[发明专利]认证的方法、装置及系统

说明书

本申请提供了一种认证的方法、装置及系统，涉及网络安全技术领域。该认证的方法包括：UE向第一认证节点发送第一请求消息，该第一请求消息包括用于指示UE是否包括通用用户标识模块USIM的第一指示信息；UE接收第一认证节点发送的第三请求消息，该第三请求消息包括：第一认证信息中RAND和AUTN；或者，第二认证信息中的RAND和AUTN；其中，第一认证信息针对UE包括的USIM，第二认证信息为UE不包括USIM时，针对UE包括的移动终端；UE根据第三请求消息确定根密钥和用户响应RES。根据本申请实施例提供的认证方法，可以实现UE侧移动终端与USIM或UICC采用不同的认证方式，进而实现密钥隔离。

技术领域

本申请涉及网络安全技术领域，更具体地涉及一种认证的方法、装置及系统。

背景技术

随着网络技术的快速的发展，网络安全成为日益突出的问题。已有的物联网安全框架，可以通过通用引导架构(generic bootstrapping architecture，GBA)技术来建立用户设备(user equipment，UE)与网络应用服务器(network application function，NAF)之间的安全隧道，其中，GBA技术包括GBA认证与密钥协商(authentication and keyagreement，AKA)认证。此外，随着第五代移动通信(the 5^th generation，5G)的发展，目前也可以通过5G网络来为UE与NAF之间建立安全隧道，即利用5G网络实现UE和第三方应用服务器之间的安全通信技术。

目前，对于包括有移动终端(mobile equipment，ME)和通用用户标识模块(universal subscriber identity module，USIM)的UE来说，其与网络侧之间的认证需要通过ME和USIM共同来完成。但在某些情况下，如对于支持为业务提供的认证和密钥管理(authentication and key management for application，AKMA)能力的第三方网元的业务来说，其可能不需要UE侧带有USIM或者某种特殊形式的用户标识模块(subscriberidentity module，SIM)认证。此时，可能会出现UE侧卡和移动终端具有不同的认证方式。

因此，针对AKMA业务，在UE侧卡和移动终端具有不同认证方式时，如何使UE侧与网络侧实现认证，成为亟待解决的问题。

发明内容

本申请提供一种认证的方法、装置及系统，以解决当移动终端与USIM认证方式不同时，无法实现正常认证的问题。

第一方面，提供了一种认证的方法，包括：用户设备UE向第一认证节点发送第一请求消息，所述第一请求消息包括第一指示信息，所述第一指示信息用于指示所述UE包括通用用户标识模块USIM或者不包括所述USIM；所述UE接收所述第一认证节点发送的第三请求消息，其中，所述第三请求消息包括：第一认证信息中的随机数RAND和认证令牌AUTN；或者，第二认证信息中的RAND和AUTN；其中，所述第一认证信息为针对所述UE包括的所述USIM的认证信息，所述第二认证信息为所述UE不包括所述USIM时，针对所述UE包括的移动终端的认证信息；所述UE根据所述第三请求消息确定所述UE包括的所述USIM或者所述UE包括的移动终端的根密钥和用户响应RES。

根据本申请实施例提供的认证方法，通过UE侧向网络认证节点指示该UE是否携带USIM或者UICC，使得认证节点可以针对UE包括或者不包括USIM的情况生成对应的认证信息，进而实现UE和网络侧根据具体的认证方式生成对应的密钥。

结合第一方面，在第一方面的某些实现方式中，所述UE根据所述第三请求消息确定所述UE包括的所述USIM或者所述UE包括的移动终端的根密钥和RES，包括：当所述UE包括所述USIM时，所述USIM根据所述第一认证信息中的RAND确定所述密钥和RES；或者，当所述UE不包括所述USIM时，所述移动终端根据所述第二认证信息中的RAND确定所述根密钥和RES。