WO2020147856A1

WO2020147856A1 - 认证处理方法、装置、存储介质及电子装置

Info

Publication number: WO2020147856A1
Application number: PCT/CN2020/072950
Authority: WO
Inventors: 彭锦; 游世林; 谢振华; 余万涛; 林兆骥; 邱永庆
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-01-18
Filing date: 2020-01-19
Publication date: 2020-07-23
Also published as: CN111464306A; CN111464306B; EP3913853A1; US20220124092A1; EP3913853A4

Abstract

本申请提供了一种认证处理方法、装置、存储介质及电子装置，该方法包括：终端接收来自认证功能的认证请求消息；所述终端在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

Description

认证处理方法、装置、存储介质及电子装置

本申请要求在2019年01月18日提交中国专利局、申请号为201910049058.8的中国专利申请的优先权，该申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，例如涉及一种认证处理方法、装置、存储介质及电子装置。

背景技术

第三代合作伙伴计划(3rd Generation Partnership Project，简称为3GPP)制定了各种移动网络的规范，包括认证与密钥协商过程(Authentication and Key Agreement，简称为AKA过程)，该过程用于终端(例如，用户设备(User Equipment，简称为UE))与网络的互相认证并建立共同的密钥。

在AKA过程方案中，当终端接收到来自网络的认证请求消息时，会对该消息进行验证(verify)，如果验证失败，终端将响应以认证失败消息(failure message)，该消息中携带失败原因参数(CAUSE)。如果该认证请求消息不是针对该终端的合法的认证请求消息，失败原因为消息验证码失败(MAC Failure)。如果该认证请求消息是针对该终端的合法的认证请求消息，但由于该消息被重放(replay)而已经被终端验证过，则失败原因为同步失败(Sync Failure)。

在这样的认证机制下，攻击者如果重放(replay)一个合法的认证请求消息，并接收终端响应的认证失败消息，分析认证失败消息中的失败原因，就能将该认证请求消息所针对的终端区分出来，从而能够确定某个终端在某个区域中是否存在。通过多次重放认证请求消息，并接收和分析认证失败消息，攻击者就实现了对用户的追踪，并可能用于对用户隐私的进一步攻击。

针对相关技术中的上述问题，目前尚未存在有效的解决方案。

发明内容

本申请实施例提供了一种认证处理方法、装置、存储介质及电子装置，以至少解决相关技术中AKA认证机制下，能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题。

根据本申请的一个实施例，提供了一种认证处理方法，包括：终端接收来自认证功能的认证请求消息；所述终端在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

根据本申请的另一个实施例，提供了一种认证处理方法，包括：认证功能接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败均携带同步失败参数；所述认证功能向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数；所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。

根据本申请的另一个实施例，提供了一种认证处理方法，包括：归属网络实体接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数；所述归属网络实体根据所述同步失败参数确定失败原因；所述归属网络实体将所述失败原因返回给所述认证功能。

根据本申请的另一个实施例，提供了一种认证处理装置，应用于终端，所述装置包括：接收模块，设置为接收来自认证功能的认证请求消息；反馈模块，设置为在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

根据本申请的另一个实施例，提供了一种认证处理装置，应用于认证功能，所述装置包括：第一接收模块，设置为接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败均携带同步失败参数；发送模块，设置为向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数；第二接收模块，设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。

根据本申请的另一个实施例，提供了一种认证处理装置，应用于归属网络实体，所述装置包括：接收模块，设置为接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数；确定模块，设置为根据所述同步失败参数确定失败原因；发送模块，设置为将所述失败原因返回给所述认证功能。

根据本申请的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本申请的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本申请实施例，由于在接收到来自认证功能的认证请求消息之后，无论认证失败的原因是消息验证码失败还是同步失败，均反馈相同种类的认证失败消息，这种对认证失败消息进行模糊化处理的方式，可以有效隐藏失败信息(包括失败原因和/或同步失败参数)，防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪，可以解决相关技术中AKA认证机制下，能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题，有效提高了认证过程的安全性和保密性。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例的一种认证处理方法的移动终端的硬件结构框图；

图2是根据本申请实施例1的认证处理方法的流程图；

图3是根据本申请实施例2的认证处理方法的流程图；

图4是根据本申请实施例3的认证处理方法的流程图；

图5是根据本申请实施例4的认证处理装置的结构框图；

图6是根据本申请实施例5的认证处理装置的结构框图；

图7是根据本申请实施例6的认证处理装置的结构框图；

图8是根据本申请实施例10的移动系统的结构示意图；

图9是根据本申请实施例10的5G技术AKA认证中终端响应认证失败消息的流程图；

图10是根据本申请实施例11的安全认证流程示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本申请。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例1

本申请实施例1所提供的方法实施例可以在终端(包括移动终端、计算机终端或者类似的运算装置)中执行。以运行在移动终端上为例，图1是本申请实施例的一种认证处理方法的移动终端的硬件结构框图。如图1所示，移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，可选地，上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述移动终端的结构造成限定。例如，移动终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本申请实施例中的认证处理方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种运行于终端的认证处理方法，图2是根据本申请实施例1的认证处理方法的流程图，如图2所示，该流程包括如下步骤：

步骤S202，终端接收来自认证功能的认证请求消息。

步骤S204，所述终端在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

可选地，上述步骤的执行主体可以为终端，包括但不限于包括移动终端、计算机终端或者类似的运算装置等等。

通过本实施例，由于在接收到来自认证功能的认证请求消息之后，无论认证失败的原因是消息验证码失败还是同步失败，均反馈相同种类的认证失败消息，这种对认证失败消息进行模糊化处理的方式，可以有效隐藏失败信息(包括失败原因和/或同步失败参数)，防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪，可以解决相关技术中AKA认证机制下，能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题，有效提高了认证过程的安全性和保密性。

考虑到攻击者通常是通过重放(replay)一个合法的认证请求消息来骗取认证失败消息，从中得到其中携带的同步失败信息(包括同步失败原因和/或同步失败参数)，因此，本实施例采用了对认证失败消息进行模糊化处理的方式，来达到让攻击者无法辨别有效的认证失败消息的目的。对认证失败消息进行模糊化处理的手段，可以对认证失败消息中的失败原因参数进行模糊化处理，或者也可以对认证失败消息中包括的同步失败参数进行模糊化处理，或者也可以对二者均进行模糊化处理。

作为一个示例性实施例，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息包括：在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。

作为一个示例性实施例，所述认证失败消息均携带相同的失败原因参数包括以下之一：所述失败原因参数均为空或相同的预定填充值；所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure；所述失败原因参数均为同步失败Sync Failure。

作为一个示例性实施例，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息包括：在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证失败消息均携带同步失败参数。

作为一个示例性实施例，在认证失败的原因为同步失败的情况下，所述同步失败参数是所述终端根据所述认证请求消息计算得到的；在认证失败的原因为消息验证码失败的情况下，所述同步失败参数为所述终端随机生成的，或者为预定值，或者为所述终端根据所述认证请求消息计算得到的。为了防止攻击者从同步失败参数的表现细节差异辨别出认证失败消息所真实指示的失败原因和/或同步失败参数真伪，作为一个可选的实施方式，所述终端随机生成的所述同步失败参数，或者所述预定值的数据长度与所述终端根据所述认证请求消息计算得到的所述同步失败消息的数据长度相同。

实施例2

在本实施例中提供了一种认证处理方法，该方法可以应用于认证功能，图3是根据本申请实施例2的认证处理方法的流程图，如图3所示，该流程包括如下步骤：

步骤S302，认证功能接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败均携带同步失败参数。

步骤S304，所述认证功能向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数。

步骤S306，所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。

通过本实施例，认证功能在接收到模糊化的认证失败消息之后，将接收到的认证失败消息中携带的同步失败参数发送给归属网络实体，并接收归属网络实体返回的失败原因，这使得认证功能后续能够根据该失败原因进行对应的认证处理。因为该方案在终端和认证功能之间进行了认证失败消息的模糊化处理，可以有效隐藏失败信息(包括失败原因和/或同步失败参数)，防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪，可以解决相关技术中AKA认证机制下，能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题，有效提高了认证过程的安全性和保密性。

作为一个示例性实施例，在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证功能接收到的所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。

作为一个示例性实施例，所述认证功能接收到的所述认证失败消息均携带相同的失败原因参数包括以下之一：所述失败原因参数均为空或相同的预定填充值；所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure；所述失败原因参数均为同步失败Sync Failure。

作为一个示例性实施例，所述方法还包括：所述认证功能在所述认证请求消息中添加预定失败指示，其中，所述预定失败指示包括以下之一：同步失败指示Sync Failure Indicator；消息验证码或同步失败指示MAC or Sync Failure Indicator。归属网络实体在接收到预定失败指示的情况下，会对终端上认证失败的具体原因进行判定，并通知认证功能，以便认证功能根据具体失败原因执行相对应的认证处理。

作为一个可选的实施例，在步骤S306之后，还可以包括：

步骤S308，所述认证功能根据所述归属网络实体返回的失败原因执行认证处理。具体的认证处理作为一个实施例可以参照以下描述处理。

如果失败原因“CAUSE”为消息验证码失败“MAC Failure”，则认证功能可以：终止认证过程；或者向终端发送终端标识请求消息；或者重新发起对终端的认证过程。

如果失败原因“CAUSE”为同步失败“Sync Failure”，则认证功能重新发起对终端的认证过程。

实施例3

在本实施例中提供了一种认证处理方法，该方法可以应用于归属网络实体，图4是根据本申请实施例3的认证处理方法的流程图，如图4所示，该流程包括如下步骤：

步骤S402，归属网络实体接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数。

步骤S404，所述归属网络实体根据所述同步失败参数确定失败原因。

步骤S406，所述归属网络实体将所述失败原因返回给所述认证功能。

通过本实施例，归属网络实体在接收到来自认证功能的认证请求消息之后，根据其中携带的同步失败参数判断真实的失败原因，并将失败原因返回给认证功能。因为认证功能和归属网络实体之间属于网络系统内部的通信，将失败原因判断和传递控制在网络系统内部，能够有效隐藏失败信息(包括失败原因和/或同步失败参数)，防止攻击者得到足够多的真实的同步失败信息用以对用户进行跟踪，可以解决相关技术中AKA认证机制下，能够通过多次重放一个合法的认证请求消息来实现对终端的追踪的问题，有效提高了认证过程的安全性和保密性。

作为一个示例性实施例，所述归属网络实体根据所述同步失败参数确定失败原因包括：

所述归属网络实体验证所述同步失败参数的有效性。

在验证所述同步失败参数无效的情况下，确定所述失败原因为消息验证码失败MAC Failure；在本实施例中，同步失败参数可以为AUTS，当归属网络验证AUTS中的MAC-S失败(也就是认定AUTS无效)时，则可以确定终端的失败原因是MAC失败，在前述的部分方案中，当终端产生MAC失败时，会将一个随机数或预定值填充到AUTS中，这个AUTS传回归属网络后，必定无法通过归属网络的消息验证，因此，归属网络可以通过验证AUTS中的MAC-S失败，来确定终端的失败原因为MAC失败。而在前述的另一部分方案中，当终端产生MAC失败时，会将根据认证请求消息计算的值填充到AUTS中，此时这个AUTS能够通过归属网络的消息验证，则可以采用下述验证所述同步失败参数有效的情况下基于序列号的确定失败原因的方法来进一步甄别具体失败原因是MAC失败还是同步失败。

在验证所述同步失败参数有效的情况下，所述归属网络实体根据所述同步失败参数计算所述终端的序列号SQN _MS，并根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因。

作为一个示例性实施例，所述归属网络实体根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因包括以下至少之一：所述归属网络实体在SQN _MS大于或等于SQN _HE的情况下，确定所述失败原因为同步失败Sync Failure；所述归属网络实体在SQN _MS小于SQN _HE的情况下，确定所述失败原因为消息验证码失败MAC Failure。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例1-3的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

实施例4

在本实施例中还提供了一种认证处理装置，该装置用于实现上述实施例1及可选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置可以以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图5是根据本申请实施例4的认证处理装置的结构框图，如图5所示，该装置应用于终端，所述装置可以包括：接收模块52，设置为接收来自认证功能的认证请求消息；反馈模块54，设置为在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

作为一个示例性实施例，在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。

作为一个示例性实施例，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证失败消息均携带同步失败参数。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例5

在本实施例中还提供了一种认证处理装置，该装置用于实现上述实施例2及可选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置可以以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本申请实施例5的认证处理装置的结构框图，如图6所示，该装置应用于认证功能，所述装置可以包括：第一接收模块62，设置为接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败均携带同步失败参数；发送模块64，设置为向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数；第二接收模块66，设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。

作为一个可选的实施方式，所述装置还可以包括：执行模块，设置为根据所述归属网络实体返回的失败原因执行认证处理。

作为一个示例性实施例，所述发送模块64还设置为在所述认证请求消息中添加预定失败指示，其中，所述预定失败指示包括以下之一：同步失败指示Sync Failure Indicator；消息验证码或同步失败指示MAC or Sync Failure Indicator。

实施例6

在本实施例中还提供了一种认证处理装置，该装置用于实现上述实施例3及可选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置可以以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图7是根据本申请实施例6的认证处理装置的结构框图，如图7所示，该装置应用于归属网络实体，所述装置可以包括：接收模块72，设置为接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数。确定模块74，设置为根据所述同步失败参数确定失败原因。发送模块76，设置为将所述失败原因返回给所述认证功能。

作为一个示例性实施例，所述确定模块74设置为：根据所述同步失败参数计算所述终端的序列号SQN _MS；根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因。

实施例7

本申请的实施例还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的计算机程序：

S1，接收来自认证功能的认证请求消息。

S2，在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本申请的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

S1，接收来自认证功能的认证请求消息。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

实施例8

S1，接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败均携带同步失败参数。

S2，向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数。

S3，接收所述归属网络实体根据所述同步失败参数返回的失败原因。

实施例9

S1，接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数。

S2，根据所述同步失败参数确定失败原因。

S3，将所述失败原因返回给所述认证功能。

S2，根据所述同步失败参数确定失败原因。

S3，将所述失败原因返回给所述认证功能。

实施例10

图8是根据本申请实施例10的移动系统的结构示意图，如图8所示，移动系统的与认证与密钥协商过程相关的网元包括：终端、基站、认证功能、认证服务功能和签约数据管理功能。以下分别进行详细的说明。

基站为终端提供通讯等各项移动网络提供的服务，在实际系统中，基站可以是eNB或gNB等能够提供通讯服务的接入网元。

认证功能为移动网络的核心网的软件功能或硬件设备，用于通过信令与基站交互，使得移动网络和终端可以实现相互认证。在实际系统中，认证功能可以是或可以设置于诸如MME(Mobility Management Entity)，或SEAF(Security Anchor Function)，或AMF(Access and Mobility Management Function)等网元。

认证服务功能用于与签约数据管理功能通过信令接口，获取与用户相关的密钥信息，并将该信息通过信令接口提供给认证功能。在实际系统中，认证服务功能可以是或可以设置于诸如AUSF(Authentication Server Function)等网元，该功能也可以与签约数据管理功能合设。

签约数据管理功能用于存储并处理用户相关的数据，基于用户相关数据生成用于认证用户的信息和用户相关的密钥信息，并通过信令接口提供给认证服务功能。在实际系统中，签约数据管理功能可以是或可以设置于诸如UDM(User Date Management)或HSS(Home Subscriber Server)等网元。

AKA认证技术可以应用于各种通信网络，以下以应用于第五代移动通信(5 ^th generation，简称为5G)通信网络为例，对AKA认证的整体流程进行简要的说明。图9是根据本申请实施例10的5G技术AKA认证中终端响应认证失败消息的流程图，如图9所示，具体步骤如下所示：

步骤S901，认证功能向终端发送用户认证请求消息，所述消息携带AUTN和RAND，其中，AUTN为认证令牌参数，

其中，||表示进行拼接操作，例如0011||1111＝00111111，SQN表示序列号(Sequence Number)，AK表示隐藏密钥(Anonymity Key)，AMF表示鉴权管理字段(Authentication Management Fields)，MAC表示消息认证码(Message Authenticate Code)；RAND为随机数参数。

所述消息还可携带5G中的密钥集标识符(Key Set Identifier in 5G，简称为ngKSI)。

步骤S902，终端收到用户认证请求消息，计算AK＝F5K(RAND)，由此计算出

再计算出XMAC＝F1K(SQN||RAND||AMF)，将XMAC与AUTN中的MAC比较。

如果两者不同，则响应以认证失败消息，消息中携带失败原因参数“CAUSE”为“MAC Failure”。特别地，所述消息不携带同步失败参数，即，认证令牌(Authentication Token，简称为AUTS)参数。

如果两者相同，则验证AUTN中的SQN的值是否在正确范围内，特别地，如果AUTN中的SQN大于终端的SQN(SQN _MS)，则认为是在正确范围内，如果AUTN中的SQN小于或者等于终端的SQN(SQN _MS)，则认为是在不正确范围内。

如果验证AUTN中的SQN的值不在正确范围内，则终端响应以认证失败消息，消息中携带失败原因参数“CAUSE”为“Sync Failure”。特别地，所述消息还携带认证失败参数，即，认证令牌(Authentication Token，简称为AUTS)参数，其为终端在发生SQN同步失败的情况下生成的一个值。

其中MAC-S＝f1* _K(SQN _MS||RAND||AMF)。

本步骤中，所涉及的

为异或运算，||仍表示进行拼接操作，XMAC为期望MAC(expected MAC)，F1K、F2K和F5K为以根密钥K为密钥的密钥衍生函数，其中，F1K和F2K是消息认证功能(message authentication function)，F5K是密钥生成功能(key generating function)。

步骤S903，认证功能接收到来自终端的认证失败消息，读取消息中的失败原因参数“CAUSE”。如果“CAUSE”为“MAC Failure”，则认证功能可以：终止认证过程；或者向终端发送终端标识请求消息；或者向认证服务功能/签约数据管理功能发送认证请求消息，所述消息携带终端标识参数；特别地，所述消息不携带AUTS参数。

如果“CAUSE”为“Sync Failure”，则认证功能向认证服务功能/签约数据管理功能发送认证请求消息，所述消息携带终端标识参数；特别地，所述消息还携带同步失败标识和AUTS参数；该AUTS参数为从终端接收到的认证失败消息中携带的AUTS参数。

步骤S904，认证服务功能/签约数据管理功能接收到来自认证功能的认证请求消息，如果消息中包含同步失败标识，则执行重同步过程，(该重同步过程使用AUTS参数)，再生成认证响应消息回送给认证功能；如果消息中不包含同步失败标识，则生成认证响应消息回送给认证功能。

步骤S905，认证功能接收到来自认证服务功能/签约数据管理功能的认证响应消息，可以重新发起对终端的认证过程。

实施例11

攻击者如果重放(replay)一个合法的认证请求消息，则经过实施例10中步骤S902处理后可以得到一个终端响应的认证失败消息，考虑到该认证失败消息中，分析认证失败消息中的失败原因，通过多次重放认证请求消息并接收和分析认证失败消息，攻击者就可以实现了对用户的追踪，并可能用于对用户隐私的进一步攻击。考虑到这一问题，本实施例提供了终端认证流程中的一种改进的认证处理方式。

图10是根据本申请实施例11的安全认证流程示意图，该流程包括：

步骤S1001；认证功能向终端发送用户认证请求消息，所述消息携带AUTN和RAND，其中

所述消息还携带ngKSI。

步骤S1002；终端收到用户认证请求消息，计算AK＝F5K(RAND)，由此计算出

再计算出XMAC＝F1K(SQN||RAND||AMF)，将XMAC与AUTN中的MAC比较，如果两者不同，则向认证功能响应认证失败消息。

如果两者相同则验证AUTN中的SQN的值是否在正确范围内，特别地，如果AUTN中的SQN大于终端SQN _MS，则认为是在正确范围内，否则向认证功能响应认证失败消息。

在以上两种认证失败时，都向认证功能响应认证失败消息；消息中都携带失败原因参数“CAUSE”为“MAC or Sync Failure”；且所述消息都还携带AUTS参数，

其中MAC-S＝f1*K(SQN _MS||RAND||AMF)。如果是MAC验证失败的情况，携带的AUTS参数也可以是长度相同的其他数值，比如，可以是随机数。

步骤S1003，认证功能接收到来自终端的认证失败消息，读取消息中的失败原因参数“CAUSE”为“MAC or Sync Failure”，则认证功能向认证服务功能/签约数据管理功能发送认证请求消息，所述消息携带终端标识参数；特别地，所述消息还携带一同步或MAC失败标识(“Sync or MAC failure indicator”)和AUTS参数；该AUTS参数为从终端接收到的认证失败消息中携带的AUTS参数。

步骤S1004，认证服务功能/签约数据管理功能接收到来自认证功能的认证请求消息，如果消息中包含同步或MAC失败标识(“Sync or MAC failure indicator”)，则根据AUTS计算SQN _MS，并通过比较SQN _MS和SQN _HE以确定失败原因。

例如，当SQN _MS大于或等于SQN _HE时，确定失败原因为“Sync Failure”；当SQN _MS小于SQN _HE时，或AUTS验证失败时，确定失败原因为“MAC Failure”。

如果失败原因为“Sync Failure”，则执行重同步过程，(该重同步过程使用AUTS参数)，再生成认证响应消息回送给认证功能，消息中携带失败原因参数“CAUSE”为“Sync Failure”；如果失败原因为“MAC Failure”，则生成认证响应消息回送给认证功能，消息中携带失败原因参数“CAUSE”为“MAC Failure”。

步骤S1005，认证功能接收到来自认证服务功能/签约数据管理功能的认证响应消息，读取消息中的失败原因参数“CAUSE”。

如果“CAUSE”为“MAC Failure”则认证功能可以：终止认证过程；或者向终端发送终端标识请求消息；或者重新发起对终端的认证过程。

如果“CAUSE”为“Sync Failure”，则认证功能重新发起对终端的认证过程。

显然，本领域的技术人员应该明白，上述的本申请的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本申请不限制于任何特定的硬件和软件结合。

以上所述仅为本申请的实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

Claims

一种认证处理方法，包括：

终端接收来自认证功能的认证请求消息；

所述终端在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。
根据权利要求1所述的方法，其中，所述在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息包括：

在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。
根据权利要求2所述的方法，其中，所述认证失败消息均携带相同的失败原因参数包括以下之一：

所述失败原因参数均为空或相同的预定填充值；

所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure；

所述失败原因参数均为同步失败Sync Failure。
根据权利要求1-3中任一项所述的方法，其中，所述在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息包括：

在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证失败消息均携带同步失败参数。
根据权利要求4所述的方法，其中，

在认证失败的原因为同步失败的情况下，所述同步失败参数是所述终端根据所述认证请求消息计算得到的；

在认证失败的原因为消息验证码失败的情况下，所述同步失败参数为所述终端随机生成的，或者为预定值，或者为所述终端根据所述认证请求消息计算得到的。
一种认证处理方法，包括：

认证功能接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败消息均携带同步失败参数；

所述认证功能向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数；

所述认证功能接收所述归属网络实体根据所述同步失败参数返回的失败原因。
根据权利要求6所述的方法，其中，在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证功能接收到的所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。
根据权利要求7所述的方法，其中，所述认证功能接收到的所述认证失败消息均携带相同的失败原因参数包括以下之一：

所述失败原因参数均为空或相同的预定填充值；

所述失败原因参数均为消息验证码或同步失败MAC or Sync Failure；

所述失败原因参数均为同步失败Sync Failure。
根据权利要求7所述的方法，还包括：

所述认证功能在所述认证请求消息中添加预定失败指示，其中，所述预定失败指示包括以下之一：

同步失败指示Sync Failure Indicator；

消息验证码或同步失败指示MAC or Sync Failure Indicator。
一种认证处理方法，包括：

归属网络实体接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数；

所述归属网络实体根据所述同步失败参数确定失败原因；

所述归属网络实体将所述失败原因返回给所述认证功能。
根据权利要求10所述的方法，其中，所述归属网络实体根据所述同步失败参数确定失败原因包括：

所述归属网络实体验证所述同步失败参数的有效性；

在验证所述同步失败参数无效的情况下，确定所述失败原因为消息验证码失败；

在验证所述同步失败参数有效的情况下，所述归属网络实体根据所述同步失败参数计算所述终端的序列号SQN _MS，并根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因。
根据权利要求11所述的方法，其中，所述归属网络实体根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因包括以下至少之一：

所述归属网络实体在所述SQN _MS大于或等于所述SQN _HE的情况下，确定所述失败原因为同步失败；

所述归属网络实体在所述SQN _MS小于所述SQN _HE的情况下，确定所述失败原因为消息验证码失败。
一种认证处理装置，应用于终端，包括：

接收模块，设置为接收来自认证功能的认证请求消息；

反馈模块，设置为在对所述认证请求消息认证失败的情况下，向所述认证功能反馈认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述终端向所述认证功能反馈相同种类的认证失败消息。
根据权利要求13所述的装置，其中，在认证失败的原因为所述消息验证码失败的情况下和认证失败的原因为所述同步失败的情况下，所述认证失败消息均不携带失败原因参数，或者，均携带相同的失败原因参数。
根据权利要求13或14所述的装置，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证失败消息均携带同步失败参数。
一种认证处理装置，应用于认证功能，包括：

第一接收模块，设置为接收终端反馈的认证失败消息，其中，在认证失败的原因为消息验证码失败的情况下和认证失败的原因为同步失败的情况下，所述认证功能接收到的认证失败消息均携带同步失败参数；

发送模块，设置为向归属网络实体发送认证请求消息，其中，所述认证请求消息携带所述同步失败参数；

第二接收模块，设置为接收所述归属网络实体根据所述同步失败参数返回的失败原因。
根据权利要求16所述的装置，其中，

所述发送模块还设置为在所述认证请求消息中添加预定失败指示，其中，所述预定失败指示包括以下之一：

同步失败指示Sync Failure Indicator；

消息验证码或同步失败指示MAC or Sync Failure Indicator。
一种认证处理装置，应用于归属网络实体，包括：

接收模块，设置为接收来自认证功能的认证请求消息，其中，所述认证请求消息携带终端执行认证发生消息验证码失败或同步失败的情况下生成的同步失败参数；

确定模块，设置为根据所述同步失败参数确定失败原因；

发送模块，设置为将所述失败原因返回给所述认证功能。
根据权利要求18所述的装置，其中，所述确定模块是设置为：

验证所述同步失败参数的有效性；

在验证所述同步失败参数无效的情况下，确定所述失败原因为消息验证码失败；

在验证所述同步失败参数有效的情况下，根据所述同步失败参数计算所述终端的序列号SQN _MS，并根据所述终端的序列号SQN _MS和所述归属网络实体的序列号SQN _HE确定所述失败原因。
一种存储介质，存储有计算机程序，所述计算机程序被设置为运行时执行所述权利要求1至12任一项中所述的方法。
一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行所述权利要求1至12任一项中所述的方法。