[发明专利]一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统

权利要求书

1.一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，包括：

网络侧的改造：网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从所述标准UDM或HSS中解耦并剥离出来，被剥离后的所述标准UDM或HSS形成定制UDM或HSS；在所述定制UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体，形成鉴权向量产生单元；一个所述定制UDM或HSS能够通过所述调用接口对接多个所述鉴权向量产生单元，使同一UDM或HSS网元同时服务于多个行业用户；

终端侧的改造：终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合所述网络侧的改造完成认证鉴权的对等变化。

2.根据权利要求1所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述定制UDM或HSS与所述鉴权向量产生单元的具有协同工作机制：

所述定制UDM或HSS根据终端附着请求中携带的SIM卡SUPI或IMSI信息，查阅本地存储的SUPI或IMSI对应的签约信息，按照所述SUPI或IMSI属于的行业用户，选择相应的鉴权向量产生单元；所述定制UDM或HSS通过统一的标准化调用接口，控制所述鉴权向量产生单元使用所述行业用户的密码算法进行鉴权密码相关的运算并取得鉴权向量。

3.根据权利要求1所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，改造后的网络侧和终端侧具有协同工作机制：

所述鉴权向量产生单元使用行业用户选择的算法产生的鉴权向量，在根密钥K确定的情况下，按3GPP MILENAGE算法框架产生的顶层密钥IK和CK，与AES算法产生的不同；将所述顶层密钥IK和CK作为3GPP密钥派生体系的相应位置的输入，以保证后续逐层的派生密钥均不同，使行业用户终端与普通民用终端的入网主认证鉴权相区别。

4.根据权利要求3所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述改造后的网络侧和终端侧的协同工作机制还包括：终端与5G网络的密钥派生体系沿用标准3GPP规定，不做改动。

5.根据权利要求3所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述改造后的网络侧和终端侧的协同工作机制还包括：终端与5G网络的入网主认证鉴权机制，沿用标准3GPP规定的5G AKA或者EAP-AKA'认证机制，不做改动。

6.一种使5G网络灵活支撑多种主认证鉴权算法的系统，其特征在于，

在网络侧包括定制UDM或HSS，以及至少一个鉴权向量产生单元，所述定制UDM或HSS完成标准UDM或HSS除鉴权相关密码运算及向量产生以外的功能；所述鉴权向量产生单元能够通过标准化的调用接口，根据所述定制UDM或HSS下发的命令，使用内置的行业用户选择的鉴权密码算法，执行密码运算，产生鉴权向量；

在终端侧包括安全SIM卡，所述安全SIM卡将标准SIM卡中计算入网鉴权响应的部分，用与所述鉴权向量产生单元相同的密码算法替换原有的AES算法。

7.根据权利要求6所述的一种使5G网络灵活支撑多种主认证鉴权算法的系统，其特征在于，所述鉴权向量产生单元通过所述标准化的调用接口在所述定制UDM或HSS的内部或外部，以软件或硬件的方式，进行内置或外挂。

8.根据权利要求6所述的一种使5G网络灵活支撑多种主认证鉴权算法的系统，其特征在于，所述定制UDM或HSS能够根据终端附着请求中携带的SIM卡SUPI或IMSI信息，查阅本地存储的SUPI或IMSI对应的签约信息，按照所述SUPI或IMSI属于的行业用户，选择相应的鉴权向量产生单元；所述定制UDM或HSS通过统一的标准化调用接口，控制所述鉴权向量产生单元使用所述行业用户的密码算法进行鉴权密码相关的运算并取得鉴权向量。