CN111464306A - 认证处理方法、装置、存储介质及电子装置 - Google Patents

认证处理方法、装置、存储介质及电子装置 Download PDF

Info

Publication number
CN111464306A
CN111464306A CN201910049058.8A CN201910049058A CN111464306A CN 111464306 A CN111464306 A CN 111464306A CN 201910049058 A CN201910049058 A CN 201910049058A CN 111464306 A CN111464306 A CN 111464306A
Authority
CN
China
Prior art keywords
failure
authentication
message
synchronization
reason
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910049058.8A
Other languages
English (en)
Other versions
CN111464306B (zh
Inventor
彭锦
游世林
谢振华
余万涛
林兆骥
邱永庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201910049058.8A priority Critical patent/CN111464306B/zh
Priority to PCT/CN2020/072950 priority patent/WO2020147856A1/zh
Priority to US17/423,890 priority patent/US12021867B2/en
Priority to EP20741108.3A priority patent/EP3913853A4/en
Publication of CN111464306A publication Critical patent/CN111464306A/zh
Application granted granted Critical
Publication of CN111464306B publication Critical patent/CN111464306B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0709Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a distributed system consisting of a plurality of standalone computer nodes, e.g. clusters, client-server systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0793Remedial or corrective actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种认证处理方法、装置、存储介质及电子装置,该方法包括:终端接收来自认证功能的认证请求消息;所述终端在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。该方案解决了相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。

Description

认证处理方法、装置、存储介质及电子装置
技术领域
本发明涉及通信领域,具体而言,涉及一种认证处理方法、装置、存储介质及电子装置。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,简称为3GPP)制定了各种移动网络的规范,包括认证与密钥协商过程(Authentication and Key Agreement,简称为AKA过程),该过程用于终端(例如,用户设备(User Equipment,简称为UE))与网络的互相认证并建立共同的密钥。
在AKA过程方案中,当终端接收到来自网络的认证请求消息时,会对该消息进行验证(verify),如果验证失败,终端将响应以认证失败消息(failure message),该消息中携带失败原因参数(CAUSE)。如果该认证请求消息不是针对该终端的合法的认证请求消息,失败原因为消息验证码失败(MAC Failure)。如果该认证请求消息是针对该终端的合法的认证请求消息,但由于该消息被重放(replay)而已经被终端验证过,失败原因为同步失败(Sync Failure)。
在这样的认证机制下,攻击者如果重放(replay)一个合法的认证请求消息,并接收终端响应的认证失败消息,分析认证失败消息中的失败原因,就能将该认证请求消息所针对的终端区分出来,从而能够确定某个终端在某个区域中是否存在。通过多次重放认证请求消息并接收和分析认证失败消息,攻击者就实现了对用户的追踪,并可能用于对用户隐私的进一步攻击。
针对相关技术中的上述问题,目前尚未存在有效的解决方案。
发明内容
本发明实施例提供了一种认证处理方法、装置、存储介质及电子装置,以至少解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题。
根据本发明的一个实施例,提供了一种认证处理方法,包括:终端接收来自认证功能的认证请求消息;所述终端在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
作为一个示例性实施例,在认证失败的原因为同步失败的情况下,所述同步失败参数是所述终端根据所述认证请求消息计算得到的;
在认证失败的原因为消息验证码失败的情况下,所述同步失败参数为所述终端随机生成的,或者为预定值,或者为所述终端根据所述认证请求消息计算得到的。
根据本发明的另一个实施例,提供了一种认证处理方法,包括:认证功能接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;所述认证功能向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。
作为一个示例性实施例,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证功能接收到的所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,所述认证功能接收到的所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
作为一个示例性实施例,所述方法还包括:所述认证功能在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:同步失败指示Sync FailureIndicator;消息验证码或同步失败指示MAC or Sync Failure Indicator。
根据本发明的另一个实施例,提供了一种认证处理方法,包括:归属网络实体接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;所述归属网络实体根据所述同步失败参数确定失败原因;所述归属网络实体将所述失败原因返回给所述认证功能。
作为一个示例性实施例,所述归属网络实体根据所述同步失败参数确定失败原因包括:所述归属网络实体验证所述同步失败参数的有效性;在验证所述同步失败参数无效的情况下,确定所述失败原因为消息验证码失败MAC Failure;在验证所述同步失败参数有效的情况下,所述归属网络实体根据所述同步失败参数计算所述终端的序列号SQNMS,并根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
作为一个示例性实施例,所述归属网络实体根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因包括以下至少之一:所述归属网络实体在SQNMS大于或等于SQNHE的情况下,确定所述失败原因为同步失败Sync Failure;所述归属网络实体在SQNMS小于SQNHE的情况下,确定所述失败原因为消息验证码失败MAC Failure。
根据本发明的另一个实施例,提供了一种认证处理装置,应用于终端,所述装置包括:接收模块,设置为接收来自认证功能的认证请求消息;反馈模块,设置为在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
作为一个示例性实施例,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
根据本发明的另一个实施例,提供了一种认证处理装置,应用于认证功能,所述装置包括:第一接收模块,设置为接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;发送模块,设置为向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;第二接收模块,设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。
作为一个示例性实施例,所述发送模块还设置为在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:同步失败指示Sync FailureIndicator;消息验证码或同步失败指示MAC or Sync Failure Indicator。
根据本发明的另一个实施例,提供了一种认证处理装置,应用于归属网络实体,所述装置包括:接收模块,设置为接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;确定模块,设置为根据所述同步失败参数确定失败原因;发送模块,设置为将所述失败原因返回给所述认证功能。
作为一个示例性实施例,所述确定模块设置为:验证所述同步失败参数的有效性;在验证所述同步失败参数无效的情况下,确定所述失败原因为消息验证码失败MACFailure;在验证所述同步失败参数有效的情况下,根据所述同步失败参数计算所述终端的序列号SQNMS,并根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明实施例,由于在接收到来自认证功能的认证请求消息之后,无论认证失败的原因是消息验证码失败还是同步失败,均反馈相同种类的认证失败消息,这种对认证失败消息进行模糊化处理的方式,可以有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种认证处理方法的移动终端的硬件结构框图;
图2是根据本发明实施例1的认证处理方法的流程图;
图3是根据本发明实施例2的认证处理方法的流程图;
图4是根据本发明实施例3的认证处理方法的流程图;
图5是根据本发明实施例4的认证处理装置的结构框图;
图6是根据本发明实施例5的认证处理装置的结构框图;
图7是根据本发明实施例6的认证处理装置的结构框图;
图8是根据本发明实施例10的移动系统的结构示意图;
图9是根据本发明实施例10的5G技术AKA认证中终端响应认证失败消息的流程图;
图10是根据本发明实施例11的安全认证流程示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例1所提供的方法实施例可以在终端(包括移动终端、计算机终端或者类似的运算装置)中执行。以运行在移动终端上为例,图1是本发明实施例的一种认证处理方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的认证处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于终端的认证处理方法,图2是根据本发明实施例1的认证处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,终端接收来自认证功能的认证请求消息;
步骤S204,所述终端在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
可选地,上述步骤的执行主体可以为终端,包括但不限于包括移动终端、计算机终端或者类似的运算装置等等。
通过本实施例,由于在接收到来自认证功能的认证请求消息之后,无论认证失败的原因是消息验证码失败还是同步失败,均反馈相同种类的认证失败消息,这种对认证失败消息进行模糊化处理的方式,可以有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
考虑到攻击者通常是通过重放(replay)一个合法的认证请求消息来骗取同步失败消息,从中得到其中携带的同步失败信息(包括同步失败原因和/或同步失败参数),因此,本实施例采用了对认证失败消息进行模糊化处理的方式,来达到让攻击者无法辨别有效的认证失败消息的目的。对认证失败消息进行模糊化处理的手段,可以对认证失败消息中的失败原因参数进行模糊化处理,或者也可以对认证失败消息中包括的同步失败参数进行模糊化处理,或者也可以对二者均进行模糊化处理。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
作为一个示例性实施例,在认证失败的原因为同步失败的情况下,所述同步失败参数是所述终端根据所述认证请求消息计算得到的;
在认证失败的原因为消息验证码失败的情况下,所述同步失败参数为所述终端随机生成的,或者为预定值,或者为所述终端根据所述认证请求消息计算得到的。为了防止攻击者从同步失败参数的表现细节差异辨别出认证失败消息所真实指示的失败原因和/或同步失败参数真伪,作为一个优选的实施方式,所述终端随机生成的所述同步失败参数,或者所述预定值的数据长度与所述终端根据所述认证请求消息计算得到的所述同步失败消息的数据长度相同。
实施例2
在本实施例中提供了一种认证处理方法,该方法可以应用于认证功能,图3是根据本发明实施例2的认证处理方法的流程图,如图3所示,该流程包括如下步骤:
步骤S302,认证功能接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
步骤S304,所述认证功能向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
步骤S306,所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。
通过本实施例,认证功能在接收到模糊化的认证失败消息之后,将接收到的认证失败消息中携带的同步失败参数发送给归属网络实体,并接收归属网络实体返回的失败原因,这使得认证功能后续能够根据该失败原因进行对应的认证处理。因为该方案在终端和认证功能之间进行了认证失败消息的模糊化处理,可以有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
作为一个示例性实施例,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证功能接收到的所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,所述认证功能接收到的所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
作为一个示例性实施例,所述方法还包括:所述认证功能在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:同步失败指示Sync FailureIndicator;消息验证码或同步失败指示MAC or Sync Failure Indicator。归属网络实体在接收到预定失败指示的情况下,会对终端上认证失败的具体原因进行判定,并通知认证功能,以便认证功能根据具体失败原因执行相对应的认证处理。
作为一个优选的实施例,在步骤S306之后,还可以包括:
步骤S308,所述认证功能根据所述归属网络实体返回的失败原因执行认证处理。具体的认证处理作为一个实施例可以参照以下描述处理。
如果失败原因“CAUSE”为消息验证码失败“MAC Failure”则认证功能可以:
终止认证过程;或者
向终端发送终端标识请求消息;或者
重新发起对终端的认证过程;
如果失败原因“CAUSE”为同步失败“Sync Failure”,则认证功能重新发起对终端的认证过程。
实施例3
在本实施例中提供了一种认证处理方法,该方法可以应用于归属网络实体,图4是根据本发明实施例3的认证处理方法的流程图,如图4所示,该流程包括如下步骤:
步骤S402,归属网络实体接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
步骤S404,所述归属网络实体根据所述同步失败参数确定失败原因;
步骤S406,所述归属网络实体将所述失败原因返回给所述认证功能。
通过本实施例,归属网络实体在接收到来自认证功能的认证请求消息之后,根据其中携带的同步失败参数判断真实的失败原因,并将失败原因返回给认证功能。因为认证功能和归属网络实体之间属于网络系统内部的通信,将失败原因判断和传递控制在网络系统内部,能够有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
作为一个示例性实施例,所述归属网络实体根据所述同步失败参数确定失败原因包括:
所述归属网络实体验证所述同步失败参数的有效性;
在验证所述同步失败参数无效的情况下,确定所述失败原因为消息验证码失败MAC Failure;在本实施例中,同步失败参数可以为AUTS,当归属网络验证AUTS中的MAC-S失败(也就是认定AUTS无效)时,则可以确定终端的失败原因是MAC失败,在前述的部分方案中,当终端产生MAC失败时,会将一个随机数或预定值填充到AUTS中,这个AUTS传回归属网络后,必定无法通过归属网络的消息验证,因此,归属网络可以通过验证AUTS中的MAC-S失败,来确定终端的失败原因为MAC失败。而在前述的另一部分方案中,当终端产生MAC失败时,会将根据认证请求消息计算的值填充到AUTS中,此时这个AUTS能够通过归属网络的消息验证,则可以采用下述验证所述同步失败参数有效的情况下基于序列号的确定失败原因的方法来进一步甄别具体失败原因是MAC失败还是同步失败。
在验证所述同步失败参数有效的情况下,所述归属网络实体根据所述同步失败参数计算所述终端的序列号SQNMS,并根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
作为一个示例性实施例,所述归属网络实体根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因包括以下至少之一:所述归属网络实体在SQNMS大于或等于SQNHE的情况下,确定所述失败原因为同步失败Sync Failure;所述归属网络实体在SQNMS小于SQNHE的情况下,确定所述失败原因为消息验证码失败MAC Failure。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例1-3的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例4
在本实施例中还提供了一种认证处理装置,该装置用于实现上述实施例1及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例4的认证处理装置的结构框图,如图5所示,该装置应用于终端,所述装置可以包括:
接收模块52,设置为接收来自认证功能的认证请求消息;
反馈模块54,设置为在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
通过本实施例,由于在接收到来自认证功能的认证请求消息之后,无论认证失败的原因是消息验证码失败还是同步失败,均反馈相同种类的认证失败消息,这种对认证失败消息进行模糊化处理的方式,可以有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
作为一个示例性实施例,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
作为一个示例性实施例,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例5
在本实施例中还提供了一种认证处理装置,该装置用于实现上述实施例2及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图6是根据本发明实施例5的认证处理装置的结构框图,如图6所示,该装置应用于认证功能,所述装置可以包括:
第一接收模块62,设置为接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
发送模块64,设置为向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
第二接收模块66,设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。
作为一个优选的实施方式,所述装置还可以包括:执行模块68,设置为根据所述归属网络实体返回的失败原因执行认证处理。
通过本实施例,认证功能在接收到模糊化的认证失败消息之后,将接收到的认证失败消息中携带的同步失败参数发送给归属网络实体,并接收归属网络实体返回的失败原因,这使得认证功能后续能够根据该失败原因进行对应的认证处理。因为该方案在终端和认证功能之间进行了认证失败消息的模糊化处理,可以有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
作为一个示例性实施例,所述发送模块64还设置为在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:同步失败指示Sync FailureIndicator;消息验证码或同步失败指示MAC or Sync Failure Indicator。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例6
在本实施例中还提供了一种认证处理装置,该装置用于实现上述实施例3及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7是根据本发明实施例6的认证处理装置的结构框图,如图7所示,该装置应用于归属网络实体,所述装置可以包括:
接收模块72,设置为接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
确定模块74,设置为根据所述同步失败参数确定失败原因;
发送模块76,设置为将所述失败原因返回给所述认证功能。
通过本实施例,归属网络实体在接收到来自认证功能的认证请求消息之后,根据其中携带的同步失败参数判断真实的失败原因,并将失败原因返回给认证功能。因为认证功能和归属网络实体之间属于网络系统内部的通信,将失败原因判断和传递控制在网络系统内部,能够有效隐藏失败信息(包括失败原因和/或同步失败参数),防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪,可以解决相关技术中AKA认证机制下,能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题,有效提高了认证过程的安全性和保密性。
作为一个示例性实施例,所述确定模块74设置为:根据所述同步失败参数计算所述终端的序列号SQNMS;根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例7
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收来自认证功能的认证请求消息;
S2,在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收来自认证功能的认证请求消息;
S2,在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
实施例8
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
S2,向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
S3,接收所述归属网络实体根据所述同步失败参数返回的失败原因。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
S2,向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
S3,接收所述归属网络实体根据所述同步失败参数返回的失败原因。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
实施例9
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
S2,根据所述同步失败参数确定失败原因;
S3,将所述失败原因返回给所述认证功能。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
S2,根据所述同步失败参数确定失败原因;
S3,将所述失败原因返回给所述认证功能。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
实施例10
图8是根据本发明实施例10的移动系统的结构示意图,如图8所示,移动系统的与认证与密钥协商过程相关的网元包括:终端、基站、认证功能、认证服务功能和签约数据管理功能。以下分别进行详细的说明。
基站为终端提供通讯等各项移动网络提供的服务,在实际系统中,基站可以是eNB或gNB等能够提供通讯服务的接入网元。
认证功能为移动网络的核心网的软件功能或硬件设备,用于通过信令与基站交互,使得移动网络和终端可以实现相互认证。在实际系统中,认证功能可以是或可以设置于诸如MME(Mobility Management Entity),或SEAF(Security Anchor Function),或AMF(Access and Mobility Management Function)等网元。
认证服务功能用于与签约数据管理功能通过信令接口,获取与用户相关的密钥信息,并将该信息通过信令接口提供给认证功能。在实际系统中,认证服务功能可以是或可以设置于诸如AUSF(Authentication Server Function)等网元,该功能也可以与签约数据管理功能合设。
签约数据管理功能用于存储并处理用户相关的数据,基于用户相关数据生成用于认证用户的信息和用户相关的密钥信息,并通过信令接口提供给认证服务功能。在实际系统中,签约数据管理功能可以是或可以设置于诸如UDM(User Date Management)或HSS(Home Subscriber Server)等网元。
AKA认证技术可以应用于各种通信网络,以下以应用于第五代移动通信(5thgeneration,简称为5G)通信网络为例,对AKA认证的整体流程进行简要的说明。图9是根据本发明实施例10的5G技术AKA认证中终端响应认证失败消息的流程图,如图9所示,具体步骤如下所示:
步骤S901,认证功能向终端发送用户认证请求消息,所述消息携带AUTN和RAND,其中,
AUTN为认证令牌参数,
Figure BDA0001950145780000201
其中,||表示进行拼接操作,例如0011||1111=00111111,SQN表示序列号(Sequence Number),AK表示隐藏密钥(Anonymity Key),AMF表示鉴权管理字段(Authentication Management Fields),MAC表示消息认证码(Message Authenticate Code)。
RAND为随机数参数。
所述消息还可携带5G中的密钥集标识符(Key Set Identifier in 5G,简称为ngKSI)。
步骤S902,终端收到用户认证请求消息,计算AK=F5K(RAND),由此计算出
Figure BDA0001950145780000202
再计算出XMAC=F1K(SQN||RAND||AMF),将XMAC与AUTN中的MAC比较。
如果两者不同,则响应认证失败消息,消息中携带失败原因参数“CAUSE”为“MACFailure”。特别地,所述消息不携带同步失败参数,即,认证令牌(Authentication Token,简称为AUTS)参数。
如果两者相同,则验证AUTN中的SQN的值是否在正确范围内,特别地,如果AUTN中的SQN大于终端的SQN(SQNMS)则认为是在正确范围内,如果AUTN中的SQN小于等于终端的SQN(SQNMS)则认为是在不正确范围内。
如果验证AUTN中的SQN的值不在正确范围内,则终端响应认证失败消息,消息中携带失败原因参数“CAUSE”为“Sync Failure”。特别地,所述消息还携带认证失败参数,即,认证令牌(Authentication Token,简称为AUTS)参数,其为终端在发生SQN同步失败的情况下生成的一个值。
Figure BDA0001950145780000211
其中MAC-S=f1*K(SQNMS||RAND||AMF)。
本步骤中,所涉及的
Figure BDA0001950145780000212
为异或运算,||仍表示进行拼接操作,XMAC为期望MAC(expected MAC),F1K、F2K和F5K为以根密钥K为密钥的密钥衍生函数,其中,F1K和F2K是消息认证功能(message authentication function),F5K是密钥生成功能(key generatingfunction)。
步骤S903,认证功能接收到来自终端的认证失败消息,读取消息中的失败原因参数“CAUSE”。如果“CAUSE”为“MAC Failure”则认证功能可以:
1.终止认证过程;或者
2.向终端发送终端标识请求消息;或者
3.向认证服务功能/签约数据管理功能发送认证请求消息,所述消息携带终端标识参数;特别地,所述消息不携带AUTS参数。
如果“CAUSE”为“Sync Failure”,则认证功能向认证服务功能/签约数据管理功能发送认证请求消息,所述消息携带终端标识参数;特别地,所述消息还携带同步失败标识和AUTS参数;该AUTS参数为从终端接收到的认证失败消息中携带的AUTS参数。
步骤S904,认证服务功能/签约数据管理功能接收到来自认证功能的认证请求消息,如果消息中包含同步失败标识,则执行重同步过程,(该重同步过程使用AUTS参数),再生成认证响应消息回送给认证功能;如果消息中不包含同步失败标识,则生成认证响应消息回送给认证功能。
步骤S905,认证功能接收到来自认证服务功能/签约数据管理功能的认证响应消息,可以重新发起对终端的认证过程。
实施例11
攻击者如果重放(replay)一个合法的认证请求消息,则经过实施例10中步骤S902处理后可以得到一个终端响应的认证失败消息,考虑到该认证失败消息中,分析认证失败消息中的失败原因,通过多次重放认证请求消息并接收和分析认证失败消息,攻击者就可以实现了对用户的追踪,并可能用于对用户隐私的进一步攻击。考虑到这一问题,本实施例提供了终端认证流程中的一种改进的认证处理方式。
图10是根据本发明实施例11的安全认证流程示意图,该流程包括:
步骤S1001;认证功能向终端发送用户认证请求消息,所述消息携带AUTN和RAND,其中
Figure BDA0001950145780000221
所述消息还携带ngKSI。
步骤S1002;终端收到用户认证请求消息,计算AK=F5K(RAND),由此计算出
Figure BDA0001950145780000222
再计算出XMAC=F1K(SQN||RAND||AMF),将XMAC与AUTN中的MAC比较,如果两者不同,则向认证功能响应认证失败消息。
如果两者相同则验证AUTN中的SQN的值是否在正确范围内,特别地,如果AUTN中的SQN大于终端SQNMS则认为是在正确范围内,否则向认证功能响应认证失败消息;
在以上两种认证失败时,都向认证功能响应认证失败消息;消息中都携带失败原因参数“CAUSE”为“MAC or Sync Failure”;且所述消息都还携带AUTS参数,
Figure BDA0001950145780000231
其中MAC-S=f1*K(SQNMS||RAND||AMF)。如果是MAC验证失败的情况,携带的AUTS参数也可以是长度相同的其他数值,比如,可以是随机数。
步骤S1003,认证功能接收到来自终端的认证失败消息,读取消息中的失败原因参数“CAUSE”为“MAC or Sync Failure”,则认证功能向认证服务功能/签约数据管理功能发送认证请求消息,所述消息携带终端标识参数;特别地,所述消息还携带一同步或MAC失败标识(“Sync or MAC failure indicator”)和AUTS参数;该AUTS参数为从终端接收到的认证失败消息中携带的AUTS参数;
步骤S1004,认证服务功能/签约数据管理功能接收到来自认证功能的认证请求消息,如果消息中包含同步或MAC失败标识(“Sync or MAC failure indicator”),则根据AUTS计算SQNMS,并通过比较SQNMS和SQNHE以确定失败原因;
具体地,当SQNMS大于或等于SQNHE时,确定失败原因为“Sync Failure”;当SQNMS小于SQNHE时,或AUTS验证失败时,确定失败原因为“MAC Failure”;
如果失败原因为“Sync Failure”,则执行重同步过程,(该重同步过程使用AUTS参数),再生成认证响应消息回送给认证功能,消息中携带失败原因参数“CAUSE”为“SyncFailure”;如果失败原因为“MAC Failure”,则生成认证响应消息回送给认证功能,消息中携带失败原因参数“CAUSE”为“MAC Failure”;
步骤S1005,认证功能接收到来自认证服务功能/签约数据管理功能的认证响应消息,读取消息中的失败原因参数“CAUSE”。
如果“CAUSE”为“MAC Failure”则认证功能可以:
终止认证过程;或者
向终端发送终端标识请求消息;或者
重新发起对终端的认证过程;
如果“CAUSE”为“Sync Failure”,则认证功能重新发起对终端的认证过程。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (21)

1.一种认证处理方法,其特征在于,包括:
终端接收来自认证功能的认证请求消息;
所述终端在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
2.根据权利要求1所述的方法,其特征在于,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:
在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
3.根据权利要求2所述的方法,其特征在于,所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
4.根据权利要求1-3中任一项所述的方法,其特征在于,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息包括:
在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
5.根据权利要求4所述的方法,其特征在于,
在认证失败的原因为同步失败的情况下,所述同步失败参数是所述终端根据所述认证请求消息计算得到的;
在认证失败的原因为消息验证码失败的情况下,所述同步失败参数为所述终端随机生成的,或者为预定值,或者为所述终端根据所述认证请求消息计算得到的。
6.一种认证处理方法,其特征在于,包括:
认证功能接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
所述认证功能向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。
7.根据权利要求6所述的方法,其特征在于,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证功能接收到的所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
8.根据权利要求7所述的方法,其特征在于,所述认证功能接收到的所述认证失败消息均携带相同的失败原因参数包括以下之一:
所述失败原因参数均为空或相同的预定填充值;
所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure;
所述失败原因参数均为同步失败Sync Failure。
9.根据权利要求7所述的方法,其特征在于,还包括:
所述认证功能在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:
同步失败指示Sync Failure Indicator;
消息验证码或同步失败指示MAC or Sync Failure Indicator。
10.一种认证处理方法,其特征在于,包括:
归属网络实体接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
所述归属网络实体根据所述同步失败参数确定失败原因;
所述归属网络实体将所述失败原因返回给所述认证功能。
11.根据权利要求10所述的方法,其特征在于,所述归属网络实体根据所述同步失败参数确定失败原因包括:
所述归属网络实体验证所述同步失败参数的有效性;
在验证所述同步失败参数无效的情况下,确定所述失败原因为消息验证码失败MACFailure;
在验证所述同步失败参数有效的情况下,所述归属网络实体根据所述同步失败参数计算所述终端的序列号SQNMS,并根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
12.根据权利要求11所述的方法,其特征在于,所述归属网络实体根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因包括以下至少之一:
所述归属网络实体在SQNMS大于或等于SQNHE的情况下,确定所述失败原因为同步失败Sync Failure;
所述归属网络实体在SQNMS小于SQNHE的情况下,确定所述失败原因为消息验证码失败MAC Failure。
13.一种认证处理装置,应用于终端,其特征在于,所述装置包括:
接收模块,设置为接收来自认证功能的认证请求消息;
反馈模块,设置为在对所述认证请求消息认证失败的情况下,向所述认证功能反馈认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述终端向所述认证功能反馈相同种类的认证失败消息。
14.根据权利要求13所述的装置,其特征在于,在认证失败的原因为所述消息验证码失败的情况下和所述同步失败的情况下,所述认证失败消息均不携带失败原因参数,或者,均携带相同的失败原因参数。
15.根据权利要求13或14所述的装置,其特征在于,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证失败消息均携带同步失败参数。
16.一种认证处理装置,应用于认证功能,其特征在于,所述装置包括:
第一接收模块,设置为接收终端反馈的认证失败消息,其中,在认证失败的原因为消息验证码失败的情况下和同步失败的情况下,所述认证功能接收到的认证失败均携带同步失败参数;
发送模块,设置为向归属网络实体发送认证请求消息,其中,所述认证请求消息携带所述同步失败参数;
第二接收模块,设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。
17.根据权利要求16所述的装置,其特征在于,
所述发送模块还设置为在所述认证请求消息中添加预定失败指示,其中,所述预定失败指示包括以下之一:
同步失败指示Sync Failure Indicator;
消息验证码或同步失败指示MAC or Sync Failure Indicator。
18.一种认证处理装置,应用于归属网络实体,其特征在于,所述装置包括:
接收模块,设置为接收来自认证功能的认证请求消息,其中,所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数;
确定模块,设置为根据所述同步失败参数确定失败原因;
发送模块,设置为将所述失败原因返回给所述认证功能。
19.根据权利要求18所述的装置,其特征在于,所述确定模块设置为:
验证所述同步失败参数的有效性;
在验证所述同步失败参数无效的情况下,确定所述失败原因为消息验证码失败MACFailure;
在验证所述同步失败参数有效的情况下,根据所述同步失败参数计算所述终端的序列号SQNMS,并根据所述终端的序列号SQNMS和所述归属网络实体的序列号SQNHE确定所述失败原因。
20.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至12任一项中所述的方法。
21.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至12任一项中所述的方法。
CN201910049058.8A 2019-01-18 2019-01-18 认证处理方法、装置、存储介质及电子装置 Active CN111464306B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201910049058.8A CN111464306B (zh) 2019-01-18 2019-01-18 认证处理方法、装置、存储介质及电子装置
PCT/CN2020/072950 WO2020147856A1 (zh) 2019-01-18 2020-01-19 认证处理方法、装置、存储介质及电子装置
US17/423,890 US12021867B2 (en) 2019-01-18 2020-01-19 Authentication processing method and device, storage medium, and electronic device
EP20741108.3A EP3913853A4 (en) 2019-01-18 2020-01-19 METHOD AND DEVICE FOR AUTHENTICATION PROCESSING, STORAGE MEDIA, AND ELECTRONIC DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910049058.8A CN111464306B (zh) 2019-01-18 2019-01-18 认证处理方法、装置、存储介质及电子装置

Publications (2)

Publication Number Publication Date
CN111464306A true CN111464306A (zh) 2020-07-28
CN111464306B CN111464306B (zh) 2022-12-02

Family

ID=71613095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910049058.8A Active CN111464306B (zh) 2019-01-18 2019-01-18 认证处理方法、装置、存储介质及电子装置

Country Status (4)

Country Link
US (1) US12021867B2 (zh)
EP (1) EP3913853A4 (zh)
CN (1) CN111464306B (zh)
WO (1) WO2020147856A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114173336A (zh) * 2020-08-21 2022-03-11 维沃移动通信有限公司 鉴权失败的处理方法、装置、终端及网络侧设备
CN115333769A (zh) * 2022-06-30 2022-11-11 中银金融科技有限公司 登录认证失败的处理方法及装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124513B (zh) * 2021-11-18 2024-01-30 中国电信股份有限公司 身份认证方法、系统、装置、电子设备和可读介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070178886A1 (en) * 2005-06-04 2007-08-02 Huawei Technologies Co., Ltd. Authentication Method And Related Method For Transmitting Information
WO2007098660A1 (fr) * 2006-03-02 2007-09-07 Huawei Technologies Co., Ltd. Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
CN101102192A (zh) * 2007-07-18 2008-01-09 北京飞天诚信科技有限公司 认证设备、方法和系统
CN101399603A (zh) * 2007-09-30 2009-04-01 华为技术有限公司 重同步方法、认证方法及设备
CN102396203A (zh) * 2009-04-16 2012-03-28 阿尔卡特朗讯公司 根据通信网络中的认证过程的紧急呼叫处理
WO2015042832A1 (zh) * 2013-09-26 2015-04-02 华为技术有限公司 反馈信息的方法和无线网络控制结点
CN108880813A (zh) * 2017-05-08 2018-11-23 中国移动通信有限公司研究院 一种附着流程的实现方法及装置
WO2018230974A1 (en) * 2017-06-14 2018-12-20 Samsung Electronics Co., Ltd. Method and user equipment for handling of integrity check failures of pdcp pdus

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101272251B (zh) * 2007-03-22 2012-04-18 华为技术有限公司 鉴权和密钥协商方法、认证方法、系统及设备
KR20130073850A (ko) * 2011-12-23 2013-07-03 삼성전자주식회사 페이크 네트워크의 식별을 위한 방법 및 장치
KR102173534B1 (ko) * 2012-05-24 2020-11-03 삼성전자 주식회사 이동통신사업자 정보 제공 방법 및 이를 수행하는 장치
US9800578B2 (en) * 2015-10-27 2017-10-24 Blackberry Limited Handling authentication failures in wireless communication systems

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070178886A1 (en) * 2005-06-04 2007-08-02 Huawei Technologies Co., Ltd. Authentication Method And Related Method For Transmitting Information
WO2007098660A1 (fr) * 2006-03-02 2007-09-07 Huawei Technologies Co., Ltd. Procédé et système d'authentification d'entités de réseau dans un sous-système multimédia
CN101102192A (zh) * 2007-07-18 2008-01-09 北京飞天诚信科技有限公司 认证设备、方法和系统
CN101399603A (zh) * 2007-09-30 2009-04-01 华为技术有限公司 重同步方法、认证方法及设备
CN102396203A (zh) * 2009-04-16 2012-03-28 阿尔卡特朗讯公司 根据通信网络中的认证过程的紧急呼叫处理
WO2015042832A1 (zh) * 2013-09-26 2015-04-02 华为技术有限公司 反馈信息的方法和无线网络控制结点
CN108880813A (zh) * 2017-05-08 2018-11-23 中国移动通信有限公司研究院 一种附着流程的实现方法及装置
WO2018230974A1 (en) * 2017-06-14 2018-12-20 Samsung Electronics Co., Ltd. Method and user equipment for handling of integrity check failures of pdcp pdus

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
""24301_CR0172R1_(Rel-8)_C1-091103-cause"", 《3GPP TSG_CT\TSG_CT》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114173336A (zh) * 2020-08-21 2022-03-11 维沃移动通信有限公司 鉴权失败的处理方法、装置、终端及网络侧设备
CN114173336B (zh) * 2020-08-21 2024-06-11 维沃移动通信有限公司 鉴权失败的处理方法、装置、终端及网络侧设备
CN115333769A (zh) * 2022-06-30 2022-11-11 中银金融科技有限公司 登录认证失败的处理方法及装置

Also Published As

Publication number Publication date
US20220124092A1 (en) 2022-04-21
CN111464306B (zh) 2022-12-02
US12021867B2 (en) 2024-06-25
EP3913853A4 (en) 2022-03-02
EP3913853A1 (en) 2021-11-24
WO2020147856A1 (zh) 2020-07-23

Similar Documents

Publication Publication Date Title
EP1768426B1 (en) Method for transmitting information
EP2868029B1 (en) Key agreement for wireless communication
US9654284B2 (en) Group based bootstrapping in machine type communication
US20040078571A1 (en) Authentication in data communication
CN111464306B (zh) 认证处理方法、装置、存储介质及电子装置
CN110536292A (zh) 发送终端序列号的方法和装置以及认证方法和装置
CN111641498B (zh) 密钥的确定方法及装置
Xu et al. An anonymous handover authentication scheme based on LTE‐A for vehicular networks
US20210289353A1 (en) Network access authentication method and device
JP2022529837A (ja) パラメータ送信方法及び装置
CN108353259B (zh) 对匿名化网络服务利用进行计费记录鉴别的方法和装置
Roychoudhury et al. A secure Device-to-Device communication scheme for massive Machine Type Communication
CN113449286B (zh) 安全校验ue发送的s-nssai的方法及系统、设备
KR101431214B1 (ko) 머신 타입 통신에서의 네트워크와의 상호 인증 방법 및 시스템, 키 분배 방법 및 시스템, 및 uicc와 디바이스 쌍 인증 방법 및 시스템
CN213938340U (zh) 5g应用接入认证网络架构
CN111464482B (zh) 认证处理方法、装置、存储介质及电子装置
CN108513289A (zh) 一种终端标识的处理方法、装置及相关设备
El-Sakka et al. Double Evolved Packet System Authentication and Key Agreement Protocol Based on Elliptic Curve for 4G (LTE) Networks
CN114501448A (zh) 拒绝接入方法、装置及系统
Chandrasekaran et al. Secure mobile identities
CN107820245B (zh) 注册方法
Fanian et al. A TESLA-Based Mutual Authentication Protocol for GSM Networks.
Parne et al. SEACE: Security enhanced and computationally efficient AKA protocol for UMTS networks
CN117676578A (zh) 一种无需重同步机制的5g-aka改进协议认证方法及系统
Zahednejad et al. On the Design of a Secure Proxy Signature-based Handover Authentication Scheme for LTEWireless Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant