CN104754575B - 一种终端认证的方法、装置及系统 - Google Patents

一种终端认证的方法、装置及系统 Download PDF

Info

Publication number
CN104754575B
CN104754575B CN201310753800.6A CN201310753800A CN104754575B CN 104754575 B CN104754575 B CN 104754575B CN 201310753800 A CN201310753800 A CN 201310753800A CN 104754575 B CN104754575 B CN 104754575B
Authority
CN
China
Prior art keywords
request message
authentication
certification
sent
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201310753800.6A
Other languages
English (en)
Other versions
CN104754575A (zh
Inventor
张博
何承东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310753800.6A priority Critical patent/CN104754575B/zh
Priority to PCT/CN2014/080713 priority patent/WO2015100974A1/zh
Priority to EP14876765.0A priority patent/EP3086586B1/en
Publication of CN104754575A publication Critical patent/CN104754575A/zh
Priority to US15/197,381 priority patent/US10588015B2/en
Application granted granted Critical
Publication of CN104754575B publication Critical patent/CN104754575B/zh
Priority to US16/748,627 priority patent/US20200162913A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Abstract

本发明实施例公开了一种终端认证的方法,包括:用户设备中继UE‑R接收用户设备UE发送的第一请求消息;所述UE‑R根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息;所述UE‑R接收所述控制网元发送的认证请求消息,判断所述认证请求消息是否是对所述UE的认证;若所述认证请求消息是对所述UE的认证,所述UE‑R向所述UE发送认证请求消息;所述UE‑R接收所述UE根据所述认证请求消息发送的认证响应消息,并将所述认证响应消息发送给所述控制网元。本发明实施例还公开了一种终端认证的装置。本发明具有操作简单,可降低终端的复杂性和成本,提高终端认证的效率和用户体验的优点。

