一种安全防护方法、装置及电子设备与流程

1.本技术涉及网络安全技术领域，尤其涉及一种安全防护方法、装置及电子设备。


背景技术：

2.用户端设备为了实现正常通信，需要通过入网注册将用户端设备接入主网络，入网注册的具体过程如下：
3.用户端设备与网络侧设备之间的架构连接示意图如图1所示，在图1中，用户端设备初始注册时，需要将用户标识符(英文全称：subscription permanent identifier，简称为：supi)加密成用户隐藏标识符(英文全称：subscription concealed identifier，简称为：suci)，并向网络侧设备发送初始注册请求至接入和移动性管理模块(英文全称：access and mobility management function，简称为：amf)，该amf将转发suci到用户认证安全授权模块(英文全称：authentication server function，简称为：ausf)和统一数据管理模块(英文全称：unified data management，简称为：udm)进行认证。
4.进一步，udm将suci解密，将获取到suci中的supi，再基于supi与用户端设备进行双向认证，认证成功后ausf向amf返回supi，amf根据supi生成一个5g全球唯一临时标识(英文全称：5g globally unique temporary identifier，简称为：5g-guti)，并保存映射关系，并通知ue注册完成。
5.在5g系统中，通常采用椭圆曲线集成加密方案(英文全称：elliptic curve integrated encryption scheme，简称为：ecies)将supi加密为suci，使得网络攻击者无法获取supi。
6.实际上，网络攻击者会通过多个不同的supi来检测用户端设备以及网络侧设备的响应，当检测到用户端设备回复身份认证成功的信息时，网络攻击者能够基于该身份认证成功的信息确定出该supi有效，同时，网络攻击者能够通过该身份认证成功的信息查询到关联的用户端设备，从而判断出该用户端设备为目标终端，从而对该目标终端进行追踪。
7.为了防止网络攻击者获取用户端设备的suci，采用用户端设备与网络侧设备分别派生出相同的加密密钥k1和完整性密钥k2，用k1加密supi以及用k2生成mac标签，网络攻击者可以在获取到网络公钥的同时，利用私钥结合网络公钥来加密推测supi，并将该私钥与虚假suci发送至网络侧，并基于网络侧的响应判断虚假supi是否正确，从而达到破解出真实的supi的目的，导致用户端设备的supi的安全性低。


技术实现要素：

8.本技术提供了一种安全防护方法及装置，通过确定出特征密钥、第二密钥以及第一验证标签用于注册认证，确保了网络攻击者无法基于终端设备或者网络侧设备的响应确定出supi，提高了终端设备与网络侧设备之间的入网注册的安全性。
9.第一方面，本技术提供了一种安全防护方法，所述方法包括：
10.网络侧设备接收终端设备发送的注册请求，其中，所述注册请求中包含所述终端
侧设备的用户标识符对应的随机数、密文值以及初始验证标签；
11.确定出第一密钥，基于所述随机数与根密钥生成特征密钥，以及基于所述特征密钥与所述第一密钥生成第二密钥；
12.基于所述第二密钥与所述密文值进行预设函数运算，计算出所述注册请求对应的第一验证标签；
13.响应于所述初始验证标签与所述第一验证标签一致，确定出所述注册请求对应的所述用户标识符。
14.在一种可能的设计中，所述确定出第一密钥，包括：
15.确定出网络私钥，以及确定出所述终端设备的终端公钥；
16.按照预设算法将所述网络私钥以及所述终端公钥结合，生成共享密钥；
17.基于所述共享密钥进行密钥派生，确定出第一密钥。
18.在一种可能的设计中，所述基于所述随机数与根密钥生成特征密钥，包括：
19.将所述根密钥与所述随机数输入预设密钥派生函数中，获得所述预设密钥派生函数的输出结果；
20.将所述输出结果作为特征密钥。
21.在一种可能的设计中，在计算出所述注册请求对应的第一验证标签之后，还包括：
22.响应于所述初始验证标签与所述第一验证标签不一致，不响应所述注册请求。
23.第二方面，本技术还提供了一种终端注册方法，所述方法包括：
24.获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥；
25.基于所述目标根密钥以及所述目标随机数生成目标特征密钥；
26.确定出目标第一密钥，基于所述目标第一密钥与所述目标特征密钥生成目标第二密钥，以及基于所述目标第二密钥对所述目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文；
27.将所述目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。
28.在一种可能的设计中，所述确定出目标第一密钥，包括：
29.确定出第一公钥与第一私钥，其中，所述第一公钥为网络侧设备的公钥，所述第一私钥为终端侧设备的私钥；
30.按照预设算法将所述第一公钥与所述第一私钥结合，确定出第一共享密钥；
31.基于预设派生函数对所述第一共享密钥进行派生，确定出目标第一密钥。
32.第三方面，本技术提供了一种安全防护装置，所述装置包括：
33.接收模块，用于网络侧设备接收终端设备发送的注册请求，其中，所述注册请求中包含所述终端侧设备的用户标识符对应的随机数、密文值以及初始验证标签；
34.确定模块，用于确定出第一密钥，基于所述随机数与根密钥生成特征密钥，以及基于所述特征密钥与所述第一密钥生成第二密钥；
35.计算模块，用于基于所述第二密钥与所述密文值进行预设函数运算，计算出所述注册请求对应的第一验证标签；
36.响应模块，用于响应于所述初始验证标签与所述第一验证标签一致，确定出所述注册请求对应的所述用户标识符。
37.在一种可能的设计中，所述确定模块，具体用于确定出网络私钥，以及确定出所述终端设备的终端公钥，按照预设算法将所述网络私钥以及所述终端公钥结合，生成共享密钥，基于所述共享密钥进行密钥派生，确定出第一密钥。
38.在一种可能的设计中，所述确定模块，还用于将所述根密钥与所述随机数输入预设密钥派生函数中，获得所述预设密钥派生函数的输出结果，将所述输出结果作为特征密钥。
39.在一种可能的设计中，所述响应模块，具体用于响应于所述初始验证标签与所述第一验证标签不一致，不响应所述注册请求。
40.第四方面，本技术提供了一种终端注册装置，所述装置包括：
41.获得模块，用于获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥；
42.生成模块，用于基于所述目标根密钥以及所述目标随机数生成目标特征密钥；
43.标签模块，用于确定出目标第一密钥，基于所述目标第一密钥与所述目标特征密钥生成目标第二密钥，以及基于所述目标第二密钥对所述目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文；
44.发送模块，用于将所述目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。
45.在一种可能的设计中，所述标签模块，具体用于确定出第一公钥与第一私钥，按照预设算法将所述第一公钥与所述第一私钥结合，确定出第一共享密钥，基于预设派生函数对所述第一共享密钥进行派生，确定出目标第一密钥。
46.第五方面，本技术提供了一种电子设备，包括：
47.存储器，用于存放计算机程序；
48.处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种安全防护方法步骤。
49.第六方面，本技术提供了一种电子设备，包括：
50.存储器，用于存放计算机程序；
51.处理器，用于执行所述存储器上所存放的计算机程序时，实现上述的一种终端注册方法步骤。
52.第七方面，一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种安全防护方法步骤。
53.第八方面，一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的一种终端注册方法步骤。
54.上述第一方面至第八方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明，这里不再重复赘述。
附图说明
55.图1为本技术提供的用户端设备与网络侧设备之间的架构连接示意图；
56.图2为本技术提供的一种安全防护方法步骤的流程图；
57.图3为本技术提供的一种终端注册方法步骤的流程图；
58.图4为本技术提供的一种安全防护装置的结构示意图；
59.图5为本技术提供的一种终端注册装置的结构示意图；
60.图6为本技术提供的一种电子设备的结构示意图。
具体实施方式
61.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。需要说明的是，在本技术的描述中“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。a与b连接，可以表示：a与b直接连接和a与b通过c连接这两种情况。另外，在本技术的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序。
62.在以往的技术中，终端设备通过向网络侧设备发送注册请求，用以实现正常通信的目的，通常，采用椭圆曲线集成加密方案将终端设备的supi加密为suci，并将suci发送至网络设备，但是，网络攻击者能够通过获取网络公钥，再利用私钥结合网络公钥来加密推测supi，并将该私钥与虚假suci发送至网络侧，并基于网络侧的响应判断虚假supi是否正确，从而达到破解出真实的supi的目的，导致用户端设备的supi的安全性低。
63.为了解决上述描述的问题，本技术实施例提供了一种安全防护方法，用以防止supi的暴力破解问题，避免网络攻击者利用ecies来伪造suci发送至网络侧设备，从而破解出真实的supi，导致用户端设备的supi的安全性低。其中，本技术实施例所述方法和装置基于同一技术构思，由于方法及装置所解决问题的原理相似，因此装置与方法的实施例可以相互参见，重复之处不再赘述。
64.下面结合附图，对本技术实施例进行详细描述。
65.实施例一：
66.参照图2，本技术提供了一种安全防护方法，该方法可以避免网络攻击着破解出终端设备真实的supi，从而提高了终端设备的安全性，该方法的实现流程如下：
67.步骤s21：网络侧设备接收终端设备发送的注册请求。
68.由于终端设备在接入网络侧之前会基于注册请求接入网络侧，网络侧设备会接收到来自于终端设备发送的注册请求，该注册请求中包含终端侧设备的用户标识符对应的随机数、密文值以及初始验证标签，终端设备可以为智能手机，用户标识符可以为智能手机的supi。
69.步骤s22：确定出第一密钥，基于随机数与根密钥生成特征密钥，以及基于特征密钥与第一密钥生成第二密钥。
70.网络侧设备获得终端设备的注册请求之后，网络侧设备需要确定出网络私钥，以及确定出终端设备对应的终端公钥，采用预设算法将网络私钥与终端公钥进行结合，生成共享密钥，再由共享密钥进行密钥派生，得到派生出的解密密钥以及第一密钥，该解密密钥用于将suci解密为supi，该预设算法可以为椭圆曲线的非对称算法，由于非对称算法为本领域人员公知的技术，因此，这里不作详细阐述。
71.进一步，密钥派生的方法可以为3gpp协议中的密钥派生算法，由于基于密钥派生算法为本领域技术人员公知的技术，因此，这里也不作详细阐述。
72.为了确保终端设备的安全性，将随机数与根密钥输入预设密钥派生函数中进行结合，获得输出结果，将输出结果作为特征密钥，再基于密钥派生算法将第一密钥与特征密钥进行结合，生成第二密钥。
73.通过上述的方法，基于根密钥与随机数生成特征密钥，以及基于第一密钥与特征密钥生成第二密钥，避免了网络攻击者利用公钥密码机制对supi进行暴力破解，提高了终端设备与网络侧设备之间的链接信息的安全性。
74.步骤s23：基于第二密钥与密文值进行预设函数运算，计算出注册请求对应的第一验证标签。
75.为了防止网络攻击者利用公钥密码机制推测出supi，网络侧设备需要对终端设备发送的注册请求进行验证，网络侧设备将基于第二密钥以及终端设备发送的注册请求中的密文值进行哈希函数(英文全称：message authentication codes，简称为：mac)运算，并将运算所得的结果作为第一验证标签。
76.通过上述的方法，在由特征密钥派生出第二密钥后，生成第一验证标签，避免了基于共享密钥生成第一验证标签，使得网络攻击者无法基于公钥机制推测出supi，有利于网络侧设备基于第一验证标签对终端设备的注册请求进行验证。
77.步骤s24：响应于初始验证标签与第一验证标签一致，确定出注册请求对应的用户标识符。
78.获得第一验证标签之后，网络侧设备需要确认注册请求中的初始验证标签是否与第一验证标签一致，若初始验证标签与第一验证标签一致，则使用解密密钥对注册请求对应的密文进行解密，得到用户标识符，该用户标识符与注册请求中的用户标识符相同；若初始验证标签与第一验证标签不一致，则网络侧设备确定出验证不通过。
79.比如：第一密钥可以为ecies存储的mac密钥，第二密钥可以为第二mac密钥，初始验证标签可以为mac-xtag。
80.基于上述描述的方法，确定出包含根密钥的特征密钥，以及确定出第二密钥并生成第一验证标签，使得网络攻击者无法基于终端设备或者网络侧设备推测出supi，通过初始验证标签与第一验证标签的对比，提高了网络侧设备的验证准确率，从而提高了终端设备入网注册的安全性。
81.实施例二：
82.参照图3，本技术提供了一种终端注册方法，该方法可以提高终端设备在接入网络侧设备过程中的安全性，该方法的实现流程如下：
83.由于终端设备在接入网络侧设备之前，需要发送注册请求，具体生成注册请求的过程如下：
84.步骤s31：获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥。
85.终端设备需要先从全球用户卡中读取出目标根密钥、随机数生成器生成的目标随机数，以及目标终端公钥。
86.步骤s32：基于目标根密钥以及目标随机数生成目标特征密钥。
87.基于密钥派生算法将目标根密钥以及目标随机数进行结合，生成目标特征密钥。
88.步骤s33：确定出目标第一密钥，基于目标第一密钥与目标特征密钥生成目标第二密钥，以及基于目标第二密钥对目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文。
89.终端需要确定出第一公钥与第一私钥，该第一公钥为网络侧设备的公钥，该第一私钥为终端的私钥，再基于预设算法将第一私钥与第一公钥进行结合，该预设算法可以为椭圆曲线的非对称算法，确定出终端设备与网络侧设备对应的第一共享密钥，由预设派生函数对第一共享密钥进行派生，派生得到加密密钥以及目标第一密钥，该加密密钥用于对终端数据进行加密。
90.确定出第一密钥之后，需要基于密钥派生算法将目标第一密钥与目标特征密钥进行结合，生成目标第二密钥，再基于目标第二密钥对目标密文进行预设函数运算，生成目标验证标签，该预设函数运算可以为mac运算，该目标密文为将终端的用户识别号码进行加密得到的密文，比如：对supi中的移动用户的识别号码(英文全称：mobile subscriber identification number，简称为：msin)加密得到的msin密文。
91.通过上述的方法，确定出具备防伪造功能的目标验证标签，使得网络攻击者无法基于终端设备的响应推测supi，从而提高了终端设备入网注册的安全性。
92.步骤s34：将目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。
93.基于上述的描述，终端设备将目标终端公钥、目标密文、目标验证标签以及目标随机数放入目标注册请求中，再将目标注册请求发送至网络侧设备，从而实现终端设备的入网注册。
94.需要进行说明的是，目标注册请求中包含suci，suci包括：supi类型、网络侧设备标识、路由标识、网络侧设备公钥标识等，这里不一一列举。
95.通过上述的描述，终端设备生成目标特征密钥、目标第二密钥以及目标验证标签，确保了目标特征密钥的唯一性，使得网络攻击者无法基于终端设备的响应推测出supi，提高了终端设备入网注册的安全性。
96.基于同一发明构思，本技术实施例中还提供了一种安全防护装置，该安全防护装置用于实现了一种安全防护方法的功能，参照图4，所述装置包括：
97.接收模块401，用于网络侧设备接收终端设备发送的注册请求，其中，所述注册请求中包含所述终端侧设备的用户标识符对应的随机数、密文值以及初始验证标签；
98.确定模块402，用于确定出第一密钥，基于所述随机数与根密钥生成特征密钥，以及基于所述特征密钥与所述第一密钥生成第二密钥；
99.计算模块403，用于基于所述第二密钥与所述密文值进行预设函数运算，计算出所述注册请求对应的第一验证标签；
100.响应模块404，用于响应于所述初始验证标签与所述第一验证标签一致，确定出所述注册请求对应的所述用户标识符。
101.在一种可能的设计中，所述确定模块402，具体用于确定出网络私钥，以及确定出所述终端设备的终端公钥，按照预设算法将所述网络私钥以及所述终端公钥结合，生成共享密钥，基于所述共享密钥进行密钥派生，确定出第一密钥。
102.在一种可能的设计中，所述确定模块402，还用于将所述根密钥与所述随机数输入
预设密钥派生函数中，获得所述预设密钥派生函数的输出结果，将所述输出结果作为特征密钥。
103.在一种可能的设计中，所述响应模块404，具体用于响应于所述初始验证标签与所述第一验证标签不一致，不响应所述注册请求。
104.基于同一发明构思，本技术实施例中还提供了一种终端注册装置，该终端注册装置用于实现了一种终端注册方法的功能，参照图5，所述装置包括：
105.获得模块501，用于获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥；
106.生成模块502，用于基于所述目标根密钥以及所述目标随机数生成目标特征密钥；
107.标签模块503，用于确定出目标第一密钥，基于所述目标第一密钥与所述目标特征密钥生成目标第二密钥，以及基于所述目标第二密钥对所述目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文；
108.发送模块504，用于将所述目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。
109.在一种可能的设计中，所述标签模块503，具体用于确定出第一公钥与第一私钥，按照预设算法将所述第一公钥与所述第一私钥结合，确定出第一共享密钥，基于预设派生函数对所述第一共享密钥进行派生，确定出目标第一密钥。
110.基于同一发明构思，本技术实施例中还提供了一种电子设备，所述电子设备可以实现前述一种安全防护装置以及一种终端注册装置的功能，参考图6，所述电子设备包括：
111.至少一个处理器601，以及与至少一个处理器601连接的存储器602，本技术实施例中不限定处理器601与存储器602之间的具体连接介质，图6中是以处理器601和存储器602之间通过总线600连接为例。总线600在图6中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线600可以分为地址总线、数据总线、控制总线等，为便于表示，图6中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。或者，处理器601也可以称为控制器，对于名称不做限制。
112.在本技术实施例中，存储器602存储有可被至少一个处理器601执行的指令，至少一个处理器601通过执行存储器602存储的指令，可以执行前文论述的一种安全防护方法。处理器601可以实现图4以及图5所示的装置中各个模块的功能。
113.其中，处理器601是该装置的控制中心，可以利用各种接口和线路连接整个该控制设备的各个部分，通过运行或执行存储在存储器602内的指令以及调用存储在存储器602内的数据，该装置的各种功能和处理数据，从而对该装置进行整体监控。
114.在一种可能的设计中，处理器601可包括一个或多个处理单元，处理器601可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器601中。在一些实施例中，处理器601和存储器602可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。
115.处理器601可以是通用处理器，例如中央处理器(cpu)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件
组件，可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的一种安全防护方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
116.存储器602作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器602可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(random access memory，ram)、静态随机访问存储器(static random access memory，sram)、可编程只读存储器(programmable read only memory，prom)、只读存储器(read only memory，rom)、带电可擦除可编程只读存储器(electrically erasable programmable read-only memory，eeprom)、磁性存储器、磁盘、光盘等等。存储器602是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本技术实施例中的存储器602还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。
117.通过对处理器601进行设计编程，可以将前述实施例中介绍的一种安全防护方法以及一种终端注册方法所对应的代码固化到芯片内，从而使芯片在运行时能够执行图2所示的实施例的一种安全防护步骤以及图3所示的实施例的一种终端注册步骤。如何对处理器601进行设计编程为本领域技术人员所公知的技术，这里不再赘述。
118.基于同一发明构思，本技术实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行前文论述的一种安全防护方法以及一种终端注册方法。
119.在一些可能的实施方式中，本技术提供一种安全防护方法以及一种终端注册方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在装置上运行时，程序代码用于使该控制设备执行本说明书上述描述的根据本技术各种示例性实施方式的一种安全防护方法以及一种终端注册方法中的步骤。
120.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
121.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
122.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或
多个方框中指定的功能。
123.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
124.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种安全防护方法，其特征在于，包括：网络侧设备接收终端设备发送的注册请求，其中，所述注册请求中包含所述终端侧设备的用户标识符对应的随机数、密文值以及初始验证标签；确定出第一密钥，基于所述随机数与根密钥生成特征密钥，以及基于所述特征密钥与所述第一密钥生成第二密钥；基于所述第二密钥与所述密文值进行预设函数运算，计算出所述注册请求对应的第一验证标签；响应于所述初始验证标签与所述第一验证标签一致，确定出所述注册请求对应的所述用户标识符。2.如权利要求1所述的方法，其特征在于，所述确定出第一密钥，包括：确定出网络私钥，以及确定出所述终端设备的终端公钥；按照预设算法将所述网络私钥以及所述终端公钥结合，生成共享密钥；基于所述共享密钥进行密钥派生，确定出第一密钥。3.如权利要求1所述的方法，其特征在于，所述基于所述随机数与根密钥生成特征密钥，包括：将所述根密钥与所述随机数输入预设密钥派生函数中，获得所述预设密钥派生函数的输出结果；将所述输出结果作为特征密钥。4.如权利要求1所述的方法，其特征在于，在计算出所述注册请求对应的第一验证标签之后，还包括：响应于所述初始验证标签与所述第一验证标签不一致，不响应所述注册请求。5.一种终端注册方法，其特征在于，包括：获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥；基于所述目标根密钥以及所述目标随机数生成目标特征密钥；确定出目标第一密钥，基于所述目标第一密钥与所述目标特征密钥生成目标第二密钥，以及基于所述目标第二密钥对所述目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文；将所述目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。6.如权利要求5所述的方法，其特征在于，所述确定出目标第一密钥，包括：确定出第一公钥与第一私钥，其中，所述第一公钥为网络侧设备的公钥，所述第一私钥为终端侧设备的私钥；按照预设算法将所述第一公钥与所述第一私钥结合，确定出第一共享密钥；基于预设派生函数对所述第一共享密钥进行派生，确定出目标第一密钥。7.一种安全防护装置，其特征在于，包括：接收模块，用于网络侧设备接收终端设备发送的注册请求，其中，所述注册请求中包含所述终端侧设备的用户标识符对应的随机数、密文值以及初始验证标签；确定模块，用于确定出第一密钥，基于所述随机数与根密钥生成特征密钥，以及基于所述特征密钥与所述第一密钥生成第二密钥；
计算模块，用于基于所述第二密钥与所述密文值进行预设函数运算，计算出所述注册请求对应的第一验证标签；响应模块，用于响应于所述初始验证标签与所述第一验证标签一致，确定出所述注册请求对应的所述用户标识符。8.一种终端注册装置，其特征在于，包括：获得模块，用于获得终端用户对应的目标根密钥、目标随机数以及目标终端公钥；生成模块，用于基于所述目标根密钥以及所述目标随机数生成目标特征密钥；标签模块，用于确定出目标第一密钥，基于所述目标第一密钥与所述目标特征密钥生成目标第二密钥，以及基于所述目标第二密钥对所述目标密文进行预设函数运算，确定出目标验证标签，其中，所述目标密文为将所述终端的用户识别号码进行加密得到的密文；发送模块，用于将所述目标终端公钥、目标密文、目标验证标签以及目标随机数置入目标注册请求中，并将所述目标注册请求发送至网络侧设备。9.一种电子设备，其特征在于，包括：存储器，用于存放计算机程序；处理器，用于执行所述存储器上所存放的计算机程序时，实现权利要求1-5和6-7任一项所述的方法步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-5和6-7任一项所述的方法步骤。

技术总结
一种安全防护方法、装置及电子设备，该方法包括：网络侧设备接收终端设备发送的注册请求，确定出第一密钥，基于随机数与根密钥生成特征密钥，以及基于特征密钥与第一密钥生成第二密钥，基于第二密钥与密文值进行预设函数运算，计算出注册请求对应的第一验证标签，响应于初始验证标签与第一验证标签一致，确定出注册请求对应的用户标识符。通过上述的方法，基于终端设备的根密钥与随机数生成特征密钥，再在特征密钥的基础上确定出第二密钥，并计算出第一验证标签用于注册认证，确保了网络攻击者无法基于终端设备或者网络侧设备的响应确定出SUPI，提高了终端设备与网络侧设备之间的入网注册的安全性。网注册的安全性。网注册的安全性。


技术研发人员：张越 王锦华 黄铖斌
受保护的技术使用者：中国电信股份有限公司
技术研发日：2023.07.06
技术公布日：2023/9/7