本發明公開了一種網絡認證方法、相關設備及系統。該方法包括：網絡認證網元接收用戶設備發送的接入請求；所述接入請求包含所述用戶設備的標識信息；所述網絡認證網元驗證所述標識信息是否合法，如果合法，則根據所述標識信息確定所述用戶設備對應的切片認證網元；所述網絡認證網元向所述用戶設備對應的切片認證網元發送所述標識信息；所述標識信息用于所述用戶設備對應的切片認證網元產生針對所述用戶設備的認證數據，利用所述認證數據向所述用戶設備發起用戶認證請求。上述方案可實現用戶設備快速、高效的接入網絡切片，并保證了用戶設備接入網絡時的安全防護。

技術領域

本發明涉及移動通信網絡的網絡安全技術領域，尤其涉及一種網絡認證方法、相關設備及系統。

背景技術

網絡切片(Network Slicing)是5G及未來通信網絡中的一項重要技術，面向業務配置網絡的特性使得它成為未來網絡發展的關鍵驅動力：快速推出新業務；支持多樣化的商業模式、提供功能/性能/安全保護的差異化、滿足不同應用、行業的需求；使能客戶創新、簡化運維、降低運營成本。正是由于網絡切片的多樣性、靈活性，為網絡切片的架構、協議流程的設計帶來了極大的挑戰。其中，如何設計安全、高效的用戶設備(User Equipment，UE)接入網絡切片的認證協議，成為5G網絡亟需解決的一個重要問題。如何既保證用戶設備(移動通信終端或IoT(Internet of Things，物聯網)設備)能快速地接入網絡切片、得到個性化服務，又同時得到應有的網絡接入安全防護，免受外界的攻擊。

在現有的移動通信網絡(3G/LTE)中，用戶設備和MNO網絡是基于預共享密鑰的用戶認證。預共享密鑰是將對稱密鑰預先放置在用戶設備的SIM卡中和核心網的歸屬簽約用戶服務器(Home Subscriber Server，HSS)中。在認證時，采用的協議是3GPP TS 33.401中所描述的AKA(Authentication and Key Agreement)協議。所述基于預共享密鑰的用戶認證可以如圖1所示，UE和HSS中保存有預共享密鑰。認證時移動管理網元(MobilityManagement Entity，MME)從HSS處取認證向量(Authentication Vector，AV)，和UE進行用戶認證，具體流程如下包括：

步驟1、UE發送接入請求給MME。該入網請求包括國際移動用戶身份標識(International Mobile Subscriber Identity，IMSI)，用戶安全能力(UE securitycapability)等信息。

步驟2、在收到接入認證后,MME向HSS發送入網認證數據請求(AuthenticationData Request)。入網數據請求包括：IMSI,服務網絡的身份標識(Service NetworkIdentity，SN ID)和網絡類型(Network Type)。

步驟3、在收到認證數據請求后,HSS根據IMSI找到對應的密鑰K,然后計算認證向量，計算認證向量的輸入參數包括：密鑰K,隨機數RAND,SN ID,SQN(Sequence Number，序列號)，輸出參數包括：網絡認證令牌AUTN_HSS,XRES(expected RES，期望認證響應)和ASME密鑰(K_ASME)。

步驟4、HSS將認證向量通過認證數據響應(Authentication Data Response)發送給MME。

步驟5、MME將認證向量進行保存。

步驟6、MME向UE發起用戶認證請求(User Authentication Request)。用戶認證請求包括：隨機數RAND、認證令牌AUTN_HSS和ASME密鑰(K_ASME)。