CN106856604A - Nas附着系统和方法 - Google Patents

Abstract

本发明公开了一种NAS附着系统，所述NAS附着系统包括用户设备UE和核心网，其中：所述UE，用于向所述核心网发起附着请求；所述核心网，用于校验所述附着请求；若所述附着请求通过校验，则向所述UE下发附着进程信令；所述UE，还用于根据所述附着进程信令对所述核心网进行网络鉴权；若所述核心网通过网络鉴权，则向所述核心网反馈附着完成信令。本发明还公开了一种NAS附着方法。本发明大大减少了NAS附着流程冗余，节省了UE注册到核心网的时间。

Description

NAS附着系统和方法

技术领域

本发明涉及通信技术领域，尤其涉及一种NAS附着系统和方法。

背景技术

NAS(Non-access stratum，非接入层)存在于UMTS(Universal MobileTelecommunications System，通用移动通信系统)的无线通信协议栈中，作为核心网与UE(User Equipment，用户设备)之间的功能层，该层支持在这两者之间的信令和数据传输。

但是，目前LTE(Long Term Evolution，长期演进技术)网络等的NAS层attach(附着)流程繁琐，需要UE与核心网之间进行大量的信令交互。例如，UE需要经历Attachrequest(附着请求)、Identity request与response(身份请求与响应)，Authenticationrequest与response(认证请求与响应)，security和Ciphered request与response(安全和加密请求与响应)，Attach Complete(附着完成)等多个环节。而遍历这些环节，需要UE与核心网之间多次进行信令交互，导致信令冗余过多，耗费大量的时间。

发明内容

本发明的主要目的在于提供一种NAS附着系统和方法，旨在解决NAS附着流程过于复杂的技术问题。

为实现上述目的，本发明提供一种NAS附着系统，所述NAS附着系统包括用户设备UE和核心网，其中：

所述UE，用于向所述核心网发起附着请求；

所述核心网，用于校验所述附着请求；若所述附着请求通过校验，则向所述UE下发附着进程信令；

所述UE，还用于根据所述附着进程信令对所述核心网进行网络鉴权；若所述核心网通过网络鉴权，则向所述核心网反馈附着完成信令。

优选地，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和公用数据网PDN连接建立请求，所述核心网包括移动性管理实体MME和归属用户服务器HSS，其中：

所述HSS，用于根据所述注网请求校验所述UE的身份；若所述UE的身份通过校验，则校验所述网络鉴权请求；若所述网络鉴权请求通过校验，则生成响应值RES并发送给所述MME；

所述MME，用于若所述网络鉴权请求通过校验，则根据所述安全模式请求配置安全算法；若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；若所述默认承载成功建立，则确定所述附着请求通过校验；配置附着进程信令并下发给所述UE，所述附着进程信令包括所述RES。

优选地，所述UE还用于，

根据所述附着进程信令获取所述RES；根据所述RES，对所述核心网进行网络鉴权。

优选地，所述MME还用于，

根据所述安全模式请求，获取所述UE的安全能力信息；判断所述MME的安全能力与所述UE的安全能力是否匹配；若所述MME的安全能力与所述UE的安全能力匹配，则对应配置安全算法。

优选地，所述PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，所述MME还用于，

优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；若所述数据域默认承载成功建立，则确定所述附着请求通过校验；根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

优选地，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，所述HSS还用于，

根据所述GUTI和所述PTMSI校验所述UE的身份；

所述MME，还用于若所述UE的身份未通过校验，则向所述UE发送附着拒绝信令，所述附着拒绝信令包括国际移动用户识别码IMSI校验请求；

所述UE，还用于根据所述UE的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求。

优选地，所述注网请求包括所述UE的IMSI，所述HSS还用于，

根据所述IMSI校验所述UE的身份。

优选地，所述附着请求还包括所述UE的国际移动设备身份码IMEI，所述HSS还用于，

校验所述IMEI；若所述IMEI通过校验，且所述UE的身份通过校验，则校验所述网络鉴权请求。

此外，为实现上述目的，本发明还提供一种NAS附着方法，所述NAS附着方法包括以下步骤：

核心网在收到用户设备UE的附着请求时，校验所述附着请求；

若所述附着请求通过校验，则所述核心网向所述UE下发附着进程信令，以供所述UE根据所述附着进程信令对所述核心网进行网络鉴权；

若收到所述UE反馈的附着完成信令，则所述核心网确定其通过网络鉴权，所述UE附着成功。

优选地，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和公用数据网PDN连接建立请求，所述校验所述附着请求的步骤包括：

所述核心网根据所述注网请求校验所述UE的身份；

若所述UE的身份通过校验，则校验所述网络鉴权请求；

若所述网络鉴权请求通过校验，则生成响应值RES，并根据所述安全模式请求配置安全算法；

若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；

若所述默认承载成功建立，则确定所述附着请求通过校验；

所述核心网向所述UE下发附着进程信令的步骤包括：

配置附着进程信令并下发给所述UE，所述附着进程信令包括所述RES，以供所述UE根据所述RES，对所述核心网进行网络鉴权。

优选地，所述根据所述安全模式请求配置安全算法的步骤包括：

根据所述安全模式请求，获取所述UE的安全能力信息；

判断所述核心网的安全能力与所述UE的安全能力是否匹配；

若所述核心网的安全能力与所述UE的安全能力匹配，则对应配置安全算法。

优选地，所述PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，所述NAS附着方法还包括：

优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；

若所述数据域默认承载成功建立，则确定所述附着请求通过校验；

根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

优选地，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，所述核心网根据所述注网请求校验所述UE的身份的步骤包括：

所述核心网根据所述GUTI和所述PTMSI校验所述UE的身份；

若所述UE的身份未通过校验，则向所述UE发送附着拒绝信令，所述附着拒绝信令包括国际移动用户识别码IMSI校验请求，以供所述UE根据所述UE的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求。

优选地，所述注网请求包括所述UE的IMSI，所述核心网根据所述注网请求校验所述UE的身份的步骤包括：

所述核心网根据所述IMSI校验所述UE的身份。

优选地，所述附着请求还包括所述UE的国际移动设备身份码IMEI，所述NAS附着方法还包括：

所述核心网校验所述IMEI；

所述若所述UE的身份通过校验，则校验所述网络鉴权请求的步骤包括：

若所述IMEI通过校验，且所述UE的身份通过校验，则校验所述网络鉴权请求。

本发明实施例提出的一种NAS附着系统和方法，NAS附着系统包括用户设备UE和核心网，其中：UE首先向核心网发起附着请求；核心网在收到附着请求后对附着请求进行校验；若附着请求通过校验，则核心网向UE下发附着进程信令，以通知UE附着请求的校验结果以及相关的协商参数；UE在收到附着进程信令后，根据附着进程信令进行网络鉴权；若网络鉴权通过，则UE向核心网反馈附着完成信令，结束NAS层附着进程。本实施例仅通过UE与核心网的三次握手即可完成NAS层的附着，大大减少了NAS附着流程冗余，节省了UE注册到核心网的时间，解决了目前NAS附着流程复杂的技术问题。并且，UE在确认附着完成前对核心网进行网络鉴权，是否接入网络的决定权掌握在UE手中，可以有效避免UE接入伪基站，防止伪基站的骚扰和诈骗，提高了接入网络的安全性。

附图说明

图1为本发明NAS附着系统第一实施例、第二实施例、第三实施例、第四实施例、第五实施例、第六实施例的模块示意图；

图2为图1中NAS附着系统中核心网20的细化模块示意图；

图3为本发明NAS附着方法第一实施例的流程示意图；

图4为图3中校验所述附着请求的步骤及所述核心网向所述UE下发附着进程信令的步骤的细化流程示意图；

图5为图4中根据所述安全模式请求配置安全算法的步骤的细化流程示意图；

图6为本发明NAS附着方法第三实施例的流程示意图；

图7为图4中所述核心网根据所述注网请求校验所述UE的身份的步骤的细化流程示意图；

图8为图4中所述核心网根据所述注网请求校验所述UE的身份的步骤的细化流程示意图；

图9为本发明NAS附着方法第六实施例的流程示意图；

图10为本发明实施例中一种NAS附着应用场景示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，本发明NAS附着系统第一实施例提供一种NAS附着系统，所述NAS附着系统包括用户设备UE10和核心网20，其中：

所述UE10，用于向所述核心网20发起附着请求。

在进行NAS(Non-access stratum，非接入层)附着时，首先，UE(UserEquipment，用户设备)10需要向核心网20发起附着请求attach request。需要说明的是，UE10可以是移动终端等终端设备。

附着请求包括当前UE10的身份信息以及注网信息，用以表明当前UE的身份，请求核心网启动附着流程。

进一步地，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和PDN(Public Data Network，公用数据网)连接建立请求。

其中，注网请求包括UE10的身份信息和自身接入能力信息。UE10的身份信息可以是UE10上次注网时获得的GUTI(Globally Unique Temporary UE Identity，全球唯一临时UE标识)和PTMSI(Packet Temperate Mobile Subs cription Identity，分组临时移动用户识别码)。当然，身份信息也可以是UE10的IMSI(International Mobile SubscriberIdentification Number，国际移动用户识别码)等，可根据实际需要灵活配置。UE10的自身接入能力信息包括UE10自身支持的无线接入相关能力及核心网相关能力，例如UE10的功率等级等，以供核心网20根据UE10的能力进行事件的处理。

网络鉴权请求包括UE10生成的RAND(随机数)和AUTN(Authentication Token，网络认证令牌)。需要说明的是，UE10需要配置鉴权四元组RAND、XRES(Expected Response，预期的结果)、AUTN、KASME。其中，RAND是不可预知的随机数；AUTN用于核心网20对UE10进行网络鉴权；XRES为期望的核心网20的响应参数；KASME为根秘钥，用于计算NAS层和AS(accessstratum，接入层)层的秘钥，保障UE10与核心网20之间的信令和数据的安全、完整性。另外，网络鉴权请求中还可以包括UE10生成的SQN(sequence number，序列号)。

安全模式请求中记载了UE10支持的全部加密算法和完整性算法，用于与核心网20协商安全算法。

PDN建立请求中记载了UE10业务相关和/或当前接入网络需求的默认承载PDN连接请求。例如，基于LTE(Long Term Evolution，长期演进技术)等网络永久在线的特性的需求，接入LTE网络时PDN建立请求中至少需要包括数据域默认承载的建立请求。数据域默认承载的建立请求记载了UE10请求的数据域默认承载相关的IP(Internet Protocol，网络互联协议)类型、APN(Access Point Name，接入点名称)、QOS(Quality of Service，服务质量)参数等参数。

所述核心网20，用于校验所述附着请求；若所述附着请求通过校验，则向所述UE10下发附着进程信令。

核心网20在收到UE10的附着请求后，校验此附着请求。

具体的，核心网20可以根据附着请求中的身份信息和注网信息，确定当前UE10的身份，校验UE10是否满足接入核心网20的条件。

例如，核心网20可以根据注网信息了解UE10的接入能力；进行网络鉴权，以保障UE10与核心网20之间信令的安全和完整性；进行PDN连接的建立，以使UE10可以使用核心网20提供的业务，例如数据业务、GPS定位业务等。

若UE10的注网请求通过核心网20的校验，则核心网20对应配置附着进程信令，并下发给UE10，通知UE10当前的附着进程及注网请求的校验结果。

进一步地，作为一种实施方式，以附着请求包括注网请求、网络鉴权请求、安全模式请求和PDN连接建立请求进行举例说明。

参照图2，所述核心网包括移动性管理实体MME21和归属用户服务器HSS22，其中：

所述HSS22，用于根据所述注网请求校验所述UE10的身份；若所述UE10的身份通过校验，则校验所述网络鉴权请求；若所述网络鉴权请求通过校验，则生成响应值RES并发送给所述MME21；

所述MME21，用于若所述网络鉴权请求通过校验，则根据所述安全模式请求配置安全算法；若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；若所述默认承载成功建立，则确定所述附着请求通过校验；配置附着进程信令并下发给所述UE10，所述附着进程信令包括所述RES。

核心网20中包括移动性管理实体MME(Mobility Management Entity)21和归属用户服务器HSS(Home Subscriber Server)22。

MME21接收UE10发送的附着请求，根据附着请求中注网请求携带的GUTI和PTMSI确定UE10的身份，获取UE10的自身接入能力等信息。当然，也可以是根据附着请求中的注网请求中的IMSI确定UE10的身份。

然后，MME21将注网请求中身份信息发送给HSS22，以供HSS22进行认证、校验。

然后，HSS22对UE10的身份进行校验。具体的，可以根据HSS22中预存的用户信息校验UE10的身份。然后，HSS22将校验结果发送给MME21，通知MME21当前UE10的身份是否通过校验。

若UE10的身份通过校验，则MME21将网络鉴权请求发送给HSS22，用以HSS22对UE10进行网络鉴权。

HSS22在收到MME21发送的网络鉴权请求后，获取网络鉴权请求中的RAND和AUTN。

然后，HSS22校验RAND和AUTN的合法性。具体的，HSS22可以根据预设的算法或预设的数值范围等方式，校验RAND和AUTN是否合法。

若RAND和AUTN合法，则HSS22根据RAND和AUTN，以及预设的算法和参数，计算得到XMAC，与AUTN中的MAC进行比较，验证网络的合法性。若HSS22计算得到的XMAC与AUTN中的MAC相同，则判定XMAC通过验证。

若网络鉴权请求中还包括SQN，则HSS22还要验证接网络鉴权请求中的SQN是否在预先配置的有效范围内。若网络鉴权请求中的SQN在预先配置的有效范围内，则判定SQN通过验证。

若XMAC和SQN都验证通过，则HSS22判定网络鉴权请求通过验证。

网络鉴权请求通过验证后，HSS22根据RAND以及预设的算法和参数，计算得到响应值RES，并将网络鉴权请求的校验结果和RES发送给MME21。

进一步地，HSS22还可以根据预设的算法及参数，以及RAND和AUTN，计算得到KASME，作为根秘钥，用于计算NAS层和AS层的秘钥，保障UE10与核心网20之间的信令和数据的安全、完整性。

若网络鉴权请求通过校验，则MME21根据附着请求中的安全模式请求配置安全算法。具体的，MME21可以根据安全模式请求中UE10支持的加密算法和完整性算法，以及MME21自身支持的加密算法和完整性算法，选择UE10与MME21都支持的加密算法和完整性算法，作为配置的安全算法，用于进行UE10与核心网20之间的信令和数据传输的加密和安全性保护。

在成功配置安全算法后，MME21根据附着请求中的PDN连接建立请求建立默认承载。以PDN连接建立请求请求建立数据域默认承载进行举例说明，MME21根据PDN连接建立请求中的数据域默认承载建立请求，获取数据域默认承载相关的IP类型、APN、QOS参数等参数，进行校验。

如果IP类型、APN、QOS参数等参数符合MME21的要求，MME21则建立数据域默认承载，进行PDN连接的建立，并确定具体的IP地址、QOS参数等。需要说明的是，MME21具有一定的容错性，若UE10的IP地址、QOS参数错误，MME21可以重新对应配置正确的参数，以供UE10重配相关参数。

另外，在数据域默认承载的PDN连接建立后，MME21为UE10重新分配GUTI和PTMSI。

在UE身份通过校验，网络鉴权请求通过校验，安全算法成功配置，且PDN连接成功建立后，MME21确定本次附着请求通过校验。

然后，MME21配置附着进程信令，附着进程信令中包括了网络鉴权请求的校验结果、配置的安全算法，以及HSS22发送的RES，默认承载建立结果，重新分配的GUTI和PTMSI等信息。需要说明的是，默认承载建立结果包括MME建立默认承载后确定的IP地址、QOS参数等信息。

然后，MME21将附着进程信令下发给UE10，通知UE10当前的附着进程，供UE10进行网络鉴权。

所述UE10，还用于根据所述附着进程信令对所述核心网20进行网络鉴权；若所述核心网20通过网络鉴权，则向所述核心网20反馈附着完成信令。

UE10在收到核心网20下发的附着进程信令后，根据附着进程信令，对核心网20进行网络鉴权，以避免接入伪基站。

若网络鉴权通过，则UE10确定附着完成，向核心网20反馈附着完成信令。

近一步地，所述UE10还用于，

根据所述附着进程信令获取所述RES；根据所述RES，对所述核心网20进行网络鉴权。

UE10在对核心网20进行网络鉴权时，获取附着进程信令中携带的RES。

然后，根据配置的鉴权四元组中XRES，判断RES与XRES是否一致。

若RES与XRES一致，则判定核心网20通过网络鉴权；若RES与XRES不一致，则判定核心网20未通过网络鉴权。

若核心网20通过网络鉴权，则UE10当前NAS附着成功，配置附着完成信令并发送给核心网20，以通知核心网20本次附着成功。

UE10可以根据附着进程信令获取核心网20配置好的安全算法，用以保障后续的信令和数据交互安全、完整性；根据IP地址、QOS参数等参数进行自身参数配置；根据重新核心网20重新分配的GUTI和PTMSI，重配自身的GUTI和PTMSI。

若核心网20未通过网络鉴权，则UE10向核心网20发送附着失败信令，结束本次附着流程。

由此，实现了通过三次握手进行NAS层附着。

在本实施例中，NAS附着系统包括用户设备UE10和核心网20，其中：UE10首先向核心网20发起附着请求；核心网20在收到附着请求后对附着请求进行校验；若附着请求通过校验，则核心网20向UE10下发附着进程信令，以通知UE10附着请求的校验结果以及相关的协商参数；UE10在收到附着进程信令后，根据附着进程信令进行网络鉴权；若网络鉴权通过，则UE10向核心网20反馈附着完成信令，结束NAS层附着进程。本实施例仅通过UE与核心网的三次握手即可完成NAS层的附着，大大减少了NAS附着流程冗余，节省了UE注册到核心网的时间，解决了目前NAS附着流程复杂的技术问题。并且，UE在确认附着完成前对核心网进行网络鉴权，是否接入网络的决定权掌握在UE手中，可以有效避免UE接入伪基站，防止伪基站的骚扰和诈骗，提高了接入网络的安全性。

进一步的，参照图1，本发明NAS附着系统第二实施例提供一种NAS附着系统，基于上述本发明NAS附着系统第一实施例，MME21还用于，

根据所述安全模式请求，获取所述UE10的安全能力信息；判断所述MME21的安全能力与所述UE10的安全能力是否匹配；若所述MME21的安全能力与所述UE10的安全能力匹配，则对应配置安全算法。

在配置安全算法时，MME21获取安全模式请求中记载的UE10的安全能力信息，包括UE10支持的全部加密算法和完整性算法。

然后，MME21根据预先配置MME21支持的加密算法，查找与UE10支持的相同的加密算法；根据预先配置MME21支持的完整性算法，查找与UE10支持的相同的完整性算法。

若成功找到MME21与UE10都支持的加密算法和完整性算法，则判定MME21与UE10的安全能力匹配。

然后，MME21在MME21与UE10都支持的加密算法中，选取优先级最高的加密算法，作为配置的加密算法；当然也可以随机选取加密算法等多种方式确定配置的加密算法。

MME21在MME21与UE10都支持的完整性算法中，选取优先级最高的完整性算法，作为配置的完整性算法；当然也可以随机选取完整性算法等多种方式确定配置的完整性算法。

在得到配置的加密算法和完整性算法后，MME21确定配置的加密算法和完整性算法即为与UE10通信时使用的安全算法。

由此，实现了安全算法的配置。

进一步地，作为一种实施方式，若未找到MME21与UE10都支持的加密算法和/或完整性算法，则判定MME21与UE10的安全能力不匹配。

MME21向UE10下发附着拒绝信令，附着拒绝信令中携带有决绝UE10接入的原因，说明MME21向UE10的安全能力不匹配，结束本次附着流程。

在本实施例中，MME21还用于根据附着请求中的安全模式请求，获取UE10的安全能力信息；然后，判断MME21的安全能力与UE10的安全能力是否匹配；若MME21的安全能力与UE10的安全能力匹配，则对应配置安全算法，实现了安全算法的配置。本实施例通过对MME与UE的安全能力进行校验，仅在MME与UE的安全能力匹配时配置安全算法，保障了MME与UE能够使用相同的安全算法保障后续的信令或数据交互的安全性。

进一步地，参照图1，本发明NAS附着系统第三实施例提供一种NAS附着系统，基于上述本发明NAS附着系统第一实施例或第二实施例，所述PDN连接建立请求包括数据域默认承载PDN连接建立请求及其他业务所对应的默认承载PDN连接建立请求，所述MME21还用于，

优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；若所述数据域默认承载成功建立，则确定所述附着请求通过校验；根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

为了提高信令交互，本实施例使用多PDN连接。

具体的，作为一种实施方式，UE10在配置PDN连接请求时，不仅配置数据域的默认承载建立请求，还可以同时配置其他业务的默认承载建立请求，例如VOLTE、数据业务及GPS定位等，用以同时配置多个默认承载。

在成功配置安全算法后，MME21优先建立数据域默认承载。

具体的，MME21根据PDN连接建立请求中的数据域默认承载PDN建立请求，获取数据域默认承载相关的IP类型、APN、QOS参数等参数，进行校验。

如果IP类型、APN、QOS参数等参数符合MME21的要求，MME21则建立数据域默认承载的PDN连接，并确定具体的IP地址、QOS参数等。需要说明的是，MME21具有一定的容错性，若UE10的IP地址、QOS参数错误，MME21可以重新对应配置正确的参数，以供UE10重配相关参数。在数据域默认承载的PDN连接建立后，MME21为UE10重新分配GUTI和PTMSI。

在数据域默认承载的PDN连接成功建立后，MME21判定本次附着请求通过校验。

然后，MME21再根据其他业务所对应的默认承载建立请求，获取其他业务所对应的默认承载相关的IP类型、APN、QOS参数等参数，进行校验。并在默认承载相关的参数校验通过后，建立对应的默认承载连接，确定对应的IP地址、QOS参数等参数，配置到附着进程信令中反馈给UE10。

进一步地，若数据域默认承载建立失败，则MME21向UE10下发附着拒绝信令，向UE10反馈数据域默认承载建立失败的原因，并停止本次附着流程，不再建立其他业务所对应的默认承载。

进一步地，所述MME21还用于，

若所述其他业务所对应的默认承载建立失败，则将失败原因配置到所述附着进程信令中，以使所述UE发起二次默认承载建立请求。

若其他业务所对应的默认承载相关的参数未通过校验，其他业务所对应的默认承载建立失败，则MME21将默认承载建立失败的原因配置到附着进程信令中，反馈给UE10。

UE10在收到附着进程信令后，可以向用户反馈其他业务对应的默认承载建立失败的原因，提醒用户打开对应的业务开关，或是修改相关的账户参数等，然后，UE10再次发起其他业务对应的默认承载建立请求。

需要说明的是，若PDN连接建立请求中有多个其他业务所对应的默认承载建立请求，则MME21分别建立各默认承载，并将各默认承载连接的建立结果配置到附着进程信令中。若默认承载建立成功，则建立结果还包括MME21确定的IP地址、QOS参数等参数；若默认承载建立成功，则建立结果包括建立失败的原因。

在本实施例中，附着请求中的PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，MME21还用于优先根据数据域默认承载建立请求，对应建立数据域默认承载；若数据域默认承载成功建立，则确定本次附着请求通过校验；然后再根据其他业务所对应的默认承载建立请求，建立其他业务所对应的默认承载。本实施例通过附着请求中携带多PDN连接建立请求，实现了一次性配置多个业务对应的默认承载，与传统的一次仅建立一个业务对应的默认承载相比，大大减少了UE与核心网之间的信令交互次数，降低了网络侧的工作负担，提高了附着流程的效率。

进一步地，参照图1，本发明NAS附着系统第四实施例提供一种NAS附着系统，基于上述本发明NAS附着系统第一实施例、第二实施例或第三实施例，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，则所述HSS22还用于，

根据所述GUTI和所述PTMSI校验所述UE的身份；

所述MME21，还用于若所述UE10的身份不合法，则向所述UE10发送附着拒绝信令，所述附着拒绝信令包括国际移动设备身份码IMSI校验请求；

所述UE10，还用于根据所述UE10的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求。

若UE10在配置附着请求中的注网请求时，使用GUTI和PTMSI作为UE10的身份信息，则MME21将注网请求中的GUTI和PTMSI发送给，由HSS22根据GUTI和PTMSI校验UE10的身份。HSS22在校验后，将校验结果发送给MME21，通知MME21当前UE10的身份是否合法。

若UE10的身份不合法，则MME21向UE10发送附着拒绝信令，结束本次附着流程，通知UE当前的身份信息错误导致附着失败。并且，附着拒绝信令携带有IMSI校验请求，通知UE10采用IMSI识别，使用IMSI再次发起附着流程。

UE10在收到附着拒绝信令后，使用自身的IMSI配置二次注册请求，并且重配附着请求，得到二次附着请求。

然后，UE10将二次附着请求发送给核心网20，重新进行附着。

在本实施例中，注网请求包括GUTI和PTMSI，则HSS22根据GUTI和PTMSI校验UE10的身份；若UE10的身份未通过校验，则MME21向UE发送附着拒绝信令，附着拒绝信令包括IMSI校验请求；UE10还用于根据UE10的IMSI配置二次注网请求及二次附着请求，并向核心网20发送二次附着请求，重新启动附着流程。本实施例UE在启动附着流程时，优先使用GUTI和PTMSI作为身份标识，以避免自身的真实身份被伪基站获取，在身份认证失败时再使用IMSI进行身份认证，保障了UE的安全。

进一步地，参照图1，本发明NAS附着系统第五实施例提供一种NAS附着系统，基于上述本发明NAS附着系统第一实施例、第二实施例、第三实施例或第四实施例，所述注网请求包括所述UE10的IMSI，则所述HSS22还用于，

根据所述IMSI校验所述UE10的身份。

当UE10第一次开机时，使用IMSI作为身份信息，配置到注网请求中，用以进行NAS附着。

MME21将注网请求中的IMSI发送给HSS22，由HSS22根据UE10的IMSI进行身份校验。HSS22在校验后，将校验结果发送给MME21，通知MME21当前UE10的身份是否合法。

若UE10的IMSI通过校验，则HSS22进一步的进行网络鉴权；若UE10的IMSI未通过校验，则MME21向UE10下发附着拒绝信令，结束本次附着，通知UE10本次附着失败的原因。

参照图10，作为一种NAS附着具体的应用场景，UE10首先配置attachrequest，也即附着请求。attach request中包括注网请求、网络鉴权请求、安全模式请求和PDN连接建立请求。

核心网20在收到attach request后，首先进行身份校验。

当注网请求中携带的UE10的身份标识为GUTI和PTMSI时，若GUTI和PTMSI通过校验，则校验网络鉴权请求；若未通过校验，则向UE10下发attach reject1，attach reject1中携带有IMSI校验请求。UE10根据attach reject1重配附着请求，重新发起附着流程，向核心网发送二次附着请求re-attach request。

当注网请求中携带的UE10的身份标识为IMSI时，若IMSI通过校验，则校验网络鉴权请求；若未通过校验，则向UE10下发attach reject2，结束本次附着流程，通知UE10身份识别错误。

若网络鉴权请求通过校验，则核心网20计算得到响应值RES。若网络鉴权请求未通过校验，则核心网20向UE10下发attach reject3，结束本次附着流程，通知UE10本次附着失败的原因。

在网络鉴权请求通过校验后，核心网20根据安全模式请求配置安全算法。若成功配置安全算法，则核心网20建立PDN连接；若未成功配置安全算法，则核心网20向UE10下发attach reject4，结束本次附着流程，通知UE10本次附着失败的原因。

在建立PDN连接时，优先建立数据域默认承载。若数据域默认承载建立成功，则核心网20判定附着请求通过校验，继续建立其他业务对应的默认承载，为UE10重配GUTI和PTMSI；若数据域默认承载建立失败，则向UE10下发attach reject5，结束本次附着流程，通知UE10本次附着失败的原因。

在完成全部PDN连接的建立后，核心网20配置附着进程信令attach proceeding。attach proceeding中携带有为UE10重配的GUTI和PTMSI，响应值RES，成功配置的安全算法，数据域默认承载的建立结果，以及其他业务对应的默认承载的建立结果。

UE10在收到attach proceeding后，根据响应值RES对核心网20进行网络鉴权。

若核心网20通过网络鉴权，则UE10向核心网20发送attach complete，通知核心网20本次附着完成。然后，UE10判断其他业务的默认承载是否成功建立，若其他业务的默认承载建立失败，则可提醒用户修改相关参数，发起PDN连接二次建立请求PDN connectivityrequest，启动二次建立流程。若其他业务的默认承载建立成功，则UE10可以使用这些业务。

若核心网20未通过网络鉴权，则UE10向核心网20发送attach failed，拒绝接入核心网20，通知核心网20本次附着失败，附着流程结束。

由此，UE10和核心网20通过三次握手就可成功注册，减少了流程冗余，大大节省了注册时间。网络鉴权过程先是终端鉴权网络，然后网络鉴权终端。减少了用户IMSI等信息在网络中传输，减少了伪基站的骚扰和诈骗。附着请求中采用多PDN连接同时请求减少UE与网络间的交互，降低了网络侧的工作负荷。

在本实施例中，注网请求包括UE10的IMSI，则HEE22根据IMSI校验UE10的身份。IMSI为UE真实有效的身份信息，使得核心网可以准确的获取UE的真实身份。

进一步地，参照图1，本发明NAS附着系统第六实施例提供一种NAS附着系统，基于上述本发明NAS附着系统第一实施例、第二实施例、第三实施例、第四实施例或第五实施例，所述附着请求还包括所述UE10的国际移动设备身份码IMEI，所述HSS22还用于，

校验所述IMEI；若所述IMEI通过校验，则校验所述网络鉴权请求。

为了提高网络接入的安全性，HSS22还可以对UE10设备的身份进行校验。

具体的，作为一种实施方式，UE10在配置附着请求时，收集自身的IMEI(International Mobile Equipment Identity，国际移动设备身份码)信息，作为UE的设备身份，配置到附着请求中。

MME21将UE10的IMEI发送给HSS22，由HSS22核验UE10设备的身份。HSS22根据预设的算法或预存的用户设备信息，校验UE10的IMEI。

若UE10的IMEI通过校验，则HSS22判定IMEI合法，允许对UE10进行网络鉴权。HSS22将校验结果发送给HSS22，通过MME21UE10的IMEI的校验结果。

若UE10的IMEI通过校验，MME21将附着请求中的网络鉴权请求发送给HSS22，以供HSS22对UE10进行网络鉴权。

若UE10的IMEI通过校验，则MME21判定IMEI不合法，向UE10返回附着拒绝信令，结束本次附着。

在本实施例中，UE10发送的附着请求还包括UE10的IMEI，HSS22需要对UE10的设备身份进行校验；若UE10的IMEI通过校验，则校验网络鉴权请求，对UE10进行网络鉴权。本实施例通过对UE设备身份的校验，保障了接入UE设备的安全。

参照图1，本发明NAS附着方法第一实施例提供一种NAS附着方法，所述NAS附着方法包括：

步骤S10、核心网在收到用户设备UE的附着请求时，校验所述附着请求。

在进行NAS(Non-access stratum，非接入层)附着时，首先，UE(User Equipment，用户设备)需要向核心网发起附着请求attach request。需要说明的是，UE可以是移动终端等终端设备。

附着请求包括当前UE的身份信息以及注网信息，用以表明当前UE的身份，请求核心网启动附着流程。

进一步地，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和PDN(Public Data Network，公用数据网)连接建立请求。

其中，注网请求包括UE的身份信息和自身接入能力信息。UE的身份信息可以是UE上次注网时获得的GUTI(Globally Unique Temporary UE Identity，全球唯一临时UE标识)和PTMSI(Packet Temperate Mobile Subs cription Identity，分组临时移动用户识别码)。当然，身份信息也可以是UE的IMSI(International Mobile SubscriberIdentification Number，国际移动用户识别码)等，可根据实际需要灵活配置。UE的自身接入能力信息包括UE自身支持的无线接入相关能力及核心网相关能力，例如UE的功率等级等，以供核心网根据UE的能力进行事件的处理。

网络鉴权请求包括UE生成的RAND(随机数)和AUTN(Authentication Token，网络认证令牌)。需要说明的是，UE需要配置鉴权四元组RAND、XRES(Expected Response，预期的结果)、AUTN、KASME。其中，RAND是不可预知的随机数；AUTN用于核心网对UE进行网络鉴权；XRES为期望的核心网的响应参数；KASME为根秘钥，用于计算NAS层和AS(access stratum，接入层)层的秘钥，保障UE与核心网之间的信令和数据的安全、完整性。另外，网络鉴权请求中还可以包括UE生成的SQN(sequence number，序列号)。

安全模式请求中记载了UE支持的全部加密算法和完整性算法，用于与核心网协商安全算法。

PDN建立请求中记载了UE业务相关和/或当前接入网络需求的默认承载PDN连接请求。例如，基于LTE(Long Term Evolution，长期演进技术)等网络永久在线的特性的需求，接入LTE网络时PDN建立请求中至少需要包括数据域默认承载的建立请求。数据域默认承载的建立请求记载了UE请求的数据域默认承载相关的IP(Internet Protocol，网络互联协议)类型、APN(Access Point Name，接入点名称)、QOS(Quality of Service，服务质量)参数等参数。

核心网在收到UE的附着请求后，校验此附着请求。

具体的，核心网可以根据附着请求中的身份信息和注网信息，确定当前UE的身份，校验UE是否满足接入核心网的条件。

例如，核心网可以根据注网信息了解UE的接入能力；进行网络鉴权，以保障UE与核心网之间信令的安全和完整性；进行PDN连接的建立，以使UE可以使用核心网提供的业务，例如数据业务、GPS定位业务等。

若UE的注网请求通过核心网的校验，则核心网对应配置附着进程信令，并下发给UE，通知UE当前的附着进程及注网请求的校验结果。

进一步地，作为一种实施方式，参照图4，所述步骤S10包括：

步骤S11、所述核心网根据所述注网请求校验所述UE的身份；

步骤S12、若所述UE的身份通过校验，则校验所述网络鉴权请求；

步骤S13、若所述网络鉴权请求通过校验，则生成响应值RES，并根据所述安全模式请求配置安全算法；

步骤S14、若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；

步骤S15、若所述默认承载成功建立，则确定所述附着请求通过校验。

以附着请求包括注网请求、网络鉴权请求、安全模式请求和PDN连接建立请求进行举例说明。核心网中包括移动性管理实体MME(Mobility Management Entity)和归属用户服务器HSS(Home Subscriber Server)。

MME接收UE发送的附着请求，根据附着请求中注网请求携带的GUTI和PTMSI确定UE的身份，获取UE的自身接入能力等信息。当然，也可以是根据附着请求中的注网请求中的IMSI确定UE的身份。

然后，MME将注网请求中身份信息发送给HSS，以供HSS进行认证、校验。

然后，HSS对UE的身份进行校验。具体的，可以根据HSS中预存的用户信息校验UE的身份。然后，HSS将校验结果发送给MME，通知MME当前UE的身份是否通过校验。

若UE的身份通过校验，则MME将网络鉴权请求发送给HSS，用以HSS对UE进行网络鉴权。

HSS在收到MME发送的网络鉴权请求后，获取网络鉴权请求中的RAND和AUTN。

然后，HSS校验RAND和AUTN的合法性。具体的，HSS可以根据预设的算法或预设的数值范围等方式，校验RAND和AUTN是否合法。

若RAND和AUTN合法，则HSS根据RAND和AUTN，以及预设的算法和参数，计算得到XMAC，与AUTN中的MAC进行比较，验证网络的合法性。若HSS计算得到的XMAC与AUTN中的MAC相同，则判定XMAC通过验证。

若网络鉴权请求中还包括SQN，则HSS还要验证接网络鉴权请求中的SQN是否在预先配置的有效范围内。若网络鉴权请求中的SQN在预先配置的有效范围内，则判定SQN通过验证。

若XMAC和SQN都验证通过，则HSS判定网络鉴权请求通过验证。

网络鉴权请求通过验证后，HSS根据RAND以及预设的算法和参数，计算得到响应值RES，并将网络鉴权请求的校验结果和RES发送给MME。

进一步地，HSS还可以根据预设的算法及参数，以及RAND和AUTN，计算得到KASME，作为根秘钥，用于计算NAS层和AS层的秘钥，保障UE与核心网之间的信令和数据的安全、完整性。

若网络鉴权请求通过校验，则MME根据附着请求中的安全模式请求配置安全算法。具体的，MME可以根据安全模式请求中UE支持的加密算法和完整性算法，以及MME自身支持的加密算法和完整性算法，选择UE与MME都支持的加密算法和完整性算法，作为配置的安全算法，用于进行UE与核心网之间的信令和数据传输的加密和安全性保护。

在成功配置安全算法后，MME根据附着请求中的PDN连接建立请求建立默认承载。以PDN连接建立请求请求建立数据域默认承载进行举例说明，MME根据PDN连接建立请求中的数据域默认承载建立请求，获取数据域默认承载相关的IP类型、APN、QOS参数等参数，进行校验。

如果IP类型、APN、QOS参数等参数符合MME的要求，MME则建立数据域默认承载，进行PDN连接的建立，并确定具体的IP地址、QOS参数等。需要说明的是，MME具有一定的容错性，若UE的IP地址、QOS参数错误，MME可以重新对应配置正确的参数，以供UE重配相关参数。

另外，在数据域默认承载的PDN连接建立后，MME为UE重新分配GUTI和PTMSI。

在UE身份通过校验，网络鉴权请求通过校验，安全算法成功配置，且PDN连接成功建立后，MME21确定本次附着请求通过校验。

步骤S20、若所述附着请求通过校验，则所述核心网向所述UE下发附着进程信令，以供所述UE根据所述附着进程信令对所述核心网进行网络鉴权。

在附着请求通过验证后，核心网配置附着进程信令。附着进行信令中携带有当前附着流程的进度及相关需要协商的参数，以供UE根据附着进程信令对核心网进行网络鉴权。

进一步地，作为一种实施方式，以附着请求包括注网请求、网络鉴权请求、安全模式请求和PDN连接建立请求进行举例说明。

对应的，参照图4，所述步骤S20包括：

步骤S21、配置附着进程信令并下发给所述UE，所述附着进程信令包括所述RES，以供所述UE根据所述RES，对所述核心网进行网络鉴权。

在本次附着请求通过校验后，核心网中的MME配置附着进程信令，附着进程信令中包括了网络鉴权请求的校验结果、配置的安全算法，以及HSS发送的RES，默认承载建立结果，重新分配的GUTI和PTMSI等信息。需要说明的是，默认承载建立结果包括MME建立默认承载后确定的IP地址、QOS参数等信息。

然后，MME将附着进程信令下发给UE，通知UE当前的附着进程，供UE进行网络鉴权。

UE在收到核心网下发的附着进程信令后，根据附着进程信令，对核心网进行网络鉴权，以避免接入伪基站。

若网络鉴权通过，则UE确定附着完成，向核心网反馈附着完成信令。

近一步地，UE根据所述附着进程信令获取所述RES；根据所述RES，对所述核心网进行网络鉴权。

UE在对核心网进行网络鉴权时，获取附着进程信令中携带的RES。

然后，根据配置的鉴权四元组中XRES，判断RES与XRES是否一致。

若RES与XRES一致，则判定核心网通过网络鉴权；若RES与XRES不一致，则判定核心网未通过网络鉴权。

若核心网通过网络鉴权，则UE当前NAS附着成功，配置附着完成信令并发送给核心网，以通知核心网本次附着成功。

UE可以根据附着进程信令获取核心网配置好的安全算法，用以保障后续的信令和数据交互安全、完整性；根据IP地址、QOS参数等参数进行自身参数配置；根据重新核心网重新分配的GUTI和PTMSI，重配自身的GUTI和PTMSI。

若核心网未通过网络鉴权，则UE向核心网发送附着失败信令，结束本次附着流程。

步骤S30、若收到所述UE反馈的附着完成信令，则所述核心网确定其通过网络鉴权，所述UE附着成功。

核心网若收到UE反馈的附着完成指令，则可以确定其已经通过UE的网络鉴权，本次附着成功。

由此，实现了通过三次握手进行NAS层附着。

在本实施例中，核心网在收到用户设备UE的附着请求时，校验附着请求；若所述附着请求通过校验，则核心网向UE下发附着进程信令，以供UE根据附着进程信令对核心网进行网络鉴权；若收到UE反馈的附着完成信令，则核心网确定其通过网络鉴权，UE附着成功，NAS层附着进程结束。本实施例仅通过UE与核心网的三次握手即可完成NAS层的附着，大大减少了NAS附着流程冗余，节省了UE注册到核心网的时间，解决了目前NAS附着流程复杂的技术问题。并且，UE在确认附着完成前对核心网进行网络鉴权，是否接入网络的决定权掌握在UE手中，可以有效避免UE接入伪基站，防止伪基站的骚扰和诈骗，提高了接入网络的安全性。

进一步地，参照图5，本发明NAS附着方法第二实施例提供一种NAS附着方法，基于上述本发明NAS附着方法第一实施例，所述步骤S13包括：

步骤S131、根据所述安全模式请求，获取所述UE的安全能力信息；

步骤S132、判断所述核心网的安全能力与所述UE的安全能力是否匹配；

步骤S133、若所述核心网的安全能力与所述UE的安全能力匹配，则对应配置安全算法。

在配置安全算法时，核心网中的MME获取安全模式请求中记载的UE的安全能力信息，包括UE支持的全部加密算法和完整性算法。

然后，MME根据预先配置MME支持的加密算法，查找与UE支持的相同的加密算法；根据预先配置MME支持的完整性算法，查找与UE支持的相同的完整性算法。需要说明的是，本实施例中将MME的安全能力作为核心网的安全能力，MME支持的加密算法即为核心网支付的加密算法。

若成功找到MME与UE都支持的加密算法和完整性算法，则判定MME与UE的安全能力匹配。

然后，MME在MME与UE都支持的加密算法中，选取优先级最高的加密算法，作为配置的加密算法；当然也可以随机选取加密算法等多种方式确定配置的加密算法。

MME在MME与UE都支持的完整性算法中，选取优先级最高的完整性算法，作为配置的完整性算法；当然也可以随机选取完整性算法等多种方式确定配置的完整性算法。

在得到配置的加密算法和完整性算法后，MME确定配置的加密算法和完整性算法即为与UE通信时使用的安全算法。

由此，实现了安全算法的配置。

进一步地，作为一种实施方式，若未找到MME与UE都支持的加密算法和/或完整性算法，则判定MME与UE的安全能力不匹配。

MME向UE下发附着拒绝信令，附着拒绝信令中携带有决绝UE接入的原因，说明MME向UE的安全能力不匹配，结束本次附着流程。

在本实施例中，在配置安全算法时，根据附着请求中的安全模式请求，获取UE的安全能力信息；然后，判断核心网的安全能力与UE的安全能力是否匹配；若核心网的安全能力与UE的安全能力匹配，则对应配置安全算法，实现了安全算法的配置。本实施例通过对核心网与UE的安全能力进行校验，仅在核心网与UE的安全能力匹配时配置安全算法，保障了核心网与UE能够使用相同的安全算法保障后续的信令或数据交互的安全性。

进一步地，参照图6，本发明NAS附着方法第三实施例提供一种NAS附着方法，基于上述本发明NAS附着方法第一实施例或第二实施例，所述PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，所述NAS附着方法还包括：

步骤S16、优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；

步骤S17、若所述数据域默认承载成功建立，则确定所述附着请求通过校验；

步骤S18、根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

为了提高信令交互，本实施例使用多PDN连接。

具体的，作为一种实施方式，UE在配置PDN连接请求时，不仅配置数据域的默认承载建立请求，还可以同时配置其他业务的默认承载建立请求，例如VOLTE、数据业务及GPS定位等，用以同时配置多个默认承载。

在成功配置安全算法后，核心网中的MME优先建立数据域默认承载。

具体的，MME根据PDN连接建立请求中的数据域默认承载PDN建立请求，获取数据域默认承载相关的IP类型、APN、QOS参数等参数，进行校验。

如果IP类型、APN、QOS参数等参数符合MME的要求，MME则建立数据域默认承载的PDN连接，并确定具体的IP地址、QOS参数等。需要说明的是，MME具有一定的容错性，若UE的IP地址、QOS参数错误，MME可以重新对应配置正确的参数，以供UE重配相关参数。在数据域默认承载的PDN连接建立后，MME为UE重新分配GUTI和PTMSI。

在数据域默认承载的PDN连接成功建立后，MME判定本次附着请求通过校验。

然后，MME再根据其他业务所对应的默认承载建立请求，获取其他业务所对应的默认承载相关的IP类型、APN、QOS参数等参数，进行校验。并在默认承载相关的参数校验通过后，建立对应的默认承载连接，确定对应的IP地址、QOS参数等参数，配置到附着进程信令中反馈给UE。

进一步地，若数据域默认承载建立失败，则MME向UE下发附着拒绝信令，向UE反馈数据域默认承载建立失败的原因，并停止本次附着流程，不再建立其他业务所对应的默认承载。

进一步地，若所述其他业务所对应的默认承载建立失败，则所述核心网将失败原因配置到所述附着进程信令中，以使所述UE发起二次默认承载建立请求。

若其他业务所对应的默认承载相关的参数未通过校验，其他业务所对应的默认承载建立失败，则MME将默认承载建立失败的原因配置到附着进程信令中，反馈给UE。

UE在收到附着进程信令后，可以向用户反馈其他业务对应的默认承载建立失败的原因，提醒用户打开对应的业务开关，或是修改相关的账户参数等，然后，UE再次发起其他业务对应的默认承载建立请求。

需要说明的是，若PDN连接建立请求中有多个其他业务所对应的默认承载建立请求，则MME分别建立各默认承载，并将各默认承载的建立结果配置到附着进程信令中。若默认承载建立成功，则建立结果还包括MME确定的IP地址、QOS参数等参数；若默认承载建立成功，则建立结果包括建立失败的原因。

在本实施例中，附着请求中的PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，在成功配置安全算法后，核心网优先根据数据域默认承载建立请求，对应建立数据域默认承载；若数据域默认承载成功建立，则确定本次附着请求通过校验；然后再根据其他业务所对应的默认承载建立请求，建立其他业务所对应的默认承载。本实施例通过附着请求中携带多PDN连接建立请求，实现了一次性配置多个业务对应的默认承载，与传统的一次仅建立一个业务对应的默认承载相比，大大减少了UE与核心网之间的信令交互次数，降低了网络侧的工作负担，提高了附着流程的效率。

进一步地，参照图7，本发明NAS附着方法第四实施例提供一种NAS附着方法，基于上述本发明NAS附着方法第一实施例、第二实施例或第三实施例，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，所述步骤S11包括：

步骤S111、所述核心网根据所述GUTI和所述PTMSI校验所述UE的身份；

步骤S112、若所述UE的身份未通过校验，则向所述UE发送附着拒绝信令，所述附着拒绝信令包括国际移动设备身份码IMSI校验请求，以供所述UE根据所述UE的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求。

若UE在配置附着请求中的注网请求时，使用GUTI和PTMSI作为UE的身份信息，则核心网根据GUTI和PTMSI校验UE的身份。

若UE的身份不合法，则核心网向UE发送附着拒绝信令，结束本次附着流程，通知UE当前的身份信息错误导致附着失败。并且，附着拒绝信令携带有IMSI校验请求，通知UE采用IMSI识别，使用IMSI再次发起附着流程。

UE在收到附着拒绝信令后，使用自身的IMSI配置二次注册请求，并且重配附着请求，得到二次附着请求。

然后，UE将二次附着请求发送给核心网，重新进行附着。

在本实施例中，注网请求包括GUTI和PTMSI，则核心网根据GUTI和PTMSI校验UE的身份；若UE的身份未通过校验，则向UE发送附着拒绝信令，附着拒绝信令包括IMSI校验请求，以供UE根据UE的IMSI配置二次注网请求及二次附着请求，并向核心网发送二次附着请求，重新启动附着流程。本实施例UE在启动附着流程时，优先使用GUTI和PTMSI作为身份标识，以避免自身的真实身份被伪基站获取，在身份认证失败时再使用IMSI进行身份认证，保障了UE的安全。

进一步地，参照图8，本发明NAS附着方法第五实施例提供一种NAS附着方法，基于上述本发明NAS附着方法第一实施例、第二实施例、第三实施例或第四实施例，所述注网请求包括所述UE的IMSI，所述步骤S11包括：

步骤S113、所述核心网根据所述IMSI校验所述UE的身份。

当UE第一次开机时，使用IMSI作为身份信息，配置到注网请求中，用以进行NAS附着。

核心网根据UE的IMSI进行身份校验。若UE的IMSI通过校验，则核心网进一步的进行网络鉴权；若UE的IMSI未通过校验，则核心网向UE下发附着拒绝信令，结束本次附着，通知UE本次附着失败的原因。

参照图10，作为一种NAS附着具体的应用场景，UE首先配置attach request，也即附着请求。attach request中包括注网请求、网络鉴权请求、安全模式请求和PDN连接建立请求。

核心网在收到attach request后，首先进行身份校验。

当注网请求中携带的UE的身份标识为GUTI和PTMSI时，若GUTI和PTMSI通过校验，则校验网络鉴权请求；若未通过校验，则向UE下发attach reject1，attach reject1中携带有IMSI校验请求。UE根据attach reject1重配附着请求，重新发起附着流程，向核心网发送二次附着请求re-attach request。

当注网请求中携带的UE的身份标识为IMSI时，若IMSI通过校验，则校验网络鉴权请求；若未通过校验，则向UE下发attach reject2，结束本次附着流程，通知UE身份识别错误。

若网络鉴权请求通过校验，则核心网计算得到响应值RES。若网络鉴权请求未通过校验，则核心网向UE下发attach reject3，结束本次附着流程，通知UE本次附着失败的原因。

在网络鉴权请求通过校验后，核心网根据安全模式请求配置安全算法。若成功配置安全算法，则核心网建立PDN连接；若未成功配置安全算法，则核心网向UE下发attachreject4，结束本次附着流程，通知UE本次附着失败的原因。

在建立PDN连接时，优先建立数据域默认承载。若数据域默认承载建立成功，则核心网判定附着请求通过校验，继续建立其他业务对应的默认承载，为UE重配GUTI和PTMSI；若数据域默认承载建立失败，则向UE下发attachreject5，结束本次附着流程，通知UE本次附着失败的原因。

在完成全部PDN连接的建立后，核心网配置附着进程信令attach proceeding。attach proceeding中携带有为UE重配的GUTI和PTMSI，响应值RES，成功配置的安全算法，数据域默认承载的建立结果，以及其他业务对应的默认承载的建立结果。

UE在收到attach proceeding后，根据响应值RES对核心网进行网络鉴权。

若核心网通过网络鉴权，则UE向核心网发送attach complete，通知核心网本次附着完成。然后，UE判断其他业务的默认承载是否成功建立，若其他业务的默认承载建立失败，则可提醒用户修改相关参数，发起PDN连接二次建立请求PDN connectivity request，启动二次建立流程。若其他业务的默认承载建立成功，则UE可以使用这些业务。

若核心网未通过网络鉴权，则UE向核心网发送attach failed，拒绝接入核心网，通知核心网本次附着失败，附着流程结束。

由此，UE和核心网通过三次握手就可成功注册，减少了流程冗余，大大节省了注册时间。网络鉴权过程先是终端鉴权网络，然后网络鉴权终端。减少了用户IMSI等信息在网络中传输，减少了伪基站的骚扰和诈骗。附着请求中采用多PDN连接同时请求减少UE与网络间的交互，降低了网络侧的工作负荷。

在本实施例中，注网请求包括UE的IMSI，则核心网根据IMSI校验UE的身份。IMSI为UE真实有效的身份信息，使得核心网可以准确的获取UE的真实身份。

进一步地，参照图9，本发明NAS附着方法第六实施例提供一种NAS附着方法，基于上述本发明NAS附着方法第一实施例、第二实施例、第三实施例、第四实施例或第五实施例，所述附着请求还包括所述UE的国际移动设备身份码IMEI，所述NAS附着方法还包括：

步骤S19、所述核心网校验所述IMEI；

对应的，所述步骤S12包括：

步骤S121、若所述IMEI通过校验，且所述UE的身份通过校验，则校验所述网络鉴权请求。

为了提高网络接入的安全性，核心网还可以对UE设备的身份进行校验。

具体的，作为一种实施方式，UE在配置附着请求时，收集自身的IMEI(International Mobile Equipment Identity，国际移动设备身份码)信息，作为UE的设备身份，配置到附着请求中。

核心网根据预设的算法或预存的用户设备信息，校验UE的IMEI。

若UE的IMEI通过校验，则核心网判定IMEI合法，允许对UE进行网络鉴权。

若UE的IMEI通过校验，则核心网判定IMEI不合法，向UE返回附着拒绝信令，结束本次附着。

在本实施例中，UE发送的附着请求还包括UE的IMEI，核心网需要对UE的设备身份进行校验；若UE的IMEI通过校验，则校验网络鉴权请求，对UE进行网络鉴权。本实施例通过对UE设备身份的校验，保障了接入UE设备的安全。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的可选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种NAS附着系统，其特征在于，所述NAS附着系统包括用户设备UE和核心网，其中：

所述UE，用于向所述核心网发起附着请求；

所述核心网，用于校验所述附着请求；若所述附着请求通过校验，则向所述UE下发附着进程信令；

所述UE，还用于根据所述附着进程信令对所述核心网进行网络鉴权；若所述核心网通过网络鉴权，则向所述核心网反馈附着完成信令。

2.如权利要求1所述的NAS附着系统，其特征在于，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和公用数据网PDN连接建立请求，所述核心网包括移动性管理实体MME和归属用户服务器HSS，其中：

所述HSS，用于根据所述注网请求校验所述UE的身份；若所述UE的身份通过校验，则校验所述网络鉴权请求；若所述网络鉴权请求通过校验，则生成响应值RES并发送给所述MME；

所述MME，用于若所述网络鉴权请求通过校验，则根据所述安全模式请求配置安全算法；若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；若所述默认承载成功建立，则确定所述附着请求通过校验；配置附着进程信令并下发给所述UE，所述附着进程信令包括所述RES；

所述UE还用于，

根据所述附着进程信令获取所述RES；根据所述RES，对所述核心网进行网络鉴权。

3.如权利要求2所述的NAS附着系统，其特征在于，所述PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，所述MME还用于，

优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；若所述数据域默认承载成功建立，则确定所述附着请求通过校验；根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

4.如权利要求2或3所述的NAS附着系统，其特征在于，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，所述HSS还用于，

根据所述GUTI和所述PTMSI校验所述UE的身份；

所述MME，还用于若所述UE的身份未通过校验，则向所述UE发送附着拒绝信令，所述附着拒绝信令包括国际移动用户识别码IMSI校验请求；

所述UE，还用于根据所述UE的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求；

或，

所述注网请求包括所述UE的IMSI，所述HSS还用于，

根据所述IMSI校验所述UE的身份。

5.如权利要求2或3所述的NAS附着系统，其特征在于，所述附着请求还包括所述UE的国际移动设备身份码IMEI，所述HSS还用于，

校验所述IMEI；若所述IMEI通过校验，且所述UE的身份通过校验，则校验所述网络鉴权请求。

6.一种NAS附着方法，其特征在于，所述NAS附着方法包括以下步骤：

核心网在收到用户设备UE的附着请求时，校验所述附着请求；

若所述附着请求通过校验，则所述核心网向所述UE下发附着进程信令，以供所述UE根据所述附着进程信令对所述核心网进行网络鉴权；

若收到所述UE反馈的附着完成信令，则所述核心网确定其通过网络鉴权，所述UE附着成功。

7.如权利要求6所述的NAS附着方法，其特征在于，所述附着请求包括注网请求、网络鉴权请求、安全模式请求和公用数据网PDN连接建立请求，所述校验所述附着请求的步骤包括：

所述核心网根据所述注网请求校验所述UE的身份；

若所述UE的身份通过校验，则校验所述网络鉴权请求；

若所述网络鉴权请求通过校验，则生成响应值RES，并根据所述安全模式请求配置安全算法；

若成功配置安全算法，则根据所述PDN连接建立请求建立默认承载；

若所述默认承载成功建立，则确定所述附着请求通过校验；

所述核心网向所述UE下发附着进程信令的步骤包括：

配置附着进程信令并下发给所述UE，所述附着进程信令包括所述RES，以供所述UE根据所述RES，对所述核心网进行网络鉴权。

8.如权利要求7所述的NAS附着方法，其特征在于，所述PDN连接建立请求包括数据域默认承载建立请求及其他业务所对应的默认承载建立请求，所述NAS附着方法还包括：

优先根据所述数据域默认承载建立请求，对应建立数据域默认承载；

若所述数据域默认承载成功建立，则确定所述附着请求通过校验；

根据所述其他业务所对应的默认承载建立请求，建立所述其他业务所对应的默认承载。

9.如权利要求7或8所述的NAS附着方法，其特征在于，所述注网请求包括全球唯一临时UE标识GUTI、分组临时移动用户识别码PTMSI，所述核心网根据所述注网请求校验所述UE的身份的步骤包括：

所述核心网根据所述GUTI和所述PTMSI校验所述UE的身份；

若所述UE的身份未通过校验，则向所述UE发送附着拒绝信令，所述附着拒绝信令包括国际移动用户识别码IMSI校验请求，以供所述UE根据所述UE的IMSI配置二次注网请求及二次附着请求，并向所述核心网发送所述二次附着请求；

或，

所述注网请求包括所述UE的IMSI，所述核心网根据所述注网请求校验所述UE的身份的步骤包括：

所述核心网根据所述IMSI校验所述UE的身份。

10.如权利要求7或8任一项所述的NAS附着方法，其特征在于，所述附着请求还包括所述UE的国际移动设备身份码IMEI，所述NAS附着方法还包括：

所述核心网校验所述IMEI；

所述若所述UE的身份通过校验，则校验所述网络鉴权请求的步骤包括：

若所述IMEI通过校验，且所述UE的身份通过校验，则校验所述网络鉴权请求。