WO2018045841A1

WO2018045841A1 - 入网认证处理方法及装置

Info

Publication number: WO2018045841A1
Application number: PCT/CN2017/094400
Authority: WO
Inventors: 游世林; 蔡继燕; 梁爽; 彭锦; 林兆骥; 赵孝武
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-09-12
Filing date: 2017-07-25
Publication date: 2018-03-15
Also published as: EP3512229A4; US20230048689A1; EP3793233A1; CN107820245B; CN107820245A; CN114143781A; EP3512229A1; EP3512229B1

Abstract

本发明实施例提供了一种入网认证处理方法及装置，该方法包括：接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证第一签名令牌是否合法；在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。通过本发明实施例，可以解决相关技术的入网流程中没有说明签名认证失败时归属网络如何处理的问题。

Description

入网认证处理方法及装置

技术领域

本发明涉及通信领域，具体而言，涉及一种入网认证处理方法及装置。

背景技术

移动通信在二十多年时间里得到了飞速发展，给人们的生活方式、工作方式以及社会政治、经济等各方面都带来了巨大的影响。人类社会进入高效的信息化时代，各个方面业务应用需求呈现爆发式增长，给未来无线移动带宽系统在频率、技术以及运营等各方面都带来了巨大的挑战。

未来的移动网络除了为人人通信提供服务外，还将为越来越多的物联网终端提供接入服务。物联网接入给移动网络带来了新的挑战和机遇。不同类型的物联网对网络的需求千差万别，有的要求网络提供高实时高可靠服务，如远程医疗，有的则要求提供有规律的小数据量传输服务，如远程抄表系统。针对不同的业务需求，移动网络可能需要适当优化才能满足业务需求。越来越多的物联网对移动网络提出了越来越多不同的优化需求，其中，有些优化需求还可能相互矛盾，因此，一张融合的核心网越来越无法满足各种不同的物联网需求。

随着网络不断升级改造，5G技术的出现，针对网络的隐私性保护要求越来越高，图1是相关技术中未来5G网络接入的示意图。如图1所示，用户设备在服务网络1完成初始注册，服务网络1从用户设备的归属网络获取鉴权认证向量和用户签约数据，服务网络1完成与用户设备之间的相互认证，然后用户设备可以在服务网络2进行附着，然后进行相关的数据业务。其中服务网络1和服务网络2包括接入网和核心网，归属网络包括用户数据中心/鉴权认证中心。

图2是相关技术中用户设备接入服务网络保护用户隐私国际移动用户识别码(International Mobile Subscriber Identification Number，简称IMSI) 流程示意图，其中用户设备中和归属网络中均保存用户的IMSI，初始的增强隐私移动标识(Privacy enhanced Mobile Subscriber Identifier，简称PMSI)，以及对应的Kpmsi，其中IMSI和PMSI均有相同移动国家码(Mobile Country Code，简称为MCC)和移动网络号(Mobile Network Code，简称为MNC)。

步骤S201，用户设备向服务网络发起附着请求消息，所述消息携带PMSI；

步骤S202，服务网络根据PMSI的MCC和MNC查询到对应的归属网络，向归属网络发送鉴权认证请求消息，所述消息携带PMSI；

步骤S203，归属网络根据PMSI找到对应的IMSI，生成对应的安全向量，然后生成下次附着的PMSI_next，其中PMSI_next＝MCC|MNC|截取函数(散列函数(Kpmsi，PMSI)，n)，其中Kpmsi为散列密钥，n为截取长度，由于PMSI_next可能和已有其他用户设备的PMSI相同，因此增加索引号为散列次数，索引号从0开始计数，向服务网络发送鉴权认证响应消息，所述消息携带安全向量，加密的PMSI_next，其中加密PMSI_next＝加密函数(PMSI_next|索引号，K1)，其中K1归属网络加密PMSI_next的加密密钥K1，K1＝密钥生成函数(Kpmsi，RAND)，其中RAND为鉴权向量中的随机数；

步骤S204，归属网络设备设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，pending标识＝1，其中pending标识＝1时表示目前PMSI无效，PMSI_pre有效；

步骤S205，服务网络向用户设备发送用户认证请求消息，所述消息携带鉴权向量中认证令牌AUTN，用于用户设备认证网络的合法性，所述消息还携带随机数RAND以及加密的PMSI_next；

步骤S206，用户设备通过AUTN认证成功后，使用归属网络同样的方法获取K1，解密加密的PMSI_next，并使用K2签名计算PMSI_next，签名令牌ACKTN＝签名函数(PMSI_next|索引号，K2)，其中K2＝密钥生成函数(Kpmsi，签名认证K)，其中签名认证K也分别保存在用户设备中和归属网络中，用户设备向服务网络发送PMSI确认消息，所述消息携带ACKTN；

步骤S207，服务网络向归属网络转发PMSI确认消息，所述消息携带ACKTN；

步骤S208，用户设备设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，如果用户设备下次需要使用PMSI注册，则使用PMSI进行注册；

步骤S209，归属网络使用用户设备同样计算方式，验证ACKTN签名令牌的合法性，设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，pending标识＝0，其中pending标识＝0表明PMSI合法。

但是，相关技术的入网流程中没有说明ACKTN签名认证失败时归属网络应该怎么处理。

发明内容

本发明实施例提供了一种入网认证处理方法及装置，以至少解决相关技术的入网流程中没有说明签名认证失败时归属网络如何处理的问题。

根据本发明的一个实施例，提供了一种入网认证处理方法，包括：接收用户设备发送的确认消息，其中，所述确认消息携带有所述用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证所述第一签名令牌是否合法；在验证结果为否的情况下，获取PMSI对所述用户设备进行入网认证处理。

在本发明实施例中，获取所述PMSI对所述用户设备进行入网认证处理包括：向所述用户设备发送第一签名令牌认证失败消息，通知所述用户设备重新发起附着请求；根据所述附着请求重新获取所述第一PMSI，对所述用户设备进行入网认证处理。

在本发明实施例中，获取所述PMSI对所述用户设备进行入网认证处理包括：根据所述第一PSMI生成第二PSMI，并向所述用户设备发送所述第二PSMI；根据所述用户设备的反馈，获取所述用户设备根据所述第二PSMI生成的第二签名令牌；通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理。

在本发明实施例中，通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理包括：验证所述第二签名令牌是否合法；在验证结果为否的情况下，向所述用户设备和服务网络发送第二签名令牌认证失败消息，通知所述用户设备不合法；在验证结果为是的情况下，使用所述第二PMSI替换所述第一PMSI对所述用户设备进行附着处理。

在本发明实施例中，在接收所述用户设备发送的所述确认消息之前，还包括：接收所述用户设备发送的附着请求，其中，所述附着请求携带第一PMSI，所述第一PMSI包括用户数据中心标识；通过所述用户数据中心标识对应的用户数据中心生成加密第一PMSI；将所述加密第一PMSI发送给所述用户设备，其中，所述加密第一PMSI用于生成所述第一签名令牌。

在本发明实施例中，在接收用户设备发送的确认消息之前，还包括：通过使用散列函数散列国际移动用户识别码IMSI的方式，获取所述PMSI。

在本发明实施例中，接收用户设备发送的确认消息包括：接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。

根据本发明的另一个实施例，提供了一种入网认证处理装置，包括：第一接收模块，设置为接收用户设备发送的确认消息，其中，所述确认消息携带有所述用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证模块，设置为验证所述第一签名令牌是否合法；获取模块，设置为在验证结果为否的情况下，获取PMSI对所述用户设备进行入网认证处理。

在本发明实施例中，所述获取模块，还设置为向所述用户设备发送第一签名令牌认证失败消息，通知所述用户设备重新发起附着请求；以及根据所述附着请求重新获取所述第一PMSI，对所述用户设备进行入网认证处理。

在本发明实施例中，所述获取模块，还设置为根据所述第一PSMI生成第二PSMI，并向所述用户设备发送所述第二PSMI；根据所述用户设备的反馈，获取所述用户设备根据所述第二PSMI生成的第二签名令牌；以及通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理。

在本发明实施例中，所述获取模块，还设置为验证所述第二签名令牌是否合法；在验证结果为否的情况下，向所述用户设备和服务网络发送第二签名令牌认证失败消息，通知所述用户设备不合法；以及在验证结果为是的情况下，使用所述第二PMSI替换所述第一PMSI对所述用户设备进行附着处理。

