CN108848112B - 用户设备ue的接入方法、设备及系统 - Google Patents

用户设备ue的接入方法、设备及系统 Download PDF

Info

Publication number
CN108848112B
CN108848112B CN201810895182.1A CN201810895182A CN108848112B CN 108848112 B CN108848112 B CN 108848112B CN 201810895182 A CN201810895182 A CN 201810895182A CN 108848112 B CN108848112 B CN 108848112B
Authority
CN
China
Prior art keywords
nas
network
3gpp network
user equipment
network equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810895182.1A
Other languages
English (en)
Other versions
CN108848112A (zh
Inventor
李娜
仲镜学
仲伟伟
陈璟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201810895182.1A priority Critical patent/CN108848112B/zh
Publication of CN108848112A publication Critical patent/CN108848112A/zh
Application granted granted Critical
Publication of CN108848112B publication Critical patent/CN108848112B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/04Registration at HLR or HSS [Home Subscriber Server]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Abstract

本发明提供了一种UE的接入方法、设备及系统,涉及通信领域,该方法包括:3GPP网络第一网络设备通过Non‑3GPP网络第二网络设备接收UE发送的接入请求消息;第一网络设备根据UE标识以及第一网络设备存储的UE的NAS安全上下文,生成第一NAS验证码;若接入请求消息包括第二NAS验证码,则第一网络设备检测第二NAS验证码与第一NAS验证码是否相同;若第二NAS验证码与第一NAS验证码相同,则第一网络设备向第二网络设备发送Non‑3GPP网络接入密钥。本发明解决了UE通过Non‑3GPP网络接入到3GPP网络整体通信的时延较长的问题,实现降低整体通信的时延的效果。本发明用于UE接入3GPP网络。

Description

用户设备UE的接入方法、设备及系统
技术领域
本发明涉及通信领域,特别涉及一种用户设备UE的接入方法、设备及系统。
背景技术
随着科技的发展,非第三代合作伙伴计划(英文:Non-3rd GenerationPartnership Project;简称:Non-3GPP)网络如无线局域网络(英文:Wireless Local AreaNetworks;简称:WLAN)和3GPP网络如长期演进(英文:Long Term Evolution;简称:LTE)网络的应用越来越广泛。其中,Non-3GPP网络主要针对个人消费电子市场、家庭和企业的带宽无线接入市场,而3GPP网络主要针对电信运营商市场,面向公众提供移动通信服务。由于Non-3GPP网络和3GPP网络两种无线网络的优势互补,因此,Non-3GPP网络和3GPP网络的融合也是一种必然。
相关技术中,3GPP网络分为接入网和核心网两部分,当用户设备(英文:UserEquipment;简称:UE)通过3GPP网络的接入网接入到3GPP网络的核心网时,3GPP网络的核心网中负责移动性管理等功能的网络设备如移动管理实体(英文:Mobile ManagementEntity;简称:MME)会对UE进行演进的分组系统-认证与密钥协商(英文:Evolved PacketSystem Authentication and Key Agreement;简称:EPS-AKA)认证,认证成功后,UE和MME共享一套非接入层(英文:Non-Access Stratum;简称:NAS)安全上下文,该NAS安全上下文包括3GPP网络的密钥、NAS序列号和NAS算法等信息。当UE没有在3GPP网络的基站覆盖范围内,而位于Non-3GPP网络的覆盖范围内时,UE通过Non-3GPP网络的接入网接入到3GPP网络的核心网,需要3GPP网络的核心网中的验证、授权和记账(英文:Authentication、Authorization、Accounting;简称:AAA)服务器对UE进行基于可扩展的身份验证协议(英文:Extensible Authentication Protocol;简称:EAP)-AKA协议的认证。之后,AAA服务器确定允许UE接入网络,UE和Non-3GPP网络分别生成Non-3GPP网络的接入密钥或AS密钥,UE和Non-3GPP网络利用生成的接入密钥或AS密钥进行通信。
由于基于EAP-AKA协议的认证过程中需要AAA服务器对UE进行认证,认证过程中会产生较长的时延,因此,整体通信的时延较长。
发明内容
为了解决UE通过Non-3GPP网络接入到3GPP网络,整体通信的时延较长的问题,本发明提供了一种用户设备UE的接入方法、设备及系统。所述技术方案如下:
第一方面,提供一种用户设备UE的接入方法,所述方法包括:
第三代合作伙伴计划3GPP网络的第一网络设备通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备接收用户设备UE发送的接入请求消息,所述接入请求消息包括所述UE的标识;
所述第一网络设备根据所述UE的标识以及所述第一网络设备存储的所述UE的NAS安全上下文,生成第一非接入层NAS验证码;
若所述接入请求消息包括第二NAS验证码,则所述第一网络设备检测所述第二NAS验证码与所述第一NAS验证码是否相同,其中,所述第二NAS验证码为所述UE根据所述UE存储的NAS安全上下文生成的验证码;
若所述第二NAS验证码与所述第一NAS验证码相同,则所述第一网络设备向所述第二网络设备发送所述Non-3GPP网络的接入密钥。
结合第一方面,在第一方面的第一种可实现方式中,在所述第一网络设备向所述第二网络设备发送所述Non-3GPP网络的接入密钥之前,所述方法还包括:
所述第一网络设备根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第一方面的第一种可实现方式,在第一方面的第二种可实现方式中,在所述第一网络设备根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥之前,所述方法还包括:
所述第一网络设备在所述第一网络设备存储的所述UE的NAS安全上下文中获取所述3GPP网络的NAS序列号和所述3GPP网络的密钥;
所述第一网络设备接收所述第二网络设备发送的所述Non-3GPP网络的类型标识。
结合第一方面,在第一方面的第三种可实现方式中,所述方法还包括:
若所述第二NAS验证码与所述第一NAS验证码不相同,则所述第一网络设备对所述UE进行安全认证;或者,
若所述接入请求消息不包括NAS验证码,则所述第一网络设备对所述UE进行安全认证。
结合第一方面的第三种可实现方式,在第一方面的第四种可实现方式中,所述第一网络设备对所述UE进行安全认证,包括:
所述第一网络设备通过所述第二网络设备向所述UE发送认证消息;
所述第一网络设备通过所述第二网络设备接收所述UE发送的针对所述认证消息的认证响应消息。
结合第一方面的第四种可实现方式,在第一方面的第五种可实现方式中,在所述第一网络设备通过所述第二网络设备接收所述UE发送的针对所述认证消息的认证响应消息之后,所述方法还包括:
所述第一网络设备通过所述第二网络设备向所述UE发送接入成功消息。
结合第一方面至第一方面的第五种可实现方式中的任意一种,在第一方面的第六种可实现方式中,在所述第一网络设备向所述第二网络设备发送所述Non-3GPP网络的接入密钥之前,所述方法还包括:
所述第一网络设备获取所述UE的能力信息,所述能力信息用于指示所述UE在所述Non-3GPP网络中的能力;
所述第一网络设备向所述第二网络设备发送所述能力信息,所述能力信息用于所述第二网络设备确定密码算法,所述密码算法用于所述第二网络设备生成所述Non-3GPP网络的接入层AS密钥。
结合第一方面至第一方面的第六种可实现方式中的任意一种,在第一方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第二方面,提供一种用户设备UE的接入方法,所述方法包括:
用户设备UE生成接入请求消息,所述接入请求消息包括所述UE的标识;
所述UE通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送所述接入请求消息。
结合第二方面,在第二方面的第一种可实现方式中,在所述UE通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送所述接入请求消息之后,所述方法还包括:
所述UE根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和预设的所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第二方面,在第二方面的第二种可实现方式中,所述接入请求消息包括第二非接入层NAS验证码,在用户设备UE生成接入请求消息之前,所述方法还包括:
所述UE根据所述UE存储的NAS安全上下文生成所述第二NAS验证码。
结合第二方面,在第二方面的第三种可实现方式中,在所述UE通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送所述接入请求消息之后,所述方法还包括:
所述UE通过所述第二网络设备接收所述第一网络设备发送的认证消息,其中,所述认证消息为所述第一网络设备确定所述接入请求消息包括第二NAS验证码,且所述第二NAS验证码与第一NAS验证码不相同,或,所述接入请求消息不包括NAS验证码时,所述第一网络设备生成的,所述第一NAS验证码是所述第一网络设备根据所述UE的标识以及所述第一网络设备存储的所述UE的NAS安全上下文生成的验证码;
所述UE通过所述第二网络设备向所述第一网络设备发送针对所述认证消息的认证响应消息。
结合第二方面的第三种可实现方式,在第二方面的第四种可实现方式中,在所述UE通过所述第二网络设备向所述第一网络设备发送针对所述认证消息的认证响应消息之后,所述方法还包括:
所述UE通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
结合第二方面的第一种可实现方式,在第二方面的第五种可实现方式中,在所述UE根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和预设的所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥之后,所述方法还包括:
所述UE根据所述Non-3GPP网络的接入密钥生成所述Non-3GPP网络的接入层AS密钥。
结合第二方面的第五种可实现方式,在第二方面的第六种可实现方式中,所述UE根据所述Non-3GPP网络的接入密钥生成所述Non-3GPP网络的接入层AS密钥,包括:
所述UE接收所述第二网络设备发送的密码算法;
所述UE根据所述密码算法、所述Non-3GPP网络的接入密钥和所述Non-3GPP网络的类型标识,生成所述Non-3GPP网络的AS密钥。
结合第二方面至第二方面的第六种可实现方式,在第二方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第三方面,提供一种用户设备UE的接入设备,所述用户设备UE的接入设备包括:
第一接收单元,用于通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备接收用户设备UE发送的接入请求消息,所述接入请求消息包括所述UE的标识;
生成单元,用于根据所述UE的标识以及所述UE的接入设备存储的所述UE的NAS安全上下文,生成第一非接入层NAS验证码;
检测单元,用于在所述接入请求消息包括第二NAS验证码时,检测所述第二NAS验证码与所述第一NAS验证码是否相同,其中,所述第二NAS验证码为所述UE根据所述UE存储的NAS安全上下文生成的验证码;
第一发送单元,用于在所述第二NAS验证码与所述第一NAS验证码相同时,向所述第二网络设备发送所述Non-3GPP网络的接入密钥。
结合第三方面,在第三方面的第一种可实现方式中,所述设备还包括:
确定单元,用于根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第三方面的第一种可实现方式,在第三方面的第二种可实现方式中,所述设备还包括:
第一获取单元,用于在所述UE的接入设备存储的所述UE的NAS安全上下文中获取所述3GPP网络的NAS序列号和所述3GPP网络的密钥;
第二接收单元,用于接收所述第二网络设备发送的所述Non-3GPP网络的类型标识。
结合第三方面,在第三方面的第三种可实现方式中,所述设备还包括:
第一获取单元,用于在所述UE的接入设备存储的所述UE的NAS安全上下文中获取所述3GPP网络的NAS序列号和所述3GPP网络的密钥;
认证单元,用于在所述第二NAS验证码与所述第一NAS验证码不相同时,对所述UE进行安全认证;或者,
在所述接入请求消息不包括NAS验证码时,对所述UE进行安全认证。
结合第三方面的第三种可实现方式,在第三方面的第四种可实现方式中,所述认证单元,包括:
发送模块,用于通过所述第二网络设备向所述UE发送认证消息;
接收模块,用于通过所述第二网络设备接收所述UE发送的针对所述认证消息的认证响应消息。
结合第三方面的第四种可实现方式,在第三方面的第五种可实现方式中,所述设备还包括:
第二发送单元,用于通过所述第二网络设备向所述UE发送接入成功消息。
结合第三方面至第三方面的第五种可实现方式中的任意一种,在第三方面的第六种可实现方式中,所述设备还包括:
第二获取单元,用于获取所述UE的能力信息,所述能力信息用于指示所述UE在所述Non-3GPP网络中的能力;
第三发送单元,用于向所述第二网络设备发送所述能力信息,所述能力信息用于所述第二网络设备确定密码算法,所述密码算法用于所述第二网络设备生成所述Non-3GPP网络的接入层AS密钥。
结合第三方面至第三方面的第六种可实现方式中的任意一种,在第三方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第四方面,提供一种用户设备UE的接入设备,所述用户设备UE的接入设备包括:
第一生成单元,用于生成接入请求消息,所述接入请求消息包括所述UE的接入设备的标识;
第一发送单元,用于通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送所述接入请求消息。
结合第四方面,在第四方面的第一种可实现方式中,所述设备还包括:
确定单元,用于根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和预设的所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第四方面,在第四方面的第二种可实现方式中,所述设备还包括:
第二生成单元,用于根据所述UE的接入设备存储的NAS安全上下文生成所述第二NAS验证码。
结合第四方面,在第四方面的第三种可实现方式中,所述设备还包括:
第一接收单元,用于通过所述第二网络设备接收所述第一网络设备发送的认证消息,其中,所述认证消息为所述第一网络设备确定所述接入请求消息包括第二NAS验证码,且所述第二NAS验证码与第一NAS验证码不相同,或,所述接入请求消息不包括NAS验证码时,所述第一网络设备生成的,所述第一NAS验证码是所述第一网络设备根据所述UE的接入设备的标识以及所述第一网络设备存储的所述UE的接入设备的NAS安全上下文生成的验证码;
第二发送单元,用于通过所述第二网络设备向所述第一网络设备发送针对所述认证消息的认证响应消息。
结合第四方面的第三种可实现方式,在第四方面的第四种可实现方式中,所述设备还包括:
第二接收单元,用于所述UE的接入设备通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
结合第四方面的第一种可实现方式,在第四方面的第五种可实现方式中,所述设备还包括:
第三生成单元,用于根据所述Non-3GPP网络的接入密钥生成所述Non-3GPP网络的接入层AS密钥。
结合第四方面的第五种可实现方式,在第四方面的第六种可实现方式中,所述第三生成单元,包括:
接收模块,用于接收所述第二网络设备发送的密码算法;
生成模块,用于根据所述密码算法、所述Non-3GPP网络的接入密钥和所述Non-3GPP网络的类型标识,生成所述Non-3GPP网络的AS密钥。
结合第四方面至第四方面的第六种可实现方式,在第四方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第五方面,提供一种用户设备UE的接入设备,所述UE的接入设备包括:接收器、发射器、处理器、总线和存储器;所述总线用于连接所述接收器、所述发射器、所述处理器和所述存储器,所述处理器用于执行所述存储器中存储的程序;
所述接收器,用于通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备接收用户设备UE发送的接入请求消息,所述接入请求消息包括所述UE的标识;
所述处理器,用于根据所述UE的标识以及所述UE的接入设备存储的所述UE的NAS安全上下文,生成第一非接入层NAS验证码;
所述处理器,还用于在所述接入请求消息包括第二NAS验证码时,检测所述第二NAS验证码与所述第一NAS验证码是否相同,其中,所述第二NAS验证码为所述UE根据所述UE存储的NAS安全上下文生成的验证码;
所述发射器,用于在所述第二NAS验证码与所述第一NAS验证码相同时,向所述第二网络设备发送所述Non-3GPP网络的接入密钥。
结合第五方面,在第五方面的第一种可实现方式中,所述处理器,还用于:
根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第五方面的第一种可实现方式,在第五方面的第二种可实现方式中,所述处理器,还用于:
在所述UE的接入设备存储的所述UE的NAS安全上下文中获取所述3GPP网络的NAS序列号和所述3GPP网络的密钥;
所述接收器,还用于:
接收所述第二网络设备发送的所述Non-3GPP网络的类型标识。
结合第五方面,在第五方面的第三种可实现方式中,所述处理器,还用于:
在所述第二NAS验证码与所述第一NAS验证码不相同时,对所述UE进行安全认证;或者,
在所述接入请求消息不包括NAS验证码时,对所述UE进行安全认证。
结合第五方面的第三种可实现方式,在第五方面的第四种可实现方式中,所述处理器具体用于:
通过所述第二网络设备向所述UE发送认证消息;
通过所述第二网络设备接收所述UE发送的针对所述认证消息的认证响应消息。
结合第五方面的第四种可实现方式,在第五方面的第五种可实现方式中,所述发射器,还用于:
通过所述第二网络设备向所述UE发送接入成功消息。
结合第五方面至第五方面的第五种可实现方式中的任意一种,在第五方面的第六种可实现方式中,所述处理器,还用于:
获取所述UE的能力信息,所述能力信息用于指示所述UE在所述Non-3GPP网络中的能力;
所述发射器,还用于:
向所述第二网络设备发送所述能力信息,所述能力信息用于所述第二网络设备确定密码算法,所述密码算法用于所述第二网络设备生成所述Non-3GPP网络的接入层AS密钥。
结合第五方面至第五方面的第六种可实现方式中的任意一种,在第五方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第六方面,提供一种用户设备UE的接入设备,所述UE的接入设备包括:发射器、处理器、总线和存储器;所述总线用于连接所述发射器、所述处理器和所述存储器,所述处理器用于执行所述存储器中存储的程序;
所述处理器,用于生成接入请求消息,所述接入请求消息包括所述UE的接入设备的标识;
所述发射器,用于通过非第三代合作伙伴计划Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送所述接入请求消息。
结合第六方面,在第六方面的第一种可实现方式中,所述处理器,还用于:
根据所述3GPP网络的NAS序列号、所述3GPP网络的密钥和预设的所述Non-3GPP网络的类型标识,确定所述Non-3GPP网络的接入密钥。
结合第六方面,在第六方面的第二种可实现方式中,所述处理器,还用于:
根据所述UE的接入设备存储的NAS安全上下文生成所述第二NAS验证码。
结合第六方面,在第六方面的第三种可实现方式中,所述设备还包括:
接收器,用于通过所述第二网络设备接收所述第一网络设备发送的认证消息,其中,所述认证消息为所述第一网络设备确定所述接入请求消息包括第二NAS验证码,且所述第二NAS验证码与第一NAS验证码不相同,或,所述接入请求消息不包括NAS验证码时,所述第一网络设备生成的,所述第一NAS验证码是所述第一网络设备根据所述UE的接入设备的标识以及所述第一网络设备存储的所述UE的接入设备的NAS安全上下文生成的验证码;
所述发射器,还用于通过所述第二网络设备向所述第一网络设备发送针对所述认证消息的认证响应消息。
结合第六方面的第三种可实现方式,在第六方面的第四种可实现方式中,所述接收器,还用于:
通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
结合第六方面的第一种可实现方式,在第六方面的第五种可实现方式中,所述处理器,还用于:
根据所述Non-3GPP网络的接入密钥生成所述Non-3GPP网络的接入层AS密钥。
结合第六方面的第五种可实现方式,在第六方面的第六种可实现方式中,所述处理器具体用于:
接收所述第二网络设备发送的密码算法;
根据所述密码算法、所述Non-3GPP网络的接入密钥和所述Non-3GPP网络的类型标识,生成所述Non-3GPP网络的AS密钥。
结合第六方面至第六方面的第六种可实现方式,在第六方面的第七种可实现方式中,所述第二网络设备为无线访问接入点AP。
第七方面,提供一种用户设备UE的接入系统,所述用户设备UE的接入系统包括:
第三方面任一所述的UE的接入设备;
第四方面任一所述的UE的接入设备。
第八方面,提供一种用户设备UE的接入系统,所述用户设备UE的接入系统包括:
第五方面任一所述的UE的接入设备;
第六方面任一所述的UE的接入设备。
本发明提供的技术方案的有益效果是:本发明提供的UE的接入方法,由于3GPP网络的第一网络设备能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一网络设备向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种UE的接入方法所涉及的实施环境示意图;
图2是本发明实施例提供的一种UE的接入方法流程图;
图3是本发明实施例提供的又一种UE的接入方法流程图;
图4-1是本发明实施例提供的又一种UE的接入方法流程图;
图4-2是本发明实施例提供的一种生成Non-3GPP网络的AS密钥方法流程图;
图4-3是本发明实施例提供的一种MME对UE进行安全认证流程图;
图5是本发明实施例提供的一种UE的接入设备结构示意图;
图6-1是本发明实施例提供的又一种UE的接入设备结构示意图;
图6-2是本发明实施例提供的一种认证单元结构示意图;
图7是本发明实施例提供的又一种UE的接入设备结构示意图;
图8-1是本发明实施例提供的又一种UE的接入设备结构示意图;
图8-2是本发明实施例提供的一种第三生成单元结构示意图;
图9是本发明实施例提供的又一种UE的接入设备结构示意图;
图10-1是本发明实施例提供的又一种UE的接入设备结构示意图;
图10-2是本发明实施例提供的又一种UE的接入设备结构示意图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1提供了本发明实施例提供的一种UE的接入方法所涉及的实施环境示意图,该实施环境可以包括:3GPP网络01和Non-3GPP网络02,其中,3GPP网络01包括第一网络设备011,Non-3GPP网络02包括第二网络设备021。位于Non-3GPP网络02的UE03能够通过第二网络设备021和3GPP网络01的第一网络设备011实现信息交互,UE03能够与3GPP网络01的第一网络设备011共享NAS消息,第一网络设备011与UE03存储的NAS安全上下文相同。
在本发明各实施例中,3GPP网络可以为LTE网络,还可以为下一代(例如4.5G或者5G)网络或者未来其他网络制式的网络,Non-3GPP网络可以为WLAN网络,具体的,在本发明各个实施例中,当3GPP网络为LTE网络时,第一网络设备可以为MME;当Non-3GPP网络为WLAN网络时,第二网络设备可以为无线访问接入点(英文:WirelessAccessPoint;简称:AP)或者AP控制器(英文:AP Controller;简称AC)。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本发明实施例提供了一种UE的接入方法,如图2所示,可以应用于图1所示的第一网络设备011。该UE的接入方法包括:
步骤201、3GPP网络的第一网络设备通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,该接入请求消息包括UE的标识。
步骤202、第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文,生成第一NAS验证码。
步骤203、若接入请求消息包括第二NAS验证码,则第一网络设备检测第二NAS验证码与第一NAS验证码是否相同,其中,第二NAS验证码为UE根据UE存储的NAS安全上下文生成的验证码。
步骤204、若第二NAS验证码与第一NAS验证码相同,则第一网络设备向第二网络设备发送Non-3GPP网络的接入密钥。
综上所述,本发明实施例提供的UE的接入方法,由于3GPP网络的第一网络设备能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一网络设备向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
进一步的,在步骤204之前,该方法还包括:第一网络设备根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
在第一网络设备根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥之前,该方法还包括:第一网络设备在第一网络设备存储的UE的NAS安全上下文中获取3GPP网络的NAS序列号和3GPP网络的密钥;第一网络设备接收第二网络设备发送的Non-3GPP网络的类型标识。
进一步的,该方法还包括:若第二NAS验证码与第一NAS验证码不相同,则第一网络设备对UE进行安全认证;或者,若接入请求消息不包括NAS验证码,则第一网络设备对UE进行安全认证。
其中,第一网络设备对UE进行安全认证,包括:第一网络设备通过第二网络设备向UE发送认证消息;第一网络设备通过第二网络设备接收UE发送的针对认证消息的认证响应消息。
在第一网络设备通过第二网络设备接收UE发送的针对认证消息的认证响应消息之后,该方法还包括:第一网络设备通过第二网络设备向UE发送接入成功消息。
在步骤204之前,该方法还包括:第一网络设备获取UE的能力信息,该能力信息用于指示UE在Non-3GPP网络中的能力;第一网络设备向第二网络设备发送能力信息,该能力信息用于第二网络设备确定密码算法,该密码算法用于第二网络设备生成Non-3GPP网络的AS密钥。
可选的,第二网络设备为AP。
可选的,接入请求消息包括NAS消息,该NAS消息包括UE的标识。接入请求消息、认证消息、认证响应消息和接入成功消息通过携带在EAP消息中传输。
综上所述,本发明实施例提供的UE的接入方法,由于3GPP网络的第一网络设备能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一网络设备向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供了一种UE的接入方法,如图3所示,可以应用于图1所示的UE03。该UE的接入方法包括:
步骤301、UE生成接入请求消息,该接入请求消息包括UE的标识。
步骤302、UE通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息。
综上所述,本发明实施例提供的UE的接入方法,由于UE能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
进一步的,在步骤302之后,该方法还包括:UE根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
可选的,接入请求消息包括第二NAS验证码,在步骤301之前,该方法还包括:UE根据UE存储的NAS安全上下文生成第二NAS验证码。
在步骤302之后,该方法还包括:UE通过第二网络设备接收第一网络设备发送的认证消息,其中,认证消息为第一网络设备确定接入请求消息包括第二NAS验证码,且第二NAS验证码与第一NAS验证码不相同,或,接入请求消息不包括NAS验证码时,第一网络设备生成的。第一NAS验证码是第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的验证码;UE通过第二网络设备向第一网络设备发送针对认证消息的认证响应消息。
其中,在UE通过第二网络设备向第一网络设备发送针对认证消息的认证响应消息之后,该方法还包括:UE通过第二网络设备接收第一网络设备发送的接入成功消息。
在UE根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥之后,该方法还包括:UE根据Non-3GPP网络的接入密钥生成Non-3GPP网络的AS密钥。
UE根据Non-3GPP网络的接入密钥生成Non-3GPP网络的AS密钥,包括:UE接收第二网络设备发送的密码算法;UE根据密码算法、接入密钥和Non-3GPP网络的类型标识,生成Non-3GPP网络的AS密钥。
可选的,第二网络设备为AP。
可选的,接入请求消息包括NAS消息,该NAS消息包括UE的标识。接入请求消息、认证消息、认证响应消息和接入成功消息通过携带在EAP消息中传输。
综上所述,本发明实施例提供的UE的接入方法,由于UE能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例以3GPP网络为LTE网络,Non-3GPP网络为WLAN网络为例进行说明,则第一网络设备可以为MME,第二网络设备可以为AP。本发明实施例提供一种UE的接入方法,如图4-1所示,该UE的接入方法包括:
步骤501、UE生成接入请求消息。
该接入请求消息包括UE的标识。可选的,接入请求消息包括NAS消息,则该NAS消息可以包括UE的标识。该接入请求消息通过携带在EAP消息中传输。
步骤502、UE向AP发送接入请求消息。
UE向AP发送携带有接入请求消息的EAP消息,以便于AP向MME发送携带有接入请求消息的EAP消息。
步骤503、AP向MME发送接入请求消息。
AP在接收到UE发送的携带有接入请求消息的EAP消息后,将该携带有接入请求消息的EAP消息发送至MME。
步骤504、MME根据UE的标识以及MME存储的UE的NAS安全上下文,生成第一NAS验证码。
3GPP网络分为接入网和核心网两部分,当UE通过3GPP网络的接入网接入到3GPP网络的核心网时,3GPP网络的核心网中负责移动性管理等功能的网络设备如MME会对UE进行EPS-AKA认证。其中,EPS AKA的流程参见3GPP TS 33.401协议。该协议使用挑战应答机制,完成用户和网络间的身份认证和密钥协商,同时基于身份认证对通信加密密钥进行协商。具体的,MME从归属签约用户服务器(英文:Home Subscriber Server;简称:HSS)获得认证向量{RAND、AUTN、XRES、Kasme},其中,RAND为随机数,AUTN为认证令牌,XRES为期望响应,Kasme为网络密钥;MME将RAND和AUTN发送给UE;UE检查AUTN是否正确。若AUTN正确,则UE根据RAND计算响应(英文:response;简称:RES),并将该RES发送给MME;MME检查UE发送的RES和认证向量中的期望响应(英文:expect response;简称:XRES)是否相同,若相同,则MME对UE认证成功。认证成功后,UE和MME共享一套NAS安全上下文,MME和UE会共同存储该NAS安全上下文,该NAS安全上下文指的是一组安全相关参数的集合。
在本发明实施例中,NAS安全上下文包括:Kasme、Knas.int(完整性保护密钥)或者Knas.enc(解密密钥)、NAS算法、NAS序列号、UE的能力信息等。其中,Kasme为3GPP网络的密钥,Knas.int用于保护UE与MME之间的NAS消息的完整性,Knas.enc用于保护UE与MME之间的NAS消息的机密性,NAS序列号可以为上行NAS序列号或者下行NAS序列号。
由于MME负责多个UE的移动性管理,所以MME上存储有多个UE的NAS安全上下文,而每一个UE对应一个标识,因此,MME可以根据UE的标识确定该UE对应的NAS安全上下文,从而可以根据该NAS安全上下文,生成一个NAS验证码,这个NAS验证码即为第一NAS验证码,具体的,可以根据NAS安全上下文中的3GPP网络的密钥或NAS算法生成第一NAS验证码。该过程可以参考相关技术,本发明实施例对此不再赘述。
步骤505、若接入请求消息包括第二NAS验证码,则MME检测第二NAS验证码与第一NAS验证码是否相同。
其中,第二NAS验证码为UE根据UE存储的NAS安全上下文生成的验证码。在步骤501中,UE生成接入请求消息时,可以根据UE存储的NAS安全上下文生成一个NAS验证码,这个NAS验证码即为第二NAS验证码。具体的,可以根据NAS安全上下文中的3GPP网络的密钥或NAS算法生成第二NAS验证码。
需要说明的是,若接入请求消息包括第二NAS验证码,则在步骤501中UE生成接入请求消息之前,该方法还可以包括:UE根据UE存储的NAS安全上下文生成第二NAS验证码。
步骤506、MME在MME存储的UE的NAS安全上下文中获取3GPP网络的NAS序列号和3GPP网络的密钥。
由于MME存储的UE的NAS安全上下文包括有:3GPP网络的密钥和NAS序列号,因此,MME能够在该NAS安全上下文中直接获取3GPP网络的NAS序列号和3GPP网络的密钥。
步骤507、MME接收AP发送的Non-3GPP网络的类型标识。
Non-3GPP网络的类型标识可以携带在步骤503中的接入请求消息中,由AP发送给MME;或者,Non-3GPP网络的类型标识可以携带在步骤5144中的AKA认证响应消息中,由AP发送给MME。
第一方面,在步骤503中,AP向MME发送接入请求消息时,可以在该接入请求消息中添加Non-3GPP网络的类型标识或Non-3GPP网络的身份标识,其中,Non-3GPP网络的类型标识用于指示Non-3GPP网络的类型,如WLAN类型,Non-3GPP网络的身份标识用于唯一标识Non-3GPP网络的身份。MME接收到AP发送的接入请求消息后,MME可以从接入请求消息中获取Non-3GPP网络的类型标识或Non-3GPP网络的身份标识。若获取的是Non-3GPP网络的身份标识,MME可以根据该Non-3GPP网络的身份标识确定Non-3GPP网络的类型标识。在本发明实施例中,将Non-3GPP网络的类型标识或Non-3GPP网络的身份标识携带在接入请求消息中,无需生成新的消息,可以减少消息数量,降低网络负荷。
第二方面,若第二NAS验证码与第一NAS验证码不相同,或者,若接入请求消息不包括NAS验证码,则MME可以对UE进行安全认证,在MME对UE进行安全认证的过程中,可以在AP向MME发送的AKA认证响应消息中添加Non-3GPP网络的类型标识或Non-3GPP网络的身份标识,MME可以从AKA认证响应消息中获取Non-3GPP网络的类型标识或Non-3GPP网络的身份标识。若获取的是Non-3GPP网络的身份标识,MME可以根据该Non-3GPP网络的身份标识确定Non-3GPP网络的类型标识。同样的,在本发明实施例中,将Non-3GPP网络的类型标识或Non-3GPP网络的身份标识携带在AKA认证响应消息中,无需生成新的消息,可以减少消息数量,降低网络负荷。
步骤508、MME根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
具体的,MME根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,采用预设密钥推演算法确定接入密钥。该NAS序列号为上行NAS序列号。示例的,MME可以根据步骤506中获取的3GPP网络的NAS序列号和3GPP网络的密钥、步骤507中接收到的Non-3GPP网络的类型标识,采用预设密钥推演算法确定Non-3GPP网络的接入密钥。该Non-3GPP网络的接入密钥的计算公式为:
K=KDF(uplink NAS count,Kasme,“WLAN”);
其中,K为Non-3GPP网络即WLAN网络的接入密钥,“uplink NAS count”为上行NAS序列号,Kasme为3GPP网络的密钥,“WLAN”为Non-3GPP网络的类型标识,KDF指示预设密钥推演算法。需要说明的是,上述Non-3GPP网络的接入密钥K的推演过程不仅可以包括“uplinkNAS count”和“Kasme”等参数,也可以包括其他参数。
步骤509、UE根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
同样的,UE也会根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,采用预设密钥推演算法确定Non-3GPP网络的接入密钥。具体的,UE在存储的NAS安全上下文中获取3GPP网络的NAS序列号和3GPP网络的密钥Kasme,该NAS序列号为上行NAS序列号。而UE存储有Non-3GPP网络的类型标识,因此,UE可以确定Non-3GPP网络的接入密钥。该接入密钥的计算公式为:
K=KDF(uplink NAS count,Kasme,“WLAN”);
其中,K为Non-3GPP网络的接入密钥,“uplink NAS count”为上行NAS序列号,Kasme为3GPP网络的密钥,“WLAN”为Non-3GPP网络的类型标识,KDF指示预设密钥推演算法。需要说明的是,该预设密钥推演算法与步骤508中采用的预设密钥推演算法相同。
步骤510、MME获取UE的能力信息。
该能力信息用于指示UE在Non-3GPP网络中的能力。UE的能力信息包含在MME存储的UE的NAS安全上下文中,因此,MME可以从该NAS安全上下文中获取UE的能力信息。
步骤511、MME向AP发送能力信息。
MME获取到UE的能力信息之后,再将该能力信息发送至AP,以便于AP根据该能力信息确定密码算法。该密码算法用于AP生成Non-3GPP网络的AS密钥。具体的,AP本地保存有算法列表,该算法列表记录有Non-3GPP网络所支持的各种密码算法,这些密码算法按照优先级由低到高或者由高到低的顺序排布,在获取Non-3GPP网络的密码算法时,AP可以将UE在Non-3GPP网络中的能力与该算法列表匹配得到UE在该Non-3GPP网络的能力与该算法列表中相同的密码算法,再获取这些算法中优先级最高的算法作为该Non-3GPP选择的密码算法。示例的,WLAN网络的网络设备支持的密码算法有AES(AES是美国国家标准技术研究所NIST旨在取代DES的21世纪的加密标准)。
Non-3GPP网络为WLAN网络,假设AP接收到的UE在WLAN网络的能力为L1和L5,假设WLAN网络的算法列表如表1所示,该表1中的密码算法按照优先级由高到低的顺序排布,依次为算法L1、L4、L5和L2,则AP将UE在WLAN网络的能力与WLAN网络的算法列表匹配得到UE在WLAN网络的能力与WLAN网络的算法列表中相同的密码算法为L1和L5,再根据表1获取这些算法中优先级最高的算法为L1,则可以将L1确定为最终的密码算法。
表1
步骤512、UE根据Non-3GPP网络的接入密钥生成Non-3GPP网络的AS密钥。
具体的,如图4-2所示,步骤512包括:
步骤5121、UE接收AP发送的密码算法。
UE可以通过AP获取密码算法,该密码算法是步骤510中AP确定的密码算法。AP在向UE发送消息的时候,可以在消息中指示UE对应的密码算法,从而使UE获取密码算法,进而使UE根据密码算法、Non-3GPP网络的接入密钥和Non-3GPP网络的类型标识生成Non-3GPP网络的AS密钥。需要说明的是,该密码算法可以携带在步骤517中的接入成功消息中,由AP发送给UE,也可以携带在四次握手消息中,由AP发送给UE,还可以携带在其他消息中,本发明实施例对此不作限定。
步骤5122、UE根据密码算法、Non-3GPP网络的接入密钥和Non-3GPP网络的类型标识,生成Non-3GPP网络的AS密钥。
UE根据AP发送的密码算法、UE确定的Non-3GPP网络的接入密钥、Non-3GPP网络的类型标识生成Non-3GPP网络的AS密钥,Non-3GPP网络的AS密钥的计算公式为:
PMK=KDF(K,L1,“WLAN”);
其中,PMK为Non-3GPP网络的AS密钥,K为Non-3GPP网络的接入密钥,L1为根据UE的能力信息确定的密码算法所对应的算法标识符,“WLAN”为Non-3GPP网络的类型标识,KDF指示采用L1对应的算法。
步骤513、若第二NAS验证码与第一NAS验证码相同,则MME向AP发送Non-3GPP网络的接入密钥。
若UE根据UE存储的NAS安全上下文生成的第二NAS验证码与MME根据UE的标识以及MME存储的UE的NAS安全上下文生成的第一NAS验证码相同,则MME向AP会发送Non-3GPP网络的接入密钥。
一方面,AP接收到MME发送的Non-3GPP网络的接入密钥后,由于步骤509中,UE根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,也确定了Non-3GPP网络的接入密钥,因此,AP可以和UE进行通信,AP和UE可以根据确定的Non-3GPP网络的接入密钥进行空口安全激活。
另一方面,AP接收到MME发送的Non-3GPP网络的接入密钥后,AP能够根据Non-3GPP网络的接入密钥、AP确定的密码算法和Non-3GPP网络的类型标识生成Non-3GPP网络的AS密钥。由于步骤512中,UE根据Non-3GPP网络的接入密钥也生成了Non-3GPP网络的AS密钥,在UE和AP均生成了Non-3GPP网络的AS密钥之后,UE和AP可以利用生成的Non-3GPP网络的AS密钥进行空口安全激活过程,完成AS安全上下文的协商和激活,并执行WLAN网络下的四次握手(4-way handshake)流程。该AS密钥的计算公式为:
PMK=KDF(K,L1,“WLAN”);
其中,PMK为Non-3GPP网络的AS密钥,K为Non-3GPP网络的接入密钥,L1为根据UE的能力信息确定的密码算法所对应的算法标识符,“WLAN”为Non-3GPP网络的类型标识,KDF指示采用L1对应的算法。
步骤514、若第二NAS验证码与第一NAS验证码不相同,则MME对UE进行安全认证。
其中,MME对UE进行安全认证,可以包括:MME通过AP向UE发送认证消息;MME通过AP接收UE发送的针对认证消息的认证响应消息。其中,认证消息可以包括AKA认证挑战消息和NAS安全模式命令(英文:Security Mode Command;简称:SMC)消息。针对认证消息的认证响应消息可以包括AKA认证响应消息和NAS安全模式完成(英文:security mode complete;简称:SMP)消息。因此,如图4-3所示,MME对UE进行安全认证具体可以包括:
步骤5141、MME向AP发送AKA认证挑战消息。
MME向AP发送携带有AKA认证挑战消息的EAP消息。
步骤5142、AP向UE发送AKA认证挑战消息。
AP向UE发送携带有AKA认证挑战消息的EAP消息。
步骤5143、UE向AP发送AKA认证响应消息。
UE向AP发送携带有AKA认证响应消息的EAP消息。
步骤5144、AP向MME发送AKA认证响应消息。
AP向MME发送携带有AKA认证响应消息的EAP消息。
步骤5145、MME向AP发送NAS SMC消息。
MME向AP发送携带有NAS SMC消息的EAP消息。
步骤5146、AP向UE发送NAS SMC消息。
AP向UE发送携带有NAS SMC消息的EAP消息。
步骤5147、UE向AP发送NAS SMP消息。
UE向AP发送携带有NAS SMP消息的EAP消息。
步骤5148、AP向MME发送NAS SMP消息。
AP向MME发送携带有NAS SMP消息的EAP消息。
若第二NAS验证码与第一NAS验证码不相同,MME对UE进行安全认证之后,MME再向AP发送Non-3GPP网络的接入密钥。
步骤515、若接入请求消息不包括NAS验证码,则MME对UE进行安全认证。
其中,MME对UE进行安全认证,可以包括:MME通过AP向UE发送认证消息;MME通过AP接收UE发送的针对认证消息的认证响应消息。MME对UE进行安全认证的具体过程可以参考步骤514中的说明,在此不再赘述。
若接入请求消息不包括NAS验证码,MME对UE进行安全认证之后,MME再向AP发送Non-3GPP网络的接入密钥。
步骤516、MME向AP发送接入成功消息。
需要说明的是,若第二NAS验证码与第一NAS验证码相同,MME可以通过AP向UE发送携带有接入成功消息的EAP消息。若第二NAS验证码与第一NAS验证码不相同,或者,若接入请求消息不包括NAS验证码,MME对UE进行安全认证之后,MME也可以通过AP向UE发送携带有接入成功消息的EAP消息。
步骤517、AP向UE发送接入成功消息。
MME通过AP向UE发送接入成功消息之后,MME再向AP发送Non-3GPP网络的接入密钥。
本发明实施例提供的UE的接入方法,有效降低了异系统空口的接入时延,简化认证路径,提高用户体验。通过UE和3GPP网络的NAS安全上下文来建立UE和Non-3GPP网络的安全上下文。由于在一些场景下,UE可能只位于Non-3GPP网络覆盖的地方,该UE的接入方法将UE和3GPP网络的第一网络设备之间交互的NAS消息封装在EAP消息中传输,完成了安全上下文的建立过程。该UE的接入方法是基于现有的3GPP网络的安全架构,通过现有的EPS AKA认证流程完成3GPP网络的第一网络设备对UE的认证。该UE的接入方法无需修改Non-3GPP网络的空口AS的安全过程,最大程度上重用了现有的AS安全机制。
特别的,本发明实施例提供的UE的接入方法的步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减,如步骤508可以与步骤509同时执行。又如步骤507中的Non-3GPP网络的类型标识可以携带在步骤503中的接入请求消息中,也可以携带在步骤5144中AKA认证响应消息中,因此,步骤507可以和步骤503同时执行,也可以和步骤5144同时执行。本发明实施例对该UE的接入方法步骤的先后顺序不做限定。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本发明的保护范围之内,因此不再赘述。
综上所述,本发明实施例提供的UE的接入方法,由于3GPP网络的第一网络设备能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一网络设备向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备1,该UE的接入设备1位于3GPP网络,该UE的接入设备可以为3GPP网络的第一网络设备,如图5所示,该UE的接入设备1包括:
第一接收单元501,用于通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,该接入请求消息包括UE的标识。
生成单元502,用于根据UE的标识以及UE的接入设备存储的UE的NAS安全上下文,生成第一NAS验证码。
检测单元503,用于在接入请求消息包括第二NAS验证码时,检测第二NAS验证码与第一NAS验证码是否相同,其中,第二NAS验证码为UE根据UE存储的NAS安全上下文生成的验证码。
第一发送单元504,用于在第二NAS验证码与第一NAS验证码相同时,向第二网络设备发送Non-3GPP网络的接入密钥。
综上所述,本发明实施例提供的UE的接入设备,由于第一接收单元能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一发送单元向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备1,该UE的接入设备1位于3GPP网络,该UE的接入设备可以为3GPP网络的第一网络设备,如图6-1所示,该UE的接入设备1包括:
第一接收单元501,用于通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,该接入请求消息包括UE的标识。
生成单元502,用于根据UE的标识以及UE的接入设备存储的UE的NAS安全上下文,生成第一NAS验证码。
检测单元503,用于在接入请求消息包括第二NAS验证码时,检测第二NAS验证码与第一NAS验证码是否相同,其中,第二NAS验证码为UE根据UE存储的NAS安全上下文生成的验证码。
第一发送单元504,用于在第二NAS验证码与第一NAS验证码相同时,向第二网络设备发送Non-3GPP网络的接入密钥。
确定单元505,用于根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
第一获取单元506,用于在UE的接入设备存储的UE的NAS安全上下文中获取3GPP网络的NAS序列号和3GPP网络的密钥。
第二接收单元507,用于接收第二网络设备发送的Non-3GPP网络的类型标识。
认证单元508,用于在第二NAS验证码与第一NAS验证码不相同时,对UE进行安全认证;或者,在接入请求消息不包括NAS验证码时,对UE进行安全认证。
第二发送单元509,用于通过第二网络设备向UE发送接入成功消息。
第二获取单元510,用于获取UE的能力信息,能力信息用于指示UE在Non-3GPP网络中的能力。
第三发送单元511,用于向第二网络设备发送能力信息,能力信息用于第二网络设备确定密码算法,密码算法用于第二网络设备生成Non-3GPP网络的AS密钥。
如图6-2所示,认证单元508,包括:
发送模块5081,用于通过第二网络设备向UE发送认证消息。
接收模块5082,用于通过第二网络设备接收UE发送的针对认证消息的认证响应消息。
可选的,第二网络设备为AP。
综上所述,本发明实施例提供的UE的接入设备,由于第一接收单元能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与第一网络设备根据UE的标识以及第一网络设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则第一发送单元向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备2,该UE的接入设备2位于Non-3GPP网络,该UE的接入设备可以为UE,如图7所示,该UE的接入设备2包括:
第一生成单元701,用于生成接入请求消息,该接入请求消息包括UE的接入设备的标识。
第一发送单元702,用于通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息。
综上所述,本发明实施例提供的UE的接入设备,由于第一发送单元能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备2,该UE的接入设备2位于Non-3GPP网络,该UE的接入设备可以为UE,如图8-1所示,该UE的接入设备2包括:
第一生成单元701,用于生成接入请求消息,该接入请求消息包括UE的接入设备的标识。
第一发送单元702,用于通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息。
确定单元703,用于根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
第二生成单元704,用于根据UE的接入设备存储的NAS安全上下文生成第二NAS验证码。
第一接收单元705,用于通过第二网络设备接收第一网络设备发送的认证消息,其中,认证消息为第一网络设备确定接入请求消息包括第二NAS验证码,且第二NAS验证码与第一NAS验证码不相同,或,接入请求消息不包括NAS验证码时,第一网络设备生成的,第一NAS验证码是第一网络设备根据UE的接入设备的标识以及第一网络设备存储的UE的接入设备的NAS安全上下文生成的验证码。
第二发送单元706,用于通过第二网络设备向第一网络设备发送针对认证消息的认证响应消息。
第二接收单元707,用于UE的接入设备通过第二网络设备接收第一网络设备发送的接入成功消息。
第三生成单元708,用于根据Non-3GPP网络的接入密钥生成Non-3GPP网络的AS密钥。
如图8-2所示,第三生成单元708,包括:
接收模块7081,用于接收第二网络设备发送的密码算法。
生成模块7082,用于根据密码算法、Non-3GPP网络的接入密钥和Non-3GPP网络的类型标识,生成Non-3GPP网络的AS密钥。
可选的,第二网络设备为AP。
综上所述,本发明实施例提供的UE的接入设备,由于第一发送单元能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备3,该UE的接入设备3位于3GPP网络,该UE的接入设备可以为3GPP网络的第一网络设备,如图9所示,该UE的接入设备3包括:接收器141、发射器142、处理器143(例如CPU)、总线144和存储器145;总线144用于连接接收器141、发射器142、处理器143和存储器145,处理器143用于执行存储器145中存储的程序1451。存储器145可能包含高速随机存取存储器(英文:Random Access Memory;简称:RAM),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
接收器141,用于通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,该接入请求消息包括UE的标识。
处理器143,用于根据UE的标识以及UE的接入设备存储的UE的NAS安全上下文,生成第一NAS验证码。
处理器143,还用于在接入请求消息包括第二NAS验证码时,检测第二NAS验证码与第一NAS验证码是否相同,其中,第二NAS验证码为UE根据UE存储的NAS安全上下文生成的验证码。
发射器142,用于在第二NAS验证码与第一NAS验证码相同时,向第二网络设备发送Non-3GPP网络的接入密钥。
综上所述,本发明实施例提供的UE的接入设备,由于接收器能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与UE的接入设备根据UE的标识以及UE的接入设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则发射器向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
可选的,处理器143,还用于:根据3GPP网络的NAS序列号、3GPP网络的密钥和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
处理器143,还用于:在UE的接入设备存储的UE的NAS安全上下文中获取3GPP网络的NAS序列号和3GPP网络的密钥。
接收器141,还用于:接收第二网络设备发送的Non-3GPP网络的类型标识。
处理器143,还用于:在第二NAS验证码与第一NAS验证码不相同时,对UE进行安全认证;或者,在接入请求消息不包括NAS验证码时,对UE进行安全认证。
处理器143具体用于:通过第二网络设备向UE发送认证消息;通过第二网络设备接收UE发送的针对认证消息的认证响应消息。
发射器142,还用于:通过第二网络设备向UE发送接入成功消息。
处理器143,还用于:获取UE的能力信息,能力信息用于指示UE在Non-3GPP网络中的能力。
发射器142,还用于:向第二网络设备发送能力信息,能力信息用于第二网络设备确定密码算法,密码算法用于第二网络设备生成Non-3GPP网络的AS密钥。
可选的,第二网络设备为AP。
综上所述,本发明实施例提供的UE的接入设备,由于接收器能够通过Non-3GPP网络的第二网络设备接收UE发送的接入请求消息,若接入请求消息包括第二NAS验证码,且第二NAS验证码与UE的接入设备根据UE的标识以及UE的接入设备存储的UE的NAS安全上下文生成的第一NAS验证码相同,则发射器向第二网络设备发送Non-3GPP网络的接入密钥,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入设备4,该UE的接入设备4位于Non-3GPP网络,该UE的接入设备可以为UE,如图10-1所示,该UE的接入设备4包括:发射器121、处理器122、总线123和存储器124。总线123用于连接发射器121、处理器122和存储器124,处理器122用于执行存储器124中存储的程序1241。
处理器122,用于生成接入请求消息,该接入请求消息包括UE的接入设备的标识。
发射器121,用于通过Non-3GPP网络的第二网络设备向第三代合作伙伴计划3GPP网络的第一网络设备发送接入请求消息。
综上所述,本发明实施例提供的UE的接入设备,由于发射器能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
可选的,处理器122,还用于:根据3GPP网络的NAS序列号、3GPP网络的密钥和预设的Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
处理器122,还用于:根据UE的接入设备存储的NAS安全上下文生成第二NAS验证码。
如图10-2所示,该设备还包括:接收器125,用于通过第二网络设备接收第一网络设备发送的认证消息,其中,认证消息为第一网络设备确定接入请求消息包括第二NAS验证码,且第二NAS验证码与第一NAS验证码不相同,或,接入请求消息不包括NAS验证码时,第一网络设备生成的,第一NAS验证码是第一网络设备根据UE的接入设备的标识以及第一网络设备存储的UE的接入设备的NAS安全上下文生成的验证码。图10-2中的其他标号可以参考图10-1中标号进行说明。
相应的,发射器121,还用于通过第二网络设备向第一网络设备发送针对认证消息的认证响应消息。
可选的,接收器125,还用于:通过第二网络设备接收第一网络设备发送的接入成功消息。
处理器122,还用于:根据Non-3GPP网络的接入密钥生成Non-3GPP网络的AS密钥。
处理器122具体用于:接收第二网络设备发送的密码算法;根据密码算法、接入密钥和Non-3GPP网络的类型标识,生成Non-3GPP网络的AS密钥。
可选的,第二网络设备为AP。
综上所述,本发明实施例提供的UE的接入设备,由于发射器能够通过Non-3GPP网络的第二网络设备向3GPP网络的第一网络设备发送接入请求消息,相较于相关技术,无需AAA服务器对UE进行认证,降低了认证过程中产生的时延,因此,降低了整体通信的时延。
本发明实施例提供一种UE的接入系统,该UE的接入系统包括:
图5或图6-1所示的UE的接入设备1;
图7或图8-1所示的UE的接入设备2。
本发明实施例提供一种UE的接入系统,该UE的接入系统包括:
图9所示的UE的接入设备3;
图10-1或图10-2所示的UE的接入设备4。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理包括,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解实现上述实施例的全部或者部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或者光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (25)

1.一种用户设备的接入方法,其特征在于,所述方法包括:
用户设备根据所述用户设备存储的非接入层NAS安全上下文生成第二NAS验证码;其中,所述NAS安全上下文是所述用户设备与3GPP网络认证成功后所述用户设备与3GPP网络中的第一网络设备共享的一套上下文;
所述用户设备生成接入请求消息,所述接入请求消息包括所述用户设备的标识以及所述第二NAS验证码;
所述用户设备通过非3GPP的第二网络设备向所述第一网络设备发送所述接入请求消息;
所述用户设备通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
2.根据权利要求1所述的方法,其特征在于,所述用户设备根据所述NAS安全上下文中的3GPP网络的密钥或者NAS算法生成所述第二NAS验证码。
3.根据权利要求2所述的方法,其特征在于,所述接入请求消息为非接入层NAS消息。
4.根据权利要求3所述的方法,其特征在于,所述接入请求消息携带在扩展认证EAP消息中进行传输。
5.根据权利要求1所述的方法,其特征在于,所述第一网络设备为所述3GPP网络中的核心网中负责移动性管理功能的网络设备。
6.根据权利要求5所述的方法,其特征在于,所述负责移动性管理功能的网络设备是移动管理实体。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户设备根据所述安全上下文中的3GPP网络的密钥、所述安全上下文中的NAS序列号和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
8.根据权利要求7所述的方法,其特征在于,NAS序列号是上行NAS序列号,所述Non-3GPP网络的类型标识预先存储在所述用户设备上。
9.一种用户设备,其特征在于,用户设备包括:
第二生成单元,用于根据所述用户设备存储的非接入层NAS安全上下文生成第二NAS验证码;其中,所述NAS安全上下文是所述用户设备与3GPP网络认证成功后所述用户设备与3GPP网络中的第一网络设备共享的一套上下文;
第一生成单元,用于生成接入请求消息,所述接入请求消息包括所述用户设备的标识以及所述第二NAS验证码;
第一发送单元,用于通过非3GPP的第二网络设备向所述第一网络设备发送所述接入请求消息;
第二接收单元,用于通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
10.根据权利要求9所述的用户设备,其特征在于,
所述第二生成单元,用于根据所述NAS安全上下文中的3GPP网络的密钥或者NAS算法生成所述第二NAS验证码。
11.根据权利要求10所述的用户设备,其特征在于,所述接入请求消息为非接入层NAS消息。
12.根据权利要求11所述的用户设备,其特征在于,所述接入请求消息携带在扩展认证EAP消息中进行传输。
13.根据权利要求9所述的用户设备,其特征在于,所述第一网络设备为所述3GPP网络中的核心网中负责移动性管理功能的网络设备。
14.根据权利要求13所述的用户设备,其特征在于,所述负责移动性管理功能的网络设备是移动管理实体。
15.根据权利要求9所述的用户设备,其特征在于,所述用户设备还包括确定单元;
所述确定单元,用于根据所述安全上下文中的3GPP网络的密钥、所述安全上下文中的NAS序列号和Non-3GPP网络的类型标识,确定Non-3GPP网络的接入密钥。
16.根据权利要求15所述的用户设备,其特征在于,NAS序列号是上行NAS序列号,所述Non-3GPP网络的类型标识预先存储在所述用户设备上。
17.一种用户设备,其特征在于,所述用户设备包括处理器、发射器和接收器;
所述处理器,用于根据所述用户设备存储的非接入层NAS安全上下文生成第二NAS验证码;其中,所述NAS安全上下文是所述用户设备与3GPP网络认证成功后所述用户设备与3GPP网络中的第一网络设备共享的一套上下文;
所述处理器,还用于生成接入请求消息,所述接入请求消息包括所述用户设备的标识以及所述第二NAS验证码;
所述发射器,用于通过非3GPP的第二网络设备向所述第一网络设备发送所述接入请求消息;
所述接收器,用于通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
18.根据权利要求17所述的用户设备,其特征在于,所述用户设备根据所述NAS安全上下文中的3GPP网络的密钥或者NAS算法生成所述第二NAS验证码。
19.根据权利要求18所述的用户设备,其特征在于,所述接入请求消息为非接入层NAS消息。
20.根据权利要求19所述的用户设备,其特征在于,所述接入请求消息携带在扩展认证EAP消息中进行传输。
21.根据权利要求17所述的用户设备,其特征在于,所述第一网络设备为所述3GPP网络中的核心网中负责移动性管理功能的网络设备。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序,当所述程序被执行时,处理器执行以下操作:
根据用户设备存储的非接入层NAS安全上下文生成第二NAS验证码;其中,所述NAS安全上下文是所述用户设备与3GPP网络认证成功后所述用户设备与3GPP网络中的第一网络设备共享的一套上下文;
生成接入请求消息,所述接入请求消息包括所述用户设备的标识以及所述第二NAS验证码;
通过非3GPP的第二网络设备向所述第一网络设备发送所述接入请求消息;
通过所述第二网络设备接收所述第一网络设备发送的接入成功消息。
23.根据权利要求22所述的计算机可读存储介质,其特征在于,所述用户设备根据所述NAS安全上下文中的3GPP网络的密钥或者NAS算法生成所述第二NAS验证码。
24.根据权利要求23所述的计算机可读存储介质,其特征在于,所述接入请求消息为非接入层NAS消息。
25.根据权利要求24所述的计算机可读存储介质,其特征在于,所述接入请求消息携带在扩展认证EAP消息中进行传输。
CN201810895182.1A 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统 Active CN108848112B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810895182.1A CN108848112B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/CN2015/090305 WO2017049461A1 (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统
CN201810895182.1A CN108848112B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统
CN201580067980.XA CN107005927B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201580067980.XA Division CN107005927B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Publications (2)

Publication Number Publication Date
CN108848112A CN108848112A (zh) 2018-11-20
CN108848112B true CN108848112B (zh) 2019-07-12

Family

ID=58385478

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201580067980.XA Active CN107005927B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统
CN201810895182.1A Active CN108848112B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201580067980.XA Active CN107005927B (zh) 2015-09-22 2015-09-22 用户设备ue的接入方法、设备及系统

Country Status (6)

Country Link
US (1) US11178584B2 (zh)
EP (2) EP3340690B1 (zh)
JP (1) JP6727294B2 (zh)
KR (1) KR102024653B1 (zh)
CN (2) CN107005927B (zh)
WO (1) WO2017049461A1 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3533245A1 (en) * 2016-10-31 2019-09-04 Telefonaktiebolaget LM Ericsson (PUBL) Methods supporting authentication in wireless communication networks and related network nodes and wireless terminals
CN110583049B (zh) * 2017-05-03 2021-12-21 瑞典爱立信有限公司 Ran中的ue处理
US10771978B2 (en) 2017-05-08 2020-09-08 Telefonaktiebolaget Lm Ericsson (Publ) Methods providing security for multiple NAS connections using separate counts and related network nodes and wireless terminals
EP3691317A4 (en) * 2017-09-27 2021-06-02 Nec Corporation COMMUNICATION TERMINAL, CENTRAL NETWORK DEVICE, CENTRAL NETWORK NODE, NETWORK NODE AND KEY BYPASS PROCESS
CN109361655B (zh) 2017-11-17 2019-08-16 华为技术有限公司 一种安全保护的方法及装置
WO2019122495A1 (en) * 2017-12-21 2019-06-27 Nokia Solutions And Networks Oy Authentication for wireless communications system
CN110048988B (zh) * 2018-01-15 2021-03-23 华为技术有限公司 消息的发送方法和装置
CN110225517B (zh) * 2018-04-08 2020-07-14 华为技术有限公司 一种信息发送方法、装置、系统以及计算机可读存储介质
MX2021000159A (es) * 2018-06-30 2021-05-27 Nokia Solutions & Networks Oy Manejo de fallos de acceso no 3gpp a una 5gcn no permitido.
US20210306849A1 (en) * 2018-08-09 2021-09-30 Nokia Technologies Oy Method and apparatus for security realization of connections over heterogeneous access networks
WO2020073014A1 (en) 2018-10-06 2020-04-09 Nokia Technologies Oy Systems and method for secure updates of configuration parameters provisioned in user equipment
CN111194095B (zh) * 2018-11-09 2022-03-15 维沃移动通信有限公司 接入控制的方法和设备
CN111182580B (zh) * 2018-11-16 2023-02-24 维沃移动通信有限公司 业务传输方法、终端和网络侧设备
CN111263424B (zh) * 2018-12-04 2022-03-08 维沃移动通信有限公司 一种接入网络的控制方法及通信设备
JP7351498B2 (ja) * 2019-02-25 2023-09-27 株式会社closip 通信システム及び通信制御方法
US11419174B2 (en) * 2019-02-26 2022-08-16 Mediatek Inc. Connection recovery method for recovering a connection between a communications apparatus and a data network and the associated communications apparatus
CN114513785B (zh) * 2022-02-22 2023-10-20 新华三技术有限公司 一种终端认证方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101083839A (zh) * 2007-06-29 2007-12-05 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101420695A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种基于无线局域网的3g用户快速漫游认证方法
CN101577909A (zh) * 2008-05-05 2009-11-11 大唐移动通信设备有限公司 非3gpp接入系统信任类型的获取方法、系统及装置
CN102047722A (zh) * 2007-06-18 2011-05-04 摩托罗拉移动公司 使用资源准备的从非3gpp接入到3gpp接入的rat间切换
CN103609154A (zh) * 2012-06-08 2014-02-26 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
CN104067665A (zh) * 2013-01-18 2014-09-24 华为技术有限公司 一种用户设备接入网络的方法及装置
CN104080156A (zh) * 2013-03-29 2014-10-01 电信科学技术研究院 一种开启终端3gpp功能的方法及装置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674497A (zh) * 2004-03-26 2005-09-28 华为技术有限公司 Wlan终端接入移动网络的认证方法
WO2009018164A2 (en) * 2007-07-27 2009-02-05 Interdigital Patent Holdings, Inc. Method and apparatus for handling mobility between non-3gpp to 3gpp networks
AU2008301284B2 (en) 2007-09-17 2013-05-09 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system
CN101459904B (zh) * 2008-06-17 2010-12-29 中兴通讯股份有限公司 Aaa服务器、p-gw、pcrf、用户设备标识的获取方法和系统
US9276909B2 (en) * 2008-08-27 2016-03-01 Qualcomm Incorporated Integrity protection and/or ciphering for UE registration with a wireless network
KR101475349B1 (ko) * 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN101959281A (zh) * 2009-07-15 2011-01-26 华为技术有限公司 网络接入控制方法、接入控制设备及网络接入系统
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
US20130267203A1 (en) * 2012-04-05 2013-10-10 Zu Qiang Sending plmn id at a shared wifi access
US20140071907A1 (en) * 2012-05-04 2014-03-13 Telefonaktiebolaget L M Ericsson (Publ) Method and Apparatus for Handling PDN Connections
EP2952030A1 (en) * 2013-01-29 2015-12-09 Telefonaktiebolaget L M Ericsson (Publ) Controlling access of a user equipment to services
WO2015068472A1 (ja) * 2013-11-06 2015-05-14 ソニー株式会社 端末装置、情報処理装置及び情報提供装置
US9426649B2 (en) * 2014-01-30 2016-08-23 Intel IP Corporation Apparatus, system and method of securing communications of a user equipment (UE) in a wireless local area network
CN104540185B (zh) * 2014-12-15 2019-02-05 上海华为技术有限公司 一种接入网络的方法、接入网关及接入控制设备
CN104837182B (zh) * 2015-06-01 2018-06-01 联想(北京)有限公司 接入控制方法、控制方法、接入控制装置和控制装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102047722A (zh) * 2007-06-18 2011-05-04 摩托罗拉移动公司 使用资源准备的从非3gpp接入到3gpp接入的rat间切换
CN101083839A (zh) * 2007-06-29 2007-12-05 中兴通讯股份有限公司 在不同移动接入系统中切换时的密钥处理方法
CN101577909A (zh) * 2008-05-05 2009-11-11 大唐移动通信设备有限公司 非3gpp接入系统信任类型的获取方法、系统及装置
CN101420695A (zh) * 2008-12-16 2009-04-29 天津工业大学 一种基于无线局域网的3g用户快速漫游认证方法
CN103609154A (zh) * 2012-06-08 2014-02-26 华为技术有限公司 一种无线局域网接入鉴权方法、设备及系统
CN104067665A (zh) * 2013-01-18 2014-09-24 华为技术有限公司 一种用户设备接入网络的方法及装置
CN104080156A (zh) * 2013-03-29 2014-10-01 电信科学技术研究院 一种开启终端3gpp功能的方法及装置

Also Published As

Publication number Publication date
CN108848112A (zh) 2018-11-20
EP3657835B1 (en) 2023-09-20
WO2017049461A1 (zh) 2017-03-30
JP6727294B2 (ja) 2020-07-22
KR102024653B1 (ko) 2019-09-24
JP2018532325A (ja) 2018-11-01
US11178584B2 (en) 2021-11-16
EP3340690B1 (en) 2019-11-13
KR20180057665A (ko) 2018-05-30
CN107005927A (zh) 2017-08-01
EP3340690A1 (en) 2018-06-27
US20180220364A1 (en) 2018-08-02
EP3657835A1 (en) 2020-05-27
EP3340690A4 (en) 2018-07-18
CN107005927B (zh) 2022-05-31

Similar Documents

Publication Publication Date Title
CN108848112B (zh) 用户设备ue的接入方法、设备及系统
US10382206B2 (en) Authentication mechanism for 5G technologies
US10904753B2 (en) Systems and methods for authentication
CN106134231B (zh) 密钥生成方法、设备及系统
CN101500229B (zh) 建立安全关联的方法和通信网络系统
CN109804651A (zh) 通过独立的非3gpp接入网络的核心网络附接
CN109644134A (zh) 用于大型物联网组认证的系统和方法
CN107800539A (zh) 认证方法、认证装置和认证系统
WO2011084419A1 (en) Secure multi - uim authentication and key exchange
CN104581710B (zh) 一种在空口上安全传输lte用户imsi的方法和系统
CN105323754B (zh) 一种基于预共享密钥的分布式鉴权方法
CN109788480A (zh) 一种通信方法及装置
CN103795728A (zh) 一种隐藏身份且适合资源受限终端的eap认证方法
CN107396350A (zh) 基于sdn‑5g网络架构的sdn组件间安全保护方法
Nakhila et al. Parallel active dictionary attack on ieee 802.11 enterprise networks
CN107786978B (zh) 基于量子加密的nfc认证系统
CN103167493A (zh) 本地转发模式下无线接入控制器集中认证的方法及系统
CN102752298A (zh) 安全通信方法、终端、服务器及系统
CN103200004B (zh) 发送消息的方法、建立安全连接的方法、接入点和工作站
CN102685742A (zh) 一种wlan接入认证方法和装置
CN102026184B (zh) 一种鉴权方法及鉴权系统以及相关设备
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
Pomak et al. Enterprise WiFi Hotspot Authentication with Hybrid Encryption on NFC-Enabled Smartphones
CN104053153A (zh) 无线Mesh网络接入认证的方法和系统
CN102740291A (zh) 一种实现wapi鉴证的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant