一种基于混沌映射的移动终端设备安全认证方法及系统
阅读说明:本技术 一种基于混沌映射的移动终端设备安全认证方法及系统 (Mobile terminal equipment safety authentication method and system based on chaotic mapping ) 是由 刘晨 杨涛 赵文登 于 2021-04-15 设计创作,主要内容包括:本发明提供了一种基于混沌映射的移动终端设备安全认证方法及系统,对于第五代移动网络5G中在无线通道上设备到设备D2D通信容易受到各种被动或主动攻击,如窃听、数据篡改和侵犯隐私,针对一对一的设备通信,UE首先通过5G网络认证协议5G-AKA进行身份认证,在UE和5G网络之间建立一个安全的通道;当用户设备UE进行D2D通信时,用户设备UE通过混沌映射算法和邻近设备进行认证和密钥协商。本发明为同一5G网络下的相邻终端提供了安全的设备发现、相互认证和密钥协议机制,其次,利用本发明,能够抵抗窃听、重放攻击等常见攻击,用户的移动终端设备可以安全、高效地进行D2D通信。(The invention provides a chaos mapping-based mobile terminal device security authentication method and a chaos mapping-based mobile terminal device security authentication system, for the fact that device-to-device D2D communication on a wireless channel in a fifth generation mobile network 5G is easily subjected to various passive or active attacks, such as eavesdropping, data tampering and privacy invasion, for one-to-one device communication, UE firstly carries out identity authentication through a 5G network authentication protocol 5G-AKA, and a secure channel is established between the UE and a 5G network; when the user equipment UE performs D2D communication, the user equipment UE performs authentication and key agreement with the neighboring devices through the chaotic mapping algorithm. The invention provides a safe device discovery, mutual authentication and key protocol mechanism for adjacent terminals under the same 5G network, and secondly, the invention can resist common attacks such as eavesdropping, replay attack and the like, and the mobile terminal device of a user can safely and efficiently carry out D2D communication.)
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种基于混沌映射的移动终端设备安全认证方法及系统。
背景技术
移动网络的流量不断增长和更多样化服务的需求推动了当前的研究,并提供各种接入技术之间的紧密集成,智能终端的不断普及,通信技术也演化到5G,以满足新的业务应用需求。与目前的4G系统相比,未来的5G移动网络具有更高的速度、更低的延迟、更大的无线区域容量和更低的单业务能耗。为了适应无线通信服务的多样化和普遍接入的发展趋势,5G无线网络通过与LTE-A(Long Term Evolution- Advanced)、WLAN(Wireless LocalArea Network)以及其他无线接入技术相结合,成为一种高密度的异构网络。高密5G异构网络在增加网络容量方面起着重要作用。然而,复杂的宏蜂窝和微蜂窝网络之间的相互干扰限制了通信容量的增加。 D2D(Device-to-Device) 通信作为流量卸载技术,可以直接在临近设备之间进行通信,从而减轻基站承载网络流量的负担,在移动通信网络中占有极其重要的位置;智能设备在爆炸式增长和频谱资源大量缩减的同时,D2D 技术的优点将更加地突出。在 D2D 技术的认可下,设备能够躲开密集式无线通信,能够在不用频带资源的状况下达到无线通信。D2D 技术在利用资源、小区域社交等方面有着很好的效果,它还能够充分改善用户的体验。然而,D2D通信中重要的安全问题却没有得到很好的解决。
在许多D2D 通信场景中安全是十分重要的,如移动支付、无线局域网中个人医疗信息的传输、车联网中的车辆信息以及智能家居等。而身份认证和密钥协商方案可以帮助D2D 用户建立安全的通信渠道。因此研究适用于 D2D 通信的安全认证和密钥协商协议具有十分重要的意义。
发明内容
鉴于此,本发明的目的是提供一种基于混沌映射的移动终端设备安全认证方法,主要针对一对一的设备通信,当用户设备UE进行D2D通信时,用户设备UE通过混沌映射算法和邻近设备进行认证和密钥协商,为同一 5G网络下的相邻终端提供安全的设备发现、相互认证和密钥协议机制,其次,用于抵抗窃听、重放攻击等常见攻击,安全、高效地进行D2D通信。
本发明提供一种基于混沌映射的移动终端设备安全认证方法,包括以下步骤:
S1、A用户设备选择两个随机数和,计算、生成的哈希值以及和移动管理功能AMF之间生成的临时会话密钥,其中哈希值由AMF发送给,P是AMF选择的一个大素数,是由AMF根据其私钥S计算得出的,计算公式为:;计算,将消息广播出去;的当前时间戳为;
S2、B用户设备收到的广播信息后,检查时间戳是否成立,其中表示规定的时间范围,表示的当前时间戳;如果不成立,则终止认证过程;如果成立,则选择两个随机数和,并计算、生成的哈希值以及和所述AMF之间生成的临时会话密钥,计算,将消息,发送给AMF;
S3、所述AMF收到所述消息,后,根据AMF的当前时间戳检查、是否满足,;如果不满足要求,则终止认证过程;如果满足,计算AMF和之间的会话密钥, AMF和之间的会话密钥,哈希值,哈希值,哈希值,哈希值,哈希值, AMF判断、是否等于、,来验证和的身份,如果、等于、即为合法的用户,如果、不等于、,则终止认证过程;AMF生成随机数计算哈希值,哈希值,,生成消息发送给,生成消息发送给;
所述用户设备和通过时间戳来保证消息的新鲜性;
AMF通过验证PA、PB来验证用户设备的身份,用户设备通过验证HA、HB的身份来验证AMF的身份,实现了相互验证;
S4、收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,发现并欲与进行通信,计算,,与之间的会话密钥为;
所述会话密钥的建立是依赖于、选择的随机数a 和b以及,攻击者即使得到用户设备的私钥a和b,也无法计算;由此,密钥的前向安全性得到保证;
S5、收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,AMF允许去连接并欲与进行通信,计算,,与之间的会话密钥,计算,并将消息发送给用户设备;
S6、收到发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明和生成了相等的会话密钥,计算加密值 并向发送消息;
由于认证过程中每一次会话,用户设备和的私钥值都不相同。因此,密钥的后向安全性得到保证;
所述会话密钥是由混沌映射算法生成的,所以实际的会话密钥永远不会通过不安全的自由通道传输;因此,密钥的安全性得到保证;
S7、收到发送的所述消息后,首先使用会话密钥解密得到IDA´,NC´并验证与收到的,是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明生成了相等的会话密钥,与通过会话密钥进行通信。
进一步地,所述S1步骤之前,还包括以下步骤:
S11、AMF生成公共系统参数(),其中和S是AMF随机选择的两个整数;
S12、A用户设备以及B用户设备通过5G网络认证协议5G-AKA进行身份认证,在每个用户设备UE和5G网络之间建立一个安全的通道;
UE进行D2D通信时,每一个UE选择其永久标识符SUPI发送给移动管理功能(Access and Mobility Management Function)AMF, AMF验证用户永久标识符(Subscription Permanent Identifier, SUPI ),生成临时身份以及哈希值,其中h是哈希函数,通过安全通道发送给用户设备UE。
进一步地,所述S1步骤的所述在UE和5G网络之间建立一个安全的通道的方法包括每一个UE与5G网络中的安全锚SEAF生成一个共享的锚密钥。
本发明还提供一种基于混沌映射的移动终端设备安全认证系统,使用所述的基于混沌映射的移动终端设备安全认证方法,包括:
设备发现认证模块:用于A用户设备选择两个随机数和,计算、生成的哈希值以及和移动管理功能AMF之间生成的临时会话密钥,计算, 将消息广播出去;的当前时间戳为;B用户设备收到的广播信息后,检查时间戳是否成立,其中表示规定的时间范围,表示的当前时间戳;如果不成立,则终止认证过程;如果成立,则选择两个随机数和,并计算、生成的哈希值以及和所述AMF之间生成的临时会话密钥,计算,将消息,发送给AMF;AMF收到所述消息,后,根据AMF的当前时间戳检查、是否满足,;如果不满足要求,则终止认证过程;如果满足,计算AMF和之间的会话密钥,AMF和之间的会话密钥,哈希值,哈希值,哈希值,哈希值,哈希值, AMF判断、是否等于、,来验证和的身份,如果、等于、即为合法的用户,如果、不等于、,则终止认证过程;AMF生成随机数计算哈希值,哈希值,,生成消息发送给,生成消息发送给;收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,发现并欲与进行通信,计算,,与之间的会话密钥为;收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,AMF允许去连接并欲与进行通信,计算,,与之间的会话密钥,计算,并将消息发送给用户设备;
设备认证通信模块:用于收到发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明和生成了相等的会话密钥,计算加密值 并向发送消息;收到发送的所述消息后,首先使用会话密钥解密得到IDA´,NC´并验证与收到的,是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明生成了相等的会话密钥,与通过会话密钥进行通信。
进一步地,所述基于混沌映射的移动终端设备安全认证系统还包括:
用户注册模块:用于通过AMF生成公共系统参数(),其中和S是AMF随机选择的两个整数,P是AMF选择的一个大素数,是由AMF根据其私钥S计算得出的,计算公式为:;UE通过5G网络认证协议5G-AKA进行身份认证,在UE和5G网络之间建立一个安全的通道;每一个UE选择其永久标识符SUPI发送给AMF, AMF验证用户永久标识符SUPI ,生成临时身份以及哈希值,通过安全通道发送给用户设备UE。
与现有技术相比,本发明的有益效果是:
1.通信实体进行相互验证,避免了假冒攻击,保证了通信的安全性;
2.用户设备通过时间戳来保证消息的新鲜性,从而避免了重放攻击;
3.会话密钥SK的建立是依赖于、选择的随机数a 和b以及,密钥的前向安全性得到保证;
4.认证过程中每一次会话,用户设备的私钥值都不相同,密钥的后向安全性得到保证;
5.会话密钥SK是由混沌映射算法生成,所以实际的会话密钥永远不会通过不安全的自由通道传输,密钥的安全性得到保证。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。
在附图中:
图1为本发明实施例的基于混沌映射的移动终端设备安全认证的示意图;
图2为本发明实施例的基于混沌映射的移动终端设备安全认证的流程图;
图3为本发明一种基于混沌映射的移动终端设备安全认证方法的设备发现和认证阶段流程图;
图4为本发明一种基于混沌映射的移动终端设备安全认证方法的用户注册阶段流程图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开可能采用术语第一、第二、第三来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本发明实施例的一种基于混沌映射的移动终端设备安全认证方法,包括图4所示的用户注册阶段和图3所示的设备发现和认证阶段:
用户注册阶段包括以下步骤:
S11、AMF生成公共系统参数(),其中和S是AMF随机选择的两个整数;
S12、A用户设备以及B用户设备通过5G网络认证协议5G-AKA进行身份认证,在每个用户设备UE和5G网络之间建立一个安全的通道;
UE进行D2D通信时,每一个UE选择其永久标识符SUPI发送给移动管理功能(Access and Mobility Management Function)AMF, AMF验证用户永久标识符(Subscription Permanent Identifier, SUPI ),生成临时身份以及哈希值,其中h是哈希函数,通过安全通道发送给用户设备UE。
所述S12步骤的所述在UE和5G网络之间建立一个安全的通道的方法包括每一个UE与5G网络中的安全锚SEAF生成一个共享的锚密钥。
设备发现和认证阶段包括以下步骤:
S1、A用户设备选择两个随机数和,计算、生成的哈希值以及和移动管理功能AMF之间生成的临时会话密钥,其中哈希值由AMF发送给,P是AMF选择的一个大素数,是由AMF根据其私钥S计算得出的,计算公式为:;计算,将消息广播出去;的当前时间戳为;
S2、B用户设备收到的广播信息后,检查时间戳是否成立,其中表示规定的时间范围,表示的当前时间戳;如果不成立,则终止认证过程;如果成立,则选择两个随机数和,并计算、生成的哈希值以及和所述AMF之间生成的临时会话密钥,计算,将消息,发送给AMF;
S3、所述AMF收到所述消息,后,根据AMF的当前时间戳检查、是否满足,;如果不满足要求,则终止认证过程;如果满足,计算AMF和之间的会话密钥, AMF和之间的会话密钥,哈希值,哈希值,哈希值,哈希值,哈希值, AMF判断、是否等于、,来验证和的身份,如果、等于、即为合法的用户,如果、不等于、,则终止认证过程;AMF生成随机数计算哈希值,哈希值,,生成消息发送给,生成消息发送给;
所述用户设备和通过时间戳来保证消息的新鲜性;
AMF通过验证PA、PB来验证用户设备的身份,用户设备通过验证HA、HB的身份来验证AMF的身份,实现了相互验证;
S4、收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,发现并欲与进行通信,计算,,与之间的会话密钥为;
所述会话密钥的建立是依赖于、选择的随机数a 和b以及,攻击者即使得到用户设备的私钥a和b,也无法计算。由此,密钥的前向安全性得到保证;
S5、收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,AMF允许去连接并欲与进行通信,计算,,与之间的会话密钥,计算,并将消息发送给用户设备;
S6、收到发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明和生成了相等的会话密钥,计算加密值 并向发送消息;
由于认证过程中每一次会话,用户设备和的私钥值都不相同;因此,密钥的后向安全性得到保证;
所述会话密钥是由混沌映射算法生成的,所以实际的会话密钥永远不会通过不安全的自由通道传输。因此,密钥的安全性得到保证;
S7、收到发送的所述消息后,首先使用会话密钥解密得到IDA´,NC´并验证与收到的,是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明生成了相等的会话密钥,与通过会话密钥进行通信。
本发明实施例还提供一种基于混沌映射的移动终端设备安全认证系统,使用所述的基于混沌映射的移动终端设备安全认证方法,包括:
设备发现认证模块:用于A用户设备选择两个随机数和,计算、生成的哈希值以及和移动管理功能AMF之间生成的临时会话密钥,计算, 将消息广播出去;的当前时间戳为;B用户设备收到的广播信息后,检查时间戳是否成立,其中表示规定的时间范围,表示的当前时间戳;如果不成立,则终止认证过程;如果成立,则选择两个随机数和,并计算、生成的哈希值以及和所述AMF之间生成的临时会话密钥,计算,将消息,发送给AMF;AMF收到所述消息,后,根据AMF的当前时间戳检查、是否满足,;如果不满足要求,则终止认证过程;如果满足,计算AMF和之间的会话密钥,AMF和之间的会话密钥,哈希值,哈希值,哈希值,哈希值,哈希值, AMF判断、是否等于、,来验证和的身份,如果、等于、即为合法的用户,如果、不等于、,则终止认证过程;AMF生成随机数计算哈希值,哈希值,,生成消息发送给,生成消息发送给;收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,发现并欲与进行通信,计算,,与之间的会话密钥为;收到AMF发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明AMF的身份不一致,则终止认证过程;如果相等,那么证明了AMF的身份一致性,AMF允许去连接并欲与进行通信,计算,,与之间的会话密钥,计算,并将消息发送给用户设备;
设备认证通信模块:用于收到发送的所述消息后,计算,并验证与收到的是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明和生成了相等的会话密钥,计算加密值 并向发送消息;收到发送的所述消息后,首先使用会话密钥解密得到IDA´,NC´并验证与收到的,是否相等,如果不相等,那么证明和生成的会话密钥不相等,则终止认证过程;如果相等,那么证明生成了相等的会话密钥,与通过会话密钥进行通信。
所述基于混沌映射的移动终端设备安全认证系统还包括:
用户注册模块:用于通过AMF生成公共系统参数(),其中和S是AMF随机选择的两个整数,P是AMF选择的一个大素数,是由AMF根据其私钥S计算得出的,计算公式为:;UE通过5G网络认证协议5G-AKA进行身份认证,在UE和5G网络之间建立一个安全的通道;每一个UE选择其永久标识符SUPI发送给AMF, AMF验证用户永久标识符SUPI ,生成临时身份以及哈希值,通过安全通道发送给用户设备UE。
图1和图2分别是本发明实施例的基于混沌映射的移动终端设备安全认证的示意图和流程图。
与现有技术相比,本发明的有益效果是:
1.通信实体进行相互验证,避免了假冒攻击,保证了通信的安全性;
2.用户设备通过时间戳来保证消息的新鲜性,从而避免了重放攻击;
3.会话密钥SK的建立是依赖于、选择的随机数a 和b以及,密钥的前向安全性得到保证;
4.认证过程中每一次会话,用户设备的私钥值都不相同,密钥的后向安全性得到保证;
5.会话密钥SK是由混沌映射算法生成,所以实际的会话密钥永远不会通过不安全的自由通道传输,密钥的安全性得到保证。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、同替换、改进,均应包含在本发明的保护范围之内。