CN102638793B - 认证处理方法及装置 - Google Patents
认证处理方法及装置 Download PDFInfo
- Publication number
- CN102638793B CN102638793B CN201210028296.9A CN201210028296A CN102638793B CN 102638793 B CN102638793 B CN 102638793B CN 201210028296 A CN201210028296 A CN 201210028296A CN 102638793 B CN102638793 B CN 102638793B
- Authority
- CN
- China
- Prior art keywords
- authentication
- flow process
- business
- nas
- mme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例涉及一种认证处理方法及装置,其中一种方法包括:当非接入层计数值接近最大值时,根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。另一种方法包括:在执行认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。本发明实施例中,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源;或者,如果执行EPS AKA流程认证失败,不会立即释放连接,而是根据本地信息及网络策略释放连接或者继续执行当前业务,避免了释放没有必要进行释放的连接,节省了资源。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种认证处理方法及装置。
背景技术
非接入层(Non-Access Stratum,简称:NAS)计数(COUNT)是长期演进(Long Term Evolution,简称:LTE)系统中安全上下文的一部分。在LTE系统中,NAS计数可作为密钥的生命周期,使密钥具有新鲜性;同时,NAS计数可以保证用户设备(User Equipment,简称:UE)与网络侧密钥的同步,具有抗重放攻击的作用。每一套演进分组系统(Evolved Packet System,简称:EPS)安全上下文包含两个独立的NAS计数值:上行NAS计数值和下行NAS计数值。这两个NAS计数的计数器分别由UE和移动管理实体(Mobility Management Entity,简称:MME)来独立维护。
NAS计数有32位,主要由两个部分组成:NAS序列号(SQN)与NAS溢出值(OVERFLOW),其中NAS序列号为8位,NAS溢出值为16位。NAS序列号承载于每条NAS消息中,当每一个新的或是重传的受到安全保护的NAS消息发出后,发送端将会将NAS序列号的值增加1;当NAS序列号增加到最大值,循环一图时,NAS溢出值增加1。
现有技术中,当MME检测到下行的NAS计数值即将环绕的时候,也就是NAS计数值比较接近最大值224时,MME将会触发一个新的EPS认证和密钥协商(Authentication and Key Agreement,简称:AKA)流程,建立新的安全上下文,并且当安全上下文被激活时将NAS计数值初始化为0。当MME检测到UE的上行NAS计数值也接近到最大值时,也就是即将环绕时,MME会触发EPS AKA流程。
现有技术一旦MME检测到NAS计数值即将环绕,就立即触发EPS AKA流程;如果执行EPS AKA流程认证失败,就立即释放连接。这种安全处理过程浪费了资源。
发明内容
本发明实施例提供了一种认证处理方法及装置,用以节省资源。
本发明实施例提供了一种认证处理方法,包括:
当非接入层计数值接近最大值时,根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。
本发明实施例提供了另一种认证处理方法,包括:
在执行认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
本发明实施例提供了一种认证处理装置,包括:
检测模块,用于当非接入层计数值接近最大值时,对本地信息进行检测;
处理模块,用于根据检测结果决定是否触发与用户设备之间的认证和密钥协商流程。
本发明实施例提供了另一种认证处理装置,包括:
执行模块,用于执行认证和密钥协商流程;
处理模块,用于在所述执行模块执行所述认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
本发明实施例中,当非接入层计数值接近最大值时,不会立即触发EPSAKA流程,而是根据本地信息来决定是否触发与UE之间的EPS AKA流程,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源;或者,如果执行EPS AKA流程认证失败,不会立即释放连接,而是根据本地信息及网络策略释放连接或者继续执行当前业务,避免了释放没有必要进行释放的连接,节省了资源。
附图说明
图1为本发明实施例一认证处理方法的流程图;
图2为本发明实施例二认证处理方法的流程图;
图3为本发明实施例三认证处理方法的流程图;
图4为本发明实施例四认证处理方法的流程图;
图5为本发明实施例五认证处理方法的流程图;
图6为本发明实施例六认证处理方法的流程图;
图7为本发明实施例七认证处理方法的流程图;
图8为本发明实施例八认证处理装置的结构示意图;
图9为本发明实施例九认证处理装置的结构示意图;
图10为本发明实施例十认证处理装置的结构示意图;
图11为本发明实施例十一认证处理装置的结构示意图;
图12为本发明实施例十二认证处理装置的结构示意图;
图13为本发明实施例十三认证处理装置的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明实施例的技术方案做进一步的详细描述。
图1为本发明实施例一认证处理方法的流程图。如图1所示,本实施例具体包括如下步骤:
步骤101、当非接入层计数值接近最大值时,对本地信息进行检测;
步骤102、根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。
其中NAS计数值接近最大值即为NAS计数值即将环绕的时候,认证和密钥协商流程可以为EPS AKA流程。
上述两步骤的执行主体可以为MME,当下行或上行的NAS计数值即将环绕的时候,MME对本地信息进行检测,根据检测结果决定是否触发EPSAKA流程。
以检测上行的NAS计数值为例,MME接收NAS消息,NAS计数值加1;MME检测NAS计数值是否接近最大值,具体地,MME可以检测NAS计数值是否等于门限值,该门限值为预先设定的接近最大值的数值;若是,则对本地信息进行检测,根据检测结果决定是否触发认证和密钥协商流程;否则,继续接收NAS消息。
本实施例中MME不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
下面在描述实施例二之前,预先介绍与实施例二相关的技术。
在LTE系统中,EPS安全上下文有两种划分方式。按照使用状态,EPS安全上下文可以分为当前EPS安全上下文(current EPS security context)和非当前EPS安全上下文(non-current EPS security context)。其中当前EPS安全上下文是指最新被激活的安全上下文,即当前正在使用的安全上下文。上述当前正在使用的安全上下文可以与一套非当前本地EPS安全上下文(non-current native EPS security context)同时存在。按照生成方式,EPS安全上下文可以分为映射EPS安全上下文(mapped EPS security context)和本地EPS安全上下文(native EPS security context)。其中映射EPS安全上下文是指从其他系统映射过来的安全上下文,如从通用移动通信系统(UniversalMobile Telecommunications System,简称:UMTS)映射到LTE系统。本地EPS安全上下文是指在LTE系统中,经过EPS AKA生成的安全上下文。其中本地EPS安全上下文又分为部分本地EPS安全上下文(partial native EPSsecurity context)和完整本地EPS安全上下文(full native EPS security context)。其主要区别是部分本地EPS安全上下文没有经过一个成功的NAS安全模式流程运行,因此在部分本地EPS安全上下文中只包含UE接入LTE网络中认证的根密钥KASME、密钥集标识(Key Set Identity,简称:KSI)、UE的安全能力以及设置为0的NAS计数值;而完整本地EPS安全上下文是经过EPSAKA流程之后由一个成功的NAS安全模式命令(Security Mode Command,简称:SMC)流程激活的安全上下文,其包含一套完整EPS NAS安全上下文,因此完整本地EPS安全上下文会额外包含NAS层的完整性密钥KNASint、加密密钥KNASenc以及所选的NAS加密算法和完整性算法标识。
图2为本发明实施例二认证处理方法的流程图。本实施例中本地信息为本地保存的安全上下文,下述安全上下文均为本地EPS安全上下文。
如图2所示,本实施例具体包括如下步骤:
步骤201、MME接收NAS消息,NAS计数值加1。
步骤202、MME检测NAS计数值是否接近最大值,若是,则执行步骤203;否则执行步骤201。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤203;否则执行步骤201。
步骤203、MME检测本地保存的安全上下文除了当前安全上下文以外,是否还包括非当前安全上下文,若是,则执行步骤204;否则触发EPS AKA流程。
步骤204、激活该非当前安全上下文。
上述非当前安全上下文可通过成功运行NAS SMC流程来激活。成功运行的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成(Security Mode Complete)消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤204通过成功执行上述NAS SMC流程,激活非当前安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
上述非当前本地安全上下文可以包括非当前部分本地安全上下文或非当前完整本地安全上下文,上述步骤204可以为:MME激活非当前部分本地安全上下文或非当前完整本地安全上下文。
本实施例中,通过成功运行MME触发的NAS SMC流程,MME与UE共享的非当前本地安全上下文被激活。当MME没有收到UE返回的NAS安全模式完成消息时,MME触发EPS AKA流程。
下面通过两个具体的例子,说明本实施例的应用场景。
(1)当MME检测到NAS计数值接近最大值时,MME通过检测安全上下文获知MME和UMTS用户身份模块集成电路卡(UMTS Subscriber IdentityModule Integrated Circuit Card,简称:UICC)中保存了一套非当前部分安全上下文,MME激活该非当前部分安全上下文,此时NAS计数值被初始化为0,这样省去了EPS AKA流程。
与现有技术相比,该场景中MME没有立即触发EPS AKA流程,避免了非当前部分安全上下文资源的浪费,同时也避免了因执行没有必要的EPSAKA流程而造成的资源耗费。
(2)UE在接入EPS的过程中建立了当前安全上下文,之后UE在从演进通用地面无线接入网络(Evolved Universal Terrestrial Radio AccessNetwork,简称:E-UTRAN)切换到通用地面无线接入网络(Universal TerrestrialRadio Access Network,简称:UTRAN)或GSM/EDGE无线通讯网络(GSMEDGE Radio Access Network,简称:GERAN)的过程中保存这套在E-UTRAN中生成的本地安全上下文;然后,当该UE再切换回到E-UTRAN中时,使用的是映射安全上下文,该映射安全上下文成为当前安全上下文,之前UE和MME保存的在E-UTRAN网络中生成的安全上下文成为非当前完整安全上下文。在这种场景下,当MME检测到NAS计数值接近最大值时,MME通过检测安全上下文获知本地保存有该非当前完整安全上下文,则MME激活该非当前完整安全上下文,这样省去了EPS AKA流程。
与现有技术相比,该场景中MME没有立即触发EPS AKA流程,避免了之前保存的非当前完整安全上下文资源的浪费,同时也避免了因执行没有必要的EPS AKA流程而造成的资源耗费。
本实施例中MME不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图3为本发明实施例三认证处理方法的流程图。本实施例中本地信息为定时器状态。本实施例中,MME上预先设置了一定时器,该定时器的状态可以为运行和停止。当NAS计数器的计数值到达门限值且EPS AKA流程成功完成时,定时器的状态转为运行;当定时器的定时时间到达设定的时间门限值时,定时器的状态转为停止。
如图3所示,本实施例具体包括如下步骤:
步骤301、MME接收NAS消息,NAS计数值加1。
步骤302、MME检测NAS计数值是否接近最大值,若是,则执行步骤303;否则执行步骤301。
具体地,本实施例预先设定一接近最大值的数值作为门限值,如设为224-100,MME检测NAS计数值是否等于224-100,若是,则执行步骤303;否则执行步骤301。
步骤303、MME检测定时器状态是否为运行,若是,则执行步骤304;否则触发EPS AKA流程。
步骤304、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成功的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤304通过成功执行上述NAS SMC流程,激活非当前本地安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
在实际应用中,下行NAS计数值和上行NAS计数值一般相差不大,当MME检测到下行NAS计数值即将环绕时,不久之后即将检测到上行NAS计数值即将环绕;并且,MME触发EPS AKA流程之后隔一段时间,MME触发NAS SMC流程,通过执行NAS SMC流程,NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将环绕时,MME就触发EPS AKA流程,而在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC流程激活新产生的安全上下文,此时NAS计数值没有被初始化,那么现有技术检测到上行NAS计数值即将环绕,又会再次触发EPS AKA流程。本实施例通过检测定时器状态可以获知距离上次EPS AKA流程成功完成的时间是否已经到达设定的时间门限值,该时间门限值是根据EPS AKA流程成功完成到触发NAS SMC之间的时间来确定的,当本次NAS计数值接近最大值距离上次EPSAKA流程成功完成的时间小于设定的时间门限值时,MME触发NAS SMC流程;当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值时,MME触发EPS AKA流程。因此,针对上述实际应用的场景,本实施例避免了在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC流程,就又会再次触发EPS AKA流程,减少了EPSAKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图4为本发明实施例四认证处理方法的流程图。本实施例中本地信息为状态器状态。本实施例中,MME上需预先设置状态器,该状态器的状态可以为运行和停止,具体地,可以用0来表示运行,可以用1来表示停止。其中,运行表示距离上次EPS AKA流程成功完成的时间小于设定的时间门限值,停止表示距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值。状态器可以由定时器来触发。
如图4所示,本实施例具体包括如下步骤:
步骤401、MME接收NAS消息,NAS计数值加1。
步骤402、MME检测NAS计数值是否接近最大值,若是,则执行步骤403;否则执行步骤401。
具体地,本实施例预先设定一接近最大值的数值作为门限值,如设为224-100,MME检测NAS计数值是否等于224-100,若是,则执行步骤403;否则触发EPS AKA流程。
步骤403、MME检测状态器状态是否为0,若是,则执行步骤404;否则触发EPS AKA流程。
步骤404、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成功的NAS SMC流程包括:MME使用安全上下文对NAS SMC消息进行完整性保护,当UE对NAS SMC消息完整性验证成功,向MME发送NAS安全模式完成消息,MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下文,且该安全上下文被激活。因此步骤404通过成功执行上述NAS SMC流程,激活非当前本地安全上下文。
进一步的,如果上述NAS SMC流程运行失败,则MME触发EPS AKA流程。
在实际应用中,下行NAS计数值和上行NAS计数值一般相差不大,当MME检测到下行NAS计数值即将环绕时,不久之后即将检测到上行NAS计数值即将环绕;并且,MME触发EPS AKA流程之后隔一段时间,MME触发NAS SMC流程,通过执行NAS SMC流程,NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将环绕时,MME就触发EPS AKA流程,而在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC,此时NAS计数值没有被初始化,那么现有技术检测到上行NAS计数值即将环绕,又会再次触发EPS AKA流程。本实施例通过检测状态器状态可以获知距离上次EPS AKA流程成功完成的时间是否已经到达设定的时间门限值,该时间门限值是根据EPS AKA流程成功完成到触发NAS SMC之间的时间来确定的,当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间小于设定的时间门限值时,MME触发NAS SMC;当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值时,MME触发EPS AKA流程。因此,针对上述实际应用的场景,本实施例避免了在检测到上行NAS计数值即将环绕之前,没有触发NAS SMC,就又会再次触发EPS AKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图5为本发明实施例五认证处理方法的流程图。本实施例中本地信息为当前业务类型、服务质量(Quality of Service,简称:QoS)或用户设备执行认证的能力。
如图5所示,本实施例具体包括如下步骤:
步骤501、MME接收NAS消息,NAS计数值加1。
步骤502、MME检测NAS计数值是否接近最大值,若是,则执行步骤503;否则执行步骤501。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤503;否则执行步骤501。
步骤503、MME通过检测当前业务类型,检测当前业务类型对应的UE请求的当前业务是否为需要进行认证的业务;或者,MME通过检测QoS,检测QoS对应的UE请求的当前业务是否为需要进行认证的业务;或者,MME通过检测UE执行认证的能力,检测UE是否具有执行EPS AKA流程的能力;
若是,则触发EPS AKA流程;否则执行步骤504。
步骤504、继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
举例来说,本实施例通过检测当前业务类型获知UE请求的业务为紧急呼叫(Emergency Call,简称:EMC)业务,则检测出UE请求的业务不是需要进行认证的业务,则不再触发EPS AKA流程,而忽略NAS计数值接近最大值的检测结果,可以继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
当插入用户标识模块(Subscriber Identity Module,简称:SIM卡)的UE从UMTS网络的紧急呼叫切换到LTE网络,MME从通用分组无线业务(General Packet Radio Service,简称:GPRS)服务支持节点(Service GPRSSupport Node,简称:SGSN)得到安全参数Kc,并且进一步根据加密密钥(Cipher Key,简称:CK)和完整性密钥(Integrity Key,简称:IK)得到KASME。NAS计数值从0开始。此时,UE在LTE网络中的安全保护是由KASME所派生的子密钥所保护的。当NAS计数值即将环绕时,MME可以根据Kc检测出UE是SIM卡用户,不具有执行EPS AKA流程的能力,则MME不再触发EPS AKA流程,而忽略NAS计数值接近最大值的检测结果,可以继续使用当前的安全上下文,或者对当前业务不进行安全保护,或者中断当前业务的连接。
本实施例在UE请求的业务不是需要进行认证的业务或UE不具有执行认证和密钥协商流程的能力时,不触发EPS AKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图6为本发明实施例六认证处理方法的流程图。如图6所示,本实施例具体包括如下步骤:
步骤601、MME接收NAS消息,NAS计数值加1。
步骤602、MME检测NAS计数值是否接近最大值,若是,则执行步骤603;否则执行步骤601。该NAS计数值可以为上行NAS计数值,也可以为下行NAS计数值。
具体地,可以预先设定一接近最大值的数值作为门限值,MME检测NAS计数值是否等于门限值,若是,则执行步骤603;否则执行步骤601。
步骤603、MME触发EPS AKA流程,同时MME触发NAS SMC,激活AKA流程产生的安全上下文,NAS计数值被初始化为0。
本实施例将EPS AKA流程与NAS SMC的执行绑定在一起,避免了因检测到不同方向(上行方向和下行方向)NAS计数值即将环绕,重复触发EPSAKA流程,减少了EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图7为本发明实施例七认证处理方法的流程图。如图7所示,本实施例具体包括如下步骤:
步骤801、MME发起EPS AKA流程;
步骤802、在执行EPS AKA流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
进一步的,上述步骤801中MME发起EPS AKA流程可以在若干种条件下进行,例如:可以当NAS计数值接近最大值时,MME发起EPS AKA流程;也可以由运营商的策略触发EPS AKA流程,具体地,运营商可以设置一定的本次策略,由MME来触发对其下UE的EPS AKA,这可以是运营商基于一定的安全策略或者其他需求而制定的策略;还可以当UE进行网络间切换时,触发EPS AKA流程,具体地,当UE从安全级别较低的网络(如GSM或UMTS网络)切换(包括激活态的切换和空闲态移动)到安全级别较高的网络(如LTE网络)时,由网络侧触发EPS AKA流程。
本地信息可以包括以下信息的至少之一:当前业务类型,服务质量,用户设备执行认证的能力,网络策略,用户识别模块类型或用户设备是否插入卡的信息。其中,当前业务类型指明了当前业务的类型信息,MME可以根据当前业务类型确定当前业务是否为需要进行认证的业务。服务质量能够标识无需进行认证的业务,所以MME也可以根据服务质量确定当前业务是否为需要进行认证的业务。UE执行认证的能力指明了UE是否具有执行EPS AKA的能力的相关信息,MME可以根据UE执行认证的能力确定UE是否具有执行EPS AKA的能力。SIM卡类型也指明了UE是否具有执行EPS AKA的能力的相关信息,MME可以根据SIM卡类型确定UE是否具有执行EPS AKA的能力。由于认证需要在UE插入卡的情况下进行,如果UE插入卡后执行EPS AKA流程失败,那么就应该释放NAS信令连接;如果UE没有插入卡,则根据网络策略确定是否释放连接。网络策略是网络侧设备设定的策略,其可以支持当前业务是否进行认证。
根据以上本地信息及网络策略的内容,上述步骤802可以具体包括:
MME若确定网络策略不支持当前业务不认证,则释放当前业务的连接;
MME若确定网络策略支持当前业务不认证,且MME若根据本地信息中的当前业务类型或服务质量确定当前业务为不需要进行认证的业务,或者且MME若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备不具有执行认证和密钥协商流程的能力,或者且用户设备无插入卡,则继续执行当前业务;
MME若确定网络策略支持当前业务不认证,且MME若根据本地信息中的当前业务类型或服务质量确定当前业务为需要进行认证的业务,或者且MME若根据本地信息中的用户设备执行认证的能力或用户识别模块类型确定用户设备具有执行认证和密钥协商流程的能力,或者且用户设备存在插入卡,则释放当前业务的连接。
举例来说,在MME确定网络策略支持当前业务不认证的场景下,MME通过检测当前业务类型,获知UE请求的业务为EMC业务或公共报警业务,由于EMC业务或公共报警业务不是需要进行认证的业务,且网络策略支持未认证的EMC或公共报警业务,则MME和UE继续执行当前业务。
如果当前业务为NAS信令连接中的单一业务,则可以通过释放NAS信令连接来实现释放当前业务的连接。如果NAS信令连接中承载了多个业务,且根据当前业务类型确定该多个当前业务均需要进行认证,则释放NAS信令连接。如果当前既包括需要认证的业务又包括不需要认证的业务(如EMC),则释放上述需要认证的业务所对应的EPS承载,而保持不需要认证的业务的EPS承载(如EMC承载)。上述EPS承载是建立在NAS信令连接基础上的。
本实施例在认证失败,UE请求的业务不是需要进行认证的业务或UE不具有执行EPS AKA流程的能力或用户设备未插入卡,且网络策略支持当前业务不认证的情况下仍然能继续执行当前业务,避免了当前业务执行中断的问题,节省了系统的资源。
图8为本发明实施例八认证处理装置的结构示意图。如图8所示,本实施例具体包括检测模块11和处理模块12。其中,检测模块11用于当非接入层计数值接近最大值时,对本地信息进行检测;处理模块12用于根据检测结果决定是否触发与UE之间的认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例一提供的方法来工作。
图9为本发明实施例九认证处理装置的结构示意图。如图9所示,本实施例在上述实施例八的基础上,本地信息为安全上下文,处理模块12具体包括第一激活单元21和第一触发单元22。其中,第一激活单元21用于当检测模块11确定安全上下文包括非当前安全上下文,则激活非当前安全上下文;第一触发单元22用于当检测模块11确定安全上下文不包括非当前安全上下文,则触发认证和密钥协商流程。
本实施例处理模块12还可以包括收发单元23,该收发单元23用于向UE发送NAS SMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第一激活单元21发送触发其动作的信息。第一激活单元21根据触发信息激活非当前安全上下文。当收发单元23没有接收到UE返回的NAS安全模式执行成功的消息时,第一触发单元22触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例二提供的方法来工作。
图10为本发明实施例十认证处理装置的结构示意图。如图10所示,本实施例在上述实施例八的基础上,本地信息为定时器状态,处理模块12具体包括第二激活单元31和第二触发单元32。其中,第二激活单元31用于当检测模块11检测出定时器状态为运行时,激活非当前安全上下文;第二触发单元32用于当检测模块11检测出定时器状态为停止时,触发认证和密钥协商流程。
进一步的,本实施例处理模块12还可以包括收发单元33,该收发单元33用于向UE发送NAS SMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第二激活单元31发送触发其动作的信息。第二激活单元31根据触发信息激活非当前安全上下文。当收发单元33没有接收到UE返回的NAS安全模式执行成功的消息时,第二触发单元32触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例三提供的方法来工作。
图11为本发明实施例十一认证处理装置的结构示意图。如图11所示,本实施例在上述实施例八的基础上,本地信息为状态器状态,处理模块12具体包括第三激活单元41和第三触发单元42。其中,第三激活单元41用于当检测模块11检测出状态器状态为运行时,激活非当前安全上下文;第三触发单元42用于当检测模块11检测出状态器状态为停止时,触发认证和密钥协商流程。
进一步的,本实施例处理模块12还可以包括收发单元43,该收发单元43用于向UE发送NAS SMC,并接收NAS安全模式执行成功的消息,向处理模块12中的第三激活单元41发送触发其动作的信息。第三激活单元41根据触发信息激活非当前安全上下文。当收发单元43没有接收到UE返回的NAS安全模式执行成功的消息时,第三触发单元42触发认证和密钥协商流程。
本实施例提供的认证处理装置可以按照上述实施例四提供的方法来工作。
图12为本发明实施例十二认证处理装置的结构示意图。如图12所示,本实施例在上述实施例八的基础上,本地信息为当前的业务类型、或服务质量、或用户设备执行认证的能力,处理模块12具体包括第四触发单元51和处理单元52。该第四触发单元51用于如果检测模块11确定当前业务类型对应的业务为需要进行认证的业务,或者确定服务质量对应的业务为需要进行认证的业务,或者确定用户设备执行认证的能力具有执行认证和密钥协商流程的能力,则触发认证和密钥协商流程。处理单元52用于如果检测模块11确定当前业务类型对应的业务不是需要进行认证的业务,或者确定服务质量对应的业务不是需要进行认证的业务,或者确定用户设备执行认证的能力不具有执行认证和密钥协商流程的能力,则继续使用当前的安全上下文,或者对当前业务不进行安全保护;或者中断当前业务的连接。
本实施例提供的认证处理装置可以按照上述实施例五提供的方法来工作。
上述装置实施例中不会一旦检测到NAS计数值即将环绕,就立即触发EPS AKA流程,减少了触发EPS AKA流程的次数,避免了因触发没有必要的EPS AKA流程导致的资源耗费,节省了资源。
图13为本发明实施例十三认证处理装置的结构示意图。如图13所示,本实施例具体包括执行模块61和处理模块62。其中,执行模块61用于执行认证和密钥协商流程;处理模块62用于在执行模块61执行认证和密钥协商流程失败的情况下,根据本地信息及网络策略决定释放连接或者继续执行当前业务。
进一步的,本实施例还可以包括触发模块63,该触发模块63用于在非接入层计数值接近最大值、运营商策略或用户设备进行网络间切换的触发条件下,触发执行模块61执行认证和密钥协商流程。
上述处理模块62可以进一步包括:第一判断单元64、第一释放单元65、第二判断单元66、第二释放单元67和执行单元68。其中,第一判断单元64用于在执行模块61执行认证和密钥协商流程失败的情况下,判断网络策略是否支持当前业务不认证;第一释放单元65用于在第一判断单元64判断为否的情况下,释放当前业务的连接;第二判断单元66用于在第一判断单元64判断为是的情况下,根据本地信息中的当前业务类型或服务质量判断当前业务是否为需要进行认证的业务,或者,根据本地信息中的用户设备执行认证的能力或用户识别模块类型判断用户设备是否具有执行认证和密钥协商流程的能力,或者,判断用户设备是否存在插入卡;第二释放单元67用于在第二判断单元66判断为是的情况下,释放当前业务的连接;执行单元68用于在第二判断单元66判断为否的情况下,继续执行当前业务。
本实施例提供的认证处理装置可以按照上述实施例七提供的方法来工作。
本实施例在认证失败,UE请求的业务不是需要进行认证的业务或UE不具有执行EPS AKA流程的能力或用户设备未插入卡,且网络策略支持当前业务不认证的情况下仍然能继续执行当前业务,避免了当前业务执行中断的问题,节省了系统的资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
Claims (2)
1.一种认证处理方法,其特征在于包括:
当非接入层计数值接近最大值时,根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程;
其中,所述本地信息为当前业务类型,或服务质量,或用户设备执行认证的能力,所述根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程包括:如果确定所述当前业务类型对应的业务为需要进行认证的业务,或者确定所述服务质量对应的业务为需要进行认证的业务,或者所述用户设备执行认证的能力指明用户设备具有执行认证和密钥协商流程的能力,则触发认证和密钥协商流程;否则,继续使用当前的安全上下文,或者对当前业务不进行安全保护;或者中断当前业务的连接。
2.一种认证处理装置,其特征在于包括:
检测模块,用于当非接入层计数值接近最大值时,对本地信息进行检测;
处理模块,用于根据检测结果决定是否触发与用户设备之间的认证和密钥协商流程;
其中,所述本地信息为当前业务类型,或服务质量,或用户设备执行认证的能力,所述处理模块包括:第四触发单元,用于如果所述检测模块确定所述当前业务类型对应的业务为需要进行认证的业务,或者确定所述服务质量对应的业务为需要进行认证的业务,或者确定所述用户设备执行认证的能力指明用户设备具有执行认证和密钥协商流程的能力,则触发认证和密钥协商流程;处理单元,用于如果所述检测模块确定所述当前业务类型对应的业务不是需要进行认证的业务,或者确定所述服务质量对应的业务不是需要进行认证的业务,或者确定所述用户设备执行认证的能力指明用户设备不具有执行认证和密钥协商流程的能力,则继续使用当前的安全上下文,或者对当前业务不进行安全保护;或者中断当前业务的连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210028296.9A CN102638793B (zh) | 2009-09-21 | 2009-09-21 | 认证处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210028296.9A CN102638793B (zh) | 2009-09-21 | 2009-09-21 | 认证处理方法及装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100938285A Division CN102025685B (zh) | 2009-09-21 | 2009-09-21 | 认证处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102638793A CN102638793A (zh) | 2012-08-15 |
| CN102638793B true CN102638793B (zh) | 2013-09-25 |
Family
ID=46622984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210028296.9A Active CN102638793B (zh) | 2009-09-21 | 2009-09-21 | 认证处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102638793B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103476028B (zh) * | 2013-08-30 | 2017-04-05 | 大唐移动通信设备有限公司 | Nas count翻转时nas消息的处理方法及装置 |
| CN110383868B (zh) | 2017-01-05 | 2023-10-20 | 诺基亚技术有限公司 | 无线通信系统中的非活动状态安全支持 |
| CN109842881B (zh) * | 2017-09-15 | 2021-08-31 | 华为技术有限公司 | 通信方法、相关设备以及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056171A (zh) * | 2006-06-20 | 2007-10-17 | 华为技术有限公司 | 一种加密通信方法和装置 |
| CN101156486A (zh) * | 2005-02-14 | 2008-04-02 | 诺基亚公司 | 无线通信系统中数据优化传输的方法和装置 |
| CN101400059A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
-
2009
- 2009-09-21 CN CN201210028296.9A patent/CN102638793B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101156486A (zh) * | 2005-02-14 | 2008-04-02 | 诺基亚公司 | 无线通信系统中数据优化传输的方法和装置 |
| CN101056171A (zh) * | 2006-06-20 | 2007-10-17 | 华为技术有限公司 | 一种加密通信方法和装置 |
| CN101400059A (zh) * | 2007-09-28 | 2009-04-01 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
Non-Patent Citations (2)
| Title |
|---|
| AKA when NAS COUNT about to wrap around;nokia corporation,nokia siemens networks;《3GPP TSG-SA WG3 Meeting #54》;20090131;7.2.9.4节 * |
| nokia corporation,nokia siemens networks.AKA when NAS COUNT about to wrap around.《3GPP TSG-SA WG3 Meeting #54》.2009, |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102638793A (zh) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102025685B (zh) | 认证处理方法及装置 | |
| EP2106190B1 (en) | A method, system and device for preventing the degradation attack while terminal is moving | |
| CN109716834B (zh) | 无线通信系统中的临时标识符 | |
| US20100172500A1 (en) | Method of handling inter-system handover security in wireless communications system and related communication device | |
| CN109644354B (zh) | 一种完整性验证方法、网络设备、ue及计算机存储介质 | |
| EP2874367B1 (en) | Call authentication method, device, and system | |
| US20230046112A1 (en) | Radio link recovery for user equipment | |
| CN107113608B (zh) | 使用密钥扩展乘数来生成多个共享密钥的方法和装置 | |
| CN106465108A (zh) | 蜂窝网络认证控制 | |
| EP3799461B1 (en) | Network validity verification method and device and computer storage medium | |
| CN102404721A (zh) | Un接口的安全保护方法、装置和基站 | |
| CN102638793B (zh) | 认证处理方法及装置 | |
| CN102223632A (zh) | 一种接入层安全算法同步方法和系统 | |
| CN108880868B (zh) | Bfd保活报文传输方法、装置、设备及机器可读存储介质 | |
| CN102781003B (zh) | 一种提高语音回落效率和成功率的方法及系统 | |
| CN103458410B (zh) | 认证处理方法及装置 | |
| CN109842881B (zh) | 通信方法、相关设备以及系统 | |
| CN112822141B (zh) | 在wlan中防攻击的方法、装置、用户终端和计算机可读介质 | |
| WO2022067815A1 (zh) | 一种通信方法、装置及设备 | |
| CN101383702B (zh) | 在更新跟踪区过程中保护密钥生成参数的方法及系统 | |
| CN106537960A (zh) | 用于密码算法协商的方法、网络元素、移动终端、系统和计算机程序产品 | |
| CN113396637B (zh) | 一种通信的方法、装置及系统 | |
| JP7045455B2 (ja) | アクセス拒否方法、装置、およびシステム、ならびに記憶媒体およびプロ | |
| EP3804374B9 (en) | Method and apparatus for security algorithm negotiation | |
| WO2019161545A1 (zh) | 完整性校验方法、网络设备、终端设备及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20120815 Assignee: Apple Computer, Inc. Assignor: Huawei Technologies Co., Ltd. Contract record no.: 2015990000755 Denomination of invention: Message authentication processing method and device, as well as authentication server Granted publication date: 20130925 License type: Common License Record date: 20150827 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |