[发明专利]一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统

说明书

本发明涉及无线通信技术领域，本发明公开了一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统，该方法包括网络侧和终端侧的改造。网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从标准UDM或HSS中解耦并剥离出来，在被剥离后的标准UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接多个能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体。终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合网络侧的改造完成认证鉴权的对等变化。本发明充分利用了UDM或HSS的容量和处理能力，为运营商能够用一张5G物理网络和一套5G核心网元，同时满足不同行业用户的入网主认证鉴权安全需求。

技术领域

本发明涉及无线通信技术领域，尤其涉及一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统。

背景技术

3G、4G移动通信网络面向大众消费者，目前3G、4G网络对用户终端的入网认证采用的是在3GPP MILENAGE算法框架中采用国际标准的AES(Advanced Encryption Standard，高级加密标准)作为主认证鉴权的块算法，在终端和网络的交互流程上采用AKA认证框架进行实现的。

5G网络的入网认证较3G、4G有所增强，但增强的是AKA(Authentication and KeyAgreement，认证和密钥协商，4G中为EPS-AKA，5G中为EAP-AKA'或5G AKA)认证框架，例如加入了SUCI(Subscription Concealed Identifier，签约用户隐藏标示符)以保护初始附着的SUPI(Subscription Permanent Identifier，签约用户永久标示符，R15标准中等同于IMSI)/IMSI(International Mobile Subscriber Identity，国际移动用户识别码)。鉴权算法框架除了下层的密钥派生层次、计算方式有所改动，本质上仍然沿用MILENAGE算法框架，其中使用的块算法仍然是AES。

AES算法是国际标准的公开算法，其安全性不能被某些高安全需求的特殊行业所认同，甚至其他一些关系国计民生的垂直行业用户，如金融、能源等行业用户。对这些有自身独特安全需求的行业用户，在使用3G、4G移动通信网络时，目前的做法是不信任运营商移动通信网络的入网鉴权，仅将移动通信网络作为传输管道，采用具有安全算法的定制化终端，并在各自行业专网与移动通信网络的交界处用自己的边界网关再做一次认证鉴权，这种打补丁的方式增加了这些行业用户在使用移动通信网络过程中的复杂性。

在5G时代，这些行业用户将会大量使用5G网络，5G的网络切片能力将允许这些行业用户在一张5G物理网络上建立众多的高安全行业专网。这些高安全行业专网如果沿用3GPP标准，继续采用AES作为终端入网鉴权的算法，则可能存在敌对势力利用AES的潜在未公开漏洞，非法接入高安全专网，形成信息泄露风险，这是这些行业用户不可接受的。对这些行业用户而言，最安全的方式是将移动终端接入运营商5G网络的鉴权算法替换成自己评估过的安全算法或私有算法。

这样就出现了一个比较明显的矛盾：行业用户在采用自身认同的鉴权算法替换标准的AES用于终端5G接入鉴权时，由于不同的行业用户所认同的算法不同，千差万别，而运营商又无权知道每个行业用户的具体算法结构，在目前的3GPP 5G网络架构的前提下，比较可行的方法是运营商为每个特殊行业用户建设一个核心网，并对终端和UDM或HSS进行鉴权算法替换。由于单个特殊行业用户的终端数量相对于单个UDM或HSS动辄几百万的用户容量来说不是很多，再考虑到每个行业用户都要独立定制UDM或HSS的成本叠加因素，所以此方法的建设及运维成本会很高。因此，运营商迫切需要一种低成本的，能够在一张5G物理网络的多个网络切片上，同时为不同的行业用户提供鉴权算法替换能力的支撑方法。

发明内容