获取鉴权策略的方法、鉴权方法、鉴权器、通信设备、基站以及终端

摘要

本发明公开一种获取鉴权策略的方法、鉴权方法、鉴权器、通信设备、基站以及终端。所述鉴权方法包括步骤：下发指示对设备进行鉴权的网络侧鉴权策略至终端；所述终端接收所述指示对设备进行鉴权的鉴权策略；结合所述预配置的鉴权策略和下发的网络侧鉴权策略对终端进行鉴权。所述通信设备包括基站和鉴权策略处理单元，所述鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，所述基站用于下发携带所述鉴权策略的网络发现与选择消息到终端。本发明可以完善鉴权流程，提高鉴权成功率。

说明书

技术领域

本发明涉及鉴权领域，特别是涉及获取鉴权策略的方法、鉴权方法、鉴权器、通信设备、基站以及终端。

背景技术

全球接入微波互操作性(WiMAX，Worldwide Interoperability forMicrowave Access)是一种基于IEEE 802.16标准的无线城域网技术。采用该技术的WiMAX网络主要由三个部分组成，即客户端(MSS/SS)、接入业务网(ASN)以及连接服务网(CSN)。ASN包括基站(BS)和接入业务网网关(ASN GW)。其中ASN属于网络接入点(NAP，Network Access Point)，CSN属于网络服务提供商(NSP，Network service provider)。在本文讲到NSP的鉴权策略时，可以理解为CSN的鉴权策略。

CSN包括策略服务器(PF)、认证(Authorization)、授权和计费服务器(AAAServer)、应用服务器(AF)等等逻辑实体。WiMAX网络无线侧是基于IEEE802.16d/e标准的无线城域网接入技术。现在主要遵循的是2004年7月制定的IEEE 802.16-2004(802.16d)标准。正在讨论的IEEE 802.16e中加入了支持简单移动通信和全移动通信的技术。

在通信进程中，一般需要对终端的接入进行鉴权。

参阅图1，在一种现有技术中，在MS入网初始鉴权认证前网络侧告知MS相应的鉴权策略。包括步骤：

101、MS扫描下行信道，并建立与BS的同步；

102、BS获取MS的上行发送参数；

103、在MS和BS间进行时频调整；

104、MS向BS发送基本能力协商请求；

105、BS返回基本能力协商响应；

106、MS和BS之间进行鉴权认证；

此步骤中，WiMAX网络侧会在基本能力协商阶段(SBC-RSP)告知MS鉴权策略，如下所示：

表一：网络侧在基本能力协商阶段告知MS的鉴权策略种类

107、H/V-AAA和BS之间进行鉴权认证。

如表一所示，BS并未完整地告知MS网络侧要求的鉴权策略。比如，根据现有技术，BS可以告知MS要求单次EAP“仅基于EAP的鉴权”。但单次EAP可以是用户认证，也可是设备认证或同时包含用户和设备认证。“仅基于EAP的鉴权”这些信息没有办法准确地告知MS是用户认证还是设备认证、或同时包含用户和设备认证。在目前技术要求对设备也进行鉴权的情况下，MS无法正确地完成网络侧要求的鉴权内容，可能导致鉴权失败，MS无法入网。

现有技术除不能准确告知终端的鉴权对象外，也没有告知终端鉴权的具体方法。

又由于WiMAX的两级网络结构，MS与CSN之间由BS隔开，使得ASN网络并不知CSN网络特别是MS对应的H-CSN的鉴权策略。在终端移动到异地网络时，当前服务ASN上的鉴权策略与原CSN上的鉴权策略可能不一致，当前ASN也就无法告知MS网络侧要求的正确、完整的鉴权策略，也无法在后续的鉴权认证过程中控制MS执行正确的鉴权认证方法。

同样，在MS进行重鉴权时，由于上述问题可能造成鉴权失败。

发明内容

本发明实施例要解决的技术问题是提供一种可以提供鉴权成功率的获取鉴权策略的方法、鉴权方法、鉴权器、通信设备、基站以及终端。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种获取鉴权策略的方法，包括步骤：下发所述指示对设备进行鉴权的鉴权策略至终端；所述终端接收所述指示对设备进行鉴权的鉴权策略。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种鉴权方法，包括步骤：下发指示对设备进行鉴权的网络侧鉴权策略至终端；结合所述预配置的鉴权策略和下发的网络侧鉴权策略对终端进行鉴权。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种基站，包括鉴权策略处理单元，用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，所述基站用于下发携带所述鉴权策略的网络发现与选择消息到终端。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种终端，所述终端预配置有固定的归属连接服务网的鉴权策略，并包括鉴权单元，用于在收到指示对设备进行鉴权的网络侧鉴权策略时，结合所述预配置的鉴权策略进行鉴权。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种鉴权器，包括：鉴权策略获取单元，用于获取终端上传的鉴权策略和接入业务网的鉴权策略；鉴权策略处理单元，用于取所述终端上传的鉴权策略和接入业务网的鉴权策略的交集。

为解决上述技术问题，本发明实施例的目的是通过以下技术方案实现的：提供一种通信设备，包括：鉴权策略获取单元，用于获取网络相关实体的鉴权策略；鉴权策略处理单元，用于取所述网络相关实体的鉴权策略的交集；发送单元，用于将所述鉴权策略交集发送给所述终端，指示所述终端根据所述鉴权策略交集对设备进行鉴权。

以上第一技术方案可以看出，由于让网络侧下发指示对设备进行鉴权的网络侧鉴权策略至终端，让终端知道需要对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

以上第二技术方案可以看出，由于让网络侧下发指示对设备进行鉴权的网络侧鉴权策略至终端，让终端知道需要对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

以上第三技术方案可以看出，由于采用鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，让终端知道网络需要对设备进行鉴权，并且在网络没有鉴权策略的情况下能够自动获得携带有鉴权对象的指示的鉴权策略，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

