1.一种利用5G-AKA对SUPI进行保护的方法,其特征在于,包括以下步骤:
接收终端发起的鉴权请求,对终端上报的SUCI进行解密,得到SUPI;
当确定需要更换身份信息时,选择一新的“在用”身份标识SUPI';
对上述“在用”身份标识进行加密后生成鉴权向量AV’,将所述鉴权向量AV’中的鉴权参数发送给终端;
接收更换上述“在用”身份后的终端发起的二次鉴权请求,利用新的“在用”身份标识进行鉴权。
2.根据权利要求1所述的方法,其特征在于,所述生成鉴权向量AV’包括:
对SUPI'计算杂凑值生成认证标签HASH(SUPI');
使用传输保护密钥TK对HASH(SUPI')进行加密后放入鉴权向量AV’的AUTN'字段的相应位置;
将临时公钥TPK放入鉴权向量AV’的RAND'字段;采用随机数对鉴权向量AV’的其他字段进行填充。
3.根据权利要求1所述的方法,其特征在于,所述生成鉴权向量AV’,包括:
对SUPI'计算杂凑值生成认证标签HASH(SUPI');
使用共享密钥对HASH(SUPI’)进行加密,并将加密后的数据放入鉴权向量AV’的RAND'字段中;
采用随机数对鉴权向量AV’的其他字段进行填充,且AUTN'字段中AMF值保持有效。
4.根据权利要求2或3所述的方法,其特征在于,所述利用新的“在用”身份标识进行鉴权包括:
网元AMF接收更换上述“在用”身份后的终端上报的SUCI和临时公钥;
网元AMF将SUCI和临时公钥发送给归属地网络的UDM/ARPF,并发起认证鉴权请求;
UDM/ARPF接收到上述认证鉴权请求及终端上报的SUCI、临时公钥后,生成鉴权向量AV;
UDM/ARPF将上述生成的鉴权向量AV以及SUPI'信息放在鉴权响应消息中,发送给网元AMF;
网元AMF从鉴权响应消息中提取出鉴权参数AUTN和RAND下发给终端。
5.根据权利要求4所述的方法,其特征在于,所述生成鉴权向量AV包括:
利用终端上报的SUCI、临时公钥,获得所述终端的SUPI,并通过所述SUPI查询“在用”身份SUPI';
使用SUPI对应的根密钥K和“在用”身份SUPI'信息生成鉴权向量AV。
6.一种利用5G-AKA对SUPI进行保护的方法,其特征在于,包括以下步骤:
向核心网发送鉴权请求,对SUPI进行加密获得SUCI,并将SUCI、临时公钥上报核心网;
接收核心网下发的鉴权响应信息并进行验证,当验证成功时,则执行正常鉴权流程;当验证失败时,则进行SUPI'更换;
发起二次鉴权,并获取二次鉴权参数进行验证。
7.根据权利要求6所述的方法,其特征在于,所述进行SUPI'更换包括:
在接收到的鉴权响应信息RAND'字段中提取TPK,与SUCI信息中的公钥字段对应的本地私钥一同派生出传输密钥TK;
使用传输密钥TK对接收到的鉴权响应信息AUTN'中字段进行解密,获得HASH(SUPI')并验证HASH值,若通过,则本次身份更换成功;
将SUPI'作为终端的“在用”身份,用于二次鉴权。
8.根据权利要求6所述的方法,其特征在于,所述进行SUPI'更换包括:
使用共享密钥对接收到的鉴权响应信息中RAND'进行解密,获得HASH(SUPI')并验证HASH值,若通过,则本次身份更换成功;
将SUPI'作为终端的“在用”身份,用于二次鉴权。
9.根据权利要求7或8之一所述的方法,其特征在于,所述发起二次鉴权,并获取二次鉴权响应进行验证,包括:
向核心网发送二次鉴权请求,对SUPI进行加密获得SUCI,并将SUCI、临时公钥上报给核心网;
接收核心网下发的鉴权响应信息并进行验证,当验证成功时,则执行正常鉴权流程。
10.一种利用5G-AKA对SUPI进行保护的方法,其特征在于:包括权利要求1所述的对SUPI进行保护的方法和权利要求6所述的对SUPI进行保护的方法。