[发明专利]安全认证方法、安全认证装置、通信设备及存储介质

权利要求书

1.一种安全认证方法，其特征在于，包括：

在采用迪菲赫尔曼DH协议生成会话密钥时，向终端发送会话密钥安全指示，所述会话密钥安全指示用于指示终端采用预设至少两个安全模式中的其中一安全模式生成会话密钥Ks；

其中，预设至少两个安全模式包括：

第一安全模式：需要进行DH密钥交换生成共享密钥K_DH，根据所述共享密钥K_DH和预先认证产生的根密钥K₁生成会话密钥Ks；

第二安全模式：不需要进行DH密钥交换生成共享密钥K_DH，根据上次认证生成的共享密钥K_DH和预先认证产生的根密钥K₁生成会话密钥Ks；

第三安全模式：不需要进行DH密钥交换，将预先认证产生的根密钥K₁设定为会话密钥Ks。

2.根据权利要求1所述的安全认证方法，其特征在于，所述向终端发送会话密钥安全指示的步骤包括：

向终端发送非接入层NAS安全模式命令，其中所述NAS安全模式命令中包括所述会话密钥安全指示。

3.根据权利要求1所述的安全认证方法，其特征在于，在所述向终端发送会话密钥安全指示的步骤之前，所述方法还包括：

与所述终端进行认证，获得所述根密钥K₁。

4.根据权利要求1所述的安全认证方法，其特征在于，当所述会话密钥安全指示用于指示终端采用所述第一安全模式生成会话密钥Ks时，所述方法还包括：向所述终端发送网络密钥组标识、终端的安全能力、加密算法、完整性算法、网络设备的DH公钥和根据预先认证的根密钥K₁进行消息验证运算获得的媒体访问控制MAC结果；

当所述会话密钥安全指示用于指示终端采用所述第二安全模式或所述第三安全模式生成会话密钥Ks时，所述方法还包括：向所述终端发送网络密钥组标识、终端的安全能力、加密算法、完整性算法和根据预先认证的根密钥K₁进行消息验证运算获得的MAC结果。

5.根据权利要求1所述的安全认证方法，其特征在于，当所述会话密钥安全指示用于指示终端采用所述第一安全模式生成会话密钥Ks时，在向终端发送会话密钥安全指示的步骤之后，所述方法还包括：

接收终端反馈的安全模式完成消息；

根据所述安全模式完成消息，计算共享密钥K_DH和会话密钥Ks；

保存所述共享密钥K_DH和所述共享密钥K_DH与所述终端的认证身份之间的对应关系。

6.根据权利要求1所述的安全认证方法，其特征在于，当所述会话密钥安全指示用于指示终端采用所述第二安全模式生成会话密钥Ks时，在向终端发送会话密钥安全指示的步骤之后，所述方法还包括：

接收终端反馈的安全模式完成消息；

根据所述安全模式完成消息，利用上次DH密钥交换时所存储与所述终端的认证身份相对应的共享密钥K_DH，计算会话密钥Ks。

7.一种安全认证方法，其特征在于，包括：

在采用迪菲赫尔曼DH协议生成会话密钥时，接收网络设备发送的会话密钥安全指示，所述会话密钥安全指示用于指示终端采用预设至少两个安全模式中的其中一安全模式生成会话密钥Ks；

根据所述会话密钥安全指示中的安全模式，计算所述会话密钥Ks；

其中，预设至少两个安全模式包括：

第一安全模式：需要进行DH密钥交换生成共享密钥K_DH，根据所述共享密钥K_DH和预先认证产生的根密钥K₁生成会话密钥Ks；

第二安全模式：不需要进行DH密钥交换生成共享密钥K_DH，根据上次生成的共享密钥K_DH和预先认证产生的根密钥K₁生成会话密钥Ks；

第三安全模式：不需要进行DH密钥交换，将预先认证产生的根密钥K₁设定为会话密钥Ks。