CN114124513A - 身份认证方法、系统、装置、电子设备和可读介质 - Google Patents
身份认证方法、系统、装置、电子设备和可读介质 Download PDFInfo
- Publication number
- CN114124513A CN114124513A CN202111370810.2A CN202111370810A CN114124513A CN 114124513 A CN114124513 A CN 114124513A CN 202111370810 A CN202111370810 A CN 202111370810A CN 114124513 A CN114124513 A CN 114124513A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- serial number
- authentication
- vector
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 239000013598 vector Substances 0.000 claims abstract description 165
- 238000004590 computer program Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 14
- 230000005540 biological transmission Effects 0.000 abstract description 6
- 230000004044 response Effects 0.000 description 21
- 238000010586 diagram Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 4
- 238000004846 x-ray emission Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了一种身份认证方法、系统、装置、电子设备和可读介质,身份认证方法包括:接收来自终端的入网认证请求,入网认证请求中包含:用户标识和加密后的终端序列号;对加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;当接收到终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从UDM网元本地,查找终端的终端序列号;根据终端序列号,生成第二网络侧认证向量,发送至终端,以使得终端对第二网络侧认证向量中包含的第二网络序列号进行认证。本公开通过对终端序列号加密,提高了认证过程中信息传输的安全性,将终端序列号存储于UDM网元本地,提高了认证过程中信息传输的安全性和重认证流程的效率。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种身份认证方法、系统、装置、电子设备和可读介质。
背景技术
AKA(认证与密钥协商)使用挑战应答机制,完成终端和网络间的身份认证,同时基于身份认证对通信加密密钥进行协商。
现有技术中,终端与网络双向认证过程,网络向终端发送认证请求响应,包括鉴权五元组向量(RAND,AUTN,XRES,CK,IK),终端会对AUTN进行验证,包括对网络侧消息鉴权码MAC和网络序列号SQN的验证。如果SQN不在正确范围内,终端会向网络反馈认证失败原因为“同步失败”并在反馈参数(AUTS)中携带终端序列号,网络侧会根据终端序列号重置网络序列号,并再次向终端侧认证。攻击者可以通过重放已使用过的鉴权五元组,使终端对网络的认证结果为同步失败,以获取认证失败响应中携带的反馈参数,从而分析出终端序列号并对用户位置进行追踪。
基于此,如何提高5G AKA鉴权流程中信息传输的安全性以及保证重同步流程的效率成为了亟需解决的技术问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种身份认证方法、系统、装置、电子设备和可读介质,至少在一定程度上克服相关技术中入网认证流程信息容易被盗取和重新认证流程繁琐的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种身份认证方法,应用于UDM网元,包括:接收来自终端的入网认证请求,其中,所述入网认证请求中包含:用户标识和加密后的终端序列号;对所述加密后的终端序列号进行解密,并将解密后的终端序列号存储于所述UDM网元本地;当接收到所述终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据所述用户标识从所述UDM网元本地,查找所述终端的终端序列号;所述第一网络侧认证向量中包含第一网络序列号;根据所述终端序列号,生成第二网络侧认证向量,发送至所述终端,以使得所述终端对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
在本公开的一个实施例中,向所述终端发送第一网络侧认证向量,其中,所述第一网络侧认证向量中包含:第一网络序列号;接收所述终端根据所述第一网络侧认证向量返回的认证结果,其中,所述认证结果中至少包含:对所述第一网络序列号的认证结果;在所述第一网络序列号的认证结果为认证失败的情况下,接收所述终端返回的序列号同步失败消息。
根据本公开的另一个方面,还提供一种身份认证方法,应用于终端,包括:接收UDM网元返回的第一网络侧认证向量,其中,所述第一网络侧认证向量中包含第一网络序列号;对所述第一网络侧认证向量中包含的第一网络序列号进行认证;在所述第一网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,其中,所述UDM网元在接收到所述终端返回的序列号同步失败消息后,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号,并根据所述终端的终端序列号,生成第二网络侧认证向量,发送至所述终端;对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
在本公开的一个实施例中,在向UDM网元发送入网认证请求之前,所述方法还包括:利用集成加密方案ECIES对所述终端序列号进行加密。
在本公开的一个实施例中,所述第一网络侧认证向量中还包含:网络侧消息鉴权码MAC;在对所述第一网络侧认证向量中包含的第一网络序列号进行认证之前,对所述第一网络侧认证向量中包含的MAC进行认证;在认证结果为认证通过的情况下,对所述第一网络侧认证向量中包含的第一网络序列号进行认证。
根据本公开的另一个方面,还提供一种身份认证系统,包括:UDM网元和终端;所述UDM网元,用于接收来自终端的入网认证请求,对所述入网认证请求中包含的加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM本地,向终端返回第一网络侧认证向量,当接收到终端根据所述第一网络侧认证向量返回的序列号同步失败消息时,根据所述入网认证请求中包含的用户标识从UDM本地查找终端序列号,将根据终端序列号生成的第二网络侧认证向量返回至终端;所述终端,用于向所述UDM网元发送所述入网认证请求,接收所述UDM网元返回的第一网络侧认证向量,对所述第一网络侧认证向量中包含的第一网络序列号进行认证,在所述网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,接收UDM网元返回的第二网络侧认证向量,对所述第二网络侧认证向量中包含的第二网络序列号进行认证。
根据本公开的另一个方面,还提供一种身份认证装置,包括:请求接收模块,用于接收来自终端的入网认证请求,其中,所述入网认证请求中包含:用户标识和加密后的终端序列号;解密存储模块,用于对所述加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;序列号查找模块,用于当接收到所述终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号;所述第一网络侧认证向量中包含第一网络序列号;向量生成模块,用于根据所述终端序列号,生成第二网络侧认证向量,发送至所述终端,以使得所述终端对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
根据本公开的另一个方面,还提供一种身份认证装置,包括:向量接收模块,用于接收UDM网元返回的第一网络侧认证向量,其中,所述第一网络侧认证向量中包含第一网络序列号;第一认证模块,用于对所述第一网络侧认证向量中包含的第一网络序列号进行认证;消息返回模块,用于在所述第一网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,其中,所述UDM网元在接收到终端返回的序列号同步失败消息后,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号,并根据所述终端的终端序列号,生成第二网络侧认证向量,发送至所述终端;第二认证模块,用于对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的身份认证方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的身份认证方法。
本公开的实施例所提供的身份认证方法、系统、装置、电子设备和可读介质,通过对终端序列号加密,提高了认证过程中信息传输的安全性,将终端序列号存储于UDM网元本地,可在第一次认证失败重新认证时,UDM网元根据用户标识直接从UDM网元本地获取终端序列号,避免了第一次认证失败后,在终端向UDM网元反馈的失败响应中携带终端序列号,降低了信息泄露的风险。同时,该过程减少了AUTS计算和解析环节,提高了重同步流程的效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种身份认证方法流程图;
图2示出本公开实施例中另一种身份认证方法流程图;
图3示出本公开实施例中又一种身份认证方法流程图;
图4示出本公开实施例中又一种身份认证方法流程图;
图5示出本公开实施例中一种身份认证系统的结构结构图;
图6示出本公开实施例中又一种身份认证系统的结构示意图;
图7示出本公开实施例中一种身份认证装置的结构示意图;
图8示出本公开实施例中又一种身份认证装置的结构示意图;和
图9示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种身份认证方法,可以应用但不限于5G AKA鉴权流程中的UDM(Unified Data Management,统一数据管理)网元,该方法可以由任意具备计算处理能力的电子设备执行。
图1示出本公开实施例中一种身份认证方法流程图,如图1所示,本公开实施例中提供的身份认证方法包括如下步骤:
步骤S102,接收来自终端的入网认证请求,其中,入网认证请求中包含:用户标识和加密后的终端序列号;
步骤S104,对加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;
步骤S106,当接收到终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从UDM网元本地,查找终端的终端序列号;第一网络侧认证向量中包含第一网络序列号;
步骤S108,根据终端序列号,生成第二网络侧认证向量,发送至终端,以使得终端对第二网络侧认证向量中包含的第二网络序列号进行认证,其中,第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
本公开实施例,UDM网元解密来自终端发送的加密的终端序列号,将解密后的终端序列号存储在UDM网元本地,当接收到终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识查找UDM网元本地存储的终端序列号,生成第二网络侧认证向量,向终端返回第二网络侧认证向量,再次进行认证。本公开通过对终端序列号加密,提高了认证过程中信息传输的安全性,UDM网元将加密的终端序列号解密后存储于UDM网元本地,可在第一次认证失败重新认证时,UDM网元根据用户标识直接从UDM网元本地获取终端序列号,避免了第一次认证失败后,在终端向UDM网元反馈的失败响应中携带终端序列号,降低了信息泄露的风险。同时,该过程减少了AUTS计算和解析环节,提高了重同步流程的效率。
下面,将对本实施例中的身份认证方法进行详细说明。
步骤S102,接收来自终端的入网认证请求,其中,入网认证请求中包含:用户标识和加密后的终端序列号;
在本公开的实施例中,UDM网元接收终端发送的入网认证请求,入网认证请求中包含:用户标识SUCI(Subscription Concealed Identifier,用户隐藏标识)和加密后的终端序列号SQNUE*,终端利用集成加密机制对终端序列号SQNUE进行加密,得到加密后的终端序列号SQNUE*,以防止认证过程中终端序列号的信息泄露。
步骤S104,对加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;
在本公开的实施例中,UDM网元利用本地存储的集成加密机制的秘钥对加密后的终端序列号SQNUE*进行解密,得到终端序列号SQNUE,并将终端序列号SQNUE存储于UDM网元本地,避免第一次终端认证失败后,重新获取终端的终端序列号,可以直接在本地获取终端序列号,简化了重新认证的流程。
步骤S106,当接收到终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从UDM网元本地,查找终端的终端序列号;第一网络侧认证向量中包含第一网络序列号;
在本公开的实施例中,UDM网元在接收到终端发送的入网认证请求后,网络本地生成第一网络序列号SQN,并将包含有第一网络序列号SQN的第一网络侧认证向量返回至终端,终端同时对网络侧消息鉴权码MAC和第一网络序列号SQN进行认证,当对网络侧认证结果为序列号同步失败时,终端向UDM网元发送序列号同步失败消息,UDM网元接收到终端发送的序列号同步失败消息后,从UDM网元本地查找本地存储的终端序列号SQNUE。
步骤S108,根据终端序列号,生成第二网络侧认证向量,发送至终端,以使得终端对第二网络侧认证向量中包含的第二网络序列号进行认证,其中,第二网络侧认证向量中包含:根据终端序列号生成的网络序列号。
在本公开的实施例中,UDM网元根据终端序列号SQNUE重置第二网络序列号SQNHN,生成包含第二网络序列号SQNHN的第二网络侧认证向量,并将第二网络侧认证向量发送至终端,终端接收到第二网络侧认证向量后,根据第二网络侧认证向量中包含的第二网络序列号SQNHN重新进行序列号认证,得到新的序列号认证结果。
在本公开的一个实施例中,向终端发送第一网络侧认证向量,其中,第一网络侧认证向量中包含:第一网络序列号;可以通过图2中的步骤接收终端序返回的序列号同步失败消息,如图2所示,具体可以包括:
步骤S202,接收终端根据第一网络侧认证向量返回的认证结果,其中,认证结果中至少包含:对第一网络序列号的认证结果;
步骤S204,在第一网络序列号的认证结果为认证失败的情况下,接收终端返回的序列号同步失败消息。
在本实施例中,上述第一网络侧认证向量中包括:RAND(随机数)、AUTN(AUthentication TokeN,认证令牌)、XRES(eXpected RESponse,预期响应)、CK(IntegrityKey,完整性秘钥)、IK(Cipher Key,加密秘钥),其中,AUTN包括第一网络序列号SQN和网络侧消息鉴权码MAC;终端验证接收到的第一网络序列号SQN,判断第一网络序列号SQN是否在正确范围,若是,序列号的认证结果为序列号同步成功;若否,则序列号的认证结果为序列号同步失败,生成序列号同步失败消息,并将序列号同步失败消息返回至UDM网元,UDM网元接收终端发送的序列号同步失败消息。
基于同一发明构思,本公开实施例中还提供了一种身份认证方法,可以应用但不限于终端,该方法可以由任意具备计算处理能力的电子设备执行。
图3示出本公开实施例中又一种身份认证方法流程图,如图3所示,本公开实施例中提供的身份认证方法包括如下步骤:
步骤S302,接收UDM网元返回的第一网络侧认证向量,其中,第一网络侧认证向量中包含第一网络序列号;
步骤S304,对第一网络侧认证向量中包含的第一网络序列号进行认证;
步骤S306,在网络序列号认证失败的情况下,向UDM网元返回序列号同步失败消息,其中,UDM网元在接收到终端返回的序列号同步失败消息后,根据用户标识从UDM网元本地,查找终端的终端序列号,并根据终端的终端序列号,生成第二网络侧认证向量,发送至终端;
步骤S308,对第二网络侧认证向量中包含的第二网络序列号进行认证,其中,第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
在本公开的一个实施例中,在向UDM网元发送入网认证请求之前,方法还包括对终端序列号进行加密的步骤,可以利用集成加密方案ECIES(Elliptic Curve IntegrateEncrypt Scheme,集成加密方案)对终端序列号SQNUE进行加密,得到加密后的终端序列号SQNUE*。
图4示出本公开实施例中又一种身份认证方法流程图,如图4所示,第一网络侧认证向量中还包含:网络侧消息鉴权码MAC;在对第一网络序列号进行认证之前,方法还包括:
步骤S402,在对第一网络侧认证向量中包含的第一网络序列号进行认证之前,对第一网络侧认证向量中包含的网络侧消息鉴权码MAC进行认证;
在本实施例中,从终端认证请求响应中获取网络侧消息鉴权码MAC,比较从终端生成的终端侧消息鉴权码XMAC和网络侧认证向量中包含的网络侧消息鉴权码MAC是否一致,若是,MAC的认证结果为认证通过;若否,则MAC的认证结果为认证失败。
步骤S404,在MAC认证结果为认证通过的情况下,对第一网络侧认证向量中包含的第一网络序列号进行认证。
基于同一发明构思,本公开实施例中还提供了一种身份认证系统,该身份认证系统可以应用但不限于5G AKA鉴权流程中不同网元之间传输数据。
图5示出本公开实施例中一种身份认证系统的结构示意图,如图5所示该身份认证系统包括:UDM网元510和终端520;
UDM网元510,用于接收来自终端520的入网认证请求,对入网认证请求中包含的加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM本地,向终端520返回第一网络侧认证向量,当接收到终端520根据第一网络侧认证向量返回的序列号同步失败消息时,根据入网认证请求中包含的用户标识从UDM本地查找终端序列号,将根据终端序列号生成的第二网络侧认证向量返回至终端520;
终端520,用于向UDM网元510发送入网认证请求,接收UDM网元510返回的第一网络侧认证向量,对第一网络侧认证向量中包含的第一网络序列号进行认证,在网络序列号认证失败的情况下,向UDM网元510返回序列号同步失败消息,接收UDM网元510返回的第二网络侧认证向量,对第二网络侧认证向量中包含的第二网络序列号进行认证。
图6示出本公开实施例中又一种身份认证系统的结构示意图,如图7所示,该系统包括:终端UE(User Equipment,用户设备)610、SEAF(SEcurity Anchor Function,安全锚功能)网元620、AUSF(Authentication Server Function,认证服务器功能)网元630及UDM网元640;
UE网元610利用集成加密机制对终端序列号SQNUE进行加密,得到SQNUE*;
UE网元610向SEAF网元620发送入网请求消息,入网请求消息包含SUCI和SQNUE*;
SEAF网元620接收到UE网元610发送的入网请求后,向AUSF网元630发送终端认证请求;
由AUSF网元630接收SEAF网元620发送的终端认证请求,并将终端认证请求转发至UDM网元640;
UDM网元640解密终端序列号SQNUE*得到终端序列号SQNUE,并临时存储终端序列号SQNUE,选择认证方式为5G AKA认证,生成5G归属网络向量和第一终端认证请求响应,5G归属网络向量包含网络侧消息鉴权码MAC和第一网络序列号SQN,将第一终端认证请求响应返回至AUSF网元630,第一终端请求响应中携带有5G归属网络向量;
AUSF网元630保存XRES*,根据XRES*计算HXRES*,生成5G服务网络向量,转发第一终端认证请求响应至SEAF网元620。
SEAF网元620接收AUSF网元630返回的第一终端认证请求响应,并将第一终端请求响应转发至UE网元610;
UE网元610从第一终端认证请求响应中获取MAC和第一网络序列号SQN,判断终端设备生成的XMAC和网络侧发送的MAC是否一致,判断网络序列号SQN是否在正确范围;
当XMAC与MAC一致但网络序列号SQN不在正确范围时,UE网元610向SEAF网元620发送认证认证失败响应消息,其中,认证认证失败响应消息中携带序列号的同步失败结果,SEAF网元620转发认证认证失败响应消息至AUSF网元630,AUSF网元630转发认证认证失败响应消息至UDM网元640,UDM网元640根据用户标识在本地查询终端序列号SQNUE,根据终端序列号SQNUE重置第二网络序列号SQNHN,再根据重置后的第二网络序列号SQNHN,生成新的5G认证向量和第二终端认证请求响应,将携带有新的5G认证向量的第二终端认证请求响应发送至终端UE网元610;
终端根据第二终端认证请求响应再次确定认证结果。
基于同一发明构思,本公开实施例中还提供了一种身份认证装置,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图7示出本公开实施例中一种身份认证装置的结构示意图,如图8所示,该装置包括:
请求接收模块710,用于接收来自终端的入网认证请求,其中,入网认证请求中包含:用户标识和加密后的终端序列号;
解密存储模块720,用于对加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;
序列号查找模块730,用于当接收到终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从UDM网元本地,查找终端的终端序列号;第一网络侧认证向量中包含第一网络序列号;
向量生成模块740,用于根据终端序列号,生成第二网络侧认证向量,发送至终端,以使得终端对第二网络侧认证向量中包含的第二网络序列号进行认证,其中,第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
该装置还可以包括向量发送模块,向量发送模块用于向终端发送第一网络侧认证向量,其中,第一网络侧认证向量中包含:第一网络序列号。
基于同一发明构思,本公开实施例中还提供了一种身份认证装置,如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图8示出本公开实施例中又一种身份认证装置的结构示意图,该装置包括:
向量接收模块810,用于接收UDM网元返回的第一网络侧认证向量,其中,第一网络侧认证向量中包含第一网络序列号;
第一认证模块820,用于对第一网络侧认证向量中包含的第一网络序列号进行认证;
消息返回模块830,用于在网络序列号认证失败的情况下,向UDM网元返回序列号同步失败消息,其中,UDM网元在接收到终端返回的序列号同步失败消息后,根据用户标识从UDM网元本地,查找终端的终端序列号,并根据终端的终端序列号,生成第二网络侧认证向量,发送至终端;
第二认证模块840,用于对第二网络侧认证向量中包含的第二网络序列号进行认证,其中,第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
上述第一认证模块820,还用于在对第一网络侧认证向量中包含的第一网络序列号进行认证之前,对第一网络侧认证向量中包含的MAC进行认证,在认证结果为认证通过的情况下,对第一网络侧认证向量中包含的第一网络侧序列号进行认证。
该装置还可以包括序列号加密模块,序列号加密模块用于在向UDM网元发送入网认证请求之前,对终端序列号进行加密,其中,利用集成加密方案ECIES对终端序列号进行加密。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图9来描述根据本公开的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元910可以执行上述实施例中身份认证方法的全部步骤。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备940(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (10)
1.一种身份认证方法,其特征在于,应用于UDM网元,所述方法包括:
接收来自终端的入网认证请求,其中,所述入网认证请求中包含:用户标识和加密后的终端序列号;
对所述加密后的终端序列号进行解密,并将解密后的终端序列号存储于所述UDM网元本地;
当接收到所述终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据所述用户标识从所述UDM网元本地,查找所述终端的终端序列号;所述第一网络侧认证向量中包含第一网络序列号;
根据所述终端序列号,生成第二网络侧认证向量,发送至所述终端,以使得所述终端对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的网络序列号。
2.根据权利要求1所述的身份认证方法,其特征在于,向所述终端发送第一网络侧认证向量,其中,所述第一网络侧认证向量中包含:第一网络序列号;
接收所述终端根据所述第一网络侧认证向量返回的认证结果,其中,所述认证结果中至少包含:对所述第一网络序列号的认证结果;
在所述第一网络序列号的认证结果为认证失败的情况下,接收所述终端返回的序列号同步失败消息。
3.一种身份认证方法,其特征在于,应用于终端,所述方法包括:
接收UDM网元返回的第一网络侧认证向量,其中,所述第一网络侧认证向量中包含第一网络序列号;
对所述第一网络侧认证向量中包含的第一网络序列号进行认证;
在所述第一网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,其中,所述UDM网元在接收到所述终端返回的序列号同步失败消息后,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号,并根据所述终端的终端序列号,生成第二网络侧认证向量,发送至所述终端;
对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
4.根据权利要求3所述的身份认证方法,其特征在于,在向UDM网元发送入网认证请求之前,所述方法还包括:利用集成加密方案ECIES对所述终端序列号进行加密。
5.根据权利要求3所述的身份认证方法,其特征在于,所述第一网络侧认证向量中还包含:网络侧消息鉴权码MAC;
在对所述第一网络侧认证向量中包含的第一网络序列号进行认证之前,对所述第一网络侧认证向量中包含的MAC进行认证;
在认证结果为认证通过的情况下,对所述第一网络侧认证向量中包含的网络序列号进行认证。
6.一种身份认证系统,其特征在于,所述系统包括UDM网元和终端;
所述UDM网元,用于接收来自终端的入网认证请求,对所述入网认证请求中包含的加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM本地,向终端返回第一网络侧认证向量,当接收到终端根据所述第一网络侧认证向量返回的序列号同步失败消息时,根据所述入网认证请求中包含的用户标识从UDM本地查找所述终端序列号,将根据所述终端序列号生成的第二网络侧认证向量返回至终端;
所述终端,用于向所述UDM网元发送所述入网认证请求,接收所述UDM网元返回的第一网络侧认证向量,对所述第一网络侧认证向量中包含的第一网络序列号进行认证,在所述第一网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,接收UDM网元返回的第二网络侧认证向量,对所述第二网络侧认证向量中包含的第二网络序列号进行认证。
7.一种身份认证装置,其特征在于,包括:
请求接收模块,用于接收来自终端的入网认证请求,其中,所述入网认证请求中包含:用户标识和加密后的终端序列号;
解密存储模块,用于对所述加密后的终端序列号进行解密,并将解密后的终端序列号存储于UDM网元本地;
序列号查找模块,用于当接收到所述终端根据第一网络侧认证向量返回的序列号同步失败消息时,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号;所述第一网络侧认证向量中包含第一网络序列号;
向量生成模块,用于根据所述终端序列号,生成第二网络侧认证向量,发送至所述终端,以使得所述终端对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的第二网络序列号。
8.一种身份认证装置,其特征在于,包括:
向量接收模块,用于接收UDM网元返回的第一网络侧认证向量,其中,所述第一网络侧认证向量中包含第一网络序列号;
第一认证模块,用于对所述第一网络侧认证向量中包含的第一网络序列号进行认证;
消息返回模块,用于在所述网络序列号认证失败的情况下,向所述UDM网元返回序列号同步失败消息,其中,所述UDM网元在接收到终端返回的序列号同步失败消息后,根据用户标识从所述UDM网元本地,查找所述终端的终端序列号,并根据所述终端的终端序列号,生成第二网络侧认证向量,发送至所述终端;
第二认证模块,用于对所述第二网络侧认证向量中包含的第二网络序列号进行认证,其中,所述第二网络侧认证向量中包含:根据终端序列号生成的网络序列号。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~5中任意一项所述身份认证方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~5中任意一项所述的身份认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111370810.2A CN114124513B (zh) | 2021-11-18 | 2021-11-18 | 身份认证方法、系统、装置、电子设备和可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111370810.2A CN114124513B (zh) | 2021-11-18 | 2021-11-18 | 身份认证方法、系统、装置、电子设备和可读介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124513A true CN114124513A (zh) | 2022-03-01 |
| CN114124513B CN114124513B (zh) | 2024-01-30 |
Family
ID=80397900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111370810.2A Active CN114124513B (zh) | 2021-11-18 | 2021-11-18 | 身份认证方法、系统、装置、电子设备和可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124513B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915487A (zh) * | 2022-06-09 | 2022-08-16 | 中国电信股份有限公司 | 终端认证方法、系统、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110536292A (zh) * | 2019-04-28 | 2019-12-03 | 中兴通讯股份有限公司 | 发送终端序列号的方法和装置以及认证方法和装置 |
| WO2020147856A1 (zh) * | 2019-01-18 | 2020-07-23 | 中兴通讯股份有限公司 | 认证处理方法、装置、存储介质及电子装置 |
-
2021
- 2021-11-18 CN CN202111370810.2A patent/CN114124513B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020147856A1 (zh) * | 2019-01-18 | 2020-07-23 | 中兴通讯股份有限公司 | 认证处理方法、装置、存储介质及电子装置 |
| CN110536292A (zh) * | 2019-04-28 | 2019-12-03 | 中兴通讯股份有限公司 | 发送终端序列号的方法和装置以及认证方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA等: "Editor note removal on SQNms protection by concealment with SUPI with f5*", 3GPP TSG-SA3 MEETING #102BIS-E S3-210841, pages 6 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915487A (zh) * | 2022-06-09 | 2022-08-16 | 中国电信股份有限公司 | 终端认证方法、系统、装置、设备及存储介质 |
| CN114915487B (zh) * | 2022-06-09 | 2023-10-03 | 中国电信股份有限公司 | 终端认证方法、系统、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124513B (zh) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2845141B1 (en) | Method and system for activation | |
| JP2016533694A (ja) | ユーザアイデンティティ認証方法、端末及びサーバ | |
| EP4231680A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
| US20230344626A1 (en) | Network connection management method and apparatus, readable medium, program product, and electronic device | |
| CN112632521A (zh) | 一种请求响应方法、装置、电子设备和存储介质 | |
| CN112512048B (zh) | 移动网络接入系统、方法、存储介质及电子设备 | |
| US20240137221A1 (en) | Implementation of one-touch login service | |
| CN115473655A (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN113852681B (zh) | 一种网关认证方法、装置及安全网关设备 | |
| CN114124513B (zh) | 身份认证方法、系统、装置、电子设备和可读介质 | |
| WO2024124924A1 (zh) | 小程序应用的密钥协商方法及装置 | |
| Zhang et al. | Authentication and Key Agreement Protocol in Hybrid Edge–Fog–Cloud Computing Enhanced by 5G Networks | |
| CN115801252B (zh) | 一种结合量子加密技术的安全云桌面系统 | |
| CN111836260B (zh) | 一种认证信息处理方法、终端和网络设备 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| KR101329789B1 (ko) | 모바일 디바이스의 데이터베이스 암호화 방법 | |
| CN112637169B (zh) | 一种无源nfc云锁加密方法 | |
| CN111541642B (zh) | 基于动态秘钥的蓝牙加密通信方法和装置 | |
| CN115348015A (zh) | 安全接入方法及装置、计算机可读存储介质、电子设备 | |
| CN114786179A (zh) | 非蜂窝终端鉴权方法、装置、设备及介质 | |
| JP2023509806A (ja) | モバイルネットワークアクセスシステム、方法、記憶媒体及び電子機器 | |
| CN113727059A (zh) | 多媒体会议终端入网认证方法、装置、设备及存储介质 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| CN104660404A (zh) | 一种认证装置及认证方法 | |
| CN113890778B (zh) | 一种基于局域网的智能家居认证及加密方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |