CN115643560A - 一种接入网系统、接入方法及其装置 - Google Patents

一种接入网系统、接入方法及其装置 Download PDF

Info

Publication number
CN115643560A
CN115643560A CN202110822207.7A CN202110822207A CN115643560A CN 115643560 A CN115643560 A CN 115643560A CN 202110822207 A CN202110822207 A CN 202110822207A CN 115643560 A CN115643560 A CN 115643560A
Authority
CN
China
Prior art keywords
terminal
access device
tunnel
message
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110822207.7A
Other languages
English (en)
Inventor
胡国杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202110822207.7A priority Critical patent/CN115643560A/zh
Publication of CN115643560A publication Critical patent/CN115643560A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例公开了一种接入网系统、接入方法及其装置。该系统包括接入网中的第一接入装置和第二接入装置;其中,第一接入装置用于在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;该注册消息包括终端的标识,该注册消息用于请求注册终端;该第二接入装置用于根据终端的标识,确定该终端是否开户;若该终端已开户,则向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功;第一接入装置还用于向该终端发送第二注册响应消息,第二注册响应消息用于指示该终端注册成功。在接入网中注册终端,有利于降低建网成本。

Description

一种接入网系统、接入方法及其装置
技术领域
本申请涉及通信技术领域,尤其涉及一种接入网系统、接入方法及其装置。
背景技术
在现有通信网络中,终端在连接通信网络时需要在核心网中进行注册,注册过程包括鉴权、建立安全连接以及建立承载等。但是,核心网具有复杂的软件功能以及极高的可靠性要求,导致核心网设备具有很高的技术门槛。因此核心网设备的成本和售价,长期以来也居高不下。
随着通信技术的发展,对于新出现的新型通信业务或者新设备的注册,为其新建核心网的成本过高。
发明内容
本申请实施例提供一种接入网系统、接入方法及其装置,可以在接入网中注册终端,有利于降低建网成本。
第一方面,本申请实施例提供一种接入网系统,该系统包括接入网中的第一接入装置和第二接入装置;其中,第一接入装置,用于在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册该终端;第二接入装置,用于根据该终端的标识,确定该终端是否开户;若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功;第一接入装置,还用于向该终端发送第二注册响应消息,第二注册响应消息用于指示该终端注册成功。
在该技术方案中,在接入网中注册终端,可以降低甚至省去建设和维护核心网的成本,即可以大大降低建网成本。
在一种实现方式中,系统还包括接入网中的第三接入装置;第二接入装置用于根据终端的标识,确定终端是否开户时,具体用于:向第三接入装置发送查询消息,查询消息包括终端的标识;并接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户;第三接入装置,用于根据查询消息中的终端的标识,查询终端是否开户。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,第二注册响应消息包括于接入层消息中。
在一种实现方式中,第一接入装置,还用于在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识第一接入装置与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在该技术方案中,第一接入装置通过为终端分配第一隧道标识,可以实现向终端发送信息。
在一种实现方式中,第一接入装置,还用于将终端的标识与第一隧道标识关联存储。
在一种实现方式中,第一接入装置,还用于接收来自终端的第二隧道标识,第二隧道标识由终端为第一接入装置分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,第一接入装置,还用于接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;并将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;通过隧道向终端发送隧道数据包。
在一种实现方式中,隧道数据包还包括第二隧道标识,第二隧道标识由终端为第一接入装置分配;第二隧道标识和第一隧道标识用于共同标识第一接入装置与终端之间的隧道。
在一种实现方式中,第一接入装置,还用于在满足预设条件的情况下,释放隧道,并删除存储的第一隧道标识;第一接入装置,还用于向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在该技术方案中,满足预设条件可以表明:已不再需要使用该隧道。第一接入装置释放该隧道后,删除存储的为该终端分配的第一隧道标识,这样该第一隧道标识后续可以被分配给其他终端,或者还可以后续重新配置给该终端,从而有利于节约资源。
在一种实现方式中,隧道对应有定时器;第一接入装置,还用于向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,第一接入装置停止为终端服务。
在一种实现方式中,第二接入装置,还用于向终端发送认证消息,认证消息包括第二接入装置生成的第一随机数;第二接入装置,还用于接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;第二接入装置,还用于若第二随机数与第一随机数相同,则根据第二随机数与第二接入装置存储的认证密钥,生成第二MAC;第二接入装置用于若终端已开户,则向第一接入装置发送第一注册响应消息时,具体用于:若第一MAC与第二MAC相同,且终端已开户,则向第一接入装置发送第一注册响应消息。
在该技术方案中,在终端的注册过程中,第二接入装置对该终端进行认证,在认证通过的情况下,该终端才能注册,有利于提高安全性。
在一种实现方式中,第二接入装置,还用于利用第二接入装置存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;第二接入装置,还用于向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在该技术方案中,通过认证密钥生成工作密钥,可以提高安全性。
在一种实现方式中,第二接入装置用于利用第二接入装置存储的认证密钥生成工作密钥时,具体用于:生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;通过第三随机数和第二接入装置存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
第二方面,本申请实施例提供一种接入方法,应用于接入网,接入网包括第一接入装置和第二接入装置,该方法包括:第二接入装置接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下由第一接入装置发送的;第二接入装置根据终端的标识,确定终端是否开户;若终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示终端注册成功。
在该技术方案中,在接入网中注册终端,可以降低甚至省去建设和维护核心网的成本,即可以大大降低建网成本。
在一种实现方式中,接入网还包括第三接入装置;第二接入装置根据终端的标识,确定终端是否开户,包括:第二接入装置向第三接入装置发送查询消息,查询消息包括终端的标识,查询消息用于请求查询终端是否开户;第二接入装置接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户。
在一种实现方式中,该方法还包括:第二接入装置向终端发送认证消息,认证消息包括第二接入装置生成的第一随机数;第二接入装置接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;若第二随机数与第一随机数相同,则第二接入装置根据第二随机数与第二接入装置存储的认证密钥,生成第二MAC;若终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,包括:若第一MAC与第二MAC相同,且终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息。
在一种实现方式中,该方法还包括:第二接入装置利用第二接入装置存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;第二接入装置向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在一种实现方式中,第二接入装置利用该第二接入装置存储的认证密钥生成工作密钥,包括:第二接入装置生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;第二接入装置通过第三随机数和第二接入装置存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;第二接入装置向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;第二接入装置接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;第二接入装置对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
第三方面,本申请实施例提供另一种接入方法,应用于接入网,接入网包括第一接入装置和第二接入装置,该方法包括:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,第一接入装置向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;第一接入装置接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;第一接入装置向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
在该技术方案中,在接入网中注册终端,可以降低甚至省去建设和维护核心网的成本,即可以大大降低建网成本。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,该第二注册响应消息包括于接入层消息中。
在一种实现方式中,该方法还包括:第一接入装置在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识第一接入装置与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在一种实现方式中,该方法还包括:第一接入装置接收来自终端的第二隧道标识,第二隧道标识由终端为第一接入装置分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,该方法还包括:第一接入装置接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;第一接入装置将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;第一接入装置通过隧道向终端发送隧道数据包。
在一种实现方式中,该方法还包括:在满足预设条件的情况下,第一接入装置释放隧道,并删除存储的第一隧道标识;第一接入装置向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在该技术方案中,满足预设条件可以表明:已不再需要使用该隧道。第一接入装置释放该隧道后,删除存储的为该终端分配的第一隧道标识,这样该第一隧道标识后续可以被分配给其他终端,或者还可以后续重新配置给该终端,从而有利于节约资源。
在一种实现方式中,前述隧道对应有定时器;该方法还包括:第一接入装置向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,第一接入装置停止为终端服务。
第四方面,本申请实施例提供了一种通信装置,该通信装置具有实现上述第二方面所述的方法示例中第二接入装置的部分或全部功能,比如通信装置的功能可具备本申请中的部分或全部实施例中的功能,也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。
在一种实现方式中,该通信装置的结构中可包括通信单元和处理单元,所述处理单元被配置为支持通信装置执行上述方法中相应的功能。所述通信单元用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储单元,所述存储单元用于与处理单元和发送单元耦合,其保存通信装置必要的计算机程序和数据。
在一种实现方式中,所述通信装置包括:通信单元,用于接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与该终端之间的无线资源控制RRC连接建立完成的情况下由该第一接入装置发送的;处理单元,用于根据终端的标识,确定该终端是否开户;通信单元,还用于若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功。
在一种实现方式中,接入网还包括第三接入装置;处理单元具体用于:调用通信单元向第三接入装置发送查询消息,查询消息包括终端的标识,该查询消息用于请求查询该终端是否开户;并调用通信单元接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户。
在一种实现方式中,通信单元,还用于向终端发送认证消息,认证消息包括通信装置生成的第一随机数;接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;处理单元,还用于若第二随机数与第一随机数相同,则根据第二随机数与通信装置存储的认证密钥,生成第二MAC;通信单元用于若终端已开户,则向第一接入装置发送第一注册响应消息时,具体用于:若第一MAC与第二MAC相同,且终端已开户,则向第一接入装置发送第一注册响应消息。
在一种实现方式中,处理单元,还用于利用通信装置存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;通信单元,还用于向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在一种实现方式中,处理单元用于利用通信装置存储的认证密钥生成工作密钥时,具体用于:生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;通过第三随机数和通信装置存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;调用通信单元向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;调用通信单元接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
作为示例,处理单元可以为处理器,通信单元可以为收发器或通信接口,存储单元可以为存储器。
在一种实现方式中,所述通信装置包括:收发器,用于接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与该终端之间的无线资源控制RRC连接建立完成的情况下由该第一接入装置发送的;处理器,用于根据终端的标识,确定该终端是否开户;收发器,还用于若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功。
第五方面,本申请实施例提供了另一种通信装置,该通信装置具有实现上述第三方面所述的方法示例中第一接入装置的部分或全部功能,比如通信装置的功能可具备本申请中的部分或全部实施例中的功能,也可以具备单独实施本申请中的任一个实施例的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的单元或模块。
在一种实现方式中,该通信装置的结构中可包括通信单元和处理单元,所述处理单元被配置为支持通信装置执行上述方法中相应的功能。所述通信单元用于支持通信装置与其他设备之间的通信。所述通信装置还可以包括存储单元,所述存储单元用于与处理单元和发送单元耦合,其保存通信装置必要的计算机程序和数据。
在一种实现方式中,所述通信装置包括:通信单元,用于在通信装置与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;通信单元,还用于接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;通信单元,还用于向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,第二注册响应消息包括于接入层消息中。
在一种实现方式中,处理单元,用于在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识通信装置与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在一种实现方式中,通信单元,还用于接收来自终端的第二隧道标识,第二隧道标识由终端为通信装置分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,通信单元,还用于接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;并通过隧道向终端发送隧道数据包。
在一种实现方式中,处理单元,还用于在满足预设条件的情况下,释放隧道,并删除存储的第一隧道标识;通信单元,还用于向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在一种实现方式中,隧道对应有定时器;通信单元,还用于向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,通信装置停止为终端服务。
作为示例,处理单元可以为处理器,通信单元可以为收发器或通信接口,存储单元可以为存储器。
在一种实现方式中,所述通信装置包括:收发器,用于在通信装置与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;收发器,还用于接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;收发器,还用于向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
第六方面,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被通信装置执行时使该通信装置执行上述第二方面的方法。
第七方面,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被通信装置执行时使该通信装置执行上述第三方面的方法。
第八方面,本申请还提供了一种包括计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第二方面所述的方法。
第九方面,本申请还提供了一种包括计算机程序的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第三方面所述的方法。
第十方面,本申请提供了一种芯片系统,该芯片系统包括至少一个处理器和接口,用于支持接入网中的第二接入装置实现第二方面所涉及的功能,例如,确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存第二接入装置必要的计算机程序和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十一方面,本申请提供了一种芯片系统,该芯片系统包括至少一个处理器和接口,用于支持接入网中的第一接入装置实现第三方面所涉及的功能,例如,确定或处理上述方法中所涉及的数据和信息中的至少一种。在一种可能的设计中,所述芯片系统还包括存储器,所述存储器,用于保存第一接入装置必要的计算机程序和数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
附图说明
图1是应用本申请实施例的系统架构示意图;
图2a是本申请实施例提供的一种接入方法的流程示意图;
图2b是本申请实施例提供的一种第一接入装置与终端之间的RRC连接建立过程的流程示意图;
图3是本申请实施例提供的另一种接入方法的流程示意图;
图4是本申请实施例提供的又一种接入方法的流程示意图;
图5是本申请实施例提供的又一种接入方法的流程示意图;
图6a是本申请实施例提供的又一种接入方法的流程示意图;
图6b是本申请实施例提供的一种第二接入装置利用认证密钥生成工作密钥的流程示意图;
图7是本申请实施例提供的一种终端和第一接入装置协商是否需要启用完整性密钥和加密密钥的协商流程示意图;
图8是本申请实施例提供的一种通信装置的结构示意图;
图9是本申请实施例提供的另一种通信装置的结构示意图;
图10是本申请实施例提供的一种芯片的结构示意图。
具体实施方式
请参见图1,为应用本申请实施例的系统架构示意图,该系统架构可包括接入网系统,接入网系统可包括一个或多个接入网设备,图1以接入网系统包括第一接入装置101和第二接入装置102为例进行说明,不构成对本申请实施例的限定。可选的,该系统架构还可以包括终端103。
接入网设备用于将终端103接入到无线网络,可以为终端103提供无线资源管理、服务质量管理、数据加密和压缩等功能。在本申请实施例中,接入网设备可以为点对多点主站(point 2 multiple point,P2MP)基站(Base Station)(简称为PBS),PBS为放置在局端的终结P2MP协议的汇聚设备。该接入网设备还可以称为无线接入网(radio accessnetwork,RAN)设备。需要说明的是,接入网设备可以采用集中式单元(central unit,CU)与分布式单元(distributed unit,DU)分离的架构。并且,在CU-DU架构中,在CU部分,可以将CU分为集中式单元-控制面(central unit-control plane,CU-CP)和分布式单元-用户面(Central Unit-User Plane,CU-UP)。其中,CU-CP部分包括无线资源控制(Radio ResourceControl,RRC)功能以及分组数据汇聚协议(packet data convergence protocol,PDCP)的控制面部分,CU-UP部分包括CU的数据面部分,主要包括服务数据适配协议(service dataadaptation protocol,SDAP)协议以及PDCP协议的数据面部分。
图1中,第一接入装置101可具有与无线接入相关的功能。具体的,第一接入装置101可包括如下一个或多个模块:PHY模块、MAC模块、RLC模块、PDCP模块、RRC模块、SDAP模块、RRM模块、Paging模块或MBS模块。其中,PHY模块:可用于连接终端,完成空中接口部分的处理,例如编码/译码、调制/解调、等,并保持终端与接入网的同步。MAC模块:可用于逻辑信道和传输信道之间的映射、复用/解复用、调度、HARQ、逻辑信道优先级设置。RLC模块:可用于检错、纠错ARQ(AM实体);分段重组(UM实体和AM实体);重分段(AM实体);重复包检测(AM实体)。PDCP模块:可用于传输用户面和控制面数据、维护PDCP的SN号、路由、加密/解密和完整性保护、重排序、支持乱序递交、重复丢弃等。RRC模块:可用于系统消息、准入控制、安全管理、测量与上报等。SDAP模块:完成无线侧的承载与服务质量(Quality of Service,QoS)流之间的映射。RRM模块:可用于与该RRM模块对应的基站内部的无线资源管理,完成基站内部小区/扇区的无线资源管理,具体包括基站空口无线资源的管理和调度、基站辖域内用户QoS的管理、以及对无线链路信道环境的自适应等过程,还可用于终端在相邻基站间进行切换时的无线资源管理和调度,负责多个基站之间的无线资源管理和调度以及QoS管理等。Paging模块:可用于进行寻呼控制消息的下发和寻呼过程的调度处理。MBS模块:可用于进行多播广播业务(Multicast broadcast service,MBS)的调度、过程处理以及MBS业务的下发。应用于本申请实施例中,该第一接入装置101可以为基站,例如gNB。
第二接入装置102可具有终端接入服务相关的功能。具体的,第二接入装置102可包括如下一个或多个模块:终端接入管理模块,终端接入身份验证模块或终端接入授权模块等。其中,终端接入管理模块:可用于完成终端本身的注册管理。终端接入身份验证模块:可用于完成终端本身的身份验证。终端接入授权模块:可用于完成终端接入授权。
终端103是位于客户端的、给用户提供各种接口的用户侧单元。终端103也可以称为点对多点主站(point 2multiple point,P2MP)接入单元(access unit)(简称为PAU)、用户设备(User Equipment,UE)、终端设备、接入终端、用户单元、用户站、移动站、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置等。终端可以是无线终端也可以是有线终端,无线终端可以是指一种具有无线收发功能的设备,可以部署在陆地上,包括室内或室外、手持或车载;也可以部署在水面上(如轮船等);还可以部署在空中(例如飞机、气球和卫星上等)。终端103还可以是无人机、物联网(internet of things,IoT)设备(例如,传感器,电表,水表等)、车联网(vehicle-to-everything,V2X)设备、无线局域网(wireless local area networks,WLAN)中的站点(station,ST)、蜂窝电话、无绳电话、会话启动协议(session initiation protocol,SIP)电话、无线本地环路(wireless localloop,WLL)站、个人数字处理(personal digital assistant,PDA)设备、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备(也可以称为穿戴式智能设备)。终端还可以为各种通信系统中的终端,例如,5G通信系统或者未来演进的通信系统中的终端,或者未来演进的公共陆地移动网络(public landmobile network,PLMN)中的终端等,在此不作限定。
在本申请实施例中,终端103可包括如下一个或多个模块:无线接入模块,终端接入模块或终端信息本地存储模块。其中,无线接入模块可包括如下一种或多种子模块:PHY模块、MAC模块、RLC模块、PDCP模块或RRC模块。其中,各子模块的功能可参见前文描述,此处不再赘述。终端接入模块可用于完成终端的注册管理。终端信息本地存储模块可包括如下一个或多个子模块:终端信息本地输入模块或终端信息本地存储模块。其中,终端信息本地输入模块:可用于接受维护人员的信息输入,包括通过手工,或者批量导入工具输入。终端信息本地存储模块:可用于存储本终端开户的预置信息,如预置证书或者密钥等。
可选的,前述接入网系统还可以包括第三接入装置104,该第三接入装置104可具有终端信息集中存储功能。具体的,第三接入装置104可包括如下一个或多个模块:终端信息输入模块或终端信息存储模块。其中,终端信息输入模块:可用于接受维护人员的信息输入,包括通过手工,或者批量导入工具输入。终端信息存储模块:可用于集中存储管辖接入网所涉及的终端信息,如终端的标识(identity document,ID)、预置证书或者密钥等。
可选的,前述系统架构还可以包括核心网设备105和数据网络(data network,DN)106。终端103可通过接入网系统接入无线网络,然后通过核心网设备105访问数据网络106,以从数据网络106中获取所需的数据。其中,核心网设备105可具有如下功能:提供宽带接入服务、实现多种业务的汇聚与转发,满足不同用户对传输容量和带宽利用率的要求,用来终结和管理用户的以太网上的点对点协议(Point-to-Point Protocol Over Ethernet,PPPoE)/IPoE会话,提供认证服务、授权服务或计费服务。例如,该核心网设备可以包括宽带网络业务网关(broadband network gateway,BNG)和/或认证、授权和计费(Authentication、Authorization、Accounting,AAA)。数据网络106用于为用户提供业务服务,可以是私有网络,例如局域网;也可以是不受运营商管控的外部网络,例如互联网(Internet);还可以是运营商共同部署的专有网络,例如提供IP多媒体子系统(IPmultimedia subsystem,IMS)的网络。
应用在本申请中,第一接入装置101,用于在第一接入装置101与终端103之间的无线资源控制(radio resource control,RRC)连接建立完成的情况下,向第二接入装置102发送注册消息;该注册消息包括终端103的标识,该注册消息用于请求注册该终端103。第二接入装置102,用于在接收到该注册消息后,根据终端103的标识,确定终端103是否开户;若终端103已开户,则向第一接入装置101发送第一注册响应消息,该第一注册响应消息用于指示终端103注册成功。第一接入装置101,还用于在接收到第一注册响应消息后,向终端103发送第二注册响应消息,该第二注册响应消息用于指示终端103注册成功。通过这种方式,可以在接入网中注册终端,有利于降低建网成本。
本申请实施例中的终端可以不涉及漫游,可以理解为该终端的物理位置不会变化或不会发生大的变化。可以理解的是,该终端接入的网络也可以不支持移动性。换言之,本申请实施例中的接入网可以不支持移动性,这样可以降低建网成本。在一种实现方式中,其他终端还可以通过本申请实施例中的终端网络,例如,本申请实施例中的终端为路由器,连接该路由器的手机等设备(即其他终端)可通过该路由器连接网络。
需要说明的是,图1中,第一接入装置、第二接入装置和第三接入装置为相互独立的设备用于举例,并不构成对本申请实施例的限定。在实际部署中,第一接入装置、第二接入装置和第三接入装置中的全部或者部分装置可合设。例如,第一接入装置和第二接入装置可以合设,第一接入装置和第三接入装置可以合设,第二接入装置和第三接入装置可以合设,第一接入装置、第二接入装置和第三接入装置可以合设。可以理解的是,当多个装置合设的时候,本申请实施例提供的该多个装置之间的交互就成为该合设设备的内部操作或者可以省略。还需要说明的是,上述第一接入装置101可包括的模块也可以与第一接入装置101相独立,为不同的物理实体。例如,上述Paging模块可以与第一接入装置101相独立,Paging模块包括于不同于第一接入装置101的物体实体中,该物理实体可称为寻呼控制器(Paging Controller)。又如,MBS模块可以与第一接入装置101相独立,MBS模块包括于不同于第一接入装置101的物体实体中,该物理实体可称为MBS控制器(MBS Controller)。
本申请实施例描述的技术可用于各种通信系统,例如5G通信系统,多种通信系统融合的系统,或者未来演进的通信系统。
本申请实施例描述的技术可用于各种通信系统,例如第四代(4th generation,4G)通信系统,4.5G通信系统,5G通信系统,多种通信系统融合的系统,或者未来演进的通信系统,如6G通信系统。需要说明的是,本申请实施例中提及的设备名称、装置名称、消息名称等用于举例,应用于不同通信系统中,装置名称、设备名称和消息名称可以不同,本申请实施例对此不做限定。并且,消息中各参数的名字等只是一个示例,具体实现中也可以是其他的名字,本申请实施例对此不作具体限定。
可以理解的是,本申请实施例描述的通信系统是为了更加清楚的说明本申请实施例的技术方案,并不构成对本申请实施例提供的技术方案的限定,本领域技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面结合附图对本申请提供的接入网系统、接入方法及其装置进行详细地介绍。
请参见图2a,图2a是本申请实施例提供的一种接入方法的流程示意图。如图2a所示,该方法可以包括但不限于如下步骤:
步骤S201:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,该第一接入装置向第二接入装置发送注册消息;该注册消息包括该终端的标识,该注册消息用于请求注册该终端。相应的,第二接入装置接收该注册消息。
其中,终端的标识用于唯一标识该终端,例如,终端的标识可以为该终端的序列号(sequence number,SN)。
可选的,该注册消息还可以包括注册类型,注册类型可以用于指示该终端请求注册的原因。终端请求注册的原因可以为初始注册(initial registration)或紧急情况(emergency)。具体的,该注册消息可以包括注册类型值(registration type value),该注册类型值用于指示注册类型。可选的,该注册类型可以由下述步骤s200a中的RRC连接建立原因映射得到。例如,RRC连接建立原因为mt-Access时,注册类型可映射为initialregistration;RRC连接建立原因为mo-Signaling时,注册类型可映射为initialregistration;RRC连接建立原因为emergency registration时,注册类型可映射为emergency。
可选的,该注册消息还可以包括终端接入身份验证信息,终端接入身份验证信息可以包括但不限于认证终端所用的工作密钥、证书等信息。
如图2b所示,为第一接入装置与终端之间的RRC连接建立过程,该过程包括但不限于如下步骤:
s200a:终端向第一接入装置发送RRC建立请求消息,RRC建立请求消息用于请求建立第一接入装置与终端之间的RRC连接。相应的,第一接入装置接收该RRC建立请求消息。
该RRC建立请求消息可以包括如下一项或多项:终端的标识、RRC连接建立原因或终端接入身份验证信息。其中,终端的标识和终端接入身份验证信息可参见前文描述,此处不再赘述。RRC连接建立原因可用于指示该终端请求建立RRC连接的原因,该原因可以为主叫、被叫或紧急情况。示例性的,RRC连接建立原因可包括mt-Access、mo-Signaling或emergency,RRC连接建立原因包括mt-Access时,终端请求建立RRC连接的原因为被叫;RRC连接建立原因包括mo-Signaling时,终端请求建立RRC连接的原因为主叫;RRC连接建立原因包括emergency时,终端请求建立RRC连接的原因为紧急情况。
在满足第一预设条件的情况下,该终端可以触发接入流程,即向第一接入装置发送RRC建立请求消息。可选的,第一预设条件可以包括如下一项或多项:终端上电(如开机);网络停止为该终端服务,例如,该终端开户时约定了网络为该终端服务的时长,在网络实际为该终端服务的时长超过约定的时长时,网络会停止为该终端服务;终端版本更新。
s200b:第一接入装置向终端发送RRC建立消息,RRC建立消息包括用于建立信令无线承载(signaling radio bearer,SRB)承载的信息和无线资源配置信息。相应的,终端接收该RRC建立消息。
s200c:终端完成SRB1承载和无线资源配置。
s200d:终端向第一接入装置发送RRC建立完成消息,RRC建立完成消息用于指示RRC连接建立完成。相应的,第一接入装置接收该RRC建立完成消息。
第一接入装置接收到该RRC建立完成消息,即表明第一接入装置与终端之间的RRC连接建立完成。
步骤S202:第二接入装置根据该终端的标识,确定该终端是否开户。
第二接入装置可根据该终端的标识,查询是否存在该终端的开户信息,若存在,则表明该终端已开户;若不存在,则表示该终端未开户。
终端的开户信息可以包括如下一项或多项:终端的标识、终端的鉴权信息或Qos信息。其中,终端的标识参见前文描述。终端的鉴权信息可包括但不限于认证终端所用的认证密钥,证书等信息。认证密钥是在终端开户时,预先存储在该第二接入装置以及该终端中的。该认证密钥是由用户预配置的用于认证的鉴权码。Qos信息可用于指示终端的不同业务流所对应的QoS的信息。QoS信息可包括速率、时延等信息。其中,速率可通过如下一个或多个信元指示:UE Aggregate Maximum Bit Rate Downlink信元或UE Aggregate MaximumBit Rate Uplink信元。
可选的,终端在开户时,该终端的开户信息可存储于该第二接入装置本地。相应的,第二接入装置可在本地存储器中查询是否存在该终端的开户信息。
在一种实现方式中,第二接入装置根据终端的标识,确定该终端是否开户的具体实施方式可以为:第二接入装置向第三接入装置发送查询消息,该查询消息包括终端的标识,该查询消息用于请求查询该终端是否开户;第二接入装置接收来自该第三接入装置的查询响应消息,该查询响应消息用于指示该终端已开户。其中,第三接入装置,用于根据该查询消息中的终端的标识,查询该终端是否开户。若第三接入装置查询到该终端的开户信息,则可以向第二接入装置发送查询响应消息。可选的,第三接入装置未查询到该终端的开户信息,也可以向第二接入装置发送查询响应消息,此时,该查询响应消息用于指示该终端未开户。可以理解的是,在此种方式中,终端的开户信息可存储于第三接入装置中。
步骤S203:若该终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功。相应的,第一接入装置接收该第一注册响应消息。
第二接入装置在确定终端已开户的情况下,可以为该终端提供服务,即第二接入装置接受前述注册消息,此时该终端注册成功。第二接入装置还向第一接入装置发送第一注册响应消息,以使得第一接入装置在接收到该第一注册响应消息后,可获知该终端注册成功。
可选的,该第一注册响应消息可以包括给终端下发的配置信息,配置信息可包括速率,速率可通过如下一个或多个信元指示:UE Aggregate Maximum Bit Rate Downlink信元或UE Aggregate Maximum Bit Rate Uplink信元。UE Aggregate Maximum Bit RateDownlink信元、UE Aggregate Maximum Bit Rate Uplink信元均可以由第二接入装置根据终端开户时的信息(即该终端的签约信息)确定。
可选的,该终端未开户,第二接入装置拒绝前述注册消息,还可以向第一接入装置发送第一注册响应消息,此时,该第一注册响应消息用于指示该终端注册失败。
步骤S204:第一接入装置向终端发送第二注册响应消息,该第二注册响应消息用于指示该终端注册成功。
第一接入装置接收到该第一注册响应消息后,获知该终端注册成功,可以建立SRB和DRB承载,然后向终端发送第二注册响应消息。具体的,该第二注册响应消息可以显式或隐式的方式指示该终端注册成功。以显式方式指示时,该第二注册响应消息可以包括用于指示该终端注册成功的信元。该信元可以是新增的信元。以隐式方式指示时,若终端接收到第二注册响应消息,即表明该终端注册成功。若该终端未接收到第二注册响应消息,则表明该终端注册失败。
在第一种实现方式中,该第二注册响应消息可以包括于接入层消息中。此种方式中,终端注册是在接入网中完成的,并未涉及核心网。为了完成终端的注册,可通过扩展接入层消息来实现。采用这种方式,一方面可以降低甚至省去建设和维护核心网的成本,即可以大大降低建网成本。另一方面,相较于在核心网中注册终端的方式,该方式涉及核心网与接入网之间的交互,然而本申请所提供的接入方法可以不涉及核心网与接入网之间的交互,从而有利于提高终端的注册效率。可选的,该接入层消息可以为RRC重配消息。
可选的,在该第一种实现方式中,终端在接收到该第二注册响应消息后,可以向第一接入装置发送RRC重配完成消息,该RRC重配完成消息用于指示该终端获知自身注册成功。该RRC重配完成消息可以显式或隐式的方式指示该终端获知自身注册成功。显式或隐式的方式可参见第二注册响应消息以显式或隐式的方式指示该终端注册成功的实现方式,此处不再赘述。
可选的,在该第一种实现方式中,在终端注册失败的情况下,第一接入装置可以向终端发送RRC释放消息,该RRC释放消息用于指示终端释放与该第一接入装置之间的RRC连接。
在第二种实现方式中,该第二注册响应消息可以包括于非接入层NAS消息中。此种方式中,终端注册可以在简化的核心网中完成,即在该种方式下,仍然保留了NAS层。简化的核心网可以不支持移动性。终端的注册,是通过NAS消息完成的。需要说明的是,此处的NAS消息可以私有NAS协议对应的NAS消息,该私有NAS协议是针对简化的核心网定义的。此种方式下,前述第二接入装置还可以包括私有NAS协议模块,该私有NAS协议模块可用于执行与私有NAS协议相关的步骤。可以理解的是,第一接入装置和终端之间通过私有NAS协议定义的NAS消息交互,那么该终端也可以包括私有NAS协议模块,用于执行与私有NAS协议相关的步骤。采用这种方式,可以降低建设和维护核心网的成本。
可选的,在该第二种实现方式中,前述注册消息可以包括于非接入层NAS消息中。
可选的,在该第二种实现方式中,该第二注册响应消息可以包括于RRC下行信息中,RRC下行信息为3gpp中的称为DLInformationTransfer的一种消息。相应的,终端在接收到该第二注册响应消息后,可以向第一接入装置发送RRC上行信息(ULInformationTransfer),该RRC上行信息包括第一注册确认消息,该第一注册确认消息用于指示该终端获知自身注册成功。可选的,第一接入装置在接收到该RRC上行信息后,可以向第二接入装置发送第二注册确认消息,该第二注册确认消息可以指示第二接入装置该终端获知自身注册成功。
通过实施本申请实施例,在接入网中注册终端,可以降低甚至省去建设和维护核心网的成本,即可以大大降低建网成本。并且相较于在核心网中注册终端的方式,该方式涉及核心网与接入网之间的交互,然而本申请实施例所提供的接入方法不涉及核心网与接入网之间的交互,从而有利于提高终端的注册效率。
请参见图3,图3是本申请实施例提供的另一种接入方法的流程示意图,该方法详细描述了如何分配隧道标识。该方法可以包括但不限于如下步骤:
步骤S301:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,该第一接入装置向第二接入装置发送注册消息;该注册消息包括该终端的标识,该注册消息用于请求注册该终端。相应的,第二接入装置接收该注册消息。
步骤S302:第二接入装置根据该终端的标识,确定该终端是否开户。
步骤S303:若该终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功。相应的,第一接入装置接收该第一注册响应消息。
需要说明的是,步骤S301~步骤S303的执行过程可参见图2a中步骤S201~步骤S203的具体描述,此处不再赘述。
步骤S304:在确定终端注册成功的情况下,第一接入装置为该终端分配第一隧道标识,该第一隧道标识用于标识第一接入装置与该终端之间的隧道。
终端可以通过一个或多个第一接入装置接入网络,或者说终端可以归属于一个或多个第一接入装置。在终端归属于一个第一接入装置的情况下,第一接入装置为该终端分配的第一隧道标识可用于标识第一接入装置与该终端之间的隧道。在第一接入装置与该终端进行信息交互的情况下,交互信息中可以携带有第一隧道标识,第一接入装置接收到该交互信息后,通过该交互信息中的第一隧道标识,即可获知该交互信息来自哪个终端,即通过第一隧道标识,第一接入装置可区分不同的终端。第一接入装置接收到该交互信息后,通过该交互信息中的第一隧道标识,可获知该交互信息是否为发送给自己的信息。
参见步骤S204可知,在不包括核心网的情况下,终端通过接入网也可以成功注册。在不包括核心网的情况下,核心网网元(例如UPF)也不存在了。在包括核心网的情况下,终端通过核心网建立PDU会话,并通过PDU会话从数据网络中接收数据。在不包括核心网的情况下,终端可通过接入网从数据网络中接收数据。具体的,数据网络中的数据可以先传输至接入网(如接入网中的第一接入装置),然后从接入网传输至终端。第一接入装置通过为该终端分配第一隧道标识,可以标识第一接入装置与终端之间的隧道,从而可以通过该隧道从接入网中获取数据(该数据来自数据网络)。
在一种实现方式中,第一接入装置可以将终端的标识与该第一隧道标识关联存储。这样可以获知各个终端对应的第一隧道标识。例如,可以将终端的标识与第一隧道标识关联存储于隧道标识表1,如表1所示。从表1可知,为终端1分配的第一隧道标识为第一隧道标识1;为终端2分配的第一隧道标识为第一隧道标识2。
表1隧道标识表1
终端标识 第一隧道标识
终端1 第一隧道标识1
终端2 第一隧道标识2
在终端归属于多个第一接入装置的情况下,可选的,终端的不同QoS的业务数据可以分别通过不同的第一接入装置进行传输。例如,语音通过第一接入装置1进行传输;上网数据通过第一接入装置2进行传输。
在一种实现方式中,在终端归属于多个第一接入装置的情况下,终端还可以为第一接入装置分配第二隧道标识,并向第一接入装置发送该第二隧道标识,第二隧道标识和第一隧道标识用于共同标识该第一接入装置与该终端之间的隧道。换言之,在终端归属于多个第一接入装置的情况下,一个隧道需要两个隧道标识(即第二隧道标识和第一隧道标识)进行标识。
可选的,终端可以将第二隧道标识与第一隧道标识关联存储,关联存储的第一隧道标识和第二隧道标识用于标识同一隧道。例如,可以将第二隧道标识与第一隧道标识关联存储于隧道标识表2,如表2所示。从表2可知,第一隧道标识1和第二隧道标识1标识同一隧道(例如隧道1);第一隧道标识2和第二隧道标识2标识同一隧道(例如隧道2)。
表2隧道标识表2
第一隧道标识 第二隧道标识
第一隧道标识1 第二隧道标识1
第一隧道标识2 第二隧道标识2
可选的,第一接入装置在接收到终端为其分配的第二隧道标识后,还可以将终端的标识、第一接入装置为该终端分配的第一隧道标识以及该第二隧道标识关联存储。例如,可以将终端的标识、第一隧道标识和第二隧道标识关联存储于隧道标识表3,如表3所示。从表3可知,为终端1分配的第一隧道标识为第一隧道标识1,且第一隧道标识1和第二隧道标识1标识同一隧道(例如隧道1);为终端2分配的第一隧道标识为第一隧道标识2,且第一隧道标识2和第二隧道标识2标识同一隧道(例如隧道2)。
表3隧道标识表3
终端标识 第一隧道标识 第二隧道标识
终端1 第一隧道标识1 第二隧道标识1
终端2 第一隧道标识2 第二隧道标识2
在一种实现方式中,第一接入装置可采用如下方式为终端分配第一隧道标识:方式1,随机分配。方式2,固定分配。例如,固定为终端1分配的第一隧道标识为1,为终端2分配的第一隧道标识为2。方式3,依序递增。例如,为第一个接入的终端分配的第一隧道标识为0,为第二个接入的终端分配的第一隧道标识为1,为第三个接入的终端分配的第一隧道标识为2,以此类推。若可供分配的第一隧道标识从0~100,在100被分配给某个终端(即第一隧道标识溢出)后,对于下一个接入的终端,第一接入装置可以重新从0开始为终端分配第一隧道标识。若待分配的第一隧道标识(如0)已被某终端使用,那么可以跳过该第一隧道标识,继续从下一个第一隧道标识(如1)开始分配。
步骤S305:第一接入装置向终端发送第二注册响应消息,该第二注册响应消息用于指示该终端注册成功;该第二注册响应消息包括该终端的标识和该第一隧道标识。
第一接入装置为终端分配第一隧道标识后,示例性的,可将第一隧道标识携带于第二注册响应消息中发送给终端。或者,第一接入装置也可以通过其他消息向终端发送该第一隧道标识,本申请实施例对此不做限定。需要说明的是,步骤S305的其余执行过程可参见图2a中步骤S204的具体描述,此处不再赘述。
第一接入装置和终端可通过两者之间的隧道进行交互,在交互过程中,传输数据被封装为隧道数据包在隧道中传输。
在一种实现方式中,通过隧道进行下行数据传输的过程如下:第一接入装置接收来自宽带网络业务网关(broadband network gateway,BNG)的下行数据,该下行数据为待发送给终端的数据,该下行数据例如可以包括服务器发给家庭网络中的个人电脑(personal computer,PC)的上网数据;然后,第一接入装置将该下行数据封装为隧道数据包(即下行隧道数据包),该隧道数据包包括为该终端分配的第一隧道标识;并通过该第一接入装置和该终端之间的隧道向该终端发送该隧道数据包。相应的,该终端从该隧道中接收该隧道数据包,并对该隧道数据包进行解封装处理,得到下行数据。可选的,若该下行数据为待发送给该终端的下游设备(例如,该终端为路由器,下游设备为家庭网络中的PC)的数据,终端可以将解封装得到的下行数据发送给该下游设备。可选的,终端得到解封装得到的下行数据后,可以将该下行数据封装成IP数据包,并将该IP数据包发送给该下游设备。需要说明的是,该隧道数据包承载于数据无线承载(data radio bearer,DRB)中,该隧道数据包通过该DRB相关联的物理下行共享信道(Physical Downlink Shared CHannel,PDSCH)发送到终端。可选的,前述隧道数据包还可以包括前述第二隧道标识,该第二隧道标识由该终端为该第一接入装置分配;该第二隧道标识和该第一隧道标识用于共同标识第一接入装置与该终端之间的隧道。
在一种实现方式中,通过隧道进行上行数据传输的过程如下:终端将上行数据封装为上行隧道数据包,该上行隧道数据包包括第一接入装置为该终端分配的第一隧道标识;然后向该第一接入装置发送该上行隧道数据包;第一接入装置在接收到该上行隧道数据包后,对该上行隧道数据包进行解封装处理,得到上行数据,并向宽带网络业务网关BNG发送该上行数据。可选的,第一接入装置在对上行隧道数据包进行解封装处理得到上行数据后,可以将该上行数据封装成IP数据包,并向BNG发送该IP数据包。可选的,终端封装所用的上行数据可以来自该终端的下游设备。需要说明的是,该上行隧道数据包承载于数据无线承载(data radio bearer,DRB)中,该隧道数据包通过该DRB相关联的物理上行共享信道(Physical Uplink Shared CHannel,PDSCH)发送到第一接入装置。可选的,前述上行隧道数据包还可以包括前述第二隧道标识,该第二隧道标识由该终端为该第一接入装置分配;该第二隧道标识和该第一隧道标识用于共同标识第一接入装置与该终端之间的隧道。
可选的,隧道标识(如第一隧道标识、第二隧道标识)可包括于消息头中。例如隧道标识包括于隧道数据包的头部中。
现有技术中,终端在PDU会话建立过程中通过NAS消息获取IP地址,或者在PDU会话建立后通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)报文获取到IP地址,从而可以通过IP地址向终端发送数据。但是在前述提及的不支持NAS消息的接入网中,无从为终端分配IP地址。通过实施本申请实施例,第一接入装置通过为终端分配第一隧道标识,可以实现向终端发送信息。
请参见图4,图4是本申请实施例提供的又一种接入方法的流程示意图,该方法详细描述了如何进行隧道回收以及隧道保活。该方法可以包括但不限于如下步骤:
步骤S401:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,该第一接入装置向第二接入装置发送注册消息;该注册消息包括该终端的标识,该注册消息用于请求注册该终端。相应的,第二接入装置接收该注册消息。
步骤S402:第二接入装置根据该终端的标识,确定该终端是否开户。
步骤S403:若该终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功。相应的,第一接入装置接收该第一注册响应消息。
步骤S404:在确定终端注册成功的情况下,第一接入装置为该终端分配第一隧道标识,该第一隧道标识用于标识第一接入装置与该终端之间的隧道。
步骤S405:第一接入装置向终端发送第二注册响应消息,该第二注册响应消息用于指示该终端注册成功;该第二注册响应消息包括该终端的标识和该第一隧道标识。
需要说明的是,步骤S401~步骤S405的执行过程可参见图3中步骤S301~步骤S305的具体描述,此处不再赘述。
步骤S406:在满足预设条件的情况下,第一接入装置释放该第一接入装置与该终端之间的隧道,并删除存储的为该终端分配的第一隧道标识。
在隧道建立后,使用完该隧道后,可以释放该隧道,以节约资源。满足预设条件可以表明:已不再需要使用该隧道。第一接入装置释放该隧道后,删除存储的为该终端分配的第一隧道标识,这样该第一隧道标识后续可以被分配给其他终端,或者还可以后续重新配置给该终端。
在一种实现方式中,每创建一隧道后,该隧道可以对应有一个定时器。在定时器未超时的情况下,该隧道保持活性。在该定时器超时的情况下,该隧道失活,可以释放该隧道。前述预设条件可以包括如下一种或多种:该隧道的定时器超时,或者,第一接入装置停止为该终端服务。例如,该终端在开户时,签约的服务时间至6月10日,那么在6月10日后该第一接入装置将不再为该终端服务。
在一种实现方式中,第一接入装置向该终端发送包括为前述第一隧道标识的隧道数据包(即下行隧道数据包)的情况下,可以将该隧道对应的定时器重置为预设数值。或者,第一接入装置在接收到来自该终端的上行隧道数据包,并完成对该上行隧道数据包的解封装的情况下,可以将该隧道对应的定时器重置为预设数值。换言之,在使用该隧道传输数据的情况下,可以将该隧道对应的定时器重置为预设数值。该定时器的初始值为该预设数值,将该定时器重置为预设数值,该定时器对应的隧道可以保持活性。该预设数值可以由第一接入装置默认设置,或者可以由协议约定。示例性的,该预设数值可以为0。需要说明的是,定时器超时的含义为:该定时器达到超时数值。例如,预设数值为0时,超时数值可以为60,即在60秒内未使用该隧道进行数据传输,该隧道将被释放。可选的,该预设数值可以根据需要修改取值。
步骤S407:第一接入装置向该终端发送RRC释放消息,该RRC释放消息用于指示该终端释放该隧道并删除该第一隧道标识。相应的,该终端接收该RRC释放消息。
第一接入装置释放该第一接入装置与该终端之间的隧道,可以理解为释放的是第一接入装置侧的本地隧道。第一接入装置通过向终端发送RRC释放消息,可以使得终端侧的本地隧道被释放,第一接入装置侧和终端侧的本地隧道都释放的情况下,该第一接入装置和该终端之间的隧道被释放。
步骤S408:终端释放该隧道,并删除该第一隧道标识。
在未释放该隧道前,该终端处于连接态,在释放该隧道后,该终端从连接态进入空闲态(Idle态)。在一种实现方式中,若第一接入装置和终端之间的隧道用第一隧道标识和第二隧道标识共同标识的情况下,第一接入装置除了删除存储的为该终端分配的第一隧道标识以外,还可以删除该第二隧道标识。同理,RRC释放消息还可以用于指示终端删除该第二隧道标识。这样被删除的第二隧道标识后续可以分配给其他第一接入装置,或者还可以后续重新配置给该第一接入装置。
在本申请实施例中,在满足预设条件的情况下,第一接入装置释放该第一接入装置与该终端之间的隧道,并删除存储的为该终端分配的第一隧道标识,这样该第一隧道标识后续可以被分配给其他终端,或者还可以后续重新配置给该终端。采用这种方式,有利于节约资源。
请参见图5,图5是本申请实施例提供的又一种接入方法的流程示意图,该方法详细描述了如何认证终端。该方法可以包括但不限于如下步骤:
步骤S501:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,该第一接入装置向第二接入装置发送注册消息;该注册消息包括该终端的标识,该注册消息用于请求注册该终端。相应的,第二接入装置接收该注册消息。
步骤S502:第二接入装置根据该终端的标识,确定该终端是否开户。
需要说明的是,步骤S501~步骤S502的执行过程可参见图2a中步骤S201~步骤S202的具体描述,此处不再赘述。
步骤S503:第二接入装置向该终端发送认证消息,该认证消息包括该第二接入装置生成的第一随机数。相应的,该终端接收该认证消息。
第二接入装置在接收到注册消息后,可以生成第一随机数,并向终端发送认证消息。该第一随机数的位数不做限定,例如,第一随机数可以为64bit的随机数。需要说明的是,在本申请各实施例中,第二接入装置与终端之间可以进行直接交互,或者,第二接入装置与终端之间的信息交互可以通过第一接入装置实现,即第二接入装置与终端之间交互的信息通过第一接入装置转发。
步骤S504:该终端根据第二随机数以及该终端存储的认证密钥生成第一消息鉴权码MAC。
其中,该第二随机数是终端从来自第二接入装置的认证消息中获取到的。可以理解的是,在传输该认证消息的过程中未发生差错的情况下,该第二随机数即为第一随机数。
具体的,终端可以根据第二随机数以及该终端存储的认证密钥,通过算法(例如SHA256摘要算法)生成第一消息鉴权码(message authentication code,MAC)。其中,该认证密钥是在该终端开户时,预先存储在该第二接入装置以及该终端中的。该认证密钥是由用户预配置的用于认证的鉴权码。
步骤S505:终端向第二接入装置发送认证响应消息,该认证响应消息包括该第二随机数和该第一MAC。相应的,该第二接入装置接收该认证响应消息。
步骤S506:若该第二随机数与前述第一随机数相同,则第二接入装置根据该第二随机数与该第二接入装置存储的认证密钥,生成第二MAC。
第二接入装置接收到该认证响应消息后,可以验证认证响应消息中携带的随机数是否为自身生成的随机数,即判断第二随机数是否与第一随机数相同,若相同,则生成第二MAC。第二随机数是否与第一随机数相同可以表明第二接入装置向终端发送的认证消息中的第一随机数未被篡改,该终端成功准确接收到该第一随机数。并且,该认证响应消息的发送方与认证消息的接收方相同,均为该终端。可选的,若第二随机数与第一随机数不同,那么对该终端的认证失败,该终端无法接入网络。
具体的,第二接入装置可以根据第二随机数以及该第二接入装置存储的认证密钥,通过算法(例如SHA256摘要算法)生成第二MAC。需要说明的是,终端在生成第一MAC时所采用的算法也与第二接入装置生成第二MAC时所采用的算法相同。
步骤S507:若第一MAC与第二MAC相同,且该终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功。相应的,第一接入装置接收该第一注册响应消息。
第一MAC与第二MAC相同,可以表明该第二接入装置存储的认证密钥与该终端存储的认证密钥相同,对该终端的认证通过。需要说明的是,步骤S507的其余执行过程可参见图2a中步骤S203的具体描述,此处不再赘述。
步骤S508:第一接入装置向终端发送第二注册响应消息,该第二注册响应消息用于指示该终端注册成功。
需要说明的是,步骤S508的执行过程可参见图2a中步骤S204的具体描述,此处不再赘述。
由于通过认证密钥可进行认证,本申请实施例中的终端可以不包括用户识别卡(Subscriber Identity Module,SIM),这样可以降低终端成本。需要说明的是,终端不采用SIM卡,为了确保终端开机所需必要的参数,终端中可以配置前述终端信息本地存储模块,该终端信息本地存储模块可以存储终端在掉电后必需的开机参数。
在本申请实施例中,在终端的注册过程中,第二接入装置对该终端进行认证,在认证通过的情况下,该终端才能注册,有利于提高安全性。
请参见图6a,图6a是本申请实施例提供的又一种接入方法的流程示意图,该方法详细描述了如何生成工作密钥。该方法可以包括但不限于如下步骤:
步骤S601:在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,该第一接入装置向第二接入装置发送注册消息;该注册消息包括该终端的标识,该注册消息用于请求注册该终端。相应的,第二接入装置接收该注册消息。
步骤S602:第二接入装置根据该终端的标识,确定该终端是否开户。
步骤S603:若该终端已开户,则第二接入装置向第一接入装置发送第一注册响应消息,该第一注册响应消息用于指示该终端注册成功。相应的,第一接入装置接收该第一注册响应消息。
步骤S604:第一接入装置向终端发送第二注册响应消息,该第二注册响应消息用于指示该终端注册成功。
需要说明的是,步骤S601~步骤S604的执行过程可参见图2a中步骤S201~步骤S204的具体描述,此处不再赘述。
步骤S605:第二接入装置利用该第二接入装置存储的认证密钥生成工作密钥,该工作密钥用于对待发送给该终端的信息进行完整性保护和/或加密。
在一种实现方式中,第二接入装置利用该第二接入装置存储的认证密钥生成工作密钥的过程,可以如图6b所示,包括但不限于如下步骤:
s605a:第二接入装置生成第一密钥对和第三随机数,该第一密钥对包括第一公钥和第一私钥。
在本申请实施例中,私钥由密钥生成方保留,用于解密;公钥对外公开,用于加密、验证数字签名等。例如,第一私钥由第二接入装置保留;第二接入装置可以将第一公钥发送给终端。
具体的,第二接入装置可以根据DH(Diffie-Hellman)算法或者其他算法生成第一密钥对,对所采用的算法不做限定。本申请实施例对第三随机数的位数也不做限定,例如,该第三随机数可以为64bit的随机数。
s605b:第二接入装置通过第三随机数和第二接入装置存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果。
其中,第二接入装置存储的认证密钥的内容可参见图5对应实施例中的描述,此处不再赘述。
可选的,第二接入装置通过第三随机数和第二接入装置存储的认证密钥,采用加密算法对第一公钥和第三随机数进行加密,得到第一加密结果。其中,加密算法例如可以为高级加密标准(Advanced Encryption Standard,AES)。加密模式例如可以为密码分组链接模式(Cipher Block Chaining,CBC)、电码本模式(Electronic Codebook Book,ECB)、计算器模式(Counter,CTR)、输出反馈模式(Output FeedBack,OFB)、密码反馈模式(CipherFeedBack,CFB)等。
s605c:第二接入装置向该终端发送密钥协商请求消息,该密钥协商请求消息包括第三随机数和第一加密结果。相应的,该终端接收该密钥协商请求消息。
s605d:该终端对第一加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第二密钥对中的第二私钥,确定第一工作密钥。
终端对第一加密结果进行解密,将解密得到的随机数与密钥协商请求消息中的明文(即第三随机数)进行比较,若两者相同,则密钥协商请求消息认证通过。密钥协商请求消息认证通过表示该密钥协商请求消息在传输过程中未被篡改。进一步的,终端根据解密得到的公钥和第二密钥对中的第二私钥,确定第一工作密钥。其中,若解密得到的随机数与第三随机数相同,那么终端解密得到的公钥即为前述第一公钥。第二密钥对包括第二公钥和第二私钥,第二密钥对由该终端生成。可选的,终端可以根据DH算法或者其他算法生成第二密钥对,对所采用的算法不做限定。
s605e:该终端通过第三随机数和该终端存储的认证密钥,对第二公钥和第三随机数进行加密,得到第二加密结果。
可选的,该终端可通过第三随机数和该终端存储的认证密钥,采用前述加密算法对第二公钥和第三随机数进行加密,得到第二加密结果。
s605f:该终端向该第二接入装置发送密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果。相应的,该第二接入装置接收密钥协商响应消息。
s605g:第二接入装置对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和前述第一私钥,确定工作密钥(如称为第二工作密钥);该解密得到的公钥为前述第二公钥。
第二接入装置对第二加密结果进行解密,若解密得到的随机数与密钥协商响应消息中的明文(即第三随机数)相同,则密钥协商响应消息认证通过。
需要说明的是,终端生成的第一工作密钥与第二接入装置生成的第二工作密钥相同。该工作密钥(即第一工作密钥或第二工作密钥)用于对终端与网络(如第一接入装置)之间交互的信息进行完整性保护和/或加密。其中,交互的信息可以包括以下一项或多项:控制面的控制信息,用户面的数据信息。换言之,该工作密钥(即第一工作密钥或第二工作密钥)可以为控制面完整性密钥、控制面加密密钥、用户面完整性密钥或用户面加密密钥。
步骤S606:第二接入装置向该第一接入装置发送密钥指示消息,该密钥指示消息包括第二接入装置生成的工作密钥。
第一接入装置接收该工作密钥后,可以通过该工作密钥对待发送给终端的信息进行完整性保护和/或加密。
在一种实现方式中,工作密钥可以对应有密钥定时器,该密钥定时器用于判断对应的工作密钥是否可用。密钥定时器未超时,那么该密钥定时器对应的工作密钥可用。密钥定时器超时,那么该密钥定时器对应的工作密钥不可用。
需要说明的是,该密钥指示消息可以为密钥协商完成消息或密钥更新完成消息。密钥协商完成消息可以为终端注册成功后,第二接入装置第一次针对该终端生成工作密钥后,向第一接入装置发送的携带有该工作密钥的消息。密钥更新完成消息为终端注册成功后,第二接入装置后续(非第一次)针对该终端生成工作密钥后,向第一接入装置发送的携带有该工作密钥的消息。例如,在第二接入装置第一次针对该终端生成的工作密钥不可用的情况下,可以更新该工作密钥,即重新针对该终端生成工作密钥。需要说明的是,工作密钥的更新过程与第一次生成工作密钥的过程相同。
在一种实现方式中,除了工作密钥对应的密钥定时器超时会触发工作密钥更新流程以外,网络侧也可以触发密钥更新流程。例如,第二接入装置或者第一接入装置可以触发工作密钥更新流程。
在本申请实施例中,通过认证密钥生成工作密钥,可以提高安全性。
在一种实现方式中,终端和第一接入装置均获得完整性密钥和加密密钥后,终端和第一接入装置可基于实际需要,协商是否需要启用完整性密钥和加密密钥。协商过程可以如图7所示,包括但不限于如下步骤。
步骤S701:若需要支持RRC完整性保护,则第一接入装置通过控制面完整性算法和控制面完整性密钥得到MAC1。
其中,控制面完整性密钥可以是第一次生成的控制面完整性密钥,或者更新后的控制面完整性密钥,本申请实施例对此不做限定。第一接入装置通过控制面完整性算法和控制面完整性密钥计算MAC1,即第一接入装置启动了控制面完整性保护。
步骤S702:第一接入装置向终端发送包括MAC1的RRC密钥工作指示消息。相应的,终端接收该RRC密钥工作指示消息。
步骤S703:若需要支持RRC加密,则第一接入装置采用控制面加密密钥对下行控制面消息进行加密,得到下行加密消息。
第一接入装置采用控制面加密密钥对下行控制面消息进行加密,即第一接入装置启动了控制面加密。
步骤S704:第一接入装置向终端发送该下行加密消息。相应的,终端接收该下行加密消息。
步骤S705:若需要支持RRC完整性保护,且该终端验证MAC1成功,则该终端根据控制面完整性算法和控制面完整性密钥得到MAC2。
终端根据控制面完整性算法和控制面完整性密钥得到MAC2,即该终端启动了控制面完整性保护。
步骤S706:终端向第一接入装置发送RRC密钥工作响应,该RRC密钥工作响应包括MAC2。相应的,第一接入装置接收RRC密钥工作响应。
步骤S707:若需要支持RRC加密,则终端对下行加密消息进行解密。并采用控制面加密密钥对上行控制面消息进行加密,得到上行加密消息。
终端采用控制面加密密钥对上行控制面消息进行加密,即终端启动了控制面加密。
步骤S708:终端向第一接入装置发送上行加密消息。相应的,第一接入装置接收该上行加密消息。
至此控制面完整性保护和控制面加密的协商过程结束。接下来描述用户面完整性保护和用户面加密的协商过程。
步骤S709:若第一接入装置验证MAC2成功,且需要支持用户面完整性保护,则第一接入装置启动用户面完整性保护;若第一接入装置采用控制面加密密钥对上行加密消息解密成功,且需要支持用户面加密,则第一接入装置启动用户面加密。
第一接入装置启动用户面完整性保护,意味着:对于每个DRB,第一接入装置进行上行用户面完整性消息验证和下行用户面完整性保护,即第一接入装置通过用户面完整性算法、用户面完整性密钥、待传输的DRB中的用户面数据(如用户面上行数据、用户面下行数据)计算出一个值,根据该值进行完整性保护和验证。具体的,上行用户面完整性消息验证即:终端向第一接入装置发送的上行消息附加有该值。第一接入装置接收到上行消息后执行与终端相同的计算,得到一个值,将该值与该上行消息中附加的值进行比较。如果值相同,则第一接入装置可以确定上行消息在传送过程中没有被篡改过。下行用户面完整性保护即:第一接入装置根据用户面完整性算法、用户面完整性密钥和待发送给终端的用户面下行数据生成一个值,并将该值附加在包括该下行数据的下行消息中发送给终端,该终端通过验证该值,即可确定该下行消息在传输过程中是否被篡改。
第一接入装置启动用户面加密,意味着:对于每个DRB,启动上行用户面解密和下行用户面加密,即第一接入装置通过用户面加密算法、用户面加密密钥对每个DRB中的用户面数据进行加密、解密。
步骤S710:第一接入装置向终端发送RRC重配置消息,该RRC重配置消息用于指示终端激活用户面完整性保护和用户面加密。相应的,终端接收RRC重配置消息。
终端启动用户面完整性保护,意味着:对于每个DRB,终端进行下行用户面完整性消息验证和上行用户面完整性保护。终端启动用户面加密,意味着:对于每个DRB,启动上行用户面加密和下行用户面解密。
可选的,RRC重配置消息可用于指示终端根据安全策略激活用户面完整性保护和用户面加密。
可选的,若终端成功验证RRC重配置消息的完整性,则该终端可以向第一接入装置发送RRC重新配置完成消息。
可以理解的是,若第一接入装置未启动用户面完整性保护,可以不对DRB进行上行用户面完整性消息验证和下行用户面完整性保护;若第一接入装置未启动用户面加密,可以不对DRB启动上行用户面解密和下行用户面加密。同理,若终端未启动用户面完整性保护,可以不对DRB进行下行用户面完整性消息验证和上行用户面完整性保护;若终端未启动用户面加密,可以不对DRB进行上行用户面加密和下行用户面解密。
在本申请实施例中,完整性密钥和加密密钥通过第一接入装置和终端协商确定是否启用,这样可以避免在不需要启用的情况下,启用完整性保护和加密,这样可以避免资源浪费。
上述本申请提供的实施例中,对本申请实施例提供的方法进行了介绍。为了实现上述本申请实施例提供的方法中的各功能,接收端可以包括硬件结构、软件模块,以硬件结构、软件模块、或硬件结构加软件模块的形式来实现上述各功能。上述各功能中的某个功能可以以硬件结构、软件模块、或者硬件结构加软件模块的方式来执行。
请参见图8,为本申请实施例提供的一种通信装置80的结构示意图。图8所示的通信装置80可包括通信单元801和处理单元802。通信单元801可包括发送单元和/或接收单元,发送单元用于实现发送功能,接收单元用于实现接收功能,通信单元801可以实现发送功能和/或接收功能。通信单元也可以描述为收发单元。
通信装置80可以是接入网中的第一接入装置,也可以第一接入装置中的装置,还可以是能够与第一接入装置匹配使用的装置。或者,通信装置80可以是接入网中的第二接入装置,也可以第二接入装置中的装置,还可以是能够与第二接入装置匹配使用的装置。
通信装置80为第二接入装置:
通信单元801,用于接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与该终端之间的无线资源控制RRC连接建立完成的情况下由该第一接入装置发送的;
处理单元802,用于根据终端的标识,确定该终端是否开户;
通信单元801,还用于若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功。
在一种实现方式中,接入网还包括第三接入装置;处理单元802,具体用于:调用通信单元801向第三接入装置发送查询消息,查询消息包括终端的标识,该查询消息用于请求查询该终端是否开户;并调用通信单元801接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户。
在一种实现方式中,通信单元801,还用于向终端发送认证消息,认证消息包括通信装置80生成的第一随机数;接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;处理单元802,还用于若第二随机数与第一随机数相同,则根据第二随机数与通信装置80存储的认证密钥,生成第二MAC;通信单元801用于若终端已开户,则向第一接入装置发送第一注册响应消息时,具体用于:若第一MAC与第二MAC相同,且终端已开户,则向第一接入装置发送第一注册响应消息。
在一种实现方式中,处理单元802,还用于利用通信装置80存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;通信单元801,还用于向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在一种实现方式中,处理单元802用于利用通信装置80存储的认证密钥生成工作密钥时,具体用于:生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;通过第三随机数和通信装置80存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;调用通信单元801向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;调用通信单元801接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
通信装置80为第二接入装置时,用于实现图2a~图7对应实施例中第二接入装置的功能。
通信装置80为第一接入装置:
通信单元801,用于在通信装置80与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;
通信单元801,还用于接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;
通信单元801,还用于向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,第二注册响应消息包括于接入层消息中。
在一种实现方式中,处理单元802,用于在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识通信装置80与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在一种实现方式中,通信单元801,还用于接收来自终端的第二隧道标识,第二隧道标识由终端为通信装置80分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,通信单元801,还用于接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;并通过隧道向终端发送隧道数据包。
在一种实现方式中,处理单元802,还用于在满足预设条件的情况下,释放隧道,并删除存储的第一隧道标识;通信单元801,还用于向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在一种实现方式中,隧道对应有定时器;通信单元801,还用于向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,通信装置80停止为终端服务。
通信装置80为第一接入装置时,用于实现图2a~图7对应实施例中第一接入装置的功能。
请参见图9,图9是本申请实施例提供的另一种通信装置90的结构示意图。通信装置90可以是接入网中的第一接入装置,也可以是接入网中的第二接入装置,也可以是支持第一接入装置实现上述方法的芯片、芯片系统、或处理器等,还可以是支持第二接入装置实现上述方法的芯片、芯片系统、或处理器等。该装置可用于实现上述方法实施例中描述的方法,具体可以参见上述方法实施例中的说明。
通信装置90可以包括收发器901。收发器901可以称为收发单元、收发机、或收发电路等,用于实现收发功能。收发器901可以包括接收器和发送器,接收器可以称为接收机或接收电路等,用于实现接收功能;发送器可以称为发送机或发送电路等,用于实现发送功能。
通信装置90还可以包括一个或多个处理器902。处理器902可以是通用处理器或者专用处理器等。例如可以是基带处理器或中央处理器。基带处理器可以用于对通信协议以及通信数据进行处理,中央处理器可以用于对通信装置(如,基站、基带芯片,终端、终端芯片,DU或CU等)进行控制,执行计算机程序,处理计算机程序的数据。
可选的,通信装置90中可以包括一个或多个存储器903,其上可以存有计算机程序904,计算机程序可在通信装置90上被运行,使得通信装置90执行上述方法实施例中描述的方法。可选的,存储器903中还可以存储有数据。通信装置90和存储器903可以单独设置,也可以集成在一起。
通信装置90为第二接入装置的情况下:
收发器901,用于接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与该终端之间的无线资源控制RRC连接建立完成的情况下由该第一接入装置发送的;
处理器902,用于根据终端的标识,确定该终端是否开户;
收发器901,还用于若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功。
在一种实现方式中,接入网还包括第三接入装置;处理器902,具体用于:调用收发器901向第三接入装置发送查询消息,查询消息包括终端的标识,该查询消息用于请求查询该终端是否开户;并调用收发器901接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户。
在一种实现方式中,收发器901,还用于向终端发送认证消息,认证消息包括通信装置90生成的第一随机数;接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;处理器902,还用于若第二随机数与第一随机数相同,则根据第二随机数与通信装置90存储的认证密钥,生成第二MAC;收发器901用于若终端已开户,则向第一接入装置发送第一注册响应消息时,具体用于:若第一MAC与第二MAC相同,且终端已开户,则向第一接入装置发送第一注册响应消息。
在一种实现方式中,处理器902,还用于利用通信装置90存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;收发器901,还用于向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在一种实现方式中,处理器902用于利用通信装置90存储的认证密钥生成工作密钥时,具体用于:生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;通过第三随机数和通信装置90存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;调用收发器901向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;调用收发器901接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
通信装置90为第一接入装置的情况下:
收发器901,用于在通信装置90与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;
收发器901,还用于接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;
收发器901,还用于向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,第二注册响应消息包括于接入层消息中。
在一种实现方式中,处理器902,用于在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识通信装置90与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在一种实现方式中,收发器901,还用于接收来自终端的第二隧道标识,第二隧道标识由终端为通信装置90分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,收发器901,还用于接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;并通过隧道向终端发送隧道数据包。
在一种实现方式中,处理器902,还用于在满足预设条件的情况下,释放隧道,并删除存储的第一隧道标识;收发器901,还用于向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在一种实现方式中,隧道对应有定时器;收发器901,还用于向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,通信装置90停止为终端服务。
在一种实现方式中,处理器902中可以包括用于实现接收和发送功能的收发器。例如该收发器可以是收发电路,或者是接口,或者是接口电路。用于实现接收和发送功能的收发电路、接口或接口电路可以是分开的,也可以集成在一起。上述收发电路、接口或接口电路可以用于代码/数据的读写,或者,上述收发电路、接口或接口电路可以用于信号的传输或传递。
在一种实现方式中,处理器902可以存有计算机程序905,计算机程序905在处理器902上运行,可使得通信装置90执行上述方法实施例中描述的方法。计算机程序905可能固化在处理器902中,该种情况下,处理器902可能由硬件实现。
在一种实现方式中,通信装置90可以包括电路,电路可以实现前述方法实施例中发送或接收或者通信的功能。本申请中描述的处理器和收发器可实现在集成电路(integrated circuit,IC)、模拟IC、射频集成电路RFIC、混合信号IC、专用集成电路(application specific integrated circuit,ASIC)、印刷电路板(printed circuitboard,PCB)、电子设备等上。该处理器和收发器也可以用各种IC工艺技术来制造,例如互补金属氧化物半导体(complementary metal oxide semiconductor,CMOS)、N型金属氧化物半导体(nMetal-oxide-semiconductor,NMOS)、P型金属氧化物半导体(positive channelmetal oxide semiconductor,PMOS)、双极结型晶体管(bipolar junction transistor,BJT)、双极CMOS(BiCMOS)、硅锗(SiGe)、砷化镓(GaAs)等。
以上实施例描述中的通信装置可以是第一接入装置或者第二接入装置,但本申请中描述的通信装置的范围并不限于此,而且通信装置的结构可以不受图9的限制。通信装置可以是独立的设备或者可以是较大设备的一部分。例如通信装置可以是:
(1)独立的集成电路IC,或芯片,或,芯片系统或子系统;
(2)具有一个或多个IC的集合,可选的,该IC集合也可以包括用于存储数据,计算机程序的存储部件;
(3)ASIC,例如调制解调器(Modem);
(4)可嵌入在其他设备内的模块;
(5)接收机、终端、智能终端、蜂窝电话、无线设备、手持机、移动单元、车载设备、网络设备、云设备、人工智能设备等等;
(6)其他等等。
对于通信装置可以是芯片或芯片系统的情况,可参见图10所示的芯片的结构示意图。图10所示的芯片包括接口1001和处理器1002。其中,处理器1002的数量可以是一个或多个,接口1001的数量可以是多个。
对于芯片用于实现本申请实施例中第二接入装置的功能的情况:
接口1001,用于接收注册消息,注册消息包括终端的标识,注册消息用于请求注册终端;注册消息是在第一接入装置与该终端之间的无线资源控制RRC连接建立完成的情况下由该第一接入装置发送的;
处理器1002,用于根据终端的标识,确定该终端是否开户;
接口1001,还用于若该终端已开户,则向第一接入装置发送第一注册响应消息,第一注册响应消息用于指示该终端注册成功。
在一种实现方式中,接入网还包括第三接入装置;处理器1002,具体用于:调用接口1001向第三接入装置发送查询消息,查询消息包括终端的标识,该查询消息用于请求查询该终端是否开户;并调用接口1001接收来自第三接入装置的查询响应消息,查询响应消息用于指示终端已开户。
在一种实现方式中,接口1001,还用于向终端发送认证消息,认证消息包括第二接入装置生成的第一随机数;接收来自终端的认证响应消息,认证响应消息包括第二随机数和第一消息鉴权码MAC;第一MAC是终端根据第二随机数以及终端存储的认证密钥生成的;处理器1002,还用于若第二随机数与第一随机数相同,则根据第二随机数与第二接入装置存储的认证密钥,生成第二MAC;接口1001用于若终端已开户,则向第一接入装置发送第一注册响应消息时,具体用于:若第一MAC与第二MAC相同,且终端已开户,则向第一接入装置发送第一注册响应消息。
在一种实现方式中,处理器1002,还用于利用第二接入装置存储的认证密钥生成工作密钥,工作密钥用于对待发送给终端的信息进行完整性保护和/或加密;接口1001,还用于向第一接入装置发送密钥指示消息,密钥指示消息包括工作密钥。
在一种实现方式中,处理器1002用于利用第二接入装置存储的认证密钥生成工作密钥时,具体用于:生成第一密钥对和第三随机数,第一密钥对包括第一公钥和第一私钥;通过第三随机数和第二接入装置存储的认证密钥,对第一公钥和第三随机数进行加密,得到第一加密结果;调用接口1001向终端发送密钥协商请求消息,密钥协商请求消息包括第三随机数和第一加密结果;调用接口1001接收来自终端的密钥协商响应消息,密钥协商响应消息包括第三随机数和第二加密结果;第二加密结果是在终端对第一加密结果进行解密得到的随机数与第三随机数相同的情况下,通过第三随机数和终端存储的认证密钥,对第二公钥和第三随机数进行加密得到的;其中,第二公钥由终端生成;对第二加密结果进行解密,若解密得到的随机数与第三随机数相同,则根据解密得到的公钥和第一私钥,确定工作密钥;解密得到的公钥为第二公钥。
对于芯片用于实现本申请实施例中第一接入装置的功能的情况:
接口1001,用于在第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,向第二接入装置发送注册消息;注册消息包括终端的标识,注册消息用于请求注册终端;
接口1001,还用于接收来自第二接入装置的第一注册响应消息,第一注册响应消息用于指示终端注册成功;
接口1001,还用于向终端发送第二注册响应消息,第二注册响应消息用于指示终端注册成功。
在一种实现方式中,第二注册响应消息包括于非接入层NAS消息中。
在一种实现方式中,第二注册响应消息包括于接入层消息中。
在一种实现方式中,处理器1002,用于在确定终端注册成功的情况下,为终端分配第一隧道标识,第一隧道标识用于标识第一接入装置与终端之间的隧道;第二注册响应消息还包括终端的标识和第一隧道标识。
在一种实现方式中,接口1001,还用于接收来自终端的第二隧道标识,第二隧道标识由终端为第一接入装置分配;第二隧道标识和第一隧道标识用于共同标识隧道。
在一种实现方式中,接口1001,还用于接收来自宽带网络业务网关BNG的下行数据,下行数据为待发送给终端的数据;将下行数据封装为隧道数据包,隧道数据包包括第一隧道标识;并通过隧道向终端发送隧道数据包。
在一种实现方式中,处理器1002,还用于在满足预设条件的情况下,释放隧道,并删除存储的第一隧道标识;接口1001,还用于向终端发送RRC释放消息,RRC释放消息用于指示终端释放隧道并删除第一隧道标识。
在一种实现方式中,隧道对应有定时器;接口1001,还用于向终端发送包括第一隧道标识的隧道数据包的情况下,将定时器重置为预设数值;其中,预设条件包括:定时器超时,或者,第一接入装置停止为终端服务。
可选的,芯片还包括存储器1003,存储器1003用于存储必要的计算机程序和数据。
本领域技术人员还可以了解到本申请实施例列出的各种说明性逻辑块(illustrative logical block)和步骤(step)可以通过电子硬件、电脑软件,或两者的结合进行实现。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本申请实施例保护的范围。
本申请实施例还提供一种接入网系统,该系统可以包括图1~图7对应实施例中的第一接入装置和第二接入装置。可选的,还包括图1~图7对应实施例中的第三接入装置。可选的,还包括图1~图7对应实施例中的终端。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序包括程序指令,该程序指令被计算机执行时实现上述任一方法实施例的功能。
上述计算机可读存储介质包括但不限于快闪存储器、硬盘、固态硬盘。
本申请还提供了一种计算机程序产品,该计算机程序产品被计算机执行时实现上述任一方法实施例的功能。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序。在计算机上加载和执行所述计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机程序可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机程序可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(digital subscriber line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,高密度数字视频光盘(digital video disc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解:本申请中涉及的第一、第二等各种数字编号仅为描述方便进行的区分,并不用来限制本申请实施例的范围,也表示先后顺序。
本申请中的至少一个还可以描述为一个或多个,多个可以是两个、三个、四个或者更多个,本申请不做限制。在本申请实施例中,对于一种技术特征,通过“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”等区分该种技术特征中的技术特征,该“第一”、“第二”、“第三”、“A”、“B”、“C”和“D”描述的技术特征间无先后顺序或者大小顺序。
本申请中各表所示的对应关系可以被配置,也可以是预定义的。各表中的信息的取值仅仅是举例,可以配置为其他值,本申请并不限定。在配置信息与各参数的对应关系时,并不一定要求必须配置各表中示意出的所有对应关系。例如,本申请中的表格中,某些行示出的对应关系也可以不配置。又例如,可以基于上述表格做适当的变形调整,例如,拆分,合并等等。上述各表中标题示出参数的名称也可以采用通信装置可理解的其他名称,其参数的取值或表示方式也可以通信装置可理解的其他取值或表示方式。上述各表在实现时,也可以采用其他的数据结构,例如可以采用数组、队列、容器、栈、线性表、指针、链表、树、图、结构体、类、堆、散列表或哈希表等。
本申请中的预定义可以理解为定义、预先定义、存储、预存储、预协商、预配置、固化、或预烧制。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (30)

1.一种接入网系统,其特征在于,所述系统包括接入网中的第一接入装置和第二接入装置;其中,
所述第一接入装置,用于在所述第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,向所述第二接入装置发送注册消息;所述注册消息包括所述终端的标识,所述注册消息用于请求注册所述终端;
所述第二接入装置,用于根据所述终端的标识,确定所述终端是否开户;若所述终端已开户,则向所述第一接入装置发送第一注册响应消息,所述第一注册响应消息用于指示所述终端注册成功;
所述第一接入装置,还用于向所述终端发送第二注册响应消息,所述第二注册响应消息用于指示所述终端注册成功。
2.如权利要求1所述的系统,其特征在于,所述系统还包括接入网中的第三接入装置;
所述第二接入装置用于根据所述终端的标识,确定所述终端是否开户时,具体用于:向所述第三接入装置发送查询消息,所述查询消息包括所述终端的标识;并接收来自所述第三接入装置的查询响应消息,所述查询响应消息用于指示所述终端已开户;
所述第三接入装置,用于根据所述查询消息中的所述终端的标识,查询所述终端是否开户。
3.如权利要求1或2所述的系统,其特征在于,所述第二注册响应消息包括于非接入层NAS消息中。
4.如权利要求1或2所述的系统,其特征在于,所述第二注册响应消息包括于接入层消息中。
5.如权利要求1~4中任一项所述的系统,其特征在于,
所述第一接入装置,还用于在确定所述终端注册成功的情况下,为所述终端分配第一隧道标识,所述第一隧道标识用于标识所述第一接入装置与所述终端之间的隧道;所述第二注册响应消息还包括所述终端的标识和所述第一隧道标识。
6.如权利要求5所述的系统,其特征在于,
所述第一接入装置,还用于将所述终端的标识与所述第一隧道标识关联存储。
7.如权利要求5或6所述的系统,其特征在于,
所述第一接入装置,还用于接收来自所述终端的第二隧道标识,所述第二隧道标识由所述终端为所述第一接入装置分配;所述第二隧道标识和所述第一隧道标识用于共同标识所述隧道。
8.如权利要求5~7任一项所述的系统,其特征在于,
所述第一接入装置,还用于接收来自宽带网络业务网关BNG的下行数据,所述下行数据为待发送给所述终端的数据;并将所述下行数据封装为隧道数据包,所述隧道数据包包括所述第一隧道标识;通过所述隧道向所述终端发送所述隧道数据包。
9.如权利要求8所述的系统,其特征在于,所述隧道数据包还包括第二隧道标识,所述第二隧道标识由所述终端为所述第一接入装置分配;所述第二隧道标识和所述第一隧道标识用于共同标识所述第一接入装置与所述终端之间的隧道。
10.如权利要求5~9任一项所述的系统,其特征在于,
所述第一接入装置,还用于在满足预设条件的情况下,释放所述隧道,并删除存储的所述第一隧道标识;
所述第一接入装置,还用于向所述终端发送RRC释放消息,所述RRC释放消息用于指示所述终端释放所述隧道并删除所述第一隧道标识。
11.如权利要求10所述的系统,其特征在于,所述隧道对应有定时器;
所述第一接入装置,还用于向所述终端发送包括所述第一隧道标识的隧道数据包的情况下,将所述定时器重置为预设数值;
其中,所述预设条件包括:所述定时器超时,或者,所述第一接入装置停止为所述终端服务。
12.如权利要求1~11任一项所述的系统,其特征在于,
所述第二接入装置,还用于向所述终端发送认证消息,所述认证消息包括所述第二接入装置生成的第一随机数;
所述第二接入装置,还用于接收来自所述终端的认证响应消息,所述认证响应消息包括第二随机数和第一消息鉴权码MAC;所述第一MAC是所述终端根据所述第二随机数以及所述终端存储的认证密钥生成的;
所述第二接入装置,还用于若所述第二随机数与所述第一随机数相同,则根据所述第二随机数与所述第二接入装置存储的认证密钥,生成第二MAC;
所述第二接入装置用于若所述终端已开户,则向所述第一接入装置发送第一注册响应消息时,具体用于:若所述第一MAC与所述第二MAC相同,且所述终端已开户,则向所述第一接入装置发送第一注册响应消息。
13.如权利要求1~12任一项所述的系统,其特征在于,
所述第二接入装置,还用于利用所述第二接入装置存储的认证密钥生成工作密钥,所述工作密钥用于对待发送给所述终端的信息进行完整性保护和/或加密;
所述第二接入装置,还用于向所述第一接入装置发送密钥指示消息,所述密钥指示消息包括所述工作密钥。
14.如权利要求13所述的系统,其特征在于,所述第二接入装置用于利用所述第二接入装置存储的认证密钥生成工作密钥时,具体用于:
生成第一密钥对和第三随机数,所述第一密钥对包括第一公钥和第一私钥;
通过所述第三随机数和所述第二接入装置存储的认证密钥,对所述第一公钥和所述第三随机数进行加密,得到第一加密结果;
向所述终端发送密钥协商请求消息,所述密钥协商请求消息包括所述第三随机数和所述第一加密结果;
接收来自所述终端的密钥协商响应消息,所述密钥协商响应消息包括所述第三随机数和第二加密结果;所述第二加密结果是在所述终端对所述第一加密结果进行解密得到的随机数与所述第三随机数相同的情况下,通过所述第三随机数和所述终端存储的认证密钥,对第二公钥和所述第三随机数进行加密得到的;其中,所述第二公钥由所述终端生成;
对所述第二加密结果进行解密,若解密得到的随机数与所述第三随机数相同,则根据解密得到的公钥和所述第一私钥,确定工作密钥;所述解密得到的公钥为所述第二公钥。
15.一种接入方法,其特征在于,应用于接入网,所述接入网包括第一接入装置和第二接入装置,所述方法包括:
所述第二接入装置接收注册消息,所述注册消息包括终端的标识,所述注册消息用于请求注册所述终端;所述注册消息是在所述第一接入装置与所述终端之间的无线资源控制RRC连接建立完成的情况下由所述第一接入装置发送的;
所述第二接入装置根据所述终端的标识,确定所述终端是否开户;
若所述终端已开户,则所述第二接入装置向所述第一接入装置发送第一注册响应消息,所述第一注册响应消息用于指示所述终端注册成功。
16.如权利要求15所述的方法,其特征在于,所述接入网还包括第三接入装置;
所述第二接入装置根据所述终端的标识,确定所述终端是否开户,包括:
所述第二接入装置向所述第三接入装置发送查询消息,所述查询消息包括所述终端的标识,所述查询消息用于请求查询所述终端是否开户;
所述第二接入装置接收来自所述第三接入装置的查询响应消息,所述查询响应消息用于指示所述终端已开户。
17.如权利要求15或16所述的方法,其特征在于,所述方法还包括:
所述第二接入装置向所述终端发送认证消息,所述认证消息包括所述第二接入装置生成的第一随机数;
所述第二接入装置接收来自所述终端的认证响应消息,所述认证响应消息包括第二随机数和第一消息鉴权码MAC;所述第一MAC是所述终端根据所述第二随机数以及所述终端存储的认证密钥生成的;
若所述第二随机数与所述第一随机数相同,则所述第二接入装置根据所述第二随机数与所述第二接入装置存储的认证密钥,生成第二MAC;
所述若所述终端已开户,则所述第二接入装置向所述第一接入装置发送第一注册响应消息,包括:
若所述第一MAC与所述第二MAC相同,且所述终端已开户,则所述第二接入装置向所述第一接入装置发送第一注册响应消息。
18.如权利要求15~17任一项所述的方法,其特征在于,所述方法还包括:
所述第二接入装置利用所述第二接入装置存储的认证密钥生成工作密钥,所述工作密钥用于对待发送给所述终端的信息进行完整性保护和/或加密;
所述第二接入装置向所述第一接入装置发送密钥指示消息,所述密钥指示消息包括所述工作密钥。
19.如权利要求18所述的方法,其特征在于,所述第二接入装置利用所述第二接入装置存储的认证密钥生成工作密钥,包括:
所述第二接入装置生成第一密钥对和第三随机数,所述第一密钥对包括第一公钥和第一私钥;
所述第二接入装置通过所述第三随机数和所述第二接入装置存储的认证密钥,对所述第一公钥和所述第三随机数进行加密,得到第一加密结果;
所述第二接入装置向所述终端发送密钥协商请求消息,所述密钥协商请求消息包括所述第三随机数和所述第一加密结果;
所述第二接入装置接收来自所述终端的密钥协商响应消息,所述密钥协商响应消息包括所述第三随机数和第二加密结果;所述第二加密结果是在所述终端对所述第一加密结果进行解密得到的随机数与所述第三随机数相同的情况下,通过所述第三随机数和所述终端存储的认证密钥,对第二公钥和所述第三随机数进行加密得到的;其中,所述第二公钥由所述终端生成;
所述第二接入装置对所述第二加密结果进行解密,若解密得到的随机数与所述第三随机数相同,则根据解密得到的公钥和所述第一私钥,确定工作密钥;所述解密得到的公钥为所述第二公钥。
20.一种接入方法,其特征在于,应用于接入网,所述接入网包括第一接入装置和第二接入装置,所述方法包括:
在所述第一接入装置与终端之间的无线资源控制RRC连接建立完成的情况下,所述第一接入装置向所述第二接入装置发送注册消息;所述注册消息包括所述终端的标识,所述注册消息用于请求注册所述终端;
所述第一接入装置接收来自所述第二接入装置的第一注册响应消息,所述第一注册响应消息用于指示所述终端注册成功;
所述第一接入装置向所述终端发送第二注册响应消息,所述第二注册响应消息用于指示所述终端注册成功。
21.如权利要求20所述的方法,其特征在于,所述第二注册响应消息包括于非接入层NAS消息中。
22.如权利要求20所述的方法,其特征在于,所述第二注册响应消息包括于接入层消息中。
23.如权利要求20~22中任一项所述的方法,其特征在于,所述方法还包括:
所述第一接入装置在确定所述终端注册成功的情况下,为所述终端分配第一隧道标识,所述第一隧道标识用于标识所述第一接入装置与所述终端之间的隧道;所述第二注册响应消息还包括所述终端的标识和所述第一隧道标识。
24.如权利要求23所述的方法,其特征在于,所述方法还包括:
所述第一接入装置接收来自所述终端的第二隧道标识,所述第二隧道标识由所述终端为所述第一接入装置分配;所述第二隧道标识和所述第一隧道标识用于共同标识所述隧道。
25.如权利要求23或24所述的方法,其特征在于,所述方法还包括:
所述第一接入装置接收来自宽带网络业务网关BNG的下行数据,所述下行数据为待发送给所述终端的数据;
所述第一接入装置将所述下行数据封装为隧道数据包,所述隧道数据包包括所述第一隧道标识;
所述第一接入装置通过所述隧道向所述终端发送所述隧道数据包。
26.如权利要求23~25任一项所述的方法,其特征在于,所述方法还包括:
在满足预设条件的情况下,所述第一接入装置释放所述隧道,并删除存储的所述第一隧道标识;
所述第一接入装置向所述终端发送RRC释放消息,所述RRC释放消息用于指示所述终端释放所述隧道并删除所述第一隧道标识。
27.如权利要求26所述的方法,其特征在于,所述隧道对应有定时器;所述方法还包括:
所述第一接入装置向所述终端发送包括所述第一隧道标识的隧道数据包的情况下,将所述定时器重置为预设数值;
其中,所述预设条件包括:所述定时器超时,或者,所述第一接入装置停止为所述终端服务。
28.一种通信装置,其特征在于,所述装置包括处理器和存储器,所述存储器中存储有程序指令,所述处理器执行所述存储器中存储的程序指令,以使所述装置执行如权利要求15~19或20~27中任一项所述的方法。
29.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被通信装置执行时,使得如权利要求15~19或20~27中任一项所述的方法被执行。
30.一种计算机程序产品,其特征在于,所述计算机程序产品包括程序指令,所述程序指令被通信装置执行时,使得如权利要求15~19或20~27中任一项所述的方法被执行。
CN202110822207.7A 2021-07-19 2021-07-19 一种接入网系统、接入方法及其装置 Pending CN115643560A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110822207.7A CN115643560A (zh) 2021-07-19 2021-07-19 一种接入网系统、接入方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110822207.7A CN115643560A (zh) 2021-07-19 2021-07-19 一种接入网系统、接入方法及其装置

Publications (1)

Publication Number Publication Date
CN115643560A true CN115643560A (zh) 2023-01-24

Family

ID=84940503

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110822207.7A Pending CN115643560A (zh) 2021-07-19 2021-07-19 一种接入网系统、接入方法及其装置

Country Status (1)

Country Link
CN (1) CN115643560A (zh)

Similar Documents

Publication Publication Date Title
CN110798833B (zh) 一种鉴权过程中验证用户设备标识的方法及装置
CN101183938B (zh) 一种无线网络安全传输方法、系统及设备
CN110830989B (zh) 一种通信方法和装置
US9515824B2 (en) Provisioning devices for secure wireless local area networks
US8441974B2 (en) Method of providing multicast broadcast service
CN110891269B (zh) 一种数据保护方法、设备及系统
EP3691316B1 (en) Parameter protection method, device and system
TW201720216A (zh) 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置
US11140545B2 (en) Method, apparatus, and system for protecting data
CN111818516B (zh) 认证方法、装置及设备
WO2021047276A1 (zh) 一种密钥生成方法及装置
IL271911B2 (en) A method for transmitting information about end units and related products
CN113518315B (zh) 一种配置无线承载的方法、装置及系统
JP7442690B2 (ja) 安全な通信方法、関連する装置、およびシステム
CN108882233B (zh) 一种imsi的加密方法、核心网和用户终端
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN102883265A (zh) 接入用户的位置信息发送和接收方法、设备及系统
CN115643560A (zh) 一种接入网系统、接入方法及其装置
WO2018222133A2 (zh) 数据保护方法、装置以及系统
CN110650476B (zh) 管理帧加密和解密
WO2024065336A1 (zh) 一种侧行链路定位方法及装置
WO2024067641A1 (zh) 一种通信方法及装置、计算机可读存储介质和通信系统
KR100684306B1 (ko) 무선 휴대 인터넷 시스템에서의 서비스별 트래픽 암호화키 요청과 생성 및 분배 방법 및 그 장치와, 그 프로토콜구성 방법
US20190141621A1 (en) Wireless communication device and method
CN116918300A (zh) 用于操作蜂窝网络的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication