【技术实现步骤摘要】
基于ECDSA签名算法的身份认证方法、系统及设备
[0001]本专利技术涉及轨道交通无线通信领域,特别是涉及一种移动通信标准LTE
‑
R环境下使用ECDSA签名算法的轻量级身份认证方法、系统及设备。
技术介绍
[0002]随着铁路行业的快速发展,旧有的通信技术已经无法满足铁路行业日益增长的通信需求。因此,铁路部门开始研究新兴的通信技术,考虑使用LTE技术来满足通信需求。传统的GSM
‑
R难以满足未来高速铁路系统针对高冗余度数据的可靠传输、实时多媒体视频监控等业务的要求。因此,在第七届世界高速铁路大会上,国际铁路联盟(UIC)正式提出发展基于LTE
‑
R的下一代高速铁路无线通信系统。LTE
‑
R(LTE for Railways)是一种专门针对铁路通信需求而设计的LTE无线通信系统,为铁路通信提供高速数据传输和可靠的通信服务。然而,由于铁路特殊的工作环境和高度安全要求,对于LTE技术的要求也更加严格。因此,必须通过认证协议来确保LTE
‑
R系统在铁路环境下的可靠性、安全性和稳定性。为此,制定了一系列关于LTE
‑
R认证的标准和规范,并建立了专门的认证机构和测试中心,以对LTE
‑
R系统进行认证和测试。这些认证和测试将确保LTE
‑
R系统满足铁路行业的要求,为铁路通信提供更加高效、可靠、安全的服务。总之,LTE
‑
R是一种专门为铁路通信需求而优化的LTE无线通信...
【技术保护点】
【技术特征摘要】
1.一种基于ECDSA签名算法的身份认证方法,其特征在于,所述方法包括初始化认证;所述初始化认证包括:车载移动单元利用归属用户服务器的公钥对IMSI、车载移动单元身份标识符和所述车载移动单元获取的基站标识符进行加密并生成接入认证消息;所述归属用户服务器的公钥和所述IMSI为所述车载移动单元的USIM卡注册过程中存储在USIM卡中的安全参数;移动管理实体接收所述接入认证消息,基于所述接入认证消息、网络服务号和所述移动管理实体获取的基站标识符向所述归属用户服务器发送认证向量请求消息;所述归属用户服务器接收所述认证向量请求消息,验证所述认证向量请求消息的准确性,在消息验证通过后生成认证向量组并基于归属用户服务器的私钥应用ECDSA签名算法生成初认证签名,将所述初认证签名和认证向量响应消息发送给所述移动管理实体;所述认证向量响应消息包括所述认证向量组;所述认证向量组中包括多个认证向量;每一所述认证向量包括消息认证码、匿名性密钥、主密钥、认证令牌和期望响应;所述移动管理实体接收所述认证向量响应消息和所述初认证签名,对所述初认证签名进行签名验证,在初认证签名验证通过后,生成临时移动用户识别码,基于所述认证向量组和所述临时移动用户识别码生成认证挑战消息并发送给所述车载移动单元;所述车载移动单元接收所述认证挑战消息,验证所述认证挑战消息中的移动管理实体身份标识符,身份验证通过后进行所述消息认证码的验证,认证码验证通过后生成挑战响应消息并发送给所述移动管理实体;所述移动管理实体接收所述挑战响应消息,对比所述挑战响应消息和所述期望响应,对比通过后,生成认证成功消息并发送给所述归属用户服务器;所述归属用户服务器接收所述认证成功消息,更新长期共享密钥完成初始化认证。2.根据权利要求1所述的方法,其特征在于,车载移动单元利用归属用户服务器的公钥对IMSI、车载移动单元身份标识符和所述车载移动单元获取的基站标识符进行加密并生成接入认证消息,具体包括:所述车载移动单元确定初认证第一时间戳,并从ECDSA签名算法中椭圆曲线的数域中选取第一随机数,基于所述第一随机数和所述ECDSA签名算法中椭圆曲线的基点计算第一中间数据;所述椭圆曲线的基点和所述椭圆曲线的数域为所述车载移动单元的USIM卡注册过程中存储在USIM卡中的安全参数;所述椭圆曲线的数域为满足椭圆曲线方程的点组成的值域;所述车载移动单元确定所要接入的目标归属用户服务器身份标识符,并基于所述第一中间数据、所述目标归属用户服务器身份标识符、所述长期共享密钥、所述车载移动单元身份标识符和所述初认证第一时间戳应用哈希消息认证码运算得到第一哈希数据;所述车载移动单元利用所述归属用户服务器的公钥对所述IMSI、所述第一中间数据、所述车载移动单元身份标识符、所述车载移动单元获取的基站标识符进行加密,得到第一加密数据;所述车载移动单元基于所述第一哈希数据、所述第一加密数据和所述初认证第一时间戳生成所述接入认证消息,并发送至所述移动管理实体。3.根据权利要求2所述的方法,其特征在于,所述归属用户服务器接收所述认证向量请求消息,验证所述认证向量请求消息的准确性,在消息验证通过后生成认证向量组并基于
归属用户服务器的私钥应用ECDSA签名算法生成初认证签名,将所述初认证签名和认证向量响应消息发送给所述移动管理实体;所述认证向量响应消息包括所述认证向量组,具体包括:所述归属用户服务器接收所述认证向量请求消息和所述初认证签名后,验证所述网络服务号是否正确,若所述网络服务号正确,则利用所述归属用户服务器的私钥对第一加密数据进行解密,得到第一解密数据;所述第一解密数据包括解密的IMSI、解密的第一中间数据、解密的车载移动单元身份标识符和解密的基站标识;所述归属用户服务器利用所述解密的车载移动单元身份标识符验证所述车载移动单元的身份,并检查所述解密的基站标识与所述移动管理实体获取的基站标识符是否匹配;若所述车载移动单元的身份验证通过,且所述解密的基站标识与所述移动管理实体获取的基站标识符匹配,则所述归属用户服务器根据所述解密的IMSI确定所述长期共享密钥;所述归属用户服务器基于所述长期共享密钥、解密的第一中间数据、解密的车载移动单元身份标识符、所述目标归属用户服务器身份标识符和所述初认证第一时间戳计算第二哈希数据,并判断所述第一哈希数据和所述第二哈希数据是否相等;当所述第一哈希数据和所述第二哈希数据相等,则所述归属用户服务器确定初认证第二时间戳并随机选取多个第二随机数,将每一所述第二随机数分别与所述椭圆曲线的基点计算,得到多个第二中间数据;所述归属用户服务器将每一所述第二随机数分别与所述第一中间数据计算,得到多个第一协商密钥;对每一所述第二随机数,将对应的所述第二中间数据、所述解密的IMSI、所述网络服务号、对应的所述第一协商密钥、序列号、认证管理域作为输入,利用所述哈希消息认证码运算计算得到所述消息认证码、所述匿名性密钥、所述主密钥、所述认证令牌和所述期望响应;所述归属用户服务器将每一个所述消息认证码分别和对应的所述匿名性密钥、所述主密钥、所述认证令牌和所述期望响应组成一个所述认证向量,得到所述认证向量组;所述归属用户服务器从多个所述第二随机数中选取一个随机数,根据选取的第二随机数、所述椭圆曲线的基点、所述初认证第二时间戳和所述选取的第二随机数对应的所述认证向量以及所述归属用户服务器的私钥应用所述ECDSA签名算法生成所述初认证签名;所述归属用户服务器将认证向量响应消息和所述初认证签名发送给所述移动管理实体,所述认证向量响应消息包括所述认证向量组和所述初认证第二时间戳。4.根据权利要求3所述的方法,其特征在于,所述移动管理实体接收所述认证向量响应消息,对所述初认证签名进行签名验证,在初认证签名验证通过后,生成临时移动用户识别码,基于所述认证向量组和所述临时移动用户识别码生成认证挑战消息并发送给所述车载移动单元,具体包括:所述移动管理实体接收所述认证向量响应消息和所述初认证签名后,检查所述初认证第二时间戳的新鲜度,并进行初认证签名验证,初认证签名验证通过后,将所述认证向量组存储至移动管理实体数据库,并随机抽取一组所述认证向量;所述移动管理实体根据第三随机数和所述IMSI应用所述哈希消息认证码运算得到临时移动用户识别码,并确认初认证第三时间戳;所述第三随机数是所述车载移动单元首次
接入网络时,所述移动管理实体生成的且向所述车载移动单元发送的随机数;所述第三随机数是所述椭圆曲线的数域中的数据;所述移动管理实体根据抽取认证向量中的所述主密钥和所述第三随机数计算中间密钥,利用所述中间密钥对移动管理实体身份标识符、所述临时移动用户识别码和所述初认证第三时间戳进行加密,得到第二加密数据;所述移动管理实体基于所述抽取认证向量、所述第二加密数据和所述初认证第三时间戳生成所述认证挑战消息并发送给所述车载移动单元。5.根据权利要求4所述的方法,其特征在于,所述车载移动单元接收所述认证挑战消息,验证所述认证挑战消息中的...
【专利技术属性】
技术研发人员:周长利,张灵慧,陈祖希,梅萌,温景良,朱永华,李学良,
申请(专利权)人:华侨大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。