CN106162635A - 用户设备的认证方法和装置 - Google Patents
用户设备的认证方法和装置 Download PDFInfo
- Publication number
- CN106162635A CN106162635A CN201510152947.9A CN201510152947A CN106162635A CN 106162635 A CN106162635 A CN 106162635A CN 201510152947 A CN201510152947 A CN 201510152947A CN 106162635 A CN106162635 A CN 106162635A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- authentication
- ciphering key
- certification
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种用户设备的认证方法和装置。其中,用户设备的认证方法包括:获取核心网设备中的认证向量,并存储认证向量;判断是否发生目标情况;在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证;在用户设备的认证结果为通过的情况下,向用户设备提供无线通信服务。通过本发明,解决了现有技术中的无线通信系统中对用户设备认证灵活性差的问题,进而达到了提高对用户设备认证灵活性的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种用户设备的认证方法和装置。
背景技术
在目前的无线通信系统中,人们(用户)通过用户设备(User Equipment,简称UE)获取无线通信服务,例如,享受无线访问Internet网络的服务。具体地,UE与基站直接进行无线通信,再通过基站连接到网络,从而实现了UE与网络的连接。为了实现对UE的管理,设置了认证中心与基站连接,通过认证中心来确定UE获取无线通信服务的合法性,例如,该UE是否欠费等。
在长期演进(Long-Term Evolution,简称:LTE)系统中,UE通过基站连接到核心网,再通过核心网连接到外部网络(例如Internet)获取无线通信服务。图1是现有技术中LTE系统的认证过程的流程图,其中,归属用户服务器(Home Subscriber Server,简称HSS)中存储了用户的认证信息,移动性管理实体(Mobility Management Entity,简称为MME)是用于连接HSS和UE的负责移动性管理的网络设备,核心网包括MME和HSS等网络设备,或者核心网包括MME和归属位置寄存器(Home Location Register,简称HLR)等网络设备。如图1所示,LTE系统的认证过程主要涉及UE、基站、MME和HSS四部分,认证的具体步骤如下:
S102:MME向HSS发起认证请求。具体地,MME收到移动用户的注册请求后,向用户的HSS发送该用户的国际移动用户标识(International Mobile SubscriberIdentity,简称为IMSI)和用户所在的服务网络发送网络服务标识(SNID),请求对该用户身份和所在网络进行认证。
S104:HSS向MME发送认证数据响应消息。具体地,HSS收到MME发送的认证请求之后,根据SNID对用户所在的服务网络进行验证。如果验证失败,HSS则拒绝该认证请求;如果验证通过,HSS则生成序列号,同时生成一组或多组认证向量,并将上述一组或多组认证向量发送给MME,MME会按序存储认证向量,其中,该一组或多组认证向量即为上述认证数据响应消息。每组认证向量AV由随机数(Randomchallenge,RAND)、网络认证标志(AUTN,Authentication Token)、期待的响应(ExpectedResponse,XRES)和KASME组成,其中,KASME为HSS产生的一个中间密钥,该密钥主要用于派生非接入层(Non-access stratum,简称为NAS)和接入层(AccessStratum,简称为AS)的安全密钥。需要说明的是,每组认证向量AV都可以在UE和MME之间进行一次认证与密钥协商。
S106:MME向UE发送用户认证请求,其中,该用户认证请求中包括RAND和AUTN(即Authentication token,网络认证标志)等内容。具体地,MME在收到HSS发送认证数据响应消息后,会存储上述一组或多组认证向量,并将上述一组认证向量或者多组认证向量中的一组认证向量的RAND和AUTN发送至UE,以请求UE产生认证数据。如果是多组认证向量,MME则会按序对多组认证向量中的每组认证向量排序,然后选择一组序号最小的认证向量,并将上述序号最小的一组认证向量的RAND和AUTN发送给UE。
S108:发送用户认证响应数据RES至MME。具体地,UE收到MME发来的用户认证请求后,首先验证AUTN中AMF域的分离位,然后计算XMAC,并与AUTN中的MAC相比较,若AMF验证不通过或者XMAC与MAC比较不符,则向MME发送拒绝认证消息,并放弃该认证过程。上述两项验证通过后,UE将计算RES,并将RES发送给MME。
S110:比较RES是否XRES相同。具体地,MME收到UE发送的RES后,将RES与步骤S106中MME发送向UE发送的用户认证请求包含的AUTN对应的认证向量的XRES进行比较,如果RES和XRES相同,则表示整个认证与密钥协商过程成功。随后的本地认证过程中,接入层和非接入层将采用认证与密钥协商过程中产生的父密钥KASME根据相应的密钥产生算法,生成接入层和非接入层的加密密钥和完整性保护密钥进行机密通信;如果RES和XRES不相同,则表示整个认证与密钥协商过程失败,网络拒绝用户入网。
在上述LTE系统的认证过程中,UE与MME的信息交互通常是采用NAS信令的形式,这种形式能带来较高的安全性,避免了位于UE与MME中间的基站获取信息,基站的作用只是将这些交互的信息透明传输,并不能获取这些信息,更不会对其中的信息做任何处理(例如图1中S106步骤和S108步骤,所涉及的信息都会经由基站进行透明传输),从而保证了上述信息的较高安全性,即HSS是唯一拥有UE的认证信息的网络设备,每次它向MME发送的信息仅仅是HSS根据UE的认证信息生成的认证向量或认证向量组。
根据上述内容可知,UE必须连接到HSS才能获取认证向量,所以无线通信系统中对用户设备认证存在灵活性差的问题,特别是当基站被部署在用户家里成为用户自身的资产时,上述问题更加明显。例如,用户购买了一个家庭增强型基站(HENB)并部署在家中,则该用户持有的UE就可以通过该家庭增强型基站享受移动通信服务,然而有可能用户出于保密需要不愿将该家庭增强型基站连接到网络,或者与家庭增强型基站连接的网络出现故障而导致该家庭增强型基站无法与HSS通信,造成该家庭增强型基站可能完全无法工作,实际上在这种情况下可以至少提供连接到该家庭增强型基站的多个UE之间的通信、或者连接到该家庭增强型基站的UE与具备无线通信功能的机器之间的通信等等。此外,随着家庭增强型基站的发展,基站的数量也会成倍增长,如果家庭增强型基站仍然与传统的基站一样与HSS通信,就很可能造成HSS被频繁访问造成负担加重等等。
针对现有技术中的无线通信系统中用户设备认证灵活性差的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种用户设备的认证方法和装置,以解决现有技术中无线通信系统中用户设备认证灵活性差的问题。
为了实现上述目的,根据本发明实施例的一个方面,提供了一种用户设备的认证方法。
根据本发明的用户设备的认证方法包括:获取核心网设备中的认证向量,并存储所述认证向量;判断是否发生目标情况;在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证;以及在所述用户设备的认证结果为通过的情况下,向所述用户设备提供无线通信服务。
进一步地,获取核心网设备中的认证向量,并存储所述认证向量包括:接收所述核心网设备发送的第一认证数据响应消息,其中,所述第一认证数据响应消息为响应第一用户认证请求的消息;获取所述第一认证数据响应消息中的所述认证向量,并存储所述认证向量。
进一步地,在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证时,所述认证方法还包括:发送提示消息至所述用户设备,其中,所述提示消息用于提示非正常认证、网络异常或者注意通信安全。
进一步地,所述认证向量为多组,其中:在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证包括:在每判断出发生所述目标情况的情况下,依次循环使用多组所述认证向量中的每组所述认证向量对所述用户设备进行认证。
进一步地,所述目标情况为接收到目标业务请求,在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证包括:发送第二用户认证请求至所述用户设备,其中,所述第二用户认证请求中包含所述认证向量的随机数和网络认证标志;接收所述用户设备发送的第二认证数据响应消息,其中,所述第二认证数据响应消息为响应第二用户认证请求的消息;以及根据所述第二认证数据响应消息和所述认证向量对所述用户设备进行认证。
进一步地,所述目标业务请求为以下任一目标业务的请求:本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务。
进一步地,判断是否发生目标情况包括:检测与所述核心网设备的连接状态是否为断开状态;在判断出发生所述目标情况的情况下,利用所述认证向量对所述用户设备进行认证包括:在检测出与所述核心网设备的连接状态为断开状态的情况下,基站利用所述认证向量对所述用户设备进行认证;或者判断是否发生目标情况包括:判断是否接收到本地认证开启指令;在判断出发生所述目标情况的情况下,利用所述认证向量对所述用户设备进行认证包括:在判断出接收到本地认证开启指令的情况下,基站利用所述认证向量对所述用户设备进行认证。
进一步地,所述本地认证开启指令中包括时间信息或者次数信息,在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,所述认证方法还包括:接收所述用户设备发送的第三用户认证请求;判断所述第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出所述第三用户认证请求的发送时间在所述有效时长范围内的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下,认证失败或者发送所述第三用户认证请求至所述核心网设备,所述有效时长范围为根据所述时间信息确定的时长范围;或者接收所述用户设备发送的第四用户认证请求;判断认证次数是否超过有效次数,其中,在判断出所述认证次数未超出所述有效次数的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述认证次数超出所述有效次数的情况下,认证失败或者发送所述第四用户认证请求至所述核心网设备,所述有效次数为根据所述次数信息确定的次数,所述认证次数为基站已利用所述认证向量对所述用户设备进行认证的次数。
进一步地,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下或者在判断出所述认证次数超出所述有效次数的情况下,所述认证方法还包括:删除已存储的所述认证向量。
为了实现上述目的,根据本发明实施例的另一方面,提供了一种用户设备的认证装置。
根据本发明的用户设备的认证装置包括:获取单元,用于获取核心网设备中的认证向量,并存储所述认证向量;第一判断单元,用于判断是否发生目标情况;认证单元,用于在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证;以及提供单元,用于在所述用户设备的认证结果为通过的情况下,向所述用户设备提供无线通信服务。
进一步地,所述获取单元包括:第一接收模块,用于接收所述核心网设备发送的第一认证数据响应消息,其中,所述第一认证数据响应消息为响应第一用户认证请求的消息;获取模块,用于获取所述第一认证数据响应消息中的所述认证向量,并存储所述认证向量。
进一步地,所述认证装置还包括:发送单元,用于在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证时,发送提示消息至所述用户设备,其中,所述提示消息用于提示非正常认证、网络异常或者注意通信安全。
进一步地,所述认证向量为多组,其中:所述认证单元包括:第一认证模块,用于在每判断出发生所述目标情况的情况下,依次循环使用多组所述认证向量中的每组所述认证向量对所述用户设备进行认证。
进一步地,所述目标情况为接收到目标业务请求,所述认证单元包括:发送模块,用于发送第二用户认证请求至所述用户设备,其中,所述第二用户认证请求中包含所述认证向量的随机数和网络认证标志;第二接收模块,用于接收所述用户设备发送的第二认证数据响应消息,其中,所述第二认证数据响应消息为响应第二用户认证请求的消息;以及第二认证模块,用于根据所述第二认证数据响应消息和所述认证向量对所述用户设备进行认证。
进一步地,所述目标业务请求为以下任一目标业务的请求:本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务。
进一步地,所述第一判断单元包括:检测模块,用于检测与所述核心网设备的连接状态是否为断开状态;所述认证单元包括:第三认证模块,用于在检测出与所述核心网设备的连接状态为断开状态的情况下基站利用所述认证向量对所述用户设备进行认证;或者所述第一判断单元包括:判断模块,用于判断是否接收到本地认证开启指令;所述认证单元包括:第四认证模块,用于在判断出接收到本地认证开启指令的情况下,基站利用所述认证向量对所述用户设备进行认证。
进一步地,所述本地认证开启指令中包括时间信息或者次数信息,所述认证装置还包括:第一接收单元,用于在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,用于接收所述用户设备发送的第三用户认证请求;第二判断单元,用于判断所述第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出所述第三用户认证请求的发送时间在所述有效时长范围内的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下,认证失败或者发送所述第三用户认证请求至所述核心网设备,所述有效时长范围为根据所述时间信息确定的时长范围;或者第二接收单元,用于在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,接收所述用户设备发送的第四用户认证请求;第三判断单元,用于判断认证次数是否超过有效次数,其中,在判断出所述认证次数未超出所述有效次数的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述认证次数超出所述有效次数的情况下,认证失败或者发送所述第四用户认证请求至所述核心网设备,所述有效次数为根据所述次数信息确定的次数,所述认证次数为基站已利用所述认证向量对所述用户设备进行认证的次数。
进一步地,所述认证装置还包括:删除单元,用于在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下或者在判断出所述认证次数超出所述有效次数的情况下,删除已存储的所述认证向量。
根据本发明实施例,采用获取核心网设备中的认证向量,并存储所述认证向量;判断是否发生目标情况;在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证;以及在所述用户设备的认证结果为通过的情况下,向所述用户设备提供无线通信服务。通过基站能够获取与其连接的核心网设备中的认证向量,并对上述认证向量进行存储,使得基站可以在判断出发生目标情况的情况下,无需与核心网设备进行交互,直接利用其所存储的认证向量对用户设备进行认证,进而根据认证结果决定是否为用户设备提供无线通信服务,整个认证过程由基站完成,所以即使在基站与核心网设备断开连接的情况下,也不影响对用户设备的认证,进而也就使得对用户设备提供的无线通信服务也不受影响,解决了现有技术中的无线通信系统中对用户设备认证灵活性差的问题,进而达到了提高对用户设备认证灵活性的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是现有技术中LTE系统的认证过程的流程图;
图2是根据本发明实施例的用户设备的认证方法的流程图;
图3是根据本发明一可选实施例的用户设备的认证方法的流程图;
图4是根据本发明另一可选实施例的用户设备的认证方法的流程图;以及
图5是根据本发明实施例的用户设备的认证装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在本发明的下述实施例中将涉及到诸多英文缩写、英文全称及其中文全称,现将其总结至表1中:
表1
实施例1
根据本发明实施例,提供了一种可以用于实施本申请装置实施例的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种用户设备的认证方法。图2是根据本发明实施例的用户设备的认证方法的流程图,如图2所示,该方法包括如下的步骤S202至步骤S208,具体如下:
步骤S202:获取核心网设备中的认证向量,并存储认证向量。具体地,用户设备和核心网设备均与基站连接,在核心网设备对用户设备进行认证的认证过程中,基站可以获取来自核心网设备的认证向量,并对上述获取到的认证向量进行存储。
在本发明实施例中,基站与UE之间的空中接口不限,可以是WCDMA、CDMA2000、WiMAX、LTE或者LTE-Advanced等。其中,用户设备可以是移动电话机(或手机),或者其它能够发送或接收无线信号的设备,包括个人数字助理(PersonalDigital Assistant,简称PDA)、无线调制调解器、无线通信装置、手持装置、膝上型计算机、无绳电话、无线本地回路(WLL)站、能够将移动信号转换为无线保真(WirelessFidelity,简称wifi)信号的客户终端设备(Customer Premise Equipment,简称CPE)或便携式宽带无线装置Mifi、智能家电、或其它不通过人的操作就能自发与移动通信网络通信的机器或设备;基站的类型可以为基站(Base Station,简称BS)、宏基站(MacroBase Station)、微基站(Pico Base Station)、3G移动基站Node B、增强型基站(EvolutionNode B,简称ENB)、家庭增强型基站(Femto eNB或HENB)、电子运算处理器(Application Processor,简称AP)、无线路由器、中继站、射频拉远单元(Radio RemoteUnit,简称RRU)或者射频拉远头(Remote Radio Head,简称RRH);核心网设备可以为HSS、认证中心、MME、具有同样功能的云端服务器、或其它具有核心网功能的网络设备等。
步骤S204:判断是否发生目标情况。具体地,目标情况可以为接收到目标业务请求、收到本地认证开启指令和无法连接到核心网设备中的至少之一。
步骤S206:在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证,本步骤也就是,基站在判断出发生以下至少一种情况时,即接收到目标业务请求、收到本地认证开启指令和无法连接到核心网设备,就可以利用其之前存储的认证向量对用户设备进行认证。
步骤S208:在用户设备的认证结果为通过的情况下,向用户设备提供无线通信服务。
本发明实施例所提供的用户设备的认证方法,可以应用在下述应用场景中。具体为:用户将Home eNB部署在家庭环境中并连接到Internet(例如:插上网线连接到家庭宽带)之后,就可以通过Internet连接到HSS(例如:建立IPSec连接以保证安全性),从而在上述家庭环境中的UE就可以通过Home eNB连接到认证中心进行认证,认证通过后就可以享受移动通信服务。在上述认证过程中,基站可以存储用户认证设备(例如:HSS)发送的认证向量。当用户出于保密需要而阻断了Home eNB与Internet的连接,同时与核心网设备的连接也被中断时,或者Home eNB与HSS连接的通道(例如:家庭宽带)发生故障时,由于Home eNB已经提前从认证中心获取,并存储了该UE的认证向量,所以Home eNB就可以使用其所存储的认证向量对UE进行认证,使UE继续能够享受部分无线通信服务。由于此时Home eNB无法访问网络,所以此时通常用户设备只能享受本地的无线通信服务,具体体现为该UE与另一个通过认证的UE之间进行通信,或者该UE与另一个通过认证的机器(非用户持有的终端,例如:打印机)之间进行通信等等。例如:企业出于保密需要限制员工的通信仅能发生在内部网络。
在本发明实施例中,通过基站能够获取与其连接的核心网设备中的认证向量,并对上述认证向量进行存储,使得基站可以在判断出发生目标情况的情况下,无需与核心网设备进行交互,直接利用其所存储的认证向量对用户设备进行认证,进而根据认证结果决定是否为用户设备提供无线通信服务,整个认证过程由基站完成,所以即使在基站与核心网设备断开连接的情况下,也不影响对用户设备的认证,进而也就使得对用户设备提供的无线通信服务也不受影响,解决了现有技术中的无线通信系统中对用户设备认证灵活性差的问题,进而达到了提高对用户设备认证灵活性的效果。
具体地,获取核心网设备中的认证向量,并存储认证向量包括:接收核心网设备发送的第一认证数据响应消息,其中,第一认证数据响应消息为响应第一用户认证请求的消息;获取第一认证数据响应消息中的认证向量,并存储认证向量。
本发明实施例具体实现过程为:基站在接收到用户设备发送的用户认证请求后,会对接收到的用户认证请求进行判断,具体为判断上述接收到的用户认证请求是否为关于目标业务对用户设备进行认证的请求,在判断出上述接收到的用户认证请求不是关于目标业务对用户设备进行认证的请求时,会将接收到的上述用户认证请求发送至核心网设备,也就表示对发送该用户认证请求的用户设备的认证由核心网设备完成。核心网设备根据接收到的用户认证请求,会产生认证向量,并将认证向量包含在认证数据响应消息中发送至基站,基站在接到上述包含认证向量的认证数据响应消息后,会对该认证数据响应消息中的认证向量进行获取,并存储,其中,目标业务为本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务中的任意一种业务。
需要说明的是,基站在接收到用户设备发送的用户认证请求后,可以重复执行上述过程,进而可以存储多组认证向量。
优选地,在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证时,本发明实施例所提供的用户设备的认证方法还包括:发送提示消息至用户设备,其中,提示消息用于提示非正常认证、网络异常或者注意通信安全。具体地,提示消息可以是短信息或者电子邮件、或者显示特定的标志或颜色、或者发出特定的声音或振动等。
在本发明实施例中,基站在判断出接收到目标业务请求、接到本地认证指令或者与核心网设备的连接状态为断开状态时,会利用其存储的认证向量对用户设备进行认证。在利用其存储的认证向量对用户设备进行认证时,还可以向用户设备发送提示消息,以提醒用户对其的用户设备的认证为非正常认证、以提醒用户的用户设备存在网络异常,或者以提醒用户注意对其的用户设备的通信安全。
在本发明实施例中,通过向用户设备发送提示消息,避免了可能存在的“伪基站”的问题。例如:避免了非法分子通过该基站免费发送欺诈信息,使用户设备所有者产生损失的问题。
优选地,认证向量为多组,在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证包括:在每判断出发生目标情况的情况下,依次循环使用多组认证向量中的每组认证向量对用户设备进行认证。具体地,基站对用户设备进行认证的认证方式可以称为本地认证,核心网设备对用户设备进行认证的认证方式可以称为传统认证。由于UE可以具有移动性的特点,携带上述UE的用户可能多次进出基站的覆盖区域,核心网设备就会多次对该UE进行认证,那么基站就会多次接收到来自核心网设备的认证向量,并且可能多次收到不同的认证向量。在本发明实施例中,基站可以接收并存储来自核心网设备的多组认证向量,并在每接收到目标业务请求或每收到本地认证开启指令或每检测到无法连接到核心网设备时,依次循环使用上述多组认证向量中的每组认证向量对UE进行认证。
在本发明实施例中,基站获取来自核心网设备的多组认证向量并存储,在每判断出发生目标情况的情况下,就使用多组认证向量中的一组认证向量对UE进行认证,这种认证方式能够带来一定的随机性,达到了提高用户设备安全性的效果。例如,如果一直使用唯一的一组认证向量对用户设备进行认证的话,黑客多次尝试之后很有可能截取到上述唯一的认证向量,进而利用上述认证向量做出危害用户设备所有者利益的事情,而在本发明实施例中,黑客虽然可以截取到一组认证向量,但因基站使用对用户设备进行认证的认证向量是变化的,所以黑客截取到的那组认证向量很有可能是无效的,提高了用户设备使用的安全性。
具体地,目标情况为接收到目标业务请求,在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证包括:发送第二用户认证请求至用户设备,其中,第二用户认证请求中包含认证向量的随机数和网络认证标志,第二用户认证请求为关于目标业务的用户认证请求;接收用户设备发送的第二认证数据响应消息,其中,第二认证数据响应消息为响应第二用户认证请求的消息,第二认证数据响应消息包含RES;根据第二认证数据响应消息和认证向量对用户设备进行认证。
具体地,在本发明实施例中,根据所述第二认证数据响应消息和所述认证向量对所述用户设备进行认证可以包括步骤1-1,具体如下:
步骤1-1:比较第二认证数据响应消息中的RES与认证向量中的XRES是否一致,其中,在比较出第二认证数据响应消息中的RES与认证向量中的XRES一致的情况下,对用户设备的认证结果为通过,也就可以向用户设备提供无线通信服务;在比较出第二认证数据响应消息中的RES与认证向量中的XRES不一致的情况下,对用户设备的认证结果为不通过,也就是不向用户设备提供无线通信服务。
具体地,在本发明实施例中,目标业务请求为以下任一目标业务的请求,目标业务包括本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务。
下面对LIPA业务和SIPTO业务的由来进行介绍。在现有的LTE系统中,所有的业务都需要经过核心网设备进行,即UE需要进行的业务都需要经过核心网设备才能连接到外部的PDN,例如:Internet。由于上述LTE系统的网络架构的所有节点几乎都是由运营商来部署的,因此运营商可以通过核心网设备实现对网络的管理和控制,然而在某些场景,例如:Home eNB的场景中,Home eNB被用户部署在室内(例如:用户家庭中),Home eNB与核心网设备(例如EPC)的连接就是通过PDN网络例如Internet,此时,如果通过Home eNB传输的信息都需要先传输到EPC的网络设备(例如SGW)再最终传输到PDN,就会导致效率低下。针对上述情况,人们提出了LIPA和SIPTO技术,使用LIPA业务的UE不访问PDN,仅在本地局域网内流通,例如:用户通过手机访问家庭中的打印机等,其中手机和打印机等设备都接入同一个接入基站,即信息仅在本地IP地址之间交互,而使用SIPTO业务的UE所发生的信息不通过核心网设备传输而直接卸载到PDN,UE1和UE2通过基站直接连接到PDN。
当目标业务为LIPA业务或SIPTO业务时,即当基站检测到来自UE关于LIPA业务或SIPTO业务的请求时,则直接使用其存储的认证向量对UE进行认证,通过认证则为UE提供上述LIPA业务或SIPTO业务。由于该类业务的业务数据没有被传输到核心网设备,所以关于上述业务的认证信息也无需由核心网设备提供,从而保证了业务传输和UE认证的一致性,还使得核心网设备的数据处理复杂度不会随着Home eNB的增加而增加,达到了将降低核心网设备数据处理复杂度的效果。
当目标业务为MTC(Machine Type Communication,机器类型的通信)业务时,即机器参与的通信业务,可以包括机器之间、机器与人之间的通信,这里的机器具备无线通信功能,该类业务可以为智能抄表、智能家居等场景。在本发明实施例中,对于机器参与的通信业务,通常不会有人的参与,因此安全性的要求不会太高;并且该类业务的突发性和群体性较明显,例如:智能抄表业务,可能很多电表都被设置为晚上12:00向基站上报自身的电表信息,而对于一个小区来说,电表可能包括上千个,如果使用传统的认证方式的话,核心网设备会受到较大的冲击,提高了核心网设备的数据处理复杂度,但是如果通过本发明实施例中本地认证的认证方式,不会使核心网设备受到较大的冲击,达到了降低核心网设备数据处理复杂度的效果。
优选地,在本发明实施例中,判断是否发生目标情况有两种判断方式,以下分别介绍说明。
方式一:检测与核心网设备的连接状态是否为断开状态,此时,在判断出发生目标情况的情况下,利用认证向量对用户设备进行认证具体为:在检测出与核心网设备的连接状态为断开状态的情况下,基站利用认证向量对用户设备进行认证。
具体地,通过在基站上安装检测器来检测基站和核心网设备的连接状态。在本发明实施例中,基站通过安装的检测器来检测其与核心网设备的连接状态,在检测出基站与核心网设备的连接状态为断开的情况下,利用本地认证的认证方式对用户设备进行认证;在检测出基站与核心网设备的连接状态为连接的情况下,利用传统的认证方式对用户设备进行认证。
方式二:判断是否接收到本地认证开启指令,此时,在判断出发生目标情况的情况下,利用认证向量对用户设备进行认证具体为:在判断出接收到本地认证开启指令的情况下,基站利用认证向量对用户设备进行认证。
优选地,本地认证开启指令中可以包括时间信息或者次数信息,以下分别就当本地认证开启指令中包含时间信息的情况和本地认证开启指令中包含次数信息的情况,对本发明实施例所提供的认证方法进行说明。
情况一:当本地认证开启指令中包含时间信息时,在判断出发生目标情况的情况下之后,基站利用认证向量对用户设备进行认证之前,本发明实施例所提供的用户设备的认证方法还包括步骤S1至步骤S3,具体如下:
步骤S1:接收用户设备发送的第三用户认证请求。需要说明的是,本发明实施例中用户设备发送的用户认证请求可以是关于上述内容中的目标业务对用户设备进行认证的认证请求,也可以不是关于上述内容中的目标业务对用户设备进行认证的认证请求。
步骤S3:判断第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出第三用户认证请求的发送时间在有效时长范围内的情况下,基站利用认证向量对用户设备进行认证,在判断出第三用户认证请求的发送时间未在有效时长范围内的情况下,认证失败或者发送第三用户认证请求至核心网设备,有效时长范围为根据时间信息确定的时长范围。具体地,时长范围可以根据需求通过时间信息设置。
在现有的移动通信系统中,基站需要连接到核心网设备才能为用户设备提供移动通信服务,如果基站与核心网设备之间的连接中断,例如,用户想乘坐邮轮到海上游玩,但此时用户有进行本地通信的需求,由于在海上并没有网络连接,则会因无法连接核心网设备而导致无法为用户设备提供无线通信服务,虽然此种通信方式安全性较高,但却存在无法满足上述场景中用户的通信需求的问题。
在本发明实施例中,用户就可以通过其它设备向基站发送包含时间信息的本地认证开启指令,例如时间信息为从2100年1月1日10:00起后的7天,那么2100年1月1日10:00至2100年1月8日10:00就是有效时长范围,这样就实现授权基站使用其所存储的认证向量对在2100年1月1日10:00至2100年1月8日10:00内接收到用户认证请求对应的用户设备直接进行认证,也就是对在2100年1月1日10:00至2100年1月8日10:00内向基站发送用户认证请求的用户设备通过基站进行认证,而不需通过核心网设备,进而提供本地无线通信服务;如果在超过2100年1月8日10:00后向基站发送用户认证请求的用户设备仍需由核心网设备进行认证,具体地,基站会将接收到的用户认证请求发送至核心网设备,以请求一组新的认证向量。需要说明的是,基站将上述用户认证请求发送至核心网设备的前提是,基站与核心网设备为连接状态,当基站无法连接到核心网设备时,即,基站与核心网设备的连接状态为断开时,认证失败,即无法为用户设备提供无线通信服务。具体地,其他设备可以是核心网设备,包括MME、HSS等。
本发明实施例中,通过本地认证开启指令中的时间信息决定认证方式的情况,可以满足用户在不同场景中的对用户设备进行通信的需求,达到了提高用户满意度的效果。
需要说明的是,通过本发明实施例,还可以实现商业模式的创新。例如:如果用户想使用关于时间信息决定认证方式的功能,需要向运营商购买本地认证的时间,进而运营商控制相关设备向该基站发送时间信息以授权该段时间的本地认证功能。
在本发明实施例中,“本地认证开启指令”与“时间信息”通常是分别的信息,特别地还可以是同一条信息,例如:基站收到时间信息之后,可以就认为该时间信息同时指示基站开启本地认证功能。
情况二:当本地认证开启指令中包含次数信息时,在判断出发生目标情况的情况下之后,基站利用认证向量对用户设备进行认证之前,本发明实施例所提供的认证方法还包括步骤S5至步骤S7,具体如下:
步骤S5:接收用户设备发送的第四用户认证请求。具体地,第四用户认证请求可以与第三用户认证请求相同,也可以与第三用户认证请求不同。
步骤S7:判断认证次数是否超过有效次数,其中,在判断出认证次数未超出有效次数的情况下,基站利用认证向量对用户设备进行认证,在判断出认证次数超出有效次数的情况下,认证失败或者发送第四用户认证请求至核心网设备,有效次数为根据次数信息确定的次数,认证次数为基站已利用认证向量对用户设备进行认证的次数。具体地,有效次数可以根据需求通过次数信息设置。在本发明实施例中,对于某一用户设备而言,基站对该用户设备进行认证的认证次数可以累加。需要说明的是,基站将第四用户认证请求发送至核心网设备的前提是,基站与核心网设备为连接状态,当基站无法连接到核心网设备时,认证失败,即无法为用户设备提供无线通信服务。
在本发明实施例中,用户可以通过向运营商购买本地认证次数来实施,进而为UE提供更丰富的认证方式,其中,上述本地认证次数等价于UE进入基站覆盖区域的次数。
优选地,为了保证用户设备所有者的信息安全性,在判断出第三用户认证请求的发送时间未在有效时长范围内的情况下或者在判断出认证次数超出有效次数的情况下,本发明实施例所提供的用户设备的认证方法还包括:删除已存储的认证向量。需要说明的是,当基站存储一组认证向量时,则删除一组认证向量;当基站存储多组认证向量时,则将多组认证向量全部删除。
图3是根据本发明一可选实施例的用户设备的认证方法的流程图。在本实施例中,用户设备的认证方法包括用户设备UE、基站和核心网设备三部分,其中,核心网设备可以是HSS、认证中心、MME、具有同样功能的云端服务器、或其它具有核心网功能的网络设备,它们的内部操作不限。如图3所示,该认证方法主要包括步骤S302至步骤S314,具体如下:
步骤S302:核心网设备向基站发送的认证数据响应消息,其中,该认证数据响应消息中包含认证向量。具体地,基站在接收到核心网设备发送的认证数据响应消息后,会对认证数据响应消息中的认证向量进行存储。
步骤S304:基站向用户设备发送的发送用户认证请求,其中,该用户认证请求中可以包括基站所存储的认证向量中的RAND和AUTN等内容。
步骤S306:用户设备向核心网设备发送用户认证响应数据,其中,该用户认证响应数据为响应步骤S304中收到的用户认证请求的数据。对于该步骤,本发明不限定基站的行为,即基站可以对用户设备向核心网设备发送的用户认证响应数据进行处理(例如存储等),也可以不进行处理只进行透明传输。
步骤S308:核心网设备根据接收到的用户认证响应数据对用户设备进行认证。具体地,本发明实施例中核心网设备对用户设备进行认证的认证方法可以是EAP-AKA方法(基于RAND、AUTN等),也可以是其它的认证方法。
在图3中,中间的省略号表示经过了一段时间,在这段时间之后需要重新对用户设备进行认证。例如:UE在这段时间移动离开了Home eNB的覆盖区域,然后又回到该覆盖区域。
步骤S310:基站向用户设备发送用户认证请求,同样的,该用户认证请求中可以包括基站所存储的认证向量中的RAND和AUTN(即Authentication token,网络认证标志)等内容。本步骤具体为,在用户重新回到Home eNB的覆盖区域后,基站会判断是否接收到本地认证开启指令、是否无法连接到核心网设备和是否接收到目标业务请求后,在判断出接收到本地认证开启指令、无法连接到核心网设备或者接收到目标业务请求的情况下,会直接发送用户认证请求至用户设备,其中,目标业务请求为本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务中的任意一种业务的请求。
步骤S312:用户设备向基站发送用户认证响应数据,其中,该用户认证响应数据为响应步骤S310中收到的用户认证请求的数据。
步骤S314:基站根据接收到的用户认证响应数据对用户设备进行认证。同样的,本发明实施例中核心网设备对用户设备进行认证的认证方法可以是EAP-AKA方法(基于RAND、AUTN等),也可以是其它的认证方法。
图4是根据本发明另一可选实施例的用户设备的认证方法的流程图。在本发明实施例中,核心网设备包括MME和HSS,则用户设备的认证方法包括用户设备、基站、MME和HSS四部分。如图4所示,该认证方法主要包括步骤S402至步骤S418,具体如下:
步骤S402:MME向HSS发起用户认证请求,该步骤同背景技术中的步骤S102,在此不再重复说明。
步骤S404:HSS向MME发送认证数据响应消息,该步骤同背景技术中的步骤S104,在此不再重复说明。具体地,认证数据响应消息包含认证向量,MME在接收到HSS发送的认证数据响应消息后,会对认证数据响应消息中的认证向量进行存储。
步骤S406:MME向基站发送的认证数据响应消息。同样的,基站在接收到核心网设备发送的认证数据响应消息后,会对认证数据响应消息中的认证向量进行存储。
步骤S408:基站向用户设备发送的发送用户认证请求,其中,该用户认证请求中可以包括基站所存储的认证向量中的RAND和AUTN等内容。
步骤S410:用户设备向MME发送用户认证响应数据RES,其中,该用户认证响应数据为响应步骤S408中收到的用户认证请求的数据。对于该步骤,本发明不限定基站的行为,即基站可以对用户设备向MME发送的用户认证响应数据RES进行处理(例如存储),也可以不进行处理只进行透明传输。
步骤S412:MME根据接收到的用户认证响应数据RES对用户设备进行认证。具体地,本发明实施例中核心网设备对用户设备进行认证的认证方法可以是EAP-AKA方法(基于RAND、AUTN等),利用上述认证方法的具体认证过程已在背景技术中说明,此处不再重复。
与图3相同,图4中位于中间的省略号也表示经过了一段时间,在这段时间之后需要重新对用户设备进行认证。例如:UE在这段时间移动离开了Home eNB的覆盖区域,然后又回到该覆盖区域。
步骤S414:基站向用户设备发送的发送用户认证请求,同样的,该用户认证请求中可以包括基站所存储的认证向量中的RAND和AUTN(即Authentication token,网络认证标志)等内容。本步骤具体为,在用户重新回到Home eNB的覆盖区域后,基站会判断是否接收到本地认证开启指令、会判断是否无法连接到核心网设备或者是否接收到目标业务请求后,在判断出接收到本地认证开启指令、无法连接到核心网设备或者接收到目标业务请求的情况下,会直接发送用户认证请求至用户设备,其中,目标业务请求为本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务中的任意一种业务的请求。
步骤S416:用户设备向基站发送用户认证响应数据RES,其中,该用户认证响应数据为响应步骤S414中收到的用户认证请求的数据。
步骤S418:基站根据接收到的用户认证响应数据RES对用户设备进行认证。同样的,本发明实施例中核心网设备对用户设备进行认证的认证方法可以是EAP-AKA方法(基于RAND、AUTN等),利用上述认证方法的具体认证过程已在背景技术中说明,此处不再重复。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述用户设备的认证方法的用户设备的认证装置,该认证装置主要用于执行本发明实施例上述内容所提供的认证方法,以下对本发明实施例所提供的用户设备的认证装置做具体介绍:
图5是根据本发明实施例的用户设备的认证装置的示意图。如图5所示,该用户设备的认证装置主要包括:获取单元10、第一判断单元20、认证单元30和提供单元40,其中:
获取单元10用于获取核心网设备中的认证向量,并存储认证向量。具体地,用户设备和核心网设备均与基站连接,在核心网设备对用户设备进行认证的认证过程中,基站可以获取来自核心网设备的认证向量,并对上述获取到的认证向量进行存储。
在本发明实施例中,基站与UE之间的空中接口不限,可以是WCDMA、CDMA2000、WiMAX、LTE或者LTE-Advanced等。其中,用户设备可以是移动电话机(或手机),或者其它能够发送或接收无线信号的设备,包括个人数字助理(PersonalDigital Assistant,简称PDA)、无线调制调解器、无线通信装置、手持装置、膝上型计算机、无绳电话、无线本地回路(WLL)站、能够将移动信号转换为无线保真(WirelessFidelity,简称wifi)信号的客户终端设备(Customer Premise Equipment,简称CPE)或便携式宽带无线装置Mifi、智能家电、或其它不通过人的操作就能自发与移动通信网络通信的机器或设备;基站的类型可以为基站(Base Station,简称BS)、宏基站(MacroBase Station)、微基站(Pico Base Station)、3G移动基站Node B、增强型基站(EvolutionNode B,简称ENB)、家庭增强型基站(Femto eNB或HENB)、电子运算处理器(Application Processor,简称AP)、无线路由器、中继站、射频拉远单元(Radio RemoteUnit,简称RRU)或者射频拉远头(Remote Radio Head,简称RRH);核心网设备可以为HSS、认证中心、MME、具有同样功能的云端服务器、或其它具有核心网功能的网络设备等。
第一判断单元20用于判断是否发生目标情况。具体地,目标情况可以为接收到目标业务请求、收到本地认证开启指令和无法连接到核心网设备中的至少之一。
认证单元30用于在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证,本单元也就是,基站在判断出发生以下至少一种情况时,即接收到目标业务请求、收到本地认证开启指令和无法连接到核心网设备,就可以利用其之前存储的认证向量对用户设备进行认证。
提供单元40用于在用户设备的认证结果为通过的情况下,向用户设备提供无线通信服务。
本发明实施例所提供的用户设备的认证装置,可以应用在下述应用场景中。具体为:用户将Home eNB部署在家庭环境中并连接到Internet(例如:插上网线连接到家庭宽带)之后,就可以通过Internet连接到HSS(例如:建立IPSec连接以保证安全性),从而在上述家庭环境中的UE就可以通过Home eNB连接到认证中心进行认证,认证通过后就可以享受移动通信服务。在上述认证过程中,基站可以存储用户认证设备(例如:HSS)发送的认证向量。当用户出于保密需要而阻断了Home eNB与Internet的连接,同时与核心网设备的连接也被中断时,或者Home eNB与HSS连接的通道(例如:家庭宽带)发生故障时,由于Home eNB已经提前从认证中心获取,并存储了该UE的认证向量,所以Home eNB就可以使用其所存储的认证向量对UE进行认证,使UE继续能够享受部分无线通信服务。由于此时Home eNB无法访问网络,所以此时通常用户设备只能享受本地的无线通信服务,具体体现为该UE与另一个通过认证的UE之间进行通信,或者该UE与另一个通过认证的机器(非用户持有的终端,例如:打印机)之间进行通信等等。例如:企业出于保密需要限制员工的通信仅能发生在内部网络。
在本发明实施例中,通过基站能够获取与其连接的核心网设备中的认证向量,并对上述认证向量进行存储,使得基站可以在判断出发生目标情况的情况下,无需与核心网设备进行交互,直接利用其所存储的认证向量对用户设备进行认证,进而根据认证结果决定是否为用户设备提供无线通信服务,整个认证过程由基站完成,所以即使在基站与核心网设备断开连接的情况下,也不影响对用户设备的认证,进而也就使得对用户设备提供的无线通信服务也不受影响,解决了现有技术中的无线通信系统中对用户设备认证灵活性差的问题,进而达到了提高对用户设备认证灵活性的效果。
具体地,获取单元10包括第一接收模块和获取模块,其中,第一接收模块用于接收核心网设备发送的第一认证数据响应消息,第一认证数据响应消息为响应第一用户认证请求的消息;获取模块用于获取第一认证数据响应消息中的认证向量,并存储认证向量。
本发明实施例具体实现过程为:基站在接收到用户设备发送的用户认证请求后,会对接收到的用户认证请求进行判断,具体为判断上述接收到的用户认证请求是否为关于目标业务对用户设备进行认证的请求,在判断出上述接收到的用户认证请求不是关于目标业务对用户设备进行认证的请求时,会将接收到的上述用户认证请求发送至核心网设备,也就表示对发送该用户认证请求的用户设备的认证由核心网设备完成。核心网设备根据接收到的用户认证请求,会产生认证向量,并将认证向量包含在认证数据响应消息中发送至基站,基站在接到上述包含认证向量的认证数据响应消息后,会对该认证数据响应消息中的认证向量进行获取,并存储,其中,目标业务为本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务中的任意一种业务。
需要说明的是,基站在接收到用户设备发送的用户认证请求后,可以重复执行上述过程,进而可以存储多组认证向量。
优选地,本发明实施例所提供的用户设备的认证装置还包括发送单元,发送单元用于在判断出发生目标情况的情况下,基站利用认证向量对用户设备进行认证时,发送提示消息至用户设备,其中,提示消息用于提示非正常认证、网络异常或者注意通信安全。具体地,提示消息可以是短信息或者电子邮件、或者显示特定的标志或颜色、或者发出特定的声音或振动等。
在本发明实施例中,基站在判断出接收到目标业务、接到本地认证指令或者与核心网设备的连接状态为断开状态时,会利用其存储的认证向量对用户设备进行认证。在利用其存储的认证向量对用户设备进行认证时,还可以向用户设备发送提示消息,以提醒用户对其的用户设备的认证为非正常认证、以提醒用户的用户设备存在网络异常,或者以提醒用户注意对其的用户设备的通信安全。
在本发明实施例中,通过向用户设备发送提示消息,避免了可能存在的“伪基站”的问题。例如:避免了非法分子通过该基站免费发送欺诈信息,使用户设备所有者产生损失的问题。
优选地,认证向量为多组,其中,认证单元30包括第一认证模块,第一认证模块用于在每判断出发生目标情况的情况下,依次循环使用多组认证向量中的每组认证向量对用户设备进行认证。具体地,基站对用户设备进行认证的认证方式可以称为本地认证,核心网设备对用户设备进行认证的认证方式可以称为传统认证。由于UE可以具有移动性的特点,携带上述UE的用户可能多次进出基站的覆盖区域,核心网设备就会多次对该UE进行认证,那么基站就会多次接收到来自核心网设备的认证向量,并且可能多次收到不同的认证向量。在本发明实施例中,基站可以接收并存储来自核心网设备的多组认证向量,并在每接收到目标业务请求或每收到本地认证开启指令或每检测到无法连接到核心网设备时,依次循环使用上述多组认证向量中的每组认证向量对UE进行认证。
在本发明实施例中,基站获取来自核心网设备的多组认证向量并存储,在每判断出发生目标情况的情况下,就使用多组认证向量中的一组认证向量对UE进行认证,这种认证方式能够带来一定的随机性,达到了提高用户设备安全性的效果。例如,如果一直使用唯一的一组认证向量对用户设备进行认证的话,黑客多次尝试之后很有可能截取到上述唯一的认证向量,进而利用上述认证向量做出危害用户设备所有者利益的事情,而在本发明实施例中,黑客虽然可以截取到一组认证向量,但因基站使用对用户设备进行认证的认证向量是变化的,所以黑客截取到的那组认证向量很有可能是无效的,提高了用户设备使用的安全性。
具体地,目标情况为接收到目标业务请求,认证单元30包括发送模块、第二接收模块和第二认证模块,其中,发送模块用于发送第二用户认证请求至用户设备,其中,第二用户认证请求中包含认证向量的随机数和网络认证标志,第二用户认证请求为关于目标业务的用户认证请求;第二接收模块用于接收用户设备发送的第二认证数据响应消息,其中,第二认证数据响应消息为响应第二用户认证请求的消息,第二认证数据响应消息包含RES;第二认证模块用于根据第二认证数据响应消息和认证向量对用户设备进行认证。
具体地,在本发明实施例中,第二认证模块可以通过比较第二认证数据响应消息中的RES与认证向量中的XRES是否一致来实现对用户设备进行认证。其中,在比较出第二认证数据响应消息中的RES与认证向量中的XRES一致的情况下,对用户设备的认证结果为通过,也就可以向用户设备提供无线通信服务;在比较出第二认证数据响应消息中的RES与认证向量中的XRES不一致的情况下,对用户设备的认证结果为不通过,也就是不向用户设备提供无线通信服务。
具体地,在本发明实施例中,目标业务请求为以下任一目标业务的请求,目标业务包括本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务中的任一业务。
当目标业务为LIPA业务或SIPTO业务时,即当基站检测到来自UE关于LIPA业务或SIPTO业务的请求时,则直接使用其存储的认证向量对UE进行认证,通过认证则为UE提供上述LIPA业务或SIPTO业务。由于该类业务的业务数据没有被传输到核心网设备,所以关于上述业务的认证信息也无需由核心网设备提供,从而保证了业务传输和UE认证的一致性,还使得核心网设备的数据处理复杂度不会随着Home eNB的增加而增加,达到了将降低核心网设备数据处理复杂度的效果。
当目标业务为MTC(Machine Type Communication,机器类型的通信)业务时,即机器参与的通信业务,可以包括机器之间、机器与人之间的通信,这里的机器具备无线通信功能,该类业务可以为智能抄表、智能家居等场景。在本发明实施例中,对于机器参与的通信业务,通常不会有人的参与,因此安全性的要求不会太高;并且该类业务的突发性和群体性较明显,例如:智能抄表业务,可能很多电表都被设置为晚上12:00向基站上报自身的电表信息,而对于一个小区来说,电表可能包括上千个,如果使用传统的认证方式的话,核心网设备会受到较大的冲击,提高了核心网设备的数据处理复杂度,但是如果通过本发明实施例中本地认证的认证方式,不会使核心网设备受到较大的冲击,达到了降低核心网设备数据处理复杂度的效果。
优选地,在本发明实施例中,判断是否发生目标情况有两种判断方式,以下分别介绍说明。
方式一:第一判断单元20包括检测模块,其中,检测模块用于检测与核心网设备的连接状态是否为断开状态,此时,认证单元30包括第三认证模块,第三认证模块用于在检测出与核心网设备的连接状态为断开状态的情况下基站利用认证向量对用户设备进行认证。
具体地,通过在基站上安装检测器来检测基站和核心网设备的连接状态。在本发明实施例中,基站通过安装的检测器来检测其与核心网设备的连接状态,在检测出基站与核心网设备的连接状态为断开的情况下,利用本地认证的认证方式对用户设备进行认证;在检测出基站与核心网设备的连接状态为连接的情况下,利用传统的认证方式对用户设备进行认证。
方式二:第一判断单元20包括判断模块,判断模块用于判断是否接收到本地认证开启指令,此时,认证单元30包括第四认证模块,第四认证模块用于在判断出接收到本地认证开启指令的情况下,基站利用认证向量对用户设备进行认证。
优选地,本地认证开启指令中可以包括时间信息或者次数信息,以下分别就当本地认证开启指令中包含时间信息的情况和本地认证开启指令中包含次数信息的情况,对本发明实施例所提供的用户设备的认证装置进行说明。
情况一:本地认证开启指令中包括时间信息或者次数信息,本发明实施例所提供的用户设备的认证装置还包括第一接收单元和第二判断单元,其中:
第一接收单元用于在判断出发生目标情况的情况下之后,基站利用认证向量对用户设备进行认证之前,用于接收用户设备发送的第三用户认证请求。需要说明的是,本发明实施例中用户设备发送的用户认证请求可以是关于上述内容中的目标业务对用户设备进行认证的认证请求,也可以不是关于上述内容中的目标业务对用户设备进行认证的认证请求。
第二判断单元用于判断第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出第三用户认证请求的发送时间在有效时长范围内的情况下,基站利用认证向量对用户设备进行认证,在判断出第三用户认证请求的发送时间未在有效时长范围内的情况下,认证失败或者发送第三用户认证请求至核心网设备,有效时长范围为根据时间信息确定的时长范围。具体地,时长范围可以根据需求通过时间信息设置。
在现有的移动通信系统中,基站需要连接到核心网设备才能为用户设备提供移动通信服务,如果基站与核心网设备之间的连接中断,例如,用户想乘坐邮轮到海上游玩,但此时用户有进行本地通信的需求,由于在海上并没有网络连接,则会因无法连接核心网设备而导致无法为用户设备提供无线通信服务,虽然此种通信方式安全性较高,但却存在无法满足上述场景中用户的通信需求的问题。
在本发明实施例中,用户就可以通过其它设备向基站发送包含时间信息的本地认证开启指令,例如时间信息为从2100年1月1日10:00起后的7天,那么2100年1月1日10:00至2100年1月8日10:00就是有效时长范围,这样就实现授权基站使用其所存储的认证向量对在2100年1月1日10:00至2100年1月8日10:00内接收到用户认证请求对应的用户设备直接进行认证,也就是对在2100年1月1日10:00至2100年1月8日10:00内向基站发送用户认证请求的用户设备通过基站进行认证,而不需通过核心网设备,进而提供本地无线通信服务;如果在超过2100年1月8日10:00后向基站发送用户认证请求的用户设备仍需由核心网设备进行认证,具体地,基站会将接收到的用户认证请求发送至核心网设备,以请求一组新的认证向量。需要说明的是,基站将上述用户认证请求发送至核心网设备的前提是,基站与核心网设备为连接状态,当基站无法连接到核心网设备时,即,基站与核心网设备的连接状态为断开时,认证失败,即无法为用户设备提供无线通信服务。具体地,其他设备可以是核心网设备,包括MME、HSS等。
本发明实施例中,通过本地认证开启指令中的时间信息决定认证方式的情况,可以满足用户在不同场景中的对用户设备进行通信的需求,达到了提高用户满意度的效果。
需要说明的是,通过本发明实施例,还可以实现商业模式的创新。例如:如果用户想使用关于时间信息决定认证方式的功能,需要向运营商购买本地认证的时间,进而运营商控制相关设备向该基站发送时间信息以授权该段时间的本地认证功能。
在本发明实施例中,“本地认证开启指令”与“时间信息”通常是分别的信息,特别地还可以是同一条信息,例如:基站收到时间信息之后,可以就认为该时间信息同时指示基站开启本地认证功能。
情况二:当本地认证开启指令中包含次数信息时,本发明实施例所提供的用户设备的认证装置还包括第二接收单元和第三判断单元,其中:
第二接收单元用于在判断出发生目标情况的情况下之后,基站利用认证向量对用户设备进行认证之前,接收用户设备发送的第四用户认证请求。具体地,第四用户认证请求可以与第三用户认证请求相同,也可以与第三用户认证请求不同。
第三判断单元用于判断认证次数是否超过有效次数,其中,在判断出认证次数未超出有效次数的情况下,基站利用认证向量对用户设备进行认证,在判断出认证次数超出有效次数的情况下,认证失败或者发送第四用户认证请求至核心网设备,有效次数为根据次数信息确定的次数,认证次数为基站已利用认证向量对用户设备进行认证的次数。具体地,有效次数可以根据需求通过次数信息设置。在本发明实施例中,对于某一用户设备而言,基站对该用户设备进行认证的认证次数可以累加。需要说明的是,基站将第四用户认证请求发送至核心网设备的前提是,基站与核心网设备为连接状态,当基站无法连接到核心网设备时,认证失败,即无法为用户设备提供无线通信服务。
在本发明实施例中,用户可以通过向运营商购买本地认证次数来实施,进而为UE提供更丰富的认证方式,其中,上述本地认证次数等价于UE进入基站覆盖区域的次数。
优选地,为了保证用户设备所有者的信息安全性,本发明实施例所提供的用户设备的认证装置还包括删除单元,删除单元用于在判断出第三用户认证请求的发送时间未在有效时长范围内的情况下或者在判断出认证次数超出有效次数的情况下,删除已存储的认证向量。
从以上的描述中,可以看出,本发明解决了现有技术中的无线通信系统中对用户设备认证灵活性差的问题,进而达到了提高对用户设备认证灵活性的效果。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种用户设备的认证方法,其特征在于,包括:
获取核心网设备中的认证向量,并存储所述认证向量;
判断是否发生目标情况;
在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证;以及
在所述用户设备的认证结果为通过的情况下,向所述用户设备提供无线通信服务。
2.根据权利要求1所述的认证方法,其特征在于,获取核心网设备中的认证向量,并存储所述认证向量包括:
接收所述核心网设备发送的第一认证数据响应消息,其中,所述第一认证数据响应消息为响应第一用户认证请求的消息;
获取所述第一认证数据响应消息中的所述认证向量,并存储所述认证向量。
3.根据权利要求1所述的认证方法,其特征在于,在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证时,所述认证方法还包括:
发送提示消息至所述用户设备,其中,所述提示消息用于提示非正常认证、网络异常或者注意通信安全。
4.根据权利要求1所述的认证方法,其特征在于,所述认证向量为多组,其中:
在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证包括:在每判断出发生所述目标情况的情况下,依次循环使用多组所述认证向量中的每组所述认证向量对所述用户设备进行认证。
5.根据权利要求1所述的认证方法,其特征在于,所述目标情况为接收到目标业务请求,在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证包括:
发送第二用户认证请求至所述用户设备,其中,所述第二用户认证请求中包含所述认证向量的随机数和网络认证标志;
接收所述用户设备发送的第二认证数据响应消息,其中,所述第二认证数据响应消息为响应第二用户认证请求的消息;以及
根据所述第二认证数据响应消息和所述认证向量对所述用户设备进行认证。
6.根据权利要求5所述的认证方法,其特征在于,所述目标业务请求为以下任一目标业务的请求:
本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务。
7.根据权利要求1所述的认证方法,其特征在于,
判断是否发生目标情况包括:检测与所述核心网设备的连接状态是否为断开状态;在判断出发生所述目标情况的情况下,利用所述认证向量对所述用户设备进行认证包括:在检测出与所述核心网设备的连接状态为断开状态的情况下,基站利用所述认证向量对所述用户设备进行认证;
或者
判断是否发生目标情况包括:判断是否接收到本地认证开启指令;在判断出发生所述目标情况的情况下,利用所述认证向量对所述用户设备进行认证包括:在判断出接收到本地认证开启指令的情况下,基站利用所述认证向量对所述用户设备进行认证。
8.根据权利要求7所述的认证方法,其特征在于,所述本地认证开启指令中包括时间信息或者次数信息,在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,所述认证方法还包括:
接收所述用户设备发送的第三用户认证请求;判断所述第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出所述第三用户认证请求的发送时间在所述有效时长范围内的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下,认证失败或者发送所述第三用户认证请求至所述核心网设备,所述有效时长范围为根据所述时间信息确定的时长范围;
或者
接收所述用户设备发送的第四用户认证请求;判断认证次数是否超过有效次数,其中,在判断出所述认证次数未超出所述有效次数的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述认证次数超出所述有效次数的情况下,认证失败或者发送所述第四用户认证请求至所述核心网设备,所述有效次数为根据所述次数信息确定的次数,所述认证次数为基站已利用所述认证向量对所述用户设备进行认证的次数。
9.根据权利要求8所述的认证方法,其特征在于,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下或者在判断出所述认证次数超出所述有效次数的情况下,所述认证方法还包括:
删除已存储的所述认证向量。
10.一种用户设备的认证装置,其特征在于,包括:
获取单元,用于获取核心网设备中的认证向量,并存储所述认证向量;
第一判断单元,用于判断是否发生目标情况;
认证单元,用于在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证;以及
提供单元,用于在所述用户设备的认证结果为通过的情况下,向所述用户设备提供无线通信服务。
11.根据权利要求10所述的认证装置,其特征在于,所述获取单元包括:
第一接收模块,用于接收所述核心网设备发送的第一认证数据响应消息,其中,所述第一认证数据响应消息为响应第一用户认证请求的消息;
获取模块,用于获取所述第一认证数据响应消息中的所述认证向量,并存储所述认证向量。
12.根据权利要求10所述的认证装置,其特征在于,所述认证装置还包括:
发送单元,用于在判断出发生所述目标情况的情况下,基站利用所述认证向量对所述用户设备进行认证时,发送提示消息至所述用户设备,其中,所述提示消息用于提示非正常认证、网络异常或者注意通信安全。
13.根据权利要求10所述的认证装置,其特征在于,所述认证向量为多组,其中:
所述认证单元包括:第一认证模块,用于在每判断出发生所述目标情况的情况下,依次循环使用多组所述认证向量中的每组所述认证向量对所述用户设备进行认证。
14.根据权利要求10所述的认证装置,其特征在于,所述目标情况为接收到目标业务请求,所述认证单元包括:
发送模块,用于发送第二用户认证请求至所述用户设备,其中,所述第二用户认证请求中包含所述认证向量的随机数和网络认证标志;
第二接收模块,用于接收所述用户设备发送的第二认证数据响应消息,其中,所述第二认证数据响应消息为响应第二用户认证请求的消息;以及
第二认证模块,用于根据所述第二认证数据响应消息和所述认证向量对所述用户设备进行认证。
15.根据权利要求14所述的认证装置,其特征在于,所述目标业务请求为以下任一目标业务的请求:
本地通信服务、IP流量卸载业务、LIPA业务、SIPTO业务、MTC业务和M2M业务。
16.根据权利要求10所述的认证装置,其特征在于,
所述第一判断单元包括:检测模块,用于检测与所述核心网设备的连接状态是否为断开状态;所述认证单元包括:第三认证模块,用于在检测出与所述核心网设备的连接状态为断开状态的情况下基站利用所述认证向量对所述用户设备进行认证;
或者
所述第一判断单元包括:判断模块,用于判断是否接收到本地认证开启指令;所述认证单元包括:第四认证模块,用于在判断出接收到本地认证开启指令的情况下,基站利用所述认证向量对所述用户设备进行认证。
17.根据权利要求16所述的认证装置,其特征在于,所述本地认证开启指令中包括时间信息或者次数信息,所述认证装置还包括:
第一接收单元,用于在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,用于接收所述用户设备发送的第三用户认证请求;第二判断单元,用于判断所述第三用户认证请求的发送时间是否在有效时长范围内,其中,在判断出所述第三用户认证请求的发送时间在所述有效时长范围内的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下,认证失败或者发送所述第三用户认证请求至所述核心网设备,所述有效时长范围为根据所述时间信息确定的时长范围;
或者
第二接收单元,用于在判断出发生所述目标情况的情况下之后,基站利用所述认证向量对所述用户设备进行认证之前,接收所述用户设备发送的第四用户认证请求;第三判断单元,用于判断认证次数是否超过有效次数,其中,在判断出所述认证次数未超出所述有效次数的情况下,基站利用所述认证向量对所述用户设备进行认证,在判断出所述认证次数超出所述有效次数的情况下,认证失败或者发送所述第四用户认证请求至所述核心网设备,所述有效次数为根据所述次数信息确定的次数,所述认证次数为基站已利用所述认证向量对所述用户设备进行认证的次数。
18.根据权利要求17所述的认证装置,其特征在于,所述认证装置还包括:
删除单元,用于在判断出所述第三用户认证请求的发送时间未在所述有效时长范围内的情况下或者在判断出所述认证次数超出所述有效次数的情况下,删除已存储的所述认证向量。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510152947.9A CN106162635A (zh) | 2015-04-01 | 2015-04-01 | 用户设备的认证方法和装置 |
| PCT/CN2016/076035 WO2016155478A1 (zh) | 2015-04-01 | 2016-03-10 | 用户设备的认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510152947.9A CN106162635A (zh) | 2015-04-01 | 2015-04-01 | 用户设备的认证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106162635A true CN106162635A (zh) | 2016-11-23 |
Family
ID=57005430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510152947.9A Pending CN106162635A (zh) | 2015-04-01 | 2015-04-01 | 用户设备的认证方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106162635A (zh) |
| WO (1) | WO2016155478A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018170707A1 (zh) * | 2017-03-20 | 2018-09-27 | 华为技术有限公司 | 控制面连接管理方法和装置 |
| CN109672695A (zh) * | 2019-03-01 | 2019-04-23 | 浙江齐治科技股份有限公司 | 一种双因子身份认证方法及装置 |
| WO2023246942A1 (zh) * | 2022-06-25 | 2023-12-28 | 华为技术有限公司 | 通信方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112673662B (zh) * | 2018-10-31 | 2023-11-10 | 深圳市欢太科技有限公司 | 伪基站识别方法、装置、移动终端及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564625A (zh) * | 2004-03-15 | 2005-01-12 | 西安大唐电信有限公司 | Scdma网络核心网实现移动终端鉴权和漫游的方法 |
| EP1739903A1 (en) * | 2005-07-02 | 2007-01-03 | Samsung Electronics Co., Ltd. | Authentication system and method thereof in a communication system |
| CN1918885A (zh) * | 2004-02-09 | 2007-02-21 | 法国电信公司 | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 |
| CN101043744A (zh) * | 2006-03-21 | 2007-09-26 | 华为技术有限公司 | 一种ims网络中用户终端接入鉴权的方法 |
| CN102006591A (zh) * | 2009-08-31 | 2011-04-06 | 中兴通讯股份有限公司 | 数据传输安全保护方法、认证服务器及终端 |
| CN102883319A (zh) * | 2012-09-07 | 2013-01-16 | 大唐移动通信设备有限公司 | 鉴权向量管理方法及装置 |
| CN104244241A (zh) * | 2013-06-08 | 2014-12-24 | 中兴通讯股份有限公司 | 接入网络的认证方法、装置与终端设备 |
| CN104301106A (zh) * | 2013-07-16 | 2015-01-21 | 财团法人资讯工业策进会 | 无线通信系统及其认证方法 |
| CN104349315A (zh) * | 2013-07-31 | 2015-02-11 | 普天信息技术研究院有限公司 | 一种保障基站与用户设备信息安全的方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4080464B2 (ja) * | 2004-07-14 | 2008-04-23 | 松下電器産業株式会社 | 検証ベクタ生成方法およびこれを用いた電子回路の検証方法 |
| CN101030854B (zh) * | 2006-03-02 | 2010-05-12 | 华为技术有限公司 | 多媒体子系统中网络实体的互认证方法及装置 |
| CN102238544A (zh) * | 2010-05-06 | 2011-11-09 | 中兴通讯股份有限公司 | 一种移动网络认证的方法及系统 |
-
2015
- 2015-04-01 CN CN201510152947.9A patent/CN106162635A/zh active Pending
-
2016
- 2016-03-10 WO PCT/CN2016/076035 patent/WO2016155478A1/zh active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1918885A (zh) * | 2004-02-09 | 2007-02-21 | 法国电信公司 | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 |
| CN1564625A (zh) * | 2004-03-15 | 2005-01-12 | 西安大唐电信有限公司 | Scdma网络核心网实现移动终端鉴权和漫游的方法 |
| EP1739903A1 (en) * | 2005-07-02 | 2007-01-03 | Samsung Electronics Co., Ltd. | Authentication system and method thereof in a communication system |
| CN101043744A (zh) * | 2006-03-21 | 2007-09-26 | 华为技术有限公司 | 一种ims网络中用户终端接入鉴权的方法 |
| CN102006591A (zh) * | 2009-08-31 | 2011-04-06 | 中兴通讯股份有限公司 | 数据传输安全保护方法、认证服务器及终端 |
| CN102883319A (zh) * | 2012-09-07 | 2013-01-16 | 大唐移动通信设备有限公司 | 鉴权向量管理方法及装置 |
| CN104244241A (zh) * | 2013-06-08 | 2014-12-24 | 中兴通讯股份有限公司 | 接入网络的认证方法、装置与终端设备 |
| CN104301106A (zh) * | 2013-07-16 | 2015-01-21 | 财团法人资讯工业策进会 | 无线通信系统及其认证方法 |
| CN104349315A (zh) * | 2013-07-31 | 2015-02-11 | 普天信息技术研究院有限公司 | 一种保障基站与用户设备信息安全的方法和系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018170707A1 (zh) * | 2017-03-20 | 2018-09-27 | 华为技术有限公司 | 控制面连接管理方法和装置 |
| US11432355B2 (en) | 2017-03-20 | 2022-08-30 | Huawei Technologies Co., Ltd. | Control plane connection management method and apparatus |
| CN109672695A (zh) * | 2019-03-01 | 2019-04-23 | 浙江齐治科技股份有限公司 | 一种双因子身份认证方法及装置 |
| WO2023246942A1 (zh) * | 2022-06-25 | 2023-12-28 | 华为技术有限公司 | 通信方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016155478A1 (zh) | 2016-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102090093B (zh) | 空口链路安全机制建立的方法、设备 | |
| CN107800664A (zh) | 一种防止信令攻击方法及装置 | |
| CN109891920A (zh) | 支持无线网络中的覆盖和资源受限设备的层2中继 | |
| CN101945386B (zh) | 一种实现安全密钥同步绑定的方法及系统 | |
| CN101931955B (zh) | 认证方法、装置及系统 | |
| CN109076079A (zh) | 增强的非接入层安全 | |
| CN102843233B (zh) | 一种机器到机器通信中组认证的方法和系统 | |
| CN101945387B (zh) | 一种接入层密钥与设备的绑定方法和系统 | |
| CN107409305A (zh) | 通信设备与网络设备之间的通信安全设置 | |
| CN113329407A (zh) | 用户设备与演进分组核心之间的相互认证 | |
| EP2368390A1 (en) | Method and arrangement for creation of association between a user equipment and an access point | |
| CN104581875B (zh) | 微型基站接入方法和系统 | |
| US20180034635A1 (en) | GPRS System Key Enhancement Method, SGSN Device, UE, HLR/HSS, and GPRS System | |
| CN101897208A (zh) | 用于支持从主终端设备到访客终端设备的毫微微小区信息的事务的系统和方法 | |
| CN107948974A (zh) | 一种WiFi安全认证方法 | |
| CN102056159B (zh) | 一种中继系统的安全密钥获取方法、装置 | |
| CN106162635A (zh) | 用户设备的认证方法和装置 | |
| CN101640887A (zh) | 鉴权方法、通信装置和通信系统 | |
| CN101931953A (zh) | 生成与设备绑定的安全密钥的方法及系统 | |
| CN108990048A (zh) | 确定终端设备的标识的方法和装置 | |
| CN103220671B (zh) | 认证附着到与诸如ims的安全核心网通信的毫微微蜂窝上的移动单元的方法 | |
| CN109691154A (zh) | 基于密钥刷新的按需网络功能重新认证 | |
| US10225736B2 (en) | Method and apparatus for managing authentication in wireless communication system while subscriber identity module is not available | |
| CN102595400B (zh) | 检测uicc是否在授权设备上使用的方法、系统和用户设备 | |
| CN109496412A (zh) | 使用隐私识别码的验证 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161123 |
|
| RJ01 | Rejection of invention patent application after publication |