CN109391941B - 一种接入鉴权的方法及装置 - Google Patents
一种接入鉴权的方法及装置 Download PDFInfo
- Publication number
- CN109391941B CN109391941B CN201710657053.4A CN201710657053A CN109391941B CN 109391941 B CN109391941 B CN 109391941B CN 201710657053 A CN201710657053 A CN 201710657053A CN 109391941 B CN109391941 B CN 109391941B
- Authority
- CN
- China
- Prior art keywords
- information
- eap
- authentication
- nas
- nas information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种接入鉴权的方法及装置,所述方法包括:网关设备接收终端设备发送的第一鉴权请求,第一鉴权请求包括的第一EAP信息中包括第一NAS信息;网关设备向接入和移动性管理网元发送第一NAS信息,第一NAS信息包括第二EAP信息,第一NAS信息用于触发对所述终端设备的EAP鉴权;网关设备从接入和移动性管理网元获取对终端设备的EAP鉴权结果;网关设备向终端设备发送第二NAS信息,第二NAS信息包括EAP鉴权结果;网关设备向终端设备发送第一鉴权请求的第一鉴权响应。本申请实施例只需要在网关设备和接入和移动性管理网元之间进行协调,即可进行完整的EAP鉴权流程。
Description
技术领域
本申请实施例涉及无线通信技术领域,尤其涉及一种接入鉴权的方法及装置。
背景技术
第五代(英文全称:5-generation,英文简称:5G)核心网允许终端设备从第三代合作伙伴计划(英文全称:3rd generation Partnership Project,英文简称:3GPP)接入网络或者非3GPP接入网络接入。当终端设备从非3GPP接入网络接入核心网时,现有技术并不涉及如何实现核心网设备对终端设备的鉴权。
发明内容
本申请实施例提供了一种接入鉴权的方法及装置,能够解决现有技术中终端设备从非3GPP接入网络接入核心网时,无法实现核心网设备对终端设备的鉴权的问题。
本申请实施例第一方面提供一种接入鉴权的方法,所述方法包括:
网关设备接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息。
所述网关设备向接入和移动性管理网元发送所述第一NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权。
所述网关设备从所述接入和移动性管理网元获取核心网对所述终端设备的EAP鉴权结果,再向所述终端设备发送第二NAS信息,所述第二NAS信息包括所述EAP鉴权结果。
所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
相较于现有技术,本申请实施例提供的方案中,网关设备接收终端设备发送的第一鉴权请求后,在鉴权过程中,所述网关设备将携带第二EAP信息的第一NAS信息发送给接入和移动性管理网元,并将从接入和移动性管理网元获取的EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于NAS信息和EAP信息完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。
在一种可能的设计中,所述网关设备从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,包括:
包括以下实现方式之一:
所述网关设备从所述接入和移动性管理网元接收第一消息,所述第一消息中包括所述EAP鉴权结果和安全命令模式。第一消息可以为N2消息。
或者,所述网关设备从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
或者,所述网关设备从所述接入和移动性管理网元接收第三NAS信息,所述第三NAS信息包括所述EAP鉴权结果。可以认为第二NAS信息是第三NAS信息。
在一种可能的设计中,所述网关设备向所述终端设备发送第二NAS信息,包括:
所述网关设备向所述终端设备发送第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一种可能的设计中,所述第一NAS信息为注册请求信息,相应的,所述网关设备发送给所述终端设备的所述第二NAS信息包括所述终端设备的注册响应时,所述注册响应中可包括所述EAP鉴权结果。
在一种可能的设计中,所述第二NAS信息包括指示信息,所述指示信息用于指示所述第二NAS信息中携带所述EAP鉴权结果。
在一种可能的设计中,所述网关设备向所述终端设备发送第二NAS信息之后,所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,所述方法还包括:
所述网关设备接收所述接入和移动性管理网元发送的对所述第一NAS信息的响应,并向所述终端设备发送所述第一NAS信息的响应。
在一种可能的设计中,所述第一NAS信息位于所述第一EAP信息的载荷中。
可选的,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息中携带注册指示信息,所述注册指示信息的取值为初始注册的值。
在一种可能的设计中,所述网关设备向所述终端设备发送第二NAS信息之后,所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,所述方法还包括:
所述网关设备接收所述终端设备发送的第四NAS信息,所述第四NAS信息是所述终端设备对所述第二NAS信息的响应。
所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
本申请实施例第二方面提供一种接入鉴权的方法,所述方法包括:
终端设备向网关设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息用于触发所述终端设备的注册流程。
所述终端设备接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括核心网对所述终端设备的EAP鉴权结果。
所述终端设备接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
在一些可能的设计中,所述终端设备接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括所述核心网对所述终端设备的EAP鉴权结果,包括:
所述终端设备接收所述网关设备发送的所述第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一些可能的设计中,所述第一NAS信息包括注册请求信息。
在一些可能的设计中,所述第二NAS信息包括注册响应。
在一些可能的设计中,所述终端设备接收所述网关设备发送的第二NAS信息之后,所述终端设备接收所述网关设备发送的所述第一鉴权响应之前,所述方法还包括:
所述终端设备向所述网关设备发送第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
在一些可能的设计中,所述终端设备接收所述网关设备发送的第二NAS信息之后,所述终端设备接收所述网关设备发送的所述第一鉴权响应之前,所述方法还包括:
所述终端设备接收所述网关设备发送的所述第一NAS信息的响应。
在一些可能的设计中,所述第一NAS信息位于所述第一EAP信息的载荷中。
在一些可能的设计中,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息包括注册指示信息,所述注册指示信息的取值为初始注册的值。
本申请实施例第三方面提供一种接入鉴权的方法,所述方法包括:
接入和移动性管理网元接收网关设备发送的第一非接入层NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权。
所述接入和移动性管理网元根据所述第二EAP信息向鉴权服务器发送鉴权请求。
所述接入和移动性管理网元接收来自所述鉴权服务器对所述终端设备的EAP鉴权结果。
所述接入和移动性管理实体向所述网关设备发送所述EAP鉴权结果。
相较于现有技术,本申请实施例提供的方案中,接入和移动性管理网元接收到来自终端设备的第一NAS信息后,核心网对该终端设备进行EAP鉴权,并将EAP鉴权结果返回给网关设备。使得网关设备将该EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于NAS信息和EAP信息完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。这样无需通过增强终端设备,只需要在网关设备和AMF之间进行协调,即可进行完整的注册流程和EAP鉴权流程。
在一种可能的设计中,所述接入和移动性管理实体向所述网关设备发送所述EAP鉴权结果,包括以下实现方式之一:
所述接入和移动性管理实体向所述网关设备发送第一消息,所述第一消息中包括所述EAP鉴权结果和安全模式命令;
或者,所述接入和移动性管理网元向所述网关设备发送安全模式命令,所述安全模式命令包括所述终端设备的EAP鉴权结果;
或者,所述接入和移动性管理网元向所述网关设备发送第三NAS信息,所述第三NAS信息包括所述终端设备的EAP鉴权结果。
本申请实施例提供多样化的信息携带方式,为EAP鉴权流程中的信息交互提供便利、有效的传输。也可以灵活的选择对各种类型的信息进行不同的封装处理,以适应多样化的信息交互。
在一些可能的设计中,所述第一NAS信息为注册请求,所述接入和移动性管理网元向所述网关设备发送所述EAP鉴权结果,包括:
所述接入和移动性管理网元向所述网关设备发送所述第一NAS信息的响应,所述第一NAS信息的响应包括所述EAP鉴权结果。
在一种可能的设计中,所述网关设备为非3GPP接入网的网关设备。
本申请实施例第四方面还提供一种接入的方法,所述方法包括:
网关设备接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述重注册指示信息用于指示所述网关设备不发起对所述终端设备的EAP鉴权流程。
所述网关设备根据所述第一NAS信息向接入和移动性管理网元发送注册请求;
所述网关设备接收所述接入和移动性管理网元发送的注册响应;
所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
本申请实施例第五方面还提供一种接入的方法,所述方法包括:
终端设备向网关设备发送第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述第一NAS信息用于指示所述网关设备发起注册流程且不发起对所述终端设备的EAP鉴权流程;
所述注册流程完成后,所述终端设备接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
本申请实施例第六方面提供一种接入鉴权的装置,具有实现对应于上述第一方面提供由网关设备执行的接入鉴权的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述接入鉴权的装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息;
所述收发模块还用于向接入和移动性管理网元发送所述第一NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权;
所述收发模块还用于从所述接入和移动性管理网元获取所述核心网对所述终端设备的EAP鉴权结果;
所述收发模块还用于向所述终端设备发送第二NAS信息,所述第二NAS信息包括所述EAP鉴权结果;
所述收发模块还用于向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
在一些可能的设计中,所述收发模块从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,包括以下实现方式之一:
从所述接入和移动性管理网元接收第一消息,所述第一消息中包括所述EAP鉴权结果和安全命令模式;
或者,从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果;
或者,从所述接入和移动性管理网元接收第三NAS信息,所述第三NAS信息包括所述EAP鉴权结果。
在一些可能的设计中,所述收发模块具体用于:
向所述终端设备发送第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一些可能的设计中,所述第一NAS信息包括注册请求信息。
在一些可能的设计中,所述第二NAS信息包括注册响应。
在一些可能的设计中,所述第二NAS信息包括指示信息,所述指示信息用于指示所述第二NAS信息中携带所述EAP鉴权结果。
在一些可能的设计中,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述终端设备发送的第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
在一些可能的设计中,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述接入和移动性管理网元发送的对所述第一NAS信息的响应;
向所述终端设备发送所述第一NAS信息的响应。
在一些可能的设计中,所述第一NAS信息位于所述第一EAP信息的载荷中。
在一些可能的设计中,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息中携带注册指示信息,所述注册指示信息的取值为初始注册的值。
本申请实施例第七方面提供一种终端设备,具有实现对应于上述第二方面提供的接入鉴权的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述终端设备可包括:
所述装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于向网关设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息用于触发所述终端设备的注册流程;
所述收发模块还用于接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括核心网对所述终端设备的EAP鉴权结果;
所述收发模块还用于接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
在一些可能的设计中,所述收发模块具体用于:
接收所述网关设备发送的所述第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一些可能的设计中,所述第一NAS信息包括注册请求信息。
在一些可能的设计中,所述第二NAS信息包括注册响应。
在一些可能的设计中,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
向所述网关设备发送第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
在一些可能的设计中,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
接收所述网关设备发送的所述第一NAS信息的响应。
在一些可能的设计中,所述第一NAS信息位于所述第一EAP信息的载荷中。
在一些可能的设计中,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息包括注册指示信息,所述注册指示信息的取值为初始注册的值。
本申请实施例第八方面提供一种接入鉴权的装置,具有实现上述接入和移动性管理网元执行的接入鉴权的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述接入鉴权的装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作。
所述收发模块,用于接收网关设备发送的第一非接入层NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权。
所述收发模块还用于根据所述第二EAP信息向鉴权服务器发送鉴权请求。
所述收发模块还用于接收来自所述鉴权服务器对所述终端设备的EAP鉴权结果。
所述收发模块还用于向所述网关设备发送所述EAP鉴权结果。
在一种可能的设计中,所述收发模块向所述网关设备发送所述EAP鉴权结果,包括以下实现方式之一:
向所述网关设备发送第一消息,所述第一消息中包括所述EAP鉴权结果和安全模式命令;
或者,向所述网关设备发送安全模式命令,所述安全模式命令包括所述终端设备的EAP鉴权结果;
或者,向所述网关设备发送第三NAS信息,所述第三NAS信息包括所述终端设备的EAP鉴权结果。
本申请实施例提供多样化的信息携带方式,为EAP鉴权流程中的信息交互提供便利、有效的传输。也可以灵活的选择对各种类型的信息进行不同的封装处理,以适应多样化的信息交互。
在一些可能的设计中,所述第一NAS信息为注册请求,所述收发模块具体:
向所述网关设备发送所述第一NAS信息的响应,所述第一NAS信息的响应包括所述EAP鉴权结果。
在一种可能的设计中,所述网关设备为非3GPP接入网的网关设备。
本申请实施例第九方面提供一种接入鉴权的装置,具有实现对应于上述第四方面提供的接入的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述接入鉴权的装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述重注册指示信息用于指示所述网关设备不发起对所述终端设备的EAP鉴权流程。
所述收发模块还用于根据所述第一NAS信息向接入和移动性管理网元发送注册请求;
所述收发模块还用于接收所述接入和移动性管理网元发送的注册响应;
所述收发模块还用于向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
本申请实施例第十方面提供一种终端设备,具有实现对应于上述第五方面提供的接入鉴权的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述终端设备包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于向网关设备发送第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述第一NAS信息用于指示所述网关设备发起注册流程且不发起对所述终端设备的EAP鉴权流程;
所述注册流程完成后,所述收发模块还用于接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
本申请实施例又一方面提供了一种接入鉴权的装置,其包括至少一个连接的处理器、存储器和收发器,其中,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中的程序代码来使得收发器执行上述各方面所述的方法。
本申请实施例又一方面提供了一种计算机存储介质,其包括指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
本申请实施例又一方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。
附图说明
图1为本申请实施例中涉及的系统架构的一种示意图;
图2为本申请实施例中接入鉴权的一种流程示意图;
图3为本申请实施例中重注册的一种流程示意图;
图4为本申请实施例中接入鉴权的另一种流程示意图;
图5为本申请实施例中接入鉴权的另一种流程示意图;
图6为本申请实施例中接入鉴权的另一种流程示意图;
图7为本申请实施例中接入鉴权的另一种流程示意图;
图8为本申请实施例中重注册的另一种流程示意图;
图9为本申请实施例中接入鉴权的装置的一种结构示意图;
图10为本申请实施例中终端设备的一种结构示意图;
图11为本申请实施例中接入鉴权的装置的另一种结构示意图。
具体实施方式
本申请实施例的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请实施例中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请实施例中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请实施例方案的目的。
本申请实施例供了一种接入鉴权的方法及装置。本申请的实施例可以用于终端设备从非3GPP接入网络接入核心网的场景。非3GPP接入网络可以是可信非3GPP接入网,也可以是非可信非3GPP接入网。本申请实施例所涉及的网元主要包括终端设备、网关设备和接入和移动性管理网元,本申请实施例中的网关设备为非3GPP接入网的网关设备。
图1为本申请实施例中涉及的系统架构的一种示意图。终端设备可以从非3GPP接入网以及网关设备接入核心网,终端设备也可以从3GPP接入网接入核心网。具体的,网关设备和接入和移动性管理网元之间通过N2接口进行信息交互。网关设备和用户面网元之间通过N3接口进行会话传输。用户面网元通过N3接口与终端设备传输业务数据。用户面网元与会话管理网元之间通过N4接口进行信息交互,会话管理网元与接入和移动性管理网元之间通过N11接口进行信息交互。
本申请实施例采用扩展认证协议(英文全称:extensible authenticationprotocol,英文简称:EAP)in NAS in EAP信息结构的鉴权流程。具体来说,终端设备将非接入层(英文全称:non-access stratum,英文简称:NAS)信息放在EAP-5G载荷(payload)中传递到网关设备,5G核心网使用EAP-认证和密钥协商协议(英文全称:authentication andkey agreement,英文简称:AKA)/EAP-AKA’对终端设备进行鉴权。
终端设备与网关设备之间的消息交互中存在两层EAP鉴权的流程。一层EAP鉴权流程是指终端设备到核心网的鉴权流程,为便于后续引用,可将该层EAP鉴权流程简称为A层EAP鉴权流程;另一层EAP鉴权是指终端设备到网关设备的鉴权流程,该层EAP鉴权流程中网关设备实质上不对终端设备进行鉴权操作,只进行信息的处理和传递,同样,可将该层的EAP鉴权流程简称为B层EAP鉴权流程。并且后续关于A层EAP鉴权流程中出现的EAP信息或者NAS信息都可称之为A层的EAP信息或者A层的NAS信息,对于B层EAP流程中所出现的信息同理,不作赘述。在EAP鉴权流程的消息交互过程中,EAP-请求中包含一个NAS信息,例如:注册请求信息。该EAP-请求中所包含的NAS信息中包含一个EAP消息,例如:EAP消息可以是EAP-AKA/Challenge消息。
请参照图2,以下从对本申请实施例提供一种接入鉴权的方法进行举例说明,所述方法包括:
201、终端设备向网关设备发送第一鉴权请求。
所述第一鉴权请求包括第一EAP消息,所述第一EAP信息包括第一NAS信息。该第一NAS信息可包括注册请求。可选的,所述第一EAP信息还包括终端设备的标识信息。
可选的,为便于网关设备快速的识别出初次注册的终端设备,以及减少重注册的信息交互,终端设备还可以在该第一NAS信息中携带注册指示信息,所述注册指示信息的取值为初始注册的值,则表示终端设备本次为初次注册。或者,该第一NAS信息中不包括任何重注册指示信息,则表示终端设备本次为初次注册。
所述网关设备可为非3GPP接入网的网关设备。
第一NAS信息可以位于所述第一EAP信息中的载荷中。
202、网关设备接收终端设备发送的第一鉴权请求。
203、所述网关设备将所述第一NAS信息发送至接入和移动性管理实体。
所述网关设备可在发送的所述第一NAS信息中携带第二EAP信息。本步骤中的所述第一NAS信息用于触发核心网对终端设备的EAP鉴权。
204、所述接入和移动性管理网元接收所述网关设备发送的第一NAS信息。
205、所述接入和移动性管理网元根据所述第一NAS信息向鉴权服务器发送鉴权请求。
所述接入和移动性管理网元可在该鉴权请求中携带所述第二EAP信息。
206、所述鉴权服务器接收鉴权请求,并对所述终端设备进行EAP鉴权。
具体来说,所述鉴权服务器可根据第二EAP信息以及设备标识对所述终端设备进行鉴权。
207、所述鉴权服务器向所述接入和移动性管理网元发送对所述终端设备的EAP鉴权结果。
该EAP鉴权结果可以是EAP鉴权成功信息或者EAP鉴权失败信息。
208、所述接入和移动性管理网元接收到EAP鉴权结果后,将所述EAP鉴权结果发送至所述网关设备。
209、所述网关设备从所述接入和移动性管理网元获取对所述终端设备的EAP鉴权结果,向所述终端设备发送第二NAS信息。
其中,所述第二NAS信息包括所述EAP鉴权结果。
若第一NAS信息中包括注册请求,那么第二NAS信息中可包括注册响应,该注册响应可以是注册接受或注册拒绝。
在一些可能的实施方式中,所述网关设备从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,可包括以下实现方式之一:
(a)所述接入和移动性管理网元向所述网关设备发送第一消息,该第一消息中携带安全模式命令以及所述EAP鉴权结果。所述网关设备从所述接入和移动性管理网元接收该第一消息,从而获取所述EAP鉴权结果。可选的,该第一消息可以为N2消息,也可以为NAS消息类型。
相应的,所述网关设备在收到该第一消息后,还需要对所述EAP鉴权结果进行处理,即在步骤209中向终端设备发送的鉴权响应所包括的第二NAS信息是由网关设备生成的,所述EAP鉴权结果包含在所述第二NAS信息中。
(b)所述网关设备从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
(c)所述接入和移动性管理网元向所述网关设备发送第三NAS信息时,所述第三NAS信息包括所述EAP鉴权结果。所述网关设备从所述接入和移动性管理网元接收第三NAS信息,即可从所述第三NAS信息获取所述EAP鉴权结果,然后将所述第三NAS消息发送给终端设备。
在一些可能的实施方式中,所述网关设备在从接入和移动性管理网元获取到所述EAP鉴权结果后,所述网关设备向所述终端设备发送的第二NAS信息可包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一些可能的实施方式中,当所述网关设备采用上述(a)&(b)两种实现方式获取EAP鉴权结果时,所述网关设备都需要对所述EAP鉴权结果进行处理后再发送给终端设备。
可选的,本申请实施例中的第二NAS信息可以位于EAP信息的载荷中。其中,所述第二NAS信息还可包括指示信息,所述指示信息用于指示所述第二NAS信息中携带所述EAP鉴权结果。所述指示信息具体还可以满足以下项之一:
所述指示信息的内容为空,或者,所述指示信息位于所述第二NAS信息的封装头,或者所述指示信息位于所述第二NAS信息的内容。
对于接入和移动性管理网元而言,当设计所述指示信息位于所述第二NAS信息的内容中时,可包括以下几种情况:
(a)所述第二NAS信息为一种新的NAS类型信息,所述EAP鉴权结果包含于该新的NAS类型信息中。
(b)所述第二NAS信息包括安全模式命令(英文全称:security mode command,英文简称:SMC),所述EAP鉴权结果包含于该NAS信息的SMC中。
(c)所述第一NAS信息为注册请求,所述第二NAS信息包括终端设备的注册响应时,所述EAP鉴权结果还可包含在该第二NAS信息的注册响应中。
可见,本申请实施例提供多样化的信息携带方式,为EAP鉴权流程中的信息交互提供便利、有效的传输。也可以灵活的选择对各种类型的信息进行不同的封装处理,以适应多样化的信息交互。
210、所述终端设备接收所述网关设备发送的第二NAS信息。
在一些实施方式中,携带该第二NAS信息的鉴权响应中还可携带EAP信息,该第二NAS信息则包含在该EAP信息中,采用这种EAP in NAS in EAP的信息结构实现信息的有效传递。
可选的,该第二NAS信息可携带在该EAP信息的载荷(payload)中。
211、所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
其中,所述第一鉴权响应用于通知终端设备:对该终端设备的EAP鉴权流程已完成。
相较于现有技术,本申请实施例提供的方案中,网关设备接收终端设备发送的第一鉴权请求后,在鉴权过程中,所述网关设备将携带第二EAP信息的第一NAS信息发送给接入和移动性管理网元,并将从接入和移动性管理网元获取的EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于EAP inNAS in EAP的信息结构完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。
可选的,在一些实施例中,所述终端设备接收所述第二NAS信息后,还可以向所述网关设备发送第二鉴权请求。
终端设备向所述网关设备发送第二鉴权请求可以包括如下两种方式,该两种方式均适用于EAP鉴权成功和EAP鉴权失败两种情形。
(a)终端设备回复NAS信息:
在本申请实施例中,所述第二鉴权请求可携带第四NAS信息,所述第四NAS信息是所述终端设备对所述第二NAS信息的响应。
可选的,所述第四NAS信息的内容为空;或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
例如,当所述第二NAS信息不包括SMC或者注册响应的NAS消息时,所述第四NAS信息的内容为空或者包括所述指示信息。当所述第四NAS信息为NAS消息时,终端设备可以在该NAS消息中未放入任何实质性的数据,即所述第二NAS信息仅包括封装头且包括没有实质内容的数据部分payload。
或者,当所述第二NAS信息为包括SMC的NAS消息时,终端设备返回的所述第四NAS信息中可包括安全模式完成(英文全称:security mode complete,英文简称:SMP),该SMP是SMC的响应。
可选的,第四NAS信息也可以位于EAP信息中的载荷中。
(b)终端设备仅回复EAP消息:
即所述第二鉴权请求仅携带EAP信息,该EAP信息中不包括NAS信息和与A层EAP鉴权有关的EAP信息。
相应的,所述网关设备接收所述终端设备发送的第二鉴权请求后,就可以将第一鉴权响应发送给所述终端设备。
可选的,在一些实施例中,步骤306的第二NAS信息中未携带所述终端设备的注册响应。基于图2所示的实施例,若所述终端设备的EAP鉴权结果为EAP鉴权成功,那么在所述网关设备接收所述终端设备发送的第二鉴权请求之后,所述网关设备将第一鉴权响应发送给所述终端设备之前,所述方法还可包括以下操作:
1、所述网关设备将所述第二鉴权请求中的所述第四NAS信息发送给所述接入和移动性管理网元。
2、所述接入和移动性管理网元接收所述网关设备发送的所述第四NAS信息,向所述网关设备发送第五NAS信息。
其中,所述第五NAS信息携带所述终端设备的注册响应,其用于指示所述终端设备注册接受或者注册拒绝。
3、所述网关设备接收所述接入和移动性管理网元发送的第五NAS信息后,将所述第五NAS信息发送给所述终端设备。
4、所述终端设备接收所述网关设备发送的所述第五NAS信息后,向所述网关设备发送第三鉴权请求。
其中,本步骤4中的第三鉴权请求包括NAS信息,该NAS信息用于指示所述终端设备完成注册。可选的,该步骤4中的鉴权请求还可以包括EAP信息,该NAS信息可包含于该EAP信息中,也可以是包含于该EAP信息的payload中。同样,终端设备向网关设备发送的信息也是基于EAP in NAS in EAP的信息结构来实现传递。
相应的,当所述网关设备接收所述终端设备发送的第三鉴权请求后,就可以向终端设备发送第一鉴权响应。之后,终端设备网关设备之间会建立第一个Child SA,该ChildSA的IPsec隧道用于传输后续的NAS信息。在后续流程中,该终端设备和网关设备之间可基于该建立好的Child SA的IPsec隧道传输后续的NAS信息。
需要说明的是,对于本申请实施例中图2和图3所对应的实施例为初始注册流程和EAP鉴权流程,所以对于初始注册流程和EAP鉴权流程而言,网关设备可通过以下两种方式判断该终端设备所发起的注册流程是否为重注册:
(a)若终端设备向网关设备发送的注册请求未携带重注册指示信息,则表示该终端设备为初始注册流程。
(b)若所述注册请求中携带注册指示信息,所述注册指示信息还可以指示所述终端设备为初始注册,即通过指示所述注册指示信息的取值为初始注册的值。例如该注册指示信息的取值为0,则表示初始注册。具体的指示方式本申请实施例不作限定。
可以理解的是,在重注册场景下,终端设备发送的注册请求中可直接携带重注册指示信息,例如用注册指示信息指示为重注册,即显式指示。指示的方式本申请实施例也不做限定。
下面对重注册流程进行介绍。
如图3所示,本申请实施例可包括以下步骤:
301、所述终端设备向网关设备发送第一鉴权请求。
其中,所述第一鉴权请求包括第一EAP信息,第一EAP信息包括第一NAS信息,所述第一NAS信息包括重注册指示信息。所述第一NAS信息还可以为注册请求信息。所述第一鉴权请求中还可以包括终端设备的设备标识。
所述第一NAS信息用于指示所述网关设备发起注册流程,且不发起对所述终端设备的EAP鉴权流程。可选的,所述重注册指示信息可以是隐实的指示,例如:所述重注册指示信息为NAS消息类型,或者所述重注册指示信息为显示的指示信息,例如:通过比特位进行指示。
在一些实施方式中,第一鉴权请求可包括终端设备的设备标识,所述第一NAS信息可包含在该第一EAP信息中。
302、所述网关设备接收所述终端设备发送的第一鉴权请求。
303、所述网关设备根据所述第一NAS信息向所述接入和移动性管理网元发送注册请求。
其中,所述注册请求中可携带所述第一NAS信息,所述注册请求触发所述接入和移动性管理网元对所述注册请求进行完整性验证。
304、所述接入和移动性管理网元接收所述网关设备发送的注册请求,根据注册请求中的第一NAS信息对所述注册请求进行完整性验证,即对第一NAS信息进行完整性验证。
所述接入和移动性管理网元对注册请求整条消息进行的完整性认证的目的是:验证终端设备是否使用了之前协商的正确的NAS加密方法和密钥。
305、所述接入和移动性管理网元向所述网关设备发送第二NAS信息。
其中,所述第二NAS信息包括所述终端设备的注册响应。
该注册响应可为注册接受或者注册拒绝。
306、所述网关设备接收所述接入和移动性管理网元发送的第二NAS信息。
307、所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
步骤307中,所述第一鉴权响应中可携带EAP信息,通过该EAP信息即可结束对所述EAP鉴权流程。
为便于理解,下面对EAP鉴权成功和EAP鉴权失败的的场景分别进行介绍。其中,以网关设备以非3GPP互通功能(英文全称:non-3GPP interworking function,英文简称:N3IWF),以接入和移动性管理功能(英文全称:core access and mobility managementFunction,英文简称:AMF)进行举例说明。
一、EAP鉴权成功实施例可包括如图4、图5所示的实施例,以下分别进行说明。
如图4所示的一种实施例中,该实施例方案可以用于非3GPP接入网的接入场景,此时终端设备与N3IWF之间的消息交互基于EAP in NAS in EAP信息结构进行信息的传递。在非可信非3GPP接入场景中,EAP in NAS in EAP的信息结构封装在第二版网络密钥交换(英文全称:Internet Key Exchange v2,英文简称:IKEv2)协议中进行传输。在可信非3GPP接入场景中,则没有采用IKEv2协议对EAP in NAS in EAP的信息结构进行封装。IKEv2协议是指一种安全协议,采用该安全协议进行加密通讯,使得终端设备在网络状况经常变化的情况下仍旧能够维持加密连接,而不会出现频繁闪断、断开又重连之类的情况。
在本申请实施例中,N3IWF在接收到指示终端设备鉴权结果的消息时,将该鉴权结果发送给终端设备,并且根据该终端设备鉴权结果停止B层EAP鉴权流程。不需要终端设备上协议层之间的交互,N3IWF分别向两层EAP流程发送独立的终止消息。具体包括以下流程:
1、终端设备获得N3IWF的地址信息。
2、终端设备与N3IWF之间建立网络密钥交换安全接入(英文全称:Internet KeyExchange security access,英文简称:IKE SA)IKE SA通道。
3、终端设备发送IKE鉴权请求(IKE_AUTH Req)给N3IWF,其中不携带AUTH载荷,表明要使用EAP鉴权流程。该鉴权请求是关于B层的鉴权请求。
4、N3IWF发送IKE鉴权响应(IKE_AUTH Res)给终端设备,鉴权响应中包括EAP请求(EAP-Req),则表示开始B层EAP鉴权流程。
5、终端设备发送第一鉴权请求给N3IWF,其中IKE_AUTH Req包括EAP响应(EAP-Res),EAP-Res是终端设备对步骤4中EAP-Req的响应,EAP-Res即上述第一EAP信息。该EAP响应包括NAS信息(即上述第一NAS信息)。该NAS信息可以是注册请求(Registration Req)。该第一鉴权请求是关于A层的鉴权请求。
6、N3IWF向AMF发送注册请求,并发起终端设备的EAP鉴权流程。N3IWF可在该注册请求中携带EAP响应(EAP-Res),EAP响应即上述第二EAP信息。
7、AMF收到注册请求后,向鉴权服务器发起鉴权请求(Auth_Req),并在该鉴权请求中携带步骤6中的EAP响应。
8、鉴权服务器向AMF回复鉴权响应(Auth_Res),该Auth_Res中包括EAP请求(EAP-Req)。
9、AMF发送鉴权请求给N3IWF,该鉴权请求中包括EAP请求(EAP-Req),该鉴权请求可以为采用N2封装的NAS消息,即鉴权请求(Authentication Request)。
10、N3IWF发送鉴权响应给终端设备,该鉴权响应包括EAP请求(EAP-Req),N3IWF可将接收到的鉴权请求放在该EAP-Req中发送。其中,该鉴权响应中包括了EAP响应,该EAP响应可以是EAP-Res/AKA-challenge。
11、终端设备发送IKE鉴权请求给N3IWF,该第二鉴权请求包括EAP响应(EAP-Res),终端设备可将步骤11中的鉴权响应包括在本步骤的IKE鉴权请求的EAP-Res中发送。
12、N3IWF将步骤11中接收到的鉴权响应携带在鉴权请求中发送给AMF。
13、AMF将鉴权响应中的EAP响应(即步骤10中的即EAP-Res/AKA-challenge)发送给鉴权服务器。
14、鉴权服务器对终端设备鉴权成功后,发送A层EAP鉴权成功信息(EAP-Success)给AMF。
15、AMF接收到鉴权服务器返回的A层EAP-Success后,将A层EAP-Success携带在NAS信息中发给N3IWF,该NAS信息可以是NAS SMC Req,例如可以将该NAS信息放在N2消息中发送。
16、N3IWF接收到步骤15中的NAS SMC Req后,发送鉴权响应给终端设备,还可将该NAS SMC Req放在EAP-5G payload中发送给终端设备。NAS SMC Req中包括A层EAP-Success,该该NAS SMC Req即上述第二NAS信息。
17、终端设备接收到NAS SMC Req后,向N3IWF发送第二鉴权请求。一些实施方式中,终端设备还可以将NAS SMP消息放在EAP-5G payload中发送给N3IWF。NAS SMP消息是终端设备对NAS SMC req的响应。
18、N3IWF将NAS SMP消息发送给AMF。
19、AMF发送注册接受(Registration Accept)消息给N3IWF,该注册接受消息是指上述第三NAS信息。
可选地,19-1、N3IWF接收到Registration Accept消息,将步骤17中第二鉴权请求的鉴权响应发送给终端设备,并可选记录终端设备的EAP鉴权结果。其中,该IKE鉴权响应包括EAP-5G的载荷(payload),可将Registration Accept放在EAP-5G的payload的NAS信息载荷中。
可选的,19-2、终端设备向N3IWF发送IKE鉴权请求(IKE_AUTH Req),该IKE_AUTHReq包括EAP-5G的payload,可将注册完成(Registration Complete)信息放在EAP-5G的payload的NAS信息中。
19-3、N3IWF在接收到步骤19-2中终端设备回复的IKE鉴权请求(IKE_AUTH Req)后,或者在发送完步骤19-1后,进入步骤20:即N3IWF可根据记录的鉴权结果,向终端设备发送第一鉴权响应,该第一鉴权响应携带B层EAP-Success给终端设备。
21、终端设备与N3IWF之间建立第一个Child SA,该Child SA的IPsec隧道用于传输后续的NAS信息。在后续流程中,终端设备和N3IWF之间可基于该Child SA的IPsec隧道传输后续的NAS信息。
如图5所示的一种实施例中,可以用于非可信/可信非3GPP接入网的接入场景,此时终端设备与N3IWF之间的消息交互采用EAP in NAS in EAP的消息结构进行信息的传递。在非可信非3GPP接入场景中,EAP in NAS in EAP的信息结构封装在IKEv2协议中进行传输。在可信非3GPP接入场景中,则没有采用IKEv2协议对EAP in NAS in EAP的信息结构进行封装。在本申请实施例中,N3IWF在接收到指示终端设备鉴权结果的消息时,将该鉴权结果封装在一个特殊的NAS信息中发送给终端设备,并且根据该终端设备鉴权结果发送B层EAP-success给终端设备,停止B层EAP鉴权流程,N3IWF分别向两层EAP流程发送独立的终止消息。主要流程包括下述步骤:
前述步骤1-14与图4所对应的实施例相同,不作赘述。
15、AMF在接收到鉴权服务器返回的A层EAP-Success后,将A层EAP-Success和NASSMC消息并列放在N2消息中传输给N3IWF,该N2消息是指上述第一消息。
16、N3IWF接收到A层EAP-Success后,将该A层EAP-Success放在第二NAS信息中传递给终端设备。同时,N3IWF还可以记录终端设备的EAP鉴权结果,例如N3IWF可以根据A层EAP-Success记录终端设备鉴权成功,或者根据N2消息中的NAS SMC消息判断终端设备已经鉴权成功。N3IWF可根据终端设备的EAP鉴权结果向终端设备发送B层EAP-Success。
17、可选的,终端设备接收N3IWF发送的A层EAP-Success后,向N3IWF发送第二鉴权请求。一些实施方式中,该第二鉴权请求中可携带EAP响应和NAS信息(即上述第四NAS信息)。一些实施方式中,若该第二鉴权请求中携带EAP信息,那么该EAP信息中不包括NAS信息和A层EAP鉴权信息。终端设备还可以将第四NAS信息放在EAP-5G的payload中发送给N3IWF。一些实施方式中,终端设备可以不执行步骤17。
18、N3IWF可根据记录的EAP鉴权结果向终端设备发送第一鉴权响应,并在该第一鉴权响应中携带B层EAP-Success。
19、终端设备与N3IWF之间建立第一个Child SA,该Child SA的IPsec隧道用于传输后续的NAS信息。
20、终端设备和N3IWF之间基于该Child SA的IPsec隧道传输后续的NAS信息。例如终端设备接收N3IWF发送的NAS SMC信息后,向N3IWF发送NAS SMP信息,该NAS SMP信息是终端设备对该NAS SMC信息的响应。
21、N3IWF将接收到的NAS SMP消息发送给AMF。
22、AMF发送注册接受(Registration Accept)消息给N3IWF。
23、N3IWF将Registration Accept消息给终端设备。
二、EAP鉴权失败实施例包括如图6、图7所示的实施例,以下分别进行说明。
如图6所示的一种实施例中,该实施例方案可以用于可信非3GPP接入场景,此时终端设备与N3IWF之间的消息交互采用EAP in NAS in EAP信息结构进行信息的传递。在非可信非3GPP接入场景中,EAP in NAS in EAP的信息结构封装在IKEv2协议中进行传输。在可信非3GPP接入场景中,则没有IKEv2进行封装。本申请实施例中,N3IWF在接收到指示终端设备的EAP鉴权结果的消息时,将该EAP鉴权结果发送给终端设备,并且根据该EAP鉴权结果发送B层EAP-failure给终端设备,从而停止B层EAP鉴权流程,N3IWF分别向两层EAP流程发送独立的终止消息。具体包括以下流程:
步骤1-13与图4所对应的实施例相同,不作赘述。
14、鉴权服务器对终端设备鉴权失败后,向AMF发送A层EAP鉴权失败信息(EAP-Failure)给AMF。
15、AMF接收到鉴权服务器返回的A层EAP-Failure后,将A层EAP-Failure放在第三NAS信息中发送给N3WIF。可选的,该第三NAS信息可包括注册拒绝(Registration-Failure)消息,AMF可以将A层EAP-Failure放在Registration-Failure消息中。
16、N3IWF发送该第二NAS信息给终端设备。一些实施方式中,发送该第二NAS信息时,可以是以NAS形式发送。另外,N3IWF还可以根据Registration-Failure或者A层EAP-Failure记录终端设备的EAP鉴权结果。
17、终端设备发送第二鉴权请求给N3IWF,该鉴权请求可仅包括EAP请求(EAP-Req),该EAP-Req中不存在NAS信息和A层EAP信息。
18.N3IWF向终端设备发送第一鉴权响应,可以根据记录的该终端设备的EAP鉴权结果,将B层EAP-Failure携带在该第一鉴权响应中发送给终端设备,以停止对该终端设备的EAP鉴权流程。
如图7所示的一种实施例中,该实施例方案可以用于非可信/可信非3GPP接入网的接入场景,此时终端设备与N3IWF之间的消息交互基于EAP in NAS in EAP信息结构进行信息的传递。在非可信非3GPP接入场景中,EAP in NAS in EAP的信息结构封装在IKEv2协议中进行传输。在可信非3GPP接入场景中,则没有采用IKEv2协议对EAP in NAS in EAP的信息结构进行封装。本申请实施例中,N3IWF在接收到指示终端设备的EAP鉴权结果的消息时,将该EAP鉴权结果封装在一个特殊的NAS信息中发送给终端设备,并且根据该EAP鉴权结果发送B层EAP-Failure给终端设备,停止B层EAP鉴权流程,不需要终端设备上协议层之间的交互,N3IWF分别向两层EAP流程发送独立的终止消息。具体包括以下流程:
步骤1-13与图4所对应的实施例相同,不作赘述。
14、鉴权服务器对终端设备鉴权失败后,向AMF发送EAP鉴权失败信息(EAP-Failure)给AMF。
15.AMF接收到鉴权服务器返回的A层EAP-Failure后,将该A层EAP-Failure将A层EAP-Failure放在第二NAS信息中发送给N3WIF。或者,将该EAP-Failure将A层EAP-Failure放在N2信息中发送给N3WIF。
若将A层EAP-Failure放在第二NAS信息中,那么,N3IWF接收到该第二NAS信息后,可直接将该第二NAS信息发送给终端设备,无需做任何处理。该第二NAS信息可以是一个新的NAS信息类型,比如在NAS封装头上标示新的消息类型,或者是一个特殊的指示,比如在NAS封装头上或者在NAS信息中(NAS-PDU中)增加一个新的指示。该特殊的NAS信息表示终端设备需要将A层的EAP-Failure发送给终端设备的上层EAP层处理。
若将A层EAP-Failure放在N2信息中,那么N3IWF需要将该N2信息中的EAP-Failure放在一个特殊的NAS信息(例如上述第二NAS信息)中发送给终端设备。由N3WIF生成的第二NAS信息的结构与由AMF生成的第二NAS信息相同。
16、N3IWF将携带A层EAP-Failure的第二NAS信息发送给终端设备。
17.终端设备接收到EAP-Failure后,向N3IWF发送第二鉴权请求,该鉴权请求可仅包括EAP请求(EAP-Req),其中EAP-Req中携带NAS信息(即上述第四NAS信息)。
18.N3IWF向终端设备反馈第一鉴权响应,根据记录的终端设备的鉴权结果,将携带B层EAP-Failure的第一鉴权响应发送给终端设备,以停止B层EAP鉴权流程。
三、重注册场景,包括如图8所示的实施例,以下进行说明。
如图8所示的一种实施例中,该实施例方案可以用于非可信/可信非3GPP接入网的接入场景,本申请实施例中,N3IWF根据终端设备发送的重注册指示信息决定是否在发送给AMF的NAS信息中包括EAP消息。对于重注册的场景,就省略了不必要的EAP鉴权过程。具体包括以下流程:
1、终端设备获得N3IWF的地址。
2、终端设备与N3IWF之间建立IKE SA。
3、终端设备需要在IKE鉴权请求(IKE_AUTH Req)中携带重注册指示信息(re-regindication),该指示用于指示N3IWF核心网不需要发起EAP鉴权流程。该步骤中NAS信息可以是Registration req,也可以是Service req。重注册指示信息可以是一个显示的指示,也可以是NAS信息类型,如服务请求(Service Req)。
该步骤对应前面实施例一中的步骤1-4,若终端设备在步骤3中没有包括重注册指示信息,或者步骤3中IKE鉴权请求中携带的注册指示信息取值为初始注册。在这样的情况下,N3IWF在步骤5中的NAS信息中需要包括EAP消息,以发起EAP鉴权。
4、N3IWF发送IKE鉴权响应(IKE_AUTH Res)给终端设备,其中包括EAP消息(EAP-Req)则表示开始B层EAP鉴权流程。
5、终端设备发送第一鉴权请求给N3IWF,其中第一鉴权请求包括的EAP消息中包括一个NAS信息即注册请求(Registration req)。
6、N3IWF根据接收到的重注册指示信息,发送步骤3中接收到的NAS信息到AMF,其中,发送的NAS信息中不包括EAP消息。
7、AMF对接收到的NAS信息进行完整性验证。
8、AMF发送注册响应该N3IWF,如果接收所述注册请求,则该注册响应可携带注册接受(registration accept)消息或者服务接受(Service Accept)消息;如果拒绝所述注册请求,则该注册响应可携带注册拒绝(registration reject)消息或者服务拒绝(service reject)消息给N3IWF。
9、N3IWF根据接收到的注册响应发送第一鉴权响应给终端设备,该第一鉴权响应中包括B层EAP-Success或者B层EAP-Failure。
10、终端设备与N3IWF之间建立第一个Child SA,该Child SA的IPsec隧道用于传输后续的NAS信息。
11、终端设备和N3IWF之间基于该Child SA的IPsec隧道进行注册接受或者注册完成的信息交互。
以上对本申请实施例中一种接入鉴权方法进行说明,以下对执行上述接入鉴权的方法的装置和终端设备,以及执行上述接入的方法的装置和终端设备分别进行描述。
参照图9,对接入鉴权的装置进行说明,该接入鉴权的装置具有实现对应于上述图2-图8中任一所对应的实施例中由网关设备执行的方法的功能。所述装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息;
所述收发模块还用于向接入和移动性管理网元发送所述第一NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权;
所述收发模块还用于从所述接入和移动性管理网元获取所述核心网对所述终端设备的EAP鉴权结果;
所述收发模块还用于向所述终端设备发送第二NAS信息,所述第二NAS信息包括所述EAP鉴权结果;
所述收发模块还用于向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
相较于现有技术,本申请实施例提供的方案中,收发模块接收终端设备发送的第一鉴权请求后,在鉴权过程中,所述收发模块将携带第二EAP信息的第一NAS信息发送给接入和移动性管理网元,并将从接入和移动性管理网元获取的EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于EAP inNAS in EAP的信息结构完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。
可选的,在一些实施例中,所述收发模块从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,包括以下实现方式之一:
从所述接入和移动性管理网元接收第一消息,所述第一消息中包括所述EAP鉴权结果和安全命令模式;
或者,从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果;
或者,从所述接入和移动性管理网元接收第三NAS信息,所述第三NAS信息包括所述EAP鉴权结果。
可选的,在一些实施例中,所述收发模块具体用于:
向所述终端设备发送第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
可选的,在一些实施例中,所述第一NAS信息包括注册请求信息。
可选的,在一些实施例中,所述第二NAS信息包括注册响应。
可选的,在一些实施例中,所述第二NAS信息包括指示信息,所述指示信息用于指示所述第二NAS信息中携带所述EAP鉴权结果。
可选的,在一些实施例中,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述终端设备发送的第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
可选的,在一些实施例中,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述接入和移动性管理网元发送的对所述第一NAS信息的响应;
向所述终端设备发送所述第一NAS信息的响应。
可选的,在一些实施例中,所述第一NAS信息位于所述第一EAP信息的载荷中。
可选的,在一些实施例中,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息中携带注册指示信息,所述注册指示信息的取值为初始注册的值。
参照图10,对终端设备进行说明,该终端设备具有实现对应于上述图2-图8中任一所对应的实施例中由终端设备设备执行的接入鉴权方法的功能。所述终端设备包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作。
所述收发模块,用于向网关设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息用于触发所述终端设备的注册流程;
所述收发模块还用于接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括核心网对所述终端设备的EAP鉴权结果;
所述收发模块还用于接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
相较于现有技术,本申请实施例提供的方案中,收发模块向网关设备发送第一鉴权请求,使得网关设备在鉴权过程中将携带第二EAP信息的第一NAS信息发送给接入和移动性管理网元,并将从接入和移动性管理网元获取的EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于EAP in NAS inEAP的信息结构完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。
在一些可能的设计中,所述收发模块具体用于:
接收所述网关设备发送的所述第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
在一些可能的设计中,所述第一NAS信息包括注册请求信息。
在一些可能的设计中,所述第二NAS信息包括注册响应。
在一些可能的设计中,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
向所述网关设备发送第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
在一些可能的设计中,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
接收所述网关设备发送的所述第一NAS信息的响应。
在一些可能的设计中,所述第一NAS信息位于所述第一EAP信息的载荷中。
在一些可能的设计中,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息包括注册指示信息,所述注册指示信息的取值为初始注册的值。
参照图9,对另一种接入鉴权的装置进行说明,该接入鉴权的装置具有实现对应于上述图2-图8中任一所对应的实施例中由接入和移动性管理网元设备执行的接入鉴权的方法的功能。当接入鉴权的装置实现所述接入和移动性管理网元的功能时,图9中的收发模块和处理模块分别完成由接入和移动性管理网元所执行的操作。具体来说,本申请实施例中,所述收发模块用于接收网关设备发送的第一非接入层NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权。
所述收发模块还用于根据所述第二EAP信息向鉴权服务器发送鉴权请求。
所述收发模块还用于接收来自所述鉴权服务器对所述终端设备的EAP鉴权结果。
所述收发模块还用于向所述网关设备发送所述EAP鉴权结果。
相较于现有技术,本申请实施例提供的方案中,收发模块接收到网关设备发送第一NAS信息后,根据所述第二EAP信息向鉴权服务器发送鉴权请求,并将从所述鉴权服务器获取的EAP鉴权结果发送给网关设备,使得网关设备将EAP鉴权结果放在第二NAS信息中发送给终端设备,最后向终端设备发送第一鉴权响应。可见,本申请实施例基于EAP in NASin EAP的信息结构完成了对终端设备的EAP鉴权流程,并由网关设备以第一鉴权响应结束EAP鉴权流程。
在一种可能的设计中,所述收发模块向所述网关设备发送所述EAP鉴权结果,包括以下实现方式之一:
向所述网关设备发送第一消息,所述第一消息中包括所述EAP鉴权结果和安全模式命令;
或者,向所述网关设备发送安全模式命令,所述安全模式命令包括所述终端设备的EAP鉴权结果;
或者,向所述网关设备发送第三NAS信息,所述第三NAS信息包括所述终端设备的EAP鉴权结果。
本申请实施例提供多样化的信息携带方式,为EAP鉴权流程中的信息交互提供便利、有效的传输。也可以灵活的选择对各种类型的信息进行不同的封装处理,以适应多样化的信息交互。
在一些可能的设计中,所述第一NAS信息为注册请求,所述收发模块具体用于:
向所述网关设备发送所述第一NAS信息的响应,所述第一NAS信息的响应包括所述EAP鉴权结果。
参照图9,图9所对应的接入鉴权的装置还可以用于接入网络,当图9所对应的装置用作接入网络的装置时,图9所示的装置具有实现对应于上述图2-图8中任一所对应的实施例中由网关设备执行接入网络的方法的功能。当图9所示的装置实现所述网关设备的功能时,图9中的收发模块和处理模块分别完成由网关设备所执行的操作。具体来说,在本申请实施例中,所述收发模块用于接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述重注册指示信息用于指示所述网关设备不发起对所述终端设备的EAP鉴权流程。
所述收发模块还用于根据所述第一NAS信息向接入和移动性管理网元发送注册请求;
所述收发模块还用于接收所述接入和移动性管理网元发送的注册响应;
所述收发模块还用于向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
参照图10,图10所示的终端设备还可以用于接入网络,当图10所示的终端设备用于接入网络时,图10所示的终端设备具有实现对应于上述图2-图8中任一所对应的实施例中由终端设备执行接入网络的方法的功能。
所述收发模块用于向网关设备发送第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息包括重注册指示信息,所述第一NAS信息用于指示所述网关设备发起注册流程且不发起对所述终端设备的EAP鉴权流程;
所述注册流程完成后,所述收发模块还用于接收所述网关设备902发送的所述第一鉴权请求的第一鉴权响应。
在一种可能的设计中,所述第一NAS信息为注册请求信息。
在一种可能的设计中,所述重注册指示信息为显示的指示信息,或者,所述重注册指示信息为NAS消息类型。
图11为本申请实施例提供的接入鉴权的装置或接入的装置或终端设备的另一结构示意图,其中,可包括至少一个处理器1101、至少一个网络接口或者其它通信接口、存储器1102、至少一个通信总线、至少一个接收器1103、至少一个发射器1104用于实现这些装置之间的连接通信。上述处理器1101用于执行上述存储器1102中存储的可执行模块,例如计算机程序。上述存储器1102可能包含高速随机存取存储器(英文全称:Random AccessMemory,英文简称:RAM),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口(可以是有线或者无线)实现该系统网关与至少一个其它网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
如图11所示,在一些实施方式中,上述存储器1102中存储了程序指令,上述程序指令可以被上述处理器1101执行,通过调用存储器1102存储的程序指令,上述处理器1101具体执行本申请实施例中的接入鉴权的方法或者接入的方法时需要调用的程序代码。
需要说明的是,在本申请各实施例(包括图9和图10所示的各实施例)中所有的收发模块对应的实体设备可以为收发器,所有的处理模块对应的实体设备可以为处理器。图9和图10所示的各装置均可以具有如图11所示的结构,当其中一种装置具有如图11所示的结构时,图11中的处理器和收发器实现前述对应该装置的装置实施例提供的处理模块和收发模块相同或相似的功能,图11中的存储器存储处理器执行上述接入鉴权的方法或者接入的方法时需要调用的程序代码。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请实施例各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
以上对本申请实施例所提供的技术方案进行了详细介绍,本申请实施例中应用了具体个例对本申请实施例的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请实施例的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请实施例的限制。
Claims (30)
1.一种接入鉴权的方法,其特征在于,所述方法包括:
当所述终端设备通过非第三代合作伙伴计划3GPP接入网接入核心网时;网关设备接收所述终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一鉴权请求用于请求对所述终端设备进行EAP鉴权;
所述网关设备向接入和移动性管理网元发送所述第一NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权;
所述网关设备从所述接入和移动性管理网元获取EAP鉴权结果,所述EAP鉴权结果对应于所述核心网对所述终端设备的鉴权流程;
所述网关设备根据所述EAP鉴权结果停止所述网关设备对所述终端设备的鉴权流程;
所述网关设备向所述终端设备发送第二NAS信息,所述第二NAS信息包括所述EAP鉴权结果;
所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
2.根据权利要求1所述的方法,其特征在于,所述网关设备从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,包括以下实现方式之一:
所述网关设备从所述接入和移动性管理网元接收第一消息,所述第一消息中包括所述EAP鉴权结果和安全命令模式;
或者,所述网关设备从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果;
或者,所述网关设备从所述接入和移动性管理网元接收第三NAS信息,所述第三NAS信息包括所述EAP鉴权结果。
3.根据权利要求1或2所述的方法,其特征在于,所述网关设备向所述终端设备发送第二NAS信息,包括:
所述网关设备向所述终端设备发送第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
4.根据权利要求1所述的方法,其特征在于,所述第一NAS信息包括注册请求信息。
5.根据权利要求4所述的方法,其特征在于,所述第二NAS信息包括注册响应。
6.根据权利要求3所述的方法,其特征在于,所述第二NAS信息包括指示信息,所述指示信息用于指示所述第二NAS信息中携带所述EAP鉴权结果。
7.根据权利要求3所述的方法,其特征在于,所述网关设备向所述终端设备发送第二NAS信息之后,所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,所述方法还包括:
所述网关设备接收所述终端设备发送的第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
8.根据权利要求3所述的方法,其特征在于,所述网关设备向所述终端设备发送第二NAS信息之后,所述网关设备向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,所述方法还包括:
所述网关设备接收所述接入和移动性管理网元发送的对所述第一NAS信息的响应;
所述网关设备向所述终端设备发送所述第一NAS信息的响应。
9.根据权利要求8所述的方法,其特征在于,所述第一NAS信息位于所述第一EAP信息的载荷中。
10.根据权利要求8所述的方法,其特征在于,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息中携带注册指示信息,所述注册指示信息的取值为初始注册的值。
11.一种接入鉴权的方法,其特征在于,所述方法包括:
终端设备向网关设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息用于触发所述终端设备的注册流程;
所述终端设备接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括核心网对所述终端设备的EAP鉴权结果;
所述终端设备接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
12.根据权利要求11所述的方法,其特征在于,所述终端设备接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括所述核心网对所述终端设备的EAP鉴权结果,包括:
所述终端设备接收所述网关设备发送的所述第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
13.根据权利要求11所述的方法,其特征在于,所述第一NAS信息包括注册请求信息。
14.根据权利要求13所述的方法,其特征在于,所述第二NAS信息包括注册响应。
15.根据权利要求14所述的方法,其特征在于,所述终端设备接收所述网关设备发送的第二NAS信息之后,所述终端设备接收所述网关设备发送的所述第一鉴权响应之前,所述方法还包括:
所述终端设备向所述网关设备发送第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
16.根据权利要求1或15所述的方法,其特征在于,所述终端设备接收所述网关设备发送的第二NAS信息之后,所述终端设备接收所述网关设备发送的所述第一鉴权响应之前,所述方法还包括:
所述终端设备接收所述网关设备发送的所述第一NAS信息的响应。
17.根据权利要求16所述的方法,其特征在于,所述第一NAS信息位于所述第一EAP信息的载荷中。
18.根据权利要求17所述的方法,其特征在于,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息包括注册指示信息,所述注册指示信息的取值为初始注册的值。
19.一种接入鉴权的装置,其特征在于,所述装置包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于当所述终端设备通过非第三代合作伙伴计划3GPP接入网接入核心网时,接收终端设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一鉴权请求用于请求对所述终端设备进行EAP鉴权;
所述收发模块还用于向接入和移动性管理网元发送所述第一NAS信息,所述第一NAS信息包括第二EAP信息,所述第一NAS信息用于触发核心网对所述终端设备的EAP鉴权;
所述收发模块还用于从所述接入和移动性管理网元获取所述核心网对所述终端设备的EAP鉴权结果,所述EAP鉴权结果对应于所述核心网对所述终端设备的鉴权流程;
所述处理模块用于根据所述EAP鉴权结果停止所述网关设备对所述终端设备的鉴权流程;
所述收发模块还用于向所述终端设备发送第二NAS信息,所述第二NAS信息包括所述EAP鉴权结果;
所述收发模块还用于向所述终端设备发送所述第一鉴权请求的第一鉴权响应。
20.根据权利要求19所述的接入鉴权的装置,其特征在于,所述收发模块从所述接入和移动性管理网元获取所述终端设备的EAP鉴权结果,包括以下实现方式之一:
从所述接入和移动性管理网元接收第一消息,所述第一消息中包括所述EAP鉴权结果和安全命令模式;
或者,从所述接入和移动性管理网元接收安全模式命令,所述安全模式命令包括所述EAP鉴权结果;
或者,从所述接入和移动性管理网元接收第三NAS信息,所述第三NAS信息包括所述EAP鉴权结果。
21.根据权利要求19或20所述的接入鉴权的装置,其特征在于,所述收发模块具体用于:
向所述终端设备发送第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
22.根据权利要求19所述的接入鉴权的装置,其特征在于,所述第一NAS信息包括注册请求信息。
23.根据权利要求22所述的接入鉴权的装置,其特征在于,所述第二NAS信息包括注册响应。
24.根据权利要求21所述的接入鉴权的装置,其特征在于,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述终端设备发送的第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
25.根据权利要求21所述的接入鉴权的装置,其特征在于,所述收发模块在向所述终端设备发送第二NAS信息之后,在向所述终端设备发送所述第一鉴权请求的第一鉴权响应之前,还用于:
接收所述接入和移动性管理网元发送的对所述第一NAS信息的响应;
向所述终端设备发送所述第一NAS信息的响应。
26.一种终端设备,其特征在于,所述终端设备包括收发模块和处理模块,所述处理模块用于控制所述收发模块的收发操作:
所述收发模块,用于向网关设备发送的第一鉴权请求,所述第一鉴权请求包括第一扩展认证协议EAP信息,所述第一EAP信息包括第一非接入层NAS信息,所述第一NAS信息用于触发所述终端设备的注册流程;
所述收发模块还用于接收所述网关设备发送的第二NAS信息,所述第二NAS信息包括核心网对所述终端设备的EAP鉴权结果;
所述收发模块还用于接收所述网关设备发送的所述第一鉴权请求的第一鉴权响应。
27.根据权利要求26所述的终端设备,其特征在于,所述收发模块具体用于:
接收所述网关设备发送的所述第二NAS信息,所述第二NAS信息包括安全模式命令,所述安全模式命令包括所述EAP鉴权结果。
28.根据权利要求27所述的终端设备,其特征在于,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
向所述网关设备发送第四NAS信息;
其中,所述第四NAS信息的内容为空;
或者,所述第四NAS信息包括指示信息,所述指示信息用于指示所述第四NAS信息为所述第二NAS信息的响应。
29.根据权利要求26-28任一所述的终端设备,其特征在于,所述收发模块在接收所述网关设备发送的第二NAS信息之后,在接收所述网关设备发送的所述第一鉴权响应之前,还用于:
接收所述网关设备发送的所述第一NAS信息的响应。
30.根据权利要求29所述的终端设备,其特征在于,所述第一NAS信息不包括重注册指示信息;
或者,所述第一NAS信息包括注册指示信息,所述注册指示信息的取值为初始注册的值。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710657053.4A CN109391941B (zh) | 2017-08-03 | 2017-08-03 | 一种接入鉴权的方法及装置 |
| PCT/CN2018/091048 WO2019024612A1 (zh) | 2017-08-03 | 2018-06-13 | 一种接入鉴权的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710657053.4A CN109391941B (zh) | 2017-08-03 | 2017-08-03 | 一种接入鉴权的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391941A CN109391941A (zh) | 2019-02-26 |
| CN109391941B true CN109391941B (zh) | 2020-12-25 |
Family
ID=65232734
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710657053.4A Expired - Fee Related CN109391941B (zh) | 2017-08-03 | 2017-08-03 | 一种接入鉴权的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN109391941B (zh) |
| WO (1) | WO2019024612A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116567626A (zh) * | 2022-01-27 | 2023-08-08 | 维沃移动通信有限公司 | 设备鉴权方法、装置及通信设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457837A (zh) * | 2010-10-21 | 2012-05-16 | 中兴通讯股份有限公司 | 一种用户签约信息处理方法和系统 |
| WO2014047923A1 (zh) * | 2012-09-29 | 2014-04-03 | 华为技术有限公司 | 接入网络的方法和装置 |
| CN106454833A (zh) * | 2016-12-21 | 2017-02-22 | 锐捷网络股份有限公司 | 一种实现无线802.1x认证的方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340708B (zh) * | 2007-07-02 | 2011-12-21 | 华为技术有限公司 | 一种网络切换的方法、系统及装置 |
| CN103067342B (zh) * | 2011-10-20 | 2018-01-19 | 中兴通讯股份有限公司 | 一种使用eap进行外部认证的设备、系统及方法 |
| US9942762B2 (en) * | 2014-03-28 | 2018-04-10 | Qualcomm Incorporated | Provisioning credentials in wireless communications |
| US20160309523A1 (en) * | 2015-04-16 | 2016-10-20 | Qualcomm Incorporated | Reducing delay in attachment procedure with a network |
| WO2017099864A1 (en) * | 2015-12-09 | 2017-06-15 | Intel IP Corporation | Standardized access to core networks |
-
2017
- 2017-08-03 CN CN201710657053.4A patent/CN109391941B/zh not_active Expired - Fee Related
-
2018
- 2018-06-13 WO PCT/CN2018/091048 patent/WO2019024612A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102457837A (zh) * | 2010-10-21 | 2012-05-16 | 中兴通讯股份有限公司 | 一种用户签约信息处理方法和系统 |
| WO2014047923A1 (zh) * | 2012-09-29 | 2014-04-03 | 华为技术有限公司 | 接入网络的方法和装置 |
| CN106454833A (zh) * | 2016-12-21 | 2017-02-22 | 锐捷网络股份有限公司 | 一种实现无线802.1x认证的方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Motorola Mobility.5G Registration via Untrusted Non-3GPP Access.《SA WG2 Meeting #122 S2-174885 》.2017,正文第1-12页,图1-9、4.12.2-1. * |
| Observations on the solution for untrusted non-3GPP access in S2-174885;Nokia;《3GPP TSG SA WG3 (Security) Meeting #88 S3-171943》;20170731;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019024612A1 (zh) | 2019-02-07 |
| CN109391941A (zh) | 2019-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111465011B (zh) | 跨网络接入方法、装置、存储介质及通信系统 | |
| KR101589574B1 (ko) | 비신뢰 네트워크를 통한 외부 인증 지원 | |
| US8176327B2 (en) | Authentication protocol | |
| JP7317056B2 (ja) | 5gcnへの非3gppアクセスが許可されない失敗の対処 | |
| CN108781216A (zh) | 用于网络接入的方法和设备 | |
| CN112514436B (zh) | 发起器和响应器之间的安全的、被认证的通信 | |
| AU2020200523B2 (en) | Methods and arrangements for authenticating a communication device | |
| KR20100100641A (ko) | 듀얼 모뎀 디바이스 | |
| EP4057658A1 (en) | Machine-card verification method applied to minimalist network, and related device | |
| CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
| US20210045050A1 (en) | Communications method and apparatus | |
| CN111316683A (zh) | 非3gpp接入中的5g通信网络中的安全认证 | |
| CN107979864A (zh) | 接入点的接入方法、装置及系统 | |
| KR20230124621A (ko) | 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템 | |
| CN113543121A (zh) | 一种终端参数更新的保护方法和通信装置 | |
| CN109391941B (zh) | 一种接入鉴权的方法及装置 | |
| WO2021083012A1 (zh) | 一种保护认证流程中参数的方法及装置 | |
| US9532218B2 (en) | Implementing a security association during the attachment of a terminal to an access network | |
| CN109819440A (zh) | 鉴权的方法和装置 | |
| CN110226319A (zh) | 用于紧急接入期间的参数交换的方法和设备 | |
| CN111526514B (zh) | 多频段通信的方法和装置 | |
| WO2024140421A1 (zh) | 通信方法和通信装置 | |
| US11888649B2 (en) | Information transmission method and apparatus, information processing method and apparatus, terminal, network element and storage medium | |
| WO2017132906A1 (zh) | 获取、发送用户设备标识的方法及设备 | |
| US20220150694A1 (en) | Key derivation for non-3gpp access |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201225 Termination date: 20210803 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |