CN102781004B - 一种选择网关的方法及装置 - Google Patents
一种选择网关的方法及装置 Download PDFInfo
- Publication number
- CN102781004B CN102781004B CN201110120066.0A CN201110120066A CN102781004B CN 102781004 B CN102781004 B CN 102781004B CN 201110120066 A CN201110120066 A CN 201110120066A CN 102781004 B CN102781004 B CN 102781004B
- Authority
- CN
- China
- Prior art keywords
- gateway
- terminal
- ikev2
- information
- gateways
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/12—Reselecting a serving backbone network switching or routing node
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种选择网关的方法及装置,避免出现路由迂回的问题。所述方法包括:在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。通过本发明方法和装置,为终端选择合适的网关,避免出现路由迂回的问题,提高系统性能,提高了ePDG/PDNGW的选择精度。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种选择网关的方法及装置。
背景技术
第三代合作伙伴计划(3rd Generation Partnership Project,简称为3GPP)演进的分组系统(Evolved Packet System,简称为EPS)由演进的通用移动通信系统陆地无线接入网(Evolved Universal Terrestrial Radio Access Network,简称为E-UTRAN)、移动管理单元(Mobility Management Entity,简称为MME)、服务网关(Serving Gateway,S-GW)、分组数据网络网关(PacketData Network Gateway,简称为P-GW或者PDN GW)、归属用户服务器(HomeSubscriber Server,简称为HSS)、策略和计费规则功能(Policy andChargingRules Function,简称为PCRF)实体及其他支撑节点组成。
如图1所示,EPS系统支持与非3GPP系统的互通,其中,与非3GPP系统的互通通过S2a/S2b/S2c接口实现,3GPP与非3GPP系统间的锚点为P-GW。非3GPP系统被分为可信任非3GPP IP接入和不可信任非3GPP IP接入。可信任非3GPP IP接入可直接通过S2a接口与P-GW连接;不可信任非3GPP IP接入需经过演进的分组数据网关(Evolved Packet DataGateway,简称为ePDG)与PDN GW相连,ePDG与PDN GW间的接口为S2b,S2c提供了UE与P-GW之间的用户面相关的控制和移动性支持,其支持的移动性管理协议为支持双栈的移动IPv6(Mobile IPv6Support for Dual Stack Hostsand Routers,简称为DSMIPv6)。
图1中,MME移动管理单元负责移动性管理、非接入层信令的处理和用户移动管理上下文的管理等控制面的相关工作;S-GW是与E-UTRAN相连的接入网关设备,在E-UTRAN和P-GW之间转发数据,并且负责对寻呼等待数据进行缓存;P-GW则是EPS与分组数据网络(Packet Data Network,简称为PDN)的边界网关,负责PDN的接入及在EPS与PDN间转发数据等功能;PCRF是策略和计费规则功能实体,它通过接收接口Rx和运营商网络协议(InternetProtocol,简称为IP)业务网络相连,获取业务信息,此外,它通过Gx/Gxa/Gxc接口与网络中的网关设备相连,负责发起IP承载的建立,保证业务数据的服务质量(Quality ofService,简称为QoS),并进行计费控制。
UE在通过不信任的接入系统连接到分组核心网(EPC,Evolved PacketCore)需要先选择一个合适的ePDG,当前技术UE选择ePDG的方式包括两种:一种是UE通过本地配置信息查找ePDG,一种是通过DNS查询ePDG地址。UE通过DNS方式查询ePDG地址时,采用的是当前PLMN ID构成一个FQDN作为DNS的查询请求内容,此时可以获得对应PLMN范围内的ePDG地址。由此可见,当前ePDG的选择精度只保证在一个PLMN范围内,可能相对UE的距离会很远,可能会带来路由迂回等问题。比如,位于江苏省的UE选择的ePDG位于北京,而PDN GW处于上海,这样位于江苏的UE的数据就要先发往北京的ePDG再到上海的PDN GW转发。同样选择PDNGW时也有可能有相关问题,因为当前PDN GW是通过APN构造的FQDN进行DNS查询,不考虑位置因素。
在实际网络部署方案中,UE可以通过固网接入系统连接到无线核心网,在接入认证过程中网络会决定固网接入系统是信任的接入网络还是不信任的接入网络。实际部署可能有两种情形:
1、UE通过WiFi AP(Wireless Fidelity Access Point WiFi接入点)接入RG(Residential Gateway家庭网关),通过AN(Access Note例如:DSLAMDigital SubscriberLine Access Multiplexer数字用户线接入复用设备),接入BRAS(Broadband RemoteAccess Server宽带接入服务器)/BNG(BroadbandNetwork Gateway),此时UE的IP地址是由RG分配的,而RG的IP地址由BRAS/BNG分配,为节约地址空间,UE分得的地址可能是的私有地址,在此情况下RG要对UE的IP地址进行NAT转换。
