通信鑒權方法及相關裝置、存儲介質、計算機程序產品與流程

本技術實施例涉及網絡安全，尤其涉及一種通信鑒權方法及相關裝置、存儲介質、計算機程序產品。

背景技術：

1、隨著互聯網技術快速發展，信息系統的網絡安全風險持續增加，威脅挑戰日益嚴峻，密碼安全是信息安全的重要基礎，可以用于有效保障網絡信息系統的數據安全，密碼技術是保障網絡信息系統的核心技術和重要手段。

2、目前，通信網絡的網絡鑒權協議基于128位通信鑒權算法實現，用于完成用戶設備中通用用戶身份模塊(universal?subscriber?identity?module，usim)和統一數據管理(unified?data?management，udm)之間的鑒權認證和密鑰協商，算法的底層算法是aes-128，usim和udm之間共享的是128位的密鑰。

3、然而，隨著量子計算技術的發展，傳統的密碼算法面臨著嚴重的安全威脅。量子計算機具有強大的計算能力，可以大大降低對稱密碼算法的破解難度，而用戶設備的難以提供256位的安全能力，難以計算足熵的密鑰，隨機性不足，容易被攻擊者攻擊，通信鑒權的安全性較低。

技術實現思路

1、本技術實施例提供一種通信鑒權方法及相關裝置、存儲介質、計算機程序產品，針對用戶設備中usim支持128位通信鑒權算法的情況，使用戶設備側和歸屬網絡側都得到基于pqc_kem計算中生成的對稱加密密鑰，用于保護鑒權令牌等信息的安全，提高了通信鑒權的安全性。

2、本技術實施例的技術方案是這樣實現的：

3、本技術實施例提供了一種通信鑒權方法，應用于用戶設備ue中的移動設備me，所述ue還包括通用用戶身份模塊usim，所述方法包括：

4、在所述usim支持128位通信鑒權算法的情況下，利用基于后量子密碼算法的密鑰封裝機制pqc_kem加密所述usim的用戶永久標識符supi，生成用戶隱藏標識符suci，并保存所述pqc_kem計算中生成的對稱加密密鑰；

5、將所述suci通過相關網元轉發至歸屬網絡中的目標網元，以供所述目標網元基于所述suci得到所述對稱加密密鑰，利用所述對稱加密密鑰對第一鑒權令牌處理后通過相關網元轉發至所述me。

6、在上述方法中，所述將所述suci通過相關網元轉發至歸屬網絡中的目標網元，包括：

7、在初始化注冊請求時，將所述suci通過相關網元轉發至所述目標網元。

8、在上述方法中，所述保存所述pqc_kem計算中生成的對稱加密密鑰之后，所述方法還包括：

9、接收所述目標網元生成的隨機數和第二鑒權令牌，并利用所述對稱加密密鑰和所述第二鑒權令牌得到所述第一鑒權令牌；其中，所述第二鑒權令牌由所述第一鑒權令牌經所述對稱加密密鑰處理生成；

10、將所述隨機數和所述第一鑒權令牌發送至所述usim，以供所述usim基于所述第一鑒權令牌進行同步認證，以在同步認證通過后基于所述隨機數和所述第一鑒權令牌生成第一加密密鑰和第一完整性密鑰。

11、在上述方法中，還包括：

12、在所述usim同步認證通過的情況下，接收所述usim發送的所述第一加密密鑰和所述第一完整性密鑰；

13、利用所述對稱加密密鑰，基于所述第一加密密鑰構造第二加密密鑰，基于所述第一完整性密鑰構造第二完整性密鑰；

14、其中，所述第二加密密鑰和所述第二完整性密鑰用于密鑰推衍。

15、在上述方法中，還包括：

16、在所述usim同步認證不通過的情況下，接收所述usim發送的第一重同步認證令牌；

17、利用所述對稱加密密鑰對所述第一重同步認證令牌進行處理，生成第二重同步認證令牌；

18、將所述第二重同步認證令牌通過相關網元轉發至所述目標網元。

19、本技術實施例提供了一種通信鑒權方法，應用于歸屬網絡中的目標網元，所述方法包括：

20、接收用戶設備ue中移動設備me生成的用戶隱藏標識符suci；所述ue還包括通用用戶身份模塊usim，所述usim支持128位通信鑒權算法，所述suci由所述usim的用戶永久標識符supi經基于后量子密碼算法的密鑰封裝機制pqc_kem加密生成；

21、利用所述pqc_kem對所述suci進行解密，保存所述pqc_kem計算中生成的對稱加密密鑰；

22、利用所述對稱加密密鑰對第一鑒權令牌處理后通過相關網元轉發至所述me。

23、在上述方法中，所述利用所述對稱加密密鑰對第一鑒權令牌處理后通過相關網元轉發至所述me，包括：

24、基于所述usim的128位根鑒權密鑰生成第一向量，所述第一向量包含隨機數、期望鑒權響應、所述第一鑒權令牌、第一加密密鑰和第一完整性密鑰；

25、利用所述對稱加密密鑰對所述第一鑒權令牌處理，生成第二鑒權令牌；

26、利用所述對稱加密密鑰，基于所述第一加密密鑰構造第二加密密鑰，基于所述第一完整性密鑰構造第二完整性密鑰；所述第二加密密鑰和所述第二完整性密鑰用于密鑰推衍；

27、基于所述隨機數、所述期望鑒權響應、所述第二鑒權令牌、所述第二加密密鑰和所述第二完整性密鑰構造鑒權向量；其中，所述鑒權向量包含所述隨機數和所述第二鑒權令牌；

28、將所述鑒權向量通過相關網元轉發，使所述鑒權向量中的所述第二鑒權令牌伴隨所述隨機數發送至所述me。

29、在上述方法中，所述保存所述pqc_kem計算中生成的對稱加密密鑰之后，所述方法還包括：

30、在接收到所述me生成的第二重同步認證令牌的情況下，利用所述對稱加密密鑰和所述第二重同步認證令牌得到第一重同步認證令牌；其中，所述第二重同步認證令牌為所述第一重同步認證令牌經所述對稱加密密鑰處理生成；

31、驗證所述第一重同步認證令牌的合法性，并同步序列號。

32、本技術實施例提供了一種me，包括：第一處理器、第一存儲器和第一通信總線；

33、所述第一通信總線，用于實現所述第一處理器和所述第一存儲器之間的通信連接；

34、所述第一處理器，用于執行所述第一存儲器存儲的一個或者多個計算機程序，以實現應用于me的通信鑒權方法。

35、本技術實施例提供了一種目標網元，包括：第二處理器、第二存儲器和第二通信總線；

36、所述第二通信總線，用于實現所述第二處理器和所述第二存儲器之間的通信連接；

37、所述第二處理器，用于執行所述第二存儲器存儲的一個或者多個計算機程序，以實現應用于目標網元的通信鑒權方法。

38、本技術實施例提供了一種計算機可讀存儲介質，其上存儲有計算機程序，該計算機程序被處理器執行時實現上述通信鑒權方法中的步驟。

39、本技術實施例提供了一種計算機程序產品，包括計算機程序，所述計算機程序在被處理器執行時實現上述通信鑒權方法中的步驟。

40、本技術實施例提供了一種通信鑒權方法及相關裝置、存儲介質、計算機程序產品，應用于me的方法包括：在usim支持128位通信鑒權算法的情況下，利用pqc_kem加密usim的用戶永久標識符supi，生成suci，并保存pqc_kem計算中生成的對稱加密密鑰；將suci通過相關網元轉發至歸屬網絡中的目標網元，以供目標網元基于suci得到對稱加密密鑰，利用對稱加密密鑰對第一鑒權令牌處理后通過相關網元轉發至me。本技術實施例提供的技術方案，針對用戶設備中usim支持128位通信鑒權算法的情況，使用戶設備側和歸屬網絡側得到基于pqc_kem計算中生成的對稱加密密鑰，用于保護鑒權令牌等信息的安全，提高了通信鑒權的安全性。