本技术实施例涉及通信,尤其涉及一种认证方法、终端、基站及存储介质。
背景技术:
1、目前,5g网络接入系统相比4g网络接入系统在安全上有所提高,如对用户永久标识(subscription permanent identifier,supi)加密以实现用户隐私保护,网络侧认证终结点在认证服务器功能(authentication server function,ausf)以增强归属网络对用户的控制。
2、然而,5g网络接入系统仍然存在重大安全问题,终端在接入时是对核心网的ausf进行认证,容易存在伪基站进行网络攻击,导致通信安全性较低。
技术实现思路
1、本技术实施例提供一种认证方法、终端、基站及存储介质,在rrc建立流程中,终端能够确定基站是否为伪基站,从而避免受到伪基站的网络攻击,提高通信安全性。
2、本技术实施例的技术方案是这样实现的:
3、本技术实施例提供了一种认证方法,应用于终端,所述方法包括:
4、向基站发送无线资源控制rrc请求消息;
5、接收所述基站响应于所述rrc请求消息发送的rrc建立消息;所述rrc建立消息中携带所述终端与所述基站之间交互信息的签名,由所述基站基于椭圆曲线的无证书标识签名eccsi算法,利用基站标识、基站私钥、密钥生成中心为所述基站配置的公开验证令牌,以及所述密钥生成中心的公共参数生成;
6、利用所述基站标识、所述公共参数,以及所述公开验证令牌对所述签名进行验证,并基于验证结果确定所述基站是否为伪基站。
7、在上述方法中,所述交互信息包括:
8、所述rrc请求消息中携带的用于连接请求的消息单元、终端公钥,以及终端随机数;
9、所述rrc建立消息中携带的用于回馈连接信息的信息单元、基站公钥、基站随机数、所述基站的定位信息,以及所述基站标识。
10、在上述方法中,所述rrc建立消息中携带所述基站标识,所述基站标识由所述基站的全球唯一标识以及序列号构成;
11、所述利用所述基站标识、所述公共参数,以及所述公开验证令牌对所述签名进行验证,并基于验证结果确定所述基站是否为伪基站之前,所述方法还包括:
12、根据所述全球唯一标识的前缀,在预先写入的联盟链上获取所述公共参数和所述公开验证令牌。
13、在上述方法中,所述rrc建立消息中携带所述基站的定位信息,所述基于验证结果确定所述基站是否为伪基站,包括:
14、在验证结果为不通过的情况下,确定所述基站为伪基站;
15、在验证结果为通过的情况下,基于自身的定位信息与所述基站的定位信息,确定与所述基站之间的距离;
16、在所述距离超出阈值的情况下,确定所述基站为伪基站;
17、在所述距离未超出所述阈值的情况下,确定所述基站不是伪基站。
18、在上述方法中,所述rrc请求消息中携带终端公钥和终端随机数,以支持所述基站生成空口密钥。
19、在上述方法中,所述rrc建立消息中携带基站公钥和基站随机数,所述基于验证结果确定所述基站是否为伪基站之后,所述方法还包括:
20、利用终端私钥和所述基站公钥,生成与所述基站之间的共享密钥;
21、利用终端随机数、所述共享密钥和所述基站随机数,生成空口密钥;
22、在所述空口密钥与所述基站生成的空口密钥相同的情况下,与所述基站之间基于所述空口密钥构建空口安全通道;
23、其中,所述空口安全通道用于保护在空口的rrc信令和非接入层nas信令。
24、在上述方法中,所述rrc建立消息中携带所述签名的签名验证码,所述在所述空口密钥与所述基站生成的空口密钥相同的情况下,与所述基站之间基于所述空口密钥构建空口安全通道之前,所述方法还包括:
25、利用所述空口密钥对所述签名进行验证码运算;
26、在运算得到的验证码与所述签名验证码相同的情况下,确定所述空口密钥与所述基站生成的空口密钥相同;
27、在运算得到的验证码与所述签名验证码不同的情况下,确定所述空口密钥与所述基站生成的空口密钥不同。
28、本技术实施例提供了一种认证方法,应用于基站,所述方法包括:
29、接收终端发送的rrc请求消息;
30、响应于所述rrc请求消息,基于eccsi算法,利用基站标识、基站私钥、密钥生成中心为所述基站配置的公开验证令牌,以及所述密钥生成中心的公共参数,生成所述终端与所述基站之间交互信息的签名;
31、向所述终端发送携带所述签名的rrc建立消息,以供所述终端基于对所述签名的验证结果确定所述基站是否为伪基站。
32、在上述方法中,所述交互信息包括:
33、所述rrc请求消息中携带的用于连接请求的消息单元、终端公钥,以及终端随机数;
34、所述rrc建立消息中携带的用于回馈连接信息的信息单元、基站公钥、基站随机数、所述基站的定位信息,以及所述基站标识。
35、在上述方法中,所述rrc建立消息中携带所述基站标识,所述基站标识由所述基站的全球唯一标识以及序列号构成;
36、所述全球唯一标识的前缀,用于支持所述终端获取所述公共参数和所述公开验证令牌。
37、在上述方法中,所述rrc建立消息中携带所述基站的定位信息,以支持所述终端在对所述签名验证通过的情况下,结合所述终端与所述基站之间的距离,确定所述基站是否为伪基站。
38、在上述方法中,所述rrc请求消息中携带终端公钥和终端随机数,所述接收终端发送的rrc请求消息之后,所述方法还包括:
39、利用基站私钥和所述终端公钥,生成与所述终端之间的共享密钥;
40、利用基站随机数、所述共享密钥和所述终端随机数,生成空口密钥;
41、在所述终端同样生成所述空口密钥的情况下,与所述终端之间基于所述空口密钥构建空口安全通道;
42、其中,所述空口安全通道用于保护在空口的rrc信令和非接入层nas信令。
43、在上述方法中,所述rrc建立消息中携带所述签名的签名验证码,以支持所述终端确定自身生成的空口密钥与所述基站生成的空口密钥是否相同;
