CN112822018B - 一种基于双线性对的移动设备安全认证方法及*** - Google Patents
一种基于双线性对的移动设备安全认证方法及*** Download PDFInfo
- Publication number
- CN112822018B CN112822018B CN202110427217.0A CN202110427217A CN112822018B CN 112822018 B CN112822018 B CN 112822018B CN 202110427217 A CN202110427217 A CN 202110427217A CN 112822018 B CN112822018 B CN 112822018B
- Authority
- CN
- China
- Prior art keywords
- user equipment
- message
- signature
- timestamp
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种基于双线性对的移动设备安全认证方法及***,针对一对一的移动设备通信,用户设备通过5G网络中的5G认证和密钥协商协议进行用户身份认证,通过认证,就在用户设备和5G网络之间建立一条安全通道,通过安全通道用户设备进行初始化。当用户设备之间准备通信时,用户设备通过签名验证设备之间的身份,使用双线性对算法进行密钥协商,这样设备之间就可以建立连接,并通过协商的密钥进行通信。该方法有效抵抗了窃听、假冒等常见攻击,也提高了密钥的前后向安全性。通过使用本发明,移动设备之间可以安全、高效的进行通信。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种基于双线性对的移动设备安全认证方法及***。
背景技术
下一代移动通信,即5G无线移动网络,不仅为不断增长的大数据流量需求和物联网等大规模连接设备带来了解决方案,而且还带来了新的服务。其中一个非常有前景的解决方案是,设备到设备(Device-to-device, D2D)的通信也就是移动设备之间的通信以提高效率和低延迟的优势有望发挥关键作用。移动设备之间的通信是没有中间节点的设备之间的点对点通信机制。移动设备之间的通信在移动网络中具有许多优势。首先,它可以扩大蜂窝网络中每个蜂窝的覆盖范围,作为一个通信桥梁,将数据传输到覆盖范围之外的节点。其次,移动设备之间的通信通过在设备之间直接传输数据,有助于降低基站的能耗。最后,提高了同一射频的重复利用效率。在移动设备之间的通信中,设备之间的距离比设备与基站之间的距离要短得多。这意味着在移动设备之间通信场景中射频干扰减小,有助于使用同一射频传输多个数据。此外,移动设备之间的通信是5G 车辆网通信的核心技术,是自动驾驶的关键技术。因此研究5G网络中移动设备之间的通信具有十分重要的意义。但是现有技术中,D2D的通信容易受到攻击,安全性能不高。
发明内容
本发明的目的是提供一种基于双线性对的移动设备安全认证方法及***,以提高移动设备之间通信的安全性能。
为实现上述目的,本发明提供了如下方案:
一种基于双线性对的移动设备安全认证方法,包括:
5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备;
第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据所述第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去;其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳;
第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据所述第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至所述接入和移动管理功能模块;其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳;
所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证;验证通过后,所述接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至所述第一用户设备;其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳;
所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证;验证通过后,所述第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至所述第二用户设备;其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳;
所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至所述第一用户设备;其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳;
所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用所述第二共享密钥对会话消息加密后生成第六消息发送至所述第二用户设备;会话消息为,第六消息为,为采用所述第二共享密钥对会话消息加密后的消息;
所述第二用户设备通过所述第一共享密钥对所述第六消息进行解密,并验证解密后的消息与是否相等;若相等,所述第二用户生成加密成功的消息,并将采用第二共享密钥对所述加密成功的消息加密后生成第七消息发送至所述第一用户设备,完成所述第一用户设备和所述第二用户设备的认证;所述第一用户设备与所述第二用户设备认证完成后,所述第一用户设备向所述第二用户设备发送的消息采用所述第一共享密钥加密,所述第二用户设备向所述第一用户设备发送的消息采用所述第二共享密钥加密。
可选的,所述5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,之前还包括:
用户设备通过5G网络的5G-AKA协议进行认证,认证成功后所述5G网络建立安全通道。
可选的,所述第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证,具体包括:
所述第二用户设备对所述第一消息的时间戳进行验证;验证通过后,通过判断是否成立对第一用户设备的第一签名进行验证,若成立,则对所述第一用户设备验证通过;其中,表示与的双线性映射值,表示与的双线性映射值,为椭圆曲线密码算法中的基点,为生成第一用户设备的第一公钥对应的私钥,为第一用户设备临时身份ID的哈希值。
可选的,所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证,具体包括:
所述接入和移动管理功能模块对第二消息的时间戳进行验证;验证通过后,通过判断 和 是否成立对第一用户设备的第一签名和第二用户设备的第一签名进行验证;若成立,则对第一用户设备验证通过;若成立,则对第二用户设备验证通过;其中,表示与的双线性映射值,表示与的双线性映射值,为椭圆曲线密码算法中的基点,为生成第一用户设备的第一公钥对应的私钥,为第一用户设备临时身份ID的哈希值;表示与的双线性映射值,表示与的双线性映射值,为生成第二用户设备的第一公钥对应的私钥,为第二用户设备临时身份ID的哈希值。
可选的,所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证,具体包括:
所述第一用户设备对所述第三消息的时间戳进行验证;验证通过后,通过判断是否成立对所述AMF的第一签名进行验证,若成立,则对所述接入和移动管理功能模块验证通过;其中,表示与的双线性映射值,表示与的双线性映射值,为椭圆曲线密码算法中的基点,为生成AMF的第一公钥对应的私钥,表示连接符号,为与连接后的哈希值,为AMF的第一公钥。
可选的,所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证,具体包括:
所述第二用户设备对所述第四消息的时间戳进行验证;验证通过后,通过判断是否成立对所述第一用户设备进行验证,若成立,则对所述第一用户设备验证通过;其中,表示与的双线性映射值,表示与的双线性映射值,表示与的双线性映射值,为第一用户设备临时身份ID的哈希值,为生成第一用户设备的第二签名的私密值,表示连接符号,为与连接后的哈希值,=。
可选的,验证通过后,所述第二用户设备采用双线性映射算法生成第一共享密钥,具体包括:
利用公式生成第一共享密钥;其中,为第一共享密钥,表示与的双线性映射值,为第一用户设备临时身份ID的哈希值,为第二用户设备临时身份ID的哈希值,为生成第一用户设备的第二签名的私密值,为生成第二用户设备的第二签名的私密值,为***的主密钥。
可选的,所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证,具体包括:
所述第一用户设备对所述第五消息的时间戳进行验证;验证通过后,通过判断是否成立对所述第二用户设备的签名进行验证,若成立,则对所述第二用户设备验证通过;其中,表示与的双线性映射值,表示与的双线性映射值,表示与的双线性映射值,为第二用户设备临时身份ID的哈希值,为生成第二用户设备的第二签名的私密值,表示连接符号,为与连接后的哈希值,=。
可选的,所述验证通过后,通过双线性映射算法生成第二共享密钥,具体包括:
本发明还提供一种基于双线性对的移动设备安全认证***,包括:
临时身份ID生成模块,用于采用5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备;
第一用户设备广播模块,用于第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据所述第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去;其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳;
第二用户设备请求通信模块,用于第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据所述第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至所述接入和移动管理功能模块;其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳;
接入和移动管理功能模块验证模块,用于通过所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证;验证通过后,所述接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至所述第一用户设备;其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳;
第一用户设备对AMF验证模块,用于所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证;验证通过后,所述第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至所述第二用户设备;其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳;
第一共享密钥生成模块,用于所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至所述第一用户设备;其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳;
第二共享密钥生成模块,用于所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用所述第二共享密钥对会话消息加密后生成第六消息发送至所述第二用户设备;会话消息为,第六消息为,为采用所述第二共享密钥对会话消息加密后的消息;
共享密钥验证模块,用于所述第二用户设备通过所述第一共享密钥对所述第六消息进行解密,并验证解密后的消息与是否相等;若相等,所述第二用户生成加密成功的消息,并将采用第二共享密钥对所述加密成功的消息加密后生成第七消息发送至所述第一用户设备,完成所述第一用户设备和所述第二用户设备的认证;所述第一用户设备与所述第二用户设备认证完成后,所述第一用户设备向所述第二用户设备发送的消息采用所述第一共享密钥加密,所述第二用户设备向所述第一用户设备发送的消息采用所述第二共享密钥加密。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明所提供的方法中通信实体进行相互验证,避免了假冒攻击,保证了通信的安全性;用户设备通过时间戳来保证消息的新鲜性,从而避免了重放攻击;认证过程中每一次会话,用户设备的私钥值都是随机生成的。因此,密钥的后向安全性得到保证;会话密钥是由双线性对算法生成的,所以实际的会话密钥永远不会通过不安全的自由通道传输,因此密钥的安全性得到保证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明基于双线性对的移动设备安全认证方法的认证示意图;
图2为本发明实施例1的认证流程示意图;
图3为本发明实施例2的认证流程示意图;
图4为本发明基于双线性对的移动设备安全认证***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明基于双线性对的移动设备安全认证方法的认证示意图,如图1所示,本发明首先接入和移动功能(AMF)模块生成公共***参数()。其中是两个阶为q的群;H是单向的hash函数;F是函数映射;随机选择s作为***的主密钥,计算。
初始化用户设备UE,然后用户设备UE通过密钥协商协议(5G-Authentication andKey Agreement,5G-AKA)和5G网络进行认证,认证成功后建立一个安全通道。此时AMF生成用户设备UE的临时身份ID,计算S=H(ID),M=sS,然后将M,ID通过安全通道发送给用户设备UE。
然后,建立两个用户设备之间的通信连接,过程如下:
(2)当用户设备想与用户设备建立通信时,用户设备接收到的广播信息后,用户设备首先检查时间戳是否成立,如果成立,用户设备首先对用户设备 的签名进行验证,通过计算是否相等,如果相等则验证了用户设备,然后用户设备选择随机数b,计算=bP,对于用户设备的临时身份进行签名计算得到,然后用户设备将消息发送给AMF,其中代表用户设备的当前时间戳。
(3) 当AMF收到用户设备发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么AMF验证签名,首先根据临时身份信息计算,计算,是否相等,如果相等则验证了用户设备,,然后AMF选择随机数c,计算=cP,对于AMF的进行签名计算得到,然后AMF将消息发送给,其中代表AMF的当前时间戳。
(4) 当用户设备收到AMF发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么用户设备验证签名,首先根据临时身份信息计算,计算是否相等,如果相等则验证了AMF,此时AMF通知了发现了设备,想与设备建立连接进行通信,此时用户设备随机选择秘密值,计算,计算签名值然后将消息发送给,其中代表的当前时间戳。
(5) 当用户设备收到发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么用户设备验证签名,计算是否相等,如果相等则验证了用户设备。此时用户设备随机选择秘密值,计算,用户设备计算和用户设备的共享密钥,计算签名值然后将消息发送给,其中代表的当前时间戳。
(6) 当用户设备收到发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么用户设备验证签名,计算是否相等,如果相等则验证了用户设备。此时用户设备计算和用户设备的共享密钥, 用户设备使用共享密钥MK加密得到 并向用户设备发送消息。
(7) 当用户设备收到发送的消息后,首先计算U=,然后使用会话密钥MK解密得到,并验证与U是否相等,如果相等,那么验证了生成了相等的会话密钥,最后发送一个加密的成功消息给,最后用户设备与用户设备通过会话密钥进行通信。
下面提供两个具体实施例进一步说明本发明移动设备之间的安全认证过程。
实施例1
图2为本发明实施例1的认证流程示意图,如图2所示,本实施例公开的移动设备之间的安全认证过程如下:
步骤100:5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备。
步骤200:第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去。其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳。本步骤中可以根据实际需求采用不同的方法生成第一用户设备的第一公钥和第一用户设备的第一签名。
步骤300:第二用户设备通过第一消息的时间戳和第一用户设备的第一签名对第一用户设备进行验证;验证通过后,第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至接入和移动管理功能模块。其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳。本步骤中可以根据实际需求采用不同的方法对第一用户设备进行验证,生成第二用户设备的第一公钥和第二用户设备的第一签名。
步骤400:接入和移动管理功能模块通过第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对第一用户设备和第二用户设备进行验证;验证通过后,接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至第一用户设备。其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳。本步骤中可以根据实际需求采用不同的方法对第一用户设备和第二用户设备进行验证,并生成AMF的第一公钥和AMF的第一签名。
步骤500:第一用户设备通过第三消息的时间戳和AMF的第一签名对接入和移动管理功能模块进行验证;验证通过后,第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至第二用户设备。其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳。本步骤中可以根据实际需求采用不同的方法对接入和移动管理功能(Access and Mobility Management Function, AMF)模块进行验证,生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名。
步骤600:第二用户设备通过第四消息的时间戳和第一用户设备的第二签名对第一用户设备进行验证;验证通过后,第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至第一用户设备。其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳。本步骤中可以根据实际需求采用不同的方法对第一用户设备进行验证,生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名。
步骤700:第一用户设备通过第五消息的时间戳和第二用户设备的第二签名对第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用第二共享密钥对会话消息加密后生成第六消息发送至第二用户设备。会话消息为,第六消息为,为采用第二共享密钥对会话消息加密后的消息。本步骤中可以根据实际需求采用不同的方法对第二用户设备进行验证。
步骤800:第二用户设备通过第一共享密钥对第六消息进行解密,并验证解密后的消息与是否相等;若相等,第二用户生成加密成功的消息,并将采用第二共享密钥对加密成功的消息加密后生成第七消息发送至第一用户设备,完成第一用户设备和第二用户设备的认证。
第一用户设备与第二用户设备认证完成后,第一用户设备向第二用户设备发送的消息采用第一共享密钥加密,第二用户设备向第一用户设备发送的消息采用第二共享密钥加密。
实施例2
本实施例相比于实施例1公开了每个公钥、签名以及认证的具体方式。图3为本发明实施例2的认证流程示意图,如图3所示,本实施例公开的移动设备之间的安全认证过程如下:
步骤一:初始化用户设备UE,然后用户设备UE通过协议5G-AKA协议和5G网络进行认证,认证成功后建立一个安全通道。此时AMF模块生成用户设备UE的临时身份ID,计算S=H(ID), M=sS,然后将M,ID通过安全通道发送给用户设备UE。
步骤三:当用户设备想与用户设备建立通信时,用户设备接收到的广播信息后,用户设备首先检查时间戳是否成立,即判断时间戳是否在预设时间范围内,如果成立,用户设备首先通过计算是否相等对用户设备的签名进行验证,如果相等则验证了用户设备,然后用户设备选择随机数b,计算公钥=bP,对于用户设备的临时身份进行签名计算得到签名,然后用户设备将消息发送给AMF,其中代表用户设备的当前时间戳。
步骤四:当AMF收到用户设备发送的消息后,首先验证消息的时间戳是否满足要求。如果满足要求,那么AMF验证签名,具体的,根据临时身份信息计算,计算,是否相等,如果相等则验证了用户设备和,然后AMF选择随机数c,计算公钥=cP,对于AMF的进行签名计算得到签名,然后AMF将消息发送给,其中代表AMF的当前时间戳。
步骤五:当用户设备收到AMF发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么用户设备首先根据临时身份信息计算,然后通过计算是否相等验证签名,如果相等则验证了AMF,此时AMF通知了发现了设备,想与设备建立连接进行通信,此时用户设备随机选择秘密值,计算公钥,计算签名值签名然后将消息发送给,其中代表的当前时间戳。
步骤六:当用户设备收到发送的消息后,首先验证消息的时间戳是否满足要求。如果满足要求,那么用户设备通过计算是否相等验证签名,如果相等则验证了用户设备。此时用户设备随机选择秘密值,计算公钥,用户设备计算和用户设备的共享密钥,计算签名值然后将消息发送给,其中代表的当前时间戳。
步骤七:当用户设备收到发送的消息后,首先验证消息的时间戳是否满足要求,如果满足要求,那么用户设备验证签名,计算是否相等,如果相等则验证了用户设备。此时用户设备计算和用户设备的共享密钥, 用户设备使用共享密钥MK加密得到,并向用户设备发送消息。
步骤八:当用户设备收到发送的消息后,首先计算U=,然后使用会话密钥MK解密得到,并验证与U是否相等,如果相等,那么验证了生成了相等的会话密钥,最后发送一个加密的成功消息给,最后用户设备与用户设备通过各自计算的会话密钥进行通信。
本发明具有以下有益效果:
1.本发明所提供的方法中通信实体进行相互验证,避免了假冒攻击,保证了通信的安全性。
2.本发明提供的方法是用户设备通过时间戳来保证消息的新鲜性。从而避免了重放攻击。
4.本发明所提供的方法中认证过程中每一次会话,用户设备的私钥值都是随机生成的。因此,密钥的后向安全性得到保证。
基于上述方案,本发明还提供一种基于双线性对的移动设备安全认证***,图4为本发明基于双线性对的移动设备安全认证***的结构示意图。如图4所示,本发明基于双线性对的移动设备安全认证***包括:
临时身份ID生成模块401,用于采用5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备。
第一用户设备广播模块402,用于第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据所述第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去;其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳。
第二用户设备请求通信模块403,用于第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据所述第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至所述接入和移动管理功能模块;其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳。
接入和移动管理功能模块验证模块404,用于通过所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证;验证通过后,所述接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至所述第一用户设备;其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳。
第一用户设备对AMF验证模块405,用于所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证;验证通过后,所述第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至所述第二用户设备;其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳。
第一共享密钥生成模块406,用于所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至所述第一用户设备;其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳。
第二共享密钥生成模块407,用于所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用所述第二共享密钥对会话消息加密后生成第六消息发送至所述第二用户设备;会话消息为,第六消息为,为采用所述第二共享密钥对会话消息加密后的消息。
共享密钥验证模块408,用于所述第二用户设备通过所述第一共享密钥对所述第六消息进行解密,并验证解密后的消息与是否相等;若相等,所述第二用户生成加密成功的消息,并将采用第二共享密钥对所述加密成功的消息加密后生成第七消息发送至所述第一用户设备,完成所述第一用户设备和所述第二用户设备的认证;所述第一用户设备与所述第二用户设备认证完成后,所述第一用户设备向所述第二用户设备发送的消息采用所述第一共享密钥加密,所述第二用户设备向所述第一用户设备发送的消息采用所述第二共享密钥加密。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的***而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种基于双线性对的移动设备安全认证方法,其特征在于,包括:
5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备;
第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据所述第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去;其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳;
第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据所述第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至所述接入和移动管理功能模块;其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳;
所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证;验证通过后,所述接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至所述第一用户设备;其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳;
所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证;验证通过后,所述第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至所述第二用户设备;其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳;
所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至所述第一用户设备;其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳;
所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用所述第二共享密钥对会话消息加密后生成第六消息发送至所述第二用户设备;会话消息为,表示连接符号,为与连接后的哈希值;第六消息为,为采用所述第二共享密钥对会话消息加密后的消息;
2.根据权利要求1所述的基于双线性对的移动设备安全认证方法,其特征在于,所述5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,之前还包括:
用户设备通过5G网络的5G-AKA协议进行认证,认证成功后所述5G网络建立安全通道。
4.根据权利要求1所述的基于双线性对的移动设备安全认证方法,其特征在于,所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证,具体包括:
10.一种基于双线性对的移动设备安全认证***,其特征在于,包括:
临时身份ID生成模块,用于采用5G网络的接入和移动管理功能模块对认证成功后的用户设备生成临时身份ID,并通过安全通道发送给对应的用户设备;
第一用户设备广播模块,用于第一用户设备采用椭圆曲线密码算法生成第一用户设备的第一公钥,根据所述第一用户设备的临时身份ID生成第一用户设备的第一签名,并将第一消息广播出去;其中,为第一用户设备的临时身份ID,为第一用户设备的第一签名,为第一用户设备的第一公钥,为第一消息的时间戳;
第二用户设备请求通信模块,用于第二用户设备通过所述第一消息的时间戳和第一用户设备的第一签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备采用椭圆曲线密码算法生成第二用户设备的第一公钥,根据所述第二用户设备的临时身份ID生成第二用户设备的第一签名,并将第二消息发送至所述接入和移动管理功能模块;其中,为第二用户设备的临时身份ID,为第二用户设备的第一签名,为第二用户设备的第一公钥,为第二消息的时间戳;
接入和移动管理功能模块验证模块,用于通过所述接入和移动管理功能模块通过所述第二消息的时间戳、第一用户设备的第一签名和第二用户设备的第一签名对所述第一用户设备和第二用户设备进行验证;验证通过后,所述接入和移动管理功能模块生成AMF的第一公钥、AMF的第一签名,并将第三消息发送至所述第一用户设备;其中,为AMF的第一公钥,为AMF的第一签名,为第三消息的时间戳;
第一用户设备对AMF验证模块,用于所述第一用户设备通过所述第三消息的时间戳和AMF的第一签名对所述接入和移动管理功能模块进行验证;验证通过后,所述第一用户设备生成第一用户设备的哈希值、第一用户设备的第二公钥和第一用户设备的第二签名,并将第四消息发送至所述第二用户设备;其中,为第一用户设备的哈希值,为第一用户设备的第二公钥,为第一用户设备的第二签名,为第四消息的时间戳;
第一共享密钥生成模块,用于所述第二用户设备通过所述第四消息的时间戳和第一用户设备的第二签名对所述第一用户设备进行验证;验证通过后,所述第二用户设备生成第二用户设备的哈希值、第二用户设备的第二公钥和第二用户设备的第二签名,并采用双线性映射算法生成第一共享密钥,并将第五消息发送至所述第一用户设备;其中,为第二用户设备的哈希值,为第二用户设备的第二公钥,为第二用户设备的第二签名,为第五消息的时间戳;
第二共享密钥生成模块,用于所述第一用户设备通过所述第五消息的时间戳和第二用户设备的第二签名对所述第二用户设备进行验证;验证通过后,通过双线性映射算法生成第二共享密钥;并采用所述第二共享密钥对会话消息加密后生成第六消息发送至所述第二用户设备;会话消息为,表示连接符号,为与连接后的哈希值;第六消息为,为采用所述第二共享密钥对会话消息加密后的消息;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110427217.0A CN112822018B (zh) | 2021-04-21 | 2021-04-21 | 一种基于双线性对的移动设备安全认证方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110427217.0A CN112822018B (zh) | 2021-04-21 | 2021-04-21 | 一种基于双线性对的移动设备安全认证方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112822018A CN112822018A (zh) | 2021-05-18 |
CN112822018B true CN112822018B (zh) | 2021-07-02 |
Family
ID=75862516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110427217.0A Active CN112822018B (zh) | 2021-04-21 | 2021-04-21 | 一种基于双线性对的移动设备安全认证方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112822018B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115085945B (zh) * | 2022-08-22 | 2022-11-29 | 北京科技大学 | 一种智慧灯杆设备的认证方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
CN112399407A (zh) * | 2021-01-20 | 2021-02-23 | 北京电信易通信息技术股份有限公司 | 一种基于dh棘轮算法的5g网络认证方法及*** |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101516114B1 (ko) * | 2014-02-13 | 2015-05-04 | 부경대학교 산학협력단 | 인증서 기반 프록시 재암호화 방법 및 이를 위한 시스템 |
CN105163309B (zh) * | 2015-09-10 | 2019-02-15 | 电子科技大学 | 一种基于组合密码的无线传感器网络安全通信的方法 |
CN106027519B (zh) * | 2016-05-18 | 2019-03-29 | 安徽大学 | 车联网中的高效条件隐私保护和安全认证方法 |
CN111327620B (zh) * | 2020-02-27 | 2021-04-27 | 福州大学 | 云雾计算框架下的数据安全溯源及访问控制*** |
-
2021
- 2021-04-21 CN CN202110427217.0A patent/CN112822018B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111355745A (zh) * | 2020-03-12 | 2020-06-30 | 西安电子科技大学 | 基于边缘计算网络架构的跨域身份认证方法 |
CN112399407A (zh) * | 2021-01-20 | 2021-02-23 | 北京电信易通信息技术股份有限公司 | 一种基于dh棘轮算法的5g网络认证方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN112822018A (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及*** | |
EP2272271B1 (en) | Method and system for mutual authentication of nodes in a wireless communication network | |
CN102036238B (zh) | 一种基于公钥实现用户与网络认证和密钥分发的方法 | |
US20110320802A1 (en) | Authentication method, key distribution method and authentication and key distribution method | |
US8578164B2 (en) | Method of one-way access authentication | |
CN104754581A (zh) | 一种基于公钥密码体制的lte无线网络的安全认证方法 | |
Sun et al. | Privacy-preserving device discovery and authentication scheme for D2D communication in 3GPP 5G HetNet | |
CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及*** | |
WO2010020186A1 (zh) | 基于单播会话密钥的组播密钥分发方法、更新方法及基站 | |
CN111970699B (zh) | 一种基于ipk的终端wifi登录认证方法以及*** | |
CN112039660B (zh) | 一种物联网节点群组身份安全认证方法 | |
WO2019001169A1 (zh) | 一种基于身份代理群签名的PMIPv6认证***及方法 | |
CN1770681A (zh) | 无线环境下的会话密钥安全分发方法 | |
WO2010121462A1 (zh) | 一种自组网络下wapi站点间安全关联的建立方法 | |
CN112399407B (zh) | 一种基于dh棘轮算法的5g网络认证方法及*** | |
CN112333705B (zh) | 一种用于5g通信网络的身份认证方法及*** | |
CN112822018B (zh) | 一种基于双线性对的移动设备安全认证方法及*** | |
Singh et al. | Elliptic curve cryptography based mechanism for secure Wi-Fi connectivity | |
KR100456624B1 (ko) | 이동 통신망에서의 인증 및 키 합의 방법 | |
Zhu et al. | Research on authentication mechanism of cognitive radio networks based on certification authority | |
CN213938340U (zh) | 5g应用接入认证网络架构 | |
CN114070570A (zh) | 一种电力物联网的安全通信方法 | |
Dao et al. | Prefetched asymmetric authentication for infrastructureless D2D communications: feasibility study and analysis | |
CN112822025B (zh) | 基于椭圆曲线算法的移动终端设备安全认证方法及*** | |
CN117729056B (zh) | 一种设备身份认证方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |