BR112014002742B1 - Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação - Google Patents

Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação Download PDF

Info

Publication number
BR112014002742B1
BR112014002742B1 BR112014002742-0A BR112014002742A BR112014002742B1 BR 112014002742 B1 BR112014002742 B1 BR 112014002742B1 BR 112014002742 A BR112014002742 A BR 112014002742A BR 112014002742 B1 BR112014002742 B1 BR 112014002742B1
Authority
BR
Brazil
Prior art keywords
access
network
trusted
authentication
identity
Prior art date
Application number
BR112014002742-0A
Other languages
English (en)
Other versions
BR112014002742A2 (pt
BR112014002742A8 (pt
BR112014002742B8 (pt
Inventor
Huan Li
Christian Herrero
Lin Shu
Original Assignee
Nokia Technologies Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Technologies Oy filed Critical Nokia Technologies Oy
Publication of BR112014002742A2 publication Critical patent/BR112014002742A2/pt
Publication of BR112014002742A8 publication Critical patent/BR112014002742A8/pt
Publication of BR112014002742B1 publication Critical patent/BR112014002742B1/pt
Publication of BR112014002742B8 publication Critical patent/BR112014002742B8/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/04Interfaces between hierarchically different network devices
    • H04W92/14Interfaces between hierarchically different network devices between access point controllers and backbone network device

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

MÉTODO PARA ESTABELECER UM CANAL DE SEGURANÇA DE DADOS, DISPOSITIVO DE PORTA E DISPOSITIVO DE AUTENTICAÇÃO. Enviar (407, 503, 610, 706, 802), por um dispositivo de porta, uma mensagem de pedido de autenticação a um dispositivo de autenticação, receber (408, 504, 611, 707, 803), pelo dispositivo de porta, uma mensagem de resposta à autenticação enviada pelo dispositivo de autenticação, em que a mensagem de resposta à autenticação inclui um elemento de informação de relação confiável que é usado para indicar uma relação confiável de um acesso atual, e estabelecer (409, 505, 612, 708, 804), pelo dispositivo de porta, uma associação de segurança de túnel S2c de acordo com a relação confiável de acesso atual. A relação confiável quando o lado do acesso não 3GPP acessa a rede de EPS pode ser obtida, desse modo assegurando o estabelecimento de um canal de dados de segurança de túnel S2c correto.

Description

CAMPO DA INVENÇÃO
[001] As modalidades da presente invenção referem-se ao campo de tecnologias de comunicações, e mais especificamente a um método e a um aparelho de modo a estabelecer uma associação de segurança de túnel S2c em um sistema de pacote evoluída (EPS, Evolved Packet System [Sistema de Pacote Evoluída]).
ANTECEDENTES DA INVENÇÃO
[002] Com o advento de uma era de banda larga móvel, um usuário precisa usar a qualquer momento um serviço de acesso de banda larga e em qualquer lugar, que avance um requisito mais elevado em uma rede de comunicação móvel, tal como uma taxa mais elevada de transmissão, um retardo mais curto, uma capacidade mais elevada do sistema, e assim por diante. A fim de manter uma posição vantajosa de uma rede 3GPP, a organização de padrão 3GPP iniciou a pesquisa e a elaboração da padronização de um programa SAE (Evolução de Arquitetura de Sistema, evolução de arquitetura de sistema) no final de 2004, e definiu uma nova estrutura móvel de rede de comunicação, a qual é conhecida como um sistema de pacote evoluído EPS. Com a tendência da convergência e a integração de redes de núcleo, a 3GPP também propicia uma possibilidade de acessar uma rede do acesso não 3GPP em uma rede de núcleo EPC (Núcleo de Pacote Evoluído, núcleo de pacote evoluído) no sistema EPS, por exemplo, o acesso de WLAN, Wimax e assim por diante a EPC.
[003] Uma interface S2c adota um protocolo DSMIPv6 (Suporte IPv6 Móvel Para Hosts de Pilhas Duplas, suporte IPv6 móvel para hosts de pilhas duplas), e pode ser usada para uma rede do acesso não 3GPP confiável ou que não confiável para acessar uma rede EPS. Quando um UE (Equipamento do Usuário, equipamento do usuário) acessa o EPC da rede do acesso não 3GPP através da interface S2c, uma associação de segurança AS (Associação de Segurança, associação de segurança) é estabelecida entre o UE e uma PDN-GW (Porta de Rede de Dados de Pacote, porta de rede de dados de pacote, que também pode ser indicada como PGW) para proteger a sinalização de DSMIPv6. Quando o UE alcança o EPC através da interface S2c de uma rede do acesso não 3GPP confiável, depois que 3GPP define o estabelecimento de um túnel DSMIPv6 entre o UE e a PDN-GW, a PDN-GW pode iniciar o estabelecimento de associação de segurança de criança Child SA (Associação de Segurança de Criança, associação de segurança de criança) com o UE para proteger um plano de dados. No entanto, quando o UE acessa o EPC de uma rede do acesso não 3GPP que não confiável, um canal de segurança IPSec é estabelecido entre o UE e uma porta do acesso não 3GPP ePDG (PDG evoluída, porta de dados de pacote evoluída), de modo que a proteção de segurança é executada em um pacote de dados entre o UE e a PDN-GW através do canal de segurança de IPSec. Isto é, quando o UE acessa o EPS de uma maneira confiável, a Child SA pode ser estabelecida em um túnel de S2c para proteger a integridade e a confi-dencialidade do plano de dados; e quando o UE acessa o EPS de uma maneira não confiável, o canal de segurança de IPSec entre o UE e a ePDG provê proteção da integridade e proteção da confidencialidade dos dados.
[004] Tal como descrito mais acima, quando o UE acessa o EPC através da interface S2c, a PDN-GW precisa distinguir entre um cenário de acesso confiável e um cenário de acesso não confiável, de modo a completar processos de estabelecimento de canais diferentes de segurança de dados. No entanto, uma vez que a PDN-GW não pode determinar se o UE atual acessa o EPC da rede do acesso não 3GPP confiável ou da rede do acesso não 3GPP não confiável, é impossível selecionar um método correto de modo a estabelecer um canal de segurança de dados de túnel de S2c.
SUMÁRIO DA INVENÇÃO
[005] As modalidades da presente invenção provêm um método e um aparelho de modo a estabelecer um canal de segurança de dados de túnel de S2c, o qual pode assegurar o estabelecimento de um canal de segurança de dados de túnel de S2c correto.
[006] Em um aspecto, é provido um método para estabelecer um canal de segurança de dados, o qual inclui: o envio uma mensagem de pedido de autenticação a um dispositivo de autenticação, a recepção de uma mensagem de resposta à autenticação enviada pelo dispositivo de autenticação, em que a mensagem de resposta à autenticação inclui um elemento de informação de relação confiável que é usado para indicar uma relação confiável de um acesso atual, e o estabelecimento de associação de segurança de túnel S2c de acordo com a relação confiável de acesso atual. Antes da recepção da mensagem de resposta à autenticação enviada pelo dispositivo de autenticação, o método também inclui: a determinação, pelo dispositivo de autenticação, de uma relação confiável de uma rede de acesso atual de acordo com uma política configurada ou uma relação confiável armazenada quando um lado do acesso não 3GPP inicia um pedido de autenticação.
[007] Em um outro aspecto, é provido um método para estabelecer um canal de segurança de dados, o qual inclui: a recepção de uma mensagem de pedido de autenticação de um dispositivo de porta, a determinação de uma relação confiável de um acesso atual de acordo com uma política configurada ou uma relação confiável armazenado quando um lado do acesso não 3GPP inicia um pedido de autentica- ção, e o envio de uma mensagem de resposta à autenticação ao dispositivo de porta, em que a mensagem de resposta à autenticação inclui um elemento de informação de relação confiável que é usado para indicar a relação confiável de acesso atual, de modo que o dispositivo de porta estabelece um canal de segurança de dados de túnel de S2c de acordo com a indicação.
[008] Em ainda um outro aspecto, é provido um dispositivo de autenticação, o qual inclui: uma unidade de recepção, configurada para receber um pedido de autenticação de um acesso não 3GPP; uma unidade de autenticação, configurada para executar a autenticação no pedido de autenticação recebido pela unidade de recepção, e para determinar uma relação confiável de um acesso atual de acordo com uma política configurada ou uma relação confiável armazenada quando um lado do acesso não 3GPP inicia um pedido de autenticação; e uma unidade de envio, configurada para enviar uma mensagem de resposta à autenticação correspondente a uma PDN-GW, em que a mensagem inclui um elemento de informação de relação confiável que é usado para indicar a relação confiável de acesso atual.
[009] Em ainda um outro aspecto, é provido um dispositivo de porta, o qual inclui: uma unidade de envio, configurada para enviar uma mensagem de pedido de autenticação; uma unidade de recepção, configurada para receber uma mensagem de resposta do pedido de autenticação de um aparelho de autenticação, em que a mensagem inclui um elemento de informação de relação confiável que é usado para indicar uma relação confiável de um acesso atual; e uma unidade de estabelecimento de SA, configurada de modo a estabelecer um canal de segurança de dados de túnel de S2c de acordo com a relação confiável de acesso atual não 3GPP indicada na mensagem de res-posta recebida pela unidade de recepção.
[0010] De acordo com as modalidades da presente invenção, quando um UE acessa um EPC através de uma interface S2c de uma rede do acesso não 3GPP, uma mensagem de resposta à autenticação é recebida, e um canal de segurança de dados é estabelecido de acordo com uma relação confiável de uma rede de acesso atual indicada na mensagem, assegurando desse modo que um canal de segurança de dados correto seja executado.
BREVE DESCRIÇÃO DOS DESENHOS
[0011] Para ilustrar com mais clareza as soluções técnicas nas modalidades da presente invenção, o que segue introduz resumidamente os desenhos anexos necessários para descrever as modalidades ou a técnica anterior. Obviamente, os desenhos anexos na descrição a seguir são meramente algumas modalidades da presente invenção, e os elementos versados na técnica podem obter outros desenhos anexos a partir desses desenhos anexos sem fazer esforços criativos.
[0012] A FIG. 1 é um diagrama da arquitetura do sistema especificado por 3GPP em um cenário sem roaming onde uma de rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c;
[0013] a FIG. 2 é um método para estabelecer um canal de segurança quando uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção;
[0014] a FIG. 3 é um método para estabelecer um canal de segurança quando uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção;
[0015] a FIG. 4 é um fluxograma esquemático de um processo de modo a estabelecer um canal de segurança quando uma rede do acesso não 3GPP confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção;
[0016] a FIG. 5 é um fluxograma esquemático de um processo de modo a estabelecer um canal de segurança quando uma rede do acesso não 3GPP confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção;
[0017] a FIG. 6 é um fluxograma esquemático de um processo de modo a estabelecer um canal de segurança quando uma rede do acesso não 3GPP que não confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção;
[0018] a FIG. 7 é um fluxograma esquemático de um processo de modo a estabelecer um canal de segurança quando uma rede do acesso não 3GPP que não confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção;
[0019] a FIG. 8 é ume fluxograma esquemático de um processo de modo a estabelecer um canal de segurança quando uma rede não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção;
[0020] a FIG. 9 é um diagrama de blocos de um aparelho de autenticação de acordo com uma modalidade da presente invenção; e
[0021] a FIG. 10 é um diagrama de blocos de uma porta de acordo com uma modalidade da presente invenção.
DESCRIÇÃO DETALHADA DAS MODALIDADES
[0022] O que segue descreve de maneira clara e completa as soluções técnicas de acordo com as modalidades da presente invenção com referência aos desenhos anexos nas modalidades da presente invenção. Aparentemente, as modalidades descritas são meramente parte de e não consistem em todas as modalidades da presente in- venção. Todas as outras modalidades obtidas pelos elementos versados na técnica nas modalidades da presente invenção sem fazer esforços criativos irão se enquadrar dentro do âmbito de proteção da presente invenção.
[0023] A FIG. 1 é um diagrama da arquitetura do sistema especificado por 3GPP onde uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c. Uma modalidade da presente invenção pode ser aplicada a uma arquitetura de rede de EPS mostrada na FIG. 1.
[0024] Tal como mostrado na FIG. 1, a interface S2c pode ser usada para a rede do acesso não 3GPP acessar a rede de EPS. Para uma rede do acesso não 3GPP confiável, um UE é conectado diretamente a uma PDN-GW através da rede do acesso não 3GPP; ao passo que para uma rede do acesso não 3GPP não confiável, o UE é conectado a um elemento de rede de PDN-GW através de uma porta de dados de pacote evoluída confiável ePDG de uma rede doméstica.
[0025] Quando o UE executa a autenticação da interface S2c através da PDN-GW, se o UE acessar um EPC da rede do acesso não 3GPP confiável, a PDN-GW precisa iniciar o estabelecimento de associação de segurança de criança Child SA para proteger um plano de dados; e se o UE acessar o EPC da rede do acesso não 3GPP não confiável, a PDN-GW estabelece um canal de segurança DSMIPv6 através de um canal de IPSec entre o UE e uma ePDG para executar a proteção da integridade e a proteção da confidencialidade nos dados.
[0026] A partir da descrição acima, pode ser visto que a PDN-GW precisa saber se o UE atual acessa o EPC da rede do acesso não 3GPP confiável ou da rede do acesso não 3GPP não confiável, o que é uma precondição para selecionar uma maneira correta de estabelecer um canal de segurança de dados de túnel de S2c.
[0027] De acordo com a modalidade da presente invenção, na arquitetura de rede mostrada na FIG. 1, um dispositivo de autenticação determina uma relação confiável de um acesso atual, e envia a relação confiável à PDN-GW; a PDN-GW seleciona uma maneira de estabelecer o canal de segurança de dados de acordo com a indicação, o que assegura que a PDN-GW execute um processo de estabelecimento de canal de segurança correto. O dispositivo de autenticação na modalidade da presente invenção é todo ilustrado ao tomar um servidor de AAA (Contabilidade de Autorização de Autenticação, contabilidade de autorização de autenticação). Durante a implementação específica, um outro dispositivo tal como um HSS (Servidor de Assinante Doméstico, servidor de assinante doméstico) também pode servir como dispositivo de autenticação na modalidade. A FIG. 2 é um método para estabelecer um canal de segurança quando uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção.
[0028] 201: Recebe um pedido de autenticação de um lado do acesso não 3GPP e executa um processo de autenticação. O lado do acesso não 3GPP aqui pode ser uma rede do acesso não 3GPP, e também pode ser uma ePDG.
[0029] Quando é recebido um pedido de autenticação da rede do acesso não 3GPP, um servidor de AAA determina se um acesso atual é um acesso confiável ou um acesso não confiável de acordo com um parâmetro no pedido, onde o parâmetro inclui um ou vários dos seguintes: uma identidade de rede de acesso ANID, uma identidade de rede visitada Identidade de Rede Visitada (esta identidade só é necessária em um cenário de roaming), um tipo de acesso, um mecanismo de segurança usado em uma rede de acesso, e assim por diante. Um resultado da determinação acima é enviado à rede do acesso não 3GPP em uma mensagem de resposta à autenticação, e a correspon- dência entre um resultado em que o acesso atual é um acesso confiável e uma identidade de UE é armazenada, e também pode ser armazenada junto com a correspondência com uma identidade de rede.
[0030] O método de armazenamento a seguir também pode ser adotado: O servidor do AAA determina que o acesso atual é um acesso confiável ou esse pedido de autenticação é um processo da autenticação de acesso da rede do acesso não 3GPP, e quando é enviado o resultado à rede do acesso não 3GPP na mensagem de resposta à autenticação, o servidor do AAA não armazena a correspondência entre o resultado em que o acesso atual é um acesso confiável e a identidade de UE e/ou a identidade de rede.
[0031] Quando é recebida uma aplicação de autenticação de uma ePDG, se a informação de armazenamento entre um resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede não existir no servidor de AAA, o servidor de AAA armazena a informação da correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede; e em caso contrário o servidor do AAA não armazena a informação. Definitivamente, o método a seguir também pode ser adotado: Não importa se a informação de armazenamento da correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede existe, o servidor de AAA armazena o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede.
[0032] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade da rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[0033] 202: Recebe um pedido de autenticação enviado por uma PDN-GW e determina uma relação confiável de um acesso atual, isto é, se o acesso atual é um acesso confiável ou um acesso não confiável. A PGW envia uma mensagem de pedido de autenticação ao servidor de AAA, para registrar a informação de um APN (Nome do Ponto de Acesso, nome do ponto de acesso) e da PGW. A mensagem de pedido inclui uma identidade de UE, e também pode incluir uma identidade de rede visitada (essa identidade só é necessária no cenário de roaming), um tipo de acesso, uma identidade de rede de acesso, um mecanismo de segurança usado na rede de acesso, e assim por diante. O servidor do AAA executa, de acordo com a identidade de UE e/ou a identidade de rede, a comparação na informação armazenada se o acesso atual é um acesso confiável, e se a informação armazenada indicar que o acesso atual é um acesso confiável, o servidor de AAA determina que o acesso atual é um acesso confiável, e em caso contrário, se a informação armazenada for um acesso não confiável, o servidor de AAA determina que o acesso atual é um acesso não confiável. Além disso, se a informação se o acesso atual é um acesso confiável não for armazenada no servidor de AAA, o acesso atual é considerado como um acesso confiável.
[0034] Definitivamente, durante a implementação específica, o método a seguir também pode ser adotado: O servidor de AAA também pode executar diretamente, de acordo com a identidade de UE e/ou a identidade de rede, a comparação na informação de acesso confiável armazenada após a recepção do pedido de autenticação, se a informação de acesso confiável de acesso atual não for armazenada, o acesso atual é considerado como um acesso confiável, e em caso contrário ele é considerado como um acesso não confiável.
[0035] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[0036] 203. Determina uma maneira de estabelecer uma associação de segurança de túnel S2c de acordo com a relação recebido confiável de acesso atual. O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, onde a mensagem inclui um elemento de informação de relação confiável que, nesse momento, indica que o acesso atual é um acesso confiável. Depois da recepção do elemento de informação de relação confiável que indica que o acesso atual é um acesso confiável, a PGW pode iniciar um processo de estabelecimento de processo de Child SA com um UE a qualquer momento, e se receber um pedido de estabelecimento de Child SA iniciado pelo UE, a PGW aceitar o pedido. Em caso contrário, após a recepção do ele-mento de informação de relação confiável que indica que o acesso atual é um acesso não confiável, a PGW não inicia mais o processo de estabelecimento de Child SA, e se receber o pedido de estabelecimento de Child SA enviado pelo UE, a PGW rejeita o pedido.
[0037] De acordo com a modalidade da presente invenção, quando o pedido de autenticação do lado do acesso não 3GPP é processado, o resultado se o acesso atual é um acesso confiável é armazenado, e quando o pedido de autenticação enviado pelo PDN-GW é recebido em seguida, é determinado se o acesso atual é um acesso confiável de acordo com o resultado de acesso confiável armazenado, e a PGW é notificada da informação de relação confiável na mensagem de resposta, de modo que a PGW possa estabelecer corretamente a associação de segurança de túnel S2c.
[0038] A FIG. 3 é um método para estabelecer um canal de segurança quando uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção.
[0039] 301: Recebe um pedido de autenticação enviado por um PDN-GW e determina uma relação confiável de um acesso atual, isto é, se o acesso atual é um acesso confiável ou um acesso não confiável. A PGW envia uma mensagem de pedido de autenticação a um servidor de AAA, para registrar a informação de um APN e da PGW. A mensagem de pedido inclui uma identidade de UE, uma identidade de rede visitada (essa identidade só é necessária em um cenário de roaming) e um tipo de acesso, e também pode incluir uma identidade de rede de acesso, e assim por diante. O servidor do AAA determina se o acesso atual é um acesso confiável ou um acesso não confiável de acordo com um ou vários dos seguintes parâmetros: a identidade de UE, a identidade de rede visitada Identidade de Rede Visitada (essa identidade só é necessária no cenário de roaming), a identidade de rede de acesso ANID, o tipo de acesso, um mecanismo de segurança usado em uma rede de acesso, e assim por diante, e determina se o acesso atual é um acesso confiável de acordo com uma política configurada. A política inclui a correspondência entre a informação, tal como a identidade de rede visitada e/ou a identidade de rede de acesso, e assim por diante, e a relação confiável.
[0040] Se a política indicar que o acesso atual é um acesso confiável, é determinado que o acesso atual é um acesso confiável; em caso contrário, se a informação na política indicar que o acesso atual é um acesso não confiável, é determinado que o acesso atual é um acesso não confiável.
[0041] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[0042] 302. Determina uma maneira de estabelecer uma associa- ção de segurança de túnel S2c de acordo com a relação confiável recebida do acesso atual. O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, onde a mensagem inclui um elemento de informação de relação confiável que, nesse momento, indica que o acesso atual é um acesso confiável. Após a recepção do elemento de informação de relação confiável que indica que o acesso atual é um acesso confiável, a PGW pode iniciar processo de estabelecimento de Child SA com um UEa qualquer momento, e se receber um pedido de estabelecimento de Child SA iniciado pelo UE, a PGW aceita o pedido. Em caso contrário, depois da recepção do elemento de informação de relação confiável que indica que o acesso atual é um acesso não confiável, a PGW não inicia mais o processo de estabelecimento de Child SA, e se receber o pedido de estabelecimento de Child SA enviado pelo UE, a PGW rejeita o pedido.
[0043] De acordo com a modalidade da presente invenção, quando é recebido o pedido de autenticação enviado pela PDN-GW, é determinado se o acesso atual é um acesso confiável, e a PGW é notificada da informação se o acesso atual é um acesso confiável na mensagem de resposta, de modo que a PGW possa estabelecer corretamente a associação de segurança de túnel S2c.
[0044] O que segue descreve as modalidades da presente invenção em mais detalhes em combinação com exemplos específicos. A FIG. 4 é um fluxograma esquemático de um método para estabelecer um canal de segurança de dados quando uma rede do acesso não 3GPP confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção.
[0045] 401. Um UE envia uma mensagem de pedido de autenticação de EAP-RSP a uma rede do acesso não 3GPP confiável.
[0046] 402. A rede do acesso não 3GPP confiável envia um pedido de autenticação a um servidor de AAA, em que o pedido de auten- ticação inclui uma identidade de rede de acesso ANID e um tipo de acesso, e também pode incluir um parâmetro do mecanismo de segurança usado em uma rede de acesso, e assim por diante. Em um cenário de roaming, o pedido de autenticação é enviado ao servidor de AAA da rede de acesso através de um proxy de AAA. Além disso, o pedido de autenticação também inclui uma identidade de rede visitada Identidade de Rede Visitada.
[0047] O servidor de AAA determina se um acesso atual é um acesso confiável ou um acesso não confiável de acordo com um parâmetro recebido. O parâmetro inclui um ou vários dos seguintes: a identidade de rede ANID de acesso ANID, a identidade de rede visitada Identidade de Rede Visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, um mecanismo de segurança usado na rede de acesso, e assim por diante. Um resultado de acesso confiável é armazenado junto com uma identidade de UE, uma identidade de rede ou ambas.
[0048] O método a seguir também pode ser adotado: Se for determinado que o acesso atual é um acesso de rede do acesso não 3GPP ou um acesso confiável, o servidor do AAA não armazena a correspondência entre o resultado de acesso confiável e a identidade de UE e/ou a identidade de rede.
[0049] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[0050] 403: O servidor de AAA envia uma mensagem de resposta à autenticação à rede do acesso não 3GPP confiável, onde a mensagem inclui o resultado de acesso confiável acima.
[0051] 404: A rede do acesso não 3GPP confiável envia uma mensagem de resposta à autenticação de EAP-REQ ao UE, onde a mensagem inclui o resultado de acesso confiável.
[0052] 405: O UE ativa um processo de acesso L3 (Nível 3, nível 3). Uma conexão L3 é estabelecida entre o UE e a rede do acesso não 3GPP confiável, e um endereço IP local CoA é obtido a partir da rede de acesso.
[0053] 406: O UE envia um pedido de estabelecimento de associ ação de segurança uma PDN-GW, de modo a estabelecer uma SA de DSMIPv6 entre o UE e a PDN-GW. Especificamente, o pedido de es-tabelecimento de associação de segurança pode ser uma mensagem de um pedido de estabelecimento de associação de segurança tal como um pedido de autenticação de IKE, e assim por diante, onde a mensagem inclui a informação de um APN.
[0054] 407: A PGW envia uma mensagem de pedido de autentica ção ao servidor de AAA, para registrar a informação do APN (Nome do Ponto de Acesso, nome do ponto de acesso) e da PGW. A mensagem de pedido inclui uma identidade de UE e um tipo de acesso, e também pode incluir uma identidade de rede de acesso, um mecanismo de segurança usado em uma rede de acesso, e assim por diante. Se for em um cenário de roaming, a mensagem de pedido também precisa incluir uma identidade de rede visitada. O servidor de AAA executa, de acordo com a identidade de UE e/ou a identidade de rede, a comparação na informação armazenada se o acesso atual é um acesso confiável, e se a informação armazenada for um acesso confiável o servidor do AAA determina que o acesso atual é um acesso confiável.
[0055] Além disso, se a informação se o acesso atual é um acesso confiável não existir no servidor do AAA, o acesso atual é considerado como um acesso confiável.
[0056] Definitivamente, durante a implementação específica, o método a seguir também pode ser adotado: o servidor de AAA também pode executar diretamente, de acordo com a identidade de UE e/ou a identidade de rede, a comparação na informação armazenada se o acesso atual é um acesso confiável após a recepção do pedido de autenticação, e se a informação se o acesso atual é um acesso confiável não for armazenada o servidor de AAA considera o acesso atual como um acesso confiável, e em caso contrário o servidor de AAA considera o acesso atual como um acesso não confiável.
[0057] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[0058] 408: O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, em que a mensagem inclui um elemento de informação de relação confiável, um valor da qual é "confiável" ou "não confiável", e se indicar "confiável" nesse momento significa que atualmente é um acesso confiável.
[0059] 409: A PGW envia uma mensagem de resposta ao estabe lecimento de associação de segurança ao UE, em que a mensagem inclui um endereço IP alocado ao UE pela PGW.
[0060] 410: O elemento de informação de PGW pode iniciar pro cesso de estabelecimento de Child SA com o UE a qualquer momento após a recepção do elemento de informação de relação confiável que indica que o acesso atual é um acesso confiável. Se receber um pedido de estabelecimento de Child SA iniciado pelo UE, a PGW aceita o pedido e estabelece uma Child SA.
[0061] A FIG. 5 é um fluxograma esquemático de um método para estabelecer um canal de segurança de dados quando uma rede de acesso confiável não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção.
[0062] 501: Um UE ativa um processo de acesso L3. Uma conexão L3 é estabelecida entre o UE e uma rede do acesso não 3GPP confiável, e um endereço IP local CoA é obtido a partir da rede de acesso.
[0063] 502: O UE envia uma pedido de estabelecimento de associação de segurança a uma PDN-GW, de modo a estabelecer uma SA de DSMIPv6 entre o UE e a PDN-GW. Especificamente, o pedido de estabelecimento de associação de segurança pode ser uma mensagem do pedido de estabelecimento de associação de segurança tal como um pedido de autenticação de IKE, e assim por diante, onde a mensagem inclui a informação de um APN.
[0064] 503: A PGW envia uma mensagem de pedido de autentica ção a um servidor do AAA, registra a informação do APN e da PGW, em que a mensagem de pedido inclui uma identidade de UE e um tipo de acesso, e também pode incluir uma identidade de rede de acesso, e assim por diante. Se em um cenário de roaming, a mensagem de pedido não precisa mais incluir uma identidade de rede visitada. Se não for encontrada a informação armazenada se um acesso atual é um acesso confiável de acordo com a identidade de UE e/ou uma identidade de rede, o servidor de AAA considera o acesso atual como um acesso confiável.
[0065] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou um mecanismo de segurança usado na rede de acesso, e assim por diante.
[0066] 504: O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, em que a mensagem inclui um elemento de informação de relação confiável, um valor da qual "é confiável" ou "não confiável", e se indicar "confiável" nesse momento significa que atual- mente é um acesso confiável.
[0067] 505: A PGW envia uma mensagem de resposta ao estabelecimento de associação de segurança ao UE, onde a mensagem inclui um endereço IP alocado ao UE pela PGW.
[0068] 506: O elemento de informação de PGW pode iniciar um processo de estabelecimento de Child SA com o UE a qualquer momento após a recepção do elemento de informação de relação confiável que indica que o acesso atual é um acesso confiável. Se receber o pedido de estabelecimento de Child SA iniciado pelo UE, a PGW aceita o pedido e estabelece uma Child SA.
[0069] A FIG. 6 é um fluxograma esquemático de um processo para estabelecer um canal de segurança quando uma rede do acesso não 3GPP não confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção.
[0070] 601. Um terminal envia uma mensagem de pedido de autenticação de EAP-RSP a uma rede do acesso não 3GPP não confiável.
[0071] 602. A rede do acesso não 3GPP não confiável envia um pedido de autenticação a um servidor de AAA, em que o pedido de autenticação inclui uma identidade de rede de acesso ANID e um tipo de acesso, e pode incluir ainda um parâmetro do mecanismo de segurança usado em uma rede de acesso. Em um cenário de roaming, o pedido de autenticação apresentado pela rede de acesso precisa ser encaminhado através ao servidor de AAA através de um proxy de AAA, e o pedido inclui uma identidade de rede visitada Identidade de Rede Visitada.
[0072] O servidor de AAA determina se um acesso atual é um acesso confiável ou um acesso não confiável de acordo com um parâmetro no pedido de autenticação. O parâmetro inclui um ou vários dos seguintes: a identidade de rede de acesso ANID, a identidade de rede visitada Identidade de Rede Visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, um mecanismo de segurança usado na rede de acesso, e assim por diante. Um resultado de acesso não confiável, uma identidade de UE e/ou uma identidade de rede e sua correspondência são armazenados em conjunto.
[0073] O método a seguir também pode ser adotado: Se for determinado que o acesso atual é um acesso de rede do acesso não 3GPP, o servidor de AAA não armazena o resultado de acesso não confiável, a identidade de UE e/ou a identidade de rede e a sua correspondência.
[0074] A identidade de rede armazenada no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, ou a identidade de rede de acesso, e assim por diante.
[0075] 603: O servidor de AAA envia uma mensagem de resposta à autenticação à rede do acesso não 3GPP não confiável, em que a mensagem inclui o resultado de acesso não confiável acima.
[0076] 604: A rede do acesso não 3GPP não confiável envia uma mensagem de resposta à autenticação de EAP-REQ ao UE, em que a mensagem inclui o resultado de acesso que não confiável acima.
[0077] 605: O UE envia um pedido de autenticação de IKE a uma ePDG, para pedir para estabelecer um túnel de IPSec entre o UE e a ePDG.
[0078] 606: A ePDG envia um pedido de autenticação ao servidor de AAA, em que o pedido de autenticação é enviado pelo proxy de AAA no cenário de roaming. Se a correspondência entre o acesso não confiável de acesso atual e a identidade de UE e/ou a identidade de rede não for armazenada no servidor de AAA, o servidor d AAA armazena a correspondência entre o resultado de acesso não confiável do acesso e a identidade de UE e/ou a identidade de rede nesse momen- to, e em caso contrário o servidor de AAA não armazena a informação.
[0079] Definitivamente, o método a seguir também pode ser adotado: Não importa se a informação de armazenamento da correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede existe, o servidor de AAA armazena a correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede.
[0080] A identidade de rede armazenada no processo acima inclui uma ou várias partes das informações a seguir: a identidade de rede de acesso, o mecanismo de segurança usado na rede de acesso e o tipo de acesso, e também inclui a identidade de rede visitada se for um cenário de roaming.
[0081] 607: O servidor de AAA envia uma mensagem de resposta à autenticação à ePDG.
[0082] 608: A ePDG envia uma mensagem de resposta à autenti cação de IKE ao UE.
[0083] 609: O UE envia uma pedido de estabelecimento de asso ciação de segurança a uma PDN-GW, de modo a estabelecer uma SA de DSMIPv6 entre o UE e a PDN-GW. Especificamente, o pedido de estabelecimento de associação de segurança pode ser uma mensagem de pedido de estabelecimento de associação de segurança tal como um pedido de autenticação de IKE, e assim por diante, em que a mensagem inclui a informação de um APN.
[0084] 610: A PGW envia uma mensagem de pedido de autentica ção ao servidor de AAA, registra a informação do APN e da PGW, em que a mensagem de pedido de autenticação inclui uma identidade de UE. A mensagem de pedido de autenticação também pode incluir uma identidade de rede, a qual inclui uma ou várias partes das informações a seguir: uma identidade de rede de acesso, um mecanismo de segurança usado na rede de acesso e um tipo de acesso, e também inclui uma identidade de rede visitada se for um cenário de roaming. O servidor de AAA determina que atualmente é um acesso não confiável de acordo com a correspondência entre a identidade de UE e/ou a identidade de rede e informação de relação confiável armazenada.
[0085] 611: O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, em que a mensagem de resposta à autenticação inclui um elemento de informação de relação confiável, um valor do qual é "confiável" ou "não confiável", e se indicar "confiável" nesse momento significa que atualmente é um acesso confiável. Após a recepção da mensagem que indica que o acesso atual é um acesso não confiável, a PGW não inicia mais o processo de estabelecimento de Child SA, e se receber o pedido de estabelecimento de Child SA enviado pelo UE a PGW rejeita o pedido. Uma maneira de rejeição pode ser que: Quando um valor de causa em Notificar Payload em uma mensagem de resposta ao pedido de estabelecimento de Child SA indica "NO_ADDITIONAL_SAS" ou "NO_Child_SAS" ou outros valores de causa significa que o estabelecimento de Child SA não é mais re-cebido.
[0086] 612: A PGW envia uma mensagem de resposta ao estabe lecimento de associação de segurança ao UE, onde a mensagem inclui um endereço IP alocado ao UE pela PGW.
[0087] A FIG. 7 é um fluxograma esquemático de um processo para estabelecer um canal de segurança quando uma rede do acesso não 3GPP não confiável acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma modalidade da presente invenção.
[0088] 701: Um UE envia um pedido de autenticação de IKE a uma ePDG, para pedir para estabelecer um túnel de IPSec entre o UE e a ePDG.
[0089] 702: A ePDG envia um pedido de autenticação a um servidor de AAA, em que o pedido de autenticação é enviado por um proxy de AAA em um cenário de roaming. Se for verificado que a correspondência entre um acesso não confiável de um acesso atual e uma identidade de UE e/ou uma identidade de rede não é armazenada, o servidor de AAA armazena a correspondência entre o resultado de acesso não confiável do acesso e a identidade de UE e/ou a identidade de rede.
[0090] Definitivamente, o método a seguir também pode ser adotado: Não importa se a informação de armazenamento da correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede existe, o servidor de AAA armazena a correspondência entre o resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede.
[0091] 703: O servidor de AAA envia uma mensagem de resposta à autenticação à ePDG.
[0092] 704: A ePDG envia uma mensagem de resposta à autenti cação de IKE ao UE.
[0093] 705: O UE envia uma pedido de estabelecimento de asso ciação de segurança a uma PDN-GW, de modo a estabelecer uma SA de DSMIPv6 entre o UE e a PDN-GW. Especificamente, o pedido de estabelecimento de associação de segurança pode ser uma mensagem do pedido de estabelecimento de associação de segurança tal como um pedido de autenticação de IKE, e assim por diante, onde a mensagem inclui a informação de um APN.
[0094] 706: A PDN-GW envia uma mensagem de pedido de autenticação ao servidor de AAA, para registrar a informação do APN e da PGW, onde a mensagem de pedido de autenticação inclui uma identidade de UE. A mensagem de pedido de autenticação também pode incluir uma identidade de rede, em que a identidade de rede inclui uma ou várias partes das informações a seguir: uma identidade de rede de acesso, um mecanismo de segurança usado na rede de acesso e um tipo de acesso, e também inclui uma identidade de rede visitada se for um cenário de roaming. O servidor de AAA determina que atualmente é um acesso não confiável de acordo com a correspondência entre a identidade de UE e/ou a identidade de rede e a informação de relação confiável armazenada.
[0095] 707: O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, em que a mensagem inclui um elemento de informação de relação confiável, um valor do qual "é confiável" ou "não confiável", e se indicar "confiável" nesse momento significa que atualmente é um acesso confiável. Após a recepção da mensagem que indica que o acesso atual é um acesso não confiável, a PGW não inicia mais o processo de estabelecimento de Child SA, e se receber o pedido de estabelecimento de Child SA enviado pelo UE, a PGW rejeita o pedido. Uma maneira da rejeição pode ser que: Quando um valor de causa em Notificar Payload em uma mensagem de resposta ao pedido de estabelecimento de Child SA indica "NO_ADDITIONAL_SAS" ou "NO_Child_SAS" ou outro valores de causa, significa que o estabelecimento de Child SA não é mais recebido.
[0096] 708: A PGW envia uma mensagem de resposta ao estabe lecimento de associação de segurança ao UE, onde a mensagem inclui um endereço IP alocado ao UE pela PGW.
[0097] A FIG. 8 é um fluxograma esquemático de um processo para estabelecer um canal de segurança quando uma rede do acesso não 3GPP acessa uma rede de EPS ao adotar uma interface S2c de acordo com uma outra modalidade da presente invenção.
[0098] 801: Um UE envia uma pedido de estabelecimento de as sociação de segurança a uma PGW, de modo a estabelecer uma SA de DSMIPv6 entre o UE e a PDN-GW. Especificamente, o pedido de estabelecimento de associação de segurança pode ser uma mensagem do pedido de estabelecimento de associação de segurança tal como um pedido de autenticação de IKE, e assim por diante, em que a mensagem inclui a informação de um APN.
[0099] 802: A PGW envia uma mensagem de pedido de autenticação ao servidor de AAA, para registrar a informação do APN e da PGW, em que a mensagem de pedido inclui uma identidade de UE. A mensagem de pedido de autenticação também pode incluir uma identidade de rede, em que a identidade de rede inclui uma ou várias partes das informações a seguir: uma identidade de rede de acesso, um mecanismo de segurança usado em uma rede de acesso e um tipo de acesso, e também inclui uma identidade de rede visitada se for um cenário de roaming.
[00100] O servidor de AAA determina se um acesso atual é um acesso confiável de acordo com uma política configurada, em que a política inclui a correspondência entre a identidade de rede e uma relação confiável. Um método de determinação pode ser que: O servidor de AAA consulta a política configurada e determina a relação confiável de uma rede de acesso atual de acordo com a identidade de rede na mensagem de pedido de autenticação. Se a mensagem de pedido de autenticação não incluir a identidade de rede de acesso, o servidor de AAA também pode ter que construir uma identidade de rede de acesso de acordo com um tipo de identidade de acesso. Um método específico é que um tipo de acesso é em geral um tipo método de denotação de número inteiro, por exemplo, 0 denota WLAN, 2001 denota HRPD, e assim por diante. Um prefixo da rede de acesso é um traço de caráter tal como "WLAN" e "HRPD". Portanto, o servidor de AAA obtém o tipo específico descrição de acesso que corresponde a um inteiro do tipo de acesso pela tabela de consulta de acordo com o tipo de acesso, e denota a descrição com um traço de caráter, que é servido como um prefixo da identidade da rede de acesso. A identidade da rede de acesso não pode ter nenhum traço de caráter adicional exceto a pré- mistura, ou uma regra de geração é decidida pelo próprio servidor de AAA.
[00101] Um método de determinação pode ser executado ao adotar a seguinte maneira: A política inclui registros de uma relação confiável e uma relação não confiável; a consultação a uma tabela de dados da política configurada, se a relação confiável que corresponde à identidade de rede for um acesso confiável, determina que o acesso atual é um acesso confiável, e se a relação confiável for um acesso não confiável, determina que o acesso atual é um acesso não confiável. Também pode ser que somente um dentre o acesso confiável e o acesso não confiável esteja ajustado na política, por exemplo, somente um registro de acesso confiável é ajustado, se a informação relacionada não puder ser encontrada por meio da consultação, é um acesso não confiável.
[00102] 803: O servidor de AAA envia uma mensagem de resposta à autenticação à PGW, em que a mensagem inclui um elemento de informação de relação confiável, um valor do qual "é confiável" ou "não confiável", para indicar que o acesso atual é um acesso confiável ou um acesso não confiável. A PGW recebe uma mensagem de relação confiável do acesso atual, e determina uma maneira de estabelecer uma associação de segurança de túnel S2c. Se for um acesso confiável, a PGW pode iniciar o processo de estabelecimento de Child SA com o UE a qualquer momento; e se receber o pedido de estabelecimento de Child SA iniciado pelo UE, a PGW aceita o pedido e estabelece uma Child SA. Se for um acesso não confiável, a PGW não inicia mais o processo de estabelecimento de Child SA; e se receber o pedido de estabelecimento de Child SA enviado pelo UE, a PGW rejeita o pedido. Uma maneira de rejeição pode ser que: Quando um valor de causa em Notificar Payload em uma mensagem de resposta ao pedido de estabelecimento de Child SA indica "NO_ADDITIONAL_SAS" ou "NO_Child_SAS" ou outros valores de causa, significa que o estabelecimento de CHild SA não é mais recebido.
[00103] 804: A PGW envia uma mensagem de resposta ao estabe lecimento de associação de segurança ao UE, em que a mensagem de resposta ao estabelecimento de associação de segurança inclui um endereço IP alocado ao UE pela PGW.
[00104] A FIG. 9 é um diagrama de blocos de um aparelho da autenticação de acordo com uma modalidade da presente invenção. Um exemplo não restritivo do aparelho de autenticação 90 na FIG. 9 é o dispositivo HSS/AAA mostrado da FIG. 4 à FIG. 8, o qual inclui uma unidade de recepção 91, uma unidade de autenticação 92 e uma unidade de envio 93.
[00105] A unidade de recepção 91 recebe um pedido de autenticação enviado por um lado do acesso não 3GPP (uma rede do acesso não 3GPP ou uma ePDG) ou por uma PDN-GW quando um UE acessa uma rede de EPS através de uma interface S2c. A unidade de autenticação 92 executa a autenticação no acesso: para um pedido de autenticação enviado pelo lado do acesso não 3GPP, a unidade de autenticação determina se um acesso atual é um acesso confiável, e grava a correspondência entre um resultado de acesso confiável e uma identidade de UE ou uma identidade de rede ou ambas; e para um pedido de autenticação enviado pela PDN-GW a unidade de autenticação determina se o acesso atual é um acesso confiável de acordo com uma política configurada ou um resultado de acesso confiável gravado quando a autenticação é executada no lado de acesso. A unidade de envio 93 é configurada para enviar um elemento de informação de relação confiável à PDN-GW de acordo com um resultado se o acesso atual é um acesso confiável, em que o resultado é determinado pela unidade de autenticação, para indicar se o acesso atual é um acesso confiável.
[00106] De acordo com a modalidade da presente invenção, quando a rede de EPS é acessada da rede do acesso não 3GPP através da interface S2c, o UE recebe o pedido de autenticação enviado pela PDN-GW, determina se o acesso atual é um acesso confiável de acordo com a política configurada ou a correspondência se o acesso atual é um acesso confiável, em que a correspondência é gravada quando a autenticação é executada no pedido de autenticação iniciado pelo lado de acesso (a rede do acesso não 3GPP ou a ePDG), e envia um resultado de acesso confiável à PDN-GW, de modo que a PDN-GW possa obter a informação se o acesso atual for um acesso confiável, que implementa o estabelecimento correto de um canal de segurança de da-dos de túnel de S2c quando o UE acessa a rede de EPS da rede de acesso 3GPP através da interface S2c.
[00107] Em uma modalidade, quando a unidade de autenticação 92 determina se o acesso atual é um acesso confiável de acordo com a política configurada, um método de determinação pode ser que: De acordo com uma identidade de rede de acesso na mensagem de pedido de autenticação (uma identidade de rede visitada também é necessária em um cenário de roaming), consulta a política configurada para determinar uma relação confiável da rede de acesso atual. Se a mensagem de pedido de autenticação não incluir a identidade de rede de acesso, é necessário construir uma identidade de rede de acesso de acordo com uma identidade do tipo de acesso. Especificamente, um tipo de acesso é em geral um método de denotação de número inteiro, por exemplo, 0 denota WLAN, 2001 denota HRPD, e assim por diante. Um prefixo da rede de acesso é um traço de caráter tal como "WLAN" e "HRPD". A unidade de autenticação 92 obtém a descrição do tipo de acesso específico que corresponde a um número inteiro do tipo de acesso pela tabela de consulta de acordo com o tipo de acesso, e denota a descrição com um traço de caráter, que serve como um prefixo de identidade da rede de acesso. A identidade da rede de acesso não pode ter nenhum traço de caráter adicional exceto a pré-mistura, ou uma regra de geração é decidida pelo próprio servidor de AAA. A política inclui a correspondência entre a identidade da rede de acesso (a identidade da rede visitada também é necessária no cenário de roaming) e a relação confiável.
[00108] Um método de determinação pode adotar a seguinte maneira: consulta de uma tabela de dados da política configurada, e verificação de uma relação confiável que corresponde à identidade da rede de acesso (a identidade da rede visitada também é necessária no cenário de roaming), se a relação confiável for um acesso confiável determina que o acesso atual é um acesso confiável, e se a relação confiável for um acesso não confiável, determina que o acesso atual é um acesso não confiável. Durante a implementação da especificação, também é possível adotar que somente um dentre o acesso confiável e o acesso não confiável seja ajustado na política, por exemplo, so-mente um registro de acesso confiável é ajustado, se a informação re-lacionada não puder ser encontrada por meio de consulta, é um acesso não confiável.
[00109] Em uma outra modalidade, a unidade de autenticação 92 executa a autenticação no pedido de autenticação do lado do acesso não 3GPP. O lado do acesso não 3GPP neste caso pode ser uma rede do acesso não 3GPP, e pode também ser uma ePDG.
[00110] Quando é executada a autenticação no pedido de autenticação da rede do acesso não 3GPP, a unidade de autenticação 92 determina se o acesso atual é um acesso confiável ou um acesso não confiável de acordo com um parâmetro no pedido. O parâmetro inclui um ou vários dos seguintes: a identidade de rede de acesso ANID, a identidade de rede visitada Identidade de Rede Visitada (a identidade só é necessária no cenário de roaming), o tipo de acesso, um meca- nismo de segurança usado em uma rede de acesso, e assim por diante. A correspondência entre um resultado se o acesso atual é um acesso confiável e a identidade de UE é armazenada, e a identidade de rede e a correspondência podem ser armazenadas em conjunto.
