公开(公告)号：CN107820239B

公开(公告)日：2021-11-19

申请号：CN201610818484.X

申请日：2016-09-12

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  左敏 ,  庄小君 ,  彭晋

IPC: H04W12/03 ,  H04W12/0431 ,  H04L9/08 ,  H04L9/30 ,  H04L9/32

Abstract: 本发明实施例公开了一种信息处理方法及装置，所述方法可包括：接收UE发送的附着请求；判断附着请求中是否有携带第一身份信息；当附着请求中未携带有第一身份信息时，基于公钥基础设施PKI的网络证书与UE进行密钥协商；接收UE利用协商得到的加密密钥加密的发送的第二身份信息；在本实施例中通过在附着请求触发密钥交互，可以减少第二身份信息因明文发送导致的泄漏，进而导致的信息安全性问题。且由于基于PKI的网络证书进行密钥协商，可以减少密钥协商过程中因篡改密钥协商内容导致的密钥泄露等不安全性问题，可以防御主动攻击；本发明实施例提供的优选方案，还可以用于解决长期密钥的泄露及运营网络间不安全链路导致的会话密钥泄露的问题。

公开(公告)号：CN108696358B

公开(公告)日：2021-05-04

申请号：CN201710227192.3

申请日：2017-04-06

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 阎军智 ,  左敏 ,  刘福文

IPC: H04L9/32 ,  H04L29/06

Abstract: 本发明提供一种数字证书的管理方法、装置、计算机可读存储介质及服务终端。该方法包括：获取第二节点在区块链网络上发布的数字证书状态发布请求，其中第一节点和所述第二节点为所述区块链网络上的任意两个节点；对所述数字证书状态发布请求进行验证；当验证通过时，建立与所述数字证书状态对应的区块链信息，其中所述区块链信息中记录所述数字证书状态发布请求所发布数字证书的摘要信息和所发布数字证书的状态信息；向所述区块链网络上除所述第一节点外的其他节点发布所述区块链信息。本发明能够解决现有技术通过CA中心实现的数字证书系统，容易遭受攻击从而影响整个系统运行的问题。

公开(公告)号：CN106899410B

公开(公告)日：2019-06-25

申请号：CN201610822337.X

申请日：2016-09-13

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 庄小君 ,  左敏 ,  刘福文 ,  彭晋

IPC: H04L9/32 ,  H04L29/06 ,  H04W12/06

CPC classification number: H04L9/3226 ,  H04L9/3247 ,  H04L9/3271 ,  H04L63/0442 ,  H04L63/0876 ,  H04W12/06

Abstract: 本申请涉及网络与信息安全领域，尤其涉及一种设备身份认证的方法及装置，用以解决现有技术中在进行设备身份认证时网络侧无法确认移动设备上报的IMEI是否为未被篡改过的IMEI的问题；本申请实施例提供的方法包括：用户设备UE接收认证中心发送的设备身份认证请求；向所述认证中心发送设备身份认证响应消息，所述设备身份认证响应消息中携带有所述UE的设备身份标识信息以及利用设备私钥生成的设备身份标识的数字签名，以使所述认证中心基于与所述设备身份标识信息具有绑定关系的设备公钥，验证所述数字签名。

公开(公告)号：CN106888092A

公开(公告)日：2017-06-23

申请号：CN201610818481.6

申请日：2016-09-12

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  左敏 ,  庄小君 ,  彭晋

IPC: H04L9/32 ,  H04L9/08 ,  H04W8/26 ,  H04W12/02 ,  H04W12/04

CPC classification number: H04L9/32 ,  H04L9/3273 ,  H04L9/0838 ,  H04L9/3236 ,  H04W8/26 ,  H04W12/02 ,  H04W12/04

Abstract: 本发明实施例公开了一种信息处理方法及装置，所述方法可包括：接收用户设备UE发送的附着请求；判断附着请求中是否有携带第一身份信息；当附着请求中未携带有第一身份信息时，与UE进行密钥协商；其中，密钥协商用于获得对UE的第二身份信息加密的加密密钥；接收UE利用加密密钥加密的发送的第二身份信息；利用加密密钥解密第二身份信息；其中，第二身份信息用于为UE分配第一身份信息，通过在附着请求触发密钥交互，避免第二身份信息的明文发送给网络侧，可以减少第二身份信息因明文发送导致的泄漏的问题。于此同时，本发明实施例提供的优选方案，还可以用于解决长期密钥的泄露及运营网络间不安全链路导致的会话密钥泄露的问题。

公开(公告)号：CN109309648A

公开(公告)日：2019-02-05

申请号：CN201710624654.5

申请日：2017-07-27

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L29/06 ,  H04L9/08

Abstract: 本发明涉及一种信息传输的方法和设备，用以解决现有技术中在对会话根密钥进行传输的方式存在安全隐患的问题。本发明实施例在进行会话根密钥传输时，AUSF在接收到终端验证成功消息后会确定加密会话根密钥，并将加密会话根密钥返回给SEAF，由SEAF进行解密得到会话根密钥。由于本发明实施例AUSF在接收到验证消息后产生加密会话根密钥，并将加密会话根密钥返回给SEAF，由SEAF进行解密得到会话根密钥，从而增加了会话根密钥进行传输时的安全性。

公开(公告)号：CN109309566A

公开(公告)日：2019-02-05

申请号：CN201710633597.7

申请日：2017-07-28

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L9/08 ,  H04L9/32

Abstract: 本发明公开了一种认证方法、装置、系统、设备及存储介质，所述方法包括：AUSF设备接收包含随机数RAND、认证令牌AUTN、期望的响应和会话根密钥的认证矢量，并获取加密密钥，采用所述加密密钥对所述会话根密钥进行加密；向SEAF设备发送包括RAND、AUTN和加密后的会话根密钥的5G-AIA消息，使SEAF设备将RAND、AUTN发送给UE，并根据UE返回的认证响应采用预设的算法确定解密密钥，对加密的会话根密钥进行解密；接收SEAF设备对加密后的会话根密钥解密成功后发送的5G-AC消息，确定其完成对UE的认证。用以解决现有技术中存在会话根密钥明文传输，易被攻击者获取，影响用户通信安全的问题。

公开(公告)号：CN109309565A

公开(公告)日：2019-02-05

申请号：CN201710632863.4

申请日：2017-07-28

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  左敏

IPC: H04L9/08 ,  H04L9/32 ,  H04L29/06

Abstract: 本申请实施例中公开了一种安全认证的方法及装置，该方法为基于传输的口令认证消息，与服务器进行口令认证，获得口令认证结果；确定所述口令认证结果表征口令认证成功时，向所述服务器发送请求认证消息；通过服务器对所有的交互消息进行数字签名，客户端进行数字签名验证的方式，或者，通过客户端对本地的随机数、所有交互消息进行公钥加密，并对服务器返回的随机数进行验证的方式，进行安全认证，这样，就可以通过将口令认证与数字签名相结合，或者，将口令认证与公钥加密相结合的方式，保证了通信双方的身份的正确性，避免了通信过程中的消息泄露以及恶意信息篡改等网络攻击，提高了网络认证的可靠度，保障了用户的通信安全。

公开(公告)号：CN108880813A

公开(公告)日：2018-11-23

申请号：CN201710316639.4

申请日：2017-05-08

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 刘福文 ,  彭晋 ,  左敏 ,  庄小君

IPC: H04L9/30 ,  H04L9/32 ,  H04L29/06

Abstract: 本发明公开了一种附着流程的实现方法及装置，包括：第一网元接收UE发送的附着请求消息，计算所述第一网元的DH公钥，向第二网元发送签名请求消息，所述签名请求消息包括所述第一网元的DH公钥；接收所述第二网元发送的签名响应消息，所述签名响应消息包括被所述第二网元的私钥签名的第一网元的DH公钥；向所述UE发送身份请求消息，所述身份请求消息包括被所述第二网元的私钥签名的第一网元的DH公钥；如果所述UE使用所述第二网元的公钥对所述签名验证成功，则接收所述UE发送的身份响应消息，所述身份响应消息包括被加密密钥加密的所述UE的身份信息；基于自身的DH公钥计算所述加密密钥，基于所述加密密钥从所述身份响应消息中获取所述UE的身份信息。

公开(公告)号：CN108696348A

公开(公告)日：2018-10-23

申请号：CN201710220298.0

申请日：2017-04-06

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 左敏 ,  刘福文 ,  阎军智

IPC: H04L9/08 ,  H04L9/32 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L9/08 ,  H04L9/32 ,  H04L29/06 ,  H04L29/08 ,  H04L9/0825 ,  H04L9/3268 ,  H04L63/0823 ,  H04L67/104

Abstract: 本发明提供一种实现CA互信的方法、装置、系统和电子设备，涉及通信技术领域，用以提高实现CA互信的灵活性。本发明的实现CA互信的方法包括：为证书请求方分配待签发实体证书；向所述系统中的其他CA实体请求对所述待签发实体证书进行共识；若确定所述其他CA实体对所述待签发实体证书的认证通过，则向所述证书请求方签发所述待签发实体证书，在所述待签发实体证书中包括区块链认证标记，其中所述区块链认证标记为所述区块链系统的标识；更新存储的区块链记录。利用本发明实施例的方案，提高了实现CA互信的灵活性。

公开(公告)号：CN107820242A

公开(公告)日：2018-03-20

申请号：CN201610826988.6

申请日：2016-09-14

Applicant: 中国移动通信有限公司研究院 ,  中国移动通信集团公司

Inventor： 庄小君 ,  刘福文 ,  左敏

IPC: H04W12/04 ,  H04W12/06 ,  H04W12/10 ,  H04W28/18

CPC classification number: H04W12/04 ,  H04W12/06 ,  H04W12/10 ,  H04W28/18

Abstract: 本申请涉及通信业务领域，尤其涉及一种认证机制的协商方法及装置，用以解决用户设备在接入多个网络分片时或者使用不同的接入技术接入5G网络时如何根据业务需求去选择认证机制来进行接入认证的问题；本申请实施例提供的方法包括：用户设备UE向认证中心发送认证机制协商请求消息，所述认证机制协商请求消息中携带有所述UE支持的认证机制标识信息和所述UE的业务类型标识信息；接收所述认证中心发送的认证机制协商响应消息，所述认证机制协商响应消息中携带有所述认证中心基于所述UE支持的认证机制标识信息、所述UE的业务类型标识信息以及所述认证中心支持的认证机制确定出的用于对所述UE进行接入认证的认证机制。