WO2014110768A1 - 一种移动网络对终端认证的方法和网元、终端 - Google Patents

Abstract

本发明实施例公开一种移动网络对终端认证的方法和网元、终端，在终端接入网络侧后，网络侧可以对所述终端进行认证，实现对所述终端的合法监听。该方法包括：数据网关接收终端的第一标识和所述终端的后认证标志，其中，所述后认证标志用于指示所述数据网关接收到所述终端发送的上行数据时对所述终端进行认证；通过所述终端的网络连接接收所述终端发送的上行数据，所述上行数据中携带有所述终端的第二标识，所述第二标识包括所述第一标识或所述数据网关为所述终端分配的 IP地址；所述数据网关根据所述上行数据携带的所述第二标识和存储的所述终端的后认证标志，将所述上行数据重定向到认证服务器对所述终端进行认证。该方法适用于通信领域。

Description

一种移动网络对终端认证的方法和网元、 终端 技术领域 本发明涉及通信领域， 尤其涉及一种移动网络对终端认证 的方法和网元、 终端。

背景技术 现有技术中， 一方面， 无线网络可以通过对签约或开户的 终端进行认证使得终端接入无线网络， 进而为终端提供网络服 务。 另 一方面， 无线网络也可以通过对用户设备接入点 UAP ( User Equipm ent Acces s Point ) 进行认证 , 使得能够接入 UAP 的终端能够接入无线网络， 进而为终端提供网络服务。 对于无线网络为正常签约或开户 的终端提供网络的情况， 无线网络不能使得其它具有移动网络接入能力的终端接入。 对 于无线网络为 U ΑΡ 提供网络的情况， 无线网络只对 UAP 进行 认证， 而无法对通过 UAP接入网络的终端进行认证， 因此， 无 线网络不能够验证接入的终端是否为移动网络的合法用户 ， 也 不会为终端单独分配资源或服务质量 Qo S ( Quality o f S ervi ce ) 策略， 进而使得无线网络不能保证不同终端的用户体验， 也不 能实现对终端的合法监听。

发明内容 本发明的实施例提供一种移动网络对'终端认证的方法和网元、终 端， 在终端接入移动网络后， 移动网络可以对所述终端进行认 证， 实现对所述终端的合法监听。

为达到上述目 的， 本发明的实施例采用如下技术方案： 第一方面， 本发明实施例提供一种移动网络对终端认证的 方法， 该方法包括： 数据网关接收终端的第一标识和所述终端的后认证标志， 其中， 所述后认证标志用于指示所述数据网关接收到所述终端 发送的上行数据时对所述终端进行认证； 所述数据网关通过所述终端的网络连接接收所述终端发送 的上行数据， 所述上行数据中携带有所述终端的第二标识， 所 述第二标识包括所述第一标识或所述数据网关为所述终端分配 的 IP地址； 所述数据网关根据所述上行数据携带的所述第二标识和存 储的所述终端的后认证标志， 将所述上行数据重定向到认证服 务器对所述终端进行认证。 在第一种可能的实现方式中， 根据第一方面， 所述方法还 包括：

在所述认证服务器对所述终端认证通过后， 所述数据网关 获取所述终端的签约信息， 并根据所述签约信息更新所述终端 的网络连接。

在第二种可能的实现方式中， 根据第一种可能的实现方式， 所述数据网关获取所述终端的签约信息， 并根据所述签约信息 更新所述终端的网络连接包括： 所述数据网关接收所述认证服务器发送的所述终端签约时 的签约标识； 所述数据网关向接入控制节点发送所述签约标识， 用于指 示所述接入控制节点根据所述签约标识向归属网络签约用户服 务器获取所述终端的签约信息； 所述数据网关接收所述接入控制节点发送的所述终端的签 约信息， 并根据所述签约信息更新所述终端的网络连接。

在第三种可能的实现方式中， 根据第一种可能的实现方式， 所述数据网关获取所述终端的签约信息， 并根据所述签约信息 更新所述终端的网络连接包括： 所述数据网关接收接入控制节点发送的所述终端的签约信 所述数据网 关根据所述签约信息更新所述终端的 网络连 接。 在第 15 种可能的实现方式中， 根据第一种可能的实现方式， 所述数据网关获取所述终端的签约信息， 并根据所述签约信息 更新所述终端的网络连接包括： 所述数据网关接收所述认证服务器发送的所述终端的签约 信息；

所述数据网 关根据所述签约信息更新所述终端的 网络连 接 ,

在第五种可能的实现方式中， 根据第一种可能的实现方式 至第四种可能的实现方式， 在所述数据网关根据所述签约信息 更新所述终端的网络连接后， 还包括： 所述数据网关删除存储的所述终端的后认证标志。

第二方面， 提供了一种移动网络对终端认证的方法， 该方 法包括：

接入控制节点将终端的第一标识和所述终端的后认证标志 发送给数据网关， 其中， 所述后认证标志用于指示所述数据网 关接收到所述终端发送的上行数据时对所述终端进行认证； 所述接入控制节点将所述终端发送的上行数据发送给所述 数据网关， 所述上行数据中携带有所述终端的第二标识， 所述 第二标识包括所述第一标识或所述数据网关为所述终端分配的

IP 地址， 以使得所述数据网关根据所述上行数据携带的所述第 二标识和存储的所述终端的后认证标志， 将所述上行数据重定 向到认证服务器对所述终端进行认证。

在第一种可能的实现方式中， 根据第二方面， 在所述接入 控制节点将终端的第一标识和所述终端的后认证标志发送给数 据网关之前， 还包括：

所述接入控制节点接收所述终端或用户接入点发送的所述 终端的第一标识和所述终端的后认证标志；

在所述接入控制节点将终端发送的上行数据发送给所述数 据网关之前， 还包括： 所述接入控制节点接收所述终端发送的或通过用户接入点 终端发送的上行数据。

在第二种可能的实现方式中， 根据第二方面或第一种可能 的实现方式， 该方法还包括：

在所述认证服务器对所述终端认证通过后， 所述接入控制 节点获取所述终端的签约信息， 并根据所述签约信息更新所述 终端的网络连接。

在第三种可能的实现方式中， 根据第二种可能的实现方式， 所述接入控制节点获取所述终端的签约信息， 并根据所述签约 信息更新所述终端的网络连接包括：

所述接入控制节点接收所述数据网关发送的所述终端签约

所述接入控制节点根据所述签约标识向归属网络签约用户 服务器获取所述终端的签约信息；

所述接入控制节点向所述数据网关发送所述终端的签约信 息， 并根据所述签约信息更新所述终端的网络连接。 在第四种可能的实现方式中， 根据第二种可能的实现方式， 所述接入控制节点获取所述终端的签约信息， 并根据所述签约 信息更新所述终端的网络连接包括：

所述接入控制节点接收所述认证服务器发送的所述终端签 约时的签约标识；

所述接入控制节点根据所述签约标识向归属网络签约用户 服务器获取所述终端的签约信息；

所述接入控制节点向所述数据网关发送所述终端的签约信 息， 并根据所述签约信息更新所述终端的网络连接。 第三方面， 提供一种移动网络对终端认证的方法， 该方法 包括：

终端向网络側发送终端的第一标识和后认证标志， 其中， 所述后认证标志用于指示所述网络側接收到所述终端的上行数 据时对所述终端进行认证； 所述终端向所述网络侧发送所述终端的上行数据， 其中， 所述上行数据携带有所述终端的第二标识， 所述第二标识包括 所述第一标识或所述网络侧为所述终端分配的 IP地址， 以使得 所述网络侧根据所述后认证标志和所述终端的第二标识对所述 终端进行认证。

在第一种可能的实现方式中， 根据第三方面， 进一步包括： 所述终端接收所述网络侧发送的所述网络侧为所述终端分 配的 IP地址； 所述终端的第二标识为所述 IP地址。

在第二种可能的实现方式中， 根据第三方面或第一种可能 的实现方式， 所述终端经过用户接入点发送所述终端的第一标 识和后认证标志、 所述终端的上行数据、 接收所述网络侧发送 的所述网络侧为所述终端分配的 IP地址。

在第三种可能的实现方式中， 结合第三方面或第一种可能 的实现方式至第二种可能的实现方式， 所述终端向网络側发送 终端的第一标识和后认证标志， 包括： 所述终端通过网络侧的接入控制节点向数据网关发送终端 的后认证标志； 所述网络侧根据所述后认证标志和所述终端的标识对所述 终端进行认证， 包括：

所述网络侧的数据网关根据所述后认证标志和所述终端的 标识， 将所述上行数据重定向到所述网络侧的认证服务器对所 述终端进行认证。 第四方面， 提供一种移动网络对终端认证的方法， 该方法 包括：

用户接入点接收所述终端发送的连接建立请求消息； 所所述述用用户户接接入入点点根根据据所所述述连连接接建建立立请请求求消消息息向向网网络络侧侧发发送送 终终端端的的第第一一标标识识和和后后认认证证标标志志，， 其其中中，， 所所述述后后认认证证标标志志用用于于指指 示示所所述述网网络络侧侧接接收收到到所所述述终终端端的的上上行行数数据据时时对对所所述述终终端端进进行行认认 证证；； 所所述述用用户户接接入入点点通通过过所所述述终终端端的的网网络络连连接接向向所所述述网网络络侧侧发发 送送所所述述终终端端的的上上行行数数据据，， 其其中中，， 所所述述上上行行数数据据携携带带有有所所述述终终端端 的的第第二二标标识识，， 所所述述第第二二标标识识包包括括所所述述第第一一标标识识或或所所述述数数据据网网关关 为为所所述述终终端端分分配配的的 IIPP地地址址，， 以以使使得得所所述述网网络络侧侧根根据据所所述述后后认认证证 标标志志和和所所述述终终端端的的第第二二标标识识对对所所述述终终端端进进行行认认证证。。

