安全加密信息生成方法和系统及5G终端认证方法和系统与流程
本发明涉及终端安全管理认证技术领域,具体地涉及一种基于国密算法的安全加密信息生成方法、一种基于国密算法的安全加密信息生成系统、一种基于国密算法的5g终端认证方法以及一种基于国密算法的5g终端认证系统。
背景技术:
5g终端接入无线网络前,5g终端内的sim卡单元同核心网之间要进行基于密码技术的双向认证,以确保双方身份的合法性。目前国内运营商的无线公网3g/4g/5g终端采用aes算法来实现上述认证流程。但是在某些特定的行业应用场景下、在某些5g专网中需要采用国产安全算法实现终端侧同网络侧的安全认证,以增强5g虚拟网络间的隔离强度并提高系统的信息安全防护水平。若仍采用aes算法来实现认证流程,会带来泄密风险。
现有电网信息系统中的业务应用层中的安全算法全部采用国密安全算法,各种业务分别部署终端安全芯片和服务器密码基础设施,以保障业务层的安全。若在5g终端认证中仍采用aes算法,则需要额外部署aes算法需要的安全芯片及相应的服务设施,限定了业务安全部署的效率,同时也增加了部署成本。
技术实现要素:
本发明实施方式的目的是提供一种安全加密信息生成方法和系统及5g终端认证方法和系统,基于国密算法生成安全加密信息,生成的加密信息符合安全认证要求,同时加密信息基于国内的加密算法生成,加密信息可以应用在5g专网中,有效规避引入的加密算法可能带来的泄密风险;同时生成的加密信息用于5g终端认证,可以给5g终端接入提供安全认证能力,通过5g通信终端向业务终端输出安全能力,可以基于5g安全密钥体系帮助不同种类的业务终端快速部署安全能力,不但提高了业务安全部署效率,而且节约了业务安全的部署成本。
为了实现上述目的,本发明第一方面提供一种基于国密算法的安全加密信息生成方法,所述方法包括:
根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段;
根据随机数和所述第一运营商可变算法配置字段,计算得到第一加密运算值;
根据认证消息、所第一运营商可变算法配置字段、所第一加密运算值、固定循环常量和固定常量,计算得到加密信息。
可选的,所述根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段,包括:
采用国密算法将所述初始运营商可变算法配置字段和根密钥进行加密,得到加密后的运营商可变算法配置字段;
将所述初始运营商可变算法配置字段与加密后的运营商可变算法配置字段进行异或计算,得到第一运营商可变算法配置字段。采用国密算法对述初始运营商可变算法配置字段进行加密,有效个避免采用aes算法计算会带来的泄密风险。
可选的,所述根据随机数和所述第一运营商可变算法配置字段,计算得到第一加密运算值,包括:
将所述随机数与所述第一运营商可变算法配置字段进行异或计算,得到第一中间值;
采用国密算法对所述第一中间值进行加密,得到第一加密运算值。
可选的,所述加密信息包括:第一加密信息、第二加密信息、第三加密信息、第四加密信息、第五加密信息;
所述固定循环常量包括:第一固定循环常量、第二固定循环常量、第三固定循环常量、第四固定循环常量和第五固定循环常量;
所述固定常量包括:第一固定常量、第二固定常量、第三固定常量、第四固定常量和第五固定常量。
可选的,所述第一加密信息根据所述认证消息、所述第一运营商可变算法配置字段、所述第一加密运算值、第一固定循环常量和第一固定常量计算得到,计算步骤包括:
将所述认证消息与所述第一运营商可变算法配置字段进行异或运算,得到第二中间值;
将第二中间值与所述第一固定循环常量进行旋转计算,得到第三中间值;
将所述第三中间值、所述第一固定常量与所述第一加密运算值进行异或计算,得到第四中间值;
采用国密算法对所述第四中间值进行加密,得到第五中间值;
将所述第五中间值与所述第一运营商可变算法配置字段进行异或计算,得到第一加密信息;
所述第一加密信息为消息鉴权码或期望消息鉴权码。
可选的,所述第二加密信息根据第一加密运算值、第二固定循环常量和第二固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第六中间值;
将所述第六中间值与第二固定循环常量进行旋转计算,得到第七中间值;
将所述第七中间值与第二固定常量进行异或运算,得到第八中间值;
采用国密算法将所述第八中间值进行加密,得到第九中间值;
将所述第九中间值与所述第一运营商可变算法配置字段进行异或计算,得到第二加密信息;
所述第二加密信息为期望响应或响应。
可选的,所述第三加密信息根据第一加密运算值、第三固定循环常量和第三固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十中间值;
