WO2018113338A1

WO2018113338A1 - 一种接入控制的方法及设备

Info

Publication number: WO2018113338A1
Application number: PCT/CN2017/099523
Authority: WO
Inventors: 陈山枝; 陈中林; 艾明
Original assignee: 电信科学技术研究院
Priority date: 2016-12-21
Filing date: 2017-08-29
Publication date: 2018-06-28
Also published as: EP3562186A4; CN108235317B; EP3562186A1; TW201824900A; US20200196150A1; US11405783B2; TWI685267B; CN108235317A

Abstract

本发明实施例涉及无线通信技术领域，特别涉及一种接入控制的方法及设备，用以解决现有技术中存在用户设备无法安全地接入APG的问题。本发明实施例用户设备在需要接入网络时，用户设备与本地服务中心进行网络层双向鉴权；在网络层双向鉴权通过后，用户设备与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。由于本发明实施例采用双层双向鉴权，并在双层双向鉴权通过后，该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组。

Description

一种接入控制的方法及设备

本申请要求在2016年12月21日提交中国专利局、申请号为201611193853.7、发明名称为“一种接入控制的方法及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及无线通信技术领域，特别涉及一种接入控制的方法及设备。

背景技术

在未来的网络中，传统的大功率宏基站与大量部署的低功率小基站组成了UDN(Ultra Dense Network，超密集组网)，这是解决未来无线移动通信数据速率需求问题的一种很有前景的选择。

在UDN场景中，海量的AP(Access Point，接入节点)的数量甚至可能与用户具有相当的密度。为更好的提升用户体验，提出一种UUDN(User-centric Ultra Dense Network，以用户为中心的超密集组网)方案。在UUDN场景中，将组织动态变化的APG(Access Points Group，接入节点组)，跟随用户的移动无感知地为用户提供服务，即UDN/UUDN场景中每一个用户设备对应的一个APG。

在现有的移动通信系统接入网，如E-UTRAN(Evolved Universal Terrestrial Radio Access Network，演进的通用陆地无线接入网)，AP由运营商在安全可信的环境中部署和维护。在用户设备需要接入E-UTRAN时，该用户设备与MME(Mobility Management Entity，移动管理实体)进行双向鉴权，在鉴权通过后，该用户设备直接接入eNB(evolved Node B，演进型基站)或HeNB(Home evolved Node B，家庭基站)。但是在UDN/UUDN场景中，AP功能多样化，部署方式灵活多样，甚至可能是用户自行部署，UDN/UUDN场景中接入网物理安全环境复杂且差异巨大。由于为用户设备提供服务的APG成员的动态性，并且一个AP可能归属于多个APG，因此，若仍然使用现有的用户设备接入控制的方法，仍不能排除非法AP假冒一个合法APG中的AP实施安全攻击地情况，将不能保证用户设备接入的安全性。显然目前用户设备直接接入eNB或HeNB的方法并不适用于UDN/UUDN场景。

综上所述，目前针对UDN/UUDN场景，还没有一种用户设备接入APG的方法。

发明内容

本发明实施例提供一种接入控制的方法及设备，用以解决现有技术中在UDN/UUDN 场景中，用户设备无法安全地接入APG的问题。

第一方面，本发明实施例提供的一种接入控制的方法，包括：

用户设备在需要接入网络时，所述用户设备与本地服务中心进行网络层双向鉴权；

在网络层双向鉴权通过后，所述用户设备与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

可选的，所述用户设备与对应的接入节点组进行接入层双向鉴权，包括：

所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；

所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。

可选的，所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权，包括：

所述用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记；

若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同，则所述用户设备确定对网络鉴权通过。

可选的，所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，包括：

所述用户设备在鉴权通过后，根据所述随机数确定鉴权响应参数；

所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。

第二方面，本发明实施例提供的一种接入控制的方法，包括：

本地服务中心在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

所述本地服务中心通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

可选的，所述本地服务中心在接收到用户设备的接入请求消息之后，与所述用户设备进行网络层双向鉴权之前，还包括：

所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息，向网络服务中心请求所述用户设备对应的网络层鉴权参数；

所述本地服务中心与所述用户设备进行网络层双向鉴权，包括：

所述本地服务中心根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权。

可选的，所述本地服务中心根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权，包括：

所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息，以使所述用户设备根据所述网络层鉴权请求消息对网络进行鉴权；

若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息，则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。

可选的，所述本地服务中心根据所述用户设备返回的网络层鉴权请求响应消息，对所述用户设备进行鉴权，包括：

若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同，所述本地服务中心确定对所述用户设备鉴权通过。

可选的，所述本地服务中心通知所述接入节点组与所述用户设备进行接入层双向鉴权，包括：

所述本地服务中心确定所述接入节点组中的目标节点；

所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。

可选的，所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权，包括：

所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点，以使所述目标节点根据所述节点组标识和所述接入层鉴权参数，与所述用户设备进行接入层双向鉴权。

可选的，所述本地服务中心根据下列方式确定所述用户设备对应的对应的接入层鉴权参数：

所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数；或

所述本地服务中心根据所述用户设备对应的网络层鉴权参数，以及所述节点组标识，确定所述用户设备对应的接入层鉴权参数。

第三方面，本发明实施例提供的一种接入控制的方法，包括：

接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

所述接入节点与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

可选的，所述接入节点与所述接入层鉴权参数对应的用户设备进行接入层双向鉴权，包括：

所述接入节点向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；

若所述接入节点接收到所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。

可选的，所述接入节点根据所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息，对所述用户设备进行鉴权，包括：

若所述接入层鉴权请求响应消息中包含的鉴权响应参数，与所述接入层鉴权参数中的期望响应参数相同，所述接入节点确定对所述用户设备鉴权通过。

第四方面、本发明实施例一种用户设备，包括：

第一网络鉴权模块，用于在需要接入网络时，与本地服务中心进行网络层双向鉴权；

第一接入鉴权模块，用于在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

可选的，所述第一接入鉴权模块，具体用于：

根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。

可选的，所述第一接入鉴权模块，具体用于：

根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记；若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同，则确定对网络鉴权通过。

可选的，所述第一接入鉴权模块，具体用于：

在鉴权通过后，根据所述随机数确定鉴权响应参数；向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。

第五方面、本发明实施例一种本地服务中心，包括：

第二网络鉴权模块，用于在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

通知模块，用于在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

第二接入鉴权模块，用于通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

可选的，所述第二网络鉴权模块，还用于：

在接收到用户设备的接入请求消息之后，与所述用户设备进行网络层双向鉴权之前，根据所述接入请求消息中的用户设备的上下文信息，向网络服务中心请求所述用户设备对应的网络层鉴权参数；

所述第二网络鉴权模块，具体用于：

根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权。

可选的，所述第二网络鉴权模块，具体用于：

向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息，以使所述用户设备根据所述网络层鉴权请求消息对网络进行鉴权；接收到所述用户设备返回的网络层鉴权请求响应消息，则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。

可选的，所述第二网络鉴权模块，具体用于：

若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同，确定对所述用户设备鉴权通过。

可选的，所述第二接入鉴权模块，具体用于：

确定所述接入节点组中的目标节点；通知所述目标节点与所述用户设备进行接入层双向鉴权。

可选的，所述第二接入鉴权模块，具体用于：

将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点，以使所述目标节点根据所述节点组标识和所述接入层鉴权参数，与所述用户设备进行接入层双向鉴权。

可选的，所述第二接入鉴权模块，具体用于：

所述本地服务中心根据下列方式确定所述用户设备对应的对应的接入层鉴权参数：

从网络服务中心获取所述用户设备对应的接入层鉴权参数；或

根据所述用户设备对应的网络层鉴权参数，以及所述节点组标识，确定所述用户设备对应的接入层鉴权参数。

第六方面、本发明实施例一种接入节点，包括：

接收模块，用于接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

第三接入鉴权模块，用于与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

可选的，所述第三接入鉴权模块，具体用于：

向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；若接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。

可选的，所述第三接入鉴权模块，具体用于：

若所述接入层鉴权请求响应消息中包含的鉴权响应参数，与所述接入层鉴权参数中的期望响应参数相同，则确定对所述用户设备鉴权通过。

本发明实施例提供的另一种用户设备，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

在需要接入网络时，与本地服务中心进行网络层双向鉴权；

在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

本申请实施例提供的另一种本地服务中心，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

本申请实施例提供的另一种接入节点，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

本发明实施例的接入控制的方法，用户设备在需要接入网络时，首先与本地服务中心进行网络层双向鉴权；在网络层双向鉴权通过后，用户设备与对应的接入节点组中的目标节点进行接入层双向鉴权；由于本发明实施例采用双层双向鉴权，并在双层双向鉴权通过后，该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组。

附图说明

图1为本发明实施例超密集组网结构示意图；

图2为本发明实施例接入控制的系统结构示意图；

图3为本发明实施例用户设备与本地服务中心的网络层双向鉴权的流程图；

图4为本发明实施例进行接入层双向鉴权的系统结构示意图；

图5为本发明实施例用户设备与目标节点的接入层双向鉴权的流程图；

图6为本发明实施例第一种用户设备的结构示意图；

图7为本发明实施例第一种本地服务中心的结构示意图；

图8为本发明实施例第一种接入节点的结构示意图；

图9为本发明实施例第二种用户设备的结构示意图；

图10为本发明实施例第二种本地服务中心的结构示意图；

图11为本发明实施例第二种接入节点的结构示意图；

图12为本发明实施例用户设备侧接入控制的方法流程示意图；

图13为本发明实施例本地服务中心辅助用户设备侧接入控制的方法流程示意图；

图14为本发明实施例接入节点侧辅助用户设备侧接入控制的方法流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

首先对本发明实施例提供的技术方案的实施环境进行说明。

图1为超密集组网结构示意图，如图所示，网络结构中主要包括：NSC(Network Service Center，网络服务中心)、LSC(Local Service Center，本地服务中心)、若干个UE(User Equipment，用户设备)、为UE提供服务的若干个APG；其中，每个APG中包括若干个AP，同一个AP可以位于不同的APG中；每个APG对应一个节点组标识ID，每个APG对应一个UE。APG中的AP与UE通过无线连接，各AP与LSC之间通过有线连接，LSC与NSC之间通过IP网络相连。

在下面的说明过程中，先从网络侧和用户设备侧的配合实施进行说明，最后分别从网络侧与用户设备侧的实施进行说明，但这并不意味着二者必须配合实施，实际上，当网络侧与用户设备侧分开实施时，也解决了分别在网络侧、用户设备侧所存在的问题，只是二者结合使用时，会获得更好的技术效果。

如图2所示，本发明实施例接入控制的系统包括：用户设备10、本地服务中心20、至少一个接入节点30。

用户设备10、用于在需要接入网络时，与本地服务中心进行网络层双向鉴权；在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

本地服务中心20、用于在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

接入节点30、用于接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

本发明实施例用户设备在需要接入网络时，首先与本地服务中心进行网络层双向鉴权；在网络层双向鉴权通过后，用户设备与对应的接入节点组中的目标节点进行接入层双向鉴权；由于本发明实施例采用双层双向鉴权，并在双层双向鉴权通过后，该用户设备能够接入对应的接入节点组。从而使用户设备安全地接入对应的接入节点组。

其中，用户设备需要接入网络的时机可以是用户设备开机启动。

用户设备在需要接入网络时，用户设备通过接入节点向本地服务中心发送接入请求消息；

以用户设备开机启动后需要接入网络为例，确定转发接入请求消息的接入节点的方式包括下列中的部分或全部：

用户设备通过距离最近的接入节点发送接入请求消息；

用户设备通过信号强度最强的接入节点发送接入请求消息；

用户设备通过指定的发送接入请求消息。

本地服务中心在接收到用户设备发送的接入请求消息之后，所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息，向网络服务中心请求所述用户设备对应的网络层鉴权参数。

具体的，本地服务中心向网络服务中心发送请求鉴权参数消息，并且该请求鉴权参数消息中的包括用户设备的标识信息。

网络服务中心接收到本地服务中心发送的请求鉴权参数消息，根据请求鉴权参数消息中的包括用户设备的标识信息，生成该用户设备对应的网络层鉴权参数。

网络层鉴权参数包括：RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、K_LSC(临时密钥)；

其中，K_LSC是根据网络服务中心存储的该用户设备对应的根密钥k，以及网络层鉴权参数中的RAND确定的；并且，K_LSC的作用是使本地服务中心根据该K_LSC推演UE与网络进行通信时的通信密钥。

网络服务中心将生成该用户设备对应的网络层鉴权参数发送给本地服务中心，本地服务中心在本地保存接收到的用户设备对应的网络层鉴权参数。

本发明实施例在用户设备需要接入网络时，为了保证用户设备安全的接入网络，需要用户设备与网络进行双重双向鉴权。即共包括两次鉴权，分别为：用户设备与本地服务中心的网络层双向鉴权、用户设备与接入节点组的接入层双向鉴权。在上述两次鉴权分别通过后，用户设备接入对应的接入节点组。

下面对网络层双向鉴权和接入层双向鉴权分别进行说明。

一、用户设备与本地服务中心的网络层双向鉴权。

可选的，所述本地服务中心根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权。

所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息，以使所述用户设备根据所述网络层鉴权请求消息对网络侧进行鉴权；若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息，则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。

需要说明的是，本地服务中心向所述用户设备发送的包含网络层鉴权参数的网络层鉴权请求消息，是通过转发接入请求消息的接入节点转发的；并且，用户设备返回的网络层鉴权请求响应消息，也是通过该接入节点转发的。

具体的，如图3所示的用户设备与本地服务中心的网络层双向鉴权的流程图。

步骤301、本地服务中心向用户设备发送包含网络层鉴权参数的网络层鉴权请求消息。

步骤302、用户设备接收并保存网络层鉴权请求消息中的网络层鉴权参数。

步骤303、用户设备根据网络层鉴权参数中的RAND确定AUTN；

步骤304、若确定的AUTN与网络层鉴权参数中的AUTN相同，用户设备确定对网络的网络层鉴权通过。

步骤305、用户设备根据网络层鉴权参数中的RAND确定RES(鉴权响应参数)；

步骤306、用户设备向本地服务中心返回包含RES的网络层鉴权请求响应消息；

步骤307、若网络层鉴权请求响应消息中的RES与网络层鉴权参数中的XRES相同，则本地服务中心确定对用户设备的网络层鉴权通过。

需要说明的是，若用户设备对网络的网络层鉴权不通过，或本地服务中心对用户设备的网络层鉴权不通过，则用户设备不能接入网络。

本发明实施例的本地服务中心在确定与用户设备的网络层双向鉴权通过后，本地服务中心向网络服务中心申请，请求网络服务中心为该用户设备分配节点组标识。

本发明实施例可以采用下列方式确定用户设备对应的节点组标识：

本地服务中心向网络服务中心申请，请求网络服务中心为用户设备对应的接入节点组分配节点组标识；

具体的，网络服务中心在为用户设备对应的接入节点组分配节点组标识时，可以只将为该接入节点组分配的节点组标识发送给本地服务中心；

或者，网络服务中心预先发送给本地服务中心一组节点组标识，在本地服务中心确定与用户设备的网络层双向鉴权通过后，从该组节点组标识中选择一个没有分配出去的节点组标识分配给用户设备。

在确定用户设备对应的节点组标识后，本地服务中心将为该用户设备分配的节点组标识通知给该用户设备。

本地服务中心在确定用户设备对应的节点组标识后，生成为用户设备提供通信服务的接入节点组。

具体的，在确定为用户设备提供通信服务的接入节点组时，可以根据下列方式中的部分或全部：

1、根据用户设备接收的各接入节点的参考信号强度，将参考信号强度最强的N个接入节点组成用户设备对应的接入节点组；

2、根据各接入节点针对用户设备产生的通信协作增益，将通信协作增益最大的N个接入节点组成用户设备对应的接入节点组；

3、根据各接入节点向本地服务中心请求加入用户设备对应的接入节点组的请求时间，将最先请求的N个接入节点组成用户设备对应的接入节点组；

4、将指定的N个接入节点组成用户设备对应的接入节点组。

需要说明的是，上述确定为用户设备提供通信服务的接入节点组的方式只是对本发明实施例的举例说明，本发明实施例想要保护的确定用户设备对应的接入节点组的方式并不限于上述举例，任何能够确定为用户设备提供通信服务的接入节点组的方式均适用于本发明。

二、用户设备与接入节点组的接入层双向鉴权。

本发明实施例中用户设备与接入节点组的接入层双向鉴权，在具体实施时，是将用户设备与接入节点组中的目标节点进行接入层双向鉴权。

可选的，所述本地服务中心确定所述接入节点组中的目标节点；所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。

本地服务中心确定接入节点组中的目标节点的方式包括下列中的部分或全部：

方式1、将用户设备接收的接入节点组中参考信号强度最强的接入节点作为目标节点；

方式2、将接入节点组中的各接入节点针对用户设备产生的通信协作增益最大的接入节点作为目标节点；

方式3、将接入节点组中的最先请求加入该接入节点组的接入节点作为目标节点；

方式4、在接入节点组中任意指定一个接入节点作为目标节点。

需要说明的是，上述确定目标节点的方式只是对本发明实施例的举例说明，本发明实施例想要保护的确定目标节点的方式并不限于上述举例，任何能够确定目标节点的方式均适用于本发明。

在从接入节点组中确定出目标节点之后，所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。

可选的，所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点，以使所述目标节点根据所述节点组标识和所述接入层鉴权参数，与所述用户设备进行接入层双向鉴权。

本地服务中心根据下列方式确定所述用户设备对应的对应的接入层鉴权参数：

方式1、所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数。

具体的，本地服务中心向网络服务中心发送请求接入层鉴权参数消息，请求接入层鉴权参数消息中包含节点组标识；

网络服务中心接收到本地服务中心发送的请求接入层鉴权参数消息，根据请求接入层鉴权参数消息中包含的节点组标识，生成该用户设备对应的接入层鉴权参数。

接入层鉴权参数包括：RAND(随机数)、XRES(期望响应参数)、AUTN(鉴权标记)、K_APG(中间密钥)；

其中，K_APG是根据网络服务中心存储的该用户设备对应的根密钥k，接入层鉴权参数消息中包含节点组标识APG_ID，以及网络层鉴权参数中的RAND确定的；并且，K_APG的作用是使本地服务中心根据该K_APG推演UE与网络进行通信时的通信密钥。

方式2、所述本地服务中心根据所述用户设备对应的网络层鉴权参数，以及所述节点组标识，确定所述用户设备对应的接入层鉴权参数。

本地服务中心根据从网络服务中心获取的网络层鉴权参数中的RAND、XRES、AUTN、K_LSC，以及节点组标识APG_ID，确定所述用户设备对应的接入层鉴权参数。

具体的，根据K_LSC和APG_ID，确定K_APG，将RAND、XRES、AUTN、K_APG作为接入层鉴权参数。

需要说明的是，由于本发明实施例中每个接入节点可以同时归属于不同的接入节点组，即一个接入节点可以同时为多个用户设备提供通信服务。因此，在接入节点组中的目标节点与用户设备进行接入层双向鉴权时，目标节点与用户设备之间鉴权过程中发送的消息中需要包含节点组标识，以使目标节点与用户设备进行安全且准确地鉴权。

本发明实施例的本地服务中心在将确定的接入层鉴权参数发送给目标节点时，还需要将该接入层鉴权参数对应的用户设备的标识信息发送给目标节点，以使目标节点确定需要进行接入层鉴权的用户设备。

下面具体说明用户设备与目标节点进行接入层双向鉴权的过程。

如图4所示，本发明实施例进行接入层双向鉴权的系统包括：用户设备20、目标节点40。

目标节点40、用于向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；若接收到所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。

用户设备10、用于根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。

其中，目标节点向所述用户设备发送的接入层鉴权请求消息中包含的节点组标识APG_ID，以及接入层鉴权参数包括RAND、AUTN。

节点组标识APG_ID可以作为一个单独的参数添加在接入层鉴权请求消息中；或者，将节点组标识APG_ID与接入层鉴权参数中某个参数进行异或隐藏添加在接入层鉴权请求消息中，例如将APG_ID与AUTN进行异或隐藏。

相应地，若采用将节点组标识APG_ID与接入层鉴权参数中某个参数进行异或隐藏添加在接入层鉴权请求消息中进行传递的方式，用户设备在接收到接入层鉴权请求消息后，会从接入层鉴权参数中将节点组标识APG_ID解析出来。

用户设备与目标节点的接入层双向鉴权包括：用户设备对目标节点进行网络鉴权、目标节点对用户设备进行鉴权。

1、用户设备对目标节点进行网络鉴权。

具体的，用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记；若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同，则所述用户设备确定对网络鉴权通过。

即，用户设备根据接入层鉴权请求消息中的RAND确定AUTN，若用户设备确定的AUTN与接入层鉴权请求消息中的AUTN相同，则接入节点确定对网络鉴权通过。

用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。

具体的，用户设备在鉴权通过后，根据所述随机数确定鉴权响应参数；所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。

即，用户设备在对网络鉴权通过后，根据接入层鉴权参数中的RAND，确定RES(鉴权响应参数)，向所述本地服务中心返回包含APG_ID和RES的接入层鉴权响应消息。

节点组标识APG_ID可以作为一个单独的参数添加在接入层鉴权响应消息中；或者，将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在接入层鉴权响应消息中，例如将APG_ID与RES进行异或隐藏。

相应地，若采用将节点组标识APG_ID与鉴权响应参数进行异或隐藏添加在接入层鉴权响应消息中进行传递的方式，本地服务中心在接收到接入层鉴权响应消息后，会从鉴权响应参数中将节点组标识APG_ID解析出来。

2、目标节点对用户设备进行鉴权。

目标节点接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。

若所述接入层鉴权请求响应消息中包含的鉴权响应参数，与所述接入层鉴权参数中的期望响应参数相同，所述目标节点确定对所述用户设备鉴权通过。

具体的，目标节点判断接入层鉴权响应消息中的RES，与接入层鉴权参数中的XRES是否相同，若相同，则确定对用户设备鉴权通过。

如图5所示的用户设备与目标节点的接入层双向鉴权的流程图。

步骤501、目标节点向用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息。

步骤502、用户设备接收并保存接入层鉴权请求消息中的接入层鉴权参数。

步骤503、用户设备根据接入层鉴权请求消息中的RAND确定AUTN。

步骤504、若确定的AUTN与接入层鉴权参数中的AUTN相同，用户设备确定对网络鉴权通过。

步骤505、用户设备根据接入层鉴权参数中的RAND确定RES。

步骤506、用户设备用户设备向目标节点返回包含节点组标识和所述RES的接入层鉴权请求响应消息。

步骤507、目标节点在确定接入层鉴权请求响应消息中包含的鉴权响应参数与所述接入层鉴权参数中的期望响应参数相同后，确定对所述用户设备鉴权通过。

其中，本发明实施例的接入节点可以是基站(比如宏基站、家庭基站等)，还可以是其它节点。

如图6所示，本发明实施例一种用户设备包括：

第一网络鉴权模块601，用于在需要接入网络时，与本地服务中心进行网络层双向鉴权；

第一接入鉴权模块602，用于在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

可选的，所述第一接入鉴权模块602，具体用于：

如图7所示、本发明实施例一种本地服务中心包括：

第二网络鉴权模块701，用于在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

通知模块702，用于在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

第二接入鉴权模块703，用于通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

可选的，所述第二网络鉴权模块701，还用于：

所述第二网络鉴权模块701，具体用于：

可选的，所述第二网络鉴权模块701，具体用于：

可选的，所述第二接入鉴权模块703，具体用于：

如图8所示，本发明实施例一种接入节点包括：

接收模块801，用于接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

第三接入鉴权模块802，用于与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

可选的，所述第三接入鉴权模块802，具体用于：

如图9所示，本发明实施例第二种用户设备包括：

处理器901，用于读取存储器904中的程序，执行下列过程：

在需要接入网络时，与本地服务中心进行网络层双向鉴权；在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

收发机902，用于在处理器901的控制下接收和发送数据。

可选的，所述处理器901，具体用于：

根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；在鉴权通过后通过收发机902向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。

可选的，所述处理器901，具体用于：

在鉴权通过后，根据所述随机数确定鉴权响应参数；通过收发机902向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。

在实施中，处理器901和本地服务中心、接入节点之间的交互都是通过收发机902实现的，在此不再分别进行描述。

在图9中，总线架构(用总线900来代表)，总线900可以包括任意数量的互联的总线和桥，总线900将包括由通用处理器901代表的一个或多个处理器和存储器904代表的存储器的各种电路链接在一起。总线900还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口903在总线900和收发机902之间提供接口。收发机902可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。例如：收发机902从其他设备接收外部数据。收发机902用于将处理器901处理后的数据发送给其他设备。取决于计算系统的性质，还可以提供用户接口905，例如小键盘、显示器、扬声器、麦克风、操纵杆。

处理器901负责管理总线900和通常的处理，如前述所述运行通用操作系统。而存储器904可以被用于存储处理器901在执行操作时所使用的数据。

可选的，处理器901可以是CPU(中央处埋器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)或CPLD(Complex Programmable Logic Device，复杂可编程逻辑器件)。

如图10所示，本发明实施例第二种本地服务中心包括：

处理器1001，用于读取存储器1004中的程序，执行下列过程：

接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；通过收发机1002通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

收发机1002，用于在处理器1001的控制下接收和发送数据。

可选的，所述处理器1001，还用于：

所述处理器1001，具体用于：

可选的，所述处理器1001，具体用于：

在实施中，处理器1001和用户设备之间的交互是通过收发机1002和接入节点实现的，即处理器1001通过收发机1002将需要发送给用户设备的信息发送给接入节点，由接入节点发送给用户设备；接入节点在收到来自用户设备的需要发送给本地服务中心的信息后，将该信息发送给本地服务中心，处理器1001通过收发机1002接收该信息。

其中，本地服务中心和接入节点之间可以通过有线、无线等方式连接。

在图10中，总线架构(用总线1000来代表)，总线1000可以包括任意数量的互联的总线和桥，总线1000将包括由处理器1001代表的一个或多个处理器和存储器1004代表的存储器的各种电路链接在一起。总线1000还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口1003在总线1000和收发机1002之间提供接口。收发机1002可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器1001处理的数据通过天线1005在无线介质上进行传输，进一步，天线1005还接收数据并将数据传送给处理器1001。

处理器1001负责管理总线1000和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器1004可以被用于存储处理器1001在执行操作时所使用的数据。

可选的，处理器1001可以是CPU、ASIC、FPGA或CPLD。

如图11所示，本发明实施例第二种接入节点包括：

处理器1101，用于读取存储器1104中的程序，执行下列过程：

通过收发机1102接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

收发机1102，用于在处理器1101的控制下接收和发送数据。

可选的，所述处理器1101，具体用于：

通过收发机1102向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；若通过收发机1102接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。

可选的，所述第三接入鉴权模块802，具体用于：

在实施中，处理器1101和用户设备之间的交互是通过收发机1102实现的，处理器1101和本地服务中心之间的交互也可以通过收发机1102实现。收发机1102有至少两套传输方式，其中一套是与用户设备进行交互使用的方式，比如可以是无线方式；另一套是与本地服务中心进行交互使用的方式，比如无线方式、有线方式等。

其中，本地服务中心和接入节点之间可以通过有线、无线等方式连接。接入节点和用户设备之间通过无线方式连接。

在图11中，总线架构(用总线1100来代表)，总线1100可以包括任意数量的互联的总线和桥，总线1100将包括由处理器1101代表的一个或多个处理器和存储器1104代表的存储器的各种电路链接在一起。总线1100还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起，这些都是本领域所公知的，因此，本文不再对其进行进一步描述。总线接口1103在总线1100和收发机1102之间提供接口。收发机1102可以是一个元件，也可以是多个元件，比如多个接收器和发送器，提供用于在传输介质上与各种其他装置通信的单元。经处理器1101处理的数据通过天线1105在无线介质上进行传输，进一步，天线1105还接收数据并将数据传送给处理器1101。

处理器1101负责管理总线1100和通常的处理，还可以提供各种功能，包括定时，外围接口，电压调节、电源管理以及其他控制功能。而存储器1104可以被用于存储处理器1101在执行操作时所使用的数据。

可选的，处理器1101可以是CPU、ASIC、FPGA或CPLD。

基于同一发明构思，本发明实施例中还提供了一种接入控制的方法，由于该方法对应的设备是本发明实施例接入控制的系统中的用户设备，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见设备的实施，重复之处不再赘述。

如图12所示，本发明实施例一种接入控制的方法包括：

步骤1201、用户设备在需要接入网络时，所述用户设备与本地服务中心进行网络层双向鉴权；步骤1202、在网络层双向鉴权通过后，所述用户设备与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。

基于同一发明构思，本发明实施例中还提供了一种接入控制的方法，由于该方法对应的设备是本发明实施例接入控制的系统中的本地服务中心，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见设备的实施，重复之处不再赘述。

如图13所示，本发明实施例提供的一种接入控制的方法包括：

步骤1301、本地服务中心在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

步骤1302、所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

步骤1303、所述本地服务中心通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。

所述本地服务中心确定所述接入节点组中的目标节点；

基于同一发明构思，本发明实施例中还提供了一种接入控制的方法，由于该方法对应的设备是本发明实施例接入控制的系统中的接入节点，并且该方法解决问题的原理与该设备相似，因此该方法的实施可以参见设备的实施，重复之处不再赘述。

如图14所示，本发明实施例提供的一种接入控制的方法包括：

步骤1401、接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

步骤1402、所述接入节点与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种接入控制的方法，其特征在于，该方法包括：

用户设备在需要接入网络时，所述用户设备与本地服务中心进行网络层双向鉴权；

在网络层双向鉴权通过后，所述用户设备与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。
如权利要求1所述的方法，其特征在于，所述用户设备与对应的接入节点组进行接入层双向鉴权，包括：

所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；

所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
如权利要求2所述的方法，其特征在于，所述用户设备根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权，包括：

所述用户设备根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记；

若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同，则所述用户设备确定对网络鉴权通过。
如权利要求3所述的方法，其特征在于，所述用户设备在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，包括：

所述用户设备在鉴权通过后，根据所述随机数确定鉴权响应参数；

所述用户设备向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
一种接入控制的方法，其特征在于，该方法包括：

本地服务中心在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

所述本地服务中心在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

所述本地服务中心通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
如权利要求5所述的方法，其特征在于，所述本地服务中心在接收到用户设备的接入请求消息之后，与所述用户设备进行网络层双向鉴权之前，还包括：

所述本地服务中心根据所述接入请求消息中的用户设备的上下文信息，向网络服务中心请求所述用户设备对应的网络层鉴权参数；

所述本地服务中心与所述用户设备进行网络层双向鉴权，包括：

所述本地服务中心根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权。
如权利要求6所述的方法，其特征在于，所述本地服务中心根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权，包括：

所述本地服务中心向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息，以使所述用户设备根据所述网络层鉴权请求消息对网络进行鉴权；

若所述本地服务中心接收到所述用户设备返回的网络层鉴权请求响应消息，则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
如权利要求7所述的方法，其特征在于，所述本地服务中心根据所述用户设备返回的网络层鉴权请求响应消息，对所述用户设备进行鉴权，包括：

若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同，所述本地服务中心确定对所述用户设备鉴权通过。
如权利要求5所述的方法，其特征在于，所述本地服务中心通知所述接入节点组与所述用户设备进行接入层双向鉴权，包括：

所述本地服务中心确定所述接入节点组中的目标节点；

所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权。
如权利要求9所述的方法，其特征在于，所述本地服务中心通知所述目标节点与所述用户设备进行接入层双向鉴权，包括：

所述本地服务中心将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点，以使所述目标节点根据所述节点组标识和所述接入层鉴权参数，与所述用户设备进行接入层双向鉴权。
如权利要求10所述的方法，其特征在于，所述本地服务中心根据下列方式确定所述用户设备对应的对应的接入层鉴权参数：

所述本地服务中心从网络服务中心获取所述用户设备对应的接入层鉴权参数；或

所述本地服务中心根据所述用户设备对应的网络层鉴权参数，以及所述节点组标识，确定所述用户设备对应的接入层鉴权参数。
一种接入控制的方法，其特征在于，该方法包括：

接入节点接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

所述接入节点与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。
如权利要求12所述的方法，其特征在于，所述接入节点与所述接入层鉴权参数对应的用户设备进行接入层双向鉴权，包括：

所述接入节点向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；

若所述接入节点接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。
如权利要求13所述的方法，其特征在于，所述接入节点根据所述用户设备返回的包含节点组标识的接入层鉴权请求响应消息，对所述用户设备进行鉴权，包括：

若所述接入层鉴权请求响应消息中包含的鉴权响应参数，与所述接入层鉴权参数中的期望响应参数相同，所述接入节点确定对所述用户设备鉴权通过。
一种用户设备，其特征在于，包括：

第一网络鉴权模块，用于在需要接入网络时，与本地服务中心进行网络层双向鉴权；

第一接入鉴权模块，用于在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。
如权利要求15所述的用户设备，其特征在于，所述第一接入鉴权模块，具体用于：

根据所述接入节点组中的目标节点发送的包含节点组标识的接入层鉴权请求消息，对网络进行鉴权；在鉴权通过后向所述目标节点返回包含所述节点组标识的接入层鉴权请求响应消息，以使所述目标节点根据所述接入层鉴权请求响应消息对所述用户设备进行鉴权。
如权利要求16所述的用户设备，其特征在于，所述第一接入鉴权模块，具体用于：

根据所述接入层鉴权请求消息中的随机数确定第二鉴权标记；若所述第二鉴权标记与所述接入层鉴权请求消息中的第一鉴权标记相同，则确定对网络鉴权通过。
如权利要求17所述的用户设备，其特征在于，所述第一接入鉴权模块，具体用于：

在鉴权通过后，根据所述随机数确定鉴权响应参数；向所述目标节点返回包含所述节点组标识和所述鉴权响应参数的接入层鉴权请求响应消息，以使所述目标节点根据所述节点组标识和所述鉴权响应参数对所述用户设备进行鉴权。
一种本地服务中心，其特征在于，包括：

第二网络鉴权模块，用于在接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

通知模块，用于在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

第二接入鉴权模块，用于通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
如权利要求19所述的本地服务中心，其特征在于，所述第二网络鉴权模块，还用于：

在接收到用户设备的接入请求消息之后，与所述用户设备进行网络层双向鉴权之前，根据所述接入请求消息中的用户设备的上下文信息，向网络服务中心请求所述用户设备对应的网络层鉴权参数；

所述第二网络鉴权模块，具体用于：

根据所述网络层鉴权参数，与所述用户设备进行网络层双向鉴权。
如权利要求20所述的本地服务中心，其特征在于，所述第二网络鉴权模块，具体用于：

向所述用户设备发送包含网络层鉴权参数的网络层鉴权请求消息，以使所述用户设备根据所述网络层鉴权请求消息对网络进行鉴权；接收到所述用户设备返回的网络层鉴权请求响应消息，则根据所述网络层鉴权请求响应消息对所述用户设备进行鉴权。
如权利要求21所述的本地服务中心，其特征在于，所述第二网络鉴权模块，具体用于：

若所述网络层鉴权请求响应消息中包含的鉴权响应参数与所述网络层鉴权参数中的期望响应参数相同，确定对所述用户设备鉴权通过。
如权利要求19所述的本地服务中心，其特征在于，所述第二接入鉴权模块，具体用于：

确定所述接入节点组中的目标节点；通知所述目标节点与所述用户设备进行接入层双向鉴权。
如权利要求23所述的本地服务中心，其特征在于，所述第二接入鉴权模块，具体用于：

将所述接入节点组对应的节点组标识和所述用户设备对应的接入层鉴权参数发送给所述目标节点，以使所述目标节点根据所述节点组标识和所述接入层鉴权参数，与所述用户设备进行接入层双向鉴权。
如权利要求24所述的本地服务中心，其特征在于，所述第二接入鉴权模块，具体用于：

根据下列方式确定所述用户设备对应的对应的接入层鉴权参数：

从网络服务中心获取所述用户设备对应的接入层鉴权参数；或

根据所述用户设备对应的网络层鉴权参数，以及所述节点组标识，确定所述用户设备对应的接入层鉴权参数。
一种接入节点，其特征在于，包括：

接收模块，用于接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

第三接入鉴权模块，用于与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。
如权利要求26所述的接入节点，其特征在于，所述第三接入鉴权模块，具体用于：

向所述用户设备发送包含节点组标识和接入层鉴权参数的接入层鉴权请求消息，以使所述用户设备根据所述接入层鉴权请求消息对网络进行鉴权；若接收到所述用户设备返回的包含所述节点组标识的接入层鉴权请求响应消息，则根据所述接入层鉴权请求响应消息，对所述用户设备进行鉴权。
如权利要求27所述的接入节点，其特征在于，所述第三接入鉴权模块，具体用于：

若所述接入层鉴权请求响应消息中包含的鉴权响应参数，与所述接入层鉴权参数中的期望响应参数相同，则确定对所述用户设备鉴权通过。
一种用户设备，其特征在于，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

在需要接入网络时，与本地服务中心进行网络层双向鉴权；

在网络层双向鉴权通过后，与对应的接入节点组进行接入层双向鉴权，以便在接入层双向鉴权通过后使所述用户设备接入到对应的接入节点组中。
一种本地服务中心，其特征在于，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

接收到用户设备的接入请求消息后，与所述用户设备进行网络层双向鉴权；

在确定与所述用户设备网络层双向鉴权通过后，确定所述用户设备对应的接入节点组；

通知所述接入节点组与所述用户设备进行接入层双向鉴权，以使所述接入节点组在接入层双向鉴权通过后允许所述用户设备接入。
一种接入节点，其特征在于，包括存储器和处理器，其中，

处理器，用于读取存储器中的程序，执行下列过程：

接收本地服务中心发送的用户设备对应的接入层鉴权参数，其中所述接入层鉴权参数是所述本地服务中心在确定与用户设备的网络双向鉴权通过后发送的；

与所述用户设备进行接入层双向鉴权，并在确定与所述用户设备的接入层双向鉴权通过后，允许所述用户设备接入。