[发明专利]鉴权方法、设备及系统

说明书

本申请实施例提供鉴权方法、设备及系统，以至少解决如何处理剩下未使用的n‑1个AV而可能产生的性能和内存资源浪费的问题。方法包括：鉴权实体接收来自统一数据管理实体的n个第一鉴权矢量，n为正整数；该鉴权实体根据该n个第一鉴权矢量，生成n个第二鉴权矢量；该鉴权实体向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量；该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求，并根据该鉴权确认请求对该终端进行鉴权确认；在鉴权确认成功的情况下，该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n‑1个第二鉴权矢量。

技术领域

本申请涉及通信技术领域，尤其涉及鉴权方法、设备及系统。

背景技术

在第三代合作伙伴计划(3rd generation partnership project，3GPP)技术标准(technical standard，TS)33.501 v0.40所描述的用户注册过程的鉴权流程中，若归属网络中的统一数据管理(unified data management，UDM)实体选择的鉴权算法为第五代认证和密钥协商(5rd generation-authentication and key agreement，5G-AKA)，则UDM实体可能一次产生n个鉴权矢量(authentication vector，AV)，n为正整数。进而，归属网络中的鉴权服务器功能(authentication server function，AUSF)实体可以接收来自UDM实体的n个AV。但对于某些信任类别较低的拜访网络中的安全锚点功能(security anchorfunction，SEAF)实体，AUSF实体可能仅向SEAF实体发送一个AV，当n＞1时，现有技术并没有明确说明剩下未使用的n-1个AV如何处理。若剩下未使用的n-1个AV都保存在AUSF实体，可能产生如下问题：

第一，可能对AUSF实体和UDM实体的处理性能产生一定影响。

第二，剩下未使用的n-1个AV保存在AUSF实体上将会占用AUSF实体的内存，比如若n＝10，由于AV包括随机数(random number，RAND)、鉴权令牌(authentication token，AUTN)、期望的响应值(expected response，XRES*)和密钥Kasme*，而AUTN和RAND分别占用16个字节，XRES*占用16个字节，Kasme*占用32个字节，则对于一个用户来说，n-1个AV保存在AUSF实体上将会占用9*(16+16+16+32)＝800个字节；对于1000万用户来说，n-1个AV保存在AUSF实体上将会占用1000万*800＝7.5GB内存。

因此，如何处理剩下未使用的n-1个AV而可能产生的性能和内存资源浪费的问题，是目前亟待解决的技术问题。

发明内容

本申请实施例提供鉴权方法、设备及系统，以至少解决如何处理剩下未使用的n-1个AV而可能产生的性能和内存资源浪费的问题。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，提供一种鉴权方法，该方法包括：鉴权实体接收来自统一数据管理实体的n个第一鉴权矢量，n为正整数；该鉴权实体根据该n个第一鉴权矢量，生成n个第二鉴权矢量；该鉴权实体向安全锚点功能实体发送该n个第二鉴权矢量中的其中一个第二鉴权矢量；该鉴权实体接收来自该安全锚点功能实体的鉴权确认请求，并根据该鉴权确认请求对该终端进行鉴权确认；在鉴权确认成功的情况下，该鉴权实体向该安全锚点功能实体发送该n个第二鉴矢量中其他未使用的n-1个第二鉴权矢量。基于该方案，不仅可以解决现有技术中存在的如何处理剩下未使用的n-1个第一鉴权矢量而可能产生的性能和内存资源浪费的问题，从而提高了第一鉴权矢量的使用效率；而且可以减少由于安全锚点功能实体和鉴权实体之间因为链路不通而导致的对终端鉴权失败的问题，从而提高了鉴权结果的可靠性。相关技术效果的分析可参考下述方法实施例部分，在此不再赘述。