WO2010075745A1

WO2010075745A1 - 鉴权处理方法和***、3gpp认证授权计费服务器及用户设备

Info

Publication number: WO2010075745A1
Application number: PCT/CN2009/075880
Authority: WO
Inventors: 何承东
Original assignee: 华为技术有限公司
Priority date: 2009-01-05
Filing date: 2009-12-23
Publication date: 2010-07-08
Also published as: CN101772020A; US20110265146A1; CN101772020B; US9137660B2

Description

Title of Invention 器及用户设备

[i] 本申请要求如下***专利申请的优先权：

[2] 中国专利申请 1、 2009年 1月 5日提交至中国专利局，申请号为 200910001518.6，发明名称为"鉴权处理方法和***、 3GPP认证授权计费服务器及用户设备"；

[3] 中国专利申请 2、 2009年 5月 4日提交至中国专利局，申请号为 200910139346.9，发明名称为"鉴权处理方法和***、 3GPP认证授权计费服务器及用户设备"；

[4] 上述***专利申请的全部内容通过引用结合在本申请中。

[5] 技术领域

[6] 本发明涉及移动通信技术领域，特别涉及一种鉴权处理方法和***、 3GPP认证授权计费服务器及用户设备。

[7] 发明背景

[8] 第三代合作伙伴计划 (3rd Generation Partnership Project, 3GPP) ***中的认证授权计费 (Authentication Authorization Accounting, AAA) 服务器在网络中的作用之一为：该 3GPP AAA服务器从用户或家庭设备接收认证请求消息，然后对用户设备或家庭设备完成认证授权的处理。图 1为现有技术用户设备接入 3GPP AAA服务器的接口示意图。如图 1所示，用户设备通过不同的网络设备接入 3GP P AAA服务器的接口所支持的认证方式是不同的，其中：

Wa接口支持可扩展的认证协议 -用户识别模块 (Extensible Authentication

Protocol - Subscriber Identify Modules， EAP-SIM) 认证或者可扩展的认证协议- 认证与密钢协商 (EAP - Authentication and Key Agreement, EAP-AKA) 认证；

[10] Wm接口支持基于 Internet密钥交换 (Internet Key

Exchange， IKE) V2的 EAP-SIM认证或基于 IKE V2的 EAP-AKA认证；

[11] SWm接口支持基于 IKE V2的 EAP-AKA认证；

[12] STa接口支持 ΕΑΡ-ΑΚΑ'认证' 该 EAP-AKA，认证可以认为是对 EAP-AKA认证进行了小的修正后的一种新的认证方式； [13] SWa接口支持 EAP-AKA认证或者 EAP-AKA'认证；

[14] S6b接口支持基于 IKE V2的 EAP-AKA认证；

[15] 安全网关（SeGW) 与 3GPP AAA服务器之间的接口名称还没有定义，该接口支持基于 IKE V2的 EAP-AKA认证；

[16] Wd/SWd接口为在漫游情况下，上述接口发送的消息都要通过 3GPP AAA代理与 3GPP AAA服务器之间的该 Wd/SWd接口转发，因此该 Wd/SWd接口支持上述所有的认证方式。

[17] 发明人在实现本发明的过程中，发现现有技术至少存在以下缺点：当 3GPP

AAA服务器同吋支持上述图 1中的所有接口或部分接口的认证吋，部分认证方式不能被 3GPP AAA服务器所区分，那么当 3GPP AAA服务器从这些接口接收到认证请求消息后，由于无法识别是哪一种认证方式，从而无法进行进一步的鉴权处理。

