[发明专利]安全接入方法、设备及系统

说明书

本申请提供安全接入方法、设备及系统，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。方法包括：第一认证服务器接收来自非3GPP接入设备的第一消息；确定允许进行快速重鉴权后，与终端进行快速重鉴权；向归属用户服务器发送第二消息，第二消息携带注册类型标识、终端的标识和第一认证服务器的地址，注册类型标识用于指示本次终端的安全接入为使用快速重鉴权流程的安全接入；若归属用户服务器根据终端的标识确定未存储与终端对应的认证服务器的地址，接收来自归属用户服务器的注册成功指示；并根据注册成功指示，向终端发送接入成功指示。

技术领域

本申请涉及通信技术领域，尤其涉及安全接入方法、设备及系统。

背景技术

随着智能终端和无线保真(wireless fidelity，WiFi)技术的发展和普及，以及码分多址 (code division multiple access，CDMA)运营商在长期演进(long termevolution，LTE)网络中复用CDMA原有接入网的要求，使用智能终端通过非第三代合作伙伴计划(3rd generation partnership project，3GPP)接入网(如WiFi或者CDMA)接入到3GPP核心网的需求越来越多，并广泛的应用于基于WiFi的语音业务(voice over WiFi，VoWiFi)中。

目前，终端在通过非3GPP接入网接入到3GPP核心网时，一般通过可扩展认证协议(extensible authentication protocol，EAP)鉴权流程来完成非3GPP接入时的安全接入。其中，在终端初始接入网络时，终端使用EAP全鉴权流程进行安全接入，在EAP全鉴权流程中，认证服务器生成终端的快速重鉴权标识，并将该终端的快速重鉴权标识发送给终端。这样，在终端注销前重新接入网络时，终端可以使用简化的EAP快速重鉴权流程进行安全接入。具体的，在EAP快速重鉴权流程中，终端可以直接使用终端的快速重鉴权标识作为终端标识对终端进行安全接入。

然而，在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，如何在下一次安全接入时，仍然可以通过快速重鉴权证流程完成安全接入，目前并没有相关的解决方案。

发明内容

本申请实施例提供安全接入方法、设备及系统，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

为达到上述目的，本申请实施例提供如下技术方案：

第一方面，提供一种安全接入方法，该方法包括：第一认证服务器接收来自非第三代合作伙伴计划3GPP接入设备的第一消息，该第一消息携带终端的快速重鉴权标识；该第一认证服务器确定允许进行快速重鉴权；该第一认证服务器与该终端进行快速重鉴权；该第一认证服务器向归属用户服务器发送第二消息，该第二消息携带注册类型标识、该终端的标识和该第一认证服务器的地址，该注册类型标识用于指示本次该终端的安全接入为使用快速重鉴权流程的安全接入；若该归属用户服务器根据该终端的标识确定未存储与该终端对应的认证服务器的地址，该第一认证服务器接收来自该归属用户服务器的注册成功指示；该第一认证服务器根据该注册成功指示，向该终端发送接入成功指示。基于该方法，能够使得在终端通过全鉴权流程进行安全接入之后，若终端从网络上注销，在下一次安全接入时，仍然可以通过快速重鉴权流程完成安全接入。

在一种可能的设计中，该方法还包括：该第一认证服务器接收来自该非3GPP接入设备的接入网络类型或者接入网络标识；该第一认证服务器确定允许进行快速重鉴权，包括：该第一认证服务器根据该接入网络类型、该接入网络标识、预先配置的归属用户服务器是否支持快速重鉴权的能力、或者接入网络是否可信的信息中的至少一个，确定允许进行快速重鉴权，其中，该接入网络是否可信的信息是根据该接入网络类型或者该接入网络标识确定的。基于该方法，第一认证服务器可以确定允许进行快速重鉴权。