一种基于国密算法的制造技术

本发明专利技术公开了一种基于国密算法的

【技术实现步骤摘要】
一种基于国密算法的5G认证方法及功能实体


[0001]本专利技术涉及网络
，尤其涉及一种基于国密算法的
5G
认证方法
、AUSF
实体
、SEAF
实体及认证授权服务实体
。

技术介绍

[0002]在
3GPP TS33.501
标准中规定的
5G
‑
AKA
认证机制主要采用
AES、SHA
‑
256
等国际密码算法，我国国密算法不作为备选项
。
但是，
5G
网络面向的党政军企垂直行业用户往往有高安全需求，要求
5G
网络提供基于国密的安全能力，而现有技术无法满足“自主研发”，“自主可控”等安全要求
。

技术实现思路

[0003]本专利技术所要解决的技术问题是针对现有技术的上述不足，提出一种基于国密算法的
5G
认证方法
、AUSF
实体
、SEAF
实体
、UDM
实体及
ARPF
实体，该方法能够实现
5G
网络接入认证过程中的国密应用，保护终端用户与网络的安全
。
[0004]第一方面，本专利技术提供一种基于国密算法的
5G
认证方法，该方法包括如下步骤：
[0005]步骤
S1
：
UE
将
SUCI
发送给<br/>SEAF
实体，所述
SUCI
为
UE
采用
SM2
算法，对
SUPI
进行加密得到的；
[0006]步骤
S2
：
SEAF
实体向
AUSF
实体传送第一接入认证请求，所述第一接入认证请求携带
SUCI
和服务商名称；
[0007]步骤
S3
：
AUSF
实体根据第一接入认证请求，确认
SEAF
实体有权使用接收到的服务商名称之后，向认证授权服务实体发送
UE
认证获取请求，所述认证授权服务实体包括
UDM
实体
、
和
/
或
ARPF
实体；
[0008]步骤
S4
：认证授权服务实体对
UE
认证获取请求进行
UE
认证响应，所述
UE
认证响应包括基于国密算法获得的
5G
认证向量
、
及采用
SM2
算法解密所述
SUCI
得到解密后的
SUPI
，所述
5G
认证向量包括第一哈希期望认证结果
XRES*
和
AUSF
密钥
K
AUSF
；
[0009]步骤
S5
：认证授权服务实体将
UE
认证响应发送给
AUSF
实体；
[0010]步骤
S6
：
AUSF
实体向
SEAF
实体发送第一接入认证响应，以使
SEAF
实体从服务商的角度进行
UE
认证：
[0011]当
HXRES*
与
HRES*
一致时，则
SEAF
实体从服务商的角度确认
UE
认证成功，进入步骤
S7
；否则
SEAF
实体从服务商的角度确认
UE
认证失败，结束流程；
[0012]其中，所述第一接入认证响应用于响应第一接入认证请求，所述
HXRES*
为第一接入认证响应携带的第二哈希期望认证，所述
HRES*
为基于国密
SM3
算法从
RES*
中获得的；
HXRES*
是基于
XRES*
计算得到的；
[0013]步骤
S7
：
SEAF
实体向
AUSF
实体发送第二接入认证请求，所述第二接入认证请求携带有来自
UE
的认证结果
RES*
；
[0014]步骤
S8
：
AUSF
实体接收到第二接入认证请求后，验证
5G
认证向量是否过期
、
及验证
RES*
和
XRES*
是否一致，以从归属网络的角度进行
UE
认证：
[0015]若
5G HE AV
未过期
、
且
RES*
和
XRES*
一致时，则
AUSF
实体从归属网络的角度确认
UE
认证成功，进入步骤
S9
；否则确定
AUSF
实体从归属网络的角度确认
UE
认证失败，结束流程；其中，所述第二接入认证响应携带
SEAF
密钥
K
SEAF
、
及解密后的
SUPI
，所述
K
SEAF
是根据
K
AUSF
推衍得到的；
[0016]步骤
S9
：
AUSF
实体将
K
SEAF
和解密后的
SUPI
发送至
SEAF
实体，以完成基于国密算法的
5G
认证；其中，
K
SEAF
和解密后的
SUPI
用于生成和验证安全标识符，以确保
UE
的正确识别和验证
。
[0017]进一步地，所述步骤
S4
中的第一哈希期望认证结果
XRES*
，其获取步骤如下：
[0018]认证授权服务实体生成一个随机数
RAND
；
[0019]认证授权服务实体将随机数和长期密钥
K
作为基于国密
SM4
算法的
f
系列函数的输入，输出
XRES、AUTN
；
[0020]认证授权服务实体将
XRES
和
RAND
作为基于国密
SM3
算法的
KDF
函数的输入，输出
XRES*。
[0021]进一步地，所述步骤
S6
中的
RES*
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于国密算法的
5G
认证方法，其特征在于，所述方法包括如下步骤：步骤
S1
：
UE
将
SUCI
发送给
SEAF
实体，所述
SUCI
为
UE
采用
SM2
算法，对
SUPI
进行加密得到的；步骤
S2
：
SEAF
实体向
AUSF
实体传送第一接入认证请求，所述第一接入认证请求携带
SUCI
和服务商名称；步骤
S3
：
AUSF
实体根据第一接入认证请求，确认
SEAF
实体有权使用接收到的服务商名称之后，向认证授权服务实体发送
UE
认证获取请求，所述认证授权服务实体包括
UDM
实体
、
和
/
或
ARPF
实体；步骤
S4
：认证授权服务实体对
UE
认证获取请求进行
UE
认证响应，所述
UE
认证响应包括基于国密算法获得的
5G
认证向量
、
及采用
SM2
算法解密所述
SUCI
得到解密后的
SUPI
，所述
5G
认证向量包括第一哈希期望认证结果
XRES*
和
AUSF
密钥
K
AUSF
；步骤
S5
：认证授权服务实体将
UE
认证响应发送给
AUSF
实体；步骤
S6
：
AUSF
实体向
SEAF
实体发送第一接入认证响应，以使
SEAF
实体从服务商的角度进行
UE
认证：当
HXRES*
与
HRES*
一致时，则
SEAF
实体从服务商的角度确认
UE
认证成功，进入步骤
S7
；否则
SEAF
实体从服务商的角度确认
UE
认证失败，结束流程；其中，所述第一接入认证响应用于响应第一接入认证请求，所述
HXRES*
为第一接入认证响应携带的第二哈希期望认证，所述
HRES*
为基于国密
SM3
算法从
RES*
中获得的；
HXRES*
是基于
XRES*
计算得到的；步骤
S7
：
SEAF
实体向
AUSF
实体发送第二接入认证请求，所述第二接入认证请求携带有来自
UE
的认证结果
RES*
；步骤
S8
：
AUSF
实体接收到第二接入认证请求后，验证
5G
认证向量是否过期
、
及验证
RES*
和
XRES*
是否一致，以从归属网络的角度进行
UE
认证：若
5G HE AV
未过期
、
且
RES*
和
XRES*
一致时，则
AUSF
实体从归属网络的角度确认
UE
认证成功，进入步骤
S9
；否则确定
AUSF
实体从归属网络的角度确认
UE
认证失败，结束流程；其中，所述第二接入认证响应携带
SEAF
密钥
K
SEAF
、
及解密后的
SUPI
，所述
K
SEAF
是根据
K
AUSF
推衍得到的；步骤
S9
：
AUSF
实体将
K
SEAF
和解密后的
SUPI
发送至
SEAF
实体，以完成基于国密算法的
5G
认证；其中，
K
SEAF
和解密后的
SUPI
用于生成和验证安全标识符，以确保
UE
的正确识别和验证
。2.
根据权利要求1所述的基于国密算法的
5G
认证方法，其特征在于，所述步骤
S4
中的第一哈希期望认证结果
XRES*
，其获取步骤如下：认证授权服务实体生成一个随机数
RAND
；认证授权服务实体将随机数和长期密钥
K
作为基于国密
SM4
算法的
f
系列函数的输入，输出
XRES、AUTN
；认证授权服务实体将
XRES
和
RAND
作为基于国密
SM3
算法的
KDF
函数的输入，输出
XRES*。3.
根据权利要求1所述的基于国密算法的
5G
认证方法，其特征在于，所述步骤
S6
中的
RES*
，其获取步骤如下：步骤
S61
：
UE
中将
RAND
和长期密钥
K
作为基于国密
SM4
算法的
f
系列函数的输入，输出响应
RES
；
步骤
S62
：
UE
基于国密
SM3
算法中
KDF
函数，根据
RES
计算出
RES*。4.
根据权利要求1至3任一项所述的基于国密算法的
5G
认证方法，其特征在于，所述步骤
S4
中的
AUSF
密钥
K
AUSF
是认证授权服务实体采用
HMAC
‑
SM3
‑
256
算法从长期密钥
K
推衍出来的；所述步骤
S6
中，所述
HRES*
为：
SEAF
实体采用
HMAC
‑
SM3
‑
256
算法从
RES*
中计算得到的；所述步骤
S8
中，所述
K
SEAF
为：
AUSF
实体采用
HMAC
‑
SM3
‑
256
算法从
K
AUSF
推衍得到的
。5.
一种基于国密算法的
5G
认证方法，应用于认证授权服务实体，所述认证授权服务实体包括
UDM
实体
、
和
...

【专利技术属性】
技术研发人员：姚戈，徐雷，张曼君，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：