[发明专利]一种基于非3GPP网络的入网认证方法、相关设备及系统

权利要求书

1.一种基于非3GPP网络的入网认证方法，其特征在于，所述方法包括：

用户设备UE获取上一次成功入网后，所述UE的保留信息，所述UE的保留信息包括安全上下文信息；

根据所述UE的保留信息，确定接入和移动性管理网元AMF指示信息和第一安全密钥；

根据所述第一安全密钥生成第一认证码；

向非3GPP互通网元N3IWF发送第一请求消息，所述第一请求消息携带有所述第一认证码、所述AMF指示信息和密钥标识信息，所述第一认证码用于所述N3IWF对所述UE进行安全认证，所述密钥标识信息用于获取所述第一安全密钥；

接收所述N3IWF基于所述第一请求消息返回的第一响应消息。

2.根据权利要求1所述的方法，其特征在于，所述第一响应消息携带有第二认证码，所述第二认证码为所述N3IWF根据所述第一安全密钥生成的；所述方法还包括：

根据所述第一安全密钥生成第二验证码；

如果所述第二验证码与所述第二认证码匹配，则所述UE对所述N3IWF安全认证成功。

3.根据权利要求1所述的方法，其特征在于，所述第一安全密钥为根据所述安全上下文信中的安全密钥和第一新鲜保护参数派生的密钥。

4.根据权利要求3所述的方法，其特征在于，所述安全密钥包括Kseaf密钥或Kamf密钥，所述第一新鲜保护参数包括以下中的任意一项：计数器的计数值、第一随机数、UE临时标识。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述AMF指示信息用于指示与所述UE进行相互安全认证的第一AMF，所述AMF指示信息包括UE临时标识，或者根据UE临时标识生成的网络接入标识NAI信息。

6.根据权利要求1-4任一项所述的方法，其特征在于，所述密钥标识信息包括UE临时标识，和/或，所述UE的安全上下文信息中的密钥标识符。

7.根据权利要求1-4任一项所述的方法，其特征在于，所述第一请求消息还携带有第三认证码，所述第三认证码用于第一AMF对所述UE进行安全认证。

8.一种基于非3GPP网络的入网认证方法，其特征在于，所述方法包括：

N3IWF接收UE发送的第一请求消息，所述第一请求消息携带有第一认证码、AMF指示信息和密钥标识信息，所述第一认证码用于所述N3IWF对所述UE进行安全认证；

向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息，并接收所述密钥标识信息对应的第一安全密钥；所述第一认证码由所述UE根据第一安全密钥生成，所述AMF指示信息根据所述UE的保留信息来确定，其中，所述UE的保留信息为所述UE上一次成功入网后的保留信息，所述UE的保留信息包括安全上下文信息；

根据所述第一安全密钥生成第一验证码；

如果所述第一认证码和所述第一验证码匹配，则向所述UE发送第一响应消息。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

根据所述第一安全密钥生成第二认证码；

将所述第二认证码发送给所述UE，所述第二认证码用于所述UE对所述N3IWF进行安全认证。

10.根据权利要求8所述的方法，其特征在于，所述向所述AMF指示信息所指示的第一AMF发送所述密钥标识信息具体包括：

根据所述AMF指示信息，确定第一AMF；

向所述第一AMF发送第二请求消息，所述第二请求消息携带有所述密钥标识信息；

所述接收所述密钥标识信息对应的所述第一安全密钥具体包括：

接收所述第一AMF发送的所述第一安全密钥。