WO2015100975A1

WO2015100975A1 - 一种选择认证算法的方法、装置及系统

Info

Publication number: WO2015100975A1
Application number: PCT/CN2014/080736
Authority: WO
Inventors: 甘露; 何承东
Original assignee: 华为技术有限公司
Priority date: 2013-12-31
Filing date: 2014-06-25
Publication date: 2015-07-09
Also published as: EP3079392A4; US20160316368A1; EP3079392A1; KR20160103115A; CN104754577A; CN104754577B

Abstract

本发明实施例公开了一种选择认证算法的方法。所述方法包括以下步骤：服务设备接收控制设备发送的认证数据请求消息（S101）；所述服务设备根据所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法（S102）；所述服务设备根据选定的所述认证算法确定所述认证算法的标识信息（S103）；所述服务设备将所述认证算法的标识信息发送给所述控制设备（S104）。本发明实施例还公开了一种选择认证算法的装置及系统。采用本发明实施例，可提高对终端认证的认证算法的选择的多样性和终端的资源利用率，增强对终端认证的用户体验。

Description

一种选择认证算法的方法、装置及系统技术领域

本发明涉及通信技术领域，尤其涉及一种选择认证算法的方法、装置及系统。背景技术

近距离通信业务（ Proximity Service， ProSe )技术主要是在两个距离较近的用户终端（ User Equipment， UE )之间建立安全的通信信道，使得两个 UE 进行端到端的数据传输时数据能够进行安全的交换。在 Prose技术中，两个 UE建立通信信道时需要借助签约网络， UE需要通过网络认证才能接入到网络，进而跟其他的 UE建立通信信道。

现有技术中，网络对 UE 进行认证时， UE 与归属用户服务器（Home Subscriber Server, HSS )主要使用 Milenage算法生成认证所需的认证参数和密钥。然而，随着新的认证算法 Tuak算法的出现，具有不同认证能力的 UE 或者 HSS也随着应运而生，包括只支持一种认证算法的 UE或者 HSS，或者可支持多种认证算法的 UE或者 HSS，使得当不同认证能力的 UE和 HSS组合对 UE进行认证时无法确定具体釆用哪种认证算法进行认证，或者只能釆用 Milenage算法对 UE进行认证。现有技术中， UE和 HSS无法根据 UE或者 HSS 所支持的认证算法选择相应的认证算法对 UE进行认证，或者即使 UE或者 HSS支持多种认证算法，也只能釆用 Milenage算法对 UE进行认证，认证算法形式单一，认证算法可选性低，终端（包括 UE或者 HSS ) 资源利用率低， UE认证的用户体验效果低。发明内容

本发明实施例提供一种选择认证算法的方法、装置及系统，可根据用户设备和服务设备所支持的认证算法选择相应的认证算法，并根据选定的认证算法确定认证算法的标识信息等，提高了认证算法选择的多样性和终端资源的利用率，增强用户设备认证的用户体验。本发明实施例第一方面提供一种选择认证算法的方法，其可包括：服务设备接收控制设备发送的认证数据请求消息，所述认证数据请求消息中携带用户设备支持的认证算法的信息；

所述服务设备根据所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法；

所述服务设备根据选定的所述认证算法确定所述认证算法的标识信息；所述服务设备将所述认证算法的标识信息发送给所述控制设备，以通过所述控制设备发送给所述用户设备。

结合第一方面，在第一种可能的实现方式中，所述认证数据请求消息中携带的所述认证算法的标识信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述服务设备根据所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法，包括：

所述服务设备从所述用户设备支持的认证算法和所述服务设备支持的认证算法中选择一种所述用户设备和所述服务设备都支持的认证算法，并将所述认证算法设定为所述选定的所述认证算法；

其中，所述服务设备支持的认证算法包括： Tuak算法，和 /或 Milenage 算法。

结合第一方面，在第二种可能的实现方式中，所述认证数据请求消息中携带的用户设备支持的认证算法的信息为空；

所述服务设备支持的认证算法信息中包括：所述服务设备支持的 Tuak算法，和 /或所述服务设备支持的 Milenage算法；

所述服务设备从其支持的认证算法中选择 Milenage 算法，并将所述 Milenage算法设定为所述选定的所述认证算法。

结合第一方面第一种可能的实现方式，在第三种可能的实现方式中，所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当所述服务设备将所述 Tuak算法设定为所述选定的所述认证算法时，所述服务设备根据选定的所述认证算法确定所述认证算法的标识信息，包括：所述服务设备在预设的认证管理域 AMF参数中选定对所述用户设备认证的认证算法的标志位，并将所述标志位设定为第一标识符，作为所述 Tuak算法的标识信息；

所述服务设备根据所述 AMF参数和所述 Tuak算法生成对所述用户设备认证的认证矢量。

结合第一方面第一种可能的实现方式或第一方面第二种可能的实现方式，在第四种可能的实现方式中，所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当所述服务设备将所述 Milenage算法设定为所述选定的所述认证算法时，所述服务设备根据选定的所述认证算法确定所述认证算法的标识信息，包括：所述服务设备在预设的 AMF参数中选定对所述用户设备认证的认证算法的标志位，并将所述标志位设定为第二标识符，作为所述 Milenage算法的标识信息；

所述服务设备根据所述 AMF参数和所述 Milenage算法生成对所述用户设备认证的认证矢量。

本发明实施例第二方面提供了一种选择认证算法的方法，其可包括：用户设备向控制设备发送所述用户设备支持的认证算法的信息；

所述用户设备接收所述控制设备发送的用户认证请求消息；

所述用户设备根据所述用户认证请求消息确定认证算法，并根据所述认证算法对所述网络进行认证。

结合第二方面，在第一种可能的实现方式中，所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的

Milenage算法；

所述用户设备根据所述用户认证请求消息确定认证算法，包括：

所述用户设备对所述用户认证请求消息进行解析，获取所述用户认证请求消息中包含的认证算法的标识信息；

所述用户设备根据所述标识信息确定认证算法。

结合第二方面第一种可能的实现方式，在第二种可能的实现方式中，所述用户认证请求消息中包含对所述用户设备认证的认证参数；

所述对所述用户设备认证的所述认证参数中包含 AUTN参数，所述 AUTN 参数中包含 AMF参数；

所述认证算法的标识信息包括：所述 AMF参数中包含的所述认证算法的标志位的第一标识符，或第二标识符。

结合第二方面第二种可能的实现方式，在第三种可能的实现方式中，所述用户设备根据所述标识信息确定认证算法，包括：

当所述标识信息为所述 AMF参数中对所述用户设备认证的认证算法的标志位的第一标识符时，所述用户设备将其支持的 Tuak算法设定为认证算法；或者

当所述标识信息为所述 AMF参数中对所述用户设备认证的认证算法的标志位的第二标识符时，所述用户设备将其支持的 Milenage算法设定为认证算法。

结合第二方面，在第四种可能的实现方式中，所述用户设备支持的认证算法的信息为空；

所述用户设备根据所述用户认证请求消息确定认证算法，包括：所述用户设备根据所述用户认证请求消息将其支持的 Milenage算法设定为认证算法。

本发明实施例第三方面提供了一种选择认证算法的方法，其可包括：控制设备接收用户设备发送的所述用户设备支持的认证算法的信息；所述控制设备向服务设备发送认证数据请求消息，所述认证数据请求消息中携带所述用户设备支持的认证算法的信息；

所述控制设备接收所述服务设备发送的认证算法的标识信息，所述认证算法的标识信息对应于所述认证数据请求消息；

所述控制设备向所述用户设备发送用户认证请求消息，所述用户认证请求消息中携带所述认证算法的标识信息。

结合第三方面，在第一种可能的实现方式中，所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的

Milenage算法，或者为空。结合第三方面或者第三方面第一种可能的实现方式，在第二种可能的实现方式中，所述服务设备发送的所述认证算法的标识信息，包括：所述服务设备选定的 Tuak算法对应的标识信息，和 /或所述服务设备选定的 Milenage算法对应的标识信息，或者为空。

本发明实施例第四方面提供了一种选择认证算法的服务设备，其可包括：接收模块，用于接收控制设备发送的认证数据请求消息，所述认证数据请求消息中携带用户设备支持的认证算法的信息；

选择模块，用于根据所述接收模块接收的所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法；

处理模块，用于根据所述选择模块选定的所述认证算法确定所述认证算法的标识信息；

发送模块，用于将所述认证算法的标识信息发送给所述控制设备，以通过所述控制设备发送给所述用户设备。

结合第四方面，在第一种可能的实现方式中，所述接收模块接收的所述认证数据请求消息中携带的所述认证算法的标识信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述选择模块，具体用于：

从所述用户设备支持的认证算法和所述服务设备支持的认证算法中选择一种所述用户设备和所述服务设备都支持的认证算法，并将所述认证算法设定为所述选定的所述认证算法；

结合第四方面第一种可能的实现方式，在第二种可能的实现方式中，所述接收模块接收的所述认证数据请求消息中携带的用户设备支持的认证算法的信息为空；

所述选择模块，具体用于：

结合第四方面第一种可能的实现方式，在第三种可能的实现方式中，所述处理模块确定的所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当所述选择模块将所述 Tuak算法设定为所述选定的所述认证算法时，所述处理模块，具体用于：

在预设的 AMF参数中选定对所述用户设备认证的认证算法的标志位，并将所述标志位设定为第一标识符，作为所述 Tuak算法的标识信息；

根据所述 AMF参数和所述 Tuak算法生成对所述用户设备认证的认证矢量。

结合第四方面第一种可能的实现方式或第四方面第二种可能的实现方式，在第四种可能的实现方式中，所述处理模块确定的所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当所述选择模块将所述 Milenage算法设定为所述选定的所述认证算法时，所述处理模块，具体用于：

在预设的 AMF参数中选定对所述用户设备认证的认证算法的标志位，并将所述标志位设定为第二标识符，作为所述 Milenage算法的标识信息；

根据所述 AMF参数和所述 Milenage算法生成对所述用户设备认证的认证矢量。

本发明实施例第五方面提供了一种选择认证算法的用户设备，其可包括：发送模块，用于向控制设备发送所述用户设备支持的认证算法的信息；接收模块，用于接收所述控制设备发送的用户认证请求消息；

处理模块，用于根据所述用户认证请求消息确定认证算法，并根据所述认证算法对所述网络进行认证。

结合第五方面，在第一种可能的实现方式中，所述发送模块发送的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述处理模块，具体用于：

对所述用户认证请求消息进行解析，获取所述用户认证请求消息中包含的认证算法的标识信息；

根据所述标识信息确定认证算法。

结合第五方面第一种可能的实现方式，在第二种可能的实现方式中，所述接收模块接收到的所述用户认证请求消息中包含对所述用户设备认证的认证参数；

所述接收模块接收的所述对所述用户设备认证的所述认证参数中包含

AUTN参数，所述 AUTN参数中包含 AMF参数；

结合第五方面第二种可能的实现方式，在第三种可能的实现方式中，所述处理模块，具体用于：

当所述标识信息为所述 AMF参数中对所述用户设备认证的认证算法的标志位的第一标识符时，将所述用户设备支持的 Tuak算法设定为认证算法；或者

当所述标识信息为所述 AMF参数中对所述用户设备认证的认证算法的标志位的第二标识符时，将所述用户设备支持的 Milenage算法设定为认证算法。

结合第五方面，在第四种可能的实现方式中，所述发送模块发送的所述用户设备支持的认证算法的信息为空；

所述处理模块，具体用于：

根据所述用户认证请求消息将其支持的 Milenage算法设定为认证算法。本发明实施例第六方面提供了一种选择认证算法的控制设备，其可包括：接收模块，用于接收用户设备发送的所述用户设备支持的认证算法的信息；

发送模块，用于向服务设备发送认证数据请求消息，所述认证数据请求消息中携带所述用户设备支持的认证算法的信息；

所述接收模块，用于接收所述服务设备发送的认证算法的标识信息，所述认证算法的标识信息对应于所述认证数据请求消息；

所述发送模块，用于向所述用户设备发送用户认证请求消息，所述用户认证请求消息中携带所述认证算法的标识信息。结合第六方面，在第一种可能的实现方式中，所述接收模块接收的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法，或者为空。

结合第六方面或第六方面第一种可能的实现方式，在第二种可能的实现方式中，所述接收模块接收的所述认证算法的标识信息，包括：所述服务设备选定的 Tuak算法对应的标识信息，和 /或所述服务设备选定的 Milenage算法对应的标识信息，或者为空。

本发明实施例第七方面提供了一种选择认证算法的系统，其可包括：上述本发明实施例第四方面提供的服务设备、上述本发明实施例第五方面提供的用户设备、以及上述本发明实施例第六方面提供的控制设备。

本发明实施例可根据用户设备和服务设备所支持的认证算法选择相应的认证算法生成认证所需的认证矢量等信息，提高了认证算法选择的多样性和终端资源的利用率，增强用户设备认证的用户体验。附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1 是本发明实施例提供的选择认证算法的方法的第一实施例流程示意图；

图 2是本发明实施例提供的选择认证算法的方法的第一交互示意图；图 3是本发明实施例提供的选择认证算法的方法的第二交互示意图；图 4是本发明实施例提供的选择认证算法的方法的第三交互示意图；图 5 是本发明实施例提供的选择认证算法的方法的第二实施例流程示意图；

图 6 是本发明实施例提供的选择认证算法的方法的第三实施例流程示意图；

图 7是本发明实施例提供的选择认证算法的方法的第四交互示意图；图 8是本发明实施例提供的选择认证算法的方法的第五交互示意图；图 9是本发明实施例提供的选择认证算法的方法的第六交互示意图；图 10是本发明实施例提供的选择认证算法的服务设备的实施例结构示意图；

图 11是本发明实施例提供的选择认证算法的用户设备的实施例结构示意图；

图 12是本发明实施例提供的选择认证算法的控制设备的实施例结构示意图；

图 13是本发明实施例提供的选择认证算法的系统的实施例结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

具体实现中，本发明实施例中所描述的服务设备可包括 3G通信系统中的归属位置寄存器（ Home Location Register, HLR )，或者 4G通信系统中的归属用户服务器（Home Subscriber Server, HSS ), 下面将以 HSS为例，对本发明实施例中所描述的选择认证算法的方法、装置及系统进行具体说明。本发明实施例中所描述的用户设备可包括 3G 通信系统中的移动签约用户（Mobile Subscriber, MS ), 或者 4G通信系统中的 UE，下面将以 UE为例，对本发明实施例中所描述的选择认证算法的方法、装置及系统进行具体说明。此外，本发明实施例中所描述的控制设备可包括 3G 通信系统中的拜访位置寄存器 ( Visitor Location Register, VLR ) 和服务 GPRS 支持节点（Serving GPRS Support Node , SGSN )，或者 4G 通信系统中的移动管理实体（Mobility Management Entity， MME )，下面将以 MME为例，对本发明实施例中所描述的选择认证算法的方法、装置及系统进行具体说明。

参见图 1，是本发明实施例提供的选择认证算法的方法的第一实施例流程示意图。本实施例中所描述的选择认证算法的方法，包括步骤： S101，服务设备接收控制设备发送的认证数据请求消息。

S102, 所述服务设备根据所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法。

在一些可行的实施方式中， HSS从 MME接收到的认证数据请求消息中携带用户设备支持的认证算法的信息，其中，上述用户设备支持的认证算法的信息可包括： UE支持的 Tuak算法，或者 UE支持的 Milenage算法等。具体实现中，当 HSS从 MME接收到的认证数据请求消息中包含 UE支持的认证算法的信息，并且 HSS支持认证算法选择 (即 HSS可支持 Tuak算法和 Milenage 算法 )时， HSS可根据上述认证数据请求消息中所包含的 UE支持的认证算法的信息，从中选择 HSS也支持的认证算法（即 UE和 HSS都支持的认证算法），并将上述选定的认证算法设定为对 UE认证的认证算法。例如，如图 2，当 HSS 从 MME接收到的认证数据请求消息中包括 UE支持的认证算法（包括 Tuak 算法和 Milenage算法），并且 HSS支持认证算法选择时， HSS则可根据其支持的认证算法从 UE支持的认证算法中选择 HSS也支持的认证算法作为对 UE 认证的认证算法，例如，当 HSS支持 Tuak算法时， HSS则可从 UE支持的认证算法中选择 Tuak算法作为对 UE认证的认证算法；当 HSS支持 Milenage 算法时， HSS则可从 UE支持的认证算法中选择 Milenage算法作为对 UE认证的认证算法；当 HSS支持 Tuak算法，也支持 Milenage算法时， HSS则可从 UE支持的认证算法中任选一种作为对 UE认证的认证算法。

在一些可行的实施方式中，若 HSS不支持认证算法选择 (即 HSS只支持 Milenage算法），则当 HSS从 MME接收到的认证数据请求消息中包含 UE支持的认证算法的信息（包括 UE支持 Tuak算法和 Milenage算法 ) 时， HSS选择默认认证算法作为对 UE认证的认证算法，即 HSS默认选择 Milenage算法，并将上述 Milenage算法设定为对 UE认证的认证算法，如图 3。

在一些可行的实施方式中，当 HSS从 MME处接收到的认证数据请求消息中携带的 UE支持的认证算法的信息为空，即上述认证数据请求消息中不包含 UE支持的认证算法信息时， HSS选择 Milenage算法并将上述 Milenage算法设定为对 UE认证的认证算法。即，如图 4，若 HSS支持认证算法选择（即 HSS可支持 Tuak算法和 Milenage算法），则当 HSS从 MME处接收到的认证数据请求消息中携带的 UE支持的认证算法的信息为空， HSS选择默认认证算法，即 HSS选择 Milenage算法作为对 UE认证的认证算法。

S 103，所述服务设备根据选定的所述认证算法确定所述认证算法的标识信息。

在一些可行的实施方式中， HSS根据 MME发送的认证数据请求消息选定认证算法之后，则可在子贞设的认证管理域 ( Authentication Management Field, AMF )参数中设定上述选定的认证算法的标识信息，具体的，还可上述 AMF 参数和上述选定的认证算法确定对 UE认证的认证矢量。具体实现中，如图 2，若 HSS支持认证算法选择，则当 HSS选择对 UE认证的认证算法之后，则可在预设的 AMF参数中设定上述选定的认证算法的标识信息，还可根据上述 AMF参数和选定的认证算法计算得到对 UE认证的认证矢量，其中，上述 HSS 根据选定的认证算法计算得到的认证矢量中包括对 UE 认证的认证参数 AUTN、 MAC, XRES以及密钥 CK、 IK、 ΑΚ等。例如，当 HSS选择 Tuak 算法作为对 UE认证的认证算法时， HSS则可在预设的 AMF参数中选择第 X 比特作为对 UE认证的标志位，进而可将 AMF参数的第 X比特设定为 1 (即第一标识符），用以作为对 UE认证的 Tuak算法的标识信息；当 HSS 选择 Milenage算法作为对 UE认证的认证算法时， HSS则可在预设的 AMF参数中选择第 X比特作为对 UE认证的标志位，进而可将 AMF参数的第 X比特设定为 0 (即第二标识符），用以作为对 UE认证的认证算法的标识信息，其中，上述 AMF参数的第 X比特可为 AMF参数中空闲的 8个比特位中的任意一个，即 1 X 7。

在一些可行的实施方式中，如图 3，若 HSS不支持认证算法选择，则当 HSS选定对 UE认证的认证算法之后， HSS不对上述预设的 AMF参数设置对 UE认证的认证算法的标识信息， HSS可根据预设的 AMF参数和选定的认证算法计算对 UE认证的认证矢量。如图 3，由于 HSS不支持认证算法选择，无法在 AMF参数中设置对 UE认证的认证算法的标识信息，故此，当 HSS接收到 MEE发送的认证数据请求消息并选择默认算法（ Milenage算法 M乍为对 UE 认证的认证算法之后， HSS可根据预设的 AMF参数和上述 Milenage算法计算得到对 UE认证的认证矢量，此时上述认证矢量中的 AMF参数的第 X比特为默认值 0，上述 AMF的第 X比特的默认值则作为对 UE认证的 Milenage算法的标识信息。

S104, 所述服务设备将所述认证算法的标识信息发送给所述控制设备。在一些可行的实施方式中，当 HSS根据 MME发送的认证数据请求消息确定了对 UE认证的认证算法，并根据选定的认证算法确定上述认证算法的标识信息之后，则可将上述认证算法的标识信息（具体可为对 UE认证的认证矢量）发送给 MME。具体实现中， HSS可通过认证数据响应消息将上述认证矢量发送给 MME，上述发送给 MME的认证矢量消息中包含对 UE认证的认证算法的标识信息。如图 2或者图 4，当 HSS根据 MEE发送的认证数据请求消息选定 Tuak算法或者 Milenage算法作为对 UE认证的认证算法，并在预设的 AMF参数的第 X比特中设定对上述 Tuak算法或者 Milenage算法的标识信息之后，即将上述认证矢量中的 AMF参数的第 X比特设定为 0或 1之后，则可根据上述 AMF参数和上述选定的认证算法确定对 UE认证的认证矢量，进而将包含上述 AMF参数的第 X比特的信息的认证矢量消息发送给 MEE， MME 接收到上述认证矢量消息之后，可保存上述认证矢量消息并将上述认证矢量消息中对 UE认证的认证参数信息发送给 UE。如图 3，当 HSS不支持认证算法选择时， HSS默认选择 Milenage算法作为对 UE认证的认证算法并根据上述 Milenage算法确定对 UE认证的认证矢量之后，则可将上述认证矢量发送给 MME, 其中，上述认证矢量消息中包含的对 UE认证的认证算法的标识信息为预设的 AMF参数中默认设置的标识信息，即上述认证矢量中的 AMF参数的第 X比特默认设定为 0， HSS可将包含上述 AMF参数的第 X比特的信息的认证矢量发送给 MME， MME接收到上述认证矢量消息之后，可保存上述认证矢量消息并将上述认证矢量消息中对 UE认证的认证参数信息发送给 UE。

在本发明实施例中，当 HSS支持认证算法选择时， HSS可根据 MME发送的认证数据请求消息中携带的 UE支持的认证算法的信息，结合其自身支持的认证算法的信息选择 UE和 HSS都支持的认证算法作为对 UE认证的认证算法（包括 Tuak算法或者 Milenage算法），并根据上述选定的对 UE认证的认证算法设定 AMF参数的第 X比特的值（包括 0和 1 )，进而根据上述 AMF和选定的认证算法确定对 UE认证的认证矢量，将上述包括选定的对 UE认证的认证算法的标识信息的认证矢量发送给 MME。当 HSS不支持认证算法选择时， HSS接收到 MME发送的认证数据请求消息之后默认选择 Milenage算法作为对 UE认证的认证算法，并根据预设的 AMF参数和上述 Milenage算法确定对 UE认证的认证矢量，进而将上述对 UE认证的认证矢量发送给 MME。在本发明实施例中， HSS 可根据 UE支持的认证算法和其自身支持的认证算法选择 UE和 HSS都支持的认证算法作为对 UE认证的认证算法，根据选定的认证算法确定认证算法的标识信息及对 UE认证的认证矢量，通过认证算法的标识信息通知 UE对其认证的认证算法，提高了对 UE认证的认证算法的选择的多样性和 UE和 HSS的资源利用率，增强对 UE认证的用户体验。

参见图 5，是本发明实施例提供的选择认证算法的方法的第二实施例流程示意图。本实施例中所描述的选择认证算法的方法，包括步骤：

S201 , 用户设备向控制设备发送所述用户设备支持的认证算法的信息。在一些可行的实施方式中，当 UE需要向 MME发送 UE支持的认证算法的信息时， UE可向 MME发送请求消息，将上述 UE支持的认证算法的信息通过上述请求消息发送给 MME; 或者，当 MME需要得知 UE支持的认证算法的信息时， MME可向 UE发送请求消息，请求 UE将 UE支持的认证算法的信息发送给 MME， UE接收到 MME发送的请求之后，则可向 MME发送响应消息，将 UE支持的认证算法的信息通过上述响应消息发送给 MME。本发明实施例对 UE将其支持的认证算法的信息发送给 MME的发送方式不做具体限定，上述通过请求消息或者响应消息将其支持的认证算法的信息发送给 MME的发送方式仅是举例，而非穷举，本发明实施例将以通过请求消息将 UE 支持的认证算法的信息发送给 MME的发送方式为例，进行具体说明。具体实现中， UE向 MME发送的请求消息可为依附（Attach )请求，或者跟踪区更新（Tracking Area Update, TAU )请求或者注册 ( Registration )请求等，本发明实施例不限定上述请求消息的消息类型。 UE向 MME发送的请求消息中可将 UE支持的认证算法的信息添加到上述请求消息中发送给 MME。具体实现中，当 UE支持认证算法选择 (即 UE可支持 Tuak算法和 Milenage算法）时， UE向 MME发送请求消息时可将其可支持的认证算法（包括 Tuak算法或者 Milenage算法）信息添加在上述请求消息中发送给 MME，如图 2或图 3，即此时 UE向 MME发送的请求消息中携带着 UE支持的 Tuak算法或者 Milenage 算法的信息；当 UE不支持认证算法选择 (即 UE只支持 Milenage算法 ) 时， UE向 MME发送请求消息时则不将其支持的认证算法的信息发送给 MME，即此时 UE向 MME发送的请求消息中携带的 UE支持的认证算法的信息为空。

5202, 所述用户设备接收所述控制设备发送的用户认证请求消息。

5203, 所述用户设备根据所述用户认证请求消息确定认证算法，并根据所述认证算法对所述网络进行认证。

在一些可行的实施方式中，当 UE向 MME发送请求消息之后， MME可根据 UE发送的请求消息向 HSS发送认证数据请求消息， HSS接收到 MME 发送的认证数据请求消息之后可根据上述认证数据请求消息选择对 UE认证的认证算法，并根据选定的认证算法设定上述认证算法的标识信息，确定对 UE 认证的认证矢量，进而通过 MME将上述包含上述认证算法的标识信息的认证矢量发送给 UE。 MME接收到 HSS发送的对 UE认证的认证算法的标识信息之后，可保存上述对 UE认证的认证算法的标识信息（具体可为对 UE认证的认证矢量），并通过向 UE发送用户认证请求将上述对 UE认证的认证算法的标识信息发送给 UE。 UE接收 MME发送的用户认证请求消息之后，则可根据上述用户认证请求消息确定网络对其认证的认证算法，进而根据网络对其认证的认证算法确定认证算法（即 UE对网络认证的认证算法），并根据上述确定的对网络的认证算法对网络进行认证。其中，上述 UE接收 MME发送的用户认证请求消息中包含对 UE认证的认证参数，即包含 HSS根据 UE发送的请求消息设定的对 UE认证的认证矢量中的参数，包括 AUTN、 RAND参数等。

在一些可行的实施方式中，当 UE支持认证算法选择时， UE将其支持的认证算法的信息添加到请求消息中发送给 MME之后，当 UE从 MME处接收到用户认证请求消息时， UE则可对上述用户认证请求消息进行解析，从上述用户认证请求消息中包括的认证参数中获取网络对 UE认证的认证算法的标识信息。具体实现中，当 HSS支持认证算法选择，并且 HSS从 MME处接收到的认证数据请求消息中携带 UE支持的认证算法的信息时， HSS可根据 UE支持的认证算法及其自身支持的认证算法确定对 UE认证的认证算法，并在预设的 AMF参数中设定选定的认证算法的标识信息，根据上述包含认证算法的标识信息的 AMF参数计算得到对 UE认证的认证矢量。 HSS确定上述认证矢量之后则可通过 MME将上述认证矢量中对 UE认证的认证参数发送给 UE。 UE 接收到 MME发送的用户认证请求之后，则可对上述用户认证请求消息中包含的认证参数进行解析，从上述认证参数中获取网络对 UE认证的认证算法的标识信息，其中，上述网络对 UE认证的认证算法的标识信息包括：上述 AMF 参数中对 UE认证的认证算法的标志位（即上述 AMF参数中的第 X比特）的第一标识符（例如 1 )或者第二标识符（例如 0 )。如图 2，当 UE接收到 MME 发送的用户认证请求消息之后，则可对上述用户认证请求消息中的 AMF参数的第 X比特进行分析，从上述 AMF参数的第 X比特中获取认证算法的标识信息（包括 0或 1 )，根据获取到的标识信息确定网络对其认证的认证算法，进而确定其对网络进行认证的认证算法（与网络对其认证的认证算法保存一致）。例如，当 UE从上述 AMF参数中获取得知 AMF的第 X比特的值为 1 (即第一标识符）时，则可确定网络对其认证的认证算法为 Tuak算法， UE确定网络对其认证的认证算法之后，则可确定其对网络认证的认证算法为 Tuak算法，进而可根据上述 Tuak算法对网络进行认证；当 UE从上述 AMF参数中获取得知 AMF的第 X比特的值为 0 (即第二标识符 ) 时，则可确定网络对其认证的认证算法为 Milenage算法， UE确定网络对其认证的认证算法之后，则可确定其对网络认证的认证算法为 Milenage算法，进而可根据上述 Milenage算法对网络进行认证。

在一些可行的实施方式中，当 _UE不支持认证算法选择时， UE向 MME 发送请求消息中携带的 UE支持的认证算法的信息为空， HSS通过 MME接收到的认证数据请求消息中携带的 UE支持的认证算法的信息也为空，此时 HSS 选择默认认证算法（Milenage算法）， HSS根据选定的认证算法确定的认证矢量中包含的对 UE认证的认证算法的标识信息为 AMF参数的第 X比特的第二标识符（0 )，如图 4。 UE接收到 MME发送的用户认证请求之后，则根据默认认证算法 (即 Milenage算法 )对网络进行认证，即此时网络对 UE认证的认证算法和 UE对网络认证的认证算法均为 Milenage算法。具体实现中， UE确定对网络认证的认证算法之后，则可将上述对网络认证的认证算法的信息通过用户认证响应发送给 MME，以通过 MME完成网络对 UE的认证，允许 UE 接入网络。具体实现中，上述 HSS通过 MME接收到 UE发送的请求消息中包含的信息后根据上述信息确定对 UE认证的认证算法及认证算法的标识信息，并通过 MME将上述认证算法的标识信息等信息发送给 UE的具体实现过程可参见本发明实施例提供的选择认证算法的第一实施例，在此不再赘述。

在本发明实施例中，当 UE支持认证算法选择时， UE可将其支持的认证算法通过请求消息发送给 MME，还可根据 MME发送的用户认证请求获取网络对其认证的认证算法的信息，进而将网络对其认证的认证算法设定为其对网络认证的认证算法，根据上述认证算法对网络进行认证；当 UE不支持认证算法选择时， UE向 MME发送的请求消息，网络接收到其发送的请求消息之后将选择默认的 Milenage算法作为对 UE认证的认证算法，当 UE接收到 MME 发送的用户认证请求时，则可将默认算法 Milenage算法设定为对网络认证的认证算法，从而实现认证算法的统一，通过 MME完成 UE的认证，允许 UE 接入到网络。本发明实施例提高了 UE认证的认证算法选择的多样性和终端的资源利用率，增强了 UE认证的用户体验。

参见图 6，是本发明实施例提供的选择认证算法的方法的第三实施例流程示意图。本实施例中所描述的选择认证算法的方法，包括步骤：

5301 , 控制设备接收用户设备发送的所述用户设备支持的认证算法的信息。

5302, 所述控制设备向服务设备发送认证数据请求消息。

5303, 所述控制设备接收所述服务设备发送的认证算法的标识信息。

5304, 所述控制设备向所述用户设备发送用户认证请求消息。

在一些可行的实施方式中，当 UE需要向 MME发送 UE支持的认证算法的信息时， UE可向 MME发送请求消息，将上述 UE支持的认证算法的信息通过上述请求消息发送给 MME; 或者，当 MME需要得知 UE支持的认证算法的信息时， MME可向 UE发送请求消息，请求 UE将 UE支持的认证算法的信息发送给 MME， UE接收到 MME发送的请求之后，则可向 MME发送响应消息，将 UE支持的认证算法的信息通过上述响应消息发送给 MME。本发明实施例对 UE将其支持的认证算法的信息发送给 MME的发送方式不做具体限定，上述通过请求消息或者响应消息将其支持的认证算法的信息发送给 MME的发送方式仅是举例，而非穷举，本发明实施例将以通过请求消息将 UE 支持的认证算法的信息发送给 MME的发送方式为例，进行具体说明。具体实现中，上述 UE支持的认证算法的信息，包括： UE支持的 Tuak算法，或者 UE支持的 Milenage算法，或者为空。即当 UE支持认证算法选择（即 UE支持 Tuak算法和 Milenage算法）时， UE向 MME发送请求消息时可将其支持的认证算法的信息通过上述请求消息发送给 MME; 当 UE不支持认证算法选择（即 UE只支持 Milenage算法）时， UE向 MME发送的请求消息中携带的 UE支持的认证算法的信息则为空。 MME接收到 UE发送的请求消息之后，则可根据上述请求消息向 HSS发送认证数据请求消息。当 UE发送的请求消息中携带 UE支持的认证算法的信息时， MME向 HSS发送认证数据请求消息时则可将上述 UE 支持的认证算法的信息通过上述认证数据请求消息发送给 HSS;当 UE发送的请求消息中携带的 UE支持的认证算法的信息为空时， MME 向 HSS发送认证数据请求消息时，上述认证数据请求消息中携带的 UE支持的认证算法的信息则为空。

在一些可行的实施方式中， MME向 HSS发送认证数据请求消息之后， HSS则可根据上述认证数据请求消息确定对 UE认证的认证算法，并根据上述确定的认证算法计算得到对 UE认证的认证算法的标识信息（具体可为对 UE 认证的认证矢量）。 HSS根据 MME发送的认证数据请求消息确定对 UE认证的认证算法，并根据上述认证算法确定对 UE认证的认证矢量之后，则可将上述认证矢量通过认证数据响应消息发送给 MME。 MME接收到 HSS发送的认证数据响应消息之后，则可保存上述认证数据响应消息中包含的认证矢量，进而向 UE发送用户认证请求消息，将上述对 UE认证的认证矢量中包含的对 UE认证的认证参数发送给 UE，如图 2、图 3或图 4。 UE接收到 MME发送的用户认证请求消息之后，则可从中获取网络对其认证的认证参数等信息，进而根据上述认证参数确定对网络认证的认证算法。具体实现中，上述 HSS根据 MME发送的认证数据请求消息确定对 UE认证的认证算法及认证矢量，并通过认证数据响应消息将上述认证矢量等信息发送给 MME 的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第一实施例，在此不再赘述。上述 UE向 MME发送请求消息并根据 MME发送的用户认证请求确定对网络认证的认证算法的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第二实施例，在此不再赘述。

在一些可行的实施方式中，当 _MME支持 _UE支持的认证算法的信息的保存和转发时，若 UE发送给 MME的请求消息中携带 UE支持的认证算法的信息（即 UE支持 Tuak算法和 Milenage算法）， MME接收到 UE发送的请求消息之后则可保存 UE支持的认证算法的信息，并将上述 UE支持的认证算法的信息通过认证数据请求消息发送给 HSS，如图 2或图 3; 若 UE发送给 MME 的请求消息中携带的 UE支持的认证算法的信息为空， MME接收到上述请求消息之后则可向 HSS发送认证数据请求消息，其中上述认证数据请求消息中携带的 UE支持的认证算法的信息则为空，如图 4。当 MME不支持 UE支持的认证算法的信息的保存和转发时，若 UE发送给 MME 的请求消息中携带 UE支持的认证算法的信息（即 UE支持 Tuak算法和 Milenage算法）， MME 接收到 UE发送的请求消息之后无法保存 UE 支持的认证算法的信息，此时 MME向 HSS发送认证数据请求消息时，上述认证数据请求消息中携带的 UE 支持的认证算法的信息则为空，如图 7或者图 8; 若 UE发送给 MME的请求消息中携带的 UE支持的认证算法的信息为空，则 MME接收到 UE发送的请求消息之后则可向 HSS发送认证数据请求消息，其中，上述认证数据请求消息中携带的 UE支持的认证算法的信息为空，如图 9。

在一些可行的实施方式中， MME向 UE发送用户认证请求消息之后，还可从 UE处获取用户认证响应消息，并根据其保存的 HSS发送的对 UE认证的认证矢量完成对 UE的认证，进而允许 UE接入到网络。

在本发明实施例中， MME可接收 UE发送的 UE支持的认证算法的信息，根据 UE支持的认证算法的信息向 HSS发送认证数据请求消息，并从 HSS处获取 HSS根据上述认证数据请求消息确定的对 UE认证的认证算法的标识信息（具体可为对 UE认证的认证矢量）等信息，进而向 UE发送用户认证请求，将上述 HSS对 UE认证的认证算法的标识信息等信息发送给 UE，以供 UE确定其对网络认证的认证算法； MME还可从 UE处获取用户认证响应消息，结合 HSS发送的对 UE认证的认证矢量等信息完成 UE接入网络的认证，进而允许 UE接入到网络； MME还可根据其自身配置（即是否支持 UE支持的认证算法的信息的保存和转发）向 HSS发送认证数据请求消息，丰富了 UE认证的认证算法的多样性，提高了 UE认证的终端利用率，增强了 UE认证的用户体验。

参见图 10，是本发明实施例提供的选择认证算法的服务设备的实施例结构示意图。本实施例中所描述的服务设备，包括：

接收模块 10，用于接收控制设备发送的认证数据请求消息，所述认证数据请求消息中携带用户设备支持的认证算法的信息。

选择模块 20，用于根据所述接收模块接收的所述认证数据请求消息，和所述服务设备支持的认证算法的信息选定认证算法。

处理模块 30，用于根据所述选择模块选定的所述认证算法确定所述认证算法的标识信息。

发送模块 40，用于将所述认证算法的标识信息发送给所述控制设备，以通过所述控制设备发送给所述用户设备。

在一些可行的实施方式中，上述接收模块 10接收的所述认证数据请求消息中携带的所述认证算法的标识信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述选择模块 20，具体用于：

在一些可行的实施方式中，上述接收模块 10接收的所述认证数据请求消息中携带的用户设备支持的认证算法的信息为空；

所述选择模块 20，具体用于：

所述服务设备从其支持的认证算法中选择 Milenage 算法，并将所述 Milenage算法设定为所述选定的所述认证算法。在一些可行的实施方式中， HSS的接收模块 10从 MME接收到的认证数据请求消息中携带用户设备支持的认证算法的信息，其中，上述用户设备支持的认证算法的信息可包括： UE支持的 Tuak算法，或者 UE支持的 Milenage 算法等。具体实现中，当接收模块 10从 MME接收到的认证数据请求消息中包含 UE支持的认证算法的信息，并且 HSS支持认证算法选择 (即 HSS可支持 Tuak算法和 Milenage算法 ) 时，选择模块 20可根据上述认证数据请求消息中所包含的 UE支持的认证算法的信息，从中选择 HSS也支持的认证算法 (即 UE和 HSS都支持的认证算法），并将上述选定的认证算法设定为对 UE 认证的认证算法。例如，如图 2，当接收模块 10从 MME接收到的认证数据请求消息中包括 UE支持的认证算法（包括 Tuak算法和 Milenage算法），并且 HSS支持认证算法选择时，选择模块 20则可根据 HSS支持的认证算法从 UE支持的认证算法中选择 HSS也支持的认证算法作为对 UE认证的认证算法，例如，当 HSS支持 Tuak算法时，选择模块 20则可从 UE支持的认证算法中选择 Tuak算法作为对 UE认证的认证算法；当 HSS支持 Milenage算法时，选择模块 20则可从 UE支持的认证算法中选择 Milenage算法作为对 UE认证的认证算法；当 HSS支持 Tuak算法，也支持 Milenage算法时，选择模块 20 则可从 UE支持的认证算法中任选一种作为对 UE认证的认证算法。

在一些可行的实施方式中，若 HSS不支持认证算法选择 (即 HSS只支持 Milenage算法），则当接收模块 10从 MME接收到的认证数据请求消息中包含 UE支持的认证算法的信息（包括 UE支持 Tuak算法和 Milenage算法 ) 时，选择模块 20选择默认认证算法作为对 UE认证的认证算法，即选择模块 20默认选择 Milenage算法，并将上述 Milenage算法设定为对 UE认证的认证算法，如图 3。

在一些可行的实施方式中，当接收模块 10从 MME处接收到的认证数据请求消息中携带的 UE支持的认证算法的信息为空，即上述认证数据请求消息中不包含 UE支持的认证算法信息时，选择模块 20选择 Milenage算法并将上述 Milenage算法设定为对 UE认证的认证算法。即，如图 4，若 HSS支持认证算法选择 (即 HSS可支持 Tuak算法和 Milenage算法），则当接收模块 10 从 MME处接收到的认证数据请求消息中携带的 UE支持的认证算法的信息为空，选择模块 20选择默认认证算法，即选择模块 20选择 Milenage算法作为对 UE认证的认证算法。具体实现中，上述 HSS的接收模块和选择模块根据接收到的 MME发送的认证数据请求消息选定对 UE认证的认证算法的具体实现过程可参见本发明实施例提供的选择认证算法的第一实施例的步骤 S101-S102, 在此不再赘述。

在一些可行的实施方式中，上述处理模块 30确定的认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当上述选择模块 20将所述 Tuak算法设定为所述选定的所述认证算法时，所述处理模块 30，具体用于：

当上述选择模块 20将所述 Milenage算法设定为所述选定的所述认证算法时，所述处理模块 30，具体用于：

在一些可行的实施方式中， HSS的选择模块 20根据 MME发送的认证数据请求消息选定对 UE认证的认证算法之后，处理模块 30则可在预设的 AMF 参数中设定上述选定的认证算法的标识信息，进而根据上述 AMF参数和上述选定的认证算法确定对 UE认证的认证矢量。具体实现中，如图 2，若 HSS支持认证算法选择，则当选择模块 20选择对 UE认证的认证算法之后，处理模块 30则可在预设的 AMF参数中设定上述选定的认证算法的标识信息，并根据上述 AMF参数和选定的认证算法计算得到对 UE认证的认证矢量，其中，上述处理模块 30根据选择模块 20选定的认证算法计算得到的认证矢量中包括对 UE认证的认证参数 AUTN、 MAC, XRES以及密钥 CK、 ΙΚ、 ΑΚ等。例如，当 HSS的选择模块 20选择 Tuak算法作为对 UE认证的认证算法时， HSS 的处理模块 30则可在预设的 AMF参数中选择第 X比特作为对 UE认证的标志位，进而可将 AMF参数的第 X比特设定为 1 (即第一标识符），用以作为对 UE认证的 Tuak算法的标识信息；当 HSS的选择模块 20选择 Milenage算法作为对 UE认证的认证算法时， HSS的处理模块 30则可在预设的 AMF参数中选择第 X比特作为对 UE认证的标志位，进而可将 AMF参数的第 X比特设定为 0(即第二标识符），用以作为 Milenage算法的标识信息，其中，上述 AMF 参数的第 X比特可为 AMF参数中空闲的 8个比特位中的任意一个，即 1 X 7。

在一些可行的实施方式中，如图 3，若 HSS不支持认证算法选择，则当 HSS的选择模块 30选定对 UE认证的认证算法之后， HSS的处理模块 30不对上述预设的 AMF参数设置对 UE认证的认证算法的标识信息， HSS的处理模块 30可根据预设的 AMF参数和选定的认证算法计算对 UE认证的认证矢量。如图 3，由于 HSS不支持认证算法选择，处理模块 30无法在 AMF参数中设置对 UE认证的认证算法的标识信息，故此，当 HSS的接收模块 10接收到 MEE发送的认证数据请求消息并通过选择模块 20选择默认算法（ Milenage算法）作为对 UE认证的认证算法之后， HSS的处理模块 30可根据预设的 AMF 参数和上述 Milenage算法计算得到对 UE认证的认证矢量，此时上述认证矢量中的 AMF参数的第 X比特为默认值 0，上述 AMF的第 X比特的默认值则作为对 UE认证的 Milenage算法的标识信息。

在一些可行的实施方式中，当 HSS的处理模块 30根据接收模块 10接收到的 MME发送的认证数据请求消息确定了对 UE认证的认证算法，并根据选定的认证算法确定对 UE认证的认证算法的标识信息（具体可为认证矢量）之后，发送模块 40则可将上述处理模块 30确定的认证矢量发送给 MME。具体实现中， HSS可通过的发送模块 40向 MME发送的认证数据响应消息将上述认证矢量发送给 MME，上述发送模块 40发送给 MME的认证矢量消息中包含对 UE认证的认证算法的标识信息。如图 2或者图 4，当 HSS的选择模块 20 根据接收模块 10接收到的 MEE发送的认证数据请求消息选定 Tuak算法或者 Milenage算法作为对 UE认证的认证算法，并通过处理模块 30在预设的 AMF 参数的第 X比特中设定对上述 Tuak算法或者 Milenage算法的标识信息之后，即将上述认证矢量中的 AMF参数的第 X比特设定为 0或 1之后，处理模块 30则可根据上述 AMF参数和上述选定的认证算法确定对 UE认证的认证矢量，进而通过发送模块 40将包含上述 AMF参数的第 X比特的信息的认证矢量消息发送给 MEE， MME接收到上述认证矢量消息之后，可保存上述认证矢量消息并将上述认证矢量消息中对 UE认证的认证参数信息发送给 UE。如图 3, 当 HSS不支持认证算法选择时， HSS的选择模块 20默认选择 Milenage算法作为对 UE认证的认证算法并通过处理模块 30根据上述选择模块 20选择的 Milenage算法确定对 UE认证的认证矢量之后，发送模块 40则可将上述认证矢量发送给 MME，其中，上述认证矢量消息中包含的对 UE认证的认证算法的标识信息为预设的 AMF参数中默认设置的标识信息，即上述认证矢量中的 AMF参数的第 X比特默认设定为 0， HSS的发送模块 40可将包含上述 AMF 参数的第 X比特的信息的认证矢量发送给 MME， MME接收到上述认证矢量消息之后，可保存上述认证矢量消息并将上述认证矢量消息中对 UE认证的认证参数信息发送给 UE。具体实现中，上述 HSS的处理模块和发送模块根据选择模块选择的认证算法确定对 UE认证的认证矢量并向 MME发送上述认证矢量的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第一实施例中的步骤 S103-S104, 在此不再赘述。

本发明实施例中所描述的 HSS若支持认证算法选择， HSS可根据 MME 发送的认证数据请求消息中携带的 UE支持的认证算法的信息，结合其自身支持的认证算法的信息选择对 UE认证的认证算法（包括 Tuak算法或者 Milenage 算法），并根据上述选定的对 UE认证的认证算法设定 AMF参数的第 X比特的值（包括 0和 1 )，进而根据上述 AMF和选定的认证算法确定对 UE认证的认证矢量，将上述包括选定的对 UE认证的认证算法的标识信息的认证矢量发送给 MME。若 HSS不支持认证算法选择， HSS接收到 MME发送的认证数据请求消息之后默认选择 Milenage算法作为对 UE认证的认证算法，并根据预设的 AMF参数和上述 Milenage算法确定对 UE认证的认证矢量，进而将上述对 UE认证的认证矢量发送给 MME。本发明实施例中所描述的 HSS可根据 UE 支持的认证算法和其自身支持的认证算法选择对 UE认证的认证算法，根据选定的认证算法确定 UE认证的认证矢量并在上述认证矢量中添加对 UE认证的认证算法的标识信息，用于通知 UE对其认证的认证算法，提高了对 UE认证的认证算法的选择的多样性和 UE和 HSS的资源利用率，增强对 UE认证的用户体验。参见图 11，是本发明实施例提供的选择认证算法的用户设备的实施例结构示意图。本实施例中所描述的用户设备，包括：

发送模块 50，用于向控制设备发送所述用户设备支持的认证算法的信息。接收模块 60，用于接收所述控制设备发送的用户认证请求消息。

处理模块 70，用于根据所述用户认证请求消息确定认证算法，并根据所述认证算法对所述网络进行认证。

在一些可行的实施方式中，当 UE需要向 MME发送 UE支持的认证算法的信息时， UE可向 MME发送请求消息，将上述 UE支持的认证算法的信息通过上述请求消息发送给 MME; 或者，当 MME需要得知 UE支持的认证算法的信息时， MME可向 UE发送请求消息，请求 UE将 UE支持的认证算法的信息发送给 MME， UE接收到 MME发送的请求之后，则可向 MME发送响应消息，将 UE支持的认证算法的信息通过上述响应消息发送给 MME。本发明实施例对 UE将其支持的认证算法的信息发送给 MME的发送方式不做具体限定，上述通过请求消息或者响应消息将其支持的认证算法的信息发送给 MME的发送方式仅是举例，而非穷举，本发明实施例将以通过请求消息将 UE 支持的认证算法的信息发送给 MME的发送方式为例，进行具体说明。具体实现中， UE的发送模块 50向 MME发送的请求消息可为 Attach请求，或者 TAU 请求或者 Registration请求等，本发明实施例不限定上述请求消息的消息类型。 UE向 MME发送的请求消息中可将 UE支持的认证算法的信息添加到上述请求消息中发送给 MME。具体实现中，当 UE支持认证算法选择 (即 UE可支持 Tuak算法和 Milenage算法）时， UE的发送模块 50向 MME发送请求消息时可将其可支持的认证算法（包括 Tuak算法或者 Milenage算法 )信息添加在上述请求消息中发送给 MME，如图 2或图 3，即此时 UE的发送模块 50向 MME发送的请求消息中携带着 UE支持的 Tuak算法或者 Milenage算法的信息；当 UE不支持认证算法选择 (即 UE只支持 Milenage算法 ) 时， UE的发送模块 50 向 MME发送请求消息时则不将其支持的认证算法的信息发送给 MME, 即此时 UE的发送模块 50向 MME发送的请求消息中携带的 UE支持的认证算法的信息为空。具体实现中，上述 UE的发送模块向 MME发送请求消息的具体实现过程可参见本发明实施例提供的选择认证算法的第二实施例中的步骤 S201，在此不再赘述。

在一些可行的实施方式中，上述发送模块 50发送的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述处理模块 70，具体用于：

根据所述标识信息确定认证算法。

在一些可行的实施方式中，上述接收模块 60接收到的所述用户认证请求消息中包含对所述用户设备认证的认证参数；

上述接收模块 60接收的所述对所述用户设备认证的所述认证参数中包含 AUTN参数，所述 AUTN参数中包含 AMF参数；

上述处理模块 70，具体用于：

在一些可行的实施方式中，上述发送模块 50发送的所述用户设备支持的认证算法的信息为空；

所述处理模块 70，具体用于：根据所述用户认证请求消息将其支持的 Milenage算法设定为认证算法。在一些可行的实施方式中，当 UE的发送模块 50向 MME发送请求消息之后， MME可根据 UE发送的请求消息向 HSS发送认证数据请求消息， HSS 接收到 MME发送的认证数据请求消息之后可根据上述认证数据请求消息选择对 UE认证的认证算法，并根据选定的认证算法设定上述认证算法的标识信息，确定对 UE认证的认证矢量，进而通过 MME将上述包含上述认证算法的标识信息的认证矢量发送给 UE。 MME接收到 HSS发送的对 UE认证的认证算法的标识信息之后，可保存上述对 UE认证的认证算法的标识信息（具体可的认证算法的标识信息发送给 UE。 UE的接收模块 60接收 MME发送的用户认证请求消息之后，处理模块 70则可根据上述接收模块 60接收到的用户认证请求消息确定网络对其认证的认证算法，进而根据网络对其认证的认证算法确定其对网络认证的认证算法，并根据上述确定的对网络的认证算法对网络进行认证。其中，上述 UE的接收模块 60接收到的 MME发送的用户认证请求消息中包含对 UE认证的认证参数，即包含 HSS根据 UE发送的请求消息设定的对 UE认证的认证矢量中的参数，包括 AUTN、 RAND参数等。

在一些可行的实施方式中，当 UE支持认证算法选择时， UE的发送模块 50将 UE支持的认证算法的信息添加到请求消息中发送给 MME之后，当 UE 的接收模块 60从 MME处接收到用户认证请求消息时，处理模块 70则可对上述接收模块 60接收到的用户认证请求消息进行解析，从上述用户认证请求消息中包含的上述认证参数中获取对 UE认证的认证算法的标识信息。具体实现中，当 HSS支持认证算法选择，并且 HSS从 MME处接收到的认证数据请求消息中携带 UE支持的认证算法的信息时， HSS可根据 UE支持的认证算法及其自身支持的认证算法确定对 UE认证的认证算法，并在预设的 AMF参数中设定选定的认证算法的标识信息，根据上述包含认证算法的标识信息的 AMF 参数计算得到对 UE认证的认证矢量。 HSS确定上述认证矢量之后则可通过 MME将上述认证矢量中对 UE认证的认证参数发送给 UE。 UE的接收模块 60 接收到 MME发送的用户认证请求之后，处理模块 70则可对上述用户认证请求消息进行解析，从上述用户认证请求消息中包含的认证参数中获取网络对 UE认证的认证算法的标识信息，其中，上述网络对 UE认证的认证算法的标识信息包括：上述 AMF参数中对 UE认证的标志位（即上述 AMF参数中的第 X比特）的第一标识符（例如 1 )或者第二标识符（例如 0 )。如图 2，当 UE的接收模块 60接收到 MME发送的用户认证请求消息之后，处理模块 70 则可对上述用户认证请求消息中的 AMF参数的第 X比特进行分析，从上述 AMF参数的第 X比特中获取认证算法的标识信息（包括 0或 1 )，根据获取到的标识信息确定网络对其认证的认证算法，进而确定其对网络进行认证的认证算法（与网络对其认证的认证算法保存一致）。例如，当 UE的处理模块 70从上述 AMF参数中获取得知 AMF的第 X比特的值为 1 (即第一标识符）时，则可确定网络对其认证的认证算法为 Tuak算法，处理模块 70确定网络对 UE 认证的认证算法之后，则可确定 UE对网络认证的认证算法为 Tuak算法 Tuak; 当处理模块 70从上述 AMF参数中获取得知 AMF的第 X比特的值为 0 (即第二标识符）时，则可确定网络对 UE认证的认证算法为 Milenage算法，处理模块 70确定网络对 UE认证的认证算法之后，则可确定 UE对网络认证的认证算法为 Milenage算法。

在一些可行的实施方式中，当 UE不支持认证算法选择时， UE的发送模块 50向 MME发送请求消息中携带的 UE支持的认证算法的信息为空， HSS 通过 MME接收到的认证数据请求消息中携带的 UE支持的认证算法的信息也为空，此时 HSS选择默认认证算法（Milenage算法）， HSS根据选定的认证算法确定的认证矢量中包含的对 UE认证的认证算法的标识信息为 AMF参数的第 X比特的第二标识符（0 )，如图 4。 UE的接收模块 60接收到 MME发送的用户认证请求之后，处理模块 70则根据默认认证算法（即 Milenage算法 )确定对网络认证的认证算法，即此时网络对 UE认证的认证算法和 UE对网络认证的认证算法均为 Milenage算法。具体实现中，处理模块 70确定对网络认证的认证算法之后，则可将上述对网络认证的认证算法的信息通过用户认证响应发送给 MME，以通过 MME完成网络对 UE的认证，允许 UE接入网络。具体实现中，上述 HSS通过 MME接收到 UE发送的请求消息中包含的信息后根据上述信息确定对 UE认证的认证算法及认证矢量，并通过 MME将上述认证矢量等信息发送给 UE的具体实现过程可参见本发明实施例提供的选择认证算法的第一实施例，在此不再赘述。

具体实现中，上述 UE的接收模块和处理模块接收 MME发送的用户认证请求，并根据上述接收用户认证请求确定对网络认证的认证算法的具体实现过程可参见本发明实施例提供的选择认证算法的第二实施例中的步骤 S202-S203, 在此不再赘述。

本发明实施例中所描述的 UE若支持认证算法选择， UE可将其支持的认证算法通过请求消息发送给 MME，还可根据 MME发送的用户认证请求获取网络对其认证的认证算法的信息，进而将网络对其认证的认证算法设定为其对网络认证的认证算法；若 UE不支持认证算法选择， UE向 MME发送的请求消息，网络接收到其发送的请求消息之后将选择默认的 Milenage算法作为对 UE认证的认证算法，当 UE接收到 MME发送的用户认证请求时，则可将默认算法 Milenage算法设定为对网络认证的认证算法，从而实现认证算法的统一，通过 MME完成 UE的认证，允许 UE接入到网络。本发明实施例提高了 UE认证的认证算法选择的多样性和终端的资源利用率，增强了 UE认证的用户体验。参见图 12，是本发明实施例提供的选择认证算法的控制设备的实施例结构示意图。本实施例中所描述的控制设备，包括：

接收模块 80，用于接收用户设备发送的所述用户设备支持的认证算法的信息。

发送模块 90，用于向服务设备发送认证数据请求消息，所述认证数据请求消息中携带所述用户设备支持的认证算法的信息。

所述接收模块 80，用于接收所述服务设备发送的认证算法的标识信息，所述认证算法的标识信息对应于所述认证数据请求消息。

所述发送模块 90，用于向所述用户设备发送用户认证请求消息，所述用户认证请求消息中携带所述认证算法的标识信息。

在一些可行的实施方式中，上述接收模块 80接收的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法，或者为空。在一些可行的实施方式中，上述接收模块 80接收的所述认证算法的标识信息，包括：所述服务设备选定的 Tuak算法对应的标识信息，和 /或所述服务设备选定的 Milenage算法对应的标识信息，或者为空。

在一些可行的实施方式中，当 UE需要向 MME发送 UE支持的认证算法的信息时， UE可向 MME发送请求消息，将上述 UE支持的认证算法的信息通过上述请求消息发送给 MME; 或者，当 MME需要得知 UE支持的认证算法的信息时， MME可向 UE发送请求消息，请求 UE将 UE支持的认证算法的信息发送给 MME， UE接收到 MME发送的请求之后，则可向 MME发送响应消息，将 UE支持的认证算法的信息通过上述响应消息发送给 MME。本发明实施例对 UE将其支持的认证算法的信息发送给 MME的发送方式不做具体限定，上述通过请求消息或者响应消息将其支持的认证算法的信息发送给 MME的发送方式仅是举例，而非穷举，本发明实施例将以通过请求消息将 UE 支持的认证算法的信息发送给 MME的发送方式为例，进行具体说明。具体实现中， MME的接收模块 80从 UE处接收到的 UE发送的请求消息中可携带 UE支持的认证算法的信息，包括： UE支持的 Tuak算法，或者 UE支持的 Milenage算法，或者为空。即当 UE支持认证算法选择 (即 UE支持 Tuak算法和 Milenage算法）时， UE向 MME发送请求消息时可将其支持的认证算法的信息通过上述请求消息发送给 MME; 当 UE不支持认证算法选择 (即 UE 只支持 Milenage算法）时， UE向 MME发送的请求消息中携带的 UE支持的认证算法的信息则为空。 MME的接收模块 80接收到 UE发送的请求消息之后，发送模块 90则可根据上述接收模块 80接收到的请求消息向 HSS发送认证数据请求消息。当 UE发送的请求消息中携带 UE支持的认证算法的信息时， MME 的发送模块 90向 HSS发送认证数据请求消息时则可将上述 UE支持的认证算法的信息通过上述认证数据请求消息发送给 HSS; 当 UE发送的请求消息中携带的 UE支持的认证算法的信息为空时， MME的发送模块 90向 HSS发送认证数据请求消息时，上述认证数据请求消息中携带的 UE支持的认证算法的信息则为空。

在一些可行的实施方式中， MME的发送模块 90向 HSS发送认证数据请求消息之后， HSS则可根据上述认证数据请求消息确定对 UE认证的认证算法，并根据上述确定的认证算法计算得到对 UE认证的认证矢量。 HSS根据 MME 发送的认证数据请求消息确定对 UE认证的认证算法，并根据上述认证算法确定对 UE认证的认证矢量之后，则可将上述认证矢量通过认证数据响应消息发送给 MME。 MME通过接收模块 80接收到 HSS发送的认证数据响应消息之后，则可保存上述认证数据响应消息中包含的认证矢量，进而通过发送模块 90向 UE发送用户认证请求消息，将上述对 UE认证的认证矢量中包含的对 UE认证的认证参数发送给 UE，如图 2、图 3或图 4。 UE接收到 MME发送的用户认证请求消息之后，则可从中获取网络对其认证的认证参数等信息，进而根据上述认证参数确定对网络认证的认证算法。具体实现中，上述 HSS根据 MME 发送的认证数据请求消息确定对 UE认证的认证算法及认证矢量，并通过认证数据响应消息将上述认证矢量等信息发送给 MME 的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第一实施例，在此不再赘述。上述 UE向 MME发送请求消息并根据 MME发送的用户认证请求确定对网络认证的认证算法的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第二实施例，在此不再赘述。

在一些可行的实施方式中，当 _MME支持 _UE支持的认证算法的信息的保存和转发时，若 UE发送给 MME的请求消息中携带 UE支持的认证算法的信息（即 UE支持 Tuak算法和 Milenage算法）， MME的接收模块 80接收到 UE 发送的请求消息之后则可保存 UE支持的认证算法的信息，并通过发送模块 90 将上述 UE支持的认证算法的信息通过认证数据请求消息发送给 HSS，如图 2 或图 3; 若 UE发送给 MME的请求消息中携带的 UE支持的认证算法的信息为空， MME的接收模块 80接收到上述请求消息之后则可通过发送模块 90向 HSS发送认证数据请求消息，其中上述认证数据请求消息中携带的 UE支持的认证算法的信息则为空，如图 4。当 MME不支持 UE支持的认证算法的信息的保存和转发时，若 UE发送给 MME的请求消息中携带 UE支持的认证算法的信息（即 UE支持 Tuak算法和 Milenage算法）， MME通过接收模块 80接收到 UE发送的请求消息之后无法保存 UE支持的认证算法的信息，此时 MME 的发送模块 90向 HSS发送认证数据请求消息时，上述认证数据请求消息中携带的 UE支持的认证算法的信息则为空，如图 7或者图 8; 若 UE发送给 MME 的请求消息中携带的 UE支持的认证算法的信息为空，则 MME的接收模块 80 接收到 UE发送的请求消息之后，发送模块 90则可向 HSS发送认证数据请求消息，其中，上述认证数据请求消息中携带的 UE支持的认证算法的信息为空，如图 9。具体实现中，本发明实施例中所描述的控制设备的具体实现过程可参见本发明实施例提供的选择认证算法的方法的第三实施例中的步骤 S301-S304, 在此不再赘述。

本发明实施例中， MME可接收 UE发送的请求消息，根据 UE发送的请求消息向 HSS发送认证数据请求消息，并从 HSS处获取 HSS根据上述认证数据请求消息确定的对 UE认证的认证矢量等信息，进而向 UE发送用户认证请求，将上述 HSS对 UE认证的认证矢量等信息发送给 UE，以供 UE确定其对网络认证的认证算法； MME还可从 UE处获取用户认证响应消息，结合 HSS 发送的对 UE认证的认证矢量等信息完成 UE接入网络的认证，进而允许 UE 接入到网络；此外， MME还可根据其自身配置（即是否支持 UE支持的认证算法的信息的保存和转发）向 HSS发送认证数据请求消息，丰富了 UE认证的认证算法的多样性，提高了 UE认证的终端利用率，增强了 UE认证的用户体验。

参见图 13，是本发明实施例提供的选择认证算法的系统的实施例结构示意图。本实施例中所描述的选择认证算法的系统，包括：

上述本发明实施例提供的选择认证算法的用户设备 100、上述本发明实施例中提供的选择认证算法的控制设备 200和上述本发明实施例提供的选择认证算法的服务设备 300。具体实现中，上述用户设备 100、控制设备 200和服务设备 300在选择认证算法的过程中的具体交互过程可参见本发明实施例提供的选择认证算法的方法的第一实施例、第二实施例和第三实施例中所描述的具体实现过程，在此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存储记忆体（Random Access Memory, RAM )等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

权利要求

1、一种选择认证算法的方法，其特征在于，包括：

服务设备接收控制设备发送的认证数据请求消息，所述认证数据请求消息中携带用户设备支持的认证算法的信息；

2、如权利要求 1所述的方法，其特征在于，所述认证数据请求消息中携带的所述认证算法的标识信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

3、如权利要求 1所述的方法，其特征在于，所述认证数据请求消息中携带的用户设备支持的认证算法的信息为空；

所述服务设备支持的认证算法信息中包括：所述服务终端支持的 Tuak算法，和 /或所述服务终端支持的 Milenage算法；

4、如权利要求 1所述的方法，其特征在于，所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

5、如权利要求 2或 3所述的方法，其特征在于，所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

6、一种选择认证算法的方法，其特征在于，包括：

用户设备向控制设备发送所述用户设备支持的认证算法的信息；

所述用户设备接收所述控制设备发送的用户认证请求消息；

7、如权利要求 6所述的方法，其特征在于，所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述用户设备根据所述用户认证请求消息确定认证算法，包括：所述用户设备对所述用户认证请求消息进行解析，获取所述用户认证请求消息中包含的认证算法的标识信息；

所述用户设备根据所述标识信息确定认证算法。

8、如权利要求 7所述的方法，其特征在于，所述用户认证请求消息中包含对所述用户设备认证的认证参数；

9、如权利要求 8所述的方法，其特征在于，所述用户设备根据所述标识信息确定认证算法，包括：

10、如权利要求 6所述的方法，其特征在于，所述用户设备支持的认证算法的信息为空；

所述用户设备根据所述用户认证请求消息确定认证算法，包括：所述用户设备根据所述用户认证请求消息将其支持的 Milenage算法设定为认证算法。 -sel l . 一种选择认证算法的方法，其特征在于，包括：

控制设备接收用户设备发送的所述用户设备支持的认证算法的信息；所述控制设备向服务设备发送认证数据请求消息，所述认证数据请求消息中携带所述用户设备支持的认证算法的信息；

12、如权利要求 11所述的方法，其特征在于，所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法，或者为空。

13、如权利要求 11或 12所述的方法，其特征在于，所述服务设备发送的认证算法的标识信息，包括：所述服务设备选定的 Tuak算法对应的标识信息，和 /或所述服务设备选定的 Milenage算法对应的标识信息，或者为空。

14、一种选择认证算法的服务设备，其特征在于，包括：

接收模块，用于接收控制设备发送的认证数据请求消息，所述认证数据请求消息中携带用户设备支持的认证算法的信息；

15、如权利要求 14所述的服务设备，其特征在于，所述接收模块接收的所述认证数据请求消息中携带的所述认证算法的标识信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述选择模块，具体用于：

16、如权利要求 15所述的服务设备，其特征在于，所述接收模块接收的所述认证数据请求消息中携带的用户设备支持的认证算法的信息为空；

所述选择模块，具体用于：

17、如权利要求 15所述的服务设备，其特征在于，所述处理模块确定的所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

18、如权利要求 15或 16所述的服务设备，其特征在于，所述处理模块确定的所述认证算法的标识信息具体为对所述用户设备认证的认证矢量；

当所述选择模块将所述 Milenage算法设定为所述选定的所述认证算法时，所述处理模块，具体用于：在预设的 AMF参数中选定对所述用户设备认证的认证算法的标志位，并将所述标志位设定为第二标识符，作为所述 Milenage算法的标识信息；

19、一种选择认证算法的用户设备，其特征在于，包括：

发送模块，用于向控制设备发送所述用户设备支持的认证算法的信息；接收模块，用于接收所述控制设备发送的用户认证请求消息；

20、如权利要求 19所述的用户设备，其特征在于，所述发送模块发送的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法；

所述处理模块，具体用于：

根据所述标识信息确定认证算法。

21、如权利要求 20所述的用户设备，其特征在于，所述接收模块接收到的所述用户认证请求消息中包含对所述用户设备认证的认证参数；

所述接收模块接收的所述对所述用户设备认证的所述认证参数中包含 AUTN参数，所述 AUTN参数中包含 AMF参数；

22、如权利要求 21所述的用户设备，其特征在于，所述处理模块，具体用于：

23、如权利要求 19所述的用户设备，其特征在于，所述发送模块发送的所述用户设备支持的认证算法的信息为空；

所述处理模块，具体用于：

根据所述用户认证请求消息将所述用户设备支持的 Milenage算法设定为认证算法。

24、一种选择认证算法的控制设备，其特征在于，包括：

接收模块，用于接收用户设备发送的所述用户设备支持的认证算法的信息；

所述发送模块，用于向所述用户设备发送用户认证请求消息，所述用户认证请求消息中携带所述认证算法的标识信息。

25、如权利要求 24所述的控制设备，其特征在于，所述接收模块接收的所述用户设备支持的认证算法的信息包括：所述用户设备支持的 Tuak算法，和 /或所述用户设备支持的 Milenage算法，或者为空。

26、如权利要求 24或 25所述的控制设备，其特征在于，所述接收模块接收的所述认证算法的标识信息，包括：所述服务设备选定的 Tuak算法对应的标识信息，和 /或所述服务设备选定的 Milenage算法对应的标识信息，或者为 27、一种选择认证算法的系统，其特征在于，包括：如权利要求 14-18所述的服务设备、如权利要求 19-23所述的用户设备、以及如权利要求 24-26所述的控制设备。