将所述第十中间值与第三固定循环常量进行旋转计算,得到第十一中间值;
将所述第十一中间值与第三固定常量进行异或运算,得到第十二中间值;
采用国密算法将所述第十二中间值进行加密,得到第十三中间值;
将所述第十三中间值与所述第一运营商可变算法配置字段进行异或计算,得到第三加密信息;
所述第三加密信息为网侧加密密钥或卡侧加密密钥。
可选的,所述第四加密信息根据第一加密运算值、第四固定循环常量和第四固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十四中间值;
将所述第十四中间值与第四固定循环常量进行旋转计算,得到第十五中间值;
将所述第十五中间值与第四固定常量进行异或运算,得到第十六中间值;
采用国密算法将所述第十六中间值进行加密,得到第十七中间值;
将所述第十七中间值与所述第一运营商可变算法配置字段进行异或计算,得到第四加密信息;
所述第四加密信息为网侧完整性密钥或卡侧完整性密钥。
可选的,所述第五加密信息根据第一加密运算值、第五固定循环常量和第五固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十八中间值;
将所述第十八中间值与第五固定循环常量进行旋转计算,得到第十九中间值;
将所述第十九中间值与第五固定常量进行异或运算,得到第二十中间值;
采用国密算法将所述第二十中间值进行加密,得到第二十一中间值;
将所述第二十一中间值与所述第一运营商可变算法配置字段进行异或计算,得到第五加密信息;
所述第五加密信息为网侧匿名密钥或卡侧匿名密钥。
第一到第五加密信息的计算过程均基于国密算法来进行,计算得到的第一到第五加密信息符合国家安全认证的要求,有效规避引入的加密算法可能带来的泄密风险。
可选的,所述认证消息包括序列号和认证管理域。
本发明第二方面提供一种基于国密算法的安全加密信息生成方法的系统,所述系统包括:
第一运营商可变算法配置字段计算单元,用于根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段;
第一加密运算值计算单元,用于根据随机数和第一运营商可变算法配置字段,计算得到第一加密运算值;
加密信息计算单元,用于根据认证消息、第一运营商可变算法配置字段、第一加密运算值、固定循环常量和固定常量,计算得到加密信息。系统基于国密算法计算得到加密信息,有效规避引入的加密算法可能带来的泄密风险。
本发明第三方面提供一种基于国密算法的5g终端认证方法,所述方法采用所述的基于国密算法的安全加密信息生成方法生成加密信息,所述方法包括:
核心网侧生成认证序列号和随机数;
核心网侧根据序列号和认证管理域生成认证消息;
根据所述认证消息、根密钥和随机数生成网侧加密信息;
根据所述网侧加密信息生成网侧身份认证向量,并传输到sim卡侧;
sim卡侧根据接收到的网侧身份认证向量和根密钥生成sim卡侧加密信息;
确认所述sim卡侧加密信息中的期望消息鉴权码和网侧身份认证向量中的消息鉴权码是否相同,若不相同,则5g终端认证失败;若相同,则5g终端认证成功。采用基于国密算法的加密信息进行5g终端认证,使得5g通信终端与核心网络之间建立通信的过程更加安全可靠,同时可以通过5g终端向向业务终端输出安全能力,可以基于5g安全密钥体系帮助不同种类的业务终端快速部署安全能力,不但提高了业务安全部署效率,而且节约了业务安全的部署成本。
可选的,所述网侧加密信息包括消息鉴权码、期望响应、网侧加密密钥、网侧完整性密钥和网侧匿名密钥;所述根据所述网侧加密信息生成网侧身份认证向量,包括:
根据所述认证序列号、所述消息鉴权码、所述认证管理域、所述网侧匿名密钥生成网侧网络认证令牌;
根据所述随机数、所述期望响应、所述网侧加密密钥、所述网侧完整性密钥和所述网侧网络认证令牌生成网侧身份认证向量。
可选的,所述sim卡侧根据接收到的网侧身份认证向量和根密钥生成sim卡侧加密信息,包括:
sim卡侧根据接收到网侧身份认证向量中的随机数计算出卡侧匿名密钥;
根据所述卡侧匿名密钥解算出第一认证序列号;
sim卡侧根据所述第一认证序列号、所述随机数、所述根密钥和所述认证管理域生成卡侧加密信息。
可选的,所述卡侧加密信息包括期望消息鉴权码、响应、卡侧加密密钥和卡侧完整性密钥。
可选的,所述方法还包括:
在5g终端认证成功后,判断解算得到的第一认证序列号是否在正确范围内;若在,则保存所述第一认证序列号;否则放弃保存所述第一认证序列号。
本发明第四方面提供一种基于国密算法的5g终端认证系统,所述系统包括所述的基于国密算法的安全加密信息生成系统。该系统能够实现5g终端基于国密算法的认证,使得5g专网中的终端与核心网路之间建立通信的过程更安全,例如电力系统等专网可以兼容应用层密码基础设施,向电力行业的业务终端提供认证、完整性和机密性服务,替代业务终端内的esam,降低业务终端安全的部署成本。
另一方面,本发明提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行本申请上述的基于国密算法的安全加密信息生成方法。
通过上述技术方案,本发明提供的基于国密算法的安全加密信息生成方法基于国密算法生成安全加密信息,生成的加密信息符合安全认证要求,同时加密信息基于国内的加密算法生成,加密信息可以应用在5g专网中,有效规避引入的加密算法可能带来的泄密风险。
本发明提供的基于国密算法的5g终端认证方法使用基于国密算法生成的加密信息进行5g终端认证,可以给5g终端接入提供安全认证能力,通过5g通信终端向业务终端输出安全能力,可以基于5g安全密钥体系帮助不同种类的业务终端快速部署安全能力,不但提高了业务安全部署效率,而且节约了业务安全的部署成本。
本发明实施方式的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施方式的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施方式,但并不构成对本发明实施方式的限制。在附图中:
图1是本发明一种实施方式提供的基于国密算法的安全加密信息生成方法流程图;
图2是本发明一种实施方式提供的安全加密信息生成方法示意图;
图3是本发明一种实施方式提供的基于国密算法的安全加密信息生成系统框图;
图4是本发明一种实施方式提供的基于国密算法的5g终端认证方法流程图;
图5是核心网侧加密计算生成网侧身份认证向量示意图;
图6是sim卡侧加密计算生成卡侧认证消息示意图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
图1是本发明一种实施方式提供的基于国密算法的安全加密信息生成方法流程图。如图1所示,所述方法包括:
根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段;
根据随机数和所述第一运营商可变算法配置字段,计算得到第一加密运算值;
根据认证消息、所述第一运营商可变算法配置字段、所述第一加密运算值、固定循环常量和固定常量计算得到加密信息。
可选的,所述根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段,包括:
采用国密算法将所述初始运营商可变算法配置字段和根密钥进行加密,得到加密后的运营商可变算法配置字段;
将所述初始运营商可变算法配置字段与加密后的运营商可变算法配置字段进行异或计算,得到第一运营商可变算法配置字段。采用国密算法对述初始运营商可变算法配置字段进行加密,有效个避免采用aes算法计算会带来的泄密风险。
可选的,所述根据随机数和所述第一运营商可变算法配置字段,计算得到第一加密运算值,包括:
将所述随机数与所述第一运营商可变算法配置字段进行异或计算,得到第一中间值;
采用国密算法对所述第一中间值进行加密,得到第一加密运算值。
可选的,所述加密信息包括:第一加密信息、第二加密信息、第三加密信息、第四加密信息、第五加密信息;
所述固定循环常量包括:第一固定循环常量、第二固定循环常量、第三固定循环常量、第四固定循环常量和第五固定循环常量;
所述固定常量包括:第一固定常量、第二固定常量、第三固定常量、第四固定常量和第五固定常量。
所述第一加密信息根据所述认证消息、所述第一运营商可变算法配置字段、所述第一加密运算值、第一固定循环常量和第一固定常量计算得到,计算步骤包括:
将所述认证消息与所述第一运营商可变算法配置字段进行异或运算,得到第二中间值;
将第二中间值与所述第一固定循环常量进行旋转计算,得到第三中间值;
将所述第三中间值、所述第一固定常量与所述第一加密运算值进行异或计算,得到第四中间值;
采用国密算法对所述第四中间值进行加密,得到第五中间值;
将所述第五中间值与所述第一运营商可变算法配置字段进行异或计算,得到第一加密信息;
所述第一加密信息为消息鉴权码或期望消息鉴权码。
可选的,所述第二加密信息根据第一加密运算值、第二固定循环常量和第二固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第六中间值;
将所述第六中间值与第二固定循环常量进行旋转计算,得到第七中间值;
将所述第七中间值与第二固定常量进行异或运算,得到第八中间值;
采用国密算法将所述第八中间值进行加密,得到第九中间值;
将所述第九中间值与所述第一运营商可变算法配置字段进行异或计算,得到第二加密信息;
所述第二加密信息为期望响应或响应。
可选的,所述第三加密信息根据第一加密运算值、第三固定循环常量和第三固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十中间值;
将所述第十中间值与第三固定循环常量进行旋转计算,得到第十一中间值;
将所述第十一中间值与第三固定常量进行异或运算,得到第十二中间值;
采用国密算法将所述第十二中间值进行加密,得到第十三中间值;
将所述第十三中间值与所述第一运营商可变算法配置字段进行异或计算,得到第三加密信息;
所述第三加密信息为网侧加密密钥或卡侧加密密钥。
可选的,所述第四加密信息根据第一加密运算值、第四固定循环常量和第四固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十四中间值;
将所述第十四中间值与第四固定循环常量进行旋转计算,得到第十五中间值;
将所述第十五中间值与第四固定常量进行异或运算,得到第十六中间值;
采用国密算法将所述第十六中间值进行加密,得到第十七中间值;
将所述第十七中间值与所述第一运营商可变算法配置字段进行异或计算,得到第四加密信息;
所述第四加密信息为网侧完整性密钥或卡侧完整性密钥。
可选的,所述第五加密信息根据第一加密运算值、第五固定循环常量和第五固定常量计算得到,计算步骤包括:
将第一加密运算值与所述第一运营商可变算法配置字段进行异或计算,得到第十八中间值;
将所述第十八中间值与第五固定循环常量进行旋转计算,得到第十九中间值;
将所述第十九中间值与第五固定常量进行异或运算,得到第二十中间值;
采用国密算法将所述第二十中间值进行加密,得到第二十一中间值;
将所述第二十一中间值与所述第一运营商可变算法配置字段进行异或计算,得到第五加密信息;
所述第五加密信息为网侧匿名密钥或卡侧匿名密钥。第一到第五加密信息的计算过程均基于国密算法来进行,计算得到的第一到第五加密信息符合国家安全认证的要求,有效规避引入的加密算法可能带来的泄密风险。
可选的,所述认证消息包括序列号和认证管理域。
具体的,如图2所示,初始运营商可变算法配置字段op和根密钥k经过国密算法ek加密的值,再与初始运营商可变算法配置字段op进行异或,得到第一运营商可变算法配置字段opc,随机数rand与opc进行异或计算的结果再进行国密加密,得到第一加密运算值,序列号sqn+认证管理域amf+序列号sqn+认证管理域amf组成认证消息sqn||amf||sqn||amf,sqn||amf||sqn||amf与opc异或计算得到的值与第一固定循环常量r1进行旋转,旋转后得到的值再与第一固定常量c1、第一加密运算值共同进行异或计算,得到的结果再进行国密加密,国密加密的结果与opc进行异或计算,得到第一加密信息,从认证消息、所述第一运营商可变算法配置字段、所述第一加密运算值、第一固定循环常量和第一固定常量到第一加密信息的计算过程构成第一加密函数,核心网侧的第一加密函数记为f1*,sim卡侧的第一加密函数记为f1。第一加密运算值与opc异或计算得到的值与第二固定循环常量r2进行旋转,旋转后得到的值再与第二固定常量c2进行异或计算,得到的结果再进行国密加密,国密加密的结果与opc进行异或计算,得到第二加密信息,从第一加密运算值、第二固定循环常量和第二固定常量到第而加密信息的计算过程构成第二加密函数f2。第三加密信息、第四加密信息、第五加密信息与第二加密信息计算步骤相同,仅需要在计算第三加密信息时使用第三固定循环常量r3和第三固定常量c3,计算过程构成第三加密函数f3;在计算第四加密信息时使用第四固定循环常量r4和第四固定常量c4,计算过程构成第四加密函数f4;在计算第五加密信息时使用第五固定循环常量r5和第五固定常量c5,计算过程构成第五加密函数。需要说明的是,在第一次认证过程中,使用第五固定循环常量r5和第五固定常量c5计算第五加密信息,计算过程记为f5*在后续的重认证过程中,仅需使用第二固定循环常量r2和第二固定常量c2计算第五加密信息,计算过程记为f5。
图3是本发明一种实施方式提供的基于国密算法的安全加密信息生成系统框图。如图3所示,述系统包括:
第一运营商可变算法配置字段计算单元,用于根据初始运营商可变算法配置字段、根密钥和国密算法,计算得到第一运营商可变算法配置字段;
第一加密运算值计算单元,用于根据随机数和第一运营商可变算法配置字段,计算得到第一加密运算值;
加密信息计算单元,用于根据认证消息、第一运营商可变算法配置字段、第一加密运算值、固定循环常量和固定常量,计算得到加密信息。系统基于国密算法计算得到加密信息,有效规避引入的加密算法可能带来的泄密风险。
图4是本发明一种实施方式提供的基于国密算法的5g终端认证方法流程图。如图4所示,所述方法采用所述的基于国密算法的安全加密信息生成方法生成加密信息,所述方法包括:
核心网侧生成认证序列号和随机数;
核心网侧根据序列号、根密钥和认证管理域生成认证消息;
根据所述认证消息、根密钥和随机数生成网侧加密信息;
根据所述网侧加密信息生成网侧身份认证向量,并传输到sim卡侧;
sim卡侧根据接收到的网侧身份认证向量和根密钥生成sim卡侧加密信息;
确认所述sim卡侧加密信息中的期望消息鉴权码xmac和网侧身份认证向量中的消息鉴权码mac是否相同,若不相同,则5g终端认证失败;若相同,则5g终端认证成功。采用基于国密算法的加密信息进行5g终端认证,使得5g通信终端与核心网络之间建立通信的过程更加安全可靠,同时可以通过5g终端向向业务终端输出安全能力,可以基于5g安全密钥体系帮助不同种类的业务终端快速部署安全能力,不但提高了业务安全部署效率,而且节约了业务安全的部署成本。
所述网侧加密信息包括消息鉴权码、期望响应、网侧加密密钥、网侧完整性密钥和网侧匿名密钥。如图5所示,所述根据所述网侧加密信息生成网侧身份认证向量,包括:
根据核心网侧第一加密函数计算消息鉴权码mac;
根据核心网侧第二加密函数计算期望响应xres;
根据核心网侧第三加密函数计算网侧加密密钥ck;
根据核心网侧第四加密函数计算网侧完整性密钥ik;
根据核心网侧第五加密函数计算网侧匿名密钥ak;
根据所述认证序列号sqn、所述消息鉴权码mac、所述认证管理域amf、所述网侧匿名密钥ak生成网侧网络认证令牌autn,autn:=sqn⊕ak||amf||mac;
根据所述随机数rand、所述期望响应xres、所述网侧加密密钥ck、所述网侧完整性密钥ik和所述网侧网络认证令牌autn生成网侧身份认证向量av,av:=rand||xres||ck||ak||autn。
如图6所示,所述sim卡侧根据接收到的网侧身份认证向量和根密钥生成sim卡侧加密信息,包括:
sim卡侧根据接收到网侧身份认证向量中的随机数计算出卡侧匿名密钥;
根据所述卡侧匿名密钥解算出第一认证序列号;
sim卡侧根据所述第一认证序列号、所述随机数、根密钥和认证管理域生成卡侧加密信息。
可选的,所述卡侧加密信息包括期望消息鉴权码、响应、卡侧加密密钥和卡侧完整性密钥;sim卡侧根据所述第一认证序列号、所述随机数、根密钥和认证管理域生成卡侧加密信息,包括:
根据sim卡侧第一加密函数计算期望消息鉴权码xmac;
根据sim卡侧第二加密函数计算响应res;
根据sim卡侧第三加密函数计算卡侧加密密钥ck;
根据sim卡侧第四加密函数计算卡侧完整性密钥ik。
可选的,所述方法还包括:
在5g终端认证成功后,判断解算得到的第一认证序列号是否在正确范围内,若在,则保存所述第一认证序列号;否则放弃保存所述第一认证序列号。
本发明第四方面提供一种基于国密算法的5g终端认证系统,所述系统包括所述的基于国密算法的安全加密信息生成系统。该系统能够实现5g终端基于国密算法的认证,使得5g专网中的终端与核心网路之间建立通信的过程更安全,例如电力系统等专网可以兼容应用层密码基础设施,向电力行业的业务终端提供认证、完整性和机密性服务,替代业务终端内的esam,降低业务终端安全的部署成本。
另一方面,本发明提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行本申请上述的基于国密算法的安全加密信息生成方法。
本领域技术人员可以理解实现上述实施方式的方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本发明各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合附图详细描述了本发明的可选实施方式,但是,本发明实施方式并不限于上述实施方式中的具体细节,在本发明实施方式的技术构思范围内,可以对本发明实施方式的技术方案进行多种简单变型,这些简单变型均属于本发明实施方式的保护范围。另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施方式对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明实施方式的思想,其同样应当视为本发明实施方式所公开的内容。
- 还没有人留言评论。精彩留言会获得点赞!