WO2018090986A1

WO2018090986A1 - 一种鉴权方法、基站、用户设备和核心网网元

Info

Publication number: WO2018090986A1
Application number: PCT/CN2017/111703
Authority: WO
Inventors: 许斌; 权威
Original assignee: 华为技术有限公司
Priority date: 2016-11-18
Filing date: 2017-11-17
Publication date: 2018-05-24
Also published as: EP3528522B1; CN108076461B; US10869197B2; US20190274041A1; CN108076461A; EP3528522A4; EP3528522A1

Abstract

本发明涉及一种鉴权方法、基站、用户设备和核心网网元。该鉴权方法包括：基站接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果；向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；接收所述核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；比较所述第一鉴权结果与第二鉴权结果，若相同，则向核心网网元发送上行数据。通过基站对用户设备进行安全验证，避免了不合法UE的数据到达核心网网元，提高了安全性，同时相对现有技术节省了传输资源。

Description

一种鉴权方法、基站、用户设备和核心网网元

技术领域

本发明涉及通信领域，尤其涉及一种鉴权方法、基站、用户设备和核心网网元。

背景技术

当处于空闲态的用户设备(User Equipment，UE)需要传输上行数据时，UE首先需要通过随机接入与基站建立无线资源控制(Radio Resource Control，RRC)连接，进入RRC连接状态获取上行授权(Uplink Grant)后才可以进行后续的上行数据传输，然而。UE状态转换涉及的RRC连接建立过程会带来很大的延迟，为满足5G通信网络中业务的时延要求，现有技术中对某些场景的应用采用无连接传输，即处于空闲态的UE需要上行数据传输时，不进行随机接入转入连接态，直接根据基站广播消息中的配置信息，在公共资源上基于竞争(contention based，CB)直接发送上行数据。

但现有技术的无线传输中，基站接收到上行数据时，只是根据上行数据的数据包中携带的用户设备标识转发上行数据包，并没有对传输上行数据包的UE进行鉴权，这样会使未经鉴权的UE数据发送到核心网，引起安全性问题，另外，如果核心网接收到数据后确定发送该数据的UE不合法，需要将接收到的数据丢弃，造成传输资源的浪费。

发明内容

本发明提供一种鉴权方法、基站、用户设备和核心网网元，通过基站对UE进行鉴权，提高了传输数据的安全性，同时节省了传输资源。

第一方面，本发明实施例提供一种鉴权方法，该方法包括：

基站接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识(如用户面网关无连接传输服务标识(UPGW Connectionless Service，UCLSI)或者国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)或者临时移动用户识别码(Temporary Mobile Subscriber Identification Number，TMSI)或者全球唯一临时用户设备标识(Globally Unique Temporary UE Identity，GUTI)等)和第一鉴权结果；

基站向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

基站接收核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；

基站比较第一鉴权结果与第二鉴权结果，若相同，则向核心网网元发送上行数据。

通过基站对用户设备进行安全验证，利用UE群组标识或者UE所属小区的小区标识或者用户设备标识进行鉴权，避免了不合法UE的数据到达核心网网元，或者说避免不合法UE的数据到达核心网，提高了安全性，同时相对现有技术中核心网网元对用户设备进行安全验证，若验证接收到的数据对应的用户设备为非合法用户设备，则丢弃其数据，节省了传输资源。

结合第一方面，在第一方面的第一种可能实现的方式中，第一鉴权结果为用户设备根据鉴权码和小区标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和群组标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和用户设备标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据用户设备密钥和用户设备标识计算得到的鉴权结果。基站可以通过用户设备根据不同的方式计算的第一鉴权结果进行UE的安全验证。

结合第一方面或者第一方面的第一种可能实现的方式，在第一方面的第二种可能实现的方式中，该方法还包括：

基站根据网络负载或者业务类型或者业务数据量确定是否向核心网网元发送上行数据。在基站对用户设备进行安全验证的基础上，增加了对无连接传输的接入控制，避免了无连接传输的UE过多印发冲突概率上升造成的UE传输业务的影响。

结合第一方面的第二种可能实现的方式，在第一方面的第三种可能实现的方式中，该方法还包括：

若基站确定不向核心网发送上行数据，则向用户设备发送拒绝无连接传输请求的信息，以通知用户设备拒绝无连接传输请求。

第二方面，本发明实施例提供了一种鉴权方法，该方法包括：

用户设备向核心网网元发送第一请求消息，第一请求消息用于请求无连接传输服务。在本发明实施例中，第一请求消息可以为用户设备向核心网网元发送的附着(attach)请求消息，该请求消息中可以包括无连接传输请求信息。

用户设备接收核心网网元发送的响应消息，响应消息包括核心网为用户设备分配的用户设备标识，或者用户设备标识和核心网为用户设备分配的鉴权码；

用户设备根据响应消息确定第一鉴权结果；

用户设备向基站发送第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。以便于基站根据第一鉴权结果对该用户设备进行安全验证，提高安全性，并避免不合法UE的数据到达核心网。

结合第二方面，在第二方面的第一种可能实现的方式中，用户设备根据响应消息确定第一鉴权结果，包括：

用户设备根据鉴权码和用户设备所属小区的小区标识确定第一鉴权结果；

或者用户设备根据鉴权码和用户设备所属群组的群组标识确定第一鉴权结果。

或者用户设备根据鉴权码和用户设备标识确定第一鉴权结果。

以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。

结合第二方面，在第二方面的第二种可能实现的方式中，用户设备根据响应消息确定第一鉴权结果，包括：

用户设备根据用户设备标识和第一密钥确定第一鉴权结果，第一密钥为用户设备自身的密钥。

结合第二方面至第二方面的第二种可能实现的方式，在第二方面的第三种可能实现的方式中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个，便于核心网网元根据用户设备的业务数据量或用户设备的业务类型对无连接传输请求的接入控制，以降低无连接传输的UE过多引发冲突概率上升，对时延敏感的UE传输的业务造成影响。

第三方面，本发明实施例提供一种鉴权方法，该方法包括：

核心网网元接收基站发送的鉴权请求消息，鉴权请求消息包括核心网为用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

核心网网元根据鉴权请求消息确定第一鉴权结果；

核心网网元向基站发送第一鉴权结果。

通过本发明实施例提供的鉴权方法，以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。

结合第三方面，在第三方面的第一种可能实现的方式中，在核心网网元接收基站发送的鉴权请求消息之前，该方法还包括：

核心网网元接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；

核心网网元根据第一请求消息确定用户设备标识；

核心网网元向用户设备发送第一响应消息，第一响应消息包括用户设备标识。

核心网网元与用户设备建立无连接传输请求，并为请求无连接传输服务的用户设备分配用户设备标识，以便于用户设备根据分配的用户设备标识计算鉴权结果，用于基站对用户设备进行安全验证。

结合第三方面，在第三方面的第二种可能实现的方式中，在核心网网元接收基站发送的鉴权请求消息之前，该方法还包括：

核心网网元根据第一请求消息确定用户设备标识和鉴权码；

核心网网元向用户设备发送第二响应消息，第二响应消息包括用户设备标识和鉴权码。

以便于用户设备根据核心网网元为用户设备分配的用户设备标识和鉴权码计算鉴权结果，用户基站根据鉴权结果对用户设备进行安全验证。

结合第三方面的第一种可能实现的方式，在第三方面的第三种可能实现的方式中，核心网网元根据鉴权请求消息确定第一鉴权结果，包括：

核心网网元根据用户设备标识和第一密钥确定第一鉴权结果。

结合第三方面的第二种可能实现的方式，在第三方面的第四种可能实现的方式中，核心网网元根据鉴权请求消息确定第一鉴权结果，包括：

核心网网元根据群组标识或小区标识或用户设备标识，以及鉴权码确定第一鉴权结果。

结合第三方面，或第三方面的第一种至第四种可能实现方式中的任一可能实现的方式，在第三方面的第五种可能实现的方式中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个；该方法还包括：

核心网网元根据用户设备的业务数据量或用户设备的业务类型确定是否接受用户设备的无连接传输请求。通过核心网网元对请求无连接传输服务的用户设备进行接入控制，实现了网络侧可以根据具体情况限定是否进行无连接传输的UE数量，避免无连接传输的UE过多引发冲突概率上升，从而对时延敏感的UE传输的业务造成影响。

结合第三方面的第五种可能实现的方式，在第三方面的第六种可能实现的方式中，核心网网元根据第一请求消息确定接受用户设备的无连接传输请求，包括：

在第一预设时间内，若核心网网元接收到的无连接请求消息的数量未满足第一预设阈值，则核心网网元确定接受用户设备的无连接传输请求；或者，

若用户设备的业务数据量未满足第二预设阈值，则核心网网元确定接受用户设备的无连接传输请求；或者，

若用户设备的业务类型为预设业务类型，则核心网网元确定接受用户设备的无连接传输请求。

结合第三方面的第五种可能实现的方式，在第三方面的第七种可能实现的方式中，用户设备标识用于指示核心网网元接受用户设备的无连接传输请求。

结合第三方面的第五种可能实现的方式，在第三方面的第八种可能实现的方式中，该方法还包括：

核心网网元向用户设备发送第三响应消息，第三响应消息包括拒绝用户设备无连接传输请求的信息，以通知用户设备拒绝无连接传输服务。

第四方面，本发明实施例提供一种基站，基站包括：

接收单元，用于接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识(如用户面网关无连接传输服务标识(UPGW Connectionless Service，UCLSI)等)和第一鉴权结果；

发送单元，用于向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

接收单元，还用于接收核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；

处理单元，用于比较第一鉴权结果与第二鉴权结果，若相同，则发送单元向核心网网元发送上行数据。

结合第四方面，在第四方面的第一种可能实现的方式中，第一鉴权结果为用户设备根据鉴权码和小区标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和群组标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和用户设备标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据用户设备密钥和用户设备标识计算得到的鉴权结果。

结合第四方面或者第四方面的第一种可能实现的方式，在第四方面的第二种可能实现的方式中处理单元，还用于根据网络负载或者业务类型或者业务数据量确定是否向核心网网元发送上行数据。在基站对用户设备进行安全验证的基础上，增加了对无连接传输的接入控制，避免了无连接传输的UE过多印发冲突概率上升造成的UE传输业务的影响。

结合第四方面的第二种可能实现的方式，在第四方面的第三种可能实现的方式中，，若处理单元确定不向核心网发送上行数据，则发送单元向用户设备发送拒绝无连接传输请求的信息，以通知用户设备拒绝无连接传输请求。

第五方面，本发明实施例提供了一种用户设备，该用户设备包括：

发送单元，用于向核心网网元发送第一请求消息，第一请求消息用于请求无连接传输服务；

接收单元，用于接收核心网网元发送的响应消息，响应消息包括核心网为用户设备分配的用户设备标识，或者用户设备标识和核心网为用户设备分配的鉴权码；

处理单元，用于根据响应消息确定第一鉴权结果；

发送单元，还用于向基站发送第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。

以便于基站根据第一鉴权结果对该用户设备进行安全验证，提高安全性，并避免不合法UE的数据到达核心网。

结合第五方面，在第五方面的第一种可能实现的方式中，处理单元根据响应消息确定第一鉴权结果，包括：

处理单元根据鉴权码和用户设备所属小区的小区标识确定第一鉴权结果；

或者处理单元根据鉴权码和用户设备所属群组的群组标识确定第一鉴权结果。

或者处理单元根据鉴权码和用户设备标识确定第一鉴权结果。

结合第五方面，在第五方面的第二种可能实现的方式中，处理单元根据响应消息确定第一鉴权结果，包括：

处理单元根据用户设备标识和第一密钥确定第一鉴权结果，第一密钥为用户设备自身的密钥。

结合第五方面至第五方面的第二种可能实现的方式，在第五方面的第三种可能实现的方式中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个，便于核心网网元根据用户设备的业务数据量或用户设备的业务类型对无连接传输请求的接入控制，以降低无连接传输的UE过多引发冲突概率上升，对时延敏感的UE传输的业务造成影响。

第六方面，本发明是实施例提供一种核心网网元，该核心网网元包括：

接收单元，用于接收基站发送的鉴权请求消息，鉴权请求消息包括核心网为用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

处理单元，用于根据鉴权请求消息确定第一鉴权结果；

发送单元，用于向基站发送第一鉴权结果。

通过本发明实施例提供的核心网网元，以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。

结合第六方面，在第六方面的第一种可能实现的方式中，接收单元，还用于接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；

处理单元，还用于根据第一请求消息确定用户设备标识；

发送单元，还用于向用户设备发送第一响应消息，第一响应消息包括用户设备标识。

结合第六方面，在第六方面的第二种可能实现的方式中，接收单元，还用于接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；

处理单元，还用于根据第一请求消息确定用户设备标识和鉴权码；

发送单元，还用于向用户设备发送第二响应消息，第二响应消息包括用户设备标识和鉴权码。

结合第六方面的第一种可能实现的方式，在第六方面的第三种可能实现的方式中，处理单元根据鉴权请求消息确定第一鉴权结果，包括：

处理单元根据用户设备标识和第一密钥确定第一鉴权结果。

结合第六方面的第二种可能实现的方式，在第六方面的第四种可能实现的方式中，处理单元根据鉴权请求消息确定第一鉴权结果，包括：

处理单元根据群组标识或小区标识或用户设备标识，以及鉴权码确定第一鉴权结果。

结合第六方面，或第六方面的第一种至第四种可能实现方式中的任一可能实现的方式，在第六方面的第五种可能实现的方式中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个。

处理单元，还用于根据用户设备的业务数据量或用户设备的业务类型确定是否接受用户设备的无连接传输请求。

通过核心网网元对请求无连接传输服务的用户设备进行接入控制，实现了网络侧可以根据具体情况限定是否进行无连接传输的UE数量，避免无连接传输的UE过多引发冲突概率上升，从而对时延敏感的UE传输的业务造成影响。

结合第六方面的第五种可能实现的方式，在第六方面的第六种可能实现的方式中，处理单元根据第一请求消息确定接受用户设备的无连接传输请求，包括：

在第一预设时间内，若接收单元接收到的无连接请求消息的数量未满足第一预设阈值，则处理单元确定接受用户设备的无连接传输请求；或者，

若用户设备的业务数据量未满足第二预设阈值，则处理单元确定接受用户设备的无连接传输请求；或者，

若用户设备的业务类型为预设业务类型，则处理单元确定接受用户设备的无连接传输请求。

结合第六方面的第五种可能实现的方式，在第六方面的第七种可能实现的方式中，用户设备标识用于指示核心网网元接受用户设备的无连接传输请求。

结合第六方面的第五种可能实现的方式，在第六方面的第八种可能实现的方式中，发送单元，还用于向用户设备发送第三响应消息，第三响应消息包括拒绝用户设备无连接传输请求的信息。

第七方面本发明实施例提供一种基站，该基站包括接收器，发送器和处理器，基于同一发明构思，第七方面提供的基站具有执行第一方面以及第一方面的各个可能实现的设计方案的功能，并可以达到第一方面的相应技术效果，且第四方面提供的基站可以通过第七方面提供的基站完成第一方面以及第一方面的各个可能实现的设计方案，为简洁描述，在这里不再赘述。

第八方面本发明实施例提供一种用户设备，该用户设备包括接收器，发送器和处理器，基于同一发明构思，第八方面提供的用户设备具有执行第二方面以及第二方面的各个可能实现的设计方案的功能，并可以达到第二方面的相应技术效果，且第五方面提供的用户设备可以通过第八方面提供的用户设备完成第二方面以及第二方面的各个可能实现的设计方案，为简洁描述，在这里不再赘述。

第九方面本发明实施例提供一种核心网网元，该核心网网元包括接收器，发送器和处理器，基于同一发明构思，第九方面提供的核心网网元具有执行第三方面以及第三方面的各个可能实现的设计方案的功能，并可以达到第三方面的相应技术效果，且第六方面提供的核心网网元可以通过第九方面提供的核心网网元完成第三方面以及第三方面的各个可能实现的设计方案，为简洁描述，在这里不再赘述。

本发明提供的鉴权方法、基站、用户设备和核心网网元通过基站侧对用户设备的安全验证，避免了不合法UE的数据到达核心网网元，或者说避免不合法UE的数据到达核心网，提高了安全性，同时相对现有技术中核心网网元对用户设备进行安全验证，若验证接收到的数据对应的用户设备为非合法用户设备，则丢弃其数据，节省了传输资源。

附图说明

图1为本发明实施例提供LTE网络架构示意图；

图2为本发明实施例提供的一种鉴权方法流程图；

图3为本发明实施例提供的一种鉴权方法流程图；

图4为本发明实施例提供的另一种鉴权方法流程图；

图5为本发明实施例提供的一种无连接传输的接入控制方法流程图；

图6为本发明实施例提供的一种无连接传输的接入控制方法流程图；

图7为本发明实施例提供的另一种无连接传输的接入控制方法流程图；

图8为本发明实施例提供的又一种无连接传输的接入控制方法流程图；

图9为本发明实施例提供的一种基站的结构示意图；

图10为本发明实施例提供的一种用户设备的结构示意图；

图11为本发明实施例提供的一种核心网网元的结构示意图；

图12为本发明实施例提供的另一种基站的结构示意图；

图13为本发明实施例提供的另一种用户设备的结构示意图；

图14为本发明实施例提供的另一种核心网网元的结构示意图。

具体实施方式

本发明提供了一种鉴权方法、基站、用户设备和核心网网元。通过UE与核心网进行无连接传输时，UE根据参数(如鉴权码、UCLSI)计算出鉴权结果，并将鉴权结果携带在上行数据中发送给基站，基站将鉴权结果与核心网网元计算的鉴权结果进行对比，若两个鉴权结果相同，则基站将上行数据转发给核心网网元，反之，基站将接收到的上行数据丢弃。

本发明提供的鉴权方法、基站、用户设备和核心网网元主要应用于各种无线通信系统，如长期演进(Long Term Evolution，LTE)、通用移动通信系统(Universal Mobile Telecommunications System，UMTS)、类似LTE或者5G的无线通信结构，具体架构不作限定。

下面以LTE网络架构为例对本发明实施例进行说明。如图1所示，该网络架构包括用户设备110、基站120和核心网设备130。

在本发明实施例中，用户设备(user equipment，UE)110可以称之为终端设备(terminal equipment)，也可以称之为终端(terminal)，移动台(mobile station，MS)，移动终端(mobile terminal)，笔记本电脑等，该用户设备可以经无线接入网(radio access network，RAN)与一个或多个核心网进行通信，例如，用户设备可以是移动电话(或称为“蜂窝”电话)或具有移动终端的计算机等，例如，用户设备还可以是便携式、袖珍式、手持式、计算机内置的或者车载的移动装置，它们与无线接入网交换语音和/或数据。

基站120也可以称之为接入网设备，例如RAN，主要实现与用户设备进行通信。核心网设备130可以称之为核心网网元(Control Plane，CP)，负责处理用户设备发来的数据以及进行相关的信令交互。

本发明为了满足业务的时延需求，在UE需要传输上行数据时，通过无连接传输进行数据传输，即处于空闲态的UE有上行数据传输时，不进行随机接入转入连接态，而是根据基站广播消息中的配置，在公共资源上基于竞争直接发送数据。同时，为了保证数据的安全性，提出了本发明的技术方案。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

图2为本发明实施例提供的一种鉴权方法流程图。如图2所示，该方法可以包括以下步骤：

S210，用户设备向核心网网元发送第一请求消息。

当用户设备UE开机后，首先需要进行附着(attach)过程，UE向核心网网元发送附着请求(attach request)消息，该附着请求消息可以称之为第一请求消息。如果UE需要进行无连接传输，则需要在附着请求消息中携带无连接(connectionless)传输请求，即第一请求消息用于请求无连接传输服务，或者说UE向核心网网元发送无连接传输请求消息。

S220，核心网网元根据第一请求消息确定用户设备标识，或者用户设备标识和鉴权码。

可选地，核心网网元接收到第一请求消息后，为该请求用户设备分配用户设备标识，在本发明实施例中，该用户设备标识可以为用户面网关无连接传输服务标识(UPGW Connectionless Service information，UCLSI)，或者国际移动用户识别码(International Mobile Subscriber Identification Number，IMSI)或者临时移动用户识别码(Temporary Mobile Subscriber Identification Number，TMSI)或者全球唯一临时用户设备标识(Globally Unique Temporary UE Identity，GUTI)，在本发明实施例中对此不作限制。若该用户设备的标识用于在UE进行无连接传输时，指示基站将该UE发送的上行数据转发到对应的数据分组单元(Packet Data Unit，PDU)会话(session)，以便于核心网网元进行后续处理。

可选地，在本发明实施例中，核心网网元还可以为该请求无连接传输的用户设备分配一个鉴权码(authentication code)，以便于UE根据该鉴权码进行安全验证。

在本发明实施例中，可以规定为一个UE分配一个鉴权码，也可以规定为一个群组分配一个鉴权码。在UE进行附着的时候，核心网网元从多个鉴权码中随机选择一个分配给UE。

S230，核心网网元向用户设备发送响应消息。

可选地，核心网网元向用户设备发送附着接受(attach accept)响应消息，可以称之为第一响应消息，该第一响应消息中可以包括用户设备标识。

可选地，核心网网元向用户设备发送附着接受(attach accept)响应消息，可以称之为第二响应消息，该第二响应消息中可以包括用户设备标识和鉴权码。

S240，用户设备根据响应消息确定第一鉴权结果。

可选地，第一鉴权结果为所述用户设备根据用户设备密钥和所述用户设备标识计算得到的鉴权结果。可选地，该第一鉴权结果可以为用户设备根据鉴权码和用户设备所属小区的小区标识或者用户设备所属群组的群组标识或者用户设备标识确定鉴权结果。

S250，用户设备向基站发送第一消息，该第一消息包括上行数据、用户设备标识和第一鉴权结果。

用户设备接收到核心网网元发送的响应消息，以通知用户设备核心网网元接受附着，用于设备可以进行无连接传输时，用户设备向基站发送上行数据，并将根据鉴权码计算的鉴权结果携带在上行数据中。

S260，基站向核心网网元发送鉴权请求消息。

该鉴权请求消息中可以包括用户设备标识、请求建立无连接传输的用户设备所属群组的群组标识，或者请求建立无连接传输的用户设备所属小区的小区标识，以便于核心网网元根据鉴权请求消息计算鉴权结果，进行安全验证。

S270，核心网网元根据鉴权请求消息确定第二鉴权结果。

第二鉴权结果为核心网网元根据请求建立无连接传输的用户设备所属群组的群组标识与核心网分配给该用户设备的鉴权码计算鉴权结果；或者核心网网元根据请求建立无连接传输的用户设备所属小区的小区标识与核心网分配给该用户设备的鉴权码计算鉴权结果；或者核心网网元根据请求建立无连接传输的用户设备标识与核心网分配给该用户设备的鉴权码计算鉴权结果。

在本发明实施例中，一个小区可以对应一个或者多个鉴权码。如果一个小区对应多个鉴权码，那么核心网网元需要将小区标识与对应的多个鉴权码分别利用鉴权算法计算出多个鉴权结果，并发送给基站。

S280，核心网网元向基站发送鉴权响应消息。

该鉴权响应消息中可以包括用户设备标识和核心网网元计算的鉴权结果。

S290，基站对比第一鉴权结果和第二鉴权结果。

基站将从用户设备获取的第一鉴权结果和从核心网网元获取的第二鉴权结果进行对比。如果基站接收到核心网网元发送的多个鉴权结果时，需要将每个鉴权结果与第一鉴权结果进行比较，若从用户设备获取的鉴权结果与从核心网网元获取的至少一个鉴权结果中的一个鉴权结果相同，则鉴权通过，执行S295；反之，则基站丢弃其数据，以提高数据的安全性，同时相对现有技术中，核心网网元验证用户设备为非合法用户设备时丢弃接收到的该用户设备传输的数据，节省了传输资源。

S295，基站根据用户设备标识向核心网网元发送上行数据。

当第一鉴权结果和第二鉴权结果相同时，基站将该第一鉴权结果对应的上行数据，根据用户设备标识发送到对应的PDU会话，即发送给核心网网元，以进行后续处理。

可选地，基站对比第一鉴权结果和第二鉴权结果后，该方法还可以包括：基站向用户设备发送反馈信息，以通知用户设备无连接传输是否成功。例如：若第一鉴权结果和第二鉴权结果相同，则基站向用户设备发送无连接传输成功信息；若第一鉴权结果和第二鉴权结果不同，则基站向用户设备发送无连接传输失败信息。

本发明实施例提供的鉴权方法，通过基站对用户设备进行安全验证，利用UE群组标识或者UE所属小区的小区标识或者用户设备标识进行鉴权，避免了不合法UE的数据到达核心网网元，或者说避免不合法UE的数据到达核心网，提高了安全性，同时相对现有技术中核心网网元对用户设备进行安全验证，若验证接收到的数据对应的用户设备为非合法用户设备，则丢弃其数据，节省了传输资源。

需要说明的是，在本发明实施例中，S260和S270可以在S240和S250之前执行，本发明实施例中对此不作限制。

可选地，在本发明实施例中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个；如图2所示，该方法还包括：

S296，核心网网元根据用户设备的业务数据量或用户设备的业务类型确定是否接受用户设备的无连接传输请求。以实现核心网网元对无连接传输的接入控制，使得网络侧可以根据具体情况限定是否进行无连接传输的UE数量，避免无连接传输的UE过多引发冲突概率上升，从而对时延敏感的UE传输的业务造成影响。具体描述请参见图6的描述。

可选地，在本发明实施例中，如图2所示，基站接收到用户设备发送的第一消息后，该方法还可以包括：

S297，基站根据网络负载或者业务类型或者业务数据量确定是否向所述核心网网元发送所述上行数据。以实现从基站控制无连接的接入，避免无连接传输的UE过多引发冲突概率上升，从而对时延敏感的UE传输的业务造成影响。

可选地，该方法还可以包括：

S298，若基站确定不向核心网发送所述上行数据，则向所述用户设备发送拒绝无连接传输请求的信息，以通知用户设备拒绝无连接传输。

下面以用户设备标识为GCLSI为例，对本发明的技术方案进行描述。

图3为本发明实施例提供的一种鉴权方法流程图。如图3所示，该方法可以包括以下步骤：

S310，用户设备向核心网网元发送附着请求消息，该附着请求消息中包括无连接传输请求信息。

其具体过程与图2中的S210的过程相同，为简洁描述，在这里不再赘述。

S320，核心网网元根据附着请求消息确定用户面网关无连接传输服务标识UCLSI和鉴权码。

该UCLSI用于在UE进行无连接传输时，指示基站将该UE发送的上行数据转发到对应的数据分组单元(Packet Data Unit，PDU)会话(session)，以便于核心网网元进行后续处理。

核心网网元为该请求无连接传输的用户设备分配一个鉴权码(authentication code)，以便于UE根据该鉴权码进行安全验证。

S330，核心网网元向用户设备发送响应消息，该响应消息中可以包括UCLSI和鉴权码。

S340，用户设备根据鉴权码和用户设备所属小区的小区标识或者用户设备所属群组的群组标识或者用户设备标识确定鉴权结果确定第一鉴权结果。

S350，用户设备向基站发送第一消息，该第一消息包括上行数据、UCLSI和第一鉴权结果。

S360，基站向核心网网元发送鉴权请求消息。

该鉴权请求消息中可以包括UCLSI、请求建立无连接传输的用户设备所属群组的群组标识，或者请求建立无连接传输的用户设备所属小区的小区标识，以便于核心网网元根据鉴权请求消息计算鉴权结果，进行安全验证。

S370，核心网网元根据鉴权请求消息确定第二鉴权结果。

S380，核心网网元向基站发送鉴权响应消息。

该鉴权响应消息中可以包括UCLSI和核心网网元计算的鉴权结果。

S390，基站对比第一鉴权结果和第二鉴权结果。

基站将从用户设备获取的第一鉴权结果和从核心网网元获取的第二鉴权结果进行对比。如果基站接收到核心网网元发送的多个鉴权结果时，需要将每个鉴权结果与第一鉴权结果进行比较，若从用户设备获取的鉴权结果与从核心网网元获取的至少一个鉴权结果中的一个鉴权结果相同，则鉴权通过，执行S395；反之，则基站丢弃其数据，以提高数据的安全性，同时相对现有技术中，核心网网元验证用户设备为非合法用户设备时丢弃接收到的该用户设备传输的数据，节省了传输资源。

S395，基站根据UCLSI向核心网网元发送上行数据。

当第一鉴权结果和第二鉴权结果相同时，基站将该第一鉴权结果对应的上行数据，根据UCLSI发送到对应的PDU会话，即发送给核心网网元，以进行后续处理。

可选地，若基站确定不向和核心网网元发送上行数据时，向用户设备发送拒绝无连接传输请求的信息。

需要说明的是，在本发明实施例中，S360和S370可以在S340和S350之前执行，本发明实施例中对此不作限制。

图4为本发明实施例提供的另一种鉴权方法。如图4所示，该鉴权方法可以包括以下步骤：

S410，用户设备向核心网网元发送无连接传输请求消息。

该步骤S310与图2中的S210的过程相同，为简洁描述，在这里不再赘述。

S420，核心网网元根据无连接传输请求消息确定用户面网关无连接传输服务标识UCLSI。

该步骤S420与图2中的S220中的核心网网元确定UCLSI的过程相同，UCLSI的功能也相同，为简洁描述，在这里不再赘述。

S430，核心网网元向用户设备发送响应消息。

本发明实施例的S310、S320、S330分别对应图2中的S210、S220、S230。区别在于，S420中核心网网元不为请求无连接传输的用户设备分配了鉴权码，在S430中，核心网网元向用户设备发送的响应消息中也不包括鉴权码，除此外，S410、S420、S430与图2中的S210、S220、S230的过程相同，为简洁描述，在这里不再赘述。

S440，用户设备根据UCLSI和自身的用户密钥确定第一鉴权结果。

在本发明实施例中，用户设备根据核心网网元发送的响应消息中包括的UCLSI和自身的用户密钥，采用鉴权算法计算出一个鉴权结果，该鉴权结果称之为第一鉴权结果，用户设备自身的用户密钥可以称之为第一密钥。

S450，用户设备向基站发送第一消息，该第一消息包括上行数据UCLSI和第一鉴权结果。

用户设备接收到核心网网元发送的接受用户设备附着，可以进行无连接传输的响应消息时，用户设备向基站发送上行数据，并将计算的鉴权结果携带在上行数据中。

S460，基站向核心网网元发送鉴权请求消息。

该鉴权请求消息中可以包括UCLSI。

S470，核心网网元根据UCLSI和对应用户设备的用户密钥确定第二鉴权结果。

可选地，核心网网元可以根据UCLSI和对应用户设备的用户密钥，采用鉴权算法计算出一个鉴权结果，该鉴权结果为第二鉴权结果。

S480，核心网网元向基站发送鉴权响应消息。

该鉴权响应消息包括UCLSI和第二鉴权结果。

S490，基站对比第一鉴权结果和第二鉴权结果。

若第一鉴权结果和第二鉴权结果相同，则执行S,495；若第一鉴权结果和第二鉴权结果不同，则基站将接收到的上行数据丢弃。

S495，基站向核心网网元发送上行数据。

该步骤与图2中的S295的过程相同，为简洁描述，在这里不再赘述。

本发明实施例提供的鉴权方法，通过基站对用户设备进行安全验证，避免了不合法UE的数据到达核心网网元，或者说避免不合法UE的数据到达核心网，提高了安全性，同时相对现有技术中核心网网元对用户设备进行安全验证，若验证接收到的数据对应的用户设备为非合法用户设备，则丢弃其数据，节省了传输资源。

另外，本发明还提供一种控制无连接传输的接入控制方法。通过核心网网元或者基站控制用户设备使用无连接传输服务。

下面通过图5对本发明的方案进行详细说明。如图5所示，该方法可以包括以下步骤：

S510，核心网网元接收用户设备发送的附着请求消息。

该附着请求消息中包括无连接传输请求信息，还可以包括可以包括用户设备的业务数据量或用户设备的业务数据类型中的至少一个。

在本发明实施例中，核心网网元可以接收至少一个用户设备发送的附着请求消息，并统计接收到的用户设备发送的无连接传输请求信息的数量。

S520，核心网网元根据无连接传输请求信息确定接受用户设备进行无连接传输。

核心网网元根据网络负载或用户设备的业务数据量或用户设备的业务数据类型确定是否接受用户设备的无连接传输请求。

可选地，核心网网元根据无连接请求信息确定接受用户设备进行无连接传输，包括：

在第一预设时间内，若核心网网元接收到的无连接请求信息的数量未满足第一预设阈值，则核心网网元确定接受用户设备进行无连接传输；或者，

若用户设备的业务数据量未满足第二预设阈值，则核心网网元确定接受用户设备进行无连接传输；或者，

若用户设备的业务类型为预设业务类型，则核心网网元确定接受用户设备进行无连接传输。

或者说，在UE请求无连接传输服务时，核心网网元根据相关条件(例如核心网网元根据网络负责情况、UE的业务数据量、以及UE的业务类型等)确定是否拒绝UE使用无连接传输服务。

换句话讲，核心网网元可以根据无连接请求信息确定不接受用户设备进行无连接传输。例如：

若一段时间内请求无连接服务的UE的数量超过预设阈值，则核心网网元拒绝UE的无连接传输请求。

若UE的业务数量超过预设阈值时，核心网网元拒绝UE的无连接传输请求。

若对于某些不需要无连接传输的业务，比如对时延不敏感的业务等，核心网网元拒绝UE的无连接传输请求。

需要说明的是，本发明实施例中，第一预设时间、第一预设阈值、第二预设阈值以及预设业务类型可以根据需求进行设定，在本发明实施例中对此不作限制。

S530，核心网网元向用户设备发送第一响应消息。

该第一响应消息用于指示接受用户设备进行无连接传输。

在本发明是实施例中，核心网网元需要预先配置指示用户设备使用无连接传输服务的信息，或者需要核心网网元和用户设备预先协商可以进行无连接传输的方式。

或者说需要核心网网元配置接受或者拒绝用户设备进行无连接传输的信息。例如：核心网网元通过为请求无连接传输的用户设备分配的UCLSI来指示接受用户设备附着，可以进行无连接传输。那么当核心网网元向用户设备发送的接受附着(attach accept)响应消息中不包括为UE分配的UCLSI时，表示核心网网元拒绝用户设备的无连接传输请求。换句话讲，如果UE没有收到UCLSI则说明无连接传输请求被拒绝。该过程示意图如图6所示。

可选地，核心网网元还可以向用户设备发送第二响应消息，第二响应消息包括拒绝无连接传输的信息，如图7所示。

可选地，用户设备根据核心网网元发送的第一响应消息向基站发送上行数据。

基站接收到上行数据后，根据网络负载或业务数据量或业务类型确定是否拒绝用户设备的无连接传输请求。

如图8所示，当基站接收到用户发送的上行数据后，根据网络负载向用户设备发送确定拒绝该用户设备的无连接传输的信息。其中拒绝信息中进一步可以包含拒绝无连接传输的原因或者指示用户设备回退一段时间再进行无连接传输请求的时间值或者用于辅助用户设备进行随机接入的相关信息，如前导码。

本发明实施例增加了网络侧对无连接传输的接入控制，使得网络侧可以根据具体情况限定是否进行无连接传输的UE数量，避免无连接传输的UE过多引发冲突概率上升，从而对时延敏感的UE传输的业务造成影响。

需要说明的是，图5至图8所提供的无连接传输接入的控制方法可以结合图3和图4的鉴权控制方法使用，以通过基站对用户设备的验证提高数据的安全性，并通过网络侧对无连接传输接入的控制降低了由于无连接传输UE的过多引发冲突概率上升对UE传输业务的影响。

以上图2至图8描述了本发明的鉴权方法，下面通过图9至图14分别对本发明提供的基站、用户设备和核心网网元进行详细说明。

图9为本发明实施例提供的一种基站的结构示意图。如图9所示，该基站包括接收单元610、发送单元620和处理单元630。

接收单元610，用于接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。

发送单元620，用于向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

接收单元610，还用于接收核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；

处理单元630，用于比较第一鉴权结果与第二鉴权结果，若相同，则发送单元向核心网网元发送上行数据。

可选地，第一鉴权结果为用户设备根据鉴权码和小区标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和群组标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和用户设备标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据用户设备密钥和用户设备标识计算得到的鉴权结果。

可选地，处理单元630，还用于根据网络负载或者业务类型或者业务数据量确定是否向核心网网元发送上行数据。在基站对用户设备进行安全验证的基础上，增加了对无连接传输的接入控制，避免了无连接传输的UE过多印发冲突概率上升造成的UE传输业务的影响。

可选地，若处理单元630确定不向核心网发送上行数据，则发送单元向用户设备发送拒绝无连接传输请求的信息，以通知用户设备拒绝无连接传输请求。

本发明实施例提供的基站可以实现图2中S260、S280、S290和S295，为简洁描述在这里不再赘述。

图10为本发明实施例提供的一种用户设备的结构示意图。如图10所示，该用户设备包括发送单元710、接收单元720和处理单元730。

发送单元710，用于向核心网网元发送第一请求消息，第一请求消息用于请求无连接传输服务；

接收单元720，用于接收核心网网元发送的响应消息，响应消息包括核心网为用户设备分配的用户设备标识，或者用户设备标识和核心网为用户设备分配的鉴权码；

处理单元730，用于根据响应消息确定第一鉴权结果；

发送单元710，还用于向基站发送第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。

可选地，处理单元730根据响应消息确定第一鉴权结果，包括：

处理单元730根据鉴权码和用户设备所属小区的小区标识确定第一鉴权结果；或者处理单元730根据鉴权码和用户设备所属群组的群组标识确定第一鉴权结果；或者处理单元730根据鉴权码和用户设备标识确定第一鉴权结果。以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。

处理单元730根据用户设备标识和第一密钥确定第一鉴权结果，第一密钥为用户设备自身的密钥。

可选地，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个，便于核心网网元根据用户设备的业务数据量或用户设备的业务类型对无连接传输请求的接入控制，降低无连接传输的UE过多引发冲突概率上升，对时延敏感的UE传输的业务造成影响。

本发明实施例提供的基站可以实现图2中S210、S240和S250，为简洁描述在这里不再赘述。

图11为本发明实施例提供的一种核心网网元的结构示意图。如图11所示，该核心网网元包括接收单元810、处理单元820和发送单元830,。

接收单元810，用于接收基站发送的鉴权请求消息，鉴权请求消息包括核心网为用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

处理单元820，用于根据鉴权请求消息确定第一鉴权结果；

发送单元830，用于向基站发送第一鉴权结果。

可选地，接收单元810，还用于接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；

处理单元820，还用于根据第一请求消息确定用户设备标识；

发送单元830，还用于向用户设备发送第一响应消息，第一响应消息包括用户设备标识。

该过程描述类似于图2中的S210、S220和S230，为简洁描述，在这里不再赘述。

可选地，处理单元820根据鉴权请求消息确定第一鉴权结果，包括：

处理单元820根据用户设备标识和第一密钥确定第一鉴权结果。

本发明实施例提供的方案可以完成图4中的S410、S420、S430和S470，为简洁描述，在这里不再赘述。

可选地，作为本发明另一个实施例，接收单元810，还用于接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；

处理单元820，还用于根据第一请求消息确定用户设备标识和鉴权码；

发送单元830，还用于向用户设备发送第二响应消息，第二响应消息包括用户设备标识和鉴权码。

处理单元820根据群组标识或小区标识或者用户设备标识，以及鉴权码确定第一鉴权结果。

本发明实施例提供的方案可以完成图3中的S310、S320、S330以及S370，其具体描述可以参见图3中的S310、S320、S330以及S370，为简洁描述，在这里不再赘述。

可选地，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个。

处理单元820，还用于根据用户设备的业务数据量或用户设备的业务类型确定是否接受用户设备的无连接传输请求。

该具体过程与图2中的S296，以及图5中的S510、S520的描述过程相同，为简洁描述，在这里不再赘述。

可选地，处理单元820根据第一请求消息确定接受用户设备的无连接传输请求，包括：

在第一预设时间内，若接收单元810接收到的无连接请求消息的数量未满足第一预设阈值，则处理单元820确定接受用户设备的无连接传输请求；或者，

若用户设备的业务数据量未满足第二预设阈值，则处理单元820确定接受用户设备的无连接传输请求；或者，

若用户设备的业务类型为预设业务类型，则处理单元820确定接受用户设备的无连接传输请求。

可选地，作为本发明一个实施例，用户设备标识用于指示核心网网元接受用户设备的无连接传输请求。

可选地，发送单元830，还用于向用户设备发送第三响应消息，第三响应消息包括拒绝用户设备无连接传输请求的信息，如图7所示。

需要说明的是，在本发明实施例中图9提供的基站中的接收单元610，图10提供的用户设备中的接收单元720以及图11提供的核心网网元中的接收单元810可以为接收器。本发明实施例中图9提供的基站中的发送单元620，图10提供的用户设备中的发送单元710以及图11提供的核心网网元中的发送单元830可以为发送器。本发明实施例中图9提供的基站中的处理单元630，图10提供的用户设备中的处理单元730以及图11提供的核心网网元中的处理单元820可以为处理器。

图12为本发明实施例提供的另一种基站的结构示意图。如图12所示，该基站可以包括接收器910、发送器920和处理器930。

接收单元，用于接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果；

发送器910，用于向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

接收器920，还用于接收核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；

处理器930，用于比较第一鉴权结果与第二鉴权结果，若相同，则发送单元向核心网网元发送上行数据。

本发明实施例提供的基站可以实现图2中基站执行的步骤S260、S290、S295、S297，图3中的S360、S390、S395，图4中的S460、S490、S495，且图11提供的基站的各个逻辑单元可以通过本发明实施例提供的基站完成图2中基站执行的步骤S260、S290、S295、S297，图3中的S360、S390、S395，图4中的S460、S490、S495，为简洁描述，在这里不再赘述。

图13为本发明实施例提供的另一种用户设备的结构示意图。如图13所示，该用户设备可以包括发送器1010、接收器1020和处理器1030。

发送器1010，用于向核心网网元发送第一请求消息，第一请求消息用于请求无连接传输服务；

接收器1020，用于接收核心网网元发送的响应消息，响应消息包括核心网为用户设备分配的用户设备标识，或者用户设备标识和核心网为用户设备分配的鉴权码；

处理器1030，用于根据响应消息确定第一鉴权结果；

发送器1010，还用于向基站发送第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。

本发明实施例提供的用户设备可以实现图2中用户设备执行的步骤S210、S240、S250，图3中的S310、S340、S350，图4中的S410、S440、S450，且图10提供的用户设备的各个逻辑单元可以通过本发明实施例提供的用户设备完成图2中用户设备执行的步骤S210、S240、S250，图3中的S310、S340、S350，图4中的S410、S440、S450，为简洁描述，在这里不再赘述。

图14为本发明实施例提供的另一种核心网网元的结构示意图。如图14所示，该核心网网元可以包括接收器1110、处理器1120和发送器1130。

接收器1110，用于接收基站发送的鉴权请求消息，鉴权请求消息包括核心网为用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

处理器1120，用于根据鉴权请求消息确定第一鉴权结果；

发送器1130，用于向基站发送第一鉴权结果。

本发明实施例提供的核心网网元可以实现图2中核心网网元执行的步骤S220、S230、S270、S280、S296，图3中的S320、S330、S370、S380，图4中的S420、S430、S470、S480，以及图5中的S510、S520和S530，且图11提供的核心网网元的各个逻辑单元可以通过本发明实施例提供的核心网网元完成图2中核心网网元执行的步骤S220、S230、S270、S280、S296，图3中的S320、S330、S370、S380，图4中的S420、S430、S470、S480，以及图5中的S510、S520和S530，为简洁描述，在这里不再赘述。

应理解，在图12提供的基站、图13提供的用户设备以以及图14提供的核心网网元中的处理器930/1030/1120可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

在实现过程中，上述方法的各步骤可以通过处理器930/1030/1120中的硬件的集成逻辑电路或者软件形式的指令完成。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器930/1030/1120读取存储器中的信息，结合其硬件完成上述方法的步骤。为避免重复，这里不再详细描述。

另外，图12提供的基站还可以包括存储器940。图13提供的用户设备还可以包括1040。图14提供的核心网网元还可以包括1140。存储器用于存储指令和数据。

存储器940/1040/1140可以包括只读存储器和随机存取存储器，并向处理器940/1040/1140提供指令和数据。存储器的一部分还可以包括非易失性随机存取存储器。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种鉴权方法，其特征在于，所述方法包括：

基站接收用户设备发送的第一消息，所述第一消息包括上行数据，用户设备标识和第一鉴权结果；

所述基站向核心网网元发送鉴权请求消息，所述鉴权请求消息包括所述用户设备标识或所述用户设备所属群组的群组标识或所述用户设备所属小区的小区标识；

所述基站接收所述核心网网元发送的鉴权响应消息，所述鉴权响应消息包括第二鉴权结果，所述第二鉴权结果为所述核心网网元根据所述鉴权请求消息计算的鉴权结果；

所述基站比较所述第一鉴权结果与所述第二鉴权结果，若相同，则向所述核心网网元发送所述上行数据。
根据权利要求1所述的方法，其特征在于，第一鉴权结果为所述用户设备根据鉴权码和所述小区标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述群组标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述用户设备标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据用户设备密钥和所述用户设备标识计算得到的鉴权结果。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述基站根据网络负载或者业务类型或者业务数据量确定是否向所述核心网网元发送所述上行数据。
根据权利要求3所述的方法，其特征在于，所述方法还包括：

若基站确定不向核心网发送所述上行数据，则向所述用户设备发送拒绝无连接传输请求的信息。
一种鉴权方法，其特征在于，所述方法包括：

用户设备向核心网网元发送第一请求消息，所述第一请求消息用于请求无连接传输服务；

所述用户设备接收所述核心网网元发送的响应消息，所述响应消息包括所述核心网为所述用户设备分配的用户设备标识，或者所述用户设备标识和所述核心网为所述用户设备分配的鉴权码；

所述用户设备根据所述响应消息确定第一鉴权结果；

所述用户设备向基站发送第一消息，所述第一消息包括上行数据，所述用户设备标识和所述第一鉴权结果。
根据权利要求5所述的方法，其特征在于，所述用户设备根据所述响应消息确定第一鉴权结果，包括：

所述用户设备根据所述鉴权码和所述用户设备所属小区的小区标识确定所述第一鉴权结果；

或者所述用户设备根据所述鉴权码和所述用户设备所属群组的群组标识确定所述第一鉴权结果。

或者所述用户设备根据所述鉴权码和所述用户设备标识确定所述第一鉴权结果。
根据权利要求5所述的方法，其特征在于，所述用户设备根据所述响应消息确定第一鉴权结果，包括：

所述用户设备根据所述用户设备标识和第一密钥确定所述第一鉴权结果，所述第一密钥为所述用户设备自身的密钥。
根据权利要求5至7任一项所述的方法，其特征在于，所述第一请求消息包括所述用户设备的业务数据量或所述用户设备的业务类型中的至少一个。
一种鉴权方法，其特征在于，所述方法包括：

核心网网元接收基站发送的鉴权请求消息，所述鉴权请求消息包括所述核心网为所述用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

所述核心网网元根据所述鉴权请求消息确定第一鉴权结果；

所述核心网网元向所述基站发送所述第一鉴权结果。
根据权利要求9所述的方法，其特征在于，在所述核心网网元接收基站发送的鉴权请求消息之前，所述方法还包括：

所述核心网网元接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；

所述核心网网元根据所述第一请求消息确定所述用户设备标识；

所述核心网网元向所述用户设备发送第一响应消息，所述第一响应消息包括所述用户设备标识。
根据权利要求9所述的方法，其特征在于，在所述核心网网元接收基站发送的鉴权请求消息之前，所述方法还包括：

所述核心网网元接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；

所述核心网网元根据所述第一请求消息确定所述用户设备标识和鉴权码；

所述核心网网元向所述用户设备发送第二响应消息，所述第二响应消息包括所述用户设备标识和所述鉴权码。
根据权利要求10所述的方法，其特征在于，所述核心网网元根据所述鉴权请求消息确定第一鉴权结果，包括：

所述核心网网元根据所述用户设备标识和第一密钥确定所述第一鉴权结果。
根据权利要求11所述的方法，其特征在于，所述核心网网元根据所述鉴权请求消息确定第一鉴权结果，包括：

所述核心网网元根据所述群组标识或所述小区标识或所述用户设备标识，以及所述鉴权码确定所述第一鉴权结果。
根据权利要求9至13任一项所述的方法，其特征在于，所述第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个；所述方法还包括：

所述核心网网元根据所述用户设备的业务数据量或所述用户设备的业务类型确定是否接受所述用户设备的无连接传输请求。
根据权利要求14所述的方法，其特征在于，所述核心网网元根据所述第一请求消息确定接受所述用户设备的无连接传输请求，包括：

在第一预设时间内，若所述核心网网元接收到的所述无连接请求消息的数量未满足第一预设阈值，则所述核心网网元确定接受所述用户设备的无连接传输请求；或者，

若所述用户设备的业务数据量未满足第二预设阈值，则所述核心网网元确定接受所述用户设备的无连接传输请求；或者，

若所述用户设备的业务类型为预设业务类型，则所述核心网网元确定接受所述用户设备的无连接传输请求。
根据权利要求14所述的方法，其特征在于，

所述用户设备标识用于指示所述核心网网元接受所述用户设备的无连接传输请求。
根据权利要求14所述的方法，其特征在于，所述方法还包括：

所述核心网网元向所述用户设备发送第三响应消息，所述第三响应消息包括拒绝所述用户设备无连接传输请求的信息。
一种基站，其特征在于，所述基站包括：

接收单元，用于接收用户设备发送的第一消息，所述第一消息包括上行数据，用户设备标识和第一鉴权结果；

发送单元，用于向核心网网元发送鉴权请求消息，所述鉴权请求消息包括所述用户设备标识或所述用户设备所属群组的群组标识或所述用户设备所属小区的小区标识；

所述接收单元，还用于接收所述核心网网元发送的鉴权响应消息，所述鉴权响应消息包括第二鉴权结果，所述第二鉴权结果为所述核心网网元根据所述鉴权请求消息计算的鉴权结果；

处理单元，用于比较所述第一鉴权结果与所述第二鉴权结果，若相同，则所述发送单元向所述核心网网元发送所述上行数据。
根据权利要求17所述的基站，其特征在于，第一鉴权结果为所述用户设备根据鉴权码和所述小区标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述群组标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述用户设备标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据用户设备密钥和所述用户设备标识计算得到的鉴权结果。
根据权利要求18或19所述的基站，其特征在于，所述处理单元，还用于根据网络负载或者业务类型或者业务数据量确定是否向所述核心网网元发送所述上行数据。
根据权利要求20所述的基站，其特征在于，若所述处理单元确定不向核心网发送所述上行数据，则所述发送单元向所述用户设备发送拒绝无连接传输请求的信息。
一种用户设备，其特征在于，所述用户设备包括：

发送单元，用于向核心网网元发送第一请求消息，所述第一请求消息用于请求无连接传输服务；

接收单元，用于接收所述核心网网元发送的响应消息，所述响应消息包括所述核心网为所述用户设备分配的用户设备标识，或者所述用户设备标识和所述核心网为所述用户设备分配的鉴权码；

处理单元，用于根据所述响应消息确定第一鉴权结果；

所述发送单元，还用于向基站发送第一消息，所述第一消息包括上行数据，所述用户设备标识和所述第一鉴权结果。
根据权利要求22所述的用户设备，其特征在于，所述处理单元根据所述响应消息确定第一鉴权结果，包括：

所述处理单元根据所述鉴权码和所述用户设备所属小区的小区标识确定所述第一鉴权结果；

或者所述处理单元根据所述鉴权码和所述用户设备所属群组的群组标识确定所述第一鉴权结果。

或者所述处理单元根据所述鉴权码和所述用户设备标识确定所述第一鉴权结果。
根据权利要求22所述的用户设备，其特征在于，所述处理单元根据所述响应消息确定第一鉴权结果，包括：

所述处理单元根据所述用户设备标识和第一密钥确定所述第一鉴权结果，所述第一密钥为所述用户设备自身的密钥。
根据权利要求22至24任一项所述的用户设备，其特征在于，所述第一请求消息包括所述用户设备的业务数据量或所述用户设备的业务类型中的至少一个。
一种核心网网元，其特征在于，所述核心网网元包括：

接收单元，用于接收基站发送的鉴权请求消息，所述鉴权请求消息包括所述核心网为所述用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

处理单元，用于根据所述鉴权请求消息确定第一鉴权结果；

发送单元，用于向所述基站发送所述第一鉴权结果。
[根据细则91更正 09.02.2018]

根据权利要求26所述的核心网网元，其特征在于，

所述接收单元，还用于接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；

所述处理单元，还用于根据所述第一请求消息确定所述用户设备标识；

所述发送单元，还用于向所述用户设备发送第一响应消息，所述第一响应消息包括所述用户设备标识。
根据权利要求26所述的核心网网元，其特征在于，

所述接收单元，还用于接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；

所述处理单元，还用于根据所述第一请求消息确定所述用户设备标识和鉴权码；

所述发送单元，还用于向所述用户设备发送第二响应消息，所述第二响应消息包括所述用户设备标识和所述鉴权码。
根据权利要求27所述的方法，其特征在于，所述处理单元根据所述鉴权请求消息确定第一鉴权结果，包括：

所述处理单元根据所述用户设备标识和第一密钥确定所述第一鉴权结果。
根据权利要求28所述的核心网网元，其特征在于，所述处理单元根据所述鉴权请求消息确定第一鉴权结果，包括：

所述处理单元根据所述群组标识或所述小区标识或者用户设备标识，以及所述鉴权码确定所述第一鉴权结果。
根据权利要求26至30任一项所述的核心网网元，其特征在于，所述第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个；

所述处理单元，还用于根据所述用户设备的业务数据量或所述用户设备的业务类型确定是否接受所述用户设备的无连接传输请求。
根据权利要求31所述的核心网网元，其特征在于，所述处理单元根据所述第一请求消息确定接受所述用户设备的无连接传输请求，包括：

在第一预设时间内，若所述接收单元接收到的所述无连接请求消息的数量未满足第一预设阈值，则所述处理单元确定接受所述用户设备的无连接传输请求；或者，

若所述用户设备的业务数据量未满足第二预设阈值，则所述处理单元确定接受所述用户设备的无连接传输请求；或者，

若所述用户设备的业务类型为预设业务类型，则所述处理单元确定接受所述用户设备的无连接传输请求。
根据权利要求31所述的核心网网元，其特征在于，

所述用户设备标识用于指示所述核心网网元接受所述用户设备的无连接传输请求。
根据权利要求31所述的核心网网元，其特征在于，

所述发送单元，还用于向所述用户设备发送第三响应消息，所述第三响应消息包括拒绝所述用户设备无连接传输请求的信息。
一种装置，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现：

向核心网网元发送第一请求消息，所述第一请求消息用于请求无连接传输服务；

接收所述核心网网元发送的响应消息，所述响应消息包括所述核心网为所述用户设备分配的用户设备标识，或者所述用户设备标识和所述核心网为所述用户设备分配的鉴权码；

根据所述响应消息确定第一鉴权结果；

向基站发送第一消息，所述第一消息包括上行数据，所述用户设备标识和所述第一鉴权结果。
一种装置，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现：

接收基站发送的鉴权请求消息，所述鉴权请求消息包括所述核心网为所述用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；

根据所述鉴权请求消息确定第一鉴权结果；

向所述基站发送所述第一鉴权结果。
一种计算机可读存储介质，其特征在于，包括指令，当其在设备上运行时，使得该设备执行如权利要求1至21中任一项所述的方法。