本技術(shù)實施例涉及網(wǎng)絡(luò)安全,尤其涉及一種通信鑒權(quán)方法及相關(guān)裝置、存儲介質(zhì)、計算機程序產(chǎn)品。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)技術(shù)快速發(fā)展,信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險持續(xù)增加,威脅挑戰(zhàn)日益嚴峻,密碼安全是信息安全的重要基礎(chǔ),可以用于有效保障網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)安全,密碼技術(shù)是保障網(wǎng)絡(luò)信息系統(tǒng)的核心技術(shù)和重要手段。
2、目前,通信網(wǎng)絡(luò)的網(wǎng)絡(luò)鑒權(quán)協(xié)議基于128位通信鑒權(quán)算法實現(xiàn),用于完成用戶設(shè)備中通用用戶身份模塊(universal?subscriber?identity?module,usim)和統(tǒng)一數(shù)據(jù)管理(unified?data?management,udm)之間的鑒權(quán)認證和密鑰協(xié)商,算法的底層算法是aes-128,usim和udm之間共享的是128位的密鑰。
3、然而,隨著量子計算技術(shù)的發(fā)展,傳統(tǒng)的密碼算法面臨著嚴重的安全威脅。量子計算機具有強大的計算能力,可以大大降低對稱密碼算法的破解難度,而用戶設(shè)備的難以提供256位的安全能力,難以計算足熵的密鑰,隨機性不足,容易被攻擊者攻擊,通信鑒權(quán)的安全性較低。
技術(shù)實現(xiàn)思路
1、本技術(shù)實施例提供一種通信鑒權(quán)方法及相關(guān)裝置、存儲介質(zhì)、計算機程序產(chǎn)品,針對用戶設(shè)備中usim支持128位通信鑒權(quán)算法的情況,使用戶設(shè)備側(cè)和歸屬網(wǎng)絡(luò)側(cè)都得到基于pqc_kem計算中生成的對稱加密密鑰,用于保護鑒權(quán)令牌等信息的安全,提高了通信鑒權(quán)的安全性。
2、本技術(shù)實施例的技術(shù)方案是這樣實現(xiàn)的:
3、本技術(shù)實施例提供了一種通信鑒權(quán)方法,應(yīng)用于用戶設(shè)備ue中的移動設(shè)備me,所述ue還包括通用用戶身份模塊usim,所述方法包括:
4、在所述usim支持128位通信鑒權(quán)算法的情況下,利用基于后量子密碼算法的密鑰封裝機制pqc_kem加密所述usim的用戶永久標識符supi,生成用戶隱藏標識符suci,并保存所述pqc_kem計算中生成的對稱加密密鑰;
5、將所述suci通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)中的目標網(wǎng)元,以供所述目標網(wǎng)元基于所述suci得到所述對稱加密密鑰,利用所述對稱加密密鑰對第一鑒權(quán)令牌處理后通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至所述me。
6、在上述方法中,所述將所述suci通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)中的目標網(wǎng)元,包括:
7、在初始化注冊請求時,將所述suci通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至所述目標網(wǎng)元。
8、在上述方法中,所述保存所述pqc_kem計算中生成的對稱加密密鑰之后,所述方法還包括:
9、接收所述目標網(wǎng)元生成的隨機數(shù)和第二鑒權(quán)令牌,并利用所述對稱加密密鑰和所述第二鑒權(quán)令牌得到所述第一鑒權(quán)令牌;其中,所述第二鑒權(quán)令牌由所述第一鑒權(quán)令牌經(jīng)所述對稱加密密鑰處理生成;
10、將所述隨機數(shù)和所述第一鑒權(quán)令牌發(fā)送至所述usim,以供所述usim基于所述第一鑒權(quán)令牌進行同步認證,以在同步認證通過后基于所述隨機數(shù)和所述第一鑒權(quán)令牌生成第一加密密鑰和第一完整性密鑰。
11、在上述方法中,還包括:
12、在所述usim同步認證通過的情況下,接收所述usim發(fā)送的所述第一加密密鑰和所述第一完整性密鑰;
13、利用所述對稱加密密鑰,基于所述第一加密密鑰構(gòu)造第二加密密鑰,基于所述第一完整性密鑰構(gòu)造第二完整性密鑰;
14、其中,所述第二加密密鑰和所述第二完整性密鑰用于密鑰推衍。
15、在上述方法中,還包括:
16、在所述usim同步認證不通過的情況下,接收所述usim發(fā)送的第一重同步認證令牌;
17、利用所述對稱加密密鑰對所述第一重同步認證令牌進行處理,生成第二重同步認證令牌;
18、將所述第二重同步認證令牌通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至所述目標網(wǎng)元。
19、本技術(shù)實施例提供了一種通信鑒權(quán)方法,應(yīng)用于歸屬網(wǎng)絡(luò)中的目標網(wǎng)元,所述方法包括:
20、接收用戶設(shè)備ue中移動設(shè)備me生成的用戶隱藏標識符suci;所述ue還包括通用用戶身份模塊usim,所述usim支持128位通信鑒權(quán)算法,所述suci由所述usim的用戶永久標識符supi經(jīng)基于后量子密碼算法的密鑰封裝機制pqc_kem加密生成;
21、利用所述pqc_kem對所述suci進行解密,保存所述pqc_kem計算中生成的對稱加密密鑰;
22、利用所述對稱加密密鑰對第一鑒權(quán)令牌處理后通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至所述me。
23、在上述方法中,所述利用所述對稱加密密鑰對第一鑒權(quán)令牌處理后通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至所述me,包括:
24、基于所述usim的128位根鑒權(quán)密鑰生成第一向量,所述第一向量包含隨機數(shù)、期望鑒權(quán)響應(yīng)、所述第一鑒權(quán)令牌、第一加密密鑰和第一完整性密鑰;
25、利用所述對稱加密密鑰對所述第一鑒權(quán)令牌處理,生成第二鑒權(quán)令牌;
26、利用所述對稱加密密鑰,基于所述第一加密密鑰構(gòu)造第二加密密鑰,基于所述第一完整性密鑰構(gòu)造第二完整性密鑰;所述第二加密密鑰和所述第二完整性密鑰用于密鑰推衍;
27、基于所述隨機數(shù)、所述期望鑒權(quán)響應(yīng)、所述第二鑒權(quán)令牌、所述第二加密密鑰和所述第二完整性密鑰構(gòu)造鑒權(quán)向量;其中,所述鑒權(quán)向量包含所述隨機數(shù)和所述第二鑒權(quán)令牌;
28、將所述鑒權(quán)向量通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā),使所述鑒權(quán)向量中的所述第二鑒權(quán)令牌伴隨所述隨機數(shù)發(fā)送至所述me。
29、在上述方法中,所述保存所述pqc_kem計算中生成的對稱加密密鑰之后,所述方法還包括:
30、在接收到所述me生成的第二重同步認證令牌的情況下,利用所述對稱加密密鑰和所述第二重同步認證令牌得到第一重同步認證令牌;其中,所述第二重同步認證令牌為所述第一重同步認證令牌經(jīng)所述對稱加密密鑰處理生成;
31、驗證所述第一重同步認證令牌的合法性,并同步序列號。
32、本技術(shù)實施例提供了一種me,包括:第一處理器、第一存儲器和第一通信總線;
33、所述第一通信總線,用于實現(xiàn)所述第一處理器和所述第一存儲器之間的通信連接;
34、所述第一處理器,用于執(zhí)行所述第一存儲器存儲的一個或者多個計算機程序,以實現(xiàn)應(yīng)用于me的通信鑒權(quán)方法。
35、本技術(shù)實施例提供了一種目標網(wǎng)元,包括:第二處理器、第二存儲器和第二通信總線;
36、所述第二通信總線,用于實現(xiàn)所述第二處理器和所述第二存儲器之間的通信連接;
37、所述第二處理器,用于執(zhí)行所述第二存儲器存儲的一個或者多個計算機程序,以實現(xiàn)應(yīng)用于目標網(wǎng)元的通信鑒權(quán)方法。
38、本技術(shù)實施例提供了一種計算機可讀存儲介質(zhì),其上存儲有計算機程序,該計算機程序被處理器執(zhí)行時實現(xiàn)上述通信鑒權(quán)方法中的步驟。
39、本技術(shù)實施例提供了一種計算機程序產(chǎn)品,包括計算機程序,所述計算機程序在被處理器執(zhí)行時實現(xiàn)上述通信鑒權(quán)方法中的步驟。
40、本技術(shù)實施例提供了一種通信鑒權(quán)方法及相關(guān)裝置、存儲介質(zhì)、計算機程序產(chǎn)品,應(yīng)用于me的方法包括:在usim支持128位通信鑒權(quán)算法的情況下,利用pqc_kem加密usim的用戶永久標識符supi,生成suci,并保存pqc_kem計算中生成的對稱加密密鑰;將suci通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至歸屬網(wǎng)絡(luò)中的目標網(wǎng)元,以供目標網(wǎng)元基于suci得到對稱加密密鑰,利用對稱加密密鑰對第一鑒權(quán)令牌處理后通過相關(guān)網(wǎng)元轉(zhuǎn)發(fā)至me。本技術(shù)實施例提供的技術(shù)方案,針對用戶設(shè)備中usim支持128位通信鑒權(quán)算法的情況,使用戶設(shè)備側(cè)和歸屬網(wǎng)絡(luò)側(cè)得到基于pqc_kem計算中生成的對稱加密密鑰,用于保護鑒權(quán)令牌等信息的安全,提高了通信鑒權(quán)的安全性。