本發明實施例公開了一種設備身份鑒權的方法及設備，該方法包括：終端獲取核心網預置的信息；所述終端根據預先存儲的主密鑰和所述核心網預置的信息生成認證密鑰；向所述核心網設備發送經所述終端預設的公鑰進行加密后的鑒權請求報文，所述鑒權請求報文中包含所述認證密鑰，其中所述公鑰與所述核心網預設的私鑰對應；接收所述核心網設備針對所述鑒權請求報文反饋的鑒權響應報文，在所述鑒權響應報文指示所述終端鑒權通過時，與所述核心網設備進行通信。該方法核心網設備將不再存儲終端的主密鑰，保護了終端的主密鑰的安全，提高了通信安全性。

技術領域

本申請涉及無線通信技術領域，尤其涉及一種設備身份鑒權的方法及設備。

背景技術

在無線通信場景中，終端與核心網進行數據傳輸之前，核心網設備需要對終端進行認證鑒權，從而避免核心網遭受非法訪問和攻擊，以及避免影響其他合法終端正常訪問核心網資源。當前，現有進行鑒權的方式是使終端和核心網雙方預先共享一個主密鑰。然后，雙方通過這個主密鑰和AKA(Authentication and key agreement，認證和密鑰協商)協議來實現終端和核心網設備的雙向認證。認證鑒權通過后，終端和核心網設備基于各自的主密鑰導出加密密鑰和完整性密鑰，用于終端和核心網設備之間的數據安全傳輸。

上述認證鑒權的方法存在的主要問題是：運營商需要將終端上的主密鑰共享給核心網設備，可能導致存儲在核心網設備上的主密鑰泄露，例如，當核心網設備被攻破，從而使得終端可能被仿冒或者被控制用來發起DDOS攻擊。與此同時，核心網設備需要維護海量終端分別對應的主密鑰，密鑰維護成本大。并且，核心網設備與終端之間使用的主密鑰是永久性密鑰，不會更新，從而因為密鑰長期不更新，也使得通信安全存在隱患。綜上所述，現有的設備進行認證鑒權的方法安全性較差。

發明內容

本申請提供一種設備身份鑒權的方法及設備，用以避免現有技術進行認證鑒權安全性較低的問題。

第一方面，本申請實施例提供一種設備身份鑒權的方法，終端獲取核心網預置的信息；所述終端根據預先存儲的主密鑰和所述核心網預置的信息生成認證密鑰；所述終端向所述核心網設備發送鑒權請求報文，所述鑒權請求報文中包含所述認證密鑰，且所述鑒權請求報文經所述終端預設的公鑰進行加密，其中所述公鑰與所述核心網預設的私鑰對應；所述終端接收所述核心網設備針對所述鑒權請求報文反饋的鑒權響應報文，在所述鑒權響應報文指示所述終端鑒權通過時，與所述核心網設備進行通信。

基于該方案，所述核心網設備將不再存儲和感知所述終端的主密鑰，從而保護了所述終端的主密鑰的安全。所述核心網設備為進行鑒權認證所存儲的為不可逆密文，不是秘密信息，維護簡單，減少了所述核心網設備因維護所述終端主密鑰的開銷。與此同時，所述終端與所述核心網設備是基于所述終端生成的認證密鑰進行鑒權認證，所述認證密鑰可隨時更新，提高了通信安全性。

在一種可能的實現方式中，所述鑒權請求報文中還包括所述終端生成的第一隨機數和臨時根密鑰；所述終端在接收到所述鑒權響應報文后，使用所述臨時根密鑰對所述鑒權響應報文中包括的加密信息進行解密，得到第二隨機數，所述加密信息為所述核心網設備使用所述臨時根密鑰對所述第一隨機數進行加密得到；所述終端確定解密得到的所述第二隨機數與所述終端生成的所述第一隨機數相同之后，所述終端與所述核心網設備進行通信。

基于該方案，本申請實施例提供了一種終端鑒權核心網設備的方法，即通過比對核心網設備發送的鑒權響應報文中攜帶的隨機數與本地隨機數是否一致，從而確定所述核心網設備是否認證鑒權成功。與此同時，為保證安全性，本申請實施例還提供了一種利用臨時根密鑰進行加密以及解密的方法，因所述臨時根密鑰是所述終端隨機生成的，可實時更新，有效提升了認證鑒權的安全性。

相應地，所述鑒權請求報文中還包括：所述終端的唯一標識和/或防重放參數；所述防重放參數為用于表征生成所述鑒權請求報文的生成時間的時間戳和/或序列號SQN。