CN101351019A - 接入网关、终端及建立数据连接的方法和系统 - Google Patents
接入网关、终端及建立数据连接的方法和系统 Download PDFInfo
- Publication number
- CN101351019A CN101351019A CNA2007100292654A CN200710029265A CN101351019A CN 101351019 A CN101351019 A CN 101351019A CN A2007100292654 A CNA2007100292654 A CN A2007100292654A CN 200710029265 A CN200710029265 A CN 200710029265A CN 101351019 A CN101351019 A CN 101351019A
- Authority
- CN
- China
- Prior art keywords
- data
- terminal
- mobile
- message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 230000000977 initiatory effect Effects 0.000 claims abstract description 9
- 238000004891 communication Methods 0.000 claims description 7
- 238000010295 mobile communication Methods 0.000 claims description 2
- 102100031184 C-Maf-inducing protein Human genes 0.000 description 15
- 101000993081 Homo sapiens C-Maf-inducing protein Proteins 0.000 description 15
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在移动网络中建立数据连接的方法,包括:接收来自终端的IKE接入认证请求消息;向认证服务器发起对终端的接入认证过程,获取用户的签约信息,并判决数据连接的建立方式;将与所述数据连接的建立方式相应的地址信息携带在IKE接入认证响应消息中返回给终端;根据终端所采用与所述接入认证响应消息中的地址信息相应的数据连接方式,完成终端到报文数据网关的数据连接。本发明还公开了一种接入网关、终端,以及建立数据连接的系统。采用本发明,可以在终端与接入网关建立IPsec隧道的同时,协商并选择终端与报文数据网关之间的数据连接建立模式。
Description
技术领域
本发明涉及通信系统的网络信息技术,尤其涉及一种在第三代移动通信网络系统演进架构(SAE,3GPP System Architecture Evolution)中的接入网关、终端,以及建立数据连接的方法及系统。
背景技术
Internet安全协议族(IPSec,Internet Protocol Security)是网络工程任务组(IETF,Internet Engineering Task Force)制定的一系列协议,它为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信各方在IP层通过加密与数据源认证等方式,来保证数据包在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过认证头(AH,Authentication Header)和封装安全载荷(ESP,Encapsulating Security Payload)这两个安全协议来实现上述目标。
网络密钥交换协议(IKE,Internet Key Exchange)是建立在由Internet安全联盟和密钥管理协议(ISAKMP,Internet Security Association and KeyManagement Protocol)定义的框架上,它能够为IPSec提供自动协商交换密钥、建立安全联盟的服务,以简化IPSec的使用和管理。IKE协议具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立基于IPSec协议族的安全联盟。
在第三代移动通信系统架构演进(SAE,3GPP System Architecture Evolution)网络中应用IPsec的场景描述如下:
如图1所示,是3GPP演进网络(SAE)的非漫游架构。图中的ePDG实体是互通无线局域网(I-WLAN,Interworking Wireless Local Area Network)中报文数据网关(PDG,Packet Data Gate)的升级实体。非可信的接入网络通过ePDG实体接入到演进网络的核心网,使用其数据服务。在终端和ePDG实体间需要建立安全隧道(IPsec)。报文数据网关是SAE核心网中的报文数据网关(PDN SAEGateway),非可信的接入网络接入到ePDG后,需要再通过PDN SAE Gateway访问外部网络服务,S2a/S2b/S2c接口都采用移动IP(MIP)协议栈。
但是在3GPP演进网络(SAE)的非漫游架构中,ePDG仅仅是终端的安全网关,不再同时是报文数据网关。因此,ePDG给终端分配的IP地址,也就是普通的用于IPsec安全隧道转发的IP地址,业务地址应由PDN SAE Gateway分配。
当ePDG作为终端的代理移动IP注册代理(PMA,Porxy Moblie Agent)时,在ePDG和PDN SAE Gateway之间会建立移动IP隧道。这时,发送到终端的数据包会通过移动IP隧道转交到ePDG,在这种情况下,ePDG可以不再需要为终端分配用于安全隧道的IP地址。因为这个地址本身就是为了保证下行数据报能被转发到安全网关上,而这一点现在已由移动IP隧道保证了。
图2是非可信接入网通过ePDG实体接入到演进网络的核心网的第一种数据连接建立模式的流程示意图,ePDG通过IKE消息携带给终端的是业务IP地址,是属于SAE核心网报文数据网关的,移动IP隧道的建立对终端不可见。ePDG代理建立好移动IP隧道后,获取终端的业务IP地址,并在IKE响应消息中携带告诉终端。
图3是非可信接入网通过ePDG实体接入到演进网络的核心网的第二种数据连接建立模式的流程示意图,ePDG为终端分配属于ePDG本地的IP地址,并携带在IKE响应消息中给终端。在SAE网络中,此地址不是最终的业务IP地址,终端还需要把它作为本地转交地址(CoA,Care of Address),建立到SAE核心网报文数据网关(PDN SAE Gateway)的移动IP隧道,由建立移动IP隧道过程,获取的IP地址,即移动IP的家乡地址(HoA,Home Address)作为其业务IP地址。
通过图2以及图3可以看到,终端收到IKE配置响应消息中的IP地址含义与用途是不同的,终端随后触发的信令流程也是不同的。
综上所述,现有技术数据连接中,建立移动IP(MIP,Mobile IP)隧道时,有两种模式,主机发起移动IP模式(CMIP,Client Mobile IP)和代理移动IP模式(PMIP,Porxy Mobile IP),两者的差别在于前者由终端发起数据连接,后者由代理网关发起数据连接。并且,Client模式(CMIP)中有一种Co-CoA方式,终端需要一个本地IP地址作为转交地址CoA,来向报文数据网关发起MIP的注册,而Network模式(PMIP)下,CoA地址是来自报文数据网关的业务IP地址,不需要为每个终端分配一个本地IP地址。
在实现本发明的过程中,发明人发现现有技术存在如下缺点:
非可信接入网接入到SAE网络中,对于图2所示的PMIP数据连接建立模式和图3所示的CMIP数据连接建立模式可以共存的SAE网络,终端与接入网关之间无法协商和判断采用哪种数据连接建立模式来完成到报文数据网关的数据连接。
发明内容
本发明所要解决的技术问题在于,提供一种接入网关、终端、以及终端与报文数据网关间建立数据连接的方法及系统,可协商或者判断需要用哪种方式(CMIP/PMIP)建立终端到报文数据网关之间的数据连接,而且终端与接入网关能对用哪种数据连接方式做一个选择,在终端和接入网关都明确选择的结果的情况下,建立到报文数据网关的数据连接。
本发明实施例提供了一种在移动网络中建立数据连接的方法,包括:
接收来自终端的基于网络密钥交换协议的接入认证请求消息;
向认证服务器发起对终端的接入认证过程,获取用户的签约信息,并判决数据连接的建立方式;
将与所述数据连接的建立方式相应的配置信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端;
根据终端所采用与所述基于网络密钥交换协议的接入认证响应消息中的地址信息相应的数据连接方式,完成终端到报文数据网关的数据连接。
相应地,本发明实施例还提供了一种在移动网络中建立数据连接的系统,包括:
接入网关,根据来自终端的基于网络密钥交换协议的接入认证请求消息,所述接入认证请求消息的配置选项中携带有信元以指示期望的数据连接的建立方式,建立与终端之间的IP安全隧道,并判决数据连接的建立方式,将与所述数据连接的建立方式对应的地址信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端;
报文数据网关,用于通过接入网关向终端发送业务IP地址,建立起与终端之间的数据连接。
本发明实施例还提供的一种终端,包括:
终端通信单元,用于向接入网关发送基于网络密钥交换协议的接入认证请求消息,请求建立与接入网关的IP安全隧道连接,并接收所述来自接入网关的基于网络密钥交换协议的接入认证响应消息;
IP安全隧道连接单元,用于在通过认证服务器的认证授权后,建立与接入网关之间的IP安全隧道连接;
数据转发单元,接收到所述的基于网络密钥交换协议的接入认证响应消息后,完成到报文数据网关的数据转发。
本发明实施例提供的在移动网络中将非可信接入网络接入所述移动网络的核心网的接入网关,包括:
消息接收单元,用于接收来自终端的基于网络密钥交换协议的接入认证请求消息,所述认证请求消息的配置选项中携带有信元以指示数据连接的建立方式;
接入认证单元,用于根据所述接入认证请求消息向认证服务器发起对终端的接入认证过程,获取用户的签约信息;
数据连接单元,用于与终端协商并判决终端到报文数据网关之间的数据连接的建立方式;
地址配置单元,用于将与所述数据连接的建立方式对应的地址信息携带在所述接入认证响应消息的配置选项中返回给终端。
实施本发明的实施例,有如下有益效果:
在终端与接入网关ePDG建立IPsec隧道的过程中协商数据连接的建立方式,将与所选择的数据连接建立模式相应的地址信息携带在IKE接入认证响应消息的配置选项中返回给终端,使得终端可以根据所述地址信息,与报文数据网关建立数据连接。
附图说明
图1是现有技术的3GPP演进网络(SAE)的非漫游架构示意图;
图2是现有技术的3GPP演进网络(SAE)中,非可信接入网通过接入网关接入SAE核心网报文数据网关的第一种数据连接建立模式的流程示意图;
图3是现有技术的3GPP演进网络(SAE)中,非可信接入网通过接入网关接入SAE核心网报文数据网关的第二种数据连接建立模式的流程示意图;
图4是本发明实施例提供的在移动网络中建立数据连接的系统组成示意图;
图5是本发明实施例提供的终端的结构示意图;
图6是本发明实施例提供的接入网关的结构示意图;
图7是本发明提供的在移动网络中建立数据连接的方法第一实施例的流程示意图;
图8是本发明提供的在移动网络中建立数据连接的方法第二实施例的流程示意图;
图9是本发明提供的在移动网络中建立数据连接的方法第三实施例的流程示意图。
具体实施方式
本发明实施例提供了一种接入网关,以及终端与报文数据网关间建立数据连接的方法及系统,可以在终端与接入网关ePDG建立IPsec隧道的过程中协商数据连接的建立方式,将与所选择的数据连接建立模式相应的地址信息携带在IKE接入认证响应消息的配置选项中返回给终端,使得终端可以根据所述地址信息,与报文数据网关建立数据连接。
参见图4,是本发明实施例提供的在移动网络中建立数据连接的系统组成示意图。
所述系统具体包括:
终端1,用于向接入网关2发送IKE接入认证请求消息,所述IKE接入认证请求消息的配置选项中携带有信元以指示数据连接的建立方式,并在接收到来自接入网关2的配置信息后,建立与报文数据网关3的数据连接;需要说明的是,所述IKE消息也可以是携带配置选项的IKEv2消息。
接入网关2,根据所述IKE接入认证请求消息,建立与终端之间的IPsec安全隧道,并判决数据连接的建立方式,并将所述数据连接的建立方式携带在IKE接入认证响应消息的配置选项中返回给终端;
报文数据网关3,用于通过接入网关2向终端1发送业务IP地址,建立起与终端1之间的数据连接;
认证服务器4,用于对所述终端1与接入网关2之间的IPsec安全隧道进行认证,为提供终端1的用户签约信息,并将与终端1要访问的业务网络相应的报文数据网关信息提供给终端1。
在实现的时候,参见图5,终端1具体包括:
终端通信单元10,用于向接入网关2发送IKEv2接入认证请求消息,请求建立与接入网关2之间的IPsec连接,并且接收来自接入网关2的配置信息;
需要说明的是,所述IKEv2接入认证请求消息的配置选项中携带有信元以指示数据连接的建立方式,并且,终端1还可以根据自己是否支持MIP协议栈,决定是否在IKEv2接入认证请求消息中填写需要接入网关(ePDG)为终端获取报文数据网关3信息的请求消息,所述报文3数据网关信息为MIP家乡网络信息,包括家乡地址HA,以及家乡网络前缀等等信息;
IPsec连接单元11,用于在所述接入网关2接收到所述IKEv2接入认证请求消息,并得到认证服务器4的授权后,建立终端1与接入网关2之间的IPsec安全隧道连接;
需要说明的是,这里所指的授权,是指接入网关2需要向认证服务器4发送认证请求消息,再得到认证服务器4的授权响应消息后,所述IPsec安全隧道才能顺利建立;
数据转发单元12,在终端通信单元10接收到所述的基于网络密钥交换协议的接入认证响应消息后,完成到报文数据网关3的数据转发。
具体地,数据转发单元12还包括:
地址获取模块120,根据所述IKE接入认证响应消息中配置选项的信元,获取与数据连接建立方式相应的地址信息;并且区分所述地址信息是本地IP地址还是业务IP地址;
数据转发模块121,根据所述地址信息,进行数据转发。需要说明的是,若地址获取模块120获取到的地址信息是来自报文数据网关3业务IP地址时,则终端1到报文数据网关3之间数据连接已经建立,数据转发模块121将直接进行数据转发,若所述地址信息为本地IP地址时,数据转发单元12还包括:
移动IP请求模块122,将所述地址获取模块120所获取到的建立安全隧道的本地IP地址作为本地转交地址,向报文数据网关发起移动IP注册过程,并向报文数据网关发送移动IP更新请求消息,请求分配业务IP地址。
参见图6,为本发明实施例提供的接入网关2的组成示意图;
需要说明的是所述接入网关2在SAE网络中,为ePDG,具体包括:
消息接收单元20,用于接收来自终端通信单元10的IKE接入认证请求消息,所述IKE认证请求消息的配置选项中携带有信元以指示期望的数据连接的建立方式;
接入认证单元21,用于根据所述IKE接入认证请求消息,向认证服务器发起对终端的接入认证过程,获取用户的签约信息;
数据连接单元22,用于与终端1协商并判决终端1到报文数据网关3之间的数据连接的建立方式;
地址配置单元23,用于将与所述数据连接的建立方式对应的地址信息携带在IKE接入认证响应消息的配置选项中返回给终端1。
具体地,数据连接单元22包括:
CMIP连接模块220,用于在接入网关2的消息接收单元20收到所述IKE接入认证请求消息后,根据自身的能力以及终端的请求,策略使用CMIP数据连接建立模式;
PMIP连接模块221,用于在接入网关2的消息接收单元20收到所述IKE接入认证请求消息后,根据自身的能力以及终端的请求,策略使用PMIP数据连接建立模式。
具体地,所述地址配置单元23包括:
本地IP地址模块230,用于在CMIP连接模块220策略使用CMIP模式建立数据连接时,为终端1分配本地IP地址,作为安全隧道的转发的地址,并将其携带在IKE接入认证响应消息的配置选项中返回给终端1;
业务IP地址模块231,用于在CMIP连接模块221策略使用PIMP模式建立数据连接时,获取报文数据网关3为终端分配的数据业务IP地址,并将其携带在IKE接入认证响应消息的配置选项中返回给终端1。
所述接入网关2还包括:
用户信息获取单元24,用于从所述认证服务器4中获取终端1的用户签约信息;
当终端1在IKE接入认证请求消息中填写需要接入网关2(ePDG)为终端1获取报文数据网关3信息的请求消息时,网关信息获取单元25,用于根据终端1要访问的业务网络,获取并选择相应的报文数据网关3的信息提供给终端1。
数据报文网关3在具体实现的时候,包括:
移动IP隧道建立单30元,用于在CMIP数据连接模式下,接收来自终端1的移动IP更新请求消息,建立移动IP隧道,并向终端1返回移动IP绑定响应消息;
业务IP分配单元31,用于在PMIP数据连接模式下,通过接入网关2为终端1分配业务IP地址,以终端1到报文数据网关3的数据连接建立;或
在CMIP数据连接模式下,在接收到来自终端1发起MIP请求的移动IP更新请求消息后,将所述业务IP地址携带在移动IP绑定响应消息中,返回给终端1,以完成终端1到报文数据网关3的数据连接建立。
认证服务器4在具体实现的时候,包括:
认证单元40,用于接收IKE接入认证消息,对所述终端1与接入网关2之间的IPsec安全隧道进行认证;
用户信息提供单元41,用于向接入网关2提供终端1的用户签约信息;
网关信息提供单元42,用于根据终端1要访问的业务网络,获取并选择相应的报文数据网关信息提供给终端1;
需要说明的是,报文数据网关信息可以是认证服务器4中的网关信息提供单元42或者接入网关2中的网关信息获取单元25,或者两者协同,根据终端1要访问的业务网络获取并选择后发送给终端1。
参见图7,是本发明提供的在移动网络中建立数据连接的方法第一实施例的流程示意图。
在终端和报文数据网关建立IP连接前,终端需要向接入网关发送IKE_SA_INIT初始化消息,初始化安全联盟,并且终端向接入网关发起IKEv2认证请求消息;
在步骤S100,接入网关接收来自终端的IKE接入认证请求消息;终端根据自己的能力,在所述的IKE接入认证请求消息的配置选项中,还携带有信元以指示数据连接的建立方式;
在步骤S101,接入网关向认证服务器发起对终端的接入认证过程,获取用户的签约信息;
在步骤S102,接入网关根据自己的能力以及终端的请求,判决终端到报文数据网关之间的数据连接的建立方式;
在步骤S103,接入网关将与所述数据连接的建立方式相应的地址信息,携带在IKE接入认证响应消息的配置选项中返回给终端;
在步骤S104,终端接收到所述的IKE接入认证响应消息后,根据所述配置选项中的信元,区分所获取的地址信息是接入网关分配的安全隧道IP地址配置信息还是报文数据网关分配的业务IP地址信息,并采用与接入网关协商好的数据连接模式建立数据连接;
在步骤S105,终端完成到报文数据网关的数据连接。
参见图8,是本发明提供的在移动网络中建立数据连接的方法第二实施例的流程示意图。
在本实施例中,终端有MIP协议栈,支持CMIP接入模式,同时ePDG也支持PMIP功能,终端通过非可信接入网接入SAE核心网,需要建立IPsec隧道到ePDG,同时需要SAE报文数据网关(PDN SAE Gateway)为它分配业务IP地址,建立终端到PDN SAE Gateway的IP连接。
在步骤S200,终端向接入网关ePDG发送IKE_SA_INIT初始化消息,与ePDG之间安全联盟初始化。
在步骤S201,终端发送给ePDG的IKE接入认证请求消息,并在其中的配置选项(Configuration Payload)中,还携带有信元以指示期望的数据连接的建立方式,根据需要,还可以包括获取HA地址,家乡网络前缀等请求的信元;
在步骤S202,在通过认证服务器的认证授权后,终端与接入网关2之间的IPsec隧道建立,ePDG可以从认证服务器中获取终端的用户信息。如果需要,认证服务器可以根据终端所要访问的业务获取报文数据网关(PDN Gateway)信息,提供给ePDG;ePDG所提供的报文数据网关信息可以是一个网关,也可以是多个网关的信息列表,当多个的时候,可以按照排列的顺序表示这些网关间的优先级;
在步骤S203,ePDG处理终端的配置请求,根据终端所要访问的业务,或者先前使用的业务网关,选择合适的报文数据网关(PDN SAE Gateway),之后,因为ePDG支持PMA功能,则决策要使用PMIP模式,并作为终端的PMA,代理终端发送移动IP绑定更新消息(Proxy Binding Update)给报文数据网关,请求PDN Gateway分配业务IP地址;
在步骤S204,报文数据网关(PDN Gateway)收到所述移动IP更新请求后,处理移动IP隧道建立,给终端分配业务IP地址,并把所述业务IP地址填写在移动IP绑定响应消息(Proxy Binding Ack)中,发送给ePDG;
在步骤S205,ePDG获取报文数据网关所分配给终端的业务IP地址,如果有业务网络的网络前缀,ePDG把这些信息一并填写在IKE响应消息的配置选项中,响应给终端,终端判断IP地址是业务IP地址,于是不再启动CMIP功能;
至此,终端在非可信接入网访问SAE数据业务的IPsec隧道、移动IP隧道建立完成,可以进行数据包的转发。
参见图9,是本发明提供的在移动网络中建立IP连接的方法第三实施例的流程示意图。
在本实施例中,终端支持CMIP功能,终端通过非可信接入网接入SAE核心网时,需要建立IPsec隧道到ePDG,建立到报文数据网关的IP连接。
在步骤S300,终端向接入网关ePDG发送IKE_SA_INIT初始化消息,与ePDG之间安全联盟初始化。
在步骤S301,终端发送给ePDG的IKE接入认证请求消息,并在其中的配置选项(Configuration Payload)中,还携带有信元以指示期望的数据连接的建立方式,根据需要,还可以包括获取HA地址,家乡网络前缀的请求的信元;
在步骤S302,在通过认证服务器的认证授权后,终端与接入网关2之间的IPsec隧道建立,ePDG可以从认证服务器中获取终端的用户签约信息,如果需要,认证服务器可以根据终端所要访问的业务获取报文数据网关(PDN Gateway)信息,提供给ePDG;
在步骤S303,ePDG处理终端的配置请求,ePDG根据终端要访问的业务,策略决定使用CMIP模式,为终端分配一个本地IP地址,用于IPsec隧道的报文转发,同时为终端获取报文网关信息(网关IP地址,即HA地址)一并填写在IKE响应消息的配置选项中给终端;
ePDG所提供的报文数据网关信息可以是一个网关,也可以是多个网关的信息列表,当多个的时候,可以按照排列的顺序表示这些网关间的优先级。
至此,终端在非可信接入网访问SAE数据业务的IPsec隧道建立;
在步骤S304,终端根据ePDG所给出的网关信息(网关IP地址),发送移动IP绑定更新消息(Binding Update)给此报文数据网关,并请求分配业务IP地址。
在步骤S305,PDN SAE Gateway收到请求后,处理移动IP隧道建立,给终端分配业务IP地址,并把所述业务IP地址填写在移动IP绑定响应消息(Binding Ack)中,发送给终端;
至此,终端到报文数据网关(PDN Gateway)的移动IP隧道建立完成,可以进行数据包的转发。
本发明实施例提供的SAE网络架构中的终端,可以在发送IKE接入认证请求消息时,携带期望建立数据连接的模式,以获取相应的恶配置信息,而接入网关ePDG,可以在返回给终端的IKE接入认证响应消息的配置选项中明确为终端配置IP地址信息,是安全隧道IP地址还是业务IP地址,以及数据连接的模式,而本发明实施例提供的终端与报文数据网关建立IP连接的方法以及系统,通过终端和接入网关之间的IPsec隧道建立过程中为终端配置IP地址信息,明确IP地址是安全隧道IP地址,还是业务IP地址,从而使得终端可以获取所述配置信息,完成到报文数据网关的IP连接。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (17)
1、一种在移动网络中建立数据连接的方法,其特征在于,包括:
接收来自终端的基于网络密钥交换协议的接入认证请求消息;
向认证服务器发起对终端的接入认证过程,获取用户的签约信息,并判决数据连接的建立方式;
将与所述数据连接的建立方式相应的地址信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端;
根据终端所采用与所述接入认证响应消息中的地址信息相应的数据连接方式,完成终端到报文数据网关的数据连接。
2、如权利要求1所述的在移动网络中建立数据连接的方法,其特征在于,在所述的基于网络密钥交换协议的接入认证请求消息的配置选项中,携带有信元以指示数据连接的建立方式。
3、如权利要求1所述的在移动网络中建立数据连接的方法,其特征在于,所述将与所述数据连接的建立方式相应的地址信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端的步骤包括:
接入网关收到所述基于网络密钥交换协议的接入认证请求消息后,策略使用主机发起移动IP的数据连接建立模式;
接入网关为终端分配一本地IP地址,作为其安全隧道的地址,将其携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端。
4、如权利要求1所述的在移动网络中建立数据连接的方法,其特征在于,将与所述数据连接的建立方式相应的地址信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端的步骤包括:
接入网关收到所述基于网络密钥交换协议的认证请求消息后,策略使用代理移动IP的数据连接建立模式;
接入网关代理终端发起到作为家乡移动IP代理的报文数据网关的移动IP地址注册,并获取报文数据网关为终端分配的数据业务IP地址,将其携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端。
5、如权利要求1至4中任一项所述的在移动网络中建立数据连接的方法,其特征在于,在终端接收到所述的基于网络密钥交换协议的接入认证响应消息的步骤之后,还包括:
根据所述接入认证响应消息中配置选项的信元,获取与数据连接建立方式相应的地址信息。
6、如权利要求5所述的在移动网络中建立数据连接的方法,其特征在于,
当所述地址信息是本地IP地址,则发起到报文数据网关的移动IP连接请求;
当所述地址信息是建立到报文数据网关的数据连接的业务IP地址信息时,完成到报文数据网关的数据连接。
7、如权利要求6所述的在移动网络中建立数据连接的方法,所述发起到报文数据网关的移动IP连接请求的步骤后包括:
终端将所述本地IP地址作为本地转交地址,向报文数据网关发起移动IP注册过程,并获取业务IP地址,完成到报文数据网关的数据连接的建立。
8、一种终端,其特征在于,所述终端包括:
终端通信单元,用于向接入网关发送基于网络密钥交换协议的接入认证请求消息,请求建立与接入网关的IP安全隧道连接,并接收所述来自接入网关的基于网络密钥交换协议的接入认证响应消息;
IP安全隧道连接单元,用于在通过认证服务器的认证授权后,建立与接入网关之间的IP安全隧道连接;
数据转发单元,用于在接收到所述的基于网络密钥交换协议的接入认证响应消息后,完成到报文数据网关的数据转发。
9、如权利要求8所述的终端,其特征在于,所述数据转发单元包括:
地址获取模块,根据所述接入认证响应消息中配置选项的信元,获取与数据连接建立方式相应的地址信息;
数据转发模块,根据所述地址信息,进行数据转发。
10、如权利要求9中任一项所述的终端,其特征在于,所述数据转发单元还包括:
移动IP请求模块,当所述地址信息为本地IP地址时,将所述建立安全隧道的本地IP地址作为本地转交地址,向报文数据网关发起移动IP注册过程,并向报文数据网关发送移动IP更新请求消息,请求并获取业务IP地址;所述数据转发模块根据获取的业务IP地址,进行数据转发。
11、一种移动网络中的接入网关,用于将非可信接入网络接入所述移动网络的核心网,其特征在于,包括:
消息接收单元,用于接收来自终端的基于网络密钥交换协议的接入认证请求消息,所述认证请求消息的配置选项中携带有信元以指示数据连接的建立方式;
接入认证单元,用于根据所述接入认证请求消息向认证服务器发起对终端的接入认证过程,获取用户的签约信息;
数据连接单元,用于与终端协商并判决终端到报文数据网关之间的数据连接的建立方式;
地址配置单元,用于将与所述数据连接的建立方式对应的地址信息携带在所述接入认证响应消息的配置选项中返回给终端。
12、如权利要求11所述的接入网关,其特征在于,所述数据连接单元包括:
主机发起移动IP连接模块,用于在接入网关收到所述基于网络密钥交换协议的接入认证请求消息后,策略使用主机发起移动IP数据连接建立模式;
代理移动IP连接模块,用于在接入网关收到所述基于网络密钥交换协议的接入认证请求消息后,策略使用代理移动IP数据连接建立模式。
13、如权利要求11所述的接入网关,其特征在于,所述地址配置单元包括:
本地IP地址模块,用于在策略使用主机发起移动IP模式建立数据连接时,为终端分配本地IP地址,作为安全隧道的转发的IP地址;
业务IP地址模块,用于在策略使用代理移动IP模式建立数据连接时,获取报文数据网关为终端分配的数据业务IP地址。
14、如权利要求11至13中任一项所述的接入网关,其特征在于,所述接入网关为第三代移动通信系统架构网络中的演进的报文数据安全网关。
15、一种在移动网络中建立数据连接的系统,其特征在于,包括:
接入网关,根据来自终端的基于网络密钥交换协议的接入认证请求消息,所述接入认证请求消息的配置选项中携带有信元以指示数据连接的建立方式,建立与终端之间的IP安全隧道,并判决数据连接的建立方式,将与所述数据连接的建立方式对应的地址信息携带在基于网络密钥交换协议的接入认证响应消息的配置选项中返回给终端;
报文数据网关,用于通过接入网关向终端发送业务IP地址,建立起与终端之间的数据连接。
16、如权利要求15所述的在移动网络中建立数据连接的系统,其特征在于,所述系统还包括:
认证服务器,用于根据所述基于网络密钥交换协议的接入认证请求消息,对终端的接入进行认证,为终端提供用户签约信息。
17、如权利要求15或16所述的在移动网络中建立终端与报文数据网关之间数据连接的系统,其特征在于,所述报文数据网关包括:
移动IP隧道建立单元,用于在主机发起移动IP数据连接模式下,接收来自终端的移动IP更新请求消息,向终端返回移动IP绑定响应消息;
业务IP分配单元,用于在代理移动IP数据连接模式下,为终端分配业务IP地址;或
用于在主机发起移动IP数据连接模式下,在接收到来自终端的移动IP更新请求消息后,将所述业务IP地址携带在移动IP绑定响应消息中,返回给终端。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100292654A CN101351019B (zh) | 2007-07-20 | 2007-07-20 | 接入网关、终端及建立数据连接的方法和系统 |
| PCT/CN2008/071215 WO2009012675A1 (fr) | 2007-07-20 | 2008-06-06 | Passerelle de réseau d'accès, terminal, procédé et système pour établir une connexion de données |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100292654A CN101351019B (zh) | 2007-07-20 | 2007-07-20 | 接入网关、终端及建立数据连接的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101351019A true CN101351019A (zh) | 2009-01-21 |
| CN101351019B CN101351019B (zh) | 2011-06-01 |
Family
ID=40269555
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100292654A Expired - Fee Related CN101351019B (zh) | 2007-07-20 | 2007-07-20 | 接入网关、终端及建立数据连接的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101351019B (zh) |
| WO (1) | WO2009012675A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977434A (zh) * | 2010-09-29 | 2011-02-16 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络连接方法和移动终端 |
| CN102006298A (zh) * | 2010-11-26 | 2011-04-06 | 华为技术有限公司 | 接入网关实现负荷分担的方法和装置 |
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102056154A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | Ike认证方法、系统、ike响应设备和ike发起设备 |
| CN102204306A (zh) * | 2011-04-28 | 2011-09-28 | 华为技术有限公司 | Mtc终端通过网关与网络通信的方法、设备及系统 |
| WO2013037273A1 (zh) * | 2011-09-13 | 2013-03-21 | 中兴通讯股份有限公司 | 一种对用户设备能力进行处理的方法和系统 |
| CN103813318A (zh) * | 2012-11-09 | 2014-05-21 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| CN103916849A (zh) * | 2012-12-31 | 2014-07-09 | 上海贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN111163493A (zh) * | 2018-11-08 | 2020-05-15 | 中国电信股份有限公司 | 通信配置方法、系统和相关设备 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104735031A (zh) * | 2013-12-24 | 2015-06-24 | 汉柏科技有限公司 | 一种数据加密方法 |
| CN113852949B (zh) * | 2021-09-26 | 2024-02-23 | 中国电子科技集团公司第五十四研究所 | 接入网关及卫星终端通过接入网关接入5g移动网络方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7159242B2 (en) * | 2002-05-09 | 2007-01-02 | International Business Machines Corporation | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT |
| CN100352220C (zh) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| KR100799575B1 (ko) * | 2005-12-07 | 2008-01-30 | 한국전자통신연구원 | IPv6 네트워크에서 이동노드에게 VPN 서비스를제공하는 방법 및 이를 위한 게이트웨이 |
-
2007
- 2007-07-20 CN CN2007100292654A patent/CN101351019B/zh not_active Expired - Fee Related
-
2008
- 2008-06-06 WO PCT/CN2008/071215 patent/WO2009012675A1/zh active Application Filing
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056155A (zh) * | 2009-10-28 | 2011-05-11 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102056155B (zh) * | 2009-10-28 | 2014-07-02 | 中兴通讯股份有限公司 | 移动回程网络 |
| CN102055733B (zh) * | 2009-10-30 | 2013-08-07 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102055733A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | 协商业务承载隧道的方法、设备及系统 |
| CN102056154A (zh) * | 2009-10-30 | 2011-05-11 | 华为技术有限公司 | Ike认证方法、系统、ike响应设备和ike发起设备 |
| CN102056154B (zh) * | 2009-10-30 | 2014-05-07 | 华为技术有限公司 | Ike认证方法、系统、ike响应设备和ike发起设备 |
| CN101977434A (zh) * | 2010-09-29 | 2011-02-16 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络连接方法和移动终端 |
| CN101977434B (zh) * | 2010-09-29 | 2014-01-22 | 宇龙计算机通信科技(深圳)有限公司 | 一种网络连接方法和移动终端 |
| CN102006298A (zh) * | 2010-11-26 | 2011-04-06 | 华为技术有限公司 | 接入网关实现负荷分担的方法和装置 |
| CN102204306A (zh) * | 2011-04-28 | 2011-09-28 | 华为技术有限公司 | Mtc终端通过网关与网络通信的方法、设备及系统 |
| WO2011116713A3 (zh) * | 2011-04-28 | 2012-03-22 | 华为技术有限公司 | Mtc终端通过网关与网络通信的方法、设备及系统 |
| WO2011116713A2 (zh) * | 2011-04-28 | 2011-09-29 | 华为技术有限公司 | Mtc终端通过网关与网络通信的方法、设备及系统 |
| CN103002429A (zh) * | 2011-09-13 | 2013-03-27 | 中兴通讯股份有限公司 | 一种对用户设备能力进行处理的方法和系统 |
| WO2013037273A1 (zh) * | 2011-09-13 | 2013-03-21 | 中兴通讯股份有限公司 | 一种对用户设备能力进行处理的方法和系统 |
| CN103002429B (zh) * | 2011-09-13 | 2017-04-26 | 中兴通讯股份有限公司 | 一种对用户设备能力进行处理的方法和系统 |
| CN103813318A (zh) * | 2012-11-09 | 2014-05-21 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| CN103813318B (zh) * | 2012-11-09 | 2017-04-05 | 华为终端有限公司 | 一种信息配置方法、设备及系统 |
| CN103916849A (zh) * | 2012-12-31 | 2014-07-09 | 上海贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN103916849B (zh) * | 2012-12-31 | 2018-08-24 | 上海诺基亚贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
| CN111163493A (zh) * | 2018-11-08 | 2020-05-15 | 中国电信股份有限公司 | 通信配置方法、系统和相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009012675A1 (fr) | 2009-01-29 |
| CN101351019B (zh) | 2011-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101351019B (zh) | 接入网关、终端及建立数据连接的方法和系统 | |
| KR101030645B1 (ko) | 보안 결합 수립 방법, 결합 업데이트 검증 방법 및 결합 업데이트 실행 방법 | |
| CN101843145B (zh) | 用于建立连接时的分组数据网络网关的重新选择的系统和方法 | |
| CN101322428B (zh) | 用于传递密钥信息的方法和设备 | |
| JP4723158B2 (ja) | パケット・データ・ネットワークにおける認証方法 | |
| JP4639016B2 (ja) | 移動インターネットアクセス | |
| CN101227494B (zh) | 接入多分组数据网时因特网安全协议安全联盟的建立方法 | |
| EP1782574B1 (en) | Fast network attachment | |
| EP1458151A1 (en) | Provision of security services for a mobile "Ad-Hoc" Network | |
| JP2020506588A (ja) | 信頼できないネットワークを用いたインタワーキング機能 | |
| CN101273584A (zh) | 进化的系统架构的策略控制 | |
| CN1998260A (zh) | 在分组数据网络中在网络接入验证传送协议(pana)与点对点协议(ppp)之间提供反向兼容性的方法和系统 | |
| WO2001076297A1 (en) | Billing in a packet data network | |
| JP2009524275A (ja) | Ipとセルラーモビリティとの組み合わせ | |
| JP2011511519A (ja) | モバイルipネットワークにおけるルート最適化 | |
| CN102695236B (zh) | 一种数据路由方法及系统 | |
| WO2006135217A1 (en) | System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system | |
| EP1792465A1 (en) | Return routability optimisation | |
| US8571211B2 (en) | Method and apparatus for generating security key in a mobile communication system | |
| CN101483929B (zh) | 非3gpp接入网关获知与策略决策实体交互方式的方法及装置 | |
| US20100106971A1 (en) | Method and communication system for protecting an authentication connection | |
| WO2008148348A1 (fr) | Procédé de communication, système et station de base domestique | |
| CN100591032C (zh) | 通过ip网络传送信息的方法及其设备和终端 | |
| CN103096500B (zh) | Epc、网络融合系统及终端接入epc的方法 | |
| Horn et al. | Security for the core network of third generation mobile systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |