【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种基于gba的车辆网络安全防护方法、装置及介质。
技术介绍
1、gba(generic bootstrapping architecture,通用引导架构)是一种技术,它是用户的认证。认证的前提是用户拥有hlr(homelocation register,归属位置寄存器)或hss(home subscriberserver,归属用户服务器)的效身份认证。
2、gba是在3gpp标准化。用户认证是由一个共享的密钥,和另一个在智能卡的实体,例如在移动电话内的sim卡,另一个是在hlr/hss。gba通过使网络组件挑战智能卡,并验证该答案是一个由hlr/hss预测验证。代替要求服务提供商信任bsf(bootstrapping serverfunction,自举服务功能设备)和依靠它为每一个认证请求时,bsf建立卡贴卡和服务提供者之间的共享秘密。这个共享秘密在时间和用于特定域的限制。
3、gba可在用户终端(ue)与网络之间实现双向身份认证及密钥共享,为应用层端到端通信提供安全保障。以便通过usim(universal subscriber identity module,全球用户识别模块)能够向物联网/车联网终端用户提供开放的gba网络安全能力。
4、然而,目前gba存在严重的安全漏洞,容易受到网络攻击,导致用户信息数据泄露。
技术实现思路
1、本申请所要解决的技术问题是针对现有技术的上述不足,提供一种基于gba的车辆网络安全
2、第一方面,本申请提供一种基于gba的车辆网络安全防护方法,所述方法包括:
3、s1、车载终端生成密钥对,并将密钥对中的公钥发送至全球用户识别模块usim;
4、s2、响应于网络应用功能naf采用基于移动设备的通用引导架构gba_me模式进行通用引导架构gba过程,车载终端向自举服务功能设备bsf发起秘钥协商aka过程,得到来自bsf的第一协商参数信息;
5、s3、车载终端将所述第一协商参数信息发送至usim,并接收usim基于所述第一协商参数信息发送的第二协商参数信息,其中,所述第二协商参数信息为usim基于密钥对中的公钥进行数据加密得到;
6、s4、车载终端采用密钥对中的私钥对所述第二协商参数信息进行解密,得到解密参数,并基于所述解密参数完成秘钥协商aka过程。
7、在一些实施例中,s2中,所述第一协商参数信息包括:随机数rand、网络认证令牌autn、加密密钥ck、完整性密钥ik中的至少一项。
8、在一些实施例中,所述第二协商参数信息包括:加密密钥ck、完整性密钥ik、认证应答res中的至少一项。
9、在一些实施例中,s4,包括:
10、车载终端采用密钥对中的私钥对所述第二协商参数信息进行解密,得到加密密钥ck、完整性密钥ik、认证应答res,并将res发送至bsf;
11、车载终端接收bsf在完成res校验后发送的引导事务标识b-tid;
12、车载终端基于b-tid进行认证处理并得到会话密钥ks。
13、在一些实施例中,所述车载终端采用非对称加密算法生成密钥对;
14、所述usim基于密钥对中的公钥采用非对称加密算法进行数据加密得到所述第二协商参数信息。
15、在一些实施例中,还包括:
16、在车载终端与外界网元进行信息交互时,通过软件开发工具包sdk对信息交互内容进行安全监测处理,其中,所述外界网元包括usim、bsf、naf。
17、在一些实施例中,所述安全监测处理包括以下至少一项:
18、监测与车载终端通信的bsf/naf是否在白名单内,若否,则丢弃不在白名单内的bsf/naf的数据包;
19、监测车载终端的通信流量是否存在病毒/恶意攻击行为,肉存在,则丢弃存在病毒/恶意攻击行为的数据包;
20、监测autn的验证结果,若验证错误的频次高于预设阈值,则丢弃对应的数据包;
21、监测未收到应答/直接收到应答的频次,若未收到应答/直接收到应答的频次高于预设阈值,则丢弃对应的数据包。
22、第二方面,本申请提供一种基于gba的车辆网络安全防护装置,应用于车载终端,所述装置包括:
23、密钥对生成模块,其设置为生成密钥对,并将密钥对中的公钥发送至全球用户识别模块usim;
24、秘钥协商发起模块,其设置为响应于网络应用功能naf采用基于移动设备的通用引导架构gba_me模式进行通用引导架构gba过程,向自举服务功能设备bsf发起秘钥协商aka过程,得到来自bsf的第一协商参数信息;
25、协商参数获取模块,其设置为将所述第一协商参数信息发送至usim,并接收usim基于所述第一协商参数信息发送的第二协商参数信息,其中,所述第二协商参数信息为usim基于密钥对中的公钥进行数据加密得到;
26、协商参数解密模块,其设置为采用密钥对中的私钥对所述第二协商参数信息进行解密,得到解密参数,并基于所述解密参数完成秘钥协商aka过程。
27、第三方面,本申请提供一种基于gba的车辆网络安全防护装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现上述第一方面所述的基于gba的车辆网络安全防护方法。
28、第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的基于gba的车辆网络安全防护方法。
29、本申请提供的基于gba的车辆网络安全防护方法、装置及介质,方法包括:车载终端生成密钥对,并将密钥对中的公钥发送至全球用户识别模块usim;响应于网络应用功能naf采用基于移动设备的通用引导架构gba_me模式进行通用引导架构gba过程,车载终端向自举服务功能设备bsf发起秘钥协商aka过程,得到来自bsf的第一协商参数信息;车载终端将所述第一协商参数信息发送至usim,并接收usim基于所述第一协商参数信息发送的第二协商参数信息,其中,所述第二协商参数信息为usim基于密钥对中的公钥进行数据加密得到;车载终端采用密钥对中的私钥对所述第二协商参数信息进行解密,得到解密参数,并基于所述解密参数完成秘钥协商aka过程。本申请提供一种基于gba的车辆网络安全防护方法,在gba体系下将密码技术与网络数据安全分析技术进行结合,gba_me采用非对称加密算法,通过车载终端产生密钥对,公钥公开,实现车载终端ue与usim卡之间传输数据的加密。充分保护gba_me模式下usim卡与车载终端交互数据的机密性和完整性。此外,对通道中传输数据的交互行为进行安全监测分析,形成分析特征,有效防止攻击者利用合法车载终端身份发起网络攻击的可能,弥补密码技术的带来的不足,本文档来自技高网...
【技术保护点】
1.一种基于GBA的车辆网络安全防护方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于GBA的车辆网络安全防护方法,其特征在于,S2中,所述第一协商参数信息包括:随机数RAND、网络认证令牌AUTN、加密密钥CK、完整性密钥IK中的至少一项。
3.根据权利要求1所述的基于GBA的车辆网络安全防护方法,其特征在于,所述第二协商参数信息包括:加密密钥CK、完整性密钥IK、认证应答RES中的至少一项。
4.根据权利要求3所述的基于GBA的车辆网络安全防护方法,其特征在于,S4,包括:
5.根据权利要求1所述的基于GBA的车辆网络安全防护方法,其特征在于,
6.根据权利要求1-5任一项所述的基于GBA的车辆网络安全防护方法,其特征在于,还包括:
7.根据权利要求6所述的基于GBA的车辆网络安全防护方法,其特征在于,所述安全监测处理包括以下至少一项:
8.一种基于GBA的车辆网络安全防护装置,其特征在于,应用于车载终端,所述装置包括:
9.一种基于GBA的车辆网络安全防护装置,其特征
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7中任一项所述的基于GBA的车辆网络安全防护方法。
...【技术特征摘要】
1.一种基于gba的车辆网络安全防护方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于gba的车辆网络安全防护方法,其特征在于,s2中,所述第一协商参数信息包括:随机数rand、网络认证令牌autn、加密密钥ck、完整性密钥ik中的至少一项。
3.根据权利要求1所述的基于gba的车辆网络安全防护方法,其特征在于,所述第二协商参数信息包括:加密密钥ck、完整性密钥ik、认证应答res中的至少一项。
4.根据权利要求3所述的基于gba的车辆网络安全防护方法,其特征在于,s4,包括:
5.根据权利要求1所述的基于gba的车辆网络安全防护方法,其特征在于,
6.根据权利要求1-5任一项所述的基于gba的车...
【专利技术属性】
技术研发人员:巩金亮,周光涛,王溢,阮红阳,
申请(专利权)人:联通智网科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。