[发明专利]一种实现主认证增强的安全USIM卡及终端的主认证方法

说明书

本发明公开了一种实现主认证增强的安全USIM卡及终端的主认证方法，包括：SUCI处理模块调用专用算法协处理器将当前激活的IMSI加密成密文，并通过终端发送给网络侧，使得网络侧向终端下发鉴权向量；主认证算法处理模块调用IMSI解析处理及替换模块动态更新IMSI，以及调动专用算法协处理器计算鉴权RES，并通过终端发送给网络侧，由网络侧确定鉴权是否通过。本发明采用密文SUCI替代明文SUPI，使得IMSI在空口上进行密文传输，保证用户的身份信息不被泄露，且SUCI的密钥存储、签名验签的处理过程在USIM卡中完成，具有更高的安全性和灵活性；在主认证过程中，IMSI是动态变化的，不容易被恶意跟踪，且主认证算法可依据应用场景及行业，采用不同的分组算法，便于区分不同的用户。

技术领域

本发明实施例涉及通信安全技术领域，尤其涉及一种实现主认证增强的安全USIM卡及终端的主认证方法。

背景技术

互联网技术的发展经历了从固定网、有线互联网、无线互联网，再到移动互联网的演进过程。由于移动互联网具有更高的便捷性，现已成为个人用户、企业用户重要的网络接入途径。

目前，不同的行业对于接入网络有不同的安全保密要求，部分企业更是有安全专网的要求。有线互联网、固定网虽然可以通过拉专线的方式另外单独建立一张专网来满足，但在这种方式下企业人员只有在有线专网覆盖的地方才能接入办公，灵活性很差，显然跟不上移动互联网发展的步伐。现有的2G、3G或4G移动网络，虽然可以对移动网络中传输的应用层数据进行加密，但实际上也并非严格意义上的专网，安全性不高；而且在4G网络中，在对想要接入4G网络的用户进行认证时，IMSI(International Mobile SubscriberIdentity，国际移动用户识别码)在空口中是明文传输的，存在泄漏用户隐私信息(如身份、位置、电话号码等)的风险。后来随着5G技术的推广应用，人们发现利用5G网络的切片技术可以为垂直行业在移动互联网中提供行业安全专网的支持，在鉴别认证、访问控制、隐私保护、密码技术和安全网络管理等方面能够满足行业特定的安全要求。然而即便在5G里面已经采用了对SUPI(SUbscription Permanent Identifier，签约永久标识符)进行加密获得SUCI(签约隐藏身份标识符)的方法来避免IMSI的空口明文传输，保证专网用户的身份信息在空口上不被泄露，但由于现有技术中SUCI算法的密钥及运算由终端软件来完成的，因此安全性和灵活性都较差。此外，现有技术中登网鉴权所用的主认证算法f1-f5固定采用AES算法，不可变更；IMSI也是固定不变的，比较容易被恶意跟踪。

发明内容

本发明提供一种实现主认证增强的安全USIM卡及终端的主认证方法，以解决现有技术的不足。

为实现上述目的，本发明提供以下的技术方案：

第一方面，本发明实施例提供一种实现主认证增强的安全USIM卡，包括SUCI处理模块、IMSI解析处理及替换模块、主认证算法处理模块以及专用算法协处理器；

所述SUCI处理模块用于在终端向网络侧发出注册请求后，读取当前激活的IMSI，并调用所述专用算法协处理器；

所述专用算法协处理器用于将当前激活的IMSI加密成密文；

所述SUCI处理模块还用于将包含所述密文的应答数据返回给所述终端(包括但不限于手机、平板电脑、物联网终端设备等)，通过所述终端发送给网络侧，使得所述网络侧向所述终端下发鉴权向量；

所述主认证算法处理模块用于在所述终端接收到所述鉴权向量后，调用所述IMSI解析处理及替换模块和所述专用算法协处理器；

所述IMSI解析处理及替换模块用于从所述鉴权向量中解析出新的IMSI，并将新的IMSI替换原IMSI成为当前激活的IMSI；

所述专用算法协处理器还用于根据终端所处行业或应用场景选取匹配的加密算法，并结合所述鉴权向量计算鉴权RES；