CN101785270A - 用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 - Google Patents
用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 Download PDFInfo
- Publication number
- CN101785270A CN101785270A CN200880103440A CN200880103440A CN101785270A CN 101785270 A CN101785270 A CN 101785270A CN 200880103440 A CN200880103440 A CN 200880103440A CN 200880103440 A CN200880103440 A CN 200880103440A CN 101785270 A CN101785270 A CN 101785270A
- Authority
- CN
- China
- Prior art keywords
- gateway
- subscriber equipment
- access network
- address
- trust
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 14
- 238000000034 method Methods 0.000 claims abstract description 121
- 230000008569 process Effects 0.000 claims description 62
- 230000004044 response Effects 0.000 claims description 23
- 238000012795 verification Methods 0.000 claims description 9
- 230000000977 initiatory effect Effects 0.000 claims description 6
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 85
- 230000011664 signaling Effects 0.000 description 35
- 239000003795 chemical substances by application Substances 0.000 description 17
- 238000004891 communication Methods 0.000 description 17
- 238000012986 modification Methods 0.000 description 9
- 230000004048 modification Effects 0.000 description 9
- 101100457316 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) MIP6 gene Proteins 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005242 forging Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 102100023703 C-C motif chemokine 15 Human genes 0.000 description 1
- 101100382875 Homo sapiens CCL15 gene Proteins 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000009418 renovation Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0019—Control or signalling for completing the hand-off for data sessions of end-to-end connection adapted for mobile IP [MIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于为用户设备的在核心与接入网之间的信赖关系检测的方法。要点是使用安全隧道建立过程,因此作为核心网的一部分、或作为用户设备自身的一个实体被提供以用以确定接入网是信赖的还是非信赖的信息。该信息可以包括第一IP地址/前缀,其在附接至接入网时被初始地分配给用户设备。必要信息还可以包括第二IP地址/前缀,其是分配在核心网的信赖的实体的地址/前缀。取决于哪个实体确定接入网的信赖关系,使用安全隧道建立过程传送第一IP地址/前缀、或第二IP地址/前缀、或第一IP地址/前缀和第二IP地址/前缀或许是必要的。
Description
技术领域
本发明一般涉及移动通信,并且具体涉及在交递或初始附接至非3GPP接入网之后的移动性信令。本发明涉及用于在核心网与非3GPP接入网之间的移动网络中的信赖关系检测的方法。
背景技术
在3GPP中,在标准(3GPP TS 23.401和3GPP TS 23.402)中规定了系统体系结构的演进。演进的一个方面是对3GPP(第三代合作项目)接入(例如,GSM/Edge无线电接入网)、UTRAN(UMTS陆地无线电接入网)、E-UTRAN(演进的UTRAN)、非3GPP接入(例如,WLAN(无线局域网)、WiMAX(用于微波接入的全球互通)、3GPP2(第三代合作项目2)等)以及在它们之间的移动性的支持。3GPP与非3GPP接入之间的移动性的锚点是3GPP核心网中的网关,其还提供对外部分组数据网络(PDN)的接口,并且被称作PDN GW。3GPP与非3GPP接入之间的移动性基于移动IP,由此,所使用的协议可以是客户端移动IP(D.Johnson、C.Perkins、J.Arkko的“Mobility Support in IPv6”,RFC 3775,2004年6月;H.Soliman的“MobileIPv6 support for dual stack Hosts and Routers(DSMIPv6)”,draft-ietf-mip6-nemo-v4traversal-04.txt,2007年3月)、或代理(Proxy)移动IP(S.Gundavelli、K.Leung、V.Devarapalli、K.Chowdhury、B.Patil的“ProxyMobile IPv6”,draft-ietf-netlmm-proxymip6-00.txt,2007年4月)。非3GPP接入被分为信赖接入和非信赖接入。对于非信赖接入的假设是:非信赖接入中的UE(用户设备)在能够接入运营商服务之前,首先需要至演进的分组数据网关(ePDG)的安全隧道(基于IPsec(因特网协议安全))。ePDG类似于用于互通WLAN的PDG(TS 23.234中描述的)。从另一方面的信赖接入来看,不需要此安全隧道。非3GPP接入是否为信赖的是运营商的决定,并且可以随运营商而不同。
对于在同一非3GPP接入内、或在不同的非3GPP接入之间的移动性,对于3GPP和非3GPP接入之间的移动性,可以使用类似的机制,即,客户端或代理移动IP(因特网协议)。
如上所述,定义了两种不同类型的非3GPP接入,即,非信赖的非3GPP接入和信赖的非3GPP接入,并且非3GPP接入是否为信赖的留给3GPP运营商处理。此外,非3GPP接入可以对于来自运营商A的一个UE是信赖接入,而对于来自运营商A的另一个UE是非信赖接入。
当UE移入、或者初始地附接在非信赖的非3GPP接入中时(图1),其必须首先发现ePDG,建立与该ePDG的IPsec密钥交换IKEv2/IPsec隧道,并且可以通过ePDG IPsec隧道而连接至演进的分组核心EPC(PDN GW)。另一方面,当UE移入、或者初始地附接在信赖的非3GPP接入中时(图2),其可以直接连接至EPC(PDN GW)。
问题是:在初始附接在非3GPP接入期间、或者在交递至非3GPP接入之后(图3),UE不知道该接入是否为信赖的、以及:
-应当建立至ePDG的隧道,于是随后可以将BU消息发送至PDN GW,还是
-可以直接将BU消息发送至PDN GW。
如上所述,开始与非3GPP接入网的连接建立(在交递之后、或随着初始附接)的UE或许不知道该非3GPP接入网是信赖的还是非信赖的。
关于UE如何可以检测到非3GPP接入网的信赖关系,存在一些可能的解决方案。下面描述所述解决方案中的某些,并且还强调对于这些解决方案的可能的问题:
1.一些无线电接入技术(RAT)默认为信赖的(WiMAX),而其它默认为非信赖的(WLAN 802.11)。对于此解决方案的问题是其或许不是真实的,这是因为,RAT是否为信赖的可能是运营商的决定。此外,非3GPP接入对于此UE是否为信赖的可以取决于UE性能,例如,如果UE支持特定安全手段,则该非3GPP接入网可能是信赖的。
2.UE被预配置有来自信赖的非3GPP接入网的网络前缀列表。这里的问题是:例如,如果运营商具有与大量的小的非3GPP接入热点运营商的信赖关系,则此列表可以变得相当大。另外,新的非3GPP接入网可能不断加入,从而该列表必须不断更新,并且,如果存在大量的必须更新的UE,则这可能是困难的或相当低效的。
3.在AAA(认证、授权和计费)过程期间,可以例如通过EAP(可扩展认证协议)扩展来告知UE。此解决方案需要来自本地非3GPP接入AAA协议和基础构造(infrastructure)的支持,然而不能假设这总是被支持。
4.通过较低层信息(例如,在L2上)告知UE。并且,这里,问题是:其需要来自非3GPP接入网,即,较低层的支持(例如,通过由IEEE 802.11u或IEEE 802.21提供的一些手段)。
5.UE尝试建立至PDN GW的连接,即,直接发送绑定更新至PDN GW地址(或者并行地至PDN GW和ePDG),并且,如果至PDN GW的建立失败(因为PDN GW从非信赖的非3GPP接入网是不可达的),则UE知道其处于非信赖的非3GPP接入中,并且必须使用ePDG。问题是:UE必须几次尝试到达PDN GW,直到其可以可靠地断定PDN GW不可达为止,因此该过程非常慢。
6.UE总是首先使用ePDG,即,建立至ePDG的隧道,并且,如果非3GPP接入网是信赖的,则UE被告知直接连接至PDG GW。对于此解决方案的问题是:其在开始消耗较多的资源,这是因为,在ePDG上双隧道传送(IPsec+MIP隧道)并路由所有分组,因此其不是非常有效率的。
7.UE可以询问DHCP服务器(R.Droms、J.Bound、B.Volz、T.Lemon、C.Perkins、M.Carney的“Dynamic Host Configuration Protocol for IPv6(DHCPv6)”,RFC 3315,2003年7月)其处于信赖的还是非信赖的非3GPP接入中。这里,起初,UE连接至非3GPP接入,并且,建立L2接入。随后,UE向DHCP服务器请求信赖关系(包括其身份(identity)(例如,以NAI的格式)、和/或用户的归属(home)运营商标识符)。如果非3GPP接入对于用户的归属运营商和该用户是信赖的,则DHCP服务器告知用户信赖关系,并且可以另外返回PDN GW的IP地址。如果非3GPP接入对于用户的归属运营商和该用户是非信赖的,则DHCP服务器告知该用户信赖关系,并且可以另外返回ePDG的IP地址。这里,问题是:此解决方案需要本地DHCP服务器中的预配置的条目、或者由AAA基础构造的支持,使得在UE的接入认证期间,通过UE的信息来更新DHCP服务器。但是,如果这是不可用的,则DHCP或许不能返回有效的IP地址。在此情况下,UE可以按照默认使用ePDG。然而,此过程或许很慢。
8.UE可以询问DNS服务器其处于信赖的还是非信赖的非3GPP接入中。这里,起初,UE连接至非3GPP接入网,并且建立L2和L3接入。随后,UE可以构建UE或运营商特定FQDN(完全合格的域名)(例如,用于服务或PDN),例如如下:
FQDN=<pdn>.<non-3gpp>.<hplmn>.3gppnetwork.orgor
FQDN=<pdn>.<user id>.<non-3gpp>.<hplmn>.3gppnetwork.org
这里,hplmn部分是用户的归属运营商的标识符,例如,MNC(移动网络代码)和MCC(移动国家代码)码,non-3gpp部分是一些关于非3GPP网络的信息,例如,广播的(advertised)网络接入标识符或广播的IP前缀;userid部分是用户的标识符,例如,NAI(网络接入标识符)。UE向DNS(域名服务器)系统询问此特定FQDN,并且,将递归地解析DNS请求。如果其可以被先前的DNS服务器解析,则其将最终被UE的归属运营商的DNS服务器解析。如果非3GPP接入网是非信赖的,则DNS服务器将与IP地址一起提供ePDG。随后,UE将建立至ePDG的隧道,并且通过该隧道而将BU发送至PDN GW。如果非3GPP接入是信赖的,则DNS服务器将与IP地址一起提供PDN GW。随后,UE应当将BU直接发送至PDN GW。这里的问题可以是:解析相当慢。
发明内容
考虑到上述情形,已经进行了本发明,并且,本发明的目标是:使在交递至非3GPP接入网之后或在初始附接至非3GPP接入网之后的移动性信令更加有效。本发明的更加详细的目标是提供UE容易地确定其已经附接至的接入网是否是信赖的方法。
由独立权利要求的主题解决所述目标。本发明的有益实施例是从属权利要求的主题。
根据本发明的不同实施例,基于网络的移动性方案被用户设备(UE)使用,并且,假设非信赖的接入网不支持由UE使用的基于网络的移动性方案。因此,UE将需要经由演进的分组数据网关(ePDG)(其提供至非信赖的接入网的连接性),利用其本地移动性锚点(其是负责UE的核心网络中的分组数据网络网关(PDN-GW))实施基于网络的移动性方案。在所述方面,UE需要建立与ePDG的安全隧道,经由该隧道,随后在UE与PDN-GW之间交换用户数据。对于此工作,UE需要对于其通信而使用在PDN-GW分配的归属IP地址。仅在所述情况下,当使用所述归属IP地址用于与其它实体的会话通信时,用户数据实际上被PDN-GW接收,并且被转发至ePDG,并且经由安全隧道从该处转发至UE。随后,基于网络的移动性适当地作用,并且,当UE移动至另一接入时,会话不中断,这是因为,在PDN-GW分配的归属IP地址可以进一步被用于新的接入网。
通常,当用户设备附接至新的接入网时,其起初从接入网获得IP地址/前缀。如果接入网是信赖的网络,则其支持UE的基于网络的移动性方案,并且,接入网的接入点用作为本地移动性锚点(PDN-GW)的代理移动性代理(proxy mobility agent),其负责UE的移动性。接入点能够联系UE的本地移动性锚点,并且从其接收UE的归属IP地址/前缀,该接入点随后将归属IP地址/前缀用信号传送至UE。当接收到归属IP前缀时,UE将使用所述归属IP前缀来生成归属IP地址,UE可以将该归属IP地址用于与其它实体的会话通信。
如果接入网是非信赖的网络,则其不支持UE的基于网络的移动性方案。因此,可以由接入网的接入点达到本地移动性锚点(PDN-GW)。因此,由接入点生成被本地分配在接入网的IP地址/前缀,并且将其传送至UE。在所述情况下,UE将必须使用ePDG作为代理移动性代理,以便联系本地移动性锚点(PDN-GW),从而在非信赖的接入网中实现基于网络的移动性。在所述情况下,UE需要建立至ePDG的安全隧道(其随之联系PDN-GW),以接收在PDN-GW分配的用户的归属IP地址/前缀。ePDG将所接收的归属IP地址/前缀转发至UE,其在IP前缀的情况下使用归属IP前缀以生成用于与其它实体的会话通信的IP地址。随后,再次,当改变接入时,UE可维持会话连续性。相反,如果本地分配的IP地址/前缀已经被UE使用于会话(例如,当UE错误地假设非信赖的接入网是信赖的接入网,从而在其自身的本地移动性锚点分配IP地址/前缀时),则只要UE离开该接入网,所述会话便会中断。
从UE的观点看,上述区别是明显的,即,UE不知道所接收的IP地址/前缀是在PDN-GW(作为其自身的IP地址/前缀)分配的,还是在接入网内本地分配的。
因此,UE必须确定接入网是信赖的(这意味着所接收的IP地址/前缀可以用于会话建立)、还是非信赖的(这意味着所接收的IP地址/前缀不可用于会话建立,相反,必须经由ePDG利用PDN-GW实现其基于网络的移动性)。
然而,在当使用基于网络的移动性方案时交递的情况下,可以通过比较在旧的接入网中接收的IP地址/前缀与在新的接入网中接收的IP前缀,来实现对接入是否为信赖的检测。更详细地,倘若UE进行从旧的接入网至新的接入网的交递,则UE使用用于在旧的接入网的会话通信的IP地址,其是其归属IP地址、且基于在PDN-GW(UE的本地移动性锚点)分配的归属IP前缀。当UE移动至新的接入网时,其从新的接入网接收IP地址/前缀,该IP地址/前缀可以是在PDN-GW分配的归属IP地址/前缀、或被在新的接入网本地分配的IP地址/前缀。通过比较在旧的接入网使用的旧的IP地址/前缀、与从新的接入网接收的新的IP地址/前缀,UE能够推断新接收的IP地址/前缀是不是在其本地移动性锚点上分配的,并从而确定接入网是否为信赖的接入网。
当假设UE初始地附接至新的接入网时,确定新的接入网与核心网之间的信赖关系的上述容易的方式并非如此容易。在所述情况下,没有关于旧的IP地址/前缀的信息是可用的,这是因为UE先前尚未建立会话。因此,UE无法知道所接收的IP地址/前缀是在PDN-GW分配的、还是在接入网本地分配的其归属IP地址/前缀。
本发明提供了UE在此情况下和在其它情况下确定接入网是否为信赖的网络的容易且有效的方法。
上面使用的术语“IP地址/前缀”意味着可以使用IP地址或IP前缀。当UE获得IP前缀时,其从该IP前缀生成IP地址,该IP地址随后可以进一步应用于通信会话。然而,还可能的是,UE直接获得IP地址而非IP前缀。在所述情况下,UE在附接到非信赖的接入网时接收本地分配的IP地址,或者从信赖的接入网获得在PDN-GW分配的归属IP地址。对于本发明的运行,UE是否需要从IP前缀生成IP地址、或UE是否直接获得IP地址是次要的。本领域中的技术人员了解所述差异,并且明白随后将解释的关于本发明的不同实施例的含义。对于下文,当使用术语“IP地址”或术语“IP前缀”时,仍或许可能的是,作为代替,可以分别使用“IP前缀”或“IP地址”,这对于本领域中的技术人员是显而易见的。
此外,虽然大部分所描述的实施例假设基于网络的移动性,但是本发明不限于基于网络的移动性方案,并且还可以被应用于基于客户端的移动性方案。
例如,当使用基于客户端的移动性时,UE当附接至新的接入网时也获得IP地址,其是在从旧的接入网的交递之后、或在初始附接之后。在新的接入网本地分配所述IP地址。为了实现基于客户端的移动性,UE需要向在核心网中的其归属代理注册新的IP地址(当使用MIP时,是转交地址CoA),使得归属代理可以在新的接入网中的UE交换数据。
然而,在该接入网不被该核心网信赖的情况下,归属代理将不接受UE的注册尝试。在所述情况下,UE必须使用所分配的IP地址来联系ePDG,并且从ePDG请求新的IP地址。于是,可以将在ePDG上分配的新分配的IP地址成功注册在核心网中的UE的归属代理上,这是因为此新的IP地址是在作为核心网的一部分的ePDG上分配的,从而被UE的归属代理信赖。UE还必须建立至ePDG的安全隧道。由上所导致,经由UE的归属代理并经由ePDG,与附接至非信赖的接入网的UE交换数据。
在接入网被核心网信赖的情况下,对UE的归属代理的注册尝试成功,并且,UE可以使用初始接收的IP地址来开始通信会话,如对于基于客户端的移动性通常的那样。
如刚刚提到的,UE需要知道其已经附接的接入网是否被核心网信赖,以便知道初始接收的IP地址是否可以被用于通信。
本发明的各实施例所基于的本发明的要点是使用安全隧道建立过程,使得一个特定实体(其是核心网的一部分、或用户设备自身)被提供了确定接入网是信赖的还是非信赖的必要信息。
采用安全隧道建立过程的消息来向执行所述确定的实体提供所述必要信息。该必要信息可以包括第一IP地址/前缀,当附接至接入网时,该第一IP地址/前缀被接入网初始地分配给用户设备。所述必要信息还可以包括用户设备的归属IP地址/前缀,其是在核心网中的UE的归属代理分配的IP地址/前缀。
取决于哪个实体确定接入网的信赖关系,其或许已经知道必要信息的一部分,即,所述第一或归属IP地址/前缀。从而,需要从其它持有所缺少的信息的实体向该实体提供其余必要信息。
换言之,取决于哪个实体确定接入网的信赖关系,其或许必须在安全隧道建立过程的消息内传送第一IP地址/前缀、或归属IP地址/前缀、或第一和归属IP地址/前缀。例如,倘若UE是确定接入网的信赖关系的该实体,则将不在安全隧道建立过程的消息内传输第一IP地址/前缀,这是因为,UE已经知道第一IP地址/前缀。然而,在所述情况下,需要使用安全隧道建立过程的消息,将归属IP地址/前缀传输至UE。
因此,在本地移动性锚点PDN-GW是确定接入网的信赖关系的实体的情况下,不需要在安全隧道建立过程期间交换归属IP地址/前缀,这是因为,归属IP地址/前缀对于PDN-GW来说通常是已知的。然而,所述第一IP地址/前缀需要被传输至PDN-GW,这可以使用安全隧道建立过程的消息之一来完成。
在ePDG确定接入网的信赖关系的情况下,第一和归属IP地址/前缀将被提供给ePDG,这是因为,ePDG既不知道该第一IP地址/前缀,也不知道该归属IP地址/前缀。可以使用安全隧道建立过程的消息,并且也可以使用虽然实际上不是安全隧道建立过程的一部分、但是被安全隧道建立过程触发的消息,来对ePDG提供第一和归属IP地址/前缀。
基于所述信息,该实体可以确定接入网是否被核心网所信赖。这可以通过比较第一IP地址/前缀与归属IP地址/前缀而完成,并且在它们一致的情况下,可以推断出该接入网是信赖的接入网。在所述情况下,该接入网已经从信赖的实体获得IP地址/前缀,并且随后,该接入网当UE附接至接入网时已经将所述获得的IP地址/IP前缀作为第一IP地址/前缀提供给UE。
否则,当负责的实体确定第一IP地址和归属IP地址不一致时,由UE从接入网接收的IP前缀被本地分配,并从而不应当被UE用以开始通信会话;该接入网不被核心网所信赖。因此,其必须经由从非信赖的接入网到核心网的ePDG桥接,来与核心网(即,移动节点的本地移动性锚点(PDN-GW))通信。
根据本发明的有益实施例,安全隧道建立过程包括在用户设备、第一网关和核心网的认证服务器之间的认证过程。在所述情况下,第一网关在认证过程的消息中,从认证服务器接收归属IP地址/前缀。这可以加速整个确定,这是因为,通常在一开始执行认证过程,因此第一网关相当早地接收关于归属IP地址/前缀的信息。于是,第一网关可以确定该接入网是否被信赖,或者可以向负责该确定的实体提供关于归属IP地址/前缀的信息。
在本发明的另一实施例中,在第一网关确定接入网是否被核心网信赖的情况下,在安全隧道建立过程的消息内,确定的结果被传送至用户设备。
现在参考本发明的另一个有益实施例,第一网关是演进的分组数据网关,而所信赖的实体是负责用户设备的分组数据网络网关。在安全隧道建立过程的消息之一内,将归属IP地址/前缀从分组数据网络网关传送至用户设备,并且/或者在由安全隧道建立过程触发的另一个消息内,将归属IP地址/前缀从分组数据网络网关传送至演进的分组数据网关。
根据本发明的另一有利实施例,在安全隧道建立过程的消息之一内,将第一IP地址/前缀从用户设备传送至演进的分组数据网关。这在用户设备不进行对接入网的与核心网的信赖关系的确定的情况下完成。
在本发明的又一实施例中,安全隧道建立过程触发从演进的分组数据网关传送移动性消息至分组数据网络网关,其中,移动性消息触发分组数据网络网关将归属IP地址/前缀返回至演进的分组数据网关。
参考本发明的不同实施例,被传送至分组数据网络网关的移动性消息包括第一IP地址/前缀,并且其中,分组数据网络网关确定在移动性消息中接收的IP地址/前缀是否已经被分组数据网络网关分配给用户设备。在确定在移动性消息中接收的IP地址/前缀与当用户设备附接至接入网时被分配给用户设备的第一IP地址/前缀相同的情况下,分组数据网络网关将关于所述确定的结果的信息返回至演进的分组数据网关。在确定当用户设备附接至接入网时、在移动性消息中接收的IP地址/前缀未被分组数据网络网关分配给用户设备的情况下,由分组数据网络网关生成归属IP地址/前缀,并且其被传送至演进的分组数据网关。
根据本发明的另一有益实施例,第一网关和所信赖的实体是负责用户设备的分组数据网络网关。于是,在安全隧道建立过程的消息之一内,将归属IP地址/前缀从分组数据网络网关传送至用户设备,或者,在安全隧道建立过程的消息之一内,将第一IP地址/前缀从用户设备传送至分组数据网络网关。这取决于那个实体实际上执行信赖关系确定。
本发明的可选实施例提供了用于为附接至接入网的用户设备确定核心网与接入网之间的信赖关系的方法。核心网包括分组数据网络网关。将启动(initiation)消息从用户设备传送至分组数据网络网关。在未从分组数据网络网关接收到响应于启动消息的答复的情况下,用户设备确定接入网不被核心网信赖。
根据本发明的可替换实施例,启动消息启动用户设备与分组数据网关之间的安全隧道建立过程。
本发明还提供附接至接入网的用户设备,其中,确定包括第一网关的核心网与接入网之间的信赖关系。用户设备的接收机接收被接入网分配给用户设备的第一IP地址/前缀。用户设备的接收机和发送机交换在用户设备与第一网关之间执行的安全隧道建立过程的消息。所述消息包括关于用户设备的第一IP地址/前缀和/或归属IP地址/前缀的信息。用户设备中的处理器基于第一IP地址/前缀和归属IP地址/前缀,确定接入网是否被核心网信赖。
对于技术人员而应当显而易见的是,用户设备进一步配备有用以执行和/或参与先前说明的本发明实施例的步骤的装置。
本发明还提供核心网中的网关,其中,其为附接至接入网的用户设备确定核心网与接入网之间的信赖关系。该网关的接收机和发送机交换在用户设备与网关之间执行的安全隧道建立过程的消息。该消息包括关于由用户设备当附接至接入网时接收的、并且被接入网分配给用户设备的第一IP地址/前缀的信息。该消息还包括关于用户设备的归属IP地址/前缀的信息。该网关中的处理器基于第一IP地址/前缀和归属IP地址/前缀,确定该接入网是否被核心网信赖。
对于本领域的技术人员而应当显而易见的是,网关进一步配备有用以执行和/或参与先前说明的本发明实施例的步骤的装置。
根据第一方面,提供一种方法、网关、用户设备、网络和计算机可读介质,用于针对附接至接入网的用户设备的、在核心网与接入网之间的信赖关系检测,其中,核心网包括第一网关和第二网关。所述方法包括由用户设备经由第二网关发送消息至核心网的步骤。随后决定用户设备驻留于信赖的还是非信赖的接入网中。如果用户设备驻留在非信赖的接入网中,则第一网关经由在第一网关与用户设备之间的隧道而将消息发送至用户设备,其中在第二网关与用户设备之间隧穿建立(tunnel)该隧道;而如果用户设备驻留在信赖的接入网中,则第一网关经由在第一网关与用户设备之间的隧道而将消息发送至用户设备。
现在更详细地参考第一方面,第一网关是分组数据网络网关,而第二网关是演进的分组数据网关。由第二网关或第一网关、或认证、授权和计费服务器来执行决定步骤。根据第一方面,发送步骤中的消息是绑定更新,其中,该绑定更新被隧道传送或包括在另一消息中。还包括以下步骤:如果用户设备驻留在信赖的接入网中,则由第一网关发送绑定确认消息至在非3GPP接入网中的IP地址上的用户设备。根据第一方面,包括以下步骤:如果用户设备驻留在非信赖的接入网中,则由第一网关发送绑定确认消息至在第二网关的IP地址上的用户设备。在第一方面,预配置或动态地确定在第二网关的IP地址。第一方面还包括步骤:由用户设备接收绑定确认消息;如果使用非3GPP接入网中的IP地址,则确定用户设备驻留在信赖的网络中;以及如果使用在第二网关的IP地址,则确定用户设备驻留在非信赖的网络中。
根据第一方面,提供一种网络,其中,为用户设备检测核心网与接入网之间的信赖关系。核心网包括第一网关和第二网关。用户设备经由第二网关将消息发送至核心网。核心网决定用户设备驻留在信赖的还是非信赖的接入网中。此外,如果用户设备驻留在非信赖的接入网中,则第一网关经由第一网关与用户设备之间的第一隧道将消息发送至用户设备,在第二网关与用户设备之间隧穿建立该隧道。与其相反,如果用户设备驻留在信赖的接入网中,则第一网关经由在第一网关与用户设备之间的第二隧道发送消息至用户设备。
第一方面还提供核心网中的网关,其中,为连接至接入网的用户设备检测核心网与接入网之间的信赖关系。该网关包括用于从用户设备接收消息的接收装置。该网关中的决定装置决定用户设备驻留在信赖的还是非信赖的接入网中。如果用户设备驻留在非信赖的接入网中,则网关的发送装置经由网关与用户设备之间的第一隧道发送消息至用户设备,其中在另一网关与用户设备之间隧穿建立该隧道。如果用户设备驻留在信赖的接入网中,则网关的发送装置经由网关与用户设备之间的第二隧道发送消息至用户设备。
第一方面可选地提供核心网中的网关,其中,为连接至接入网的用户设备检测核心网与接入网之间的信赖关系。网关包括用于从用户设备接收消息的接收装置。网关中的决定装置决定用户设备驻留在信赖的还是非信赖的接入网中。如果用户设备驻留在非信赖的接入网中,则网关的通信装置在另一网关与用户设备之间承载消息。
第一方面另外提供连接至接入网的用户设备,其中,检测在包括第一和第二网关的核心网与接入网之间的信赖关系。用户设备包括用于经由第二网关将消息发送至核心网的发送装置。如果用户设备驻留在非信赖的接入网中,则用户设备的接收装置经由第一网关与用户设备之间的第一隧道从第一网关接收消息,其中在第二网关与用户设备之间隧穿建立该隧道。如果用户设备驻留在信赖的接入网中,则接收装置可选地经由第一网关与用户设备之间的第二隧道从第一网关接收消息。
附图说明
根据下面的对如附图中图示的本发明的不同实施例的更详细的描述,另外的特征和优点将变得显而易见,其中:
图1示出UE从3GPP移动至非信赖的3GPP接入网;
图2描绘了UE从3GPP移动至信赖的非3GPP接入网;
图3是用于接入归属网络信赖关系检测的高级信令流;
图4示出具有隐含的BU和ePDG介入的示例性信令流;以及
图5是具有单独的BU且不具有ePDG介入的示例性信令流。
图6图示了使用PMIPv6的MN的初始附接过程的信令图。
图7是根据本发明实施例的示例性信令流,其中,移动节点执行与ePDG的IKE安全关联交换。
图8是根据本发明另一个实施例的示例性信令流,其中移动节点执行与PDN-GW的IKE安全关联交换。
图9示出根据本发明的又一实施例的示例性信令流,其中移动节点执行与PDN-GW的IKE安全关联交换,并且PDN-GW决定接入网是信赖的还是非信赖的。
具体实施方式
下面的段落将描述包括对3GPP核心网与非3GPP接入网之间的信赖关系的检测的本发明不同实施例,并且说明另外的可选的配置。
为了示例性目的,关于3GPP通信系统而仅概述了大部分实施例,并且在后续的部分中使用的术语主要涉及3GPP术语。然而,关于3GPP的所使用的术语和对实施例的描述并非意在限制本发明的原理和思想于这样的系统。
同样,上面的背景技术部分中给出的详细说明仅仅意在更好地理解下文中描述的大部分3GPP具体示例性实施例,并且不应当被理解为将本发明限于移动通信系统中的处理器和功能的所描述的具体实施例。
第一方面
根据第一方面,提出了这样的方法,其允许UE在交递、或初始地附接至非3GPP接入网之后,从归属运营商的观点检测该非3GPP接入网是信赖的还是非信赖的,并且,在这方面,检测要使用至归属网络的哪个隧道。
为了检测信赖关系,UE 10将有关移动性的消息用信号传送至ePDG 12,并且,ePDG 12将该消息转发至PDN GW 14。ePDG 12或PDN GW 14可以在该消息的处理期间决定或确定UE 10是在信赖的非3GPP接入网20中、还是在非信赖的非3GPP接入网18中。如果UE 10在非信赖的非3GPP接入网18中,则PDN GW 14通过ePDG 12将移动性消息发回至UE 10。另一方面,如果UE 10在信赖的非3GPP接入网20中,则PDN GW 14将移动性消息直接发回至UE 10。
依赖于来自PDN GW 14的移动性消息的目的地,UE 10可以检测其是信赖的非3GPP接入网20或非信赖的非3GPP接入网18。
非3GPP接入网中的UE 10被分配了对UE 10已知的IP地址。在非信赖的接入网18中,对于UE 10来说需要另一个地址,其由ePDG 12分配、并且使得其对UE 10已知。这是远程(remote)地址。
UE 10将目的地为PDN GW 14的绑定更新(BU)隧道传送至ePDG 12。随后,ePDG 12可以决定或确定UE 10是在信赖的非3GPP接入网20中还是在非信赖的非3GPP接入网18中,并且将BU发送至PDN GW 14,或者ePDG12将该BU转发至PDN GW 14,并且PDN GW 14可以决定或确定UE 10是在信赖的非3GPP接入网20中还是在非信赖的非3GPP接入网18中。如果UE 10在信赖的非3GPP接入网20中,则PDN GW 14将BACK(绑定确认)发送至在非3GPP接入中分配的UE的IP地址。如果UE 10在非信赖的非3GPP接入网18中,则PDN GW 14将BACK发回至在ePDG分配的UE的IP地址(UE的远程IP地址)。依赖于在BACK中使用的目的地址,UE 10可以检测其是信赖的非3GPP接入网20还是非信赖的非3GPP接入网18。
在此发明的上下文中,应理解,使用类型2路由报头或归属地址选项发送消息被认为是被隧道传送。
上述方法的一些益处是:其允许每UE动态的信赖/非信赖决定,其不需要预配置,不需要较低层或非3GPP接入支持,在UE在信赖的非3GPP接入的情况下避免初始双隧道传送(IPsec+MIP隧道传送),以及,其比UE经由例如DHCP/DNS检测信赖的/非信赖的关系的机制更快。
为了检测非3GPP接入与归属运营商之间的信赖关系,执行图3中所示的下列高级信令过程:
31.UE执行至非3GPP接入网的交递,或者初始地附接在非3GPP接入中。UE不知道该非3GPP接入是否为信赖的。
32.UE可以执行非3GPP接入认证,其还牵涉3GPP AAA服务器。
33.UE发送绑定更新。BU的最终目的地实际上是PDN GW,但是其首先被发送至ePDG。为了让ePDG接收该BU,将该BU从UE隧道传送至ePDG,或者将其包括在被发送至ePDG的另一个消息(例如,IKEv2(图4)消息)中。例如,可以经由DHCP或DNS或anycast,预配置或动态地确定ePDG的IP地址。
34.ePDG可以基于与绑定更新一起传送的关于非3GPP接入的信息、和/或从AAA服务器接收的信息、和/或从PDN GW接收的信息,确定非3GPP接入与归属运营商之间的信赖关系。如果将AAA服务器牵涉在确定中(例如,ePDG在认证UE期间或在单独的信令交换中询问AAA服务器),则AAA服务器可以基于在接入认证期间传送的关于非3GPP接入网的信息、和/或与绑定更新一起传送的且由ePDG提供的关于非3GPP接入网的信息(例如,接入网标识符)、和/或订户数据库中的信息,确定非3GPP接入与归属运营商之间的信赖关系。AAA服务器可以发送通知至ePDG(例如,PDN GW在认证UE期间发送响应)。利用该通知,ePDG可以被告知UE是在信赖的还是非信赖的非3GPP接入中。
35.如果将ePDG牵涉在对信赖关系的确定中,则其可以修改BU、或生成新的BU,并且发送此BU至PDN GW。例如,如果ePDG确定UE在信赖的非3GPP接入网中,则其可以将具有转交地址=UE的本地非3GPP IP地址的BU发送至PDN GW,并且,如果在另一方面ePDG确定UE在非信赖的非3GPP接入网中,则其可以将具有转交地址=UE的远程IP地址的BU发送至PDN GW。如果ePDG未被牵涉在对信赖关系的确定中,则其可以将BU转发至PDN GW,而不需要任何其它处理。
36.PDN GW可以基于与绑定更新一起传送的关于非3GPP接入网的信息、和/或从AAA服务器接收的信息,确定非3GPP接入网与归属运营商之间的信赖关系。
37.
a.如果UE在非信赖的非3GPP接入网中,则PDN GW发送绑定确认(BACK)至UE的远程IP地址。即,BACK首先被ePDG接收,并且从ePDG被隧道传送至UE。基于在BACK中使用的目的地IP地址,UE能够检测到其位于非信赖的非3GPP接入网中,以及必须通过ePDG被隧道传送至PDN GW的全部流量。
b.如果UE在信赖的非3GPP接入网中,则PDN GW发送绑定确认(BACK)至UE的本地非3GPP IP地址。即,BACK被直接发送至UE,而不需要通过ePDG。基于在BACK中使用的目的地IP地址,UE能够检测到其位于信赖的非3GPP接入网中,以及可以将全部流量直接发送至PDN GW。
在此部分中,示出了示例性信令流(见图4),其中不在单独的消息中发送BU,而是将BU包括在IKEv2消息中。ePDG能够检测到此隐含的BU,并且启动适当的测量,如在下面进一步详细描述的那样。
41.在交递至非3GPP接入网之后、或者随着初始附接至非3GPP接入网,UE开始对ePDG的IKEv2隧道建立,即,其发送IKE_SA_INIT消息至ePDG,而ePDG以IKE_SA_INIT消息响应。之后,完成Diffie-Hellman交换,并且可以对所有在后的消息进行加密和完整性保护。例如,可以经由DHCP或DNS或anycast,预配置或动态地确定ePDG的IP地址。
42.UE开始IKE-AUTH交换,以认证其自身,并且另外,如果还未分配远程IP地址,则UE可以在配置有效载荷(Configuration Payload)中请求远程IP地址。
所述认证可以例如基于EAP,或者为了减少关于如EAP重新认证扩展(ERX)的扩展的消息交换的数量。对于ERX,UE使用重新认证完整性密钥来进行认证,从而这里需要较早的认证。在IKE_AUTH消息中,附加标志可以指示UE想要对PDN GW执行绑定更新。此外,应当包括BU的序列号(并且还可以包括时间戳),例如以避免竞争(race)情形。
更快的认证(代替使用ERX)和发送隐含的BU的另一种可能性是将BU(完全或部分地)包括在IKE_AUTH消息的IDi字段中。IDi消息是可变长度字段并且用于识别启动符(initiator)。在此情况下,例如通过其在BU中包含的MN-NAI来识别启动符。可以利用用于移动IPv6的认证协议来认证BU,即,使用MN-AAA安全关联。
43.ePDG联系AAA服务器,以使用例如ERX或使用根据MIP6认证协议的机制来认证UE。
44.在ePDG已经认证了UE之后,其可以确定UE是在信赖的还是非信赖的非3GPP接入中(例如,基于IKEv2消息中的UE的源IP地址、或基于来自AAA服务器的信息、或基于IKE_AUTH消息中的接入网标识符)。
45.
a.如果UE在非信赖的非3GPP接入网中,则ePDG可以将远程IP地址分配用于UE,并且将具有CoA=UE的远程IP地址的BU发送至PDNGW。
如果使用具有BU标志的ERX,则ePDG可以将代理绑定更新发送至PDN GW,使用可选的转交地址移动性选项,并且将Alt.CoA选项设置为UE的远程IP地址。
如果使用所包括的利用MIP6认证协议的BU,则ePDG可以发送BU并对其进行完整性保护,如从UE发送的,这是因为,其在认证期间已经接收了用于MN-HA安全关联的密钥。但是,为了避免伪造(forge)UE的IP地址,在此情况下还可以使用Alt.CoA选项,并且将其设置为UE的远程IP地址。
b.如果UE在信赖的非3GPP接入网中,则ePDG将具有CoA=UE的本地非3GPP IP地址的BU发送至PDN GW。这里,ePDG可以不分配远程IP地址。
如果使用具有BU标志的ERX,则ePDG可以将代理绑定更新发送至PDN GW,使用可选的转交地址移动性选项,并且将Alt.CoA选项设置为UE的本地非3GPP IP地址。
如果使用所包括的利用MIP6认证协议的BU,则ePDG可以发送BU并对其进行完整性保护,如从UE发送的,这是因为其在认证期间已经接收了用于MN-HA安全关联的密钥。但是,为了避免伪造UE的IP地址,ePDG在此情况下还可以使用Alt.CoA选项,并且将其设置为UE的本地非3GPP IP地址。
46.
a.如果UE在非信赖的非3GPP接入网中,则ePDG在IKE_AUTH消息中向UE告知成功认证,并且还可以在配置有效载荷中向UE告知远程IP地址。
b.如果UE在信赖的非3GPP接入网中,则ePDG可以在IKE_AUTH消息中告知UE认证已经失败。
47.
a.如果UE在非信赖的非3GPP接入网中,则PDN GW将绑定确认(BACK)发送至UE的远程IP地址。即,BACK首先被ePDG接收,并且从ePDG被隧道传送至UE。在使用MIP6认证协议来认证BU的情况下,随着,还使用MIP5认证协议认证BACK。基于在BACK中使用的目的地IP地址,UE能够检测到其位于非信赖的非3GPP接入网中,以及必须通过ePDG将全部流量隧道传送至PDN GW。
b.如果UE在信赖的非3GPP接入网中,则PDN GW将绑定确认(BACK)发送至UE的本地非3GPP IP地址。即,BACK被直接发送至UE,而不通过UE-ePDG隧道。在使用MIP6认证协议认证BU的情况下,随后,还使用MIP6认证协议来认证BACK。基于在BACK中使用的目的地IP地址,UE能够检测到其位于信赖的非3GPP接入网中,以及可以将全部流量直接发送至PDN GW。
在此部分中,示出示例性信令流(见图5),其中在单独的消息中发送BU,而无显著的延迟。此外,信赖的/非信赖的确定可以对ePDG透明。
51.UE开始对ePDG的IKEv2隧道建立,即,其发送IKE_SA_INIT消息至ePDG,而ePDG以IKE_SA_INIT消息响应。在那之后,完成Diffie-Hellman交换,并且可以对所有在后的消息进行加密和完整性保护。例如,可以经由DHCP或DNS或anycast,预配置或动态地确定ePDG的IP地址。
52.UE使用基于IKEv2的MOBIKE对ePDG执行认证,即,UE发送其支持MOBIKE的通知至ePDG。此外,如果还未分配远程IP地址,则UE可以在配置有效载荷中请求远程IP地址。
注:在实际交递之前,可能已经执行了步骤51和52。
53.UE执行至非3GPP接入网的交递,并且不知道该非3GPP接入是信赖的还是非信赖的。
54.UE发送MOBIKE INFORMATIONAL请求,以更新与ePDG的IPsec安全关联。因为使用了MOBIKE,所以不必完全创建新的IKE和IPsec SA。
55.在MOBIKE更新之后,UE立即通过UE-ePDG隧道发送绑定更新至PDN GW。在BU中,UE包括一些转交地址,即,UE的本地非3GPP IP地址和UE的远程IP地址。为了包括一些CoA,UE可以使用例如可选的转交地址选项或扩展,如IETF WG MONAMI6中建议的。
56.ePDG告知UE:SA更新成功。
注:可在步骤55之前执行步骤56。
57.PDN GW确定UE是在信赖的还是非信赖的非3GPP接入网中(例如,基于BU消息中UE的本地非3GPP IP地址、或基于从AAA服务器获得的信息、或基于BU中的附加信息,如接入网标识符)。
58.
a.如果UE在非信赖的非3GPP接入网中,则PDN GW将绑定确认(BACK)发送至UE的远程IP地址。即,BACK首先被ePDG接收,并且从ePDG被隧道传送至UE。基于在BACK中使用的目的地IP地址,UE能够检测到其位于非信赖的非3GPP接入网中,以及必须通过ePDG将全部流量隧道传送至PDN GW。
b.如果UE在信赖的非3GPP接入网中,则PDN GW将绑定确认(BACK)发送至UE的本地非3GPP IP地址。即,BACK被直接发送至UE,不通过UE-ePDG隧道。基于在BACK中使用的目的地IP地址,UE能够检测到其位于信赖的非3GPP接入网中,以及可以将全部流量直接发送至PDNGW。
第一方面的总体问题和变型
上面的信令流仅仅是示例。其它变型也是可能的,例如在一个变型中,也可以单独地发送绑定更新,而不使用MOBIKE,仅使用简单的IKE;或者,在另一个变型中,也可以将BU隐含地包括在MOBIKE更新消息中,并且于是,该过程可以不对ePDG透明。
本发明的实施例
在“第一方面”部分中,假设UE支持客户端移动IP(例如,双堆栈MIPv6(DSMIPv6)),并且将绑定更新隧道传送至ePDG。然而,并非演进的系统中的全部UE和全部3GPP运营商(例如,运营商的PDN-GW)均支持DSMIPv6。于是,UE不能发送BU,或者,PDN-GW不允许至PDN-GW的直接用户数据隧道传送。在此情况下,DSMIP-BU不被接受,并且没有绑定确认被发回至UE。
在不支持DSMIPv6的情况下,基于网络的移动性(NBM)(例如,代理移动IP)对UE提供移动性。这里,当UE正在进行从一个接入到另一个的交递时,移动性接入网关(MAG)正在代表UE将绑定更新发送至PDN-GW(本地移动性锚点,LMA),并且在交递之后由新的MAG分配至UE的IP地址/前缀是与由旧的接入网中的旧的MAG分配的IP地址/前缀相同的IP地址/前缀。
当代理移动IP用于至非信赖的接入的连接时,MAG功能性位于ePDG。UE被分配非信赖的非3GPP接入中的本地IP地址/前缀,并且必须使用当UE附接至接入网时被接入网分配给UE的本地IP地址,来建立至ePDG的IKE/IPSec隧道。随后,ePDG将代理绑定更新发送至PDN-GW,其包括ePDG的IP地址。ePDG接收UE的归属IP地址/前缀,并且在IKE_AUTH配置有效载荷中将此归属IP地址/前缀提供给UE,这是因为,UE要使用该归属IP地址/前缀来建立通信会话。
当代理移动IP用于至信赖的接入的连接时,MAG位于信赖的接入中(例如,在接入点上),并且UE初始地使用接入特定过程以建立至信赖的接入网的连接。随后,必须执行基于3GPP的接入认证(使用EAP-AKA),并且,在成功认证之后,MAG发送包括初始地分配的IP地址/前缀的代理绑定更新至PDN-GW。PDN-GW将包括所分配的归属IP地址/前缀的BACK发送到MAG,并且,MAG将所述归属IP地址/前缀提供给UE。所接收的归属IP地址/前缀可以随后被UE用于建立通信会话。
如之前已经提到的,在一开始,UE不知道所接收的IP地址/前缀是从PDN-GW分配的还是由接入网本地分配的。然而,UE需要知道所述信息,以便适当地结束附接过程。
为此,不可能使得所述确定基于是否使用3GPP认证的事实。更详细地,为了接入信赖的非3GPP接入网、并且使用NBM,需要基于3GPP的接入认证。在另一方面,这意味着如果UE不执行基于3GPP的接入认证,则因为在非信赖的接入网中未使能PMIP,所以仅可以经由ePDG使用NBM。但是,当UE接入非信赖的非3GPP接入网时,也可以使用基于3GPP的接入认证。因此,由此得出:仅根据基于3GPP的接入认证的出现,不能断定该接入是信赖的。
如已经提到的,如果当使用NBM时,UE正在进行至非3GPP接入网的交递,则对该接入是否为信赖的且是否可以使用NBM的检测是没有问题的。UE在交递之前已经具有归属IP地址/前缀。因此,UE可以根据在新的接入中分配的IP地址/前缀检测信赖关系。如果IP地址/前缀与归属IP地址/前缀相同,则该接入是信赖的;如果IP地址/前缀不同,则该接入是非信赖的,并且必须建立至ePDG的隧道,以便具有会话连续性。
当UE还未具有来自在前的接入网的归属IP地址/前缀时,这在UE至非3GPP接入的初始附接的情况下是不适用的。当UE正在进行基于3GPP的接入认证、并且在成功之后获得分配的IP地址/前缀时,UE不知道该接入是否为信赖的、以及该IP地址/前缀是否为归属IP地址/前缀并且可用于应用层会话,或者该接入是否为非信赖的、以及该IP地址/前缀是否为本地IP地址/前缀、以及是否必须建立至ePDG的隧道。
本发明提供了UE仍可确定该接入网是否为信赖的实施例。
■代理MIPv6(PMIPv6)
在更详细地说明本发明的实施例之前,在下面给出对PMIP的简要概述。
将移动IP分类为基于主机的(或基于客户端的)移动性管理,这是因为,有关移动性的信令在主机(或客户端)与HA之间。因此,其有时被称作客户端移动IP(CMIP)。由网络管理将IP移动性管理的目标定在有限的地理区域中的另一方法,因此该方法对MN透明。此方法称为基于网络的、局部化(localized)IP移动性。
基于网络的移动性的一个主要特性是将接入网实体适当地配置为检测MN移动并且交换关于MN的当前位置的信息,使得MN不需要被牵涉在移动性处理中。因此,避免通过无线接口的有关移动性的信令。基于网络的移动性管理的其它优势是在空中的较少的分组开销(因为不需要MIPv6封装)以及对简单的IP节点(即,非MIP功能的节点)的移动性支持。因特网工程工作组(IETF)组织正在致力于基于移动IP协议的用于局部移动性管理的这样的方法。因为网络实体正作为代表MN的代理,所以该协议称为代理移动IP(PMIP)。存在称作PMIPv6的IPv6的变型、以及称作PMIPv4的IPv4的变型。此方面的大部分实施例假设PMIPv6作为用于基于网络的移动性管理的协议,但是本发明不限于PMIPv6。其还可以适用于其它基于网络的移动性管理协议,如PMIPv4。实际上,本发明不限于基于网络的移动性,并且还可以适用于使用基于客户端的移动性方案的MN。
为了提供对网络的限制的且在拓扑上局限的部分内的任何IPv6主机的移动性支持,并且不需要主机的参与,代理移动IP(PMIP)提出称作移动接入网关(MAG)的新的逻辑实体,其是接入网中的代理移动性代理,该代理移动性代理管理对于附接至其接入链路的移动节点的有关移动性的信令。MAG是负责跟踪移动节点至链路的附接、且负责信号传送至移动节点的本地移动性锚点的实体。MAG通常与接入路由器(AR)协同定位,并且代表移动节点执行移动IPv6信令消息,例如,可以代表MN发送BU消息。这些BU消息被标记以标志,使得它们可以被识别为代理BU(PBU)消息。此外,PBU消息可以包含网络接入标识符(NAI)选项、归属前缀选项、以及时间戳选项。NAI选项包含NAI,其具有“username@realm”的格式,并且其用以识别MN。当被使用时,归属前缀选项包含MN的HoA或归属前缀。在所谓的每MN前缀寻址模型中,每个MN具有唯一的归属前缀,并且基于此前缀配置MN的(多个)全局IP地址。可以在PBU消息中使用唯一的归属前缀而代替HoA。时间戳选项包含PBU已经被MAG发送的时间,并且被本地移动性锚点(LMA)用于识别PBU消息的新的程度(freshness)。LMA忽略PBU消息的序列号值。
本地移动性锚点(LMA)是在代理移动IPv6域中移动节点的归属代理。其是移动节点的归属前缀的拓扑锚点,并且是管理移动节点的可到达状态的实体。重要的是理解:LMA具有如移动IPv6基础规范中定义的归属代理的功能性,并且具有用于支持代理移动IPv6的额外所需的性能。
当MN附接至信赖的接入网中的新MAG时,其使用EAP框架和诸如EAP-AKA的EAP方法对该网络进行认证。MAG典型地作为传递认证器(pass-through authenticator)并且将EAP分组转发至与MN有关的AAA服务器/基础构造。MN使用NAI作为标识符。如果网络认证成功,则MAG从AAA服务器获得MN的简档(profile),包括位于LMA的MN的归属前缀。MAG随后将PBU发送至LMA,并且向MN宣告归属前缀。在MN与AR认证之后,其开始IP配置,即,其配置链路-本地(LL)IP地址,通过将邻居恳求(NS)消息发送至要被检查的LL地址的恳求的节点多播地址,执行对于LL地址的重复地址检测(DAD)。如果该过程成功,则MN经由相应多播地址将路由器恳求(RS)消息发送至全部路由器,并且等待接收路由器广播(RA)。AR/MAG以包括MN的归属前缀的单播RA响应。
在配置全局IP地址之后,MN是IP可达的,并且只要其在PMIP域中移动,就可以使用IP地址。在图6中示出了如上所述的在初始附接过程期间用于PMIPv6的示例性信令流。
在上面,已经详细描述了基于网络的移动性方案,因为对于本发明的下列实施例,假设PMIP被用于UE以允许在通信会话期间的移动性。然而,应当注意,本发明不限于此,而是当UE使用基于客户端的移动性方案(诸如MIP,实际上PMIP部分基于其)时,也可以适用本发明的不同实施例的思想和原理。
如已经在“发明内容”部分中概述的,本发明的主要思想之一是通过使用安全隧道建立过程检测非3GPP接入网的信赖关系。更详细地,UE开始安全隧道的建立,并且在隧道建立期间或之后,UE知道非3GPP接入网的信赖关系。在本发明的一个实施例中,安全隧道建立过程可以是使用IKEv2的IPsec隧道,以协商被用于IPsec隧道的安全关联。
■IKEv2(IPsec)
在更加详细地说明本发明的各实施例之前,简要描述IPsec(IKEv2)过程。
因特网密钥交换(IKE)协议服务于管理用于IPsec的自动化密钥管理。IKE使用Diffie-Hellman密钥交换用以通过不安全的计算机网络的安全密钥交换。IKE定义如何对安全参数达成一致、以及要如何交换共享密钥。在经由IPsec的加密的连接的实际开始之前,两方需要相互认证,并且对要使用的密钥算法达成一致。
因此,IKE用于在一对通信对等方(peer)之间协商安全关联。其被定义为因特网协议安全性(IPSec)的一部分。安全关联(SA)是两对等方之间的协定,并且可以包括例如识别、用于IPsec连接的密钥算法、和/或从哪个网络和到哪个网络建立IPsec连接。
IKEv2使用两个阶段(phase)-IKE_SA_INIT和IKE_AUTH用于安全关联的协商。每个阶段由请求和响应组成;因此,需要至少四个消息来建立IKE_SA。在IKE_SA_INIT交换中,两对等方协商密码算法的使用、以及用于密钥协定的交换信息。在此交换之后,每一对等方生成用以得到共享的对称密钥的密钥素材(material)用于认证和加密。这些密钥与IKE_SA关联,这是双向的。在这点上,两对等方已经就加密密钥达成一致,但是它们还未相互认证。这些密钥用以保护IKE_AUTH交换。
IKE_AUTH交换用以提供相互方认证,并建立安全关联用于在两IKEv2方之间使用IPsec。每一对等方声明(assert)其身份(例如,IP地址、完全合格的域名)并且使用认证机制来验证该声明。此认证机制可以使用数字签名、可扩展认证协议(EAP)、或预共享的密钥。每一对等方核实另一对等方的声明。一旦被核实,便提供相互实体认证。如果该核实失败,那么安全管理协商失败,并且结束IKE_SA_INIT交换中协商的IKE_SA。
两对等方协商要使用的密码算法、要包含所述方之间的什么流量,并且可以在IKE_AUTH交换中任选地交换附加密钥协定素材。还可以交换证书。在此交换中,创建两个单向安全关联。
图7是其中示出根据本发明的实施例的用于信赖检测的过程的信令流。在此实施例中,UE启动对ePDG的IKEv2过程,以便获取用以确定接入网是信赖的还是非信赖的必要信息,其中,由UE自身执行所述确定。
如之前已经广泛讨论的,当UE附接至非3GPP接入网时,其首先执行基于3GPP的接入认证。在成功认证之后,IP地址/前缀被分配给UE,对于该IP地址/前缀,UE不知道其是否可以被用于通信会话,即,该接入是否为信赖的。
本发明的实施例首先提出使用此IP地址/前缀来经由例如DNS(域名解析)发现ePDG。在接收到IP前缀的情况下,将首先必要的是,UE从IP前缀中生成IP地址,以能够与DNS服务器通信。
从而,ePDG被发现,并且UE开始对与此ePDG的IKEv2 SA的设置,如将根据下文而变得显而易见的。在图7中描绘了下面的信令流。假设PDN-GW为UE的LMA,并且在接入网为非信赖的情况下,假设ePDG为UE的MAG。
71.由UE通过首先执行与ePDG的IKE_SA_INIT而启动IKE过程,以建立至ePDG的安全连接。
72.在成功启动之后,在IKE_AUTH信令中,UE将其身份(NAI)包括在IDi有效载荷中,并且将APN信息包括在IDr有效载荷中。另外,UE在配置有效载荷中指示其想要获得归属IP地址/前缀。
73.ePDG启动UE对AAA服务器的认证,其中使用EAP-AKA。
74.在认证之后,ePDG将代理绑定更新消息发送至PDN-GW。PBU消息包括UE的身份和所请求的APN。根据本发明的有益实施例,PBU应当为试验性的(tentative),即由标志指示。于是,在绑定高速缓存器条目已经出现在PDN-GW中的情况下,PDN-GW(LMA)不将路径切换至ePDG。完成此,因为IKE过程仅仅用于确定接入网的信赖关系,而并非真正建立要达到UE所经由的IPsec隧道。如果PBU并非试验性的或类似的,则PDN-GW将经由ePDG建立至UE的数据路径。于是,在UE在信赖的接入网中的情况下,与UE的直接通信将是可能的,而不需要经由ePDG绕道,并且,需要再次结束IPsec隧道。
75.PDN-GW在代理绑定确认中,以UE的所分配的归属IP地址/前缀答复。
76.cPDG告知UE有关在步骤73的认证成功。
77.当在IKE_AUTH响应中接收到EAP成功时,UE将IKE_AUTH请求发送至ePDG,其中所生成的AUTH参数用以认证第一IKE_SA_INIT消息。
78.ePDG响应以IKE_AUTH响应,其包括所生成的AUTH参数以认证第二IKE_SA_INIT消息,并且将所分配的归属IP地址/前缀包括在配置有效载荷中。
79.UE比较来自ePDG的IKE_AUTH响应中的IP地址/前缀、与本地分配的IP地址/前缀。如果两个IP地址/前缀匹配,那么其是信赖的接入,并且UE不需要使用至ePDG的隧道。如果两个IP地址/前缀不匹配,那么其是非信赖的接入,并且UE需要使用至ePDG的隧道用于接入PDN。
上述示例性信令流提出仅仅关于如何可以应用本发明的思想和原理的可能性。自然地,存在一些变型,下面将给出某些变型。
例如,代替利用在步骤78的IKE_AUTH响应消息传送所接收的归属IP地址/前缀,ePDG可能已经在步骤76的IKE_AUTH响应消息中将归属IP地址/前缀转发至UE,因为在那时归属IP地址/前缀已经出现在ePDG中。
对上述过程的一个另外的选择是将被PDN-GW分配给UE的归属IP地址/前缀存储在AAA(认证、授权、计费)/HSS(归属订户服务)服务器中。于是,ePDG可能能够在步骤73的认证期间获取UE的归属IP地址/前缀。在所述情况下,不需要由IKE过程触发由ePDG将PBU传送至PDN-GW(见步骤74)。因此,步骤75将也不是必要的。在认证过程期间获得UE的归属IP地址/前缀的ePDG可以随后继续将IKE_AUTH响应消息传送至UE,如已经在图7的步骤76-78中描绘的。
现在参考关于图7的步骤74中的试验性的PDU的使用的另一个选择。代替试验性的PDU,ePDG(MAG)可以将初始接收的UE的IP地址/前缀包括在PBU中,并且还可以将交递指示符(indicator)设置为“附接”或“未知”。PBU随后被传送至PDN-GW(LMA),其转而确定所述IP地址/前缀是否已经被其自身分配给UE了。更详细地,在接入网为信赖的情况下,接入网的接入点在UE附接时联系PDN-GW,用于获得UE的归属IP地址/前缀。因此,PDN-GW为UE生成归属IP地址/前缀,并且将其存储在相应表中。
当接收到包含初始分配的IP地址/前缀的PBU时,PDN-GW能够确定所接收的IP地址/前缀已经被分配给UE,并且可以在代理BACK响应中将所述确定指示给ePDG:接入网是信赖的。相反地,当该接入网是非信赖的时,接入网中的接入点并不初始地联系PDN-GW,从而在PBU消息中接收的IP地址/前缀对PDN-GW未知。PDN-GW因此推断出UE在非信赖的网络中,并且可以另外将新的归属IP地址/前缀分配给UE,并且在代理BACK响应中将该新的归属IP地址/前缀传送至ePDG。
由上,PDN-GW知道何时将隧道切换至ePDG、以及何时不这样做。详细地,在PDN-GW确定接入网是信赖的(所接收的IP地址/前缀与先前分配给UE的IP地址/前缀一致)的情况下,不执行将隧道切换至ePDG。然而,在PDN-GW确定接入网是非信赖的(所接收的IP地址/前缀对PDN-GW未知)的情况下,隧道或许已经被切换至ePDG,因为UE必须使用ePDG来与核心网(PDN-GW)通信。
如之前已经提到的,与UE不同的实体也可以确定接入网的信赖关系。ePDG可以在步骤73或步骤75之后知道初始分配的IP地址/前缀、以及UE的归属IP地址/前缀。更详细地,ePDG从IKE_SA_INIT消息交换知道初始分配的IP地址/前缀,因为UE基于所述初始分配的IP地址/前缀(例如,作为从UE传送至ePDG的第一IKE_SA_INIT消息的源地址)而与ePDG通信。作为选择,可以将IP地址/前缀插入到从UE传送至ePDG的IKE_SA_INIT消息的有效载荷字段中。此外,ePDG在步骤73的认证过程期间(见上面的选择),或者利用图7的步骤75,得知UE的归属IP地址/前缀。
在所述时刻,ePDG可以比较两个IP地址/前缀,即,初始分配的IP地址/前缀与归属IP地址/前缀,因此推断出接入网是信赖的还是非信赖的。于是,在两个IP地址/前缀匹配的情况下,ePDG可以在IKE_AUTH响应(其在步骤76或在步骤78)中包括通知有效载荷(Notify-Payload),以告知UE确定结果、以及由此的接入网的信赖特征。
此外,在先前的选择中,当假设ePDG确定接入网是信赖的时,ePDG可以将其告知UE,并且进一步,可以中断其余过程。例如,在在步骤76利用IKE_AUTH_RESPONSE消息告知UE有关所述确定的情况下,将不执行步骤77和78。类似地,在从AAA服务器接收归属IP地址/前缀,并且ePDG优选地在认证过程的消息中告知MN的情况下,也将不执行步骤74-78。
然而,在IP地址/前缀不匹配的情况下,ePDG继续所述过程,并且经由第一(步骤76)或最后的(步骤78)IKE_AUTH_RESPONSE消息向UE告知被PDN-GW分配的新的归属IP地址/前缀。此外,在所述情况下,不需要对PDN-GW使用试验性的PBU,因为接入网是非信赖的,并且无论如何PDN-GW必须经由ePDG与UE通信。
对于在至ePDG的IKEv2信令期间告知UE来说可替换地,UE还可以在成功设置了至ePDG的隧道之后的某时间点检测信赖关系,例如,通过与PDNGW的一些信令交换、或由ePDG触发的INFORMATIONAL交换。在此情况下,与上述过程类似,UE将建立至ePDG的IKEv2隧道,并且独立于非3GPP接入网的信赖关系而首先使用该IKEv2隧道(非信赖模式),以便减少在会话起始期间的延迟。于是,在在某时间点检测到非3GPP为信赖的情况下,UE可以触发网络(例如,在IKE INFORMATIONAL交换中)以切换路径,并且不再使用ePDG隧道(信赖模式)。
对于此优化的一个问题是: 在一个方面,UE不能在非3GPP接入网中使用同一前缀作为本地IP前缀,并且在另一方面也不能在非3GPP接入网中使用同一前缀作为由ePDG分配的(归属)IP前缀。这将导致PDN GW中的冲突,因为PDN GW可以仅为此前缀而将分组隧道传送至非3GPP接入网中的ePDG或MAG。
因此,由PDN GW通过ePDG分配作为(归属)IP前缀的IP前缀应当不同于被分配在非3GPP接入网中的IP前缀。于是,UE将不通过比较IP地址/前缀而通过如上面提到的其它方法(例如,通过与PDN GW的直接信令、或通过IKE INFORMATIONAL交换)来检测非3GPP接入网的信赖关系。
根据本发明的另一个实施例,可以对PDN-GW执行IKEv2过程,而非对ePDG执行。在此实施例中,假设PDN-GW被适配为接受IKE_SA_INIT消息,其通常并非如此。这通过图8来说明,图8显示了信令流,其中UE执行关于接入网是信赖的还是非信赖的确定。在本发明的此实施例中,从PDN-GW直接向UE提供必要信息,如下面将详细描述的。虽然从图8省略了ePDG,但是ePDG仍然存在。然而,由于在UE与PDN-GW之间直接交换消息,所以ePDG不参与图8的示例性信令过程。
与之前类似,当UE附接至非3GPP接入网时,其首先执行基于3GPP的接入认证。在成功认证之后,IP地址/前缀被分配给UE,该IP地址/前缀可以是本地分配的(当接入网是非信赖的时)、或在PDN-GW分配的(当接入网是信赖的,并且接入点能够联系PDN-GW时)。使用此IP地址/前缀,UE使用例如DNS来发现PDN-GW的IP地址(例如,通过使用此PDN的接入点名称来构建FQDN)。随后,UE启动对PDN-GW的IKEv2 SA建立,如根据下面而将变得更加显而易见的。
81.首先,执行IKE_SA_INIT,来建立至PDN-GW的安全连接。
82.随后,在IKE_AUTH信令中,UE将其身份(NAI)包括在IDi有效载荷中,并且将APN信息包括在IDr有效载荷中。另外,UE可以在配置有效载荷中指示在非3GPP接入网中本地分配的IP地址。
83.PDN-GW启动UE对AAA服务器的认证。使用EAP-AKA。
84.PDN-GW向UE告知认证的成功。
85.在IKE_AUTH响应中接收到EAP成功之后,UE发送IKE_AUTH请求至PDN-GW,其中所生成的AUTH参数用以认证第一IKE_SA_INIT消息。
86.PDN-GW以IKE_AUTH响应来响应,IKE_AUTH响应包括所生成的AUTH参数用以认证第二IKE_AUTH消息,并且将所分配的归属IP地址/前缀包括在配置有效载荷中。
87.UE比较来自PDN-GW的IKE_AUTH响应中的IP地址/前缀、与在非3GPP接入网中分配的IP地址/前缀。如果两个IP地址/前缀匹配,那么其是信赖的。如果两个IP地址/前缀不匹配,那么其是非信赖的接入,并且UE需要建立至ePDG的隧道,用于获得PDN连接。
上述信令流不同于图7的信令,主要在于对PDN-GW而非ePDG执行IPsec隧道建立过程。因为PDN-GW是UE的LMA,所以PBU和P-BACK消息都不是必要的。此外,PDN-GW持有UE的归属IP地址/前缀,因此对于获取UE的归属IP地址/前缀,附加信令(PBU和P-BACK)不是必要的。
结合图7的实施例讨论的许多变型和选择也适用于图8的实施例。例如,可以在步骤84而非步骤86的IKE_AUTH_RESPONSE消息中告知UE其归属IP地址/前缀。
实际上,UE可以得知接入网的信赖属性早很多,如将根据图9而变得显而易见的。图9中的信令流也描绘了在UE确定了信赖关系之后执行的步骤(对于所述两个情况,即,信赖的和非信赖的)。
91.UE将IKE_SA_INIT发送至PDN GW,IKE_SA_INIT包括初始分配的IP地址/前缀(在消息的源地址中,或者另外在消息的有效载荷中)。
92.PDN GW可以基于所接收的由UE使用的IP地址/前缀,检测到UE是在信赖的还是非信赖的非3GPP接入网中,例如,如果由该PDN-GW分配所使用的IP地址/前缀,则其一定是信赖的接入。相反,如果不是由PDN-GW分配该IP地址/前缀,则该接入是非信赖的。
93.PDN GW将通知有效载荷包括在IKE_SA_INIT(或IKE_AUTH)响应消息中,以分别告知UE该接入是信赖的还是非信赖的。
94a.当UE接收到在IKE_SA_INIT(或IKE_AUTH)响应消息中的通知有效载荷(其中指示非3GPP接入网是非信赖的)时,于是UE开始对ePDG的IKEv2隧道建立过程。
95b.在UE的成功认证之后,ePDG发送PBU至PDN-GW,并且接收具有分配的IP地址/前缀的PBA。
96a.完成IKEv2/IPsec隧道的建立。
97a.ePDG在配置有效载荷中向UE告知所分配的IP地址/前缀。
98a.UE可以使用由PDN-GW分配的归属IP地址/前缀来开始应用层会话。
94b.当UE接收到在IKE_SA_INIT(或IKE_AUTH)响应消息中的通知有效载荷(具有非3GPP接入网是信赖的指示)时,于是UE停止IKEv2过程,并且可以立即利用所分配的IP地址/前缀开始其应用层会话。
从而,上面描述的步骤94a-98a和94b也可以应用于如图7和8中反映的本发明的其它实施例。
如上所述,UE初始地接收IP地址/前缀,利用该IP地址/前缀,使用例如DNS发现PDN-GW的IP地址/前缀。在非3GPP接入网是信赖的情况下,UE发现的PDN-GW可以不同于已经向UE分配IP地址/前缀的PDN-GW。在此情况下,所发现的PDN-GW检测到在与AAA服务器的认证信令期间另一个PDN-GW在使用中,并且由于此,所发现的PDN-GW可以确定UE在信赖的非3GPP接入网中。如果所发现的PDN-GW不能够基于IP地址/前缀而确定UE是在信赖的还是非信赖的非3GPP接入网中,则其可以在IKEv2信令中触发UE再次建立对其它PDN-GW的IKEv2。
根据本发明的另一个实施例,UE确定信赖关系,而不需要从PDN-GW(或AAA服务器)获取其归属IP地址/前缀。在上面的实施例(其中,UE直接与PDN-GW联系)中,假设PDN-GW答复从UE发送的IKE_SA_INIT。然而,PDN-GW可以被配置为不答复IKE_SA_INIT消息。在此情况下,UE可以被通知以PDN-GW的IP地址的不可达,或者IKEv2 SA建立将在超时之后失败。于是,UE可以假设其附接至非信赖的非3GPP接入网,并且继续建立至ePDG的IKE/IPSec隧道。
为了减少会话建立延迟,UE可以在确定PDN-GW的不可达之前开始以至ePDG的隧道建立,例如,与对PDN-GW的IKEv2建立尝试并行。UE可以在至PDN-GW的第一IKE_SA_INIT之后启动定时器,并且,如果UE在定时器期满之前未从PDN-GW接收到答复,则UE可以并行启动对ePDG的IKE_SA过程。
在至PDN-GW的IKEv2实施例中,IKEv2隧道仅用于信赖关系检测,即,不通过隧道传送用户数据。如果UE尝试通过隧道发送用户数据,则PDN-GW会阻挡分组。
会存在如下情况:其中,当比较IP地址时,本地分配的IP地址的所包括的IP前缀与归属地址的所包括的IP前缀一致,然而,第一IP地址与归属IP地址不一致,从而接入网是非信赖的。
本发明的另一个实施例涉及使用硬件和软件来实施上述不同实施例。认识到,可以使用计算设备(处理器)来实施上面提及的不同方法,如例如通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件等。还可以通过这些器件的组合来执行或实现本发明的不同实施例。
此外,还可以通过由处理器或直接在硬件中执行的软件模块来实施本发明的不同实施例。同样,软件模块与硬件实现的组合会是可能的。软件模块可以被存储在任何种类的计算机可读存储介质中,例如RAM、EPROM、EEPROM、闪存、寄存器、硬盘、CD-ROM、DVD等。
Claims (42)
1.一种用于为附接至接入网的用户设备确定核心网与所述接入网之间的信赖关系的方法,其中所述核心网包括第一网关,所述方法包括步骤:
当附接到所述接入网时,由所述用户设备接收到由所述接入网分配给所述用户设备的第一IP地址/前缀,
交换在所述用户设备与所述第一网关之间执行的安全隧道建立过程的消息,所述消息包括关于所述用户设备的第一IP地址/前缀和/或归属IP地址/前缀的信息,以及
基于所述第一IP地址/前缀和所述归属IP地址/前缀,在所述第一网关中或在所述用户设备中确定所述接入网是否被所述核心网所信赖。
2.如权利要求1所述的方法,其中,所述安全隧道建立过程包括在所述用户设备、所述第一网关与所述核心网的认证服务器之间执行的认证过程,
其中,所述第一网关在所述认证过程的消息中,从所述认证服务器接收所述归属IP地址/前缀。
3.如权利要求1或2所述的方法,其中,在所述第一网关确定所述接入网是否被所述核心网所信赖的情况下,在所述安全隧道建立过程的消息内,将确定的结果传送给所述用户设备。
4.如权利要求1所述的方法,其中,所述第一网关是演进的分组数据网关,并且所信赖的实体是负责所述用户设备的分组数据网络网关,并且其中
使用所述安全隧道建立过程的消息之一,将所述归属IP地址/前缀从所述分组数据网络网关传送至所述用户设备,并且/或者在由所述安全隧道建立过程触发的另一个消息内,将所述归属IP地址/前缀从所述分组数据网络网关传送至所述演进的分组数据网关。
5.如权利要求4所述的方法,其中,在所述安全隧道建立过程的消息之一内,将所述第一IP地址/前缀从所述用户设备传送至所述演进的分组数据网关。
6.如权利要求4或5所述的方法,其中,所述安全隧道建立过程触发将移动性消息从所述演进的分组数据网关传送至所述分组数据网络网关,其中,所述移动性消息触发所述分组数据网络网关将所述归属IP地址/前缀返回至所述演进的分组数据网关。
7.如权利要求6所述的方法,其中,所述被传送至所述分组数据网络网关的移动性消息包括所述第一IP地址/前缀,并且其中,所述分组数据网络网关确定在所述移动性消息中接收的IP地址/前缀是否已经被所述分组数据网络网关分配给所述用户设备,以及
在确定在所述移动性消息中接收的IP地址/前缀与当所述用户设备附接于所述接入网时被分配给所述用户设备的第一IP地址/前缀相同的情况下,所述分组数据网络网关将关于所述确定的结果的信息返回至所述演进的分组数据网关,
在确定在所述移动性消息中接收的IP地址/前缀未在所述用户设备附接于所述接入网时被所述分组数据网络网关分配给所述用户设备的情况下,由所述分组数据网络网关生成所述归属IP地址/前缀,并且将其传送至所述演进的分组数据网关。
8.如权利要求1所述的方法,其中,所述第一网关和所信赖的实体是负责所述用户设备的分组数据网络网关,并且其中
在所述安全隧道建立过程的消息之一内,将所述归属IP地址/前缀从所述分组数据网络网关传送至所述用户设备,或者
在所述安全隧道建立过程的消息之一内,将所述第一IP地址/前缀从所述用户设备传送至所述分组数据网络网关。
9.一种用于为附接至接入网的用户设备确定核心网与所述接入网之间的信赖关系的方法,其中所述核心网包括分组数据网络网关,所述方法包括步骤:
将启动消息从所述用户设备传送至所述分组数据网络网关,以及
其中,在响应于所述启动消息、未从所述分组数据网络网关接收到答复或接收到错误消息的情况下,所述用户设备确定所述接入网不被所述核心网所信赖。
10.如权利要求9所述的方法,其中,所述启动消息启动在所述用户设备与所述分组数据网络网关之间的安全隧道建立过程。
11.一种附接至接入网的用户设备,其中,确定在包括第一网关的核心网与所述接入网之间的信赖关系,所述用户设备包括:
接收机,被适配为接收由所述接入网分配给所述用户设备的第一IP地址/前缀,
所述接收机和发送机被适配为交换在所述用户设备与所述第一网关之间执行的安全隧道建立过程的消息,所述消息包括关于所述第一IP地址/前缀和所述用户设备的/或归属IP地址/前缀的信息,
处理器,被适配为基于所述第一IP地址/前缀和所述归属IP地址/前缀,确定所述接入网是否被所述核心网所信赖。
12.一种核心网中的网关,其中,为附接至接入网的用户设备确定所述核心网与所述接入网之间的信赖关系,所述网关包括:
接收机和发送机,被适配为交换在所述用户设备与所述网关之间执行的安全隧道建立过程的消息,所述消息包括与由所述用户设备在附接到所述接入网时接收的、并且被所述接入网分配给所述用户设备的第一IP地址/前缀有关的信息,其中,所述消息还包括关于所述用户设备的归属IP地址/前缀的信息,以及
处理器,被适配为基于所述第一IP地址/前缀和所述归属IP地址/前缀,确定所述接入网是否被所述核心网所信赖。
13.如权利要求12所述的网关,其中,所述网关是演进的分组数据网关或分组数据网络网关。
14.如权利要求12或13所述的网关,其中,所述安全隧道建立过程包括在所述用户设备、第一网关与所述核心网的认证服务器之间执行的认证过程,以及
所述发送机被适配为从所述认证服务器请求所述归属IP地址/前缀,以及
所述接收机被适配为响应于所述请求而从所述认证服务器接收所述归属IP地址/前缀。
15.如权利要求12至14中之一所述的网关,其中,第一网关是演进的分组数据网关,以及其中
其中所述接收机被适配为接收所述安全隧道建立过程的消息,
所述发送机被适配为将移动性消息传送至分组数据网络网关,其中,所述移动性消息触发所述分组数据网络网关将所述归属IP地址/前缀返回至所述演进的分组数据网关。
16.用于为连接至接入网的用户设备的、在核心网与所述接入网之间的信赖关系检测的方法,其中所述核心网包括第一网关和第二网关,所述方法包括步骤:
由所述用户设备经由所述第二网关发送(33)消息至所述核心网;
决定(36)所述用户设备是驻留在信赖的还是非信赖的接入网中;
如果所述用户设备驻留在非信赖的接入网中,则由所述第一网关经由在所述第一网关与所述用户设备之间的第一隧道发送(37a)消息至所述用户设备,所述隧道是在所述第二网关与所述用户设备之间隧穿建立的;
如果所述用户设备驻留在信赖的接入网中,则由所述第一网关经由在所述第一网关与所述用户设备之间的第二隧道发送(37b)消息至所述用户设备。
17.如权利要求16所述的方法,其中,所述第一网关是分组数据网络网关。
18.如权利要求16或17所述的方法,其中,所述第二网关是演进的分组数据网关。
19.如权利要求16至18中任何一个所述的方法,其中,由所述第二网关执行所述决定步骤。
20.如权利要求16至18中任何一个所述的方法,其中,由所述第一网关执行所述决定步骤。
21.如权利要求16至18中任何一个所述的方法,其中,由认证、授权和计费服务器执行所述决定步骤。
22.如权利要求16至21中任何一个所述的方法,其中,所述发送步骤中的所述消息是绑定更新,其中,所述绑定更新被隧道传送或包括在另一个消息中。
23.如权利要求16至22中任何一个所述的方法,还包括步骤:
如果所述用户设备驻留在信赖的接入网中,则由所述第一网关发送(47b)绑定确认消息至在所述接入网中的IP地址的所述用户设备。
24.如权利要求16至22中任何一个所述的方法,还包括步骤:
如果所述用户设备驻留在非信赖的接入网中,则由所述第一网关发送(47a)绑定确认消息至在所述第二网关处的IP地址的所述用户设备。
25.如权利要求24所述的方法,其中,预配置或动态确定在所述第二网关处的所述IP地址。
26.如权利要求23至25中任何一个所述的方法,还包括步骤:
由所述用户设备接收所述绑定确认消息;
如果使用了所述接入网中的IP地址,则确定所述用户设备驻留在信赖的网络中;以及
如果使用在所述第二网关处的所述IP地址,则确定所述用户设备驻留在非信赖的网络中。
27.一种网络,其中为用户设备(10)确定在核心网(20)与接入网(18)之间的信赖关系,其中所述核心网(20)包括第一网关(14)和第二网关(12),其中:
所述用户设备(10)被适配为经由所述第二网关(12)发送消息至所述核心网(20);
所述核心网(20)被适配为决定所述用户设备(10)驻留在信赖的还是非信赖的接入网中;
如果所述用户设备(10)驻留在非信赖的接入网(18)中,则所述第一网关(14)被适配为经由在所述第一网关与所述用户设备之间的第一隧道发送消息至所述用户设备(10),所述隧道是在所述第二网关(12)与所述用户设备之间隧穿建立的;以及
如果所述用户设备(10)驻留在信赖的接入网(22)中,则所述第一网关(14)被适配为经由在所述第一网关与所述用户设备之间的第二隧道发送消息至所述用户设备(10)。
28.如权利要求27所述的网络,被适配为执行如权利要求17至26所述的方法的步骤。
29.一种核心网(20)中的网关(14),其中,为连接至接入网的用户设备(10)检测所述核心网(20)与所述接入网之间的信赖关系,所述网关(14)包括:
接收装置,被适配为从所述用户设备(10)接收消息;
决定装置,被适配为决定所述用户设备(10)驻留在信赖的还是非信赖的接入网中;
发送装置,被适配为如果所述用户设备驻留在非信赖的接入网(18)中,则经由在所述网关(14)与所述用户设备之间的第一隧道发送消息至所述用户设备(10),所述隧道是在另一个网关(12)与所述用户设备之间建立的;以及
发送装置,被适配为如果所述用户设备(10)驻留在信赖的接入网(22)中,则经由在所述网关与所述用户设备之间的第二隧道发送消息至所述用户设备(10)。
30.如权利要求29所述的网关(14),其中,所述网关是分组数据网络网关。
31.如权利要求29或30所述的网关(14),其中,所述网关被适配为执行如权利要求22至26中任何一个所述的方法的步骤。
32.一种核心网(20)中的网关(12),其中,为连接至接入网的用户设备(10)检测所述核心网(20)与所述接入网之间的信赖关系,所述网关(12)包括:
接收装置,被适配为从所述用户设备(10)接收消息;
决定装置,被适配为决定所述用户设备(10)是驻留在信赖的还是非信赖的接入网中;以及
通信装置,被适配为如果所述用户设备(10)驻留在非信赖的接入网(18)中,则在另一个网关(14)与所述用户设备(10)之间传递消息。
33.如权利要求32所述的网关(12),其中,所述网关是演进的分组数据网关。
34.如权利要求32或33所述的网关(12),其中,所述网关被适配为执行如权利要求22至26中任何一个所述的方法的步骤。
35.一种连接至接入网的用户设备(10),其中,检测在包括第一网关(14)和第二网关(12)的核心网(20)与所述接入网之间的信赖关系,所述用户设备(10)包括:
发送装置,被适配为经由所述第二网关(12)发送消息至所述核心网(20);以及
接收装置,被适配为如果所述用户设备(10)驻留在非信赖的接入网(18)中,则经由在所述第一网关与所述用户设备之间的第一隧道从所述第一网关(14)接收消息,所述隧道是在所述第二网关(12)与所述用户设备之间隧穿建立的;以及
接收装置,被适配为如果所述用户设备(10)驻留在信赖的接入网(22)中,则经由在所述第一网关与所述用户设备之间的第二隧道从所述第一网关(14)接收消息。
36.如权利要求35所述的用户设备(10),其中,所述用户设备被适配为执行如权利要求17至26中任何一个所述的方法的步骤。
37.一种存储指令的计算机可读介质,当由网络的核心网中的网关的处理器执行所述指令时,所述指令使得所述网关通过下列步骤为用户设备检测所述核心网与接入网之间的信赖关系:
从所述用户设备接收消息;
决定所述用户设备是驻留在信赖的还是非信赖的接入网中;
如果所述用户设备驻留在非信赖的接入网中,则经由在所述网关与所述用户设备之间的第一隧道发送消息至所述用户设备,所述隧道是在另一个网关与所述用户设备之间建立的;
如果所述用户设备驻留在信赖的接入网中,则经由在所述网关与所述用户设备之间的第二隧道发送消息至所述用户设备。
38.如权利要求37所述的计算机可读介质存储指令,当由网络的核心网中的网关的处理器执行所述指令时,所述指令使得所述网关通过执行如权利要求22至26所述的方法的步骤,为用户设备检测所述核心网与接入网之间的信赖关系。
39.一种存储指令的计算机可读介质,当由网络的核心网中的网关的处理器执行所述指令时,所述指令使得所述网关通过下列步骤为用户设备检测所述核心网与接入网之间的信赖关系:
从所述用户设备接收消息;
决定所述用户设备是驻留在信赖的还是非信赖的接入网中;
如果所述用户设备驻留在非信赖的接入网中,则在另一个网关与所述用户设备之间传递消息。
40.如权利要求39所述的计算机可读介质存储指令,当由网络的核心网中的网关的处理器执行所述指令时,所述指令使得所述网关通过执行如权利要求22至26所述的方法的步骤,为用户设备检测所述核心网与接入网之间的信赖关系。
41.一种存储指令的计算机可读介质,当由连接至网络的接入网的用户设备的处理器执行所述指令时,所述指令使得所述用户设备通过下列步骤检测所述接入网与核心网之间的信赖关系,其中所述核心网包括第一和第二网关:
经由所述第二网关发送消息至所述核心网;
如果所述用户设备驻留在非信赖的接入网中,则经由至所述第一网关的第一隧道从所述第一网关接收消息,所述隧道是在所述用户设备与所述第二网关之间建立的;
如果所述用户设备驻留在信赖的接入网中,则经由至所述第一网关的第二隧道从所述第一网关接收消息。
42.如权利要求41所述的计算机可读介质存储指令,当由网络的接入网中的用户设备的处理器执行所述指令时,所述指令使得所述用户设备通过执行如权利要求22至26所述的方法的步骤,检测所述接入网与核心网之间的信赖关系,其中所述核心网包括第一和第二网关。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07011972A EP2007097A1 (en) | 2007-06-19 | 2007-06-19 | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network |
| EP07011972.2 | 2007-06-19 | ||
| EP08008131A EP2037652A3 (en) | 2007-06-19 | 2008-04-28 | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
| EP08008131.8 | 2008-04-28 | ||
| PCT/EP2008/004731 WO2008155066A2 (en) | 2007-06-19 | 2008-06-12 | Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101785270A true CN101785270A (zh) | 2010-07-21 |
Family
ID=40156735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880103440A Pending CN101785270A (zh) | 2007-06-19 | 2008-06-12 | 用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8688970B2 (zh) |
| EP (2) | EP2037652A3 (zh) |
| JP (1) | JP5166525B2 (zh) |
| CN (1) | CN101785270A (zh) |
| WO (1) | WO2008155066A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104137583A (zh) * | 2012-03-01 | 2014-11-05 | 交互数字专利控股公司 | 用于支持动态和分布式移动性管理的方法和设备 |
| CN104137504A (zh) * | 2011-12-27 | 2014-11-05 | 阿尔卡特朗讯公司 | 允许通过受信任非3gpp接入网连接的用户设备访问由3gpp hplmn中的业务传递平台传递的服务 |
| CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
| CN107534994A (zh) * | 2015-05-12 | 2018-01-02 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
| CN110771097A (zh) * | 2017-05-12 | 2020-02-07 | 诺基亚通信公司 | 用于网络设备与应用服务器之间的数据隧道传输的连接性监测 |
| CN115296988A (zh) * | 2022-10-09 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
Families Citing this family (91)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8150018B2 (en) * | 2002-12-18 | 2012-04-03 | Cisco Technology, Inc. | System and method for provisioning connections as a distributed digital cross-connect over a packet network |
| US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
| US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
| US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
| US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
| US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
| US8160038B1 (en) * | 2007-08-06 | 2012-04-17 | Marvell International Ltd. | Packet data network specific addressing solutions with network-based mobility |
| EP2068565A1 (fr) * | 2007-12-07 | 2009-06-10 | Gemplus | Module d'identité d'abonné et serveur de diffusion associé, adaptés pour gérer des programmes d'une durée non déterminée |
| WO2009078103A1 (ja) * | 2007-12-19 | 2009-06-25 | Fujitsu Limited | 暗号化実施制御システム |
| EP2091204A1 (en) * | 2008-02-18 | 2009-08-19 | Panasonic Corporation | Home agent discovery upon changing the mobility management scheme |
| US8503460B2 (en) * | 2008-03-24 | 2013-08-06 | Qualcomm Incorporated | Dynamic home network assignment |
| CN101547383B (zh) * | 2008-03-26 | 2013-06-05 | 华为技术有限公司 | 一种接入认证方法及接入认证系统以及相关设备 |
| WO2009126083A1 (en) * | 2008-04-11 | 2009-10-15 | Telefonaktiebolaget L M Ericsson (Publ) | Access through non-3gpp access networks |
| US8364790B2 (en) * | 2008-06-13 | 2013-01-29 | Samsung Electronics Co., Ltd. | Method and apparatus for production and use of decorated networking identifier |
| GB0812632D0 (en) * | 2008-07-10 | 2008-08-20 | Vodafone Plc | Security architecture for LTE relays |
| JP4371250B1 (ja) * | 2008-08-07 | 2009-11-25 | 日本電気株式会社 | 通信システム、サーバ装置、情報通知方法、プログラム |
| US20110202970A1 (en) * | 2008-10-15 | 2011-08-18 | Telefonakttebotaget LM Ericsson (publ) | Secure Access In A Communication Network |
| EP2384571B1 (en) | 2009-01-05 | 2015-09-30 | Nokia Solutions and Networks Oy | Trustworthiness decision making for access authentication |
| EP2377363B1 (en) * | 2009-01-15 | 2016-05-04 | Telefonaktiebolaget LM Ericsson (publ) | PROXY MOBILE IPv6 SUPPORT IN RESIDENTIAL NETWORKS |
| WO2010086029A1 (en) * | 2009-02-02 | 2010-08-05 | Nokia Siemens Networks Oy | Method and radio communication system for establishing an access to a mobile network domain |
| EP2222116A1 (en) * | 2009-02-19 | 2010-08-25 | Alcatel Lucent | Exchanging signaling information between a mobile station and a pdn gateway of a 3GPP evolved packet core network |
| US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
| US9137833B2 (en) | 2009-03-27 | 2015-09-15 | Sharp Kabushiki Kaisha | Mobile communication system |
| ES2957533T3 (es) * | 2009-06-04 | 2024-01-22 | Blackberry Ltd | Métodos y aparato para su uso para facilitar la comunicación de información de redes vecinas a un terminal móvil con la utilización de una solicitud relacionada con un protocolo compatible con RADIUS |
| KR101617501B1 (ko) * | 2009-09-18 | 2016-05-02 | 인터디지탈 패튼 홀딩스, 인크 | 멀티캐스트 이동성을 위한 방법 및 장치 |
| US20110271117A1 (en) * | 2009-10-26 | 2011-11-03 | Telefonaktiebolaget L M Ericsson (Publ) | User equipment (ue), home agent node (ha), methods, and telecommunications system for home network prefix (hnp) assignment |
| CN102056144B (zh) * | 2009-10-28 | 2015-05-20 | 中兴通讯股份有限公司 | 多接入的处理方法、家乡代理及用户设备 |
| EP2362688B1 (en) * | 2010-02-23 | 2016-05-25 | Alcatel Lucent | Transport of multihoming service related information between user equipment and 3GPP evolved packet core |
| US8839397B2 (en) * | 2010-08-24 | 2014-09-16 | Verizon Patent And Licensing Inc. | End point context and trust level determination |
| US8898759B2 (en) | 2010-08-24 | 2014-11-25 | Verizon Patent And Licensing Inc. | Application registration, authorization, and verification |
| US9596597B2 (en) * | 2010-11-05 | 2017-03-14 | Nokia Technologies Oy | Mobile security protocol negotiation |
| KR101338486B1 (ko) | 2010-12-21 | 2013-12-10 | 주식회사 케이티 | I-wlan의 게이트웨이 및 그의 호 추적 방법 |
| KR101589574B1 (ko) * | 2011-01-14 | 2016-01-28 | 노키아 솔루션스 앤드 네트웍스 오와이 | 비신뢰 네트워크를 통한 외부 인증 지원 |
| US9077730B2 (en) * | 2011-02-02 | 2015-07-07 | Cisco Technology, Inc. | Restricting network access while connected to an untrusted network |
| US9843975B2 (en) * | 2011-02-17 | 2017-12-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a PDN connection |
| US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
| CA2839835A1 (en) | 2011-06-20 | 2012-12-27 | Telefonaktiebolaget L M Ericsson (Publ) | Roaming selection of a v-epdg |
| US8955078B2 (en) * | 2011-06-30 | 2015-02-10 | Cable Television Laboratories, Inc. | Zero sign-on authentication |
| WO2012167500A1 (zh) * | 2011-08-05 | 2012-12-13 | 华为技术有限公司 | 一种隧道数据安全通道的建立方法 |
| CN103024737B (zh) * | 2011-09-23 | 2017-08-11 | 中兴通讯股份有限公司 | 可信任非3gpp接入网元、接入移动网络及去附着方法 |
| US20130086218A1 (en) * | 2011-09-30 | 2013-04-04 | Corey F. Adams | Proxy Server For Home Network Access |
| TWI428031B (zh) * | 2011-10-06 | 2014-02-21 | Ind Tech Res Inst | 區域網協存取網路元件與終端設備的認證方法與裝置 |
| US20130114463A1 (en) * | 2011-11-03 | 2013-05-09 | Futurewei Technologies, Inc. | System and Method for Domain Name Resolution for Fast Link Setup |
| WO2013063783A1 (zh) | 2011-11-03 | 2013-05-10 | 华为技术有限公司 | 一种数据安全通道的处理方法及设备 |
| US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
| US9100940B2 (en) | 2011-11-28 | 2015-08-04 | Cisco Technology, Inc. | System and method for extended wireless access gateway service provider Wi-Fi offload |
| US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
| US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
| US8885626B2 (en) * | 2012-04-06 | 2014-11-11 | Chris Gu | Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN |
| US8879530B2 (en) * | 2012-04-06 | 2014-11-04 | Chris Yonghai Gu | Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN |
| US8990916B2 (en) * | 2012-07-20 | 2015-03-24 | Cisco Technology, Inc. | System and method for supporting web authentication |
| EP2880619A1 (en) | 2012-08-02 | 2015-06-10 | The 41st Parameter, Inc. | Systems and methods for accessing records via derivative locators |
| US8832433B2 (en) * | 2012-08-17 | 2014-09-09 | Cellco Partnership | Methods and systems for registering a packet-based address for a mobile device using a fully-qualified domain name (FQDN) for the device in a mobile communication network |
| CN107682900B (zh) * | 2012-09-29 | 2020-11-17 | 华为终端有限公司 | 数据流控制方法及相关设备和通信系统 |
| US9276806B2 (en) * | 2012-10-15 | 2016-03-01 | Interdigital Patent Holdings, Inc. | Failover recovery methods with an edge component |
| WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
| US20140259012A1 (en) * | 2013-03-06 | 2014-09-11 | Telefonaktiebolaget L M Ericsson (Publ) | Virtual machine mobility with evolved packet core |
| CN104427006A (zh) * | 2013-08-22 | 2015-03-18 | 中兴通讯股份有限公司 | 网络地址的处理方法、装置、系统、wlan及ue |
| US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
| US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
| US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| US20160277984A1 (en) * | 2014-11-07 | 2016-09-22 | Telefonaktiebolaget L M Ericsson (Publ) | Selectively Utilising Mobility of IP Flows |
| CN106258015B (zh) | 2015-04-22 | 2020-04-28 | 华为技术有限公司 | 业务分配方法及装置 |
| WO2016180865A1 (en) * | 2015-05-11 | 2016-11-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes for handling access to a service via an untrusted non-3gpp network |
| WO2016187871A1 (en) | 2015-05-28 | 2016-12-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Multiple pdn connections over untrusted wlan access |
| US10051059B2 (en) * | 2015-06-05 | 2018-08-14 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity |
| FR3039954A1 (fr) * | 2015-08-05 | 2017-02-10 | Orange | Procede et dispositif d'identification de serveurs d'authentification visite et de domicile |
| US10057929B2 (en) | 2015-08-18 | 2018-08-21 | Samsung Electronics Co., Ltd. | Enhanced hotspot 2.0 management object for trusted non-3GPP access discovery |
| EP3151599A1 (en) * | 2015-09-30 | 2017-04-05 | Apple Inc. | Authentication failure handling for cellular network access through wlan |
| KR102088717B1 (ko) | 2016-04-08 | 2020-03-13 | 한국전자통신연구원 | 비접속계층 기반 액세스 방법 및 이를 지원하는 단말 |
| US10419994B2 (en) * | 2016-04-08 | 2019-09-17 | Electronics And Telecommunications Research Institute | Non-access stratum based access method and terminal supporting the same |
| US11089519B2 (en) * | 2016-04-13 | 2021-08-10 | Qualcomm Incorporated | Migration of local gateway function in cellular networks |
| US10674346B2 (en) * | 2016-10-10 | 2020-06-02 | Qualcomm Incorporated | Connectivity to a core network via an access network |
| US11553561B2 (en) * | 2016-10-28 | 2023-01-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication |
| US10833876B2 (en) * | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
| US11258694B2 (en) * | 2017-01-04 | 2022-02-22 | Cisco Technology, Inc. | Providing dynamic routing updates in field area network deployment using Internet Key Exchange v2 |
| JP2019033416A (ja) * | 2017-08-09 | 2019-02-28 | シャープ株式会社 | 端末装置、コアネットワーク内の装置、及び通信制御方法 |
| TWI719445B (zh) * | 2018-04-17 | 2021-02-21 | 新加坡商聯發科技(新加坡)私人有限公司 | 處理進接類型限制資訊方法及其使用者設備 |
| US11416620B1 (en) | 2019-11-01 | 2022-08-16 | Sprint Communications Company L.P. | Data communication service in a trusted execution environment (TEE) at the network edge |
| US11777935B2 (en) * | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| US11310036B2 (en) | 2020-02-26 | 2022-04-19 | International Business Machines Corporation | Generation of a secure key exchange authentication request in a computing environment |
| US11546137B2 (en) | 2020-02-26 | 2023-01-03 | International Business Machines Corporation | Generation of a request to initiate a secure data transfer in a computing environment |
| US11184160B2 (en) * | 2020-02-26 | 2021-11-23 | International Business Machines Corporation | Channel key loading in a computing environment |
| US11652616B2 (en) | 2020-02-26 | 2023-05-16 | International Business Machines Corporation | Initializing a local key manager for providing secure data transfer in a computing environment |
| US11502834B2 (en) | 2020-02-26 | 2022-11-15 | International Business Machines Corporation | Refreshing keys in a computing environment that provides secure data transfer |
| US11405215B2 (en) | 2020-02-26 | 2022-08-02 | International Business Machines Corporation | Generation of a secure key exchange authentication response in a computing environment |
| US11489821B2 (en) | 2020-02-26 | 2022-11-01 | International Business Machines Corporation | Processing a request to initiate a secure data transfer in a computing environment |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
| US20220103594A1 (en) * | 2020-09-25 | 2022-03-31 | Fortinet, Inc. | Adjusting behavior of an endpoint security agent based on network location |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060265737A1 (en) * | 2005-05-23 | 2006-11-23 | Morris Robert P | Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location |
| US20070006295A1 (en) * | 2005-06-24 | 2007-01-04 | Henry Haverinen | Adaptive IPsec processing in mobile-enhanced virtual private networks |
-
2008
- 2008-04-28 EP EP08008131A patent/EP2037652A3/en not_active Withdrawn
- 2008-06-12 WO PCT/EP2008/004731 patent/WO2008155066A2/en active Application Filing
- 2008-06-12 CN CN200880103440A patent/CN101785270A/zh active Pending
- 2008-06-12 US US12/665,006 patent/US8688970B2/en not_active Expired - Fee Related
- 2008-06-12 JP JP2010512576A patent/JP5166525B2/ja not_active Expired - Fee Related
- 2008-06-12 EP EP08759216A patent/EP2165496B1/en not_active Not-in-force
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060265737A1 (en) * | 2005-05-23 | 2006-11-23 | Morris Robert P | Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location |
| US20070006295A1 (en) * | 2005-06-24 | 2007-01-04 | Henry Haverinen | Adaptive IPsec processing in mobile-enhanced virtual private networks |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104137504A (zh) * | 2011-12-27 | 2014-11-05 | 阿尔卡特朗讯公司 | 允许通过受信任非3gpp接入网连接的用户设备访问由3gpp hplmn中的业务传递平台传递的服务 |
| CN104137504B (zh) * | 2011-12-27 | 2017-03-15 | 阿尔卡特朗讯公司 | 访问由3gpp hplmn中的业务传递平台传递的服务的方法和实体 |
| CN104137583A (zh) * | 2012-03-01 | 2014-11-05 | 交互数字专利控股公司 | 用于支持动态和分布式移动性管理的方法和设备 |
| CN107534994A (zh) * | 2015-05-12 | 2018-01-02 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
| CN107534994B (zh) * | 2015-05-12 | 2021-09-21 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
| CN113596032A (zh) * | 2015-05-12 | 2021-11-02 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
| US11271937B2 (en) | 2015-05-12 | 2022-03-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for handling access to EPC services via a non-3GPP network |
| CN113596032B (zh) * | 2015-05-12 | 2024-04-26 | 瑞典爱立信有限公司 | 处理经由非3gpp网络到epc服务的接入的方法和节点 |
| US11997091B2 (en) | 2015-05-12 | 2024-05-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and nodes for handling access to EPC services via a non-3GPP network |
| CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
| CN110771097A (zh) * | 2017-05-12 | 2020-02-07 | 诺基亚通信公司 | 用于网络设备与应用服务器之间的数据隧道传输的连接性监测 |
| CN115296988A (zh) * | 2022-10-09 | 2022-11-04 | 中国电子科技集团公司第三十研究所 | 一种实现IPSec网关动态组网的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2010530680A (ja) | 2010-09-09 |
| EP2037652A3 (en) | 2009-05-27 |
| EP2165496A2 (en) | 2010-03-24 |
| JP5166525B2 (ja) | 2013-03-21 |
| US20100199332A1 (en) | 2010-08-05 |
| WO2008155066A4 (en) | 2009-08-20 |
| US8688970B2 (en) | 2014-04-01 |
| EP2037652A2 (en) | 2009-03-18 |
| EP2165496B1 (en) | 2012-11-21 |
| WO2008155066A3 (en) | 2009-06-11 |
| WO2008155066A2 (en) | 2008-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101785270A (zh) | 用于检测用户设备驻留在信赖的还是非信赖的接入网的方法和设备 | |
| KR101030645B1 (ko) | 보안 결합 수립 방법, 결합 업데이트 검증 방법 및 결합 업데이트 실행 방법 | |
| CN102007752B (zh) | 当改变了移动性管理方案时的归属代理发现 | |
| JP5430587B2 (ja) | ネットワークベースのモビリティ管理による経路最適化のためのゲートウェイ間での情報交換 | |
| CA2669156C (en) | Methods and apparatus for implementing proxy mobile ip in foreign agent care-of address mode | |
| US8780800B2 (en) | Optimized home link detection | |
| US20070189219A1 (en) | Internet protocol tunneling on a mobile network | |
| US20060251044A1 (en) | Mobility support for multihome nodes | |
| US20100046434A1 (en) | Network-based and host-based mobility management in packet-based communication networks | |
| EP2007097A1 (en) | Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network | |
| CN102638782B (zh) | 一种分配家乡代理的方法及系统 | |
| EP1838065A1 (en) | Apparatus & method for assuring MIPv6 functionality after handover | |
| KR101588646B1 (ko) | 무선통신시스템의 인증 방법 및 시스템 | |
| KR100687721B1 (ko) | 모바일 IPv 6를 지원하는 다이아미터 AAA프로토콜의 확장 방법 | |
| CN101198157A (zh) | 一种变更移动节点家乡代理的方法 | |
| Gondi et al. | A New Mobility Solution Based On PMIP Using AAA Mobility Extensions in Heterogeneous Networks | |
| Iapichino et al. | Combination of ad hoc mobility with IPv6 mobility mechanisms report |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100721 |