CN105981345A - Wi-fi/分组核心网接入的合法侦听 - Google Patents
Wi-fi/分组核心网接入的合法侦听 Download PDFInfo
- Publication number
- CN105981345A CN105981345A CN201380081293.4A CN201380081293A CN105981345A CN 105981345 A CN105981345 A CN 105981345A CN 201380081293 A CN201380081293 A CN 201380081293A CN 105981345 A CN105981345 A CN 105981345A
- Authority
- CN
- China
- Prior art keywords
- user subject
- identifier
- mac address
- network
- serial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/65—Telephone numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/654—International mobile subscriber identity [IMSI] numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4588—Network directories; Name-to-address mapping containing mobile subscriber information, e.g. home subscriber server [HSS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Abstract
本发明涉及一种由无线接入网的认证单元(300)进行的方法,以允许将连接到无线接入网的用户实体(10)的数据分组会话锚定到移动通信网(20)的分组核心网,用户实体使用接入标识符,接入标识符允许在无线接入网中识别用户实体,其中接入标识符未在移动通信网中用于识别订户。接收请求消息,在其中请求对无线接入网的接入,其中请求消息包含请求用户实体(10)的MAC地址。将MAC地址转换为用作移动订户标识符的数字序列,采用移动订户标识符在移动通信网中识别用户实体;发送接受对分组核心网的接入的响应消息,响应消息包括用作移动订户标识符的数字序列。
Description
技术领域
本发明涉及一种通过用于无线接入网的认证单元以允许连接到无线接入网的用户实体的数字分组会话锚定到移动通信网络的分组核心网的方法。本发明进一步涉及配置为允许数字分组会话的锚定的认证单元以及合法侦听控制单元。
背景技术
合法侦听(LI)是一种由合法当局获得移动通信网络中订户的通信相关数据的方法。世界上许多国家具有合法侦听的性能要求,这使得获得订户或者移动用户实体的诸如信令数据、网络管理信息或内容相关数据是可能的。
此外,已经开发出WI-FI或WLAN接入网与移动通信网络交互,并且在该上下文中边界网络网关BNG被用于向用户提供WLAN卸载的系统,这意味着诸如WLAN的补充网络技术被用于传送原本针对移动通信网络的数据。在用于用户的非无缝WLAN卸载中,用户载荷会话未被锚定到移动通信网络的分组核心网,但被直接从WI-FI接入控制器卸载到边界网络网关BNG。
图1示出用于集成WI-FI解决方案的非无缝WLAN卸载架构的例子。用户实体10可以是在移动通信网络20的订户,但并不必需是订户,用户实体10还连接到WI-FI接入点30,WI-FI接入点30被连接到WI-FI接入控制31和边界网络网关32。提供了用于接入到WI-FI网络的网络门户33。用户可能不得不输入用户名和密码,以访问该WI-FI网络。提供了控制合法监听的合法监听拦截管理系统(LI-IMS)40。提供了WI-FI认证、授权和计费(AAA)单元34。在集成网络结构中,WI-FI的AAA 34被连接到归属位置寄存器HLR 21或归属订户服务器HSS 22。来自诸如因特网50的网络的数据分组会话的数据分组被发送到BNG 32。
对于利用诸如MSISDN(移动站集成服务数字网编号)或IMSI(国际移动订户实体)的3GPP身份连接并认证到WI-FI网络的用户,LI-IMS 40采用这些实体发送针对目标的侦听请求,3GPP身份表示通过移动通信网来识别订户的身份。对于使用任何网络接入标识符NAI(基于RFC4282的数值,例如email ID)连接并认证到WI-FI网络的用户,LI-IMS 40可以使用用户实体的MAC(媒体接入控制)地址、该用户实体的IP地址或者用户名来发送侦听请求。
侦听点是BNG 32以及WI-FI AAA 34。WI-FI AAA将用户设备的MAC地址和用户实体10的IP地址与用户接入该WI-FI网络的实体(非3GPP实体,例如用户名)映射在一起。所述非3GPP实体是未被移动通信网用来识别网络中订户的实体。LI-IMS 40可以基于用户名(例如xxx.yyy@zzz.com)、用户实体的IP地址或者用户实体的MAC地址触发合法侦听。
LI-IMS 40针对用户实体的目标MAC地址、用户实体的IP地址或用户名查看映射Acct会话ID,并发送合法侦听请求至RADIUS客户端(BNG 32)。该情形还在图2a和2b所示的消息交换流程中具体示出。
图2a和2b中所示的不同步骤是自解释性的,并不全部做出详细说明。如步骤26所示,LI-IMS 40将诸如用户名的网络接入标识符与用户实体的MAC地址、IP地址以及Acct(计费)会话ID绑定。当LI-IMS 40的操作者或代理想要执行对于某个用户的合法侦听时,诸如xxx.yyy@zzz.com的电子邮件地址、IP地址或MAC地址被用于识别用户或用户实体以执行合法侦听。LI-IMS 40然后检查管理用户名、IP地址或MAC地址的RADIUS客户端,查找映射的Acct会话ID,并通过发送LI请求至BNG来触发合法侦听,BNG随后确定合法侦听的激活(步骤29-31)。当图1所示的系统被升级时,即当移动通信网被升级并提供分组核心网进而提供分组核心网接入时,用户的数据分组会话从授信无线接入网关TWAG锚定到分组核心,TWAG替代BNG,以允许用户的数据分组会话锚定到分组核心/PDN GW。PDN网关或TWAG随后被用作具有有效载荷知识的侦听点。在LI-IMS中,目标用户必须使用3GPP身份来标识,这意味着在移动通信网络中用于识别订户的身份,例如MSISDN或IMSI、IMEI(国际移动设备识别码),还是可以由LI-IMS用作合法侦听的目标标识符的可能值,但当连接到3GPP TS 23.402中描述的WI-FI网络时,网络IMEI值不由移动用户实体共享。只要用户GTP(通用分组无线电服务隧道协议)针对目标用户在TWAG和PDN网关中建立,或者针对活动的GTP会话开始合法侦听,合法侦听就被启动。在这样的情况下,LI-IMS不能发送LI请求到PDN网关,这是因为用于移动通信网络的移动订户身份必须被使用。因此,在这种情况下,合法侦听是不可能的。
因此,需要一种当移动用户实体使用移动通信网络的分组核心网时以及数据分组会话经由诸如WI-FI网络等无线接入网被传送至移动用户实体时合法侦听的可能性,其中由无线接入网使用由未被移动通信网用来识别用户识别的实体来识别用户实体。
发明内容
这种需要由独立权利要求的特征满足。进一步的实施例在从属权利要求中描述。
根据第一方面,提供了一种方法,由无线接入网的认证单元允许连接到无线接入网的用户实体的数据分组会话锚定到移动通信网的分组核心网,其中用户实体使用接入标识符,允许在无线接入网中识别用户实体,其中接入标识符未在移动通信网中用于识别订户。根据一个步骤,接收请求接入到无线接入网的请求消息,其中该请求消息包括请求的用户实体的MAC地址。所接收的请求消息中的MAC地址随后被转换为数字序列,用作移动订户标识符,采用该标识符,用户实体在移动通信网中被识别。此外,发送接受接入到分组核心网的响应消息,该响应消息包括被用作移动订户标识符的所述数字序列。
由于在认证单元认证用户会话被锚定到分组核心网之前,认证单元知晓用户实体的MAC地址,用户实体的MAC地址可以被用作针对连接到诸如WI-FI网络的无线接入网以及采用具有分组核心网的移动通信网未使用的标识符用于认证的用户的合法侦听的目标实体。
该方法具有优点:不需要针对GTP堆栈修改,因此不需要在TWAG或PDN网关上修改。此外,LI-IMS和PDN网关之间的接口不需要被修改。
请求消息可以从无线接入网关接收,响应消息也可以被发送回无线接入网关。
本发明还涉及一种认证单元,被配置为在上述情形下允许分组数据会话的锚定,该认证单元包括接收机,被配置为接收请求接入到无线接入网的请求,该请求消息包括请求的用户实体的MAC地址。该认证单元包括转换单元,被配置为将所接收的请求消息中的MAC地址转换为数字序列,用于移动订户标识符,采用该标识符在移动通信网中识别该用户实体。此外,提供一种发射机,被配置为传输接受到分组核心网的接入的响应消息,其中该响应消息包括被用作移动订户标识符的所述数字序列。
根据另一方面,提供一种合法侦听控制模块,被配置为收集包含分组核心网的移动通信网络中用户实体的通信数据。该控制模块包括输入单元,被配置用于标识符的输入,采用该标识符来识别用户实体,该用户实体的通信数据应当被收集。该输入单元被配置用于具有用户实体的MAC地址的格式的标识符的输入。该合法侦听控制模块还包括转换单元,被配置为将输入标识符转化为用于移动订户标识符的数字序列,采用该标识符在移动通信网中识别用户实体。该合法侦听控制模块还包括发送,被配置为发送生成的作为移动订户标识符的数字序列到移动通信网的PDN网关。
附图说明
图1示意性图示了当使用BNG作为用于服务接入的网关时用于非无缝WLAN卸载的架构。
图2示出了用于图1所示的实施例的合法侦听情形的信令图。
图3示意性图示了当使用PDN网关作为用于服务接入的网关时,用于用户经由WLAN接入访问分组核心网的网络架构。
图4a和4b示出了用于图示因为在WLAN接入中经由未在用户实体连接的移动接入网中识别订户的标识符识别用户实体而合法侦听失败的信令图。
图5示出了用于图3所示的架构的成功合法侦听的信令图。
图6示出了用于图3的架构的成功合法侦听的另一信令图。
图7示出了不同的指示用于在移动通信网中识别订户的标识符格式的表。
图8示意性图示了一种认证单元,该认证单元将MAC地址转换为在移动通信网中识别用户实体的移动订户标识符。
图9示出了合法侦听控制模块的示意图,该控制模块允许输入用户实体的MAC地址,并将该地址转换为订户标识符。
具体实施方式
在下文中,具体讨论实施例,其中连接到诸如WI-FI网络的无线接入网的用户实体请求数据分组会话,其中在卸载情况下,该数据分组会话被锚定到移动通信网的分组核心网。用户实体使用标识符接入WI-FI网络,该标识符未用于移动通信网的接入网中。因此,无线接入网也被称为非3GPP网络。移动通信网的无线接入部分也被称为3GPP接入网。用于移动通信网中识别订户的标识符在本文以后也被称为3GPP实体。
本发明在合法侦听请求中特别有用,其中应当由合法侦听拦截管理系统(LI-IMS)监视来自或发送至特定用户实体的流量。如将在下文解释的,移动用户的MAC(媒体接入控制)地址为用于每个移动设备或者非移动但是支持WI-FI网络的设备的唯一号码,被转换为用于诸如IMSI(国际移动订户实体)或者MSISDN(移动站集成服务数字网络编号)的移动订户标识符的数字序列。用户实体的MAC地址为WI-FI网络的认证单元知晓,该认证单元是用于WI-FI网络的认证、鉴权和计费(AAA)单元。在MAC地址已知时,认证单元授权用户数据分组会话锚定到分组核心网络。虽然用户实体的MAC地址未经由GTP(通用分组无线服务隧道协议)会话分享至PDN网关,本发明能够帮助LI-LMS系统使用用户实体的MAC地址作为用于连接到WI-FI网络并使用非3GPP实体的用户的合法侦听的目标实体,即,未在蜂窝网络或移动通信中使用的实体来认证到WI-FI网络,随后的会话被锚定到移动通信网的分组核心网。
结合图3,示出了诸如移动用户实体的用户实体经由WLAN网络接入作为分组核心网的演进分组核心的架构,PDN(分组数据网)网关23被用作用于服务接入的网关。
在图3中,图1中所示的单元中相同附图标记的单元对应图1所示的单元,不再赘述。当移动用户实体10通过WI-FI接入点30以及WI-FI接入控制31接入WI-FI网络时,数据分组会话经由PDN网关23被附着于分组核心网。用于在3GPP分组核心中用户设备10的合法侦听基于以下概念:只要目标用户(此处为移动用户实体10)附着到分组核心网,意味着在TWAG(授信无线接入网关)24和PDN网关23之间建立了PDN连接,PDN网关23激活合法侦听请求。移动通信网订户的核心网被移动用户实体使用,该订户使用3GPP身份,例如MSISDN或者IMSI。用于分组核心的LI-LMS 400按以下概念工作:接受如下文将解释的使用3GPP身份。认证单元300提供用于WI-FI网络的认证、鉴权和计费。
接入WI-FI网络的移动用户实体以及使用非3GPP身份接入WI-FI网络的分组核心能够将载荷会话锚定至分组核心,LI-LMS 400将能够监视该会话。在WI-FI解决方案结合分组核心网而使用的实施例中,用户载荷会话从TWAG 24锚定至分组核心。PDN网关23或TWAG 24随后被用于具有载荷知识的拦截点。
用于移动侦听的目标用户需要使用诸如MSISDN或IMSI等3GPP标识符识别。IMEI(国际移动设备标识)也是可以被LI-IMS 400用作分组核心合法侦听的目标标识符的可能值,但是当连接到尤其在3GPP TS23.402中描述的WI-FI网络时,IMEI值不被用户实体10所共享。只要在用于目标用户的TWAG 24和PDN网关23之间建立了用户GTP会话,就开始合法侦听。
为了更好理解本发明,我们首先会解释一个实施例,其中对于使用未在蜂窝网络中使用的WI-FI网络的标识符,即非3GPP标识符的移动用户是不能合法侦听的。该实施例结合图4a和4b讨论。在图5和6中,解决方案被更加具体解释,这对于使用非3GPP标识符经由WI-FI接入网接入分组核心网的用户实体成功地进行合法侦听有帮助。
在图4a的步骤1中,用户实体发送服务集标识符(SSID)请求至WI-FI接入点30,其中请求认证和关联,该服务集描述了再诸如WI-FI或WLAN(无线局域网)等无线网络中的用户实体10。在步骤2中,响应消息从该接入点发送回用户实体。在步骤3中,用户然后针对包括用户实体的MAC地址的TWAG开始DHCP(动态主机配置协议)。在步骤4中,TWAG 24采用包括提供给用户实体的IP地址的DHCP提供响应。在步骤5中,用户实体发送DHCP请求至包括用户实体的MAC地址和被提供给用户实体4的IP地址的TWAG24,TWAG 24采用最终分配给该用户实体的IP地址确认该请求(步骤6)。
在步骤7中,用户实体发送针对某网站的请求至TWAG,该TWAG响应以重定向消息,将用户实体2重定向到WI-FI网络的登录网络门户(步骤8)。登录网络门户实体在浏览器中呈现给用户。在步骤9中由用户实体输入的登陆数据从TWAG 24引导至网络门户(步骤10)。随后在步骤11中,网页被发送至用户实体,用户实体输入用户名,例如网络接入标识符(NAI)或电子邮件地址以及密码,IP地址也可以被发送至网页(步骤12)。网络门户发送具有重定向URL的重定向消息至用户实体(步骤13)。在步骤14,用户实体输入用户名和密码,该信息被发送至TWAG 24。TWAG面向WI-FI认证单元发起RADIUS介入请求,包括用户名、密码以及作为呼叫站ID的用户实体的MAC地址以及用户实体的IP地址。如步骤16所指示的,WI-FI AAA将MAC地址和IP地址与实体的用户名映射,并使用随机IMSI和MSISDN增加针对EPC接入的卸载指示。在步骤17中,WI-FI AAA 300通知TWAG,该接入请求被接受,包括随机选择的MSISDN和随机选择的IMSI。
在步骤18,GTP(通用分组无线服务隧道协议)会话请求被发送至PDN网关23,后者在步骤19中答复会话响应消息,在步骤20中该消息被重定向至用户实体。在步骤21中,用户实体查询URL。在步骤22中,WI-FI控制可以执行其在步骤6-8中的IP地址相对于在步骤22中由PDN网关提供的IP地址的转换。可替代地,接入控制和PDN网关还可以请求来自AAA单元的IP地址,从而它们返回同样的IP地址。在步骤23中,所请求的URL被发送至PDN网关,其随后接入网络服务器(步骤23和24)。在步骤25和26中,合法侦听发生,但是LI-IMS不能发送合法侦听请求至PDN网关,因为3GPP身份需要被用于LI-IMS中,以及未被蜂窝网络使用的标识符先前被该用户使用。
在结合图5a-5c描述的第一场景下具体讨论用于这一问题的解决方案。在该实施例中,用户实体的用户名和密码是已知的,用户实体已经具备IP地址。
结合图6a-6c,讨论了用户实体还未输入用户名或密码以及IP地址还未分配至用户实体的实施例。
在两个实施例中,认证单元400会将已知的MAC地址转换为,用于移动订户标识符的数字序列,采用该标识符,可以在移动通信网络中识别用户实体。在两个实施例中,LI-IMS400的操作者能够使用该用户实体的MAC地址执行合法侦听。如图5a的步骤1可见的,LI-IMS接收MAC地址请求,LI-IMS系统能够通过移除MAC地址中的定界符并由操作者将MAC地址的十六进制数值转换为十进制值,将MAC地址转换为MSISDN或IMSI。LI-IMS 400随后采用该十进制值作为目标MSISDN或IMSI数值,以发送合法侦听请求至PDN网关。如在步骤2可见的,带有被转换为MSISDN或IMSI的MAC地址的合法侦听请求被发送至PDN网关。
在图5b所示的实施例中,步骤3-17对应结合图4a描述的步骤1-15,此处不再赘述。参看步骤16,当TWAG获得来自UE的具有用户名和密码的HTTP消息时,TWAG面向认证单元WI-FF AAA来认证该用户。用户实体的MAC地址通过TWAG与WI-FI AAA分享,采用例如步骤17所示的呼叫站ID等RADIUS属性的标准。当认证单元300在步骤18中基于用户在步骤14中已经在网络门户上输入的用户名认证该用户时,认证单元AAA授权用户的载荷锚定到分组核心。作为该认证的一部分,认证单元300替代在用户名RADIUS属性中增加随机IMSI以及随机MSISDN,增加UE MAC地址作为MSISDN和IMSI值。如步骤18所示的,WI-FIAAA将MAC地址和IP地址与用户名相映射。认证单元还增加用于分组核心接入的卸载提示,MAC地址被用作IMS和MSISDN。此外,添加被强制用于GTP会话建立的系统宽的GTP隧道数据子属性。针对转换,认证单元移除MAC地址的定界符,将十六进制值转换为十进制值,该十进制值被用作IMSI和MSISDN。
图5b中的步骤19-21对应图4b的步骤17-19。在步骤22中,PDN网关通知LI-IMS LI激活,包括被转换为MSISDN或IMSI的MAC地址。步骤23和24对应于图4b的步骤20和21。
步骤25对应于图4b的步骤22,步骤26和27对应于图4b的步骤23和24。
综上,采用MAC地址到3GPP标识符的转换,从图5a-5c可以推断出的是,采用非3GPP身份接入WI-FI网络的移动用户实体能够被监视,合法侦听能够被成功执行。
在上述实施例中,网络门户认证被用于授权用户经由WLAN连接到核心网。然而,可以使用其他任何的方法,其可以不包括用户输入的3GPP身份,其中用户实体的MAC地址可以被用来识别分组核心中的用户实体。此外,这些认证方法可以包括EAP-TLS(扩展认证协议-传输层安全)、EAP-TTLS(扩展认证协议-隧道传输层安全)、EAP-PEAP(扩展认证协议-保护扩展认证协议)。
根据图5a-5c的上述讨论,能够归纳出一些通用特征。例如,如步骤15可见的,除MAC地址外,所接收的请求消息包括用户实体的认证。在下文描述的另一实施例中,所接收的请求消息是请求用户实体认证的认证请求。
此外,在一个实施例中,将MAC地址转换为数字序列的步骤包括,在MAC地址被转换为位之前移除MAC地址中包含的定界符的步骤。另外,转换步骤可以包括将包含于MAC地址中的十六进制值转换为包含于数字序列中的十进制值的步骤。
此外,可以推断,由认证单元在响应消息中发送数字序列,WI-FIAAA作为用户实体的IMSI以及作为用户实体的MSISDN。
在另一个实施例中,卸载指示符被添加到发送的响应消息中是可能的,卸载指示符指示卸载情形,在所述卸载情形中可能经由移动通信网的接入网络被传输至用户实体的数据分组会话通过无线接入网(此处为WI-FI网络)发送至用户实体。
此外,可以从上述讨论推断,请求消息从无线接入网关接收,其中该响应消息被发送回该无线接入网关。
在下文结合图6讨论的流程中,TWAG在DHCP消息中发送未知的MAC地址,其触发针对WI-FI接入网络的认证单元的RADIUS认证请求。在该认证请求中,采用例如呼叫站ID的任何标准的RADIUS属性。由TWAG分享用户实体的MAC地址给认证单元。由于认证单元的默认行为是锚定所有会话至分组核心,WI-FI AAA添加IMSI和MSISDN与写在只是和GTP隧道数据一起,以通知TWAG建立GTP会话。由于MAC地址是未知的,WI-FI AAA加入UE的MAC地址以及用户名的RADIUS属性来仿真IMSI,以及在可计费用户实体RADIUS属性中增加仿真MSISDN的MAC地址,而不是加入随机IMSI或者随机的MSISDN值。
具体参看图6a,步骤1-4对应于图5a的步骤1-4。
在图6a的步骤5中,用户设备发送DHCP发现消息至TWAG,该消息包括MAC地址。TWAG检测该地址为未知的MAC地址,并触发RADIUS认证请求至WI-FI AAA(步骤6)。AAA随后得到位置MAC地址,并增加用于演进分组核心接入的卸载指示。另外,它使用用户实体(UE)的MAC地址作为IMSI和MSISDN,并加入强制用于GTP会话建立的系统宽的GTP隧道数据子属性。为了生成MSISDN或IMSI,MAC地址的定界符被移除,十六进制值被转换为十进制值(步骤7)。
在步骤8中,认证单元通知TWAG包含转换的UE MAC的接入请求被接受。在步骤9和10,包含作为IMSI和MSISDN的MAC地址的会话请求消息从TWAG经PDN网关被发送至认证单元。在步骤11中,认证单元检测到未知订户,进而在步骤12中发送接入控制规则至PDN网关以应用于重定向。在步骤13中,PDN网关从其内部池或者经由外部服务器分配IP地址,并在步骤14中发送计费请求RADIUS消息至WI-FI AAA。
在步骤15中,WI-FI AAA还获得分配至MSISDN或IMSI的IP地址,并在步骤16中发送计费响应至PDN网关,在步骤17中,GTP会话响应被发送至TWAG。PDN网关随后通知LI-IMS,包含转换的数字序列的LI激活,其中MAC地址被转换为允许识别在移动通信网络中的用户实体的标识符。
步骤19-22对应于图4a的步骤4-7。在步骤23,请求的URL从TWAG发送至PDN网关,PDN网关在步骤24回复重定向消息。在步骤25,PDN网关发送HTTP重定向消息302至TWAG,其随后被发送至用户实体。在步骤26,用户实体查询该URL,在步骤27和28中,该URL从TWAG发送至网络门户。在步骤29,网络门户登录随后呈现给用户,用户实体/用户输入用户名和密码(步骤30)。在步骤31,用户名和密码以及IP地址从门户网站发送至WI-FI AAA。AAA服务器激活RADIUS CoA(鉴权变化)请求至网关,在步骤33,该门户发送HTTP 302重定向消息至网关,随后在步骤34其被转发至TWAG,在步骤35被转发至用户实体。在步骤36中,URL由用户实体查询,在步骤37和38中该URL被发送至门户网站。此外,在步骤39,所请求的URL被输入并发送至TWAG,TWAG随后发送该请求至PDN网关,从该PDN网关处,其被发送至外部网络服务器(步骤40和41)。如上所示,即使在TWAG发现未知MAC地址时,合法侦听是可行的。
在图7中,具体讨论了转换MAC地址至IMSI或MSISDN。在3GPP TS23.003中定义的IMSI格式在图7的上部表中示出,IMSI的十进制值具有15个数字。在3GPP TS23.003中特定的MSISDN格式在图7的中部的表中示出,同样具有15个数字。
IEEE 802-2001定义的MAC地址的格式包含18个数字的十进制值(在使用定界符时)。然而,当MAC地址的定界符即FFFFFFFFFFFF被移除时,MAC地址可以具有的最大十进制值是28174976710655,当其十六进制值被转换为十进制时,其为15个数字。
从而,如果WI-FI AAA可以使用没有定界符的MAC地址,并将其转换为十进制值,并将所转换的值作为IMSI加入到用户名RADIUS属性以及作为MSISDN加入到可计费用户实体RADIUS属性中,TWAG仍然会发现WI-FI AAA 300所提供的MSISDN和IMSI。GTP会话会在TWAG 24和PDN网关23之间成功建立,分组核心会具有真实的身份,其与UE关联,并不是任何随机生成的IMSI和MSISDN值。操作者可以基于MAC地址接受目标标识符,并将没有定界符的MAC地址转换为十进制值(手动或者经过集成到LI-IMS中的工具)。LI-IMS系统随后能够基于MSISDN或IMSI触发面向PDN网关的合法侦听,而不需要请求任何附件的标识符支持。分组核心能够基于从LI-IMS系统接收的IMSI或MSISDN值激活合法侦听。
可能存在转换的MAC十进制值与操作者的IMSI或MSISDN十进制值范围交叉的情况。这可能导致系统触发针对非意向目标的合法侦听。有两种能够解决该问题的主要的不同方法。
解决该问题的一种方法是在AAA中增加逻辑,例如在AAA后,在转换单元到LI-IMS或者LI-IMS的转换单元增加以下特征:如果认证单元发现匹配预定的IMSI或MSISDN范围的任何MAC地址,它可以增加超过最大MAC十进制值281474976710655的MAC值,但是当然其不会与操作者的IMSI或MSISDN交叉。
例如,操作者的真实的IMSI系列是100000000000000到300000000000000,操作者的MSISDN系列是120000000000到180000000000。转换的MAC返回值112233445566778,其与真实的MSI系列交叉。在该情况下,AAA以系数200000000000000增大转换的MAC的值,其将转换的MAC的值改变为312233445566778。也可以在工具中实现同样的行为,该工具输入LI-IMS中的目标标识符。类似地,对于与真实的MSISDN系列交叉的MAC,AAA和LI-IMS输入工具可以对MAC地址增大系数500000000000000,其同样会大于增大的MAC值的数值(当其与IMSI系列交叉时)。
在该实施例中,认证单元的转换单元可以被配置为检查数字序列是否具有位于预定数值范围的值。如果存在这一情况,转换单元按该方式改变数字序列,从而改变后的数值序列的值位于预定数值范围以外。
解决这一问题的另一方法是,如果LI-IMS系统针对同一对象发送多个合法侦听身份,在真实IMSI和MSISDN之间是容易区分的。在仿真的IMSI和MSISDN的情况下,十进制值会保持相同,而在真实的IMSI和MSISDN情况下,十进制值大多会不同。
从而,如果PDN网关接收到MSISDN值为123456789以及IMSI值为11223344556677的LI请求,能够轻易从LI请求中区分其同时具有用于IMSI和MSISDN的11223344556677。只有LI-IMS系统提供的3GPP身份值匹配IMSI和MSISDN二者时,PDN网关会激活LI。
结合图8会更具体讨论认证单元WI-FI AAA 300。认证单元包括处理单元310,其可以被用来控制整个认证单元的功能。图8所示的认证单元被配置为将MAC地址转换为网络标识符,采用该标识符用户实体可以如上文所述在移动通信网络中被识别。认证单元包括输入/输出单元320,其可以是用于与其他节点或设备通信的设备接口。使用输入/输出单元320,认证单元被使能以传送数据至由传输321符号化的其他实体,输入/输出单元包括接收器322,被配置为从外部的认证单元接收消息。
提供转换单元330,其将MAC地址转换为数值序列,其随后被用作IMSI和/或MSISDN。转换单元330还具有存储单元或存储器340。存储单元340可以具有只读存储器、ROM、RAM、DRAM或SRAM以及大容量存储器等。存储单元340可以包括被适当配置的程序代码,以由处理单元310执行以实现上述功能。
图9示出了LI-IMS 400的示意图。它包括输入单元,经由该输入单元LI-IMS的代理能够输入MAC地址。LI-IMS 400包括转换单元420,它能够将MAC地址转换为IMSI值或MSISDN值。提供输入/输出单元430,其包括用来发送数据至其他实体的发射机431以及被配置为接收来自其他实体的接收机432。例如,LI-IMS可以发送作为目标IMSI或MSISDN的转换MAC以及LI请求至不同的PDN网关。
应当理解,图8和9中图示的结构仅为示意性的,所示的节点实际上可以包括更多组件,为了清楚起见未被示出。此外,图8和9中的不同功能特征可以由软件、硬件或软件和硬件的组合而并入。
上述特征可以用于给定的上下文中。然而,应当理解,上述特征的每一个可以结合任何其他特征而使用,或者可以被单独使用。
上文讨论的方案具有几个优点。首先,所建议的解决方案不需要修改GTP堆栈,从而,不需要在TWAG或PDN网关中的修改。此外,在上文讨论的方案中,不需要在LI-IMS和PDN网关之间对接。另一个优点是,使用MAC地址作为LI目标标识符的操作者能够继续使用同一标识符用于非3GPP WI-FI用户,即使非3GPP用户载荷会话被锚定到分组核心。
Claims (16)
1.一种由无线接入网的认证单元(300)进行的方法,以允许将连接到所述无线接入网的用户实体(10)的数据分组会话锚定到移动通信网(20)的分组核心网,所述用户实体使用接入标识符,所述接入标识符允许在所述无线接入网中识别所述用户实体,其中所述接入标识符未在所述移动通信网中用于识别订户,所述方法包括步骤:
-接收请求消息,在其中请求对所述无线接入网的接入,其中所述请求消息包含请求用户实体(10)的MAC地址;
-将所接收的请求消息中的所述MAC地址转换为用作移动订户标识符的数字序列,采用所述移动订户标识符在所述移动通信网中识别所述用户实体;
-发送接受对所述分组核心网的接入的响应消息,所述响应消息包括用作所述移动订户标识符的所述数字序列。
2.根据权利要求1所述的方法,其中,转换所述MAC地址的步骤包括:在将所述MAC地址转换为所述数字序列之前,移除包含于所述MAC地址中的定界符的步骤。
3.根据权利要求1或2所述的方法,其中,转换所述MAC地址的步骤包括:将包含于所述MAC地址中的十六进制值转换为包含于所述数字序列中的十进制值的步骤。
4.根据前述权利要求中的任一项所述的方法,其中,所述数字序列包含15个数字。
5.根据前述权利要求中的任一项所述的方法,其中,所述认证单元在所述响应消息中作为所述用户实体(10)的IMSI以及作为所述用户实体(10)的MSISDN传送所述数字序列。
6.根据前述权利要求中的任一项所述的方法,进一步包括步骤:添加卸载指示符至所传输的响应消息,所述卸载指示符指示卸载情形,在所述卸载情形中通过所述无线接入网将能够经由所述移动通信网的接入网传输至所述用户实体的数据分组会话传输至所述用户实体。
7.根据前述权利要求中的任一项所述的方法,其中不仅是所述MAC地址,所接收的请求消息还包含所述用户实体的认证。
8.根据权利要求1到6中的任一项所述的方法,其中,所接收的请求消息是请求所述用户实体的认证的认证请求。
9.根据前述权利要求中的任一项所述的方法,其中所述无线接入网是WI-FI网络。
10.根据前述权利要求中的任一项所述的方法,其中从无线接入网关(24)接收所述请求消息,将所述响应消息传送回所述无线接入网关(24)。
11.一种认证单元(300),配置成允许将连接到无线接入网的用户实体(10)的数据分组会话锚定到移动通信网(20)的分组核心网,所述用户实体使用接入标识符,所述接入标识符允许在所述无线接入网中识别所述用户实体,其中所述接入标识符未在所述移动通信网(20)中用于识别订户,所述认证单元包括:
-接收机(322),配置成接收请求,在其中请求对所述无线接入网的接入,其中所述请求消息包含请求用户实体(10)的MAC地址;
-转换单元(330),配置成将所接收的请求中的所述MAC地址转换为用作移动订户标识符的数字序列,采用所述移动订户标识符在所述移动通信网(20)中识别所述用户实体(10);
-发射机(321),配置成发送接受对所述分组核心网的接入的响应消息,所述响应消息包括用作移动订户标识符的所述数字序列。
12.根据权利要求11所述的认证单元,其中所述转换单元(330)配置成在其将所述MAC地址转换为所述数字序列之前移除包含于所述MAC地址中的定界符。
13.根据权利要求11或12所述的认证单元,其中所述转换单元(330)配置成将包含于所述MAC地址中的十六进制值转换为包含于所述数字序列中的十进制值。
14.根据权利要求11到13中的任一项所述的认证单元,其中,所述转换单元(330)配置成将所生成的数字序列用作所述用户实体的IMSI以及用作所述用户实体的MSISDN。
15.根据权利要求11到14中的任一项所述的认证单元,其中,所述转换单元(330)配置成检查所述数字序列是否具有位于预定值范围内的值,其中,如果是该情形,则所述转换单元改变所述数字序列,以使得经改变的数字序列的值位于所述预定值范围之外。
16.一种合法侦听控制模块(400),配置成收集移动通信网中的用户实体的通信数据,所述移动通信网包括分组核心网,所述控制模块包括:
-输入单元(410),配置成用于标识符的输入,采用所述标识符来识别用户实体(10),应当收集所述用户实体(10)的所述通信数据,其中所述输入单元(410)配置成用于具有所述用户实体(10)的MAC地址的格式的标识符的输入;
-转换单元(420),配置成将输入的标识符转换为用作移动订户标识符的数字序列,采用所述移动订户标识符在所述移动通信网(20)中识别所述用户实体(10);
-发射机(431),配置成将所生成的数字序列作为移动订户标识符传输至所述移动通信网的所有PDN网关。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2013/070268 WO2015043665A1 (en) | 2013-09-27 | 2013-09-27 | Lawful interception in a wi-fi / packet core network access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105981345A true CN105981345A (zh) | 2016-09-28 |
| CN105981345B CN105981345B (zh) | 2019-06-18 |
Family
ID=49263313
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380081293.4A Active CN105981345B (zh) | 2013-09-27 | 2013-09-27 | Wi-fi/分组核心网接入的合法侦听 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10033769B2 (zh) |
| EP (1) | EP3050270B1 (zh) |
| CN (1) | CN105981345B (zh) |
| WO (1) | WO2015043665A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110383792A (zh) * | 2017-01-25 | 2019-10-25 | 阿弗梅德网络公司 | 通过多包处理核心对无线订户包处理的负载平衡 |
| CN113330763A (zh) * | 2019-01-15 | 2021-08-31 | 艾锐势有限责任公司 | 站的唯一标识符的改进处理 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10367853B2 (en) * | 2014-07-25 | 2019-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and entity in a LI system for positioning of a target connected to a Wi-Fi network |
| US9921715B2 (en) * | 2015-02-26 | 2018-03-20 | Red Hat, Inc. | Visual representation of network-discovered components |
| EP3139646A1 (en) * | 2015-09-03 | 2017-03-08 | Alcatel Lucent | Methods, apparatuses and computer programs for providing a user plane address |
| CN106921636B (zh) * | 2015-12-28 | 2020-05-08 | 华为技术有限公司 | 身份认证方法及装置 |
| US10187917B2 (en) * | 2016-08-22 | 2019-01-22 | Nokia Of America Corporation | Generation of mobile session identifier for neutral host network |
| US11356931B2 (en) * | 2016-10-20 | 2022-06-07 | T-Mobile Usa, Inc. | WLAN assisted cellular network discovery and selection |
| CN111182652B (zh) * | 2018-11-09 | 2023-12-01 | 北京三星通信技术研究有限公司 | 网络连接方法、相应的装置和电子设备 |
| US11284459B2 (en) * | 2020-05-29 | 2022-03-22 | Ibasis, Inc. | Data access security |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| US20070014282A1 (en) * | 2005-07-18 | 2007-01-18 | Don Mitchell | Integrated services user part (ISUP) /session initiation protocol (SIP) gateway for unlicensed mobile access (UMA) emergency services call flow |
| CN101909275A (zh) * | 2009-06-05 | 2010-12-08 | 华为技术有限公司 | 一种信息同步方法及通讯系统以及相关设备 |
| CN101919299A (zh) * | 2007-12-27 | 2010-12-15 | 爱立信电话股份有限公司 | 到一个apn(接入点名称)的多个pdn(分组数据网络)连接性 |
| CN103024876A (zh) * | 2011-09-27 | 2013-04-03 | 华为技术有限公司 | 接入控制方法、网关及系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006034399A2 (en) * | 2004-09-21 | 2006-03-30 | Snapin Software Inc. | Secure software execution such as for use with a cell phone or mobile device |
| KR100670005B1 (ko) * | 2005-02-23 | 2007-01-19 | 삼성전자주식회사 | 모바일 플랫폼을 위한 메모리의 무결성을 원격으로 확인하는 확인장치 및 그 시스템 그리고 무결성 확인 방법 |
| WO2007108660A1 (en) * | 2006-03-22 | 2007-09-27 | Lg Electronics Inc. | Asymmetric cryptography for wireless systems |
| KR101481558B1 (ko) * | 2007-10-18 | 2015-01-13 | 엘지전자 주식회사 | 이기종 무선접속망간 보안연계 설정 방법 |
| EP2673999B1 (en) * | 2011-02-09 | 2014-11-26 | Andrew LLC | Method for improving the location determination using proximity information |
| US9380495B2 (en) * | 2011-12-13 | 2016-06-28 | Lg Electronics Inc. | Method for data offloading in wireless communication system, and device for same |
| US9264898B2 (en) | 2012-04-26 | 2016-02-16 | Juniper Networks, Inc. | Non-mobile authentication for mobile network gateway connectivity |
| US9800581B2 (en) * | 2014-03-14 | 2017-10-24 | Cable Television Laboratories, Inc. | Automated wireless device provisioning and authentication |
| JP6420176B2 (ja) * | 2015-02-26 | 2018-11-07 | ルネサスエレクトロニクス株式会社 | 通信システムおよび通信装置 |
-
2013
- 2013-09-27 WO PCT/EP2013/070268 patent/WO2015043665A1/en active Application Filing
- 2013-09-27 US US15/024,586 patent/US10033769B2/en active Active
- 2013-09-27 CN CN201380081293.4A patent/CN105981345B/zh active Active
- 2013-09-27 EP EP13770684.2A patent/EP3050270B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| US20070014282A1 (en) * | 2005-07-18 | 2007-01-18 | Don Mitchell | Integrated services user part (ISUP) /session initiation protocol (SIP) gateway for unlicensed mobile access (UMA) emergency services call flow |
| CN101919299A (zh) * | 2007-12-27 | 2010-12-15 | 爱立信电话股份有限公司 | 到一个apn(接入点名称)的多个pdn(分组数据网络)连接性 |
| CN101909275A (zh) * | 2009-06-05 | 2010-12-08 | 华为技术有限公司 | 一种信息同步方法及通讯系统以及相关设备 |
| CN103024876A (zh) * | 2011-09-27 | 2013-04-03 | 华为技术有限公司 | 接入控制方法、网关及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 3GPP STANDARD;3GPP TS 29.234: "《3GPP TS 29.234 V9.4.1》", 《3RD GENERATION PARTNERSHIP PROJECT;TECHNICAL SPECIFICATION GROUP CORE NETWORK AND TERMINALS;3GPP SYSTEM TO WIRELESS LOCAL AREA NETWORK(WLAN) INTERWORKING;STAGE 3(RELEASE 9)》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110383792A (zh) * | 2017-01-25 | 2019-10-25 | 阿弗梅德网络公司 | 通过多包处理核心对无线订户包处理的负载平衡 |
| CN110383792B (zh) * | 2017-01-25 | 2022-05-24 | 微软技术许可有限责任公司 | 通信系统中的计算系统和方法 |
| CN113330763A (zh) * | 2019-01-15 | 2021-08-31 | 艾锐势有限责任公司 | 站的唯一标识符的改进处理 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160241600A1 (en) | 2016-08-18 |
| EP3050270B1 (en) | 2019-04-03 |
| EP3050270A1 (en) | 2016-08-03 |
| CN105981345B (zh) | 2019-06-18 |
| WO2015043665A1 (en) | 2015-04-02 |
| US10033769B2 (en) | 2018-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105981345A (zh) | Wi-fi/分组核心网接入的合法侦听 | |
| EP3557898B1 (en) | Authorisation verification method and apparatus | |
| CN111295867B (zh) | 用于使用认证验证时间段的方法、系统和计算机可读介质 | |
| EP2850852B1 (en) | Method and apparatus for associating service provider network identifiers with access network identifiers | |
| US9591560B2 (en) | Temporary credential assignment when connecting to roaming wireless networks | |
| JP2020527914A (ja) | ネットワークセキュリティ管理方法および装置 | |
| US20130189955A1 (en) | Method for context establishment in telecommunication networks | |
| JP2013527673A (ja) | 通信デバイスを認証するための方法および装置 | |
| CN104521210B (zh) | 网络辅助的邻近服务会话管理 | |
| US9521077B2 (en) | Network connection via a proxy device using a generic access point name | |
| US20220272607A1 (en) | Network Access Method and Communication Apparatus | |
| CN102695236B (zh) | 一种数据路由方法及系统 | |
| WO2016161832A1 (zh) | 一种通过托管sim卡实现移动通信的系统及相应的方法 | |
| WO2017147772A1 (zh) | 一种消息传输方法及核心网接口设备 | |
| US20190380060A1 (en) | SYSTEMS AND METHODS FOR APN BASED CoS AND QoS CONTROL FOR NETWORK SERVICES | |
| US9713176B2 (en) | Telecommunication method and telecommunication system | |
| EP2946575B1 (en) | Scalable addressing of machine-to-machine terminals in communication networks | |
| JP2017528074A5 (zh) | ||
| WO2018137152A1 (zh) | 短消息传输方法、设备和系统 | |
| EP4022956A1 (en) | Amf re-allocation solution with network slice isolation | |
| CN116723507B (zh) | 针对边缘网络的终端安全方法及装置 | |
| EP3373621B1 (en) | Roaming solution | |
| CN110178350B (zh) | 用于用户装备类型的增强型检测的方法 | |
| EP3046312A1 (en) | Method and device for processing identification information | |
| EP2244497A1 (en) | Radio communication system and authentication processing unit selecting method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |