CN107770770A - 一种接入认证方法、ue和接入设备 - Google Patents
一种接入认证方法、ue和接入设备 Download PDFInfo
- Publication number
- CN107770770A CN107770770A CN201610676117.0A CN201610676117A CN107770770A CN 107770770 A CN107770770 A CN 107770770A CN 201610676117 A CN201610676117 A CN 201610676117A CN 107770770 A CN107770770 A CN 107770770A
- Authority
- CN
- China
- Prior art keywords
- network function
- user terminal
- access
- network
- temporary mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种接入认证方法、UE和接入设备,该方法可包括:UE向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。本发明实施例可以减少信令浪费。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种接入认证方法、用户终端(UserEquipment,UE)和接入设备。
背景技术
在通信***中,UE在不同位置或者不同场景等情况下经常需要通过不同的接入网连接核心网,例如:UE通过一接入网连接到核心网后,UE再通过另一接入网连接核心网。然而,目前通信***中,UE每次通过接入网连接核心网时,都需要执行认证过程。而每次认证过程都存在信令的交互,这样就会存在信令浪费的问题。
发明内容
本发明的目的在于提供一种接入认证方法、UE和接入设备,解决信令浪费的问题。
为了达到上述目的,本发明实施例提供一种接入认证方法,包括:
UE向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识。
可选的,所述方法还包括:
若所述UE未认证,所述UE执行所述网络功能发起的认证过程,其中,所述UE未认证为所述网络功能根据所述临时标识没有查找到所述UE的上下文。
可选的,所述UE还向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述UE合法性。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
可选的,所述方法还包括:
若所述验证不通过,所述UE执行所述网络功能发起的认证过程;或者
若所述验证不通过,所述UE接收所述网络功能通过所述UE已经连接的接入网发送的新的标识;或者
若所述验证不通过,所述用户终端接收所述网络功能返回的拒绝消息。
本发明实施例还提供一种接入认证方法,包括:
接入设备接收UE发送的一临时标识;
所述接入设备向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识,其中,所述其他接入网不包括所述接入设备。
可选的,所述方法还包括:
若所述网络功能根据所述临时标识查找到所述UE的上下文,则表示所述UE已认证,所述接入设备接收所述网络功能发送的所述UE已认证的提示信息。
可选的,所述接入设备还接收有所述UE发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述UE进行认证。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
本发明实施例还提供一种UE,包括:
发送模块,用于向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识。
可选的,所述UE还包括:
第一执行模块,用于若所述UE未认证,执行所述网络功能发起的认证过程,其中,所述UE未认证为所述网络功能根据所述临时标识没有查找到所述UE的上下文。
可选的,所述UE还向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述UE合法性。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
可选的,所述UE还包括:
第二执行模块,用于若所述验证不通过,执行所述网络功能发起的认证过程;或者
第一接收模块,用于若所述验证不通过,接收所述网络功能通过所述UE已经连接的接入网发送的新的标识;或者
第二接收模块,用于若所述验证不通过,接收所述网络功能返回的拒绝消息。
本发明实施还提供一种接入设备,包括:
第一接收模块,用于接收UE发送的一临时标识;
发送模块,用于向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识,其中,所述其他接入网不包括所述接入设备。
可选的,所述接入设备还包括:
第二接收模块,用于若所述网络功能根据所述临时标识查找到所述UE的上下文,则表示所述UE已认证,接收所述网络功能发送的所述UE已认证的提示信息。
可选的,所述接入设备还接收有所述UE发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述UE进行认证。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例,UE向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。这样UE只需要向接入网发送一临时标识,网络功能就可以根据临时标识判断UE是否已认证,从而可以避免了UE每通过一接入网连接到核心网时,都需要执行认证过程,以减少信令浪费。
附图说明
图1为本发明实施例可应用于的网络结构示意图;
图2为本发明实施例提供的一种接入认证方法的流程示意图;
图3为本发明实施例提供的另一种接入认证方法的示意图;
图4为本发明实施例提供的另一种接入认证方法的示意图;
图5为本发明实施例提供的另一种接入认证方法的示意图;
图6为本发明实施例提供的另一种接入认证方法的示意图;
图7为本发明实施例提供的另一种接入认证方法的流程示意图;
图8为本发明实施例提供的一种UE的结构示意图;
图9为本发明实施例提供的另一种UE的结构示意图;
图10为本发明实施例提供的另一种UE的结构示意图;
图11为本发明实施例提供的一种接入设备的结构示意图;
图12为本发明实施例提供的另一种接入设备的结构示意图;
图13为本发明实施例提供的另一种UE的结构示意图;
图14为本发明实施例提供的另一种接入设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
参见图1,图1为本发明实施例可应用于的网络结构示意图,如图1所示,包括UE、非3GPP接入网实体、非3GPP接入层功能(Non-3GPP Access StratumFunction,N3ASF)、控制面功能(CP functions)、用户面功能(UP functions)、应用功能(Application Function,AF)和数据网络(Data Network,DN)。其中,Y1表示位于UE和非3GPP接入网(例如:WLAN)实体之间的接口,Y2表示位于UE和N3ASF实体之间的接口,Y4表示位于N3ASF实体和非3GPP接入网实体之间的接口,NG1表示位于UE和控制面功能之间的接口,NG2表示位于N3ASF控制面功能之间的接口,也可以理解为无线接入网(Radio Access Network,RAN)和控制面功能之间的接口,NG3表示位于N3ASF和用户面功能之间的接口,也可以理解为RAN和用户面功能之间的接口,NG4表示位于控制面功能和用户面功能之间的接口,NG5表示位于控制面功能和AF之间的接口,NG6表示位于用户面功能和DN之间的接口。另外,上述N3ASF是接入网络的逻辑组成部分,其终止NG2或者NG3接口。UE和N3ASF之间使用的协议为N3-AS,该协议可以用于在UE和核心网之间透明地传输NAS消息、用户面承载的信息和安全信息。当然,在上述网络结构中还可以包括3GPP接入网实体等其他接入网实体,对比本发明实施例不作限定。需要说明的是,本发明实施例中并不限定在上述网络结构中实现,上述网络结构仅是一举例。
另外,UE可以是手机、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)、个人数字助理(personal digital assistant,简称PDA)、移动上网装置(Mobile Internet Device,MID)或可穿戴式设备(Wearable Device)等终端侧设备,需要说明的是,在本发明实施例中并不限定UE的具体类型。
请参阅图2,本发明实施例提供一种接入认证方法,如图2所示,包括以下步骤:
201、UE向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。
本发明实施例中,通过上述步骤可以实现UE向接入网发送上述临时标识,就可以实现网络功能根据该临时标识判断该UR是否已认证,例如:网络功能通过该临时标识能查找到上述UE的上下文,则表示该UE已经认证,即说明该UE已经通过其他接入网连接到核心网。且网络功能确定UE已认证后,就不需要向该UE发起认证过程。从而通过上述步骤可以实现避免了UE通过不同的接入网络连接到核心网时,执行多次认证过程,以减少信令浪费。
本发明实施例中,上述网络功能可以是控制面功能。
可选的,上述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识。
该实施方式中,上述临时标识为UE通过其他接入网连接核心网时,网络功能为其分配的临时标识。其中,上述其他接入网可以是与步骤201中的接入网的接入技术不同的接入网,例如:步骤201中的接入网为3GPP接入网,而上述其他接入网则可以是除3GPP接入网之外的接入网,如非3GPP接入网。
可选的,上述方法还包括:
若所述UE未认证,所述UE执行所述网络功能发起的认证过程,其中,所述UE未认证为所述网络功能根据所述临时标识没有查找到所述UE的上下文。
该实施方式中,可以实现若上述网络功能根据上述临时标识确定上述UE未认证,例如:UE在执行步骤201之前,该UE没有通过其他接入网连接核心网,则网络功能可以向上述UE发起认证过程,即上述UE执行上述网络功能发起的认证过程。
可选的,上述UE还向所述接入网发送有安全验证信息,且所述接入网(步骤201中的接入网)还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述UE合法性。
其中,上述安全验证信息可以是同上述临时标识一起发送的,例如:向上述接入网发送一携带有上述安全验证信息和上述临时标识的消息。另外,在上述接入网接收到该安全验证信息后,也会将该安全验证信息发送给上述网络功能,从而该网络功能就可以根据安全验证信息判断上述UE的合法性。这样可以避免出现恶意终端截获UE的标识,冒充UE连接到核心网的情况。另外,上述安全验证信息可以是UE与网络功能预先协商好的,或者上述安全验证信息可以是网络功能预先指定的等等。
可选的,上述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
其中,上述请求消息可以是附着请求或者连接核心网请求,若上述安全验证信息中包括上述请求消息,则网络功能可以是使用上述UE的上下文中的完整性密钥检查请求消息的完整性,以及使用上述上下文中的密钥解密请求消息,若解密成功,则确定验证通过,即确定上述UE是合法的。
其中,上述标识可以是国际移动用户识别码(International MobileSubscriber Identification Number,IMSI:)或国际移动设备标识(InternationalMobile Equipment Identity,IMEI)等。若上述安全验证信息中包括上述标识,则网络功能可以是使用上述UE的上下文中的安全信息对上述标识进行解密,若解密成功,则确定验证通过,即确定上述UE是合法的。
其中,上述签名可以是数字签名。网络功能可以是使用上述UE的上下文中的签名与上述安全验证信息中的签名进行匹配,若匹配成功,则确定验证通过,即确定上述UE是合法的。
可选的,上述方法还包括:
若所述验证不通过,所述UE执行所述网络功能发起的认证过程;或者
若所述验证不通过,所述UE接收所述网络功能通过所述UE已经连接的接入网发送的新的标识;或者
若所述验证不通过,所述UE接收所述网络功能返回的拒绝消息。
该实施方式中,可以实现若验证不通过,则UE执行由网络功能发起的认证过程。或者若验证不通过,则UE接收网络功能通过UE已经连接的接入网发送的新的标识,从而UE可以使用该新的标识进行认证。另外,验证不通过,接收网络功能返回的拒绝消息,即表示网络功能拒绝UE通过上述接入网连接核心网,从而可以避免出现恶意终端截获UE的标识,冒充UE连接到核心网的情况。
可选的,UE可以是通过一RRC消息向接入网发送上述临时标识,且该RRC消息还包括附着请求。例如:步骤201中的接入网为3GPP接入网,而UE已经通过非3GPP接入网连接核心网,则可以如图3所示,包括如下步骤:
步骤1、UE向3GPP接入网发送RRC消息,该RRC消息中包括附着请求和临时标识,该附着请求可以是加密的附着请求;
步骤2、3GPP接入网根据临时标识得到分配该临时标识的网络功能,并向网络功能发送NG2接口消息,消息中包括附着请求和临时标识;
步骤3、网络功能根据临时标识查找到UE的上下文,使用上下文中的安全信息判断附着请求的安全性,如果附着请求是安全的(例如使用完整性密钥检查消息的完整性,使用密钥可成功解密附着请求),则网络功能在UE的上下文中存储新的接入网络(即上述3GPP接入网实体所属的3GPP接入网)的信息,然后向3GPP接入网返回NG2接口消息,消息中包括附着接受消息;
步骤4、3GPP接入网向UE返回RRC消息,消息中包括附着接受消息。
另外,UE还可以通过连接建立消息向接入网发送上述临时标识,例如:该连接建立消息的消息参数包括上述临时标识。例如:步骤201中的接入网为非3GPP接入网,而UE已经通过3GPP接入网连接核心网,则可以如图4所示,包括以下步骤:
步骤1、UE向非3GPP接入网发送连接建立消息,消息参数包括UE通过3GPP接入连接到核心网时,网络功能为其分配的临时标识;
步骤2、非3GPP接入网向N3ASF发送连接请求消息,消息参数为UE提供的临时标识。需要说明的是,如果N3ASF和非3GPP接入网合设,则不执行此步骤;
步骤3、N3ASF向网络功能发送NG2接口消息,消息参数包括接入技术和UE提供的临时标识。
步骤4、网络功能根据UE的临时标识查找到UE的上下文,发现UE已通过3GPP接入网连接到核心网,网络功能向N3ASF发送NG2接口消息,消息中携带已认证的提示信息;
步骤5、N3ASF向非3GPP接入网发送连接回复消息,消息中携带已认证的提示信息。需要说明的是,如果N3ASF和非3GPP接入网合设,则不执行此步骤;
步骤6、非3GPP接入网向UE发送连接建立完成消息。
另外,该实施方式中,上述连接建立消息还可以包括加密的标识或者签名,例如:在该实施方式中,UE还可使用安全上下文对UE的IMSI或IMEI进行加密,并将加密后的IMSI或IMEI通过步骤1发送给非3GPP接入网实体。即上述实施方式中,步骤1、2和3的消息还携带有加密后的IMSI或IMEI,或签名。在步骤3时,网络功能使用临时标识查找到UE的上下文,然后使用上下文中的安全信息对IMSI和IMEI解密,或对签名进行验证,如果能够解密出UE的IMSI和IMEI或签名正确,则说明该UE是正确的UE。如果解密出的标识不同于UE上下文中的IMSI或IMEI,或签名不正确,则说明该UE是恶意终端冒充的。
另外,该实施方式中,由于UE和接入网之间传输的是连接建立消息和连接完成消息,从而可以实现扩展UE和非3GPP接入网之间的协议。
另外,上述UE还可以通过可扩展认证协议(Extensible authenticationprotocol,EAP)响应消息向接入网发送上述临时标识。例如:步骤201中的接入网可以是非3GPP接入网,而UE已经通过3GPP接入网连接到核心网,可以如图5所示,包括以下步骤:
步骤1、UE和非3GPP接入网之间建立连接;
步骤2、非3GPP接入网向UE发送EAP-REQ/Identity消息,发起EAP认证过程;
步骤3、UE向非3GPP接入网返回EAP-RSP/Identity消息,消息中携带有UE的临时标识。
步骤4、非3GPP接入网将EAP-RSP/Identity消息发送给N3ASF,需要说明的是如果N3ASF和非3GPP接入网合设,则不执行此步骤;
步骤5、N3ASF将EAP-RSP/Identity消息发送给网络功能;
步骤6、网络功能发现UE已通过3GPP接入连接到核心网,网络功能不再次对UE执行认证过程,其向N3ASF返回EAP-Success消息。
步骤7、N3ASF向非3GPP接入网返回EAP-Success消息,需要说明的是,如果N3ASF和非3GPP接入网络合设,则不执行此步骤;
步骤8、非3GPP接入网向UE返回EAP-Success消息。
其中,为了确保UE是合法的UE,UE还可在EAP-RSP/Identity消息中携带加密后的IMSI、IMEI或签名。
另外,该实施方式中,不需要扩展UE和非3GPP接入网之间的协议。
上述UE还可以通过一协议请求消息向接入网发送上述临时标识,例如:步骤201中的接入网可以是包括N3ASF的接入网,UE已经通过3GPP接入网连接核心网,可以如图6所示,包括以下步骤:
步骤1、UE向N3ASF发送N3-AS请求消息,消息中包括UE通过3GPP接入核心网时网络功能为其分配的临时标识;
步骤2、N3ASF根据临时标识得到分配该临时标识的网络功能,然后向网络功能发送NG2接口消息,消息中包括接入技术和临时标识;
步骤3、网络功能根据临时标识查找到UE的上下文,这说明UE已通过3GPP接入执行过认证过程,其向N3ASF返回NG2接口消息,消息中包括已认证提示信息。
步骤4、N3ASF向UE返回N3-AS回复消息,消息中包括已认证提示信息。
另外,为了确保UE是合法的UE,步骤1和2的消息中还可以包括加密后的IMSI、IMEI或签名
需要说明的是,本发明实施例中介绍的多种可选的实施方式中,彼此可以相互结合实现,也可以单独实现,对此本发明实施例不作限定。
本发明实施例,UE向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。这样UE只需要向接入网发送一临时标识,网络功能就可以根据临时标识判断UE是否已认证,从而可以避免了UE每通过一接入网连接到核心网时,都需要执行认证过程,以减少信令浪费。
请参阅图7,图7是本发明实施例提供的另接入认证方法,如图7所示,包括以下步骤:
701、接入设备接收UE发送的一临时标识;
702、接入设备向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述UE是否已认证。
需要说明的是,上述接入设备可以是图2所示的实施例中步骤201中的接入网中的接入设备,其中,图2所示的实施例中步骤201中的接入网的任意实施方式都可以实现该接入设备实体,此处不作赘述。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识,其中,所述其他接入网不包括所述接入设备。
可选的,所述方法还包括:
若所述网络功能根据所述临时标识查找到所述UE的上下文,则表示所述UE已认证,所述接入设备接收所述网络功能发送的所述UE已认证的提示信息。
可选的,所述接入设备还接收有所述UE发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述UE进行认证。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
需要说明的是,本实施例作为与图2-6所示的实施例中对应的接入网(步骤201中的接入网)的实施方式,其具体的实施方式可以参见图2-6所示的实施例的相关说明,以为避免重复说明,本实施例不再赘述。本实施例中,同样可以实现减少信令浪费。
请参见图8,图中示出一种UE结构,如图8所示,UE800包括如下模块:
发送模块801,用于向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识。
可选的,如图9所示,UE800还包括:
第一执行模块802,用于若所述UE未认证,执行所述网络功能发起的认证过程,其中,所述UE未认证为所述网络功能根据所述临时标识没有查找到所述UE的上下文。
可选的,所述UE还向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述UE合法性。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
可选的,如图10所示,UE800还包括:
第二执行模块803,用于若所述验证不通过,执行所述网络功能发起的认证过程;或者
第一接收模块804,用于若所述验证不通过,接收所述网络功能通过所述UE已经连接的接入网发送的新的标识;或者
第二接收模块805,用于若所述验证不通过,接收所述网络功能返回的拒绝消息。
需要说明的是,本实施例中上述UE800可以是本发明实施例中方法实施例中任意实施方式的UE,本发明实施例中方法实施例中UE的任意实施方式都可以被本实施例中的上述UE800所实现,以及达到相同的有益效果,此处不再赘述。
请参见图11,本发明实施例提供一种接入设备,如图11所示,接入设备1100包括以下模块:
第一接收模块1101,用于接收UE发送的一临时标识;
发送模块1102,用于向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述UE是否已认证。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识,其中,所述其他接入网不包括所述接入设备。
可选的,如图12所示,接入设备1100还包括:
第二接收模块1103,用于若所述网络功能根据所述临时标识查找到所述UE的上下文,则表示所述UE已认证,接收所述网络功能发送的所述UE已认证的提示信息。
可选的,所述接入设备还接收有所述UE发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述UE进行认证。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
需要说明的是,本实施例中上述接入设备1100可以是本发明实施例中方法实施例中任意实施方式的接入设备,本发明实施例中方法实施例中接入设备的任意实施方式都可以被本实施例中的上述接入设备1100所实现,以及达到相同的有益效果,此处不再赘述。
参见图13,图中示出一种UE的结构,该UE包括:处理器1300、收发机1310、存储器1320、用户接口1330和总线接口,其中:
处理器1300,用于读取存储器1320中的程序,执行下列过程:
通过收发机1310向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述UE是否已认证。
其中,收发机1310,用于在处理器1300的控制下接收和发送数据。
在图13中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1300代表的一个或多个处理器和存储器1320代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1310可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1330还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1300负责管理总线架构和通常的处理,存储器1320可以存储处理器1300在执行操作时所使用的数据。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识。
可选的,处理器1300还用于:
若所述UE未认证,执行所述网络功能发起的认证过程,其中,所述UE未认证为所述网络功能根据所述临时标识没有查找到所述UE的上下文。
可选的,处理器1300还通过收发机1310向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述UE合法性。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
可选的,处理器1300还用于:
若所述验证不通过,执行所述网络功能发起的认证过程;或者
若所述验证不通过,接收所述网络功能通过所述UE已经连接的接入网发送的新的标识;或者
若所述验证不通过,所述UE通过所述接入网连接核心网的请求被所述网络功能拒绝。
需要说明的是,本实施例中上述UE可以是本发明实施例中方法实施例中任意实施方式的UE,本发明实施例中方法实施例中UE的任意实施方式都可以被本实施例中的上述UE所实现,以及达到相同的有益效果,此处不再赘述。
参见图14,图中示出一种接入设备的结构,该接入设备包括:处理器1400、收发机1410、存储器1420、用户接口1430和总线接口,其中:
处理器1400,用于读取存储器1420中的程序,执行下列过程:
通过收发机1410接收UE发送的一临时标识;
通过收发机1410向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述UE是否已认证。
其中,收发机1410,用于在处理器1400的控制下接收和发送数据。
在图14中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1400代表的一个或多个处理器和存储器1420代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1410可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。针对不同的用户设备,用户接口1430还可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
处理器1400负责管理总线架构和通常的处理,存储器1420可以存储处理器1400在执行操作时所使用的数据。
可选的,所述临时标识为所述UE通过其他接入网连接核心网时,所述网络功能为所述UE分配的临时标识,其中,所述其他接入网不包括所述接入设备。
可选的,处理器1400还用于:
若所述网络功能根据所述临时标识查找到所述UE的上下文,则表示所述UE已认证,接收所述网络功能发送的所述UE已认证的提示信息。
可选的,处理器1400通过收发机1410还接收有所述UE发送的安全验证信息,且通过收发机1410还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述UE进行认证。
可选的,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
需要说明的是,本实施例中上述接入设备可以是本发明实施例中方法实施例中任意实施方式的接入设备,本发明实施例中方法实施例中接入设备的任意实施方式都可以被本实施例中的上述接入设备所实现,以及达到相同的有益效果,此处不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露方法和装置,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述收发方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (22)
1.一种接入认证方法,其特征在于,包括:
用户终端向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述用户终端是否已认证。
2.如权利要求1所述的方法,其特征在于,所述临时标识为所述用户终端通过其他接入网连接核心网时,所述网络功能为所述用户终端分配的临时标识。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
若所述用户终端未认证,所述用户终端执行所述网络功能发起的认证过程,其中,所述用户终端未认证为所述网络功能根据所述临时标识没有查找到所述用户终端的上下文。
4.如权利要求1-3中任一项所述的方法,其特征在于,所述用户终端还向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述用户终端合法性。
5.如权利要求4所述的方法,其特征在于,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
若所述验证不通过,所述用户终端执行所述网络功能发起的认证过程;或者
若所述验证不通过,所述用户终端接收所述网络功能通过所述用户终端已经连接的接入网发送的新的标识;或者
若所述验证不通过,所述用户终端接收所述网络功能返回的拒绝消息。
7.一种接入认证方法,其特征在于,包括:
接入设备接收用户终端发送的一临时标识;
所述接入设备向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述用户终端是否已认证。
8.如权利要求7所述的方法,其特征在于,所述临时标识为所述用户终端通过其他接入网连接核心网时,所述网络功能为所述用户终端分配的临时标识,其中,所述其他接入网不包括所述接入设备。
9.如权利要求8所述的方法,其特征在于,所述方法还包括:
若所述网络功能根据所述临时标识查找到所述用户终端的上下文,则表示所述用户终端已认证,所述接入设备接收所述网络功能发送的所述用户终端已认证的提示信息。
10.如权利要求7-9中任一项所述的方法,其特征在于,所述接入设备还接收有所述用户终端发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述用户终端进行认证。
11.如权利要求10所述的方法,其特征在于,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
12.一种用户终端,其特征在于,包括:
发送模块,用于向接入网发送一临时标识,以使所述接入网向网络功能发送所述临时标识,由所述网络功能根据所述临时标识判断所述用户终端是否已认证。
13.如权利要求12所述的用户终端,其特征在于,所述临时标识为所述用户终端通过其他接入网连接核心网时,所述网络功能为所述用户终端分配的临时标识。
14.如权利要求12所述的用户终端,其特征在于,所述用户终端还包括:
第一执行模块,用于若所述用户终端未认证,执行所述网络功能发起的认证过程,其中,所述用户终端未认证为所述网络功能根据所述临时标识没有查找到所述用户终端的上下文。
15.如权利要求12-14中任一项所述的用户终端,其特征在于,所述用户终端还向所述接入网发送有安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息判断所述用户终端合法性。
16.如权利要求15所述的用户终端,其特征在于,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
17.如权利要求15所述的用户终端,其特征在于,所述用户终端还包括:
第二执行模块,用于若所述验证不通过,执行所述网络功能发起的认证过程;或者
第一接收模块,用于若所述验证不通过,接收所述网络功能通过所述用户终端已经连接的接入网发送的新的标识;或者
第二接收模块,用于若所述验证不通过,接收所述网络功能返回的拒绝消息。
18.一种接入设备,其特征在于,包括:
第一接收模块,用于接收用户终端发送的一临时标识;
发送模块,用于向网络功能发送所述临时标识,以使所述网络功能根据所述临时标识判断所述用户终端是否已认证。
19.如权利要求18所述的接入设备,其特征在于,所述临时标识为所述用户终端通过其他接入网连接核心网时,所述网络功能为所述用户终端分配的临时标识,其中,所述其他接入网不包括所述接入设备。
20.如权利要求19所述的接入设备,其特征在于,所述接入设备还包括:
第二接收模块,用于若所述网络功能根据所述临时标识查找到所述用户终端的上下文,则表示所述用户终端已认证,接收所述网络功能发送的所述用户终端已认证的提示信息。
21.如权利要求18-20中任一项所述的接入设备,其特征在于,所述接入设备还接收有所述用户终端发送的安全验证信息,且所述接入网还向所述网络功能发送有所述安全验证信息,以使所述网络功能根据安全验证信息对所述用户终端进行认证。
22.如权利要求21所述的接入设备,其特征在于,所述安全验证信息包括如下一项或者多项:
加密的标识、加密的请求消息或者签名。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610676117.0A CN107770770A (zh) | 2016-08-16 | 2016-08-16 | 一种接入认证方法、ue和接入设备 |
| PCT/CN2017/095922 WO2018032984A1 (zh) | 2016-08-16 | 2017-08-04 | 一种接入认证方法、ue和接入设备 |
| TW106126677A TWI641271B (zh) | 2016-08-16 | 2017-08-08 | 一種存取認證方法、ue和存取設備 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610676117.0A CN107770770A (zh) | 2016-08-16 | 2016-08-16 | 一种接入认证方法、ue和接入设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107770770A true CN107770770A (zh) | 2018-03-06 |
Family
ID=61196332
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610676117.0A Pending CN107770770A (zh) | 2016-08-16 | 2016-08-16 | 一种接入认证方法、ue和接入设备 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN107770770A (zh) |
| TW (1) | TWI641271B (zh) |
| WO (1) | WO2018032984A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110798833B (zh) * | 2018-08-03 | 2023-10-24 | 华为技术有限公司 | 一种鉴权过程中验证用户设备标识的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN101835155A (zh) * | 2010-03-31 | 2010-09-15 | 中兴通讯股份有限公司 | 一种终端接入融合网络的方法及*** |
| CN104506406A (zh) * | 2011-11-03 | 2015-04-08 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| CN104871511A (zh) * | 2012-12-19 | 2015-08-26 | 瑞典爱立信有限公司 | 通过标签加注进行设备认证 |
| CN104902473A (zh) * | 2014-04-21 | 2015-09-09 | 孟俊 | 一种基于cpk标识认证的无线网络接入认证的方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067337B (zh) * | 2011-10-19 | 2017-02-15 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及*** |
| CN105451284A (zh) * | 2014-07-10 | 2016-03-30 | 华为技术有限公司 | 用于网络切换的方法及装置 |
-
2016
- 2016-08-16 CN CN201610676117.0A patent/CN107770770A/zh active Pending
-
2017
- 2017-08-04 WO PCT/CN2017/095922 patent/WO2018032984A1/zh active Application Filing
- 2017-08-08 TW TW106126677A patent/TWI641271B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808321A (zh) * | 2009-02-16 | 2010-08-18 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN101835155A (zh) * | 2010-03-31 | 2010-09-15 | 中兴通讯股份有限公司 | 一种终端接入融合网络的方法及*** |
| CN104506406A (zh) * | 2011-11-03 | 2015-04-08 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| CN104871511A (zh) * | 2012-12-19 | 2015-08-26 | 瑞典爱立信有限公司 | 通过标签加注进行设备认证 |
| CN104902473A (zh) * | 2014-04-21 | 2015-09-09 | 孟俊 | 一种基于cpk标识认证的无线网络接入认证的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI641271B (zh) | 2018-11-11 |
| WO2018032984A1 (zh) | 2018-02-22 |
| TW201808028A (zh) | 2018-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106664554B (zh) | 认证凭证的安全配置 | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| CN108848112B (zh) | 用户设备ue的接入方法、设备及*** | |
| CN102783080B (zh) | 安全多uim认证与密钥交换 | |
| CN100544478C (zh) | 移动通信***中处理安全消息的方法 | |
| TWI425802B (zh) | 確保無線通信安全的無線發射/接收單元及方法 | |
| CN105227537A (zh) | 用户身份认证方法、终端和服务端 | |
| MX2007009705A (es) | Metodo y aparato para proporcionar procedimientos de carga inicial en una red de comunicacion. | |
| CN101406021A (zh) | 基于sim的认证 | |
| CN105323754B (zh) | 一种基于预共享密钥的分布式鉴权方法 | |
| CN108880813A (zh) | 一种附着流程的实现方法及装置 | |
| Rosa | Bypassing passkey authentication in bluetooth low energy | |
| CN100571460C (zh) | 安全漫游的方法和装置 | |
| CN107820242A (zh) | 一种认证机制的协商方法及装置 | |
| CN103391540A (zh) | 密钥信息生成方法及***、终端设备、接入网设备 | |
| CN106465109A (zh) | 蜂窝网络认证 | |
| CN107209817A (zh) | 验证方法 | |
| CN103312678A (zh) | 一种客户端安全登录方法、装置及*** | |
| EP3163831B1 (en) | Secure pairing with help of challenge-response-test image | |
| Baek et al. | Secure and lightweight authentication protocol for NFC tag based services | |
| CN102892114A (zh) | 一种设备合法性检验的方法及装置 | |
| CN104901796A (zh) | 一种认证方法和设备 | |
| CN107770770A (zh) | 一种接入认证方法、ue和接入设备 | |
| CN108574657A (zh) | 接入服务器的方法、装置、***以及计算设备和服务器 | |
| CN114765805A (zh) | 一种通信方法、网络设备、基站及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180306 |
|
| RJ01 | Rejection of invention patent application after publication |