一种鉴权方法、基站、用户设备和核心网网元技术

本发明专利技术涉及一种鉴权方法、基站、用户设备和核心网网元。该鉴权方法包括：基站接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果；向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；接收所述核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；比较所述第一鉴权结果与第二鉴权结果，若相同，则向核心网网元发送上行数据。通过基站对用户设备进行安全验证，避免了不合法UE的数据到达核心网网元，提高了安全性，同时相对现有技术节省了传输资源。

【技术实现步骤摘要】
一种鉴权方法、基站、用户设备和核心网网元
本专利技术涉及通信领域，尤其涉及一种鉴权方法、基站、用户设备和核心网网元。
技术介绍
当处于空闲态的用户设备(UserEquipment，UE)需要传输上行数据时，UE首先需要通过随机接入与基站建立无线资源控制(RadioResourceControl，RRC)连接，进入RRC连接状态获取上行授权(UplinkGrant)后才可以进行后续的上行数据传输，然而。UE状态转换涉及的RRC连接建立过程会带来很大的延迟，为满足5G通信网络中业务的时延要求，现有技术中对某些场景的应用采用无连接传输，即处于空闲态的UE需要上行数据传输时，不进行随机接入转入连接态，直接根据基站广播消息中的配置信息，在公共资源上基于竞争(contentionbased，CB)直接发送上行数据。但现有技术的无线传输中，基站接收到上行数据时，只是根据上行数据的数据包中携带的用户设备标识转发上行数据包，并没有对传输上行数据包的UE进行鉴权，这样会使未经鉴权的UE数据发送到核心网，引起安全性问题，另外，如果核心网接收到数据后确定发送该数据的UE不合法，需要将接收到的数据丢弃，造成传输资源的浪费。
技术实现思路
本专利技术提供一种鉴权方法、基站、用户设备和核心网网元，通过基站对UE进行鉴权，提高了传输数据的安全性，同时节省了传输资源。第一方面，本专利技术实施例提供一种鉴权方法，该方法包括：基站接收用户设备发送的第一消息，第一消息包括上行数据，用户设备标识(如用户面网关无连接传输服务标识(UPGWConnectionlessService，UCLSI)或者国际移动用户识别码(InternationalMobileSubscriberIdentificationNumber，IMSI)或者临时移动用户识别码(TemporaryMobileSubscriberIdentificationNumber，TMSI)或者全球唯一临时用户设备标识(GloballyUniqueTemporaryUEIdentity，GUTI)等)和第一鉴权结果；基站向核心网网元发送鉴权请求消息，鉴权请求消息包括用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；基站接收核心网网元发送的鉴权响应消息，鉴权响应消息包括第二鉴权结果，第二鉴权结果为核心网网元根据鉴权请求消息计算的鉴权结果；基站比较第一鉴权结果与第二鉴权结果，若相同，则向核心网网元发送上行数据。通过基站对用户设备进行安全验证，利用UE群组标识或者UE所属小区的小区标识或者用户设备标识进行鉴权，避免了不合法UE的数据到达核心网网元，或者说避免不合法UE的数据到达核心网，提高了安全性，同时相对现有技术中核心网网元对用户设备进行安全验证，若验证接收到的数据对应的用户设备为非合法用户设备，则丢弃其数据，节省了传输资源。结合第一方面，在第一方面的第一种可能实现的方式中，第一鉴权结果为用户设备根据鉴权码和小区标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和群组标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据鉴权码和用户设备标识计算得到的鉴权结果；或者第一鉴权结果为用户设备根据用户设备密钥和用户设备标识计算得到的鉴权结果。基站可以通过用户设备根据不同的方式计算的第一鉴权结果进行UE的安全验证。结合第一方面或者第一方面的第一种可能实现的方式，在第一方面的第二种可能实现的方式中，该方法还包括：基站根据网络负载或者业务类型或者业务数据量确定是否向核心网网元发送上行数据。在基站对用户设备进行安全验证的基础上，增加了对无连接传输的接入控制，避免了无连接传输的UE过多印发冲突概率上升造成的UE传输业务的影响。结合第一方面的第二种可能实现的方式，在第一方面的第三种可能实现的方式中，该方法还包括：若基站确定不向核心网发送上行数据，则向用户设备发送拒绝无连接传输请求的信息，以通知用户设备拒绝无连接传输请求。第二方面，本专利技术实施例提供了一种鉴权方法，该方法包括：用户设备向核心网网元发送第一请求消息，第一请求消息用于请求无连接传输服务。在本专利技术实施例中，第一请求消息可以为用户设备向核心网网元发送的附着(attach)请求消息，该请求消息中可以包括无连接传输请求信息。用户设备接收核心网网元发送的响应消息，响应消息包括核心网为用户设备分配的用户设备标识，或者用户设备标识和核心网为用户设备分配的鉴权码；用户设备根据响应消息确定第一鉴权结果；用户设备向基站发送第一消息，第一消息包括上行数据，用户设备标识和第一鉴权结果。以便于基站根据第一鉴权结果对该用户设备进行安全验证，提高安全性，并避免不合法UE的数据到达核心网。结合第二方面，在第二方面的第一种可能实现的方式中，用户设备根据响应消息确定第一鉴权结果，包括：用户设备根据鉴权码和用户设备所属小区的小区标识确定第一鉴权结果；或者用户设备根据鉴权码和用户设备所属群组的群组标识确定第一鉴权结果。或者用户设备根据鉴权码和用户设备标识确定第一鉴权结果。以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。结合第二方面，在第二方面的第二种可能实现的方式中，用户设备根据响应消息确定第一鉴权结果，包括：用户设备根据用户设备标识和第一密钥确定第一鉴权结果，第一密钥为用户设备自身的密钥。结合第二方面至第二方面的第二种可能实现的方式，在第二方面的第三种可能实现的方式中，第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个，便于核心网网元根据用户设备的业务数据量或用户设备的业务类型对无连接传输请求的接入控制，以降低无连接传输的UE过多引发冲突概率上升，对时延敏感的UE传输的业务造成影响。第三方面，本专利技术实施例提供一种鉴权方法，该方法包括：核心网网元接收基站发送的鉴权请求消息，鉴权请求消息包括核心网为用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；核心网网元根据鉴权请求消息确定第一鉴权结果；核心网网元向基站发送第一鉴权结果。通过本专利技术实施例提供的鉴权方法，以实现基站对用户设备群组级别或者用户设备小区级别的鉴权，避免了不合法UE数据到达核心网，提高安全性，同时节省传输资源。结合第三方面，在第三方面的第一种可能实现的方式中，在核心网网元接收基站发送的鉴权请求消息之前，该方法还包括：核心网网元接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；核心网网元根据第一请求消息确定用户设备标识；核心网网元向用户设备发送第一响应消息，第一响应消息包括用户设备标识。核心网网元与用户设备建立无连接传输请求，并为请求无连接传输服务的用户设备分配用户设备标识，以便于用户设备根据分配的用户设备标识计算鉴权结果，用于基站对用户设备进行安全验证。结合第三方面，在第三方面的第二种可能实现的方式中，在核心网网元接收基站发送的鉴权请求消息之前，该方法还包括：核心网网元接收用户设备发送的第一请求消息，第一请求消息用于请求无连接传输服务；核心网网元根据第一请求消息确定用户设备标识和鉴权码；核心网网元向用户设备发送第二响应消息，第二响应消息包括用户设备标识和鉴权码。以便于本文档来自技高网...

【技术保护点】
一种鉴权方法，其特征在于，所述方法包括：基站接收用户设备发送的第一消息，所述第一消息包括上行数据，用户设备标识和第一鉴权结果；所述基站向核心网网元发送鉴权请求消息，所述鉴权请求消息包括所述用户设备标识或所述用户设备所属群组的群组标识或所述用户设备所属小区的小区标识；所述基站接收所述核心网网元发送的鉴权响应消息，所述鉴权响应消息包括第二鉴权结果，所述第二鉴权结果为所述核心网网元根据所述鉴权请求消息计算的鉴权结果；所述基站比较所述第一鉴权结果与所述第二鉴权结果，若相同，则向所述核心网网元发送所述上行数据。

【技术特征摘要】
1.一种鉴权方法，其特征在于，所述方法包括：基站接收用户设备发送的第一消息，所述第一消息包括上行数据，用户设备标识和第一鉴权结果；所述基站向核心网网元发送鉴权请求消息，所述鉴权请求消息包括所述用户设备标识或所述用户设备所属群组的群组标识或所述用户设备所属小区的小区标识；所述基站接收所述核心网网元发送的鉴权响应消息，所述鉴权响应消息包括第二鉴权结果，所述第二鉴权结果为所述核心网网元根据所述鉴权请求消息计算的鉴权结果；所述基站比较所述第一鉴权结果与所述第二鉴权结果，若相同，则向所述核心网网元发送所述上行数据。2.根据权利要求1所述的方法，其特征在于，第一鉴权结果为所述用户设备根据鉴权码和所述小区标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述群组标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据鉴权码和所述用户设备标识计算得到的鉴权结果；或者第一鉴权结果为所述用户设备根据用户设备密钥和所述用户设备标识计算得到的鉴权结果。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：所述基站根据网络负载或者业务类型或者业务数据量确定是否向所述核心网网元发送所述上行数据。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：若基站确定不向核心网发送所述上行数据，则向所述用户设备发送拒绝无连接传输请求的信息。5.一种鉴权方法，其特征在于，所述方法包括：用户设备向核心网网元发送第一请求消息，所述第一请求消息用于请求无连接传输服务；所述用户设备接收所述核心网网元发送的响应消息，所述响应消息包括所述核心网为所述用户设备分配的用户设备标识，或者所述用户设备标识和所述核心网为所述用户设备分配的鉴权码；所述用户设备根据所述响应消息确定第一鉴权结果；所述用户设备向基站发送第一消息，所述第一消息包括上行数据，所述用户设备标识和所述第一鉴权结果。6.根据权利要求5所述的方法，其特征在于，所述用户设备根据所述响应消息确定第一鉴权结果，包括：所述用户设备根据所述鉴权码和所述用户设备所属小区的小区标识确定所述第一鉴权结果；或者所述用户设备根据所述鉴权码和所述用户设备所属群组的群组标识确定所述第一鉴权结果。或者所述用户设备根据所述鉴权码和所述用户设备标识确定所述第一鉴权结果。7.根据权利要求5所述的方法，其特征在于，所述用户设备根据所述响应消息确定第一鉴权结果，包括：所述用户设备根据所述用户设备标识和第一密钥确定所述第一鉴权结果，所述第一密钥为所述用户设备自身的密钥。8.根据权利要求5至7任一项所述的方法，其特征在于，所述第一请求消息包括所述用户设备的业务数据量或所述用户设备的业务类型中的至少一个。9.一种鉴权方法，其特征在于，所述方法包括：核心网网元接收基站发送的鉴权请求消息，所述鉴权请求消息包括所述核心网为所述用户设备分配的用户设备标识或用户设备所属群组的群组标识或用户设备所属小区的小区标识；所述核心网网元根据所述鉴权请求消息确定第一鉴权结果；所述核心网网元向所述基站发送所述第一鉴权结果。10.根据权利要求9所述的方法，其特征在于，在所述核心网网元接收基站发送的鉴权请求消息之前，所述方法还包括：所述核心网网元接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；所述核心网网元根据所述第一请求消息确定所述用户设备标识；所述核心网网元向所述用户设备发送第一响应消息，所述第一响应消息包括所述用户设备标识。11.根据权利要求9所述的方法，其特征在于，在所述核心网网元接收基站发送的鉴权请求消息之前，所述方法还包括：所述核心网网元接收用户设备发送的第一请求消息，所述第一请求消息用于请求无连接传输服务；所述核心网网元根据所述第一请求消息确定所述用户设备标识和鉴权码；所述核心网网元向所述用户设备发送第二响应消息，所述第二响应消息包括所述用户设备标识和所述鉴权码。12.根据权利要求10所述的方法，其特征在于，所述核心网网元根据所述鉴权请求消息确定第一鉴权结果，包括：所述核心网网元根据所述用户设备标识和第一密钥确定所述第一鉴权结果。13.根据权利要求11所述的方法，其特征在于，所述核心网网元根据所述鉴权请求消息确定第一鉴权结果，包括：所述核心网网元根据所述群组标识或所述小区标识或所述用户设备标识，以及所述鉴权码确定所述第一鉴权结果。14.根据权利要求9至13任一项所述的方法，其特征在于，所述第一请求消息包括用户设备的业务数据量或用户设备的业务类型中的至少一个；所述方法还包括：所述核心网网元根据所述用户设备的业务数据量或所述用户设备的业务类型确定是否接受所述用户设备的无连接传输请求。15.根据权利要求14所述的方法，其特征在于，所述核心网网元根据所述第一请求消息确定接受所述用户设备的无连接传输请求，包括：在第一预设时间内，若所述核心网网元接收到的所述无连接请求消息的数量未满足第一预设阈值，则所述核心网网元确定接受所述用户设备的无连接传输请求；或者，若所述用户设备的业务数据量未满足第二预设阈值，则所述核心网网元确定接受所述用户设备的无连接传输请求；或者，若所述用户设备的业务类型为预设业务类型，则所述核心网网元确定接受所述用户设备的无连接传输请求。16.根据权利要求14所述的方法，其特征在于，所述用户设备标识用于指示所述核心网网元接受所述用户设备的无连接传输请求。17.根据权利要求14所述的方法，其特征在于，所述方法还包括：所述核心网网元向所述用户设备发送第三响应消息，所述第三响应消息包括拒绝所述用户设备无连接传输请求的信息。18.一种基站，其...

【专利技术属性】
技术研发人员：许斌，权威，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44