【技术实现步骤摘要】
一种认证信息处理方法、终端和网络设备
本专利技术涉及无线通信技术,具体涉及一种认证信息处理方法、终端和网络设备。
技术介绍
移动通信系统中用户设备(UE,UserEquipment)与网络侧之间通过认证与密钥协商(AKA,AuthenticationandKeyAgreement)协议进行认证。而5G系统中UE与网络侧之间的认证方式包括以下两种认证方式:5G-AKA和EAP-AKA′。前者是基于长期演进(LTE,LongTermEvolution)的认证协议演进型分组系统认证与密钥协商(EPS-AKA,EvolvedPacketSystem-AuthenticationandKeyAgreement)发展而来,而后者是国际互联网工程任务组(IETF,TheInternetEngineeringTaskForce)定义的认证协议用于4G网络中UE使用无线保真(Wi-Fi,Wireless-Fidelity)接入运营商网络。5G-AKA和EAP-AKA′这两种认证方式会因为UE认证网络失败时可能会发送两个不同类型的错误消息而受到关联性攻击。为解决关联性攻击的相关技术中,在UE认证网络失败时,通过试用网络的公钥加密的信息以指示错误消息类型,由于此消息是加密的,攻击者得不到此消息的内容,从而攻击者无法发起关联性攻击。然而这种方式虽然能够解决关联性攻击的问题,但需要运营商部署公钥基础设施(PKI,PublicKeyInfrastructure);并且这种方式使用非对称算法进行加密,需要消耗大量的计算资源,这对于电池工作...
【技术保护点】
1.一种认证信息处理方法,其特征在于,所述方法包括:/n终端在网络认证失败的情况下,分别基于加密密钥和完整性密钥对包含有错误消息类型的第一指示信息进行加密和完整性保护;所述加密密钥和所述完整性密钥基于共享密钥获得;不同的错误消息类型对应相同格式的第一指示信息;/n所述终端向第一网络设备发送加密后的第一指示信息;其中,所述加密后的第一指示信息通过第二网络设备向所述第一网络设备发送。/n
【技术特征摘要】
1.一种认证信息处理方法,其特征在于,所述方法包括:
终端在网络认证失败的情况下,分别基于加密密钥和完整性密钥对包含有错误消息类型的第一指示信息进行加密和完整性保护;所述加密密钥和所述完整性密钥基于共享密钥获得;不同的错误消息类型对应相同格式的第一指示信息;
所述终端向第一网络设备发送加密后的第一指示信息;其中,所述加密后的第一指示信息通过第二网络设备向所述第一网络设备发送。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述终端根据所述加密密钥和所述完整性密钥对用户永久标识进行加密和完整性保护,获得用户隐藏标识,向第三网络设备发送所述用户隐藏标识;
其中,所述用户隐藏标识通过所述第二网络设备和所述第一网络设备向所述第三网络设备发送。
3.根据权利要求1或2所述的方法,其特征在于,所述终端向第一网络设备发送加密后的第一指示信息,包括:
所述终端通过认证响应消息向第一网络设备发送加密后的第一指示信息和用于完整性保护的MAC信息。
4.根据权利要求3所述的方法,其特征在于,所述分别基于加密密钥和完整性密钥对包含有错误消息类型的第一指示信息进行加密和完整性保护,包括:
所述终端基于加密密钥加密第一指示信息,基于所述完整性密钥生成MAC信息。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述第一指示信息包括错误消息类型和响应数据;所述响应数据与所述错误消息类型相关;
所述错误消息类型包括第一类型或第二类型;
第一类型的错误消息用于表示所述终端校验认证信息中的MAC信息失败;所述第二类型的错误消息用于表示所述终端校验SQN失败;
其中,在所述错误消息的类型为所述第二类型的情况下,所述响应数据为表征认证同步失败的数值;在所述错误消息的类型为所述第一类型的情况下,所述响应数据为第一随机数;所述数值的长度与所述第一随机数的长度相同。
6.根据权利要求5所述的方法,其特征在于,所述第一指示信息还包括以下信息的至少之一:第二随机数、用户永久标识;所述第二随机数用于区分加密后的所述第一指示信息的密文。
7.一种认证信息处理方法,其特征在于,所述方法包括:
第一网络设备通过第二网络设备接收终端发送的第一指示信息;所述第一指示信息基于加密密钥和完整性密钥进行加密和完整性保护;所述加密密钥和所述完整性密钥基于共享密钥获得;所述第一指示信息包括终端网络认证失败对应的错误消息类型;不同的错误消息类型对应相同格式的第一指示信息;
所述第一网络设备基于所述加密密钥和所述完整性密钥对所述第一指示信息进行解密。
8.根据权利要求7所述的方法,其特征在于,所述第一网络设备基于所述加密密钥和所述完整性密钥对所述第一指示信息进行解密之前,所述方法还包括:
所述第一网络设备接收第三网络设备发送的所述加密密钥和所述完整性密钥。
9.根据权利要求7所述的方法,其特征在于,所述第一网络设备基于所述加密密钥和所述完整性密钥对所述第一指示信息进行解密之前,所述方法还包括:
所述第一网络设备接收第三网络设备发送的所述共享密钥,基于所述共享密钥确定所述加密密钥和所述完整性密钥。
10.根据权利要求7至9任一项所述的方法,其特征在于,第一网络设备通过第二网络设备接收终端发送的第一指示信息,包括:
所述第一网络设备通过认证响应消息接收终端发送的第一指示信息和用于完整性保护的MAC信息;所述认证响应消息通过所述第二网络设备的转发而接收。
11.根据权利要求10所述的方法,其特征在于,所述第一网络设备基于所述加密密钥和所述完整性密钥对所述第一指示信息进行解密,包括:
所述第一网络设备基于所述完整性密钥校验所述MAC信息,在校验成功的情况下,基于所述加密密钥对所述第一指示信息进行解密处理。
12.根据权利要求7至11任一项所述的方法,其特征在于,所述第一指示信息包括错误消息类型和响应数据;所述响应数据与所述错误消息类型相关;
所述错误消息类型包括第一类型或第二类型;
第一类型的错误消息用于表示所述终端校验认证信息中的MAC信息失败;所述第二类型的错误消息用于表示所述终端校验SQN失败;
其中,在所述错误消息的类型为所述第二类型的情况下,所述响应数据为表征认证同步失败的数值;在所述错误消息的类型为所述第一类型的情况下,所述响应数据为第一随机数;所述数值的长度与所述第一随机数的长度相同。
13.根据权利要求12所述的方法,其特征在于,所述第一指示信息还包括以下信息的至少之一:第二随机数、用户永久标识;所述第二随机数用于区分加密后的所述第一指示信息的密文。
14.根据权利要求12或13所述的方法,其特征在于,所述方法还包括:
在所述第一指示信息包括的错误消息类型为所述第二类型的情况下,所述第一网络设备向所述第三网络设备发送认证失败同步参数,所述认证失败同步参数至少用于所述第三网络设备恢复与所述终端的SQN同步。
15.根据权利要求12至14任一项所述的方法,其特征在于,所述方法还包括:
所述第一网络设备向所述第二网络设备发送第二指示信息,所述第二指示信息包括以下信息的至少之一:错误消息类型、用户永久标识。
16.一种认证信息处理方法,其特征在于,所述方法包括:
第三网络设备通过第二网络设备和第一网络设备接收终端发送的用户隐藏标识;所述用户隐藏标识基于加密密钥和完整性密钥进行加密和完整性保护;所述加密密钥和所述完整性密钥基于共享密钥获得;
所述第三网络设备基于所述加密密钥和所述完整性密钥对所述用户隐藏标识进行解密,获得用户永久标识;
所述第三网络设备基于所述用户永久标识确定认证协议,所述认证协议用于与所述终端进行认证。
17.根据权利要求16所述的方法,其特征在于,所述第三网络设备基于所述加密密钥和所述完整性密钥对所述用户隐藏标识进行解密之前,所述方法还包括:
所述第三网络设备根据所述共享密钥确定加密密钥和完整性密钥。
18.根据权利要求16或17所述的方法,其特征在于,所述方法还包括:
所述第三网络设备向所述第一网络设备发送所述加密密钥和所述完整性密钥。
19.根据权利要求16或17所述的方法,其特征在于,所述方法还包括:
所述第三网络设备向所述第一网络设备发送所述共享密钥。
20.一种终端,其特征在于,所述终端包括:第一加密单元和第一通讯单元;其中,
所述第一加密单元,用于在网络认证失败的情况下,分别基于加密密钥和完整性密钥对包含有错误消息类型的第一指示信息进行加密和完整性保护;所述加密密钥和所述完整性密钥基于共享密钥获得;不同的错误消息类型对应相同格式的第一指示信息;
所述第一通讯单元,用于向第一网络设备发送加...
【专利技术属性】
技术研发人员:刘福文,
申请(专利权)人:中国移动通信有限公司研究院,中国移动通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。