The present application proposes a method and device for transmitting the terminal serial number and an authentication method and device, wherein the method for transmitting the terminal serial number includes: authenticating the received user authentication request message, calculating the terminal side authentication token including the terminal serial number in response to the failure reason of the authentication as synchronization failure; encrypting the terminal side authentication token to obtain the The ciphertext of the terminal side authentication token; feedback the user authentication failure response message carrying the ciphertext of the terminal side authentication token. The application can reduce the risk of terminal serial number exposure.
【技术实现步骤摘要】
发送终端序列号的方法和装置以及认证方法和装置
本申请涉及通信领域,具体涉及发送终端序列号的方法和装置以及认证方法和装置。
技术介绍
第三代合作伙伴计划(3rdGenerationPartnershipProject,3GPP)制定了各种移动网络的规范,包括认证与密钥协商过程(AuthenticationandKeyAgreement,简称AKA过程),该过程用于用户设备(UE,UserEquipment)与网络的互相认证并建立共同的密钥。在AKA过程方案中,当终端设备接收到来自网络的认证请求消息时,对该消息中的AUTN进行验证(verify)。如果验证失败,将响应认证失败消息(failuremessage),该消息中携带失败原因参数(CAUSE)。如果该认证请求消息中MAC不等于XMAC,失败原因为消息验证码失败(MACFailure),表明终端认证网络失败;如果MAC等于XMAC,表明终端认证网络成功,终端再认证网络序列号(SQN)是否大于终端序列号(SQNms)。如果SQN小于或等于SQNms,表明同步失败(SyncFa...
【技术保护点】
1.一种发送终端序列号的方法,其特征在于,包括:/n针对接收到的用户认证请求消息进行认证,响应于所述认证的失败原因为同步失败,计算包含终端序列号的终端侧认证令牌;/n对所述终端侧认证令牌进行加密,得到所述终端侧认证令牌的密文;/n反馈携带所述终端侧认证令牌的密文的用户认证失败响应消息。/n
【技术特征摘要】
1.一种发送终端序列号的方法,其特征在于,包括:
针对接收到的用户认证请求消息进行认证,响应于所述认证的失败原因为同步失败,计算包含终端序列号的终端侧认证令牌;
对所述终端侧认证令牌进行加密,得到所述终端侧认证令牌的密文;
反馈携带所述终端侧认证令牌的密文的用户认证失败响应消息。
2.根据权利要求1所述的方法,其特征在于,所述计算包含所述终端序列号终端侧认证令牌终端侧认证令牌,包括:
采用所述用户认证请求消息中携带的随机数RAND、所述终端序列号及认证管理域参数计算所述终端侧认证令牌。
3.根据权利要求1或2所述的方法,其特征在于,所述对所述终端侧认证令牌进行加密,包括:获取密钥KAUSF,采用所述密钥KAUSF对所述终端侧认证令牌进行加密;
所述获取密钥KAUSF的方式为:
响应于用户上下文信息中存在所述密钥KAUSF,从所述用户上下文信息中获取所述密钥KAUSF;
响应于用户上下文信息中不存在所述密钥KAUSF,计算所述密钥KAUSF或将所述密钥KAUSF设置为预设的固定取值;
其中,所述KAUSF的计算方式为:采用F3K和F4K衍生得到KAUSF,所述F3K及F4K为以根密钥K为密钥的密钥衍生函数。
4.根据权利要求3所述的方法,其特征在于,所述密钥KAUSF通过计算得到时,所述用户认证失败响应消息还携带标记符,所述标记符用于标记所述密钥KAUSF是通过计算得到的。
5.根据权利要求2所述的方法,其特征在于,所述对所述终端侧认证令牌进行加密,包括:确定密钥KAUSF*,采用所述密钥KAUSF*对所述终端侧认证令牌进行加密;
所述确定密钥KAUSF*的方式为:
响应于用户上下文信息中存在密钥KAUSF,从所述用户上下文信息中获取所述密钥KAUSF;采用密钥产生函数对所述密钥KAUSF及所述RAND进行计算,得到所述密钥KAUSF*;
响应于用户上下文信息中不存在密钥KAUSF,计算所述密钥KAUSF,采用密钥产生函数对所述密钥KAUSF及所述RAND进行计算,得到所述密钥KAUSF*;
其中,所述密钥KAUSF的计算方式为:采用F3K和F4K衍生得到密钥KAUSF,所述F3K及F4K为以根密钥K为密钥的密钥衍生函数。
6.根据权利要求5所述的方法,其特征在于,所述密钥KAUSF通过计算得到时,所述用户认证失败响应消息还携带标记符,所述标记符用于标记所述密钥KAUSF是通过计算得到的。
7.一种认证方法,其特征在于,包括:
接收用户认证失败响应消息,所述用户认证失败响应消息携带的失败原因为同步失败,所述用户认证失败响应消息还携带终端侧认证令牌的密文;
对所述终端侧认证令牌的密文进行解密,得到终端侧认证令牌;
采用所述终端侧认证令牌中包含的终端序列号重置网络序列号。
8.根据权利要求7所述的方法,其特征在于,所述对所述终端侧认证令牌的密文进行解密,包括:
响应于所述用户认证失败响应消息还携带标记符,获取临时保存的密钥KAUSF,采用所述密钥KAUSF对所述终端侧认证令牌的密文进行解密;
响应于所述用户认证失败响应消息未携带标记符,获取固定保存的密钥KAUSF或者将密钥KAUSF设置为预设的固定取值,采用所述密钥KAUSF对所述终端侧认证令牌的密文进行解密。
9.根据权利要求7所述的方法,其特征在于,所述对所述终端侧认证令牌的密文进行解密,包括:
响应于所述用户认证失败响应消息还携带标记符,获取临时保存的密钥KAUSF;采用密钥产生函数对所述密钥KAUSF及随机数RAND进行计算,得到密钥KAUSF*;采用所述密钥KAUSF*对所述终端侧认证令牌的密文进行解密;
响应于所述用户认证失败响应消息未携带标记符,获取固定保存的密钥KAUSF;采用密钥产生函数对所述密钥KAUSF及随机数RAND进行计算,得到密钥KAUSF*;采用所述密钥KAUSF*对所述终端侧认证令牌的密文进行解密。
10.根据权利要求7、8或9所述的方法,其特征在于,所述接收用户认证失败响应消息之前,还包括:将归属鉴权向量中的密钥KAUSF临时保存。
11.根据权利要求10所述的方法,其特征在于,所述采用所述终端侧认证令牌中包含的终端序列号重置网络序列号之后,还包括:
采用重置后的网络序列号生成认证请求响应消息,发送所述认证请求响应消息;
响应于认证成功,将所述临时保存的密钥KAUSF改为固定保存。
12.一种发送终端序列号的装置,其特征在于,包括:
令牌计算模块,用于针对接收到的用户认证请求消息进行认证,响应于所述认证的失败原因为同步失败,计算包含终端序列号的终端侧认证令牌;
加密模块,用于对所述终端侧认证令牌进行加密,得到所述终端侧认证令牌的密文;
反馈模块,用于反馈携带...
【专利技术属性】
技术研发人员:游世林,谢振华,彭锦,余万涛,林兆骥,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。