WO2016180145A1

WO2016180145A1 - 一种无线网络鉴权方法及核心网网元、接入网网元、终端

Info

Publication number: WO2016180145A1
Application number: PCT/CN2016/079200
Authority: WO
Inventors: 戴谦
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-09-10
Filing date: 2016-04-13
Publication date: 2016-11-17
Also published as: CN106535182A

Abstract

一种无线网络鉴权方法及核心网网元、接入网网元、终端，该方法包括：向接入网网元发送鉴权与安全控制信息，指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。通过本发明技术方案可以有效降低端到端无线通信的时延。

Description

一种无线网络鉴权方法及核心网网元、接入网网元、终端

技术领域

本文涉及无线网络鉴权技术领域，特别是涉及一种无线网络鉴权方法及核心网网元、接入网网元、终端。

背景技术

相关技术的LTE(Long Term Evolution，长期演进)系统采用EPC(Evolved Packet Core，演进的分组核心)网络架构，UE(用户设备)在和网络侧建立连接的过程需要完成空中接口的连接建立、与核心网的连接建立，其中需要交互的控制面信令非常多，以3GPP(The 3rd Generation Partnership Project，第三代合作伙伴计划)LTE的附着流程为例，。

相关技术EPC系统的附着过程包含：

-注册到EPS网络(注册到MME，移动性管理实体)

-建立EPS承载(用于传输用户数据)

其中注册到EPS网络的过程进一步细分为：

-终端发附着请求到eNB，eNB将该终端附着请求发给MME；

-MME执行鉴权过程，MME从HSS获取所述终端的中间鉴权向量；

-MME将所述中间鉴权向量中的部分鉴权信息发给UE；

-UE根据收到的鉴权信息计算鉴权期望值，并将该期望值发给MME；

-MME根据UE发来的期望值，确定其是否鉴权成功；

-若鉴权成功，MME向UE发NAS安全模式命令，以建立NAS安全；

-UE验证MME发送的手机安全能力，并基于安全算法生成NAS Security Key，向MME返回NAS Security Mode Complete消息。

整个附着流程过程的耗时通常在一百多毫秒。

当UE数量较多的情况下，由于硬件处理时延的影响，耗时可能会更长。

相关技术的无线通信业务的种类不断增长，其中产生了很多对端到端时延有严格要求的业务，例如在线游戏，车联网，虚拟现实等，对端到端时延的要求通常在数十毫秒甚至更小，而相关技术的LTE系统的时延指标还无法很好的支持这些类型的业务。

发明内容

本发明要解决的技术问题是提供一种无线网络鉴权方法及核心网网元、接入网网元、终端，以降低端到端无线通信的时延。

为了解决上述技术问题，采用如下技术方案：

本发明提供了一种无线网络鉴权方法，包括：

向接入网网元发送鉴权与安全控制信息，指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

进一步地，上述方法还具有下面特点：所述鉴权与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元可执行对用户设备的NAS安全建立的授权时间范围；

接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息；

接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息；

接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息。

进一步地，上述方法还具有下面特点：所述接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息是通过以下方式获取的：

从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥，或者

周期地从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥。

进一步地，上述方法还具有下面特点：

所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息，或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可。

进一步地，上述方法还具有下面特点：

所述NAS安全建立信息只包含NAS安全模式命令。

进一步地，上述方法还具有下面特点：所述发送鉴权与安全控制信息给接入网网元之前，还包括：

对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计；或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果；或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果；

根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程：

有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；

同一用户设备进入所述接入网网元范围的频率超过第二预设门限。

接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息，所述接入网网元满足以下至少一个条件：

进一步地，上述方法还具有下面特点：

所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。

进一步地，上述方法还具有下面特点：

所述用户设备属于时延敏感的用户设备，或者

所述用户设备运行时延敏感的业务。

进一步地，上述方法还具有下面特点：还包括：

从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量，作为鉴权信息。

进一步地，上述方法还具有下面特点：还包括：

接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值，所述NAS安全建立的上下文信息包括：所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。

进一步地，上述方法还具有下面特点：还包括：

在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后，通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。

进一步地，上述方法还具有下面特点：还包括：

确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后，将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。

进一步地，上述方法还具有下面特点：还包括：

周期地从归属用户服务器上获取更新的鉴权与安全控制信息。

进一步地，上述方法还具有下面特点：所述鉴权与安全控制信息包括：

取消接入网网元可执行对用户设备的鉴权许可；

取消接入网网元可执行用户设备的NAS安全建立的许可。

为了解决上述问题，本发明还提供了一种核心网，其中，包括：

发送模块，用于向接入网网元发送鉴权与安全控制信息，指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

进一步地，上述核心网还具有下面特点：所述鉴权与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息，所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息，或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可，或者所述NAS安全建立信息只包含NAS安全模式命令。

进一步地，上述核心网还具有下面特点：还包括：

统计模块，用于对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计；或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果；或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果；

确定模块，用于根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。

进一步地，上述核心网还具有下面特点：还包括：

接收模块，用于接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息，所述接入网网元满足以下至少一个条件：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。

进一步地，上述核心网还具有下面特点：还包括：

获取模块，用于从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量，作为鉴权信息。

进一步地，上述核心网还具有下面特点：还包括：

接收模块，用于接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值，所述NAS安全建立的上下文信息包括：所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。

进一步地，上述核心网还具有下面特点：还包括：

处理模块，用于在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后，通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。

进一步地，上述核心网还具有下面特点：还包括：

发送模块，用于确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后，将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。

为了解决上述问题，本发明还提供了一种无线网络鉴权方法，包括：

接入网网元接收鉴权与安全控制信息；

根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

进一步地，上述方法还具有下面特点：所述鉴权与安全控制信息包括以下的一种或两种：

取消接入网网元可执行对用户设备的鉴权许可；

取消接入网网元可执行用户设备的NAS安全建立的许可。

进一步地，上述方法还具有下面特点：

所述鉴权信息为所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量。

进一步地，上述方法还具有下面特点：所述接入网网元接收鉴权与安全控制信息之前，还包括：

统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率；

若有用户设备的驻留时间超过第一预设门限，所述驻留时间为连续的驻留时间或累计的驻留时间，和/或，若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限，则上报统计结果和/或本接入网网元的标识。

进一步地，上述方法还具有下面特点：还包括：

所述接入网网元通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。

进一步地，上述方法还具有下面特点：所述根据所述鉴权与安全控制信息执行对预选用户设备的鉴权，包括：

所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量；

向所述预选用户设备发送鉴权要求，携带所述鉴权向量；

接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权。

进一步地，上述方法还具有下面特点：所述接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权之后，还包括：

上报鉴权上下文信息，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值。

进一步地，上述方法还具有下面特点：所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量，包括：

所述接入网网元根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥，生成对应的中间鉴权向量；或者，

所述接入网网元接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。

进一步地，上述方法还具有下面特点：所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程，包括：

所述接入网网元选择NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥；或者，

所述接入网网元接收NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。

进一步地，上述方法还具有下面特点：所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程，还包括：

所述接入网网元根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令，发送所述NAS安全模式命令给所述预选用户设备；

所述接入网网元接收所述预选用户设备反馈的NAS安全模式完成信令。

进一步地，上述方法还具有下面特点：所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后，包括：

所述接入网网元上报NAS安全建立的上下文信息，所述NAS安全建立的上下文信息中包含：所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥，所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。

为了解决上述问题，本发明还提供了一种接入网网元，其中，包括：

接收模块，用于接入网网元接收鉴权与安全控制信息；

执行模块，用于根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

进一步地，上述接入网网元还具有下面特点：还包括：

统计模块，用于统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率，若有用户设备的驻留时间超过第一预设门限，所述驻留时间为连续的驻留时间或累计的驻留时间，和/或，若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限，则上报统计结果和/或本接入网网元的标识。

进一步地，上述接入网网元还具有下面特点：还包括：

发送模块，用于通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。

进一步地，上述接入网网元还具有下面特点：

所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的鉴权包括：所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量；向所述预选用户设备发送鉴权要求，携带所述鉴权向量；接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权。

进一步地，上述接入网网元还具有下面特点：

所述执行模块，根据所述鉴权与安全控制信息生成鉴权向量包括：根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥，生成对应的中间鉴权向量；或者接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。

进一步地，上述接入网网元还具有下面特点：

所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程包括：选择NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥；或者接收NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。

进一步地，上述接入网网元还具有下面特点：

所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程还包括：根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令，发送所述NAS安全模式命令给所述预选用户设备；接收所述预选用户设备反馈的NAS安全模式完成信令。

进一步地，上述接入网网元还具有下面特点：

所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后，包括：上报NAS安全建立的上下文信息，所述NAS安全建立的上下文信息中包含：所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥，所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。

当用户设备需要和网络侧完成鉴权或NAS建立安全过程时，所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。

进一步地，上述方法还具有下面特点：所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程的过程中，还包括：

所述用户设备统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率，若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限，则将该接收网网元的标识或对应的统计结果上报给核心网。

进一步地，上述方法还具有下面特点：所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程之前，包括：

所述用户设备接收支持鉴权或者NAS安全建立的接入网网元的列表。

进一步地，上述方法还具有下面特点：所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程之后，还包括：

所述用户设备向接入网网元发送NAS安全模式完成信令，所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。

为了解决上述问题，本发明还提供了一种用户设备，其中，包括：

处理模块，用于当用户设备需要和网络侧完成鉴权或NAS建立安全过程时，与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。

进一步地，上述用户设备还具有下面特点：还包括：

统计模块，用于统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率，若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限，则将该接收网网元的标识或对应的统计结果上报给核心网。

进一步地，上述用户设备还具有下面特点：还包括：

接收模块，用于接收支持鉴权或者NAS安全建立的接入网网元的列表。

进一步地，上述用户设备还具有下面特点：还包括：

发送模块，用于向接入网网元发送NAS安全模式完成信令，所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。

综上，本发明技术方案提供的一种无线网络鉴权方法及核心网网元、接入网网元、终端，能够有效了降低端到端无线通信的时延。

附图概述

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例1的流程图；

图2为本发明实施例2的流程图；

图3为本发明实施例4的流程图；

图4为本发明实施例的核心网的示意图；

图5为本发明实施例的接入网网元的示意图；

图6为本发明实施例的用户设备的示意图。

本发明的较佳实施方式

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。

首先，如果不冲突，本发明实施例以及实施例中的各个特征可以相互结合，均在本发明的保护范围之内。另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例1：

以3GPP EPC架构结合LTE接入网为例，为eNB(演进的基站)加载鉴权向量生成器以及秘钥派生函数KDF，使得eNB具备鉴权向量计算能力以及秘钥生成能力。如图1所示，包括以下步骤：

步骤201、选择符合授权条件的eNB以及预选UE，可行的选择方法和规则包括：

有UE驻留在某个eNB范围的时间超过预设门限一，所述时间可以是连续的，也可以是累积的；则该UE可作为预选UE，该eNB可认为符合授权条件；

同一UE进入某个eNB范围的频率超过预设门限二,则该UE可作为预选UE，该eNB可认为符合授权条件；

所述用户设备属于时延敏感的UE，或

所述用户设备运行时延敏感的业务。

实行统计的主体可以是MME、eNB、UE，分别的方法是：

若统计主体是MME，则MME自行对各个eNB内的UE的驻留时间以及UE进入各个eNB范围的频率进行统计，选择出上述条件之一的eNB，所述预设门限一和预设门限二可由MME预先设定；

各个eNB自行统计自己范围内的UE的驻留时间以及进入自己覆盖范围的UE的进入频率，当判断自己符合条件后，所述eNB将自己的ID上报给MME，可选的eNB也可将所述统计结果上报给MME；所述预设门限一和预设门限二可由MME预先设定，eNB可从MME获取所述预设门限一和预设门限二；

各个UE从MME获取所述预设门限一和预设门限二，UE自行统计自己驻留在每个eNB的时间以及进入每个eNB范围的频率，当UE发现自己驻留在某个eNB范围的时间超过预设门限一或者自己进入某个eNB范围的频率超过预设门限二，则UE认为该eNB符合可被授权执行鉴权或NAS安全的条件，UE将所述eNB的ID上报给MME，可选的，UE也可将所述eNB对应的统计结果上报给MME；

MME在确定了可授权鉴权与NAS安全建立的eNB以及预选UE后，将可授权的eNB ID发送给所述预选UE，以便UE知道在这些eNB范围可以向eNB发起鉴权和NAS安全建立；

或者也可由被授权的接入网网元通过广播消息或者专用信令告知所述预选用户设备。

步骤202、MME向HSS(Home Subscriber Server，归属用户服务器)索要符合条件的预选UE对应的HSS内的鉴权信息，具体包括：目标UE对应的永久密钥K；HSS将所述信息发送给MME。

步骤203、MME向符合授权条件的eNB发送鉴权与安全控制信息，其中包括：

eNB可以执行对用户设备的鉴权的授权许可；

eNB可以执行对用户设备的NAS安全建立的授权许可；

eNB可以执行对用户设备的鉴权的授权时间范围；该项信息是可选项，用于当MME统计过所述eNB的活跃时间后，可根据其活跃时间来配置授权时间范围；

eNB可以执行对用户设备的NAS安全建立的授权时间范围；

eNB可以执行鉴权或者NAS安全建立的预选用户设备信息；该信息用于eNB识别哪些UE是预选用户设备；

eNB用于执行鉴权的预选用户设备所对应的鉴权信息；

eNB根据上述信息确定自己可对所述UE执行鉴权或NAS安全建立。

步骤204、当预选UE在某个被授权的eNB范围内发起附着过程，或者RRC(Radio Resource Control，无线资源控制协议)连接过程；UE根据之前获得的被授权eNB列表可知，在这类eNB范围内可向eNB发起鉴权或NAS安全建立。

步骤205、预选UE向eNB发起附着请求，可选的，eNB将该附着请求同时转发给MME，让MME了解到所述UE的附着动作。

步骤206、eNB根据鉴权与安全控制信息内容生成鉴权向量，鉴权与安全控制信息内容中的预选用户设备所对应的鉴权信息中包含该UE对应的固定密钥K，eNB自行生成随机数RAND和序列数SQN，基于这些输入参数，eNB使用鉴权向量生成器生成鉴权向量，鉴权向量生成器和鉴权向量的定义仍采用相关LTE协议定义的方法。

步骤207、eNB向UE发送鉴权要求，内含鉴权向量。

步骤208、UE按照相关协议方式，根据收到的鉴权向量以及自身的固定密钥K，生成鉴权值以及中间密钥。

步骤209、UE反馈鉴权响应给eNB，内含鉴权值。

步骤210、eNB对比自己生成的鉴权向量和UE反馈的鉴权响应内容，若符合LTE协议规定的鉴权对照关系，则鉴权成功，否则鉴权失败。

步骤211、eNB将鉴权结果发送给MME，若鉴权成功，则eNB继续执行NAS安全建立，若鉴权失败，则MME可以拒绝该UE的附着，也可以由MME重新对该UE进行鉴权(即按照相关LTE协议的鉴权方式，不通过授权的eNB)。

步骤212、eNB执行和所述UE的NAS安全建立，eNB选择NAS安全算法和NAS完整性保护算法，eNB根据自己之前生成的中间密钥，生成NAS安全密钥和NAS完整性保护密钥。

步骤213、eNB将NAS安全模式命令发送给UE，该命令的内容定义和相关LTE协议的NAS安全模式命令相同；同时eNB将NAS安全建立的上下文信息发送给MME，内容包含eNB生成的NAS安全密钥和NAS完整性保护密钥，eNB选择的NAS安全算法和NAS完整性保护算法的ID，以实现后续MME和UE之间的NAS安全对接。

步骤214、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥，到此NAS安全建立完成。

UE向eNB发送NAS安全模式完成信令，该信令使用UE算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护；eNB将给信令转发MME。

在本实施例中，由于鉴权和NAS安全建立功能被授权给eNB，在UE发起的整个鉴权和NAS安全建立过程中取消了eNB和MME以及MME和HSS之间的信令交互，大大简化了整个鉴权过程，从而大幅的减少了连接建立延迟。

实施例2：

以3GPP EPC架构结合LTE接入网为例，为eNB加载秘钥派生函数KDF，使得eNB具备秘钥生成能力。如图2所示，包括以下步骤：

步骤301、统计符合授权条件的eNB以及预选UE，可行的统计方法和规则可参考实施例1，这里不再重复。

步骤302、MME向HSS索要符合条件的预选UE对应的HSS内的鉴权信息，具体包括：目标UE对应的中间鉴权向量；HSS将所述鉴权信息发送给MME。

步骤303、MME向符合授权条件的eNB发送鉴权与安全控制信息，其中包括：

eNB可以执行对用户设备的鉴权的授权许可；

eNB可以执行对用户设备的NAS安全建立的授权许可；

eNB可以执行对用户设备的NAS安全建立的授权时间范围；

eNB用于执行鉴权的预选用户设备所对应的鉴权信息；

eNB用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息；

其中，鉴权信息包括所述中间鉴权向量，NAS安全建立信息包括MME 选择的NAS安全算法和NAS完整性保护算法对应的ID。

步骤304、当预选UE在某个被授权的eNB范围内发起附着过程，或者RRC连接过程；UE根据之前MME告知的被授权eNB列表可知，在这类eNB范围内可向eNB发起鉴权或NAS安全建立。

步骤305、预选UE向eNB发起附着请求，可选的，eNB将该附着请求同时转发给MME，让MME了解到所述UE的附着动作。

步骤306、eNB向UE发送鉴权要求，内含中间鉴权向量。

步骤307、UE按照相关协议方式，根据收到的中间鉴权向量生成鉴权值以及中间密钥。

步骤308、UE反馈鉴权响应给eNB，内含鉴权值。

步骤309、eNB对比中间鉴权向量和UE反馈的鉴权响应内容，若符合LTE协议规定的鉴权对照关系，则鉴权成功，否则鉴权失败。

步骤310、eNB将鉴权结果发送给MME，若鉴权成功，则eNB继续执行NAS安全建立，若鉴权失败，则MME可以拒绝该UE的附着，也可以由MME重新对该UE进行鉴权(即按照相关LTE协议的鉴权方式，不通过授权的eNB)。

步骤311、eNB执行和所述UE的NAS安全建立，eNB根据MME发送的NAS安全算法和NAS完整性保护算法的ID，以及中间密钥，生成NAS安全密钥和NAS完整性保护密钥。

MME用生成的NAS安全密钥和NAS完整性保护密钥来构成后续的NAS安全模式命令。

步骤312、eNB将NAS安全模式命令发送给UE，该命令的内容定义和相关LTE协议的NAS安全模式命令相同；同时eNB将NAS安全建立的上下文发送给MME，所述NAS安全建立的上下文的内容包含eNB生成的NAS安全密钥和NAS完整性保护密钥，MME选择的NAS安全算法和NAS完整性保护算法的ID，以实现后续MME和UE之间的NAS安全对接。

步骤313、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥，到此NAS安全建立完成。

实施例2描述的是一个流程，进一步的，步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息一直有效，可以用于多次对对应的预选UE进行鉴权和NAS安全建立，MME可周期性从HSS获取更新的鉴权信息和NAS安全建立信息，以对eNB保存的鉴权信息和NAS安全建立信息进行更新，可进一步提高安全性。

实施例3

实施例3采用和实施例2相同的流程，其区别之处是：

实施例2中，步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息可以一直有效，直到被MME更新或者取消授权。

实施例3中，步骤303中eNB收到的鉴权与安全控制信息中的鉴权信息和NAS安全建立信息仅有效一次，在预选UE的下一次鉴权开始前，MME提前从HSS获取该UE的中间鉴权向量，MME更新对NAS加密和完整性保护算法的选择，以构成新的鉴权与NAS安全建立信息发送给eNB；eNB在UE的下一次鉴权中使用该更新过的鉴权信息与NAS安全建立信息对UE鉴权和建立NAS安全。

相对于实施例2，实施例3具有相同的延时降低性能，虽然增加了信令开销，但提高了安全性。

实施例4.

以3GPP EPC架构结合LTE接入网为例，与之前实施例不同的是，eNB没有秘钥派生函数KDF，不具备秘钥生成能力。如图3所示，包括以下步骤：

步骤401、统计符合授权条件的eNB以及预选UE，可行的统计方法和规则可参考实施例1，这里不再重复；

步骤402、MME向HSS索要符合条件的预选UE对应的HSS内的鉴权信息，具体包括：目标UE对应的中间鉴权向量；HSS将所述鉴权信息发送给MME；

步骤403、MME提前生成NAS安全密钥和NAS完整性保护密钥，MME用生成的NAS安全密钥和NAS完整性保护密钥来生成NAS安全模式命令，NAS安全模式命令的格式内容与相关LTE协议定义的相同。

步骤404、MME向符合授权条件的eNB发送鉴权与安全控制信息，其中包括：

eNB可以执行对用户设备的鉴权的授权许可；

eNB可以执行对用户设备的NAS安全建立的授权许可；

eNB可以执行对用户设备的NAS安全建立的授权时间范围；

eNB用于执行鉴权的预选用户设备所对应的鉴权信息，包括MME获取的预选UE对应的中间鉴权向量AUTN(Authentication Token，鉴权令牌)、RAND(Random Number，鉴权随机数)以及XRES(Expected Response，预期回应)；

eNB用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息，所述NAS安全建立信息即MME之前生成的NAS安全模式命令；

步骤405、当预选UE在某个被授权的eNB范围内发起附着过程，或者RRC连接过程；UE根据之前MME告知的被授权eNB列表可知，在这类eNB范围内可向eNB发起鉴权或NAS安全建立；

步骤406、预选UE向eNB发起附着请求，可选的，eNB将该附着请求同时转发给MME，让MME了解到所述UE的附着动作

步骤407、eNB向UE发送鉴权要求，内含中间鉴权向量；

步骤408、UE按照相关协议方式，根据收到的中间鉴权向量以及自身的固定密钥，生成鉴权值以及中间密钥；

步骤409、UE反馈鉴权响应给eNB，内含鉴权值；

步骤410、eNB对比中间鉴权向量和UE反馈的鉴权响应内容，若符合LTE协议规定的鉴权对照关系，则鉴权成功，否则鉴权失败；

步骤411、eNB将鉴权结果发送给MME，若鉴权成功，则eNB继续执行NAS安全建立，若鉴权失败，则MME可以拒绝该UE的附着，也可以由MME重新对该UE进行鉴权(即按照相关LTE协议的鉴权方式，不通过授权的eNB)；

步骤412、eNB执行和所述UE的NAS安全建立，eNB将MME发送NAS安全模式命令发送给UE；该命令的内容定义和相关LTE协议的NAS安全模式命令相同；

步骤413、UE根据eNB发送的NAS安全模式命令计算出NAS安全算法密钥和NAS完整性保护算法密钥，到此NAS安全建立完成。UE向eNB发送NAS安全模式完成信令，该信令使用UE算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护；eNB将给信令转发MME。

相对于之前的实施例1，2，3，实施例4取消了eNB的鉴权向量生成能力和密钥生成能力，具有相同的延时降低性能，进一步提高了安全性。

以上所有实施例中，MME可通过鉴权与安全控制信息随时更新各个eNB的预选UE名单，也可以随时取消某个eNB的鉴权授权许可或NAS安全建立授权许可；通常这种更新行为和取消授权行为需基于对eNB和预选UE的统计结果的判断。

在以上所有实施例中，接入网网元的类型除了eNB之外，也包括small cell，家庭基站，以及兼容EPC架构的其他接入网网元类型。

图4为本发明实施例的核心网的示意图，如图4所示，本实施例的核心网包括：

发送模块，可用于发送鉴权与安全控制信息给接入网网元，指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

其中，所述鉴权与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元可执行鉴权的预选用户设备所对应的鉴权信息；

接入网网元可执行NAS安全建立的预选用户设备所对应的NAS安全建立信息，所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息，或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可，或者所述NAS安全建立信息只包含NAS安全模式命令。

统计模块，可设置成：对各个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计；或者接收各个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果；或者接收各个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果；

确定模块，可设置成：根据所述统计结果以至少满足以下一个条件来确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。

在一可选实施例中，所述核心网还可以包括：

接收模块，可设置成：接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息，所述接入网网元满足以下至少一个条件：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。

在一可选实施例中，所述核心网还可以包括：

获取模块，可设置成：从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量，作为鉴权信息。

在一可选实施例中，所述核心网还可以包括：

接收模块，可设置成：接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值，所述NAS安全建立的上下文信息包括：所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。

在一可选实施例中，所述核心网还可以包括：

处理模块，可设置成：在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后，通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。

在一可选实施例中，所述核心网还可以包括：

发送模块，可设置成：确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后，将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。

图5为本发明实施例的接入网网元的示意图，如图5所示，本实施例的接入网网元包括：

接收模块，设置成：接入网网元接收鉴权与安全控制信息；

执行模块，设置成：根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。

在一可选实施例中，所述接入网网元还可以包括：

统计模块，可设置成：统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率，若有用户设备的驻留时间超过第一预设门限，所述驻留时间为连续的驻留时间或累计的驻留时间，和/或，若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限，则上报统计结果和/或本接入网网元的标识。

在一可选实施例中，所述接入网网元还可以包括：

发送模块，可设置成：通过广播消息或者专用信令将可授权的接入网网元的标识发送给所述预选用户设备。

在一可选实施例中，所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的鉴权可以包括：所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量；向所述预选用户设备发送鉴权要求，携带所述鉴权向量；接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权。

在一可选实施例中，所述执行模块，根据所述鉴权与安全控制信息生成鉴权向量可以包括：根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥，生成对应的中间鉴权向量；或者接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。

在一可选实施例中，所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程可以包括：选择NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥；或者接收NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。

在一可选实施例中，所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程还可以包括：根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令，发送所述NAS安全模式命令给所述预选用户设备；接收所述预选用户设备反馈的NAS安全模式完成信令。

在一可选实施例中，所述执行模块，根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程之后，可以包括：上报NAS安全建立的上下文信息，所述NAS安全建立的上下文信息中包含：所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥，所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。

图6为本发明实施例的用户设备的示意图，如图6所示，本实施例的用户设备包括：

处理模块，可设置成：当用户设备需要和网络侧完成鉴权或NAS建立安全过程时，与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。

在一可选实施例中，所述用户设备还可以包括：

统计模块，可设置成：统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率，若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限，则将该接收网网元的标识或对应的统计结果上报给核心网。

在一可选实施例中，所述用户设备还可以包括：

接收模块，可设置成：接收支持鉴权或者NAS安全建立的接入网网元的列表。

在一可选实施例中，所述用户设备还可以包括：

发送模块，可设置成：向接入网网元发送NAS安全模式完成信令，所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。

本发明实施例还公开了一种计算机程序，包括程序指令，当该程序指令被接入网网元执行时，使得该接入网网元可执行上述任意的无线网络鉴权方法。

本发明实施例还公开了一种载有所述的计算机程序的载体。

本发明实施例还公开了一种计算机程序，包括程序指令，当该程序指令被核心网执行时，使得该核心网可执行上述任意的无线网络鉴权方法。

本发明实施例还公开了一种载有所述的计算机程序的载体。

本发明实施例还公开了一种计算机程序，包括程序指令，当该程序指令被用户设备执行时，使得该用户设备可执行上述任意的无线网络鉴权方法。

本发明实施例还公开了一种载有所述的计算机程序的载体。

在阅读并理解了附图和详细描述后，可以明白其他方面。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求所述的保护范围为准。

工业实用性

本发明技术方案提供的一种无线网络鉴权方法及核心网网元、接入网网元、终端，能够有效了降低端到端无线通信的时延。因此本发明具有很强的工业实用性。

Claims

一种无线网络鉴权方法，包括：

核心网网元向接入网网元发送鉴权信息与安全控制信息，指示所述接入网网元根据所述鉴权信息与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。
如权利要求1所述的无线网络鉴权方法，其中，所述鉴权信息与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元可执行对用户设备的NAS安全建立的授权时间范围；

接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息；

接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息；

接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息。
如权利要求2所述的无线网络鉴权方法，其中：所述接入网网元执行NAS安全建立的预选用户设备所对应的NAS安全建立信息是由所述核心网网元通过以下方式获取的：

从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥；或者

周期地从归属用户服务器获取所述预选用户设备所对应的NAS安全的中间密钥。
如权利要求3所述的无线网络鉴权方法，其中：

所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息，或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可。
如权利要求3所述的无线网络鉴权方法，其中：

所述NAS安全建立信息只包含NAS安全模式命令。
如权利要求1所述的无线网络鉴权方法，其中，所述向接入网网元发送鉴权与安全控制信息的步骤之前，该方法还包括：

对每个接入网网元内的用户设备的驻留时间以及用户设备进入各个接入网网元的频率进行统计；或者接收每个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果；或者接收每个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果；

根据所述统计结果，当所述接入网网元满足以下条件中的至少一个时，确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程：

有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；

同一用户设备进入所述接入网网元范围的频率超过第二预设门限。
如权利要求1所述的无线网络鉴权方法，其中，所述向接入网网元发送鉴权与安全控制信息的步骤之前，该方法还包括：

接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息，被上报标识信息的接入网网元为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元；

其中，被上报标识信息的接入网网元满足以下条件中的至少一个：

有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；

同一用户设备进入所述接入网网元范围的频率超过第二预设门限。
如权利要求6或7所述的无线网络鉴权方法，其中

所述用户设备属于时延敏感的用户设备，或者

所述用户设备运行时延敏感的业务。
如权利要求1-7中任一项所述的无线网络鉴权方法，该方法还包括：

所述核心网网元从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量，作为所述鉴权信息。
如权利要求1所述的无线网络鉴权方法，所述指示所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程的步骤之后，该方法还包括：

接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息；

其中，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值，所述NAS安全建立的上下文信息包括：所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。
如权利要求1所述的无线网络鉴权方法，该方法还包括：

所述核心网网元在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后，通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。
如权利要求6或7所述的无线网络鉴权方法，该方法还包括：

确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后，将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。
如权利要求1-7及10-12中任一项所述的无线网络鉴权方法，该方法还包括：

周期地从归属用户服务器上获取更新的鉴权与安全控制信息。
如权利要求1-7及10-12中任一项所述的无线网络鉴权方法，其中，所述鉴权与安全控制信息包括：

取消接入网网元可执行对用户设备的鉴权许可；

取消接入网网元可执行用户设备的NAS安全建立的许可。
一种核心网，包括发送模块，其中

所述发送模块设置成：向接入网网元发送鉴权信息与安全控制信息，指示所述接入网网元根据所述鉴权信息与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。
如权利要求15所述的核心网，其中，所述鉴权信息与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元可执行对用户设备的NAS安全建立的授权时间范围；

接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息；

接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息；

接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息，其中，所述NAS安全建立信息包括对NAS加密算法和NAS完整性保护算法的选择信息，或者包括授权eNB对NAS加密算法和NAS完整性保护算法进行选择的许可，或者所述NAS安全建立信息只包含NAS安全模式命令。
如权利要求15所述的核心网，该核心网还包括统计模块和确定模块，其中

所述统计模块设置成：对每个接入网网元内的用户设备的驻留时间以及用户设备进入每个接入网网元的频率进行统计；或者接收每个接入网网元自行统计自己范围内的用户设备的驻留时间以及进入自己覆盖范围的用户设备的进入频率的统计结果；或者接收每个用户设备统计自己驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率的统计结果；

所述确定模块设置成：根据所述统计结果，当所述接入网网元满足以下条件中的至少一个时，确定可授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。
如权利要求15所述的核心网，该核心网还包括接收模块，其中

所述接收模块设置成：接收到所述接入网网元或用户设备上报的所述接入网网元的标识信息，被上报标识信息的接入网网元为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元；

其中，被上报标识信息的接入网网元满足以下条件中的至少一个：有用户设备驻留在所述接入网网元范围的时间超过第一预设门限，所述时间为连续的驻留时间或累积的驻留时间；同一用户设备进入所述接入网网元范围的频率超过第二预设门限，所述预选用户设备驻留在所述接入网网元范围的时间超过所述第一预设门限，所述时间为连续的驻留时间或累积的驻留时间，或者进入所述接入网网元范围的频率超过所述第二预设门限。
如权利要求15-18任一项所述的核心网，该核心网还包括获取模块，其中

所述获取模块设置成：从归属用户服务器获取所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量，作为所述鉴权信息。
如权利要求15所述的核心网，该核心网还包括接收模块，其中

所述接收模块设置成：接收所述接入网网元完成的鉴权或者NAS安全建立的所述用户设备所对应的鉴权上下文信息或NAS安全建立的上下文信息；

其中，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值，所述NAS安全建立的上下文信息包括：所述用户设备上报的NAS安全模式完成信息或者NAS安全模式拒绝信息。
如权利要求15所述的核心网，该核心网还包括处理模块，其中

所述处理模块设置成：在所述接入网网元完成对用户设备的鉴权或者NAS安全建立过程后，通过NAS消息对已完成鉴权或者NAS安全建立的用户设备进行再次鉴权或再次NAS安全重建。
如权利要求17或18所述的核心网，该核心网还包括发送模块，其中

所述发送模块设置成：确定授权所述接入网网元执行对用户设备的鉴权或者NAS安全建立过程后，将支持鉴权或者NAS安全建立过程的接入网网元的列表发送给所述预选用户设备。
一种无线网络鉴权方法，包括：

接入网网元接收鉴权信息与安全控制信息；

所述接入网网元根据所述鉴权信息与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。
如权利要求23所述的无线网络鉴权方法，其中，所述鉴权信息与安全控制信息包括下述之一或多项的组合：

接入网网元可执行对用户设备的鉴权的授权许可；

接入网网元可执行对用户设备的NAS安全建立的授权许可；

接入网网元可执行对用户设备的鉴权的授权时间范围；

接入网网元可执行对用户设备的NAS安全建立的授权时间范围；

接入网网元可执行鉴权或者NAS安全建立的预选用户设备信息；

接入网网元用于执行鉴权的预选用户设备所对应的鉴权信息；

接入网网元用于执行NAS安全建立的预选用户设备所对应的NAS安全建立信息。
如权利要求24所述的无线网络鉴权方法，其中：所述鉴权信息与安全控制信息包括以下的一种或两种：

取消接入网网元可执行对用户设备的鉴权许可；

取消接入网网元可执行用户设备的NAS安全建立的许可。
如权利要求24所述的无线网络鉴权方法，其中：

所述鉴权信息为所述预选用户设备对应的固定鉴权秘钥、永久秘钥或中间鉴权向量。
如权利要求24所述的无线网络鉴权方法，其中：所述接入网网元接收鉴权与安全控制信息的步骤之前，该方法还包括：

统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率；

若有用户设备的驻留时间超过第一预设门限，所述驻留时间为连续的驻留时间或累计的驻留时间，和/或，若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限，则上报统计结果和/或本接入网网元的标识，以便核心网将满足所述统计结果的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元，或者将接收到的标识对应的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元。
如权利要求27所述的无线网络鉴权方法，该方法还包括：

所述接入网网元通过广播消息或者专用信令将可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元的标识发送给所述预选用户设备。
如权利要求24所述的无线网络鉴权方法，其中：所述根据所述鉴权与安全控制信息执行对预选用户设备的鉴权的步骤包括：

所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量；

向所述预选用户设备发送鉴权要求，携带所述鉴权向量；

接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权。
如权利要求29所述的无线网络鉴权方法，其中，所述接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权的步骤之后，该方法还包括：

向核心网上报鉴权上下文信息，所述鉴权上下文信息包括所述用户设备鉴权是否成功的信息和所述用户设备上报的鉴权响应所包含的鉴权值。
如权利要求29或30所述的无线网络鉴权方法，其中，所述接入网网元根据所述鉴权与安全控制信息生成鉴权向量的步骤包括：

所述接入网网元根据所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥，生成对应的中间鉴权向量；或者，

所述接入网网元接收所述鉴权与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。
如权利要求24所述的无线网络鉴权方法，其中，所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程的步骤包括：

所述接入网网元选择NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥；或者，

所述接入网网元接收NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。
如权利要求32所述的无线网络鉴权方法，其中，所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程的步骤还包括：

所述接入网网元根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令，发送所述NAS安全模式命令给所述预选用户设备；

所述接入网网元接收所述预选用户设备反馈的NAS安全模式完成信令。
如权利要求24-30、32、33中的任一项所述的无线网络鉴权方法，其中：所述接入网网元根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程的步骤之后，包括：

所述接入网网元向核心网上报NAS安全建立的上下文信息；

其中，所述NAS安全建立的上下文信息中包含：所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥，所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。
一种接入网网元，包括接收模块和执行模块，其中

所述接收模块设置成：接收鉴权信息与安全控制信息；

所述执行模块设置成：根据所述鉴权信息与安全控制信息执行对预选用户设备的鉴权或者NAS安全建立过程。
如权利要求35所述的接入网网元，该接入网网元还包括统计模块，其中

所述统计模块设置成：统计本接入网网元范围内的用户设备的驻留时间以及进入本接入网网元覆盖范围的用户设备的进入频率，若有用户设备的驻留时间超过第一预设门限，所述驻留时间为连续的驻留时间或累计的驻留时间，和/或，若同一用户设备进入本接入网网元覆盖范围的频率超过第二预设门限，则上报统计结果和/或本接入网网元的标识，以便核心网将满足所述统计结果的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元，或者将接收到的标识对应的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元。
如权利要求36所述的接入网网元，该接入网网元还包括发送模块，其中

所述发送模块设置成：通过广播消息或者专用信令将可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元的标识发送给所述预选用户设备。
如权利要求35所述的接入网网元，其中

所述执行模块设置成按照如下方式根据所述鉴权信息与安全控制信息执行对预选用户设备的鉴权：

根据所述鉴权信息与安全控制信息生成鉴权向量；

向所述预选用户设备发送鉴权要求，携带所述鉴权向量；

接收所述预选用户设备反馈的鉴权响应，根据所述鉴权向量和所述鉴权响应进行鉴权。
如权利要求38所述的接入网网元，其中，

所述执行模块设置成按照如下方式根据所述鉴权信息与安全控制信息生成鉴权向量：

根据所述鉴权信息与安全控制信息中的鉴权信息中的预设用户所对应的固定密钥或者永久密钥，生成对应的中间鉴权向量；或者，

接收所述鉴权信息与安全控制信息中的鉴权信息中的预设用户所对应的中间鉴权向量。
如权利要求35所述的接入网网元，其中，

所述执行模块设置成按照如下方式根据所述鉴权与安全控制信息执行对预选用户设备的NAS安全建立过程：

选择NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥；或者，

接收NAS安全算法和NAS完整性保护算法，并据此生成所述预选用户设备对应的NAS安全密钥和NAS完整性保护密钥。
如权利要求40所述的接入网网元，其中，

所述执行模块设置成按照如下方式根据所述鉴权信息与安全控制信息执行对预选用户设备的NAS安全建立过程：

根据所述NAS安全密钥和NAS完整性保护密钥构造NAS安全模式命令，发送所述NAS安全模式命令给所述预选用户设备；

接收所述预选用户设备反馈的NAS安全模式完成信令。
如权利要求35-41中任一项所述的接入网网元，其中，

所述执行模块还设置成：根据所述鉴权信息与安全控制信息执行对预选用户设备的NAS安全建立过程之后，上报NAS安全建立的上下文信息；

其中，所述NAS安全建立的上下文信息中包含：所述接入网网元生成的NAS安全密钥和NAS完整性保护密钥，所述接入网网元选择的NAS安全算法和NAS完整性保护算法的标识。
一种无线网络鉴权方法，包括：

当用户设备需要和网络侧完成鉴权或NAS建立安全过程时，所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。
如权利要求43所述的无线网络鉴权方法，其中：所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程的步骤包括：

所述用户设备统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率，若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限，则将该接收网网元的标识或对应的统计结果上报给核心网，以便核心网将满足所述统计结果的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元。
如权利要求43所述的无线网络鉴权方法，其中：所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程的步骤之前，该方法包括：

所述用户设备接收被授权可执行鉴权或者NAS安全建立的接入网网元的列表。
如权利要求43-45任一项所述的无线网络鉴权方法，其中，所述用户设备与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程的步骤之后，该方法还包括：

所述用户设备向接入网网元发送NAS安全模式完成信令，所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。
一种用户设备，包括处理模块，其中

所述处理模块设置成：当用户设备需要和网络侧完成鉴权或NAS建立安全过程时，与被授权可执行鉴权或NAS安全建立的接入网网元进行鉴权或NAS安全建立过程。
如权利要求47所述的用户设备，该用户设备还包括统计模块，其中

所述统计模块设置成：统计其驻留在每个接入网网元的时间以及进入每个接入网网元范围的频率，若发现其驻留在一接入网网元范围的时间超过第一预设门限或者其进入一接入网网元范围的频率超过第二预设门限，则将该接收网网元的标识或对应的统计结果上报给核心网，以便核心网将满足所述统计结果的接入网网元确定为可授权执行对用户设备的鉴权或者NAS安全建立过程的接入网网元。
如权利要求47所述的用户设备，该用户设备还包括接收模块，其中

所述接收模块设置成：接收被授权可执行鉴权或者NAS安全建立的接入网网元的列表。
如权利要求47-49任一项所述的用户设备，该用户设备还包括发送模块，其中

所述发送模块设置成：向接入网网元发送NAS安全模式完成信令，所述NAS安全模式完成信令使用所述用户设备算出的NAS安全密钥和NAS完整性保护密钥进行加密和完整性保护。