用户认证方法、装置、系统、节点、服务器及存储介质制造方法及图纸

本发明专利技术公开了一种用户认证方法、装置、系统、节点、服务器及存储介质，该方法应用于MME，包括接收UE发送的VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行EPS网络鉴权；如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的IMSI，判断所述用户是否为自身保存的IMS网络所属运营商的用户；如果是，确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和HSS。本发明专利技术实现了用户在EPS网络和IMS网络中的联合认证，减少了信令流程，从而减少了无线资源的使用以及UE电量的消耗。

User authentication methods, devices, systems, nodes, servers and storage media

【技术实现步骤摘要】
用户认证方法、装置、系统、节点、服务器及存储介质
本专利技术涉及LTE(LongTermEvolution，长期演进)核心网
，尤其涉及一种用户认证方法、装置、系统、节点、服务器及存储介质。
技术介绍
随着LTE的覆盖的增强和VoLTE(VoiceoverLTE，LTE语音)终端的普及，越来越多的人可以使用VoLTE业务进行高清通话。目前的VoLTE技术方案规定，终端需要至少经过EPS(EvolvedPacketSystem，演进分组系统)注册和IMS(IPMultimediaSubsystem，IP多媒体子系统)注册两个过程后，才能正常进行VoLTE通话业务。其中EPS注册过程包含有EPS认证鉴权过程，IMS注册过程包含IMS认证鉴权的过程，EPS鉴权采用的是EPSAKA(AuthenticationandKeyAgreement，认证与密钥协商)技术，IMS鉴权采用的是IMSAKA技术。为了符合IMS接入无关性的设计初衷，两个注册过程即两次鉴权延续的思路是IMS网络是叠加在EPS网络之上的网络，两个网络具有独立性，因此终端在EPS网络鉴权完成之后，同样也需要在IMS网络鉴权。并且当出现如终端通过WIFI网络接入，或者在国外其他运营商漫游接入到归属地IMS网络等情况时，由于接入网络与IMS网络不是同一运营商的网络，也就是接入网非IMS网络信任的网络，因此从安全角度出发，EPS鉴权完成之后，IMS网络对终端单独鉴权是有必要的。由于目前普遍的方案为一次EPS鉴权过程和一次IMS鉴权过程，因此当VoLTE终端接入的EPS网络与IMS网络都是同一个运营商的场景下，且终端所在运营商的IMS网络可以信任同一运营商的EPS鉴权结果时，仍然需要两次鉴权。例如设定如下场景，某一个运营商拥有整套VoLTE的网络，也就是EPS网络及IMS网络，属于这个运营商的用户在本运营商EPS网络接入使用VoLTE业务，按照现有的两次鉴权流程是：首先VoLTE终端附着到EPS网络，VoLTE终端在EPS网络中进行鉴权，鉴权通过后EPS网络中为VoLTE终端建立默认承载，在默认承载建立后，VoLTE终端向IMS网络注册，注册过程中VoLTE终端在IMS网络中进行鉴权，鉴权通过后成功注册。EPS网络和IMS网络属于同一运营商时，因为EPS网络与IMS网络是互相信任的网络，所以EPS网络鉴权后，IMS网络再对同一个终端进行鉴权的必要性并不强，并且在每次鉴权过程中，终端与网络之间会产生信令交互，每次信令交互都会占用有限的无线资源，并且会消耗终端电量。
技术实现思路
本专利技术提供了一种用户认证方法、装置、系统、节点、服务器及存储介质，用以解决现有技术中过多占用无线资源和消耗终端电量的问题。本专利技术提供一种用户认证方法，应用于移动管理节点MME，该方法包括：接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；如果是，确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。进一步地，如果所述用户非IMS网络所属运营商的用户，则所述方法还包括：将所述用户在所述IMS网络中鉴权未通过的第二鉴权结果信息，发送给所述UE和所述HSS。进一步地，所述确定所述用户在EPS网络中鉴权通过后，在根据所述待验证信息中包括的IMSI，判断所述用户是否为自身保存的IMS网络所属运营商的用户之前，所述方法还包括：判断所述待验证信息中是否包括联合认证标识；如果是，进行后续步骤。进一步地，如果确定所述用户在EPS网络中鉴权通过，所述方法还包括：确定所述用户的完整性保护密钥和加密密钥；所述确定所述用户在IMS网络中鉴权通过后，在所述将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息发送给所述UE和HSS之前，所述方法还包括：生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。进一步地，如果确定所述用户在EPS网络中鉴权通过，则所述方法还包括：向网关发送携带所述UE的信息的控制信息，使所述网关接收到所述控制信息后，建立与所述UE之间的默认承载。本专利技术提供一种用户认证方法，应用于呼叫会话控制功能CSCF节点，该方法包括：接收UE发送的LTE语音VoLTE业务的IP多媒体子系统IMS注册请求，所述注册请求中携带所述UE归属用户的待注册信息；根据所述待注册信息中包括的国际移动用户识别码IMSI，向归属用户服务器HSS发送携带有所述IMSI的多媒体鉴权请求；接收所述HSS返回的多媒体鉴权响应；如果所述多媒体鉴权响应中，携带有所述用户在IMS网络中鉴权通过的第一鉴权结果信息，将所述用户在所述IMS网络中注册成功的信息发送给所述UE。进一步地，如果所述多媒体鉴权响应中，携带有所述用户在IMS网络中鉴权通过的第一鉴权结果信息，所述方法还包括：在所述第一鉴权结果信息中，获取并保存所述用户后续发起呼叫时，进行解密的所述用户的完整性保护密钥和加密密钥。进一步地，如果所述多媒体鉴权响应中，携带有所述用户在所述IMS网络中鉴权未通过的第二鉴权结果信息，所述方法还包括：向所述UE返回拒绝所述注册请求的信息。本专利技术提供一种用户认证方法，应用于归属用户服务器HSS，该方法包括：接收呼叫会话控制功能CSCF节点发送的携带用户的国际移动用户识别码IMSI的多媒体鉴权请求；查找所述IMSI的鉴权结果信息，将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述CSCF节点，其中所述鉴权结果信息为移动管理节点MME发送给所述HSS的。进一步地，如果所述鉴权结果信息为所述用户在IMS网络中鉴权通过的第一鉴权结果信息，所述将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述CSCF节点包括：将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息，携带在多媒体鉴权响应中返回给CSCF节点。本专利技术提供一种用户认证装置，应用于移动管理节点MME，该装置包括：接收模块，用于接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；鉴权模块，用于根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；判断模块，用于如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；确定模块，用于确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。本专利技术提供一种移动管理节点MME，包括存储器、处理器和收发机；所述处理器，用于读取所述存储器中的程序，执行下列过程：控制所述收发机接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；如果确定所述用户在E本文档来自技高网...

【技术保护点】
1.一种用户认证方法，其特征在于，应用于移动管理节点MME，该方法包括：接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；如果是，确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。

【技术特征摘要】
1.一种用户认证方法，其特征在于，应用于移动管理节点MME，该方法包括：接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；如果是，确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。2.如权利要求1所述的方法，其特征在于，如果所述用户非IMS网络所属运营商的用户，则所述方法还包括：将所述用户在所述IMS网络中鉴权未通过的第二鉴权结果信息，发送给所述UE和所述HSS。3.如权利要求1或2所述的方法，其特征在于，所述确定所述用户在EPS网络中鉴权通过后，在根据所述待验证信息中包括的IMSI，判断所述用户是否为自身保存的IMS网络所属运营商的用户之前，所述方法还包括：判断所述待验证信息中是否包括联合认证标识；如果是，进行后续步骤。4.如权利要求1所述的方法，其特征在于，如果确定所述用户在EPS网络中鉴权通过，所述方法还包括：确定所述用户的完整性保护密钥和加密密钥；所述确定所述用户在IMS网络中鉴权通过后，在所述将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息发送给所述UE和HSS之前，所述方法还包括：生成携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息。5.如权利要求1所述的方法，其特征在于，如果确定所述用户在EPS网络中鉴权通过，则所述方法还包括：向网关发送携带所述UE的信息的控制信息，使所述网关接收到所述控制信息后，建立与所述UE之间的默认承载。6.一种用户认证方法，其特征在于，应用于呼叫会话控制功能CSCF节点，该方法包括：接收UE发送的LTE语音VoLTE业务的IP多媒体子系统IMS注册请求，所述注册请求中携带所述UE归属用户的待注册信息；根据所述待注册信息中包括的国际移动用户识别码IMSI，向归属用户服务器HSS发送携带有所述IMSI的多媒体鉴权请求；接收所述HSS返回的多媒体鉴权响应；如果所述多媒体鉴权响应中，携带有所述用户在IMS网络中鉴权通过的第一鉴权结果信息，将所述用户在所述IMS网络中注册成功的信息发送给所述UE。7.如权利要求6所述的方法，其特征在于，如果所述多媒体鉴权响应中，携带有所述用户在IMS网络中鉴权通过的第一鉴权结果信息，所述方法还包括：在所述第一鉴权结果信息中，获取并保存所述用户后续发起呼叫时，进行解密的所述用户的完整性保护密钥和加密密钥。8.如权利要求6所述的方法，其特征在于，如果所述多媒体鉴权响应中，携带有所述用户在所述IMS网络中鉴权未通过的第二鉴权结果信息，所述方法还包括：向所述UE返回拒绝所述注册请求的信息。9.一种用户认证方法，其特征在于，应用于归属用户服务器HSS，该方法包括：接收呼叫会话控制功能CSCF节点发送的携带用户的国际移动用户识别码IMSI的多媒体鉴权请求；查找所述IMSI的鉴权结果信息，将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述CSCF节点，其中所述鉴权结果信息为移动管理节点MME发送给所述HSS的。10.如权利要求9所述的方法，其特征在于，如果所述鉴权结果信息为所述用户在IMS网络中鉴权通过的第一鉴权结果信息，所述将所述鉴权结果信息携带在多媒体鉴权响应中返回给所述CSCF节点包括：将携带有所述用户的完整性保护密钥和加密密钥的第一鉴权结果信息，携带在多媒体鉴权响应中返回给CSCF节点。11.一种用户认证装置，其特征在于，应用于移动管理节点MME，该装置包括：接收模块，用于接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；鉴权模块，用于根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；判断模块，用于如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；确定模块，用于确定所述用户在IMS网络中鉴权通过，将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。12.一种移动管理节点MME，其特征在于，包括存储器、处理器和收发机；所述处理器，用于读取所述存储器中的程序，执行下列过程：控制所述收发机接收UE发送的LTE语音VoLTE业务的附着请求，所述附着请求中携带所述UE归属用户的待验证信息；根据所述待验证信息，对所述用户进行演进分组系统EPS网络鉴权；如果确定所述用户在EPS网络中鉴权通过，根据所述待验证信息中包括的国际移动用户识别码IMSI，判断所述用户是否为自身保存的IP多媒体子系统IMS网络所属运营商的用户；如果是，确定所述用户在IMS网络中鉴权通过，控制所述收发机将所述用户在所述IMS网络中鉴权通过的第一鉴权结果信息，发送给所述UE和归属用户服务器HSS。13.如权利要求12所述的MME，其特征在于，所述处理器，还用于如果所述用户非IMS网络所属运营商的用户，控制所述收发机将所述用户在所述IMS网络中鉴权未通过的第二鉴权结果信息，发送给所述UE和所述HSS。14.如权利要求12或13所述的MME，其特征在于，所述处理器，还用于确定所述用户在EPS网络中鉴权通过后，判断所述待验证信息中是否包括联合认证标识；如果是，根据所述待...

【专利技术属性】
技术研发人员：严志国，
申请(专利权)人：中移杭州信息技术有限公司，中国移动通信集团公司，
类型：发明
国别省市：浙江,33