CN115567938A - 一种基于区块链认证5g网络中关键设备的方法 - Google Patents

一种基于区块链认证5g网络中关键设备的方法 Download PDF

Info

Publication number
CN115567938A
CN115567938A CN202211532452.5A CN202211532452A CN115567938A CN 115567938 A CN115567938 A CN 115567938A CN 202211532452 A CN202211532452 A CN 202211532452A CN 115567938 A CN115567938 A CN 115567938A
Authority
CN
China
Prior art keywords
message
value
identity information
key
ausf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211532452.5A
Other languages
English (en)
Other versions
CN115567938B (zh
Inventor
李雪茹
罗远哲
刘瑞景
王玲洁
李冠蕊
罗晓婷
申慈恩
杨京
李玉琼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing China Super Industry Information Security Technology Ltd By Share Ltd
Original Assignee
Beijing China Super Industry Information Security Technology Ltd By Share Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing China Super Industry Information Security Technology Ltd By Share Ltd filed Critical Beijing China Super Industry Information Security Technology Ltd By Share Ltd
Priority to CN202211532452.5A priority Critical patent/CN115567938B/zh
Publication of CN115567938A publication Critical patent/CN115567938A/zh
Application granted granted Critical
Publication of CN115567938B publication Critical patent/CN115567938B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于区块链认证5G网络中关键设备的方法,属于信息安全技术领域。该方法基于区块链来完成关键设备和AUSF/ARPF之间的认证,并且,在该方法中,通过对关键设备和AUSF/ARPF的双向认证方式,提高了认证的安全性高,同时能够缩短操作过程。进一步,本发明采用关键设备和AUSF/ARPF将用户假名身份信息和公钥消息注册到区块链,然后通过区块链进行安全的认证并建立会话密钥,由于使用了区块链,认证过程中不存在单点故障,可以应用于分布式场景。并且该方法能够抵抗DoS攻击、重放攻击等多种攻击,并支持相互认证,同时能够提供完美的前向保密。

Description

一种基于区块链认证5G网络中关键设备的方法
技术领域
本发明涉及信息安全技术领域,特别是涉及一种基于区块链认证5G网络中关键设备的方法。
背景技术
随着5G技术以及硬件存储技术的发展,物联网作为互联网技术的延伸应用在智能交通、定位导航、物流管理、安全控制等领域。但是随着连接到互联网中的设备越来越多,物联网设备和应用的融合化、多样化,给物联网带来了更多的不安全性,导致物联网面临大量的安全问题和挑战。尤其是作为保密区域内的关键设备(服务器、交换机等),这些关键设备在物联网中要接入5G网络,要保证关键设备的安全性,需要对其进行安全的身份认证。现有的安全认证方法一般是采用密钥进行认证,一旦攻击者获取得到私钥就能够计算得到其他设备的密钥,进而威胁设备认证的安全性。
发明内容
为解决现有技术存在的上述问题,本发明提供了一种基于区块链认证5G网络中关键设备的方法。
为实现上述目的,本发明提供了如下方案:
一种基于区块链认证5G网络中关键设备的方法,包括:
构建区块链网络;
在所述区块链网络中写入关键设备的假名身份信息和关键设备的公钥,以及AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥;
选取第一随机值和第一当前时间戳,基于第一随机值确定第一公钥;
基于所述第一公钥确定第一中间值;
基于第一中间值、第一随机值 第一公钥和当前关键设备的假名身份信息确定第一消息值;
根据第一消息值和第一公钥生成当前关键设备的签名,并基于当前关键设备的假名身份信息、第一公钥、第一消息值和第一当前时间戳生成第一消息后,将第一消息发送给AMF/SEAF;
AMF/SEAF接收到第一消息后,将服务标识和第一消息打包转发给AUSF/ARPF;
AUSF/ARPF收到服务标识和第一消息后,验证服务标识是否合法;
如果服务标识不合法,则拒绝认证;
如果服务标识合法,则AUSF/ARPF验证第一当前时间戳是否在合法的时间内;
如果第一当前时间戳不在合法的时间内,则拒绝认证;
如果第一当前时间戳在合法时间内,则AUSF/ARPF查询区块链中是否存在当前关键设备的假名身份信息;
如果区块链中不存在当前关键设备的假名身份信息,这拒绝认证;
如果区块链中存在当前关键设备的假名身份信息,则AUSF/ARPF从区块链中获取关键设备的公钥,并基于第一公钥确定第二中间值;
基于第二中间值、第一消息值、第一公钥和关键设备的公钥验证第一签名是否成立;
如果第一签名不成立,则认证结束;
如果第一签名成立,则AUSF/ARPF认证关键设备完成,此时,AUSF/ARPF选取第二随机值和第二当前时间戳;
基于所述第二随机值确定第二公钥;
基于所述第二公钥确定第三中间值;
基于所述第三中间值、当前AUSF/ARPF的身份信息确定第二消息值;
基于第二公钥和第二消息值生成AUSF/ARPF的签名;
AUSF/ARPF生成第一会话密钥,并基于所述第一会话密钥、所述当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第一哈希消息;
基于所述第一哈希消息、第二公钥、第二消息值和第二当前时间戳生成第二消息,并将第二消息发送给AMF/SEAF;
当AMF/SEAF接收到第二消息后,AMF/SEAF将第二消息转发给关键设备;
当关键设备接收到第二消息后,验证收到的第二当前时间戳是否在合法的时间内;
如果第二当前时间戳不在合法时间内,则认证结束;如果第二当前时间戳在合法时间内,则查询区块链中是否存在当前AUSF/ARPF的身份信息;
如果区块链中不存在当前AUSF/ARPF的身份信息,则认证结束;
如果区块链中存在当前AUSF/ARPF的身份信息,则关键设备获取对应的服务器公钥;
基于第二公钥确定第四中间值;
基于第四中间值、服务器公钥、第二消息值和第二公钥验证第二签名是否成立;
如果第二签名不成立,则认证结束;
如果第二签名成立,则关键设备生成第二会话密钥,并基于第二会话密钥、所述当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第二哈希消息;
判断所述第一哈希消息和所述第二哈希消息是否相等;
如果所述第一哈希消息和所述第二哈希消息相等,则生成第三会话密钥,关键设备与AUSF/ARPF采用第三会话密钥进行通信;如果所述第一哈希消息和所述第二哈希消息不相等,关键设备和AUSF/ARPF间拒绝通信。
优选地,在所述区块链网络中写入关键设备的假名身份信息和关键设备的公钥的过程包括:
选择第三随机值,基于所述第三随机值生成关键设备的公钥,并生成第一真实身份信息;
选择第四随机值,基于所述第四随机值确定第一签名值、第五中间值、第六中间值和第二签名值,以生成第一真实身份信息的签名;
基于第三随机值和服务器公钥确定第七中间值,并基于第七中间值和第一真实身份信息生成第三消息值;
基于第三消息值、第一真实身份信息的签名和关键设备的公钥生成第三消息;
基于第三消息确定第二签名值;
基于第二签名值和第三消息值确定第二真实身份信息;
基于第一真实身份信息生成第八中间值,并基于第一签名值确定第九中间值;
基于第二签名值、第二真实身份信息、第八中间值和第九中间值验证第三签名是否成立;
如果第三签名不成立,则写入失败;
如果第三签名成立,则关键设备认证完成;
判断数据库是否存在第一真实身份信息;
如果不存在第一真实身份信息,则拒绝写入;
如果存在第一真实身份信息,存储第一真实身份信息,并生成关键设备的假名身份信息;
根据第一真实身份信息和假名身份信息确定第四消息值和第五消息值,并基于第四消息值和第五消息值生成第四消息;
基于第四消息重新确定假名身份信息,并依据重新确定的假名身份信息、第一真实身份信息和第七中间值确定第六消息值;
比较第五消息值和第六消息值是否相等;
如果第五消息值和第六消息值不相等,则拒绝写入;
如果第五消息值和第六消息值相等,则AUSF/ARPF认证完成,此时关键设备保存重新确定的假名身份信息,并将第三消息发送给区块链;
当区块链网络收到第三消息后,矿机验证第三消息,如果第三消息有效,则将关键设备的假名身份信息和关键设备的公钥写入区块链中;
如果第三消息无效,则拒绝写入。
优选地,在所述区块链网络中写入AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥的过程包括:
选取第五随机值,根据第五随机值生成AUSF/ARPF的公钥,并生成AUSF/ARPF的真实身份信息;
基于AUSF/ARPF的公钥确定第八中间值,并基于第八中间值确定第七消息值,以生成AUSF/ARPF的签名和第四消息,将第四消息发送给区块链;
当区块链网络收到第四消息后,矿机验证第四消息是否有效,若第四消息有效,矿机将AUSF/ARPF的真实身份信息和公钥写入区块链中;若第四消息有效,则拒绝写入。
优选地,所述第一签名为:
Figure 100002_DEST_PATH_IMAGE001
其中,
Figure 674414DEST_PATH_IMAGE002
为第二中间值、
Figure 100002_DEST_PATH_IMAGE003
为第一消息值、F KE 为第一公钥,H KE 为关键设备的公钥,PID KE 为假名身份信息,
Figure 451134DEST_PATH_IMAGE004
为第一中间值,h KE 为第三随机值,
Figure 100002_DEST_PATH_IMAGE005
为第一随机值的相反数,D为约化除子。
优选地,所述第二签名为:
Figure 330097DEST_PATH_IMAGE006
其中,
Figure 100002_DEST_PATH_IMAGE007
为第二消息值,
Figure 457322DEST_PATH_IMAGE008
为第四中间值、S为服务器公钥、G S 为第二公钥,ID S 为AUSF/ARPF的真实身份信息,s为随机数,
Figure 100002_DEST_PATH_IMAGE009
为第五随机值的相反数,
Figure 636499DEST_PATH_IMAGE010
为第三中间值。
优选地,所述第三签名为:
Figure 100002_DEST_PATH_IMAGE011
其中,
Figure 328993DEST_PATH_IMAGE012
为第二签名值、K KE 为第一签名值、H KE 为关键设备的公钥,
Figure 100002_DEST_PATH_IMAGE013
为第九中间值,
Figure 288728DEST_PATH_IMAGE014
为第八中间值,
Figure 100002_DEST_PATH_IMAGE015
为第五中间值,
Figure 422906DEST_PATH_IMAGE016
为第四随机值的相反数。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明提供的基于区块链认证5G网络中关键设备的方法,基于区块链来完成关键设备和AUSF/ARPF之间的认证,并且,在该方法中,通过对关键设备和AUSF/ARPF的双向认证方式,提高了认证的安全性高,同时能够缩短操作过程。进一步,本发明采用关键设备和AUSF/ARPF将用户假名身份信息和公钥消息注册到区块链,然后通过区块链进行安全的认证并建立会话密钥,由于使用了区块链,认证过程中不存在单点故障,可以应用于分布式场景。并且该方法能够抵抗DoS攻击、重放攻击等多种攻击,并支持相互认证,同时能够提供完美的前向保密。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于区块链认证5G网络中关键设备的方法的流程图;
图2为本发明实施例提供的基于区块链认证5G网络中关键设备的方法的流程简图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种基于区块链认证5G网络中关键设备的方法,以提高设备认证的安全性。
专业术语解释:
AUSF/ARPF:AUSF是指身份验证服务器功能,英文全称为Authentication ServerFunction。ARPF是指认证凭证存储库和处理功能,英文全称为Authentication credentialRepository and Processing Function。
AMF/SEAF:AMF是指接入和移动性管理功能,英文全称为Access and MobilityManagement Function。SEAF是指安全锚定功能,英文全称为Security Anchor Function。
KE:关键设备,英文全称为Key Equipment。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明提供的基于区块链认证5G网络中关键设备的方法,包括:
构建区块链网络。
在区块链网络中写入关键设备的假名身份信息和关键设备的公钥,以及AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥。
选取第一随机值和第一当前时间戳,基于第一随机值确定第一公钥。
基于第一公钥确定第一中间值。
基于第一中间值、第一随机值 第一公钥和当前关键设备的假名身份信息确定第一消息值。
根据第一消息值和第一公钥生成当前关键设备的签名,并基于当前关键设备的假名身份信息、第一公钥、第一消息值和第一当前时间戳生成第一消息后,将第一消息发送给AMF/SEAF。
AMF/SEAF接收到第一消息后,将服务标识和第一消息打包转发给AUSF/ARPF。
AUSF/ARPF收到服务标识和第一消息后,验证服务标识是否合法。
如果服务标识不合法,则拒绝认证。
如果服务标识合法,则AUSF/ARPF验证第一当前时间戳是否在合法的时间内。
如果第一当前时间戳不在合法的时间内,则拒绝认证。
如果第一当前时间戳在合法时间内,则AUSF/ARPF查询区块链中是否存在当前关键设备的假名身份信息。
如果区块链中不存在当前关键设备的假名身份信息,这拒绝认证。
如果区块链中存在当前关键设备的假名身份信息,则AUSF/ARPF从区块链中获取关键设备的公钥,并基于第一公钥确定第二中间值。
基于第二中间值、第一消息值、第一公钥和关键设备的公钥验证第一签名是否成立。
如果第一签名不成立,则认证结束。
如果第一签名成立,则AUSF/ARPF认证关键设备完成,此时,AUSF/ARPF选取第二随机值和第二当前时间戳。
基于第二随机值确定第二公钥。
基于第二公钥确定第三中间值。
基于第三中间值、当前AUSF/ARPF的身份信息确定第二消息值。
基于第二公钥和第二消息值生成AUSF/ARPF的签名。
AUSF/ARPF生成第一会话密钥,并基于第一会话密钥、当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第一哈希消息。
基于第一哈希消息、第二公钥、第二消息值和第二当前时间戳生成第二消息,并将第二消息发送给AMF/SEAF。
当AMF/SEAF接收到第二消息后,AMF/SEAF将第二消息转发给关键设备。
当关键设备接收到第二消息后,验证收到的第二当前时间戳是否在合法的时间内。
如果第二当前时间戳不在合法时间内,则认证结束;如果第二当前时间戳在合法时间内,则查询区块链中是否存在当前AUSF/ARPF的身份信息。
如果区块链中不存在当前AUSF/ARPF的身份信息,则认证结束。
如果区块链中存在当前AUSF/ARPF的身份信息,则关键设备获取对应的服务器公钥。
基于第二公钥确定第四中间值。
基于第四中间值、服务器公钥、第二消息值和第二公钥验证第二签名是否成立。
如果第二签名不成立,则认证结束。
如果第二签名成立,则关键设备生成第二会话密钥,并基于第二会话密钥、当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第二哈希消息。
判断第一哈希消息和第二哈希消息是否相等。
如果第一哈希消息和第二哈希消息相等,则生成第三会话密钥,关键设备与AUSF/ARPF采用第三会话密钥进行通信。如果第一哈希消息和第二哈希消息不相等,关键设备和AUSF/ARPF间拒绝通信。
其中,在区块链网络中写入关键设备的假名身份信息和关键设备的公钥的过程为:
选择第三随机值,基于第三随机值生成关键设备的公钥,并生成第一真实身份信息。
选择第四随机值,基于第四随机值确定第一签名值、第五中间值、第六中间值和第二签名值,以生成第一真实身份信息的签名。
基于第三随机值和服务器公钥确定第七中间值,并基于第七中间值和第一真实身份信息生成第三消息值。
基于第三消息值、第一真实身份信息的签名和关键设备的公钥生成第三消息。
基于第三消息确定第二签名值。
基于第二签名值和第三消息值确定第二真实身份信息。
基于第一真实身份信息生成第八中间值,并基于第一签名值确定第九中间值。
基于第二签名值、第二真实身份信息、第八中间值和第九中间值验证第三签名是否成立。
如果第三签名不成立,则写入失败。
如果第三签名成立,则关键设备认证完成。
判断数据库是否存在第一真实身份信息。
如果不存在第一真实身份信息,则拒绝写入。
如果存在第一真实身份信息,存储第一真实身份信息,并生成关键设备的假名身份信息。
根据第一真实身份信息和假名身份信息确定第四消息值和第五消息值,并基于第四消息值和第五消息值生成第四消息。
基于第四消息重新确定假名身份信息,并依据重新确定的假名身份信息、第一真实身份信息和第七中间值确定第六消息值。
比较第五消息值和第六消息值是否相等。
如果第五消息值和第六消息值不相等,则拒绝写入。
如果第五消息值和第六消息值相等,则AUSF/ARPF认证完成,此时关键设备保存重新确定的假名身份信息,并将第三消息发送给区块链。
当区块链网络收到第三消息后,矿机验证第三消息,如果第三消息有效,则将关键设备的假名身份信息和关键设备的公钥写入区块链中。
如果第三消息无效,则拒绝写入。
在区块链网络中写入AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥的过程为:
选取第五随机值,根据第五随机值生成AUSF/ARPF的公钥,并生成AUSF/ARPF的真实身份信息。
基于AUSF/ARPF的公钥确定第八中间值,并基于第八中间值确定第七消息值,以生成AUSF/ARPF的签名和第四消息,将第四消息发送给区块链。
当区块链网络收到第四消息后,矿机验证第四消息是否有效,若第四消息有效,矿机将AUSF/ARPF的真实身份信息和公钥写入区块链中。若第四消息有效,则拒绝写入。
下面提供一个实施案例,对上述提供的基于区块链认证5G网络中关键设备的方法的具体实施过程进行说明。
如图1和图2所示,该方法的实施流程为:
步骤一:构建一个有权限的区块链网络,该区块链网络的核心是共识机制,参与区块链系统共识机制的节点称为矿工。矿工负责将系统中的交易数据打包成块,并通过参与共识获得权限,从而在区块链上记录块。维护区块链网络的矿工依赖于实用的拜占庭容错共识机制,并验证事务,并将经过验证的事务存储在区块链上。任何实体都可以读取区块链上的信息。
AUSF/ARPF选取一条定义在有限域F q 上、亏格为g的超椭圆曲线G:
Figure DEST_PATH_IMAGE017
,其中q为大素数。
J(G,F q )为超椭圆曲线上的Jacobian商群,#J(G,F q )=nh为超椭圆曲线上的Jacobian商群的阶,其中,n是大素数因子,而h是一个很小的因子。基点
Figure 269639DEST_PATH_IMAGE018
,D∈J(G,F q ),D是一个n阶的约化除子,其中
Figure DEST_PATH_IMAGE019
Figure 57335DEST_PATH_IMAGE020
,a(u)和b(u)是有限域F q 中的两个多项式,u、a j b j 均为有限域F q 中的取值,j=0,1,...,gu j 是一个变量,最后的值对应u和j的值。对于g=2,a(u)=a2u2+a1u+a0,b(u)=b1u+b0,选一个随机数s∈F q 作为私钥,公钥为S=sD,标识服务器身份的IDs,映射
Figure DEST_PATH_IMAGE021
表示为
Figure 117083DEST_PATH_IMAGE022
Figure DEST_PATH_IMAGE023
。最后AUSF/ARPF选择二个安全的哈希函数:H 0H 1,并生成公共系统参数
Figure 664739DEST_PATH_IMAGE024
步骤二:关键设备(Key Equipment,KE)首先随机秘密选择h KE ,计算公钥
Figure DEST_PATH_IMAGE025
,生成自身的真实身份信息ID KE ,然后随机选取k KE ,计算
Figure 615246DEST_PATH_IMAGE026
,计算
Figure DEST_PATH_IMAGE027
Figure 980368DEST_PATH_IMAGE028
Figure DEST_PATH_IMAGE029
,此时
Figure 134269DEST_PATH_IMAGE030
是身份信息ID KE 的签名。关键设备计算
Figure DEST_PATH_IMAGE031
Figure 469305DEST_PATH_IMAGE032
,最后将消息
Figure DEST_PATH_IMAGE033
发送给AUSF/ARPF。
AUSF/ARPF收到消息后,首先计算
Figure 170192DEST_PATH_IMAGE034
Figure DEST_PATH_IMAGE035
Figure 581582DEST_PATH_IMAGE036
Figure DEST_PATH_IMAGE037
,验证签名:
Figure 472047DEST_PATH_IMAGE038
如果签名信息证明是相等的,那么就认证了关键设备,此时,AUSF/ARPF首先检查数据库是否存在身份信息ID KE ,如果不存在ID KE ,那么在本地数据库存储身份信息ID KE ,此时生成假名身份信息PID KE ,计算:
Figure DEST_PATH_IMAGE039
Figure 220560DEST_PATH_IMAGE040
计算完成后发送消息
Figure DEST_PATH_IMAGE041
给关键设备。
当关键设备收到消息后,首先计算
Figure 896392DEST_PATH_IMAGE042
Figure DEST_PATH_IMAGE043
,比较消息M 1
Figure 462371DEST_PATH_IMAGE044
是否相等,如果相等,那么认证了AUSF/ARPF,此时关键设备保存假名身份信息PID KE ,然后将消息
Figure DEST_PATH_IMAGE045
发送给区块链。
当区块链网络收到消息后,矿机计算
Figure 590864DEST_PATH_IMAGE046
,并验证如下签名消息
Figure DEST_PATH_IMAGE047
如果签名消息有效,那么矿机就将关键设备的假名身份PID KE 和公钥信息H KE 写入区块链中。
步骤三:AUSF/ARPF随机选取t S ,计算
Figure 145998DEST_PATH_IMAGE048
Figure DEST_PATH_IMAGE049
Figure 660025DEST_PATH_IMAGE050
,此时
Figure DEST_PATH_IMAGE051
是AUSF/ARPF的签名。AUSF/ARPF将消息
Figure 413217DEST_PATH_IMAGE052
发送给区块链。当区块链网络收到消息后,矿机首先计算
Figure DEST_PATH_IMAGE053
,并验证签名消息
Figure 153640DEST_PATH_IMAGE054
,如果签名消息有效,那么矿机就将AUSF/ARPF的身份标识IDs和公钥信息S写入区块链中。
步骤四:关键设备关键设备首先随机选取f KE 和当前时间戳T 1,计算
Figure DEST_PATH_IMAGE055
Figure 634169DEST_PATH_IMAGE056
Figure DEST_PATH_IMAGE057
,此时
Figure 284593DEST_PATH_IMAGE058
是关键设备的签名。关键设备将消息
Figure DEST_PATH_IMAGE059
发送给AMF/SEAF。
步骤五:AMF/SEAF接收到消息后,AMF/SEAF将其服务标识
Figure 799232DEST_PATH_IMAGE060
和消息一起转发给AUSF/ARPF。
步骤六:AUSF/ARPF收到消息后,首先验证AMF/SEAF将其服务标识
Figure DEST_PATH_IMAGE061
是否合法,如果合法,那么认证继续。AUSF/ARPF验证收到的时间戳T 1是否在合法的时间内,如果在合法时间内,则认证继续。AUSF/ARPF访问区块链。通过PID KE 查询区块链,如果PID KE 存在,那么认证继续,否则认证终止。此时AUSF/ARPF可以得到值H KE ,计算
Figure 151585DEST_PATH_IMAGE062
mod n,验证如下签名:
Figure DEST_PATH_IMAGE063
如果签名信息证明是相等的,那么AUSF/ARPF就认证了。
AUSF/ARPF随机选取g S 和当前时间戳T 2,计算
Figure 186537DEST_PATH_IMAGE064
Figure DEST_PATH_IMAGE065
Figure 816102DEST_PATH_IMAGE066
,此时
Figure DEST_PATH_IMAGE067
是AUSF/ARPF的签名。AUSF/ARPF生成如下会话密钥:
Figure 629206DEST_PATH_IMAGE068
计算
Figure DEST_PATH_IMAGE069
,最后将消息
Figure 485166DEST_PATH_IMAGE070
发送给AMF/SEAF。
步骤七:当AMF/SEAF接收到消息后,AMF/SEAF将消息转发给关键设备。
步骤八:当关键设备接收到消息后,关键设备验证收到的时间戳T 2是否在合法的时间内,如果在合法时间内,则认证继续。关键设备通过ID S 查询区块链,如果ID S 存在,那么表明注册的认证服务器存在,认证继续,否则认证终止。此时关键设备可以对应的服务器公钥值S,计算
Figure DEST_PATH_IMAGE071
,验证如下签名:
Figure 185794DEST_PATH_IMAGE072
如果签名信息证明是相等的,那么关键设备就认证了AUSF/ARPF。关键设备生成会话如下密钥:
Figure DEST_PATH_IMAGE073
接着计算
Figure 528919DEST_PATH_IMAGE074
,验证消息
Figure DEST_PATH_IMAGE075
KM 1是否相等,如果相等那么生成了相同的会话密钥。最后关键设备与AUSF/ARPF通过会话密钥进行通信。
基于上述描述,本发明提供的基于区块链认证5G网络中关键设备的方法还具有以下优点:
1、本发明所提供的方法中通信实体进行相互验证,避免了假冒攻击,保证了通信的安全性。
2、本发明是用户设备通过时间戳来保证消息的新鲜性,从而避免了重放攻击。
3、本发明中会话密钥的建立是依赖于关键设备、服务器选择的随机值f KE g S 以及其私钥,攻击者即使得到关键设备的私钥,也无法计算会话密钥。由此,密钥的前向安全性得到保证。
4、本发明中服务器和关键设备的身份和公钥信息都存储在区块链,提高了认证速度,并提供了跨服务器认证的方式。区块链存储设备假名身份信息和公钥信息,也可以在区块链存储多个假名身份信息进行认证,通过假名身份保护了设备的真实身份信息,并且不存在单点故障,可以应用于分布式场景。
5、本发明中由于认证过程中每一次会话都需要验证签名信息而确认身份信息,攻击者很难仿造会话消息,因此,可以抵抗伪造攻击。
6、本发明中会话密钥是由超椭圆曲线密码算法生成的,所以实际的会话密钥永远不会通过不安全的自由通道传输,因此,密钥的安全性得到保证。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (6)

1.一种基于区块链认证5G网络中关键设备的方法,其特征在于,包括:
构建区块链网络;
在所述区块链网络中写入关键设备的假名身份信息和关键设备的公钥,以及AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥;
选取第一随机值和第一当前时间戳,基于第一随机值确定第一公钥;
基于所述第一公钥确定第一中间值;
基于第一中间值、第一随机值 第一公钥和当前关键设备的假名身份信息确定第一消息值;
根据第一消息值和第一公钥生成当前关键设备的签名,并基于当前关键设备的假名身份信息、第一公钥、第一消息值和第一当前时间戳生成第一消息后,将第一消息发送给AMF/SEAF;
AMF/SEAF接收到第一消息后,将服务标识和第一消息打包转发给AUSF/ARPF;
AUSF/ARPF收到服务标识和第一消息后,验证服务标识是否合法;
如果服务标识不合法,则拒绝认证;
如果服务标识合法,则AUSF/ARPF验证第一当前时间戳是否在合法的时间内;
如果第一当前时间戳不在合法的时间内,则拒绝认证;
如果第一当前时间戳在合法时间内,则AUSF/ARPF查询区块链中是否存在当前关键设备的假名身份信息;
如果区块链中不存在当前关键设备的假名身份信息,这拒绝认证;
如果区块链中存在当前关键设备的假名身份信息,则AUSF/ARPF从区块链中获取关键设备的公钥,并基于第一公钥确定第二中间值;
基于第二中间值、第一消息值、第一公钥和关键设备的公钥验证第一签名是否成立;
如果第一签名不成立,则认证结束;
如果第一签名成立,则AUSF/ARPF认证关键设备完成,此时,AUSF/ARPF选取第二随机值和第二当前时间戳;
基于所述第二随机值确定第二公钥;
基于所述第二公钥确定第三中间值;
基于所述第三中间值、当前AUSF/ARPF的身份信息确定第二消息值;
基于第二公钥和第二消息值生成AUSF/ARPF的签名;
AUSF/ARPF生成第一会话密钥,并基于所述第一会话密钥、所述当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第一哈希消息;
基于所述第一哈希消息、第二公钥、第二消息值和第二当前时间戳生成第二消息,并将第二消息发送给AMF/SEAF;
当AMF/SEAF接收到第二消息后,AMF/SEAF将第二消息转发给关键设备;
当关键设备接收到第二消息后,验证收到的第二当前时间戳是否在合法的时间内;
如果第二当前时间戳不在合法时间内,则认证结束;如果第二当前时间戳在合法时间内,则查询区块链中是否存在当前AUSF/ARPF的身份信息;
如果区块链中不存在当前AUSF/ARPF的身份信息,则认证结束;
如果区块链中存在当前AUSF/ARPF的身份信息,则关键设备获取对应的服务器公钥;
基于第二公钥确定第四中间值;
基于第四中间值、服务器公钥、第二消息值和第二公钥验证第二签名是否成立;
如果第二签名不成立,则认证结束;
如果第二签名成立,则关键设备生成第二会话密钥,并基于第二会话密钥、所述当前AUSF/ARPF的身份信息和当前关键设备的假名身份信息确定第二哈希消息;
判断所述第一哈希消息和所述第二哈希消息是否相等;
如果所述第一哈希消息和所述第二哈希消息相等,则生成第三会话密钥,关键设备与AUSF/ARPF采用第三会话密钥进行通信;如果所述第一哈希消息和所述第二哈希消息不相等,关键设备和AUSF/ARPF间拒绝通信。
2.根据权利要求1所述的基于区块链认证5G网络中关键设备的方法,其特征在于,在所述区块链网络中写入关键设备的假名身份信息和关键设备的公钥的过程包括:
选择第三随机值,基于所述第三随机值生成关键设备的公钥,并生成第一真实身份信息;
选择第四随机值,基于所述第四随机值确定第一签名值、第五中间值、第六中间值和第二签名值,以生成第一真实身份信息的签名;
基于第三随机值和服务器公钥确定第七中间值,并基于第七中间值和第一真实身份信息生成第三消息值;
基于第三消息值、第一真实身份信息的签名和关键设备的公钥生成第三消息;
基于第三消息确定第二签名值;
基于第二签名值和第三消息值确定第二真实身份信息;
基于第一真实身份信息生成第八中间值,并基于第一签名值确定第九中间值;
基于第二签名值、第二真实身份信息、第八中间值和第九中间值验证第三签名是否成立;
如果第三签名不成立,则写入失败;
如果第三签名成立,则关键设备认证完成;
判断数据库是否存在第一真实身份信息;
如果不存在第一真实身份信息,则拒绝写入;
如果存在第一真实身份信息,存储第一真实身份信息,并生成关键设备的假名身份信息;
根据第一真实身份信息和假名身份信息确定第四消息值和第五消息值,并基于第四消息值和第五消息值生成第四消息;
基于第四消息重新确定假名身份信息,并依据重新确定的假名身份信息、第一真实身份信息和第七中间值确定第六消息值;
比较第五消息值和第六消息值是否相等;
如果第五消息值和第六消息值不相等,则拒绝写入;
如果第五消息值和第六消息值相等,则AUSF/ARPF认证完成,此时关键设备保存重新确定的假名身份信息,并将第三消息发送给区块链;
当区块链网络收到第三消息后,矿机验证第三消息,如果第三消息有效,则将关键设备的假名身份信息和关键设备的公钥写入区块链中;
如果第三消息无效,则拒绝写入。
3.根据权利要求2所述的基于区块链认证5G网络中关键设备的方法,其特征在于,在所述区块链网络中写入AUSF/ARPF的真实身份信息和AUSF/ARPF的公钥的过程包括:
选取第五随机值,根据第五随机值生成AUSF/ARPF的公钥,并生成AUSF/ARPF的真实身份信息;
基于AUSF/ARPF的公钥确定第八中间值,并基于第八中间值确定第七消息值,以生成AUSF/ARPF的签名和第四消息,将第四消息发送给区块链;
当区块链网络收到第四消息后,矿机验证第四消息是否有效,若第四消息有效,矿机将AUSF/ARPF的真实身份信息和公钥写入区块链中;若第四消息有效,则拒绝写入。
4.根据权利要求3所述的基于区块链认证5G网络中关键设备的方法,其特征在于,所述第一签名为:
Figure DEST_PATH_IMAGE001
其中,
Figure 834271DEST_PATH_IMAGE002
为第二中间值、
Figure DEST_PATH_IMAGE003
为第一消息值、F KE 为第一公钥,H KE 为关键设备的公钥,PID KE 为假名身份信息,
Figure 954673DEST_PATH_IMAGE004
为第一中间值,h KE 为第三随机值,
Figure DEST_PATH_IMAGE005
为第一随机值的相反数,D为约化除子。
5.根据权利要求4所述的基于区块链认证5G网络中关键设备的方法,其特征在于,所述第二签名为:
Figure 921361DEST_PATH_IMAGE006
其中,
Figure DEST_PATH_IMAGE007
为第二消息值,
Figure 519833DEST_PATH_IMAGE008
为第四中间值、S为服务器公钥、G S 为第二公钥,ID S 为AUSF/ARPF的真实身份信息,s为随机数,
Figure DEST_PATH_IMAGE009
为第五随机值的相反数,
Figure 521156DEST_PATH_IMAGE010
为第三中间值。
6.根据权利要求5所述的基于区块链认证5G网络中关键设备的方法,其特征在于,所述第三签名为:
Figure DEST_PATH_IMAGE011
其中,
Figure 546881DEST_PATH_IMAGE012
为第二签名值,K KE 为第一签名值,
Figure DEST_PATH_IMAGE013
为第九中间值,
Figure 865DEST_PATH_IMAGE014
为第八中间值,
Figure DEST_PATH_IMAGE015
为第五中间值,
Figure 524731DEST_PATH_IMAGE016
为第四随机值的相反数。
CN202211532452.5A 2022-12-02 2022-12-02 一种基于区块链认证5g网络中关键设备的方法 Active CN115567938B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211532452.5A CN115567938B (zh) 2022-12-02 2022-12-02 一种基于区块链认证5g网络中关键设备的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211532452.5A CN115567938B (zh) 2022-12-02 2022-12-02 一种基于区块链认证5g网络中关键设备的方法

Publications (2)

Publication Number Publication Date
CN115567938A true CN115567938A (zh) 2023-01-03
CN115567938B CN115567938B (zh) 2023-03-10

Family

ID=84770425

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211532452.5A Active CN115567938B (zh) 2022-12-02 2022-12-02 一种基于区块链认证5g网络中关键设备的方法

Country Status (1)

Country Link
CN (1) CN115567938B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2372948A1 (en) * 2010-03-19 2011-10-05 Huawei Technologies Co., Ltd. Method, device, and system for an identity-based forward-secure digital signature
CN110430061A (zh) * 2019-07-19 2019-11-08 东南大学 一种基于区块链技术的车联网设备身份认证方法
US20190386975A1 (en) * 2017-06-19 2019-12-19 Alibaba Group Holding Limited Authentication method and device, and blockchain-based authentication data processing method and device
CN113453170A (zh) * 2021-06-29 2021-09-28 重庆邮电大学 一种基于区块链技术的车联网的分布式认证方法
CN113824570A (zh) * 2021-11-23 2021-12-21 北京中超伟业信息安全技术股份有限公司 一种基于区块链的安全终端的认证方法和系统
WO2022001786A1 (zh) * 2020-06-30 2022-01-06 京东科技信息技术有限公司 基于区块链的数据处理方法、系统、处理设备及认证设备
CN115001721A (zh) * 2022-08-08 2022-09-02 北京科技大学 一种基于区块链的智能电网的安全认证方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2372948A1 (en) * 2010-03-19 2011-10-05 Huawei Technologies Co., Ltd. Method, device, and system for an identity-based forward-secure digital signature
US20190386975A1 (en) * 2017-06-19 2019-12-19 Alibaba Group Holding Limited Authentication method and device, and blockchain-based authentication data processing method and device
CN110430061A (zh) * 2019-07-19 2019-11-08 东南大学 一种基于区块链技术的车联网设备身份认证方法
WO2022001786A1 (zh) * 2020-06-30 2022-01-06 京东科技信息技术有限公司 基于区块链的数据处理方法、系统、处理设备及认证设备
CN113453170A (zh) * 2021-06-29 2021-09-28 重庆邮电大学 一种基于区块链技术的车联网的分布式认证方法
CN113824570A (zh) * 2021-11-23 2021-12-21 北京中超伟业信息安全技术股份有限公司 一种基于区块链的安全终端的认证方法和系统
CN115001721A (zh) * 2022-08-08 2022-09-02 北京科技大学 一种基于区块链的智能电网的安全认证方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
何源等: "无线网状网中基于盲签名的匿名认证方案", 《福建师范大学学报(自然科学版)》 *

Also Published As

Publication number Publication date
CN115567938B (zh) 2023-03-10

Similar Documents

Publication Publication Date Title
US11496310B2 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
US8589442B2 (en) Intersystem single sign-on
JP4896537B2 (ja) 非対称キーセキュリティのための方法およびシステム
US6105137A (en) Method and apparatus for integrity verification, authentication, and secure linkage of software modules
US8209744B2 (en) Mobile device assisted secure computer network communication
US9531540B2 (en) Secure token-based signature schemes using look-up tables
US10263782B2 (en) Soft-token authentication system
CN109347626B (zh) 一种具有反跟踪特性的安全身份认证方法
CN114785615B (zh) 一种云计算环境下用于物联网系统的轻量级认证方法
CN114422152A (zh) 一种基于puf和区块链的工业环境认证方法
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
JP2018026631A (ja) Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム
CN111259352A (zh) 一种基于零知识证明的云存储数据访问控制系统
CN115459992A (zh) 资源访问请求的处理方法、装置、存储介质及电子设备
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
Kara et al. VoIPChain: A decentralized identity authentication in Voice over IP using Blockchain
KR102157695B1 (ko) 익명 디지털 아이덴티티 수립 방법
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
Tsuji et al. One-time password authentication protocol against theft attacks
CN112667977A (zh) 面向智慧城市的区块链身份认证和访问控制方法及系统
CN115567938B (zh) 一种基于区块链认证5g网络中关键设备的方法
US8755521B2 (en) Security method and system for media playback devices
WO2022135388A1 (zh) 身份鉴别方法、装置、设备、芯片、存储介质及程序
CN109639695A (zh) 基于互信架构的动态身份认证方法、电子设备及存储介质
CN114826702A (zh) 数据库访问密码加密方法、装置和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant