一种安全认证策略确定方法、设备和计算机可读存储介质技术

本发明专利技术实施例公开了一种安全认证策略确定方法，所述方法包括：根据参考信息确定终端的安全认证策略，终端的安全认证策略用于对终端进行安全认证；其中，参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。本发明专利技术实施例同时还公开了一种安全认证策略确定设备和计算机可读存储介质。

A Method for Determining Security Authentication Policy, Equipment and Computer Readable Storage Media

【技术实现步骤摘要】
一种安全认证策略确定方法、设备和计算机可读存储介质
本专利技术涉及通信
，尤其涉及一种安全认证策略确定方法、装置、实体和计算机可读存储介质。
技术介绍
随着通信技术的飞速发展，移动通信已经发展到了5G阶段，和前几代移动通信相比，5G网络的主要特点之一是其具有基于服务化的网络架构。终端(UE，UserEquipment)接入网络时，通过非接入层信令(Non-AccessStratum，Nas)和位于核心网侧的移动管理功能(AMF，AccessandMobilityManagementfunction)交互信息，AMF按照自身存储的安全认证策略，向统一数据管理功能(UnifiedDataManagement，UDM)实体发起认证数据请求，发起对UE的安全认证流程。目前，AMF中存储的安全认证策略仅能够通过网络管理员设置调节，浪费人力。
技术实现思路
为解决上述技术问题，本专利技术实施例期望提供一种安全认证策略确定方法、实体和计算机可读存储介质，解决了现有技术中安全认证策略仅能够由网络管理员设置浪费人力的问题。为达到上述目的，本专利技术实施例的技术方案是这样实现的：第一方面，本专利技术提供一种安全认证策略确定方法，所述方法包括：根据参考信息确定终端的安全认证策略，所述终端的安全认证策略用于对所述终端进行安全认证；其中，所述参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。第二方面，本专利技术提供一种安全认证策略确定方法，所述方法包括：接收终端的安全认证策略，所述安全认证策略为根据参考信息确定的，所述参考信息为所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种；根据所述终端的安全认证策略，对所述终端进行安全认证。第三方面，本专利技术提供一种安全认证策略确定设备，所述设备包括处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器用于运行所述计算机程序时，执行第一方面任一所述安全认证策略确定方法的步骤，或者，第二方面任一所述安全认证策略确定方法的步骤。第四方面，本专利技术提供一种计算机可读存储介质，所述计算机可读存储介质上存储有安全认证策略确定程序，所述安全认证策略确定程序被处理器执行时实现第一方面任一所述安全认证策略确定方法的步骤，或者，第二方面任一所述安全认证策略确定方法的步骤。本专利技术的实施例中，通过根据参考信息确定安全认证策略，该安全认证策略可用于对终端的安全认证的控制，使得可以根据与终端相关的参考信息来适配相应的安全认证策略。附图说明图1为终端在注册过程中的安全过程的流程示意图；图2为本专利技术实施例提供的安全认证策略确定方法的流程示意图一；图3为本专利技术实施例提供的安全认证策略确定方法的流程示意图二；图4为本专利技术实施例提供的安全认证策略确定方法的流程示意图三；图5为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图一；图6为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图二；图7为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图三；图8为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图四；图9为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图五；图10为本专利技术实施例提供的安全认证策略确定方法的交互流程示意图六；图11为本专利技术实施例提供的安全认证策略确定设备的结构示意图；图12为5G通信网络的架构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。在本专利技术实施例应用的通信网络中，例如，第五代移动通信技术(The5thGeneration，5G)的网络中，终端(UserEquipment，UE)通过空口与网络侧进行消息交互，网络侧可以启动AKA过程，完成UE和网络侧的互相鉴权。图1为终端在注册过程中的安全过程的流程示意图，如图1所示，安全过程可以包括：S101、UE向AMF发送接入请求，携带IMSI。其中，终端通过空口和基站交互信息，通过NAS消息向AMF发起用户注册过程。S102、AMF向UDM发送认证数据请求，携带IMSI。其中，AMF向UDM发出认证数据请求，其中携带国际移动用户标识(IMSI，InternationalMobileSubscriberIdentity)。S103、UDM向AMF发送认证数据应答，携带AV(1…n)。其中，统一数据管理功能(UnifiedDataManagement，UDM)收到认证数据请求后，计算认证向量(authenticationvectors，AV)的数目，每个AV包括随机数(arandomnumber，RAND)、期望的响应(anexpectedresponse，XRES)、加密密钥(acipherkey，CK)、完整性密钥(anintegritykey，IK)、认证令牌(anauthenticationtoken，AUTN)。每个AV都可用于AMF和UE进行认证、密钥协商。S104、AFM存储AV(1…n)，选择一个AV[i]。其中，AMF收到UDM的认证数据应答后，将所有AV存储下来，并从中随机选择一个AV[i]，AV[i]包括RAND[i]和AUTN[i]。获取RAND[i]、AUTN[i]并携带在用户认证请求中发送给UE。S105、AFM向UE发送用户认证请求，携带RAND[i]和AUTN[i]。S106、UE根据AUTN[i]计算RES[i]。其中，UE收到用户认证请求后，检查是否接受AUTN[i]，如果接受的话，并根据RAND[i]计算响应(aresponse，RES)[i]、CK[i]、IK[i]，并在发送给AMF的用户认证应答中携带RES[i]。S107、UE向AMF发送用户认证请求响应，携带RES[i]。S108、UE计算CK[i]和IK[i]并存储。其中，UE存储CK[i]、IK[i]以便后续使用。S109、AMF比较RES[i]与XRES[i]。其中，AMF收到用户认证应答，比较RES[i]和XRES[i]，若相同，则用户认证通过，确定XRES[i]所属的AV[i]为当前用户使用的AV，该AV[i]包括的CK[i]、IK[i]用作后续安全认证使用。S110、AMF选择CK[i]和IK[i]。需要说明的是，网络侧可以设置AMF发起AKA的频次，网络侧对UE进行AKA的频次越高，安全程度也越高。但AKA的频次越高，对网络资源和UE资源的消耗就越高，也会增加业务流程的时间。本专利技术实施例提供的安全认证策略的确定方法可以根据终端的各种属性，如位置信息、签约信息(如签约套餐、签约业务、用户类型等)、以及其它动态业务调整变更等信息，来确定UE合适的AKA频次以及其他安全策略，平衡安全性和资源消耗，本专利技术实施例提供的安全认证策略的确定方法在5G标准领域为具有开创性的定义。本专利技术实施例提供的安全认证策略确定方法涉及三个方面。这三个方面分别是用于确定安全认证策略的参考信息的获取过程，根据获取的参考信息确定安全认证策略的确定过程，以及，根据确定的安全认证策略对终端进行安全认证的控制过程。需要说明的是，这三个过程可以由不同或相同的通信实体执行。例如，获取过程和确定过程可以由执行第一实体，控制过程可以由第二实体执行。在本专利技术其他实施例中，还将给出采用本文档来自技高网...

【技术保护点】
1.一种安全认证策略确定方法，其特征在于，所述方法包括：根据参考信息确定终端的安全认证策略，所述终端的安全认证策略用于对所述终端进行安全认证；其中，所述参考信息包括所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。

【技术特征摘要】
1.一种安全认证策略确定方法，其特征在于，所述方法包括：根据参考信息确定终端的安全认证策略，所述终端的安全认证策略用于对所述终端进行安全认证；其中，所述参考信息包括所述终端的业务状态信息、所述终端所属网络的服务状态信息中至少一种。2.根据权利要求1所述的方法，其特征在于，所述终端的业务状态信息包括位置信息、签约信息、业务流信息、计费信息中至少一种，所述终端所属网络的服务状态信息包括运营商管控信息；在所述根据参考信息确定终端的安全认证策略之前，包括：获取所述参考信息；其中，所述获取所述参考信息，包括以下方式中至少一种：接收接入和移动管理功能AMF发送的所述终端的位置信息；接收统一数据管理功能UDM发送的所述终端的签约信息；接收会话管理功能SMF发送的所述终端的业务流信息；接收在线计费系统OCS发送的所述终端的计费信息；获取策略控制功能PCF存储的运营商管控信息。3.根据权利要求1所述的方法，其特征在于，所述根据参考信息确定终端的安全认证策略，包括：获取所述参考信息对应的安全等级；将所述参考信息对应的安全等级，确定为所述终端的安全认证策略的安全等级；根据所述安全认证策略的安全等级，确定所述终端的安全认证策略。4.根据权利要求3所述的方法，其特征在于，所述终端的安全认证策略包括安全认证周期、安全认证频次、安全认证算法中至少一种；其中，所述安全认证频次为认证和秘钥协商AKA的频次；其中，安全认证级别的高低、安全认证周期的长短与安全认证策略的安全等级的高低成反比，安全认证频次的高低、安全认证算法的算法安全性的高低与安全认证策略的安全等级成正比。5.根据权利要求4所述的方法，其特征在于，所述根据所述参考信息对所述终端正在使用的安全认证策略进行调整，包括：调整安全认证周期、安全认证频次、安全认证算法中至少一个参数，以使得调整后的安全认证策略对应的安全等级与所述参考信息对应的安全等级一致。6.根据权利要求1...

【专利技术属性】
技术研发人员：陈刚，涂小勇，吴中华，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44