CN108235317B - 一种接入控制的方法及设备 - Google Patents

一种接入控制的方法及设备 Download PDF

Info

Publication number
CN108235317B
CN108235317B CN201611193853.7A CN201611193853A CN108235317B CN 108235317 B CN108235317 B CN 108235317B CN 201611193853 A CN201611193853 A CN 201611193853A CN 108235317 B CN108235317 B CN 108235317B
Authority
CN
China
Prior art keywords
user equipment
access
layer
authentication
acess
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611193853.7A
Other languages
English (en)
Other versions
CN108235317A (zh
Inventor
陈山枝
陈中林
艾明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang Mobile Communications Equipment Co Ltd
Original Assignee
Telecommunications Science and Technology Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecommunications Science and Technology Research Institute Co Ltd filed Critical Telecommunications Science and Technology Research Institute Co Ltd
Priority to CN201611193853.7A priority Critical patent/CN108235317B/zh
Priority to PCT/CN2017/099523 priority patent/WO2018113338A1/zh
Priority to US16/472,728 priority patent/US11405783B2/en
Priority to EP17885077.2A priority patent/EP3562186A4/en
Priority to TW106140672A priority patent/TWI685267B/zh
Publication of CN108235317A publication Critical patent/CN108235317A/zh
Application granted granted Critical
Publication of CN108235317B publication Critical patent/CN108235317B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/12Interfaces between hierarchically different network devices between access points and access point controllers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/10Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/20Selecting an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明实施例涉及无线通信技术领域,特别涉及一种接入控制的方法及设备,用以解决现有技术中存在用户设备无法安全地接入APG的问题。本发明实施例用户设备在需要接入网络时,用户设备与本地服务中心进行网络层双向鉴权;在网络层双向鉴权通过后,用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。由于本发明实施例采用双层双向鉴权,并在双层双向鉴权通过后,该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组。

Description

一种接入控制的方法及设备
技术领域
本发明涉及无线通信技术领域,特别涉及一种接入控制的方法及设备。
背景技术
在未来的网络中,传统的大功率宏基站与大量部署的低功率小基站组成了UDN(Ultra Dense Network,超密集组网),这是解决未来无线移动通信数据速率需求问题的一种很有前景的选择。
在UDN场景中,海量的AP(Access Point,接入节点)的数量甚至可能与用户具有相当的密度。为更好的提升用户体验,提出一种UUDN(User-centric Ultra Dense Network,以用户为中心的超密集组网)方案。在UUDN场景中,将组织动态变化的APG(Access PointsGroup,接入节点组),跟随用户的移动无感知地为用户提供服务,即UDN/UUDN场景中每一个用户设备对应的一个APG。
在现有的移动通信系统接入网,如E-UTRAN(Evolved Universal TerrestrialRadio Access Network,演进的通用陆地无线接入网),AP由运营商在安全可信的环境中部署和维护。在用户设备需要接入E-UTRAN时,该用户设备与MME(Mobility ManagementEntity,移动管理实体)进行双向鉴权,在鉴权通过后,该用户设备直接接入eNB(evolvedNode B,演进型基站)或HeNB(Home evolved Node B,家庭基站)。但是在UDN/UUDN场景中,AP功能多样化,部署方式灵活多样,甚至可能是用户自行部署,UDN/UUDN场景中接入网物理安全环境复杂且差异巨大。由于为用户设备提供服务的APG成员的动态性,并且一个AP可能归属于多个APG,因此,若仍然使用现有的用户设备接入控制的方法,仍不能排除非法AP假冒一个合法APG中的AP实施安全攻击地情况,将不能保证用户设备接入的安全性。显然目前用户设备直接接入eNB或HeNB的方法并不适用于UDN/UUDN场景。
综上所述,目前针对UDN/UUDN场景,还没有一种用户设备接入APG的方法。
发明内容
本发明实施例提供一种接入控制的方法及设备,用以解决现有技术中在UDN/UUDN场景中,用户设备无法安全地接入APG的问题。
第一方面,本发明实施例提供的一种接入控制的方法,包括:
用户设备在需要接入网络时,所述用户设备与本地服务中心进行网络层双向鉴权;
在网络层双向鉴权通过后,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
可选的,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,包括:
所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;
所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权,包括:
所述用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;
若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则所述用户设备确定对网络侧鉴权通过。
可选的,所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,包括:
所述用户设备在鉴权通过后,根据所述随机数确定鉴权响应参数;
所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
第二方面,本发明实施例提供的一种接入控制的方法,包括:
本地服务中心在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
可选的,所述本地服务中心在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,还包括:
所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述本地服务中心与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
可选的,所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;
若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述本地服务中心根据所述用户设备返回的网络层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述用户设备鉴权通过。
可选的,所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心确定所述接入节点组中的目标节点;
所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
可选的,所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
所述本地服务中心根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
第三方面,本发明实施例提供的一种接入控制的方法,包括:
接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
所述接入节点与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
可选的,所述接入节点与所述接入层鉴权参数对应的用户设备进行接入层双向鉴权,包括:
所述接入节点向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;
若所述接入节点接收到所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
可选的,所述接入节点根据所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,所述接入节点确定对所述用户设备鉴权通过。
第四方面、本发明实施例一种用户设备,包括:
第一网络鉴权模块,用于在需要接入网络时,与本地服务中心进行网络层双向鉴权;
第一接入鉴权模块,用于在网络层双向鉴权通过后,与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
可选的,所述第一接入鉴权模块,具体用于:
根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述第一接入鉴权模块,具体用于:
根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,所述第一接入鉴权模块,具体用于:
在鉴权通过后,根据所述随机数确定鉴权响应参数;向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
第五方面、本发明实施例一种本地服务中心,包括:
第二网络鉴权模块,用于在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
通知模块,用于在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
第二接入鉴权模块,用于通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
可选的,所述第二网络鉴权模块,还用于:
在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述第二网络鉴权模块,具体用于:
根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
可选的,所述第二网络鉴权模块,具体用于:
向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述第二网络鉴权模块,具体用于:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述用户设备鉴权通过。
可选的,所述第二接入鉴权模块,具体用于:
确定所述接入节点组中的目标节点;通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述第二接入鉴权模块,具体用于:
将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
可选的,所述第二接入鉴权模块,具体用于:
所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
第六方面、本发明实施例一种接入节点,包括:
接收模块,用于接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
第三接入鉴权模块,用于与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
可选的,所述第三接入鉴权模块,具体用于:
向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;若接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
可选的,所述第三接入鉴权模块,具体用于:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,则确定对所述用户设备鉴权通过。
本发明实施例的接入控制的方法,用户设备在需要接入网络时,首先与本地服务中心进行网络层双向鉴权;在网络层双向鉴权通过后,用户设备与对应的接入节点组中的目标节点进行接入层双向鉴权;由于本发明实施例采用双层双向鉴权,并在双层双向鉴权通过后,该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组。
附图说明
图1为本发明实施例超密集组网结构示意图;
图2为本发明实施例接入控制的系统结构示意图;
图3为本发明实施例用户设备与本地服务中心的网络层双向鉴权的流程图;
图4为本发明实施例进行接入层双向鉴权的系统结构示意图;
图5为本发明实施例用户设备与目标节点的接入层双向鉴权的流程图;
图6为本发明实施例第一种用户设备的结构示意图;
图7为本发明实施例第一种本地服务中心的结构示意图;
图8为本发明实施例第一种接入节点的结构示意图;
图9为本发明实施例第二种用户设备的结构示意图;
图10为本发明实施例第二种本地服务中心的结构示意图;
图11为本发明实施例第二种接入节点的结构示意图;
图12为本发明实施例用户设备侧接入控制的方法流程示意图;
图13为本发明实施例本地服务中心辅助用户设备侧接入控制的方法流程示意图;
图14为本发明实施例接入节点侧辅助用户设备侧接入控制的方法流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先对本发明实施例提供的技术方案的实施环境进行说明。
图1为超密集组网结构示意图,如图所示,网络结构中主要包括:NSC(NetworkService Center,网络服务中心)、LSC(Local Service Center,本地服务中心)、若干个UE(User Equipment,用户设备)、为UE提供服务的若干个APG;其中,每个APG中包括若干个AP,同一个AP可以位于不同的APG中;每个APG对应一个节点组标识ID,每个APG对应一个UE。APG中的AP与UE通过无线连接,各AP与LSC之间通过有线连接,LSC与NSC之间通过IP网络相连。
在下面的说明过程中,先从网络侧和用户设备侧的配合实施进行说明,最后分别从网络侧与用户设备侧的实施进行说明,但这并不意味着二者必须配合实施,实际上,当网络侧与用户设备侧分开实施时,也解决了分别在网络侧、用户设备侧所存在的问题,只是二者结合使用时,会获得更好的技术效果。
如图2所示,本发明实施例接入控制的系统包括:用户设备10、本地服务中心20、至少一个接入节点30。
用户设备10、用于在需要接入网络时,与本地服务中心进行网络层双向鉴权;在网络层双向鉴权通过后,与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
本地服务中心20、用于在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
接入节点30、用于接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
本发明实施例用户设备在需要接入网络时,首先与本地服务中心进行网络层双向鉴权;在网络层双向鉴权通过后,用户设备与对应的接入节点组中的目标节点进行接入层双向鉴权;由于本发明实施例采用双层双向鉴权,并在双层双向鉴权通过后,该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组中的接入节点。
其中,用户设备需要接入网络的时机可以是用户设备开机启动。
用户设备在需要接入网络时,用户设备通过接入节点向本地服务中心发送接入请求消息;
以用户设备开机启动后需要接入网络为例,确定转发接入请求消息的接入节点的方式包括下列中的部分或全部:
用户设备通过距离最近的接入节点发送接入请求消息;
用户设备通过信号强度最强的接入节点发送接入请求消息;
用户设备通过指定的发送接入请求消息。
本地服务中心在接收到用户设备发送的接入请求消息之后,所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数。
具体的,本地服务中心向网络服务中心发送请求鉴权参数消息,并且该请求鉴权参数消息中的包括用户设备的标识信息。
网络服务中心接收到本地服务中心发送的请求鉴权参数消息,根据请求鉴权参数消息中的包括用户设备的标识信息,生成该用户设备对应的网络层鉴权参数。
网络层鉴权参数包括:RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、KLSC(临时密钥);
其中,KLSC是根据网络服务中心存储的该用户设备对应的根密钥k,以及网络层鉴权参数中的RAND确定的;并且,KLSC的作用是使本地服务中心根据该KLSC推演UE与网络侧进行通信时的通信密钥。
网络服务中心将生成该用户设备对应的网络层鉴权参数发送给本地服务中心,本地服务中心在本地保存接收到的用户设备对应的网络层鉴权参数。
本发明实施例在用户设备需要接入网络时,为了保证用户设备安全的接入网络,需要用户设备与网络侧进行双重双向鉴权。即共包括两次鉴权,分别为:用户设备与本地服务中心的网络层双向鉴权、用户设备与接入节点组的接入层双向鉴权。在上述两次鉴权分别通过后,用户设备接入对应的接入节点组。
下面对网络层双向鉴权和接入层双向鉴权分别进行说明。
一、用户设备与本地服务中心的网络层双向鉴权。
可选的,所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
需要说明的是,本地服务中心向所述用户设备发送的包含网络层鉴权参数的网络层鉴权请求消息,是通过转发接入请求消息的接入节点转发的;并且,用户设备返回的网络层鉴权请求响应消息,也是通过该接入节点转发的。
具体的,如图3所示的用户设备与本地服务中心的网络层双向鉴权的流程图。
步骤301、本地服务中心向用户设备发送包含网络层鉴权参数的网络层鉴权请求消息。
步骤302、用户设备接收并保存网络层鉴权请求消息中的网络层鉴权参数。
步骤303、用户设备根据网络层鉴权参数中的RAND确定AUTN;
步骤304、若确定的AUTN与网络层鉴权参数中的AUTN相同,用户设备确定对网络侧的网络层鉴权通过。
步骤305、用户设备根据网络层鉴权参数中的RAND确定RES(鉴权响应参数);
步骤306、用户设备向本地服务中心返回包含RES的网络层鉴权请求响应消息;
步骤307、若网络层鉴权请求响应消息中的RES与网络层鉴权参数中的XRES相同,则本地服务中心确定对用户设备的网络层鉴权通过。
需要说明的是,若用户设备对网络侧的网络层鉴权不通过,或本地服务中心对用户设备的网络层鉴权不通过,则用户设备不能接入网络。
本发明实施例的本地服务中心在确定与用户设备的网络层双向鉴权通过后,本地服务中心向网络服务中心申请,请求网络服务中心为该用户设备分配节点组标识。
本发明实施例可以采用下列方式确定用户设备对应的节点组标识:
本地服务中心向网络服务中心申请,请求网络服务中心为用户设备对应的接入节点组分配节点组标识;
具体的,网络服务中心在为用户设备对应的接入节点组分配节点组标识时,可以只将为该接入节点组分配的节点组标识发送给本地服务中心;
或者,网络服务中心预先发送给本地服务中心一组节点组标识,在本地服务中心确定与用户设备的网络层双向鉴权通过后,从该组节点组标识中选择一个没有分配出去的节点组标识分配给用户设备。
在确定用户设备对应的节点组标识后,本地服务中心将为该用户设备分配的节点组标识通知给该用户设备。
本地服务中心在确定用户设备对应的节点组标识后,生成为用户设备提供通信服务的接入节点组。
具体的,在确定为用户设备提供通信服务的接入节点组时,可以根据下列方式中的部分或全部:
1、根据用户设备接收的各接入节点的参考信号强度,将参考信号强度最强的N个接入节点组成用户设备对应的接入节点组;
2、根据各接入节点针对用户设备产生的通信协作增益,将通信协作增益最大的N个接入节点组成用户设备对应的接入节点组;
3、根据各接入节点向本地服务中心请求加入用户设备对应的接入节点组的请求时间,将最先请求的N个接入节点组成用户设备对应的接入节点组;
4、将指定的N个接入节点组成用户设备对应的接入节点组。
需要说明的是,上述确定为用户设备提供通信服务的接入节点组的方式只是对本发明实施例的举例说明,本发明实施例想要保护的确定用户设备对应的接入节点组的方式并不限于上述举例,任何能够确定为用户设备提供通信服务的接入节点组的方式均适用于本发明。
二、用户设备与接入节点组的接入层双向鉴权。
本发明实施例中用户设备与接入节点组中的接入节点进行接入层双向鉴权,在具体实施时,是将用户设备与接入节点组中的目标节点进行接入层双向鉴权。
可选的,所述本地服务中心确定所述接入节点组中的目标节点;所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
本地服务中心确定接入节点组中的目标节点的方式包括下列中的部分或全部:
方式1、将用户设备接收的接入节点组中参考信号强度最强的接入节点作为目标节点;
方式2、将接入节点组中的各接入节点针对用户设备产生的通信协作增益最大的接入节点作为目标节点;
方式3、将接入节点组中的最先请求加入该接入节点组的接入节点作为目标节点;
方式4、在接入节点组中任意指定一个接入节点作为目标节点。
需要说明的是,上述确定目标节点的方式只是对本发明实施例的举例说明,本发明实施例想要保护的确定目标节点的方式并不限于上述举例,任何能够确定目标节点的方式均适用于本发明。
在从接入节点组中确定出目标节点之后,所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
方式1、所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数。
具体的,本地服务中心向网络服务中心发送请求接入层鉴权参数消息,请求接入层鉴权参数消息中包含节点组标识;
网络服务中心接收到本地服务中心发送的请求接入层鉴权参数消息,根据请求接入层鉴权参数消息中包含的节点组标识,生成该用户设备对应的接入层鉴权参数。
接入层鉴权参数包括:RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、KAPG(中间密钥);
其中,KAPG是根据网络服务中心存储的该用户设备对应的根密钥k,接入层鉴权参数消息中包含节点组标识APG_ID,以及网络层鉴权参数中的RAND确定的;并且,KAPG的作用是使本地服务中心根据该KAPG推演UE与网络侧进行通信时的通信密钥。
方式2、所述本地服务中心根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
本地服务中心根据从网络服务中心获取的网络层鉴权参数中的RAND、XRES、AUTN、KLSC,以及节点组标识APG_ID,确定所述用户设备对应的接入层鉴权参数。
具体的,根据KLSC和APG_ID,确定KAPG,将RAND、XRES、AUTN、KAPG作为接入层鉴权参数。
需要说明的是,由于本发明实施例中每个接入节点可以同时归属于不同的接入节点组,即一个接入节点可以同时为多个用户设备提供通信服务。因此,在接入节点组中的目标节点与用户设备进行接入层双向鉴权时,目标节点与用户设备之间鉴权过程中发送的消息中需要包含节点组标识,以使目标节点与用户设备进行安全且准确地鉴权。
本发明实施例的本地服务中心在将确定的接入层鉴权参数发送给目标节点时,还需要将该接入层鉴权参数对应的用户设备的标识信息发送给目标节点,以使目标节点确定需要进行接入层鉴权的用户设备。
下面具体说明用户设备与目标节点进行接入层双向鉴权的过程。
如图4所示,本发明实施例进行接入层双向鉴权的系统包括:用户设备20、目标节点40。
目标节点40、用于向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;若接收到所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
用户设备10、用于根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
其中,目标节点向所述用户设备发送的接入层鉴权请求消息中包含的节点组标识APG_ID,以及接入层鉴权参数包括RAND、AUTN。
节点组标识APG_ID可以作为一个单独的参数添加在接入层鉴权请求消息中;或者,将节点组标识APG_ID与接入层鉴权参数中某个参数进行异或隐藏添加在接入层鉴权请求消息中,例如将APG_ID与AUTN进行异或隐藏。
相应地,若采用将节点组标识APG_ID与接入层鉴权参数中某个参数进行异或隐藏添加在接入层鉴权请求消息中进行传递的方式,用户设备在接收到接入层鉴权请求消息后,会从接入层鉴权参数中将节点组标识APG_ID解析出来。
用户设备与目标节点的接入层双向鉴权包括:用户设备对目标节点进行网络侧鉴权、目标节点对用户设备进行鉴权。
1、用户设备对目标节点进行网络侧鉴权。
所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;
具体的,用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则所述用户设备确定对网络侧鉴权通过。
即,用户设备根据接入层鉴权请求消息中的RAND确定AUTN,若用户设备确定的AUTN与接入层鉴权请求消息中的AUTN相同,则接入节点确定对网络侧鉴权通过。
用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
具体的,用户设备在鉴权通过后,根据所述随机数确定鉴权响应参数;所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
即,用户设备在对网络侧鉴权通过后,根据接入层鉴权参数中的RAND,确定RES(鉴权响应参数),向所述本地服务中心返回包含APG_ID和RES的接入层鉴权响应消息。
节点组标识APG_ID可以作为一个单独的参数添加在接入层鉴权响应消息中;或者,将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在接入层鉴权响应消息中,例如将APG_ID与RES进行异或隐藏。
相应地,若采用将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在接入层鉴权响应消息中进行传递的方式,本地服务中心在接收到接入层鉴权响应消息后,会从鉴权响应参数中将节点组标识APG_ID解析出来。
2、目标节点对用户设备进行鉴权。
目标节点接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,所述目标节点确定对所述用户设备鉴权通过。
具体的,目标节点判断接入层鉴权响应消息中的RES,与接入层鉴权参数中的XRES是否相同,若相同,则确定对用户设备鉴权通过。
如图5所示的用户设备与目标节点的接入层双向鉴权的流程图。
步骤501、目标节点向用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息。
步骤502、用户设备接收并保存接入层鉴权请求消息中的接入层鉴权参数。
步骤503、用户设备根据接入层鉴权请求消息中的RAND确定AUTN。
步骤504、若确定的AUTN与接入层鉴权参数中的AUTN相同,用户设备确定对网络侧鉴权通过。
步骤505、用户设备根据根据接入层鉴权参数中的RAND确定RES。
步骤506、用户设备用户设备向目标节点返回包含节点组标识和所述RES的接入层鉴权请求响应消息。
步骤507、目标节点在确定接入层鉴权请求响应消息中包含的鉴权响应参数与所述接入层鉴权参数中的期望响应参数相同后,确定对所述用户设备鉴权通过。
其中,本发明实施例的接入节点可以是基站(比如宏基站、家庭基站等),还可以是其它节点。
如图6所示,本发明实施例一种用户设备包括:
第一网络鉴权模块601,用于在需要接入网络时,与本地服务中心进行网络层双向鉴权;
第一接入鉴权模块602,用于在网络层双向鉴权通过后,与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
可选的,所述第一接入鉴权模块602,具体用于:
根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述第一接入鉴权模块602,具体用于:
根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,所述第一接入鉴权模块602,具体用于:
在鉴权通过后,根据所述随机数确定鉴权响应参数;向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
如图7所示、本发明实施例一种本地服务中心包括:
第二网络鉴权模块701,用于在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
通知模块702,用于在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
第二接入鉴权模块703,用于通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
可选的,所述第二网络鉴权模块701,还用于:
在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述第二网络鉴权模块701,具体用于:
根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
可选的,所述第二网络鉴权模块701,具体用于:
向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述第二网络鉴权模块701,具体用于:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述用户设备鉴权通过。
可选的,所述第二接入鉴权模块703,具体用于:
确定所述接入节点组中的目标节点;通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述第二接入鉴权模块703,具体用于:
将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
可选的,所述第二接入鉴权模块703,具体用于:
所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
如图8所示,本发明实施例一种接入节点包括:
接收模块801,用于接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
第三接入鉴权模块802,用于与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
可选的,所述第三接入鉴权模块802,具体用于:
向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;若接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
可选的,所述第三接入鉴权模块802,具体用于:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,则确定对所述用户设备鉴权通过。
如图9所示,本发明实施例第二种用户设备包括:
处理器901,用于读取存储器904中的程序,执行下列过程:
在需要接入网络时,与本地服务中心进行网络层双向鉴权;在网络层双向鉴权通过后,与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
收发机902,用于在处理器901的控制下接收和发送数据。
可选的,所述处理器901,具体用于:
根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;在鉴权通过后通过收发机902向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述处理器901,具体用于:
根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则确定对网络侧鉴权通过。
可选的,所述处理器901,具体用于:
在鉴权通过后,根据所述随机数确定鉴权响应参数;通过收发机902向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
在实施中,处理器901和本地服务中心、接入节点之间的交互都是通过收发机902实现的,在此不再分别进行描述。
在图9中,总线架构(用总线900来代表),总线900可以包括任意数量的互联的总线和桥,总线900将包括由通用处理器901代表的一个或多个处理器和存储器904代表的存储器的各种电路链接在一起。总线900还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口903在总线900和收发机902之间提供接口。收发机902可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。例如:收发机902从其他设备接收外部数据。收发机902用于将处理器901处理后的数据发送给其他设备。取决于计算系统的性质,还可以提供用户接口905,例如小键盘、显示器、扬声器、麦克风、操纵杆。
处理器901负责管理总线900和通常的处理,如前述所述运行通用操作系统。而存储器904可以被用于存储处理器901在执行操作时所使用的数据。
可选的,处理器901可以是CPU(中央处埋器)、ASIC(Application SpecificIntegrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或CPLD(Complex Programmable Logic Device,复杂可编程逻辑器件)。
如图10所示,本发明实施例第二种本地服务中心包括:
处理器1001,用于读取存储器1004中的程序,执行下列过程:
接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;通过收发机1002通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
收发机1002,用于在处理器1001的控制下接收和发送数据。
可选的,所述处理器1001,还用于:
在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述处理器1001,具体用于:
根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
可选的,所述处理器1001,具体用于:
向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述处理器1001,具体用于:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述用户设备鉴权通过。
可选的,所述处理器1001,具体用于:
确定所述接入节点组中的目标节点;通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述处理器1001,具体用于:
将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
可选的,所述处理器1001,具体用于:
所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
在实施中,处理器1001和用户设备之间的交互是通过收发机1002和接入节点实现的,即处理器1001通过收发机1002将需要发送给用户设备的信息发送给接入节点,由接入节点发送给用户设备;接入节点在收到来自用户设备的需要发送给本地服务中心的信息后,将该信息发送给本地服务中心,处理器1001通过收发机1002接收该信息。
其中,本地服务中心和接入节点之间可以通过有线、无线等方式连接。
在图10中,总线架构(用总线1000来代表),总线1000可以包括任意数量的互联的总线和桥,总线1000将包括由处理器1001代表的一个或多个处理器和存储器1004代表的存储器的各种电路链接在一起。总线1000还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口1003在总线1000和收发机1002之间提供接口。收发机1002可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器1001处理的数据通过天线1005在无线介质上进行传输,进一步,天线1005还接收数据并将数据传送给处理器1001。
处理器1001负责管理总线1000和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器1004可以被用于存储处理器1001在执行操作时所使用的数据。
可选的,处理器1001可以是CPU、ASIC、FPGA或CPLD。
如图11所示,本发明实施例第二种接入节点包括:
处理器1101,用于读取存储器1104中的程序,执行下列过程:
通过收发机1102接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
收发机1102,用于在处理器1101的控制下接收和发送数据。
可选的,所述处理器1101,具体用于:
通过收发机1102向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;若通过1102接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
可选的,所述第三接入鉴权模块802,具体用于:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,则确定对所述用户设备鉴权通过。
在实施中,处理器1101和用户设备之间的交互是通过收发机1102实现的,处理器1101和本地服务中心之间的交互也可以通过收发机1102实现。收发机1102有至少两套传输方式,其中一套是与用户设备进行交互使用的方式,比如可以是无线方式;另一套是与本地服务中心进行交互使用的方式,比如无线方式、有线方式等。
其中,本地服务中心和接入节点之间可以通过有线、无线等方式连接。接入节点和用户设备之间通过无线方式连接。
在图11中,总线架构(用总线1100来代表),总线1100可以包括任意数量的互联的总线和桥,总线1100将包括由处理器1101代表的一个或多个处理器和存储器1104代表的存储器的各种电路链接在一起。总线1100还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口1103在总线1100和收发机1102之间提供接口。收发机1102可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器1101处理的数据通过天线1105在无线介质上进行传输,进一步,天线1105还接收数据并将数据传送给处理器1101。
处理器1101负责管理总线1100和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器1104可以被用于存储处理器1101在执行操作时所使用的数据。
可选的,处理器1101可以是CPU、ASIC、FPGA或CPLD。
基于同一发明构思,本发明实施例中还提供了一种接入控制的方法,由于该方法对应的设备是本发明实施例接入控制的系统中的用户设备,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图12所示,本发明实施例一种接入控制的方法包括:
步骤1201、用户设备在需要接入网络时,所述用户设备与本地服务中心进行网络层双向鉴权;步骤1202、在网络层双向鉴权通过后,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
可选的,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,包括:
所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;
所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权,包括:
所述用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;
若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则所述用户设备确定对网络侧鉴权通过。
可选的,所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,包括:
所述用户设备在鉴权通过后,根据所述随机数确定鉴权响应参数;
所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
基于同一发明构思,本发明实施例中还提供了一种接入控制的方法,由于该方法对应的设备是本发明实施例接入控制的系统中的本地服务中心,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图13所示,本发明实施例提供的一种接入控制的方法包括:
步骤1301、本地服务中心在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
步骤1302、所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
步骤1303、所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
可选的,所述本地服务中心在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,还包括:
所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述本地服务中心与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
可选的,所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;
若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
可选的,所述本地服务中心根据所述用户设备返回的网络层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述用户设备鉴权通过。
可选的,所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心确定所述接入节点组中的目标节点;
所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
可选的,所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
可选的,所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
所述本地服务中心根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
基于同一发明构思,本发明实施例中还提供了一种接入控制的方法,由于该方法对应的设备是本发明实施例接入控制的系统中的接入节点,并且该方法解决问题的原理与该设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。
如图14所示,本发明实施例提供的一种接入控制的方法包括:
步骤1401、接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
步骤1402、所述接入节点与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
可选的,所述接入节点与所述接入层鉴权参数对应的用户设备进行接入层双向鉴权,包括:
所述接入节点向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;
若所述接入节点接收到所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
可选的,所述接入节点根据所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,所述接入节点确定对所述用户设备鉴权通过。
以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行系统、装置或设备使用,或结合指令执行系统、装置或设备使用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (28)

1.一种接入控制的方法,其特征在于,该方法包括:
用户设备在需要接入网络时,所述用户设备与本地服务中心进行网络层双向鉴权;
在网络层双向鉴权通过后,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
2.如权利要求1所述的方法,其特征在于,所述用户设备与对应的接入节点组中的接入节点进行接入层双向鉴权,包括:
所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;
所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
3.如权利要求2所述的方法,其特征在于,所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权,包括:
所述用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;
若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则所述用户设备确定对网络侧鉴权通过。
4.如权利要求3所述的方法,其特征在于,所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,包括:
所述用户设备在鉴权通过后,根据所述随机数确定鉴权响应参数;
所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
5.一种接入控制的方法,其特征在于,该方法包括:
本地服务中心在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
6.如权利要求5所述的方法,其特征在于,所述本地服务中心在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,还包括:
所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述本地服务中心与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
7.如权利要求6所述的方法,其特征在于,所述本地服务中心根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权,包括:
所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;
若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
8.如权利要求7所述的方法,其特征在于,所述本地服务中心根据所述用户设备返回的网络层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,所述本地服务中心确定对所述用户设备鉴权通过。
9.如权利要求5所述的方法,其特征在于,所述本地服务中心通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心确定所述接入节点组中的目标节点;
所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
10.如权利要求9所述的方法,其特征在于,所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权,包括:
所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
11.如权利要求10所述的方法,其特征在于,所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
所述本地服务中心根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
12.一种接入控制的方法,其特征在于,该方法包括:
接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
所述接入节点与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
13.如权利要求12所述的方法,其特征在于,所述接入节点与所述接入层鉴权参数对应的用户设备进行接入层双向鉴权,包括:
所述接入节点向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;
若所述接入节点接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
14.如权利要求13所述的方法,其特征在于,所述接入节点根据所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息,对所述用户设备进行鉴权,包括:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,所述接入节点确定对所述用户设备鉴权通过。
15.一种用户设备,其特征在于,包括:
第一网络鉴权模块,用于在需要接入网络时,与本地服务中心进行网络层双向鉴权;
第一接入鉴权模块,用于在网络层双向鉴权通过后,与对应的接入节点组中的接入节点进行接入层双向鉴权,以便在接入层双向鉴权通过后允许所述用户设备接入到对应的接入节点组中。
16.如权利要求15所述的用户设备,其特征在于,所述第一接入鉴权模块,具体用于:
根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息,对网络侧进行鉴权;在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息,以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
17.如权利要求16所述的用户设备,其特征在于,所述第一接入鉴权模块,具体用于:
根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记;若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同,则确定对网络侧鉴权通过。
18.如权利要求17所述的用户设备,其特征在于,所述第一接入鉴权模块,具体用于:
在鉴权通过后,根据所述随机数确定鉴权响应参数;向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息,以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
19.一种本地服务中心,其特征在于,包括:
第二网络鉴权模块,用于在接收到用户设备的接入请求消息后,与所述用户设备进行网络层双向鉴权;
通知模块,用于在确定与所述用户设备网络层双向鉴权通过后,确定所述用户设备对应的接入节点组;
第二接入鉴权模块,用于通知所述接入节点组中的接入节点与所述用户设备进行接入层双向鉴权,以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
20.如权利要求19所述的本地服务中心,其特征在于,所述第二网络鉴权模块,还用于:
在接收到用户设备的接入请求消息之后,与所述用户设备进行网络层双向鉴权之前,根据所述接入请求消息中的用户设备的上下文信息,向网络服务中心请求所述用户设备对应的网络层鉴权参数;
所述第二网络鉴权模块,具体用于:
根据所述网络层鉴权参数,与所述用户设备进行网络层双向鉴权。
21.如权利要求20所述的本地服务中心,其特征在于,所述第二网络鉴权模块,具体用于:
向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息,以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权;接收到所述用户设备返回的网络层鉴权请求响应消息,则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
22.如权利要求21所述的本地服务中心,其特征在于,所述第二网络鉴权模块,具体用于:
若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同,确定对所述用户设备鉴权通过。
23.如权利要求19所述的本地服务中心,其特征在于,所述第二接入鉴权模块,具体用于:
确定所述接入节点组中的目标节点;通知所述目标节点与所述用户设备进行接入层双向鉴权。
24.如权利要求23所述的本地服务中心,其特征在于,所述第二接入鉴权模块,具体用于:
将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点,以使所述目标节点根据所述节点组标识和所述接入层鉴权参数,与所述用户设备进行接入层双向鉴权。
25.如权利要求24所述的本地服务中心,其特征在于,所述第二接入鉴权模块,具体用于:
所述本地服务中心根据下列方式确定所述用户设备对应的接入层鉴权参数:
从网络服务中心获取所述用户设备对应的接入层鉴权参数;或
根据所述用户设备对应的网络层鉴权参数,以及所述节点组标识,确定所述用户设备对应的接入层鉴权参数。
26.一种接入节点,其特征在于,包括:
接收模块,用于接收本地服务中心发送的用户设备对应的接入层鉴权参数,其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络侧双向鉴权通过后发送的;
第三接入鉴权模块,用于与所述用户设备进行接入层双向鉴权,并在确定与所述用户设备的接入层双向鉴权通过后,允许所述用户设备接入对应的接入节点组中的接入节点。
27.如权利要求26所述的接入节点,其特征在于,所述第三接入鉴权模块,具体用于:
向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息,以使所述用户设备根据所述接入层鉴权请求消息对网络侧进行鉴权;若接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息,则根据所述接入层鉴权请求响应消息,对所述用户设备进行鉴权。
28.如权利要求27所述的接入节点,其特征在于,所述第三接入鉴权模块,具体用于:
若所述接入层鉴权请求响应消息中包含的鉴权响应参数,与所述接入层鉴权参数中的期望响应参数相同,则确定对所述用户设备鉴权通过。
CN201611193853.7A 2016-12-21 2016-12-21 一种接入控制的方法及设备 Active CN108235317B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201611193853.7A CN108235317B (zh) 2016-12-21 2016-12-21 一种接入控制的方法及设备
PCT/CN2017/099523 WO2018113338A1 (zh) 2016-12-21 2017-08-29 一种接入控制的方法及设备
US16/472,728 US11405783B2 (en) 2016-12-21 2017-08-29 Access control method and device
EP17885077.2A EP3562186A4 (en) 2016-12-21 2017-08-29 ACCESS CONTROL METHOD AND DEVICE
TW106140672A TWI685267B (zh) 2016-12-21 2017-11-23 一種接入控制的方法及設備

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611193853.7A CN108235317B (zh) 2016-12-21 2016-12-21 一种接入控制的方法及设备

Publications (2)

Publication Number Publication Date
CN108235317A CN108235317A (zh) 2018-06-29
CN108235317B true CN108235317B (zh) 2019-06-21

Family

ID=62624644

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611193853.7A Active CN108235317B (zh) 2016-12-21 2016-12-21 一种接入控制的方法及设备

Country Status (5)

Country Link
US (1) US11405783B2 (zh)
EP (1) EP3562186A4 (zh)
CN (1) CN108235317B (zh)
TW (1) TWI685267B (zh)
WO (1) WO2018113338A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951027B1 (ko) * 2018-01-04 2019-02-22 엔쓰리엔 주식회사 무선 액세스 포인트에서의 라이선스 인증 방법, 라이선스 인증을 수행하는 무선 액세스 포인트 장치, 클라이언트 장치의 라이선스 활성화 방법, 및 무선 액세스 포인트와 연동하는 클라이언트 장치
CN111294846B (zh) * 2018-12-07 2022-04-12 华为技术有限公司 一种接入网设备通信功能测试方法、装置及系统
CN116156500A (zh) * 2021-11-23 2023-05-23 大唐移动通信设备有限公司 设备鉴权方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245338A (zh) * 2014-05-26 2016-01-13 中兴通讯股份有限公司 一种认证方法及装置系统
CN105516961A (zh) * 2015-12-09 2016-04-20 上海斐讯数据通信技术有限公司 无感知认证方法系统,基于该方法系统的控制方法、系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8260259B2 (en) * 2004-09-08 2012-09-04 Qualcomm Incorporated Mutual authentication with modified message authentication code
KR100762644B1 (ko) * 2004-12-14 2007-10-01 삼성전자주식회사 Wlan-umts 연동망 시스템과 이를 위한 인증 방법
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
WO2007062689A1 (en) * 2005-12-01 2007-06-07 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for distributing keying information
KR101556046B1 (ko) 2010-12-30 2015-09-30 인터디지탈 패튼 홀딩스, 인크 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
CN102625307B (zh) 2011-01-31 2014-07-09 电信科学技术研究院 一种无线网络接入系统
WO2013165605A1 (en) * 2012-05-02 2013-11-07 Interdigital Patent Holdings, Inc. One round trip authentication using single sign-on systems
KR20140111513A (ko) 2013-03-11 2014-09-19 삼성전자주식회사 무선 통신 방법 및 장치
WO2015096138A1 (zh) * 2013-12-27 2015-07-02 华为技术有限公司 分流方法、用户设备、基站和接入点
US20170223531A1 (en) * 2014-07-28 2017-08-03 Telefonaktiebolaget Lm Ericsson (Publ) Authentication in a wireless communications network
EP3243339A4 (en) * 2015-01-09 2018-02-07 Samsung Electronics Co., Ltd. Mutual authentication between user equipment and an evolved packet core
CN104852896B (zh) * 2015-02-03 2017-09-05 四川通信科研规划设计有限责任公司 一种Wi‑Fi无线节点入网方法及系统
CN105451250B (zh) * 2015-09-01 2017-07-11 电信科学技术研究院 一种网络接入点动态组网方法及设备
US9883385B2 (en) * 2015-09-15 2018-01-30 Qualcomm Incorporated Apparatus and method for mobility procedure involving mobility management entity relocation
EP3208222B1 (en) * 2016-02-18 2020-06-17 Otis Elevator Company Anonymous and ephemeral tokens to authenticate elevator calls

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245338A (zh) * 2014-05-26 2016-01-13 中兴通讯股份有限公司 一种认证方法及装置系统
CN105516961A (zh) * 2015-12-09 2016-04-20 上海斐讯数据通信技术有限公司 无感知认证方法系统,基于该方法系统的控制方法、系统

Also Published As

Publication number Publication date
WO2018113338A1 (zh) 2018-06-28
US20200196150A1 (en) 2020-06-18
EP3562186A1 (en) 2019-10-30
TWI685267B (zh) 2020-02-11
EP3562186A4 (en) 2019-12-11
US11405783B2 (en) 2022-08-02
CN108235317A (zh) 2018-06-29
TW201824900A (zh) 2018-07-01

Similar Documents

Publication Publication Date Title
Ling et al. Blockchain radio access network (B-RAN): Towards decentralized secure radio access paradigm
Saadeh et al. Hierarchical architecture and protocol for mobile object authentication in the context of IoT smart cities
CN110830925B (zh) 一种用户群组的会话管理方法及装置
CN110291803A (zh) 蜂窝网络中的隐私保护和可扩展认证协议认证和授权
Zhao et al. Secure machine-type communications toward LTE heterogeneous networks
CN109644134A (zh) 用于大型物联网组认证的系统和方法
CN107852407A (zh) 用于集成小型小区和Wi‑Fi网络的统一认证
CN106464689A (zh) 用于在快速初始链路设立期间进行认证的系统、方法和装置
CN109889509A (zh) 用于机器对机器通信的网络辅助引导自举
CN108235317B (zh) 一种接入控制的方法及设备
Ling et al. Hash access: Trustworthy grant-free IoT access enabled by blockchain radio access networks
CN108702701A (zh) 用于接入具有非接入层过程的局域范围网络的方法、装置和计算机程序产品
CN108235316B (zh) 一种加入接入节点组的方法及设备
CN108683690A (zh) 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质
CN105934978A (zh) 针对设备到设备通信的传输功率
CN101626370A (zh) 节点间密钥的分配方法、系统及设备
Nyangaresi et al. Machine learning protocol for secure 5G handovers
Mukherjee et al. Femtolet: A novel fifth generation network device for green mobile cloud computing
CN108781110A (zh) 用于通过通信网络中继数据的系统和方法
Kumar et al. Design of a USIM and ECC based handover authentication scheme for 5G-WLAN heterogeneous networks
CN109803456A (zh) 一种请求恢复连接的方法及装置
WO2021083012A1 (zh) 一种保护认证流程中参数的方法及装置
CN109819440A (zh) 鉴权的方法和装置
CN110087338A (zh) 一种窄带物联网进行鉴权的方法及设备
Wang et al. CHetNet: crowdsourcing to heterogeneous cellular networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100191 Xueyuan Road, Haidian District, Beijing, No. 40

Applicant after: Telecommunication science and Technology Research Institute Co., Ltd.

Address before: 100191 Xueyuan Road, Haidian District, Beijing, No. 40

Applicant before: Inst of Telecommunication Science and Technolgoy

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210527

Address after: 100085 1st floor, building 1, yard 5, Shangdi East Road, Haidian District, Beijing

Patentee after: DATANG MOBILE COMMUNICATIONS EQUIPMENT Co.,Ltd.

Address before: 100191 No. 40, Haidian District, Beijing, Xueyuan Road

Patentee before: Telecommunications Science and Technology Research Institute Co.,Ltd.