本發明提供了一種用于5G通信的AKA認證方法及系統，采用量子密鑰對5G核心網網元之間的數據傳輸進行加密，量子密鑰可采用量子密鑰分發技術為5G核心網的網元之間分發共享的量子密鑰；也可以將量子隨機數服務器生成的量子隨機數安全的分發到網元之間，作為共享量子密鑰使用；在用戶設備UE與5G網絡之間進行主認證和密鑰協商過程中，將完成UE和網絡之間的相互認證，并協商出后續通信過程中在UE和服務網絡之間使用的密鑰；認證和密鑰協商過程中，在5G核心網網元之間使用共享的量子密鑰對認證消息中的關鍵數據尤其是密鑰數據進行加密保護，極大的提高了密鑰協商過程的安全性，可以防止密鑰泄露造成用戶在使用5G網絡傳輸信息的過程中的信息泄露。

技術領域

本發明涉及量子通信及5G移動通信領域技術領域，特別涉及一種5G AKA認證方法及系統。

背景技術

本部分的陳述僅僅是提供了與本發明相關的背景技術，并不必然構成現有技術。

現有的5G認證方式5G AKA，在認證過程中，核心網網元間的數據傳輸為明文傳輸，沒有進行加密保護，且認證過程中需要傳輸密鑰數據如Kausf和Kseaf，這些密鑰是用于后續通信用密鑰的錨密鑰，一旦有攻擊者通過竊聽AKA認證的過程即可得到錨密鑰，從而推導出后續的各類保護密鑰，威脅5G網絡的安全，造成用戶的信息泄露。

根據5G移動通信網安全技術要求標準(YD/T 3628-2019)，現有5G AKA的認證流程如圖1所示，目前的認證流程存在兩個問題：

(1)UDM/ARFP向AUSF發送認證向量5G HE AV時沒有進行安全保護，因5G HE AV中包含預期響應值XRES*和密鑰Kausf，其中XRES*將用于對用戶的身份認證，一旦泄露，會造成攻擊者冒用用戶認證信息入網等問題；密鑰Kausf將用于推衍Kseaf和后續用戶與核心網之間的加密保護和完整性保護等相關密鑰，該密鑰一旦被攻擊或者泄露，將對用戶和核心網之間的數據傳輸造成安全威脅，導致用戶數據被竊取或者篡改。

(2)5G AKA認證時，AUSF向SEAF發送Kseaf時沒有進行安全保護，因Kseaf同樣將用于推衍后續用戶與核心網之間的加密保護和完整性保護等相關密鑰，該密鑰一旦被攻擊或者泄露，將對用戶和核心網之間的數據傳輸造成安全威脅，導致用戶數據被竊取或者篡改。

發明內容

為了解決現有技術的不足，本發明提供了一種用于5G通信的AKA認證方法及系統，使用量子密鑰對AKA認證過程中的關鍵信息進行加密保護，提高了AKA認證過程中數據傳輸尤其是密鑰數據傳輸的安全性。

為了實現上述目的，本發明采用如下技術方案：

本發明第一方面提供了一種用于5G通信的AKA認證方法。

一種用于5G通信的AKA認證方法，至少包括：

第二網元根據與第三網元的共享量子密鑰標識，對第一網元發送的第一服務網名稱更新，得到第二服務網名稱；

第三網元根據從第二服務網名稱提取到的量子密鑰標識，獲取與第二網元的共享量子密鑰，基于第二服務網名稱和相關參數生成第一認證向量，基于與第二網元的共享量子密鑰加密，生成第一認證向量密文；

第二網元采用與第三網元的共享量子密鑰解密第一認證向量密文，更新第一認證向量，生成第二認證向量，根據與第一網元的共享量子密鑰標識進行第二服務網名稱的更新，得到第三服務網名稱；

第一網元根據第三服務網名稱提取量子密鑰標識，根據量子密鑰標識獲取與第二網元的共享密鑰，將從第二認證向量中提取的認證信息發送給用戶設備。

進一步的，認證響應過程中，第二網元基于與第一網元的共享密鑰加密第一密鑰，第一網元基于與第二網元之間的共享密鑰解密第一密鑰，第一密鑰為用于推衍其他密鑰的錨密鑰。

更進一步的，認證響應過程，至少包括：