44、所述利用基站随机数、所述共享密钥和所述终端随机数,生成空口密钥之后,所述方法还包括:
45、利用所述空口密钥对所述签名进行验证码运算,生成所述签名验证码。
46、本技术实施例提供了一种终端,包括:
47、第一发送模块,用于向基站发送无线资源控制rrc请求消息;
48、第一接收模块,用于接收所述基站响应于所述rrc请求消息发送的rrc建立消息;所述rrc建立消息中携带所述终端与所述基站之间交互信息的签名,由所述基站基于椭圆曲线的无证书标识签名eccsi算法,利用基站标识、基站私钥、密钥生成中心为所述基站配置的公开验证令牌,以及所述密钥生成中心的公共参数生成;
49、第一处理模块,用于利用所述基站标识、所述公共参数,以及所述公开验证令牌对所述签名进行验证,并基于验证结果确定所述基站是否为伪基站。
50、本技术实施例提供了一种基站,包括:
51、第二接收模块,用于接收终端发送的rrc请求消息;
52、第二处理模块,用于响应于所述rrc请求消息,基于eccsi算法,利用基站标识、基站私钥、密钥生成中心为所述基站配置的公开验证令牌,以及所述密钥生成中心的公共参数,生成所述终端与所述基站之间交互信息的签名;
53、第二发送模块,用于向所述终端发送携带所述签名的rrc建立消息,以供所述终端基于对所述签名的验证结果确定所述基站是否为伪基站。
54、本技术实施例提供了一种终端,包括:第一处理器、第一存储器和第一通信总线;
55、所述第一通信总线,用于实现所述第一处理器和所述第一存储器之间的通信连接;
56、所述第一处理器,用于执行所述第一存储器存储的一个或者多个计算机程序,以实现应用于终端的认证方法。
57、本技术实施例提供了一种基站,其特征在于,包括:第二处理器、第二存储器和第二通信总线;
58、所述第二通信总线,用于实现所述第二处理器和所述第二存储器之间的通信连接;
59、所述第二处理器,用于执行所述第二存储器存储的一个或者多个计算机程序,以实现应用于基站的认证方法。
60、本技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述认证方法。
61、本技术实施例提供了一种认证方法、终端、基站及存储介质,应用于终端的方法包括:向基站发送无线资源控制rrc请求消息;接收基站响应于rrc请求消息发送的rrc建立消息;rrc建立消息中携带终端与基站之间交互信息的签名,由基站基于椭圆曲线的无证书标识签名eccsi算法,利用基站标识、基站私钥、密钥生成中心为基站配置的公开验证令牌,以及密钥生成中心的公共参数生成;利用基站标识、公共参数,以及公开验证令牌对签名进行验证,并基于验证结果确定基站是否为伪基站。本技术实施例提供的技术方案,在rrc建立流程中,基站基于eccsi算法,利用基站私钥、基站标识,公开验证令牌以及密钥生成中心的公共参数对终端和基站间交互的消息进行签名。终端利用存储在本地的联盟链上的公共参数,基站标识以及公开验证令牌对签名进行验证,基于此能够确定基站是否为伪基站,从而可以避免受到伪基站的网络攻击,提高通信安全性。
1.一种认证方法,其特征在于,应用于终端,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述交互信息包括:
3.根据权利要求1所述的方法,其特征在于,所述rrc建立消息中携带所述基站标识,所述基站标识由所述基站的全球唯一标识以及序列号构成;
4.根据权利要求1所述的方法,其特征在于,所述rrc建立消息中携带所述基站的定位信息,所述基于验证结果确定所述基站是否为伪基站,包括:
5.根据权利要求1所述的方法,其特征在于,所述rrc请求消息中携带终端公钥和终端随机数,以支持所述基站生成空口密钥。
6.根据权利要求1所述的方法,其特征在于,所述rrc建立消息中携带基站公钥和基站随机数,所述基于验证结果确定所述基站是否为伪基站之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述rrc建立消息中携带所述签名的签名验证码,所述在所述空口密钥与所述基站生成的空口密钥相同的情况下,与所述基站之间基于所述空口密钥构建空口安全通道之前,所述方法还包括:
8.一种认证方法,其特征在于,应用于基站,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,所述交互信息包括:
10.根据权利要求8所述的方法,其特征在于,所述rrc建立消息中携带所述基站标识,所述基站标识由所述基站的全球唯一标识以及序列号构成;
11.根据权利要求8所述的方法,其特征在于,所述rrc建立消息中携带所述基站的定位信息,以支持所述终端在对所述签名验证通过的情况下,结合所述终端与所述基站之间的距离,确定所述基站是否为伪基站。
12.根据权利要求8所述的方法,其特征在于,所述rrc请求消息中携带终端公钥和终端随机数,所述接收终端发送的rrc请求消息之后,所述方法还包括:
13.根据权利要求12所述的方法,其特征在于,所述rrc建立消息中携带所述签名的签名验证码,以支持所述终端确定自身生成的空口密钥与所述基站生成的空口密钥是否相同;
14.一种终端,其特征在于,包括:
15.一种基站,其特征在于,包括:
16.一种终端,其特征在于,包括:第一处理器、第一存储器和第一通信总线;
17.一种基站,其特征在于,包括:第二处理器、第二存储器和第二通信总线;
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-13任一项所述的认证方法。
