一种隧道数据安全通道的建立方法 技术领域
本发明实施例涉及通信技术领域, 并且更具体地, 涉及演进的分组系统
( EPS, Evolved Packet System ) 中 S2c隧道安全联盟的建立方法和装置。 背景技术
随着移动宽带时代的到来, 用户需要随时随地的使用宽带接入服务, 这 对移动通信网络提出了更高的要求, 如更高的传输速率、 更小的时延和更高 的系统容量等。 为了保持 3GPP网络的优势, 3GPP标准组织于 2004年底启 动了 SAE ( System Architecture Evolution, 系统架构演进)计划的研究和标 准化工作, 定义了一个新的移动通信网络框架, 称为演进的分组系统 EPS。 随着核心网融合统一的趋势, 3GPP在 EPS 系统中的核心网 EPC ( Evolved Packet Core, 演进的分组系统的核心部分) 中也提供了非 3GPP接入网络接 入的可能, 如 WLAN、 Wimax等接入 EPC。
S2c接口采用 DSMIPv6 ( Mobile IPv6 Support for Dual Stack Hosts, 双栈 主机的移动 IPv6支持 )协议,可用于可信或者非可信的非 3GPP接入网络接 入 EPS网络。 UE ( User Equipment,用户设备)从非 3GPP接入网络通过 S2c 接口接入 EPC时, UE与 PDN-GW ( Packet Data Network Gateway, 分组数 据网关, 也可简称为 PGW )之间将建立安全联盟 S A ( Security Association, 安全联盟)保护 DSMIPv6信令。 当 UE从 S2c接口由可信非 3GPP接入网络 接入 EPC时, 3GPP定义了在 UE与 PDN-GW之间建立 DSMIPv6隧道之后, PDN-GW 可以与 UE之间发起建立子安全联盟 Child SA ( Child Security Association, 子安全联盟)对数据面进行保护; 但当 UE从非可信非 3GPP 接入网络接入 EPC的时候, UE与非 3GPP接入网关 ePDG ( evolved PDG, 演进分组数据网关)之间会建立 IPSec安全通道,通过 IPSec安全通道对 UE 与 PDN-GW之间的数据包进行安全保护。 即, 当 UE以可信方式接入 EPS 的时候, S2c隧道上可以建立 Child SA对数据面的完整性和机密性进行保护; 以非可信方式接入的时候, 将由 UE与 ePDG之间的 IPSec安全通道提供数 据的完整性保护和机密性保护。
如上所述, UE通过 S2c接口接入 EPC的时候, PDN-GW需要区分可信 接入和非可信接入场景, 以完成不同的数据安全通道的建立过程。 但 PDN-GW并不能够判断当前 UE是从可信非 3GPP接入网络接入还是非可信 非 3GPP接入网络接入的, 也就无法选择正确的 S2c隧道数据安全通道建立 方法。 发明内容
本发明实施例提供了一种 S2c隧道数据安全通道的建立方法和装置, 能 够保障建立正确的 S2c隧道数据安全通道。
一方面, 提供了一种建立数据安全通道的方法, 包括, 发送鉴权认证请 求消息到鉴权认证设备, 接收所述鉴权认证设备发送的鉴权认证响应消息, 其中所述鉴权认证响应消息包括可信关系信元用于指示当前接入的可信关 系, 根据所述当前接入的可信关系, 建立 S2c隧道安全联盟。 其中, 所述接 收鉴权认证设备发送的鉴权认证响应消息之前,还包括鉴权认证设备根据配 置的策略或非 3GPP接入侧发起鉴权认证请求时所存储的可信关系确定当前 接入网络的可信关系。
另一方面, 提供了一种建立数据安全通道的方法, 包括, 接收网关设备 的鉴权认证请求消息, 根据配置的策略或者非 3GPP接入侧发起鉴权认证请 求时存储的可信关系确定当前接入的可信关系, 向网关设备发送鉴权认证响 应消息, 所述鉴权认证响应消息中包含可信接入信元用来指示所述当前接入 的可信关系, 以便网关设备根据该指示建立 S2c隧道数据安全通道。
另一方面,提供了一种鉴权认证设备,包括:接收单元,用于接收非 3GPP 接入的鉴权认证请求; 鉴权单元, 用于对接收单元接收的鉴权认证请求进行 鉴权, 根据配置的策略或对非 3GPP接入侧发起鉴权认证请求时所存储的可 信关系确定当前接入的可信关系; 发送单元, 用于向 PDN-GW发送鉴权认 证相应响应消息, 消息中包含可信接入信元用来指示当前接入的可信关系。
另一方面, 提供了一种网关设备, 包括: 发送单元, 用于发送鉴权认证 请求消息, 接收单元, 用于接收鉴权认证装置对鉴权认证请求的响应消息, 消息中包括可信关系信元用来指示当前接入的可信关系; SA建立单元, 用 于根据接收单元接收的响应消息中指示的当前非 3GPP接入的可信关系, 建 立 S2c隧道的数据安全通道。
本发明实施例在 UE从 S2c接口由非 3GPP接入网 矣入 EPC时,接收 鉴权认证响应消息, 根据消息中指示的当前接入网络的可信关系, 建立数据 安全通道, 保证进行正确的数据安全通道。 附图说明
为了更清楚地说明本发明实施例的技术方案, 下面将对实施例或现有技 术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中的附图 仅仅是本发明的一些实施例, 对于本领域普通技术人员来讲, 在不付出创造 性劳动的前提下, 还可以根据这些附图获得其他的附图。
图 1是 3GPP规定的非漫游场景下非 3GPP接入网络采用 S2c接口接入
EPS网络的系统架构图。
图 2是根据本发明一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。
图 3是根据本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。
图 4是本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。
图 5是本发明另一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立过程的示意流程图。
图 6是本发明另一个实施例的非可信非 3GPP接入网络采用 S2c接口接 入 EPS网络的安全通道建立过程的示意流程图。
图 7是本发明另一个实施例的非可信非 3GPP接入网络采用 S2c接口接 入 EPS网络的安全通道建立过程的示意流程图。
图 8是本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS 网络的安全通道建立过程的示意流程图。
图 9是根据本发明一个实施例的鉴权认证装置的框图。
图 10是根据本发明一个实施例的网关的框图。 具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、 完整地描述, 显然, 所描述的实施例是本发明一部分实施例, 而不是
全部的实施例。 基于本发明中的实施例, 本领域普通技术人员在没有作出创 造性劳动前提下所获得的所有其他实施例, 都属于本发明保护的范围。
图 1是 3GPP规定的非 3GPP接入网络采用 S2c接口接入 EPS网络的系 统架构图。 本发明实施例可应用于图 1所示的 EPS网络架构。
如图 1所示, S2c接口可以用于非 3GPP接入网络接入 EPS网络。 对于 可信非 3GPP接入网络, UE将直接通过非 3GPP接入网络连接到 PDN-GW; 而对于不可信非 3GPP接入网络, UE则需要通过归属网络可信任的演进分 组数据网关 ePDG, 再连接到 PDN-GW网元上。
当 UE从 S2c接口通过 PDN-GW进行鉴权认证时,如果是由可信非 3GPP 接入网络接入 EPC的, PDN-GW需要发起建立子安全联盟 child SA对数据 面进行保护; 如果 UE是从非可信非 3GPP接入网络接入 EPC的, PDN-GW 通过 UE与 ePDG之间的 IPSec通道建立 DSMHV6安全通道对数据进行完整 性保护和机密性保护。
由上述描述可以看到, PDN-GW需要知道当前 UE是从可信非 3GPP接 入网络接入还是非可信非 3GPP接入网络接入是选择正确的 S2c隧道数据安 全通道建立方式的前提。
本发明实施例在图 1所述的网络架构上, 由鉴权认证设备确定当前接入 的可信关系, 并发送给 PDN-GW, PDN-GW根据此指示选择建立数据安全 通道的方式, 保证 PDN-GW进行正确的安全通道建立过程。 本发明实施例 中的鉴权认证设备均以 AAA ( Authentication Authorization Accounting , 认证 授权和计费)服务器来举例说明,具体实施时也可能是 HSS( Home Subscriber Server, 归属网络服务器)等其他设备作为实施例中的鉴权认证设备。 图 2 是本发明一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全 通道建立方法。
201 , 接收非 3GPP接入侧的鉴权认证请求, 进行认证鉴权过程。 此处 的非 3GPP接入侧, 可以是非 3GPP接入网络, 也可以是 ePDG。
当 AAA服务器接收非 3GPP接入网络的鉴权认证请求时, 根据其中参 数判断当前的接入为可信接入还是非可信接入, 参数包括以下的一种或几 种: 接入网标识 ANID, 拜访地网络标识 Visited Network Identity (该标识仅 在漫游场景下需要), 接入类型, 接入网络内使用的安全机制等, 将上述判 断结果在鉴权认证响应消息中发送给非 3GPP接入网络, 并将是否为可信接
入的结果与 UE标识的对应关系存储下来, 也可以与网络标识的对应关系一 并存储。
也可以采用下面的存储方法: AAA服务器判断当前接入为可信接入或 本次鉴权认证请求为非 3GPP接入网络接入鉴权认证过程, 在将结果在鉴权 认证响应消息中发送给非 3GPP接入网络时, 不存储是否为可信接入的结果 与 UE标识、 和 /或网络标识的对应关系。
当 AAA服务器接收 ePDG的鉴权认证申请时,如果 AAA服务器中还没 有当前接入的非可信接入结果与 UE标识和 /或网络标识的存储信息,则此时 存储上述接入的非可信接入结果与 UE标识和 /或网络标识的对应关系信息, 否则不保存上述信息。 当然, 也可以采用下面的方法: AAA服务器不管是 否已有当前接入的非可信接入结果与 UE 标识和 /或网络标识的对应关系的 存储信息, 均存储当前接入的非可信接入结果与 UE标识和 /或网络标识。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
202, 接收 PDN-GW发送的鉴权认证请求, 判断当前接入的可信关系, 即当前接入为可信接入还是非可信接入。 PGW发送鉴权认证请求消息到 AAA服务器, 注册 APN ( Access Point Name,接入点名称)和 PGW的信息, 上述请求消息中包括 UE标识, 可能还包括拜访地网络标识(该标识仅在漫 游场景下需要)、 接入类型、 接入网标识、 接入网络内使用的安全机制等。 AAA服务器根据 UE标识和 /或网络标识, 与存储的是否可信接入信息进行 比较, 如存储的信息表明为可信接入则判定当前接入为可信接入, 相反的, 如存储的信息为非可信接入则判定当前接入为非可信接入。
进一步的,如果 AAA服务器中没有存储当前接入是否可信接入的信息, 则认为当前接入为可信接入。
当然, 具体实施时也可以采用下面的方法: AAA月良务器也可以在接收 到鉴权认证请求后,直接根据 UE标识和 /或网络标识与所存储的可信接入信 息进行比较, 如没有存储当前接入的可信接入信息, 则认为当前接入为可信 接入, 否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
203 , 根据接收到的当前接入的可信关系, 确定 S2c隧道安全联盟建立
方式。 AAA服务器发送鉴权认证响应消息到 PGW,其中包括可信关系信元, 此时指示为可信接入。 PGW接收到可信关系信元指示为可信接入后, 在任 意时间可发起与 UE间的 Child SA建立过程, 若接收到 UE发起的 Child SA 建立请求, 则接受请求。 相反的, PGW接收到可信关系信元指示为非可信 接入后, 不再发起 Child SA建立过程, 若接收到 UE发送的 Child SA建立 请求, 则拒绝。
本发明实施例在对非 3GPP接入侧的鉴权认证请求进行处理时, 存储是 否为可信接入的结果, 并在后续收到 PDN-GW发送的鉴权认证请求时, 根 据存储的可信接入结果, 判断当前接入是否为可信接入, 并在响应消息将可 信关系信息通知 PGW, 使 PGW可以正确建立 S2c隧道安全联盟。
图 3是根据本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入 EPS网络的安全通道建立方法。
301, 接收 PDN-GW发送的鉴权认证请求, 判断当前接入的可信关系, 即当前接入为可信接入还是非可信接入。 PGW发送鉴权认证请求消息到 AAA服务器, 注册 APN和 PGW的信息, 上述请求消息中包括 UE标识、 拜访 地网络标识(该标识仅在漫游场景下需要)、 接入类型、 可能还包括接入网 标识等。 AAA服务器根据根据如下参数的一种或几种判断当前接入为可信接 入还是非可信接入: UE标识、拜访地网络标识 Visited Network Identity (该标 识仅在漫游场景下需要)、 接入网标识 ANID、 接入类型、 接入网络内使用的 安全机制等, 与配置的策略判定当前接入是否为可信接入。 上述策略中包括 拜访地网络标识和 /或接入网标识等信息与可信关系的对应关系。
如策略表明为可信接入则判定当前接入为可信接入, 相反的, 如策略中 的信息表明为非可信接入则判定当前接入为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
302, 根据接收到的当前接入的可信关系, 确定 S2c隧道安全联盟建立 方式。 AAA服务器发送鉴权认证响应消息到 PGW,其中包括可信关系信元, 此时指示为可信接入。 PGW接收到可信关系信元指示为可信接入后, 在任 意时间可发起与 UE间的 Child SA建立过程, 若接收到 UE发起的 Child SA 建立请求, 则接受请求。 相反的, PGW接收到可信关系信元指示为非可信 接入后, 不再发起 Child SA建立过程, 若接收到 UE发送的 Child SA建立
请求, 则拒绝。
本发明实施例在收到 PDN-GW发送的鉴权认证请求时, 根据配置的策 略判断当前接入是否为可信接入, 并在响应消息将是否可信接入信息通知 PGW, 使 PGW可以正确建立 S2c隧道安全联盟。
下面结合具体例子, 更加详细地描述本发明的实施例。 图 4是根据本发 明一个实施例的可信非 3GPP接入网络采用 S2c接口接入 EPS网络的数据安 全通道建立的方法的示意流程图。
401 , UE发送 EAP-RSP鉴权请求消息到可信非 3GPP接入网络。
402, 可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器, 其中包 括接入网标识 ANID, 接入类型, 还可能包括接入网络内使用的安全机制参 数等。在漫游场景下, 此鉴权认证请求要通过 AAA proxy从接入网络转发给 AAA服务器, 而且鉴权认证请求中还包括拜访地网络标识 Visited Network Identity
AAA服务器根据接收到的参数判断当前的接入为可信接入还是非可信 接入, 参数包括以下的一种或几种: 接入网标识 ANID, 拜访地网络标识 Visited Network Identity (该标识仅在漫游场景下需要), 接入类型, 接入网 络内使用的安全机制等。 并将可信接入的结果与 UE标识、 网络标识或两者 一并存储下来。
也可以采用下面的方法: AAA服务器判断当前接入为非 3GPP接入网络 接入或为可信接入,不存储可信接入的结果与 UE标识和 /或网络标识的对应 关系。
上述过程中保存的网络标识包括拜访地网络标识(该标识仅在漫游场景 下需要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信 息。
403, AAA服务器发送鉴权认证响应消息给可信非 3GPP接入网络, 其 中包括上述可信接入结果。
404, 可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE, 其中 包括可信接入结果。
405 , UE触发 L3 ( Level 3, 层 3 )接入过程。 UE与可信非 3GPP接入 网络之间建立 L3连接, 从接入网络获得一个本地 IP地址 CoA。
406, UE发送安全联盟建立请求给 PDN-GW为 UE和 PDN-GW之间建
立 DSMIPv6的的 SA,此安全联盟建立请求具体可以为 IKE鉴权请求等安全 联盟建立请求消息, 消息中包括 APN信息。
407, PGW发送鉴权认证请求消息到 AAA服务器, 注册 APN ( Access Point Name, 接入点名称)和 PGW信息, 上述请求消息中包括 UE标识、 接入类型、 可能还包括接入网标识, 接入网络内使用的安全机制等。 如果是 漫游场景, 上述请求消息中还需要包括拜访地网络标识。 AAA服务器根据 UE标识和 /或网络标识和存储的是否可信接入信息进行比较, 如存储的信息 为可信接入则判定当前接入为可信接入。
进一步的,如果 AAA服务器中没有存储当前接入是否可信接入的信息, 则认为当前接入为可信接入。
当然, 具体实施时也可以采用下面的方法: AAA月良务器也可以在接收 到鉴权认证请求后,直接根据 UE标识和 /或网络标识与所存储的是否可信接 入信息进行比较, 如没有存储当前接入是否可信接入的信息, 则认为当前接 入为可信接入, 否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
408, AAA服务器发送鉴权认证响应消息到 PGW, 其中包括可信关系 信元, 取值为 "可信" 或 "非可信", 此时指示为 "可信", 表示当前为可信 接入。
409, PGW发送安全联盟建立响应消息到 UE, 其中包括 PGW给 UE分 配的 IP地址。
410, PGW接收到可信关系信元, 指示为可信接入后, 在任意时间可发 起与 UE间的 Child SA建立过程。 若接收到 UE发起的 Child SA建立请求, 则接受请求, 建立 Child SA。
图 5是根据本发明一个实施例的可信非 3GPP接入网络采用 S2c接口接 入 EPS网络的数据安全通道建立的方法的示意流程图。
501 , UE触发 L3接入过程。 UE与可信非 3GPP接入网络之间建立 L3 连接, 从接入网络获得一个本地 IP地址 CoA。
502, UE发送安全联盟建立请求给 PDN-GW为 UE和 PDN-GW之间建 立 DSMIPv6的的 SA,此安全联盟建立请求具体可以为 IKE鉴权请求等安全 联盟建立请求消息, 消息中包括 APN信息。
503, PGW发送鉴权认证请求消息到 AAA服务器, 注册 APN和 PGW 信息, 上述请求消息中包括 UE标识、接入类型、可能还包括接入网标识等。 如果是漫游场景, 上述请求消息中还需要包括拜访地网络标识。 AAA服务 器根据 UE 标识和 /或网络标识没有找到存储的当前接入是否为可信接入的 信息, 认为当前接入为可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
504, AAA服务器发送鉴权认证响应消息到 PGW, 其中包括可信关系 信元, 取值为 "可信" 或 "非可信", 此时指示为 "可信", 表示当前为可信 接入。
505, PGW发送安全联盟建立响应消息到 UE, 其中包括 PGW给 UE分 配的 IP地址。
506, PGW接收到可信关系信元, 指示为可信接入后, 在任意时间可发 起与 UE间的 Child SA建立过程。 若接收到 UE发起的 Child SA建立请求, 则接受请求, 建立 Child SA。
图 6是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口 接入 EPS网络的安全通道建立过程的示意流程图。
601. 终端发送 EAP-RSP鉴权请求消息到非可信非 3GPP接入网络。
602, 非可信非 3GPP接入网络发送鉴权认证请求到 AAA服务器, 鉴权 请求中包括接入网标识 ANID, 接入类型, 还可能包括接入网络内使用的安 全机制参数等。在漫游场景下,接入网络提交的鉴权认证请求需要通过 AAA proxy 转发给 AAA 服务器, 且上述请求中包括拜访地网络标识 Visited Network Identity。
AAA服务器根据鉴权请求中的参数判断当前的接入为可信接入还是非 可信接入, 参数包括以下的一种或几种: 接入网标识 ANID, 拜访地网络标 识 Visited Network Identity (该标识仅在漫游场景下需要), 接入类型, 接入 网络内使用的安全机制等。并将非可信接入的结果与 UE标识和 /或网络标识 及对应关系一并存储下来。
也可以采用下面的方法: AAA服务器判断当前接入为非 3GPP接入网络 接入, 不存储非可信接入的结果与 UE标识和 /或网络标识及对应关系。
上述过程中保存的网络标识包括拜访地网络标识(该标识仅在漫游场景
下需要), 或接入类型, 或接入网标识等信息。
603 , AAA服务器发送鉴权认证响应消息给非可信非 3GPP接入网络, 其中包括上述非可信接入结果。
604, 非可信非 3GPP接入网络发送 EAP-REQ鉴权响应消息给 UE, 其 中包括上述非可信接入结果。
605, UE发送 IKE鉴权请求到 ePDG,请求建立 UE与 ePDG之间的 IPSec 隧道。
606, ePDG发送鉴权认证请求到 AAA服务器, 漫游场景下此鉴权认证 请求通过 AAA proxy转发。 如果 AAA服务器中还没有存储当前接入的非可 信接入与 UE标识和 /或网络标识的对应关系,则此时存储上述接入的非可信 接入结果与 UE标识和 /或网络标的对应关系, 否则不保存上述信息。
当然, 也可以采用下面的方法: AAA服务器不管是否已有当前接入的 非可信接入结果与 UE标识和 /或网络标识的对应关系的存储信息,均存储当 前接入的非可信接入结果与 UE标识和 /或网络标识的对应关系。
上述过程中保存的网络标识包括如下信息的一种或几种: 接入网标识、 接入网络内使用的安全机制、 接入类型, 如果是漫游场景, 还包括拜访地网 络标识。
607, AAA服务器发送鉴权认证响应消息给 ePDG。
608, ePDG发送 IKE鉴权响应消息给 UE。
609, UE发送安全联盟建立请求给 PDN-GW在 UE和 PDN-GW之间建 立 DSMIPv6的的 SA,此安全联盟建立请求具体可以为 IKE鉴权请求等安全 联盟建立请求消息, 其中包括 APN信息。
610, PGW发送鉴权认证请求消息到 AAA服务器, 注册 APN和 PGW 信息, 上述请求消息中包括 UE标识。 还可以包括网络标识, 网络标识包括 如下信息的一种或几种: 接入网标识、 接入网络内使用的安全机制、 接入类 型, 如果是漫游场景, 还包括拜访地网络标识。 AAA服务器根据 UE标识和 /或网络标识和存储的可信接入对应关系, 判定当前为非可信接入。
611 , AAA服务器发送鉴权认证响应消息到 PGW, 其中包括可信关系 信元, 取值为 "可信" 或 "非可信", 此时指示为 "非可信", 表示当前为非 可信接入。 PGW接收到指示为非可信接入的消息后, 不再发起 Child SA建 立过程, 若接收到 UE发送的 Child SA建立请求, 则拒绝。 拒绝的方式可以
为: 在 Child SA建立请求的响应消息中的 Notify Payload中的原因值指示 "NO_ADDITIONAL S AS " ,或 "NO_Child_SAS" ,或其它原因值, 表示不 再接收 Child SA的建立。
612, PGW发送安全联盟建立响应消息到 UE, 其中包括 PGW给 UE分 配的 IP地址。
图 7是根据本发明一个实施例的非可信非 3GPP接入网络采用 S2c接口 接入 EPS网络的安全通道建立过程的示意流程图。
701 , UE发送 IKE鉴权请求到 ePDG,请求建立 UE与 ePDG之间的 IPSec 隧道。
702, ePDG发送鉴权认证请求到 AAA服务器, 漫游场景下此鉴权认证 请求通过 AAA proxy转发。 AAA服务器中发现还没有存储当前接入的非可 信接入与 UE标识和 /或网络标识的对应关系,存储上述接入的非可信接入结 果与 UE标识和 /或网络标的对应关系。
当然, 也可以采用下面的方法: AAA服务器不管是否已有当前接入的 非可信接入结果与 UE标识和 /或网络标识的对应关系的存储信息,均存储当 前接入的非可信接入结果与 UE标识和 /或网络标识的对应关系。
703, AAA服务器发送鉴权认证响应消息给 ePDG。
704, ePDG发送 IKE鉴权响应消息给 UE。
705, UE发送安全联盟建立请求给 PDN-GW在 UE和 PDN-GW之间建 立 DSMIPv6的的 SA,此安全联盟建立请求具体可以为 IKE鉴权请求等安全 联盟建立请求消息, 其中包括 APN信息。
706, PDN-GW发送鉴权认证请求消息到 AAA服务器, 注册 APN和
PDN-GW信息, 请求消息中包括 UE标识。 还可以包括网络标识, 网络标识 包括如下信息的一种或几种: 接入网标识、 接入网络内使用的安全机制、 接 入类型, 如果是漫游场景, 还包括拜访地网络标识。 AAA服务器根据 UE标 识和 /或网络标识和存储的可信接入对应关系, 判定当前为非可信接入。
707, AAA服务器发送鉴权认证响应消息到 PGW, 其中包括可信关系 信元, 取值为 "可信" 或 "非可信", 此时指示为 "非可信", 表示当前为非 可信接入。 PGW接收到指示为非可信接入的消息后, 不再发起 Child SA建 立过程, 若接收到 UE发送的 Child SA建立请求, 则拒绝。 拒绝的方式可以 为: 在 Child SA建立请求的响应消息中的 Notify Payload中的原因值指示
"NO_ADDITIONAL S AS " ,或 "NO_Child_SAS" ,或其它原因值, 表示不 再接收 Child SA的建立。
708, PGW发送安全联盟建立响应消息到 UE, 其中包括 PGW给 UE分 配的 IP地址。
图 8是根据本发明另一个实施例的非 3GPP接入网络采用 S2c接口接入
EPS网络的安全通道建立过程的示意流程图。
801 , UE发送安全联盟建立请求给 PGW在 UE和 PDN-GW之间建立 DSMIPv6的的 SA, 此安全联盟建立请求具体可以为 IKE鉴权请求等安全联 盟建立请求消息, 其中包括 APN信息。
802, PGW发送鉴权认证请求消息到 AAA服务器,注册 APN和 PGW信息, 上述请求消息中包括 UE标识。 还可以包括网络标识, 网络标识包括如下信 息的一种或几种: 接入网标识、 接入网络内使用的安全机制、 接入类型, 如 果是漫游场景, 还包括拜访地网络标识。
AAA服务器根据配置的策略判定当前接入是否为可信接入, 策略中包 括网络标识与可信关系的对应关系。 判定方法可以为: AAA服务器根据鉴 权认证请求消息中的网络标识, 查询配置的策略确定当前接入网络的可信关 系。 若鉴权认证请求消息中不包括接入网标识, AAA服务器业也可以需要 根据接入类型标识构造接入网络标识。 具体方法为: 接入类型一般是整数类 型的表示方法, 如 0表示 WLAN, 2001 表示 HRPD等。 接入网前缀即为 "WLAN" , "HRPD" 这样的字符串, 因此, AAA服务器根据接入类型, 查 表得知接入类型的整数对应的具体接入类型描述, 用字符串表示, 作为接入 网标识的前缀。 接入网标识除前缀之外的附加字符串可以没有, 或者生成规 则由 AAA服务器自己决定。
判定方法可以采用如下方式实现: 策略中包含可信关系与非可信关系的 记录, 查询配置的策略数据表, 如与网络标识对应的可信关系为可信接入则 判定当前接入为可信接入, 可信关系为非可信接入则判定当前接入为非可信 接入。 也可以在策略中仅设置可信接入或非可信接入中的一种, 如: 仅设置 可信接入的记录, 查询不到相关信息的则为非可信接入。
803 , AAA服务器发送鉴权认证响应消息到 PGW, 其中包括可信关系 信元, 取值为 "可信" 或 "非可信", 指示当前接入为可信接入或非可信接 入。 PGW接收到当前接入的可信关系消息, 确定 S2c隧道安全联盟建立方
式。 如为可信接入, 则在任意时间可发起与 UE间的 Child S A建立过程, 若 接收到 UE发起的 Child SA建立请求, 则接受请求, 建立 Child SA; 如为非 可信接入后, 不再发起 Child SA建立过程, 若接收到 UE发送的 Child SA 建立请求, 则拒绝, 拒绝的方式可以为: 在 Child SA建立请求的响应消息中 的 Notify Payload 中的原因值指示 " NO_ADDITIONAL_SAS " ,或 "NO_Child_SAS" ,或其它原因值, 表示不再接收 Child SA的建立。
804, PGW发送安全联盟建立响应消息到 UE, 其中包括 PGW给 UE分 配的 IP地址。
图 9是根据本发明一个实施例的鉴权认证装置的框图。 图 9的鉴权认证 装置 90的非限制性例子是图 4-图 8中所示的 HSS/AAA设备, 包括接收单 元 91、 鉴权单元 92和发送单元 93。
接收单元 91 接收非 3GPP接入侧 (非 3GPP接入网络或 ePDG )或 PDN-GW在 UE通过 S2c接口接入 EPS网络时发送的鉴权认证请求。 鉴权 单元 92对上述接入进行鉴权认证: 针对非 3GPP接入侧发送的鉴权认证请 求, 鉴权单元判断当前接入是否为可信接入, 并记录可信接入结果与 UE标 识或网络标识或两者一并的对应关系; 针对 PDN-GW发送的鉴权认证请求, 鉴权单元根据配置的策略或接入侧鉴权认证时记录的可信接入结果对应关 系, 判断当前接入是否为可信接入。发送单元 93, 用于根据鉴权单元确定的 是否可信接入结果, 向 PDN-GW发送可信接入信元, 指示是否为可信接入。
本发明实施例在 UE通过 S2c接口由非 3GPP接入网络接入 EPS网络时, 接收 PDN-GW发送的鉴权认证请求, 根据配置的策略或之前对接入侧(非 3GPP接入网络或 ePDG )发起的鉴权请求进行鉴权认证时记录的是否可信接 入的对应关系, 判断当前接入是否为可信接入, 并将可信接入结果发送给 PDN-GW, 从而使得 PDN-GW能够获得当前接入是否为可信接入的信息, 实现 UE从非 3GPP接入网通过 S2c接口接入 EPS网络时, 正确建立 S2c隧 道数据安全通道。
在一个实施例中, 鉴权单元 92根据配置的策略判定当前接入是否为可 信接入时,判定的方法可以为:根据鉴权认证请求消息中的接入网络标识(漫 游场景下还需要拜访地网络标识), 查询配置的策略确定当前接入网络的可 信关系。 若鉴权认证请求消息中不包括接入网标识, 需要根据接入类型标识 构造接入网络标识。 具体为: 接入类型一般是整数类型的表示方法, 如 0表
示 WLAN, 2001表示 HRPD等。 接入网络前缀即为 "WLAN", "HRPD" 这样的字符串, 鉴权单元 92根据接入类型, 查表得知接入类型的整数对应 的具体接入类型描述, 用字符串表示, 作为接入网络标识的前缀。 接入网络 标识除前缀之外的附加字符串可以没有, 或者生成规则由 AAA服务器自己 决定。 上述策略中包括接入网标识(漫游场景下还需要拜访地网络标识 )与 可信关系的对应关系。
判定方法可以采用如下方式: 查询配置的策略数据表, 找到与接入网络 标识(漫游场景下还需要拜访地网络标识)对应的可信关系, 如可信关系为 可信接入则判定当前接入为可信接入, 可信关系为非可信接入则判定当前接 入为非可信接入。 具体实现时, 也可以采用在策略中仅设置可信接入或非可 信接入中的一种, 如仅设置可信接入的记录, 查询不到相关信息的则为非可 信接入。
在另一个实施例中, 鉴权单元 92对非 3GPP接入侧的鉴权认证请求进 行认证鉴权。 此处的非 3GPP接入侧, 可以是非 3GPP接入网络, 也可以是 ePDG。
当鉴权单元 92对非 3GPP接入网络的鉴权认证请求进行鉴权时, 根据 请求中的参数判断当前的接入为可信接入还是非可信接入, 参数包括以下的 一种或几种:接入网标识 ANID,拜访地网络标识 Visited Network Identity (该 标识仅在漫游场景下需要), 接入类型, 接入网络内使用的安全机制等, 将 是否为可信接入的结果及 UE标识的对应关系存储下来, 也可以把网络标识 及对应关系一并存储。
也可以采用下面的存储方法: 判断当前接入为非 3GPP接入网络接入或 为可信接入, 不存储是否为可信接入的结果与 UE标识、和 /或网络标识的对 应关系。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。
当鉴权单元 92对 ePDG的鉴权认证申请进行鉴权时, 如果没有查询到 当前接入的非可信接入结果与 UE标识和 /或网络标识的存储信息,则此时存 储上述接入的非可信接入结果与 UE标识和 /或网络标识等信息,否则不保存 上述信息。 当然, 也可以采用下面的方法: 不管是否已有当前接入的非可信 接入结果与 UE标识和 /或网络标识的存储信息,均存储当前接入的非可信接
入结果与 UE标识和 /或网络标识。
进一步的, 当鉴权单元 92对接收到的 PDN-GW发送的鉴权认证请求进 行鉴权认证时, 根据请求中的 UE 标识和 /或网络标识, 与前面所述的对非 3GPP接入侧的鉴权认证申请进行鉴权时存储的 UE标识和 /或网络标识与是 否可信接入的对应关系进行比较,如存储的信息表明为可信接入则判定当前 接入为可信接入, 相反的, 如存储的信息为非可信接入则判定当前接入为非 可信接入。
进一步的, 如果没有存储当前接入是否可信接入的信息, 则认为当前接 入为可信接入。
当然, 具体实施时也可以采用下面的方法: 鉴权单元 92也可以在接收 到鉴权认证请求后,直接根据请求中的 UE标识和 /或网络标识与所存储的是 否可信接入对应关系信息进行比较,如没有存储当前接入是否可信接入的信 息, 则认为当前接入为可信接入, 否则为非可信接入。
上述过程中的网络标识包括拜访地网络标识(该标识仅在漫游场景下需 要), 或接入类型, 或接入网标识, 或接入网络内使用的安全机制等信息。。
发送单元 93发送鉴权认证响应消息到 PGW, 其中包括可信关系信元, 取值为 "可信" 或 "非可信", 此时指示为 "可信", 表示当前为可信接入。
因此, 本发明实施例的鉴权认证装置在 UE通过 S2c接口由非 3GPP接 入接入 EPS网络时,扩展了鉴权认证的方法,判定当前接入是否为可信接入, 并将可信接入结果发送给 PDN-GW, 从而使得 PDN-GW 能够在 UE从非 3GPP接入通过 S2c接口接入 EPS网络时,正确建立 S2c隧道数据安全通道。
图 10是才艮据本发明一个实施例的网关的框图。 图 10的网关 100的非限 制性例子是图 4-图 8所示的 PDN-GW, 包括发送单元 1001、 接收单元 1002 和安全联盟 SA建立单元 1003。
发送单元 1001发送鉴权认证请求消息,接收单元 1002接收鉴权认证装 置对鉴权认证请求的响应消息。 安全联盟 SA建立单元 1003根据接收单元 1002接收的响应消息中指示的本次非 3GPP接入的可信关系,建立 S2c隧道 的数据安全通道。
本发明实施例在非 3GPP接入通过 S2c接口接入到 EPS网络时,接收到 鉴权认证装置的鉴权认证请求响应消息中包含有指示本次非 3GPP接入的可 信关系的信息, 安全联盟 SA建立单元 1003根据可信关系消息, 确定 S2c
隧道安全联盟建立方式。 如为可信接入, 则在任意时间可发起与 UE间的子 安全联盟 Child SA的建立过程, 若接收到 UE发起的子安全联盟 Child SA 建立请求, 则接受请求, 建立子安全联盟 Child SA; 如为非可信接入, 不再 发起子安全联盟 Child SA建立过程, 若接收到 UE发送的在安全联盟 Child SA建立请求, 则拒绝, 拒绝的方式可以为: 在子安全联盟 Child SA建立请 求的响应消息中的 Notify Payload 中指示 "NO_ADDITIONAL_SAS" ,或 "NO_Child_SAS",或其它原因值, 表示不再接收子安全联盟 Child SA的建 立。 从而正确建立 S2c隧道数据安全通道。
因此, 本发明实施例的网关装置在 UE通过 S2c接口由非 3GPP接入接 入 EPS网络时,通过接收的鉴权认证消息中包含当前接入可信关系的指示信 息, 从而根据获取的指示信息内容正确建立 S2c隧道数据安全联盟, 使得在 UE从非 3GPP接入通过 S2c接口接入 EPS网络时, 能够保障正确建立 S2c 隧道数据安全通道。 根据本发明实施例的通信系统可包括上述鉴权认证装置 90 和 /或网关
100。 本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各 示例的单元及算法步骤, 能够以电子硬件、 计算机软件或者二者的结合来实 现, 为了清楚地说明硬件和软件的可互换性, 在上述说明中已经按照功能一 般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执 行, 取决于技术方案的特定应用和设计约束条件。 专业技术人员可以对每个 特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超 出本发明的范围。
所属领域的技术人员可以清楚地了解到, 为描述的方便和简洁, 上述描 述的系统、 装置和单元的具体工作过程, 可以参考前述方法实施例中的对应 过程, 在此不再赘述。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的系统、 装置和 方法, 可以通过其它的方式实现。 例如, 以上所描述的装置实施例仅仅是示 意性的, 例如, 所述单元的划分, 仅仅为一种逻辑功能划分, 实际实现时可 以有另外的划分方式, 例如多个单元或组件可以结合或者可以集成到另一个
系统, 或一些特征可以忽略, 或不执行。 另一点, 所显示或讨论的相互之间 的耦合或直接耦合或通信连接可以是通过一些接口, 装置或单元的间接耦合 或通信连接, 可以是电性, 机械或其它的形式。 为单元显示的部件可以是或者也可以不是物理单元, 即可以位于一个地方, 或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或 者全部单元来实现本实施例方案的目的。
另外, 在本发明各个实施例中的各功能单元可以集成在一个处理单元 中, 也可以是各个单元单独物理存在, 也可以两个或两个以上单元集成在一 个单元中。 上述集成的单元既可以采用硬件的形式实现, 也可以采用软件功 能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销 售或使用时, 可以存储在一个计算机可读取存储介质中。 基于这样的理解, 本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方 案的全部或部分可以以软件产品的形式体现出来, 该计算机软件产品存储在 一个存储介质中, 包括若干指令用以使得一台计算机设备(可以是个人计算 机, 服务器, 或者网络设备等)执行本发明各个实施例所述方法的全部或部 分步骤。 而前述的存储介质包括: U盘、 移动硬盘、 只读存储器 (ROM, Read-Only Memory ), 随机存取存储器 ( RAM, Random Access Memory )、 磁碟或者光盘等各种可以存储程序代码的介质。
以上所述, 仅为本发明的具体实施方式, 但本发明的保护范围并不局限 于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围内, 可轻易 想到变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护 范围应所述以权利要求的保护范围为准。