认证处理方法及装置的制作方法

专利名称：认证处理方法及装置的制作方法
认证处理方法及装置技术领域
本发明实施例涉及通信领域，尤其涉及一种认证处理方法及装置。
技术背景
非接入层(Non-AccessStratum,简称NAS)计数(COUNT)是长期演进(Long Term Evolution，简称LTE)系统中安全上下文的一部分。在LTE系统中，NAS计数 可作为密钥的生命周期，使密钥具有新鲜性；同时，NAS计数可以保证用户设备(User Equipment,简称I^)与网络侧密钥的同步，具有抗重放攻击的作用。每一套演进分组 系统(Evolved Packet System,简称EPS)安全上下文包含两个独立的NAS计数值上 行NAS计数值和下行NAS计数值。这两个NAS计数的计数器分别由UE和移动管理实 体(Mobility Mamigement Entity，简称MME)来独立维护。
NAS计数有32位，主要由两个部分组成NAS序列号6QN)与NAS溢出值 (OVERFLOW)，其中NAS序列号为8位，NAS溢出值为16位。NAS序列号承载于每 条NAS消息中，当每一个新的或是重传的受到安全保护的NAS消息发出后，发送端将会 将NAS序列号的值增加1 ；当NAS序列号增加到最大值，循环一圈时，NAS溢出值增加 1。
现有技术中，当MME检测到下行的NAS计数值即将环绕的时候，也就 是NAS计数值比较接近最大值224时，MME将会触发一个新的EPS认证和密钥协商 (Authentication and Key Agreement，简称AKA)流程，建立新的安全上下文，并且当安 全上下文被激活时将NAS计数值初始化为0。当MME检测到UE的上行NAS计数值也 接近到最大值时，也就是即将环绕时，MME会触发EPS AKA流程。
现有技术一旦MME检测到NAS计数值即将环绕，就立即触发EPS AKA流程； 如果执行EPSAKA流程认证失败，就立即释放连接。这种安全处理过程浪费了资源。发明内容
本发明实施例提供了 一种认证处理方法及装置，用以节省资源。
本发明实施例提供了一种认证处理方法，包括
当非接入层计数值接近最大值时，根据本地信息决定是否触发与用户设备之间 的认证和密钥协商流程。
本发明实施例提供了另一种认证处理方法，包括
在执行认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放 连接或者继续执行当前业务。
本发明实施例提供了一种认证处理装置，包括
检测模块，用于当非接入层计数值接近最大值时，对本地信息进行检测；
处理模块，用于根据检测结果决定是否触发与用户设备之间的认证和密钥协商 流程。
本发明实施例提供了另一种认证处理装置，包括
执行模块，用于执行认证和密钥协商流程；
处理模块，用于在所述执行模块执行所述认证和密钥协商流程失败的情况下， 根据本地信息及网络策略决定释放连接或者继续执行当前业务。
本发明实施例中，当非接入层计数值接近最大值时，不会立即触发EPSAKA流 程，而是根据本地信息来决定是否触发与UE之间的EPS AKA流程，避免了因触发没有 必要的EPS AKA流程导致的资源耗费，节省了资源；或者，如果执行EPS AKA流程认 证失败，不会立即释放连接，而是根据本地信息及网络策略释放连接或者继续执行当前 业务，避免了释放没有必要进行释放的连接，节省了资源。


图1为本发明实施 歹
图2为本发明实施 歹
图3为本发明实施 歹
图4为本发明实施 歹
图5为本发明实施 歹
图6为本发明实施 歹
图7为本发明实施 歹
图8为本发明实施 歹
图9为本发明实施 歹
图10为本发明实施
图11为本发明实施
图12为本发明实施
图13为本发明实施一认证处理方法的流程图 二认证处理方法的流程图 三认证处理方法的流程图 四认证处理方法的流程图 五认证处理方法的流程图 六认证处理方法的流程图 七认证处理方法的流程图 八认证处理装置的结构示意图； 九认证处理装置的结构示意图； 列十认证处理装置的结构示意图； 列十一认证处理装置的结构示意图 列十二认证处理装置的结构示意图 列十三认证处理装置的结构示意图(具体实施方式
下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。
图1为本发明实施例一认证处理方法的流程图。如图1所示，本实施例具体包 括如下步骤
步骤101、当非接入层计数值接近最大值时，对本地信息进行检测；
步骤102、根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。
其中NAS计数值接近最大值即为NAS计数值即将环绕的时候，认证和密钥协商 流程可以为EPS AKA流程。
上述两步骤的执行主体可以为MME，当下行或上行的NAS计数值即将环绕的时 候，MME对本地信息进行检测，根据检测结果决定是否触发EPSAKA流程。
以检测上行的NAS计数值为例，MME接收NAS消息，NAS计数值加1 ； MME 检测NAS计数值是否接近最大值，具体地，MME可以检测NAS计数值是否等于门限 值，该门限值为预先设定的接近最大值的数值；若是，则对本地信息进行检测，根据检 测结果决定是否触发认证和密钥协商流程；否则，继续接收NAS消息。
本实施例中MME不会一旦检测到NAS计数值即将环绕，就立即触发EPS AKA 流程，减少了触发EPSAKA流程的次数，避免了因触发没有必要的EPSAKA流程导致的资源耗费，节省了资源。
下面在描述实施例二之前，预先介绍与实施例二相关的技术。
在LTE系统中，EPS安全上下文有两种划分方式。按照使用状态，EPS安全上 下文可以分为当前EPS安全上下文(current EPS security context)和非当前EPS安全上下 文(non-current EPS security context)。其中当前EPS安全上下文是指最新被激活的安全 上下文，即当前正在使用的安全上下文。上述当前正在使用的安全上下文可以与一套非 当前本地EPS安全上下文(non-current native EPS security context)同时存在。按照生成 方式，EPS安全上下文可以分为映射EPS安全上下文(mapped EPS security context)和本 地EPS安全上下文(native EPS security context)。其中映射EPS安全上下文是指从其他系 统映射过来的安全上下文，如从通用移动通信系统(UniversalMobile Telecommunications System,简称UMTS)映射到LTE系统。本地EPS安全上下文是指在LTE系统中，经 过EPS AKA生成的安全上下文。其中本地EPS安全上下文又分为部分本地EPS安全上 下文(partial native EPSsecurity context)和完整本地EPS 安全上下文(full native EPS security context)。其主要区别是部分本地EPS安全上下文没有经过一个成功的NAS安全模式 流程运行，因此在部分本地EPS安全上下文中只包含UE接入LTE网络中认证的根密钥 Kasme,密钥集标识(Key Set Identity,简称KSI)、UE的安全能力以及设置为0的NAS 计数值；而完整本地EPS安全上下文是经过EPSAKA流程之后由一个成功的NAS安全 模式命令Security Mode Command，简称SMC)流程激活的安全上下文，其包含一套完 整EPS NAS安全上下文，因此完整本地EPS安全上下文会额外包含NAS层的完整性密钥 KNASmt、加密密钥Knashk以及所选的NAS加密算法和完整性算法标识。
图2为本发明实施例二认证处理方法的流程图。本实施例中本地信息为本地保 存的安全上下文，下述安全上下文均为本地EPS安全上下文。
如图2所示，本实施例具体包括如下步骤
步骤201、MME接收NAS消息，NAS计数值加1。
步骤202、MME检测NAS计数值是否接近最大值，若是，则执行步骤203 ；否 则执行步骤201。
具体地，可以预先设定一接近最大值的数值作为门限值，MME检测NAS计数值 是否等于门限值，若是，则执行步骤203;否则执行步骤201。
步骤203、MME检测本地保存的安全上下文除了当前安全上下文以外，是否还 包括非当前安全上下文，若是，则执行步骤204;否则触发EPS AKA流程。
步骤204、激活该非当前安全上下文。
上述非当前安全上下文可通过成功运行NAS SMC流程来激活。成功运行的NAS SMC流程包括MME使用安全上下文对NAS SMC消息进行完整性保护，当UE对NAS SMC消息完整性验证成功，向MME发送NAS安全模式完成(Security Mode Complete)消息，MME解密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共 享此安全上下文，且该安全上下文被激活。因此步骤204通过成功执行上述NAS SMC流 程，激活非当前安全上下文。
进一步的，如果上述NAS SMC流程运行失败，则MME触发EPS AKA流程。
上述非当前本地安全上下文可以包括非当前部分本地安全上下文或非当前完整 本地安全上下文，上述步骤204可以为MME激活非当前部分本地安全上下文或非当前 完整本地安全上下文。
本实施例中，通过成功运行MME触发的NAS SMC流程，MME与UE共享的非 当前本地安全上下文被激活。当MME没有收到UE返回的NAS安全模式完成消息时， MME触发EPS AKA流程。
下面通过两个具体的例子，说明本实施例的应用场景。
(1)当MME检测到NAS计数值接近最大值时，MME通过检测安全上下文获 知 MME 和 UMTS 用户身份模块集成电路卡(UMTS SubscriberIdentityModule Integrated Circuit Card,简称UICC)中保存了一套非当前部分安全上下文，MME激活该非当前部 分安全上下文，此时NAS计数值被初始化为0，这样省去了 EPSAKA流程。
