CN110087239B - 基于5g网络中的匿名接入认证与密钥协商方法及装置 - Google Patents

Abstract

本发明公开了一种基于5G网络中的匿名接入认证与密钥协商方法及装置，其中，该方法包括：通过用户信息归属网络为用户终端签发匿名凭证；根据匿名凭证在用户终端与服务网之间进行双向接入认证；双向接入认证成功后，通过用户终端与服务网进行会话密钥协商，以生成用户终端请求的不同类型的网络切片对应的会话密钥。该方法对用户的隐私进行保护，在认证过程中由用户终端与服务网完成，不经过用户归属信息网络，服务网在为用户终端配置不同网络切片的同时，也为用户终端协商与不同切片对应的会话密钥。

Description

基于5G网络中的匿名接入认证与密钥协商方法及装置

技术领域

本发明涉及通信技术应用领域，特别涉及一种基于5G网络中的匿名接入认证与密钥协商方法及装置。

背景技术

国际电信联盟ITU(International Telecommunication Union)宣布移动通信技术将在2020年进入5G时代，未来5G网络主要为用户提供移动互联网和物联网业务。其中，移动互联网将实现虚拟现实、增强现实、超高清3D视频等业务，为用户实现身临其境的业务体验；物联网将支持高速移动的车联网业务和大规模机器通信的智慧城市、智能工业等业务，从而拉近人与人、物与物之间的距离，实现真正意义上的“万物互联”。

ITU将5G网络提供的多种业务划分到了三大应用场景，包括支持移动互联网业务的增大移动宽带场景eMBB(enhanced Mobile Broadband)，支持物联网业务的大规模机器类通信场景mMTC(massive Machine Type of Communication)和高可靠低时延通信场景uRLLC(ultra Reliable Low Latency Communications Conference)。不同应用场景中的不同业务对网络性能和资源配置要求不同，比如eMBB场景中的3D超清视频业务需要1Gbps以上的传输速率，需要在接入网部署边缘计算设备；mMTC场景中的智慧城市业务要求每平方公里至少连接10⁶台物联网设备，并要求这些设备保持极低功耗；uRLLC场景中的车联网业务，则要求车辆之间通信的时延降低到毫秒级。

类似于传统网络，5G网络大致分为代表用户的用户终端UE(User Equipment)、由运营商租赁给服务方，并为用户提供服务的服务网SN(Serve Network)和代表运营商给UE派发合法身份的归属网络HN(Home Network)三个实体。为了给用户提供更丰富的网络业务，5G运营商提出了网络切片的概念。网络切片是5G运营商利用软件定义网络和虚拟化技术，将一组网络物理基础设施(如路由器、交换机、防火墙等)划分成多个逻辑上相互隔离的虚拟网络，并且按不同业务所需的性能指标配置这些虚拟网络。网络切片在节约网络物理资源的同时为用户提供了专用网络，通常会被服务方租赁，并用来为用户提供端到端服务，其具体结构如图1所示。不同网络切片被赋予唯一的网络切片标识S-NSSAI该标识包含网络切片支持的应用场景和提供的服务类型。S-NSSAI由SST和SD两部分组成：SST(Slice/Service type)指切片归属的应用场景，长度为1字节，全网通用，主要分为三类：SST＝1代表eMBB场景下的网络切片；SST＝2代表uRLLC场景下的网络切片；SST＝3代表mMTC场景下的网络切片。SD(Slice Differentiator)是切片差分号，是服务业务的类型，由运营商自定义，并且只在本网下有效。用以区分相同场景下提供不同服务的网络切片(例如eMBB场景下的AR、VR切片的SD不同)。图2是S-NSSAI的结构，服务方按照S-NSSAI给网络中的不同切片配置网络资源。NSSAI是一组S-NSSAI的集合，其结构如图3所示。NSSAI主要分为用户终端可使用的网络切片名单Configured-NSSAI、服务方可配置的网络切片名单Subscribed-NSSAI、用户请求使用的网络切片名单Requsted-NSSAI和服务方允许用户使用的网络切片名单Allowed-NSSAI等。Configured-NSSAI是HN为UE派发的可使用的网络切片名单，此名单规定了UE能请求到的所有网络切片；Subscribed-NSSAI是服务方可配置的网络切片名单，规定了SN能为用户配置哪类网络切片；Requsted-NSSAI是用户请求使用的网络切片名单，即用户从Configured-NSSAI选则想要请求SN为其配置的网络切片；Allowed-NSSAI是服务方允许用户使用网络切片名单，即SN通过对比UE的Requsted-NSSAI和Subscribed-NSSAI后，能为用户配置的网络切片。

UE在接入到SN时，需要先与SN进行双向认证并协商会话密钥，建立安全的通信信道。然后，UE向SN提交Requsted-NSSAI，SN为用户生成Allowed-NSSAI，给用户授予使用其可配置的网络切片的权限。第三代合作伙伴计划3GPP(3rd Generation PartnershipProject)制订了5G-AKA作为5G网络的接入认证框架。该框架支持多种接入技术和不同终端设备，不仅实现了UE与SN之间的双向认证和会话密钥协商，还采用HN的公钥对用户的身份标识符SUPI进行加密，进而保护了用户的身份隐私。但是该框架不抵抗标识符重放攻击，而且该框架过分信任SN，在认证过程中，HN会将用户隐私暴露给SN。为防止SN窥探用户隐私，已有人提出基于匿名机制的5G接入认证方案。这些方案大多数由HN给用户派发匿名凭证PUMI，用户在接入到网络时，向SN提交PUMI，再由SN请求HN验证PUMI。这些方案虽保护了用户隐私，但SN在每次认证用户时，都需向HN请求验证PUMI，攻击者可在SN与HN的通信信道中监听到用户请求了哪些SN，从而泄露了用户的服务隐私。另外，现有方案大多数只为UE和SN协商会话密钥，但是SN可配置不同的网络切片。理论上，UE和不同切片之间应协商不同的会话密钥，从而保证与不同切片之间的会话相互隔离。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的一个目的在于提出一种基于5G网络中的匿名接入认证与密钥协商方法，该方法不仅在接入认证过程中保护用户隐私，而且整个认证过程由UE和SN两方完成，不经过HN。此外，SN在为UE配置不同网络切片的同时，也为UE协商与不同切片对应的会话密钥，从而保证了网络切片之间的隔离。

