[发明专利]一种实现主认证增强的安全UDM/HSS设计方法及系统

权利要求书

1.一种实现主认证增强的安全UDM/HSS系统，其特征在于，包括：

定制UDM/HSS设备，所述定制UDM/HSS设备完成标准UDM/HSS除鉴权向量以外的功能；

以及至少一个主认证增强设备，所述主认证增强设备完成AKA过程中鉴权向量的生成；所述主认证增强设备与所述定制UDM/HSS设备之间通过定义专用协议进行通信，接口形式包括远程调用、服务化接口和定制通信协议，二者协同完成网络侧的主认证增强功能；

所述定制UDM/HSS设备与所述主认证增强设备之间采用双向认证机制，包括以下步骤：

S11. 所述定制UDM/HSS设备向所述主认证增强设备发起接入请求；

S12. 所述主认证增强设备接收到所述接入请求之后，计算认证挑战信息，然后发送给所述定制UDM/HSS设备；

S13. 所述定制UDM/HSS设备接收到所述认证挑战信息后，对所述主认证增强设备进行认证，并计算应答信息返回给所述主认证增强设备；

S14. 所述主认证增强设备接收到所述应答信息后，对所述定制UDM/HSS设备进行认证，并返回认证结果；若所述定制UDM/HSS设备与所述主认证增强设备双向认证成功，将进入正常工作流程，若认证失败，所述主认证增强设备将拒绝所述定制UDM/HSS设备的访问；

对来自终端的主认证请求的处理包括以下步骤：

S21. 所述定制UDM/HSS设备从核心网其它网元接收到来自终端的主认证请求；

S22. 所述定制UDM/HSS设备根据终端标识索引查询其配置策略，并选择相应的主认证增强设备；

S23. 所述定制UDM/HSS设备请求所述主认证增强设备为终端生成认证向量；

S24. 所述主认证增强设备将所述认证向量返回给所述定制UDM/HSS设备；

S25. 所述定制UDM/HSS设备将所述认证向量返回给所述核心网其它网元。

2.根据权利要求1所述的一种实现主认证增强的安全UDM/HSS系统，其特征在于，所述主认证增强设备用于维护主认证需要的终端鉴权签约信息，在AKA过程中生成主认证增强所需的认证向量；所述终端鉴权签约信息包括终端SUPI/IMSI、根密钥K、鉴权参数OPC、随机数RAND以及同步序列码SQN。

3.一种基于如权利要求1所述的实现主认证增强的安全UDM/HSS系统的安全UDM/HSS设计方法，其特征在于，当终端入网发起主认证时，所述定制UDM/HSS设备接收到来自终端的主认证请求后，向所述主认证增强设备发起请求，由所述主认证增强设备生成AKA鉴权向量并返回给所述定制UDM/HSS设备，再由所述定制UDM/HSS设备执行主认证后续流程。

4.根据权利要求3所述的一种实现主认证增强的安全UDM/HSS设计方法，其特征在于，在步骤S23中，所述定制UDM/HSS设备请求所述主认证增强设备为终端生成认证向量时，需要发送的消息包括：发起主认证请求的终端标识信息、AKA类型、服务网络名称和重同步参数AUTS；所述AKA类型包括EPS-AKA、EAP-AKA'和5G AKA。

5.根据权利要求4所述的一种实现主认证增强的安全UDM/HSS设计方法，其特征在于，在步骤S24中，所述主认证增强设备将所述认证向量返回给所述定制UDM/HSS设备时，且：

a. 当AKA类型为EPS-AKA时，需要发送的信息包括：随机数RAND、鉴权令牌AUTN、期望响应XRES和接入安全管理实体密钥Kasme；

b. 当AKA类型为EAP-AKA'时，需要发送的信息包括：随机数RAND、鉴权令牌AUTN、期望响应XRES、加密密钥CK'和完整性保护密钥IK'；

c. 当AKA类型为5G AKA时，需要发送的信息包括：随机数RAND、鉴权令牌AUTN、期望响应XRES*和认证服务密钥Kausf。

6.根据权利要求3所述的一种实现主认证增强的安全UDM/HSS设计方法，其特征在于，对于具有不同配置策略的终端，所述定制UDM/HSS设备会根据SUPI/IMSI索引查询用户签约数据，并根据签约数据信息向相应的主认证增强设备发起生成鉴权向量请求，包括以下步骤：

S31. 所述定制UDM/HSS设备从核心网其它网元接收到来自终端的主认证请求；

S32. 所述定制UDM/HSS设备根据终端标识索引查询终端用户签约信息表，以获取终端配置策略k；

S33. 所述定制UDM/HSS设备查询主认证增强设备信息表，以获取与配置策略k相对应的主认证增强设备x；

S34. 所述定制UDM/HSS设备请求所述主认证增强设备x为终端生成认证向量；

S35. 所述定制UDM/HSS设备将所述认证向量返回给所述核心网其它网元。