一种同步攻击防护方法及相应的鉴权方法

摘要

本发明公开了一种同步攻击防护方法，应用于3G网络中终端与网络间的鉴权，该方法包括，终端向网络发送再同步请求命令时，附上再同步标记以及鉴权响应；网络侧在接收到所述再同步请求命令时，由MSC/VLR先根据所述鉴权响应判断所述再同步请求命令的合法性，如果不合法则直接判断出所述再同步请求命令来自非法用户，否则，MSC/VLR将再同步请求命令发送给网络侧HLR/AUC，HLR/AUC对所述再同步请求命令进行完整性验证。因此，网络侧接收到来自非法用户的再同步请求命令时，MSC/VLR根据所述鉴权响应即可判断出，而不必再耗费HLR/AUC的资源对来自非法用户的再同步请求命令进行完整性验证，进而达到避免非法用户利用再同步请求命令攻击网络的效果。

主权项

1.一种同步攻击防护方法，应用于3G网络中终端与网络间的鉴权，其特征在于，所述方法至少包括以下步骤：a.HLR/AUC产生随机数RAND，根据随机数、第二鉴权密钥产生期望响应XRES，加密密钥CK、完整性密钥IK，并根据随机数、鉴权密钥、鉴权管理域AMF和第二序列号SQNHE生成消息鉴权编码MAC-A，根据第二序列号、鉴权管理域和消息鉴权编码产生鉴权标记AUTN，将所述随机数、期望响应，加密密钥、完整性密钥和鉴权标记作为鉴权五元组发送给MSC/VLR；b.MSC/VLR将所述随机数、鉴权标记发送给终端；c.终端根据第一鉴权密钥和接收到的随机数、接收到的AUTN中的第二序列号以及鉴权管理域对接收到的AUTN中的消息鉴权编码进行一致性验证，并在验证通过后，根据第一鉴权密钥和所述随机数生成鉴权响应ARES；d.终端根据第一序列号SQNMS判断第二序列号是否可以接受，并在第二序列号不可接收时，根据第一鉴权密钥、第一序列号，接收的AUTN中的AMF和所述随机数生成同步鉴权编码MAC-S，根据MAC-S和SQNMS产生同步标记AUTS，对MSC/VLR发送同步请求消息且附上所述同步标记以及所述鉴权响应的校验码；e.MSC/VLR在接收到所述同步请求消息时，根据期望响应判断所述鉴权响应的校验码的合法性，如果不合法则判断出所述再同请求消息非法并结束相关处理；否则，MSC/VLR向HLR/AUC发送同步请求消息，并附上所述同步标记和对应鉴权五元组中的随机数；f.HLR/AUC根据第二鉴权密钥判断所述同步请求消息的完整性，并根据所述同步请求消息的完整性作相关处理。