本发明的另一个目的在于提出一种基于5G网络中的匿名接入认证与密钥协商装置。

为达到上述目的，本发明一方面实施例提出了一种基于5G网络中的匿名接入认证与密钥协商方法，包括：通过用户信息归属网络为用户终端签发匿名凭证；根据所述匿名凭证在所述用户终端与服务网之间进行双向接入认证；双向接入认证成功后，通过所述用户终端与所述服务网进行会话密钥协商，以生成所述用户终端请求的不同类型的网络切片对应的会话密钥。

本发明实施例的基于5G网络中的匿名接入认证与密钥协商方法，通过结合密码学中的BLS签名和零知识证明，提供一种应用于5G网络环境的匿名接入认证和密钥协商方案，认证过程由UE和SN双方协作完成，在保护用户身份隐私的同时，也对用户的服务隐私进行了保护。在密钥协商过程中，SN为UE生成与不同网络切片之间的会话密钥，从而保证了网络切片之间的隔离。

另外，根据本发明上述实施例的基于5G网络中的匿名接入认证与密钥协商方法还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，在所述通过用户信息归属网络为用户终端签发匿名凭证之前，还包括：

所述用户信息归属网络HN分别为所述用户终端UE和所述服务网SN生成所需参数，具体步骤为：

HN生成公开参数集合记为

其中：G₁，G₂是两个阶为q的乘法循环群，g₁，g₂分别是G₁，G₂的生成元，G_T是阶为的q乘法群，

G₁×G₂→G_T是双线性映，H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数，单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)；

HN随机选择

作为私钥，并生成公钥

用UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为所述用户终端UE用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算UE用来生成签名的私钥v_i；UE对外公开u_i，保留v_i；给UE派发一个随机数

计算并保存

HN用SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为SN用来生成签名的私钥v_SN；SN对外公开u_SN，保留v_SN。

进一步地，在本发明的一个实施例中，所述通过用户信息归属网络为用户终端签发匿名凭证，具体包括：

步骤1：UE随机生成

计算

通过私钥v_i给R₀签名得

UE将{u_i,R₀,w₀,R₁}发送给HN；

步骤2：根据BLS签名机制，HN验证

是否成立，若不成立，则HN对UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给UE；

步骤3：UE验证

若失败，则UE对HN认证失败；若成功，UE先计算匿名身份凭证

UE再根据HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

UE将集合{C_ID,C₁,C₂…C_n}发给HN；

步骤4：HN接收到C←{C_ID,C₁,C₂…C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂…C_n}签名，得到

生成所述匿名凭证的集合{σ_ID,σ₁,σ₂…σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂…σ_n}是代表UE有权请哪些网络切片的凭证返回给UE。

进一步地，在本发明的一个实施例中，所述根据所述匿名凭证在所述用户终端与服务网之间进行双向接入认证，具体包括：

步骤5：UE请求接入SN，并与SN建立连接；

步骤6：UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r′，a←a^r'，b←b^r'，并保留盲化后的(σ_ID,a,b)，UE随机生成

计算零知识证明承诺值

并发送(σ_ID,T)给SN；

步骤7：SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给UE；

步骤8：UE接收到

后，验证等式：

若等式不成立，则UE不能验证SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向SN发送(s₁,s₂,K_i)；

步骤9：SN并验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

进一步地，在本发明的一个实施例中，所述双向接入认证成功后，通过所述用户终端与所述服务网进行会话密钥协商，以生成所述用户终端请求的不同类型的网络切片对应的会话密钥，具体包括：

步骤10：SN将Subscribed-NSSAI公开给UE，其中，Subscribed-NSSAI为服务方SN可配置的网络切片名单；

步骤11：UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)，以K为密钥加密Requsted-NSSAI里的切片号和UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j)，并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,…S-NSSAI_j}(1≤j≤n)找寻对应的匿名凭证集合C'←{σ₁,σ₂,…σ_j}(1≤j≤n)，聚合这些凭证为σ←σ₁·σ₂…σ_j。UE用

盲化凭证σ，计算σ←σ^r'，a←a^r'，b←b^r'，并保留盲化后的(σ,a,b)，UE随机生成

计算承诺值

UE根据SN在步骤7中发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给SN，其中，Requsted-NSSAI为UE请求使用的网络切片名单；

步骤12：SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j}，SN验证等式：

若验证失败，则证明UE并没有被HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给UE生成的Allowed-NSSAI，并为UE协商与不同网络切片之间的会话密钥；

步骤13：SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切号的杂凑值{S₁,S₂…S_j}，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂…k_j}和Allowed-NSSAI发送给UE，其中，Allowed-NSSAI为SN允许UE使用的网络切片名单；

步骤14：UE接收到会话密钥集{k₁,k₂…k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂...k_j，再验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

为达到上述目的，本发明另一方面实施例提出了一种基于5G网络中的匿名接入认证与密钥协商装置，包括：

匿名凭证签发模块，用于通过用户信息归属网络为用户终端签发匿名凭证；

匿名接入认证模块，用于根据所述匿名凭证在所述用户终端与服务网之间进行双向接入认证；

密钥协商模块，用于双向接入认证成功后，通过所述用户终端与所述服务网进行会话密钥协商，以生成所述用户终端请求的不同类型的网络切片对应的会话密钥。

本发明实施例的基于5G网络中的匿名接入认证与密钥协商装置，通过结合密码学中的BLS签名和零知识证明，提供一种应用于5G网络环境的匿名接入认证和密钥协商方案，认证过程由UE和SN双方协作完成，在保护用户身份隐私的同时，也对用户的服务隐私进行了保护。在密钥协商过程中，SN为UE生成与不同网络切片之间的会话密钥，从而保证了网络切片之间的隔离。

另外，根据本发明上述实施例的基于5G网络中的匿名接入认证与密钥协商装置还可以具有以下附加的技术特征：

进一步地，在本发明的一个实施例中，还包括：初始模块，

所述初始模块，用于所述用户信息归属网络HN分别为所述用户终端UE和所述服务网SN生成所需参数；

所述初始模块，具体用于，

HN生成公开参数集合记为

其中：G₁，G₂是两个阶为q的乘法循环群，g₁，g₂分别是G₁，G₂的生成元，G_T是阶为的q乘法群，

G₁×G₂→G_T是双线性映，H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数，单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)；

HN随机选择

作为私钥，并生成公钥

用UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为所述用户终端UE用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算UE用来生成签名的私钥v_i；UE对外公开u_i，保留v_i；给UE派发一个随机数

计算并保存

HN用SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为SN用来生成签名的私钥v_SN；SN对外公开u_SN，保留v_SN。

进一步地，在本发明的一个实施例中，所述匿名凭证签发模块，具体用于，

UE随机生成

计算

通过私钥v_i给R₀签名得

UE将{u_i,R₀,w₀,R₁}发送给HN；

根据BLS签名机制，HN验证

是否成立，若不成立，则HN对UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给UE；

UE验证

若失败，则UE对HN认证失败；若成功，UE先计算匿名身份凭证

UE再根据HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

UE将集合{C_ID,C₁,C₂...C_n}发给HN；

HN接收到C←{C_ID,C₁,C₂...C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂...C_n}签名，得到

生成所述匿名凭证的集合{σ_ID,σ₁,σ₂...σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂...σ_n}是代表UE有权请哪些网络切片的凭证返回给UE。

进一步地，在本发明的一个实施例中，所述匿名接入认证模块，具体用于，

UE请求接入SN，并与SN建立连接；

UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r'，然后UE随机生成

计算零知识证明承诺值

并发送(σ_ID,T)给SN；

SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给UE；

UE接收到

后，验证等式：

若等式不成立，则UE不能验证SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向SN发送(s₁,s₂,K_i)；

SN验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

进一步地，在本发明的实施例中，所述密钥协商模块，具体用于，

SN将Subscribed-NSSAI公开给UE，其中，Subscribed-NSSAI为服务方SN可配置的网络切片名单；

UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)，以K为密钥加密Requsted-NSSAI里的切片号和UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||...||S-NSSAI_j||R₁||...||R_j)，并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,…S-NSSAI_j}(1≤j≤n)找寻对应的匿名凭证集合C'←{σ₁,σ₂,…σ_j}(1≤j≤n)，聚合这些凭证为σ←σ₁·σ₂…σ_j。UE用

盲化凭证σ，计算σ←σ^r'，a←a^r'，b←b^r'，并保留盲化后的(σ,a,b)，UE随机生成

计算承诺值

UE根据SN发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给SN，其中，Requsted-NSSAI为UE请求使用的网络切片名单；

SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j}，SN验证等式：

若验证失败，则证明UE并没有被HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给UE生成的Allowed-NSSAI，并为UE协商与不同网络切片之间的会话密钥；

SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切号的杂凑值{S₁,S₂…S_j}，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂…k_j}和Allowed-NSSAI发送给UE，其中，Allowed-NSSAI为SN允许UE使用的网络切片名单；

UE接收到会话密钥集{k₁,k₂…k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂…k_j，再验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本发明一个实施例的网络切片的结构图；

图2为根据本发明一个实施例的S-NSSAI的结构图；

图3为根据本发明一个实施例的NSSAI的结构图；

图4为根据本发明一个实施例的基于5G网络中的匿名接入认证与密钥协商方法流程图；

图5为根据本发明另一个实施例的基于5G网络中的匿名接入认证与密钥协商方法流程图；

图6为根据本发明又一个实施例的基于5G网络中的匿名接入认证与密钥协商方法流程图；

图7为根据本发明一个实施例的基于5G网络中的匿名接入认证与密钥协商装置结构示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参照附图描述根据本发明实施例提出的基于5G网络中的匿名接入认证与密钥协商方法及装置。

首先将参照附图描述根据本发明实施例提出的基于5G网络中的匿名接入认证与密钥协商方法。

在介绍具体方案之前，先介绍一些数学定义：

定义1：双线性对

一个双线性对

就是一个从G₁×G₂到G_T的双线性映射，其中，G₁，G₂和G_T均是乘法群。双线性对满足下列性质：

(1)双线性性：设g₁∈G₁，g₂∈G₂，

有

(2)非退化性：对于每个g₁∈G₁，总存在g₂∈G₂，使得

(3)有效可计算性。

定义2：Diffie-Hellan问题

(1)计算Diffie-Hellan问题：给定g，g^a，g^b，却难以计算g^ab。

(2)判定Diffie-Hellan问题：给定g，g^a，g^b，g^c，难以判定c＝abmodn。

定义3：BLS签名

KeyGen：令g是q阶乘法群G的生成元，

G_T也是乘法群。在一个q阶乘法群中，选取[0,q-1]内的一个整数x，作为私钥s_k；g^x作为公钥p_k。由于CDH问题是困难的，所以，从p_k很难计算得到x。

Signing：消息m，令h←H(m)，签名为sig←h^x。

Verification：验证者已知G、g^x、h、sig。为了验证签名是由拥有私钥x的人生成的，验证者只需判断

是否成立，若成立，则签名得到验证。

定义4：交互式零知识证明

零知识证明是一种涉及证明者和验证者的协议，该协议中证明者向验证者证明并使其相信自己知道或拥有某一消息，但证明过程不能向验证者泄漏任何关于被证明消息的信息。

零知识证明满足三个属性：

(1)如果语句为真，诚实的验证者将由诚实的证明者确信这一事实。

(2)如果语句为假，不排除有概率欺骗者可以说服诚实的验证者它是真的。

(3)如果语句为真，证明者的目的就是向验证者证明并使验证者相信自己知道或拥有某一消息，而在证明过程中不可向验证者泄漏任何有关被证明消息的内容。

在本方案中，UE是用户终端，代表用户；SN是服务网，代表租赁运营商网络切片的半可信第三方服务商；HN是用户信息归属网络，代表运营商。UE和SN均信任网络运营商，也就是HN。

图3为根据本发明一个实施例的基于5G网络中的匿名接入认证与密钥协商方法流程图。

如图4所示，该基于5G网络中的匿名接入认证与密钥协商方法包括以下步骤：

步骤101，通过用户信息归属网络为用户终端签发匿名凭证。

进一步地，在步骤S101之前，还包括初始化阶段，HN分别为UE和SN生成所需参数，HN生成公开参数其集合记为

并以

作为私钥，成公钥

HN为UE计算用户用来生成签名的私钥v_i，和用来解密签名的公钥u_i。此外，HN与UE共同保存一个秘密R₀。同理，HN为SN计算用户用来生成签名的私钥v_SN，和用来解密签名的公钥u_SN。

具体地，HN生成公开参数其集合记为

其中：G₁，G₂是两个阶为q的乘法循环群。g₁，g₂分别是G₁，G₂的生成元；G_T是阶为的q乘法群，

G₁×G₂→G_T是非退化的、可有效计算的双线性映射。H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数。单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)。

HN随机选择

作为私钥，并生成公钥

用UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为用户用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算用户用来生成签名的私钥v_i。用户对外公开u_i，自己保留v_i。此外，HN给UE派发一个随机数

计算并保存

同理，HN用SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为SN用来生成签名的私钥v_SN。SN对外公开u_SN，自己保留v_SN。

进一步地，通过用户信息归属网络HN为用户终端签发匿名凭证，具体包括4个步骤：

步骤1：UE给秘密R₀签名得w₀，并将{u_i,R₀,w₀,R₁}发送给HN。

步骤2：HN先验证UE的身份，若验证成功，则计算新的秘密R₁，并给R₁签名生成z₁，然后计算生成p_i,K_i，并将{z₁,p_i,K_i}发送给UE；。

步骤3：UE先验证HN的身份，若验证成功，则计算关联身份属性的信息C_ID。UE再根据HN派发的Configured-NSSAI里的S-NSSAI_i，分别计算信息C_i，并将信息集合{C_ID,C₁,C₂…C_n}发给HN。

步骤4：HN接收到{C_ID,C₁,C₂…C_n}后，并基于BLS签名机制给C_i签名，得到匿名凭证集合{σ_ID,σ₁,σ₂…σ_n}，返回给UE。

具体地，如图5所示，这四个步骤详细过程为：

1)UE随机生成

计算

然后，用私钥v_i给R₀签名得

用户将{u_i,R₀,w₀,R₁}发送给HN。

2)根据BLS签名机制，HN验证

是否成立，若不成立，则HN对UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给UE；

3)UE验证

若失败，则UE对HN认证失败；若成功，UE先计算匿名身份凭证

UE再根据HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

UE将集合{C_ID,C₁,C₂…C_n}发给HN。

4)HN接收到C←{C_ID,C₁,C₂…C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂…C_n}签名，得到

生成所述匿名凭证的集合{σ_ID,σ₁,σ₂…σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂…σ_n}是代表UE有权请哪些网络切片的凭证返回给UE。

步骤102，根据匿名凭证在用户终端与服务网之间进行双向接入认证。

进一步地，根据匿名凭证在用户终端与服务网之间进行双向接入认证，主要包括5个步骤完成UE和SN之间的双向认证：

步骤5：UE请求接入SN，并与SN建立连接。

步骤6：UE盲化凭(σ_ID,a,b)，并计算承诺值

发送(σ_ID,T)给SN。

步骤7：SN接收到(σ_ID,T)后，给σ_ID签名得σ_T，并选择挑战值c，将

发送给UE。

步骤8：UE验证SN身份，若验证成功，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向SN发送(s₁,s₂,K_i)。

步骤9：SN用交互式零知识证明方案验证UE的匿名身份，若验证成功，则进入第三阶段。

具体地，如图6所示，这5个步骤的详细过程为：

5)UE请求接入SN，并与SN建立连接。

6)UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r'，然后UE随机生成

计算零知识证明承诺值

并发送(σ_ID,T)给SN。

7)SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给UE。

8)UE接收到

后，验证等式：

若等式不成立，则UE不能验证SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向SN发送(s₁,s₂,K_i)。

9)SN验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

步骤103，双向接入认证成功后，通过用户终端与服务网进行会话密钥协商，以生成用户终端请求的不同类型的网络切片对应的会话密钥。

进一步地，在UE和SN双向认证成功后，UE和SN进行会话密钥协商，根据UE的不同的需求生成不同的会话密钥。主要包括5个步骤：

步骤10：SN将Subscribed-NSSAI公开给UE。

步骤11：UE随机选择

利用SN分享的秘密生成临时会话密钥K。以K，并用加密算法AES_ENC(K,M)加密Requsted-NSSAI里的切片号和与之匹配的随机数R_i，得到密文C₁。并将Requsted-NSSAI里切片号对应的凭证聚合为σ←σ₁·σ₂…σ_j。盲化凭证σ，计算应答值s₃,s₄，计算承诺值

并发送(σ,T',s₃,s₄,k₁,C₁)给SN。

步骤12：SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算出临时会话密钥K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j}。然后SN验证UE是否拥有使用这些切片的权限。若验证失败，则证明UE并没有被HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则为UE协商与不同网络切片之间的会话密钥。

步骤13：SN使用会话密钥K和随机数R_i，计算生成UE与不同切片之间的会话密钥集{k₁,k₂…k_j}，并将{k₁,k₂…k_j}和Allowed-NSSAI发送给UE。

步骤14：验证会话密钥集里的密钥是由SN生成的，若验证成功，则保存会话密钥集。

具体的，这五个步骤的详细过程为：

10)SN将Subscribed-NSSAI公开给UE。

11)UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)。以K为密钥加密Requsted-NSSAI里的切片号和UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j)。并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,…S-NSSAI_j}(1≤j≤n)找寻对应的匿名凭证集合C'←{σ₁,σ₂,…σ_j}(1≤j≤n)，聚合这些凭证为σ←σ₁·σ₂…σ_j。UE用

盲化凭证σ，计算σ←σ^r′，a←a^r′，b←b^r′，并保留盲化后的(σ,a,b)。UE随机生成

计算承诺值

之后，用户根据SN在步骤7中发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给SN，其中，Requsted-NSSAI为UE请求使用的网络切片名单；

12)SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j}。然后SN验证等式：

若验证失败，则证明UE并没有被HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给用户生成的Allowed-NSSAI，并为UE协商与不同网络切片之间的会话密钥。

13)SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切号的杂凑值{S₁,S₂…S_j}。然后，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂…k_j}和Allowed-NSSAI发送给UE。

14)UE接收到会话密钥集{k₁,k₂…k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂…k_j。然后，验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

进一步地，本发明实施例的基于BLS签名和零知识证明的5G环境下的匿名接入认证与密钥分发方案，参与方分别是UE，SN和HN，分为匿名凭证签发、匿名接入认证、密钥协商三个阶段。其中，第一阶段由HN和UE完成；第二到第三阶段由SN和UE完成。其主要功效和优点如下：

(1)HN基于BLS签名方案给UE签发多个凭证{σ_ID,σ₁,σ₂…σ_n}，其中，凭证是σ_ID代表UE具有HN派发的合法身份标识符SUPI₀，除HN外，其它网络无法凭σ_ID追溯到UE的身份标识，只能凭σ_ID得知UE有HN派发的合法身份。从而既保证了UE身份的匿名化，还向SN证明了自己身份合法，进而完成了接入认证。其余凭证{σ₁,σ₂…σ_n}是由HN对UE的可配置网络切片标识符号Configured-NSSAI逐一进行BLS签名所得，分别代表了UE有权向SN申请哪些网络切片的服务。这些凭证在验证时可以聚合使用，从而提高了验证效率。

(2)UE和SN之间的接入认证过程是基于交互式零知识证明方案实现的。在此过程中，SN对UE进行了匿名认证，同时，UE对SN也进行了身份认证。该过程在没有HN参与的情况下，实现了UE和SN之间的双向认证，另外，认证阶段减少了SN与HN之间的交互，摆脱了对SN与HN之间的信道安全假设的依赖，同时也对用户的服务隐私进行了保护。

(3)UE和SN进行密钥协商后，SN会根据UE请求的不同类型的网络切片，给UE与不同网络切片之间的会话密钥{k₁,k₂…k_j}，从而保证了UE与不同网络切片之间会话的相互隔离。

根据本发明实施例提出的基于5G网络中的匿名接入认证与密钥协商方法，通过结合密码学中的BLS签名和零知识证明，提供一种应用于5G网络环境的匿名接入认证和密钥协商方案，认证过程由UE和SN双方协作完成，在保护用户身份隐私的同时，也对用户的服务隐私进行了保护。在密钥协商过程中，SN为UE生成与不同网络切片之间的会话密钥，从而保证了网络切片之间的隔离。

其次参照附图描述根据本发明实施例提出的基于5G网络中的匿名接入认证与密钥协商装置。

图7为根据发明一个实施例的基于5G网络中的匿名接入认证与密钥协商装置结构示意图。

如图7所示，该基于5G网络中的匿名接入认证与密钥协商装置包括：匿名凭证签发模块100、匿名接入认证模块200和密钥协商模块300。

其中，匿名凭证签发模块100，用于通过用户信息归属网络为用户终端签发匿名凭证。

匿名接入认证模块200，用于根据匿名凭证在用户终端与服务网之间进行双向接入认证。

密钥协商模块300，用于双向接入认证成功后，通过用户终端与服务网进行会话密钥协商，以生成用户终端请求的不同类型的网络切片对应的会话密钥。

该装置中HN采用BLS签名为UE生成标识用户身份的匿名凭证；UE和SN之间采用密码学中的零知识证明方法完成双向认证，并在认证成功后协商了UE与SN中网络切片之间的会话密钥，在未来5G通信技术领域里具有较好的实用价值和广阔的应用场景。

进一步地，在本发明的一个实施例中，还包括：初始模块，

初始模块，用于用户信息归属网络HN分别为用户终端UE和服务网SN生成所需参数；

初始模块，具体用于，

HN生成公开参数集合记为

其中：G₁，G₂是两个阶为q的乘法循环群，g₁，g₂分别是G₁，G₂的生成元，G_T是阶为的q乘法群，

是双线性映，H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数，单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)；

HN随机选择

作为私钥，并生成公钥

用UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为用户终端UE用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算UE用来生成签名的私钥v_i；UE对外公开u_i，保留v_i；给UE派发一个随机数

计算并保存

HN用SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为SN用来生成签名的私钥v_SN；SN对外公开u_SN，保留v_SN。

进一步地，在本发明的一个实施例中，匿名凭证签发模块，具体用于，

UE随机生成

计算

通过私钥v_i给R₀签名得

UE将{u_i,R₀,w₀,R₁}发送给HN；

根据BLS签名机制，HN验证

是否成立，若不成立，则HN对UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给UE；

UE验证

若失败，则UE对HN认证失败；若成功，UE先计算匿名身份凭证

UE再根据HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

UE将集合{C_ID,C₁,C₂…C_n}发给HN；

HN接收到C←{C_ID,C₁,C₂…C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂…C_n}签名，得到

生成匿名凭证的集合{σ_ID,σ₁,σ₂…σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂…σ_n}是代表UE有权请哪些网络切片的凭证返回给UE。

进一步地，在本发明的一个实施例中，匿名接入认证模块，具体用于，

UE请求接入SN，并与SN建立连接；

UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r'，然后UE随机生成

计算零知识证明承诺值

并发送(σ_ID,T)给SN；

SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给UE；

UE接收到

后，验证等式：

若等式不成立，则UE不能验证SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向SN发送(s₁,s₂,K_i)；

SN验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

进一步地，在本发明的一个实施例中，密钥协商模块，具体用于，

SN将Subscribed-NSSAI公开给UE，其中，Subscribed-NSSAI为服务方SN可配置的网络切片名单；

UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)，以K为密钥加密Requsted-NSSAI里的切片号和UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j)，并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,…S-NSSAI_j}(1≤j≤n)找寻对应的匿名凭证集合C'←{σ₁,σ₂,…σ_j}(1≤j≤n)，聚合这些凭证为σ←σ₁·σ₂…σ_j。UE用

盲化凭证σ，计算σ←σ^r'，a←a^r'，b←b^r'，并保留盲化后的(σ,a,b)，UE随机生成

计算承诺值

UE根据SN发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给SN，其中，Requsted-NSSAI为UE请求使用的网络切片名单；

SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||…||S-NSSAI_j||R₁||…||R_j}，SN验证等式：

若验证失败，则证明UE并没有被HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给UE生成的Allowed-NSSAI，并为UE协商与不同网络切片之间的会话密钥；

SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切号的杂凑值{S₁,S₂…S_j}，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂…k_j}和Allowed-NSSAI发送给UE，其中，Allowed-NSSAI为SN允许UE使用的网络切片名单；

UE接收到会话密钥集{k₁,k₂…k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂…k_j，再验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

需要说明的是，前述对基于5G网络中的匿名接入认证与密钥协商方法实施例的解释说明也适用于该实施例的装置，此处不再赘述。

根据本发明实施例提出的基于5G网络中的匿名接入认证与密钥协商装置，通过结合密码学中的BLS签名和零知识证明，提供一种应用于5G网络环境的匿名接入认证和密钥协商方案，认证过程由UE和SN双方协作完成，在保护用户身份隐私的同时，也对用户的服务隐私进行了保护。在密钥协商过程中，SN为UE生成与不同网络切片之间的会话密钥，从而保证了网络切片之间的隔离。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (8)

1.一种基于5G网络中的匿名接入认证与密钥协商方法，其特征在于，包括以下步骤：

通过用户信息归属网络HN为用户终端UE签发匿名凭证；所述通过用户信息归属网络HN为用户终端UE签发匿名凭证，具体包括：

步骤1：用户终端UE随机生成

计算

通过私钥v_i给R₀签名得

用户终端UE将{u_i,R₀,w₀,R₁}发送给用户信息归属网络HN，u_i为用户终端UE的永久标识符的杂凑值；

步骤2：根据BLS签名机制，用户信息归属网络HN验证

是否成立，若不成立，则用户信息归属网络HN对用户终端UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后用户信息归属网络HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给用户终端UE，X为公钥，

步骤3：用户终端UE验证

若失败，则用户终端UE对用户信息归属网络HN认证失败；若成功，用户终端UE先计算匿名身份凭证

用户终端UE再根据用户信息归属网络HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择a，

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

用户终端UE将集合{C_ID,C₁,C₂...C_n}发给用户信息归属网络HN；

步骤4：用户信息归属网络HN接收到C←{C_ID,C₁,C₂...C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂…C_n}签名，得到

生成所述匿名凭证的集合{σ_ID,σ₁,σ₂...σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂...σ_n}表示用户终端UE有权使用哪些网络切片；

根据所述匿名凭证在所述用户终端UE与服务网SN之间进行双向接入认证；

双向接入认证成功后，通过所述用户终端UE与所述服务网SN进行会话密钥协商，以生成所述用户终端UE请求的不同类型的网络切片对应的会话密钥。

2.根据权利要求1所述的方法，其特征在于，在所述通过用户信息归属网络HN为用户终端UE签发匿名凭证之前，还包括：

所述用户信息归属网络HN分别为所述用户终端UE和所述服务网SN生成所需参数，具体步骤为：

用户信息归属网络HN生成公开参数集合记为

其中：G₁，G₂是两个阶为q的乘法循环群，g₁，g₂分别是G₁，G₂的生成元，G_T是阶为的q乘法群，

是双线性映，H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数，单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)；

用户信息归属网络HN随机选择

作为私钥，并生成公钥

用用户终端UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为所述用户终端UE用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算用户终端UE用来生成签名的私钥v_i；用户终端UE对外公开u_i，保留v_i；给用户终端UE派发一个随机数

计算并保存

用户信息归属网络HN用服务网SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为服务网SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为服务网SN用来生成签名的私钥v_SN；服务网SN对外公开u_SN，保留v_SN。

3.根据权利要求1所述的方法，其特征在于，所述根据所述匿名凭证在所述用户终端UE与服务网SN之间进行双向接入认证，具体包括：

步骤5：用户终端UE请求接入服务网SN，并与服务网SN建立连接；

步骤6：用户终端UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r'，然后用户终端UE随机生成t₁,

计算零知识证明承诺值

并发送(σ_ID,T)给服务网SN；

步骤7：服务网SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给用户终端UE；

步骤8：用户终端UE接收到

后，验证等式：

若等式不成立，则用户终端UE不能验证服务网SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向服务网SN发送(s₁,s₂,K_i)；

步骤9：服务网SN验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

4.根据权利要求3所述的方法，其特征在于，所述双向接入认证成功后，通过所述用户终端UE与所述服务网SN进行会话密钥协商，以生成所述用户终端UE请求的不同类型的网络切片对应的会话密钥，具体包括：

步骤10：服务网SN将Subscribed-NSSAI公开给用户终端UE，其中，Subscribed-NSSAI为服务网SN可配置的网络切片名单；

步骤11：用户终端UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)，以K为密钥加密Requsted-NSSAI里的切片号和用户终端UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||...||S-NSSAI_j||R₁||...||R_j)，并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,...S-NSSAI_j}找寻对应的匿名凭证集合C'←{σ₁,σ₂,...σ_j}，聚合这些凭证为σ←σ₁·σ₂...σ_j，其中，1≤j≤n，用户终端UE用

盲化凭证σ，计算σ←σ^r’，a←a^r’，b←b^r’，并保留盲化后的(σ,a,b)，用户终端UE随机生成t₁,

计算承诺值

用户终端UE根据服务网SN在步骤7 中发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给服务网SN，其中，Requsted-NSSAI为用户终端UE请求使用的网络切片名单；

步骤12：服务网SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||...||S-NSSAI_j||R₁||...||R_j}，服务网SN验证等式：

若验证失败，则证明用户终端UE并没有被用户信息归属网络HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给用户终端UE生成的Allowed-NSSAI，并为用户终端UE协商与不同网络切片之间的会话密钥；

步骤13：服务网SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切片号的杂凑值{S₁,S₂...S_j}，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂...k_j}和Allowed-NSSAI发送给用户终端UE，其中，Allowed-NSSAI为服务网SN允许用户终端UE使用的网络切片名单；

步骤14：用户终端UE接收到会话密钥集{k₁,k₂...k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂...k_j，再验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

5.一种基于5G网络中的匿名接入认证与密钥协商装置，其特征在于，包括：

匿名凭证签发模块，用于通过用户信息归属网络HN为用户终端UE签发匿名凭证；所述匿名凭证签发模块，具体用于，

用户终端UE随机生成

计算

通过私钥v_i给R₀签名得

用户终端UE将{u_i,R₀,w₀,R₁}发送给用户信息归属网络HN，u_i为用户终端UE的永久标识符的杂凑值；

根据BLS签名机制，用户信息归属网络HN验证

是否成立，若不成立，则用户信息归属网络HN对用户终端UE的身份认证失败；若成立，则用私钥x给R₁签名，生成

然后用户信息归属网络HN随机选择

计算

和

并将{z₁,p_i,K_i}发送给用户终端UE，X为公钥，

用户终端UE验证

若失败，则用户终端UE对用户信息归属网络HN认证失败；若成功，用户终端UE先计算匿名身份凭证

用户终端UE再根据用户信息归属网络HN派发的Configured-NSSAI中的网络切片标识号S-NSSAI_i，随机选择a,

分别计算C_i←A_i·B_i，其中

h_i←H₁(S-NSSAI_i)，

用户终端UE将集合{C_ID,C₁,C₂...C_n}发给用户信息归属网络HN；

用户信息归属网络HN接收到C←{C_ID,C₁,C₂...C_n}后，用k_h给C_ID签名，得到

再用私钥x给{C₁,C₂...C_n}签名，得到

生成所述匿名凭证的集合{σ_ID,σ₁,σ₂...σ_n}，其中σ_ID是代表用户身份的匿名凭证；{σ₁,σ₂...σ_n}表示用户终端UE有权使用哪些网络切片；

匿名接入认证模块，用于根据所述匿名凭证在所述用户终端UE与服务网SN之间进行双向接入认证；

密钥协商模块，用于双向接入认证成功后，通过所述用户终端UE与所述服务网SN进行会话密钥协商，以生成所述用户终端UE请求的不同类型的网络切片对应的会话密钥。

6.根据权利要求5所述的装置，其特征在于，还包括：初始模块，

所述初始模块，用于所述用户信息归属网络HN分别为所述用户终端UE和所述服务网SN生成所需参数；

所述初始模块，具体用于，

用户信息归属网络HN生成公开参数集合记为

其中：G₁，G₂是两个阶为q的乘法循环群，g₁，g₂分别是G₁，G₂的生成元，G_T是阶为的q乘法群，

是双线性映，H₀，H₁，H₂分别是

{0,1}^*→G₁和{0,1}^*→G₂的单向抗碰撞Hash函数，单钥加密算法为C＝AES_ENC(K,M)，解密算法为M＝AES_DEC(K,C)；

用户信息归属网络HN随机选择

作为私钥，并生成公钥

用用户终端UE的永久标识符的杂凑值u_i←H₀(SUPI_i)，作为所述用户终端UE用来解密签名的公钥u_SN，并计算v_i←xu_i作为计算用户终端UE用来生成签名的私钥v_i；用户终端UE对外公开u_i，保留v_i；给用户终端UE派发一个随机数

计算并保存

用户信息归属网络HN用服务网SN的网络标识符SN-name_i生成杂凑值u_SN←H₀(SN-name_i)，作为服务网SN用来解密签名的公钥u_SN，并计算v_SN←xu_SN作为服务网SN用来生成签名的私钥v_SN；服务网SN对外公开u_SN，保留v_SN。

7.根据权利要求5所述的装置，其特征在于，所述匿名接入认证模块，具体用于，

用户终端UE请求接入服务网SN，并与服务网SN建立连接；

用户终端UE随机生成

盲化凭证σ_ID，计算σ_ID←σ_ID ^r'，然后用户终端UE随机生成t₁,

计算零知识证明承诺值

并发送(σ_ID,T)给服务网SN；

服务网SN接收到(σ_ID,T)后，随机选择挑战值

并用私钥v_SN给σ_ID签名，得

将

发送给用户终端UE；

用户终端UE接收到

后，验证等式：

若等式不成立，则用户终端UE不能验证服务网SN的身份；若等式成立，则计算应答值s₁←c+t₁，s₂←v_ic+t₂，并向服务网SN发送(s₁,s₂,K_i)；

服务网SN验证等式：

若等式不成立，则匿名认证失败；若等式成立，则匿名认证成功。

8.根据权利要求7所述的装置，其特征在于，所述密钥协商模块，具体用于，

服务网SN将Subscribed-NSSAI公开给用户终端UE，其中，Subscribed-NSSAI为服务网SN可配置的网络切片名单；

用户终端UE随机选择

并计算

k₁＝g^k，和K＝H₀(k₀)，以K为密钥加密Requsted-NSSAI里的切片号和用户终端UE为每个切片分配的随机数R_i，得C₁＝AES_ENC(K,S-NSSAI₁||...||S-NSSAI_j||R₁||...||R_j)，并跟据Requsted-NSSAI里的切片号{S-NSSAI₁,S-NSSAI₂,...S-NSSAI_j}找寻对应的匿名凭证集合C'←{σ₁,σ₂,...σ_j}，聚合这些凭证为σ←σ₁·σ₂…σ_j，其中，1≤j≤n，用户终端UE用

盲化凭证σ，计算σ←σ^r'，a←a^r'，b←b^r'，并保留盲化后的(σ,a,b)，用户终端UE随机生成t₁,

计算承诺值

用户终端UE根据服务网SN发来的挑战值

计算应答值s₃←ac+t₁和s₄←bc+t₁，并发送(σ,T',s₃,s₄,k₁,C₁)给服务网SN，其中，Requsted-NSSAI为用户终端UE请求使用的网络切片名单；

服务网SN在接收到(σ,T',s₃,s₄,k₁,C₁)后，计算

K＝H₀(k₀)，并用K解密C₁，得到{S-NSSAI₁||...||S-NSSAI_j||R₁||...||R_j}，服务网SN验证等式：

若验证失败，则证明用户终端UE并没有被用户信息归属网络HN授予使用Requsted-NSSAI中切片的合法权利；若验证成功，则以Requsted-NSSAI作为给用户终端UE生成的Allowed-NSSAI，并为用户终端UE协商与不同网络切片之间的会话密钥；

服务网SN计算h_k←H₁(K)，并将随机数序列中的随机数R_i依次做杂凑运算S_i←H₂(R_i)，得到一组对应于Allowed-NSSAI内切片号的杂凑值{S₁,S₂...S_j}，计算

并用私钥v_SN给β_i签名，得到

将{k₁,k₂…k_j}和Allowed-NSSAI发送给用户终端UE，其中，Allowed-NSSAI为服务网SN允许用户终端UE使用的网络切片名单；

用户终端UE接收到会话密钥集{k₁,k₂…k_j}后，先将密钥集里的会话密钥聚合k←k₁·k₂…k_j，再验证等式：

若等式不成立，则丢弃会话密钥；若等式成立，则保存会话密钥。

Images