[发明专利]一种参数发送方法及装置

说明书

一种参数发送方法及装置，用以解决现有SQN的发送方式安全性较差的问题。本申请中，终端设备在认证过程中，可以接收来自核心网络设备的随机数和第一顺序值，终端设备在确定第一顺序值与本地预存的第二顺序值的差值大于阈值后，在认证密钥和顺序值的异或值后连接消息认证码，生成同步失败参数，其中，认证密钥根据随机数、本地预存的密钥K、消息认证码，通过两次双输入单输出的运算生成，可以保证安全传输第二顺序值；向核心网络设备发送携带同步失败参数的同步失败消息，核心网络设备接收到同步失败参数后，采用相同的方式生成认证密钥，从同步失败参数中获取第二顺序值。

本申请是分案申请，原申请的申请号是201910335677.3，原申请日是2019年04月24日，原申请的全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种参数发送方法及装置。

背景技术

在移动通信系统中，当终端设备移动到归属网络之外，处于服务网络的范围内时，为了保证服务网络可以为终端设备提供服务；终端设备需要与归属网络进行双向认证，在认证通过后，归属网络可以将终端设备的签约信息发送给服务网络。

而在终端设备与归属网络进行双向认证的过程中，归属网络通过服务网络向终端设备发送顺序值(sequence number，SQN),SQN用于进行防重放攻击。终端设备在接收到SQN之后，确定SQN是否处于预设范围，若处于预设范围，可以认为SQN不是攻击者发送的，实现防重放的目的；否则，终端设备会将本地保存的SQN通过服务网络发送给归属网络，以使得归属网络可以保存SQN，之后利用保存的SQN与终端设备进行双向认证。

但是由于终端设备在发送SQN时，会先将SQN与认证密钥(AK)进行异或后得到一个结果值，该结果值连接消息认证码(MAC)共同形成AUTS发送给归属网络。

对于攻击者，可以截获归属网络发送的携带有SQN的认证令牌，然后多次向终端设备重放该认证令牌；终端设备多次收到认证令牌，则会多次反馈同步失败引起的认证失败消息(authentication failure message with synchronization failure，AUTS)，但是由于AUTS的生成方式中，AK是固定的，且消息认证码在AUTS中的位置是不变的，导致攻击者只需接收到两个不同的AUTS后进行简单的运算可以判断两个AUTS中的SQN是否接近，进而基于此判断两个不同的AUTS是否来自同一个终端设备，导致终端设备容易被追踪，也就是说，现有的SQN的发送方式安全性较差。

发明内容

本申请提供一种参数发送方法及装置，用以解决现有技术中SQN的发送方式安全性较差的问题。

第一方面，本申请实施例提供了一种参数发送方法，该方法可由终端设备或终端设备中的芯片执行，方法包括：终端设备在认证过程中，可以接收来自核心网设备的随机数和第一顺序值。示例性的，核心网设备可以是统一数据管理网元，该统一数据管理网元可以在终端设备的认证过程中向安全锚功能网元发送携带有随机数和第一顺序值的认证鉴权响应，之后，安全锚功能网元可以将随机数和第一顺序值携带在用户鉴权请求中发送给终端设备，其中，第一顺序值可以携带在认证令牌中；终端设备可以获取认证令牌中的第一顺序值，并确定所述第一顺序值超出正确的范围时(例如，对第一顺序值和本地预存的第二顺序值进行比较，在确定第一顺序值与本地预存的第二顺序值的差值大于阈值)，在将认证密钥和所述第二顺序值的异或值后连接消息认证码，生成同步失败参数，其中，认证密钥是终端设备根据第一参数和第一参考值生成的，第一参考值是根据第二参数和第三参数生成的，其中，第一参数、第二参数和第三参数分别为下列中的任一项：随机数、本地预存的密钥K、消息认证码；生成了同步失败参数之后，向核心网设备发送携带同步失败参数的同步失败消息，第一参数、第二参数和第三参数可以彼此不同，也就是说其中存在一个参数为消息认证码，第一参数、第二参数和第三参数中也可以存在相同的参数。