第第五五方方面面，， 提提供供一一种种数数据据网网关关，， 该该数数据据网网关关包包括括：： 接接收收单单 元元和和重重定定向向单单元元；；

所所述述接接收收单单元元，， 用用于于接接收收终终端端的的第第一一标标识识和和所所述述终终端端的的后后 认认证证标标志志，， 其其中中，， 所所述述后后认认证证标标志志用用于于指指示示所所述述数数据据网网关关接接收收 到到所所述述..终终端端发发送送的的上上行行数数据据时时对对所所述述终终端端进进行行认认证证；； 所所述述接接收收单单元元，， 还还用用于于通通过过所所述述终终端端的的网网络络连连接接接接收收所所述述 终终端端发发送送的的上上行行数数据据，， 所所述述上上行行数数据据中中携携带带有有所所述述终终端端的的第第二二 标标识识，， 所所述述第第二二标标识识包包括括所所述述第第一一标标识识或或所所述述数数据据网网关关为为所所述述 终终端端分分配配的的 IIPP地地址址；； 所所述述重重定定向向单单元元，， 用用 于于根根据据所所述述上上行行数数据据携携带带的的所所述述第第二二 标标识识和和存存储储的的所所述述终终端端的的后后认认证证标标志志，， 将将所所述述上上行行数数据据重重定定向向 到到认认证证服服务务器器对对所所述述终终端端进进行行认认证证。。 在在第第一一种种可可能能的的实实现现方方式式中中，， 根根据据第第五五方方面面，， 所所述述数数据据网网 关关还还包包括括：： 获获取取单单元元和和更更新新单单元元；；

所所述述获获取取单单元元，， 用用于于在在所所述述认认证证服服务务器器对对所所述述终终端端认认证证通通 过过后后，， 获获取取所所述述终终端端的的签签约约信信息息；； 所所述述更更新新单单元元，， 用用于于根根据据所所述述签签约约信信息息更更新新所所述述终终端端的的网网 络络连连接接。。

在在第第二二种种可可能能的的实实现现方方式式中中，， 根根据据第第二二种种可可能能的的实实现现方方式式，，

接收所述认证服务器发送的所述终端签约时的签约标识； 向接入控制节点发送所述签约标识， 用 于指示所述接入控 制节点根据所述签约标识向归属网络签约用户服务器获取所述 终端的签约信息； 接收所述接入控制节点发送的所述终端的签约信息。

在第三种可能的实现方式中， 根据第二种可能的实现方式， 所述获取单元具体用 于： 接收接入控制节点发送的所述终端的签约信息。

在第四种可能的实现方式中， 根据第二种可能的实现方式， 所述获取单元具体用 于：

接收所述认证服务器发送的所述终端的签约信息。

在第五种可能的实现方式中， 根据第五方面第二种可能的 实现方式至第四种可能的实现方式， 所述数据网关还包括： 除单元； 所述删除单元， 用于在所述更新单元根据所述签约信息更 新所述终端的网络连接后， 删除存储的所述终端的后认证标志。 第六方面， 提供一种接入控制节点， 该接入控制节点包括： 发送-单元；

所述发送单元， 用 于将终端的第一标识和所述终端的后认 证标志发送给数据网关， 其中， 所述后认证标志用于指示所述 数据网关接收到所述终端发送的上行数据时对所述终端进行认 证；

所述发送单元， 还用 于将所述终端发送的上行数据发送给 所述数据网关， 所述上行数据中携带有所述终端的第二标识， 所述第二标识包括所述第一标识或所述数据网关为所述终端分 配的 IP地址， 以使得所述数据网关根据所述上行数据携带的所 述第二标识和存储的所述终端的后认证标志， 将所述上行数据 重定向到认证服务器对所述终端进行认证。 在第一种可能的实现方式中， 根据第六方面， 该接入控制 节点还包括： 接收单元；

所述接收单元， 用 于接收所述终端或用户接入点发送的所 述.终端的第一标识和所述.终端的后认证标志；

所述接收单元， 还用 于接收所述终端发送的或通过用户接 入点终端发送的上行数据。

在第二种可能的实现方式中， 根据第五方面或第一中可能 的实现方式， 该接入控制节点还包括： 获取单元和更新单元； 所述获取单元， 用于在所述认证服务器对所述终端认证通 过后， 获取所述终端的签约信息； 所述更新单元， 用于根据所述签约信息更新所述终端的网 络连接。

在第三种可能的实现方式中， 根据第二种可能的实现方式， 所述获取单元具体用 于：

接收所述数据网关发送的所述终端签约时的签约标识； 根据所述签约标识向归属网络签约用户服务器获取所述终 端的签约信息； 向所述数据网关发送所述终端的签约信息。

在第四种可能的实现方式中， 根据第二种可能的实现方式， 所述获取单元具体用于：

接收所述认证服务器发送的所述终端签约时的签约标识； 根据所述签约标识向归属网络签约用户服务器获取所述终 端的签约信息；

向所述数据网关发送所述终端的签约信息。 第七方面， 提供一种终端， 所述终端包括： 发送单元； 所述发送单元， 用于向数据网关发送终端的第一标识和后 认证标志， 其中， 所述后认证标志用 于指示所述数据网关接收 到所述终端的上行数据时对所述终端进行认证； 所述发送单元， 还用于向所述数据网关发送所述终端的上 行数据， 其中 ， 所述上行数据携带有所述终端的第二标识， 所 述第二标识包括所述第一标识或所述数据网关为所述终端分配 的 IP地址， 以使得所述数据网关根据所述后认证标志和所述终 端的第二标识对所述终端进行认证。

在第一种可能的实现方式中， 根据第七方面， 该终端还包 括接收单元； 所述接收单元， 用于接收所述数据网关发送的所述数据网 关为所述终端分配的 IP地址；

所述终端的第二标识为所述 IP地址。

第二种可能的实现方式中， 根据第七方面或第一种可能的 实现方式， 所述发送单元具体用于： 经过用户接入点发送所述终端的第一标识和后认证标志、 所述终端的上行数据； 所述接收单元， 用于接收所述数据网关发送的所述数据网 关为所述终端分配的 IP地址。

在第三种可能的实现方式中， 结合第七方面或第一种可能 的实现方式至第二种可能的实现方式， 所述发送单元具体用于：

通过.接入控制节点向数据网关发送终端的后认证标志。 第八方面， 提供一种用户接入点， 该用户接入点包括： 接 收单元和发送单元； 所述接收单元， 用 于接收所述终端发送的连接建立请求消

所述发送单元， 用 于根据所述连接建立请求消息向数据网 关发送终端的第一标识和后认证标志， 其中 ， 所述后认证标志 用于指示所述.数据网关接收到所述终端的上行数据时对所述终 端进行认证； 所述发送单元， 还用于通过所述终端的网络连接向所述数 据网关发送所述终端的上行数据， 其中， 所述上行数据携带有 所述终端的第二标识， 所述第二标识包括所述第一标识或所述 数据网关为所述终端分配的 IP地址， 以使得所述数据网关根据 所述后认证标志和所述终端的第二标识对所述终端进行认证。 本发明实施例提供一种移动网络对终端认证的方法、 网元 和终端， 所述数据网关接收终端的第一标识和所述终端的后认 证标志， 数据网关在再次接收到终端发送的上行数据后， 其中 所述上行数据中携带有所述终端的第二标识， 所述第二标识包 括所述第一标识或所述数据网关为所述终端分配的 IP地址， 所 述数据网关根据所述上行数据携带的所述第二标识和存储的所 述终端的后认证标志， 将所述上行数据重定向到认证服务器对 所述终端进行认证。 这样， 终端无论直接接入到移动网络， 还 是通过用户接入点接入到网络后， 移动网络都可以对终端认证， 在认证通过后， 进而使得终端成为移动网络的合法用户 ， 使得 移动网络能够向终端提供有保障的服务， 且能够对该终端进行 合法监听。

附图说明 为 了 更清楚地说明本发明 实施例或现有技术中 的技术方 案， 下面将对实施例或现有技术描述中所需要使用的附图作简 单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的一 些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳 动的前提下， 还可以根据这些附图获得其他的附图。

图 1 为本发明实施例提供的第一种移动网络对终端认证的 方法的流程示意图；

图 2 为本发明实施例提供的第二种移动网络对终端认证的 方法的流程示意图；

图 3 为本发明实施例提供的第三种移动网络对终端认证的 方法的流程示意图； 图 4 为本发明实施例提供的第四种移动网络对终端认证的 方法流程示意图； 图 5 为本发明实施例提供的第五移动网络对终端认证的方 法流程示意图；

图 6 为本发明实施例提供的第六种移动网络对终端认证的 方法流程示意图； 图 '7 为本发明实施例提供的一种 LTE 系统结构框图； 图 8 为本发明实施例提供的一种 LTE 系统对 U E认证的交 互示意图；

图 9 为本发明实施例提供的另一种 LT E 系统对 UE认证的

图 1 0为本发明实施例提供的再一种 LTE系统对 UE认证的

图 1 1 为本发明实施例提供的另一种 LTE 系统结构框图； 图 12 为本发明实施例提供的基于另一种 LTE 系统结构框 图的 LTE 系统对 UE认证的交互示意图；

图 1 3 为本发明实施例提供的一种数据网关的结构示意图； 图 1 4 为本发明实施例提供的另一种数据网关的结构示意

图 1 5 为本发明实施例提供的再一种数据网关的结构示意 图；

图 1 6 为本发明实施例提供的又一种数据网关的结构示意 图；

图 1 7为本发明实施例提供的一种接入控制节点的结构示意 图；

图 1 8为本发明实施例提供的另一种接入控制节点的结构示 意图；

图 1 9为本发明实施例提供的再一种接入控制节点的结构示 意图； 图 20为本发明实施例提供的又一种接入控制节点的结构示 意图；

图 2 1 为本发明实施例提供的一种终端的结构示意图； 图 22为本发明实施例提供的另一种终端的结构示意图； 图 23 为本发明实施例提供的再一种终端的结构示意图； 图 24 为本发明实施例提供的一种用户接入点的结构示意 图；

图 25为本发明实施例提供的另一种用户接入点的结构示意 图。

具体实施方式 下面将结合本发明实施例中的附图， 对本发明实施例中的 技术方案进行清楚、 完整地描述， 显然， 所描述的实施例仅仅 是本发明一部分实施例， 而不是全部的实施例。 基于本发明 中 的实施例， 本领域普通技术人员在没有作出创造性劳动前提下 所获得的所有其他实施例， 都属于本发明保护的范围。

实施例一、 本发明实施例提供一种移动网络对终端认证的方法， 该方 法用于终端在接入到移动网络后， 对该终端进行后认证， 该方 法的执行主体为数据网关， 如图 1 所示， 该方法包括：

101、 数据网关接收终端的第一标识和所述终端的后认证标 士 其中， 所述第一标识为终端的临时标识， 如终端的国际移 动用户识另 ^!)码 IMSI ( International Mobile S ub scriber Identity ) 。

若终端通过用户接入点请求接入移动网络， 该第一标识可 以是终端连接到用 户接入点的媒体接入控制 MAC ( M edium Acces s Control Addre s s ) 地址， 或者用户接入点向终端分配的 标识， 当然也可以是用户接入点的标识， 如用户接入点的 IMS工。

其中， 所述后认证标志用于指示所述数据网关接收到所述 终端发送的上行数据时对所述终端进行认证。 具体的， 该后认证标志可以在终端的 APN中标识。 举例来 说， 假若终端无后认证标志时， APN 为 cmnet , 则若终端有后 - -i正标志时， APN 为 emnei .PostAuih。 当然， 若该终端通过用户接入点请求接入移动网络时， 该 后认证标志可以在用户接入点的 APN 中标识。 本发明实施中， 当终端请求接入移动网络时， 数据网关会 接收到终端的第一标识和该终端的后认证标志。 数据网关接收 到终端的第一标识和该终端的后认证标志后， 向该终端分配 IP 地址， 存储第二标识， 以及后认证标志， 并与所述终端建立网 络连接， 该终端接入移动网络。 其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。

102 , 所述数据网关通过所述终端的网络连接接收所述终端 发送的上行数据。 在该终端接入移动网络后， 终端向该数据网关发送上行数 据。

其中， 所述上行数据中携带有所述终端的第二标识。

1 03、 所述数据网关根据所述上行数据携带的所述第二标识 和存储的所述终端的后认证标志， 将所述上行数据重定向到认 证服务器对所述终端进行认证。 数据网关接收到终端发送的上行数据后， 根据所述上行数 据携带的所述第二标识， 确定是否存储有该终端的后认证标志。 若数据网关存储有该终端的后认证标志， 則将所述上行数据重 定向到认证服务器对所述终端进行认证。 在认证通过后， 所述 数据网关根据所述终端的签约信息更新所述终端的网络连接， 并向所述终端提供相应的服务。

若所述数据网关中没有存储有所述终端的后认证标志， 所 述网络侧可能已经对所述终端进行了认证， 或所述网络侧不需 要对所述终端进行认证。

进一步的， 在认证服务器对该终端认证通过后， 移动网络 可以实现对该终端合法监听， 并根据该终端的签约信息向该终 端提供相应的服务。 具体的， 如图 2 所示， 该方法还包括：

103A、 在所述认证服务器对所述终端认证通过后， 所述数 据网关获取所述终端的签约信息， 并根据所述签约信息更新所 述终端的网络连接。

其中， 该数据网关获取所述终端的签约信息， 并根据所述 签约信息更新所述终端的网络连接可以采用以下几种方式： 方式一、

A1、 所述数据网关接收所述认证服务器发送的所述终端签 约时的签约标识。 认证服务器对该终端认证通过后， 认证服务器将该终端的 签约标识发送给数据网关。

其中签约标识可以是终端签约时的用户名； 还可以是签约 时的标识 , 如 IM SI。

A2、 所述数据网关向接入控制节点发送所述签约标识， 用 于指示所述接入控制节点根据所述签约标识向归属网络签约用 户服务器获取所述终端的签约信息。

A3、 所述数据网关接收所述接入控制节点发送的所述终端 的签约信息， 并根据所述签约信息更新所述终端的网络连接。 力 —- _¾

B l、 所述数据网关接收接入控制节点发送的所述终端的签 约信息。

在方式二中， 认证服务器对该终端认证通过后， 认证服务 器将该终端的签约标识发送给接入控制节点， 该接入控制节点 接收到终端的签约标识时， 从归属网络签约用户服务器获取所 述终端的签约信息。 然后接入控制节点将该签约信息发送给数 据网关。

B2、 所述数据网关根据所述签约信息更新所述终端的网络 接 o

—― ~ 、

C l、 所述数据网关接收所述认证服务器发送的所述终端的 签约信息。

在方式二中， 认证服务器对该终端认证通过后， 还可以直 接根据终端的签约标识从归属网络签约用户服务器获取所述终 端的签约信息， 将该签约信息发送给数据网关。

C2、 所述数据网关根据所述签约信息更新所述终端的网络 连接。 进一步的， 在所述数据网关根据所述签约信息更新所述终 端的网络连接后， 该方法还包括： 所述数据网关删除存储的所述终端的后认证标志。

本发明实施例提供一种移动网络对终端认证的方法， 该方 法用于终端在接入到移动网络后， 对该终端进行后认证， 该方 法的执行主体为接入控制节点， 如图 3 所示， 该方法包括：

301、 接入控制节点将终端的第一标识和所述终端的后认证 标志发送给数据网关。

其中， 终端的第一标识和终端的后认证标志的说明可以参 考上述实施例的描述， 本发明实施例在此不再赘述。

可选的， 接入控制节点接收的终端的第一标识和终端的后 认证标志可以是终端直接发送的。 当然， 接入控制节点接收的终端的第一标识和终端的后认 证标志也可以是终端通过用户接入点发送的。 本发明实施中， 当终端请求接入移动网络时， 接入控制节 点接收到终端的第一标识和该终端的后认证标志。 接入控制节 点接收到终端的第一标识和该终端的后认证标志后， 将该第一 标志和该认证标志发送给数据网关， 以使得数据网关向该终端 分配 IP地址， 存储第二标识， 以及后认证标志， 并与所述终端 建立网络连接， 该终端接入移动网络。

其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。

302、 所述接入控制节点将所述终端发送的上行数据发送给 所述数据网关， 所述上行数据中携带有所述终端的第二标识， 所述第二标识包括所述第一标识或所述数据网关为所述终端分 配的 ίΡ地址， 以使得所述数据网关根据所述上行数据携带的所 述第二标识和存储的所述终端的后认证标志， 将所述上行数据 重定向到认证服务器对所述终端进行认证。 可选的， 接入控制节点接收的终端的上行数据可以是终端 直接发送的。

当然， 接入控制节点接收的上行数据也可以是终端通过用 户接入点发送的。

在该终端接入移动网络后， 终端通过接入控制节点向数据 网关发送上行数据。

进一步的， 在认证服务器对该终端认证通过后， 移动网络 可以实现对该终端合法监听， 并根据该终端的签约信息向该终 端提供相应的服务。 具体的， 如图 4所示， 该方法还包括：

302Α , 在所述认证服务器对所述终端认证通过后， 所述接 入控制节点获取所述终端的签约信息， 并根据所述签约信息更 新所述终端的网络连接。 其中， 所述接入控制节点获取所述终端的签约信息， 并根 据所述签约信息更新所述终端的网络连接可以采用以下两种方 式：

方式一、

D l、 所述接入控制节点接收所述数据网关发送的所述终端 签约时的签约标识。 认证服务器对该终端认证通过后， 认证服务器将该终端的 签约标识发送给数据网关后， 数据网关将该签约标识发送给接 入控制节点。

其中签约标识可以是终端签约时的用户名； 还可以是签约 时的标识， 如 IMSL,

D2、 所述接入控制节点根据所述签约标识向归属网络签约 用户服务器获取所述终端的签约信息。

D3、 所述接入控制节点向所述数据网关发送所述终端的签 约信息， 并根据所述签约信息更新所述终端的网络连接。

方式 、

E 1、 所述接入控制节点接收所述认证服务器发送的所述终 端签约时的签约标识。 在方式二中， 认证服务器对该终端认证通过后， 认证服务 器将该终端的签约标识发送给接入控制节点。

E2、 所述接入控制节点根据所述签约标识向归属网络签约 用户服务器获取所述终端的签约信息。

E3、 所述接入控制节点向所述数据网关发送所述终端的签 约信息， 并根据所述签约信息更新所述终端的网络连接。

本发明实施例提供一种移动网络对终端认证的方法， 该方 法用于终端在接入到移动网络后， 对该终端进行后认证， 该方 法的执行主体为终端， 如图 5所示， 该方法包括：

501、 终端向网络侧发送终端的第一标识和后认证标志， 其 中， 所述后认证标志用于指示所述网络侧接收到所述终端的上 行数据时对所述终端进行认证。 其中， 终端的第一标识和终端的后认证标志的说明可以参 考上述实施例的描述， 本发明实施例在此不再赘述。 本发明实施中， 当终端请求接入移动网络时， 终端向网络 侧发送终端第一标识和该终端的后认证标志。 网络侧接收到终 端的第一标识和该终端的后认证标志后 , 网络侧向该终端分配

IP 地址， 存储第二标识， 以及后认证标志， 并与所述终端建立 网络连接， 该终端接入移动网络。

其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。

可选的， 在终端向网络侧发送终端的第一标识和后认证标 志后， 该终端还接收网络侧发送的网络侧为所述终端分配的 IP 地址。

具体的， 该终端向网络侧发送终端的第一标识和终端的后 认证标志为： 该终端通过网络侧的接入控制节点向数据网关发 送终端的第一标识和后认证标志， 这样数据网关接收到终端的 第一标识和该终端的后认证标志后， 向该终端分配 IP地址， 存 储第二标识， 以及后认证标志， 并与所述终端建立网络连接。 其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。

502、 所述终端向所述网络侧发送所述终端的上行数据， 其 中， 所述上行数据携带有所述终端的第二标识， 所述第二标识 包括所述第一标识或所述数据网关为所述终端分配的 IP地址， 以使得所述网络侧根据所述后认证标志和所述终端的第二标识 对所述终端进行认证。 在该终端接入移动网络后， 终端向该数据网关发送上行数 据。

需要说明的是， 终端还可以通过用户接入点向网络侧发送 该终端的第一标识和后认证标志、 所述终端的上行数据、 接收 所述网络侧发送的所述网络侧为所述终端分配的 IP地址。

具体的， 在终端向数据网关发送所述终端的上行数据后， 数据网关根据该后认证标志和终端的第二标识， 将所述上行数 据重定向到所述网络侧的认证服务对所述终端进行认证。

本发明实施例提供一种移动网络对终端认证的方法， 该方 法用于终端在接入到移动网络后， 对该终端进行后认证， 该方 法的 #1行主体为用户接入.点， 如图 6所示， 该方法包括：

60 用户接入点接收所述终端发送的连接建立请求消息。 本发明实施中， 当终端请求接入移动网络时， 用户接入点 接收到终端的连接建立请求消息。 其中， 该连接建立请求消息具体可以是 DHCP请求消息。

602、 所述用户接入点根据所述.连接建立请求消息向网络侧 发送终端的第一标识和后认证标志， 其中， 所述后认证标志用 于指示所述网络侧接收到所述终端的上行数据时对所述终端进 行认证。 用户接入点接收到连接建立请求消息后， 主动向网络側发 送终端的第一标识和终端后认证标志， 以使得网络側在接收到 终端的上行数据时对该终端进行认证。 网络侧在接收到终端的第一标识和该终端的后认证标志 后， 向该终端分配 IP地址， 存储第二标识， 以及后认证标志， 并与所述终端建立网络连接， 该终端接入移动网络。 其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。

603、 所述用户接入点通过所述终端的网络连接向所述网络 側发送所述终端的上行数据， 其中， 所述上行数据携带有所述 终端的第二标识， 所述第二标识包括所述第一标识或所述数据 网关为所述终端分配的 ίΡ地址， 以使得所述网络侧根据所述后 认证标志和所述.终端的第二标识对所述终端进行认证。

在该终端接入移动网络后， 终端通过用户接入点向网络侧 发送终端的上行数据。 其中 ， 所述用户接入点可以是： 遵循无线网络通信的工业 标准 WiF i ( Wirele ss F idel ity ) 接入点、 无线局域网安全强制性 标 准 WAPI ( ( Wi rele ss LAN Authe ntication an d Pr vacy Infrastructure ) 接入点。 本发明实施例提供一种移动网络对终端认证的方法， 所述 数据网关接收终端的第一标识和所述终端的后认证标志， 数据 网关在再次接收到终端发送的上行数据后， 其中所述上行数据 中携带有所述终端的第二标识， 所述第二标识包括所述第一标 识或所述数据网关为所述终端分配的 IP地址， 所述数据网关根 据所述上行数据携带的所述第二标识和存储的所述终端的后认 证标志， 将所述上行数据重定向到认证服务器对所述终端进行 认证。 这样， 终端无论直接接入到移动网络， 还是通过用户接 入点接入到网络后， 移动网络都可以对终端认证， 在认证通过 后， 进而使得终端成为移动网络的合法用户 ， 使得移动网络能 够向终端提供有保障的服务， 且能够对该终端进行合法监听。

实施例二、 本发明实施例提供一种移动网络对终端认证的方法， 该方 法具体以终端通过用户接入点接入到长期演进系统 LTE ( Lo n g Term Evolution ) 为例进行说明， 该 LTE通信系统如图 7所示， 包括的所述终端为用户设备 UE(User equipment) ,用户接入点为 AP ( Access Point ) ， 接入控制节点为移动性管理实体 MME ( Mobility Management Entity ) , 数据-网关为 PGW ( Packet Data. N etwork Gateway ) , 认 ΐ正.服务器为 AAA ( Authentication , Authorizati on、 Accounting ) 服务器服务器， 归属网络签约用户 服务器为 H S S ( Home Su scri ber Server ) 。 具体的如图 8所示， 实现本发明实施提供的移动网络对 UE 认证的方法的各个设备间的交互示意图 包括：

80 1、 所述 UE 向所述 AP 发送动态主机设置协议 DHCP ( Dynamic H o st Configuration Protocol )请求消息， 请求接入移 动网络。

在所述 UE与用户接入点建立连接后， 该 UE向用户接入点 发送 DHCP 请求消息， 请求通过该 UE 与用户接入点之间的接 口接入所述移动网络。 其中， 所述 DHCP 请求消息可以携带有 UE 的后认证标志 和第一标识； 当然也可以在用户接入点在接收到 UE 发送的 DHCP请求消息时， 向 MME发送接入请求消息时携带 UE的后 认证标志和第一标识。 所述后认证标志用于指示所述数据网关接收到所述 UE 发 送的上行数据时对所述 UE进行认证。

当所述 AP 为具有 WiFi接口的 A:P 时， 所述 UE 与所述用 户接入点之间的接口为是 WiFi 空口 。

具体的， 在所述 UE与所述 AP建立连接后， 所述 UE通过 WiFi 空口向所述 AP 发送 DHCP 请求消息， 请求通过所述 AP 接入移动网络。

802、 所述 AP向所述 MME发送接入请求消息。 所述 AP接收到所述 UE发送的 DHCP请求消息后， 向所述 MME发送接入请求消息， 请求接入到移动网络。

803 所述 MME向所述 PG W发送连接建立请求消息。

所述 MME接收到所述用户接入点发送的接入请求消息后， 根据所述连接建立请求消息中的第一标识和后认证标志为所述 UE确定 PGW„ 在所述 MME 为所述 UE 确定 PGW后， 将所述 连接建立请求消息发送给所述 PGW„

当然 , MME还可以存储终端的第一标识。

804、 所述 PGW 为所述 UE 分配 IP 地址， 并存储所述 UE 的后认证标志和第二标识， 与所述 UE建立网络连接。 其中， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。 所述 PGW接收到所述 MME发送的连接建立请求消息后， 才艮据所述 ίΡ地址和后认证标志， 为所述 UE分配 ίΡ地址， 与所 述 UE建立网络连接， 并存储所述第二标识， 以及后认证标志。

具体的， 所述数据网关为所述 UE分配 IP地址可以是直接 在数据网关进行分配， 也可以通过 DHCP 服务器或其它服务器 进行分配。

805、 所述 PG W 向所述 MME 发送连接建立响应消息， 所 述连接建立响应消息中携带有所述 IP地址。

在所述 PGW为所述 UE分配 IP地址后， 所述 PGW首先向 所述 MME发送连接建立响应消息，所述连接建立响应消息中携 带有所述 IP地址。

806、 所述 MME接收所述数据网关向所述 UE 发送连接建 立响应消息， 并存储所述连接建立响应消息中携带的所述 IP地 址。

807、 所述 MME 向所述 AP发送接入响应消息， 所述接入 响应消息携带有所述 IP地址。

808、 所述用户接入点向所述 UE发送 DHCP响应消息， 所 述 DHCP响应消息携带有所述 IP地址。

在所述 UE 接收到所述用户接入点发送的 DHCP 响应消息 后， 所述 UE与移动网络建立网络连接。

809、 所述 UE 向所述 PG W 发送上行数据， 所述上行数据 中携带有所述终端 UE的 IP地址。

UE 接入到移动网络后， UE 通过与移动网络建立的网络连 接向所述 PGW发送上行数据， 所述上行数据中携带有所述终端 UE的第二标识。

810、 所述 PGW根据所述上行数据携带的第二标识、 所述 PGW存储的第二标识， 以及后认证标志， 将所述上行数据重定 向到 A A A 服务器， 以使得所述 A A A 服务器对所述 UE 进行认 证。

所述 PGW接收到所述上行数据后，根据所述上行数据携带 的第二标识， 所述 PGW 已经存储的第二标识， 以及所述第二标 识对应的后认证标志， 确定是否将所述上行数据重定向到 AAA 服务器。

若所述 PG W中存储有所述上行数据携带的第二标识， 并且 存在对应的后认证标志， 所述 PGW 将所述上行数据重定向到 AAA服务器， 以使得 AAA服务器对所述 UE进行认证。 若所述 PGW 中没有存储有所述上行数据中携带的第二标 识对应的后认证标志， 所述 AAA服务器可能已经对所述 UE进 行了认证， PGW 或不需要对 UE 进行认证， 可以直接转发上行 数据。

所述 AAA服务器对所述 UE的认证有多种方式。 所述认证 的方式可以是 AAA服务器提供 We b Portal认证方式 , 请求 UE 提供用户名和密码， 对 UE进行认证； 该认证方式还可以是 UE 从 AAA服务器下载特定的认证软件， 通过其它方式， 如点对点 协议 PPP ( Point to Poi nt Protocol ) 对 UE进行认证。

8 1 1、在所述 AAA服务器对所述 UE认证通过后，所述 AAA 服务器向所述 PG W发送认证通知消息， 所述认证通知消息携带 有所述 UE 的签约标识和所述 UE的第二标识。 在所述 AAA 服务器对所述终端 UE 的认证通过后， 所述 AAA服务器获得所述终端 UE 的签约标识和所述终端 UE 的 IP 地址。 然后， 所述 AAA服务器向所述 PGW发送认证通知消息， 所述认证通知消息携带有所述终端 UE 签约时的第二标识和所 述终端 UE的 IP地址。

8 12、 所述 PG W 向所述 MME 发送连接更新请求消息， 所 述连接更新请求消息中携带有所述 UE的签约标识和所述 UE的 第二标识。

8 1 3、 所述 MME根据向 HS S发送通知更新请求消息， 该通 知更新请求消息携带有 UE的签约标识， 请求所述 UE的签约信

Ά了、 =

8 14、 所述 HS S向所述 ΜΜΕ发送的通知更新响应消息， 所 述通知更新响应消息携带有所述 UE的签约标识和签约信息。

8 1 5、 所述 ΜΜΕ接收 HS S发送的通知更新响应消息， 并将 根据 UE 的第一标识或 IP地址更新 UE的网络连接。 816, 所述 MME 向所述 PGW 发送连接更新响应消息， 所 述连接更新响应消息携带有所述 UE的签约信息。

817, 所述 PGW接收所述接入控制节点发送的连接更新响 应消息， 并根据所述签约信息更新 UE的网络连接 所述 PG W 接收到所述连接更新响应消息后， 更新与所述 UE的网络连接， 向 UE提供相应的服务。

818、 所述 PGW删除存储的 UE 的后认证标志。 这样在终端每次发送上行数据后， PGW将该上行数据重定 向到 AAA服务器进行认证。 需要说明的是， 所述 AAA服务器对 UE认证通过后， 所述 PGW获取所述终端的签约信息还可以是通过以下方式： 由 AAA 服务器通知向 HSS发送认证通知消息， 由 HSS根据认证通知消 息中携带的 UE 的签约标识， 获取 UE 的签约信息， 然后 HSS 将该签约信息发送给 MME， MME更新 UE的网络连接。 具体的 过程， 见图 9 所示， 其中图 9 所示的终端认证的方法与图 8 所 示的方法， 其区别仅在于获取终端的签约的方式不同 ， 即步骤 811-814 由图 9 中的 811 A 811 B 取代。 其它过程相同， 本发明 实施例在此不一一赘述。 进一步的， 所述 A AA服务器对 UE认证通过后， 所述 PG W 获取所述终端的签约信息还可以是通过以下方式： A A A服务器 根据 UE 的签约标识， 从 HSS 中获取 UE 的签约信息， 然后将 该签约信息发送给 PGW。 具体的过程， 见图 10 所示， 其中图 10 所示的方法与图 8 所示的方法， 其区别仅在于获取终端的签 约的方式不同， 即步骤 811-816 由图 10 中的 811C 811E取代。 其它过程相同， 本发明实施例在此不 赘述。

本发明实施例还提供了一种移动网络对终端认证的方法， 该方法应用到图 11 所示的 LTE 系统的应用场景中，在该为例进 行说明， 该 LTE通信系统的应用场景包括的所述终端为用户设 备 UE， 接入控制节点为移动性管理实体 MME , 数据网关为 PGW, 认证服务器为 AAA服务器服务器， 归属网络签约用户服 务器为 HSS。 具体的如图 12 所示， 实现本发明实施提供的移动网络对 UE认证的方法的各个设备间的交互示意图 包括：

1201、 UE向 MME发送接入请求消息， 请求接入移动网络。

UE 该接入请求消息中携带有终端的第一标识和终端的后 认证标志。

1202 , 所述 MME向所述 PGW发送连接建立请求消息„

1203、 所述 PG W为所述 UE分配 IP地址， 并存储所述 UE 的后认证标志以及第二标识， 与所述 UE建立网络连接。

1204、 所述 PGW向所述 MME发送连接建立响应消息， 所 述连接建立响应消息中携带有所述 IP地址。

1205、 所述 MME接收所述数据网关向所述 UE发送连接建 立响应消息， 并存储所述连接建立响应消息中携带的所述 IP地 址。

1206、 所述 MME向 UE发送接入响应消息， 所述接入响应 消息携带有所述 IP地址。

1207、 所述 UE向所述 PGW发送上行数据， 所述上行数据 中携带有所述终端 UE 的 IP地址。

1208、 所述 PGW根据所述上行数据携带的第二标识、 所述 PGW存储的第二标识， 以及后认证标志， 将所述上行数据重定 向到 AAA服务器， 以使得所述 AAA服务器对所述 UE 进行认 证。

1209、在所述 AAA服务器对所述 UE认证通过后，所述 AAA 服务器向所述 PGW发送认证通知消息， 所述认证通知消息携带 有所述 UE的签约标识和所述 UE的第二标识。

1210、 所述 PGW向所述 MME发送连接更新请求消息， 所 述连接更新请求消息中携带有所述 UE的签约标识和所述 UE的 第二标识。 121 1、 所述 MME根据向 HS S 发送通知更新请求消息， 该 通知更新请求消息携带有 UE 的签约标识， 请求所述 UE的签约 信息。

12 12、 所述 HS S 向所述 MME 发送的通知更新响应消息， 所述通知更新响应消息携带有所述 UE的签约标识和签约信息。

1213、 所述 MME接收 HS S发送的通知更新响应消息， 并 将根据 UE的第一标识或 IP地址更新 UE的网络连接。

1 21 4、 所述 MME向所述 PGW发送连接更新响应消息， 所 述连接更新响应消息携带有所述 UE 的签约信息。

1 21 5、所述 PGW接收所述接入控制节点发送的连接更新响 应消息， 并根据所述签约信息更新 UE的网络连接。

1216、 所述 PG W删除存储的 UE的后认证标志。 其中， 图 1 2所示的过程与图 8所示的过程不同之处在于， 图 12 所示的认证方法中 UE直接与网络建立连接， 不需要通过 用户接入点， 其它过程与图 8 所示的过程相同。 本发明实施例

.在-. Λ — jf- a.。 当然基于图 9 , 图 10 中提供的另外两种获取 UE 的签约信 息的方法也同样适用于图 1 1 的 LTE 系统的应用场景，本发明在 此不再赘述。

需要说明的是， 本发明实施例仅以 ： LTE 网络对终端进行认 证进行了说明， 当然， 本发明实施例提供的方法也适用于 3 GPP 网络中。 不同之处在于， 在 3 GPP 网络中， 本方案中的 MME的 功能由 SGSN 实现 , PGW由 GGSN 实现 , 且 MME与 PGW之间 交互的消息中的连接建立请求消息替换为连接上下文建立请求 消息，连接建立响应消息替换为连接 PDP( Packet Data Protocol , 分组数据协议：） 上下文建立响应消息， 连接更新请求消息替换 为 PDP上下文修改请求消息， 连接更新响应消息替换为 PDP上 下文修改响应消息。 本发明实施例提供一种移动网络对终端认证的方法， 所述 数据网关接收终端的第一标识和所述终端的后认证标志， 数据 网关在再次接收到终端发送的上行数据后， 其中所述上行数据 中携带有所述终端的第二标识， 所述第二标识包括所述第一标 识或所述数据网关为所述终端分配的 IP地址， 所述数据网关根 据所述上行数据携带的所述第二标识和存储的所述终端的后认 证标志， 将所述上行数据重定向到认证服务器对所述终端进行 认证。 这样， 终端无论直接接入到移动网络， 还是通过用户接 入点接入到网络后， 移动网络都可以对终端认.证， 在认证通过 后， 进而使得终端成为移动网络的合法用户 ， 使得移动网络能 够向终端提供有保障的服务， 且能够对该终端进行合法监听。

实施例三、 本发明实施例提供一种数据网关， 如图 〗 3 所示， 所述数据 网关包括： 接收单元 1 30〗 和重定向单元 1 302。

所述接收单元 1 30 1 , 用于接收终端的第一标识和所述.终端 的后认证标志， 其中， 所述后认证标志用于指示所述数据网关 接收到所述终端发送的上行数据时对所述终端进行认证。 所述接收单元 1 30 1 , 还用于通过所述终端的网络连接接收 所述终端发送的上行数据， 所述上行数据中携带有所述终端的 第二标识， 所述第二标识包括所述第一标识或所述数据网关为 所述终端分配的 IP地址。 所述重定向单元 1 302 , 用于据所述上行数据携带的所述第 二标识和存储的所述终端的后认证标志， 将所述上行数据重定 向到认证服务器对所述终端进行认证。 如图 14 所示， 所述数据网关还可以包括： 获取单元 1 303 和更新单元 1 304。

其中， 所述获取单元 1 303 , 用 于在所述认证服务器对所述 终端认证通过后， 获取所述终端的签约信息。 所述更新单元 1 304 , 用于根据所述签约信息更新所述终端 的网络连接。 可选的， 所述获取单元 1 303具体用于：

接收所述认证服务器发送的所述终端签约时的签约标识； 向接入控制节点发送所述签约标识， 用于指示所述接入控 制节点根据所述签约标识向归属网络签约用户服务器获取所述 终端的签约信息；

接收所述接入控制节点发送的所述终端的签约信息。 可选的， 所述获取单元 1303具体用于： 接收接入控制节点 发送的所述终端的签约信息。

可选的， 接收所述认证服务器发送的所述终端的签约信息。 可选的， 如图 1 5 所示， 该数据网关， 还可以包括删除单元 1 305。

该 除单元 1 305 ,用于在所述更新单元 1 304根据所述签约 信息更新所述终端的网络连接后， 删除存储的所述终端的后认 证标志。 本发明实施例还提供一种数据网关， 如图 1 6 所示， 该数据 网关包括收发器 1 60 1、 存储器 1 602 和处理器 1 603。 当然， 所 述数据网关还可以包括天线、 输入输出装置等通用部件， 本发 明实施例在此不作任何限制。

其中， 存储器 1 602 中存储一组程序^码， 且处理器 1 603 用于调用存储器 1 602 中存储的程序代码， 用于执行以下操作： 处理器 1603 通过收发器 1601 接收的终端的第一标识和后 认证标志； 以及接收终端的上行数据， 然后根据所述上行数据 携带的所述第二标识和存储的所述终端的后认证标志， 将所述 上行数据重定向到认证服务器对所述终端进行认证。

其中， 所述后认证标志用 于指示所述数据网关接收到所述 终端发送的上行数据时对所述终端进行认证； 所述上行数据中 携带有所述终端的第二标识， 所述第二标识包括所述第一标识 或所述数据网关为所述终端分配的 IP地址。 所述处理器 1 603 , 在认证服务器对所述终端认证通过后， 获取所述终端的签约信息， 根据所述签约信息更新所述终端的 网络连接。

具体的， 处理器 1 603 获取所述终端的签约信息具体包括： 通过收发器 1 60 1接收所述认证服务器发送的所述终端签约时的 签约标识；通过收发器 1 60 1向接入控制节点发送所述签约标识， 用于指示所述接入控制节点根据所述签约标识向归属网络签约 用户服务器获取所述终端的签约信息， 再通过收发器 1 60 1接收 所述接入控制节点发送的所述终端的签约信息。 具体的， 处理器 1 603 获取所述终端的签约信息具体包括： 通过收发器 1 60 1 接收接入控制节点发送的所述终端的签约信 息。

具体的， 处理器 1 603 获取所述终端的签约信息具体包括： 通过收发器 1 60 1接收所述认证服务器发送的所述终端的签约信

Ά了、 =

进一步的， 处理器 1 603在根据所述签约信息更新所述终端 的网络连接后， 删除存储的所述终端的后认证标志。

本发明实施例提供一种数据网关， 该数据网关接的收终端 的第一标识和所述终端的后认证标志， 然后在数据网关再次接 收到终端发送的上行数据后， 其中所述上行数据中携带有所述 终端的第二标识， 所述第二标识包括所述第一标识或所述数据 网关为所述终端分配的 IP地址， 所述数据网关根据所述上行数 据携带的所述第二标识和存储的所述终端的后认证标志， 将所 述上行数据重定向到认证服务器对所述终端进行认证。 这样， 终端无论直接接入到移动网络， 还是通过用户接入点接入到网 络后， 移动网络都可以对终端认证， 在认证通过后， 进,¾使得 终端成为移动网络的合法用户 ， 使得移动网络能够向终端提供 有保障的服务， 且能够对该终端进行合法监听。

实施例四、 本发明实施例提供一种接入控制节点， 如图 1 7 所示， 该接 入控制节点包括： 发送单元 1701。

所述发送单元 1701 , 用于将终端的第一标识和所述终端的 后认证标志发送给数据网关， 其中， 所述后认证标志用于指示 所述.数据网关接收到所述终端发送的上行数据时对所述终端进 行认证。 所述发送单元 1701 , 还用于将所述终端发送的上行数据发 送给所述数据网关， 所述上行数据中携带有所述终端的第二标 识， 所述第二标识包括所述第一标识或所述数据网关为所述终 端分配的 ίΡ地址， 以使得所述数据网关根据所述上行数据携带 的所述第二标识和存储的所述终端的后认证标志， 将所述上行 数据重定向到认证服务器对所述终端进行认证。

进一步的， 如图 18所示， 该接入控制节点还可以包括接收 单元 1702。 所述接收单元 1702, 用于接收所述终端或用户接入点发送 的所述终端的第一标识和所述终端的后认证标志；

所述接收单元 1702, 还用于接收所述终端发送的或通过用 户接入点终端发送的上行数据。 进一步的， 如图 〗 9所示， 该接入控制节点还包括： 获取单 元 1703和更新单元 1704。 所述获取单元 1703, 用于在所述认证服务器对所述终端认 证通过后， 获取所述终端的签约信息。 所述更新单元 1704， 用于根据所述签约信息更新所述终端 的网络连接。 可选的， 所述获取单元 1703， 具体用于接收所述数据网关 发送的所述终端签约时的签约标识；

根据所述签约标识向归属网络签约用户服务器获取所述终 端的签约信息； 向所述数据网关发送所述终端的签约信息。 可选的， 所述获取单元 1 703 , 具体用于接收所述认证服务 器发送的所述终端签约时的签约标识；

根据所述签约标识向归属网络签约用户服务器获取所述终 端的签约信息； 向所述数据网关发送所述终端的签约信息。

本发明实施例还提供了一种接入控制节点， 如图 20 所示， 该接入控制节点包括：收发器 200 1、存储器 2002和处理器 2003。 当然， 所述接入控制节点还可以包括天线、 输入输出装置等通 用部件， 本发明实施例在此不作任何限制。

其中， 存储器 2002 中存储一组程序^码， 且处理器 2003 用于调用存储器 2002 中存储的程序代码， 用于执行以下操作： 通过收发器 2001终端的第一标识和所述终端的后认证标志 发送给数据网关， 其中， 所述后认证标志用于指示所述数据网 关接收到所述终端发送的上行数据时对所述终端进行认证； 通过收发器 200 1将所述终端发送的上行数据发送给所述数 据网关， 所述上行数据中携带有所述终端的第二标识， 所述第 二标识包括所述第一标识或所述数据网关为所述终端分配的 IP 地址， 以使得所述数据网关根据所述上行数据携带的所述第二 标识和存储的所述终端的后认证标志， 将所述上行数据重定向 到认证服务器对所述终端进行认证；

通过收发器 200 1接收所述终端或用户接入点发送的所述终 端的第一标识和所述终端的后认证标志；

通过收发器 200 1接收所述终端发送的或通过用户接入点终 端发送的上行数据；

在所述认证服务器对所述终端认证通过后， 获取所述终端 的签约信息， 根据所述签约信息更新所述终端的网络连接；

其中， 获取所述终端的签约信息可以具体包括： 通过收发 器 200 1接收所述数据网关发送的所述终端签约时的签约标识； 根据所述签约标识向归属网络签约用户服务器获取所述终端的 签约信息； 通过收发器 2001 向所述数据网关发送所述终端的签 约信息；

其中， 获取所述终端的签约信息可以具体包括： 通过收发 器 2001 接收所述认证服务器发送的所述终端签约时的签约标 识； 根据所述签约标识向归属网络签约用户服务器获取所述终 端的签约信息； 通过收发器 200 1 向所述数据网关发送所述终端 的签约信息。

本发明实施例提供一种用户接入点， 该接入控制节点将终 端的第一标识和后认证标志发送给数据网关， 然后再将终端发 送的上行数据发送给数据网关， 以使得数据网关在再次接收到 终端发送的上行数据后， 其中所述上行数据中携带有所述终端 的第二标识， 所述第二标识包括所述第一标识或所述数据网关 为所述终端分配的 IP地址， 所述数据网关根据所述上行数据携 带的所述第二标识和存储的所述终端的后认证标志， 将所述上 行数据重定向到认证服务器对所述终端进行认证。 这样， 终端 无论直接接入到移动网络， 还是通过用户接入点接入到网络后， 移动网络都可以对终端认证， 在认证通过后， 进而使得终端成 为移动网络的合法用户 ， 使得移动网络能够向终端提供有保障 的服务， 且能够对该终端进行合法监听 实施例五、 本发明实施例提供了一种终端， 如图 2〗 所示， 该终端包括 发送单元 2101 。 所述发送单元 2 101 , 用于向数据网关发送终端的第一标识 和后认证标志， 其中， 所述后认证标志用于指示所述数据网关 接收到所述终端的上行数据时对所述终端进行认证； 所述发送单元 2101 , 还用于向所述数据网关发送所述终端 的上行数据， 其中， 所述上行数据携带有所述终端的第二标识， 所述第二标识包括所述第一标识或所述数据网关为所述终端分 配的 IP地址， 以使得所述数据网关根据所述后认证标志和所述 终端的第二标识对所述终端进行认证。 如图 22所示， 该终端还包括有接收单元 2 102。

所述接收单元 2 102 , 用于接收所述数据网关发送的所述数 据网关为所述终端分配的 IP地址；

所述终端的第二标识为所述 IP地址。

进一步的， 所述发送单元 2101 具体用于： 经过用户接入点 发送所述终端的第一标识和后认证标志、 所述终端的上行数据； 所述接收单元 2102 , 具体用于接收所述数据网关发送的所 述网络側为所述终端分配的 IP地址。

进一步的， 所述发送单元 2 10 1 具体用于： 通过接入控制节 点向数据网关发送终端的后认证标志。

通过接入控制节点向数据网关发送终端的后认证标志。 本发明实施例还提供了一种接入控制节点， 如图 23 所示， 该接入控制节点包括：收发器 2301、存储器 2302和处理器 2303。 当然， 所述接入控制节点还可以包括天线、 输入输出装置等通 用部件， 本发明实施例在此不作任何限制。

其中， 存储器 2302 中存储一组程序代码， 且处理器 2303 用于调用存储器 2302 中存储的程序代码， 用于执行以下操作： 通过收发器 230 1向数据网关发送终端的第一标识和后认证 标志， 其中， 所述后认证标志用于指示所述数据网关接收到所 述终端的上行数据时对所述终端进行认证； 通过收发器 2301 向所述数据网关发送所述终端的上行数 据， 其中， 所述上行数据携带有所述终端的第二标识， 所述第 二标识包括所述第一标识或所述数据网关为所述终端分配的 IP 地址， 以使得所述数据网关根据所述后认证标志和所述终端的 第二标识对所述终端进行认证； 通过收发器 230 1接收所述数据网关发送的所述数据网关为 所述终端分配的 IP地址；

所述终端的第二标识为所述 IP地址。 其中， 通过收发器 2301发送的终端的第一标识和后认证标 志和上行数据是经过用户接入点发送的。

而通过收发器 2301接收数据网关发送的所述数据网关为所 述.终端分配的 IP地址。 通过收发器 2301发送给数据网关的终端的后认证标志是通 过接入控制节点发送的。 本发明实施例提供一种终端， 该终端将终端的第一标识和 后认证标志发送给数据网关， 在终端接入到网络后， 然后再将 向数据网关发送上行数据， 以使得数据网关在再次接收到终端 发送的上行数据后， 其中所述上行数据中携带有所述终端的第 二标识， 所述第二标识包括所述第一标识或所述数据网关为所 述终端分配的 IP地址， 所述数据网关根据所述上行数据携带的 所述第二标识和存储的所述终端的后认证标志， 将所述上行数 据重定向到认证服务器对所述.终端进行认证。 这样， 终端无论 直接接入到移动网络， 还是通过用户接入点接入到网络后， 移 动网络都可以对终端认证， 在认证通过后， 进而使得终端成为 移动网络的合法用户 ， 使得移动网络能够向终端提供有保障的 服务， 且能够对该终端进行合法监听。

实施例六、 本发明实施例提供了一种用户接入点， 如图 24 所示， 该用 户接入点包括接收单元 2401 和发送单元 2402。 所述接收单元 240 1 , 用于接收所述终端发送的连接建立请 求消息》

所述发送单元 2402 , 用于根据所述连接建立请求消息向数 据网关发送终端的第一标识和后认证标志， 其中， 所述后认证 标志用 于指示所述网络側接收到所述终端的上行数据时对所述 终端进行认证。

所述发送单元 2403 , 还用于通过所述终端的网络连接向所 述数据网关发送所述终端的上行数据， 其中， 所述上行数据携 带有所述终端的第二标识， 所述第二标识包括所述第一标识或 所述数据网关为所述终端分配的 IP地址， 以使得所述数据网关 根据所述后认证标志和所述终端的第二标识对所述终端进行认 证。

本发明实施例还提供了一种接入控制节点， 如图 25 所示， 该接入控制节点包括：收发器 250 1、存储器 2502和处理器 2503。 当然， 所述接入控制节点还可以包括天线、 输入输出装置等通 用部件， 本发明实施例在此不作任何限制。 其中， 存储器 2502 中存储一组程序代码， 且处理器 2503 用于调用存储器 2502 中存储的程序代码， 用于执行以下操作： 通过收发器 250 1接收所述终端发送的连接建立请求消息； 通过收发器 250 1根据所述连接建立请求消息向数据网关发 送终端的第一标识和后认证标志 , 其中， 所述后认证标志用于 指示所述数据网关接收到所述终端的上行数据时对所述终端进 行认证； 通过收发器 250 1通过所述终端的网络连接向所述数据网关 发送所述终端的上行数据， 其中， 所述上行数据携带有所述终 端的第二标识， 所述第二标识包括所述第一标识或所述数据网 关为所述终端分配的 IP地址， 以使得所述数据网关根据所述后 认证标志和所述终端的第二标识对所述终端进行认证。

其中， 该用户接入点可以是： 遵循无线网络通信的工业标 准 WiFi ( Wirele s s Fidel ity ) 接入点、 无线局域网安全强制性标 准 WAPI (Wirele s s LAN Authentication and Privacy In frastructure ) 接入点。

本发明实施例提供一种用户接入点， 该用户接入点在接收 到终端的连接建立请求消息后， 向数据网关发送终端的第一标 识和后认证标志。 然后在终端接入到移动网络后， 将终端发送 的上行数据发送给数据网关， 以使得数据网关在接收到终端发 送的上行数据后， 其中所述上行数据中携带有所述终端的第二 标识， 所述第二标识包括所述第一标识或所述数据网关为所述 终端分配的 IP地址， 所述数据网关根据所述上行数据携带的所 述第二标识和存储的所述终端的后认证标志， 将所述上行数据 重定向到认证服务器对所述终端进行认证。 这样， 终端无论直 接接入到移动网络， 还是通过用户接入点接入到网络后， 移动 网络都可以对终端认证， 在认证通过后， 进而使得终端成为移 动网络的合法用户 ， 使得移动网络能够向终端提供有保障的服 务， 且能够对该终端进行合法监听。

上述方法实施例、 装置实施例和系统实施例中属于同一发 明构思， 为准确理解本说明书的内容， 各个实施例之间的描述 可以相互参.照并相互 卜充。 本领域普通技术人员可以理解： 实现上述方法实施例的全 部或部分步骤可以通过程序指令相关的硬件来完成， 前述的程 序可以存储于一计算机可读取存储介质中， 该程序在执行时， 执行包括上述方法实施例的步骤； 而前述的存储介质包括：

R OM , RAM , 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护 范围并不局限于此， 任何熟悉本技术领域的技术人员在本发明 揭露的技术范围 内 ， 可轻易想到变化或替换， 都应涵盖在本发 明的保护范围之内 。 因此， 本发明的保护范围应以所述权利要 求的保护范围为准。

Claims

权 利 要 求 书

1、 一种移动网络对终端认证的方法， 其特征在于， 该方法包括： 数据网关接收终端的第一标识和所述终端的后认证标志， 其中， 所述后 认证标志用于指示所述数据网关接收到所述终端发送的上行数据时对所述终 端进行认证；

所述数据网关通过所述终端的网络连接接收所述终端发送的上行数据，所 述上行数据中携带有所述终端的第二标识，所述第二标识包括所述第一标识或 所述数据网关为所述终端分配的 IP地址；

所述数据网关根据所述上行数据携带的所述第二标识和存储的所述终端 的后认.证标志， 将所述上行数据重定向到认证服务器对所述终端进行认证。

2、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括： 在所述认证服务器对所述终端认证通过后，所述数据-网关获取所述终端的 签约信息， 并根据所述签约信息更新所述终端的网络连接。

3、 根据权利要求 2所述的方法， 其特征在于， 所述数据网关获取所述终 端的签约信息， 并根据所述签约信息更新所述终端的网络连接包括：

所述数据网关接收所述认证服务器发送的所述终端签约时的签约标识； 所述数据网关向接入控制节点发送所述签约标识，用于指示所述接入控制 节点根据所述签约标识向归属网络签约用户服务器获取所述终端的签约信息； 所述数据网关接收所述接入控制节点发送的所述终端的签约信息，并根据 所述签约信息更新所述终端的网络连接。

4、 根据权利要求 2所述的方法， 其特征在于， 所述.数据网关获取所述终 端的签约信息， 并根据所述签约信息更新所述终端的网络连接包括：

所述数据-网关接收 入控制节点发送的所述终端的签约信息；

所述.数据网关根据所述签约信息更新所述终端的网络连接

5、 根据权利要求 2所述的方法， 其特征在于， 所述.数据网关获取所述终 端的签约信息， 并根据所述签约信息更新所述终端的网络连接包括：

所述数据网关接收所述认证服务器发送的所述终端的签约信息； 所述数据网关根据所述签约信息更新所述终端的网络连接。

6、 根据权利要求 2- 5任一项所述的方法， 其特征在于， 在所述数据网关 根据所述签约信息更新所述终端的网络连接后， 还包括：

所述数据网关删除存储的所述终端的后认证标志。

7、 一种移动网络对终端认证的方法， 其特征在于， 该方法包括： 接入控制节点将终端的第一标识和所述终端的后认证标志发送给数据网 关， 其中， 所述后认证标志用于指示所述数据网关接收到所述终端发送的上行 数据时对所述终端进行认证；

所述接入控制节点将所述终端发送的上行数据发送给所述数据网关，所述 上行数据中携带有所述终端的第二标识，所述第二标识包括所述第一标识或所 述数据网关为所述终端分配的 IP地址， 以使得所述数据网关根据所述上行数 据携带的所述第二标识和存储的所述终端的后认证标志，将所述上行数据重定 向到认证服务器对所述终端进行认证。

8、 根据权利要求 7所述的方法， 其特征在于， 在所述接入控制节点将终 端的第一标识和所述终端的后认证标志发送给数据网关之前， 还包括：

所述.接入控制节点接收所述.终端或用户接入点发送的所述终端的第一标 识和所述终端的后认证标志；

在所述接入控制节点将终端发送的上行数据发送给所述数据网关之前，还 包括：

所述接入控制节点接收所述终端发送的或通过用户接入点终端发送的上 行数据。

9、 根据权利要求 7或 8所述的方法， 其特征在于， 该方法还包括： 在所述认证服务器对所述终端认证通过后，所述接入控制节点获取所述终 端的签约信息， 并根据所述签约信息更新所述终端的网络连接。

10、根据权利要求 9所述的方法， 其特征在于， 所述接入控制节点获取所 述终端的签约信息， 并根 t所述签约信息更新所述终端的网络连接包括：

所述.接入控制节点接收所述数据网关发送的所述终端签约时的签约标识； 所述接入控制节点根据所述签约标识向归属网络签约用户服务器获取所 述终端的签约信息；

所述接入控制节点向所述数据网关发送所述终端的签约信息，并根据所述 签约信息更新所述终端的网络连接。

1 1、根据权利要求 9所述的方法， 其特征在于， 所述接入控制节点获取所 述终端的签约信息， 并根据所述签约信息更新所述终端的网络连接包括：

所述接入控制节点接收所述认证服务器发送的所述终端签约时的签约标 识；

所述接入控制节点根据所述签约标识向归属网络签约用户服务器获取所 述终端的签约信息； 所述接入控制节点向所述数据网关发送所述终端的签约信息，并根据所述 签约信息更新所述终端的网络连接。

12、 一种移动网络对终端认证的方法， 其特征在于， 该方法包括： 终端向网络侧发送终端的第一标识和后认证标志，其中，所述后认证标志 用于指示所述网络侧接收到所述终端的上行数据时对所述终端进行认证；

所述终端向所述网络侧发送所述终端的上行数据，其中，所述上行数据携 带有所述终端的第二标识，所述第二标识包括所述第一标识或所述网络側为所 述终端分配的 IP地址， 以使得所述网络侧根据所述后认证标志和所述终端的 第二标识对所述终端进行认证。

13、 根据权利要求 12所述的方法， 其特征在于， 进一步包括：

所述终端接收所述网络侧发送的所述网络側为所述终端分配的 IP地址； 所述终端的第二标识为所述. IP地址。

14、根据权利要求 12或 13所述的方法， 其特征在于， 所述终端经过用户 接入点发送所述终端的第一标识和后认证标志、 所述终端的上行数据、接收所 述网络侧发送的所述网络侧为所述终端分配的 IP地址。

】5、 根据权利要求 12-】4任一项所述的方法， 其特征在于， 所述终端向网 络侧发送终端的第一标识和后认证标志， 包括：

所述终端通过网络侧的接入控制节点向数据网关发送终端的后认证标志 ', 所述网络侧根据所述后认证标志和所述终端的标识对所述终端进行认证， 包括：

所述网络侧的数据网关才艮据所述后认证标志和所述终端的标识，将所述上 行数据重定向到所述网络侧的认证服.务器对所述终端进行认证 _tl

16 , —种移动网络对终端认证的方法， 其特征在于， 该方法包括： 用户接入点接收所述终端发送的连接建立请求消息；

所述用户接入点根据所述连接建立请求消息向网络侧发送终端的第一标 识和后认证标志， 其中， 所述后认证标志用于指示所述网络侧接收到所述终端 的上行数据时对所述终端进行认证；

所述用户接入点通过所述终端的网络连接向所述网络侧发送所述终端的 上行数据， 其中， 所述上行数据携带有所述终端的第二标识， 所述第二标识包 括所述第一标识或所述数据网关为所述终端分配的 IP地址， 以使得所述网络 侧根据所述后认证标志和所述终端的第二标识对所述终端进行认证。

17、 —种数据网关， 其特征在于， 该数据网关包括： 接收单元和重定向单 所述接收单元，用于接收终端的第一标识和所述终端的后认证标志，其中， 所述后认证标志用于指示所述数据网关接收到所述终端发送的上行数据时对 所述终端进行认证；

所述接收单元，还用于通过所述终端的网络连接接收所述终端发送的上行 数据， 所述上行数据中携带有所述终端的第二标识， 所述第二标识包括所述第 一标识或所述数据网关为所述终端分配的 IP地址；

所述重定向单元，用于根.据所述上行 #:据携带的所述第二标识和存储的所 述终端的后认证标志，将所述上行数据重定向到认证服务器对所述终端进行认 证。

18、 根据权利要求 17所述的数据网关， 其特征在于， 所述数据网关还包 括： 获取卓元和更新单元；

所述获取单元，用于在所述认证服务器对所述终端认证通过后，获取所述 终端的签约信息；

所述更新单元， 用于根据所述签约信息更新所述终端的网络连接。

】9、 根据权利要求 18所述的数据网关， 其特征在于， 所述获取单元具体 用于：

接收所述认证服务器发送的所述终端签约时的签约标识；

向接入控制节点发送所述.签约标识，用于指示所述接入控制节点根据所述 签约标识向归属网络签约用户服务器获取所述终端的签约信息；

接收所述接入控制节点发送的所述终端的签约信息。

20、 根据权利要求 18所述的数据网关， 其特征在于， 所述获取单元具体 用于：

接收接入控制节点发送的所述终端的签约信息。

21、 根据权利要求 18所述的数据网关， 其特征在于， 所述获取单元具体 用于：

接收所述认证服务器发送的所述终端的签约信息。

22、 根据权利要求 18 21任一项所述的数据网关， 其特征在于， 所述数据 网关还包括： 删除单元；

所述删除单元，用于在所述更新单元根据所述签约信息更新所述终端的网 络连接后， 惻除存储的所述终端的后认证标志。

23、 一种接入控制节点， 其特征在于， 该接入控制节点包括： 发送单元； 所述发送单元，用于将终端的第一标识和所述终端的后认证标志发送给数 据网关， 其中， 所述后认证标志用于指示所述数据网关接收到所述终端发送的 上行数据时对所述终端进行认证；

所述发送单元， 还用于将所述终端发送的上行数据发送给所述数据网关， 所述上行数据中携带有所述终端的第二标识，所述第二标识包括所述第一标识 或所述数据网关为所述终端分配的 IP地址， 以使得所述数据网关根据所述上 行数据携带的所述第二标识和存储的所述终端的后认.证标志，将所述上行数据 重定向到认证服务器对所述终端进行认证。

24、 根据权利要求 23所述的接入控制节点， 其特征在于， 该接入控制节 点还包括： 接收单元；

所述.接收单元，用于接收所述终端或用户接入点发送的所述终端的第一标 识和所述终端的后认证标志；

所述接收单元，还用于接收所述终端发送的或通过用户接入点终端发送的 上行数据。

25、根据权利要求 23或 24所述的接入控制节点， 其特征在于， 该接入控 制节点还包括： 获取单元和更新单元；

所述获取单元，用于在所述认证服务器对所述终端认证通过后，获取所述 终端的签约信息；

所述更新单元， 用于根据所述签约信息更新所述终端的网络连接。

26、 根据权利要求 25所述的接入控制节点， 其特征在于， 所述获取单元 具体用于：

接收所述数据网关发送的所述终端签约时的签约标识；

根据所述签约标识向归属网络签约用户服务器获取所述终端的签约信息； 向所述数据网关发送所述终端的签约信息。

27、 根据权利要求 25所述的接入控制节点， 其特征在于， 所述获取单元 具体用于：

接收所述认证服务器发送的所述终端签约时的签约标识；

根据所述签约标识向归属网络签约用户服务器获取所述终端的签约信息； 向所述数据网关发送所述终端的签约信息。

28、 一种终端， 其特征在于， 该终端包括发送单元；

所述发送单元，用于向数据网关发送终端的第一标识和后认; ii标志，其中， 所述后认证标志用于指示所述数据网关接收到所述终端的上行数据时对所述 终端进行认证；

所述发送单元， 还用于向所述数据网关发送所述终端的上行数据， 其中， 所述上行数据携带有所述终端的第二标识，所述第二标识包括所述第一标识或 所述数据网关为所述终端分配的 IP地址， 以使得所述数据网关根据所述后认 证标志和所述终端的第二标识对所述终端进行认证。

29、根据权利要求 28所述的终端， 其特征在于， 该终端还包括接收单元； 所述 收单元，用于接收所述数据网关发送的所述数据网关为所述终端分 配的 ΓΡ地 ϋ;

所述终端的第二标识为所述 IP地址。

30、根据权利要求 28或 29所述的终端， 其特征在于， 所述发送单元具体 用于：

经过用户接入点发送所述终端的第一标识和后认证标志、所述终端的上行 数据；

所述接收单元，用于接收所述数据网关发送的所述数据网关为所述终端分 配的 IP地址。

31、 根据权利要求 28- 30任一项所述的终端， 其特征在于， 所述发送单元 具体用于：

通过接入控制节点向数据网关发送终端的后认证标志。

32、 —种用户接入点， 其特征在于， 该用户接入点包括： 接收单元和发送 单元；

所述接收单元， 用于接收所述终端发送的连接建立请求消息；

所述.发送单元，用于根据所述连接建立请求消息向数据网关发送终端的第 一标识和后认证标志， 其中， 所述后认证标志用于指示所述数据网关接收到所 述终端的上行数据-时对所述终端进行认证；

所述发送单元，还用于通过所述终端的网络连接向所述数据网关发送所述 终端的上行数据， 其中， 所述上行数据携带有所述终端的第二标识， 所述第二 标识包括所述第一标识或所述数据网关为所述终端分配的 IP地址， 以使得所 述数据网关根据所述后认证标志和所述终端的第二标识对所述终端进行认证。