[18] 发明内容

[19] 本发明实施例提供一种鉴权处理方法和***、 3GPP认证授权计费服务器及用户设备，使得 3GPP AAA服务器可以区分各种认证方式。

[20] 根据本发明实施例的一方面，提供了一种鉴权处理方法，包括：

[21] 接收认证请求消息，所述认证请求消息中携带认证方式指示信息；

[22] 根据所述认证方式指示信息，确定认证方式；

[23] 根据所述认证方式进行相应的鉴权处理。

[24] 根据本发明实施例的另一方面，提供了一种 3GPP认证授权计费服务器，包括

[25] 接收模块，用于接收认证请求消息，所述认证请求消息中携带认证方式指示信息；

[26] 确定模块，用于根据所述认证方式指示信息，确定认证方式；

[27] 鉴权处理模块，用于根据所述认证方式进行相应的鉴权处理。

[28] 根据本发明实施例的另一方面，提供了一种用户设备，包括：

[29] 消息构造模块，用于构造携带认证方式指示信息的认证请求消息；

[30] 发送模块，用于通过网络设备向 3GPP认证授权计费服务器发送所述消息构造模块构造的所述认证请求消息。

[31] 根据本发明实施例的另一方面，提供了一种鉴权处理***，包括：如上所述的 3GPP认证授权计费服务器；以及网络设备，用以使上述用户设备通过所述网络设备接入所述 3GPP认证授权计费服务器。

[32] 由以上技术方案可知，本发明实施例提供的鉴权处理方法和***、 3GPP认证授权计费服务器及用户设备，通过在用户设备发送的认证请求消息中携带具有不同的参数值的认证方式指示信息，使得 3GPP认证授权计费服务器可以区分不同的认证方式，并根据其确定的认证方式进行相应的鉴权处理。

[33] 附图简要说明

[34] 图 1为现有技术用户设备接入 3GPP AAA服务器的接口示意图；

[35] 图 2为本发明鉴权处理方法第一实施例示意图；

[36] 图 3为本发明鉴权处理方法第二实施例示意图；

[37] 图 4为本发明鉴权处理方法第三实施例示意图；

[38] 图 5为本发明 3GPP认证授权计费服务器实施例的结构示意图；

[39] 图 6为本发明用户设备实施例的结构示意图；

[40] 图 7为本发明鉴权处理***实施例的结构示意图。

[41] 实施本发明的方式

[42] 下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

[43] 图 2为本发明鉴权处理方法第一实施例示意图。如图 2所示，包括如下步骤：

[44] 步骤 201、接收认证请求消息，该认证请求消息中携带认证方式指示信息；

[45] 步骤 202、根据认证方式指示信息，确定认证方式；

[46] 步骤 203、根据认证方式进行相应的鉴权处理。

其中， 3GPP认证授权计费（AAA) 服务器从图 1所示的各个接口接收用户设备发送的认证请求消息，其中认证请求消息中携带认证方式指示信息，所述认证方式指示信息可以为：网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数。根据认证方式指示信息不同的参数值， 3GPP AAA服务器确定其接收到的认证请求消息所请求的认证方式，可以包括 EAP-SIM认证、 EAP-AKA认证、 EAP-AKA，认证、基于 IKE V2的 EAP-SIM 认证、基于 IKE V2的 EAP-AKA认证或者表示是对家庭基站的认证（例如设备认证 (Device authentication) 或者宿主认证 (Host part

authentication) 等）等； 3GPP AAA服务器确定认证方式后，对不同的认证方式进行不同的鉴权处理。

[48] 本实施例提供的鉴权处理方法，通过在认证请求消息中携带具有不同的参数值的认证方式指示信息，使得 3GPP AAA服务器可以区分不同的认证方式，并针对不同的认证方式进行不同的鉴权处理。

[49] 图 3为本发明鉴权处理方法第二实施例示意图，如图 3所示，包括如下步骤：

[50] 步骤 301、接收认证请求消息，该认证请求消息中携带网络接入标识（Network Access Identifier, NAl) 格式的用户身份标识参数。

其中该网络接入标识（Network Access Identifier, NAl) 格式的用户身份标识参数为认证方式指示信息，该参数的具体设置如下：

①对于无线局域网 (Wireless Local Area

Network, WLAN) 网络，如图 1中的 WLAN接入网和分组数据网关（Packet Date Gateway, PDG) ：

NAl格式： 0<IMSI>@ wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示 EAP-A

KA认证；

NAl格式： 1<IMSI>@ wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示 EAP-SI

M认证；

NAl格式： 2<IMSI>@ wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示基于 IK E V2的 EAP-AKA认证；

NAl格式： 3<IMSI>@ wlan.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示基于 IK E V2的 EAP-SIM认证。

②对于演进分组*** （Evolved Packet

System, EPS) ，如图 1中的演进 PDG (ePDG) 、可信 3GPP接入网、非可信 3GP P接入网、分组数据网络网关 (Packet Date Network Gateway, PDN GW) 等： [58] NAI格式： 0<IMSI>@epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示 EAP-AK

A认证；

[59] NAI格式： l<IMSI>@epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示 EAP-AK

A,认证；

[60] NAI格式： 2<IMSI>@epc.mnc<MNC>.mcc<MCC>.3gppnetwork.org表示基于 IKE V2的 EAP-AKA认证。

[61] ③对于 H(e)NB，如图 1中通过安全网关（Security Gateway, SeGW) 接入： [62] NAI格式： 2<IMSI>@HAP.mnc<MNC>.mcc<MCC>.3gppnetwork.org

表示基于 IKE V2的 EAP-AKA认证或者是表示对家庭基站的认证。

[63] 需要说明的是，上述 NAI格式的用户身份标识参数作为认证方式指示信息的具体举例，并非对该认证方式指示信息的限制，也可以釆用其他格式的参数来表示该认证方式指示信息。

[64] 步骤 302、根据上述 NAI格式的用户身份标识参数，确定认证方式。

[65] 步骤 303、根据认证方式进行相应的鉴权处理。

[66] 下面对各种认证方式的进一步鉴权处理做详细说明：

[67] 对于基于 IKE V2的 EAP-SIM认证，进行相应的鉴权处理具体包括：

[68] 步骤 3031a、检査 3GPP AAA服务器中是否存在未使用鉴权矢量（Authentication

Vector, AV) ，若存在，执行步骤 3032a，否则执行步骤 3033a;

[69] 步骤 3032a、通过未使用 AV进行鉴权处理，结束；

[70] 步骤 3033a、与归属地服务设备交互获取新的 AV进行鉴权处理，其中的归属地服务设备可以为归属位置寄存器（Home Location Register, HLR) 或归属地签约用户服务器（Home Subscriber Server, HSS) ，结束。

[71] 对于基于 IKE V2的 EAP-AKA认证或者是表示对家庭基站的认证，进行相应的鉴权处理具体包括：

[72] 步骤 303 lb、检査 3GPP

AAA服务器中是否存在未使用 AV, 若存在，执行步骤 3032b，否则执行步骤 303

5b; 步骤 3032b、判断未使用 AV中的鉴权令牌（Authentication Token, AUTN) 中的认证管理域 (Authentication Management Field, AMF) 的分离位 (Separation bit) 是否置位，若没有置位，即 AMF的分离位为 0，则执行步骤 3033b，否则执行步骤 3034b;

[74] 其中，每个 AV中包括随机数（RAND) 、期望得到的响应（XRES) 、加密密钥（CK) 、完整性密钥（IK) 和 AUTN五部分；计算 AUTN吋需要利用 AMF作为输入参数， AMF中的一个或多个比特位定义为分离位； AMF的分离位置位即 AMF的分离位为 1， AMF的分离位未置位即 AMF的分离位为 0。

[75] 步骤 3033b、通过未使用 AV进行鉴权处理，结束；

[76] 步骤 3034b、进行异常处理，结束；

[77] 步骤 3035b、 3GPP

AAA服务器与归属地服务设备交互吋，发送一个表示是基于 IKE V2的 EAP-AKA 认证或者表示是对家庭基站进行认证的第一指示，其中的归属地服务设备可以为 HLR或 HSS;

[78] 步骤 3036b、归属地服务设备根据该第一指示，产生新的 AV中的 AUTN中的 A MF的分离位不置位，即 AMF的分离位为 0，并将新的 AV返回给 3GPP AAA服务器；

[79] 步骤 3037b、 3GPP AAA服务器获取该新的 AV进行鉴权处理，结束。

[80] 上述基于 IKE V2的 EAP-SIM认证或者基于 IKE V2的 EAP-AKA认证，由于 IKE 协议本身提供了加密 /认证 /防重放的安全服务，因此 3GPP AAA Server不需要要求用户设备（UE) 重新发送其身份标识以验证用户设备。

[81] 对于 EAP-SIM认证，进行相应的鉴权处理具体包括：

[82] 步骤 3031c、再次向用户设备获取其用户身份标识；

[83] 步骤 3032c、判断再次获取的用户身份标识与认证请求消息中的用户身份标识是否相同，若相同，执行步骤 3033c, 否则结束；

[84] 步骤 3033c、检査 3GPP

AAA服务器中是否存在未使用 AV, 若存在，执行步骤 3034c, 否则执行步骤 303

5c; [85] 步骤 3034c、通过未使用 AV进行鉴权处理，结束；

[86] 步骤 3035c、与归属地服务设备交互获取新的 AV进行鉴权处理，其中的归属地服务设备可以为 HLR或 HSS，结束。

[87] 对于 EAP-AKA认证，进行相应的鉴权处理具体包括：

[88] 步骤 3031d、再次向用户设备获取其用户身份标识；

[89] 步骤 3032d、判断再次获取的用户身份标识与认证请求消息中的用户身份标识是否相同，若相同，执行步骤 3033d，否则结束；

[90] 步骤 3033d、检査 3GPP

AAA服务器中是否存在未使用 AV, 若存在，执行步骤 3034d，否则执行步骤 303

7d;

[91] 步骤 3034d、判断未使用 AV中的 AUTN中的 AMF的分离位是否置位，若没有置位，即 AMF的分离位为 0，则执行步骤 3035d，否则执行步骤 3036d;

[92] 步骤 3035d、通过未使用 AV进行鉴权处理，结束；

[93] 步骤 3036d、进行异常处理，结束；

[94] 步骤 3037d、与归属地服务设备交互获取新的 AV进行鉴权处理，其中的归属地服务设备可以为 HLR或 HSS，结束。

[95] 对于 EAP-AKA'认证，进行相应的鉴权处理具体包括：

[96] 步骤 3031e、再次向用户设备获取其用户身份标识；

[97] 步骤 3032e、判断再次获取的用户身份标识与认证请求消息中的用户身份标识是否相同，若相同，执行步骤 3033e，否则结束；

[98] 步骤 3033e、检査 3GPP

AAA服务器中是否存在未使用 AV, 若存在，执行步骤 3034e，否则执行步骤 303

7e_;

[99] 步骤 3034e、判断未使用 AV中的 AUTN中的 AMF的分离位是否置位，若置位，即 AMF的分离位为 1，则执行步骤 3035e，否则执行步骤 3036e;

[100] 步骤 3035e、通过未使用 AV进行鉴权处理，结束；

[101] 步骤 3036e、进行异常处理，结束；

[102] 步骤 3037e、 3GPP AAA服务器与归属地服务设备交互吋，发送一个表示是 EAP-AKA'认证的第二指示，其中的归属地服务设备可以为 HLR或 HSS;

[103] 步骤 3038e、归属地服务设备根据该第二指示，产生新的 AV中的 AUTN中的 A MF的分离位置位，即 AMF的分离位为 1，并将新的 AV返回给 3GPP AAA服务器

[104] 步骤 3039e、 3GPP AAA服务器获取该新的 AV进行鉴权处理，结束。

[105] 本实施例提供的鉴权处理方法，通过在认证请求消息中携带具有不同的参数值的认证方式指示信息，使得 3GPP AAA服务器可以区分不同的认证方式，并详细说明了针对不同的认证方式进行的具体的鉴权处理。

[106] 图 4为本发明鉴权处理方法第三实施例示意图，如图 4所示，包括如下步骤： [107] 步骤 401、 3GPP AAA服务器接收认证请求消息，该认证请求消息中携带自定义标识参数。

[108] 其中，所述自定义标识参数为在认证请求消息中新增加的参数信息，并把该自定义标识参数作为认证方式指示信息。例如该自定义标识参数可以在认证方式指示信息的某些字段处定义为： 0表示 EAP-AKA认证、 1表示 EAP-SIM认证、 2表示基于 IKE V2的 EAP-AKA认证、 3表示基于 IKE

V2的 EAP-SIM认证、 4表示 EAP-AKA'认证等形式。

[109] 步骤 402、 3GPP AAA服务器根据上述自定义标识参数，确定认证方式。

[110] 步骤 403、 3GPP AAA服务器根据认证方式进行相应的鉴权处理。

[111] 其中步骤 403中对上述认证方式所做的鉴权处理如上述实施例中所描述，在此不再赞述。

[112] 需要说明的是，也可以釆用其他格式的参数来表示该认证方式指示信息。例如，如果发现认证请求消息中含有接入网络标识参数或者接入网络类型参数，就认为是 EAP-AKA'认证方式。

[113] 另外， 3GPP AAA服务器还可以根据认证请求消息中的 NAI格式的用户身份标识参数和接入网络标识参数确定是否 EAP-AKA'认证方式；或者，根据认证请求消息中的 NAI格式的用户身份标识参数和接入网络类型参数确定是否 EAP-AKA' 认证方式。 [114] 本实施例提供的鉴权处理方法，通过在认证请求消息中携带具有不同的参数值的认证方式指示信息，使得 3GPP AAA服务器可以区分不同的认证方式，并进行相应的鉴权处理。

[115] 图 5为本发明 3GPP认证授权计费服务器实施例的结构示意图。如图 5所示，该 3 GPP AAA服务器包括：接收模块 51、确定模块 52、鉴权处理模块 53。其中接收模块 51用于接收认证请求消息，该认证请求消息中携带认证方式指示信息；确定模块 52用于根据接收模块 51接收到的认证方式指示信息，确定认证方式；鉴权处理模块 53用于根据确定模块 52确定的认证方式进行相应的鉴权处理。

[116] 其中，认证方式指示信息可以为：网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数。

[117] 其中' 认证方式可以包括有： EAP-SIM认证、 EAP-AKA认证、 EAP-AKA，认证、基于 IKE V2的 EAP-SIM认证、基于 IKE V2的 EAP-AKA认证和表示是对家庭基站的认证中的至少一种认证方式。

[118] 其中，若上述至少一种认证方式中包括有 EAP-AKA'认证、基于 IKE

V2的 EAP-AKA认证或者表示是对家庭基站的认证，则该 3GPP AAA服务器中的鉴权处理模块 53中还可以包括：发送模块 531，用于在 3GPP AAA服务器与归属地服务设备交互吋，发送表示是 EAP-AKA'认证、基于 IKE V2的 EAP-AKA认证或者对家庭基站进行认证的指示至归属地服务设备；获取模块 532，用于从归属地服务设备获取该归属地服务设备根据所述指示产生的鉴权矢量，并进行鉴权处理。

[119] 本实施例提供的 3GPP认证授权计费服务器通过确认认证方式进行相应的鉴权处理的过程如上述鉴权处理方法实施例中所描述，在此不再赞述。

[120] 本实施例提供的 3GPP认证授权计费服务器，可以通过在认证请求消息中携带具有不同的参数值的认证方式指示信息，使得该 3GPP认证授权计费服务器可以区分不同的认证方式，并针对不同的认证方式进行鉴权处理。

[121] 图 6为本发明用户设备实施例的结构示意图。该用户设备包括：消息构造模块 6 1以及发送模块 62。其中，消息构造模块 61，用于构造携带认证方式指示信息的认证请求消息；发送模块 62，用于通过网络设备向 3GPP认证授权计费服务器发送消息构造模块 61构造的认证请求消息。其中认证方式指示信息可以为网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数。

[122] 本实施例提供的用户设备通过构造认证请求消息，然后发送至 3GPP认证授权计费服务器，从而由 3GPP认证授权计费服务器确认认证方式并进行相应的鉴权处理的过程如上述鉴权处理方法实施例中所描述，在此不再赞述。

[123] 本实施例提供的用户设备，可以通过构造携带认证方式指示信息的认证请求消息，并将其发送到 3GPP认证授权计费服务器，使得该 3GPP认证授权计费服务器可以区分不同的认证方式，并针对不同的认证方式进行鉴权处理。

[124] 图 7为本发明鉴权处理***实施例的结构示意图。如图 7所示，包括：如上述图 5所描述的 3GPP认证授权计费服务器 7; 以及网络设备 8，用以使如上述图 6所描述的用户设备通过该网络设备 8接入该 3GPP认证授权计费服务器 7。其中接入该 3 GPP认证授权计费服务器 7的网络设备 8及其接口可以是如图 1所举例的几种，网络设备 8可以为 PDG、 ePDG、可信 3GPP接入网、非可信 3GPP接入网、安全网关等设备。

[125] 本实施例提供的鉴权处理***，可以根据接收的认证请求消息中携带的具有不同参数值的认证方式指示信息，使得该鉴权处理***可以区分不同的认证方式，并针对不同的认证方式进行不同的鉴权处理。

[126] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可获取存储介质中，该程序在执行吋，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only

Memory, ROM) 或随机存储记忆体 (Random Access Memory, RAM) 等。

[127] 最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制; 尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

权利要求书

[Claim 1] 一种鉴权处理方法，其特征在于，包括：

接收认证请求消息，所述认证请求消息中携带认证方式指示信息根据所述认证方式指示信息，确定认证方式；根据所述认证方式进行相应的鉴权处理。

[Claim 2] 根据权利要求 1所述的方法，其特征在于，所述认证方式指示信息为网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数；

且所述根据所述认证方式指示信息，确定认证方式具体包括：根据所述网络接入标识格式的用户身份标识参数，确定认证方式；或者

根据所述自定义标识参数，确定认证方式；或者

根据所述接入网络标识参数，确定认证方式；或者

根据所述接入网络类型参数，确定认证方式。

[Claim 3] 根据权利要求 1或 2所述的方法，其特征在于，所述认证方式具体包括以下认证方式中的至少一种：

可扩展的认证协议-用户识别模块 EAP-SIM认证、可扩展的认证协议 -认证与密钥协商 EAP-AKA认证、 EAP-AKA'认证、基于 Internet 密钥交换 IKE V2的 EAP-SIM认证、基于 IKE V2的 EAP-AKA认证或者表示对家庭基站的认证。

[Claim 4] 根据权利要求 3所述的方法，其特征在于，对所述基于 IKE

V2的 EAP-AKA认证或者表示对家庭基站的认证，所述进行相应的鉴权处理具体包括：

与归属地服务设备交互吋，发送表示是基于 IKE V2的 EAP-AKA认证或者对家庭基站进行认证的第一指示；

获取所述归属地服务设备根据所述第一指示产生的鉴权矢量，并进行鉴权处理。根据权利要求 3所述的方法，其特征在于，对所述 EAP-AKA'认证，所述进行相应的鉴权处理具体包括：

与归属地服务设备交互吋，发送表示是 EAP-AKA'认证的第二指示获取所述归属地服务设备根据所述第二指示产生的鉴权矢量，并进行鉴权处理。

一种 3GPP认证授权计费服务器，其特征在于，包括：

接收模块，用于接收认证请求消息，所述认证请求消息中携带认证方式指示信息；

确定模块，用于根据所述接收模块接收到的所述认证方式指示信息，确定认证方式；

鉴权处理模块，用于根据所述确定模块确定的所述认证方式进行相应的鉴权处理。

根据权利要求 6所述的 3GPP认证授权计费服务器，其特征在于，所述认证方式指示信息为网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数。根据权利要求 6所述的 3GPP认证授权计费服务器，其特征在于，所述认证方式具体包括以下认证方式中的至少一种：

可扩展的认证协议-用户识别模块 EAP-SIM认证、可扩展的认证协议-认证与密钥协商 EAP-AKA认证、 ΕΑΡ-ΑΚΑ'认证、基于 Internet 密钥交换 IKE V2的 EAP-SIM认证、基于 IKE V2的 EAP-AKA认证或者表示是对家庭基站的认证。

根据权利要求 8所述的 3GPP认证授权计费服务器，其特征在于，所述鉴权处理模块包括：

发送模块，用于在 3GPP认证授权计费服务器与归属地服务设备交互吋，发送表示是基于 IKE V2的 EAP-AKA认证或者对家庭基站进行认证或者 EAP-AKA'认证的指示至归属地服务设备；

获取模块，用于从所述归属地服务设备获取该服务设备根据所述指示产生的鉴权矢量，并进行鉴权处理。

一种用户设备，其特征在于，包括：

消息构造模块，用于构造携带认证方式指示信息的认证请求消息发送模块，用于通过网络设备向 3GPP认证授权计费服务器发送所述消息构造模块构造的所述认证请求消息。

根据权利要求 10所述的用户设备，其特征在于，所述认证方式指示信息为网络接入标识格式的用户身份标识参数或自定义标识参数或接入网络标识参数或接入网络类型参数。

一种鉴权处理***，其特征在于，包括：如权利要求 6至 9任一项所述的 3GPP认证授权计费服务器；以及网络设备，用以使如权利要求 10或 11所述的用户设备通过所述网络设备接入所述 3GPP认证授权计费服务器。