CN114915487B - 终端认证方法、系统、装置、设备及存储介质 - Google Patents
终端认证方法、系统、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114915487B CN114915487B CN202210651970.2A CN202210651970A CN114915487B CN 114915487 B CN114915487 B CN 114915487B CN 202210651970 A CN202210651970 A CN 202210651970A CN 114915487 B CN114915487 B CN 114915487B
- Authority
- CN
- China
- Prior art keywords
- target terminal
- imsi
- identifier
- address
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了一种终端认证方法、系统、装置、设备及存储介质,涉及无线通信领域。该方法包括:接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;根据公钥解密目标终端标识,得到目标终端的地址;根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。本公开提高了数据的安全性。
Description
技术领域
本公开涉及无线通信领域,尤其涉及一种终端认证方法、系统、装置、设备及存储介质。
背景技术
随着5G时代的到来,网络速率不断加快,网络延时不断降低。使得物与物之间的连接成为可能。
物联网技术是基于5G网络的新兴技术,在物联网中,每个被连接的事物都具备唯一的地址,每个事物可以凭借自身对应的地址完成点对点的连接。但是由于物联网终端通常部署于公共场所,所以导致当前的物联网终端容易受到非法攻击,通过伪造终端的方式来对物联网中的数据进行窃取和篡改。降低了物联网中数据的安全性。
发明内容
本公开提供一种终端认证方法、系统、装置、设备及存储介质,至少在一定程度上克服了物联网中数据安全性较低的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种终端认证方法,应用于核心网设备,终端认证方法包括:接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、目标终端的物理不可克隆(Physical Unclonable Function,PUF)标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;
根据公钥解密目标终端标识,得到目标终端的地址;
根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。
在本公开的一个实施例中,,在根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识之前,终端认证方法还包括:
将目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,具体包括:
在预先存储的多个终端的IMSI中存在与目标终端的IMSI匹配结果一致的情况下,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识。
在本公开的一个实施例中,终端认证方法还包括:
在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下,确定终端验证失败。
根据本公开的另一个方面,提供一种终端认证方法,应用于目标终端,终端认证方法包括:向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,,并根据公钥解密目标终端标识,得到目标终端的地址;目标终端标识是将目标终端的地址进行私钥加密得到的,公钥与私钥相对应;
接收核心网设备发送的目标终端验证通过消息,目标终端验证通过消息是核心网设备在根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在目标终端的地址与验证地址一致的情况下生成的。
在本公开的一个实施例中,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端PUF标识以及目标终端标识之前,终端认证方法还包括:
将多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,以使核心网设备将对应关系进行存储。
在本公开的一个实施例中,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之后,终端认证方法还包括:
接收核心网设备发送的目标终端验证失败的消息,验证失败的消息是核心网设备在在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下生成的。
在本公开的一个实施例中,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之前,终端认证方法还包括:
根据目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成目标终端的地址;
利用与公钥对应的私钥加密目标终端的地址,得到目标终端的标识。
根据本公开的再一个方面,提供一种终端认证系统,终端认证系统包括:
核心网设备和目标终端;
其中,目标终端用于向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端物理不可克隆PUF标识以及目标终端标识;
核心网设备用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识;根据公钥解密目标终端标识,得到目标终端的地址;根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。
在本公开的一个实施例中,核心网设备包括:
身份认证服务功能(Identification Server Function,ISF)网元,认证管理功能(Authentication Management Function,AMF)网元,统一数据管理(Unified DataManagement,UDM)网元以及业务管理功能(Service Management Function,SMF)网元;
UDM网元用于预先存储多个终端的IMSI、公钥与属性标识之间的对应关系;向AMF网元发送对应关系,以使AMF网元根据接收到的目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
AMF网元用于接收目标终端发送的目标终端类型、目标终端的IMSI、PUF标识以及目标终端标识;根据目标终端的IMSI以及UDM网元中预先存储的对应关系获取公钥以及目标终端的属性标识;将目标终端类型、公钥、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端标识发送至ISF网元;
ISF网元用于根据公钥解密目标终端标识,得到目标终端的地址;根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证;
SMF网元用于接收ISF网元发送的目标终端验证通过的消息。
根据本公开的又一个方面,提供一种终端认证装置,应用于核心网设备,包括:
第一接收模块,用于接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
第一获取模块,用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;
解密模块,用于根据公钥解密目标终端标识,得到目标终端的地址;
第一生成模块,用于根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
第一确定模块,用于根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址。
在本公开的一个实施例中,终端认证装置还包括:
匹配模块,在根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识之前,用于将目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
第一获取模块,包括:
第一获取单元,用于在预先存储的多个终端的IMSI中存在与目标终端的IMSI匹配结果一致的情况下,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识。
在本公开的一个实施例中,终端认证装置还包括:
第二确定模块,用于在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下,确定终端验证失败。
根据本公开的另一个方面,提供一种终端认证装置,应用于目标终端,终端认证装置包括:
第一发送模块,用于向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,,并根据公钥解密目标终端标识,得到目标终端的地址;目标终端标识是将目标终端的地址进行私钥加密得到的,公钥与私钥相对应;
第二接收模块,用于接收核心网设备发送的目标终端验证通过消息,目标终端验证通过消息是核心网设备在根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在目标终端的地址与验证地址一致的情况下生成的。
在本公开的一个实施例中,终端认证装置还包括:
第二发送模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端PUF标识以及目标终端标识之前,用于将多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,以使核心网设备将对应关系进行存储。
在本公开的一个实施例中,终端认证装置还包括:
第三接收模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之后,用于接收核心网设备发送的目标终端验证失败的消息,验证失败的消息是核心网设备在在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下生成的。
在本公开的一个实施例中,终端认证装置还包括:
第二生成模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之前,用于根据目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成目标终端的地址;
第二确定模块,用于利用与公钥对应的私钥加密目标终端的地址,得到目标终端的标识。
根据本公开的又一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述的终端认证方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述的终端认证方法。
本公开的实施例所提供的终端认证方法、系统、装置、设备及存储介质,核心网设备接收目标终端发送的目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识后,根据目标终端的IMSI以及预先存储的多个终端的IMSI、公钥以及属性标识的对应关系获取目标终端对应的公钥以及目标终端的属性标识,然后根据公钥解密目标终端标识,得到目标终端的地址,然后将根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址与目标终端的地址进行验证,在验证地址与目标终端的地址一致的情况下确定目标终端通过验证。由此,由于是核心网设备是根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址,并将生成的验证地址与解密后得到的目标终端的地址进行匹配验证。所以能够避免非法用户根据窃取到的目标终端的部分信息伪造目标终端的身份来通过核心网设备的验证,从而窃取更多的数据,提高了数据的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种终端认证系统结构的示意图;
图2示出本公开实施例中另一种终端认证系统结构的示意图;
图3示出本公开实施例中一种终端认证方法流程图;
图4示出本公开实施例中目标终端地址示意图;
图5示出本公开实施例中另一种终端认证方法流程图;
图6示出本公开实施例中一种终端认证装置示意图;
图7示出本公开实施例中另一种终端认证装置示意图;
图8示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
物联网作为一个新兴的技术正在飞速发展,在物联网技术的发展过程中,依然存在以下问题。
1)随着物联网连接的终端数量的飞速增长,导致Ipv4形式的地址资源已经枯竭。
2)物联网终端常常被放置在公共场所中,攻击者容易窃取到终端的部分信息从而通过伪造终端身份的方式连接物联网,从而窃取物联网中的数据。
为了提高物联网中数据的安全性,本公开实施例提供了一种终端验证的方法、系统、装置、设备及存储介质。
为了对本公开进行详细的描述,本公开实施例首先对终端验证系统进行介绍。
如图1所示为可应用于本公开实施例的终端认证系统的终端认证方法或终端认证装置的示例性一种终端认证系统架构示意图,终端验证系统10可以包括:
核心网设备101和目标终端102;
其中,目标终端用于向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端物理不可克隆PUF标识以及目标终端标识;
核心网设备101用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识;根据公钥解密目标终端标识,得到目标终端的地址;根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。
其中,目标终端102可以有多个,分别通过无线网络或有线网络连接核心网设备101。
上述终端认证系统可以应用于物联网的终端认证,也可以应用于以其他联网方式进行联网的终端认证。
可选地,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark-up Language,HTML)、可扩展标记语言(ExtensibleMarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(InternetProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
目标终端102可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、增强现实设备、虚拟现实设备等。
为了对本公开的核心网设备进行更加详细的介绍,本公开示出了另一种终端认证系统。
如图2所示为可应用于本公开实施例的终端认证系统的终端认证方法或终端认证装置的示例性另一种终端认证系统架构示意图。
如图2所示:
核心网设备101可以包括:
ISF网元1011,AMF网元1012,UDM网元1013以及SMF网元1014;
UDM网元1013用于预先存储多个终端的IMSI、公钥与属性标识之间的对应关系;向AMF网元1012发送对应关系,以使AMF网元1012根据接收到的目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
AMF网元1012用于接收目标终端发送的目标终端类型、目标终端的IMSI、PUF标识以及目标终端标识;根据目标终端的IMSI以及UDM网元1013中预先存储的对应关系获取公钥以及目标终端的属性标识;将目标终端类型、公钥、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端标识发送至ISF网元1011;
ISF网元1011用于根据公钥解密目标终端标识,得到目标终端的地址;根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证;
SMF网元1014用于接收ISF网元1011发送的目标终端验证通过的消息。
其中,ISF网元1011在完成验证之后,还可以将生成的地址白名单发送给SMF网元1014。
其中,核心网设备101并不仅限于上述模块。
本公开中通过增加ISF网元来完成对目标终端的认证,可以在不改变核心网设备原有的架构的基础上,仅通过增加的ISF网元与AMF网元以及SMF网元的交互完成对目标终端的认证。由此,由于是仅增加了ISF网元,所以降低了对目标终端进行认证的成本。
基于相同的发明构思,本公开实施例中提供了一种终端认证方法,应用于核心网设备。该方法可以由任意具备计算处理能力的电子设备执行。
图3示出了本公开实施例中一种终端认证方法流程图,如图3所示,本公开实施例中提供的终端认证方法包括如下步骤:
S302,接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
S304,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;
S306,根据公钥解密目标终端标识,得到目标终端的地址;
S308,根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
S310,在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。
本公开实施例所提供的终端认证方法通过核心网设备接收目标终端发送的目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识后,根据目标终端的IMSI以及预先存储的多个终端的IMSI、公钥以及属性标识的对应关系获取目标终端对应的公钥以及目标终端的属性标识,然后根据公钥解密目标终端标识,得到目标终端的地址,然后将根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址与目标终端的地址进行验证,在验证地址与目标终端的地址一致的情况下确定目标终端通过验证。由此,由于是核心网设备是根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址,并将生成的验证地址与解密后得到的目标终端的地址进行匹配验证。所以能够避免非法用户根据窃取到的目标终端的部分信息伪造目标终端的身份来通过核心网设备的验证,从而窃取更多的数据,提高了数据的安全性。
在S302中,目标终端可以配置客户身份识别(Subscriber Identity Module,SIM)卡、实体卡或eSIM卡,其中每个SIM可具有唯一的IMSI序号。目标终端可以通过目标终端上配置的SIM卡读取IMSI。
PUF是一种硬件安全技术,它利用固有的设备变化来对给定的输入产生不可克隆的唯一设备响应。在更高的层面上,PUF可以被认为类似于人类的生物识别——它们是每一块硅的固有和唯一标识符。
目标终端PUF则为基于目标终端生成的唯一的标识符。在得到目标终端PUF之后,目标终端可以根据PUF的激励函数或响应函数的哈希变换来作为目标终端的PUF标识。
目标终端标识可以是由目标终端基于目标终端的地址进行私钥加密得到的。其中,私钥与公钥对应,私钥与公钥可以是由目标终端将PUF的激励函数或响应函数输入秘钥对生成函数得到的。
目标终端类型可以是由目标终端根据自身设备类型确定的。示例性的,目标终端类型可以包括通用终端、军用编目终端。其中,通用终端点对应的字节可以为00,军用编目终端可以对应的字节可以为01。
目标终端的属性标识可以是预置在目标终端的标识。
图4为目标终端地址的示意图,如图4所示,目标终端地址可以包括:
目标终端的地址可以包括IPv6,在IPv6地址中,目标终端类型为前两个字节,IMSI与PUF标识的哈希函数可以为前两个字节后的32个字节,最后的30个字节可以为目标终端的属性标识。
在一些实施例中,在S304之前,终端认证方法还可以包括:
将目标终端的IMSI与预先存储的多个终端的IMSI进行匹配。
其中,将目标终端的IMSI与预先存储的多个终端的IMSI进行匹配可以根据目标终端的IMSI对目标终端进行验证,在验证通过之后,才根据验证通过的IMSI与预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系获取公钥以及目标终端的属性标识。
由此,由于在进行获取公钥以及目标终端的属性标识的操作之前,首先对目标终端的IMSI进行了验证,所以避免了由于没有对目标终端的IMSI进行验证从而导致的无法获取目标终端的属性标识以及公钥问题。
在一些实施方式中,S304具体可以包括:
在预先存储的多个终端的IMSI中存在与目标终端的IMSI匹配结果一致的情况下,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识。
可以理解的是,在核心网设备根据目标终端的IMSI以及预先存储的IMSI与公钥以及目标终端属性的对应关系获取公钥以及目标终端的属性标识之前,核心网设备已经接收到了目标终端发送的多个终端的IMSI、公钥与属性标识之间的对应关系,并将上述对应关系进行了存储。
在S306中,目标终端根据目标终端的PUF响应函数以及密钥对生成函数生成对应私钥与公钥。
其中,生成的公钥与私钥可以互相进行解密。
在S308中,核心网设备生成验证地址的方法与目标终端生成目标终端的地址的方法相同。
可以理解的是,在核心网设备目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址之前,核心网设备已经接收到了目标终端发送的生成验证地址的规则,并将上述规则进行存储。
可以理解的是,在S310中,在确定目标终端的地址与验证地址一致之前,核心网设备需要将目标终端的地址与验证地址进行对比。对比方式可以包括按照字节对比。
在一些实施例中,在S302之后,终端认证方法还可以包括:根据目标终端发送的目标终端的类型确定上述目标终端是否需要进行验证。
S302还可以包括:
接收目标终端发送的目标终端类型;
根据目标终端发送的目标终端的类型确定上述目标终端是否需要进行验证;
在上述目标终端需要进行验证的情况下,接收目标终端发送的目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识。
作为一个示例,在核心网设备接收到目标终端类型为通用终端的情况下,则继续之后的认证流程,在接收的目标终端类型为军用编目终端的情况下,确定目标终端不需要进行之后的认证流程。
基于相同的发明构思,本公开实施例中提供了另一种终端认证方法,应用于目标终端,该方法可以由任意具备计算处理能力的电子设备执行。
如图5所示,终端认证方法可以包括:
S502,向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,,并根据公钥解密目标终端标识,得到目标终端的地址;目标终端标识是将目标终端的地址进行私钥加密得到的,公钥与私钥相对应;
S504,接收核心网设备发送的目标终端验证通过消息,目标终端验证通过消息是核心网设备在根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在目标终端的地址与验证地址一致的情况下生成的。
本公开的实施例所提供的终端认证方法中,目标终端向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识后,核心网设备根据目标终端的IMSI以及预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系获取目标终端对应的公钥以及目标终端的属性标识,然后根据公钥解密目标终端标识,得到目标终端的地址,然后将根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址与目标终端的地址进行验证,在验证地址与目标终端的地址一致的情况下确定目标终端通过验证。由此,由于是核心网设备是根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址,并将生成的验证地址与解密后得到的目标终端的地址进行匹配验证。所以能够避免非法用户根据窃取到的目标终端的部分信息伪造目标终端的身份来通过核心网设备的验证,从而窃取更多的数据,提高了数据的安全性。
在S502中,目标终端可以使用网络存储基于标准网络协议实现数据传输(NetworkAttached Storage,NAS)信令来完成与核心网设备的信息交互。
由于本实施例与上述终端认证方法的实施例相对应,因此上述实施例已经对本实施例进行详细的说明,此处不再赘述。
在一些实施例中,在S502之前,终端认证方法还可以包括:
将目标终端的IMSI以及预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,以使核心网设备将对应关系进行存储。
由此,由于目标终端预先将多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,所以能够使得核心网设备根据目标终端之后发送的目标终端的IMSI获取与上述目标终端对应的公钥以及目标终端的属性标识。
在一些实施例中,在S502之后,终端认证方法还可以包括:
接收核心网设备发送的验证失败的消息,验证失败的消息是核心网设备在预先存储的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下生成的。
由此,由于是预先对目标终端的IMSI进行了认证,所以可以避免由于目标终端的IMSI不可用,却依然对IMSI与对应关系进行匹配所造成的程序浪费的问题。提高了终端认证的效率。
在一些实施例中,在S502之前,终端认证方法还可以包括:
根据目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成目标终端的地址;
利用与公钥对应的私钥加密目标终端的地址,得到目标终端的标识。
其中,根据目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成目标终端的地址的方法已经在终端认证系统的实施例中进行了详细的说明,此处不再赘述。
基于同一发明构思,本公开实施例中还提供了一种终端认证装置,应用于核心网设备,如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图6示出本公开实施例中一种终端认证装置示例图,如图6所示,终端认证装置600可以包括:
第一接收模块602,用于接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
第一获取模块604,用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;
解密模块606,用于根据公钥解密目标终端标识,得到目标终端的地址;
第一生成模块608,用于根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
第一确定模块610,用于根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址。
在本公开的一个实施例中,终端认证装置600还可以包括:
匹配模块,在根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识之前,用于将目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
第一获取模块604,可以包括:
第一获取单元,用于在预先存储的多个终端的IMSI中存在与目标终端的IMSI匹配结果一致的情况下,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识。
在本公开的一个实施例中,终端认证装置600还可以包括:
第二确定模块,可以用于在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下,确定终端验证失败。
本公开的实施例所提供的终端认证装置中,核心网设备接收目标终端发送的目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识后,根据目标终端的IMSI以及预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系获取目标终端对应的公钥以及目标终端的属性标识,然后根据公钥解密目标终端标识,得到目标终端的地址,然后将根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址与目标终端的地址进行验证,在验证地址与目标终端的地址一致的情况下确定目标终端通过验证。由此,由于是核心网设备是根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址,并将生成的验证地址与解密后得到的目标终端的地址进行匹配验证。所以能够避免非法用户根据窃取到的目标终端的部分信息伪造目标终端的身份来通过核心网设备的验证,从而窃取更多的数据,提高了数据的安全性
基于同一发明构思,本公开实施例中还提供了另一种终端认证装置,应用于目标终端,如下面的实施例。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图7示出本公开实施例中一种终端认证装置示例图,如图7所示,终端认证装置700可以包括:
第一发送模块702,用于向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,,并根据公钥解密目标终端标识,得到目标终端的地址;目标终端标识是将目标终端的地址进行私钥加密得到的,公钥与私钥相对应;
第二接收模块704,用于接收核心网设备发送的目标终端验证通过消息,目标终端验证通过消息是核心网设备在根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在目标终端的地址与验证地址一致的情况下生成的。
在本公开的一个实施例中,终端认证装置700还可以包括:
第二发送模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端PUF标识以及目标终端标识之前,用于将多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,以使核心网设备将对应关系进行存储。
在本公开的一个实施例中,终端认证装置700还可以包括:
第三接收模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之后,用于接收核心网设备发送的目标终端验证失败的消息,验证失败的消息是核心网设备在在预先存储的多个终端的IMSI中不存在与目标终端的IMSI匹配结果一致的情况下生成的。
在本公开的一个实施例中,终端认证装置700还可以包括:
第二生成模块,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之前,用于根据目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成目标终端的地址;
第二确定模块,用于利用与公钥对应的私钥加密目标终端的地址,得到目标终端的标识。
本公开的实施例所提供的终端认证装置中,目标终端向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识后,核心网设备根据目标终端的IMSI以及预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系获取目标终端对应的公钥以及目标终端的属性标识,然后根据公钥解密目标终端标识,得到目标终端的地址,然后将根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址与目标终端的地址进行验证,在验证地址与目标终端的地址一致的情况下确定目标终端通过验证。由此,由于是核心网设备是根据目标终端类型、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端的属性标识生成的验证地址,并将生成的验证地址与解密后得到的目标终端的地址进行匹配验证。所以能够避免非法用户根据窃取到的目标终端的部分信息伪造目标终端的身份来通过核心网设备的验证,从而窃取更多的数据,提高了数据的安全性。
本公开实施例提供的终端认证装置,可以用于执行上述各方法实施例提供的终端认证方法,其实现原理和技术效果类似,为简便起见,在此不再赘述。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图8来描述根据本公开的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
其中,存储单元存储有程序代码,程序代码可以被处理单元810执行,使得处理单元810执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,处理单元810可以执行上述方法实施例的如下步骤:接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,公钥与私钥相对应;
根据公钥解密目标终端标识,得到目标终端的地址;
根据目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
在目标终端的地址与验证地址一致的情况下,确定目标终端通过验证。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备840(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、目标终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在目标终端设备上运行时,程序代码用于使目标终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动目标终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。
Claims (13)
1.一种终端认证方法,其特征在于,应用于核心网设备,包括:
接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,所述目标终端标识是所述目标终端将目标终端的地址进行私钥加密得到的;
根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,所述公钥与所述私钥相对应;
根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;
根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
在所述目标终端的地址与所述验证地址一致的情况下,确定所述目标终端通过验证。
2.根据权利要求1所述的方法,其特征在于,在根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识之前,所述方法还包括:
将所述目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,具体包括:
在所述预先存储的多个终端的IMSI中存在与所述目标终端的IMSI匹配结果一致的情况下,根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述预先存储的多个终端的IMSI中不存在与所述目标终端的IMSI匹配结果一致的情况下,确定所述终端验证失败。
4.一种终端认证方法,其特征在于,应用于目标终端,包括:
向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使所述核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,并根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;所述目标终端标识是将目标终端的地址进行私钥加密得到的,所述公钥与所述私钥相对应;
接收所述核心网设备发送的目标终端验证通过消息,所述目标终端验证通过消息是所述核心网设备在根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在所述目标终端的地址与所述验证地址一致的情况下生成的。
5.根据权利要求4所述的方法,其特征在于,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端PUF标识以及目标终端标识之前,所述方法还包括:
将所述多个终端的IMSI、公钥与属性标识之间的对应关系发送至核心网设备,以使所述核心网设备将所述对应关系进行存储。
6.根据权利要求4所述的方法,其特征在于,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之后,所述方法还包括:
接收所述核心网设备发送的目标终端验证失败的消息,所述验证失败的消息是所述核心网设备在在所述预先存储的多个终端的IMSI中不存在与所述目标终端的IMSI匹配结果一致的情况下生成的。
7.根据权利要求4所述的方法,其特征在于,在向核心网设备发送目标终端类型、目标终端的IMSI、目标终端的PUF标识以及目标终端标识之前,所述方法还包括:
根据所述目标终端类型、目标终端的IMSI、PUF标识、目标终端的属性标识以及预设规则生成所述目标终端的地址;
利用与所述公钥对应的私钥加密所述目标终端的地址,得到所述目标终端的标识。
8.一种终端认证系统,其特征在于,所述系统包括:核心网设备和目标终端;
其中,所述目标终端用于向所述核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端物理不可克隆PUF标识以及目标终端标识,所述目标终端标识是目标终端将目标终端的地址进行私钥加密得到的;
所述核心网设备用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识;根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;在所述目标终端的地址与所述验证地址一致的情况下,确定所述目标终端通过验证。
9.根据权利要求8所述的系统,其特征在于,所述核心网设备包括:
身份认证服务功能ISF网元,认证管理功能AMF网元,统一数据管理UDM网元以及业务管理功能SMF网元;
所述UDM网元用于预先存储所述多个终端的IMSI、公钥与属性标识之间的对应关系;向所述AMF网元发送所述对应关系,以使所述AMF网元根据接收到的所述目标终端的IMSI与预先存储的多个终端的IMSI进行匹配;
所述AMF网元用于接收所述目标终端发送的所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端标识;根据所述目标终端的IMSI以及所述UDM网元中预先存储的所述对应关系获取所述公钥以及目标终端的属性标识;将所述目标终端类型、公钥、目标终端的属性标识、目标终端的IMSI、PUF标识以及目标终端标识发送至所述ISF网元;
所述ISF网元用于根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并在所述目标终端的地址与所述验证地址一致的情况下,确定所述目标终端通过验证;
所述SMF网元用于接收所述ISF网元发送的目标终端验证通过的消息。
10.一种终端认证装置,其特征在于,应用于核心网设备,包括:
第一接收模块,用于接收目标终端发送的目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识,所述目标终端标识是所述目标终端将目标终端的地址进行私钥加密得到的;
第一获取模块,用于根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,所述公钥与所述私钥相对应;
解密模块,用于根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;
生成模块,用于根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址;
第一确定模块,用于在所述目标终端的地址与所述验证地址一致的情况下,确定所述目标终端通过验证。
11.一种终端认证装置,其特征在于,应用于目标终端,包括:
第一发送模块,用于向核心网设备发送目标终端类型、目标终端的国际移动用户识别码IMSI、目标终端的物理不可克隆PUF标识以及目标终端标识;以使所述核心网设备根据预先存储的多个终端的IMSI、公钥与属性标识之间的对应关系以及目标终端的IMSI,确定目标终端对应的公钥以及属性标识,并根据所述公钥解密所述目标终端标识,得到所述目标终端的地址;所述目标终端标识是将目标终端的地址进行私钥加密得到的,所述公钥与所述私钥相对应;
第二接收模块,用于接收所述核心网设备发送的目标终端验证通过消息,所述目标终端验证通过消息是所述核心网设备在根据所述目标终端类型、目标终端的IMSI、PUF标识以及目标终端的属性标识生成验证地址,并且在所述目标终端的地址与所述验证地址一致的情况下生成的。
12.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~7中任意一项所述终端验证方法。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~7中任意一项所述的终端验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210651970.2A CN114915487B (zh) | 2022-06-09 | 2022-06-09 | 终端认证方法、系统、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210651970.2A CN114915487B (zh) | 2022-06-09 | 2022-06-09 | 终端认证方法、系统、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114915487A CN114915487A (zh) | 2022-08-16 |
| CN114915487B true CN114915487B (zh) | 2023-10-03 |
Family
ID=82770856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210651970.2A Active CN114915487B (zh) | 2022-06-09 | 2022-06-09 | 终端认证方法、系统、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915487B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019056971A1 (zh) * | 2017-09-25 | 2019-03-28 | 华为技术有限公司 | 一种鉴权方法及设备 |
| EP3547734A1 (en) * | 2018-03-30 | 2019-10-02 | Koninklijke KPN N.V. | Authentication for a communication system |
| CN111050324A (zh) * | 2019-12-30 | 2020-04-21 | 江苏全链通信息科技有限公司 | 5g终端设备接入方法、设备及存储介质 |
| CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
| CN112351000A (zh) * | 2020-10-16 | 2021-02-09 | 深圳Tcl新技术有限公司 | 双向身份验证方法、系统、设备及存储介质 |
| CN112615834A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种安全认证方法及系统 |
| CN113055176A (zh) * | 2019-12-26 | 2021-06-29 | 中国电信股份有限公司 | 终端认证方法和系统、终端设备、p2p验证平台和介质 |
| CN114124513A (zh) * | 2021-11-18 | 2022-03-01 | 中国电信股份有限公司 | 身份认证方法、系统、装置、电子设备和可读介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8938792B2 (en) * | 2012-12-28 | 2015-01-20 | Intel Corporation | Device authentication using a physically unclonable functions based key generation system |
-
2022
- 2022-06-09 CN CN202210651970.2A patent/CN114915487B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019056971A1 (zh) * | 2017-09-25 | 2019-03-28 | 华为技术有限公司 | 一种鉴权方法及设备 |
| EP3547734A1 (en) * | 2018-03-30 | 2019-10-02 | Koninklijke KPN N.V. | Authentication for a communication system |
| CN113055176A (zh) * | 2019-12-26 | 2021-06-29 | 中国电信股份有限公司 | 终端认证方法和系统、终端设备、p2p验证平台和介质 |
| CN111050324A (zh) * | 2019-12-30 | 2020-04-21 | 江苏全链通信息科技有限公司 | 5g终端设备接入方法、设备及存储介质 |
| CN111953705A (zh) * | 2020-08-20 | 2020-11-17 | 全球能源互联网研究院有限公司 | 物联网身份认证方法、装置及电力物联网身份认证系统 |
| CN112351000A (zh) * | 2020-10-16 | 2021-02-09 | 深圳Tcl新技术有限公司 | 双向身份验证方法、系统、设备及存储介质 |
| CN112615834A (zh) * | 2020-12-08 | 2021-04-06 | 北京北信源软件股份有限公司 | 一种安全认证方法及系统 |
| CN114124513A (zh) * | 2021-11-18 | 2022-03-01 | 中国电信股份有限公司 | 身份认证方法、系统、装置、电子设备和可读介质 |
Non-Patent Citations (1)
| Title |
|---|
| Giuseppe Bianchi ; Alberto La Rosa ; Gabriele Restuccia.RIOT-AKA: cellular-like authentication over IoT devices.《2021 IEEE 29th International Conference on Network Protocols (ICNP)》.2021,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114915487A (zh) | 2022-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150499B (zh) | 动态加密数据的方法、装置、计算机设备和存储介质 | |
| CN112737779B (zh) | 一种密码机服务方法、装置、密码机及存储介质 | |
| CN109302369B (zh) | 一种基于密钥验证的数据传输方法及装置 | |
| CN110621014B (zh) | 一种车载设备及其程序升级方法、服务器 | |
| US11159329B2 (en) | Collaborative operating system | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| CN112615834B (zh) | 一种安全认证方法及系统 | |
| CN115065466B (zh) | 密钥协商方法、装置、电子设备和计算机可读存储介质 | |
| CN111131416A (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| CN111200593A (zh) | 应用登录方法、装置和电子设备 | |
| WO2018120938A1 (zh) | 密钥离线传输方法、终端和存储介质 | |
| CN112632573A (zh) | 智能合约执行方法、装置、系统、存储介质及电子设备 | |
| CN111510448A (zh) | 汽车ota升级中的通讯加密方法、装置及系统 | |
| CN113709111B (zh) | 连接的建立方法及装置 | |
| CN113038463B (zh) | 一种通讯加密认证实验装置 | |
| KR101836211B1 (ko) | 전자 기기 인증 매니저 장치 | |
| CN111064577A (zh) | 一种安全认证方法、装置及电子设备 | |
| CN114915487B (zh) | 终端认证方法、系统、装置、设备及存储介质 | |
| CN113381855B (zh) | 通信方法和系统 | |
| CN109684852B (zh) | 一种数据交换的导引装置及方法 | |
| CN108702615B (zh) | 保护接口以及用于建立安全通信链路的过程 | |
| CN118174967B (zh) | 信息验证方法及相关设备 | |
| CN113194090B (zh) | 鉴权方法、鉴权装置、终端设备及计算机可读存储介质 | |
| CN113536335B (zh) | 一种支付系统国密算法动态更新的方法 | |
| CN112926076B (zh) | 一种数据处理的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |