CN103458410B - 认证处理方法及装置 - Google Patents

认证处理方法及装置 Download PDF

Info

Publication number
CN103458410B
CN103458410B CN201310423021.XA CN201310423021A CN103458410B CN 103458410 B CN103458410 B CN 103458410B CN 201310423021 A CN201310423021 A CN 201310423021A CN 103458410 B CN103458410 B CN 103458410B
Authority
CN
China
Prior art keywords
business
certification
current
authenticated
current business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310423021.XA
Other languages
English (en)
Other versions
CN103458410A (zh
Inventor
毕晓宇
张爱琴
张冬梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310423021.XA priority Critical patent/CN103458410B/zh
Priority claimed from CN2009100938285A external-priority patent/CN102025685B/zh
Publication of CN103458410A publication Critical patent/CN103458410A/zh
Application granted granted Critical
Publication of CN103458410B publication Critical patent/CN103458410B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例涉及一种认证处理方法及装置,其中一种方法包括:在执行认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。本发明实施例中,如果执行EPS AKA流程认证失败,不会立即释放连接,而是根据本地信息及网络策略释放连接或者继续执行当前业务,避免了释放没有必要进行释放的连接,节省了资源。

Description

认证处理方法及装置
技术领域
本发明实施例涉及通信领域,尤其涉及一种认证处理方法及装置。
背景技术
非接入层(Non-Access Stratum,简称:NAS)计数(COUNT)是长期演进(Long TermEvolution,简称:LTE)***中安全上下文的一部分。在LTE***中,NAS计数可作为密钥的生命周期,使密钥具有新鲜性;同时,NAS计数可以保证用户设备(User Equipment,简称:UE)与网络侧密钥的同步,具有抗重放攻击的作用。每一套演进分组***(Evolved PacketSystem,简称:EPS)安全上下文包含两个独立的NAS计数值:上行NAS计数值和下行NAS计数值。这两个NAS计数的计数器分别由UE和移动管理实体(Mobility Management Entity,简称:MME)来独立维护。
NAS计数有32位,主要由两个部分组成:NAS序列号(SQN)与NAS溢出值(OVERFLOW),其中NAS序列号为8位,NAS溢出值为16位。NAS序列号承载于每条NAS消息中,当每一个新的或是重传的受到安全保护的NAS消息发出后,发送端将会将NAS序列号的值增加1;当NAS序列号增加到最大值,循环一圈时,NAS溢出值增加1。
现有技术中,当MME检测到下行的NAS计数值即将环绕的时候,也就是NAS计数值比较接近最大值224时,MME将会触发一个新的EPS认证和密钥协商(Authentication and KeyAgreement,简称:AKA)流程,建立新的安全上下文,并且当安全上下文被激活时将NAS计数值初始化为0。当MME检测到UE的上行NAS计数值也接近到最大值时,也就是即将环绕时,MME会触发EPS AKA流程。
现有技术一旦MME检测到NAS计数值即将环绕,就立即触发EPS AKA流程;如果执行EPS AKA流程认证失败,就立即释放连接。这种安全处理过程浪费了资源。
发明内容
本发明实施例提供了一种认证处理方法及装置,用以节省资源。
本发明实施例提供了一种认证处理方法,包括:
在执行认证和密钥协商流程失败的情况下,无线通信网络侧设备确定网络策略是否支持当前业务不认证;
若所述网络策略支持当前业务不认证,且所述当前业务为不需要进行认证的业务,则继续执行所述当前业务;或者
若所述网络策略支持当前业务不认证,且所述用户设备不具有执行认证和密钥协商流程的能力,则继续执行所述当前业务;或者
若所述网络策略支持当前业务不认证,且所述用户设备无***卡,则继续执行所述当前业务。
本发明实施例提供了一种认证处理装置,包括:
执行模块,用于执行认证和密钥协商流程;
处理模块,位于无线通信网络侧设备内,包括:
第一判断单元,用于在对用户设备执行认证和密钥协商流程失败的情况下,确定网络策略是否支持当前业务不认证,
第二判断单元,用于在所述网络策略支持当前业务不认证的情况下,确定所述当前业务是否是需要进行认证的业务,或者所述用户设备是否具有执行认证和密钥协商流程的能力,或者所述用户设备是否具有***卡;
