CN110536296A - 认证参数发送方法和装置以及认证参数处理方法和装置 - Google Patents
认证参数发送方法和装置以及认证参数处理方法和装置 Download PDFInfo
- Publication number
- CN110536296A CN110536296A CN201910314582.3A CN201910314582A CN110536296A CN 110536296 A CN110536296 A CN 110536296A CN 201910314582 A CN201910314582 A CN 201910314582A CN 110536296 A CN110536296 A CN 110536296A
- Authority
- CN
- China
- Prior art keywords
- information
- authentication
- check code
- parameters
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000012795 verification Methods 0.000 claims description 81
- 230000015654 memory Effects 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 238000003672 processing method Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 8
- 238000012937 correction Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 89
- 238000010586 diagram Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 16
- 230000001360 synchronised effect Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 4
- 241000208340 Araliaceae Species 0.000 description 3
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 3
- 235000003140 Panax quinquefolius Nutrition 0.000 description 3
- 235000008434 ginseng Nutrition 0.000 description 3
- 238000013523 data management Methods 0.000 description 2
- 235000013399 edible fruits Nutrition 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- NAWXUBYGYWOOIX-SFHVURJKSA-N (2s)-2-[[4-[2-(2,4-diaminoquinazolin-6-yl)ethyl]benzoyl]amino]-4-methylidenepentanedioic acid Chemical compound C1=CC2=NC(N)=NC(N)=C2C=C1CCC1=CC=C(C(=O)N[C@@H](CC(=C)C(O)=O)C(O)=O)C=C1 NAWXUBYGYWOOIX-SFHVURJKSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000035800 maturation Effects 0.000 description 1
- SYHGEUNFJIGTRX-UHFFFAOYSA-N methylenedioxypyrovalerone Chemical compound C=1C=C2OCOC2=CC=1C(=O)C(CCC)N1CCCC1 SYHGEUNFJIGTRX-UHFFFAOYSA-N 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提出一种认证参数发送方法和装置以及认证参数处理方法和装置。其中,认证参数发送方法包括:接收认证请求消息;采用第一信息生成第二信息,采用所述第二信息生成认证标记(AUTN);反馈包含所述第二信息及所述AUTN的认证参数。本申请能够降低终端侧的网络同步参数被非法获取的风险。
Description
技术领域
本申请涉及通信领域,具体涉及一种认证参数发送方法和装置以及认证参数处理方法和装置。
背景技术
第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)制定了终端与网络相互认证的方案,由归属用户服务器(HSS,Home Subscriber Server)针对每个用户维护一个网络同步参数SQNnw,终端里的用户卡也记录有相应的网络同步参数SQNms。HSS为用户每生成一套认证参数,则为SQNnw加1。HSS收到终端针对用户的认证请求消息时,首先生成一个随机字符串RAND,再基于RAND和SQNms生成认证标记(AUTN,AuthenticationToken),然后将RAND和AUTN发送至终端。终端将RAND和AUTN发送至终端上的用户卡。用户卡先基于RAND和AUTN解算出SQNnw,再采用与HSS生成AUTN相对应的方案以RAND和SQNnw校验AUTN。如果对AUTN校验成功,则判断SQNnw与SQNms的差是否在有效范围内(大于0且小于k);如果SQNnw与SQNms的差不在有效范围内,则向终端返回网络同步失效指示并携带基于SQNms生成的信息,终端再向网络侧发送网络同步失效消息并携带基于SQNms生成的信息;如果SQNnw与SQNms的差在有效范围内,则向终端返回认证成功指示且设置SQNms=SQNnw。如果对AUTN校验失败,则向终端返回网络校验失败指示。上述过程存在漏洞,攻击者很有可能利用早前认证成功的RAND和AUTN,从终端反馈的网络同步失效消息中非法获取到SQNms的值,导致SQNms暴露。
发明内容
为了解决上述至少一个技术问题,本申请实施例提供了以下方案。
本申请实施例提供了一种认证参数发送方法,方法包括:
接收认证请求消息;
采用第一信息生成第二信息,采用所述第二信息生成AUTN;
反馈包含所述第二信息及所述AUTN的认证参数。
本申请实施例提供了一种认证参数处理方法,包括:
接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及AUTN;
基于所述第二信息获取第一信息,校验所述第一信息;向用户卡发送包含所述第二信息及AUTN的认证请求;
响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
本申请实施例提供了一种消息发送方法,包括:
接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
本申请实施例提供了一种认证参数发送装置,包括:
第一接收模块,用于接收认证请求消息;
生成模块,用于采用第一信息生成第二信息,采用所述第二信息生成认证标记AUTN;
反馈模块,用于反馈包含所述第二信息及所述AUTN的认证参数。
本申请实施例提供了一种认证参数处理装置,包括:
第二接收模块,用于接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及认证标记AUTN;
校验模块,用于基于所述第二信息获取第一信息,校验所述第一信息;还用于向用户卡发送包含所述第二信息及AUTN的认证请求;
处理模块,用于响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
本申请实施例提供了一种消息发送装置,包括:
第三接收模块,用于接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
发送模块,用于向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
本申请实施例提供了一种用于认证参数发送的核心网功能节点,包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行本申请认证参数发送方法任一所述的方法。
本申请实施例提供了一种用于认证参数处理的UE,包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行本申请认证参数处理方法任一所述的方法。
本申请实施例提供了一种用于消息发送的核心网功能节点,包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行如本申请消息发送方法所述的方法。
本申请实施例提供了一种通信系统,该系统包括本申请实施例提出的用于认证参数发送的核心网功能节点、用于认证参数处理的UE和用于消息发送的核心网功能节点。
本申请实施例提供了一种存储介质,该存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本申请实施例提供的认证参数发送方法、认证参数处理方法或消息发送方法。
本申请实施例所提供的认证参数发送方法,在接收到认证请求消息后,反馈包含第二信息的认证参数,其中第二信息由第一信息生成。该第二信息可以为终端侧提供校验的依据,降低终端侧的网络同步参数被非法获取的风险。本申请实施例还提供了一种认证参数处理方法,在接收到认证参数后,基于认证参数中包含的第二信息获取第一信息,对第一信息进行校验,并根据校验结果执行相应的操作,从而降低终端侧的网络同步参数被非法获取的风险。
附图说明
图1为本申请实施例的一种认证参数发送方法实现流程示意图;
图2为本申请实施例的一种认证参数处理方法实现流程示意图一;
图3为本申请实施例的一种认证参数处理方法实现流程示意图二;
图4为本申请实施例的一种消息发送方法实现流程示意图;
图5为本申请实施例一的实现流程示意图;
图6为本申请实施例二的实现流程示意图;
图7为本申请实施例三的实现流程示意图;
图8为本申请实施例四的实现流程示意图;
图9为本申请实施例的一种认证参数发送装置结构示意图;
图10为本申请实施例的一种认证参数处理装置结构示意图;
图11为本申请实施例的一种消息发送装置结构示意图;
图12为本申请实施例的核心网功能节点结构示意图;
图13为本申请实施例的UE结构示意图;
图14为本申请实施例的通信网络结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本申请实施例提出一种认证参数发送方法,如图1为本申请实施例提出的认证参数发送方法实现流程示意图,包括:
S11:接收认证请求消息;
S12:采用第一信息生成第二信息,采用所述第二信息生成AUTN;
S13:反馈包含所述第二信息及所述AUTN的认证参数。
在一个示例性实施方式中,上述方法可以应用于网络中的第二核心网功能节点(以下简称“核心网功能2”)。例如,认证服务功能(AUSF,Authentication ServerFunction)、HSS或统一数据管理(UDM,Unified Data Management)功能节点。
核心网功能2从第一核心网功能节点(以下简称“核心网功能1”)接收认证请求消息。该接收认证请求消息可以为用户设备认证请求(UE Authentication Request)消息。核心网功能1可以为接入和移动性管理功能(AMF,Access and Mobility ManagementFunction)或移动性管理实体(MME,Mobility Management Entity)。
在一个示例性实施方式中,上述第一信息为网络侧时间差信息。核心网功能2记录有起始时间(start time),核心网功能2如果发生故障重启或恢复,都需要在继续提供服务前恢复原start time。上述网络侧时间差信息可以为核心网功能2依据当前时间与starttime的差值得到的当前时差(称为S-TIME)。
在一个示例性实施方式中,核心网功能2可以基于S-TIME生成第二信息;或者,核心网功能2可以生成随机字符串(RAND),并基于S-TIME和RAND生成第二信息。前述第二信息具体可以为挑战字符串(CH)。
在一个示例性实施方式中,步骤S12中所述采用第一信息生成第二信息,包括:
采用所述第一信息生成第一校验码;
采用所述第一校验码生成所述第二信息,所述第二信息中包含所述第一校验码的内容。
例如,核心网功能2基于S-TIME生成CH1,或者基于S-TIME和RAND生成CH1。之后,基于CH1生成第一校验码,第一校验码可以采用(HASH)表示。再采用HASH生成CH2,这里CH2为上述第二信息,CH2中包含了HASH的内容。
在一个示例性实施方式中,还包括,采用所述第一信息生成第一校验码;
反馈的认证参数还包含所述第一校验码。
例如,核心网功能2基于S-TIME生成CH1,或者基于S-TIME和RAND生成CH1。之后,基于CH1生成HASH。反馈的认证参数包含CH1、HASH和AUTN,这里CH1为上述第二信息。
在一个示例性实施方式中,步骤S12中的第一消息为认证请求消息中携带的第一令牌信息(TOKEN)。具体地,核心网功能1可以从来自UE的消息中直接获取TOKEN,并向核心网功能2发送包含TOKEN的认证请求消息。或者,核心网功能1可以根据来自UE的消息计算得到TOKEN,并向核心网功能2发送包含TOKEN的认证请求消息。
上述各个参数的具体计算方式将在以下的实施例中详细介绍。
如图2所示,本申请实施例还提出一种认证参数处理方法,包括:
S21:接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及AUTN;
S22:基于所述第二信息获取第一信息,校验所述第一信息;向用户卡发送包含所述第二信息及AUTN的认证请求;
S23:响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
或者,响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,还可以不向所述第一核心网功能节点反馈任何消息。
在一个示例性实施方式中,所述认证参数处理方法可以应用于用户设备(UE,UserEquipment)。
在一个示例性实施方式中,第一信息为网络侧时间差信息(S-TIME)。
在一个示例性实施方式中,所述步骤S22中的校验第一信息包括:
判断终端侧时间差信息与所述网络侧时间差信息的差值是否超过预设阈值;如果超过,则对所述第一信息的校验失败;如果不超过,则对所述第一信息的校验成功。
在一个示例性实施方式中,上述方法还包括:响应于接收到所述用户卡反馈的认证成功指示,采用所述第一信息设置终端侧时间差信息。
例如,终端侧时间差信息可以为CUR-STIME。当UE接收到用户卡反馈的认证成功指示时,设置CUR-STIME=S-TIME。后续过程中接收到认证参数时,如果判断出CUR-STIME>(S-TIME+常量),则认为CUR-STIME与S-TIME的差值超过预设阈值,即对S-TIME的认证失败;如果判断出CUR-STIME<=(S-TIME+常量),则认为CUR-STIME与S-TIME的差值不超过预设阈值,即对S-TIME的认证成功。
如图3为本申请实施例认证参数处理方法的实现流程图二,包括:
S31:接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及AUTN;认证参数还包含第一校验码,或者所述第二信息中包含第一校验码的内容;所述第一校验码采用所述第一信息并基于第一算法生成。
S22:基于所述第二信息获取第一信息,校验所述第一信息;向用户卡发送包含所述第二信息及AUTN的认证请求;
S33:获取所述认证参数中包含的第一校验码,或者基于所述第二信息获取第一校验码;
S34:校验所述第一校验码;如果对所述第一校验码的校验成功,则执行步骤S23;
S23:响应于对所述第一信息的校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
在一个示例性实施方式中,步骤S34中的校验第一校验码包括:
采用所述第一信息并基于所述第一算法生成第二校验码;
判断所述第二校验码与所述第一校验码是否相同,如果相同,则对所述第一校验码的校验成功。
例如,第一校验码为HASH。在校验HASH时,UE采用与核心网功能2生成HASH的算法相同的算法生成XHASH;比较XHASH和HASH,如果二者相同,则对HASH的校验成功,否则校验失败。
在一个示例性实施方式中,第一消息为第一令牌信息。上述步骤S22的校验第一信息包括:
采用与生成所述第一令牌信息相同的算法,计算第二令牌信息;
判断所述第二令牌信息与所述第一令牌信息是否相同,如果相同,则对所述第一信息的校验成功;如果不相同,则对所述第一信息的校验失败。
例如,第一令牌信息为TOKEN,第二令牌信息为XTOKEN。在校验HASH时,UE采用与核心网功能2生成TOKEN的算法相同的算法生成XTOKEN;比较XTOKEN和TOKEN,如果二者相同,则对TOKEN的校验成功,否则校验失败。
本申请还提出一种消息发送方法,如图4为该方法实现流程示意图,包括:
S41:接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
S42:向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
在一个示例性实施方式中,上述消息发送方法可以应用于核心网功能1,核心网功能1可以为AMF或MME。
以下结合实施例对本申请做详细介绍。
如图5为本申请实施例一的实现流程示意图,包括:
步骤501:UE向网络中的核心网功能1发送消息。
在一种实施方式中,核心网功能1可以为AMF或MME。
步骤502:核心网功能1向核心网功能2发送终端认证请求消息,比如发送UEAuthentication Request消息。
在一种实施方式中,核心网功能2为AUSF、HSS或UDM。
步骤503:核心网功能2记录有起始时间(start time),核心网功能2如果发生故障重启或恢复,都需要在继续提供服务前恢复原start time。核心网功能2依据当前时间与start time的差值获得当前时间差(S-TIME)。
核心网功能2基于S-TIME生成挑战字符串(CH)。在一种实施方式中,采用以下式子(1)或(2)生成CH:
CH=S-TIME;……(1)
CH=SHA-256(常量字符串)xor S-TIME;……(2)
其中,SHA-256()为SHA-256函数;
xor为异或操作。
或者,核心网功能2生成随机字符串(RAND),并基于S-TIME和RAND生成CH。在一种实施方式中,采用以下式子(3)或(4)生成CH:
CH=S-TIME||RAND;……(3)
其中,||为拼接操作。
CH=(SHA-256(RAND)xor S-TIME)||RAND……(4)
其中,SHA-256()为SHA-256函数;
xor为异或操作;
||为拼接操作。
之后,核心网功能2再基于CH和SQNnw生成AUTN。在一种实施方式中,采用以下式子(5)生成AUTN:
AUTN=(SQNnw xor F1k(CH))||F2k(SQNnw||CH)……(5)
其中,F1k()或F2k()为任意密钥散列函数或加密函数等,比如HMAC-SHA-256函数,密钥为用户密钥,UE的用户卡中也有用户密钥。
步骤504:核心网功能2向核心网功能1发送CH和AUTN。
步骤505:核心网功能1向UE转发CH和AUTN。
步骤506:UE将CH和AUTN发送至UE上的用户卡。
用户卡采用CH校验AUTN,如果校验成功,则用户卡获取SQNnw。用户卡判断SQNnw与自身保存的SQNms的差值是否在有效范围内,如果在有效范围内,则向UE反馈认证成功指示;如果超过有效范围,则向UE反馈网络同步失效指示。如果用户卡对AUTN的校验失败,则向UE反馈网络校验失败指示。
基于前述用户卡反馈的内容,UE执行如下操作:
基于收到的认证成功指示,UE将CUR-STIME设置为:CUR-STIME=S-TIME,并向核心网功能1返回认证成功消息。
或者,基于收到的网络同步失效指示,UE比较CUR-STIME与S-TIME,并依据比较结果执行相应操作。比如,如果CUR-STIME>(S-TIME+常量),则UE向核心网功能1返回网络校验失败消息或者不返回任何消息;否则,UE向核心网功能1返回网络同步失效消息。
或者,基于收到的网络校验失败指示,UE向核心网功能1返回网络校验失败消息。
图6为本申请实施例二的实现流程示意图,在本实施例中,UE判断网络是否采用了本发明提出的新认证方案。如图6所示,包括以下步骤:
步骤601~602:与实施例一中的步骤501~502描述相同。
步骤603:核心网功能2记录有start time,核心网功能2如果发生故障重启或恢复,都需要在继续提供服务前恢复原start time。核心网功能2依据当前时间与start time的差值获得S-TIME。
核心网功能2基于S-TIME,并采用实施例1的步骤503中的式子(1)或(2)生成CH1。具体地,可以将式子(1)和(2)中的CH替换为CH1。
或者,核心网功能2生成RAND,并基于S-TIME和RAND,采用实施例1的步骤503中的式子(3)或(4)生成CH1。具体地,可以将式子(3)和(4)中的CH替换为CH1。
之后,核心网功能2基于CH1生成HASH。在一种实施方式中,采用以下式子(6)或(7)生成HASH:
HASH=SHA-256(CH1或部分CH1的内容);……(6)
其中,SHA-256()为SHA-256函数。
HASH=HMAC-SHA-256(常量字符串、CH1或部分CH1的内容);……(7)
其中,HMAC-SHA-256()为HMAC-SHA-256函数。
最后,核心网功能2基于CH1和SQNnw,采用上述实施例的步骤503中的式子(5)生成AUTN1。其中,将式子(5)中的AUTN替换为AUTN1,并将式子(5)中的CH替换为CH1。或者,核心网功能2基于CH1和HASH生成CH2,比如CH2=CH1||HASH,“||”为拼接操作;之后基于CH2和SQNnw,采用上述实施例的步骤503中的式子(5)生成AUTN2。其中,将式子(5)中的AUTN替换为AUTN2,并将式子(5)中的CH替换为CH2。
步骤604:核心网功能2向核心网功能1发送CH1、HASH和AUTN1,或发送CH2和AUTN2。由上述步骤603中的内容可见,鉴于CH2=CH1||HASH,因此CH2实际上包含了CH1和HASH的内容。
步骤605:核心网功能1向UE转发CH1、HASH和AUTN1,或转发CH2和AUTN2。
步骤606:移动终端UE将CH1和AUTN1发送至UE上的用户卡,或者将CH2和AUTN2发送至UE上的用户卡。
用户卡采用CH1校验AUTN1,或者采用CH2校验AUTN2。如果校验成功,则用户卡获取SQNnw。用户卡判断SQNnw与自身保存的SQNms的差值是否在有效范围内,如果在有效范围内,则向UE反馈认证成功指示;如果超过有效范围,则向UE反馈网络同步失效指示。如果用户卡对AUTN1或AUTN2的校验失败,则向UE反馈网络校验失败指示。
UE校验所述HASH。在一种实施方式中,UE从核心网功能1发送的CH2中解算出HASH,或者直接提取核心网功能1发送的HASH。采用上步骤603中的式子(6)或(7)计算XHASH。比较XHASH和HASH;如果二者相同,则对HASH的校验成功;否则,对HASH的校验失败。
如果对HASH的校验成功,则基于前述用户卡反馈的内容,UE执行与上述实施例的步骤506中相同的操作。如果对HASH的校验失败,则基于前述用户卡反馈的内容,UE执行与现有技术中相同的操作,在此不再赘述。(校验失败,说明核心网功能2没有采用步骤503描述的方案生成认证参数,因此不能使用图5中的步骤506描述的方法操作)。
如图7为本申请实施例三的实现流程示意图,包括:
步骤701:UE向网络中的核心网功能1发送消息。在一种实施方式中,核心网功能1可以AMF或MME。
步骤702:核心网功能1基于上述消息的部分或全部内容计算TOKEN,比如以上述消息中的用户标识作为TOKEN(相当于截取操作),或TOKEN=SHA-256(上述消息的部分或全部内容)。
步骤703:核心网功能1向核心网功能2发送终端认证请求消息,比如发送UEAuthentication Request消息。其中,该终端认证请求消息携带TOKEN。
在一种实施方式中,核心网功能2为AUSF、HSS或UDM。
步骤704:核心网功能2基于TOKEN生成CH。在一种实施方式中,采用以下式子(8)或(9)生成CH:
CH=TOKEN;……(8)
CH=SHA-256(常量字符串)xor TOKEN;……(9)
其中,SHA-256()为SHA-256函数;
xor为异或操作。
或者,核心网功能2生成RAND,并基于TOKEN和RAND生成CH。在一种实施方式中,采用以下式子(10)或(11)生成CH:
CH=TOKEN||RAND;……(10)
其中,||为拼接操作。
CH=(SHA-256(RAND)xor TOKEN)||RAND;……(11)
其中,SHA-256()为SHA-256函数;
xor为异或操作;
||为拼接操作。
之后,核心网功能2再基于CH和SQNnw生成AUTN。在一种实施方式中,采用以下式子(12)生成AUTN:
AUTN=(SQNnw xor F1k(CH))||F2k(SQNnw||CH)……(12)
其中,F1k()和F2k()为任意密钥散列函数或加密函数等,比如HMAC-SHA-256函数,密钥为用户密钥,UE的用户卡中也有用户密钥)。
步骤705:核心网功能2向核心网功能1发送终端认证响应消息,所述终端认证响应消息携带CH和AUTN。
步骤706:核心网功能1向UE转发用户认证响应消息,所述用户认证响应消息携带CH和AUTN。
步骤707:UE将CH和AUTN发送至UE上的用户卡。
用户卡采用CH校验AUTN,如果校验成功,则用户卡获取SQNnw。用户卡判断SQNnw与自身保存的SQNms的差值是否在有效范围内,如果在有效范围内,则向UE反馈认证成功指示;如果超过有效范围,则向UE反馈网络同步失效指示。如果用户卡对AUTN的校验失败,则向UE反馈网络校验失败指示。
UE从核心网功能1发送的CH中解算出TOKEN。UE校验所述TOKEN。在一种实施方式中,采用与上述步骤702中相同的方法计算XTOKEN,比较XTOKEN和TOKEN;如果二者相同,则对TOKEN的校验成功;否则,对TOKEN的校验失败。
如果对TOKEN的校验成功,则基于前述用户卡反馈的内容,UE执行与现有技术中相同的操作,在此不再赘述。如果对TOKEN的校验失败,则基于户卡反馈的网络同步失效指示,向核心网功能1返回网络校验失败消息或者不返回任何消息。
如图8为本申请实施例四的实现流程示意图,包括:
步骤801:UE向网络中的核心网功能1发送消息,所述消息包含TOKEN。在一种实施方式中,UE采用与上述实施例的步骤702中相同的方式计算TOKEN。核心网功能1可以为AMF或MME。
步骤802:核心网功能1向核心网功能2发送终端认证请求消息,比如发送UEAuthentication Request消息。其中,该终端认证请求消息携带TOKEN。
步骤803~805:与上述实施例中的步骤704~706的描述相同。
步骤806:UE将CH和AUTN发送至UE上的用户卡。
用户卡采用CH校验AUTN,如果校验成功,则用户卡获取SQNnw。用户卡判断SQNnw与自身保存的SQNms的差值是否在有效范围内,如果在有效范围内,则向UE反馈认证成功指示;如果超过有效范围,则向UE反馈网络同步失效指示,所述网络同步失效指示中携带基于SQNms生成的信息。如果用户卡对AUTN的校验失败,则向UE反馈网络校验失败指示。
UE从核心网功能1发送的CH中解算出TOKEN。UE校验所述TOKEN。在一种实施方式中,采用与上述步骤702中相同的方法计算XTOKEN,比较XTOKEN和TOKEN;如果二者相同,则对TOKEN的校验成功;否则,对TOKEN的校验失败。
如果对TOKEN的校验成功,则基于前述用户卡反馈的内容,UE执行与现有技术中相同的操作,在此不再赘述。如果对TOKEN的校验失败,则基于户卡反馈的网络同步失效指示,向核心网功能1返回网络校验失败消息或者不返回任何消息。
本申请实施例还提出一种认证参数发送装置,图9为本申请实施例的一种认证参数发送装置结构示意图,包括:
第一接收模块901,用于接收认证请求消息;
生成模块902,用于采用第一信息生成第二信息,采用所述第二信息生成认证标记AUTN;
反馈模块903,用于反馈包含所述第二信息及所述AUTN的认证参数。
在一个示例性实施方式中,所述第一信息为网络侧时间差信息。
在一个示例性实施方式中,所述生成模块902用于:
采用所述第一信息生成第一校验码;
采用所述第一校验码生成所述第二信息,所述第二信息中包含所述第一校验码的内容。
在一个示例性实施方式中,所述生成模块902还用于:采用所述第一信息生成第一校验码;
所述反馈模块903反馈的认证参数还包含所述第一校验码。
在一个示例性实施方式中,所述第一信息为所述认证请求消息中携带的第一令牌信息。
本申请实施例还提出一种认证参数处理装置,图10为本申请实施例的一种认证参数处理装置结构示意图,包括:
第二接收模块1001,用于接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及认证标记AUTN;
校验模块1002,用于基于所述第二信息获取第一信息,校验所述第一信息;还用于向用户卡发送包含所述第二信息及AUTN的认证请求;
处理模块1003,用于响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
在一个示例性实施方式中,所述第一信息为网络侧时间差信息。
在一个示例性实施方式中,所述校验模块1002用于:
判断终端侧时间差信息与所述网络侧时间差信息的差值是否超过预设阈值;如果超过,则对所述第一信息的校验失败;如果不超过,则对所述第一信息的校验成功。
在一个示例性实施方式中,所述处理模块1003还用于:
响应于接收到所述用户卡反馈的认证成功指示,采用所述第一信息设置终端侧时间差信息。
在一个示例性实施方式中,所述认证参数还包含第一校验码,或者所述第二信息中包含第一校验码的内容;所述第一校验码采用所述第一信息并基于第一算法生成;
所述处理模块1003用于:获取所述认证参数中包含的第一校验码,或者基于所述第二信息获取第一校验码;校验所述第一校验码;如果对所述第一校验码的校验成功,则响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
在一个示例性实施方式中,所述处理模块1003用于:采用所述第一信息并基于所述第一算法生成第二校验码;判断所述第二校验码与所述第一校验码是否相同,如果相同,则对所述第一校验码的校验成功。
在一个示例性实施方式中,所述第一信息为第一令牌信息。
在一个示例性实施方式中,所述校验模块1002用于:
采用与生成所述第一令牌信息相同的算法,计算第二令牌信息;
判断所述第二令牌信息与所述第一令牌信息是否相同,如果相同,则对所述第一信息的校验成功;如果不相同,则对所述第一信息的校验失败。
本申请实施例还提出一种消息发送装置,图11为本申请实施例的一种消息发送装置结构示意图,包括:
第三接收模块1101,用于接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
发送模块1102,用于向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
本申请实施例各装置中的各模块的功能可以参见上述方法中的对应描述,在此不再赘述。
图12为本申请实施例的核心网功能节点结构示意图,如图12所示,本申请实施例提供的核心网功能节点包括:存储器1203与处理器1204。所述核心网功能节点还可以包括接口1201和总线1202。所述接口1201、存储器1203与处理器1204通过总线1202相连接。所述存储器1203用于存储指令。所述处理器1204被配置为读取所述指令以执行上述认证参数发送方法或消息发送方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图13为本申请实施例的UE结构示意图,如图13所示,本申请实施例提供的UE包括:存储器1303与处理器1304。所述UE还可以包括接口1301和总线1302。所述接口1301、存储器1303与处理器1304通过总线1302相连接。所述存储器1303用于存储指令。所述处理器1304被配置为读取所述指令以执行上述目标小区选择方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图14为本申请实施例的通信系统结构示意图,如图14所示,该系统包括:第一核心网功能节点、第二核心网功能节点以及上述实施例的UE。
本申请提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中的方法。
以上所述,仅为本申请的示例性实施例而已,并非用于限定本申请的保护范围。
本领域内的技术人员应明白,术语用户设备涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本申请不限于此。
本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本申请附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现。本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-Only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存等。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。RAM可以包括多种形式,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DRRAM)。本申请描述的系统和方法的存储器包括但不限于这些和任意其它适合类型的存储器。
本申请实施例的处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程逻辑器件(Field-Programmable Gate Array,FGPA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、或者基于多核处理器架构的处理器。通用处理器可以是微处理器或者也可以是任何常规的处理器等。上述的处理器可以实现或者执行本申请实施例中的公开的各方法的步骤。软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
通过示范性和非限制性的示例,上文已提供了对本申请的示范实施例的详细描述。但结合附图和权利要求来考虑,对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的,但不偏离本发明的范围。因此,本发明的恰当范围将根据权利要求确定。
Claims (33)
1.一种认证参数发送方法,其特征在于,所述方法包括:
接收认证请求消息;
采用第一信息生成第二信息,采用所述第二信息生成认证标记AUTN;
反馈包含所述第二信息及所述AUTN的认证参数。
2.根据权利要求1所述的方法,其特征在于,所述第一信息为网络侧时间差信息。
3.根据权利要求2所述的方法,其特征在于,所述采用第一信息生成第二信息,包括:
采用所述第一信息生成第一校验码;
采用所述第一校验码生成所述第二信息,所述第二信息中包含所述第一校验码的内容。
4.根据权利要求2所述的方法,其特征在于,还包括,采用所述第一信息生成第一校验码;
反馈的认证参数还包含所述第一校验码。
5.根据权利要求1所述的方法,其特征在于,所述第一信息为所述认证请求消息中携带的第一令牌信息。
6.一种认证参数处理方法,其特征在于,所述方法包括:
接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及认证标记AUTN;
基于所述第二信息获取第一信息,校验所述第一信息;向用户卡发送包含所述第二信息及AUTN的认证请求;
响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
7.根据权利要求6所述的方法,其特征在于,所述第一信息为网络侧时间差信息。
8.根据权利要求7所述的方法,其特征在于,所述校验所述第一信息,包括:
判断终端侧时间差信息与所述网络侧时间差信息的差值是否超过预设阈值;如果超过,则对所述第一信息的校验失败;如果不超过,则对所述第一信息的校验成功。
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:
响应于接收到所述用户卡反馈的认证成功指示,采用所述第一信息设置终端侧时间差信息。
10.根据权利要求8或9所述的方法,其特征在于,所述认证参数还包含第一校验码,或者所述第二信息中包含第一校验码的内容;所述第一校验码采用所述第一信息并基于第一算法生成;
所述响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息之前,还包括:
获取所述认证参数中包含的第一校验码,或者基于所述第二信息获取第一校验码;
校验所述第一校验码;如果对所述第一校验码的校验成功,则继续执行所述响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
11.根据权利要求10所述的方法,其特征在于,校验所述第一校验码包括:采用所述第一信息并基于所述第一算法生成第二校验码;
判断所述第二校验码与所述第一校验码是否相同,如果相同,则对所述第一校验码的校验成功。
12.根据权利要求6所述的方法,其特征在于,所述第一信息为第一令牌信息。
13.根据权利要求12所述的方法,其特征在于,所述校验所述第一信息包括:
采用与生成所述第一令牌信息相同的算法,计算第二令牌信息;
判断所述第二令牌信息与所述第一令牌信息是否相同,如果相同,则对所述第一信息的校验成功;如果不相同,则对所述第一信息的校验失败。
14.一种消息发送方法,其特征在于,所述方法包括:
接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
15.一种认证参数发送装置,其特征在于,所述装置包括:
第一接收模块,用于接收认证请求消息;
生成模块,用于采用第一信息生成第二信息,采用所述第二信息生成认证标记AUTN;
反馈模块,用于反馈包含所述第二信息及所述AUTN的认证参数。
16.根据权利要求15所述的装置,其特征在于,所述第一信息为网络侧时间差信息。
17.根据权利要求16所述的装置,其特征在于,所述生成模块用于:
采用所述第一信息生成第一校验码;
采用所述第一校验码生成所述第二信息,所述第二信息中包含所述第一校验码的内容。
18.根据权利要求16所述的装置,其特征在于,所述生成模块还用于:采用所述第一信息生成第一校验码;
所述反馈模块反馈的认证参数还包含所述第一校验码。
19.根据权利要求15所述的装置,其特征在于,所述第一信息为所述认证请求消息中携带的第一令牌信息。
20.一种认证参数处理装置,其特征在于,所述装置包括:
第二接收模块,用于接收来自第一核心网功能节点的认证参数,所述认证参数包含第二信息及认证标记AUTN;
校验模块,用于基于所述第二信息获取第一信息,校验所述第一信息;还用于向用户卡发送包含所述第二信息及AUTN的认证请求;
处理模块,用于响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
21.根据权利要求20所述的装置,其特征在于,所述第一信息为网络侧时间差信息。
22.根据权利要求21所述的装置,其特征在于,所述校验模块用于:
判断终端侧时间差信息与所述网络侧时间差信息的差值是否超过预设阈值;如果超过,则对所述第一信息的校验失败;如果不超过,则对所述第一信息的校验成功。
23.根据权利要求21所述的装置,其特征在于,所述处理模块还用于:
响应于接收到所述用户卡反馈的认证成功指示,采用所述第一信息设置终端侧时间差信息。
24.根据权利要求22或23所述装置,其特征在于,所述认证参数还包含第一校验码,或者所述第二信息中包含第一校验码的内容;所述第一校验码采用所述第一信息并基于第一算法生成;
所述处理模块用于:获取所述认证参数中包含的第一校验码,或者基于所述第二信息获取第一校验码;校验所述第一校验码;如果对所述第一校验码的校验成功,则响应于所述校验失败并且接收到所述用户卡反馈的同步失效指示,向所述第一核心网功能节点反馈网络校验失败消息。
25.根据权利要求24所述的装置,其特征在于,所述处理模块用于:采用所述第一信息并基于所述第一算法生成第二校验码;判断所述第二校验码与所述第一校验码是否相同,如果相同,则对所述第一校验码的校验成功。
26.根据权利要求20所述的装置,其特征在于,所述第一信息为第一令牌信息。
27.根据权利要求26所述的装置,其特征在于,所述校验模块用于:
采用与生成所述第一令牌信息相同的算法,计算第二令牌信息;
判断所述第二令牌信息与所述第一令牌信息是否相同,如果相同,则对所述第一信息的校验成功;如果不相同,则对所述第一信息的校验失败。
28.一种消息发送装置,其特征在于,所述装置包括:
第三接收模块,用于接收来自用户设备的消息,基于所述消息的内容生成第一令牌信息;
发送模块,用于向第二核心网功能节点发送包含所述第一令牌信息的认证请求消息。
29.一种用于认证参数发送的核心网功能节点,其特征在于,所述核心网功能节点包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行如权利要求1至5任一所述的方法。
30.一种用于认证参数处理的用户设备UE,其特征在于,所述UE包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行如权利要求6至13任一所述的方法。
31.一种用于消息发送的核心网功能节点,其特征在于,所述核心网功能节点包括:处理器及存储器;
所述存储器用于存储指令;
所述处理器被配置为读取所述指令以执行如权利要求14所述的方法。
32.一种通信系统,其特征在于,所述系统包括如权利要求29所述的核心网功能节点、如权利要求30所述的UE及如权利要求31所述的核心网功能节点。
33.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至14任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910314582.3A CN110536296A (zh) | 2019-04-18 | 2019-04-18 | 认证参数发送方法和装置以及认证参数处理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910314582.3A CN110536296A (zh) | 2019-04-18 | 2019-04-18 | 认证参数发送方法和装置以及认证参数处理方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110536296A true CN110536296A (zh) | 2019-12-03 |
Family
ID=68659262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910314582.3A Pending CN110536296A (zh) | 2019-04-18 | 2019-04-18 | 认证参数发送方法和装置以及认证参数处理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110536296A (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312499A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
CN103702328A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | Uim卡接入epc网络的认证方法和系统 |
-
2019
- 2019-04-18 CN CN201910314582.3A patent/CN110536296A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103312499A (zh) * | 2012-03-12 | 2013-09-18 | 西安西电捷通无线网络通信股份有限公司 | 一种身份认证方法及系统 |
CN103702328A (zh) * | 2012-09-28 | 2014-04-02 | 中国电信股份有限公司 | Uim卡接入epc网络的认证方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7373509B2 (en) | Multi-authentication for a computing device connecting to a network | |
US8478998B2 (en) | Authenticated communication using a shared unpredictable secret | |
US7908484B2 (en) | Method of protecting digest authentication and key agreement (AKA) against man-in-the-middle (MITM) attack | |
TW201812630A (zh) | 區塊鏈身份系統 | |
US8116733B2 (en) | Method and apparatus for a wireless mobile device with SIM challenge modification capability | |
WO2020258837A1 (zh) | 解锁方法、实现解锁的设备及计算机可读介质 | |
US20130219180A1 (en) | Data processing for securing local resources in a mobile device | |
US7000117B2 (en) | Method and device for authenticating locally-stored program code | |
CN107612889B (zh) | 防止用户信息泄露的方法 | |
CN101156351A (zh) | 一种密钥更新方法及装置 | |
Jarecki et al. | Device-enhanced password protocols with optimal online-offline protection | |
BRPI0610627B1 (pt) | Método para fornecer um terminal móvel com pelo menos uma configuração de característica e terminal móvel | |
US20220245631A1 (en) | Authentication method and apparatus of biometric payment device, computer device, and storage medium | |
CN109413010A (zh) | 终端的认证方法、装置和系统 | |
CN112260838A (zh) | 一种基于jwt的自动续签认证方法 | |
US20140153722A1 (en) | Restricting use of mobile subscriptions to authorized mobile devices | |
Khan et al. | Offline OTP based solution for secure internet banking access | |
CN108012269B (zh) | 一种无线接入方法、装置及设备 | |
JP2023531797A (ja) | 5g認証方法、5gアカウント開設方法及びシステム、電子機器、及びコンピュータ可読記憶媒体 | |
CN110493177A (zh) | 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统 | |
US20220124092A1 (en) | Authentication Processing Method and Device, Storage Medium, and Electronic Device | |
US7904715B2 (en) | Method for authenticating dual-mode access terminals | |
CN110536296A (zh) | 认证参数发送方法和装置以及认证参数处理方法和装置 | |
CN114786179B (zh) | 非蜂窝终端鉴权方法、装置、设备及介质 | |
KR101685042B1 (ko) | 매체 분리 기반 일회용 인증코드 구현 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |