[发明专利]非3GPP接入中的5G通信网络中的安全认证

说明书

本发明涉及一种用于通信网络中的安全认证的方法。该方法在用户设备UE中执行，并且包括：通过内部认证过程提供（S100）内部认证密钥；基于内部认证密钥通过外部认证过程导出（S110）外部认证密钥，其中外部认证密钥不同于内部认证密钥；以及将导出的外部认证密钥提供（S120）给安全协议/用于后续的安全通信。还呈现了一种用于通信网络中的安全认证的方法、用户设备、网络节点、5G核心网络、计算机程序和计算机程序产品。

技术领域

本发明涉及用于通信网络中的安全认证的方法、用于通信网络中的安全认证的用户设备、网络节点和5G核心网络以及对应的计算机程序和计算机程序产品。

背景技术

第3代合作伙伴计划（3GPP）在技术规范（TS）23.501和23.502中正在规定5G注册过程。在TS 33.501中正在规定安全方面。

用于在非3GPP接入上注册的当前解决方案在会议贡献文档（TDoc）S2-177794中被规定（它将被包括在TS 23.502条款4.12.2中）。预期将在TS 33.501中规定更多的安全细节。尤其是，TDoc描述了使用两个嵌套的可扩展认证协议（EAP）过程，EAP-5G和EAP认证和密钥协定（AKA’）。

来自S2-17794的条款4.12.2——经由不可信非3GPP接入进行注册规定了用户设备（UE）能如何经由不可信非3GPP接入网注册到5G核心（5GC）网络。它基于在条款4.2.2.2.2中规定的注册过程，并且它使用称为EAP-5G的供应商特定的EAP过程。EAP-5G分组利用扩充的EAP类型和在管理信息结构（SMI）私有企业代码注册下向IANA注册的现有3GPP供应商Id。EAP-5G过程在UE和非3GPP互通功能（N3IWF）之间使用，并且仅用于封装非接入层（NAS）消息（不用于认证）。如果UE需要被认证，则在UE和认证服务器功能（AUSF）之间执行EAP-AKA’相互认证，如下所示。在TS 33.501中规定了EAP-AKA’认证过程的细节。

在经由不可信非3GPP接入的注册和后续注册过程中，总是在UE和AMF之间交换NAS消息。在可能的时候，可以通过在认证管理功能（AMF）中重复使用现有的UE安全上下文来对UE进行认证。

图1中示出了来自TS 23.502的图4.12.2-1，示出了经由不可信非3GPP接入的注册。

1. UE用3GPP范围之外的过程连接到不可信非3GPP接入网，并且它被指配了IP地址。可以使用任何非3GPP认证方法，例如无认证（在免费的无线局域网（WLAN）的情况下）、具有预共享密钥的EAP、用户名/密码等。当UE决定附接到5GC网络时，UE选择5G公共陆地移动网络（PLMN）中的N3IWF，如TS 23.501条款6.3.6中所描述的。

2. UE通过根据请求注解（RFC）7296发起因特网密钥交换（IKE）初始交换，继续建立与选择的N3IWF的IPsec安全关联（SA）。在步骤2之后，通过使用在该步骤中建立的IKE SA对所有后续IKE消息进行加密和完整性保护。

3. UE将通过发送IKE_AUTH请求消息来发起IKE_AUTH交换。AUTH有效载荷不被包括在IKE_AUTH请求消息中，该消息指示IKE_AUTH交换将使用EAP信令（在这种情况下为EAP-5G信令）。

4. N3IWF用IKE_AUTH响应消息进行响应，该消息包括EAP-Request/5G-Start分组。EAP-Request/5G-Start分组通知UE发起EAP-5G会话，即，开始发送封装在EAP-5G分组内的NAS消息。