采用共享密钥、公钥和私钥的验证方法及装置制造方法及图纸

一种采用共享密钥、公钥和私钥的验证方法及装置。其中的采用共享密钥的验证方法包括：第一网元接收来自第二网元的注册请求消息，所述注册请求消息包括用户标识、第一网络标识信息和第二网络标识信息，所述第二网络标识信息通过采用共享密钥对所述第一网络标识信息进行处理后得到，其中，所述共享密钥为所述第一网元和所述第二网元之间使用的密钥；所述第一网元采用所述共享密钥对所述注册请求消息进行验证；所述第一网元向所述第二网元发送注册响应消息。还公开了相应的采用公钥和私钥的验证方法及装置。归属网络接收到来自拜访网络的注册请求时，采用共享密钥对注册请求消息进行验证，可以防止拜访网络的仿冒攻击。

Authentication Method and Device Using Shared Key, Public Key and Private Key

【技术实现步骤摘要】
采用共享密钥、公钥和私钥的验证方法及装置
本申请涉及通信
，尤其涉及一种采用共享密钥、公钥和私钥的验证方法及装置。
技术介绍
如图1a和图1b所示，定义了第五代(5thgeneration，5G)移动通信系统架构下的漫游场景。终端设备注册到拜访网络时，拜访网络的接入和移动性管理功能(accessandmobilitymanagementfunction，AMF)实体向归属网络的鉴权服务器功能(authenticationserverfunction，AUSF)实体发送鉴权初始请求。AUSF接收到AMF发送的鉴权初始请求后，向归属网络的统一数据管理(unifieddatamanagement，UDM)实体发送鉴权请求消息，请求鉴权矢量。UDM接收到AUSF发送的鉴权请求消息后，选择鉴权方法。UDM根据鉴权方法生成对应的鉴权矢量，并发送鉴权矢量到AUSF。AUSF接收到UDM发送的鉴权矢量后，发送鉴权矢量给AMF。AMF从接收AUSF发送的鉴权矢量，完成对终端设备在拜访网络的鉴权。AMF对终端设备鉴权成功后，还可能向AUSF发送鉴权确认消息。AUSF接收到AMF发送的鉴权确认消息后，进一步完成终端设备在归属网络的鉴权确认，AUSF会将鉴权确认结果发送给UDM。鉴权和鉴权确认成功后，AMF会向UDM发起注册消息。UDM收到AMF的注册消息后，UDM将记录AMF的相关信息，如果UDM中保存有旧的AMF地址，UDM还会向旧的AMF发起注销消息，要求旧的AMF删除用户相关的上下文信息。然而，如图2所示的5G的密钥架构，服务网络的AMF和归属网络的UDM之间缺乏验证机制。这使得服务网络的AMF与归属网络的UDM之间的通信可能会受到仿冒攻击。
技术实现思路
本申请提供一种采用共享密钥的验证方法及装置，以保护网络免受仿冒攻击。本申请的一方面，提供了一种采用共享密钥的验证方法，包括：第一网元接收来自第二网元的注册请求消息，所述注册请求消息包括用户标识、第一网络标识信息和第二网络标识信息，所述第二网络标识信息通过采用共享密钥对所述第一网络标识信息进行处理后得到，其中，所述共享密钥为所述第一网元和所述第二网元之间使用的密钥，所述第一网元为数据管理网元或第一安全边界保护代理，所述第二网元为移动性管理网元或第二安全边界保护代理；所述第一网元采用所述共享密钥对所述注册请求消息进行验证；以及所述第一网元向所述第二网元发送注册响应消息。在该方面中，归属网络接收到来自拜访网络的注册请求时，采用共享密钥对注册请求消息进行验证，可以防止拜访网络的仿冒攻击。在一种可能的实现方式中，所述通过采用共享密钥对所述第一网络标识信息进行处理，包括以下任一种处理：对所述第一网络标识信息和所述共享密钥进行消息验证码运算，对所述第一网络标识信息、随机数和所述共享密钥进行消息验证码运算，对所述第一网络标识信息和所述共享密钥进行哈希运算，以及对所述第一网络标识信息、随机数和所述共享密钥进行哈希运算。在该实现方式中，给出了多种采用共享密钥处理网络标识信息的方式，如果第二网元如果没有共享密钥或采用错误的共享密钥处理网络标识信息，第一网元对注册请求消息的验证是不会通过的。在另一种可能的实现方式中，所述第一网元采用所述共享密钥对所述注册请求消息进行验证，包括：所述第一网元采用所述共享密钥，基于所述第一网络标识信息得到第三网络标识信息；所述第一网元采用所述第三网络标识信息对所述第二网络标识信息进行验证。在该实现方式中，给出了一种密文验证方式。在又一种可能的实现方式中，所述第一网元采用所述第三网络标识信息对所述第二网络标识信息进行验证，包括：所述第一网元验证所述第三网络标识信息与所述第二网络标识信息是否一致。在又一种可能的实现方式中，所述通过采用共享密钥对所述第一网络标识信息进行处理，包括：采用所述共享密钥对所述第一网络标识信息进行加密，或者，采用所述共享密钥对所述第一网络标识信息和随机数进行加密。在又一种可能的实现方式中，所述第一网元采用共享密钥对所述注册请求消息进行验证，包括：所述第一网元采用所述共享密钥，基于所述第二网络标识信息得到第四网络标识信息；以及所述第一网元采用所述第四网络标识信息对所述第一网络标识信息进行验证。在该实现方式中，给出了一种明文验证方式。在又一种可能的实现方式中，所述第一网元采用所述第四网络标识信息对所述第一网络标识信息进行验证，包括：所述第一网元验证所述第四网络标识信息与所述第一网络标识信息是否一致。在又一种可能的实现方式中，所述注册响应消息为注册成功响应消息或注册成功失败响应消息，所述第一网元向所述第二网元发送注册响应消息，包括：若验证成功，则所述第一网元向所述第二网元发送所述注册成功响应消息；或者，若验证失败，则所述第一网元向所述第二网元发送所述注册失败响应消息。在又一种可能的实现方式中，所述验证成功包括：所述第三网络标识信息与所述第二网络标识信息一致，或者，若所述第四网络标识信息与所述第一网络标识信息一致；或者，所述验证失败包括：所述第三网络标识信息与所述第二网络标识信息不一致，或者，若所述第四网络标识信息与所述第一网络标识信息不一致。在又一种可能的实现方式中，所述第一网元采用所述共享密钥对所述注册请求消息进行验证之前，所述方法还包括：所述第一网元根据用户标识和网络标识信息中的至少一项与共享密钥的对应关系，查找所述注册请求消息中包括的所述用户标识和所述第一网络标识信息中的至少一项对应的所述共享密钥。相应地，本申请的另一方面，提供了一种第一网元，该第一网元具有实现上述方法中第一网元行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。一种可能的实现方式中，所述第一网元包括：通信单元，用于接收来自第二网元的注册请求消息，所述注册请求消息包括用户标识、第一网络标识信息和第二网络标识信息，所述第二网络标识信息通过采用共享密钥对所述第一网络标识信息进行处理后得到，其中，所述共享密钥为所述第一网元和所述第二网元之间使用的密钥，所述第一网元为数据管理网元或第一安全边界保护代理，所述第二网元为移动性管理网元或第二安全边界保护代理；处理单元，用于采用所述共享密钥对所述注册请求消息进行验证；以及所述通信单元还用于向所述第二网元发送注册响应消息。另一种可能的实现方式中，所述第一网元包括：通信接口、存储器和处理器；其中，所述存储器中存储一组程序代码，且所述处理器用于调用所述存储器中存储的程序代码，执行以下操作：从所述通信接口接收来自第二网元的注册请求消息，所述注册请求消息包括用户标识、第一网络标识信息和第二网络标识信息，所述第二网络标识信息通过采用共享密钥对所述第一网络标识信息进行处理后得到，其中，所述共享密钥为所述第一网元和所述第二网元之间使用的密钥，所述第一网元为数据管理网元或第一安全边界保护代理，所述第二网元为移动性管理网元或第二安全边界保护代理；采用所述共享密钥对所述注册请求消息进行验证；以及控制所述通信接口向所述第二网元发送注册响应消息。基于同一专利技术构思，由于该装置解决问题的原理以及有益效果可以参见上述各可能的第一网元的方法实施方式以及所带来的有益效果，因此该装置的实本文档来自技高网...

【技术保护点】
1.一种采用公共陆地移动网标识PLMN ID的验证方法，其特征在于，包括：第二网络中的安全边界代理网关SEPP接收第一网络中的SEPP发送N32接口消息，其中，所述N32接口消息中携带N32接口上下文标识和所述第一网络的PLMN ID；所述第二网络中的SEPP判断所述N32接口上下文标识对应的N32接口上下文中包含的远端的PLMN ID与所述N32接口消息中携带的PLMN ID是否相同；若所述N32接口上下文中包含的远端的PLMN ID与所述N32接口消息中携带的PLMN ID相同，所述第二网络中的SEPP向所述第二网络中的网络功能实体发送第二消息。

【技术特征摘要】
2018.01.11 CN 2018100282824;2018.03.02 CN 201810171.一种采用公共陆地移动网标识PLMNID的验证方法，其特征在于，包括：第二网络中的安全边界代理网关SEPP接收第一网络中的SEPP发送N32接口消息，其中，所述N32接口消息中携带N32接口上下文标识和所述第一网络的PLMNID；所述第二网络中的SEPP判断所述N32接口上下文标识对应的N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID是否相同；若所述N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID相同，所述第二网络中的SEPP向所述第二网络中的网络功能实体发送第二消息。2.如权利要求1所述的方法，其特征在于，所述方法还包括：若所述N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID不相同，所述第二网络中的SEPP向所述第一网络中的SEPP发送表示失败的N32接口响应消息。3.如权利要求2所述的方法，其特征在于，所述表示失败的N32接口响应消息中包括用于指示PLMNID错误的错误码。4.如权利要求1-3任一所述的方法，其特征在于，所述N32接口消息中携带的PLMNID为所述第一网络中的功能实体向所述第一网络中的SEPP发送的第一消息中携带的PLMNID。5.如权利要求4所述的方法，其特征在于，所述第一消息中的PLMNID由所述第一消息中专门的PLMNID信元携带、由包含PLMNID的服务网络名称信元携带，由包含PLMNID的网络功能实体标识携带，或者是由包含PLMNID的终端/用户/业务标识携带。6.如权利要求4所述的方法，其特征在于，所述第一网络为服务网络，所述第二网络为归属网络。7.如权利要求6所述的方法，其特征在于，所述第一网络中的功能实体为第一网络中任一需要漫游服务的网络功能实体；所述第二网络中的网络功能实体为第二网络中任一为所述第一网络中的功能实体提供漫游服务的网络功能实体。8.如权利要求6所述的方法，其特征在于，所述第一网络中的功能实体为接入和移动性管理功能实体AMF，所述第二网络中的网络功能实体为鉴权服务器功能实体AUSF。9.一种通信装置，其特征在于，包括：存储器和处理器，所述存储器中存储一组程序代码，且所述处理器用于调用所述存储器中存储的程序代码，以使得所述装置执行以下操作：接收第一网络中的SEPP发送N32接口消息，其中，所述N32接口消息中携带N32接口上下文标识和所述第一网络的PLMNID；判断所述N32接口上下文标识对应的N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID是否相同；若所述N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID相同，向所述第二网络中的网络功能实体发送第二消息。10.如权利要求9所述的通信装置，其特征在于，所述操作还包括：若所述N32接口上下文中包含的远端的PLMNID与所述N32接口消息中携带的PLMNID不相同，向所述第一网络中的SEPP发送表示失败的N32接口响应消息。11.如权利要求10所述的通信装置，其特征在于，所述表示失败的N32接口响应消息中包括用于指示PLMNID错误的错误码。12.如权利要求9-11任一所述的通信装置，其特征在于，所述N32接口消息中携带的PLMNID为所述第一网络中的功能实体向所述第一网络中的SEPP发送的第一消息中携带的PLMNID。13.如权利要求12所述的通信装置，其特征在于，所述第一消息中的PLMNID由所述第一消息中专门的PLMNID信元携带，由包含PLMNID的服务网络名称信元携带，由包含PLMNID的网络功能实体标识携带，或者是由包含PLMNID的终端/用户/业务标识携带。14.如权利要求12所述的通信装置，其特征在于，所述第一网络为服务网络，所述第二网络为归属网络。15.如权利要求14所述的通信装置，其特征在于，所述第一网络中的功能实体为第一网络中任一需要漫游服务的网络功能实体；所述第二网络中的网络功能实体为第二网络中任一为所述第一网络中的功能实体提供漫游服务的网络功能实体。16.如权利要求14所述的通信装置，其特征在于，所述第一网络中的功能实体为接入和移动性管理功能实体AMF，所述第二网络中的网络功能实体为鉴权服务器功能实体AUSF。17.一种通信装置，其特征在于，包括通信单元和处...

【专利技术属性】
技术研发人员：何承东，李华，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44