一种同步攻击防护方法及相应的鉴权方法技术

本发明专利技术公开了一种同步攻击防护方法，应用于３Ｇ网络中终端与网络间的鉴权，该方法包括，终端向网络发送再同步请求命令时，附上再同步标记以及鉴权响应；网络侧在接收到所述再同步请求命令时，由ＭＳＣ／ＶＬＲ先根据所述鉴权响应判断所述再同步请求命令的合法性，如果不合法则直接判断出所述再同步请求命令来自非法用户，否则，ＭＳＣ／ＶＬＲ将再同步请求命令发送给网络侧ＨＬＲ／ＡＵＣ，ＨＬＲ／ＡＵＣ对所述再同步请求命令进行完整性验证。因此，网络侧接收到来自非法用户的再同步请求命令时，ＭＳＣ／ＶＬＲ根据所述鉴权响应即可判断出，而不必再耗费ＨＬＲ／ＡＵＣ的资源对来自非法用户的再同步请求命令进行完整性验证，进而达到避免非法用户利用再同步请求命令攻击网络的效果。

【技术实现步骤摘要】

【技术保护点】
一种同步攻击防护方法，应用于３Ｇ网络中终端与网络间的鉴权，其特征在于，所述方法至少包括以下步骤：ａ．ＨＬＲ／ＡＵＣ产生随机数ＲＡＮＤ，根据随机数、第二鉴权密钥产生期望响应ＸＲＥＳ，加密密钥ＣＫ、完整性密钥ＩＫ，并根据随机数、鉴权密钥 、鉴权管理域ＡＭＦ和第二序列号ＳＱＮＨＥ生成消息鉴权编码ＭＡＣ－Ａ，根据第二序列号、鉴权管理域和消息鉴权编码产生鉴权标记ＡＵＴＮ，将所述随机数、期望响应，加密密钥、完整性密钥和鉴权标记作为鉴权五元组发送给ＭＳＣ／ＶＬＲ；ｂ．ＭＳＣ／ ＶＬＲ将所述随机数、鉴权标记发送给终端；ｃ．终端根据第一鉴权密钥和接收到的随机数、接收到的ＡＵＴＮ中的第二序列号以及鉴权管理域对接收到的ＡＵＴＮ中的消息鉴权编码进行一致性验证，并在验证通过后，根据第一鉴权密钥和所述随机数生成鉴权响应 ＡＲＥＳ；ｄ．终端根据第一序列号ＳＱＮＭＳ判断第二序列号是否可以接受，并在第二序列号不可接收时，根据第一鉴权密钥、第一序列号，接收的ＡＵＴＮ中的ＡＭＦ和所述随机数生成同步鉴权编码ＭＡＣ－Ｓ，根据ＭＡＣ－Ｓ和ＳＱＮＭＳ产生同步标记ＡＵ ＴＳ，对ＭＳＣ／ＶＬＲ发送同步请求消息且附上所述同步标记以及所述鉴权响应的校验码；ｅ．ＭＳＣ／ＶＬＲ在接收到所述同步请求消息时，根据期望响应判断所述鉴权响应的校验码的合法性，如果不合法则判断出所述再同请求消息非法并结束相关处理；否则 ，ＭＳＣ／ＶＬＲ向ＨＬＲ／ＡＵＣ发送同步请求消息，并附上所述同步标记和对应鉴权五元组中的随机数；ｆ．ＨＬＲ／ＡＵＣ根据第二鉴权密钥判断所述同步请求消息的完整性，并根据所述同步请求消息的完整性作相关处理。...

【技术特征摘要】

【专利技术属性】
技术研发人员：王正伟，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：94[中国|深圳]