与现有技术相比，该场景中MME没有立即触发EPS AKA流程，避免了非当前 部分安全上下文资源的浪费，同时也避免了因执行没有必要的EPSAKA流程而造成的资 源耗费。
( UE在接入EPS的过程中建立了当前安全上下文，之后UE在从演进通用地面 无线接入网络(Evolved Universal Terrestrial Radio AccessNetwork，简称E-UTRAN)切换 到通用地面无线接入网络(Universal TerrestrialRadio Access Network，简称UTRAN)或 GSM/EDGE 无线通讯网络(GSMEDGERadio Access Network，简称GERAN)的过程中 保存这套在E-UTRAN中生成的本地安全上下文；然后，当该UE再切换回到E-UTRAN 中时，使用的是映射安全上下文，该映射安全上下文成为当前安全上下文，之前UE和 MME保存的在E-UTRAN网络中生成的安全上下文成为非当前完整安全上下文。在这 种场景下，当MME检测到NAS计数值接近最大值时，MME通过检测安全上下文获知本 地保存有该非当前完整安全上下文，则MME激活该非当前完整安全上下文，这样省去了 EPSAKA 流程。
与现有技术相比，该场景中MME没有立即触发EPS AKA流程，避免了之前保 存的非当前完整安全上下文资源的浪费，同时也避免了因执行没有必要的EPS AKA流程 而造成的资源耗费。
本实施例中MME不会一旦检测到NAS计数值即将环绕，就立即触发EPS AKA 流程，减少了触发EPSAKA流程的次数，避免了因触发没有必要的EPSAKA流程导致的资源耗费，节省了资源。
图3为本发明实施例三认证处理方法的流程图。本实施例中本地信息为定时器 状态。本实施例中，MME上预先设置了一定时器，该定时器的状态可以为运行和停止。 当NAS计数器的计数值到达门限值且EPS AKA流程成功完成时，定时器的状态转为运 行；当定时器的定时时间到达设定的时间门限值时，定时器的状态转为停止。
如图3所示，本实施例具体包括如下步骤
步骤301、MME接收NAS消息，NAS计数值加1。
步骤302、MME检测NAS计数值是否接近最大值，若是，则执行步骤303 ；否 则执行步骤301。
具体地，本实施例预先设定一接近最大值的数值作为门限值，如设为224_100， MME检测NAS计数值是否等于224-100，若是，则执行步骤303 ；否则执行步骤301。
步骤303、MME检测定时器状态是否为运行，若是，则执行步骤304 ；否则触 发EPSAKA流程。
步骤304、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成 功的NAS SMC流程包括MME使用安全上下文对NAS SMC消息进行完整性保护，当 UE对NAS SMC消息完整性验证成功，向MME发送NAS安全模式完成消息，MME解 密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下 文，且该安全上下文被激活。因此步骤304通过成功执行上述NAS SMC流程，激活非 当前本地安全上下文。
进一步的，如果上述NAS SMC流程运行失败，则MME触发EPS AKA流程。
在实际应用中，下行NAS计数值和上行NAS计数值一般相差不大，当MME检 测到下行NAS计数值即将环绕时，不久之后即将检测到上行NAS计数值即将环绕；并 且，MME触发EPS AKA流程之后隔一段时间，MME触发NAS SMC流程，通过执行 NAS SMC流程，NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将 环绕时，MME就触发EPS AKA流程，而在检测到上行NAS计数值即将环绕之前，没有 触发NAS SMC流程激活新产生的安全上下文，此时NAS计数值没有被初始化，那么现有 技术检测到上行NAS计数值即将环绕，又会再次触发EPS AKA流程。本实施例通过检 测定时器状态可以获知距离上次EPS AKA流程成功完成的时间是否已经到达设定的时间 门限值，该时间门限值是根据EPS AKA流程成功完成到触发NAS SMC之间的时间来确 定的，当本次NAS计数值接近最大值距离上次EPSAKA流程成功完成的时间小于设定的 时间门限值时，MME触发NAS SMC流程；当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间大于或等于设定的时间门限值时，MME触发EPS AKA流程。 因此，针对上述实际应用的场景，本实施例避免了在检测到上行NAS计数值即将环绕之 前，没有触发NAS SMC流程，就又会再次触发EPS AKA流程，减少了 EPSAKA流程的 次数，避免了因触发没有必要的EPS AKA流程导致的资源耗费，节省了资源。
图4为本发明实施例四认证处理方法的流程图。本实施例中本地信息为状态器 状态。本实施例中，MME上需预先设置状态器，该状态器的状态可以为运行和停止，具 体地，可以用0来表示运行，可以用1来表示停止。其中，运行表示距离上次EPS AKA 流程成功完成的时间小于设定的时间门限值，停止表示距离上次EPS AKA流程成功完成 的时间大于或等于设定的时间门限值。状态器可以由定时器来触发。
如图4所示，本实施例具体包括如下步骤
步骤401、MME接收NAS消息，NAS计数值加1。
步骤402、MME检测NAS计数值是否接近最大值，若是，则执行步骤403 ；否 则执行步骤401。
具体地，本实施例预先设定一接近最大值的数值作为门限值，如设为224_100， MME检测NAS计数值是否等于224-100，若是，则执行步骤403 ；否则触发EPS AKA流禾呈。
步骤403、MME检测状态器状态是否为0，若是，则执行步骤404 ；否则触发 EPS AKA 流程。
步骤404、激活非当前安全上下文。
所述该非当前安全上下文是由一个成功的NAS SMC流程运行激活的。一个成 功的NAS SMC流程包括MME使用安全上下文对NAS SMC消息进行完整性保护，当 UE对NAS SMC消息完整性验证成功，向MME发送NAS安全模式完成消息，MME解 密NAS安全模式完成消息并进行完整性验证。则MME可以获知与UE共享此安全上下 文，且该安全上下文被激活。因此步骤404通过成功执行上述NAS SMC流程，激活非 当前本地安全上下文。
进一步的，如果上述NAS SMC流程运行失败，则MME触发EPS AKA流程。
在实际应用中，下行NAS计数值和上行NAS计数值一般相差不大，当MME检 测到下行NAS计数值即将环绕时，不久之后即将检测到上行NAS计数值即将环绕；并 且，MME触发EPS AKA流程之后隔一段时间，MME触发NAS SMC流程，通过执行 NAS SMC流程，NAS计数值被初始化为0。如果当MME检测到下行NAS计数值即将 环绕时，MME就触发EPS AKA流程，而在检测到上行NAS计数值即将环绕之前，没有 触发NASSMC，此时NAS计数值没有被初始化，那么现有技术检测到上行NAS计数值 即将环绕，又会再次触发EPS AKA流程。本实施例通过检测状态器状态可以获知距离 上次EPS AKA流程成功完成的时间是否已经到达设定的时间门限值，该时间门限值是根 据EPS AKA流程成功完成到触发NAS SMC之间的时间来确定的，当本次NAS计数值接 近最大值距离上次EPS AKA流程成功完成的时间小于设定的时间门限值时，MME触发 NAS SMC ；当本次NAS计数值接近最大值距离上次EPS AKA流程成功完成的时间大于 或等于设定的时间门限值时，MME触发EPS AKA流程。因此，针对上述实际应用的场 景，本实施例避免了在检测到上行NAS计数值即将环绕之前，没有触发NASSMC，就又 会再次触发EPS AKA流程，减少了 EPS AKA流程的次数，避免了因触发没有必要的EPS AKA流程导致的资源耗费，节省了资源。
图5为本发明实施例五认证处理方法的流程图。本实施例中本地信息为当前业 务类型、服务质量(Quality of Service，简称QoS)或用户设备执行认证的能力。
如图5所示，本实施例具体包括如下步骤
步骤501、MME接收NAS消息，NAS计数值加1。
步骤502、MME检测NAS计数值是否接近最大值，若是，则执行步骤503 ；否 则执行步骤501。
具体地，可以预先设定一接近最大值的数值作为门限值，MME检测NAS计数值 是否等于门限值，若是，则执行步骤503;否则执行步骤501。
步骤503、MME通过检测当前业务类型，检测当前业务类型对应的UE请求的当 前业务是否为需要进行认证的业务；或者，MME通过检测QoS，检测QoS对应的UE请 求的当前业务是否为需要进行认证的业务；或者，MME通过检测UE执行认证的能力， 检测UE是否具有执行EPS AKA流程的能力；
若是，则触发EPS AKA流程；否则执行步骤504。
步骤504、继续使用当前的安全上下文，或者对当前业务不进行安全保护，或者中断当前业务的连接。
举例来说，本实施例通过检测当前业务类型获知UE请求的业务为紧急呼叫 (Emergency Call,简称EMC)业务，则检测出UE请求的业务不是需要进行认证的业 务，则不再触发EPS AKA流程，而忽略NAS计数值接近最大值的检测结果，可以继续使 用当前的安全上下文，或者对当前业务不进行安全保护，或者中断当前业务的连接。
当插入用户标识模块Subscriber Identity Module,简称SIM卡)的UE从 UMTS网络的紧急呼叫切换到LTE网络，MME从通用分组无线业务(General Packet Radio Service,简称GPRS)服务支持节点 Service GPRSSupport Node，简称SGSN)得到安 全参数Kc，并且进一步根据加密密钥(Cipher Key，简称CK)和完整性密钥(Integrity Key,简称IK)得到KASME。NAS计数值从0开始。此时，UE在LTE网络中的安全 保护是由Kasme所派生的子密钥所保护的。当NAS计数值即将环绕时，MME可以根据 Kc检测出UE是MM卡用户，不具有执行EPS AKA流程的能力，则MME不再触发EPS AKA流程，而忽略NAS计数值接近最大值的检测结果，可以继续使用当前的安全上下 文，或者对当前业务不进行安全保护，或者中断当前业务的连接。
本实施例在UE请求的业务不是需要进行认证的业务或UE不具有执行认证和密 钥协商流程的能力时，不触发EPSAKA流程，减少了 EPS AKA流程的次数，避免了因触 发没有必要的EPS AKA流程导致的资源耗费，节省了资源。
图6为本发明实施例六认证处理方法的流程图。如图6所示，本实施例具体包 括如下步骤
步骤601、MME接收NAS消息，NAS计数值加1。
步骤602、MME检测NAS计数值是否接近最大值，若是，则执行步骤603 ；否 则执行步骤601。该NAS计数值可以为上行NAS计数值，也可以为下行NAS计数值。
具体地，可以预先设定一接近最大值的数值作为门限值，MME检测NAS计数值 是否等于门限值，若是，则执行步骤603;否则执行步骤601。
步骤603、MME触发EPS AKA流程，同时MME触发NAS SMC，激活AKA流程产生的安全上下文，NAS计数值被初始化为0。
本实施例将EPS AKA流程与NAS SMC的执行绑定在一起，避免了因检测到不 同方向(上行方向和下行方向)NAS计数值即将环绕，重复触发EPSAKA流程，减少了 EPSAKA流程的次数，避免了因触发没有必要的EPSAKA流程导致的资源耗费，节省了资源。
图7为本发明实施例七认证处理方法的流程图。如图7所示，本实施例具体包 括如下步骤
步骤801、MME 发起 EPS AKA 流程；
步骤802、在执行EPS AKA流程失败的情况下，根据本地信息及网络策略决定 释放连接或者继续执行当前业务。
进一步的，上述步骤801中MME发起EPSAKA流程可以在若干种条件下进行， 例如可以当NAS计数值接近最大值时，MME发起EPS AKA流程；也可以由运营商的 策略触发EPS AKA流程，具体地，运营商可以设置一定的本次策略，由MME来触发对 其下UE的EPS AKA，这可以是运营商基于一定的安全策略或者其他需求而制定的策略；还可以当UE进行网络间切换时，触发EPSAKA流程，具体地，当UE从安全级别较低的 网络(如GSM或UMTS网络)切换(包括激活态的切换和空闲态移动)到安全级别较高 的网络(如LTE网络)时，由网络侧触发EPS AKA流程。
本地信息可以包括以下信息的至少之一当前业务类型，服务质量，用户设备 执行认证的能力，网络策略，用户识别模块类型或用户设备是否插入卡的信息。其中， 当前业务类型指明了当前业务的类型信息，MME可以根据当前业务类型确定当前业务是 否为需要进行认证的业务。服务质量能够标识无需进行认证的业务，所以MME也可以 根据服务质量确定当前业务是否为需要进行认证的业务。UE执行认证的能力指明了 UE 是否具有执行EPSAKA的能力的相关信息，MME可以根据UE执行认证的能力确定UE 是否具有执行EPS AKA的能力。MM卡类型也指明了 UE是否具有执行EPS AKA的能 力的相关信息，MME可以根据MM卡类型确定UE是否具有执行EPS AKA的能力。由 于认证需要在UE插入卡的情况下进行，如果UE插入卡后执行EPSAKA流程失败，那么 就应该释放NAS信令连接；如果UE没有插入卡，则根据网络策略确定是否释放连接。 网络策略是网络侧设备设定的策略，其可以支持当前业务是否进行认证。
根据以上本地信息及网络策略的内容，上述步骤802可以具体包括
MME若确定网络策略不支持当前业务不认证，则释放当前业务的连接；
MME若确定网络策略支持当前业务不认证，且MME若根据本地信息中的当前 业务类型或服务质量确定当前业务为不需要进行认证的业务，或者且MME若根据本地信 息中的用户设备执行认证的能力或用户识别模块类型确定用户设备不具有执行认证和密 钥协商流程的能力，或者且用户设备无插入卡，则继续执行当前业务；
MME若确定网络策略支持当前业务不认证，且MME若根据本地信息中的当前 业务类型或服务质量确定当前业务为需要进行认证的业务，或者且MME若根据本地信息 中的用户设备执行认证的能力或用户识别模块类型确定用户设备具有执行认证和密钥协 商流程的能力，或者且用户设备存在插入卡，则释放当前业务的连接。
举例来说，在MME确定网络策略支持当前业务不认证的场景下，MME通过检 测当前业务类型，获知UE请求的业务为EMC业务或公共报警业务，由于EMC业务或公 共报警业务不是需要进行认证的业务，且网络策略支持未认证的EMC或公共报警业务， 则MME和UE继续执行当前业务。
如果当前业务为NAS信令连接中的单一业务，则可以通过释放NAS信令连接来 实现释放当前业务的连接。如果NAS信令连接中承载了多个业务，且根据当前业务类型 确定该多个当前业务均需要进行认证，则释放NAS信令连接。如果当前既包括需要认证 的业务又包括不需要认证的业务(如EMC)，则释放上述需要认证的业务所对应的EPS承 载，而保持不需要认证的业务的EPS承载(如EMC承载)。上述EPS承载是建立在NAS 信令连接基础上的。
本实施例在认证失败，UE请求的业务不是需要进行认证的业务或UE不具有执 行EPS AKA流程的能力或用户设备未插入卡，且网络策略支持当前业务不认证的情况下 仍然能继续执行当前业务，避免了当前业务执行中断的问题，节省了系统的资源。
图8为本发明实施例八认证处理装置的结构示意图。如图8所示，本实施例具 体包括检测模块11和处理模块12。其中，检测模块11用于当非接入层计数值接近最大值时，对本地信息进行检测；处理模块12用于根据检测结果决定是否触发与UE之间的 认证和密钥协商流程。 本实施例提供的认证处理装置可以按照上述实施例一提供的方法来工作。图9为本发明实施例九认证处理装置的结构示意图。如图9所示，本实施例在 上述实施例八的基础上，本地信息为安全上下文，处理模块12具体包括第一激活单元21 和第一触发单元22。其中，第一激活单元21用于当检测模块11确定安全上下文包括非 当前安全上下文，则激活非当前安全上下文；第一触发单元22用于当检测模块11确定安 全上下文不包括非当前安全上下文，则触发认证和密钥协商流程。本实施例处理模块12还可以包括收发单元23，该收发单元23用于向UE发送 NAS SMC,并接收NAS安全模式执行成功的消息，向处理模块12中的第一激活单元21 发送触发其动作的信息。第一激活单元21根据触发信息激活非当前安全上下文。当收 发单元23没有接收到UE返回的NAS安全模式执行成功的消息时，第一触发单元22触 发认证和密钥协商流程。本实施例提供的认证处理装置可以按照上述实施例二提供的方法来工作。图10为本发明实施例十认证处理装置的结构示意图。如图10所示，本实施例 在上述实施例八的基础上，本地信息为定时器状态，处理模块12具体包括第二激活单元 31和第二触发单元32。其中，第二激活单元31用于当检测模块11检测出定时器状态为 运行时，激活非当前安全上下文；第二触发单元32用于当检测模块11检测出定时器状态 为停止时，触发认证和密钥协商流程。进一步的，本实施例处理模块12还可以包括收发单元33，该收发单元33用于 向UE发送NASSMC，并接收NAS安全模式执行成功的消息，向处理模块12中的第二 激活单元31发送触发其动作的信息。第二激活单元31根据触发信息激活非当前安全上 下文。当收发单元33没有接收到UE返回的NAS安全模式执行成功的消息时，第二触 发单元32触发认证和密钥协商流程。本实施例提供的认证处理装置可以按照上述实施例三提供的方法来工作。图11为本发明实施例i^一认证处理装置的结构示意图。如图11所示，本实施 例在上述实施例八的基础上，本地信息为状态器状态，处理模块12具体包括第三激活单 元41和第三触发单元42。其中，第三激活单元41用于当检测模块11检测出状态器状态 为运行时，激活非当前安全上下文；第三触发单元42用于当检测模块11检测出状态器状 态为停止时，触发认证和密钥协商流程。进一步的，本实施例处理模块12还可以包括收发单元43，该收发单元43用于 向UE发送NASSMC，并接收NAS安全模式执行成功的消息，向处理模块12中的第三 激活单元41发送触发其动作的信息。第三激活单元41根据触发信息激活非当前安全上 下文。当收发单元43没有接收到UE返回的NAS安全模式执行成功的消息时，第三触 发单元42触发认证和密钥协商流程。本实施例提供的认证处理装置可以按照上述实施例四提供的方法来工作。图12为本发明实施例十二认证处理装置的结构示意图。如图12所示，本实施例 在上述实施例八的基础上，本地信息为当前的业务类型、或服务质量、或用户设备执行 认证的能力，处理模块12具体包括第四触发单元51和处理单元52。该第四触发单元51用于如果检测模块11确定当前业务类型对应的业务为需要进行认证的业务，或者确定服 务质量对应的业务为需要进行认证的业务，或者确定用户设备执行认证的能力具有执行 认证和密钥协商流程的能力，则触发认证和密钥协商流程。处理单元52用于如果检测模 块11确定当前业务类型对应的业务不是需要进行认证的业务，或者确定服务质量对应的 业务不是需要进行认证的业务，或者确定用户设备执行认证的能力不具有执行认证和密 钥协商流程的能力，则继续使用当前的安全上下文，或者对当前业务不进行安全保护； 或者中断当前业务的连接。
本实施例提供的认证处理装置可以按照上述实施例五提供的方法来工作。
上述装置实施例中不会一旦检测到NAS计数值即将环绕，就立即触发EPS AKA 流程，减少了触发EPSAKA流程的次数，避免了因触发没有必要的EPSAKA流程导致的 资源耗费，节省了资源。
图13为本发明实施例十三认证处理装置的结构示意图。如图13所示，本实施 例具体包括执行模块61和处理模块62。其中，执行模块61用于执行认证和密钥协商流 程；处理模块62用于在执行模块61执行认证和密钥协商流程失败的情况下，根据本地信 息及网络策略决定释放连接或者继续执行当前业务。
进一步的，本实施例还可以包括触发模块63，该触发模块63用于在非接入层计 数值接近最大值、运营商策略或用户设备进行网络间切换的触发条件下，触发执行模块 61执行认证和密钥协商流程。
上述处理模块62可以进一步包括第一判断单元64、第一释放单元65、第二 判断单元66、第二释放单元67和执行单元68。其中，第一判断单元64用于在执行模块 61执行认证和密钥协商流程失败的情况下，判断网络策略是否支持当前业务不认证；第 一释放单元65用于在第一判断单元64判断为否的情况下，释放当前业务的连接；第二判 断单元66用于在第一判断单元64判断为是的情况下，根据本地信息中的当前业务类型或 服务质量判断当前业务是否为需要进行认证的业务，或者，根据本地信息中的用户设备 执行认证的能力或用户识别模块类型判断用户设备是否具有执行认证和密钥协商流程的 能力，或者，判断用户设备是否存在插入卡；第二释放单元67用于在第二判断单元66判 断为是的情况下，释放当前业务的连接；执行单元68用于在第二判断单元66判断为否的 情况下，继续执行当前业务。
本实施例提供的认证处理装置可以按照上述实施例七提供的方法来工作。
本实施例在认证失败，UE请求的业务不是需要进行认证的业务或UE不具有执 行EPS AKA流程的能力或用户设备未插入卡，且网络策略支持当前业务不认证的情况下 仍然能继续执行当前业务，避免了当前业务执行中断的问题，节省了系统的资源。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中， 该程序在执行时，执行包括上述方法实施例的步骤，而前述的存储介质包括ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是以上实施例仅用以说明本发明实施例的技术方案，而非对其 限制；尽管参照前述实施例对本发明实施例进行了详细的说明，本领域的普通技术人员 应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。
权利要求
1.一种认证处理方法，其特征在于包括当非接入层计数值接近最大值时，根据本地信息决定是否触发与用户设备之间的认 证和密钥协商流程。
2.根据权利要求1所述的方法，其特征在于，所述本地信息为安全上下文，所述根据 本地信息决定是否触发与用户设备之间的认证和密钥协商流程包括如果确定所述安全上下文包括非当前安全上下文，则激活所述非当前安全上下文；如果确定所述安全上下文不包括非当前安全上下文，则触发认证和密钥协商流程。
3.根据权利要求2所述的方法，其特征在于，所述非当前安全上下文包括非当前部分 安全上下文或非当前完整安全上下文。
4.根据权利要求1所述的方法，其特征在于，所述本地信息为定时器状态，所述根据 本地信息决定是否触发与用户设备之间的认证和密钥协商流程包括当所述定时器状态为运行时，激活非当前安全上下文；当所述定时器状态为停止时，触发认证和密钥协商流程。
5.根据权利要求1所述的方法，其特征在于，所述本地信息为状态器状态，所述根据 本地信息决定是否触发与用户设备之间的认证和密钥协商流程具体包括当所述状态器状态为运行时，激活所述非当前安全上下文；当所述状态器状态为停止时，触发认证和密钥协商流程。
6.根据权利要求2-5中任一权利要求所述的方法，其特征在于，在所述激活非当前安 全上下文之前还包括向所述用户设备发送非接入层安全模式命令；并接收非接入层安全模式执行成功的消息。
7.根据权利要求1所述的方法，其特征在于，所述本地信息为当前业务类型，或服务 质量，或用户设备执行认证的能力，所述根据本地信息决定是否触发与用户设备之间的 认证和密钥协商流程包括如果确定所述当前业务类型对应的业务为需要进行认证的业务，或者确定所述服务 质量对应的业务为需要进行认证的业务，或者所述用户设备执行认证的能力具有执行认 证和密钥协商流程的能力，则触发认证和密钥协商流程；否则，继续使用当前的安全上下文，或者对当前业务不进行安全保护；或者中断当 前业务的连接。
8.一种认证处理方法，其特征在于包括在执行认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放连接 或者继续执行当前业务。
9.根据权利要求8所述的方法，其特征在于，执行认证和密钥协商流程通过以下条件 触发非接入层计数值接近最大值，或运营商策略，或用户设备进行网络间切换。
10.根据权利要求8所述的方法，其特征在于，所述当前业务包括紧急呼叫业务，和 /或公共报警业务。
11.根据权利要求8所述的方法，其特征在于，所述根据本地信息及网络策略决定释 放连接或者继续执行当前业务具体包括若所述网络策略不支持所述当前业务不认证，则释放所述当前业务的连接；若所述网络策略支持所述当前业务不认证，且根据所述本地信息中的当前业务类型 或服务质量确定当前业务为不需要进行认证的业务，或者且根据所述本地信息中的用户 设备执行认证的能力或用户识别模块类型确定用户设备不具有执行认证和密钥协商流程 的能力，或者且用户设备无插入卡，则继续执行所述当前业务；若所述网络策略支持所述当前业务不认证，且根据所述本地信息中的当前业务类型 或服务质量确定当前业务为需要进行认证的业务，或者且根据所述本地信息中的用户设 备执行认证的能力或用户识别模块类型确定用户设备具有执行认证和密钥协商流程的能 力，或者且用户设备存在插入卡，则释放所述当前业务的连接。
12.根据权利要求11所述的方法，其特征在于，当所述当前业务为非接入层信令连接 中的单一业务时，所述释放当前业务的连接具体为释放非接入层信令连接。
13.一种认证处理装置，其特征在于包括检测模块，用于当非接入层计数值接近最大值时，对本地信息进行检测；处理模块，用于根据检测结果决定是否触发与用户设备之间的认证和密钥协商流程。
14.根据权利要求13所述的装置，其特征在于，所述本地信息为安全上下文，所述处 理模块包括第一激活单元，用于当所述检测模块确定所述安全上下文包括非当前安全上下文， 则激活所述非当前安全上下文；第一触发单元，用于当所述检测模块确定所述安全上下文不包括非当前安全上下 文，则触发认证和密钥协商流程。
15.根据权利要求13所述的装置，其特征在于，所述本地信息为定时器状态，所述处 理模块包括第二激活单元，用于当所述检测模块检测出定时器状态为运行时，激活非当前安全 上下文；第二触发单元，用于当所述检测模块检测出定时器状态为停止时，触发认证和密钥 协商流程。
16.根据权利要求13所述的装置，其特征在于，所述本地信息为状态器状态，所述处 理模块包括第三激活单元，用于当所述检测模块检测出状态器状态为运行时，激活非当前安全 上下文；第三触发单元，用于当所述检测模块检测出状态器状态为停止时，触发认证和密钥 协商流程。
17.根据权利要求14或15或16所述的装置，其特征在于，所述处理模块还包括收 发单元，用于向所述用户设备发送非接入层安全模式信令，并接收非接入层安全模式执 行成功的消息，向所述处理模块发送触发处理模块动作的信息。
18.根据权利要求13所述的装置，其特征在于，所述本地信息为当前业务类型，或服 务质量，或用户设备执行认证的能力，所述处理模块包括第四触发单元，用于如果所述检测模块确定所述当前业务类型对应的业务为需要进 行认证的业务，或者确定所述服务质量对应的业务为需要进行认证的业务，或者确定所述用户设备执行认证的能力具有执行认证和密钥协商流程的能力，则触发认证和密钥协 商流程；处理单元，用于如果所述检测模块确定所述当前业务类型对应的业务不是需要进行 认证的业务，或者确定所述服务质量对应的业务不是需要进行认证的业务，或者确定所 述用户设备执行认证的能力不具有执行认证和密钥协商流程的能力，则继续使用当前的 安全上下文，或者对当前业务不进行安全保护；或者中断当前业务的连接。
19.一种认证处理装置，其特征在于包括执行模块，用于执行认证和密钥协商流程；处理模块，用于在所述执行模块执行所述认证和密钥协商流程失败的情况下，根据 本地信息及网络策略决定释放连接或者继续执行当前业务。
20.根据权利要求19所述的装置，其特征在于还包括触发模块，用于在非接入层 计数值接近最大值、运营商策略或用户设备进行网络间切换的触发条件下，触发所述执 行模块执行所述认证和密钥协商流程。
21.根据权利要求19所述的装置，其特征在于，所述处理模块包括第一判断单元，用于在所述执行模块执行所述认证和密钥协商流程失败的情况下， 判断所述网络策略是否支持当前业务不认证；第一释放单元，用于在所述第一判断单元判断为否的情况下，释放所述当前业务的 连接；第二判断单元，用于在所述第一判断单元判断为是的情况下，根据所述本地信息中 的当前业务类型或服务质量判断当前业务是否为需要进行认证的业务，或者，根据所述 本地信息中的用户设备执行认证的能力或用户识别模块类型判断用户设备是否具有执行 认证和密钥协商流程的能力，或者，判断用户设备是否存在插入卡；第二释放单元，用于在所述第二判断单元判断为是的情况下，释放所述当前业务的 连接；执行单元，用于在所述第二判断单元判断为否的情况下，继续执行所述当前业务。
全文摘要
本发明实施例涉及一种认证处理方法及装置，其中一种方法包括当非接入层计数值接近最大值时，根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。另一种方法包括在执行认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放连接或者继续执行当前业务。本发明实施例中，避免了因触发没有必要的EPS AKA流程导致的资源耗费，节省了资源；或者，如果执行EPS AKA流程认证失败，不会立即释放连接，而是根据本地信息及网络策略释放连接或者继续执行当前业务，避免了释放没有必要进行释放的连接，节省了资源。
文档编号H04L29/06GK102025685SQ200910093828
公开日2011年4月20日 申请日期2009年9月21日 优先权日2009年9月21日
发明者张冬梅, 张爱琴, 毕晓宇 申请人:华为技术有限公司