WO2013131461A1

WO2013131461A1 - 一种用户设备接入融合控制网元的实现方法及装置

Info

Publication number: WO2013131461A1
Application number: PCT/CN2013/072152
Authority: WO
Inventors: 陈淑; 梁爽; 朱春晖
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-03-06
Filing date: 2013-03-04
Publication date: 2013-09-12
Also published as: CN103313239B; CN103313239A

Abstract

本发明公开了一种用户设备（UE）接入融合控制网元的实现方法，在UE与融合控制网元之间设置融合的接入网关（iAGW），UE连接到所述iAGW后，所述iAGW将iAGW和UE之间的鉴权消息，转换为iAGW和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与iAGW进行UE的鉴权；本发明同时还公开了用户设备接入融合控制网元的实现装置，通过本发明的方案，UE能够安全的接入融合控制网元，充分利用网络资源，扩大网络处理容量，并能够保证用户对用户业务在QoS、移动性、安全和节能等方面的要求。

Description

一种用户设备接入融合控制网元的实现方法及装置技术领域

本发明涉及移动通信技术，尤其涉及一种用户设备 ( UE )接入融合控制网元的实现方法及装置。背景技术

为了保持第三代移动通信系统在通信领域的竟争力，为用户提供速率更快、时延更低、以及更加个性化的移动通信服务，同时，降低运营商的运营成本，第三代合作伙伴计划（3GPP, 3rd Generation Partnership Project ) 标准工作组正致力于演进分组系统（ EPS , Evolved Packet System )的研究。图 1示出了 3GPP接入系统接入 EPS的结构示意图，如图 1所示，整个 EPS 系统分为无线接入网和核心网两部分。在核心网中，包含了归属用户服务器（HSS , Home Subscriber Server ), 移动性管理实体（MME , Mobility Management Entity )、服务 GPRS支持节点（ SGSN, Serving GPRS Support Node )、策略计费规则功能（ PCRF , Policy and Charging Rule Function )、月良务网关（S-GW, Serving Gateway )、分组数据网关（P-GW, PDN Gateway ) 和 OIS ( Operator s IP Services )。下面详细描述各部分功能：

HSS, 是用户签约数据的永久存放地点，位于用户签约的归属网。

MME, 是用户签约数据在当前网络的存放地点，负责 UE到网络的非接入层信令管理、 UE的安全验证功能、 UE的移动性管理、用户空闲模式下的跟踪和寻呼管理功能和承载管理。

SGSN , 是全球移动通讯系统（ GSM , Global System for Mobile Communications )增强数据率 GSM演进（EDGE, Enhanced Data Rate for GSM Evolution )无线接入网 ( GERAN, GSM EDGE Radio Access Network ) 和通用移动通信系统 ( UMTS, Universal Mobile Telecommunications System ) 陆地无线接入网（UTRAN, UMTS Terrestrial Radio Access Network ) UE接入核心网络的业务支持点，功能上与 MME类似，负责 UE的位置更新、寻呼管理和承载管理等功能。

S-GW,是核心网到无线系统的网关，负责 UE到核心网的用户面承载、

UE空闲模式下的数据緩存、网络侧发起业务请求的功能、合法监听和分组数据路由和转发功能； S-GW负责统计 UE使用无线网的情况，并产生 UE 使用无线网的话单，传送给 PCRF。

P-GW, 是演进系统和该系统外部分组数据网络的网关， P-GW连接到因特网和分组数据网络上 , 负责 UE的互联网协议 ( IP , Internet Protocol ) 地址分配、计费功能、分组包过滤、以及策略控制等功能。

PCRF, 是演进系统中负责提供计费控制、在线信用控制、门限控制、以及服务质量（QoS, Quality of Service ) 策略方面规则的服务器。

无线接入网，是由演进基站（eNodeB, Evolved NodeB, 简称为）和 3G无线网络控制器（RNC, Radio Network Controllor )组成，主要负责无线信号的收发，通过空中接口和 UE联系，管理空中接口的无线资源、资源调度、以及接入控制。

上述 SGSN是升级过的 SGSN, 能够支持与 S-GW之间的 S4接口，并与 MME之间采用 GPRS隧道协议版本 2 ( GTPv2, GPRS Tunneling Protocol version 2 )进行互通。而对于支持 3G核心网的 SGSN来说，分组交换 ( PS, Packet Switching )域网络架构与图 1有所不同， SGSN与 MME采用 Gn接口相连，互通采用 GPRS隧道协议版本 1 ( GTPvl , GPRS Tunneling Protocol version 1 )₀ SGSN不能与 S-GW相连，通过 Gn接口连接到网关 GPRS支持节点（GGSN, Gateway GPRS Support Node ), 直接进行分组数据网络访问。

EPS除了支持上述 3GPP网络接入外，还支持非 3GPP网络接入，如图 2所示，其中，与非 3GPP网络的互通通过 S2a/S2b接口实现， P-GW作为 3GPP与非 3GPP网络间的锚点。在 EPS的系统架构图中，非 3GPP网络被分为不可信任非 3GPP接入网（ U-TNAN, Un-Trusted Non-3GPP IP Access Network )和可信任非 3GPP接入网（TNAN, Trusted Non-3 GPP IP Access Network ); 其中， U-TNAN 需经过演进的分组数据网关（ ePDG, Evolved Packet Data Gateway )与 P-GW相连， ePDG与 P-GW间的接口为 S2b; TNAN 可直接通过 S2a接口与 P-GW连接， S2a接口采用 PMIP协议进行信息交互。

无线局域网（WLAN )作为 TNAN, 用于分流数据流量，逐渐被很多运营商关注，其架构如图 2所示，包括本地公用陆地移动网络（ HPLMN, Home Public Land Mobile Network )和非 3 GPP网络（ Non-3 GPP Networks ), HPLMN包括 HSS、 PCRF、 P-GW, S-GW、 3GPP验证授权账户服务器（ AAA Server, Authentication, Authorization and Account Server ), 非 3 GPP网络 ( Non-3 GPP Networks )分为 TNAN和 U-TNAN。

3GPP UE接入 EPS系统采用图 1所示的架构，非 3GPP UE接入 EPS 系统采用图 2 所示的架构，这两种接入技术需要两种不同的接入网和核心网。

非 3GPP UE接入 EPS 系统，图 1 中的长期演进 ( LTE, Long Term Evolution ) 网络资源、 MME不能为非 3GPP接入系统使用，如图 2所示，还需要部署 3GPP AAA Server,导致网络需要有额外的运营成本来操作和维护。

如何充分利用 LTE 网络资源，帮助 EPS 网络的运营商吸引更多的 WLAN UE接入 LTE网络资源 , 成为必须要解决的问题。发明内容

有鉴于此，本发明的主要目的在于提供一种用户设备接入融合控制网元的实现方法及装置，使得 UE能够安全地接入融合控制网元，充分利用网络资源，扩大网络处理容量。

为达到上述目的，本发明的技术方案是这样实现的：

本发明提供的一种用户设备接入融合控制网元的实现方法，该方法包括：

在 UE 与融合控制网元之间设置融合的接入网关（iAGW, integrated Access Gateway );

UE连接到所述 iAGW后，所述 iAGW将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与 iAGW进行 UE的鉴权；其中，

所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元；所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元。上述方案中，所述 iAGW将 iAGW和 UE之间的鉴权消息，转换为 iAGW 和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与 iAGW 进行 UE的鉴权，为：

所述 iAGW通过接入实体向融合控制网元提供所述 UE的国际移动用户识别码 ( IMSI );

所述融合控制网元根据所述 IMSI 获取鉴权向量，并通过接入实体向 iAGW发送用户鉴权请求；

所述 iAGW触发融合控制网元完成对 UE的鉴权。

上述方案中，所述接入实体为 eNodeB时，所述 iAGW通过接入实体向融合控制网元提供所述 UE的 IMSI , 为：

所述 iAGW通过 eNodeB向 4G融合控制网元发送附着请求； 4G融合控制网元向 iAGW发送识别请求； iAGW通过可扩展认证协议（ EAP )请求-识别消息，向所述 UE请求用户的永久标识；所述 UE通过 EAP应答- 识别消息向 iAGW提供用户的永久标识；所述 iAGW解析用户的永久标识，提取出 IMSI, 并通过 eNodeB向 4G融合控制网元提供 IMSL 上述方案中，所述 iAGW触发融合控制网元完成对 UE的鉴权为： iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP 请求-挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥，通过 EAP应答 4兆战消息，向 iAGW传送所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 eNodeB向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 4G融合控制网元判定 iAGW发送的用户鉴权响应和归属用户服务器（HSS ) 的预期响应一致时，确定用户鉴权成功。

上述方案中，该方法还包括：所述 4G融合控制网元在确定用户鉴权成功后，向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。

上述方案中，该方法还包括：所述 iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥。

上述方案中，该方法还包括：所述 iAGW根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验。

上述方案中，所述接入实体为 UTRAN时，所述 iAGW通过接入实体向 3G融合控制网元提供所述 UE的 IMSI, 为：

iAGW通过 UTRAN向 3G融合控制网元发送附着请求； 3G融合控制网元通过 UTRAN向 iAGW发送识别请求；所述 iAGW通过 EAP请求-识别消息，向 UE请求用户的永久标识；所述 UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；所述 iAGW解析用户的永久标识，提取出 IMSI, 并通过 UTRAN向 3G融合控制网元提供 IMSI。上述方案中，所述 iAGW触发融合控制网元完成对 UE的鉴权为：所述 iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求-挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE 运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥，通过 EAP应答战消息，向 iAGW传递所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 UTRAN 向 3G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 3G融合控制网元判定 iAGW发送的用户鉴权响应和 HSS/归属位置寄存器（ HLR ) 的预期响应一致时，向 iAGW发送鉴权结果指示消息，携带成功指示； iAGW 根据鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息。

本发明提供的一种用户设备接入融合控制网元的实现装置，位于 iAGW, 该装置包括：鉴权转换模块，设置于 UE与融合控制网元之间，用于将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息。

上述方案中，所述鉴权转换模块包括： IMSI提供模块、第一鉴权模块；其中，

所述 IMSI提供模块，用于通过接入实体向融合控制网元提供所述 UE 的 IMSI;

所述第一鉴权模块，用于在收到用户鉴权请求后，触发融合控制网元完成对 UE的鉴权；其中，

所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元；所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元。上述方案中，所述 IMSI提供模块，具体用于通过 eNodeB向 4G融合控制网元发送附着请求；通过 EAP请求 -识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI,并向 4G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求 -挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时 , 通过 eNodeB向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应；

所述第一鉴权模块，还用于接收通过 eNodeB发送的来自 4G融合控制网元的非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。

上述方案中，所述 IMSI提供模块，具体用于通过 UTRAN向 3G融合控制网元发送附着请求；通过 EAP请求 -识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI, 并通过 UTRAN向 3G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时，通过 UTRAN向 3G融合控制网元回送用户鉴权响应；并根据 3G融合控制网元发送的鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息；

所述第一鉴权模块，还用于接收通过 UTRAN发送的来自 3G融合控制网元的非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。

上述方案中，所述第一鉴权模块，还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 eNodeB向 4G融合控制网元响应非接入层安全模式完成消息。

上述方案中，所述第一鉴权模块，还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 UTRAN向 3G融合控制网元响应非接入层安全模式完成消息。

本发明提供的一种用户设备接入融合控制网元的实现装置，位于融合控制网元，该装置包括：

第二鉴权模块，用于通过接入实体与 iAGW进行 UE的鉴权；其中，所述接入实体为 eNodeB时，所述第二鉴权模块设置在 4G融合控制网元；

所述接入实体为 UTRAN时，所述第二鉴权模块设置在 3G融合控制网元。

上述方案中，所述第二鉴权模块，具体用于根据 UE的 IMSI获取鉴权向量，并通过接入实体向 iAGW发送用户鉴权请求，根据 iAGW的触发完成对 UE的鉴权。

上述方案中，所述第二鉴权模块设置在 4G融合控制网元时，所述第二鉴权模块，用于通过 eNodeB向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS获取鉴权向量；保存 HSS发送的鉴权向量，通过 eNodeB向 iAGW发送用户鉴权请求；接收 iAGW 发送的用户鉴权响应，判定 iAGW发送的用户鉴权响应和 HSS发送的预期响应一致时，确定用户鉴权成功。

上述方案中，所述第二鉴权模块设置在 3G融合控制网元时，所述第二鉴权模块，用于通过 UTRAN向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS/HLR获取鉴权信息；保存 HSS/HLR发送的鉴权信息响应，通过 UTRAN向 iAGW发送用户鉴权请求；并接收 iAGW发送的用户鉴权响应，在判定 iAGW发送的用户鉴权响应和 HSS/HLR的预期响应一致时，通过 UTRAN向 iAGW发送鉴权结果指示消息。

上述方案中，所述第二鉴权模块，还用于在确定用户鉴权成功后，通过 eNodeB向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码。

上述方案中，所述第二鉴权模块，还用于在发送所述鉴权结果指示消息后，通过 UTRAN向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE 安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码。

本发明提供了一种用户设备接入融合控制网元的实现方法及装置，在 UE与融合控制网元之间设置 iAGW, UE连接到所述 iAGW后，所述 iAGW 将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与 iAGW进行 UE的鉴权；如此， UE能够安全的接入融合控制网元，充分利用网络资源，扩大网络处理容量，并能够保证用户对用户业务在 QoS、移动性、安全和节能等方面的要求。附图说明

图 1为现有技术中 3GPP接入系统接入 EPS的结构示意图；

图 2为现有技术中非 3GPP接入系统接入 EPS的结构示意图；图 3 为本发明提供的用户设备接入融合控制网元的实现方法的流程示意图；

图 4为本发明提供的 4G融合控制网元的结构示意图；

图 5 为本发明提供的 UE通过 LTE接入的融合的演进的分组核心网 ( EPC, Evolved Packet Core ) 的网络结构示意图；

图 6为本发明提供的 3G融合控制网元的结构示意图；

图 7为本发明提供的 UE通过 UTRAN接入融合的 EPC的网络结构示意图；

图 8 为本发明提供的用户设备接入融合控制网元的第一种实现装置结构示意图；

图 9为本发明提供的用户设备接入融合控制网元的第二种实现装置结构示意图；

图 10为本发明实施例一提供的用户设备接入 4G融合控制网元的实现方法的流程示意图；

图 11为本发明实施例二提供的用户设备接入 3G融合控制网元的实现方法的流程示意图。具体实施方式

本发明的基本思想是：在 UE与融合控制网元之间设置 iAGW, UE连接到所述 iAGW后，所述 iAGW将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息，所述融合控制网元完成对 UE的鉴权。

此外，虽然背景技术中仅仅提及支持 WLAN终端接入，但是 iAGW不局限于支持 WLAN, 如果 iAGW能够支持 UTRAN/GERAN的空口，或者其他非 3GPP定义的空口，例如 CDMA、 WiMAX等等，则 iAGW也可以支持这些接入类型的终端接入网络，并与融合控制网元对其实现鉴权授权。这些终端如果支持 EAP认证过程，那么与如下描述的 WLAN的鉴权认证过程都是类似，这里以 WLAN终端接入为例，不再针对不同无线接入技术类型 ( RAT, Radio Access Technology ) 描述。

下面通过附图及具体实施例对本发明做进一步的详细说明。

本发明实现一种用户设备接入融合控制网元的实现方法，如图 3所示，该方法包括以下几个步驟：

步驟 101 : 在 UE与融合控制网元之间设置 iAGW;

具体的，在 eNodeB作为接入实体时，所述融合控制网元为通过 LTE 接入的 4G融合控制网元，如图 4所示 , 该 4G融合控制网元包含 MME和 AAA逻辑实体， MME与 AAA之间的 St接口用于传递上下文信息；

如图 5所示，在 UE与 eNodeB之间设置 iAGW, 所述 UE和 iAGW之间的接口为 WLAN无线接口， iAGW和 eNodeB之间的接口为 LTE-Uu接口，这样， UE就被模拟成一个 3GPP UE接入到 LTE和 EPC;

此时，所述 iAGW具备如下功能：

1 ) iAGW支持 UE接入 LTE和 EPC网络；

2 ) iAGW实现 UE的功能，即 eNodeB将 iAGW当作普通 UE, iAGW 按照普通 UE的接入流程接入 eNodeB, 且始终保持开机附着状态。

在陆地无线接入网（UTRAN )作为接入实体时，所述融合控制网元为通过 UTRAN接入的 3G融合控制网元，如图 6所示，该 3G融合控制网元包含 SGSN和 AAA逻辑实体， SGSN与 AAA之间的 Uv接口用于传递上下文信息；

如图 7所示，在 UE和 UTRAN之间设置 iAGW, 所述 UE和 iAGW之间的接口为 WLAN无线接口， iAGW和 UTRAN之间的接口为 Uu接口，这样， UE就被模拟成一个 3GPP UE接入到 UTRAN和 EPC;

此时，所述 iAGW具备如下功能：

1 ) iAGW支持 UE接入 UTRAN和 EPC网络； 2 ) iAGW实现 UE的功能，即 UTRAN将 iAGW当作普通 UE, iAGW 按照普通 UE的接入流程接入 UTRAN, 且始终保持开机附着状态。

步驟 102: UE连接到所述 iAGW后，所述 iAGW将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与 iAGW进行 UE的鉴权；

具体的， UE连接到所述 iAGW后，所述 iAGW通过接入实体向融合控制网元提供所述 UE的国际移动用户识别码（IMSI ); 所述融合控制网元根据所述 IMSI获取鉴权向量，并通过接入实体向 iAGW发送用户鉴权请求；所述 iAGW触发融合控制网元对 UE的鉴权；

所述 iAGW通过接入实体向融合控制网元提供所述 UE的 IMSI, 具体为：

在所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元，如图 5所示， UE连接到 iAGW, iAGW通过 eNodeB向 4G融合控制网元发送附着请求，携带所述 WLAN接入的指示； 4G融合控制网元根据所述 WLAN接入的指示中没有用户的永久标识，向所述 iAGW发送识别请求；所述 iAGW通过 EAP请求-识别消息，向所述 UE请求用户的永久标识；所述 UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；所述 iAGW 解析用户的永久标识，提取出 IMSI, 并向 4G融合控制网元提供 IMSI;

在所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元，如图 7所示， UE连接到 iAGW, iAGW通过 UTRAN向 3G融合控制网元发送附着请求，携带所述 WLAN接入的指示； 3G融合控制网元根据所述 WLAN接入的指示中没有用户的永久标识，向 iAGW发送识别请求；所述 iAGW通过 EAP请求-识别消息，向 UE请求用户的永久标识；所述 UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；所述 iAGW解析用户的永久标识，提取出 IMSI, 并向 3G融合控制网元提供 IMSI。所述融合控制网元根据所述 IMSI 获取鉴权向量，并通过接入实体向 iAGW发送用户鉴权请求，具体为：

在所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元，如图 5所示，所述 4G融合控制网元使用获取到的 IMSI，向 HSS获取鉴权向量；所述 HSS向 4G融合控制网元提供鉴权向量，所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥； 4G融合控制网元保存所述鉴权向量，通过 eNodeB向 iAGW发送用户鉴权请求，所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识；

在所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元，如图 7所示，所述 3G融合控制网元使用获取到的 IMSI, 向 HSS/HLR获取鉴权信息； HSS/HLR向 3G融合控制网元返回鉴权信息响应，所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥； 3G融合控制网元保存所述鉴权信息响应，通过 UTRAN向 iAGW发送用户鉴权请求，所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识。

所述 iAGW触发融合控制网元完成对 UE的鉴权，具体为：

在所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元，如图 5所示， iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥，通过 EAP应答战消息，向 iAGW传送所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 eNodeB 向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 4G融合控制网元判定 iAGW发送的用户鉴权响应和 HSS发送的预期响应一致时，确定用户鉴权成功；进一步的 ,所述 4G融合控制网元在确定用户鉴权成功后 ,通过 eNodeB 向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；

进一步的， iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；

具体的， iAGW根据所述非接入层安全模式命令判断 UE安全能力和自身发送的 UE安全能力是否一致，在一致时，表示 UE安全能力未被更改和攻击，可以接受 UE的非接入层消息， iAGW使用演进的通用地面无线接入网的密钥集标识和加密算法生成非接入层加密密钥，使用演进的通用地面无线接入网的密钥集标识和完整性保护算法生成非接入层完整性保护密钥；

进一步的， iAGW根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；

进一步的， iAGW判定完整性校验通过后，表示该非接入层安全模式命令可接受，且此安全通道可用，通过 eNodeB向 4G融合控制网元响应非接入层安全模式完成消息，包含非接入层消息认证码；

进一步的， iAGW通过 eNodeB向 4G融合控制网元响应非接入层安全模式完成消息后，不向 eNodeB发送初始上下文建立请求，向 UE发送 EAP- 成功消息， UE鉴权成功；

在所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元，如图 7所示， iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥，通过 EAP应答战消息，向 iAGW传递所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 UTRAN 向 3G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 3G融合控制网元判定 iAGW发送的用户鉴权响应和 HSS/HLR发送的预期响应一致时，表示鉴权成功，向 iAGW发送鉴权结果指示消息，所述鉴权结果指示消息携带成功指示； iAGW根据鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息， UE鉴权成功；

进一步的，所述 3G融合控制网元在发送所述鉴权结果指示消息后，通过 UTRAN向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；

进一步的， iAGW判定完整性校验通过后，表示该非接入层安全模式命令可接受，且此安全通道可用，通过 UTRAN向 3G融合控制网元响应非接入层安全模式完成消息，包含非接入层消息认证码；

进一步的， iAGW通过 UTRAN向 3G融合控制网元响应非接入层安全模式完成消息后，不向 3G融合控制网元发送初始上下文建立请求，向 UE 发送 EAP-成功消息， UE鉴权成功。

在上述过程中，由于融合控制网元还需要记录通过 iAGW接入的终端与 iAGW 的上下文映射关系，因此能够区分通过基站接入的终端和通过 iAGW接入的终端，进行区分处理。具体是因为当终端通过 iAGW接入网络进行鉴权认证时，融合控制网元不需要对 iAGW与基站的空口重新建立安全连接，而是认为 iAGW与基站直接的空口安全连接在 iAGW接入网络的时候依然有效。

基于上述方法，本发明提供一种用户设备接入融合控制网元的实现装置，位于 iAGW, 如图 8所示，该装置包括：鉴权转换模块 21 , 设置于 UE 与融合控制网元之间，用于将 iAGW和 UE之间的鉴权消息，转换为 iAGW 和融合控制网元之间的鉴权消息。

所述鉴权转换模块 21包括： IMSI提供模块 211、第一鉴权模块 212; 其中，

所述 IMSI提供模块 211 , 用于通过接入实体向融合控制网元提供所述 UE的 IMSI;

所述第一鉴权模块 212 , 用于在收到用户鉴权请求后，触发融合控制网元完成对 UE的鉴权；其中，

所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元；所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元；所述 IMSI提供模块 211 ,具体用于通过 eNodeB向 4G融合控制网元发送附着请求；通过 EAP请求-识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI, 并向 4G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求 -挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时，通过 eNodeB向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应；

所述第一鉴权模块 212, 还用于接收通过 eNodeB发送的来自 4G融合控制网元的非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；

所述第一鉴权模块 212,进一步用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 eNodeB向 4G融合控制网元响应非接入层安全模式完成消息；

或者，

所述 IMSI提供模块 211 , 具体用于通过 UTRAN向 3G融合控制网元发送附着请求；通过 EAP请求-识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI, 并通过 UTRAN向 3G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP 请求-挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时 , 通过 UTRAN向 3G融合控制网元回送用户鉴权响应；并根据 3G融合控制网元发送的鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息；所述第一鉴权模块 212, 还用于接收通过 UTRAN发送的来自 3G融合控制网元的非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；

所述第一鉴权模块 212,进一步用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 UTRAN向 3G融合控制网元响应非接入层安全模式完成消息。

基于上述方法，本发明还提供一种用户设备接入融合控制网元的实现装置，位于融合控制网元，如图 9所示，该装置包括：

第二鉴权模块 31 , 用于通过接入实体与 iAGW进行 UE的鉴权；其中，所述接入实体为 eNodeB时，所述第二鉴权模块设置在 4G融合控制网元；

所述接入实体为 UTRAN时，所述第二鉴权模块设置在 3G融合控制网元；

所述接入实体为 eNodeB时，如图 5所示，整体网络架构包括 4G融合控制网元、 HSS、 S-GW、 P-GW、 PCRF、 OIS; 其中，

4G融合控制网元中设置有接入融合控制网元的装置，该装置的第二鉴权模块 31 , 具体用于根据 WLAN接入的指示中没有用户的永久标识，通过 eNodeB向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS获取鉴权向量；保存 HSS发送的鉴权向量，通过 eNodeB向 iAGW发送用户鉴权请求，所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识；接收 iAGW发送的用户鉴权响应，判定 iAGW发送的用户鉴权响应和 HSS发送的预期响应一致时，确定用户鉴权成功；

HSS, 用于向所述第二鉴权模块 41提供鉴权向量，所述鉴权向量包括随机数、鉴权令牌、预期响应以及接入安全管理实体密钥；

S-GW、 P-GW、 PCRF、 OIS的功能为现有技术，这里不再赘述；所述第二鉴权模块 31 , 还用于在确定用户鉴权成功后，通过 eNodeB 向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码；

所述接入实体为 UTRAN时，如图 7所示，该整体网络架构包括 3G融合控制网元、 HSS/HLR、 S-GW、 P-GW、 PCRF、 OIS; 其中，

3G融合控制网元中设置有接入融合控制网元的装置，该装置的第二鉴权模块 31 , 具体用于根据 WLAN接入的指示中没有用户的永久标识，向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS/HLR获取鉴权信息；保存 HSS/HLR发送的鉴权信息响应，向 iAGW发送用户鉴权请求，所述用户鉴权请求包括随机数、鉴权令牌以及接入安全管理实体密钥集标识；并接收 iAGW发送的用户鉴权响应 , 在判定 iAGW发送的用户鉴权响应和 HSS/HLR发送的预期响应一致时，表示鉴权成功，向 iAGW发送鉴权结果指示消息，所述鉴权结果指示消息携带成功指示；

HSS/HLR, 用于向所述第二鉴权模块 31返回鉴权信息响应，所述鉴权信息响应中包括随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥；

S-GW、 P-GW、 PCRF、 OIS的功能为现有技术，这里不再赘述；所述第二鉴权模块 31 , 还用于在发送所述鉴权结果指示消息后，通过 UTRAN向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码。实施例一本实施例以 WLAN UE通过 LTE接入 EPC为例 , 实现接入 4G融合控制网元的方法，如图 10所示，该方法包括以下几个步驟：

步驟 201 , WLAN UE连接到 iAGW, 按照接入流程建立连接关系；步驟 202, iAGW向 eNodeB发送附着请求，携带 WLAN接入的指示；步驟 203 , eNodeB向 4G融合控制网元发送附着请求，携带 WLAN接入的指示；

步驟 204 , 4G融合控制网元向 iAGW发送识别请求；

步驟 205 , iAGW通过 EAP请求-识别消息，向 WLAN UE请求用户的永久标识；

步驟 206, WLAN UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；

步驟 207, iAGW解析用户的永久标识，提取出 IMSI, 并通过身份响应向 MME提供 IMSI;

步驟 208, 4G融合控制网元根据 IMSI向 HSS获取鉴权向量；步驟 209, HSS向 4G融合控制网元提供鉴权向量，包含随机数、鉴权令牌、预期响应以及接入安全管理实体密钥；

步驟 210, 4G融合控制网元保存鉴权向量，向 iAGW发起用户鉴权请求，包含随机数、鉴权令牌以及接入安全管理实体密钥集标识；

步驟 211 , iAGW从鉴权令牌中提取出消息认证码；

步驟 212 , iAGW通过 EAP请求战消息，向 WLAN UE传递随机数、鉴权令牌以及消息认证码；

步驟 213 , WLAN UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥， WLAN UE通过 EAP应答-挑战消息，向 iAGW传递响应和消息认证码；向 4G融合控制网元回送用户鉴权响应，携带收到的 WLAN UE的响应；步驟 215, 4G融合控制网元判断收到的响应和从 HSS传递来的预期响应一致，表示用户鉴权成功，向 iAGW发送非接入层安全模式命令，包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；

步驟 216, iAGW判断 UE安全能力和自身曾发送给网络的 UE安全能力是否一致，在一致时， iAGW使用演进的通用地面无线接入网的密钥集标识和加密算法生成非接入层加密密钥， iAGW使用演进的通用地面无线接入网的密钥集标识和完整性保护算法生成非接入层完整性保护密钥， iAGW根据新产生的非接入层完整性保护密钥和算法，对收到的非接入层安全模式命令消息进行完整性校验；

步驟 217, iAGW判定完整性校验通过后，向 4G融合控制网元响应非接入层安全模式完成消息，包含非接入层消息认证码。此后所有的非接入层信令消息都将被加密和完整性保护。

步驟 218, iAGW判断非接入层安全认证通过，不向 eNodeB发送初始上下文建立请求，向 WLAN UE发送 EAP-成功消息， WLAN UE鉴权成功。

实施例二

本实施例以 WLAN UE接入 UTRAN和 EPC为例 , 实现接入 3G融合控制网元的方法，如图 11所示，该方法包括以下几个步驟：

步驟 301 , WLAN UE连接到 iAGW, 按照接入流程建立连接关系。步驟 302, iAGW向 UTRAN发送附着请求，携带 WLAN接入的指示；步驟 303 , UTRAN向 3G融合控制网元发送附着请求，携带 WLAN接入的指示；

步驟 304, WLAN UE首次接入的连接信令，可能不提供用户的永久标识， 3G融合控制网元向 iAGW发起识别请求；步驟 305 , iAGW通过 EAP请求-识别消息，向 WLAN UE请求用户的永久标识；

步驟 306, WLAN UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；

步驟 307, iAGW解析用户的永久标识，提取出 IMSI, 并通过身份响应向 3G融合控制网元提供 IMSI;

步驟 308 , 3G融合控制网元使用获取到的 IMSI , 向 HSS/HLR获取鉴权信息；

步驟 309, HSS/HLR向 3G融合控制网元返回鉴权信息响应，消息中包含随机数、预期响应、鉴权令牌、加密密钥以及完整性保护密钥；

步驟 310, 3G融合控制网元保存鉴权向量，向 iAGW发起鉴权和加密请求，包含随机数、鉴权令牌以及密钥集标识；

步驟 311 , iAGW从鉴权令牌中提取计算出消息认证码；

步驟 312, iAGW通过 EAP请求战消息，向 WLAN UE传递随机数、鉴权令牌以及消息认证码；

步驟 313 , WLAN UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥。 WLAN UE通过 EAP应答-挑战消息，向 iAGW传递响应和消息认证码；

步驟 314, iAGW判断计算出的消息认证码和收到的消息认证码一致，向 3G融合控制网元回送鉴权和加密响应 , 携带收到的 WLAN UE的响应；步驟 315 , 3G融合控制网元判断收到的响应和从 HLR传递来的预期响应一致，表示用户鉴权成功，向 iAGW发送鉴权结果指示消息；

步驟 316, iAGW判断鉴权结果指示消息中携带成功指示，表示安全认证通过，向 WLAN UE发送 EAP-成功消息， WLAN UE鉴权成功。

此外，对于架构中，接入实体中的基站可以为普通基站或者也可以为家用基站，但是提供的功能都是类似的，因此上述描述都以基站为例。以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

权利要求书

1、一种用户设备接入融合控制网元的实现方法，其特征在于，该方法包括：

在用户设备（UE )与融合控制网元之间设置融合的接入网关（iAGW );

所述接入实体为演进基站（eNodeB ) 时，所述融合控制网元为 4G融合控制网元；

所述接入实体为通用移动通信系统陆地无线接入网（UTRAN ) 时，所述融合控制网元为 3G融合控制网元。

2、根据权利要求 1所述的实现方法，其特征在于，所述 iAGW将 iAGW 和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息，所述融合控制网元通过接入实体与 iAGW进行 UE的鉴权，为：

所述 iAGW触发融合控制网元完成对 UE的鉴权。

3、根据权利要求 2 所述的实现方法，其特征在于，所述接入实体为 eNodeB时，所述 iAGW通过接入实体向融合控制网元提供所述 UE的 IMSI, 为：

所述 iAGW通过 eNodeB向 4G融合控制网元发送附着请求； 4G融合控制网元向 iAGW发送识别请求； iAGW通过可扩展认证协议（ EAP )请求-识别消息，向所述 UE请求用户的永久标识；所述 UE通过 EAP应答- 识别消息向 iAGW提供用户的永久标识；所述 iAGW解析用户的永久标识，提取出 IMSI, 并通过 eNodeB向 4G融合控制网元提供 IMSL

4、根据权利要求 3所述的实现方法，其特征在于，所述 iAGW触发融合控制网元完成对 UE的鉴权为：

iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP 请求-挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥，通过 EAP应答 4兆战消息，向 iAGW传送所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 eNodeB向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 4G融合控制网元判定 iAGW发送的用户鉴权响应和归属用户服务器（HSS ) 的预期响应一致时，确定用户鉴权成功。

5、根据权利要求 4所述的实现方法，其特征在于，该方法还包括：所述 4G融合控制网元在确定用户鉴权成功后 ,向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包括演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。

6、根据权利要求 5所述的实现方法，其特征在于，该方法还包括：所述 iAGW根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥。

7、根据权利要求 6所述的实现方法，其特征在于，该方法还包括：所述 iAGW根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验。

8、根据权利要求 2 所述的实现方法，其特征在于，所述接入实体为 UTRAN时，所述 iAGW通过接入实体向 3G融合控制网元提供所述 UE的 IMSI, 为：

iAGW通过 UTRAN向 3G融合控制网元发送附着请求； 3G融合控制网元通过 UTRAN向 iAGW发送识别请求；所述 iAGW通过 EAP请求-识别消息，向 UE请求用户的永久标识；所述 UE通过 EAP应答-识别消息，向 iAGW提供用户的永久标识；所述 iAGW解析用户的永久标识，提取出 IMSI, 并通过 UTRAN向 3G融合控制网元提供 IMSI。

9、根据权利要求 8所述的实现方法，其特征在于，所述 iAGW触发融合控制网元完成对 UE的鉴权为：

所述 iAGW从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求-挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码； UE 运行鉴权和密钥协商算法，校验鉴权令牌和消息认证码，产生响应和主会话密钥 , 通过 EAP应答战消息 , 向 iAGW传递所述响应和消息认证码； iAGW判定计算出的消息认证码和收到的消息认证码一致时，通过 UTRAN 向 3G融合控制网元回送用户鉴权响应，携带收到的 UE的响应； 3G融合控制网元判定 iAGW发送的用户鉴权响应和 HSS/归属位置寄存器（ HLR ) 的预期响应一致时，向 iAGW发送鉴权结果指示消息，携带成功指示； iAGW 根据鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息。

10、一种用户设备接入融合控制网元的实现装置，位于 iAGW, 其特征在于，该装置包括：鉴权转换模块，设置于 UE与融合控制网元之间，用于将 iAGW和 UE之间的鉴权消息，转换为 iAGW和融合控制网元之间的鉴权消息。

11、根据权利要求 10所述的实现装置，其特征在于，所述鉴权转换模块包括： IMSI提供模块、第一鉴权模块；其中，

所述接入实体为 eNodeB时，所述融合控制网元为 4G融合控制网元；所述接入实体为 UTRAN时，所述融合控制网元为 3G融合控制网元。

12、根据权利要求 11所述的实现装置，其特征在于，

所述 IMSI提供模块，具体用于通过 eNodeB向 4G融合控制网元发送附着请求；通过 EAP请求-识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI, 并向 4G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求 -挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时，通过 eNodeB向 4G融合控制网元回送用户鉴权响应，携带收到的 UE的响应；

13、根据权利要求 11所述的实现装置，其特征在于，

所述 IMSI提供模块，具体用于通过 UTRAN向 3G融合控制网元发送附着请求；通过 EAP请求-识别消息，向 UE请求用户的永久标识；解析用户的永久标识，提取出 IMSI ,并通过 UTRAN向 3G融合控制网元提供 IMSI; 从用户鉴权请求的鉴权令牌中提取计算出消息认证码，通过 EAP请求 -挑战消息，向 UE传递随机数、鉴权令牌以及消息认证码；判定计算出的消息认证码和 UE发送的消息认证码一致时 , 通过 UTRAN向 3G融合控制网元回送用户鉴权响应；并根据 3G融合控制网元发送的鉴权结果指示消息中携带的成功指示，确定安全认证通过，向 UE发送 EAP-成功消息；所述第一鉴权模块，还用于接收通过 UTRAN发送的来自 3G融合控制网元的非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码。

14、根据权利要求 12所述的实现装置，其特征在于，

所述第一鉴权模块，还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 eNodeB向 4G融合控制网元响应非接入层安全模式完成消息。

15、根据权利要求 13所述的实现装置，其特征在于，

所述第一鉴权模块，还用于根据所述非接入层安全模式命令生成非接入层加密密钥、非接入层完整性保护密钥；根据生成的非接入层完整性保护密钥，对收到的非接入层安全模式命令消息进行完整性校验；判定完整性校验通过后，通过 UTRAN向 3G融合控制网元响应非接入层安全模式完成消息。

16、一种用户设备接入融合控制网元的实现装置，位于融合控制网元，其特征在于，该装置包括：

17、根据权利要求 16所述的实现装置，其特征在于，所述第二鉴权模块，具体用于根据 UE的 IMSI获取鉴权向量，并通过接入实体向 iAGW发送用户鉴权请求，根据 iAGW的触发完成对 UE的鉴权。

18、根据权利要求 17所述的实现装置，其特征在于，

所述第二鉴权模块设置在 4G融合控制网元时，所述第二鉴权模块，用于通过 eNodeB向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS获取鉴权向量；保存 HSS发送的鉴权向量，通过 eNodeB向 iAGW发送用户鉴权请求；接收 iAGW发送的用户鉴权响应，判定 iAGW发送的用户鉴权响应和 HSS发送的预期响应一致时，确定用户鉴权成功。

19、根据权利要求 17所述的实现装置，其特征在于，所述第二鉴权模块设置在 3G融合控制网元时，所述第二鉴权模块，用于通过 UTRAN向 iAGW发送识别请求，接收 iAGW从永久标识中提取的 IMSI; 并使用获取到的 IMSI, 向 HSS/HLR获取鉴权信息；保存 HSS/HLR发送的鉴权信息响应，通过 UTRAN向 iAGW发送用户鉴权请求；并接收 iAGW发送的用户鉴权响应，在判定 iAGW发送的用户鉴权响应和 HSS/HLR的预期响应一致时，通过 UTRAN向 iAGW发送鉴权结果指示消息。

20、根据权利要求 18所述的实现装置，其特征在于，所述第二鉴权模块，还用于在确定用户鉴权成功后，通过 eNodeB向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码。

21、根据权利要求 19所述的实现装置，其特征在于，所述第二鉴权模块，还用于在发送所述鉴权结果指示消息后，通过 UTRAN向 iAGW发送非接入层安全模式命令，所述非接入层安全模式命令包含演进的通用地面无线接入网的密钥集标识、 UE安全能力、加密算法、完整性保护算法以及非接入层消息认证码；接收非接入层安全模式完成消息，保存其中的非接入层消息认证码。