WO2019033967A1

WO2019033967A1 - 安全接入方法、设备及系统

Info

Publication number: WO2019033967A1
Application number: PCT/CN2018/099337
Authority: WO
Inventors: 李华
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2017-08-16
Filing date: 2018-08-08
Publication date: 2019-02-21
Anticipated expiration: 2020-02-16
Also published as: US11323440B2; CN109413646B; CN109413646A; EP3644636B1; EP3644636A1; EP3644636A4; US20200186526A1

Abstract

本申请提供安全接入方法、设备及系统，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。方法包括：第一认证服务器接收来自非3GPP接入设备的第一消息；确定允许进行快速重鉴权后，与终端进行快速重鉴权；向归属用户服务器发送第二消息，第二消息携带注册类型标识、终端的标识和第一认证服务器的地址，注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入；若归属用户服务器根据终端的标识确定未存储与终端对应的认证服务器的地址，接收来自归属用户服务器的注册成功指示；并根据注册成功指示，向终端发送接入成功指示。

Description

安全接入方法、设备及系统

本申请要求于2017年8月16日提交中国专利局、申请号为201710703914.8、发明名称为“安全接入方法、设备及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及安全接入方法、设备及系统。

背景技术

随着智能终端和无线保真(wireless fidelity，WiFi)技术的发展和普及，以及码分多址(code division multiple access，CDMA)运营商在长期演进(long term evolution，LTE)网络中复用CDMA原有接入网的要求，使用智能终端通过非第三代合作伙伴计划(3rd generation partnership project，3GPP)接入网(如WiFi或者CDMA)接入到3GPP核心网的需求越来越多，并广泛的应用于基于WiFi的语音业务(voice over WiFi，VoWiFi)中。

目前，终端在通过非3GPP接入网接入到3GPP核心网时，一般通过可扩展认证协议(extensible authentication protocol，EAP)鉴权流程来完成非3GPP接入时的安全接入。其中，在终端初始接入网络时，终端使用EAP全鉴权流程进行安全接入，在EAP全鉴权流程中，认证服务器生成终端的快速重鉴权标识，并将该终端的快速重鉴权标识发送给终端。这样，在终端注销前重新接入网络时，终端可以使用简化的EAP快速重鉴权流程进行安全接入。具体的，在EAP快速重鉴权流程中，终端可以直接使用终端的快速重鉴权标识作为终端标识对终端进行安全接入。

然而，在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，如何在下一次安全接入时，仍然可以通过快速重鉴权证流程完成安全接入，目前并没有相关的解决方案。

发明内容

本申请实施例提供安全接入方法、设备及系统，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，提供一种安全接入方法，该方法包括：第一认证服务器接收来自非第三代合作伙伴计划3GPP接入设备的第一消息，该第一消息携带终端的快速重鉴权标识；该第一认证服务器确定允许进行快速重鉴权；该第一认证服务器与该终端进行快速重鉴权；该第一认证服务器向归属用户服务器发送第二消息，该第二消息携带注册类型标识、该终端的标识和该第一认证服务器的地址，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入；若该归属用户服务器根据该终端的标识确定未存储与该终端对应的认证服务器的地址，该第一认证服务器接收来自该归属用户服务器的注册成功指示；该第一认证服务器根据该注册成功指示，向该终端发送接入成功指示。基于该方法，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

在一种可能的设计中，该方法还包括：该第一认证服务器接收来自该非3GPP接入设备的接入网络类型或者接入网络标识；该第一认证服务器确定允许进行快速重鉴权，包括：该第一认证服务器根据该接入网络类型、该接入网络标识、预先配置的归属用户服务器是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，该接入网络是否可信的信息是根据该接入网络类型或者该接入网络标识确定的。基于该方法，第一认证服务器可以确定允许进行快速重鉴权。

在一种可能的设计中，该方法还包括：若该归属用户服务器根据该终端的标识确定存储该第一认证服务器的地址，该第一认证服务器接收来自该归属用户服务器的注册成功指示；该第一认证服务器根据该注册成功指示，向该终端发送接入成功指示。基于该方法，可以在归属用户服务器中存储第一认证服务器的地址的情况下，实现终端的安全接入。

在一种可能的设计中，该方法还包括：若该归属用户服务器根据该终端的标识确定存储第二认证服务器的地址，该第一认证服务器接收来自该归属用户服务器的注册失败指示，其中，该注册失败指示包括该第二认证服务器的地址，该第二认证服务器的地址用于指示该终端重定向到该第二认证服务器；该第一认证服务器根据该注册失败指示，向该终端发送接入失败指示。基于该方法，可以在归属用户服务器中存储第二认证服务器的地址的情况下，实现终端通过第二认证服务器的安全接入。

在一种可能的设计中，该方法还包括：该第一认证服务器确定不允许进行快速重鉴权；该第一认证服务器向该终端请求基于全鉴权流程完成该终端的安全接入。基于该方法，在第一认证服务器确定不允许进行快速重鉴权之后，可以通知终端发起基于全鉴权流程的安全接入。

第二方面，提供一种安全接入方法，该方法包括：归属用户服务器接收来自第一认证服务器的第二消息，该第二消息携带注册类型标识、终端的标识和该第一认证服务器的地址，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入；若该归属用户服务器根据该终端的标识确定未存储与该终端对应的认证服务器的地址，该归属用户服务器根据该注册类型标识，存储该第一认证服务器的地址；该归属用户服务器向该第一认证服务器发送注册成功指示，由该第一认证服务器根据该注册成功指示，向该终端发送接入成功指示。基于该方法，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

在一种可能的设计中，该方法还包括：若该归属用户服务器根据该终端的标识确定存储该第一认证服务器的地址，该归属用户服务器向该第一认证服务器发送注册成功指示，由该第一认证服务器根据该注册成功指示，向该终端发送接入成功指示。基于该方法，可以在归属用户服务器中存储第一认证服务器的地址的情况下，实现终端的安全接入。

在一种可能的设计中，该方法还包括：若该归属用户服务器根据该终端的标识确定存储第二认证服务器的地址，该归属用户服务器向该第一认证服务器发送注册失败指示，由该第一认证服务器根据该注册失败指示，向该终端发送接入失败指示，其中，该注册失败指示包括该第二认证服务器的地址，该第二认证服务器的地址用于指示该终端重定向到该第二认证服务器。基于该方法，可以在归属用户服务器中存储第二认证服务器的地址的情况下，实现终端通过第二认证服务器的安全接入。

第三方面，提供了一种第一认证服务器，该第一认证服务器具有实现上述第一方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供了一种第一认证服务器，包括：处理器和存储器；该存储器用于存储计算机执行指令，该处理器与该存储器连接，当该第一认证服务器运行时，该处理器执行该存储器存储的该计算机执行指令，以使该第一认证服务器执行如上述第一方面中任一所述的安全接入方法。

第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项的安全接入方法。

第六方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任意一项的安全接入方法。

第七方面，提供了一种芯片系统，该芯片系统包括处理器，用于支持第一认证服务器实现上述方面中所涉及的处理功能，例如确定允许进行快速重鉴权。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存第一认证服务器必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第三方面至第七方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果，此处不再赘述。

第八方面，提供了一种归属用户服务器，该归属用户服务器具有实现上述第二方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第九方面，提供了一种选择归属用户服务器，包括：处理器和存储器；该存储器用于存储计算机执行指令，该处理器与该存储器连接，当该归属用户服务器运行时，该处理器执行该存储器存储的该计算机执行指令，以使该归属用户服务器执行如上述第二方面中任一所述的安全接入方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第二方面中任意一项的安全接入方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第二方面中任意一项的安全接入方法。

第十二方面，提供了一种芯片系统，该芯片系统包括处理器，用于支持归属用户服务器实现上述方面中所涉及的处理功能，例如根据终端的标识确定未存储与终端对应的认证服务器的地址。在一种可能的设计中，所述芯片系统还包括存储器，所述存储器，用于保存归属用户服务器必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第八方面至第十二方面中任一种设计方式所带来的技术效果可参见第二方面中不同设计方式所带来的技术效果，此处不再赘述。

第十三方面，提供了一种安全接入系统，该安全接入系统包括上述任一方面所述的第一认证服务器和上述任一方面所述的归属用户服务器。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为本申请实施例提供的安全接入系统的架构示意图；

图2为本申请实施例提供的通信设备的硬件结构示意图；

图3为本申请实施例提供的安全接入方法的流程示意图一；

图4为本申请实施例提供的安全接入方法的流程示意图二；

图5为本申请实施例提供的第一认证服务器的结构示意图；

图6为本申请实施例提供的归属用户服务器的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。

本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，为本申请实施例提供的安全接入系统10的架构示意图。该安全接入系统10包括非3GPP接入设备101、第一认证服务器102和归属用户服务器103。

其中，终端通过非3GPP接入设备101接入3GPP核心网。

非3GPP接入设备101，用于向第一认证服务器102发送第一消息，该第一消息携带终端的快速重鉴权标识。

第一认证服务器102，用于接收来自非3GPP接入设备101的第一消息，并在确定允许进行快速重鉴权之后，与终端进行快速重鉴权。

第一认证服务器102，还用于向归属用户服务器103发送第二消息，该第二消息携带注册类型标识、终端的标识和第一认证服务器的地址，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入。

归属用户服务器103，用于接收来自第一认证服务器102的第二消息。

归属用户服务器103，还用于若根据该终端的标识确定未存储与该终端对应的认证服务器的地址，根据注册类型标识，存储第一认证服务器的地址，以及向第一认证服务器 102发送注册成功指示。

第一认证服务器102，还用于接收来自所述归属用户服务器103的注册成功指示，并根据该注册成功指示，向该终端发送接入成功指示。

可选的，图1中的非3GPP接入设备101、第一认证服务器102和归属用户服务器103之间可能直接通信，也可能通过其他网络设备的转发进行通信，本申请实施例对此不作具体限定。

本申请实施例提供的安全接入系统中，终端在使用快速重鉴权流程进行安全接入时，若归属用户服务器根据该终端的标识确定未存储与该终端对应的认证服务器的地址，归属用户服务器可以根据注册类型标识，向第一认证服务器发送注册成功指示，这样，第一认证服务器可以根据注册成功指示，向该终端发送接入成功指示。其中，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入。因此，基于该方法，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

可选的，图1所示的安全接入系统10可以应用于支持非3GPP接入的第四代(4rd generation，4G)、第五代(5rd generation，5G)网络以及支持非3GPP接入的未来其它的网络，本申请实施例对此不作具体限定。

其中，若图1所示的安全接入系统10可以应用于支持非3GPP接入的4G网络，则上述的第一认证服务器可以为第一3GPP鉴权、授权和计费(authentication，authorization and accounting，AAA)服务器，归属用户服务器可以为归属用户服务器(home subscriber server，HSS)；若图1所示的安全接入系统10可以应用于支持非3GPP接入的5G网络，则上述的第一认证服务器可以为第一鉴权服务功能实体(authentication server function，AUSF)，归属用户服务器可以为统一数据管理(unified data management，UDM)实体；若图1所示的安全接入系统10可以应用于支持非3GPP接入的其他网络，则第一认证服务器和归属用户服务器可以为其他名字，本申请实施例对此不作具体限定。

可选的，本申请实施例中所涉及到的终端(terminal)可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备；还可以包括用户单元(subscriber unit)、蜂窝电话(cellular phone)、智能电话(smart phone)、无线数据卡、个人数字助理(personal digital assistant，PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptop computer)、无绳电话(cordless phone)或者无线本地环路(wireless local loop，WLL)台、机器类型通信(machine type communication,MTC)终端、用户设备(user equipment，UE)，移动台(mobile station，MS)，终端设备(terminal device)等。为方便描述，本申请中，上面提到的设备统称为终端。此外，本申请实施例中所涉及的终端可以是5G终端，也可以是传统终端，比如4G终端，3G终端等，本申请实施例对此不作具体限定。

可选的，本申请实施例中所涉及到的非3GPP接入设备指的是通过非3GPP网络接入3GPP核心网的设备，例如可以是非3GPP接入网关(non-3GPP gateway，N3G-GW)，本申请实施例对此不作具体限定。

可选的，图1中的第一认证服务器或归属用户服务器，可以由一个实体设备实现，也可以由多个实体设备共同实现，还可以是一个实体设备内的一个逻辑功能模块，本申请实施例对此不作具体限定。

例如，图1中的第一认证服务器或归属用户服务器可以通过图2中的通信设备来实现。图2所示为本申请实施例提供的通信设备的硬件结构示意图。通信设备200包括至少一个处理器201，通信总线202，存储器203以及至少一个通信接口204。

处理器201可以是一个通用中央处理器(central processing unit，CPU)，微处理器，特定应用集成电路(application-specific integrated circuit，ASIC)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信总线202可包括一通路，在上述组件之间传送信息。

通信接口204，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local area networks，WLAN)等。

存储器203可以是只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器203用于存储执行本申请方案的应用程序代码，并由处理器201来控制执行。处理器201用于执行存储器203中存储的应用程序代码，从而实现本申请下述实施例提供的安全接入方法。

在具体实现中，作为一种实施例，处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。

在具体实现中，作为一种实施例，通信设备200可以包括多个处理器，例如图2中的处理器201和处理器208。这些处理器中的每一个可以是一个单核(single-CPU)处理器，也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信设备200还可以包括输出设备205和输入设备206。输出设备205和处理器201通信，可以以多种方式来显示信息。例如，输出设备205可以是液晶显示器(liquid crystal display，LCD),发光二级管(light emitting diode，LED)显示设备，阴极射线管(cathode ray tube，CRT)显示设备，或投影仪(projector)等。输入设备206和处理器201通信，可以以多种方式接受用户的输入。例如，输入设备206可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信设备200可以是一个通用通信设备或者是一个专用通信设备。在具体实现中，通信设备200可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant，PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图2中类似结构的设备。本申请实施例不限定通信设备200的类型。

下面将结合图1和图2对本申请实施例提供的安全接入方法进行具体阐述。

以图1所示的安全接入系统10应用于支持非3GPP接入的4G网络，第一认证服务器为第一3GPP AAA服务器，归属用户服务器为HSS为例，图3为本申请实施例提供的一种安全接入方法。该安全接入方法在第一3GPP AAA服务器和终端进行快速重鉴权之后，向HSS发送注册类型标识，该注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入。这样，在归属用户服务器根据终端的标识确定未存储与该终端对应的3GPP AAA服务器的地址之后，可以根据该注册类型标识，向第一3GPP AAA服务器发送注册成功指示，由第一3GPP AAA服务器根据该注册成功指示，向该终端发送接入成功指示，从而通过快速重鉴权流程完成安全接入。具体的，该方法包括如下步骤：

S301、终端和非3GPP接入设备建立连接。

其中，终端和非3GPP接入设备连接建立的过程可参考现有的实现方式，在此不再赘述。

S302、非3GPP接入设备向终端发送EAP请求消息1。相应的，终端接收来自非3GPP接收设备的EAP请求消息1。

其中，该EAP请求消息1用于请求终端的标识。

可选的，该EAP请求消息1例如可以是EAP-Request/标识(identity，ID)消息。

S303、终端向非3GPP接入设备发送EAP响应消息1。相应的，非3GPP接入设备接收来自终端的EAP响应消息1。该EAP响应消息1携带终端的快速重鉴权标识。

其中，本申请实施例中终端的快速重鉴权标识为终端上次进行全鉴权时，由3GPP AAA服务器生成并发送给该终端的，具体可参考现有的全鉴权流程，在此不再赘述。

可选的，该EAP响应消息1例如可以是EAP-Response/identity消息。

S304、非3GPP接入设备向第一3GPP AAA服务器发送Diameter EAP请求(Diameter EAP Request，DER)消息1。相应的，3GPP AAA服务器接收来自非3GPP接入设备的DER消息1。该DER消息1中包括EAP响应消息1。

可选的，本申请实施例中，该DER消息1中还可以包括接入网络类型或接入网络标识等，本申请实施例对此不作具体限定。其中，该接入网络类型例如可以是WiFi或者CDMA等，本申请实施例对此不作具体限定。

S305、第一3GPP AAA服务器确定允许进行快速重鉴权。

可选的，第一3GPP AAA服务器可以根据DER消息1中的接入网络类型、DER消息1中的接入网络标识、预先配置的HSS是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，接入网络是否可信的信息是根据DER消息1中的接入网络类型或者DER消息1中的接入网络标识确定的。

示例性的，假设配置的HSS是否支持快速重鉴权的能力为HSS支持快速重鉴权的注册，则第一3GPP AAA服务器可以根据配置的HSS是否支持快速重鉴权的能力确定允许进行快速重鉴权；或者，假设根据DER消息1中的接入网络类型或者DER消息1中的接入网络标识确定的接入网络可信，则第一3GPP AAA服务器可以根据接入网络是否可信的信息确定允许进行快速重鉴权。

S306、第一3GPP AAA服务器和终端通过EAP消息协商使用的EAP鉴权算法。

可选的，该EAP鉴权算法例如可以是基于认证和密钥协商的EAP(EAP authentication and key agreement，EAP-AKA)鉴权算法或者增强的EAP-AKA(improved EAP-AKA，EAP-AKA')鉴权算法等，本申请对此不作具体限定。

其中，第一3GPP AAA服务器和终端协商EAP鉴权算法的相关实现可参考现有的实现方式，在此不再赘述。

S307、第一3GPP AAA服务器和终端通过EAP鉴权算法进行快速重鉴权。

其中，第一3GPP AAA服务器和终端通过EAP鉴权算法进行快速重鉴权的相关实现可参考现有的实现方式，在此不再赘述。

S308、第一3GPP AAA服务器向HSS发送注册请求消息。相应的，该HSS接收来自第一3GPP AAA服务器的注册请求消息。

其中，该注册请求消息携带注册类型标识、终端的标识和第一3GPP AAA服务器的地址。该注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入。

可选的，该注册请求消息还可以携带接入网络标识或者接入网络类型等，本申请实施例对此不作具体限定。

可选的，终端的标识例如可以是国际移动用户标识(international mobile subscriber identity，IMSI)或者其他，本申请实施例对此不作具体限定。

S309、HSS根据终端的标识确定是否存储与终端对应的3GPP AAA服务器的地址。

可选的，HSS可以查询数据库来确定是否存储与终端对应的3GPP AAA服务器的地址。

其中，若HSS确定未存储与终端对应的3GPP AAA服务器的地址，执行步骤S310-S313；

若HSS确定存储第一3GPP AAA服务器的地址，执行步骤S310-S312；

若HSS确定存储第二3GPP AAA服务器的地址，执行步骤S314-S316。

S310、HSS向第一3GPP AAA服务器发送注册成功指示。相应的，该第一3GPP AAA服务器接收来自HSS的注册成功指示。

S311、第一3GPP AAA服务器根据注册成功指示，向非3GPP接入设备发送DER消息2。相应的，非3GPP接入设备接收来自第一3GPP AAA服务器的DER消息2。其中，该DER消息2中包括接入成功指示。

可选的，该DER消息2中还可以包括服务质量(quality of service，QoS)、接入点名称(access point name，APN)等信息，本申请实施例对此不作具体限定。

S312、非3GPP接入设备向终端发送接入成功指示。相应的，终端接收来自非3GPP接入设备的接入成功指示。

S313、第一3GPP AAA服务器存储第一3GPP AAA服务器的地址。

在第一3GPP AAA服务器存储第一3GPP AAA服务器的地址之后，后续终端发起安全接入时，可以基于该第一3GPP AAA服务器，向第一3GPP AAA服务器发送注册成功指示，本申请实施例对此不作具体限定。

S314、HSS向第一3GPP AAA服务器发送注册失败指示。相应的，该第一3GPP AAA 服务器接收来自HSS的注册失败指示。该注册失败指示包括第二3GPP AAA服务器的地址，用于指示终端重定向到第二3GPP AAA服务器。

S315、第一3GPP AAA服务器根据注册失败指示，向非3GPP接入设备发送DER消息3。相应的，非3GPP接入设备接收来自第一3GPP AAA服务器的DER消息3。其中，该DER消息2中包括接入失败指示，该接入失败指示包括第二3GPP AAA服务器的地址，用于指示终端重定向到第二3GPP AAA服务器。

S316、非3GPP接入设备向终端发送接入失败指示。相应的，终端接收来自非3GPP接入设备的接入失败指示。

可选的，终端在接收到接入失败指示之后，可以根据第二3GPP AAA服务器的地址，重定向到第二3GPP AAA服务器，具体可参考现有的重定向流程，在此不再赘述。

本申请实施例提供的安全接入方法中，终端在使用快速重鉴权流程进行安全接入时，若HSS根据该终端的标识确定未存储与该终端对应的3GPP AAA服务器的地址，HSS可以根据注册类型标识，向第一3GPP AAA服务器发送注册成功指示，这样，第一3GPP AAA服务器可以根据注册成功指示，向该终端发送接入成功指示。其中，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入。因此，基于该方法，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

其中，上述步骤S301至S316中第一3GPP AAA服务器或者HSS的动作可以由图2所示的通信设备200中的处理器201调用存储器203中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

可选的，以图1所示的安全接入系统10应用于支持非3GPP接入的4G网络，第一认证服务器为第一3GPP AAA服务器，归属用户服务器为HSS为例，图4为本申请实施例提供的另一种安全接入方法。该安全接入方法在第一3GPP AAA服务器确定不允许进行快速重鉴权之后，通知终端发起基于全鉴权流程的安全接入。具体的，该方法包括如下步骤：

S401-S404、同S301-S304，具体可参考图3所示的实施例，在此不再赘述。

S405、第一3GPP AAA服务器确定不允许进行快速重鉴权。

可选的，第一3GPP AAA服务器可以根据DER消息1中的接入网络类型、DER消息1中的接入网络标识、预先配置的HSS是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定不允许进行快速重鉴权，其中，接入网络是否可信的信息是根据DER消息1中的接入网络类型或者DER消息1中的接入网络标识确定的。

示例性的，假设配置的HSS是否支持快速重鉴权的能力为HSS不支持快速重鉴权的注册，则第一3GPP AAA服务器可以根据配置的HSS是否支持快速重鉴权的能力确定不允许进行快速重鉴权；或者，假设根据DER消息1中的接入网络类型或者DER消息1中的接入网络标识确定的接入网络不可信，则第一3GPP AAA服务器可以根据接入网络是否可信的信息确定不允许进行快速重鉴权。

S406、第一3GPP AAA服务器向非3GPP接入设备发送DER消息2。相应的，非3GPP接入设备接收来自第一3GPP AAA服务器的DER消息2。该DER消息2中包括EAP请求消息2。该EAP请求消息2用于请求基于全鉴权流程完成终端的安全接入。

S407、非3GPP接入设备向终端发送EAP请求消息2。相应的，终端接收来自非3GPP接入设备的EAP请求消息2。

S408、终端根据EAP请求消息2，发起基于全鉴权流程的安全接入。

本申请实施例提供的安全接入方法中，第一3GPP AAA服务器在确定不允许进行快速重鉴权之后，可以通知终端发起基于全鉴权流程的安全接入。

其中，上述步骤S401至S408中第一3GPP AAA服务器或者HSS的动作可以由图2所示的通信设备200中的处理器201调用存储器203中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

上述主要从各个网元之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述第一认证服务器或者归属用户服务器为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本申请实施例可以根据上述方法示例对第一认证服务器或者归属用户服务器进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

比如，在采用集成的方式划分各个功能模块的情况下，图5示出了上述实施例中所涉及的第一认证服务器50的一种可能的结构示意图。第一认证服务器50包括：接收模块501、处理模块502和发送模块503。接收模块501，用于接收来自非3GPP接入设备的第一消息，该第一消息携带终端的快速重鉴权标识。处理模块502，用于确定允许进行快速重鉴权。处理模块502，还用于第一认证服务器与终端进行快速重鉴。发送模块503，用于向归属用户服务器发送第二消息，该第二消息携带注册类型标识、终端的标识和第一认证服务器的地址，该注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入。接收模块501，还用于若归属用户服务器根据终端的标识确定未存储与终端对应的认证服务器的地址，接收来自归属用户服务器的注册成功指示。发送模块503，还用于根据注册成功指示，向终端发送接入成功指示。

可选的，接收模块501，还用于接收来自非3GPP接入设备的接入网络类型或者接入网络标识。处理模块502具体用于：根据接入网络类型、接入网络标识、预先配置的归属用户服务器是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，接入网络是否可信的信息是根据接入网络类型或者接入网络标识确定的。

可选的，接收模块501，还用于若归属用户服务器根据终端的标识确定存储第一认证服务器的地址，接收来自归属用户服务器的注册成功指示。发送模块503，还用于根据注册成功指示，向终端发送接入成功指示。

可选的，接收模块501，还用于若归属用户服务器根据终端的标识确定存储第二认证服务器的地址，接收来自归属用户服务器的注册失败指示，其中，注册失败指示包括第二认证服务器的地址，第二认证服务器的地址用于指示终端重定向到第二认证服务器。发送模块503，还用于根据注册失败指示，向终端发送接入失败指示。

可选的，该方法还包括：处理模块502，还用于确定不允许进行快速重鉴权。发送模块503，还用于向终端请求基于全鉴权流程完成终端的安全接入。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。

在本实施例中，该第一认证服务器50以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到第一认证服务器50可以采用图2所示的形式。比如，图5中的接收模块501、处理模块502和发送模块503可以通过图2的处理器201和存储器203来实现。具体的，接收模块501、处理模块502和发送模块503可以通过由处理器201来调用存储器203中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

由于本申请实施例提供的第一认证服务器可用于执行上述安全接入方法，因此其所能获得的技术效果可参考上述方法实施例，本申请实施例在此不再赘述。

比如，在采用集成的方式划分各个功能模块的情况下，图6示出了上述实施例中所涉及的归属用户服务器60的一种可能的结构示意图。该归属用户服务器60包括：接收模块601、处理模块602、存储模块603和发送模块604。接收模块601，用于接收来自第一认证服务器的第二消息，该第二消息携带注册类型标识、终端的标识和第一认证服务器的地址，该注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入。处理模块602，用于根据终端的标识确定未存储与终端对应的认证服务器的地址。存储模块604，用于根据注册类型标识，存储第一认证服务器的地址。发送模块603，用于向第一认证服务器发送注册成功指示，由第一认证服务器根据注册成功指示，向终端发送接入成功指示。

可选的，处理模块602，还用于根据终端的标识确定存储第一认证服务器的地。发送模块603，还用于向第一认证服务器发送注册成功指示，由第一认证服务器根据注册成功指示，向终端发送接入成功指示。

可选的，处理模块602，还用于根据终端的标识确定存储第二认证服务器的地址。发送模块603，还用于向第一认证服务器发送注册失败指示，由第一认证服务器根据注册失败指示，向终端发送接入失败指示，其中，该注册失败指示包括第二认证服务器的地址，第二认证服务器的地址用于指示终端重定向到第二认证服务器。

在本实施例中，该归属用户服务器60以采用集成的方式划分各个功能模块的形式来呈现。这里的“模块”可以指特定应用集成电路(Application-Specific Integrated Circuit，ASIC)，电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。在一个简单的实施例中，本领域的技术人员可以想到归属用户服务器60可以采用图2所示的形式。比如，图6中的接收模块601、处理模块602、存储模块603和发送模块604可以通过图2的处理器201和存储器203来实现。具体的，接收模块601、处理模块602、存储模块603和发送模块604可以通过由处理器201来调用存储器203中存储的应用程序代码来执行，本申请实施例对此不作任何限制。

由于本申请实施例提供的归属用户服务器可用于执行上述安全接入方法，因此其所能获得的技术效果可参考上述方法实施例，本申请实施例在此不再赘述。

上述实施例中，第一认证服务器和归属用户服务器以采用集成的方式划分各个功能模块的形式来呈现。当然，本申请实施例也可以对应各个功能划分第一认证服务器或归属用户服务器的各个功能模块，本申请实施例对此不作具体限定。

可选的，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，用于支持第一认证服务器实现上述的安全接入方法，例如确定允许进行快速重鉴权。在一种可能的设计中，该芯片系统还包括存储器。该存储器，用于保存第一认证服务器必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

可选的，本申请实施例提供了一种芯片系统，该芯片系统包括处理器，用于支持归属用户服务器实现上述的安全接入方法，例如根据终端的标识确定未存储与终端对应的认证服务器的地址。在一种可能的设计中，该芯片系统还包括存储器。该存储器，用于保存归属用户服务器必要的程序指令和数据。该芯片系统，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line，DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，DVD)、或者半导体介质(例如固态硬盘(Solid State Disk，SSD))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种安全接入方法，其特征在于，所述方法包括：

第一认证服务器接收来自非第三代合作伙伴计划3GPP接入设备的第一消息，所述第一消息携带终端的快速重鉴权标识；

所述第一认证服务器确定允许进行快速重鉴权；

所述第一认证服务器与所述终端进行快速重鉴权；

所述第一认证服务器向归属用户服务器发送第二消息，所述第二消息携带注册类型标识、所述终端的标识和所述第一认证服务器的地址，所述注册类型标识用于指示本次所述终端的安全接入为使用快速重鉴权流程的安全接入；

若所述归属用户服务器根据所述终端的标识确定未存储与所述终端对应的认证服务器的地址，所述第一认证服务器接收来自所述归属用户服务器的注册成功指示；

所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一认证服务器接收来自所述非3GPP接入设备的接入网络类型或者接入网络标识；

所述第一认证服务器确定允许进行快速重鉴权，包括：

所述第一认证服务器根据所述接入网络类型、所述接入网络标识、预先配置的归属用户服务器是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，所述接入网络是否可信的信息是根据所述接入网络类型或者所述接入网络标识确定的。
根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

若所述归属用户服务器根据所述终端的标识确定存储所述第一认证服务器的地址，所述第一认证服务器接收来自所述归属用户服务器的注册成功指示；

所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

若所述归属用户服务器根据所述终端的标识确定存储第二认证服务器的地址，所述第一认证服务器接收来自所述归属用户服务器的注册失败指示，其中，所述注册失败指示包括所述第二认证服务器的地址，所述第二认证服务器的地址用于指示所述终端重定向到所述第二认证服务器；

所述第一认证服务器根据所述注册失败指示，向所述终端发送接入失败指示。
根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

所述第一认证服务器确定不允许进行快速重鉴权；

所述第一认证服务器向所述终端请求基于全鉴权流程完成所述终端的安全接入。
一种安全接入方法，其特征在于，所述方法包括：

归属用户服务器接收来自第一认证服务器的第二消息，所述第二消息携带注册类型标识、终端的标识和所述第一认证服务器的地址，所述注册类型标识用于指示本次所述终端的安全接入为使用快速重鉴权流程的安全接入；

若所述归属用户服务器根据所述终端的标识确定未存储与所述终端对应的认证服务器的地址，所述归属用户服务器根据所述注册类型标识，存储所述第一认证服务器的地址；

所述归属用户服务器向所述第一认证服务器发送注册成功指示，由所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

若所述归属用户服务器根据所述终端的标识确定存储所述第一认证服务器的地址，所述归属用户服务器向所述第一认证服务器发送注册成功指示，由所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求6或7所述的方法，其特征在于，所述方法还包括：

若所述归属用户服务器根据所述终端的标识确定存储第二认证服务器的地址，所述归属用户服务器向所述第一认证服务器发送注册失败指示，由所述第一认证服务器根据所述注册失败指示，向所述终端发送接入失败指示，其中，所述注册失败指示包括所述第二认证服务器的地址，所述第二认证服务器的地址用于指示所述终端重定向到所述第二认证服务器。
一种第一认证服务器，其特征在于，所述第一认证服务器包括：接收模块、处理模块和发送模块；

所述接收模块，用于接收来自非第三代合作伙伴计划3GPP接入设备的第一消息，所述第一消息携带终端的快速重鉴权标识；

所述处理模块，用于确定允许进行快速重鉴权；

所述处理模块，还用于所述第一认证服务器与所述终端进行快速重鉴权；

所述发送模块，用于向归属用户服务器发送第二消息，所述第二消息携带注册类型标识、所述终端的标识和所述第一认证服务器的地址，所述注册类型标识用于指示本次所述终端的安全接入为使用快速重鉴权流程的安全接入；

所述接收模块，还用于若所述归属用户服务器根据所述终端的标识确定未存储与所述终端对应的认证服务器的地址，接收来自所述归属用户服务器的注册成功指示；

所述发送模块，还用于根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求9所述的第一认证服务器，其特征在于，

所述接收模块，还用于接收来自所述非3GPP接入设备的接入网络类型或者接入网络标识；

所述处理模块具体用于：

根据所述接入网络类型、所述接入网络标识、预先配置的归属用户服务器是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，所述接入网络是否可信的信息是根据所述接入网络类型或者所述接入网络标识确定的。
根据权利要求9或10所述的第一认证服务器，其特征在于，

所述接收模块，还用于若所述归属用户服务器根据所述终端的标识确定存储所述第一认证服务器的地址，接收来自所述归属用户服务器的注册成功指示；

所述发送模块，还用于根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求9-11任一项所述的第一认证服务器，其特征在于，

所述接收模块，还用于若所述归属用户服务器根据所述终端的标识确定存储第二认证服务器的地址，接收来自所述归属用户服务器的注册失败指示，其中，所述注册失败指示包括所述第二认证服务器的地址，所述第二认证服务器的地址用于指示所述终端重定向到所述第二认证服务器；

所述发送模块，还用于根据所述注册失败指示，向所述终端发送接入失败指示。
根据权利要求9-12任一项所述的第一认证服务器，其特征在于，所述方法还包括：

所述处理模块，还用于确定不允许进行快速重鉴权；

所述发送模块，还用于向所述终端请求基于全鉴权流程完成所述终端的安全接入。
一种归属用户服务器，其特征在于，所述归属用户服务器包括：接收模块、处理模块、存储模块和发送模块；

所述接收模块，用于接收来自第一认证服务器的第二消息，所述第二消息携带注册类型标识、终端的标识和所述第一认证服务器的地址，所述注册类型标识用于指示本次所述终端的安全接入为使用快速重鉴权流程的安全接入；

所述处理模块，用于根据所述终端的标识确定未存储与所述终端对应的认证服务器的地址；

所述存储模块，用于根据所述注册类型标识，存储所述第一认证服务器的地址；

所述发送模块，用于向所述第一认证服务器发送注册成功指示，由所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求14所述的归属用户服务器，其特征在于，

所述处理模块，还用于根据所述终端的标识确定存储所述第一认证服务器的地址；

所述发送模块，还用于向所述第一认证服务器发送注册成功指示，由所述第一认证服务器根据所述注册成功指示，向所述终端发送接入成功指示。
根据权利要求14或15所述的归属用户服务器，其特征在于，

所述处理模块，还用于根据所述终端的标识确定存储第二认证服务器的地址；

所述发送模块，还用于向所述第一认证服务器发送注册失败指示，由所述第一认证服务器根据所述注册失败指示，向所述终端发送接入失败指示，其中，所述注册失败指示包括所述第二认证服务器的地址，所述第二认证服务器的地址用于指示所述终端重定向到所述第二认证服务器。
一种安全接入系统，其特征在于，所述安全接入系统包括如权利要求9-13任一项所述的第一认证服务器和如权利要求14-16任一项所述的归属用户服务器。
一种第一认证服务器，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述第一认证服务器运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述第一认证服务器执行如权利要求1-5任一项所述的安全接入方法。
一种归属用户服务器，包括：处理器和存储器；所述存储器用于存储计算机执行指令，当所述归属用户服务器运行时，所述处理器执行所述存储器存储的该计算机执行指令，以使所述归属用户服务器执行如权利要求6-8任一项所述的安全接入方法。
一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行如权利要求1-5任一项所述的安全接入方法。
一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行如权利要求6-8任一项所述的安全接入方法。