本發(fā)明涉及一種用于5G通信網(wǎng)絡(luò)的身份認(rèn)證方法及系統(tǒng)。安全錨功能向用戶設(shè)備發(fā)送第一隨機(jī)數(shù)和服務(wù)標(biāo)識(shí)，用戶設(shè)備和認(rèn)證憑據(jù)存儲(chǔ)和處理功能模塊分別選擇第二隨機(jī)數(shù)和第三隨機(jī)數(shù)，通過使用隨機(jī)數(shù)取代序列號(hào)（SQN）保證消息的新鮮度，對(duì)于同步失敗，不用發(fā)送不同的失敗消息，從而避免了跟蹤的可能性；用戶設(shè)備在加密用戶永久標(biāo)識(shí)符時(shí)，直接使用共享密鑰進(jìn)行加密，直接避免了一些計(jì)算開銷和公鑰基礎(chǔ)設(shè)施（PKI）問題；認(rèn)證憑據(jù)存儲(chǔ)和處理功能模塊在對(duì)用戶設(shè)備進(jìn)行的認(rèn)證中，如果身份驗(yàn)證信息來自攻擊者，可以避免了資源消耗；參與認(rèn)證的實(shí)體都進(jìn)行了相互認(rèn)證，避免了假冒攻擊，保證了通信的安全性。本發(fā)明用戶可以安全、高效的進(jìn)行身份驗(yàn)證。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全領(lǐng)域，特別是涉及一種用于5G通信網(wǎng)絡(luò)的身份認(rèn)證方法及系統(tǒng)。

背景技術(shù)

第五代移動(dòng)通信技術(shù)（5th-Generation，5G）致力于構(gòu)建以用戶為中心的全方位信息生態(tài)系統(tǒng)，實(shí)現(xiàn)人與萬物的智能互聯(lián)。在享受5G帶來便利的同時(shí)，應(yīng)意識(shí)到系統(tǒng)的接入設(shè)備不再是單一的通信設(shè)備，也包括面向具體應(yīng)用的物聯(lián)網(wǎng)設(shè)備，這些設(shè)備會(huì)收集用戶的隱私信息，如健康信息、生活足跡等。因此，為了確保用戶的隱私信息不被泄露，5G通信系統(tǒng)將提供更加可靠的安全防護(hù)。5G通信系統(tǒng)在繼承長期演進(jìn)（Long Term Evolution，LTE）系統(tǒng)安全性的基礎(chǔ)上，又增加了對(duì)國際移動(dòng)用戶識(shí)別碼（International Mobile SubscriberIdentification Number，IMSI）的保護(hù)、用戶數(shù)據(jù)的完整性保護(hù)、服務(wù)請(qǐng)求的不可否認(rèn)性等安全特性。

在5G通信系統(tǒng)中5G AKA認(rèn)證過程是一個(gè)至關(guān)重要的過程，只有通過5G AKA認(rèn)證過程實(shí)現(xiàn)終端和網(wǎng)絡(luò)間身份的相互認(rèn)證以及安全上下文的建立，終端才能利用安全上下文中的密鑰對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。雖然與前幾代相比，安全性已經(jīng)得到了增強(qiáng)，但一些不現(xiàn)實(shí)的系統(tǒng)假設(shè)已經(jīng)被發(fā)現(xiàn)，這些假設(shè)對(duì)安全性至關(guān)重要，而且協(xié)議的邊緣情況使5G通信系統(tǒng)容易受到多種攻擊，如：利用不同的故障原因(MAC或同步)，導(dǎo)致目標(biāo)用戶的跟蹤；為了提供隱私保護(hù)和防止泄露用戶身份，5G-AKA實(shí)施了一種橢圓曲線集成加密方案(ECIES)，然而，這會(huì)導(dǎo)致計(jì)算開銷和公鑰基礎(chǔ)設(shè)施（PKI）問題；拒絕服務(wù)（DOS）攻擊導(dǎo)致資源消耗。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種用于5G通信網(wǎng)絡(luò)的身份認(rèn)證方法及系統(tǒng)，提高5G通信網(wǎng)絡(luò)通信的安全性和高效性。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了如下方案：

一種用于5G通信網(wǎng)絡(luò)的身份認(rèn)證方法，包括：

用戶設(shè)備獲取安全錨功能模塊發(fā)送的服務(wù)標(biāo)識(shí)和第一隨機(jī)數(shù)，并選擇第二隨機(jī)數(shù)；

所述用戶設(shè)備根據(jù)所述第二隨機(jī)數(shù)、所述服務(wù)標(biāo)識(shí)、所述第一隨機(jī)數(shù)、用戶永久標(biāo)識(shí)符以及共享密鑰生成認(rèn)證數(shù)據(jù)和第一認(rèn)證碼，并將所述認(rèn)證數(shù)據(jù)和所述第一認(rèn)證碼發(fā)送至所述安全錨功能模塊；

所述安全錨功能模塊將接收的所述認(rèn)證數(shù)據(jù)和所述第一認(rèn)證碼發(fā)送至認(rèn)證服務(wù)器功能模塊；

所述認(rèn)證服務(wù)器功能模塊對(duì)所述認(rèn)證數(shù)據(jù)和所述第一認(rèn)證碼進(jìn)行解密，得到所述服務(wù)標(biāo)識(shí)，并根據(jù)所述服務(wù)標(biāo)識(shí)判斷所述安全錨功能模塊是否被授權(quán)；

當(dāng)所述安全錨功能模塊被授權(quán)時(shí)，將所述認(rèn)證數(shù)據(jù)和所述第一認(rèn)證碼發(fā)送至認(rèn)證憑據(jù)存儲(chǔ)和處理功能模塊；

所述認(rèn)證憑據(jù)存儲(chǔ)和處理功能模塊利用用戶標(biāo)識(shí)符隱藏功能對(duì)所述認(rèn)證數(shù)據(jù)和所述第一認(rèn)證碼進(jìn)行解密，得到用戶隱藏標(biāo)識(shí)符；并利用所述用戶隱藏標(biāo)識(shí)符對(duì)所述第一認(rèn)證碼進(jìn)行驗(yàn)證；

當(dāng)驗(yàn)證通過時(shí)，所述認(rèn)證憑據(jù)存儲(chǔ)和處理功能模塊選擇第三隨機(jī)數(shù)，并根據(jù)所述認(rèn)證數(shù)據(jù)、所述第一認(rèn)證碼、所述用戶隱藏標(biāo)識(shí)符以及所述第三隨機(jī)數(shù)確定第二認(rèn)證碼、第一認(rèn)證令牌以及第一哈希值，并派生第一密鑰，得到第一認(rèn)證向量；所述第一認(rèn)證向量包括所述第三隨機(jī)數(shù)、所述第一認(rèn)證令牌、所述第一哈希值、所述第一密鑰以及所述用戶隱藏標(biāo)識(shí)符；