[发明专利]通信方法、核心网网元、终端设备及存储介质

说明书

本发明涉及一种直接与核心网进行通信的用户设备(User Equipment，UE)，包括：第一通信设备、第二通信设备、认证管理模块、处理器、存储介质、存储在所述存储介质上并且可由所述处理器执行以进行以下操作的指令：对所述核心网进行第一次认证以获得安全上下文；将安全上下文从所述认证管理模块传输到所述第一和第二通信设备(1220，1230)中的至少一个；所述第一和第二通信设备中的一个使用来自所述认证管理模块的所述安全上下文对所述核心网进行第二次认证，以建立与所述核心网(1240)的连接。

技术领域

本发明涉及一种协同认证移动设备以接入核心网的统一认证框架的方法和系统。具体而言，本发明涉及一种用于移动设备与核心网之间的协同认证的统一认证框架的方法和系统。

现有技术总结

在过去几年中，智能手机用户的数量快速增长，许多移动用户通过移动蜂窝网络接入互联网。然而，目前的宽带码分多址（Wideband Code Division Multiple Access，WCDMA）或长期演进（Long Term Evolution，LTE）等蜂窝技术无法应对移动互联网流量的快速增长。为了满足移动用户的需求，通信服务提供商（communications service provider，CSP），也称为telco或电信运营商，一直在挖掘无线保真（Wireless Fidelity，Wi-Fi）技术的潜力来弥补容量短板。

在蜂窝网络中，Wi-Fi技术并不是原生技术。因此，为了将Wi-Fi技术集成在3GPP定义的蜂窝网络中，3GPP定义了一些规范，包括安全性。图1示出了集成包括可信和不可信Wi-Fi在内的Wi-Fi接入技术的网络架构。出于本发明的目的，可信Wi-Fi接入是指由电信运营商自己部署用户设备（User Equipment，UE）连接的接入点（Access Point）的情况。不可信Wi-Fi接入是指由电信运营商以外的第三方部署接入点的情况。

通常，为了确保设备和网络是真实的，UE接入网络的第一步就是与网络进行相互认证。通过3GPP网络，采用基于全球用户身份模块（Universal Subscriber IdentityModule，USIM）的预共享密钥认证。在UE侧和网络侧各保存一对共享密钥。在UE侧，凭证保存在USIM卡中，该USIM卡是嵌入在UE中的独立设备。在网络侧，凭证保存在归属用户系统（Home Subscriber System，HSS）中。在认证过程中，从保存的凭证中导出认证向量或主会话密钥。UE和网络使用该认证向量来相互认证。

通过目前的3GPP和Wi-Fi集成框架，UE根据保存在USIM中的凭证对网络进行认证。然而，LTE和Wi-Fi技术所使用的认证和密钥生成协议是不同的。使用LTE技术，UE和网络中的移动性管理实体（Mobility Management Entity，MME）服务器使用演进分组系统认证和密钥协商（Evolved Packet System Authentication and Key Agreement，EPS-AKA）协议来进行相互认证。而使用Wi-Fi技术，UE和网络的认证、授权和计费（Authentication,Authorization, and Accounting，AAA）服务器使用（可扩展认证协议）EAP-AKA或EAP-AKA’协议来进行相互认证。基于现有框架，同一UE必须使用两种不同的协议来对同一网络进行认证。从网络管理的角度来看，这不是最佳的方式，不仅使设计和实现方式复杂化，还浪费网络资源，增加运营成本。

因此，本领域技术人员正在努力为异构网络提供更好的认证方法。

发明内容

本发明实施例提供的系统和方法解决了上述和其它问题，并且在本领域中取得了进步。本发明的系统和方法的实施例的第一个优点是：UE中的通信设备可以共享安全上下文对核心网进行认证。其中一个通信设备先前已经对核心网执行完整认证，省去了UE对核心网进行认证的步骤。本发明的系统和方法的实施例的第二个优点是：认证流程得以改进，因为UE与核心网之间所需的交互次数大大减少。