WO2011032515A1

WO2011032515A1 - 认证处理方法及装置

Info

Publication number: WO2011032515A1
Application number: PCT/CN2010/077085
Authority: WO
Inventors: 毕晓宇; 张爱琴; 张冬梅
Original assignee: 华为技术有限公司
Priority date: 2009-09-21
Filing date: 2010-09-19
Publication date: 2011-03-24
Also published as: EP3531731B1; EP2472928A1; EP3242498B1; US20110072488A1; EP2472928B1; EP3242498A1; CN102025685B; BR112012006409B1; CN102025685A; EP2472928A4; BR112012006409A2; EP3531731A1; TR201902606T4; US9088616B2

Description

i人证处理方法置本申请要求于 2009 年 9 月 21 日提交中国专利局、申请号为 200910093828.5、发明名称为"认证处理方法及装置 "的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明实施例涉及通信领域，尤其涉及一种认证处理方法及装置。

背景技术非接入层（Non-Access Stratum, 简称： NAS )计数（COUNT )是长期演进（ Long Term Evolution，简称： LTE ) ***中安全上下文的一部分。在 LTE***中， NAS计数可作为密钥的生命周期，使密钥具有新鲜性；同时， NAS计数可以保证用户设备（ User Equipment，简称： UE ) 与网络侧密钥的同步，具有抗重放攻击的作用。每一套演进分组*** （Evolved Packet System, 简称： EPS )安全上下文包含两个独立的 NAS计数值：上行 NAS 计数值和下行 NAS计数值。这两个 NAS计数的计数器分别由 UE和移动管理实体（Mobility Management Entity, 简称： MME ) 来独立维护。

NAS计数有 32位，主要由两个部分组成： NAS序列号（ SQN )与 NAS 溢出值（OVERFLOW ), 其中 NAS序列号为 8位， NAS溢出值为 16位。 NAS序列号承载于每条 NAS消息中，当每一个新的或是重传的受到安全保护的 NAS消息发出后，发送端将会将 NAS序列号的值增加 1；当 NAS序列号增加到最大值，循环一圏时， NAS溢出值增加 1。

现有技术中，当 MME检测到下行的 NAS计数值即将环绕的时候，也就是 NAS计数值比较接近最大值 2²⁴时， MME将会触发一个新的 EPS认证和密钥协商 ( Authentication and Key Agreement, 简称： AKA ) 流程，建立新的安全上下文，并且当安全上下文被激活时将 NAS计数值初始化为 0。当 MME检测到 UE的上行 NAS计数值也接近到最大值时，也就是即将环绕时， MME会触发 EPS AKA流程。

现有技术如果执行 EPS AKA流程认证失败，就立即释放连接。这种安全处理过程浪费了资源。

发明内容本发明实施例提供了一种认证处理方法及装置，用以节省资源。

本发明实施例提供了另一种认证处理方法，包括：

在对用户设备执行认证和密钥协商流程失败的情况下，无线通信网络侧设备确定网络策略是否支持当前业务不认证，

若所述网络策略支持当前业务不认证，且所述当前业务为不需要进行认证的业务，则继续执行所述当前业务；或者

若所述网络策略支持当前业务不认证，且所述用户设备不具有执行认证和密钥协商流程的能力，则继续执行所述当前业务；或者

若所述网络策略支持当前业务不认证，且所述用户设备无***卡，则继续执行所述当前业务。

本发明实施例提供了另一种认证处理装置，包括：

执行模块，用于执行认证和密钥协商流程；

处理模块，位于无线通信网络侧设备内，包括：

第一判断单元，用于在对用户设备执行认证和密钥协商流程失败的情况下，确定网络策略是否支持当前业务不认证，

第二判断单元，用于在所述网络策略支持当前业务不认证的情况下，确定所述当前业务是否是需要进行认证的业务，或者所述用户设备是否具有执行认证和密钥协商流程的能力，或者所述用户设备是否具有***卡；执行单元，用于在所述第二判断单元判断为所述当前业务是不需要进行认证的业务，或者所述用户设备不具有执行认证和密钥协商流程的能力，或者所述用户设备不具有***卡的情况下况下，继续执行所述当前业务。本发明实施例中，如果执行 EPS AKA流程认证失败，不会立即释放连接，而是根据本地信息及网络策略释放连接或者继续执行当前业务，避免了释放没有必要进行释放的连接，节省了资源。

附图说明图 1为本发明实施例一认证处理方法的流程图

图 2为本发明实施例二认证处理方法的流程图

图 3为本发明实施例三认证处理方法的流程图

图 4为本发明实施例四认证处理方法的流程图

图 5为本发明实施例五认证处理方法的流程图

图 6为本发明实施例六认证处理方法的流程图

图 7为本发明实施例七认证处理方法的流程图

图 8为本发明实施例八认证处理装置的结构示意图；

图 9为本发明实施例九认证处理装置的结构示意图；

图 10为本发明实施例十认证处理装置的结构示意图；

图 11为本发明实施例十一认证处理装置的结构示意图；

图 12为本发明实施例十二认证处理装置的结构示意图；

图 13为本发明实施例十三认证处理装置的结构示意图。

具体实施方式下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。

图 1为本发明实施例一认证处理方法的流程图。如图 1所示，本实施例具体包括如下步骤：步骤 101、当非接入层计数值接近最大值时，对本地信息进行检测；步骤 102、根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。

其中 NAS计数值接近最大值即为 NAS计数值即将环绕的时候，认证和密钥协商流程可以为 EPS AKA流程。

上述两步骤的执行主体可以为 MME, 当下行或上行的 NAS计数值即将环绕的时候， MME 对本地信息进行检测，根据检测结果决定是否触发 EPS AKA流程。

以检测上行的 NAS计数值为例， MME接收 NAS消息， NAS计数值加 1； MME检测 NAS计数值是否接近最大值，具体地， MME可以检测 NAS 计数值是否等于门限值，该门限值为预先设定的接近最大值的数值；若是，则对本地信息进行检测，根据检测结果决定是否触发认证和密钥协商流程；否则，继续接收 NAS消息。

本实施例中 MME不会一旦检测到 NAS计数值即将环绕，就立即触发 EPS AKA流程，减少了触发 EPS AKA流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。

下面在描述实施例二之前，预先介绍与实施例二相关的技术。

在 LTE***中， EPS安全上下文有两种划分方式。按照使用状态， EPS 安全上下文可以分为当前 EPS安全上下文 ( current EPS security context )和非当前 EPS安全上下文（ non-current EPS security context )。其中当前 EPS 安全上下文是指最新被激活的安全上下文，即当前正在使用的安全上下文。上述当前正在使用的安全上下文可以与一套非当前本地 EPS 安全上下文 ( non-current native EPS security context ) 同时存在。按照生成方式， EPS 安全上下文可以分为映射 EPS安全上下文 ( mapped EPS security context ) 和本地 EPS安全上下文 ( native EPS security context )。其中映射 EPS安全上下文是指从其他***映射过来的安全上下文，如从通用移动通信*** ( Universal Mobile Telecommunications System, 简称： UMTS )映射到 LTE ***。本地 EPS安全上下文是指在 LTE***中 , 经过 EPS AKA生成的安全上下文。其中本地 EPS 安全上下文又分为部分本地 EPS 安全上下文 ( partial native EPS security context )和完整本地 EPS安全上下文（ full native EPS security context ). 其主要区别是部分本地 EPS安全上下文没有经过一个成功的 NAS安全模式流程运行，因此在部分本地 EPS安全上下文中只包含 UE接入 LTE网络中认证的根密钥 K_ASME 、密钥集标识（ Key Set Identity, 简称： KSI )、 UE的安全能力以及设置为 0的 NAS计数值；而完整本地 EPS 安全上下文是经过 EPS AKA 流程之后由一个成功的 NAS 安全模式命令 ( Security Mode Command，简称： SMC ) 流程激活的安全上下文，其包含一套完整 EPS NAS安全上下文，因此完整本地 EPS安全上下文会额外包含 NAS层的完整性密钥 K_NASmt 、加密密钥 K_NASenc 以及所选的 NAS加密算法和完整性算法标识。

图 2 为本发明实施例二认证处理方法的流程图。本实施例中本地信息为本地保存的安全上下文，下述安全上下文均为本地 EPS安全上下文。

如图 2所示，本实施例具体包括如下步骤：

步骤 201、 MME接收 NAS消息， NAS计数值加 1。

步骤 202、 MME检测 NAS计数值是否接近最大值，若是，则执行步骤 203; 否则执行步骤 201。

具体地，可以预先设定一接近最大值的数值作为门限值， MME检测 NAS计数值是否等于门限值，若是，则执行步骤 203 ; 否则执行步骤 201。

步骤 203、 MME检测本地保存的安全上下文除了当前安全上下文以外，是否还包括非当前安全上下文，若是，则执行步骤 204; 否则触发 EPS AKA 流程。

步骤 204、激活该非当前安全上下文。

上述非当前安全上下文可通过成功运行 NAS SMC流程来激活。成功运行的 NAS SMC流程包括： MME使用安全上下文对 NAS SMC消息进行完整性保护，当 UE对 NAS SMC消息完整性验证成功，向 MME发送 NAS 安全模式完成（ Security Mode Complete ) 消息， MME解密 NAS安全模式完成消息并进行完整性验证。则 MME可以获知与 UE共享此安全上下文，且该安全上下文被激活。因此步骤 204通过成功执行上述 NAS SMC流程，激活非当前安全上下文。

进一步的，如果上述 NAS SMC流程运行失败，则 MME触发 EPS A A 流程。

上述非当前本地安全上下文可以包括非当前部分本地安全上下文或非当前完整本地安全上下文，上述步骤 204可以为： MME激活非当前部分本地安全上下文或非当前完整本地安全上下文。

本实施例中，通过成功运行 MME触发的 NAS SMC流程， MME与 UE共享的非当前本地安全上下文被激活。当 MME没有收到 UE返回的 NAS 安全模式完成消息时， MME触发 EPS AKA流程。

下面通过两个具体的例子，说明本实施例的应用场景。

( 1 )当 MME检测到 NAS计数值接近最大值时， MME通过检测安全上下文获知 MME和 UMTS用户身份模块集成电路卡（UMTS Subscriber Identity Module Integrated Circuit Card, 简称： UICC ) 中保存了一套非当前部分安全上下文， MME激活该非当前部分安全上下文，此时 NAS计数值被初始化为 0，这样省去了 EPS AKA流程。

与现有技术相比，该场景中 MME没有立即触发 EPS AKA流程，避免了非当前部分安全上下文资源的浪费，同时也避免了因执行没有必要的 EPS AKA流程而造成的资源耗费。

( 2 ) UE在接入 EPS的过程中建立了当前安全上下文，之后 UE在从演进通用地面无线接入网络 ( Evolved Universal Terrestrial Radio Access Network，简称： E-UTRAN ) 切换到通用地面无线接入网络（ Universal Terrestrial Radio Access Network, 简称： UTRAN )或 GSM / EDGE 无线通讯网络（GSM EDGE Radio Access Network, 简称： GERAN ) 的过程中保存这套在 E-UTRAN中生成的本地安全上下文；然后，当该 UE再切换回到 E-UTRAN中时，使用的是映射安全上下文，该映射安全上下文成为当前安全上下文，之前 UE和 MME保存的在 E-UTRAN网络中生成的安全上下文成为非当前完整安全上下文。在这种场景下，当 MME检测到 NAS计数值接近最大值时， MME通过检测安全上下文获知本地保存有该非当前完整安全上下文，则 MME激活该非当前完整安全上下文，这样省去了 EPS A A 流程。

与现有技术相比，该场景中 MME没有立即触发 EPS A A流程，避免了之前保存的非当前完整安全上下文资源的浪费，同时也避免了因执行没有必要的 EPS AKA流程而造成的资源耗费。

图 3 为本发明实施例三认证处理方法的流程图。本实施例中本地信息为定时器状态。本实施例中， MME上预先设置了一定时器，该定时器的状态可以为运行和停止。当 NAS计数器的计数值到达门限值且 EPS AKA流程成功完成时，定时器的状态转为运行；当定时器的定时时间到达设定的时间门限值时，定时器的状态转为停止。

如图 3所示，本实施例具体包括如下步骤：

步骤 301、 MME接收 NAS消息， NAS计数值加 1。

步骤 302、 MME检测 NAS计数值是否接近最大值，若是，则执行步骤 303; 否则执行步骤 301。

具体地，本实施例预先设定一接近最大值的数值作为门限值，如设为 2²⁴-100, MME检测 NAS计数值是否等于 2²⁴-100，若是，则执行步骤 303; 否则执行步骤 301。

步骤 303、 MME检测定时器状态是否为运行，若是，则执行步骤 304; 否则触发 EPS AKA流程。

步骤 304、激活非当前安全上下文。所述该非当前安全上下文是由一个成功的 NAS SMC流程运行激活的。一个成功的 NAS SMC流程包括： MME使用安全上下文对 NAS SMC消息进行完整性保护，当 UE对 NAS SMC消息完整性验证成功，向 MME发送 NAS 安全模式完成消息， MME解密 NAS安全模式完成消息并进行完整性验证。则 MME可以获知与 UE共享此安全上下文，且该安全上下文被激活。因此步骤 304通过成功执行上述 NAS SMC流程，激活非当前本地安全上下文。

进一步的，如果上述 NAS SMC流程运行失败，则 MME触发 EPS AKA 流程。

在实际应用中，下行 NAS计数值和上行 NAS计数值一般相差不大，当 MME检测到下行 NAS 计数值即将环绕时，不久之后即将检测到上行 NAS计数值即将环绕；并且， MME触发 EPS AKA流程之后隔一段时间， MME触发 NAS SMC流程，通过执行 NAS SMC流程， NAS计数值被初始化为 0。如果当 MME检测到下行 NAS计数值即将环绕时， MME就触发 EPS AKA流程，而在检测到上行 NAS计数值即将环绕之前，没有触发 NAS SMC流程激活新产生的安全上下文，此时 NAS计数值没有被初始化，那么现有技术检测到上行 NAS计数值即将环绕，又会再次触发 EPS AKA流程。本实施例通过检测定时器状态可以获知距离上次 EPS AKA流程成功完成的时间是否已经到达设定的时间门限值，该时间门限值是根据 EPS AKA流程成功完成到触发 NAS SMC之间的时间来确定的，当本次 NAS计数值接近最大值距离上次 EPS AKA流程成功完成的时间小于设定的时间门限值时， MME触发 NAS SMC流程；当本次 NAS计数值接近最大值距离上次 EP S A A流程成功完成的时间大于或等于设定的时间门限值时， MME触发 EPS AKA流程。因此，针对上述实际应用的场景，本实施例避免了在检测到上行 NAS计数值即将环绕之前，没有触发 NAS SMC流程，就又会再次触发 EPS AKA流程，减少了 EPS AKA流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。图 4 为本发明实施例四认证处理方法的流程图。本实施例中本地信息为状态器状态。本实施例中， MME上需预先设置状态器，该状态器的状态可以为运行和停止，具体地，可以用 0来表示运行，可以用 1来表示停止。其中，运行表示距离上次 EPS AKA流程成功完成的时间小于设定的时间门限值，停止表示距离上次 EPS AKA流程成功完成的时间大于或等于设定的时间门限值。状态器可以由定时器来触发。

如图 4所示，本实施例具体包括如下步骤：

步骤 401、 MME接收 NAS消息， NAS计数值加 1。

步骤 402、 MME检测 NAS计数值是否接近最大值，若是，则执行步骤 403; 否则执行步骤 401。

具体地，本实施例预先设定一接近最大值的数值作为门限值，如设为 2²⁴-100, MME检测 NAS计数值是否等于 2²⁴-100, 若是，则执行步骤 403; 否则触发 EPS AKA流程。

步骤 403、 MME检测状态器状态是否为 0, 若是，则执行步骤 404; 否则触发 EPS A A流程。

步骤 404、激活非当前安全上下文。

所述该非当前安全上下文是由一个成功的 NAS SMC流程运行激活的。一个成功的 NAS SMC流程包括： MME使用安全上下文对 NAS SMC消息进行完整性保护，当 UE对 NAS SMC消息完整性验证成功，向 MME发送 NAS 安全模式完成消息， MME解密 NAS 安全模式完成消息并进行完整性验证。则 MME可以获知与 UE共享此安全上下文，且该安全上下文被激活。因此步骤 404通过成功执行上述 NAS SMC流程，激活非当前本地安全上下文。

在实际应用中，下行 NAS计数值和上行 NAS计数值一般相差不大，当 MME检测到下行 NAS 计数值即将环绕时，不久之后即将检测到上行 NAS计数值即将环绕；并且， MME触发 EPS AKA流程之后隔一段时间 , MME触发 NAS SMC流程，通过执行 NAS SMC流程， NAS计数值被初始化为 0。如果当 MME检测到下行 NAS计数值即将环绕时， MME就触发 EPS AKA流程，而在检测到上行 NAS计数值即将环绕之前，没有触发 NAS SMC, 此时 NAS计数值没有被初始化，那么现有技术检测到上行 NAS计数值即将环绕，又会再次触发 EPS AKA流程。本实施例通过检测状态器状态可以获知距离上次 EPS AKA流程成功完成的时间是否已经到达设定的时间门限值，该时间门限值是根据 EPS AKA流程成功完成到触发 NAS SMC 之间的时间来确定的，当本次 NAS计数值接近最大值距离上次 EPS AKA 流程成功完成的时间小于设定的时间门限值时， MME触发 NAS SMC；当本次 NAS计数值接近最大值距离上次 EPS AKA流程成功完成的时间大于或等于设定的时间门限值时， MME触发 EPS AKA流程。因此，针对上述实际应用的场景，本实施例避免了在检测到上行 NAS计数值即将环绕之前，没有触发 NAS SMC, 就又会再次触发 EPS AKA流程，减少了 EPS AKA流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。

图 5 为本发明实施例五认证处理方法的流程图。本实施例中本地信息为当前业务类型、服务质量（Quality of Service, 简称： QoS )或用户设备执行认证的能力。

如图 5所示，本实施例具体包括如下步骤：

步骤 501、 MME接收 NAS消息， NAS计数值加 1。

步骤 502、 MME检测 NAS计数值是否接近最大值，若是，则执行步骤 503; 否则执行步骤 501。

具体地，可以预先设定一接近最大值的数值作为门限值， MME检测 NAS计数值是否等于门限值，若是，则执行步骤 503 ; 否则执行步骤 501。

步骤 503、 MME通过检测当前业务类型，检测当前业务类型对应的 UE 请求的当前业务是否为需要进行认证的业务；或者， MME通过检测 QoS, 检测 QoS对应的 UE请求的当前业务是否为需要进行认证的业务；或者， MME通过检测 UE执行认证的能力，检测 UE是否具有执行 EPS AKA流程的能力；

若是，则触发 EPS AKA流程；否则执行步骤 504。

步骤 504、继续使用当前的安全上下文，或者对当前业务不进行安全保护，或者中断当前业务的连接。

举例来说，本实施例通过检测当前业务类型获知 UE请求的业务为紧急呼叫（Emergency Call, 简称： EMC ) 业务，则检测出 UE请求的业务不是需要进行认证的业务，则不再触发 EPS AKA流程，而忽略 NAS计数值接近最大值的检测结果，可以继续使用当前的安全上下文，或者对当前业务不进行安全保护，或者中断当前业务的连接。

当***用户标识模块（ Subscriber Identity Module, 简称： SIM卡）的 UE从 UMTS网络的紧急呼叫切换到 LTE 网络， MME从通用分组无线业务（ General Packet Radio Service,简称： GPRS )服务支持节点（ Service GPRS Support Node, 简称： SGSN )得到安全参数 Kc，并且进一步根据加密密钥 ( Cipher Key, 简称： CK ) 和完整性密钥（ Integrity Key, 简称： IK )得到 K_ASME。 NAS计数值从 0开始。此时， UE在 LTE 网络中的安全保护是由 K_ASME所派生的子密钥所保护的。当 NAS计数值即将环绕时， MME可以根据 Kc检测出 UE是 SIM卡用户，不具有执行 EPS AKA流程的能力，则 MME不再触发 EPS AKA流程，而忽略 NAS计数值接近最大值的检测结果，可以继续使用当前的安全上下文，或者对当前业务不进行安全保护，或者中断当前业务的连接。

本实施例在 UE请求的业务不是需要进行认证的业务或 UE不具有执行认证和密钥协商流程的能力时，不触发 EPS AKA流程，减少了 EPS AKA 流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。

图 6为本发明实施例六认证处理方法的流程图。如图 6所示，本实施例具体包括如下步骤：

步骤 601、 MME接收 NAS消息， NAS计数值加 1。

步骤 602、 MME检测 NAS计数值是否接近最大值，若是，则执行步骤 603; 否则执行步骤 601。该 NAS计数值可以为上行 NAS计数值，也可以为下行 NAS计数值。

具体地，可以预先设定一接近最大值的数值作为门限值， MME检测 NAS计数值是否等于门限值，若是，则执行步骤 603 ; 否则执行步骤 601。

步骤 603、 MME触发 EPS AKA流程，同时 MME触发 NAS SMC，激活 AKA流程产生的安全上下文， NAS计数值被初始化为 0。

本实施例将 EPS AKA流程与 NAS SMC的执行绑定在一起，避免了因检测到不同方向（上行方向和下行方向） NAS计数值即将环绕，重复触发 EPS AKA流程，减少了 EPS AKA流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。

图 7为本发明实施例七认证处理方法的流程图。如图 7所示，本实施例具体包括如下步骤：

步骤 801、 MME发起 EPS AKA流程；

步骤 802、在执行 EPS AKA流程失败的情况下，根据本地信息及网络策略决定释放连接或者继续执行当前业务。

进一步的，上述步骤 801中 MME发起 EPS AKA流程可以在若干种条件下进行，例如：可以当 NAS计数值接近最大值时， MME发起 EPS AKA 流程；也可以由运营商的策略触发 EPS AKA流程，具体地，运营商可以设置一定的本次策略，由 MME来触发对其下 UE的 EPS AKA, 这可以是运营商基于一定的安全策略或者其他需求而制定的策略；还可以当 UE进行网络间切换时，触发 EPS AKA流程，具体地，当 UE从安全级别较低的网络 (如 GSM或 UMTS 网络）切换（包括激活态的切换和空闲态移动）到安全级别较高的网络（如 LTE网络）时，由网络侧触发 EPS AKA流程。

本地信息可以包括以下信息的至少之一：当前业务类型，服务质量，用户设备执行认证的能力，网络策略，用户识别模块类型或用户设备是否 ***卡的信息。其中，当前业务类型指明了当前业务的类型信息， MME可以根据当前业务类型确定当前业务是否为需要进行认证的业务。服务质量能够标识无需进行认证的业务，所以 MME也可以根据服务质量确定当前业务是否为需要进行认证的业务。 UE执行认证的能力指明了 UE是否具有执行 EP S A A的能力的相关信息， MME可以根据 UE执行认证的能力确定 UE是否具有执行 EPS AKA的能力。 SIM卡类型也指明了 UE是否具有执行 EPS AKA的能力的相关信息， MME可以根据 SIM卡类型确定 UE是否具有执行 EPS AKA的能力。由于认证需要在 UE***卡的情况下进行，如杲 UE***卡后执行 EPS AKA流程失败，那么就应该释放 NAS信令连接；如果 UE没有***卡，则根据网络策略确定是否释放连接。网络策略是网络侧设备设定的策略，其可以支持当前业务是否进行认证。

根据以上本地信息及网络策略的内容，上述步骤 802可以具体包括： MME 若确定网絡策略不支持当前业务不认证，则释放当前业务的连接；

MME若确定网络策略支持当前业务不认证，且 MME若根据本地信息中的当前业务类型或服务质量确定当前业务为不需要进行认证的业务，或者且 MME 若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备不具有执行认证和密钥协商流程的能力，或者且用户设备无***卡，则继续执行当前业务；

MME若确定网络策略支持当前业务不认证，且 MME若根据本地信息中的当前业务类型或服务质量确定当前业务为需要进行认证的业务，或者且 MME 若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备具有执行认证和密钥协商流程的能力，或者且用户设备存在***卡，则释放当前业务的连接。

举例来说，在 MME确定网絡策略支持当前业务不认证的场景下， MME 通过检测当前业务类型，获知 UE请求的业务为 EMC业务或公共报警业务，由于 EMC业务或公共报警业务不是需要进行认证的业务，且网络策略支持未认证的 EMC或公共报警业务，则 MME和 UE继续执行当前业务。

如果当前业务为 NAS信令连接中的单一业务，则可以通过释放 NAS 信令连接来实现释放当前业务的连接。如果 NAS信令连接中承载了多个业务，且根据当前业务类型确定该多个当前业务均需要进行认证，则释放 NAS 信令连接。如果当前既包括需要认证的业务又包括不需要认证的业务（如 EMC ), 则释放上述需要认证的业务所对应的 EPS承载，而保持不需要认证的业务的 EPS 承载（如 EMC承载）。上述 EPS承载是建立在 NAS信令连接基础上的。

本实施例在认证失败， UE请求的业务不是需要进行认证的业务或 UE 不具有执行 EPS AKA流程的能力或用户设备未***卡，且网络策略支持当前业务不认证的情况下仍然能继续执行当前业务，避免了当前业务执行中断的问题，节省了***的资源。

图 8为本发明实施例八认证处理装置的结构示意图。如图 8所示，本实施例具体包括检测模块 11和处理模块 12。其中，检测模块 11用于当非接入层计数值接近最大值时，对本地信息进行检测；处理模块 12用于根据检测结果决定是否触发与 UE之间的认证和密钥协商流程。

本实施例提供的认证处理装置可以按照上述实施例一提供的方法来工作。

图 9为本发明实施例九认证处理装置的结构示意图。如图 9所示，本实施例在上述实施例八的基础上，本地信息为安全上下文，处理模块 12具体包括第一激活单元 21和第一触发单元 22。其中，第一激活单元 21用于当检测模块 11确定安全上下文包括非当前安全上下文，则激活非当前安全上下文；第一触发单元 22用于当检测模块 11确定安全上下文不包括非当前安全上下文，则触发认证和密钥协商流程。

本实施例处理模块 12还可以包括收发单元 23，该收发单元 23用于向 UE发送 NAS SMC, 并接收 NAS安全模式执行成功的消息，向处理模块 12中的第一激活单元 21发送触发其动作的信息。第一激活单元 21根据触发信息激活非当前安全上下文。当收发单元 23没有接收到 UE返回的 NAS 安全模式执行成功的消息时，第一触发单元 22触发认证和密钥协商流程。

本实施例提供的认证处理装置可以按照上述实施例二提供的方法来工作。

图 10为本发明实施例十认证处理装置的结构示意图。如图 10所示，本实施例在上述实施例八的基础上，本地信息为定时器状态，处理模块 12 具体包括第二激活单元 31和第二触发单元 32。其中，第二激活单元 31用于当检测模块 11检测出定时器状态为运行时，激活非当前安全上下文；第二触发单元 32用于当检测模块 11检测出定时器状态为停止时，触发认证和密钥协商流程。

进一步的，本实施例处理模块 12还可以包括收发单元 33 , 该收发单元 33用于向 UE发送 NAS SMC，并接收 NAS安全模式执行成功的消息，向处理模块 12 中的第二激活单元 31发送触发其动作的信息。第二激活单元 31根据触发信息激活非当前安全上下文。当收发单元 33没有接收到 UE返回的 NAS安全模式执行成功的消息时，第二触发单元 32触发认证和密钥协商流程。

本实施例提供的认证处理装置可以按照上述实施例三提供的方法来工作。

图 11为本发明实施例十一认证处理装置的结构示意图。如图 11所示，本实施例在上述实施例八的基础上，本地信息为状态器状态，处理模块 12 具体包括第三激活单元 41和第三触发单元 42。其中，第三激活单元 41用于当检测模块 11检测出状态器状态为运行时，激活非当前安全上下文；第三触发单元 42用于当检测模块 11检测出状态器状态为停止时，触发认证和密钥协商流程。

进一步的，本实施例处理模块 12还可以包括收发单元 43，该收发单元 43用于向 UE发送 NAS SMC，并接收 NAS安全模式执行成功的消息，向处理模块 12 中的第三激活单元 41发送触发其动作的信息。第三激活单元

41根据触发信息激活非当前安全上下文。当收发单元 43没有接收到 UE返回的 NAS安全模式执行成功的消息时，第三触发单元 42触发认证和密钥协商流程。

本实施例提供的认证处理装置可以按照上述实施例四提供的方法来工作。

图 12为本发明实施例十二认证处理装置的结构示意图。如图 12所示，本实施例在上述实施例八的基础上，本地信息为当前的业务类型、或服务质量、或用户设备执行认证的能力，处理模块 12具体包括第四触发单元 51 和处理单元 52。该第四触发单元 51用于如果检测模块 11确定当前业务类型对应的业务为需要进行认证的业务，或者确定服务质量对应的业务为需要进行认证的业务，或者确定用户设备执行认证的能力具有执行认证和密钥协商流程的能力，则触发认证和密钥协商流程。处理单元 52用于如果检测模块 11确定当前业务类型对应的业务不是需要进行认证的业务，或者确定服务质量对应的业务不是需要进行认证的业务，或者确定用户设备执行认证的能力不具有执行认证和密钥协商流程的能力，则继续使用当前的安全上下文，或者对当前业务不进行安全保护；或者中断当前业务的连接。

本实施例提供的认证处理装置可以按照上述实施例五提供的方法来工作。

上述装置实施例中不会一旦检测到 NAS计数值即将环绕，就立即触发 EPS AKA流程，减少了触发 EPS AKA流程的次数，避免了因触发没有必要的 EPS AKA流程导致的资源耗费，节省了资源。

图 13为本发明实施例十三认证处理装置的结构示意图。如图 13所示，本实施例具体包括执行模块 61和处理模块 62。其中，执行模块 61用于执行认证和密钥协商流程；处理模块 62用于在执行模块 61执行认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放连接或者继续执行当前业务。进一步的，本实施例还可以包括触发模块 63 , 该触发模块 63用于在非接入层计数值接近最大值、运营商策略或用户设备进行网络间切换的触发条件下，触发执行模块 61执行认证和密钥协商流程。

上述处理模块 62 可以进一步包括：第一判断单元 64、第一释放单元 65、第二判断单元 66、第二释放单元 67和执行单元 68。其中，第一判断单元 64用于在执行模块 61执行认证和密钥协商流程失败的情况下，判断网络策略是否支持当前业务不认证；第一释放单元 65用于在第一判断单元 64判断为否的情况下，释放当前业务的连接；第二判断单元 66用于在第一判断单元 64判断为是的情况下，根据本地信息中的当前业务类型或服务质量判断当前业务是否为需要进行认证的业务，或者，根据本地信息中的用户设备执行认证的能力或用户识别模块类型判断用户设备是否具有执行认证和密钥协商流程的能力，或者，判断用户设备是否存在***卡；第二释放单元 67用于在第二判断单元 66判断为是的情况下，释放当前业务的连接；执行单元 68用于在第二判断单元 66判断为否的情况下，继续执行当前业务。

本实施例提供的认证处理装置可以按照上述实施例七提供的方法来工作。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤，而前述的存储介质包括： ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明实施例的技术方案，而非对其限制；尽管参照前述实施例对本发明实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。

Claims

权利要求

1. 一种认证处理方法，其特征在于包括：

2. 根据权利要求 1所述的方法，其特征在于，还包括：

若所述网络策略不支持当前业务不认证，则释放所述当前业务的连接。

3. 根据权利要求 1或 2所述的方法，其特征在于，还包括：

若所述网络策略支持所述当前业务不认证，且当所述前业务为需要进行认证的业务，则释放所述当前业务的连接；或者

若所述网络策略支持所述当前业务不认证，且所述用户设备具有执行认证和密钥协商流程的能力，则释放所述当前业务的连接；或者

若所述网络策略支持所述当前业务不认证，且所述用户设备存在*** 卡，则释放所述当前业务的连接。

4. 根据权利要求 1至 3任意一项所述的方法，其特征在于，还包括根据当前业务类型或服务质量确定当前业务是否为需要进行认证的业务。

5. 根据权利要求 1至 3任意一项所述的方法，其特征在于，还包括根据用户设备执行认证的能力或用户识别模块类型确定用户设备是否具有执行认证和密钥协商流程的能力。

6. 根据权利要求 2至 5任意一项所述的方法，其特征在于，所述释放所述当前业务的连接包括：如果所述当前业务为非接入层信令连接中的单一业务，则释放非接入层信令连接；或者

如果非接入层信令连接中承载了多余一个业务，且根据所述当前业务类型确定所述多个当前业务均需要进行认证，则释放非接入层信令连接。

7. 根据权利要求 2至 5任意一项所述的方法，其特征在于，所述释放所述当前业务的连接包括：

如果非接入层信令连接中承载了多余一个业务，且根据所述当前业务类型确定所述当前业务既包括需要认证的业务又包括不需要认证的业务，则释放所述需要认证的业务的演进的分组***承载，并且保持所述不需要认证的业务的演进的分组***承载。

8. 根据权利要求 1至 7任意一项所述的方法，其特征在于，执行认证和密钥协商流程通过以下条件触发：非接入层计数值达到计数门限值，或运营商策略，或用户设备进行网络间切换。

9、根据权利要求 1至 7任意一项所述的方法，其特征在于，所述当前业务包括紧急呼叫业务，和 /或公共报警业务。

10、如权利要求 9所述的方法，其特征在于，

所述紧急呼叫业务为不需要进行认证的紧急呼叫业务或需要进行认证的紧急呼叫业务；

所述公共报警业务为不需要进行认证的公共报警业务或需要进行认证的公共报警业务。

11、如权利要求 1至 10任意一项所述的方法，其特征在于，所述无线通信网络侧设备包括移动管理实体。

12. 一种认证处理装置，其特征在于包括：

执行模块，用于执行认证和密钥协商流程；

处理模块，位于无线通信网络侧设备内，包括：

第二判断单元，用于在所述网络策略支持当前业务不认证的情况下，确定所述当前业务是否是需要进行认证的业务，或者所述用户设备是否具有执行认证和密钥协商流程的能力，或者所述用户设备是否具有***卡；执行单元，用于在所述第二判断单元判断为所述当前业务是不需要进行认证的业务，或者所述用户设备不具有执行认证和密钥协商流程的能力，或者所述用户设备不具有***卡的情况下况下，继续执行所述当前业务。

13. 根据权利要求 12所述的装置，其特征在于，所述处理模块还包括：第一释放单元，用于在所述第一判断单元判断为不支持当前业务不认证的情况下，释放所述当前业务的连接。

14. 根据权利要求 12或 13所述的装置，其特征在于，所述处理模块还包括：

第二释放单元，用于在所述第二判断单元判断为所述当前业务是需要进行认证的业务，或者所述用户设备具有执行认证和密钥协商流程的能力，或者所述用户设备具有***卡的情况下，释放所述当前业务的连接。

15. 根据权利要求 12至 14任意一项所述的装置，其特征在于，所述第二判断单元用于在所述网絡策略支持当前业务不认证的情况下，根据当前业务类型或服务质量确定当前业务是否为需要进行认证的业务，或者所述用户设备是否具有执行认证和密钥协商流程的能力，或者所述用户设备是否具有***卡。

16. 根据权利要求 12至 14任意一项所述的装置，其特征在于，所述第二判断单元用于在所述网络策略支持当前业务不认证的情况下，确定当前业务是否为需要进行认证的业务，或者根据用户设备执行认证的能力或用户识别模块类型确定用户设备是否具有执行认证和密钥协商流程的能力，或者所述用户设备是否具有***卡。

17. 根据权利要求 13至 16任意一项所述的装置，其特征在于，所述第一释放单元或第二释放单元用于：

如果所述当前业务为非接入层信令连接中的单一业务，则释放非接入层信令连接；或者

18、根据权利要求 13至 16任意一项所述的装置，其特征在于，所述第一释放单元或第二释放单元用于：

19、根据权利要求 12至 18任意一项所述的装置，其特征在于，还包括：

触发模块，用于在非接入层计数值达到计数门限值、或运营商策略，或用户设备进行网络间切换的触发条件下，触发所述执行模块执行所述认证和密钥协商流程。

20、根据权利要求 12至 18任意一项所述的装置，其特征在于，所述当前业务包括紧急呼叫业务，和 /或公共报警业务。

21、如权利要求 20所述的装置，其特征在于，

22、如权利要求 12至 21任意一项所述的装置，其特征在于，所述无线通信网络侧设备包括移动管理实体。