CN110768954B - 适用于5g网络设备的轻量级安全接入认证方法及应用 - Google Patents
适用于5g网络设备的轻量级安全接入认证方法及应用 Download PDFInfo
- Publication number
- CN110768954B CN110768954B CN201910885958.6A CN201910885958A CN110768954B CN 110768954 B CN110768954 B CN 110768954B CN 201910885958 A CN201910885958 A CN 201910885958A CN 110768954 B CN110768954 B CN 110768954B
- Authority
- CN
- China
- Prior art keywords
- kgc
- message
- computing
- authentication
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
- H04L67/1046—Joining mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明属于通信网络安全技术领域,公开了一种适用于5G网络设备的轻量级安全接入认证方法及应用,选择大素数,为所有注册的SN,注册的UE和注册的MD分别选择三个变量,选择两个安全的hash函数,实现系统设置;针对不同实体,完成服务网注册、设备注册;单个UE的接入认证和密钥协商;海量MD群组接入认证和密钥协商。本发明降低了信令成本、通信成本和存储成本。可以有效减少信令开销,避免信令冲突;针对海量MD的LSAA协议中,SN直接通过验证聚合消息验证码则可完成一组MD的认证,有效减少通信以及计算开销。使用扩展的切比雪夫混沌映射,每个MD可与SN安全地协商出不同的会话密钥且耗费较少的开销。
Description
技术领域
本发明属于通信网络安全技术领域,尤其涉及一种适用于5G网络设备的轻量级安全接入认证方法及应用。
背景技术
目前,最接近的现有技术:到2020年,第五代(5G)移动通信系统将进入全面商用阶段。移动互动游戏,虚拟现实(VR)和全线图像等新移动服务应用将纳入5G系统的技术要求。此外,业界和学术界也在努力将5G应用的范围从当前的人员通信扩展到更广泛的领域,如人机协作通信,超密集接入物联网(IoT),车载网络和新工业信息。自2016年以来,3GPP委员会一直在制定5G标准,其目标是超大带宽,高容量,高密度站点和高可靠性,以涵盖新的用例。在未来的5G时代,全球约有50亿人通过移动设备连接到移动网络。此外,由于未来5G网络中对物联网设备或MTC设备(MD)的支持,每平方公里至少100万台设备和总共1000亿台设备将连接到3GPP 5G网络。主要有两种类型的3GPP标准移动设备:普通用户设备(UE)和大规模机器类型通信设备MD。用户,设备和3GPP 5G网络之间的通信受到3GPP工作组所制定的标准化的安全机制的保护。
最重要的安全机制之一是实现相互认证并在设备和网络之间建立不同的会话密钥,以确保后续的安全通信。特别是需要安全、高效的接入认证和密钥协商协议,以确保大规模设备并发连接的通信安全性和数据传输效率。在现有的方案中,有部分方案由于协议设计局限等存在着一些安全漏洞,例如,中间人攻击、重定向攻击、DoS攻击和身份隐私泄露等。除了安全问题之外,当前已有的认证和密钥协商(AKA)机制由于采用了较多的双线性映射操作、模指数操作、点乘操作等等存在着一些性能问题,例如耗费较多的计算开销、通信开销等。由于当前3GPP标准中没有用于大规模设备并发连接的认证协议,因此当大规模MD同时连接到3GPP网络时,每个MD需要执行全过程的标准AKA协议,会产生大量的信令开销和通信开销,导致服务网(SN)节点和家庭网(HN)节点上的严重的信令拥塞。
综上所述,现有技术存在的问题是:
(1)现有的标准AKA机制和现有的相关协议存在中间人攻击、重定向攻击、DoS攻击、身份隐私泄露、耗费较多的计算开销、通信开销。
(2)目前的3GPP标准缺乏大规模的设备认证机制,海量设备同时执行标准AKA协议会产生严重的信令拥塞。
解决上述技术问题的难度:开发一种新的接入认证协议来克服上述漏洞并实现网络与普通UE和大规模MD之间的认证和密钥协议,该协议具有强大的安全性,且同时耗费合理的开销。
解决上述技术问题的意义:针对5G网络中的UE和海量MD,设计一种新的安全、轻量级接入认证协议来满足5G网络中较高的安全需求以及耗费较低认证开销的需求,保证通信的安全性且同时节省通信资源。
发明内容
针对现有技术存在的问题,本发明提供了一种适用于5G网络设备的轻量级安全接入认证方法及应用。
本发明是这样实现的,一种适用于5G网络设备的轻量级安全接入认证方法,所述适用于5G网络设备的轻量级安全接入认证方法包括以下步骤:
第一步,选择大素数,为所有注册的SN,注册的UE和注册的MD分别选择三个变量,选择两个安全的hash函数,实现系统设置;
第二步,针对不同实体,完成服务网注册、设备注册;
第三步,单个UE的接入认证和密钥协商;
第四步,海量MD群组接入认证和密钥协商。
进一步,所述第一步的系统设置具体包括:
(1)选择一个大素数p;
(2)为所有注册的SN,注册的UE和注册的MD分别选择三个变量:Ksn,Kue,Kmd∈(-∞,+∞);
(3)选择两个安全的hash函数H1,H2:{1,0}*→Zp *;
(4)公开{p,Ksn,Kue,Kmd,H1,H2}。
进一步,所述第二步的注册阶段包括:
(1)服务网SN注册,KGC在离线状态下执行以下过程:
(2)设备注册:
a)用户设备UE注册,每个用户设备UE通过安全信道将其唯一标识发送到KGC;KGC收到后为每个UEi选择一个主密钥ui∈Zp *和变量 KGC计算切比雪夫多项式KGC将以下信息安全地加载到UEi的智能卡SC中:唯一身份标识 和ui;在每个UEi成功注册后,对于每个UEi,KGC计算并且将H1 发送给每个SN SNj,每个SNj为所有注册成功的UE建立一个数据库;
b)MTC设备MD注册,存在于某个MTC群组中的群成员MDi通过安全信道将其身份标识以及群组标识GID发送给KGC;KGC收到后;首先根据MTC群组成员的综合能力选出MTC群主MDn;然后为MTC群组选择主密钥mg∈Zp *和一个变量然后KGC为每个成员MDi选择一个主密钥mi∈Zp *和一个变量随后,KGC计算切比雪夫多项式和最后,KGC将以下信息安全地加载到MDi的智能卡SC中:唯一身份MTC组标识GID,mg和mi,信息在每个MDi和KGC之间秘密共享;在每个MDi成功注册后,对于每个MDi,KGC计算并且将 发送给每个SNj;每个SNj为所有注册成功的MTC群组建立一个数据库。
进一步,所述第三步的单个UE的接入认证和密钥协商具体包括:
(2)SNj→UEi:用户认证请求消息
(3)UEi→SNj:用户认证响应消息(MAC3),UEi接收到SNj用户认证请求消息后给SNj发送认证响应消息;
(4)SNj检查所接收的MAC3以确认与UEi建立相同的会话密钥。
f)利用K1做加密运算
g)向SNj发送有关参数。
c)查看是否存在于它的数据库中;如果存在,查看然后跳到步骤d);否则,SNj将含有的认证数据请求消息发送给KGC,KGC查看UEi是否已经注册;如果已经注册,KGC就向SNj发送一个包含的认证数据响应消息,然后SNj对该UEi执行上述过程;如果没有注册,则KGC向SNj发送认证数据请求失败消息,然后SNj向UEi发送接入认证请求失败消息;
e)使用K'2验证MAC1;如果验证成功,则SNj成功验证了UEi,随后跳到步骤f),否则,向UEi发送接入请求失败的消息;
进一步,所述UEi→SNj:用户认证响应消息(MAC3),从SNj接收到消息后,UEi执行以下步骤:
c)通过使用K'3验证MAC2;如果验证成功,则UEi成功认证SNj,然后跳到步骤d);否则向SNj发送认证请求失败消息;
进一步,所述海量MD群组接入认证和密钥协商包括:
g)向MDn发送相关参数
c)检查和GID是否在SNj的数据库中,如果在,查看群组成员关系和然后跳转到d);否则,SNj将包含和GID的认证数据请求消息发送到KGC;KGC检查该MDi是否已注册,如果是,则KGC将包括的认证数据响应消息发送到SNj,然后SNj执行上面的验证过程;如果未注册,则KGC将认证数据请求失败消息发送给SNj,然后SNj将接入请求失败消息发送给MDi;
(4)MDi→MDn:用户认证响应消息(MAC3i),每个MDi收到广播消息后执行如下步骤:
f)将MAC3i发送给SNj;
(5)MDn→SNj:聚合认证响应消息(MAC3)
(6)SNj检查接收的MAC3以确认与每个MDi建立了相同的会话密钥。
本发明的另一目的在于提供一种应用所述的适用于5G网络设备的轻量级安全接入认证方法的用户终端设备。
本发明的另一目的在于提供一种应用所述的适用于5G网络设备的轻量级安全接入认证方法的海量机器类通信设备。
综上所述,本发明的优点及积极效果为:本发明用于UE的LSAA,使用基于扩展切比雪夫混沌映射的通用UE的轻量级安全接入认证(LSAA)协议,实现了UE和SN之间的相互认证和强密钥协商,可实现较强的安全属性,例如PFS/PBS和隐私保护。此外,针对UE的LSAA协议只需要三次信令交互,大大降低了信令成本、通信成本和存储成本。
本发明用于海量MD的LSAA。为了同时处理海量设备的连接,改进了针对一个UE的LSAA,并提出了一种新的针对海量MD的群组接入认证协议;在协议中,通过采用群组机制,可以有效减少信令开销,避免信令冲突。通过采用聚合消息验证码(AMAC)技术,多个消息验证码MAC聚合为一个消息,SN直接通过验证聚合消息验证码则可完成一组MD的认证,有效减少通信以及计算开销。通过使用扩展的切比雪夫混沌映射,每个MD可与SN安全地协商出不同的会话密钥且耗费较少的开销。
此外,本发明在确保安全性的前提下,通过使用中国剩余定理CRT,每个MD都可以以最小化通信和计算成本快速确认SN的合法性。
附图说明
图1是本发明实施例提供的适用于5G网络设备的轻量级安全接入认证方法流程图。
图2是本发明实施例提供的注册阶段流程图。
图3是本发明实施例提供的UE认证和密钥协商阶段流程图。
图4是本发明实施例提供的海量MD群组接入认证和密钥协商阶段流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种适用于5G网络设备的轻量级安全接入认证方法及应用,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的适用于5G网络设备的轻量级安全接入认证方法包括以下步骤:
S101:选择大素数,为所有注册的SN,注册的UE和注册的MD分别选择三个变量,选择两个安全的hash函数,实现系统设置;
S102:针对不同实体,完成服务网注册、设备注册;
S103:单个UE的接入认证和密钥协商;
S104:海量MD群组接入认证和密钥协商。
下面结合附图对本发明的技术方案作详细的描述。
定义1(切比雪夫混沌映射)切比雪夫多项式:Tn(x)=cos(n·arccos(x))其中x∈[-1,1],Tn(x):[-1,1]→[-1,1]。
根据定义1,Tn(x)如下所示。
Tn(x)=2xTn-1(x)–Tn-2(x),(n≥2),其中T0(x)=1,T1(x)=x。
切比雪夫多项式具有以下两个重要属性:
定义2(半群性质):切比雪夫多项式Tn(x)的半群性质定义如下:
Tr(Ts(x))=cos(r·arc(cos(s·arccos(x))))
=cos(rs·arccos(x))
=Trs(x)
其中r和s是正整数且x∈[-1,1]。
定义3(可交换性):切比雪夫多项式的交换性质:
Tr(Ts(x))=Ts(Tr(x))。
定义4(增强型切比雪夫多项式):在区间(-∞,+∞)上定义的增强型切比雪夫多项式的半群属性,其定义如下。
Tr(Ts(x))modp=Trs(x)=Ts(Tr(x))modp其中x∈(-∞,+∞)且p是一个大素数。
在多项式时间范围内基于增强的切比雪夫多项式给出以下两个困难问题:
定义5(基于混沌映射的离散对数(CMDL)问题):给定任何x和y=Tr(x)modp,通过任何多项式时间有界算法找到整数r是不可行的。
定义6(基于混沌映射的Diffie-Hellman(CMDH)问题):给定任何x,Tr(x)modp和Ts(x)modp,通过任何多项式时间有界算法计算Trs(x)modp是不可行的。
为了清楚的说明本发明的技术方案,首先界定本发明中技术名词含义:
MD:机器类型通信设备;SN:服务网络;KGC:密钥管理中心;UE:用户设备;CRT:中国剩余定理;AMAC:聚合消息验证码;mMTC:海量机器类型通信;
本发明实施例提供的适用于5G网络设备的轻量级安全接入认证方法具体包括以下步骤:
第一步,选择大素数,为所有注册的SN,注册的UE和注册的MD分别选择三个变量,选择两个安全的hash函数,实现系统设置;
第二步,针对不同实体,完成服务网注册、设备注册;
第三步,单个UE的接入认证和密钥协商;
第四步,海量MD群组接入认证和密钥协商。
在本发明的优选实施例中,第一步的系统设置阶段包括:
密钥生成中心(KGC)执行以下步骤:
(1)选择一个大素数p;
(2)为所有注册的SN,注册的UE和注册的MD分别选择三个变量:Ksn,Kue,Kmd∈(-∞,+∞);
(3)选择两个安全的hash函数H1,H2:{1,0}*→Zp *;
(4)公开{p,Ksn,Kue,Kmd,H1,H2}。
在本发明的优选实施例中,第二步的注册阶段包括:
针对不同实体,注册阶段包括以下两个过程:
(1)服务网SN注册,KGC在离线状态下执行以下过程:
(2)设备注册:
a)用户设备UE注册,每个用户设备UE通过安全信道将其唯一标识发送到KGC;KGC收到后为每个UEi选择一个主密钥ui∈Zp *和变量 KGC计算切比雪夫多项式KGC将以下信息安全地加载到UEi的智能卡SC中:唯一身份标识和ui;在每个UEi成功注册后,对于每个UEi,KGC计算并且将 发送给每个SN SNj,每个SNj为所有注册成功的UE建立一个数据库;
b)MTC设备MD注册,存在于某个MTC群组中的群成员MDi通过安全信道将其身份标识以及群组标识GID发送给KGC;KGC收到后;首先根据MTC群组成员的综合能力选出MTC群主MDn;然后为MTC群组选择主密钥mg∈Zp *和一个变量然后KGC为每个成员MDi选择一个主密钥mi∈Zp *和一个变量随后,KGC计算切比雪夫多项式和最后,KGC将以下信息安全地加载到MDi的智能卡SC中:唯一身份MTC组标识GID,mg和mi,信息在每个MDi和KGC之间秘密共享;在每个MDi成功注册后,对于每个MDi,KGC计算并且将 发送给每个SNj;每个SNj为所有注册成功的MTC群组建立一个数据库。
在本发明的优选实施例中,第三步的单个UE的接入认证和密钥协商阶段包括:
(2)SNj→UEi:用户认证请求消息
(3)UEi→SNj:用户认证响应消息(MAC3),UEi接收到SNj用户认证请求消息后给SNj发送认证响应消息;
(4)SNj检查所接收的MAC3以确认与UEi建立相同的会话密钥。
f)利用K1做加密运算
g)向SNj发送有关参数。
c)查看是否存在于它的数据库中;如果存在,查看然后跳到步骤d);否则,SNj将含有的认证数据请求消息发送给KGC,KGC查看UEi是否已经注册;如果已经注册,KGC就向SNj发送一个包含的认证数据响应消息,然后SNj对该UEi执行上述过程;如果没有注册,则KGC向SNj发送认证数据请求失败消息,然后SNj向UEi发送接入认证请求失败消息;
e)使用K'2验证MAC1;如果验证成功,则SNj成功验证了UEi,随后跳到步骤f),否则,向UEi发送接入请求失败的消息;
在本发明的优选实施例中,所述UEi→SNj:用户认证响应消息(MAC3),从SNj接收到消息后,UEi执行以下步骤:
c)通过使用K'3验证MAC2;如果验证成功,则UEi成功认证SNj,然后跳到步骤d);否则向SNj发送认证请求失败消息;
在本发明的优选实施例中,第四步的海量MD群组接入认证和密钥协商阶段包括:(假设MDn是MTC组中的群主)
g)向MDn发送相关参数
c)检查和GID是否在SNj的数据库中,如果在,查看群组成员关系和然后跳转到d);否则,SNj将包含和GID的认证数据请求消息发送到KGC;KGC检查该MDi是否已注册,如果是,则KGC将包括的认证数据响应消息发送到SNj,然后SNj执行上面的验证过程;如果未注册,则KGC将认证数据请求失败消息发送给SNj,然后SNj将接入请求失败消息发送给MDi;
(4)MDi→MDn:用户认证响应消息(MAC3i),每个MDi收到广播消息后执行如下步骤:
f)将MAC3i发送给SNj;
(5)MDn→SNj:聚合认证响应消息(MAC3)
(6)SNj检查接收的MAC3以确认与每个MDi建立了相同的会话密钥。
下面结合安全性分析对本发明的技术方案作进一步的描述。
第一,相互认证:针对一个UE的LSAA,一方面,SNj通过检查和MAC1来认证UEi。一旦UEi无效,验证就会失败。另一方面,UEi通过验证MAC2来认证SNj,因为指定的SNj才能派生出和相应的对于大规模MD的LSAA,一方面,SNj通过检查和验证聚合MAC1对MTC组进行认证。一旦有一个无效的MDi,验证就会失败。另一方面,每个MDi通过验证S来信任SNj,因为只有指定的SNj才能获得和随机值zi,并进一步推导出有效值S。
第二,安全地协商会话密钥:对于UE的LSAA,在进行相互认证之后,UEi和SNj根据秘密值协商出不同的会话密钥,而且这些秘密值的计算基于CMDH问题。任何没有(ui,xi)或(sj,yj)的敌手都无法计算出SKij。对于大规模MDs的LSAA,在进行相互认证后,MTC组中的每个MDi和SNj根据秘密值协商一个不同的会话密钥,而这些数值的计算基于CMDH问题。如果没有相应的(mi,mg,xi)或(sj,yj),敌手计算SKij是不可行的。
第三,身份匿名性:对于UE的LSAA,UEi用K1加密身份仅由UEi和指定的SNj持有。因此,任何敌手都无法获得对于大规模MD的LSAA,每个MDi用KM1i加密它的身份和组身份GID,这些数据只在MDi和指定的SNj间共享。因此,任何敌手都无法获得和GID。
第四,不可链接性:在本发明的LSAA中,每个加密消息E1i或E1随着随机数xi而变化。因此,任何敌手都无法区分任意两条消息是否来自同一MDi或UEi。
第五,完美前向/后向保密性(PFS/PBS):对于UE的LSAA,根据计算这些参数得出会话密钥SKij,其中xi和yj分别是MDi和SNj的秘密值。即使ui和sj这些秘密值都被泄露,由于CMDH和CMDL问题,敌手也无法获得因此,针对UE的LSAA可以满足PFS/PBS。对于大规模MD的LSAA,通信双方根据秘密值计算会话密钥SKij,其中xi和yj是分别是MDi和SNj的秘密值。即使mi,mg和sj这些秘密值都被泄露,敌手也无法获得因此,用于大规模MD的LSAA可以实现PFS/PBS。
第六,抵抗多种协议攻击:对于UE的LSAA,可以使用随机数xi和yj来抵抗重放攻击。由于成功实现了UEi和SNj之间的相互认证和密钥协商,因此对手不可能伪装为合法的UEi和SNj来欺骗SNj或UEi或者发起MitM攻击。此外,由于这些重要消息都使用参数K1加密,并且由于CMDH问题攻击者无法导出K1,因此本发明可以抵御窃听攻击。对于大规模MD的LSAA,可以使用随机数xi和yj来抵抗重放攻击。由于完成了MTC组与SNj之间的相互认证和密钥协商,任何没有长期密钥或会话密钥的敌手都无法伪装合法的MDi/SNj来欺骗SNj/MDi或发起MitM攻击。此外,任何没有xi或sj的敌手都不可能计算参数KM1i,任何没有mg或sj的敌手都无法计算出参数KG1'。因此,任何敌手都不可能进行窃听攻击,因为这些秘密值是通过KM1i或KG1'加密的。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种适用于5G网络设备的轻量级安全接入认证方法,其特征在于,所述适用于5G网络设备的轻量级安全接入认证方法包括以下步骤:
第一步,选择大素数,为所有注册的SN,注册的UE和注册的MD分别选择三个变量,选择两个安全的hash函数,实现系统设置;
第二步,针对不同实体,完成服务网注册、设备注册;
第三步,单个UE的接入认证和密钥协商;
第四步,海量MD群组接入认证和密钥协商;
所述第一步的系统设置具体包括:
(1)选择一个大素数p;
(2)为所有注册的SN,注册的UE和注册的MD分别选择三个变量:Ksn,Kue,Kmd∈(-∞,+∞);
(3)选择两个安全的hash函数H1,H2:{1,0}*→Zp *;
(4)公开{p,Ksn,Kue,Kmd,H1,H2};
所述第二步的注册阶段包括:
(1)服务网SN注册,KGC在离线状态下执行以下过程:
(2)设备注册:
a)用户设备UE注册,每个用户设备UE通过安全信道将其唯一标识发送到KGC;KGC收到后为每个UEi选择一个主密钥ui∈Zp *和变量 KGC计算切比雪夫多项式KGC将以下信息安全地加载到UEi的智能卡SC中:唯一身份标识 和ui;在每个UEi成功注册后,对于每个UEi,KGC计算并且将H1 发送给每个SNSNj,每个SNj为所有注册成功的UE建立一个数据库;
b)MTC设备MD注册,存在于某个MTC群组中的群成员MDi通过安全信道将其身份标识以及群组标识GID发送给KGC;KGC收到后;首先根据MTC群组成员的综合能力选出MTC群主MDn;然后为MTC群组选择主密钥mg∈Zp *和一个变量然后KGC为每个成员MDi选择一个主密钥mi∈Zp *和一个变量随后,KGC计算切比雪夫多项式和最后,KGC将以下信息安全地加载到MDi的智能卡SC中:唯一身份MTC组标识GID,mg和mi,信息在每个MDi和KGC之间秘密共享;在每个MDi成功注册后,对于每个MDi,KGC计算并且将 发送给每个SNj;每个SNj为所有注册成功的MTC群组建立一个数据库;
所述第三步的单个UE的接入认证和密钥协商具体包括:
(4)SNj检查所接收的MAC3以确认与UEi建立相同的会话密钥;
f)利用K1做加密运算
g)向SNj发送有关参数;
c)查看是否存在于它的数据库中;如果存在,查看然后跳到步骤d);否则,SNj将含有的认证数据请求消息发送给KGC,KGC查看UEi是否已经注册;如果已经注册,KGC就向SNj发送一个包含的认证数据响应消息,然后SNj对该UEi执行上述过程;如果没有注册,则KGC向SNj发送认证数据请求失败消息,然后SNj向UEi发送接入认证请求失败消息;
e)使用K'2验证MAC1;如果验证成功,则SNj成功验证了UEi,随后跳到步骤f),否则,向UEi发送接入请求失败的消息;
c)通过使用K'3验证MAC2;如果验证成功,则UEi成功认证SNj,然后跳到步骤d);否则向SNj发送认证请求失败消息;
所述海量MD群组接入认证和密钥协商包括:
g)向MDn发送相关参数
c)检查和GID是否在SNj的数据库中,如果在,查看群组成员关系和然后跳转到d);否则,SNj将包含和GID的认证数据请求消息发送到KGC;KGC检查该MDi是否已注册,如果是,则KGC将包括的认证数据响应消息发送到SNj,然后SNj执行上面的验证过程;如果未注册,则KGC将认证数据请求失败消息发送给SNj,然后SNj将接入请求失败消息发送给MDi;
f)将MAC3i发送给SNj;
(6)SNj检查接收的MAC3以确认与每个MDi建立了相同的会话密钥。
2.一种应用如权利要求1所述的适用于5G网络设备的轻量级安全接入认证方法的用户终端设备。
3.一种应用如权利要求1所述的适用于5G网络设备的轻量级安全接入认证方法的海量机器类通信设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910885958.6A CN110768954B (zh) | 2019-09-19 | 2019-09-19 | 适用于5g网络设备的轻量级安全接入认证方法及应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910885958.6A CN110768954B (zh) | 2019-09-19 | 2019-09-19 | 适用于5g网络设备的轻量级安全接入认证方法及应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110768954A CN110768954A (zh) | 2020-02-07 |
CN110768954B true CN110768954B (zh) | 2021-08-27 |
Family
ID=69329794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910885958.6A Active CN110768954B (zh) | 2019-09-19 | 2019-09-19 | 适用于5g网络设备的轻量级安全接入认证方法及应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110768954B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112261650B (zh) * | 2020-09-24 | 2022-05-03 | 北京邮电大学 | 网络接入切换方法、装置、电子设备及存储介质 |
CN112954680B (zh) * | 2021-03-02 | 2022-12-09 | 西安电子科技大学 | 抗追溯攻击的无线传感器网络轻量级接入认证方法及系统 |
CN113453170B (zh) * | 2021-06-29 | 2022-04-05 | 重庆邮电大学 | 一种基于区块链技术的车联网的分布式认证方法 |
CN114760626B (zh) * | 2021-10-18 | 2024-04-02 | 西安电子科技大学 | 一种5g大规模终端的自适应组合认证方法 |
CN116528235B (zh) * | 2023-06-30 | 2023-10-20 | 华侨大学 | 基于扩展切比雪夫多项式的车地无线通信认证方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102833748A (zh) * | 2012-09-20 | 2012-12-19 | 北京邮电大学 | 一种基于数字证书的无线网络轻量级认证密钥协商协议 |
CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016078378A1 (en) * | 2014-11-17 | 2016-05-26 | Huawei Technologies Co., Ltd. | Method, server, base station and communication system for configuring security parameters |
CN108259185B (zh) * | 2018-01-26 | 2021-06-15 | 湖北工业大学 | 一种群组通信中抗泄漏的群密钥协商系统及方法 |
CN109257173B (zh) * | 2018-11-21 | 2020-02-07 | 郑州轻工业学院 | 基于权限信息交换的非对称群组密钥协商方法 |
CN109936509B (zh) * | 2019-03-06 | 2021-09-10 | 西安电子科技大学 | 一种基于多元身份的设备群组认证方法及系统 |
CN110166258B (zh) * | 2019-06-21 | 2022-02-15 | 郑州轻工业学院 | 基于隐私保护和属性认证的群组密钥协商方法 |
-
2019
- 2019-09-19 CN CN201910885958.6A patent/CN110768954B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102833748A (zh) * | 2012-09-20 | 2012-12-19 | 北京邮电大学 | 一种基于数字证书的无线网络轻量级认证密钥协商协议 |
CN103560879A (zh) * | 2013-10-09 | 2014-02-05 | 中国科学院信息工程研究所 | 一种轻量级认证与密钥协商的实现方法 |
CN109327313A (zh) * | 2018-11-07 | 2019-02-12 | 西安电子科技大学 | 一种具有隐私保护特性的双向身份认证方法、服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN110768954A (zh) | 2020-02-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110768954B (zh) | 适用于5g网络设备的轻量级安全接入认证方法及应用 | |
Zeng et al. | E-AUA: An efficient anonymous user authentication protocol for mobile IoT | |
Li et al. | Group-based authentication and key agreement with dynamic policy updating for MTC in LTE-A networks | |
Mahalle et al. | Threshold cryptography-based group authentication (TCGA) scheme for the Internet of Things (IoT) | |
He et al. | Handover authentication for mobile networks: security and efficiency aspects | |
Zhang et al. | Certificateless multi-party authenticated encryption for NB-IoT terminals in 5G networks | |
CN109756877B (zh) | 一种海量NB-IoT设备的抗量子快速认证与数据传输方法 | |
Ghahramani et al. | A secure biometric-based authentication protocol for global mobility networks in smart cities | |
Sun et al. | Privacy-preserving device discovery and authentication scheme for D2D communication in 3GPP 5G HetNet | |
Tan | An efficient IoT group association and data sharing mechanism in edge computing paradigm | |
Parne et al. | PSE-AKA: Performance and security enhanced authentication key agreement protocol for IoT enabled LTE/LTE-A networks | |
CN113364584B (zh) | 一种物联网设备与雾节点认证系统和方法 | |
CN113572765A (zh) | 一种面向资源受限终端的轻量级身份认证密钥协商方法 | |
Li et al. | A lightweight roaming authentication protocol for anonymous wireless communication | |
Yang et al. | A trust and privacy preserving handover authentication protocol for wireless networks | |
CN114466318B (zh) | 组播服务有效认证和密钥分配协议实现方法、系统及设备 | |
Ashraf et al. | Robust and lightweight symmetric key exchange algorithm for next-generation IoE | |
CN116074019A (zh) | 移动客户端和服务器之间的身份认证方法、系统及介质 | |
Hendaoui et al. | UAP: A unified authentication platform for IoT environment | |
Roy et al. | A group key-based lightweight Mutual Authentication and Key Agreement (MAKA) protocol for multi-server environment | |
Yu et al. | Puf-based robust and anonymous authentication and key establishment scheme for v2g networks | |
Saxena et al. | Secure-AKA: An efficient AKA protocol for UMTS networks | |
Kumar et al. | A secure and efficient authentication protocol for wireless applications in multi-server environment | |
Hafeez et al. | Beta-uav: Blockchain-based efficient and trusted authentication for uav communication | |
KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |