CN117156436A - 一种基于国密算法的5g认证方法及功能实体 - Google Patents

一种基于国密算法的5g认证方法及功能实体 Download PDF

Info

Publication number
CN117156436A
CN117156436A CN202311126120.1A CN202311126120A CN117156436A CN 117156436 A CN117156436 A CN 117156436A CN 202311126120 A CN202311126120 A CN 202311126120A CN 117156436 A CN117156436 A CN 117156436A
Authority
CN
China
Prior art keywords
authentication
entity
ausf
seaf
algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311126120.1A
Other languages
English (en)
Inventor
姚戈
徐雷
张曼君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202311126120.1A priority Critical patent/CN117156436A/zh
Publication of CN117156436A publication Critical patent/CN117156436A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于国密算法的5G认证方法及功能实体,该方法包括步骤:认证授权服务实体接收来自AUSF实体传送的UE认证获取请求;认证授权服务实体对UE认证获取请求进行UE认证响应;所述认证授权服务实体包括UDM实体、和/或ARPF实体;认证授权服务实体将UE认证响应发送给AUSF实体;AUSF实体向SEAF实体发送第一接入认证响应,以使SEAF实体确定出SEAF实体的UE认证结果;AUSF实体接收SEAF实体的第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;AUSF实体验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以分别从服务商的角度和归属网络的角度进行UE认证。该方法能够实现5G网络接入认证过程中的国密应用,保护终端用户与网络的安全。

Description

一种基于国密算法的5G认证方法及功能实体
技术领域
本发明涉及网络技术领域,尤其涉及一种基于国密算法的5G认证方法、AUSF实体、SEAF实体及认证授权服务实体。
背景技术
在3GPP TS33.501标准中规定的5G-AKA认证机制主要采用AES、SHA-256等国际密码算法,我国国密算法不作为备选项。但是,5G网络面向的党政军企垂直行业用户往往有高安全需求,要求5G网络提供基于国密的安全能力,而现有技术无法满足“自主研发”,“自主可控”等安全要求。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提出一种基于国密算法的5G认证方法、AUSF实体、SEAF实体、UDM实体及ARPF实体,该方法能够实现5G网络接入认证过程中的国密应用,保护终端用户与网络的安全。
第一方面,本发明提供一种基于国密算法的5G认证方法,该方法包括如下步骤:
步骤S1:UE将SUCI发送给SEAF实体,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤S2:SEAF实体向AUSF实体传送第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称;
步骤S3:AUSF实体根据第一接入认证请求,确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,所述认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤S4:认证授权服务实体对UE认证获取请求进行UE认证响应,所述UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
步骤S5:认证授权服务实体将UE认证响应发送给AUSF实体;
步骤S6:AUSF实体向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功,进入步骤S7;否则SEAF实体从服务商的角度确认UE认证失败,结束流程;
其中,所述第一接入认证响应用于响应第一接入认证请求,所述HXRES*为第一接入认证响应携带的第二哈希期望认证,所述HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
步骤S7:SEAF实体向AUSF实体发送第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤S8:AUSF实体接收到第二接入认证请求后,验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,则AUSF实体从归属网络的角度确认UE认证成功,进入步骤S9;否则确定AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,所述第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,所述KSEAF是根据KAUSF推衍得到的;
步骤S9:AUSF实体将KSEAF和解密后的SUPI发送至SEAF实体,以完成基于国密算法的5G认证;其中,KSEAF和解密后的SUPI用于生成和验证安全标识符,以确保UE的正确识别和验证。
进一步地,所述步骤S4中的第一哈希期望认证结果XRES*,其获取步骤如下:
认证授权服务实体生成一个随机数RAND;
认证授权服务实体将随机数和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出XRES、AUTN;
认证授权服务实体将XRES和RAND作为基于国密SM3算法的KDF函数的输入,输出XRES*。
进一步地,所述步骤S6中的RES*,其获取步骤如下:
步骤S61:UE中将RAND和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出响应RES;
步骤S62:UE基于国密SM3算法中KDF函数,根据RES计算出RES*。
进一步地,所述步骤S4中的AUSF密钥KAUSF是认证授权服务实体采用HMAC-SM3-256算法从长期密钥K推衍出来的;
所述步骤S6中,所述HRES*为:SEAF实体采用HMAC-SM3-256算法从RES*中计算得到的;
所述步骤S8中,所述KSEAF为:AUSF实体采用HMAC-SM3-256算法从KAUSF推衍得到的。
第二方面,本发明提供一种基于国密算法的5G认证方法,该方法应用于认证授权服务实体,所述认证授权服务实体包括UDM实体、和/或ARPF实体,该方法包括如下步骤:
步骤A1:接收来自AUSF实体传送的UE认证获取请求,所述UE认证获取请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤A2:对UE认证获取请求进行UE认证响应,所述UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
步骤A3:将UE认证响应发送给AUSF实体,以使AUSF实体响应UE认证获取请求,从而完成基于国密算法的5G认证。
第三方面,本发明提供基于国密算法的5G认证方法,该方法应用于AUSF实体,该方法包括如下步骤:
步骤B1:接收来自SEAF实体传送的第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤B2:确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,以使得所述认证授权服务实体对UE认证获取请求进行UE认证响应;
其中,所述认证授权服务实体对认证获取请求进行UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF;所述认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤B3:接收到所述认证授权服务实体发送的UE认证响应;
步骤B4:向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证;
步骤B5:接收SEAF实体的第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤B6:验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,AUSF实体从归属网络的角度确认UE认证成功,否则AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,所述第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,所述KSEAF是根据KAUSF推衍得到的。
第四方面,本发明提供一种基于国密算法的5G认证方法,该方法应用于SEAF实体,该方法包括如下步骤:
步骤C1:向AUSF实体传送第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤C2:接收AUSF实体传送的第一接入认证响应;
步骤C3:根据第一接入认证响应,从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功;否则SEAF实体从服务商的角度确认UE认证失败;
其中,所述第一接入认证响应用于响应第一接入认证请求,所述HXRES*为第一接入认证响应携带的第二哈希期望认证,所述HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
步骤C4:向AUSF实体发送第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤C5:接收AUSF实体传送的第二接入认证响应,以使AUSF实体从归属网络的角度进行UE认证。
第五方面,本发明提供一种认证授权服务实体,所述认证授权服务实体包括UDM实体、和/或ARPF实体,该认证授权服务实体包括包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据第二方面所述的基于国密算法的5G认证方法。
第六方面,本发明提供一种AUSF实体,该AUSF实体包括包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据第三方面所述的基于国密算法的5G认证方法。
第七方面,本发明提供一种SEAF实体,该SEAF实体包括包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据第四方面所述的基于国密算法的5G认证方法。
本发明的有益效果:
1.本发明能够实现5G网络接入认证过程中的国密应用,保护终端用户与网络的安全;
2.终端侧UE和核心网UDM网元内SIDF采用国密SM2算法对SUPI进行加解密,UDM调用国密认证模块,采用基于国密SM4和SM3算法生成认证向量,UDM和AUSF实体分别采用国密SM3算法推衍出密钥KAUSF和KSEAF,其具有以下优势:
安全性:国密算法(包括SM2、SM4和SM3)是中国自主研发的密码算法,经过充分的安全评估和标准化,具有较高的抗攻击能力。
高效性:SM2相较于传统的RSA算法,具有更高的加解密速度和更短的密钥长度,能够提供更快的计算速度和更高的系统性能;
自主可控:国密算法(包括SM2、SM4和SM3)是中国自主设计和标准化的密码算法,能够自主选择、部署和使用国密算法,确保国内通信和数据安全的自主可控性。
附图说明
图1为本发明实施例中的基于国密算法的5G-AKA认证;
图2为本发明实施例中的5G AKA的认证流程。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
本发明提供一种基于国密算法的5G认证方法,该方法包括如下步骤:
步骤S1:UE将SUCI发送给SEAF实体,SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤S2:SEAF实体向AUSF实体传送第一接入认证请求,第一接入认证请求携带SUCI和服务商名称;
步骤S3:AUSF实体根据第一接入认证请求,确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤S4:认证授权服务实体对UE认证获取请求进行UE认证响应,UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密SUCI得到解密后的SUPI,5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
作为一种具体的实施方式,步骤S4中的第一哈希期望认证结果XRES*,其获取步骤如下:
认证授权服务实体生成一个随机数RAND;
认证授权服务实体将随机数和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出XRES、AUTN;
认证授权服务实体将XRES和RAND作为基于国密SM3算法的KDF函数的输入,输出XRES*。
作为一种具体的实施方式,步骤S4中的AUSF密钥KAUSF是认证授权服务实体采用HMAC-SM3-256算法从长期密钥K推衍出来的。
步骤S5:认证授权服务实体将UE认证响应发送给AUSF实体;
步骤S6:AUSF实体向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功,进入步骤S7;否则SEAF实体从服务商的角度确认UE认证失败,结束流程;
其中,第一接入认证响应用于响应第一接入认证请求,HXRES*为第一接入认证响应携带的第二哈希期望认证,HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
作为一种具体的实施方式,步骤S6中的RES*,其获取步骤如下:
步骤S61:UE中将RAND和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出响应RES;
步骤S62:UE基于国密SM3算法中KDF函数,根据RES计算出RES*。
作为一种具体的实施方式,HRES*为:SEAF实体采用HMAC-SM3-256算法从RES*中计算得到的。
步骤S7:SEAF实体向AUSF实体发送第二接入认证请求,第二接入认证请求携带有来自UE的认证结果RES*;
步骤S8:AUSF实体接收到第二接入认证请求后,验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,则AUSF实体从归属网络的角度确认UE认证成功,进入步骤S9;否则确定AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,KSEAF是根据KAUSF推衍得到的;
作为一种具体的实施方式,所述KSEAF为:AUSF实体采用HMAC-SM3-256算法从KAUSF推衍得到的。
步骤S9:AUSF实体将KSEAF和解密后的SUPI发送至SEAF实体,以完成基于国密算法的5G认证;其中,KSEAF和解密后的SUPI用于生成和验证安全标识符,以确保UE的正确识别和验证。
本实施例是针对5G-AKA认证机制进行的改进。
其中,5G AKA的认证流程如图2所示,具体步骤如下:
步骤1:UDM/ARPF对每个Nudm_Authenticate_Get Request消息创建一个包含RAND、AUTN、XRES*和KAUSF的认证向量5G HE AV。
步骤2:UDM在Nudm_UEAuthentication_Get Response消息中向AUSF实体返回所请求的5G HE AV以及从SUCI解密得到的SUPI。
步骤3:AUSF实体应临时保存XRES*及接收到的SUPI。
步骤4:AUSF实体应基于从UDM/ARPF接收到的5G HE AV生成一个5G AV。从XRES*计算出HXRES*,从KAUSF推衍出KSEAF
步骤5:然后AUSF实体应移除KSEAF,通过NAUSF实体_UEAuthentication_Authenticate响应把5G SE AV(RAND,AUTN,HXRES*)发送至SEAF实体。
步骤6:SEAF实体应通过NAS消息(Auth-Req)向UE发送RAND和AUTN。
步骤7:收到RAND和AUTN后,USIM应检查AUTN是否被接受,以此来验证认证向量是否为最新。若验证通过,USIM应计算响应RES,并向ME返回RES、CK、IK。ME应从RES计算RES*。
步骤8:UE应在NAS消息认证响应中将RES*返回给SEAF实体。
步骤9:SEAF实体应从RES*计算HRES*,并比较HRES*和HXRES*。若两值一致,SEAF实体应从服务网的角度认为认证成功。
步骤10:SEAF实体应将来自UE的RES*通过NAUSF实体_UEAuthentication_Authenticate Request消息发送给AUSF实体。
步骤11:当接收到包含RES*的NAUSF实体
_UEAuthentication_Authenticate Request消息时,AUSF实体可验证AV是否已到期。若AV未过期,AUSF实体应将接收到的RES*与存储的XRES*进行比较。若RES*和XRES*一致,AUSF实体应从归属网络的角度认为认证成功。
步骤12:AUSF实体应通过在NAUSF实体
_UEAuthentication_Authenticate Response向SEAF实体指示认证是否成功。若认证成功,则应将KSEAF和解密后的SUPI发送至SEAF实体。
本实施例采用国密算法构建5G-AKA认证机制,在终端和核心网之间进行双向身份认证,以实现终端安全接入5G网络。为支持基于国密算法的5G-AKA认证机制,需先将终端侧UE和核心网UDM网元内SIDF(用户标识符去隐藏功能)的算法改造为SM2算法。当UE首次接入网络时,基于国密算法的5G-AKA认证过程如图2所示,具体步骤如下:
(1)UE采用SM2算法,对SUPI进行加密生成SUCI。
(2)将SUCI发送给SEAF实体。
(3)SEAF实体将UE认证请求消息发送至AUSF实体。请求消息中包含用户的SUCI和服务网名称SN-name。
(4)AUSF实体检查请求方SEAF实体是否有权使用接收到的服务网名称。如果是,则将请求信息发送至UDM。
(5)UDM调用SIDF,SIDF采用SM2算法解密SUCI得到SUPI。
(6)UDM调用国密认证模块,采用SM4算法计算认证向量HE SM AV。具体地,UDM生成一个随机数RAND。然后将RAND和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出XRES、AUTN,然后将XRES和RAND作为基于国密SM3算法的KDF函数的输入,输出XRES*。
(7)UDM采用HMAC-SM3-256算法从长期密钥K推衍出KAUSF,将由RAND、AUTN、XRES*、KAUSF组成的5G HE AV以及SUPI发送给AUSF实体。
(8)AUSF实体储存认证向量中的XRES*,并采用SM3-256算法从XRES*计算出HXRES*。
(9)AUSF实体将包含RAND、AUTN、HXRES*组成的5GSE AV发送给SEAF实体。
(10)SEAF实体应通过NAS消息向UE发送RAND和AUTN。
(11)UE中将RAND和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出响应RES,然后采用基于国密SM3算法的KDF函数从RES计算RES*。
(12)UE在NAS消息认证响应中将RES*返回给SEAF实体。
(13)SEAF实体采用SM3-256算法从RES*计算出HRES*,并比较HRES*和HXRES*。若两值一致,SEAF实体从服务网的角度认为认证成功。
(14)SEAF实体将来自UE的RES*通过UE认证请求消息发送给AUSF实体。
(15)AUSF实体验证AV是否已到期。若AV未过期,AUSF实体应将接收到的RES*与存储的XRES*进行比较。若RES*和XRES*一致,AUSF实体应从归属网络的角度认为认证成功。
(16)AUSF实体应通过UE认证响应消息向SEAF实体指示认证是否成功。AUSF实体采用HMAC-SM3-256算法从KAUSF推衍出KSEAF,将KSEAF和解密后的SUPI发送至SEAF实体。
其中:
AUSF(Authentication Server Function)是认证服务器功能,用于认证和鉴权用户设备。
SEAF(Security Edge Access Function)是安全接入边缘函数,用于实现用户设备的安全接入和网络边缘保护功能。
UDM(Unified Data Management)是统一数据管理,用于管理和控制用户数据。
ARPF(Access and Mobility Management Function Router Policy Function)是接入和移动管理功能路由策略功能,用于管理和控制用户设备的接入和移动性。
UE(User Equipment)是用户设备,指智能手机、平板电脑、智能手表等终端设备。
实施例2:
如图1所示,本实施例提供一种基于国密算法的5G认证方法,该方法应用于认证授权服务实体,认证授权服务实体包括UDM实体、和/或ARPF实体,该方法包括如下步骤:
步骤A1:接收来自AUSF实体传送的UE认证获取请求,所述UE认证获取请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤A2:对UE认证获取请求进行UE认证响应,所述UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
步骤A3:将UE认证响应发送给AUSF实体,以使AUSF实体响应UE认证获取请求,从而完成基于国密算法的5G认证。
实施例3:
如图1所示,本实施例提供基于国密算法的5G认证方法,该方法应用于AUSF实体,该方法包括如下步骤:
步骤B1:接收来自SEAF实体传送的第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤B2:确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,以使得所述认证授权服务实体对UE认证获取请求进行UE认证响应;
其中,所述认证授权服务实体对认证获取请求进行UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF;所述认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤B3:接收到所述认证授权服务实体发送的UE认证响应;
步骤B4:向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证;
步骤B5:接收SEAF实体的第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤B6:验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,AUSF实体从归属网络的角度确认UE认证成功,否则AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,所述第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,所述KSEAF是根据KAUSF推衍得到的。
实施例4:
如图1所示,本实施例提供一种基于国密算法的5G认证方法,该方法应用于SEAF实体,该方法包括如下步骤:
步骤C1:向AUSF实体传送第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤C2:接收AUSF实体传送的第一接入认证响应;
步骤C3:根据第一接入认证响应,从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功;否则SEAF实体从服务商的角度确认UE认证失败;
其中,所述第一接入认证响应用于响应第一接入认证请求,所述HXRES*为第一接入认证响应携带的第二哈希期望认证,所述HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
步骤C4:向AUSF实体发送第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤C5:接收AUSF实体传送的第二接入认证响应,以使AUSF实体从归属网络的角度进行UE认证。
实施例5:
本实施例提供一种UDM实体,该UDM实体包括包括存储器和处理器,该存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据实施例2所述的基于国密算法的5G认证方法。
实施例6:
本实施例提供一种ARPF实体,该ARPF实体包括包括存储器和处理器,该存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据实施例2所述的基于国密算法的5G认证方法。
实施例7:
本实施例提供一种AUSF实体,该AUSF实体包括包括存储器和处理器,该存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据实施例3所述的基于国密算法的5G认证方法。
实施例8:
本实施例提供一种SEAF实体,该SEAF实体包括包括存储器和处理器,该存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据实施例4所述的基于国密算法的5G认证方法。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种基于国密算法的5G认证方法,其特征在于,所述方法包括如下步骤:
步骤S1:UE将SUCI发送给SEAF实体,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤S2:SEAF实体向AUSF实体传送第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称;
步骤S3:AUSF实体根据第一接入认证请求,确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,所述认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤S4:认证授权服务实体对UE认证获取请求进行UE认证响应,所述UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
步骤S5:认证授权服务实体将UE认证响应发送给AUSF实体;
步骤S6:AUSF实体向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功,进入步骤S7;否则SEAF实体从服务商的角度确认UE认证失败,结束流程;
其中,所述第一接入认证响应用于响应第一接入认证请求,所述HXRES*为第一接入认证响应携带的第二哈希期望认证,所述HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
步骤S7:SEAF实体向AUSF实体发送第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤S8:AUSF实体接收到第二接入认证请求后,验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,则AUSF实体从归属网络的角度确认UE认证成功,进入步骤S9;否则确定AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,所述第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,所述KSEAF是根据KAUSF推衍得到的;
步骤S9:AUSF实体将KSEAF和解密后的SUPI发送至SEAF实体,以完成基于国密算法的5G认证;其中,KSEAF和解密后的SUPI用于生成和验证安全标识符,以确保UE的正确识别和验证。
2.根据权利要求1所述的基于国密算法的5G认证方法,其特征在于,
所述步骤S4中的第一哈希期望认证结果XRES*,其获取步骤如下:
认证授权服务实体生成一个随机数RAND;
认证授权服务实体将随机数和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出XRES、AUTN;
认证授权服务实体将XRES和RAND作为基于国密SM3算法的KDF函数的输入,输出XRES*。
3.根据权利要求1所述的基于国密算法的5G认证方法,其特征在于,
所述步骤S6中的RES*,其获取步骤如下:
步骤S61:UE中将RAND和长期密钥K作为基于国密SM4算法的f系列函数的输入,输出响应RES;
步骤S62:UE基于国密SM3算法中KDF函数,根据RES计算出RES*。
4.根据权利要求1至3任一项所述的基于国密算法的5G认证方法,其特征在于,
所述步骤S4中的AUSF密钥KAUSF是认证授权服务实体采用HMAC-SM3-256算法从长期密钥K推衍出来的;
所述步骤S6中,所述HRES*为:SEAF实体采用HMAC-SM3-256算法从RES*中计算得到的;
所述步骤S8中,所述KSEAF为:AUSF实体采用HMAC-SM3-256算法从KAUSF推衍得到的。
5.一种基于国密算法的5G认证方法,应用于认证授权服务实体,所述认证授权服务实体包括UDM实体、和/或ARPF实体,其特征在于,所述方法包括如下步骤:
步骤A1:接收来自AUSF实体传送的UE认证获取请求,所述UE认证获取请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤A2:对UE认证获取请求进行UE认证响应,所述UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF
步骤A3:将UE认证响应发送给AUSF实体,以使AUSF实体响应UE认证获取请求,从而完成基于国密算法的5G认证。
6.一种基于国密算法的5G认证方法,应用于AUSF实体,其特征在于,所述方法包括如下步骤:
步骤B1:接收来自SEAF实体传送的第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤B2:确认SEAF实体有权使用接收到的服务商名称之后,向认证授权服务实体发送UE认证获取请求,以使得所述认证授权服务实体对UE认证获取请求进行UE认证响应;
其中,所述认证授权服务实体对认证获取请求进行UE认证响应包括基于国密算法获得的5G认证向量、及采用SM2算法解密所述SUCI得到解密后的SUPI,所述5G认证向量包括第一哈希期望认证结果XRES*和AUSF密钥KAUSF;所述认证授权服务实体包括UDM实体、和/或ARPF实体;
步骤B3:接收到所述认证授权服务实体发送的UE认证响应;
步骤B4:向SEAF实体发送第一接入认证响应,以使SEAF实体从服务商的角度进行UE认证;
步骤B5:接收SEAF实体的第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤B6:验证5G认证向量是否过期、及验证RES*和XRES*是否一致,以从归属网络的角度进行UE认证:
若5G HE AV未过期、且RES*和XRES*一致时,AUSF实体从归属网络的角度确认UE认证成功,否则AUSF实体从归属网络的角度确认UE认证失败,结束流程;其中,所述第二接入认证响应携带SEAF密钥KSEAF、及解密后的SUPI,所述KSEAF是根据KAUSF推衍得到的。
7.一种基于国密算法的5G认证方法,应用于SEAF实体,其特征在于,所述方法包括如下步骤:
步骤C1:向AUSF实体传送第一接入认证请求,所述第一接入认证请求携带SUCI和服务商名称,所述SUCI为UE采用SM2算法,对SUPI进行加密得到的;
步骤C2:接收AUSF实体传送的第一接入认证响应;
步骤C3:根据第一接入认证响应,从服务商的角度进行UE认证:
当HXRES*与HRES*一致时,则SEAF实体从服务商的角度确认UE认证成功;否则SEAF实体从服务商的角度确认UE认证失败;
其中,所述第一接入认证响应用于响应第一接入认证请求,所述HXRES*为第一接入认证响应携带的第二哈希期望认证,所述HRES*为基于国密SM3算法从RES*中获得的;HXRES*是基于XRES*计算得到的;
步骤C4:向AUSF实体发送第二接入认证请求,所述第二接入认证请求携带有来自UE的认证结果RES*;
步骤C5:接收AUSF实体传送的第二接入认证响应,以使AUSF实体从归属网络的角度进行UE认证。
8.一种认证授权服务实体,所述认证授权服务实体包括UDM实体、和/或ARPF实体,其特征在于,所述认证授权服务实体包括包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求5所述的基于国密算法的5G认证方法。
9.一种AUSF实体,其特征在于,所述AUSF实体包括包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求6所述的基于国密算法的5G认证方法。
10.一种SEAF实体,其特征在于,所述SEAF实体包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求7所述的基于国密算法的5G认证方法。
CN202311126120.1A 2023-09-01 2023-09-01 一种基于国密算法的5g认证方法及功能实体 Pending CN117156436A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311126120.1A CN117156436A (zh) 2023-09-01 2023-09-01 一种基于国密算法的5g认证方法及功能实体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311126120.1A CN117156436A (zh) 2023-09-01 2023-09-01 一种基于国密算法的5g认证方法及功能实体

Publications (1)

Publication Number Publication Date
CN117156436A true CN117156436A (zh) 2023-12-01

Family

ID=88900327

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311126120.1A Pending CN117156436A (zh) 2023-09-01 2023-09-01 一种基于国密算法的5g认证方法及功能实体

Country Status (1)

Country Link
CN (1) CN117156436A (zh)

Similar Documents

Publication Publication Date Title
CN108111301B (zh) 基于后量子密钥交换实现ssh协议的方法及其系统
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
US8059818B2 (en) Accessing protected data on network storage from multiple devices
EP3073668B1 (en) Apparatus and method for authenticating network devices
CN101409619B (zh) 闪存卡及虚拟专用网密钥交换的实现方法
CN113228721B (zh) 通信方法和相关产品
CN114398602B (zh) 一种基于边缘计算的物联网终端身份认证方法
CN108683510A (zh) 一种加密传输的用户身份更新方法
WO2010012203A1 (zh) 鉴权方法、重认证方法和通信装置
KR20080090534A (ko) 모바일 네트워크에서 재귀 인증을 위한 방법 및 시스템
CN110493177B (zh) 基于非对称密钥池对和序列号的量子通信服务站aka密钥协商方法和系统
CN108471352A (zh) 基于分布式私钥的处理方法、系统、计算机设备及存储介质
CN101296086A (zh) 接入认证的方法、系统和设备
CN114386020B (zh) 基于量子安全的快速二次身份认证方法及系统
CN115767539A (zh) 基于终端标识符更新的5g认证方法
CN112804356B (zh) 一种基于区块链的联网设备监管认证方法及系统
EP3281431A1 (en) Uicc key provisioning
CN103781026B (zh) 通用认证机制的认证方法
TWI878539B (zh) 一種防止加密用戶識別符被重播攻擊的方法
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
CN115865520B (zh) 移动云服务环境中具有隐私保护的认证和访问控制方法
Yoon et al. Security enhancement scheme for mobile device using H/W cryptographic module
CN114339740B (zh) 一种用于5g通信的aka认证方法及系统
CN117156436A (zh) 一种基于国密算法的5g认证方法及功能实体
CN113141327B (zh) 一种信息处理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination