本發明涉及一種用戶設備鑒權方法、移動管理實體及用戶設備，其中，所述方法包括：向用戶設備UE發送身份請求信息Identity Request；其中，所述Identity Request包含密鑰標識；在所述UE根據所述秘鑰標識對當前網絡認證通過后，接收所述UE根據所述Identity Request發送的響應身份信息Identity Response。本發明通過向用戶設備UE發送包含密鑰標識的身份請求信息，并在所述UE根據所述秘鑰標識對當前網絡認證通過后，接收所述UE根據身份請求信息發送的響應身份信息，完善了身份請求信息信令中攜帶的信息，為網絡側和終端完成雙向安全認證提供基礎，增強了鑒權的安全性，保護了用戶個人信息，降低了信令開銷，利于大面積應用。

技術領域

本發明涉及通信技術領域，尤其涉及一種用戶設備鑒權方法、移動管理實體及用戶設備。

背景技術

在3GPP協議中，現有技術方案鑒權流程中用戶設備UE會上報IMSI信息，3GPP TS24.301V9.2.0(2010-03)中描述技術鑒權為：網絡側給UE下發身份請求信息IdentityRequest，要求用戶上報用戶信息(如IMSI、IMEI)，隨即，處在EMM連接態的用戶會反饋響應身份信息Identity Response給網絡側，網絡側即獲取到UE的IMSI等用戶信息。

現有的一種技術方案通過令移動通信網絡在任何時刻都不能要求移動終端在無線鏈路上發送其永久身份的方式，提高網絡的安全性。此外，現有的另一種技術方案通過在IMS網絡鑒權返回的結果中攜帶應用服務器的鑒權信息，實現IMS和應用服務器的統一鑒權，而不需要用戶手動干預應用服務器的鑒權過程，以給用戶使用和運營商管理都帶來方便。

然而，發明人在實施本發明實施例過程中發現，上述第一種技術方案中，移動通信網絡為接入的終端分配臨時身份，并保存終端臨時身份和永久身份之間的關系，對網絡的開銷較大，不利于大面積應用；而在上述另一種技術方案中，未涉及UE對網絡側IdentityRequest的識別，若仿真基站等設備向用戶發Identity Request信息，用戶直接將IMSI等個人信息以Identity Response回復給仿真基站(詳見圖1)，這樣會導致用戶個人IMSI、IMEI等完全暴露，存在較大安全隱患。

發明內容

針對現有的用戶設備鑒權方案對網絡的開銷較大，不利于大面積應用，以及不利于用戶信息保護的缺陷，本發明提出如下技術方案：

本發明一方面提供了一種用戶設備鑒權方法，包括：

向用戶設備UE發送身份請求信息Identity Request；其中，所述IdentityRequest包含密鑰標識；

在所述UE根據所述秘鑰標識對當前網絡認證通過后，接收所述UE根據所述Identity Request發送的響應身份信息Identity Response；

將所述Identity Response發送給歸屬用戶服務器HSS，以使所述HSS對所述UE進行鑒權。

可選地，所述向用戶設備UE下發身份請求信息Identity Request，包括：

啟動一個定時器Timer對鑒權流程進行計時。

可選地，所述方法還包括：

在所述UE根據所述秘鑰標識對當前網絡認證不通過后，接收所述UE根據所述Identity Request發送的拒絕信息Identity Reject；

根據所述Timer判斷當前鑒權流程是否超時，若否，則再次向所述UE發送所述Identity Request。

可選地，所述密鑰標識根據HSS和UE的共享密鑰經加密生成。