一种基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法技术

本发明专利技术涉及一种基于EAP‑AKA’的核心网网元间鉴权流程安全性增强方法，属于移动通信技术领域，解决了明文传递造成的信息被盗取问题。步骤如下：拜访网络侧向归属网络侧发送鉴权请求；归属网络侧生成鉴权向量；用KT1加密鉴权向量中的密钥信息，生成鉴权响应消息并发至拜访网络侧；拜访网络侧接收鉴权响应消息，计算反馈信息并判断拜访网络侧是否鉴权通过；通过，向归属网络侧发送终端鉴权请求；归属网络侧根据终端鉴权请求判断归属网络侧是否鉴权通过；通过，用KT2加密KSEAF，将加密KSEAF放入终端鉴权响应消息，发至拜访网络侧；拜访网络侧接收终端鉴权响应消息，用KT2解密得到KSEAF。通过加密核心网网元间传输的密钥信息，增强了核心网网元间鉴权流程的安全性。

【技术实现步骤摘要】
一种基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法
本专利技术涉及移动通信
，尤其涉及一种基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法。
技术介绍
在4G/5G移动通信系统中，终端UE与接入网之间传输的信息通过空口保护机制保护，接入网与核心网之间传输的信息一般采用IP传输隧道方式保护，但核心网内不同网元之间传递的信息均为明文传输，没有提供对应的防护措施。对于高安全需求的应用场景，必须保证核心网网元之间传递信息的安全性，特别是其中的敏感信息或安全相关信息(如派生密钥信息等)。根据4G/5G移动通信系统的密钥推演体系，在用户鉴权流程中，参与鉴权的核心网网元需派生出密钥并推送至下一个网元，直至完成整个密钥推演体系，最终生成空口保护密钥，针对该用户的信息安全防护措施才能生效。一旦安全密钥在核心网网元间推送的过程中发生信息泄露，将导致该用户的信息安全防护失效，存在空口信息被窃取的风险。
技术实现思路
鉴于上述的分析，本专利技术旨在提供基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，用以解决现有明文传递方式造成的信息被盗取的问题。本专利技术的目的主要是通过以下技本文档来自技高网...

【技术保护点】
1.一种基于EAP‑AKA’的核心网网元间鉴权流程安全性增强方法，其特征在于，包括如下步骤：拜访网络侧向归属网络侧发送鉴权请求；归属网络侧根据接收到的鉴权请求，生成鉴权向量；利用推送保护密钥KT1对鉴权向量中的密钥信息进行加密，更新鉴权向量，并生成鉴权响应消息；将所述鉴权响应消息发送至拜访网络侧；拜访网络侧接收归属网络侧反馈的鉴权响应消息，计算反馈信息，根据反馈信息判断拜访网络侧是否鉴权通过；通过，则向归属网络侧发送终端鉴权请求；归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过；通过，则利用推送保护密钥KT2加密SEAF安全密钥KSEAF，并将所述加密KSEAF放入终端鉴权响应消息；将...

【技术特征摘要】
1.一种基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，其特征在于，包括如下步骤：拜访网络侧向归属网络侧发送鉴权请求；归属网络侧根据接收到的鉴权请求，生成鉴权向量；利用推送保护密钥KT1对鉴权向量中的密钥信息进行加密，更新鉴权向量，并生成鉴权响应消息；将所述鉴权响应消息发送至拜访网络侧；拜访网络侧接收归属网络侧反馈的鉴权响应消息，计算反馈信息，根据反馈信息判断拜访网络侧是否鉴权通过；通过，则向归属网络侧发送终端鉴权请求；归属网络侧根据所述终端鉴权请求判断归属网络侧是否鉴权通过；通过，则利用推送保护密钥KT2加密SEAF安全密钥KSEAF，并将所述加密KSEAF放入终端鉴权响应消息；将所述终端鉴权响应消息发送至拜访网络侧；拜访网络侧接收归属网络侧反馈的终端鉴权响应消息，利用推送保护密钥KT2解密得到SEAF安全密钥KSEAF。2.一种基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，应用于归属网络侧，其特征在于，步骤如下：接收拜访网络侧发送的鉴权请求；根据接收到的鉴权请求，生成鉴权向量；利用推送保护密钥KT1对鉴权向量中的密钥信息进行加密，更新鉴权向量，并生成鉴权响应消息；将所述鉴权响应消息发送至拜访网络侧，以便拜访网络侧计算反馈信息并生成终端鉴权请求；根据拜访网络侧发送的终端鉴权请求判断归属网络侧是否鉴权通过；若归属网络侧鉴权通过，利用推送保护密钥KT2加密SEAF安全密钥KSEAF，并将所述加密后的SEAF安全密钥KSEAF放入终端鉴权响应消息；将所述终端鉴权响应消息发送至拜访网络侧，以便拜访网络侧解密得到SEAF安全密钥KSEAF。3.根据权利要求2所述的基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，其特征在于，所述归属网络侧的网元包括AUSF、UDM，在归属网络侧内部执行以下操作：由AUSF接收拜访网络侧发送的鉴权请求，并将所述鉴权请求发送至UDM；UDM生成鉴权向量，所述鉴权向量为RAND||XRES||CK’||IK’||AUTN；利用推送保护密钥KT1对密钥信息CK’||IK’进行加密，得到加密后的密钥信息(CK’||IK’)’；UDM将鉴权向量中的CK’||IK’替换为加密后的密钥信息(CK’||IK’)’，得到经过保护的鉴权向量，并将所述经过保护的鉴权向量发送至AUSF；AUSF接收UDM发送的所述经过保护的鉴权向量，利用推送保护密钥KT1将所述经过保护的鉴权向量中的(CK’||IK’)’解密出来；AUSF进行EAP安全参数的派生和计算，并派生出SEAF安全密钥KSEAF，生成符合EAP协议的鉴权响应消息，所述鉴权响应消息包括鉴权向量中的RAND、AUTN和SEAF安全密钥KSEAF；AUSF向拜访网络侧发送鉴权响应消息，以便拜访网络侧判断是否鉴权通过；AUSF接收拜访网络侧反馈的终端鉴权请求，AUSF对比XRES*和RES*，如果一致，判定归属网络侧鉴权通过；若归属网络侧鉴权通过，AUSF对KSEAF进行加密，利用推送保护密钥KT2得到加密后的SEAF安全密钥KSEAF’，并将KSEAF’放入终端鉴权响应消息中；AUSF向拜访网络侧SEAF发送终端鉴权响应消息，所述终端鉴权响应消息包括KSEAF’，以便拜访网络侧解密得KSEAF。4.根据权利要求2所述的基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，其特征在于，所述利用推送保护密钥KT1对鉴权向量中的密钥信息进行加密时，采用的加密算法为分组加密算法；所述利用推送保护密钥KT2加密SEAF安全密钥KSEAF时，采用的加密算法也是分组加密算法。5.根据权利要求2-4中任一项所述的基于EAP-AKA’的核心网网元间鉴权流程安全性增强方法，其特征在于，所述推送保护密钥KT1、KT2借用一次终端鉴权流程得到，借用的所述一次终端鉴权流程步骤如下：步骤S1：AUSF接收拜访网络侧发送的鉴权请求，当检测到SNname的服务标识为事先约定的更新代号时，执行：步骤S1-1：提取SNname中的TPK1本地保存；步骤S1-2：生成本地临时公私钥对TPK2和TSK2；步骤S1-3：本地保存TSK2，将SNname字段中的SNId替换为TPK2，SNname字段中的服务标识保持不变，生成更新后的特殊构造的SNname；步骤S1-4：AUSF向UDM发送请求鉴权信息，携带所述更新后的特殊构造的SNname；步骤S2：UDM接收到请求鉴权信息后，当检测到SNname的服务标识为事先约定的更新代号时，执行：步骤S2-1：生成本地临时公私钥对TPK3和TSK3；步骤S2-2：提取S...

【专利技术属性】
技术研发人员：刘畅，叶琅，贾云鹤，徐彦吏，
申请(专利权)人：兴唐通信科技有限公司，数据通信科学技术研究所，
类型：发明
国别省市：北京,11