本發明涉及一種協商5G移動通信網絡安全能力的方法，屬于移動通信網絡安全技術領域，面向未來可能增加的新安全特性，提出了能夠協商歸屬地網絡、拜訪地網絡、終端安全能力的方法。方法步驟為：步驟S1：歸屬地網絡接收并處理服務網絡的安全能力信息、終端的安全能力信息，生成安全能力參數；基于安全能力參數，生成鑒權向量；步驟S2：歸屬地網絡將所述安全能力參數及所述鑒權向量中的RAND、AUTN經由所述服務網絡發送至終端；步驟S3：終端根據接收到的安全能力參數及所述鑒權向量中的RAND、AUTN進行網絡認證；若認證通過，將認證通過后的安全能力參數發送至未獲取安全能力參數的網元，完成5G移動通信網絡密鑰推導、安全能力協商等過程。

技術領域

本發明涉及移動通信網絡安全技術領域，尤其涉及一種協商5G移動通信網絡安全能力的方法。

背景技術

在3G、4G和5G?Phase1的移動通信系統中，空口的加密和完整性保護僅使用128比特的密碼算法，也就是說，現有技術中空口的安全能力只有一種。4G和5G的會話密鑰是使用長期密鑰派生得到，而4G和5G的長期密鑰(Long?Term?Key，LTK)可以是128比特或者256比特。

在5G后續版本中，空口的安全算法(加密算法和完整性保護算法)可能支持256比特密鑰的密碼算法。考慮到網絡的建設和部署模式，會產生一些安全問題，例如：

(1)核心網和終端/USIM支持256bit密碼算法，并希望使用256bit安全能力的網絡服務，但是接入網(RAN)的基站(gNB)僅支持128bit密碼算法，接入網可能與終端協商使用128bit密鑰密碼算法，導致安全能力不匹配。

(2)核心網和終端/USIM支持128bit密碼算法，但是接入網既能夠支持128bit密碼算法，也能夠支持256bit密碼算法，接入網可能與終端協商256bit密鑰密碼算法，導致無足熵的密鑰使用。

(3)核心網和接入網都支持128/256比特密鑰密碼算法，但是比如在漫游場景下，在現有協議下，歸屬地網絡(HPLMN)無法掌握用戶的安全情況，即不知道拜訪地網絡(VPLMN)究竟如何配置用戶的安全算法，拜訪地網絡可以對歸屬地網絡聲稱使用高安全級的256bit密鑰算法，而實際使用的是128bit密鑰密碼算法，但是歸屬地網絡和終端對此一無所知。

(4)用戶USIM僅存儲128bit密鑰，但是終端可能欺騙接入網絡(漫游場景下是欺騙拜訪地網絡)，表示其可以使用256bit密碼算法，導致接入網網絡資源被惡意消耗。

因此，需要一種新的方法，以保證歸屬地網絡、拜訪地網絡、終端安全能力一致。

發明內容

鑒于上述的分析，本發明旨在提供一種協商5G移動通信網絡安全能力的方法，用以解決現有技術中缺少能夠保證歸屬地網絡、拜訪地網絡、終端安全能力一致的方法的問題。

本發明的目的主要是通過以下技術方案實現的：

一方面，本發明提供了一種協商5G移動通信網絡安全能力的方法，所述方法包括如下步驟：

步驟S1：歸屬地網絡接收并處理服務網絡的安全能力信息、終端的安全能力信息，生成安全能力參數；并基于所述安全能力參數，生成鑒權向量中的AUTN，得到鑒權向量；其中，所述鑒權向量包括：RAND，XRES*，Kausf，AUTN；所述安全能力信息用于表征是否支持128bit密鑰密碼算法和/或256bit密鑰密碼算法；

步驟S2：歸屬地網絡將所述安全能力參數及所述鑒權向量中的RAND、AUTN經由所述服務網絡發送至終端；

步驟S3：終端根據接收到的安全能力參數及所述鑒權向量中的RAND、AUTN對網絡進行認證；若認證通過，再將RES發送給服務網絡及歸屬地網絡，用于服務網絡及歸屬地網絡完成對終端的認證，若認證通過，將認證通過后的安全能力參數發送至未獲取安全能力參數的網元，完成5G移動通信網絡安全能力的協商。