一种认证处理方法、装置及设备制造方法及图纸

本发明专利技术提供一种认证处理方法、装置及设备，涉及通信技术领域。该方法包括：在获取到网络侧设备的校验信息时，根据自身存储的第二信息，对所述校验信息进行验证；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击；所述第二信息是与所述第一信息在同一次认证成功生成的；在所述校验信息通过验证的情况下，根据认证请求消息中携带的鉴权认证信息对所述网络侧设备进行认证。本发明专利技术的方案，能够有效避免鉴权认证信息的重放攻击，从而消除关联性攻击。而消除关联性攻击。而消除关联性攻击。

【技术实现步骤摘要】
一种认证处理方法、装置及设备


[0001]本专利技术涉及通信
，特别是指一种认证处理方法、装置及设备。

技术介绍

[0002]第五代移动通信技术5G将渗透到未来社会的各个领域，在构建以用户为中心的全方位信息生态系统中将起到关键作用。安全架构是5G网络正常运行的保障。认证协议是构建5G安全架构的基石。
[0003]目前，常见的认证协议用于用户设备UE和网络侧设备间的认证：5G鉴权5G-AKA和扩展认证密钥协商EAP-AKA
′
。其中，前者是基于长期演进LTE的认证和密钥协商EPS-AKA发展而来，而后者是一个国际互联网工程任务组IETF定义的认证协议用于第四代移动通信技术4G网络中UE使用无线局域网WIFI接入运营商网络。在5G中，UE基于EAP-AKA
′
不仅能通过WIFI接入运营商网络，而且通过5G无线接入网也能接入运营商网络。
[0004]然而，上述的两种认证，无法避免关联性攻击，如图1所示，在UE认证网络失败时可能会发送两个不同类型的错误消息(MAC_FAIL，SYNC_FAIL)到UE，其中，MAC_FAIL通常是由于UE的根密钥与网络侧的根密钥不匹配造成的；SYNC_FAIL表示网络侧的序列号SQN值在UE允许的范围之外，如它小于等于UE侧的SQN。为了检测UE是否在某一区域，主动攻击者捕获一个网络侧设备发给UE的包含(随机数RAND，认证令牌AUTN)的合法认证请求消息，并将其与该UE绑定。之后，攻击者不需要获取UE的国际移动用户识别码IMSI，通过重播包含之前捕获的含有(RAND，AUTN)的认证请求消息，攻击者就可以根据错误消息的类型来判断任何UE是否是最初绑定的UE。例如，攻击者接收到SYNC_FAIL消息，则可以确定需要跟踪的UE在特定区域里。因此，目前的认证过程中存在一定的安全隐患。

技术实现思路

[0005]本专利技术的目的是提供一种认证处理方法、装置及设备，能够有效避免鉴权认证信息的重放攻击，从而消除关联性攻击。
[0006]为达到上述目的，本专利技术的实施例提供一种认证处理方法，应用于用户设备，包括：
[0007]在获取到网络侧设备的校验信息时，根据自身存储的第二信息，对所述校验信息进行验证；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击；所述第二信息是与所述第一信息在同一次认证成功生成的；
[0008]在所述校验信息通过验证的情况下，根据认证请求消息中携带的鉴权认证信息对所述网络侧设备进行认证。
[0009]可选地，所述第一信息为所述网络侧设备存储的第一会话根密钥；所述校验信息是使用所述第一会话根密钥，通过密钥推演函数对所述鉴权认证信息进行运算生成的第一消息验证码。
[0010]可选地，所述第二信息为自身存储的第二会话根密钥；
[0011]所述根据自身存储的第二信息，对所述校验信息进行验证，包括：
[0012]使用所述第二会话根密钥，通过密钥推演函数对所述鉴权认证信息进行运算，生成第二消息验证码，其中所述第二会话根密钥与所述第一会话根密钥相同；
[0013]验证所述第一消息验证码和所述第二消息验证码是否相同。
[0014]可选地，所述第一信息为所述网络侧设备存储的第一序列号；所述校验信息是通过所述第一序列号与第一匿名密钥运算生成的第三信息。
[0015]可选地，所述第二信息为自身存储的第三序列号；
[0016]所述根据自身存储的第二信息，对所述校验信息进行验证，包括：
[0017]使用自身存储的第二匿名密钥对所述第三信息进行逆运算，得到第二序列号，其中所述第二匿名密钥是之前认证成功情况下生成的，与所述第一匿名密钥相同；
[0018]验证所述第二序列号和所述第三序列号是否相同，其中所述第三序列号与所述第一序列号相同。
[0019]可选地，在所述用户设备和所述网络侧设备相互认证通过之后，还包括：
[0020]存储本次认证中生成的会话根密钥和/或序列号。
[0021]可选地，所述根据自身存储的第二信息，对所述校验信息进行验证之后，还包括：
[0022]在所述校验信息未通过验证的情况下，停止向所述网络侧设备发送消息，并终止认证流程。
[0023]为达到上述目的，本专利技术的实施例提供一种认证处理方法，应用于网络侧设备，包括：
[0024]向用户设备发送校验信息；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击。
[0025]可选地，所述网络侧设备为鉴权服务设备AUSF；所述第一信息为AUSF存储的第一会话根密钥；
[0026]所述向用户设备发送校验信息之前，还包括：
[0027]使用所述第一会话根密钥，通过密钥推演函数对认证请求消息中携带的鉴权认证信息进行运算，生成第一消息验证码；
[0028]将所述第一消息验证码作为所述校验信息。
[0029]可选地，所述网络侧设备为统一数据管理设备UDM；所述第一信息为UDM存储的第一序列号；
[0030]所述向用户设备发送校验信息之前，还包括：
[0031]通过所述第一序列号与第一匿名密钥运算生成第三信息；
[0032]将所述第三信息作为所述校验信息。
[0033]可选地，所述向用户设备发送校验信息之后，还包括：
[0034]在所述用户设备和所述网络侧设备相互认证通过之后，存储本次认证中生成的会话根密钥和/或序列号。
[0035]为达到上述目的，本专利技术的实施例提供一种用户设备，包括：处理器；
[0036]所述处理器用于在获取到网络侧设备的校验信息时，根据自身存储的第二信息，对所述校验信息进行验证；其中，所述校验信息是根据之前认证成功情况下生成的第一信
息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击；所述第二信息是与所述第一信息在同一次认证成功生成的；
[0037]所述处理器还用于在所述校验信息通过验证的情况下，根据认证请求消息中携带的鉴权认证信息对所述网络侧设备进行认证。
[0038]可选地，所述第一信息为所述网络侧设备存储的第一会话根密钥；所述校验信息是使用所述第一会话根密钥，通过密钥推演函数对所述鉴权认证信息进行运算生成的第一消息验证码。
[0039]可选地，所述第二信息为自身存储的第二会话根密钥；所述处理器还用于：
[0040]使用所述第二会话根密钥，通过密钥推演函数对所述鉴权认证信息进行运算，生成第二消息验证码，其中所述第二会话根密钥是之前认证成功情况下生成的，与所述第一会话根密钥相同；
[0041]验证所述第一消息验证码和所述第二消息验证码是否相同。
[0042]可选地，所述第一信息为所述网络侧设备存储的第一序列号；所述校验信息是通过所述第一序列号与第一匿名密钥运算生成的第三信息。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种认证处理方法，应用于用户设备，其特征在于，包括：在获取到网络侧设备的校验信息时，根据自身存储的第二信息，对所述校验信息进行验证；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击；所述第二信息是与所述第一信息在同一次认证成功生成的；在所述校验信息通过验证的情况下，根据认证请求消息中携带的鉴权认证信息对所述网络侧设备进行认证。2.根据权利要求1所述的方法，其特征在于，所述第一信息为所述网络侧设备存储的第一会话根密钥；所述校验信息是使用所述第一会话根密钥，通过密钥推演函数对所述鉴权认证信息进行运算生成的第一消息验证码。3.根据权利要求2所述的方法，其特征在于，所述第二信息为自身存储的第二会话根密钥；所述根据自身存储的第二信息，对所述校验信息进行验证，包括：使用所述第二会话根密钥通过密钥推演函数对所述鉴权认证信息进行运算，生成第二消息验证码，其中所述第二会话根密钥是之前认证成功情况下生成的，与所述第一会话根密钥相同；验证所述第一消息验证码和所述第二消息验证码是否相同。4.根据权利要求1所述的方法，其特征在于，所述第一信息为所述网络侧设备存储的第一序列号；所述校验信息是通过所述第一序列号与第一匿名密钥运算生成的第三信息。5.根据权利要求4所述的方法，其特征在于，所述第二信息为自身存储的第三序列号；所述根据自身存储的第二信息，对所述校验信息进行验证，包括：使用自身存储的第二匿名密钥对所述第三信息进行逆运算，得到第二序列号，其中所述第二匿名密钥与所述第一匿名密钥相同；验证所述第二序列号和所述第三序列号是否相同，其中所述第三序列号与所述第一序列号相同。6.根据权利要求1所述的方法，其特征在于，在所述用户设备和所述网络侧设备相互认证通过之后，还包括：存储本次认证中生成的会话根密钥和/或序列号。7.根据权利要求1所述的方法，其特征在于，所述根据自身存储的第二信息，对所述校验信息进行验证之后，还包括：在所述校验信息未通过验证的情况下，停止向所述网络侧设备发送消息，并终止认证流程。8.一种认证处理方法，应用于网络侧设备，其特征在于，包括：向用户设备发送校验信息；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击。9.根据权利要求8所述的方法，其特征在于，所述网络侧设备为鉴权服务设备AUSF；所述第一信息为AUSF存储的第一会话根密钥；所述向用户设备发送校验信息之前，还包括：使用所述第一会话根密钥，通过密钥推演函数对认证请求消息中携带的鉴权认证信息
进行运算，生成第一消息验证码；将所述第一消息验证码作为所述校验信息。10.根据权利要求8所述的方法，其特征在于，所述网络侧设备为统一数据管理设备UDM；所述第一信息为UDM存储的第一序列号；所述向用户设备发送校验信息之前，还包括：通过所述第一序列号与第一匿名密钥运算生成第三信息；将所述第三信息作为所述校验信息。11.根据权利要求8所述的方法，其特征在于，所述向用户设备发送校验信息之后，还包括：在所述用户设备和所述网络侧设备相互认证通过之后，存储本次认证中生成的会话根密钥和/或序列号。12.一种用户设备，其特征在于，包括：处理器；所述处理器用于在获取到网络侧设备的校验信息时，根据自身存储的第二信息，对所述校验信息进行验证；其中，所述校验信息是根据之前认证成功情况下生成的第一信息所得，且用于校验本次认证的鉴权认证信息是否为重放攻击；所述第二信息是与所述第一信息在同一次认证成功生成的；所述处理器还用于在所述校验信息通过验证的情况下，根据认证请求消息中携带的鉴权认证信息对所述网络侧设备进行认证。13.根据权利要求12所述的用户设备，其特征在于，所述第一信息为所述网络...

【专利技术属性】
技术研发人员：刘福文，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：