公开(公告)号：CN108809903A

公开(公告)日：2018-11-13

申请号：CN201710302161.X

申请日：2017-05-02

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  左敏 ,  庄小君 ,  彭晋

IPC: H04L29/06 ,  H04L9/32 ,  H04W12/02 ,  H04W12/06 ,  H04W12/12

CPC classification number: H04L63/0428 ,  H04L9/3271 ,  H04L63/062 ,  H04L63/0853 ,  H04L63/0876 ,  H04W12/02 ,  H04W12/06 ,  H04W12/12

Abstract: 本发明公开了一种认证方法、装置及系统，所述方法包括：接收网络侧设备发送的包括加密后的认证数据的认证请求；采用预先推导的加密密钥对加密后的认证数据进行解密，根据解密后的认证数据生成认证应答；采用预先推导的加密密钥对认证应答进行加密，向网络侧设备发送包括加密后的认证应答的认证响应。由于在本发明实施例中，UE根据预先推导的加密密钥对网络侧设备发送的加密后的认证数据进行解密，并根据预先推导的加密密钥对生成的认证应答进行加密，在认证过程中UE和网络侧设备传输加密后的认证数据和认证应答，避免了第三方恶意攻击者获取认证数据和认证应答对UE和网络侧设备进行关联攻击，保证了用户的信息安全，提高了用户体验。

公开(公告)号：CN107820239A

公开(公告)日：2018-03-20

申请号：CN201610818484.X

申请日：2016-09-12

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  左敏 ,  庄小君 ,  彭晋

IPC: H04W12/02 ,  H04W12/04 ,  H04L9/08 ,  H04L9/30 ,  H04L9/32

CPC classification number: H04W12/02 ,  H04L9/0869 ,  H04L9/3066 ,  H04L9/3228 ,  H04W12/04

Abstract: 本发明实施例公开了一种信息处理方法及装置，所述方法可包括：接收UE发送的附着请求；判断附着请求中是否有携带第一身份信息；当附着请求中未携带有第一身份信息时，基于公钥基础设施PKI的网络证书与UE进行密钥协商；接收UE利用协商得到的加密密钥加密的发送的第二身份信息；在本实施例中通过在附着请求触发密钥交互，可以减少第二身份信息因明文发送导致的泄漏，进而导致的信息安全性问题。且由于基于PKI的网络证书进行密钥协商，可以减少密钥协商过程中因篡改密钥协商内容导致的密钥泄露等不安全性问题，可以防御主动攻击；本发明实施例提供的优选方案，还可以用于解决长期密钥的泄露及运营网络间不安全链路导致的会话密钥泄露的问题。

公开(公告)号：CN108880813B

公开(公告)日：2021-07-16

申请号：CN201710316639.4

申请日：2017-05-08

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L9/30 ,  H04L9/32 ,  H04L29/06

Abstract: 本发明公开了一种附着流程的实现方法及装置，包括：第一网元接收UE发送的附着请求消息，计算所述第一网元的DH公钥，向第二网元发送签名请求消息，所述签名请求消息包括所述第一网元的DH公钥；接收所述第二网元发送的签名响应消息，所述签名响应消息包括被所述第二网元的私钥签名的第一网元的DH公钥；向所述UE发送身份请求消息，所述身份请求消息包括被所述第二网元的私钥签名的第一网元的DH公钥；如果所述UE使用所述第二网元的公钥对所述签名验证成功，则接收所述UE发送的身份响应消息，所述身份响应消息包括被加密密钥加密的所述UE的身份信息；基于自身的DH公钥计算所述加密密钥，基于所述加密密钥从所述身份响应消息中获取所述UE的身份信息。

公开(公告)号：CN109309566B

公开(公告)日：2021-06-08

申请号：CN201710633597.7

申请日：2017-07-28

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L9/08 ,  H04L9/32

Abstract: 本发明公开了一种认证方法、装置、系统、设备及存储介质，所述方法包括：AUSF设备接收包含随机数RAND、认证令牌AUTN、期望的响应和会话根密钥的认证矢量，并获取加密密钥，采用所述加密密钥对所述会话根密钥进行加密；向SEAF设备发送包括RAND、AUTN和加密后的会话根密钥的5G‑AIA消息，使SEAF设备将RAND、AUTN发送给UE，并根据UE返回的认证响应采用预设的算法确定解密密钥，对加密的会话根密钥进行解密；接收SEAF设备对加密后的会话根密钥解密成功后发送的5G‑AC消息，确定其完成对UE的认证。用以解决现有技术中存在会话根密钥明文传输，易被攻击者获取，影响用户通信安全的问题。

公开(公告)号：CN109309648B

公开(公告)日：2021-06-04

申请号：CN201710624654.5

申请日：2017-07-27

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L29/06 ,  H04L9/08

Abstract: 本发明涉及一种信息传输的方法和设备，用以解决现有技术中在对会话根密钥进行传输的方式存在安全隐患的问题。本发明实施例在进行会话根密钥传输时，AUSF在接收到终端验证成功消息后会确定加密会话根密钥，并将加密会话根密钥返回给SEAF，由SEAF进行解密得到会话根密钥。由于本发明实施例AUSF在接收到验证消息后产生加密会话根密钥，并将加密会话根密钥返回给SEAF，由SEAF进行解密得到会话根密钥，从而增加了会话根密钥进行传输时的安全性。

公开(公告)号：CN109586913A

公开(公告)日：2019-04-05

申请号：CN201710898720.8

申请日：2017-09-28

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  齐旻鹏 ,  李笑如

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明提供一种安全认证方法、安全认证装置、通信设备及存储介质。该方法包括：在采用迪菲赫尔曼DH协议生成会话密钥时，向终端发送会话密钥安全指示，所述会话密钥安全指示用于指示终端采用预设至少两个安全模式中的其中一安全模式生成会话密钥Ks。本发明所述方法通过预设至少两个安全模式，不同安全模式可以满足终端对DH密钥交换的不同安全性需求和会话密钥生成计算效率，并通过会话密钥安全指示发送至终端，能够解决现有技术的DH密钥交换无法满足终端的不同安全性需求和会话密钥生成计算效率的问题。

公开(公告)号：CN108696358A

公开(公告)日：2018-10-23

申请号：CN201710227192.3

申请日：2017-04-06

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 阎军智 ,  左敏 ,  刘福文

IPC: H04L9/32 ,  H04L29/06

CPC classification number: H04L9/00 ,  H04L9/32 ,  H04L29/06 ,  H04L9/3263 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明提供一种数字证书的管理方法、装置、计算机可读存储介质及服务终端。该方法包括：获取第二节点在区块链网络上发布的数字证书状态发布请求，其中第一节点和所述第二节点为所述区块链网络上的任意两个节点；对所述数字证书状态发布请求进行验证；当验证通过时，建立与所述数字证书状态对应的区块链信息，其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息；向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。本发明能够解决现有技术通过CA中心实现的数字证书系统，容易遭受攻击从而影响整个系统运行的问题。

公开(公告)号：CN108632037A

公开(公告)日：2018-10-09

申请号：CN201710161723.3

申请日：2017-03-17

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  阎军智 ,  杭小勇

IPC: H04L9/32

Abstract: 本发明实施例公开了一种公钥基础设施的公钥处理方法及装置，所述方法包括：获取公钥；确定所述公钥的状态标志；生成包括所述公钥及所述状态标志及账号标识的区块链证书；将所述区块链证书广播到区块链网络，其中，所述区块链证书，用于在通过所述区块链网络验证之后写入区块链的区块中。

公开(公告)号：CN108123917A

公开(公告)日：2018-06-05

申请号：CN201611072829.8

申请日：2016-11-29

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 庄小君 ,  齐旻鹏 ,  左敏

IPC: H04L29/06

Abstract: 本发明实施例提供一种物联网终端的认证凭证更新的方法及设备，方法包括：向拜访网络发送认证凭证更新请求，认证凭证更新请求至少包括：可插拔卡或者不可插拔卡的公钥；接收拜访网络发送的认证凭证更新响应，认证凭证更新响应至少包括：经过公钥加密的新的认证凭证、新的认证凭证的标识和用于物联网终端验证拜访网络的临时凭证；通过可插拔卡或者不可插拔卡的与公钥对应的私钥解密出新的认证凭证、新的认证凭证的标识和临时凭证；如果通过临时凭证对拜访网络验证的验证结果为验证通过，将新的认证凭证和新的认证凭证的标识绑定存储。

公开(公告)号：CN106899568A

公开(公告)日：2017-06-27

申请号：CN201610882485.0

申请日：2016-10-10

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 庄小君 ,  左敏

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/08 ,  H04L63/1441 ,  H04L67/12

Abstract: 本发明实施例提供一种物联网设备的认证凭证更新的方法及设备，所述物联网设备包括：存储有认证凭证的可插拔卡或者不可插拔卡，方法包括：向网络侧发送认证凭证更新请求，认证凭证更新请求至少包括：可插拔卡或者不可插拔卡产生的公钥；接收网络侧发送的认证凭证更新响应，认证凭证更新响应至少包括：经过公钥加密的新的认证凭证和新的认证凭证的标识，其中，新的认证凭证和新的认证凭证的标识是网络侧根据认证凭证更新请求为所述物联网设备分配的；通过可插拔卡或者不可插拔卡产生的私钥至少解密出新的认证凭证和新的认证凭证的标识；通过新的认证凭证更新之前存储的认证凭证。