SEAF向UE发送鉴权请求;
UE进行鉴权计算;
若UE通过用户认证,将计算出的RES*发送至SEAF;
SEAF接收终端UE发送的反馈信息RES*,计算XRES*并与HXRES*对比,一致则判定拜访网络侧鉴权通过;
SEAF判定拜访网络侧鉴权通过后向归属网络侧发送终端鉴权请求,所述终端鉴权请求中包括反馈信息RES*,以便归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过。
8.根据权利要求6或7所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到,所述终端鉴权流程步骤如下:
步骤S1:SEAF收到终端用户UE注册后,判断当前网络推送保护密钥需要更新,执行:
步骤S1-1:生成本地临时公私钥对TPK1和TSK1;
步骤S1-2:本地保存TSK1,将SN name字段中的SN Id替换为TPK1,SN name字段中的服务标识设为事先约定的更新代号,生成特殊构造的SN name;
步骤S2:SEAF向归属网络侧发送鉴权请求,携带所述特殊构造的SN name,以便归属网络侧根据所述特殊构造的SN name生成推送保护密钥;
步骤S3:SEAF接收归属网络侧发送的鉴权响应消息,SEAF检测鉴权向量中AMF字段为更新码,执行:
提取AUTN中的临时公钥TPK4,与TSK1计算出SEAF与AUSF之间新的推送保护密钥KT2并保存;
步骤S4:SEAF向终端UE发送鉴权请求;
步骤S5:终端根据3GPP标准校验鉴权向量中的AUTN字段,校验失败,判断本次鉴权失败,结束鉴权流程。
9.根据权利要求8所述的基于5GAKA的核心网网元间鉴权流程安全性增强方法,其特征在于,生成所述推送保护密钥时,采用的是ECCDH算法。
10.一种基于5G AKA的核心网网元间鉴权流程安全性增强方法,其特征在于,包括权利要求1所述的方法和权利要求6所述的方法。
CN201810898952.8A 2018-08-08 2018-08-08 一种基于5g aka的核心网网元间鉴权流程安全性增强方法 Active CN109041057B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810898952.8A CN109041057B (zh) 2018-08-08 2018-08-08 一种基于5g aka的核心网网元间鉴权流程安全性增强方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810898952.8A CN109041057B (zh) 2018-08-08 2018-08-08 一种基于5g aka的核心网网元间鉴权流程安全性增强方法

Publications (2)

Publication Number Publication Date
CN109041057A CN109041057A (zh) 2018-12-18
CN109041057B true CN109041057B (zh) 2021-06-08

Family

ID=64632375

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810898952.8A Active CN109041057B (zh) 2018-08-08 2018-08-08 一种基于5g aka的核心网网元间鉴权流程安全性增强方法

Country Status (1)

Country Link
CN (1) CN109041057B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3883279A4 (en) * 2018-12-29 2021-12-15 Huawei Technologies Co., Ltd. COMMUNICATION PROCEDURE AND RELATED PRODUCT
CN111404669B (zh) * 2019-01-02 2023-05-09 中国移动通信有限公司研究院 一种密钥生成方法、终端设备及网络设备
CN114928842A (zh) * 2019-03-01 2022-08-19 华为技术有限公司 一种认证结果更新的方法和通信装置
CN111757311B (zh) * 2019-03-29 2021-10-22 华为技术有限公司 一种鉴权方法及通信装置
CN113994629A (zh) * 2019-04-08 2022-01-28 日本电气株式会社 在ue配置更新过程期间向ue参数提供完整性保护的过程
CN111866870B (zh) * 2019-04-26 2022-02-01 华为技术有限公司 密钥的管理方法和装置
CN112469043B (zh) * 2019-09-09 2022-10-28 华为技术有限公司 一种鉴权的方法及装置
CN112601222B (zh) * 2019-09-16 2022-04-22 华为技术有限公司 一种空口信息的安全保护方法及装置
CN110933027A (zh) * 2019-10-23 2020-03-27 南京瑞思其智能科技有限公司 一种基于5g网络的照明系统aka认证方法
CN110830985B (zh) * 2019-11-11 2022-04-29 重庆邮电大学 一种基于信任机制的5g轻量级终端接入认证方法
CN112929876B (zh) * 2019-12-05 2022-05-17 大唐移动通信设备有限公司 一种基于5g核心网的数据处理方法及装置
CN111246478B (zh) * 2020-01-20 2021-09-21 广州爱浦路网络技术有限公司 一种基于hss的5g核心网信息处理装置及方法
JP2023519997A (ja) * 2020-03-31 2023-05-15 華為技術有限公司 端末パラメータ更新を保護するための方法および通信装置
CN113852958A (zh) * 2020-06-28 2021-12-28 中兴通讯股份有限公司 5g鉴权方法、5g自动开户方法、设备、系统和存储介质
CN113950051B (zh) * 2020-07-17 2022-11-15 大唐移动通信设备有限公司 一种鉴权推演方法及装置
CN113541936A (zh) * 2021-06-16 2021-10-22 泰安北航科技园信息科技有限公司 一种Tarmarin分析安全的5G AKA协议安全增进系统
CN115915128A (zh) * 2021-09-30 2023-04-04 华为技术有限公司 一种主鉴权方法及装置
CN114040383A (zh) * 2021-11-25 2022-02-11 广东电网有限责任公司广州供电局 基于5g节点的wapi安全网络控制方法、装置及设备
CN114339740B (zh) * 2022-01-07 2023-01-24 济南量子技术研究院 一种用于5g通信的aka认证方法及系统
CN114286340B (zh) * 2022-01-21 2022-12-02 广州爱浦路网络技术有限公司 基于量子计算的鉴权方法、计算机装置和存储介质
CN117793710A (zh) * 2022-09-21 2024-03-29 华为技术有限公司 鉴权方法、通信装置及通信系统
CN117596588B (zh) * 2024-01-18 2024-03-26 中国电子科技集团公司第三十研究所 移动通信网络长期密钥动态更新方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108012267B (zh) * 2016-10-31 2022-05-24 华为技术有限公司 一种网络认证方法、相关设备及系统
WO2018077438A1 (en) * 2016-10-31 2018-05-03 Nokia Technologies Oy Enhancements in aka-based authentication
WO2018135524A1 (ja) * 2017-01-17 2018-07-26 日本電気株式会社 通信システム、通信端末、amfエンティティ、及び通信方法
CN109104727B (zh) * 2018-08-08 2021-05-04 兴唐通信科技有限公司 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法

Also Published As

Publication number Publication date
CN109041057A (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
CN109041057B (zh) 一种基于5g aka的核心网网元间鉴权流程安全性增强方法
CN109104727B (zh) 一种基于eap-aka’的核心网网元间鉴权流程安全性增强方法
JP6778843B2 (ja) 加入秘匿化識別子
CN108848502B (zh) 一种利用5g-aka对supi进行保护的方法
CN109699031B (zh) 采用共享密钥、公钥和私钥的验证方法及装置
CN112566112B (zh) 用于无线通信的装置、方法和存储介质
US10931445B2 (en) Method and system for session key generation with diffie-hellman procedure
JP4688808B2 (ja) 移動体通信システムにおける暗号化の強化セキュリティ構成
CN108683510B (zh) 一种加密传输的用户身份更新方法
EP2528268B3 (en) Cyptographic key generation
Saxena et al. Authentication protocol for an IoT-enabled LTE network
US20120331298A1 (en) Security authentication method, apparatus, and system
WO2020221252A1 (zh) 发送终端序列号的方法和装置以及认证方法和装置
US20060206710A1 (en) Network assisted terminal to SIM/UICC key establishment
EP2296392A1 (en) Authentication method, re-certification method and communication device
KR101632946B1 (ko) 네트워크 인증 절차들에서 인증 챌린지 파라미터들의 조작 및 복원
CN113228721B (zh) 通信方法和相关产品
WO2020177591A1 (zh) 密钥的确定方法、装置、存储介质及电子装置
WO2017080136A1 (zh) 密钥分发和接收方法、第一密钥管理中心和第一网元
WO2018076740A1 (zh) 数据传输方法及相关设备
WO2017080142A1 (zh) 密钥分发、生成和接收方法以及相关装置
WO2019010701A1 (en) METHODS AND COMPUTER DEVICE FOR TRANSMITTING ENCODED INFORMATION DURING AUTHENTICATION
Khedr et al. Enhanced inter‐access service network handover authentication scheme for IEEE 802.16 m network
CN108271154B (zh) 一种认证方法及装置
WO2022135383A1 (zh) 一种身份鉴别方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant