[发明专利]一种抗重放攻击的方法、系统及移动终端

说明书

技术领域

本发明涉及移动通信系统中的鉴权技术，尤其涉及一种抗重放攻击的方法、系统及移动终端(ME)。

背景技术

在移动通信系统中，为了保证运营业务的安全性，网络侧都要对接入的用户设备(UE)进行鉴权，使得非法UE无法得到网络侧提供的服务，保障运营商利益；UE也会验证网络侧发送的鉴权信息是否有效，即UE对网络侧进行鉴权，防止非法网络侧利用合法网络侧已使用过的鉴权信息对UE进行重放攻击，使UE相信该非法网络侧合法。

通常情况下，网络侧对UE的鉴权和UE对网络侧的鉴权包含在一个鉴权处理中进行，并且可采用鉴权元组来进行。鉴权元组一般包括五个元素，因此通常称鉴权五元组。这五个元素分别是随机数(RAND)、期望响应(XRES)、加密密钥(CK)、完整性密钥(IK)和鉴权标记(AUTN)。其中，AUTN进一步包括鉴权序列号(SQN)、鉴权管理域(AMF)和消息鉴权编码(MAC)三个部分。

利用鉴权五元组进行鉴权的处理过程一般包括：网络侧首先产生一个RAND，然后根据RAND、自身当前保存的SQN、UE与网络共享的密钥及其它信息生成鉴权五元组，并将其中的部分参数，如RAND和AUTN发送给UE；UE根据接收到的RAND和AUTN，进行校验，包括：根据RAND、AUTN中的SQN和与网络共享的密钥计算出一个MAC值，并比较该MAC值和从接收的AUTN中解析的MAC值是否一致，如果一致，则UE校验接收的AUTN中的SQN是否符合要求，例如在要求SQN按升序生成的情况下，判断所接收的SQN是否大于自身当前保存的SQN，如果是，则SQN满足要求；或者进一步地，判断二者差值是否在预设的范围之内等，如果是，则SQN满足要求，校验成功，UE对网络侧鉴权通过；否则，若SQN不满足要求，UE可认为是重放攻击，向网络侧发起同步SQN的流程。UE利用RAND和与网络共享的密钥计算出一个响应(RES)，然后将该RES发送给网络侧；网络侧比较从UE接收的RES与鉴权五元组中的XRES是否一致，如果一致，则网络侧对UE的鉴权通过。

上述鉴权过程中，网络侧和UE都会存储有用于鉴权的SQN，并且SQN会根据实际应用情况进行更新，如网络侧的SQN随生成的鉴权五元组进行更新，如递增等；UE的SQN值随网络侧发来的SQN值进行更新，如递增等，以保证网络侧的SQN和UE的SQN同步，并且最新。UE的SQN由UE管理和维护，UE由ME和用户卡组成，其中用户卡可以为通用集成电路卡(UICC)或者可移动用户身份模块(R-UIM)。实际应用中，UE的SQN有可能存储在用户卡中，也有可能存储在ME中，如对于需要使用互联网协议多媒体子系统(IMS)业务的第二代移动通信系统(2G)的用户来说，由于用户卡不支持IMS模块，无法保存相关的参数，如密钥和SQN等，注册IMS业务鉴权所需的SQN便只能存储在ME中，然而现有技术中，没有对存储在ME中的SQN的产生及管理进行明确说明。对于这种用户来说，由于针对该用户卡的SQN信息存储在原ME中，因此当用户卡从一个ME移到另一个ME时，该用户卡的SQN信息便会丢失，得到的可能是新更换的当前ME中存储的SQN，如在原ME中SQN为X，在当前ME中SQN为Y，并且若Y小于X，则进行上述鉴权时，由于对该用户卡来说，SQN的值不但没有进行递增更新，反而减小了，此时便有可能受到重放攻击，对非法网络侧的鉴权通过。

发明内容

有鉴于此，本发明实施例一方面提供一种抗重放攻击的方法，另一方面提供一种抗重放攻击的系统及移动终端，能够避免重放攻击。

本发明实施例所提供的抗重放攻击的方法，鉴权序列号SQN存储在移动终端ME中，该方法包括：

用户设备的ME确定当前用户卡与之前的用户卡不同时，生成不满足鉴权通过要求的SQN，向网络侧发送携带该SQN的SQN重同步请求；网络侧根据所接收的SQN重同步请求，生成与ME同步的SQN，作为网络侧的SQN。

本发明实施例所提供的抗重放攻击的系统，包括：移动终端ME和网络侧，其中，

ME，用于在确定当前用户卡与之前的用户卡不同时，生成不满足鉴权通过要求的鉴权序列号SQN，向网络侧发送携带该SQN的SQN重同步请求；

网络侧，用于接收来自ME的SQN重同步请求，根据所接收的重同步请求，生成与ME同步的SQN，作为网络侧的SQN。

本发明实施例所提供的抗重放攻击的移动终端，至少包括：识别模块、鉴权序列号SQN生成模块和发送接收模块，其中，