WO2015165250A1

WO2015165250A1 - 一种终端接入通信网络的方法、装置及通信系统

Info

Publication number: WO2015165250A1
Application number: PCT/CN2014/091004
Authority: WO
Inventors: 吴义壮; 许怡娴; 李欢; 于游洋
Original assignee: 华为技术有限公司
Priority date: 2014-04-30
Filing date: 2014-11-13
Publication date: 2015-11-05
Also published as: CN106465117B; EP3131325A4; CN106465117A; US20170078288A1; EP3131325A1

Abstract

本发明的实施例提供一种终端接入通信网络的方法、装置及通信系统，涉及通信领域，能够有效降低终端的恶意应用触发WLCP造成网络侧的资源浪费。接收第二设备发送的第一消息，第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，第二消息包括加密的认证参数，或者，第一消息包括第二消息，第二消息包括加密的认证参数，或者，第一消息包括第二消息和认证参数；向终端发送第二消息。本发明实施例提供的终端接入通信网络的方法、装置及通信系统用于终端接入通信网络。

Description

一种终端接入通信网络的方法、装置及通信系统

本申请要求于2014年04月30日提交中国专利局、申请号为PCT/CN2014/076661、发明名称为“一种终端接入通信网络的方法、装置及通信系统”的PCT专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域，尤其涉及一种终端接入通信网络的方法、装置及通信系统。

背景技术

EPC(Evolved Packet Core，演进分组核心)是第四代移动通信网LTE(Long Term Evolution，长期演进)的核心网，包括PGW(Packet Data Network Gateway，分组数据网网关)、AAA(Authentication Authorization Accounting server，认证授权计费服务器)和HSS(Home Subscriber Server，归属用户服务器)。PGW用于承载终端接入通信网络的建立过程中为用户设备分配IP地址，同时作为用户面移动的锚点。AAA用于管理访问LTE网的终端，提供认证授权和账户服务。HSS是用户数据库，用于存储用户相关信息，所述相关信息可以是对用户认证和授权以及提供用户位置IP地址等相关信息。

随着802.1X、802.11u和Hotspot2.0的部署，3GPP(the 3rd Generation Partnership Project，第三代合作伙伴计划)运营商允许UE(User Equipment，用户设备)通过TWAN(Trusted WLAN Access Network，可信WLAN接入网络)使用S2a接口接入EPC网络，所述WLAN为WLAN(Wireless Local Area Networks，无线局域网)，所述TWAN包括TWAG(Trusted WLAN access gateway，可信WLAN 接入网关)，在UE和TWAG之间定义了一个新的控制面协议WLCP(WLAN Control Protocol，WLAN控制协议)，用于提供控制面管理功能，WLCP可以有两种传输方式，UDP(User Datagram Protocol，用户数据报协议)/IP(Internet Protocol，互连网协议)传输，或以太网络帧(Ethernet frame)传输。目前标准上选定了UDP/IP作为WLCP的传输方式。

现有技术中，如果使用APP(Application，应用)去实现WLCP，终端可以预先安装WLCP APP(WLAN Control Protocol application，WLAN控制协议应用)，当终端通过TWAN接入EPC时，运行WLCP APP调用UDP(User Datagram Protocol，用户数据报协议)端口向TWAG发起建立或释放PDN连接流程。所述WLCP APP可以是运营商预先安装在终端上的，并且该WLCP APP获得运营商授权，且WLCP APP需要有和OS(Operating System，操作系统)的私有API(Application Programming Interface，应用程序编程接口)，或者终端定制私有API，以实现其它APP无法得到WLCP APP的参数信息。OS被攻破而私有API被调用的情况不在本发明讨论范围之内。

当终端有恶意应用时，恶意的应用可能会不停地调用WLCP使用的UDP端口向TWAG发起PDN建立连接请求消息来触发WLCP，这会造成网络侧的资源浪费，导致TWAG无法处理合法的WLCP APP发起的请求；或者恶意应用不停地发起连接释放请求消息，恶意断掉终端的PDN连接。

发明内容

本发明的实施例提供一种终端接入通信网络的方法、装置及通信系统，能够有效降低终端的恶意应用触发WLCP造成网络侧的资源浪费。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，提供一种终端接入通信网络的方法，应用于第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述方法包括：

接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

向所述终端发送所述第二消息。

结合第一方面，在第一种可实现方式中，在所述向所述终端发送所述第二消息之后，所述方法还包括：

接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

结合第一种可实现方式，在第二种可实现方式中，在所述接收所述终端发送的分组数据网连接请求消息之后，所述方法还包括：

验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

结合第一种可实现方式，在第三种可实现方式中，在所述接收所述终端发送的分组数据网连接请求消息之后，所述方法还包括：

检查所述分组数据网连接请求消息中是否包含所述认证参数；

若所述分组数据网连接请求消息中包含所述认证参数，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

结合第一方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，在所述接收第二设备发送的第一消息之后，所述方法还包括：

从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

存储与所述终端的标识对应的所述认证参数和所述终端的标识。

结合第一方面、第一种可实现方式至第三种可实现中任意一种，在第五种可实现方式中，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，在所述接收第二设备发送的第一消息之前，所述方法还包括：

生成与所述终端的标识对应的所述认证参数；

存储与所述终端的标识对应的所述认证参数和所述终端的标识；

向所述第二设备发送所述认证参数。

结合第一方面、第一种可实现方式至第三种可实现中任意一种，在第六种可实现方式中，当所述第一消息包括第二消息和认证参数时，在所述接收第二设备发送的第一消息之前，所述方法还包括：

接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。

结合第一方面、第一种可实现方式至第六种可实现中任意一种，在第七种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第一方面、第一种可实现方式至第七种可实现中任意一种，在第八种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第一方面、第一种可实现方式至第八种可实现中任意一种，在第九种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第一方面、第一种可实现方式至第九种可实现中任意一种，在第十种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第二方面，提供一种终端接入通信网络的方法，应用于终端，所述方法包括：

接收第一设备发送的第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成与所述终端的标识对应的认证参数。

结合第二方面，在第一种可实现方式中，在所述生成与所述终端的标识对应的用户数据报协议UDP端口号之后，所述方法还包括：

加密所述认证参数；

向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。

结合第一种可实现方式中，在第二种可实现方式中，在所述接收第一设备发送的第二消息之后，所述方法还包括：

向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

结合第二种可实现方式，在第三种可实现方式中，在所述向所述第一设备发送分组数据网连接请求消息之后，所述方法还包括：

接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

结合第二方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第二方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议- 认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第二方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第三方面，提供一种终端接入通信网络的方法，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述方法包括：

获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密所述认证参数；

完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。

结合第三方面，在第一种可实现方式中，所述获取认证参数包括：

生成与所述终端的标识对应的所述认证参数。

结合第三方面，在第二种可实现方式中，所述获取认证参数包括：

接收所述第一设备发送的所述认证参数；

或者，接收所述第一设备发送的第一消息，所述第一消息包括第三消息，所述第三消息包括加密的所述认证参数，并对所述加密的所述认证参数进行解密操作。

结合第三方面、第一种可实现方式至第二种可实现中任意一种，在第三种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第三方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第三方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第三方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第四方面，提供一种第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述第一设备包括：

第一接收单元，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

所述第一接收单元还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，所述第一接收单元还用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

第一发送单元，用于向所述终端发送所述第二消息。

结合第四方面，在第一种可实现方式中，所述第一设备还包括：

第二接收单元，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

结合第一种可实现方式，在第二种可实现方式中，所述第一设备还包括：

第一验证单元，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

第二发送单元，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

结合第一种可实现方式，在第三种可实现方式中，所述第一设备还包括：

检查单元，用于检查所述分组数据网连接请求消息中是否包含所述认证参数；

第二验证单元，用于若所述分组数据网连接请求消息中包含所述认证参数，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

第三发送单元，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

结合第四方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，所述第一设备还包括：

读取单元，用于从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

第一存储单元，用于存储与所述终端的标识对应的所述认证参数和所述终端的标识。

结合第四方面、第一种可实现方式至第三种可实现中任意一种，在第五种可实现方式中，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，所述第一设备还包括：

生成单元，用于生成与所述终端的标识对应的所述认证参数；

第二存储单元，用于存储与所述终端的标识对应的所述认证参数和所述终端的标识；

第四发送单元，用于向所述第二设备发送所述认证参数。

结合第四方面、第一种可实现方式至第三种可实现中任意一种，在第六种可实现方式中，当所述第一消息包括第二消息和认证参数时，所述第一设备还包括：

第三接收单元，用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

第五发送单元，用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。

结合第四方面、第一种可实现方式至第六种可实现中任意一种，在第七种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第四方面、第一种可实现方式至第七种可实现中任意一种，在第八种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第四方面、第一种可实现方式至第八种可实现中任意一种，在第九种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第四方面、第一种可实现方式至第九种可实现中任意一种，在第十种可实现方式中所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第五方面，提供一种终端，所述终端包括：

第一接收单元，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成单元，用于生成与所述终端的标识对应的认证参数。

结合第五方面，在第一种可实现方式中，所述终端还包括：

加密单元，用于加密所述认证参数；

发送单元，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。

结合第一种可实现方式中，在第二种可实现方式中，所述终端还包括：

所述发送单元还用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

结合第二种可实现方式，在第三种可实现方式中，所述终端还包括：

第二接收单元，用于接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

结合第五方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第五方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第五方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议- 认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第六方面，提供一种第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

获取单元，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密单元，用于加密所述认证参数；

完整性保护单元，用于完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

所述完整性保护单元还用于或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

发送单元，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。

结合第六方面，在第一种可实现方式中，所述获取单元具体用于：

生成与所述终端的标识对应的所述认证参数。

结合第六方面，在第二种可实现方式中，所述获取单元具体用于：

接收所述第一设备发送的所述认证参数；

结合第六方面、第一种可实现方式至第二种可实现中任意一种，在第三种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第六方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第六方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第六方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第七方面，提供一种通信系统，包括：

如以上任意所述的第一设备、如以上任意所述的终端和如以上任意所述的第二设备，其中，

所述第二设备，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密所述认证参数；

向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数；

所述第一设备，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

向所述终端发送所述第二消息；

所述终端，用于接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成与所述终端的标识对应的认证参数。

第八方面，提供一种第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述第一设备包括：

接收机，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

所述接收机还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，所述接收机还用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

发射机，用于向所述终端发送所述第二消息。

结合第八方面，在第一种可实现方式中，所述第一设备还包括：

所述接收机还用于：

处理器，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

所述发射机还用于：

结合第一种可实现方式，在第三种可实现方式中，

所述处理器还用于：

所述发射机还用于：

结合第八方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，

所述处理器还用于：从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

所述处理器还用于：存储与所述终端的标识对应的所述认证参数和所述终端的标识。

结合第八方面、第一种可实现方式至第三种可实现中任意一种，在第五种可实现方式中，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，

所述处理器还用于：生成与所述终端的标识对应的所述认证参数；

所述处理器还用于：存储与所述终端的标识对应的所述认证参数和所述终端的标识；

所述发射机还用于：向所述第二设备发送所述认证参数。

结合第八方面、第一种可实现方式至第三种可实现中任意一种，在第六种可实现方式中，当所述第一消息包括第二消息和认证参数时，

所述接收机还用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

所述发射机还用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。

结合第八方面、第一种可实现方式至第六种可实现中任意一种，在第七种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第八方面、第一种可实现方式至第七种可实现中任意一种，在第八种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第八方面、第一种可实现方式至第八种可实现中任意一种，在第九种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第八方面、第一种可实现方式至第九种可实现中任意一种，在第十种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第九方面，提供一种终端，所述终端包括：

接收机，用于接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，处理器，用于生成与所述终端的标识对应的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

结合第九方面，在第一种可实现方式中，

所述处理器还用于加密所述认证参数；

所述终端还包括：

发射机，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。

发射机，用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

结合第二种可实现方式，在第三种可实现方式中，

所述接收机还用于：

结合第九方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第九方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第九方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第十方面，提供一种第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

处理器，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

所述处理器还用于：加密所述认证参数；

所述处理器还用于：完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

所述处理器还用于：或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

发射机，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。

结合第十方面，在第一种可实现方式中，所述处理器具体用于：

生成与所述终端的标识对应的所述认证参数。

结合第十方面，在第二种可实现方式中，所述处理器具体用于：

接收所述第一设备发送的所述认证参数；

结合第四方面、第一种可实现方式至第二种可实现中任意一种，在第三种可实现方式中，所述认证参数用于验证或标识合法的无线局域网控制协议应用。

结合第十方面、第一种可实现方式至第三种可实现中任意一种，在第四种可实现方式中，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。

结合第十方面、第一种可实现方式至第四种可实现中任意一种，在第五种可实现方式中，所述第一消息为DIAMETER协议所承载的消息。

结合第十方面、第一种可实现方式至第五种可实现中任意一种，在第六种可实现方式中，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

第十一方面，提供一种通信系统，包括：

加密所述认证参数；

向所述终端发送所述第二消息；

或者，生成与所述终端的标识对应的认证参数。

本发明的实施例提供一种终端接入通信网络的方法、装置及通信系统。通过第一设备接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，或者，所述第一消息包括第二消息，其中，所述第二消息包括加密的所述认证参数；或者，所述第一消息包括所述第二消息和认证参数；再向终端发送所述第二消息。相对于现有技术，终端向第一设备发送携带认证参数的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供一种终端接入通信网络的方法流程图1；

图1a为本发明实施例提供一种终端接入通信网络的方法流程图2；

图1b为本发明实施例提供一种终端接入通信网络的方法流程图3；

图2为本发明实施例提供一种终端接入通信网络的方法流程图4；

图2a为本发明实施例提供一种终端接入通信网络的方法流程图5；

图2b为本发明实施例提供一种终端接入通信网络的方法流程图6；

图3为本发明实施例提供一种终端接入通信网络的方法流程图7；

图3a为本发明实施例提供一种终端接入通信网络的方法流程图8；

图3b为本发明实施例提供一种终端接入通信网络的方法流程图9；

图3c为本发明实施例提供一种终端接入通信网络的方法流程图10；

图4为本发明实施例提供一种终端接入通信网络的方法流程图11；

图4a为本发明实施例提供一种终端接入通信网络的方法流程图12；

图5为本发明实施例提供一种终端接入通信网络的方法流程图13；

图5a为本发明实施例提供一种终端接入通信网络的方法流程图14；

图6为本发明实施例提供一种第一设备结构示意图1；

图7为本发明实施例提供一种第一设备结构示意图2；

图8为本发明实施例提供一种第一设备结构示意图3；

图9为本发明实施例提供一种第一设备结构示意图4；

图10为本发明实施例提供一种第一设备结构示意图5；

图11为本发明实施例提供一种终端结构示意图1；

图12为本发明实施例提供一种终端结构示意图2；

图13为本发明实施例提供一种第二设备结构示意图1；

图14为本发明实施例提供一种通信系统示意图1；

图15为本发明实施例提供一种第一设备结构示意图6；

图16为本发明实施例提供一种第一设备结构示意图7；

图17为本发明实施例提供一种终端结构示意图3；

图18为本发明实施例提供一种终端结构示意图4；

图19为本发明实施例提供一种第二设备结构示意图2；

图20为本发明实施例提供一种通信系统示意图2；

图21为本发明实施例提供一种终端接入通信网络的方法流程图15；

图21a为本发明实施例提供一种终端接入通信网络的方法流程图16；

图22为本发明实施例提供一种第一设备结构示意图8；

图23为本发明实施例提供一种第一设备结构示意图9；

图24为本发明实施例提供一种第一设备结构示意图10；

图25为本发明实施例提供一种第一设备结构示意图11；

图26为本发明实施例提供一种第一设备结构示意图12；

图27为本发明实施例提供一种第一设备结构示意图13；

图28为本发明实施例提供一种终端结构示意图5；

图29为本发明实施例提供一种终端结构示意图6；

图30为本发明实施例提供一种第二设备结构示意图3；

图31为本发明实施例提供一种第二设备结构示意图4；

图32为本发明实施例提供一种第一设备结构示意图14；

图33为本发明实施例提供一种终端结构示意图7；

图34为本发明实施例提供一种终端结构示意图8；

图35为本发明实施例提供一种第二设备结构示意图5；

图36为本发明实施例提供一种第二设备结构示意图6；

图37为本发明实施例提供一种通信系统示意图3。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明所述的第一设备为可信无线局域网接入网关TWAG，所述第一设备还可以包括TWAG和可信无线局域网认证授权计费服务代理TWAP。

本发明实施例提供一种终端接入通信网络的方法，应用于第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图1所示，所述方法包括：

步骤101a、接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌。

可选的，在接收第二设备发送的第一消息之后，可以从所述第一消息中读取与所述终端的标识对应的所述令牌和所述终端的标识，存储与所述终端的标识对应的所述令牌和所述终端的标识。

可选的，在接收第二设备发送的第一消息之前，可以生成与所述终端的标识对应的所述令牌，然后，存储与所述终端的标识对应的所述令牌和所述终端的标识，再向所述第二设备发送所述令牌。还可以向所述第二设备发送DIAMETER-EAP-REQ-Command(DIAMETER-Extensible Authentication Protocol-Request -Command，DIAMETER-扩展认证协议-请求-命令)消息或AAA(Authentication Authorization Accounting，认证授权计费)消息，所述认证授权计费消息包括EAP-RSP(Extensible Authentication Protocol-Response，扩展认证协议-响应)消息或扩展认证协议-身份消息(EAP-Identity)，所述DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

步骤101b、或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

步骤102、向所述终端发送所述第二消息。

在向所述终端发送所述第二消息之后，可以接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息，然后，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同；若所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌与本地存储的与所述终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息，以便于所述终端与所述第一设备建立连接，接入分组数据网，或者所述终端与所述第一设备释放连接。需要说明的是，在验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同之前，还可以检查所述分组数据网连接请求消息中是否包含所述令牌。

这样一来，首先接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌，或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌，然后，向所述终端发送所述第二消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图1a所示，所述方法包括：

步骤103a、接收第二设备发送的第一消息，所述第一消息包括第二消息和用户数据报协议UDP端口号，所述第二消息包括加密的所述UDP端口号。

步骤103b、或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号。

步骤104、向所述终端发送所述第二消息。

这样一来，第一设备接收第二设备发送的第一消息，所述第一消息包括第二消息和UDP端口号，所述第二消息包括加密的所述UDP端口号，然后，向终端发送所述第二消息，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图1b所示，所述方法包括：

步骤105、接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

步骤106、向所述终端发送所述第二消息。

这样一来，第一设备接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数由终端生成，以便于终端的WLCP应用获取UDP端口号或令牌，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于终端，如图2所示，所述方法包括：

步骤201、接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌。

在接收第一设备发送的第二消息之后，可以向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息，然后，接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息，与所述第一设备建立连接，接入分组数据网，或者与所述第一设备释放连接。

这样一来，接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于终端，如图2a所示，所述方法包括：

步骤202、接收第一设备发送的第二消息，所述第二消息包括加密的用户数据报协议UDP端口号。

这样一来，终端可以从接收到的第一设备发送的第二消息中获取UDP端口号，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于终端，如图2b所示，所述方法包括：

步骤203、生成与所述终端的标识对应的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

这样一来，终端可以生成与所述终端的标识对应的UDP端口号或者令牌，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，如图3所示，所述方法包括：

步骤301、获取令牌。

可以先根据所述终端的标识生成所述令牌，然后，从本地获取所述令牌；或者，接收所述第一设备发送的令牌，可以接收所述第一设备发送的DIAMETER-扩展认证协议-请求-命令消息DIAMETER-EAP-REQ-Command或认证授权计费消息AAA中获取所述令牌，所述认证授权计费消息包括扩展认证协议-响应消息EAP-RSP或扩展认证协议-身份消息EAP-Identity，所述DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

步骤302、加密所述令牌。

步骤303a、完整性保护第一消息，所述第一消息包括第二消息和所述令牌，所述第二消息包括加密的所述令牌。

步骤303b、或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

步骤304、向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

这样一来，首先获取令牌，然后，加密所述令牌，完整性保护第一消息，所述第一消息包括第二消息和所述令牌，所述第二消息包括加密的所述令牌，或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌，再向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，如图3a所示，所述方法包括：

步骤305、获取用户数据报协议UDP端口号。

步骤306、加密所述UDP端口号。

步骤307a、完整性保护第一消息，所述第一消息包括第二消息和所述UDP端口号，所述第二消息包括加密的所述UDP端口号。

步骤307b、或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号。

步骤308、向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

这样一来，第一设备将获取到的UDP端口号进行加密，并完整性保护第一消息，向第一设备发送所述第一消息，以便于第一设备将携带有UDP端口号的第二消息发送至终端，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，如图3b所示，所述方法包括：

步骤309、获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

步骤3010、加密所述认证参数。

步骤3011a、完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数。

步骤3011b、完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数。

步骤3012、向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

这样一来，第一设备将获取到的UDP端口号进行加密，并完整性保护第二消息，生成第一消息，向第一设备发送所述第一消息，以便于第一设备将携带有UDP端口号的第二消息发送至终端，以便于终端的WLCP应用获取认证参数，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，如图3c所示，所述方法包括：

步骤3013、获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

步骤3014、加密所述认证参数。

步骤3015、完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数。

步骤3016、向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

这样一来，第二设备获取认证参数，并对认证参数加密，生成第一消息，向第一设备发送所述第一消息，以便于终端的WLCP应用获取UDP端口号或令牌，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种终端接入通信网络的方法，应用于终端、第一设备和第二设备，假设第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，假设第二设备为认证授权计费服务器(AAA)或归属用户服务器(HSS)，如图4所示，包括：

步骤401、第一设备生成与终端的标识对应的令牌。

首先，终端进行正常的入网附着，该终端与第二设备之间进行EAP(Extensible Authentication Protocol，扩展认证协议)消息交互，使得第一设备可以从第二设备获取终端的标识，然后，第一设备可以生成与终端的标识对应的令牌(Token)，所述令牌用于验证或标识所述终端的无线局域网控制协议应用(WLCP APP)。

特别的，每当终端需要接入通信网络时，第一设备可以从第二设备获取终端的标识，重新生成与终端的标识对应的令牌，更新该终端的令牌，每次生成的令牌可以不同，所述通信网络可以是第三代移动通信蜂窝网络或第四代移动通信蜂窝网络。

需要说明的是，终端的标识可以是IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)、MAC(Media Access Control，媒体介入控制层)地址或IP(Internet Protocol，互连网协议)地址。令牌可以由运营商定义生成，且需要保证生成的令牌的唯一性，具体生成令牌的方式为现有技术，本发明实施例在此不再赘述。

步骤402、第一设备存储与终端的标识对应的所述令牌和所述终端的标识。

步骤403、第一设备向第二设备发送令牌。

第一设备向第二设备发送DIAMETER-扩展认证协议-请求-命令消息，DIAMETER-扩展认证协议-请求-命令消息承载扩展认证协议载荷(EAP-payload)，扩展认证协议载荷包括第一设备根据所述终端的标识生成的令牌。

第一设备还可以向第二设备发送认证授权计费消息，所述认证授权计费消息包括扩展认证协议-响应消息(EAP-RSP)或扩展认证协议-身份消息(EAP-Identity)，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

步骤404、第二设备加密令牌，并完整性保护第一消息。

第二设备接收到第一设备发送的令牌。第二设备还可以接收到第一设备发送的DIAMETER-扩展认证协议-请求-命令消息或认证授权计费消息，所述DIAMETER-扩展认证协议-请求-命令消息包括第一设备根据所述终端标识生成的令牌，所述认证授权计费消息包括扩展认证协议-响应消息(EAP-RSP)或扩展认证协议-身份消息(EAP-Identity)，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。所述令牌用于验证或标识所述终端的无线局域网控制协议应用，首先，解析所述扩展认证协议消息，得到令牌，然后，第二设备可以生成密钥，对该令牌加密，以防止其他非法用户监听看到所述令牌，所述密钥可以是TEK(Transient EAP Keys，临时EAP密钥)。

需要说明的是，第二设备可以通过使用AES(advanced Encryption standard，高级加密标准)和一个128bit的密钥在CBC(Cipher Block Chaining，加密块链接)模式下对token进行加密。

第二设备对所述令牌进行加密之后，生成第二消息，所述第二消息包括加密的所述令牌，将该第二消息封装，生成第一消息，且对该第一消息进行完整性保护，以防止其他非法用户监听修改所述第一消息，所述第一消息包括第二消息。

需说明的是，第二设备可以根据MAC(message authentication code，消息认证码)算法HMAC-SHA1-128和认证密钥以及第一消息生成消息认证码。所述第二消息为EAP-AKA’-Notification(Extensible Authentication Protocol-Authentication and Key Agreement’-Notification，扩展认证协议-认证和密钥协商’-通知)消息、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、EAP-REQ(Extensible Authentication Protocol-Request，扩展认证协议-请求)消息中任意一个。特别的，所述第二消息还可以为扩展认证协议载荷(EAP-payload)的其他消息。

步骤405、第二设备向第一设备发送第一消息。

需要说明的是，第二设备与第一设备之间通过DIAMETER协议进行消息交互，所述第一消息为DIAMETER协议所承载的消息。该第一消息可以为DIAMETER-扩展认证协议-响应-命令消息(DIAMETER-EAP-Answer-Command)和认证授权计费消息(AAA)中任意一个，所述DIAMETER-扩展认证协议-响应-命令消息承载扩展认证协议载荷(EAP-payload)，该扩展认证协议载荷(EAP-payload)可以为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个，所述认证授权计费消息包括扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

步骤406、第一设备向终端发送第二消息。

第一设备接收到第二设备发送的第一消息，首先，解析所述第一消息，得到第二消息，然后，向终端发送所述第二消息。

所述第一消息包括第二消息，所述第二消息包括加密的所述令牌。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

步骤407、终端将令牌传输至该终端的应用管理器的消息队列。

终端接收到第一设备发送的第二消息，首先，解析该第二消息得到加密的所述令牌，所述第二消息包括加密的所述令牌，解密该令牌，得到该令牌，然后，将所述令牌传输至该终端的应用管理器的消息队列，使得所述无线局域网控制协议应用通过与该终端的操作系统的API(Application Programming Interface，应用程序编程接口)从消息队列调用所述令牌。这样一来，由于终端中的其他恶意应用无法使用该终端中无线局域网控制协议应用和操作系统的私有API，因此其他恶意应用无法通过调用所述令牌，当其他恶意应用调用WLCP APP使用的UDP端口向第一设备发送分组数据网连接释放请求消息来触发WLCP时，第一设备判断所述分组数据网连接释放请求消息中没有包含所述令牌，则第一设备认为该分组数据网连接释放请求消息为非法分组数据网连接释放请求消息，丢弃所述分组数据网连接释放请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费，以及恶意的应用恶意断开PDN连接的意图。

所述令牌用于验证或标识终端的无线局域网控制协议应用。所述第二消息包括加密的所述令牌。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

步骤408、终端向第一设备发送分组数据网连接请求消息。

分组数据网连接请求(PDN Connection Request)消息包括所述令牌和所述终端的标识。所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

步骤409、第一设备检查所述分组数据网连接请求消息中是否包含所述令牌。

第一设备接收到所述终端发送的分组数据网连接请求消息之后，解析该分组数据网连接请求消息，检查所述分组数据网连接建立消息中是否包含所述令牌。

若所述分组数据网连接请求消息中包含所述令牌，执行步骤4010。

若所述分组数据网连接请求消息中没有包含所述令牌，则第一设备认为该分组数据网连接请求消息为非法分组数据网连接请求消息，第一设备丢弃或不处理所述分组数据网连接请求消息。

步骤4010、第一设备验证分组数据网连接请求消息中与终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同。

首先，第一设备根据所述分组数据网连接请求消息中的所述终端的标识从本地获取与该终端的标识相同的终端标识，然后，根据本地获取的所述终端的标识获取该终端的标识对应的令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同，若所述分组数据网连接请求消息中与所述终端的标识对应的令牌与本地存储的与终端的标识对应的令牌相同，则第一设备认为所述分组数据网连接请求消息为合法的分组数据网连接请求消息，执行步骤4011。

步骤4011、第一设备向所述终端发送分组数据网连接响应消息。

第一设备向所述终端发送分组数据网连接建立响应消息，使得终端接收所述第一设备发送的分组数据网连接建立响应消息，与所述第一设备建立连接，接入分组数据网。所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

需要说明的是，本发明实施例提供的终端接入通信网络的方法步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减，示例的，如在步骤408之后可以不执行409直接执行步骤 4010，即在终端向第一设备发送分组数据网连接请求消息之后，第一设备验证分组数据网连接请求消息中与终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

特别的，本发明实施例所述的第二设备完整性保护第一消息，也对第一消息中的第二消息进行了完整性保护，或者第二设备也可以分别对第一消息和第二消息均进行完整性保护。

本发明实施例所述的终端接入通信网络的方法，首先，第一设备生成与终端的标识对应的令牌，存储与所述终端的标识对应的所述令牌和所述终端的标识，向第二设备发送扩展认证协议消息，所述扩展认证协议消息包括所述令牌，然后，第二设备获取所述令牌，对该令牌加密，生成第一消息，完整性保护该第一消息，所述第一消息包括第二消息，所述第二消息包括加密的所述令牌，向第一设备发送所述第一消息，第一设备接收到第一消息后，向所述终端发送第二消息，终端接收到第二消息后，将令牌传输至该终端的应用管理器的消息队列，无线局域网控制协议应用调用所述令牌，该终端向第一设备发送分组数据网连接请求消息，第一设备检查所述分组数据网连接请求消息中包含所述令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌与本地存储的与所述终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，相对于现有技术，终端向第一设备发送携带令牌的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

需要说明的是，第一设备还可以生成与终端的标识对应的用户数据报协议(UDP)端口号，以便于终端向第一设备发送携带UDP端口号的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，来降低终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例所述的终端接入通信网络的方法，如图4a所示，包括：

步骤4012、第一设备生成与终端的标识对应的用户数据报协议UDP端口号。

步骤4013、第一设备存储与终端的标识对应的UDP端口号和所述终端的标识。

步骤4014、第一设备向第二设备发送UDP端口号。

步骤4015、加密UDP端口号，并完整性保护该第二消息。

步骤4016、第二设备向第一设备发送所述第一消息。

步骤4017、第一设备向终端发送第二消息。

步骤4018、将UDP端口号传输至该终端的应用管理器的消息队列。

步骤4019、终端向第一设备发送分组数据网连接请求消息。

步骤4020、第一设备验证分组数据网连接请求消息中与终端的标识对应的UDP端口号与本地存储的与终端的标识对应的UDP端口号相同。

步骤4021、第一设备向终端发送分组数据网连接响应消息。

这样一来，终端向第一设备发送携带UDP端口号的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。其中，步骤中详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例的步骤中所述的令牌可以换为UDP端口号。

本发明实施例提供一种终端接入通信网络的方法，应用于终端、第一设备和第二设备，假设所述第一设备为可信无线局域网接入网关TWAG，所述第二设备为认证授权计费服务器(AAA)或归属用户服务器(HSS)，如图5所示，包括：

步骤501、第二设备生成与终端的标识对应的令牌。

首先，终端进行正常的入网附着，该终端与第二设备之间进行EAP(Extensible Authentication Protocol，扩展认证协议)消息交互，使得第二设备获取终端的标识，然后，第二设备可以生成与终端的标识对应的令牌(Token)，所述令牌用于验证或标识所述终端的无线局域网控制协议应用(WLCP APP)。

特别的，每当终端需要接入通信网络时，第二设备可以获取终端的标识，重新可以生成与终端的标识对应的令牌，更新该终端的令牌，每次生成的令牌可以不同，所述通信网络可以是第三代移动通信蜂窝网络或第四代移动通信蜂窝网络。

需要说明的是，终端的标识可以是IMSI、MAC地址或IP地址。令牌可以由运营商定义生成，且需要保证生成的令牌的唯一性，具体生成令牌的方式为现有技术，本发明实施例在此不再赘述。

步骤502、第二设备加密令牌，并完整性保护第一消息。

第二设备可以生成密钥，对该令牌加密，以防止其他非法用户监听看到所述令牌，所述密钥可以是TEK(Transient EAP Keys，临时EAP密钥)。

第二设备对所述令牌进行加密之后，生成第二消息，所述第二消息包括加密的所述令牌，将该第二消息和所述令牌封装，生成第一消息，且对该第一消息进行完整性保护，以防止其他非法用户监听修改所述第一消息，所述第一消息包括第二消息、终端的标识以及与所述终端的标识对应的令牌，所述终端的标识对应的令牌可以用于第一设备获取。

需说明的是，第二设备可以根据MAC(message authentication code，消息认证码)算法HMAC-SHA1-128和认证密钥以及第一消息生成消息认证码。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。特别的，所述第二消息还可以为扩展认证协议载荷(EAP-payload)的其他消息。

步骤503、第二设备向第一设备发送第一消息。

步骤504、第一设备存储与终端的标识对应的所述令牌和所述终端的标识。

第一设备接收到第二设备发送的第一消息，首先，解析所述第一消息，得到令牌，然后第一设备存储与所述终端的标识对应的所述令牌和所述终端的标识。所述令牌用于验证或标识所述终端的无线局域网控制协议应用。

步骤505、第一设备向终端发送第二消息。

第一设备接收到第二设备发送的第一消息，首先，解析所述第一消息，得到第二消息，然后，向终端发送第二消息。所述第一消息包括第二消息，所述第二消息包括加密的所述令牌。

所述第二消息为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

步骤506、终端将令牌传输至该终端的应用管理器的消息队列。

终端接收到第一设备发送的第二消息，首先，解析该第二消息，得到加密的所述令牌，所述第二消息包括加密的所述令牌，解密该令牌，得到该令牌，然后，将所述令牌传输至该终端的应用管理器的消息队列，使得所述无线局域网控制协议应用通过与该终端的操作系统的API(Application Programming Interface，应用程序编程接口)从消息队列调用所述令牌。这样一来，由于终端中的其他恶意应用无法使用该终端中无线局域网控制协议应用和操作系统的私有API，因此其他恶意应用无法通过调用所述令牌，当其他恶意应用调用WLCP APP使用的UDP端口向第一设备发送分组数据网连接释放请求消息来触发WLCP时，第一设备判断所述分组数据网连接释放请求消息中没有包含所述令牌，则第一设备认为该分组数据网连接释放请求消息为非法分组数据网连接释放请求消息，丢弃所述分组数据网连接释放请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费，以及恶意的应用恶意断开PDN连接的意图。

步骤507、终端向第一设备发送分组数据网连接请求消息。

步骤508、第一设备检查所述分组数据网连接请求消息中是否包含所述令牌。

第一设备接收到所述终端发送的分组数据网连接请求消息之后，解析该分组数据网连接请求消息，检查所述分组数据网连接请求消息中是否包含所述令牌。

若所述分组数据网连接请求消息中包含所述令牌，执行步骤509。

步骤509、第一设备验证分组数据网连接请求消息中与终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同。

首先，第一设备根据所述分组数据网连接请求消息中的所述终端的标识从本地获取与该终端的标识相同的终端标识，然后，根据本地获取的所述终端的标识获取该终端的标识对应的令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同，若所述分组数据网连接请求消息中与所述终端的标识对应的令牌与本地存储的与终端的标识对应的令牌相同，则第一设备认为所述分组数据网连接请求消息为合法的分组数据网连接请求消息，执行步骤5010。

步骤5010、第一设备向所述终端发送分组数据网连接响应消息。

第一设备向所述终端发送分组数据网连接响应消息，使得终端接收所述第一设备发送的分组数据网连接响应消息，通过所述第一设备与所述第二设备建立连接，接入分组数据网。所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

需要说明的是，本发明实施例提供的终端接入通信网络的方法步骤的先后顺序可以进行适当调整，步骤也可以根据情况进行相应增减，示例的，如在步骤507之后可以不执行508直接执行步骤509，即在终端向第一设备发送分组数据网连接释放请求消息之后，第一设备验证分组数据网连接释放请求消息中与终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化的方法，都应涵盖在本发明的保护范围之内，因此不再赘述。

本发明实施例所述的终端接入通信网络的方法，首先，第二设备生成与终端的标识对应的令牌，对该令牌加密，生成第二消息，所述第二消息包括加密的所述令牌，生成第一消息，且对该第一消息进行完整性保护，所述第一消息包括第二消息、终端的标识以及与所述终端的标识对应的令牌，向第一设备发送第一消息，第一设备存储与所述终端的标识对应的所述令牌和所述终端的标识，向所述终端发送第二消息，终端接收到第二消息后，将令牌传输至该终端的应用管理器的消息队列，无线局域网控制协议应用调用所述令牌，该终端向第一设备发送分组数据网连接请求消息，第一设备检查所述分组数据网连接请求消息中包含所述令牌，验证分组数据网连接消息中与所述终端的标识对应的所述令牌是否与本地存储的与终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，相对于现有技术，终端向第一设备发送携带令牌的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

需要说明的是，第二设备还可以生成与终端的标识对应的用户数据报协议(UDP)端口号，以便于终端向第一设备发送携带UDP端口号的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，来降低终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例所述的终端接入通信网络的方法，如图5a所示，包括：

步骤5011、第二设备生成与终端的标识对应的UDP端口号。

步骤5012、第二设备加密UDP端口号，并完整性保护第二消息。

步骤5013、第二设备向第一设备发送第一消息。

步骤5014、第一设备存储与终端的标识对应的UDP端口号和所述终端的标识。

步骤5015、第一设备向终端发送第二消息。

步骤5016、终端将UDP端口号传输至该终端的应用管理器的消息队列。

步骤5017、终端向第一设备发送分组数据网连接请求消息。

步骤5018、第一设备验证分组数据网连接消息中与终端的标识对应的UDP端口号与本地存储的与终端的标识对应的UDP端口号相同。

步骤5019、第一设备向终端发送分组数据网连接响应消息。

这样一来，终端向第一设备发送携带UDP端口号的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。其中，步骤中详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例的步骤中所述的令牌可以换为UDP端口号。

本发明实施例提供一种终端接入通信网络的方法，应用于终端、第一设备和第二设备，假设所述第一设备为可信无线局域网接入网关TWAG，所述第二设备为认证授权计费服务器(AAA)或归属用户服务器(HSS)，如图21所示，包括：

步骤1401、终端生成与所述终端的标识对应的用户数据报协议UDP端口号。

首先，终端进行正常的入网附着，认证成功后，可以生成与终端的标识对应的UDP端口号，所述UDP端口号用于验证或标识所述终端的无线局域网控制协议应用(WLCP APP)。

特别的，每当终端需要接入通信网络时，终端重新可以生成与终端的标识对应的UDP端口号，更新该终端的UDP端口号，每次生成的UDP端口号可以不同，所述通信网络可以是第三代移动通信蜂窝网络或第四代移动通信蜂窝网络。

需要说明的是，终端的标识可以是IMSI、MAC地址或IP地址。UDP端口号可以由运营商定义生成，且需要保证生成的UDP端口号的唯一性，具体生成UDP端口号的方式为现有技术，本发明实施例在此不再赘述。

步骤1402、终端加密UDP端口号，并完整性保护第三消息。

终端可以生成密钥，对该UDP端口号加密，以防止其他非法用户监听看到所述UDP端口号，所述密钥可以是TEK(Transient EAP Keys，临时EAP密钥)。

需要说明的是，终端可以通过使用AES(advanced Encryption standard，高级加密标准)和一个128bit的密钥在CBC(Cipher Block Chaining，加密块链接)模式下对UDP端口号进行加密。

所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。

终端对所述UDP端口号进行加密之后，生成第三消息，所述第三消息包括加密的所述UDP端口号，且对该第三消息进行完整性保护，以防止其他非法用户监听修改所述第三消息。

步骤1403、终端向第一设备发送第三消息。

步骤1404、第一设备向第二设备发送第一消息。

第一设备接收到终端发送的第三消息后，生成第一消息，所述第一消息包括所述第三消息。所述第一消息为DIAMETER协议所承载的消息。

步骤1405、第二设备对加密的所述UDP端口号进行解密。

第二设备接收到第一设备发送的第一消息，所述第一消息包括第三消息，所述第三消息包括加密的所述UDP端口号，首先，解析所述第一消息，得到经过完整性保护的第三消息，对第三消息进行解密，获取到加密的所述UDP端口号，再对加密的所述UDP端口号进行解密，获取到所述UDP端口号。

步骤1406、第二设备完整性保护第四消息，并生成第一消息。

第四消息可以是扩展认证协议-成功(EAP-success)消息，所述第一消息为DIAMETER协议所承载的消息。第二设备完整性保护第四消息，以防止其他非法用户监听修改所述第四消息。

步骤1407、第二设备向第一设备发送第一消息。

所述第一消息包括所述UDP端口号。

步骤1408、第一设备存储与终端的标识对应的所述UDP端口号和所述终端的标识。

第一设备接收到第二设备发送的第一消息，首先，解析所述第一消息，得到UDP端口号，然后第一设备存储与所述终端的标识对应的所述UDP端口号和所述终端的标识。所述UDP端口号用于验证或标识所述终端的无线局域网控制协议应用。

步骤1409、第一设备向终端发送第四消息。

第一设备接收到第二设备发送的第一消息，首先，解析所述第一消息，得到经过完整性保护的第四消息，然后，向终端发送第四消息。第四消息可以是扩展认证协议-成功(EAP-success)消息。

步骤14010、终端将UDP端口号传输至该终端的应用管理器的消息队列。

终端将所述UDP端口号传输至该终端的应用管理器的消息队列，使得所述无线局域网控制协议应用通过与该终端的操作系统的API(Application Programming Interface，应用程序编程接口)从消息队列调用所述UDP端口号。这样一来，由于终端中的其他恶意应用无法使用该终端中无线局域网控制协议应用和操作系统的私有API，因此其他恶意应用无法通过调用所述UDP端口号，当其他恶意应用调用WLCP APP使用的UDP端口向第一设备发送分组数据网连接释放请求消息来触发WLCP时，第一设备判断所述分组数据网连接释放请求消息中没有包含所述UDP端口号，则第一设备认为该分组数据网连接释放请求消息为非法分组数据网连接释放请求消息，丢弃所述分组数据网连接释放请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费，以及恶意的应用恶意断开PDN连接的意图。

所述UDP端口号用于验证或标识终端的无线局域网控制协议应用。所述第二消息包括加密的所述UDP端口号。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

步骤14011、终端向第一设备发送分组数据网连接请求消息。

分组数据网连接请求(PDN Connection Request)消息包括所述UDP端口号和所述终端的标识。所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。所述UDP端口号在分组数据网连接请求消息的报文头中，将该UDP端口号作为分组数据网连接请求消息的源端口号。

步骤14012、第一设备验证分组数据网连接请求消息中与终端的标识对应的UDP端口号是否与本地存储的与终端的标识对应的UDP端口号相同。

首先，第一设备根据所述分组数据网连接请求消息中的所述终端的标识从本地获取与该终端的标识相同的终端标识，然后，根据本地获取的所述终端的标识获取该终端的标识对应的UDP端口号，验证所述分组数据网连接请求消息中与所述终端的标识对应的UDP端口号是否与本地存储的与终端的标识对应的UDP端口号相同，若所述分组数据网连接请求消息中与所述终端的标识对应的UDP端口号与本地存储的与终端的标识对应的UDP端口号相同，则第一设备认为所述分组数据网连接请求消息为合法的分组数据网连接请求消息，执行步骤14013。

步骤14013、第一设备向所述终端发送分组数据网连接响应消息。

本发明实施例所述的终端接入通信网络的方法，首先，终端生成与终端的标识对应的UDP端口号，对该UDP端口号加密，生成第三消息，对该第三消息进行完整性保护，所述第三消息包括加密的所述UDP端口号，向第一设备发送第三消息，第一设备根据第三消息生成第一消息，向第二设备发送第一消息，第二设备对加密的所述UDP端口号进行解密，完整性保护第四消息，并生成第一消息，向第一设备发送所述第一消息，所述第一消息包括所述第四消息和所述UDP端口号，第一设备存储与终端的标识对应的所述UDP 端口号和所述终端的标识，第一设备向终端发送第四消息，终端将UDP端口号传输至该终端的应用管理器的消息队列，无线局域网控制协议应用调用所述UDP端口号，该终端向第一设备发送分组数据网连接请求消息，第一设备验证分组数据网连接消息中与所述终端的标识对应的所述UDP端口号是否与本地存储的与终端的标识对应的UDP端口号相同，向所述终端发送分组数据网连接响应消息，相对于现有技术，终端向第一设备发送携带UDP端口号的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

需要说明的是，终端还可以生成与该终端的标识对应的令牌，以便于终端向第一设备发送携带令牌的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，来降低终端的恶意应用触发WLCP造成网络侧的资源浪费。其中，具体步骤如本发明实施例所述的步骤，在此不再赘述，不同点在于本发明实施例的步骤中所述的UDP端口号可以换为令牌。

本发明实施例所述的终端接入通信网络的方法，如图21a所示，包括：

步骤14014、终端生成与终端的标识对应的令牌。

步骤14015、终端加密令牌，并完整性保护第三消息。

步骤14016、终端向第一设备发送第三消息。

步骤14017、第一设备向第二设备发送第一消息。

步骤14018、第二设备对加密的所述令牌进行解密。

步骤14019、第二设备完整性保护第四消息，并生成第一消息。

步骤14020、第二设备向第一设备发送第一消息。

步骤14021、第一设备存储与终端的标识对应的所述令牌和所述终端的标识。

步骤14022、第一设备向终端发送第四消息。

步骤14023、终端将令牌传输至该终端的应用管理器的消息队列。

步骤14024、终端向第一设备发送分组数据网连接请求消息。

步骤14025、第一设备验证分组数据网连接请求消息中与终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同。

步骤14026、第一设备向终端发送分组数据网连接响应消息。

这样一来，终端向第一设备发送携带令牌的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种第一设备60，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图6所示，包括：

第一接收单元601，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌。

所述第一接收单元601还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

需要说明的是，第二设备与第一设备之间通过DIAMETER协议进行消息交互，所述第一消息为DIAMETER协议所承载的消息。该第一消息可以为DIAMETER-扩展认证协议-响应-命令消息 (DIAMETER-EAP-Answer-Command)和认证授权计费消息(AAA)中任意一个，所述DIAMETER-扩展认证协议-响应-命令消息承载扩展认证协议载荷(EAP-payload)，该扩展认证协议载荷(EAP-payload)可以为扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个，所述认证授权计费消息包括扩展认证协议-认证和密钥协商’-通知消息(EAP-AKA’-Notification)、扩展认证协议-认证和密钥协商’-身份消息(EAP-AKA’-Identity)、扩展认证协议-请求消息(EAP-REQ)中任意一个。

第一发送单元602，用于向所述终端发送所述第二消息。

所述第一消息包括第二消息，所述第二消息包括加密的所述令牌。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。特别的，所述第二消息还可以为扩展认证协议载荷(EAP-payload)的其他消息。

基于图6如图7所示，所述第一设备60还包括：

第二接收单元603，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

第一验证单元604，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同。

第二发送单元605，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌与本地存储的与所述终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

读取单元609，用于从所述第一消息中读取与所述终端的标识对应的所述令牌和所述终端的标识。

第一存储单元6010，用于存储与所述终端的标识对应的所述令牌和所述终端的标识。

基于图6如图8所示，所述第一设备60还包括：

生成单元6011，用于生成与所述终端的标识对应的所述令牌。

首先，终端进行正常的入网附着，该终端与第二设备之间进行EAP(Extensible Authentication Protocol，扩展认证协议)消息交互，使得第一设备可以从第二设备获取终端的标识，然后，第一设备可以生成与终端的标识对应的令牌(Token)。

第二存储单元6012，用于存储与所述终端的标识对应的所述令牌和所述终端的标识。

第四发送单元6013，用于向所述第二设备发送所述令牌。

可以向所述第二设备发送DIAMETER-扩展认证协议-请求-命令消息DIAMETER-EAP-REQ-Command或认证授权计费消息AAA，所述认证授权计费消息包括扩展认证协议-响应消息EAP-RSP或扩展认证协议-身份消息EAP-Identity，所述DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

基于图6如图9所示，所述第一设备60还包括：

检查单元606，用于检查所述分组数据网连接请求消息中是否包含所述令牌。

第二验证单元607，用于若所述分组数据网连接请求消息中包含所述令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同。

首先，第一设备根据所述分组数据网连接请求消息中的所述终端的标识从本地获取与该终端的标识相同的终端标识，然后，根据本地获取的所述终端的标识获取该终端的标识对应的令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的令牌是否与本地存储的与终端的标识对应的令牌相同，若所述分组数据网连接请求消息中与所述终端的标识对应的令牌与本地存储的与终端的标识对应的令牌相同，则第一设备认为所述分组数据网连接请求消息为合法的分组数据网连接请求消息。

第三发送单元608，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌与本地存储的与所述终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

基于图6如图10所示，所述第一设备60还包括：

第二接收单元603，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌和所述终端的标识，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

生成单元6011，用于生成与所述终端的标识对应的所述令牌。

第四发送单元6013，用于向所述第二设备发送所述令牌。

可以向所述第二设备发送DIAMETER-扩展认证协议-请求-命令消息DIAMETER-EAP-REQ-Command或认证授权计费消息AAA，所述认证授权计费消息包括扩展认证协议-响应消息 EAP-RSP或扩展认证协议-身份消息EAP-Identity，所述DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

需要说明的是，所述令牌用于验证或标识合法的无线局域网控制协议应用。

本发明实施例提供的第一设备61，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图22所示，包括：

第一接收单元611，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和用户数据报协议UDP端口号，所述第二消息包括加密的所述UDP端口号；

所述第一接收单元611还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号。

第一发送单元612，用于向所述终端发送所述第二消息。

这样一来，第一设备接收第二设备发送的第一消息，所述第一消息包括第二消息和用户数据报协议UDP端口号，所述第二消息包括加密的所述UDP端口号，或者，所述第一消息包括第二消息，然后，向终端发送所述第二消息，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

基于图22如图23所示，所述第一设备61还包括：

第二接收单元613，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述UDP端口号，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

第一验证单元614，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号是否与本地存储的与所述终端的标识对应的UDP端口号相同。

第二发送单元615，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号与本地存储的与所述终端的标识对应的UDP端口号相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

读取单元619，用于从所述第一消息中读取与所述终端的标识对应的所述UDP端口号和所述终端的标识。

第一存储单元6110，用于存储与所述终端的标识对应的所述UDP端口号和所述终端的标识。

基于图22如图24所示，所述第一设备61还包括：

生成单元6111，用于生成与所述终端的标识对应的所述UDP端口号。

第二存储单元6112，用于存储与所述终端的标识对应的所述UDP端口号和所述终端的标识。

第四发送单元6113，用于向所述第二设备发送所述UDP端口号。

基于图22如图25所示，所述第一设备61还包括：

检查单元616，用于检查所述分组数据网连接请求消息中是否包含所述UDP端口号。

第二验证单元617，用于若所述分组数据网连接请求消息中包含所述UDP端口号，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号是否与本地存储的与所述终端的标识对应的UDP端口号相同。

第三发送单元618，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号与本地存储的与所述终端的标识对应的UDP端口号相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

基于图22如图26所示，所述第一设备61还包括：

第二接收单元613，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述UDP端口号和所述终端的标识，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

第四发送单元6113，用于向所述第二设备发送所述UDP端口号。

需要说明的是，所述UDP端口号用于验证或标识合法的无线局域网控制协议应用。

其中，第一设备的各个单元执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种第一设备62，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，如图27所示，包括：

第一接收单元621，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数。

第一发送单元622，用于向所述终端发送所述第二消息。

第二接收单元623，用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数。

第二发送单元624，用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。

第三接收单元625，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

验证单元626，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同。

第三发送单元627，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

本发明实施例提供一种终端70，如图11所示，包括：

第一接收单元701，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌。

所述第二消息包括加密的所述令牌。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。特别的，所述第二消息还可以为扩展认证协议载荷(EAP-payload)的其他消息。

如图12所示，所述终端70还包括：

发送单元702，用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

第二接收单元703，用于接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

本发明实施例提供一种终端71，如图28所示，包括：

接收单元711，用于接收第一设备发送的第二消息，所述第二消息包括加密的用户数据报协议UDP端口号。

这样一来，终端可以从接收到的第一设备发送的第二消息中获取UDP端口号，以便于终端的WLCP应用获取UDP端口号或令牌，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

终端的各个单元执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种终端72，如图29所示，包括：

生成单元721，终端生成与所述终端的标识对应的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

加密单元722，用于加密所述认证参数；

发送单元723，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。

所述发送单元723还用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

接收单元724，用于接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

这样一来，终端生成认证参数，终端向第一设备发送携带认证参数的分组数据网连接请求消息，使得第一设备可以分辨分组数据网连接请求消息是无线局域网控制协议应用的消息，还是恶意应用的分组数据网连接请求消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种第二设备80，如图13所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

获取单元801，用于获取令牌。

加密单元802，用于加密所述令牌。

第二设备可以生成密钥，对该令牌加密，以防止其他非法用户监听看到所述令牌，所述密钥可以是TEK(Transient EAP Keys，临时EAP密钥)。需要说明的是，第二设备可以通过使用AES(advanced Encryption standard，高级加密标准)和一个128bit的密钥在CBC(Cipher Block Chaining，加密块链接)模式下对token进行加密。

完整性保护单元803，用于完整性保护第一消息，所述第一消息包括第二消息和所述令牌，所述第二消息包括加密的所述令牌，

所述完整性保护单元803还用于或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

需说明的是，第二设备可以根据MAC(message authentication code，消息认证码)算法HMAC-SHA1-128和认证密钥以及第一消息生成消息认证码。所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。特别的，所述第二消息还可以为扩展认证协议载荷(EAP-payload)的其他消息。

发送单元804，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

所述获取单元801具体用于：

生成与所述终端的标识对应的所述令牌。

所述获取单元801具体用于：

接收所述第一设备发送的所述令牌。

可以接收所述第一设备发送的DIAMETER-扩展认证协议-请求-命令消息DIAMETER-EAP-REQ-Command或认证授权计费消息AAA中获取所述令牌，所述认证授权计费消息包括扩展认证协议-响应消息EAP-RSP或扩展认证协议-身份消息EAP-Identity，所述DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

本发明实施例提供一种第二设备81，如图30所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

获取单元811，用于获取用户数据报协议UDP端口号。

加密单元812，用于加密所述UDP端口号。

完整性保护单元813，用于完整性保护第一消息，所述第一消息包括第二消息和所述UDP端口号，所述第二消息包括加密的所述UDP端口号，

所述完整性保护单元813还用于或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号；

发送单元814，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述UDP端口号。

这样一来，第二设备获取UDP端口号，并对UDP端口号加密，向第一设备发送所述第一消息，以便于第一设备从该第一消息中获取所述第二消息或所述UDP端口号，并发送至终端，以便于终端的WLCP应用获取UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

本发明实施例提供一种第二设备82，如图31所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

获取单元821，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

加密单元822，用于加密所述认证参数。

完整性保护单元823，用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

所述完整性保护单元823还用于或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

发送单元824，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。

所述获取单元821具体用于：

生成与所述终端的标识对应的所述认证参数；

或者，接收所述第一设备发送的所述认证参数；

需要说明的是，所述令牌或者所述UDP端口号用于验证或标识合法的无线局域网控制协议应用。所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。其中，第二设备的各个单元执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种通信系统90，如图14所示，包括：

第一设备901、终端902和第二设备903，其中，

所述第二设备903，用于获取令牌；

加密所述令牌；

完整性保护第一消息，所述第一消息包括第二消息和所述令牌，所述第二消息包括加密的所述令牌，

或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌；

向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

所述第一设备901，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌；

或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌；

向所述终端发送所述第二消息。

所述终端903，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌。

其中，第一设备901、终端902和第二设备903均还可以生成与终端的标识对应的UDP端口号和令牌。

本发明实施例提供一种第一设备100，如图15所示，所述第一设备为可信无线局域网接入网关TWAG，所述第一设备包括：

接收机1001，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌。

所述接收机1001还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

发射机1002，用于向所述终端发送所述第二消息。

所述接收机1001还用于：

接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

如图16所示，所述第一设备100还包括：

处理器1003，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同。

所述发射机1002还用于：

若所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌与本地存储的与所述终端的标识对应的令牌相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

所述处理器1003还用于：

检查所述分组数据网连接请求消息中是否包含所述令牌。

所述处理器1003还用于：

若所述分组数据网连接请求消息中包含所述令牌，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述令牌是否与本地存储的与所述终端的标识对应的令牌相同。

所述发射机1002还用于：

所述处理器1003还用于：从所述第一消息中读取与所述终端的标识对应的所述令牌和所述终端的标识。

所述处理器1003还用于：存储与所述终端的标识对应的所述令牌和所述终端的标识。

所述处理器1003还用于：生成与所述终端的标识对应的所述令牌；

所述发射机1002还用于：向所述第二设备发送所述令牌。

需要说明的是，所述令牌或者所述UDP端口号用于验证或标识合法的无线局域网控制协议应用。

本发明实施例提供的第一设备111，如图32所示，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述第一设备包括；

接收机1111，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和UDP端口号，所述第二消息包括加密的所述UDP端口号。

所述接收机1111还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号。

发射机1112，用于向所述终端发送所述第二消息。

这样一来，首先接收第二设备发送的第一消息，所述第一消息包括第二消息和UDP端口号，所述第二消息包括加密的所述UDP端口号，或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号，然后，向所述终端发送所述第二消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

所述接收机1111还用于：

接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述UDP端口号，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

处理器1113，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号是否与本地存储的与所述终端的标识对应的UDP端口号相同。

所述发射机1112还用于：

若所述分组数据网连接请求消息中与所述终端的标识对应的所述UDP端口号与本地存储的与所述终端的标识对应的UDP端口号相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。

所述处理器1113还用于：

检查所述分组数据网连接请求消息中是否包含所述UDP端口号。

所述处理器1113还用于：

若所述分组数据网连接请求消息中包含所述UDP端口号，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述 UDP端口号是否与本地存储的与所述终端的标识对应的UDP端口号相同。

所述发射机1112还用于：

当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，

所述处理器1113还用于：从所述第一消息中读取与所述终端的标识对应的所述UDP端口号和所述终端的标识。

所述处理器1113还用于：存储与所述终端的标识对应的所述UDP端口号和所述终端的标识。

当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，

所述处理器1113还用于：生成与所述终端的标识对应的所述UDP端口号；

所述发射机1112还用于：向所述第二设备发送所述UDP端口号。

当所述第一消息包括第二消息和认证参数时，

所述接收机1111还用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

所述发射机1112还用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。

第一设备执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种终端110，如图17所示，所述终端包括：

接收机1101，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌。

如图18所示，所述终端110还包括：

发射机1102，用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述令牌，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

所述接收机1101还用于：

本发明实施例提供一种终端112，如图33所示，所述终端包括：

接收机1121，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述UDP端口号。

这样一来，接收第一设备发送的第二消息，所述第二消息包括加密的所述UDP端口号，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

发射机1122，用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述UDP端口号，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。

所述接收机1121还用于：

终端执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种终端113，如图34所示，所述终端包括：

处理器1131，用于生成与所述终端的标识对应的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

所述处理器1131还用于加密所述认证参数；

发射机1132，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。

本发明实施例提供一种第二设备120，如图19所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

处理器1201，用于获取令牌。

所述处理器1201还用于：加密所述令牌。

所述处理器1201还用于：完整性保护第一消息，所述第一消息包括第二消息和所述令牌，所述第二消息包括加密的所述令牌，

所述处理器1201还用于：或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述令牌。

发射机1202，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

所述处理器1201具体用于：生成与所述终端的标识对应的所述令牌。

所述处理器1201具体用于：

接收所述第一设备发送的所述令牌。

可以接收所述第一设备发送的DIAMETER-扩展认证协议-请求-命令消息DIAMETER-EAP-REQ-Command或认证授权计费消息AAA中获取所述令牌，所述认证授权计费消息包括扩展认证协议-响应消息EAP-RSP或扩展认证协议-身份消息EAP-Identity，所述 DIAMETER-扩展认证协议-请求-命令消息包括所述令牌，所述扩展认证协议-响应消息包括所述令牌，所述扩展认证协议-身份消息包括所述令牌。

本发明实施例提供一种第二设备121，如图35所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

处理器1211，用于获取UDP端口号。

所述处理器1211还用于：加密所述UDP端口号。

所述处理器1211还用于：完整性保护第一消息，所述第一消息包括第二消息和所述UDP端口号，所述第二消息包括加密的所述UDP端口号，

所述处理器1211还用于：或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号。

发射机1212，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息。

这样一来，首先获取UDP端口号，然后，加密所述UDP端口号，完整性保护第一消息，所述第一消息包括第二消息和所述UDP端口号，所述第二消息包括加密的所述UDP端口号，或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述UDP端口号，再向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息，有效地降低了终端的恶意应用触发WLCP造成网络侧的资源浪费。

所述处理器1211具体用于：生成与所述终端的标识对应的所述UDP端口号。

所述处理器1211具体用于：

接收所述第一设备发送的所述UDP端口号。

本发明实施例提供一种第二设备122，如图36所示，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

处理器1221，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。

所述处理器1221还用于加密所述认证参数。

所述处理器1221还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

所述处理器1221还用于或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

发射机1222，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。

所述处理器1221具体用于：

生成与所述终端的标识对应的所述认证参数；

或者，接收所述第一设备发送的所述认证参数；

第二设备执行的详细内容如本发明实施例所述，在此不再赘述，不同点在于本发明实施例所述的令牌可以换为UDP端口号。

本发明实施例提供一种通信系统130，如图20所示，包括：

第一设备1301、终端1302和第二设备1303，其中，

所述第二设备1303，用于获取令牌；

加密所述令牌；

所述第一设备1301，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和令牌，所述第二消息包括加密的所述令牌；

向所述终端发送所述第二消息。

所述终端1302，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述令牌。

其中，第一设备1301、终端1302和第二设备1303均还可以生成与终端的标识对应的用户数据报协议(UDP)端口号和令牌。

本发明实施例提供一种通信系统131，如图37所示，包括：

第一设备1311、终端1312和第二设备1313，其中，

所述第二设备1313，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密所述认证参数；

所述第一设备1311，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

向所述终端发送所述第二消息；

所述终端1312，用于接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成与所述终端的标识对应的认证参数。

需要说明的是，本发明中所述的分组数据网连接建立请求消息可以用WLCP PDN connection request或PDN connectivity request表示，分组数据网连接建立响应消息可以用WLCP PDN connection response或PDN connectivity response表示；

分组数据网连接断开请求消息可以用WLCP PDN disconnection request表示，分组数据网连接断开响应消息可以用WLCP PDN disconnection response表示；

分组数据网连接释放请求消息可以用WLCP PDN connection release request或PDN connection release request表示，分组数据网连接释放响应消息可以用WLCP PDN connection release response或PDN connection release response表示。

特别的，若第一设备检查分组数据网连接请求消息中没有包含所述令牌，则第一设备认为该分组数据网连接请求消息为非法分组数据网连接请求消息，第一设备丢弃或不处理所述分组数据网连接请求消息，还可以向终端发送分组数据网连接建立拒绝消息、分组数据网连接断开拒绝消息或分组数据网连接释放拒绝消息，其中，分组数据网连接建立拒绝消息可以用PDN CONNECTIVITY REJECT表示，分组数据网连接断开拒绝消息可以用PDN DISCONNECTIVITY REJECT表示。

需要说明的是，本发明中所述的第一设备可以包括TWAP(Trusted WLAN AAA Proxy，可信WLAN认证授权计费服务器代理)和可信WLAN接入网关TWAG。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理包括，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

一种终端接入通信网络的方法，其特征在于，应用于第一设备，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述方法包括：

接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

向所述终端发送所述第二消息。
根据权利要求1所述的终端接入通信网络的方法，其特征在于，在所述向所述终端发送所述第二消息之后，所述方法还包括：

接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求2所述的终端接入通信网络的方法，其特征在于，在所述接收所述终端发送的分组数据网连接请求消息之后，所述方法还包括：

验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求2所述的终端接入通信网络的方法，其特征在于，在所述接收所述终端发送的分组数据网连接请求消息之后，所述方法还包括：

检查所述分组数据网连接请求消息中是否包含所述认证参数；

若所述分组数据网连接请求消息中包含所述认证参数，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求1至4任意一项权利要求所述的终端接入通信网络的方法，其特征在于，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，在所述接收第二设备发送的第一消息之后，所述方法还包括：

从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

存储与所述终端的标识对应的所述认证参数和所述终端的标识。
根据权利要求1至4任意一项权利要求所述的终端接入通信网络的方法，其特征在于，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，在所述接收第二设备发送的第一消息之前，所述方法还包括：

生成与所述终端的标识对应的所述认证参数；

存储与所述终端的标识对应的所述认证参数和所述终端的标识；

向所述第二设备发送所述认证参数。
根据权利要求1至4任意一项权利要求所述的终端接入通信网络的方法，其特征在于，当所述第一消息包括第二消息和认证参数时，在所述接收第二设备发送的第一消息之前，所述方法还包括：

接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。
根据权利要求1至7任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求1至8任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求1至9任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求1至10任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种终端接入通信网络的方法，其特征在于，应用于终端，所述方法包括：

接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成与所述终端的标识对应的认证参数。
根据权利要求12所述的终端接入通信网络的方法，其特征在于，在所述生成与所述终端的标识对应的认证参数之后，所述方法还包括：

加密所述认证参数；

向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。
根据权利要求13所述的终端接入通信网络的方法，其特征在于，在所述接收第一设备发送的第二消息之后，所述方法还包括：

向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求14所述的终端接入通信网络的方法，其特征在于，在所述向所述第一设备发送分组数据网连接请求消息之后，所述方法还包括：

接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求12至15任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求12至16任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求12至17任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种终端接入通信网络的方法，其特征在于，应用于第二设备，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述方法包括：

获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密所述认证参数；

完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。
根据权利要求19所述的终端接入通信网络的方法，其特征在于，所述获取认证参数包括：

生成与所述终端的标识对应的所述认证参数。
根据权利要求19所述的终端接入通信网络的方法，其特征在于，所述获取认证参数包括：

接收所述第一设备发送的所述认证参数；

或者，接收所述第一设备发送的第一消息，所述第一消息包括第三消息，所述第三消息包括加密的所述认证参数，并对所述加密的所述认证参数进行解密操作。
根据权利要求19至21任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求19至22任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求19至23任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求19至24任意一项权利要求所述的终端接入通信网络的方法，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种第一设备，其特征在于，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述第一设备包括：

第一接收单元，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

所述第一接收单元还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，所述第一接收单元还用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

第一发送单元，用于向所述终端发送所述第二消息。
根据权利要求26所述的第一设备，其特征在于，所述第一设备还包括：

第二接收单元，用于接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求27所述的第一设备，其特征在于，所述第一设备还包括：

第一验证单元，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

第二发送单元，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求27所述的第一设备，其特征在于，所述第一设备还包括：

检查单元，用于检查所述分组数据网连接请求消息中是否包含所述认证参数；

第二验证单元，用于若所述分组数据网连接请求消息中包含所述认证参数，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

第三发送单元，用于若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求26至29任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，所述第一设备还包括：

读取单元，用于从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

第一存储单元，用于存储与所述终端的标识对应的所述认证参数和所述终端的标识。
根据权利要求26至29任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，所述第一设备还包括：

生成单元，用于生成与所述终端的标识对应的所述认证参数；

第二存储单元，用于存储与所述终端的标识对应的所述认证参数和所述终端的标识；

第四发送单元，用于向所述第二设备发送所述认证参数。
根据权利要求26至29任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括第二消息和认证参数时，所述第一设备还包括：

第三接收单元，用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

第五发送单元，用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。
根据权利要求26至32任意一项权利要求所述的第一设备，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求26至33任意一项权利要求所述的第一设备，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求26至34任意一项权利要求所述的第一设备，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求26至35任意一项权利要求所述的第一设备，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种终端，其特征在于，所述终端包括：

第一接收单元，用于接收第一设备发送的第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成单元，用于生成与所述终端的标识对应的认证参数。
根据权利要求37所述的终端，其特征在于，所述终端还包括：

加密单元，用于加密所述认证参数；

发送单元，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。
根据权利要求38所述的终端，其特征在于，所述终端还包括：

所述发送单元还用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求39所述的终端，其特征在于，所述终端还包括：

第二接收单元，用于接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求37至40任意一项权利要求所述的终端，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求37至41任意一项权利要求所述的终端，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求37至42任意一项权利要求所述的终端，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种第二设备，其特征在于，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

获取单元，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密单元，用于加密所述认证参数；

完整性保护单元，用于完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

所述完整性保护单元还用于或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述完整性保护单元还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

发送单元，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。
根据权利要求44所述的第二设备，其特征在于，所述获取单元具体用于：

生成与所述终端的标识对应的所述认证参数。
根据权利要求44所述的第二设备，其特征在于，所述获取单元具体用于：

接收所述第一设备发送的所述认证参数；

或者，接收所述第一设备发送的第一消息，所述第一消息包括第三消息，所述第三消息包括加密的所述认证参数，并对所述加密的所述认证参数进行解密操作。
根据权利要求44至46任意一项权利要求所述的第二设备，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求44至47任意一项权利要求所述的第二设备，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求44至48任意一项权利要求所述的第二设备，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求44至49任意一项权利要求所述的第二设备，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种第一设备，其特征在于，所述第一设备为可信无线局域网接入网关TWAG，或者，所述第一设备包括TWAG和可信无线局域网认证授权计费服务代理TWAP，所述第一设备包括：

接收机，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

所述接收机还用于或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，所述接收机还用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

发射机，用于向所述终端发送所述第二消息。
根据权利要求51所述的第一设备，其特征在于，

所述接收机还用于：

接收所述终端发送的分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求52所述的第一设备，其特征在于，所述第一设备还包括：

处理器，用于验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

所述发射机还用于：

若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求52所述的第一设备，其特征在于，

所述处理器还用于：

检查所述分组数据网连接请求消息中是否包含所述认证参数；

所述处理器还用于：

若所述分组数据网连接请求消息中包含所述认证参数，验证所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数是否与本地存储的与所述终端的标识对应的认证参数相同；

所述发射机还用于：

若所述分组数据网连接请求消息中与所述终端的标识对应的所述认证参数与本地存储的与所述终端的标识对应的认证参数相同，向所述终端发送分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求51至54任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括第二消息和认证参数，所述第二消息包括加密的所述认证参数时，

所述处理器还用于：从所述第一消息中读取与所述终端的标识对应的所述认证参数和所述终端的标识；

所述处理器还用于：存储与所述终端的标识对应的所述认证参数和所述终端的标识。
根据权利要求51至54任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数时，

所述处理器还用于：生成与所述终端的标识对应的所述认证参数；

所述处理器还用于：存储与所述终端的标识对应的所述认证参数和所述终端的标识；

所述发射机还用于：向所述第二设备发送所述认证参数。
根据权利要求51至56任意一项权利要求所述的第一设备，其特征在于，当所述第一消息包括第二消息和认证参数时，

所述接收机还用于接收所述终端发送的第三消息，所述第三消息包括加密的所述认证参数；

所述发射机还用于向所述第二设备发送所述第一消息，所述第一消息包括所述第三消息。
根据权利要求51至57任意一项权利要求所述的第一设备，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求51至58任意一项权利要求所述的第一设备，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求51至59任意一项权利要求所述的第一设备，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求51至60任意一项权利要求所述的第一设备，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种终端，其特征在于，所述终端包括：

接收机，用于接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，处理器，用于生成与所述终端的标识对应的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号。
根据权利要求62所述的终端，其特征在于，

所述处理器还用于加密所述认证参数；

所述终端还包括：

发射机，用于向所述第一设备发送第三消息，所述第三消息包括加密的所述认证参数。
根据权利要求63所述的终端，其特征在于，

所述发射机还用于向所述第一设备发送分组数据网连接请求消息，所述分组数据网连接请求消息包括所述认证参数，所述分组数据网连接请求消息为分组数据网连接建立请求消息、分组数据网连接断开请求消息或分组数据网连接释放请求消息。
根据权利要求64所述的终端，其特征在于，

所述接收机还用于：

接收所述第一设备发送的分组数据网连接响应消息，所述分组数据网连接响应消息为分组数据网连接建立响应消息、分组数据网连接断开响应消息或分组数据网连接释放响应消息。
根据权利要求62至65任意一项权利要求所述的终端，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求62至66任意一项权利要求所述的终端，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求62至67任意一项权利要求所述的终端，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种第二设备，其特征在于，所述第二设备为认证授权计费服务器AAA或归属用户服务器HSS，所述第二设备包括：

处理器，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

所述处理器还用于：加密所述认证参数；

所述处理器还用于：完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

所述处理器还用于：或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，所述处理器还用于完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

发射机，用于向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数。
根据权利要求69所述的第二设备，其特征在于，

所述处理器具体用于：生成与所述终端的标识对应的所述认证参数。
根据权利要求70所述的第二设备，其特征在于，所述处理器具体用于：

接收所述第一设备发送的所述认证参数；

或者，接收所述第一设备发送的第一消息，所述第一消息包括第三消息，所述第三消息包括加密的所述认证参数，并对所述加密的所述认证参数进行解密操作。
根据权利要求69至71任意一项权利要求所述的第二设备，其特征在于，所述认证参数用于验证或标识合法的无线局域网控制协议应用。
根据权利要求69至72任意一项权利要求所述的第二设备，其特征在于，所述第二消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-请求消息EAP-REQ中任意一个。
根据权利要求69至73任意一项权利要求所述的第二设备，其特征在于，所述第一消息为DIAMETER协议所承载的消息。
根据权利要求69至74任意一项权利要求所述的第二设备，其特征在于，所述第三消息为扩展认证协议-认证和密钥协商’-通知消息EAP-AKA’-Notification、扩展认证协议-认证和密钥协商’-身份消息EAP-AKA’-Identity、扩展认证协议-响应消息EAP-RSP中任意一个。
一种通信系统，其特征在于，包括：

如权利要求26至权利要求36任意一项权利要求或权利要求51至权利要求61任意一项权利要求所述的第一设备、如权利要求37至权利要求43任意一项权利要求或权利要求62至权利要求68任意一项权利要求所述的终端和如权利要求44至权利要求50任意一项权利要求或权利要求69至权利要求75任意一项权利要求所述的第二设备，其中，

所述第二设备，用于获取认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

加密所述认证参数；

完整性保护第一消息，所述第一消息包括第二消息和所述认证参数，所述第二消息包括加密的所述认证参数，

或者，完整性保护第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和所述认证参数，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数；

或者，完整性保护第二消息，并生成第一消息，所述第一消息包括所述第二消息和认证参数；

向第一设备发送所述第一消息，以便于所述第一设备从所述第一消息中获取所述第二消息或所述认证参数；

所述第一设备，用于接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数，所述认证参数为令牌或用户数据报协议UDP端口号，所述第二消息包括加密的所述认证参数；

或者，接收第二设备发送的第一消息，所述第一消息包括所述第二消息，所述第二消息包括加密的所述认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，接收第二设备发送的第一消息，所述第一消息包括第二消息和认证参数；

向所述终端发送所述第二消息；

所述终端，用于接收第一设备发送的第二消息，所述第二消息包括加密的认证参数，所述认证参数为令牌或用户数据报协议UDP端口号；

或者，生成与所述终端的标识对应的认证参数。