WO2016011588A1

WO2016011588A1 - 移动管理实体、归属服务器、终端、身份认证系统和方法

Info

Publication number: WO2016011588A1
Application number: PCT/CN2014/082656
Authority: WO
Inventors: 钟焰涛
Original assignee: Yulong Computer Telecommunication Scientific Shenzhen Co Ltd
Current assignee: Yulong Computer Telecommunication Scientific Shenzhen Co Ltd
Priority date: 2014-07-21
Filing date: 2014-07-21
Publication date: 2016-01-28
Anticipated expiration: 2017-01-21
Also published as: EP3174324A4; CN106576237B; CN106576237A; EP3174324A1; US20170201884A1

Abstract

本发明提供了一种移动管理实体、一种归属服务器、一种终端和一种身份认证系统和身份认证方法，移动管理实体包括：发送单元，在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丢失时，发送身份认证请求、加密密钥以及对应的数字证书至终端，以供终端根据数字证书对移动管理实体进行验证，在验证通过时使用加密密钥对国际移动用户识别码进行加密并发送至移动管理实体；接收单元，接收终端发送的加密后的国际移动用户识别码；解密单元，根据存储的与加密密钥对应的解密密钥对加密后的国际移动用户识别码进行解密。通过本发明的技术方案，可以确保只有合法的基站和合法的移动管理实体才能完成身份认证流程并获取国际移动用户识别码。

Description

移动管理实体、归属服务器、终端、身份认证系统和方法技术领域

本发明涉及终端技术领域，具体而言，涉及一种移动管理实体、一种归属服务器、一种终端、一种身份认证系统和一种身份认证方法。背景技术

在 LTE ( Long Term Evolution, 长期演进）网络中，演进分组系统 EPS ( Evolved Packet System ) 中的 AKA ( Authentication and Key Agreement, 鉴权和密钥协商）是保证安全性的重要手段，而 EPS- AK A的具体过程如图 1所示。

而鉴权和密钥协商后， UE ( User Equipment , 用户设备）和 MME ( Mobility Management Entity，移动管理实体）之间会产生一个中间密钥 K_ASME，然后 UE和 MME会根据所述密钥 K_ASME，进行如图 2所示的鉴权流程，鉴权结束后， MME 会为 UE 分配临时的 GUTI ( Globally Unique Temporary UE Identity, 全球唯一临时 UE标识）码，并维护 GUTI码和 UE的 IMSI (International Mobile Subscriber Identity, 国际移动用户标识）码之间的映射关系，这样， MME就可以通过用户唯一的标识 GUTI码对 UE 进行呼叫，并通过跟踪 IMSI码来实现对用户的跟踪。

但 MME 可能会由于某种原因，误认为丟失 GUTI 码和用户 UE 的 IMSI之间的映射关系（例如， UE返回错误的 RES、 UE 因 MME 向 UE 发送的 AUTH 参数中分离出的 MAC 参数验证不正确而返回带有 MAC failure的 reject信息或 UE因 MME发送的 AMF参数中某一位的值不正确而返回带有 non-EPS authentication unacceptable 的 reject 信息。 ) 时， MME就要求 UE以明文方式将 IMSI码发给自己，以重新分配 GUTI码。

但是，如图 3所示的身份认证流程就可能被攻击者利用，攻击者可以通过伪基站发射强大信号，淹没合法基站的信号，并以伪基站信号发起如图 3 所示的身份认证流程，以迫使 UE 以明文形式发送 IMSI 码给伪基站，从而获取用户的 IMSI 码，并非法利用用户的隐私信息，这对用户的隐私带来很大的威胁。

因此，如何有效地保护 UE发出的 IMSI码，以确保只有合法的基站和合法的 MME 才能完成身份认证流程并获取 IMSI码，而非法的基站和非法的 MME无法完成上述身份认证流程，也无法获取 UE 的 IMSI码，成为亟待解决的问题。发明内容

本发明正是基于上述问题，提出了一种新的技术方案，可以有效地提高 UE 发出的 IMSI 码的安全性，并确保只有合法的基站和合法的 MME 才能完成身份认证流程并获取 IMSI码。

有鉴于此，本发明的一方面提出了一种移动管理实体，包括：发送单元，在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至终端，以供所述终端根据所述数字证书对所述移动管理实体进行验证，并在验证通过时，所述终端使用所述加密密钥对国际移动用户识别码进行加密并将加密后的国际移动用户识别码发送至所述移动管理实体；接收单元，接收所述终端发送的所述加密后的国际移动用户识别码；解密单元，根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

在该技术方案中，在移动管理实体向所述终端发送身份认证请求，所述终端通过险证所述加密密钥以及与所述加密密钥对应的数字证书，可以确保所述移动管理实体的合法性，防止非法移动管理实体的入侵，同时，通过将所述国际移动用户识别码进行加密，可以保证只有拥有与所述加密密钥对应的解密密钥的合法移动管理实体才能使用所述国际移动用户识别，而非法的移动管理实体即便是得到了所述国际移动用户识别，由于没有对应的解密密钥，也无法使用所述国际移动用户识别，因而，这可以有效地提高用户信息安全性，防止非法的 MME 盗用用户的国际移动用户识别。其中，加密密钥和加密密钥可以对应于公钥和私钥，即通过公钥进行加密，在解密时通过与公钥对应的私钥进行解密。当然，本领域技术人员应当理解，本申请的加密方法包括但是不限于公钥加密，还可以是釆用其他现有的加密方法实现。

在上述技术方案中，优选地，还包括：密钥生成单元，在所述移动管理实体首次接入网络时，生成加密密钥和与所述加密密钥对应的解密密钥；存储单元，存储所述加密密钥和与所述加密密钥对应的解密密钥。

在该技术方案中，由于每个移动管理实体都对应一对加密密钥和解密密钥，且每对加密密钥与解密密钥都是相对应的，因而，可以使终端在给移动管理实体发送国际移动用户识别码时，对国际移动用户识别码进行加密，以保证只有拥有与加密密钥对应的解密密钥的合法移动管理实体才能使用所述国际移动用户识别码，这有利于增强所述国际移动用户识另 'J码的安全性。

在上述技术方案中，优选地，所述发送单元还用于：将所述加密密钥和所述移动管理实体的实体身份信息发送至归属用户管理器，以供所述归属用户管理器对所述移动管理实体的身份进行验证，并在验证通过时，生成与所述加密密钥对应的数字证书发送至所述移动管理实体；所述接收单元还用于：接收所述归属用户管理器发送的与所述加密密钥对应的所述数字证书。与加密密钥对应的数字证书，可以使终端根据所述数据证书来验证所述移动管理实体是否合法，以防止非法的移动管理实体盗窃终端的国际移动用户识别码。

在上述技术方案中，优选地，还包括：处理单元，在接收到所述终端发送的终止验证的信息时，停止验证。

在该技术方案中，在接收到终端发送的终止验证时，说明终端已判定所述移动管理实体是非法的，所述移动管理实体将无法继续身份验证。

本发明的另一方面提出了一种归属服务器，包括：接收单元，接收移动管理实体发送的加密密钥和所述移动管理实体的实体身份信息；验证单元，根据所述加密密钥和所述移动管理实体的实体身份信息对所述移动管理实体的身份进行验证；生成单元，在验证通过时，生成与所述加密密钥对应的数字证书；发送单元，发送所述数字证书至所述移动管理实体。与加密密钥对应的数字证书，可以使终端根据所述数据证书来验证所述移动管理实体是否合法，以防止非法的移动管理实体盗窃终端的国际移动用户识别码。

本发明的又一方面提出了一种终端，包括：接收单元，接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书；验证单元，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；加密单元，在所述数字证书验证通过时，通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，以得到加密后的国际移动用户识别码；发送单元，将所述加密后的国际移动用户识别码发送至所述移动管理实体。

在该技术方案中，通过验证所述移动管理实体的数字证书，可以确保所述移动管理实体的合法性，通过对所述国际移动用户识别码进行加密，可以进一步保证所述国际移动用户识别码的安全性，保证只有合法的移动管理实体才能使用所述国际移动用户识别码。

在上述技术方案中，优选地，所述加密单元包括：获取单元，在所述数字证书验证通过时，获取所述终端中的国家移动用户识别码；计算单元，根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。

在上述技术方案中，优选地，还包括：处理单元，在所述数字证书验证未通过时，停止验证，并向所述移动管理实体发送终止验证的信息。

在该技术方案中，在所述数字证书验证失败时，说明终端已判定所述移动管理实体是非法的，所述终端将停止验证，同时向所述移动管理实体发送终止验证的信息，以使所述移动管理实体停止向所述终端发送数字证书验证请求。

本发明的再一方面提出了一种身份认证方法，用于身份认证系统，所述身份认证系统包括移动管理实体、终端和归属服务器，包括：所述移动管理实体在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至所述终端；所述终端接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；所述移动管理实体根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

在该技术方案中，在移动管理实体向终端发送身份认证请求，终端通过验证加密密钥以及与加密密钥对应的数字证书，可以确保移动管理实体的合法性，防止非法移动管理实体的入侵，同时，通过将国际移动用户识别码进行加密，可以保证只有拥有与加密密钥对应的解密密钥的合法移动管理实体才能使用所述国际移动用户识别，而非法的移动管理实体即便是得到了所述国际移动用户识别，由于没有对应的解密密钥，也无法使用所述国际移动用户识别，因而，这可以有效地提高用户信息安全性，防止非法的 MME盗用用户的国际移动用户识别。

在上述技术方案中，优选地，还包括：所述移动管理实体将所述加密密钥和所述移动管理实体的实体身份信息发送至所述归属用户管理器；所述归属用户管理器接收移动管理实体发送的加密密钥和所述移动管理实体的实体身份信息，并根据所述加密密钥和所述移动管理实体的实体身份信息对所述移动管理实体的身份进行验证；在所述移动管理实体的身份验证通过时，所述归属用户管理器生成与所述加密密钥对应的数字证书，并发送所述数字证书至所述移动管理实体；所述移动管理实体接收所述归属用户管理器发送的与所述加密密钥对应的所述数字证书。

在该技术方案中，通过对所述移动管理实体的实体身份信息进行验证，并为每个移动管理实体颁发一个数字证书，可以使终端根据所述数据证书验证所述移动管理实体是否合法，以防止非法的移动管理实体盗窃终端的国际移动用户识别码。

在上述技术方案中，优选地，还包括：所述移动管理实体在首次接入网络时，生成加密密钥和与所述加密密钥对应的解密密钥，并存储所述加密密钥和与所述加密密钥对应的解密密钥。

在上述技术方案中，优选地，在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，具体包括：在所述数字证书验证通过时，所述终端获取国家移动用户识别码，并根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。

在上述技术方案中，优选地，还包括：在所述数字证书验证未通过时，所述终端停止验证，并向所述移动管理实体发送终止验证的信息；所述移动管理实体在接收到所述终端发送的终止验证的信息时，停止验证。

在该技术方案中，在数字证书未通过验证时，说明所述数字证书对应的所述移动管理实体是非法的，这时，终端就会停止验证，并向所述移动管理实体发送停止验证信号，以使所述移动管理实体停止向终端发送数字证书险证请求。

通过以上技术方案，可以有效地提高 UE发出的 IMSI码的安全性，并确保只有合法的基站和合法的 MME才能完成身份认证流程并获取 IMSI 码。附图说明

图 1示出了相关技术中鉴权和密钥协商的流程示意截图；

图 2示出了相关技术中利用 K_ASME进行鉴权和密钥协商的流程示意截图 3 示出了相关技术中为移动管理实体颁发数字证书的流程示意截

图 5示出了根据本发明的实施例的归属服务器的结构示意图；图 6示出了根据本发明的实施例的终端的结构示意图；

图 7示出了根据本发明的实施例的身份认证系统的结构示意图；图 8示出了根据本发明的实施例的身份认证方法的流程示意图；图 9 示出了根据本发明的另一个实施例的身份认证方法的流程示意图；流程示意图。具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以釆用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。如图 4 所示，根据本发明的实施例的移动管理实体 400，包括：发送单元 402，在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至终端，以供所述终端根据所述数字证书对所述移动管理实体进行验证，并在验证通过时，所述终端使用所述加密密钥对国际移动用户识别码进行加密并将加密后的国际移动用户识别码发送至所述移动管理实体；接收单元 404，接收所述终端发送的所述加密后的国际移动用户识别码；解密单元 406，根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

在该技术方案中，在移动管理实体向终端发送身份认证请求，终端通过验证加密密钥以及与加密密钥对应的数字证书，可以确保移动管理实体的合法性，防止非法移动管理实体的入侵，同时，通过将国际移动用户识别码进行加密，可以保证只有拥有与加密密钥对应的解密密钥的合法移动管理实体才能使用所述国际移动用户识别，而非法的移动管理实体即便是得到了国际移动用户识别，由于没有对应的解密密钥，也无法使用国际移动用户识别，因而，这可以有效地提高用户信息安全性，防止非法的 MME盗用用户的国际移动用户识别。

其中，加密密钥和加密密钥可以对应于公钥和私钥，即通过公钥进行加密，在解密时通过与公钥对应的私钥进行解密。当然，本领域技术人员应当理解，本申请的加密方法包括但是不限于公钥加密，还可以是釆用其他现有的加密方法实现。

在上述技术方案中，优选地，还包括：密钥生成单元 408，在所述移动管理实体首次接入网络时，生成加密密钥和与所述加密密钥对应的解密密钥；存储单元，存储所述加密密钥和与所述加密密钥对应的解密密钥。

在上述技术方案中，优选地，所述发送单元 402还用于：将所述加密密钥和所述移动管理实体的实体身份信息发送至归属用户管理器，以供所述归属用户管理器对所述移动管理实体的身份进行验证，并在验证通过时，生成与所述加密密钥对应的数字证书发送至所述移动管理实体；所述接收单元 404还用于：接收所述归属用户管理器发送的与所述加密密钥对应的所述数字证书。与加密密钥对应的数字证书，可以使终端根据所述数据证书来验证所述移动管理实体是否合法，以防止非法的移动管理实体盗窃终端的国际移动用户识别码。

在上述技术方案中，优选地，还包括：处理单元 412，在接收到所述终端发送的终止验证的信息时，停止验证。

图 5示出了根据本发明的实施例的归属服务器的结构示意图。

如图 5 所示，根据本发明的实施例的归属服务器 500，包括：接收单元 502，接收移动管理实体发送的加密密钥和所述移动管理实体的实体身份信息；验证单元 504，根据所述加密密钥和所述移动管理实体的实体身份信息对所述移动管理实体的身份进行验证；生成单元 506，在验证通过时，生成与所述加密密钥对应的数字证书；发送单元 508，发送所述数字证书至所述移动管理实体。与加密密钥对应的数字证书，可以使终端根据所述数据证书来验证所述移动管理实体是否合法，以防止非法的移动管理实体盗窃终端的国际移动用户识别码。

图 6示出了根据本发明的实施例的终端的结构示意图。

如图 6 所示，根据本发明的实施例的终端 600，包括：接收单元 602 , 接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书；验证单元 604，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；加密单元 606，在所述数字证书验证通过时，通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，以得到加密后的国际移动用户识别码；发送单元 608，将所述加密后的国际移动用户识别码发送至所述移动管理实体。

在上述技术方案中，优选地，所述加密单元 606 包括：获取单元 6062，在所述数字证书验证通过时，获取所述终端中的国家移动用户识别码；计算单元 6064，根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。

在上述技术方案中，优选地，还包括：处理单元 610，在所述数字证书验证未通过时，停止验证，并向所述移动管理实体发送终止验证的信息。

图 7示出了根据本发明的实施例的身份认证系统的结构示意图。

如图 7所示，根据本发明的实施例的身份认证系统包括：移动管理实体 400、归属服务器 500和终端 600。

其中，归属服务器 500用于对移动管理实体 400的身份进行验证，并在移动管理实体 400的身份验证成功时，为移动管理实体 400颁发数字证书；

移动管理实体 400用于在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，则向终端 600发送身份认证请求、加密密钥以及归属服务器 500颁发的数字证书；

所述终端 600用于根据所述数字证书对所述移动管理实体 400进行验证，并在验证通过时，所述终端 600使用所述加密密钥对国际移动用户识别码进行加密并将加密后的国际移动用户识别码发送至所述移动管理实体 400。

图 8示出了根据本发明的实施例的身份认证方法的流程示意图。

如图 8所示，根据本发明的实施例的身份认证方法的流程，包括：步骤 802，所述移动管理实体在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至所述终端；步骤 804，所述终端接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；步骤 806，在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；步骤 808，所述移动管理实体根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识另 'J 码进行解密。

在该技术方案中，在该技术方案中，在移动管理实体向所述终端发送身份认证请求，所述终端通过验证所述加密密钥以及与所述加密密钥对应的数字证书，可以确保所述移动管理实体的合法性，防止非法移动管理实体的入侵，同时，通过将所述国际移动用户识别码进行加密，可以保证只有拥有与所述加密密钥对应的解密密钥的合法移动管理实体才能使用所述国际移动用户识别，而非法的移动管理实体即便是得到了所述国际移动用户识别，由于没有对应的解密密钥，也无法使用所述国际移动用户识别，因而，这可以有效地提高用户信息安全性，防止非法的 MME盗用用户的国际移动用户识别。

在上述技术方案中，优选地，在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，具体包括：在所述数字证书验证通过时，所述终端获取国家移动用户识别码，并根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。在上述技术方案中，优选地，还包括：在所述数字证书验证未通过时，所述终端停止验证，并向所述移动管理实体发送终止验证的信息；所述移动管理实体在接收到所述终端发送的终止验证的信息时，停止验证。

图 9 示出了根据本发明的另一个实施例的身份认证方法的流程示意图。

如图 9所示，根据本发明的另一个实施例的身份认证方法的流程，包括：

步骤 902， MME (移动管理实体）向 UE (终端）发起身份认证请求。

步骤 904，在 UE响应 MME的身份认证请求之后， MME将加密密钥和证书 cert发送给 UE。

步骤 906， UE开始验证 MME的加密密钥和证书 cert的正确性。

步骤 908，判断 MME的证书是否成功 cert通过验证，并在证书未通过验证时，执行步骤 910; 反之，执行步骤 912。

步骤 910，在 MME的证书未通过验证时， UE终止验证并向 MME返回终止信息。

步骤 912，在 MME的证书通过验证时， UE将 IMSI码通过加密密钥加密。

步骤 914， UE将加密后的 IMSI码发送给 MME。

步骤 916， MME利用解密密钥对加密后的 IMSI码进行解密，以得到 UE的 IMSI码。流程示意图。

下面以加密密钥为公钥，解密密钥为私钥为例，详细说明归属服务器为移动管理实体颁发数字证书的流程。

如图 10 所示，根据本发明的实施例的归属服务器为移动管理实体颁发数字证书的流程，包括：

步骤 1002，在 MME首次接入网络时，生成公钥与公钥对应的私钥，组成公私密钥对 (pk， sk)。

步骤 1004， MME将公钥 pk和实体身份信息发送给 HSS/CA。

步骤 1006， HSS/CA (归属服务器 ) 开始验证 MME的身份。

步骤 1008， HSS/CA根据 MME的实体身份信息来判断 MME是否可以通过身份验证，并在 MME未通过身份验证时，执行步骤 1010; 反之，执行步骤 1012。

步骤 1010，在 MME 未通过身份验证时， HSS/CA 终止验证并向 MME返回终止信息。

步骤 1012，在 MME通过身份验证时， HSS/CA根据 MME的公钥 pk 生成 MME—个与公钥 pk对应的数字证书 cert。

步骤 1014， HSS/CA将 cert发送给 MME。

以上结合附图详细说明了本发明的技术方案，通过本发明的技术方案，可以有效地提高 UE发出的 IMSI码的安全性，并确保只有合法的基站和合法的 MME才能完成身份认证流程并获取 IMSI码。

根据本发明的实施方式，还提供了一种存储在非易失性机器可读介质上的程序产品，用于身份认证，所述程序产品包括用于使计算机系统执行以下步骤的机器可执行指令：移动管理实体在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至终端；所述终端接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；所述移动管理实体根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

根据本发明的实施方式，还提供了一种非易失机器可读介质，存储有用于身份认证的程序产品，所述程序产品包括用于使计算机系统执行以下步骤的机器可执行指令：所述移动管理实体在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至所述终端；所述终端接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；所述移动管理实体根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

根据本发明的实施方式，还提供了一种机器可读程序，所述程序使机器执行如上所述技术方案中任一所述的身份认证方法。

根据本发明的实施方式，还提供了一种存储有机器可读程序的存储介质，其中，所述机器可读程序使得机器执行如上所述技术方案中任一所述的身份认证方法。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1. 一种移动管理实体，其特征在于，包括：

发送单元，在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至终端，以供所述终端根据所述数字证书对所述移动管理实体进行验证，并在验证通过时，所述终端使用所述加密密钥对国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；

接收单元，接收所述终端发送的所述加密后的国际移动用户识别码；解密单元，根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

2. 根据权利要求 1所述的移动管理实体，其特征在于，还包括：密钥生成单元，在所述移动管理实体首次接入网络时，生成加密密钥和与所述加密密钥对应的解密密钥；

存储单元，存储所述加密密钥和与所述加密密钥对应的解密密钥。

3. 根据权利要求 1所述的移动管理实体，其特征在于，

所述发送单元还用于：

将所述加密密钥和所述移动管理实体的实体身份信息发送至归属用户管理器，以供所述归属用户管理器对所述移动管理实体的身份进行验证，并在验证通过时，生成与所述加密密钥对应的数字证书发送至所述移动管理实体；

所述接收单元还用于：

接收所述归属用户管理器发送的与所述加密密钥对应的所述数字证书。

4. 根据权利要求 1 至 3 中任一项所述的移动管理实体，其特征在于，还包括：

处理单元，在接收到所述终端发送的终止验证的信息时，停止验证。

5. 一种归属服务器，其特征在于，包括：

接收单元，接收移动管理实体发送的加密密钥和所述移动管理实体的实体身份信息；

验证单元，根据所述加密密钥和所述移动管理实体的实体身份信息对所述移动管理实体的身份进行验证；

生成单元，在验证通过时，生成与所述加密密钥对应的数字证书；发送单元，发送所述数字证书至所述移动管理实体。

6. 一种终端，其特征在于，包括：

接收单元，接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书；

验证单元，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；

加密单元，在所述数字证书验证通过时，通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，以得到加密后的国际移动用户识别码；

发送单元，将所述加密后的国际移动用户识别码发送至所述移动管理实体。

7. 根据权利要求 6所述的终端，其特征在于，所述加密单元包括：获取单元，在所述数字证书验证通过时，获取所述终端中的国家移动用户识别码；

计算单元，根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。

8. 根据权利要求 6或 7所述的终端，其特征在于，还包括：处理单元，在所述数字证书验证未通过时，停止验证，并向所述移动管理实体发送终止验证的信息。

9. 一种身份认证系统，其特征在于，包括权利要求 1 至 4 中任一项所述的移动管理实体，权利要求 5所述的归属服务器和权利要求 6至 8中任一项所述的终端。

10. 一种身份认证方法，用于身份认证系统，所述身份认证系统包括移动管理实体、终端和归属服务器，其特征在于，

所述移动管理实体在检测到全球唯一临时终端标识和国际移动用户识别码之间的映射关系丟失时，发送身份认证请求、加密密钥以及与所述加密密钥对应的数字证书至所述终端；所述终端接收所述移动管理实体发送的身份认证请求、加密密钥以及数字证书，根据所述身份认证请求，对所述移动管理实体的数字证书进行验证；

在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，并将加密后的国际移动用户识别码发送至所述移动管理实体；

所述移动管理实体根据存储的与所述加密密钥对应的解密密钥对所述加密后的国际移动用户识别码进行解密。

11. 根据权利要求 10所述的身份认证方法，其特征在于，还包括：所述移动管理实体将所述加密密钥和所述移动管理实体的实体身份信息发送至所述归属用户管理器；

所述归属用户管理器接收移动管理实体发送的加密密钥和所述移动管理实体的实体身份信息，并根据所述加密密钥和所述移动管理实体的实体身份信息对所述移动管理实体的身份进行验证；

在所述移动管理实体的身份验证通过时，所述归属用户管理器生成与所述加密密钥对应的数字证书，并发送所述数字证书至所述移动管理实体；

所述移动管理实体接收所述归属用户管理器发送的与所述加密密钥对应的所述数字证书。

12. 根据权利要求 10所述的身份认证方法，其特征在于，还包括：所述移动管理实体在首次接入网络时，生成加密密钥和与所述加密密钥对应的解密密钥，并存储所述加密密钥和与所述加密密钥对应的解密密钥。

13. 根据权利要求 10 所述的身份认证方法，其特征在于，在所述数字证书验证通过时，所述终端通过所述移动管理实体发送的所述加密密钥对所述终端中的国际移动用户识别码进行加密，具体包括：

在所述数字证书验证通过时，所述终端获取国家移动用户识别码，并根据所述加密密钥和预设的加密函数对所述国际移动用户识别码进行计算，以得到加密后的国际移动用户识别码。

14. 根据权利要求 10至 13中任一项所述的身份认证方法，其特征在于，还包括：在所述数字证书验证未通过时，所述终端停止验证，并向所述移动管理实体发送终止验证的信息；

所述移动管理实体在接收到所述终端发送的终止验证的信息时，停止验证。