CN108243416A - 用户设备鉴权方法、移动管理实体及用户设备 - Google Patents

Abstract

本发明涉及一种用户设备鉴权方法、移动管理实体及用户设备，其中，所述方法包括：向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response。本发明通过向用户设备UE发送包含密钥标识的身份请求信息，并在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据身份请求信息发送的响应身份信息，完善了身份请求信息信令中携带的信息，为网络侧和终端完成双向安全认证提供基础，增强了鉴权的安全性，保护了用户个人信息，降低了信令开销，利于大面积应用。

Description

用户设备鉴权方法、移动管理实体及用户设备

技术领域

本发明涉及通信技术领域，尤其涉及一种用户设备鉴权方法、移动管理实体及用户设备。

背景技术

在3GPP协议中，现有技术方案鉴权流程中用户设备UE会上报IMSI信息，3GPP TS24.301V9.2.0(2010-03)中描述技术鉴权为：网络侧给UE下发身份请求信息IdentityRequest，要求用户上报用户信息(如IMSI、IMEI)，随即，处在EMM连接态的用户会反馈响应身份信息Identity Response给网络侧，网络侧即获取到UE的IMSI等用户信息。

现有的一种技术方案通过令移动通信网络在任何时刻都不能要求移动终端在无线链路上发送其永久身份的方式，提高网络的安全性。此外，现有的另一种技术方案通过在IMS网络鉴权返回的结果中携带应用服务器的鉴权信息，实现IMS和应用服务器的统一鉴权，而不需要用户手动干预应用服务器的鉴权过程，以给用户使用和运营商管理都带来方便。

然而，发明人在实施本发明实施例过程中发现，上述第一种技术方案中，移动通信网络为接入的终端分配临时身份，并保存终端临时身份和永久身份之间的关系，对网络的开销较大，不利于大面积应用；而在上述另一种技术方案中，未涉及UE对网络侧IdentityRequest的识别，若仿真基站等设备向用户发Identity Request信息，用户直接将IMSI等个人信息以Identity Response回复给仿真基站(详见图1)，这样会导致用户个人IMSI、IMEI等完全暴露，存在较大安全隐患。

发明内容

针对现有的用户设备鉴权方案对网络的开销较大，不利于大面积应用，以及不利于用户信息保护的缺陷，本发明提出如下技术方案：

本发明一方面提供了一种用户设备鉴权方法，包括：

向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

可选地，所述向用户设备UE下发身份请求信息Identity Request，包括：

启动一个定时器Timer对鉴权流程进行计时。

可选地，所述方法还包括：

在所述UE根据所述秘钥标识对当前网络认证不通过后，接收所述UE根据所述Identity Request发送的拒绝信息Identity Reject；

根据所述Timer判断当前鉴权流程是否超时，若否，则再次向所述UE发送所述Identity Request。

可选地，所述密钥标识根据HSS和UE的共享密钥经加密生成。

可选地，所述向用户设备UE下发身份请求信息Identity Request之前，所述方法还包括：

接收所述HSS生成的认证向量AV，并根据所述AV确定所述Identity Request；其中，所述AV包括随机数RAND、预期响应XRES、认证令牌AUTN以及基础密钥KASME。

本发明另一方面提供了一种用户设备鉴权方法，包括：

接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别并解析所述Identity Request内的密钥标识；

将所述密钥标识与共享密钥进行比对；

在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

可选地，所述方法还包括：

在所述密钥标识与共享密钥不匹配时，对当前网络认证不通过，并向所述MME发送拒绝信息Identity Reject。

本发明另一方面提供了一种移动管理实体MME，包括：

第一发送单元，用于向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；

第一接收单元，用于在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

第三发送单元，用于将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

可选地，所述第一发送单元具体用于启动一个定时器Timer对鉴权流程进行计时。

本发明另一方面提供了一种用户设备UE，包括：

第二接收单元，用于接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别解析单元，用于识别并解析所述Identity Request内的密钥标识；

密钥比对单元，用于将所述密钥标识与共享密钥进行比对；

第二发送单元，用于在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述IdentityResponse发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本发明的用户设备鉴权方法、移动管理实体及用户设备，通过向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识，并在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response，进而将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权，完善了身份请求信息信令中携带的信息，为网络侧和用户设备完成双向安全认证提供基础，增强了用户设备鉴权的安全性，充分保护了用户信息，且降低了信令开销，有利于大面积应用。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有的Identity Request流程示意图；

图2为本发明一个实施例的用户设备鉴权方法的流程示意图；

图3为本发明一个实施例的鉴权方法中发送Identity Request流程示意图；

图4为本发明一个实施例的认证向量组的相关参数生成方法示意图；

图5为本发明一个实施例的鉴权参数AUTN计算过程流程示意图；

图6为本发明一个实施例的3GPP协议中鉴权流程示意图；

图7为本发明另一个实施例的用户设备鉴权方法的流程示意图；

图8为本发明一个实施例的移动管理实体MME的结构示意图；

图9为本发明一个实施例的用户设备UE的结构示意图；

图10为本发明另一个实施例的移动管理实体MME的结构示意图；

图11为本发明另一个实施例的用户设备UE的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

随着移动通信技术的飞速发展，网络安全技术变得尤为重要，保护用户个人隐私成为全球运营商及移动技术研发人员必须面对的问题。用户设备UE的用户信息主要包含IMSI、IMEI等信息。本发明的目的是通过改进现有鉴权流程，使用户和网络侧双向鉴权，切实有效的保护用户信息安全，实现基于3GPP协议的用户安全性保护。

图2为本发明一个实施例的用户设备鉴权方法的流程示意图；如图2所示，该方法包括：

S101：向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

具体地，移动管理实体MME向用户设备UE发送身份请求信息Identity Request；

其中，所述密钥标识根据HSS和UE的共享密钥经加密生成。

作为本步骤的一种优选的实施方式，所述向用户设备UE下发身份请求信息Identity Request之前，所述方法还包括：

接收所述HSS生成的认证向量AV，并根据所述AV确定所述Identity Request；其中，所述AV包括随机数RAND、预期响应XRES、认证令牌AUTN以及基础密钥KASME。

需要说明的是，本实施例的鉴权是一个双向认证的过程，主要涉及UE、MME和HSS等3个网络实体。其中，UE与HSS之间有共享密钥K。在认证过程中，会产生认证向量AV(Authentication Vector)；所述AV由随机数RAND、预期响应XRES、认证令牌AUTN以及基础密钥KASME四个参数组成。

具体来说，RAND是由HSS产生的随机数；XRES是MME预期会收到的UE响应信息；KASME是用于计算后继通信所用密钥的基础密钥，可以由K通过密钥生成函数f3、f4和KDF生成；KSIASME是KASME的密钥标识。

可以理解的是，为了抵御重放攻击，UE和HSS都各自维持一个序列号计数器SQN；其中HSS维持的是SQNHSS，其负责为每一个生成的AV产生一个新的序列号SQN；UE维持的是SQNUE，其用于保存已接收AV中的最大SQN值。

S102：在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

具体地，所述MME在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response。

举例来说，所述MME将所述Identity Request下发给UE后，所述UE即对接收到的所述Identity Request中的密钥标识进行认证识别，并和UE自身共享密钥对比；若密钥标识与共享密钥可以匹配，UE根据所述秘钥标识对当前网络认证通过，并返回IdentityResponse响应身份信息，进而所述MME可以接收所述Identity Response。

S103：将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

具体地，所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

举例来说，所述HSS收到所述Identity Response后，解析其中的IMSI和SNID信息，并在自己的数据库中查找IMSI与SNID，验证这两个实体的合法性，完成对UE认证。

可以理解的是，在双向认证都完成后，所述MME与所述UE根据约定的算法推演出加密密钥CK与完整性保护密钥IK，随后进行保密通信。

需要说明的是，本实施例中所述MME与所述UE根据约定的算法推演出加密密钥CK与完整性保护密钥IK，并进行保密通信可以根据实际需要采用现有的技术手段，本发明对此不进行限定。

本实施例的用户设备鉴权方法，通过向用户设备UE发送身份请求信息IdentityRequest；其中，所述Identity Request包含密钥标识，并在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息IdentityResponse，进而将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权，完善了身份请求信息信令中携带的信息，为网络侧和用户设备完成双向安全认证提供基础，增强了用户设备鉴权的安全性，充分保护了用户信息，且降低了信令开销，有利于大面积应用。

进一步地，作为上述实施例的一种可选的实施方式，步骤S101所述向用户设备UE下发身份请求信息Identity Request，可以包括：

启动一个定时器Timer对鉴权流程进行计时。

举例来说，所述MME在向用户设备UE下发身份请求信息Identity Request的同时，启动一个定时器Timer对鉴权流程进行计时，如果在Timer周期内未收到UE响应的IdentityResponse消息，则释放无线资源控制协议(Radio Resource Control，简称RRC)连接，以使UE选择其他小区驻留。

具体来说，所述MME在所述UE根据所述秘钥标识对当前网络认证不通过后，接收所述UE根据所述Identity Request发送的拒绝信息Identity Reject，并根据所述Timer判断当前鉴权流程是否超时，若否，则再次向所述UE发送所述Identity Request。

下面以一具体实施例说明本发明，但不用来限定本发明的保护范围。

图3为本发明一个实施例的鉴权方法中发送Identity Request流程示意图，其中，EPS即演进分组系统(Evolved Packet System)，AKA即基于鉴权和密钥协商(Authenticationand Key Agreement,简称“AKA")，如图3所示，该流程包括：

1)、HSS生成认证向量组AV(1，…，n)，并作为认证数据，发给MME；

具体地，图4示出了本发明一个实施例的认证向量组的相关参数生成方法，如图4所示，认证向量组AV的相关参数的具体计算方法包括：

MAC＝f1k(SQN||RAND||AMF)； (1)

XRES＝f2k(RAND)； (2)

KASME＝KDF(f3k(RAND)； (3)

f4k(RAND)SQN+AKAMFMACKasme)； (4)

AK＝f5(RAND)。 (5)

图5为本发明一个实施例的鉴权参数AUTN计算过程流程示意图，如图5所示，获得图4所示相关参数后即可根据以下公式计算AUTN与AV：

AUTN＝SQN⊕AK||AMF||MAC； (6)

AV＝RAND||XRES||KASME||AUTN。 (7)

2)、所述MME收到上述认证数据后，存储AV(1，…，n)，再从中选择一个AV(i)，提取出RAND(i)、AUTN(i)、KASME(i)等数据，同时为KASME(i)分配一个密钥标识KSIASME(i)，并向UE发送包括该秘钥标识的Identity Request请求；

3)、所述UE收到所述Identity Request请求后，通过提取和计算AUTN(i)中的MAC等信息，计算XMAC，并比较XMAC和MAC是否相等，同时检验序列号SQN是否在正常的范围内，以认证所接入的网络；

4)、所述UE对网络认证通过后，回复Identity Response消息，并向MME发送自己的IMSI与HSS的IDHSS标识等身份信息；

若所述UE对网络认证不通过，则回复Identity Reject消息，此时所述MME启动鉴权流程定时器，并进行二次鉴权(再次发送Identity Request请求)，若定时器超时，则UE重选其他小区；

5)、所述HSS收到Identity Response消息后，解析其中的IMSI和SNID信息，并在自己的数据库中查找IMSI与SNID，验证这两个实体的合法性，完成对用户设备的验证；

6)、在双向认证都完成后，MME与UE将KASME(i)作为基础密钥，并根据约定的算法推演出加密密钥CK与完整性保护密钥IK，随后进行保密通信。

具体地，图6示出了本实施例的3GPP协议中鉴权流程示意图，其中，虚线框中的内容为本实施例增加的信令部分内容。

需要说明的是，本实施例中所涉及的Identity Request和Identity Response包括但不限于3GPP TS 24.301V9.2.0(2010-03)内规定的Identity Request和IdentityResponse等协议内容。

本实施例的用户终端认证方法，通过在3GPP协议(3GPP TS 24.301V9.2.0(2010-03))中增加如下内容，Identity Request请求中携带UE和HSS的共享密钥K(仿真基站、伪基站等无法破解的密钥)及其产生的认证向量，用于UE解密识别；UE接收到Identity Request请求后解析其中密钥数据，并与UE的基础密钥进行对比，识别是否一致，如一致则视为合法鉴权请求，可以响应鉴权，回复IMSI等相关信息，如鉴权请求无密钥信息或者解析后的密钥信息与共享密钥不一致，可以拒绝响应鉴权请求，通过这样可以避免UE的相关个人信息泄露给伪基站，从而保护了用户隐私及安全，且降低了信令开销，有利于大面积应用。

图7为本发明另一个实施例的用户设备鉴权方法的流程示意图，如图7所示，该方法包括：

S201：接收移动管理实体MME发送的Identity Request；其中，所述IdentityRequest包含密钥标识；

S202：识别并解析所述Identity Request内的密钥标识；

S203：将所述密钥标识与共享密钥进行比对；

S204：在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

进一步地，作为本实施例的一种可选地实施方式，上述方法还可以包括：

S204’：在所述密钥标识与共享密钥不匹配时，对当前网络认证不通过，并向所述MME发送拒绝信息Identity Reject。

本实施例的用户设备鉴权方法，通过接收MME发送的包含密钥标识的IdentityRequest，并识别并解析所述Identity Request内的密钥标识，进而将所述密钥标识与共享密钥进行比对，并在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权，完善了身份请求信息信令中携带的信息，为网络侧和用户设备完成双向安全认证提供基础，增强了用户设备鉴权的安全性，充分保护了用户信息，且降低了信令开销，有利于大面积应用。

图8为本发明一个实施例的移动管理实体MME的结构示意图，如图9所示，该MME包括第一发送单元11、第一接收单元12以及第三发送单元13，其中：

第一发送单元11用于向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；

第一接收单元12用于在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

第三发送单元13用于将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

具体地，本实施例的MME进行用户设备鉴权的过程包括：

第一发送单元11向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识，第一接收单元12在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息IdentityResponse，第三发送单元13将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

进一步地，作为本实施例的一种可选的实施方式，所述第一发送单元具体用于启动一个定时器Timer对鉴权流程进行计时。

本实施例所述的移动管理实体MME可以用于执行上述用户设备鉴权方法实施例，其原理和技术效果类似，此处不再赘述。

需要说明的是，对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

图9为本发明一个实施例的用户设备UE的结构示意图，如图9所示，该UE包括第二接收单元21、识别解析单元22、密钥比对单元23以及第二发送单元24，其中：

第二接收单元21用于接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别解析单元22用于识别并解析所述Identity Request内的密钥标识；

密钥比对单元23用于将所述密钥标识与共享密钥进行比对；

第二发送单元24用于在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述IdentityResponse发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

具体地，本实施例的用户设备UE进行用户设备鉴权的过程包括：

第二接收单元21接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识，识别解析单元22识别并解析所述Identity Request内的密钥标识，密钥比对单元23将所述密钥标识与共享密钥进行比对，第二发送单元24在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本实施例所述的用户设备UE可以用于执行上述用户设备鉴权方法实施例，其原理和技术效果类似，此处不再赘述。

需要说明的是，对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

图10为本发明另一个实施例的移动管理实体MME的结构示意图，如图10所示，该MME可以包括：第一处理器(processor)31、第一总线32和第一存储器(memory)33，其中，第一处理器(processor)31和第一存储器33通过第一总线32完成相互间的通信。第一处理器31可以调用第一存储器33中的程序指令，以执行如下方法：

向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：

向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：

向用户设备UE发送身份请求信息Identity Request；其中，所述IdentityRequest包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

图11为本发明另一个实施例的用户设备UE的结构示意图，如图11所示，该UE可以包括：第二处理器(processor)41、第二总线42和存储器(memory)530，其中，第二处理器41和第二存储器43通过第二总线42完成相互间的通信。第二处理器41可以调用第二存储器43中的程序指令，以执行如下方法：

接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别并解析所述Identity Request内的密钥标识；

将所述密钥标识与共享密钥进行比对；

在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：

接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别并解析所述Identity Request内的密钥标识；

将所述密钥标识与共享密钥进行比对；

在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：

接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别并解析所述Identity Request内的密钥标识；

将所述密钥标识与共享密钥进行比对；

在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

本发明的用户设备鉴权方法、移动管理实体及用户设备与现有技术方案相比，有如下优点：

(1)、完善了Identity Request信令中携带的信息，补充了鉴权密钥及相关信息，实现网络侧和终端双向信息完善；

(2)、完善了UE对Identity Request的响应流程，UE对Identity Request信令中鉴权密钥信息进行解析识别，和共享密钥对比，然后做出Reject或者Response响应，实现了网络侧和终端双向安全认证，具有较好的安全性，充分保护了用户个人信息；

(3)、完善了Identity Request流程时限要求，对鉴权设置一个定时器Timer，Timer周期内未完成鉴权，UE选择其他小区驻留，节省了信令开销，保障UE鉴权流程的顺畅，尽量减少鉴权流程时间，确保用户设备感知。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。

Claims (10)

1.一种用户设备鉴权方法，其特征在于，包括：

向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；

在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述IdentityRequest发送的响应身份信息Identity Response；

将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

2.根据权利要求1所述的方法，其特征在于，所述向用户设备UE下发身份请求信息Identity Request，包括：

启动一个定时器Timer对鉴权流程进行计时。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

在所述UE对当前网络认证不通过后，接收所述UE根据所述Identity Request发送的拒绝信息Identity Reject；

根据所述Timer判断当前鉴权流程是否超时，若否，则再次向所述UE发送所述IdentityRequest。

4.根据权利要求1所述的方法，其特征在于，所述密钥标识根据HSS和UE的共享密钥经加密生成。

5.根据权利要求1所述的方法，其特征在于，所述向用户设备UE下发身份请求信息Identity Request之前，所述方法还包括：

接收所述HSS生成的认证向量AV，并根据所述AV确定所述Identity Request；其中，所述AV包括随机数RAND、预期响应XRES、认证令牌AUTN以及基础密钥KASME。

6.一种用户设备鉴权方法，其特征在于，包括：

接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别并解析所述Identity Request内的密钥标识；

将所述密钥标识与共享密钥进行比对；

在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

在所述密钥标识与共享密钥不匹配时，对当前网络认证不通过，并向所述MME发送拒绝信息Identity Reject。

8.一种移动管理实体MME，其特征在于，包括：

第一发送单元，用于向用户设备UE发送身份请求信息Identity Request；其中，所述Identity Request包含密钥标识；

第一接收单元，用于在所述UE根据所述秘钥标识对当前网络认证通过后，接收所述UE根据所述Identity Request发送的响应身份信息Identity Response；

第三发送单元，用于将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。

9.根据权利要求8所述的MME，其特征在于，所述第一发送单元具体用于启动一个定时器Timer对鉴权流程进行计时。

10.一种用户设备UE，其特征在于，包括：

第二接收单元，用于接收移动管理实体MME发送的Identity Request；其中，所述Identity Request包含密钥标识；

识别解析单元，用于识别并解析所述Identity Request内的密钥标识；

密钥比对单元，用于将所述密钥标识与共享密钥进行比对；

第二发送单元，用于在所述密钥标识与共享密钥匹配时，对当前网络认证通过，并向所述MME发送响应身份信息Identity Response，以通过所述MME将所述Identity Response发送给归属用户服务器HSS，以使所述HSS对所述UE进行鉴权。