CN112118568B - 一种设备身份鉴权的方法及设备 - Google Patents
一种设备身份鉴权的方法及设备 Download PDFInfo
- Publication number
- CN112118568B CN112118568B CN201910544695.2A CN201910544695A CN112118568B CN 112118568 B CN112118568 B CN 112118568B CN 201910544695 A CN201910544695 A CN 201910544695A CN 112118568 B CN112118568 B CN 112118568B
- Authority
- CN
- China
- Prior art keywords
- core network
- terminal
- authentication
- network equipment
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
本发明实施例公开了一种设备身份鉴权的方法及设备,该方法包括:终端获取核心网预置的信息;所述终端根据预先存储的主密钥和所述核心网预置的信息生成认证密钥;向所述核心网设备发送经所述终端预设的公钥进行加密后的鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,其中所述公钥与所述核心网预设的私钥对应;接收所述核心网设备针对所述鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信。该方法核心网设备将不再存储终端的主密钥,保护了终端的主密钥的安全,提高了通信安全性。
Description
技术领域
本申请涉及无线通信技术领域,尤其涉及一种设备身份鉴权的方法及设备。
背景技术
在无线通信场景中,终端与核心网进行数据传输之前,核心网设备需要对终端进行认证鉴权,从而避免核心网遭受非法访问和攻击,以及避免影响其他合法终端正常访问核心网资源。当前,现有进行鉴权的方式是使终端和核心网双方预先共享一个主密钥。然后,双方通过这个主密钥和AKA(Authentication and key agreement,认证和密钥协商)协议来实现终端和核心网设备的双向认证。认证鉴权通过后,终端和核心网设备基于各自的主密钥导出加密密钥和完整性密钥,用于终端和核心网设备之间的数据安全传输。
上述认证鉴权的方法存在的主要问题是:运营商需要将终端上的主密钥共享给核心网设备,可能导致存储在核心网设备上的主密钥泄露,例如,当核心网设备被攻破,从而使得终端可能被仿冒或者被控制用来发起DDOS攻击。与此同时,核心网设备需要维护海量终端分别对应的主密钥,密钥维护成本大。并且,核心网设备与终端之间使用的主密钥是永久性密钥,不会更新,从而因为密钥长期不更新,也使得通信安全存在隐患。综上所述,现有的设备进行认证鉴权的方法安全性较差。
发明内容
本申请提供一种设备身份鉴权的方法及设备,用以避免现有技术进行认证鉴权安全性较低的问题。
第一方面,本申请实施例提供一种设备身份鉴权的方法,终端获取核心网预置的信息;所述终端根据预先存储的主密钥和所述核心网预置的信息生成认证密钥;所述终端向所述核心网设备发送鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,且所述鉴权请求报文经所述终端预设的公钥进行加密,其中所述公钥与所述核心网预设的私钥对应;所述终端接收所述核心网设备针对所述鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信。
基于该方案,所述核心网设备将不再存储和感知所述终端的主密钥,从而保护了所述终端的主密钥的安全。所述核心网设备为进行鉴权认证所存储的为不可逆密文,不是秘密信息,维护简单,减少了所述核心网设备因维护所述终端主密钥的开销。与此同时,所述终端与所述核心网设备是基于所述终端生成的认证密钥进行鉴权认证,所述认证密钥可随时更新,提高了通信安全性。
在一种可能的实现方式中,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;所述终端在接收到所述鉴权响应报文后,使用所述临时根密钥对所述鉴权响应报文中包括的加密信息进行解密,得到第二随机数,所述加密信息为所述核心网设备使用所述临时根密钥对所述第一随机数进行加密得到;所述终端确定解密得到的所述第二随机数与所述终端生成的所述第一随机数相同之后,所述终端与所述核心网设备进行通信。
基于该方案,本申请实施例提供了一种终端鉴权核心网设备的方法,即通过比对核心网设备发送的鉴权响应报文中携带的随机数与本地随机数是否一致,从而确定所述核心网设备是否认证鉴权成功。与此同时,为保证安全性,本申请实施例还提供了一种利用临时根密钥进行加密以及解密的方法,因所述临时根密钥是所述终端随机生成的,可实时更新,有效提升了认证鉴权的安全性。
相应地,所述鉴权请求报文中还包括:所述终端的唯一标识和/或防重放参数;所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN。
基于该方案,所述终端发送的鉴权请求报文中通过携带唯一标识和/或防重放参数,从而可以使接收到所述鉴权请求报文的核心网设备确定所述终端的有效性,并且当所述鉴权请求报文中携带防重放参数时,还可有效提高所述鉴权请求报文的唯一性。
在一种可能的实现方式中,所述鉴权响应报文中还包括全局唯一临时标识GUTI,所述GUTI为所述核心网设备根据所述终端的唯一标识进行计算得到的;所述终端与所述核心网设备进行通信,包括:所述终端与所述核心网设备进行通信的报文中携带所述GUTI。
基于该方案,所述核心网设备在向所述终端发送鉴权响应报文时,将接收到的所述终端的唯一标识计算得到的GUTI携带在所述鉴权请求报文中,从而辅助所述终端与所述核心网设备数据传输。
在一种可能的实现方式中,所述核心网预置的信息包括所述核心网设备信息;所述核心网设备信息为以下任意一项或组合:所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
基于该方案,所述核心网预置的信息可以通过多种不同信息进行表示,适应性更强。
第二方面,本申请实施例还提供一种设备身份鉴权的方法,核心网设备接收终端发送的使用所述终端预先存储的公钥加密的鉴权请求报文;所述鉴权请求报文中包括认证密钥,所述认证密钥为所述终端根据所述终端预先存储的主密钥和所述核心网预置的信息生成的;所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密,获取所述鉴权请求报文中的认证密钥,其中所述私钥与所述终端预设的公钥对应;所述核心网设备使用预设的密文函数对所述认证密钥进行运算,得到第一不可逆密文;所述核心网设备将所述第一不可逆密文与预先存储的第二不可逆密文比对,在比对相同时向所述终端发送用于指示鉴权通过的鉴权响应报文。
基于该方案,所述核心网设备将不再存储和感知所述终端的主密钥,从而保护了所述终端的主密钥的安全。所述核心网设备为进行鉴权认证所存储的为不可逆密文,不是秘密信息,维护简单,减少了所述核心网设备因维护所述终端主密钥的开销。与此同时,所述终端与所述核心网设备是基于所述终端生成的认证密钥进行鉴权认证,所述认证密钥可随时更新,提高了通信安全性。
在一种可能的实现方式中,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密之后,所述核心网设备使用所述临时根密钥对所述第一随机数进行加密,得到加密信息,并将所加密信息携带在所述鉴权响应报文中。
基于该方案,本申请实施例提供了一种终端鉴权核心网设备的方法,即通过比对核心网设备发送的鉴权响应报文中携带的随机数与本地随机数是否一致,从而确定所述核心网设备是否认证鉴权成功。与此同时,为保证安全性,本申请实施例还提供了一种利用临时根密钥进行加密以及解密的方法,因所述临时根密钥是所述终端随机生成的,可实时更新,有效提升了认证鉴权的安全性。
在一种可能的实现方式中,所述鉴权请求报文中还包括:所述终端的唯一标识和/或防重放参数,所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN;所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密之后,使用预设的密文函数对所述认证密钥进行运算之前,还包括:所述核心网设备在确认所述唯一标识存在和/或所述时间戳在当前时间之前,则确认所述鉴权请求报文有效。
基于该方案,所述核心网在收到所述终端发送的鉴权请求报文后,先根据所述鉴权请求报文红携带的唯一标识和/或防重放参数,确定所述鉴权请求报文的有效性,从而在确定所述鉴权请求报文有效后在进行鉴权认证,避免了针对无效鉴权请求报文鉴权认证所产生的系统开销。
在一种可能的实现方式中,所述核心网设备根据所述唯一标识生成全局唯一临时标识GUTI,并将所述GUTI携带在所述鉴权响应报文中。
基于该方案,所述核心网设备在向所述终端发送鉴权响应报文时,将接收到的所述终端的唯一标识计算得到的GUTI携带在所述鉴权请求报文中,从而辅助所述终端与所述核心网设备数据传输。
在一种可能的实现方式中,所述核心网设备根据所述唯一标识生成GUTI,包括:所述核心网设备随机生成第三随机数;将所述时间戳、所述第三随机数、所述唯一标识以及预设的第一可选参数代入预设的第一函数,计算得到合成值;所述核心网设备对所述合成值进行哈希运算,将得到的哈希值作为用户隐藏标识TMSI;所述核心网设备将所述TMSI以及预设的第二可选参数代入预设的第二函数,计算得到所述GUTI。
该方案可以有效降低为所述唯一标识生成的所述GUTI发送碰撞的几率,确保所述GUTI的唯一性、不可预测性和安全性。
在一种可能的实现方式中,所述核心网设备生成所述GUTI后删除所述第三随机数。
基于该方案,所述核心网设备生成所述GUTI后删除所述第三随机数,有效降低了其他设备获取生成所述GUTI所使用的随机数,从而破解所述GUTI对应的所述唯一标识,提升了安全性。
在一种可能的实现方式中,所述核心网预置的信息包括所述核心网设备信息;所述核心网设备信息为以下任意一项或组合:所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
基于该方案,所述核心网预置的信息可以通过多种不同信息进行表示,适应性更强。
第三方面,本申请实施例还提供一种终端,该终端可以用来执行上述第一方面及第一方面的任意可能的实现方式中的操作。例如,终端可以包括用于执行上述第一方面或第一方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第四方面,本申请实施例还提供了一种核心网设备,该核心网设备可以用来执行上述第二方面及第二方面的任意可能的实现方式中的操作。例如,核心网设备可以包括用于执行上述第二方面或第二方面的任意可能的实现方式中的各个操作的模块或单元。比如包括处理单元和通信单元。
第五方面,本申请实施例还提供一种通信系统,包括上述第三方面的终端和上述第四方面的核心网设备。
第六方面,本申请实施例提供了一种芯片系统,包括处理器,可选的还包括存储器;其中,存储器用于存储计算机程序,处理器用于从存储器中调用并运行计算机程序,使得安装有芯片系统的通信设备执行上述第一方面或第一方面的任意可能的实现方式中的任一方法;和/或,使得安装有芯片系统的通信设备执行上述第二方面或第二方面的任意可能的实现方式中的任一方法。
第七方面,本申请实施例提供了一种计算机程序产品,计算机程序产品包括:计算机程序代码,当计算机程序代码被通信设备的通信单元、处理单元或收发器、处理器运行时,使得通信设备执行上述第一方面或第一方面的任意可能的实现方式中的任一方法;和/或,使得安装有芯片系统的通信设备执行上述第二方面或第二方面的任意可能的实现方式中的任一方法。
第八方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有程序,程序使得通信设备(例如,终端)执行上述第一方面或第一方面的任意可能的实现方式中的任一方法;和/或,使得安装有芯片系统的通信设备(例如,核心网设备)执行上述第二方面或第二方面的任意可能的实现方式中的任一方法。
附图说明
图1为本申请提供的一种设备身份鉴权的系统示意图;
图2为本申请提供的鉴权场景一下的设备鉴权的流程示意图;
图3为本申请提供的鉴权场景二下的设备鉴权的流程示意图;
图4为本申请提供的第一种终端示意图;
图5为本申请提供的第二种终端示意图;
图6为本申请提供的第一种核心网设备示意图;
图7为本申请提供的第二种核心网设备示意图。
具体实施方式
目前,终端与核心网在通信之前进行认证鉴权的流程是:终端预先设置一个主密钥,并将所述主密钥共享给核心网设备,所述核心网设备维护所述主密钥的安全性。当需要进行数据传输时,所述终端向所述核心网设备发送鉴权请求,所述终端与所述核心网设备通过共享的所述主密钥和AKA协议来实现双方的双向认证。并且在认证鉴权通过后,终端和核心网设备基于各自维护的所述主密钥导出加密密钥和完整性密钥,从而根据所述加密密钥和完整性密钥保证终端和核心网设备之间的数据安全传输。
但是,上述认证鉴权的方法存在的主要问题是:运营商需要将终端设置的主密钥共享给核心网设备,首先需要保证该核心网设备的可靠性,但即使所述核心网设备当前可靠,但在后续通信过程中依旧可能导致存储在核心网设备上的主密钥泄露。例如,当核心网设备被攻破,则可能会导致存储在所述核心网设备上的大量终端共享的主密钥泄露,从而使得终端可能被仿冒或者被控制用来发起DDOS攻击。与此同时,核心网设备需要维护海量终端共享的主密钥,保证所述主密钥在所述核心网设备中存储安全,以及保证所述主密钥在通信过程中安全传输。另外,所述核心网设备还要维护所述终端与所述主密钥的对应关系,密钥维护成本大,这种现象尤其当存储终端共享的主密钥的数量增加时而越发突出。并且,所述核心网设备与终端之间使用的主密钥是永久性密钥,不会更新,这也会导致终端和核心网设备之间的通信存在安全隐患。
为解决该问题,本申请实施例提供一种设备身份认证的方法。本申请实施例的技术方案可以应用于各种通信系统,例如:长期演进(long term evolution,LTE)系统,全球互联微波接入(worldwide interoperability for microwave access,WiMAX)通信系统,未来的第五代(5th Generation,5G)系统,如新一代无线接入技术(new radio accesstechnology,NR),及未来的通信系统,如6G系统等。
以5G系统(也可以称为New Radio系统)为例,具体来说,5G系统中定义了新的通信场景:超高可靠低时延通信(Ultra-Reliable and Low-Latency Communication,URLLC)、增强移动宽带(Enhanced Mobile Broadband,eMBB)和海量机器连接通信(MassiveMachine Type Communication,mMTC),这些通信场景对通信安全有更严苛的需求。因此,终端与核心网进行数据传输之前,认证鉴权作为最基本的安全防范技术,在5G通信过程中尤为重要。
为了保证终端和核心网的通信安全性,本申请实施例提出了一种设备身份鉴权的方法,通过该方法,所述终端无需将自身的主密钥共享给所述核心网设备,而是所述终端与所述核心网设备可以基于所述终端生成的认证密钥进行鉴权认证,且所述认证密钥不直接存储在核心网设备中,而是在终端需要鉴权认证时将所述认证密钥进行不可逆加密后发送给所述核心网设备,以使所述核心网设备根据接收到的加密后的所述认证密钥进行鉴权认证。
由于在该方法中所述核心网设备可以不再存储和感知所述终端的主密钥,从而可以保护所述终端的主密钥的安全,和减少所述核心网设备因维护所述终端主密钥的开销。与此同时,所述终端与所述核心网设备是基于所述终端生成的认证密钥进行鉴权认证,且终端生成的所述认证密钥可随时更新,因此,该方法还可以提高终端和核心网设备之间的通信安全性。
为便于理解本申请实施例,首先以图1中示出的通信系统为例详细说明本申请实施例适用的通信系统。如图1所示,该通信系统包括核心网设备100、网络设备101和终端102。
网络设备101,是通信系统中为终端102提供无线通信功能的设备,可以将终端102接入到无线网络中。网络设备101也可称为基站(base station,BS)。目前,一些网络设备101的举例为:5G中的下一代基站(g nodeB,gNB)、演进型节点B(evolved node B,eNB)、无线网络控制器(radio network controller,RNC)、节点B(node B,NB)、基站控制器(basestation controller,BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如,home evolved nodeB,或home node B,HNB)、基带单元(baseBand unit,BBU)、传输点(transmitting and receiving point,TRP)、发射点(transmitting point,TP)、移动交换中心等。
终端102,是一种向用户提供语音和/或数据连通性的设备,也可以称为用户设备(user equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。本申请的实施例中的终端可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(virtualreality,VR)终端、增强现实(augmented reality,AR)终端、工业控制(industrialcontrol)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remotemedical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportationsafety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。
核心网设备100从协议上规定就是起到核心交换或者呼叫路由功能的网元,主要作用是提供用户连接、对用户管理以及整个呼叫信令控制和承载建立。
其中,所述核心网设备可包括AMF(AuthenticationManagementFunction,认证管理功能)网元和UDM(Unified data management,统一数据管理)网元。
所述UDM网元用于存储所述核心网设备的信息。
所述AMF网元在鉴权认证中用于确定所述终端102鉴权认识是否通过,通过则向所述终端102返回认证结果等信息,若不通过,则确认所述终端鉴权失败,拒绝后续与所述终端的数据传输,即拒绝所述终端的接入请求。
需要说明的是,所述核心网设备100在与终端102进行通信交互的过程中,需要通过网络设备101进行数据转发。
本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。应理解,图1仅为便于理解而示例的简化示意图,该通信系统中还可以包括其他网络设备或者还可以包括其他终端,图1中未予以画出。
以下再对本申请实施例中涉及的部分用语进行解释说明,以便于理解。
1)密钥,是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。
2)密码算法,用于加密和解密的数学函数。密码算法是密码协议的基础,用于保证信息的安全,提供鉴别、完整性、抗抵赖等服务。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等。
3)非对称密码算法,是一种密钥的保密方法,通常需要公钥和私钥两个密钥。非对称密码体制的特点是算法强度复杂、安全性依赖于算法与密钥,但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。
其中,公钥与私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。在通信系统使用这个密钥对的时候,如果发送设备使用其中一个密钥加密一段原始数据时,接收设备必须用另一个密钥解密得到原始数据。比如如果发送设备使用公钥加密数据,则接收设备就必须用私钥解密;如果发送设备使用私钥加密,则接收设备必须用公钥解密;否则解密将不会成功。
4)对称密码算法,是指加密和解密使用相同密钥的加密算法。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
5)哈希函数,主要用于信息安全领域中加密算法,它把一些不同长度的信息转化成杂乱的128位的编码里,叫做哈希值。
另外,本申请实施例中的术语“系统”和“网络”可被互换使用。“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中,A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。以下至少一项(个)下或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
除非有相反的说明,本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
此外,本申请实施例和权利要求书及附图中的术语“包括”和“具有”不是排他的。例如,包括了一系列步骤或模块的过程、方法、系统、产品或设备,不限定于已列出的步骤或模块,还可以包括没有列出的步骤或模块。
通过本申请实施例中上述应用场景的介绍,下面针对所述终端与所述核心网设备进行双向认证鉴权的过程进行具体介绍。
鉴权认证前置条件:所述终端预先设置主密钥Mkey以及公钥PK,所述核心网设备预先设置用于鉴权所述终端发送的认证密钥的不可逆密文和私钥SK。其中,所述核心网设备中的预设信息可以存储在所述核心网设备中的UDM网元中,且所述终端预设的公钥与所述核心网设备预设的私钥对应,是同一密钥对。
进一步的,在进行通信鉴权时,网络设备会在其覆盖范围内广播消息,所述消息中携带网络设备所属核心网的预置信息。
其中,所述核心网预置的信息可以为所述核心网的设备信息,具体包括下列中的部分或全部:
所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
在所述网络设备覆盖范围内的终端在接收到所述网络设备广播的所述消息后,确定所述消息中携带的所述核心网设备的预置信息。假设,所述核心网设备的预置信息为所述核心网设备的设备标识,例如设备标识为CN2485,则所述终端根据预先设置的所述主密钥和所述设备标识CN2485生成一个认证密钥Akey。
例如:Akey=pbkdf2(Mkey,CN2485,10000)。
本申请实施例中,在进行鉴权以及数据通信过程中可分为多种不同场景,下面根据不同场景分别进行介绍:
鉴权场景一:所述终端向所述核心网设备请求鉴权认证。
所述终端将上述生成的所述认证密钥携带在发送给所述核心网设备的鉴权请求报文中。其中,为了保证所述鉴权请求报文中信息(例如所述认证密钥)的安全性,所述终端在通过网络设备向所述核心网设备发送所述鉴权请求报文前,所述终端可以利用预设的公钥对所述鉴权请求报文进行加密,并将加密后的鉴权请求报文通过所述网络设备发送给所述核心网设备。
相应的,所述核心网设备在接收到加密后的所述鉴权请求报文后,使用预先存储的私钥对所述鉴权请求报文进行解密。解密后,所述核心网设备获取所述鉴权请求报文中的携带的所述认证密钥。然后,所述核心网设备使用预设的密文函数对所述认证密钥进行运算,通过运算得到所述认证密钥对应的第一不可逆密文。所述核心网设备比对所述第一不可逆密文与所述预设的不可逆密文是否一致;若一致,则确定所述终端在核心网设备侧的鉴权认证通过,向所述终端发送成功认证结果,并继续进行所述核心网设备在所述终端侧的鉴权认证;若不一致,则拒绝后续与所述终端的数据传输。
在一个实现方式中,所述终端发送给所述核心网设备的所述鉴权请求报文中还可以包括所述终端的唯一标识和/或防重放参数。其中,所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN。假设,所述终端发送给所述核心网设备的所述鉴权请求报文中包括所述终端的唯一标识3366,以及时间戳11:30,则所述核心网设备在获取所述鉴权请求报文中的信息后,先验证所述鉴权请求报文中的所述终端的所述唯一标识3366以及所述时间戳11:30的有效性:
若所述核心网设备通过查询对应的唯一标识数据库确定所述唯一标识3366真实存在,且所述时间戳11:30在当前时间之前且在预设时间范围内,则所述核心网设备确定所述鉴权请求报文中的所述终端的所述唯一标识3366以及所述时间戳11:30的有效,即所述核心网设备确定所述鉴权请求报文为有效的鉴权请求报文。然后,所述核心网设备继续验证所述鉴权请求报文中的所述认证密钥,从而判断所述终端是否鉴权成功。相反的,若所述核心网设备通过验证,确定所述鉴权请求报文为无效的鉴权请求报文,则所述核心网设备直接拒绝所述终端的接入请求,不在继续进行鉴权验证。
在另一个实现方式中,所述终端发送给所述核心网设备的所述鉴权请求报文中还可以包括所述终端生成的第一随机数和临时根密钥。
其中,所述临时根密钥为所述终端随机生成的,用于替代所述主密钥导出鉴权以及通信过程中需要使用的加密密钥以及完整性密钥。所述第一随机数用于所述核心网设备向终端进行鉴权认证。
具体的,所述核心网设备在向发起所述终端鉴权认证请求时,可以将所述第一随机数携带在所述鉴权响应报文中,从而使所述终端在收到所述核心网设备发送的所述鉴权响应报文后,比对所述鉴权响应报文中的随机数与本地生成且发送给所述核心网设备的第一随机数是否一致来确定所述核心网设备是否鉴权成功。
在一个设计中,基于图1所示的通信系统架构,本申请实施例提供一种在鉴权场景一下的认证鉴权的详细流程。其中,在所述系统架构中核心网设备包含的AMF网元以及UDM网元。参阅图2所示,认证鉴权的流程中具体包括以下步骤:
S200:(前置条件):核心网设备中的UDM网元提前预置私钥和用于验证终端的认证密钥的不可逆密文;终端预置公钥和用于生成认证密钥的主密钥。
其中,所述终端预置的公钥与所述核心网设备预置的私钥为通过一种算法得到的一个密钥对。即在通信系统使用所述终端使用所述公钥加密的信息,所述核心网设备可以通过所述私钥进行解密;所述核心网设备使用所述私钥加密的信息,所述终端可以使用所述公钥进行解密。
S201:网络设备向其覆盖范围内广播消息,消息中携带所述网络设备连接的核心网设备的核心网预置信息。
其中,所述核心网预置信息可以是所述核心网设备预先发送给所述网络设备,也可以是所述网络设备在需要进行广播前向所述核心网设备获取的。
S202:在所述网络设备范围内的所述终端接收到所述消息,并基于预置的所述主密钥和所述消息中的核心网预置信息生成一个访问所述核心网设备的认证密钥。
S203:所述终端生成第一随机数和临时根密钥,并确定时间戳。
S204:所述终端基于所述第一随机数、所述临时根密钥、所述时间戳、所述终端唯一标识以及所述认证密钥构造鉴权请求报文,并利用所述公钥对所述鉴权请求报文进行加密。
S205:所述终端将加密后的所述鉴权请求报文通过空口发给所述网络设备。
S206:所述网络设备将加密后的所述鉴权请求报文转发给所述核心网设备的AMF网元。
S207:所述AMF网元将加密后的所述鉴权请求报文转发给所述核心网设备的UDM网元解析。
S208:所述UDM网元利用所述私钥解析加密后的所述鉴权请求报文,获取所述鉴权请求报文中的内容。
S209:所述UDM网元在验证所述唯一标识和所述时间戳有效后,根据预置的不可逆算法计算所述认证密钥的不可逆密文。
S210:所述UDM网元比较本地预置的不可逆密文与计算所述认证密钥得到的不可逆密文是否一致。
S211:所述UDM网元将比较结果返回给所述AMF网元。
其中,如果一致,则证明所述终端是合法的,在该情况下所述UDM网络可以利用所述临时根密钥导出加密密钥和完整性密钥,并将所述加密密钥、所述完整性密钥,所述第一随机数,所述唯一标识和认证成功结果一起返回给所述AMF网元。
如果不一致,则直接返回认证失败结果给所述AMF网元。
S212:所述AMF网元根据所述UDM网元返回的认证结果确定是否允许所述终端接入。
若所述UDM网元返回的是认证失败的结果,则所述AMF网元直接拒绝所述终端的接入请求。
如果UDM网元返回的是认证成功的结果,则所述AMF网元先为所述唯一标识生成一个GUTI(globally unique temporary identity,全局唯一的临时标识)。
然后,所述AMF网元利用所述UDM网元发送的所述加密密钥和所述完整性密钥,加密所述第一随机数和所述GUTI,并将所述加密信息(即加密后的所述第一随机数和所述GUTI)和认证成功的结果携带鉴权响应报文中发送给所述终端。
所述核心网设备通过将所述唯一标识转换为所述GUTI,可以避免其他设备直接获取到该唯一标识,从而可以有效保障所述终端的所述唯一标识的安全性。
鉴权场景二:所述核心网设备向所述终端请求鉴权认证。
所述核心网设备在根据接收到的所述终端发送的鉴权请求报文,确定所述终端鉴权认证成功后,则需要向所述终端继续发送鉴权认证信息,以实现双向认证,增强通信的安全性。其中,所述鉴权认证信息可以携带在发送给所述终端的鉴权响应报文中。
基于以上实施例,本申请还提供一种核心网设备向终端进行鉴权认证的方法。具体的,在所述终端发送给所述核心网设备的鉴权请求报文中携带所述终端随机生成的第一随机数的情况下,所述核心网设备在向发起所述终端鉴权认证请求时,可以将所述第一随机数携带在所述鉴权响应报文中,从而使所述终端在收到所述核心网设备发送的所述鉴权响应报文后,解析得到所述鉴权响应报文中的随机数(为了便于区分,此处称为第二随机数),并通过比对第二随机数与本地生成且发送给所述核心网设备的第一随机数是否一致来确定所述核心网设备是否鉴权成功。即若所述第二随机数与所述第一随机数一致,则所述终端确定所述核心网设备鉴权成功,可以继续与所述核心网设备进行数据传输;反之,则所述终端确定所述核心网设备鉴权失败,拒绝与所述核心网设备进行数据传输。
其中,为了保证所述鉴权响应报文中携带的鉴权认证信息(例如随机数)的安全性,所述核心网设备在通过网络设备向所述终端发送所述鉴权响应报文前,可对所述鉴权响应报文进行加密,并将加密后的鉴权响应报文通过网络设备发送给所述终端。
可选的,所述核心网设备可以通过多种方式对所述鉴权响应报文进行加密。示例性的,在所述核心网设备接收到的所述终端发送的鉴权请求报文中还携带所述终端生成的临时根密钥时,所述核心网设备通过所述临时根密钥导出加密密钥和完整性密钥;然后利用所述加密密钥和所述完整性密钥加密所述核心网设备从所述鉴权请求报文中获取的随机数。由于所述临时根密钥是所述终端发送给所述核心网设备的,因此所述终端在接收到所述核心网设备发送的加密后的所述鉴权响应报文后,可以利用本地的所述临时根密钥导出所述加密密钥和所述完整性密钥,从而利用所述加密密钥和所述完整性密钥对加密的所述鉴权响应报文进行解密,从而获得所述鉴权响应报文中的随机数,并与本地的第一随机数进行比对,确定所述核心网设备是否鉴权通过。
在一个实现方式中,为更好的保证鉴权的有效性以及安全性,本申请实施例中鉴权过程中所有的加密都为不可逆加密。
在另一个实现方式中,在所述核心网设备向所述终端进行鉴权的场景下,为了后续所述终端与所述核心网设备进行数据传输,所述核心网设备还需为所述鉴权请求报文中携带的所述终端的所述唯一标识生成GUTI,并将所述GUTI携带在所述鉴权响应报文中发送给所述终端。其中,为保证所述GUTI的安全性,所述核心网设备可对所述GUTI进行加密,具体加密方式可参考所述核心网设备对所述鉴权响应报文中携带的所述随机数的加密方式。
目前,所述核心网设备若采用传统的方法为所述唯一标识生成所述GUTI,那么生成的GUTI重复性的几率依旧较高。而本申请实施例中,为了有效降低为所述唯一标识生成的所述GUTI重复性的几率,确保所述GUTI的唯一性、不可预测性和安全性,可采用下述生成方式:
所述核心网设备随机生成一个随机数,假设随机生成的随机数为第三随机数。其中,所述核心网设备确定当前时间戳,并将所述时间戳、所述第三随机数、所述唯一标识代入预设的第一函数,计算得到合成值。其中,为了更好的确保所述GUTI的安全性和不可预测性,在生成合成值时,所述核心网设备还可以预设一个第一可选参数。所述核心网设备可以将所述时间戳、所述第三随机数、所述唯一标识以及所述第一可选参数代入预设的第一函数,从而计算得到合成值。
进一步的,所述核心网设备对所述合成值进行哈希运算,将得到的哈希值作为用户隐藏标识TMSI。最后,所述核心网设备将所述TMSI以及预设的第二可选参数代入预设的第二函数,计算得到所述GUTI。其中,所述第一可选参数与所述第二可选参数可以是相同的参数,也可以是不同的参数。所述第一函数与所述第二函数可以是相同的函数也可以是不同的函数。
可选的,本申请实施例中为避免其他设备获取生成所述GUTI所使用的随机数,从而破解所述GUTI对应的所述唯一标识,所述核心网设备在生成所述GUTI后,可以删除用于生成所述GUTI的随机数。
在一个设计中,基于图1所示的通信系统架构,本申请实施例还提供一种在鉴权场景二下的认证鉴权的详细流程。其中,在所述系统架构中核心网设备包含的AMF网元以及UDM网元。参阅图3所示,认证鉴权的流程中具体可以为以下步骤:
S300:(前置条件):核心网设备(具体为所述核心网设备中的UDM网元)提前预置私钥和用于验证终端的认证密钥的不可逆密文;终端预置公钥和用于生成认证密钥的主密钥。
其中,所述终端预置的公钥与所述核心网设备预置的私钥为通过一种算法得到的一个密钥对。即在通信系统使用所述终端使用所述公钥加密的信息,所述核心网设备可以通过所述私钥进行解密;所述核心网设备使用所述私钥加密的信息,所述终端可以使用所述公钥进行解密。
S301:所述核心网设备(具体为所述核心网设备中的AMF网元)通过所述网络设备向所述终端发送鉴权响应报文,所述鉴权响应报文中携带对所述第一随机数加密得到的第二随机数以及所述GUTI。
S302:所述终端接收所述鉴权响应报文。
S303:所述终端利用本地的所述临时根密钥导出所述加密密钥和所述完整性密钥,并利用所述加密密钥和所述完整性密钥解密所述鉴权响应报文。
S304:所述终端获取所述鉴权响应报文中的第二随机数,并与本地的第一随机数进行比对,确定所述核心网设备是否鉴权通过。
其中,如果一致,则证明所述核心网设备是合法的,所述终端可以利用临时根密钥替代主密钥进一步通信;否则,所述终端拒绝进一步与所述核心网设备的通信。
上述方法,提供了一种终端鉴权核心网设备的方法,即通过比对核心网设备发送的鉴权响应报文中携带的随机数与本地随机数是否一致,从而确定所述核心网设备是否认证鉴权成功。与此同时,为保证安全性,还提供了一种利用临时根密钥进行加密以及解密的方法,因所述临时根密钥是所述终端随机生成的,可实时更新,有效提升了认证鉴权的安全性。
数据传输场景:
本申请实施例中,在双向鉴权认证成功后,所述终端与所述核心网设备可以进行数据传输。其中,为保证传输数据的安全性,在数据传输过程中,所述终端和所述核心网设备依旧需要对所述传输的数据进行加密。
在现有技术中,在所述终端与所述核心网设备在进行数据传输的过程中,所述终端与所述核心网设备主要是通过共享的主密钥,导出的加密密钥和完整性密钥,对需要传输的数据进行加密以及对接收的数据进行解密。
而本申请实施例中,为了避免所述终端将所述主密钥共享给所述核心网设备所带来的安全性隐患,在进行数据传输过程中,所述终端可以用随机生成的临时根密钥导出加密密钥和完整性密钥,从而对需要传输的数据进行加密以及对接收到的数据进行解密。并且,为了保证所述核心网可以成功对数据进行解密,所述终端可以将所述临时根密钥携带在所述鉴权请求信息中,发送给所述核心网设备,从而使所述核心网设备获取所述临时根密钥。同理,在进行数据传输过程中,所述核心网设备可以用所述临时根密钥导出加密密钥和完整性密钥对需要传输的数据进行加密以及对接收到的数据进行解密。
基于以上实施例,如图4所示,本申请实施例还提供了一种终端,该终端包括处理器400、存储器401和收发机402;
处理器400负责管理总线架构和通常的处理,存储器401可以存储处理器400在执行操作时所使用的数据。收发机402用于在处理器400的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器400代表的一个或多个处理器和存储器401代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器400负责管理总线架构和通常的处理,存储器401可以存储处理器400在执行操作时所使用的数据。
本发明实施例揭示的流程,可以应用于处理器400中,或者由处理器400实现。在实现过程中,信号处理流程的各步骤可以通过处理400中的硬件的集成逻辑电路或者软件形式的指令完成。处理器400可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401,处理器400读取存储器401中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器400,用于读取存储器401中的程序并执行:
用于获取核心网预置的信息;接收所述核心网设备针对所述鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信;根据预先存储的主密钥和所述核心网预置的信息生成认证密钥;所述终端向所述核心网设备发送鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,且所述鉴权请求报文经所述终端预设的公钥进行加密,其中所述公钥与所述核心网预设的私钥对应。
在一种可能的实现方法中,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述处理器400,还用于:
在接收到所述鉴权响应报文后,使用所述临时根密钥对所述鉴权响应报文中包括的加密信息进行解密,得到第二随机数,所述加密信息为所述核心网设备使用所述临时根密钥对所述第一随机数进行加密得到;确定解密得到的所述第二随机数与所述终端生成的所述第一随机数相同。
在一种可能的实现方法中,所述鉴权请求报文中还包括:所述终端的唯一标识和/或防重放参数;所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN。
在一种可能的实现方法中,所述鉴权响应报文中还包括全局唯一临时标识GUTI,所述GUTI为所述核心网设备根据所述终端的唯一标识进行计算得到的。
所述处理器400,具体用于:
与所述核心网设备进行通信的报文中携带所述GUTI。
进一步的,所述核心网预置的信息包括所述核心网设备信息,所述核心网设备信息为所述核心网设备标识或厂家信息或硬件信息。
如图5所示,本发明提供一种终端,其特征在于,该终端包括:至少一个处理单元500、至少一个存储单元501以及至少一个通信单元502,其中,所述通信单元502用于在所述处理单元500的控制下接收和发送数据,所述存储单元501存储有程序代码,当所述程序代码被所述处理单元500执行时,使得所述处理单元500执行下列过程:
获取核心网预置的信息;根据预先存储的主密钥和所述核心网预置的信息生成认证密钥;向所述核心网设备发送鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,且所述鉴权请求报文经所述终端预设的公钥进行加密,其中所述公钥与所述核心网预设的私钥对应;接收所述核心网设备针对所述鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信。
如图6所示,本申请一种核心网设备,该核心网设备包括处理器600、存储器601和通信接口602。
处理器600负责管理总线架构和通常的处理,存储器601可以存储处理器600在执行操作时所使用的数据。收发机通信接口602用于在处理器600的控制下接收和发送数据与存储器601进行数据通信。
所述处理器600可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。所述处理器600还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。存储器601可以包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
所述处理器600、所述存储器601以及所述通信接口602之间相互连接。可选的,所述处理器600、所述存储器601以及所述通信接口602可以通过总线603相互连接;所述总线603可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
具体地,所述处理器600,用于读取存储器601中的程序并执行:
用于接收终端发送的使用所述终端预先存储的公钥加密的鉴权请求报文;所述鉴权请求报文中包括认证密钥,所述认证密钥为所述终端根据所述终端预先存储的主密钥和所述核心网预置的信息生成的;使用预先存储的私钥对所述鉴权请求报文进行解密,获取所述鉴权请求报文中的认证密钥,其中所述私钥与所述终端预设的公钥对应;使用预设的密文函数对所述认证密钥进行运算,得到第一不可逆密文;将所述第一不可逆密文与预先存储的第二不可逆密文比对,在比对相同时向所述终端发送用于指示鉴权通过的鉴权响应报文。
在一种可能的实现方法中,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述处理器600还用于:
使用所述临时根密钥对所述第一随机数进行加密,得到加密信息,并将所加密信息携带在所述鉴权响应报文中。
在一种可能的实现方法中,所述鉴权请求报文中还包括:
所述终端的唯一标识和/或防重放参数,所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN;
所述处理器600还用于:
在确认所述唯一标识存在和/或所述时间戳在当前时间之前,则确认所述鉴权请求报文有效。
在一种可能的实现方法中,所述处理器600还用于:
根据所述唯一标识生成全局唯一临时标识GUTI,并将所述GUTI携带在所述鉴权响应报文中。
在一种可能的实现方法中,所述处理器600具体用于:
随机生成第三随机数;将所述时间戳、所述第三随机数、所述唯一标识以及预设的第一可选参数代入预设的第一函数,计算得到合成值;对所述合成值进行哈希运算,将得到的哈希值作为用户隐藏标识TMSI;将所述TMSI以及预设的第二可选参数代入预设的第二函数,计算得到所述GUTI。
在一种可能的实现方法中,所述处理器600还用于:
生成所述GUTI后删除所述第三随机数。
在一种可能的实现方法中,所述核心网预置的信息包括所述核心网设备信息,所述核心网设备信息为所述核心网设备标识或厂家信息或硬件信息。
如图7所示,本发明提供一种核心网设备,其特征在于,该核心网设备包括:至少一个处理单元700、至少一个存储单元701以及至少一个通信单元702,其中,所述通信单元702用于在所述处理单元700的控制下接收和发送数据,所述存储单元701存储有程序代码,当所述程序代码被所述处理单元700执行时,使得所述处理单元700执行下列过程:
用于接收终端发送的使用所述终端预先存储的公钥加密的鉴权请求报文;所述鉴权请求报文中包括认证密钥,所述认证密钥为所述终端根据所述终端预先存储的主密钥和所述核心网预置的信息生成的;使用预先存储的私钥对所述鉴权请求报文进行解密,获取所述鉴权请求报文中的认证密钥,其中所述私钥与所述终端预设的公钥对应;使用预设的密文函数对所述认证密钥进行运算,得到第一不可逆密文;将所述第一不可逆密文与预先存储的第二不可逆密文比对,在比对相同时向所述终端发送用于指示鉴权通过的鉴权响应报文。
在一些可能的实施方式中,本发明实施例提供的设备身份鉴权的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序代码在计算机设备上运行时,所述程序代码用于使所述计算机设备执行本说明书中描述的根据本发明各种示例性实施方式的设备身份鉴权的方法中的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
根据本发明的实施方式的用于执行设备身份鉴权的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在服务器设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被信息传输、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由周期网络动作系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备。
本申请实施例针对终端侧执行设备身份鉴权的方法还提供一种计算设备可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当所述程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种终端侧设备身份鉴权的方案。
本申请实施例针对核心网设备执行设备身份鉴权的方法还提供一种计算设备可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当所述程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种核心网设备侧设备身份鉴权的方案。
以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
尽管结合具体特征及其实施例对本申请进行了描述,显而易见的,在不脱离本申请的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明,且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包括这些改动和变型在内。
Claims (25)
1.一种设备身份鉴权的方法,其特征在于,包括:
终端获取核心网设备预置的信息;
所述终端根据预先存储的主密钥和所述核心网设备预置的信息生成认证密钥;
所述终端向所述核心网设备发送鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,且所述鉴权请求报文经所述终端预设的公钥进行加密,其中所述公钥与所述核心网设备预设的私钥对应;
所述终端接收所述核心网设备针对所述鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信。
2.如权利要求1所述的方法,其特征在于,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述终端与所述核心网设备进行通信之前,所述方法还包括:
所述终端在接收到所述鉴权响应报文后,使用所述临时根密钥对所述鉴权响应报文中包括的加密信息进行解密,得到第二随机数,所述加密信息为所述核心网设备使用所述临时根密钥对所述第一随机数进行加密得到;
所述终端确定解密得到的所述第二随机数与所述终端生成的所述第一随机数相同。
3.如权利要求1所述的方法,其特征在于,所述鉴权请求报文中还包括:
所述终端的唯一标识和/或防重放参数;
所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN。
4.如权利要求3所述的方法,其特征在于,所述鉴权响应报文中还包括全局唯一临时标识GUTI,所述GUTI为所述核心网设备根据所述终端的唯一标识进行计算得到的;
所述终端与所述核心网设备进行通信,包括:
所述终端与所述核心网设备进行通信的报文中携带所述GUTI。
5.如权利要求1~4任一项所述的方法,其特征在于,所述核心网设备预置的信息包括所述核心网设备信息;
所述核心网设备信息为以下任意一项或组合:
所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
6.一种设备身份鉴权的方法,其特征在于,包括:
核心网设备接收终端发送的使用所述终端预先存储的公钥加密的鉴权请求报文;所述鉴权请求报文中包括认证密钥,所述认证密钥为所述终端根据所述终端预先存储的主密钥和所述核心网设备预置的信息生成的;
所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密,获取所述鉴权请求报文中的认证密钥,其中所述私钥与所述终端预设的公钥对应;
所述核心网设备使用预设的密文函数对所述认证密钥进行运算,得到第一不可逆密文;
所述核心网设备将所述第一不可逆密文与预先存储的第二不可逆密文比对,在比对相同时向所述终端发送用于指示鉴权通过的鉴权响应报文。
7.如权利要求6所述的方法,其特征在于,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密之后,还包括:
所述核心网设备使用所述临时根密钥对所述第一随机数进行加密,得到加密信息,并将所加密信息携带在所述鉴权响应报文中。
8.如权利要求6所述的方法,其特征在于,所述鉴权请求报文中还包括:
所述终端的唯一标识和/或防重放参数,所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN;
所述核心网设备使用预先存储的私钥对所述鉴权请求报文进行解密之后,使用预设的密文函数对所述认证密钥进行运算之前,还包括:
所述核心网设备在确认所述唯一标识存在和/或所述时间戳在当前时间之前,则确认所述鉴权请求报文有效。
9.如权利要求8所述的方法,其特征在于,还包括:
所述核心网设备根据所述唯一标识生成全局唯一临时标识GUTI,并将所述GUTI携带在所述鉴权响应报文中。
10.如权利要求9所述的方法,其特征在于,所述核心网设备根据所述唯一标识生成GUTI,包括:
所述核心网设备随机生成第三随机数;
将所述时间戳、所述第三随机数、所述唯一标识以及预设的第一可选参数代入预设的第一函数,计算得到合成值;
所述核心网设备对所述合成值进行哈希运算,将得到的哈希值作为用户隐藏标识TMSI;
所述核心网设备将所述TMSI以及预设的第二可选参数代入预设的第二函数,计算得到所述GUTI。
11.如权利要求10所述的方法,其特征在于,所述核心网设备生成所述GUTI后删除所述第三随机数。
12.如权利要求6~11任一项所述的方法,其特征在于,所述核心网设备预置的信息包括所述核心网设备信息;
所述核心网设备信息为以下任意一项或组合:
所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
13.一种终端,其特征在于,包括:处理单元和通信单元;
所述通信单元,用于获取核心网设备预置的信息;接收所述核心网设备针对鉴权请求报文反馈的鉴权响应报文,在所述鉴权响应报文指示所述终端鉴权通过时,与所述核心网设备进行通信;
所述处理单元,用于根据预先存储的主密钥和所述核心网设备预置的信息生成认证密钥;
所述终端向所述核心网设备发送鉴权请求报文,所述鉴权请求报文中包含所述认证密钥,且所述鉴权请求报文经所述终端预设的公钥进行加密,其中所述公钥与所述核心网设备预设的私钥对应。
14.如权利要求13所述的终端,其特征在于,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述处理单元,还用于:
在接收到所述鉴权响应报文后,使用所述临时根密钥对所述鉴权响应报文中包括的加密信息进行解密,得到第二随机数,所述加密信息为所述核心网设备使用所述临时根密钥对所述第一随机数进行加密得到;确定解密得到的所述第二随机数与所述终端生成的所述第一随机数相同。
15.如权利要求13所述的终端,其特征在于,所述鉴权请求报文中还包括:
所述终端的唯一标识和/或防重放参数;所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN。
16.如权利要求15所述的终端,其特征在于,所述鉴权响应报文中还包括全局唯一临时标识GUTI,所述GUTI为所述核心网设备根据所述终端的唯一标识进行计算得到的
所述通信单元,具体用于:
与所述核心网设备进行通信的报文中携带所述GUTI。
17.如权利要求13~16任一项所述的终端,其特征在于,所述核心网设备预置的信息包括所述核心网设备信息;
所述核心网设备信息为以下任意一项或组合:
所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
18.一种核心网设备,其特征在于,包括:处理单元和通信单元;
所述通信单元,用于接收终端发送的使用所述终端预先存储的公钥加密的鉴权请求报文;所述鉴权请求报文中包括认证密钥,所述认证密钥为所述终端根据所述终端预先存储的主密钥和核心网设备预置的信息生成的;
所述处理单元,用于使用预先存储的私钥对所述鉴权请求报文进行解密,获取所述鉴权请求报文中的认证密钥,其中所述私钥与所述终端预设的公钥对应;使用预设的密文函数对所述认证密钥进行运算,得到第一不可逆密文;将所述第一不可逆密文与预先存储的第二不可逆密文比对,在比对相同时向所述终端发送用于指示鉴权通过的鉴权响应报文。
19.如权利要求18所述的核心网设备,其特征在于,所述鉴权请求报文中还包括所述终端生成的第一随机数和临时根密钥;
所述处理单元,还用于:
使用所述临时根密钥对所述第一随机数进行加密,得到加密信息,并将所加密信息携带在所述鉴权响应报文中。
20.如权利要求18所述的核心网设备,其特征在于,所述鉴权请求报文中还包括:
所述终端的唯一标识和/或防重放参数,所述防重放参数为用于表征生成所述鉴权请求报文的生成时间的时间戳和/或序列号SQN;
所述处理单元,还用于:
在确认所述唯一标识存在和/或所述时间戳在当前时间之前,则确认所述鉴权请求报文有效。
21.如权利要求20所述的核心网设备,其特征在于,所述处理单元,还用于:
根据所述唯一标识生成全局唯一临时标识GUTI,并将所述GUTI携带在所述鉴权响应报文中。
22.如权利要求21所述的核心网设备,其特征在于,所述处理单元,具体用于:
随机生成第三随机数;将所述时间戳、所述第三随机数、所述唯一标识以及预设的第一可选参数代入预设的第一函数,计算得到合成值;对所述合成值进行哈希运算,将得到的哈希值作为用户隐藏标识TMSI;将所述TMSI以及预设的第二可选参数代入预设的第二函数,计算得到所述GUTI。
23.如权利要求22所述的核心网设备,其特征在于,所述处理单元还用于:
生成所述GUTI后删除所述第三随机数。
24.如权利要求18~23任一项所述的核心网设备,其特征在于,所述核心网设备预置的信息包括所述核心网设备信息;
所述核心网设备信息为以下任意一项或组合:
所述核心网设备标识、所述核心网设备的厂家信息、所述核心网设备的硬件信息。
25.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1至12中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910544695.2A CN112118568B (zh) | 2019-06-21 | 2019-06-21 | 一种设备身份鉴权的方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910544695.2A CN112118568B (zh) | 2019-06-21 | 2019-06-21 | 一种设备身份鉴权的方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112118568A CN112118568A (zh) | 2020-12-22 |
CN112118568B true CN112118568B (zh) | 2022-02-25 |
Family
ID=73796443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910544695.2A Active CN112118568B (zh) | 2019-06-21 | 2019-06-21 | 一种设备身份鉴权的方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112118568B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022174419A1 (zh) * | 2021-02-20 | 2022-08-25 | 华为技术有限公司 | 一种根密钥保护方法和系统 |
CN116208949B (zh) * | 2023-05-05 | 2023-07-25 | 北京智芯微电子科技有限公司 | 通信报文的加密传输方法、系统及发送终端、接收终端 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
CN101090316A (zh) * | 2006-06-16 | 2007-12-19 | 普天信息技术研究院 | 离线状态下存储卡与终端设备之间的身份认证方法 |
CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
BRPI0509538B1 (pt) * | 2004-04-02 | 2019-01-15 | Blackberry Ltd | método, sinal digital, portadora, e primeiro sistema para estabelecer um percurso de comunicação bidirecional |
-
2019
- 2019-06-21 CN CN201910544695.2A patent/CN112118568B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005359A (zh) * | 2006-01-18 | 2007-07-25 | 华为技术有限公司 | 一种实现终端设备间安全通信的方法及装置 |
CN101090316A (zh) * | 2006-06-16 | 2007-12-19 | 普天信息技术研究院 | 离线状态下存储卡与终端设备之间的身份认证方法 |
CN101183938A (zh) * | 2007-10-22 | 2008-05-21 | 华中科技大学 | 一种无线网络安全传输方法、系统及设备 |
CN101179380A (zh) * | 2007-11-19 | 2008-05-14 | 上海交通大学 | 一种双向认证方法、系统及网络终端 |
CN101588245A (zh) * | 2009-06-24 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 一种身份认证的方法、系统及存储设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112118568A (zh) | 2020-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
US10812969B2 (en) | System and method for configuring a wireless device for wireless network access | |
CN107800539B (zh) | 认证方法、认证装置和认证系统 | |
US7734280B2 (en) | Method and apparatus for authentication of mobile devices | |
US8340288B2 (en) | Cryptographic key generation | |
KR101270342B1 (ko) | 키 요소의 교환 | |
CN108880813B (zh) | 一种附着流程的实现方法及装置 | |
Saxena et al. | Authentication protocol for an IoT-enabled LTE network | |
CN110545252B (zh) | 一种认证和信息保护的方法、终端、控制功能实体及应用服务器 | |
Xu et al. | An anonymous handover authentication scheme based on LTE-A for vehicular networks | |
CN109728913B (zh) | 一种设备合法性验证方法、相关设备以及系统 | |
WO2021103772A1 (zh) | 数据传输方法和装置 | |
CN112566119A (zh) | 终端认证方法、装置、计算机设备及存储介质 | |
CN112118568B (zh) | 一种设备身份鉴权的方法及设备 | |
KR20230019934A (ko) | 데이터 전송 방법 및 시스템, 전자 장치 및 컴퓨터 판독 가능 저장 매체 | |
CN110730447B (zh) | 一种用户身份保护方法、用户终端和核心网 | |
CN104243452A (zh) | 一种云计算访问控制方法及系统 | |
US10700854B2 (en) | Resource management in a cellular network | |
CN117546441A (zh) | 一种安全通信方法及装置、终端设备、网络设备 | |
WO2022041151A1 (zh) | 设备验证方法、设备和云端 | |
Ouaissa et al. | New security level of authentication and key agreement protocol for the IoT on LTE mobile networks | |
CN112887979A (zh) | 一种网络接入方法及相关设备 | |
CN111836260A (zh) | 一种认证信息处理方法、终端和网络设备 | |
CN112995140B (zh) | 安全管理系统及方法 | |
CN111885600B (zh) | 双卡终端的接入方法、终端及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |