CN111836262B - 一种鉴权方法及装置 - Google Patents

一种鉴权方法及装置 Download PDF

Info

Publication number
CN111836262B
CN111836262B CN202010670117.6A CN202010670117A CN111836262B CN 111836262 B CN111836262 B CN 111836262B CN 202010670117 A CN202010670117 A CN 202010670117A CN 111836262 B CN111836262 B CN 111836262B
Authority
CN
China
Prior art keywords
roaming
terminal
authentication
public key
derived
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010670117.6A
Other languages
English (en)
Other versions
CN111836262A (zh
Inventor
王鑫
严斌峰
赵慧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202010670117.6A priority Critical patent/CN111836262B/zh
Publication of CN111836262A publication Critical patent/CN111836262A/zh
Application granted granted Critical
Publication of CN111836262B publication Critical patent/CN111836262B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种鉴权方法及装置,属于通信技术领域。该鉴权方法包括:接收归属运营商发送的鉴权更新信息,并根据鉴权更新信息更新漫游运营商的鉴权数据;接收终端发送的鉴权请求,并根据鉴权请求中终端公钥,从漫游运营商的鉴权数据中获取鉴权请求中的终端漫游身份参数对应的派生漫游网络私钥;基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权,以在终端没有预存漫游运营商加密终端身份参数的公钥时,安全高效地对终端进行鉴权。

Description

一种鉴权方法及装置
技术领域
本发明涉及通信技术领域,具体涉及一种鉴权方法及装置。
背景技术
第五代移动通信技术(5th generation wireless systems、5th-Generation,简称5G)是最新一代蜂窝移动通信技术,可以为用户提供更高的传输速率和更稳定的通信质量。为保障用户安全,在5G鉴权中引入加密鉴权机制,由用户使用公钥对国际移动用户识别码(International Mobile Subscriber Identity,IMSI)进行加密后再传输至运营商,运营商使用私钥对加密IMSI进行解密,获得IMSI,并基于IMSI进行鉴权。其中,公钥存储在用户的SIM卡内,用于对IMSI进行加密;私钥存放在运营商,用于对接收的加密IMSI进行解密。但是,针对漫游等应用场景,用户的SIM卡内可能并没有保存漫游运营商对应的公钥,从而无法实现加密鉴权,进而无法保证IMSI加密体系的安全性。如果漫游运营商通过网络向用户实时下发漫游运营商的公钥,容易受网络信号质量的影响,而且在IMSI加密频次较高时,可能导致用户无法及时获取漫游运营商的公钥,从而导致鉴权效率过低。另外,通过网络传输漫游运营商公钥时,一旦该公钥被非法截获,将会导致漫游运营商整个密钥体系面临被破解的风险。
因此,如何在用户没有预存漫游运营商加密终端身份参数的公钥时,安全高效地对用户进行鉴权,成为本领域亟待解决的问题。
发明内容
为此,本发明提供一种鉴权方法及装置,以解决用户没有预存漫游运营商加密终端身份参数的公钥时,通过网络向用户下发公钥容易受网络质量影响导致鉴权效率低,且公钥容易被非法截获导致安全性受到威胁的问题。
为了实现上述目的,本发明第一方面提供一种鉴权方法,应用于漫游运营商,包括:
接收归属运营商发送的鉴权更新信息,并根据所述鉴权更新信息更新所述漫游运营商的鉴权数据;其中,所述鉴权更新信息是基于所述归属运营商生成的派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的信息;
接收终端发送的鉴权请求;其中,所述鉴权请求包括终端漫游身份参数和所述终端公钥;
根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥;
基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;
根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权;其中,所述漫游鉴权验证值是使用所述派生漫游网络公钥和终端私钥按照预先约定的算法进行计算获得的结果。
进一步地,所述根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥,包括:
根据所述终端公钥与所述派生漫游网络私钥的对应关系,从所述鉴权数据中查询所述终端漫游身份参数对应的所述派生漫游网络私钥。
进一步地,所述基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值,包括:
将所述派生漫游网络私钥和所述终端公钥进行椭圆标量相乘运算,获得所述漫游鉴权值。
进一步地,所述根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权,包括:
比较所述漫游鉴权值与所述漫游鉴权验证值是否相同;
根据所述漫游鉴权值与所述漫游鉴权验证值的比较结果,确定所述终端是否通过鉴权。
为了实现上述目的,本发明第二方面提供一种鉴权方法,应用于归属运营商,包括:
获取终端的漫游状态信息;
根据所述漫游状态信息判断所述终端是否漫游;
当所述终端漫游时,根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥;
基于所述派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成所述归属运营商的鉴权更新信息;其中,所述终端公钥是所述终端发送至所述归属运营商的;
将所述归属运营商的鉴权更新信息发送至漫游运营商,以供所述漫游运营商根据所述鉴权更新信息更新所述漫游运营商的鉴权数据,并在收到所述终端的鉴权请求后,基于所述鉴权数据和所述鉴权请求对所述终端进行鉴权。
进一步地,所述根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥,包括:
根据所述派生策略和所述漫游状态信息,基于所述漫游网络公钥,使用时钟同步机制生成与所述终端同步的派生漫游网络公钥。
进一步地,所述派生策略包括截取有效位信息和刷新频次,且所述漫游网络公钥为向量形式;
所述根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥,包括:
选取一个所述漫游网络公钥作为目标漫游网络公钥;其中,所述漫游网络公钥的数量为一个或多个,且所述漫游网络公钥按照所述刷新频次进行更新;
根据所述截取有效位信息和所述漫游状态信息,从所述目标漫游网络公钥中截取指定位置的指定位数的元素作为所述派生漫游网络公钥。
进一步地,所述根据所述漫游状态信息判断所述终端是否漫游之后,还包括:
在所述终端没有漫游时,接收所述终端发送的鉴权请求;其中,所述鉴权请求包括终端本地身份参数和所述终端公钥;
根据所述终端公钥,从所述归属运营商的鉴权数据中获取所述终端本地身份参数对应的本地网络私钥;
基于所述本地网络私钥和所述终端公钥按照预先约定的算法进行计算,获得本地鉴权值;
根据所述本地鉴权值与本地鉴权验证值获得鉴权结果,并根据所述鉴权结果确定所述终端是否通过鉴权;其中,所述本地鉴权验证值是使用预存的本地网络公钥和所述终端私钥按照预先约定的算法进行计算获得的结果。
为了实现上述目的,本发明第三方面提供一种鉴权装置,应用于漫游运营商,包括:
第一接收模块,用于接收归属运营商发送的鉴权更新信息;
更新模块,用于根据所述鉴权更新信息更新所述漫游运营商的鉴权数据;其中,所述鉴权更新信息是基于所述归属运营商生成的派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的信息;
第二接收模块,用于接收终端发送的鉴权请求;其中,所述鉴权请求包括终端漫游身份参数和所述终端公钥;
漫游获取模块,用于根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥;
计算模块,用于基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;
漫游判断模块,用于根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权;其中,所述漫游鉴权验证值是使用所述派生漫游网络公钥和所述终端私钥按照预先约定的算法进行计算获得的结果。
为了实现上述目的,本发明第四方面提供一种鉴权装置,应用于归属运营商,包括:
归属获取模块,用于获取终端的漫游状态信息;
归属判断模块,用于根据所述漫游状态信息判断所述终端是否漫游;
第一生成模块,用于当所述终端漫游时,根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥;
第二生成模块,用于基于所述派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成所述归属运营商的鉴权更新信息;其中,所述终端公钥是所述终端发送至所述归属运营商的;
归属发送模块,用于将所述归属运营商的鉴权更新信息发送至漫游运营商,以供所述漫游运营商根据所述鉴权更新信息更新所述漫游运营商的鉴权数据,并在收到所述终端的鉴权请求后,基于所述鉴权数据和所述鉴权请求对所述终端进行鉴权。
本发明具有如下优点:
本发明提供的鉴权方法,接收归属运营商发送的鉴权更新信息,并根据鉴权更新信息更新漫游运营商的鉴权数据;接收终端发送的鉴权请求,并根据鉴权请求中终端公钥,从漫游运营商的鉴权数据中获取鉴权请求中的终端漫游身份参数对应的派生漫游网络私钥;基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权,以在终端没有预存漫游运营商加密终端身份参数的公钥时,安全高效地对终端进行鉴权。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1为本发明第一实施例提供的一种鉴权方法的流程图;
图2为本发明第二实施例提供的一种鉴权方法的流程图;
图3为本发明第三实施例提供的一种鉴权方法的流程图;
图4为本发明第四实施例提供的一种鉴权装置的原理框图;
图5为本发明第五实施例提供的一种鉴权装置的原理框图;
在附图中:
401:第一接收模块 402:更新模块
403:第二接收模块 404:漫游获取模块
405:计算模块 406:漫游判断模块
501:归属获取模块 502:归属判断模块
503:第一生成模块 504:第二生成模块
505:归属发送模块
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明提供的鉴权方法,考虑到终端在漫游等场景下,终端内可能并没有保存漫游运营商对应的公钥,从而无法实现加密鉴权,进而无法保证终端身份参数加密体系的安全性。如果漫游运营商通过网络向用户实时下发漫游运营商的公钥,容易受网络信号质量的影响,从而导致鉴权效率过低。另外,通过网络传输漫游运营商公钥时,一旦该公钥被非法截获,将会导致漫游运营商整个密钥体系面临被破解的风险。有鉴于此,提出一种新的鉴权方法,归属运营商单独设置用于漫游鉴权的密钥对,并基于该漫游鉴权的密钥对生成鉴权更新信息,与漫游运营商同步鉴权更新信息,因此,漫游运营商可以获取最新的、同步的鉴权信息,在漫游运营商收到终端的鉴权请求后,可以基于鉴权数据和鉴权请求对终端进行鉴权,从而可以安全高效地对终端进行鉴权。
图1是本发明第一实施例提供的一种鉴权方法的流程图,应用于漫游运营商。如图1所示,该鉴权方法可包括如下步骤:
步骤S101,接收归属运营商发送的鉴权更新信息,并根据鉴权更新信息更新漫游运营商的鉴权数据。
对于终端或终端用户而言,其对应的运营商包括两类,一类是归属运营商,另一类是漫游运营商。其中,归属运营商是与终端用户签订了固定服务合约,在合约期内为终端提供通信和网络等服务的服务提供商;漫游运营商为当终端临时进入漫游运营商的服务范围,而为终端提供临时性通信和网络服务的服务提供商。可以理解的是,漫游运营商较归属运营商而言,获取的终端数据和终端用户数据较少。因此,在漫游运营商为终端提供某些服务的过程中,可能需要从归属运营商获取相关数据,从而为终端提供所需服务。而鉴权更新信息正是在终端处于漫游状态时,由漫游运营商为终端进行鉴权服务时,需要从归属运营商获取的信息。在一些实施方式中,鉴权更新信息为基于归属运营商生成的派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的信息。具体地,归属运营商生成或预设派生漫游网络公钥和派生漫游网络私钥,并接收终端发送的终端公钥,然后基于预设派生漫游网络公钥、派生漫游网络私钥和终端公钥生成鉴权更新信息。
在实际鉴权中,使用终端身份参数来唯一标识终端,基站根据终端身份参数将终端接入运营商网络,进而再由运营商网络基于终端身份参数对终端进行鉴权和接入操作。常见的终端身份参数包括国际移动用户识别码(即IMSI)、全球唯一临时终端标识(Globally Unique Temporary UE Identity,简称GUTI)和隐藏性用户标识符(Subscription Concealed Identifier,简称SUCI)等。
在5G鉴权中,引入了终端身份参数加密鉴权机制,将终端身份参数进行加密后再进行传输,运营商接收加密的终端身份参数后,对其进行解密获得终端身份参数,进而根据解密的终端身份参数进行鉴权。具体地,设置一对公私密钥对,将公钥存储在用户的SIM卡内,使用公钥对终端身份参数进行加密,将私钥存放在运营商,使用私钥对接收的加密终端身份参数进行解密。但是,在终端处于漫游等状态时,用户的SIM卡内可能并未存储漫游运营商对应的公钥,从而无法进行加密鉴权。而如果在用户SIM卡没有存储漫游运营商的公钥,采用由漫游运营商通过网络向用户实时下发漫游运营商的公钥的方式进行鉴权时,鉴权效率容易受网络信号质量的影响,而且在终端身份参数加密频次较高时,可能导致用户无法及时获取漫游运营商的公钥,从而导致鉴权失败。另外,通过网络传输漫游运营商公钥时,一旦该公钥被非法截获,将会导致漫游运营商整个密钥体系面临被破解的风险。有鉴于此,提出一种新的鉴权方法,在用户的归属运营商判断终端处于漫游状态时,生成鉴权更新信息,并将鉴权更新信息同步至漫游运营商的鉴权数据,在漫游运营商收到终端的鉴权请求后,基于鉴权数据和鉴权请求对终端进行鉴权。
在一个实施方式中,归属运营商在判断出终端处于漫游状态时,基于派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的鉴权更新信息,并利用鉴权更新信息更新归属运营商的安全代理网关中存储的鉴权数据,同时将鉴权更新信息发送至漫游运营商的安全代理网关。漫游运营商根据接收的鉴权更新信息更新漫游运营商的安全代理网关中的鉴权数据,最终实现归属运营商与漫游运营商鉴权数据的同步更新,使得终端在漫游状态下仍可安全高效的进行鉴权。
需要说明的是,派生漫游网络公钥和派生漫游网络私钥为本发明中为实现漫游鉴权设置的新的密钥,由归属运营商设置或生成(终端也会生成同步的派生漫游网络公钥,用于对终端身份参数进行加密,以获得终端漫游身份参数),派生漫游网络公钥和派生漫游网络私钥的生成或设置过程可参考本发明第二实施例中的相关描述。
步骤S102,接收终端发送的鉴权请求。
本实施例中的鉴权请求为终端在漫游状态下发送的鉴权请求,该鉴权请求中包括终端漫游身份参数和终端公钥。终端漫游身份参数为终端使用终端私钥和派生漫游网络公钥对终端身份参数进行加密获得的结果,派生漫游网络公钥为终端根据预设的派生策略和终端的漫游状态信息,使用预存的漫游网络公钥生成的、且与归属运营商同步的派生漫游网络公钥,终端的漫游状态信息包括移动国家代码(Mobile Country Code,简称MCC)、移动网络代码(Mobile Network Code,简称MNC)和公共陆地移动网(Public Land MobileNetwork,简称PLMN)等信息。
在一个实施方式中,终端向基站发送鉴权请求(包括归属鉴权请求和漫游鉴权请求),对应的接入和移动管理网元根据鉴权请求中终端身份参数(包括终端归属身份参数和终端漫游身份参数,分别对应归属鉴权场景和漫游鉴权场景)携带的MCC和MNC确定为终端进行归属鉴权还是漫游鉴权。当根据MCC和MNC确定当前鉴权请求为漫游场景下的鉴权请求时,则接入和移动管理网元将其接入漫游运营商对应的鉴权网元,以对终端进行漫游鉴权。
可以理解的是,相对于终端公钥,还存在对应的终端私钥,终端私钥无法根据终端公钥推导出来。通常情况中,终端私钥存储在终端内部,主要用于对经终端公钥加密的信息进行解密,且一般不向外分发。
步骤S103,根据终端公钥,从鉴权数据中获取终端漫游身份参数对应的派生漫游网络私钥。
在鉴权完成之前,由于终端漫游身份参数为加密参数,漫游运营商无法根据终端漫游身份参数与派生漫游网络私钥进行对应,而终端公钥属于公钥性质,可以向外分发且无法直接根据终端公钥推导出终端私钥,因此,由终端公钥作为连接终端漫游身份参数与派生漫游网络私钥、派生漫游公钥的配对标识,基于终端公钥从漫游运营商的鉴权数据中查询终端漫游身份参数对应的派生漫游网络私钥。
在一个实施方式中,漫游运营商接收鉴权请求后,首先根据鉴权请求中的终端漫游身份参数,获取终端的漫游状态信息,其中,漫游状态信息包括MCC和MNC等。漫游运营商根据漫游状态信息判断终端是否为自己覆盖范围的漫游终端,如果判断终端为自己覆盖范围的漫游终端,则根据终端公钥与派生漫游网络私钥的对应关系,从鉴权数据中查询终端漫游身份参数对应的派生漫游网络私钥。
需要说明的是,归属运营商会按照预设周期更新派生漫游网络公钥,对应的派生漫游网络私钥也随着进行更新,因此,漫游运营商的鉴权数据也随之进行更新。在这种更新机制下,即使派生漫游网络私钥泄露一次,也不会影响归属运营商和漫游运营商系统的安全性。
步骤S104,基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值。
其中,漫游鉴权值的算法为漫游运营商预先约定的算法。在一些实施方式中,采用椭圆标量乘法作为计算漫游鉴权值的算法。椭圆标量乘法是基于椭圆曲线的点的标量乘法,广泛应用于密码体系。
在一个实施方式中,基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值,包括:
漫游运营商预先约定漫游鉴权值的算法为椭圆标量乘法。漫游运营商查询获得终端漫游身份参数对应的派生漫游网络私钥之后,将派生漫游网络私钥和终端公钥进行椭圆标量相乘运算,获得漫游鉴权值。
步骤S105,根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权。
其中,漫游鉴权验证值是使用派生漫游网络公钥和终端私钥按照预先约定的算法进行计算获得的结果。
在一个实施方式中,根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权,包括:
漫游运营商计算获得漫游鉴权值的同时,终端基于派生漫游网络公钥和终端私钥计算获得漫游鉴权验证值,并将漫游鉴权验证值发送至漫游运营商。漫游运营商比较漫游鉴权值与漫游鉴权验证值是否相同。当漫游鉴权值与漫游鉴权验证值相同时,确定终端通过鉴权;当漫游鉴权值与漫游鉴权验证值不相同时,说明终端未通过鉴权。
图2是本发明第二实施例提供的一种鉴权方法的流程图,应用于归属运营商。如图2所示,该鉴权方法可包括如下步骤:
步骤S201,获取终端的漫游状态信息。
其中,终端的漫游状态信息可以反映终端当前所处的地理位置信息和移动网络信息。如,终端的漫游状态信息包括移动国家代码(MCC)和移动网络代码(MNC)等信息。在一些实施方式中,通过终端发送至归属运营商的终端身份参数获取终端的漫游状态信息。
在一个实施方式中,归属运营商接收终端发送的终端身份参数,从终端身份参数中提取MCC和MNC作为终端的漫游状态信息。
步骤S202,根据漫游状态信息判断终端是否漫游。
归属运营商根据漫游状态信息获知终端当前的地理位置和移动网络信息,如果终端所处地理位置不属于归属运营商的服务覆盖范围,或者终端使用的移动网络不是归属运营商的移动网络,则判断终端处于漫游状态。
步骤S203,当终端漫游时,根据预设的派生策略和漫游状态信息,使用预存的漫游网络公钥,生成与终端同步的派生漫游网络公钥。
传统的鉴权方法中,归属运营商只设置一套公私密钥对进行鉴权。在本实施例中,为实现终端在漫游场景下的安全高效鉴权,归属运营商设置了两套公私密钥对,分别用于进行本地鉴权(即归属鉴权)和漫游鉴权。
需要说明的是,在终端的鉴权中包括两类密钥对,一类是终端侧的密钥对,包括终端公钥和终端私钥,另一类是运营商侧的密钥对,在本实施例中包括用于本地鉴权的网络公私密钥对和用于漫游鉴权的网络公私密钥对。在实际应用中,终端将终端公钥发送至运营商侧,将终端私钥保存在终端本地;类似的,运营商将本地鉴权的网络公钥和漫游鉴权的网络公钥发送至终端,将本地鉴权的网络私钥和漫游鉴权的网络私钥保存在运营商本地。在鉴权时,终端使用终端私钥和运营商提供的本地鉴权的网络公钥/漫游鉴权的网络公钥对终端身份参数进行加密后发送至运营商,运营商接收加密的终端身份参数后,按照预先约定的算法,使用本地鉴权的网络私钥/漫游鉴权的网络私钥和终端公钥对终端身份参数进行解密、鉴权等操作。
在一个实施方式中,终端和运营商进行鉴权的初始化设置。
在终端侧,终端预设PUE和SUE,其中,PUE为终端公钥,SUE为终端私钥。终端将PUE发送至归属运营商,将SUE保存在终端本地。
在归属运营商侧,归属运营商设置两套网络密钥对,分别是本地网络密钥对和漫游网络密钥对,其中,本地网络密钥对包括Pnet和Snet,漫游网络密钥对包括Pnet_r和Snet_r。其中,Pnet是本地网络公钥,Snet是本地网络私钥;Pnet_r是漫游网络公钥,Snet_r是漫游网络私钥。需要说明的是,漫游网络密钥对可以包括多组密钥对,归属运营商在使用时从中选择一组作为目标漫游网络密钥对,然后基于目标漫游网络密钥对进行后续操作。
在运营商内预置一套派生策略,用于基于漫游网络密钥对和终端的漫游状态信息,生成对应的派生漫游网络密钥对。派生漫游网络密钥对包括Pnet_r_d和Snet_r_d,其中,Pnet_r_d是派生漫游网络公钥,Snet_r_d是派生漫游网络私钥。
具体地,采用向量形式密钥对作为漫游网络密钥对,派生策略中规定了截取有效位信息和刷新频次等信息。其中,截取有效位信息与终端的漫游状态信息有关,规范了如何根据终端的漫游状态信息从漫游网络公钥中截取指定位置的指定位数作为派生漫游网络公钥,刷新频次为刷新漫游网络密钥对的频率。如,归属运营商预存了N组漫游网络公钥,并按照刷新频次对漫游网络公钥进行刷新;终端的漫游状态信息包括MCC1和MNC1。归属运营商从N组漫游网络公钥中选取Pnet_r1作为目标漫游网络公钥,且假设Pnet_r1是一个包含M个元素的一维向量。基于MCC1和MNC1,并根据派生策略中规范的截取有效位信息,归属运营商确定截取Pnet_r1中第10位至第10+i位的元素作为Pnet_r_d1。其中,i为大于或等于1的整数,且M≥10+i,Pnet_r_d1是派生漫游网络公钥。
对于终端侧而言,同样在终端侧预置相同的派生策略、漫游网络公钥和漫游网络私钥,当终端处于漫游状态时,终端根据派生策略和漫游状态信息,使用漫游网络公钥生成终端侧的Pnet_r_d(终端生成的Pnet_r_d与归属运营商生成的Pnet_r_d是一致且同步的,终端生成Pnet_r_d的过程与归属运营商生成Pnet_r_d的过程类似,在此不再赘述)。进一步地,终端使用Pnet_r_d和SUE生成K,并使用K对IDp进行加密,获得IDpK,然后将IDpK发送至对应的接入和移动管理网元以进行后续的鉴权操作。其中,K为漫游主密钥,IDp为终端身份参数,IDpK为终端漫游身份参数。
需要说明的是,当终端处于本地没有漫游时,终端使用Pnet和SUE对IDp进行加密(此时默认Pnet_r为无效状态),获得IDpL,并基于IDpL进行后续鉴权,其中,IDpL是终端本地身份参数。
还需要说明的是,归属运营商在生成派生漫游网络公钥时,通过使用时钟同步机制或者其它同步方法,来保证归属运营商与终端生成的派生漫游网络公钥是一致的。
可以理解的是,通过设置多组漫游网络公钥,并定期刷新漫游网络公钥,可以增加派生漫游网络公钥的破解难度,从而有效提升终端用户和运营商的安全性。
步骤S204,基于派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成归属运营商的鉴权更新信息。
其中,终端公钥是终端发送至归属运营商的。在一些实施方式中,终端发起注册请求或PDU会话请求时,会向归属运营商发送终端公钥。
在一个实施方式中,归属运营商的UDM(Unified Data Management,统一数据管理)网元中内置派生策略,在判断终端处于漫游状态时,UDM网元生成与终端同步的派生漫游网络公钥。另外,终端发起注册请求或PDU会话请求时,向AMF(Access and MobilityManagement Function,接入和移动管理功能)网元发送终端公钥,AMF网元将终端公钥转发至UDM网元。UDM网元将派生漫游网络公钥和终端公钥发送至ARPF(AuthenticationCredential Repository and Processing Function,认证凭证库和处理功能)网元。ARPF网元接收派生漫游网络公钥和终端公钥后,根据终端公钥与派生漫游网络公钥、派生漫游网络私钥的对应关系,将之前储存的终端公钥与派生漫游网络公钥、派生漫游网络私钥的对应关系进行更新。同时,归属运营商的安全代理网关也根据ARPF网元中存储的内容更新安全代理网关内部存储的终端公钥、派生漫游网络公钥和派生漫游网络私钥的对应关系,并生成对应的鉴权更新信息。
需要说明的是,由于漫游网络公钥和漫游网络私钥按照预设频次进行更新,同样的,派生漫游网络公钥和派生漫游网络私钥也根据漫游网络公钥和漫游网络私钥的更新而更新。在ARPF网元和归属运营商的安全代理网关内,更新终端公钥、派生漫游网络公钥和派生漫游网络私钥的对应关系的方式为动态更新,即使用更新的数据替换对应的过期数据,而非完全覆盖所有的旧数据。
步骤S205,将归属运营商的鉴权更新信息发送至漫游运营商,以供漫游运营商根据鉴权更新信息更新漫游运营商的鉴权数据,并在收到终端的鉴权请求后,基于鉴权数据和鉴权请求对终端进行鉴权。
在一个实施方式中,归属运营商将安全代理网关中的鉴权更新信息发送至漫游运营商的安全代理网关。漫游运营商根据鉴权更新数据更新自己的鉴权数据。当收到终端的鉴权请求后,根据鉴权请求中的终端公钥,从漫游运营商的鉴权数据中获取鉴权请求中终端漫游身份参数对应的派生漫游网络私钥,并基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值,然后根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权。
图3是本发明第三实施例提供的一种鉴权方法的流程图,应用于归属运营商,与本发明第二实施例的区别之处在于:终端没有漫游,在本地对终端进行鉴权。如图3所示,该鉴权方法可包括如下步骤:
步骤S301,获取终端的漫游状态信息。
本实施例中的步骤S301与本发明第二实施例中步骤S201的内容相同,在此不再赘述。
步骤S302,根据漫游状态信息判断终端是否漫游。
本实施例中的步骤S302与本发明第二实施例中步骤S202的内容相同,在此不再赘述。
步骤S303,在终端没有漫游时,接收终端发送的鉴权请求。
其中,鉴权请求包括终端本地身份参数和终端公钥。
在一个实施方式中,终端处于本地时,终端向归属运营商发送鉴权请求,鉴权请求中包括终端本地身份参数和终端公钥。其中,终端本地身份参数是终端使用终端私钥和本地网络公钥对终端身份参数进行加密后获得的参数。
需要说明的是,在终端处于本地时,漫游网络公钥和漫游网络私钥处于失效状态。
步骤S304,根据终端公钥,从归属运营商的鉴权数据中获取终端本地身份参数对应的本地网络私钥。
运营商的鉴权数据中包括终端公钥与本地网络公钥、本地网络私钥之间的对应关系。在需要时,归属运营商可以根据终端公钥与本地网络公钥、本地网络私钥之间的对应关系,从归属运营商预存的鉴权数据中查询获得本地身份参数对应的本地网络私钥。
步骤S305,基于本地网络私钥和终端公钥按照预先约定的算法进行计算,获得本地鉴权值。
其中,本地鉴权值的算法为归属运营商预先约定的算法。在一些实施方式中,采用椭圆标量乘法作为计算本地鉴权值的算法。椭圆标量乘法是基于椭圆曲线的点的标量乘法,广泛应用于密码体系。
在一个实施方式中,归属运营商预先约定本地鉴权值的算法为椭圆标量乘法。归属运营商查询获得终端本地身份参数对应的本地网络私钥之后,将本地网络私钥和终端公钥进行椭圆标量相乘运算,获得本地鉴权值。
步骤S306,根据本地鉴权值与本地鉴权验证值获得鉴权结果,并根据鉴权结果确定终端是否通过鉴权。
其中,本地鉴权验证值是使用预存的本地网络公钥和终端私钥按照预先约定的算法进行计算获得的结果。
在一个实施方式中,本地运营商计算获得本地鉴权值的同时,终端基于本地网络公钥和终端私钥计算获得本地鉴权验证值,并将本地鉴权验证值发送至归属运营商。归属运营商比较本地鉴权值与本地鉴权验证值是否相同。当本地鉴权值与本地鉴权验证值相同时,确定终端通过鉴权;当本地鉴权值与本地鉴权验证值不相同时,说明终端未通过鉴权。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
图4是本发明第四实施例提供的一种鉴权装置的原理框图,应用于漫游运营商。如图4所示,该鉴权装置包括:第一接收模块401、更新模块402、第二接收模块403、漫游获取模块404、计算模块405和漫游判断模块406。
第一接收模块401,用于接收归属运营商发送的鉴权更新信息。
在一个实施方式中,归属运营商在判断出终端处于漫游状态时,基于派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的鉴权更新信息,并利用鉴权更新信息更新归属运营商的安全代理网关中存储的鉴权数据,同时将鉴权更新信息发送至漫游运营商的安全代理网关。漫游运营商通过第一接收模块401接收归属运营商发送的鉴权更新信息,并将鉴权更新信息存储在漫游运营商的安全代理网关的存储单元中。
需要说明的是,派生漫游网络公钥和派生漫游网络私钥为本发明中为实现漫游鉴权设置的新的密钥,由归属运营商设置或生成(终端也会生成同步的派生漫游网络公钥,用于对终端身份参数进行加密,以获得终端漫游身份参数),派生漫游网络公钥和派生漫游网络私钥的生成或设置过程可参考本发明第二实施例中的相关描述。
更新模块402,用于根据鉴权更新信息更新漫游运营商的鉴权数据。
漫游运营商根据接收的鉴权更新信息,通过更新模块402更新漫游运营商的安全代理网关中的鉴权数据,最终实现归属运营商与漫游运营商鉴权数据的同步更新,使得终端在漫游状态下仍可安全高效的进行鉴权。
第二接收模块403,用于接收终端发送的鉴权请求;其中,鉴权请求包括终端漫游身份参数和终端公钥。
本实施例中的鉴权请求为终端在漫游状态下发送的鉴权请求,该鉴权请求中包括终端漫游身份参数和终端公钥。终端漫游身份参数为终端使用终端私钥和派生漫游网络公钥对终端身份参数进行加密获得的结果,派生漫游网络公钥为终端根据预设的派生策略和终端的漫游状态信息,使用预存的漫游网络公钥生成的、且与归属运营商同步的派生漫游网络公钥。
在一个实施方式中,终端向基站发送鉴权请求(包括归属鉴权请求和漫游鉴权请求),运营商通过第二接收模块403将鉴权请求发送至对应的接入和移动管理网元,接入和移动管理网元根据鉴权请求中终端身份参数(包括终端归属身份参数和终端漫游身份参数,分别对应归属鉴权场景和漫游鉴权场景)携带的MCC和MNC确定为终端进行归属鉴权还是漫游鉴权。当根据MCC和MNC确定当前鉴权请求为漫游场景下的鉴权请求时,则接入和移动管理网元将其接入漫游运营商对应的鉴权网元,以对终端进行漫游鉴权。
漫游获取模块404,用于根据终端公钥,从鉴权数据中获取终端漫游身份参数对应的派生漫游网络私钥。
在鉴权完成之前,由于终端漫游身份参数为加密参数,漫游运营商无法根据终端漫游身份参数与派生漫游网络私钥进行对应,因此,由终端公钥作为连接终端漫游身份参数与派生漫游网络私钥、派生漫游公钥的配对标识,基于终端公钥从漫游运营商的鉴权数据中查询终端漫游身份参数对应的派生漫游网络私钥。
在一个实施方式中,漫游运营商接收鉴权请求后,首先根据鉴权请求中的终端漫游身份参数,获取终端的漫游状态信息,其中,漫游状态信息包括MCC和MNC等。漫游运营商根据漫游状态信息判断终端是否为自己覆盖范围的漫游终端,如果判断终端为自己覆盖范围的漫游终端,则根据终端公钥与派生漫游网络私钥的对应关系,通过漫游获取模块404从鉴权数据中查询终端漫游身份参数对应的派生漫游网络私钥。
计算模块405,用于基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值。
其中,漫游鉴权值的算法为漫游运营商预先约定的算法。
在一个实施方式中,漫游运营商预先约定漫游鉴权值的算法为椭圆标量乘法。漫游运营商查询获得终端漫游身份参数对应的派生漫游网络私钥之后,通过计算模块405将派生漫游网络私钥和终端公钥进行椭圆标量相乘运算,获得漫游鉴权值。
漫游判断模块406,用于根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权。
其中,漫游鉴权验证值是使用派生漫游网络公钥和终端私钥按照预先约定的算法进行计算获得的结果。
在一个实施方式中,漫游运营商计算获得漫游鉴权值的同时,终端基于派生漫游网络公钥和终端私钥计算获得漫游鉴权验证值,并将漫游鉴权验证值发送至漫游运营商。漫游运营商通过漫游判断模块406比较漫游鉴权值与漫游鉴权验证值是否相同。当漫游鉴权值与漫游鉴权验证值相同时,确定终端通过鉴权;当漫游鉴权值与漫游鉴权验证值不相同时,说明终端未通过鉴权。
图5是本发明第五实施例提供的一种鉴权装置的原理框图,应用于归属运营商。如图5所示,该鉴权装置包括:归属获取模块501、归属判断模块502、第一生成模块503、第二生成模块504和归属发送模块505。
归属获取模块501,用于获取终端的漫游状态信息。
其中,终端的漫游状态信息可以反映终端当前所处的地理位置信息和移动网络信息。
在一个实施方式中,归属运营商接收终端发送的终端身份参数,从终端身份参数中提取MCC和MNC作为终端的漫游状态信息。
归属判断模块502,用于根据漫游状态信息判断终端是否漫游。
归属运营商根据漫游状态信息获知终端当前的地理位置和移动网络信息,并通过归属判断模块502判断终端是否漫游。具体地,如果终端所处地理位置不属于归属运营商的服务覆盖范围,或者终端使用的移动网络不是归属运营商的移动网络,则判断终端处于漫游状态。
第一生成模块503,用于当终端漫游时,根据预设的派生策略和漫游状态信息,使用预存的漫游网络公钥,生成与终端同步的派生漫游网络公钥。
在一个实施方式中,第一生成模块503在终端漫游时,根据预设的派生策略和漫游状态信息,使用预存的漫游网络公钥,生成与终端同步的派生漫游网络公钥,包括:
在归属运营商侧,归属运营商设置两套网络密钥对,分别是本地网络密钥对和漫游网络密钥对,其中,本地网络密钥对包括Pnet和Snet,漫游网络密钥对包括Pnet_r和Snet_r。其中,Pnet是本地网络公钥,Snet是本地网络私钥;Pnet_r是漫游网络公钥,Snet_r是漫游网络私钥。需要说明的是,漫游网络密钥对可以包括多组密钥对,归属运营商在使用时从中选择一组作为目标漫游网络密钥对,然后基于目标漫游网络密钥对进行后续操作。
在运营商内预置一套派生策略,用于基于漫游网络密钥对和终端的漫游状态信息,生成对应的派生漫游网络密钥对。派生漫游网络密钥对包括Pnet_r_d和Snet_r_d,其中,Pnet_r_d是派生漫游网络公钥,Snet_r_d是派生漫游网络私钥。
具体地,采用向量形式密钥对作为漫游网络密钥对,派生策略中规定了截取有效位信息和刷新频次等信息。其中,截取有效位信息与终端的漫游状态信息有关,规范了如何根据终端的漫游状态信息从漫游网络公钥中截取指定位置的指定位数作为派生漫游网络公钥,刷新频次为刷新漫游网络密钥对的频率。如,归属运营商预存了N组漫游网络公钥,并按照刷新频次对漫游网络公钥进行刷新;终端的漫游状态信息包括MCC1和MNC1。归属运营商从N组漫游网络公钥中选取Pnet_r1作为目标漫游网络公钥,且假设Pnet_r1是一个包含M个元素的一维向量。基于MCC1和MNC1,并根据派生策略中规范的截取有效位信息,归属运营商确定截取Pnet_r1中第10位至第10+i位的元素作为Pnet_r_d1。其中,i为大于或等于1的整数,且M≥10+i,Pnet_r_d1是派生漫游网络公钥。
在终端侧,终端预设PUE和SUE,其中,PUE为终端公钥,SUE为终端私钥。终端将PUE发送至归属运营商,将SUE保存在终端本地。
进一步地,同样在终端侧预置相同的派生策略、漫游网络公钥和漫游网络私钥,当终端处于漫游状态时,终端根据派生策略和漫游状态信息,使用漫游网络公钥生成终端侧的Pnet_r_d(终端生成的Pnet_r_d与归属运营商生成的Pnet_r_d是一致且同步的,终端生成Pnet_r_d的过程与归属运营商生成Pnet_r_d的过程类似,在此不再赘述)。进一步地,终端使用Pnet_r_d和SUE生成K,并使用K对IDp进行加密,获得IDpK,然后将IDpK发送至对应的接入和移动管理网元以进行后续的鉴权操作。其中,K为漫游主密钥,IDp为终端身份参数,IDpK为终端漫游身份参数。
需要说明的是,当终端处于本地没有漫游时,终端使用Pnet和SUE对IDp进行加密(此时默认Pnet_r为无效状态),获得IDpL,并基于IDpL进行后续鉴权,其中,IDpL是终端本地身份参数。
还需要说明的是,归属运营商在生成派生漫游网络公钥时,通过使用时钟同步机制或者其它同步方法,来保证归属运营商与终端生成的派生漫游网络公钥是一致的。
第二生成模块504,用于基于派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成归属运营商的鉴权更新信息。
其中,终端公钥是终端发送至归属运营商的。在一些实施方式中,终端发起注册请求或PDU会话请求时,会向归属运营商发送终端公钥。
在一个实施方式中,归属运营商的UDM网元中内置派生策略,在判断终端处于漫游状态时,UDM网元生成与终端同步的派生漫游网络公钥。另外,终端发起注册请求或PDU会话请求时,向AMF网元发送终端公钥,AMF网元将终端公钥转发至UDM网元。UDM网元将派生漫游网络公钥和终端公钥发送至ARPF网元。ARPF网元接收派生漫游网络公钥和终端公钥后,根据终端公钥与派生漫游网络公钥、派生漫游网络私钥的对应关系,将之前储存的终端公钥与派生漫游网络公钥、派生漫游网络私钥的对应关系进行更新。同时,归属运营商的安全代理网关也根据ARPF网元中存储的内容更新安全代理网关内部存储的终端公钥、派生漫游网络公钥和派生漫游网络私钥的对应关系,并通过第二生成模块504生成对应的鉴权更新信息。
归属发送模块505,用于将归属运营商的鉴权更新信息发送至漫游运营商,以供漫游运营商根据鉴权更新信息更新漫游运营商的鉴权数据,并在收到终端的鉴权请求后,基于鉴权数据和鉴权请求对终端进行鉴权。
在一个实施方式中,归属运营商通过归属发送模块505将安全代理网关中的鉴权更新信息发送至漫游运营商的安全代理网关。漫游运营商根据鉴权更新数据更新自己的鉴权数据。当收到终端的鉴权请求后,根据鉴权请求中的终端公钥,从漫游运营商的鉴权数据中获取鉴权请求中终端漫游身份参数对应的派生漫游网络私钥,并基于派生漫游网络私钥和终端公钥按照预先约定的算法进行计算,获得漫游鉴权值,然后根据漫游鉴权值与漫游鉴权验证值确定终端是否通过鉴权。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本发明的创新部分,本实施方式中并没有将与解决本发明所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种鉴权方法,应用于漫游运营商,其特征在于,包括:
接收归属运营商发送的鉴权更新信息,并根据所述鉴权更新信息更新所述漫游运营商的鉴权数据;其中,所述鉴权更新信息是基于所述归属运营商生成的派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的信息;
接收终端发送的鉴权请求;其中,所述鉴权请求包括终端漫游身份参数和所述终端公钥;
根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥;
基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;
根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权;其中,所述漫游鉴权验证值是所述终端使用所述派生漫游网络公钥和终端私钥按照预先约定的算法进行计算获得的结果。
2.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥,包括:
根据所述终端公钥与所述派生漫游网络私钥的对应关系,从所述鉴权数据中查询所述终端漫游身份参数对应的所述派生漫游网络私钥。
3.根据权利要求1所述的鉴权方法,其特征在于,所述基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值,包括:
将所述派生漫游网络私钥和所述终端公钥进行椭圆标量相乘运算,获得所述漫游鉴权值。
4.根据权利要求1所述的鉴权方法,其特征在于,所述根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权,包括:
比较所述漫游鉴权值与所述漫游鉴权验证值是否相同;
根据所述漫游鉴权值与所述漫游鉴权验证值的比较结果,确定所述终端是否通过鉴权。
5.一种鉴权方法,应用于归属运营商,其特征在于,包括:
获取终端的漫游状态信息;
根据所述漫游状态信息判断所述终端是否漫游;
当所述终端漫游时,根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥;
基于所述派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成所述归属运营商的鉴权更新信息;其中,所述终端公钥是所述终端发送至所述归属运营商的;
将所述归属运营商的鉴权更新信息发送至漫游运营商,以供所述漫游运营商根据所述鉴权更新信息更新所述漫游运营商的鉴权数据,并在收到所述终端的鉴权请求后,基于所述鉴权数据和所述鉴权请求对所述终端进行鉴权。
6.根据权利要求5所述的鉴权方法,其特征在于,所述根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥,包括:
根据所述派生策略和所述漫游状态信息,基于所述漫游网络公钥,使用时钟同步机制生成与所述终端同步的派生漫游网络公钥。
7.根据权利要求5所述的鉴权方法,其特征在于,所述派生策略包括截取有效位信息和刷新频次,且所述漫游网络公钥为向量形式;
所述根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥,包括:
选取一个所述漫游网络公钥作为目标漫游网络公钥;其中,所述漫游网络公钥的数量为一个或多个,且所述漫游网络公钥按照所述刷新频次进行更新;
根据所述截取有效位信息和所述漫游状态信息,从所述目标漫游网络公钥中截取指定位置的指定位数的元素作为所述派生漫游网络公钥。
8.根据权利要求5所述的鉴权方法,其特征在于,所述根据所述漫游状态信息判断所述终端是否漫游之后,还包括:
在所述终端没有漫游时,接收所述终端发送的鉴权请求;其中,所述鉴权请求包括终端本地身份参数和所述终端公钥;
根据所述终端公钥,从所述归属运营商的鉴权数据中获取所述终端本地身份参数对应的本地网络私钥;
基于所述本地网络私钥和所述终端公钥按照预先约定的算法进行计算,获得本地鉴权值;
根据所述本地鉴权值与本地鉴权验证值获得鉴权结果,并根据所述鉴权结果确定所述终端是否通过鉴权;其中,所述本地鉴权验证值是使用预存的本地网络公钥和所述终端私钥按照预先约定的算法进行计算获得的结果。
9.一种鉴权装置,应用于漫游运营商,其特征在于,包括:
第一接收模块,用于接收归属运营商发送的鉴权更新信息;
更新模块,用于根据所述鉴权更新信息更新所述漫游运营商的鉴权数据;其中,所述鉴权更新信息是基于所述归属运营商生成的派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥生成的信息;
第二接收模块,用于接收终端发送的鉴权请求;其中,所述鉴权请求包括终端漫游身份参数和所述终端公钥;
漫游获取模块,用于根据所述终端公钥,从所述鉴权数据中获取所述终端漫游身份参数对应的所述派生漫游网络私钥;
计算模块,用于基于所述派生漫游网络私钥和所述终端公钥按照预先约定的算法进行计算,获得漫游鉴权值;
漫游判断模块,用于根据所述漫游鉴权值与漫游鉴权验证值确定所述终端是否通过鉴权;其中,所述漫游鉴权验证值是所述终端使用所述派生漫游网络公钥和所述终端私钥按照预先约定的算法进行计算获得的结果。
10.一种鉴权装置,应用于归属运营商,其特征在于,包括:
归属获取模块,用于获取终端的漫游状态信息;
归属判断模块,用于根据所述漫游状态信息判断所述终端是否漫游;
第一生成模块,用于当所述终端漫游时,根据预设的派生策略和所述漫游状态信息,使用预存的漫游网络公钥,生成与所述终端同步的派生漫游网络公钥;
第二生成模块,用于基于所述派生漫游网络公钥、预设的派生漫游网络私钥和终端公钥,生成所述归属运营商的鉴权更新信息;其中,所述终端公钥是所述终端发送至所述归属运营商的;
归属发送模块,用于将所述归属运营商的鉴权更新信息发送至漫游运营商,以供所述漫游运营商根据所述鉴权更新信息更新所述漫游运营商的鉴权数据,并在收到所述终端的鉴权请求后,基于所述鉴权数据和所述鉴权请求对所述终端进行鉴权。
CN202010670117.6A 2020-07-13 2020-07-13 一种鉴权方法及装置 Active CN111836262B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010670117.6A CN111836262B (zh) 2020-07-13 2020-07-13 一种鉴权方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010670117.6A CN111836262B (zh) 2020-07-13 2020-07-13 一种鉴权方法及装置

Publications (2)

Publication Number Publication Date
CN111836262A CN111836262A (zh) 2020-10-27
CN111836262B true CN111836262B (zh) 2022-08-12

Family

ID=72922725

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010670117.6A Active CN111836262B (zh) 2020-07-13 2020-07-13 一种鉴权方法及装置

Country Status (1)

Country Link
CN (1) CN111836262B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112560073A (zh) * 2021-02-19 2021-03-26 支付宝(杭州)信息技术有限公司 验证数据来源可靠性的方法、装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5940512A (en) * 1996-06-21 1999-08-17 Nec Corporation Roaming method capable of improving roaming registration procedure
KR20020041857A (ko) * 2000-11-29 2002-06-05 오경수 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법
CN1697367A (zh) * 2004-04-02 2005-11-16 微软公司 一种用于通过通信网络不暴露专用数据对密码保护的专用数据进行恢复的方法和系统
CN103581872A (zh) * 2012-07-20 2014-02-12 航天信息股份有限公司 移动终端的业务漫游的处理方法和系统
CN110602765A (zh) * 2019-10-11 2019-12-20 中国联合网络通信集团有限公司 一种网络选择方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5940512A (en) * 1996-06-21 1999-08-17 Nec Corporation Roaming method capable of improving roaming registration procedure
KR20020041857A (ko) * 2000-11-29 2002-06-05 오경수 공개키 기반구조에서 개인키 이동과 로밍서비스를 위한이중암호화 및 송/수신방법
CN1697367A (zh) * 2004-04-02 2005-11-16 微软公司 一种用于通过通信网络不暴露专用数据对密码保护的专用数据进行恢复的方法和系统
CN103581872A (zh) * 2012-07-20 2014-02-12 航天信息股份有限公司 移动终端的业务漫游的处理方法和系统
CN110602765A (zh) * 2019-10-11 2019-12-20 中国联合网络通信集团有限公司 一种网络选择方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
S3-162103 "Protect the Permanent or Long Termn User Identity with Public Key Techologies";Huawei等;《3GPP tsg_sa\WG3_Security》;20161115;全文 *
S3-180681 "OAuth based service authorization framework for SBA in roaming scenarios";Nokia;《3GPP tsg_sa\WG3_Security》;20180219;全文 *

Also Published As

Publication number Publication date
CN111836262A (zh) 2020-10-27

Similar Documents

Publication Publication Date Title
US9161215B2 (en) Wireless device, registration server and method for provisioning of wireless devices
US8559633B2 (en) Method and device for generating local interface key
KR101170029B1 (ko) 자체-동기화 인증 및 키 동의 프로토콜
US8374582B2 (en) Access method and system for cellular mobile communication network
EP1001570A2 (en) Efficient authentication with key update
CN110035037B (zh) 安全认证方法、相关设备及系统
AU1828001A (en) Method and apparatus for performing a key update using update key
CN101163003A (zh) Sim卡使用umts终端和umts系统时终端认证网络的系统和方法
EP3637815A1 (en) Data transmission method, and device and system related thereto
CN111836262B (zh) 一种鉴权方法及装置
US11202192B2 (en) Registering user equipment with a visited public land mobile network
KR20080093449A (ko) Cdma 네트워크에서 gsm 인증
CN101160784B (zh) 一种密钥更新协商方法及装置
CN114390521A (zh) 密钥更新方法、装置、设备及存储介质
CN111770496B (zh) 一种5g-aka鉴权的方法、统一数据管理网元及用户设备
EP3952239A1 (en) Method and device for authenticating a base station
EP3488627B1 (en) Proof-of-presence indicator
CN111885600A (zh) 双卡终端的接入方法、终端及服务器
KR102017373B1 (ko) 이동통신기반 사물인터넷 장치의 가입자 인증 방법, 가입자 인증을 위한 사물 인터넷 장치 및 가입자 인증을 위한 기지국 장치
CN110557753A (zh) 一种基于中继接入的dns重定向方法
CN114727285A (zh) 一种鉴权方法、鉴权网元及安全锚点实体
WO2024079155A1 (en) Method and device for authenticating a primary station
CN117880806A (zh) 证书分发方法、装置、设备和存储介质
CN112235736A (zh) 漫游场景下的用户标识认定方法、计费方法及amf

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant