CN110891271B

CN110891271B - 一种鉴权方法及装置

Info

Publication number: CN110891271B
Application number: CN201811052277.3A
Authority: CN
Inventors: 吴鹏程
Original assignee: Datang Mobile Communications Equipment Co Ltd
Current assignee: Datang Mobile Communications Equipment Co Ltd
Priority date: 2018-09-10
Filing date: 2018-09-10
Publication date: 2021-06-11
Anticipated expiration: 2038-09-10
Also published as: CN110891271A

Abstract

本发明公开了一种鉴权方法及装置，用以避免在原有4G用户切换5G实验网覆盖范围情况下，下一代核心网NGC由于无法取到现网合法用户数据导致的鉴权失败而注册失败的问题。本发明提供的一种鉴权的方法包括：鉴权服务功能AUSF实体接收接入与移动性管理功能AMF实体发送的初始鉴权请求；所述AUSF实体向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求；所述AUSF实体接收所述UDM实体以及所述HSS反馈的鉴权信息响应。

Description

一种鉴权方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种鉴权方法及装置。

背景技术

用户设备(User Equipment，UE)是由全球用户识别卡(Universal SubscriberIdentity Module，USIM)与移动设备(Mobile Equipment，ME)两部分组成。其中USIM存储个人的主要信息，如根密钥等。ME根据制式不同将分为多种模式，可以是4G或者5G手机，或者同时支持4G和5G，并允许在不同模式下切换的手机设备。根据密钥推演部分看，USIM卡在4G/5G制式下是可以共用的，这种平滑演进也是需要的。

但是对于新建的5G网络特别是试验网，是不太可能针对全国的用户制作特别的用户数据。4G的用户数据会分散在各地的省市归属用户服务器(Home Subscriber Server，HSS)中。这样当用户在经过5G试验网覆盖区域时，5G核心网由于没有保存该用户的密钥信息而导致该用户无法在网络注册并提供服务。5G核心网如何与现有的4G网络互联互通，并从4G网络中取得鉴权数据并转换为5G核心网中可以使用的鉴权信息，并通过新的鉴权服务流程成功的让合法用户通过鉴权注册。当用户在4G网络切换到5G网络模式时，根据不同模式实现不同鉴权模式以及密钥推衍的切换，网络侧如何达到统一鉴权，是目前面临的突出问题。

发明内容

本申请实施例提供了一种鉴权方法及装置，用以避免在原有4G用户切换5G实验网覆盖范围情况下，下一代核心网(Next Generation Core，NGC)由于无法取到现网合法用户数据导致的鉴权失败而注册失败的问题。

在鉴权服务功能AUSF实体侧，本申请实施例提供的一种鉴权方法，包括：

鉴权服务功能AUSF实体接收接入与移动性管理功能AMF实体发送的初始鉴权请求；

所述AUSF实体向统一数据管理(Unified Data Management，UDM)实体以及归属用户服务器HSS发送鉴权信息请求。

通过该方法，所述AUSF实体能够同时与5G网络的UDM实体以及4G公网的HSS连接，避免了在原有4G用户切换5G实验网覆盖范围情况下，NGC由于无法取到现网合法用户数据导致的鉴权失败而注册失败的问题。

可选地，所述AUSF实体接收所述UDM实体以及所述HSS反馈的鉴权信息响应。

可选地，若所述UDM实体以及所述HSS反馈的鉴权信息响应中都指示用户找不到，则所述AUSF实体向所述AMF实体指示鉴权失败。

可选地，若所述AUSF实体先收到所述HSS反馈的鉴权信息响应，并且从所述HSS反馈的鉴权信息响应中获取鉴权向量，则所述AUSF实体采用5G系统的鉴权与密钥协商(Authentication and Key Agreement in 5G*，5G-AKA*)算法将所述鉴权向量重新计算，利用增强的预期值XRES*生成本地存储的增强预期值HXRES*，并将HXRES*替换XRES*，将该重新计算得到的鉴权向量发送给所述AMF实体。

可选地，所述AUSF实体向所述HSS发送的鉴权信息请求中携带有用于指示该请求来自于5G核心网的标识。

可选地，所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS。

相应地，在归属用户服务器HSS侧，本申请实施例提供了一种鉴权方法，包括：

归属用户服务器HSS接收鉴权服务功能AUSF实体发送的鉴权信息请求；

所述HSS向所述AUSF实体反馈鉴权信息响应。

可选地，若所述鉴权信息请求中携带有用于指示鉴权信息请求是来自于5G核心网的标识，则所述HSS使用服务网络名称、序号SQN和匿名密钥AK计算鉴权向量，并将该鉴权向量携带在所述鉴权信息响应中。

可选地，所述服务网络名称为服务网络标识SN ID。

通过该方法，提出了一种能兼容4G切入到5G系统的计算方法，该方法包括：

HSS在收到鉴权信息请求消息，判断消息中是否包含网络名称标识，如果包含，则使用服务网络名称、序号(Sequence Number，SQN)与匿名密钥(Anonymity Key，AK)作为入参计算鉴权向量；如果不包含则使用SN ID、SQN与AK作为入参计算鉴权向量。

在鉴权服务功能AUSF实体侧上，本申请实施例提供了一种鉴权装置：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行：

所述AUSF实体向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求；

所述AUSF实体接收所述UDM实体以及所述HSS反馈的鉴权信息响应；

若所述UDM实体以及所述HSS反馈的鉴权信息响应中都指示用户找不到，则所述AUSF实体向所述AMF实体指示鉴权失败；

若所述AUSF实体先收到所述HSS反馈的鉴权信息响应，并且从所述HSS反馈的鉴权信息响应中获取鉴权向量，则所述AUSF实体采用5G系统的鉴权与密钥协商5G-AKA*算法将所述鉴权向量重新计算，利用增强的预期值XRES*生成本地存储的增强预期值HXRES*，并将HXRES*替换XRES*，将该重新计算得到的鉴权向量发送给所述AMF实体；

所述AUSF实体向所述HSS发送的鉴权信息请求中携带有用于指示该请求来自于5G核心网的标识；

所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS。

相应地，在归属用户服务器HSS侧上，本申请实施例提供了一种鉴权装置，包括：

存储器，用于存储程序指令；

所述HSS向所述AUSF实体反馈鉴权信息响应；

若所述鉴权信息请求中携带有用于指示鉴权信息请求是来自于5G核心网的标识，则所述HSS使用服务网络名称、序号SQN和匿名密钥AK计算鉴权向量，并将该鉴权向量携带在所述鉴权信息响应中；

所述服务网络名称为服务网络标识SN ID。

在鉴权服务功能AUSF实体侧上，本申请实施例提供了一种鉴权装置，该装置包括：

接收单元，用于接收接入与移动性管理功能AMF实体发送的初始鉴权请求；

发送单元，用于向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求。

接收单元，用于接收AUSF实体发送的鉴权信息请求；

发送单元，用于发送对鉴权服务功能AUSF实体鉴权信息请求的响应。

本发明另一实施例提供了一种计算机存储介质，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一种方法。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中演进的通用地面无线接入网(Evolved Universal TerrestrialRadio Access Network，E-UTRAN)密钥体系示意图；

图2为现有技术的5G密钥体系示意图；

图3为现有技术UE的密钥推衍示意图；

图4为本申请实施例1中5G-AKA*鉴权示意图；

图5为本申请实施例2中改进的第三代认证和密钥协商的可扩展认证协议方法(Improved Extensible Authentication Protocol Method for 3rd GenerationAuthentication and Key Agreement，EAP-AKA’)鉴权示意图；

图6为本申请实施例3提供AUSF实体与HSS之间使用SCTP承载DIAMETER消息的接口示意图；

图7为本申请实施例3提供的AUSF实体与HSS之间的连接示意图；

图8为本申请实施例3提供的新的NGC鉴权流程示意图；

图9为本申请实施例4提供的HSS收到鉴权信息请求消息后的处理流程示意图；

图10为本申请实施例提供的一种鉴权方法的流程示意图；

图11为本申请实施例提供的一种鉴权方法的流程示意图；

图12为本申请实施例提供的一种鉴权装置的流程示意图；

图13为本申请实施例提供的一种鉴权装置的流程示意图；

图14为本申请实施例提供的一种计算设备示意图。

具体实施方式

本申请实施例提供了一种鉴权的方法及装置，用以避免在原有4G用户切换5G实验网覆盖范围情况下，NGC由于无法取到现网合法用户数据导致的鉴权失败而注册失败的问题。

图1为4G制式下的密钥推衍体系，其中在用户设备UE侧，USIM中保存根密钥K，并由K推衍出加密密钥(Cipher Key，CK)和完整性保护密钥(Integrity Key，IK)，ME负责把CK和IK计算生成接入安全管理实体密钥(Key of Access Security Management Entity，Kasme)、基站密钥(Key of Evolved Universal Terrestrial Radio Access NetworkNode B，KeNB)、非接入层完整性保护密钥(Key of Non-Access Stratum integrity，KNASint)、非接入层加密密钥(Key of Non-Access Stratum encryption，KNASenc)、用户面加密密钥(Key of User Plane encryption，KUPenc)、无线资源控制层完整性保护密钥(Key of Radio Resource Control integrity，KRRCint)、无线资源控制层加密密钥(Keyof Radio Resource Control encryption，KRRCenc)、用户面完整性密钥(Key of UserPlane integrity，KUPint)。

图2为5G制式下的UE密钥推衍体系，其中，USIM中保存根密钥K，并由K推衍出CK和IK，ME负责把CK和IK计算生成CK’和IK’、鉴权服务功能密钥(Key of AuthenticationServer Function,Kausf)、安全锚点功能密钥(Key of Security Anchor Function，Kseaf)、接入与移动性管理功能密钥(Key of Access and Mobility ManagementFunction，Kamf)、新无线基站密钥(New Radio Node B，KgNB)、KNASint、KNASenc、KUPenc、KRRCint、KRRCenc、KUPint。

从以上密钥生成体系可以看出，4G和5G的UE侧的USIM存储根密钥K以及计算生成CK和IK的计算动作是相同的。USIM是可以同时支持4G与5G的。4G的ME与5G的ME在密钥推衍以及计算方法是不同的。

具体5G环境下UE计算所用密钥以及计算输入参照图3，5G密钥推衍体系下，USIM中存储K，并由USIM推衍CK、IK。在ME上，进行其它密钥的推衍。其中不论在4G和5G体系下，在USIM中都是从K推衍出CK/IK，后续运算在ME中进行。

用户使用同一个USIM卡，ME制式从4G切换到5G，并注册到5G核心网NGC上，核心网需要根据5G的鉴权方法对UE进行鉴权。

UDM在签约数据及接入网类型，可能选择5G增强型鉴权与密钥协商(Authentication and Key Agreement，AKA)5G-AKA*作为该用户的鉴权方法，具体5G-AKA*鉴权流程参见图4。

5G的鉴权方法，相对于4G而言，引入了新的计算参数以及鉴权算法，用于防止电信诈骗等。目前4G的UE，无法在5G NGC上鉴权通过并注册。4G用户无法在5G网络中使用。

如果属于4G网络的用户，新建的NGC网络，短期内不可能配置所有公网的用户的密钥信息，为了安全起见，可能也不允许在另外一张新的NGC网络复制全国所用用户的密钥数据。会造成NGC网络对合法用户的鉴权失败，导致该合法用户无法接入，造成用户较差的体验。

4G用户在NGC环境下无法鉴权，是目前实际存在的问题，根据现在协议规定以及常规方法无法解决。本申请实施例提出了一种4G与5G系统之间统一鉴权的方法，可以解决该问题。在5G试验网建设以及大规模建网初期，将给用户带来好的体验。

本申请实施例提出的一种鉴权方法流程，鉴权服务功能AUSF实体接收接入与移动性管理功能AMF实体发送的初始鉴权请求，并向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求。该方法新增的一个接口，此接口使用SCTP链路承载DIAMETER消息接入HSS，使AUSF实体不只支持服务化接口，这种新建5G网络与原有4G网络互联互通的方法，解决了原有4G用户切换入5G试验网覆盖范围情况下，NGC由于无法取代现网合法用户数据导致的鉴权失败而注册失败的问题，由此改善了用户感受。

本申请实施例提供的技术方案可以适用于多种系统，尤其是5G系统。例如适用的系统可以是全球移动通讯(global system of mobile communication，GSM)系统、码分多址(code division multiple access，CDMA)系统、宽带码分多址(Wideband CodeDivision Multiple Access，WCDMA)通用分组无线业务(general packet radio service，GPRS)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequencydivision duplex，FDD)系统、LTE时分双工(time division duplex，TDD)、通用移动系统(universal mobile telecommunication system，UMTS)、全球互联微波接入(worldwideinteroperability for microwave access，WiMAX)系统、5G系统以及5G NR系统等。这多种系统中均包括终端设备和网络设备。

本申请实施例涉及的终端设备，可以是指向用户提供语音和/或数据连通性的设备，具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。在不同的系统中，终端设备的名称可能也不相同，例如在5G系统中，终端设备可以称为用户设备(user equipment，UE)。无线终端设备可以经RAN与一个或多个核心网进行通信，无线终端设备可以是移动终端设备，如移动电话(或称为“蜂窝”电话)和具有移动终端设备的计算机，例如，可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语言和/或数据。例如，个人通信业务(personal communication service，PCS)电话、无绳电话、会话发起协议(session initiated protocol，SIP)话机、无线本地环路(wireless local loop，WLL)站、个人数字助理(personal digital assistant，PDA)等设备。无线终端设备也可以称为系统、订户单元(subscriber unit)、订户站(subscriberstation)，移动站(mobile station)、移动台(mobile)、远程站(remote station)、接入点(access point)、远程终端设备(remote terminal)、接入终端设备(access terminal)、用户终端设备(user terminal)、用户代理(user agent)、用户装置(user device)，本申请实施例中并不限定。

本申请实施例涉及的网络设备，可以是基站，该基站可以包括多个小区。根据具体应用场合不同，基站又可以称为接入点，或者可以是指接入网中在空中接口上通过一个或多个扇区与无线终端设备通信的设备，或者其它名称。网络设备可用于将收到的空中帧与网际协议(internet protocol，IP)分组进行相互转换，作为无线终端设备与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(IP)通信网络。网络设备还可协调对空中接口的属性管理。例如，本申请实施例涉及的网络设备可以是全球移动通信系统(global system for mobile communications，GSM)或码分多址接入(code divisionmultiple access，CDMA)中的网络设备(base transceiver station，BTS)，也可以是带宽码分多址接入(wide-band code division multiple access，WCDMA)中的网络设备(NodeB)，还可以是长期演进(long term evolution，LTE)系统中的演进型网络设备(evolutional node B，eNB或e-NodeB)、5G网络架构(next generation system)中的5G基站，也可是家庭演进基站(home evolved node B，HeNB)、中继节点(relay node)、家庭基站(femto)、微微基站(pico)等，本申请实施例中并不限定。

本申请实施例在收到AMF实体发起的鉴权初始请求后，AUSF实体在鉴权过程中同时向HSS与UDM查询鉴权向量，下面结合说明书附图对本申请各个实施例进行详细描述。需要说明的是，本申请实施例的展示顺序仅代表实施例的先后顺序，并不代表实施例所提供的技术方案的优劣。

UDM在签约数据以及接入网类型，可能选择5G-AKA*作为该用户的鉴权方法，以下实施例具体说明了5G-AKA*鉴权流程，参见图4：

实施例一：鉴权流程由AUSF实体网元发起。

步骤401，AUSF实体网元通过发送鉴权消息响应(Authentication InformationResponse，Auth-info Req)消息向UDM索要鉴权向量。

步骤402，UDM根据签约信息以及网络类型，选择鉴权方式，如果选择的是5G-AKA*鉴权方式，UDM计算出鉴权向量，并将鉴权向量发送给AUSF实体。

步骤403，AUSF实体再次将鉴权向量重新计算，利用增强的预期值(ExpectResponse，XRES*)生成本地存储的增强预期值(Home Expect Response，HXRES*)。并将HXRES*替换XRES*，将鉴权向量发送给AMF实体。在该消息中，AUSF实体可以给AMF实体一个指示，指示是否需要AMF实体对AUSF实体回复响应。

步骤404，AMF实体保存鉴权向量，并将随机数(Random Number,RAND)和鉴权令牌(Authentication Token,AUTN)发送给UE。

步骤405，UE使用相同的方式计算得出响应值(Response，RES)，并根据RES计算得出增强响应值(Response，RES*)，用鉴权响应消息发送给AMF实体。

步骤406，AMF实体根据RES*计算本地存储响应值(HRES*)。

AMF实体比对HRES*与HXRES*是否一致，一致则鉴权成功。

如果鉴权成功，后续使用KASME*作为后续非接入层(Non-Access Stratum，NAS)安全以及接入层(Access Stratum，AS)安全的根密钥进行推衍。

如果AUSF实体计算鉴权结果一致，同时在AUSF实体向AMF实体发送的5G鉴权初始应答(5G Authentication Initiation Answer，5G-AIA)消息中指示AMF实体需要将鉴权结果进一步发送给AUSF实体校验，则AMF实体向AUSF实体返回确认消息5G鉴权确认(5GAuthentication Confirmation，5G-AC)，携带终端发送的RES*。

AUSF实体将RES*和保存的XRES*进行比对，一致则鉴权成功。

在AUSF实体向AMF实体发送5G-AIA消息后，如果AUSF实体需要AMF实体对该次鉴权进行应答，则AUSF实体将启动一个定时器。在定时器溢出之前，收到5G-AC并校验通过，作为该次鉴权成功。

AUSF实体在步骤403的用于指示是否需要AMF实体对AUSF实体回复响应的指示，该指示可以在AUSF中由功能设备的固定配置决定。以下实施例具体说明了改进的第三代认证和密钥协商的可扩展认证协议方法(Improved Extensible Authentication ProtocolMethod for 3rd Generation Authentication and Key Agreement，EAP-AKA’)鉴权流程，参见图5：

实施例二：

步骤501～502，在UDM选择EAP-AKA’作为鉴权算法后。UDM生成鉴权向量，并将鉴权向量中的CK、IK和引起服务网络名称(serving network name)作为计算参数，计算得出CK'和IK'；并根据CK'和IK'计算新的鉴权向量。

步骤503，在5G-AIA消息中携带EAP请求(EAP-Request)和认证矢量(Challenge OfAuthentication and Key Agreement，AKA'-Challenge)。其中AKA'-Challenge包含随机数数值AT_RAND、鉴权向量AT_AUTN、密钥推衍函数AT_KDF、密钥推衍函数输入AT_KDF_INPUT和消息鉴权向量AT_MAC，并由EAP消息封装。EAP消息封装在5G-AIA中传递给AMF实体。

步骤50，AMF实体从5G-AIA消息中取出EAP-Request/AKA'-Challenge消息，不解析，直接发送给UE。

步骤505，UE检查使用的serving network name，并比较从AT_KDF_INPUT获得的网络名进行比较，如果一致，使用AKA'计算AUTN和MAC，并比较传递的AT_AUTN和AT_MAC。如果一致，则计算生成RES。并构造AT_RES和AT_MAC，通过EAP-Response/AKA'-Challenge返回给AMF实体。

步骤506，AMF实体将EAP-Response/AKA'-Challenge透传给AUSF实体。

步骤507，AUSF实体用收到的AT_RES与AUSF上存储的RES比较，AT_MAC与MAC进行比较，当比较结果都取得一致鉴权成功。步骤508，在AUSF实体认为鉴权成功后，AUSF实体将密钥MSK发送给AMF实体。

在本申请实施例中，AUSF实体不只支持服务化接口，还需要在目前3GPP(3rdGeneration Partnership Project，第三代合作伙伴计划)协议的规定之外，新增支持使用SCTP链接承载DIAMETER消息的协议接口，参考图6与图7，以下实施例具体说明了新的NGC鉴权服务流程，参见图8。

实施例三：

步骤801，UE发起注册过程，向网络发送注册请求(Registration Request)消息；

步骤802，新无线基站(New Radio Node B，gNB)向AMF实体通过N2接口转发注册请求(Registration Request)消息；

步骤803，AMF实体向AUSF实体发起鉴权流程。并向AUSF实体发送初始鉴权请求(5G-AIR)消息，消息中携带SUPI，以及SN-name(网络名称)。

步骤804，AUSF实体网元通过发送Auth-info Req消息向UDM索要鉴权向量。消息格式采用现有5G技术中的服务化restfulHTTP消息格式；

并且步骤804与步骤805同时发起；

步骤805，AUSF实体与HSS之间的连接接口参见图6，AUSF实体向UDM索要鉴权向量的消息格式以Diameter消息的形式，向HSS发送鉴权信息请求(AuthenticationInformation Request)，参见图7；

步骤806，对应与步骤804的请求消息。UDM将根据SUPI查找用户。如果UDM中保存有该用户的签约信息。则UDM根据签约信息以及网络类型，选择鉴权方式，如果选择的是EPC-AKA*鉴权方式，UDM计算出鉴权向量。将鉴权向量通过鉴权信息响应(Auth Info Response)发送给AUSF实体。

如果UDM没有保存该用户的签约信息，则UDM在鉴权信息响应(Auth InfoResponse)携带USER NOT FOUND(用户找不到)原因告知AUSF实体；

步骤807，对应步骤805中的鉴权请求；HSS根据IMSI查找用户的签约信息。如果找到，则计算鉴权向量，并将鉴权向量以Diameter消息鉴权信息响应(AuthenticationInformation Response)消息发送给AUSF实体；

如果HSS中没有保存该用户的签约数据，则在Diameter消息鉴权信息响应(Authentication Information Response)消息携带失败原因USER NOT FOUND(用户找不到)。

以上，步骤806以及步骤807并无先后顺序；HSS和UDM的响应消息，可能达到AUSF实体有先后顺序；

并且可能同时成功或者部分成功，或者同时返回USER NOT FOUND(用户找不到)失败原因。

当UDM与HSS同时返回USER NOT FOUND(用户找不到)原因时，AUSF实体将指示鉴权失败，流程失败，如图4所示。

当HSS与UDM返回的消息中任何一个指示成功，AUSF实体都可以从中获取到鉴权向量。

在此规定，从HSS发送的鉴权信息响应(Authentication Information Response)消息，以及从UDM发送的鉴权信息响应(Auth Info Response)消息。AUSF实体从先收到的第一个指示成功的消息中获取鉴权向量。

具体的，有以下多种可能情况：

可能1，如果先收到来自UDM的鉴权向量，则AUSF实体后续的处理流程与原有协议的处理流程一样。如果UDM选择是5G-AKA*算法，则如图4中的步骤403，404，405，406；

如果UDM选择的是EAP-AKA’鉴权算法，则如图5的步骤503，504，505，506，507，508；

可能2，如果先收到来自HSS的鉴权向量。则由AUSF实体固定选择5G-AKA*算法。后续流程如下：

步骤808，AUSF实体再次将鉴权向量重新计算，利用XRES*生成HXRES*。并将HXRES*替换XRES*，将鉴权向量发送给AMF实体。在该消息中，AUSF实体可以给AMF实体一个指示，指示是否需要AMF实体对AUSF实体回响应。

步骤809，AMF实体保存鉴权向量，并将RAND,AUTN在鉴权请求(AUTHENTICATIONREQUEST)消息中发送给UE。

步骤810，UE使用相同的方式计算得出RES，并根据RES计算得出RES*，用鉴权响应(AUTHENTICATION RESPONSE)消息发送给AMF实体。

步骤811，AMF实体根据RES*计算HRES*。

AMF实体比对HRES*与HXRES*是否一致，一致则鉴权成功。

如果鉴权成功，后续使用KAMF*作为后续NAS安全以及AS安全的根密钥进行推衍。

如果AUSF实体计算鉴权结果一致，同时在AUSF实体向AMF实体发送的5G-AIA消息中指示AMF实体需要将鉴权结果进一步发送给AUSF实体校验，则AMF实体向AUSF实体返回确认消息(5G-AC)，携带终端发送的RES*。

AUSF实体将RES*和保存的XRES*进行比对，一致则鉴权成功。

特别的，在AUSF实体向AMF实体发送5G-AIA消息后，如果AUSF实体需要AMF实体对该次鉴权进行应答，则AUSF实体将启动一个定时器。在定时器溢出之前，收到5G-AC并校验通过，作为该次鉴权成功。

由于HSS中计算鉴权向量使用的是SN ID，而5G NGC中计算密钥使用的是Servingnetwork name；在现有3GPP技术规范(Technical Specification，TS)33.501协议的定义中，服务网络名称Serving network name由服务码"5G"以及分隔符":"和SN ID组成，因此计算方式不同。

实施例三为了兼容4G切入到5G系统的计算方法，做了以下修改：

方法一、对原有3GPP TS 33.501协议中的服务网络名称(Serving network name)进行新的定义，服务网络名称(Serving network name)等同于SN ID。

改动在于UE通过NAS消息传递到网络的服务网络名称Serving network name等同于SN ID，后续NGC不对服务网络名称Serving network name的内容作校验和修改。

方法二，由AUSF实体在图8的步骤805中，传递标识，标识该消息是来自5G NGC。HSS在识别来自NGC的消息后，计算入参使用服务网络名称Serving network name替换SN id作为输入。后续流程与图8新的NGC鉴权服务过程一致。

具体的AUSF实体向4G HSS传递标识消息来自5G NGC的信息元素新增服务网络名称标识(Serving Network Name Flag)，该项为可选项，当该项携带并置位的时候，标识该消息计算来自于5G网络。

实施例四：HSS在收到鉴权信息请求消息，判断消息中是否包含服务网络名称标识，参见图9；

如果包含，则使用服务网络名称(Serving network name)，SQN与AK作为入参计算鉴权向量；

对KDF算法输入的S由以下部分组成：

-FC＝0x10；

-P0＝Serving Network Name；

-L0＝length of Serving Network Name；

-

-L1＝length of SQN AK(i.e.0x00 0x06)；

KDF的另外一个输入由CK||IK组成；

如果不包含，则和原有鉴权向量计算方法一致。计算方法使用KDF算法，和原有协议方法保持一致；

对KDF算法输入的S由以下部分组成：

-FC＝0x10；

-P0＝SN id；

-L0＝length of SN id；

-

-L1＝length of SQN AK(i.e.0x00 0x06)；

KDF的另外一个输入由CK||IK组成。

其它，后续AUSF实体以及AMF实体的处理保持不变。

综上所述，在AUSF实体侧，本申请实施例提供一种鉴权方法，参见图10包括：

S101、鉴权服务功能AUSF实体接收接入与移动性管理功能AMF实体发送的初始鉴权请求；

S102、所述AUSF实体向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求。

在HSS侧，本申请实施例提供一种鉴权方法，参见图11包括：

S201、归属用户服务器HSS接收鉴权服务功能AUSF实体发送的鉴权信息请求；

S202、所述HSS向所述AUSF实体反馈鉴权信息响应。

在AUSF实体侧，本申请实施例提供一种鉴权装置，参见图12，包括：

接收单元11，用于接收接入与移动性管理功能AMF实体发送的初始鉴权请求；

发送单元12，用于向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求。

本申请实施例提供一种同步广播信息的检测装置，参见图13，包括：

接收单元21，用于接收AUSF实体发送的鉴权信息请求；

检测单元22，用于发送对鉴权服务功能AUSF实体鉴权信息请求的响应。

需要说明的是，本申请实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例提供了一种计算设备，该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)等。该计算设备可以包括中央处理器(Center Processing Unit，CPU)、存储器、输入/输出设备等，输入设备可以包括键盘、鼠标、触摸屏等，输出设备可以包括显示设备，如液晶显示器(Liquid Crystal Display，LCD)、阴极射线管(Cathode Ray Tube，CRT)等。

存储器可以包括只读存储器(ROM)和随机存取存储器(RAM)，并向处理器提供存储器中存储的程序指令和数据。在本申请实施例中，存储器可以用于存储本申请实施例提供的任一所述方法的程序。

处理器通过调用存储器存储的程序指令，处理器用于按照获得的程序指令执行本申请实施例提供的任一所述方法。

在AUSF实体侧，本申请实施例提供一种鉴权装置，参见图14，包括：

处理器600，用于读取存储器620中的程序，执行下列过程：

通过收发机610接收接入与移动性管理功能AMF实体发送的初始鉴权请求，或发送鉴权信息请求。

可选地，若所述AUSF实体先收到所述HSS反馈的鉴权信息响应，并且从所述HSS反馈的鉴权信息响应中获取鉴权向量，则所述AUSF实体采用5G系统的鉴权与密钥协商5G-AKA*算法将所述鉴权向量重新计算，利用增强的预期值XRES*生成本地存储的增强预期值HXRES*，并将HXRES*替换XRES*，将该重新计算得到的鉴权向量发送给所述AMF实体。

收发机610，用于在处理器600的控制下接收和发送数据。

若是在HSS侧，则处理器600，用于调用所述存储器620中存储的程序指令，按照获得的程序执行：归属用户服务器HSS接收鉴权服务功能AUSF实体发送的鉴权信息请求，所述HSS向所述AUSF实体反馈鉴权信息响应。

可选地，所述服务网络名称为服务网络标识SN ID。

其中，在图14中，总线架构可以包括任意数量的互联的总线和桥，具体由处理器600代表的一个或多个处理器和存储器620代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口提供接口。收发机610可以是多个元件，即包括发送机和接收机，提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备，用户接口630还可以是能够外接内接需要设备的接口，连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。

处理器600负责管理总线架构和通常的处理，存储器620可以存储处理器600在执行操作时所使用的数据。

可选的，处理器600可以是CPU(中央处埋器)、ASIC(Application SpecificIntegrated Circuit，专用集成电路)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)或CPLD(Complex Programmable Logic Device，复杂可编程逻辑器件)。

所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD))等。

本申请实施例提供的方法可以应用于终端设备，也可以应用于网络设备。

其中，终端设备也可称之为用户设备(User Equipment，简称为“UE”)、移动台(Mobile Station，简称为“MS”)、移动终端(Mobile Terminal)等，可选的，该终端可以具备经无线接入网(Radio Access Network，RAN)与一个或多个核心网进行通信的能力，例如，终端可以是移动电话(或称为“蜂窝”电话)、或具有移动性质的计算机等，例如，终端还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置。

网络设备可以为基站(例如，接入点)，指接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与IP分组进行相互转换，作为无线终端与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(IP)网络。基站还可协调对空中接口的属性管理。例如，基站可以是GSM或CDMA中的基站(BTS，BaseTransceiver Station)，也可以是WCDMA中的基站(NodeB)，还可以是LTE中的演进型基站(NodeB或eNB或e-NodeB，evolutional Node B)，或者也可以是5G系统中的gNB等。本申请实施例中不做限定。

上述方法处理流程可以用软件程序实现，该软件程序可以存储在存储介质中，当存储的软件程序被调用时，执行上述方法步骤。

综上所述，本申请提供的一种鉴权方法及装置避免了在原有4G用户切换5G实验网覆盖范围情况下，下一代核心网NGC由于无法取到现网合法用户数据导致的鉴权失败而注册失败的问题，在5G试验网建设以及大规模建网初期，将给用户带来好的体验。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种鉴权方法，其特征在于，该方法包括：

所述AUSF实体向统一数据管理UDM实体以及归属用户服务器HSS发送鉴权信息请求，所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS；

所述AUSF实体接收所述UDM实体以及所述HSS反馈的鉴权信息响应。

2.根据权利要求1所述的方法，其特征在于，该方法包括：

若所述UDM实体以及所述HSS反馈的鉴权信息响应中都指示用户找不到，则所述AUSF实体向所述AMF实体指示鉴权失败。

3.根据权利要求1所述的方法，其特征在于，该方法包括：

若所述AUSF实体先收到所述HSS反馈的鉴权信息响应，并且从所述HSS反馈的鉴权信息响应中获取鉴权向量，则所述AUSF实体采用5G系统的鉴权与密钥协商5G-AKA*算法将所述鉴权向量重新计算，利用增强的预期值XRES*生成本地存储的增强预期值HXRES*，并将HXRES*替换XRES*，将该重新计算得到的鉴权向量发送给所述AMF实体。

4.根据权利要求1所述的方法，其特征在于，所述AUSF实体向所述HSS发送的鉴权信息请求中携带有用于指示该请求来自于5G核心网的标识。

5.一种鉴权方法，其特征在于，该方法包括：

归属用户服务器HSS接收鉴权服务功能AUSF实体发送的鉴权信息请求；其中，所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS；

所述HSS向所述AUSF实体反馈鉴权信息响应。

6.根据权利要求5所述的方法，其特征在于，若所述鉴权信息请求中携带有用于指示鉴权信息请求是来自于5G核心网的标识，则所述HSS使用服务网络名称、序号SQN和匿名密钥AK计算鉴权向量，并将该鉴权向量携带在所述鉴权信息响应中。

7.根据权利要求6所述的方法，其特征在于，所述服务网络名称为服务网络标识SN ID。

8.一种鉴权装置，其特征在于，该装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行权利要求1至7任意一项所述的方法。

9.一种鉴权装置，其特征在于，该装置包括：

接收单元，用于接收接入与移动性管理功能AMF实体发送的初始鉴权请求，所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS；

10.一种鉴权装置，其特征在于，该装置包括：

接收单元，用于接收AUSF实体发送的鉴权信息请求；其中，所述AUSF实体使用流控制传输协议SCTP链接承载协议簇Diameter消息接入所述HSS；

11.一种计算机存储介质，其特征在于，所述计算机存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1至7任一项所述的方法。