[发明专利]一种鉴权方法及通信装置

说明书

本发明实施例提供了一种鉴权方法及通信装置，该方法包括：数据管理网元向归属用户服务器发送鉴权向量获取请求，鉴权向量获取请求包括鉴权类型信息，归属用户服务器根据鉴权类型信息生成鉴权向量，将鉴权向量发送至数据管理网元。如此，数据管理网元可通过鉴权向量获取请求中的鉴权类型信息直接或间接地指示当前请求的鉴权向量的类型，例如可以是5G鉴权向量，以便归属用户服务器对其提供5G鉴权向量，支持数据管理网元完成5G鉴权，解决UDM与HSS分离部署，但鉴权数据保存在HSS，在对终端设备进行鉴权过程中，UDM和HSS的计算参数不一致的问题。同时也可以避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

技术领域

本申请涉及通信技术领域，尤其涉及一种鉴权方法及通信装置。

背景技术

在4G网络向5G网络的过渡过程中，可能会分离部署统一数据管理(unified datamanagement，UDM)和归属用户服务器(home subscriber server，HSS)，并由HSS实现用户的密钥存储和鉴权向量计算。在应用场景中，移动性管理实体(mobility managemententity，MME)和UDM分别会向HSS请求4G鉴权向量和5G鉴权向量，但目前的HSS无法区分请求的是哪种鉴权向量。HSS可能默认提供4G鉴权向量，这会导致UDM从HSS处获得4G鉴权向量，进而无法完成5G鉴权。

现有技术中采用服务化的方式来解决这一问题，要求对HSS进行服务化改造，以使HSS支持通过服务化接口与UDM通信，但对HSS的改动较大，复杂度高。

发明内容

本申请实施例提供一种鉴权方法及通信装置，用以解决在UDM与HSS分离部署的场景下，UDM无法完成5G鉴权的技术问题。

第一方面，本申请实施例提供一种鉴权方法，该方法可应用于数据管理网元，例如可以是UDM，相应的，归属用户服务器可以是HSS。该方法包括：数据管理网元向归属用户服务器发送鉴权向量获取请求，该鉴权向量获取请求包括鉴权类型信息，该鉴权类型信息用于指示请求的鉴权向量的类型；数据管理网元接收归属用户服务器发送的鉴权向量，鉴权向量是归属用户服务器根据鉴权类型信息生成的。

采用本申请实施例中的技术方案，数据管理网元可通过鉴权向量获取请求中的鉴权类型信息直接或间接地指示出当前请求的鉴权向量的类型，例如可以是5G鉴权向量，以便归属用户服务器对其提供5G鉴权向量，支持数据管理网元完成5G鉴权，解决UDM与HSS分离部署，但鉴权数据保存在HSS，在对终端设备进行鉴权过程中，UDM和HSS的计算参数不一致的问题。同时也可以避免需要对HSS进行服务化改造才能支持UDM进行5G鉴权的问题。

结合第一方面，在第一方面的第一种可能的设计中，鉴权向量包括第一期望响应XRES*、第一认证令牌AUTN、认证服务秘钥Kausf和随机数RAND。这样，HSS生成的5G鉴权向量能够支持UDM以5G AKA的方式完成5G鉴权，从而提高鉴权方法的适用性。

结合第一方面，在第一方面的第二种可能的设计中，鉴权向量包括第二期望响应XRES、第二认证令牌AUTN、第一加密秘钥CK、第一完整性秘钥IK和随机数RAND，该第二AUTN的鉴权管理域AMF指示位为设定值，例如可以被设置为1；此外，数据管理网元还可根据CK和IK，确定第二加密秘钥CK’和第二完整性秘钥IK’。可选的，数据管理网元可在接收到鉴权向量之后，确定CK’和IK’。这样，HSS生成的5G鉴权向量能够支持UDM以EAP-AKA’的方式完成5G鉴权，避免HSS生成5G鉴权向量的计算量过大，以及对HSS改动较大的问题，提高鉴权方法的适用性。