專利名稱:認證處理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實施例涉及通信領(lǐng)域�����,尤其涉及一種認證處理方法及裝置��。
背景技術(shù):
非接入層(Non-AccessStratum,簡稱NAS)計數(shù)(COUNT)是長期演進(Long TermEvolution���,簡稱LTE)系統(tǒng)中安全上下文的一部分��。在LTE系統(tǒng)中����,NAS計數(shù)可作為密鑰的生命周期��,使密鑰具有新鮮性����;同時,NAS計數(shù)可以保證用戶設(shè)備(User Equipment,簡稱UE)與網(wǎng)絡(luò)側(cè)密鑰的同步�����,具有抗重放攻擊的作用�����。每一套演進分組系統(tǒng)(Evolved Packet System,簡稱EPS)安全上下文包含兩個獨立的NAS計數(shù)值上行NAS計數(shù)值和下行NAS計數(shù)值�。這兩個NAS計數(shù)的計數(shù)器分別由UE和移動管理實體(Mobility Management Entity,簡稱MME)來獨立維護。NAS計數(shù)有32位�����,主要由兩個部分組成NAS序列號(SQN)與NAS溢出值(OVERFLOW)���,其中NAS序列號為8位�,NAS溢出值為16位��。NAS序列號承載于每條NAS消息中����,當每一個新的或是重傳的受到安全保護的NAS消息發(fā)出后,發(fā)送端將會將NAS序列號的值增加I ;當NAS序列號增加到最大值��,循環(huán)一圖時����,NAS溢出值增加I。現(xiàn)有技術(shù)中��,當MME檢測到下行的NAS計數(shù)值即將環(huán)繞的時候,也就是NAS計數(shù)值比較接近最大值224時��,MME將會觸發(fā)一個新的EPS認證和密鑰協(xié)商(Authentication andKey Agreement,簡稱AKA)流程,建立新的安全上下文,并且當安全上下文被激活時將NAS計數(shù)值初始化為O���。當MME檢測到UE的上行NAS計數(shù)值也接近到最大值時�����,也就是即將環(huán)繞時����,MME會觸發(fā)EPS AKA流程?��,F(xiàn)有技術(shù)一旦MME檢測到NAS計數(shù)值即將環(huán)繞��,就立即觸發(fā)EPS AKA流程��;如果執(zhí)行EPS AKA流程認證失敗�����,就立即釋放連接��。這種安全處理過程浪費了資源��。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種認證處理方法及裝置����,用以節(jié)省資源����。本發(fā)明實施例提供了一種認證處理方法,包括當非接入層計數(shù)值接近最大值時�����,根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程�。本發(fā)明實施例提供了另一種認證處理方法,包括在執(zhí)行認證和密鑰協(xié)商流程失敗的情況下�,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)。本發(fā)明實施例提供了一種認證處理裝置����,包括檢測模塊,用于當非接入層計數(shù)值接近最大值時��,對本地信息進行檢測�����;處理模塊,用于根據(jù)檢測結(jié)果決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程���。本發(fā)明實施例提供了另一種認證處理裝置���,包括
執(zhí)行模塊,用于執(zhí)行認證和密鑰協(xié)商流程�����;處理模塊�,用于在所述執(zhí)行模塊執(zhí)行所述認證和密鑰協(xié)商流程失敗的情況下,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)���。本發(fā)明實施例中���,當非接入層計數(shù)值接近最大值時,不會立即觸發(fā)EPS AKA流程����,而是根據(jù)本地信息來決定是否觸發(fā)與UE之間的EPS AKA流程,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費����,節(jié)省了資源����;或者���,如果執(zhí)行EPS AKA流程認證失敗,不會立即釋放連接����,而是根據(jù)本地信息及網(wǎng)絡(luò)策略釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù),避免了釋放沒有必要進行釋放的連接�����,節(jié)省了資源�。
圖I為本發(fā)明實施例一認證處理方法的流程圖;圖2為本發(fā)明實施例二認證處理方法的流程圖��;圖3為本發(fā)明實施例三認證處理方法的流程圖����;圖4為本發(fā)明實施例四認證處理方法的流程圖;圖5為本發(fā)明實施例五認證處理方法的流程圖�;圖6為本發(fā)明實施例六認證處理方法的流程圖;圖7為本發(fā)明實施例七認證處理方法的流程圖;圖8為本發(fā)明實施例八認證處理裝置的結(jié)構(gòu)示意圖��;圖9為本發(fā)明實施例九認證處理裝置的結(jié)構(gòu)示意圖��;圖10為本發(fā)明實施例十認證處理裝置的結(jié)構(gòu)示意圖��;圖11為本發(fā)明實施例i^一認證處理裝置的結(jié)構(gòu)示意圖�;圖12為本發(fā)明實施例十二認證處理裝置的結(jié)構(gòu)示意圖;圖13為本發(fā)明實施例十三認證處理裝置的結(jié)構(gòu)示意圖�����。
具體實施例方式下面通過附圖和實施例��,對本發(fā)明實施例的技術(shù)方案做進一步的詳細描述����。圖I為本發(fā)明實施例一認證處理方法的流程圖。如圖I所示��,本實施例具體包括如下步驟步驟101����、當非接入層計數(shù)值接近最大值時,對本地信息進行檢測���;步驟102���、根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程�。其中NAS計數(shù)值接近最大值即為NAS計數(shù)值即將環(huán)繞的時候�,認證和密鑰協(xié)商流程可以為EPS AKA流程。上述兩步驟的執(zhí)行主體可以為MME����,當下行或上行的NAS計數(shù)值即將環(huán)繞的時候���,MME對本地信息進行檢測�,根據(jù)檢測結(jié)果決定是否觸發(fā)EPS AKA流程����。、
以檢測上行的NAS計數(shù)值為例�,MME接收NAS消息,NAS計數(shù)值加I ;MME檢測NAS計數(shù)值是否接近最大值��,具體地�,MME可以檢測NAS計數(shù)值是否等于門限值,該門限值為預(yù)先設(shè)定的接近最大值的數(shù)值���;若是�,則對本地信息進行檢測,根據(jù)檢測結(jié)果決定是否觸發(fā)認證和密鑰協(xié)商流程�����;否則���,繼續(xù)接收NAS消息��。本實施例中MME不會一旦檢測到NAS計數(shù)值即將環(huán)繞�,就立即觸發(fā)EPS AKA流程�����,減少了觸發(fā)EPS AKA流程的次數(shù)�,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費,節(jié)省了資源�。下面在描述實施例二之前,預(yù)先介紹與實施例二相關(guān)的技術(shù)�����。在LTE系統(tǒng)中���,EPS安全上下文有兩種劃分方式����。按照使用狀態(tài),EPS安全上下文可以分為當前EPS安全上下文(current EPS security context)和非當前EPS安全上下文(non-current EPS security context)���。其中當前EPS安全上下文是指最新被激活的安全上下文���,即當前正在使用的安全上下文。上述當前正在使用的安全上下文可以與一套非當前本地EPS安全上下文(non-current native EPS security context)同時存在�����。按照生成方式�,EPS安全上下文可以分為映射EPS安全上下文(mapped EPS securitycontext)和本地EPS安全上下文(native EPS security context)����。其中映射EPS安全上下文是指從其他系統(tǒng)映射過來的安全上下文,如從通用移動通信系統(tǒng)(Universal MobileTelecommunications System,簡稱UMTS)映射到LTE系統(tǒng)��。本地EPS安全上下文是指在LTE系統(tǒng)中�,經(jīng)過EPS AKA生成的安全上下文。其中本地EPS安全上下文又分為部分本地EPS安全上下文(partial native EPS security context)和完整本地EPS安全上下文(full native EPS security context)�����。其主要區(qū)別是部分本地EPS安全上下文沒有經(jīng)過一個成功的NAS安全模式流程運行,因此在部分本地EPS安全上下文中只包含UE接入LTE網(wǎng)絡(luò)中認證的根密鑰Kasme�、密鑰集標識(Key Set Identity,簡稱KSI)��、UE的安全能力以及設(shè)置為0的NAS計數(shù)值�;而完整本地EPS安全上下文是經(jīng)過EPS AKA流程之后由一個成功的NAS安全模式命令(Security Mode Command,簡稱SMC)流程激活的安全上下文,其包含一套完整EPS NAS安全上下文,因此完整本地EPS安全上下文會額外包含NAS層的完整性密鑰KNASint�����、加密密鑰KNAS6n�����。以及所選的NAS加密算法和完整性算法標識���。圖2為本發(fā)明實施例二認證處理方法的流程圖�。本實施例中本地信息為本地保存的安全上下文�����,下述安全上下文均為本地EPS安全上下文�����。如圖2所示,本實施例具體包括如下步驟步驟201、MME接收NAS消息��,NAS計數(shù)值加I��。步驟202���、MME檢測NAS計數(shù)值是否接近最大值�����,若是��,則執(zhí)行步驟203 ;否則執(zhí)行步驟201�����。具體地,可以預(yù)先設(shè)定一接近最大值的數(shù)值作為門限值���,MME檢測NAS計數(shù)值是否等于門限值�,若是����,則執(zhí)行步驟203 ;否則執(zhí)行步驟201��。步驟203����、MME檢測本地保存的安全上下文除了當前安全上下文以外����,是否還包括非當前安全上下文,若是�����,則執(zhí)行步驟204 ;否則觸發(fā)EPS AKA流程�����。步驟204�、激活該非當前安全上下文。上述非當前安全上下文可通過成功運行NAS SMC流程來激活���。成功運行的NAS SMC流程包括MME使用安全上下文對NAS SMC消息進行完整性保護�����,當UE對NAS SMC消息完整性驗證成功��,向MME發(fā)送NAS安全模式完成(Security Mode Complete)消息�,MME解密NAS安全模式完成消息并進行完整性驗證。則MME可以獲知與UE共享此安全上下文�,且該 安全上下文被激活。因此步驟204通過成功執(zhí)行上述NAS SMC流程���,激活非當前安全上下文����。進一步的���,如果上述NAS SMC流程運行失敗����,則MME觸發(fā)EPS AKA流程����。
上述非當前本地安全上下文可以包括非當前部分本地安全上下文或非當前完整本地安全上下文,上述步驟204可以為MME激活非當前部分本地安全上下文或非當前完整本地安全上下文����。本實施例中,通過成功運行MME觸發(fā)的NAS SMC流程�,MME與UE共享的非當前本地安全上下文被激活。當MME沒有收到UE返回的NAS安全模式完成消息時��,MME觸發(fā)EPSAKA流程��。下面通過兩個具體的例子���,說明本實施例的應(yīng)用場景�。(I)當MME檢測到NAS計數(shù)值接近最大值時�,MME通過檢測安全上下文獲知MME和UMTS用戶身份模塊集成電路卡(UMTS Subscriber Identity Module Integrated CircuitCard,簡稱UICC)中保存了一套非當前部分安全上下文���,MME激活該非當前部分安全上下文�,此時NAS計數(shù)值被初始化為0�����,這樣省去了 EPS AKA流程�。 與現(xiàn)有技術(shù)相比,該場景中MME沒有立即觸發(fā)EPS AKA流程�,避免了非當前部分安全上下文資源的浪費��,同時也避免了因執(zhí)行沒有必要的EPS AKA流程而造成的資源耗費��。(2) UE在接入EPS的過程中建立了當前安全上下文���,之后UE在從演進通用地面無線接入網(wǎng)絡(luò)(Evolved Universal Terrestrial Radio Access Network,簡稱E-UTRAN)切換到通用地面無線接入網(wǎng)絡(luò)(Universal Terrestrial Radio Access Network,簡稱UTRAN)或 GSM/EDGE 無線通訊網(wǎng)絡(luò)(GSM EDGE Radio Access Network,簡稱GERAN)的過程中保存這套在E-UTRAN中生成的本地安全上下文��;然后���,當該UE再切換回到E-UTRAN中時�,使用的是映射安全上下文���,該映射安全上下文成為當前安全上下文��,之前UE和MME保存的在E-UTRAN網(wǎng)絡(luò)中生成的安全上下文成為非當前完整安全上下文�。在這種場景下�,當MME檢測到NAS計數(shù)值接近最大值時,MME通過檢測安全上下文獲知本地保存有該非當前完整安全上下文��,則MME激活該非當前完整安全上下文��,這樣省去了 EPS AKA流程���。與現(xiàn)有技術(shù)相比����,該場景中MME沒有立即觸發(fā)EPS AKA流程�����,避免了之前保存的非當前完整安全上下文資源的浪費�����,同時也避免了因執(zhí)行沒有必要的EPS AKA流程而造成的資源耗費��。本實施例中MME不會一旦檢測到NAS計數(shù)值即將環(huán)繞���,就立即觸發(fā)EPS AKA流程�,減少了觸發(fā)EPS AKA流程的次數(shù)�����,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費���,節(jié)省了資源�����。圖3為本發(fā)明實施例三認證處理方法的流程圖����。本實施例中本地信息為定時器狀態(tài)。本實施例中��,MME上預(yù)先設(shè)置了一定時器���,該定時器的狀態(tài)可以為運行和停止��。當NAS計數(shù)器的計數(shù)值到達門限值且EPS AKA流程成功完成時���,定時器的狀態(tài)轉(zhuǎn)為運行;當定時器的定時時間到達設(shè)定的時間門限值時���,定時器的狀態(tài)轉(zhuǎn)為停止���。如圖3所示,本實施例具體包括如下步驟步驟301����、MME接收NAS消息�����,NAS計數(shù)值加I��。步驟302����、MME檢測NAS計數(shù)值是否接近最大值�����,若是��,則執(zhí)行步驟303 ;否則執(zhí)行步驟301����。具體地�����,本實施例預(yù)先設(shè)定一接近最大值的數(shù)值作為門限值���,如設(shè)為224_100�,MME檢測NAS計數(shù)值是否等于224-100,若是���,則執(zhí)行步驟303 ;否則執(zhí)行步驟301��。步驟303�����、MME檢測定時器狀態(tài)是否為運行����,若是����,則執(zhí)行步驟304 ;否則觸發(fā)EPSAKA流程。步驟304���、激活非當前安全上下文�����。所述該非當前安全上下文是由一個成功的NAS SMC流程運行激活的�。一個成功的NAS SMC流程包括MME使用安全上下文對NAS SMC消息進行完整性保護,當UE對NAS SMC消息完整性驗證成功�����,向MME發(fā)送NAS安全模式完成消息���,MME解密NAS安全模式完成消息 并進行完整性驗證�����。則MME可以獲知與UE共享此安全上下文�,且該安全上下文被激活���。因此步驟304通過成功執(zhí)行上述NAS SMC流程,激活非當前本地安全上下文�。進一步的,如果上述NAS SMC流程運行失敗���,則MME觸發(fā)EPS AKA流程�����。在實際應(yīng)用中�,下行NAS計數(shù)值和上行NAS計數(shù)值一般相差不大,當MME檢測到下行NAS計數(shù)值即將環(huán)繞時�,不久之后即將檢測到上行NAS計數(shù)值即將環(huán)繞;并且����,MME觸發(fā)EPS AKA流程之后隔一段時間,MME觸發(fā)NAS SMC流程��,通過執(zhí)行NAS SMC流程�����,NAS計數(shù)值被初始化為O���。如果當MME檢測到下行NAS計數(shù)值即將環(huán)繞時��,MME就觸發(fā)EPS AKA流程�����,而在檢測到上行NAS計數(shù)值即將環(huán)繞之前�����,沒有觸發(fā)NAS SMC流程激活新產(chǎn)生的安全上下文�����,此時NAS計數(shù)值沒有被初始化�,那么現(xiàn)有技術(shù)檢測到上行NAS計數(shù)值即將環(huán)繞,又會再次觸發(fā)EPS AKA流程���。本實施例通過檢測定時器狀態(tài)可以獲知距離上次EPS AKA流程成功完成的時間是否已經(jīng)到達設(shè)定的時間門限值���,該時間門限值是根據(jù)EPS AKA流程成功完成到觸發(fā)NAS SMC之間的時間來確定的,當本次NAS計數(shù)值接近最大值距離上次EPS AKA流程成功完成的時間小于設(shè)定的時間門限值時����,MME觸發(fā)NAS SMC流程;當本次NAS計數(shù)值接近最大值距離上次EPS AKA流程成功完成的時間大于或等于設(shè)定的時間門限值時�,MME觸發(fā)EPS AKA流程。因此��,針對上述實際應(yīng)用的場景����,本實施例避免了在檢測到上行NAS計數(shù)值即將環(huán)繞之前����,沒有觸發(fā)NAS SMC流程,就又會再次觸發(fā)EPS AKA流程,減少了 EPS AKA流程的次數(shù)���,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費�����,節(jié)省了資源��。圖4為本發(fā)明實施例四認證處理方法的流程圖����。本實施例中本地信息為狀態(tài)器狀態(tài)�����。本實施例中����,MME上需預(yù)先設(shè)置狀態(tài)器,該狀態(tài)器的狀態(tài)可以為運行和停止�,具體地,可以用0來表示運行�,可以用I來表示停止。其中��,運行表示距離上次EPS AKA流程成功完成的時間小于設(shè)定的時間門限值,停止表示距離上次EPS AKA流程成功完成的時間大于或等于設(shè)定的時間門限值���。狀態(tài)器可以由定時器來觸發(fā)�����。如圖4所示��,本實施例具體包括如下步驟步驟401�、MME接收NAS消息��,NAS計數(shù)值加I����。步驟402、MME檢測NAS計數(shù)值是否接近最大值���,若是����,則執(zhí)行步驟403 ;否則執(zhí)行步驟401����。具體地,本實施例預(yù)先設(shè)定一接近最大值的數(shù)值作為門限值�,如設(shè)為224_100,MME檢測NAS計數(shù)值是否等于224-100�����,若是��,則執(zhí)行步驟403 ;否則觸發(fā)EPS AKA流程�����。步驟403�����、MME檢測狀態(tài)器狀態(tài)是否為0���,若是����,則執(zhí)行步驟404 ;否則觸發(fā)EPS AKA流程���。步驟404���、激活非當前安全上下文���。所述該非當前安全上下文是由一個成功的NAS SMC流程運行激活的。一個成功的NAS SMC流程包括MME使用安全上下文對NAS SMC消息進行完整性保護��,當UE對NAS SMC消息完整性驗證成功�,向MME發(fā)送NAS安全模式完成消息,MME解密NAS安全模式完成消息并進行完整性驗證���。則MME可以獲知與UE共享此安全上下文�����,且該安全上下文被激活����。因此步驟404通過成功執(zhí)行上述NAS SMC流程�����,激活非當前本地安全上下文��。進一步的�,如果上述NAS SMC流程運行失敗,則MME觸發(fā)EPS AKA流程����。在實際應(yīng)用中,下行NAS計數(shù)值和上行NAS計數(shù)值一般相差不大���,當MME檢測到下行NAS計數(shù)值即將環(huán)繞時�����,不久之后即將檢測到上行NAS計數(shù)值即將環(huán)繞����;并且��,MME觸發(fā)EPS AKA流程之后隔一段時間�����,MME觸發(fā)NAS SMC流程�����,通過執(zhí)行NAS SMC流程�,NAS計數(shù)值被初始化為O���。如果當MME檢測到下行NAS計數(shù)值即將環(huán)繞時,MME就觸發(fā)EPS AKA流程��,而在檢測到上行NAS計數(shù)值即將環(huán)繞之前���,沒有觸發(fā)NAS SMC,此時NAS計數(shù)值沒有被初始化�����,那么現(xiàn)有技術(shù)檢測到上行NAS計數(shù)值即將環(huán)繞���,又會再次觸發(fā)EPS AKA流程。本實施例通過檢測狀態(tài)器狀態(tài)可以獲知距離上次EPS AKA流程成功完成的時間是否已經(jīng)到達設(shè)定的時間門限值���,該時間門限值是根據(jù)EPS AKA流程成功完成到觸發(fā)NAS SMC之間的時間來確定的����,當本次NAS計數(shù)值接近最大值距離上次EPS AKA流程成功完成的時間小于設(shè)定的時 間門限值時����,MME觸發(fā)NAS SMC ;當本次NAS計數(shù)值接近最大值距離上次EPS AKA流程成功完成的時間大于或等于設(shè)定的時間門限值時,MME觸發(fā)EPS AKA流程��。因此�����,針對上述實際應(yīng)用的場景����,本實施例避免了在檢測到上行NAS計數(shù)值即將環(huán)繞之前�,沒有觸發(fā)NAS SMC,就又會再次觸發(fā)EPS AKA流程,減少了 EPS AKA流程的次數(shù)�,避免了因觸發(fā)沒有必要的EPSAKA流程導(dǎo)致的資源耗費,節(jié)省了資源�。圖5為本發(fā)明實施例五認證處理方法的流程圖。本實施例中本地信息為當前業(yè)務(wù)類型��、服務(wù)質(zhì)量(Quality of Service,簡稱QoS)或用戶設(shè)備執(zhí)行認證的能力���。如圖5所示��,本實施例具體包括如下步驟步驟501���、MME接收NAS消息,NAS計數(shù)值加I。步驟502�、MME檢測NAS計數(shù)值是否接近最大值,若是�,則執(zhí)行步驟503 ;否則執(zhí)行步驟501。具體地��,可以預(yù)先設(shè)定一接近最大值的數(shù)值作為門限值��,MME檢測NAS計數(shù)值是否等于門限值�����,若是�,則執(zhí)行步驟503 ;否則執(zhí)行步驟501。步驟503�、MME通過檢測當前業(yè)務(wù)類型,檢測當前業(yè)務(wù)類型對應(yīng)的UE請求的當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù)���;或者��,MME通過檢測QoS�����,檢測QoS對應(yīng)的UE請求的當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù)�;或者,MME通過檢測UE執(zhí)行認證的能力���,檢測UE是否具有執(zhí)行EPS AKA流程的能力����;若是����,則觸發(fā)EPS AKA流程�����;否則執(zhí)行步驟504����。步驟504、繼續(xù)使用當前的安全上下文����,或者對當前業(yè)務(wù)不進行安全保護,或者中斷當前業(yè)務(wù)的連接���。舉例來說��,本實施例通過檢測當前業(yè)務(wù)類型獲知UE請求的業(yè)務(wù)為緊急呼叫(Emergency Call,簡稱EMC)業(yè)務(wù),貝U檢測出UE請求的業(yè)務(wù)不是需要進行認證的業(yè)務(wù),貝Ij不再觸發(fā)EPS AKA流程����,而忽略NAS計數(shù)值接近最大值的檢測結(jié)果,可以繼續(xù)使用當前的安全上下文��,或者對當前業(yè)務(wù)不進行安全保護�,或者中斷當前業(yè)務(wù)的連接。當插入用戶標識模塊(Subscriber Identity Module,簡稱SIM卡)的UE從UMTS網(wǎng)絡(luò)的緊急呼叫切換到LTE網(wǎng)絡(luò)��,MME從通用分組無線業(yè)務(wù)(General Packet RadioService,簡稱GPRS)月艮務(wù)支持節(jié)點(Service GPRS Support Node,簡稱SGSN)得到安全參數(shù)Kc��,并且進一步根據(jù)加密密鑰(Cipher Key����,簡稱CK)和完整性密鑰(Integrity Key,簡稱IK)得到Kasme。NAS計數(shù)值從O開始�����。此時�,UE在LTE網(wǎng)絡(luò)中的安全保護是由MSME所派生的子密鑰所保護的。當NAS計數(shù)值即將環(huán)繞時��,MME可以根據(jù)Kc檢測出UE是SM卡用戶�,不具有執(zhí)行EPS AKA流程的能力����,則MME不再觸發(fā)EPS AKA流程�,而忽略NAS計數(shù)值接近最大值的檢測結(jié)果,可以繼續(xù)使用當前的安全上下文�����,或者對當前業(yè)務(wù)不進行安全保護�����,或者中斷當前業(yè)務(wù)的連接����。本實施例在UE請求的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)或UE不具有執(zhí)行認證和密鑰協(xié)商流程的能力時�,不觸發(fā)EPS AKA流程,減少了 EPS AKA流程的次數(shù)���,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費���,節(jié)省了資源。圖6為本發(fā)明實施例六認證處理方法的流程圖���。如圖6所示�,本實施例具體包括如下步驟步驟601、MME接收NAS消息�,NAS計數(shù)值加I。步驟602�����、MME檢測NAS計數(shù)值是否接近最大值�����,若是�,則執(zhí)行步驟603 ;否則執(zhí)行步驟601。該NAS計數(shù)值可以為上行NAS計數(shù)值���,也可以為下行NAS計數(shù)值����。具體地����,可以預(yù)先設(shè)定一接近最大值的數(shù)值作為門限值,MME檢測NAS計數(shù)值是否等于門限值���,若是��,則執(zhí)行步驟603 ;否則執(zhí)行步驟601��。步驟603���、MME觸發(fā)EPS AKA流程�,同時MME觸發(fā)NAS SMC,激活A(yù)KA流程產(chǎn)生的安全上下文�����,NAS計數(shù)值被初始化為O��。本實施例將EPS AKA流程與NAS SMC的執(zhí)行綁定在一起��,避免了因檢測到不同方向(上行方向和下行方向)NAS計數(shù)值即將環(huán)繞��,重復(fù)觸發(fā)EPS AKA流程��,減少了 EPS AKA流程的次數(shù)��,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費���,節(jié)省了資源��。圖7為本發(fā)明實施例七認證處理方法的流程圖�����。如圖7所示���,本實施例具體包括如下步驟步驟801、MME 發(fā)起 EPS AKA 流程����;步驟802、在執(zhí)行EPS AKA流程失敗的情況下����,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)。進一步的��,上述步驟801中MME發(fā)起EPS AKA流程可以在若干種條件下進行�,例如可以當NAS計數(shù)值接近最大值時,MME發(fā)起EPS AKA流程�����;也可以由運營商的策略觸發(fā)EPSAKA流程�����,具體地,運營商可以設(shè)置一定的本次策略�,由MME來觸發(fā)對其下UE的EPS AKA,這可以是運營商基于一定的安全策略或者其他需求而制定的策略;還可以當UE進行網(wǎng)絡(luò)間切換時����,觸發(fā)EPS AKA流程,具體地��,當UE從安全級別較低的網(wǎng)絡(luò)(如GSM或UMTS網(wǎng)絡(luò))切換(包括激活態(tài)的切換和空閑態(tài)移動)到安全級別較高的網(wǎng)絡(luò)(如LTE網(wǎng)絡(luò))時��,由網(wǎng)絡(luò)側(cè)觸發(fā)EPS AKA流程�����。本地信息可以包括以下信息的至少之一當前業(yè)務(wù)類型���,服務(wù)質(zhì)量�,用戶設(shè)備執(zhí)行認證的能力���,網(wǎng)絡(luò)策略,用戶識別模塊類型或用戶設(shè)備是否插入卡的信息�����。其中,當前業(yè)務(wù)類型指明了當前業(yè)務(wù)的類型信息�,MME可以根據(jù)當前業(yè)務(wù)類型確定當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù)。服務(wù)質(zhì)量能夠標識無需進行認證的業(yè)務(wù)��,所以MME也可以根據(jù)服務(wù)質(zhì)量確定當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù)�。UE執(zhí)行認證的能力指明了 UE是否具有執(zhí)行EPSAKA的能力的相關(guān)信息,MME可以根據(jù)UE執(zhí)行認證的能力確定UE是否具有執(zhí)行EPS AKA的���、能力��。SIM卡類型也指明了 UE是否具有執(zhí)行EPS AKA的能力的相關(guān)信息�����,MME可以根據(jù)SM卡類型確定UE是否具有執(zhí)行EPS AKA的能力�。由于認證需要在UE插入卡的情況下進行����,如果UE插入卡后執(zhí)行EPS AKA流程失敗,那么就應(yīng)該釋放NAS信令連接����;如果UE沒有插入卡�����,則根據(jù)網(wǎng)絡(luò)策略確定是否釋放連接���。網(wǎng)絡(luò)策略是網(wǎng)絡(luò)側(cè)設(shè)備設(shè)定的策略,其可以支持當前業(yè)務(wù)是否進行認證����。根據(jù)以上本地信息及網(wǎng)絡(luò)策略的內(nèi)容,上述步驟802可以具體包括MME若確定網(wǎng)絡(luò)策略不支持當前業(yè)務(wù)不認證��,則釋放當前業(yè)務(wù)的連接���;MME若確定網(wǎng)絡(luò)策略支持當前業(yè)務(wù)不認證��,且MME若根據(jù)本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量確定當前業(yè)務(wù)為不需要進行認證的業(yè)務(wù)����,或者且MME若根據(jù)本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型確定用戶設(shè)備不具有執(zhí)行認證和密鑰協(xié)商流程的能力���,或者且用戶設(shè)備無插入卡����,則繼續(xù)執(zhí)行當前業(yè)務(wù)�;MME若確定網(wǎng)絡(luò)策略支持當前業(yè)務(wù)不認證,且MME若根據(jù)本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量確定當前業(yè)務(wù)為需要進行認證的業(yè)務(wù)�����,或者且MME若根據(jù)本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型確定用戶設(shè)備具有執(zhí)行認證和密鑰協(xié)商流程的能力�����,或者且用戶設(shè)備存在插入卡�����,則釋放當前業(yè)務(wù)的連接�����。舉例來說�,在MME確定網(wǎng)絡(luò)策略支持當前業(yè)務(wù)不認證的場景下,MME通過檢測當前業(yè)務(wù)類型��,獲知UE請求的業(yè)務(wù)為EMC業(yè)務(wù)或公共報警業(yè)務(wù)���,由于EMC業(yè)務(wù)或公共報警業(yè)務(wù)不是需要進行認證的業(yè)務(wù)�����,且網(wǎng)絡(luò)策略支持未認證的EMC或公共報警業(yè)務(wù)��,則MME和UE繼續(xù)執(zhí)行當前業(yè)務(wù)�。如果當前業(yè)務(wù)為NAS信令連接中的單一業(yè)務(wù),則可以通過釋放NAS信令連接來實現(xiàn)釋放當前業(yè)務(wù)的連接����。如果NAS信令連接中承載了多個業(yè)務(wù),且根據(jù)當前業(yè)務(wù)類型確定該多個當前業(yè)務(wù)均需要進行認證���,則釋放NAS信令連接����。如果當前既包括需要認證的業(yè)務(wù)又包括不需要認證的業(yè)務(wù)(如EMC)����,則釋放上述需要認證的業(yè)務(wù)所對應(yīng)的EPS承載,而保持不需要認證的業(yè)務(wù)的EPS承載(如EMC承載)���。上述EPS承載是建立在NAS信令連接基礎(chǔ)上的��。本實施例在認證失敗�����,UE請求的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)或UE不具有執(zhí)行EPS AKA流程的能力或用戶設(shè)備未插入卡���,且網(wǎng)絡(luò)策略支持當前業(yè)務(wù)不認證的情況下仍然能繼續(xù)執(zhí)行當前業(yè)務(wù),避免了當前業(yè)務(wù)執(zhí)行中斷的問題���,節(jié)省了系統(tǒng)的資源���。圖8為本發(fā)明實施例八認證處理裝置的結(jié)構(gòu)示意圖。如圖8所示����,本實施例具體包括檢測模塊11和處理模塊12。其中���,檢測模塊11用于當非接入層計數(shù)值接近最大值時�����,對本地信息進行檢測�;處理模塊12用于根據(jù)檢測結(jié)果決定是否觸發(fā)與UE之間的認證和密鑰協(xié)商流程。本實施例提供的認證處理裝置可以按照上述實施例一提供的方法來工作��。 圖9為本發(fā)明實施例九認證處理裝置的結(jié)構(gòu)示意圖���。如圖9所示���,本實施例在上述實施例八的基礎(chǔ)上,本地信息為安全上下文����,處理模塊12具體包括第一激活單元21和第一觸發(fā)單元22。其中�,第一激活單元21用于當檢測模塊11確定安全上下文包括非當前安全上下文,則激活非當前安全上下文�;第一觸發(fā)單元22用于當檢測模塊11確定安全上下文不包括非當前安全上下文,則觸發(fā)認證和密鑰協(xié)商流程���。本實施例處理模塊12還可以包括收發(fā)單元23�,該收發(fā)單元23用于向UE發(fā)送NASSMC,并接收NAS安全模式執(zhí)行成功的消息�,向處理模塊12中的第一激活單元21發(fā)送觸發(fā)其動作的信息。第一激活單元21根據(jù)觸發(fā)信息激活非當前安全上下文����。當收發(fā)單元23沒有接收到UE返回的NAS安全模式執(zhí)行成功的消息時���,第一觸發(fā)單元22觸發(fā)認證和密鑰協(xié)商流程。本實施例提供的認證處理裝置可以按照上述實施例二提供的方法來工作���。圖10為本發(fā)明實施例十認證處理裝置的結(jié)構(gòu)示意圖�。如圖10所示�,本實施例在上述實施例八的基礎(chǔ)上,本地信息為定時器狀態(tài)��,處理模塊12具體包括第二激活單元31和第二觸發(fā)單元32��。其中�����,第二激活單元31用于當檢測模塊11檢測出定時器狀態(tài)為運行時�����,激活非當前安全上下文�����;第二觸發(fā)單元32用于當檢測模塊11檢測出定時器狀態(tài)為停止時�,觸發(fā)認證和密鑰協(xié)商流程。進一步的��,本實施例處理模塊12還可以包括收發(fā)單元33�����,該收發(fā)單元33用于向 UE發(fā)送NAS SMC,并接收NAS安全模式執(zhí)行成功的消息����,向處理模塊12中的第二激活單元31發(fā)送觸發(fā)其動作的信息。第二激活單元31根據(jù)觸發(fā)信息激活非當前安全上下文���。當收發(fā)單元33沒有接收到UE返回的NAS安全模式執(zhí)行成功的消息時�����,第二觸發(fā)單元32觸發(fā)認證和密鑰協(xié)商流程�。本實施例提供的認證處理裝置可以按照上述實施例三提供的方法來工作��。圖11為本發(fā)明實施例i^一認證處理裝置的結(jié)構(gòu)示意圖�����。如圖11所示,本實施例在上述實施例八的基礎(chǔ)上�,本地信息為狀態(tài)器狀態(tài),處理模塊12具體包括第三激活單元41和第三觸發(fā)單元42�����。其中�,第三激活單元41用于當檢測模塊11檢測出狀態(tài)器狀態(tài)為運行時,激活非當前安全上下文��;第三觸發(fā)單元42用于當檢測模塊11檢測出狀態(tài)器狀態(tài)為停止時�,觸發(fā)認證和密鑰協(xié)商流程。進一步的���,本實施例處理模塊12還可以包括收發(fā)單元43���,該收發(fā)單元43用于向UE發(fā)送NAS SMC,并接收NAS安全模式執(zhí)行成功的消息��,向處理模塊12中的第三激活單元41發(fā)送觸發(fā)其動作的信息����。第三激活單元41根據(jù)觸發(fā)信息激活非當前安全上下文。當收發(fā)單元43沒有接收到UE返回的NAS安全模式執(zhí)行成功的消息時�����,第三觸發(fā)單元42觸發(fā)認證和密鑰協(xié)商流程。本實施例提供的認證處理裝置可以按照上述實施例四提供的方法來工作���。圖12為本發(fā)明實施例十二認證處理裝置的結(jié)構(gòu)示意圖���。如圖12所示,本實施例在上述實施例八的基礎(chǔ)上���,本地信息為當前的業(yè)務(wù)類型����、或服務(wù)質(zhì)量�����、或用戶設(shè)備執(zhí)行認證的能力��,處理模塊12具體包括第四觸發(fā)單元51和處理單元52�。該第四觸發(fā)單元51用于如果檢測模塊11確定當前業(yè)務(wù)類型對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù),或者確定服務(wù)質(zhì)量對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù)���,或者確定用戶設(shè)備執(zhí)行認證的能力具有執(zhí)行認證和密鑰協(xié)商流程的能力�,則觸發(fā)認證和密鑰協(xié)商流程。處理單元52用于如果檢測模塊11確定當前業(yè)務(wù)類型對應(yīng)的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)����,或者確定服務(wù)質(zhì)量對應(yīng)的業(yè)務(wù)不是需要進行認證的業(yè)務(wù),或者確定用戶設(shè)備執(zhí)行認證的能力不具有執(zhí)行認證和密鑰協(xié)商流程的能力�����,則繼續(xù)使用當前的安全上下文���,或者對當前業(yè)務(wù)不進行安全保護��;或者中斷當前業(yè)務(wù)的連接��。本實施例提供的認證處理裝置可以按照上述實施例五提供的方法來工作�����。上述裝置實施例中不會一旦檢測到NAS計數(shù)值即將環(huán)繞�,就立即觸發(fā)EPS AKA流程���,減少了觸發(fā)EPS AKA流程的次數(shù),避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費���,節(jié)省了資源��。圖13為本發(fā)明實施例十三認證處理裝置的結(jié)構(gòu)示意圖���。如圖13所示����,本實施例具體包括執(zhí)行模塊61和處理模塊62��。其中����,執(zhí)行模塊61用于執(zhí)行認證和密鑰協(xié)商流程;處理模塊62用于在執(zhí)行模塊61執(zhí)行認證和密鑰協(xié)商流程失敗的情況下����,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)。進一步的�,本實施例還可以包括觸發(fā)模塊63,該觸發(fā)模塊63用于在非接入層計數(shù)值接近最大值�����、運營商策略或用戶設(shè)備進行網(wǎng)絡(luò)間切換的觸發(fā)條件下�,觸發(fā)執(zhí)行模塊61執(zhí)行認證和密鑰協(xié)商流程�。上述處理模塊62可以進一步包括第一判斷單元64�、第一釋放單元65、第二判斷單元66�����、第二釋放單元67和執(zhí)行單元68�。其中,第一判斷單元64用于在執(zhí)行模塊61執(zhí)行 認證和密鑰協(xié)商流程失敗的情況下����,判斷網(wǎng)絡(luò)策略是否支持當前業(yè)務(wù)不認證;第一釋放單元65用于在第一判斷單元64判斷為否的情況下���,釋放當前業(yè)務(wù)的連接�;第二判斷單元66用于在第一判斷單元64判斷為是的情況下�,根據(jù)本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量判斷當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù),或者�����,根據(jù)本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型判斷用戶設(shè)備是否具有執(zhí)行認證和密鑰協(xié)商流程的能力����,或者,判斷用戶設(shè)備是否存在插入卡��;第二釋放單元67用于在第二判斷單元66判斷為是的情況下���,釋放當前業(yè)務(wù)的連接����;執(zhí)行單元68用于在第二判斷單元66判斷為否的情況下��,繼續(xù)執(zhí)行當前業(yè)務(wù)����。本實施例提供的認證處理裝置可以按照上述實施例七提供的方法來工作。本實施例在認證失敗�����,UE請求的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)或UE不具有執(zhí)行EPS AKA流程的能力或用戶設(shè)備未插入卡��,且網(wǎng)絡(luò)策略支持當前業(yè)務(wù)不認證的情況下仍然能繼續(xù)執(zhí)行當前業(yè)務(wù)���,避免了當前業(yè)務(wù)執(zhí)行中斷的問題�����,節(jié)省了系統(tǒng)的資源���。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中�����,該程序在執(zhí)行時����,執(zhí)行包括上述方法實施例的步驟,而前述的存儲介質(zhì)包括R0M����、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)���。最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明實施例的技術(shù)方案����,而非對其限制����;盡管參照前述實施例對本發(fā)明實施例進行了詳細的說明���,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改�����,或者對其中部分技術(shù)特征進行等同替換�����;而這些修改或者替換���,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實施例各實施例技術(shù)方案的精神和范圍�。
權(quán)利要求
1.一種認證處理方法�����,其特征在于包括 當非接入層計數(shù)值接近最大值時���,根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程�����。
2.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述本地信息為安全上下文����,所述根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程包括 如果確定所述安全上下文包括非當前安全上下文,則激活所述非當前安全上下文����; 如果確定所述安全上下文不包括非當前安全上下文,則觸發(fā)認證和密鑰協(xié)商流程��。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,所述非當前安全上下文包括非當前部分 安全上下文或非當前完整安全上下文���。
4.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述本地信息為定時器狀態(tài)����,所述根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程包括 當所述定時器狀態(tài)為運行時,激活非當前安全上下文�����; 當所述定時器狀態(tài)為停止時�,觸發(fā)認證和密鑰協(xié)商流程���。
5.根據(jù)權(quán)利要求I所述的方法��,其特征在于��,所述本地信息為狀態(tài)器狀態(tài)��,所述根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程具體包括 當所述狀態(tài)器狀態(tài)為運行時���,激活所述非當前安全上下文; 當所述狀態(tài)器狀態(tài)為停止時��,觸發(fā)認證和密鑰協(xié)商流程����。
6.根據(jù)權(quán)利要求2-5中任一權(quán)利要求所述的方法����,其特征在于���,在所述激活非當前安全上下文之前還包括 向所述用戶設(shè)備發(fā)送非接入層安全模式命令���; 并接收非接入層安全模式執(zhí)行成功的消息。
7.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述本地信息為當前業(yè)務(wù)類型��,或服務(wù)質(zhì)量���,或用戶設(shè)備執(zhí)行認證的能力����,所述根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程包括 如果確定所述當前業(yè)務(wù)類型對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù)�,或者確定所述服務(wù)質(zhì)量對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù),或者所述用戶設(shè)備執(zhí)行認證的能力具有執(zhí)行認證和密鑰協(xié)商流程的能力�,則觸發(fā)認證和密鑰協(xié)商流程; 否則����,繼續(xù)使用當前的安全上下文��,或者對當前業(yè)務(wù)不進行安全保護�����;或者中斷當前業(yè)務(wù)的連接�����。
8.一種認證處理方法����,其特征在于包括 在執(zhí)行認證和密鑰協(xié)商流程失敗的情況下��,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)���。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于�,執(zhí)行認證和密鑰協(xié)商流程通過以下條件觸發(fā)非接入層計數(shù)值接近最大值,或運營商策略����,或用戶設(shè)備進行網(wǎng)絡(luò)間切換。
10.根據(jù)權(quán)利要求8所述的方法,其特征在于���,所述當前業(yè)務(wù)包括緊急呼叫業(yè)務(wù)�����,和/或公共報警業(yè)務(wù)�。
11.根據(jù)權(quán)利要求8所述的方法�,其特征在于,所述根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)具體包括 若所述網(wǎng)絡(luò)策略不支持所述當前業(yè)務(wù)不認證���,則釋放所述當前業(yè)務(wù)的連接�;若所述網(wǎng)絡(luò)策略支持所述當前業(yè)務(wù)不認證���,且根據(jù)所述本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量確定當前業(yè)務(wù)為不需要進行認證的業(yè)務(wù)�����,或者且根據(jù)所述本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型確定用戶設(shè)備不具有執(zhí)行認證和密鑰協(xié)商流程的能力����,或者且用戶設(shè)備無插入卡��,則繼續(xù)執(zhí)行所述當前業(yè)務(wù); 若所述網(wǎng)絡(luò)策略支持所述當前業(yè)務(wù)不認證�����,且根據(jù)所述本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量確定當前業(yè)務(wù)為需要進行認證的業(yè)務(wù)�,或者且根據(jù)所述本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型確定用戶設(shè)備具有執(zhí)行認證和密鑰協(xié)商流程的能力,或者且用戶設(shè)備存在插入卡�����,則釋放所述當前業(yè)務(wù)的連接�����。
12.根據(jù)權(quán)利要求11所述的方法��,其特征在于���,當所 述當前業(yè)務(wù)為非接入層信令連接中的單一業(yè)務(wù)時,所述釋放當前業(yè)務(wù)的連接具體為釋放非接入層信令連接�。
13.一種認證處理裝置,其特征在于包括 檢測模塊��,用于當非接入層計數(shù)值接近最大值時�����,對本地信息進行檢測; 處理模塊�,用于根據(jù)檢測結(jié)果決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程。
14.根據(jù)權(quán)利要求13所述的裝置����,其特征在于,所述本地信息為安全上下文����,所述處理模塊包括 第一激活單元,用于當所述檢測模塊確定所述安全上下文包括非當前安全上下文���,則激活所述非當前安全上下文�; 第一觸發(fā)單元���,用于當所述檢測模塊確定所述安全上下文不包括非當前安全上下文��,則觸發(fā)認證和密鑰協(xié)商流程���。
15.根據(jù)權(quán)利要求13所述的裝置,其特征在于�����,所述本地信息為定時器狀態(tài),所述處理模塊包括 第二激活單元��,用于當所述檢測模塊檢測出定時器狀態(tài)為運行時���,激活非當前安全上下文����; 第二觸發(fā)單元��,用于當所述檢測模塊檢測出定時器狀態(tài)為停止時����,觸發(fā)認證和密鑰協(xié)商流程。
16.根據(jù)權(quán)利要求13所述的裝置�����,其特征在于���,所述本地信息為狀態(tài)器狀態(tài),所述處理模塊包括 第三激活單元�����,用于當所述檢測模塊檢測出狀態(tài)器狀態(tài)為運行時,激活非當前安全上下文��; 第三觸發(fā)單元�,用于當所述檢測模塊檢測出狀態(tài)器狀態(tài)為停止時,觸發(fā)認證和密鑰協(xié)商流程���。
17.根據(jù)權(quán)利要求14或15或16所述的裝置���,其特征在于,所述處理模塊還包括收發(fā)單元�����,用于向所述用戶設(shè)備發(fā)送非接入層安全模式信令�����,并接收非接入層安全模式執(zhí)行成功的消息���,向所述處理模塊發(fā)送觸發(fā)處理模塊動作的信息��。
18.根據(jù)權(quán)利要求13所述的裝置�,其特征在于,所述本地信息為當前業(yè)務(wù)類型�,或服務(wù)質(zhì)量,或用戶設(shè)備執(zhí)行認證的能力�����,所述處理模塊包括 第四觸發(fā)單元�����,用于如果所述檢測模塊確定所述當前業(yè)務(wù)類型對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù)����,或者確定所述服務(wù)質(zhì)量對應(yīng)的業(yè)務(wù)為需要進行認證的業(yè)務(wù),或者確定所述用戶設(shè)備執(zhí)行認證的能力具有執(zhí)行認證和密鑰協(xié)商流程的能力�,則觸發(fā)認證和密鑰協(xié)商流程; 處理單元,用于如果所述檢測模塊確定所述當前業(yè)務(wù)類型對應(yīng)的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)��,或者確定所述服務(wù)質(zhì)量對應(yīng)的業(yè)務(wù)不是需要進行認證的業(yè)務(wù)���,或者確定所述用戶設(shè)備執(zhí)行認證的能力不具有執(zhí)行認證和密鑰協(xié)商流程的能力�����,則繼續(xù)使用當前的安全上下文����,或者對當前業(yè)務(wù)不進行安全保護�;或者中斷當前業(yè)務(wù)的連接。
19.一種認證處理裝置��,其特征在于包括 執(zhí)行模塊����,用于執(zhí)行認證和密鑰協(xié)商流程; 處理模塊�����,用于在所述執(zhí)行模塊執(zhí)行所述認證和密鑰協(xié)商流程失敗的情況下�����,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)��。
20.根據(jù)權(quán)利要求19所述的裝置�����,其特征在于還包括觸發(fā)模塊,用于在非接入層計數(shù)值接近最大值���、運營商策略或用戶設(shè)備進行網(wǎng)絡(luò)間切換的觸發(fā)條件下���,觸發(fā)所述執(zhí)行模塊執(zhí)行所述認證和密鑰協(xié)商流程。
21.根據(jù)權(quán)利要求19所述的裝置��,其特征在于���,所述處理模塊包括 第一判斷單元��,用于在所述執(zhí)行模塊執(zhí)行所述認證和密鑰協(xié)商流程失敗的情況下���,判斷所述網(wǎng)絡(luò)策略是否支持當前業(yè)務(wù)不認證; 第一釋放單元�,用于在所述第一判斷單元判斷為否的情況下,釋放所述當前業(yè)務(wù)的連接; 第二判斷單元��,用于在所述第一判斷單元判斷為是的情況下����,根據(jù)所述本地信息中的當前業(yè)務(wù)類型或服務(wù)質(zhì)量判斷當前業(yè)務(wù)是否為需要進行認證的業(yè)務(wù),或者����,根據(jù)所述本地信息中的用戶設(shè)備執(zhí)行認證的能力或用戶識別模塊類型判斷用戶設(shè)備是否具有執(zhí)行認證和密鑰協(xié)商流程的能力����,或者�,判斷用戶設(shè)備是否存在插入卡�; 第二釋放單元,用于在所述第二判斷單元判斷為是的情況下�,釋放所述當前業(yè)務(wù)的連接; 執(zhí)行單元,用于在所述第二判斷單元判斷為否的情況下���,繼續(xù)執(zhí)行所述當前業(yè)務(wù)�����。
全文摘要
本發(fā)明實施例涉及一種認證處理方法及裝置���,其中一種方法包括當非接入層計數(shù)值接近最大值時,根據(jù)本地信息決定是否觸發(fā)與用戶設(shè)備之間的認證和密鑰協(xié)商流程����。另一種方法包括在執(zhí)行認證和密鑰協(xié)商流程失敗的情況下,根據(jù)本地信息及網(wǎng)絡(luò)策略決定釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)����。本發(fā)明實施例中�����,避免了因觸發(fā)沒有必要的EPS AKA流程導(dǎo)致的資源耗費�����,節(jié)省了資源�;或者���,如果執(zhí)行EPS AKA流程認證失敗��,不會立即釋放連接��,而是根據(jù)本地信息及網(wǎng)絡(luò)策略釋放連接或者繼續(xù)執(zhí)行當前業(yè)務(wù)��,避免了釋放沒有必要進行釋放的連接�,節(jié)省了資源�。
文檔編號H04W12/06GK102638793SQ20121002829
公開日2012年8月15日 申請日期2009年9月21日 優(yōu)先權(quán)日2009年9月21日
發(fā)明者張冬梅, 張愛琴, 畢曉宇 申請人:華為技術(shù)有限公司