WO2018137239A1

WO2018137239A1 - 一种鉴权方法、鉴权服务器和核心网设备

Info

Publication number: WO2018137239A1
Application number: PCT/CN2017/072741
Authority: WO
Inventors: 陈璟; 潘凯; 李�赫
Original assignee: 华为技术有限公司
Priority date: 2017-01-26
Filing date: 2017-01-26
Publication date: 2018-08-02

Abstract

本申请涉及一种鉴权方法，所述方法包括：鉴权服务器从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；所述鉴权服务器根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。本发明实施例提供的鉴权方法，可以适应多种鉴权模式，能够支持各种信任状类型的用户设备，从而克服了现有技术中设备标识鉴权方式固定的弊端。

Description

一种鉴权方法、鉴权服务器和核心网设备

技术领域

本发明涉及移动通信领域，特别涉及一种鉴权方法、鉴权服务器和核心网设备。

背景技术

随着通信技术的不断发展，网络能够支持的用户设备(User Equipment，UE)数量和种类越来越多。为了能够保障网络环境的安全，需要对用户设备进行鉴权，以阻止安全性能过低、来源不明、报废翻新等用户设备接入网络。现有技术中，用户设备标识鉴权有以下方式。

基于用户设备的国际移动设备身份码(International Mobile Equipment Identity，IMEI)和证书绑定的用户设备标识鉴权方法。如图1所示；101、用户设备需要预先配置设备证书和设备证书相关私钥，网络侧需要预先配置IMEI与设备证书的绑定关系；102、在用户设备与认证、授权和计费(Authentication,Authorization and Accounting,AAA)/归属用户服务器(Home Subscriber Server，HSS)间进行用户身份鉴权；103-105、安全锚点功能(Security Anchor Function，SEAF)实体向用户设备发送设备标识鉴权请求，用户设备使用私钥对(IMEI，新鲜值(fresh)，挑战(challenge))进行签名，然后连同IMEI发送给SEAF；106-108，请求设备证书；109、使用设备证书检查签名，以完成设备标识鉴权。

基于用户设备的IMEI和公钥绑定的用户设备标识鉴权方法。如图2所示，201、用户设备需要预先配置公私钥对，网络侧需要预先配置IMEI与设备公钥的绑定关系；202、在用户设备与AAA/HSS间进行用户身份鉴权；203-205、SEAF向用户设备发送设备标识鉴权请求，用户设备使用私钥对(IMEI，新鲜值，挑战)进行签名，然后连同IMEI发送给SEAF；206-208，请求设备公钥；209、使用设备公钥检查签名，以完成设备标识鉴权。

上述用户设备标识鉴权方法的鉴权模式固定、支持的设备数量和种类有限，没有考虑到下一代网络中的具有不同信任状类型的设备接入。

发明内容

本发明实施例提供了一种鉴权方法、鉴权服务器和核心网设备，采用了EAP设备标识鉴权的方式，可以适应多种鉴权模式，能够支持多种信任状类型的用户设备，能够满足下一代网络中的用户设备标识鉴权需求。

第一方面，本发明实施例提供了一种鉴权方法，该方法包括：鉴权服务器从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；所述鉴权服务器根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。

本发明实施例提供的鉴权方法，可以根据UE的设备标识选择EAP设备标识鉴权的方法，并基于选择的方式对所述UE进行EAP设备标识鉴权，可以适应多种鉴权模式，能够支持各种信任状类型的用户设备，从而克服了现有技术中设备标识鉴权方式固定的弊端。

在一种可能的实现方式中，在所述鉴权服务器从所述核心网设备接收所述第一请求之前，所述方法还包括：所述鉴权服务器向所述核心网设备发送第一响应，所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断。

在一种可能的实现方式中，所述鉴权服务器基于所述选择的方式对所述UE进行EAP设备标识鉴权，包括：所述鉴权服务器向所述UE发送所述选择的设备标识鉴权的方式。

在一种可能的实现方式中，所述鉴权服务器生成第一密钥；所述鉴权服务器向所述核心网设备发送第二响应消息，所述第二响应消息包括所述第一密钥，所述第一密钥用于所述核心网设备内密钥的更新。

在本发明实施例中，可以更新核心网设备中的密钥，在签约信息鉴权所产生的密钥泄露时，仍可以保证安全通信。

在一种可能的实现方式中，所述鉴权服务器包括鉴权服务器功能AUSF实体和/或鉴权信任状存储和处理功能ARPF实体。

在一种可能的实现方式中，所述核心网设备包括安全锚点功能SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。

第二方面，本发明实施例还提供了另一种鉴权方法，所述方法包括：核心网设备从用户设备UE获取所述UE的设备标识；所述核心网设备向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。

在一种可能的实现方式中，所述方法还包括：所述核心网设备从所述UE接收第二请求，或，从所述鉴权服务器接收第一响应，所述第二请求或所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断；所述核心网设备收到所述第一响应或所述第二请求后，决定是否对所述UE进行设备标识鉴权。

在一种可能的实现方式中，所述方法还包括：所述核心网设备向所述UE发送第三请求，以请求所述设备标识。

在一种可能的实现方式中，所述核心网设备向所述UE发送设第三请求，包括：所述核心网设备通过非接入层安全模式命令NAS SMC消息向所述UE发送所述第三请求。

在一种可能的实现方式中，所述核心网设备向所述UE发送第三请求，包括：所述核心网设备向所述UE发送EAP请求，所述EAP请求包括所述第三请求。

在一种可能的实现方式中，所述第二请求包括所述设备标识；所述核心网设备获取所述设备标识包括：所述核心网设备从所述第二请求中获取所述设备标识。

在一种可能的实现方式中，所述核心网设备获取所述设备标识，包括：所述核心网设备从所述UE接收非接入层安全模式完成NAS SMP消息，所述NAS SMP消息包括所述设备标识。

在一种可能的实现方式中，所述方法还包括：所述核心网设备从所述鉴权服务器接收第二响应消息，所述第二响应消息包括第一密钥；所述核心网设备根据所述第一密钥更新所述核心网设备存储的第二密钥。

第三方面，本发明实施例提供了一种鉴权服务器，所述服务器包括：处理模块和通信模块；所述通信模块从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；所述处理模块根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。

第四方面，本发明实施例提供了一种核心网设备，所述核心网设备包括：处理模块和通信模块；所述通信模块从用户设备UE获取所述UE的设备标识；所述通信模块向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。

第五方面，本发明实施例还提供了一种鉴权服务器，所述服务器包括：处理器和通信接口；所述处理器和所述通信接口用于执行第一方面提供的鉴权方法。

第六方面，本发明实施例还提供了一种核心网设备，所述核心网设备包括：处理器和通信接口；所述处理器和所述通信接口用于执行第二方面提供的鉴权方法。

第七方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第八方面，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

本发明实施例提供的鉴权方法、鉴权服务器和核心网设备，采用了EAP设备标识鉴权的方式，可以适应多种鉴权模式，能够支持多种信任状类型的用户设备，克服了现有技术中设备标识鉴权方式固定的弊端，能够满足下一代网络中的用户设备标识鉴权需求。

附图说明

图1为现有技术中一种设备标识鉴权方法示意性流程交互图；

图2为现有技术中另一种设备标识鉴权方法示意性流程交互图；

图3为本发明实施例提供一种鉴权方法的流程图；

图4为本发明实施例提供的另一种鉴权方法的流程图；

图5为本发明具体实施例1提供的鉴权方法示意性流程交互图；

图6为本发明具体实施例2提供的鉴权方法示意性流程交互图；

图7为本发明具体实施例3提供的鉴权方法示意性流程交互图；

图8为本发明具体实施例4提供的鉴权方法示意性流程交互图；

图9为本发明具体实施例5提供的鉴权方法示意性流程交互图；

图10为本发明具体实施例6提供的鉴权方法示意性流程交互图；

图11为本发明具体实施例7提供的鉴权方法示意性流程交互图；

图12为本发明具体实施例8提供的鉴权方法示意性流程交互图；

图13为本发明具体实施例9提供的鉴权方法示意性流程交互图；

图14为本发明实施例提供的一种鉴权服务器结构示意图；

图15为本发明实施例提供的一种核心网设备结构示意图；

图16为本发明实施例提供的另一种鉴权服务器结构示意图；

图17为本发明实施例提供的另一种核心网设备结构示意图。

具体实施方式

下面将结合附图，对本发明实施例中的技术方案进行描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

本申请的实施例中的UE可以是手机(mobile phone)、平板电脑(Pad)、带无线收发功能的电脑、虚拟现实(Virtual Reality，VR)终端设备、增强现实(Augmented Reality，AR)终端设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端等等。本申请的实施例对应用场景不做限定。

在第三代伙伴关系项目(3rd Generation Partnership Project，3GPP)系统中，UE可以存在两种标识，UE的使用用户的用户标识，例如，用于识别用户签约信息的国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)，和，该UE的设备标识，例如，IMEI。IMSI可以在用户身份鉴权过程中网络使用鉴权和密钥协商(Authentication and Key Agreement，AKA)进行鉴权，因此，IMSI对于网络是可信的。

设备标识，例如IMEI，不仅是封堵失窃的UE、阻止UE被非法转售及恢复找回UE正常运行的关键依据，还可以在IMSI不存在或用户身份鉴权失败时用于紧急呼叫，并且IMEI存在被修改或克隆的可能，因此，需要UE接入网络时对设备进行鉴权，以确保该UE的IMEI是可信的。此外，由于下一代网络所支持的设备在数量和种类上大大增加，为保证提供一个安全的网络环境，需阻止一些安全性能过低的设备接入网络，这就有必要对设备进行鉴权，以判断该设备是否在需要被阻止的范围内，因此也需要确保设备标识对网络是可信的。

设备标识鉴权是一种通过鉴权设备标识来对某一设备进行鉴权的方式。

可扩展认证协议(Extensible Authentication Protocol，EAP)，是一种可以扩展的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。EAP是一个认证框架，不是一个特殊的认证机制。EAP提供一些公共的功能，并且允许协商所希望的认证机制。EAP协议只是一个认证框架，没有明确指出具体的认证方法，因此这种认证机制结合了EAP协议和操作者选用的EAP认证方法(比如EAP-TLS,EAP-SIM,EAP-AKA,PEAP)。本发明实施例提供的用户设备标识鉴权方法利用EAP这一特性，扩展了设备标识鉴权方式，可以适应多种鉴权模式，能够支持各种信任状类型的用户设备，能够满足下一代网络中的用户设备标识鉴权需求。具体地，在本发明实施例提供的方法中，可以由收到UE的设备标识后的SEAF或者MME，向鉴权服务器或HSS发送EAP设备标识鉴权请求，以使鉴权服务器或HSS对UE进行EAP设备标识鉴权。

本申请实施例提供的方法可以应用于下一代网络。在本申请实施例中，下一代网络的核心网设备可以包括安全锚点功能(Security Anchor Function，SEAF)实体，是下一代网络的核心网中与AUSF和UE交互的网元，在鉴权流程后，接收中间密钥。在一个示例中，还可以包括接入和移动管理功能(Access and Mobility management Function，AMF)实体，其主要功能是负责移动管理、接入管理等。在一个示例中，下一代网络的核心网设备还可以包括，会话管理功能(Session Management Function，SMF)实体，其主要功能是为UE建立会话、分配会话身份(Identification，ID)、管理或终止会话等。下一代网络的鉴权服务器，用于根据SEAF发来的设备标识鉴权请求、对UE进行鉴权以及负责存安全储信任状等信息等。鉴权服务器可以包括鉴权服务器功能(Authentication Server Function，AUSF)实体和/或鉴权信任状存储和处理功能(Authentication Credential Repository and Processing Function，ARPF)实体。

下一代网络应当说明的是，本发明实施例提供的方法也可以应用于长期演进(Long Term Evolution，LTE)网络以及之前各代网络。其中，在LTE中，核心网设备可以是移动管理实体(Mobile Management Entity，MME)；鉴权服务器可以是归属用户服务器(Home Subscriber Server，HSS)，也可以是第三方用于设备标识鉴权的服务器。

结合图3对本发明实施例提供的鉴权方法进行具体说明。该方法的执行主体可以为鉴权服务器。该方法包括以下步骤。

步骤301、鉴权服务器从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识。

在一个示例中，UE的设备标识可以为UE的IMEI。

在一个示例中，鉴权服务器可以包括AUSF和/或ARPF。

在一个示例中，核心网设备可以包括SEAF，鉴权服务器可以从SEAF接收第一请求。

在一个示例中，核心网设备可以包括AMF，鉴权服务器可以从AMF接收第一请求。

在一个示例中，核心网设备可以包括SMF，鉴权服务器可以从SMF接收第一请求。

在一个示例中，鉴权服务器可以包括HSS。

在一个示例中，核心网设备可以包括MME，鉴权服务器可以从MME接收第一请求。

步骤302、所述鉴权服务器根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。

在一个示例中，鉴权服务器基于选择的方式对UE进行EAP设备标识鉴权可以包括：鉴权服务器向UE发送所述选择的设备标识鉴权的方式。

在一个示例中，本发明实施例提供的鉴权方法还可以包括：鉴权服务器生成第一密钥；所述鉴权服务器向所述核心网设备发送第二响应消息，所述第二响应消息包括所述第一密钥，所述第一密钥用于所述核心网设备内密钥的更新。

本发明实施例提供的一种鉴权方法，采用了可扩展认证协议EAP，可以适应多种鉴权模式，能够支持多种信任状类型的用户设备，能够满足下一代网络中的用户设备标识的鉴权需求。

本发明实施例还提供了另一种鉴权方法，结合图4对本发明实施例提供的另一种鉴权方法进行具体说明。该方法的执行主体可以为核心网设备。该方法包括以下步骤。

步骤401、核心网设备从用户设备UE获取所述UE的设备标识。

步骤402、核心网设备向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。

在一个示例中，核心网设备包括安全锚点功能实体SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。

在一个示例中，该方法还包括：核心网设备从所述UE接收第二请求，或，从所述鉴权服务器接收第一响应，所述第二请求或所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断；所述核心网设备收到所述第一响应或所述第二请求后，决定是否对所述UE进行设备标识鉴权。

在一个示例中，该方法还包括：所述核心网设备向所述UE发送第三请求，以请求所述设备标识。

在一个示例中，所述核心网设备向所述UE发送设第三请求，包括：所述核心网设备通过非接入层安全模式命令(Non-Access Stratum Security Mode Command，NAS SMC)消息向所述UE发送所述第三请求。

在一个示例中，所述核心网设备向所述UE发送第三请求，包括：所述核心网设备向所述UE发送EAP请求，所述EAP请求包括所述第三请求。

在一个示例中，所述第二请求包括所述设备标识；所述核心网设备获取所述设备标识包括：所述核心网设备从所述第二请求中获取所述设备标识。

在一个示例中，所述核心网设备获取所述设备标识，包括：所述核心网设备从所述UE接收非接入层安全模式完成(Non-Access Stratum Security Mode Complete，NAS SMP)消息，所述NAS SMP消息包括所述设备标识。

在一个示例中，所述方法还包括：所述核心网设备从所述鉴权服务器接收第二响应消息，所述第二响应消息包括第一密钥；所述核心网设备根据所述第一密钥更新所述核心网设备存储的第二密钥。

在一个示例中，所述鉴权服务器包括鉴权服务器功能AUSF实体和/或鉴权信任状存储和鉴权信任状存储和处理功能ARPF实体。

本发明实施例提供的鉴权方法，采用了可扩展认证协议EAP，可以适应多种鉴权模式，能够支持多种信任状类型的用户设备，能够满足下一代网络中的用户设备标识的鉴权需求。

本发明具体实施例1，结合图5对本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF。

步骤501、UE向AMF发送附着请求，附着请求中可以包括设备标识鉴权请求，在一个例子中，设备标识鉴权请求可以通过设备标识鉴权指示符(equipment identifier authentication indicator)实现。

步骤502、UE与鉴权服务器可以进行签约信息鉴权。应当说明的是，签约信息鉴权的鉴权服务器可以与本示例中的设备标识鉴权的鉴权服务器可以是同一个服务器，也可以是不同的服务器。在本示例中，以签约信息鉴权的鉴权服务器和设备标识鉴权的鉴权服务器为同一个服务器进行举例说明，并不限定。

步骤503、如果签约信息鉴权成功，鉴权服务器可以向AMF发送签约信息鉴权响应。

步骤504、AMF可以决定是否对UE进行设备标识鉴权。例如，AMF可以根据运营商需求或UE的签约信息判断是否对UE进行设备标识鉴权。如果无需进行设备标识鉴权，则AMF直接转发签约信息鉴权响应，以完成UE的网络接入。如果需要进行设备标识鉴权，则进行后续步骤。关于设备标识鉴权，比如，运营商要求对UE进行设备标识鉴权；具体地，因为运营商可以要求USIM卡和UE绑定，运营商可以将要求USIM卡和UE绑定的信息预先配置在SEAF中，也可以是SEAF通过鉴权服务器等获得要求USIM卡和UE绑定的信息。例如，一个经常在上海的用户突然之间出现在了北京，此时网络会对该UE进行鉴权，以检查该用户的USIM是不是被盗。

步骤505、AMF向UE发送设备标识请求，以请求UE的设备标识，传递设备标识请求的消息可以是NAS SMC消息。

步骤506、UE向AMF发送设备标识，该设备标识可以为IMEI，传递设备标识的消息可以是NAS SMP消息。

步骤507、AMF接收到设备标识后，可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

步骤508、鉴权服务器可以根据接收的EAP设备标识鉴权请求选择EAP设备标识鉴权的方式，具体地，可以根据设备标识为UE选择EAP设备标识鉴权的方式。可以假设UE的信任状、信任状与设备标识的对应关系预先存储在鉴权服务器中，鉴权服务器可以根据设备标识所对应的信任状选择匹配的EAP设备标识鉴权方式，其中，信任状可以包括但不限于证书、密钥或其他信任状，EAP设备标识鉴权的方式可以包括但不限于EAP-AKA、EAP-TLS、EAP-TTLS等。其中，鉴权服务器可以为运营商拥有，也可以为第三方拥有。

步骤509、鉴权服务器可以根据步骤508选择的EAP设备标识鉴权的方式对UE进行设备标识鉴权。例如，UE和鉴权服务器间消息交互的次数取决于鉴权服务器选择的EAP设备标识鉴权的方式。

步骤510、鉴权服务器向AMF发送设备标识鉴权成功消息(比如，EAP成功消息)，其中，在一个例子中，设备标识鉴权成功消息可以包括鉴权服务器在设备标识鉴权成功后生成的第一密钥。

步骤511、如果AMF接收到的设备标识鉴权成功消息中包括第一密钥，AMF可以根据第一密钥对AMF中的签约信息鉴权中生成的密钥进行更新。应当说明的是，步骤511是可选的，比如，如果网络需要使用设备标识鉴权信任状(Credential)绑定安全上下文以更新安全上下文，则AMF可以对AMF中的签约信息鉴权中生成的密钥进行更新。或者，若第一密钥发生泄漏，也可执行该更新操作，从而保证安全通信。

步骤512、AMF向UE发送NAS SMC消息，其中，可以包括设备标识鉴权成功消息(如， EAP成功消息)并且，如果AMF中的密钥有更新，则更新密钥所使用的参数也可以附带在NAS SMC消息中。

步骤513、UE向AMF发送NAS SMP消息。

步骤514、AMF向UE发送附着接受消息。

本发明具体实施例2结合图6对本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤601、UE向AMF发送附着请求。

步骤602、UE与鉴权服务器可以进行签约信息鉴权。应当说明的是，签约信息鉴权的鉴权服务器可以与本示例中的设备标识鉴权的鉴权服务器可以是同一个服务器，也可以是不同的服务器。在本示例中，以签约信息鉴权的鉴权服务器和设备标识鉴权的鉴权服务器为同一个服务器进行举例说明，并不限定。

步骤603、如果签约信息鉴权成功，鉴权服务器可以向SEAF发送签约信息鉴权响应

步骤604、SEAF可以决定是否对UE进行设备标识鉴权。例如，AMF可以根据运营商需求或UE的签约信息判断是否对UE进行设备标识鉴权。如果无需进行设备标识鉴权，则SEAF直接转发签约信息鉴权响应，以完成UE的网络接入。如果需要进行设备标识鉴权，则进行后续步骤。关于设备标识鉴权，比如，运营商要求对UE进行设备标识鉴权；具体地，因为运营商可以要求USIM卡和UE绑定，运营商可以将要求USIM卡和UE绑定的信息预先配置在SEAF中，也可以是SEAF通过鉴权服务器等获得要求USIM卡和UE绑定的信息。例如，一个经常在上海的用户突然之间出现在了北京，此时网络会对该UE进行鉴权，以检查该用户的USIM是不是被盗。

步骤605、SEAF向AMF发送EAP请求，EAP请求中可以包括设备标识请求，以请求UE的设备标识。

步骤606、AMF向UE发送该EAP请求，该EAP请求中可以包括设备标识请求，以请求UE的设备标识。

步骤607、UE向AMF发送设备标识，该设备标识可以为IMEI。

步骤608、AMF接收到设备标识后，将该设备标识发送给SEAF。

步骤609、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

步骤610、鉴权服务器可以根据接收的EAP设备标识鉴权请求选择EAP设备标识鉴权的方式，具体的择方式可以参照上述具体实施例1记载的内容，此处不再赘述。

步骤611至步骤613、鉴权服务器可以将步骤610中选择的EAP设备标识鉴权的方式发送给UE。

后续步骤，可以参照上述具体实施例1记载的内容，此处不再赘述。

本发明具体实施例3结合图7本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤701、UE向AMF发送附着请求。

步骤702、UE与鉴权服务器可以进行签约信息鉴权。应当说明的是，签约信息鉴权的鉴权服务器可以与本示例中的设备标识鉴权的鉴权服务器可以是同一个服务器，也可以是不同的服务器。在本示例中，以签约信息鉴权的鉴权服务器和设备标识鉴权的鉴权服务器为同一个服务器进行举例说明，并不限定。

步骤703、如果签约信息鉴权成功，鉴权服务器可以向SEAF发送签约信息鉴权响应。

步骤704、SEAF可以决定是否对UE进行设备标识鉴权。例如，AMF可以根据运营商需求或UE的签约信息判断是否对UE进行设备标识鉴权。如果无需进行设备标识鉴权，则SEAF直接转发签约信息鉴权响应，以完成UE的网络接入。如果需要进行设备标识鉴权，则进行后续步骤。关于设备标识鉴权，比如，运营商要求对UE进行设备标识鉴权；具体地，因为运营商可以要求USIM卡和UE绑定，运营商可以将要求USIM卡和UE绑定的信息预先配置在SEAF中，也可以是SEAF通过鉴权服务器等获得要求USIM卡和UE绑定的信息。例如，一个经常在上海的用户突然之间出现在了北京，此时网络会对该UE进行鉴权，以检查该用户的USIM是不是被盗。

步骤705、SEAF向AMF发送设备标识请求，以请求UE的设备标识。

步骤706、AMF向UE发送该设备标识请求，以请求UE的设备标识。

步骤707、UE向AMF发送设备标识，该设备标识可以为IMEI。

步骤708、AMF接收到设备标识后，将该设备标识发送给SEAF，其中，该设备标识可以通过Diameter消息传递。

步骤709、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

后续步骤，可以参照上述具体实施例2记载的内容，此处不再赘述。

本发明具体实施例4结合图8本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤801、UE向AMF发送附着请求，附着请求中可以包括设备标识鉴权请求，在一个例子中，设备标识鉴权请求可以通过设备标识鉴权指示符(equipment identifier authentication indicator)实现。

步骤802、AMF将上述设备标识鉴权请求发送给SEAF。

步骤803、SEAF可以决定是否对UE进行设备标识鉴权。例如，AMF可以根据运营商需求或UE的签约信息判断是否对UE进行设备标识鉴权。如果无需进行设备标识鉴权，则SEAF直接转发签约信息鉴权响应，以完成UE的网络接入。如果需要进行设备标识鉴权，则进行后续步骤。关于设备标识鉴权，比如，运营商要求对UE进行设备标识鉴权；具体地，因为运营商可以要求USIM卡和UE绑定，运营商可以将要求USIM卡和UE绑定的信息预先配置在SEAF中，也可以是SEAF通过鉴权服务器等获得要求USIM卡和UE绑定的信息。例如，一个经常在上海的用户突然之间出现在了北京，此时网络会对该UE进行鉴权，以检查该用户的USIM是不是被盗。

步骤804、SEAF向AMF发送设备标识请求，以请求UE的设备标识。

步骤805、AMF向UE发送该设备标识请求，以请求UE的设备标识，传递设备标识请求的消息可以是NAS SMC消息。

步骤806、UE向AMF发送设备标识，该设备标识可以为IMEI，传递设备标识的消息可以是NAS SMP消息。

步骤807、AMF接收到设备标识后，将该设备标识发送给SEAF，其中，该设备标识可以通过Diameter消息传递。

步骤808、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

本发明具体实施例5结合图9本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤901、UE向AMF发送附着请求，附着请求中可以包括设备标识鉴权请求，在一个例子中，设备标识鉴权请求可通过设备标识鉴权指示符(equipment identifier authentication indicator)实现。

步骤902、AMF将上述设备标识鉴权请求发送给SEAF。

步骤903、SEAF可以决定是否对UE进行设备标识鉴权。

步骤904、SEAF向AMF发送EAP请求，EAP请求中可以包括设备标识请求，以请求UE的设备标识。

步骤905、AMF向UE发送该EAP请求，该EAP请求中可以包括设备标识请求，以请求UE的设备标识，传递EAP请求的消息可以是NAS SMC消息。

步骤906、UE向AMF发送设备标识，该设备标识可以为IMEI，传递设备标识的消息可以是NAS SMP消息。

步骤907、AMF接收到设备标识后，将该设备标识发送给SEAF，其中，该设备标识可以通过Diameter消息传递。

步骤908、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

本发明具体实施例6结合图10本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤1001、UE向AMF发送附着请求。

步骤1002、AMF向UE发送NAS SMC消息。

步骤1003、UE向AMF发送设备标识鉴权请求，其中，传递设备标识鉴权请求的消息可以是NAS SMP消息。

步骤1004、AMF将设备标识鉴权请求发送给SEAF。

后续步骤可以参考具体实施例3记载的内容，此处不再赘述。

本发明具体实施例7结合图11本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤1101、UE向AMF发送附着请求。

步骤1102、AMF向UE发送NAS SMC消息。

步骤1103、UE向AMF发送设备标识鉴权请求，其中，设备标识鉴权请求中包括设备标识，例如IMEI。传递设备标识鉴权请求的消息可以是NAS SMP消息。

步骤1104、AMF将设备标识鉴权请求发送给SEAF，其中，设备标识鉴权请求中包括设备标识。

步骤1105、SEAF可以决定是否对UE进行设备标识鉴权。例如，AMF可以根据运营商需求或UE的签约信息判断是否对UE进行设备标识鉴权。如果无需进行设备标识鉴权，则 SEAF直接转发签约信息鉴权响应，以完成UE的网络接入。如果需要进行设备标识鉴权，则进行后续步骤。关于设备标识鉴权，比如，运营商要求对UE进行设备标识鉴权；具体地，因为运营商可以要求USIM卡和UE绑定，运营商可以将要求USIM卡和UE绑定的信息预先配置在SEAF中，也可以是SEAF通过鉴权服务器等获得要求USIM卡和UE绑定的信息。例如，一个经常在上海的用户突然之间出现在了北京，此时网络会对该UE进行鉴权，以检查该用户的USIM是不是被盗。

步骤1106、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

后续步骤可以参考具体实施例2记载的内容，此处不再赘述。

本发明具体实施例8结合图12本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括AMF、SEAF。

步骤1201、UE向AMF发送附着请求，其中，包括设备标识鉴权请求，在一个例子中，设备标识鉴权请求可通过设备标识鉴权指示符(equipment identifier authentication indicator)实现。

步骤1202、AMF可以根据设备标识鉴权请求决定是否对UE进行设备鉴权。

步骤1203、AMF可以向UE发送设备标识请求，以请求设备标识，其中，传递设备标识请求的消息可以是NAS SMC消息。

步骤1204、UE可以向AMF发送设备标识，其中，传递设备标识的消息可以是NAS SMP消息。

步骤1205、AMF将设备标识发送给SEAF。

步骤1206、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

后续步骤可以参考具体实施例2记载的内容，此处不再赘述。

本发明具体实施例9结合图13本发明实施例提供的方法进行具体介绍。该示例中核心网设备可以包括SMF、AMF、SEAF。

步骤1301、UE向SMF发送会话建立请求，其中，包括设备标识鉴权请求，在一个例子中，设备标识鉴权请求可以通过设备标识鉴权指示符(equipment identifier authentication indicator)实现。

步骤1302、SMF可以根据设备标识鉴权请求决定是否对UE进行设备鉴权，具体过程可参考上述具体实施例，此处不再赘述。

步骤1303、SMF可以向UE发送设备标识请求，以请求设备标识。

步骤1304、UE可以向SMF发送设备标识，例如，IMEI。

步骤1305、SMF将可以设备标识发送给AMF。

步骤1306、AMF可以将设备标识发送给SEAF。

步骤1307、SEAF可以向鉴权服务器发送EAP设备标识鉴权请求，EAP设备标识鉴权请求包括设备标识。

后续步骤可以参考具体实施例2记载的内容，此处不再赘述。

本发明实施例提供了一种鉴权服务器1400，如图14所示，鉴权服务器1400包括处理模块1401和通信模块1402。其中，处理模块1401用于控制通信模块1402；通信模块1402 从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；处理模块1401根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。

处理模块1401和通信模块1402的其他功能可参照上文中有关方法的内容介绍，此处不在赘述。

鉴权服务器1400的有益效果可参照上文中有关方法的内容介绍，此处不在赘述。

本发明实施例提供了一种核心网设备1500，如图15所示，核心网设备1500包括处理模块1501和通信模块1502。其中，处理模块1501用于控制通信模块1502；通信模块1502从用户设备UE获取所述UE的设备标识；通信模块1502向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。

处理模块1501和通信模块1502的其他功能可参照上文中有关方法的内容介绍，此处不在赘述。

核心网设备1500的有益效果可参照上文中有关方法的内容介绍，此处不在赘述。

本发明实施例提供了一种鉴权服务器1600，如图16所示，鉴权服务器1600包括处理器1601和通信接口1602，用于执行本发明实施例提供的鉴权方法。具体内容可参照上文中有关方法的内容介绍，此处不在赘述。

鉴权服务器1600的有益效果可参照上文中有关方法的内容介绍，此处不在赘述。

本发明实施例提供了一种核心网设备1700，如图17所示，核心网设备1700包括处理器1701和通信接口1702，用于执行本发明实施例提供的鉴权方法。具体内容可参照上文中有关方法的内容介绍，此处不在赘述。

核心网设备1700的有益效果可参照上文中有关方法的内容介绍，此处不在赘述。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等”

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。

可以理解的是，在本申请的实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请的实施例的实施过程构成任何限定。

以上所述，仅为本申请的实施例的具体实施方式，任何熟悉本技术领域的技术人员在本申请公开揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的实施例的保护范围之内。

Claims

一种鉴权方法，其特征在于，所述方法包括：

鉴权服务器从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；

所述鉴权服务器根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。
根据权利要求1所述的方法，其特征在于，在所述鉴权服务器从所述核心网设备接收所述第一请求之前，所述方法还包括：

所述鉴权服务器向所述核心网设备发送第一响应，所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断。
根据权利要求1或2所述的方法，其特征在于，所述鉴权服务器基于所述选择的方式对所述UE进行EAP设备标识鉴权，包括：

所述鉴权服务器向所述UE发送所述选择的设备标识鉴权的方式。
根据权利要求1至3任一所述的方法，其特征在于，所述方法还包括：

所述鉴权服务器生成第一密钥；

所述鉴权服务器向所述核心网设备发送第二响应消息，所述第二响应消息包括所述第一密钥，所述第一密钥用于所述核心网设备内密钥的更新。
根据权利要求1至4任一所述的方法，其特征在于，所述鉴权服务器包括鉴权服务器功能AUSF实体和/或鉴权信任状存储和处理功能ARPF实体。
根据权利要求1至5任一所述的方法，其特征在于，所述核心网设备包括安全锚点功能SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。
一种鉴权方法，其特征在于，所述方法包括：

核心网设备从用户设备UE获取所述UE的设备标识；

所述核心网设备向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。
根据权利要求7所述的方法，其特征在于，所述方法还包括：

所述核心网设备从所述UE接收第二请求，或，从所述鉴权服务器接收第一响应，所述第二请求或所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断；

所述核心网设备收到所述第一响应或所述第二请求后，决定是否对所述UE进行设备标识鉴权。
根据权利要求7或8所述的方法，其特征在于，所述方法还包括：

所述核心网设备向所述UE发送第三请求，以请求所述设备标识。
根据权利要求9所述的方法，其特征在于，所述核心网设备向所述UE发送设第三请求，包括：

所述核心网设备通过非接入层安全模式命令NAS SMC消息向所述UE发送所述第三请求。
根据权利要求9或10所述的方法，其特征在于，所述核心网设备向所述UE发送第三请求，包括：

所述核心网设备向所述UE发送EAP请求，所述EAP请求包括所述第三请求。
根据权利要求8至11任一所述的方法，其特征在于，所述第二请求包括所述设备标识；

所述核心网设备获取所述设备标识包括：

所述核心网设备从所述第二请求中获取所述设备标识。
根据权利要求7至11任一所述的方法，其特征在于，所述核心网设备获取所述设备标识，包括：

所述核心网设备从所述UE接收非接入层安全模式完成NAS SMP消息，所述NAS SMP消息包括所述设备标识。
根据权利要求7至13任一所述的方法，其特征在于，所述方法还包括：

所述核心网设备从所述鉴权服务器接收第二响应消息，所述第二响应消息包括第一密钥；

所述核心网设备根据所述第一密钥更新所述核心网设备存储的第二密钥。
根据权利要求7至14任一所述的方法，其特征在于，所述核心网设备包括安全锚点功能实体SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。
根据权利要求7至15任一所述的方法，其特征在于，所述鉴权服务器包括鉴权服务器功能AUSF设备和/或鉴权信任状存储和处理功能ARPF设备。
一种鉴权服务器，其特征在于，所述服务器包括：处理模块和通信模块；

所述通信模块从核心网设备接收第一请求，所述第一请求包括用户设备UE的设备标识；

所述处理模块根据所述设备标识为所述UE选择可扩展认证协议EAP设备标识鉴权的方式，并基于选择的方式对所述UE进行EAP设备标识鉴权。
根据权利要求17所述的服务器，其特征在于，所述通信模块向所述核心网设备发送第一响应，所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断。
根据权利要求17或18所述的服务器，其特征在于，所述处理模块控制所述通信模块向所述UE发送所述选择的设备标识鉴权的方式。
根据权利要求17至19任一项所述的服务器，其特征在于，所述处理模块生成第一密钥；

所述通信模块向所述核心网设备发送第二响应消息，所述第二响应消息包括所述第一密钥，所述第一密钥用于所述核心网设备内密钥的更新。
根据权利要求17至20任一项所述的服务器，其特征在于，所述鉴权服务器包括鉴权服务器功能AUSF实体和/或鉴权信任状存储和处理功能ARPF实体。
根据权利要求17至21任一项所述的服务器，其特征在于，所述核心网设备包括安全锚点功能SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。
一种核心网设备，其特征在于，所述核心网设备包括：处理模块和通信模块；

所述通信模块从用户设备UE获取所述UE的设备标识；

所述通信模块向鉴权服务器发送第一请求，所述第一请求包括所述UE的设备标识，所述设备标识用于所述UE的可扩展认证协议EAP设备标识鉴权方式的选择。
根据权利要求23所述的核心网设备，其特征在于，所述通信模块从所述UE接收第二请求，或，从所述鉴权服务器接收第一响应，所述第二请求或所述第一响应用于触发是否对所述UE进行设备标识鉴权的判断；

所述通信模块收到所述第一响应或所述第二请求后，所述处理模块决定是否对所述UE进行设备标识鉴权。
根据权利要求23或24所述的核心网设备，其特征在于，所述通信模块向所述UE发送第三请求，以请求所述设备标识。
根据权利要求25所述的核心网设备，其特征在于，所述通信模块通过非接入层安全模式命令NAS SMC消息向所述UE发送所述第三请求。
根据权利要求25或26所述的核心网设备，其特征在于，所述通信模块向所述UE发送EAP请求，所述EAP请求包括所述第三请求。
根据权利要求24至27任一项所述的核心网设备，其特征在于，所述第二请求包括所述设备标识；

所述通信模块从所述第二请求中获取所述设备标识。
根据权利要求23至27任一项所述的核心网设备，其特征在于，所述通信模块从所述UE接收非接入层安全模式完成NAS SMP消息，所述NAS SMP消息包括所述设备标识。
根据权利要求23至29任一项所述的核心网设备，其特征在于，所述通信模块从所述鉴权服务器接收第二响应消息，所述第二响应消息包括第一密钥；

所述处理模块根据所述第一密钥更新所述核心网设备存储的第二密钥。
根据权利要求23至30任一项所述的核心网设备，其特征在于，所述核心网设备包括安全锚点功能实体SEAF实体、接入和移动管理功能AMF实体、会话管理功能SMF实体中的至少一个。
根据权利要求23至31任一项所述的核心网设备，其特征在于，所述鉴权服务器包括鉴权服务器功能AUSF实体和/或鉴权信任状存储和处理功能ARPF实体。
一种鉴权服务器，其特征在于，所述服务器包括：处理器和通信接口；

所述处理器和所述通信接口用于执行权利要求1至6任一项所述的方法。
一种核心网设备，其特征在于，所述核心网设备包括：处理器和通信接口；

所述处理器和所述通信接口用于执行权利要求7至16任一项所述的方法。