本技术属于通信,具体涉及一种通信网络鉴权方法、装置及设备。
背景技术:
1、随着互联网技术快速发展,信息系统的网络安全风险持续增加,威胁挑战日益严峻,密码安全是信息安全的重要基础,可以用于有效保障网络信息系统的数据安全,我国商用密码(以下简称商密)是保障网络信息系统的核心技术和重要手段。
2、目前通信网络的认证和密钥协商(authentication and key agreement,aka)协议基于milenage算法实现,用于完成通用用户身份模块(universal subscriber identitymodule,usim)和统一数据管理功能(unified data management,udm)之间的鉴权认证和密钥协商,milenage算法的底层算法是aes-128。
3、现有技术方案主要有以下缺点:
4、1)目前第五代移动通信技术(5th generation,5g)通信网络的aka协议中的milenage算法采用的底层算法是高级加密标准(advanced encryption standard,aes)-128,不支持其他算法,也不支持算法协商。
5、2)随着网络安全的发展,密码算法可能会面临被破解的风险,如果密码算法被攻破,会导致通信网络的aka协议的milenage算法被破解,或者导致克隆卡的出现。
6、3)如果密码算法被破解,由于无法进行算法协商,因此只能更换通用用户身份模块(universal subscriber identity module,usim)卡,并且升级统一数据管理功能unified data management,udm)或归属用户服务器(home subscriber server,hss)代价比较高,实施难度大。
技术实现思路
1、本技术实施例提供一种通信网络鉴权方法、装置及设备,解决由于不支持算法协商导致在固定算法被破解时会给网络带来风险的问题。
2、第一方面,提供一种通信网络鉴权方法,应用于第一核心网网元,包括:
3、从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件;
4、根据所述第一密码算法套件,计算鉴权向量av,所述av至少包括autn,所述autn携带所述第一密码算法套件的信息,所述第一密码算法套件用于usim验证所述autn和在验证通过的情况下计算第一信息,所述第一信息用于me计算第二信息,所述第二信息用于鉴权认证;
5、发送鉴权请求,所述鉴权请求中至少包括所述autn。
6、可选的,从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件之前,所述方法还包括:
7、接收所述me发送的注册请求,所述注册请求携带所述usim的信息。
8、可选的,从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件,包括:
9、根据所述usim的密码算法套件支持列表以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件;
10、或者,
11、根据所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件;
12、或者,
13、根据所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件;
14、或者,
15、根据所述usim的密码算法套件支持列表、所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件。
16、可选的,所述根据所述usim的密码算法套件支持列表以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括
17、若所述第一核心网网元的密码算法套件支持列表中标记为优先的密码算法套件在所述usim的密码算法套件支持列表中,则将所述标记为优先的密码算法套件确定为所述第一密码算法套件;
18、或者,
19、若所述第一核心网网元的密码算法套件支持列表中标记为优先的密码算法套件不在所述usim的密码算法套件支持列表中,则将所述usim的密码算法套件支持列表和所述第一核心网网元的密码算法套件支持列表共有且标记为可用的密码算法套件确定为所述第一密码算法套件。
20、可选的,根据所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
21、将所述第一核心网网元的密码算法套件支持列表中标记为基础套件的密码算法套件确定为所述第一密码算法套件。
22、可选的,根据所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
23、在所述第一核心网网元的密码算法套件支持列表中包含所述usim指定密码算法套件的情况下,将所述usim指定密码算法套件确定为所述第一密码算法套件。
24、可选的,根据所述usim的密码算法套件支持列表、所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
25、在所述第一核心网网元的密码算法套件支持列表中不包含所述usim指定密码算法套件的情况下,若所述第一核心网网元的密码算法套件支持列表中标记为优先的密码算法套件在所述usim的密码算法套件支持列表中,则将所述标记为优先的密码算法套件确定为所述第一密码算法套件;
26、或者,
27、在所述第一核心网网元的密码算法套件支持列表中不包含所述usim指定密码算法套件的情况下,若所述第一核心网网元的密码算法套件支持列表中标记为优先的密码算法套件不在所述usim的密码算法套件支持列表中,则将所述usim的密码算法套件支持列表和所述第一核心网网元的密码算法套件支持列表共有的、可用的、非专用的密码算法套件确定为所述第一密码算法套件。
28、可选的,在选择的所述第一密码算法套件的密码算法套件状态为不安全的情况下,所述方法还包括:
29、发送第三信息,所述第三信息用于指示以下至少之一:拒绝入网、允许入网并限制访问内容、安全风险。
30、可选的,所述方法还包括:
31、获取所述usim的签约数据,所述签约数据中携带有所述usim的密码算法套件支持列表、所述usim指定密码算法套件中的至少之一。
32、可选的,所述usim中设置有多个密码算法套件。
33、可选的,根据所述第一密码算法套件,计算av,包括:
34、根据所述第一密码算法套件,以及所述第一密码算法套件对应的根密钥,计算av。
35、可选的,所述autn的认证管理字段携带所述第一密码算法套件的信息。
36、可选的,所述第一核心网网元为udm或hss。
37、第二方面,提供一种通信网络鉴权方法,应用于usim,包括:
38、接收autn,所述autn携带第一核心网网元选择的第一密码算法套件的信息;
39、根据所述第一密码算法套件的信息确定第一密码算法套件;
40、根据所述第一密码算法套件验证所述autn;
41、在验证通过的情况下,根据所述第一密码算法套件计算第一信息;
42、向me发送所述第一信息,所述第一信息用于移动设备me计算第二信息,所述第二信息用于鉴权认证。
43、可选的,所述autn的amf携带所述第一密码算法套件的信息。
44、可选的,所述usim中设置有多个密码算法套件。
45、第三方面,提供一种通信网络鉴权装置,应用于第一核心网网元,包括:
46、选择模块,用于从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件;
47、第一计算模块,用于根据所述第一密码算法套件,计算鉴权向量av,所述av至少包括autn,所述autn携带所述第一密码算法套件的信息,所述第一密码算法套件用于usim验证所述autn和在验证通过的情况下计算第一信息,所述第一信息用于me计算第二信息,所述第二信息用于鉴权认证;
48、第一发送模块,用于发送鉴权请求,所述鉴权请求中至少包括所述autn。
49、第四方面,提供一种通信网络鉴权装置,应用于usim,包括:
50、第二接收模块,用于接收autn,所述autn携带第一核心网网元选择的第一密码算法套件的信息;
51、确定模块,用于根据所述第一密码算法套件的信息确定第一密码算法套件;
52、验证模块,用于根据所述第一密码算法套件验证所述autn;
53、第二计算模块,用于在验证通过的情况下,根据所述第一密码算法套件计算第一信息;
54、第二发送模块,用于向me发送所述第一信息,所述第一信息用于移动设备me计算第二信息,所述第二信息用于鉴权认证。
55、第五方面,提供一种通信设备,包括:存储器、收发机、处理器;其中,所述存储器用于存储计算机程序;所述处理器用于实现如第一方面所述方法的步骤。
56、第六方面,提供一种usim,包括存储器和处理器,所述处理器用于实现如第二方面所述方法的步骤。
57、第七方面,提供一种终端,包括如第六方面所述的usim。
58、第八方面,提供一种处理器可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面或第二方面所述方法的步骤。
59、在本技术实施例中,usim和第一核心网网元之间可以支持密码算法套件协商,实现通信网络鉴权协议底层密码算法套件的灵活替换,从而抵御密码算法套件被破解给网络带来的风险,同时也能满足互联互通的需求。
1.一种通信网络鉴权方法,应用于第一核心网网元,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件之前,所述方法还包括:
3.根据权利要求1或2所述的方法,其特征在于,从所述第一核心网网元支持的多个密码算法套件中选择第一密码算法套件,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据所述usim的密码算法套件支持列表以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
5.根据权利要求3所述的方法,其特征在于,所述根据所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
6.根据权利要求3所述的方法,其特征在于,所述根据所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
7.根据权利要求3所述的方法,其特征在于,所述根据所述usim的密码算法套件支持列表、所述usim指定密码算法套件以及所述第一核心网网元的密码算法套件支持列表,选择所述第一密码算法套件,包括:
8.根据权利要求7所述的方法,其特征在于,在选择的所述第一密码算法套件的密码算法套件状态为不安全的情况下,所述方法还包括:
9.根据权利要求3所述的方法,其特征在于,所述方法还包括:
10.根据权利要求1所述的方法,其特征在于,所述usim中设置有多个密码算法套件。
11.根据权利要求10所述的方法,其特征在于,根据所述第一密码算法套件,计算av,包括:
12.根据权利要求1所述的方法,其特征在于,所述autn的认证管理字段携带所述第一密码算法套件的信息。
13.根据权利要求1所述的方法,其特征在于,所述第一核心网网元为统一数据管理功能udm或归属用户服务器hss。
14.一种通信网络鉴权方法,应用于usim,其特征在于,包括:
15.根据权利要求14所述的方法,其特征在于,所述autn的amf携带所述第一密码算法套件的信息。
16.根据权利要求14所述的方法,其特征在于,所述usim中设置有多个密码算法套件。
17.一种通信网络鉴权装置,应用于第一核心网网元,其特征在于,包括:
18.一种通信网络鉴权装置,应用于usim,其特征在于,包括:
19.一种通信设备,其特征在于,包括:存储器、收发机、处理器;其中,所述存储器用于存储计算机程序;所述处理器用于实现如权利要求1至13中任一项所述方法的步骤。
20.一种usim,其特征在于,包括存储器和处理器,所述处理器用于实现如权利要求14至16中任一项所述方法的步骤。
21.一种终端,其特征在于,包括如权利要求20所述的usim。
22.一种处理器可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至16中任一项所述方法的步骤。