Description

一种终端认证的方法、装置及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种终端认证的方法、装置及系统。
背景技术
近距离通信业务(Proximity Service,ProSe)技术主要是在两个距离较近的用户终端(User Equipment,UE)之间建立安全的通信信道,使得两个UE进行端到端的数据传输时数据能够进行安全的交换。ProSe技术主要包括:ProSe Discovery和ProSeCommunication两部分,其中,在ProSe阶段,上述两个UE需要借助演进的通用陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,E-UTRAN)或者其他非网络节点技术检测到对方,完成对双方身份的检验;在ProSe Communication阶段,上述两个UE需要借助E-UTRAN或者其他非网络节点技术建立安全的通信信道,建立安全的通信信道之后则可进行安全的数据通信。在ProSe技术的具体应用中,UE可通过用户设备中继(UE-to-Network Relay,UE-R)接入到网络演进的分组核心(Evolved Packet Core,EPC),在一些具体的应用场景中,UE可能没有被EPC网络信号覆盖,而UE-R有被EPC网络信号所覆盖,此时,UE可通过UE-R接入到EPC网络中。在上述场景中,由于UE可通过UE-R接入到EPC网络,使得UE接入到EPC网络的过程中可能存在着未授权的UE接入到网络的安全威胁,故此,需要采取相应的安全措施来防止未授权的UE接入到网络中。
现有技术中主要是采用扩展认证协议-认证与密钥分配(ExtensibleAuthentication Protocol-Authentication and Key Agreement,EAP-AKA)认证协议,通过验证、授权和账户(Authentication,Authorization and Accounting,AAA)Server(归属用户服务器)和UE-R完成远程UE与网络之间的认证,现有技术采用EAP-AKA协议对UE进行认证,使得UE需要支持演进的分组系统(Evolved Packet System,EPS)AKA认证,也要支持EAP-AKA认证,增加了终端(即UE)的复杂性和成本,对现有协议影响较大,UE-R也需要新的协议栈来承载Radius协议或Diameter协议,增加了UE-R的复杂性和成本。此外,现有技术采用EAP-AKA认证协议,通过AAA Server和UE-R完成远程UE与网络之间的认证时需要的消息流程较大,UE认证的效率也较低,用户体验效果低。
发明内容
本发明实施例提供一种终端认证的方法、装置及系统,可采用EPS AKA认证完成对通过UE-R接入网络的UE的认证,操作简单,降低了终端的复杂度和成本,提高了UE认证的效率和用户体验。
本发明实施例第一方面提供了一种终端认证的方法,其可包括:
用户设备中继UE-R接收用户设备UE发送的第一请求消息;
所述UE-R根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息,以使所述控制网元根据所述第二请求消息向归属用户服务器HSS发送认证数据请求消息,其中,所述认证数据请求消息中携带所述UE认证的标识信息;
所述UE-R接收所述控制网元发送的认证请求消息,判断所述认证请求消息是否是对所述UE的认证;
若所述认证请求消息是对所述UE的认证,所述UE-R向所述UE发送认证请求消息,所述认证请求消息中包括所述UE的认证参数;
所述UE-R接收所述UE根据所述认证请求消息发送的认证响应消息,并将所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
结合第一方面,在第一种可能的实现方式中,所述UE发送的第一请求消息中包含所述UE认证的标识信息;
所述UE-R根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息,包括:
所述UE-R将所述第一请求消息中携带的所述UE认证的标识信息添加到所述第二请求消息中,并将所述第二请求消息发送给所述控制网元。
结合第一方面或第一方面第一种可能的实现方式,在第二种可能的实现方式中,所述UE发送的第一请求消息不包含所述UE认证的标识信息;
所述UE-R根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息,包括:
所述UE-R在所述第二请求消息中添加所述UE认证的标识信息,并将所述第二请求消息发送给所述控制网元。
结合第一方面至第一方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述控制网元发送的认证请求消息中包括所述HSS根据所述UE认证的标识信息设定的对所述UE认证的认证标识信息;
所述判断所述认证请求消息是否是对所述UE的认证,包括:
判断所述认证请求消息中是否包含认证标识信息;
若所述认证请求消息中包含所述认证标识信息,则判断所述认证请求消息为对所述UE的认证。
本发明实施例第二方面提供了一种终端的认证方法,其可包括:
HSS接收控制网元发送的认证数据请求消息,根据所述认证数据请求消息判断所述认证数据请求消息是否包括UE认证的标识信息;
若所述认证数据请求消息中包括所述UE认证的标识信息,所述HSS在认证矢量中设定所述UE认证的认证标识信息;
所述HSS将所述认证矢量发送给所述控制网元,以通过所述控制网元将所述认证标识信息发送给UE-R,以使所述UE-R根据所述认证标识信息判断是否是对所述UE的认证。
结合第二方面,在第一种可能的实现方式中,所述认证矢量中包括:RAND参数、AUTN参数、XRES参数、和Kasme参数;
所述HSS在所述认证矢量中设定所述UE认证的认证标识信息,包括:
所述HSS在所述认证矢量中的AUTN参数中的认证管理域AMF参数中设定所述认证标识信息。
结合第二方面或第二方面第一种可能的实现方式,在第二种可能的实现方式中,所述认证矢量中包括:RAND参数、AUTN参数、XRES参数和Kasme参数;
所述HSS在所述认证矢量中设定所述UE认证的认证标识信息,还包括:
所述HSS对所述认证矢量中的RAND参数进行加密;
所述HSS在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
本发明实施例第三方面提供了一种终端认证的方法,其可包括:
UE向UE-R发送第一请求消息,以使所述UE-R根据所述第一请求消息向控制网元发送第二请求消息;
所述UE接收所述UE-R发送的认证请求消息,所述认证请求消息中携带所述UE认证认证标识信息;
所述UE对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应;
所述UE将所述认证响应发送给所述UE-R,以通过所述UE-R发送给控制网元对所述UE进行认证。
结合第三方面,在第一种可能的实现方式中,所述UE向UE-R发送的所述第一请求消息中包括所述UE认证的标识信息。
本发明实施例第四方面提供了一种终端认证的方法,其可包括:
控制网元接收UE-R发送的第二请求消息,判断所述第二请求消息是否包含UE认证的标识信息;
若所述第二请求消息包含所述UE认证的标识信息,所述控制网元向HSS发送认证数据请求消息,所述认证数据请求消息中携带所述UE认证的标识信息;
所述控制网元从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量;
所述控制网元将包含所述认证矢量信息的认证请求消息发送给所述UE-R,以供所述UE-R判断所述认证请求消息是否是对UE的认证。
结合第四方面,在第一种可能的实现方式中,所述控制网元接收UE-R发送的第二请求消息之后,所述方法还包括:
判断所述第二请求消息是否为指定消息类型;
若所述第二请求消息为所述指定消息类型,所述控制网元向HSS发送认证数据请求消息。
结合第四方面或第四方面第一种可能的实现方式,在第二种可能的实现方式中,所述控制网元向HSS发送认证数据请求消息之前,所述方法还包括:
所述控制网元添加所述UE认证的标识信息到所述认证数据请求消息中。
结合第四方面至第四方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述控制网元将包含所述认证矢量的认证请求消息发送给所述UE-R之前,所述方法还包括:
所述控制网元添加所述UE认证的标识信息到所述认证请求消息中。
本发明实施例第五方面提供了一种终端认证的中继设备,其可包括:
接收模块,用于接收UE发送的第一请求消息;
发送模块,用于根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息,以使所述控制网元根据所述第二请求消息向HSS发送认证数据请求消息,其中,所述认证数据请求消息中携带所述UE认证的标识信息;
所述接收模块,用于接收所述控制网元发送的认证请求消息;
判断模块,用于根据所述接收模块接收到的所述认证请求消息判断所述认证请求消息是否是对所述UE的认证;
所述发送模块,用于在所述判断模块判断结果为是时,向所述UE发送认证请求消息,所述认证请求消息中包括所述UE的认证参数;
所述接收模块,还用于接收所述UE根据所述发送模块发送的所述认证请求消息发送的认证响应消息;
所述发送模块,用于将所述接收模块接收到的所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
结合第五方面,在第一种可能的实现方式中,所述接收模块接收到的所述UE发送的第一请求消息中包含所述UE认证的标识信息;
所述发送模块,还具体用于:
将所述第一请求消息中携带的所述UE认证的标识信息添加到所述第二请求消息中,并将所述第二请求消息发送给所述控制网元。
结合第五方面或第五方面第一种可能的实现方式,在第二种可能的实现方式中,所述接收模块接收到的所述UE发送的第一请求消息中不包含所述UE认证的标识信息;
所述发送模块,具体用于:
在所述第二请求消息中添加所述UE认证的标识信息,并将所述第二请求消息发送给所述控制网元。
结合第五方面至第五方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述接收模块接收到的所述控制网元发送的认证请求消息中包括所述HSS根据所述UE认证的标识信息设定的对所述UE认证的认证标识信息;
所述判断模块,具体用于:
判断所述认证请求消息是否包含认证标识信息;
若所述认证请求消息中包含所述认证标识信息,则判断所述认证请求消息为对所述UE的认证。
本发明实施例第六方面提供了一种终端认证的服务器,其可包括:
接收模块,用于接收控制网元发送的认证数据请求消息;
判断模块,用于根据所述接收模块接收到的所述认证数据请求消息判断所述认证数据请求消息是否包含UE认证的标识信息;
处理模块,用于在所述判断模块判断结果为是时,在认证矢量中设定所述UE认证的认证标识信息;
发送模块,用于所述处理模块处理得到的将所述认证矢量发送给所述控制网元,以通过所述控制网元将所述认证标识信息发送给UE-R,以使所述UE-R根据所述认证标识信息判断是否是对所述UE的认证。
结合第六方面,在第一种可能的实现方式中,所述处理模块处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数、和Kasme参数;
所述处理模块,具体用于:
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
结合第六方面或第六方面第一种可能的实现方式,在第二种可能的实现方式中,所述处理模块处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数和Kasme参数;
所述处理模块,还具体用于:
对所述认证矢量中的RAND参数进行加密;
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
本发明实施例第七方面提供了一种终端认证的用户设备,其可包括:
发送模块,用于向UE-R发送第一请求消息,以使所述UE-R根据所述第一请求消息向控制网元发送第二请求消息;
接收模块,用于接收所述UE-R发送的认证请求消息,所述认证请求消息中携带UE认证的认证标识信息;
处理模块,用于对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应。
结合第七方面,在第一种可能的实现方式中,所述发送模块发送的所述第一请求消息中包括所述UE认证的标识信息。
本发明实施例第八方面提供了一种终端认证的控制设备,其可包括:
接收模块,用于接收UE-R发送的第二请求消息;
处理模块,用于根据所述接收模块接收到的所述第二请求消息判断所述第二请求消息是否包含UE认证的标识信息;
发送模块,用于在所述处理模块判断结果为是时,向HSS发送认证数据请求消息,所述认证数据请求消息中携带所述UE认证的标识信息;
所述接收模块,用于从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量;
所述发送模块,还用于将所述接收模块接收到的包含所述认证矢量信息的认证请求消息发送给所述UE-R,以供所述UE-R判断所述认证请求消息是否是对UE的认证。
结合第八方面,在第一种可能的实现方式中,所述控制设备,还包括:
判断模块,用于根据所述接收模块接收到的第二请求消息判断所述第二请求消息是否为指定消息类型,若所述第二请求消息为所述指定消息类型,则通知所述发送模块向HSS发送认证数据请求消息。
结合第八方面或第八方面第一种可能的实现方式,在第二种可能的实现方式中,所述发送模块,还具体用于:
添加所述UE认证的标识信息到所述认证数据请求消息中,并将所述认证数据请求消息发送给所述HSS。
结合第八方面至第八方面第二种可能的实现方式中任一种,在第三种可能的实现方式中,所述发送模块,还具体用于:
添加所述UE认证的标识信息到所述包含所述认证矢量的认证请求消息中,并将认证请求消息发送给所述UE-R。
本发明实施例第九方面提供了一种终端认证的系统,其可包括:如本发明实施例第五方面提供的中继设备、本发明实施例第六方面提供的服务器、本发明实施例第七方面提供的用户设备和本发明实施例第八方面提供的控制设备。
在本发明实施例中,UE通过UE-R接入网络时可通过UE-R将包括UE的标识信息的请求发送给控制网元,以通过控制网元获取UE的认证矢量消息,UE-R可根据获取到的认证矢量消息判断该认证矢量消息是否为对UE的认证,若是,则将向UE发送认证请求,进而可通过控制网元完成UE的认证,操作简单,降低了终端的复杂度和成本,提高了UE认证的效率和用户体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中采用AKA认证原理对UE-R进行认证的示意图;
图2是本发明实施例提供的终端认证的方法的第一实施例流程示意图;
图3是本发明实施例提供的终端认证的方法的第一交互示意图;
图4是本发明实施例提供的终端认证的方法的第二交互示意图;
图5是本发明实施例提供的终端认证的方法的第三交互示意图;
图6是本发明实施例提供的终端认证的方法的第二实施例流程示意图;
图7是本发明实施例提供的终端认证的方法的第四交互示意图;
图8是本发明实施例提供的终端认证的方法的第五交互示意图;
图9是本发明实施例提供的终端认证的方法的第六交互示意图;
图10是本发明实施例提供的终端认证的方法的第七交互示意图;
图11是本发明实施例提供的终端认证的方法的第八交互示意图;
图12是本发明实施例提供的终端认证的方法的第三实施例流程示意图;
图13是本发明实施例提供的终端认证的方法的第四实施例流程示意图;
图14是本发明实施例提供的终端认证的方法的第九交互示意图;
图15是本发明实施例提供的终端认证的中继设备的实施例结构示意图;
图16是本发明实施例提供的终端认证的服务器的实施例结构示意图;
图17是本发明实施例提供的终端认证的用户设备的实施例结构示意图;
图18是本发明实施例提供的终端认证的控制设备的实施例的一结构示意图;
图19是本发明实施例提供的终端认证的控制设备的实施例的另一结构示意图;
图20是本发明实施例提供的终端认证的系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在Prose技术中,当UE通过UE-R接入网络时,本发明实施例可采用EPSAKA认证原理对接入网络的UE进行认证,防止未授权的UE通过UE-R接入网络,对网络造成安全威胁。在Prose技术中,当UE-R作为普通的长期演进(Long Term Evolution,LTE)UE接入网络时,网络对UE-R进行认证时采用的正是EPS AKA认证。同样,基于通用引导架构(GenericBootstrapping Architecture,GBA)的AKA引导过程(bootstrapping procedure)可以替换EPS AKA认证流程应用在以下描述的实施例中。本发明实施例中移动管理实体(MobilityManagement Entity,MME)也可以为ProSe Function(ProSe业务中功能控制网元)。
参见图1,是现有技术中网络采用AKA对UE-R进行认证的交互示意图,其可包括步骤:A1-A10。
A1,UE-R向MME发送请求。
在现有技术中,UE-R向MME发送的请求中包括UE-R的国际移动用户识别码(International Mobile Subscriber Identity,IMSI)。
A2,MME向HSS发送认证数据请求。
在现有技术中,MME接收到UE-R发送的请求之后则可向归属用户服务器(HomeSubscriber Server,HSS)发送认证数据请求,其中,上述认证数据请求中包括UE-R的IMSI。
A3,HSS计算认证矢量。
在现有技术中,当HSS接收到MME发送的认证数据请求时,HSS则可计算对UE-R进行认证的认证矢量,其中,上述认证矢量中包括:RAND(RANDom number)参数、AUTN(Authentication token)参数、XRES(Expected user RESponse)参数、Kasme参数等。
A4,HSS向MME发送认证数据响应。
具体的,HSS向MME发送的认证数据响应中包括:RAND参数、AUTN参数、ARES参数、Kasme等。
A5,MME存储认证数据响应。
在现有技术中,MME接收到HSS发送的认证数据响应之后,则可将接收到的认证数据响应存储起来,并向UE-R发送认证请求。
A6,MME向UE-R发送认证请求。
具体的,上述MME向UE-R发送的认证请求中包括上述RAND参数和AUTN参数。
A7,UE-R验证AUTN,并计算RES(RESponse)参数。
在现有技术中,UE-R接收到MME发送的认证请求之后,则可对上述认证请求中的AUTN进行验证,验证AUTN正确之后,则可计算RES参数,进而可将上述RES参数发送给MME。
A8,UE-R向MME发送用户认证响应。
A9,MME认证UE。
A10,MME向UE-R发送认证响应。
具体的,上述用户认证响应中包括RES参数,MME接收到UE-R发送的RES参数之后,则可上述RES参数与其存储的XRES参数进行比较,对UE-R进行认证。当MME比较得知RES和XRES一致时,则可通过UE-R的认证,
完成对UE-R的认证,并将认证结果通过认证响应反馈给UE-R。
本发明实施例在UE通过UE-R接入网络时,采用上述EPS AKA认证原理对UE进行认证,不需要新增协议(例如EAP-AKA协议)对UE进行认证,UE只需要支持EPS AKA协议即可,无需同时支持EPS AKA协议和EAP-AKA协议,降低了终端的复杂度和成本。本发明实施例在UE通过UE-R接入网络时,通过EPS AKA协议对UE进行认证,UE-R可直接支持UE的认证,无需在UE和UE-R之间建立新的协议栈来支撑新的协议,UE-R支持UE认证的复杂性和成本低,操作便捷,认证效率高。下面将结合图1中所描述的EPS AKA的认证过程,对本发明实施中通过EPS AKA对UE进行认证的具体实现过程进行具体描述。
参见图2,是本发明实施例提供的终端认证的方法的第一实施例流程示意图。本实施例中所描述的终端认证的方法,包括步骤:
S101,UE-R接收UE发送的第一请求消息。
S102,所述UE-R根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息。
在一些可行的实施方式中,上述UE发送的第一请求消息中可包括UE的识别码(IMSI)和UE的标识信息(Indication)(即UE认证的标识信息),其中,上述标识信息Indication可表示上述第一请求消息是UE通过UE-R接入网络而发送的请求。具体实现中,当UE通过UE-R接入网络并向UE-R发送了包含其IMSI和Indication的第一请求消息之后,UE-R则可根据UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。
具体实现中,UE-R向MME发送第二请求消息时,可在上述第二请求消息中添加UE认证的标识信息,其中,上述UE认证的标识信息用于标记上述第二请求消息是UE通过UE-R接入网络时,UE-R向MME发送的请求消息。具体的,当UE-R接收到UE发送的第一请求消息中包含UE认证的标识信息(即Indication)时,UE-R可将上述标识信息Indication作为UE认证的标识信息添加到上述第二请求消息中,也可以重新选择标识信息Indication(与上述第一请求消息中包含的UE认证的标识信息功能相同),并将其作为UE认证的标识信息添加到上述第二请求消息中,其中上述重新选择的标识信息可以与上述第一请求消息中包含的UE认证的标识信息相同,也可不同;然后UE-R将上述第二请求消息发送给MME(即控制网元)。如图3,当UE-R接收到UE发送的第一请求消息时,若接收到的第一请求消息中包括UE的IMSI和Indication时,UE-R则可将上述第一请求消息中包括的UE的IMSI和Indication添加到第二请求消息中,也可以重新选择Indication,并将IMSI和重新选择的Indication添加到第二请求消息中,然后将上述第二请求消息发送给控制网元。网络侧的控制网元通过UE-R接收到上述UE-R发送的第二请求消息之后,则可根据第二请求消息中包含的UE的Indication判断得知当前需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身,进而MME可向HSS发送相应的用户认证数据请求消息。
在一些可行的实施方式中,如图4,当上述UE发送的第一请求消息中仅包括UE的IMSI,不包含上述UE认证的标识信息(Indication)时,当UE通过UE-R接入网络并向UE-R发送了包含其IMSI的第一请求消息之后,UE-R则可根据UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。
具体实现中,如图4,当UE-R接收到的上述第一请求消息中仅包含UE的IMSI时,UE-R可在上述UE发送的第一请求消息中添加标识信息Indication(即UE认证的标识信息),将上述IMSI和Indication添加到第二请求消息中,并将上述包括UE的IMSI和Indication的第二请求消息发送给控制网元。网络侧的控制网元通过UE-R接收到上述UE-R发送的第二请求消息之后,则可根据第二请求消息中包含的UE的Indication判断得知当前需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身。
具体实现中,如图5,当上述UE发送的第一请求消息中仅包括UE的IMSI时,当UE通过UE-R接入网络并向UE-R发送了包含其IMSI的第一请求消息之后,UE-R则可根据UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。
具体实现中,如图5,当UE-R接收到的上述第一请求消息中仅包含UE的IMSI时,UE-R可直接将上述第一请求消息中的UE的IMSI添加到第二请求消息中,并将上述包括UE的IMSI的第二请求消息发送给控制网元,即在上述实现方式中,UE-R向控制网元发送的第二请求消息中包括的UE的IMSI,不包含上述标识信息Indication。具体实现中,在上述实现方式中,当UE-R将仅包含UE的IMSI的第二请求消息发送给网络侧的控制网元之后,由于上述第二请求消息中没有Indication,控制网元无法直接从上述第二请求消息中获取Indication,此时,控制网元可通过上述第二请求消息的消息类型判断上述请求是UE通过UE-R接入网络时发送的认证请求还是UE-R自身接入网络时UE-R发送的认证请求。具体的,控制网元可将接收到的上述第二请求消息的消息类型与预存的指定消息类型进行匹配,判断上述第二请求消息的消息类型是否属于上述指定消息类型,若判断得知上述第二请求消息的消息类型是上述指定消息类型,控制网元则可向HSS发送相应的用户认证数据请求消息,还可通过上述用户认证数据请求消息告知HSS是UE接入网络还是UE-R接入网络,即控制网元通过对上述第二请求消息的消息类型的判定来判断得知当前接收到的第二请求消息的消息类型是否是指定消息类型,以决定向HSS发送的用户认证数据请求消息中包含的内容,即可判断得知需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身。
在一些可行的实施方式中,网络侧接收到UE-R发送的第二请求消息之后,则可根据上述第二请求消息计算对UE进行认证的认证矢量。具体实现中,如图3或图4,当网络侧的控制网元接收到的第二请求消息中包括标识信息Indication时,则可判断得知上述第二请求消息是UE通过UE-R接入网络而发送的请求,而非UE-R接入网络的请求,即当网络侧判断得知上述第二请求消息中包括Indication时,则可计算对UE进行认证的认证矢量。具体的,当网络侧判断得知上述第二请求消息中包括Indication时,可在计算对UE进行认证的认证矢量中设定认证标识信息(即对UE认证的认证标识信息),用于表示上述认证矢量是对UE进行的认证,并将包含上述认证标识信息的认证矢量通过认证请求消息发送给UE-R。具体的,网络侧设定对UE的认证的认证标识信息时可在上述认证矢量中的AMF参数中设定对UE的认证的认证标识信息,例如,可在认证矢量中的AUTN参数中置位AMF参数的第X比特为1,其中,上述1≤X≤7,即上述AMF参数的第X比特可以是AMF参数中空闲的7个比特中的任意一个,网络侧设定上述标志位并将包含上述标志位的认证矢量发送给UE-R,UE-R则可根据上述标志位来判断接收到的认证矢量是对UE的认证,而非对其自身的认证。
具体实现中,当网络侧接收到的第二请求消息中不包括上述标识信息Indication时,网络侧还可通过上述第二请求消息的消息类型判断得知上述第二请求消息的UE通过UE-R接入网络而发送的请求消息,而非UE-R接入网络而发送的请求消息。网络侧判断得知接收到的第二请求消息是UE通过UE-R接入网络而发送的请求消息时,则可计算对UE进行认证的认证矢量,并在上述认证矢量计算中设定对UE的认证的认证标识信息,进而将包含对UE的认证的认证标识信息的认证矢量参数RAND、AUTN发送给UE-R。
S103,所述UE-R接收所述控制网元发送的认证请求消息。
S104,所述UE-R判断所述认证请求消息是否为对所述UE的认证,若判断结果为是,则执行步骤S105。
S105,所述UE-R向所述UE发送认证请求消息。
在一些可行的实施方式中,UE-R接收到网络侧的控制网元发送的认证请求消息之后,则可根据上述认证请求消息中包含的认证矢量的各参数信息判断上述认证请求消息是否是对UE的认证,如果判断得知上述认证请求消息是对UE的认证,UE-R则向UE发送认证请求消息。具体实现中,当UE-R接收到控制网元发送的认证请求消息时,UE-R则可判断上述认证请求消息中是否包含对UE的认证的认证标识信息,例如,UE-R可判断上述认证请求消息中的认证矢量的AMF参数的第X比特是否为1,如果UE-R判断得知上述认证矢量的AMF的第X比特是1,则判断得知上述认证请求消息是对UE的认证;此外,如图10,还可判断认证请求消息中是否包含标识信息Indication2,若存在标识信息Indication2,则判断得知上述认证请求消息是对UE的认证,UE-R则可向UE发送认证请求消息,并将上述认证矢量中的AUTN和RAND等参数发送给UE,以供UE进行验证。
S106,所述UE-R接收所述UE根据所述认证请求消息发送的认证响应消息,并将所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
在一些可行的实施方式中,UE-R向UE发送认证请求消息时将从网络侧接收到的RAND、AUTN发送给UE,UE接收到UE-R发送的RAND,AUTN之后,则可对RAND、AUTN参数进行验证,验证AUTN参数的正确性。UE验证AUTN正确之后,则可计算RES参数,并将计算得到的RES参数发送给UE-R。UE-R接收到UE发送的认证响应(其中,包括上述RES参数)之后,则可将上述认证响应发送给网络侧的控制网元,以通过上述控制网元完成UE的认证。控制网元完成对UE的认证。
在本发明实施例中,UE-R可接收UE发送的请求消息,根据UE发送的请求消息向网络侧发送认证请求消息,并从网络侧获取包含对UE认证的认证标识信息的认证矢量,UE-R可根据网络侧发送的认证请求消息判断是对UE的认证还是对自身的认证,进而将认证请求消息发送给UE,完成对UE的认证,操作简单,终端成本低,提高了UE认证的效率和用户体验。
参见图6,是本发明实施例提供的终端认证的方法的第二实施例流程示意图。本实施例中所描述的终端认证的方法,包括步骤:
S201,HSS接收控制网元发送的认证数据请求消息。
S202,判断所述认证数据请求消息是否包括UE认证的标识信息,若判断结果为是,则执行步骤S203。
S203,所述HSS在认证矢量中设定所述UE认证的认证标识信息。
S204,所述HSS将所述认证矢量发送给所述控制网元。
在一些可行的实施方式中,处于网络侧的HSS接收到控制网元发送的认证数据请求消息之后,则可判断上述认证数据请求消息中是否包含UE认证的标识信息,其中,上述UE认证的标识信息具体可为UE向UE-R发送的第一请求消息中携带的Indication,UE-R将上述第一请求消息中携带的Indication添加到第二请求消息中,进而将上述第二请求消息发送给控制网元,通过控制网元发送给HSS;上述UE认证的标识信息也可为UE-R根据上述第一请求消息在向控制网元发送第二请求消息时添加的Indication,UE-R在上述第二请求消息中添加Indication之后将上述第二请求消息发送给控制网元,控制网元可将上述第二请求消息中携带的Indication发送给HSS,即上述第二请求消息中的UE认证的标识信息也可以为控制网元自己选择的Indication。如图3、图4或图5,当HSS接收到控制网元发送的认证数据请求消息之后,则可判断上述认证数据请求消息中是否包含UE认证的标识信息,即上述认证数据请求消息中是否存在Indication,若判断得知上述认证数据请求消息中包括Indication,则可判断得知上述认证数据请求消息的认证对象为UE。具体实现中,当HSS判断得知上述认证数据请求消息对应的认证对象是UE时,HSS则可计算上述认证数据请求消息对应的认证矢量消息,即对UE认证的认证矢量消息,并可在上述认证矢量消息中设定对UE的认证的认证标识信息。具体的,上述HSS计算的认证矢量消息中可包括RAND、AUTN、XRES和Kasme等参数,HSS确定对UE认证的上述认证矢量中的参数时可在上述AUTN参数中的AMF参数中设定对UE认证的认证标识信息,用于表示上述认证矢量是对UE进行的认证。如3、图4或图5,HSS可将AMF参数的第X比特设定为对UE的认证的标志位,比如将上述AMF参数的第X比特设置为1,以此作为对UE认证的认证标识信息,其中,上述AMF参数的第X比特为AMF参数中空闲的7个比特中的任意一个,即1≤X≤7。
在一些可行的实施方式中,HSS确定了对UE认证的认证矢量消息并设定对UE认证的认证标识信息之后,则可将上述包含对UE认证的认证标识信息的认证矢量通过认证响应消息发送给控制网元,以通过控制网元将上述认证矢量通过认证请求消息发送给UE-R。UE-R接收到控制网元发送的认证请求消息之后则可根据上述认证请求消息中包含的认证矢量中的对UE认证的认证标识信息判断得知上述认证矢量是对UE的认证,而非对其自身的认证,进而可将上述认证矢量中相应的认证参数发送给UE,实现对UE的认证。
在一些可行的实施方式中,如图7或图8,当HSS接收到控制网元发送的认证数据请求消息之后,若判断得知上述认证数据请求消息中包括上述UE认证的标识信息,即上述认证数据请求消息中存在Indication,则可计算对UE认证的认证矢量,并将上述认证矢量的AUTN参数的AMF参数中第X比特置位,以此来设定对UE认证的认证标识信息。除此之外,如图9,当HSS接收到控制网元发送的认证数据请求消息之后,若判断得知上述认证数据请求消息中包括上述UE认证的标识信息,即上述认证数据请求消息中存在Indication,HSS还可对上述认证矢量中的RAND参数进行加密,并将上述AMF参数的第X比特设定为对RAND参数进行加密的标志位,以上述AMF的第X比特设定为1作为对RAND参数进行加密的标识信息,得到加密后的RAND参数RAND*。即,可将上述AMF参数的第X比特为1设定为对RAND参数进行加密以及对UE认证的认证标识信息添加到上述认证矢量中,当UE-R接收到上述认证矢量时,若判断得知上述认证矢量中的AMF参数的第X比特为1,则可判断得知上述认证矢量是对UE认证的认证矢量,UE-R则可向UE发送认证请求,将上述认证矢量中的RADN*参数和AUTN参数发送给UE;UE接收到上述认证矢量的参数信息之后,若判断得知上述AUTN参数中的AMF参数的第X比特为1,则可对RAND*参数进行解密,再对AUTN进行验证。即HSS在计算对UE认证的认证矢量时,可通过置位的方法来设定对UE认证的认证标识信息,还可同时通过加密的方法来保护认证矢量中的参数RAND,可提高对UE认证的效率和用户体验效果。
在一些可行的实施方式中,若HSS接收到控制网元发送的认证数据请求消息中不包含上述UE认证的标识信息,即不包含Indication,如图10或图11,HSS则可按照对UE-R认证的方法计算对UE认证的认证矢量,并且不对上述认证矢量做置位或者加密,直接通过认证数据响应信息发送认证矢量给控制网元,以通过控制网元对上述认证数据响应消息进行处理并发送认证请求消息给UE-R。UE-R可根据通过控制网元进行处理的认证矢量来判断上述认证请求消息是对UE的认证还是对其自身的认证。
在本发明实施例中,处于网络侧的HSS接收到控制网元发送的认证数据请求之后则可根据接收到的认证数据请求计算对UE认证的认证矢量,还可对上述认证矢量中的参数进行置位来标识消息,或者对认证矢量中的参数进行加密来保护上述参数,UE-R可通过HSS发送的认证矢量确定上述认证矢量是对UE的认证还是对其自身的认证,可提高UE认证的效率和用户体验,降低UE-R和HSS等终端的复杂性和成本。
参见图12,是本发明实施例提供的终端认证的方法的第三实施例流程示意图。本实施例中所描述的终端认证的方法,包括步骤:
S301,UE向UE-R发送第一请求消息。
S302,所述UE接收所述UE-R发送的认证请求消息。
S303,所述UE对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应。
S304,所述UE将所述认证响应发送给所述UE-R。
在一些可行的实施方式中,当UE没有被EPC网络信号覆盖,而UE-R被EPC网络信号覆盖时,UE可通过UE-R接入网络,进而可实现与其他UE的近距离通信。
具体实现中,当UE通过UE-R接入网络时,网络需要对其进行验证,通过验证之后UE才能被允许接入到网络。具体的,网络侧对UE进行认证时,UE可向UE-R发送请求消息,即UE可向UE-R发送第一请求消息,其中,上述第一请求消息中可包括UE认证的标识信息(即Indication),如图3。UE向UE-R发送请求消息之后,UE-R则可根据UE发送的请求消息向网络侧的控制网元发送请求消息,以将UE的标识信息(如Indication)发送给网络侧的HSS,以供HSS设定对UE认证的认证矢量。
在一些可行的实施方式中,当HSS接收到控制网元发送的认证数据请求消息之后,判断得知上述认证数据请求消息是UE通过UE-R接入网络而发送的请求时,则可计算对UE认证的认证矢量,并通过对上述认证矢量中参数进行置位的方法来标识上述认证矢量的对UE的认证,进而将包含对UE认证的认证标识信息的认证请求消息通过控制网元发送给UE-R。UE-R接收到控制网元发送的认证请求消息之后,若判断得知上述认证请求消息是对UE的认证,则可向UE发送认证请求消息,UE接收到UE-R发送的认证请求消息之后,则可根据上述认证请求消息得到UE的认证响应。具体实现中,上述UE-R向UE发送的认证请求中可包括UE-R根据UE发送的第一请求消息向HSS请求的认证参数,即上述HSS根据控制网元发送的认证数据请求设定的对UE认证的认证矢量中包含的认证参数。如图3,UE接收到UE-R发送的认证请求消息之后,则可验证上述认证请求中的AUTN参数的正确性,并在验证上述AUTN正确之后计算出RES参数,其中,上述认证请求消息中携带认证标识信息,UE可对上述认证标识信息进行验证,进而根据上述认证标识信息计算认证响应。UE根据上述认证参数得到上述RES参数之后,则可将上述RES参数作为UE的认证响应消息发送给UE-R,以通过UE-R将上述认证响应发送给控制网元,通过控制网元完成对UE的认证。
在一些可行的实施方式中,当UE从UE-R接收到的认证请求消息中包括的认证标识信息中的认证参数包括加密信息时,如图7。UE接收到UE-R发送的认证请求消息之后,则可对上述认证请求消息中的认证标识信息进行解析,判断上述认证标识信息中的AUTN参数中的AMF参数的第X比特是否为1,若判断得知上述AMF参数的第X比特为1,则可对上述认证参数中的加密信息(RAND*参数)进行解密,得知明文RAND参数,并对上述认证参数中的AUTN参数进行验证,进而根据上述解密得到的明文RAND参数和上述认证标识信息中的认证参数等信息计算得到认证响应。具体的,当UE对上述加密信息(RAND*)进行解密得到明文RAND参数,并对上述AUTN参数进行验证得知上述AUTN参数正确之后,则可计算出RES参数,并将上述RES参数作为UE的认证响应发送给UE-R。
在本发明实施例中,UE通过UE-R接入网络时可向UE-R发送请求消息,并通过UE-R获取网络侧发送的认证矢量中的认证参数等信息,在验证UE-R发送的认证参数的正确性之后计算出RES参数,再通过UE-R将RES参数发送网络侧,完成UE的认证;在本发明实施例中,当网络侧发送的认证参数中包含加密信息时,UE还可在判断得知接收到的参数中包括加密信息时对加密信息进行解密得到明文,再对其他参数进行验证,进而根据解密得到的明文及上述认证参数计算认证响应,可提高UE认证的效率和安全性,而且UE和UE-R均无需支持新的协议,操作简单,降低UE和UE-R等终端的复杂性和成本。
参见图13,是本发明实施例提供的终端认证的方法的第四实施例流程示意图。本实施例中所描述的终端认证的方法,包括步骤:
S401,控制网元接收UE-R发送的第二请求消息。
S402,判断所述第二请求消息是否包含UE认证的标识信息,若判断结果为是,则执行步骤S403。
S403,所述控制网元向HSS发送认证数据请求消息。
在一些可行的实施方式中,本发明实施例中所描述的认证对象可包括UE和UE-R,下面将以UE为例,对本发明实施例提供的终端认证的方法进行具体描述。本发明实施中所描述的控制网元即为本发明实施例中所描述的MME,在一些可行的实施方式中,本发明实施中所描述的MME网元可为Prose业务中的功能控制网元,下面将控制网元为执行主体对本发明实施中所描述的终端认证的方法进行具体描述。
在一些可行的实施方式中,上述控制网元从UE-R接收到的第二请求消息中包括UE认证的标识信息(即Indication)和IMSI,如图3,当控制网元从UE-R接收到的第二请求消息中包括Indication时,控制网元则可根据上述IMSI和Indication向HSS发送认证数据请求消息。当上述控制网元从UE-R接收到的第二请求消息中包括UE的识别码(IMSI)和上述第二请求消息的消息类型时,控制网元则可将上述第二请求消息的消息类型,与指定消息类型进行匹配,判断上述第二请求消息是否为指定消息类型,若上述第二请求消息的消息类型是指定消息类型,控制网元则可向HSS发送认证数据请求消息。控制网元确定上述第二请求消息的消息类型是指定消息类型之后,则可添加UE认证的标识信息到上述认证数据请求消息中,如图5、图9。其中,上述UE认证的标识信息可为上述第二请求消息中携带的UE认证的标识信息(Indication),也可为控制网元在确定上述第二请求消息的消息类型是指定消息类型之后,在上述认证数据请求消息中自行添加的标识信息(Indication),上述第二请求消息中携带的Indication可与控制网元在上述认证数据请求消息中添加的Indication为同一个Indication,也可为不同的Indication,但均可用于标记上述认证数据请求消息的UE通过UE-R接入网络而通过控制网元发送的认证数据请求消息。
S404,所述控制网元从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量。
S405,所述控制网元将包含所述认证矢量信息的认证请求消息发送给所述UE-R。
在一些可行的实施方式中,如图3,当控制网元从UE-R接收到的第二请求消息中包括Indication(UE认证的标识信息)时,控制网元判断得知上述第二请求消息中包含Indication时,则可向HSS发送认证数据请求消息,或者如图5、图9,当控制网元根据接收到的第二请求消息判断得知上述第二请求消息的消息类型是指定消息类型之后,控制网元则可在上述认证数据请求消息中添加UE认证的标识信息Indication,进而将包含上述UE的IMSI和Indication的认证数据请求消息发送给HSS,并从HSS处获取HSS设定的包含对UE认证的认证标识信息的认证矢量。控制网元从HSS处获取了对UE认证的认证矢量之后,则可向上述UE-R发送认证请求消息,将上述认证请求消息发送给UE-R,以通过UE-R将上述对UE认证的认证请求消息发送给UE。
在一些可行的实施方式中,如图10,当控制网元从UE-R接收到的第二请求消息中包括Indication1(UE认证的标识信息)时,控制网元根据上述第二请求消息判断得知上述第二请求消息中包含UE认证的标识信息Indication1之后,则可将包含上述UE的IMSI的认证数据请求消息发送给HSS,即上述认证数据请求消息中不包括UE认证的标识信息Indication1。HSS接收到上述仅包含UE的IMSI的认证数据请求消息之后可直接按照对UE-R认证时计算认证矢量的方式计算认证矢量,即此时HSS无法区别是对UE的认证还是对UE-R的认证,故此HSS无法通过对计算得到的认证矢量进行置位做认证标识信息,也不对认证矢量进行加密保护,而是直接将处理得到的认证矢量发送给控制网元。控制网元接收到HSS发送的认证矢量之后,为了使得UE-R能区分控制网元发送的认证矢量消息是对UE的认证,而非对其自身的认证,控制网元可在接收到HSS发送的认证矢量之后,可将标识信息(Indication2)添加到上述HSS设定的认证矢量中,进而将包括上述标识信息Indication2的认证请求消息发送给UE-R。其中,上述标识信息Indication2表示上述认证请求消息是对UE认证的认证请求消息,具体的,上述Indication2可以是上述认证请求消息中新增的字段,也可以是上述认证请求消息中的空闲字段;Indication2可以为MME新选择的标识信息,也可以为UE发送给UE-R的标识信息,或者UE-R发送给MME的标识信息,或者MME发送给HSS的标识信息。具体实现中,如图14,当控制网元从UE-R接收到的第二请求消息中仅包括UE的IMSI不包含UE认证的标识信息Indication(或Indication1)时,控制网元可根据上述第二请求消息的消息类型确定上述第二请求消息的消息类型是否为指定消息类型。当控制网元确定上述第二请求消息中包含UE认证的标识信息(具体可为上述图3中的Indication或者上述图10中的Indication1)或者上述第二请求消息的消息类型是指定消息类型之后,也可将认证数据请求消息发送给HSS,其中,上述认证数据请求消息中不包含UE认证的标识信息。HSS接收到上述仅包含UE的IMSI(即不包含上述UE认证的标识信息)的认证数据请求消息之后可直接按照对UE-R认证时计算认证矢量的方式计算认证矢量,并将处理得到的认证矢量发送给控制网元。控制网元接收到HSS发送的包含认证矢量的认证响应消息之后,将上述认证矢量通过认证请求消息发送给UE-R之前可将标识信息(如Indication2)添加到上述认证请求消息中,将上述包含上述标识信息Indicatio2的认证矢量等信息通过认证请求消息发送给UE-R。如图14,控制网元可在接收到HSS发送的认证矢量消息之后,将标识信息(Indication2)添加到上述HSS设定的认证请求消息中,并将包括Indication2和HSS设定的认证矢量(包括RAND、AUTN)的认证请求消息发送给UE-R,具体的,控制网元可将包含标识信息Indication2和认证矢量的认证请求发送给UE-R,以通过上述Indication2告知UE-R上述认证请求消息是对UE认证的请求消息。
在一些可行的实施方式中,控制网元将对UE认证的认证请求消息发送给UE-R之后,UE-R则可根据上述认证请求消息向UE发送认证请求消息,将上述HSS设定的RAND、AUTN等信息发送给UE,UE则可对上述认证请求消息中的认证矢量中包含的认证参数进行验证,并计算得到参数RES,进而将RES参数通过认证响应发送给UE-R。UE-R接收到UE发送的认证响应消息之后,则可将上述包含RES参数的认证响应消息发送给控制网元,控制网元接收到上述认证响应消息之后,则可将上述认证响应消息中的RES参数与预存的HSS发送的认证矢量中的XRES进行比较,判断上述RES与XRES是否一致,若判断结果为是,则可判断得知上述UE是被允许接入的UE,即可通过UE的认证请求,完成对UE的认证。
在本发明实施例中,控制网元可根据UE-R发送的第二请求消息确定上述第二请求消息中是否包含UE认证的标识信息或者上述第二请求消息的消息类型是否为指定消息类型,在上述第二请求消息中包含UE认证的标识信息或者上述第二请求消息的消息类型为指定消息类型时向HSS发送认证数据请求消息,并从HSS处获取对UE认证的认证矢量等认证标识信息,进而将包含认证标识信息的认证请求消息发送给UE-R,以通过UE-R将上述认证标识信息发送给UE;在本发明实施例中控制网元可将包含UE认证的标识信息的认证数据请求消息发送给HSS,或者将包含认证标识信息的认证请求消息发送给UE-R,可提高网络对UE认证的效率,降低UE-R和UE等终端的复杂性和成本,增强UE认证的用户体验。
参见图15,是本发明实施例提供的终端认证的中继设备的实施例结构示意图。本实施例中所描述的中继设备,包括:
接收模块10,用于接收UE发送的第一请求消息。
发送模块20,用于根据所述UE发送的所述第一请求消息向控制网元发送第二请求消息,以使所述控制网元根据所述第二请求消息向HSS发送认证数据请求消息,其中,所述认证数据请求消息中携带所述UE认证的标识信息。
所述接收模块10,用于接收所述控制网元发送的认证请求消息。
判断模块30,用于根据所述接收模块接收到的所述认证请求消息判断所述认证请求消息是否是对所述UE的认证。
所述发送模块20,用于在所述判断模块判断结果为是时,向所述UE发送认证请求消息,所述认证请求消息中包括所述UE的认证参数。
所述接收模块10,还用于接收所述UE根据所述发送模块发送的所述认证请求消息发送的认证响应消息。
所述发送模块20,用于将所述接收模块接收到的所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
在一些可行的实施方式中,所述接收模块10接收到的所述UE发送的第一请求消息中包含所述UE认证的标识信息;
上述发送模块20,还具体用于:
将所述第一请求消息中携带的所述UE认证的标识信息添加到所述第二请求消息中,并将所述第二请求消息发送给所述控制网元。
具体实现中,本发明实施例中所描述UE-R即为本发明实施例中所描述的终端认证的中继设备。
在一些可行的实施方式中,上述接收模块10接收到的UE发送的第一请求消息中可包括UE的识别码(IMSI)和UE的标识信息(Indication)(即UE认证的标识信息),其中,上述标识信息Indication可表示上述第一请求消息是UE通过UE-R接入网络而发送的请求。具体实现中,当UE-R的接收模块10接收到UE通过UE-R接入网络并向UE-R发送的包含其IMSI和Indication的第一请求消息之后,UE-R的发送模块20则可根据接收模块10接收到的UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。具体实现中,发送模块20向MME发送第二请求消息时,可在上述第二请求消息中添加UE认证的标识信息,其中,上述UE认证的标识信息用于标记上述第二请求消息是UE通过UE-R接入网络时,UE-R向MME发送的请求消息。具体的,当UE-R的接收模块10接收到的UE发送的第一请求消息中包含UE认证的标识信息(即Indication)时,发送模块20可将上述标识信息Indication作为UE认证的标识信息添加到上述第二请求消息中;发送模块20也可以选择新的标识信息,并将新选择的标识信息作为UE认证的标识信息添加到上路第二请求消息中,进而将上述第二请求消息发送给MME(即控制网元)。如图3,当UE-R的接收模块10接收到UE发送的第一请求消息时,若上述接收模块10接收到的第一请求消息中包括UE的IMSI和Indication时,UE-R的发送模块20则可将上述第一请求消息中包括的UE的IMSI和Indication添加到第二请求消息中,也可以重新选择Indication,并将IMSI和重新选择的Indication添加到第二请求消息中,并将上述第二请求消息发送给控制网元。网络侧的控制网元通过UE-R接收到上述UE-R发送的第二请求消息之后,则可根据第二请求消息中包含的Indication判断得知当前需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身,进而MME可向HSS发送相应的用户认证数据请求消息。
在一些可行的实施方式中,上述接收模块10接收到的所述UE发送的第一请求消息中不包含所述UE认证的标识信息;
所述发送模块20,具体用于:
在所述第二请求消息中添加所述UE认证的标识信息,并将所述第二请求消息发送给所述控制网元。
在一些可行的实施方式中,如图4,当接收模块10接收到的上述UE发送的第一请求消息中仅包括UE的IMSI,不包含上述UE认证的标识信息(Indication)时,当UE通过UE-R接入网络并向UE-R发送了包含其IMSI的第一请求消息之后,UE-R的发送模块20则可根据UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述发送模块20发送的第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。具体实现中,如图4,当UE-R的接收模块10接收到的上述第一请求消息中仅包含UE的IMSI时,UE-R的发送模块20可在上述UE发送的第一请求消息中添加上述标识信息Indication(即UE认证的标识信息),将上述IMSI和Indication添加到第二请求消息中,并将上述包括UE的IMSI和Indication的第二请求消息发送给控制网元。网络侧的控制网元通过UE-R接收到上述UE-R发送的第二请求消息之后,则可根据第二请求消息中包含的UE的Indication判断得知当前需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身。
具体实现中,如图5,当上述UE发送的第一请求消息中仅包括UE的IMSI时,当接收模块10接收到UE通过UE-R接入网络并向UE-R发送的包含UE的IMSI的第一请求消息之后,UE-R的发送模块20则可根据UE发送的第一请求消息向控制网元发送第二请求消息。具体的,上述发送模块20发送的第二请求消息的消息类型可与上述第一请求消息的消息类型相同,也可不同,具体可根据UE认证的实际场景需求设定。具体实现中,如图5,当UE-R的接收模块10接收到的上述第一请求消息中仅包含UE的IMSI时,UE-R的发送模块20可直接将上述第一请求消息中的UE的IMSI添加到第二请求消息中,并将上述包括UE的IMSI的第二请求消息发送给控制网元,即在上述实现方式中,UE-R的发送模块20向控制网元发送的第二请求消息中包括UE的IMSI,不包含上述UE认证的标识信息Indication。在上述实现方式中,当UE-R的发送模块20将仅包含UE的IMSI的第二请求消息发送给网络侧的控制网元之后,由于上述第二请求消息中没有Indication,控制网元无法直接从上述第二请求消息中获取Indication,此时,控制网元可通过上述第二请求消息的消息类型判断上述请求是UE通过UE-R接入网络时发送的认证请求还是UE-R自身接入网络时UE-R发送的认证请求。具体的,控制网元可将接收到的上述发送模块20发送的第二请求消息的消息类型与预存的指定消息类型进行匹配,判断上述第二请求消息的消息类型是否属于上述指定消息类型,若判断得知上述第二请求消息的消息类型是上述指定消息类型,控制网元的发送模块20则可向HSS发送相应的用户认证数据请求消息,还可通过上述用户认证数据请求消息告知HSS是UE接入网络还是UE-R接入网络,即控制网元通过对上述第二请求消息的消息类型的判定来判断得知当前接收到的第二请求消息的消息类型是否是指定消息类型,以决定向HSS发送的用户认证数据请求消息中包含的内容,即可判断得知需要进行认证的是通过UE-R接入网络的UE,而非UE-R自身。
在一些可行的实施方式中,网络侧接收到UE-R的发送模块20发送的第二请求消息之后,则可根据上述第二请求消息计算对UE进行认证的认证矢量。具体实现中,如图3或图4,当网络侧的控制网元接收到UE-R的发送模块20发送的第二请求消息中包括标识信息Indication时,则可判断得知上述第二请求消息是UE通过UE-R接入网络而发送的请求,而非UE-R接入网络的请求,即当网络侧判断得知上述第二请求消息中包括Indication时,则可计算对UE进行认证的认证矢量。具体的,当网络侧判断得知上述第二请求消息中包括Indication时,可在计算对UE进行认证的认证矢量中设定认证标识信息(即对UE认证的认证标识信息),用于表示上述认证矢量是对UE进行的认证,并将包含上述认证标识信息的认证矢量通过认证请求消息发送给UE-R。网络侧设定对UE认证的认证标识信息时可在上述认证矢量中的AMF参数中设定对UE的认证的认证标识信息,例如,可在认证矢量中的AUTN参数中置位AMF参数的第X比特为1,其中,上述1≤X≤7,即上述AMF参数的第X比特可以是AMF参数中空闲的7个比特中的任意一个,网络侧设定上述标志位并将包含上述标志位的认证矢量发送给UE-R,UE-R则可根据上述标志位来判断接收到的认证矢量是对UE的认证,而非对其自身的认证。
具体实现中,当网络侧接收到的第二请求消息中不包括上述标识信息Indication时,网络侧还可通过上述第二请求消息的消息类型判断得知上述第二请求消息的UE通过UE-R接入网络而发送的请求消息,而非UE-R接入网络而发送的请求消息。网络侧判断得知接收到的第二请求消息是UE通过UE-R接入网络而发送的请求消息时,则可计算对UE进行认证的认证矢量,并在上述认证矢量计算中设定对UE的认证的标识信息,进而将包含对UE的认证的标识信息的认证矢量参数RAND、AUTN发送给UE-R。
在一些可行的实施方式中,上述接收模块10接收到的的所述控制网元发送的认证请求消息中包括所述HSS根据所述UE认证的标识信息设定的对所述UE认证的认证标识信息;
所述判断模块30,具体用于:
判断所述认证请求消息是否包含认证标识信息;
若所述认证请求消息中包含所述认证标识信息,则判断所述认证请求消息为对所述UE的认证。
在一些可行的实施方式中,UE-R的接收模块10接收到网络侧的控制网元发送的认证请求消息之后,判断模块30则可根据上述接收模块10接收到的认证请求消息中包含的认证矢量的各参数信息判断上述认证请求消息是否是对UE的认证,如果判断模块30判断得知上述认证请求消息是对UE的认证,UE-R的发送模块20则向UE发送认证请求消息。具体实现中,当UE-R的接收模块10接收到控制网元发送的认证请求消息时,UE-R的判断模块30则可判断上述认证请求消息中是否包含对UE的认证的认证标识信息,例如,UE-R的判断模块30可判断上述认证请求消息中的认证矢量的AMF参数的第X比特是否为1,如果判断模块30判断得知上述认证矢量的AMF的第X比特是1,则判断得知上述认证请求消息是对UE的认证;具体的,如图10,UE-R判断模块30还可判断认证请求消息中是否包含标识信息Indication2,若存在标识信息Indication2,则判断得知上述认证请求消息是对UE的认证;发送模块20则可向UE发送认证请求消息,并将上述认证矢量中的AUTN和RAND等参数发送给UE,以供UE进行验证。
在一些可行的实施方式中,UE-R的发送模块20向UE发送认证请求消息时可将从网络侧接收到的上述认证矢量发送给UE,UE接收到UE-R发送的认证矢量参数RAND、AUTN之后,则可对认证矢量中的RAND、AUTN参数进行验证,验证AUTN参数的正确性。UE验证AUTN正确之后,则可计算RES参数,并将计算得到的RES参数发送给UE-R。UE-R接收到UE发送的认证响应(包括上述RES参数)之后,则可将上述认证响应发送给网络侧的控制网元,以通过上述控制网元完成UE的认证。
在本发明实施例中,UE-R可接收UE发送的请求消息,根据UE发送的请求消息向网络侧发送认证请求消息,并从网络侧获取包含对UE的认证的认证标识信息的认证矢量,UE-R可根据网络侧发送的认证请求消息判断是对UE的认证还是对自身的认证,进而将认证请求消息发送给UE,完成对UE的认证,操作简单,终端成本低,提高了UE认证的效率和用户体验。
参见图16,是本发明实施例提供的终端认证的服务器的实施例结构示意图。本实施例中所描述的服务器,包括:
接收模块40,用于接收控制网元发送的认证数据请求消息。
判断模块50,用于根据所述接收模块接收到的所述认证数据请求消息判断所述认证数据请求消息是否包含UE认证的标识信息。
处理模块60,用于在所述判断模块判断结果为是时,在认证矢量中设定所述UE认证的认证标识信息。
发送模块70,用于所述处理模块处理得到的将所述认证矢量消息发送给所述控制网元,以通过所述控制网元将所述认证标识信息发送给UE-R,以使所述UE-R根据所述认证标识信息判断是否是对所述UE的认证。
在一些可行的实施方式中,上述所述处理模块60处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数、和Kasme参数;
所述处理模块60,具体用于:
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
具体实现中,本发明实施例中所描述的HSS即为本发明实施例中所描述的终端认证的服务器。
在一些可行的实施方式中,处于网络侧的HSS的接收模块40接收到控制网元发送的认证数据请求消息之后,判断模块50则可判断上述认证数据请求消息中是否包含UE认证的标识信息,其中,上述UE认证的标识信息具体可为UE向UE-R发送的第一请求消息中携带的Indication,UE-R将上述第一请求消息中携带的Indication添加到第二请求消息中,进而将上述第二请求消息发送给控制网元,通过控制网元发送给HSS;上述UE认证的标识信息也可为UE-R根据上述第一请求消息在向控制网元发送第二请求消息时添加的Indication,UE-R在上述第二请求消息中添加Indication之后将上述第二请求消息发送给控制网元,控制网元可将上述第二请求消息中携带的Indication发送给HSS;上述UE认证的标识信息也可以为控制网元自己选择的Indication。如图3、图4或图5,当HSS通过接收模块40接收到控制网元发送的认证数据请求消息之后,判断模块50则可判断上述认证数据请求消息中是否包含UE认证的标识信息,即上述认证数据请求消息中是否存在Indication,若判断模块50判断得知上述认证数据请求消息中包括Indication,则可判断得知上述认证数据请求消息的认证对象为UE。具体实现中,当HSS的判断模块50判断得知上述认证数据请求消息对应的认证对象是UE时,处理模块60则可计算上述认证数据请求消息对应的认证矢量消息,即对UE认证的认证矢量消息,并可在上述认证矢量消息中设定对UE的认证的认证标识信息。具体的,上述处理模块60处理得到的认证矢量消息中可包括RAND、AUTN、XRES和Kasme等参数,HSS的处理模块60确定对UE认证的上述认证矢量中的参数时可在上述AUTN参数中的AMF参数中设定对UE认证的认证标识信息,用于表示上述认证矢量是对UE进行的认证。如3、图4或图5,处理模块60可将AMF参数的第X比特设定为对UE的认证的标志位,比如将上述AMF参数的第X比特设置为1,以此作为对UE的认证的认证标识信息,其中,上述AMF参数的第X比特为AMF参数中空闲的7个比特中的任意一个,即1≤X≤7。
在一些可行的实施方式中,HSS的处理模块60确定了对UE认证的认证矢量消息并设定对UE认证的认证标识信息之后,发送模块70则可将上述包含对UE认证的认证标识信息的认证矢量通过认证响应消息发送给控制网元,以通过控制网元将上述认证矢量通过认证请求消息发送给UE-R。UE-R接收到控制网元发送的认证请求消息之后则可根据上述认证请求消息中包含的认证矢量中的对UE认证的认证标识信息判断得知上述认证矢量是对UE的认证,而非对其自身的认证,进而可将上述认证矢量中相应的认证参数发送给UE,实现对UE的认证。
在一些可行的实施方式中,上述处理模块60处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数和Kasme参数;
所述处理模块60,还具体用于:
对所述认证矢量中的RAND参数进行加密;
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
在一些可行的实施方式中,如图7或图8,当HSS的接收模块40接收到控制网元发送的认证数据请求消息之后,若判断模块50判断得知上述认证数据请求消息中包括上述UE认证的标识信息,即上述认证数据请求消息中存在Indication,处理模块60则可计算对UE认证的认证矢量,并对上述认证矢量的AUTN参数的AMF参数中第X比特置位,以此来设定对UE认证的认证标识信息。除此之外,如图9,当HSS接收到控制网元发送的认证数据请求消息之后,若判断得知上述认证数据请求消息中包括上述UE认证的标识信息,即上述认证数据请求消息中存在Indication,HSS的处理模块60还可对上述认证矢量中的RAND参数进行加密,并将上述AMF参数的第X比特设定为对RAND参数进行加密的标志位,以上述AMF的第X比特设定为1作为对RAND参数进行加密的标识信息,得到加密后的RAND参数(RAND*)。即,处理模块60可将上述AMF参数的第X比特为1设定为对RAND参数进行加密以及对UE认证的认证标识信息添加到上述认证矢量中,当UE-R接收到上述认证矢量时,若判断得知上述认证矢量中的AMF参数的第X比特为1,则可判断得知上述认证矢量是对UE认证的认证矢量,UE-R则可向UE发送认证请求,将上述认证矢量中的RADN*参数和AUTN参数发送给UE;UE接收到上述认证矢量的参数信息之后,若判断得知上述AUTN参数中的AMF参数的第X比特为1,则可对RAND*参数进行解密,再对AUTN进行验证。即HSS在计算对UE认证的认证矢量时,可通过置位的方法来设定对UE认证的认证标识信息,还可同时通过加密的方法来保护认证矢量中的参数RAND,可提高对UE认证的效率和用户体验效果。
在一些可行的实施方式中,若HSS的接收模块40接收到控制网元发送的认证数据请求消息中不包含上述UE认证的标识信息,即不包含Indication,如图10或图11,HSS的处理模块60则可按照对UE-R认证的方法计算对UE认证的认证矢量,并且不对上述认证矢量做置位或者加密,直接通过发送模块70发送包含上述认证矢量的认证数据响应消息给控制网元,以通过控制网元对上述认证数据响应消息进行处理并发送认证请求消息给UE-R。UE-R可根据通过控制网元进行处理的认证矢量来判断上述认证请求消息是对UE的认证还是对其自身的认证。
在本发明实施例中,本发明实施例中所描述的HSS接收到控制网元发送的认证数据请求之后则可根据接收到的认证数据请求计算对UE认证的认证矢量,还可对上述认证矢量中的参数进行置位来标识消息,或者对认证矢量中的参数进行加密来保护上述参数,UE-R可通过HSS发送的认证矢量确定上述认证矢量是对UE的认证还是对其自身的认证,可提高UE认证的效率和用户体验,降低UE-R和HSS等终端的复杂性和成本。
参见图17,是本发明实施例提供的终端认证的用户设备的实施例结构示意图。本实施例中所描述的用户设备,包括:
发送模块100,用于向UE-R发送第一请求消息,以使所述UE-R根据所述第一请求消息向控制网元发送第二请求消息。
接收模块200,用于接收所述UE-R发送的认证请求消息,所述认证请求消息中携带UE认证的认证标识信息。
处理模块300,用于对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应。
在一些可行的实施方式中,所述发送模块100发送的所述第一请求消息中包括所述UE认证的标识信息。
具体实现中,本发明实施例中所描述的UE即为本发明实施例中所描述的终端认证的用户设备。
在一些可行的实施方式中,当UE没有被EPC网络信号覆盖,而UE-R被EPC网络信号覆盖时,UE可通过UE-R接入网络,进而可实现与其他UE的近距离通信。
具体实现中,当UE通过UE-R接入网络时,网络需要对其进行验证,通过验证之后UE才能被允许接入到网络。具体的,网络侧对UE进行认证时,UE的发送模块100可向UE-R发送请求消息,即UE可向UE-R发送第一请求消息,其中,上述第一请求消息中可包括UE认证的标识信息(即Indication),如图3。UE的发送模块100向UE-R发送请求消息之后,UE-R则可根据UE发送的请求消息向网络侧的控制网元发送请求消息,以将UE的标识信息(如Indication)发送给网络侧的HSS,以供HSS设定对UE认证的认证矢量。
在一些可行的实施方式中,当HSS接收到控制网元发送的认证数据请求消息之后,判断得知上述认证数据请求消息是UE通过UE-R接入网络而发送的请求时,则可计算对UE认证的认证矢量,并通过对上述认证矢量中参数进行置位的方法来标识上述认证矢量的对UE的认证,进而将包含对UE认证的认证标识信息的认证请求消息通过控制网元发送给UE-R。UE-R接收到控制网元发送的请求消息之后,若判断得知上述认证请求消息是对UE的认证,则可向UE发送认证请求消息,UE的接收模块200接收到UE-R发送的认证请求消息之后,则可根据上述认证请求消息得到UE的认证响应。具体实现中,上述UE的接收模块200接收到的UE-R向UE发送的认证请求中可包括UE-R根据UE发送的第一请求消息向HSS请求的认证参数,即上述HSS根据控制网元发送的认证数据请求设定的对UE认证的认证矢量中包含的认证参数。如图3,UE的接收模块200接收到UE-R发送的认证请求消息之后,处理模块300则可验证上述认证请求中的AUTN参数的正确性,并在验证上述AUTN正确之后计算出RES参数,其中,上述认证请求消息中携带认证标识信息,UE可对上述认证标识信息进行验证,进而根据上述认证标识信息计算认证响应。UE的处理模块300根据上述认证参数得知上述RES参数之后,则可通过发送模块100将上述RES参数作为UE的认证响应发送给UE-R,以通过UE-R将上述认证响应发送给控制网元,通过控制网元完成对UE的认证。
在一些可行的实施方式中,当UE的接收模块200从UE-R接收到的认证请求消息中包括的认证标识信息中的认证参数包括加密信息时,如图7,接收模块200接收到UE-R发送的认证请求消息之后,处理模块300则可判断上述认证请求消息中的认证标识信息进行解析,判断上述认证标识信息中的AUTN参数中的AMF参数的第X比特是否为1,若处理模块300判断得知上述AMF参数的第X比特为1,则可对上述认证参数中加密信息(RAND*参数)进行解密,得知明文RAND参数,并对上述认证参数中的AUTN参数进行验证,进而根据上述解密得到的明文RAND参数和上述认证标识信息中的认证参数等信息计算得到认证响应。具体的,当UE的处理模块300对上述加密信息(RAND*)进行解密得到明文RAND参数,并对上述AUTN参数进行验证得知上述AUTN参数正确之后,则可计算出RES参数,并将上述RES参数作为UE的认证响应,通过发送模块100发送给UE-R。
本发明实施例中所描述的UE通过UE-R接入网络时可向UE-R发送请求消息,并通过UE-R获取网络侧发送的认证矢量中的认证参数等信息,在验证UE-R发送的认证参数的正确性之后计算出RES参数,再通过UE-R将RES参数发送网络侧,完成UE的认证;本发明实施例中所描述的UE接收到网络侧发送的认证参数中包含加密信息时,UE还可在判断得知接收到的参数中包括加密信息时对加密信息进行解密得到明文,再对其他参数进行验证,进而根据解密得到的明文及上述认证参数计算认证响应,可提高UE认证的安全性,而且UE和UE-R均无需支持新的协议,操作简单,降低UE和UE-R等终端的复杂性和成本。
参见图18,是本发明实施例提供的终端认证的控制设备的实施例的一结构示意图。本实施例中所描述的控制设备,包括:
接收模块400,用于接收UE-R发送的第二请求消息。
处理模块500,用于根据所述接收模块接收到的所述第二请求消息判断所述第二请求消息是否包含UE认证的标识信息。
发送模块600,在所述处理模块判断结果为是时,向HSS发送认证数据请求消息,所述认证数据请求消息中携带所述UE认证的标识信息。
所述接收模块400,用于从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量。
所述发送模块600,还用于将所述接收模块接收到的包含所述认证矢量信息的认证请求消息发送给所述UE-R,以供所述UE-R判断所述认证请求消息是否是对UE的认证。
在一些可行的实施方式中,所述控制设备(如图19),还包括:
判断模块700,用于根据所述接收模块接收到的第二请求消息判断所述第二请求消息是否为指定消息类型,若所述第二请求消息为所述指定消息类型,则通知所述发送模块向HSS发送认证数据请求消息。
具体实现中,本发明实施例提供的终端认证的控制设备可为本发明实施例中所描述的MME,也可以是Prose业务中的功能控制网元,即本发明实施中所描述的控制网元即为本发明实施提供的终端认证的控制设备。下面将以MME为本发明实施例提供的终端认证的控制设备进行具体描述。
在一些可行的实施方式中,上述MME的接收模块400从UE-R接收到的第二请求消息中可包括UE的识别码(IMSI)和UE认证的标识信息(即Indication),如图3,当接收模块400从UE-R接收到的第二请求消息中包括Indication时,处理模块500则可根据上述IMSI和Indication向HSS发送认证数据请求消息。
在一些可行的实施方式中,当上述接收模块400从UE-R接收到的第二请求消息中包括UE的识别码(IMSI)和上述第二请求消息的消息类型时,判断模块700则可将上述第二请求消息的消息类型,与指定消息类型进行匹配,判断上述第二请求消息是否为指定消息类型,若上述第二请求消息的消息类型是指定消息类型,控制网元则可向HSS发送认证数据请求消息。判断模块700确定上述第二请求消息的消息类型是指定消息类型之后,发送模块600则可添加UE认证的标识信息到上述认证数据请求消息中,如图5、图9,其中,上述UE认证的标识信息可为上述第二请求消息中携带的UE认证的标识信息(Indication),也可为控制网元在确定上述第二请求消息的消息类型是指定消息类型之后,在上述认证数据请求消息中添加的标识信息(Indication),上述第二请求消息中携带的Indication可与控制网元在上述认证数据请求消息中添加的Indication为同一个Indication,也可为不同的Indication,但均可用于标记上述认证数据请求消息的UE通过UE-R接入网络而通过控制网元发送的认证数据请求消息。
在一些可行的实施方式中,上述发送模块600,具体用于:
添加所述UE认证的标识信息到所述认证数据请求消息中,并将所述认证数据请求消息发送给所述HSS。
在一些可行的实施方式中,如图3,当接收模块400从UE-R接收到的第二请求消息中包括Indication(UE认证的标识信息)时,处理模块500判断得知上述第二请求消息中包含Indication时,则可向HSS发送认证数据请求消息,或者如图5、图9,当判断模块700根据接收到的第二请求消息判断得知上述第二请求消息的消息类型是指定消息类型之后,发送模块600则可在上述认证数据请求消息中添加UE认证的标识信息Indication,进而将包含上述UE的IMSI和Indication的认证数据请求消息发送给HSS,并通过接收模块400从HSS处获取HSS设定的包含对UE认证的认证标识信息的认证矢量。接收模块400从HSS处获取了对UE认证的认证矢量之后,则可通过发送模块600向上述UE-R发送认证请求消息,将上述认证请求消息发送给UE-R,以通过UE-R将上述对UE认证的认证请求消息发送给UE。
在一些可行的实施方式中,上述发送模块600,具体用于:
添加所述UE认证的标识信息到所述包含所述认证矢量的认证请求消息中,并将认证请求消息发送给所述UE-R。
在一些可行的实施方式中,如图10,当接收模块400从UE-R接收到的第二请求消息中包括Indication1(UE认证的标识信息)时,处理模块500根据上述第二请求消息判断得知上述第二请求消息中包含UE认证的标识信息Indication1之后,则可通过发送模块600将包含上述UE的IMSI的认证数据请求消息发送给HSS,即上述认证数据请求消息中不包括UE认证的标识信息Indication1。HSS接收到上述仅包含UE的IMSI的认证数据请求消息之后可直接按照对UE-R认证时计算认证矢量的方式计算认证矢量,即此时HSS无法区别是对UE的认证还是对UE-R的认证,故此HSS无法通过对计算得到的认证矢量进行置位做认证标识信息,也不对认证矢量进行加密保护,而是直接将处理得到的认证矢量发送给控制网元。MME的接收模块400接收到HSS发送的认证矢量之后,为了使得UE-R能区分控制网元发送的认证矢量消息是对UE的认证,而非对其自身的认证,MME的处理模块500可在接收模块400接收到HSS发送的认证矢量之后,可将标识信息(Indication2)添加到上述接收模块400接收到的HSS设定的认证矢量中,并通过发送模块600将包括上述标识信息Indication2的认证请求消息发送给UE-R。其中,上述标识信息Indication2表示上述认证请求消息是对UE认证的认证请求消息,具体的,上述Indication2可以是上述认证请求消息中新增的字段,也可以是上述认证请求消息中的空闲字段;Indication2可以为MME新选择的标识信息,也可以为UE发送给UE-R的请求消息中包含的标识信息,或者UE-R发送给MME的请求消息中包含的标识信息,又或者MME发送给HSS的认证数据请求消息中包含的标识信息。具体实现中,如图14,当MME的接收模块400从UE-R接收到的第二请求消息中仅包括UE的IMSI不包含UE认证的标识信息Indication(或Indication1)时,处理模块500可根据上述第二请求消息的消息类型确定上述第二请求消息的消息类型是否为指定消息类型。当处理模块500确定上述第二请求消息中包含UE认证的标识信息(具体可为上述图3中的Indication或者上述图9中的Indication1)或者上述第二请求消息的消息类型是指定消息类型之后,发送模块600可将包含上述认证数据请求消息发送给HSS,其中,上述认证数据请求消息中不包含UE认证的标识信息。HSS接收到上述仅包含UE的IMSI(即不包含上述UE认证的标识信息)的认证数据请求消息之后可直接按照对UE-R认证时计算认证矢量的方式计算认证矢量,并将处理得到的认证矢量发送给MME。MME的接收模块400接收到HSS发送的包含认证矢量的认证响应消息之后,发送模块600将上述认证矢量通过认证请求消息发送给UE-R之前,处理模块500则可将UE认证的标识信息(如Indication2)添加到上述认证请求消息中,通过发送模块600将上述包含标识信息Indication2的认证矢量等信息发送给UE-R。如图14,处理模块500可在接收模块400接收到HSS发送的认证矢量消息之后,将标识信息(Indication2)添加到上述HSS设定的认证请求消息中,并通过发送模块600将包括Indication2和HSS设定的认证矢量中(RAND、AUTN)的认证请求消息发送给UE-R,具体的,发送模块600可将包含Indication2和AUTN、RAND通过认证请求消息发送给UE-R,以通过上述Indication2告知UE-R上述认证请求消息是对UE认证的请求消息。
在一些可行的实施方式中,MME的发送模块600将对UE认证的认证请求消息发送给UE-R之后,UE-R则可根据上述认证请求消息向UE发送认证请求消息,将上述HSS设定的RAND、AUTN等信息发送给UE,UE则可对上述认证请求消息中的认证矢量中包含的认证参数进行验证,并计算得到参数RES,进而将RES参数通过认证响应发送给UE-R。UE-R接收到UE发送的认证响应消息之后,则可将上述包含RES参数的认证响应消息发送给MME,MME接收到上述认证响应消息之后,则可将上述认证响应消息中的RES参数与预存的HSS发送的认证矢量中的XRES进行比较,判断上述RES与XRES是否一致,若判断结果为是,则可判断得知上述UE是被允许接入的UE,即可通过UE的认证请求,完成对UE的认证。
本发明实施例中所描述的控制网元(MME)可根据UE-R发送的第二请求消息确定上述第二请求消息中是否包含UE认证的标识信息或者上述第二请求消息的消息类型是否为指定消息类型,在上述第二请求消息中包含UE认证的标识信息或者上述第二请求消息的消息类型为指定消息类型时向HSS发送认证数据请求消息,并从HSS处获取对UE认证的认证矢量等认证标识信息,进而将包含认证标识信息的认证请求消息发送给UE-R,以通过UE-R将上述认证标识信息发送给UE;在本发明实施例中MME可将包含对UE认证的标识信息的认证数据请求消息发送给HSS,或者将包含认证标识信息的认证请求消息发送给UE-R,可提高网络对UE认证的效率,降低UE-R和UE等终端的复杂性和成本,增强UE认证的用户体验。
参见图20,是本发明实施提供的终端认证的系统的实施例结构示意图。本实施例中所描述的终端认证的系统,包括:上述本发明实施例提供的终端认证的用户设备1000,上述本发明实施例提供的终端认证的中继设备2000,上述本发明实施例提供的终端认证的控制设备3000和上述本发明实施例提供的终端认证的服务器4000。
具体实现中,本发明上述提供的终端认证的系统的具体实现过程可参见上述本发明实施例提供的终端认证的方法或者装置(包括UE、UE-R、MME和HSS)的具体实现过程,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。

Claims (25)

1.一种终端认证的方法,其特征在于,所述方法适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述方法包括:
UE-R接收UE发送的第一请求消息,所述第一请求消息用于请求接入EPC网络;
所述UE-R根据所述UE发送的所述第一请求消息在第二请求消息中添加所述UE认证的标识信息,并向控制网元发送所述第二请求消息,以使所述控制网元根据所述第二请求消息向归属用户服务器HSS发送认证数据请求消息,其中,所述认证数据请求消息中携带所述UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述UE-R请求接入EPC网络而发送的请求消息;
所述UE-R接收所述控制网元发送的认证请求消息,判断所述认证请求消息是否是对所述UE的认证;
若所述认证请求消息是对所述UE的认证,所述UE-R向所述UE发送认证请求消息,所述认证请求消息中包括所述UE的认证参数;
所述UE-R接收所述UE根据所述认证请求消息发送的认证响应消息,并将所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
2.如权利要求1所述的方法,其特征在于,所述UE发送的第一请求消息中包含所述UE认证的标识信息;
所述UE-R根据所述UE发送的所述第一请求消息在第二请求消息中添加所述UE认证的标识信息,并向控制网元发送所述第二请求消息,包括:
所述UE-R将所述第一请求消息中携带的所述UE认证的标识信息添加到所述第二请求消息中,并将所述第二请求消息发送给所述控制网元。
3.如权利要求1-2任意一项所述的方法,其特征在于,所述控制网元发送的认证请求消息中包括所述HSS根据所述UE认证的标识信息设定的对所述UE认证的认证标识信息;
所述判断所述认证请求消息是否是对所述UE的认证,包括:
判断所述认证请求消息中是否包含认证标识信息;
若所述认证请求消息中包含所述认证标识信息,则判断所述认证请求消息为对所述UE的认证。
4.一种终端认证的方法,其特征在于,所述方法适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述方法包括:
归属用户服务器HSS接收控制网元发送的认证数据请求消息,根据所述认证数据请求消息判断所述认证数据请求消息是否包括UE认证的标识信息;
若所述认证数据请求消息中包括所述UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述UE-R请求接入EPC网络而发送的请求消息,所述HSS在认证矢量中设定所述UE认证的认证标识信息;
所述HSS将所述认证矢量发送给所述控制网元,以通过所述控制网元将所述认证标识信息发送给UE-R,以使所述UE-R根据所述认证标识信息判断是否是对所述UE的认证。
5.如权利要求4所述的方法,其特征在于,所述认证矢量中包括:RAND参数、AUTN参数、XRES参数、和Kasme参数;
所述HSS在所述认证矢量中设定所述UE认证的认证标识信息,包括:
所述HSS在所述认证矢量中的AUTN参数中的认证管理域AMF参数中设定所述认证标识信息。
6.如权利要求4或5所述的方法,其特征在于,所述认证矢量中包括:RAND参数、AUTN参数、XRES参数和Kasme参数;
所述HSS在所述认证矢量中设定所述UE认证的认证标识信息,还包括:
所述HSS对所述认证矢量中的RAND参数进行加密;
所述HSS在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
7.一种终端认证的方法,其特征在于,所述方法适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述方法包括:
UE向UE-R发送第一请求消息,所述第一请求消息用于请求接入EPC网络,以使所述UE-R根据所述第一请求消息向控制网元发送第二请求消息,所述第二请求消息中携带所述UE认证的标识信息;
所述UE接收所述UE-R发送的认证请求消息,所述认证请求消息中携带所述UE认证的认证标识信息;
所述UE对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应;
所述UE将所述认证响应发送给所述UE-R,以通过所述UE-R发送给控制网元对所述UE进行认证。
8.如权利要求7所述的方法,其特征在于,所述UE向UE-R发送的所述第一请求消息中包括所述UE认证的标识信息。
9.一种终端认证的方法,其特征在于,所述方法适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述方法包括:
控制网元接收UE-R发送的第二请求消息,判断所述第二请求消息是否包含UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述UE-R请求接入EPC网络而发送的请求消息;
若所述第二请求消息包含所述UE认证的标识信息,所述控制网元向归属用户服务器HSS发送认证数据请求消息,所述认证数据请求消息中携带所述UE认证的标识信息;
所述控制网元从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量;
所述控制网元将包含所述认证矢量信息的认证请求消息发送给所述UE-R,以供所述UE-R判断所述认证请求消息是否是对UE的认证。
10.如权利要求9所述的方法,其特征在于,所述控制网元接收UE-R发送的第二请求消息之后,所述方法还包括:
判断所述第二请求消息是否为指定消息类型;
若所述第二请求消息为所述指定消息类型,所述控制网元向HSS发送认证数据请求消息。
11.如权利要求9或10所述的方法,其特征在于,所述控制网元向HSS发送认证数据请求消息之前,所述方法还包括:
所述控制网元添加所述UE认证的标识信息到所述认证数据请求消息中。
12.如权利要求9或10所述的方法,其特征在于,所述控制网元将包含所述认证矢量的认证请求消息发送给所述UE-R之前,所述方法还包括:
所述控制网元添加所述UE认证的标识信息到所述认证请求消息中。
13.一种终端认证的中继设备,其特征在于,所述中继设备适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过所述中继设备接入所述EPC网络,所述UE与所述中继设备之间、所述中继设备与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述中继设备包括:
接收模块,用于接收UE发送的第一请求消息,所述第一请求消息用于请求接入EPC网络;
发送模块,用于根据所述UE发送的所述第一请求消息在第二请求消息中添加所述UE认证的标识信息,并向控制网元发送所述第二请求消息,以使所述控制网元根据所述第二请求消息向HSS发送认证数据请求消息,其中,所述认证数据请求消息中携带所述UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述中继设备请求接入EPC网络而发送的请求消息;
所述接收模块,用于接收所述控制网元发送的认证请求消息;
判断模块,用于根据所述接收模块接收到的所述认证请求消息判断所述认证请求消息是否是对所述UE的认证;
所述发送模块,用于在所述判断模块判断结果为是时,向所述UE发送认证请求消息,所述认证请求消息中包括所述UE的认证参数;
所述接收模块,还用于接收所述UE根据所述发送模块发送的所述认证请求消息发送的认证响应消息;
所述发送模块,用于将所述接收模块接收到的所述认证响应消息发送给所述控制网元,以通过所述控制网元完成所述UE的认证。
14.如权利要求13所述的中继设备,其特征在于,所述接收模块接收到的所述UE发送的第一请求消息中包含所述UE认证的标识信息;
所述发送模块,还具体用于:
将所述第一请求消息中携带的所述UE认证的标识信息添加到所述第二请求消息中,并将所述第二请求消息发送给所述控制网元。
15.如权利要求13-14任意一项所述的中继设备,其特征在于,所述接收模块接收到的所述控制网元发送的认证请求消息中包括所述HSS根据所述UE认证的标识信息设定的对所述UE认证的认证标识信息;
所述判断模块,具体用于:
判断所述认证请求消息是否包含认证标识信息;
若所述认证请求消息中包含所述认证标识信息,则判断所述认证请求消息为对所述UE的认证。
16.一种终端认证的服务器,其特征在于,所述服务器适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPSAKA认证协议进行认证,所述服务器包括:
接收模块,用于接收控制网元发送的认证数据请求消息;
判断模块,用于根据所述接收模块接收到的所述认证数据请求消息判断所述认证数据请求消息是否包含UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述UE-R请求接入EPC网络而发送的请求消息;
处理模块,用于在所述判断模块判断结果为是时,在认证矢量中设定所述UE认证的认证标识信息;
发送模块,用于将所述处理模块处理得到的所述认证矢量发送给所述控制网元,以通过所述控制网元将所述认证标识信息发送给UE-R,以使所述UE-R根据所述认证标识信息判断是否是对所述UE的认证。
17.如权利要求16所述的服务器,其特征在于,所述处理模块处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数、和Kasme参数;
所述处理模块,具体用于:
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
18.如权利要求16或17所述的服务器,其特征在于,所述处理模块处理得到的所述认证矢量中包括:RAND参数、AUTN参数、XRES参数和Kasme参数;
所述处理模块,还具体用于:
对所述认证矢量中的RAND参数进行加密;
在所述认证矢量中的AUTN参数中的AMF参数中设定所述认证标识信息。
19.一种终端认证的用户设备,其特征在于,所述用户设备UE为请求接入演进分组核心EPC网络的UE,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述EPC网络的控制网元之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述用户设备包括:
发送模块,用于向UE-R发送第一请求消息,以使所述UE-R根据所述第一请求消息向控制网元发送第二请求消息,所述第二请求消息中携带所述UE认证的标识信息;
接收模块,用于接收所述UE-R发送的认证请求消息,所述认证请求消息中携带UE认证的认证标识信息;
处理模块,用于对所述认证标识信息中的加密信息进行解密,并根据所述解密得到的信息计算认证响应。
20.如权利要求19所述的用户设备,其特征在于,所述发送模块发送的所述第一请求消息中包括所述UE认证的标识信息。
21.一种终端认证的控制设备,其特征在于,所述控制设备适用于演进分组核心EPC网络对用户设备UE的认证,所述UE通过用户设备中继UE-R接入所述EPC网络,所述UE与所述UE-R之间、所述UE-R与所述控制设备之间均采用演进分组系统-认证与密钥分配EPS AKA认证协议进行认证,所述控制设备包括:
接收模块,用于接收UE-R发送的第二请求消息;
处理模块,用于根据所述接收模块接收到的所述第二请求消息判断所述第二请求消息是否包含UE认证的标识信息,所述UE认证的标识信息用于标记所述认证数据请求消息为所述UE通过所述UE-R请求接入EPC网络而发送的请求消息;
发送模块,用于在所述处理模块判断结果为是时,向归属用户服务器HSS发送认证数据请求消息,所述认证数据请求消息中携带所述UE认证的标识信息;
所述接收模块,用于从所述HSS处获取所述HSS根据所述认证数据请求消息确定的认证矢量;
所述发送模块,还用于将所述接收模块接收到的包含所述认证矢量信息的认证请求消息发送给所述UE-R,以供所述UE-R判断所述认证请求消息是否是对UE的认证。
22.如权利要求21所述的控制设备,其特征在于,所述控制设备,还包括:
判断模块,用于根据所述接收模块接收到的第二请求消息判断所述第二请求消息是否为指定消息类型,若所述第二请求消息为所述指定消息类型,则通知所述发送模块向HSS发送认证数据请求消息。
23.如权利要求21或22所述的控制设备,其特征在于,所述发送模块,还具体用于:
添加所述UE认证的标识信息到所述认证数据请求消息中,并将所述认证数据请求消息发送给所述HSS。
24.如权利要求21或22所述的控制设备,其特征在于,所述发送模块,还具体用于:
添加所述UE认证的标识信息到所述包含所述认证矢量的认证请求消息中,并将认证请求消息发送给所述UE-R。
25.一种终端认证的系统,其特征在于,包括:如权利要求13-15任一项所述的中继设备、如权利要求16-18任一项所述的服务器、如权利要求19-20任一项所述的用户设备和如权利要求21-24任一项所述的控制设备。
CN201310753800.6A 2013-12-31 2013-12-31 一种终端认证的方法、装置及系统 Active CN104754575B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201310753800.6A CN104754575B (zh) 2013-12-31 2013-12-31 一种终端认证的方法、装置及系统
PCT/CN2014/080713 WO2015100974A1 (zh) 2013-12-31 2014-06-25 一种终端认证的方法、装置及系统
EP14876765.0A EP3086586B1 (en) 2013-12-31 2014-06-25 Terminal authentication method, device and system
US15/197,381 US10588015B2 (en) 2013-12-31 2016-06-29 Terminal authenticating method, apparatus, and system
US16/748,627 US20200162913A1 (en) 2013-12-31 2020-01-21 Terminal authenticating method, apparatus, and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310753800.6A CN104754575B (zh) 2013-12-31 2013-12-31 一种终端认证的方法、装置及系统

Publications (2)

Publication Number Publication Date
CN104754575A CN104754575A (zh) 2015-07-01
CN104754575B true CN104754575B (zh) 2018-07-31

Family

ID=53493110

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310753800.6A Active CN104754575B (zh) 2013-12-31 2013-12-31 一种终端认证的方法、装置及系统

Country Status (4)

Country Link
US (2) US10588015B2 (zh)
EP (1) EP3086586B1 (zh)
CN (1) CN104754575B (zh)
WO (1) WO2015100974A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106470420A (zh) * 2015-08-17 2017-03-01 中兴通讯股份有限公司 业务处理方法及装置
US10542570B2 (en) 2016-03-15 2020-01-21 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
US10615844B2 (en) * 2016-03-15 2020-04-07 Huawei Technologies Co., Ltd. System and method for relaying data over a communication network
US20170325270A1 (en) * 2016-05-06 2017-11-09 Futurewei Technologies, Inc. System and Method for Device Identification and Authentication
CN109076639A (zh) 2016-05-13 2018-12-21 富士通株式会社 信息传输装置、方法以及通信系统
US10009768B2 (en) * 2016-11-03 2018-06-26 Blackberry Limited Requesting system information
CN108235316B (zh) * 2016-12-21 2019-09-17 电信科学技术研究院有限公司 一种加入接入节点组的方法及设备
CN108809903B (zh) * 2017-05-02 2021-08-10 中国移动通信有限公司研究院 一种认证方法、装置及系统
CN110809892B (zh) * 2017-06-30 2021-12-14 华为技术有限公司 一种认证方法及终端、网络设备
CN109561429B (zh) * 2017-09-25 2020-11-17 华为技术有限公司 一种鉴权方法及设备
US20220167263A1 (en) * 2019-11-28 2022-05-26 Apple Inc. Link Selection for an Idle or Inactive User Equipment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101931955A (zh) * 2010-09-03 2010-12-29 中兴通讯股份有限公司 认证方法、装置及系统
EP2365673A2 (en) * 2010-03-03 2011-09-14 Kabushiki Kaisha Toshiba Electronic apparatus and terminal

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2352585B (en) * 1999-05-28 2003-11-12 Nec Corp Mobile telecommunications system
CN1658547B (zh) * 2004-02-16 2010-08-18 华为技术有限公司 密钥分发方法
EP1701486A1 (en) * 2005-03-07 2006-09-13 BRITISH TELECOMMUNICATIONS public limited company Route selection in multi-hop cellular network
DE602006011282D1 (de) * 2005-07-05 2010-02-04 Huawei Tech Co Ltd Authentifizierungsverfahren für das ip multimedia subsystem
KR100903053B1 (ko) * 2005-11-04 2009-06-18 삼성전자주식회사 광대역 무선접속 통신망에서 멀티홉시스템을 위한자동반복요청 장치 및 방법
US20070209059A1 (en) * 2006-03-03 2007-09-06 Moore John A Communication system employing a control layer architecture
JP5002337B2 (ja) * 2007-05-31 2012-08-15 株式会社東芝 ネットワークアクセスを認証または中継する通信システム、中継装置、認証装置、および通信方法
EP2405703A4 (en) * 2009-03-06 2016-08-03 China Mobile Comm Corp METHOD, SYSTEM AND NETWORK DEVICE FOR NETWORK ACCESS TO RELAY N UD
WO2011159211A1 (en) * 2010-06-18 2011-12-22 Telefonaktiebolaget L M Ericsson (Publ) Methods and nodes for probing types of interfaces
CN101977378B (zh) * 2010-09-30 2015-08-12 中兴通讯股份有限公司 信息传输方法、网络侧及中继节点
JP5021820B1 (ja) 2011-04-01 2012-09-12 株式会社エヌ・ティ・ティ・ドコモ 移動通信方法及び移動管理ノード
CN103379490A (zh) 2012-04-12 2013-10-30 华为技术有限公司 用户设备的认证方法、装置及系统
CN103582075B (zh) * 2012-08-03 2020-04-03 北京三星通信技术研究有限公司 一种rn支持多种无线接入系统的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2365673A2 (en) * 2010-03-03 2011-09-14 Kabushiki Kaisha Toshiba Electronic apparatus and terminal
CN101931955A (zh) * 2010-09-03 2010-12-29 中兴通讯股份有限公司 认证方法、装置及系统

Also Published As

Publication number Publication date
US20160309328A1 (en) 2016-10-20
US10588015B2 (en) 2020-03-10
US20200162913A1 (en) 2020-05-21
CN104754575A (zh) 2015-07-01
EP3086586A1 (en) 2016-10-26
EP3086586B1 (en) 2022-03-02
EP3086586A4 (en) 2016-12-14
WO2015100974A1 (zh) 2015-07-09

Similar Documents

Publication Publication Date Title
CN104754575B (zh) 一种终端认证的方法、装置及系统
KR101898934B1 (ko) 통신 시스템에서 인증 방법 및 장치
JP5784776B2 (ja) 認証能力のセキュアなネゴシエーション
CN107529160B (zh) 一种VoWiFi网络接入方法和系统、终端及无线访问接入点设备
Køien Mutual entity authentication for LTE
Tsay et al. A vulnerability in the umts and lte authentication and key agreement protocols
CN108391238A (zh) 无线mesh网络的配网方法
CN107409305A (zh) 通信设备与网络设备之间的通信安全设置
CN101772020A (zh) 鉴权处理方法和系统、3gpp认证授权计费服务器及用户设备
EP3324681B1 (en) Processing method and device for accessing to 3gpp network by terminal
CN104125567B (zh) 家庭基站接入网络侧的鉴权方法、装置及家庭基站
CN104754577B (zh) 一种选择认证算法的方法、装置及系统
CN101785343A (zh) 快速转换资源协商
US20150026787A1 (en) Authentication method, device and system for user equipment
WO2017143521A1 (zh) 一种安全通信方法及核心网节点
CN106912049A (zh) 改善用户认证体验的方法
CN110226319A (zh) 用于紧急接入期间的参数交换的方法和设备
KR101658657B1 (ko) 네트워크 접속 보안 강화 시스템을 위한 단말장치 및 인증지원장치
CN108243416A (zh) 用户设备鉴权方法、移动管理实体及用户设备
KR102103320B1 (ko) 이동 단말기, 네트워크 노드 서버, 방법 및 컴퓨터 프로그램
WO2008110946A1 (en) Authentication procedure in an intelligent proxy for multi-access devices
KR101338486B1 (ko) I-wlan의 게이트웨이 및 그의 호 추적 방법
WO2016065847A1 (zh) WiFi分流的方法、装置及系统
KR102000717B1 (ko) 비신뢰망을 통해 사설망으로 접속하는 사용자 단말의 접속을 제어하는 시스템 및 방법
CN107005410A (zh) 因特网协议安全性隧道建立方法,用户设备及基站

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant