一種網絡認證方法、用戶設備、網絡認證節點及系統。用戶設備向網絡認證節點發送認證類型指示信息、用戶設備的ID以及PVT，網絡認證節點向用戶設備發送網絡認證節點的ID以及PVT。用戶設備根據網絡認證節點的ID、PVT以及基于用戶設備身份的私鑰和全局公鑰生成用戶設備對稱密鑰，并根據用戶設備對稱密鑰生成第一認證密鑰和第一密鑰推演密鑰。網絡認證節點依據用戶設備的ID、PVT以及基于網絡認證節點身份的私鑰和全局公鑰生成網絡認證節點對稱密鑰，并根據網絡認證節點對稱密鑰生成第二認證密鑰和第二密鑰推演密鑰。網絡認證節點與用戶設備進行EAP?PSK認證，能夠使IBC公鑰技術能夠匹配EAP已有的協議。

技術領域

本申請涉及通信技術領域，尤其涉及一種網絡認證方法、用戶設備、網絡認證節點及系統。

背景技術

在網絡認證節點和用戶設備之間進行網絡認證，是保證通信網絡能夠正常持續運行不可或缺的重要環節之一。

隨著移動互聯網的快速發展，互聯網與通信網絡的融合及其運營商網絡業務的擴展，越來越多的設備開始接入運營商經營的無線通信網絡，不僅包括已有的移動寬帶設備如手機(mobile)，還包括很多垂直行業的物聯網(Internet of Things，IOT)設備。現有移動通信網絡的認證方法，如長期演進(Long Term Evolution，LTE)中的基于演進分組系統(Evolved Packet System，EPS)-認證與密鑰協商協議(Authentication and KeyAgreement，AKA)進行網絡認證與身份管理的方法并不能完全滿足全部的下一代無線通信網絡(例如第五代(5G)網絡)中設備的接入。因此，需要建立一個更加開放的認證框架并引入新的認證方法。

為了讓下一代無線通信網絡支持更多種類的設備，第三代合作伙伴項目(ThirdGeneration Partnership Project，3GPP)標準組織的安全工作組(SA3)目前正在研究在5G網絡中引入開放式的認證架構，允許設備使用各種身份接入網絡，并使用多種認證方式建立信任關系?；诳蓴U展認證協議(Extensible Authentication Protocol，EAP)的認證框架，經過互聯網協議標準化組織(Internet Engineering Task Force，IETF)的多年開發以及在互聯網系統中的廣泛使用，已經成為了一個開放并完善的認證協議體系。因此，3GPPSA3準備在下一代無線通信網絡中引入基于EAP的認證框架。EAP的認證框架的具體定義可參見RFC 3748，RFC 5247。EAP認證框架支持多種基于EAP的認證協議，如基于EAP的傳輸層認證協議(EAP Transport Lay Protocol，EAP-TLS)，基于EAP和隧道技術的傳輸層認證協議(EAP Tunneled Transport Lay Protocol，EAP-TTLS)，基于EAP的共享密鑰認證方法(EAP Pre-Shared Key，EAP-PSK)等。

除了開放的認證框架及其支持的多種認證協議，3GPP SA3也在研究采用不同的密碼技術進行網絡認證，包括傳統的公鑰框架(Public Key Infrastructure，PKI)認證技術和新型的基于身份的密碼(Identity Based Cryptography，IBC)認證技術。基于PKI的技術經過多年的研究與協議設計，已經在多種認證技術中獲得支持。

IBC認證技術，提供一種基于身份的加密和簽名方法，屬于一種公鑰技術。不同于PKI技術，使用IBC公鑰技術進行密鑰產生時，由一個共同的密鑰中心根據接收到的用戶設備的身份標識(Identify，ID)信息，結合密鑰中心預先配置的基于IBC公鑰技術的全局參數，即密鑰中心的全局私鑰和公鑰，為用戶設備產生對應于用戶設備ID的私鑰并通過安全通道發送給用戶設備。換言之，IBC公鑰技術中用戶設備ID就是公鑰，因此，不需要攜帶證書中所必需的公鑰和簽名等信息，因此，相對于證書來說，具有長度短的優勢。同時，對于接收方來說，由于不需要驗證證書的簽名，所以在計算量上具有優勢。網絡資源消耗和計算對于低成本的IOT設備是關鍵，因此，基于IBC的公鑰技術比基于PKI的證書更加適合下一代無線通信網絡。