执行单元,用于在所述第二判断单元判断为所述当前业务是不需要进行认证的业务,或者所述用户设备不具有执行认证和密钥协商流程的能力,或者所述用户设备不具有***卡的情况下况下,继续执行所述当前业务。
本发明实施例中,如果执行EPS AKA流程认证失败,不会立即释放连接,而是根据本地信息及网络策略释放连接或者继续执行当前业务,避免了释放没有必要进行释放的连接,节省了资源。
附图说明
图1为本发明实施例一认证处理方法的流程图;
图2为本发明实施例二认证处理方法的流程图;
图3为本发明实施例三认证处理方法的流程图;
图4为本发明实施例四认证处理方法的流程图;
图5为本发明实施例五认证处理方法的流程图;
图6为本发明实施例六认证处理方法的流程图;
图7为本发明实施例七认证处理方法的流程图;
图8为本发明实施例八认证处理装置的结构示意图;
图9为本发明实施例九认证处理装置的结构示意图;
图10为本发明实施例十认证处理装置的结构示意图;
图11为本发明实施例十一认证处理装置的结构示意图;
图12为本发明实施例十二认证处理装置的结构示意图;
图13为本发明实施例十三认证处理装置的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。
图1为本发明实施例一认证处理方法的流程图。如图1所示,本实施例具体包括如下步骤:
步骤101、当非接入层计数值接近最大值时,对本地信息进行检测;
步骤102、根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。
其中NAS计数值接近最大值即为NAS计数值即将环绕的时候,认证和密钥协商流程可以为EPS AKA流程。
上述两步骤的执行主体可以为MME,当下行或上行的NAS计数值即将环绕的时候,MME对本地信息进行检测,根据检测结果决定是否触发EPS AKA流程。
以检测上行的NAS计数值为例,MME接收NAS消息,NAS计数值加1;MME检测NAS计数值是否接近最大值,具体地,MME可以检测NAS计数值是否等于门限值,该门限值为预先设定的接近最大值的数值;若是,则对本地信息进行检测,根据检测结果决定是否触发认证和密钥协商流程;否则,继续接收NAS消息。
本实施例中MME不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
下面在描述实施例二之前,预先介绍与实施例二相关的技术。
在LTE***中,EPS安全上下文有两种划分方式。按照使用状态,EPS安全上下文可以分为当前EPS安全上下文(current EPS security context)和非当前EPS安全上下文(non-current EPS security context)。其中当前EPS安全上下文是指最新被激活的安全上下文,即当前正在使用的安全上下文。上述当前正在使用的安全上下文可以与一套非当前本地EPS安全上下文(non-current native EPS security context)同时存在。按照生成方式,EPS安全上下文可以分为映射EPS安全上下文(mapped EPS security context)和本地EPS安全上下文(native EPS security context)。其中映射EPS安全上下文是指从其他***映射过来的安全上下文,如从通用移动通信***(Universal MobileTelecommunications System,简称:UMTS)映射到LTE***。本地EPS安全上下文是指在LTE***中,经过EPS AKA生成的安全上下文。其中本地EPS安全上下文又分为部分本地EPS安全上下文(partial native EPS security context)和完整本地EPS安全上下文(fullnative EPS security context)。其主要区别是部分本地EPS安全上下文没有经过一个成功的NAS安全模式流程运行,因此在部分本地EPS安全上下文中只包含UE接入LTE网络中认证的根密钥KASME、密钥集标识(Key Set Identity,简称:KSI)、UE的安全能力以及设置为0的NAS计数值;而完整本地EPS安全上下文是经过EPS AKA流程之后由一个成功的NAS安全模式命令(Security Mode Command,简称:SMC)流程激活的安全上下文,其包含一套完整EPSNAS安全上下文,因此完整本地EPS安全上下文会额外包含NAS层的完整性密钥KNASint、加密密钥KNASenc以及所选的NAS加密算法和完整性算法标识。
图2为本发明实施例二认证处理方法的流程图。本实施例中本地信息为本地保存的安全上下文,下述安全上下文均为本地EPS安全上下文。
如图2所示,本实施例具体包括如下步骤:
步骤201、MME接收NAS消息,NAS计数值加1。
步骤202、MME检测NAS计数值是否接近最大值,若是,则执行步骤203;否则执行步骤201。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤203;否则执行步骤201。
步骤203、MME检测本地保存的安全上下文除了当前安全上下文以外,是否还包括非当前安全上下文,若是,则执行步骤204;否则触发EPS AKA流程。
步骤204、激活该非当前安全上下文。
上述非当前安全上下文可通过成功运行NAS SMC流程来激活。成功运行的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成(Security Mode Complete)消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤204通过成功执行上述NAS SMC流程,激活非当前安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
上述非当前本地安全上下文可以包括非当前部分本地安全上下文或非当前完整本地安全上下文,上述步骤204可以为:MME激活非当前部分本地安全上下文或非当前完整本地安全上下文。
本实施例中,通过成功运行MME触发的NAS SMC流程,MME与UE共享的非当前本地安全上下文被激活。当MME没有收到UE返回的NAS安全模式完成消息时,MME触发EPS AKA流程。
下面通过两个具体的例子,说明本实施例的应用场景。
(1)当MME检测到NAS计数值接近最大值时,MME通过检测安全上下文获知MME和UMTS用户身份模块集成电路卡(UMTS Subscriber Identity Module Integrated CircuitCard,简称:UICC)中保存了一套非当前部分安全上下文,MME激活该非当前部分安全上下文,此时NAS计数值被初始化为0,这样省去了EPS AKA流程。
与现有技术相比,该场景中MME没有立即触发EPS AKA流程,避免了非当前部分安全上下文资源的浪费,同时也避免了因执行没有必要的EPSAKA流程而造成的资源耗费。
(2)UE在接入EPS的过程中建立了当前安全上下文,之后UE在从演进通用地面无线接入网络(Evolved Universal Terrestrial Radio Access Network,简称:E-UTRAN)切换到通用地面无线接入网络(Universal Terrestrial Radio Access Network,简称:UTRAN)或GSM/EDGE无线通讯网络(GSM EDGE Radio Access Network,简称:GERAN)的过程中保存这套在E-UTRAN中生成的本地安全上下文;然后,当该UE再切换回到E-UTRAN中时,使用的是映射安全上下文,该映射安全上下文成为当前安全上下文,之前UE和MME保存的在E-UTRAN网络中生成的安全上下文成为非当前完整安全上下文。在这种场景下,当MME检测到NAS计数值接近最大值时,MME通过检测安全上下文获知本地保存有该非当前完整安全上下文,则MME激活该非当前完整安全上下文,这样省去了EPS AKA流程。
与现有技术相比,该场景中MME没有立即触发EPS AKA流程,避免了之前保存的非当前完整安全上下文资源的浪费,同时也避免了因执行没有必要的EPS AKA流程而造成的资源耗费。
本实施例中MME不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图3为本发明实施例三认证处理方法的流程图。本实施例中本地信息为定时器状态。本实施例中,MME上预先设置了一定时器,该定时器的状态可以为运行和停止。当NAS计数器的计数值到达门限值且EPS AKA流程成功完成时,定时器的状态转为运行;当定时器的定时时间到达设定的时间门限值时,定时器的状态转为停止。
如图3所示,本实施例具体包括如下步骤:
步骤301、MME接收NAS消息,NAS计数值加1。
步骤302、MME检测NAS计数值是否接近最大值,若是,则执行步骤303;否则执行步骤301。
具体地,本实施例预先设定一接近最大值的数值作为门限值,如设为224-100,MME检测NAS计数值是否等于224-100,若是,则执行步骤303;否则执行步骤301。
步骤303、MME检测定时器状态是否为运行,若是,则执行步骤304;否则触发EPSAKA流程。
步骤304、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成功的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤304通过成功执行上述NAS SMC流程,激活非当前本地安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
在实际应用中,下行NAS计数值和上行NAS计数值一般相差不大,当MME检测到下行NAS计数值即将环绕时,不久之后即将检测到上行NAS计数值即将环绕;并且,MME触发EPSAKA流程之后隔一段时间,MME触发NAS SMC流程,通过执行NAS SMC流程,NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将环绕时,MME就触发EPS AKA流程,而在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC流程激活新产生的安全上下文,此时NAS计数值没有被初始化,那么现有技术检测到上行NAS计数值即将环绕,又会再次触发EPS AKA流程。本实施例通过检测定时器状态可以获知距离上次EPS AKA流程成功完成的时间是否已经到达设定的时间门限值,该时间门限值是根据EPS AKA流程成功完成到触发NAS SMC之间的时间来确定的,当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间小于设定的时间门限值时,MME触发NAS SMC流程;当本次NAS计数值接近最大值距离上次EPSAKA流程成功完成的时间大于或等于设定的时间门限值时,MME触发EPS AKA流程。因此,针对上述实际应用的场景,本实施例避免了在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC流程,就又会再次触发EPS AKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图4为本发明实施例四认证处理方法的流程图。本实施例中本地信息为状态器状态。本实施例中,MME上需预先设置状态器,该状态器的状态可以为运行和停止,具体地,可以用0来表示运行,可以用1来表示停止。其中,运行表示距离上次EPS AKA流程成功完成的时间小于设定的时间门限值,停止表示距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值。状态器可以由定时器来触发。
如图4所示,本实施例具体包括如下步骤:
步骤401、MME接收NAS消息,NAS计数值加1。
步骤402、MME检测NAS计数值是否接近最大值,若是,则执行步骤403;否则执行步骤401。
具体地,本实施例预先设定一接近最大值的数值作为门限值,如设为224-100,MME检测NAS计数值是否等于224-100,若是,则执行步骤403;否则触发EPS AKA流程。
步骤403、MME检测状态器状态是否为0,若是,则执行步骤404;否则触发EPS AKA流程。
步骤404、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成功的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤404通过成功执行上述NAS SMC流程,激活非当前本地安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
在实际应用中,下行NAS计数值和上行NAS计数值一般相差不大,当MME检测到下行NAS计数值即将环绕时,不久之后即将检测到上行NAS计数值即将环绕;并且,MME触发EPSAKA流程之后隔一段时间,MME触发NAS SMC流程,通过执行NAS SMC流程,NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将环绕时,MME就触发EPS AKA流程,而在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC,此时NAS计数值没有被初始化,那么现有技术检测到上行NAS计数值即将环绕,又会再次触发EPS AKA流程。本实施例通过检测状态器状态可以获知距离上次EPS AKA流程成功完成的时间是否已经到达设定的时间门限值,该时间门限值是根据EPS AKA流程成功完成到触发NAS SMC之间的时间来确定的,当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间小于设定的时间门限值时,MME触发NAS SMC;当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值时,MME触发EPS AKA流程。因此,针对上述实际应用的场景,本实施例避免了在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC,就又会再次触发EPSAKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图5为本发明实施例五认证处理方法的流程图。本实施例中本地信息为当前业务类型、服务质量(Quality of Service,简称:QoS)或用户设备执行认证的能力。
如图5所示,本实施例具体包括如下步骤:
步骤501、MME接收NAS消息,NAS计数值加1。
步骤502、MME检测NAS计数值是否接近最大值,若是,则执行步骤503;否则执行步骤501。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤503;否则执行步骤501。
步骤503、MME通过检测当前业务类型,检测当前业务类型对应的UE请求的当前业务是否为需要进行认证的业务;或者,MME通过检测QoS,检测QoS对应的UE请求的当前业务是否为需要进行认证的业务;或者,MME通过检测UE执行认证的能力,检测UE是否具有执行EPS AKA流程的能力;
若是,则触发EPS AKA流程;否则执行步骤504。
步骤504、继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
举例来说,本实施例通过检测当前业务类型获知UE请求的业务为紧急呼叫(Emergency Call,简称:EMC)业务,则检测出UE请求的业务不是需要进行认证的业务,则不再触发EPS AKA流程,而忽略NAS计数值接近最大值的检测结果,可以继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
当***用户标识模块(Subscriber Identity Module,简称:SIM卡)的UE从UMTS网络的紧急呼叫切换到LTE网络,MME从通用分组无线业务(General Packet Radio Service,简称:GPRS)服务支持节点(Service GPRS Support Node,简称:SGSN)得到安全参数Kc,并且进一步根据加密密钥(Cipher Key,简称:CK)和完整性密钥(Integrity Key,简称:IK)得到KASME。NAS计数值从0开始。此时,UE在LTE网络中的安全保护是由KASME所派生的子密钥所保护的。当NAS计数值即将环绕时,MME可以根据Kc检测出UE是SIM卡用户,不具有执行EPS AKA流程的能力,则MME不再触发EPS AKA流程,而忽略NAS计数值接近最大值的检测结果,可以继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
本实施例在UE请求的业务不是需要进行认证的业务或UE不具有执行认证和密钥协商流程的能力时,不触发EPS AKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图6为本发明实施例六认证处理方法的流程图。如图6所示,本实施例具体包括如下步骤:
步骤601、MME接收NAS消息,NAS计数值加1。
步骤602、MME检测NAS计数值是否接近最大值,若是,则执行步骤603;否则执行步骤601。该NAS计数值可以为上行NAS计数值,也可以为下行NAS计数值。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤603;否则执行步骤601。
步骤603、MME触发EPS AKA流程,同时MME触发NAS SMC,激活AKA流程产生的安全上下文,NAS计数值被初始化为0。
本实施例将EPS AKA流程与NAS SMC的执行绑定在一起,避免了因检测到不同方向(上行方向和下行方向)NAS计数值即将环绕,重复触发EPS AKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图7为本发明实施例七认证处理方法的流程图。如图7所示,本实施例具体包括如下步骤:
步骤801、MME发起EPS AKA流程;
步骤802、在执行EPS AKA流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
进一步的,上述步骤801中MME发起EPS AKA流程可以在若干种条件下进行,例如:可以当NAS计数值接近最大值时,MME发起EPS AKA流程;也可以由运营商的策略触发EPSAKA流程,具体地,运营商可以设置一定的本次策略,由MME来触发对其下UE的EPS AKA,这可以是运营商基于一定的安全策略或者其他需求而制定的策略;还可以当UE进行网络间切换时,触发EPS AKA流程,具体地,当UE从安全级别较低的网络(如GSM 或UMTS网络)切换(包括激活态的切换和空闲态移动)到安全级别较高的网络(如LTE网络)时,由网络侧触发EPSAKA流程。
本地信息可以包括以下信息的至少之一:当前业务类型,服务质量,用户设备执行认证的能力,网络策略,用户识别模块类型或用户设备是否***卡的信息。其中,当前业务类型指明了当前业务的类型信息,MME可以根据当前业务类型确定当前业务是否为需要进行认证的业务。服务质量能够标识无需进行认证的业务,所以MME也可以根据服务质量确定当前业务是否为需要进行认证的业务。UE执行认证的能力指明了UE是否具有执行EPS AKA的能力的相关信息,MME可以根据UE执行认证的能力确定UE是否具有执行EPS AKA的能力。SIM卡类型也指明了UE是否具有执行EPS AKA的能力的相关信息,MME可以根据SIM卡类型确定UE是否具有执行EPS AKA的能力。由于认证需要在UE***卡的情况下进行,如果UE***卡后执行EPS AKA流程失败,那么就应该释放NAS信令连接;如果UE没有***卡,则根据网络策略确定是否释放连接。网络策略是网络侧设备设定的策略,其可以支持当前业务是否进行认证。
根据以上本地信息及网络策略的内容,上述步骤802可以具体包括:
MME若确定网络策略不支持当前业务不认证,则释放当前业务的连接;
MME若确定网络策略支持当前业务不认证,且MME若根据本地信息中的当前业务类型或服务质量确定当前业务为不需要进行认证的业务,或者且MME若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备不具有执行认证和密钥协商流程的能力,或者且用户设备无***卡,则继续执行当前业务;
MME若确定网络策略支持当前业务不认证,且MME若根据本地信息中的当前业务类型或服务质量确定当前业务为需要进行认证的业务,或者且MME若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备具有执行认证和密钥协商流程的能力,或者且用户设备存在***卡,则释放当前业务的连接。
举例来说,在MME确定网络策略支持当前业务不认证的场景下,MME通过检测当前业务类型,获知UE请求的业务为EMC业务或公共报警业务,由于EMC业务或公共报警业务不是需要进行认证的业务,且网络策略支持未认证的EMC或公共报警业务,则MME和UE继续执行当前业务。
如果当前业务为NAS信令连接中的单一业务,则可以通过释放NAS信令连接来实现释放当前业务的连接。如果NAS信令连接中承载了多个业务,且根据当前业务类型确定该多个当前业务均需要进行认证,则释放NAS信令连接。如果当前既包括需要认证的业务又包括不需要认证的业务(如EMC),则释放上述需要认证的业务所对应的EPS承载,而保持不需要认证的业务的EPS承载(如EMC承载)。上述EPS承载是建立在NAS信令连接基础上的。
本实施例在认证失败,UE请求的业务不是需要进行认证的业务或UE不具有执行EPS AKA流程的能力或用户设备未***卡,且网络策略支持当前业务不认证的情况下仍然能继续执行当前业务,避免了当前业务执行中断的问题,节省了***的资源。
图8为本发明实施例八认证处理装置的结构示意图。如图8所示,本实施例具体包括检测模块11和处理模块12。其中,检测模块11用于当非接入层计数值接近最大值时,对本地信息进行检测;处理模块12用于根据检测结果决定是否触发与UE之间的认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例一提供的方法来工作。
图9为本发明实施例九认证处理装置的结构示意图。如图9所示,本实施例在上述实施例八的基础上,本地信息为安全上下文,处理模块12具体包括第一激活单元21和第一触发单元22。其中,第一激活单元21用于当检测模块11确定安全上下文包括非当前安全上下文,则激活非当前安全上下文;第一触发单元22用于当检测模块11确定安全上下文不包括非当前安全上下文,则触发认证和密钥协商流程。
本实施例处理模块12还可以包括收发单元23,该收发单元23用于向UE发送NASSMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第一激活单元21发送触发其动作的信息。第一激活单元21根据触发信息激活非当前安全上下文。当收发单元23没有接收到UE返回的NAS安全模式执行成功的消息时,第一触发单元22触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例二提供的方法来工作。
图10为本发明实施例十认证处理装置的结构示意图。如图10所示,本实施例在上述实施例八的基础上,本地信息为定时器状态,处理模块12具体包括第二激活单元31和第二触发单元32。其中,第二激活单元31用于当检测模块11检测出定时器状态为运行时,激活非当前安全上下文;第二触发单元32用于当检测模块11检测出定时器状态为停止时,触发认证和密钥协商流程。
进一步的,本实施例处理模块12还可以包括收发单元33,该收发单元33用于向UE发送NAS SMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第二激活单元31发送触发其动作的信息。第二激活单元31根据触发信息激活非当前安全上下文。当收发单元33没有接收到UE返回的NAS安全模式执行成功的消息时,第二触发单元32触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例三提供的方法来工作。
图11为本发明实施例十一认证处理装置的结构示意图。如图11所示,本实施例在上述实施例八的基础上,本地信息为状态器状态,处理模块12具体包括第三激活单元41和第三触发单元42。其中,第三激活单元41用于当检测模块11检测出状态器状态为运行时,激活非当前安全上下文;第三触发单元42用于当检测模块11检测出状态器状态为停止时,触发认证和密钥协商流程。
进一步的,本实施例处理模块12还可以包括收发单元43,该收发单元43用于向UE发送NAS SMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第三激活单元41发送触发其动作的信息。第三激活单元41根据触发信息激活非当前安全上下文。当收发单元43没有接收到UE返回的NAS安全模式执行成功的消息时,第三触发单元42触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例四提供的方法来工作。
图12为本发明实施例十二认证处理装置的结构示意图。如图12所示,本实施例在上述实施例八的基础上,本地信息为当前的业务类型、或服务质量、或用户设备执行认证的能力,处理模块12具体包括第四触发单元51和处理单元52。该第四触发单元51用于如果检测模块11确定当前业务类型对应的业务为需要进行认证的业务,或者确定服务质量对应的业务为需要进行认证的业务,或者确定用户设备执行认证的能力具有执行认证和密钥协商流程的能力,则触发认证和密钥协商流程。处理单元52用于如果检测模块11确定当前业务类型对应的业务不是需要进行认证的业务,或者确定服务质量对应的业务不是需要进行认证的业务,或者确定用户设备执行认证的能力不具有执行认证和密钥协商流程的能力,则继续使用当前的安全上下文,或者对当前业务不进行安全保护;或者中断当前业务的连接。
本实施例提供的认证处理装置可以按照上述实施例五提供的方法来工作。
上述装置实施例中不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图13为本发明实施例十三认证处理装置的结构示意图。如图13所示,本实施例具体包括执行模块61和处理模块62。其中,执行模块61用于执行认证和密钥协商流程;处理模块62用于在执行模块61执行认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
进一步的,本实施例还可以包括触发模块63,该触发模块63用于在非接入层计数值接近最大值、运营商策略或用户设备进行网络间切换的触发条件下,触发执行模块61执行认证和密钥协商流程。
上述处理模块62可以进一步包括:第一判断单元64、第一释放单元65、第二判断单元66、第二释放单元67和执行单元68。其中,第一判断单元64用于在执行模块61执行认证和密钥协商流程失败的情况下,判断网络策略是否支持当前业务不认证;第一释放单元65用于在第一判断单元64判断为否的情况下,释放当前业务的连接;第二判断单元66用于在第一判断单元64判断为是的情况下,根据本地信息中的当前业务类型或服务质量判断当前业务是否为需要进行认证的业务,或者,根据本地信息中的用户设备执行认证的能力或用户识别模块类型判断用户设备是否具有执行认证和密钥协商流程的能力,或者,判断用户设备是否存在***卡;第二释放单元67用于在第二判断单元66判断为是的情况下,释放当前业务的连接;执行单元68用于在第二判断单元66判断为否的情况下,继续执行当前业务。
本实施例提供的认证处理装置可以按照上述实施例七提供的方法来工作。
本实施例在认证失败,UE请求的业务不是需要进行认证的业务或UE不具有执行EPS AKA流程的能力或用户设备未***卡,且网络策略支持当前业务不认证的情况下仍然能继续执行当前业务,避免了当前业务执行中断的问题,节省了***的资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。

Claims (20)

1.一种认证处理方法,其特征在于包括:
若非接入层计数值接近最大值,无线通信网络侧设备发起认证和密钥协商AKA流程;
若所述AKA流程失败,所述无线通信网络侧设备确定网络策略是否支持当前业务不认证;
若所述网络策略支持所述当前业务不认证,且所述当前业务为不需要进行认证的业务,所述无线通信网络侧设备保持所述当前业务的承载。
2.根据权利要求1所述的方法,其特征在于,还包括:
若所述网络策略不支持所述当前业务不认证,所述无线通信网络侧设备释放所述当前业务的连接。
3.根据权利要求1所述的方法,其特征在于,还包括:
若所述网络策略支持所述当前业务不认证,且所述当前业务为需要进行认证的业务,所述无线通信网络侧设备释放所述当前业务的连接。
4.根据权利要求1至3任意一项所述的方法,其特征在于,还包括根据当前业务类型或服务质量确定当前业务是否为需要进行认证的业务。
5.根据权利要求1至3任意一项所述的方法,其特征在于,还包括所述无线通信网络侧设备根据用户设备执行认证的能力或用户识别模块类型确定用户设备是否具有执行认证和密钥协商流程的能力。
6.根据权利要求2所述的方法,其特征在于,所述无线通信网络侧设备释放所述当前业务的连接包括:
如果所述当前业务为非接入层信令连接中的单一业务,所述无线通信网络侧设备释放非接入层信令连接;或者
如果非接入层信令连接中承载了多于一个业务,且所述无线通信网络侧设备根据所述当前业务类型确定多个所述当前业务均需要进行认证,所述无线通信网络侧设备释放非接入层信令连接。
7.根据权利要求2所述的方法,其特征在于,所述无线通信网络侧设备释放所述当前业务的连接包括:
如果非接入层信令连接中承载了多于一个业务,且所述无线通信网络侧设备根据所述当前业务类型确定所述当前业务既包括需要认证的业务又包括不需要认证的业务,所述无线通信网络侧设备释放所述需要认证的业务的演进的分组***承载,并且保持所述不需要认证的业务的演进的分组***承载。
8.根据权利要求1至3任意一项所述的方法,其特征在于,所述当前业务包括紧急呼叫业务,和/或公共报警业务。
9.如权利要求8所述的方法,其特征在于,
所述紧急呼叫业务为不需要进行认证的紧急呼叫业务或需要进行认证的紧急呼叫业务;
所述公共报警业务为不需要进行认证的公共报警业务或需要进行认证的公共报警业务。
10.如权利要求1所述的方法,其特征在于,所述无线通信网络侧设备包括移动管理实体,所述无线通信网络侧设备发起认证和密钥协商AKA流程包括所述移动管理实体发起演进分组***EPS AKA流程。
11.一种认证处理装置,位于无线通信网络侧设备内,其特征在于包括:
触发模块,用于若非接入层计数值接近最大值,触发执行模块发起认证和密钥协商AKA流程;
执行模块,用于执行所述AKA流程;
处理模块,包括:
第一判断单元,用于若所述执行模块执行所述AKA流程失败,确定网络策略是否支持当前业务不认证,
第二判断单元,用于若所述网络策略支持所述当前业务不认证,确定所述当前业务是否是需要进行认证的业务;
执行单元,用于在所述第二判断单元判断若所述当前业务是不需要进行认证的业务,保持所述当前业务的承载。
12.根据权利要求11所述的装置,其特征在于,所述处理模块还包括:
第一释放单元,用于在所述第一判断单元判断为不支持当前业务不认证的情况下,释放所述当前业务的连接。
13.根据权利要求11所述的装置,其特征在于,所述处理模块还包括:
第二释放单元,用于在所述第二判断单元判断为所述当前业务是需要进行认证的业务,释放所述当前业务的连接。
14.根据权利要求11至13任意一项所述的装置,其特征在于,所述第二判断单元用于在所述网络策略支持当前业务不认证的情况下,根据当前业务类型或服务质量确定当前业务是否为需要进行认证的业务。
15.根据权利要求11至13任意一项所述的装置,其特征在于,所述第二判断单元用于在所述网络策略支持当前业务不认证的情况下,确定当前业务是否为需要进行认证的业务。
16.根据权利要求12所述的装置,其特征在于,所述第一释放单元用于:
如果所述当前业务为非接入层信令连接中的单一业务,则释放非接入层信令连接;或者
如果非接入层信令连接中承载了多于一个业务,且根据所述当前业务类型确定多个所述当前业务均需要进行认证,则释放非接入层信令连接。
17.根据权利要求12所述的装置,其特征在于,所述第一释放单元用于:
如果非接入层信令连接中承载了多于一个业务,且根据所述当前业务类型确定所述当前业务既包括需要认证的业务又包括不需要认证的业务,则释放所述需要认证的业务的演进的分组***承载,并且保持所述不需要认证的业务的演进的分组***承载。
18.根据权利要求11至13任意一项所述的装置,其特征在于,所述当前业务包括紧急呼叫业务,和/或公共报警业务。
19.如权利要求18所述的装置,其特征在于,
所述紧急呼叫业务为不需要进行认证的紧急呼叫业务或需要进行认证的紧急呼叫业务;
所述公共报警业务为不需要进行认证的公共报警业务或需要进行认证的公共报警业务。
20.如权利要求12所述的装置,其特征在于,所述无线通信网络侧设备包括移动管理实体,所述执行模块用于执行演进分组***EPS AKA流程。
CN201310423021.XA 2009-09-21 2009-09-21 认证处理方法及装置 Active CN103458410B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310423021.XA CN103458410B (zh) 2009-09-21 2009-09-21 认证处理方法及装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2009100938285A CN102025685B (zh) 2009-09-21 2009-09-21 认证处理方法及装置
CN201310423021.XA CN103458410B (zh) 2009-09-21 2009-09-21 认证处理方法及装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN2009100938285A Division CN102025685B (zh) 2009-09-21 2009-09-21 认证处理方法及装置

Publications (2)

Publication Number Publication Date
CN103458410A CN103458410A (zh) 2013-12-18
CN103458410B true CN103458410B (zh) 2017-07-14

Family

ID=49740281

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310423021.XA Active CN103458410B (zh) 2009-09-21 2009-09-21 认证处理方法及装置

Country Status (1)

Country Link
CN (1) CN103458410B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104066087A (zh) * 2014-07-08 2014-09-24 天津理工大学 一种认证向量组长度的动态选取方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101237334A (zh) * 2007-01-31 2008-08-06 华为技术有限公司 微波接入全球互通***及提供紧急业务的方法和设备
US8379854B2 (en) * 2007-10-09 2013-02-19 Alcatel Lucent Secure wireless communication

Also Published As

Publication number Publication date
CN103458410A (zh) 2013-12-18

Similar Documents

Publication Publication Date Title
CN102025685B (zh) 认证处理方法及装置
CN109462847B (zh) 安全实现方法、相关装置以及***
CN108271125B (zh) 数据发送、数据接收方法及装置
KR100897210B1 (ko) 통신 시스템의 로컬 인증
CN101232731B (zh) 用于ue从utran切换到eutran的密钥生成方法和***
CN1332525C (zh) 无线通信***上储存安全开始值的方法
EP2205014A2 (en) Method of handling inter-system handover security in wireless communications system and related communication device
CN101610506A (zh) 防止网络安全失步的方法和装置
CN106465108A (zh) 蜂窝网络认证控制
EP2874367B1 (en) Call authentication method, device, and system
CN101267668A (zh) 密钥生成方法、装置及***
CN101304311A (zh) 密钥生成方法和***
CN102404721A (zh) Un接口的安全保护方法、装置和基站
AU2018254323B2 (en) Radio link recovery for user equipment
CN107113608B (zh) 使用密钥扩展乘数来生成多个共享密钥的方法和装置
CN106899562A (zh) 物联网的安全算法协商方法、网元及物联网终端
CN107294723A (zh) 消息完整性认证信息的生成和验证方法、装置及验证***
CN104244247B (zh) 非接入层、接入层安全算法处理方法及设备
CN102638793B (zh) 认证处理方法及装置
CN105245494B (zh) 一种网络攻击的确定方法及装置
CN110225517B (zh) 一种信息发送方法、装置、***以及计算机可读存储介质
CN103458410B (zh) 认证处理方法及装置
WO2017036107A1 (zh) 用户设备差异化接入网络的方法、基站及计算机存储介质
CN101835150B (zh) 一种共享加密数据更新的方法、装置和***
CN106537960A (zh) 用于密码算法协商的方法、网络元素、移动终端、***和计算机程序产品

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant