[发明专利]一种认证方法、装置、系统、设备及存储介质

说明书

本发明公开了一种认证方法、装置、系统、设备及存储介质，所述方法包括：AUSF设备接收包含随机数RAND、认证令牌AUTN、期望的响应和会话根密钥的认证矢量，并获取加密密钥，采用所述加密密钥对所述会话根密钥进行加密；向SEAF设备发送包括RAND、AUTN和加密后的会话根密钥的5G‑AIA消息，使SEAF设备将RAND、AUTN发送给UE，并根据UE返回的认证响应采用预设的算法确定解密密钥，对加密的会话根密钥进行解密；接收SEAF设备对加密后的会话根密钥解密成功后发送的5G‑AC消息，确定其完成对UE的认证。用以解决现有技术中存在会话根密钥明文传输，易被攻击者获取，影响用户通信安全的问题。

技术领域

本发明涉及通信技术领域，尤其涉及一种认证方法、装置、系统、设备及存储介质。

背景技术

为了应对未来爆炸性的移动数据流量增长、海量的设备连接、不断涌现的各类新业务和应用场景，第五代移动通信系统(5th-Generation，5G)应运而生。演进分组系统-认证与密钥协商协议(Evolved Packet System-Authentication and Key Agreement，EPS-AKA)是一种用于实时验证通信实体身份真实性的密码学协议，它在一个安全系统中起关键作用，除了身份认证外常附带有会话密钥建立的功能，因此也被称为认证密钥建立协议。3GPP TS 33.501已决定把EPS-AKA*作为5G中对3GPP用户进行接入认证的认证协议之一。EPS-AKA*是EPS-AKA的一个改进。EPS-AKA*相比EPS-AKA的改进之处增强了认证服务功能(Authentication Server Function，AUSF)设备对UE认证结果的监控，这样避免安全锚点功能(Security Anchor Function，SEAF)设备对AUSF设备可能进行的认证结果欺骗。其方法是在SEAF设备对UE成功认证后，SEAF设备还要把认证结果返回给AUSF设备，以确认UE是否在SEAF设备已认证。

然而，在这种认证方式下，EPS-AKA*与EPS-AKA一样会把会话根密钥从AUSF设备明文传输到SEAF设备，攻击者可以对传输的会话根密钥进行窃取，并根据会话根密钥窃听SEAF设备通信的内容，无法保证用户的通信安全，影响了用户体验。

发明内容

本发明提供一种认证方法、装置、系统、设备及存储介质，用以解决现有技术中存在会话根密钥在AUSF设备及SEAF设备之间明文传输时，易被攻击者获取，影响用户通信安全及体验的问题。

本发明公开了一种认证方法，应用于认证服务功能AUSF设备，所述方法包括：

接收包含随机数RAND、认证令牌AUTN、期望的响应和会话根密钥的认证矢量，并获取加密密钥，采用所述加密密钥对所述会话根密钥进行加密，其中所述加密密钥根据期望的响应及预设的算法确定；

向安全锚点功能SEAF设备发送包括RAND、AUTN和加密后的会话根密钥的5G认证启动响应5G-AIA消息，使所述SEAF设备接收到所述5G-AIA消息后，将所述RAND、AUTN发送给所述UE，并根据所述UE返回的认证响应采用所述预设的算法生成解密密钥，对所述加密后的会话根密钥进行解密；

接收SEAF设备发送的5G认证确认5G-AC消息，确定所述SEAF设备完成对UE的认证，其中所述5G-AC消息为所述SEAF设备对所述加密后的会话根密钥解密成功后发送的。

进一步地，所述获取加密密钥包括：

根据所述认证矢量中包含的期望的响应，及预设的算法生成第一密钥，并根据生成的所述第一密钥获取加密密钥；或

接收认证凭证存储和处理功能ARPF设备发送的第一密钥，根据接收的所述第一密钥获取加密密钥，其中所述ARPF设备根据期望的响应，及预设的算法生成所述第一密钥。

进一步地，根据所述第一密钥获取加密密钥包括：