WO2018222132A2 - 网络认证方法、网络设备及核心网设备 - Google Patents

Abstract

摘要本申请提供一种网络认证方法、网络设备及核心网设备，包括：第一网络设备接收终端设备发送的接入请求消息，接入请求消息包括：终端设备的身份标识；第一网络设备根据终端设备的身份标识判断是否允许对终端设备进行认证；若第一网络设备不允许对终端设备进行认证，则第一网络设备向核心网设备发送终端设备的身份标识，以使核心网设备根据终端设备的身份标识进行网络认证；若第一网络设备允许对终端设备进行认证，则第一网络设备向终端设备发送认证请求消息，以使终端设备根据认证请求消息对第一网络设备进行认证；接收终端设备发送的认证响应消息，根据认证响应消息对终端设备进行认证。从而可以有效解决如何进行网络认证的问题。

Description

网络认证方法、 网络设备及核心网设备 技术领域

本申请涉及通信技术领域， 尤其涉及一种网络认证方法、 网络设备及核心网设备。 背景技术

物联网 （Internet of Things, IoT) 是第五代移动通信技术 （5th-Generation， 5G) 的重 要应用场景， IoT中的终端设备接入到 5G网络需要进行网络认证。 图 1为现有技术中终 端设备进行网络认证的交互示意图， 认证过程如下：

步骤 S 101 : 终端设备向移动性管理实体 (Mobility Management Entity, MME) 发送入 网请求。 步骤 S102: 该 MME向归属签约服务器 (Home Subscriber Server, HSS)发送入网 数据请求。步骤 S103: 该 HSS接收该入网数据请求并确定该终端设备对应的对称密钥 K; 其中该对称密钥存储在 HSS中， 然后根据该对称密钥 K计算认证向量， 该认证向量包括 认证令牌 （Authentication Token, AUTNHSS ) ， 期待响应 (Expected Response, XRES)和 接入安全管理密钥 （Key Access Security Management Entity, KASME) 。 步骤 S104: 该 HSS将该认证向量发送给 MME。步骤 S105:该 MME接收并保存该认证向量。步骤 S106: 该 MME向终端设备发起用户认证请求， 该用户认证请求包括随机数 RAND、 AUTNHSS 和 KASME。 步骤 S107: 该终端设备接收该 RAND和 AUTNHSS, 并利用演进分组系统 (Evolved Packet System, EPS) 第三代移动通讯网络的认证与密钥协商协议（Authentication and Key Agreement, AKA)密钥推演算法进行运算， 运算的输入参数包括终端设备的对称 密钥 K， RAND, 服务网络 （Serving Network, SN)标识， 终端设备的序列号 (Sequence Number, SQN)， 运算的输出参数包括用户侧认证令牌 AUTNUE, 响应（Response, RES ) 禾口 KASME。 步骤 S 108: 该终端设备在确认 AUTNUE和 AUTNHSS相同时根据 KASME 生成该终端设备与网络侧的会话密钥。 步骤 S109: 该终端设备向 MME发送运算得到的 RES o步骤 S110: 该 MME接收该 RES， 并在确认接收到的 RES和该认证向量中的 XRES 相同时根据 KASME生成网络侧与该终端设备之间的会话密钥。

目前， IoT中存在海量的终端设备需要与 HSS之间进行网络认证， 因此 HSS中需要 存储每个终端设备对应的对称密钥以及 SQN。 一方面， 这种集中式存储给 HSS造成了严 重的负载压力； 另一方面， 该网络认证过程需要终端设备、 MME和 HSS三者之间的交互 才能实现， 造成网络认证链条较长， 从而导致网络认证效率的问题。 为了解决这两个技术 问题， 现有技术采用了分布式网络认证方法， 即通过接入网或者核心网中的网络设备与终 端设备之间实现网络认证过程。然而， 当通信网络中网络设备以及核心网设备都具有网络 认证功能时， 如何进行网络认证成为本申请亟待解决的问题。 发明内容

本申请提供一种网络认证方法、 网络设备及核心网设备， 针对网络设备和核心网设备 都具有网络双向认证功能的情况， 通过该方法可以有效解决如何进行网络认证的问题。

第一方面， 本申请提供一种网络认证方法， 包括： 第一网络设备接收终端设备发送的 接入请求消息， 接入请求消息包括： 终端设备的身份标识； 第一网络设备根据终端设备的 身份标识判断是否允许对终端设备进行认证； 若第一网络设备不允许对终端设备进行认 证， 则第一网络设备向核心网设备发送终端设备的身份标识， 以使核心网设备根据终端设 备的身份标识进行网络认证； 若第一网络设备允许对终端设备进行认证， 则第一网络设备 向终端设备发送认证请求消息， 以使终端设备根据认证请求消息对第一网络设备进行认 证； 并接收终端设备发送的认证响应消息， 根据认证响应消息对终端设备进行认证。

通过该方法可以有效解决如何进行网络认证的问题。进一步地， 通过该方法使得终端 设备尽可能与就近设备进行网络认证， 例如： 接入网网关、 基站、 MME-AU 都设置在接 入网， 相对于核心网设备， 它们可以被称为终端设备的就近设备。 而 AUSF虽然在核心网 设置， 但是考虑到目前 AUSF相对于 HSS、 AUC服务器、 ARPF服务器等核心网设备设 置的更加分散。 因此， 相对于 HSS、 AUC月艮务器、 ARPF服务器等核心网设备， AUSF也 可以被称为终端设备的就近设备。 总之， 通过该方法使得终端设备尽可能与就近设备进行 网络认证， 在保证网络认证的可靠性的同时， 可以提高网络认证的效率。

可选地， 第一网络设备根据终端设备的身份标识判断是否允许对终端设备进行认证， 包括： 第一网络设备根据终端设备的身份标识判断终端设备是否为物联网 IoT设备。

当然， 也可以是根据终端设备的 ID对终端设备有其他的划分方式， 本申请对此不做 限制。因此本申请第一网络设备根据终端设备的身份标识判断是否允许对终端设备进行认 证不限于此。

可选地， 若第一网络设备允许对终端设备进行认证， 则第一网络设备向终端设备发送 认证请求消息之前，还包括：第一网络设备判断本地黑名单是否包括终端设备的身份标识； 相应的， 第一网络设备向终端设备发送认证请求消息， 包括： 若第一网络设备确定本地黑 名单不包括终端设备的身份标识， 则第一网络设备向终端设备发送认证请求消息。

通过该方法， 可以使得第一网络设备在进行网络认证之前， 先对终端设备进行筛选， 从而可以降低第一网络设备不必要的开销。

可选地， 根据认证响应消息对终端设备进行认证之后， 还包括： 第一网络设备判断本 地白名单是否包括终端设备的身份标识；若第一网络设备确定本地白名单不包括终端设备 的身份标识， 则第一网络设备向核心网设备发送终端设备的身份标识， 以使核心网设备验 证终端设备的身份标识的合法性。

即若第一网络设备确定本地白名单包括终端设备的身份标识，则表示该终端设备的身 份标识是合法的。

可选地， 第一网络设备根据终端设备的身份标识判断是否允许对终端设备进行认证， 包括： 第一网络设备判断本地白名单是否包括终端设备的身份标识。

即若本地白名单包括终端设备的身份标识，则表示第一网络设备允许对终端设备进行 认证。 否则， 则表示第一网络设备不允许对终端设备进行认证。

可选地， 第一网络设备判断本地白名单是否包括终端设备的身份标识之前， 还包括： 第一网络设备判断本地黑名单是否包括终端设备的身份标识； 相应的， 第一网络设备判断 本地白名单是否包括终端设备的身份标识， 包括： 若第一网络设备确定本地黑名单不包括 终端设备的身份标识， 则第一网络设备判断本地白名单是否包括终端设备的身份标识。

通过该方法， 可以使得第一网络设备在进行网络认证之前， 先对终端设备进行筛选， 从而可以降低第一网络设备不必要的开销。

可选地， 当第一网络设备为接入网网关时， 根据认证响应消息对终端设备进行认证之 后， 还包括： 第一网络设备向终端设备发送安全模式命令； 第一网络设备接收终端设备发 送的安全模式完成命令；第一网络设备向终端设备连接的基站和核心网设备发送接入安全 管理密钥； 第一网络设备向终端设备发送附着完成消息。

可选地， 当第一网络设备为基站时， 根据认证响应消息对终端设备进行认证之后， 还 包括： 第一网络设备向核心网设备发送接入安全管理密钥。

可选地， 当第一网络设备为移动性管理实体-认证单元 MME-AU 或者认证安全单元 AUSF时， 根据认证响应消息对终端设备进行认证之后， 还包括： 第一网络设备向终端设 备连接的基站和核心网设备发送接入安全管理密钥。

可选地， 还包括： 第一网络设备接收核心网设备发送的更新请求消息， 更新请求消息 包括： 终端设备的身份标识； 第一网络设备将终端设备的身份标识添加至本地白名单中； 第一网络设备向核心网设备发送更新响应消息。

通过该方法， 使得该终端设备下次就可以和第一网络设备进行网络认证了， 而无需与 核心网设备进行网络认证。 进而提高网络认证效率。

第二方面， 本申请提供一种网络认证方法， 包括： 核心网设备接收第一网络设备发送 的终端设备的身份标识；核心网设备根据终端设备的身份标识向终端设备发送认证请求消 息， 以使终端设备根据认证请求消息对核心网设备进行认证； 核心网设备接收终端设备发 送的认证响应消息， 根据认证响应消息对终端设备进行认证。

针对第一网络设备和核心网设备都具有网络双向认证功能的情况， 当第一网络设备不 能进行网络认证的情况下， 核心网设备通过该方法可以与终端设备进行网络认证， 从而提 高通信网络的可靠性。

可选地， 核心网设备根据终端设备的身份标识向终端设备发送认证请求消息之前， 还 包括： 核心网设备判断终端设备的身份标识是否在全局白名单中； 若核心网设备确定终端 设备的身份标识不在全局白名单中， 则核心网设备验证终端设备的身份标识的合法性； 相 应的， 核心网设备根据终端设备的身份标识向终端设备发送认证请求消息， 包括： 当终端 设备的身份标识在全局白名单或者终端设备的身份标识具有合法性时，核心网设备根据终 端设备的身份标识向终端设备发送认证请求消息。 从而提高通信网络的可靠性。

可选地， 还包括： 若终端设备的身份标识具有合法性， 则核心网设备将终端设备与第 一网络设备的对应关系存储至全局白名单中；核心网设备向第一网络设备发送更新请求消 息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将终端设备的身份标识 添加至本地白名单中； 核心网设备接收第一网络设备发送的更新响应消息。

通过该方法， 使得该终端设备下次就可以和第一网络设备进行网络认证了， 而无需与 核心网设备进行网络认证。 进而提高网络认证效率。

可选地， 还包括： 若核心网设备确定终端设备的身份标识在全局白名单中， 则核心网 设备在全局白名单中确定终端设备的身份标识对应的第二网络设备的身份标识；核心网设 备向第二网络设备发送删除请求消息， 删除请求消息包括： 终端设备的身份标识， 以使第 二网络设备删除本地白名单中的终端设备的身份标识；核心网设备接收第二网络设备发送 的删除响应消息；核心网设备将全局白名单中终端设备与第二网络设备的对应关系更新为 终端设备与第一网络设备的对应关系； 核心网设备向第一网络设备发送更新请求消息， 更 新请求消息包括： 终端设备的身份标识； 以使第一网络设备将终端设备的身份标识添加至 本地白名单中； 核心网设备接收第一网络设备发送的更新响应消息。

通过该方法， 使得该终端设备下次就可以和切换后的网络设备进行网络认证了， 即和 第一网络设备进行网络认证，而无需与核心网设备进行网络认证。进而提高网络认证效率。

可选地， 还包括： 核心网设备接收第一网络设备发送的接入安全管理密钥。

下面将介绍网络设备， 该网络设备可以用于执行第一方面及第一方面对应的可选方 式， 其实现原理和技术效果类似， 此处不再赘述。

第三方面， 本申请提供一种网络设备， 包括： 接收器、 处理器、 发送器和存储器； 存 储器用于存储代码， 当代码被处理器运行时， 以使处理器用于实现如下功能； 接收器， 用 于接收终端设备发送的接入请求消息，接入请求消息包括：终端设备的身份标识；处理器， 用于根据终端设备的身份标识判断是否允许对终端设备进行认证； 发送器， 用于若网络设 备不允许对终端设备进行认证， 则向核心网设备发送终端设备的身份标识， 以使核心网设 备根据终端设备的身份标识进行网络认证； 发送器， 还用于若网络设备允许对终端设备进 行认证， 则向终端设备发送认证请求消息， 以使终端设备根据认证请求消息对网络设备进 行认证； 接收器， 还用于接收终端设备发送的认证响应消息， 处理器， 还用于根据认证响 应消息对终端设备进行认证。

可选地， 处理器， 具体用于根据终端设备的身份标识判断终端设备是否为物联网 IoT 设备。

可选地， 处理器， 还用于判断本地黑名单是否包括终端设备的身份标识； 相应的， 发 送器， 具体用于若处理器确定本地黑名单不包括终端设备的身份标识， 则向终端设备发送 认证请求消息。

可选地， 处理器， 还用于判断本地白名单是否包括终端设备的身份标识； 发送器， 还 用于若处理器确定本地白名单不包括终端设备的身份标识，则向核心网设备发送终端设备 的身份标识， 以使核心网设备验证终端设备的身份标识的合法性。

可选地， 处理器， 具体用于判断本地白名单是否包括终端设备的身份标识。

可选地， 处理器， 还用于判断本地黑名单是否包括终端设备的身份标识； 相应的， 处 理器， 具体用于若确定本地黑名单不包括终端设备的身份标识， 则判断本地白名单是否包 括终端设备的身份标识。

可选地， 当所述网络设备为接入网网关时， 发送器， 还用于向终端设备发送安全模式 命令； 接收器， 还用于接收终端设备发送的安全模式完成命令； 发送器， 还用于向终端设 备连接的基站和核心网设备发送接入安全管理密钥； 发送器， 还用于向终端设备发送附着 完成消息。

可选地， 当网络设备为基站时，发送器，还用于向核心网设备发送接入安全管理密钥。 可选地， 当网络设备为移动性管理实体-认证单元 MME-AU或者认证安全单元 AUSF 时， 发送器， 还用于向终端设备连接的基站和核心网设备发送接入安全管理密钥。

可选地， 接收器， 还用于接收核心网设备发送的更新请求消息， 更新请求消息包括： 终端设备的身份标识； 处理器， 还用于将终端设备的身份标识添加至本地白名单中； 发送 器， 还用于向核心网设备发送更新响应消息。 下面将介绍核心网设备，该核心网设备可以用于执行第二方面及第二方面对应的可选 方式， 其实现原理和技术效果类似， 此处不再赘述。

第四方面， 本申请提供一种核心网设备， 包括： 接收器， 用于接收第一网络设备发送 的终端设备的身份标识； 发送器， 用于根据终端设备的身份标识向终端设备发送认证请求 消息， 以使终端设备根据认证请求消息对核心网设备进行认证； 接收器， 还用于接收终端 设备发送的认证响应消息， 根据认证响应消息对终端设备进行认证。

可选地， 还包括： 处理器和存储器； 存储器用于存储代码， 当代码被处理器运行时， 以使处理器用于： 判断终端设备的身份标识是否在全局白名单中； 若确定终端设备的身份 标识不在全局白名单中， 则验证终端设备的身份标识的合法性； 相应的， 发送器， 具体用 于当终端设备的身份标识在全局白名单或者终端设备的身份标识具有合法性时，根据终端 设备的身份标识向终端设备发送认证请求消息。

可选地， 处理器， 还用于若终端设备的身份标识具有合法性， 则将终端设备与第一网 络设备的对应关系存储至全局白名单中； 发送器， 还用于向第一网络设备发送更新请求消 息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将终端设备的身份标识 添加至本地白名单中； 接收器， 还用于接收第一网络设备发送的更新响应消息。

可选地， 处理器， 还用于若确定终端设备的身份标识在全局白名单中， 则在全局白名 单中确定终端设备的身份标识对应的第二网络设备的身份标识； 发送器， 还用于向第二网 络设备发送删除请求消息， 删除请求消息包括： 终端设备的身份标识， 以使第二网络设备 删除本地白名单中的终端设备的身份标识； 接收器， 还用于接收第二网络设备发送的删除 响应消息； 处理器， 还用于将全局白名单中终端设备与第二网络设备的对应关系更新为终 端设备与第一网络设备的对应关系； 发送器， 还用于向第一网络设备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将所述终端设备的身份标识 添加至本地白名单中； 接收器， 还用于接收第一网络设备发送的更新响应消息。

可选地， 接收器， 还用于接收第一网络设备发送的接入安全管理密钥。

第五方面， 本申请提供一种计算机存储介质， 用于储存为上述网络设备所用的计算机 软件指令， 其包含用于执行上述第一方面所设计的程序。

第六方面， 本申请实施例提供一种计算机存储介质， 用于储存为上述核心网设备所用 的计算机软件指令， 其包含用于执行上述第二方面所设计的程序。

第七方面， 本申请提供一种计算机程序产品， 其包含指令， 当所述计算机程序被计算 机所执行时， 该指令使得计算机执行上述第一方面及可选方法中网络设备所执行的功能。

第八方面， 本申请提供一种计算机程序产品， 其包含指令， 当所述计算机程序被计算 机所执行时， 该指令使得计算机执行上述第二方面及可选方法中核心网设备所执行的功 能。

综上， 本申请提供一种网络认证方法、 网络设备及核心网设备， 针对网络设备和核心 网设备都具有网络双向认证功能的情况， 可以有效解决如何进行网络认证的问题。进一步 地， 使得终端设备尽可能与就近设备进行网络认证， 例如： 接入网网关、 基站、 MME-AU 都设置在接入网， 相对于核心网设备， 它们可以被称为终端设备的就近设备。 而 AUSF虽 然在核心网设置， 但是考虑到目前 AUSF相对于 HSS、 AUC服务器、 ARPF服务器等核 心网设备设置的更加分散。因此，相对于 HSS、 AUC服务器、 ARPF服务器等核心网设备， AUSF也可以被称为终端设备的就近设备。 总之， 通过该方法使得终端设备尽可能与就近 设备进行网络认证， 在保证网络认证的可靠性的同时， 可以提高网络认证的效率。 附图说明

图 1为现有技术中终端设备进行网络认证的交互示意图；

图 2为本申请一实施例提供的网络架构示意图；

图 3为本申请另一实施例提供的网络架构示意图；

图 4为本申请再一实施例提供的网络架构示意图；

图 5为本申请又一实施例提供的网络架构示意图；

图 6为本申请再一实施例提供的网络架构示意图；

图 7为本申请一实施例提供的一种网络认证方法的交互流程图；

图 8A和图 8B为本申请另一实施例提供的一种网络认证方法的交互流程图;

图 9A和图 9B为本申请又一实施例提供的一种网络认证方法的交互流程图;

图 10为本申请再一实施例提供的一种网络认证方法的交互流程图；

图 11为本申请一实施例提供的一种网络认证装置结构示意图；

图 12为本申请一实施例提供的一种网络认证装置的结构示意图；

图 13为本申请一实施例提供的一种网络设备的结构示意图；

图 14为本申请一实施例提供的一种核心网设备的结构示意图。 具体实施方式

本申请涉及到的网络设备是可以与终端设备进行网络认证的设备。该网络设备可以是 接入网设备， 例如可以是全球移动通讯 （Global System of Mobile communication, 简称 GSM)或码分多址（Code Division Multiple Access,简称 CDMA)中的基站（Base Transceiver Station, 简称 BTS )中， 也可以是宽带码分多址（Wideband Code Division Multiple Access, 简称 WCDMA)中的基站（NodeB , 简称 NB )，还可以是长期演进（Long Term Evolution, LTE) 网络中的演进型基站 （evolved NodeB , 简称 eNB ) 、 接入点 （Access Point, AP) 或者中继站， 也可以是 5G网络或者新一代无线接入技术（New Radio Access Technology, NR) 中的基站， 也可以是接入网中的接入网网关， 或者是接入网中的移动性管理实体-认 证单元 (Mobility Management Entity- Authentication Unit, MME-AU) 等， 在此不作限定。 该网络设备还可以是核心网设备， 例如可以是认证安全单元 （Authentication Security Function, AUSF) 等。

具体地， 结合如下几种网络架构对上述网络设备进行具体说明。 需要说明的是， 本申 请不限于如下几种网络架构：

第一种网络结构： 图 2为本申请一实施例提供的网络架构示意图， 如图 2所示， 该网 络架构是第三代 （3th-Ge_nemti_on， 3G) 蜂窝网络的局部架构图。 其中接入网网关可以作 为上述网络设备， 它可以实现与终端设备之间的网络认证。 或者， 基站可以作为上述网络 设备， 它可以实现与终端设备之间的网络认证。

第二种网络结构： 图 3为本申请另一实施例提供的网络架构示意图， 如图 3所示， 该 网络架构是无线保真 （Wireless Fidelity, Wi-Fi) 网络的局部架构图。 和上述 3G网络架构 相同， 这种情况下， 接入网网关可以作为上述网络设备， 它可以实现与终端设备之间的网 络认证。 或者， AP可以作为上述网络设备， 它可以实现与终端设备之间的网络认证。

第三种网络架构： 图 4为本申请再一实施例提供的网络架构示意图， 如图 4所示， 该 网络架构是第四代 th-Genemtion, 4G) LTE 网络的局部架构图。 其中基站可以作为上 述网络设备， 它可以实现与终端设备之间的网络认证。 或者， 该网络架构中也可以如同上 述 3G网络架构相同的方式， 即在 4G网络架构中增加接入网网关， 这种情况下， 接入网 网关可以作为上述网络设备， 它可以实现与终端设备之间的网络认证。

第四种网络架构： 图 5为本申请又一实施例提供的网络架构示意图， 如图 5所示， 该 网络架构是 4G LTE网络的局部架构图。 其中 MME-AU可以作为上述网络设备， 它可以 实现与终端设备之间的网络认证。 需要说明的是， 会话管理网元 （Session Management ， SM) 和移动性管理 （Mobility Management, MM) 网元可以集成在一个网络设备中， MME-AU为一个独立的网络设备， 它设置在接入网中。

第五种网络架构： 图 6为本申请再一实施例提供的网络架构示意图， 如图 6所示， 该 网络架构是 5G网络的局部架构图。 其中 AUSF可以作为上述网络设备， 它可以实现与终 端设备之间的网络认证。

本申请涉及到的核心网设备本身具有网络认证的功能。 它可以是 3G网络中的认证中 心 (Authentication Centre, AUC) 服务器、 4G网络中的 HSS、 或者是 5G网络中的认证 信任状保存禾口处理功能 ( Authentication Credential Repository and Processing Function ， ARPF) 服务器等。

为了解决现有技术存在的如下问题： 在通信网络系统中， 该网络设备以及核心网设备 都具有网络认证功能。 故， 如何进行网络认证成为本申请亟待解决的问题。 本申请提供一 种网络认证方法、 网络设备及核心网设备。

具体地，图 7为本申请一实施例提供的一种网络认证方法的交互流程图，如图 7所示， 该方法包括：

步骤 S701 : 第一网络设备接收终端设备发送的接入请求消息， 该接入请求消息包括: 终端设备的身份标识 （Identity, ID) 。

其中， 终端设备的 ID可以是媒体访问控制 （Media Access Control, MAC) 地址、 网 络协议 （Internet Protocol, IP) 地址、 手机号码、 国际移动设备标识 （ International Mobile Equipment Identity, IMEI)、 国际移动用户识另 lj码 (International Mobile Subscriber Identity, IMSI) 、 IP多媒体私有标识 （IP Multimedia Private Identity, IMPI) 、 临时移动用户标识 符（Temporary Mobile Subscriber Identity, TMSI )、 IP多媒体公共标识（IP Multimedia Public Identity, IMPU)、全球唯一临时 UE标识（Globally Unique Temporary UE Identity, GUTI) 等等。 只要是可以唯一标识终端设备的标识都可以作为终端设备的 ID。 本申请对此不做 限制。

步骤 S702: 第一网络设备根据终端设备的 ID判断是否允许对终端设备进行认证。 一种可选方式： 第一网络设备或者网络系统对所有的终端设备划分为 IoT 设备和非 ΙοΤ设备。 其中 IoT设备可以为电脑、 手机、 打印机、 冰箱、 机器人、 传感器、 电表、 水 表等等可以接入到 IoT中的终端设备。规定 IoT设备为允许第一网络设备认证的终端设备。 规定非 IoT 设备为不允许第一网络设备认证的终端设备。 而每个终端设备都具有唯一的 ID。 第一网络设备可以根据终端设备的 ID判断终端设备是否是允许认证的终端设备。 当然， 也可以是根据终端设备的 ID对终端设备有其他的划分方式， 本申请对此不做 限制。

另一种可选方式： 若第一网络设备的本地白名单包括所述终端设备的 ID， 则表示第 一网络设备允许对该终端设备进行认证。 否则， 则表示第一网络设备不允许对该终端设备 进行认证。

步骤 S703: 若第一网络设备不允许对终端设备进行认证， 则第一网络设备向核心网 设备发送终端设备的 ID。

步骤 S704: 核心网设备根据终端设备的 ID进行网络认证。

结合步骤 S703和步骤 S704进行说明： 其中当该核心网设备为 HSS时， 它与终端设 备之间的网络认证过程可以采用图 1所示的网络认证过程。 当该核心网设备为 AUC服务 器、 ARPF服务器时， 可以采用类似于图 1所示的网络认证过程。 总之， 该核心网设备可 以采用现有 EPS-AKA认证协议的任何网络认证方法， 本申请对此不做限制。

步骤 S705: 若第一网络设备允许对终端设备进行认证， 则第一网络设备向终端设备 发送认证请求消息。 终端设备根据认证请求消息对第一网络设备进行认证。第一网络设备 接收终端设备发送的认证响应消息， 根据所述认证响应消息对所述终端设备进行认证。 即 若第一网络设备允许对终端设备进行认证， 则第一网络设备和终端设备进行网络认证。

本申请中涉及到的第一网络设备和终端设备之间的网络认证过程可以采用现有 EPS-AKA认证协议的任何网络认证方法， 本申请对此不做限制。 例如， 可以采用如下网 络认证方法： （可选地） 第一网络设备可以根据终端设备的 ID和网络设备的第一密钥生 成网络设备侧的对称密钥； （可选地）第一网络设备为终端设备生成第一序列号； （可选 地）第一网络设备根据第一序列号确定终端设备的正确的序列号； （可选地）第一网络设 备根据网络设备侧的对称密钥、 正确的序列号、第一随机数和第一网络设备为终端设备配 置的认证管理域参数生成第一认证令牌； 其中， 认证管理域参数用于限定终端设备在网络 认证过程中涉及的参数； 第一网络设备向终端设备发送认证请求消息， 该认证请求消息包 括第一随机数和第一认证令牌； 以使终端设备根据第一认证令牌和第二认证令牌对第一网 络设备进行认证； 其中， 第二认证令牌是终端设备根据终端设备侧的对称密钥、 第一随机 数、 正确的序列号和认证管理域参数生成的； 第一网络设备接收终端设备发送的认证响应 消息； 其中， 认证响应消息包括第一认证参数； 第一认证参数根据第一随机数和终端设备 侧的对称密钥生成；第一网络设备根据网络设备侧的对称密钥和第一随机数生成第二认证 参数； 第一网络设备根据第一认证参数和第二认证参数认证终端设备。

需要说明的是，上述网络设备侧的对称密钥可以是已存储在第一网络设备中的对称密 钥。 即上述第一网络设备生成网络设备侧的对称密钥可以省略。

上述第一密钥为第一网络设备的私钥； 或者， 第一密钥为包括所述终端设备的多个终 端设备对应的公共密钥。 基于此， 生成对称密钥的方式可以分为如下两种：

一种可选方式，第一密钥为第一网络设备的私钥。基于 IBC包括基于身份的签名技术 (Identity Based Signature, IBS )和基于身份的加密技术（Identity Based Encryption, IBE)。 终端设备和第一网络设备都拥有自己的公私钥对， 其中公钥为有意义的字符串 （身份） ， 例如 Email地址、 电话号码等； 私钥由私钥生成中心 （Private Key Generator, PKG) 根据 设备的 ID和 PKG的主私钥生成。 而第一网络侧设备的对称密钥 K通过自己的私钥和终 端设备的 ID生成的。 同样的， 终端设备的对称密钥 K通过自己的私钥和第一网络设备的 ID生成的。而如何根据自己的私钥和对方的 ID生成对称密钥 K可以采用现有技术基于配 对， 或者使用基于 RFC6507 的 IBS 密码技术及其在椭圆曲线群上进行静态的 Diffie-Helleman等算法。 本申请对此不做限制。

另一种可选方式： 第一密钥为包括所述终端设备的多个终端设备对应的公共密钥。第 一网络设备可以根据该公共密钥以及该终端设备的 ID推演出网络设备侧的对称密钥 K。 需要强调的是， 第一网络设备可以与多个终端设备建立有网络认证关系。 而针对每个终端 设备， 网络设备侧都具有唯一对应的对称密钥 Κ。 因此， 第一网络设备根据公共密钥和终 端设备 Α的 ID推演出的是终端设备 A和第一网络设备之间， 网络设备侧的对称密钥 K。 而如何根据公共密钥和对方的 ID生成对称密钥 K可以采用现有技术的相关算法。 本申请 对此不做限制。

上述第一序列号为第一网络设备根据当前的时间信息生成的序列号； 这种情况下， 第 一序列号与正确的序列号相同。 或者， 第一序列号为终端设备的伪序列号。

综上， 针对网络设备和核心网设备都具有网络认证功能的情况， 本申请提供一种网络 认证方法， 通过该方法可以有效解决如何进行网络认证的问题。 进一步地， 通过该方法使 得终端设备尽可能与就近设备进行网络认证， 例如： 接入网网关、 基站、 MME-AU 都设 置在接入网， 相对于核心网设备， 它们可以被称为终端设备的就近设备。 而 AUSF虽然在 核心网设置， 但是考虑到目前 AUSF相对于 HSS、 AUC服务器、 ARPF服务器等核心网 设备设置的更加分散。 因此， 相对于 HSS、 AUC服务器、 ARPF服务器等核心网设备， AUSF也可以被称为终端设备的就近设备。 总之， 通过该方法使得终端设备尽可能与就近 设备进行网络认证， 在保证网络认证的可靠性（通过网络设备或者核心网设备进行网络认 证） 的同时， 可以提高网络认证的效率。

以图 7对应实施例为基础， 例如若步骤 S701包括： 若第一网络设备根据终端设备的 ID判断终端设备是否为 IoT设备时， 进一步可选地， 若第一网络设备允许对终端设备进 行认证， 则第一网络设备向终端设备发送认证请求消息之前， 还包括： 第一网络设备判断 本地黑名单是否包括终端设备的 ID; 相应的， 第一网络设备向终端设备发送认证请求消 息， 包括： 若第一网络设备确定本地黑名单不包括终端设备的 ID， 则第一网络设备向终 端设备发送认证请求消息。

可选地， 根据认证响应消息对终端设备进行认证之后， 还包括： 第一网络设备判断本 地白名单是否包括终端设备的 ID;若第一网络设备确定本地白名单不包括终端设备的 ID， 则第一网络设备向核心网设备发送终端设备的 ID， 以使核心网设备验证终端设备的 ID的 合法性。

例如： 核心网验证终端设备的 ID的合法性， 包括： 若全局白名单中包括所述终端设 备的 ID，则表示该终端设备的 ID具有合法性。若全局白名单中不包括所述终端设备的 ID， 则核心网设备判断终端设备的 ID的长度是否在预设范围之内，如果该终端设备的 ID的长 度在预设范围之内， 则确定该终端设备的 ID具有合法性， 否则， 则不具有合法性。 实际 上， 核心网设备验证终端设备的 ID的合法性可以采用现有技术提供的任何验证方法。 本 申请对此不做限制。 可选地， 核心网设备根据终端设备的 ID向终端设备发送认证请求消息之前， 或者核 心网设备和终端设备进行网络认证之前， 还包括： 核心网设备判断终端设备的身份标识是 否在全局白名单中； 若核心网设备确定终端设备的身份标识不在全局白名单中， 则核心网 设备验证终端设备的身份标识的合法性； 相应的， 核心网设备根据终端设备的身份标识向 终端设备发送认证请求消息， 包括： 当终端设备的身份标识在全局白名单或者终端设备的 身份标识具有合法性时，核心网设备根据终端设备的身份标识向终端设备发送认证请求消 息。

即当终端设备的 ID在全局白名单时， 表示该终端设备的 ID已经具有合法性， 因此无 需再判断它是否具有合法性。 基于此， 当终端设备的 ID在全局白名单或者终端设备的 ID 具有合法性时， 核心网设备根据所述终端设备的 ID向终端设备发送认证请求消息。

其中， 核心网设备验证终端设备的 ID的合法性包括： 核心网设备判断终端设备的 ID 的长度是否在预设范围之内， 如果该终端设备的 ID的长度在预设范围之内， 则确定该终 端设备的 ID具有合法性， 否则， 则不具有合法性。 实际上， 核心网设备验证终端设备的 ID的合法性可以采用现有技术提供的任何验证方法。 本申请对此不做限制。

可选地， 还包括： 若终端设备的 ID具有合法性， 则核心网设备将终端设备与第一网 络设备的对应关系存储至全局白名单中； 核心网设备向第一网络设备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将所述终端设备的 ID添加 至本地白名单中； 核心网设备接收第一网络设备发送的更新响应消息。

具体地，若终端设备的身份标识具有合法性表示若终端设备的身份标识不在全局白名 单中且具有合法性， 这种情况， 核心网设备将终端设备与第一网络设备的对应关系存储至 全局白名单中。具体可以是存储终端设备的 ID与第一网络设备的 ID的对应关系。并将所 述终端设备的 ID发送给第一网络设备，以使第一网络设备将终端设备的 ID添加至本地白 名单中； 这样该终端设备下次就可以和第一网络设备进行网络认证了， 而无需与核心网设 备进行网络认证。

进一步地， 当第一网络设备将终端设备的 ID添加成功时， 第一网络设备向核心网设 备发送的更新响应消息用于指示终端设备的 ID添加成功。 否则， 更新响应消息用于指示 终端设备的 ID添加失败。

可选地， 还包括： 若核心网设备确定终端设备的 ID在全局白名单中， 则核心网设备 在全局白名单中确定终端设备的 ID对应的第二网络设备的 ID; 核心网设备向第二网络设 备发送删除请求消息， 删除请求消息包括： 终端设备的 ID， 以使第二网络设备删除本地 白名单中的终端设备的 ID; 核心网设备接收第二网络设备发送的删除响应消息； 核心网 设备将全局白名单中终端设备与第二网络设备的对应关系更新为终端设备与第一网络设 备的对应关系； 核心网设备向第一网络设备发送更新请求消息， 更新请求消息包括： 终端 设备的 ID; 以使第一网络设备将终端设备的 ID添加至本地白名单中； 核心网设备接收第 一网络设备发送的更新响应消息。

具体地， 若核心网设备确定终端设备的 ID在全局白名单中， 而之前已经确定该终端 设备的 ID不在第一网络设备的本地白名单中， 说明全局白名单中存储的是该终端设备的 ID与第二网络设备的 ID的对应关系。 因此， 则核心网设备在全局白名单中确定终端设备 的 ID对应的第二网络设备的 ID; 核心网设备向第二网络设备发送删除请求消息， 以使第 二网络设备删除本地白名单中的终端设备的 ID; 核心网设备将全局白名单中终端设备与 第二网络设备的对应关系更新为终端设备与第一网络设备的对应关系；核心网设备向第一 网络设备发送更新请求消息， 以使第一网络设备将终端设备的 ID添加至本地白名单中。 这样该终端设备下次就可以和第一网络设备进行网络认证了，而无需与核心网设备进行网 络认证。

结合上述可选方式与图 7对应实施例进行说明： 图 8A和图 8B为本申请另一实施例 提供的一种网络认证方法的交互流程图， 如图 8A和图 8B所示， 该方法包括：

步骤 S801 : 第一网络设备接收终端设备发送的接入请求消息。 该接入请求消息包括: 终端设备的 ID。

步骤 S802: 第一网络设备根据终端设备的 ID判断是否允许对终端设备进行认证。 例如： 第一网络设备或者网络系统对所有的终端设备划分为 IoT设备和非 ΙοΤ设备。 其中 ΙοΤ设备可以为电脑、 手机、 打印机、 冰箱、 机器人、 传感器、 电表、 水表等等可以 接入到 IoT中的终端设备。规定 IoT设备为允许第一网络设备认证的终端设备。规定非 IoT 设备为不允许第一网络设备认证的终端设备。 而每个终端设备都具有唯一的 ID。 第一网 络设备可以根据终端设备的 ID判断终端设备是否是允许认证的终端设备。

步骤 S803: 若第一网络设备确定允许对终端设备进行认证， 则第一网络设备判断本 地黑名单是否包括终端设备的 ID。

步骤 S804: 若第一网络设备确定本地黑名单不包括所述终端设备的 ID， 则第一网络 设备向终端设备发送认证请求消息， 以使终端设备根据认证请求消息对第一网络设备进行 认证； 并接收终端设备发送的认证响应消息， 根据认证响应消息对终端设备进行认证。 即 若第一网络设备确定本地黑名单不包括所述终端设备的 ID， 则第一网络设备和终端设备 进行网络认证。

步骤 S805: 第一网络设备判断本地白名单是否包括所述终端设备的 ID。

步骤 S806: 若第一网络设备确定本地白名单不包括所述终端设备的 ID， 则第一网络 设备向核心网设备发送所述终端设备的 ID。

步骤 S807: 核心网设备判断终端设备的 ID是否在全局白名单中； 若核心网设备确定 终端设备的 ID不在全局白名单中， 则执行步骤 S808a至 S809a_; 若核心网设备确定终端 设备的 ID在全局白名单中， 则执行步骤 S808b至 S811b。

步骤 S808a: 核心网设备验证终端设备的身份标识的合法性。 当终端设备的 ID具有 合法性时， 则执行步骤 S809a。

步骤 S809a:核心网设备将终端设备与第一网络设备的对应关系存储至全局白名单中； 接下来执行步骤 S812至步骤 S814。

步骤 S808b: 核心网设备将全局白名单中终端设备与第二网络设备的对应关系更新为 终端设备与第一网络设备的对应关系。

步骤 S809b_: 核心网设备向第二网络设备发送删除请求消息， 该删除请求消息包括： 终端设备的 ID。

步骤 S810b: 第二网络设备删除本地白名单中的终端设备的 ID。

步骤 S811b_: 核心网设备接收第二网络设备发送的删除响应消息。 接下来执行步骤 S812至步骤 S814。 步骤 S812: 核心网设备向第一网络设备发送更新请求消息， 该更新请求消息包括： 所述终端设备的 ID。

步骤 S813: 第一网络设备将终端设备的 ID添加至本地白名单中。

步骤 S814: 核心网设备接收第一网络设备发送的更新响应消息。

需要说明的是，本申请对上述步骤的顺序不做限制，上述步骤之前的顺序还可以调整。 例如： 步骤 S808b可以在步骤 S809至步骤 S814中任一步骤之后执行。

其中上述步骤与图 7对应的部分步骤以及上述可选方式相同， 对应内容和效果， 在此 不再赘述。

以图 7对应实施例为基础， 若步骤 S701包括： 第一网络设备判断本地白名单是否包 括终端设备的 ID， 进一步可选地， 第一网络设备判断本地白名单是否包括终端设备的 ID 之前， 还包括： 第一网络设备判断本地黑名单是否包括终端设备的 ID; 相应的， 第一网 络设备判断本地白名单是否包括终端设备的 ID， 包括： 若第一网络设备确定本地黑名单 不包括终端设备的 ID， 则第一网络设备判断本地白名单是否包括终端设备的 ID。

可选地， 核心网设备根据终端设备的 ID向终端设备发送认证请求消息之前， 或者核 心网设备和终端设备进行网络认证之前， 还包括： 核心网设备判断终端设备的身份标识是 否在全局白名单中； 若核心网设备确定终端设备的身份标识不在全局白名单中， 则核心网 设备验证终端设备的身份标识的合法性； 相应的， 核心网设备根据终端设备的身份标识向 终端设备发送认证请求消息， 包括： 当终端设备的身份标识在全局白名单或者终端设备的 身份标识具有合法性时，核心网设备根据终端设备的身份标识向终端设备发送认证请求消 息。

即当终端设备的 ID在全局白名单时， 表示该终端设备的 ID已经具有合法性， 因此无 需再判断它是否具有合法性。 基于此， 当终端设备的 ID在全局白名单或者终端设备的 ID 具有合法性时， 核心网设备根据所述终端设备的 ID向终端设备发送认证请求消息。

其中， 核心网设备验证终端设备的 ID的合法性包括： 核心网设备判断终端设备的 ID 的长度是否在预设范围之内， 如果该终端设备的 ID的长度在预设范围之内， 则确定该终 端设备的 ID具有合法性， 否则， 则不具有合法性。 实际上， 核心网设备验证终端设备的 ID的合法性可以采用现有技术提供的任何验证方法。 本申请对此不做限制。

可选地， 还包括： 若终端设备的 ID具有合法性， 则核心网设备将终端设备与第一网 络设备的对应关系存储至全局白名单中； 核心网设备向第一网络设备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将所述终端设备的 ID添加 至本地白名单中； 核心网设备接收第一网络设备发送的更新响应消息。

具体地，若终端设备的身份标识具有合法性表示若终端设备的身份标识不在全局白名 单中且具有合法性， 这种情况， 核心网设备将终端设备与第一网络设备的对应关系存储至 全局白名单中。具体可以是存储终端设备的 ID与第一网络设备的 ID的对应关系。并将所 述终端设备的 ID发送给第一网络设备，以使第一网络设备将终端设备的 ID添加至本地白 名单中； 这样该终端设备下次就可以和第一网络设备进行网络认证了， 而无需与核心网设 备进行网络认证。

进一步地， 当第一网络设备将终端设备的 ID添加成功时， 第一网络设备向核心网设 备发送的更新响应消息用于指示终端设备的 ID添加成功。 否则， 更新响应消息用于指示 终端设备的 ID添加失败。

可选地， 还包括： 若核心网设备确定终端设备的 ID在全局白名单中， 则核心网设备 在全局白名单中确定终端设备的 ID对应的第二网络设备的 ID; 核心网设备向第二网络设 备发送删除请求消息， 删除请求消息包括： 终端设备的 ID， 以使第二网络设备删除本地 白名单中的终端设备的 ID; 核心网设备接收第二网络设备发送的删除响应消息； 核心网 设备将全局白名单中终端设备与第二网络设备的对应关系更新为终端设备与第一网络设 备的对应关系； 核心网设备向第一网络设备发送更新请求消息， 更新请求消息包括： 终端 设备的 ID; 以使第一网络设备将终端设备的 ID添加至本地白名单中； 核心网设备接收第 一网络设备发送的更新响应消息。

具体地， 若核心网设备确定终端设备的 ID在全局白名单中， 而之前已经确定该终端 设备的 ID不在第一网络设备的本地白名单中， 说明全局白名单中存储的是该终端设备的 ID与第二网络设备的 ID的对应关系。 因此， 则核心网设备在全局白名单中确定终端设备 的 ID对应的第二网络设备的 ID; 核心网设备向第二网络设备发送删除请求消息， 以使第 二网络设备删除本地白名单中的终端设备的 ID; 核心网设备将全局白名单中终端设备与 第二网络设备的对应关系更新为终端设备与第一网络设备的对应关系；核心网设备向第一 网络设备发送更新请求消息， 以使第一网络设备将终端设备的 ID添加至本地白名单中。 这样该终端设备下次就可以和第一网络设备进行网络认证了，而无需与核心网设备进行网 络认证。

结合上述可选方式与图 7对应实施例进行说明： 图 9A和图 9B为本申请又一实施例 提供的一种网络认证方法的交互流程图， 如图 9A和图 9B所示， 该方法包括：

步骤 S901 : 第一网络设备接收终端设备发送的接入请求消息。 该接入请求消息包括: 终端设备的 ID。

步骤 S902: 第一网络设备判断本地黑名单是否包括所述终端设备的 ID。

步骤 S903: 若第一网络设备确定本地黑名单不包括所述终端设备的 ID， 则第一网络 设备判断本地白名单是否包括所述终端设备的 ID。

步骤 S904: 若第一网络设备确定本地白名单不包括所述终端设备的 ID， 则第一网络 设备向核心网设备发送所述终端设备的 ID。

步骤 S905: 核心网设备判断终端设备的 ID是否在全局白名单中； 若核心网设备确定 终端设备的 ID不在全局白名单中， 则执行步骤 S906a至步骤 S907a; 若核心网设备确定 终端设备的 ID在全局白名单中， 则执行步骤 S906b至 S909b。

步骤 S906a: 核心网设备验证终端设备的身份标识的合法性。 当终端设备的 ID具有 合法性时， 则执行步骤 S907a。

步骤 S907a:核心网设备将终端设备与第一网络设备的对应关系存储至全局白名单中； 接下来执行步骤 S910至步骤 S913。

步骤 S906b: 核心网设备将全局白名单中终端设备与第二网络设备的对应关系更新为 终端设备与第一网络设备的对应关系。

步骤 S907b: 核心网设备向第二网络设备发送删除请求消息， 该删除请求消息包括： 终端设备的 ID。

步骤 S908b: 第二网络设备删除本地白名单中的终端设备的 ID。 步骤 S909b_: 核心网设备接收第二网络设备发送的删除响应消息。接着执行步骤 S910 至步骤 S913。

步骤 S910: 核心网设备向第一网络设备发送更新请求消息， 该更新请求消息包括： 所述终端设备的 ID。

步骤 S911 : 第一网络设备将终端设备的 ID添加至本地白名单中。

步骤 S912: 核心网设备接收第一网络设备发送的更新响应消息。

步骤 S913: 核心网设备根据终端设备的 ID进行网络认证。

步骤 S914: 若第一网络设备确定本地白名单包括终端设备的 ID， 则第一网络设备向 终端设备发送认证请求消息。以使终端设备根据认证请求消息对所述第一网络设备进行认 证。第一网络设备接收终端设备发送的认证响应消息。第一网络设备根据认证响应消息对 终端设备进行认证。 即若第一网络设备确定本地黑名单不包括所述终端设备的 ID， 则第 一网络设备和终端设备进行网络认证。

需要说明的是，本申请对上述步骤的顺序不做限制，上述步骤之前的顺序还可以调整。 例如： 步骤 S906b可以在步骤 S907b至步骤 S913中任一步骤之后执行。

其中上述步骤与图 7对应的部分步骤以及上述可选方式相同， 对应内容和效果， 在此 不再赘述。

需要说明的是， 本实施例和上一实施例不同的是： 上一实施例中第一网络设备判断终 端设备是否为 IoT设备以确定是否允许对第一网络设备进行认证， 当可以认证时， 则终端 设备先进行网络认证， 再判断本地白名单是否包括所述终端设备的 ID， 不包括终端设备 的 ID时， 将该 ID发送给核心网设备， 以使核心网设备验证该 ID的合法性。 而本实施例 中， 先判断本地白名单是否包括所述终端设备的 ID。 若本地白名单包括所述终端设备的 ID, 则第一网络设备和终端设备先进行网络认证， 否则， 则将该终端设备的 ID发送给核 心网设备， 以使核心网设备和终端设备进行网络认证。 因此， 当本地白名单中包括的终端 设备的 ID数量庞大时， 可以采用上一实施例的方法。 当本地白名单中包括的终端设备的 ID数量较少时， 可以采用本实施例的方法。 从而降低第一网络设备的开销。

可选地， 当第一网络设备为接入网网关时， 第一网络设备向终端设备发送接入响应消 息之后，还包括：第一网络设备向终端设备发送安全模式命令（Security Mode Command)； 第一网络设备接收终端设备发送的安全模式完成命令；第一网络设备向终端设备连接的基 站和核心网设备发送接入安全管理密钥； 第一网络设备向终端设备发送接入允许 （Attach Accept) 消息。

现有技术中， MME 和终端设备通过 Security Mode Command 建立起非接入层 (Non-access Stratum, NAS )安全。 而本申请中由于第一网络设备可以进行网络认证， 因 此， 它可以和终端设备通过 Security Mode Command建立起 NAS安全。 同样的， 现有技 术中， MME向终端设备发送 Attach Accept消息， 而本申请是由第一网络设备向终端设备 发送 Attach Accept消息。

需要说明的是， 当上述网络认证是由第一网络设备和终端设备实现的时， 第一网络设 备向终端设备连接的基站和核心网设备发送接入安全管理密钥 KASME, 以使该基站和核 心网设备根据 KASME生成网络侧与该终端设备之间的会话密钥。

具体地， 结合该可选方式与图 7对应实施例进行举例说明： 图 10为本申请再一实施 例提供的一种网络认证方法的交互流程图， 如图 10所示， 该方法包括：

步骤 S1001 : 终端设备和基站之间建立无线资源控制 （Radio Resource Control, RRC) 连接。

步骤 S1002: 第一网络设备接收终端设备发送的接入请求消息。

步骤 S1003: 若第一网络设备不允许对终端设备进行认证， 则第一网络设备向核心网 设备发送终端设备的 ID。

步骤 S1004: 核心网设备根据终端设备的 ID进行网络认证。 结束。

步骤 S1005: 若第一网络设备允许对终端设备进行认证， 则第一网络设备向终端设备 发送认证请求消息。 终端设备根据认证请求消息对第一网络设备进行认证。第一网络设备 接收终端设备发送的认证响应消息， 根据所述认证响应消息对所述终端设备进行认证。 即 若第一网络设备允许对终端设备进行认证， 则第一网络设备和终端设备进行网络认证。执 行步骤 S1006至步骤 S1010。

步骤 S1006:第一网络设备和终端设备通过 Security Mode Command建立起 NAS安全。 步骤 S1007: 第一网络设备向终端设备连接的基站发送 KASME。

步骤 S1008: 第一网络设备向核心网设备发送 KASME。

步骤 S1009: 基站和终端设备通过 Security Mode Command 建立起接入层 （Access Stratum, AS ) 安全。

步骤 S 1010: 第一网络设备向终端设备发送 Attach Accept消息。

其中上述步骤与图 7对应的部分步骤以及上述可选方式相同， 对应内容和效果， 在此 不再赘述。

可选地， 当第一网络设备为所述基站时， 第一网络设备向终端设备发送接入响应消息 之后， 还包括： 第一网络设备向核心网设备发送 KASME。

需要说明的是， 当上述网络认证是由第一网络设备和终端设备实现的时， 第一网络设 备向终端设备核心网设备发送接入 KASME, 以使核心网设备根据 KASME生成网络侧与 该终端设备之间的会话密钥。

可选地， 当第一网络设备为 MME-AU或者 AUSF时， 第一网络设备向终端设备发送 接入响应消息之后， 还包括： 第一网络设备向终端设备连接的基站和核心网设备发送 KASME。以使基站和核心网设备根据 KASME生成网络侧与该终端设备之间的会话密钥。

图 11为本申请一实施例提供的一种网络认证装置结构示意图。 如图 11所示， 该网络 认证装置包括： 接收模块 1101、 判断模块 1102、 发送模块 1103、 认证模块 1104和添加 模块 1105。

其中， 接收模块 1101， 用于接收终端设备发送的接入请求消息， 接入请求消息包括: 所述终端设备的身份标识； 判断模块 1102， 用于根据终端设备的身份标识判断是否允许 对终端设备进行认证； 发送模块 1103， 用于若网络认证装置不允许对终端设备进行认证， 则向核心网设备发送终端设备的身份标识， 以使核心网设备根据终端设备的身份标识进行 网络认证； 发送模块 1103， 还用于若网络认证装置允许对终端设备进行认证， 则向终端 设备发送认证请求消息， 以使终端设备根据认证请求消息对网络设备进行认证； 接收模块 1101， 还用于接收终端设备发送的认证响应消息。 认证模块 1104， 用于根据认证响应消 息对终端设备进行认证。 可选地， 判断模块 1102， 具体用于根据终端设备的身份标识判断终端设备是否为物 联网 ΙθΤ设备。

可选地， 判断模块 1102， 还用于判断本地黑名单是否包括终端设备的身份标识； 相 应的， 发送模块 1103， 具体用于若判断模块 1102确定本地黑名单不包括终端设备的身份 标识， 则向终端设备发送认证请求消息。

可选地， 判断模块 1102， 还用于判断本地白名单是否包括终端设备的身份标识； 发 送模块 1103， 还用于若判断模块 1102确定本地白名单不包括终端设备的身份标识， 则向 核心网设备发送终端设备的身份标识， 以使核心网设备验证终端设备的身份标识的合法 性。

可选地， 判断模块 1102， 具体用于判断本地白名单是否包括终端设备的身份标识。 可选地， 判断模块 1102， 还用于判断本地黑名单是否包括终端设备的身份标识； 相 应的， 判断模块 1102具体用于若确定本地黑名单不包括终端设备的身份标识， 则判断本 地白名单是否包括终端设备的身份标识。

可选地， 当网络认证装置为接入网网关时， 发送模块 1103， 还用于向终端设备发送 安全模式命令； 接收模块 1101， 还用于接收终端设备发送的安全模式完成命令； 发送模 块 1103， 还用于向终端设备连接的基站和核心网设备发送接入安全管理密钥； 发送模块

1103， 还用于向终端设备发送附着完成消息。

可选地， 当网络认证装置为基站时， 发送模块 1103， 还用于向核心网设备发送接入 安全管理密钥。

可选地， 当网络认证装置为移动性管理实体-认证单元 MME-AU 或者认证安全单元

AUSF时， 发送模块 1103， 还用于向终端设备连接的基站和核心网设备发送接入安全管理 密钥。

可选地， 接收模块 1101， 还用于接收核心网设备发送的更新请求消息， 更新请求消 息包括： 终端设备的身份标识； 添加模块 1105， 用于将终端设备的身份标识添加至本地 白名单中； 发送模块 1103， 还用于向核心网设备发送更新响应消息。

本申请提供一种网络认证装置，该网络认证装置可以用于执行上述网络设备执行的方 法步骤， 其实现原理和技术效果类似， 此处不再赘述。

图 12为本申请一实施例提供的一种网络认证装置的结构示意图。 如图 12所示， 该网 络认证装置包括： 接收模块 1201、 发送模块 1202、 判断模块 1203、 验证模块 1204、 存储 模块 1205和更新模块 1206。

其中， 接收模块 1201， 用于接收第一网络设备发送的终端设备的身份标识； 发送模 块 1202， 用于根据所述终端设备的身份标识向所述终端设备发送认证请求消息， 以使所 述终端设备根据所述认证请求消息对所述网络认证装置进行认证； 接收模块 1201， 还用 于接收终端设备发送的认证响应消息， 根据认证响应消息对终端设备进行认证。

可选地， 判断模块 1203， 用于判断终端设备的身份标识是否在全局白名单中； 若判 断模块 1203确定终端设备的身份标识不在全局白名单中，则验证模块 1204验证终端设备 的身份标识的合法性； 相应的， 发送模块 1202， 具体用于当终端设备的身份标识在全局 白名单或者终端设备的身份标识具有合法性时，根据终端设备的身份标识向终端设备发送 认证请求消息。 可选地， 存储模块 1205， 用于若终端设备的身份标识具有合法性， 则将终端设备与 第一网络设备的对应关系存储至全局白名单中； 发送模块 1202， 还用于向第一网络设备 发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将终端 设备的身份标识添加至本地白名单中； 接收模块 1201， 还用于接收第一网络设备发送的 更新响应消息。

可选地， 判断模块 1203， 还用于若确定终端设备的身份标识在全局白名单中， 则在 全局白名单中确定终端设备的身份标识对应的第二网络设备的身份标识； 发送模块 1202， 还用于向第二网络设备发送删除请求消息， 删除请求消息包括： 终端设备的身份标识， 以 使第二网络设备删除本地白名单中的终端设备的身份标识； 接收模块 1201， 还用于接收 第二网络设备发送的删除响应消息； 更新模块 1206， 还用于将全局白名单中终端设备与 第二网络设备的对应关系更新为终端设备与第一网络设备的对应关系； 发送模块 1202， 还用于向第一网络设备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以 使第一网络设备将终端设备的身份标识添加至本地白名单中； 接收模块 1201， 还用于接 收所述第一网络设备发送的更新响应消息。

可选地， 接收模块 1201， 还用于接收第一网络设备发送的接入安全管理密钥。

本申请提供一种网络认证装置，该网络认证装置可以用于执行上述核心网设备执行的 方法步骤， 其实现原理和技术效果类似， 此处不再赘述。

图 13为本申请一实施例提供的一种网络设备的结构示意图， 如图 13所示， 该网络设 备包括： 接收器 1301、 处理器 1302、 发送器 1303和存储器 1304。

存储器 1304用于存储代码， 当代码被处理器 1302运行时， 以使处理器 1302用于实 现如下功能； 接收器 1301， 用于接收终端设备发送的接入请求消息， 所述接入请求消息 包括： 所述终端设备的身份标识； 处理器 1302， 用于根据终端设备的身份标识判断是否 允许对终端设备进行认证； 发送器 1303， 用于若网络设备不允许对终端设备进行认证， 则向核心网设备发送终端设备的身份标识， 以使核心网设备根据终端设备的身份标识进行 网络认证； 发送器 1303， 还用于若网络设备允许对终端设备进行认证， 则向终端设备发 送认证请求消息， 以使终端设备根据认证请求消息对网络设备进行认证； 接收器 1301， 还用于接收终端设备发送的认证响应消息， 处理器 1302， 还用于根据认证响应消息对所 述终端设备进行认证。

可选地， 处理器 1302， 具体用于根据终端设备的身份标识判断终端设备是否为物联 网 IoT设备。

可选地， 处理器 1302， 还用于判断本地黑名单是否包括终端设备的身份标识； 相应 的， 发送器 1303， 具体用于若处理器 1302确定所述本地黑名单不包括终端设备的身份标 识， 则向终端设备发送认证请求消息。

可选地， 处理器 1302， 还用于判断本地白名单是否包括终端设备的身份标识； 发送 器 1303， 还用于若处理器 1302确定本地白名单不包括终端设备的身份标识， 则向核心网 设备发送终端设备的身份标识， 以使核心网设备验证终端设备的身份标识的合法性。

可选地， 处理器 1302， 具体用于判断本地白名单是否包括终端设备的身份标识。 可选地， 处理器 1302， 还用于判断本地黑名单是否包括终端设备的身份标识； 相应 的， 处理器 1302， 具体用于若确定本地黑名单不包括终端设备的身份标识， 则判断本地 白名单是否包括终端设备的身份标识。

可选地， 当网络设备为接入网网关时， 发送器 1303， 还用于向终端设备发送安全模 式命令； 接收器 1301， 还用于接收终端设备发送的安全模式完成命令； 发送器 1303， 还 用于向终端设备连接的基站和核心网设备发送接入安全管理密钥； 发送器 1303， 还用于 向终端设备发送附着完成消息。

可选地， 当网络设备为基站时， 发送器 1303， 还用于向核心网设备发送接入安全管 理密钥。

可选地， 当网络设备为移动性管理实体-认证单元 MME-AU或者认证安全单元 AUSF 时， 发送器 1303， 还用于向终端设备连接的基站和核心网设备发送接入安全管理密钥。

可选地， 接收器 1301， 还用于接收核心网设备发送的更新请求消息， 更新请求消息 包括： 终端设备的身份标识； 处理器 1302， 还用于将终端设备的身份标识添加至本地白 名单中； 发送器 1303， 还用于向核心网设备发送更新响应消息。

本申请提供一种网络设备， 该网络设备可以用于执行上述网络设备执行的方法步骤， 其实现原理和技术效果类似， 此处不再赘述。

图 14为本申请一实施例提供的一种核心网设备的结构示意图。 如图 14所示， 核心网 设备包括： 接收器 1401、 发送器 1402、 处理器 1403和存储器 1404。

接收器 1401， 用于接收第一网络设备发送的终端设备的身份标识； 发送器 1402， 用 于根据终端设备的身份标识向终端设备发送认证请求消息， 以使终端设备根据认证请求消 息对核心网设备进行认证； 接收器 1401， 还用于接收终端设备发送的认证响应消息， 根 据认证响应消息对终端设备进行认证。

可选地， 存储器 1404用于存储代码， 当所述代码被处理器 1403运行时， 以使处理器 1403 用于： 判断终端设备的身份标识是否在全局白名单中； 若确定终端设备的身份标识 不在全局白名单中， 则验证终端设备的身份标识的合法性； 相应的， 发送器 1402， 具体 用于当终端设备的身份标识在全局白名单或者终端设备的身份标识具有合法性时，根据终 端设备的身份标识向终端设备发送认证请求消息。

可选地， 处理器 1403， 还用于若终端设备的身份标识具有合法性， 则将终端设备与 所述第一网络设备的对应关系存储至全局白名单中； 发送器 1402， 还用于向第一网络设 备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网络设备将终 端设备的身份标识添加至本地白名单中； 接收器 1401， 还用于接收第一网络设备发送的 更新响应消息。

可选地， 处理器 1403， 还用于若确定终端设备的身份标识在全局白名单中， 则在全 局白名单中确定终端设备的身份标识对应的第二网络设备的身份标识； 发送器 1402， 还 用于向第二网络设备发送删除请求消息， 删除请求消息包括： 终端设备的身份标识， 以使 第二网络设备删除本地白名单中的终端设备的身份标识； 接收器 1401， 还用于接收第二 网络设备发送的删除响应消息； 处理器 1403， 还用于将全局白名单中终端设备与第二网 络设备的对应关系更新为终端设备与第一网络设备的对应关系； 发送器 1402， 还用于向 第一网络设备发送更新请求消息， 更新请求消息包括： 终端设备的身份标识； 以使第一网 络设备将终端设备的身份标识添加至本地白名单中； 接收器 1401， 还用于接收第一网络 设备发送的更新响应消息。 可选地， 接收器 1401， 还用于接收第一网络设备发送的接入安全管理密钥。

本申请提供一种核心网设备，该核心网设备可以用于执行上述核心网设备执行的方法 步骤， 其实现原理和技术效果类似， 此处不再赘述。

本领域内的技术人员应明白， 本发明的实施例可提供为方法、 系统、 或计算机程序产 品。 因此， 本发明可采用完全硬件实施例、 完全软件实施例、 或结合软件和硬件方面的实 施例的形式。 而且， 本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机 可用存储介质 （包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形 式。

本发明是参照根据本发明实施例的方法、 设备 （系统） 、 和计算机程序产品的流程图 和 /或方框图来描述的。 应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程 和 /或方框、 以及流程图和 /或方框图中的流程和 /或方框的结合。 可提供这些计算机程序指 令到通用计算机、 专用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器以产生 一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现 在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方 式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装 置的制造品， 该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个 方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机 或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他 可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方 框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和 范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在内。

Claims

权 利 要 求 书

1、 一种网络认证方法， 其特征在于， 包括：

第一网络设备接收终端设备发送的接入请求消息， 所述接入请求消息包括： 所述终端 设备的身份标识；

所述第一网络设备根据所述终端设备的身份标识判断是否允许对所述终端设备进行 认证；

若所述第一网络设备不允许对所述终端设备进行认证，则所述第一网络设备向核心网 设备发送所述终端设备的身份标识， 以使所述核心网设备根据所述终端设备的身份标识进 行网络认证；

若所述第一网络设备允许对所述终端设备进行认证，则所述第一网络设备向所述终端 设备发送认证请求消息， 以使所述终端设备根据所述认证请求消息对所述第一网络设备进 行认证； 并接收所述终端设备发送的认证响应消息， 根据所述认证响应消息对所述终端设 备进行认证。

2、 根据权利要求 1所述的方法， 其特征在于， 所述第一网络设备根据所述终端设备 的身份标识判断是否允许对所述终端设备进行认证， 包括：

所述第一网络设备根据所述终端设备的身份标识判断所述终端设备是否为物联网 IoT 设备。

3、 根据权利要求 2所述的方法， 其特征在于， 若所述第一网络设备允许对所述终端 设备进行认证， 则所述第一网络设备向所述终端设备发送认证请求消息之前， 还包括： 所述第一网络设备判断本地黑名单是否包括所述终端设备的身份标识；

相应的， 所述第一网络设备向所述终端设备发送认证请求消息， 包括：

若所述第一网络设备确定所述本地黑名单不包括所述终端设备的身份标识，则所述第 一网络设备向所述终端设备发送认证请求消息。

4、 根据权利要求 2或 3所述的方法， 其特征在于， 所述根据所述认证响应消息对所 述终端设备进行认证之后， 还包括：

所述第一网络设备判断本地白名单是否包括所述终端设备的身份标识；

若所述第一网络设备确定所述本地白名单不包括所述终端设备的身份标识，则所述第 一网络设备向核心网设备发送所述终端设备的身份标识， 以使所述核心网设备验证所述终 端设备的身份标识的合法性。

5、 根据权利要求 1所述的方法， 其特征在于， 所述第一网络设备根据所述终端设备 的身份标识判断是否允许对所述终端设备进行认证， 包括：

所述第一网络设备判断所述本地白名单是否包括所述终端设备的身份标识。

6、 根据权利要求 5所述的方法， 其特征在于， 所述第一网络设备判断所述本地白名 单是否包括所述终端设备的身份标识之前， 还包括：

所述第一网络设备判断本地黑名单是否包括所述终端设备的身份标识；

相应的， 所述第一网络设备判断所述本地白名单是否包括所述终端设备的身份标识， 包括：

若所述第一网络设备确定所述本地黑名单不包括所述终端设备的身份标识，则所述第 一网络设备判断所述本地白名单是否包括所述终端设备的身份标识。

7、 根据权利要求 1-6任一项所述的方法， 其特征在于， 当所述第一网络设备为接入 网网关时， 所述根据所述认证响应消息对所述终端设备进行认证之后， 还包括：

所述第一网络设备向所述终端设备发送安全模式命令；

所述第一网络设备接收所述终端设备发送的安全模式完成命令；

所述第一网络设备向所述终端设备连接的基站和所述核心网设备发送接入安全管理 密钥；

所述第一网络设备向所述终端设备发送附着完成消息。

8、 根据权利要求 1-6任一项所述的方法， 其特征在于， 当所述第一网络设备为基站 时， 所述根据所述认证响应消息对所述终端设备进行认证之后， 还包括：

所述第一网络设备向所述核心网设备发送接入安全管理密钥。

9、 根据权利要求 1-6任一项所述的方法， 其特征在于， 当所述第一网络设备为移动 性管理实体-认证单元 MME-AU或者认证安全单元 AUSF时，所述根据所述认证响应消息 对所述终端设备进行认证之后， 还包括：

所述第一网络设备向所述终端设备连接的基站和所述核心网设备发送接入安全管理 密钥。

10、 根据权利要求 1-9任一项所述的方法， 其特征在于， 还包括：

所述第一网络设备接收所述核心网设备发送的更新请求消息， 所述更新请求消息包 括： 所述终端设备的身份标识；

所述第一网络设备将所述终端设备的身份标识添加至所述本地白名单中； 所述第一网络设备向所述核心网设备发送更新响应消息。

11、 一种网络认证方法， 其特征在于， 包括：

核心网设备接收第一网络设备发送的终端设备的身份标识；

所述核心网设备根据所述终端设备的身份标识向所述终端设备发送认证请求消息， 以 使所述终端设备根据所述认证请求消息对所述核心网设备进行认证；

所述核心网设备接收所述终端设备发送的认证响应消息，根据所述认证响应消息对所 述终端设备进行认证。

12、 根据权利要求 11所述的方法， 其特征在于， 所述核心网设备根据所述终端设备 的身份标识向所述终端设备发送认证请求消息之前， 还包括：

所述核心网设备判断所述终端设备的身份标识是否在全局白名单中；

若所述核心网设备确定所述终端设备的身份标识不在所述全局白名单中，则所述核心 网设备验证所述终端设备的身份标识的合法性；

相应的，所述核心网设备根据所述终端设备的身份标识向所述终端设备发送认证请求 消息， 包括：

当所述终端设备的身份标识在所述全局白名单或者所述终端设备的身份标识具有合 法性时， 所述核心网设备根据所述终端设备的身份标识向所述终端设备发送认证请求消 息。

13、 根据权利要求 12所述的方法， 其特征在于， 还包括：

若所述终端设备的身份标识具有合法性，则所述核心网设备将所述终端设备与所述第 一网络设备的对应关系存储至所述全局白名单中； 所述核心网设备向所述第一网络设备发送更新请求消息， 所述更新请求消息包括： 所 述终端设备的身份标识； 以使所述第一网络设备将所述终端设备的身份标识添加至所述本 地白名单中；

所述核心网设备接收所述第一网络设备发送的更新响应消息。

14、 根据权利要求 12所述的方法， 其特征在于， 还包括：

若所述核心网设备确定所述终端设备的身份标识在所述全局白名单中，则所述核心网 设备在所述全局白名单中确定所述终端设备的身份标识对应的第二网络设备的身份标识； 所述核心网设备向所述第二网络设备发送删除请求消息， 所述删除请求消息包括： 所 述终端设备的身份标识， 以使所述第二网络设备删除本地白名单中的所述终端设备的身份 标识；

所述核心网设备接收所述第二网络设备发送的删除响应消息；

所述核心网设备将所述全局白名单中所述终端设备与所述第二网络设备的对应关系 更新为所述终端设备与所述第一网络设备的对应关系；

所述核心网设备向所述第一网络设备发送更新请求消息， 所述更新请求消息包括： 所 述终端设备的身份标识； 以使所述第一网络设备将所述终端设备的身份标识添加至所述本 地白名单中；

所述核心网设备接收所述第一网络设备发送的更新响应消息。

15、 根据权利要求 11-14任一项所述的方法， 其特征在于， 还包括：

所述核心网设备接收所述第一网络设备发送的接入安全管理密钥。

16、 一种网络设备， 其特征在于， 包括： 接收器、 处理器、 发送器和存储器； 所述存储器用于存储代码， 当所述代码被所述处理器运行时， 以使所述处理器用于实 现如下功能；

所述接收器， 用于接收终端设备发送的接入请求消息， 所述接入请求消息包括： 所述 终端设备的身份标识；

所述处理器，用于根据所述终端设备的身份标识判断是否允许对所述终端设备进行认 证；

所述发送器， 用于若所述网络设备不允许对所述终端设备进行认证， 则向核心网设备 发送所述终端设备的身份标识， 以使所述核心网设备根据所述终端设备的身份标识进行网 络认证；

所述发送器， 还用于若所述网络设备允许对所述终端设备进行认证， 则向所述终端设 备发送认证请求消息， 以使所述终端设备根据所述认证请求消息对所述网络设备进行认 证； 所述接收器， 还用于接收所述终端设备发送的认证响应消息， 所述处理器， 还用于根 据所述认证响应消息对所述终端设备进行认证。

17、 根据权利要求 16所述的网络设备， 其特征在于， 所述处理器， 具体用于根据所 述终端设备的身份标识判断所述终端设备是否为物联网 IoT设备。

18、 根据权利要求 17所述的网络设备， 其特征在于，

所述处理器， 还用于判断本地黑名单是否包括所述终端设备的身份标识；

相应的， 所述发送器， 具体用于若所述处理器确定所述本地黑名单不包括所述终端设 备的身份标识， 则向所述终端设备发送认证请求消息。

19、 根据权利要求 17或 18所述的网络设备， 其特征在于，

所述处理器， 还用于判断本地白名单是否包括所述终端设备的身份标识；

所述发送器，还用于若所述处理器确定所述本地白名单不包括所述终端设备的身份标 识， 则向核心网设备发送所述终端设备的身份标识， 以使所述核心网设备验证所述终端设 备的身份标识的合法性。

20、 根据权利要求 16所述的网络设备， 其特征在于， 所述处理器， 具体用于判断所 述本地白名单是否包括所述终端设备的身份标识。

21、 根据权利要求 20所述的网络设备， 其特征在于，

所述处理器， 还用于判断本地黑名单是否包括所述终端设备的身份标识；

相应的， 所述处理器， 具体用于若确定所述本地黑名单不包括所述终端设备的身份标 识， 则判断所述本地白名单是否包括所述终端设备的身份标识。

22、 根据权利要求 16-21任一项所述的网络设备， 其特征在于， 当所述网络设备为接 入网网关时， 所述发送器， 还用于向所述终端设备发送安全模式命令；

所述接收器， 还用于接收所述终端设备发送的安全模式完成命令；

所述发送器，还用于向所述终端设备连接的基站和所述核心网设备发送接入安全管理 密钥；

所述发送器， 还用于向所述终端设备发送附着完成消息。

23、 根据权利要求 16-21任一项所述的网络设备， 其特征在于， 当所述网络设备为基 站时， 所述发送器， 还用于向所述核心网设备发送接入安全管理密钥。

24、 根据权利要求 16-21任一项所述的网络设备， 其特征在于， 当所述网络设备为移 动性管理实体-认证单元 MME-AU或者认证安全单元 AUSF时， 所述发送器， 还用于向所 述终端设备连接的基站和所述核心网设备发送接入安全管理密钥。

25、 根据权利要求 16-24任一项所述的网络设备， 其特征在于，

所述接收器， 还用于接收所述核心网设备发送的更新请求消息， 所述更新请求消息包 括： 所述终端设备的身份标识；

所述处理器， 还用于将所述终端设备的身份标识添加至所述本地白名单中； 所述发送器， 还用于向所述核心网设备发送更新响应消息。

26、 一种核心网设备， 其特征在于， 包括：

接收器， 用于接收第一网络设备发送的终端设备的身份标识；

发送器， 用于根据所述终端设备的身份标识向所述终端设备发送认证请求消息， 以使 所述终端设备根据所述认证请求消息对所述核心网设备进行认证；

所述接收器， 还用于接收所述终端设备发送的认证响应消息， 根据所述认证响应消息 对所述终端设备进行认证。

27、 根据权利要求 26所述的核心网设备， 其特征在于， 还包括： 处理器和存储器； 所述存储器用于存储代码， 当所述代码被所述处理器运行时， 以使所述处理器用于： 判断所述终端设备的身份标识是否在全局白名单中；

若确定所述终端设备的身份标识不在所述全局白名单中，则验证所述终端设备的身份 标识的合法性；

相应的， 所述发送器， 具体用于当所述终端设备的身份标识在所述全局白名单或者所 述终端设备的身份标识具有合法性时，根据所述终端设备的身份标识向所述终端设备发送 认证请求消息。

28、 根据权利要求 27所述的核心网设备， 其特征在于，

所述处理器， 还用于若所述终端设备的身份标识具有合法性， 则将所述终端设备与所 述第一网络设备的对应关系存储至所述全局白名单中；

所述发送器，还用于向所述第一网络设备发送更新请求消息，所述更新请求消息包括: 所述终端设备的身份标识； 以使所述第一网络设备将所述终端设备的身份标识添加至所述 本地白名单中；

所述接收器， 还用于接收所述第一网络设备发送的更新响应消息。

29、 根据权利要求 27所述的核心网设备， 其特征在于，

所述处理器， 还用于若确定所述终端设备的身份标识在所述全局白名单中， 则在所述 全局白名单中确定所述终端设备的身份标识对应的第二网络设备的身份标识；

所述发送器，还用于向所述第二网络设备发送删除请求消息，所述删除请求消息包括: 所述终端设备的身份标识， 以使所述第二网络设备删除本地白名单中的所述终端设备的身 份标识；

所述接收器， 还用于接收所述第二网络设备发送的删除响应消息；

所述处理器，还用于将所述全局白名单中所述终端设备与所述第二网络设备的对应关 系更新为所述终端设备与所述第一网络设备的对应关系；

所述发送器，还用于向所述第一网络设备发送更新请求消息，所述更新请求消息包括: 所述终端设备的身份标识； 以使所述第一网络设备将所述终端设备的身份标识添加至所述 本地白名单中；

所述接收器， 还用于接收所述第一网络设备发送的更新响应消息。

30、 根据权利要求 26-29任一项所述的核心网设备， 其特征在于，

所述接收器， 还用于接收所述第一网络设备发送的接入安全管理密钥。