鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质与流程

本发明涉及物联网通信领域，尤其涉及窄带物联网通信技术，特别涉及一种鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质。

背景技术：

随着技术的发展，物联网(Internet of Thing,IoT)已经逐渐走入人们生活的方方面面，物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。物联网的核心和基础仍然是互联网，是在互联网基础上的延伸和扩展。

在物联网领域，窄带物联网(Narrow Band Internet of Things，NBIoT)技术提供了一种窄带宽(180kHz)、子载波间隔3.75kHz或15kHz的网络接入方法，其基于如图1所示的现有LTE(Long Term Evolution，长期演进)的网络架构和协议栈，通过一系列的简化和增强，达到增强覆盖，超高待时间及超长时间电池使用寿命(例如，十年)，单小区海量数据连接等目的。图1示出了现有LTE的网络架构，其中基站(如eNB，E-UTRAN NodeB，演进的通用地面无线接入网路节点)之间通过X2接口连接，而基站与MME(Mobility Management Entity，移动管理实体)之间通过S1接口连接。

IMT2020(International Mobile Telecom System 2020，国际移动通信系统2020)推进组在5G的远景需求规划中提出未来5G网络中连接密度可能达到100万连接每平方公里，NGMN联盟(Next Generation Mobile Networks Alliance，下一代移动网络联盟)在5G白皮书中也提出对单个运营商来说，每平方公里的连接密度可以达到20万，这意味着对于物联网来说，设备连接的数字会呈现出爆发式增长，甚至可能更多。但是基于目前的网络安全方案状态，所有的IoT设备在接入网络的过程中都需要进行完整复杂的AKA(Authentication and Key Agreement，鉴权和密钥协商)鉴权流程。

作为示例，3GPP标准中LTE和5G的鉴权流程如图2所示。用户设备(UE)和核心网的HSS(Home Subscriber Server，归属用户服务器)之间共享一套根密钥。UE在数据传输之前，需要先进行鉴权。为此在步骤S1，用户设备向MME发送服务建立请求，该请求可以携带用户设备的用户标识，例如IMSI(International Mobile Subscriber Identity，国际移动用户标识)。MME接收到该请求之后，向HHS发送鉴权请求(步骤S2)，该鉴权请求携带请求进行鉴权的用户设备的IMSI。在收到MME发送的鉴权请求之后，HSS会使用根密钥生成鉴权向量、随机数、用该随机数生成的预期响应以及所用根密钥的密钥标识(步骤S3)，然后向MME发送鉴权响应，该鉴权响应携带HSS生成的鉴权向量、所用根密钥的密钥标识、随机数和预期响应等参数(步骤S4)。在MME收到鉴权响应之后，保存鉴权向量和预期响应等(步骤S5)，然后向用户设备发送用户鉴权请求，该用户鉴权请求携带来自HSS的鉴权响应的参数(如除了预期响应之外的随机数、密钥标识和鉴权向量等参数)(步骤S6)。UE收到用户鉴权请求之后，UE会基于与HSS所共享的同一套根密钥来验证鉴权向量，验证通过后基于随机数生成终端响应(步骤S7)。然后，UE向MME发送用户鉴权响应，该用户鉴权响应携带有UE生成的终端响应(步骤S8)。MME收到用户鉴权响应之后，通过对比收到的UE终端响应和来自HSS的预期响应是否一致，来判断鉴权是否通过(步骤S9)。鉴权通过之后，MME向用户设备发送服务建立响应，通知UE鉴权通过(步骤S10)。UE收到服务建立响应之后，UE与核心网之间开始数据传输。

在上述鉴权流程中需要耗费大量的非接入层NAS(Non Access Stratum，非接入层)信令以及时间，复杂度高耗时长，对与海量的IoT设备来说并不是最优的方案。

因此，如何高效地对IoT设备进行鉴权，降低海量IoT设备造成的网络负担和鉴权时延，成为期待解决的问题。

技术实现要素：

本发明的实施方式鉴于现有技术的上述问题提出，旨在解决现有技术中存在的一种或更多种的缺点，至少提供一种有益的选择。

为了实现本发明的目的，本发明的实施方式提供了以下的方面。

根据本发明的第一方面，提供了一种鉴权方法，该鉴权方法包括以下步骤：鉴权装置接收来自用户设备的服务建立请求，该服务建立请求中携带有该用户设备的身份标识；鉴权装置基于所述用户设备的身份标识确定所述用户设备所在的设备组以及该设备组的组鉴权状态，其中所述设备组包括与所述用户设备在相同安全域的多个用户设备；以及在所述组鉴权状态为通过鉴权的情况下，鉴权装置确定所述用户设备的用户鉴权状态为通过鉴权。

在一些实施例中，所述鉴权装置基于所述用户设备的身份标识确定所述用户设备所在的设备组以及该设备组的组鉴权状态的步骤包括以下步骤：在鉴权装置基于用户设备的身份标识找不到用户设备所在的设备组的情况下，鉴权装置向鉴权服务器发送组鉴权请求，该组鉴权请求携带用户设备的身份标识；以及鉴权装置接收来自鉴权服务器的用户设备的设备组信息和该设备组的组鉴权状态，设备组信息包含设备组标识和该设备组内相同安全域的所有用户设备的身份标识列表。

在一些实施例中，所述设备组中的任意用户设备通过用户鉴权的情况下，所述组鉴权状态为通过鉴权，所述方法还包括以下步骤：在所述组鉴权状态为未通过鉴权的情况下，所述鉴权装置基于所述用户设备的身份标识，对所述用户设备进行用户鉴权；在所述用户设备通过用户鉴权的情况下，所述鉴权装置更新并存储所述用户设备所在设备组的组鉴权状态；以及所述鉴权装置向所述鉴权服务器通知该设备组的更新后的组鉴权状态。

在一些实施例中，所述服务建立请求中还携带基于标识的密码技术IBC的用户设备签名，所述对所述用户设备进行鉴权的步骤包括是基于IBC签名机制在鉴权装置和用户设备之间进行的。

在一些实施例中，所述对所述用户设备进行用户鉴权的步骤包括：所述鉴权装置使用所述用户设备的公钥对所述用户设备的IBC签名进行验证；在对所述用户设备的IBC签名验证通过后，所述鉴权服务器向所述用户设备发送接入和移动性管理功能AMF签名；基于从所述用户设备接收的AMF签名验证成功消息，所述鉴权装置确定所述用户设备鉴权通过。

在一些实施例中，所述鉴权方法应用于窄带物联网中。

在一些实施例中，所述鉴权装置是移动管理实体(MME)或者是接入和移动性管理功能(AMF)实体，所述鉴权服务器为归属用户服务器(HSS)或鉴权服务功能(AUSF)实体。

根据本发明的另一方面，提供了一种鉴权方法，该鉴权方法包括以下步骤：用户设备向鉴权装置发送服务建立请求，该服务建立请求携带有该用户设备的身份标识；以及所述用户设备接收所述鉴权装置发送的该用户设备的用户鉴权状态为通过鉴权的通知，所述用户鉴权状态为所述鉴权装置基于所述用户设备所在的设备组的组鉴权状态为通过鉴权而确定的，所述设备组包括与所述用户设备处于相同安全域的多个用户设备。

在一个实施例中，在所述设备组中的任意用户设备通过用户鉴权的情况下，所述组鉴权状态为通过鉴权；以及所述方法在接收鉴权装置发送的用户鉴权状态为通过鉴权的通知的步骤之前，还包括以下步骤：所述用户设备在发送服务建立请求之后，接收所述鉴权装置发送的鉴权请求，以在鉴权装置和用户设备之间进行鉴权。

在一些实施例中，所述服务建立请求中还携带用户设备的基于标识的密码技术IBC签名；所述对所述用户设备进行用户鉴权的步骤是基于IBC签名机制在所述鉴权装置和所述用户设备之间进行的。

根据本发明的另一方面，提供了一种鉴权方法，该鉴权方法包括以下步骤：鉴权服务器从鉴权装置接收组鉴权请求，该组鉴权请求中携带用户设备的身份标识；鉴权服务器确定用户设备所在的设备组和该设备组的组鉴权状态，其中，设备组包括与用户设备在相同安全域的多个用户设备；以及鉴权服务器向鉴权装置通知设备组信息和所述设备组的组鉴权状态，设备组信息包含所述设备组中所有用户设备的身份标识列表。

在一些实施例中，在设备组中的任一用户设备通过鉴权的情况下，组鉴权状态被设置为通过鉴权鉴权方法还包括以下步骤：接收来自鉴权装置的更新的组鉴权状态，并进行组鉴权状态的更新。

在一些实施例中，所述鉴权装置是移动管理实体或接入和移动性管理功能，所述鉴权服务器为归属用户服务器或鉴权服务功能实体。

本发明的如上方法优选地应用于物联网中，尤其是窄带物联网中。

根据另一方面，本发明还提供了一种鉴权装置，该鉴权装置包括处理器、存储器和收发单元，所述存储器用于存储计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，以控制收发单元进行信号的发送和接收，当处理器执行存储器上存储的计算机指令时所述鉴权装置用于完成如前述由鉴权装置所执行的方法。

根据另一方面，本发明还提供了一种用户设备，该用户设备包括处理器、存储器和收发单元，所述存储器用于存储计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，以控制收发单元进行信号的发送和接收，当处理器执行存储器上存储的计算机指令时所述用户设备用于完成如前所述有用户设备执行的鉴权方法。

根据另一方面，本发明还提供了一种鉴权服务器，该鉴权服务器包括处理器、存储器和收发单元，所述存储器用于存储计算机程序代码，所述处理器用于执行所述存储器中存储的计算机程序代码，以控制收发单元进行信号的发送和接收，当处理器执行存储器上存储的计算机程序代码时所述鉴权服务器用于完成如前所述由鉴权服务器执行的方法。

根据另一方面，本发明还提供了一种存储介质，其上存储有计算机程序代码，执行该代码时实现如前所述的鉴权方法。

根据本公开的鉴权方法，用户设备和网络侧鉴权装置之间的鉴权将基于设备组进行，每个设备组的第一个接入的UE进行鉴权之后，设备组内剩余用户设备无需再次进行鉴权，节省了大量的鉴权信令和鉴权时间，提高了鉴权效率，在海量设备的情况下减轻网络负担，还可以为用户设备省电。

附图说明

参照下面结合附图对本发明实施例的说明，会更加容易地理解本发明的以上和其它目的、特点和优点。附图中的部件不是成比例绘制的，而只是为了示出本发明的原理。为了便于示出和描述本发明的一些部分，附图中对应部分可能被放大，即，使其相对于在依据本发明实际制造的示例性装置中的其它部件变得更大。在附图中，相同的或对应的技术特征或部件将采用相同或对应的附图标记来表示。

图1示出了现有LET的网络架构示意图；

图2示出了现有3GPP的鉴权流程；

图3示出了根据本发明一实施例的鉴权方法的流程图；

图4示出了根据本发明另一实施例的鉴权方法的流程图；

图5示出了本发明实施例中鉴权装置对UE鉴权的示例流程；

图6示出了根据本发明实施例的鉴权方法在窄带物联网环境下执行的一个示例性流程；

图7示出本发明一实施例中鉴权装置的示意性框图；

图8示出本发明一实施例中鉴权服务器的示意性框图。

具体实施方式

下面参照附图来说明本发明的实施方式。在所述的说明和附图中，详细公开了本发明的特定实施方式，指明了本发明的原理可以被采用的方式。应该理解，本发明在范围上并不因而受到限制。在所附权利要求的精神和条款的范围内，本发明包括许多改变、修改和等同。

应当注意，为了清楚的目的，附图和说明中省略了与本发明无关的、本领域普通技术人员已知的部件和处理的表示和描述。

针对一种实施方式描述和/或示出的特征可以以相同或类似的方式在一个或更多个其它实施方式中使用，与其它实施方式中的特征相组合，或替代其它实施方式中的特征。

应该强调，术语“包括/包含”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。

发明人发现物联网通信系统中，很多用户设备都处于同一安全域内，有着相同的安全需求和安全等级，比如同一个工厂内的流水线设备、公共基础设施中需上报参数或数据的用户设备。如果针对每一个单独接入的IoT用户设备都使用3GPP中的鉴权流程，随着IoT用户设备的增加，网络负担和鉴权时限都会增加，不利于减轻网络压力和信令负担。

为此，发明人提出了一种全新的鉴权方法。在同一个安全域内，例如相同安全机密等级的安全网络环境下，根据IoT的业务种类将不同的IoT设备(也可称为用户设备UE)分为不同的设备组(比如工厂设备类，机器与机器通信类，公共基础设施类等等设备组)，即每个设备组中包括在同一安全域内的多个UE。每个设备组有一个组标识(ID)，其中组ID与该组的IoT设备对应关系(或称映射关系)可预先存储在核心网的负责鉴权服务的网元中，如归属用户服务器(HSS)和/或鉴权服务功能(AUSF，Authentication Server Function)实体中。本发明中，UE与鉴权装置(MME或AMF(接入和移动性管理功能，Access and Mobility Management Function)实体)之间的鉴权将基于组进行，每个组的第一个接入的UE进行鉴权之后，组内剩余UE无需再次进行鉴权，节省了大量的鉴权信令和鉴权时间，提高了鉴权效率，在海量设备的情况下减轻网络负担。

在多个IoT设备处于相同安全等级和安全需求的前提下，运管商或第三方服务供应商确保网络环境的硬件设备不会被攻破，比如运营商机房或工厂厂房等加有专用安全网关的设备，从而可以确保设备组内的多个IoT设备享受等同的鉴权豁免权。

下面以物联网通信系统为例，参照附图3说明本发明一实施例的鉴权方法。图3是根据本发明一实施例中由网络侧的鉴权装置(如MME或AMF)在鉴权装置未存储有设备组的组鉴权状态的情况下对UE执行的鉴权方法的示意图。图3所示，该鉴权方法包括以下步骤：

步骤S310，鉴权装置(MME/AMF)接收来自UE的服务建立请求，该服务建立请求中携带有该UE的身份标识，例如国际移动用户标识(IMSI，International Mobile Subscriber Identity)。

例如，该服务建立请求可由用户设备使用第一条上行NAS信令来传输。

步骤S320，鉴权装置基于UE的身份标识确定UE所在的设备组以及该设备组的组鉴权状态。

在该步骤中，鉴权装置可基于UE的身份标识查找其是否存储有与UE的身份标识相关联的设备组(或者说与UE的身份标识有映射关系的设备组)。例如，鉴权装置可以基于用户设备的IMSI，从存储的各设备组信息中查找是否有该IMSI对应的设备组。

在本发明一实施例中，在该设备组内没有UE进行过鉴权的情况下，鉴权设备内尚未存储设备组信息以及设备组的鉴权状态，因此无法基于UE所在设备组的组鉴权状态来确定该UE的鉴权状态。此时鉴权装置可以从核心网中负责鉴权服务的网元(下文可称为鉴权服务器，如HSS或AUSF)获取设备组信息及该设备组的组鉴权状态，设备组信息还以包括设备组内所有UE的列表，即包含设备组内所有UE的身份标识列表，可选地，设备组信息可还包括设备组ID。例如，鉴权装置可向负责鉴权服务的网元(如HSS或AUSF)发送组鉴权请求消息，该消息中可携带UE身份标识。鉴权服务器接收来自鉴权装置的鉴权请求，可以基于UE身份标识找到该UE身份标识对应的设备组信息和组鉴权状态，并向鉴权装置传输设备组信息和组鉴权状态，该设备组信息可以包括设备组内所有UE的列表，另选地，可以还包括设备组ID。鉴权装置接收来自鉴权服务器的信息并进行存储，由此鉴权装置可以确定UE所在的设备组以及该设备组的组鉴权状态。

步骤S330，在组鉴权状态为未通过鉴权的情况下，鉴权装置基于UE的身份标识，对UE进行用户鉴权，并在UE通过鉴权之后，更新并存储UE所在设备组的组鉴权状态。

由于该设备组的组鉴权状态是未通过鉴权的状态，此时鉴权装置可以基于UE的身份标识，对UE进行用户鉴权。其中，对UE鉴权的方法可以采用类似图2的现有鉴权流程，也可以采用基于标识的密码技术(IBC，Identity-Based Cryptograph)鉴权流程，但本发明并不限于这些鉴权方式。

在采用现有鉴权流程的情况下，可以通过执行如图2中所述的步骤S2-S9来实现对UE的用户鉴权。另选地，也可以在鉴权服务器接收到组鉴权请求并确定组鉴权状态为未通过鉴权的情况下，在向鉴权装置返回的消息中除了携带设备组信息和组鉴权状态之外，还携带随机数、所用根密钥、鉴权向量和预期响应，以省略鉴权装置重新向鉴权服务器发送鉴权请求和接收鉴权响应的步骤(S2-S3)，从而鉴权装置可以将“随机数、鉴权向量、和所用根密钥”作为鉴权反馈发送给用户设备，使得鉴权装置能更快地完成对UE的用户鉴权过程。

在采用IBC鉴权流程的情况下，优选地，在步骤S310的服务建立请求消息中，还携带UE的IBC签名。这样，在步骤S330，鉴权装置可以直接利用IBC签名对UE进行用户鉴权。另选地，鉴权装置也可以重新向UE请求IBC签名，由UE提供给鉴权装置。

在UE通过用户鉴权的情况下，鉴权设备更新并存储UE所在设备组的组鉴权状态。可选的，鉴权设备可向鉴权服务器通知该设备组的更新后的组鉴权状态，鉴权服务器相应地进行组鉴权状态更新。

步骤S340，在UE通过用户鉴权后，鉴权设备可以向UE发送服务建立响应，以通知用户设备鉴权已通过。

由此，UE和网络侧之间便可以进行数据传输。

图5示出了上述步骤S330中涉及的采用IBC的签名机制在UE和鉴权装置之间对UE进行用户鉴权的流程示意图，如图5所示，该流程包括以下步骤：

步骤S5011，鉴权装置可以使用IBC签名机制，对于用户设备的IBC签名进行验证。用户设备的IBC签名可以是步骤S310的服务建立请求中携带的，也可以是鉴权装置另行向UE请求的。

在该步骤中，鉴权装置可以基于UE的公钥来验证UE的IBC签名。

鉴权装置在IBC签名验证通过后，可生成AMF签名(步骤S5012)。例如可以使用AMF的设备实体ID为输入参数(公钥)，基于RSA非对称加密算法生成AMF签名(步骤S5012)，并且向UE发送AMF签名(步骤S5013)。如何生成AMF签名和向用户设备发送AMF签名由于可以由本领域技术人员使用现有的IBC鉴权技术来实现，在此不再赘述，当然也可以使用未来开发的IBC鉴权技术来实现。

UE接收到AMF签名之后，利用AMF的公钥对AMF签名进行验证(步骤S5014))，并且在AMF签名验证成功之后，通知鉴权装置AMF验证成功(步骤S5014)，即鉴权通过。

鉴权装置接收到来自UE的AMF签名成功的消息之后，可更新并存储UE所在设备组的组鉴权状态。鉴权设备还可向鉴权服务器通知该设备组的更新后的组鉴权状态，鉴权服务器相应地进行组鉴权状态更新。

鉴权通过后，UE和网络侧之间便可以进行数据传输。

在本发明另一实施例中，如果鉴权装置对UE的用户鉴权没有通过，鉴权装置也可以存储UE所在设备组的组鉴权状态，这样同一设备组内的其他UE后续向鉴权设备发送服务建立请求之后，鉴权装置可以基于组鉴权状态对该后续UE进行鉴权。

在鉴权装置获取到设备组内所有UE的身份标识列表的情况下，在后续再有该设备组内的UE发起服务建立请求时，鉴权装置可以直接基于存储的设备组信息和组鉴权状态确定UE是否鉴权通过。

图4为本发明实施例中在鉴权装置存储有设备组的组鉴权状态的情况下UE的鉴权过程，如图4所示，该步骤包括：

步骤S410，鉴权装置(MME/AMF)接收来自UE的服务建立请求，该服务建立请求中携带有该UE的身份标识，例如国际移动用户标识(IMSI，International Mobile Subscriber Identity)。

该步骤与图3中的步骤S310相同，在此不再赘述。

步骤S420，鉴权装置基于UE的身份标识确定UE所在的设备组以及该设备组的组鉴权状态。

在该步骤中，鉴权设备中存储有UE所在的设备组的信息以及组鉴权信息，例如，由于UE所在的设备组中已经有UE通过了用户鉴权，因此基于图3的步骤S320，因此鉴权设备从存储的信息中可以找到与UE的身份标识对应的设备组，于是鉴权装置直接可以确定该用户组的鉴权状态。

步骤S430，在组鉴权状态为通过鉴权的情况下，鉴权装置确定UE的用户鉴权状态为通过鉴权。

由此，在确定出用户鉴权状态为鉴权通过后，鉴权设备可以向UE发送服务建立响应，以通知用户设备鉴权已通过。由此，UE和网络侧之间便可以进行数据传输。

虽然图3在中示出了从鉴权服务器接收到的组鉴权状态为未通过鉴权的情况下所执行的步骤，但是本领域技术人员可以理解，在一些实施例中，从鉴权服务器接收到的组鉴权状态也可以是通过鉴权，例如，鉴权装置未在本地存储已通过鉴权的设备组的信息或者存储的设备组的组信息及组鉴权状态丢失的情况；另选地，同一组的用户设备可以由不同的鉴权装置执行鉴权。此种情况下，可以执行与步骤S430相同的处理，在此不再赘述。

虽然图4在中示出了鉴权装置存储的组鉴权状态为通过鉴权的情况下所执行的步骤，但是本领域技术人员可以理解，在一些实施例中，鉴权装置存储的组鉴权状态也可以是未通过鉴权，例如，在此用户设备之前已经有该设备组的另一用户设备请求进行用户鉴权，但是用户鉴权未通过。此种情况下，可以执行与步骤S330至步骤S340相同的处理，在此不再赘述。

基于上述流程可见，当设备组中第一个UE接入网络时，使用基于IBC的签名机制进行鉴权，鉴权完成后将该组的鉴权状态设置为通过状态并保存在鉴权装置中。当该组中的其他UE再次接入网络中进行鉴权时，如果鉴权确认该设备对应的组鉴权状态已经为通过鉴权时，则不再进行用户鉴权流程，大大节省鉴权信令和时间，从而节省了用户设备的耗电。

本发明的技术方案不仅适用于物联网(包括窄带物联网)，还同样适用于传统互联网。

本发明的鉴权装置可以是移动管理实体(MME)或接入和移动性管理功能(Access and Mobility Management Function，AMF)实体，而鉴权服务器可以是归属用户服务器(HSS)，或者具有鉴权服务器功能(Authentication Server Function,AUSF)的实体。

根据本发明的鉴权方法，处于相同安全域的用户设备处于同一设备组，只要该设备组内的任一用户设备的用户鉴权通过，该设备组的组鉴权状态就为通过鉴权，每个用户设备可以基于所在设备组的组鉴权状态为通过鉴权而通过鉴权。因此对于用户设备的鉴权是基于组进行的，在每个组中已有UE用户鉴权通过的情况下，组鉴权状态变更为通过鉴权，组内其它用户设备接入时，无需再次进行之前用户设备接入时所进行的用户鉴权全部流程，而是基于组鉴权状态而确定鉴权通过，从而可以节省鉴权信令开销和时间，提高鉴权效率并减轻网络负担，进而可以实现用户设备省电的目的。这在海量设备的情况下尤为重要。

图6示出了根据本发明实施例的鉴权方法在窄带物联网环境下执行的一个示例。本示例中，在窄带物联网环境下，IoT设备组包括处于相同安全域的多个用户设备UE1、UE2(图中仅示出了2个UE，但本发明并不限于此)，由MME或AMF作为鉴权装置，HSS或AUSF作为鉴权服务器，下面参照图6以IoT设备组内的设备UE1和UE2首次向鉴权装置请求鉴权为例来描述本发明的鉴权方法。

在IoT设备组确定之后，设备组信息(包括设备组ID和组内各用户设备UE1和UE2的身份标识IMSI)和该设备组的组鉴权状态存储在HSS/AUSF中，其中组鉴权状态初始为“False”，即未通过鉴权。本发明另一实施例中个，设备组信息和组鉴权状态信息也可以存储在于HSS/AUSF通信连接的数据库或其它存储设备中，只要可以由HSS/AUSF获取到。

首先UE1向MME/AMF发送UE1的服务建立请求(步骤S610)，该请求携带UE1的身份标识IMSI1，此外，还可以携带有UE1的IBC签名(IBC签名1)。

MME/AMF接收到该服务建立请求之后，基于UE1的IMSI1查找UE1所在的设备组却未发现UE1所在的设备组(步骤S621)。由于此时，UE1是该组内第一个请求鉴权的用户设备，因此MME/AMF并没有保存该设备组的组列表，也就是说MME/AMF本地不存在UE1所在的设备组。于是MME/AMF向HSS/AUSF发送组鉴权请求(步骤S622)，在该组鉴权请求中携带有UE1的IMSI1。HSS/AUSF基于IMSI1找到UE1所在组的识别组信息及组鉴权状态(步骤S623)，设备组信息可包括设备ID、设备组内所有UE的列表。HSS/AUSF将设备组信息和组鉴权状态发送给MME/AMF(步骤S624)。MME/AMF保存从HSS/AUSF所接收到的设备组信息和组鉴权状态，从而确定出UE1所在设备组的信息和设备组的组鉴权状态(步骤S624)。由于在此之前，该设备组内的所有UE都没有请求过鉴权，因此，组鉴权状态为“False”，即未通过鉴权。由此，MME/AMF需要对UE1进行用户鉴权。在步骤S610的消息中携带UE1的IBC签名的情况下，MME/AMF可IBC的签名机制对UE1进行用户鉴权，如使用UE1的公钥验证UE1的IBC签名1(步骤S631)，在IBC签名1验证通过之后，MME/AMF生成AMF签名并且发送给UE1(步骤S632)。UE1收到AMF签名之后，利用AMF的公钥对AMF签名进行验证(步骤S633)，并且在验证成功之后，向MME/AMF通知AMF验证成功(步骤S634)。收到UE1发送的AMF验证成功的通知之后，MME/AMF确定UE1鉴权通过，更新保存的设备组信息和组鉴权状态，将鉴权状态更新为“True”，即鉴权通过(步骤S635)。当然，本发明另选实施例中，MME/AMF也可以基于其他鉴权方法对UE1进行鉴权，如现有的图2中对应的方法。此时，步骤S610的服务建立请求消息中可不必携带UE1的IBC签名，并且，这种情况下，可选地，HSS/AUSF在步骤S622中接收到组鉴权请求并确定组鉴权状态为未通过鉴权之后，在向鉴权装置返回的消息中除了携带设备组信息和组鉴权状态之外，还可携带随机数、鉴权向量和预期响应，以便MME/AMF基于图2中的现有步骤S6-S10进行用户鉴权过程。

MME/AMF通知HSS/AUSF该设备组的更新后的组鉴权状态(步骤S650)，HSS/AUSF相应地更新所保存的UE1所在的设备组的组鉴权状态，变更为“True”(步骤S660)。

鉴权通过后，MME/AMF向UE1发送服务建立响应(步骤S640)，由此UE1可以与网络侧进行数据传输。

此后，与UE1处于相同安全域并且在同一设备组的UE2向MME/AMF发送服务建立请求(步骤S710)，该服务建立请求携带有UE2的身份标识IMSI 2，以及UE2的IBC签名2。基于UE2的IMSI2和所存储的设备组信息(包括设备组内的用户设备列表)，MME/AMF找到UE2所在的设备组，从而确定出UE2与UE1处于同一组，并且该设备组的组鉴权状态为通过鉴权(步骤S720)，由此，MME/AMF跳过用户鉴权过程，基于UE2所在设备组的组鉴权状态为通过鉴权确定UE2的用户鉴权状态为通过鉴权(步骤S730)。于是MME/AMF直接向UE2发送服务建立响应(步骤S740)，从而UE2可以与网络侧进行数据传输。

虽然图6仅示出了设备组内第二个IoT设备UE2接入网络时的鉴权过程，但是可以理解，如果该设备组内还包括与UE1和UE2处于同一安全域的其它IoT设备UE3、UE4、UE5、……等，则UE2所执行的鉴权过程同样适用于后续其它IoT设备UE3、UE4、UE5……等。

在该示例中，由于处于同一安全域的UE1和UE2为同一组，并且当该组中第一个IoT设备UE1接入网络时，使用基于IBC的签名机制进行鉴权，鉴权完成后将该组的鉴权状态设置为通过状态并保存在MME/AMF中。MME/AMF还向HSS通知组鉴权状态更新为通过鉴权，使得HSS/AUSF可以更新所存储的组鉴权状态。在该组内的其它IoT设备，如UE2等再次接入网络时，MME/AMF负责检查UE2的IMSI2与组列表之间的对应关系，确认属于同一组UE，然后基于该组的组鉴权状态已经为通过鉴权，确定UE2的用户鉴权状态为通过鉴权，而无需执行第一个IoT设备UE1所执行的全部鉴权过程，从而节省了UE2的鉴权信令和时间，减轻网络负担，进而可以实现UE2的节电。这对于海量设备，尤其有利。

如上图3至图6的各个步骤中，有的步骤的执行顺序可以并行执行或互换，而不限于图中示出的顺序，例如图3中所示步骤S340也可以在步骤S330中确定出UE通过用户鉴权之后在更新并存储UE所在设备组的组鉴权状态之前执行，或者，步骤S340可以在鉴权设备向鉴权服务器通知该设备组的更新后的组鉴权状态之后执行。另选地，步骤S340可以与步骤S330中的鉴权设备更新并存储UE所在设备组的组鉴权状态以及向鉴权服务器通知该设备组的更新后的组鉴权状态的操作并行执行。

在本公开的一些实施例中，如图7所示，鉴权装置(如MME/AMF)可以包括处理器710、存储器720和收发单元，该收发单元可包括接收器730和发送器740，处理器720、存储器720、接收器730和发送器740可通过总线系统连接，存储器720用于存储计算机指令，处理器710用于执行存储器中存储的计算机指令，以控制收发单元收发信号，从而实现上述参照图3至图6所描述的鉴权方法中鉴权装置执行的各步骤。

在本公开的一些实施例中，如图8所示，鉴权服务器(如HSS/AUSF)可以包括处理器810、存储器820和收发单元，该收发单元可包括接收器830和发送器840，处理器820、存储器820、接收器830和发送器840可通过总线系统连接，存储器820用于存储计算机指令，处理器810用于执行存储器中存储的计算机指令，以控制收发单元收发信号，从而实现上述参照图3至图6所描述的鉴权方法中鉴权服务器执行的各步骤。

在本公开的一些实施例中，用户设备可以包括处理器、存储器和收发单元，该收发单元可包括接收器和发送器，处理器、存储器、接收器和发送器可通过总线系统连接，存储器用于存储计算机指令，处理器用于执行存储器中存储的计算机指令，以控制收发单元收发信号，从而实现上述参照图3至图6所描述的鉴权方法中用户设备执行的各步骤。

作为一种实现方式，本发明中接收器和发送器的功能可以考虑通过收发电路或者收发的专用芯片来实现，处理器可以考虑通过专用处理芯片、处理电路或通用芯片实现。

作为另一种实现方式，可以考虑使用通用计算机的方式来实现本发明实施例提供的鉴权装置和鉴权服务器。即将实现处理器，接收器和发送器功能的程序代码存储在存储器中，通用处理器通过执行存储器中的代码来实现处理器，接收器和发送器的功能。

本公开还涉及存储介质，其上可以存储有计算机程序代码，当程序代码被执行时可以实施参照图3至图6所描述的鉴权方法的各种实施例，该存储介质可以是有形存储介质，诸如光盘、U盘、软盘、硬盘等。

本领域普通技术人员可以意识到，结合本文中所公开的实施方式描述的各示例性的单元及方法步骤，能够以硬件、软件或者二者的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施方式描述的方法或算法的步骤可以用硬件(计算机等逻辑装置)执行的软件来实现。所述软件在被执行时，可以使所述硬件(计算机等逻辑装置)实现上述的方法或其组成步骤，或使所述硬件(计算机等逻辑装置)充当上面所述的本发明的装置部件。

软件可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上描述的实施例都是示例性的，不是对本发明的限制，本领域技术人员根据本发明的精神，可以想到各种变型和修改，这些变型和修改也在本发明的范围内。