2、UE通过WiFi AP接入,通过AN接入BRAS/BNG,此时UE的IP地址是有BRAS/BNG分配的。同样为节约地址空间,BRAS/BNG为UE或是RG分配的IP地址也可能是私有IP地址,此时BRAS/BNG也对UE的IP地址进行NAT转换。
在上述两种情形下,同样存在如前所述的路由迂回问题。
发明内容
本发明要解决的技术问题是提供一种选择网关的方法及装置,避免出现路由迂回的问题。
为解决上述技术问题,本发明提供了一种选择网关的方法,包括:
在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。
进一步地,所述具有预配置的网关列表的网元包括第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关包括第二ePDG;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:所述第一ePDG向所述终端发送重新选择的第二ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二ePDG发起IKEv2认证。
进一步地,所述具有预配置的网关列表的网元包括第一分组数据网络网关(PDNGW),所述重新选择的支持IKEv2协议的网关包括第二PDN GW;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:所述第一PDN GW向所述终端发送重新选择的第二PDN GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二PDNGW发起IKEv2认证。
进一步地,所述具有预配置的网关列表的网元包括3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者PDN GW;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:所述3GPP AAA服务器向所述终端的当前网关发送重新选择的网关的标识信息,所述终端的当前网关接收到所述重新选择的网关的标识信息后,在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
进一步地,所述网关列表中保存的与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关为:与所述位置信息对应的与所述位置信息所指示位置最靠近的支持IKEv2协议的网关。
进一步地,所述位置信息包括以下信息中的任意一种:终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。
进一步地,所述终端所处的接入网络的标识包括以下标识中的任意一种:接入网络的服务集标识(SSID),终端所处的宏站的标识信息,终端所处的接入网络的地理位置信息,管辖所述终端的接入网关的地址信息。
为解决上述技术问题,本发明还提供了一种选择网关的装置,所述装置上具有预配置的网关列表,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,所述装置包括:
第一单元,用于在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,获取终端的位置信息;
第二单元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关。
进一步地,所述装置为第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关为第二ePDG;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二ePDG发起IKEv2认证。
进一步地,所述装置为第一分组数据网络网关(PDN GW),所述重新选择的支持IKEv2协议的网关为第二PDN GW;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二PDN GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二PDN GW发起IKEv2认证。
进一步地,所述装置为3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者PDN GW;所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
进一步地,所述位置信息包括以下信息中的任意一种:终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。
通过本发明实施例方法和装置,为终端选择合适的网关,避免出现路由迂回的问题,提高系统性能,提高了ePDG/PDN GW的选择精度。
附图说明
图1是EPS系统支持与非3GPP系统的互通架构图;
图2是本发明实施例1的流程图;
图3是本发明实施例2的流程图;
图4是本发明实施例3的流程图;
图5是本发明实施例4的流程图;
图6是本发明实施例5的流程图;
图7是本发明实施例6的流程图;
图8是本发明实施例7的流程图。
具体实施方式
为解决前述技术问题,本发明提供如下技术方案:
在终端接入EPC、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据预配置的网关列表为该终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关。
上述具有预配置的网关列表的网元包括ePDG,重新选择的支持IKEv2协议的网关包括ePDG;或者
具有预配置的网关列表的网元包括PDN GW,重新选择的支持IKEv2协议的网关包括PDN GW;或者
具有预配置的网关列表的网元包括3GPP AAA服务器,重新选择的支持IKEv2协议的网关包括ePDG或者PDN GW。
上述邻近所述位置信息所指示位置的支持IKEv2协议的网关是指:该网关的位置与该位置信息所指示的位置之差小于一预设的门限值。优选为位置之差最小的网关,也就是说,优选地,根据该网关列表为终端重新选择距离该终端最近的支持IKEv2协议的网关。
通过上述方法可以根据终端当前的位置信息为该终端选择一个靠近该终端的ePDG。
在为所述终端重新选择网关之后,该具有预配置的网关列表网元(例如ePDG或PDNGW)向该终端发送重新选择网关的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的网关发起IKEv2认证。当具有预配置的网关列表的网元为3GPP AAA服务器时,其先向终端当前的网关(ePDG或PDN GW)发送重新选择的网关的标识信息,终端当前网关收到该重新选择的网关标识信息后,构造指示信息,以指示终端向重新选择的网关发起IKEv2认证。
上述位置信息包括以下信息中的任意一种:终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。终端所处的接入网络的标识包括以下标识中的任意一种:接入网络的SSID (Service SetIdentifier,服务集标识),终端所处的宏站的标识信息,终端所处的接入网络的地理位置信息(例如所处区域的邮政编码),管辖终端的接入网关的地址信息(例如BRAS/BNG的IP地址)。
具有预配置的网关列表的网元可通过终端或者通过接入系统设备(例如WLAN接入网的AP、AC)获取到终端的位置信息。如果具有预配置的网关列表的网元为3GPP AAA服务器,那么其除了可以从BNG或BRAS处获得(参见实施例3和实施例6),还可以通过ePDG或PDNGW获取终端位置信息,ePDG或PDN GW可以在自身获取到终端的位置信息后,通过与3GPPAAA服务器之间的交互消息,将终端的位置信息通知给该3GPP AAA服务器。
实现上述方法的装置上应具有预配置的网关列表,该网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,该装置包括:
第一单元,用于在终端接入EPC、进行IKEv2交互的过程中,获取终端的位置信息;
第二单元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关。
优选地,该装置为第一ePDG,该重新选择的支持IKEv2协议的网关为第二ePDG。
此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端发送重新选择的第二ePDG的标识信息以及指示信息,该指示信息用于指示所述终端向重新选择的第二ePDG发起IKEv2认证。
优选地,该装置为第一PDN GW,该重新选择的支持IKEv2协议的网关为第二PDNGW。
此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端发送重新选择的第二PDN GW的标识信息以及指示信息。
优选地,该装置为3GPP AAA服务器,该重新选择的支持IKEv2协议的网关包括ePDG或者PDN GW。
此时,该装置还可包括一第三单元,其用于在第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,该指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为完成网关重定向,当UE通过非信任的3GPP接入EPC时,UE首先会和ePDG建立IKEv2安全联盟完成IPSec隧道的建立,从而确保穿越非信任的接入系统的时候在IETF定义了IKEv2的重定向机制(RedirectMechanism for the IKEv2)RFC5685,通过该机制可以在IKE_SA_INIT(因特网密钥交换协议安全联盟初始化),IKE_AUTH(因特网密钥交换认证)过程中或者IKEv2会话建立完成后实现IKEv2Server的重定向。在3GPP场景下,可以看做ePDG把UE重定向到另外一个ePDG;在3GPP S2c场景下,可以看做PDN GW(HA)把UE重定向到另外一个PDN GW(HA)。
实施例1
如图2所示,UE通过非信任的非3GPP接入系统连接到EPC,该流程中,UE和演进分组数据网关(ePDG)在创建因特网密钥交换协议(IKEv2)隧道过程中,ePDG根据UE的IP地址或UE的IP地址所属的IP网段地址为UE选择一个靠近的ePDG,接着ePDG通过IKEv2重定向机制将UE重定向到对应的ePDG。
步骤201:UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;
步骤202:UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等。
步骤203:UE通过ePDG和AAA服务器进行的身份认证信息的交互;
步骤204:UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战;
步骤205:ePDG根据UE的IP地址或UE的IP地址所属的IP网段地址以及预先配置的网关列表为UE选择一个靠近的ePDG;
如果所选择的ePDG即为当前的ePDG,则不用再进行重定向,按正常流程继续执行即可。
如果规定根据UE的IP地址选择新网关,则ePDG上预配置的网关列表至少包括IP地址以及各IP地址对应的靠近该些IP地址的ePDG的标识信息;如果规定根据UE的IP地址所属的IP网段选择新网关,则ePDG上预配置的网关列表至少包括IP网段信息以及每个IP网段对应的靠近该网段的ePDG的标识信息;如果没有规定选择新网关的依据,则ePDG上可以配置包括IP地址、IP网段信息以及ePDG标识信息三者对应关系的网关列表,以保证能根据所获得的任何信息为终端选择ePDG。
上述靠近IP地址或靠近IP网段的ePDG优选为与该IP地址或IP网段距离最近的ePDG,如果有多个距离最近的网关,则可以通过轮询的方式选择,或者采用随机选择的方式进行选择。
步骤206:ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的ePDG身份信息,可以是ePDG的IPv4或IPv6地址,也可以是FQDN(Fully Qualified Domain Name,完全限定域名)。
步骤207:UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec(IP安全)隧道。
实施例2
如图3所示,UE通过非信任的非3GPP接入系统连接到EPC,该流程中,UE和演进分组数据网关(ePDG)在创建因特网密钥交换协议(IKEv2)隧道过程中,ePDG根据UE提供的位置相关信息为UE选择一个靠近的ePDG,接着ePDG通过IKEv2重定向机制将UE重定向到对应的ePDG。
步骤301:UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;
步骤302:UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;
步骤303:UE通过ePDG和AAA服务器进行的身份认证信息的交互;
步骤304:UE发送包含EAP(Extension Authentication Protocol,可扩展的身份验证协议)消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战,同时UE将所处接入网络的标识信息作为位置信息包含在该消息中;
上述接入网标识信息包含但不限于:UE所处地区对应的宏基站标识,或者所处WLAN网络的SSID,或者所处区域的邮政编码等,UE如何获得位置相关信息本发明不做限制。
步骤305:ePDG根据UE提供的位置信息以及预配置的网关列表为UE选择一个靠近的ePDG;
在本实施例中,ePDG上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息。如实施例1中所述,可以根据规定终端发送的位置信息的内容来配置网关列表,也可以配置一个大容量网关列表,不论终端发送具体哪种位置信息,均可为该终端选择到靠近的ePDG。
步骤306:ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的ePDG身份信息,可以是ePDG的IPv4或IPv6地址,也可以是FQDN;
步骤307:UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。
在其他实施例中,ePDG也可从网络侧(如3GPPAAA服务器)获取UE的位置相关信息。例如,步骤301中,UE连接到非3GPP接入系统进行非3GPP接入的认证授权的过程中,非3GPP接入网可以将UE所处的接入网的位置信息上报给非3GPP AAA服务器。
实施例3
图4为用户设备通过WLAN接入系统连接到EPC获取ePDG信息的流程图。这里图中显示了WLAN系统的AP(Wireless Fidelity Access Point WiFi接入点)/AC(AccessController),RG(Residential Gateway家庭网关)以及接入BRAS(Broadband RemoteAccess Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。具体流程如下。
步骤401:用户设备建立到WLAN接入系统的无线连接,建立三层连接,BRAS/BNG为用户设备分配IP地址;
步骤402:UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG,3GPP AAA Server在此流程中也可以从BNG或BRAS(简写为BNG/BRAS)处获取UE所处的接入系统的位置信息;
步骤403:UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;
步骤404:UE通过ePDG和AAA服务器进行的身份认证信息的交互;
步骤405:UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战;
步骤406:ePDG将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器;
步骤407:3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的ePDG;
在本实施例中,3GPP AAA上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息,优选为距离最近ePDG。
步骤408,3GPP AAA服务器向ePDG返回认证回答,在该认证回答中携带所选择的ePDG的标识信息,例如可以是ePDG的IPv4或IPv6地址,也可以是FQDN;
步骤409:ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和从3GPP AAA服务器收到的新的ePDG身份信息;
ePDG判断认证回答中携带有ePDG的标识信息,则构造重定向指示信息携带在IKE_AUTH响应消息中,同时还将该新的ePDG的标识信息通过IKE_AUTH响应消息发送给终端。
步骤410:UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。
实施例4
如图5所示,UE使用DSMIPv6双栈IPv6移动管理协议通过信任的非3GPP接入系统初始连接到EPC,UE须执行DSMIPv6的启动流程,在该流程中,UE须和分组数据网络网关(PDNGW)在创建因特网密钥交换协议(IKEv2)隧道,PDN GW根据UE的IP地址或IP网段地址为UE重新选择一个距离UE更近的PDN GW,接着PDN GW通过IKEv2重定向机制将UE重定向到对应的PDN GW。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。
步骤501:UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络;
步骤502:UE获取本地接入网的IP地址,建立三层连接,根据DNS查询结果选择要连接的PDN GW(具有Home Agent功能的PDN GW);
步骤503:UE和PDN GW交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;
步骤504:UE通过PDN GW和3GPP AAA服务器进行的身份认证信息的交互;
步骤505:UE向PDN GW发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息,响应身份认证交互过程中收到的认证挑战;
步骤506:PDN GW根据UE的IP地址或UE的IP地址所属的IP网段地址以及预先配置的网关列表为UE选择一个靠近的新的PDN GW;
如果规定根据UE的IP地址选择,则PDN GW上预配置的网关列表至少包括IP地址以及各IP地址对应的靠近该些IP地址的PDN GW的标识信息;如果规定根据UE的IP地址所属的IP网段地址选择,则PDN GW上预配置的网关列表至少包括网段信息以及每个IP网段对应的靠近该网段的PDN GW的标识信息;如果没有选择所依据的内容,则PDN GW上可以配置包括IP地址、网段信息以及PDN GW标识信息三者对应关系的网关列表,以保证能够为所有终端选择新的PDN GW。
步骤507:PDN GW通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的PDN GW身份信息,可以是PDN GW的IPv4或IPv6地址,也可以是PDN GW的FQDN;
步骤508:UE根据重定向指示信息向新的PDN GW发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。
实施例5
图6为用户设备使用DSMIP作为移动管理协议通过WLAN接入系统连接到EPC的流程图。这里图中显示了WLAN系统的AP(Wireless FidelityAccess Point WiFi接入点)/AC(Access Controller),RG(Residential Gateway家庭网关)以及接入BRAS(BroadbandRemote Access Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。
步骤601:UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络,BRAS/BNG向UE分配本地IP地址;
步骤602:UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG;
步骤603:UE向ePDG发起建立安全联盟,建立IPSec隧道,确保UE到ePDG之间的报文的安全;
步骤604:UE向PDN GW发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息,响应身份认证交互过程中收到的认证挑战,UE将BRAS/BNG的IP地址或所处WLAN网络的位置信息(例如SSID)包含在该报文中;
步骤605:PDN GW根据收到的位置信息查询距离UE最近的PDN GW,如果发现本身不是距离UE最近的PDN GW,则准备通过IKEv2重定向功能将UE重新导向对应的PDN GW;
步骤606:PDN GW通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的PDN GW身份信息,可以是PDN GW的IPv4或IPv6地址,也可以是PDN GW的FQDN;
步骤607:UE根据重定向指示信息向新的PDN GW发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。
实施例6
图7为用户设备使用DSMIP作为移动管理协议通过WLAN接入系统连接到EPC的流程图。这里图中显示了WLAN系统的AP(Wireless FidelityAccess Point WiFi接入点)/AC(Access Controller),RG(Residential Gateway家庭网关)以及接入BRAS(BroadbandRemote Access Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。需要说明的是,PDN GW的选择重定向只适用于初始附着连接的场景,切换场景下,PDN GW作为连接锚点不会进行重定向优化。具体流程如下。
步骤701:UE连接到非3GPP接入系统,可选地进行非3GPP接入的认证授权,在此过程中,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给接入网络,BRAS/BNG向UE分配本地IP地址;
步骤702:UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG,BRAS/BNG将WLAN接入网的位置信息发送给AAA服务器;
步骤703:UE向ePDG发起建立安全联盟,建立IPSec隧道,确保UE到ePDG之间的报文的安全;
步骤704:UE向PDN GW发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息,响应身份认证交互过程中收到的认证挑战;
步骤705:PDN GW将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器;
步骤706:3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的新的PDN GW;
在本实施例中,3GPP AAA服务器上预配置的网关列表包括UE所处的WLAN的位置相关信息和邻近该位置的PDN GW的标识信息。
步骤707,3GPP AAA服务器向PDN GW返回认证回答,在该认证回答中携带所选择的新的PDN GW的标识信息,例如可以是PDN GW的IPv4或IPv6地址,也可以是FQDN;
步骤708:PDN GW通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和新的PDN GW身份信息,可以是PDN GW的IPv4或IPv6地址,也可以是PDN GW的FQDN完全域名;
步骤709:UE根据重定向指示信息向新的PDN GW发起IKEv2认证进行认证授权,以建立MIPv6安全联盟。
实施例7
图8为用户设备通过WLAN接入系统连接到EPC获取ePDG信息的流程图。这里图中显示了WLAN系统的AP(Wireless Fidelity Access Point WiFi接入点)/AC(AccessController),RG(Residential Gateway家庭网关)以及接入BRAS(Broadband RemoteAccess Server宽带接入服务器)/BNG(Broadband Network Gateway)等主要设备网元。本实施例假设WLAN接入系统中的BRAS/BNG作为非3GPP接入系统的认证网元。具体流程如下。
步骤801:用户设备建立到WLAN接入系统的无线连接,建立三层连接,BRAS/BNG为用户设备分配IP地址;
步骤802:UE通过WLAN接入系统进行非3GPP接入的认证授权,这里,3GPP AAA服务器可以将运营商的相关策略信息和签约信息发送给BRAS/BNG;
步骤803:UE和ePDG交换第一对消息IKE_SA_INIT协商加密算法,进行随机数的交换等;
步骤804:UE通过ePDG和AAA服务器进行的身份认证信息的交互;
步骤805:UE发送包含EAP消息的因特网密钥交换认证(IKE_AUTH)请求消息到ePDG,响应身份认证交互过程中收到的认证挑战,UE将BRAS/BNG的IP地址包含在该报文中发送给ePDG;
步骤806:ePDG将EAP-Response响应消息(带AKA挑战信息)发送给3GPP AAA服务器,消息中包含了步骤805中的BNG/BRAS的IP地址作为UE当前位置信息发送给3GPP AAA服务器;
步骤807:3GPP AAA服务器根据当前UE所处的接入系统的位置信息以及预配置的网关列表为UE选择一个靠近的ePDG;
在本实施例中,3GPP AAA上预配置的网关列表包括UE提供的位置信息以及与该位置信息所指示位置邻近的ePDG的标识信息,优选为距离最近ePDG。
步骤808,3GPP AAA服务器向ePDG返回认证回答,在该认证回答中携带所选择的ePDG的标识信息,例如可以是ePDG的IPv4或IPv6地址,也可以是FQDN;
步骤809:ePDG通过IKEv2向UE发送因特网密钥交换认证(IKE_AUTH)响应消息,IKE_AUTH响应消息包含携带重定向指示信息和从3GPP AAA服务器收到的新的ePDG身份信息;
ePDG判断认证回答中携带有ePDG的标识信息,则构造重定向指示信息携带在IKE_AUTH响应消息中,同时还将该新的ePDG的标识信息通过IKE_AUTH响应消息发送给终端。
步骤810:UE根据重定向指示信息向新的ePDG发起IKEv2认证建立IPSec隧道。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (11)
1.一种选择网关的方法,包括:
在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,具有预配置的网关列表的网元在获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关;
所述网关列表中保存的与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关为:
与所述位置信息对应的与所述位置信息所指示位置最靠近的支持IKEv2协议的网关。
2.如权利要求1所述的方法,其特征在于:
所述具有预配置的网关列表的网元包括第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关包括第二ePDG;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:
所述第一ePDG向所述终端发送重新选择的第二ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二ePDG发起IKEv2认证。
3.如权利要求1所述的方法,其特征在于:
所述具有预配置的网关列表的网元包括第一分组数据网络网关(PDN GW),所述重新选择的支持IKEv2协议的网关包括第二PDN GW;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:
所述第一PDN GW向所述终端发送重新选择的第二PDN GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二PDN GW发起IKEv2认证。
4.如权利要求1所述的方法,其特征在于:
所述具有预配置的网关列表的网元包括3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者PDN GW;
所述根据网关列表为终端选择支持IKEv2协议的网关之后,所述方法还包括:
所述3GPP AAA服务器向所述终端的当前网关发送重新选择的网关的标识信息,所述终端的当前网关接收到所述重新选择的网关的标识信息后,在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
5.如权利要求1-4中任一权利要求所述的方法,其特征在于:
所述位置信息包括以下信息中的任意一种:
终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。
6.如权利要求5所述的方法,其特征在于:
所述终端所处的接入网络的标识包括以下标识中的任意一种:接入网络的服务集标识(SSID),终端所处的宏站的标识信息,终端所处的接入网络的地理位置信息,管辖所述终端的接入网关的地址信息。
7.一种选择网关的装置,其特征在于,所述装置上具有预配置的网关列表,所述网关列表中保存有位置信息以及与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关,所述装置包括:
第一单元,用于在终端接入分组核心网(EPC)、进行因特网密钥交换协议(IKEv2)交互的过程中,获取终端的位置信息;
第二单元,用于在所述第一单元获取到终端的位置信息后,根据所述网关列表为所述终端重新选择支持IKEv2协议的网关;
所述网关列表中保存的与所述位置信息对应的邻近所述位置信息所指示位置的支持IKEv2协议的网关为:
与所述位置信息对应的与所述位置信息所指示位置最靠近的支持IKEv2协议的网关。
8.如权利要求7所述的装置,其特征在于:
所述装置为第一演进的分组数据网关(ePDG),所述重新选择的支持IKEv2协议的网关为第二ePDG;
所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二ePDG的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二ePDG发起IKEv2认证。
9.如权利要求7所述的装置,其特征在于:
所述装置为第一分组数据网络网关(PDN GW),所述重新选择的支持IKEv2协议的网关为第二PDN GW;
所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端发送重新选择的第二PDN GW的标识信息以及指示信息,所述指示信息用于指示所述终端向重新选择的第二PDN GW发起IKEv2认证。
10.如权利要求7所述的装置,其特征在于:
所述装置为3GPP AAA服务器,所述重新选择的支持IKEv2协议的网关包括ePDG或者PDNGW;
所述装置还包括第三单元,其用于在所述第二单元根据网关列表为终端选择支持IKEv2协议的网关之后,向所述终端的当前网关发送重新选择的网关的标识信息,以使所述终端的当前网关在向所述终端发送的消息中携带所述重新选择的网关的标识信息以及指示信息,所述指示信息用于指示所述终端向所述重新选择的网关发起IKEv2认证。
11.如权利要求7-10中任一权利要求所述的装置,其特征在于:
所述位置信息包括以下信息中的任意一种:终端当前的IP地址,终端当前IP地址所属的IP网段地址,终端所处的接入网络的标识。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110120066.0A CN102781004B (zh) | 2011-05-10 | 2011-05-10 | 一种选择网关的方法及装置 |
| PCT/CN2012/074666 WO2012152185A1 (zh) | 2011-05-10 | 2012-04-25 | 一种选择网关的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110120066.0A CN102781004B (zh) | 2011-05-10 | 2011-05-10 | 一种选择网关的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102781004A CN102781004A (zh) | 2012-11-14 |
| CN102781004B true CN102781004B (zh) | 2017-05-24 |
Family
ID=47125733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110120066.0A Active CN102781004B (zh) | 2011-05-10 | 2011-05-10 | 一种选择网关的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102781004B (zh) |
| WO (1) | WO2012152185A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103841590B (zh) * | 2012-11-27 | 2018-05-18 | 中兴通讯股份有限公司 | 网络监测和节能控制方法与系统、终端及分组接入网关 |
| MX2015008696A (es) * | 2013-01-04 | 2016-02-25 | Huawei Tech Co Ltd | Metodo, aparato y sistema para seleccionar compuerta pdn. |
| CN104429128B (zh) * | 2013-06-24 | 2018-02-23 | 华为技术有限公司 | 无线接入处理方法、装置及系统 |
| US9179436B1 (en) * | 2014-08-22 | 2015-11-03 | Cisco Technology, Inc. | System and method for location reporting in an untrusted network environment |
| US10237795B2 (en) * | 2015-10-11 | 2019-03-19 | Qualcomm Incorporated | Evolved packet data gateway (EPDG) reselection |
| EP3387835A1 (en) | 2015-12-11 | 2018-10-17 | VID SCALE, Inc. | Scheduling multiple-layer video segments |
| CN107959970B (zh) * | 2016-10-17 | 2020-08-18 | 中国电信股份有限公司 | 获取VoWiFi用户的位置信息的方法、系统以及相关设备 |
| CN106412148A (zh) * | 2016-12-09 | 2017-02-15 | 中国联合网络通信集团有限公司 | 一种选择ePDG的方法及装置 |
| WO2020034378A1 (en) * | 2018-10-12 | 2020-02-20 | Zte Corporation | Location reporting for mobile devices |
| CN109040145B (zh) * | 2018-10-23 | 2021-01-26 | 长沙裕邦软件开发有限公司 | 一种局域网安全接入的方法、存储介质及应用服务器 |
| CN112312426B (zh) * | 2019-07-31 | 2023-07-21 | 中国移动通信集团吉林有限公司 | 核心网网关的选择方法、移动性管理实体和网关设备 |
| CN110662180B (zh) * | 2019-10-25 | 2022-06-10 | 维沃移动通信有限公司 | 一种数据传输方法及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101365228A (zh) * | 2007-08-07 | 2009-02-11 | 华为技术有限公司 | 移动终端接入网络的方法及锚点管理设备 |
| CN101843145A (zh) * | 2007-10-31 | 2010-09-22 | 马维尔国际贸易有限公司 | 用于建立连接时的分组数据网络网关的重新选择的系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7633896B2 (en) * | 2002-01-23 | 2009-12-15 | Alcatel-Lucent Usa Inc. | Apparatus and method for enabling optimized gateway selection for inter-working between circuit-switched and internet telephony |
| US8510812B2 (en) * | 2006-03-15 | 2013-08-13 | Fortinet, Inc. | Computerized system and method for deployment of management tunnels |
| CN101330740A (zh) * | 2007-06-22 | 2008-12-24 | 中兴通讯股份有限公司 | 一种无线网络中的网关选择方法 |
| CN101420762B (zh) * | 2007-10-23 | 2011-02-23 | 中国移动通信集团公司 | 接入网关的选择方法、系统及网关选择执行节点 |
| CN101572855B (zh) * | 2008-04-30 | 2011-09-14 | 华为技术有限公司 | 一种为终端选择网关的方法及装置 |
| CN101651977B (zh) * | 2009-08-28 | 2011-09-21 | 华为技术有限公司 | 一种基于多连接的网络选择方法及装置 |
-
2011
- 2011-05-10 CN CN201110120066.0A patent/CN102781004B/zh active Active
-
2012
- 2012-04-25 WO PCT/CN2012/074666 patent/WO2012152185A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101365228A (zh) * | 2007-08-07 | 2009-02-11 | 华为技术有限公司 | 移动终端接入网络的方法及锚点管理设备 |
| CN101843145A (zh) * | 2007-10-31 | 2010-09-22 | 马维尔国际贸易有限公司 | 用于建立连接时的分组数据网络网关的重新选择的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012152185A1 (zh) | 2012-11-15 |
| CN102781004A (zh) | 2012-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102781004B (zh) | 一种选择网关的方法及装置 | |
| US8769626B2 (en) | Web authentication support for proxy mobile IP | |
| EP2837242B1 (en) | Wireless communication device, communication system and method for establishing data connectivity between a wireless communication device and a first access network | |
| US10432632B2 (en) | Method for establishing network connection, gateway, and terminal | |
| EP2586236B1 (en) | Method and apparatus for communicating via a gateway | |
| CN103797888B (zh) | 到3gpp演进分组核心的可信wlan连接性 | |
| EP2082546B1 (en) | Gateway selection mechanism | |
| JP4587332B2 (ja) | いくつかの中間ネットワークを介して、ホームサービスネットワークからローミングネットワークへaaaメッセージをルーティングする方法、装置及びシステム | |
| JP5503620B2 (ja) | 通信システムおよびアクセスネットワーク情報転送マネージャ | |
| US7590732B2 (en) | Enhancement of AAA routing originated from a local access network involving intermediary network preferences | |
| EP2721872B1 (en) | Selection of a v-plmn for a roaming user equipment | |
| EP2858418B1 (en) | Method for updating identity information about packet gateway, aaa server and packet gateway | |
| EP3453208B1 (en) | Methods and network nodes for providing ue location for vowifi calls | |
| CN103313344B (zh) | 融合的核心网及其接入方法 | |
| US8059599B1 (en) | Gateway assignment function | |
| CN104335637A (zh) | 接入点检测 | |
| TWM295857U (en) | Apparatus for system discovery and user selection | |
| EP2832157A1 (en) | Access point detection | |
| CN104247505A (zh) | 用于利用anqp服务器能力增强andsf的系统和方法 | |
| CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
| CN108353284A (zh) | 通信系统中的网关节点的选择 | |
| WO2014106318A1 (zh) | 选择分组数据网关的方法、装置及系统 | |
| CN102340766B (zh) | 归属网络获取拜访网络中网元信息的方法及系统 | |
| CN103945493B (zh) | 选择v-andsf方法及装置、接入网接入方法及装置 | |
| CN103002429B (zh) | 一种对用户设备能力进行处理的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |