[发明专利]一种设备身份认证的方法及装置

说明书

本申请涉及网络与信息安全领域，尤其涉及一种设备身份认证的方法及装置，用以解决现有技术中在进行设备身份认证时网络侧无法确认移动设备上报的IMEI是否为未被篡改过的IMEI的问题；本申请实施例提供的方法包括：用户设备UE接收认证中心发送的设备身份认证请求；向所述认证中心发送设备身份认证响应消息，所述设备身份认证响应消息中携带有所述UE的设备身份标识信息以及利用设备私钥生成的设备身份标识的数字签名，以使所述认证中心基于与所述设备身份标识信息具有绑定关系的设备公钥，验证所述数字签名。

技术领域

本申请涉及网络与信息安全领域，尤其涉及一种设备身份认证的方法和装置。

背景技术

移动设备的身份一般都使用国际移动设备标识码(International MobileEquipment Identity，IMEI)来进行标识。IMEI存储在移动设备中，可用于监控被窃或无效的移动设备。在实际应用中，移动设备的IMEI存储在移动设备的内存中，并且大多数移动设备机身背面也会印有IMEI信息的标志，这就导致移动设备的IMEI很容易被泄露。另外，也存在很多恶意软件能够任意篡改某些型号的移动设备中的IMEI。

由于IMEI存在泄露和篡改的风险，在第二代移动通信技术(2nd GenerationMobile Communication，2G)、第三代移动通信技术(3rd Generation MobileCommunication，3G)、或第四代移动通信技术(4th Generation Mobile Communication，4G)网络中，IMEI仅作为一个参考信息可选使用，并且也没有实现对移动设备的身份即IMEI进行认证。而在第五代移动通信技术(5th Generation Mobile Communication，5G)网络中，根据目前第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)国际标准中的SA1场景描述可知，5G网络系统不仅需要认证和设备关联的签约身份标识，还需要认证设备本身的身份标识。在认证设备的身份标识即IMEI时，网络侧需要移动设备上报IMEI，而IMEI需在有安全性保护的消息中进行传输，因此IMEI的传输必须在移动设备成功接入网络，并通过非接入层(Non-access Stratum，NAS)和接入层(Access Stratum，AS)的安全模式协商过程开启传输信令的机密性和完整性保护之后再通过有完整性和机密性保护的消息进行传输。

如图1所示，描述了通用移动通信技术的长期演进(Long Term Evolution，LTE)中的NAS安全模式协商过程，具体为：1、用户设备(User Equipment，UE)向移动管理节点(Mobility Management Entity，MME)上报UE安全能力；2、MME根据UE上报的UE安全能力以及在NAS层算法列表优先级选择NAS信令的机密性和完整性保护算法；3、MME通过NAS安全模式命令(NAS Security Mode Command，NAS SMC)将指定的NAS加密算法以及NAS完整性算法发送给UE；4、UE收到NAS SMC后，向MME发送NAS安全模式完成消息，其中，该消息将使用MME选择的完整性算法对该消息进行完整性保护，可选地使用MME选择的加密算法对该消息进行机密性保护。上述NAS安全模式完成消息启动了完整性和机密性保护，之后所有的NAS信令将使用该过程协商的完整性和机密性算法以及认证协商过程产生的相关密钥进行完整性和机密性保护。通过上述流程可知，如果MME想让UE上报IMEI，UE可以在具有完整性保护的NAS消息中将IMEI传送给MME。但是网络侧只能证明收到的IMEI在传输过程中没有被篡改，而无法得知该IMEI在移动终端上是否已经被修改，以及该IMEI是否携带了该移动终端出厂时携带的合法的IMEI。

综上所述，目前在进行设备身份认证时，网络侧无法确认移动设备上报的IMEI是否为未被篡改过的IMEI。

发明内容

本申请实施例提供一种设备身份认证的方法和装置，用以解决现有技术中网络侧无法确认移动设备上报的IMEI是否为未被篡改过的IMEI的问题。