[发明专利]一种鉴权推演方法及装置

权利要求书

1.一种鉴权推演方法，其特征在于，包括：

鉴权服务功能AUSF实体接收统一数据管理UDM实体发送的加密鉴权参数；所述加密鉴权参数包括：加密根密钥、加密运营商密钥；

根据所述加密鉴权参数计算得到鉴权信息，所述鉴权信息为采用不同鉴权方式进行密钥推演通用的鉴权信息；其中，所述AUSF实体根据所述加密鉴权参数计算得到鉴权信息，包括：所述AUSF实体对所述加密鉴权参数进行解密，得到鉴权参数，所述鉴权参数包括：根密钥、运营商密钥；生成随机数RAND；从所述UDM实体获取更新序列号SQN；根据所述鉴权参数、所述RAND和所述更新SQN，计算得到所述鉴权信息；其中，所述鉴权信息中包括以下至少一项或组合：第一加密密钥/第一完整性密钥、预期响应Res、消息认证MAC、匿名密钥AK、鉴权标记AUTN；

根据不同鉴权方式，对所述鉴权信息进行推演计算，得到不同鉴权方式对应的推演结果。

2.如权利要求1所述的方法，其特征在于，所述AUSF实体接收UDM实体发送的加密鉴权参数之前，所述方法还包括：

所述AUSF实体接收接入与移动性管理功能AMF实体发送的初始鉴权请求，其中，所述初始鉴权请求中包含需要鉴权的终端设备的加密用户永久性标识SUPI；

向统一数据管理UDM实体发送鉴权信息请求，所述鉴权信息请求中包含所述加密SUPI；

接收所述UDM实体发送的所述加密鉴权参数，包括：

接收所述UDM实体发送的鉴权信息响应，所述鉴权信息响应中包含所述加密鉴权参数。

3.如权利要求1所述的方法，其特征在于，所述AUSF实体根据不同鉴权方式，对所述鉴权信息进行推演计算，得到不同鉴权方式对应的推演结果，包括：

所述AUSF实体根据5G系统的鉴权与密钥协商5G-AKA’鉴权方式，对所述鉴权信息进行推演，得到所述5G-AKA’鉴权方式对应的第一推演结果；其中，第一推演结果包括：增强的预期值、鉴权服务功能密钥Kausf；以及

所述AUSF实体根据改进的第三代认证和密钥协商的可扩展认证协议EAP-AKA’鉴权方式，对所述鉴权信息进行推演，得到所述EAP-AKA’鉴权方式对应的第二推演结果；其中，所述第二推演结果包括：第二加密密钥/第二完整性密钥。

4.如权利要求3所述的方法，其特征在于，所述AUSF实体得到所述第一推演结果之后，根据所述第一推演结果，得到第一鉴权密钥信息，进一步包括：

所述AUSF实体根据所述增强的预期值生成本地存储的增强预期值；

根据所述Kausf，计算得到安全锚点功能密钥Kseaf；其中，所述第一鉴权密钥信息包含：所述本地存储的增强预期值和所述Kseaf。

5.如权利要求4所述的方法，其特征在于，所述AUSF实体得到所述第一鉴权密钥之后，所述方法还包括：

所述AUSF实体向AMF实体发送第一鉴权响应和第二鉴权响应，所述第一鉴权响应中包含所述本地存储的增强预期值，所述第二鉴权响应中包含所述Kseaf。

6.如权利要求3所述的方法，其特征在于，所述AUSF实体得到所述第二推演结果之后，根据所述第二推演结果，得到第二鉴权密钥信息，进一步包括：

所述AUSF实体根据所述第二加密密钥/第二完整性密钥，计算得到鉴权服务功能密钥Kausf和安全锚点功能密钥Kseaf；其中，所述第二鉴权密钥信息包含：所述Kausf和所述Kseaf。

7.如权利要求6所述的方法，其特征在于，所述AUSF实体得到所述第二鉴权密钥之后，所述方法还包括：

所述AUSF实体根据所述Kausf和所述Kseaf，计算得到可扩展认证协议载荷信息EAP-payload；

所述AUSF实体向AMF实体发送第三鉴权响应，所述第三鉴权响应中包含所述EAP-payload。