以上第四技术方案可以看出，由于能够采用鉴权对象识别单元对网络侧下发的鉴权策略进行识别，在下发的鉴权策略是对用户和设备分开鉴权时判断网络侧需要对设备进行鉴权，并且，终端本身具有预配置的鉴权策略，这样，可以利用预配置的鉴权策略对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

以上第五和第六技术方案可以看出，由于采用鉴权策略获取单元获取网络相关实体或终端上传的鉴权策略和接入业务网的鉴权策略，并采用鉴权策略处理单元取所述网络相关实体或终端上传的鉴权策略和接入业务网的鉴权策略的交集，可以指示所述终端根据所述鉴权策略交集对设备进行鉴权，相对于现有技术只能对用户进行鉴权的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整。

附图说明

图1是现有技术鉴权方法的时序图；

图2是本发明获取鉴权策略的方法以及鉴权方法第一实施方式的时序图；

图3是本发明重鉴权中获取鉴权策略的方法以及鉴权方法实施例的时序图；

图4是本发明由终端引起的重鉴权方法实施例的时序图；

图5是本发明由网络侧发起的重鉴权方法实施例的时序图；

图6是本发明基站第一实施方式的原理框图；

图7是本发明获取鉴权策略的方法以及鉴权方法第二实施方式的时序图；

图8是本发明获取鉴权策略的方法以及鉴权方法第三实施方式的时序图；

图9是本发明终端实施方式的原理框图；

图10是本发明获取鉴权策略的方法以及鉴权方法第四实施方式的时序图；

图11是本发明获取鉴权策略的方法以及鉴权方法第五实施方式的时序图；

图12是本发明鉴权器实施方式的原理框图；

图13是本发明通信设备实施方式的原理框图。

具体实施方式

本发明基本原理是：在WiMAX网络或其他无线网络中进行终端的鉴权时，ASN的鉴权器(Authenticator)需获知网络侧的完整的鉴权认证策略，所述完整的鉴权认证策略含有鉴权对象是用户和/或设备的指示，还包含鉴权方式的指示。网络侧在鉴权之前告知终端网络侧要求的所述完整的鉴权策略，然后在鉴权器的协助下使终端能够以正确的鉴权认证方法完成网络侧要求的鉴权认证过程。

上述网络侧是指接入业务网和归属连接服务网络(H-CSN)以及和/或一个或多个拜访连接服务网络(V-CSN)。

本发明获取鉴权策略的方法给出一个基本实施方式，包括步骤下发所述指示对设备进行鉴权的鉴权策略至终端；所述终端接收所述指示对设备进行鉴权的鉴权策略。

因为本发明下发到终端的鉴权策略含有鉴权对象是设备的指示，终端能够知道是对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、无法对设备进行鉴权的技术缺陷，本发明显然可以在鉴权时让WiMAX网络的鉴权对象更完整、准确，鉴权进程得以顺利进行。本发明在网络发现与选择消息中携带所述NSP对应的鉴权策略，与现有鉴权标准兼容并且技术更优，不需要高昂的技术成本。

本发明获取鉴权策略的方法给出另一个基本实施方式，包括步骤：在终端上预配置有固定的归属连接服务网的鉴权策略的情况下，下发指示对设备进行鉴权的网络侧鉴权策略至终端。

从以上可以看出，本实施方式由于让网络侧下发指示对设备进行鉴权的网络侧鉴权策略至终端，让终端知道需要对设备进行鉴权，并且，终端本身具有预配置的鉴权策略，这样，可以结合预配置的鉴权策略和网络下发的鉴权策略对设备进行鉴权，取两个鉴权策略的交集进行鉴权能保证鉴权策略的正确和鉴权的顺利进行，并且相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

本发明还给出鉴权方法的基本实施方式，包括步骤：

下发指示对设备进行鉴权的网络侧鉴权策略至终端；

结合所述预配置的鉴权策略和下发的网络侧鉴权策略对终端进行鉴权。

与本发明获取鉴权策略的方法基本实施方式类似，上述基本实施方式让网络侧下发指示对设备进行鉴权的网络侧鉴权策略至终端，让终端知道需要对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

本发明还给出通信设备的基本实施方式，包括基站和鉴权策略处理单元，所述鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，所述基站用于下发携带所述鉴权策略的网络发现与选择消息到终端。

上述实施方式由于采用鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，让终端知道网络需要对设备进行鉴权，并且在网络没有鉴权策略的情况下能够自动获得携带有鉴权对象的指示的鉴权策略，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

本发明还给出终端的基本实施方式，所述终端预配置有固定的归属连接服务网的鉴权策略，并包括鉴权单元，用于在收到指示对设备进行鉴权的网络侧鉴权策略时，结合所述预配置的鉴权策略进行鉴权。

上述实施方式能够采用鉴权对象识别单元对网络侧下发的鉴权策略进行识别，在下发的鉴权策略是对用户和设备分开鉴权时判断网络侧需要对设备进行鉴权，并且，终端本身具有预配置的鉴权策略，这样，可以利用预配置的鉴权策略对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

以下结合实施方式和附图，对本发明进行详细描述。

参阅图2，本发明获取鉴权策略的方法第一实施方式是在网络发现与选择阶段下发网络服务提供商标识NSP ID列表的同时，下发各NSP对应的鉴权策略。如果接入业务网未保存NSP的鉴权策略、或NSP的鉴权策略会发生变化、或NSP的鉴权策略会因终端不同而不同，则还需在下发NSP的鉴权策略之前由接入业务网发起动态获取NSP鉴权策略的过程。所述方法包括步骤：

201、终端入网，执行下行信道扫描、建立终端与基站之间的同步，获取终端的上行发送参数，执行时频调整；

202、在网络发现与选择阶段，向网络侧发起基本能力协商请求，该请求是中携带终端设备支持的鉴权策略、网络侧鉴权策略请求指示和终端NAI。

接入业务网发起动态获取NSP鉴权策略

203、基站向鉴权器发送鉴权策略请求，所述基站向鉴权器发送的鉴权策略请求携带终端支持的鉴权策略和终端NAI；

204、在鉴权器没有配置或获得过NSP的鉴权策略情况下，鉴权器根据所述终端NAI向归属或拜访连接服务网的AAA服务器发送鉴权策略请求，请求其鉴权策略；当然，如果鉴权器配置或获得过NSP的鉴权策略，则直接将其配置或获得的鉴权策略下发给基站；另外，鉴权器本身也可预配置有归属或拜访连接服务网的AAA服务器的路由信息，不需要终端NAI也可以根据所述路由信息访问正确的AAA服务器；在极端情况下，鉴权器只配置一个归属或拜访连接服务网的AAA服务器的路由信息；

205、在AAA服务器收到鉴权策略请求后，将鉴权策略下发至所述鉴权器中；

206、所述鉴权器返回携带鉴权策略的鉴权策略响应到基站，具体是：在所述鉴权器收到NSP的鉴权策略后，结合收到的终端支持的鉴权策略、来自或接入业务网的鉴权策略，取三者交集，将最终网络侧要求的鉴权策略通过鉴权策略响应告知基站。

207、下发携带NSP对应的鉴权策略的网络发现与选择消息到终端；所述网络发现与选择消息是基本能力协商响应SBC-RSP消息；所述鉴权策略通过在所述鉴权策略消息中扩展新参数来携带，所述参数包含NSP ID和所述鉴权策略；所述鉴权策略含有鉴权对象是用户和/或设备的指示，还包含鉴权方式的指示；

所述扩展的新参数为TLV，示例如下：

表一：NSP鉴权策略参数TLV

  名称  类型  长度 值  NSP ID  xx  3 24位格式NSP标识  NSP鉴权策  略参数TLV  xx  1 0：无鉴权 1：鉴权对象为用户； 2：鉴权对象为设备，鉴权方式为使用数字证书方式对设 备进行鉴权； 3：鉴权对象为设备，鉴权方式为使用PSK方式对设备进 行鉴权； 4：鉴权对象为用户和设备，鉴权方式为对用户和设备分 开鉴权，具体是使用两次EAP方式，第一次EAP使用 数字证书方式对设备进行鉴权，第二次EAP对用户进行 鉴权； 5：鉴权对象为用户和设备，鉴权方式为对用户和设备分 开鉴权，具体是使用两次EAP方式，第一次EAP使用 PSK方式对设备进行鉴权，第二次EAP对用户进行鉴 权； 6：鉴权对象为用户和设备，鉴权方式为对用户和设备一 起鉴权，具体是使用单次EAP方式同时完成设备认证和 用户鉴权，其中设备鉴权使用数字证书方式； 7：鉴权对象为用户和设备，鉴权方式为对用户和设备一 起鉴权，具体是使用单次EAP方式同时完成设备认证和 用户鉴权，其中设备鉴权使用PSK方式； 其他：保留，设为0

表二：NSP鉴权策略参数子属性TLV

本实施方式中，所述网络发现与选择消息携带的鉴权策略是表二中至少一种。

从以上可以看出，因为本实施方式的步骤207中下发到终端的鉴权策略含有鉴权对象是用户和/或设备的指示，还包含鉴权方式的指示，终端能够知道是对用户还是设备、或用户和设备进行鉴权，也知道采用单次或两次、采用PSK方式还是采用数字证书方式对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

本发明在网络发现与选择消息中携带所述NSP对应的鉴权策略，与现有鉴权标准兼容并且技术更优，不需要高昂的技术成本。

又由于在步骤204中，在鉴权器没有配置或获得过NSP的鉴权策略情况下，根据步骤203得到的所述终端NAI向归属或拜访连接服务网的AAA服务器发送鉴权策略请求，请求其鉴权策略，因此鉴权器能够结合终端支持的鉴权策略、来自或本地接入业务网的鉴权策略，取三者交集，将最终网络侧要求的鉴权策略通过鉴权策略响应告知基站。这样，即使鉴权器没有配置或获得过NSP的鉴权策略也能进行鉴权，并且得到的鉴权策略是NSP的鉴权策略、终端支持的鉴权策略、来自本地接入业务网的鉴权策略三者的交集，终端必定可以接纳所述网络侧要求的鉴权策略，得到的鉴权策略能确保正确，不会由于终端移动到外地接入业务网而得到错误的鉴权策略。再且，通过在网络发现与选择消息中携带所述NSP对应的鉴权策略的方式，使得终端能够得到所述正确的鉴权策略，并且能够用正确的方式对正确的鉴权对象进行鉴权。

上述实施方式中，网络侧鉴权策略是存在于接入业务网上的鉴权策略，也可以是H-NSP和V-NSP上的鉴权策略；下发给终端的鉴权策略可以是基站本身具有的鉴权策略，即采用人工或自动方式在基站上配置终端需要的鉴权策略，而不需要经过步骤201～206以获得鉴权策略。

本发明还提供鉴权方法第一实施方式，所述实施方式采用上述获取鉴权策略的方式得到鉴权策略，然后包括步骤：

208、根据所述鉴权策略对指示的用户和/或设备进行鉴权。

本方法可以提高鉴权进程的成功率，避免现有技术由于得不到正确的鉴权策略或没有合适的鉴权对象而导致鉴权失败的技术问题。

本发明还提供两种终端入网后的重新鉴权认证方法。第一种是终端跨鉴权域移动引起的重鉴权，第二种是非终端移动引起的重鉴权。

参阅图3，是终端跨鉴权域移动引起的重鉴权方法流程，本方法基本采用上述鉴权方法的原理，包括步骤：

301、终端移动到新的接入业务网下，发起网络重入，与新的基站执行时频调整过程；

在此步之前，终端已完成相应的切换过程；在切换上下文传递中，锚鉴权器将归属NSP的鉴权策略告知位于当前接入业务网网关中的目标鉴权器，所述当前接入业务网网关结合接入业务网的鉴权策略将最终的网络侧要求的鉴权策略告知目标基站；

302、在网络发现与选择阶段，下发携带NSP对应的鉴权策略的网络发现与选择消息到终端；所述网络发现与选择消息是终端在重入时频调整后网络侧主动发送的服务标识消息广播SII-ADV消息；所述鉴权策略含有鉴权对象是用户和/或设备的指示；

303、向网络侧的基站发起基本能力协商请求，该请求中携带终端设备支持的鉴权方法；

306、基站回应终端基本能力协商响应消息；

307、终端向基站发起鉴权认证初始消息PKMv2-REQ/EAP-Start；

308、在收到终端发起的鉴权认证初始消息后，基站验证CMAC，在验证通过情况下向当前服务接入网网关发送重鉴权请求消息AuthRelay-EAP-Start，该消息中携带重鉴权指示和锚鉴权器ID；

309、根据所述鉴权策略对指示的用户和/或设备进行鉴权；

310、鉴权认证成功后，当前接入业务网网关根据之前保存的锚鉴权器ID判断：如果锚鉴权器ID不是自己的，则向原有的锚鉴权器发起终端上下文删除请求消息Delete MS Context Request，该消息用于请求原有锚鉴权器删除其原来维护的该终端的相关上下文消息。

本实施方式的有益效果可参照上述获取鉴权策略的方法的有益效果。此外，步骤308中向当前服务接入网网关发送携带锚鉴权器ID的重鉴权请求消息其目的是在步骤310中进行所述锚鉴权器ID是否与当前鉴权器ID一致的判断，在不一致时说明网络测的原鉴权策略可能不适用，需要删除终端的相关上下文消息以防止下次切换时锚鉴权器将错误的鉴权策略告知目标鉴权器。

上述重鉴权方法是终端在新的接入业务网重入时频调整后，发送基本能力协商请求前已经从网络侧主动发送的SII-ADV广播消息中获知网络侧的鉴权策略，终端不需在网络发现与选择阶段重新获取网络侧鉴权策略。当网络侧没有主动发送SII-ADV广播消息时，网络侧需要通过网络重入时的基本能力协商过程告知终端网络侧要求的鉴权策略。具体步骤如下：

301、终端移动到新的接入业务网下，发起网络重入，与新的基站执行时频调整过程；

在此步之前，终端已完成相应的切换过程；在切换上下文传递中，锚鉴权器将归属NSP的鉴权策略告知位于当前接入业务网网关中的目标鉴权器，所述当前接入业务网网关结合归属NSP和接入业务网的鉴权策略将最终的网络侧要求的鉴权策略告知目标基站；

302、在网络发现与选择阶段，下发携带NSP对应的鉴权策略的网络发现与选择消息到终端；所述网络发现与选择消息是终端在重入时频调整后向网络侧发送的基本能力协商请求，该请求中携带终端设备支持的鉴权方法和网络侧鉴权策略请求指示；所述鉴权策略含有鉴权对象是用户和/或设备的指示；

303、向网络侧的基站发起基本能力协商请求，该请求中携带终端设备支持的鉴权方法和网络侧鉴权策略请求指示；

304、在基站未预先配置或保存当前网络侧的鉴权策略情况下，基站向鉴权器所在的当前接入业务网网关发送鉴权策略请求；

在所述当前接入业务网网关没有预先配置或保存了或获得该终端归属NSP的鉴权策略情况下，基站经本地接入业务网网关向原来的锚鉴权器发送鉴权策略请求，请求归属NSP的鉴权策略；

305、在收到所述鉴权策略请求后，原来的锚鉴权器经本地接入业务网网关发送携带鉴权策略的鉴权策略响应到所述当前接入业务网；

在获知归属连接服务网的鉴权策略后，所述当前接入业务网结合自身的鉴权策略、终端的鉴权能力和本地鉴权策略，取三者交集，将携带最终的网络侧鉴权策略的鉴权策略响应返回基站；

306、基站回应终端基本能力协商响应消息到终端，此消息中还需携带网络侧的鉴权策略；

307、终端向基站发起鉴权认证初始消息PKMv2-REQ/EAP-Start；

308、在收到终端发起的鉴权认证初始消息后，基站验证CMAC，在验证通过情况下向当前服务接入网网关发送重鉴权请求消息AuthRelay-EAP-Start，该消息中携带重鉴权指示和锚鉴权器ID；

309、根据所述鉴权策略对指示的用户和/或设备进行鉴权；

310、鉴权认证成功后，当前接入业务网网关根据之前保存的锚鉴权器ID判断：如果锚鉴权器ID不是自己的，则向原有的锚鉴权器发起终端上下文删除请求消息Delete MS Context Request，该消息用于请求原有锚鉴权器删除其原来维护的该终端的相关上下文消息。

图4和图5都是非终端移动引起的重鉴权流程，如密钥生存期到就要发起重鉴权流程。所述重鉴权流程可以是终端发起也可是网络侧主动发起。

其中，图4中是终端触发的重鉴权流程，包括步骤：

401、在网络发现与选择阶段，网络侧向终端周期性地广播携带NSP对应的鉴权策略的网络发现与选择消息，所述鉴权策略含有鉴权对象是用户和/或设备的指示；终端通过所述周期性的广播消息获知网络的鉴权策略；

402、当终端AK Grace time到期或CMAC_PN_U、CMAC_PN_D老化或其它原因需要发起重鉴权时，终端发起鉴权认证初始消息PKMv2-REQ/EAP-Start，由CMAC保护；该消息用于触发当前的鉴权器发起EAP认证过程；

403、基站收到终端发起的鉴权认证初始消息后，验证CMAC，验证通过则向当前接入业务网-网关发送重鉴权请求消息AuthRelay-EAP-Start，该消息中携带重鉴权指示和锚鉴权器ID；

404、终端与网络侧根据所述鉴权策略对指示的用户和/或设备进行鉴权进行鉴权、认证过程；

405、鉴权认证成功后，当前接入业务网网关根据之前保存的锚鉴权器ID判断：在所述锚鉴权器ID不是自己的情况下，向原有的锚鉴权器发起终端上下文删除请求消息，该消息用于请求原有锚鉴权器删除其原来维护的该终端的相关上下文消息。

其中，图5中是网络侧触发的重鉴权流程，包括步骤：

501、在网络发现与选择阶段，网络侧向终端周期性地广播携带NSP对应的鉴权策略的网络发现与选择消息，所述鉴权策略含有鉴权对象是用户和/或设备的指示；终端通过所述周期性的广播消息获知网络的鉴权策略；

502、当锚鉴权器持有的PMK的生存期到期或基站告知锚鉴权器收到无效的EAP Start消息或锚鉴权器基于当前的策略等原因，锚鉴权器要求发起重鉴权，则锚鉴权器通知当前接入业务网网关要求发起重鉴权过程，同时还告知当前接入业务网网关保存在所述锚鉴权器中的该终端的归属NSP的鉴权策略；

503、当前接入业务网网关结合自身的和归属NSP的鉴权策略，发起重鉴权过程；

504、重鉴权过程完成后，当前接入业务网网关通过重鉴权响应告知锚鉴权器重鉴权结果，如果重鉴权成功则锚鉴权器删除其维护的该终端相关的上下文。

上述所有实施例中，鉴权器可以存在于接入业务网网关中，如果基站和接入业务网网关为同一个物理实体，则基站和鉴权器间的消息交互则为内部原语交互。

由于在步骤502中锚鉴权器还告知接入业务网网关终端的归属NSP的鉴权策略，该策略和终端所拥有的归属NSP的鉴权策略是一致的，因此无论终端和它的接入业务网都有完整的鉴权策略。

本发明还提供基站第一实施方式，所述基站610位于通信系统600内。所述通信系统包括基站610和鉴权器620。所述基站610包括鉴权策略处理单元611，用于在网络发现与选择消息中加入含有鉴权对象是用户和/或设备的指示的鉴权策略。所述基站610用于在网络发现与选择阶段下发携带所述鉴权策略的网络发现与选择消息到终端。

所述鉴权器620包括鉴权策略获取单元621。所述鉴权器620用于接收来自基站610的携带有终端支持的鉴权策略和终端NAI的鉴权策略请求，并返回携带鉴权策略的鉴权策略响应到基站610。

所述网络发现与选择消息是基本能力协商响应SBC-RSP消息或终端在重入时频调整后网络侧主动发送的服务标识消息广播SII-ADV消息。所述基站610在收到携带有终端设备支持的鉴权策略和网络侧鉴权策略请求指示的基本能力协商请求时，下发所述携带鉴权策略的网络发现与选择消息。

在所述网络发现与选择消息是基本能力协商响应SBC-RSP消息情况下，所述鉴权策略获取单元621用于在鉴权器620没有配置或获得过NSP的鉴权策略情况下，根据所述NAI指示鉴权器620向归属连接服务网的AAA服务器发送鉴权策略请求，请求其鉴权策略；

在所述网络发现与选择消息是终端在重入时频调整后网络侧主动发送的服务标识消息广播SII-ADV消息情况下，所述鉴权策略获取单元621指示鉴权器620向鉴权器620所在的当前接入业务网或原来的锚鉴权器620发送鉴权策略请求。

在得到鉴权策略响应中的鉴权策略后，所述鉴权策略获取单元621结合鉴权策略响应中的鉴权策略、终端设备支持的鉴权策略和本地鉴权策略三者，获得它们之间的交集，作为返回基站610的鉴权策略响应中的鉴权策略。

从以上可以看出，从以上可以看出，因为本发明采用鉴权策略处理单元在下发到终端的网络发现与选择消息中加入鉴权策略，所述鉴权策略含有鉴权对象是用户和/或设备的指示，还包含鉴权方式的指示，让终端能够知道是对用户还是设备、或用户和设备进行鉴权，也知道采用单次或两次、采用PSK方式还是采用数字证书方式对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

又由于在鉴权器中采用鉴权测量获取单元，在鉴权器没有配置或获得过NSP的鉴权策略情况下，得到归属或拜访连接服务网的AAA服务器或当前接入业务网或锚鉴权器的鉴权策略，并结合终端支持的鉴权策略、得到鉴权策略以及本地接入业务网鉴权策略取三者交集，将最终网络侧要求的鉴权策略通过鉴权策略响应告知基站。这样，终端必定可以接纳所述网络侧要求的鉴权策略，得到的鉴权策略能确保正确，不会由于终端移动到外地接入业务网而得到错误的鉴权策略。再且，通过在网络发现与选择消息中携带所述NSP对应的鉴权策略的方式，使得终端能够得到所述正确的鉴权策略，并且能够用正确的方式对正确的鉴权对象进行鉴权。

以上方法或设备中相关终端上可以没有配置鉴权策略，在下面的其他实施方式中，可以在终端上预配置有固定的归属连接服务网的鉴权策略。

参阅图7，是本发明获取鉴权策略的方法第二实施方式流程图。本实施方式中，终端在开户时预配置了H-NSP的鉴权认证策略，而且H-NSP的鉴权策略不会发生变化。此时终端入网时是知道归属网络H-NSP的鉴权策略的，当终端在漫游地时，终端只需知道当前漫游地V-CSN或ASN是否要求设备认证即可。另外，通常对于ASN网络来说，与其直接相连的V-CSN网络的鉴权策略可在网络规划部署时预配置在ASN网络内。

本实施方式包括步骤如下：

701、终端入网，执行下行信道扫描、建立终端与基站之间的同步，获取终端的上行发送参数，执行时频调整；

702、终端发起基本能力协商请求，该消息中可携带终端支持的鉴权能力和/或网络侧鉴权策略请求指示；

703、如果基站未预先配置或保存当前网络侧的鉴权策略，则基站向鉴权器鉴权器发起鉴权策略请求，用于请求网络侧鉴权策略，该请求还需携带终端支持的鉴权能力；

704、如果鉴权器没有配置或获得过拜访NSP的鉴权策略，则鉴权器向拜访连接服务网络V-CSN的AAA服务器请求其鉴权策略；

705、AAA服务器收到鉴权策略请求后将V-NSP鉴权策略下发至鉴权器中

706、鉴权器收到V-NSP的鉴权策略后结合接入业务网的鉴权策略和终端的鉴权方法能力，将最终网络侧要求的鉴权策略告知基站；

707、基站将网络侧要求的鉴权策略告知终端，并携带鉴权对象是设备的指示；

再参阅表一，在一个实施方式中，所述鉴权对象是设备的指示实际就是鉴权策略本身：携带的内容同现有标准，即表一不做修改，但含义有所变化。如果终端收到“011”或“101”，即收到“Authenticated EAP-based authorizationafter...”，所述下发的鉴权策略是对用户和设备分开鉴权时，则认为所述鉴权策略本身就是鉴权对象是设备的指示，表示当前拜访网络V-CSN或ASN要求做设备鉴权。因此，在鉴权开始前，终端和网络侧需要对什么是“鉴权对象是设备的指示”进行必要的协商。

708、终端获得网络层的鉴权策略后，发现下发的鉴权策略可以在所述预配置的鉴权策略中找到、并且所述下发的鉴权策略是对用户和设备分开鉴权时，即认为是指示对设备进行鉴权；并结合预配置的H-NSP的鉴权策略和自身的鉴权能力，对设备进行鉴权、认证。

上述终端的鉴权能力是指是否支持Single EAP、Double EAP或均支持。

此实施方式的技术效果在于：下发到终端的鉴权策略含有鉴权对象是设备的指示，终端能够知道是对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

此实施方式的有益之处还在于，不修改现有空口标准，通过鉴权认证前的空口协商告知终端当前拜访网络V-CSN或ASN是否要求设备认证即可，而终端结合开户时预配置在终端的归属网络H-CSN的鉴权策略，得知下发的鉴权策略是对用户和设备分开鉴权，此策略同样存在于终端本身预配置的鉴权策略中，因此知道网络侧需要对设备进行鉴权。通过利用现成的空口标准和必要的协商，最终获知完整的网络侧鉴权策略。为后续正确的执行入网鉴权做好准备，简单方便。

参阅图8，是本发明获取鉴权策略的方法第三实施方式的流程图。此实施方式同样是在终端在开户时预配置了固定的H-NSP的鉴权认证策略、但不要求终端在鉴权认证前和网络侧协商鉴权策略情况下实施的。当终端在漫游场景下，由于不知到拜访地的是否要求设备鉴权，则终端发起设备鉴权时只按照其预配置的H-NSP的鉴权策略发起鉴权过程，当ASN或V-CSN收到终端发起的鉴权消息后发现不符合自己要求的鉴权策略，则拒绝终端的鉴权请求，同时在回应终端的消息中告知终端原因或直接告知终端自己的鉴权策略。然后再发起鉴权认证过程。

流程如下：

801、终端入网，执行下行信道扫描、建立终端与基站之间的同步，获取终端的上行发送参数，执行时频调整；

802、终端发起基本能力协商过程；

803、鉴权器发起EAP鉴权标识请求，经基站一直发到终端；

804、终端回应EAP鉴权请求，该EAP鉴权响应消息或鉴权策略请求中携带鉴权策略，其中鉴权策略是根据终端预配置的归属网络连接服务商的鉴权策略和自身的鉴权能力确定的。该消息一直发送到鉴权器；

805、鉴权器收到终端的EAP鉴权响应或鉴权策略请求消息后，如果鉴权器预配置或曾经获得过接入业务网和/或V-NSP的鉴权策略，且终端再EAP鉴权响应消息中携带的鉴权策略不符合接入业务网或V-NSP的要求，则鉴权器直接回应该消息，跳至第806步；否则鉴权器将EAP鉴权响应或鉴权策略请求消息发至V-AAA，其中携带终端上报的鉴权策略；V-AAA收到终端的鉴权请求后，如果其上报的鉴权策略符合V-NSP的鉴权策略要求，则跳至步骤808进行正常的鉴权认证过程；否则V-AAA拒绝该终端的鉴权请求，并在鉴权策略响应消息中告知V-NSP要求的鉴权策略；

806、鉴权器收到V-NSP的鉴权策略后结合接入业务网的鉴权策略，将最终网络侧要求的鉴权策略通过基站一直发到终端；

807、终端已经通过来自网络侧的鉴权策略得到鉴权对象是设备的指示。所述指示可以再参阅表一，在一个实施方式中，所述鉴权对象是设备的指示实际就是鉴权策略本身：携带的内容同现有标准，即表一不做修改，但含义有所变化。如果终端收到“011”或“101”，即收到“Authenticated EAP-basedauthorization after...”，所述下发的鉴权策略是对用户和设备分开鉴权时，则认为所述鉴权策略本身就是鉴权对象是设备的指示，表示当前拜访网络V-CSN或ASN要求做设备鉴权。因此，在鉴权开始前，终端和网络侧需要对什么是“鉴权对象是设备的指示”进行必要的协商。

如果终端收到新的EAP鉴权标识请求，则终端按照新的鉴权策略要求，即将原有的鉴权策略结合新下发的鉴权策略，发起EAP鉴权响应或鉴权策略请求消息，该消息中携带新的鉴权策略；

808、终端获得拜访地V-NSP和/或接入业务网的鉴权策略后，结合预配置的H-NSP的鉴权策略和自身的鉴权能力，进行鉴权、认证过程。

上述实施方式和第二实施方式类似，不同之处在于终端首先发起鉴权响应消息或鉴权策略请求，但它并不知道拜访地的是否要求设备鉴权，于是在鉴权响应消息或鉴权策略请求中携带它预配置的鉴权策略，让网络侧去拒绝或允许终端的试探行为。一旦网络侧要求对设备进行鉴权，则下发携带鉴权对象的指示的鉴权策略给终端，所述的鉴权对象指示可以是检测策略本身，即只要鉴权策略是对用户和设备分开鉴权，即认为所述鉴权策略就是鉴权对象的指示，指示网络要对设备进行鉴权，并不需要更改现有空口标准，仅需要协商终端和网络侧对判断“鉴权对象的指示”的统一标准即可，简单方便。

本发明还提供鉴权方法第二实施方式，所述实施方式和鉴权方法第一实施方式类似，主要包括步骤：

一、终端向基站发起鉴权认证初始消息；

二、在收到终端发起的鉴权认证初始消息后，基站验证CMAC，在验证通过情况下向当前接入业务网网关发送重鉴权请求消息，该消息中携带重鉴权指示和锚鉴权器ID；

三、在终端上预配置有固定的归属连接服务网的鉴权策略的情况下，下发指示对设备进行鉴权的网络侧鉴权策略至终端；

四、结合所述预配置的鉴权策略和下发的网络侧鉴权策略对终端进行鉴权。

在所述预配置的归属连接服务网的鉴权策略含有对用户和设备分开鉴权的选项、并且所述网络侧的鉴权策略也是对用户和设备分开鉴权时，即认为是指示对设备进行鉴权。

其中，步骤二可以替换为：当网络侧主动要求重鉴权时，锚鉴权器通知接入业务网网关发起重鉴权过程，并在所述通知中携带锚鉴权器保存的该终端的归属连接服务网的鉴权策略。

本发明还提供基站第二实施方式。所述实施方式类似于本发明基站第一实施方式。所述鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，所述基站用于下发携带所述鉴权策略的网络发现与选择消息到终端。

所述包括鉴权器用于在终端未与网络侧协商鉴权策略情况下接收来自终端的携带有终端支持的鉴权策略的鉴权策略请求，并在鉴权器收到终端发起的鉴权策略请求后发现不符合自己要求的鉴权策略时，拒绝终端的鉴权请求，同时在回应终端的鉴权策略响应中告知终端自己的鉴权策略。

所述鉴权器包括鉴权策略获取单元，用于在鉴权器没有配置或获得过鉴权策略情况下、且终端发起的鉴权策略不符合网络侧要求的情况下，向归属连接服务网的AAA服务器发送鉴权策略请求，请求其鉴权策略；并且取得到的鉴权策略响应中的鉴权策略、终端设备支持的鉴权策略和本地鉴权策略三者之间的交集，作为返回基站的鉴权策略响应中的鉴权策略。

此实施方式的技术效果在于：由于采用鉴权策略处理单元用于在网络发现与选择消息中加入指示对设备进行鉴权的鉴权策略，让终端知道网络需要对设备进行鉴权，并且在网络没有鉴权策略的情况下能够自动获得携带有鉴权对象的指示的鉴权策略，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

参阅图9，本发明还提供一种终端900，预配置有固定的归属连接服务网的鉴权策略，并包括鉴权单元910、鉴权对象识别单元920和鉴权触发单元930。所述鉴权单元910用于在收到指示对设备进行鉴权的网络侧鉴权策略时，结合所述预配置的鉴权策略进行鉴权。

所述鉴权对象识别单元920用于匹配发现下发的鉴权策略和所述预配置的鉴权策略，在下发的鉴权策略可以在所述预配置的鉴权策略中找到、并且所述下发的鉴权策略是对用户和设备分开鉴权时，即认为是指示对设备进行鉴权，并指示鉴权单元910基于鉴权对象是设备的判断进行鉴权。

所述鉴权触发单元930用于在终端900未与网络侧协商鉴权策略情况下，按照其预配置的鉴权策略向网络侧发起鉴权策略请求，并在网络侧返回携带鉴权对象指示的失败响应情况下，所述鉴权单元910基于鉴权对象是设备的判断进行鉴权。

从以上可以看出，本发明终端能够采用鉴权对象识别单元对网络侧下发的鉴权策略进行识别，在下发的鉴权策略是对用户和设备分开鉴权时判断网络侧需要对设备进行鉴权，并且，终端本身具有预配置的鉴权策略，这样，可以利用预配置的鉴权策略对设备进行鉴权，相对于现有技术终端只能对用户进行鉴权、鉴权方式不足的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整、准确，鉴权方法更加丰富、合适，不会造成终端无法鉴权的技术问题，鉴权进程得以顺利进行。

此实施方式的有益效果还在于：在终端并不知道拜访地的是否要求设备鉴权时，可以通过鉴权触发单元向网络侧发起鉴权流程，并在请求中携带它预配置的鉴权策略，让网络侧去拒绝或允许终端的试探行为。一旦网络侧要求对设备进行鉴权，则下发携带鉴权对象的指示的鉴权策略给终端，实现在终端与网络侧之间无协商鉴权策略情况下进行鉴权的功能。

此实施方式的有益效果还在于：由于所述的鉴权对象指示是检测策略本身，即只要终端在其预配置的鉴权策略里同样存与网络侧下发的鉴权策略一样的选项，即都是对用户和设备分开鉴权时，即认为所述鉴权策略就是鉴权对象的指示，指示网络要对设备进行鉴权，并不需要更改现有空口标准，仅需要协商终端和网络侧对判断“鉴权对象的指示”的统一标准即可，简单方便。

参阅图10，是本发明获取鉴权策略的方法第四实施方式流程图。本实施方式中，终端在开户时预配置了H-NSP的鉴权认证策略以及所有或至少一个与H-NSP有签约关系的V-NSP的鉴权策略。此时终端入网时是知道H-NSP和V-NSP的鉴权策略的，当终端在漫游地时，终端只需知道当前漫游地ASN是否要求设备认证即可。

本实施方式包括如下步骤：

1011、终端入网，执行下行信道扫描、建立终端与基站之间的同步，获取终端的上行发送参数，执行时频调整；

1012、终端发起基本能力协商请求，该消息中可携带终端的鉴权策略和/或网络侧鉴权策略请求指示；所述终端的鉴权策略是指终端根据其保存的H-NSP和V-NSP的鉴权策略和终端设备支持的鉴权能力而最终选择的鉴权策略。其中终端设备支持的的鉴权能力是指是否支持Single EAP、Double EAP或均支持Single EAP和Double EAP；

1013、可选的，如果基站未预先配置或保存当前ASN网络的鉴权策略，则基站向鉴权器发起鉴权策略请求，该请求还可携带终端的鉴权策略；如果基站已经预配置或获得了当前ASN网络的鉴权策略，则不需要进行以下流程；

1014、鉴权器收到基站的鉴权策略请求后取本地接入业务网的鉴权策略和终端的鉴权策略的交集作为完整的网络侧鉴权策略，将所述网络侧鉴权策略或仅将本地接入业务网鉴权策略通过鉴权响应告知基站；

1015、基站将来自鉴权器的网络侧鉴权策略告知终端，或结合所述来自终端的鉴权策略和鉴权器告知或预先配置的本地接入业务网鉴权策略，取两者交集作为最终的网络侧鉴权策略告知终端，所述下发给终端的鉴权策略内容如上述的表一和表二所示；

携带的内容同现有标准，即此处不做修改，但含义有所变化。如果终端收到“011”或“101”，即收到“Authenticated EAP-based authorization after...”，则认为当前ASN网络要求做设备鉴权。

1016、终端根据获得的网络侧鉴权策略，进行鉴权、认证过程。

此实施方式的有益之处在于：实现简单，无需V-NSP鉴权策略的动态发现过程。终端事先存储了H-NSP和V-NSP的鉴权策略，只需与ASN进行的鉴权策略协商即可获知当前网络完整的鉴权策略。另外基站也可知终端最终要使用的鉴权策略，利于基站控制后续鉴权认证过程中的状态机。

参阅图11，是本发明获取鉴权策略的方法第五实施方式流程图。所述第五实施方式是对第四实施方式的补充。当终端在开户时只预配置了H-NSP的鉴权认证策略、而不知V-NSP的鉴权策略时，则需要V-NSP鉴权策略的动态发现过程。同时，需要在鉴权策略的协商过程中使基站获知最终的鉴权策略，以便基站控制后续鉴权认证过程中的状态机。另外，通常对于ASN网络来说，与其直接相连的V-CSN网络的鉴权策略可在网络规划部署时预配置在ASN网络内，如鉴权器鉴权器中。所述第五实施方式包括步骤：

1111、终端入网，执行下行信道扫描、建立终端与基站之间的同步，获取终端的上行发送参数，执行时频调整；

1112、在网络发现与选择阶段，网络侧通过服务标识广播消息SII-ADV告知终端所有或至少一个与终端所在接入服务网有签约关系的V-NSP提供商标识列表和每个V-NSP的鉴权策略。

其中，NSP ID和鉴权策略列表的消息定义与格式同第一实施方式。

1113、终端发起基本能力协商请求，该消息中可携带终端的鉴权策略和/或网络侧鉴权策略请求指示；上述终端发送给基站的鉴权策略是指终端根据其保存的H-NSP的鉴权策略、终端接收到的V-NSP的鉴权策略和终端设备支持的鉴权能力而最终选择的鉴权策略。其中终端设备的鉴权能力是指是否支持Single EAP、Double EAP或均支持。

1114、可选的，如果基站未预先配置或保存当前ASN网络的鉴权策略，则基站向鉴权器发起鉴权策略请求，该请求还可携带终端的鉴权策略，如果基站已经预配置或获得了当前ASN网络的鉴权策略，则不需要进行以下流程；

1115、鉴权器收到基站的鉴权策略请求后结合接入业务网的鉴权策略和/或终端的鉴权策略，将接入业务网的鉴权策略和终端的鉴权策略的交集作为完整的网络侧鉴权策略或仅将本地接入业务网的鉴权策略告知基站；

1116、基站将来自鉴权器的网络侧鉴权策略告知终端，或结合所述来自终端的鉴权策略和鉴权器告知或预先配置的本地接入业务网鉴权策略，取两者交集作为最终的网络侧鉴权策略告知终端；

1117、终端根据获得的网络侧鉴权策略，进行鉴权、认证过程。

参阅图12，基于上述描述，本发明还提供一种鉴权器1200，包括鉴权策略获取单元1210和鉴权策略处理单元1220。所述鉴权策略获取单元1210用于获取终端上传的鉴权策略和接入业务网的鉴权策略；所述鉴权策略处理单元1220用于取所述终端上传的鉴权策略和接入业务网的鉴权策略的交集，并通过基站将所述鉴权策略的交集下发给终端，同时在所述鉴权策略交集中或另外的消息中指示所述终端根据所述鉴权策略交集对设备进行鉴权。

参阅图13，本发明还提供一种通信设备1300，包括鉴权策略获取单元1310、鉴权策略处理单元1320和发送单元1330。所述鉴权策略获取单元1310用于获取网络相关实体的鉴权策略；所述鉴权策略处理单元1320用于取所述网络相关实体的鉴权策略的交集；所述发送单元1330用于通过基站将所述鉴权策略交集发送给所述终端，指示所述终端根据所述鉴权策略交集对设备进行鉴权。

类似上述本发明获取鉴权策略的方法第五实施方式，所述网络相关实体的鉴权策略是以下一种或其组合：终端支持、接入业务网或归属或拜访连接服务网的鉴权策略。

以上本发明鉴权器和通信设备实施方式可以看出，由于采用鉴权策略获取单元获取网络相关实体或终端上传的鉴权策略和接入业务网的鉴权策略，并采用鉴权策略处理单元取所述网络相关实体或终端上传的鉴权策略和接入业务网的鉴权策略的交集，并指示所述终端根据所述鉴权策略交集对设备进行鉴权，相对于现有技术只能对用户进行鉴权的技术缺陷，本发明显然可以在鉴权时让鉴权对象和鉴权方法更完整。

以上对本发明所提供的一种获取鉴权策略的方法、鉴权方法和通信设备进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。