【专利解密】华为提出更安全可靠的5G通信认证机制

【嘉德点评】华为5G通信快速、低延时，但是对于信息传输安全也很重视，再5G即将来临的前夕，了解信息传输安全当然也是必要的。

集微网消息，随着移动通信的更新换代，信息传输速率飞速增长，第五代(5G)通信时代将有数以千亿计的物联网设备接入网络，与此同时，信息传输安全也显得十分重要。LTE(长期演进)认证和NAS（非接入层）安全协议通常是按顺序执行的，在此期间，用户设备和服务网络之间建立相互认证，并生成非接入层加密密钥。当使用传统的LTE认证协议时，未加密的IMSI（国际移动用户标识）从用户设备传送至接入点，由于IMSI是可被恶意的第三方利用以进行未授权活动的私人信息，所以产生了潜在的安全漏洞。

为了解决潜在信息传输安全漏洞，华为在一篇专利（专利号：CN108781366A）中提供了一种安全认证方法，用于5G技术中的安全认证，可以使用独立生成的完整性密钥和/或加密密钥，安全地传送在用户设备和各种网络侧设备之间交换的私人信息。

图1

图1所示为在无线网络中认证用户设备的一种通信序列的协议图。

具体步骤如下：

首先，MME（移动性管理实体）220向用户设备215传送标识请求410时，通信序列开始；

其次，用户设备215计算用户设备专用信息的哈希，生成MAC签名，然后对用户设备专用信息与MAC签名一起进行加密；用户设备215向基站210发送携带加密部分的初始认证请求消息，基站会210将初始认证请求消息中继到MME 220，然后MME 220识别用户设备的归属网络，并向归属用户服务器传 230送认证和数据请求消息430；在接收到认证和数据请求消息430时，HSS（归属用户服务器）230对加密部分进行解密，并基于MAC签名验证加密部分的完整性。

然后，在验证加密部分的完整性之后，HSS 230生成认证向量，并且向MME 220发送携带认证向量的认证和数据响应消息435；MME 220向用户设备215发送初始认证响应消息450。

最后，用户设备215可以使用非接入层加密算法以及独立生成的加密密钥对加密后的非接入层安全数据进行解密。解密之后，用户设备可以向MME 220发送安全和认证完成消息470。

在华为于这篇专利提出的相互认证和安全协商(MASA)协议中，用户设备和用户设备归属网络进行通信时，利用初始认证请求加密密钥对用户设备的专用信息进行加密，同时也对认证响应消息中的私人消息进行加密，保证了通信双方各类信息传送的安全性，优于传统的通信认证机制。

关键词：安全认证，加密，解密

专利号：CN108781366A

（校对/holly）

*此内容为集微网原创，著作权归集微网所有。未经集微网书面授权，不得以任何方式加以使用，包括转载、摘编、复制或建立镜像。