【技术实现步骤摘要】
一种移动通信场景的多用户认证方法、系统及信息处理终端
[0001]本专利技术属于网络通信
,尤其涉及一种移动通信场景的多用户认证方法、系统、介质、设备及信息处理终端。
技术介绍
[0002]目前,随着物联网行业技术标准的完善以及关键技术上的不断突破,大量智能化终端等网络边缘侧设备的连接,势必产生大量的实时数据。如果把这类数据处理分析都交给云端处理,云与设备之间的距离会导致高带宽消耗和处理延迟,这对于许多延迟敏感的边缘侧数据是不可接受的。而MEC技术通过将计算、存储与业务服务能力下沉到网络边缘,一定程度上解决了这类问题,对实现流量卸载、灵活快速的业务部署、降低时延等具有重要意义。
[0003]针对5G网络中超密集的基站覆盖场景,3GPP提出软件定义网络(SDN),可避免控制平面的额外开销,其可编程性和集中式网络管理使得SDN能够收集网络中的所有状态并借助统一、实时的网络拓扑图,使用不同的定位和数据分析技术来监视和预测到达用户的位置,为不同的网络流量规划不同的路径,提前通知相关接入基站确保自适应和高效聚类,以达到充分利用链路的目的,这在5G网络的动态群组移动管理中具有巨大优势。
[0004]目前,切换认证已成为参与网络场景的各方之间实现可靠和可信通信的基本要求。随着移动业务数据的飞速增长以及5G基站的大规模部署,切换认证发生的次数更加频繁,因此现有的切换认证方案最重要的就是解决通信开销和切换时延问题,并在此基础上最大程度的为用户提供高质量的网络服务、确保服务的连续性。
[0005]通过上述分...
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种移动通信场景的多用户认证方法,其特征在于,所述移动通信场景的多用户认证方法包括:步骤一,在已经建立好的群组内选择一个安全移动网关作为组头,所有组成员的认证信息通过该组头聚合后发送给接入基站;在组密钥协商阶段,每个组成员根据贡献生成各自的解密密钥,并公开计算组公钥PK
G
;步骤二,将MEC服务器部署在更靠近用户端的核心网边缘,并物理连接到其覆盖范围内的基站;在大量移动用户进入基站范围内时,可以采用已有的用户分组方案并在该组中选择一个对外通信的安全移动网关;采用具有检测功能的聚合消息认证码AMAD使群组与基站进行相互认证,使用组公钥加密消息并协商会话密钥进行后续的安全通信和服务请求。步骤三,根据SDN监测到的切换路径通知相关基站和群组进行切换认证。2.如权利要求1所述的移动通信场景的多用户认证方法,其特征在于,所述移动通信场景的多用户认证方法中,每个ECN均有一个预先和UDM/AUSF共享的密钥K;在ECNs接入网络之前,要求基站gNB均与核心网建立安全关联;UDM/AUSF拥有一个主公私钥对PK
HN
/SK
HN
,并为每个gNB生成公私钥对PK
gNB
/SK
gNB
后,将其安全的预分发到每个gNB;UDM/AUSF采用基于Internet密钥交换协议版本2
‑‑
IKEv2的身份验证机制或其他基于公钥密码学的简单身份验证机制对gNB进行身份验证;群组大小为n,SUCI
G
={SUCI1,SUCI2,...,SUCI
n
}是已经相互认证后的一组成员的匿名集,每个成员ECN
i
的索引为1≤i≤n;系统参数为π=(λ,γ,n,g,h1,
…
,h
n
,F,f1,f2,f3),其中),其中和是具有相同素数阶p的乘法群,是一个有效的非退化性双线性映射;g是的生成元,是在中随机选择的独立生成元;H是哈希函数;F是MAC函数;f1,f2,f3是独立的单向密钥加密函数,彼此之间完全无关。3.如权利要求1所述的移动通信场景的多用户认证方法,其特征在于,所述步骤一中的密钥协商阶段包括:(1)组密钥协商:对于1≤k≤n,每个ECN
k
均随机选择x
i,k
∈G,并计算A
i,k
=e(X
i,k
,g),得出ECN
k
的公钥为PK
k
=((R
n,k
,A
n,k
),(R
n,k
,A
n,k
)...,(R
n,k
,A
n,k
));对于i=0,1,...,n和j=1,...,n,其中i≠j并且j≠k,计算令d
j,k
=(σ
0,j,k
,...,σ
j
‑
1,j,k
,σ
j+1,j,k
,...,σ
n,j,k
);完成计算后,ECN
K
在群组内公开发送自己的公钥以及要分发给其余n
‑
1个成员的密钥材料:(PK
k
,d
1,k
,...,d
k
‑
1,k
,d
k+1,k
,...,d
n,k
),而d
k,k
则由自己秘密保存;(2)组密钥推导:组密钥的计算过程如下:此处Φ
×
Φ
→
Φ是公钥空间Φ中的有效操作,并且对于i=0,1,...,n,有(3)各成员解密密钥推导:对于0≤i≤n,1≤j≤n,剩余的n
‑
1个成员ECN
j
的解密密钥计算如下:
d
j
=(σ
0,i
,...,σ
j
‑
1,j
,σ
j+1,j
,...,σ
n,j
)其中,对于该群组,密钥生成具有同态性质,如果组成员不更新,组公钥和对应的成员解密密钥将一直保持不变;如果有成员加入或者推出群组,则组公钥和解密密钥只需要链接或删除该成员贡献的密钥材料,无需重新建立群组。4.如权利要求1所述的移动通信场景的多用户认证方法,其特征在于,所述步骤二中的初始认证阶段包括:使用的AMAD算法由具有检测功能的l阶双正交码构造而成,S为(n,k,d
min
)=(2
l
,l+1,2
l
‑1)且阶l≥3的双正交码的校正子生成矩阵,s为校正子,对于每个i=1,2,...,l+1,令S
i
=(S
i,1
,S
i,2
,...,S
i,n
)∈{0,1}
n
为矩阵S的第i行;令∑为S的扩展校正子生成矩阵,ε为扩展校正子;定义一个(l+1)
×
n阶的矩阵X,矩阵的所有行由X
i
=(X
i,1
,X
i,2
,X
i,3
,...,X
i,n
)=(S
i,1
,αS
i,2
,α2S
i,3
,...,α
n
‑1S
i,n
)构成,其中,α是GF(2
h
)的本原元;并且令Г为(2
l+1
‑
1)
×
n阶的矩阵,其行由矩阵X生成的出零向量之外的所有码字组成;具体认证流程如下,群组大小为n:(1)ECN
i
→
ECN
h
:(m
i
||t
i
)组成员的索引范围为i=1,2,...,n;每个成员ECN
i
选择一个随机数r
i
并生成认证消息m
i
=(SUCI
i
||PK
i
||r
i
),其中SUCI
i
是第i个成员的匿名身份,PK
i
是组密钥协商过程中生成的ECN
i
的公钥;ECN
i
计算各自的消息认证码t
i
=F(K
i
,m
i
);每个成员将自己的(m
i
||t
i
)发送给安全服务网关ECN
h
,此步骤可离线执行;(2)ECN
h
→
AMF1:(M
G
)ECN
h
根据接收到的消息生成聚合消息认证码T=(T1,T2);其中,T1=(T
1,1
,T
1,2
,...,T
1,l+1
)=tS
T
,t=(t1,t2,...,t
n
);令为每个t
i
的后h比特位,且依此计算T2=(T
2,1
,T
2,2
,...,T
2,l+1
)=t
*
X
T
;ECN
h
将组公钥以及必要的群组认证信息M
G
=(m1||...||m
n
||T||PK
G
)发送给AMF1;(3)AMF1保留M
G
并将消息转发给AUSF/UDM;(4)AUSF/UDM
→
AMF1:(A
G
=(A1||...||A
n
||r
HN
))AUSF/UDM检索每个SUCI
i
对应的真实身份SUPI
i
,并分析组成员是否在AMF1的范围内;根据K
i
、m
i
,UDM计算出每个ECN
i
对应的t
i
以及t=(t1,...,t
n
);AUSF/UDM验证s=T
‑
tS
T
,如果s=0,则群组身份认证通过,否则将输出恶意ECN对应的索引列表;验证通过后,AUSF/UDM为所有组成员生成一个新的临时身份选择随机数r
HN
并计算CK
i
=f2(K
i
,r
HN
),IK
i
=f3(K
i
,r
HN
),其中KDF代表单向的密钥派生函数;AUSF/UDM生成n条认证信息并将最终的认证令牌A
G
=(A1||...||A
n
||r
HN
)发送给AMF1;
(5)AMF1→
gNB1:(AUTH
G
=(AUTH1||...||AUTH
技术研发人员:赖成喆,马逸霄,张应辉,曹进,郑东,
申请(专利权)人:西安邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。