[发明专利]防止加密用户身份受到重放攻击的方法

说明书

本发明总体上涉及无线终端和核心网络之间的注册和认证过程，具体地，涉及来自核心网络侧的注册重放攻击的检测，以基于在无线终端侧和核心网络侧同步维护和更新的一组认证序列号来减少机密用户信息的泄露。所述无线终端和所述核心网络之间的序列号的通信最小化，并且在有限的传输次数期间被进一步有效地隐藏，以免暴露在无线电接口中。所述无线终端和所述核心网络之间的序列号不同步的检测被核心网络用来确定注册重放攻击，并停止传送可能导致无线终端的机密信息泄露以及在某些情况下所述终端装置或所述网络拒绝服务的请求和响应消息。

技术领域

本发明总体上涉及通信领域,具体涉及移动终端和核心网络之间的注册和认证过程。

背景技术

无线终端装置可以经由服务网络与无线终端装置的归属核心网络通信。在获得对归属核心网络的接入之前，无线终端装置可以发起注册和认证过程。无线终端、服务网络和归属核心网络彼此交互，以向网络认证无线终端装置，并向无线终端装置认证网络。在成功注册和认证后，生成接入凭证，以实现无线终端装置和网络之间的进一步通信。UE和网络之间经由无线接口的通信消息(无论是加密的还是未加密的)都可能受到黑客的攻击。黑客可能经由这种攻击获得关于无线终端的机密信息。

发明内容

本发明总体上涉及无线终端和核心网络之间的注册和认证过程，具体地，涉及来自核心网络侧的注册重放攻击的检测，以基于在无线终端侧和核心网络侧同步维护和更新的一组认证序列号来减少机密用户信息的泄露。所述无线终端和所述核心网络之间的序列号的通信最小化，并且在有限的传输次数期间被进一步有效地隐藏，以免暴露在无线电接口中。所述无线终端和所述核心网络之间的序列号不同步的检测被核心网络用来确定注册重放攻击，并停止传送可能导致无线终端的机密信息泄露以及在某些情况下所述终端装置或所述网络拒绝服务的请求和响应消息。

在一些示例实现方式中，公开了一种第二网络元件的认证过程的执行方法，所述方法由通信网络的第一网络元件执行，所述认证过程用于接入所述通信网络。该方法可以包括接收从第二网络元件发起的认证消息；从认证消息中提取隐藏的序列号，以获得由第一网络元件维护的去隐藏的序列号；根据在第二网络元件的先前认证过程期间第二网络元件的先前序列号是否存储在第一网络元件中的确定结果处理认证过程；以及在确定先前序列号存储在第一网络元件中时，根据去隐藏的序列号和先前序列号之间的比较结果进一步处理认证过程。

在一些其他实现方式中，公开了一种网络装置。网络装置主要包括一个或多个处理器和一个或多个存储器，其中，一个或多个处理器被配置为从一个或多个存储器读取计算机代码，以实现由第一网络元件执行的上述第二网络元件的认证过程方法。

在又一些其他实现方式中，公开了一种计算机可读的存储介质，存储有计算机代码，当由一个或多个处理器执行所述计算机代码时时，以实现第二网络元件的认证过程的执行方法。

在下面的附图、说明书和权利要求中更详细地解释了上述实施例及其实现方式的其他方面和替代方案。

附图说明

图1示出了包括终端装置、载波网络、数据网络和服务应用的示例性通信网络。

图2示出了通信网络中的示例性网络功能或网络节点。

图3示出了无线通信网络中的示例性网络功能或网络节点。

图4示出了用于无线终端的网络注册和认证的用户隐藏身份的示例性数据结构。

图5示出了基于无线终端的用户隐藏身份和隐藏认证序列号的，且用于无线终端(用户设备(UE))和核心网络之间的主网络注册/认证的示例性逻辑流程。

图6示出了在无线终端检测到认证序列号去同步时用于重新认证的示例性逻辑流程。

图7示出了基于不能验证的无线终端的网络分配的临时身份和认证序列号，且用于无线终端和核心网络之间的注册/认证的示例性逻辑流程。