[发明专利]认证处理方法及装置

说明书

技术领域

本发明实施例涉及通信领域，尤其涉及一种认证处理方法及装置。

背景技术

非接入层(Non-Access Stratum，简称：NAS)计数(COUNT)是长期演进(Long Term Evolution，简称：LTE)系统中安全上下文的一部分。在LTE系统中，NAS计数可作为密钥的生命周期，使密钥具有新鲜性；同时，NAS计数可以保证用户设备(User Equipment，简称：UE)与网络侧密钥的同步，具有抗重放攻击的作用。每一套演进分组系统(Evolved Packet System，简称：EPS)安全上下文包含两个独立的NAS计数值：上行NAS计数值和下行NAS计数值。这两个NAS计数的计数器分别由UE和移动管理实体(Mobility Management Entity，简称：MME)来独立维护。

NAS计数有32位，主要由两个部分组成：NAS序列号(SQN)与NAS溢出值(OVERFLOW)，其中NAS序列号为8位，NAS溢出值为16位。NAS序列号承载于每条NAS消息中，当每一个新的或是重传的受到安全保护的NAS消息发出后，发送端将会将NAS序列号的值增加1；当NAS序列号增加到最大值，循环一圈时，NAS溢出值增加1。

现有技术中，当MME检测到下行的NAS计数值即将环绕的时候，也就是NAS计数值比较接近最大值2²⁴时，MME将会触发一个新的EPS认证和密钥协商(Authentication and Key Agreement，简称：AKA)流程，建立新的安全上下文，并且当安全上下文被激活时将NAS计数值初始化为0。当MME检测到UE的上行NAS计数值也接近到最大值时，也就是即将环绕时，MME会触发EPS AKA流程。

现有技术一旦MME检测到NAS计数值即将环绕，就立即触发EPS AKA流程；如果执行EPS AKA流程认证失败，就立即释放连接。这种安全处理过程浪费了资源。

发明内容

本发明实施例提供了一种认证处理方法及装置，用以节省资源。

本发明实施例提供了一种认证处理方法，包括：

当非接入层计数值接近最大值时，根据本地信息决定是否触发与用户设备之间的认证和密钥协商流程。

本发明实施例提供了另一种认证处理方法，包括：

在执行认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放连接或者继续执行当前业务。

本发明实施例提供了一种认证处理装置，包括：

检测模块，用于当非接入层计数值接近最大值时，对本地信息进行检测；

处理模块，用于根据检测结果决定是否触发与用户设备之间的认证和密钥协商流程。

本发明实施例提供了另一种认证处理装置，包括：

执行模块，用于执行认证和密钥协商流程；

处理模块，用于在所述执行模块执行所述认证和密钥协商流程失败的情况下，根据本地信息及网络策略决定释放连接或者继续执行当前业务。

本发明实施例中，当非接入层计数值接近最大值时，不会立即触发EPSAKA流程，而是根据本地信息来决定是否触发与UE之间的EPS AKA流程，避免了因触发没有必要的EPS AKA流程导致的资源耗费，节省了资源；或者，如果执行EPS AKA流程认证失败，不会立即释放连接，而是根据本地信息及网络策略释放连接或者继续执行当前业务，避免了释放没有必要进行释放的连接，节省了资源。

附图说明

图1为本发明实施例一认证处理方法的流程图；

图2为本发明实施例二认证处理方法的流程图；

图3为本发明实施例三认证处理方法的流程图；

图4为本发明实施例四认证处理方法的流程图；

图5为本发明实施例五认证处理方法的流程图；

图6为本发明实施例六认证处理方法的流程图；

图7为本发明实施例七认证处理方法的流程图；

图8为本发明实施例八认证处理装置的结构示意图；

图9为本发明实施例九认证处理装置的结构示意图；

图10为本发明实施例十认证处理装置的结构示意图；

图11为本发明实施例十一认证处理装置的结构示意图；

图12为本发明实施例十二认证处理装置的结构示意图；

图13为本发明实施例十三认证处理装置的结构示意图。

具体实施方式

下面通过附图和实施例，对本发明实施例的技术方案做进一步的详细描述。

图1为本发明实施例一认证处理方法的流程图。如图1所示，本实施例具体包括如下步骤：