一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统技术方案

本发明专利技术涉及无线通信技术领域，本发明专利技术公开了一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统，该方法包括网络侧和终端侧的改造。网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从标准UDM或HSS中解耦并剥离出来，在被剥离后的标准UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接多个能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体。终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合网络侧的改造完成认证鉴权的对等变化。本发明专利技术充分利用了UDM或HSS的容量和处理能力，为运营商能够用一张5G物理网络和一套5G核心网元，同时满足不同行业用户的入网主认证鉴权安全需求。

【技术实现步骤摘要】
一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统
本专利技术涉及无线通信
，尤其涉及一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统。
技术介绍
3G、4G移动通信网络面向大众消费者，目前3G、4G网络对用户终端的入网认证采用的是在3GPPMILENAGE算法框架中采用国际标准的AES(AdvancedEncryptionStandard，高级加密标准)作为主认证鉴权的块算法，在终端和网络的交互流程上采用AKA认证框架进行实现的。5G网络的入网认证较3G、4G有所增强，但增强的是AKA(AuthenticationandKeyAgreement，认证和密钥协商，4G中为EPS-AKA，5G中为EAP-AKA'或5GAKA)认证框架，例如加入了SUCI(SubscriptionConcealedIdentifier，签约用户隐藏标示符)以保护初始附着的SUPI(SubscriptionPermanentIdentifier，签约用户永久标示符，R15标准中等同于IMSI)/IMSI(InternationalMobileSubscriberIdentity，国际移动用户识别码)。鉴权算法框架除了下层的密钥派生层次、计算方式有所改动，本质上仍然沿用MILENAGE算法框架，其中使用的块算法仍然是AES。AES算法是国际标准的公开算法，其安全性不能被某些高安全需求的特殊行业所认同，甚至其他一些关系国计民生的垂直行业用户，如金融、能源等行业用户。对这些有自身独特安全需求的行业用户，在使用3G、4G移动通信网络时，目前的做法是不信任运营商移动通信网络的入网鉴权，仅将移动通信网络作为传输管道，采用具有安全算法的定制化终端，并在各自行业专网与移动通信网络的交界处用自己的边界网关再做一次认证鉴权，这种打补丁的方式增加了这些行业用户在使用移动通信网络过程中的复杂性。在5G时代，这些行业用户将会大量使用5G网络，5G的网络切片能力将允许这些行业用户在一张5G物理网络上建立众多的高安全行业专网。这些高安全行业专网如果沿用3GPP标准，继续采用AES作为终端入网鉴权的算法，则可能存在敌对势力利用AES的潜在未公开漏洞，非法接入高安全专网，形成信息泄露风险，这是这些行业用户不可接受的。对这些行业用户而言，最安全的方式是将移动终端接入运营商5G网络的鉴权算法替换成自己评估过的安全算法或私有算法。这样就出现了一个比较明显的矛盾：行业用户在采用自身认同的鉴权算法替换标准的AES用于终端5G接入鉴权时，由于不同的行业用户所认同的算法不同，千差万别，而运营商又无权知道每个行业用户的具体算法结构，在目前的3GPP5G网络架构的前提下，比较可行的方法是运营商为每个特殊行业用户建设一个核心网，并对终端和UDM或HSS进行鉴权算法替换。由于单个特殊行业用户的终端数量相对于单个UDM或HSS动辄几百万的用户容量来说不是很多，再考虑到每个行业用户都要独立定制UDM或HSS的成本叠加因素，所以此方法的建设及运维成本会很高。因此，运营商迫切需要一种低成本的，能够在一张5G物理网络的多个网络切片上，同时为不同的行业用户提供鉴权算法替换能力的支撑方法。
技术实现思路
为了解决上述问题，考虑到在多个行业用户通过5G网络切片能力，将各自的高安全行业专网建在一张5G物理网络之上的情况下，在终端接入5G网络的主认证鉴权方面，低成本的为运营商和多个高安全需求行业用户之间，本专利技术提出一种使5G网络灵活支撑多种主认证鉴权算法的方法及系统，具体的：一种使5G网络灵活支撑多种主认证鉴权算法的方法，包括：网络侧的改造：网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从所述标准UDM或HSS中解耦并剥离出来，被剥离后的所述标准UDM或HSS形成定制UDM或HSS；在所述定制UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体，形成鉴权向量产生单元；一个所述定制UDM或HSS能够通过所述调用接口对接多个所述鉴权向量产生单元，使同一UDM或HSS网元同时服务于多个行业用户；终端侧的改造：终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合所述网络侧的改造完成认证鉴权的对等变化。进一步的，所述定制UDM或HSS与所述鉴权向量产生单元的具有协同工作机制：所述定制UDM或HSS根据终端附着请求中携带的SIM卡SUPI或IMSI信息，查阅本地存储的SUPI或IMSI对应的签约信息，按照所述SUPI或IMSI属于的行业用户，选择相应的鉴权向量产生单元；所述定制UDM或HSS通过统一的标准化调用接口，控制所述鉴权向量产生单元使用所述行业用户的密码算法进行鉴权密码相关的运算并取得鉴权向量。进一步的，改造后的网络侧和终端侧具有协同工作机制：所述鉴权向量产生单元使用行业用户选择的算法产生的鉴权向量，在K确定的情况下，按3GPPMILENAGE算法框架产生的顶层密钥IK和CK，与AES算法产生的不同；将所述顶层密钥IK和CK作为3GPP密钥派生体系的相应位置的输入，以保证后续逐层的派生密钥均不同，使行业用户终端与普通民用终端的入网主认证鉴权相区别。进一步的，所述改造后的网络侧和终端侧的协同工作机制还包括：终端与5G网络的密钥派生体系沿用标准3GPP规定，不做改动。进一步的，所述改造后的网络侧和终端侧的协同工作机制还包括：终端与5G网络的入网主认证鉴权机制，沿用标准3GPP规定的5GAKA或者EAP-AKA'认证机制，不做改动。一种使5G网络灵活支撑多种主认证鉴权算法的系统：在网络侧包括定制UDM或HSS，以及至少一个鉴权向量产生单元，所述定制UDM或HSS完成标准UDM或HSS除鉴权相关密码运算及向量产生以外的功能；所述鉴权向量产生单元能够通过标准化的调用接口，根据所述定制UDM或HSS下发的命令，使用内置的行业用户选择的鉴权密码算法，执行密码运算，产生鉴权向量；在终端侧包括安全SIM卡，所述安全SIM卡将标准SIM卡中计算入网鉴权响应的部分，用与所述鉴权向量产生单元相同的密码算法替换原有的AES算法。进一步的，所述鉴权向量产生单元通过所述标准化的调用接口在所述定制UDM或HSS的内部或外部，以软件或硬件的方式，进行内置或外挂。进一步的，所述定制UDM或HSS能够根据终端附着请求中携带的SIM卡SUPI或IMSI信息，查阅本地存储的SUPI或IMSI对应的签约信息，按照所述SUPI或IMSI属于的行业用户，选择相应的鉴权向量产生单元；所述定制UDM或HSS通过统一的标准化调用接口，控制所述鉴权向量产生单元使用所述行业用户的密码算法进行鉴权密码相关的运算并取得鉴权向量。进一步的，所述鉴权向量产生单元使用行业用户选择的算法产生的鉴权向量，在根秘钥K确定的情况下，按3GPPMILENAGE算法框架产生的顶层密钥IK和CK，与AES算法产生的不同；将所本文档来自技高网...

【技术保护点】
1.一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，包括：/n网络侧的改造：网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从所述标准UDM或HSS中解耦并剥离出来，被剥离后的所述标准UDM或HSS形成定制UDM或HSS；在所述定制UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体，形成鉴权向量产生单元；一个所述定制UDM或HSS能够通过所述调用接口对接多个所述鉴权向量产生单元，使同一UDM或HSS网元同时服务于多个行业用户；/n终端侧的改造：终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合所述网络侧的改造完成认证鉴权的对等变化。/n

【技术特征摘要】
1.一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，包括：
网络侧的改造：网络侧通过对标准UDM或HSS的结构进行改造，将鉴权相关密码运算及向量产生功能从所述标准UDM或HSS中解耦并剥离出来，被剥离后的所述标准UDM或HSS形成定制UDM或HSS；在所述定制UDM或HSS的内部或外部，通过标准化的调用接口，以软件或硬件的方式挂接能够使用行业用户选择的鉴权密码算法进行鉴权向量产生功能的实体，形成鉴权向量产生单元；一个所述定制UDM或HSS能够通过所述调用接口对接多个所述鉴权向量产生单元，使同一UDM或HSS网元同时服务于多个行业用户；
终端侧的改造：终端侧将SIM卡中的AES算法替换为行业用户选择的鉴权密码算法，以配合所述网络侧的改造完成认证鉴权的对等变化。


2.根据权利要求1所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述定制UDM或HSS与所述鉴权向量产生单元的具有协同工作机制：
所述定制UDM或HSS根据终端附着请求中携带的SIM卡SUPI或IMSI信息，查阅本地存储的SUPI或IMSI对应的签约信息，按照所述SUPI或IMSI属于的行业用户，选择相应的鉴权向量产生单元；所述定制UDM或HSS通过统一的标准化调用接口，控制所述鉴权向量产生单元使用所述行业用户的密码算法进行鉴权密码相关的运算并取得鉴权向量。


3.根据权利要求1所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，改造后的网络侧和终端侧具有协同工作机制：
所述鉴权向量产生单元使用行业用户选择的算法产生的鉴权向量，在根密钥K确定的情况下，按3GPPMILENAGE算法框架产生的顶层密钥IK和CK，与AES算法产生的不同；将所述顶层密钥IK和CK作为3GPP密钥派生体系的相应位置的输入，以保证后续逐层的派生密钥均不同，使行业用户终端与普通民用终端的入网主认证鉴权相区别。


4.根据权利要求3所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述改造后的网络侧和终端侧的协同工作机制还包括：终端与5G网络的密钥派生体系沿用标准3GPP规定，不做改动。


5.根据权利要求3所述的一种使5G网络灵活支撑多种主认证鉴权算法的方法，其特征在于，所述改造后的网络侧和终端侧的...

【专利技术属性】
技术研发人员：张力，王俊，姜永广，何明，兰天，叶雷，郝记生，
申请(专利权)人：中国电子科技集团公司第三十研究所，中移成都信息通信科技有限公司，楚天龙股份有限公司，
类型：发明
国别省市：四川;51