[发明专利]用户设备鉴权方法、移动管理实体及用户设备

说明书

本发明涉及一种用户设备鉴权方法、移动管理实体及用户设备，其中，所述方法包括：向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response。本发明通过向用户设备UE发送包含密钥标识的身份请求信息，并在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据身份请求信息发送的响应身份信息，完善了身份请求信息信令中携带的信息，为网络侧和终端完成双向安全认证提供基础，增强了鉴权的安全性，保护了用户个人信息，降低了信令开销，利于大面积应用。

技术领域

本发明涉及通信技术领域，尤其涉及一种用户设备鉴权方法、移动管理实体及用户设备。

背景技术

在3GPP协议中，现有技术方案鉴权流程中用户设备UE会上报IMSI信息，3GPP TS24.301V9.2.0(2010-03)中描述技术鉴权为：网络侧给UE下发身份请求信息IdentityRequest，要求用户上报用户信息(如IMSI、IMEI)，随即，处在EMM连接态的用户会反馈响应身份信息Identity Response给网络侧，网络侧即获取到UE的IMSI等用户信息。

现有的一种技术方案通过令移动通信网络在任何时刻都不能要求移动终端在无线链路上发送其永久身份的方式，提高网络的安全性。此外，现有的另一种技术方案通过在IMS网络鉴权返回的结果中携带应用服务器的鉴权信息，实现IMS和应用服务器的统一鉴权，而不需要用户手动干预应用服务器的鉴权过程，以给用户使用和运营商管理都带来方便。

然而，发明人在实施本发明实施例过程中发现，上述第一种技术方案中，移动通信网络为接入的终端分配临时身份，并保存终端临时身份和永久身份之间的关系，对网络的开销较大，不利于大面积应用；而在上述另一种技术方案中，未涉及UE对网络侧IdentityRequest的识别，若仿真基站等设备向用户发Identity Request信息，用户直接将IMSI等个人信息以Identity Response回复给仿真基站(详见图1)，这样会导致用户个人IMSI、IMEI等完全暴露，存在较大安全隐患。

发明内容

针对现有的用户设备鉴权方案对网络的开销较大，不利于大面积应用，以及不利于用户信息保护的缺陷，本发明提出如下技术方案：

本发明一方面提供了一种用户设备鉴权方法，包括：

向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

可选地，所述向用户设备UE下发身份请求信息Identity Request，包括：

启动一个定时器Timer对鉴权流程进行计时。

可选地，所述方法还包括：

在所述UE根据所述秘钥标识对当前网络认证不通过后，接收所述UE根据所述Identity Request发送的拒绝信息Identity Reject；

根据所述Timer判断当前鉴权流程是否超时，若否，则再次向所述UE发送所述Identity Request。

可选地，所述密钥标识根据HSS和UE的共享密钥经加密生成。