CN106304056A - 一种设备标识的检查方法及系统、设备 - Google Patents
一种设备标识的检查方法及系统、设备 Download PDFInfo
- Publication number
- CN106304056A CN106304056A CN201510254743.6A CN201510254743A CN106304056A CN 106304056 A CN106304056 A CN 106304056A CN 201510254743 A CN201510254743 A CN 201510254743A CN 106304056 A CN106304056 A CN 106304056A
- Authority
- CN
- China
- Prior art keywords
- identification information
- eir
- twan
- message
- sends
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种设备标识的检查方法及系统、设备,其中,该方法包括:当WLAN接入网络为信任的WLAN接入网TWAN,所述TWAN将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;所述TWAN接收所述EIR发送的检查结果;所述TWAN根据所述检查结果对所述UE进行EPC接入流程。
Description
技术领域
本发明涉及通信中的移动设备国际识别码的检查,尤其涉及一种设备标识的检查方法及系统、设备。
背景技术
移动设备国际识别码(IMEI,International Mobile Equipment Identity,又称为国际移动设备标识)是手机用户设备的唯一识别号码。设备标识寄存器(EIR,Equipment Identity Register)是移动网络系统中的一个逻辑实体,用于保存移动网络中的设备的IMEI状态信息。EIR可以将设备的标识分类到白名单、灰名单和黑名单。一般来说,每个EIR上至少要包含设备的白名单;有些设备对于EIR来说也可能是未知设备,这些未知设备可能属于灰名单中。黑名单也非常重要,例如移动运营商可以在网络中部署EIR实现对用户设备状态的监控,比如通过设置黑名单来追踪失窃设备等。
在现有技术中,EIR与第三代合作伙伴计划(3GPP,3rd GenerationPartnership Project)中网元之间都有接口,例如EIR与移动管理实体(MME,Mobility Management Entity)之间具有接口,EIR与服务GPRS支持节点(SGSN,Serving GPRS Support Node,其中GPRS为通用分组无线服务技术(GeneralPacket Radio Service))之间也具有接口,EIR与移动业务交换中心(MSC,Mobile-services Switching Centre)之间也具有接口。其中,EIR与MME之间的接口是S13接口(参见图1),EIR与SGSN之间的接口是Gf接口,EIR与MSC之间的接口是F接口。MME、SGSN和MSC通过与RIR之间的这些接口将IMEI信息发送到EIR,然后EIR检查检查设备的IMEI信息。
上述现有技术都是针对3GPP接入网络的接入控制相关的网元,将接入3GPP的设备的IMEI信息发送到EIR进行检查检查,EIR将收到的IMEI信息与白名单、黑名单、灰名单三种名单进行比较,把比较结果发送给MME或SGSN或MSC,以便这些接入控制网元决定是否允许该移动设备进入网络;因此,如果该设备使用的是失窃的手机或者有故障未经型号认证的移动用户设备,那么接入控制网元将据此确定被盗设备的位置并将其阻断和追踪,对故障移动设备也能采取及时的防范措施。
随着无线局域网络(WLAN,Wireless Local Area Networks)接入技术的日益成熟,以及用户对高速无线接入网络的需求,国内外运营商都在大力发展WLAN业务。演进分组系统(EPS,Evolved Packet System)支持通过S2a/S2b/S2c接口实现与非3GPP网络的互通,其中非3GPP网络例如WLAN。非3GPP网络包括可信任的非3GPP网络和非信任的非3GPP网络,所以WLAN接入网到3GPP演进分组核心网(EPC,Evolved Packet Core Network)也分为信任的WLAN接入网(TWAN,trusted WLAN access network)和非信任的WLAN接入网(untrusted WLAN access network)。信任的WLAN接入网可直接通过S2a接口与分组数据网络网关(PDN GW,Packet Data Network Gateway)连接;非信任的WLAN接入网要经过(ePDG,Evolved Packet Data Gateway,演进分组数据网关)与PDN GW相连,ePDG与PDN GW间的接口为S2b。其中,在信任的WLAN接入场景下,用户设备(UE,User Equipment)建立运行PDN连接分为三种模式:
(1)透明单连接模式。即第11版本(Rel-11,Release 11)支持的对用户设备没有影响的WLAN接入EPC,用户设备通过WLAN网络只能建立单条分组数据连接,且不支持用户设备在WLAN接入网和3GPP接入网之间进行分组数据连接的切换。这条数据连接可以是到EPC的分组数据连接,也可以是从WLAN网络直接连到数据网络的NSWO(Non-seamless WLAN offload)连接。
(2)单连接模式。该模式支持UE在TWAN建立连接但仅支持建立单条PDN连接,并且支持在WLAN和3GPP之间进行分组数据网络连接的切换。
(3)多连接模式。该模式支持UE在TWAN建立多条PDN连接,并且支持在WLAN和3GPP之间进行分组数据网络连接的切换。
WLAN接入是3GPP分组数据业务的重要补充接入手段,在一些特定的环境下,通过部署WLAN,用户设备可以由WLAN接入到EPC使用相关业务,比如运营商的IMS业务、紧急呼叫业务等。然而,目前在WLAN接入还无法支持对用户IMEI的检查,运营商对于这类非法设备的监控在WLAN场景下无法实现。
发明内容
有鉴于此,本发明实施例为解决现有技术中存在的至少一个问题而提供一种设备标识的检查方法及系统、设备,能够在WLAN接入场景下实现对UE的标识信息的检查。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种设备标识的检查方法,所述方法包括:
当WLAN接入网络为信任的WLAN接入网TWAN,所述TWAN将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述TWAN接收所述EIR发送的检查结果;
所述TWAN根据所述检查结果对所述UE进行演进核心网(EPC)接入流程。
第二方面,本发明实施例提供一种设备标识的检查方法,所述方法包括:
当WLAN接入网络为非信任的WLAN接入网,演进的分组数据网关ePDG将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述ePDG接收所述EIR发送的检查结果;
所述ePDG根据所述检查结果对所述UE进行EPC接入流程。
第三方面,本发明实施例提供一种设备标识的检查方法,所述方法包括:
当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,3GPP AAA服务器将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述3GPP AAA服务器接收所述EIR发送的所述检查结果;
所述3GPP AAA服务器根据所述检查结果对所述UE进行EPC接入流程。
第四方面,本发明实施例提供一种TWAN,所述TWAN包括第一发送单元、第一接收单元和第一处理单元,其中:
所述第一发送单元,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第一接收单元,用于接收所述EIR发送的检查结果;
所述第一处理单元,用于根据所述检查结果对所述UE进行EPC接入流程。
第五方面,本发明实施例提供一种ePDG,所述ePDG包括第二发送单元、第二接收单元和第二处理单元,其中:
当WLAN接入网络为非信任的WLAN接入网,所述第二发送单元,用于将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第二接收单元,用于接收所述EIR发送的检查结果;
所述第二处理单元,用于根据所述检查结果对所述UE进行EPC接入流程。
第六方面,本发明实施例提供一种3GPP AAA服务器,所述3GPP AAA服务器包括第三发送单元、第三接收单元和第三处理单元,其中:
所述第三发送单元,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第三接收单元,用于接收所述EIR发送的所述检查结果;
所述第三处理单元,用于根据所述检查结果对所述UE进行EPC接入流程。
第七方面,本发明实施例提供一种设备标识的检查系统,所述系统包括:
TWAN,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
第八方面,本发明实施例提供一种设备标识的检查系统,所述系统包括:
演进的分组数据网关ePDG,用于当WLAN接入网络为非信任的WLAN接入网,将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
第九方面,本发明实施例提供一种设备标识的检查系统,所述系统包括:
3GPP AAA服务器,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的所述检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
本发明实施例提供的一种设备标识的检查方法及系统、设备,其中,当WLAN接入网络为信任的WLAN接入网TWAN,所述TWAN将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;所述TWAN接收所述EIR发送的检查结果;所述TWAN根据所述检查结果对所述UE进行EPC接入流程;如此,能够在WLAN接入场景下实现对UE的标识信息的检查。
附图说明
图1为现有技术的网络架构示意图;
图2为本发明实施例的网络架构示意图一;
图3为本发明实施例的网络架构示意图二;
图4-1为本发明实施例一的实现流程示意图;
图4-2为本发明实施例二的实现流程示意图一;
图4-3为本发明实施例二的实现流程示意图二;
图5为本发明实施例三的实现流程示意图;
图6为本发明实施例四的实现流程示意图;
图7为本发明实施例五的实现流程示意图;
图8为本发明实施例六TWAN的组成结构示意图;
图9为本发明实施例七ePDG的组成结构示意图;
图10为本发明实施例八3GPP AAA服务器的组成结构示意图。
具体实施方式
为了解决背景技术中存在的问题,本发明实施例先针对于现有的网络架构,提出两种改进方法,其中每一种改进方法都对应一种网络架构。图1为现有技术的网络架构示意图,3GPP接入控制网元(i.e.MME)通过S13接口与EIR交互实现设备标识检查。图2为本发明实施例的网络架构示意图一,如图2所示,EIR与TWAN进行连接,以及EIR与ePDG进行连接,EIR与TWAN之间和EIR与ePDG之间可以采用各种接口来实现,作为一种优选的实施例,EIR与ePDG之间的接口可以采用符合Diameter协议的接口,EIR与TWAN之间的接口可以采用符合Diameter协议的接口,这样UE从TWAN接入时由TWAN向EIR发送IMEI检查请求,EIR将检查结果回复到TWAN;UE从非信任的WLAN接入网接入时由演进的分组数据网关(ePDG)向EIR发送IMEI检查请求,EIR将检查结果回复到ePDG;图3为本发明实施例的网络架构示意图二,如图3所示,EIR与3GPP AAA服务器(3GPP AAA sever)进行连接,EIR与EIR与3GPP AAA服务器之间可以采用各种接口来实现,作为一种优选的实施例,EIR与3GPP AAA服务器之间的接口可以采用符合Diameter协议的接口,这样UE从TWAN或者非信任的WLAN接入网连接到EPC时,由3GPP AAA服务器向EIR发送IMEI检查请求,EIR将检查结果回复到3GPP AAA服务器。
图2与图3的区别在于,在WLAN接入场景下如果实现对UE的标识信息的检查,图2所示的方案需要对TWAN和ePDG进行改造,而图3所示的方案仅需要对3GPP AAA,因此,图3所示的方案要更容易实施。基于图2和图3所示的两种网络架构,当用户设备从WLAN接入网络连接到EPC时,本发明实施例提供两种解决方案,其中:
第一种方案,对应于图3所示的网络架构,用户设备从信任的WLAN接入网络或非信任的WLAN接入网络连接到演进的核心网(Evolved Packet Core,EPC)时,3GPP中AAA服务器可以将UE的标识信息发送到EIR,然后EIR对UE的标识信息的检查;EIR将检查结果回复给3GPP AAA服务器。
第二种方案,对应于图2所示的网络架构,当WLAN接入网络为信任的WLAN接入网(TWAN),TWAN可以将用户设备的标识信息发送到EIR,然后EIR对UE的标识信息进行检查,之后EIR将检查的结果回复给TWAN;
当WLAN接入网络为非信任的WLAN接入网,ePDG将UE的标识信息发送到EIR,然后EIR对UE的标识信息进行检查,之后EIR将检查的结果回复给ePDG。
下面结合附图和具体实施例对本发明的技术方案进一步详细阐述。
实施例一
本发明实施例提供一种设备标识的检查方法,该方法应用于TWAN,该方法所实现的功能可以通过TWAN中的处理器调用程序代码来实现,当然程序代码可以保存在计算机存储介质中,可见,该TWAN至少包括处理器和存储介质。
图4-1为本发明实施例一的实现流程示意图,如图4-1所示,该方法包括:
步骤S401,当WLAN接入网络为信任的WLAN接入网TWAN,所述TWAN将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
步骤S402,所述TWAN接收所述EIR发送的检查结果;
步骤S403,所述TWAN根据所述检查结果对所述UE进行EPC接入流程。
本发明实施例中,所述TWAN将UE的标识信息发送到EIR之前,所述方法还包括:
当所述UE与TWAN建立基于IEEE 802.11的连接时,所述TWAN向所述UE发送EAP-REQ消息,所述EAP-REQ消息用于向所述UE请求所述UE的标识信息;
所述TWAN接收所述UE发送的所述EAP-RSP消息,所述EAP-RSP消息携带有所述UE的标识信息。
本发明实施例中,所述TWAN将所述UE的标识信息发送到设备标识寄存器EIR,包括:
所述TWAN向EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述TWAN接收所述EIR发送的所述检查结果,包括:所述TWAN接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
本发明实施例中,所述TWAN根据所述检查结果对所述UE进行EPC接入流程,包括:
当所述检查结果表明所述UE的标识信息合法时,所述TWAN对所述UE进行接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,所述TWAN向UE发送EAP-failure消息,用于表明拒绝将所述UE接入EPC所述UE的标识信息非法,结束流程。其中,拒绝将所述UE接入EPC的原因有很多,例如,UE的标识信息是非法的(非法可能是指UE的标识信息为黑名单中的,或者其他原因)
本发明实施例中,所述UE的标识信息包括所述UE的移动设备国际识别码(IMEI),或者,
所述UE的标识信息包括所述IMEI和所述UE的国际移动用户识别码(IMSI)。
实施例二
UE从信任的WLAN接入网络(TWAN)连接到EPC,本实施例描述的是由TWAN将从UE获取的UE的标识信息发送到EIR,RIR对UE的标识信息进行检查,EIR将检查结果反馈到TWAN,从而实现对设备标识的检查,其中,该实施例一共包括图4-2和图4-3两个流程图,其中,图4-2与图4-3的前面9个步骤401至步骤409是相同的,不同的是,步骤409以后,图4-2描述的是TWAN向UE返回的是EAR-Success消息,而图4-3描述的是TWAN向UE返回的是EAR-failure消息。图4-2为本发明实施例二的实现流程示意图一,如图4-2所示,该流程包括:
步骤401,用户设备(UE)和TWAN建立基于IEEE 802.11的连接;
步骤402,TWAN向UE发送EAP-REQ消息/Identity;
这里,本实施例以及以下各实施例中的EAP是指可扩展认证协议(Extensible Authentication Protocol);本发明的各实施例中可以广泛应用EAP中的各种消息,例如EAP-REQ消息和EAP-RSP消息,关于这些EAP中的上述消息的具体描述可以参见EAP的相关标准,这里不再赘述。EAP-REQ消息用于实现身份认证和接入配置信息交互处理,在步骤402中的EAP-REQ消息/Identity是指EAP-REQ消息用于请求身份或标识信息(Identity),其中EAP-REQ消息/Identity中的“/”表示EAP-REQ消息所携带的内容;
步骤403,UE向TWAN发送EAP-RSP消息/Identity;
这里,EAP-RSP消息中携带有IMEI,或者EAP-RSP响应消息中携带IMEI和IMSI,其中EAP-RSP消息与EAP-REQ消息相对应。在步骤402和步骤403,TWAN和UE交互EAP Identity,进行身份认证接入配置信息交互处理,用户设备将IMEI和/或IMSI通过EAP RSP响应消息发送到TWAN。
步骤404,TWAN向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/Identity;
这里,本实施例以及以下实施例中的3GPP AAA是指3GPP AAA服务器。
这里,DER Diameter请求消息/EAP-RSP消息/Identity的含义是指,DERDiameter请求消息中携带有EAP-RSP消息,而EAP-RSP消息携带Identity信息;
步骤405,3GPP AAA从HSS获取认证授权向量;
步骤406,3GPP AAA向TWAN发送DEA Diameter应答消息;
这里,DEA Diameter应答消息中携带有认证授权向量,DEA Diameter应答消息中携带EAP-REQ消息和AKA挑战(AKA’-Challenge)消息,其中AKA挑战(AKA’-Challenge)消息中携带所选择的模式modes=TSCM+SCM+MCM。
这里,步骤404至406,TWAN将Diameter认证授权请求消息发送到3GPPAAA,3GPP AAA从HSS获取认证授权向量后,将认证授权向量通过DEADiameter应答消息/EAP-REQ消息/AKA’-Challenge消息发送给UE,其中,认证授权向量用于指示网络支持单连接和多连接模式;
步骤407,TWAN向EIR发送ME设备标识检查请求消息;
这里,ME设备标识检查请求消息中的ME表示移动设备。
步骤408,EIR向TWAN发送ME设备标识检查响应消息;
这里,步骤407和步骤408中,ME设备标识检查请求消息中携带有IMEI,或者IMEI和IMSI信息,这样,TWAN即将从UE收到的IMEI,或者IMEI和IMSI信息发送到EIR,然后EIR进行设备标识信息检查,具体地,EIR检查IMEI,或者IMEI和IMSI信息合法是否有效,将检查结果通过ME设备标识检查响应消息发送给TWAN,TWAN保存结果,继续执行后续流程,其中,检查结果包括IMEI,或者IMEI和IMSI信息合法有效,或者IMEI,或者IMEI和IMSI信息非法无效。本实施例例中,假设检查结果为UE的设备标识是合法的,因此,TWAN对所述UE进行接入EPC建立连接的流程(步骤409以及以后的步骤)。
步骤409,TWAN向UE发送EAP-REQ消息/AKA’-Challenge消息;
这里,EAP-REQ消息携带有认证授权向量;EAP-REQ消息中携带AKA’-Challenge消息;步骤409中,3GPP AAA从HSS获取认证授权向量后,经TWAN将EAP REQ/AKA’-Challenge消息发送给UE,认证授权向量用于指示网络支持单连接和多连接模式。
步骤410,UE向TWAN发送EAP-RSP消息;
这里,EAP-RSP消息中携带AKA’-Challenge消息,其中mode=SCM/PDN连接参数。
步骤411,TWAN向3GPP AAA发送DER Diameter请求消息;
这里,DER Diameter请求消息中携带EAP-RSP消息/AKA’-Challenge消息;
步骤412,3GPP AAA从HSS获取用户签约信息;
步骤413,3GPP AAA向TWAN发送DEA Diameter应答消息;
这里,DEA Diameter应答消息中可以携带有mode=SCM/MCM、TWAN-S2a-Connectivity flag、用户注册数据(subscription info)、EPC/NSWO、APN、PDN Type等。
步骤414,TWAN与3GPP AAA之间建立GTP/PMIP会话,3GPP AAA与HSS之间PGW地址信息更新;
步骤415,TWAN向3GPP AAA发送DER Diameter请求消息;
这里,DER Diameter请求消息中携带有mode=SCM/MCM、TWAN-S2a-Connectivity flag、subscription info、EPC/NSWO、APN、PDN Type等。
步骤416,3GPP AAA向TWAN发送DEA Diameter应答消息;
这里,DEA Diameter应答消息中携带AKA’-Notification消息;
步骤417,TWAN向UE发送EAP-REQ/AKA’-Notification消息;
这里,本实施例以及以下各实施中的/表示包括的含义,或者携带的含义,例如EAP-REQ/AKA’-Notification消息是指EAP-REQ消息中包括有AKA’-Notification消息,或者EAP-REQ消息中携带有AKA’-Notification消息。
步骤418,UE向TWAN发送EAP-RSP/AKA’-Notification消息;
步骤419,TWAN向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/AKA’-Notification消息;
步骤420,3GPP AAA向TWAN发送DEA Diameter应答消息/EAP-Success消息;
步骤421,TWAN向UE发送EAP-Success消息。
本发明实施例中,步骤410以后的步骤中,UE向3GPP AAA发送EAPREQ/AKA’-Challenge请求消息,以请求单连接模式并连接到EPC,同时UE指示PDN连接参数,比如接入点(APN,Access Point Name)等;3GPP AAA将UE发送的所述PDN连接参数通过DEA Diameter应答消息发送给TWAN,TWAN通过建立会话请求(GTP消息)或代理绑定更新(PMIP消息)发送到PDN GW;PDN GW向3GPP AAA更新地址;PDN GW向TWAN发送建立会话响应或代理绑定确认消息,建立会话响应或代理绑定确认消息中包含网络决定的流迁移触发模式指示,该指示后经DER Diameter请求消息由TWAN到3GPP AAA,3GPP AAA将所述指示信息通过AKA’-notification消息发送给UE;UE完成后续认证授权流程,认证授权成功。
图4-3为本发明实施例二的实现流程示意图二,如图4-3所示,该流程包括:
步骤401至步骤408,本领域的技术人员请参阅图4-2中步骤401至步骤408的相关描述,为节约篇幅,这里不再赘述;
步骤S409:TWAN向3GPP AAA服务器发送DER Diameter请求消息;
这里,DER Diameter请求消息用于向3GPP AAA服务器指示UE接入错误原因值:设备标识非法。
步骤S410:3GPP AAA服务器向TWAN发送DEA Diameter应答消息;
这里,DEA Diameter应答消息中携带有EAP-REQ/AKA’-Notification消息,EAP-REQ/AKA’-Notification消息中携带有带有接入错误原因值(设备标识非法)。
步骤S411,TWAN向UE发送EAP-REQ/AKA’-Notification消息;
这里,EAP-REQ/AKA’-Notification消息中携带有带有接入错误原因值(设备标识非法)。
这里,步骤S410和步骤S411中,3GPP AAA服务器经过TWAN向UE发送携带有接入错误原因值(设备标识非法)的EAP-REQ/AKA’-Notification经由TWAN转发到UE。
步骤S412,UE向TWAN发送EAP-RSP/AKA’-Notification响应消息;
步骤S413,TWAN向3GPP AAA服务器发送EAP-RSP/AKA’-Notification响应消息;
这里,步骤S412和步骤S413中,UE向3GPP AAA服务器发送EAP-RSP/AKA’-Notification响应消息,对步骤S411进行回复。
步骤S414,3GPP AAA服务器向TWAN发送EAP-Failure消息;
步骤S415,TWAN向UE发送EAP-Failure消息;
这里,步骤414和步骤415中,3GPP AAA服务器向UE发送EAP-Failure消息,接入认证失败,拒绝接入。
图4-3所示的实施例中,在TWAN接入失败时,TWAN检查发现设备标识非法后需通知3GPP AAA,由3GPP AAA通知UE错误原因,其中EAP的交互是UE和3GPP AAA之间的,EAP消息对于TWAN是透传的(参见步骤S414和步骤S415,以及),最后3GPP AAA服务器发送EAP-Failure消息。
实施例三
UE从非信任的WLAN接入网络连接到EPC,本实施例描述的是由ePDG将从UE获取的UE的标识信息发送到EIR,RIR对UE的标识信息进行检查,EIR将检查结果反馈到ePDG,从而实现对设备标识的检查。图5为本发明实施例三的实现流程示意图,如图5所示,该流程包括:
步骤501,UE和ePDG交互IKE_SA_INIT消息;
这里,UE与ePDG通过IKE_SA_INIT消息协商加密算法以及交换秘钥等,其中,IKE_SA_INIT消息包括:IKE_SA_INIT请求消息和IKE_SA_INIT响应消息,其中IKE_SA_INIT的意思为因特网密钥交换-安全联盟-初始化(InternetKey Exchange-Security Association-INITial)。
步骤502,UE向ePDG发送IKE_AUTH Request消息,该IKE_AUTH Request消息中携带有UE的标识信息例如IMEI信息;
步骤503,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/Identity;
步骤504,3GPP AAA从HSS获取认证授权向量;
步骤505,3GPP AAA向ePDG发送DEA Diameter应答消息/EAP-REQ消息/AKA-Challenge消息;
这里,DEA Diameter应答消息中携带有认证授权向量;
这里,步骤502至步骤505中,UE开始IKE_AUTH阶段,向网络发送用户Identity、IMEI和APN,3GPP AAA检查用户身份(Identity)并向UE发起认证挑战(authentication challenge)信息,该authentication challenge信息通过DEA Diameter应答消息发送到ePDG,由ePDG转发;
步骤506,ePDG向EIR发送ME设备标识检查请求消息;
这里,ePDG将从UE收到的UE的标识信息通过ME设备标识检查请求消息发送到EIR,以便EIR进行设备标识信息检查;ME设备标识检查请求消息中携带有UE的标识信息,EIR收到UE的标识信息后,对IMEI信息和/或IMSI信息进行检查,得到检查结果,其中检查结果包括UE的标识信息为合法的检查结果,或者,UE的标识信息为非法的检查结果。
步骤507:EIR向ePDG发送ME设备标识检查响应消息;
这里,ME设备标识检查响应消息中携带有IUE的标识信息合法有效的检查结果,ePDG收到检查结果后,ePDG保存检查结果,继续执行后续流程;
步骤508,ePDG向UE发送IKE_AUTH Response消息/EAP-REQ消息/AKA-Challenge消息;
步骤509,UE向ePDG发送IKE_AUTH Request消息/EAP-RSP消息/AKA-Challenge消息;
步骤510,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/AKA-Challenge消息;
这里,步骤508至步骤510中,ePDG通过IKEv2消息将3GPP AAA的EAP挑战消息,将ePDG标识信息以及证书等认证信息发送给UE;UE检查认证参数,在IKEv2消息中回复挑战消息,ePDG将UE的挑战回复消息转发给3GPPAAA;
步骤511,3GPP AAA向ePDG发送DEA Diameter应答消息/EAP-REQ消息/AKA-Notification消息;
步骤512,ePDG向UE发送IKE-AUTH Request消息/EAP-REQ消息/AKA-Notification消息;
步骤513,UE向ePDG发送IKE-AUTH Response消息/EAP-RSP消息/AKA-Notification消息;
步骤514,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/AKA-Notification消息;
步骤515,3GPP AAA从HSS获取用户签约信息;
步骤516,3GPP AAA向ePDG发送DEA Diameter应答消息/EAP-Success消息;
这里,步骤511至步骤516中,如果3GPP AAA执行动态IP移动性管理选择,则3GPP AAA向UE发起AKA-notification交互流程;当所有检查成功后,3GPP AAA从HSS获取用户签约信息,向用户发送EAP成功消息;
步骤517,ePDG向PDN GW发送建立会话请求(Create Session Request)消息或代理绑定更新(PBU);
步骤518,PDN GW将建立会话响应(Create Session Response)消息或代理绑定确认(PBA)发送给ePDG,从而完成GTP或PMIP隧道的建立;
步骤519,ePDG向UE发送IKE-AUTH Response消息;
这里,IKE-AUTH Response消息为因特网密钥交换-认证响应(IKE-Authentication)消息。
步骤520,UE向ePDG发送IKE-AUTH Reques消息;
步骤521,ePDG向UE发送IKE-AUTH Response消息;
这里,步骤519至步骤521,UE和ePDG完成后续的IKE授权流程。
实施例四
UE从信任的WLAN接入网络连接到EPC,本实施例描述的是由3GPP AAA服务器将从UE获取的UE的标识信息发送到EIR,EIR对UE的标识信息进行检查,得到为非法的检查结果,然后EIR将检查结果反馈到3GPP AAA服务器,然后3GPP AAA服务器拒绝UE接入的流程。图6为本发明实施例四的实现流程示意图,如图6所示,该流程包括:
步骤601,用户设备(UE)和TWAN建立基于IEEE 802.11的连接;
步骤602,TWAN向UE发送EAP-REQ消息/Identity;
这里,EAP-REQ消息用于实现身份认证和接入配置信息交互处理,在步骤602中的EAP-REQ消息中携带有Identity;
步骤603,UE向TWAN发送EAP-RSP消息/Identity;
这里,EAP-RSP消息携带有UE的标识信息,其中EAP-RSP消息与EAP-REQ消息相对应。在步骤602和步骤603,TWAN和UE交互EAP Identity,进行身份认证接入配置信息交互处理,用户设备将UE的标识信息通过EAP RSP消息发送到TWAN。
步骤604,TWAN向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/Identity;
这里,本实施例以及以下实施例中的3GPP AAA是指3GPP AAA服务器。
步骤605,3GPP AAA从HSS获取认证授权向量;
步骤606,3GPP AAA向EIR发送ME设备标识检查请求消息;
步骤607,EIR向3GPP AAA发送ME设备标识检查响应消息;
步骤608,3GPP AAA向TWAN发送DEA Diameter应答消息;
这里,DEA Diameter应答消息中包括EAP failure的检查结果。
这里,步骤606和步骤607中,ME设备标识检查请求消息中携带有UE的标识信息,这样,3GPP AAA即将从UE收到的UE的标识信息发送到EIR,然后EIR进行设备标识信息检查,具体地,EIR检查UE的标识信息是否有效,将检查结果通过ME设备标识检查响应消息发送给3GPP AAA,3GPP AAA保存结果,继续执行后续流程,其中,检查结果包括UE的标识信息为合法有效或者UE的标识信息为非法无效。本例中假设EIR检查检查UE的标识信息的结果为非法,将检查结果响应发送给3GPP AAA服务器,3GPP AAA服务器向TWAN回复包含错误码的DEA(EAP-Failure)Diameter应答消息;
步骤609:TWAN将EAP-Failure消息发送给UE,UE接入认证授权失败。
实施例五
UE从非信任的WLAN接入网络连接到EPC,本实施例描述的是由3GPPAAA服务器将从UE获取的UE的标识信息发送到EIR,EIR对UE的标识信息进行检查,然后EIR将检查结果反馈到3GPP AAA服务器,从而实现设备标识的检查。图7为本发明实施例五的实现流程示意图,如图7所示,该流程包括:
步骤701,UE与ePDG交互IKE_SA_INIT消息;
这里,UE与ePDG通过IKE_SA_INIT消息协商加密算法以及交换秘钥等,其中,IKE_SA_INIT消息包括:IKE_SA_INIT请求消息和IKE_SA_INIT响应消息,其中IKE_SA_INIT的意思为因特网密钥交换-安全联盟-初始化(InternetKey Exchange-Security Association-INITial)。
步骤702,UE向ePDG发送IKE_AUTH Request消息,该IKE_AUTH Request消息中携带有UE的标识信息;
步骤703,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/Identity;
步骤704,3GPP AAA从HSS获取认证授权向量;
这里,步骤702至步骤704中,UE开始IKE_AUTH阶段,向网络发送用户Identity、UE的标识信息如IMEI和APN,3GPP AAA检查用户身份并向UE发起认证挑战(authentication challenge)信息,该信息通过DEA Diameter应答消息发送到ePDG,由ePDG转发;
步骤705,3GPP AAA服务器向EIR发送ME设备标识检查请求消息;
这里,ME设备标识检查请求消息中携带有UE的标识信息,EIR收到UE的标识信息后,对UE的标识信息进行检查,得到检查结果,其中检查结果包括UE的标识信息为合法的检查结果,或者,UE的标识信息为非法的检查结果。
步骤706:EIR向3GPP AAA发送ME设备标识检查响应消息;
这里,ME设备标识检查响应消息中携带有UE的标识信息为合法有效的检查结果,3GPP AAA服务器收到检查结果后,3GPP AAA服务器保存检查结果,继续执行后续流程;
步骤707,3GPP AAA向ePDG发送DEA Diameter应答消息/EAP-REQ消息/AKA-Challenge消息;
步骤708,ePDG向UE发送IKE_AUTH Response消息/EAP-REQ消息/AKA-Challenge消息;
步骤709,UE向ePDG发送IKE_AUTH Request消息/EAP-RSP消息/AKA-Challenge消息;
步骤710,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/AKA-Challenge消息;
这里,步骤707至步骤710中,ePDG通过IKEv2消息将3GPP AAA的EAP挑战消息,ePDG标识信息以及证书等认证信息发送给UE;UE检查认证参数,在IKEv2消息中回复挑战消息,ePDG将UE的挑战回复消息转发给3GPP AAA;
步骤711,3GPP AAA向ePDG发送EAP-REQ消息/AKA-Notification消息;
步骤712,ePDG向UE发送IKE-AUTH Request消息或者EAP-REQ消息/AKA-通知(AKA-Notification)消息;
步骤713,UE向ePDG发送IKE-AUTH Response消息或者EAP-RSP消息/AKA-Notification消息;
步骤714,ePDG向3GPP AAA发送DER Diameter请求消息/EAP-RSP消息/AKA-Notification消息;
步骤715,3GPP AAA从HSS获取用户签约信息;
步骤716,3GPP AAA向ePDG发送DEA Diameter应答消息/EAP-Success消息;
这里,步骤711至步骤716:如果3GPP AAA执行动态IP移动性管理选择,则3GPP AAA向UE发起AKA-notification交互流程;当所有检查成功后,3GPPAAA从HSS获取用户签约信息,向用户发送EAP成功消息;
步骤717,ePDG向PDN GW发送建立会话请求消息或代理绑定更新(PBU)消息;
这里,建立会话请求消息为Create Session Request消息。
步骤718,PDN GW将建立会话响应(Create Session Response)消息或代理绑定确认(PBA)消息发送给ePDG,从而完成GTP或PMIP隧道的建立;
步骤719,ePDG向UE发送IKE-AUTH Response消息;
这里,IKE-AUTH Response消息为因特网密钥交换-认证响应(IKE-Authentication)消息。
步骤720,UE向ePDG发送IKE-AUTH Reques消息;
步骤721,ePDG向UE发送IKE-AUTH Response消息;
这里,步骤719至步骤721中,UE和ePDG完成后续的IKE授权流程。
实施例六
基于前述的方法实施例,本发明实施例提供一种TWAN,该TWAN中的第一发送单元、第一接收单元和第一处理单元等单元都可以通过TWAN中的处理器来实现;当然也可通过具体的逻辑电路实现;在具体实施例的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图8为本发明实施例六TWAN的组成结构示意图,如图8所示,该TWAN800包括第一发送单元801、第一接收单元802和第一处理单元803,其中:
所述第一发送单元801,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第一接收单元802,用于接收所述EIR发送的检查结果;
所述第一处理单元803,用于根据所述检查结果对所述UE进行EPC接入流程。
本发明实施例中,所述TWAN还包括第四发送单元和第四接收单元,其中:
所述第四发送单元,用于当所述UE与TWAN建立基于IEEE 802.11的连接时,所述TWAN向所述UE发送EAP-REQ消息,所述EAP-REQ消息用于向所述UE请求所述UE的标识信息;
所述第四接收单元,用于接收所述UE发送的所述EAP-RSP消息,所述EAP-RSP消息携带有所述UE的标识信息。
本发明实施例中,所述第一发送单元,用于向EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述第一接收单元,用于接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
本发明实施例中,所述第一处理单元,用于当所述检查结果表明所述UE的标识信息合法时,对所述UE进行接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,向UE发送EAP-failure消息,用于表明拒绝将所述UE接入EPC,结束流程。
基于前述的TWAN,本发明实施例再提供一种设备标识的检查系统,该系统包括:
TWAN,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
这里需要指出的是:以上TWAN实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本发明TWAN实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解,为节约篇幅,因此不再赘述。
实施例七
基于前述的方法实施例,本发明实施例提供一种ePDG,该ePDG中的第二发送单元、第二接收单元和第二处理单元等单元都可以通过TWAN中的处理器来实现;当然也可通过具体的逻辑电路实现;在具体实施例的过程中,处理器可以为中央处理器、微处理器、数字信号处理器或现场可编程门阵列等。
图9为本发明实施例七ePDG的组成结构示意图,如图9所示,该ePDG 900包括第二发送单元901、第二接收单元902和第二处理单元903,其中:
当WLAN接入网络为非信任的WLAN接入网,所述第二发送单元901,用于将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第二接收单元902,用于接收所述EIR发送的检查结果;
所述第二处理单元903,用于根据所述检查结果对所述UE进行EPC接入流程。
本发明实施例中,所述ePDG还包括第五接收单元,用于接收UE发送的IKE_AUTH Request消息,所述IKE_AUTH Request消息中携带有UE的标识信息。
本发明实施例中,所述第二发送单元,用于向所述EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述第二接收单元,用于接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
本发明实施例中,所述第二处理单元,用于当所述检查结果表明所述UE的标识信息合法时,对所述UE进行接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,向UE发送IKE-AUTHResponse消息,所述IKE-AUTH Response消息中携带EAP-failure消息,所述EAP-failure消息用于表明拒绝将所述UE接入EPC,结束流程。
基于前述的ePDG,本发明实施例再提供一种设备标识的检查系统,该系统包括:
ePDG,用于当WLAN接入网络为非信任的WLAN接入网,将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
这里需要指出的是:以上ePDG实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本发明ePDG实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解,为节约篇幅,因此不再赘述。
实施例八
基于前述的方法实施例,本发明实施例提供一种3GPP AAA服务器,该3GPP AAA服务器中的第三发送单元、第三接收单元和第三处理单元等单元都可以通过3GPP AAA服务器中的处理器来实现;当然也可通过具体的逻辑电路实现;在具体实施例的过程中,处理器可以为中央处理器、微处理器、数字信号处理器或现场可编程门阵列等。
图10为本发明实施例八ePDG的组成结构示意图,如图10所示,该3GPPAAA服务器1000包括第三发送单元1001、第三接收单元1002和第三处理单元1003,其中:
所述第三发送单元1001,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第三接收单元1002,用于接收所述EIR发送的所述检查结果;
所述第三处理单元1003,用于根据所述检查结果对所述UE进行EPC接入流程。
本发明实施例中,所述3GPP AAA服务器还包括第六接收单元,用于当所述UE从信任的WLAN接入网络连接到EPC时,接收所述TWAN发送的DERDiameter请求消息,所述DER Diameter请求消息中携带有所述UE的标识信息;
当所述UE从非信任的WLAN接入网络连接到EPC时,接收所述ePDG发送的DER Diameter请求消息,所述DER Diameter请求消息中携带有所述UE的标识信息。
本发明实施例中,所述第三发送单元,用于向所述EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述第三接收单元,用于接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
本发明实施例中,所述第三处理单元,用于当所述检查结果表明所述UE的标识信息合法时,为所述UE进行接入EPC建立连接的流程,具体地,向所述ePDG或所述TWAN发送DEA Diameter应答消息,所述DEA Diameter应答消息中携带EAP-success消息,所述EAP-success消息用于表明将所述UE成功地接入EPC;
当所述检查结果表明所述UE的标识信息非法时,向所述ePDG或所述TWAN发送DEA Diameter应答消息,所述DEA Diameter应答消息中携带EAP-failure消息,所述EAP-failure消息用于拒绝将所述UE接入EPC,结束流程。
基于前述的3GPP AAA服务器,本发明实施例再提供一种设备标识的检查系统,所述系统包括:
3GPP AAA服务器,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的所述检查结果;根据所述检查结果对所述UE进行EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
这里需要指出的是:以上3GPP AAA服务器实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本发明3GPP AAA服务器实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解,为节约篇幅,因此不再赘述。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (24)
1.一种设备标识的检查方法,其特征在于,所述方法包括:
当WLAN接入网络为信任的WLAN接入网TWAN,所述TWAN将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述TWAN接收所述EIR发送的检查结果;
所述TWAN根据所述检查结果对所述UE进行演进核心网EPC接入流程。
2.根据权利要求1所述的方法,其特征在于,所述TWAN将UE的标识信息发送到EIR之前,所述方法还包括:
当所述UE与TWAN建立基于IEEE 802.11的连接时,所述TWAN向所述UE发送EAP-REQ消息,所述EAP-REQ消息用于向所述UE请求所述UE的标识信息;
所述TWAN接收所述UE发送的所述EAP-RSP消息,所述EAP-RSP消息携带有所述UE的标识信息。
3.根据权利要求1所述的方法,其特征在于,所述TWAN将所述UE的标识信息发送到设备标识寄存器EIR,包括:
所述TWAN向EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述TWAN接收所述EIR发送的所述检查结果,包括:所述TWAN接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
4.根据权利要求3所述的方法,其特征在于,所述TWAN根据所述检查结果对所述UE进行EPC接入流程,包括:
当所述检查结果表明所述UE的标识信息合法时,所述TWAN对所述UE进行接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,所述TWAN向TWAN向3GPP AAA服务器发送DER Diameter请求消息,所述DER Diameter请求消息用于向3GPP AAA服务器指示UE接入错误原因值:设备标识非法。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述UE的标识信息包括所述UE的移动设备国际识别码IMEI,或者,
所述UE的标识信息包括所述IMEI和所述UE的国际移动用户识别码IMSI。
6.一种设备标识的检查方法,其特征在于,所述方法包括:
当WLAN接入网络为非信任的WLAN接入网,演进的分组数据网关ePDG将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述ePDG接收所述EIR发送的检查结果;
所述ePDG根据所述检查结果对所述UE进行演进核心网EPC接入流程。
7.根据权利要求6所述的方法,其特征在于,所述ePDG将UE的标识信息发送到EIR之前,所述方法还包括:
所述ePDG接收UE发送的IKE_AUTH Request消息,所述IKE_AUTHRequest消息中携带有UE的标识信息。
8.根据权利要求6或7所述的方法,其特征在于,所述ePDG将UE的标识信息发送到EIR,包括:
所述ePDG向所述EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述ePDG接收所述EIR发送的检查结果,包括:所述ePDG接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
9.根据权利要求8所述的方法,其特征在于,所述ePDG根据所述检查结果对所述UE进行EPC接入流程,包括:
当所述检查结果表明所述UE的标识信息合法时,所述ePDG进行UE接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,所述ePDG向UE发送IKE-AUTH Response消息,所述IKE-AUTH Response消息中携带EAP-failure消息,所述EAP-failure消息用于表明拒绝接入所述UE,结束流程。
10.根据权利要求6至9任一项所述的方法,其特征在于,所述UE的标识信息包括所述UE的移动设备国际识别码IMEI,或者,
所述UE的标识信息包括所述IMEI和所述UE的国际移动用户识别码IMSI。
11.一种设备标识的检查方法,其特征在于,所述方法包括:
当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,3GPP AAA服务器将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述3GPP AAA服务器接收所述EIR发送的所述检查结果;
所述3GPP AAA服务器根据所述检查结果对所述UE进行演进核心网EPC接入流程。
12.根据权利要求11所述的方法,其特征在于,所述3GPP AAA服务器将UE的标识信息发送到EIR之前,所述方法还包括:
当所述UE从信任的WLAN接入网络连接到EPC时,所述3GPP AAA服务器接收所述TWAN发送的DER Diameter请求消息,所述DER Diameter请求消息中携带有所述UE的标识信息;
当所述UE从非信任的WLAN接入网络连接到EPC时,所述3GPP AAA服务器接收所述ePDG发送的DER Diameter请求消息,所述DER Diameter请求消息中携带有所述UE的标识信息。
13.根据权利要求11所述的方法,其特征在于,所述3GPP AAA服务器将所述UE的标识信息发送到EIR,包括:
所述3GPP AAA服务器向所述EIR发送ME设备标识检查请求消息,所述ME设备标识检查请求消息中携带有所述UE的标识信息,所述ME设备标识检查请求消息用于请求所述EIR检查所述UE的标识信息是否合法;
所述3GPP AAA服务器接收所述EIR发送的检查结果,包括:所述3GPPAAA服务器接收所述EIR发送的ME设备标识检查响应消息,所述ME设备标识检查响应消息中携带有检查结果,所述检查结果中包括所述UE的标识信息合法的结果或者所述UE的标识信息非法的结果。
14.根据权利要求11所述的方法,其特征在于,所述3GPP AAA服务器根据所述检查结果对所述UE进行EPC接入流程,包括:
当所述检查结果表明所述UE的标识信息合法时,所述3GPP AAA服务器进行UE接入EPC建立连接的流程;
当所述检查结果表明所述UE的标识信息非法时,所述3GPP AAA服务器向所述ePDG或所述TWAN发送DEA Diameter应答消息,所述DEA Diameter应答消息中携带EAP-failure消息,所述EAP-failure消息用于表明拒绝接入所述UE,结束流程。
15.根据权利要求11至14任一项所述的方法,其特征在于,所述UE的标识信息包括所述UE的移动设备国际识别码IMEI,或者,
所述UE的标识信息包括所述IMEI和所述UE的国际移动用户识别码IMSI。
16.一种TWAN,其特征在于,所述TWAN包括第一发送单元、第一接收单元和第一处理单元,其中:
所述第一发送单元,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第一接收单元,用于接收所述EIR发送的检查结果;
所述第一处理单元,用于根据所述检查结果对所述UE进行演进核心网EPC接入流程。
17.根据权利要求16所述的TWAN,其特征在于,所述TWAN还包括第四发送单元和第四接收单元,其中:
所述第四发送单元,用于当所述UE与TWAN建立基于IEEE 802.11的连接时,所述TWAN向所述UE发送EAP-REQ消息,所述EAP-REQ消息用于向所述UE请求所述UE的标识信息;
所述第四接收单元,用于接收所述UE发送的所述EAP-RSP消息,所述EAP-RSP消息携带有所述UE的标识信息。
18.一种ePDG,其特征在于,所述ePDG包括第二发送单元、第二接收单元和第二处理单元,其中:
当WLAN接入网络为非信任的WLAN接入网,所述第二发送单元,用于将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第二接收单元,用于接收所述EIR发送的检查结果;
所述第二处理单元,用于根据所述检查结果对所述UE进行演进核心网EPC接入流程。
19.根据权利要求18所述的ePDG,其特征在于,所述ePDG还包括第五接收单元,用于接收UE发送的IKE_AUTH Request消息,所述IKE_AUTHRequest消息中携带有UE的标识信息。
20.一种3GPP AAA服务器,其特征在于,所述3GPP AAA服务器包括第三发送单元、第三接收单元和第三处理单元,其中:
所述第三发送单元,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;
所述第三接收单元,用于接收所述EIR发送的所述检查结果;
所述第三处理单元,用于根据所述检查结果对所述UE进行演进核心网EPC接入流程。
21.根据权利要求19所述的3GPP AAA服务器,其特征在于,所述3GPPAAA服务器还包括第六接收单元,用于当所述UE从信任的WLAN接入网络连接到EPC时,接收所述TWAN发送的DER Diameter请求消息,所述DERDiameter请求消息中携带有所述UE的标识信息;
当所述UE从非信任的WLAN接入网络连接到EPC时,接收所述ePDG发送的DER Diameter请求消息,所述DER Diameter请求消息中携带有所述UE的标识信息。
22.一种设备标识的检查系统,其特征在于,所述系统包括:
TWAN,用于当WLAN接入网络为信任的WLAN接入网TWAN,将用户设备UE的标识信息发送到设备标识寄存器EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行演进核心网EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
23.一种设备标识的检查系统,其特征在于,所述系统包括:
演进的分组数据网关ePDG,用于当WLAN接入网络为非信任的WLAN接入网,将UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的检查结果;根据所述检查结果对所述UE进行演进核心网EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
24.一种设备标识的检查系统,其特征在于,所述系统包括:
3GPP AAA服务器,用于当用户设备UE从信任的WLAN接入网络或非信任的WLAN接入网络连接到EPC时,将所述UE的标识信息发送到EIR,所述UE的标识信息用于使所述EIR对所述UE的标识信息进行检查;接收所述EIR发送的所述检查结果;根据所述检查结果对所述UE进行演进核心网EPC接入流程;
EIR,用于对所述UE的标识信息的合法性进行检查,并将检查结果发送给3GPP AAA服务器。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510254743.6A CN106304056A (zh) | 2015-05-19 | 2015-05-19 | 一种设备标识的检查方法及系统、设备 |
PCT/CN2016/070616 WO2016184140A1 (zh) | 2015-05-19 | 2016-01-11 | 一种设备标识的检查方法及系统、设备、存储介质 |
EP16795627.5A EP3300405A4 (en) | 2015-05-19 | 2016-01-11 | Equipment identifier checking method, system, equipment and storage medium |
US15/574,839 US20180160360A1 (en) | 2015-05-19 | 2016-01-11 | Equipment identifier checking method, system, equipment and storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510254743.6A CN106304056A (zh) | 2015-05-19 | 2015-05-19 | 一种设备标识的检查方法及系统、设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106304056A true CN106304056A (zh) | 2017-01-04 |
Family
ID=57319310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510254743.6A Withdrawn CN106304056A (zh) | 2015-05-19 | 2015-05-19 | 一种设备标识的检查方法及系统、设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20180160360A1 (zh) |
EP (1) | EP3300405A4 (zh) |
CN (1) | CN106304056A (zh) |
WO (1) | WO2016184140A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019196800A1 (en) * | 2018-04-10 | 2019-10-17 | Mediatek Singapore Pte. Ltd. | Improvement for incorrect ksi handling in mobile communications |
CN111465018A (zh) * | 2019-01-21 | 2020-07-28 | 华为技术有限公司 | 一种增强跨网络访问安全的方法、设备及系统 |
WO2023246286A1 (zh) * | 2022-06-23 | 2023-12-28 | 中兴通讯股份有限公司 | 限制机卡分离的方法及装置、系统、存储介质、电子装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3169033A1 (en) * | 2015-11-11 | 2017-05-17 | Alcatel Lucent | Support of imei checking procedure for wlan access by an user equipment to 3gpp evolved packet core |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1943258A (zh) * | 2004-04-26 | 2007-04-04 | 艾利森电话股份有限公司 | 未许可无线电接入网中移动台的验证 |
WO2014117811A1 (en) * | 2013-01-29 | 2014-08-07 | Telefonaktiebolaget L M Ericsson (Publ) | Controlling access of a user equipment to services |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1319344C (zh) * | 2003-06-17 | 2007-05-30 | 华为技术有限公司 | 目的用户设备接收外部网络数据的方法 |
CN101166134A (zh) * | 2004-10-07 | 2008-04-23 | 华为技术有限公司 | 一种基于ip接入的业务去注册方法 |
US8412192B2 (en) * | 2007-01-08 | 2013-04-02 | Research In Motion Limited | Apparatus, and associated method, for providing an instance identifier to a network database node of a mobile network |
CN108307375A (zh) * | 2011-11-29 | 2018-07-20 | 交互数字专利控股公司 | 用于ip移动性管理的方法 |
US9094839B2 (en) * | 2012-03-13 | 2015-07-28 | Verizon Patent And Licensing Inc. | Evolved packet core (EPC) network error mapping |
WO2016180865A1 (en) * | 2015-05-11 | 2016-11-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes for handling access to a service via an untrusted non-3gpp network |
-
2015
- 2015-05-19 CN CN201510254743.6A patent/CN106304056A/zh not_active Withdrawn
-
2016
- 2016-01-11 EP EP16795627.5A patent/EP3300405A4/en not_active Withdrawn
- 2016-01-11 WO PCT/CN2016/070616 patent/WO2016184140A1/zh active Application Filing
- 2016-01-11 US US15/574,839 patent/US20180160360A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1943258A (zh) * | 2004-04-26 | 2007-04-04 | 艾利森电话股份有限公司 | 未许可无线电接入网中移动台的验证 |
WO2014117811A1 (en) * | 2013-01-29 | 2014-08-07 | Telefonaktiebolaget L M Ericsson (Publ) | Controlling access of a user equipment to services |
Non-Patent Citations (3)
Title |
---|
ALCATEL-LUCENT ET AL: "Mobile Equipment Identity signalling over WLAN", 《3GPP TSG CT4 MEETING #69 C4-150819》 * |
ALCATEL-LUCENT ET AL: "New WID on Mobile Equipment Identity signalling over WLAN", 《3GPP TSG CT4 MEETING #68BIS C4-150703》 * |
ERICSSON: "Clarification on the usage of SV in IMEI check procedure", 《3GPP TSG CT4 MEETING #68 C4-150247》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019196800A1 (en) * | 2018-04-10 | 2019-10-17 | Mediatek Singapore Pte. Ltd. | Improvement for incorrect ksi handling in mobile communications |
US11190934B2 (en) | 2018-04-10 | 2021-11-30 | Mediatek Singapore Pte. Ltd. | Incorrect KSI handling in mobile communications |
CN111465018A (zh) * | 2019-01-21 | 2020-07-28 | 华为技术有限公司 | 一种增强跨网络访问安全的方法、设备及系统 |
WO2023246286A1 (zh) * | 2022-06-23 | 2023-12-28 | 中兴通讯股份有限公司 | 限制机卡分离的方法及装置、系统、存储介质、电子装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3300405A1 (en) | 2018-03-28 |
EP3300405A4 (en) | 2018-03-28 |
WO2016184140A1 (zh) | 2016-11-24 |
US20180160360A1 (en) | 2018-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992625B2 (en) | System and method for location reporting in an untrusted network environment | |
US9686675B2 (en) | Systems, methods and devices for deriving subscriber and device identifiers in a communication network | |
US20190268335A1 (en) | Key-Derivation Verification in Telecommunications Network | |
CN101159563B (zh) | 一种策略计费控制服务器的选择方法及系统 | |
CN101227494B (zh) | 接入多分组数据网时因特网安全协议安全联盟的建立方法 | |
EP3493569A1 (en) | Method and device for preventing signaling attack | |
JP6420337B2 (ja) | ネットワーク選択方法およびコアネットワーク装置 | |
CN103201986B (zh) | 一种数据安全通道的处理方法及设备 | |
CN101150782B (zh) | 一种策略计费控制服务器的选择方法 | |
CN107409133A (zh) | 具有完全前向保密的认证与密钥协商 | |
CN101330740A (zh) | 一种无线网络中的网关选择方法 | |
CN108200570A (zh) | 在线签约数据配置方法、装置及系统 | |
CN108464027A (zh) | 对于未认证用户通过wlan接入3gpp演进分组核心支持紧急服务 | |
CN108353282A (zh) | 用于使用支持多个连接性和服务上下文的安全模型的无线通信的方法和装置 | |
CN102695236B (zh) | 一种数据路由方法及系统 | |
CN107466465A (zh) | 使用互联网密钥交换消息来配置活动性检查 | |
CN108616805B (zh) | 一种紧急号码的配置、获取方法及装置 | |
CN102905266A (zh) | 一种实现移动设备附着的方法及装置 | |
CN107006052A (zh) | 使用ott服务的基于基础设施的d2d连接建立 | |
CN102917332A (zh) | 一种实现移动设备附着的方法及装置 | |
US9572037B2 (en) | Method and system for defending a mobile network from a fraud | |
CN106304056A (zh) | 一种设备标识的检查方法及系统、设备 | |
CN111988821A (zh) | 语音通信方法及其装置 | |
CN110881020B (zh) | 一种用户签约数据的鉴权方法及数据管理网元 | |
CN107079047A (zh) | 用于网络辅助的域选择的装置和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170104 |
|
WW01 | Invention patent application withdrawn after publication |