5GAKA协议的安全加固实现方法、装置和计算机设备制造方法及图纸

本申请涉及一种5GAKA协议的安全加固实现方法、装置、计算机设备和存储介质，其中该方法包括：将密钥协商过程与Puzzle机制相结合，待HN收到来自用户的认证请求后，首先要求用户解答Puzzle的X值；认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE进行密钥协商；UE与HN之间使用椭圆曲线密钥交换协议与Puzzle算法生成临时密钥，并将所述临时密钥与长期密钥一同作用生成最终的锚定密钥；使用锚定密钥对最终UE与SN之间的密钥确认进行加密。本发明专利技术中提出的Puzzle机制与ECDH密钥协商机制相结合的安全加固协议，可以有效地解决身份验证安全属性缺失、关键参数机密性及向前保密性问题，同时可缓解DoS攻击。同时可缓解DoS攻击。同时可缓解DoS攻击。

【技术实现步骤摘要】
5G AKA协议的安全加固实现方法、装置和计算机设备


[0001]本专利技术涉及5G通信
，特别是涉及一种5G AKA协议的安全加固实现方法、装置、计算机设备和存储介质。

技术介绍

[0002]5G为物联网技术提供了诸如智能家庭、智慧城市等新的应用场景。其设备种类多、数量多和规模大等特性对于应用在该场景下的物联网感知层设备的认证安全提出了更多的要求。物联网节点往往工作在不受人为监控的场景中，易受攻击，且安全防护资源有限，使得物联网安全问题更加明显。物联网是一个非常复杂的系统，和单个传感器网络相比，物联网中的传感器网、终端的数量非常庞大；物联网中的终端在功能上差异很大，需要很好的互操作性；物联网处理的数据量比现有的互联网和移动网络要大得多，这样庞大复杂的系统集成必然会带来许多安全问题。因此，探讨物联网的安全认证技术具有十分重要的现实意义。
[0003]AKA协议很早就开始于第三代移动网络中应用，在3G时代AKA协议多用于IP多媒体服务和无线电网络的身份验证。其中用户(设备)身份和格式是无线电网络的IMSI(International Mobile Subscriber Identity)和IP。通过对用户身份标识符的加密，实现对永久标识符的保护，并且为了安全，生成的临时标识符的也将定期刷新，避免被攻击者找到规律，从而为用户提供隐私保护。安全保证概念的出现是用于确保网络设备满足安全要求，它由安全要求和审核基础结构组成。
[0004]2018年牛津大学发布的技术报告对5G
‑
AKA协议进行了详细介绍。报告中指出身份验证涉及四个安全实体，分别是用户UE(User Equipment)、安全锚函数SEAF C Security Anchor Function、身份验证服务器功能AUSF(Authentication Server Function)以及身份验证凭证存储和处理功能ARPF(Authentication credential Repository andProcessing Function。除UE以外的三个实体属于5G核心网络，AUSF和ARPF两个实体隶属于归属网络。UE和SEAF可以用于远程的或漫游场景下的认证接入。当运行AKA协议时，UE首先使用隐藏的标识符代替永久标识符进行身份验证，用户的真实身份永远不会被公开披露，是因为UE与SEAF之间通信的信道是不安全的。当运行5G AKA协议时，UE首先使用隐藏的标识符代替永久标识符进行身份验证，用户的真实身份永远不会被公开披露，是因为UE与SEAF之间通信的信道是不安全的。用户设备的长期密钥K由用户本身和归属网络中的ARPF共享，用作消息的对称加密，存在一定安全漏洞。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种5G AKA协议的安全加固实现方法、装置、计算机设备和存储介质。
[0006]一种5G AKA协议的安全加固实现方法，所述方法包括：
[0007]将密钥协商过程与Puzzle机制相结合，待HN收到来自用户的认证请求后，首先要
求用户解答Puzzle的X值；
[0008]认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE进行密钥协商；
[0009]UE与HN之间使用椭圆曲线密钥交换协议与Puzzle算法生成临时密钥，并将所述临时密钥与长期密钥一同作用生成最终的锚定密钥；
[0010]使用锚定密钥对最终UE与SN之间的密钥确认进行加密。
[0011]在其中一个实施例中，所述认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE进行密钥协商的步骤还包括：
[0012]HN收到来自UE的认证请求后，还生成用于确认会话临时密钥的必要材料PK
HN
以及Puzzle机制计算材料发送至UE；
[0013]UE完成对质询消息的确认后，生成Puzzle随机数并计算共享密钥及会话临时密钥，并通过暴力破解方式计算出Puzzle应答X值，与应答消息一同返回SN与HN；
[0014]HN验证应答消息并生成锚定密钥K
seaf
。
[0015]在其中一个实施例中，所述方法还包括：
[0016]将5G AKA协议最后HN向SN发送认证通过的用户信息与锚定密钥K
seaf
对应，以避免一对SN与HN之间进行多个会话时SN将认证成功的用户信息与错误用户相对应。
[0017]在其中一个实施例中，所述方法还包括：
[0018]通过使用中间密钥和临时密钥共同对UE中的SQN值进行加密，并将失败原因隐藏在密文中，以避免攻击者通过重放攻击得到SQN的值。
[0019]一种5G AKA协议的安全加固实现装置，所述5G AKA协议的安全加固实现装置包括：
[0020]认证请求模块，所述认证请求模块用于将密钥协商过程与Puzzle机制相结合，待HN收到来自用户的认证请求后，首先要求用户解答Puzzle的X值；
[0021]密钥协商模块，所述密钥协商模块用于认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE进行密钥协商；
[0022]生成模块，所述生成模块用于UE与HN之间使用椭圆曲线密钥交换协议与Puzzle算法生成临时密钥，并将所述临时密钥与长期密钥一同作用生成最终的锚定密钥；
[0023]加密模块，所述加密模块用于使用锚定密钥对最终UE与SN之间的密钥确认进行加密。
[0024]在其中一个实施例中，所述密钥协商模块还用于：
[0025]HN收到来自UE的认证请求后，还生成用于确认会话临时密钥的必要材料PK
HN
以及Puzzle机制计算材料发送至UE；
[0026]UE完成对质询消息的确认后，生成Puzzle随机数并计算共享密钥及会话临时密钥，并通过暴力破解方式计算出Puzzle应答X值，与应答消息一同返回SN与HN；
[0027]HN验证应答消息并生成锚定密钥K
seaf
。
[0028]在其中一个实施例中，所述装置还包括：
[0029]信息对应模块，所述信息对应模块用于将5G AKA协议最后HN向SN发送认证通过的用户信息与锚定密钥K
seaf
对应，以避免一对SN与HN之间进行多个会话时SN将认证成功的用户信息与错误用户相对应。
[0030]在其中一个实施例中，所述装置还包括：
[0031]隐藏模块，所述隐藏模块用于通过使用中间密钥和临时密钥共同对UE中的SQN值进行加密，并将失败原因隐藏在密文中，以避免攻击者通过重放攻击得到SQN的值。
[0032]一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任意一项方法的步骤。
[0033]一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种5GAKA协议的安全加固实现方法，所述方法包括：将密钥协商过程与Puzzle机制相结合，待HN收到来自用户的认证请求后，首先要求用户解答Puzzle的X值；认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE5进行密钥协商；UE与HN之间使用椭圆曲线密钥交换协议与Puzzle算法生成临时密钥，并将所述临时密钥与长期密钥一同作用生成最终的锚定密钥；使用锚定密钥对最终UE与SN之间的密钥确认进行加密。2.根据权利要求1所述的5GAKA协议的安全加固实现方法，其特征在于，0所述认证用户付出一定代价正确解答Puzzle的X值后，HN再开始正式的与UE进行密钥协商的步骤还包括：HN收到来自UE的认证请求后，还生成用于确认会话临时密钥的必要材料PK
HN
以及Puzzle机制计算材料发送至UE；UE完成对质询消息的确认后，生成Puzzle随机数并计算共享密钥及会话临5时密钥，并通过暴力破解方式计算出Puzzle应答X值，与应答消息一同返回SN与HN；HN验证应答消息并生成锚定密钥K
seaf
。3.根据权利要求2所述的5GAKA协议的安全加固实现方法，其特征在于，所述方法还包括：0将5GAKA协议最后HN向SN发送认证通过的用户信息与锚定密钥K
seaf
对应，以避免一对SN与HN之间进行多个会话时SN将认证成功的用户信息与错误用户相对应。4.根据权利要求3所述的5GAKA协议的安全加固实现方法，其特征在于，所述方法还包括：5通过使用中间密钥和临时密钥共同对UE中的SQN值进行加密，并将失败原因隐藏在密文中，以避免攻击者通过重放攻击得到SQN的值。5.一种5GAKA协议的安全加固实现装置，其特征在于，所述5GAKA协议的安全加固实现装置包括：认证请求模块，所述认证请求模块用于将密钥协商过程与Puzzle机制相结合，待HN收到来自用户的认证请求后，首先要求用户解答Puzzle的...

【专利技术属性】
技术研发人员：张宇，陈志祥，朱明，丁霞，高浩然，熊斌，
申请(专利权)人：天翼物联科技有限公司，
类型：发明
国别省市：