CN101316205B - 触发安全隧道建立方法及其装置 - Google Patents
触发安全隧道建立方法及其装置 Download PDFInfo
- Publication number
- CN101316205B CN101316205B CN2007101052658A CN200710105265A CN101316205B CN 101316205 B CN101316205 B CN 101316205B CN 2007101052658 A CN2007101052658 A CN 2007101052658A CN 200710105265 A CN200710105265 A CN 200710105265A CN 101316205 B CN101316205 B CN 101316205B
- Authority
- CN
- China
- Prior art keywords
- access
- mobile network
- secure tunnel
- information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种触发移动网络安全隧道建立的方法及其装置。所述触发移动网络安全隧道建立方法包括:接收到终端设备发送接入认证请求后,向终端设备返回接入认证响应,所述接入认证响应携带了移动网络安全隧道建立信息;根据所述移动网络安全隧道建立信息,终端设备触发移动网络安全隧道的建立。本发明还提供了用于触发建立安全隧道的装置。通过本发明实施例所提供的技术方案,可适用于多种接入网络与3GPP网络融合的系统。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种触发移动网络安全隧道建立的方法及其装置。
背景技术
目前,典型的第三代合作伙伴计划(3GPP,The 3rd Generation Partnership Project)标准组织定义的无线通信网络一般是由3GPP无线接入网络和3GPP无线核心网络所构成的。
当非3GPp接入网络接入3GPP核心网络时,按照通信运营商的策略,会将不同的异构接入网络分为可信和非可信的接入。对于可信的接入网络,一般会通过一个非3GPP网关设备与核心网内的业务网关设备相连接,并得到该核心网内的业务网关设备分配的一个因特网协议(IP,Internet Protocol)地址用于访问分组数据网络,该非3GPP接入网络的网关会与非3GPP接入技术的基站相连接;对于非可信的接入网络,通过非3GPP的网关设备接入核心网时,需与核心网的一个移动网络安全隧道网关即演进的分组数据网关(ePDG,evolved Packet Data Gateway)建立移动网络安全隧道,然后再向核心的业务网关发起连接得到IP地址访来问外部网络。
目前典型的非3GPP接入网络如无线局域接入网络(WLAN,Wireless Local Access Network)。现有技术中定义WLAN接入3GPP网络时,WLAN的接入都是非安全的,因此现有技术提供的移动网络安全隧道建立过程具体包括:
步骤A:终端设备和WLAN,认证、授权与计费服务器(AAA Server,Authentication,Authorization and Accounting Sever)之间执行接入认证过程;
步骤B:接入认证通过后,终端设备自动发起一个域名系统(DNS,Domain Name System)解析过程,获得ePDG分配的转交地址,并向所述ePDG分配转交地址发起移动网络安全隧道的建立请求;
步骤C:终端设备和ePDG之间建立移动网络安全隧道。
但是,为了实现多网络的融合,3GPP核心网还可以同时接入多种其他的异构系统的无线接入网络,例如无线局域接入网络(WLAN,Wireless Local Access Network)、微波存取全球互通接入网络(WiMAX,Worldwide Interoperability for Microwave Access)以及其他任何可能存在的接入网络。因此根据现有技术提供的移动网络安全隧道建立方法,无法使终端设备根据接入网络的性质来选择是否建立移动网络安全隧道。
因此,在进行本发明创造过程中,发明人发现现有技术中至少存在如下问题:由于现有技术提供的移动网络安全隧道建立方法中,直接在接入认证通过后发起移动网络安全隧道建立请求,无法使用户根据接入网络的性质来选择是否建立移动网络安全隧道,因此难以适用于多种接入网络与3GPP网络融合的网络系统。
发明内容
本发明实施例提供了一种终端设备触发移动网络安全隧道建立的方法及其装置。
本发明实施例提供一种触发移动网络安全隧道建立的方法,包括步骤:
接收到终端设备发送接入认证请求后,向终端设备返回接入认证响应,所述接入认证响应携带了移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;
接收到接入认证响应后,终端设备根据所述移动网络安全隧道建立信息触发移动网络安全隧道的建立。
本发明实施例还提供一种触发移动网络安全隧道建立的装置,其包括:
安全隧道建立信息生成单元,生成用于指示是否触发移动网络安全隧道建立的移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;
发送单元,用于向终端设备返回接入认证响应,所述接入认证响应中携带移动网络安全隧道建立信息;
接收单元,用于接收终端设备和/或接入网发送的接入认证请求消息,所述接入认证请求消息中携带了表示终端设备当前采用的接入网络和/或接入技术的信息参数。
本发明还提供了一种用于通过接入网关设备接入网络进行通信的终端设备,包括请求发送单元和响应接收单元,所述请求发送单元用于向接入网关发送接入认证请求;所述响应接收单元用于接收接入认证响应,并从所述接入认证响应中解析出移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;触发单元,用于根据响应接收单元解析出的移动网络安全隧道建立信息,触发建立移动网络安全隧道。
通过本发明实施例提供的触发移动网络安全隧道建立的方法及其装置,根据接入信息参数生成移动网络安全隧道建立信息,并通过接入认证请求响应将移动网络安全隧道建立信息返回给终端设备,使终端设备根据接入认证请求响应中的移动网络安全隧道建立信息来选择是否触发移动网络安全隧道的建立,因此可以适用于多种接入网络与3GPP网络融合的网络系统。
附图说明
图1为本发明触发移动网络安全隧道建立的方法第一较佳实施例的信令流程图;
图2为本发明触发移动网络安全隧道建立的方法第二较佳实施例的信令流程图;
图3为本发明触发移动网络安全隧道建立的方法第三较佳实施例的信令流程图;
图4为本发明触发移动网络安全隧道建立的方法第四较佳实施例的信令流程图;
图5为本发明触发移动网络安全隧道建立的方法第五较佳实施例的信令流程图;
图6为本发明第六实施例的方法流程图;
图7为本发明实施例用于触发移动网络安全隧道建立的装置结构图。
具体实施方式
本发明实施例提供一种触发移动网络安全隧道建立方法、认证、授权与计费服务器、接入网关设备以及终端设备。为使本发明的技术方案更加清楚明白,以下参照附图并列举实施例,对本发明进一步详细说明。
请参照图1,为本发明触发移动网络安全隧道建立方法第一较佳实施例的信令流程图,所述触发移动网络安全隧道建立具体过程包括:
步骤101:终端设备向接入网关发送接入认证请求,所述接入认证请求携带接入信息参数,所述接入信息参数用于表示终端设备当前采用的接入网络和/或接入技术的信息参数;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
所述表示终端设备当前采用的接入网络和/或接入技术的参数为接入
网络标识(AN ID,Access Network ID)和/或无线接入技术类型(RAT Type,Radio Access Technology Type)和/或接入网关地址信息。
步骤102:所述接入网关向家乡网络的认证、授权与计费服务器(AAAServer,Authentication,Authorization and Accounting Server)转发所述接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
本实施例中,家乡网络为3GPP核心网络。
步骤103:家乡网络的AAA Server根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数,判断终端设备当前采用的接入网络和/或接入技术是否可信,如果是,则进行步骤104,如果否,则进行步骤105;
本实施例中,所述接入网络和/或接入技术的安全性由运营商预先进行配置并保存在家乡网络的AAA Server中,因此,家乡网络的AAA Server首先根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数AN ID和/或RAT Type和/或接入网关地址信息获知终端设备当前所采用的接入网络和/或接入技术,再根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
步骤104:家乡网络的AAA Server完成对终端设备的接入认证,并向接入网关发送接入认证响应。
步骤105:家乡网络的AAA Server生成移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息可以采用以下三种方法定义:
方法一:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示(Security Ind),用于通知终端设备需要建立移动网络安全隧道;
终端设备收到所述移动网络安全隧道建立指示后,根据预先获知的移动网络安全隧道网关信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法二:所述移动网络安全隧道建立信息包括移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法三:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道建立指示和移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或移动网络安全隧道网关的接入节点名(APN,Access Point Name),如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的APN,则终端设备对该APN进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
步骤106:家乡网络的AAA Server完成对终端设备的接入认证,并向接入网关发送接入认证响应,所述接入认证响应携带移动网络安全隧道建立信息;
步骤107:所述接入网关向终端设备发送接入认证响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤108:终端设备根据接入认证响应中携带的移动网络安全隧道建立信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
请参照图2,为本发明触发移动网络安全隧道建立方法第二较佳实施例的信令流程图本实施例中,终端设备处于家乡网络。所述触发移动网络安全隧道建立具体过程包括:
步骤201:终端设备向接入网关发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
所述表示终端设备当前采用的接入网络和/或接入接入技术的参数为ANID和/或RAT Type和/或接入网关地址信息。
步骤202:所述接入网关向家乡网络的AAA Server发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
本实施例中,家乡网络为3GPP核心网络。
步骤203:家乡网络的AAA Server根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数,确认终端设备当前采用的接入网络和/或接入技术的安全性;
本实施例中,所述接入网络和/或接入技术的安全性由运营商预先进行配置并保存在家乡网络的AAA Server中,因此,家乡网络的AAA Server根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数AN ID和/或RAT Type和/或接入网关地址信息获知终端设备当前所采用的接入网络和/或接入技术,并根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
步骤204:家乡网络的AAA Server根据终端设备当前采用的接入网络和/或接入技术的安全性,生成对应的移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息为用于指示终端设备是否需要建立移动网络安全隧道的指示信息,可以采用以下两种方方式表示:
方法一:采用移动网络安全隧道建立信息的比特位置1或置0来指示终端设备是否需要建立移动网络安全隧道;
例如,当移动网络安全隧道建立指示信息置1时,表示终端设备需要建立移动网络安全隧道;当移动网络安全隧道建立指示信息置0时,表示终端设备不需要建立移动网络安全隧道。
方法二:采用是否提供移动网络安全隧道网关信息来指示终端设备是否需要建立移动网络安全隧道;
例如,当移动网络安全隧道建立指示信息包含移动网络安全隧道网关信息时,则表示终端设备需要建立移动网络安全隧道;当移动网络安全隧道建立指示信息为空时(例如全置0),则表示终端设备不需要建立移动网络安全隧道。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或移动网络安全隧道网关的接入点名,如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的接入点名,则终端设备对该接入点名进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
当然,所述移动网络安全隧道建立信息还可以采用其他方式指示终端设备是否需要建立移动网络安全隧道。
步骤205:家乡网络的AAA Server完成对终端设备的接入认证,并向接入网关发送接入认证响应,所述接入认证响应携带移动网络安全隧道建立信息;
步骤206:所述接入网关向终端设备发送接入认证响应,所述接入认证响应携带移动网络安全隧道建立信息;
步骤207:终端设备根据接入认证响应中携带的移动网络安全隧道建立信息,判断是否需要向移动网络安全隧道网关触发移动网络安全隧道建立,如果是,则进行步骤208;
步骤208:终端设备向移动网络安全隧道网关触发移动网络安全隧道建立。
请参照图3,为本发明触发移动网络安全隧道建立方法第三较佳实施例的信令流程图,本实施例中终端设备处于拜访网络。所述触发移动网络安全隧道建立具体过程包括:
步骤301:终端设备向接入网关发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
所述表示终端设备当前采用的接入网络和/或接入接入技术的参数为ANID和/或RAT Type。
步骤302:所述接入网关向拜访网络的认证、授权与计费代理服务器(AAA Proxy,Authentication,Authorization and Accounting Proxy)发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
本实施例中,拜访网络为3GPP核心网络。
步骤303:所述拜访网络的AAA Proxy向拜访网络的AAA Server转发所述接入认证请求;
步骤304:所述拜访网络的AAA Server完成对终端设备的接入认证,并向拜访网络的AAA Proxy返回接入认证响应;
步骤305:所述拜访网络的AAA Proxy根据接收到的接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数,判断终端设备当前采用的接入网络和/或接入技术是否可信,如果是,则进行步骤306,如果否,则进行步骤307;
本实施例中,所述接入网络和/或接入技术的安全性由运营商预先进行配置并保存在所述拜访网络的AAA Proxy中,因此,所述拜访网络的AAA Proxy根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数AN ID和/或RAT Type和/或接入网关地址信息获知终端设备当前所采用的接入网络和/或接入技术,并根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
步骤306:所述拜访网络的AAA Proxy向接入网关发送接入认证请求响应。
步骤307:所述拜访网络的AAA Proxy生成移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息可以采用以下三种方法定义:
方法一:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示,用于通知终端设备需要建立移动网络安全隧道;
终端设备收到所述移动网络安全隧道建立指示后,根据预先获知的移动网络安全隧道网关信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法二:所述移动网络安全隧道建立信息包括移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法三:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道建立指示和移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或移动网络安全隧道网关的接入点名,如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的接入点名,则终端设备对该接入点名进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
步骤308:所述拜访网络的AAA Proxy向接入网关发送接入认证请求响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤309:所述接入网关向终端设备发送接入认证请求响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤310:终端设备根据接入认证请求响应中携带的移动网络安全隧道建立信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
请参照图4,为本发明触发移动网络安全隧道建立方法第四较佳实施例的信令流程图,本实施例中终端设备处于漫游状态。所述触发移动网络安全隧道建立具体过程包括:
步骤401:终端设备向接入网关发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
所述表示终端设备当前采用的接入网络和/或接入接入技术的参数为ANID和/或RAT Type和/或接入网关地址信息。
步骤402:所述接入网关向所述拜访网络的AAA Proxy发送接入认证请求,所述接入认证请求携带表示终端设备当前采用的接入网络和/或接入技术的参数;
步骤403:所述拜访网络的AAA Proxy向拜访网络的AAA Server转发所述接入认证请求;
步骤404:所述拜访网络的AAA Server完成对终端设备的接入认证,并向所述拜访网络的AAA Proxy返回接入认证请求响应;
步骤405:所述拜访网络的AAA Proxy根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数,确认终端设备当前采用的接入网络和/或接入技术的安全性;
本实施例中,所述接入网络和/或接入技术的安全性由运营商预先进行配置并保存在所述拜访网络的AAA Proxy中,因此,所述拜访网络的AAA Proxy根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数AN ID和/或RAT Type和/或接入网关地址信息获知终端设备当前所采用的接入网络和/或接入技术,并根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
步骤406:所述拜访网络的AAA Proxy根据终端设备当前采用的接入网络和/或接入技术的安全性,生成对应的移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息为用于指示终端设备是否需要建立移动网络安全隧道的指示信息,可以采用以下两种方方式表示:
方法一:采用移动网络安全隧道建立信息的比特位置1或置0来指示终端设备是否需要建立移动网络安全隧道;
例如,当移动网络安全隧道建立指示信息置1时,表示终端设备需要建立移动网络安全隧道;当移动网络安全隧道建立指示信息置0时,表示终端设备不需要建立移动网络安全隧道。
方法二:采用是否提供移动网络安全隧道网关信息来指示终端设备是否需要建立移动网络安全隧道;
例如,当移动网络安全隧道建立指示信息包含移动网络安全隧道网关信息时,则表示终端设备需要建立移动网络安全隧道;当移动网络安全隧道建立指示信息为空时(例如全置0),则表示终端设备需要建立移动网络安全隧道。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或W-APN,如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的W-APN,则终端设备对该W-APN进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
当然,所述移动网络安全隧道建立信息还可以采用其他方式指示终端设备是否需要建立移动网络安全隧道。
步骤407:所述拜访网络的AAA Proxy向接入网关发送接入认证响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤408:所述接入网关向终端设备发送接入认证响应,所述接入认证响应携带移动网络安全隧道建立信息;
步骤409:终端设备根据接入认证响应中携带的移动网络安全隧道建立信息,判断是否需要向移动网络安全隧道网关触发移动网络安全隧道建立,如果是,则进行步骤208;
步骤410:终端设备向移动网络安全隧道网关触发移动网络安全隧道建立。
请参照图5,为本发明触发移动网络安全隧道建立的方法第五较佳实施例的信令流程图,本实施例中,由接入网生成表示终端设备当前采用的接入网络和/或接入技术的信息参数并发送给AAA Server。所述触发移动网络安全隧道建立具体过程包括:
步骤501:终端设备向接入网关发送接入认证请求;
所述接入认证请求中可以携带部分相关信息,如WLAN的AP ID。
步骤502:所述接入网关生成表示终端设备当前采用的接入网络和/或接入技术的信息参数,并向AAA Server发送携带接入网络和/或接入技术的参数的接入认证请求;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
所述表示终端设备当前采用的接入网络和/或接入接入技术的参数为ANID和/或RAT Type和/或接入网关地址信息。
接入网可以根据自己的数据配置生成接入网络和/或接入技术的信息参数;也可以根据终端设备发来的接入认证消息中携带的部分相关信息生成接入网络和/或接入技术的信息参数。
步骤503:AAA Server根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数,判断终端设备当前采用的接入网络和/或接入技术是否可信,如果是,则进行步骤104,如果否,则进行步骤105;
本实施例中,所述接入网络和/或接入技术的安全性由运营商预先进行配置并保存在家乡网络的AAA Server中,因此,家乡网络的AAA Server首先根据接入认证请求中携带的表示终端设备当前采用的接入网络和/或接入技术的参数AN ID和/或RAT Type和/或接入网关地址信息获知终端设备当前所采用的接入网络和/或接入技术,再根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
步骤504:家乡网络的AAA Server完成对终端设备的接入认证,并向接入网关发送接入认证响应。
步骤505:AAA Server生成移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息可以采用以下三种方法定义:
方法一:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示,用于通知终端设备需要建立移动网络安全隧道;
终端设备收到所述移动网络安全隧道建立指示后,根据预先获知的移动网络安全隧道网关信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法二:所述移动网络安全隧道建立信息包括移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法三:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道建立指示和移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或移动网络安全隧道网关的接入节点名,如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的接入节点名,则终端设备对该接入节点名进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
步骤506:AAA Server完成对终端设备的接入认证,并向接入网关发送接入认证响应,所述接入认证响应携带移动网络安全隧道建立信息;
步骤507:所述接入网关向终端设备发送接入认证响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤508:终端设备根据接入认证响应中携带的移动网络安全隧道建立信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
请参照图6,为本发明触发移动网络安全隧道建立的方法第六较佳实施例的信令流程图,本实施例中,由接入网关判断接入网络和/或接入技术是否可信。所述触发移动网络安全隧道建立具体过程包括:
步骤601:终端设备向接入网关发送接入认证请求;
步骤602:所述接入网关向AAA Server转发接入认证请求;
终端设备当前采用的接入网络和/或接入技术为非3GPP接入网络和/或接入技术,例如WLAN、WiMAX以及其他任何可能存在的接入网络和/或接入技术。
步骤603:AAA Server向接入网关返回接入认证响应;
步骤604:接入网关根据配置的接入信息参数,判断终端设备当前采用的接入网络和/或接入技术是否可信,如果否,则进行步骤605;
本实施例中,所述接入网络和/或接入技术的安全性信息由运营商预先进行配置并保存在接入网关中,因此,接入网关根据配置的接入信息参数获知终端设备当前所采用的接入网络和/或接入技术,再根据预先配置的安全性信息判断终端设备当前采用的接入网络和/或接入技术是否可信。
接入网关可以根据设备中保存的数据例如接入网关的地址配置生成接入网络和/或接入技术的信息参数;也可以根据终端设备发来的接入认证消息中携带的部分相关信息生成接入网络和/或接入技术的信息参数。所述表示终端设备当前采用的接入网络和/或接入接入技术的参数为AN ID和/或RATType。
步骤605:接入网关生成移动网络安全隧道建立信息;
所述移动网络安全隧道建立信息可以采用以下三种方法定义:
方法一:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示,用于通知终端设备需要建立移动网络安全隧道;
终端设备收到所述移动网络安全隧道建立指示后,根据预先获知的移动网络安全隧道网关信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法二:所述移动网络安全隧道建立信息包括移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
方法三:所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和移动网络安全隧道网关信息;
终端设备收到所述移动网络安全隧道建立指示和移动网络安全隧道网关信息后,向移动网络安全隧道网关触发移动网络安全隧道建立。
其中,移动网络安全隧道网关信息可以为移动网络安全隧道网关地址或移动网络安全隧道网关的接入节点名,如果是移动网络安全隧道网关地址,则终端设备直接向该移动网络安全隧道网关地址触发移动网络安全隧道建立,如果是移动网络安全隧道网关的接入节点名,则终端设备对该接入节点名进行DNS解析得到的移动网络安全隧道网关地址发起移动网络安全隧道的建立。
步骤607:所述接入网关向终端设备发送接入认证响应,所述接入认证请求响应携带移动网络安全隧道建立信息;
步骤608:终端设备根据接入认证响应中携带的移动网络安全隧道建立信息,向移动网络安全隧道网关触发移动网络安全隧道建立。
上述本发明实施例中,除了采用AAA Server,也可以采用其它类型的服务器。
通过上述本发明实施例提供的触发移动网络安全隧道建立的方法,根据接入信息参数生成移动网络安全隧道建立信息,并通过接入认证请求响应将移动网络安全隧道建立信息返回给终端设备,使终端设备根据接入认证请求响应中的移动网络安全隧道建立信息来选择是否触发移动网络安全隧道的建立,因此可以适用于多种接入网络与3GPP网络融合的网络系统。
请参照图7,为本发明触发移动网络安全隧道建立的装置一个较佳实施例的结构图。所述触发移动网络安全隧道建立的装置70包括接收单元71、判断单元72、安全隧道建立信息生成单元73以及发送单元74。
所述接收单元71用于接收终端设备发送的接入认证请求,所述接入认证请求中携带用于表示终端设备当前采用的接入网络和/或接入技术的信息参数;所述判断单元72,用于根据所述接收单元71接收到的接入网络和/或接入技术的信息参数确认接入网络和/或接入技术的安全性;所述安全隧道建立信息生成单元73,用于根据判断单元72确认的接入网络和/或接入技术的安全性,生成用于指示是否触发移动网络安全隧道建立的移动网络安全隧道建立信息;所述发送单元74用于向终端设备返回接入认证请求响应,所述接入认证请求响应中携带移动网络安全隧道建立信息。
所述触发移动网络安全隧道建立的装置可以集成在接入网关上或者AAA Server上。
通过上述本发明实施例提供的触发移动网络安全隧道建立的装置,通过终端设备提供的接入网络和/或接入技术的信息参数,生成移动网络安全隧道建立信息,并通过接入认证请求响应将移动网络安全隧道建立信息返回给终端设备,使终端设备根据接入网络的安全性来选择是否触发移动网络安全隧道的建立,因此可以适用于多种接入网络与3GPP网络融合的网络系统。
本发明还提供了一种用于通过接入网关设备接入网络进行通信的终端设备,包括请求发送单元、响应接收单元和触发单元,所述请求发送单元用于向接入网关发送接入认证请求所述请求,还可用于在接入网络和/或接入技术的信息参数携带在接入认证请求消息中。所述响应接收单元用于接收接入认证响应,并从所述接入认证响应中解析出移动网络安全隧道建立信息。所述触发单元用于根据响应接收单元解析出的移动网络安全隧道建立信息,触发建立移动网络安全隧道。
通过本发明实施例提供的触发移动网络安全隧道建立的方法以及其装置,通过终端设备提供的接入网络和/或接入技术的信息参数生成移动网络安全隧道建立信息,并通过接入认证请求响应将移动网络安全隧道建立信息返回给终端设备,使终端设备根据接入网络的安全性来选择是否触发移动网络安全隧道的建立,可以适用于多种接入网络与3GPP网络融合的网络系统。
以上对本发明所提供的一种触发移动网络安全隧道建立的方法及其装置行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明所揭示的技术方案;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种触发移动网络安全隧道建立的方法,其特征在于,所述方法包括:
接收到终端设备发送接入认证请求后,向终端设备返回接入认证响应,所述接入认证响应携带了移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;
接收到接入认证响应后,终端设备根据所述移动网络安全隧道建立信息触发移动网络安全隧道的建立。
2.根据权利要求1所述的方法,其特征在于,包括步骤:
接入网关接收接入认证请求并将所述接入认证请求消息转发至服务器,服务器向接入网关返回接入认证响应;
接入网关根据配置的接入信息参数,生成移动网络安全隧道建立信息。
3.根据权利要求1所述的方法,其特征在于,包括步骤:
终端设备向接入网关发送接入认证请求,接入网关将所述接入认证请求转发至服务器,所述接入认证请求中携带接入信息参数,所述接入信息参数用于表示终端设备当前采用的接入网络和/或接入技术;
所述服务器根据接入信息参数,生成移动网络安全隧道建立信息。
4.根据权利要求3所述的方法,其特征在于,所述接入信息参数由接入网关生成,并由接入网关将携带接入网络和/或接入技术的接入信息参数的接入认证请求发送给服务器。
5.根据权利要求4所述的方法,其特征在于,所述接入网关生成接入信息参数的具体方式为:所述接入网关根据自己的数据配置或终端设备发送的接入认证请求中携带的部分相关信息生成。
6.根据权利要求2至5中任意一项权利要求所述的方法,其特征在于,所述接入信息参数为接入网络标识、接入技术类型信息和接入网关地址信息中的一种或者接入网络标识、接入技术类型信息和接入网关地址信息的任意组合。
7.根据权利要求2或3所述的方法,其特征在于,所述根据接入信息参数,生成移动网络安全隧道建立信息具体包括:
如果接入网络和/或接入技术的安全性为不可信,则生成用于指示是否触发移动网络安全隧道建立的移动网络安全隧道建立信息。
8.根据权利要求2或3所述的触发移动网络安全隧道建立的方法,其特征在于,根据接入信息参数,生成移动网络安全隧道建立信息具体包括:
根据接入网络和/或接入技术的信息参数获知当前所采用的接入网络和/或接入技术;
根据由运营商预先进行配置的安全性信息,确认接入网络和/或接入技术的安全性;
根据接入网络和/或接入技术的安全性,生成用于指示是否触发移动网络安全隧道建立的移动网络安全隧道建立信息。
9.根据权利要求8所述的触发移动网络安全隧道建立的方法,其特征在于,所述移动网络安全隧道建立信息项采用比特位置1或置0来指示终端设备是否需要建立移动网络安全隧道。
10.根据权利要求8所述的触发移动网络安全隧道建立的方法,其特征在于,所述移动网络安全隧道建立信息采用是否提供移动网络安全隧道网关信息来指示终端设备是否需要建立移动网络安全隧道。
11.根据权利要求10所述的触发移动网络安全隧道建立的方法,其特征在于,所述网络安全隧道网关信息为移动网络安全隧道网关地址或移动网络安全隧道网关的接入网的接入节点名称。
12.一种触发移动网络安全隧道建立的装置,其特征在于,包括:
安全隧道建立信息生成单元,用于生成指示触发移动网络安全隧道建立的移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;
发送单元,用于向终端设备返回接入认证响应消息,并将所述安全隧道建立信息生成单元生成的信息携带于接入认证响应消息中;
接收单元,用于接收终端设备和/或接入网发送的接入认证请求消息,所述接入认证请求消息中携带了表示终端设备当前采用的接入网络和/或接入技术的信息参数。
13.根据权利要求12所述的触发移动网络安全隧道建立的装置,其特征在于,还包括:判断单元,用于根据所述接收单元接收到的接入网络和/或接入技术的信息参数确认接入网络和/或接入技术的安全性,且所述安全隧道建立信息生成单元根据接入网络和/或接入技术的安全性,生成移动网络安全隧道建立信息。
14.根据权利要求12或13所述的装置,其特征在于,所述装置为独立的物理实体;或者
集成于接入网络设备和/或认证、授权与计费代理服务器中。
15.一种终端设备,用于通过接入网关设备接入网络进行通信,其特征在于,包括请求发送单元和响应接收单元,
所述请求发送单元用于向接入网关发送接入认证请求;
所述响应接收单元用于接收接入认证响应,并从所述接入认证响应中解析出移动网络安全隧道建立信息,所述移动网络安全隧道建立信息包括移动网络安全隧道建立指示和/或移动网络安全隧道网关信息;
触发单元,用于根据响应接收单元解析出的移动网络安全隧道建立信息,触发建立移动网络安全隧道。
16.根据权利要求15所述的设备,其特征在于,所述请求发送单元还用于将接入网络和/或接入技术的信息参数携带在接入认证请求消息中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101052658A CN101316205B (zh) | 2007-05-28 | 2007-05-28 | 触发安全隧道建立方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101052658A CN101316205B (zh) | 2007-05-28 | 2007-05-28 | 触发安全隧道建立方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101316205A CN101316205A (zh) | 2008-12-03 |
| CN101316205B true CN101316205B (zh) | 2011-08-10 |
Family
ID=40107061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101052658A Active CN101316205B (zh) | 2007-05-28 | 2007-05-28 | 触发安全隧道建立方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101316205B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006298A (zh) * | 2010-11-26 | 2011-04-06 | 华为技术有限公司 | 接入网关实现负荷分担的方法和装置 |
| CN104506406B (zh) * | 2011-11-03 | 2018-10-30 | 华为技术有限公司 | 一种鉴权认证设备 |
| WO2013063783A1 (zh) * | 2011-11-03 | 2013-05-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| US20150049749A1 (en) * | 2012-03-23 | 2015-02-19 | Nokia Solutions And Networks Oy | Trust indication for wlan access networks |
| CN104639509B (zh) * | 2013-11-14 | 2018-06-01 | 中国移动通信集团公司 | 一种业务处理方法和设备 |
| CN105306485B (zh) * | 2015-11-13 | 2018-07-24 | 上海斐讯数据通信技术有限公司 | 上网认证方法、认证服务器及其所在认证系统 |
| JP6151819B2 (ja) * | 2016-04-14 | 2017-06-21 | ▲ホア▼▲ウェイ▼技術有限公司Huawei Technologies Co.,Ltd. | データセキュリティチャネル処理方法およびデバイス |
| CN106559779B (zh) * | 2016-11-30 | 2020-10-30 | 上海斐讯数据通信技术有限公司 | 一种数据传输方法、装置以及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1567895A (zh) * | 2003-06-17 | 2005-01-19 | 华为技术有限公司 | 目的用户设备接收外部网络数据的方法 |
| CN1612539A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 无线局域网中业务连接建立的方法 |
| CN1781278A (zh) * | 2003-05-21 | 2006-05-31 | 思科技术公司 | 用于在网络环境中提供端到端认证的系统和方法 |
-
2007
- 2007-05-28 CN CN2007101052658A patent/CN101316205B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1781278A (zh) * | 2003-05-21 | 2006-05-31 | 思科技术公司 | 用于在网络环境中提供端到端认证的系统和方法 |
| CN1567895A (zh) * | 2003-06-17 | 2005-01-19 | 华为技术有限公司 | 目的用户设备接收外部网络数据的方法 |
| CN1612539A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 无线局域网中业务连接建立的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101316205A (zh) | 2008-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106982473B (zh) | 传输通道的建立方法和无线通信装置 | |
| CN101316205B (zh) | 触发安全隧道建立方法及其装置 | |
| EP1693988B1 (en) | A method of the subscriber terminal selecting the packet data gateway in the wireless local network | |
| EP2774402B1 (en) | Securing data communications in a communications network | |
| CN107005919B (zh) | 用于使用未授权频带的单独lte ran的方法和装置 | |
| EP2858418B1 (en) | Method for updating identity information about packet gateway, aaa server and packet gateway | |
| EP3154306B1 (en) | Establishment of network connection | |
| EP3729844B1 (en) | A method of, and devices for, establishing a signalling connection between a remote user equipment, ue, and a telecommunication network via a relay capable ue | |
| WO2012130085A1 (zh) | 与网管系统建立连接的方法、设备及通信系统 | |
| US10033769B2 (en) | Lawful interception in a WI-FI/packet core network access | |
| CN101843145A (zh) | 用于建立连接时的分组数据网络网关的重新选择的系统和方法 | |
| CN106470465B (zh) | Wifi语音业务发起方法、lte通信设备、终端及通信系统 | |
| EP2346275A1 (en) | Communication system, connection control device, mobile terminal, base station control method, service request method, and program | |
| US20230275883A1 (en) | Parameter exchange during emergency access using extensible authentication protocol messaging | |
| JP5917965B2 (ja) | 通信装置 | |
| US11109219B2 (en) | Mobile terminal, network node server, method and computer program | |
| CN103220817A (zh) | 会话建立方法及装置 | |
| CN102098671A (zh) | 鉴权方法及系统 | |
| CN107005559B (zh) | 一种无线通信的方法、远程用户设备 | |
| FI121725B (fi) | Verkon aloittama PDP-kontekstin aktivointi | |
| CN108702619A (zh) | 获取、发送用户设备标识的方法及设备 | |
| WO2013152640A1 (zh) | 地址分配方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |