WO2017024449A1

WO2017024449A1 - 终端接入3gpp网络的处理方法及装置

Info

Publication number: WO2017024449A1
Application number: PCT/CN2015/086390
Authority: WO
Inventors: 李�赫; 于游洋; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2015-08-07
Filing date: 2015-08-07
Publication date: 2017-02-16
Also published as: EP3324681A4; EP3324681B1; CN111064756B; CN107079377B; CN111064756A; US10278073B2; EP3614741B1; RU2682849C1; EP3324681A1; US20190215690A1; CN107079377A; US20180167813A1; EP3614741A1; US10681546B2; KR20180033263A; KR102084580B1

Abstract

一种终端接入3GPP网络的处理方法，UE向3GPP网络中的核心网设备发送接入请求消息，核心网设备判断UE没有接入3GPP网络的权限后，向UE发送无权接入消息，该无权接入消息包含核心网设备的鉴权信息。UE根据核心网设备的鉴权信息对该核心网设备进行鉴权，如果UE对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，能够提高3GPP网络的接入效率。

Description

终端接入3GPP网络的处理方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及终端接入3GPP(The 3rd Generation Partnership Project，第三代合作伙伴计划)网络的处理方法及装置。

背景技术

3GPP主要是为第三代移动通信系统制定全球适用技术规范和技术报告。基于3GPP框架的网络均可以称为3GPP网络，例如，基于3GPP框架的移动通信网络。

3GPP网络可以为移动终端之间进行通信提供基础，具有信号覆盖宽广、移动性能较高的优点，但是数据传输速率较低。而非3GPP网络，例如，WLAN(Wireless Local Area Networks，无线局域网)可以提供热点覆盖、具有数据传输速率较高的特点，但是移动性能低。因此，如果将3GPP网络和非3GPP(non-3GPP)网络结合，既能提高用户体验，又能降低网络建设成本和无线资源需求。

UE(User Equipment，用户设备)可以直接接入3GPP网络，也可以通过非3GPP网络接入3GPP网络，核心网设备会判断UE是否有权接入3GPP网络；如果核心网设备发现UE无权接入，则产生无权接入消息并发送给UE，但是，UE仍然会继续尝试接入3GPP网络。如果有50万个用户尝试接入3GPP网络，假设会有40万个用户因为没有权限导致无法接入，也就是说，HSS会对这40万个用户发送无权接入消息，而这40万个用户仍会不停地尝试接入3GPP网，导致核心网设备负担过重。

发明内容

本发明实施例中提供了一种终端接入3GPP网络的处理方法及装置，以解决现有技术中核心网设备负担过重的问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

第一方面，本发明提供一种终端接入3GPP网络的处理方法，包括：

终端向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息；

所述终端接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络；

所述终端根据所述鉴权信息对发送所述核心网设备进行鉴权；

当所述终端对所述核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。

结合第一方面，在第一方面的第一种可能的实现方式中，所述鉴权信息包括第一消息摘要，所述第一消息摘要用于使所述终端对所述核心网设备中的归属用户服务器HSS进行鉴权；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，包括：

根据预设算法、所述终端的身份信息及所述无权接入消息携带的失败消息码，生成第二消息摘要；

若所述第一消息摘要与所述第二消息摘要相同，则确定对所述HSS鉴权成功；或者，若所述第一消息摘要与所述第二消息摘要不同，则确定对所述HSS鉴权失败。

结合第一方面，在第一方面的第二种可能的实现方式中，所述鉴权信息包括鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC，所述第一参数用于生成期望消息鉴权码X-MAC；

根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。

结合第一方面，在第一方面的第三种可能的实现方式中，所述鉴权信息包括演进的分组数据域网关ePDG的证书信息和签名信息；

若所述ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，

若所述ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败。

结合第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述鉴权信息还包括鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，还包括：

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述 X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。

结合第一方面、第一方面的第一种可能的实现、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式中的至少一种，在第一方面的第五种可能的实现方式中，所述当终端对所述核心网设备鉴权成功后，执行相应的网络接入策略，包括：

所述终端停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路；

所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡、重新开机、所述终端尝试接入3GPP网络失败后超过第一预设时长、所述终端重新选择非3GPP网络。

结合第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，所述接入请求消息还包括接入点名称APN信息，所述APN信息用于表征所述终端申请使用的非3GPP网络，所述核心网设备包括ePDG；

所述终端停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路，包括：

若所述ePDG属于归属地公共陆地移动网络HPLMN，则所述终端停止尝试接入所述3GPP网络，直到所述终端的状态满足以下至少一种：更换SIM卡、重新开机、尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；或者，

若所述ePDG属于拜访地公共陆地移动网络VPLMN，则当所述终端重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。

结合第一方面的第五种可能的实现方式，在第一方面的第七种可能的实现方式中，所述核心网设备不包括所述ePDG，所述第一预设条件包括所述终端尝试接入3GPP网络失败后超过第一预设时长。

结合第一方面、第一方面的第一种可能的实现、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式、第五种可能的实现方式、第六种可能的实现方式、第七种可能的实现方式中的至少一种，在第一方面的第八种可能的实现方式中，所述方法还包括：

若所述终端对所述核心网设备鉴权失败，则所述终端尝试重新接入所述3GPP网络；

如果尝试预设次数均失败，则在第二预设时长后，重新尝试接入所述3GPP网络。

第二方面，提供一种终端接入3GPP网络的处理方法，包括：

核心网设备接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息；

当所述核心网设备根据所述终端的身份信息，确定所述终端没有接入所述3GPP网络的权限时，向所述终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于所述终端对所述核心网设备进行鉴权。

结合第二方面，在第二方面的第一种可能的实现方式中，

若所述核心网设备包括演进的分组数据域网关ePDG，则所述鉴权信息包括所述ePDG的证书信息和签名信息，或者，

所述鉴权信息包括所述ePDG的证书信息和签名信息，以及鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC；

或者，

所述核心网设备不包括所述ePDG，则所述鉴权信息包括第一消息摘要，所述第一消息摘要由HSS根据预设算法、所述无权接入消息所携带的失败消息码及所述终端的身份信息生成，或者，所述鉴权信息包括所述鉴权向量集。

第三方面，提供一种终端，包括：

发送器，用于向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息；

接收器，用于接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络；

处理器，用于根据所述鉴权信息对发送所述核心网设备进行鉴权，当对所述核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。

结合第三方面，在第三方面的第一种可能的实现方式中，所述鉴权信息包括第一消息摘要，所述第一消息摘要用于使所述终端对所述核心网设备中的归属用户服务器HSS进行鉴权；

当所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

结合第三方面，在第三方面的第二种可能的实现方式中，所述鉴权信息包括鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC，所述第一参数用于生成期望消息鉴权码X-MAC；

根据所述第一参数生成所述X-MAC；

结合第三方面，在第三方面的第三种可能的实现方式中，所述鉴权信息包括演进的分组数据域网关ePDG的证书信息和签名信息；

结合第三方面的第三种可能的实现方式，在第三方面的第四种可能的实现方式中，所述鉴权信息还包括鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；

所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，进一步用于：

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

结合第三方面、第三方面的第一种可能的实现、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式中的至少一种，在第三方面的第五种可能的实现方式中，所述处理器对所述核心网设备鉴权成功后，执行相应的网络接入策略时，具体用于：

停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路；

所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡、重新开机、所述终端尝试接入3GPP网络失败后超过第一预设时长，所述终端重新选择非3GPP网络。

结合第三方面的第五种可能的实现方式，在第三方面的第六种可能的实现方式中，所述接入请求消息还包括接入点名称APN信息，所述APN信息用于表征所述终端申请使用的非3GPP网络，所述核心网设备包括ePDG；

所述处理器停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路时，具体用于：

若所述ePDG属于归属地公共陆地移动网络HPLMN，则停止尝试接入所述3GPP网络，直到所述终端的状态满足以下至少一种：更换SIM卡、重新开机、尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；或者，

若所述ePDG属于拜访地公共陆地移动网络VPLMN，则当重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。

结合第一方面、第一方面的第一种可能的实现、第二种可能的实现方式、第三种可能的实现方式、第四种可能的实现方式、第五种可能的实现方式、第六种可能的实现方式、第七种可能的实现方式中的至少一种，在第一方面的第八种可能的实现方式中，所述处理器进一步用于：

若对所述核心网设备鉴权失败，则尝试重新接入所述3GPP网络；

第四方面，提供一种核心网设备，包括：

接收器，用于接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息；

处理器，用于当根据所述终端的身份信息，确定所述终端没有接入所述3GPP网络的权限时，通过通信接口向所述终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于使所述终端对所述核心网设备进行鉴权。

结合第四方面，在第四方面的第一种可能的实现方式中，若所述核心网设备包括演进的分组数据域网关ePDG，则所述鉴权信息包括所述ePDG的证书信息和签名信息，或者，

或者，

由以上技术方案可见，本发明实施例提供的终端接入3GPP网络的处理方法，终端向3GPP网络中的核心网设备发送接入请求消息，核心网设备判断终端没有接入3GPP网络的权限后得到无权接入消息，该无权接入消息包含核心网设备的鉴权信息。终端根据核心网设备的鉴权信息对该核心网设备进行鉴权，如果终端对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，能够提高3GPP网络的接入效率。

附图说明

构成本申请的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为现有技术的一种3GPP网络的核心网架示意图；

图2为本发明实施例一种终端接入3GPP网络的处理方法流程图；

图3为本发明实施例另一种终端接入3GPP网络的处理方法流程图；

图4为本发明实施例一种终端接入3GPP网络的处理方法流程图；

图5为本发明实施例另一种终端接入3GPP网络的处理方法流程图；

图6为本发明实施例另一种终端接入3GPP网络的处理方法流程图；

图7为本发明实施例一种终端的框图；

图8为本发明实施例一种终端接入3GPP网络的处理装置的框图；

图9为本发明实施例一种核心网设备的框图；

图10为本发明实施例另一种终端接入3GPP网络的处理装置的框图。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

具体实施方式

在详细介绍本发明的具体实施例之前，首先对核心网设备进行简单说明：

图1是一种核心网的示意图，核心网设备主要包括HSS(Home Subscriber Server，归属用户服务器)、ePDG(evloved Packet Data Gateway，演进的分组数据域网关)、AAA(Authentication,Authorization,and Accounting Server，鉴权授权和账户)服务器，其中，HSS用于判断UE是否有权接入3GPP网络。在UE通过非3GPP网络接入3GPP网络的应用场景中，从核心网侧看，支持可信非3GPP网络接入和非可信非3GPP网络接入，例如，运营商部署的WLAN是可信非3GPP网络，而一家书店中的WLAN就是非可信非3GPP网络。在通过非可信非3GPP网络接入的应用场景中，UE需要通过ePDG接入核心网，因此，此应用场景中，核心网设备包括ePDG、AAA服务器和HSS；在通过可信非3GPP网络接入的应用场景中，UE不需要ePDG就能接入核心网，因此，此种应用场景中，核心网设备包括AAA服务器和HSS；在UE直接接入3GPP网络的应用场景中，UE可以直接接入HSS，此种应用场景中，核心网设备至少包括HSS。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所述描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参见图2，示出了本发明实施例一种UE接入3GPP网络的处理方法流程图，如图2所示，该方法应用于UE中，例如，手机。该方法可以包括以下步骤：

S110，UE向3GPP网络的核心网设备发送接入请求消息。

接入请求消息包括UE的身份信息。UE的身份信息用于唯一表征UE，例如，可以是UE的IMSI(International Mobile Subscriber Identification Number，国际移动用户识别码)。

在UE通过非3GPP网络接入3GPP网络时，接入请求消息中进一步可以包括APN(Access Point Name，接入点名称)信息，该APN信息用于表征UE请求使用的非3GPP网络的信息，例如，WLAN的ID(Identification，身份标识)。

S120，UE接收核心网设备发送的无权接入消息，无权接入消息包括所述核心网设备的鉴权信息。

无权接入消息中还包括失败消息码，该失败消息码用于表征UE无权接入3GPP网络的类型，例如，欠费停机、无权限接入网络等。核心网设备通过该消息告知UE无权接入3GPP的具体信息。

核心网设备不同，对应的鉴权信息也不相同。在本发明的一个实施例中，核心网设备包括ePDG时，鉴权信息可以包括ePDG的鉴权信息，即ePDG的证书信息和签名信息；或者，

核心网设备的鉴权信息可以包括ePDG的鉴权信息和HSS的鉴权信息，其中，HSS的鉴权信息包括HSS判定UE无权接入3GPP网络时产生的鉴权向量集，其中，鉴权向量集包括失败消息码、第一参数和MAC(Message Authentication Code，消息鉴权码)。在本发明的另一个实施例中，核心网设备不包括ePDG，则鉴权信息包括第一消息摘要，第一消息摘要由所述HSS根据预设算法、所述失败消息码、所述UE的身份信息生成；或者，所述鉴权信息包括所述鉴权向量集。

S130，UE根据鉴权信息对核心网设备进行鉴权。

UE接收到来自核心网设备的无权接入消息，并利用无权接入消息所包含的核心网设备的鉴权信息对核心网设备进行鉴权，判断该核心网设备是否合法，即无权接入消息的来源是否合法。

S140，当UE对核心网设备鉴权成功后，执行相应的网络接入策略，以减少向核心网设备发送接入请求消息的数量。

如果UE对核心网设备鉴权成功，即确定无权接入消息的来源合法，则根据相应的网络接入策略尝试连接3GPP网络，减少请求连接网络的数量，进而减少核心网设备处理接入请求消息的数量，减轻核心网设备的负担。

本实施例提供的终端接入3GPP网络的处理方法，UE向3GPP网络中的核心网设备发送接入请求消息，核心网设备判断UE没有接入3GPP网络的权限后，向UE发送无权接入消息，该无权接入消息包含核心网设备的鉴权信息。UE根据核心网设备的鉴权信息对该核心网设备进行鉴权，如果UE对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，能够提高3GPP网络的接入效率。

请参见图3，示出了本发明实施例示出的另一种UE接入3GPP网络的处理方法流程图，该方法应用于核心网设备中，如图3所示，该方法可以包括以下步骤：

S210，核心网设备接收UE发送的接入请求消息，接入请求消息包括UE的身份信息。

在UE通过非3GPP网络接入3GPP网络的应用场景中，UE发送的接入请求消息中还包括APN信息，HSS根据UE的身份信息获得UE的权限信息，例如，是否欠费停机等，判断UE是否有权接入3GPP网络；然后，判断该UE是否有权限使用APN信息对应的非3GPP网络。如果UE有权限使用APN信息对应的非3GPP网络，且 UE有权接入3GPP网络，则确定UE可以通过APN信息对应的非3GPP网络；否则，两者任意一项不满足，则确定UE无权接入3GPP网络。

S220，当核心网设备根据UE的身份信息，判定该UE不具有接入3GPP网络的权限时，向该UE发送无权接入消息，无权接入消息包括核心网设备的鉴权信息。

核心网设备不同时，对应的鉴权信息也不相同，前已叙及，此处不再赘述。

在通过非可信非3GPP网络接入3GPP网络的应用场景中，如果HSS判定UE没有接入3GPP网络的权限，HSS将无权接入消息发送给AAA服务器，AAA服务器再将该无权接入消息发送给ePDG，ePDG将自身的鉴权信息加入该无权接入消息中并发送给UE。

在通过可信非3GPP网络接入3GPP网络，或直接接入3GPP网络的应用场景中，如果HSS判定UE没有接入3GPP网络的权限，则产生无权接入消息，可以将HSS的鉴权信息加入无权接入消息中，并发送给UE。UE根据核心网设备的鉴权信息对核心网设备进行鉴权，并对核心网设备鉴权成功后，执行相应的网络接入策略，减少向核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担。

本实施例提供的UE接入3GPP网络的处理方法，核心网设备根据UE的身份信息，判断UE是否具有接入3GPP网络的权限，如果判定UE没有该权限，则产生无权接入消息，无权接入消息中携带核心网设备的鉴权信息。UE根据核心网设备的鉴权信息对核心网设备进行鉴权，如果UE对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，提高3GPP网络的接入效率。

请参见图4，示出了本发明实施例一种终端接入3GPP网络的处理方法流程图，该方法应用于UE通过非可信非3GPP网络接入3GPP网络的应用场景中，例如，UE通过非可信WLAN接入3GPP网络，如图4所示，该方法可以包括以下步骤：

S310，UE向ePDG发送接入请求消息。

本实施例中，接入请求消息包括UE的身份信息和APN信息。APN信息表征UE申请使用的非可信非3GPP网络。

具体实施时，在UE向ePDG发送接入请求消息之前，UE和ePDG之间进行IKEv2_SA_INIT信令交互，协商加密算法，加密用的随机数以及交换生成密钥的D-H数据。

然后，UE向ePDG发送接入请求消息，该接入请求消息用于请求接入3GPP网络。

S320，ePDG向AAA服务器转发该接入请求消息。

S330，AAA服务器将该接入请求消息发送给HSS。

S340，HSS根据UE的身份信息和APN信息判断UE是否具有接入3GPP网络的权限；如果UE没有接入3GPP网络的权限，则执行S350。

HSS根据UE的身份信息获得UE的权限信息，例如，是否欠费停机等，判断UE是否有权接入3GPP网络；然后，判断该UE是否有权限使用APN信息对应的非3GPP网络。如果UE有权限使用APN信息对应的非3GPP网络，且UE有权接入3GPP网络，则确定UE可以通过APN信息对应的非3GPP网络；否则，两者任意一项不满足，则确定UE无权接入3GPP网络。

S350，HSS产生失败消息码，并将该失败消息码发送给AAA服务器服务器。

HSS判定UE无权接入3GPP网络时，产生相应的失败消息码，通过AAA服务器、ePDG传递给UE。

S360，AAA服务器将失败消息码发送给ePDG。

S370，ePDG根据失败消息码及ePDG的鉴权信息，得到无权接入消息，并将该无权接入消息发送给UE。

ePDG接收到失败消息码后，将自身的鉴权信息加入到失败消息码中，传递给UE；ePDG的鉴权信息包括证书(Certificate)和签名信息；其中，签名信息，即AUTH(authentication，鉴权)信息。

S380，UE根据ePDG的鉴权信息对ePDG进行鉴权；如果UE对ePDG鉴权成功，则执行S390；如果UE对ePDG鉴权失败，则执行S3120。

UE验证ePDG的证书和AUTH信息的真实性，具体实施时，UE获取ePDG的身份标识，并根据ePDG的身份标识从认证中心获取ePDG的证书，然后，比较获得的ePDG的证书与接收到的ePDG的证书是否相同；AUTH信息用于描述鉴权方式和鉴权内容。

如果ePDG的证书和AUTH信息均正确，则确定对ePDG鉴权成功，即确定ePDG是合法设备；如果ePDG的证书和AUTH信息中的任一项不正确，则确定对ePDG鉴权失败，即认为ePDG不是合法设备，即，无权接入消息来源不合法。

S390，UE判断ePDG属于HPLMN(Home Public Land Mobile Network，归属地公共陆地移动网络)还是VPLMN(Visited Public Land Mobile Network，拜访地公共陆地移动网络)；如果ePDG属于HPLMN，则执行S3100；如果ePDG属于VPLMN，则执行S3110。

UE可以根据ePDG的FQDN(Fully qualified domain name，完全合格域名)消息中的信息，判断ePDG是HPLMN部署的ePDG，还是VPLMN部署的ePDG。

S3100，UE停止尝试从非可信非3GPP网络接入3GPP网络，直到UE的状态满足以下至少一种：更换SIM(Subscriber Identity Module，客户识别模块)卡、重新开机、计时超过第一预设时长。

当UE尝试接入3GPP网络失败时开始计时，计时达到第一预设时长后，重新尝试接入3GPP网络。

当UE的状态满足上述至少一种时，尝试从当前非可信非3GPP网络接入3GPP网络。

当前非可信非3GPP网络，即UE申请使用的非可信性非3GPP网络，即APN信息对应的非可信非3GPP网络。

S3110，UE重新选择非3GPP网络，并尝试从重新选择的非3GPP网络接入3GPP网络。

如果UE判定ePDG属于VPLMN，则重新选择非3GPP网络(包括可信非3GPP和非可信非3GPP)，并尝试通过重新选择的非3GPP网络接入3GPP网络。

S3120，UE尝试重新从当前非可信非3GPP网络接入3GPP网络，如果尝试预设次数均失败，则在第二预设时长后，再重新尝试从当前非可信非3GPP网络接入3GPP网络。

如果UE对ePDG鉴权失败，即UE认为ePDG是非法设备，则尝试从当前非可信非3GPP网络接入3GPP网络，并且在尝试预设次数均失败后，启动第一定时器，当第一定时器定时达到第二预设时长之前，不再尝试从当前非可信非3GPP网络接入3GPP网络；如果第一定时器超过第二预设时长后，重新尝试从当前非可信非3GPP网络接入3GPP网络，并在尝试预设次数均失败后，再次启动第一定时器。

其中，当前非可信非3GPP网络是指UE当前尝试接入3GPP所使用的非3GPP网络。预设次数和第二预设时长的数值均可以由归属运营商根据实际需求自由设定。

本实施例提供的终端接入3GPP网络的处理方法，应用于通过非可信非3GPP网络接入3GPP网络的应用场景中，当HSS判定UE没有接入3GPP网络的权限时，产生失败消息码，并将失败消息码传递给ePDG，ePDG根据失败消息码和自身的鉴权信息得到无权接入消息，并发送给UE。UE根据ePDG的鉴权信息判定ePDG是否是合法设备，如果判定ePDG是合法设备，则在UE的状态满足相应的条件之前不再重新尝试接入3GPP网络，以便减少向核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进一步提高终端接入3GPP网络的效率。

请参见图5，示出了本发明实施例另一种终端接入3GPP网络的处理方法流程图，该方法可以应用于UE通过非可信非3GPP网络接入3GPP网络的应用场景中，如图5所示，该方法可以包括以下步骤：

S410，UE向ePDG发送接入请求消息。本实施例中，接入请求消息至少包括UE的身份信息和APN信息。APN信息表征UE申请使用的非可信非3GPP网络。

S420，ePDG向AAA服务器转发接入请求消息。

S430，AAA服务器将接入请求消息发送给HSS。

S440，HSS根据UE的身份信息和APN信息判断UE是否具有接入3GPP网络的权限；如果UE没有接入3GPP网络的权限，则执行S450。

S450，HSS产生失败消息码，并根据预设算法、失败消息码、UE的身份信息及APN信息得到第一消息摘要。

在本发明的一个实施例中，HSS可以将UE的身份信息、APN信息和失败消息码输入到预设算法中，得到第一消息摘要。预设算法可以是完整性保护算法，例如，Hash-256算法。

在本发明的其它实施例中，HSS根据预设算法、UE的身份信息、APN信息和失败消息码，以及其它的信息，得到第一消息摘要。

S460，HSS根据失败消息码和第一消息摘要得到无权接入消息，并将该无权接入消息发送给AAA服务器。

HSS将生成的第一消息摘要和失败消息码作为无权接入消息并传递给UE。

S470，AAA服务器将接收到的无权接入消息发送给ePDG。

S480，ePDG将接收到的无权接入消息发送给UE。

S490，UE接收到无权接入消息后，获得失败消息码和第一消息摘要。

S4100，UE根据所述预设算法、失败消息码、UE的身份信息及APN信息得到第二消息摘要。

UE利用HSS生成第一消息摘要的方法生成第二消息摘要。

S4110，UE比较第一消息摘要与第二消息摘要是否相同；如果相同，则执行S4120；如果不相同，则执行S4160。

S4120，UE确定对HSS鉴权成功；即UE确定HSS是合法设备。

S4130，UE判断ePDG属于HPLMN还是VPLMN；如果ePDG属于HPLMN，则执行S4140；如果ePDG属于VPLMN，则执行S4150。

UE确定HSS是合法设备后，需要判断ePDG所属的网络，前已叙及，此处不再赘述。

S4140，UE停止尝试从非可信非3GPP网络接入3GPP网络，直到UE的状态满足以下至少一种：UE更换SIM卡、重新开机、计时超过第一预设时长。

S4150，UE重新选择非3GPP网络，并尝试从重新选择的非3GPP网络接入3GPP网络。

其中，S4130至S4150与图4所示实施例中的S390至S3110相同，此处不再赘述。

S4160，UE尝试重新从当前非可信非3GPP网络接入3GPP网络，如果尝试预设次数均失败，则在第二预设时长后，再尝试从当前非可信非3GPP网络接入3GPP网络。

当前非可信非3GPP网络，即UE申请使用的非可信非3GPP网络，也即，所述APN信息对应的非可信非3GPP网络。

如果UE对HSS鉴权失败，即认为HSS是非法设备，则重新尝试从当前非可信非3GPP网络接入3GPP网络，并且在尝试预设次数均失败后，启动第一定时器，当第一定时器定时达到第二预设时长之前，不再尝试从当前非可信非3GPP网络接入3GPP网络；如果第一定时器超过第二预设时长后，重新尝试从当前非可信非3GPP网络接入3GPP网络，并在尝试预设次数均失败后，再次启动第一定时器。

其中，预设次数和第二预设时长的数值均可以由归属运营商根据实际需求自由设定。

本实施例提供的终端接入3GPP网络的处理方法，HSS判定UE没有接入3GPP网络的权限后，根据预设算法，利用失败消息码、UE的身份信息及APN信息，得到第一消息摘要，并将第一消息摘要和失败消息码作为无权接入消息发送给UE。UE接收到无权接入消息后，利用相同的方法产生第二消息摘要，UE通过比较第一消息摘要与第二消息摘要对HSS进行鉴权；如果对HSS鉴权成功，根据无权接入消息执行相应的网络接入策略，减少向核心网设备发送的网络接入请求的数量，从而减轻了核心网设备的负担，进一步提高终端接入3GPP网络的效率。

此外，图5所示实施例提供的终端接入3GPP网络的处理方法，HSS直接在无权接入消息中添加用于使UE验证HSS是否是合法设备的第一消息摘要，使得UE不需要对ePDG进行鉴权，因此，通过消息摘要对HSS进行鉴权的方式可以应用于不需要ePDG的应用场景中，例如，通过可信非3GPP网络接入3GPP网络，或者，直接接入3GPP网络。其中，在需要ePDG的应用场景中，UE通过消息摘要对HSS进行鉴权的方法与图5中的相关步骤相同，此处不再赘述。

如果对HSS鉴权成功，则在计时超过第一预设时长之前，不再尝试接入3GPP网络；当计时超过第一预设时长后，尝试接入3GPP网络。当UE尝试接入3GPP网络失败时开始计时，计时达到第一预设时长后，重新尝试接入3GPP网络。如果对HSS鉴权失败，则尝试接入3GPP网络，如果尝试预设次数均失败，则在预设次数尝试均失败后开始计时，并在计时达到第二预设时长后，再尝试接入3GPP网络。

请参见图6，示出了本发明实施例另一种终端接入3GPP网络的处理方法流程图，该方法可以应用于通过非可信非3GPP网络接入3GPP网络的应用场景中，如图6所示，该方法可以包括以下步骤：

S510，UE向ePDG发送接入请求消息。接入请求消息至少包括UE的身份信息和APN信息。本实施例中，APN信息表示UE申请使用的非可信非3GPP网络的信息。

S520，ePDG向AAA服务器转发接入请求消息。

S530，AAA服务器将接入请求消息发送给HSS。

S540，HSS根据UE的身份信息和APN信息判断UE是否具有接入3GPP网络的权限；如果UE没有接入3GPP网络的权限，则执行S550。

S550，HSS产生鉴权向量集，并将失败消息码携带于所述鉴权向量集中。

在本发明实施例中，鉴权向量集包括AMF(Authentication Management Field，鉴权管理域)、第一参数和MAC；可以将失败消息码复制到AMF中，利用AMF作为传递失败消息码的载体。其中，第一参数用于生成X-MAC(Excepted Message Authentication Code，期望获得的消息鉴权码)

AMF是鉴权向量集中的一部分，一共有16个比特位，第0个比特位是分离比特位，主要用于区分HSS的鉴权参数是使用UMTS(Universal Mobile Telecommunications System，通用移动通信系统)网络还是LTE(Long Term Evolution，长期演进)网络，如果是UMTS网络，则第0个比特位是“0”；如果是LTE网络，则第0个比特位是“1”。可以利用AMF的其它比特位存放失败消息码。

其中，所述第一参数可以包括密钥和随机数，UE利用随机数和密钥生成X-MAC；或者，所述第一参数至少包括随机数，密钥可以由UE生成，UE进而根据密钥和随机数生成X-MAC。

S560，HSS将无权接入消息发送给AAA服务器，无权接入消息包括所述鉴权向量集。

HSS将无权接入消息发送给AAA服务器后，删除所述鉴权向量集，从而节省HSS内的存储空间。

S570，AAA服务器将接收到的无权接入消息发送给ePDG。

S580，ePDG将自身的鉴权信息携带于无权接入消息中，并发送给UE。

ePDG的鉴权信息包括ePDG的证书和AUTH信息。

S590，UE接收到无权接入消息后，获得ePDG的鉴权信息，并对ePDG进行鉴权；如果UE对ePDG鉴权成功，则执行S5100；如果UE对ePDG鉴权失败，则执行S5150。

UE对ePDG鉴权的过程参见图4所示实施例中的相关内容，此处不再赘述。

UE接收到无权接入消息后，首先对ePDG进行鉴权，如果对ePDG鉴权成功后，再对HSS鉴权；否则，对ePDG鉴权失败后，无需对HSS鉴权。

S5100，UE根据第一参数得到X-MAC，并比较X-MAC与MAC是否相同，如果X-MAC与MAC相同，则执行S5110；如果X-MAC与MAC不相同，则执行S5150。

S5110，UE确定HSS是合法设备。即UE确定无权接入消息来源于合法设备。

S5120，UE判断ePDG属于HPLMN还是VPLMN；如果ePDG属于HPLMN，则执行S5130；如果ePDG属于VPLMN，则执行S5140。

UE对HSS鉴权成功后，需要根据ePDG所属的网络执行相应的网络接入策略。

S5130，UE停止尝试从当前非可信非3GPP网络接入3GPP网络，直到UE的状态满足以下至少一种：UE更换SIM卡、重新开机、计时超过第一预设时长。

S5140，UE重新选择非3GPP网络，并尝试从重新选择的非3GPP网络接入3GPP网络。

其中，S5120至S5140与图4所示实施例中的S390至S3110相同，此处不再赘述。

S5150，UE确定对无权接入消息的来源鉴权失败，并尝试重新从当前非可信非3GPP网络接入3GPP网络，如果尝试预设次数均失败，则在第二预设时长后，再尝试从当前非可信非3GPP网络接入3GPP网络。

如果UE对ePDG鉴权失败，或者，对HSS鉴权失败，即UE认为无权接入消息来源于非法设备，则重新尝试从当前非可信非3GPP网络接入3GPP网络，并且在尝试预设次数均失败后，启动第一定时器，当第一定时器定时达到第二预设时长之前，不再尝试从当前非可信非3GPP网络接入3GPP网络；如果第一定时器超过第二预设时长后，重新尝试从当前非可信非3GPP网络接入3GPP网络，并在尝试预设次数均失败后，再次启动第一定时器。

本实施例提供的终端接入3GPP网络的处理方法，HSS判定UE没有接入3GPP网络的权限后，产生鉴权向量集，并将失败消息码携带于鉴权向量集中。UE接收到HSS发送的鉴权向量集后，根据鉴权向量集中的参数判断HSS是否是合法设备，如果HSS是合法设备，则根据相应的网络接入策略，减少向核心网设备发送的网络接入请求的数量，从而减轻了核心网设备的负担，进一步能够提高终端接入3GPP网络的效率。

此外，本实施例提供的终端接入3GPP网络的处理方法，HSS判定UE没有权限接入3GPP网络后，产生鉴权向量集。UE可以直接利用鉴权向量集对HSS鉴权，该方法可以应用于不需要ePDG的应用场景中，例如，基于可信非3GPP网络接入3GPP网络，或者，直接接入3GPP网络的应用场景。UE通过鉴权向量集对HSS进行鉴权的过程可以参见图6所示实施例中的相关内容，此处不再赘述。

基于可信非3GPP网络接入3GPP网络，或者，直接接入3GPP网络的应用场景，如果UE根据鉴权向量集对HSS鉴权成功，则在计时超过第一预设时长之前，不再尝试接入3GPP网络；当计时超过第一预设时长后，尝试接入3GPP网络。当UE尝试接入3GPP网络失败时开始计时，计时达到第一预设时长后，重新尝试接入3GPP网络。如果对HSS鉴权失败，则尝试接入3GPP网络，如果尝试预设次数均失败，则在预设次数尝试均失败后开始计时，并在计时达到第二预设时长后，再尝试接入3GPP网络。

相应于上述的应用于终端的终端接入3GPP网络的处理方法实施例，本发明还提供了终端实施例。

请参见图7，示出了本发明实施例一种终端的框图，如图7所示，该终端包括发送器710、接收器720和处理器730。

发送器710，用于向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息。

接收器720，用于接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络。

处理器730，用于根据所述鉴权信息对发送所述核心网设备进行鉴权，当对所述核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。

在本发明的具体实施例中，如果对核心网设备鉴权成功，则处理器730具体用于：停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路；所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡，重新开机，所述终端尝试接入3GPP网络失败后超过第一预设时长，所述终端重新选择非3GPP网络。

如果对核心网设备鉴权失败，则处理器730具体用于：若对所述核心网设备鉴权失败，则尝试重新接入所述3GPP网络；如果尝试预设次数均失败，则在第二预设时长后，重新尝试接入所述3GPP网络。

本实施例提供的终端，通过发送器向3GPP网络中的核心网设备发送接入请求消息，核心网设备判断终端没有接入3GPP网络的权限后，向终端发送无权接入消息，该无权接入消息包含核心网设备的鉴权信息。终端通过接收器接收到该无权接入消息后，根据核心网设备的鉴权信息对该核心网设备进行鉴权，如果终端对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，能够提高3GPP网络的接入效率。

在本发明的一个实施例中，终端接收到的鉴权信息包括第一消息摘要，该第一消息摘要由HSS生成，用于使所述终端对HSS进行鉴权，本实施例可以应用于终端通过非可信非3GPP网络接入3GPP网络，或者，通过可信3GPP网络接入3GPP网络，或者，直接接入3GPP网络的应用场景中。

本实施例中，所述处理器730用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

本实施例提供的终端，HSS判定终端没有接入3GPP网络的权限后，根据预设算法，利用失败消息码、终端的身份信息及APN信息，得到第一消息摘要，并将第一消息摘要和失败消息码作为无权接入消息发送给终端。终端接收到无权接入消息后，利用相同的方法产生第二消息摘要，终端通过比较第一消息摘要与第二消息摘要对HSS进行鉴权；如果对HSS鉴权成功，根据无权接入消息执行相应的网络接入策略，减少向核心网设备发送的网络接入请求的数量，从而减轻了核心网设备的负担，进一步提高终端接入3GPP网络的效率。

在本发明的另一个实施例中，HSS对终端鉴权失败后，仍会产生鉴权向量集，使得终端根据该鉴权向量集对HSS鉴权。该实施例可以应用于终端通过非可信非3GPP网络接入3GPP网络，或者，通过可信3GPP网络接入3GPP网络，或者，直接接入3GPP网络的应用场景中。本实施例中，所述鉴权信息包括鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC，所述第一参数用于生成期望消息鉴权码X-MAC；

当处理器730用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

根据所述第一参数生成所述X-MAC；

本实施例提供的终端，HSS判定终端没有接入3GPP网络的权限后，产生鉴权向量集，并将失败消息码携带于鉴权向量集中。终端接收到HSS发送的鉴权向量集后，根据鉴权向量集中的参数判断HSS是否是合法设备，如果HSS是合法设备，则根据相应的网络接入策略，减少向核心网设备发送的网络接入请求的数量，从而减轻了核心网设备的负担，进一步能够提高终端接入3GPP网络的效率。

在本发明另一个实施例中，所述鉴权信息包括ePDG的证书信息和签名信息；本实施例应用于终端通过非可信非3GPP网络接入3GPP网络的应用场景中，即应用于核心网设备包括ePDG的应用场景中。

当处理器730用于根据鉴权信息对所述核心网设备进行鉴权时，具体用于：

若ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，

若ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败。

本实施例提供的终端，应用于通过非可信非3GPP网络接入3GPP网络的应用场景中，当HSS判定终端没有接入3GPP网络的权限时，产生失败消息码，并将失败消息码传递给ePDG，ePDG根据失败消息码和自身的鉴权信息得到无权接入消息，并发送给终端。终端根据ePDG的鉴权信息判定ePDG是否是合法设备，如果判定ePDG是合法设备，则在终端的状态满足相应的条件之前不再重新尝试接入3GPP网络，以便减少向核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进一步提高终端接入3GPP网络的效率。

在本发明的另一个实施例中，所述鉴权信息还包括鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；本实施例应用于核心网设备包含ePDG的应用场景中，

处理器730用于根据鉴权信息对核心网设备进行鉴权时具体用于：

若ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，若ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败；

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

在本发明的一个应用场景中，终端通过非可信非3GPP网络接入3GPP网络，此种应用场景中，核心网设备包括ePDG，终端发送的接入请求消息还包括接入点名称APN信息，所述APN信息用于表征所述终端申请使用的非3GPP网络；

处理器730停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路时，具体用于：

若ePDG属于HPLMN，则停止尝试接入3GPP网络，直到终端的状态满足以下至少一种：更换SIM卡、重新开机或尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；或者，

若ePDG属于VPLMN，则重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。

在本发明的另一个应用场景中，UE通过可信非3GPP网络接入3GPP网络，或者直接接入3GPP网络，此种应用场景下，核心网设备不包括所述ePDG，所述第一预设条件包括尝试接入3GPP网络失败后超过第一预设时长。

处理器730具体用于，当终端尝试接入3GPP网络失败后超过第一预设时长后，重新选择非3GPP网络后，重新尝试接入3GPP网络。

请参见图8，示出了本发明实施例一种终端接入3GPP网络的处理装置的框图，该装置应用于终端中，如图8所示，该装置可以包括：发送模块810、接收模块820、鉴权模块830和执行模块840。

发送模块810，用于向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息。

接收模块820，用于接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络.

鉴权模块830，用于根据所述鉴权信息对发送所述核心网设备进行鉴权。

在本发明一个实施例中，鉴权信息包括第一消息摘要，所述第一消息摘要由HSS产生，使所述终端对所述核心网设备中的归属用户服务器HSS进行鉴权；

本实施例中鉴权模块830具体用于：

在本发明的另一个实施例中，鉴权信息包括鉴权向量集，鉴权向量集包括第一参数和消息鉴权码MAC，第一参数用于生成X-MAC；

本实施例中，鉴权模块830具体用于：

根据所述第一参数生成所述X-MAC；

在本发明又一实施例中，核心网设备的鉴权信息包括ePDG的证书信息和签名信息；鉴权模块830具体用于：

在本发明的再一实施例中，鉴权信息包括ePDG的鉴权信息，以及鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；

所述鉴权模块830具体用于：

若所述ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，若所述ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败。

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

执行模块840，用于当鉴权模块830对核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。

在本发明一个实施例中，执行模块840具体用于：

所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡，重新开机，所述终端尝试接入3GPP网络失败后超过第一预设时长，所述终端重新选择非3GPP网络。

在本发明的另一实施例中，接入请求消息还包括接入点名称APN信息，APN信息用于表征所述终端申请使用的非3GPP网络，核心网设备包括ePDG；

执行模块840具体用于：

若所述ePDG属于HPLMN，则停止尝试接入所述3GPP网络，直到终端的状态满足以下至少一种：更换SIM卡、重新开机或尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；

或者，

若所述ePDG属于VPLMN，则当重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。

在本发明另一个实施例中，核心网设备不包括所述ePDG，即终端通过可信非3GPP网络接入3GPP网络，或者，直接接入3GPP网络；执行模块840具体用于当终端尝试接入3GPP网络失败后超过第一预设时长之后，重新尝试接入3GPP网络。

当鉴权模块830对核心网设备鉴权失败时，执行模块840具体用于：

尝试重新接入所述3GPP网络，如果尝试预设次数均失败，则在第二预设时长后，重新尝试接入所述3GPP网络。

本实施例提供的终端接入3GPP网络的处理装置，UE向3GPP网络中的核心网设备发送接入请求消息，核心网设备判断UE没有接入3GPP网络的权限后，向UE发送无权接入消息，该无权接入消息包含核心网设备的鉴权信息。UE根据核心网设备的鉴权信息对该核心网设备进行鉴权，如果UE对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向所述核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，能够提高3GPP网络的接入效率。

请参见图9，示出了本发明实施例一种核心网设备的框图，如图10所示，该核心网设备包括总线940；以及连接到总线940的处理器910、通信接口920和存储器930。

其中，通信接口920用于接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息。存储器930用于存储指令；处理器910执行该指令用于当根据终端的身份信息，确定终端没有接入3GPP网络的权限时，通过通信接口930向终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于使所述终端对所述核心网设备进行鉴权。

在本发明一个实施例中，如果核心网设备包括ePDG，则鉴权信息包括ePDG的证书信息和签名信息；或者，鉴权信息包括ePDG的证书信息和签名信息，以及鉴权向量集，鉴权向量集由HSS判定终端无权接入3GPP网络时产生，且鉴权向量集包括第一参数和消息鉴权码MAC。

在本发明另一个实施例中，核心网设备不包括ePDG，则所述鉴权信息包括第一消息摘要，所述第一消息摘要由HSS根据预设算法、无权接入消息所携带的失败消息码及终端的身份信息生成；或者，鉴权信息包括鉴权向量集。

对于终端根据ePDG的鉴权信息对ePDG鉴权的过程，终端根据鉴权向量集对HSS鉴权的过程，以及，终端根据第一消息摘要对HSS鉴权的过程，请参见对应方法实施例中的相关内容，此处不再赘述。

本实施例提供的核心网设备，核心网设备根据终端的身份信息，判断终端是否具有接入3GPP网络的权限，如果判定终端没有该权限，则产生无权接入消息，无权接入消息中携带核心网设备的鉴权信息。终端根据核心网设备的鉴权信息对核心网设备进行鉴权，如果终端对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，提高3GPP网络的接入效率。

请参见图10，示出了本发明实施例一种终端接入3GPP网络的处理装置的框图，该装置应用于核心网设备中，如图10所示，该装置可以包括：接收模块1010、处理模块1020和通信模块1030。

接收模块1010，用于接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息。

处理模块1020，用于当根据终端的身份信息，确定终端没有接入3GPP网络的权限时，通过通信模块1030向终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于使所述终端对所述核心网设备进行鉴权。

本实施例提供的终端接入3GPP网络的处理装置，核心网设备根据终端的身份信息，判断终端是否具有接入3GPP网络的权限，如果判定终端没有该权限，则产生无权接入消息，无权接入消息中携带核心网设备的鉴权信息。终端根据核心网设备的鉴权信息对核心网设备进行鉴权，如果终端对核心网设备鉴权成功，即确定无权接入消息的来源合法后，则执行相应的网络接入策略，减少向核心网设备发送接入请求消息的数量，从而减轻核心网设备的负担，进而，提高3GPP网络的接入效率。

以上所述仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种终端接入3GPP网络的处理方法，其特征在于，包括：

终端向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息；

所述终端接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络；

所述终端根据所述鉴权信息对发送所述核心网设备进行鉴权；

当所述终端对所述核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。
根据权利要求1所述的方法，其特征在于，所述鉴权信息包括第一消息摘要，所述第一消息摘要用于使所述终端对所述核心网设备中的归属用户服务器HSS进行鉴权；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，包括：

根据预设算法、所述终端的身份信息及所述无权接入消息携带的失败消息码，生成第二消息摘要；

若所述第一消息摘要与所述第二消息摘要相同，则确定对所述HSS鉴权成功；或者，若所述第一消息摘要与所述第二消息摘要不同，则确定对所述HSS鉴权失败。
根据权利要求1所述的方法，其特征在于，所述鉴权信息包括鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC，所述第一参数用于生成期望消息鉴权码X-MAC；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，包括：

根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。
根据权利要求1所述的方法，其特征在于，所述鉴权信息包括演进的分组数据域网关ePDG的证书信息和签名信息；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，包括：

若所述ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，

若所述ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败。
根据权利要求4所述的方法，其特征在于，所述鉴权信息还包括鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；

所述终端根据所述鉴权信息对所述核心网设备进行鉴权，还包括：

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。
根据权利要求1至5任一项所述的方法，其特征在于，所述当终端对所述核心网设备鉴权成功后，执行相应的网络接入策略，包括：

所述终端停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路；

所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡、重新开机、所述终端尝试接入3GPP网络失败后超过第一预设时长、所述终端重新选择非3GPP网络。
根据权利要求6所述的方法，其特征在于，所述接入请求消息还包括接入点名称APN信息，所述APN信息用于表征所述终端申请使用的非3GPP网络，所述核心网设备包括ePDG；

所述终端停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路，包括：

若所述ePDG属于归属地公共陆地移动网络HPLMN，则所述终端停止尝试接入所述3GPP网络，直到所述终端的状态满足以下至少一种：更换SIM卡、重新开机、尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；或者，

若所述ePDG属于拜访地公共陆地移动网络VPLMN，则当所述终端重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。
根据权利要求6所述的方法，其特征在于，所述核心网设备不包括所述ePDG，所述第一预设条件包括所述终端尝试接入3GPP网络失败后超过第一预设时长。
根据权利要求1至8任意一项所述的方法，其特征在于，所述方法还包括：

若所述终端对所述核心网设备鉴权失败，则所述终端尝试重新接入所述3GPP网络；

如果尝试预设次数均失败，则在第二预设时长后，重新尝试接入所述3GPP网络。
一种终端接入3GPP网络的处理方法，其特征在于，包括：

核心网设备接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息；

当所述核心网设备根据所述终端的身份信息，确定所述终端没有接入第三代合作伙伴计划3GPP网络的权限时，向所述终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于所述终端对所述核心网设备进行鉴权。
根据权利要求10所述的方法，其特征在于：

若所述核心网设备包括演进的分组数据域网关ePDG，则所述鉴权信息包括所述ePDG的证书信息和签名信息，或者，

所述鉴权信息包括所述ePDG的证书信息和签名信息，以及鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC；

或者，

所述核心网设备不包括所述ePDG，则所述鉴权信息包括第一消息摘要，所述第一消息摘要由归属用户服务器HSS根据预设算法、所述无权接入消息所携带的失败消息码及所述终端的身份信息生成，或者，所述鉴权信息包括所述鉴权向量集。
一种终端，其特征在于，包括：

发送器，用于向第三代合作伙伴计划3GPP网络的核心网设备发送接入请求消息，所述接入请求消息用于请求接入所述3GPP网络，所述接入请求消息包括所述终端的身份信息；

接收器，用于接收所述核心网设备发送的无权接入消息，所述无权接入消息用于表征所述终端无权接入所述3GPP网络；

处理器，用于根据所述鉴权信息对发送所述核心网设备进行鉴权，当对所述核心网设备鉴权成功后，执行相应的网络接入策略，以减少所述终端向所述核心网设备发送接入请求消息的数量。
根据权利要求12所述的终端，其特征在于，所述鉴权信息包括第一消息摘要，所述第一消息摘要用于使所述终端对所述核心网设备中的归属用户服务器HSS进行鉴权；

当所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

根据预设算法、所述终端的身份信息及所述无权接入消息携带的失败消息码，生成第二消息摘要；

若所述第一消息摘要与所述第二消息摘要相同，则确定对所述HSS鉴权成功；或者，若所述第一消息摘要与所述第二消息摘要不同，则确定对所述HSS鉴权失败。
根据权利要求12所述的终端，其特征在于，所述鉴权信息包括鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC，所述第一参数用于生成期望消息鉴权码X-MAC；

当所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。
根据权利要求12所述的终端，其特征在于，所述鉴权信息包括演进的分组数据域网关ePDG的证书信息和签名信息；

当所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，具体用于：

若所述ePDG的证书信息和签名信息都正确，则确定对所述ePDG鉴权成功；或者，

若所述ePDG的证书信息或签名信息不正确，则确定对所述ePDG鉴权失败。
根据权利要求15所述的终端，其特征在于，所述鉴权信息还包括鉴权向量集，所述鉴权向量集包括第一参数和MAC，所述第一参数用于生成X-MAC；

所述处理器用于根据所述鉴权信息对所述核心网设备进行鉴权时，进一步用于：

当对所述ePDG鉴权成功时，根据所述第一参数生成所述X-MAC；

若所述X-MAC与所述MAC相同，则确定对所述HSS鉴权成功；或者，若所述X-MAC与所述MAC不相同，则确定对所述HSS鉴权失败。
根据权利要求12至16任一项所述的终端，其特征在于，所述处理器对所述核心网设备鉴权成功后，执行相应的网络接入策略时，具体用于：

停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路；

所述第一预设条件包括以下至少一种：所述终端更换客户识别模块SIM卡、重新开机、所述终端尝试接入3GPP网络失败后超过第一预设时长，所述终端重新选择非3GPP网络。
根据权利要求17所述的终端，其特征在于，所述接入请求消息还包括接入点名称APN信息，所述APN信息用于表征所述终端申请使用的非3GPP网络，所述核心网设备包括ePDG；

所述处理器停止尝试接入所述3GPP网络，直到当所述终端的状态满足第一预设条件时，重新尝试接入所述3GPP网路时，具体用于：

若所述ePDG属于归属地公共陆地移动网络HPLMN，则停止尝试接入所述3GPP网络，直到所述终端的状态满足以下至少一种：更换SIM卡、重新开机、尝试接入3GPP网络失败后超过第一预设时长，重新尝试通过所述APN信息对应的非3GPP网络接入所述3GPP网络；或者，

若所述ePDG属于拜访地公共陆地移动网络VPLMN，则当重新选择非3GPP网络后，尝试通过重新选择的非3GPP网络接入所述3GPP网络。
根据权利要求17所述的终端，其特征在于，所述核心网设备不包括所述ePDG，所述第一预设条件包括所述终端尝试接入3GPP网络失败后超过第一预设时长。
根据权利要求12至19任意一项所述的终端，其特征在于，所述处理器进一步用于：

若对所述核心网设备鉴权失败，则尝试重新接入所述3GPP网络；

如果尝试预设次数均失败，则在第二预设时长后，重新尝试接入所述3GPP网络。
一种核心网设备，其特征在于，包括：

接收器，用于接收终端发送的接入请求消息，所述接入请求消息至少包括所述终端的身份信息；

处理器，用于当根据所述终端的身份信息，确定所述终端没有接入第三代合作伙伴计划3GPP网络的权限时，通过通信接口向所述终端发送无权接入消息，所述无权接入消息包括所述核心网设备的鉴权信息，所述鉴权信息用于使所述终端对所述核心网设备进行鉴权。
根据权利要求21所述的核心网设备，其特征在于：

若所述核心网设备包括演进的分组数据域网关ePDG，则所述鉴权信息包括所述ePDG的证书信息和签名信息，或者，

所述鉴权信息包括所述ePDG的证书信息和签名信息，以及鉴权向量集，所述鉴权向量集包括第一参数和消息鉴权码MAC；

或者，

所述核心网设备不包括所述ePDG，则所述鉴权信息包括第一消息摘要，所述第一消息摘要由归属用户服务器HSS根据预设算法、所述无权接入消息所携带的失败消息码及所述终端的身份信息生成，或者，所述鉴权信息包括所述鉴权向量集。