[00111] O método a seguir também pode ser adotado: Determinação se o acesso atual é um acesso de rede do acesso não 3GPP ou um acesso confiável, não armazenamento da correspondência entre o resultado se o acesso atual é um acesso confiável e a identidade de UE e/ou a correspondência entre o resultado se o acesso atual é um acesso confiável e a identidade de rede.
[00112] A identidade de rede no processo acima inclui informações tais como a identidade de rede visitada (essa identidade só é necessária no cenário de roaming), o tipo de acesso, a identidade de rede de acesso, ou o mecanismo de segurança usado na rede de acesso, e assim por diante.
[00113] Quando é executada a autenticação no pedido de autenticação da ePDG, se não for encontrada a informação de armazenagem de um resultado de acesso não confiável de acesso atual e a identidade de UE e/ou a identidade de rede por meio de indagação, a unidade de autenticação 92, nesse momento, armazena informações tais como o resultado de acesso não confiável de acesso e a identidade de UE e/ou a identidade de rede, e assim por diante; ou então, não armazena a informação. Definitivamente, o método a seguir também pode ser adotado: Não importa se a informação de armazenamento do resultado de acesso não confiável do acesso atual e a identidade de UE e/ou a identidade de rede existe, é armazenado o resultado de acesso não confiável de acesso atual e a identidade de UE e/ou a identidade de rede.
[00114] Além disso, ao executar a autenticação no pedido recebido da autenticação enviado pela PDN-GW, a unidade de autenticação 92 executa, de acordo com a identidade de UE e/ou a identidade de rede no pedido, a comparação na correspondência armazenada ao executar a autenticação em uma aplicação de autenticação do lado do acesso não 3GPP entre a identidade de UE e/ou a identidade de rede e se o acesso atual é um acesso confiável, e se a informação armazenada indicar um acesso confiável, a unidade de autenticação 92 determina que o acesso atual é um acesso confiável, em caso contrário, se a informação armazenada indicar um acesso não confiável, a unidade de autenticação 92 determina que o acesso atual é um acesso não confiável.
[00115] Além disso, se a informação se o acesso atual é um acesso confiável não for armazenada, o acesso atual é considerado como um acesso confiável.
[00116] Definitivamente, durante a implementação específica, o método a seguir também pode ser adotado: A unidade de autenticação 92 também pode executar diretamente, de acordo com a identidade de UE e/ou a identidade de rede no pedido, a comparação na informação armazenada da correspondência se o acesso atual é um acesso confiável após a recepção do pedido de autenticação, se a informação se o acesso atual é um acesso confiável não for armazenada a unidade de autenticação 92 considera o acesso atual como um acesso confiável, ou então, a unidade de autenticação 92 considera o acesso atual como um acesso não confiável.
[00117] A identidade de rede no processo acima inclui informações tais como uma identidade de rede visitada (essa identidade só é necessária no cenário de roaming), um tipo de acesso, uma identidade de rede de acesso, ou um mecanismo de segurança usado na rede de acesso, e assim por diante.
[00118] A unidade de envio 93 envia uma mensagem de resposta à autenticação para a PGW, em que a mensagem inclui um elemento de informação de relação confiável, um valor do qual "é confiável" ou "não confiável", e se indicar "confiável" nesse momento significa que atualmente é um acesso confiável.
[00119] Portanto, quando o UE acessa a rede de EPS através da interface S2c de um acesso não 3GPP, o aparelho da autenticação da modalidade da presente invenção estende o método da autenticação para determinar se o acesso atual é um acesso confiável e envia o resultado de acesso confiável à PDN-GW, de modo que a PDN-GW possa estabelecer corretamente o canal de segurança de dados de túnel de S2c quando o UE acessar a rede de EPS através da interface S2c do acesso não 3GPP.
[00120] A FIG. 10 é um diagrama de blocos de uma porta de acordo com uma modalidade da presente invenção. Um exemplo não restritivo da porta 100 na FIG. 10 é a PDN-GW mostrada da FIG. 4 à FIG. 8, a qual inclui uma unidade de envio 1001, uma unidade de recepção 1002 e uma unidade de estabelecimento de associação de segurança SA 1003.
[00121] A unidade de envio 1001 envia uma mensagem de pedido de autenticação, e a unidade de recepção 1002 recebe uma mensagem de resposta do aparelho de autenticação a um pedido de autenticação. A unidade de estabelecimento de associação de segurança SA 1003 estabelece um canal de segurança de dados de túnel de S2c de acordo com uma relação de acesso não 3GPP confiável indicada na mensagem de resposta recebida pela unidade de recepção 1002.
[00122] De acordo com a modalidade da presente invenção, quando o acesso não 3GPP acessa uma rede de EPS através de uma interface S2c, a mensagem de resposta do pedido de autenticação do aparelho de autenticação, onde a mensagem inclui a informação que indica a relação confiável deste acesso não 3GPP é recebida, então a unidade de estabelecimento de associação de segurança SA 1003 de- termina uma maneira de estabelecer uma associação de segurança de túnel S2c de acordo com a informação de relação confiável. Se esse acesso não 3GPP for um acesso confiável, o processo de estabelecimento de associação de segurança de criança Child SA com um UE é iniciado a qualquer momento; e se um pedido de estabelecimento de associação de segurança de criança Child SA iniciado pelo UE for recebido, o pedido é aceito e a associação de segurança de criança Child SA é estabelecida. Se esse acesso não 3GPP for um acesso não confiável, o processo de estabelecimento de associação de segurança de criança Child SA não é mais iniciado; e se o pedido de esta-belecimento de associação de segurança de criança Child SA enviado pelo UE for recebido, o pedido é rejeitado. Uma maneira de rejeição pode ser tal como segue: quando "NO_ADDITIONAL_SAS" ou "NO_Child_SAS" ou um outro valor de causa são indicados em Notificar Payload na mensagem de resposta ao pedido de estabelecimento de associação de segurança de criança Child SA, significa que o estabelecimento da associação de segurança de criança Child SA não é mais recebido. Desta maneira, o canal de segurança de dados de túnel de S2c é estabelecido corretamente.
[00123] Portanto, quando o UE acessa a rede de EPS do acesso não 3GPP através da interface S2c, o aparelho de porta da modalidade da presente invenção recebe a mensagem de autenticação que inclui a informação da indicação de relação confiável de um acesso atual, e então estabelece corretamente a associação da segurança de dados de túnel de S2c de acordo com o conteúdo obtido a partir da informação da indicação, portanto, pode assegurar o estabelecimento correto do canal de segurança de dados de túnel de S2c quando o UE acessar a rede de EPS do acesso não 3GPP através da interface S2c.
[00124] Um sistema de comunicação de acordo com as modalidades da presente invenção pode incluir o aparelho de autenticação 90 acima e/ou a porta 100.
[00125] Os versados na técnica podem estar cientes que, em combinação com os exemplos descritos nas presentes modalidades, unidades e etapas de algoritmo podem ser implementadas por hardware eletrônico, por software de computador, ou por uma combinação dos dois. Para ilustrar claramente a intercambialidade entre o hardware e o software, a descrição acima descreveu de modo geral a composição e as etapas de cada exemplo de acordo com as funções. Se as funções são executadas em uma maneira de hardware ou de software depende de uma aplicação particular e uma condição de limitação de desenho das soluções técnicas. Os versados na técnica podem usar métodos diferentes para implementar as funções descritas para cada aplicação particular, mas não se deve considerar que tal implementação vai além do âmbito da presente invenção.
[00126] Pode ser claramente compreendido pelos versados na técnica que, para fins de conveniência e brevidade da descrição, para um processo de trabalho detalhado do sistema, aparelho e unidade acima, pode ser feita referência ao processo correspondente nas modalidades do método, que não é aqui descrito repetidamente.
[00127] Nas modalidades fornecidas no presente pedido de patente, deve ser compreendido que o sistema, o aparelho e o método apresentados podem ser implementados de outras maneiras. Por exemplo, as modalidades do aparelho descritas acima são meramente exemplificadoras. Por exemplo, a divisão das unidades é meramente a divisão da função lógica e pode haver outras maneiras de divisão na implementação prática. Por exemplo, múltiplas unidades ou componentes podem ser combinados ou integrados em um outro sistema, ou algumas características podem ser ignoradas ou não executadas. Além disso, os acoplamentos mútuos indicados ou discutidos ou os a-coplamentos diretos ou as conexões de comunicação podem ser im- plementados através de algumas interfaces. Os acoplamentos indiretos ou as conexões de comunicação entre os aparelhos ou as unidades podem ser implementados de uma maneira eletrônica, mecânica ou de uma outra maneira.
[00128] As unidades descritas como peças separadas podem ou não ser fisicamente separadas, e as peças indicadas como unidades podem ou não ser unidades físicas, podem ser localizadas em uma posição, ou podem ser distribuídas em múltiplos elementos de rede. Uma parte ou todas as unidades podem ser selecionadas de acordo com uma necessidade real para atingir os objetivos das soluções das modalidades.
[00129] Além disso, as unidades funcionais nas modalidades da presente invenção podem ser integradas em uma unidade de processamento, ou cada uma das unidades pode existir fisicamente sozinha, ou duas ou mais unidades são integradas em uma unidade. A unidade integrada pode ser implementada em uma forma de hardware, ou pode ser implementada em uma forma de uma unidade funcional de software.
[00130] Quando é implementada na forma de uma unidade funcional de software e vendida ou usada como um produto separado, a unidade integrada pode ser armazenada em um meio de armazenamento que pode Sr lido por computador. Com base em tal compreensão, as soluções técnicas da presente invenção, essencialmente, ou em parte contribuindo para a técnica anterior, ou todas ou parte das soluções técnicas podem ser implementadas em uma forma de um produto de software. O produto de software do computador é armazenado em um meio de armazenamento e inclui várias instruções para instruir um dispositivo de computador (que pode ser um computador pessoal, um servidor, um dispositivo de rede, e outros ainda) para executar todas ou parte das etapas dos métodos descritos nas modalidades da pre sente invenção. O meio de armazenamento inclui: qualquer meio que pode armazenar códigos de programas, tais como um U-disco, um disco rígido removível, uma memória só de leitura (ROM, Memória Só de Leitura), uma memória de acesso aleatório (RAM, memória de acesso aleatório), um disco magnético, ou um disco compacto, e assim por diante.
[00131] As descrições acima são meramente maneiras de implementação específicas da presente invenção, mas não se prestam a limitar o âmbito de proteção da presente invenção. Qualquer variação ou substituição que for imediatamente concebível a versados na técnica sem que se desvie do âmbito técnico apresentado na presente invenção irá se enquadrar dentro do âmbito de proteção da presente invenção. Portanto, o escopo de proteção da presente invenção será sujeito ao escopo de proteção das reivindicações.

Claims (9)

1. Método para estabelecer uma associação de segurança de criança (Child SA) entre um equipamento do usuário (UE) e uma rede de dados de pacote (PDN), caracterizado pelo fato de que compreende as etapas de: enviar (407, 503, 610, 706, 802), pela porta PDN, uma mensagem de pedido de autenticação para um dispositivo de autenticação; receber (408, 504, 611, 707, 803), pela porta PDN, uma mensagem de resposta à autenticação, a partir do dispositivo de autenticação, de modo que a porta PDN seja capaz de determinar se o UE acessa uma rede de Núcleo de Pacote Evoluído (EPC) através de uma rede do acesso não 3GPP confiável, a partir de um elemento de informação de relação confiável compreendido na mensagem em resposta à autenticação; e estabelecer (409, 505, 612, 708, 804), pela porta PDN, a Child SA com o UE, de acordo com uma indicação do elemento de informação de relação confiável de que o UE acessa a rede EPC através da rede do acesso não 3GPP confiável.
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o estabelecimento da Child SA com o UE compreende: iniciar, pela porta PDN, um processo de estabelecimento de Child SA.
3. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o estabelecimento da Child SA com o UE compreende: receber, pela porta PDN, um pedido de estabelecimento da Child SA, a partir do UE; e aceitar, pela porta PDN, o pedido de estabelecimento da Child SA.
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a indicação do elemento de informação de relação confiável tem um valor de "confiável" que indica que o UE acessa a rede EPC através de uma rede do acesso não 3GPP confiável.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que o dispositivo de autenticação é um servidor de contabilidade de autorização de autenticação (AAA) ou um Servidor de Assinante Doméstico (HSS).
6. Porta de rede de dados de pacote (PDN) caracterizada pelo fato de que compreende: um transmissor (1001), configurado para enviar uma mensagem de pedido de autenticação para um dispositivo de autenticação; um receptor (1002), configurado para receber uma mensagem de resposta ao pedido de autenticação do dispositivo de autenticação, de modo que a porta PDN seja capaz de determinar se o UE acessa uma rede de Núcleo de Pacote Evoluído (EPC) através de uma rede do acesso não 3GPP confiável, a partir de um elemento de informação de relação confiável compreendido na mensagem em resposta à autenticação; e um processador (1003), acoplado ao transmissor e ao receptor e configurado para: estabelecer uma associação de segurança de criança (Child SA) com o UE, de acordo com uma indicação do elemento de informação de relação confiável de que o UE acessa a rede EPC através da rede do acesso não 3GPP confiável.
7. Porta de rede de dados de pacote (PDN), de acordo com a reivindicação 6, caracterizada pelo fato de que o processador é configurado para iniciar um processo de estabelecimento de Child SA com o UE.
8. Porta de rede de dados de pacote (PDN), de acordo com a reivindicação 6, caracterizada pelo fato de que o receptor é configurado ainda para receber um pedido de estabelecimento de Child SA a partir do UE; e o processador é configurado ainda para aceitar o pedido de estabelecimento de Child SA.
9. Porta de rede de dados de pacote (PDN), de acordo com a reivindicação 6, caracterizada pelo fato de que a indicação do elemento de informação de relação confiável tem um valor de "confiável" que indica que o UE acessa a rede EPC através de uma rede do acesso não 3GPP confiável.
BR112014002742A 2011-08-05 2011-08-05 Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação BR112014002742B8 (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2011/078083 WO2012167500A1 (zh) 2011-08-05 2011-08-05 一种隧道数据安全通道的建立方法

Publications (4)

Publication Number Publication Date
BR112014002742A2 BR112014002742A2 (pt) 2017-06-13
BR112014002742A8 BR112014002742A8 (pt) 2021-03-09
BR112014002742B1 true BR112014002742B1 (pt) 2021-10-05
BR112014002742B8 BR112014002742B8 (pt) 2023-01-17

Family

ID=47295383

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112014002742A BR112014002742B8 (pt) 2011-08-05 2011-08-05 Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação

Country Status (4)

Country Link
US (1) US9438594B2 (pt)
CN (1) CN103039097B (pt)
BR (1) BR112014002742B8 (pt)
WO (1) WO2012167500A1 (pt)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8528059B1 (en) * 2008-10-06 2013-09-03 Goldman, Sachs & Co. Apparatuses, methods and systems for a secure resource access and placement platform
US20150049749A1 (en) * 2012-03-23 2015-02-19 Nokia Solutions And Networks Oy Trust indication for wlan access networks
US9497169B2 (en) * 2012-06-08 2016-11-15 Samsung Electronics Co., Ltd. Method and system for selective protection of data exchanged between user equipment and network
US10182053B2 (en) * 2015-05-11 2019-01-15 Telefonaktiebolaget Lm Ericsson (Publ) Methods and nodes for handling access to a service via an untrusted non-3GPP network
EP3509381B1 (en) * 2015-05-12 2020-02-12 Telefonaktiebolaget LM Ericsson (publ) Method and nodes for handling access to epc services via a non-3gpp network
FR3039954A1 (fr) 2015-08-05 2017-02-10 Orange Procede et dispositif d'identification de serveurs d'authentification visite et de domicile
CN105120462B (zh) * 2015-09-11 2018-10-02 中国联合网络通信集团有限公司 网络接入方法及装置
WO2017141175A1 (en) * 2016-02-16 2017-08-24 Telefonaktiebolaget Lm Ericsson (Publ) Roaming management in communication systems
WO2017159970A1 (ko) * 2016-03-17 2017-09-21 엘지전자(주) 무선통신 시스템에서 단말의 보안설정을 수행하기 위한 방법 및 이를 위한 장치
CN107820234B (zh) * 2016-09-14 2021-02-23 华为技术有限公司 一种网络漫游保护方法、相关设备及系统
CN109819440B (zh) * 2017-11-20 2022-08-26 华为技术有限公司 鉴权的方法和装置
GB2586223A (en) * 2019-08-05 2021-02-17 British Telecomm Conditional message routing in a telecommunications network
CN113987560A (zh) * 2021-12-29 2022-01-28 北京交研智慧科技有限公司 一种数据的零信任认证方法、装置及电子设备

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
CN101459952B (zh) * 2008-03-27 2011-09-21 中兴通讯股份有限公司 分组数据系统及其p-gw获取无线接入技术类型的方法
CN101267319B (zh) * 2008-04-30 2011-07-13 中兴通讯股份有限公司 一种下发策略计费控制规则的方法
US8607309B2 (en) * 2009-01-05 2013-12-10 Nokia Siemens Networks Oy Trustworthiness decision making for access authentication
US8295289B2 (en) * 2009-07-29 2012-10-23 Telefonaktiebolaget L M Ericsson (Publ.) Method and system for simultaneous local and EPC connectivity
US8732816B2 (en) * 2009-10-27 2014-05-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for exchanging data between a user equipment and a core network via a security gateway
US8885471B2 (en) * 2010-10-07 2014-11-11 Qualcomm Incorporated Methods and apparatus for providing uplink traffic differentiation support for ciphered tunnels
EP2702701A4 (en) * 2011-04-29 2015-12-09 Intel Corp SYSTEM AND METHOD FOR ACQUISITION ADAPTION IN A MIMO COMMUNICATION SYSTEM
US20130121322A1 (en) * 2011-11-10 2013-05-16 Motorola Mobility, Inc. Method for establishing data connectivity between a wireless communication device and a core network over an ip access network, wireless communication device and communicatin system

Also Published As

Publication number Publication date
WO2012167500A1 (zh) 2012-12-13
BR112014002742A2 (pt) 2017-06-13
CN103039097A (zh) 2013-04-10
CN103039097B (zh) 2015-06-03
US9438594B2 (en) 2016-09-06
US20140157395A1 (en) 2014-06-05
BR112014002742A8 (pt) 2021-03-09
BR112014002742B8 (pt) 2023-01-17

Similar Documents

Publication Publication Date Title
BR112014002742B1 (pt) Método para estabelecer um canal de segurança de dados, dispositivo de porta e dispositivo de autenticação
JP5922785B2 (ja) データセキュリティチャネル処理方法およびデバイス
US10645611B2 (en) Overload control for trusted WLAN access to EPC
JP5431517B2 (ja) 非3gppアクセスネットワーク経由のアクセス
BRPI0907178B1 (pt) Regras de controle de política e tarifação (pcc) com base em protocolo de mobilidade
ES2393577T3 (es) Seguridad para un acceso no 3GPP a un sistema de paquetes evolucionado
US9137660B2 (en) Method and system for authentication processing, 3GPP AAA server and user equipment
WO2016201990A1 (zh) 防止无线网络中直径信令攻击的方法、装置和系统
JP6628295B2 (ja) 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート
CN111726228B (zh) 使用互联网密钥交换消息来配置活动性检查
JP5485300B2 (ja) アクセス網からユーザ機器へのセッション固有情報の通信
MX2014005668A (es) Metodo para establecer conectividad de datos entre un dispositivo de comunicacion inalambrica y una red nucleo sobre una red de acceso ip, dispositivo de comunicacion inalambrica y sistema de comunicacion.
EP4145790A1 (en) Method and device for verifying srv6 packet
CN102045714B (zh) 提供3gpp网络与无线局域网互通安全的方法和装置
TW201725931A (zh) 通訊系統中閘道器節點之選擇
CN110710187B (zh) 用于流量检测的方法和设备以及计算机可读存储介质
CN104506406B (zh) 一种鉴权认证设备
US11019486B2 (en) Location information for untrusted access
BR112017022545B1 (pt) Método, aparelho, e sistema de autorização de nome de ponto de acesso
WO2016155011A1 (zh) 一种分组数据网关的选择方法、相关装置及系统
JP6151819B2 (ja) データセキュリティチャネル処理方法およびデバイス

Legal Events

Date Code Title Description
B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B25A Requested transfer of rights approved

Owner name: NOKIA TECHNOLOGIES OY (FI)

B06U Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette]
B350 Update of information on the portal [chapter 15.35 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted [chapter 16.1 patent gazette]

Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 05/08/2011, OBSERVADAS AS CONDICOES LEGAIS. PATENTE CONCEDIDA CONFORME ADI 5.529/DF, QUE DETERMINA A ALTERACAO DO PRAZO DE CONCESSAO.

B16C Correction of notification of the grant [chapter 16.3 patent gazette]

Free format text: REFERENTE A RPI 2648 DE 05/10/2021, QUANTO AO ITEM (72) NOME DO INVENTOR E AO ITEM (73) ENDERECO DO TITULAR.

B21F Lapse acc. art. 78, item iv - on non-payment of the annual fees in time

Free format text: REFERENTE A 13A ANUIDADE.

B24J Lapse because of non-payment of annual fees (definitively: art 78 iv lpi, resolution 113/2013 art. 12)

Free format text: EM VIRTUDE DA EXTINCAO PUBLICADA NA RPI 2786 DE 28-05-2024 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDA A EXTINCAO DA PATENTE E SEUS CERTIFICADOS, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.