在本发明实施例中，还包括：第二接收模块，设置为接收所述用户设备发送的附着请求，其中，所述附着请求携带第一PMSI，所述第一PMSI包括用户数据中心标识；生成模块，设置为通过所述用户数据中心标识对应的用户数据中心生成加密第一PMSI；发送模块，设置为将所述加密第一PMSI发送给所述用户设备，其中，所述加密第一PMSI用于生成所述第一签名令牌。

在本发明实施例中，还包括：第二获取模块，设置为通过使用散列函数散列国际移动用户识别码IMSI的方式，获取所述PMSI。

在本发明实施例中，第一接收模块，还设置为接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。

根据本发明实施例的又一个实施例，还提供了一种存储介质。该存储介质设置为存储用于执行以下步骤的程序代码：接收用户设备发送的确认消息，其中，所述确认消息携带有所述用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证所述第一签名令牌是否合法；在验证结果为否的情况下，获取PMSI对所述用户设备进行入网认证处理。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：获取所述PMSI对所述用户设备进行入网认证处理包括：向所述用户设备发送第一签名令牌认证失败消息，通知所述用户设备重新发起附着请求；根据所述附着请求重新获取所述第一PMSI，对所述用户设备进行入网认证处理。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：获取所述PMSI对所述用户设备进行入网认证处理包括：根据所述第一PSMI生成第二PSMI，并向所述用户设备发送所述第二PSMI；根据所述用户设备的反馈，获取所述用户设备根据所述第二PSMI生成的第二签名令牌；通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理包括：验证所述第二签名令牌是否合法；在验证结果为否的情况下，向所述用户设备和服务网络发送第二签名令牌认证失败消息，通知所述用户设备不合法；在验证结果为是的情况下，使用所述第二PMSI替换所述第一PMSI对所述用户设备进行附着处理。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：在接收所述用户设备发送的所述确认消息之前，还包括：接收所述用户设备发送的附着请求，其中，所述附着请求携带第一PMSI，所述第一PMSI包括用户数据中心标识；通过所述用户数据中心标识对应的用户数据中心生成加密第一PMSI；将所述加密第一PMSI发送给所述用户设备，其中，所述加密第一PMSI用于生成所述第一签名令牌。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：在接收用户设备发送的确认消息之前，还包括：通过使用散列函数散列国际移动用户识别码IMSI的方式，获取所述PMSI。

在本发明实施例中，存储介质还设置为存储用于执行以下步骤的程序代码：接收用户设备发送的确认消息包括：接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌

通过本发明实施例，接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证第一签名令牌是否合法；在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。由于在验证第一签名令牌不合法的情况下，也即，签名认证失败的情况下，获取PMSI对用户设备进行入网认证处理，因此，可以解决相关技术的入网流程中没有说明签名认证失败时归属网络如何处理的问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是相关技术中未来5G网络接入的示意图；

图2是相关技术中用户设备接入服务网络保护用户隐私国际移动用户识别码IMSI流程示意图；

图3是本发明实施例的一种入网认证处理方法的计算机终端的硬件结构框图；

图4是根据本发明实施例的入网认证处理方法的流程图；

图5是根据本发明实施例的保护用户隐私国际移动用户识别码流程示意图和签名认证失败处理流程示意图；

图6是根据本发明实施例的保护用户隐私国际移动用户识别码签名认证失败处理流程示意图；

图7是根据本发明实施例的入网认证处理装置的结构框图；

图8是根据本发明实施例的入网认证处理装置的优选结构框图；

图9是根据本发明实施例的入网认证处理装置的优选结构框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明实施例。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

实施例1

本申请实施例1所提供的方法实施例可以在计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图3是本发明实施例的一种入网认证处理方法的计算机终端的硬件结构框图。如图3所示，计算机终端30可以包括一个或多个(图中仅示出一个)处理器302(处理器302可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器304、以及用于通信功能的传输装置306。本领域普通技术人员可以理解，图3所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端30还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。

存储器304可用于存储应用软件的软件程序以及模块，如本发明实施例中的入网认证处理方法对应的程序指令/模块，处理器302通过运行存储在存储器304内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器304可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器304可进一步包括相对于处理器302远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端30。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置306设置为经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端30的通信供应商提供的无线网络。在一个实例中，传输装置306包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置306可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种运行于上述计算机终端的入网认证处理方法，图4是根据本发明实施例的入网认证处理方法的流程图，如图4所示，该流程包括如下步骤：

步骤S402，接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；

步骤S404，验证第一签名令牌是否合法；

步骤S406，在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。

通过上述步骤，由于在验证第一签名令牌不合法的情况下，也即，签名认证失败的情况下，获取PMSI对用户设备进行入网认证处理，因此，可以解决相关技术的入网流程中没有说明签名认证失败时归属网络如何处理的问题。

在本发明实施例中，获取PMSI对用户设备进行入网认证处理包括：向用户设备发送第一签名令牌认证失败消息，通知用户设备重新发起附着请求；根据附着请求重新获取第一PMSI，对用户设备进行入网认证处理。例如，归属网络认证签名令牌ACKTN失败后，通过服务网络向用户设备发送ACKTN认证失败，用户设备使用原始PMSI进行再附着流程。

在本发明实施例中，获取PMSI对用户设备进行入网认证处理包括：根据第一PSMI生成第二PSMI，并向用户设备发送第二PSMI；根据用户设备的反馈，获取用户设备根据第二PSMI生成的第二签名令牌；通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理。

在本发明实施例中，通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理包括：验证第二签名令牌是否合法；在验证结果为否的情况下，向用户设备和服务网络发送第二签名令牌认证失败消息，通知用户设备不合法；在验证结果为是的情况下，使用第二PMSI替换第一PMSI对用户设备进行附着处理。

例如，归属网络认证签名令牌ACKTN失败后，产生一个PMSI_next_new，将PMSI_next_new发送用户设备给进行再签名认证得到ACKTN_new，归属网络认证ACKTN_new成功，设置PMSI为PMSI_next_new，用户设备也设置PMSI为PMSI_next_new。如果认证失败，归属网络向用户设备和服务网络发送ACKTN再认证失败，服务网络和归属网络将认为用户设备为非法用户，将拒绝用户设备再次发送的附着请求，用户设备认为归属网络非法，不在发起附着请求消息。

在本发明实施例中，在接收用户设备发送的确认消息之前，还包括：接收用户设备发送的附着请求，其中，附着请求携带第一PMSI，第一PMSI包括用户数据中心标识；通过用户数据中心标识对应的用户数据中心生成加密第一PMSI；将加密第一PMSI发送给用户设备，其中，加密第一PMSI用于生成第一签名令牌。通过上述步骤，可以根据用户数据中心标识找到对应的用户数据中，可以解决归属网络存在多个用户数据中心时，在PMSI标识附着时，不能找到对应的用户数据中心的问题。

在本发明实施例中，在接收用户设备发送的确认消息之前，还包括：通过使用散列函数散列国际移动用户识别码IMSI的方式，获取PMSI。通过上述步骤，避免归属网络发生故障时PMSI丢失，使得归属网络可以正常工作的。

在本发明实施例中，接收用户设备发送的确认消息包括：接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。例如，用户设备从用户认证消息中得到PMSI_next，对PMSI_next进行签名运算得到签名令牌ACKTN，向服务网络回送用户认证响应消息，消息携带签名令牌ACKTN，服务网络向归属网络发送位置更新请求，消息携带签名认证令牌ACKTN，归属网络认证ACKTN合法，确认PMSI_next的合法性，通过服务网络向用户设备完成附着请求消息，用户设备确定PMSI_next的合法性，使用PMSI_next替换原来的PMSI。通过上述步骤，使得在无法接收到携带第一签名令牌的确认消息时，仍然能接收到第一签名令牌，保证用户设备和归属网络的PMSI不同步。

为了方便理解上述实施例，下面进行详细说明。

图5是根据本发明实施例的保护用户隐私国际移动用户识别码流程示意图和签名认证失败处理流程示意图，如图5所示，该流程包括如下步骤：

步骤S502，用户设备和归属网络保存着：IMSI和原始的PMSI，其中原始PMSI＝MCC|MNC|1-2位用户数据中心标识(至少含有1位字母)|8-10位用户标识(字母和数字)，其中8-10位用户标识＝截取函数(散列函数(IMSI，Kpmsi)，截取长度)，其中截取长度为8-10；

步骤S504，用户设备向服务网络1发送初始的附着请求消息，所述消息携PMSI；

步骤S506，服务网络根据PMSI的MCC和MNC查询到对应的归属网络，以及根据用户数据中心标识查询到对应归属网络的用户数据中心，以及跟向归属网络用户数据中心发送鉴权认证请求消息，所述消息携带PMSI；

步骤S508，归属网络用户数据中心根据PMSI找到对应的IMSI，生成对应的安全向量，然后生成下次附着的PMSI_next，其中PMSI_next＝MCC|MNC|用户数据中心标识|截取函数(散列函数(Kpmsi，PMSI)，n)，其中Kpmsi为散列密钥，n为截取长度，由于PMSI_next可能和已有其他用户设备的PMSI相同，因此增加索引号为散列次数，索引号从0开始计数，设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，pending标识＝1，其中pending标识＝1时表示目前PMSI无效，PMSI_pre有效；

步骤S510，归属网络数据中心向服务网络发送鉴权认证响应消息，所述消息携带安全向量，加密的PMSI_next，其中加密PMSI_next＝加密函数(PMSI_next|索引号，K1)，其中K1归属网络加密PMSI_next的加密密钥K1，K1＝密钥生成函数(Kpmsi，RAND)，其中RAND为鉴权向量中的随机数；

步骤S512，服务网络向用户设备发送用户认证请求消息，所述消息携带鉴权向量中认证令牌AUTN，用于用户设备认证网络的合法性，所述消息还携带随机数RAND以及加密的PMSI_next；

步骤S514，用户设备通过AUTN认证网络成功后，使用归属网络同样的方法获取K1，解密加密的PMSI_next，并使用K2签名计算PMSI_next，签名令牌ACKTN＝签名函数(PMSI_next|索引号，K2)，其中K2＝密钥生成函数(Kpmsi，签名认证K)，其中签名认证K也分别保存在用户设备中和归属网络中，用户设备向服务网络发送用户认证成功响应消息，所述消息携带ACKTN和XRES；

步骤S516，服务网络将收到的XRES与安全向量中XRES进行比较，如果相等，认证用户设备成功，向归属网络位置更新请求消息，所述消息携带ACKTN；

步骤S518，归属网络使用用户设备同样计算方式，验证ACKTN签名令牌的合法性，设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，pending标识＝0，其中pending标识＝0表明PMSI合法；

步骤S520，归属网络向服务网络回送位置更新响应消息，所述消息携带用户签约数据和PMSI_next；

步骤S522，服务网络保存用户签约数据和PMSI_next，向用户设备回送附着响应成功消息；

步骤S524，用户设备设置：PMSI_pre＝PMSI，PMSI＝PMSI_next，如果用户设备下次需要使用PMSI注册，则使用PMSI进行注册。

以上为用户设备使用PMSI成功附着的流程，以下为归属网络签名认证ACKTN失败的流程；

步骤S518a，归属网络认证ACKTN失败；

步骤S520a，归属网络向服务网络回送位置更新失败响应消息，所述消息携带ACKTN认证失败原因值；

步骤S522a，服务网络向用户设备回送附着失败响应消息，所述消息携带ACKTN认证失败原因值；

步骤S524a，用户设备根据ACKTN认证失败原因值，获取原始PMSI，或者重新计算原始PMSI，原始PMSI＝MCC|MNC|用户数据中心标识|8-10位用户标识|截取函数(散列函数(IMSI，Kpmsi)，截取长度)，向服务网络发起附着消息，所述消息携带原始PMSI，原始标记；

步骤S526a，服务网络根据原始PMSI的MCC和MNC查询到对应的归属网络，以及根据用户数据中心标识查询到对应归属网络的用户数据中心，以及跟向归属网络用户数据中心发送鉴权认证请求消息，所述消息携带原始PMSI，原始标记；

步骤S528a，归属网络用户数据中心根据原始标记和原始PMSI找到对应的IMSI，生成对应的安全向量，重新计算附着的PMSI_next，其中PMSI_next＝MCC|MNC|用户数据中心标识|截取函数(散列函数(Kpmsi，原始PMSI)，n)，其中Kpmsi为散列密钥，n为截取长度，由于PMSI_next可能和已有其他用户设备的PMSI相同，因此增加索引号为散列次数，索引号从0开始计数，设置：PMSI_pre＝原始PMSI，PMSI＝PMSI_next，pending标识＝1，其中pending标识＝1时表示目前PMSI无效，PMSI_pre有效；

步骤S530a，按照步骤S505-步骤S512完成重新附着流程，其中步骤312中的PMSI_pre＝原始PMSI，其他均为相同的描述。

图6是根据本发明实施例的保护用户隐私国际移动用户识别码签名认证失败处理流程示意图，如图6所示，该流程包括如下步骤：

步骤S602，按照步骤S502-步骤S516进行附着流程；

步骤S604，归属网络签名认证ACKTN失败；

步骤S606，产生新的PMSI_next_new＝MCC|MNC|用户数据中心标识|截取函数(散列函数(Kpmsi，PMSI_next)，n)，设置PMSI＝PMSI_next_new，pending标识＝1，其中pending标识＝1时表示目前PMSI无效，PMSI_pre有效；

步骤S608，归属网络向服务网络发送PMSI再认证请求消息，所述消息携带加密的PMSI_next_new，其中加密PMSI_next_new＝加密函数(PMSI_next_new|索引号，K1)，其中K1归属网络加密PMSI_next_new的加密密钥K1，K1＝密钥生成函数(Kpmsi，RAND)，其中RAND为鉴权向量中的随机数；

步骤S610，服务网络向用户设备发送PMSI用户再认证请求，所述消息携带加密PMSI_next_new；

步骤S612，用户设备使用归属网络同样的方法获取K1，解密加密的PMSI_next_new，并使用K2签名计算PMSI_next_new，签名令牌ACKTN_new＝签名函数(PMSI_next_new|索引号，K2)，其中K2＝密钥生成函数(Kpmsi，签名认证K)，其中签名认证K也分别保存在用户设备中和归属网络中，用户设备向服务网络发送PMSI用户再认证响应消息，所述消息携带ACKTN_new；

步骤S614，服务网络向归属网络回送PMSI再认证请求响应消息，所述消息携带ACKTN_new；

步骤S616，归属网络使用用户设备同样计算方式，验证ACKTN签名令牌的合法；

步骤S618，归属网络设置：PMSI＝PMSI_next_new，pending标识＝0，其中pending标识＝0表明PMSI合法；

步骤S620，归属网络向服务网络回送位置更新响应消息，所述消息携带用户签约数据和PMSI_next_new；

步骤S622，服务网络保存用户签约数据和PMSI_next_new，向用户设备回送附着响应成功消息；

步骤S624，用户设备设置：PMSI_pre＝PMSI，PMSI＝PMSI_next_new，如果用户设备下次需要使用PMSI注册，则使用PMSI进行注册。

以上为ACKTN_new签名认证合法的情况，以下为归属网络签名认证ACKTN_new失败的流程；

步骤S616a，归属网络认证ACKTN_new失败；

步骤S618a，归属网络向服务网络回送位置更新失败响应消息，所述消息携带ACKTN再认证失败原因值；

步骤S620a，服务网络向用户设备回送附着失败响应消息，所述消息携带ACKTN再认证失败原因值，用户设备确定归属网络为非法网络，不再进行重新注册，服务网络和归属网络认定用户设备为非法用户，拒绝非紧急的所有业务请求。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

在本实施例中还提供了一种入网认证处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图7是根据本发明实施例的入网认证处理装置的结构框图，如图7所示，该装置包括：

第一接收模块72，设置为接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；

验证模块74，连接至上述第一接收模块72，设置为验证第一签名令牌是否合法；

第一获取模块76，连接至上述验证模块74，设置为在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。

在本发明实施例中，第一获取模块，还设置为向用户设备发送第一签名令牌认证失败消息，通知用户设备重新发起附着请求；以及根据附着请求重新获取第一PMSI，对用户设备进行入网认证处理。

在本发明实施例中，第一获取模块，还设置为根据第一PSMI生成第二PSMI，并向用户设备发送第二PSMI；根据用户设备的反馈，获取用户设备根据第二PSMI生成的第二签名令牌；以及通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理。

在本发明实施例中，第一获取模块，还设置为验证第二签名令牌是否合法；在验证结果为否的情况下，向用户设备和服务网络发送第二签名令牌认证失败消息，通知用户设备不合法；以及在验证结果为是的情况下，使用第二PMSI替换第一PMSI对用户设备进行附着处理。

图8是根据本发明实施例的入网认证处理装置的优选结构框图，如图8所示，该装置除包括图7所示的所有模块外，还包括：

第二接收模块82，设置为接收用户设备发送的附着请求，其中，附着请求携带第一PMSI，第一PMSI包括用户数据中心标识；

生成模块84，连接至上述第二接收模块82，设置为通过用户数据中心标识对应的用户数据中心生成加密第一PMSI；

发送模块86，连接至上述生成模块84，设置为将加密第一PMSI发送给用户设备，其中，加密第一PMSI用于生成第一签名令牌。

图9是根据本发明实施例的入网认证处理装置的优选结构框图，如图9所示，该装置除包括图7和图8所示的所有模块外，还包括：

第二获取模块92，设置为通过使用散列函数散列国际移动用户识别码IMSI的方式，获取PMSI。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

实施例3

本发明的实施例还提供了一种存储介质。在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的程序代码：

S1，接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；

S2，验证第一签名令牌是否合法；

S3，在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。

在本发明实施例中，存储介质还被设置为存储用于执行以下步骤的程序代码：获取PMSI对用户设备进行入网认证处理包括：

S1，向用户设备发送第一签名令牌认证失败消息，通知用户设备重新发起附着请求；

S2，根据附着请求重新获取第一PMSI，对用户设备进行入网认证处理。

S1，根据第一PSMI生成第二PSMI，并向用户设备发送第二PSMI；

S2，根据用户设备的反馈，获取用户设备根据第二PSMI生成的第二签名令牌；

S3，通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理。

在本发明实施例中，存储介质还被设置为存储用于执行以下步骤的程序代码：通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理包括：

S1，验证第二签名令牌是否合法；

S2，在验证结果为否的情况下，向用户设备和服务网络发送第二签名令牌认证失败消息，通知用户设备不合法；

S3，在验证结果为是的情况下，使用第二PMSI替换第一PMSI对用户设备进行附着处理。

在本发明实施例中，存储介质还被设置为存储用于执行以下步骤的程序代码：在接收用户设备发送的确认消息之前，还包括：

S1，接收用户设备发送的附着请求，其中，附着请求携带第一PMSI，第一PMSI包括用户数据中心标识；

S2，通过用户数据中心标识对应的用户数据中心生成加密第一PMSI；

S3，将加密第一PMSI发送给用户设备，其中，加密第一PMSI用于生成第一签名令牌。

S1，通过使用散列函数散列国际移动用户识别码IMSI的方式，获取PMSI。

在本发明实施例中，存储介质还被设置为存储用于执行以下步骤的程序代码：接收用户设备发送的确认消息包括：

S1，接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：接收用户设备发送的确认消息，其中，确认消息携带有用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；验证第一签名令牌是否合法；在验证结果为否的情况下，获取PMSI对用户设备进行入网认证处理。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：获取PMSI对用户设备进行入网认证处理包括：向用户设备发送第一签名令牌认证失败消息，通知用户设备重新发起附着请求；根据附着请求重新获取第一PMSI，对用户设备进行入网认证处理。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：获取PMSI对用户设备进行入网认证处理包括：根据第一PSMI生成第二PSMI，并向用户设备发送第二PSMI；根据用户设备的反馈，获取用户设备根据第二PSMI生成的第二签名令牌；通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：通过验证第二签名令牌的合法性，重新对用户设备进行入网认证处理包括：验证第二签名令牌是否合法；在验证结果为否的情况下，向用户设备和服务网络发送第二签名令牌认证失败消息，通知用户设备不合法；在验证结果为是的情况下，使用第二PMSI替换第一PMSI对用户设备进行附着处理。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：在接收用户设备发送的确认消息之前，还包括：接收用户设备发送的附着请求，其中，附着请求携带第一PMSI，第一PMSI包括用户数据中心标识；通过用户数据中心标识对应的用户数据中心生成加密第一PMSI；将加密第一PMSI发送给用户设备，其中，加密第一PMSI用于生成第一签名令牌。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：在接收用户设备发送的确认消息之前，还包括：通过使用散列函数散列国际移动用户识别码IMSI的方式，获取PMSI。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行：接收用户设备发送的确认消息包括：接收服务网络发送的位置更新请求，其中，位置更新请求携带有用户设备转发给服务网络的第一签名令牌。

可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。

显然，本领域的技术人员应该明白，上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，在本发明实施例中，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明实施例不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明实施例，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明实施例的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。

工业实用性

在本发明实施例提供的入网认证处理方法过程中，由于在验证第一签名令牌不合法的情况下，也即，签名认证失败的情况下，获取PMSI对用户设备进行入网认证处理，因此，可以解决相关技术的入网流程中没有说明签名认证失败时归属网络如何处理的问题。

Claims

一种入网认证处理方法，包括：

接收用户设备发送的确认消息，其中，所述确认消息携带有所述用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；

验证所述第一签名令牌是否合法；

在验证结果为否的情况下，获取PMSI对所述用户设备进行入网认证处理。
根据权利要求1所述的方法，其中，获取所述PMSI对所述用户设备进行入网认证处理包括：

向所述用户设备发送第一签名令牌认证失败消息，通知所述用户设备重新发起附着请求；

根据所述附着请求重新获取所述第一PMSI，对所述用户设备进行入网认证处理。
根据权利要求1所述的方法，其中，获取所述PMSI对所述用户设备进行入网认证处理包括：

根据所述第一PSMI生成第二PSMI，并向所述用户设备发送所述第二PSMI；

根据所述用户设备的反馈，获取所述用户设备根据所述第二PSMI生成的第二签名令牌；

通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理。
根据权利要求3所述的方法，其中，通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理包括：

验证所述第二签名令牌是否合法；

在验证结果为否的情况下，向所述用户设备和服务网络发送第二签名令牌认证失败消息，通知所述用户设备不合法；

在验证结果为是的情况下，使用所述第二PMSI替换所述第一PMSI对所述用户设备进行附着处理。
根据权利要求1所述的方法，其中，在接收所述用户设备发送的所述确认消息之前，还包括：

接收所述用户设备发送的附着请求，其中，所述附着请求携带第一PMSI，所述第一PMSI包括用户数据中心标识；

通过所述用户数据中心标识对应的用户数据中心生成加密第一PMSI；

将所述加密第一PMSI发送给所述用户设备，其中，所述加密第一PMSI用于生成所述第一签名令牌。
根据权利要求1所述的方法，其中，在接收用户设备发送的确认消息之前，还包括：

通过使用散列函数散列国际移动用户识别码IMSI的方式，获取所述PMSI。
根据权利要求1至6中任一项所述的方法，其中，接收用户设备发送的确认消息包括：

接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。
一种入网认证处理装置，包括：

第一接收模块，设置为接收用户设备发送的确认消息，其中，所述确认消息携带有所述用户设备根据第一初始增强隐私移动标识PMSI生成的第一签名令牌；

验证模块，设置为验证所述第一签名令牌是否合法；

第一获取模块，设置为在验证结果为否的情况下，获取PMSI对所述用户设备进行入网认证处理。
根据权利要求8所述的装置，其中，所述第一获取模块，还设置为向所述用户设备发送第一签名令牌认证失败消息，通知所述用户设备重新发起附着请求；以及根据所述附着请求重新获取所述第一PMSI，对所述用户设备进行入网认证处理。
根据权利要求8所述的装置，其中，所述第一获取模块，还设置为根据所述第一PSMI生成第二PSMI，并向所述用户设备发送所述第二PSMI；根据所述用户设备的反馈，获取所述用户设备根据所述第二PSMI生成的第二签名令牌；以及通过验证所述第二签名令牌的合法性，重新对所述用户设备进行入网认证处理。
根据权利要求10所述的装置，其中，所述第一获取模块，还设置为验证所述第二签名令牌是否合法；在验证结果为否的情况下，向所述用户设备和服务网络发送第二签名令牌认证失败消息，通知所述用户设备不合法；以及在验证结果为是的情况下，使用所述第二PMSI替换所述第一PMSI对所述用户设备进行附着处理。
根据权利要求8所述的装置，其中，还包括：

第二接收模块，设置为接收所述用户设备发送的附着请求，其中，所述附着请求携带第一PMSI，所述第一PMSI包括用户数据中心标识；

生成模块，设置为通过所述用户数据中心标识对应的用户数据中心生成加密第一PMSI；

发送模块，设置为将所述加密第一PMSI发送给所述用户设备，其中，所述加密第一PMSI用于生成所述第一签名令牌。
根据权利要求8所述的装置，其中，还包括：

第二获取模块，设置为通过使用散列函数散列国际移动用户识别码IMSI的方式，获取所述PMSI。
根据权利要求8至13中任一项所述的装置，其中，第一接收模块，还设置为接收服务网络发送的位置更新请求，其中，所述位置更新请求携带有所述用户设备转发给所述服务网络的所述第一签名令牌。
一种存储介质，所述存储介质包括存储的程序，其中，所述程序运行时执行权利要求1至7中任一项所述的方法