發(fā)送用戶身份認證信息的方法及用戶設備的制作方法

文檔序號：7815071閱讀：352來源：國知局

發(fā)送用戶身份認證信息的方法及用戶設備的制作方法
【專利摘要】本發(fā)明公開了一種發(fā)送用戶身份認證信息的方法及用戶設備、確定歸屬位置寄存器的方法及拜訪位置寄存器、確定用戶合法身份的方法及歸屬位置寄存器，發(fā)送方法包括：接收拜訪位置寄存器發(fā)送的用戶身份信息請求；根據請求生成隨機序列號；利用用戶設備存儲的第一密鑰對隨機序列號與IMSI串接形成的序列號加密，得到加密序列號；將包括根據IMSI獲得的第一信息、根據MSISDN獲得的第二信息、隨機序列號和加密序列號的用戶身份認證信息返回拜訪位置寄存器。在特殊情況下用戶設備響應用戶身份信息請求返回的用戶身份認證信息中不包括IMSI，減小了直接明文傳輸IMSI帶來的風險，結合加解密過程可防止惡意第三方冒充合法用戶，加強了對用戶身份的保護與認證。
【專利說明】發(fā)送用戶身份認證信息的方法及用戶設備

【技術領域】
[0001] 本發(fā)明涉及移動通信系統用戶身份安全認證【技術領域】，尤其涉及一種發(fā)送用戶身份認證信息的方法以及與該發(fā)送方法相對應的用戶設備，本發(fā)明還涉及確定歸屬位置寄存器的方法以及與該確定歸屬位置寄存器的方法相對應的拜訪位置寄存器、確定用戶合法身份的方法以及與該確定用戶合法身份相對應的歸屬位置寄存器。

【背景技術】
[0002] 當前，移動通信技術廣泛應用在全球范圍內，如第二代移動通信系統（2G， 2nd Generation)時代的全球移動通信系統（GSM，Global System for Mobile Communication);第三代移動通信系統（3G，3rd Generation)時代的寬帶碼分多址（WCDMA， Wideband Code Division Multiple Access)，碼分多址 2000(CDMA2000， Code Division Multiple Access 2000)和時分同步碼分多址（TD-SCDMA， Time Division-Synchronous Code Division Multiple Access);以及當前大力發(fā)展的由第三代合作伙伴計劃（3GPP，3rd Generation Partnership Project)制定的第四代移動通信系統 (4G, 4th Generation)長期演進技術（LTE，Long Term Evolution)。
[0003] 移動通信可以讓用戶不受時間、地點的限制，隨時隨地地接入網絡，以獲取各種應用與服務。但是正是由于能夠"隨時隨地"的特性及無線數據鏈路本身的開放性，使得移動通信網絡在數據傳輸上面臨更大的安全威脅。其中多種安全威脅正是由于惡意第三方冒充合法用戶身份而實施的。
[0004] 為防止惡意第三方對網絡服務的非法使用，移動網絡運營商在用戶設備（UE，User Equipment)接入服務網絡時通常需要對用戶身份信息進行驗證--即網絡安全中身份認證（Authentication)過程。身份認證是為了保證用戶身份的合法性，因為只有合法用戶的UE方能付費使用移動運營商的網絡服務。對用戶的身份認證基本方法可以分為這三種： (1)根據你所知道的信息來證明你的身份（what you know，你知道什么）；（2)根據你所擁有的東西來證明你的身份（what you have,你有什么）；（3)直接根據獨一無二的身體特征來證明你的身份（who you are,你是誰）。身份認證的核心就是用戶必須證明"他/她知道某些其他用戶所不知道的信息"。需要特別指出的是，網絡要對用戶的身份信息進行認證，其必須事先知道用戶的身份信息，不然網絡就無法驗證其合法性。
[0005] 國際移動用戶識別碼（IMSI，International Mobile Subscriber Identification Number)的提出，正是為了解決用戶身份認證問題。因為MSI是國際上為唯一識別一個移動用戶所分配的號碼。頂SI采用國際電信聯盟遠程通信標準化組織（ITU-T，ITU Telecommunication Standardization Sector)Ε· 212編碼方式，用戶端存儲在用戶設備的用戶識別卡（SIM/USIM，Subscriber Identity Module/Universal Subscriber Identity Module)中，而在網絡側，主要存儲在歸屬位置寄存器（2G/3G時代歸屬位置寄存器表示為 HLR，即 Home Location Register ;4G 時代歸屬位置寄存器表不為 HSS，即 Home Subscriber Serve，其也稱為歸屬用戶服務器）中，其總長度一般為15位，每一位編碼使用0?9中的數字。圖1示出了國際移動用戶識別碼（MSI)的組成結構，如圖1所示，頂SI由從左至右順序排布的移動國家號碼（MCC，Mobile Country Code)、移動網號（MNC，Mobile Network Code)和移動用戶識別碼（MSIN，Mobile Subscriber Identification Number)構成，其中 MCC的資源由國際電信聯盟（ITU)統一分配和管理，由3位數字組成，其唯一地識別移動用戶所屬的國家，例如對應中國的MCC碼為460 ;MNC用于識別移動用戶所歸屬的移動網，由 2位數字組成，例如對應中國移動系統使用的MNC為00、02、07,對應中國聯通GSM系統使用的1^(：為01、06，對應中國電信00麻系統使用的1^(：為03、05以5預用于唯一地識別國內的移動網絡中的移動用戶，由10位數字組成，不同運營商有不同的與國際移動用戶號碼 (MSISDN，Mobile Subscriber International ISDN/PSTN Number，簡稱 MDN)間的對應關系，MSIN的結構為：EF+I^M^I^+AB⑶，其中的Μ具M2M3和國際移動用戶號碼（MSISDN)中的 H0H1H2H3可存在對應關系，AB⑶四位為自由分配的數字。
[0006] 現有移動通信系統中，為了防止用戶設備通過直接傳輸MSI進行身份認證導致的用戶身份泄露，在2G及3G網絡中，采用臨時識別碼（TMSI，Temporary Mobile Subscriber Identity)機制代替直接傳輸IMSI來保護用戶身份，即用戶設備通過直接傳輸臨時識別碼（TMSI)進行身份認證；同時，在4G LTE網絡中，采用全球唯一臨時UE標識 (⑶TI，Globally Unique Temporary UE Identity)機制代替直接傳輸IMSI來保護用戶身份，即用戶設備通過直接傳輸全球唯一臨時UE標識（GUTI)進行身份認證，可以看出，以上兩種機制均能夠減少類似于IMSI等用戶私有身份信息在網絡傳輸中暴露。
[0007] 但是，以上兩種機制均存在部分技術缺陷。具體地，在第三代移動通信標準化組織 3GPP的技術規(guī)范TS 33. 102中，提到了當用戶設備第一次接入到網絡以及服務網絡無法識別TMSI機制時，服務網絡將向用戶設備請求明文傳輸頂SI以識別用戶身份。同樣地，在 3GPP技術規(guī)范TS 33. 401中也提到服務網絡利用⑶TI機制無法正常識別用戶身份時，也需要明文傳輸頂SI以識別用戶身份。也就是說，當遇到上述特殊情況時，用戶設備還是會響應服務網絡的請求以明文的形式傳輸帶有用戶私人身份信息的IMSI，此種技術缺陷會被惡意第三方攻擊者利用，即惡意第三方能夠獲取用戶設備以明文傳輸的IMSI，從而獲取合法用戶的身份信息。因此，目前亟待提出一種用戶設備向服務網絡安全傳輸用戶身份信息的方法，以避免上述兩種機制中明文傳輸MSI的情況的發(fā)生。

【發(fā)明內容】

[0008] 本發(fā)明所要解決的技術問題是，在2G及3G網絡中采用的臨時識別碼（TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識（⑶TI)機制中，存在用戶設備以明文的形式向服務網絡傳輸IMSI的技術缺陷，而該技術缺陷會被惡意第三方攻擊者利用，不利于用戶信息的保密。
[0009] 為了解決上述技術問題，本發(fā)明提供了一種發(fā)送用戶身份認證信息的方法以及與該發(fā)送方法相對應的用戶設備，還提供了一種確定歸屬位置寄存器的方法以及與該確定歸屬位置寄存器的方法相對應的拜訪位置寄存器、一種確定用戶合法身份的方法以及與該確定用戶合法身份相對應的歸屬位置寄存器，以保證用戶設備安全地將用戶身份信息發(fā)送至服務網絡。
[0010] 本發(fā)明的技術方案為： toon] 一種發(fā)送用戶身份認證信息的方法，包括：
[0012] 接收拜訪位置寄存器發(fā)送的用戶身份信息請求；
[0013] 根據所述用戶身份信息請求生成隨機序列號；
[0014] 利用用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；
[0015] 將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據所述國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得。
[0016] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0017] -種確定歸屬位置寄存器的方法，包括：
[0018] 向用戶設備發(fā)送用戶身份信息請求；
[0019] 接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0020] 根據所述第一信息確定歸屬位置寄存器。
[0021] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0022] -種確定用戶合法身份的方法，包括：
[0023] 接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述用戶身份認證信息是用戶設備為響應所述拜訪位置寄存器發(fā)送的用戶身份信息請求而返回至所述拜訪位置寄存器的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0024] 在歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；
[0025] 利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼；
[0026] 根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
[0027] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0028] 優(yōu)選的是，所述根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份包括：
[0029] 判斷所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼是否一致；
[0030] 如果是，則確定用戶身份合法。
[0031] 優(yōu)選的是，該方法還包括：在確定用戶身份合法后，將所述第一國際移動用戶識別碼發(fā)送至所述拜訪位置寄存器。
[0032] 一種用戶設備，包括：
[0033] 第一接收單元，設置為接收拜訪位置寄存器發(fā)送的用戶身份信息請求；
[0034] 隨機序列號生成單元，設置為根據所述用戶身份信息請求生成隨機序列號；
[0035] 加密單元，設置為利用所述用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；
[0036] 信息返回單元，設置為將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據所述國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得。
[0037] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0038] 一種拜訪位置寄存器，包括：
[0039] 請求單元，設置為向用戶設備發(fā)送用戶身份信息請求；
[0040] 第二接收單元，設置為接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0041] 歸屬位置寄存器確定單元，設置為根據所述第一信息確定歸屬位置寄存器。
[0042] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0043] -種歸屬位置寄存器，包括：
[0044] 第三接收單元，設置為接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述用戶身份認證信息是用戶設備為響應所述拜訪位置寄存器發(fā)送的用戶身份信息請求而返回至所述拜訪位置寄存器的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0045] 查詢單元，設置為在所述歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；
[0046] 解密單元，設置為利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼；
[0047] 判斷單元，設置為根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
[0048] 優(yōu)選的是，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0049] 優(yōu)選的是，所述判斷單元具體設置為判斷出所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼一致時，確定用戶身份合法。
[0050] 優(yōu)選的是，所述歸屬位置寄存器還包括國際移動用戶識別碼發(fā)送單元，設置為在所述判斷單元確定用戶身份合法的情況下，將所述第一國際移動用戶識別碼發(fā)送至所述拜訪位置寄存器。
[0051] 與現有技術相比，上述方案中的一個或多個實施例可以具有如下優(yōu)點或有益效果：
[0052] 應用本發(fā)明實施例提供發(fā)送用戶身份認證信息的方法，在特殊情況（對應2G及3G 網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）下，用戶設備為響應服務網絡發(fā)送的用戶身份信息請求返回的用戶身份認證信息中不包括國際移動用戶識別碼（MSI)，而是返回根據國際移動用戶識別碼碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息以及對隨機序列號與國際移動用戶識別碼串接形成的序列號進行加密得到的加密序列號，從而減小了直接明文傳輸國際移動用戶識別碼帶來的風險；同時，用戶設備返回的用戶身份認證信息中的加密序列號，與服務網絡側的解密過程相結合，可實現對用戶合法身份的再次確認，從而能防止惡意第三方獲取第一信息和第二信息后冒充合法用戶，加強了對用戶身份的保護與認證。綜上，應用本實施例所述的發(fā)送用戶身份認證信息的方法能夠解決【背景技術】中提到的在2G 及3G網絡中采用的臨時識別碼（TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識 (GUTI)機制中，存在用戶設備以明文的形式向服務網絡傳輸IMSI的技術缺陷。
[0053] 本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述，并且部分地從說明書中變得顯而易見，或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在說明書、權利要求書以及附圖中所特別指出的結構來實現和獲得。

【專利附圖】

【附圖說明】
[0054] 附圖用來提供對本發(fā)明的進一步理解，并且構成說明書的一部分，與本發(fā)明的實施例共同用于解釋本發(fā)明，并不構成對本發(fā)明的限制。在附圖中：
[0055] 圖1示出了國際移動用戶識別碼（MSI)的組成結構；
[0056] 圖2示出了國際移動用戶號碼（MSISDN)的組成結構；
[0057] 圖3示出了現有技術中3GPP協議TS 33. 102中的永久用戶身份鑒別機制流程圖；
[0058] 圖4示出了現有技術中3GPP協議TS 33. 401中的用戶身份詢問機制流程圖；
[0059] 圖5示出了本發(fā)明實施例發(fā)送用戶身份認證信息的方法的流程圖；
[0060] 圖6示出了本發(fā)明實施例確定歸屬位置寄存器的方法的流程圖；
[0061] 圖7示出了本發(fā)明實施例確定用戶合法身份的方法的流程圖；
[0062] 圖8示出了本發(fā)明實施例用戶身份認證方法的流程圖；
[0063] 圖9示出了現有技術中3GPP協議TS 23. 401中規(guī)定的用戶初始附著方法的部分流程圖；
[0064] 圖10示出了本發(fā)明實施例在3GPP協議TS 23. 401中改進的用戶初始附著方法的流程圖，所述改進的用戶初始附著方法采用圖8中所示的用戶身份認證方法；
[0065] 圖11示出了本發(fā)明實施例在EPS-AKA中使用圖8中所示的用戶身份認證方法的流程圖；
[0066] 圖12示出了本發(fā)明實施例用戶設備的結構示意圖；
[0067] 圖13示出了本發(fā)明實施例拜訪位置寄存器的結構示意圖；
[0068] 圖14示出了本發(fā)明實施例歸屬位置寄存器的結構示意圖。

【具體實施方式】
[0069] 以下將結合附圖及實施例來詳細說明本發(fā)明的實施方式，借此對本發(fā)明如何應用技術手段來解決技術問題，并達成技術效果的實現過程能充分理解并據以實施。需要說明的是，只要不構成沖突，本發(fā)明中的各個實施例以及各實施例中的各個特征可以相互結合，所形成的技術方案均在本發(fā)明的保護范圍之內。
[0070] 本發(fā)明實施例所要解決的技術問題是：在2G及3G網絡中采用的臨時識別碼 (TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識（⑶TI)機制中，存在用戶設備以明文的形式向服務網絡傳輸MSI的技術缺陷，即用戶設備會在特殊的情況下（對應2G 及3G網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）為響應服務網絡發(fā)送的用戶身份信息請求而以明文的形式傳輸包括用戶身份信息的頂SI的技術缺陷，此種技術缺陷會被惡意第三方攻擊者利用，從而獲取合法用戶的身份信息。為解決上述技術問題，本發(fā)明實施例提供了一種發(fā)送用戶身份認證信息的方法以及與該發(fā)送方法相對應的用戶設備，還提供了一種確定歸屬位置寄存器的方法以及與該確定歸屬位置寄存器的方法相對應的拜訪位置寄存器、一種確定用戶合法身份的方法以及與該確定用戶合法身份相對應的歸屬位置寄存器，以保證用戶設備安全地將用戶身份信息發(fā)送至服務網絡，通過在上述特殊情況下用戶設備采用部分明傳的方式傳輸包括用戶身份信息的國際移動用戶識別碼（IMSI)和國際移動用戶號碼 (MSISDN)，達到減少IMSI直接明文傳輸帶來的風險，同時結合對傳輸信息進行加密解密，能夠有效防止惡意第三方獲取部分國際移動用戶識別碼和部分國際移動用戶號碼后冒充合法用戶，提高了用戶身份信息傳輸的安全性。
[0071] 在具體展開說明本發(fā)明的各個具體實施例之前，首先對國際移動用戶號碼 (MSISDN)的構成進行簡要說明：
[0072] 國際移動用戶號碼（MSISDN，簡稱MDN)就是我們所熟知的手機號碼，是在公共電話網交換網絡編號計劃中，唯一能識別移動用戶的號碼。同國際移動用戶識別碼（IMSI類似），MSISDN也是一個能驗證用戶身份的號碼，并且MSI與MSISDN的組成結構中有部分對應關系，其采取ITU-T E. 164編碼方式。圖2示出了國際移動用戶號碼（MSISDN)的組成結構，如圖2所示，MSISDN由從左至右順序排布的國家碼（CC，Country Code)、國內目的碼 (NDC，Network Destination Code)和用戶號碼（SN，Subscriber Number)構成，其中中國對應的國家碼為86,國內目的碼包括接入號Ν02Ν3和歸屬位置寄存器（HLR)識別號歸屬位置寄存器識別號表示用戶歸屬的HLR，也表示移動業(yè)務本地網號。
[0073] 為了清楚地展示本發(fā)明實施例的方案和有益效果，作為對照，以下對現有技術中 3GPP協議TS 33. 102中的永久用戶身份鑒別機制和現有技術中3GPP協議TS 33. 401中的用戶身份詢問機制進行展開說明：
[0074] 圖3示出了現有技術中3GPP協議TS 33. 102中的永久用戶身份鑒別機制流程圖，該永久用戶身份鑒別機制僅在無線通路上用戶設備第一次注冊到網絡，或者無法通過TMSI 機制檢索到MSI時使用，參照圖3,所述永久用戶身份鑒別機制包括以下步驟：
[0075] 步驟101 :拜訪位置寄存器/服務GPRS支持節(jié)點（VLR/SGSN)給用戶設備/全球用戶識別卡（UE/USM)發(fā)送一個標識請求消息（相當于用戶身份信息請求）來請求IMSI ;
[0076] 步驟102 :UE/USM響應所述標識請求消息返回MSI。
[0077] 同樣地，圖4示出了現有技術中3GPP協議TS 33. 401中的用戶身份詢問機制流程圖，該用戶身份詢問機制僅在無線通路上服務網絡無法通過臨時標識（GUTI)來識別用戶身份時使用，在此種情況下服務網絡將向用戶設備（UE)請求IMSI，參照圖4,所述用戶身份詢問機制包括以下步驟：
[0078] 步驟201 :移動管理實體（MME)給用戶設備/全球用戶識別卡（UE/USM)發(fā)送一個標識請求消息（相當于用戶身份信息請求）來請求頂SI ;
[0079] 步驟202 :UE/USM響應所述標識請求消息返回MSI。
[0080] 通過上述對3GPP協議TS 33. 102中的永久用戶身份鑒別機制和3GPP協議TS 33. 401中的用戶身份詢問機制的說明，可以看出，3GPP協議TS 33. 102和3GPP協議TS 33. 401存在用戶設備以明文的形式向服務網絡傳輸IMSI的技術缺陷，為解決上述技術缺陷，同時為了防止惡意第三方冒充合法用戶，本發(fā)明實施例提供了一種發(fā)送用戶身份認證信息的方法，圖5示出了本發(fā)明實施例發(fā)送用戶身份認證信息的方法的流程圖，參照圖5，所述發(fā)送用戶身份認證信息的方法包括以下步驟：
[0081] 步驟301 :接收拜訪位置寄存器發(fā)送的用戶身份信息請求。
[0082] 具體地，在特殊情況下，拜訪位置寄存器（VLR，Visitor Location Register)向用戶設備（UE，User Equipment)發(fā)送用戶身份信息請求。這里特殊情況指的是：對應2G及3G 網絡，該特殊情況為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時；對應4G LTE網絡，該特殊情況為當無法正常識別用戶身份時。
[0083] 步驟302 :根據所述用戶身份信息請求生成隨機序列號。
[0084] 具體地，用戶設備接收拜訪位置寄存器發(fā)送的用戶身份信息請求，并根據該用戶身份信息請求在生成隨機序列號Random。
[0085] 步驟303 :利用用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號。
[0086] 具體地，用戶設備利用其本地存儲的第一密鑰對步驟302生成的隨機序列號 Random與IMSI串接形成的序列號進行加密處理，得到加密序列號EKand?。特別地，所述第一密鑰存儲在所述用戶設備的存儲器中，并且所述隨機序列號由所述存儲器生成。所述存儲器為用戶設備的SM/US頂卡。
[0087] 步驟304 :將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據國際移動用戶識別碼（MSI) 獲得，所述第二信息根據國際移動用戶號碼（MSISDN)獲得。
[0088] 具體地，用戶設備將用戶身份認證信息返回至所述拜訪位置寄存器，這里，用戶身份認證信息包括第一信息，第二信息、由步驟302生成的隨機序列號Random和由步驟303 對隨機序列號Random與IMSI串接形成的序列號進行加密得到的加密序列號EKandM，用戶身份認證信息是以上四種數據串接得到，串接的順序可以按照第一信息、第二信息、隨機序列號和加密序列號的排列順序，也可以不按照上述排列順序進行串接。用戶身份認證信息中，第一信息由國際移動用戶識別碼獲得，第二信息由國際移動用戶號碼獲得。
[0089] 進一步地，第一信息由國際移動用戶識別碼中的部分碼組成，并且構成的第一信息需滿足：拜訪位置寄存器能根據所述第一信息確定對應所述用戶設備的歸屬位置寄存器；第二信息由國際移動用戶號碼中的部分碼組成，可以選取國際移動用戶號碼中的部分連續(xù)碼作為所述第二信息，也可以從國際移動用戶號碼中不按順序地抽取部分碼作為所述第二信息。
[0090] 更進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11 且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數，從而所述用戶身份認證信息可以表示為"MSI」|MSISDN s| |Random| |EKand""，其中MSI,表示第一信息，代表國際移動用戶識別碼的前r位，MSISDNs表示第二信息，代表國際移動用戶號碼的后s位，Random表示隨機序列號，E KandM表不加密序列號。在本發(fā)明的一優(yōu)選的實施例中，所述第一信息為所述國際移動用戶識別碼的前11位碼，所述第二信息為國際移動用戶號碼的后4位碼，在該實施例中，所述用戶身份認證信息可以表示為"IMSI n| |MSISDN4| |Random| |EKand(M"。
[0091] 應用本實施例所述的發(fā)送用戶身份認證信息的方法，在特殊情況（對應2G及3G 網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）下，用戶設備為響應服務網絡發(fā)送的用戶身份信息請求返回的用戶身份認證信息中不包括國際移動用戶識別碼（MSI)，而是返回根據國際移動用戶識別碼碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息以及對隨機序列號與國際移動用戶識別碼串接形成的序列號進行加密得到的加密序列號，從而減小了直接明文傳輸國際移動用戶識別碼帶來的風險；同時，用戶設備返回的用戶身份認證信息中的加密序列號，與服務網絡側的解密過程相結合，可實現對用戶合法身份的再次確認，從而能防止惡意第三方獲取第一信息和第二信息后冒充合法用戶，加強了對用戶身份的保護與認證。綜上，應用本實施例所述的發(fā)送用戶身份認證信息的方法能夠解決【背景技術】中提到的在2G 及3G網絡中采用的臨時識別碼（TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識 (GUTI)機制中，存在用戶設備以明文的形式向服務網絡傳輸IMSI的技術缺陷。
[0092] 相對應地，本發(fā)明實施例還提供了與上述發(fā)送用戶身份認證信息的方法相對應的確定歸屬位置寄存器的方法以及確定用戶合法身份的方法。
[0093] 具體地，圖6示出了本發(fā)明實施例確定歸屬位置寄存器的方法的流程圖，如圖6所示，所述確定歸屬位置寄存器的方法，包括以下步驟：
[0094] 步驟401 :向用戶設備發(fā)送用戶身份信息請求。
[0095] 具體地，在特殊情況下，拜訪位置寄存器（VLR，Visitor Location Register)向用戶設備（UE，User Equipment)發(fā)送用戶身份信息請求。這里特殊情況指的是：對應2G及3G 網絡，該特殊情況為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時；對應4G LTE網絡，該特殊情況為當無法正常識別用戶身份時。
[0096] 步驟402 :接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號。
[0097] 具體地，在接收到拜訪位置寄存器發(fā)送的用戶身份信息請求后，用戶設備將包括第一信息、第二信息、隨機序列號和加密序列號的用戶身份認證信息返回給所述拜訪位置寄存器，在用戶身份認證信息中，所述第一信息由國際移動用戶識別碼獲得，第二信息由國際移動用戶號碼獲得，對隨機序列號與IMSI串接形成的序列號進行加密后得到所述加密序列號。
[0098] 進一步地，第一信息由國際移動用戶識別碼中的部分碼組成，并且構成的第一信息需滿足：拜訪位置寄存器能根據所述第一信息確定對應所述用戶設備的歸屬位置寄存器；第二信息由國際移動用戶號碼中的部分碼組成，可以選取國際移動用戶號碼中的部分連續(xù)碼作為所述第二信息，也可以從國際移動用戶號碼中不按順序地抽取部分碼作為所述第二信息。
[0099] 更進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11 且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數，從而所述用戶身份認證信息可以表示為"MSI」|MSISDNs| |Random| |EKand""，其中MSI,表示第一信息，代表國際移動用戶識別碼的前r位，MSISDNs表示第二信息，代表國際移動用戶號碼的后s位，Random表示隨機序列號，E KandM表不加密序列號。在本發(fā)明的一優(yōu)選的實施例中，所述第一信息為所述國際移動用戶識別碼的前11位碼，所述第二信息為國際移動用戶號碼的后4位碼，在該實施例中，所述用戶身份認證信息可以表示為"IMSI n| |MSISDN4| |Random| |EKand(M"。
[0100] 步驟403 :根據所述第一信息確定歸屬位置寄存器。
[0101] 具體地，拜訪位置寄存器在接收到用戶設備返回的用戶身份認證信息后，能夠根據該用戶身份認證信息中的第一信息確定與該用戶設備相對應的歸屬位置寄存器。
[0102] 應用本實施例所述的確定歸屬位置寄存器的方法，在特殊情況（對應2G及3G網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）下，拜訪位置寄存器從用戶設備處接收到的，用戶設備為響應該拜訪位置寄存器發(fā)送的用戶身份信息請求而返回的用戶身份認證信息中不包括國際移動用戶識別碼（MSI)，而是返回根據國際移動用戶識別碼碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息以及對隨機序列號與國際移動用戶識別碼串接形成的序列號進行加密得到的加密序列號，從而減小了直接明文傳輸國際移動用戶識別碼帶來的風險；同時，用戶設備返回的用戶身份認證信息中的加密序列號，與歸屬位置寄存器處的解密過程相結合，可實現對用戶合法身份的再次確認，從而能防止惡意第三方獲取第一信息和第二信息后冒充合法用戶，加強了對用戶身份的保護與認證。綜上，應用本實施例所述的確定歸屬位置寄存器的方法能夠解決【背景技術】中提到的在2G及3G網絡中采用的臨時識別碼 (TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識（⑶TI)機制中，存在用戶設備以明文的形式向服務網絡傳輸頂SI的技術缺陷。
[0103] 圖7示出了本發(fā)明實施例確定用戶合法身份的方法的流程圖，如圖7所示，所述確定用戶合法身份的方法，包括以下步驟：
[0104] 步驟501 :接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述拜訪位置寄存器發(fā)送的用戶身份認證信息是從用戶設備處獲得的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密得到的加密序列號。
[0105] 具體地，與用戶設備相對應的歸屬位置寄存器接收拜訪位置寄存器發(fā)送的用戶身份認證信息，這里，需要說明的是，所述用戶身份認證信息是用戶設備為響應拜訪位置寄存器發(fā)送的用戶身份信息請求而返回至拜訪位置寄存器的。該用戶身份認證信息包括第一信息、第二信息、隨機序列號和加密序列號，其中第一信息由國際移動用戶識別碼獲得，第二信息由國際移動用戶號碼獲得，對隨機序列號與MSI串接形成的序列號進行加密后得到所述加密序列號。
[0106] 進一步地，第一信息由國際移動用戶識別碼中的部分碼組成，并且構成的第一信息需滿足：拜訪位置寄存器能根據所述第一信息確定對應所述用戶設備的歸屬位置寄存器；第二信息由國際移動用戶號碼中的部分碼組成，可以選取國際移動用戶號碼中的部分連續(xù)碼作為所述第二信息，也可以從國際移動用戶號碼中不按順序地抽取部分碼作為所述第二信息。
[0107] 更進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11 且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數，從而所述用戶身份認證信息可以表示為"MSI」|MSISDN s| |Random| |EKand""，其中MSI,表示第一信息，代表國際移動用戶識別碼的前r位，MSISDNs表示第二信息，代表國際移動用戶號碼的后s位，Random表示隨機序列號，E KandM表不加密序列號。在本發(fā)明的一優(yōu)選的實施例中，所述第一信息為所述國際移動用戶識別碼的前11位碼，所述第二信息為國際移動用戶號碼的后4位碼，在該實施例中，所述用戶身份認證信息可以表示為"IMSI n| |MSISDN4| |Random| |EKand(M"。
[0108] 步驟502 :在歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰。
[0109] 具體地，在歸屬位置寄存器中事先存儲有用戶信息庫，在用戶信息庫中存儲有第一信息和第二信息、以及與該第一信息和第二信息相對應的第一國際移動用戶識別碼和用于解密用的第二密鑰。歸屬位置寄存器在接收所述拜訪位置寄存器發(fā)送的用戶身份認證信息后，可以根據所述用戶身份認證信息中的第一信息和第二信息，在其本地存儲的用戶信息表中查詢得到與該第一信息和第二信息相對應的第一國際移動用戶識別碼和第二密鑰，其中第一國際移動用戶識別碼用于后續(xù)的步驟504中進行用戶合法身份的判斷，還用于后續(xù)的步驟505中在確定用戶身份合法后，將該第一國際移動用戶識別碼發(fā)送至拜訪位置寄存器，而第二密鑰用于后續(xù)的步驟503中對所述用戶身份認證信息中的加密序列號進行解密。特別地，上述查詢的方法優(yōu)選為查表的方法，即在歸屬位置寄存器存儲的用戶信息庫中查表得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰。
[0110] 步驟503 :利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼。
[0111] 具體地，歸屬位置寄存器在獲取第二密鑰后對用戶身份認證信息中的加密序列號進行解密，得到串接在一起的解密后序列號和第二國際移動用戶識別碼，其中解密后序列號對應加密前的隨機序列號，而第二國際移動用戶識別碼對應加密前的國際移動用戶識別碼。在本發(fā)明的一優(yōu)選的實施例中，所述第二密鑰與第一密鑰相同，即兩者構成了對稱密鑰，進行加密的方法與進行解密的方法相對應，即上述加密方法和解密方法互為逆過程，從而對應本優(yōu)選的實施例，步驟504中實際就是通過判斷查詢所得的第一國際移動用戶識別碼與解密所得的第二國際移動用戶識別碼是否相同，來確定用戶合法身份的。所述加密和解密方法可選擇本領域技術人員常規(guī)采用的加密算法和解密算法，故在此不進行展開說明。
[0112] 步驟504 :根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
[0113] 具體地，在本發(fā)明一優(yōu)選的實施例中，所述確定用戶合法身份的方法為：歸屬位置寄存器判斷所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼是否一致；如果是，則確定用戶身份合法，否則，確定用戶身份不合法。
[0114] 進一步地，對應步驟503中所述的優(yōu)選的實施例，所述確定用戶合法身份的方法為：歸屬位置寄存器判斷所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼是否相同；如果是，則確定用戶身份合法，否則，確定用戶身份不合法。
[0115] 更進一步地，所述確定用戶合法身份的方法還包括：在確定用戶身份合法后，歸屬位置寄存器將根據步驟502獲取到的第一國際移動用戶識別碼發(fā)送給拜訪位置寄存器，從而使得拜訪位置寄存器獲知用戶身份信息，以進行后續(xù)鑒權認證流程。另外，所述確定用戶合法身份的方法還包括：如果確定用戶身份不合法，可能是惡意第三方獲取用戶設備或者拜訪位置寄存器向外發(fā)送的用戶身份認證信息后非法接入網絡，也可能是歸屬位置寄存器接收到的用戶身份認證信息中隨機序列號和加密序列號部分信息（即Randoml |EKand(J不完整，此時需要重新獲取用戶身份，即歸屬位置寄存器需要通知拜訪位置寄存器重新向用戶設備發(fā)送用戶身份信息請求。
[0116] 應用本實施例所述的確定用戶合法身份的方法，在特殊情況（對應2G及3G網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）下，歸屬位置寄存器從拜訪位置寄存器處接收到的，用戶設備為響應該拜訪位置寄存器發(fā)送的用戶身份信息請求而返回的用戶身份認證信息中不包括國際移動用戶識別碼（IMSI)，而是返回根據國際移動用戶識別碼碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息以及對隨機序列號與國際移動用戶識別碼串接形成的序列號進行加密得到的加密序列號，從而減小了直接明文傳輸國際移動用戶識別碼帶來的風險；同時，歸屬位置寄存器根據從拜訪位置寄存器處接收到的用戶身份認證信息中的第一信息和第二信息，在其存儲的用戶信息庫中查詢第一國際移動用戶識別碼和第二密鑰，并利用第二密鑰對加密序列號進行解密得到第二國際移動用戶識別碼，然后根據第一國際移動用戶識別碼和第二國際移動用戶識別碼確定用戶身份是否合法，可實現對用戶合法身份的再次確認，從而能防止惡意第三方獲取第一信息和第二信息后冒充合法用戶，力口強了對用戶身份的保護與認證。綜上，應用本實施例所述的確定用戶合法身份的方法能夠解決【背景技術】中提到的在2G及3G網絡中采用的臨時識別碼（TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識（GUTI)機制中，存在用戶設備以明文的形式向服務網絡傳輸頂SI的技術缺陷。
[0117] 以上三種方法：發(fā)送用戶身份認證信息的方法、確定歸屬位置寄存器的方法和確定用戶合法身份的方法，是分別站在用戶設備、拜訪位置寄存器和歸屬位置寄存器描述本發(fā)明的技術方案的，為了進一步地使具體實施者清楚地了解本發(fā)明的技術方案，下面站在全局的角度上展開說明涵蓋上述三種方法的用戶身份認證方法，圖8示出了本發(fā)明實施例用戶身份認證方法的流程圖，參照圖8,所述用戶身份認證方法包括：
[0118] 步驟601 :拜訪位置寄存器向用戶設備發(fā)送用戶身份信息請求；
[0119] 步驟602 :所述用戶設備根據所述用戶身份信息請求，生成隨機序列號并利用該用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；所述用戶設備將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得；
[0120] 步驟603 :所述拜訪位置寄存器根據接收到的所述用戶身份認證信息中的第一信息，確定歸屬位置寄存器；
[0121] 步驟604 :所述拜訪位置寄存器將所述用戶身份認證信息發(fā)送至所述歸屬位置寄存器；
[0122] 步驟605 :(1)所述歸屬位置寄存器接收所述用戶身份認證信息，并在該歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；（2)所述歸屬位置寄存器利用所述第二密鑰對所述用戶身份認證信息中的加密序列號進行解密，得到第二國際移動用戶識別碼；（3)所述歸屬位置寄存器并根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
[0123] 步驟606 :如果確定用戶身份合法，則歸屬位置寄存器將第一國際移動用戶識別碼返回至拜訪位置寄存器；
[0124] 步驟607 :如果確定用戶身份不合法，則歸屬位置寄存器通知拜訪位置寄存器重新向用戶設備發(fā)送用戶身份信息請求，以重新獲取用戶身份信息。
[0125] 本發(fā)明實施例用戶身份認證方法具有以下有益效果：該方法基于現有移動通信系統網絡架構及資源，易于應用于實際網絡中；實現對用戶身份信息的加密保護，同時實現對用戶身份的兩次認證，避免了惡意第三方冒充用戶接入網絡；基于現有用戶身份認證機制，同時也克服了【背景技術】中所述的技術缺陷。
[0126] 以下詳細闡述上述用戶身份認證方法的兩個應用實例，分別為在3GPP 協議TS 23. 401中改進的用戶初始附著方法、以及在EPS-AKA (Evolved Packet System-Authentication and Key Agreement,演進的分組系統-認證與密鑰協商）中使用圖8中所示的用戶身份認證方法。
[0127] 為與現有技術中3GPP協議TS 23. 401中規(guī)定的用戶初始附著方法進行參照，首先對現有技術中3GPP協議TS 23. 401中規(guī)定的用戶初始附著方法進行簡要說明，圖9示出了現有技術中3GPP協議TS 23. 401中規(guī)定的用戶初始附著方法的部分流程圖，該用戶初始附著方法包括以下步驟：
[0128] 步驟701.附著請求：用戶設備（UE)啟動附著程序，向演進的節(jié)點B(eN〇de B)發(fā) 送附著請求消息、網絡選擇標識及原全球唯一 MME標識符（GUMMEI)的無線資源控制（RRC， Radio Resource Control)參數；
[0129] 步驟702.附著請求：eNode B從帶有原GUMMEI的RRC參數和網絡選擇標識中獲取移動管理實體（MME，Mobility Management Entity)。如果這個MME與eNode B不相關或者原GUMMEI不可用，那么eNode B通過"MME選擇功能"去選擇一個MME。eNode B轉發(fā) 附著請求消息給新MME。
[0130] 步驟703.核實請求：如果UE用全球唯一臨時UE標識（⑶ΤΙ)識別自己并且分離后 ΜΜΕ發(fā)生改變，新ΜΜΕ利用接收自UE的⑶ΤΙ獲取原MME/SGSN (移動管理實體/服務GPRS支持節(jié)點，Mobility Management Entity/Serving GPRS Support Node)地址，并且向原MME/ SGSN發(fā)送一個標識請求消息來請求頂SI。如果請求被發(fā)送到一個原MME，那么這個MME首先通過非接入層 / 消息鑒權碼（NAS/MAC，Non-access stratum/Message Authentication code)核實這個請求消息，然后通過標識響應返回IMSI和麗上下文。如果請求被發(fā)送到一個原 SGSN，那么這個 SGSN 首先通過 P-TMSI (Packet-Temporary Mobile Subscriber Identity)簽名核實這個請求消息，然后通過標識響應返回MM上下文。
[0131] 步驟704.標識請求：如果UE不知道原MME/SGSN和新MME，那么新MME給UE發(fā)送一個標識請求消息（相當于用戶身份信息請求）來請求IMSI。標識響應：UE通過標識響應消息返回頂SI。
[0132] 步驟705a.鑒權/安全：如果網絡中沒有UE上下文存在，或者附著請求（在步驟 701中發(fā)送）無完整性保護，那么系統將發(fā)起強制性鑒權與安全性檢查。如果NAS安全算法會改變，NAS安全設置在這一步執(zhí)行。所有NAS消息需要通過NAS安全算法（完整性和加密）得到保護。NAS安全算法由MME標識。
[0133] 步驟705b.鑒權請求/響應：ME標識（MEISV國際移動臺標識軟件版本）從UE中檢索，且應該加密傳輸。為了使信令延時最小化，ME標識檢索可與步驟705a中的NAS安全設置相結合。ME身份檢查：MME會向EIR(設備標識寄存器）發(fā)送ME標識檢查請求（包括 ME標識、頂SI)。設備識別寄存器（EIR)應該通過ME標識檢查ACK響應?；谶@一結果， MME決定是否繼續(xù)這一附著程序或者拒絕UE附著。
[0134] 上述用戶初始附著流程的步驟704中在請求IMSI時，UE將IMSI信息明文傳輸給 MME，這可能會導致遭受惡意第三方的非法竊聽，從而導致用戶身份信息泄漏?？蓪⒈景l(fā)明提出的用戶身份認證方法應用于用戶初始附著流程中，從而保護用戶身份信息。詳細地，圖 10示出了本發(fā)明實施例在3GPP協議TS 23. 401中改進的用戶初始附著方法的流程圖，所述改進的用戶初始附著方法采用圖8中所示的用戶身份認證方法。改進部分涉及步驟704,具體包括如下步驟：
[0135] 步驟704a :如果UE不知道原MME/SGSN和新MME，那么新MME給UE發(fā)送一個標識請求消息（相當于用戶身份信息請求）來請求頂SI。
[0136] 步驟704b :UE在收到請求消息后，由USM產生一個隨機序列號Random，利用USM 中存儲的第一密鑰加密Random與IMSI串接形成的序列號，得到加密序列號EKand(M，并將"IM SI r| |MSISDNs| | Random | |EKandQm"消息發(fā)送到新 MME。
[0137] 步驟704c.新MME根據收到的信息中的MSI,可獲知接入用戶的歸屬位置寄存器信息，并將接收到的"IMSI, | |MSISDNs| | Random| |EKand()m"信息轉發(fā)到歸屬位置寄存器。
[0138] 步驟704d.歸屬位置寄存器根據接收到的信息可獲知并驗證接入用戶的身份信息，具體操作如下：
[0139] 1)根據IMSI,與MSISDNs信息，歸屬位置寄存器可在用戶信息庫中檢索到相應的用戶身份信息--第一國際移動用戶識別碼及第二密鑰信息。
[0140] 2)利用檢索到的第二密鑰解密加密序列號，得到串接在一起的解密后序列號和第二國際移動用戶識別碼。
[0141] 3)驗證第一國際移動用戶識別碼與第二國際移動用戶識別碼是否一致。如果一致，說明用戶身份是合法的；如果不一致，可能是惡意第三方獲取步驟702中身份信息后非法接入網絡，也可能是Randoml |EKand?部分信息不完整，則需要重新獲取用戶身份。當確認用戶身份信息合法之后，歸屬位置寄存器將向MME/VLR發(fā)送第一國際移動用戶識別碼，以進行后續(xù)鑒權認證流程。
[0142] 通過對比改進前后的用戶初始附著流程，由于用戶設備在特殊情況下未使用明文傳輸IMSI，而是通過傳輸用戶身份認證信息來進行用戶身份合法性驗證，實現對用戶身份信息的加密保護，同時實現對用戶身份的兩次認證，避免了惡意第三方冒充用戶接入網絡。
[0143] 圖11示出了本發(fā)明實施例在EPS (演進的分組系統）-AKA (認證與密鑰協商方法）中使用圖8中所示的用戶身份認證方法的流程圖，如圖11所示，所述認證與密鑰協商方法包括網絡認證方法和用戶認證方法，所述認證與密鑰協商方法包括以下步驟：
[0144] 下面結合圖10介紹在EPS (演進的分組系統）_AKA(認證與密鑰協商）中采用改進的用戶身份保密的方法的【具體實施方式】。因為現有EPS-AKA過程中用戶向MME發(fā)起服務請求時在無線鏈路上會明文傳輸IMSI信息。【具體實施方式】包括以下步驟：
[0145] 步驟801 :服務請求：UE向MME發(fā)送服務請求，請求接入服務網絡。
[0146] 步驟802 :用戶身份請求：MME在收到UE發(fā)送的服務請求后，向UE發(fā)送用戶身份請求消息。
[0147] 步驟803 :用戶身份響應：UE在收到請求消息后，由USM產生一個隨機序列號 Random，利用US頂中存儲的第一密鑰加密Random與頂SI串接形成的序列號，得到加密序列號EKand"，并將"MSI」|MSISDN s| |Random| |EKand""消息的響應消息發(fā)送到MME。
[0148] 步驟804 :認證數據請求：MME根據收到的信息中的IMSI,可獲知接入用戶的歸屬位置寄存器信息，MME在將接收到的"MSI」|MSISDN s| | Random| |EKandM"信息轉發(fā)到歸屬位置寄存器的同時，向所在的服務網絡發(fā)送SN id(服務網絡號），對該用戶身份和所在網絡進行認證，并請求認證數據。
[0149] 步驟805 :認證數據響應：歸屬位置寄存器根據接收到的信息可獲知并驗證接入用戶的身份信息，詳細步驟類似于步驟704d。根據SN id對用戶所在的服務網絡進行驗證。若驗證通過，則生成SQN(序列號）和RAND (隨機數），并與長期密鑰K共同作為密鑰生成函數的參數產生包含KASME的AV (Authentication Vector,鑒權向量），以單個或分組的形式發(fā)送給MME ;
[0150] 存儲認證向量并按序選擇認證向量：MME收到AV或AV組之后，按序存儲AV或AV 組。
[0151] 步驟806 :用戶認證請求：選擇一個序號最小的AV的RAND和AUTN(認證令牌）發(fā) 送給UE，請求UE產生認證數據。
[0152] UE收到MME發(fā)來的認證請求后，首先驗證AUTN中AMF的分離位；然后計算XMAC，并與AUTN中的MAC相比較。若驗證通過，步驟807 :用戶認證響應：則UE將計算RES和根密鑰KASME，并將RES發(fā)送給MME。
[0153] 步驟808 :MME收到UE發(fā)送的RES后，將RES與AV中的XRES進行比較，若兩者相同則整個AKA過程成功。隨后的本地認證過程中，AS和NAS將根據相應的密鑰產生算法和相應的KASME生成加密密鑰和完整性保護密鑰。
[0154] 本發(fā)明實施例還提供了分別與上述發(fā)送用戶身份認證信息的方法、確定歸屬位置寄存器的方法和確定用戶合法身份的方法一一對應的設備，分別為：用戶設備、拜訪位置寄存器和歸屬位置寄存器。各個設備的結構將在下面結合圖12至圖14進行說明。
[0155] 圖12示出了本發(fā)明實施例用戶設備的結構示意圖，參照圖12,所述用戶設備包括：
[0156] 第一接收單元901，設置為接收拜訪位置寄存器發(fā)送的用戶身份信息請求；
[0157] 隨機序列號生成單元902,設置為根據所述用戶身份信息請求生成隨機序列號；
[0158] 加密單元903,設置為利用所述用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；
[0159] 信息返回單元904,設置為將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據所述國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得。
[0160] 進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0161] 圖13示出了本發(fā)明實施例拜訪位置寄存器的結構示意圖，參照圖13,所述拜訪位置寄存器包括：
[0162] 請求單元1001，設置為向用戶設備發(fā)送用戶身份信息請求；
[0163] 第二接收單元1002,設置為接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0164] 歸屬位置寄存器確定單元1003,設置為根據所述第一信息確定歸屬位置寄存器。
[0165] 進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0166] 圖14示出了本發(fā)明實施例歸屬位置寄存器的結構示意圖，參照圖14,所述歸屬位置寄存器包括：
[0167] 第三接收單元1101，設置為接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述拜訪位置寄存器發(fā)送的用戶身份認證信息是從用戶設備處獲得的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；
[0168] 查詢單元1102,設置為在所述歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；
[0169] 解密單元1103,設置為利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼；
[0170] 判斷單元1104,設置為根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
[0171] 進一步地，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
[0172] 進一步地，所述判斷單元1104具體設置為判斷出所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼一致時，確定用戶身份合法。
[0173] 特別地，所述歸屬位置寄存器還包括國際移動用戶識別碼發(fā)送單元，設置為在所述判斷單元1104確定用戶身份合法的情況下，將所述第一國際移動用戶識別碼發(fā)送至所述拜訪位置寄存器。
[0174] 上述各單元的具體處理過程可參照前面本發(fā)明實施例的方法中的描述，在此不再贅述。
[0175] 綜上所述，應用本發(fā)明實施例提供的用戶設備、拜訪位置寄存器或歸屬位置寄存器，在特殊情況（對應2G及3G網絡為當用戶設備第一次接入到網絡以及服務網絡無法識別臨時識別碼時，對應4G LTE網絡為當無法正常識別用戶身份時）下，用戶設備為響應服務網絡發(fā)送的用戶身份信息請求返回的用戶身份認證信息中不包括國際移動用戶識別碼（IMSI)，而是返回根據國際移動用戶識別碼碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息以及對隨機序列號與國際移動用戶識別碼串接形成的序列號進行加密得到的加密序列號，從而減小了直接明文傳輸國際移動用戶識別碼帶來的風險；同時，用戶設備返回的用戶身份認證信息中的加密序列號，與服務網絡側的解密過程相結合，可實現對用戶合法身份的再次確認，從而能防止惡意第三方獲取第一信息和第二信息后冒充合法用戶，加強了對用戶身份的保護與認證。綜上，應用本實施例所述的用戶設備、拜訪位置寄存器或歸屬位置寄存器能夠解決【背景技術】中提到的在2G及3G網絡中采用的臨時識別碼 (TMSI)機制和4G LTE網絡中采用的全球唯一臨時UE標識（⑶TI)機制中，存在用戶設備以明文的形式向服務網絡傳輸頂SI的技術缺陷。
[0176] 本領域的技術人員應該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網絡上，可選地，它們可以用計算裝置可執(zhí)行的程序代碼來實現，從而，可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現。這樣，本發(fā)明不限制于任何特定的硬件和軟件結合。
[0177] 雖然本發(fā)明所公開的實施方式如上，但所述的內容只是為了便于理解本發(fā)明而采用的實施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬【技術領域】內的技術人員，在不脫離本發(fā)明所公開的精神和范圍的前提下，可以在實施的形式上及細節(jié)上作任何的修改與變化，但本發(fā)明的專利保護范圍，仍須以所附的權利要求書所界定的范圍為準。
【權利要求】
1. 一種發(fā)送用戶身份認證信息的方法，其特征在于，包括：接收拜訪位置寄存器發(fā)送的用戶身份信息請求；根據所述用戶身份信息請求生成隨機序列號；利用用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據所述國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得。
2. 根據權利要求1所述的方法，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
3. -種確定歸屬位置寄存器的方法，其特征在于，包括：向用戶設備發(fā)送用戶身份信息請求；接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；根據所述第一信息確定歸屬位置寄存器。
4. 根據權利要求3所述的方法，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
5. -種確定用戶合法身份的方法，其特征在于，包括：接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述用戶身份認證信息是用戶設備為響應所述拜訪位置寄存器發(fā)送的用戶身份信息請求而返回至所述拜訪位置寄存器的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；在歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼；根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
6. 根據權利要求5所述的方法，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
7. 根據權利要求5所述的方法，其特征在于，所述根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份包括：判斷所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼是否一致；如果是，則確定用戶身份合法。
8. 根據權利要求5至7任一項所述的方法，其特征在于，該方法還包括：在確定用戶身份合法后，將所述第一國際移動用戶識別碼發(fā)送至所述拜訪位置寄存器。
9. 一種用戶設備，其特征在于，包括：第一接收單元，設置為接收拜訪位置寄存器發(fā)送的用戶身份信息請求；隨機序列號生成單元，設置為根據所述用戶身份信息請求生成隨機序列號；加密單元，設置為利用所述用戶設備存儲的第一密鑰對所述隨機序列號與國際移動用戶識別碼串接形成的序列號加密，得到加密序列號；信息返回單元，設置為將包括第一信息、第二信息、所述隨機序列號和所述加密序列號的用戶身份認證信息返回至所述拜訪位置寄存器，所述第一信息根據所述國際移動用戶識別碼獲得，所述第二信息根據國際移動用戶號碼獲得。
10. 根據權利要求9所述的用戶設備，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
11. 一種拜訪位置寄存器，其特征在于，包括：請求單元，設置為向用戶設備發(fā)送用戶身份信息請求；第二接收單元，設置為接收所述用戶設備響應所述用戶身份信息請求所發(fā)送的用戶身份認證信息，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；歸屬位置寄存器確定單元，設置為根據所述第一信息確定歸屬位置寄存器。
12. 根據權利要求11所述的拜訪位置寄存器，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后s位，s為小于所述國際移動用戶號碼總長度的自然數。
13. -種歸屬位置寄存器，其特征在于，包括：第三接收單元，設置為接收拜訪位置寄存器發(fā)送的用戶身份認證信息，所述用戶身份認證信息是用戶設備為響應所述拜訪位置寄存器發(fā)送的用戶身份信息請求而返回至所述拜訪位置寄存器的，所述用戶身份認證信息包括根據國際移動用戶識別碼獲得的第一信息、根據國際移動用戶號碼獲得的第二信息、隨機序列號和對所述隨機序列號與所述國際移動用戶識別碼串接形成的序列號加密得到的加密序列號；查詢單元，設置為在所述歸屬位置寄存器存儲的用戶信息庫中查詢得到與所述第一信息和所述第二信息相對應的第一國際移動用戶識別碼和第二密鑰；解密單元，設置為利用所述第二密鑰對所述加密序列號進行解密，得到第二國際移動用戶識別碼；判斷單元，設置為根據所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼確定用戶合法身份。
14. 根據權利要求13所述的歸屬位置寄存器，其特征在于，所述第一信息為所述國際移動用戶識別碼的前r位，r為大于等于11且小于所述國際移動用戶識別碼總長度的自然數，所述第二信息為所述國際移動用戶號碼的后S位，S為小于所述國際移動用戶號碼總長度的自然數。
15. 根據權利要求13所述的歸屬位置寄存器，其特征在于，所述判斷單元具體設置為判斷出所述第一國際移動用戶識別碼與所述第二國際移動用戶識別碼一致時，確定用戶身份合法。
16. 根據權利要求13至15任一項所述的歸屬位置寄存器，其特征在于，所述歸屬位置寄存器還包括國際移動用戶識別碼發(fā)送單元，設置為在所述判斷單元確定用戶身份合法的情況下，將所述第一國際移動用戶識別碼發(fā)送至所述拜訪位置寄存器。
【文檔編號】H04W8/08GK104219650SQ201410488473
【公開日】2014年12月17日申請日期:2014年9月22日優(yōu)先權日:2014年9月22日
【發(fā)明者】張昕然, 陳錦成, 曾萍, 蔣華, 胡榮嘉, 魏占鎖申請人:北京電子科技學院

完整全部詳細技術資料下載