本申請公開了一種AKA方法及裝置，針對現有技術中AKA過程交互多、耗時長的問題，該方法包括：用戶設備接收空口節點發送的加密的空口安全配置信息，解密獲取的空口安全配置信息，并通過所述空口節點將用戶標識和非接入層消息發往非接入層節點，觸發所述非接入層節點從網絡安全中心獲取第二密鑰和初始非接入層安全算法，用戶設備接收非接入層節點發送的加密的應答消息。本申請中，空口連接建立、鑒權、空口安全激活的過程并行執行，減少了AKA過程中所需的信令交互，加快了用戶設備的啟動過程，同時，削減了接入層和非接入層密鑰體系之間的耦合性。

技術領域

本申請涉及通信技術領域，尤其涉及一種AKA方法及裝置。

背景技術

鑒權與密鑰協商(Authentication and Key Agreement，AKA)采用挑戰應答機制，完成用戶設備和網絡間的身份認證流程，同時基于身份認證流程對通信加密密鑰進行協商。通過認證和加密，保護移動通信網絡的安全。

當前的通信系統中，以5G系統為例，參閱圖1所示，AKA過程如下：

步驟101至步驟103：用戶設備(User Equipment，UE)與5G基站(next generationNode B，gNB)之間建立RRC連接。

步驟104：UE向AMF傳遞非接入層消息，非接入層消息中攜帶用戶標識。

步驟105：AMF將用戶標識及其他輔助信息傳遞給安全錨功能(Security AnchorFunction，SEAF)，并與其他網元交互，獲取用戶鑒權向量，該用戶鑒權向量包括隨機數(RAND)、鑒權令牌(AUTN)、哈希后的期待響應(HXRES*)。參閱圖1所示，SEAF、認證服務器功能(Authentication Server Function，AUSF)、身份驗證憑據存儲庫和處理功能(Authentication credential Repository and Processing Function，ARPF)網元是該過程中涉及到的核心網網元，圖1中，AMF直接充任SEAF功能。

步驟106至步驟107：AMF向UE發送RAND、AUTN，UE接收兩者并檢驗AUTN的有效性，如果檢驗通過，則驗證了網絡的合法性，之后，UE計算出鑒權響應(RES*)，并將RES*發給AMF。AMF根據RES*計算出哈希后的期待響應HRES*，并與HXRES*作比較，如果HRES*與HXRES*相等，則驗證了UE的合法性。

步驟108：AMF與AUSF、ARPF交互，確認UE的合法性，并得到密鑰K_SEAF，然后，由K_SEAF可以得到K_AMF，由K_AMF可以得到K_gNB以及下一跳密鑰更新參數NH，該計算過程也在UE中發生。

步驟109至步驟110：AMF向UE傳遞應用的某一套密鑰指示ngKSI，以及初始非接入層安全算法，UE根據AMF的指示，開啟非接入層消息的完整性保護與加密操作。

步驟111：AMF告知基站(gNB)密鑰K_gNB。

步驟112至步驟113：gNB向UE傳遞初始空口安全算法，激活空口加密，UE根據gNB的指示開啟空口消息的完整性保護與加密操作。

2G、3G、4G通信系統的AKA過程與5G系統中類似，在此不再贅述。

顯然，現有技術中，AKA過程大致可分為四階段：空口連接建立、鑒權、非接入層安全激活、空口安全激活，而這四個階段是依次進行的，接入層安全與非接入層安全耦合性較高，此外，現有技術中的AKA過程空口交互信令過多，導致AKA過程耗時過長，當空口時延過大時，例如衛星通信時，會導致用戶設備的啟動過程緩慢。

由此可見，需要設計一種新的方案，以克服上述缺陷。

發明內容