防止移动终端的认证序列号泄露的方法技术

本公开总体上涉及无线终端和核心网络之间的注册和认证过程，具体地，涉及在注册和认证过程期间，当经由无线通信接口发送无线终端的认证序列号时，保护无线终端的认证序列号不被泄漏。具体地，递增的认证序列号由无线终端维护，并与网络侧维护的另一认证序列号同步使用(在正常网络操作下)，以跟踪终端装置的注册和认证活动，并帮助检测经由无线通信接口对无线终端的某些类型的恶意攻击(例如，注册重放)。通过与无线终端的永久用户标识的隐藏机制相类似的隐藏机制将终端侧序列号发送到网络，以减少其暴露到无线接口，并且通过在成功认证或重新认证时跟踪和更新终端侧和网络侧的序列号，得以将无线终端的认证序列号与网络侧认证序列号同步。侧认证序列号同步。侧认证序列号同步。

【技术实现步骤摘要】
【国外来华专利技术】防止移动终端的认证序列号泄露的方法


[0001]本公开总体上涉及移动终端和核心网络之间的注册和认证过程，具体地，涉及防止认证序列号泄露的技术。

技术介绍

[0002]无线终端装置可以经由服务网络与其归属核心网络通信。在接入归属核心网络之前，无线终端可以发起注册和认证过程。无线终端、服务网络和归属核心网络彼此交互，以将无线终端认证到网络，并将网络认证到无线终端。在成功注册和认证后，生成接入凭证，以实现无线终端和网络之间的进一步通信。UE和网络之间经由无线接口传输的通信消息(无论是加密的还是未加密的)都可能受到黑客的攻击。黑客可能经由这种攻击获得关于无线终端的机密信息。

技术实现思路

[0003]本公开总体上涉及无线终端和核心网络之间的注册和认证过程，具体地，涉及在注册和认证过程期间，当经由无线通信接口发送无线终端的认证序列号时，保护无线终端的认证序列号不被泄漏。具体地，递增的认证序列号由无线终端维护，并与网络侧维护的另一认证序列号同步使用(在正常网络操作下)，以跟踪终端装置的注册和认证活动，并帮助检测经由无线通信接口对无线终端的某些类型的恶意攻击(例如，注册重放)。通过与无线终端的永久用户标识的隐藏机制相类似的隐藏机制将终端侧序列号发送到网络，以减少其暴露到无线接口，并且通过在成功认证或重新认证时跟踪和更新终端侧和网络侧的序列号，得以将无线终端的认证序列号与网络侧认证序列号同步。
[0004]在一些示例性实现方式中，公开了一种由通信网络的第一网元执行的用于认证第二网元以接入所述通信网络的方法。该方法可以包括：接收从所述第二网元发起的认证消息；去隐藏所述认证消息，以获得由所述第一网元维护的去隐藏序列号以及所述第二网元的去隐藏用户标识；将所述去隐藏序列号存储在所述第一网元中；生成新的序列号，并且基于所述新的序列号生成认证向量；向所述第二网元发送所述认证向量；以及当从所述第二网元接收到对所述认证向量的认证响应消息时，用所述新的序列号替换所述第一网元中存储的所述去隐藏序列号。
[0005]在一些其他实现方式中，公开了另一种由通信网络的第一网元执行的用于认证第二网元以接入所述通信网络的方法。该方法可以包括：接收从所述第二网元发起的认证消息，其中，所述认证消息包含所述第二网元的去隐藏用户标识；生成新的序列号，并且基于所述新的序列号生成认证向量；向所述第二网元发送所述认证向量；以及当从所述第二网元接收到对所述认证向量的认证响应消息时，用新的序列号替换先前存储的与第一网元相关联的序列号。
[0006]在一些其他实现方式中，公开了一种网络装置。所述网络装置主要包括一个或多个处理器和一个或多个存储器，其中，一个或多个处理器被配置为从一个或多个存储器读
取计算机代码，以实现由第一网元执行的上述方法。
[0007]在又一些其他实现方式中，公开了一种计算机程序产品。该计算机程序产品可以包括其上存储有计算机代码的非暂时性计算机可读程序介质，当由一个或多个处理器执行时，该计算机代码使得一个或多个处理器实现上述方法。
[0008]在下面的附图、说明书和权利要求中更详细地解释了上述实施例及其实现方式的其他方面和替代方案。
附图说明
[0009]图1示出了包括终端装置、载波网络、数据网络和服务应用的示例性通信网络。
[0010]图2示出了通信网络中的示例性网络功能或网络节点。
[0011]图3示出了无线通信网络中的示例性网络功能或网络节点。
[0012]图4示出了用于无线终端的网络注册和认证的用户隐藏标识的示例性数据结构。
[0013]图5示出了基于无线终端的用户隐藏标识和隐藏认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的主网络注册/认证的示例性数据和逻辑流程。
[0014]图6示出了在无线终端(用户设备(User Equipment，UE))检测到认证序列号去同步时用于重新认证的示例性数据和逻辑流程。
[0015]图7示出了基于不能验证的无线终端的网络分配的临时身份和认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的注册/认证的示例性数据和逻辑流程。
[0016]图8示出了基于无线终端的成功验证的网络分配的临时身份和认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的注册/认证的示例性数据和逻辑流程。
[0017]图9示出了检测到来自网络侧的认证序列号去同步时基于无线终端的用户隐藏标识和隐藏认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的主网络注册/认证的示例性数据和逻辑流程。
[0018]图10示出了在从网络侧检测到认证序列号不同步时基于不能验证的无线终端的网络分配的临时身份和认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的注册/认证的示例性数据和逻辑流程。
[0019]图11示出了检测到来自网络侧的认证序列号去同步时基于无线终端的成功验证的网络分配的临时身份和认证序列号的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的注册/认证的示例性数据和逻辑流程。
[0020]图12示出了检测到来自网络侧的经由注册消息时间戳的注册重放攻击时基于对应注册消息的用户隐藏标识和隐藏时间戳的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的主网络注册/认证的示例性数据和逻辑流程。
[0021]图13示出了检测到来自网络侧的经由注册消息时间戳的注册重放攻击时基于不能验证的无线终端的网络分配的临时身份和对应的注册消息的隐藏时间戳的用于无线终端(用户设备(User Equipment，UE))和核心网络之间的注册/认证的示例性数据和逻辑流程。
Function，UPF)350(用作图2的DRNN 250)、策略控制功能322(用作图2的PCNN 220)、认证服务器功能(Authentication Server Function，AUSF)360(用作图2的AUNN 260)、以及统一数据管理/认证凭证储存库和处理功能(Unified Data Management/Authentication Credential Repository and Processing Function，UDM/ARPF)370(用作图2的UDMNN 270)。此外，虽然在图3中仅示出了无线通信网络300(特别是核心网络130)的一些网络功能或节点的单个实例，但是本领域普通技术人员可以理解，这些网络节点或功能中的每一个都可以具有分布在整个无线通信网络300中的多个实例。
[0028]在图3中，UE 310可以被实现为被配置为经由RAN 320接入核心网络130的各种类型的无线装置或终端。UE 310可以包括但不限于移动电话、膝上型计算机、平板电脑、物联网(Internet<本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种由通信网络的第一网元执行的用于认证第二网元以接入所述通信网络的方法，所述方法包括：接收从所述第二网元发起的认证消息；去隐藏所述认证消息，以获得由所述第一网元维护的去隐藏序列号以及所述第二网元的去隐藏用户标识；将所述去隐藏序列号存储在所述第一网元中；生成新的序列号，并且基于所述新的序列号生成认证向量；向所述第二网元发送所述认证向量；以及当从所述第二网元接收到对所述认证向量的认证响应消息时，用所述新的序列号替换所述第一网元中存储的所述去隐藏序列号。2.根据权利要求1所述的方法，其中，在用所述新的序列号替换所述第一网元中存储的所述去隐藏序列号之后，还包括：从所述第二网元接收认证失败消息，其中，所述认证失败消息用于指示所述第二网元检测到序列号同步失败；基于存储的替换后的所述去隐藏序列号来生成重新认证向量；以及向所述第二网元发送所述重新认证向量。3.根据权利要求1所述的方法，其中，去隐藏所述认证消息，以获得所述去隐藏序列号以及所述去隐藏用户标识包括：从所述认证消息中获取所述第二网元的隐藏标识；解密所述隐藏标识，以获得解密复合数据项；以及从所述解密复合数据项中提取所述去隐藏用户标识和所述去隐藏序列号。4.根据权利要求3所述的方法，还包括：从所述认证消息中提取类型指示符，其中，所述类型指示符用于指示所述隐藏标识的类型；以及在解密所述隐藏标识之前，确定所述类型指示符指示所述隐藏标识包括隐藏复合数据项，其中，所述隐藏复合数据项包括隐藏用户标识和隐藏序列号。5.根据权利要求4所述的方法，当指示所述隐藏标识是复合数据项时，所述类型指示符包括唯一值，其中，所述唯一值用于指示所述隐藏标识包括用户标识和序列号的隐藏组合。6.根据权利要求4所述的方法，其中，所述隐藏标识被封装在用户隐藏标识SUCI中。7.根据权利要求3所述的方法，其中，所述解密复合数据项包括与所述去隐藏序列号串联的所述去隐藏用户标识。8.根据权利要求3所述的方法，其中，所述解密复合数据项包括与所述去隐藏序列号交织的所述去隐藏用户标识。9.根据权利要求3所述的方法，其中，使用椭圆曲线集成加密方案ECIES方案来解密所述隐藏标识，以获得所述解密复合数据项。10.根据权利要求3所述的方法，其中，所述去隐藏用...

【专利技术属性】
技术研发人员：游世林，蔡继燕，刘宇泽，邢真，彭锦，林兆骥，张博山，王继刚，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：