(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111370810.2 (22)申请日 2021.11.18 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 张越　王锦华　黄铖斌　薛伟佳　 王聪丽　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 李建忠　袁礼君 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 身份认证方法、 系统、 装置、 电子 设备和可读 介质 (57)摘要 本公开提供了一种身份认证方法、 系统、 装 置、 电子设备和可读介质， 身份认证方法包括： 接 收来自终端的入网认证请求， 入网认证请求中包 含： 用户标识和加密后的终端序列号； 对加密后 的终端序列号进行解密， 并将解密后的终端序列 号存储于UDM网元本地； 当接收到终端根据第一 网络侧认证向量返回的序列号同步失败消息时， 根据用户标识从UDM网元本地， 查找终端的终端 序列号； 根据终端序列号， 生成第二网络侧认证 向量， 发送至终端， 以使得终端对第二网络侧认 证向量中包含的第二网络序列号进行认证。 本公 开通过对终端序列号加密， 提高了认证过程中信 息传输的安全性， 将终端序列号存储于UDM网元 本地， 提高了认 证过程中信息传输的安全性和重 认证流程的效率。 权利要求书2页 说明书10页 附图6页 CN 114124513 A 2022.03.01 CN 114124513 A 1.一种身份认证方法， 其特 征在于， 应用于UDM网元， 所述方法包括： 接收来自终端的入网认证请求， 其中， 所述入 网认证请求中包含： 用户标识和加密后的 终端序列号； 对所述加密后的终端序列号进行解密， 并将解密后的终端序列号存储于所述UDM网元 本地； 当接收到所述终端根据第 一网络侧 认证向量返回的序列号同步失败消息时， 根据 所述 用户标识从所述UD M网元本地， 查找所述 终端的终端序列号； 所述第一网络侧认证向量中包 含第一网络序列号； 根据所述终端序列号， 生成第 二网络侧认证向量， 发送至所述终端， 以使得所述终端对 所述第二网络侧认证向量中包含的第二网络序列号进行认证， 其中， 所述第二网络侧认证 向量中包 含： 根据终端序列号 生成的网络序列号。 2.根据权利要求1所述的身份认证方法， 其特征在于， 向所述终端发送第 一网络侧 认证 向量， 其中， 所述第一网络侧认证向量中包 含： 第一网络序列号； 接收所述终端根据所述第一网络侧认证向量返回的认证结果， 其中， 所述认证结果中 至少包含： 对所述第一网络序列号的认证结果； 在所述第一网络序列号的认证结果为认证失败的情况下， 接收所述终端返回的序列号 同步失败消息 。 3.一种身份认证方法， 其特 征在于， 应用于终端， 所述方法包括： 接收UDM网元返回的第一网络侧认证向量， 其中， 所述第 一网络侧认证向量中包含第一 网络序列号； 对所述第一网络侧认证向量中包 含的第一网络序列号进行认证； 在所述第一网络序列号认证失败的情况下， 向所述UDM网元返回序列号同步失败消息， 其中， 所述UD M网元在接收到所述 终端返回的序列号同步 失败消息后， 根据用户标识从所述 UDM网元本地， 查找所述终端的终端序列号， 并根据所述终端的终端序列号， 生成第二网络 侧认证向量， 发送至所述终端； 对所述第二网络侧认证向量中包含的第二网络序列号进行认证， 其中， 所述第二网络 侧认证向量中包 含： 根据终端序列号 生成的第二网络序列号。 4.根据权利要求3所述的身份认证方法， 其特征在于， 在 向UDM网元发送入网认证请求 之前， 所述方法还 包括： 利用集成加密方案 ECIES对所述终端序列号进行加密。 5.根据权利要求3所述的身份认证方法， 其特征在于， 所述第 一网络侧 认证向量中还包 含： 网络侧 消息鉴权码MAC； 在对所述第 一网络侧 认证向量中包含的第 一网络序列号进行认证之前， 对所述第 一网 络侧认证向量中包 含的MAC进行认证； 在认证结果为认证通过的情况下， 对所述第 一网络侧 认证向量中包含的网络序列号进 行认证。 6.一种身份认证系统， 其特 征在于， 所述系统包括UDM网元和终端； 所述UDM网元， 用于接收来自终端的入网认证请求， 对所述入 网认证请求中包含的加密 后的终端序列号进 行解密， 并将解密后的终端序列号存储于UD M本地， 向终端返回第一网络 侧认证向量， 当接 收到终端根据所述第一网络侧认证向量返回的序列号同步失败消息时，权　利　要　求　书 1/2 页 2 CN 114124513 A 2根据所述入网认证请求中包含的用户标识从UDM本地查找所述终端序列号， 将根据所述终 端序列号 生成的第二网络侧认证向量返回至终端； 所述终端， 用于向所述UDM网元发送所述入网认证请求， 接收所述UDM网元返回的第一 网络侧认证 向量， 对所述第一网络侧认证向量中包含的第一网络序列号进行认证， 在所述 第一网络序列号认证失败的情况下， 向所述UDM网元返回序列号同步失败消息， 接收UDM网 元返回的第二网络侧认证向量， 对所述第二网络侧认证向量中包含的第二网络序列号进 行 认证。 7.一种身份认证装置， 其特 征在于， 包括： 请求接收模块， 用于接收来自终端的入网认证请求， 其中， 所述入网认证请求中包含： 用户标识和 加密后的终端序列号； 解密存储模块， 用于对所述加密后的终端序列号进行解密， 并将解密后的终端序列号 存储于UDM网元本地； 序列号查找模块， 用于当接收到所述终端根据第 一网络侧认证向量返回的序列号同步 失败消息时， 根据用户标识从所述UDM网元本地， 查找所述终端的终端序列号； 所述第一网 络侧认证向量中包 含第一网络序列号； 向量生成模块， 用于根据所述终端序列号， 生成第二网络侧认证向量， 发送至所述终 端， 以使得所述 终端对所述第二网络侧认证向量中包含的第二网络序列号进行认证， 其中， 所述第二网络侧认证向量中包 含： 根据终端序列号 生成的第二网络序列号。 8.一种身份认证装置， 其特 征在于， 包括： 向量接收模块， 用于接收UDM网元返回的第一网络侧认证向量， 其中， 所述第一网络侧 认证向量中包 含第一网络序列号； 第一认证模块， 用于对所述第一网络侧认证向量中包 含的第一网络序列号进行认证； 消息返回模块， 用于在所述网络序列号认证失败的情况下， 向所述UDM网元返回序列号 同步失败消息， 其中， 所述UDM网元在接收到终端返回的序列号同步失败消息后， 根据用户 标识从所述UDM网元本地， 查找所述终端的终端序列号， 并根据所述终端的终端序列号， 生 成第二网络侧认证向量， 发送至所述终端； 第二认证模块， 用于对所述第二网络侧认证向量中包含的第二网络序列号进行认证， 其中， 所述第二网络侧认证向量中包 含： 根据终端序列号 生成的网络序列号。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 用于存 储所述处 理器的可 执行指令； 其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1～5 中任意一项所 述身份认证方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1～5中任意 一项所述的身份认证方法。权　利　要　求　书 2/2 页 3 CN 114124513 A 3