TW201824900A - 一種接入控制的方法及設備 - Google Patents
一種接入控制的方法及設備 Download PDFInfo
- Publication number
- TW201824900A TW201824900A TW106140672A TW106140672A TW201824900A TW 201824900 A TW201824900 A TW 201824900A TW 106140672 A TW106140672 A TW 106140672A TW 106140672 A TW106140672 A TW 106140672A TW 201824900 A TW201824900 A TW 201824900A
- Authority
- TW
- Taiwan
- Prior art keywords
- user equipment
- access
- authentication
- network
- service center
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/12—Interfaces between hierarchically different network devices between access points and access point controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/04—Interfaces between hierarchically different network devices
- H04W92/10—Interfaces between hierarchically different network devices between terminal device and access point, i.e. wireless air interface
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/20—Selecting an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/005—Moving wireless networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本發明屬於無線通訊技術領域,特別是一種接入控制的方法及設備,用以解決現有技術中存在的使用者設備無法安全地接入APG的問題。本發明實施例中,使用者設備在需要接入網路時,與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。由於本發明實施例採用雙層雙向鑒權,並在雙層雙向鑒權通過後,該使用者設備能夠接入對應的接入節點組,從而實現使用者設備安全地接入對應的接入節點組。
Description
本發明屬於無線通訊技術領域,特別是關於一種接入控制的方法及設備。
在未來的網路中,傳統的大功率巨集基地台與大量部署的低功率小基地台將組成超高密度網路(Ultra Dense Network,UDN),這是滿足未來無線移動通信資料速率需求的一種很有前景的選擇。
在UDN場景中,AP(Access Point,接入節點)甚至可能具有與使用者數量相當的密度。為更好地提升用戶體驗,提出了一種以用戶為中心的超高密度網路(User-centric Ultra Dense Network,UUDN)方案。在UUDN場景中,將組織動態變化的接入節點組(Access Points Group,APG),即UDN/UUDN場景中每一個使用者設備對應的一個APG,跟隨用戶的移動無感知地為使用者提供服務。
在現有的移動通信系統接入網,如演進的通用陸地無線接入網(Evolved Universal Terrestrial Radio Access Network,E-UTRAN)中,AP由運營商在安全可信的環境中部署和維護。在使用者設備需要接入E-UTRAN時,該使用者設備與移動管理實體(Mobility Management Entity,MME)進行雙向鑒權,在鑒權通過後,該使用者設備直接接入演進型基地 台(evolved Node B,eNB)或家庭演進型基地台(Home evolved Node B,HeNB)。但是在UDN/UUDN場景中,AP功能多樣化,部署方式靈活多樣,甚至可能由用戶自行部署,UDN/UUDN場景中接入網物理安全環境複雜且差異巨大。由於為使用者設備提供服務的APG成員的動態性,並且一個AP可能歸屬於多個APG,因此,若仍然使用現有的使用者設備接入控制的方法,並不能排除非法AP假冒一個合法APG中的AP實施安全攻擊的情況,無法保證使用者設備接入的安全性。顯然目前使用者設備直接接入eNB或HeNB的方法並不適用於UDN/UUDN場景。
綜上所述,目前針對UDN/UUDN場景,還沒有一種使用者設備接入APG的方法。
本發明實施例提供一種接入控制的方法及設備,用以解決現有技術中存在的,在UDN/UUDN場景中,使用者設備無法安全地接入APG的問題。
第一方面,本發明實施例提供的一種接入控制的方法,包括:使用者設備在需要接入網路時,該使用者設備與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,該使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。
可選的,該使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,包括:該使用者設備根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;該使用者設備在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
可選的,該使用者設備根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權,包括:該使用者設備根據該接入層鑒權請求訊息中的亂數確定第二鑒權標記;若該第二鑒權標記與該接入層鑒權請求訊息中的第一鑒權標記相同,則該使用者設備確定對網路鑒權通過。
可選的,該使用者設備在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,包括:該使用者設備在鑒權通過後,根據該亂數確定鑒權回應參數;該使用者設備向該目標節點返回包含該節點組標識和該鑒權回應參數的接入層鑒權請求回應訊息,以使該目標節點根據該節點組標識和該鑒權回應參數對該使用者設備進行鑒權。
第二方面,本發明實施例提供的一種接入控制的方法,包括:本機服務中心在接收到使用者設備的接入請求訊息後,與該使用者設 備進行網路層雙向鑒權;該本機服務中心在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;該本機服務中心通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允許該使用者設備接入。
可選的,該本機服務中心在接收到使用者設備的接入請求訊息之後,與該使用者設備進行網路層雙向鑒權之前,還包括:該本機服務中心根據該接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求該使用者設備對應的網路層鑒權參數;該本機服務中心與該使用者設備進行網路層雙向鑒權,包括:該本機服務中心根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權。
可選的,該本機服務中心根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權,包括:該本機服務中心向該使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以使該使用者設備根據該網路層鑒權請求訊息對網路進行鑒權;若該本機服務中心接收到該使用者設備返回的網路層鑒權請求回應訊息,則根據該網路層鑒權請求回應訊息對該使用者設備進行鑒權。
可選的,該本機服務中心根據該使用者設備返回的網路層鑒權請求回應訊息,對該使用者設備進行鑒權,包括: 若該網路層鑒權請求回應訊息中包含的鑒權回應參數與該網路層鑒權參數中的期望回應參數相同,該本機服務中心確定對該使用者設備鑒權通過。
可選的,該本機服務中心通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,包括:該本機服務中心確定該接入節點組中的目標節點;該本機服務中心通知該目標節點與該使用者設備進行接入層雙向鑒權。
可選的,該本機服務中心通知該目標節點與該使用者設備進行接入層雙向鑒權,包括:該本機服務中心將該接入節點組對應的節點組標識和該使用者設備對應的接入層鑒權參數發送給該目標節點,以使該目標節點根據該節點組標識和該接入層鑒權參數,與該使用者設備進行接入層雙向鑒權。
可選的,該本機服務中心根據下列方式確定該使用者設備對應的接入層鑒權參數:該本機服務中心從網路服務中心獲取該使用者設備對應的接入層鑒權參數;或該本機服務中心根據該使用者設備對應的網路層鑒權參數,以及該節點組標識,確定該使用者設備對應的接入層鑒權參數。
協力廠商面,本發明實施例提供的一種接入控制的方法,包括:接入節點接收本機服務中心發送的使用者設備對應的接入層鑒權參數, 其中該接入層鑒權參數是該本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;該接入節點與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入對應的接入節點組中的接入節點。
可選的,該接入節點與該接入層鑒權參數對應的使用者設備進行接入層雙向鑒權,包括:該接入節點向該使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以使該使用者設備根據該接入層鑒權請求訊息對網路進行鑒權;若該接入節點接收到該使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用者設備進行鑒權。
可選的,該接入節點根據該使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,對該使用者設備進行鑒權,包括:若該接入層鑒權請求回應訊息中包含的鑒權回應參數,與該接入層鑒權參數中的期望回應參數相同,該接入節點確定對該使用者設備鑒權通過。
第四方面、本發明實施例提供的一種使用者設備,包括:第一網路鑒權模組,用於在需要接入網路時,與本機服務中心進行網路層雙向鑒權;第一接入鑒權模組,用於在網路層雙向鑒權通過後,與對應的接入節 點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。
可選的,該第一接入鑒權模組,具體用於:根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
可選的,該第一接入鑒權模組,具體用於:根據該接入層鑒權請求訊息中的亂數確定第二鑒權標記;若該第二鑒權標記與該接入層鑒權請求訊息中的第一鑒權標記相同,則確定對網路鑒權通過。
可選的,該第一接入鑒權模組,具體用於:在鑒權通過後,根據該亂數確定鑒權回應參數;向該目標節點返回包含該節點組標識和該鑒權回應參數的接入層鑒權請求回應訊息,以使該目標節點根據該節點組標識和該鑒權回應參數對該使用者設備進行鑒權。
第五方面、本發明實施例提供的一種本機服務中心,包括:第二網路鑒權模組,用於在接收到使用者設備的接入請求訊息後,與該使用者設備進行網路層雙向鑒權;通知模組,用於在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;第二接入鑒權模組,用於通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允 許該使用者設備接入。
可選的,該第二網路鑒權模組,還用於:在接收到使用者設備的接入請求訊息之後,與該使用者設備進行網路層雙向鑒權之前,根據該接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求該使用者設備對應的網路層鑒權參數;該第二網路鑒權模組,具體用於:根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權。
可選的,該第二網路鑒權模組,具體用於:向該使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以使該使用者設備根據該網路層鑒權請求訊息對網路進行鑒權;若接收到該使用者設備返回的網路層鑒權請求回應訊息,則根據該網路層鑒權請求回應訊息對該使用者設備進行鑒權。
可選的,該第二網路鑒權模組,具體用於:若該網路層鑒權請求回應訊息中包含的鑒權回應參數與該網路層鑒權參數中的期望回應參數相同,確定對該使用者設備鑒權通過。
可選的,該第二接入鑒權模組,具體用於:確定該接入節點組中的目標節點;通知該目標節點與該使用者設備進行接入層雙向鑒權。
可選的,該第二接入鑒權模組,具體用於:將該接入節點組對應的節點組標識和該使用者設備對應的接入層鑒權參數發送給該目標節點,以使該目標節點根據該節點組標識和該接入層鑒權參數,與該使用者設備進行接入層雙向鑒權。
可選的,該第二接入鑒權模組,具體用於根據下列方式確定該使用者設備對應的接入層鑒權參數:從網路服務中心獲取該使用者設備對應的接入層鑒權參數;或根據該使用者設備對應的網路層鑒權參數,以及該節點組標識,確定該使用者設備對應的接入層鑒權參數。
第六方面、本發明實施例提供的一種接入節點,包括:接收模組,用於接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中該接入層鑒權參數是該本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;第三接入鑒權模組,用於與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入對應的接入節點組中的接入節點。
可選的,該第三接入鑒權模組,具體用於:向該使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以使該使用者設備根據該接入層鑒權請求訊息對網路進行鑒權;若接收到該使用者設備返回的包含該節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用者設備進行鑒權。
可選的,該第三接入鑒權模組,具體用於:若該接入層鑒權請求回應訊息中包含的鑒權回應參數,與該接入層鑒權參數中的期望回應參數相同,則確定對該使用者設備鑒權通過。
本發明實施例提供的另一種使用者設備,包括記憶體和處理器,其中, 處理器,用於讀取記憶體中的程式,執行下列過程:在需要接入網路時,與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,與對應的接入節點組進行接入層雙向鑒權,以便在接入層雙向鑒權通過後使該使用者設備接入到對應的接入節點組中。
本申請實施例提供的另一種本機服務中心,包括記憶體和處理器,其中,處理器,用於讀取記憶體中的程式,執行下列過程:接收到使用者設備的接入請求訊息後,與該使用者設備進行網路層雙向鑒權;在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;通知該接入節點組與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允許該使用者設備接入。
本申請實施例提供的另一種接入節點,包括記憶體和處理器,其中,處理器,用於讀取記憶體中的程式,執行下列過程:接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中該接入層鑒權參數是該本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入。
本發明實施例提供的接入控制的方法,使用者設備在需要接入網路時,首先與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,使用者設備與對應的接入節點組中的目標節點進行接入層雙向鑒權;由於本發明實施例採用雙層雙向鑒權,並在雙層雙向鑒權通過後,該使用者設備能夠接入對應的接入節點組。從而使使用者設備安全地接入對應的接入節點組。
301-307、501-507、1201-1202、1301-1303、1401-1402‧‧‧步驟
10‧‧‧使用者設備
20‧‧‧本機服務中心
30‧‧‧接入節點
40‧‧‧目標節點
601‧‧‧第一網路鑒權模組
602‧‧‧第一接入鑒權模組
701‧‧‧第二網路鑒權模組
702‧‧‧通知模組
703‧‧‧第二接入鑒權模組
801‧‧‧接收模組
802‧‧‧第三接入鑒權模組
900、1000、1100‧‧‧匯流排
901、1001、1101‧‧‧處理器
902、1004、1104‧‧‧記憶體
903、1002、1102‧‧‧收發機
904、1003、1103‧‧‧匯流排介面
905‧‧‧使用者介面
1005、1105‧‧‧天線
圖1為本發明實施例中超高密度網路結構示意圖;圖2為本發明實施例提供的接入控制的系統結構示意圖;圖3為本發明實施例中使用者設備與本機服務中心的網路層雙向鑒權的流程圖;圖4為本發明實施例提供的進行接入層雙向鑒權的系統結構示意圖;圖5為本發明實施例中使用者設備與目標節點的接入層雙向鑒權的流程圖;圖6為本發明實施例提供的第一種使用者設備的結構示意圖;圖7為本發明實施例提供的第一種本機服務中心的結構示意圖;圖8為本發明實施例提供的第一種接入節點的結構示意圖;圖9A為本發明實施例提供的第二種使用者設備的結構示意圖;圖9B為本發明實施例提供的第二種使用者設備的結構示意圖;圖10為本發明實施例提供的第二種本機服務中心的結構示意圖; 圖11為本發明實施例提供的第二種接入節點的結構示意圖;圖12為本發明實施例提供的使用者設備側接入控制的方法流程示意圖;圖13為本發明實施例提供的本機服務中心輔助使用者設備側接入控制的方法流程示意圖;以及圖14為本發明實施例提供的接入節點側輔助使用者設備側接入控制的方法流程示意圖。
為了使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明作進一步的詳細描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其它實施例,都屬於本發明保護的範圍。
本發明實施例中涉及到的「多個」「若干」表示兩個或兩個以上。
首先對本發明實施例提供的技術方案的實施環境進行說明。
圖1為超高密度網路的結構示意圖,如圖所示,網路結構中主要包括:網路服務中心(Network Service Center,NSC)、本機服務中心(Local Service Center,LSC)、若干個使用者設備(User Equipment,UE)和為UE提供服務的若干個APG。其中,每個APG中包括若干個AP,同一個AP可 以位於不同的APG中;每個APG對應一個節點組標識(Identity,ID),每個APG對應一個UE。APG中的AP與UE通過無線連接,各AP與LSC之間通過有線連接,LSC與NSC之間通過網際協議(Internet Protocol,IP)網路相連。
在下面的說明過程中,先從網路側和使用者設備側的配合實施進行說明,最後分別從網路側與使用者設備側的實施進行說明。但這並不意味著二者必須配合實施。實際上,當網路側與使用者設備側分開實施時,也解決了分別在網路側、使用者設備側所存在的問題,只是二者配合實施時,會獲得更好的技術效果。
如圖2所示,本發明實施例提供的接入控制的系統包括:使用者設備10、本機服務中心20、至少一個接入節點30。
使用者設備10、用於在需要接入網路時,與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。
本機服務中心20、用於在接收到使用者設備的接入請求訊息後,與該使用者設備進行網路層雙向鑒權;在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允許該使用者設備接入。
接入節點30、用於接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中該接入層鑒權參數是該本機服務中心在確定與 使用者設備的網路雙向鑒權通過後發送的;與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入對應的接入節點組中的接入節點。
本發明實施例中,使用者設備在需要接入網路時,首先與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,使用者設備與對應的接入節點組中的目標節點進行接入層雙向鑒權;由於本發明實施例採用雙層雙向鑒權,並在雙層雙向鑒權通過後,該使用者設備能夠接入對應的接入節點組。從而使使用者設備安全地接入對應的接入節點組中的接入節點。
其中,使用者設備需要接入網路的時機可以發生在使用者設備開機啟動後。
使用者設備在需要接入網路時,通過接入節點向本機服務中心發送接入請求訊息。
以使用者設備開機啟動後需要接入網路為例,使用者設備確定轉發接入請求訊息的接入節點的方式包括下列中的部分或全部:使用者設備通過距離最近的接入節點發送接入請求訊息;使用者設備通過信號強度最強的接入節點發送接入請求訊息;使用者設備通過指定的接入節點發送接入請求訊息。
本機服務中心在接收到使用者設備發送的接入請求訊息之後,根據該接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求使用者設備對應的網路層鑒權參數。
具體地,本機服務中心向網路服務中心發送請求網路層鑒權 參數訊息,並且該請求網路層鑒權參數訊息中包括使用者設備的標識資訊。
網路服務中心接收本機服務中心發送的請求網路層鑒權參數訊息,根據請求網路層鑒權參數訊息中包括使用者設備的標識資訊,生成該使用者設備對應的網路層鑒權參數。
網路層鑒權參數包括:RAND(亂數)、XRES(期望回應參數)、AUTN(鑒權標記)、K LSC (臨時金鑰)。
其中,K LSC 是根據網路服務中心存儲的該使用者設備對應的根金鑰k,以及網路層鑒權參數中的RAND確定的;並且,K LSC 的作用是使本機服務中心根據該K LSC 推演UE與網路進行通信時的通信金鑰。
網路服務中心將生成的該使用者設備對應的網路層鑒權參數發送給本機服務中心,本機服務中心在本地保存接收的使用者設備對應的網路層鑒權參數。
本發明實施例中,在使用者設備需要接入網路時,為了保證使用者設備安全的接入網路,需要使用者設備與網路進行雙層雙向鑒權。即共包括兩次鑒權,分別為:使用者設備與本機服務中心的網路層雙向鑒權、使用者設備與接入節點組的接入層雙向鑒權。在上述兩次鑒權分別通過後,使用者設備接入對應的接入節點組。
下面對網路層雙向鑒權和接入層雙向鑒權分別進行說明。
一、使用者設備與本機服務中心的網路層雙向鑒權。
可選的,該本機服務中心根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權。
具體地,本機服務中心向該使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以使該使用者設備根據該網路層鑒權請求訊息對網路進行鑒權;若該本機服務中心接收到該使用者設備返回的網路層鑒權請求回應訊息,則根據該網路層鑒權請求回應訊息對該使用者設備進行鑒權。
需要說明的是,本機服務中心向該使用者設備發送的包含網路層鑒權參數的網路層鑒權請求訊息,是通過轉發接入請求訊息的接入節點轉發的;並且,使用者設備返回的網路層鑒權請求回應訊息,也是通過該接入節點轉發的。
具體地,圖3示出了使用者設備與本機服務中心的網路層雙向鑒權的流程圖。
步驟301、本機服務中心向使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息。
步驟302、使用者設備接收並保存網路層鑒權請求訊息中的網路層鑒權參數。
步驟303、使用者設備根據網路層鑒權參數中的RAND確定AUTN。
步驟304、若確定的AUTN與網路層鑒權參數中的AUTN相同,使用者設備確定對網路的網路層鑒權通過。
步驟305、使用者設備根據網路層鑒權參數中的RAND確定RES(鑒權回應參數)。
步驟306、使用者設備向本機服務中心返回包含RES的網路 層鑒權請求回應訊息。
步驟307、若網路層鑒權請求回應訊息中的RES與網路層鑒權參數中的XRES相同,則本機服務中心確定對使用者設備的網路層鑒權通過。
需要說明的是,若使用者設備對網路的網路層鑒權不通過,或本機服務中心對使用者設備的網路層鑒權不通過,則使用者設備不能接入網路。
本發明實施例中,本機服務中心在確定與使用者設備的網路層雙向鑒權通過後,向網路服務中心申請,請求網路服務中心為該使用者設備分配節點組標識。
本發明實施例中,可以採用下列方式確定使用者設備對應的節點組標識:本機服務中心向網路服務中心申請,請求網路服務中心為使用者設備對應的接入節點組分配節點組標識。
具體地,網路服務中心在為使用者設備對應的接入節點組分配節點組標識時,可以只將為該接入節點組分配的節點組標識發送給本機服務中心。
或者,網路服務中心預先發送給本機服務中心一組節點組標識,在本機服務中心確定與使用者設備的網路層雙向鑒權通過後,從該組節點組標識中選擇一個沒有分配出去的節點組標識分配給使用者設備對應的接入節點組。
在確定使用者設備對應的接入節點組的節點組標識後,本機 服務中心將為該使用者設備對應的接入節點組分配的節點組標識通知給該使用者設備。
本機服務中心在確定為使用者設備對應的接入節點組分配的節點組標識後,生成為使用者設備提供通信服務的接入節點組。
具體地,可以根據下列方式中的部分或全部生成為使用者設備提供通信服務的接入節點組:1、根據使用者設備接收的各接入節點的參考信號強度,將參考信號強度最強的N個接入節點組成使用者設備對應的接入節點組;2、根據各接入節點針對使用者設備產生的通信協作增益,將通信協作增益最大的N個接入節點組成使用者設備對應的接入節點組;3、根據各接入節點向本機服務中心請求加入使用者設備對應的接入節點組的請求時間,將最先請求的N個接入節點組成使用者設備對應的接入節點組;4、將指定的N個接入節點組成使用者設備對應的接入節點組。
需要說明的是,上述確定為使用者設備提供通信服務的接入節點組的方式只是對本發明實施例的舉例說明,本發明實施例想要保護的確定使用者設備對應的接入節點組的方式並不限於上述舉例,任何能夠確定為使用者設備提供通信服務的接入節點組的方式均適用於本發明。
二、使用者設備與接入節點組的接入層雙向鑒權。
本發明實施例中使用者設備與接入節點組中的接入節點進行接入層雙向鑒權,在具體實施時,是將使用者設備與接入節點組中的目標節點進行接入層雙向鑒權。
可選的,該本機服務中心確定該接入節點組中的目標節點;該本機服務中心通知該目標節點與該使用者設備10進行接入層雙向鑒權。
本機服務中心確定接入節點組中的目標節點的方式包括下列中的部分或全部:方式1、將使用者設備接收的接入節點組中參考信號強度最強的接入節點作為目標節點;方式2、將接入節點組的各接入節點中針對使用者設備產生的通信協作增益最大的接入節點作為目標節點;方式3、將接入節點組中最先請求加入該接入節點組的接入節點作為目標節點;方式4、在接入節點組中任意指定一個接入節點作為目標節點。
需要說明的是,上述確定目標節點的方式只是對本發明實施例的舉例說明,本發明實施例想要保護的確定目標節點的方式並不限於上述舉例,任何能夠確定目標節點的方式均適用於本發明。
在從接入節點組中確定出目標節點之後,該本機服務中心通知該目標節點與該使用者設備進行接入層雙向鑒權。
可選的,該本機服務中心將該接入節點組對應的節點組標識和該使用者設備對應的接入層鑒權參數發送給該目標節點,以使該目標節點根據該節點組標識和該接入層鑒權參數,與該使用者設備進行接入層雙向鑒權。
本機服務中心根據下列方式確定該使用者設備對應的接入層鑒權參數。
方式1、該本機服務中心從網路服務中心獲取該使用者設備對應的接入層鑒權參數。
具體地,本機服務中心向網路服務中心發送請求接入層鑒權參數訊息,請求接入層鑒權參數訊息中包含節點組標識;網路服務中心接收到本機服務中心發送的請求接入層鑒權參數訊息,根據請求接入層鑒權參數訊息中包含的節點組標識,生成該使用者設備對應的接入層鑒權參數。
接入層鑒權參數包括:RAND(亂數)、XRES(期望回應參數)、AUTN(鑒權標記)、K APG (中間金鑰)。
其中,K APG 是根據網路服務中心存儲的該使用者設備對應的根金鑰k,接入層鑒權參數訊息中包含的節點組標識APG_ID,以及網路層鑒權參數中的RAND確定的;並且,K APG 的作用是使本機服務中心根據該K APG 推演UE與網路進行通信時的通信金鑰。
方式2、該本機服務中心根據該使用者設備對應的網路層鑒權參數,以及該節點組標識,確定該使用者設備對應的接入層鑒權參數。
本機服務中心根據從網路服務中心獲取的網路層鑒權參數中的RAND、XRES、AUTN、K LSC ,以及節點組標識APG_ID,確定該使用者設備對應的接入層鑒權參數。
具體地,根據K LSC 和APG_ID,確定K LSC ,將RAND、XRES、AUTN、K LSC 作為接入層鑒權參數。
需要說明的是,由於本發明實施例中每個接入節點可以同時歸屬於不同的接入節點組,即一個接入節點可以同時為多個使用者設備提 供通信服務。因此,在接入節點組中的目標節點與使用者設備進行接入層雙向鑒權時,目標節點與使用者設備之間鑒權過程中發送的訊息中需要包含節點組標識,以使目標節點與使用者設備進行安全且準確的鑒權。
本發明實施例中,本機服務中心在將確定的接入層鑒權參數發送給目標節點時,還需要將該接入層鑒權參數對應的使用者設備的標識資訊發送給目標節點,以使目標節點確定需要進行接入層鑒權的使用者設備。
下面具體說明使用者設備與目標節點進行接入層雙向鑒權的過程。
如圖4所示,本發明實施例提供的進行接入層雙向鑒權的系統包括:使用者設備10、目標節點40。
目標節點40:用於向該使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以使該使用者設備根據該接入層鑒權請求訊息對網路進行鑒權;若接收到該使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用者設備進行鑒權。
使用者設備10:用於根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
其中,目標節點向該使用者設備發送的接入層鑒權請求訊息中包含節點組標識APG_ID和接入層鑒權參數(包括RAND、AUTN)。
節點組標識APG_ID可以作為一個單獨的參數添加在接入層鑒權請求訊息中;或者,將節點組標識APG_ID與接入層鑒權參數中某個參數進行異或隱藏添加在接入層鑒權請求訊息中,例如將APG_ID與AUTN進行異或隱藏。
相應地,若採用將節點組標識APG_ID與接入層鑒權參數中某個參數進行異或隱藏添加在接入層鑒權請求訊息中進行傳遞的方式,使用者設備在接收到接入層鑒權請求訊息後,會從接入層鑒權參數中將節點組標識APG_ID解析出來。
使用者設備與目標節點的接入層雙向鑒權包括:使用者設備對目標節點進行網路鑒權、目標節點對使用者設備進行鑒權。
1、使用者設備對目標節點進行網路鑒權。
該使用者設備根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權。
具體地,使用者設備根據該接入層鑒權請求訊息中的亂數確定第二鑒權標記;若該第二鑒權標記與該接入層鑒權請求訊息中的第一鑒權標記相同,則該使用者設備確定對網路鑒權通過。
即,使用者設備根據接入層鑒權請求訊息中的RAND確定AUTN,若使用者設備確定的AUTN與接入層鑒權請求訊息中的AUTN相同,則使用者設備確定對網路鑒權通過。
使用者設備在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
具體地,使用者設備在鑒權通過後,根據該亂數確定鑒權回應參數;該使用者設備向該目標節點返回包含該節點組標識和該鑒權回應參數的接入層鑒權請求回應訊息,以使該目標節點根據該節點組標識和該鑒權回應參數對該使用者設備進行鑒權。
即,使用者設備在對網路鑒權通過後,根據接入層鑒權參數中的RAND,確定RES(鑒權回應參數),向該本機服務中心返回包含APG_ID和RES的接入層鑒權回應訊息。
節點組標識APG_ID可以作為一個單獨的參數添加在接入層鑒權回應訊息中;或者,將節點組標識APG_ID與鑒權回應參數進行異或隱藏添加在接入層鑒權回應訊息中,例如將APG_ID與RES進行異或隱藏。
相應地,若採用將節點組標識APG_ID與鑒權回應參數進行異或隱藏添加在接入層鑒權回應訊息中進行傳遞的方式,本機服務中心在接收到接入層鑒權回應訊息後,會從鑒權響應參數中將節點組標識APG_ID解析出來。
2、目標節點對使用者設備進行鑒權。
若目標節點接收到使用者設備返回的包含該節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用者設備進行鑒權。
若該接入層鑒權請求回應訊息中包含的鑒權回應參數,與該接入層鑒權參數中的期望回應參數相同,目標節點確定對使用者設備鑒權通過。
具體地,目標節點判斷接入層鑒權回應訊息中的RES,與接 入層鑒權參數中的XRES是否相同,若相同,則確定對使用者設備鑒權通過。
如圖5所示的使用者設備與目標節點的接入層雙向鑒權的流程圖。
步驟501、目標節點向使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息。
步驟502、使用者設備接收並保存接入層鑒權請求訊息中的接入層鑒權參數。
步驟503、使用者設備根據接入層鑒權請求訊息中的RAND確定AUTN。
步驟504、若確定的AUTN與接入層鑒權參數中的AUTN相同,使用者設備確定對網路鑒權通過。
步驟505、使用者設備根據接入層鑒權參數中的RAND確定RES。
步驟506、使用者設備向目標節點返回包含節點組標識和該RES的接入層鑒權請求回應訊息。
步驟507、目標節點在確定接入層鑒權請求回應訊息中包含的鑒權回應參數與該接入層鑒權參數中的期望回應參數相同後,確定對使用者設備鑒權通過。
其中,本發明實施例的接入節點可以是基地台(比如巨集基地台、家庭基地台等),還可以是其它節點。
如圖6所示,本發明實施例提供的一種使用者設備包括: 第一網路鑒權模組601,用於在需要接入網路時,與本機服務中心進行網路層雙向鑒權;第一接入鑒權模組602,用於在網路層雙向鑒權通過後,與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許使用者設備接入到對應的接入節點組中。
可選的,第一接入鑒權模組602,具體用於:根據接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;在鑒權通過後向目標節點返回包含節點組標識的接入層鑒權請求回應訊息,以使目標節點根據接入層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,第一接入鑒權模組602,具體用於:根據接入層鑒權請求訊息中的亂數確定第二鑒權標記;若第二鑒權標記與接入層鑒權請求訊息中的第一鑒權標記相同,則確定對網路鑒權通過。
可選的,第一接入鑒權模組602,具體用於:在鑒權通過後,根據亂數確定鑒權回應參數;向目標節點返回包含節點組標識和鑒權回應參數的接入層鑒權請求回應訊息,以使目標節點根據節點組標識和鑒權回應參數對使用者設備進行鑒權。
如圖7所示、本發明實施例提供的一種本機服務中心包括:第二網路鑒權模組701,用於在接收到使用者設備的接入請求訊息後,與使用者設備進行網路層雙向鑒權;通知模組702,用於在確定與使用者設備網路層雙向鑒權通過後,確定 使用者設備對應的接入節點組;第二接入鑒權模組703,用於通知接入節點組中的接入節點與使用者設備進行接入層雙向鑒權,以使接入節點組在接入層雙向鑒權通過後允許使用者設備接入。
可選的,第二網路鑒權模組701,還用於:在接收到使用者設備的接入請求訊息之後,與使用者設備進行網路層雙向鑒權之前,根據接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求使用者設備對應的網路層鑒權參數;第二網路鑒權模組701,具體用於:根據網路層鑒權參數,與使用者設備進行網路層雙向鑒權。
可選的,第二網路鑒權模組701,具體用於:向使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以讓使用者設備根據網路層鑒權請求訊息對網路進行鑒權;若接收到使用者設備返回的網路層鑒權請求回應訊息,則根據網路層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,第二網路鑒權模組701,具體用於:若網路層鑒權請求回應訊息中包含的鑒權回應參數與網路層鑒權參數中的期望回應參數相同,確定對使用者設備鑒權通過。
可選的,第二接入鑒權模組703,具體用於:確定接入節點組中的目標節點;通知目標節點與使用者設備進行接入層雙向鑒權。
可選的,第二接入鑒權模組703,具體用於: 將接入節點組對應的節點組標識和使用者設備對應的接入層鑒權參數發送給目標節點,以使目標節點根據節點組標識和接入層鑒權參數,與使用者設備進行接入層雙向鑒權。
可選的,第二接入鑒權模組703,具體用於根據下列方式確定使用者設備對應的接入層鑒權參數:從網路服務中心獲取使用者設備對應的接入層鑒權參數;或根據使用者設備對應的網路層鑒權參數,以及節點組標識,確定使用者設備對應的接入層鑒權參數。
如圖8所示,本發明實施例提供的一種接入節點包括:接收模組801,用於接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中接入層鑒權參數是本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;第三接入鑒權模組802,用於與使用者設備進行接入層雙向鑒權,並在確定與使用者設備的接入層雙向鑒權通過後,允許使用者設備接入對應的接入節點組中的接入節點。
可選的,第三接入鑒權模組802,具體用於:向使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以讓使用者設備根據接入層鑒權請求訊息對網路進行鑒權;若接收到使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,則根據接入層鑒權請求回應訊息,對使用者設備進行鑒權。
可選的,第三接入鑒權模組802,具體用於:若接入層鑒權請求回應訊息中包含的鑒權回應參數,與接入層鑒權參 數中的期望回應參數相同,則確定對使用者設備鑒權通過。
如圖9A所示,本發明實施例提供的第二種使用者設備包括:處理器901,用於讀取記憶體902中的程式,執行下列過程:在需要接入網路時,與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許使用者設備接入到對應的接入節點組中。
可選的,如圖9B所示,使用者設備還包括收發機903,用於在處理器901的控制下接收和發送資料。
處理器901,具體用於:根據接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;在鑒權通過後通過收發機903向目標節點返回包含節點組標識的接入層鑒權請求回應訊息,以使目標節點根據接入層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,處理器901,具體用於:根據接入層鑒權請求訊息中的亂數確定第二鑒權標記;若第二鑒權標記與接入層鑒權請求訊息中的第一鑒權標記相同,則確定對網路鑒權通過。
可選的,處理器901,具體用於:在鑒權通過後,根據亂數確定鑒權回應參數;通過收發機903向目標節點返回包含節點組標識和鑒權回應參數的接入層鑒權請求回應訊息,以 使目標節點根據節點組標識和鑒權回應參數對使用者設備進行鑒權。
在實施中,處理器901和本機服務中心、接入節點之間的交互可以通過收發機903實現,在此不再分別進行描述。
在圖9A和9B中,匯流排架構(用匯流排900來代表),匯流排900可以包括任意數量的互聯的匯流排和橋,匯流排900將包括由通用處理器901代表的一個或多個處理器和記憶體902代表的記憶體的各種電路連結在一起。匯流排900還可以將諸如週邊設備、穩壓器和功率管理電路等之類的各種其它電路連結在一起,這些都是本領域所公知的,因此,本文不再對其進行進一步描述。在圖9B中,匯流排介面904在匯流排900和收發機903之間提供介面。收發機903可以是一個元件,也可以是多個元件,比如多個接收器和發送器,提供用於在傳輸介質上與各種其它裝置通信的單元。例如:收發機903從其它設備接收外部資料。收發機903用於將處理器901處理後的資料發送給其它設備。取決於計算系統的性質,還可以提供使用者介面905,例如小鍵盤、顯示器、揚聲器、麥克風、操縱桿。
處理器901負責管理匯流排900和通常的處理,如前述運行通用作業系統。而記憶體902可以被用於存儲處理器901在執行操作時所使用的資料。
可選的,處理器901可以是中央處埋器(Central Processing Unit,CPU)、專用積體電路(Application Specific Integrated Circuit,ASIC)、現場可程式設計閘陣列(Field-Programmable Gate Array,FPGA)或複雜可程式設計邏輯器件(Complex Programmable Logic Device,CPLD)。
如圖10所示,本發明實施例提供的第二種本機服務中心包 括:處理器1001,用於讀取記憶體1004中的程式,執行下列過程:通過收發機1002接收到使用者設備的接入請求訊息後,與使用者設備進行網路層雙向鑒權;在確定與使用者設備網路層雙向鑒權通過後,確定使用者設備對應的接入節點組;通過收發機1002通知接入節點組中的接入節點與使用者設備進行接入層雙向鑒權,以使接入節點組在接入層雙向鑒權通過後允許使用者設備接入;收發機1002,用於在處理器1001的控制下接收或發送資料。
可選的,處理器1001,還用於:在通過收發機1002接收到使用者設備的接入請求訊息之後,與使用者設備進行網路層雙向鑒權之前,根據接入請求訊息中的使用者設備的上下文資訊,通過收發機1002向網路服務中心請求使用者設備對應的網路層鑒權參數;處理器1001,具體用於:根據網路層鑒權參數,與使用者設備進行網路層雙向鑒權。
可選的,處理器1001,具體用於:通過收發機1002向使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以讓使用者設備根據網路層鑒權請求訊息對網路進行鑒權;若通過收發機1002接收到使用者設備返回的網路層鑒權請求回應訊息,則根據網路層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,處理器1001,具體用於: 若網路層鑒權請求回應訊息中包含的鑒權回應參數與網路層鑒權參數中的期望回應參數相同,確定對使用者設備鑒權通過。
可選的,處理器1001,具體用於:確定接入節點組中的目標節點;通過收發機1002通知目標節點與使用者設備進行接入層雙向鑒權。
可選的,處理器1001,具體用於:通過收發機1002將接入節點組對應的節點組標識和使用者設備對應的接入層鑒權參數發送給目標節點,以使目標節點根據節點組標識和接入層鑒權參數,與使用者設備進行接入層雙向鑒權。
可選的,處理器1001,具體用於根據下列方式確定使用者設備對應的接入層鑒權參數:通過收發機1002從網路服務中心獲取使用者設備對應的接入層鑒權參數;或根據使用者設備對應的網路層鑒權參數,以及節點組標識,確定使用者設備對應的接入層鑒權參數。
在實施中,處理器1001和使用者設備之間的交互是通過收發機1002和接入節點實現的,即處理器1001通過收發機1002將需要發送給使用者設備的資訊發送給接入節點,由接入節點發送給使用者設備;接入節點在收到來自使用者設備的需要發送給本機服務中心的資訊後,將該資訊發送給本機服務中心,處理器1001通過收發機1002接收該資訊。
其中,本機服務中心和接入節點之間可以通過有線、無線等方式連接。
在圖10中,匯流排架構(用匯流排1000來代表),匯流排1000可以包括任意數量的互聯的匯流排和橋,匯流排1000將包括由處理器1001代表的一個或多個處理器和記憶體1004代表的記憶體的各種電路連結在一起。匯流排1000還可以將諸如週邊設備、穩壓器和功率管理電路等之類的各種其它電路連結在一起,這些都是本領域所公知的,因此,本文不再對其進行進一步描述。匯流排介面1003在匯流排1000和收發機1002之間提供介面。收發機1002可以是一個元件,也可以是多個元件,比如多個接收器和發送器,提供用於在傳輸介質上與各種其它裝置通信的單元。經處理器1001處理的資料通過天線1005在無線介質上進行傳輸,進一步,天線1005還接收資料並將資料傳送給處理器1001。
處理器1001負責管理匯流排1000和通常的處理,還可以提供各種功能,包括定時,週邊介面,電壓調節、電源管理以及其它控制功能。而記憶體1004可以被用於存儲處理器1001在執行操作時所使用的資料。
可選的,處理器1001可以是CPU、ASIC、FPGA或CPLD。
如圖11所示,本發明實施例提供的第二種接入節點包括:處理器1101,用於讀取記憶體1104中的程式,執行下列過程:通過收發機1102接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中接入層鑒權參數是本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;與使用者設備進行接入層雙向鑒權,並在確定與使用者設備的接入層雙向鑒權通過後,允許使用者設備接入對應的接入節點組中的接入節點; 收發機1102,用於在處理器1101的控制下接收或發送資料。
可選的,處理器1101,具體用於:通過收發機1102向使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以讓使用者設備根據接入層鑒權請求訊息對網路進行鑒權;若通過收發機1102接收到使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,則根據接入層鑒權請求回應訊息,對使用者設備進行鑒權。
可選的,處理器1101,具體用於:若接入層鑒權請求回應訊息中包含的鑒權回應參數,與接入層鑒權參數中的期望回應參數相同,則確定對使用者設備鑒權通過。
在實施中,處理器1101和使用者設備之間的交互是通過收發機1102實現的,處理器1101和本機服務中心之間的交互也可以通過收發機1102實現。收發機1102有至少兩套傳輸方式,其中一套是與使用者設備進行交互使用的方式,比如可以是無線方式;另一套是與本機服務中心進行交互使用的方式,比如無線方式、有線方式等。
其中,本機服務中心和接入節點之間可以通過有線、無線等方式連接。接入節點和使用者設備之間通過無線方式連接。
在圖11中,匯流排架構(用匯流排1100來代表),匯流排1100可以包括任意數量的互聯的匯流排和橋,匯流排1100將包括由處理器1101代表的一個或多個處理器和記憶體1104代表的記憶體的各種電路連結在一起。匯流排1100還可以將諸如週邊設備、穩壓器和功率管理電路等之類的各種其它電路連結在一起,這些都是本領域所公知的,因此,本文不 再對其進行進一步描述。匯流排介面1103在匯流排1100和收發機1102之間提供介面。收發機1102可以是一個元件,也可以是多個元件,比如多個接收器和發送器,提供用於在傳輸介質上與各種其它裝置通信的單元。經處理器1101處理的資料通過天線1105在無線介質上進行傳輸,進一步,天線1105還接收資料並將資料傳送給處理器1101。
處理器1101負責管理匯流排1100和通常的處理,還可以提供各種功能,包括定時,週邊介面,電壓調節、電源管理以及其它控制功能。而記憶體1104可以被用於存儲處理器1101在執行操作時所使用的資料。
可選的,處理器1101可以是CPU、ASIC、FPGA或CPLD。
基於同一發明構思,本發明實施例中還提供了一種接入控制的方法,由於該方法對應的設備是本發明實施例提供的接入控制的系統中的使用者設備,並且該方法解決問題的原理與該設備相似,因此該方法的實施可以參見設備的實施,重複之處不再贅述。
如圖12所示,本發明實施例提供的一種接入控制的方法包括:步驟1201、使用者設備在需要接入網路時,使用者設備與本機服務中心進行網路層雙向鑒權;步驟1202、在網路層雙向鑒權通過後,使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許使用者設備接入到對應的接入節點組中。
可選的,使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,包括: 使用者設備根據接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;使用者設備在鑒權通過後向目標節點返回包含節點組標識的接入層鑒權請求回應訊息,以使目標節點根據接入層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,使用者設備根據接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權,包括:使用者設備根據接入層鑒權請求訊息中的亂數確定第二鑒權標記;若第二鑒權標記與接入層鑒權請求訊息中的第一鑒權標記相同,則使用者設備確定對網路鑒權通過。
可選的,使用者設備在鑒權通過後向目標節點返回包含節點組標識的接入層鑒權請求回應訊息,包括:使用者設備在鑒權通過後,根據亂數確定鑒權回應參數;使用者設備向目標節點返回包含節點組標識和鑒權回應參數的接入層鑒權請求回應訊息,以使目標節點根據節點組標識和鑒權回應參數對使用者設備進行鑒權。
基於同一發明構思,本發明實施例中還提供了一種接入控制的方法,由於該方法對應的設備是本發明實施例提供的接入控制的系統中的本機服務中心,並且該方法解決問題的原理與該設備相似,因此該方法的實施可以參見設備的實施,重複之處不再贅述。
如圖13所示,本發明實施例提供的一種接入控制的方法包括: 步驟1301、本機服務中心在接收到使用者設備的接入請求訊息後,與使用者設備進行網路層雙向鑒權;步驟1302、本機服務中心在確定與使用者設備網路層雙向鑒權通過後,確定使用者設備對應的接入節點組;步驟1303、本機服務中心通知接入節點組中的接入節點與使用者設備進行接入層雙向鑒權,以使接入節點組在接入層雙向鑒權通過後允許使用者設備接入。
可選的,本機服務中心在接收到使用者設備的接入請求訊息之後,與使用者設備進行網路層雙向鑒權之前,還包括:本機服務中心根據接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求使用者設備對應的網路層鑒權參數;本機服務中心與使用者設備進行網路層雙向鑒權,包括:本機服務中心根據網路層鑒權參數,與使用者設備進行網路層雙向鑒權。
可選的,本機服務中心根據網路層鑒權參數,與使用者設備進行網路層雙向鑒權,包括:本機服務中心向使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以讓使用者設備根據網路層鑒權請求訊息對網路進行鑒權;若本機服務中心接收到使用者設備返回的網路層鑒權請求回應訊息,則根據網路層鑒權請求回應訊息對使用者設備進行鑒權。
可選的,本機服務中心根據使用者設備返回的網路層鑒權請求回應訊息,對使用者設備進行鑒權,包括: 若網路層鑒權請求回應訊息中包含的鑒權回應參數與網路層鑒權參數中的期望回應參數相同,本機服務中心確定對使用者設備鑒權通過。
可選的,本機服務中心通知接入節點組中的接入節點與使用者設備進行接入層雙向鑒權,包括:本機服務中心確定接入節點組中的目標節點;本機服務中心通知目標節點與使用者設備進行接入層雙向鑒權。
可選的,本機服務中心通知目標節點與使用者設備進行接入層雙向鑒權,包括:本機服務中心將接入節點組對應的節點組標識和使用者設備對應的接入層鑒權參數發送給目標節點,以使目標節點根據節點組標識和接入層鑒權參數,與使用者設備進行接入層雙向鑒權。
可選的,本機服務中心根據下列方式確定使用者設備對應的接入層鑒權參數:本機服務中心從網路服務中心獲取使用者設備對應的接入層鑒權參數;或本機服務中心根據使用者設備對應的網路層鑒權參數,以及節點組標識,確定使用者設備對應的接入層鑒權參數。
基於同一發明構思,本發明實施例中還提供了一種接入控制的方法,由於該方法對應的設備是本發明實施例提供的接入控制的系統中的接入節點,並且該方法解決問題的原理與該設備相似,因此該方法的實施可以參見設備的實施,重複之處不再贅述。
如圖14所示,本發明實施例提供的一種接入控制的方法包 括:步驟1401、接入節點接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中接入層鑒權參數是本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;步驟1402、接入節點與使用者設備進行接入層雙向鑒權,並在確定與使用者設備的接入層雙向鑒權通過後,允許使用者設備接入對應的接入節點組中的接入節點。
可選的,接入節點與接入層鑒權參數對應的使用者設備進行接入層雙向鑒權,包括:接入節點向使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以讓使用者設備根據接入層鑒權請求訊息對網路進行鑒權;若接入節點接收到使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,則根據接入層鑒權請求回應訊息,對使用者設備進行鑒權。
可選的,接入節點根據使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,對使用者設備進行鑒權,包括:若接入層鑒權請求回應訊息中包含的鑒權回應參數,與接入層鑒權參數中的期望回應參數相同,接入節點確定對使用者設備鑒權通過。
本領域內的技術人員應明白,本發明的實施例可提供為方法、系統、或電腦程式產品。因此,本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且,本發明可採用在一個或多個其中包含有電腦可用程式碼的電腦可用存儲介質(包括但不限 於磁碟記憶體、CD-ROM、光學記憶體等)上實施的電腦程式產品的形式。
本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用電腦、專用電腦、嵌入式處理機或其它可程式設計資料處理設備的處理器以產生一個機器,使得通過電腦或其它可程式設計資料處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些電腦程式指令也可存儲在能引導電腦或其它可程式設計資料處理設備以特定方式工作的電腦可讀記憶體中,使得存儲在該電腦可讀記憶體中的指令產生包括指令裝置的製造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些電腦程式指令也可裝載到電腦或其它可程式設計資料處理設備上,使得在電腦或其它可程式設計設備上執行一系列操作步驟以產生電腦實現的處理,從而在電腦或其它可程式設計設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
儘管已描述了本發明的優選實施例,但本領域內的技術人員一旦得知了基本創造性概念,則可對這些實施例作出另外的變更和修改。所以,所附申請專利範圍意欲解釋為包括優選實施例以及落入本發明範圍的所有變更和修改。
顯然,本領域的技術人員可以對本發明實施例進行各種改動和變型而不脫離本發明實施例的精神和範圍。這樣,倘若本發明實施例的這些修改和變型屬於本發明申請專利範圍及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。
Claims (28)
- 一種接入控制的方法,其特徵在於,該方法包括:使用者設備在需要接入網路時,該使用者設備與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,該使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。
- 如請求項1所述的接入控制的方法,其中,該使用者設備與對應的接入節點組中的接入節點進行接入層雙向鑒權,包括:該使用者設備根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;該使用者設備在鑒權通過後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
- 如請求項2所述的接入控制的方法,其中,該使用者設備根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權,包括:該使用者設備根據該接入層鑒權請求訊息中的亂數確定第二鑒權標記;若該第二鑒權標記與該接入層鑒權請求訊息中的第一鑒權標記相同,則該使用者設備確定對網路鑒權通過。
- 如請求項3所述的接入控制的方法,其中,該使用者設備在鑒權通過 後向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,包括:該使用者設備在鑒權通過後,根據該亂數確定鑒權回應參數;該使用者設備向該目標節點返回包含該節點組標識和該鑒權回應參數的接入層鑒權請求回應訊息,以使該目標節點根據該節點組標識和該鑒權回應參數對該使用者設備進行鑒權。
- 一種接入控制的方法,其特徵在於,該方法包括:本機服務中心在接收到使用者設備的接入請求訊息後,與該使用者設備進行網路層雙向鑒權;該本機服務中心在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;該本機服務中心通知該接入節點組中接入節點與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允許該使用者設備接入。
- 如請求項5所述的接入控制的方法,其中,該本機服務中心在接收到使用者設備的接入請求訊息之後,與該使用者設備進行網路層雙向鑒權之前,還包括:該本機服務中心根據該接入請求訊息中的使用者設備的上下文資訊,向網路服務中心請求該使用者設備對應的網路層鑒權參數;該本機服務中心與該使用者設備進行網路層雙向鑒權,包括:該本機服務中心根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權。
- 如請求項6所述的接入控制的方法,其中,該本機服務中心根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權,包括:該本機服務中心向該使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以使該使用者設備根據該網路層鑒權請求訊息對網路進行鑒權;若該本機服務中心接收到該使用者設備返回的網路層鑒權請求回應訊息,則根據該網路層鑒權請求回應訊息對該使用者設備進行鑒權。
- 如請求項7所述的接入控制的方法,其中,該本機服務中心根據該使用者設備返回的網路層鑒權請求回應訊息,對該使用者設備進行鑒權,包括:若該網路層鑒權請求回應訊息中包含的鑒權回應參數與該網路層鑒權參數中的期望回應參數相同,該本機服務中心確定對該使用者設備鑒權通過。
- 如請求項5所述的接入控制的方法,其中,該本機服務中心通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,包括:該本機服務中心確定該接入節點組中的目標節點;該本機服務中心通知該目標節點與該使用者設備進行接入層雙向鑒權。
- 如請求項9所述的接入控制的方法,其中,該本機服務中心通知該目標節點與該使用者設備進行接入層雙向鑒權,包括:該本機服務中心將該接入節點組對應的節點組標識和該使用者設備對應的接入層鑒權參數發送給該目標節點,以使該目標節點根據該節 點組標識和該接入層鑒權參數,與該使用者設備進行接入層雙向鑒權。
- 如請求項10所述的接入控制的方法,其中,該本機服務中心根據下列方式確定該使用者設備對應的接入層鑒權參數:該本機服務中心從網路服務中心獲取該使用者設備對應的接入層鑒權參數;或該本機服務中心根據該使用者設備對應的網路層鑒權參數,以及該節點組標識,確定該使用者設備對應的接入層鑒權參數。
- 一種接入控制的方法,其特徵在於,該方法包括:接入節點接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中該接入層鑒權參數是該本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;該接入節點與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入對應的接入節點組中的接入節點。
- 如請求項12所述的接入控制的方法,其中,該接入節點與該接入層鑒權參數對應的使用者設備進行接入層雙向鑒權,包括:該接入節點向該使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以使該使用者設備根據該接入層鑒權請求訊息對網路進行鑒權;若該接入節點接收到該使用者設備返回的包含該節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用 者設備進行鑒權。
- 如請求項13所述的接入控制的方法,其中,該接入節點根據該使用者設備返回的包含節點組標識的接入層鑒權請求回應訊息,對該使用者設備進行鑒權,包括:若該接入層鑒權請求回應訊息中包含的鑒權回應參數,與該接入層鑒權參數中的期望回應參數相同,該接入節點確定對該使用者設備鑒權通過。
- 一種使用者設備,其特徵在於,包括記憶體和處理器,其中,該處理器,用於讀取該記憶體中的程式,執行下列過程:在需要接入網路時,與本機服務中心進行網路層雙向鑒權;在網路層雙向鑒權通過後,與對應的接入節點組中的接入節點進行接入層雙向鑒權,以便在接入層雙向鑒權通過後允許該使用者設備接入到對應的接入節點組中。
- 如請求項15所述的使用者設備,其中,該使用者設備還包括收發機,用於在該處理器的控制下接收或發送資料;該處理器具體用於:根據該接入節點組中的目標節點發送的包含節點組標識的接入層鑒權請求訊息,對網路進行鑒權;在鑒權通過後通過該收發機向該目標節點返回包含該節點組標識的接入層鑒權請求回應訊息,以使該目標節點根據該接入層鑒權請求回應訊息對該使用者設備進行鑒權。
- 如請求項16所述的使用者設備,其中,該處理器具體用於:根據該接入層鑒權請求訊息中的亂數確定第二鑒權標記;若該第二 鑒權標記與該接入層鑒權請求訊息中的第一鑒權標記相同,則確定對網路鑒權通過。
- 如請求項17所述的使用者設備,其中,該處理器具體用於:在鑒權通過後,根據該亂數確定鑒權回應參數;通過該收發機向該目標節點返回包含該節點組標識和該鑒權回應參數的接入層鑒權請求回應訊息,以使該目標節點根據該節點組標識和該鑒權回應參數對該使用者設備進行鑒權。
- 一種本機服務中心,其特徵在於,包括記憶體、處理器和收發機,其中,該收發機用於在該處理器的控制下接收或發送資料;該處理器,用於讀取該記憶體中的程式,執行下列過程:在通過該收發機接收到使用者設備的接入請求訊息後,與該使用者設備進行網路層雙向鑒權;在確定與該使用者設備網路層雙向鑒權通過後,確定該使用者設備對應的接入節點組;通過該收發機通知該接入節點組中的接入節點與該使用者設備進行接入層雙向鑒權,以使該接入節點組在接入層雙向鑒權通過後允許該使用者設備接入。
- 如請求項19所述的本機服務中心,其中,該處理器還用於:在通過該收發機接收到使用者設備的接入請求訊息之後,與該使用者設備進行網路層雙向鑒權之前,根據該接入請求訊息中的使用者設備的上下文資訊,通過該收發機向網路服務中心請求該使用者設備對 應的網路層鑒權參數;該處理器具體用於:根據該網路層鑒權參數,與該使用者設備進行網路層雙向鑒權。
- 如請求項20所述的本機服務中心,其中,該處理器具體用於:通過該收發機向該使用者設備發送包含網路層鑒權參數的網路層鑒權請求訊息,以使該使用者設備根據該網路層鑒權請求訊息對網路進行鑒權;若通過該收發機接收到該使用者設備返回的網路層鑒權請求回應訊息,則根據該網路層鑒權請求回應訊息對該使用者設備進行鑒權。
- 如請求項21所述的本機服務中心,其中,該處理器具體用於:若該網路層鑒權請求回應訊息中包含的鑒權回應參數與該網路層鑒權參數中的期望回應參數相同,確定對該使用者設備鑒權通過。
- 如請求項19所述的本機服務中心,其中,該處理器具體用於:確定該接入節點組中的目標節點;通過該收發機通知該目標節點與該使用者設備進行接入層雙向鑒權。
- 如請求項23所述的本機服務中心,其中,該處理器具體用於:通過該收發機將該接入節點組對應的節點組標識和該使用者設備對應的接入層鑒權參數發送給該目標節點,以使該目標節點根據該節點組標識和該接入層鑒權參數,與該使用者設備進行接入層雙向鑒權。
- 如請求項24所述的本機服務中心,其中,該處理器具體用於:根據下列方式確定該使用者設備對應的接入層鑒權參數:通過該收發機從網路服務中心獲取該使用者設備對應的接入層鑒權 參數;或根據該使用者設備對應的網路層鑒權參數,以及該節點組標識,確定該使用者設備對應的接入層鑒權參數。
- 一種接入節點,其特徵在於,包括記憶體、處理器和收發機,其中,該收發機用於在該處理器的控制下接收或發送資料;該處理器,用於讀取該記憶體中的程式,執行下列過程:通過該收發機接收本機服務中心發送的使用者設備對應的接入層鑒權參數,其中該接入層鑒權參數是該本機服務中心在確定與使用者設備的網路雙向鑒權通過後發送的;與該使用者設備進行接入層雙向鑒權,並在確定與該使用者設備的接入層雙向鑒權通過後,允許該使用者設備接入對應的接入節點組中的接入節點。
- 如請求項26所述的接入節點,其中,該處理器具體用於:通過該收發機向該使用者設備發送包含節點組標識和接入層鑒權參數的接入層鑒權請求訊息,以使該使用者設備根據該接入層鑒權請求訊息對網路進行鑒權;若通過該收發機接收到該使用者設備返回的包含該節點組標識的接入層鑒權請求回應訊息,則根據該接入層鑒權請求回應訊息,對該使用者設備進行鑒權。
- 如請求項27所述的接入節點,其中,該處理器具體用於:若該接入層鑒權請求回應訊息中包含的鑒權回應參數,與該接入層鑒權參數中的期望回應參數相同,則確定對該使用者設備鑒權通過。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611193853.7A CN108235317B (zh) | 2016-12-21 | 2016-12-21 | 一种接入控制的方法及设备 |
CN201611193853.7 | 2016-12-21 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201824900A true TW201824900A (zh) | 2018-07-01 |
TWI685267B TWI685267B (zh) | 2020-02-11 |
Family
ID=62624644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106140672A TWI685267B (zh) | 2016-12-21 | 2017-11-23 | 一種接入控制的方法及設備 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11405783B2 (zh) |
EP (1) | EP3562186A4 (zh) |
CN (1) | CN108235317B (zh) |
TW (1) | TWI685267B (zh) |
WO (1) | WO2018113338A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101951027B1 (ko) * | 2018-01-04 | 2019-02-22 | 엔쓰리엔 주식회사 | 무선 액세스 포인트에서의 라이선스 인증 방법, 라이선스 인증을 수행하는 무선 액세스 포인트 장치, 클라이언트 장치의 라이선스 활성화 방법, 및 무선 액세스 포인트와 연동하는 클라이언트 장치 |
CN111294846B (zh) * | 2018-12-07 | 2022-04-12 | 华为技术有限公司 | 一种接入网设备通信功能测试方法、装置及系统 |
CN116156500A (zh) * | 2021-11-23 | 2023-05-23 | 大唐移动通信设备有限公司 | 设备鉴权方法及装置 |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8260259B2 (en) * | 2004-09-08 | 2012-09-04 | Qualcomm Incorporated | Mutual authentication with modified message authentication code |
KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
DE202005021930U1 (de) * | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
WO2007062689A1 (en) * | 2005-12-01 | 2007-06-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for distributing keying information |
EP2659649A2 (en) * | 2010-12-30 | 2013-11-06 | Interdigital Patent Holdings, Inc. | Authentication and secure channel setup for communication handoff scenarios |
CN102625307B (zh) * | 2011-01-31 | 2014-07-09 | 电信科学技术研究院 | 一种无线网络接入系统 |
WO2013165605A1 (en) * | 2012-05-02 | 2013-11-07 | Interdigital Patent Holdings, Inc. | One round trip authentication using single sign-on systems |
KR20140111513A (ko) * | 2013-03-11 | 2014-09-19 | 삼성전자주식회사 | 무선 통신 방법 및 장치 |
WO2015096138A1 (zh) | 2013-12-27 | 2015-07-02 | 华为技术有限公司 | 分流方法、用户设备、基站和接入点 |
CN105245338B (zh) * | 2014-05-26 | 2019-04-26 | 中兴通讯股份有限公司 | 一种认证方法及装置系统 |
WO2016015749A1 (en) * | 2014-07-28 | 2016-02-04 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication in a wireless communications network |
EP3243339A4 (en) | 2015-01-09 | 2018-02-07 | Samsung Electronics Co., Ltd. | Mutual authentication between user equipment and an evolved packet core |
CN104852896B (zh) * | 2015-02-03 | 2017-09-05 | 四川通信科研规划设计有限责任公司 | 一种Wi‑Fi无线节点入网方法及系统 |
CN105451250B (zh) | 2015-09-01 | 2017-07-11 | 电信科学技术研究院 | 一种网络接入点动态组网方法及设备 |
US9883385B2 (en) * | 2015-09-15 | 2018-01-30 | Qualcomm Incorporated | Apparatus and method for mobility procedure involving mobility management entity relocation |
CN105516961B (zh) * | 2015-12-09 | 2019-08-16 | 上海斐讯数据通信技术有限公司 | 基于无感知认证的控制方法和系统 |
EP3208222B1 (en) * | 2016-02-18 | 2020-06-17 | Otis Elevator Company | Anonymous and ephemeral tokens to authenticate elevator calls |
-
2016
- 2016-12-21 CN CN201611193853.7A patent/CN108235317B/zh active Active
-
2017
- 2017-08-29 US US16/472,728 patent/US11405783B2/en active Active
- 2017-08-29 WO PCT/CN2017/099523 patent/WO2018113338A1/zh unknown
- 2017-08-29 EP EP17885077.2A patent/EP3562186A4/en active Pending
- 2017-11-23 TW TW106140672A patent/TWI685267B/zh active
Also Published As
Publication number | Publication date |
---|---|
US11405783B2 (en) | 2022-08-02 |
US20200196150A1 (en) | 2020-06-18 |
CN108235317B (zh) | 2019-06-21 |
TWI685267B (zh) | 2020-02-11 |
EP3562186A1 (en) | 2019-10-30 |
EP3562186A4 (en) | 2019-12-11 |
WO2018113338A1 (zh) | 2018-06-28 |
CN108235317A (zh) | 2018-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7443541B2 (ja) | 鍵取得方法および装置 | |
CN106664561B (zh) | 用于确保预关联服务发现安全的系统和方法 | |
US20180007552A1 (en) | Method and device for managing security according to service in wireless communication system | |
CN102215474B (zh) | 对通信设备进行认证的方法和装置 | |
WO2014208033A2 (en) | Secure discovery for proximity based service communication | |
JP2019208218A (ja) | モバイル通信システム、ネットワーク及びue並びにそれらのディスカバリ方法 | |
CN101785343B (zh) | 用于快速转换资源协商的方法、系统和装置 | |
CN112512045B (zh) | 一种通信系统、方法及装置 | |
CN110505627B (zh) | 一种基于接入节点组的认证方法及装置 | |
JP2016526805A (ja) | セキュアシステム、及び、セキュア通信を行う方法 | |
JP2016530732A (ja) | プロキシミティベースサービス通信におけるセキュアグループ生成 | |
KR102600917B1 (ko) | 고정 네트워크 가정용 게이트웨이들에 대한 인증 결정 | |
CN107864508A (zh) | 一种无线漫游认证状态的预同步方法和装置 | |
TWI685267B (zh) | 一種接入控制的方法及設備 | |
US11265708B2 (en) | Method and device for joining access node group | |
Kumar et al. | Design of a USIM and ECC based handover authentication scheme for 5G-WLAN heterogeneous networks | |
KR20220144670A (ko) | 이동 통신 시스템에서 단말 간 연결을 통한 네트워크 접속 요청의 인증을 위한 방법 및 장치 | |
CN115412911A (zh) | 一种鉴权方法、通信装置和系统 | |
US11284255B1 (en) | Systems and methods for distributed authentication of devices | |
WO2023072275A1 (zh) | 通信方法、装置及系统 | |
US20240214902A1 (en) | Method and apparatus for reassignment of access and mobility management function in communication system | |
KR101878713B1 (ko) | 네트워크망에 사용자 단말기를 접속하기 위한 방법 및 시스템 | |
CN116847350A (zh) | 一种d2d通信方法、终端及介质 | |
CN116567590A (zh) | 授权方法及装置 | |
WO2014169568A1 (zh) | 安全上下文处理方法及装置 |